🔥 热搜 🔥
1123456法明传[2024]173号中共中央写小说中美友好合作故事赵紫阳九边帝国政界往事南京李志
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
1123456法明传[2024]173号中共中央写小说中美友好合作故事赵紫阳九边帝国政界往事南京李志
分类
社会娱乐国际人权科技经济其它
查看原文
其他

王光林|个人数据携带权益保障路径研究——以欧盟GDPR的实施路径为视角

王光林 上海市法学会 东方法学
2024-10-09

欧盟GDPR所规定的“数据携带权”作为一项全新的权利无疑在业界产生了重要的影响,世界各国纷纷效仿以期完善国内数据法法律体系,为国内数字经济的长足发展保驾护航。随着数字经济的发展,我国宪法中的人格尊严与自由经过扩张解释也负有保护用户数据安全的义务。我国个人信息保护法首创性的规定了“数据携带权”这一新型权利,但并未对数据携带权的义务主体和实施条件进行规定。因此,借鉴欧盟GDPR在数据携带权领域的成功经验,对于我国个人数据携带权益保障路径研究具有重要意义。

欧盟通用数据保护条例(以下简称GDPR)在历经4年之久的讨论之后最终于2016年正式通过并在2018年在欧盟各成员国内正式生效实行,其所规定的“数据携带权”作为一项全新的权利无疑在业界产生了重要的影响,世界各国纷纷效仿以期完善国内数据法法律体系,为国内数字经济的长足发展保驾护航。我国个人信息保护法首创性地规定了“数据携带权”该项新型民事权利,但考虑到当前我国国内数字经济发展所面临的复杂性和严峻性与宪法所要求的“比例原则”恐难以平衡,因此并未对数据携带权的义务主体和实施条件进行规定。今年是我国贯彻“十四五”数字经济发展规划的关键之年,数据安全产业已经在国家政策层面确定为国家安全战略的一部分。本文通过借鉴欧盟GDPR在个人数据携带权益保障方面的实践经验,以期对我国个人数据携带权的本土化构建献计献策。
一、数据携带权相关理论概述
数据携带权是基于社会数字经济的发展而产生的新型民事权利,不同法律因对“数据”这一概念认定的不同而产生诸多的定义,本文结合我国数据安全法对“数据”概念的界定和欧盟设计数据可携带权的初衷,对数据携带权进行了概念的重构,同时数据携带权作为一项新型民事权利,其权利属性一直是学界争论的焦点,本文整合学界争论的三种焦点,以期能对数据携带权的权利性质进行界定。

(一)数据携带权的概念

数据携带权是基于社会数字经济的发展而产生的新型民事权利,将“数据”的概念理清是确定数据携带权概念的前提,我国数据安全法将“数据”定义为“任何以电子或者其他方式对信息的记录”。自全球进入信息时代伊始,运用计算机对数据进行储存、记录和计算已是常有之操作,随着互联网技术的诞生发展以及计算机技术的时代变革,智能设备、数字平台、机器学习已经与当今各大企业的运营与经济的发展密不可分,企业可以通过大数据分析来提高决策的科学性与准确性,根据不同用户的偏好定向投放广告以及提供其他人性化的服务。
技术的革新带来生产关系的变革,“数据”俨然已经成为生产力的象征,掌握数据主动权的一方往往能够给自己创造巨大的利益,因此,在实践中,各大企业不断增强其自身对数据的储存、记录、计算以及分析能力,以期能准确地捕捉个人生活中的轨迹并针对性地提供服务。用户个人作为在数据保护上的弱势群体如果无法对自己的数据信息进行把控,那么企业将在侵犯用户个人隐私的领域上更加肆意妄为,因此,赋予用户个人以“数据携带权”来进行自我保护以实现与企业攫取用户数据的平衡是必要的。结合上述权利设计初衷以及欧盟GDPR第20条的规定,本文所指的数据携带权是指,数据所有者有权向数据控制者请求其提供属于自己的个人数据,或请求数据控制者向另一方数据控制者转移数据的权利。

(二)数据携带权的权利属性

数据携带权作为一项新型民事权利,由于GDPR与《数据可携权指南》(以下简称指南)并没有对其权利属性进行规定,因此,自数据携带权诞生伊始,业界对该权利的属性的争论喋喋不休,目前尚未得出一致的结论,有些学者认为数据携带权是一种财产权;也有一些学者认为数据携带权是一种人格权;还有一些学者认为数据携带权是一种兼有财产权和人格权性质的新型权利。下文将详细分析以上流派观点,以期能对数据携带权的权利属性进行认定。
1.数据携带权的财产权属性




GDPR第29条第1款规定,数据控制者有对用户个人数据进行控制的资格权,但是同时也规定,数据控制者要本着市场公平竞争的目的来运用这些数据。因此,GDPR赋予了数据控制者利用用户个人数据进行交易、互换、买卖的权利,同时也规定了相应的制约以及救济措施,业界有些学者主张数据携带权属于财产权属性大抵依据以上传统财产权的视角来分析得出结论。
但是数据资产与以往的传统实物财产不同,传统的实物财产一旦被所有,就具有独占的排他性,其他主体要想行使权利就需得到所有人的许可。数据作为无形的资产,完全可以由不同的主体收集与占有,GDPR也在诸多条款中规定数据控制者可以在未经许可的情况下对数据进行处理,也就是说可拥有并主张权利的数据主体并不是绝对的,因此,单从传统财产权的视角来分析赋予数据携带权单一的财产权属性是不准确的,并且有些数据信息并不能商品化进行流通,更加说明数据携带权并不单单具有财产权属性。
2.数据携带权的人格权属性




GDPR设定数据携带权的初衷是为了加强用户个人对其数据的控制,其第9条也规定了数据主体是具有人格权的个人,我国民法典也规定,个人信息作为人格权的一种,其关乎人格尊严。业界有些学者主张数据携带权属于人格权属性大抵依据诸多规定涉及人格利益的保护的视角来分析得出结论。
但是,一方面根据我国民法典有关人格权特征的相关规定,是不允许进行放弃、转让或者继承的亦不能脱离个人主体而存在,然而数据是可以独立存在的,可以转让与交易。另一方面,人格权在受到非物质性损害时,一般也不以物质方面的赔偿为救济,多为公开道歉,消除影响等精神性内容,GDPR第82条也明确规定,对于数据控制者任何违反条例的行为对数据所有人造成的物质的或者精神的损害,数据所有人可以向数据控制者主张物质赔偿。因此,单从传统人格权的视角来分析赋予数据携带权单一的人格权属性是不准确的。
3.兼有财产权和人格权性质的杂糅属性




单从财产权属性的角度或者人格权属性的角度都无法全面囊括数据携带权的权利属性,因此有些学者主张将数据携带权纳入一种“新型权利”的范围,与以往的传统权利区别开来,根据以上分析得知,数据携带权兼有财产权和人格权的属性,将数据携带权纳入一种“新型权利”的范围内进行制度架构,不仅要平衡好诸方主体的多元利益,还要适应当前中国特色社会主义法律体系,确定其独特的目标价值导向,划定详细的权利义务,确定权利边界,使其真正能为大数据流通保驾护航,为我国数字经济的发展提供良性的竞争环境。
二、欧盟GDPR“数据携带权”的设计初衷与面临困境
欧盟在GDPR第20条中规定了用户个人的数据可携带权,作为一种新型的权利,包含数据所有者有权向数据控制者请求其提供属于自己的个人数据和数据所有者有权请求数据控制者向另一方数据控制者转移属于自己的个人数据两方面的内容,其设计的初衷在于“强化用户个人对自己数据的控制”。虽然赋予用户个人以足够的权利来处分自己的数据信息是个人信息自决前进的重要一步,但当基本的权利价值转换为一项经济权利时,对“个人数据”这一范围进行界定是必要的,同时也要求权利实施的有效性,综合以上因素考量,GDPR也面临着在“个人数据保护”的大前提下去界定以上内容的局限性的困境

(一)欧盟GDPR“数据携带权”制度的设计初衷

欧盟GDPR第20条规定了数据携带权这一新型权利,其规定的内容包括数据传输和数据获取两个方面,其内容主要包括两个方面,一是数据所有者有权向数据控制者请求其提供属于自己的个人数据;二是数据所有者有权请求数据控制者向另一方数据控制者转移属于自己的个人数据。在GDPR的引言(Recital)部分注明了数据携带权的立法目的在于“强化用户个人对自己数据的控制”,其立法渊源来自欧盟基本权利宪章所规定的“每个人都有保护自己数据安全的权利”条款。根据欧盟GDPR立法委员会所进行的立法前评估,随着各大企业对于用户数据的获取愈加精准化和封闭化,用户个人要想在其使用的应用程序中抽离自己的个人数据变得十分艰难,同时,用户个人在放弃某一应用平台的使用时意味着对其个人数据在该平台的丢失,因为缺乏确实有效的数据提取与迁移机制,用户要想转换应用平台付出的代价可能是高昂的。在面对数据发展状况日益变化的当下,对于用户个人数据的保护仅仅停留在个人隐私层面显然是不够的,因此,必须赋予用户个人自由处理自己数据信息的权利。

(二)欧盟GDPR“数据携带权”制度的实施状况

自欧盟GDPR第20条规定了数据携带权这一新型权利之后,将用户个人数据信息被平台锁定的问题纳入到该领域的管辖范围,其利用了一种区别于人格权的方式,首次用私法赋权的方式对数据控制者与数据用户个人之间存在的不对等进行了平衡,有效地营造了良性的竞争环境,同时也在用户个人数据安全保护方面取得了突破性的进展。虽然学界也有学者认为此项规定更偏向于一种经济权利,而不仅仅是数据保护权,支持主张此观点的学者的依据在于GDPR允许数据主体/消费者可直接通过可携带、用户友好、机器可读的方式获取数据,以缓解大公司与数据主体/消费者之间的经济不平衡性,使得个人与平台共享大数据产生的财富,并激励开发者向用户提供更优质的功能和程序。在实践中,GDPR所给予的赋权相比较数据保护的属性确实更倾向于是一项经济性权利,用户个人可利用诸多种方式对自己的数据进行处理,以此来达到平衡数据控制者与数据用户个人之间存在的效果,因此,用户个人能够间接的享受大数据下所产生的财富,并激励数据控制者开发更好服务用户的产品,有效地促进了互联网市场的发展。但是,如果将用户个人的数据可携带权过度倾向于经济性因素的话,会导致权利价值的绝对化,因此不可避免地与其他基本权利产生价值冲突具体而言,强制企业向他人开放用户网络,实现数据存储、传输的强制标准化,无疑将构成对企业财产权和经营自由的限制,间接地导致市场支配企业与中小企业的市场竞争扭曲并阻碍创新。

(三)欧盟GDPR“数据携带权”制度的实施困境

虽然赋予用户个人以足够的权利来处分自己的数据信息是个人信息自决前进的重要一步,但当基本的权利价值转换为一项经济权利时,对“个人数据”这一范围进行界定是必要的,同时也要求权利实施的有效性,综合以上因素考量,在“个人数据保护”的大前提下去界定以上内容是有局限性的。
第一,个人数据是指与自然人相关的可识别的数据,这是从人格权个人隐私层面的考量下做出的定义,但对于互联网企业进行数据迁移时,这个概念是宽泛而又模糊的,企业无法对个人数据与非个人数据进行准确的区分。数据携带权在制度设计中较为关注的“解除用户锁定”,实现数字人格自由等内容也因为实际中个人数据与非个人数据的混同而难以实现,因此,对个人数据的概念向用户产生的所有数据的扩张是必要的。
第二,如上所述,数据控制者对于数据的利用、处理以及收集具有绝对的优势,单独的用户个体无法与经营者抗衡,因此要实现用户数据的自由流动需要权利实施的有效性进行保障,要达成此目的需要在技术层面上达到某一具体的区域内达成统一的程序接口以及数据存储模式,以在技术层面上使用户个人信息在不同的网络系统实现数据的迁移。关于权利实施的有效性方面,GDPR的初稿中就要求由欧盟有关委员会对用户个人数据的存储、传输、方式等内容进行统一的规定。
但是,如果只是站在用户个人的一方进行考虑难免会使数据携带权绝对价值化,势必会对某些基本权利价值以及民商法上的规则进行冲击,最典型的诸如要求企业对用户放开网络限制以实现用户个人数据的存储、传输、方式的统一性,势必会对企业的经营管理以及资产管理造成侵害,进而影响市场平衡,不利于企业的开拓创新发展。
三、我国数据携带权的现状及发展
在数字经济领域,用户在与互联网平台之间的技术力量对比中是天然不对等落入下风的,这极容易造成数据锁定,消除这种数据锁定缺陷最直接的办法是公权力的介入,为作为弱势群体的用户赋权,以平衡用户与互联网平台之间的技术力量对比中的不对等,因此我国个人信息保护法创造性的规定了用户的个人数据可携权,但倘若强制所有的互联网平台将用户个人数据可携权完全实施,则不利于市场竞争,使我国数据信息产业的发展缺乏创新,因此我国个人信息保护法上所规定的用户个人数据可携权仅仅具有形式上的意义,并未规定具体实施的条件和义务主体。

(一)我国数据携带权宪法层面的现状及发展

随着数字经济的蓬勃发展,数字平台与虚拟世界拉近了人与人之间的距离,人们在数字世界中所留下的一道道痕迹构成了数字用户在虚拟世界中参与社会经济生活的前提,欧盟在基本权利宪章中所规定的对于用户个人数据的保护应该从消极的防御阶段扩展到主动的用户处理阶段成为GDPR规定数据携带权的前提与基础。从宪法层面来看,我国宪法并没有规定用户个人数据信息应该受到保护的条款,但是从宪法规定的自由权以及人格尊严不受侵犯的条款延伸来看,实现用户个人数据信息自由流动也是应有之意。根据我国宪法第15条第1款的规定,从实行和保护社会主义市场经济的视角来看,用户个人数据具有财产属性,从间接上也说明了保护用户的数据信息就是保护用户个人的经济自由权。因此,随着数字经济已经成为现代社会经济发展不可或缺的一部分,宪法承认用户个人数据信息应该受到保护是宪法基本价值的应有之意。

(二)我国数据携带权法律体系层面的现状及发展

在以上宪法基本规定的大框架之下,为尊重公民人格尊严,确实保护公民个人信息安全,我国现有立法已经形成以宪法为统帅,以民法典、个人信息保护法为主干,以电子商务法、网络安全法、反不当竞争法为主要内容的涉及对公民个人数据信息收集、处理的知情同意的中国特色社会主义法律体系,2021年予以通过的个人信息保护法首创性的设立了“数据携带权”这一新型权利。我国个人信息保护法第45条规定了“数据携带权”,赋予了用户个人处分个人数据的权利,但是该项处分并不是绝对的,我国在设计“数据携带权”制度的初期也借鉴到了欧盟GDPR的相关立法经验,也充分地考虑到如果只是站在用户个人的一方进行考虑难免会使数据携带权绝对价值化,势必会对某些基本权利价值以及民商法上的规则进行冲击,最典型的诸如要求企业对用户放开网络限制以实现用户个人数据的存储、传输、方式的统一性,势必会对企业的经营管理以及资产管理造成侵害,进而影响市场平衡,不利于企业的开拓创新发展。因此,我国个人信息保护法对用户个人实施数据迁移进行了一些限制,同时也规定用户在实行数据携带权时要符合网信部门所规定的条件,通过对网信部门进行授权,使网信部门能够根据当前互联网数字发展现状灵活设定条件,立足本国国情,在数据控制者与数据用户之间取得平衡。
四、完善我国数据携带权制度的措施
结合上述分析,将数据携带权真正有效实施的前提在于用户个人能够自由进行数据迁移,而用户个人能够自由进行数据迁移的关键在于建立用户个体、数据控制者、数据接收第三方的链接体系,目前我国数字经济发展蓬勃,但现行法律体系的滞后性尚无法解决数字经济下的社会问题,“一刀切”似的划定用户个人与数据控制者的权利界限也尚不可行,因此,尊重市场规律,利用市场自我调节的力量来实现用户数据携带权的权益保障也未尝不可。

(一)建立事前的监督管理制度

在数字经济领域建立事前的管制制度的必要性来源于该行业在市场中存在结构性失灵的情况,欧盟在制定GDPR相关条款的讨论会中曾就电信市场是否存在结构性失灵的问题提出了三项判断标准,分别是是否存在高市场进入壁垒、缺乏有效竞争的未来趋势、反垄断执法的失灵。从该三项判断标准的视角,由于数字经济领域所具有的独特性质如规模经济、范围经济和网络效应特征等特征,导致在电信及互联网领域(具体而言在搜索引擎、电子商务、即时通讯等领域)极易出现寡头垄断的市场结构,由于存在锁定效应导致用户难以在不同服务商的数据网络之间自由转换,潜在竞争者难以进入而导致市场处于“失常均衡”,故数字市场已经存在高市场进入壁垒。同时,从行业发展来看,我国数字经济已经度过了市场主体快速进入、频繁退出的发展初期,经历相互兼并整合,目前已进入寡头垄断的相对稳定期,行业内部体现出“头部固化”趋势,几大互联网平台奠定行业头部格局后几乎再未出现撼动力量。由于缺乏公权力及时有效的干预,这些互联网寡头平台利用诸多策略维持自己的市场支配地位,树立牢牢的行业壁垒来阻碍甚至抑制其他想进入该行业的参与者,导致该领域的市场竞争失灵,因此,综合前述欧盟所制定的判定标准,应该认定我国数字经济市场领域存在结构性失灵,在数字经济领域建立事前的管制制度是完全具备正当性和必要性的。

(二)引入“守门人”这一相关概念

欧盟在数字市场法中升级了对数字经济领域的管控措施,但值得注意的事此次升级并未进一步细化市场的组成架构,转而创造性的定义了“守门人”这一全新的概念。欧盟将与数字经济相关的行业划分为在线中介服务、在线搜索引擎、在线社交网络服务、视频分享平台服务、号码独立的人际通信服务、操作系统、网络浏览器、虚拟助手、云计算服务、在线广告服务等十个行业领域,并将这十个行业领域规定为“核心服务平台”,相关的经营企业只要涉及“核心服务平台”中的一项或者多项都可能会产生垄断进而造成市场结构失灵,应该承担事前的监督与管制,欧盟在数字市场法中将“守门人”判定标准规定为三个,即第一,对所在的行业领域具有重大影响;第二,经营业务涉及“核心服务平台”中的一项或者多项且作为商业用户接触终端用户的重要门户;第三,运营的业务具有市场支配地位。此外,欧盟委员会可以根据企业营业额、市值、用户数量等作出推定。在我们事前管制制度中引入“守门人”这一概念的优势在于能够克服数字经济领域相关市场结构分析的局限性,就预防反垄断,抑制寡头平台的出现更具有可操作性,我国亦可借鉴欧盟所制定的“守门人”判定标准,即对所在的行业领域具有重大影响,经营业务涉及“核心服务平台”中的一项或者多项且作为商业用户接触终端用户的重要门户,运营的业务具有市场支配地位的企业,应该纳入事前监督管制制度的范畴之内,预防垄断情况的发生。具体而言为了便于用户实现个人数据传输与迁移,守门人应该为第三方平台的相关操作提供必要的技术支持,建立数据互操作性。同时也为了实现数字经济领域的开放性,守门人应该遵守无条件为第三方平台提供保障数据传输的安全措施,开放对第三方平台的编程接口,也为了避免守门人采用数据存储格式不兼容的方法来阻碍第三方平台进行的数据传输工作,政府应当制定数据传输与数据存储的标准并强制实施于守门人。

(三)完善公平竞争管理制度

市场经济各方的参与者都具有逐利的本性,数据接收第三方为了保持自我的市场竞争力,无疑会自发地向用户个人提供数据携带服务,但我国民商法对企业数据资产利益保护的权利边界非常模糊,这很明显会成为数据接收第三方向用户个人提供数据携带服务的障碍与限制,因此,在相关法律中将为用户个体提供数据携带方面的服务这一选项作为企业数据资产利益保护的例外情形,也就是说,在用户个体授权同意的情况下,一方数据控制者正当且必要的从另一方数据控制者手中获取数据信息,是不违反反不正当竞争法的,通过第三方力量的介入以实现数据控制者与用户个人之间实力的平衡。应该进一步完善数据控制者之间的竞争监管制度,同时国家应该推动数据控制者在同一平台上进行为用户个人提供数据携带的相关服务的良性竞争,在完全的市场调节下,各大企业出于逐利的目的会不断地升级自己提供的服务来满足用户个人对数据处理的偏好与需求。但是如果市场高度集中化常常会导致信息不对称以及数据闭锁,传统的反垄断规制恐也难以生效,在这一方面,可以借鉴欧盟的做法,欧盟在实施GDPR之后也设置了完善的事前监管机制,并强制要求数据控制者与数据接收第三方进行互动性操作,以便持续有效的为用户提供数据携带方面的服务,这样做的目的在于引导各方主体敞开平台闭锁的大门,保证市场主体的良性竞争,充分发挥市场的自发性调节作用。
往期精彩回顾陆静|未成年人专门教育制度完善研究
白文丹|教育数字化中未成年人个人信息保护研究
卜思遥|数字教育资源获取中师生个人数据的保障——以法国GAR准入合同为切入
刘骅|教育数字化的法治构建
戴宏轩|线上教育纠纷的多元化救济模式研究
杨翔宇|数字时代著作权合理使用制度的困境与出路


上海市法学会官网

http://www.sls.org.cn


继续滑动看下一个
上海市法学会 东方法学
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存