返回上一页 文章阅读 登录

张浩然:用户数据携带权益保障的制度路径

更新时间:2022-08-20 21:32:49
作者: 张浩然  
随着在线服务越来越多,积累的个人数据也越来越多,在缺乏有效数据迁移机制的情况下,用户转换服务平台即意味着失去其个人信息且重制成本高昂,这有可能导致用户被平台锁定而无法接受其他更好的服务。面对现实环境的发展变化,仅基于个人信息隐私的保障已无法满足广泛的人格发展的需要,用户积极利用和处分其数据的自由被纳入了“个人数据保护”的基本权利内涵。借鉴商业实践中“数据可携带项目”以及电信法的“号码携带权”,数据可携带权被纳入GDPR以解决数字经济中的用户锁定问题,以私法赋权进一步平衡数据主体与数据控制者之间的关系,间接地实现促进竞争的效果。有观点认为该权利不仅是“数据保护权”,更是一项经济权利,“允许数据主体/消费者可直接通过可携带、用户友好、机器可读的方式获取数据,以缓解大公司与数据主体/消费者之间的经济不平衡性,使得个人(与平台)共享大数据产生的财富,并激励开发者向用户提供更优质的功能和程序”。

   虽然用户对其数据的个人控制和自由处分已发展为个人信息自决权的重要内涵,但是将该基本权利价值转化为一般民事权利,需要对“个人数据”范围作出实质性扩张,并对权利实施的有效性提出了较高要求,而在个人数据保护框架下解决这一问题存在明显的局限。首先,个人数据是指与自然人相关的已识别或可识别信息,这是从个人隐私消极防御角度作出的相对宽泛而模糊的界定,企业在进行数据迁移时往往难以清晰界定个人数据与非个人数据,在数据流动层面缺乏现实指导和法律确定性。从解除用户锁定、实现数字人格的自由发展而言,大量个人数据与非个人数据的合并,共同构成了个人人格在数字世界的延续,也是用户接受其他产品或服务的前提,因此数据迁移赋权应当实现由个人数据向用户产生所有数据的扩张。其次,在用户与经营者实力严重不对等的现实环境下,欲实现用户数据自由流动的目标,对权利实施有效性提出了较高的要求。因为锁定效应本质上源于网络经济中不同网络系统的互不兼容,用户数据自由移动需要在不同数据控制者的网络系统之间建立数据互操作性(Interoperability)而保障权利行使。例如,数据可携带权源自电信网络中用户“号码可携带权”的类比,电话号码可携带权的实施即以不同电信网络之间的互联义务为前提。根据“数据可携带项目”(Data Portability Project)共同创始人Chris Saad的解释,“互操作性意味着无论谁提供或接收数据,都应以共同体商定的方式提供,以便实施一致,无论参与交易的各方如何”。只有不同网络系统之间开放应用程序接口、就数据存储格式达成一致标准,用户才能实现数据实时迁移和不同网络系统之间的自由选择。因此,在GDPR最初建议稿中,欧盟委员会拟赋予数据可携带权广泛的权能:第一,数据主体有权将个人数据以及其向数据控制者提供并存储的其他任何数据向其他控制者进行传输;第二,由欧盟委员会统一确定个人数据传输的技术标准、方式和程序。

   然而,在个人数据保护法下将用户数据处分的价值绝对化,不可避免地会导致与其他基本权利价值以及具体民事权利的冲突。具体而言,强制企业向他人开放用户网络,实现数据存储、传输的强制标准化,无疑将构成对企业财产权和经营自由的限制,间接地导致市场支配企业与中小企业的市场竞争扭曲并阻碍创新:第一,对谷歌、Facebook等大型互联网企业而言,编写实现数据可携带权的“导入—导出”模块并非难事,但对中小企业而言将会产生较高合规成本;第二,用户数据资源是数据企业的竞争力来源,普遍强制网络开放将导致用户更容易由中小企业流向已建立起网络正反馈效应的大企业,大企业可以通过模仿中小企业创新商业模式并借助其网络规模优势赢得市场竞争,致使中小企业在数字市场很难有创新竞争的空间;第三,用户数据可能不仅仅涉及个人内容,还涉及他人数据、知识产权、商业秘密等内容,无限制地允许数据传输将构成对他人权利的侵犯。

   因此,该GDPR最初建议稿在欧盟议会和理事会审查阶段遭到了强烈批评,GDPR立法过程中不得不三易其稿,进一步限缩用户数据控制的范围而平衡多方利益。在欧盟议会阶段,数据携带对象由数据控制者掌握的与用户相关所有数据限缩为已提供的个人数据,删除了由欧盟委员会制定数据传输标准、方式、程序的规定,并明确仅在“技术上可行”的情况下可直接迁移个人数据。欧盟理事会进一步将数据传输格式由电子、结构化、常用格式修改为技术上最低要求的“机器可读”格式,并为平衡其他利益而规定数据可携带权行使“不得对他人的权利和自由产生不利影响”。修改之后不同网络之间互操作性的要求完全被取消,GDPR序言第68条进一步明确,“数据主体传输或接收与其有关的个人数据的权利不应使控制者有义务采用或维护技术上兼容的处理系统”,仅“鼓励数据控制者开发互操作的格式以实现数据的可携带性”。

   由于与其他基本权利价值存在潜在冲突,数据可携带权的权能被大大削弱,其虽然名义上作为一项民事权利,却因义务主体不同而具有不同权利内容,甚至有无义务也有所不同,导致其与消除用户锁定、促进数据再利用的制度目标存在着现实鸿沟。首先,如前所述,个人数据与非个人数据的二分结构本身并非是从数据流动角度的科学考量,而是在个人数据保护立法下路径依赖的结果,但受限于GDPR个人数据保护立法目的,数据迁移的对象仅限于用户已向数据控制者提供的“个人数据”而非全部数据,难以实现在经济生活中消除用户锁定的目的。其次,不同平台之间的数据传输以“技术上可行”为前提,现实是不同数据处理者之间存在缺乏兼容性和互操作性等技术上的障碍,何为技术上可行以及何者有义务保障实现技术可行并无定论。即使可实现跨平台之间的用户数据迁移,现行GDPR赋予的数据可携带权仅是一种非实时、非持续性的数据传输,更接近于GDPR第15条数据访问权的延伸,功能主要在于增加企业数据收集的透明度,使数据主体可更好地了解哪些数据被收集,却难以实现用户在不同服务之间的自由切换和解决网络效应带来的锁定问题。

   由于数据可携带权行使条件的不确定性,欧盟GDPR实施后,实证调研结果显示,几乎没有平台提供直接的用户数据迁移服务,实践中也缺乏用户向数据处理者主张数据可携带权的案例,只有约1/4的平台提供数据获取服务,即用户有权以结构化、常用和机器可读的格式接收其向控制者提供的与其相关的个人数据。可以说,数据可携带权仍然停留于监管者的立法创意层面,而并未在现实中真正为用户所认识和行使。

   (二)我国“个人信息可携带权”:简单移植或已脱窠臼

   随着数字技术的发展,个人在虚拟世界中通信、娱乐、购物等数字痕迹的集合构成了个人人格在数字世界中延续和参与经济社会生活的前提,故欧盟《基本权利宪章》中“个人数据保护”基本权利的内容从消极防御向保障个人数据积极处分扩张,成为欧盟“数据可携带权”的基本权利基础。我国《宪法》虽然并未明确将数据保护纳入基本权利范畴,但个人信息自决根本上派生于宪法上人格自由发展和人格尊严不受侵犯的基本原则,我国《宪法》规定“国家实行社会主义市场经济”,间接地承认了公民的经济自由权。随着数字技术在人类生存和发展中逐渐不可或缺,个人对其数据的积极利用和处分是个人经济自由的应有之义。

   基于在基本权利层面的相似性,我国《个人信息保护法》第45条第3款确立了“个人信息可携带权”,规定“个人请求将个人信息转移至指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。然而,即使个人对其数据的处分利益可为基本权利所涵摄,这仅仅为该利益保护寻得了正当性根源,却并不必然要赋予用户对其数据的绝对处分权。如果将用户对数据的处分利益权利化,该权利的实现必然要以企业间普遍建立互操作性为前提,可能构成对他人营业自由和财产利益的过度限制,造成“保护一种基本权利,就是剥夺另一种基本权利”的困境。故而我国《个人信息保护法》为用户个人信息迁移施加了一定的限定条件。首先,并不是所有个人生成的信息都可以进行迁移,受限于个人信息保护的立法目的,可携带内容仅包括《个人信息保护法》第4条规定的“个人信息”,即“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”。其次,个人信息携带附有一定条件,并非所有的个人信息都可以被携带。欧盟规定在技术上可行的条件下,用户可以要求在数据控制者之间以结构化、通用、机器可读的形式传输其个人数据,对何为“技术上可行”并未明确;我国“个人信息可携带权”行使则以“符合国家网信部门规定条件的”为限制。在当前数据控制者彼此之间互不联通的现实条件下,数据是企业核心竞争力,实现数据互操作性也需要一定成本,立法很难一刀切地在不同企业之间强制建立数据互操作性。故而欧盟将数据可携带权的实施寄希望于未来技术发展和平台壁垒的消除;我国《个人信息保护法》则将该条件的实现交由国家网信部门加以把握,授权国家网信部门根据我国信息技术发展、行业惯例等合理因素来灵活设定相应条件,在个人信息主体与信息处理者之间审慎地进行利益平衡。

   目前来看,我国“个人信息可携带权”也未能跳出窠臼,与欧盟“数据可携带权”面临着同样的困境。在民法上,利益成为一项新的“权利”需要满足归属内容确定性、社会典型公开性、普遍排除效能三项要件。其中,普遍排除效能要求权利人可以对世性地排除他人对客体的相关行为。“个人信息可携带权”并非是一项用户可以向个人信息处理者普遍主张的权利,立法仅对用户数据处分权益进行了宣示和肯认,却未规定该利益实现的机制或方式,因此是一项附条件或者形式上的“权利”。可见,《个人信息保护法》对个人信息可携带权的规定,并非是用户数据锁定问题的终结,而仅仅为立法上解决该问题的开端。未来解决该问题的核心在于,如何推动建立用户数据携带的现实条件,即在不同数据平台之间建立数据互操作性。

   三、用户数据携带作为企业数据保护之例外

   如前所述,《个人信息保护法》仅在立法上肯认了用户数据携带的正当性,并未在制度规范层面明确“个人信息可携带权”的义务主体和实现条件,尤其是法律对作为用户数据携带前提的互操作性条件并未作出规定,从而导致该权利有名无实。虽然立法未作强制要求,现实中伴随着用户数据价值的不断凸显,市场主体基于逐利的本性,逐渐自发地为用户提供数据迁移服务,即市场力量一定程度上保障了用户对其数据的个人控制和自由处分。如在社交媒体领域,国内及国外都出现了聚合平台,即将用户在不同社交平台领域的数据聚合到一起,允许用户实现信息一键查看和处理。这种市场的自发力量,有望化解用户与平台之间技术力量对比悬殊的问题,实现对用户数据的最大化保障。

   在法律层面,市场力量的发挥却面临着数据收集者与用户以及第三方平台之间就数据财产利益分配的冲突问题,法律对企业数据财产利益的保护成为了第三方主体提供数据迁移服务的主要阻碍之一。现行法律体系下,立法虽未确立数据收集者对其收集数据集合的财产权,从保护企业数据投资利益出发,司法实践通常在反不正当竞争法下适用一般条款为企业数据提供宽泛保护。一般认为,不正当竞争行为成立应满足存在竞争关系、损害竞争者的合法权益、行为违反诚信原则或公认的商业道德三个要件。在数据保护的司法实践中,各级法院往往对竞争关系作出宽泛认定,焦点主要在后两者。裁判思路可归纳为:1.确认数据收集者在数据收集过程中付出了实质性投资,数据集合能为其带来经济利益和竞争优势,因此数据收集者对其数据集合具有竞争法上的利益;2.竞争者未经数据收集者授权获取数据的行为,损害了数据收集者的财产利益;3.相关行为因“食人而肥”“不劳而获”违反公认的商业道德而具有不正当性。在此裁判思路下,一般条款为企业数据提供了宽泛的保护。因此,有学者认为,司法实践试图激活反不正当竞争法一般条款以确立事实上的“数据财产权”。

在此前提下,基于市场力量的用户数据迁移行为会导致用户数据从一个平台流向另一个平台,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:admin
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/136084.html
收藏