汪庆华:数据可携带权的中国化 | 中法评 · 策略
汪庆华
北京师范大学法学院教授
(一)数据可携带权的权利构成
(二)数据可携带权与其他权利的关系
三、范围:数据可携带权的解释四、比较:可携带权的美国模式五、例证:携号转网的中国实践六、效果:数据可携带权与数据竞争七、结语本文原题为《数据可携带权的权利结构、法律效果与中国化》,来源《中国法律评论》2021年第3期策略(第189-201页),原文13000余字,为阅读方便,脚注从略。如需引用,可参阅原文。购刊请戳这里。
本文受“中央高校基本科研业务费专项资金资助”。
数字经济时代,数据正成为越来越重要的基础性和战略性资源。数据作为生产要素被写进中央的政策文件,以发挥数据要素的倍增效应,促进数字经济的发展和社会的数字化转型。数据在三个不同的维度呈现出重要意义:对于个人而言,它是个人的尊严所系;对于平台来说,它是企业的重要资产;对于国家来说,它是发展战略和国家安全的关键领域。
数据属于谁?数据从何而来又向何而去?谁能够访问数据?谁可以控制数据?谁必须将数据与他人分享?谁又必须将数据向主管机关备案?所有这些问题都牵涉一国数据法律体系的建构以及建构该法律体系所依赖的原则。在形成统一数字市场的追求下,在各国数字经济竞争的背景下,如何在数据保护和数据有效利用之间获得恰当的平衡,是数据监管者面临的最直接的挑战。
欧盟通过《通用数据保护条例》(GDPR)建立了以个人信息自决权为中心的数据权利保护体系,形成了以数据主体对个人数据有效控制为目标的保护机制,并确保数据处理的合法、公平和透明。个人信息自决权贯穿于欧盟《通用数据保护条例》的始终。该立法以列举的方式,详尽规定了访问权、删除权、更正权、可携带权等权利。这些具体权利构成以个人信息自决权为核心的权利束。
《通用数据保护条例》作为迄今为止各国数据权利保护领域最为严格的立法,以个人信息权利保护的全面、措施的切实可行以及违规后果的严厉而著称。该法通过以后,业界和学术界一方面对它高扬权利保护的旗帜表示肯定,另一方面也对它监管过严、抑制企业创新表达了忧虑。批评者认为,宽泛的权利保护给企业带来了极大的合规成本,形成挤压效应,导致业务进一步向平台聚合,对中小企业形成了负担和压力,不利于互联网领域的创新和统一的数字市场的形成。
在《通用数据保护条例》所确立的权利束中,数据可携带权具有优化竞争的效果。数据可携带权有利于打破用户锁定效益和强化个人信息控制,防止企业利用数据优势形成垄断,数字市场中的中小企业可以获得成长的机会,促进消费者福利,激发未能预料的创新。能够有效促进竞争是数据可携带权得以确立的重要理由。
数据可携带权是个人信息自决权逻辑上的自然结果,它是个人信息自我控制得以实现的最为重要的权利机制。欧盟第29条工作组在《关于数据可携带权的指引》中就特别指出,“数据可携带的目标是强化个人对数据的控制并确保他们在数据生态系统中扮演关键的角色”。数据可携带权进一步促进了作为欧盟数据保护体系核心目标的个人信息自决权,强化了个人对于个人数据的控制以及对于数据财产性价值的享有,对个人既有权利赋能,也有财产赋予的效果。
权属:数据可携带权之前提
数据可携带权和数据权属问题密切相关,这一权利的理论证成和确立是建立在个人数据财产权保护路径上的延伸和拓展。20世纪70年代以来美国学者就主张在个人数据保护中引入财产权的概念,一方面是重新建立数据主体对个人数据的控制,另一方面是重申自然权利在个人数据领域的应用,在个人和与其具有关联性的数据之间建立内在联系。
这一理论思潮后来在欧美个人数据的立法中产生了广泛的影响。欧盟《通用数据保护条例》序言第68条就明确了个人对数据的所有权关系,数据可携带权的目的就在于“进一步强化数据主体对他的/她的数据的控制”。财产权的权能包括占有、使用、收益和处分,数据可携带权隐含的是和财产权相关的交易、出售、使用和收益的面向,并不包括财产权排他占有的面向。这在个人的数据控制和数据流动利用之间建立了一个动态均衡机制。数据可携带权隐含的自由处分面向强调了数据主体自由处分个人数据,将其放在或者带离某一平台的权利。对数据权利属性的初始界定决定了此后的数据权利救济机制,就此而言,数据权属是数据权利保护的元规则问题。
迄今为止,我国现有法律法规并没有对数据权属问题进行直接的规定。但是,我国的司法机关在数据权属确权方面扮演了相对积极的角色和功能,通过新浪诉脉脉案、淘宝诉美景案等具体案件确立了一些基本的数据收集和利用的规则。法院对个人数据和增值数据进行区分。用户对于个人数据,也称为基础数据,拥有所有权,企业对运营过程中收集的数据的增值部分拥有相应权益。有研究者进一步提出了体系化建构,区分个人信息和数据资产。对于个人信息配置人格权益和财产权益;对于企业则配置数据经营权和数据资产权。
这相当于在企业层面抽离用户信息中具有人身属性的要素,而保留财产属性的要素。有的判决认定企业对数据挖掘、加工而形成的增值数据拥有处分权,有的则径直认定企业对数据产品拥有财产权。可以说,个人信息和增值数据的区分构成了大数据行业发展的基础性规则。用户对于人身属性的个人数据的自主权、控制权和支配权为各国立法和司法裁判所共同承认。
尤其值得指出的是,这一领域实定法的缺位虽然为司法裁判带来了一定困难,但我国法院在数据权属案件的审理中展现出了务实性和前瞻性兼具的司法智慧。司法机关普遍采用了数据竞争的视角去审理此类案件,促进了互联网企业之间的公平竞争,也为我国数字经济的健康发展提供了有力的司法保障。但由于我国属于以制定法为主导的国家,仍然需要从立法上对数据权属问题予以明确。
结构:数据可携带权之内容
欧盟《通用数据保护条例》第20条创设了数据可携带权这一新兴权利。数据可携带权指数据主体以结构化、通用和机器可读(structured, commonly used,machine readable)的形式接受他们提供给数据控制者的个人数据,而且不受阻碍地将这些数据传输给另一个数据控制者。数据可携权指的是个人有意将其数据携带或传输到另一平台从而带来强制性的数据转移。基于法律要求的更大范围的整个数据库的转移则是数据共享。欧盟第29条工作组于2017年4月5日发布了修正版的《关于数据可携带权的指引》,对《通用数据保护条例》第20条进行了进一步的阐述。
(一)数据可携带权的权利构成
数据可携带权包括副本获取权、数据主体将数据传给另一数据控制者的权利以及请求数据控制者直接将数据传输给另一数据控制者的权利。
1.副本获取权(right to obtain a copy)。副本获取权赋予了数据主体从数据控制者处下载个人数据的权利。控制者在提供个人数据时应当用一种结构化、通用和机器可读的方式为之。这一形式要求进一步强化了数据共享和再利用的功能。数据处理者应当提供一个可以供数据主体下载相关数据的自动化工具。
2.数据主体有权将数据传输到第三方。这是该权利被称为携带权的重要原因。实际上,数据可携带权的更有效的实现方式是请求一个控制者将数据传输给另一个控制者。
3.数据主体有权请求将它的数据从一个控制者直接传输到另一控制者。如果数据控制者基于数据主体的同意或基于合同处理数据,而且这种处理是采取自动化的方式时,数据主体就可以行使副本获取权和请求将数据传输给第三方的权利。
数据可携带权第三个面向,即数据主体请求将个人数据从一个控制者传输到另一控制者被限定在技术可行条件下进行。《通用数据保护条例》所要求的结构化、通用和机器可读这三个形式是强制性的。但《通用数据保护条例》本身并没有强制要求控制者之间采用相互兼容的数据处理系统,《通用数据保护条例》对平台互操作性的要求是鼓励性的。这一平台互操作性的目标实际上使该条款得以建立以用户为中心的数字服务体系,以期实现统一的欧盟数字市场。
欧盟第29条工作组建议使用API(应用程序接口)来促成自动化的数据可携带权。API的应用使个人可以通过他们自己或第三方的软件提出关于个人数据的请求,这一自动化的工具有助于数据主体对个人数据的管理以及个人数据的流通。作为数据可携带权成功场景的开放银行的蓬勃发展就是建立在API技术驱动之上的。
正在制定中的我国的个人信息保护法规定了信息主体的查阅权、复制权。这相当于《通用数据保护条例》中的访问权和获取副本权。当信息主体拥有复制权的时候,他当然也有权利将他的信息传输到第三方。查阅权、复制权在文义上都充满了前互联网时代的意涵,信息主体并不会像查阅账簿一样去信息处理者那里去查看自己的个人信息,他也不可能要求企业给他提供和一个关于他的个人信息的复印件,查阅权、复制权的措辞无论从理念、实现的可能性还是成本上来说都是和数字时代脱节的。
从立法完善的角度,应当将查阅、复制个人信息的权利直接明确为访问权和信息获取权。换言之,信息主体可以借助网络随时访问信息处理者处理的其个人信息,信息处理者应当向信息主体提供可携带的、通用的、机器可读的其个人信息的副本。
(二)数据可携带权与其他权利的关系
1.数据可携带权与访问权
访问权是数据可携带权的前提。在《通用数据保护条例》中,第15条规定了访问权,第16条确立了修改权,第17条是删除权,第20条是可携带权。从法律结构安排上可以看出,访问权先在于数据可携带权。为了实现数据可携带权,需要透明的数据环境。在一些法域中,尽管没有明确数据可携带权,往往也有访问权的规定,这可以被看成数据可携带权的雏形。一些研究将数据可携带权看成强化了的访问权。
数据访问权的内容包括数据处理的目的、涉及个人数据的范围、共享数据主体数据的第三方数据控制者、个人数据存储的时间、自动化决策的运用、关于自动化决策的有意义的信息以及自动化决策的后果。访问权同时具有知情权的面向。这在《加州消费者隐私法》中有清晰的体现。根据该法,数据主体有权知晓其被收集的个人信息。消费者有权知晓其个人信息被出售以及共享的情形。
访问权使数据主体得以监测数据处理者在数据保护规则上是否合规,在处理过程中是否符合数据保护的原则要求,数据主体通过访问权很容易就识别出目的限制、数据最小化、准确性等原则是否得到了遵守。
数据可携带权中数据控制者应当提供结构化、通用可读格式的数据,而访问权中,数据控制者并没有这一义务。就访问权实现的可能性而言,我们能够推断出数据控制者所提供的数据应当是符合开放标准、容易读取的数据,从反面言之,如果数据控制者提供的数据并非通用格式的,数据主体行使该访问权失去了实际的意义,设立访问权的目的也就完全落空了。
2.数据可携带权与删除权
按照《通用数据保护条例》第20条第3款的规定,数据可携带权的行使不应违反数据删除权的规定。根据这一措辞,在数据可携权和数据删除权冲突的情形下,数据删除权相对数据可携带权具有优先性。数据可携带权的行使不应对数据删除权的行使构成妨碍。
数据可携带权和数据删除权之间的冲突反映了这两种权利背后不同的价值理念。数据可携带权在个人自主的面向之外,还有市场竞争的考量在内;而数据删除权体现的核心价值是个人隐私保护。尽管数据可携带权和数据删除权都是个人信息自主观念下的产物,从这两种权利的优先排序看,《通用数据保护条例》赋予了个人隐私价值以更大的权重。数据可携带权体现出的是具有积极面向的个人自主;数据删除权则更偏向于个人自主的消极面向。
数据可携带权的行使不代表数据主体同时行使了数据删除权。数据可携带权并不意味着数据主体从数据控制者那里撤回了他的数据。数据可携带权在行使的时候并不意味着数据主体同时要求数据控制者删除他的信息,后者需经由删除权的行使才能实现。数据可携带权和数据删除权均存在着清晰的边界,是两种具有不同的内涵和外延的数据权利,数据处理者对数据主体这两种权利的实现负有同样的保证义务。
3.数据可携带权与其他数据权利
数据主体的可携带权不应对他人的权利和自由构成不利影响。数据可携带权的行使将受到平台其他用户的权利以及知识产权的限制。欧盟第29条工作组考虑到数据可携带权与平台知识产权保护之间的平衡,它建议数据处理者应当以“可能条件下的最佳颗粒度方式提供可用的元数据”,而且这一元数据应当足够再次使用该数据而不致披露商业秘密。
但总体而言,欧盟第29条工作组强调了数据可携带权的优先性,对知识产权保护的考虑不能成为拒绝向数据主体提供所有信息的理由。数据可携带权将该权利的范围限定于数据主体“所提供的”个人信息本身已经是对数据控制者知识产权的让步,尤其是避免将数字服务提供者具有知识产权性质的财产合法、免费地向竞争对手披露。
数据可携带权的目标在经济效果上是要建立数字设备互联互通的用户中心主义的平台。在这一场景中,用户是中心,平台是相互竞争的产品和服务提供商。就此而言,数据可携权部分地打破用户和平台之间的信息不对称,使用户在个人数据问题上具有主动性,充分认识和积极塑造自身的数字人格。数据可携带权是对数字寡头化和数字垄断化的有力回应,使个人在这个生活数字化、监控日常化的世界里基于法律赋权而重新获得主体性地位。
范围:数据可携带权的解释
数据可携带权中的“数据”所指为何具有重要的意义,如果数据的含义过于狭窄,这一权利将被抽空从而对数据主体失去意义,如果数据的含义过于宽泛,这一权利将引发数据控制者的极大关注。数据可携带权被写入《通用数据保护条例》可以说是一种前所未有的创举。在此之前,并没有任何国家或地区在其实定法中规定这一权利。《通用数据保护条例》本身也为这一权利设定了一系列前提和限定。欧盟委员会在该法实施两年效果评估的基础上,在2020年早些时候提出了“数据战略”,考虑进一步扩大数据可携带权的范围。我们在理解数据可携带权的时候,必须要将它放在这样一个具体的历史背景下予以考量。
数据可携带权所涉数据仅指数据主体提供给数据处理者的关于数据主体的个人数据。对什么是数据主体提供给处理者的个人数据的解释将决定数据可携带权范围。最狭义的就是将它解释成数据主体自愿、主动提供的数据;稍宽泛的解释则除了包括数据主体自愿主动提供的数据之外,还包括他们被动提供的数据,即数据控制者通过设备和服务收集的数据;最宽泛的解释则包括数据处理者基于同意和协议而处理的数据。
数据可携带权意指数据的核心仍然是可识别的个人信息。对于其外延,欧盟第29条工作组对该数据进行了一个较为宽泛的解释,它将个人数据定义成“此类个人数据,包括用户行为记录、行踪轨迹、网页浏览历史以及搜索记录等”,这一解释赋予了数据可携带权以实质性的意涵。例而言之,用户评价在数字经济时代是声誉机制的引擎。如果用户评价无法迁移,数据可携带权的功能将受到极大程度的限制。平台上的用户评价中具可识别性的属于个人信息,应当落在数据携带权的范畴之内。就实现用户评价迁移的手段来说,用户个人信息管理服务(Personal Information Management Service)是一种较好的方式。
技术层面上,可以请求的数据和可识别之间建立起了关联,这意味着匿名化的信息被排除在了权利范围之外。匿名化是指通过对个人信息的技术处理,使个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。随着数据量的指数级增加、识别技术的进步,个人信息主体被识别或关联的可能性在增加,数据可携带权的范围在不断扩张。
尽管如此,在当前技术条件下,对数据控制者而言,他们可能更有动力去处理匿名化后的数据集从而避免数据可携带权附加给他们的义务,达到不和其他数据控制者共享数据的目的。除非数据主体基于《通用数据保护条例》第11条第2款提供格外的信息以帮助识别他个人信息,这时数据控制者就恢复了数据可携带权下的义务。
就数据可携带权的范围而言,它限定于数据控制者处理的基于用户同意和用户协议而收集的那部分信息。数据处理者基于合法理由处理的信息并不在此限,这对数据可携带权的范围进行了一定程度的限缩。另外,《通用数据保护条例》第20条第3款还规定了可携带权的一些除外情形。当数据处理是为了公共利益或行使公权力任务而进行的时候,数据主体不得主张可携带权。根据《通用数据保护条例》序言的规定,数据可携带权将适用于云计算、网页服务、物联网、智能手机以及其他的自动化数据处理系统。
数据主体提供的数据和基于数据主体提供的数据而推导出的数据之间的区分是数据可携带权范围的一个重要议题。这一区分在2014年由经济合作与发展组织(OECD)隐私专家圆桌会议最先提出。前者是数据主体自愿和主动提供或者数据控制者监测到的,而后者则是数据控制者基于大数据分析而形成的。数据主体只对他们所提供的数据可以主张可携权。肖莎娜·祖博夫(Shoshana Zuboff)所提出的“第一文本”和“第二文本”的概念具有类似的效果。第一文本指用户提交实际的文字、交易以及其他信息,而第二文本是指平台从用户的第一文本中推导出来的信息,包括个人所属的人口群体的统计学分析,购买特定服务的情形,行为习惯等。
考虑到技术进步的速度,以及数据控制者利用数据挖掘、数据提取和数据加工的方式获得数据主体信息的普遍性和广泛性,对数据主体提供的信息不应狭隘地限定于数据主体主动提供的信息,而应考虑数据控制者收集或监测而得、数据主体被动提供的信息。现有研究过于集中在个人提供的数据,基于知情同意机制构建的权利机制强调的是数据最初的获取和最终处理的结果,而对数据处理过程中的信息权利保障不足。推论数据已经成为数据控制者处理者资产的一部分,这使对推论数据的权利保护变得越发的突出和必要。
对于数据可携带权之范围的解释必须要结合该权利设定的目的来进行。数据可携带权的解释应当要符合数据可携带权设立之目的,为了强化个人对数据的控制。我们应当采取那些有助于实现这一目的的解释方法。
就数据可携带权的实现而言,数据控制者在《通用数据保护条例》下有对数据主体的可携带权行使进行回应的义务,且这种回应必须以明确的方式进行。当数据控制者回应数据主体的请求时,不能够以沉默来应对,即使是拒绝,也应当明确拒绝。
数据携带权可能带来以下三个方面的挑战:包含了他人信息数据主体的数据的如何处理,比如包含朋友的照片或者评论,以及在社交媒体中,个人页面,和朋友的互动,共享的照片,这些都是最具价值的信息;如何确保数据主体将数据从一个数据控制者转移到另一个数据控制者的数据安全,当数据在平台间转移时谁应当对数据安全负责;数据可携带权对于企业投资数据驱动的行业具有反向激励的作用,削弱了个人和企业投资数据驱动的服务和产品的意愿。
对于他人隐私或信息权利与可携带权的关系,在一定程度上也取决于对可携带权范围的划定,可携带权的范围界定相当于初始权利分配,实践中如出现侵权情形,可以结合个案辅以相应的侵权法规制予以解决。数据可携带权即使引发数据安全问题,也是个别化的、个案化的、分散的,和企业数据共享引发的数据库级别的、普遍的、系统的数据安全问题不可同日而语。
问题数据安全首先确保认证安全,确保不是冒名者或者是黑客,其次是在传输的时候要采取加密的技术手段,比如加密的API形式,最后还要确定接受信息的第三方是数据主体同意的第三方,而非其他不适格或非法的接受主体。数据可携带权必定具有正向和反向的双重效应,考虑到它对于后发企业和中小企业的激励作用,以及它对于数据竞争的正向意义、所带来的创新激励以及非意图的互补式创新,就整体市场效应而言,它仍然是有利于市场竞争的。这一正向的外部性在医疗部门、金融部门以及交通部门等部分具体的场景和领域中尤其突出。
比较:可携带权的美国模式
美国相对欧盟在个人信息保护力度上有所欠缺,国会立法采取的是一种分散式立法的进路。对健康信息、金融信息采取分类监管的进路,强调对未成年人个人信息的保护,制定了专门的未成年人网络保护的《儿童在线隐私保护法》,但没有形成统一的个人信息保护法。美国较早通过国会立法的形式确立了个人数据携带权。
1996年8月21日,美国国会通过了《健康保险可携带和责任法》(Health Insurance Portability and Accountability Act)。根据该法,联邦政府医疗和人力服务部颁布了《个人可识别医疗信息隐私标准》,规定了个人对医疗信息的隐私权和控制权。在规制个人医疗信息这一极其敏感信息的使用时,美国医疗和人力服务部特别强调隐私保护和医疗信息流动对提供更高质量的医疗服务以及促进公共福祉之间的平衡。
在联邦体制之下,各州根据自身的特点、政治力量对比以及选民诉求,出现了一些各具特色的立法。2008年伊利诺伊州通过了《生物信息法案》,对个人生物信息进行了特殊的规制,包括书面知情同意、泄露信息严格责任、按信息条数赔偿、设定每条信息赔偿的最低赔偿额等内容,对于个人生物信息的保护提供了有益的借鉴。2018年制定、2020年生效的《加州消费者隐私法》则强调,民众期待对隐私和个人信息的更多控制,加州消费者应当能够就其个人信息行使控制权。对出售个人信息的行为,数据主体拥有退出权。
《加州消费者隐私法》第1798条100(d)项明确规定了数据主体的可携带权。根据该条规定,企业从可验证消费者处收到要求访问个人信息的请求后,应立即采取措施向消费者免费披露和提供本节所要求的个人信息。个人信息的提供可通过信件或电子方式,如果以电子方式提供,信息应以可携带(portable)的,易用的格式(readily usable format)提供,以允许消费者无障碍地将此信息传输给其他主体。
此外,很多州也在跟进立法。马里兰州、马萨诸塞州、新罕布什尔州的立法和《加州消费者隐私法》类似,均将数据可携带权融入访问权之中。当消费者要求访问权的时候,数据控制者应当以一种可携的方式去提供数据。消费者无须单独提出可携权的要求。
在金融服务领域,《多德—弗兰克法》第1033条(Section 1033 of Dodd Frank Act)规定,金融消费者有权访问其金融服务记录,这种记录应当以一种当事人可以利用的电子化方式提供。金融消费者保护局有权发布“标准化的数据格式”行政指南。在医疗服务行业,2020年3月,美国联邦政府健康和人力服务部颁布《平台互操作性规则》,个人可以通过智能手机APP实现可携带权。医疗信息技术服务要求,为该规则所覆盖的实体/企业可以将数据携带至新的医疗服务信息技术提供者。行政法面向上,政府具有开放数据集的义务。州法中,亚利桑那州和其他州的一些法律对汽车交易商提出了数据携带的义务。
可以说,自从《加州消费者隐私法》制定以来,数据可携带权就成为联邦和州关于个人数据权利立法方面关注的重心。欧美在个人信息保护路径方式方法、监管力度手段、大数据和人工智能产业政策促进方面存在很大差异,但它们在保护个人对数据的控制权方面具有一致性。用户对于企业平台上产生的可识别的专属性的个人数据拥有控制权,对于在平台上产生的个人数据有权获得备份,并转移到其他平台。平台对于运营中收集的数据就其增值部分可以主张法律的权益。
我国目前民法典、个人信息保护法草案都将平台界定为数据处理者,而不是数据控制者。尽管就保护义务而言,平台责任相对弱化。作为“硬币”的另一面,也容易对企业主张竞争法乃至财产法意义上的数据财产权构成不利影响。数据控制者显然比数据处理者有更充分的法理依据主张数据权利。从数字经济发展的角度来说,对企业的赋权要在保护产权和鼓励竞争之间维持适当平衡,防止企业滥用用户数量优势和数据优势,形成准入壁垒,从而抑制竞争,损害消费者权益。
例证:携号转网的中国实践
除欧盟、美国之外,印度、日本、新加坡等法域也引入了数据可携带权,它已经成为各国民众普遍享有的一项个人信息权利。我国在具体的立法层面没有明确规定数据可携带权,但在规章和规范层面已经建构了数据可携带权的雏形,在携号转网中形成了数据可携带权的实践。在《个人信息保护法》中我国应当明确个人数据携带权,以建立有实效的个人信息保护制度。
携号转网是数据可携带权的理论和实践先驱,这一问题在世界范围内都具有其普遍意义。携号转网在用户切换运营商、打破网络效应方面的效果对于建立一般性的可携带权具有重要借鉴意义。携号转网是指在同一本地网范围内,蜂窝移动通信用户可以在保留其原有号码的情况下改变基础电信的运营者。手机号码可携带意味着手机号不再属于基础电信的运营者,而和用户有了更为密切的联系。
携号转网作为数据可携带权的具体形式,已在全球八十多个国家实施。美国国会为了促进电信行业的竞争,根据1996年《电信法》,要求所有电信运营商提供号码可携带的服务,并将落实这一法律要求的责任授权给联邦通讯委员会(FTC)。几经一些大的电信公司的诉讼骚扰和延宕,联邦通讯委员会要求各大运营商不迟于2003年11月24日提供携号转网的服务。携号转网是数据可携带的比较重要的也是比较早的一种实践。它最初在美国实施的时候所遭到大公司的抵制,引发的将小企业挤出市场的担忧,和今天数据可携带权面临的批评比较相似。从携号转网落地之后的实践来看,它增加了消费者的福利,打破了锁定效应,促进了行业竞争。携号转网在欧盟同样被看成是数据可携带权的初步实践,欧盟期待数据可携带权的行使有如携号转网一样通畅无阻。
我国携号转网服务从试点到正式落地,前后历经十年,探索出了一套符合我国国情的技术、服务和法律解决方案。502019年11月11日,工信部印发《携号转网服务管理规定》,规定自2019年12月1日起施行。同年11月27日,工信部召开携号转网启动仪式,正式在全国提供携号转网服务。中国移动、中国联通和中国电信三大基础运营商随之发布携号转网服务细则。携号转网包括固定号码携带和移动号码携带两种。携号转网是数据可携带权的具体表现形式,这一举措强化了用户的信息控制权,打破现有电信运营商的优势地位,从而促进市场竞争,优化市场结构。如果无法携号转网,用户将被锁定在某一特定的电信运营商。用户更换运营商,将失去和朋友们的联系。
携号转网之外,2020年3月6日,全国信息安全标准化技术委员会发布《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》),该国家推荐性标准中的第8.6条规定了个人信息主体获取个人基本资料、个人身份信息、个人健康生理信息、个人教育工作信息等个人信息副本的权利。该条同时规定,信息控制者应个人信息主体的请求,在技术可行的前提下将上述信息传输给指定的第三方。《个人信息安全规范》的规定在国家标准层面实质性引入了数据可携带权。数据可携带权就权利结构而言,包括三个方面:获取副本、个人传给第三方、通过数据处理者传给第三方,《个人信息安全规范》个人信息副本权项下涵盖了第一和第三点内容。个人既然有获取副本权,即使没有规定他可以传给第三方,也可以从个人对其信息的处分权中推导而出。
就权利规范而言,这一规定仍然是初步的和尝试性的。首先,国家标准在行业中具有重要的指导意义,是行业实践的重要依据,但就其效力而言,并不属于法的渊源。其次,这一规定在“个人信息主体获取个人信息副本权利”项下,没有直接明确“个人信息可携带权”。在“个人信息主体的权利”目录中,没有明示“个人信息可携带权”。
如前所述,个人信息可携带权涵括了个人信息副本的获取权,但个人信息副本的获取权并不能涵盖个人信息可携带权,建议《个人信息安全规范》在下一次修改中,应当将“个人信息主体获取个人信息副本权利”修改成“个人信息可携带权”,权利名称和权利内容方匹配。最后,就权利范围而言,目前规定过于狭窄,即使不像《通用数据保护条例》中所规定的和个人有关的基于个人同意或提供给数据处理者的进行自动化处理的信息,目前列举出来的四项具体个人信息对于实现该条标准的目的明显不够充分。
效果:数据可携带权与数据竞争
由于数据本身对于人工智能具有重要意义,一些研究认为《通用数据保护条例》中确立的数据权利束会增加合规成本,对人工智能产业的发展形成法律壁垒。但这一权利束中,个人数据可携带权是一个例外,它有利于促进企业竞争、推动科技创新。考虑到人工智能的发展是建立在算法和算力的基础上,数据是算法进化和优化的燃料,个人数据的可携带对于人工智能产业的创新发展具有实质性的意义。在数字经济中,规模效应发挥到了极致,随着用户增加,平台提供服务所增加的成本几乎可以忽略,或者是完全不成比例的。
此外,因为网络效应,相对于现有平台,新进平台服务和产品上的优势甚至不足以说服现有的用户,它需要协调现有用户便利地迁移其数据。所以,现有平台的竞争优势取决于数据可携带权、平台互操作性等因素。数据可携带权便利了数据流通和再利用,数据可携带权具有打破数据锁定的重要效果。2019年,芝加哥大学斯蒂格勒研究中心关于数字平台的研究报告强调,为了保持竞争优势,先入市场者有强大的动机限制或者排除其他平台的接入,以及限制或排除互操作性,从而对数据可携带权的主张持反对意见。毫无疑问,数据可携带权有利于改善竞争环境、消除排他性行为,从而有利于增进消费者福利。
对于大型数字平台的规制是世界范围内的议题。2020年夏天,美国众议院反垄断委员会就平台市场力量举行听证会,美国的五大互联网巨头中的谷歌、苹果、脸书和亚马逊均在该听证会上作证。同时,欧盟对脸书和谷歌提出诉讼,欧盟委员会还准备就如何促进平台影响所及领域的竞争进行专门立法。
在中国,国家市场监督管理总局于2020年11月10日发布了《关于平台经济领域的反垄断指南(征求意见稿)》,就平台经济的定义、必要设施的认定、算法共谋以及数据垄断等进行了具体的规定。该指南在认定垄断协议和滥用市场支配地位时,充分考虑到数据和算法在平台经济中的核心地位。2021年2月7日,国务院反垄断委员会正式发布该指南。此后,国家市场监督管理部门针对头部平台开展了一系列的反垄断执法活动。在反垄断工具箱中,可携带权作为事先规制的手段,有利于促进竞争,打破平台的数字垄断,同时又不像反垄断中的其他具体措施那样带来严重而激烈的产业政策后果。具有市场支配地位的企业未能履行可携带权的义务也可以被看成滥用的标志之一。
欧盟委员会发布的多份平台监管的研究报告都强调数据可携带权对于打破平台支配性地位的重要作用。比如《数字时代的竞争政策》建议对支配性平台制定严格的数据可携带性规则,以方便用户转换。《欧盟委员会关于GDPR实施两周年评估报告》中对数据可携带权进行重点讨论,指出数据可携带权具有明显的促进竞争的潜力,而释放这一潜力是委员会的优先考虑之一。物联网设备日益增多,消费者生产出越来越多的数据,由于锁定效应,消费者将面临承担不正当竞争带来的恶果。
该评估报告明确指出,数据可携带权在健康和保险、获得公共和私人服务,提高制造业生产力、提升产品质量和安全产生了重大效益。开放银行运动的兴起和发展,前提基础就是数据可携带权。《欧盟第二代支付指令》(the Second Payment Services Directive, PSD2)第66、67条赋予用户对账户信息的控制权,在用户请求时,应当向第三方开放用户数据访问权限。这成为了开放银行蓬勃发展的法律保障。
数据可携带权赋予数据主体以数据控制权,从而促进数据流动和使用。但从规制效果来说,还需要考虑它对数据收集者产生的政策后果。有观点指出,这一规制将会对数据收集者产生反向激励的作用。由于数据作为市场要素对互联网企业日益重要的作用,结合数据可携带权实施以来的平台数据收集实践,可以发现数据可携带权没有给数据收集者带来反向激励,也没有对数据收集行为的积极性产生实质影响。从数据可携带权的实践来看,这一权利的实施并没有像这一权利反对者所声称的那样,对数据市场的竞争形成反向激励。
我们可以从一些平台履行合规义务的具体做法上看出,这一权利为数据主体提供了实质性的赋权,使主体能够知晓、下载和携带平台收集的有关数据主体的数据。以及平台如何利用它收集的这些数据为客户设定标签。同时,这一权利还为各主体共同参与的多元治理提供激励,为了满足数据可携带权带来的合规要求,谷歌、脸书、微软、苹果、推特等平台在2018年推出了“个人数据迁移项目”(Data Transfer Project)。通过合作建立开源的数据可携带的平台,提供一个开源框架和生态系统,以实现用户在不同的平台之间的个人数据迁移的顺利无缝隙进行。
结语
2020年3月8日,美国参议员伊丽莎白·沃伦(Elizabeth Warren)提出对谷歌、脸书和亚马逊的拆分计划,将它们定义成“平台性公共企业”,以鼓励竞争。2020年12月9日,美国联邦贸易委员会提出了对脸书的反垄断诉讼,目标是遏制脸书的垄断行为,促进竞争,以推动创新和激发数字市场的活力。在数字经济的时代,无论是出行、支付还是购物,我们的生活已经严重依赖于平台对数据的收集、利用和共享。严格保护个人数据,强化个人对于数据的控制,鼓励企业共享数据,推进政府开放公共数据,成为世界各国数据治理的共同选择。
我国个人信息保护法草案同样以权利束的方式规定了个人的信息权利,规定了信息主体对于个人信息的处理拥有知情权、决定权、查阅复制权、更正补充权和删除权等权利。在个人信息查阅权和复制权中包含着个人数据可携带权。就立法进一步完善来说,可以明确数据处理者响应信息主体请求时,提供的信息应当是可携的机器可读格式的。更为理想的安排是,响应可携带权成为世界各国个人信息保护立法的焦点和重心这一趋势,在个人信息保护法中明确可携带权。
平台作为数据控制者掌握了巨大的信息,依靠数据赋能形成强大的社会权力,并和数据主体之间形成完全不对等的权力关系,并在平台之间形成数据孤岛。对此,数据可携带权则是“一叶扁舟”,部分地让互联网世界回归其互联互通的本质。
《中国法律评论》
基 本 信 息
定价:408.00元
出版:法律出版社
期刊号:CN10-1210/D
出版时间:2021年
册数:全年6册装
点击上图即可购买
2021年《中国法律评论》(全六册)
点击阅读原文,即可购刊包邮~
中国法律评论
我刊由中华人民共和国司法部主管、法律出版社有限公司主办。国家A类学术期刊,中文社科引文索引(CSSCI)来源期刊,人大复印报刊资料重要转载来源期刊。我刊秉持“思想之库府,策略之机枢”之理念,立足于大中华,聚焦中国社会的法治问题,检视法治缺失与冲突,阐释法律思想,弘扬法律精神,凝聚法律智慧,研拟治理策略,为建设法治中国服务,为提升法治效能服务,为繁荣法学服务。
《中国法律评论》唯一投稿邮箱:
chinalawreview@lawpress.com.cn
中法评微信公众号投稿邮箱:
stonetung@qq.com
刊号:CN10-1210/D.
订刊电话:010-83938198
订刊传真:010-83938216