文立彬 邹瑛
摘 要:
《个人信息保护法》确立了个人信息转移权,该权被赋予促进个人信息流通、打破数据平台垄断的期待。然而,作为新兴权利的个人信息转移权在实践中面临着客体范围模糊、操作性不强等主要问题,这导致个人信息转移权落地困难。在剖析困境成因、比较域外立法经验和反思实践成效的基础上,建议将直接数据和部分观察数据纳入个人信息转移权客体范疇,确定差异化数据传输要求,以期实现个人信息转移权的多重效能。
关键词:
《个人信息保护法》;
个人信息转移权;
客体范围;
差异化数据传输
中图分类号:D923
文献标识码:A
文章编号:1673-8268(2023)02-0053-10
个人信息转移权又称数据可携带权(right to data portability),自2007年被学术界提出以来,就在世界主要国家中经历了理论争论、立法确认和实践检验的环节。2012年,欧盟在其制定的《通用数据保护条例》(general data protection regulation,GDPR)草案中首次规定该权利,并于2016年定稿、2018年5月生效的GDPR正式版本中确立此权。GDPR为个人数据保护提供了明确而有力的法律依据,且最早提出了数据可携带权的定义及相关规则,与之并列为数据权利的还有数据访问权、更正权、被遗忘权、限制处理权等权利。需要指出,我国个人信息转移权与GDPR数据可携带权的内涵存在明显差异。其一,客体范围不同。GDPR数据可携带权的客体范围限定于基于数据主体同意或为履行合同所必须而收集、且以自动化方式处理的个人数据,具体包括直接数据和观测数据。根据我国《个人信息保法》第45条第3款的规定,个人有权要求转移至指定的个人信息处理者的个人信息类型并不明确。此外,根据我国2020年10月实施的《信息安全技术 个人信息安全规范》第8.6条规定的信息类型,即本人的基本资料、身份信息、本人的健康生理信息和教育工作信息,均属于直接数据而非观测数据。其二,数据传输模式不同。GDPR仅将“以机器可读的格式向个人提供副本”作为数据控制者的强制性义务,而仅在满足“技术可行”的前提条件时,数据控制者才有义务将个人数据直接传输至其他数据控制者。这一规定实质上使直接传输义务成为了一种倡导性义务,在实践中很可能以“不满足技术要求”为由而拒绝用户请求。我国采用直接或间接传输模式,或采用类似欧盟的折衷方案,但于规范层面未有定论。其三,对涉他个人数据的处理不同。数据转移过程中,个人所请求移转的个人数据可能涉及他人的个人数据或隐私,此即涉他个人数据,对其移转可能对他人的权利和自由产生影响,也可能增加个人数据泄露的风险。因此,GDPR第20条第4款规定,个人行使可携带权时不得影响他人的权利和自由,而我国立法无相关规定。鉴于域外数据可携带权与我国相关权利在内涵上的显著差异,我国《个人信息保护法》采用了个人信息转移的表述,相关研究也采用了“个人信息转移权”[1]或“个人信息迁移权”[2]的概念。考虑到我国个人信息转移权是在《个人信息保护法》脉络下对域外个人数据可携带权的扬弃和革新,且个人信息具体权利应与《个人信息保护法》相关规定保持一致,本文采用“个人信息转移权”的概念。
一、问题的提出
数据可携带权及相关数据权利的产生和演化是数据产业经济发展的产物。作为数据产业大国,我国数据利用不仅涉及公民个人的权利保障和数据企业的良性竞争与有序发展,更涉及国家数据主权的构建与安全。近年来,我国个人信息相关立法经历了从无到有、从分散到集中、从宽泛到具体的发展历程,逐步形成了个人信息保护法律体系。在《个人信息保护法》出台前,2018年实施的国家标准《信息安全技术 个人信息安全规范》第7.9条规定的“个人信息主体获取个人信息副本”的条款常被视为我国确立“个人信息转移权”的铺垫[3]。2021年实施的《个人信息保护法》完善了个人信息保护制度,丰富了个人信息保护规则和保障了数字经济发展环境。其中,个人信息转移权的规则积极回应了数据平台的数据垄断问题。从我国个人信息保护法律体系来看,2017年实施的《网络安全法》和2021年实施的《数据安全法》将数据安全和数据利用视为一体两翼,合力保障着数据价值背后的国家主权。2021年实施的《民法典》确立了个人信息的“人格利益”属性及其在民事权利体系中的位置,侧重保护个人信息权中的财产权。《个人信息保护法》是一部保护个人信息的综合性法律,将维护人格尊严作为立法的核心价值,注重保护个人信息权中的人格权[4]。根据《个人信息保护法》相关规定【《个人信息保护法》第45条第1款规定:“个人有权向个人信息处理者查阅、复制其个人信息。”第45条第3款规定:“个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”】,个人信息主体将有权从个人信息处理者处获取个人信息副本,以及请求个人信息处理者直接将其个人信息传输给另一实体。为落实上述立法中关于数据安全管理的规定,2021年11月,国家互联网信息办公室会同相关部门发布了《网络数据安全管理条例(征求意见稿)》(以下简称《意见稿》),并于2022年7月被国务院列入拟制定的行政法规名单。《意见稿》从总体看,旨在强化和落实数据处理者的主体问题,是对《网络安全法》《数据安全法》《个人信息保护法》的落地、细化和补充。从细节看,《意见稿》细化了个人信息处理规则,构建了“义务约束、权利保护”的个人信息安全保障框架。可见,相关立法围绕“平衡个人信息安全和流通价值”进行了细致规划。个人信息转移权的立法宗旨在于强化个人信息主体的权利意识和畅通权利行使,打通个人数据在不同数据平台之间的渠道,以打破数据垄断,这与我国数字经济的发展趋势和国家大数据战略高度契合。
相较于传统行业,数据产业具有集聚效应、与个人信息密切和易垄断这三大特点。在大数据时代,原始个人信息能够提供的商业价值较为有限且较低,而个人信息经加工处理后形成的数据产品能够实现“预测”作用,具有重要商业价值。大型数据平台具有前期优势,在获取个人信息并提供服务后形成高度的“客户黏性”,并会为了保持“客户黏性”而采取法律阻碍、技术障碍、经济障碍等方式阻止竞争者取得个人信息及衍生数据。从整体看,我国数据产业经历了从野蛮生长到步入高质量发展的阶段变化;
从局部看,与个人信息相关的不当行为仍普遍存在且社会影响更为恶劣。例如,大型数据平台强制商家和用户“二选一”的行为,既削弱了竞争者优势,又扩大了自身数据储量。再如,大型数据平台通过数据精确分析,将产品或服务的定价无限接近消费者购买力的上限,迫使消费者接受歧视性定价而实施“大数据杀熟”。可见,上述乱象背后体现了个人信息的多重属性和深层价值,个人信息转移权的确立和落实正是为了回应和处理因数据垄断产生的诸多问题。然而,个人信息转移权在实践中面临较多问题:客体范围模糊、操作性不强、与其他权利存在冲突等。这些问题一方面导致个人信息的流转不畅、价值停滞、市场失灵和遭遇道德风险,另一方面导致有效解决数据垄断问题的立法宗旨难以实现。从本质上看,个人信息转移权遭遇的现实困境和立法障碍,是个人信息权、个人信息处理者数据权利和数据市场竞争秩序三者之间的矛盾[5]。在查阅相关文献的基础上发现,现有研究较少从我国《个人信息保护法》的视角对个人信息转移权的客体范围和实现方式进行分析和总结,且对域外相关立法成效反思的研究仍不够深入,这为本研究预留了一定的空间。需要说明的是,我国《个人信息保护法》采用个人信息(personal information)的概念,欧盟GDPR采用个人数据(personal data)的概念,鉴于GDPR对我国及域外个人信息保护立法上的深远影响,本文将“个人信息”和“个人数据”、“个人信息处理者”和“数据控制者”、“个人信息可携带权”和“数据可携带权”分别作同一概念进行使用。
二、个人信息转移权客体范围和实现方式面临的困境分析
《个人信息保护法》第四章规定了与个人信息处理相关的七项权利,旨在加强个人对个人信息的控制。从七项权利的逻辑关系看,知情权系行使决定权的前提,查阅复制权是知情权和决定权的保障,也是更正补充权和删除权的基础。转移权赋予个体转移个人信息的权利,既是查阅复制权的延伸,也是实现决定权的保障。解释权则是落实知情权的重要一环。可知,上述七项权利形成了法定性和开放性兼具的个人信息权利体系。其中,个人信息转移权被寄予了打破数据垄断等期望。然而,个人信息转移权面临的现实困境和立法阻碍使其无法充分发挥效能,故有必要深入剖析困境成因。
(一)个人信息转移权客体范围较为模糊
个人信息流转难的关键在于个人信息虽然由个人信息主体所创建,但大多数情况下需要通过个人信息处理者流转,责任主体和利益主体不一致[6]。而个人信息转移权的客体范围模糊增加了个人信息流转的障碍:其客体是个人信息,而个人信息的法律属性及权利范围一直存在争议。有学者指出,相较于GDPR中数据可携带权是一种“鼓励性”而非“强制性”的规定而言,我国《个人信息保护法》中的个人信息转移权内容是一个授权性、开放性的条款,其未来是否能够真正落地,取决于数据可携带权的权利启动和行使条件之设置[7]。对此,有必要就我国个人信息转移权客体的属性及范围展开探讨。
首先,个人信息的法律属性存在争议。《个人信息保护法》第1条和第2条采取折中方法,规定个人信息是独立的具体人格权客体。其原因在于,一是《民法典》人格权编将个人信息纳入该体系中,与隐私权规定在同一章,说明个人信息具有权利属性;
二是以权利形式保护个人信息具有可行性;
三是《个人信息保护法》在第49条和第50条中两次使用了“个人行使权利”的表述,说明个人信息属于独立的民事权利客体,而非一般法益。然而,若仅将个人信息权定位于人格权的延伸,则存在范围设定过窄的问题。在数字经济时代下,个人信息权兼具人格属性和财产属性,应被视为一种新兴的复合型权利,而且个人信息处理者对个人信息的处分权能亦是应有内涵。
其次,个人信息转移权的客体范围不够明确。《个人信息保护法》对于个人信息转移权的规定较为笼统,适用的数据范围有待明确,这导致个人信息处理者的数据权利难以落实。具体来看,《民法典》第1034条第2款以“概括+举例”的方式明确了个人信息的概念,其范围基本涵盖了全领域的个人信息。《个人信息保护法》第4条规定了个人信息的范围,即具有可识别性的信息,匿名化处理后的信息不属于个人信息。问题在于:第一,是否存在不属于个人信息转移权客体的个人信息;
第二,个人信息经匿名化处理后形成的数据产品,个人信息处理者是否享有财产权并可依法受益?个人信息转移权客体范围的确定,对于数据平台的商业秘密保护尤为重要,亦是维护数据产业良性竞争之关键。
(二)个人信息权利实现方式的操作性有待提升
根据南方都市报个人信息保护研究中心发布的《个人信息安全年度报告(2021)》显示,150款被测APP中,只有57款明确用户可要求获取个人信息副本,其中仅15款称可提供转移服务。涉及个人信息转移服务的,基本都要求用户提供对方APP的接收方式、接口等信息;
然而,没有任何一款APP明示告知用户如何获取上述信息,这进一步增加了用户行使转移权的难度。个人信息转移权的落地不仅有赖于其内涵的明确,而且依赖于可操作性的提升。但是,个人信息处理者和个体之间存在的信息落差和技术不均衡等差异,一方面影响了个人信息转移权的有效行使,另一方面对个体行使其他个人信息权利也造成阻碍。从技术层面进一步看,个人信息转移权操作性不强的问题阻碍了其积极效能的发挥。例如,个人信息处理者之间要直接转移数据就需要实现其系统之间的互通,对中小企业而言,这无疑会带来巨大的合规成本和技术障碍。由于受限于互通系统的要求,数据主体可能无法轻易在个人信息处理者之间便捷地直接转移个人数据。此外,现实中对涉及第三人利益的数据,如数据主体的聊天记录,直接进行转移则会对其他数据主体的权利造成影响。可见,个人信息转移权的实现具有复杂性,对其可操作性的提升不仅依赖于数据转移规则的细化,而且有赖于数据转移技术的升级。
从个人信息主体的角度来看,《个人信息保护法》第四章专门规定了“个人在个人信息处理活动中的权利”,包括个人的查阅权、复制权、转移权,更正权、补充权等权利,第15条规定了撤回同意权。根据观察,部分企业对于上述权利的保护并不充分,違法风险较高。对于个人信息复制权和查阅权而言,转移权是其延伸。值得注意的是,对于提供形式,个人信息处理者只需向个人提供“电子化、人类可读的个人信息副本,而非结构化的、机器可读的数据”,这并没有给个人信息处理者增加额外的运营成本。但问题在于,《个人信息保护法》第45条第1款中“个人有权向个人信息处理者查阅、复制其个人信息”中“查阅、复制”的表述在文义上充满了前互联网时代的意味,似乎未充分考虑到数字时代的大背景——个人信息主体一般并不会像查阅账簿一样去个人信息处理者那里去查看自己的个人信息,并要求其提供个人信息的复印件[8]。因此,选取何种方式以便数据主体通过网络可以随时查阅、转移个人信息处理者处理的个人信息,是个人信息转移权得以落地的重要举措。
(三)个人信息转移权与其他权利的冲突
个人信息转移权在我国落地还存在着可能侵犯第三人权利、与知识产权及商业秘密发生冲突等困难。可能侵犯第三人权利的个人信息主要有社交媒体上用户发布的照片、视频以及好友的评论等。经营者在根据用户授权迁移相关数据时,同时涉及对涉他数据的处理,如果未经第三人同意而直接转移相关数据,将涉及对第三人个人信息权益和隐私的侵犯[9]。可见,个人信息转移权在行使的过程中不仅涉及单独的个体信息,而且与第三人个人信息权益和隐私存在多重联系,这与数字时代下社交平台的经营方式息息相关。就行使个人信息转移权有可能侵犯知识产权及商业秘密的问题,有研究提出,个人信息可能包含如用户关系链、消费画像、企业销售策略等有价值的知识产权或商业秘密,一旦被允许转移就会被拆分成碎片而流入其他信息处理者手中,然后又有可能被重组、分析,进而掌握原信息处理者的知识产权或商业秘密[10]。可见,上述问题一方面加重了个人信息处理者对于个人信息转移的顾虑,另一方面加大了个人信息转移的难度。总之,个人信息转移权的行使存在与其他权利相冲突的可能,如何降低或避免权利冲突的负面影响,无疑是推进个人信息转移权落地的关键环节。
三、域外数据可携带权的落地经验总结与实践逻辑剖析
域外数据可携带权的立法和实践探索起步较早,并在探索过程中逐步完善和形成了各具特点的保护体系,值得深入分析。
(一)欧盟模式:人本主义,鼓励本地企业发展
欧盟通过GDPR第20条对数据可携带权作出了规定【GDPR第20条规定:“数据可携带权是指数据主体有权以结构化、通用的和机器可读的格式,获取其提供给个人信息处理者的相关个人数据,且数据主体有权将此类数据无障碍地从该控制者处传输至其他控制者处。”】,具体包含数据接收权和数据转移权,并针对数据控制者规定了“技术可行”及“无障碍”的要求,前者要求数据控制者应以可相互操作的格式传输个人数据,引导不同平台实现数据流通;
后者要求数据控制者不得利用各种手段阻碍数据主体对个人数据的传输或再利用[11]。相较于我国《个人信息保护法》中的个人信息转移,GDPR的规定更为细致且操作性较强。GDPR设置数据可携带权的目的在于实现个人信息的自决权,并通过用户发起的数据流动促进企业间相互竞争。从国际立法实践看,GDPR的影响是深远的。在其施行后,巴西、美国、澳大利亚、新加坡等国家均增设了数据可携带权,基本认可个人享有控制信息流通的权利[12]。从GDPR实践情况来看,数据可携带权的确立和实施并未达到预期效果;
并且,部分行业巨头因此形成数据格式统一的联盟,提高了数据流通的门槛,缩小了数据流通的半径,以达到防控数据泄露风险的目的,最终恶化数据垄断局面。换言之,GDPR实施后,中小企业面临更大的内外部压力,而大型企业可以用其市场地位避免数据可携带权的影响,这或许背离了GDPR立法初衷。对此,我们有必要对GDPR数据可携带权的权利定位、客体范围和技术标准展开分析。从权利定位看,GDPR基于人本主义立场对个人数据进行严格保护,但对个人数据的财产属性及流通价值关注不足,这导致数据平台更多考量数据安全风险的控制而显著减少了数据向外流通的可能。从客体范围看,GDPR及欧盟制定的《数据可携带指南》规定了个人数据涵盖的范围。一部分是数据主体主动提供的数据,如填写的个人资料信息,包括姓名、性别、年龄、家庭住址等。另一部分则是个人信息处理者通过观测数据主体使用某些服务而记录的个人数据,如某人的搜索历史记录、交通数据、位置数据以及可穿戴设备跟踪的心跳数据等;
但是,不包括个人用户的精准画像、信用评级、人物影响力等通过对上述两种数据进行后续分析推断得到的衍生数据,也不包括匿名或不涉及数据主体的数据。从技术标准看,欧盟将数据可携带权的标准定为机器可读的个人信息,就必然会面临各企业数据不兼容的阻碍。而该项权利的执行又非常克制,当个人行使可携带权时,如果企业间原本的数据接口不兼容,GDPR并不会要求企业额外花费高额的成本以设立与第三方进行数据交换的渠道,这样看来,数据的转移并未成功实现。这也说明,欧盟作为邦联组织,其管制能力难以同统一主权国家一般有力,因此在数据可携带权落地的技术标准上采取了增强互动操作性的方法,这是一种妥协策略下的办法且是“提倡”性的。
(二)美国模式:企业主导,体现巨头企业利益诉求
从美国的立法实践看,数据可携带权适用领域主要包括医疗健康信息、金融信息等。美国上述领域中的数据竞争较为激烈,且涉及重要的个人利益和重大的企业利益,因此优先在这些特定领域推动数据可携带权的确立和落地。与欧盟不同,美国模式坚持企业主导的立场,更多关注数据利用的商业价值和产业发展。政府扮演“守夜人”的角色,尽量减少外部干预,强调行业自律和反垄断规制方式,这些做法与美国国情相契合[13]。美国多个州的法律都规定了数据可携带的要求,在联邦层面没有统一的联邦数据保护法,因此,关于数据可携带制度主要规定在一些具体部门的立法中,如在健康数据领域的《健康保险便携性和责任法》和在财物领域的《多德弗兰克法》。目前,美国有三个州通过了全面的数据保护法,即加利福尼亚州、科罗拉多州和弗吉尼亚州,每个州都在相关法律中规定了数据可携带条款,其中最具代表性的当属《加州消费者隐私法》(california consumer privacy act,CCPA)。从适用范围看,CCPA既关注个人数据,也关注非个人数据,如观测数据和衍生数据,且强调适用于跨部门的所有数据持有人[14]。CCPA源于美国企业发起的DTP(data transfer project)项目,该项目内容是典型的由企業主导的个人数据可携带模式。CCPA的施行,旨在加强数据主体对其个人数据的控制权利,其数据可携带权被规定在数据访问权之中。在CCPA施行后,美国四家巨头企业联合发起了数据迁移项目,目的是创造一个服务对服务的开源数据迁移平台。DTP模式的优势在于解决了个人数据可携带权在落地时的授权复杂、操作不便等问题,即通过统一的数据传输标准,简化个人执行可携带权时的操作流程,从而获得相应的个人信息,这对于提升我国个人信息转移权的实际操作有借鉴价值。目前,DTP项目参与者包含了各个美国互联网巨头和数十家图片音乐网站及云存储服务商,而中小型企业因无法达到数据共享的技术门槛而被排除在外。此外,DTP的局限还在于,个人数据存储在企业服务器上,用户无法选择数据存储位置,因而对数据迁移过程中出现的问题难以追责。
(三)韩国模式:政府主导,匹配政府宏观调控的经济发展模式
韩国于2011年颁布了《个人信息保护法》,并在2021年的修订中增设了个人信息可携带权等内容,以期顺应数据产业发展趋势,推动人工智能等新技术发展,为MyData的落地提供了法律基础。韩国个人信息保护委员会指出,个人信息可携带权的引入将促进目前只在金融、公共等部分领域推进的MyData模式,并进一步将MyData模式推广至各个数据产业,以防止数据垄断现象的产生与恶化。不同于美国企业主导的模式,韩国模式强调政府主导,这与韩国几十年来采取的政府宏观调控经济发展模式密切相关。值得注意的是,MyData是一种平衡个人数据保护和利用利益的创新理念,而非一类产品、服务或平台。MyData理念最早正式出现在芬兰交通运输部发布的白皮书中。随后,多个国家将MyData理念付诸实践,如芬兰、英国、韩国和新加坡等[15]。把韩国MyData实践作为研究对象的原因在于:中韩两国经济发展道路具有相似性,且两国的个人信息立法均有益借鉴了GDPR相关原则和规则。
具体看,在韩国政府主导的个人信息携带模式中,政府授权或直接成立中心化机构,把数据提供方、数据应用方连接起来。对用户而言,其可能只需一次授权,就能够把数据提供方、托管方、使用方连起来。2022年1月,韩国在金融领域开展MyData服务试点,用户可通过MyData运营商的APP,要求金融机构将信息提供给MyData运营商,便于运营商为用户提供一站式查询、金融产品咨询、资产管理等服务。与DTP模式相比,MyData模式加入了政府的作用,通过牌照准入的方式以政府信用代替企业信用,提高了用户的信任度,增加了企业的参与度,整合了更多类型的数据[16]。目前看,MyData服务的推进并不顺利,不仅全面推行的时间点被延迟,其服务所覆盖的个人数据类型也远不如设想中丰富。有研究指出,缺少激励机制是数据类型不够丰富、跨行业协作困难、MyData服务成效不佳的重要原因。从整体看,韩国MyData面向垂直行业,针对跨行业的支持存在较多限制,在可持续性上也存在疑问。此外,设置MyData运营商相当于创造了额外的个人数据存储节点,用户层面无法自主选择数据存储位置,企业端也会对MyData运营商“既是运动员又是裁判员”的双重身份存在质疑。
(四)实践逻辑:个人信息转移权落地应适应国情
比较来看,我国立法中个人信息权利设置的初衷在于保护个人信息,并将个人信息合理利用纳入立法目的。我国立法认可个人信息蕴含的多元价值,进而通过规范性文件平衡个人信息安全与流通价值间的利益。反观欧盟相关立法,其以“个人信息自决权”为基石,强调个人对其数据的控制和支持欧盟境内个人数据流通。但事实证明,欧盟数据可携带权制度对市场势力和市场结构关注不足,并没有实现打破数据垄断的预期效果。而美国相关立法凸显个人信息流通价值,支持企业发展和创新,这与其立法背后体现巨头企业利益诉求的原因密不可分。再看韩国,其相关立法旨在以政府为重心优先保障金融领域的个人信息流通,这与该国践行政府主导、以大型公司为主的外向型经济模式关系密切。
不难看出,各国立法的出发点基于自身的发展状况和利益诉求,因此立法模式和具体规范各有侧重。从域外立法模式来考察,以美国为代表的企业模式虽然为用户提供了便利,但导致了大型数据平台的结盟,阻碍了中小企业涉足数据产业。值得注意的是,美国模式优先在特定领域落地数据可携带权,并以此由点带面展开个人信息权内容的探讨,这具有积极的借鉴价值。以韩国为代表的政府主导模式虽然更为强势,试图覆盖的领域更多,但也遇到了更大的阻力,同时制造出了新的潜在问题。域外主要的两种立法模式都没能让用户自主选择数据存储位置和追溯数据的传输轨迹及授权信息,生态层面也缺乏有效的激励机制,且暂不能实现跨行业通用的个人信息携带,离完全意义的“数据可携带”尚有距離。因此,我国个人信息转移权的实践逻辑在于从国情出发,先解决主要矛盾再铺开适用,以便作为新兴权利的个人信息转移权能更好地嵌入个人信息保护法律体系之中并充分发挥效能。
四、我国个人信息转移权切实落地的可行路径
我国《个人信息保护法》虽然在一定程度上参考借鉴了域外相关立法,包括一些基本规则和权利义务,但我国与域外国家在经济、政治和文化方面存在的诸多不同,导致了个人信息权利在各自立法体系和具体规则中的明显差异。对此,我国个人信息转移权的实践不可照搬域外经验,而应在探索中构建中国路径。
(一)明确个人信息转移权客体范围,落实个人信息主体权利
我国《民法典》和《个人信息保护法》虽然规定了个人信息的概念及范围,但并未明确规定个人信息转移权的客体范围,因此我们可以从立法和司法两个层面进行剖析并提出对策。
其一,从立法层面考察。考虑到GDPR对全球个人信息保护立法的深远影响,因此在数据可携带权客体的分类上具有借鉴意义。欧盟《数据可携带权指南》将个体提供的数据信息归为三类。第一类为直接数据,即数据主体主动提供的数据;
第二类为观察数据,即数据主体在使用数据平台提供的产品或服务时留下的行为痕迹;
第三类为衍生数据,即数据控制者通过算法对前述两类数据加以分析所得的数据,如在健康领域的体检报告、健康评分,在金融领域的信用评级、风险评级等[17]。《数据可携带权指南》指出,直接数据和观察数据属于个人数据可携带权的客体,而衍生数据不是。因为衍生数据经由个人信息的分析、整理或排列而成,包含了个人数据处理者的独创性设计,属于智慧成果。此外,有观点对将“观察数据”纳入个人数据可携带权的客体提出了质疑,并从“贡献度理论”角度出发,采用比例原则进行了分析。该观点认为,对个人信息形成的贡献度是决定是否可携带的基本标准。比如,自愿提供的个人信息反映了数据主体在信息创建中的最大贡献,因此对其授予个人信息主体在完全访问和使用方面的合法权利。相对应地,衍生信息之所以不属于个人数据可携带权的客体,理由在于此类信息属于信息处理者而非数据主体的贡献。因此,从内在逻辑一致性的视角出发,在决定观察数据是否适用个人数据可携带权时,应当考虑数据主体或数据处理者的贡献度大小[18]。换言之,当个人信息主体主动形成观察信息,而个人信息处理者仅提供了个人信息存储的服务,此情况下的个人信息并未包含大量的创造性构思与设计,因此不属于智慧成果,而属于个人数据可携带权客体所涵盖的范围;
反之,则可能属于个人数据处理者的智慧成果,不属于个人数据可携带权客体。上述学者观点考虑到了直接数据、观察数据和衍生数据的内在逻辑一致性,且根据观察数据的不同情况加以区别对待,既有利于提升个人数据可携带权的可操作性,又有助于保障个人数据处理者的智慧成果,能够更精准切割个人信息和企业数据,以实现数据控制和数据利用的动态平衡。综上,我们建议将个人信息转移权的客体范围限定于直接数据和部分观察数据,将包含有大量个人信息处理者创造性构思和设计的衍生数据与部分观察数据排除在个人信息转移权的客体之外。
其二,从司法层面考察。法律谚语“法律的生命不在于逻辑而在于经验”阐明了法律积极作用的实现不在于法律条文本身,而在于通过司法解释、司法实践以及整个司法活动来实现其中的价值观念。因此,从我国司法判例中挖掘并归纳出个人信息转移权客体的范围,具有重要意义。从“新浪微博诉脉脉案”和“淘宝诉美景不正当竞争案”的司法判决可知,第一,个人数据具有财产性价值,数据产品属于具有竞争性的财产权益,因而受到法律保护。个人信息处理者对其搜集的原始数据,有权依照其与个人信息主体的约定进行使用。确认个人信息处理者对其研发的数据产品享有独立的财产性利益,体现了“个人信息和增值数据相区分”的司法规则。第二,对于第三方平台使用授权平台所搜集的用户数据,应遵循“三重授权原则”[19]。三重授权原则中,第一重授权是个人信息主体对个人信息处理者的授权,即用户向个人信息持有平台授权其共享自己的信息;
第二重授权是指作为个人信息共享让渡方的个人信息持有平台的授权,即个人信息持有平台允许个人信息获取企业获取个人信息,其中交易双方主要以协议方式明确所共享的个人信息范围和各自的权利义务;
第三重授权是个人信息主体对个人信息获取企业的授权,即个人信息主体允许个人信息获取企业处理、控制和使用其获取的来自个人信息主体的相关信息[20]。第三,个人信息转移权兼具人格属性和财产属性,应当视其为一种新兴权利进行保护。因此,在落实个人信息转移权时,有必要促进信息化场景多元化运用,细化个人信息转移权的使用范围,从而构建兼顾数据流通和数据安全的良性数据生态体系。比如,可在相关法律中规定个人信息处理者转移用户个人信息时应满足两个条件:信息转移应当是基于信息主体同意或合同的自动处理;
如果个人信息涉及他人,则新的个人信息处理者处理信息时必须取得他人的同意或存在其他合法依据。在限制条件方面,应设置三种排除适用个人信息转移权的情形,即涉及侵犯公共利益的,涉及侵犯他人权利的,涉及侵犯他人知识产权或商业秘密的,以避免或减少个人信息转移权与其他权利的冲突。综上所述,我国司法实践确立了“个人信息和增值数据相区分”的司法规则和个人信息使用的“三重授权原则”,认可数据的双重属性,认同数据产品属于智慧成果和具有财产价值。从长远看,建议以立法形式明确上述规则和原则,并优先在特定领域适用个人信息转移权,即在教育、医疗、金融、交通等与公民重大利益相关的领域,落实个人信息转移权的权利行使和权利救济,这与国情所需高度契合。
(二)确定差异化的数据传输要求,优化个人信息转移权操作模式
第一,确定差异化的数据传输要求,遵循“技术可行”标准并细化规则。GDPR针对数据控制者规定了“技术可行”及“无障碍”要求,2020年的《信息安全技术 个人信息安全规范》第8.6条也规定个人信息控制者需在技术可行的前提下进行个人信息副本传输。关键是:不同平台间的数据是否兼容以及兼容成本如何承担?对此,个人信息控制者没有法定义务,立法者也并未考虑过此问题。若将“技术可行”规定为强行性规范,则将显著增加个人信息处理者义务;
若规定为引导性规范,则会让数据传输遭遇更多障碍。个人信息转移权的设立初衷是为了实现数据流通和打破数据平台垄断,但仅仅依靠个人信息处理者的行业自律是远远不够的,故法律干预确有必要。对此,可参考欧盟做法,将个人信息处理者在转移个人信息应遵守的“技术可行”标准以立法形式加以规定,确定差异化的数据传输要求。此举既符合我国大数据产业迅速发展下不同规模不同类型的个人信息处理者的现状,又能以更为友好的方式维护数据产业的良性竞争。
第二,可采取分布式数据传输协议,建立用户主动行使个人信息转移权的模式。分布式数据传输协议(distributed data transfer protocol,DDTP)建立用户主动行使个人信息转移权的模式,是实践个人信息转移权、提升数据生产力的可行路径。该协议基于区块链技术进行设计,通过区块链的全流程追溯、防篡改、传递信任等特性,叠加引进权威机构的参与,助力更安全、可信、易协作的个人信息携带应用。DDTP与域外主流模式相比,区别在于:第一,DDTP是分布式的,没有中心机构主导,旨在让用户成为关键参与者,有赖于个人信息处理者满足充分告知、合法授权两个重要前提;
第二,DDTP并不是单一的项目而是协议,且有望成为通用协议,让具有大量数据的提供者以及有很多应用场景的数据接收方能通过用户本身的授权进行数据传递。在此过程中注入区块链、云计算、AI能力,可有效应对可信傳输、安全存储、协同生产三大难题。当前,广东和澳门跨境通关的粤澳健康码项目采用DDTP模式,在运行了一段时间后,取得了良好的社会效应,既为粤澳两地机构提供了跨境数据验证基础设施,又实现了两地居民及企业便捷跨境的目标,这为完善中国语境下的个人信息转移权的立法与实践提供了有益参考。
五、结 语
在数字经济时代,数据所蕴含的人格属性和财产价值受到普遍关注,数据作为新型生产力要素已经上升至国家战略高度,并与国家安全息息相关。《民法典》和《个人信息保护法》的相继施行,为作为新型权利的个人信息转移权提供了法律依据。个人信息转移权的确立与实践,旨在提升个人信息主体的权利意识,促进个人信息的流通,打破大型数据平台的数据垄断。从个人信息转移权落地的情况分析,面临着个人信息处理者权利义务不匹配且数据平台歧视持续存在、个人信息转移权的客体范围较为模糊、个人信息权利实现方式操作性不强等主要问题。从域外立法经验进行考察和反思可知,欧盟GDPR对全球个人信息保护立法产生了重要且深远的影响[21]。美国采用企业主导的数据可携带权模式,更多关注数据利用的商业价值和产业发展,强调行业自律和反垄断规制方式。韩国采用的MyData模式体现了政府主导,并试图覆盖更多领域,但也遇到了更大的阻力。对此,**我国个人信息转移权的落地难题不可照搬域外经验,而应坚持“从实践中来到实践中去”的标准,理性地反思不足和总结经验,积极探索个人信息转移权的中国路径。对此,可从两个方面来**个人信息转移权遭遇的难题。第一,明确个人信息转移权客体范围,确保个人信息主体权利的落实。将个人信息类型中的直接数据和部分观察数据纳入个人信息转移权的客体范畴,将衍生数据和部分观察数据排除在个人信息转移权客体之外,并赋予个人信息处理者对相应数据产品的财产权利。同时,建议以立法形式确认“个人信息和增值数据相区分”的司法规则与个人信息使用的“三重授权原则”,并在特定领域即教育、医疗、金融、交通等与公民重大利益相关领域中优先适用个人信息转移权。第二,确定差异化的数据传输要求,遵循“技术可行”并细化规则;
采取分布式数据传输协议,建立用户主动行使个人信息转移权的模式。
参考文献:
[1] 许可.诚信原则:个人信息保护与利用平衡的信任路径[J].中外法学,2022(5):1155.
[2] 陈星.论个人信息权:定位纷争、权利证成与规范构造[J].江汉论坛,2022(8):143.
[3] 丁晓东.什么是数据权利?——从欧洲《一般数据保护条例》看数据隐私的保护[J].华东政法大学学报,2018(4):75.
[4] 王利明.论《个人信息保护法》与《民法典》的适用关系[J].湖湘法学评论,2021(1):25.
[5] 刘辉.个人数据携带权与企业数据获取“三重授权原则”的冲突与调适[J].政治与法律,2022(7):114.
[6] 邹晓玫,杜静.大数据环境下个人信息利用之授权模式研究——重要性基础上的风险评估路径探索[J].情报理论与实践,2020(3):38.
[7] 王锡锌.数据可携权与数据治理的分配正义[J].环球法律评论,2021(6):6-8.
[8] 汪庆华.数据可携带权的权利结构、法律效果与中国化[J].中国法律评论,2021(3):189-201.
[9] 张建文,高宁宁.欧盟数据可携权下涉他数据转移的问题研究[J].重庆邮电大学学报(社会科学版),2021(3):34.
[10]蒋佳妮.落实数据可携带权 让数据“活动”起来[N].光明日报,2022-08-28(5).
[11]李伯轩.数据携带权的反垄断效用:机理、反思与策略[J].社会科学,2021(12):107.
[12]杜小奇.数据可携带权的立法检视与适用展开[J].河北法学,2022(6):169.
[13]化国宇,杨晨书.数据可携带权的发展困境及本土化研究[J].图书馆建设,2021(4):118.
[14]康兰平,程文文.数据可携带权在欧美法律实践上的权利要旨对我国个人信息权益保护的借鉴[J].电子知识产权,2022(3):73.
[15]罗力.数字政府背景下全球个人数据开发进展研究[J].电脑知识与技术,2021(12):22-23.
[16]高玉翔.个人信息可携带权的全球实践和中国路径倡议[J].金融电子化,2021(12):79.
[17]杜小奇.数据可携带权的立法检视与适用展开[J].河北法学,2022(6):174.
[18]JANAL R.Data Portability-A Tale of Two Concepts[J]. Journal of Intellectual Property, Information Technology and E-Commerce Law,2017(8):59.
[19]何金海.论我国数据可携带权的客体范围[J].山东科技大学学报(社会科学版),2022(4):70.
[20]刘辉.个人数据携带权与企业数据获取“三重授权原则”的冲突与调适[J].政治与法律,2022(7):117.
[21]崔聪聪,刘传新.数据可携带权的法理逻辑和制度构建[J].重庆邮电大学学报(社会科学版),2022(6):64-72.
Reflection and Revision on the Object Boundary and Realization Method of the Right to Information Portability
WEN Libin1, ZOU Ying2
(1. School of Law and Sociology, Nanning Normal University, Nanning 530001, China;
2. Peoples Court of Haicheng District of Beihai, Beihai 536000, China)
Abstract:
The right of information portability has been established in the Personal Information Protection Law. Information portability is expected to promote the circulation of personal information and break the monopoly of data platforms. However, as a new right, the main problem of the right to information portability in practice is that the object scope is fuzzy and the operation is not strong. As a result, these issues have led to poor practice of the right to information portability. On the basis of analyzing the causes of the predicament, comparing foreign legislative experience and reflecting on the effectiveness of practice, we recommend that, first of all, direct data and partial observation data should be included in the scope of object of the right of information portability. Second, differentiated data transmission should be clarified. Finally, the multiple values of information portability will be realized.
Keywords:
Personal Information Protection Law; right to information portability; object scope; distributed data transfer
(編辑:刁胜先)
收稿日期:2022-10-13
基金项目:广西哲学社会科学规划研究课题:基于广西司法大数据样本的个人信息犯罪刑事规制体系研究(22FFX013);
广西教育科学“十四五”规划专项课题:新文科背景下双创法学人才培养与课程思政建设的融合与实践研究(2022ZJY2754);
南宁师范大学本科课堂教学模式改革项目:数字经济视域下知识产权法智慧翻转课堂的教学改革与创新优化
作者简介:
文立彬,副教授,法学博士、博士后,硕士生导师,主要从事知识产权法研究,E-mail:
ayy68216@qq.com;
邹瑛,一级法官,综合审判庭副庭长,主要从事知识产权法研究,E-mail:410425178@qq.com。