论文荐读 2019年第2期 | 欧盟GDPR中数据可携权对中国的借鉴研究
题图来自图虫创意网
欧盟GDPR中数据可携权
对中国的借鉴研究
冉从敬1,2 张 沫2
(1. 武汉大学信息管理学院,武汉,430072;
2. 武汉大学信息资源研究中心,武汉,430072)
摘要
欧盟《通用数据保护条例》自2018年5月起开始施行,其对于增强数据主体权利、促进欧盟地区的自由竞争与发展具有开拓性的意义。 数据可携权是《通用数据保护条例》引入的一项新型权利,由欧盟长期的立法规范演化而来,以副本获取权和副本转移权为核心内容,对加强数据主体权利、促进行业数据传输格式标准的建立具有积极的影响,但也可能会损害有价值的专有信息或知识产权、造成隐私和数据安全风险、提高企业合规成本。 我国处于信息技术发展的高速时期,对于数据保护愈发重视,我国是否应引入数据可携权、应当如何借鉴,是本文探究的重点。
关键词
数据可携权 数据安全 数据隐私 数据保护 通用数据保护条例 欧盟
1
引言
1995年欧盟《个人数据保护指令》(Directive on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data,下文简称《指令》)的颁布,规定了欧盟个人数据保护的最低标准,为欧盟确立了全面的数据保护体系。 但是网络社会的发展、欧盟成员国立法规范的进步以及全球贸易的深入,使得《指令》无法应对新的风险和威胁,欧盟需要具有更高行政效力和更为全面的法律规范。
2011年,欧洲数据保护监督组织 (EDPS)在欧盟委员会沟通会议中,提出了加强欧盟个人数据保护统一性的建议。 半年后,欧盟委员会提议,应当从加强个人数据权利保护、建立统一欧盟数据市场、强化数据保护机构职能及合作等方面对《指令》进行修订。 2016年4月欧洲议会投票通过《通用数据保护条例》(General Data Protection Regulation, GDPR), 并 于2018年5月25日正式施行,同日废除《指令》的使用。 相较于 1995 年的 《指 令》,GDPR 从加强数据主体的权利保护、确定相关主体的责任制度、建立完善的监管体系等多个方面建立了完善的数据保护体系。 GDPR 对于欧盟个人数据保护具有里程碑的意义,是迄今为止发达国家通过的最严厉的一部对个人数据安全进行保护的法律,为全球个人数据法律建设树立了新的标杆[1] 。GDPR 对 数 据 主 体 权 利 的保护格外重视,引入了多项新型权利,数据可携权就是其 中 的 一 项 重 要 权 利。 “数 据 可 携权”首次提出于 2012 年1月由欧洲委员会颁布的《数据保护指令草案》(the Draft of the Data Protection Regulation,DPR),该草案第18条对“数据可携权”进行了详细定义。 自此,“数据可携权”正式纳入欧盟个人数据法律建设的讨论范畴,经过多次修订,登上欧盟立法的历史舞台。 数据可携权的提出,对于欧盟数字经济的发展、加 强 个 人 数 据 控 制 力 具 有 重 要 意义。 本文将对数据可携权予以评析,以期为我国未来数据立法提供参考。
2
GDPR数据可携权立法演进
2.1 立法起源
数据可携权是欧盟 GDPR 首次引入的新型权利,但在欧盟之前颁布的一系列法律规范中可以看到其雏形和演化历程。
受到欧洲民主传统的影响,欧洲的民众对于个人数据的保护有着较高的要求。 德国率先于 1977 年制定了《联邦数据保护法(Federal Data Protection Act),随后,法国、荷兰、瑞典、比利时等欧共体国家也相继出台了个人数据保护的专门法律[2] 。 随着国际贸易的日益频繁,个人数据开始在国家间流通,欧洲各国不同的个人数据保护法律对欧共体的贸易往来和经济发展造成了阻碍,社会和经济的发展对欧共体各成员国个人数据保护法的统一提出了要求。 1981 年,欧洲议会通过了《保护自动化处理个人数据公约 》 (Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data),这是世界上首个有约束力的个人数据保护相关的国际公约[3] 。 但该公约并未如欧洲议会的预期能够将欧共体各国的个人数据保护法统一起来,欧共体各国的数据保护法仍处于分散状态。
1993 年 11 月, 《 马 斯 特 里 赫 特 条 约 》(Maastricht Treaty)生效,欧盟正式成立。 欧盟的成立加快了欧洲个人数据保护法的统一进程。 1990年,欧共体委员会发布个人数据 保护指令的框架草案,经过一系列的讨论和审定后,1995年 《个人数据保护指令》(95/46/EC)正式生效。 《指令》中第12条对访问权进行了规定,要求欧盟成员国应保证每名数据主体拥有从管理者处获得数据信息的权利,包括数据处理、数据确认等方面。 访问权与数据可携权有着非常密切的关系,访问权是数据可携权诞生的前提性权利。
2002年欧洲的《通用服务条例》(Universal Service Directive , Directive 2002/22/EC )[4] 的第三十条对”号码可携带性”进行了规定,要求各成员国应确保所有公共电话服务和移动服务的用户可以独立于提供服务的企业保留其号码。 2002 年的 《框架指令》(Frame work Directive,Directive 2002/21/EC)[5] 则对可移植性有了更为明确的规定,其中应用程序接口系统的互操作性被认为对交互式内容的可移植性有用。 根据第29条工作组的条款,数据可移植性被视为数据控制者所应用的附加保护权利,可以赋予数据主体权利。 同时,该条款鼓励个人信息的可移植性,指出允许数据可移植性可以使企业和数据主体能够最大限度地利用平衡和透明的方式进行数据处理[6] 。 它还可以帮助减少不公平或歧视性做法,并降低将不准确的数据用于决策目的的风险,这将有利于企业和数据主体的共赢。 该条款对数据可移植性进行了较为明确的定义,突出了个人数据可移植性的巨大潜力,为 《通用数据保护条例》引入数据可携权奠定了法律基础。
2.2 正式提出
互联网的普及和信息产业的发展,为个人数据保护带来了极大的隐患。 同时,《指令》在实施过程中也存在缺陷。 首先,《指令》的生效机制存在问题。 《指令》没有在欧盟各国设置统一的监管机构,也无法直接作为法律依据进行判决,需要由各成员国以《指令》作为立法原则,制定相应的个人数据保护法才能在实际执法过程中生效。 其次,由于《指令》存在大量的开放性条文,为各国的法律制定预留了过多的空间。 各国在制定法律的实际实施过程中,产生了许多分歧和不确定性,未能形成统一的个人数据保护标准,导致欧盟的个人数据保护法律仍未统一。 由于个人数据保护权利法律地位的提升,使得 《指令》无法再适应时代的需求,制定新的数据保护法律迫在眉 睫,GDPR的修订被提上日程。
“数据可携权”首次提出于 2012 年欧洲委员会颁布的《数据保护指令草案》,该草案的第18条对“数据可携权 “进行了详细的定义,规定数据主体拥有获得个人数据副本并传输给另一个数据控制者的权利,以电子或其他通用的形式为传输方式[7] 。 数据可携权的提出,是对数据主体权利的丰富和完善。 2014 年 3月,欧洲议会通过会议商讨,对《数据保护指令草案》进行修订,将第18条的“数据可携权”与第15条的信息获取权合并[8] 。 这次修改,是欧盟对“数据可携权”定位和适用范围的探索。
2.3 全面实施
经过欧洲议会长达四年的讨论,数据可携权于2016年3月经欧洲议会通过以独立条款的身份出现于 GDPR 的第20条。 GDPR 作为全新的个人数据保护法,具有划时代的意义。为适应社会和经济的发展,GDPR 在《指令》的基础上,对立法架构、权力与责任体系、监管及惩处措施等方面进行了更为详细系统的规范。为了适应互联网时代的需求,GDPR 增加了很多新型法律术语,例如数据主体、数据流通、数据控制者、数据跨境处理等。 此外,为了统一欧盟各国的数据保护法律,GDPR 在为各国进行个人数据保护法律立法保留一定变动空间的同时,对条例适用和执行力度进行了更为严格的要求。 2018 年 5 月 25 日 GDPR 正 式 生效,数据可携权合法独立的权利地位得到完全确立。
3
GDPR数据可携权内容
欧盟 GDPR 中的第20条,对数据可携权进行了详细的规定。 以下为具体规定:
①当存在如下情形时,数据主体有权获得其提供给控制者的相关个人数据,且其获得个人数据应当是经过整理的、普遍使用的和机器可读的,数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者:
(a)处理是建立在第6条(1) (a)点或9条(2)(a) 点所规定的同意,或者6条(1) 所规定的合同的基础上的;
(b)处理是通过自动化方式的。
②在行使第1段所规定的携带权时,如果技术可行,数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。
③行使第1段所规定的权利,不能影响第17条的规定。 对于控制者为了公共利益,或者为了行使其被授权的官方权威而进行的必要处理,这种权利不适用。
④第1段所规定的权利不能对他人的权利或自由产生负面影响[9]。
从上述规定可以看到,数据可携权的内容主要包括副本获取权(Right to Obtain a Copy)和数据转移权 (Right to Data Transfer)。 下面将从这两个方面对数据可携权进行具体分析。
3.1 副本获取权
根据 GDPR第20条第1款,副本获取权指的是数据主体有权从数据控制者处获得以电子和结构化格式处理的数据副本,并能够进一步使用的权利。 在这方面,行业的发展较为迅速,以Facebook、Google等公司为代表的一部分数据控制者已经提供了个人数据的下载入口,用户可以据此获取相关的个人数据副本[10]。
需要注意的是副本获取权并非全无限制。首 先,GDPR 对数据传输格式进行了规定。 条款规定获得数据副本的条件是通过电子手段以结构化和常用的格式处理过的数据。当数据控制者不通过电子手段和规定格式进行个人数据处理时,数据主体将无权获得个人数据的副本。 目前大多数个人数据都是以电子方式处理的,但是处理数据的格式不同,然而条款并未赋予数据主体决定数据控制者将以何种格式处理个人数据的权利,也未要求数据控制者向数据主体通知处理格式。 由于目前行业内传输格式多样,尚未形成统一的行业标准。 欧盟的这一要求有鼓励行业出台通用格式标准的用意,但也可能会激励数据控制者不要使用标准和常用格式,以逃脱移交副本的义务,从而避免将数据主体迁移到另一个服务提供商,并节省提供数据副本的成本。 对于这一问题,笔者认为有两个解决方案,一个是使数据控制者承担新的义务,要求数据控制者根据数据主体要求的格式进行数据传输;另一个是强制使用格式清单,要求数据控制者根据格式清单中的格式进行传输。 但是就目前而言,这两种方案都存在问题。 前者会大大提升数据控制者进行数据传输的成本,而后者将抑制开发和推广新格式的进展。
除了数据格式外,GDPR 对数据源也从两方面进行了限制。 一方面是用于传输的数据应是个人数据,涉及第三方的数据将不在权利范围内;另一方面是基于数据主体的同意或以合同的形式得到数据主体的认可方可请求获取数据副本。 该限制有利于隐私权的保护,但在某些情况下也可能出现问题。 例如,就企业而言,为了履行法定义务,其必须要收集并保存员工保险和社会安全数据[11] 。 若企业以自动化方式 收集员工数据,假设有甲乙两名员工,如果员工甲的社 保数据是保险公司提供的,员工乙的数据是其个人提供的。 在这种情况下,根据 GDPR第20条的规定,员工甲无法获取个人数据副本,而员工乙可以获取个人数据副本。 但是,法人数据和法人控制的内部员工数据具有特殊性,根据 GDPR 序言第48条规定,当控制者是作为集团企业的组成部分或者附属机构时,其基于内部管理目的在企业集团内部开展个人数据传输(包括处理客户或雇员的个人数据)可以被认为具有合法利益。 因此在这种情况下,员工甲乙都不一定能够获取个人数据副本。 由于 GDPR 对数据可携权没有详细的具体规范,对于此类特殊情况的处理尚没有明确说明。
副本获取权在一定程度上保证了数据主体对自身信息的控制和决定,是信息自决权的保障。 数据主体有权获得一份副本,然而副本的移交并不代表数据的删除。 因此,数据主体仅部分控制他的个人数据,只能对数据副本进行处理。 如果有删除的需求,则属于 GDPR第17条被遗忘权的内容范围。
3.2 副本转移权
GDPR第20条第2 款对副本转移权进行了规定。 数据主体有权将这些个人数据以电子和结构化格式由一个数据控制者传输到其他数据控制者,数据控制者无权阻拦。 例如欧盟的Facebook用户可以将其自主上传的所有个人数据,包括包括聊天记录、照片、视频、个人动态等转移到其他社交应用中,而Facebook无权阻拦。
副本转移权与副本获取权类似,都存在传输格式的问题。 不同的是,副本转移权还会涉及第三方的隐私问题。 GDPR 第20条第4款规定,数据主体在行使权利时不能对他人的权利或自由产生负面影响。 基于此,当数据主体要求传输的数据涉及第三方隐私权时,数据控制者应拒绝此类请求。 但在实践中,又会出现问题。 例如当数据主体要求传输发布在Facebook上的一张多人照时,这是否构成了对其他数据主体的数据权利的侵犯? 又比如当一名用户将其在Facebook上的个人数据转移至Google+时,如何判断该用户在 Facebook上的数据不涉及第三方隐私权? 又如何对涉及第三方和未涉及第三方的数据进行筛选? Facebook是否应当拒绝此类请求? 这种信息自决权方面的冲突当如何解决,具体的操作应是怎样的 流 程,GDPR 没有给出具体的解决方案。 可见,在遇到现实生活中的实际场景时,GDPR尚不能有效地处理问题。
由上述分析可以看出副本转移权的设计目的是促进数据的自由流通和市场的有序竞争,降低用户数据的转移成本,改善大型企业的数据垄断现象。 但随着数据的财产属性日益凸显,数据的重要性愈发得到企业的关注,在尚未完善的副本转移权条款下,企业很有可能利用现有法律的漏洞,提高数据主体进行副本转移的成本,限制数据主题进行副本转移。
4
GDPR数据可携权的影响
相较于1995 年的 《指令》,GDPR 将 欧 盟个人数据保护法律的生效范围从地理空间扩展到以 人 为主体的范畴, 具有域外效力[12] 。无论组织的数据处理行为是否发生在欧盟内部,只要该组织设立在欧盟境内且涉及个人信息处理,就都在 GDPR 的适用范围内。 GDPR第3条规定了组织在地理空间上不属于欧盟但涉及个人信息处理的两种适用情况:向欧盟境内数据主体提供有偿或无偿的商品或服务;监控欧盟境内数据主体的行为。 因此,数据可携权的影响范围也不仅限于欧盟,只要其个人信息处理的业务涉及欧盟,都会受到数据可携权的管辖。
4.1 有利影响
4.1.1 加强数据主体权利
GDPR赋予了数据可携权 一 种 类 似 于 所有权的属性,数据主体既可以拥有个人数据也可以将其自由传输。 在法律上这是一项极大的创新,是对数据主体权利的加强。 数据可携权采取的应用模式是由数据主体提出申请、数据控制者响应的模式,在这种模式的影响下,也有利于数据主体数据权利意识的提升。
同时,从市场层面来看,数据可携权允许用户进行个人信息的复制和传递,从而可以自由选择最适合其需求的服务,不再因数据存储的“沉没成本”而被动选择。 同时,也可以保护消费者的合法权益,避免服务提供商设置个人数据传输障碍阻碍消费者进行自由选择。
4.1.2 促进行业数据传输标准的建立
目前,国内外尚未形成统一的数据传输格式,企业间数据流通较少,数据传递不畅。 数据可携权的提出,对数据格式进行了严格的要求。 不仅仅是要求通过电子手段以结构化和常用的格式对数据进行处理,更重要的是数据控制者间的数据传播。 这对于行业间通用的数据传输格式和行业数据规范的建立提出了要求。 虽然前文有指出,数据控制者可以以传输格式为理由逃避数据传输的义务,但这一点取决于欧盟监管委员会的执法尺度。 根 据GDPR第 83 条规定,违反数据可携权将处以2000万欧元或者企 业上一年度全球营收的4%的罚款,以较高者为准。 不仅如此,GDPR也给予了数据主体上诉和申请司法救济的权利。 GDPR第77、78条、79条和82条规定,对于不服监管机构的决定或是监管机构不作为,数据主体有权向监管机构提出投诉,拥有针对数据控制者、数据处理者和监管机构的有效司法补救权,还拥有向数据控制者和处理者要求因其违反 GDPR 造成的损失的赔偿的权利。在如此严苛的罚金和监管政策下,如果欧盟监管委员会对于数据传输标准加以重视,数据行业的领军企业推动行业数据传输标准的建立并非遥不可及。
4.2 不利影响
4.2.1 数据转移可能会损害有价值的专有信息或知识产权
如果需要转移的个人数据包含有价值的专有信息和知识产权,这可能会阻碍公司或服务提供商首先创建专有信息,影响知识产权保护。 数据控制者在对数据主体的数据进行收集加工后,为其赋予了财产属性。 如果数据控制者将数据传输给其他数据控制者使用,无疑是对其利益的损害,破坏市场的有序竞争和知识产权的保护。True Fit的案例说明了这一点,True Fit是 一 项在线数字服务, 帮助像House of Fraser这样的在线服装零售商的用户为他们的购物者找到合适的衣服尺寸。 True Fit服务要求购物者分享各种个人数据,如身高、体重、体型、喜欢的服装品牌和服装尺码等信息。 用户与 TrueFit共享此信息,然后 True Fit与在线零售商共享[13] 。 如果 TrueFit根据数据可携权规定要求,将此数据传输给其他零售商,其业务优势将不复存在,企业将丧失核心竞争力。
GDPR第63条规定,如果第15 条规定的一般权利对其他人的权利和自由产生不利影响,包括商业秘密和知识产权,则可以加以限制。 由于数据可携权的权利可以被视为访问权的扩展,则第63条中提到的限制应该适用于数据可携权请求。 换句话说,当公司面对数据可携权请求时,如果数据可携权对商业秘密和知识产权产生不利影响,公司应该能够从数据集中删除有价值的数据以对该项权利进行限制。
但是,GDPR 中有关数据可携权限制的第68条以及第20条都没有明确表明,如果对商业秘密和知识产权产生不利影响,数据可携带性的权利就会受到限制。 因此,GDPR 的监管机构需要进一步说明数据可携权在影响专有信息和知识产权时是否受到限制。 如果不对数据可携权加以限制,像True Fit这样的公司可能会停止根据个人数据创建有价值的服务,这显然会对竞争和创新解决方案产生抑制作用。
4.2.2 造成隐私和数据安全风险
当数据从一个数据控制者传输到另一个数据控制者时容易出现数据安全问题。 如果在没有经过严格认证的基础上,数据控制者向不应获得数据权限的人提供了访问权限,则数据可能会被利用于违法行为或给数据主体带来麻烦。 例如利用信息进行诈骗、销售人员进行销售骚扰、调查人员进行数据调用或是数据被用来进行某些暴力行为。 而且,GDPR 中提出的可互操作解决方案可能会加剧安全问题,虽然其不被视为导致安全漏洞的主要原因,但往往被视为增加安全漏洞机会数量的因素之一,并且此类漏洞还可能导致其他漏洞的产生。 特别是对于数据安全资源有限的中小型企业而言,这是一个重要的问题。
4.2.3 提高企业合规成本
强制数据控制者传输个人数据可能会耗费不成比例的成本和资源。 GDPR 第20条要求数据副本的提供和传输应采用电子化、结构化的数据格式。 如 Swire和 Lagos所指出的,许多中小型公司没有足够的资源来完全理解和遵守 GDPR,并采用规范格式将数据移交给另一家提供商[14]。
委员会和其他欧盟机构均未提出遵守数据可携带性请求的成本数据。 根据 Christensen等人的一项研究,GDPR改革将使欧洲中小企业的年度IT成本增加约3000—7200欧元,具体取决于中小企业的行业领域,该数额相当于企业年度平均IT预算的16%—40% [15] ,目前尚不清楚该预算将用于响应数据可携权请求的百分比。 虽然这些IT成本对大公司来说可能并不算高,但这一要求可能会给中小型公司带来负担。 必须指出的是,由于 GDPR严格的监管和高额的罚款,中小型企业不应轻视遵守 GDPR。
5
GDPR数据可携权中国可借鉴性研究
5.1 中国是否应引入数据可携权
对于我国是否应引入欧盟数据可携权,主要从欧盟数据可携权自身完备性和我国的国情差异两方面进行探究。
5.1.1 欧盟数据可携权不具有完备的法律体系和执法规范
GDPR的数据可携权除上 文 阐 述 的 不 利影响外,仍存在很多尚未落实的细节问题,包括概念解释不清、法律界限模糊、执法规范缺失等。
结合 GDPR第20条和序言第68条规定,该项权利适用于基于数据主体同意或履行合同所必须而提供的个人数据。 但对这一条款GDPR没有更进一步的解释,其适用范围不清晰。 个人数据这一概念,狭义解释可以理解为由数据主体亲自上传的数据,广义解释可以理解为与数据主体相关的数据。 可见,对此概念的狭义解释将影响数据主体使用法律捍卫自己的数据权利,而对此概念的广义解释将可能会减少数据控制者的经济利益,因此对数据主体本身提供的数据的解释需要澄清。 例如像eBay这样的拍卖网站,联系方式和广告由卖家(数据主体)自己提供,提供商(数据控制者)将反馈分数添加到卖家的个人资料中,这些构成了声 誉 的 一 部 分。 因 此,如果按照狭义解释,卖家只能将他们的个人信息移动到另一个拍卖站点,而不能将他们的评级和声誉移动到另一个拍卖站点,因为后者由服务提供商提供。 对于在线用户而言,显示他在进入不同平台时已建立的良好声誉至关重要。 如果没有声誉数据,卖家就不太可能在新平台上吸引新买家。 最终,这可能会阻碍用户转移到另一个平台[16] 。
GDPR缺乏数据可携权实 施 的 具 体 规 则说明。 例如传输格式只要求采用电子和结构化格式,对于如何达到这一格式,是否要建立行业统 一 的数据标准没有明确说明。 GDPR对于第三方隐私权与数据主体间权利冲突也没有给出具体的解决方案。 数据可携权的主要目标是赋予消费者权利,使他们能够获得他们的电子个人数据的副本,要求将他们的个人数据传输给另一个提供商并切换到其他提供商。 因此,数据可携权的目标与其他法律领域的目标重叠,例如竞争法、消费者保护法等。
与 GDPR中的其他数据主体权利类似,数据可携权是一项权利,需要由数据主体调用,并且不能被诸如中小型企业之类的各方所依赖。 例如,小企业不能要求其商业银行提供数据可携权,但是个人用户可以。 这引发了一些关于其法律和理论界限的问题,以及 GDPR所包含的领域内的执法。 此外,关于用户如何理解并使用数据可携权尚不明确。 为了确保数据主体有效地调用权利,需要告知数据主体该权利的含义。
由上述分析可以看到,GDPR 的数据可携权的主要意义在于对数据主体权利的增强,具有开拓性的价值。 但当分析到具体操作层面,该条款还有很多有待完善的部分。 作为一个尚未完善的法律条款,数据可携权带给我们更多的在于法律理念和法律精神方面的革新,此时并不是引进数据可携权的成熟时机。
5.1.2 我国数据保护相关法律尚未形成完整的法律体系
目前,我国个人数据保护相关法律仍在建设中,尚未形成完整的法律体系,立法进程缓慢。
2009年通过的《刑法修正案(七)》将重点放在个人数据的财产属性上,对个人信息保护提出了要求。 2012年通过的 《关于加强网络信息保护的决定》对收集、使用公民个人电子信息进行了规范[17] 。 2013年2月1日,《信息安全技术公共及商用服务信息系统个人信息保护指南》正式实施,要求网络服务提供者在业务活动中收集、使用公民个人电子信息时,应当遵循合法、正当、必要的原则,该指南体现了对于个人数据保护的重视和个人隐私保护的趋势发展,但是其只针对网络服务提供者的数据保护义务和用户权利列了一个基本的框架,缺乏细节支持,也没有完善的监管措施和惩罚措施。 2017 年 6 月 《中华人民共和国网络安全法》开始施行,该法对网络信息安全进行了详细规定,将散见于各种法规、规章中的规定上升到法律层面,从个人信息的收集与处理方式、个人数据权利保障、企业的责任与义务、监管制度等多个方面进行了较为全面的规定[18]。
可以看到,我国的个人数据保护法律体系在逐步完善,虽然有了 《中华人民共和国网络安全法 》 对个人数据保护进行规范, 但是与GDPR全面完善的个人数据保护法规相比,还有很大差距。 数据可携权并不是单一的法律条款,它需要访问权、监管措施等诸多的法律条款进行保障才能发挥效用。 完善的数据保护法律体系的缺乏,使我国缺少引入数据可携权的法律基础。
5.1.3 我国数据保护意识相对薄弱
与欧洲相比,我国从数据控制者到数据主体,都存在一定程度的缺乏数据保护意识的现象。 中国的高速发展,使得人们过多地关注经济利益,忽视了隐私的重要性。 在2018 年的中国发展 高 层 论 坛 上,百 度 董 事 长 李 彦 宏 表示,“中国人对隐私问题的态度更开放,也相对来说没那么敏感,如果他们可以用隐私换取便利、安全或者效率,在很多情况下,他们就愿意这么做。”[19] 此言一出,很多评论家和网友纷纷指责李彦宏的观点,认为是对个人隐私的不尊重。 但就现实而言,这或许是人们主动或被动选择的事实。
以手机 APP为例,安装手机 APP是人们的日常行为,但是会关注手机 APP所要求权限的用户却寥寥无几。 目前,大多数的手机APP都会要求多项授权,例如定位、访问手机账号、读取应用列表、录音、拍摄照片和视频等,而大多数授权与 APP功能并无关联,“被授权”、“被同意”的情况不胜枚举。 这或许是用户主动选择,或许是平台强大用户不得不选择的结果,但所体现出的是目前我国的个人数据保护在实践层面收效甚微。
而欧盟无论是主体维权意识还是数据保护意识都要强于我国。 从1995 年的 《数据保护指令》到欧盟各国的数据保护条例,欧盟通过大量的数据保护法律将数据保护意识进行传播。 GDPR对个人数据权利的高度重视,使得大多数据权利采用的都是数据主体投诉、数据监管部门辅助监管的模式。 由于我国的数据保护意识相对薄弱,贸然引入数据可携权,不仅可能无法起到加强数据主体权利的作用,还可能会被不法分子利用,进行恶性的市场竞争或威胁数据安全。
数据可携权提出之后,在欧洲以及全世界都造成了巨大的影响,它对于基础人权的巩固以及对于数据主体权利的加强具有开拓性的意义,欧洲数据保护监管局对其持以肯定的态度,鼓励政府和企业支持该项权利[20] 。 但通过以上论述可以看到,数据可携权本身存在很多问题。 尚不完善的执法措施、模糊的概念分析、对知识产权和公平竞争的破坏以及对数据安全的威胁,让人们对是否应将其引入打上了问号。加之我国的数据保护法律体系不完善,数据保护意识薄弱,更应慎重对待。 笔者认为,我国在将来的立法或实践中可以吸收其精神,对其进行改进,以促进信息产业的良性发展。
5.2 数据可携权对我国立法建设的启示
5.2.1 加快数据保护法律建设
自2010年起,欧盟一直致力于 《指令》的修订,对于个人数据保护法律体系的建设格外重视。 GDPR 对于欧盟个人数据保护具有里程碑的意义,大大推动了个人数据保护的法律进程。 数据可携权的设定,意味着个人能够更好地有效管理个人数据,保护个人隐私,具有开拓性的意义和价值。
目前,我国互联网行业发展迅速,网民数量位居全球首位,大型互联网公司层出不穷,云计算、大数据行业发展迅猛,如此快速的网络发展使我国的个人隐私安全逐渐受到影响。在世界经济论坛发布的 《2018 年全球风险报告》中,网络安全仅此于自然灾害,排在第二位。 据不完全统计,2017 年在黑市上泄露 的个人信息达到65 亿条次,我国平均每个人的个人信息被泄露了5次[21]。 据360互联网安全中心的数据显示,2017 年 “双 11”期间 360安全中心共为全国用户拦截钓鱼网站攻击1.1亿次[22] 。 同时,猎网平台当天接到用户报 案98起,涉案总金额约118.3万元,人均损失达1.2万元。
面对如此复杂的情况,加快立法建设才是根本。 不仅要建立专门的个人数据保护法律,更要加强数据保护法律体系建设。 个人数据的保护应以个人数据保护法为核心,以专门性法规作为补充。 个人数据保护法作为原则性的纲领法律,对个人数据保护的基本内容进行规定。但由于对应人群、行业领域和技术条件存在差异性,个人数据的处理和使用方式会有所不同。统一的个人数据保护法难以解决差异性的个人数据标准所带来的问题。 为了解决这一问题,应根据不同行业和不同人群的数据保护需求,在坚持个人数据保护法的原则下制定专门性的法规,形成补充性的个人数据法规[23]。
目前我国个人数据保护法律仍在建设中,GDPR对于我国的立法建设具有较高的借鉴意义。 但是出于社会制度、经济形态和历史沿革的差 别, 在借鉴时, 要根据我国的现状对GDPR进行甄别和转化,制定出能够全面对个人数据安全进行保护并符合我国国情的法律文件。
5.2.2 数据保护需平衡个人隐私权与企业发展
GDPR在对个人数据起到 很 好 保 护 作 用的同时,对企业也带来了一定的负面效应。 以被遗忘权为例,在2014—2017年间,谷歌公司收到了用户发来的超过 70 万 条 的 “删 帖”申请,其自行支付开销删除了将近90万条网络链接[24] 。 而从数据可携权的角度来看,无 论是对通用格式的操作标准的要求,还是对遵守数据可携权请求的数据成本,都会对中小企业带来合规负担。 而 GDPR 对此并没有设置补贴机制,企业由此带来的经济开销只能自己买单。 从整个市场的角度来看,过于强势的数据保护态度,对于跨国公司和国际市场的发展都有负面效应。
因此,在建设个人数据保护法律体系时,应对个人隐私权和企业发展进行平衡。 平衡不仅是被遗忘权与企业发展间的平衡,也是维护国家数据主权和推动互联网产业高速发展的平衡。 不仅要为个人数据保护提供法律保护,也要重视互联网企业的法律保护和补贴机制建设,对个人数据权利和企业利益进行平衡,促进我国互联网行业健康持续发展。
5.2.3 健全数据保护监管机制
在大数据时代,企业在挖掘数据价值时通常会采集大量数据进行分析。 然而,如果数据采集和分析没有受到监管和控制,会存在被滥用的可能,会给公民个人数据安全和国家数据安全带来隐患。 因此,我国应从 GDPR的相关规定中学习借鉴,对企业的个人数据处理及使用方式进行规范和监管,由国家、行业和企业3方面主体建立完善的数据保护监管体系。
国家方面,要建立国家-省-市三级的监管机构,国家监管机构和省级监管机构主要负责政策文件解读、对市级监管机构的执法进行监督、对市级监管机构的工作进行指导,具体对于企业的监管工作由市级监管机构完成。 监管机构的选择以企业注册地为准,即企业在哪个城市注册,就由哪个城市进行监管。 监管机构人员的选拔与公务员相近,要求有较高的数据处理水平。 行业的监管没有强制效力,主要是对境外个人数据保护文件进行解读,进行企业间纠纷协调。 企业内部应设立专门的数据监管小组,该小组有权限对整个公司所有涉及个人数据处理的业务流程进行检查,与所对应的监管机构对接,进行政策文件学习和解读。
数据保护与监管不仅针对个人数据安全,对维护国家数据主权更是至关重要。 应借鉴欧盟经验,对跨境数据传输给予高度的重视。构建完整的跨境数据传输及审查机制,建立监管机构进行安全评估,将个人数据跨境转移纳入严格监管之下,对于国家间管辖权重叠的问题进行明确,切实维护公民个人隐私和国家数据安全。
作者简介
冉从敬,教授,博士生导师,武汉大学信息资源中心副主任,研究方向为知识产权、信息咨询、专利分析与服务。
张沫,研究方向为大数据主权,知识产权。
参考文献
*原文载于《信息资源管理学报》2019年第2期25-33页,欢迎个人转发,公众号转载请联系后台。
制版编辑 | 王小燕