互联网法治 | 个人数据可携带权的权利逻辑与完善建议
点击上方“中国审判”可以订阅哦!
文 | 延边大学法学院 金路伦 李青芮
吉林省龙井市人民法院 俞智广
数字经济背景下,数据作为一种新兴生产要素,在资源配置中发挥了极其重要的作用。随着个人数据收集、存储与转移逐渐常态化,个人数据成为公共管理、社会服务和商业竞争的一项重要资源。但是,问题随之显现。如何在保护数据主体对其个人数据权利的同时实现数据自由流动,并打造个人数据权利保护与数字经济发展共赢局面是全球面临的难题。
目前,欧盟、美国部分州、巴西等地均在制定法层面将个人数据可携带权(以下简称“数据可携带权”)上升为一项个人数据权利。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)中亦有数据可携带权的相关规定。作为数字时代下个人信息保护的回应,数据可携带权在保障用户主体的数据控制权益,以及数据无障碍传输方面意义深远。
数据可携带权不仅关系到个人利益,更是发展数字经济、实现数据要素市场化的重要手段。因此,本文在《个人信息保护法》的视阈下探讨数据可携带权问题,并结合对法律条文的解读及域外经验,从数据可携带权设立目的出发,借助类别化模式分类处理权利客体,厘清数据可携带权的行权边界和方式,为规则的最终落地提供理论支撑,并尝试探索数据可携带权的适用路径。
数据可携带权的基本逻辑
“数据可携带权”这一法律概念最早出现在欧盟立法文件中。2016年7月,欧盟理事会和欧洲议会表决通过了《通用数据保护条例》(以下简称《保护条例》)。这是全球范围内首个提及数据可携带权的法案。该法案第20条对数据可携带权的概念进行了阐述。《保护条例》实施后,其他国家和地区纷纷跟进。美国加利福尼亚州于2018年6月签署了《消费者隐私法案》(以下简称《隐私法案》)。该法案对于数据可携带权的概念界定与《保护条例》类似。《个人信息保护法》首次对“数据可携带权”作出规定,第四十五条明确提出“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。许多学者认为,该法条意味着数据可携带权在我国正式确立。
作为一项新兴法律权利,数据可携带权的权利构造是明确其法律属性、完善行权规则的前提。
具体而言,第一,权利主体方面,从比较法视角看,《保护条例》序言明确规定,《保护条例》的保护适用主体为自然人。《印度个人数据保护法》与《巴西通用数据保护法》将适用主体限定为个人。《澳大利亚竞争和消费者数据权利规则》除了涉及消费者个人外,还将受认可的第三方纳入主体范围。从立法体系上看,《中华人民共和国民法典》(以下简称《民法典》)将个人信息保护置于单独成编的人格权编,《民法典》与《个人信息保护法》两部法律均突出强调个人的重要性。
第二,义务主体方面,《个人信息保护法》将数据可携带权的义务主体规定为“个人信息处理者”,而后在《网络数据安全管理条例(征求意见稿)》中将其界定为“数据处理者”。《保护条例》将义务主体分为数据控制者与数据处理者,前者承担最终责任,而后者仅依其与数据控制者达成的协议承担合同责任。
第三,权利客体方面,在我国法律规定中,数据可携带权的客体应理解为自然人的个人信息,即个人数据,但应当划定数据可携带的范围。《保护条例》把权利客体划定为:权利主体为数据控制者提供数据,涵盖其主动提供的个人数据及数据控制者观测的数据,但不应包括推测数据与衍生数据。
第四,权利内容方面,《保护条例》规定数据可携带权具有以下两项具体权利内容:一是为个人数据获取权,即数据主体可从数据控制者处获取其数据副本,并将数据存储于个人设备中以便再次利用;二是为个人数据转移权,即数据主体有权不受阻碍地将所获数据传输至另一控制者处,或者要求数据控制者直接将其数据副本转移到另一个控制者处。不过,《个人信息保护法》只规定了数据转移权。
数据可携带权的权利依据
从立法目的来看,《个人信息保护法》第一条将“保护个人信息权益”“规范个人信息处理活动”与“促进个人信息合理利用”并列。这种表达体现了在个人信息处理活动中对个人信息主体权益的保护,也体现了对个人信息所承载的多元利益的肯定。可见,在个人信息主体与个人信息处理者权利义务不对等的情况下,数据可携带权用创设性的赋权机制促进个人信息的合理有效流动,本质是对个人信息权益的保护。
从规范结构来看,根据《民法典》规定,个人信息主体对个人信息享有的民事权益是防范因非法处理个人信息使其人格尊严和人格自由遭受侵害的人格权益。《个人信息保护法》第四章沿袭了《民法典》的立法思路,是《民法典》中个人信息主体享有的个人信息权益的具体化表达与延伸。在体系上,数据可携带权与前两款规定的查阅、复制权并列,共同构成个人信息主体的知情权和决定权体系。
个人用户在接受网络服务商提供的服务时,对于网络服务商所提供的隐私条款,大多数用户均表示同意并接受。一般情况下,为了享受网络服务商提供的服务,用户不得不接受这些规则。用户难以决定其个人数据如何被收集、传输、使用,并缺乏对于个人数据的控制。数据可携带权的立法目的是增强对个人数据的控制,通过确立数据可携带权,使得数据获取与传输的权利重新回归于个人本身,从而使得个人可以更为积极、便捷地从数据流动中获得利益。数据可携带权的确立有效地强化了个人对于数据的占有和控制。这使得个人在数字经济中获得人格独立,并成为数据共享和再利用的积极参与者与受益者。
域外经验的有益参考
欧盟立法层面,数据权利的绝对自由趋势正逐渐淡化。2015年以前,欧盟数字市场监管的主要目的是促进数字服务的自由流动,各国政府非必要不干预。但在2015年之后,欧盟开始淡化自由主义信条,不再强调数据权利的绝对自由化,通过引进平台监管、新的规则与监管措施消灭数字服务中存在的威胁,并逐步向温和模式转变。2020年12月,欧盟委员会公布了《数字服务法案》和《数字市场法案》,为所有数字服务市场主体制定了一套新规则,旨在消解平台空间的监管分散化、确保数字市场的公平性和可竞争性。
在美国,数据保护倾向产业利益。美国于2018年通过的《隐私法案》正式引入数据可携带权,规定了消费者的访问权和可携带权。该法案既规定消费者对企业收集和管理其个人信息享有数据控制权,也对企业收集、处理数据的方式划定了权限清单和目的红线。该法案适用于在加利福尼亚直接或间接收集该州消费者个人信息的企业,且这些企业需要有收集和处理个人信息的目的和权限,同时还要符合特定标准。美国数据治理以行业自律为主要手段,辅以政府监管,从而不断协调个人数据保护与数据产业发展的冲突。
印度则严格限制数据可携带权的适用范围。数据可携带权的行使可能会与隐私权、删除权、商业秘密保护等权利发生冲突。如果涉及公共利益,数据可携带权也无法适用。较之于《保护条例》,印度2019年颁布的《个人数据保护法》第19条对数据可携带权的限制性条款作出更全面的限定,即不适用于行政机关基于公共利益对于个人数据处理,以及国家议会、州议会法律的明确授权或司法裁判。这些域外经验对中国数据可携带权的完善路径提供了借鉴。
数据可携带权的法理困境
近年来,关于数据可携带权法律属性的探讨从未停止。目前较有代表性的两种观点分别为人格权说与财产权说。
有观点认为,数据可携带权属于人格权。《民法典》总则部分规定了民事主体享有的一系列民事权利,在生命权、身体权与健康权等具体人格权后规定了个人信息保护条款。但是,如果将数据可携带权简单界定为人格权,则会面临以下两个疑虑:其一,就人格权的特征而言,人格权不得放弃、转让或者继承,但数据可携带权可独立存在。其二,以人格权作为进路进行分析,会造成权利边界的不确定性。所以单独以人格权来为数据可携带权定性不是合适的路径。另有观点认为,数据可携带权属于财产权。目前,在部分国家的立法中赋予了个人数据财产权的属性。学界对数据可携带权财产权属性的主张也是以“个人数据是财产”这一命题为逻辑起点,将数据可携带权视为数据主体的财产权。笔者认为,这一观点仍然值得商榷。财产权的客体应当具有价值性、稀缺性和排他性。数据的价值源于大量数据的集合。一项具体的个人数据通常不具备财产的稀缺性,且个人数据具有非独占性。由于数据的复制与传输成本较低,个人数据可能同时被多方主体控制或使用,事实占有个人数据的主体不一定是数据的唯一控制者。
从世界范围看,各国对于数据可携带权客体范围的规定均存在差异,且较为模糊。我国学界对于数据可携带权客体范围是否仅限于“个人数据”,以及是否所有个人数据均属于数据可携带权适用范围等问题依然存在争议。具体而言,首先,因为数据彼此之间具有高度关联性,若严格按照《民法典》的可识别标准将个人数据与非个人数据分离,这并非易事。其次,数据控制者的服务器中存储着不同来源、不同类型的个人数据。而这些数据既包含平台基于用户授权或基于履行合同而直接收集的数据,也包含对原始个人数据进行分析、加工处理后产生的衍生数据。最后,网络中的大部分个人数据均形成于人与人之间的交互过程,这些社交数据具有天然的涉他属性,此类数据是否纳入及如何纳入数据可携带权的适用范围仍存有争议。
目前,我国现行法律中的数据可携带权规范较为框架,并未明确数据可携带权行使的条件与法律基础,缺乏可操作性。同时,从网络服务提供商的隐私政策中也难以窥见数据可携带权的相关内容。笔者认为,其根源在于理论研究的局限性与法律规范的框架性。
数据可携带权的完善进路
明确数据可携带权的法律属性是规范其规则的前提条件。笔者认为,数据可携带权兼具人格权与财产权属性。首先,数据可携带权从信息自决权理论演变而来,是一种特殊的人格权益。其上位权利是个人信息保护权,宗旨是维护人格尊严、保护个人隐私,必然具有强烈的人格权属性。其次,个人数据承载着用户的个人特征,个人数据可为其生产经营活动提供指引,促进市场竞争。最后,数据主体行使权利时,将个人数据在平台间进行传输,实现了个人数据的自由流通,为数据控制者带来一定经济效益。虽然数据可携带权的确与所有权人基于自由意志转移物权的过程类似,但其只是个人数据在有可能实现其财富转化过程中的一种特殊支配权,并不意味着数据主体对个人数据的所有权。
笔者认为,数据可携带权的权利结构主要包括以下四个方面:第一,权利主体方面,数据可携带权的权利主体应为个人数据所标识或关联的自然人,即数据主体。法人与其他组织不应成为数据可携带权的权利主体。虽然对法人的独立人格予以法律保护是必要的,但是,法人人格概念与自然人人格概念并不完全相同。同时,与法人、非法人组织相比,自然人对于数据的处理能力一般处于弱势地位。企业、政府可以利用技术优势、人力资源等实现对数据的掌控,而自然人对其自身信息的知情权也因信息不对称而无法得到较好实现。因此,仅给予自然人以数据可携带权是权利本土化的一种缓和路径。
第二,义务主体方面,在经济学上,控制权即决策权。遵循这一认知,数据控制者关键要享有决定数据为何处理、由谁处理、如何处理等重大问题的决策权。在我国,数据处理者更多地享有决定其所收集的个人数据的处理和利用的权利,并对数据主体权利的行使及非法数据处理造成的损害承担责任。因此,对于数据可携带权的义务主体的界定,主要以其是否对数据的处理与利用有重要决策作用来区分。
第三,权利客体方面,对数据可携带权的客体范围进行界定本质上是一种初始权利分配,对其判断应当兼顾各方合法权益进行弹性处理。具体而言,一是“可携带”的须为本人的“个人信息”,如个人资料、好友关系等。如此便将他人信息及无关信息排除在可携带权的范围之外;二是“可携带”的须为“已识别或可识别”的个人信息,经过去标识化却仍未达到匿名化处理标准的个人信息,才能落入“可携带”范围;三是将“匿名信息”排除在“个人信息”范畴之外,不具有识别要素的用户评论、用户评价等匿名信息也不属于数据可携带权的客体范围。
第四,适用条件方面,当数据主体出于个人之外的目的请求转移具有涉他属性的个人数据时,数据处理者有权拒绝转移个人数据。《个人信息保护法》第六条明确将目的性原则作为个人信息处理的基本原则,要求个人信息处理活动必须具有明确的目的,全部个人信息处理活动都应当围绕该目的展开,当数据主体请求转移的个人数据为与国家安全、公共安全密切相关的数据时,数据处理者有权拒绝提供数据转移途径。
笔者认为,还应该完善数据可携带权的救济途径。如规定数据主体可以向数据保护监管投诉或直接提交给诉讼法院,如果对数据管理机构的意见不满意,也可以对数据监管机构提起诉讼;惩罚措施会在数据控制者没有履行其义务的情况下予以施加,如警告和行政罚款。违法行为的性质、严重程度和持续时间等因素决定了应适用的具体惩罚种类。此外,我国可以从国家、行业和企业三个层面建立数据保护监管体系。
本期封面及目录
<< 滑动查看下一张图片 >>
《中国审判》杂志2023年第17期
中国审判新闻半月刊·总第327期
(关注“中国审判”微信号,获取更多精彩资讯)
编辑/徐畅