随着大数据时代的到来,个人数据被不断运用于各个领域,数据的价值性、安全性、流动性等问题也随之涌现。在世界各国的立法实践中,2018年5月25日,由欧盟正式颁布的《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)首次将“数据可携权”引入立法,赋予了数据主体获取和传输个人数据的权利。
根据GDPR第20条的规定,数据可携权是指,数据主体能够以“结构化、通用化和机器可读的格式”获取其提供给数据控制者的个人数据,并且不受阻碍地将这些数据传输给另一个数据控制者的权利。根据欧盟第29工作组[1]发布的指南,“数据可携权”不仅旨在赋予数据主体获取其个人数据的权力,还旨在使数据主体能够方便地将个人数据从一个网络环境中转移、复制或传送到另一个网络环境中。
自欧盟确立“数据可携权”之后,美国、澳大利亚、印度等国在部分领域的立法中纷纷引入了“数据可携权”的内容,并基本沿用了欧盟GDPR第20条中的相关规定。上述立法实践也引发了我国是否应当引入“数据可携权”的理论与实践争议。在理论上,国内学者对于“数据可携权”的引入争议主要集中于数据携带对于市场竞争的影响上。在立法上,早在2017年,我国在《个人信息保护法(草案)》中就曾借鉴欧盟“数据可携权”的概念,尝试规定了“信息携带权”;2019年,由中国人民银行发布的《中国人民银行金融消费者权益保护实施办法(征求意见稿)》第36条也对数据可携权作出了前瞻性规定,但在正式发布文件中未予以保留。
基于上述理论争议与立法实践,本文旨在通过追溯“数据可携权”的历史演进,对其权利属性、权利要素进行剖析,进而结合我国的现实情况,对其在我国的引入进行考量。
作者 | 北京盈科(上海)律师事务所
竞争与监管法律事务部 姚华律师团队
一、数据可携权的历史演进
追溯数据可携权的确立过程,最早可以前溯至2002年欧盟颁布的《普遍服务指令》(Universal Service Directive,以下简称“USD”)。USD中关于电话号码可以携带的相关规定被国内研究者们认为是欧盟确立数据可携权的起点[2]。根据USD的规定,用户在搬家或调动工作时,可以不改变自己的电话号码,而不用顾及新地址与老地址是否属于同一个电话局或同一个运营公司。电话号码作为一种通讯工具,其包含的用户个人资料及通话记录等信息属于个人数据的一部分,由此欧盟开始了对数据可携权的探索,并逐渐从电话通讯领域扩展到互联网领域。
2007年,随着互联网社交平台的兴起,部分国外的专家学者提出了“社交网络用户权利法案”(Bill of Rights for Users of the Social Web),要求强化互联网社会中的个人数据权利,并创建了“数据可携带项目”,提出了数据可携权的概念[3]。学者们认为,数据可携权意味着:个人可以获取自身的数据并将其移植到另一个平台上,或替换平台上之前的数据。
在数据可携权的概念提出后,2011年,Google和Facebook加入“数据可携带项目”。Google创建的“谷歌外带”(Google Takeout)工具允许用户从27个谷歌产品中下载个人数据;Facebook则允许用户不仅可以下载其个人资料中的共享信息,还可以下载Facebook所保存的其他不可见信息。
经过学者们的不断倡议,以及社会组织和互联网企业的实践,2012年1月,欧盟委员会在起草《通用数据保护条例(草案)》时,正式将数据可携权引入,这是数据可携权在官方文件中的首次提出。但在此后的立法过程中,数据可携权被反复取消和提起,直到在2016年欧盟委员会通过的最终版本中,这一新生的数据权利还是被保留了下来,作为与数据访问权、更正权、被遗忘权、限制处理权等权利相并列的数据权利。根据欧盟委员会的意见,数据可携权可以提升用户对于个人数据的控制程度,促进网络空间、网络服务商与用户之间的信任。
2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)正式颁布实施后,2018年6月,美国加州即颁布了《加州消费者隐私法》,规定了用户的“访问及可携带权”。该法规定,消费者在通过个人身份验证后,可以请求企业提供或移转企业收集的特定个人信息,且企业提供的信息需要满足“技术上可行”、“便于携带”、“格式易于使用”等要求。
2019年8月,澳大利亚颁布《消费者数据权利法案》,规定了消费者的数据可携权。并在2020年2月颁布了《消费者数据权利规则》,进一步对数据可携权进行了规定,授予消费者对银行、能源、通信和互联网交易的开放访问权,并规定数据控制者必须对消费者或经过消费者许可的接收者分享消费者的个人数据。无独有偶,2019年12月,印度也颁布了《个人数据保护法》,基本采用了欧盟GDPR中关于数据可携权的相关表述。
从数据可携权的发展过程及上述国家对数据可携权的引入可以看出:(1)数据可携权作为一项新兴的数据权利,其确立过程受到了诸多争议。(2)各国在引入数据可携权时基本沿用了欧盟GDPR的相关规定,并主要强调了数据主体对于个人数据的控制权。(3)各国在引入数据可携权时较为谨慎,仅在部分领域中进行引入,尤其是消费领域。
二、数据可携权的权利要素与属性分析
数据可携权作为一种新兴权利,对于我国个人数据保护体系的构建、互联网企业的发展是否具有促进作用,需以研究这一权利的要素与属性为前提。
根据GDPR以及欧盟第29工作组发布的《数据可携权指南》(以下简称“《指南》”)的解释,从权利要素上看,数据可携权包含了以下两项基本要素:
第一,数据可携权是数据主体接收数据控制者处理的有关其个人数据的子集的权利,并且可以将其存储使用。在这方面,数据可携权补充了数据访问权的内容,为数据主体提供了一种简单的方法来管理和重复使用个人数据。如数据主体可以从他的网页邮件应用程序中检索、导出联系人列表,用以建立婚礼列表。
第二,数据可携权可以使数据主体不受阻碍地将个人数据从一个数据控制者转移到另外一个数据控制者。GDPR第20条第(1)款规定,数据主体有权“不受阻碍地”将个人数据从一个数据控制者传送至另一个数据控制者。在这方面,GDPR的序言虽然不要求数据控制者有义务采用或维护技术上兼容的处理系统,但却禁止控制者设置传输障碍。就下载的格式而言,数据可携权要求下载的格式是“结构化、通用化和机器可读的格式”。对于什么是“结构化、通用化的”格式,要视具体场景和技术共识而定,在没有约定和共识的情况下,应当使用通用的开放格式的数据,使数据的重新利用成为可能。对于“机器可读的”格式,欧盟的相关法律则将其定义为“使软件的应用程序能够轻易地识别、认知和提取特定数据的格式”[4]。
根据《指南》的解释,第二权利要素不仅为数据主体提供了获取和重复使用数据的能力,还有望促进数据控制者之间以安全稳妥的方式,在数据主体的控制下,创新和共享个人数据,促进有关用户的个人数据在他们感兴趣的不同服务之间的传输和重复使用。
从权利属性上看,《指南》并未明确该权利属于民事权利中的人格性权利,还是财产性权利,仅从数据主体、数据控制者、市场竞争三个方面分别对数据可携权进行了定义。
从数据主体的角度分析,数据可携权赋予了数据主体更强的数据控制权,是数据主体对于数据访问权的扩张。
从数据控制者的角度分析,该权利要求数据控制者做好对数据复制、下载、传输等方面的配合工作,对数据控制者苛以了更多义务。《指南》认为,数据可携权描述的是一种管理关系,作为传输方和接收方的数据控制者对该数据都有管理义务。
首先,数据控制者事先应向数据主体披露此项权利。其次,数据传输方需审查、确认接收方的身份,以确保数据能够准确、安全地传输到数据主体要求的接收方。但根据GDPR第20条的规定,数据传输方不对数据主体或接收个人数据的其他公司的数据处理负责,它们仅代表数据主体行事,不对接收数据的一方是否符合数据保护法负责。此外,接收方的数据控制者负责确保接受和保留的数据仅是接收方提供服务所必需的和相关的数据。例如,对于向网页邮件服务发出的数据可携权请求,新的数据控制者不需要处理数据主体的联系人的联系细节,如果这些信息与新的服务目的无关,则该信息不应被保存和处理。最后,数据控制者应在一定时间内回应数据主体的请求,若数据控制者未做出任何响应,数据主体有权向上级监管机构投诉或寻求司法救济。
从市场竞争的角度分析,《指南》认为,数据可携权既促进了数据在欧盟境内的自由流通,一定程度上也会使数据控制者间的竞争加剧,下文将对此进行详细论述,此处不赘。
从权利的行使限制上看,首先,在适用条件上,GDPR要求数据控制者处理个人数据时具有明确的法律依据。根据GDPR第20条第(1)款第(a)项,数据处理行为必须基于:(1)数据主体的同意;(2)数据主体为缔约方的合同。并且,数据可携权只适用于数据处理是“通过自动化方式进行的”,因此不包括大多数纸质文件。
其次,当个人行使数据可携权时,不应损害任何其他的主体权利。其一,在数据可携权的范围内,数据必须是个人信息主体向数据控制者提供的与其相关的个人数据,当数据中包含涉及到其他数据主体的个人数据、知识产权数据以及商业秘密数据时,要确保对此类数据行使数据可携权时,不得对其他数据主体的权利和自由造成不利影响。其二,即使在行使数据可携权之后,数据主体仍然可以继续使用和受益于数据控制者的服务。数据可携权的使用不会自动触发数据控制者的系统删除数据,也不会影响该传输数据的原始保留期。同样,如果数据主体想行使他的数据清除权(GDPR第17条下的“被遗忘权”),数据控制者不能以数据可携权为由延迟或者拒绝数据主体的要求。
通过研究数据可携权的权利要素及属性可以看出:(1)数据可携权的要素主要包括数据获取及数据传输两项内容;(2)数据可携权对于“数据传输”的要求对数据控制者苛以了较大的管理义务,进而可能对市场竞争产生影响;(3)数据可携权的行使需要确保数据主体的身份不被冒用,且需要确保不损害其他主体的权利。
三、数据可携权对于市场竞争影响的两面性
在大数据时代,互联网企业为了确保市场竞争中的优势地位,可能会对数据主体的个人数据加以控制,限制个人数据的迁移以防止数据被其他企业利用,这为数据主体转向新的服务平台增加了成本,进而导致了“数据锁定效应”,并产生垄断现象。
在此背景下,一些学者认为,数据可携权可以打破“数据锁定效应”,促进数据流通,消除个人数据的传输障碍,进而促进市场竞争。从用户角度,数据可携权能够改善用户的使用体验,为用户转换服务平台提供便利;从企业角度,数据可携权也让企业更为便利地获取了更多的用户数据。如此,数据可携权就可能促进数据的共享,实现用户与企业的双赢。
然而,反对者认为,数据可携权虽然可能对抗“数据锁定效应”,但却不一定符合竞争法原理,甚至可能引发不正当竞争。从纵向上看,数据的流动不是单向的,数据可携带权固然有利于将数据从大企业传输到中小企业,打破大企业的数据垄断,却也为数据主体将数据从小企业迁移到大企业提供了便利[5]。大企业可以利用原本的竞争优势,让渡较小的利益来引导用户转移其在小企业中的个人数据,导致小企业的客户流失。从横向上看,如前所述,根据GDPR的规定,中小企业为了实现使数据主体不受阻碍地将个人数据从一个数据控制者转移到另一个数据控制者,不得不开发具有“可互操作性”的数据系统,并增加对数据安全方面的投资。实践中,实现不同系统与功能单元之间的数据互操作性并非易事,因而,数据可携权可能会为中小企业带来更大的合规压力与运营成本,反而可能降低中小企业的竞争力[6]。
从法律风险上看,数据可携权的行使也可能侵犯企业的知识产权。如,对于企业收集并整理的个人数据在一定情况下可能符合商业秘密的构成条件,并应受到《反不正当竞争法》的保护。虽然GDPR规定,当数据中包含涉及到其他数据主体的个人数据、知识产权数据以及商业秘密数据时,要确保对此类数据行使数据可携权时,不得对其他数据主体的权利和自由造成不利影响。但实践中,仍需解决如何区分普通个人数据与商业秘密的界限、以及由谁来对此进行判断的问题。
最后,在数据安全性方面,也有学者提出,数据可携权能否促进数据自由流通、增加互信和促进创新仍有待考量。通过对GDPR相关规定的梳理可知,数据可携权的行使需要确保得到数据主体的同意,在一般数据主体(自然人)对接收数据的企业的技术安全措施缺乏清晰认知的情况下,可能会明显抑制数据主体转移个人数据的意愿。从企业角度,当企业考虑到自身收集、整理的数据可能被转移到其他数据控制者手里时,也可能抑制企业收集、整理数据的意愿。
综上,数据可携权对于市场竞争的影响具有两面性,从理论层面分析,其既有打破数据垄断的可能性,但也不能排除会加剧数据垄断。
四、数据可携权的国内实践与应用建议
伴随着互联网经济的不断发展,数据流动已经成为一种不可避免的趋势,我国公民对数据可携权的确立同样有着现实的需求。在国际层面,根据GDPR的规定,欧盟将数据可携权适用于所有在欧盟境内提供数据服务的互联网企业,这意味着任何想要进入欧盟市场的企业都需要应对数据可携权的问题。
近年来,国内的司法实践也反映出我国对于数据权利在法律保护方面的不足。如2019年5月,天津市第三中级人民法院公布了深圳市腾讯计算机系统有限公司、腾讯科技(深圳)有限公司(以下简称“腾讯公司”)诉北京微播视界有限公司(以下简称“抖音公司”)、北京拍拍看科技有限公司(以下简称“多闪公司”)涉嫌违规使用用户数据,不正当竞争纠纷一案的行为保全二审民事裁定书[7]。
在上述纠纷中,腾讯公司认为,抖音公司为了拓展其用户关系链,在抖音中向用户推荐抖音公司从微信、QQ中获得的用户头像、昵称等信息,并将腾讯公司提供给抖音公司的微信、QQ账号的授权登录服务提供给多闪公司使用。多闪公司利用抖音公司提供的微信、QQ好友关系扩充和壮大其用户网和好友关系链。据此,腾讯公司认为抖音公司、多闪公司的行为超越了用户的授权范围,违反了法律法规对于用户信息保护的相关规定,强行使用腾讯公司的核心资源和竞争优势,有违诚实信用原则和公认的商业道德。
在该案的二审裁定书中,法院认定双方之间存在竞争关系;裁定抖音公司、多闪公司的行为存在构成不正当竞争的较大可能;裁定抖音公司、多闪公司立即停止腾讯公司所诉不正当竞争行为直至本案终审法律文书生效。目前,该案仍在审理程序中。
该案裁定书显示,法院认可了腾讯公司《开放平台开发者服务协议》中关于其开放平台上的一切用户数据权利属于腾讯公司的条款,以及未经腾讯公司许可,任何人不得通过其服务,收集、存储、抓取、获得或要求用户提供用户数据等条款的效力。虽然二审裁定书并非该案的最终结果,却已引发了诸多争论,如用户在网络平台上产生的数据到底属于谁?当数据引发纠纷时,如何界定用户的个人信息权与企业数据权之间的关系?上述问题均与数据可携权的确立息息相关。
在立法中,国内立法机关对于数据可携权的立法实践呈现出“摇摆不定”的态度。如2019年12月27日,中国人民银行发布了《中国人民银行金融消费者权益保护实施办法(征求意见稿)》。其中,第36条对数据可携带权作出了前瞻性规定:“鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者指定的其他金融机构。”但该条在2020年09月15日正式发布的《中国人民银行金融消费者权益保护实施办法》中予以删除。而早在2017年公布的《个人信息保护法(草案)》中,第16条也曾规定了信息可携权,具体表述为:“信息主体有权就其被收集处理的个人信息获得对应的副本,并可以在技术可行时直接要求信息控制者将这些个人信息传输给另一控制者。”但在2020年公布的《个人信息保护法(草案)》中,该条并未予以保留。
学者卓力雄认为,目前我国关于个人数据的权属并无明确的法律规定,确立数据可携权可能会否定数据控制者对自身收集数据所拥有的权利,因而不宜盲目引入[8]。学者丁晓东则认为,可以将数据可携权视为一种柔性权利,在具体场景中赋予个体数据可携权,如在政府部门建立跨部门的数据共享联合工作机构,受理个体所提出的合理的数据可携权请求,促进我国政府和事业单位打破部门藩篱,消除“数据孤岛”,促进政府部门间的数据的共享与便民化服务[9]。
笔者认为,我国对于数据可携权的引入可采取逐步推进与部分试点的模式。如前所述,根据GDPR的规定,数据可携权的第二项权利要素对所有数据服务类企业苛以了严格的数据管理义务,这可能会过度加剧中小企业的合规压力。因而,我国在初期阶段可以效仿欧盟的做法,首先通过行业协会和行业利益相关者的合作,建立一套最低标准的数据可互操作的标准和格式,确保该标准可以被多数企业所适用,并在部分特定的领域中开展试点工作,给予中小企业一定的缓冲期,由行业协会对无法达到合规的企业提供一定的帮助和指导。
其次,通过对数据可携权的权利要素梳理可知,数据可携权包含两项权利要素。其中,第一项权利要素:“数据主体能够以结构化、通用化和机器可读的格式获取其提供给数据控制者的个人数据”主要旨在增强数据主体对于个人数据的控制力,对于市场竞争的影响较小,一定程度上仅被视为数据访问权的扩张。因而,若将数据可携权的价值主要视为增强数据主体的控制力,我国可以考虑首先引入第一项权利要素。
最后,基于市场竞争本身的复杂性,赋予个人数据转移的权利不一定会对市场造成积极的影响,但任何新制度的建立必然有其两面性。因而,对于数据可携权的引入需要针对不同平台进行类型化区分,进行精细化设计,并考虑到对企业的知识产权和他人隐私权的保护,从而最大限度地发挥该制度的积极作用。
五、结语
数据可携权作为一项新兴权利,目前在我国还没有引起广泛的讨论。但在大数据时代,如何平衡个人数据的流动性需求和数据安全的保护是一个无法回避的问题。由欧盟首先确立的数据可携权可以增强数据主体对个人数据的控制权,并在一定程度上允许数据的自由流通,长远来看有利于推动数字经济的可持续发展。鉴于我国的立法情况、国内互联网企业的发展情况与欧盟不同,我国在引入数据可携权时需要采取谨慎的态度,在对我国数据产业发展进行充分调研和试点研究的前提下,可对数据可携带权进行逐步的、有限的引入。
注释:
[1]该工作组是根据欧盟《数据保护指令 95/46/EC》第29条设立的,是欧洲独立的数据保护和隐私的咨询机构。
[2]参见郑二威:《数据可携带权剖析及其中国化践行》,载《互联网法治研究》(微信公众号),2021年1月28日。参见李东:《数据可携权的演进、发展与中国的应对》,载《数字金融法律评论》(微信公众号),2020年9月17日。
[3]参见丁晓东:《论数据可携权的属性、影响与中国应用》,载《法商研究》,2020年第1期。
[4] 同前注3。
[5]参见化国宇,杨晨书:《数据可携带权的发展困境及本土化研究》,载《图书馆建设》,2020年10月29日,详见:https://kns.cnki.net/kcms/detail/23.1331.g2.20201029.1436.004.html。
[6]参见卓力雄:《数据携带权:基本概念,问题与中国应对》,载《行政法学研究》,2019年第6期。
[7]参见(2019)津03知民辖终18号裁定书。
[8]同前注6。
[9]同前注3。
(本文作者:盈科姚华律师团队 来源:微信公众号 企业法律合规)
