丁晓东:论数据携带权的属性、影响与中国应用

选择字号:   本文共阅读 177 次 更新时间:2020-04-24 10:31:57

进入专题: 数据携带权   个人信息保护  

丁晓东  

   就权利理论的原理而言,支持者的理由具有一定的道理。毋庸置疑,从《欧盟基本权利宪章》中只能推导出公民的若干数据权利,如公民的个人数据访问权、个人数据被平等对待的权利,而并不能直接推出数据携带权。但《一般数据保护条例》中确立的大量数据权利本身就是对传统数据权利的拓展,“数据主体的权利”这一章规定了一系列重要权利:数据主体对个人数据的访问权、更正权、擦除权(被遗忘权)、限制处理权、数据携带权、一般反对权和反对自动化决策的权利,这些数据权利很多都并不能被传统的数据权利囊括。[34]

   从权利理论的角度来看,权利的内涵与边界本身就是随着时代发展而变化的,现代社会在强调消极权利的同时,早已经越来越多地拥抱积极性权利。[35]隐私权利与个人数据权利的历史演化就说明了这一点。1890年,美国学者沃伦与布兰代斯提出隐私权概念时,首先提出的是作为防御性权利的隐私权。[36]其后,现代数据隐私法的权威阿兰·威斯丁又提出了积极性的信息权利或数据权利的概念,将数据权利界定为个人对自身信息的积极性控制。[37]从强化用户控制的角度思考数据携带权,可以发现数据携带权正是数据个人控制权的逻辑终点,这种权利将使个人的数据权益从一种消极性的防御性权利转向一种积极性的控制性权利。[38]

   不过,反对者所提的理由也不容忽视。在纸面上将数据携带权上升为一种基本权利,这并不困难,但可携带性是否可以成为个人数据的一种属性,却值得商榷。有不少学者试图从财产权或类似权利的角度来定性个人数据权,认为可携带性应当成为数据权利的重要特征,但是不同于一般财产,数据具有许多独特性,如个人数据并非独立存在的客体,其储存完全依赖其他载体;[39]并且个人数据常常与特定场景中的技术性载体密切结合,强行在法律上赋予个人数据可以携带的属性,特别是要求个人数据可以在不同的企业与操作系统之间自由转移,在操作上其实并不容易实现。《一般数据保护条例》“重述”与第29工作组发布的指南所设想的互操作性,在实践中其实非常难以实现。例如,有的专家曾经研究过替代微软现有文件的其他格式,[40]结果发现,这些试图实现互操作性的文件格式之间存在“非常严重的互操作性问题”,其较轻的后果是格式化的问题,较重的后果是导致图片、脚注、注释、图表等内容的丢失。[41]

   将数据携带权上升为一种基本权利,也的确会带来相应的风险以及侵害其他权利的可能。如反对者所说,当用户被他人冒充,用户的个人数据就有可能被全部挪用,尤其是当某些黑色产业利用较为先进的技术手段时,这甚至可能会导致海量的个人数据被盗。对于这种风险,其实从第29工作组发布的指南中也可以部分看出。第29工作组发布的指南专门指出,数据控制者必须完全确认用户的身份,当数据控制者对用户的身份存疑时,其可以对用户的身份提出进一步验证的请求。[42]这一规定表明,第29工作组其实意识到数据携带权可能给用户带来的数据泄露风险,只是第29工作组相信通过有关验证机制就可以确保用户身份的真实性。[43]

   此外,数据携带权的权利边界还可能面临过窄或过宽的困境,从而使数据携带权失去意义或侵犯其他合法权益。一方面,当把数据携带权界定为只是“数据主体提供的与数据主体有关的个人数据”[44]时,很多数据将不能被纳入数据携带权的范围,如个人在云服务器上储存的与个人无关的视频文件,在电商平台上留下的用户评论。在很多情况下,其实个人更在意的是此类数据的自由下载和移植,如个人可能希望将此类视频文件从网易云传输到百度云,将对某个产品的差评从京东转移到淘宝。[45]第29工作组虽然认为不宜将个人数据做过窄解释,[46]但仍无法涵盖此类显然不是个人数据的数据类型。另一方面,数据携带权的行使又可能过宽,从而侵害其他企业或个人的合法权益。除了像反对者所说的个人数据移植可能侵犯企业的商业秘密或数据库权益之外,个人数据的转移还可能会侵犯他人的利益。例如,在社交网络的场景中,当个人把数据成批量地从一种社交场景转移到另一种社交场景时,就可能导致个人数据所涉及的第三人数据被不恰当地获取与使用。[47]我们知道,2018年发生了举世震惊脸谱数据泄露事件,[48]在此事件中,剑桥分析公司通过一款应用程序收集了30万用户的信息,并通过授权获得这30万人的朋友圈,从中获得了5000万人的信息。虽然此案涉及的是剑桥分析公司对于这5000万人信息在没有获得授权情况下的非法使用,没有涉及数据携带权,但此案所隐含的数据携带权困境却非常明显。如果用户首先行使数据携带权,下载其“结构化的、普遍使用的和机器可读的”信息,然后将这些数据授权给剑桥分析公司使用,此时剑桥分析公司完全可以声称此类数据是合法获得的。但是,此种情况下很多用户的信息也可能面临不正当收集与使用的威胁。

   为何数据携带权上升为一种基本权利存在问题,这需要分析基本权利的一般原理与数据携带权的特殊性。权利的赋予常常会影响其他相关主体的某些权利。借用美国法学家卫斯理·霍菲尔德的权利分析框架,当某种权利赋予主体以一种特权或自由类型的权利时,对方就无权对抗此种权利;当某种权利赋予主体以一种权利主张类型的权利时,他者就有责任履行相关义务。[49]而在数据携带权问题上,这种权利所附加给数据控制者的义务比一般权利赋予相对方的责任更大,对其他权利造成的影响也更大。就其附加给数据控制者的义务来说,它不仅要求数据控制者提供数据获取与移植的便利,而且要求数据控制者提供高难度的技术支持。而就其他受其影响的权利来说,数据携带权不仅可能会影响数据安全,而且可能打破他人对数据隐私的合理期待。可以想见,当这种附加的义务超过了现实可能性,当受到影响的其他权利过多时,数据携带权就难以上升为一种基本权利。

   总之,作为一种权利,数据携带权面临着很大的争议和问题,这种新型权利可能有利于促进用户的数据权益,也可能难以落地或带来新的风险。此外,这种新型权利还可能因为场景不同而面临过宽或过窄运用的困境。如此种种,都表明数据携带权尚未具备成为一种成熟型权利的条件。数据携带权或许更接近于一种理想或目标,并且这种权利也需要在不同的场景中加以限定,以保证这种权利的行使不会侵犯其他合法利益。

  

   三、数据携带权之于市场竞争影响的双面性

   关于数据携带权的另一争论关乎它对市场竞争的影响。数据携带权的支持者认为,数据携带权可以对抗“锁定效应”,促进市场竞争;而反对者则认为数据携带权虽然可能对抗“锁定效应”,但消除“锁定效应”并不一定符合竞争法原理,甚至可能促发不正当竞争。

   支持意见在某些场景下可以成立,尤其是数据携带权可能会对当前的互联网竞争产生一定的促进作用。在互联网竞争中,先行者往往占据优势,网络效应会导致“赢者通吃”,领先一点即会导致大幅领先,[50]互联网的这种竞争性质导致大型网络平台与超大型网络平台的出现。用户对于这些平台往往具有很强的依赖性,即使有同类平台或产品出现,用户也常常不会使用后发产品。其中重要的原因之一就在于,用户往往难以将个人数据转移到新的平台或产品上面。网络平台对于个人数据的这种锁定使得后发互联网企业常常难以进行有效的竞争。在这一背景下,如果用户对于个人数据的获取和移植成为一种权利,那么“锁定效应”就有可能被打破,个人数据就可以实现更为有效的流动。

   个人数据的自由流通与共享也可能为市场提供数据这一公共基础设施。对于这一点,无论是数据携带权的支持意见还是反对意见都没有提及。但毋庸置疑的是,数据具有很强的公共性价值和流通性价值,很多学者都指出数据流通的重要意义。[51]即使是对于个人数据权利最为强调的《一般数据保护条例》,也强调不能限制欧盟内部个人数据的自由流动。[52]对于市场的平等竞争和良性竞争而言,如果个人数据能够实现合理地流通和共享,那么数据的公共性价值将能得到最大限度地体现,市场当中的主体都能平等地享受到数据这一公共基础设施所带来的价值。

   但支持意见也只能在有限的场景下成立,反对意见所指出的许多理由都具有很强的说服力。首先,正如反对意见所指出的,数据携带权会给中小企业带来更高的合规压力,从而在一定程度上阻碍市场竞争和创新。如上文所述,企业要满足用户对于数据携带权的期待并不容易,编写能够实现数据携带权的“导出一导入”模块,是一个很高的技术要求。对于谷歌、脸谱这些大企业而言,实现此类技术要求可能并非难事。但对于中小企业而言,此类合规要求可能会带来极大的压力。面对数据携带权等新型权利所带来的合规要求,欧洲的中小企业不得不花费更多的费用。从竞争的角度来看,数据携带权所施加的普遍性责任无疑对中小企业更为不利。

   其次,就“锁定效应”而言,数据携带权虽然有助于用户更为便利地将数据从大企业迁移到其他小企业或初创企业,但数据携带权也可能促进用户更为便利地将数据从小企业迁移到大企业。例如,当某家小型超市为消费者提供用户卡并通过这种卡收集用户信息而某家大型超市发现这家小型超市对自身形成挑战时,这家大型超市就可能希望吸引这家小型商店的用户,获取这些用户的各类消费信息。如果数据携带权成为一种强制性的要求,那么这家大型超市只要出台优惠政策,规定只要用户提供用户卡数据就可以获得折扣优惠,这家大型超市就可以很容易地获取这些用户的信息。[53]由此我们可以发现,数据携带权尽管可能有助于打破数据垄断,但也完全可能加剧数据垄断。

   从竞争法的角度进行分析,我们可以发现数据携带权所造成的这种效应与竞争法的一般原理并不吻合。为了鼓励创新和竞争,竞争法一般不会要求市场中的创新者共享其财产,或者帮助竞争对手轻易获取另一方的财产。[54]相反,竞争法一般更为强调对创新者的财产权加以保护,以此来补偿创新者所承受的风险,激励企业进行更多的风险投资。基于此,数据携带权如果上升为一种基本权利,那么这种权利不但可能会对企业的财产性权益造成威胁,而且也可能影响企业在合同法上的权利。

   当然,企业是否拥有对数据的财产性权利,这是一个复杂的问题。有研究者主张企业对于数据拥有财产性权利。[55]但也有学者指出,当企业数据涉及个人数据时,个人对于自身的数据权利优先于企业,因为个人数据权利是一种人格性权利,不能被让渡于企业。[56]还有的学者则指出,当个人数据在平台上对公众开放时,数据就位于公共领域,数据不属于任何人。[57]我们这里不必深究企业数据权属问题的细节,只需要指出的是,如果将数据携带权上升为一种具有优先性的基本权利,那么企业不但无法通过财产权框架对其数据资产进行合理保护,而且也无法通过合同法的方式约束用户或另一企业。在数据的财产性属性越来越强的今天,这样一种制度安排至少存在一定的问题。因为即使各国对于数据库的财产性保护或对集合性的数据资产权利存在质疑,[58]各国的法律也一般会承认双方约定合同的法律效力,通过合同法为企业数据提供保护。[59]

   如果考虑到数据携带权可能会对商业秘密产生影响,那么数据携带权对于竞争的负面影响可能更大。很多企业收集的个人数据是不公开数据,并非平台数据或公开数据。对于此类数据,当其满足一定的要件时,就受到商业秘密的保护。一般认为,商业秘密保护与不正当竞争关系密切,对商业秘密的非法获取常常被认为是一种不正当竞争,对商业秘密的保护也常常通过反不正当竞争法来实现。[60]如果一个企业可以通过用户数据携带权而轻易获取另一个企业的商业秘密,那么就等于在法律上承认未经对方许可获取商业秘密不属于不正当竞争。这种推论显然不符合人们对商业秘密保护与反不正当竞争的一般认知。

最后,用户黏性的降低与数据流通的加快对于竞争是好是坏,也难以进行简单判断。一方面,(点击此处阅读下一页)

    进入专题: 数据携带权   个人信息保护  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/121005.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2021 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统