【数据法学】谢琳 曾俊森:数据可携权之审视
B D A I L C
欢 迎 关 注
数据可携权是欧盟个人数据保护权利体系中首次创设的新权利,具有打破用户锁定效应和增强个人数据控制的重要意义。但在理论层面上,数据可携权并非是基于反垄断理念和信息自决权所必需引入的,且存在加重中小企业负担和权利范围不清的问题。在实践层面上,数据可携权赖以执行的“结构化、通用、机器可读的格式”尚未形成统一可行的数据传输框架,且还存在第三方权利冲突和潜在的安全问题。我国虽已有数据可携权规定的雏形,但在经过充分的产业情况调研以及实践检验之前,我国暂不适宜引入数据可携权。
Théo van Rysselberghe
数据可携权之审视
文 / 中山大学法学院副教授 谢琳
中山大学法学院助教 曾俊森
数据可携权(The Right to Data Portability)是欧盟2016年广为影响的《通用数据保护条例》(以下简称GDPR)首次创设的新权利,居于欧盟个人数据权利保护体系的重要位置。数据可携权的引入是为了打破数据控制者对用户数据的封锁效应,促进互联网市场的自由竞争,同时加强大数据时代数据主体对个人数据的控制权。
数据可携权的创设引起国际上的广泛关注。例如日本2017年6月发布的《数据与竞争政策调研组报告》对数据可携权进行了着重研究,认为其具有一定的适用意义。[1]我国部分全国人大代表2017年提交的《关于制定<中华人民共和国个人信息保护法>的议案》的附件——《中华人民共和国个人信息保护法(草案) 》当中也出现了信息可携权的规定。[2]而在2017年12月29日我国全国信息安全标准化技术委员会颁布的国家推荐性标准《信息安全技术 个人信息安全规范》当中的第7.9条规定了个人信息主体获取个人信息副本的权利,可视为引入欧盟数据可携权的雏形。[3]
然而作为一种新兴的权利,数据可携权的适用意义和可操作性也颇受质疑,存在违背反垄断法规范理念、权利范围不清、提供副本的标准模糊等问题,贸然引入数据可携权可能会影响我国信息产业的健康发展。正如我国学者所指出,如何建构中国模式的数据可携权是对我国专家的一次挑战,[4]在未来的立法与实践当中,我国应当对数据可携权进行重构或者舍弃。[5]本文将对数据可携权进行审视,探讨数据可携权引入我国的可行性。
一、数据可携权的主要内容
数据可携权指的是,数据主体有权利向数据控制者请求以“结构化、通用、机器可读取的格式”获取自己的个人数据,并在技术可行条件下有权要求数据控制者向另外一个数据控制者实现个人数据的直接传输。设立可携权的GDPR第二十条主要规定了以下内容:(一)数据获取权;(二)数据传输权;(三)数据可携权适用的范围;(四)数据可携权与删除权的关系。[6]
(一)数据获取权
数据获取权赋予了数据主体从数据控制者处以“结构化、通用、机器可读取的格式”获取自己提供的个人数据的权利。这使得数据获取权有异于在GDPR第十五条中所规定的“数据访问权”。数据获取权更强调以一种可传输的电子化格式进行数据获取,而数据访问权对获取数据的格式要求相对较宽泛,难以实现数据的再利用。由此看来,数据可携权是对数据访问权的一种深化,[7]以便于数据主体加强对自己的个人数据的控制,促进个人数据的进一步流转与利用。
(二)数据传输权
数据传输权是数据可携权的核心,GDPR第二十条不仅赋予数据主体获取并自由传输个人数据的权利,同时还赋予了数据主体要求数据控制者在“技术可行条件下”直接传输数据的权利。在数据主体要求传输数据时,数据控制者不能设置任何的障碍。然而,实现“技术可行条件”主要取决于数据控制者。为解决数据直接传输问题,在GDPR绪言68中,欧盟鼓励数据控制者之间建立互通式的传输格式来确保数据可携性的实现,同时不要求数据控制者之间履行建立数据兼容系统的义务。在这种语义下,数据传输权被赋予了打破“锁定效应”(lock-in)与促进互联网创新发展的使命。[8]
(三)数据可携权的适用范围
数据可携权允许数据主体行使数据获取权或者是数据传输权并不代表着个人数据可以随意流转,数据可携权适用有着一定的范围与限制。数据的来源范围应为由数据主体提供的与数据主体相关的个人数据。适用的数据类型仅限于:(a)基于数据主体同意而处理的数据;(b)基于合同处理的数据。且上述数据必须是由系统自动处理的数据。
数据可携权的排除范围为:(a)因公共利益而处理的数据;(b)政府授权数据控制者处理的数据;(c)可能对他人权利与自由造成不良影响的数据。数据控制者对原始数据进行分析所取得的“分析推定数据”(inferred data)及“派生数据”(derived data)也不适用于数据可携权。
(四)数据可携权与删除权的关系
数据可携权规定中的第三款规定数据可携权的行使不得影响数据主体对第17条规定的删除权的行使。即数据可携权的行使不代表数据主体放弃了数据删除权。删除权赋予数据主体要求删除数据和禁止数据流转的权利,而数据可携权则更注重促进数据的自由流转,数据可携权与删除权在内涵上具有较大的区别。而第二十条的规定旨在将删除权与数据可携权进行区分,明晰数据可携权与删除权的边界,避免数据控制者以“数据主体数据可携权的行使”而拒绝数据主体行使删除权的请求。
二、数据产业的竞争政策之审视
欧盟创设数据可携权有其自身的产业发展考量,通过实现数据的自由流动来促进数据市场的自由竞争,最终实现数据产业的发展。但数据可携权也存在着与反垄断理念相冲突,加重中小企业负担的问题。
(一)数据产业发展的考量
1. 欧盟的战略实施与经济利益的考量
数据可携权的创设首先是欧盟推进“单一市场”战略(Digital Single Market Strategy)的需要。欧盟在其2015年《竞争政策报告》中提到,将数字化单一市场变为现实始终是委员会的首要任务。[9]欧盟是世界上一体化程度最高的国际区域性组织,在实现货币一体化、经济一体化等后,欧盟看到了欧洲互联网市场统一发展的需要。但由于成员国之间仅有少数企业提供跨境的网络服务和商品运输服务,很大程度上限制了欧盟互联网经济一体化。2017年欧盟对“单一市场”战略的中期效果检验报告中提及到“单一市场”战略实施的三大核心:第一,为消费者和商业获取欧洲互联网的数字商品以及服务创造更好的条件;第二,为数字网络和创新服务的发展创造适宜的条件和公平的竞争环境;第三,数字经济的发展潜力最大化。[10]这三大核心的共同目标就是促进欧盟数字经济往一体化的趋势蓬勃发展。其中战略核心第一点明确提到了电子商务的进一步发展、打破地缘限制和实现反垄断的良性竞争的重要性,这些都体现了实现数据可携权的必要性。在2016年《数据可携权指南》(Guideline on the right to data portability)(以下简称《指南》)中,[11]欧盟数据保护工作委员会(WP 29)解释道,“在数据可携权出现之前,其他类型的可携性规定已经出现”,其中就包括“单一市场战略”中关于实施通信漫游和跨境服务访问中相关的可携性措施规定,数据可携权对以前出现的可携性措施进行统一规定将发挥更大的效益。可以看得出,数据可携权的设置对于实现欧盟“单一市场”战略有至关重要的核心作用,有利于进一步提高互联网时代下互联网市场的一体化程度。
其次是欧盟发展数据产业的需求。在欧洲力求实现一体化的趋势下,以谷歌、微软、Facebook为代表的美国互联网企业在欧洲地区的发展已经如日中天,占据了大量的市场份额,严重阻碍了欧盟地区互联网企业的发展。2016年通过的GDPR虽然开宗明义其目的是为了保护欧盟公民对个人信息的权利,但实际上是想通过统一立法的方式促进整个互联网经济的发展,其主要方式有两种:(1)促进更多消费者选择欧盟内部的互联网企业。通过赋予消费者相当的权利以及规范数据控制者与数据处理者对数据的储存、处理和使用,提高企业数据处理透明度来提高消费者对在线服务和电子商务的信任度,[12]从而促使更多的消费者选择欧盟的互联网企业。(2)对国际发展较快、地位较为稳固的互联网企业进行一定的限制和数据使用防范。通过赋予消费者相当的权利的同时也加重了互联网企业的义务,GDPR中规定了当企业收集处理欧盟公民的数据时就要受到GDPR的规制,增设了如 “被遗忘权”、“数据可携权”等权利,[13]实际上是对国际上发展超前的获取了大量数据的大型互联网企业进行一定的限制,从而发展欧盟内部的企业。
2. 促进自由竞争和打破锁定效应的考量
数据可携权在促进自由竞争上有着重要的作用。[14]2017年1月,欧盟委员会在《进入数据经济——欧盟促进数据生态系统发展政策》中提到了数据可携权对于维护良好竞争机制的作用。欧盟委员会认为,“可携性能够促进竞争”,想要形成良好的竞争机制促进市场发展,就要“保证用户能在服务商之间轻松地转移数据”。数据服务日益激烈的竞争能够将利益带给数据生成者和数据用户,从而有效解决价值链中价值公平分配问题。[15]在欧盟看来,数据可携权更像是一种促进市场自由竞争并实现利益最大化的工具。
大数据时代下,数据成为企业核心竞争力的重要基础。个人数据成为企业之间相互争夺的资源与财富。[16]在形成竞争关系的互联网企业中,有的企业较早进入市场,积累了大量用户,用户对其产生了依赖。对于具有同种意义的服务或科学产品,用户对先进入市场的企业已经熟悉了解,而对于后发企业提供的产品与服务,用户转换服务则需要耗费巨大的转换成本,因此较晚进入市场的一方很难再积累到用户,从而慢慢退出市场,形成了互联网时代下对用户的“锁定效应”。[17]根据“锁定效应”理论,先进入市场的积累了大量用户的企业(先发优势企业)对数据具有绝对性的先占优势,在占有大量数据的同时,先发优势企业为了保护自身已形成的优势地位,会采取各种方式提高行业准入的门槛,最典型的方式就是将数据进行封锁,提高用户转换服务商的成本。[18]而如果行业内已经同时存在同等竞争优势的企业,即寡头垄断企业,寡头垄断企业之间为了共同对抗其他进入市场的后发竞争企业会进行数据共享,从而形成“共同支配地位”。[19]除此以外,为了对抗其他寡头垄断企业,部分寡头垄断企业之间也极有可能进行数据共享和封锁,导致恶性竞争的出现。这种不当封锁行为不仅会加大互联网企业获取数据的成本,产生不必要的纠纷,更会影响互联网企业整体的发展,最终对消费者产生不利影响。[20]
而数据可携权的出现就是为了更好地解决这个问题。欧盟在推行数据可携权时曾经提到,这一权利更有助于初创企业和小型企业进入已经被 “IT 巨头公司”控制的数据市场,同时能够通过“隐私保障措施”来吸引更多的消费者。[21]而数据可携权最初的理念就是为了提高用户对个人信息的控制,形成自由竞争并确保数据主体在数据的生态系统中扮演重要角色。[22]数据可携权将数据获取与传输的权利回归于数据主体本身,加强用户对数据控制权利的同时进一步降低数据主体转换新服务商的成本,这将有利于促进互联网企业之间形成良性竞争。先占优势企业和后发企业为了获取和争夺个人数据,往往会通过技术创新、模式创新、完善服务、增强隐私保护措施来吸引用户,形成良性竞争,最终激发数据产业的活力。这对于消费者和互联网企业都将产生有利影响。一方面数据可移植性使消费者能够利用第三方提供的增值服务,并让他们“分享由大数据创造的财富”,另一方面在数据的流转和转换当中,数据可携权增强了数据的自我修复校准功能,减少了企业在决策时因数据瑕疵的问题所产生的风险。[23]
数据可携权的创设在先占优势企业与后发企业之间另辟蹊径,通过把个人数据控制权利回归于数据主体本身,促进数据的自由流动,引导企业之间竞争关系的形成,有助于打破垄断结构和“锁定效应”,最终推动数据产业的整体发展。
(二)竞争政策上的缺陷分析
1.与反垄断法理念相冲突
尽管数据可携权在理念上有着促进自由竞争,打破用户锁定效应的优势,然而数据可携权实际的规定却与反垄断法的核心理念产生了冲突。反垄断法对垄断企业显著特征的定义是“明显的市场支配性”,典型的表现为极高的市场占有率,[24]即企业只有对市场具有支配地位时,才受到相关反垄断法的制约。然而数据可携权的适用对象既包括市场上占有额极大的企业,也包括初创企业和中小规模企业等不同规模的企业。数据可携权的适用对象范围远远大于欧洲反垄断法所规定的范围。正如彼得·斯怀尔(Peter Swire) 教授和伊安尼·拉各斯(Yianni Lagos)研究员所指出的,相比于经过充分考虑和实践的反垄断法来说,数据可携权未充分考虑到实践中数据可携权的双向性缺陷,即数据传输的请求既可以向垄断企业提出,也可以向非垄断企业提出,致使没有市场主导地位、市场占有份额小的普通企业也成为了反垄断的对象。数据可携权与反垄断法的内在理念的冲突,极有可能会导致数据可携权产生反效果,导致数据可携权带来竞争意义上的效率无法抵消反垄断意义上所带来的危害,使得非垄断企业的创新动力与积极性受到限制。究其本质,欧盟设立数据可携权更多的是从数据产业发展的角度出发,而反垄断法则相反,反垄断法通过规制具有市场主导力量的垄断企业以形成竞争。[25]从数据产业发展的角度来看,这的确有利于数据的自由流动,打破“锁定效应”,促进数据产业发展。但是从反垄断法的角度来看,这将会限制了非垄断企业的发展创新动力,最终受损的将会是消费者,即数据主体本身。
针对与反垄断法理念相冲突的问题,日本《数据与竞争政策调研组报告》指出,在评估某商业行为时,即便其没有明显违反日本反垄断法,相关部门也有可能采取一些政策措施来促进竞争,其中锁定效应的出现值得关注,比如对于社交网站而言,消费者如果发布了大量的“日志”等信息,则再转向其他企业的社交平台就存在不便。在这种情况下,如果数据可迁移,锁定效应就会得到一定的缓解。[26]打破锁定效应仍具有一定的适用意义。
2. 加重中小企业负担
GDPR在第二十条中规定数据控制者在回应数据主体数据可携权要求时,应当采用“结构化、通用、机器可读取的格式”,并在“技术可行条件下”进行数据的直接传输。在绪言68中,欧盟强调这样的规定是为了形成不同数据控制者之间的互通性(interoperable),而非加重数据控者义务以建立兼容性的系统(compatible system),[27]最终以方便快捷的方式进行数据的重复利用。实际上,欧盟并未形成统一、通用、结构化的数据传输格式,数据控制者之间将难以实现直接的数据互通。这样的规定似乎是将某些学者所阐述的发展“进出口系统”(Export-Import Module,[28]一种能够实现数据控制者之间输出数据的软件)的义务加负于数据控制者。[29]而且“技术可行条件”的规定意味着原始数据控制方需要检查潜在的数据接收方是否符合“技术可行下的条件”,加重了原始数据控制者的注意义务,[30]增加了用户实现数据可携权的时间成本与企业运作的交易成本。
由于GDPR对数据传输格式和“技术可行条件”的模糊规定,数据可携权不仅不能实现冲击垄断结构以促进市场自由竞争的立法目的,对于通常使用非结构化和非通用数据副本格式的初创企业和中小规模企业来说,这反而会加重其法律义务,增加其在商业运作上的成本。除此以外,斯怀尔教授和拉各斯研究员认为,中小企业并不具有与大型公司相当的资源,包括软件编程人员以及相关的律师团队,[31]如果欧盟以同等标准要求中小企业进行“进出口系统”的构建与适用,中小企业将会被加以沉重的负担,最终反而限制了中小企业的发展,违背了数据可携权设立时促进市场自由竞争的理念。由此可见,数据可携权的实现还需要通过一个可行、低成本的方式减轻中小企业的负担,避免数据可携权与反垄断法理念相冲突所引起的反效果,但目前并未形成可行的行业实践。
欧盟制定数据可携权有其自身的产业发展考量。在欧洲掌握着大量数据的互联网企业主要是美国的企业,数据可携权能够对国际发展较快、地位较为稳固的互联网企业进行一定的限制。与此同时,数据可携权在竞争政策上存在较大的缺陷,数据可携权的实施效果仍有待实践的充分检验。我国互联网发展状况与欧洲区别较大。若引入数据可携权,应先对我国数据产业发展的现状进行充分的调研,分析我国产业的发展水平及数据可携权有可能产生的负面影响,特别是对中小企业的负面影响。否则,数据可携权的引入在我国极有可能出现“水土不服”的情况,不利于我国数据产业的健康发展。
三、数据主体的权利基础之审视
数据主体权利的实现主要以“基本人权”为基础,通过GDPR的规定,数据可携权被纳入了基本人权体系,与欧盟加强个人数据控制与保护的目的相契合。然而欧盟未经充分考虑就将数据可携权列入“基本人权”的举动引发了较大的争议。
(一)数据可携权的权利基础
数据可携权是信息自决权的体现。GDPR延续了1995年《欧盟数据保护指令》(Data Protection Directive)的权利基础对数据进行保护。GDPR开宗明义地提及到其对于个人数据的保护是源于对基本人权(特别是隐私权)的保护。“基本人权”的保护基础可以追溯到德国的“人口普查法案”判决中,德国联邦宪法法院通过对《德国基本法》关于人格自由的解释,以判例的形式确认了公民享有的“信息自决权” ,[32]即个人主体具有控制、发布、适用个人数据的权利。[33]“信息自决权”类似于学者艾伦·威斯汀(Alan Westin)对隐私的定义——“个人、团体或者组织机构有权确定自己何时,如何以及向他人传达什么信息。”[34]以数据可携权内容观之,其体现了公民对自身个人数据的控制、决定、使用,与“信息自决权”相吻合。正如普道瓦(Purtova)副教授所言,数据的可携性已经与信息自决相连接,被视为是对信息自决概念的一种逻辑延伸。[35]欧盟委员会副主席、欧盟司法专员维维亚娜·雷丁(Viviane Reding)也指出,“数据可携权使公民能够决定他们的数据会发生什么,并赋予他们相对于企业的实际权利。让他们真正控制自己的个人信息。这种方法整合了在线环境的发展,而不会侵犯法规的技术中立性。”[36]因此数据可携权与数据访问权、删除权(被遗忘权)、纠正权、限制处理权、反对权共同归入了基于“基本人权”的个人数据权利保护体系。
数据可携权是强化数字人格保护的体现。学者加芙列拉·赞菲耶(Gabriela Zanfirye)指出,人格电子化趋势正随着互联网的深入发展而不断凸显。[37]网络中心主机通过交互式数据处理,将个人电脑或者个人网络进行连接,每个个体都形成了一个网络上的虚拟人格,生活在网络世界中,进行联系沟通、娱乐、购物等。[38]互联网的去中心化发展,使得大量的数据不仅仅满足于储存于个人的电脑中,数据更多趋向于交互式的传输与融合。在这种趋势下,个人数据通过结合形成一种个人的互联网电子人格。从这个角度来看,数据控制者禁止数据主体对个人数据进行传输将违反基本人权。新经济时代下,信息技术和互联网在未来几十年内很可能会发生革命性变革,并对个人发展产生明显的影响,数字人格的概念在法律上也应当得到相应发展。[39]赞菲耶学者认为这可以从皮克尔(Picker)教授所列举的易趣网(eBay)商誉示例中看出,易趣网上长期苦心经营的商家有着极佳的评价,但如果她换新的平台,她长期积累的商誉将会被重新刷新,自然会减少买家与之交易的可能性,而数据可携性则可以很好地解决这样的问题。[40]在互联网时代下,基于大数据的分析,每个人都成为了“透明人”。通过个人数据的整合,每个独立的数据主体都将被准确识别,人格电子化已悄然无息地来临。而数据可携权成为了推动人格电子化的重要权利,一方面数据可携权能够加强数据主体对个人数据的控制与利用,[41]另一方面数据可携权能够在人格电子化的趋势下,保证数据主体自由行使“信息自决权”而不受任何人的阻碍。数据可携权的实施将进一步地促进数据主体对个人数据价值的重视,促进个人数据保护的发展。
(二)权利基础的反思
“基本人权”作为数据可携权的权利基础,赋予了数据可携权的人格权属性,有利于数据主体实现对个人数据的人格权利。然而数据可携权在“基本人权”的权利基础上存在一定的困境。
首先,将“数据可携权”直接归入“基本人权”的程序合法性存在着一定的争议。在欧盟,GDPR第二十条的设立根据标准立法程序而不是通过宪法性程序进行起草,甚至其大部分的重要细节都委托给委员会。[42]从合法性角度来看,有学者认为,数据可携权纳入“基本人权”中应当建立在严格的宪法性程序上,但是数据可携权的规定并没有宪法性程序的授权就直接被划入了“基本人权”的保护体系,这使得数据可携权的合法性遭受到质疑,不能因其涉及到基本人权就不加考虑地将其纳入“基本人权”范围内,因为“基本人权”的合法性来源应当是宪法而不是这种一般的立法程序。[43]
其次,数据主体行使数据可携权是否意味着数据控制者就必须提供协助的义务?基于“信息自决权”的内涵,数据主体拥有自主决定信息如何利用的权利,但并无以此要求数据控制者承担协助传输义务。[44]数据可携权的考虑更多基于数据主体权利的保障与产业的发展,却忽视了为数据控制者所加负的义务,在一定程度上牺牲了数据控制者的利益,[45]长此以往,欧盟期望数据可携权带来数据产业发展的美好憧憬不一定能够如愿实现。
(三)数据可携权适用范围的审视
GDPR规定的传输数据的范围主要包含两种类型的数据,基于用户同意或者合同履行[46]所收集的数据。这两种类型的数据都必须经过自动化处理。数据可携权范围的规定仍存在不少尚未解决的问题。
首先数据可携权的范围仅仅包括基于数据主体同意和履行合同所收集的数据,而并无规定当出现第六条(c)项规定的基于履行数据控制者所遵循的法律义务所收集的数据和(e)项规定的基于执行公共利益或数据控制者既定的公务职权所收集的数据的情况。例如,基于当前的规定,当金融机构因履行反洗钱和侦察经济犯罪义务而主动获取数据主体的数据时,数据主体不能请求获取传输这部分的数据。但是在《指南》中,欧盟数据保护工作委员会却认为在一定程度上允许数据主体获取并传输这部分的数据,将会在探索自动回应可携权请求上形成一个良好实践检验,例如,通过数据可携权为数据主体提供方便,可查询政府服务当中自己曾经的个人所得税申报。[47]通过GDPR中对数据可携权的规定与《指南》对比,我们会发现,对于数据可携权是否应当适用于非基于同意与合同情况下所收集的数据问题,欧盟出现了前后矛盾的说法,反映了欧盟对于数据可携权的实践仍持一种试探性的态度。数据可携权适用范围的合理性仍有待实践的进一步检验。
其次,数据可携权仅适用于自动化处理的数据,这意味着数据可携权不得不排除所有人工的干预的数据。斯库迪耶罗隐私顾问提出这样一个问题,如果数据最初收集时经过自动化处理,但后来通过人工对数据进行处理是否就不适用于数据可携权呢?[48]再如收集的是纸质版的材料,但是人工输入到电脑中,能不能适用可携权?GDPR以及相关的文件并未对此作出回应,需要欧盟相关的法律文件或者实践中的司法判例作出进一步的解释。
最后,GDPR对于数据来源的规定还存在数据来源歧视问题。[49]举例而言,GDPR要求数据来源必须是由数据主体提供的,因此当雇主收集了雇员的保险信息交与保险公司时,雇员是无法从保险公司处获得关于自己的个人信息。[50]学者伊娃·菲亚洛娃(Eva Fialova)指出,这违背了“公平原则”形成数据来源上的歧视。[51]
因此,数据可携权在“基本人权”体系当中仍处于一种不确定的状态,[52]在来源合法性、平衡数据主体与数据控制者利益、适用范围的问题上,欧盟尚未有明确的解决措施与解释。只有在明确其权利基础与权利范围后,数据可携权的引入才能更好地适应我国的法律体系。
四、数据可携权的可操作性之审视
GDPR仅仅对“数据可携权”进行简短的规定,甚至连欧盟数据保护工作委员会也在《指南》中表示:“与其说是促进个人数据自由流转的工具,‘数据可携权’的规定更像是一种原则。”[53]这也为数据可携权的可行性埋下了法律规定上的隐患。
(一)技术上的可操作性
在传输格式的问题上,数据控制者被要求以“结构化、通用、机器可读的格式”实现数据可携权的请求。但是“结构化、通用、机器可读的格式”并没有形成统一的标准。国外学者伊娃·菲亚洛娃指出,数据可携权的相关规定并没有赋予数据主体选择以何种格式进行数据处理的权利,同时也没有要求数据控制者告知数据主体以何种形式进行数据处理的义务。[54]
尽管在《指南》中,欧盟明确提到,在没有规定哪种格式是通用时,应当使用常用的的开放格式例如(XML,JSON,CSV等),而PDF并不属于这一类开放格式,因为PDF并不能有效促进数据控制者对数据的再利用,[55]但是这样的规定并不能够解决实践中各企业之间的互通性问题。在国外众多学者看来,实现互通性本身就是具有极大的难度的,[56]拉吉夫·沙赫(Rajiv Shah)教授与杰伊·凯森(Jay Kesan)教授在尝试开放式标准文件格式互通性测试时发现,单单是实现当前已有的格式之间的互通都是非常困难的。[57]
而传输格式互通的局限性也进一步影响到实现“无障碍直接传输”的可能性。正如上文所言,在实践中很难找到完全符合“结构化、通用、机器可读取”要求的格式,这样不仅会加重中小企业的成本,带来抑制“锁定效应”的反效果,还使得无障碍直接传输沦为一纸空文。因为本身对于格式的模糊规定就已经为“数据直接传输”设置了一定的障碍。
在《指南》中,欧盟数据保护工作委员会也非常关注互通性的实现问题。委员会认为在技术的层面上,数据控制者应当探索实现数据可携权的两种不同的路径:一、数据集合的直接传输;二、形成能够直接获取相关信息的自动化处理工具。当涉及大量的数据处理时,数据控制者可能会更倾向于第二种方式,因为除了能够以高效便捷的方式实现数据互通以外,更有利于降低数据处理中的隐私风险。同时委员会认为,这两种路径已经有一定的技术基础,包括有安全文件传送协议(SFTP)、网页应用程序编程接口(WebAPI)、网页门户(WebPortal)等。可通过这些技术来确认数据主体能够使用数据储存、数据管理系统以及通过第三方信任机构进行信息传输的可能性。[58]委员会进一步阐明了假如无法实现这种技术可能时,数据控制者需要参照第十二条第四款向数据主体阐明原因。[59]然而这样的规定将探索实现数据可携权的希望寄托于数据控制者,极有可能造成数据控制者利用“无法达到相关技术等级”的理由来逃避实现数据主体数据可携权请求的义务,使得实现数据的直接传输无法实现。
当前欧盟数据保护工作委员会正鼓励相关利益方与贸易组织建立一个实现互通性的标准,并认为技术问题可为欧洲互用式框架(EIF,European Interoperable Framework)所解决。[60]但欧洲互用式框架的建设尚处于一个发展阶段,在实践中并未形成统一标准。欧盟只是提出将在2016-2020年间指导建设欧洲的互通式框架。目前众多专家学者对数据可携权的技术可操作性都持观望态度,在互通式框架建成之前数据可携权的实现都难以符合其设立时的预期。[61]
(二)涉及第三方权利时的可操作性
在数据主体行使数据可携权时,数据主体传输数据除了满足自我需求目的服务以外,还有可能会涉及到其他数据主体的权利,其中社交网络的涉他属性尤为明显。举例而言,我们在微信里发布的动态、上传的合照视频、聊天记录等都极有可能会涉及到他人的个人数据与隐私,这种情况下就会产生数据可携权与第三方权利和自由之间的冲突。
数据可携权的规定将涉及他人权利和自由的数据进行了排除,但GDPR并无阐明完善的机制来解决出现涉他权利时的问题。欧盟似乎也意识到问题的存在,欧盟数据保护工作委员会在《指南》中解释道,当涉及其他数据主体的权利和自由时,只允许接收数据的控制者在用户的唯一控制下,为纯粹个人或家庭需要而管理数据,即新的控制者不得通过涉他的数据对第三方进行识别或者向其推送广告。同时《指南》也强调了潜在的商业风险不能作为数据控制者拒绝回应数据主体要求的原因,即数据控制者不能够以“数据处理可能会涉及第三方的数据权利保护”为由拒绝数据主体的请求。[62]其目的是为了让数据控制者在数据主体和第三方之间充当平衡点。但是对于数据控制者来说,对于商业利益的追逐远大于对法律义务的遵循,如何保证数据控制者履行义务,保证其处理数据时不损害第三方利益,这是在设立解决涉他权利问题机制中所需要考虑的。
与此同时,《指南》增加了数据控制者应当设计其他数据主体许可机制的义务,以便于在当第三方知情同意的情况下进行数据传输。但是对于大量数据处理的情况来说,实现知情同意的可能性并不大,因为实现所有第三方主体完全知情同意的成本极高,数据控制者有可能进一步地将该数据传输的告知设置于用户协议当中,通过设置冗长的用户协议来获取数据主体的同意,反而不利于对第三方权利和自由的保护。
除了上述问题以外,对于涉及第三方权利与自由的规定还引发了权利等级地位的冲突,具体表现为数据可携权与第三方权利等级地位的比较。斯库迪耶罗隐私顾问指出,如果数据可携权被认定为欧洲基本权利宪章中的基本人权,按照欧盟法院在西班牙谷歌案件[63]中提出的逻辑,作为基本人权的数据可携权应当优先于另一方的经济利益,但是在GDPR中的规定的文义解释上则刚好相反,他人的权利和自由优先于数据可携权,使得数据可携权与权利体系中的删除权存在逻辑上的冲突。[64]
(三)潜在的安全问题
对数据可携权的实现存在潜在的安全风险问题。这也是数据可携权为众多学者所担忧的原因之一。潜在的安全风险主要包括虚假身份问题以及传输中对数据进行攻击的问题。[65]特别是数据可携权的出现以后,这种情况可能会更严峻。因为数据可携权一次性获取规定的所有数据,因此出现数据安全问题的风险会大大提高。且根据“不能设置障碍”的规定,数据控制者不能对数据主体进行二次验证,这样将会产生一系列数据的诈骗问题。[66]关于虚假身份问题,《指南》要求数据控制者通过采取安全措施来验证和识别数据主体的真实性,而且数据控制者不能以此作为阻止数据获取和传输的理由,但是GDPR并无规定该安全措施的最低标准。斯库迪耶罗隐私顾问认为,在当前安全措施最低标准缺位下,我们可以将解决思路转到GDPR本身的其他规定,例如第三十三条通知监管机构个人数据泄露的规定、第三十四条告知数据主体个人数据泄露的规定、第三十五条关于数据泄露的追责规定等。而对于数据遭受攻击的问题则可以参考第三十二条关于处理过程安全性的条款。但是在适用第三十二条规定的同时仍存在一个重要的问题,第三十二条的第一款的(a)项规定,个人数据的处理须采取匿名化和加密的方式。然而,数据主体行使数据可携权的目的主要是为了将能够识别其个人的数据传输至新服务商,以减少其转换服务商时的成本。匿名化的处理要求与实现数据可携权的目的出现了冲突。[67]由此可以看出,对于数据可携权的潜在安全风险,GDPR并未真正地形成一套体系化、清晰高效的解决机制,潜在安全风险仍然是数据可携权良好运行的制约因素。
五、结语
欧盟数据可携权是对打破锁定效应和加强数据控制的有益尝试。但数据可携权超出了传统反垄断法的规制范围和个人信息自决权的一般性要求,并非是我国所必须引入的权利。欧盟引入数据可携权有其自身特殊的产业发展考虑,目的在于帮助欧盟企业进入已被美国IT巨头公司控制的数据市场。我国当前互联网数据企业的发展方兴未艾,为社会总体经济增长提供了源源不断的创新动力,数据可携权的引入是否契合我国数据产业的发展态势仍需进行充分调研和论证。
欧盟数据可携权的规定并不成熟,存在着权利范围不清、权利冲突、带来安全隐患等问题,特别是数据可携权赖以执行的“结构化、通用、机器可读的格式”尚未形成统一可行的行业操作标准。目前欧盟数据保护工作委员会正致力于构建欧洲互用式框架,试图将数据可携权落到实处。我国如确定引入数据可携权,也应重点研究在产业实践中如何构建统一数据传输框架,降低可携权执行成本,保证数据可携权的可实施性。
向上滑动阅览
[1]. 韩伟、李正:《日本<数据与竞争政策调研报告>要点与启示》,《经济法论丛》 2018年第1期,第443-483页。
[2]. 中华人民共和国个人信息保护法(草案)2017版,www.databanker.cn/policy/176284.html,最后访问日期:2018年12月11日。
[3]. 国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》,http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=4FFAA51D63BA21B9EE40C51DD3CC40BE,第7.9条规定的获取信息副本的范围很窄,仅包括个人基本资料、个人身份信息、个人健康生理信息、个人教育工作信息。最后访问日期:2018年12月11日。
[4]. 龙卫球、林洹民:《我国个人信息保护制度的新发展与若干缺憾——<信息安全技术:个人信息安全规范>评述》, 载正义网-法律博客,http://longweqiu.fyfz.cn/b/939686,最后访问日期:2018年12月11日。
[5]. 高富平、余超:《欧盟数据可携权评析》,《大数据》2016年第4期,第102-107页。
[6]. European Commission, General Data Protection Regulation, http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG,最后访问日期:2018年12月11日。
[7]. Article 29 Data Protection Working Party, Guideline on the right to data portability (Adopted on 13 December 2016.At last Revised and adopted on 5 April 2017), https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_en_40852.pdf,最后访问日期:2018年12月11日。
[8]. 同注释7,第5页。
[9]. European Commission, Report on Competition Policy 2015,
http://ec.europa.eu/competition/publications/annual_report/2015/part1_en.pdf,最后访问日期:2018年12月11日。
[10]. European Commission, Shaping the Digital Single Market, https://ec.europa.eu/digital-single-market/en/policies/shaping-digital-single-marke,最后访问日期:2018年12月11日。
[11]. 同注释7。
[12]. 同注释10。
[13]. Simona Chirica, The Main Novelties and Implications of the New General Data Protection Regulation, 6 Persp. Bus. L.J. 159, 162 (2017).
[14]. Gabriela Zanfir, The right to Data portability in the context of the EU data protection reform.International Data Privacy Law, Volume 2, Issue 3, 1 August 2012, pp.149-162.
[15]. European Commission, Enter the Data Economy. EU Policies for a Thriving Data Ecosystem, http://ec.europa.eu/epsc/publications/strategic-notes/enter-data-economy_en#h-8-9,最后访问日期:2018年12月11日。
[16]. 谢琳、李旭婷:《个人信息财产权之证成》,《电子知识产权》2018年第6期,第54-61页。
[17]. Peter Swire, Yianni Lagos, Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique, 72 Md. L. Rev. 335, 338-340 (2013).
[18]. 同注释14,第152页。
[19]. European Commission, Guidelines on market analysis and the assessment of significant market power under the Community regulatory framework for electronic communications networks and services, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52002XC0711(02),最后访问日期:2018年12月11日。
[20]. 同注释17,第379页。
[21]. European Commission, “Fact Sheet Questions and Answers - Data protection reform” (2015), https://europa.eu/rapid/press-release_MEMO-15-6385_en.pdf,最后访问日期:2018年12月11日。
[22]. 同注释7,第4页。
[23]. Bart Custers, Helena Urši, Big data and data reuse: a taxonomy of data reuse for balancing big data benefits and personal data protection, International Data Privacy Law, 2016, Vol. 6, No. 1, pp. 4-15.
[24]. Andrej Fatur, EU Competition Law and the Information and Communication Technology Network Industries: Economic versus Legal Concepts in Pursuit of (Consumer) Welfare (2012), pp. 86-87.
[25]. 同注释17,第349-360页。
[26]. 同注释1,第457页。
[27]. ISO/IEC 2382-01 defines interoperability as follows: “The capability to communicate, execute programs, or transfer data among various functional units in a manner that requires the user to have little or no knowledge of the unique characteristics of those units.”
[28]. 同注释17,第344页。
[29]. Lucio Scudiero, Bring Your Data Everywhere:A Legal Reading of the Right to data Portability, 3 Eur. Data Prot. L. Rev. 119, 120 (2017).
[30]. 同注释17,第349页。
[31]. 同注释17,第352页。
[32]. Eva Fialova, Data Portability and Informational Self-Determination, 8 Masaryk U. J.L. & Tech. 45, 47-48 (2014).
[33]. German Federal Constitutional Court (BVerfG, 15 December1983) , http://www.servat.unibe.ch/dfr/bv065001.html#RnOO3,最后访问日期:2018年12月11日。
[34]. Alan Westin, Privacy and Freedom, London, Sydney, Toronto, the Bodley Head, 1967. P. E. AGRE, M. ROTENBERG eds. Technology and Privacy: the New Landscape, Cambridge, MIT Press, 1997, pp.101-106.
[35]. Nadezda Purtova, Property in Personal Data: A European Perspective on the Instrumentalist Theory of Propertisation, 2 Eur. J. Legal Stud. 193 (2010).
[36]. Viviane Reding, The EU data protection Regulation: Promoting technological innovation and safeguarding citizens' rights, http://europa.eu/rapid/press-release_SPEECH-14-175_en.htm,最后访问日期:2018年12月11日。
[37]. 同注释14,第151页。
[38]. Jasper Sluijs, Pierre Larouche, Wolf Sauter, Cloud Computing in the EU Policy Sphere: Interoperability, Vertical Integration and the Internal Market, 3 (2012) JIPITEC 12, para 12, p. 19.
[39]. 同注释14,第151-152页。
[40]. 同注释14,第151页。
[41]. 同注释7,第3-5页。
[42]. 同注释17,第366-369页。
[43]. 同注释5,第106页。
[44]. 谢琳:《香港资料处理者的个人资料保护责任问题研究》,《当代港澳研究》 2013年第3期,第12-21页。
[45]. 同注释17,第351-365页。
[46]. 例如个人在网上书店购买图书,由于该人为图书购买合同当事人一方,基于履行该合同所收集的图书书目信息即为数据可携权所涵盖的数据信息。
[47]. 同注释7,第8-9页。
[48]. 同注释29,第123页。
[49]. 同注释32,第50页。
[50]. 同注释7,第9页。
[51]. 张哲:《探微与启示:欧盟个人数据保护法上的数据可携权研究》,《广西政法管理干部学院学报》2016年第31卷第6期,第44页。
[52]. 同注释17,第366页。
[53]. 同注释7。
[54]. 同注释32,第49页。
[55]. 同注释7,第18页。
[56]. 同注释17,第376-379页。
[57]. Rajiv Shah, Jay Kesan, Lost in Translation: Interoperability Issues for Open Standards, 8 ISJLP 119 (2012).
[58]. 同注释7,第16-17页。
[59]. 同注释7,第14页。
[60]. European Commission, The New European Interoperability Framework, https://ec.europa.eu/isa2/eif_en,最后访问日期:2018年12月11日。
[61]. 同注释17,第379页。
[62]. 同注释7,第12页。
[63]. Case C-131/12 Google Spain (2014) ECLI:EU:C:2014:317 [93].
[64]. 同注释29,第126-127页。
[65]. 同注释29,第126-127页。
[66]. 同注释17,第380页。
[67]. 同注释29,第125页。
原文载于《电子知识产权》2019年第1期,第28-39页
本文仅作学习交流之用
往期荐读
编辑:钟柳依
欢迎点击“阅读原文”