1. 数据携带权的概述
1.1. 数据携带权的内涵
在大数据的经济时代背景下,个人数据保护已成为世界各国的重中之重。2016年4月,欧盟在颁布《通用数据保护条例》(General Data Protection Regulation,简称GDPR),首次创设数据携带权,并将其明确为一项独立的法律权利 [1] 。GDPR第20条第1款给出了数据携带权的概念,即数据主体拥有获得其提供给数据控制者的、普遍通用的、结构化的且机器可读的数据的权利,或者在规定的情况下,数据主体将这类数据从该数据控制者处转移到另一个数据控制者的权利 [2] 。
1.2. 数据携带权的由来
数据携带权是欧盟在2016年设立的新兴数据权利,其起源可追溯到1983年的德国。当时的德国法院通过“人口普查法案”确立了信息自决权,这一权利成为个人主张个人数据权利的理论前提。2002年,欧盟颁布《普遍服务指令》,里面提到电话号码的可携带性,这成为数据携带的理论与实践基础 [3] 。此后,数据携带权与数据访问权之间的关系历经无数次改动,终于在2012年,数据携带权出现在欧盟所提出的数据保护改革草案中,使得数据携带权作为一项独立的数据权利存在下来。2013年,欧盟中的许多国家认为,没有数据访问权,数据携带权便无从谈起 [4] 。因此,数据携带权没有被单独规定,而是放在数据访问权的内容中。直到GDPR的出炉,数据携带权才被单独规定在第20条。
1.3. 数据携带权的属性
迄今为止,理论界对于数据携带权的属性,存有三大学说,即财产权属性学说、人格权属性学说和复合属性学说。第一,财产权属性学说。根据GDPR的相关条文,数据主体有权利用数据携带权来达成获得和转移数据的目标。个人可以通过转移自己所持有和控制的数据进行商业贸易活动,这能够为自己带来可观的经济收入 [5] ,为此,财产权属性学说认为,数据携带权与财产权属性息息相关、不可分离。不过,现今大部分国家并不认可此学说,这是由于当初欧盟设置数据携带权的初旨并不是保障数据主体的财产权益。第二,人格权属性学说。该学说认为,数据携带权是隐私权的进一步补充与延伸,其关乎着数据、信息、隐私等人格自由和人格尊严,由此体现的是数据主体的人格利益,应当具备人格权属性。当数据携带权遭受不法侵害时,即便某些数据蕴含一定程度的财产价值,也不能认定数据携带权具备财产权属性,应当适用有关人格权的保护规范 [6] 。第三,兼具财产权和人格权的复合属性学说。数据主体可以在数据控制者之间转移其所持有的数据,并能与不同的数据控制者进行谈判议价,达成交易后可收获经济报酬。所以数据携带权具备财产权属性 [7] 。设立数据携带权的目的包含维护个人数据、个人信息、个人自由等法律权益,数据携带权显然具备人格权属性。由此分析可知,数据携带权兼具财产权和人格权的复合属性。
2. 我国实施数据携带权的正当性
2.1. 满足个人获得和转移数据的现实需求
基于德国的信息自决权理论,个人对其控制的相关数据享有自决权。在数据产权法律制度没有正式构建的情况下,利用数据的携带性减少用户的迁移成本,增强数据的流动性是一种更加现实的选择方式。比如,用户想将酷狗音乐软件中的音乐歌单转移到腾讯的QQ音乐,但是腾讯公司没有设置相关功能,用户若想转用QQ音乐,就无法使用原来酷狗音乐中的歌单,这给用户造成极大的不便,也为其增加大量的转移服务、自由选择服务提供商的成本,为此,不少用户不得已而放弃转用其他服务提供商。引入数据携带权以后,用户能够自由选择其想使用的服务提供商,将原来服务提供商的歌单转移至新的服务提供商不再受限,新的服务提供商应当予以配合 [8] 。目前,该功能仍然尚未广泛普及,一小部分的软件运营商可以做到这点。如果数据携带权在法律上获得认可,软件运营商将争相前后地开发、普及此功能,会给用户带来更为完善的体验。
2.2. 促进企业在数据市场之间的良性竞争
伴随着数字经济的飞速发展,数据企业的势力也随之增长,手中掌握着海量数据的企业更容易通过发挥自身的优势地位和力量来进行垄断行为,这不仅破坏市场的公平竞争秩序,挤压、危及中小企业的生存空间,还将用户置于严重不平等的地位,侵犯用户的合法权益 [9] 。数据携带权的出台,将交易双方的权利义务归于平衡,恪守合同自身附有的公平原则,行业的垄断行为将会降低,提升数据在交易市场的流动性,促进市场良性竞争,为中小企业,尤其小微企业,提供了发展的空间。以新浪微博诉脉脉案为例,2016年4月26日,北京市海淀区人民法院在综合考量原被告双方诉求答辩意见、大量证据证词以及专家辅助人意见的前提下,一审宣判认定:北京淘友天下技术有限公司和北京淘友天下科技发展有限公司非法抓取、使用新浪微博用户职业信息、教育信息等行为成立不正当竞争行为,判决两被告停止不正当竞争行为,消除影响,赔偿经济损失及合理费用共200多万元等 [10] 。数据是战略资源,是互联网企业的重要资本,与用户的人格利益紧密相关,互联网企业应用个人数据必须以尊重用户的人格利益为先决条件。一旦用户享有数据携带权,企业为了吸引用户,给用户提供更加优质的服务,提高用户的忠诚度,会尊重用户主动上传,并在充分告知利用的目的与方式后取得用户许可的获取途径。即便相关数据早已被公开,企业也会为个人用户提供控制其数据的方案。这在当今社会会形成良好的竞争氛围,对整个行业都会产生正面影响。
2.3. 推动国家数据资源市场化的必由之路
“十四五”时期,进行社会生产经营活动所应当具备的条件和因素,包括劳动、土地、资本、技术、管理、知识、数据等。数据作为我国社会主义市场经济体制的新型生产要素、经济发展的新动能,已快速融入生产、分配、流通、消费等环节,即由市场充分发挥配置数据资源的决定性作用。数据携带权能够活跃资源要素市场,提高个人数据资源的自由流动性,高效推进国家数据资源市场化的配置机制 [11] 。
国家数据资源市场化的体现大致分为三个维度:第一,数据主体行使数据携带权,可以将含有财产属性的个人数据进行转让,以实现资源价值的最大化。第二,数据携带权让数据控制者获得个人数据的深度和广度不断拓展,对数据的采集、存储、检索、加工、变换等需求得以满足,开发出多样化的数据产品与服务,创造更多的经济价值,从而换来高额的经济回报。第三,国家完全可以使用数据携带权来推进数据资源市场化目标,均衡数据主体与数据控制者之间产生的合法权益,去除隐患,保障国家数据的安全,提升国家在国际社会中的竞争优势。
3. 欧盟数据携带权的经验考察及借鉴价值
3.1. 欧盟数据携带权的经验考察
3.1.1. 欧盟数据携带权的主体
GDPR第一条规定:“本条例旨在确立个人数据处理中的自然人保护和个人数据自由流通的规范” [12] 。由此得知,从权利主体的视角来看,数据携带权的权利主体是自然人,而不能是法人或者非法人组织,原因在于法人以及非法人组织不具有人格权,具备人格权的主体只有自然人,数据携带权是依托于维护公民人格权的要点而发生的。
从义务主体的视角来看,理所当然是数据控制者,但对数据控制者存在某种程度的限制,注意以下三个条件,数据控制者才能构成数据携带权的义务主体。第一,数据控制者对个人数据享有处理决定权。第二,数据控制者为了实施国家公权力而处理个人数据,这种类型的数据控制者不能成为数据携带权的义务主体。第三,数据控制者在欧盟制定的规则下进行数据处理活动,不管这一活动是否在欧盟范围内实施,只要其处理的数据主体属于欧盟范围,都必须接受GDPR的调整,履行自己相应的法律义务。
3.1.2. 欧盟数据携带权的客体
在权利客体的角度下,欧盟数据携带权的客体显然是自然人的个人数据,该个人数据应当具备可识别性。GDPR第四条列举了一些典型的个人数据,如个人姓名、身份证号码、定位信息、特定的心理、基因等 [13] 。如果这些个人数据被匿名化而丧失个人特性,便不再具有可识别性,也就不再属于数据携带权的客体范围。引起人们注意的是,匿名化数据所对应的是假名化数据。假名化数据是指个人数据需要借助其他数据才能有效识别出该数据所对应的个人数据。由于假名化数据在经过处理之后依然能被识别,为此,理论界普遍认为假名化数据应当属于数据携带权的客体范围。
3.1.3. 欧盟数据携带权的内容
欧盟数据携带权包含两项权利,即数据获得权和数据转移权。数据获得权是指数据主体可以请求复制其个人数据并将其存储在事先准备的存储器中。数据获得权的适用范围包含征得数据主体同意的情况下处理个人数据和履行合同义务而对个人数据进行处理的行为。数据控制者提供数据副本时应当符合普遍通用的、结构化的且机器可读的三大要素的数据,这样数据才能在第三方平台实现有效传输。如果数据控制者是为了遵循有关法律法规而处理个人数据,那么数据主体就失去了向数据控制者要求请求其个人数据的权利。数据转移权,是指数据主体有权无障碍地将其个人数据在不同数据控制者之间实施转移的行为。关键在于能否确保“无障碍”,这是数据携带权与数据访问权的本质区别。数据转移权的行使条件必须是有技术上的可行性作为前提,但是要想实现数据系统技术的开发利用将会花费高额的成本,中小企业面对这一难题,不得不背负巨大的压力。GDPR规定,如果数据控制者在技术层面出现问题以致于无法有效传输个人数据的,无须承担相关的义务与责任,但应当向数据主体作出解释说明。
3.2. 欧盟数据携带权对我国的借鉴价值
3.2.1. 制定数据携带权应当保证其他主体权益
欧盟的数据携带权尽管给个人数据起到了保护规范作用,但是也给有关数据企业带来了一定程度的负面效应。一方面,从经济角度来看,欧盟规定所有企业采用统一的数据格式,尤其中小企业为了满足规定的数据格式要求而被迫承受巨大的负担。欧盟对此没有建立相关的补贴制度,所以无法缓解中小企业所支出的经济成本。另一方面,数据主体从数据控制者中提取数据转移到另一个数据控制者,这对于高度依赖数据的数据控制者来讲,是会遭受不可想象的经济损失,甚至会去除其运营模式。在有关数据携带权的立法过程中,欧盟通过确定数据携带权的客体界限,对可以携带的个人数据范围进行缩限,以此来减少行使数据携带对其他主体利益的损害程度。具体而言,欧盟把个人主动提供的数据作为个人可以携带数据的种类之一,维护了个人对其具备人格属性数据的支配权,并把无法与个体相关联的数据排除适用,又可以维护企业对经过处理所形成的数据而拥有的财产利益。欧盟还直接确定数据携带权在特定的情形下会被受到限制,如禁止数据携带权与删除权发生冲突、禁止侵害公共权益、禁止行使权力干涉他人的自由权等等,从而避免数据携带权利的行使造成不同利益主体之间的矛盾 [14] 。为此,我国在建构数据携带权制度的同时,要积极注重对个人数据的保障与对数据企业的发展进行平衡,两头兼顾个人利益与企业利益多元化发展,确保互联网的健康稳定持续发展。
3.2.2. 推行数据携带权应当确立相应规范准则
数据携带权的良好运行不但要求平衡数据主体与其他主体的利益矛盾,还要求实现符合携带指标的数据传输格式。为确保个人数据携带目标的达成,欧盟在数据携带权的立法中偏向于对数据携带传输规则的具体化。欧盟比较愿意将“技术可行性”作为一种倡导性规则,没有强制数据企业符合“技术可行性”的要求,这让欧盟的数据携带权尚未真正落实。可是,GDPR作为一部在欧盟领域内适用的法律规范,倘若直接将“技术可行性”变为数据企业的一项强制性义务,规定欧盟领域内的所有数据企业满足该“技术可行性”的标准,不可避免地会给数据企业造成强大压力,会阻碍欧盟数字经济的繁荣 [15] 。相对而言,美国在“技术可行性”的标准方面相对完善,但这也是得益于美国的立法方式,对有关的数据企业提出“技术可行性”的要求也更加容易达到。我国的《个人信息保护法》同样是一部通用性的法律规范,可我国现今已有数据携带权的立法实践,为了数据携带权早日真正得到实行,我国应当借鉴欧盟数据携带权的保护经验,进行数据携带行业试点,即先从小范围的行业内中对数据企业提出数据携带的准则,再循序渐进地推动落实数据携带权的实行。
3.2.3. 实现数据携带权应当明了配套的操作范式
若想实现数据携带权,除上文阐述的两点之外,还要求安全便捷的数据传输范式。当今时代,国外主导的数据携带操作模式重点是以欧盟为代表的企业主导范式,但在实际操作的程序中仍然存有不少弊端。在以企业为主导的数据传输范式里,数据传输行为应当在经过整合后的互联网基础服务中的平台上展开,参加该项目的主体主要是大型互联网平台,大量缺少中小企业的参与,事实上,这已经妨碍数据跨场景和行业的流通性,用户很难在该项目参与平台之外的其他平台进行交流、交易,这容易会导致新的垄断现象出现。况且,在以企业为主导的Dynamic Trunk Protocol的指挥下,用户根本没有办法选择合适的数据存储位置,所以对数据携带行为所发生的问题难以维护自身的法律权益 [16] 。依照数据携带的平台主导范式来分析,显然存在局限性。平台主导范式下不能确保数据主体参与过程的全程性,几乎不可能实现数据携带权提高数据主体对个人数据支配权的目的。因而,在我国的个人数据操作范式的建构中,理应当探索安全便捷且可以提高信息主体个人数据转移参与感与主动权的操作范式。
4. 我国数据携带权法律制度的构筑进路
4.1. 明晰两大主体权益并存的数据携带权客体界限
当需要明确数据携带权的客体界限时,应当加快探究“个人数据”和“企业数据”区别的步伐,从而更快地明了可携带个人数据的具体范围。单个原始个人数据在大多数情形下不具备显而易见的经济价值,对于企业来讲,一般不会对其所控制下的原始数据投入大量的精力,仅仅是为数据主体提供了对应的存储位置,该种个人数据的携带无法出现数据主体与数据控制者之间的利益矛盾,所以,原始数据能够成为数据携带权的客体。谈到原始数据,不得不说到观察数据、衍生数据,观察数据是介于原始数据和衍生数据之间的数据种类,行使数据携带权与数据控制者权益矛盾的核心所在。观察数据代表企业的财产权益,能否被作为可携带的个人数据尚有争议。有学者认为,假使数据主体在建设观察数据,而数据控制者仅供应个人数据存储的服务,在此情况下,这种数据主体没有附加数据控制者的劳动成果或者智力成果,该观察数据能够作为数据可携带的客体。也就是说,数据主体在个人数据生成的整个过程中所作出的贡献比例来决定该数据可否具有携带性。换而言之,假设数据企业对该数据实施了处理行为,那么,该数据极有概率被当作数据企业的智力成果,用户无权携带。这种学说在理论界占据一定的地位,不仅有助于保护数据主体的权益,也尊重数据控制者的财产利益。衍生数据是通过对数据主体提供的原始数据进行加工、提炼、整合等而生成的数据种类,这些经过开发、可以被利用的衍生数据是数据控制者的劳动成果,算作其无形财产。如今最典型的例子就是支付宝,支付宝依据个人的身份特征、信用历史、履约能力、人脉关系、行为偏好等,自动计算出个人在支付宝系统的“芝麻信用”评分,还将这些评分划分为五个等级——极好、优秀、良好、中等、较差 [17] 。支付宝的“芝麻信用”评分便是一个由个人数据转化成的可用数据,阿里巴巴对这些个人用户相关数据的收集、分析、加工必然要投入众多的人力和物力,消耗大量的经济成本和时间成本。这些数据都是阿里巴巴的竞争资源与优势。该衍生数据是企业自身所加工和开发的,才能从中获得经济收益,因此,衍生数据不应当作为数据携带权的客体。
由上述分析得知,数据携带权的客体应当是原始数据、数据控制者提供存储位置而形成的观察数据,衍生数据和数据企业加工处理形成的观察数据不能作为数据携带权的客体。
4.2. 布置领域化的数据携带统一规范准则
数据携带权的实施不但关涉数据主体与数据控制者间的利益平衡问题,而且我国个人数据导入性能在全国领域内依旧没有得到普及,要想在短时间内消除这个缺陷仍然不现实,各个领域之间网络相互操作技术的开发持续存在困难多、成本高的问题,这也造成数据携带权在实务中的运行寸步难行。行使数据可携带权的先决条件是普遍通用的、结构化的且机器可读的技术格式保障,所以,在确定数据携带推进的具体范围后,国家部门应当采取相关措施来推动标准格式的设立,地方政府的参与可以降低数据携带权引发的负面效应,由地方政府作为制定技术准则的牵头人会是一个积极有效的解决办法 [18] 。
数据统一携带规范准则应当涵盖以下关键点:首先,应当在数据企业的隐私规范中增添数据携带权条文,并准确通知用户,保障用户的知情权利,还可以关注数据企业的事实情况来确定数据携带的提出渠道、收费状况、投诉方式等,告知用户在数据传输中以及数据传输后可能发生的险情。其次,结合企业掌握的数据资源,可以设置企业数据分类标记管理制度,同时进行备份,在此前提上需要对经过加工、提炼、处理后的个人数据实施进一步的分类管理活动,并将原始数据、观察数据、衍生数据区别开来,以此来防止数据携带权涉及禁止被数据主体无限制携带的企业数据。再次,应当在数据主体行使数据携带权的过程中建立身份识别程序。获得数据与传输数据都会面临数据泄露的危险,这需要数据控制者想方设法避免这一危险。如果建立身份识别程序,能够保证数据携带中的数据安全性,比如,通过人脸在线识别、验证码验证等方式来验证用户的真实身份。在这个前提上,还能设置“双重验证”功能 [19] 。接着,数据企业可以依据行业内的数据种类,组织个人数据保护影响评估,以防在关联第三人在未经授权且善意的情形下转移他人的数据来获取利益,而被害人却无法保障自己的权益。数据控制者还应当准时将评估结果告知数据主体,并具体说明该数据是否能被携带等问题。最后,在数据传输格式方面上,在符合数据企业“技术可行性”标准的基础上,数据传输必须以普遍通用的、结构化的且机器可读的为准的传输格式。假使数据控制者仅仅响应了用户的请求来转移有关数据,可是转移之后的有关数据在新的系统中不能被读取,这同样不能达成数据携带的目的,所以,转移数据应当以可以反复适用的数据传输格式来实现。
4.3. 设立以个人为核心的数据携带操作范式
以个人为核心的数据携带操作范式并不是允许数据主体完全独立地进行数据转移的操作过程,数据携转离不开数据控制者的配合,可是,其中的互赖性早已降低,导致数据主体行使数据携带权的被动性不断减少。从行使权利式样的角度来分析,数据携带权是为保证数据主体的法律利益不受侵犯而产生的,换而言之,也是为响应数据主体的请求,这对数据主体能够反复适用数据形成了有利影响。虽然数据携带权的行使要求均衡各种权益,但是在数据携带中,数据主体就该数据可以享有的人格权属性远远大于数据控制者对该数据所享有的财产权属性。若以平台而不是个人为核心,由于商业利益的驱动,平台容易会进行垄断,破坏市场原本的常规秩序。
2021年10月22日,深圳市金融区块链发展促进会举办“个人信息可携带权的中国路径”研讨会,联合观韬中茂律师事务所、金融科技·微洞察等机构发布新型的分布式数据传输协议——Distributed Data Transfer Protocol,《分布式数据传输协议白皮书》 [20] 。在该范式下的数据转移前后共有两步操作:第一,用户先将下载完成的数据保存在自己留有的存储位置。在此过程中,为确保个人数据在转移途中不会被别人删改,如果能经过用户的允许,可以援用来监督个人数据的传输与保存。第二,用户还可以对自己下载的个人数据的使用目标、使用界限等进行明确授权,并将该个人数据转移给数据接收方。这其中可以加入指纹识别,保证个人数据的安全性。用户所有使用数据的细节要点以及转移数据的次数都应当记录在案,做到有依可据、有据可查。
5. 结语
以目前的情况来看,我国《个人信息保护法》第45条第3款直接规定了数据携带权,但该权利尚不成熟,在现代科学技术的加持下,构筑数据携带权必然是不可替代的趋势。欧盟率先设建数据携带权,赋予数据主体以数据获得权和数据转移权,可以有效明确对数据权利的界定,减少数据主体与数据企业之间的纠纷,保障个人数据的基本权利。我国可以通过对欧盟数据携带权规定的分析研究,探索适合有关我国数据携带权的规制路径,以此来推动我国数据行业的稳定发展。