歐盟數據可攜權立法評析

苗 振 林

(河南省高級人民法院，河南 鄭州 450000)

大數據時代，隱私保護成為世界性難題。前不久，Facebook公司超過8700萬用戶數據泄露，深陷“劍橋分析丑聞”事件。隨著該事件的持續發酵，扎克伯格為此參加美國參議院和眾議院聽證會，該事件再度引起人們對信息社會中數據安全面臨的風險的恐慌。在國內，百度公司李彥宏在中國高層發展論壇發表“中國人更開放，對隱私問題沒那么敏感”更是引起軒然大波。互聯網便捷了信息的傳播，催生了搜索引擎、電子商務、移動社交軟件、O2O、共享經濟等一些令人興奮的商業模式，未來人工智能和區塊鏈將帶來更加革命性的變化。但是，在產業迅猛發展的同時，犧牲隱私保護的事件屢禁不止，二者之間的關系也愈發緊張，單純從技術角度已無法維持二者的動態平衡，全球開啟新一輪個人信息保護立法就是對此種現象的制度回應。

2018年5月25日，歐盟《一般數據保護條例(GDPR)》(以下簡稱“GDPR”)將正式實施，其實施效果必將受到國際社會的密切關注，并影響其他國家或地區的個人信息保護立法。在這部被外界稱為“史上最嚴的個人數據保護條例”中，擴大的地域適用范圍、強化的被遺忘權、新型的數據可攜權、高額的罰款以及一站式監管等成為制度亮點。為了構建歐洲數字化單一市場(Digital Single Market)并促進歐盟數字經濟發展，歐盟立法機構在此次開始于2012年的個人數據保護改革中創造性地引入了“數據可攜權(Right to Data Portability)”。對于這項性質模糊、適用復雜的權利，歐盟又在2017年發布了相關指引，以提升該權利的可操作性。當前，我國正處于數字經濟蓬勃發展時期，個人信息保護、數據權屬等問題亟待理論構建和中國方案的提出，為此本文將對數據可攜權予以評析，以期為我國未來數據立法提供域外立法的參考。

一、數據可攜權的立法背景

數據可攜權的基本理念在于“個人能夠將其個人數據和資料從一個信息服務者處無障礙地轉移至另一個信息服務者處”[1]。舉例而言，對于歐洲地區的Facebook用戶來說，他們可以基于數據可攜權的規定，將其提供給Facebook公司的個人數據，包括聊天記錄、圖片、個人動態等轉移至Google或WeChat等其他社交應用之中。這種權利賦予了用戶類似于所有權的權能，更加強調用戶對其個人數據的控制力和支配性。

然而，從個人數據保護法的基本原理和世界各國的立法實踐來看，個人數據權更多的是一項防御性權利，比如針對數據錯誤的更正權、針對非法處理的反對權、針對不當信息留存的刪除權等，但歐盟此次引入的數據可攜權被賦予了更多的積極意義，它使數據主體能夠以一種類似于物權的方式管理和控制自己的數據。對于這項理念超前的權利而言，它的產生有著深刻的立法背景。

互聯網的出現使人類進入了信息化社會。1996年在南非召開的“信息社會與發展大會”宣布信息時代已經來臨。“在信息化浪潮席卷之下，國與國之間的競爭將取決于對信息的占有程度，誰占據了信息優勢，誰就占領了政治、經濟、軍事、文化的制高點”[2]23。為了在托夫勒所謂的“第三次浪潮”中搶占先機并占據國際規則制定的話語權，世界各國和地區紛紛制定了有利于自己的信息化戰略。美國的“國家信息基礎設施行動計劃(NII)”“新一代因特網五年計劃(NGI)”“開放政府國家行動計劃”，日本的“e-Japan”“u-Japan”和“i-Japan”計劃，歐盟的“電子歐洲——面對所有人的信息社會”計劃、《歐洲信息社會2010發展規劃——i2010》，我國的《2006—2020年國家信息化發展戰略》《國家信息化發展戰略綱要》以及《“十三五”國家信息化規劃》，均對各相關國家和地區的信息化進程以及信息產業發展起到了一定的推動作用。

在互聯網產業近三十年的發展中，歐盟地區逐漸失去了自己的優勢，未能在全球信息化浪潮中培育出具有國際影響力的大型互聯網企業。在2017年全球市值排名前十的互聯網企業中，中國占據四席，其余來自美國，而未能見到歐盟企業的身影。客觀地講，歐盟地區在數字經濟發展方面已經落后于美國和中國。以蘋果、Google、微軟、亞馬遜、Facebook為代表的美國互聯網企業已經在歐盟地區的智能手機、搜索、云計算、電子商務、社交領域中占據市場支配地位，而這也在一定程度上阻礙了歐盟本土企業的創新和發展。為此，就產業發展而言，歐盟地區需要通過法律手段來削弱境外企業已有的優勢，力求打造一個更加開放透明和公平有序的市場競爭環境，從而促進本土互聯網企業的發展。

受二戰時期納粹政府利用個人信息實施犯罪的影響，歐盟在信息化社會的轉型過程中，十分注重對個人信息的法律保護，陸續出臺了《電信部門的隱私保護指令》《遠程消費保護指令》《數據保護指令》等法律規范。這些規范，尤其是1995年的《數據保護指令》，成為許多國家和地區在個人信息保護立法上所效仿的對象。2015年實施的一項針對28000名歐洲民眾的調查顯示，15%的歐盟民眾認為他們對其數據享有完全的控制，超過30%的人認為他們并沒有任何控制力。同時，調查結果還顯示，超過三分之二的民眾，尤其是年輕人，認為在他們想要改變服務的時候能夠轉移存儲在一個服務提供者處的個人信息至另一個控制者處是十分重要的[3]。由此可見，在歐洲民眾的認知中，個人數據的控制力還有待加強，并且對于年輕人而言，他們更希望在個人數據的存儲和轉移上有更高的便捷性。因此，從社會民眾的權利需求上看，歐盟需要在以往的權利保護基礎上更加強化個人的數據控制力。

為實現對個人信息自決的高水準保護并促進市場競爭，歐盟委員會于2012年提出的數據保護改革草案中引入了數據可攜權。雖然自提議以來，數據可攜權就成為個人數據權利體系的重要組成部分，但由于這項新型數據權利的多重復雜性，其內容也在GDPR草案的研討中經歷了數次重大調整，并最終固定在了GDPR的第20條*GDPR第20條規定如下：1.數據主體有權以一種結構化、通用和機器可讀的形式獲取他或她已提供給數據控制者的相關個人數據，并有權無障礙地從其提供個人數據的控制者處將這些數據轉移至另一個數據控制者處，如果：(a)處理行為是在依據第六條(1)(a)或第九條(2)(a)的同意或依據第六條(1)(b)成立的合同的基礎上實施的；和(b)處理行為由自動化方式實施。2.在依據第一段行使他或她的數據可攜權時，數據主體應有權在技術可行的條件下將個人數據直接從一個數據控制者處轉移至另一個數據控制者處。3.關于該條第一段權利的行使應當無差別地適用第十七條。那項權利不適用于為了執行以公共利益或行使由數據控制者授權的官方權威為名的任務而實施的必要處理行為。4.第一段中所提及的權利不應反過來影響他人的權利和自由。。因此，可以說，產業發展的落后以及高水準保護個人數據的社會需求共同促成了數據可攜權的產生。

二、數據可攜權的內容

在歐洲，信息自決權可謂是個人數據保護的重要理論來源。在德國著名的《人口普查法》判例中，聯邦憲法法院從德國基本法所蘊含的一般人格權中推導出了“信息自決權”，從而判決德國《人口普查法》關于指紋收集和利用的規定違憲。信息自決同時還意味著數據處理的透明度原則，即個人應當被告知數據處理的相關信息，包括但不限于數據是否被處理、處理的目的、存儲期限以及數據主體享有的權利。因此，數據可攜權可被視為一種通過賦予個人獲取以及轉移個人數據的權利來實現個人信息自決的方式，其與GDPR第三章規定的獲取權、更正權、刪除權以及限制處理權共同構筑了歐盟個人數據保護法中的權利體系。從GDPR第二十條的規定可以看到，數據可攜權的內容包括兩個方面，其一是副本獲取權(Right to Obtain a Copy)，其二是數據轉移權(Right to Data Transfer)。

(一)副本獲取權

根據歐盟“第29條”工作組(Article 29 working Party 簡稱 WP29)的意見，副本獲取權是指從數據控制者處得到個人數據復制件并將其存儲在私密的設備中以備再度使用的權利[4]。該項權利也被視為訪問權的一種補充。在這方面，行業已經走在了立法的前面。一些互聯網服務提供者，如Facebook、Google等公司已經提供了個人數據的下載入口，用戶可以據此獲取相關的個人數據副本。但是，即便如此，副本獲取權的內容在立法研討中也經歷了數次修改。

在歐盟委員會于2012年提議的草案中，副本獲取權的要件是數據處理要以電子化方式，并以結構化和通用的形式為之。然而，在數據處理的形式上，該草案并沒有賦予數據主體決定權，同時也沒有對數據控制者課以通知數據主體處理形式的法定義務。對此，有學者就認為，這種規定將導致數據主體的區分或賦予數據控制者以委員會規定的形式處理個人數據的義務[5]。而對于這種沒有正當性基礎的數據主體區分，其可能產生的后果便是一部分群體無法行使其數據可攜權。與此同時，由于法律沒有強制要求數據控制者采用特定的數據處理方式，控制者可以以企業經營自主權為由不采用標準化的處理方式，從而規避法定的數據轉移義務并降低企業的運營成本。對于這種看似故意留下的法律漏洞，一個解決辦法就是由歐盟委員會制定規則，要求所有的企業都按照當前通用的形式處理數據。但是這種方法卻存在兩種弊端：其一是法律將為數據控制者課以額外的法定義務，這在一定程度上是對企業經營自主權的侵害；其二則是這種僵化的解決方式也將不利于數據處理形式的多元化發展。

面對學者的質疑和批判，立法機構做出了調整，正式通過的條例僅要求數據處理是經過數據主體同意的并以自動化的方式進行，刪除了通用形式的規定。但是，目前的法律規定仍然存在數據來源、義務履行期限和法律后果上的問題。

首先，在數據來源上，該權利要求能夠請求獲取副本的個人數據是基于數據主體的同意或合同的方式得到的，而排除了其他的數據獲取方式。在現實生活中，控制者獲取個人數據的方式并不限于數據主體，還可能通過政府信息公開或與其他企業的合作共享來獲取。因此，如果僅在數據主體主動提供的情況下才享有該權利的話，勢必將導致該權利對數據來源的歧視。對此，有學者就曾舉例，對于雇主而言，收集并保存雇員保險和社會安全數據是履行法定義務所必須實施的行為，如果雇員甲的社保數據是其主動提供的，而雇員乙的數據是從保險公司處獲得的，那么，根據GDPR第二十條的規定，雇員甲可以獲取個人數據副本，而雇員乙卻無法獲取個人數據副本。這種區分將違背公平原則，使一部分數據主體無法行使其應有的權利。

其次，在義務的履行期限上，出于信息安全考慮，控制者必然需要驗證數據主體的身份，由此便產生了獲取個人數據副本的期限問題。對此，GDPR并未做出相關規定。需要指出的是，過于簡單的身份識別方式雖然在一定程度上有利于副本獲取權的實現，但此種方式也將導致數據安全面臨巨大風險[6]。對此，英國信息委員會辦公室就指出，控制者應當在一個月之內無不合理遲延地對數據主體的轉移數據的請求予以回應。若自然人的數據轉移請求復雜或請求主體過多，控制者的回應期限可以延長至兩個月，但是其仍應當在一個月之內通知個人，并解釋原因。如果控制者未回應該請求，那么其也應當在一個月之內解釋原因，告知數據主體所享有的提起投訴和獲得司法救濟的權利[7]。

最后，在副本獲取權的行使后果上，GDPR也沒有做出規定。從當前的法律規定來看，數據主體在獲取了個人數據副本之后，并不意味著數據在控制者處的自動清除。對此，有學者就曾明確指出，這樣的制度設計僅能使自然人“對其個人數據擁有部分的控制力”[5]。對于數據的刪除，雖然GDPR第二十條第三款要求數據可攜權不能夠影響第十七條規定的刪除權的行使，但由于刪除權的行使仍以數據主體的請求為前提，在數據主體不知悉其享有的法定權利時，數據仍將繼續保留在控制者處。對此，筆者認為，在未來的法律適用中，應當為控制者設定法定的通知義務，即要求在數據主體請求個人數據副本后，告知數據主體享有刪除權。這種做法在保障個人信息自決的同時又能夠防止控制者對個人數據的過度利用[8]。

(二)數據轉移權

數據轉移權可以說是數據可攜權與數據主體訪問權最核心的區別。根據GDPR第二十條第一段的規定，數據主體有權將其提供的個人數據無障礙地從一個控制者處轉移至另一個控制者處。比如，歐盟境內的Facebook用戶可以請求Facebook公司將其主動提供的個人數據，包括聊天記錄、照片、視頻、個人動態等轉移至其他社交應用，如Google+或WeChat之中。在實現數據可攜的工具上，WP29指出，企業不僅應當提供數據下載的機會，還應當提供數據轉移的API接口[4]。

數據轉移權在適用范圍上同樣是針對基于數據主體的同意或為履行合同而實施的自動化處理行為。與副本獲取權不同的是，該權利還要求在技術可行(Technically Feasible)的條件下，數據主體有權直接將其個人數據轉移至另一個控制者處[9]。同時，在滿足刪除權行使要件的條件下，數據主體亦有權請求個人數據的刪除。

對于這一看似美好的制度設想，其在涉它數據的轉移上還存在較為復雜的利益權衡問題。在上述例子中，Facebook用戶發布的圖片、聊天記錄、個人動態等信息可能還會涉及第三人，比如數據主體之間的聊天記錄，發布在個人賬號中的集體照等。因此，當一名用戶將其在Facebook上的個人數據轉移至Google+時，Google公司將不僅獲取該用戶的個人數據，亦會獲取該第三人的個人數據，而這又是否構成個人數據的非法收集？此外，如果集體照中的他人或聊天記錄的對方不允許數據主體轉移其個人數據，這種個人信息自決之間的沖突又當如何解決？對此，GDPR緒言(68)也只是宣示性地指出在涉他數據的獲取上應當無差別地保護他人的權利和自由，而并未給出具體的解決機制。

從上述分析中可以看到，數據轉移權在設計初衷上是為了促進歐盟地區的自由競爭和發展，但其后果則是一方所占有的個人數據的喪失，而另一方對個人數據的獲取。隨著數據資產價值的日益凸顯，控制者必將投入更多的成本來維護這種無形財產。因此，為了使用戶繼續使用其網絡服務，避免個人數據的流失，控制者也很有可能利用現有法律規定的漏洞，使用“鎖入策略(Lock-in Strategy)”[1]。通過增加數據轉移成本來迫使用戶留在自己的網絡服務之中，以維持其市場規模。可以預見的是，控制者所提供的服務種類越多，范圍越廣，網絡用戶轉移個人數據的成本就越高。“等到數據主體的轉移成本太高的時候，他或她將不可能使用數據轉移權了”[5]。若果真如此，數據可攜權也將無法發揮歐盟立法者所設想的功效。

三、數據可攜權的借鑒與啟示

歐盟此次立法所引入的數據可攜權可謂個人信息保護法領域的開創之舉，在全球任何司法管轄區都沒有立法和實踐經驗，也因此成為各個國家關注的焦點。對于我國未來的個人信息保護立法而言，數據可攜權除了在權利內容上獨具新穎性之外，在立法體系以及權利類型化方面均有可借鑒之處。

我國在個人信息保護立法方面起步較晚，雖然現行的各類規范已經超過一百部，但是這些規范的系統性、獨立性和操作性都顯得不夠，而近些年出現的信息泄露事件也使得個人信息保護立法再度成為整個社會所關注的焦點。在我國法學界，早期就有學者認為應當全面確立個人信息權[10]。自我國《民法總則》通過之后，也有學者提出了在人格權編中確立個人信息權內涵、個人信息合法收集標準、信用信息保護、個人信息權利限制等內容的建議[11]。近年來，關于制定個人信息保護法的呼聲日益高漲，全國人大常委會法工委也表示正在對個人信息保護立法的有關問題進行認真研究、論證。由此可見，增強公民的個人信息控制力已經成為社會共識。

就數據可攜權而言，其最大的亮點在于數據轉移權。按照歐盟立法機構的設想，其意在使數據可以在不同數據控制者之間自由傳輸，進而幫助歐盟本土的搜索引擎、社交軟件、電子商務企業崛起， 打破Google、Facebook、亞馬遜等互聯網巨頭的絕對市場壟斷地位。這種制度背后隱藏著歐盟和美國在互聯網產業上的差距，且其實施后果尚不可知。反觀我國，互聯網企業在寬松政策環境和人口紅利的刺激下迅猛發展，使我國成為可與美國比肩的網絡大國，在網絡治理上更需要我國本土的理論創造和制度構建，盲目引入數據轉移權將導致過高的試錯成本，甚至阻礙我國的產業發展。結合當前數據泄露頻發、民眾數據控制力不足的現實，筆者認為，我國可以借鑒數據可攜權中的副本獲取權，允許用戶下載有關其個人的信息，通過此種方式讓用戶知悉自己被收集的信息有哪些、如何被處理、存儲方式等。副本獲取權結合我國現有的刪除權，將從制度上賦予信息主體自主決定何種數據被收集、何種數據被處理的權利，實現數據控制力的實質性增強。

除此之外，隨著大數據的商業化利用和產業發展，其另一個特征——“資產”屬性日益凸顯，大數據的權屬關系即將成為新的社會矛盾和經濟糾紛焦點。在我國，大數據產業發展的最大阻力并不是技術條件的不成熟，而是相關法律及保障機制的不完善，雖然我國《民法總則》將“數據”納入民法保護范圍，其法律屬性得到承認，但相關法律規范的缺失也使得大數據產業發展承擔著巨大的風險。

目前，由于數據權屬界定不明確而導致的法律空白已成為我國推動大數據開發利用的瓶頸之一。一方面，需求側數據的割據壟斷，阻礙了產業鏈上下游之間的信息流動，導致產能過剩和成本過高；另一方面，權屬問題立法界定的缺失，限制了供給側大數據產業的健康發展，導致供給側結構性改革動力不足。數據權屬在本質上并非一個單純的技術問題，而是一個建構在利益平衡之上的法律問題，需要法學理論上的頂層設計。

我國近年來將大數據發展上升為國家戰略。國務院早在2015年就發布了《促進大數據發展行動綱要》，習近平總書記在中共中央政治局第二次集體學習時強調要“實施國家大數據戰略加快建設數字中國”。從法學角度而言，在數字經濟發展和數字中國的建設中，數據權屬必將成為產業發展所必須解決的前置性問題。數據可攜權賦予了自然人以類似所有權的支配力，但是數據的法律性質卻并沒有被進一步說明。就此而言，我國《民法總則》第127條將數據作為一種財產加以保護，為數據財產性權利的建構提供了制度空間。但是在理論研究和制度設計上，還需要考量《民法總則》第111條規定的個人信息受保護的規定。

：

[1] Peter Swire, Yianni Lagos. Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique[J].Maryland Law Review,2013(2).

[2] 齊愛民.信息法原論[M].武漢：武漢大學出版社，2010.

[3] Emily Taylor. Data Protection Day—data portability and the GDPR[EB/OL].(2016-02-09) [2018-03-04].http:∥www.emilytaylor.eu/data-protection-day-data-portability-and-the-gdpr/.

[4] Article 29 Data Protection Working Party ,Guidelines on the right to data portability[EB/OL]. (2017-04-05) [2018-03-05]. http:∥ec.europa.eu/newsroom/document.cfm?doc_id=44099.

[5] Eva Fialov .Data Portability and Informational Self-determination[J].Masaryk University Journal of Law and Technology,2014,8.

[6] Brenda Leong.What’s Wrong with the Proposed EU Right of Data Portability? [EB/OL]. (2012-10-17) [2018-03-05]. available at:https:∥fpf.org/2012/10/17/whats-wrong-with-the-proposed-eu-right-of-data-portability/.

[7] UK Information Commissioner's Office.The right to data portability[EB/OL]. (2017-05-01) [2018-02-15].https:∥ico.org.uk/for-organisations/data-protection-reform/overview-of-the-gdpr/individuals-rights/the-right-to-data-portability/.

[8] 張哲.探微與啟示：歐盟個人數據保護法上的數據可攜權研究[J].廣西政法管理干部學院學報，2016(6)：43-48.

[9] General Data Protection Regulation, Article 20.

[10] 王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心[J].現代法學，2013(4)：62-72.

[11] 王葉剛.人格權確權與人格權法獨立成編——以個人信息權為例[J].東方法學，2017(6)：107-112.