摘要:欧盟《一般数据保护条例(GDPR)》引入的数据可携权在增强个人数据控制力和促进市场竞争方面可谓前所未有。这项大数据时代的新型数据权利成为既被遗忘权之后欧盟数据保护改革中的又一大亮点。以个人信息自决为理论基础的数据可携权在内容上包括了数据主体的副本获取权和数据转移权。但与此同时,法律概念的抽象性、适用范围的局限性以及与其他数据权利间的不协调性亦使得该权利的法律适用亟待欧盟执法机构更加具体和可操作性的实施细则的出台。就我国当前互联网产业的发展和立法概况而言,未来的个人信息保护法中不宜引入数据可携权。
关键词:数据可携权;GDPR;信息自决;控制力
年5月4日,欧盟《一般数据保护条例(GDPR)》(以下简称“GDPR”)正式文本被公布在欧盟官方公报上,[1]从而正式结束了这项长达四年之久的欧盟个人数据保护改革。在这部被外界称为“史上最严的个人数据保护条例”中,扩大的地域适用范围、强化的被遗忘权、新型的数据可携权、一站式服务和严厉的处罚措施等成为亮点。为了促进市场竞争以及构建欧洲数字化单一市场(DigitalSingleMarket),[2]欧盟立法机构在此次个人数据保护改革中创造性地引入了“数据可携权(RighttoDataPortability)”。对于这项在任何司法管辖区都没有立法和司法经验的新型权利而言,其在立法进程中也受到了来自理论和实务层面的双重挑战。
一、数据可携权的提出
在快速变革的信息时代,随着新技术的不断涌现,数据的商业价值日益凸显,数字经济已然成为世界各国着力打造的新增长点。而与此同时,大规模的数据泄露事件以及利用个人信息实施精准诈骗等违法行为层出不穷,我们每个人都成了互联网世界中的“透明人”。为加强新时期公民的个人数据控制力,欧盟立法机构在原有《数据保护指令(95/46/EC)》的基础上实施了一系列数据保护改革。在年1月25日发布的《关于个人数据处理和自由流动的个人保护》的建议中,欧盟委员会在第十五条中首次引入了“数据可携权”,此举也标志着数据可携权正式进入欧盟立法进程。
作为一项新型数据权利,数据可携权的基本理念在于“个人能够将其个人数据和资料从一个信息服务者处无障碍地转移至另一个信息服务者处”。[3]虽然自提议以来,其就成为了个人数据权利体系的重要组成部分,但由于这项史无前例的数据权利的多重复杂性,欧盟立法机构也在个人数据权利体系的构建上进行了数次重大修改。
在欧盟委员会年的提议中,数据可携权被规定在第十八条,独立于第十五条规定的数据主体访问权(RightofAccessbytheDataSubject)。[4]但在年欧洲议会下设的公民自由,司法和内*事务委员会(LIBE)发布的报告中,却将该权利作为数据主体访问权的一个具体内容并入第十五条的规定之中。[5]随后,欧洲议会于年3月份通过了GDPR草案修改稿,该权利亦被作为数据主体访问权的一部分规定在第十五条中。[6]年12月15日,欧洲议会、欧洲理事会和欧盟委员会在“三方会谈”中就GDPR草案达成了实质性共识,[7]在该草案中,数据可携权又被重新作为一项独立的权利规定在了第十八条之中。[8]此种权利架构安排也一直保持到了年5月4日正式公布的GDPR第二十条之中。[9]
从GDPR草案的数次修改中可以看到,欧盟立法机构在数据可携权与数据主体访问权之间的关系认定上存在较大争议。原因在于,按照立法者的设想,数据可携权在权能上除了获取个人数据外,更重要的是,数据主体还能够将其个人数据无障碍地地从一个控制者处转移至另一个控制者处。由于GDPR第十五条允许数据主体访问的多为有关数据处理的确认性信息,若将获取个人数据的权能作为访问权的具体内容予以规定,就将导致第十五条在权利内容上的混乱。而就数据可携性的内涵来说,正如学者EvaFialová所言,数据可携类似于对一个物体实施的物理转移行为。这个物体从一个地方取出并被携带至另一个地方。[10]因此,不管是个人数据被携带至个人还是另一个控制者处,其都是数据可携性功能的体现。所以,在权利架构上,笔者亦认为数据可携权应当被作为一项独立于访问权的数据权利。
二、数据可携权的理论基础
作为一项旨在增强个人数据控制力的权利,数据可携权的理论基础来源于信息自决权。在德国著名的“人口普查法案”判决中,[11]联邦宪法法院通过对《德国基本法》第一条(1)关于人格尊严的保护以及第二条(1)关于人格自由发展的解释,认为*府的人口普查行为侵犯了公民“对个人数据基本的自决权”,背离了宪法所保护的人格尊严和自由,从而以判例的形式确认了公民享有的“信息自决权”。
信息自决权是指自然人有决定关于其个人的数据向谁披露、在何种程度上披露以及如何利用的权利。因此,从其定义中可以看到,“信息自决权的精髓在于信息主体对自身信息的控制与选择,即自我决定的权利。”[12]这种控制与选择就表现自然人对数据从收集、存储、处理、使用、删除等各个环节在范围、方式、程度和期限上的深度参与。同时,信息自决还意味着数据处理的透明度原则,即个人应当被告知数据处理的相关信息,包括但不限于数据是否被处理、处理的目的、存储期限以及数据主体享有的权利。
数据可携在内容上类似于所有权人基于自由意志而实施的物权转移过程。就二者的关系,正如学者Purtova所言,数据可携已经与信息自决相连接并被视为是信息自决概念和个人对控制个人数据泄露和进一步处理的默认授权的逻辑延伸。[13]因此,数据可携权可被视为一种通过赋予自然人获取以及转移个人数据的权利来实现信息自决的方式,其与GDPR第三章规定的数据主体访问权、更正权、删除权(被遗忘权)、反对权以及限制处理权共同构筑了欧盟个人数据权利保护体系。
三、数据可携权的内容
为实现欧盟对个人信息自决的高水准保护并促进市场竞争,数据可携权的内容也在GDPR草案的研讨中经历了数次重大调整,并最终固定在了GDPR第二十条。以下即为具体规定:
第二十条数据可携权[14]
1.数据主体有权以一种结构化、通用和机器可读的形式获取他或她已提供给数据控制者的相关个人数据,并有权无障碍地从其提供个人数据的控制者处将这些数据转移至另一个数据控制者处,如果:
(a)处理行为是在依据第六条(1)(a)或第九条(2)(a)的同意或依据第六条(1)(b)成立的合同的基础上实施的;和
(b)处理行为由自动化方式实施。
2.在依据第一段行使他或她的数据可携权时,数据主体应有权在技术可行的条件下将个人数据直接从一个数据控制者处转移至另一个数据控制者处。
3.关于该条第一段权利的行使应当无差别地适用第十七条。那项权利不适用于为了执行以公共利益或行使由数据控制者授权的官方权威为名的任务而实施的必要处理行为。
4.第一段中所提及的权利不应反过来影响他人的权利和自由。
从上述规定中可以看到,数据可携权的内容包括两个方面,其一是副本获取权(righttoobtainacopy),其二是数据转移权(righttodatatransfer)。
(一)副本获取权
副本获取权赋予了数据主体从控制者处下载个人数据的权利,并且控制者在提供个人数据时还应当以一种结构化、通用和机器可读的形式为之,这也极大地便利了数据的进一步利用。对于这项颇具争议的权利,无论是在构成要件上还是获取数据的范围上,相较于早期的立法草案,欧盟立法机构都对其进行了重大调整。
首先是在获取数据的范围上,在欧盟委员会年的建议中,允许获取的个人数据为“正在处理的数据”。但在正式通过的文本中,立法者删除了此项限制性规定,只要是数据主体提供给控制者的个人数据,其均可以要求下载。其次,在数据处理的形式上,原有的草案要求对于以电子化、结构化和通用形式为之的处理行为方可主张获取数据副本,但在正式文本中却要求处理行为以自动化方式为之,并基于数据主体的同意或合同目的。因此,在数据处理形式上,正式的规定扩大了副本获取权的适用范围,未采用通用形式的自动化处理行为亦将受到该规则的约束。
从当前互联网行业的发展来看,虽然数据可携权的规定还没有生效,但是美国互联网公司却早已开始了这方面的探索和实践。例如,谷歌于年就推出了GoogleTakeout服务,用户可选择Google+设置里的“数据自由”(DataLiberation)选项,下载自己所有的档案数据、信息流数据、Picassa上的照片、Buzz数据、圈子和联系人数据。Facebook也为用户提供了下载个人数据的借口,并且提供了更多可供下载的数据类型。除了照片、联系人、视频等数据外,他们甚至可以提供为用户推送精准广告所使用的关键词和兴趣列表。微软亦在其产品中提供了不同的数据可携性,一个主要的领域就是office,在这个软件中,用户可以利用内置程序轻松地导入或导出数据,并且即使是用户不再使用该软件,其仍可以在90天之内导出个人数据。
所以,无论是从法律规定还是行业发展方面来看,允许用户获取个人数据副本已经成为立法者和企业共同的追求。但这并不意味着任何数据都可以获取,更不意味着该权利就没有任何限制条件。
首先,在适用范围上,该权利适用于基于数据主体同意或为履行合同而实施的自动化处理行为。对于数据控制者经过法律授权而实施的处理行为并不适用,此种例外情形包括GDPR第六条(1)(c)——(f)中规定的为履行法定义务、保护数据主体的重要利益、执行法定任务或履行法定职责以及为了合法利益而实施的必要处理行为。[15]
其次,在数据的获取形式上,GDPR要求数据控制者以结构化、通用和机器可读的形式将个人数据提供给数据主体。在GDPR绪言68中,欧盟立法者也鼓励控制者开发能够实现数据可携的具有互操作性的格式。也就是说,在使用这种数据格式后,自然人下载的个人数据副本可以被继续用于其他处理过程中,而无需考虑格式的兼容问题,从而大大增强了个人数据处理的便捷度。
最后,在权利行使后果上,副本获取权的行使不应当阻碍GDPR第十七条删除权(被遗忘权)的适用。也就是说,在数据主体从控制者处获取个人数据后,其仍可在满足删除权行使要件的条件下请求个人数据的删除。例如,个人数据的处理就其被收集的目的而言已经不再必要,或者数据主体在下载副本之后撤销了处理的同意等,在此类情形下,数据主体便可以向控制者主张个人数据的删除。
(二)数据转移权
顾名思义,数据转移权就是将数据从一处转移至另一处的权利。可以说,这是数据可携权与数据主体访问权最核心的区别。根据GDPR第二十条的第一段的规定,数据主体有权将其提供的个人数据无障碍地从一个控制者处转移至另一个控制者处。比如,Facebook用户可以基于该权利将其提供给Facebook的个人数据,包括聊天记录、图片、个人动态等转移至Google+或WeChat等其他社交应用之中。
相较于之前的草案,数据转移权的调整主要表现在两个方面。首先,在欧盟委员会的草案中,数据转移权的客体不仅包括个人数据,还包括数据主体提供的其他数据以及控制者从其他自动化系统得到的数据,但在正式的GDPR文本中,数据转移权的客体仅限于个人数据。其次,正式文本在原有的数据转移权基础上,增加了“在技术可行的条件下,直接将个人数据在控制者之间转移”的规定,使个人数据的转移更加便捷。
同副本获取权一样,该权利在适用范围也是针对基于数据主体的同意或为履行合同而实施的自动化处理行为。但与副本获取权不同的是,该权利还要求在技术可行(technicallyfeasible)的条件下,数据主体有权直接将其个人数据转移至另一个控制者处。这种规定使数据主体无需先下载个人数据,而后再上传至另一个控制者处,而是直接在控制者提供的技术操作中实现个人数据的转移,从而在更大程度上增加了数据转移的便捷性。同时,在个人数据被转移至其他控制者处后,若该数据就原有控制者收集的目的而言已不再必要或原有控制者无其他处理数据的正当理由,那么数据主体也有权请求个人数据的删除。
四、数据可携权的制度缺陷
从GDPR对数据可携权的规定中可以看到,在权利内容上,其允许数据主体以便捷的方式获取和转移个人数据,在增强个人数据控制力和营造公平市场竞争环境方面可谓一举两得。但如果结合信息时代数据流通的多样性和复杂性来审视权利构成要件的话,我们就会发现,对于这样一个看似美好的制度设想,其中还存在着诸多制度缺陷和法律适用上的不确定性。主要表现在以下几个方面:
1.不合理的适用范围。欧盟委员会曾在其提议中规定该权利适用于以电子化、结构化和通用方式实施的处理行为,[16]但却遭到了部分学者的反对。虽然在当今时代,大部分数据处理行为均以电子化的方式进行,但在数据格式上却没有形成统一标准,若按照上述规定执行,不仅将导致部分数据主体的权利无法得到保障,还将鼓励控制者采用非通用形式以规避法律义务。[17]因此,正式颁布的GDPR取消了“结构化和通用形式”的规定,对所有的自动化处理行为均予以适用。虽然这种规定扩大了权利的适用范围,但也过度增加了数据控制者的义务。因为按照当前的规定,对于以非通用形式处理数据的控制者而言,其需以结构化、通用和机器可读的形式提供个人数据副本,这显然会使大量以非通用方式处理个人数据的中小企业承受过重的法律义务。此外,虽然GDPR绪言(68)指出,“数据控制者应当被鼓励开发能够使数据可携的可共同操作的格式”,[18]但是这也仅仅是建议性的,对于企业没有直接的法律约束力。
2.数据来源上的歧视。根据GDPR的规定,该权利仅仅适用于数据主体提供给控制者的个人数据,对于因合法授权而处理的个人数据则并不适用。比如,雇主为履行法定义务自保险公司处收集并保存雇员的个人保险数据,那么,相较于经雇员同意而获取其个人保险数据而言,雇员在此种情形下就无法主张数据可携权。这种规定将导致权利适用在数据来源上的区别对待,违反了法律上的公平原则,使一部分数据主体无法行使其数据可携权。
3.通知规则的缺失。根据GDPR第二十条第三段的规定,数据可携权的行使应当无差别地适用第十七条的规定,但数据主体是否应当被告知享有删除权仍存疑问。在法律后果上,个人在行使数据可携权而转移了个人数据后,未必就表明其同时主张删除权,GDPR绪言(68)也表明,数据可携权的行使并不意味着个人数据在控制者处的直接删除。但根据信息自决理论,个人有权知悉并决定数据处理的各个环节。因此,从保障个人权利的角度而言,应当在未来的实施细则中要求控制者在数据主体主张该权利后通知个人享有删除权,这样既能保证数据处理的透明性,又能保障个人的信息自决。
4.涉他数据的转移问题。与搜索、购物等以满足用户自我需求为目的的服务不同,社交网络具有天然的涉他属性。在上述关于数据可携权的举例中,Facebook用户发布的图片、聊天信息、个人动态等很有可能会涉及到他人,比如数据主体之间的聊天记录,发布在个人账号中的合照和视频等。因此,当一名用户将其在Facebook上的个人数据转移至Google+时,Google不仅将获得该用户的数据,亦会获取有关他人的数据,而这又是否构成了对个人数据的非法收集?如果集体照中的他人或聊天记录的对方不允许Google获取其个人数据,这种个人信息自决和数据可携权之间的冲突又当如何解决?对此,GDPR绪言(68)也只是宣示性地指出在涉他数据的获取上应当无差别地保护他人的权利和自由,而并未给出具体的解决机制。
5.不确定的义务履行期限。在个人行使其数据可携权时,出于信息安全考虑,控制者必然需要验证数据主体的身份,由此便产生了数据提供的期限问题。遗憾的是,GDPR并未对此作出规定。应当指出的是,过于简单的身份识别方式虽然在一定程度上有利于副本获取权的实现,但此种方式也将导致数据安全面临巨大风险。[19]
五、我国是否有必要引入数据可携权
纵观世界范围内的个人数据保护立法,欧盟地区无论是在法律体系的完备性还是数据权利的前沿性均可谓一马当先,其也因此成为欧盟各成员国、新加坡、日本以及我国港澳台地区在个人数据立法上所效仿的对象。但是,一国要想制定一部科学合理的个人信息保护法,除了借鉴先进国家的立法之外,还必须结合本国的国情、历史文化、法律传统和行业发展状况,选择一条适合自己的模式。
在个人信息保护立法领域,我国起步较晚,齐爱民教授于年提交至国务院的《中华人民共和国个人信息保护法(草案)学者建议稿》可谓开历史之先河,为我国后来制定个人信息保护相关规范提供了重要参考。据不完全统计,我国当前有关个人信息方面的规范就有一百多部,除《全国人大常委会关于加强网络信息保护的决定》和工信部《电信和互联网用户个人信息保护规定》外,其他规范多散见于刑法、行*法规和其他部门规章之中。可以说,我国当前的个人信息保护规范无论是在效力层级还是体系性上都存在诸多亟待完善之处,因此,业界和学术界都在积极呼吁制定我国的个人信息保护法。
近年来,我国互联网行业发展迅速,中国网络空间研究院于年12月15日发布的《中国互联网20年发展报告》显示,中国网民规模已经成为全球第一,年的全球互联网企业十强中有5家就在中国。互联网经济在我国GDP中的占比也持续攀升,年就达到了7%。但与此同时,数据泄露、电信诈骗、个人信息非法买卖等事件也层出不穷,有人甚至为此付出了生命代价。对此,虽然有学者和人大代表曾多次呼吁制定个人信息保护法,但直到今天我国仍未出台专门的个人信息保护法。因此,就当前而言,我国最迫切的任务是制定一部符合本国国情的个人信息保护法典,以应对信息技术的快速发展对个人信息保护带来的严峻挑战。
就数据可携权而言,除了增强个人的数据控制力外,欧盟引入该制度更多的是一种产业层面的考虑。从全球互联网行业的发展来看,欧盟因为人口少、市场狭小、高税收等原因未能抓住信息时代的发展机遇,使其在数字经济发展方面已经远远落后于中国和美国。以谷歌、Facebook、亚马逊、微软为代表的美国互联网企业在欧洲地区已经占据绝对市场支配地位,严重阻碍了欧盟地区互联网企业的发展。因此,欧盟当局希望通过构建新的数据保护规则,如引入被遗忘权、数据可携权等来强化隐私保护,以限制美国企业在欧盟地区的发展。对于这样一个看似美好的制度设想,即使在欧盟地区,学者也褒贬不一,甚至有学者认为其有可能会减少消费者福利。[20]因此,在GDPR于年生效实施后,数据可携权究竟能否发挥立法者所预期的功能也未可知。
反观我国,在互联网和大数据产业如火如荼发展的重要时期,数字经济已经成为国家着力打造的新的经济增长点。如果盲目引入这项在理论和实务层面均存在巨大争议的权利,无论是如腾讯和阿里巴巴等大型互联网企业,还是大量中小企业,均将因为过于繁重的法定义务而增加企业的运行成本,进而阻碍整个产业的快速发展。
一项法律制度的引入不应以不充分的理论研究为基础,更不应以牺牲整个行业的发展前景为代价,果真如此,法律也将成为社会发展的绊脚石。对于至今仍未出台个人信息保护法的我国而言,在立法经验和理论研究上还存在诸多不足之处。因此,笔者认为,无论是从产业发展还是我国当前的立法概况而言,均不宜将数据可携权纳入我国未来的个人信息立法之中。
参考文献:
[1]GeneralDataProtectionRegulation.availableat: