高级检索

首页

杂志文章

当前位置: 首页 -> 行政法学研究 -> 杂志文章 -> 正文

卓力雄:数据携带权:基本概念,问题与中国应对⃰

信息来源:《行政法学研究》2019年第6期 发布日期:2019-12-31

摘 要:数据携带权是欧盟在《一般数据保护条例》中创设的个人数据权利。《条例》对数据携带权有着明确的限定和适用条件,其中诸多规定具有创新性。数据携带权是在欧盟的多次删改中最终确立的,其确立有着明确的目标指向,即增强个人对个人数据的控制,促进公平竞争和数据的自由流通与社会创新。然而,数据携带权规定本身所存在的问题和矛盾,数据携带权确立后所引发的诸多问题和冲突,使得数据携带权成为一个错误的承诺。数据携带权的这些问题决定了我国目前不宜确立数据携带权,但为了更好地保护个人数据和促进数字经济发展,我们应当加强对数据携带权的研究。

关键词:数据携带权;个人数据;数据主体;数据控制者;《一般数据保护条例》


前 言

大数据时代的来临,深刻地改变着我们的生活、工作和思考方式,给我们带来许多根本性的变革,尤其是给我们个人隐私、个人权利保护带来巨大的挑战。为了更好地保护个人隐私和个人权利,欧盟于2016年出台了“史上最严数据保护法律”——《一般数据保护条例》(General Data Protection Regulation,以下简称《条例》)。《条例》对个人数据的收集、处理、保护有着许多创新性规定,尤其是关于数据主体数据权利的规定,更是独树一帜,如关于数据主体(自然人)访问权、更正权、擦除权(“被遗忘权”)、限制处理权、数据携带权等的规定都十分独特。其中,数据携带权的有关规定对个人数据保护、数据企业的发展将会产生重要影响,尤其会对为欧盟境内居民提供服务的企业的发展产生难以估量的影响。因此,数据携带权的规定引起了欧美众多学者的广泛关注和激烈讨论。

大数据产业的迅猛发展,也给我国个人数据、个人隐私保护带来挑战,同时,不断走出国门为欧盟和世界其他地区提供服务的我国企业日益增多。在这种情况下,加强对欧盟个人数据保护法律法规的研究,尤其是加强对以“数据携带权”为代表的个人数据权利的研究,为我国的个人数据保护和数字经济发展提供理论参考和域外经验借鉴,为我国企业遵守当地法律、更好地进行国际竞争提供指导就显得尤为重要。然而,我国学界关于欧盟数据携带权的关注和研究十分有限,对数据携带权可能产生的影响之关注严重不足。[1]鉴于此,笔者拟在本文对“数据携带权”作一个相对详细的研究,深入分析数据携带权的基本原理和历史演进脉络,在此基础上进一步探讨数据携带权的目标指向和问题,最后提出我国应对数据携带权的一些可能之道。

一、数据携带权的基本概念:《条例》第20条的解读

数据携带权(Right to data portability),也称数据可携带权,数据可移植权等,是欧盟《条例》第20条新创的个人数据权利,该条对数据携带权作了较为具体的规定。为了使数据携带权更加清晰,更好地被理解和适用,第29条数据保护工作组[2](以下简称“数据保护工作组”)专门于2016年12月制定并于2017年4月修改通过的《数据携带权指南》(Guidelines on the right to data portability,以下简称《指南》)对数据携带权问题作出全面的解读。

《条例》第20条关于数据携带权的规定如下:

1.当存在如下情形时,数据主体有权以结构化、常用和机器可读的格式获得其提供给控制者的有关他或她的个人数据,并有权无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者:

(a)处理是建立在第6(1)条(a)点或第9(2)条(a)点所规定的同意,或者第6(1)条所规定的合同基础上;

(b)处理是通过自动化的方式进行。

2.在行使第1段所规定的数据携带权时,在技术上可行的情况下,数据主体有权将个人数据直接从一个控制者传输给另一个控制者。

3.行使第1段所规定的权利不得妨碍第17条的规定。对于控制者为了公共利益,或者为了行使其被授权的官方权威而进行的必要处理时,这一权利不适用。

4.第1段所规定的权利不能对他人的权利或自由产生不利影响。[3]

根据条文规定,数据携带权是指数据主体有权以结构化、常用和机器可读的格式获得其提供给控制者的有关他或她的个人数据,或有权无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者。简而言之,数据携带权指数据主体有权获得其提供给控制者的个人数据或者有权将这类数据转移给另一个控制者。这一权利事实上包含两个权利:获得个人数据的权利和转移个人数据的权利。条文对数据携带权的规定有着诸多关键点需要我们做进一步的探讨。

(一)条文关键点的分析

首先,数据携带权的第一个关键点是“提供给……有关他或她的个人数据”。这一关键点包含两点:一是“有关他或她的个人数据”(the personal data concerning him or her)。这说明数据主体的个人数据只能是纯粹的能识别出数据主体本人(仅仅是本人)的个人数据才适用,如数据主体的照片、邮箱等可适用。那些包含第三人数据的数据主体的个人数据,如与他人的合影、包含第三人评论的数据主体的言论等不能适用。同时,这也就意味着任何已匿名的数据都不适用这一权利,《条例》陈述部分第(26)段也确认了数据携带权不适用于匿名数据。[4]二是该个人数据是由数据主体“提供给”的(has provided to)。由数据主体“提供给”的数据,是《条例》关于数据携带权最具有争议的规定。[5]对于数据主体“提供给”的规定,目前有两种不同意见。参与处理个人数据的大多数组织都希望将“提供给”解释为仅限于“由数据主体主动且有意提供”的数据。[6]然而,数据保护工作组却在《指南》中将“提供给”进行扩大化解释,认为数据主体“提供给”的数据不仅包括数据主体主动和有意提供的数据,如地址,用户名,年龄等;还包括数据主体由于使用服务或设备而提供的观察数据,如数据主体的搜索历史,交通数据和位置数据等原始数据。[7]虽然数据保护工作组的意见不具有法律效力,但考虑到其现已被欧洲数据保护委员会所取代(这一《指南》也会被后者所承认),而根据《条例》第65条的规定,欧洲数据保护委员有权在出现争议时做出有约束力的决定。当出现关于数据主体“提供给”的意见不一致时,欧洲数据保护委员会当然会更倾向于采取扩大化的解释。因此,目前来看,数据主体“提供给”的数据包括数据主体主动且有意提供的数据和对数据主体个人行为进行观察得到的数据。

其次,数据携带权适用范围的规定是第二个关键点。数据携带权的适用范围以两种方式进行限定:第一,以正面罗列的方式限定数据携带权只适用于数据主体“同意”或在“合同”基础上且是“自动化方式”进行的个人数据处理。这一正面限定包含两个条件:一是该个人数据必须是数据主体通过“同意”(consent)或与数据控制者签订“合同”(on a contract)的方式向其提供的个人数据。即数据控制者通过其他合法途径收集到的个人数据不适用。《条例》陈述部分第(68)段明确表示,如果数据控制者对数据的处理是基于同意或合同之外的法律依据时,则数据携带权不适用。[8]二是该个人数据的处理是以“自动化方式”(by automated means)进行的。即以纸质文件方式记录的个人数据不适用。第二,以反面排除的方式对不适用情况进行罗列。反面排除情况共有四种:一是不得妨碍第17条关于擦除权(“被遗忘权”)的规定;二是公共利益排除;三是数据控制者依官方指令而进行的必要处理;四是不能对他人权利或自由产生不利影响。对于前三种情况,无论是《条例》还是《指南》都没有过多的进一步解释。对于第四种情况,《指南》认为数据携带权的适用应当尊重其他数据主体的相关权利,同时不应当侵犯商业秘密或者知识产权。[9]可见,数据携带权的适用范围十分有限,数据主体数据携带权的行使有着十分严格的适用条件。

再次,数据控制者提供的个人数据格式是第三个关键点。《条例》第20条规定的“结构化”(structured)、“常用”(commonly used)、“机器可读”(machine-readable)和《条例》陈述部分(68)段的“可互操作”(interoperable)的格式是对数据控制者提供的个人数据格式的要求。“结构化”和“常用”基本上通过字面解释就能够理解。“机器可读”格式是指一种可以被计算机自动读取和处理的数据格式,如CSV,JSON,XML等格式,机器可读的数据必须是结构化的数据,机器可读是与人类可读相对应的。[10]“可互操作”格式是指不同的和多样化的组织能够实现互利和商定的共同目标的能力,包括通过其支持的业务流程和各自的信息和通信技术系统之间的数据交换来实现各组织之间的信息和知识共享。[11]从技术角度而言,“可互操作”简单来说就是各个组织之间的信息和通信技术系统之间的数据能够实现交换和共享。在数据保护工作组看来,“结构化”、“常用”、“机器可读”是一组最小的要求,该要求应当促进数据控制者提供“可互操作”格式的数据;“结构化,常用和机器可读”是规范性手段,而“可互操作”是期望的结果。[12]简而言之,个人数据格式的规定是希望数据控制者所提供的数据能够被其他数据控制者读取。

最后,对数据控制者进行数据传输的要求是最后一个关键点。第20条第1段规定的“无障碍”和第2段规定的“技术上可行”,实际上对数据控制者提出了两个要求:第一是“无障碍”(without hindrance)地将数据传输给另一个控制者。对于何为“无障碍”地传输数据,数据保护工作组认为,数据控制者为了抑制或减缓数据主体或另一数据控制者对该数据的访问、传输或再利用而产生的任何法律、技术或经济上的阻碍都可以被认定是一种障碍。如果数据控制者认为相应的障碍是合法的,不属于《条例》第20条规定的“障碍”,那么数据控制者要承担相应的证明责任。[13]第二是“技术上可行”(technically feasible)时直接进行数据传输。对于何为“技术上可行”,目前仍无定论。《条例》陈述部分第(68)段的陈述表明,“技术上可行”的规定说明数据控制者没有义务采用或保持技术兼容的处理系统。[14]数据保护工作组也仅是希望数据控制者以“可互操作”的格式传输个人数据,并且当两个系统可进行交流,能保证安全和接收者能接收数据时,数据控制者应传输相关数据。如果存在技术障碍,数据控制者要向数据主体解释原因。[15]

(二)数据携带权的法律属性:新型个人权利

如上所述,数据携带权包含获得数据的权利和转移数据的权利。无论是获得个人数据还是转移个人数据,其核心都体现在数据主体对该个人数据的控制上。也就是说,数据携带权是一种数据主体对与自己相关的个人数据的控制权。[16]那么,核心表现为个人控制的数据携带权是一种什么类型的权利?也就是说数据携带权的法律属性是什么?人格权,财产权还是新型权利?目前,学界对于数据主体的数据携带权等个人数据权利究竟是人格权还是财产权存在巨大争议。[17]然而,尽管存在这些巨大争议,但无论是欧洲人权公约,欧盟基本权利宪章,欧盟数据保护法规还是欧洲人权法院和欧洲法院的判例都没有明确将这些数据权利归为人格权或者财产权。[18]《条例》同样也没有明确规定数据携带权的法律属性。不过,数据携带权保护个人隐私、促进市场公平竞争的目标指向(详见下文第三部分)却说明,数据携带权隐含着人格权和财产权的相关内容。因此,笔者认为,数据携带权是欧盟确立的一种新型个人权利,这一个人权利糅杂了人格权和财产权的相关内容。

第一,数据携带权具有人格权的相关属性。众所周知,欧洲一直以来都十分强调对个人隐私和个人数据的保护。个人数据保护是基本权利,[19]《条例》的整个立法指导思想也都在于加强对个人数据和个人隐私的保护。数据携带权的确立,就是希望数据主体个人能够控制与其相关的个人数据,从而维护个人自由和人格尊严(详见下文第三部分),因此,数据携带权确立之初就天然带有人格权的属性。

第二,数据携带权也具有财产权的相关属性。数据携带权核心在于数据主体对其个人数据的控制权。数据主体的控制权本身却与财产权有着密切的联系。虽然对个人数据的控制权不等同于对个人数据的所有权,《条例》也没有赋予数据主体对数据的完全所有权,而只是给予了部分权利。[20]但是,数据主体对这些个人数据的控制权本身却使得数据携带权具有了财产权的属性。根据条文规定,数据携带权使得数据主体可以自由获取或者转移数据到另一数据控制者。这使得数据主体在多个数据控制者之间获得一定的“议价能力”,新的数据控制者为了吸引数据主体将相关个人数据转移到其平台,或者原始数据控制者为了让数据主体继续将其数据保留在该平台,就会向数据主体提供某些“利益”,从而使得附着于该个人数据之上的数据携带权具有了“财产价值”。因此,从这一角度而言,数据携带权具有财产权属性。

虽然数据携带权具有人格权和财产权的双重属性,但其却并不完全属于人格权,也不完全属于财产权,因此,笔者更倾向于将数据携带权看作是一种新型的个人权利。

二、数据携带权的历史演进:多次删改后确立

(一)数据携带权的历史根源

一般地,学者们都认为数据携带权根源于信息自决理论,[21]即个人有权自我决定、掌控自己的个人信息(个人数据)。信息自决理论源于德国1983年关于人口普查时对个人信息收集所作出的确认个人信息自决权的宪法裁决。[22]在这个宪法裁决中,法院确认个人有权决定是否向他人及多大程度透露自己的个人信息。这一判决成为个人主张个人数据权利,尤其是主张数据携带权的相关理论依据。数据可携带最早可以追溯到2002年欧盟颁布的《普遍服务指令》(Universal Service Directive)陈述部分第(40)到(42)段和第30条关于电话号码可携带(number portability)的相关规定。[23]可以说,电话号码的可携带性是数据携带的理论和实践前提。[24]随着互联网技术的不断发展,越来越多的人们希望自己在互联网上的相关数据(如电子邮件,朋友列表或地址簿)能从一个服务器转移到另一个服务器,因此,在2007年9月份,有人联名发表了一份《社交网络用户的权利法案》(A Bill of Rights for Users of the Social Web),宣称人们有权利将自己的个人数据进行转移,引起了人们的广泛关注。虽然它没有法律效力,但它是数据可移植性权利的第一步。[25]受它影响,不久后,“数据可转移项目”(Data Portability Project)开始启动,来自Facebook,谷歌和微软等各种组织的成员齐聚一堂,从技术和法律角度讨论数据可转移问题。[26]这一项目的推动最终促进了数据转移技术的迅速发展,为数据携带权的发展奠定了技术基础。

(二)数据携带权的正式确立

2012年,数据携带权作为一项权利正式出现在官方文件中。2012年1月欧盟委员会提出的《一般数据保护条例(建议稿)》(以下简称“建议稿”)第18条正式将数据携带权写入其中,认为数据携带权是数据主体的重要数据权利,这也是数据携带权在欧盟官方文件的第一次正式出现。[27]

欧盟委员会的“建议稿”提出后,2013年11月欧盟公民自由、司法和内务委员会(Committee on Civil Liberties, Justice and Home Affairs)针对“建议稿”提出的“报告草案”却建议将第18条数据携带权全部删除,将数据携带权的规定并入第15条数据访问权中。[28]这一建议被欧洲议会采纳。2014年3月欧洲议会的《一般数据保护条例(一读稿)》(以下简称“一读稿”)将“建议稿”第18条的数据携带权全部删除,将该条款的相关规定融合进第15条“数据访问权”中,并将该条“数据访问权”改成“数据主体访问和获取数据的权利”。“一读稿”第15条在原有条文基础上,增加了2、2a、2b等三段与“获取数据”相关的内容。[29]

然而,2016年4月通过并于2018年5月正式适用的《一般数据保护条例》最终又在第20条增加了“数据携带权”的规定,并在“建议稿”和“一读稿”的基础上对“数据携带权”作了相关修改,形成前文所列条文的最终版本。

通过对比“建议稿”第18条、“一读稿”第15条和《条例》第20条的规定,可以看出《条例》第20条关于“数据携带权”的规定有以下几点变化:一是个人数据的适用范围有着十分明显的缩小,《条例》明确限定数据携带权只适用于与数据主体有关的“个人数据”。二是数据的格式确认为“结构化、常用和机器可读”,将“电子形式”或“可互操作”改为“机器可读”。三是继承了“建议稿”和“一读稿”的“无障碍”,但将“一读稿”的“技术上可行且可用”改为“技术上可行”。四是继承了“同意”、“合同”和“自动化方式进行”的规定并细化,相关条文进行重新编排。最后是考虑到“数据携带权”的可能影响,《条例》第20条对“数据携带权”作出了诸多限制和排除规定,这是“建议稿”和“一读稿”所没有的。

另外,数据携带权的几经变化也引发了一个值得注意的问题:数据携带权与数据访问权二者之间是什么关系?如上所述,“一读稿”将数据携带权的相关内容放在“数据访问权”的相关条文中,并将该条改为“数据主体访问和获取数据的权利”。这说明数据携带权与数据访问权有着紧密的联系。笔者已在上文指出,数据携带权实质上是数据主体获得和转移个人数据的权利。无论是获得数据还是转移数据,前提都是可以自由访问、接触与其相关的数据。因此可以说,数据主体行使数据携带权的前提是拥有数据访问权,数据访问权是数据携带权的前置性权利。丧失数据访问权,数据主体自然也就丧失了数据携带权。这也是“一读稿”将数据携带权相关内容放在数据访问权条款的原因所在。但因为“一读稿”的“数据主体访问和获取数据的权利”并不必然包含数据主体进行数据转移的权利,并不能完全涵盖数据携带权的内容,所以《条例》最终又单独将数据携带权罗列于数据访问权之后。[30]

总之,通过“建议稿”、“一读稿”和《条例》关于“数据携带权”规定的变化和演进,我们既能清晰地看到“数据携带权”确立过程的反复多变和所包含的关键要素,同时,又能感受到欧盟关于“数据携带权”复杂多变的态度和立法考量,尤其是欧盟立法者在“建议稿”中积极主张“数据携带权”到“一读稿”的删除该权利到《条例》最终保留该权利却又增加诸多的限制条件和除外规定,鲜明地表达了欧盟立法者对“数据携带权”既欢迎又担忧的矛盾态度。

三、数据携带权的目标指向:个人控制、公平竞争与数据的自由流通

欧盟确立数据携带权的目标很明确,就是使数据主体更好地控制与其有关的个人数据,促进数据控制者之间的公平竞争和推动个人数据的自由流通与社会创新。[31]

(一)加强个人对数据的控制,维护个人自由和人格尊严

欧盟希望通过赋予数据主体数据携带权,让数据主体个人对与其相关的个人数据有着更强有力的掌控。在他们看来,让数据主体更强有力地掌握其个人数据,原因在于这些个人数据与个人的线上人格(digital personality)有着紧密的联系,这些碎片化的个人数据综合后能够深刻地反映数据主体的线上人格,是数据主体的人权(人格尊严和人格自由)在数字世界的反映。如果数据主体不能有效地控制这些个人数据,并在自己需要的时候将这些个人数据进行转移,那么数据主体的线上人格就不能得到有效的维护,数据主体的人格尊严和自由就受到了侵犯。如数据主体在Facebook、微信朋友圈所发表的诸多个人数据是数据主体个人生活、喜好、思想等的体现,如果数据主体不能自由地获取或者转移这些个人数据,说明其不能在线上自由地展示自我性格和个性特征,其线上人格就得不到有效保护,这是一种对数据主体个人自由和尊严的伤害。数据携带权的目的就在于解决这一问题。通过赋予数据主体数据携带权,数据主体能够决定由谁以何种目的何种方式来处理与他们相关的数据,这种通过对自我个人数据的掌控能够允许数据主体以自己喜欢的方式向不同的受众展示自己不同的个性,而不是由自己不能控制的关于自己个性“一刀切”的呆板反映。[32]进一步地,数据携带权为人类个性自由发展提供了相应的技术手段,[33]最终目的在于追求人类个性的自由发展。[34]

(二)减少锁定效应和转移成本,促进企业公平竞争

在欧盟看来,数据控制者对数据主体有着明显的优势地位,让数据主体拥有数据携带权,能够“重新平衡”(re-balance)二者之间的关系,让数据主体在数据生态系统中发挥积极作用,减少数据控制者的锁定效应(lock-in effect)[35]和高昂的转移成本,促进数据控制者之间的公平竞争,从而为数据主体提供更好的产品。目前,许多为用户提供服务的企业,如Facebook、谷歌在为用户提供服务的过程中获取大量的个人数据,这些个人数据为他们提供了巨大的商业价值。为了防止新的服务商获得相应的个人数据,这些企业会创造各种各样的壁垒,并且通过提高转移成本来锁定用户。当用户发现转移到另一个服务平台的成本非常高昂(如面临着在上一个服务平台历史数据、朋友圈的丧失)时,他们会选择继续使用该特定平台,即使另一个类似平台可能提供更好的服务。[36]这种情况会损害到市场竞争,因为当用户将继续留在现有平台上时,潜在的竞争对手就缺乏动力进行创新并提供更好的服务。因此,欧盟希望通过确立数据主体的数据携带权来解决这一问题。根据《条例》的相关规定,数据主体有权免费获得或转移与其有关的个人数据。在他们看来,数据主体免费获得或转移个人数据,将会为相关的竞争对手提供机会,只要他们提供的服务与现有的服务商一样或者更好时,他们就很有可能获得相应的用户和发展机会,因为用户在转移到新的平台时不存在相应的成本问题。因此,数据携带权是减少用户锁定效应,为初创企业和中小企业进入Facebook、谷歌等“IT巨头”主导的数据市场的重要手段,这为企业参与市场竞争提供一个公平的机会。

(三)促进网络环境的互信与个人数据的自由流通,推动社会创新

目前,因为对个人数据被利用情况的不了解,大多数人都对自己个人数据的安全和隐私泄露问题表示担忧。据英国一家公司Big Brother Watch在全球9个国家的一项抽样调查显示,全球有79%的民众担心自己在网络上的隐私问题。[37]欧盟认为,通过赋予个人数据携带权,能够增加数据控制者与数据主体(用户)间的互信。当个人可以随意转移个人数据时,只有那些尽最大努力提供最好的产品,并且通过各种方式让用户了解其个人数据可能用途的企业才能获得用户的青睐。数据携带权让用户在与企业“打交道”时,拥有了更多的选择权,只有那些透明度最高的企业才会是“被选择的对象”。[38]欧盟相信,数据携带权允许数据主体自由转移个人数据将促进个人数据的自由流通。用户转移数据的自由度越大,用户就越有可能分享数据。[39]在他们看来,自由流通的数据将为社会创新提供良好的社会基础。众所周知,各种数据的相互连通是大数据分析技术发展的前提。数据的充分自由流通,将为数据企业的创新降低门槛,尤其是数据主体免费获得或转移与其相关的个人数据,使之前掌握在少数企业手中的个人数据变成廉价、易得的“商品”,这将大大降低数据企业获取和利用相关个人数据的成本,从而催生许多以“数据”为基础和核心的分析、运用型企业,加快社会的创新步伐。可以说,借助数据携带权,打破谷歌、Facebook等“IT巨头”的数据垄断,为欧盟的数据型企业创新提供有利的土壤,是欧盟创设这一权利的目标所在。

四、数据携带权的问题:错误的承诺

数据携带权的确立可谓用心良苦,目标远大。然而,数据携带权的确立却带来许多问题。这些问题分为两种:一是《条例》第20条关于数据携带权规定本身所存在的问题;二是数据携带权确立所引发的问题。看似美好的数据携带权在实践中面临着一系列问题和挑战,是“一个错误的承诺”。[40]

(一)《条例》关于数据携带权规定本身的问题和矛盾

首先,《条例》关于数据主体的“同意”规定可能导致数据主体无法向数据控制者主张数据携带权的结果。数据主体享有数据携带权的前提是关于其个人数据的处理是基于“同意”或者“合同”的基础之上。然而,这可能在事实上导致数据主体无法享有数据携带权。原因在于:一方面,《条例》关于数据主体“同意”的规定使得数据控制者获得数据主体的“同意”困难重重。根据《条例》第7条的规定,当数据控制者对个人数据的“处理是建立在同意基础上时,控制者要能证明数据主体已经同意对其个人数据的处理”,而且“同意”必须是“在书面声明的情形下作出”、“以一种容易理解的形式”、“使用清晰和平白的语言”、“数据主体应当有权随时撤回其同意”。[41]获得数据主体“同意”的难度如此之大,可以预计大多数收集个人数据的企业都不会明确要求获得数据主体的同意,[42]使得数据主体“同意”为前提的数据收集、处理模式在事实上失效。另一方面,《条例》允许数据控制者通过其他合法方式处理个人数据而不需要获得数据主体的“同意”。根据《条例》第6条第1款(f)项的规定,只要“处理对于控制者或第三人所追求的合法利益是必要的”,数据控制者就可以处理数据主体的个人数据。[43]这时,只要数据控制者能证明其相关个人数据的处理是为了追求“合法利益”,如利用这些数据来进行直接营销、定向广告投放等帮助企业赚钱,数据控制者就不需要获得数据主体的“同意”,不是基于“同意”基础上的处理,数据主体就不能向数据控制者主张数据携带权。因此,在数据控制者获取数据主体“同意”困难重重,而通过其他合法方式处理数据主体个人数据易得的情况下,数据控制者自然会倾向后一种方式收集、处理相关数据,使得数据主体的数据携带权仅有极小的适用范围,乃至可能沦为空话。

其次,数据携带权的相关规定充满矛盾与模糊。这些矛盾和模糊具体表现为三点:第一,“结构化、常用、和机器可读的格式”、“可互操作”与数据控制者的非强制性义务之间存在一定的矛盾。根据第20条的规定,数据控制者提供的数据应当是“结构化、常用、和机器可读的格式”,这一规定实际上暗含着另一个要求:即数据控制者应当开发一种“导出—导入模块”的软件,该软件能够从一个服务器导出数据并将其导入第二个服务器中。[44]这种“导出—导入模块”的软件实际上就具有“可互操作”的性质,因为没有这种“导出—导入模块”的软件,数据控制者就难以向数据主体或者另一数据控制者传输数据。然而,《条例》陈述部分第(68)段只是鼓励数据控制者开发这种“可互操作”的数据格式,[45]并没有认为提供“可互操作”的数据格式是数据控制者的强制性义务。这两点规定之间的矛盾并没有得到解决。第二,“无障碍”与“技术上可行”存在一定的内在冲突。对于“无障碍”,前文已经作了分析,就是数据控制者要尽最大努力将所掌握的个人数据传输给数据主体或另一数据控制者。然而,“技术上可行”的限定又给数据控制者不传输数据提供了借口。因为《条例》对“技术上可行”并无任何解释,这可能给不希望进行数据传输的数据控制者提供显著的回旋余地。[46]第三,“技术上可行”规定的模糊性。目前对于何为“技术上可行”并没有定论。“技术上可行”不一定与“操作上可行”或“经济上可行”相匹配。[47]当我们对《条例》相关条文进行分析时,会发现“技术上可行”实际上是技术上与法律上的可行。首先,纯粹的“技术上可行”应当至少包含两方面的要求:数据接收者和数据控制者的系统可互操作,数据控制者能够安全地进行数据传输。其次,技术上可行也包含着法律上可行。根据《条例》第44条的规定,当数据主体打算将个人数据转移到第三国或者国际组织时,如数据主体打算将个人数据转移给第三国的另一数据控制者时,则需要考虑第三国的数据保护是否达到《条例》关于个人数据转移的相关规定,只有满足《条例》第44条规定的合法转移条件,数据控制者才能进行数据转移。[48]这时,“技术上可行”包含了“技术上和法律上可行”。

再次,《条例》第20条第3段、第4段关于数据携带权的相关规定,容易导致数据携带权与擦除权(“被遗忘权”)、第三人权利、自由的冲突,尤其是与第三人的隐私、知识产权存在冲突。这里的冲突主要有以下几点:一,数据携带权与擦除权对数据的存储技术和介质的要求是否相同?如果数据主体同时主张擦除权(“被遗忘权”)和数据携带权,是否可能出现难以协调乃至难以解决的问题?二,当数据主体主张的个人数据涉及到第三人隐私(如数据主体与他人的合照),转移相关数据可能造成对第三人隐私的侵犯时,依据条文规定,数据控制者有权拒绝。然而,这该由谁依何种程序来判定?数据主体提出异议时该如何解决?这时如果该第三人主张擦除权(“被遗忘权”),按照条文规定,数据控制者似乎既不能删除数据,也不能转移数据,那数据控制者该如何处理?三,数据主体的个人数据包含第三人的知识产权或者商业秘密时(如个人分享的文章、视频属于第三人所有),依据条文规定,数据控制者当然可以拒绝转移,然而,这是变相给数据控制者施加一个提前审查的义务,考虑到如此多的个人数据,数据控制者难以做到完全排除,这时,如果数据控制者转移了数据,导致的知识产权侵权该如何解决?责任由谁承担?

最后,欧盟关于数据携带权的矛盾心态表明其对该权利的认识并未完全清晰。前已述及,欧盟在确立数据携带权的过程“三易其稿”。欧盟关于“数据携带权”规定的反复变化,反映了两个不容忽视的问题:一是对于何为“数据携带权”,欧盟的立法者并没有完全清晰的认识,欧盟的立法者很有可能对“数据携带权”缺乏技术方面的认识与理解,否则也不会出现每一稿关于“数据携带权”的相关技术限定的规定都不同而且变化很大的情况;二是《条例》关于“数据携带权”的诸多限制说明欧盟立法者对“数据携带权”的态度十分矛盾复杂。一方面,欧盟希望通过“数据携带权”达成保护个人数据、促进竞争和个人数据自由流通的目的;另一方面,欧盟因为对这一概念本身的陌生,担心该权利的出现会造成对他人权利的不利影响,因此希望通过这些限制规定来避免不利结果的发生。欧盟立法者对“数据携带权”的矛盾反复态度至少说明“数据携带权”在欧盟立法者之间是一个崭新且充满争议的概念。将一个存在诸多争议的概念贸然确立为权利,这种做法如果不是激进的话,至少是欠缺妥当的。这也是“数据携带权”规定本身存在诸多矛盾、模糊,“数据携带权”引发各种问题的根源。

(二)数据携带权的确立可能与其所追求的目标背道而驰

前已述及,欧盟希望借助数据携带权实现三个主要目标:数据主体更好地控制与其有关的个人数据、促进数据控制者之间的公平竞争和推动个人数据的自由流通与社会创新。然而,数据携带权的确立很有可能导致与其所追求的目标截然相反的结果。

首先,数据携带权可能导致个人对个人数据掌控的弱化,增加个人数据和个人隐私泄露的风险。根据《条例》对数据携带权的规定,数据主体接收或转移的数据应当是“机器可读”,最好是“可互操作”的。而数据可互操作的一个重要缺点是导致控制和处理数据的复杂性增加。[49]为了确保数据的可互操作,数据控制者在收集和处理数据时需要应用更加复杂的程序和软件,数据处理系统需要具备更多的访问接触点、能允许更多类型的系统连接并以更少的限制来处理数据。这在无形中增加了潜在攻击,为恶意攻击者利用数据或注入错误代码创造更多机会。[50]数据携带权的规定使得个人数据的传输和转移变得十分频繁,而这种频繁的转移为恶意攻击提供难得的机会,尤其是当多个服务提供商都可以访问用户的个人数据时,很难保证他们都在技术和用户认证方面做得完善,当一些数据接收者的技术能力有限或对数据主体的认证力度不够时,黑客利用虚假身份盗取个人数据的可能性就显著增加。这潜在地增加了该数据被滥用的风险,造成用户的隐私泄露。而且,因为数据可以完全转移,人们只需将数据移植到不受这些限制的另一个场所即可轻松避开初始社交网站所带来的任何隐私限制。[51]不可否认,数据携带权是让数据主体更加容易获得与其相关的个人数据,但却也让更多数据控制者拥有获取数据主体个人数据的机会,还给许多黑客盗取个人数据大开方便之门。因此,数据携带权不是增强了个人对个人数据的控制,而是弱化了其对个人数据的控制,增加其个人数据和个人隐私暴露的风险。

其次,数据携带权可能增加中小企业的负担,不利于公平竞争,导致消费者利益受损。根据《条例》第4条的规定,数据控制者的范围十分广泛,不仅包括Facebook,谷歌等“IT巨头”,还包括几乎所有的社交媒体、搜索引擎、电子邮件提供商、在线商店、银行、酒店、医院、能源公司、航空公司等,只要是通过网络为用户提供服务的组织都可能是数据控制者,数据主体都可以向他们主张数据携带权。这将给许多中小企业带来不小的经济负担。根据《条例》第83条的规定,任何违反数据携带权规定的组织都可能面临最高2000万欧元的罚款或者其上一年度全球总营业额的4%。[52]在巨额罚款面前,为了达到数据的“可互操作”和保证数据安全,这些中小企业不得不增加数据安全措施方面的投资,开发“可互操作”的数据处理系统并倾注过多的人员、技术于其中。据学者估计,《条例》颁布后导致欧盟的中小企业预期年度成本增加3000欧元到7200欧元不等,具体取决于该企业所在的行业,这占中小企业该年度技术预算的16%至40%。[53]其中,第5、19、20条(数据携带权)的规定导致中小企业年度支出总额达163亿欧元,平均每个中小企业要增加565欧元到2049欧元不等。[54]这些支出对于“IT巨头”可谓忽略不计,但对中小企业却是很大的负担而且不能避免,中小企业的运营成本被无形增加了。而且,在目前“IT巨头”已经拥有技术优势的前提下,中小企业所开发的系统也只能向这些“IT巨头”看齐,无论如何努力,这些中小企业相关系统的数据安全性也难以与“IT巨头”相比。在产品和用户体验都难以与“IT巨头”媲美,而支出成本却无端增加的情况下,最终的结果只能是中小企业竞争力的日益下降,形成“IT巨头”的更加垄断,导致“强者越强”。还有,这些企业增加的开支必然会以各种形式向消费者转移,毕竟,“羊毛出在羊身上”,这导致的结果是旨在帮助消费者的数据携带权降低了消费者的福利而非增进消费者的福利。[55]

最后,数据携带权能否促进数据自由流通、增加互信和促进创新有待考量。不可否认,数据携带权使得数据主体更加容易获得和转移与其有关的个人数据,这好像是促进了数据的自由流通。但如上文所述,数据携带权使得个人数据的安全风险显著增加。在风险较大,且对接收数据企业的技术和安全保障能力缺乏认知的情况下,数据主体转移个人数据的意愿会被明显地抑制,他们可能更愿意将自己的个人数据储存在那些比较知名、自己相对信得过的大公司系统里,使得数据自由流通成为一种美好的幻想。同时,数据主体可以随时向数据控制者主张数据携带权,这在无形中加剧用户和服务提供商的紧张关系,使得用户对提供商的忠诚度和信任度降低,反而不利于个人数据的保护。虽然数据的可自由转移很有可能推动创新,但并没有直接的证据证明这能推动创新,相反,数据的可自由转移还会对某些类型的创新产生负面影响。[56]考虑到自身收集的个人数据很可能被转移到其他数据控制者手里,数据控制者投身于数据收集、分析的热情会明显受到抑制,而且在用户忠诚度不高的情况下,企业投身于创新,开发出更好产品和服务的意愿和能力也会受到抑制。另外,初创企业和中小企业一直是创新的主要力量,然而,由于数据携带权给他们带来的不成比例的负担,使得他们没有资源和意愿进入相关市场,从而对社会创新产生负面影响。[57]因此,长期而言,数据携带权反而不利于促进社会创新。

五、数据携带权的中国应对:不宜引进但应加强研究

自欧盟确立数据携带权后,我国一些学者也积极主张我国应当确立数据携带权。[58]然而,笔者认为,中国目前较为可行的应对方案是不应当确立数据携带权,但应当加强对数据携带权相关理论与实践的研究。

(一)基本态度:目前不宜确立数据携带权

中国目前不宜确立数据携带权,这是由数据携带权带来的问题和我国个人数据保护、数字经济发展现状共同决定的。

首先,数据携带权设立后引发的问题决定了我们现在不宜引进数据携带权。前已述及,欧盟在《条例》中关于数据携带权的规定存在诸多模糊和争议,目前对于数据携带权的相关概念、原理和技术条件等存在很大争议。数据携带权的确立,不仅难以实现欧盟的预期目标,还引发了一系列新的问题。在这种情况下,我们若急于引进数据携带权,将其写入我国的相关数据保护法律法规中,不可避免地也会引发许多难以料想的问题。尤其是作为一个成文法国家,将一个目前依然充满争议的权利引进我国,写入法律条文并进行广泛适用,其所可能导致的后果是难以预计的。

其次,欧盟数据携带权的相关规定与我国关于个人数据权属的实践存在一定冲突。根据《条例》规定,数据主体似乎对个人数据拥有绝对权,数据控制者对这些个人数据似乎并无相关权利,即使有也十分有限。如根据条例规定,数据主体可以向数据控制者主张数据携带权的同时主张擦除权(“被遗忘权”),这可能导致原先的数据控制者在向其他数据控制者传输这些个人数据之后,并不能再合法拥有这些个人数据。然而,目前我国关于个人数据的权属并无明确的法律规定,实践和理论界对个人数据的权属问题的看法与欧盟的规定存在较大差异。我国的一些司法实践似乎表明不仅个人对其个人数据有相关权利,数据企业对这些个人数据也拥有相应的权利。如“新浪微博起诉脉脉抓取使用微博用户信息案”和“大众点评诉百度案”,原告都主张其所拥有的用户个人数据是他们重要的商业资产,被告在未经原告同意的情况下获取这些个人数据是非法行为,应当对他们赔偿。这些主张都得到了法院的支持。[59]这些案例说明我国司法实践承认数据控制者对这些个人数据具有相关权利。一些学者也认为数据企业对这些个人数据拥有相应的权利。[60]但也有学者认为应当将这些个人数据当做公共物品而为社会公众所共享。[61]在我国目前对个人数据权属尚不明确的情况下,确立数据携带权很可能否定了数据控制者对这些数据所拥有的权利。

最后,确立数据携带权很可能给数据企业带来过多的压力,不利于数据企业和数字经济的发展壮大。目前,我国的数字经济刚刚起步,数据企业对个人数据的收集、处理和分析利用也属于摸索阶段,而大数据产业、数字经济是我国未来经济发展的主要方向,被我国政府当成未来经济发展的重要增长点来大力扶持。在这种情况下,我们需要给数据企业和大数据产业的发展相对宽松的环境,不应施加过多的限制和束缚。如果轻率地确立数据携带权,很可能是“自绑手脚,自断前程”。如上文所述,数据携带权的确立,很可能导致数据企业拥有的个人数据被其他数据企业免费获得,这明显会抑制数据企业继续投入资金、技术于收集、储存个人数据的意愿,从而不利于我国大数据产业的发展。这是我们所不愿看到的。当然,笔者并不是主张为了发展大数据产业,就可以忽视对个人数据的保护,而是强调我们应当对数据携带权所可能导致的后果有着清醒的认识。此外,我国在数据携带、数据转移方面还缺乏许多实践经验,连更加简单易行的电话号码携号转网在我国目前都还没实现。欧盟在早就已经实现了电话号码携号转网的情况下确立数据携带权都引发诸多问题,我国在缺乏相关经验积累情况下更应当对数据携带权的确立持慎之又慎的态度。若贸然在我国确立数据携带权,则明显欠缺妥当。因此,种种客观现实决定了我国目前不宜确立数据携带权。

(二)基本做法:加强对数据携带权和数据保护方法的研究

虽然我国目前不宜确立数据携带权,但这并不意味着我们可以忽视对数据携带权的研究,恰恰相反,我们要加快对数据携带权与数据保护方法的全面研究,这是由数字经济的发展和个人数据保护的平衡决定的。

目前,我国正在努力抢占数字经济发展的前沿阵地,但我们在个人数据保护方面的理论研究明显不足。通过加强对数据携带权为代表的个人数据保护的研究,可以为我国的个人数据保护提供理论支撑和经验准备,尤其是为未来我们赋予个人数据携带权和其他个人数据权利提供足够的理论支撑,为数字经济的发展解决后顾之忧。保护个人数据是发展数字经济的基本要求,只有强有力的个人数据保护,才能够解决用户和企业之间的信任矛盾问题,企业才能更加容易地获取和利用个人数据,才能更好地推动我国数字经济的发展壮大。

另外,加强数据携带权的研究是中国数据企业走向世界,中国引导世界数字经济发展的基本前提。欧盟通过出台《条例》,希望借助个人数据保护方面的立法,抢占数据保护立法和数字经济发展规则制定权的意图十分明显。虽然欧盟关于数据携带权的规定充满问题和争议,但借助欧盟本身强大的影响,其关于“数据携带权”的规定已经在世界范围产生了示范效应,阿根廷和菲律宾已经提出或制定关于赋予公民数据携带权的隐私保护法规。[62]在这种情况下,我们更应该加强对数据携带权和个人数据保护方法的深入研究。毕竟,随着中国数字经济的不断发展,我国许多具有竞争力的企业,如阿里巴巴、腾讯、华为等走出国门,为欧盟和世界其他地区民众提供商品和服务将变得越来越普遍。只有更好地保护个人数据,赢得用户的信任,中国企业才能在海外赢得更大的市场和机会,避免遭受因为违反当地法律而被惩罚,中国也才能在个人数据保护规则的制定方面有更多的主导权。据报道,法国国家信息与自由委员会(National Commission on Informatics and Liberty)于2019年1月21日发布公告称,谷歌因违反《条例》关于数据隐私保护等方面的规定,法国将对其处罚5000万欧元。[63]不难想象,随着《条例》的生效,类似于谷歌因为违反《条例》关于个人数据保护有关规定而被惩罚的情况将不会是孤例。为了更好地遵守当地法律,维护我国企业的利益,掌握数字经济时代个人数据保护的主导权,加强对数据携带权与个人数据保护方法的全面研究已是迫在眉睫。因此,无论是政府部门还是相关学者,都应当重视对以数据携带权为代表的相关个人数据权利和数据保护方法的研究,尤其是加强对欧盟在数据保护立法和实践方面的研究,深入剖析其个人数据保护方法的利弊得失,为我国的个人数据保护和数字经济发展提供参考和借鉴。

六、结 语

大数据时代已经来临,在这一因为技术变革而催生的崭新时代,如何在发展数字经济和保护个人数据之间取得平衡,是世界各国急需破解的难题。欧盟关于数据携带权的规定有着诸多创新,是大数据时代个人数据保护的勇敢探索,体现了他们对大数据技术可能导致的个人权利被侵犯、社会不公平加剧的关切和担忧。然而,数据携带权规定本身存在的诸多争议和确立后引发的问题可能导致“好心办坏事”的局面,数据携带权的确立可能与其所追求的目标背道而驰,这是我们应当重视的现实。在当今大数据发展日新月异,中国的大数据产业方兴未艾之时,加强对数据携带权与个人数据保护方法的全面研究,既是推动大数据产业发展和社会进步的基本要求,也是我们在数字经济时代掌握个人数据保护规则制定主导权的客观需要。这既是对我国政府和相关学者的考量,也是每一个身处剧烈变革时代的个体都应该考虑的崭新而重要的命题。

[1] [2] 下一页