欧盟数据可携权的困境与本土化思考
来源:用户上传
作者:刁胜先 李施芩
摘要:欧盟在《通用数据保护条例》中创造性地规定了数据可携权,以期在增强数据主体对于其个人数据控制力的同时,促进欧盟本地互联网产业的创新和发展。作为一项新兴权利,数据可携权既充满着希望又引发了世界范围的争议。通过对数据可携权的演进、价值、要素、行使和困境等进行分析,在肯定其加强和促进个人数据法律保护的前提下,直面其不足与弊病,再结合我国产业发展和个人信息保护立法现状,对其本土化思考有所助益。我国目前不宜盲目引进或一味拒绝数据可携权,应当针对具体国情,借鉴其经验并对其进行本土化取舍,构建适合我国的可携权内容,以实现我国数据产业发展与个人数据主体权益保护的平衡。
关键词:数据可携权;《通用数据保护条例》;权利架构;本土化
中图分类号:D913;D912.1 文献标识码:A 文章编号:1673-8268(2020)02-0068-10
一、欧盟数据可携权的演进与价值
(一)提出与演进
随着大数据技术的发展和普及,个人数据保护已经成为各国热议的话题之一。世界上最早的个人数据保护立法可以追溯到美国1970年通过的《美国公平信用报告法》和德国黑森邦州1970年的《资料保护法》。而欧盟委员会也为了防止个人数据被不当处理,在1995年正式通过了《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》(以下简称“95指令”),旨在保护个人数据免受非法收集、超出目的范围的处理、传输以及个人信息泄露的威胁。但是面对大数据时代的到来,数据的收集和处理变得日益频繁,个人数据泄露和被不法利用的例子频发,使数据主体对于其个人数据的控制力受到了前所未有的威胁。除此之外,以谷歌、Facebook、微软等为代表的美国互联网巨头的崛起,限制了欧盟的本土互联网企业发展,使其与前者的差距越来越大。在此背景下,为了加强对个人数据的保护,打造一个更加公平透明的市场竞争环境,欧盟委员会于2012年在95指令的基础上起草了《通用数据保护条例》(General Data Protection Regulation,GDPR),创造性地引入了数据可携权的概念,这项新颖又充满争议的个人数据权利在经过四年的讨论和修改后被固定在了GDPR的最终文本中。而后,为了明确GDPR中尚未具体说明的相关概念,欧盟第29条工作组(Article 29 Working Party,WP29)在2017年4月发布了关于数据可携权的指南,大体上完善了数据可携权的法律框架,为数据主体和数据控制者提供了指导,从而使其更有效地行使这项新的权利。
从数据可携性这个想法的产生来看,数据可携权事实上产生于数据保护法领域之外。早在2007年,数据可携性项目(The Data Protability Pro-ject)就产生了,旨在讨论和解决在商业环境中如何保障数据不被约束地传输,并为个人数据在商业环境中传输奠定了基础。这个项目在当时受到了许多大型数据控制者例如Facebook和Google的关注,并提供了自愿的配套解决方案。例如,Google在2011年创建了“Google Takeout”工具,允许其用户从27种谷歌产品中导出和下载其个人数据。Facebook也提供了类似的下载工具,允许其用户不仅能下载他们在个人资料中分享的信息,而且還能下载其他被动数据,包括用户活动日志、曾点击过的广告和曾登录过的IP地址等。但是从实践的角度而言,这个项目事实上很难在激烈的商业竞争环境中实现;从本质上来讲,该项目提供的数据可携性提议非常类似能使个人深入了解其个人数据使用情况的数据访问权,但是却不能有效地促进该项个人数据向第三方数据控制者的传输。而这同样也是GDPR数次草案修改中关于数据可携权是否独立于数据访问权的重大争议点。
数据访问权作为一项正式的法律权利被提出,是在2012年1月欧盟委员会提交的GDPR草案中。在最初的草案中,数据可携权被规定于第15条,与数据访问权独立存在。然而此项规定引发了企业和学界的众多争议,主流的反对意见认为数据可携权应当作为数据访问权的一项具体内容而并入访问权规定之中。因此,在2014年3月欧洲议会通过的GDPR修正案中,数据可携权被合并入了数据访问权,尽管欧洲委员会对于数据可携权独立性的观点在这一系列的修正案中并没有改变,但是欧洲议会仍然认为数据可携权不应该被视为一项独立的权利,而应当被视为数据访问权的延伸。但最终在2016年4月,经过欧盟委员会、欧洲议会和欧洲理事会的再三磋商,数据可携权的权利内容包括但是不局限于数据访问权,因此被再次确立为一项独立的数据主体权利固定于GDPR的最终文本之中。因此,有学者也提出,可以将数据访问权看成是数据可携权的先决条件,而将数据可携权视为从访问权发展而来的、数据主体对于其个人权利控制的补充。经过两年的过渡期后,数据可携权随着GDPR于2018年5月25日正式对所有成员国具有法律约束力。
(二)功能与价值
数据可携权的设立不可避免地改变了个人数据的控制方式,这种改变既体现在数据主体与数据控制者之间,也体现在有竞争关系的数据控制者之间。欧盟委员会认为设立数据可携权的立法目的在于:首先,增强数据主体对于其个人数据的控制力和支配力,这种控制力不仅表现在数据主体能够要求数据控制者提供其个人数据,更表现在数据主体能够对其个人数据进行重复利用。例如,某音乐软件的用户可以要求此音乐软件提供包含该用户的个人账户信息、音乐偏好消费习惯等个人数据的格式化副本,并将此副本转移至另一音乐软件。其次,数据可携权的设立还能降低企业在欧盟地区的市场准入门槛,进而增加消费者福祉。
有学者指出,由于数据可携权的规定不仅要求数据控制者提供数据主体访问其个人数据的权利,还要求其提供可供转移的统一化格式,并且在数据主体将其个人数据传输给另一家服务提供商时,数据控制者也需要投入额外的成本来防止在这一过程中可能产生的泄露商业机密和知识产权的风险,这些要求都会大大增加数据控制者的管理成本,不利于小型互联网企业的孵化和发展、甚至导致微小型企业破产,从而降低消费者福利。但从另一个角度来看,由于数据可携权的规定赋予了数据主体对于其个人数据类似所有权的权利,因此,他们可以根据自己的自由意志来支配自己的个人数据,从而保障消费者拥有更多自由选择网络服务提供商的权利,削弱了大型互联网公司例如亚马逊、Facebook等利用其现有的市场优势和“锁入”政策来维系用户数量和市场规模的行为。一方面,大型互联网公司需要投入更多精力进行创新,提高产品用户体验和保障消费者隐私来吸引消费者继续青睐其产品。另一方面,正如前欧盟委员会竞争司司长Joaquin Mmunia指出,数据可携权可以带来一个更加良性的互联网竞争市场,因为对于中小型企业而言,这会降低互联网市场准入门槛,使更多的竞争者加入到市场之中。对于消费者而言,数据可携权的设立不仅可以增强消费者对于自己个人数据的控制力,降低更换网络服务提供商的成本,更能迫使互联网企业投入更大的精力于公司产品创新从而吸引消费者将其个人数据转移至己方平台。从某种程度上而言。数据可携权的设立提出了一种新的解决数据主体和数据控制者之间关系的思路,打破了以往数据控制者特别是某些大型互联网公司主导个人数据使用的模式。这不仅满足了欧盟委员会提出的保障消费者能更好地在线获取数字产品和服务的建设数字化单一市场的要求,而且达到了在强化消费者个人数据保护力度的同时又充分激发互联网市场活力的效果。 二、欧盟数据可携权的要素
(一)数据可携权的主体
1.权利主体
GDPR第1条指出:“本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利。”虽然GDPR没有明确否定法人的权利主体资格,但是从GDPR第1条立法目的和第4条对于条例内各项概念的定义解释可以看出,法人并不是受GDPR保护的权利主体,更不可能是数据可携权的权利主体,由此得知数据可携权的权利主体为自然人。由于GDPR属于欧盟条例,不需经过欧盟各成员国立法转换成法律即可直接适用,因此,欧盟境内的自然人均可成为数据可携权的主体。此外,根据GDPR第3条对于地域范围的规定,由于在欧盟内部设立的数据控制者对个人数据的处理均受到GDPR的管辖,因此,任何受到在欧盟境内设立的数据控制者服务的自然人,无论其是否来自欧盟境内,均可成为数据可携权的权利主体。
2.义务主体
根据GDPR第20条规定,数据控制者有义务以经过整理的、普遍使用的和机器可读的格式向数据主体提交其个人数据副本。与数据处理者和接受者不同,根据GDPR第4条第7款规定,数据控制者是指决定个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体。所有满足该定义的主体,无论是社交媒体、搜索引擎、在线照片储存还是银行、航空公司网络系统,无论其规模大小,都要受到数据可携权的管辖。在地域管辖上,同样根据GDPR第3条规定,除了欧盟境内设立的数据控制者应然成为数据可携权管辖的义务主体外,在境外设立的数据控制者在满足“(a)为欧盟境内主体提供商品或服务……或(b)对发生在欧盟范围内的数据主体活动进行监控”的条件下也受到数据可携权的约束。
(二)数据可携权的客体
根据GDPR第20条规定,数据主体有权获得其提供给数据控制者的个人数据副本,并将此类数据从一个数据控制者處转移至另一个控制者的权利。由此来看,数据可携权的权利客体和对象应为数据主体提供给数据控制者的个人数据。换句话说,数据可携权范围内的个人数据必须满足两个条件。
第一,该数据为关于数据主体的个人数据。首先,应当明确个人数据的内涵。目前对于个人数据的界定大多采取欧盟95指令中使用的“可识别说”,该观点也在GDPR和欧盟WP29《关于个人数据概念的意见》中得到完善,并逐渐被其他各国的立法机关和学者所接受。例如,我国齐爱民教授也认为,个人信息是指个人的姓名、性别、年龄、血型、健康状况、身高、人种、地址、职业、生日等可以直接或者间接识别个人的信息。根据WP29的解释,个人数据有以下几个特性:(1)任意性,形式上可以为电子计算机中存储的信息或纸质文档中保存的信息,内容上可以为客观的、反映个人身份特征的信息或是主观的、可以通过主观评价而识别到某个人的信息;(2)相关性,个人数据必须是关于某个人的信息,并且这种相关性可以基于不同场景而产生不同的判断标准;(3)已识别或可识别性,这一点是个人数据的核心特征,意味着这种个人数据是否可以在所有合理可能的方法下直接或者是间接地识别出某人。其次,由于数据可携权同时也是针对数据控制者必须满足的义务,所以有学者认为,数据可携权的客体不可过于宽泛,应当对个人数据的范围做出限制性解释,以免给数据控制者增加不合理的负担。
第二,该数据必须为数据主体向数据控制者所提供。但是,GDPR并未明晰数据主体所提供的数据的具体含义,对此,WP29在解释中指出,可以将“数据主体提供的数据”分为以下两类:(1)数据主体有意和主动提供的个人数据。该类型数据最为简单、易于分辨,包括数据主体在网络活动中主动提交的账户数据,例如,数据主体通过在线表格上传的电子邮件地址、电话号码以及家庭地址等个人偏好性设置,这些数据通常是在数据主体第一次与数据控制者进行交互时上传到数据控制者服务器;(2)数据主体通过使用服务或者设备所提供的观测数据。这一类型数据可以被视为数据主体被动提供的数据,通常表现为数据主体的行为数据,即数据控制者通过记录、观察主体行为而得到的数据,包括其网站浏览历史、位置数据以及通过穿戴设备记录的健康数据等。与此同时,WP29在解释中强调,这一部分数据不应当包括数据控制者基于统计和分析的目的而产生的衍生数据和推断数据,数据控制者可以通过对数据主体主动提供的个人数据和观测到的数据主体的行为数据来执行某种分析,从而创造推断数据和衍生数据,例如,金融系统对于用户的信用评分,或是企业对用户进行的分类结果和用户画像等。以电子交易平台的卖方为例,也就是说,卖家可以要求电子交易平台提供他在该平台上的广告、联系信息以及交易记录和买方对于其评价的数据副本,但是不能要求平台提供经过分析后得到的平均信用评级的数据副本。
虽然GDPR中并未对数据可携权规定的权利客体提供明确的澄清,但是我们不应对其做出过于狭义的或是宽泛的解释。数据主体会更加关心对象范围的狭义解释,因为对于个人数据的狭义解释可能会影响数据主体个人数据保护的结果。而数据控制者则担心广义的解释将会增加数据控制者的运营成本,因此应当合理界定数据可携权的适用范围。总的来说,数据主体提供的个人数据不仅包括主体主动提交的数据,还包括基于数据主体行为而观察到的个人数据,但不应包括数据控制者基于主体行为而创建的推断数据和衍生数据。
(三)数据可携权的具体内容
根据GDPR第20条和WP29在指南中的解释,数据可携权的具体内容应当包含两项:个人数据接收权和个人数据转移权。前者是数据主体有获得有关的个人数据副本的权利,属于对数据访问权的延伸;而后者则是数据主体有将有关的个人数据从一个控制者转移至另一个控制者的权利,这种转移不限于社交网络的数据转移,还包括员工离职和医疗数据的转移等。
1.数据接收权
数据接收权是指数据主体有获得其提供给控制者的相关个人数据的权利,并且其获得的个人数据应当是结构化、普遍使用的和以机器可读的格式。这项权利可以被视为是数据访问权的延伸,数据主体除了有要求数据控制者提供其个人数据的权利外,还有要求个人数据是以结构化、普遍使用和以机器可读的格式所提供的权利,这种延伸可以减少个人数据在不同数据控制者之间流转的障碍。但是实践中,对于“结构化、普遍使用和机器可读”的格式暂且没有一个定论,为了避免对企业自主经营权造成损害,影响数据处理形式多元化的发展.GDPR和WP29并未对该格式采取强制性要求,而是以鼓励的形式,推进行业协会和利益相关方共同制定一套通用的标准和格式以满足数据可携权的实现。WP29进一步强调,“结构化、普遍使用和机器可读”的格式不是数据控制者提供个人数据的唯一标准,而应当是最低限度的基本要求,最终目的应当满足数据格式的“互相操作性”。因为如果缺少互相操作性,数据就不能在不同的网络和IT系统中流通,那么数据可携权将失去存在的大部分意义。 2.数据转移权
数据转移权是指数据主体有将其提供的个人数据从一个控制者处转移至另一个控制者处的权利,并且这种转移不应受到数据控制者的阻碍。数据转移权是可携权独立于数据访问权最核心的区别之一,这种转移权类似于欧盟《消费者保护法》赋予消费者的一项通讯号码可携权,即消费者可以在转移通讯服务供应商的情况下保留自己的通讯号码。WP29将“无障碍”解释为不被拒绝访问、拖延访问或者重复利用和传输。相应地,“障碍”通常表现为:缺少数据格式的互相操作性,收取数据传输费用,缺少访问数据格式或API的权限,故意模糊数据集或者过多的部门标准化和认证要求等。从本质上来讲,转移权不仅增强了保障数据主体对其个人数据的控制力,同时也是支持欧盟境内个人数据的自由流动和促进数据控制者之间竞争的重要工具,且有助于个人数据在不同数据服务商之间的传输和重复利用,降低欧盟地区互联网企业的市场准入门槛,从而促进欧盟数字化单一市场战略的推行。
本章主要对数据可携权的要素也就是权利架构进行了分析,从权利的主体、客体以及数据可携权的具体内容来展开。根据上文分析可以看到,作为GDPR设立的新兴权利,数据可携权的主体范围,包括权利主体以及义务主体与其他在GDPR中规定的数据权利的主体范围几乎一致。对于数据可携权的客体范围,虽然其并未在GDPR的条文中得到具体阐述,但WP29却对其做出了特别的解释,即数据主体提供的个人数据不仅包括主体主动提交的数据,还包括基于数据主体行为而观察到的个人数据.但不应包括数据控制者基于主体行为而创建的推断数据和衍生数据。从权利内容的方面来看,数据可携权不仅包括数据主体对于其个人数据的获取权,而且还包括对于个人数据的转移权,而后者权利则构成了数据可携权与数据访问权的最核心的区别。数据可携权作为一项固化数据可迁移性的权利,在一定程度上加强了数据主体对于其个人数据的控制能力,并重新设置了个人数据间的流动规则,从而减少数据控制者利用“锁定效应”固定消费者控制相关市场的反竞争行为。
三、欧盟数据可携权的行使
(一)行使方式与条件
根据GDPR第20条第(1)款(a)(b)项,数据主体有权处理或转移个人数据的行为必须满足两个条件:数据可携权涉及到的数据必须是通过“自动化方式”进行处理的;处理行为基于数据主体的同意或数据主体为合同的缔约方。对前者容易理解,数据可携权仅仅使用于被“自动化方式”处理过的个人数据,因此纸质文件数据不能纳入可携权的范围。此外,数据可携权还需要基于数据主体的同意或合同时方能行使。知情同意是个人数据法保护的最基本的原则,根据GDPR第16条,“同意”的标准必须具体、清晰,是在用户充分知情的情况下以自愿方式做出。在这种高标准下,以往数据控制者通过复杂繁琐的隐私政策要求用户以同意上述所有要求的方式做出一揽子授权的做法将失去合法性;数据控制者在获得用户知情同意时尽到明确、清晰的提示义务,以简单易懂的语言让用户真的理解他们的个人数据将被如何收集和处理,而不仅仅是形式上获得用户的同意。此外,GDPR第8条还对未满16周岁的儿童“同意”作出了特别规定,在处理儿童个人数据时必须获得其父母或者其他监护人同意。从这些规定可以看出,GDPR增加了对于数据控制者的法定义务,加强了对于知情同意要件的认定,加强了个人信息自决理论在个人数据保护实践中的贯彻。在数据主体明示同意的情况下.数据控制者为了实现与数据主体之间成立合同目的而进行处理的数据也可以纳入数据可携权的范围。例如,用户在网站上购买商品的交易记录、或是保险买卖合同中保险公司为提供产品而收集、处理的用户个人信息等。
在满足上述两个行使条件的情况下,数据主体有权要求数据控制者提供有关于该数据主体的个人数据。但是,GDPR第20条第(2)款同时还对个人数据转移提出了特殊的规定,即在技术可行的情况下,数据控制者还负有将可携个人数据直接传输给其他数据控制者的义务。可是GDPR和WP29并未对“技术可行”做出进一步解释,并且强调了技术可行的要求并不意味着要求数据控制者负有采用或維护技术兼容处理系统的强制义务,因为这必然给企业带来额外的成本。“技术上可行”是个宽泛的表达,其并不等同于经济上可行。欧洲银行联合会(EBF)对此做出如下解释:如果数据控制者声称转移是不可行的,则必须证明这一点,如果不能提供足够的证明,则应当保证数据的可传输性。同时WP29指出,数据控制者之间进行数据传输的技术可行性应当采取个人评估的方式,如果两个数据控制者的系统具备以安全的方式传出和接收个人数据的技术条件,那么这两者之间可以进行传输。如果不具备此项条件,那么数据控制者应当将数据障碍情况向数据主体进行解释。
(二)行使限制
在法律适用方面,任何一项权利的行使都应当受到合理的限制,数据可携权亦是如此。根据GDPR第20条第(3)(4)款的规定:行使该条第(1)款规定的数据可携权时,不得影响第17条数据被遗忘权的规定。对于数据控制者为了公共利益,或是行使公权力而进行的必要处理,也不适用数据可携权的规定。此外,数据可携权的行使不能对他人的权利或自由产生负面影响。据此,行使数据可携权有三个例外规定。
第一个例外涉及到GDPR第17条规定的被遗忘权。从法条文义上解释,数据可携权与被遗忘权是可以并存的,数据主体可以在行使数据可携权的同时要求原数据控制者删除其个人数据;但同时WP29也强调,数据可携权并不必然导致被遗忘权的触发.个人数据在被数据主体提取或转移之后并不必然导致被删除,只有在满足被遗忘权的形式要件情况下(例如数据主体撤回同意、数据处理不合法或不再必要、或者数据主体反对处理有关个人数据等情况),经过数据主体主张,原数据控制者方有义务删除有关的个人数据。
第二个例外是为了满足某些特殊利益。GDPR第89条规定了行使数据可携权的减损规则,即在为了实现公共利益、科学历史研究、统计目的或是为了行使法律赋予数据控制者的权力而进行处理的数据,可以合理限制其可携性,但这并不意味着数据主体对这类型的个人数据无法主张可携权,只是在如果完全实现可携权诉求可能使上述目的实现复杂化甚至无法实现的情况下方可实现对于数据可携权的克减。换句话说,如果对该部分数据行使可携权并不会阻碍公共利益、科学历史研究、统计目的或是数据控制者行使法律赋予的权力的情况下,该权利不用克减。 第三个例外是可携权的行使不能对他人合法权利产生负面影响。在万物互联的时代,要将某个人的个人数据与其他机构单独地割离开来是不现实的,例如,当一个数据主体要求转移其银行账户交易资料时,其中涉及到与该数据主体发生交易的其他主体的资料不可避免地要纳入转移数据的子集内,而此时第三方主体并没有机会得知自己的个人数据被转移至新的数据控制者处,所以,数据可携权的行使可能会对第三方数据主体的数据权利(如数据访问权、知情权)产生不利影响。例如,2017年Facebook事件中,剑桥分析公司通过小程序获取用户联系人资料,从而投放特定广告以达到其特殊政治目的,这就是典型的第三方数据主体在不知情的情形下其有关个人数据被泄露的事件,而且可以证明这种关系链式的数据转移是可能造成第三方数据主体权利受到严重侵害的。为此,WP29在指南中提出了一个解决办法,当数据主体主张可携权的数据集包含第三方个人数据时,这些数据在转移后只能由数据主体进行唯一控制,且用于处理纯粹的个人或家庭活动,任何第三方数据控制者不能将该数据用于实现自身目的,例如,向第三方提供商品营销或完善第三方用户画像等。同时WP29建议数据控制者在提供数据可携服务时尽可能完善知情同意机制,给予数据主体更多选择他们想要转移和接受的数据的权利,这些建议都可以进一步降低行使数据可携权时侵害到第三方数据主体权利的风险。
从上述分析可以看出,GDPR和WP29对于数据可携权的行使要件作出了相对具体的规定。数据主体要求处理或转移其个人权利的行为必须满足两个条件:处理是通过自动化方式完成;其行为必须基于数据主体的同意或合同。除此之外,GDPR还对数据迁移权做出了特殊的规定,即数据主体对于数据控制者提供可转移至其他数据控制者处的要求必须建立在“技术可行”的情况下,这种要求没有将可携权上升至强制企业间达到数据兼容、达到相同操作技术标准的程度,给市场留有了一定的空间以避免给企业带来额外不必要的成本。此外,GDPR同时也对数据可携权的适用做出了合理的限制,除了基于公共利益或行使公权力的情形下的数据处理行为会使数据可携权的行使受到克减,WP29专门强调了在数据转移的过程中,如何处理涉及第三方个人数据的问题。为了尽可能避免对于第三方数据主体数据权利的侵害,WP29在指南中提出了许多解决第三方数据主体在不知情的情况下个人数据权利受到侵害的方法,例如,缩小包含第三方个人数据的数据集被转移的处理范围、督促数据控制者在提供数据可携服务时的知情同意机制等。在万物互联的时代,人、物、事之间的信息已经不可避免地交织在一起,在这种情况下,数据可携权主要关注的是赋予数据主体更多的对于其个人数据的控制力,GDPR和WP29也为其行使提供了必要的指南和解释,但不可否认的是,数据可携权的行使仍然面临着巨大的考验,这种考验不仅包括如何不涉及对他人权利的负面损害,而且还包括了一系列可能存在的困境。
四、欧盟数据可携权遭遇的困境
数据可携权作为一项新兴的数据权利,从2012年首次提出到现在,已经基本形成了一套完整的“可携带”制度,但是由于实践时间尚短,从具体的法律规定上来看还存在着一系列问题或困境影响着数据可携权的实现。
(一)数据安全风险
根据GDPR第32条要求,数据控制者和数据处理者必须采取适当的技术和组织措施以确保其所掌握的个人数据能够合理应对风险的安全级别,而且特别强调了要对个人数据进行匿名化和加密处理。但是根据GDPR第20条,数据控制者应当保障数据主体能“不受阻碍地”行使数据可携权内容,除此之外,WP29建议的保障个人数据格式应当满足“互操作性”,这个要求在现实中也有可能威胁到个人数据安全,与数据安全性原则产生矛盾。虽然这并不意味着“不受阻碍地”和“互操作性”是构成安全漏洞的主要原因,但是它能增加数据泄露的机会,特别是在技术能力和控制成本有限的中小型企业中,在发生不法侵害个人数据行为例如黑客入侵时,有可能会增加个人数据泄露的风险。为此,WP29在指南中指出,在任何情况下,数据控制者必须执行身份验证程序,可以要求数据主体提供合法身份證明。但是指南并未更详细地说明评估身份认证的标准,也没有明确规定数据控制者可以要求数据主体提交多少资料来确认其身份。这样带来的不利后果之一是数据控制者可以使身份认证程序变得异常困难,特别是在某些匿名主体证明其个人身份的程序上,导致数据可携权的行使受限:另一个不良后果则是可能使身份认证流于形式从而导致个人数据泄露的风险增加。
(二)与竞争法冲突
在学界对于数据可携权的质疑中,争议最大的是其与竞争法的冲突。有学者认为,数据可携权并不满足竞争法规定的正当竞争。正如GDPR对于引入数据可携权的介绍来看,数据可携权可以增强个人对于其有关的个人数据的控制力,并允许数据主体将其个人数据在不同数据控制者之间进行流转,从而防止信息垄断,打破大型企业对于用户个人数据的“锁定效应”,降低互联网行业的进入门槛,刺激更多中小型企业进入市场。但是有学者认为,这种目的是完全可以通过竞争法来解决的。根据竞争法原则与精神,如果数据控制者控制的数据构成了重要的竞争要素,那么可以要求该数据控制者承担竞争法上要求的额外义务,例如,确保数据可迁移。由于这种对于数据控制者额外义务的要求毫无疑问地会增大数据控制者的成本,因此这种要求的前置程序非常复杂,通常要考虑三个要素:(1)该数据控制者是否具有市场支配地位;(2)数据是否构成了关键的竞争要素;(3)这种支配地位是否被滥用从而损害了市场的正当竞争。可是结合这些要素来分析数据可携权可以看到,可携权的义务主体规范过于宽泛,作为一项数据主体的基本权利,并未区分适用的义务对象.而是包括所有数据控制者,无论其规模大小,均要受到数据可携权的约束。作为创业起步阶段的中小型企业,满足数据“互操作性”的要求必然导致成本的增加,可能导致给中小型企业带来与利益不符的成本支出,从而抑制中小企业的创新.从另一种程度上提升了互联网行业的准入门槛。对于消费者而言,企业为满足数据可携性要求而付出的巨大成本最终都会转移到消费者身上,从而也会降低消费者的福祉。数据可携权的规定体现了数据保护法与竞争法之间存在着竞合、交叉的趋势,然而对于义务主体范围的规定成为了二者产生矛盾的分歧。相较而言,GDPR着重保障了个人数据的基本权利,竞争法则更加符合数据可携权打破信息垄断效应、降低数据主体转换个人数据成本的目的。 從前文的论述可以看到,数据可携权更多关注的是数据主体对于其个人数据的控制力以及个人数据在不同数据控制者之间的转移能力。但是对于数据控制者而言,用户转换成本的减少必然导致企业运营成本的增加。GDPR将数据可携权确定为数据主体的基本权利,无论其规模大小均可以被适用于所有企业.这在一定程度上违背了竞争政策的原则和精神。不仅如此,数据可携权要求个人数据能够“不受阻碍地”在数据控制者之间以满足“互相操作性”的格式进行转移,这个要求在一定程度上会增加个人数据泄露的风险,因而要求数据控制者投入更多的运营成本来防止数据主体权利受到负面威胁。对于消费者而言,这些增加的运营成本最终都会转嫁到消费者身上,因此,消费者福利也有可能受到潜在的减损。总之,数据可携权在实践中带来的新问题也许比想象的更加复杂。
五、欧盟数据可携权的本土化思考
纵观世界范围内的个人数据立法,无论是从数据保护的前沿性还是从数据权利体系的完善性来看,欧盟地区都走在世界前列,而数据可携权作为欧盟最新数据保护立法中的独创性权利自然成为了世界司法界关注的焦点。相较欧盟而言,我国在个人信息保护方面仍处于探索阶段,尚未形成一个完备的个人数据保护法律体系。对于是否引入数据可携权,在我国学界为数不多的研究中,主流观点是不建议全盘、立即和贸然引入,而要审慎对待。比如,冉从敬、张沫认为:数据可携权不是单一的法律条款,而需要访问权、监管措施等诸多法律条款进行保障才能发挥效用,我国缺乏完善的数据保护法律体系,因而缺少引入数据可携权的法律基础;谢琳、曾俊森论证了数据可携权的诸多不足后,认为我国虽已有数据可携权规定的雏形,但在经过充分的产业情况调研以及实践检验之前,暂不适宜引入;高富平、余超则认为数据可携权具有安全风险、实践中几乎无法操作等固有缺陷,我国不应鲁莽引入,应在未来的立法与实践当中进行重构或者舍弃。因此,无论从权利的新颖性还是权利体系的完备性来看,我国都不可避免地需要考虑和借鉴欧盟体系。但是借鉴并不意味着一味的照搬抄袭,对于是否引进数据可携权而言,我们需要认真思考其与我国社会发展和司法现状的适配性,避免因为盲目引入而产生与我国现有法律制度的冲突以及阻碍我国信息产业的发展。笔者认为,我们既不宜盲目引进,也不应一味拒绝,如何建构中国模式的数据可携权仍然是对我国专家的一次挑战,有必要对其作出本土化思考。
(一)本土化的不利方面
正如前文所述,数据可携权在美好的设想下,仍然可能在数据安全上面临巨大风险以及与现有法律制度产生冲突矛盾。欧盟对于数据可携权的司法实践经验尚不足一年,有学者曾提出执行数据可携权的成本或许将远远大于降低市场门槛给中小型企业带来的福利,因此只有时间才能证明处理数据可携性的请求是否过于昂贵。
此外,一项法律制度的引进除了要以充分的理论研究为基础,更要从社会经济发展背景来考虑。正如前文提到的,欧盟提出数据可携权的一个目的是削弱以美国为首的互联网巨头的数据垄断带来的优势,促进欧盟本土企业的发展从而减少欧美互联网产业之间的发展差距。对于我国而言,根据《国家信息化发展战略纲要》和《促进大数据发展行动纲要》的战略布局,我国互联网和大数据产业正处于蓬勃发展的阶段,在2018年营业额排名前二十的全球互联网企业中.中国仅次于美国,占据了八个席位。可以说,我国已经成为了与美国并首的互联网大国,这与国家给予互联网企业宽松的政策环境是分不开的。因此我们应该保持这种奋发向上的势头,在立法方面减轻企业负担,以宽松的国家政策和人口红利继续刺激互联网产业的发展。
数据可携权的实行对于社会互联网产业发展和个人数据保护的影响还未稳定下来,在个人数据保护法律体系较为完善的欧盟尚且应该对数据可携权的施行持谨慎态度,因此,我国更应该理性看待数据可携权的引进。
(二)本土化的有利方面
虽然从数据可携权本身缺陷和欧盟与中国不同的互联网产业发展背景的角度而言,我国在现今阶段暂且不宜盲目照搬数据可携权,但是这并不意味着数据可携权制度一文不值,其不足也并非不能克服。数据可携权作为一个前沿概念,既带来争议又充满了希望,对于改善我国目前数据保护现状十分具有诱惑力。它能改善当前个人数据被泄露或被不法利用的现状,增强数据主体对于个人数据的控制力.对我国的个人数据权利类型化、权利体系化具有借鉴意义。
目前我国关于个人信息的立法散见于各类法律法规之中,总体上十分落后,导致当前数据泄露事件频发,数据主体对于其个人数据的控制力不足,成为了阻碍数据产业发展的瓶颈之一。但是,我国《数据安全法》《个人信息保护法》等新法制定和《科学技术进步法》等旧法修改已被列入当前十三届全国人大五年立法规划,其内容有望对数据可携权加以关注和规定。不仅如此,我们还可以从欧盟数据可携权的规定中,借鉴数据获取权的内容,赋予数据主体要求数据控制者提供其有关的个人数据的权利。让数据主体更清楚地明白其个人数据被收集的方式和程度,从实质意义上增强数据主体对于其个人数据的控制能力。
此外,为了实现个人数据主体、政府、企业等多方主体的利益平衡,我国可在数据可携权的权利客体、内容与行使条件上加以限缩,分领域分行业、区分不同适用主体而赋予不同的权利内容和苛加不同的限制条件。据此,结合国家社会整体进程的发展所需与个人信息化生存的权益诉求,在动态平衡中,分阶段逐步实现数据可携权,避免“一刀切”和“大跃进”,也是本土化的一种可行思路。
转载注明来源:https://www.xzbu.com/1/view-15187061.htm
