丁晓东:论数据携带权的属性、影响与中国应用

选择字号:   本文共阅读 123 次 更新时间:2020-04-24 10:31:57

进入专题: 数据携带权   个人信息保护  

丁晓东  

   摘要:  欧盟颁布的《一般数据保护条例》首次在立法中确立了数据携带权,赋予个体无障碍地获取与转移个人数据的权利。但数据携带权并不具有成为一种基本权利的条件,而且可能带来诸多负面影响,不利于数字市场的良性竞争。应当将数据的可携带性视为一种努力目标,并且应当根据不同的情形对数据控制者施加不同的责任。对于中国而言,首先要避免在立法层面照搬照抄欧盟的数据携带权。其次,在涉及数据获取与转移的场合,需要在不同的场景中赋予个体不同程度的数据携带权。在不影响隐私期待及相关主体合法权益的前提下,企业应当为个体提供获取数据的便利,并且不应对普通用户设置数据转移的技术障碍。此外,还可以利用数据携带权倒逼政府实行数据共享。

   关键词:  数据携带权 个人信息保护 竞争法 政府数据共享

  

   2018年5月25日,欧盟颁布的《一般数据保护条例》正式生效。这一法律史无前例地引入数据携带权,赋予数据主体以获取和传输个人数据的权利。根据《一般数据保护条例》第20条的规定,数据主体有权获取“经过整理的、普遍使用的和机器可读的”个人数据,有权“无障碍地将此类数据从收集其数据的控制者那里传输给其他控制者”。[1]

   无疑,数据携带权将对用户的数据权利产生重要的影响。数据携带权使用户能够在不同的网站和设备上自由地转移个人数据,用户对个人数据的控制能力将达到前所未有的高度。因此,这一权利的支持者指出,数据携带权将促进用户福利,打破数据壁垒与数据垄断,促进数据共享与数据流通。但与此同时,数据携带权的反对者也指出这一权利可能带来的种种问题。例如,这一权利可能带来技术性难题,为企业附加过多的责任;又如,数据携带权未必能够促进用户福利,未必有利于市场的良性竞争。

   围绕数据携带权问题之所以产生争议,是因为理论研究未能澄清数据携带权的权利属性问题,未能充分认知该权利对市场竞争秩序的影响。[2]那么,究竟该如何认识数据携带权这一新型权利的权利属性?其对市场竞争秩序有何影响?本文拟对此进行深入剖析,并在此基础上对数据携带权的中国应用问题进行讨论,探讨我国正在制定的个人信息保护法是否应当移植或借鉴欧盟的数据携带权,[3]以及如何在争议案件与具体场景中运用这一权利。

  

   一、数据携带权的起源、要素与争议

  

   (一)数据携带权的起源

   数据携带权的起源可以追溯到2007年。随着网络平台的支配力越来越大,其对用户权益的影响也越来越大,一些专家学者在2007年提出“社交网络用户权利法案”的宣言,要求强化网络社会中的个人数据权利。[4]伴随着这一理念和运动,一些社会活动者创立了“数据可携带项目”,提出数据携带权的概念。该项目认为,数据携带权意味着个人可以“获取个人的数据并将其移植到一个平台上或者替换平台上之前的数据”,数据携带权将帮助网络用户实现“人们在互操作的应用程序中重新使用数据的能力”。[5]

   在“数据可携带项目”提出后不久,一些社会组织、政府和企业也加入倡导数据携带权的动议。2010年,隐私权组织“电子隐私基金会”建议,数据可携带权应该是“社交网络用户隐私权法案”的一个组成部分。[6]同年,美国白宫发起“我的数据”(My Data)倡议,强调便捷化数据访问,同时提高数据的可移植性。[7]2011年,谷歌和脸谱加入“数据可携带项目”。[8]谷歌创建“谷歌外带”(Google Takeout)工具,允许用户从27个谷歌产品中下载数据。[9]在脸谱平台上,用户不仅可以下载其个人资料中共享的信息,还可以下载脸谱所保存的其他不可见信息,如用户点击的广告、用于登录的IP地址等信息。[10]

   经过众多专家学者、社会组织和政府机构的倡议,欧盟委员会在起草《一般数据保护条例(草案)》时,正式将数据携带权列入数据主体所享有的一系列数据权利中。根据欧盟委员会的意见,数据携带权可以提升用户对于个人数据的控制程度,促进网络空间中网络服务商与用户之间的信任。此后,数据携带权面临种种怀疑和指控,并且一度在草案中被取消。但在2016年通过的最终版本中,这一新生的数据权利还是被保留了下来,作为与数据访问权、更正权、被遗忘权、限制处理权等权利相并列的数据权利。[11]

   (二)数据携带权的要素

   对于数据携带权,《一般数据保护条例》的“重述”以及第29工作组对其作出了进一步的阐释。[12]根据“重述”特别是第29工作组发布的指南,数据携带权包含如下基本要素:

   第一,就权利属性而言,数据携带权首先意味着,数据主体有权下载关于个人数据的集合。就这一点而言,数据携带权可以说是数据访问权的进一步扩张,它不仅赋予数据主体以访问个人数据的权利,[13]而且为数据主体管理和重新使用个人数据提供了更为方便的途径。数据携带权赋予个体以一种“经过整理的、普遍使用的和机器可读的”方式来获取和下载个人数据。例如,数据主体如果有兴趣获取其在某个音乐网站所选择的音乐列表,或者听歌的历史记录,或者想获得网页电子邮件里的联系人列表,就都有权要求网站提供此类下载链接。[14]数据携带权还赋予数据主体以自由迁徙数据的权利。《一般数据保护条例》第20条第1、2款不仅禁止数据控制者人为设置传输障碍,妨碍数据主体传输个人数据,而且要求其在技术允许的情形下必须为数据主体传输个人数据提供便利。如果技术可行,那么数据控制者有义务使个人能够在数据控制者之间传输个人数据。[15]

   第二,就数据携带权所涉及的数据范围而言,《一般数据保护条例》第20条第1款将其范围限定在“数据主体提供与数据主体有关的个人数据”。这一范围首先排除了匿名化的数据或与数据主体无关的数据。[16]但第29工作组发布的指南也指出,不应对此进行过于严格的解释。在不会对第三方的权利和自由产生不良影响的情况下,可被移植的数据也应当包括涉及多人的数据,如电话、人际互动或网络通讯记录等可能涉及他人的数据,当个人请求对这些数据行使数据携带权时,此类数据也应当被包括在数据携带权的范围之内。[17]

   第三,就下载的格式而言,数据携带权要求下载的格式是“经过整理的、普遍使用的和机器可读的”。第29工作组发布的指南指出,对于什么是“普遍使用的”,要视具体场景和技术共识而定,在没有约定和共识的情况下,应当使用通用的开放格式的数据,以使数据的重新利用成为可能。数据控制者不得以非通用格式为个人提供数据,因为这会使得用户无法便捷地重新使用数据。[18]而对于“机器可读的”格式,欧盟的相关法律则将其定义为“使软件应用程序能够轻易地识别、认知和提取特定数据的格式”,而那些限制自动处理的文件格式编码的文档将被排除在外,因为从这些文档中很难提取相应数据。[19]

   第29工作组发布的指南还指出,下载格式应当符合互操作性的要求。这一要求“强烈鼓励行业利益相关者与行业协会之间进行合作,共同制定一套通用的可互操作的标准和格式,以实现数据可移植性的要求”。[20]但另外,第29工作组发布的指南也指出,这种互操作性的要求并不一定要达到兼容性要求的程度。[21]互操作性与兼容性的区别在于,互操作性要求在用户不知道或不太清楚功能单元性能的情况下仍然可以在不同功能单元之间进行交流、运行程序或传输数据,而兼容性则要求不同的系统可以实现兼容。[22]

   (三)数据携带权的争议

   自从数据携带权被提出以来,围绕这一权利就存在很多争议。支持者与反对者分别提出了若干对立意见。具体说来:

   1.数据携带权的支持意见

   第一,数据携带权可以强化用户或数据主体对个人数据的控制。数据携带权的支持者指出,信息隐私的关键在于对个人信息的控制。在这个意义上,通过赋予用户以获取和移植自身数据的权利,用户可以进一步强化对自身数据的控制,从而获得更好的服务和用户体验。[23]

   第二,数据携带权可以消除数据的“锁定效应”,促进网络与数字市场中的竞争。支持者指出,网络服务商或其他服务商在为用户提供服务时,常常会设置各种壁垒和障碍,防止用户转移到其他网站或服务器上,用户即使对网站或服务设备感到不满,也常常会因为数据难以转移等问题而放弃迁移。[24]因此,通过赋予个人数据携带权,消除个人数据自由传输的不必要障碍,可以促进竞争,消除或至少部分消除“锁定效应”。[25]

   此外,支持者还提出了一些与以上两点理由相关的论点。例如,数据携带权可以促进用户与数据控制者之间的信任,同时提升用户与数据控制者的福利。也就是说,一方面数据携带权可以改进用户的使用体验,给用户带来更多便利,另一方面,数据携带权也可以让商家或数据控制者更为方便有效地获取更多用户数据,因为很多用户在行使数据携带权的同时,常常不会删除之前所保存的记录。这样,数据携带权就可能促进数据的共享,实现用户与数据控制者的双赢。[26]

   2.数据携带权的反对意见

   第一,数据携带权不能成为一种权利。有学者指出,数据携带权在欧盟的实证法体系下不能成立。《欧盟基本权利宪章》规定“每个人都有权获得个人数据保护”,但对此《欧盟基本权利宪章》只规定了特定的权利,如数据被公平处理的权利,数据收集须获取个人同意或其他正当理由的权利,数据访问权与更正权,《欧盟基本权利宪章》并没有将数据携带权视为一种基本的数据权利。[27]也有学者指出,对于数据权利是否包括数据携带权,还未达成共识。[28]在未达成共识的情形下将数据携带权上升为一种基本权利,这并不明智。[29]

   反对者指出,数据携带权不仅不能成为数据隐私权的一种,而且也未必有利于用户的数据隐私保护。在反对者看来,个人数据访问权已经存在不少安全隐患,实践中已经出现很多他人盗用或冒充某个用户行使数据访问权从而非法获取个人数据的情形。如果用户被赋予数据携带权,那么此种风险将成倍增加,因为基于数据携带权的要求,用户将能够一次性地批量下载和转移所有个人信息,一旦他人成功盗用或冒充某个用户,就可能瞬间获取和转移这位用户的所有信息。[30]此外,数据携带权所涉及的数据可能包含他人数据,如个人图片可能常常包含与其他人的合影、个人聊天记录可能包含他人隐私。[31]

   第二,数据携带权不一定能够促进市场竞争。对于“锁定效应”,反对者首先指出,数据携带权的确有助于消解“锁定效应”和促进数据流通,但其效果却并不一定总是促使用户将数据从大企业转移到中小企业,相反,其效果完全可能促使用户将数据从中小企业转移到大企业,从而阻碍中小企业发展。其次,数据携带权所鼓励的互操作性的难度非常大,成本也非常高,因为现实中实现不同系统与功能单元之间的互操作性非常困难;[32]这样,数据携带权就可能会给中小企业造成更大的合规压力。最后,数据携带权的行使可能侵犯企业的知识产权,因为企业所收集的个人数据可能已经符合企业商业秘密的保护标准,或者可以获得数据库的保护。[33]

  

   二、数据携带权的权利属性之剖析

对于数据携带权,支持意见与反对意见的争议焦点首先是数据携带权的权利属性:数据携带权是否可以成为一种权利。支持者认为数据携带权是公民数据权利的自然延伸,有利于在网络与信息时代对公民进行数据赋权;反对者则认为这种权利并无共识,而且未必有利于保护公民的相关权益。(点击此处阅读下一页)

    进入专题: 数据携带权   个人信息保护  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/121005.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2020 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号 京公网安备11010602120014号.
工业和信息化部备案管理系统