個人信息轉移權客體范圍和實現方式的反思與修正
2023-05-30 03:39:44文立彬鄒瑛
重慶郵電大學學報·社會科學版 2023年2期
文立彬 鄒瑛
摘 要:
《個人信息保護法》確立了個人信息轉移權,該權被賦予促進個人信息流通、打破數據平臺壟斷的期待。然而,作為新興權利的個人信息轉移權在實踐中面臨著客體范圍模糊、操作性不強等主要問題,這導致個人信息轉移權落地困難。在剖析困境成因、比較域外立法經驗和反思實踐成效的基礎上,建議將直接數據和部分觀察數據納入個人信息轉移權客體范疇,確定差異化數據傳輸要求,以期實現個人信息轉移權的多重效能。
關鍵詞:
《個人信息保護法》;個人信息轉移權;客體范圍;差異化數據傳輸
中圖分類號:D923
文獻標識碼:A
文章編號:1673-8268(2023)02-0053-10
個人信息轉移權又稱數據可攜帶權(right to data portability),自2007年被學術界提出以來,就在世界主要國家中經歷了理論爭論、立法確認和實踐檢驗的環節。2012年,歐盟在其制定的《通用數據保護條例》(general data protection regulation,GDPR)草案中首次規定該權利,并于2016年定稿、2018年5月生效的GDPR正式版本中確立此權。GDPR為個人數據保護提供了明確而有力的法律依據,且最早提出了數據可攜帶權的定義及相關規則,與之并列為數據權利的還有數據訪問權、更正權、被遺忘權、限制處理權等權利。需要指出,我國個人信息轉移權與GDPR數據可攜帶權的內涵存在明顯差異。其一,客體范圍不同。GDPR數據可攜帶權的客體范圍限定于基于數據主體同意或為履行合同所必須而收集、且以自動化方式處理的個人數據,具體包括直接數據和觀測數據。根據我國《個人信息保法》第45條第3款的規定,個人有權要求轉移至指定的個人信息處理者的個人信息類型并不明確。此外,根據我國2020年10月實施的《信息安全技術 個人信息安全規范》第8.6條規定的信息類型,即本人的基本資料、身份信息、本人的健康生理信息和教育工作信息,均屬于直接數據而非觀測數據。其二,數據傳輸模式不同。GDPR僅將“以機器可讀的格式向個人提供副本”作為數據控制者的強制性義務,而僅在滿足“技術可行”的前提條件時,數據控制者才有義務將個人數據直接傳輸至其他數據控制者。這一規定實質上使直接傳輸義務成為了一種倡導性義務,在實踐中很可能以“不滿足技術要求”為由而拒絕用戶請求。我國采用直接或間接傳輸模式,或采用類似歐盟的折衷方案,但于規范層面未有定論。其三,對涉他個人數據的處理不同。數據轉移過程中,個人所請求移轉的個人數據可能涉及他人的個人數據或隱私,此即涉他個人數據,對其移轉可能對他人的權利和自由產生影響,也可能增加個人數據泄露的風險。因此,GDPR第20條第4款規定,個人行使可攜帶權時不得影響他人的權利和自由,而我國立法無相關規定。鑒于域外數據可攜帶權與我國相關權利在內涵上的顯著差異,我國《個人信息保護法》采用了個人信息轉移的表述,相關研究也采用了“個人信息轉移權”[1]或“個人信息遷移權”[2]的概念。考慮到我國個人信息轉移權是在《個人信息保護法》脈絡下對域外個人數據可攜帶權的揚棄和革新,且個人信息具體權利應與《個人信息保護法》相關規定保持一致,本文采用“個人信息轉移權”的概念。
一、問題的提出
數據可攜帶權及相關數據權利的產生和演化是數據產業經濟發展的產物。作為數據產業大國,我國數據利用不僅涉及公民個人的權利保障和數據企業的良性競爭與有序發展,更涉及國家數據主權的構建與安全。近年來,我國個人信息相關立法經歷了從無到有、從分散到集中、從寬泛到具體的發展歷程,逐步形成了個人信息保護法律體系。在《個人信息保護法》出臺前,2018年實施的國家標準《信息安全技術 個人信息安全規范》第7.9條規定的“個人信息主體獲取個人信息副本”的條款常被視為我國確立“個人信息轉移權”的鋪墊[3]。2021年實施的《個人信息保護法》完善了個人信息保護制度,豐富了個人信息保護規則和保障了數字經濟發展環境。其中,個人信息轉移權的規則積極回應了數據平臺的數據壟斷問題。從我國個人信息保護法律體系來看,2017年實施的《網絡安全法》和2021年實施的《數據安全法》將數據安全和數據利用視為一體兩翼,合力保障著數據價值背后的國家主權。2021年實施的《民法典》確立了個人信息的“人格利益”屬性及其在民事權利體系中的位置,側重保護個人信息權中的財產權。《個人信息保護法》是一部保護個人信息的綜合性法律,將維護人格尊嚴作為立法的核心價值,注重保護個人信息權中的人格權[4]。根據《個人信息保護法》相關規定【《個人信息保護法》第45條第1款規定:“個人有權向個人信息處理者查閱、復制其個人信息。”第45條第3款規定:“個人請求將其個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。”】,個人信息主體將有權從個人信息處理者處獲取個人信息副本,以及請求個人信息處理者直接將其個人信息傳輸給另一實體。為落實上述立法中關于數據安全管理的規定,2021年11月,國家互聯網信息辦公室會同相關部門發布了《網絡數據安全管理條例(征求意見稿)》(以下簡稱《意見稿》),并于2022年7月被國務院列入擬制定的行政法規名單。《意見稿》從總體看,旨在強化和落實數據處理者的主體問題,是對《網絡安全法》《數據安全法》《個人信息保護法》的落地、細化和補充。從細節看,《意見稿》細化了個人信息處理規則,構建了“義務約束、權利保護”的個人信息安全保障框架。可見,相關立法圍繞“平衡個人信息安全和流通價值”進行了細致規劃。個人信息轉移權的立法宗旨在于強化個人信息主體的權利意識和暢通權利行使,打通個人數據在不同數據平臺之間的渠道,以打破數據壟斷,這與我國數字經濟的發展趨勢和國家大數據戰略高度契合。
相較于傳統行業,數據產業具有集聚效應、與個人信息密切和易壟斷這三大特點。在大數據時代,原始個人信息能夠提供的商業價值較為有限且較低,而個人信息經加工處理后形成的數據產品能夠實現“預測”作用,具有重要商業價值。大型數據平臺具有前期優勢,在獲取個人信息并提供服務后形成高度的“客戶黏性”,并會為了保持“客戶黏性”而采取法律阻礙、技術障礙、經濟障礙等方式阻止競爭者取得個人信息及衍生數據。從整體看,我國數據產業經歷了從野蠻生長到步入高質量發展的階段變化;從局部看,與個人信息相關的不當行為仍普遍存在且社會影響更為惡劣。例如,大型數據平臺強制商家和用戶“二選一”的行為,既削弱了競爭者優勢,又擴大了自身數據儲量。再如,大型數據平臺通過數據精確分析,將產品或服務的定價無限接近消費者購買力的上限,迫使消費者接受歧視性定價而實施“大數據殺熟”。可見,上述亂象背后體現了個人信息的多重屬性和深層價值,個人信息轉移權的確立和落實正是為了回應和處理因數據壟斷產生的諸多問題。然而,個人信息轉移權在實踐中面臨較多問題:客體范圍模糊、操作性不強、與其他權利存在沖突等。這些問題一方面導致個人信息的流轉不暢、價值停滯、市場失靈和遭遇道德風險,另一方面導致有效解決數據壟斷問題的立法宗旨難以實現。從本質上看,個人信息轉移權遭遇的現實困境和立法障礙,是個人信息權、個人信息處理者數據權利和數據市場競爭秩序三者之間的矛盾[5]。在查閱相關文獻的基礎上發現,現有研究較少從我國《個人信息保護法》的視角對個人信息轉移權的客體范圍和實現方式進行分析和總結,且對域外相關立法成效反思的研究仍不夠深入,這為本研究預留了一定的空間。需要說明的是,我國《個人信息保護法》采用個人信息(personal information)的概念,歐盟GDPR采用個人數據(personal data)的概念,鑒于GDPR對我國及域外個人信息保護立法上的深遠影響,本文將“個人信息”和“個人數據”、“個人信息處理者”和“數據控制者”、“個人信息可攜帶權”和“數據可攜帶權”分別作同一概念進行使用。
二、個人信息轉移權客體范圍和實現方式面臨的困境分析
《個人信息保護法》第四章規定了與個人信息處理相關的七項權利,旨在加強個人對個人信息的控制。從七項權利的邏輯關系看,知情權系行使決定權的前提,查閱復制權是知情權和決定權的保障,也是更正補充權和刪除權的基礎。轉移權賦予個體轉移個人信息的權利,既是查閱復制權的延伸,也是實現決定權的保障。解釋權則是落實知情權的重要一環。可知,上述七項權利形成了法定性和開放性兼具的個人信息權利體系。其中,個人信息轉移權被寄予了打破數據壟斷等期望。然而,個人信息轉移權面臨的現實困境和立法阻礙使其無法充分發揮效能,故有必要深入剖析困境成因。
(一)個人信息轉移權客體范圍較為模糊
個人信息流轉難的關鍵在于個人信息雖然由個人信息主體所創建,但大多數情況下需要通過個人信息處理者流轉,責任主體和利益主體不一致[6]。而個人信息轉移權的客體范圍模糊增加了個人信息流轉的障礙:其客體是個人信息,而個人信息的法律屬性及權利范圍一直存在爭議。有學者指出,相較于GDPR中數據可攜帶權是一種“鼓勵性”而非“強制性”的規定而言,我國《個人信息保護法》中的個人信息轉移權內容是一個授權性、開放性的條款,其未來是否能夠真正落地,取決于數據可攜帶權的權利啟動和行使條件之設置[7]。對此,有必要就我國個人信息轉移權客體的屬性及范圍展開探討。
首先,個人信息的法律屬性存在爭議。《個人信息保護法》第1條和第2條采取折中方法,規定個人信息是獨立的具體人格權客體。其原因在于,一是《民法典》人格權編將個人信息納入該體系中,與隱私權規定在同一章,說明個人信息具有權利屬性;二是以權利形式保護個人信息具有可行性;三是《個人信息保護法》在第49條和第50條中兩次使用了“個人行使權利”的表述,說明個人信息屬于獨立的民事權利客體,而非一般法益。然而,若僅將個人信息權定位于人格權的延伸,則存在范圍設定過窄的問題。在數字經濟時代下,個人信息權兼具人格屬性和財產屬性,應被視為一種新興的復合型權利,而且個人信息處理者對個人信息的處分權能亦是應有內涵。
其次,個人信息轉移權的客體范圍不夠明確。《個人信息保護法》對于個人信息轉移權的規定較為籠統,適用的數據范圍有待明確,這導致個人信息處理者的數據權利難以落實。具體來看,《民法典》第1034條第2款以“概括+舉例”的方式明確了個人信息的概念,其范圍基本涵蓋了全領域的個人信息。《個人信息保護法》第4條規定了個人信息的范圍,即具有可識別性的信息,匿名化處理后的信息不屬于個人信息。問題在于:第一,是否存在不屬于個人信息轉移權客體的個人信息;第二,個人信息經匿名化處理后形成的數據產品,個人信息處理者是否享有財產權并可依法受益?個人信息轉移權客體范圍的確定,對于數據平臺的商業秘密保護尤為重要,亦是維護數據產業良性競爭之關鍵。
(二)個人信息權利實現方式的操作性有待提升
根據南方都市報個人信息保護研究中心發布的《個人信息安全年度報告(2021)》顯示,150款被測APP中,只有57款明確用戶可要求獲取個人信息副本,其中僅15款稱可提供轉移服務。涉及個人信息轉移服務的,基本都要求用戶提供對方APP的接收方式、接口等信息;然而,沒有任何一款APP明示告知用戶如何獲取上述信息,這進一步增加了用戶行使轉移權的難度。個人信息轉移權的落地不僅有賴于其內涵的明確,而且依賴于可操作性的提升。但是,個人信息處理者和個體之間存在的信息落差和技術不均衡等差異,一方面影響了個人信息轉移權的有效行使,另一方面對個體行使其他個人信息權利也造成阻礙。從技術層面進一步看,個人信息轉移權操作性不強的問題阻礙了其積極效能的發揮。例如,個人信息處理者之間要直接轉移數據就需要實現其系統之間的互通,對中小企業而言,這無疑會帶來巨大的合規成本和技術障礙。由于受限于互通系統的要求,數據主體可能無法輕易在個人信息處理者之間便捷地直接轉移個人數據。此外,現實中對涉及第三人利益的數據,如數據主體的聊天記錄,直接進行轉移則會對其他數據主體的權利造成影響。可見,個人信息轉移權的實現具有復雜性,對其可操作性的提升不僅依賴于數據轉移規則的細化,而且有賴于數據轉移技術的升級。
從個人信息主體的角度來看,《個人信息保護法》第四章專門規定了“個人在個人信息處理活動中的權利”,包括個人的查閱權、復制權、轉移權,更正權、補充權等權利,第15條規定了撤回同意權。根據觀察,部分企業對于上述權利的保護并不充分,違法風險較高。對于個人信息復制權和查閱權而言,轉移權是其延伸。值得注意的是,對于提供形式,個人信息處理者只需向個人提供“電子化、人類可讀的個人信息副本,而非結構化的、機器可讀的數據”,這并沒有給個人信息處理者增加額外的運營成本。但問題在于,《個人信息保護法》第45條第1款中“個人有權向個人信息處理者查閱、復制其個人信息”中“查閱、復制”的表述在文義上充滿了前互聯網時代的意味,似乎未充分考慮到數字時代的大背景——個人信息主體一般并不會像查閱賬簿一樣去個人信息處理者那里去查看自己的個人信息,并要求其提供個人信息的復印件[8]。因此,選取何種方式以便數據主體通過網絡可以隨時查閱、轉移個人信息處理者處理的個人信息,是個人信息轉移權得以落地的重要舉措。
(三)個人信息轉移權與其他權利的沖突
個人信息轉移權在我國落地還存在著可能侵犯第三人權利、與知識產權及商業秘密發生沖突等困難。可能侵犯第三人權利的個人信息主要有社交媒體上用戶發布的照片、視頻以及好友的評論等。經營者在根據用戶授權遷移相關數據時,同時涉及對涉他數據的處理,如果未經第三人同意而直接轉移相關數據,將涉及對第三人個人信息權益和隱私的侵犯[9]。可見,個人信息轉移權在行使的過程中不僅涉及單獨的個體信息,而且與第三人個人信息權益和隱私存在多重聯系,這與數字時代下社交平臺的經營方式息息相關。就行使個人信息轉移權有可能侵犯知識產權及商業秘密的問題,有研究提出,個人信息可能包含如用戶關系鏈、消費畫像、企業銷售策略等有價值的知識產權或商業秘密,一旦被允許轉移就會被拆分成碎片而流入其他信息處理者手中,然后又有可能被重組、分析,進而掌握原信息處理者的知識產權或商業秘密[10]。可見,上述問題一方面加重了個人信息處理者對于個人信息轉移的顧慮,另一方面加大了個人信息轉移的難度。總之,個人信息轉移權的行使存在與其他權利相沖突的可能,如何降低或避免權利沖突的負面影響,無疑是推進個人信息轉移權落地的關鍵環節。
三、域外數據可攜帶權的落地經驗總結與實踐邏輯剖析
域外數據可攜帶權的立法和實踐探索起步較早,并在探索過程中逐步完善和形成了各具特點的保護體系,值得深入分析。
(一)歐盟模式:人本主義,鼓勵本地企業發展
歐盟通過GDPR第20條對數據可攜帶權作出了規定【GDPR第20條規定:“數據可攜帶權是指數據主體有權以結構化、通用的和機器可讀的格式,獲取其提供給個人信息處理者的相關個人數據,且數據主體有權將此類數據無障礙地從該控制者處傳輸至其他控制者處。”】,具體包含數據接收權和數據轉移權,并針對數據控制者規定了“技術可行”及“無障礙”的要求,前者要求數據控制者應以可相互操作的格式傳輸個人數據,引導不同平臺實現數據流通;后者要求數據控制者不得利用各種手段阻礙數據主體對個人數據的傳輸或再利用[11]。相較于我國《個人信息保護法》中的個人信息轉移,GDPR的規定更為細致且操作性較強。GDPR設置數據可攜帶權的目的在于實現個人信息的自決權,并通過用戶發起的數據流動促進企業間相互競爭。從國際立法實踐看,GDPR的影響是深遠的。在其施行后,巴西、美國、澳大利亞、新加坡等國家均增設了數據可攜帶權,基本認可個人享有控制信息流通的權利[12]。從GDPR實踐情況來看,數據可攜帶權的確立和實施并未達到預期效果;并且,部分行業巨頭因此形成數據格式統一的聯盟,提高了數據流通的門檻,縮小了數據流通的半徑,以達到防控數據泄露風險的目的,最終惡化數據壟斷局面。換言之,GDPR實施后,中小企業面臨更大的內外部壓力,而大型企業可以用其市場地位避免數據可攜帶權的影響,這或許背離了GDPR立法初衷。對此,我們有必要對GDPR數據可攜帶權的權利定位、客體范圍和技術標準展開分析。從權利定位看,GDPR基于人本主義立場對個人數據進行嚴格保護,但對個人數據的財產屬性及流通價值關注不足,這導致數據平臺更多考量數據安全風險的控制而顯著減少了數據向外流通的可能。從客體范圍看,GDPR及歐盟制定的《數據可攜帶指南》規定了個人數據涵蓋的范圍。一部分是數據主體主動提供的數據,如填寫的個人資料信息,包括姓名、性別、年齡、家庭住址等。另一部分則是個人信息處理者通過觀測數據主體使用某些服務而記錄的個人數據,如某人的搜索歷史記錄、交通數據、位置數據以及可穿戴設備跟蹤的心跳數據等;但是,不包括個人用戶的精準畫像、信用評級、人物影響力等通過對上述兩種數據進行后續分析推斷得到的衍生數據,也不包括匿名或不涉及數據主體的數據。從技術標準看,歐盟將數據可攜帶權的標準定為機器可讀的個人信息,就必然會面臨各企業數據不兼容的阻礙。而該項權利的執行又非常克制,當個人行使可攜帶權時,如果企業間原本的數據接口不兼容,GDPR并不會要求企業額外花費高額的成本以設立與第三方進行數據交換的渠道,這樣看來,數據的轉移并未成功實現。這也說明,歐盟作為邦聯組織,其管制能力難以同統一主權國家一般有力,因此在數據可攜帶權落地的技術標準上采取了增強互動操作性的方法,這是一種妥協策略下的辦法且是“提倡”性的。
(二)美國模式:企業主導,體現巨頭企業利益訴求
從美國的立法實踐看,數據可攜帶權適用領域主要包括醫療健康信息、金融信息等。美國上述領域中的數據競爭較為激烈,且涉及重要的個人利益和重大的企業利益,因此優先在這些特定領域推動數據可攜帶權的確立和落地。與歐盟不同,美國模式堅持企業主導的立場,更多關注數據利用的商業價值和產業發展。政府扮演“守夜人”的角色,盡量減少外部干預,強調行業自律和反壟斷規制方式,這些做法與美國國情相契合[13]。美國多個州的法律都規定了數據可攜帶的要求,在聯邦層面沒有統一的聯邦數據保護法,因此,關于數據可攜帶制度主要規定在一些具體部門的立法中,如在健康數據領域的《健康保險便攜性和責任法》和在財物領域的《多德弗蘭克法》。目前,美國有三個州通過了全面的數據保護法,即加利福尼亞州、科羅拉多州和弗吉尼亞州,每個州都在相關法律中規定了數據可攜帶條款,其中最具代表性的當屬《加州消費者隱私法》(california consumer privacy act,CCPA)。從適用范圍看,CCPA既關注個人數據,也關注非個人數據,如觀測數據和衍生數據,且強調適用于跨部門的所有數據持有人[14]。CCPA源于美國企業發起的DTP(data transfer project)項目,該項目內容是典型的由企業主導的個人數據可攜帶模式。CCPA的施行,旨在加強數據主體對其個人數據的控制權利,其數據可攜帶權被規定在數據訪問權之中。在CCPA施行后,美國四家巨頭企業聯合發起了數據遷移項目,目的是創造一個服務對服務的開源數據遷移平臺。DTP模式的優勢在于解決了個人數據可攜帶權在落地時的授權復雜、操作不便等問題,即通過統一的數據傳輸標準,簡化個人執行可攜帶權時的操作流程,從而獲得相應的個人信息,這對于提升我國個人信息轉移權的實際操作有借鑒價值。目前,DTP項目參與者包含了各個美國互聯網巨頭和數十家圖片音樂網站及云存儲服務商,而中小型企業因無法達到數據共享的技術門檻而被排除在外。此外,DTP的局限還在于,個人數據存儲在企業服務器上,用戶無法選擇數據存儲位置,因而對數據遷移過程中出現的問題難以追責。
(三)韓國模式:政府主導,匹配政府宏觀調控的經濟發展模式
韓國于2011年頒布了《個人信息保護法》,并在2021年的修訂中增設了個人信息可攜帶權等內容,以期順應數據產業發展趨勢,推動人工智能等新技術發展,為MyData的落地提供了法律基礎。韓國個人信息保護委員會指出,個人信息可攜帶權的引入將促進目前只在金融、公共等部分領域推進的MyData模式,并進一步將MyData模式推廣至各個數據產業,以防止數據壟斷現象的產生與惡化。不同于美國企業主導的模式,韓國模式強調政府主導,這與韓國幾十年來采取的政府宏觀調控經濟發展模式密切相關。值得注意的是,MyData是一種平衡個人數據保護和利用利益的創新理念,而非一類產品、服務或平臺。MyData理念最早正式出現在芬蘭交通運輸部發布的白皮書中。隨后,多個國家將MyData理念付諸實踐,如芬蘭、英國、韓國和新加坡等[15]。把韓國MyData實踐作為研究對象的原因在于:中韓兩國經濟發展道路具有相似性,且兩國的個人信息立法均有益借鑒了GDPR相關原則和規則。
具體看,在韓國政府主導的個人信息攜帶模式中,政府授權或直接成立中心化機構,把數據提供方、數據應用方連接起來。對用戶而言,其可能只需一次授權,就能夠把數據提供方、托管方、使用方連起來。2022年1月,韓國在金融領域開展MyData服務試點,用戶可通過MyData運營商的APP,要求金融機構將信息提供給MyData運營商,便于運營商為用戶提供一站式查詢、金融產品咨詢、資產管理等服務。與DTP模式相比,MyData模式加入了政府的作用,通過牌照準入的方式以政府信用代替企業信用,提高了用戶的信任度,增加了企業的參與度,整合了更多類型的數據[16]。目前看,MyData服務的推進并不順利,不僅全面推行的時間點被延遲,其服務所覆蓋的個人數據類型也遠不如設想中豐富。有研究指出,缺少激勵機制是數據類型不夠豐富、跨行業協作困難、MyData服務成效不佳的重要原因。從整體看,韓國MyData面向垂直行業,針對跨行業的支持存在較多限制,在可持續性上也存在疑問。此外,設置MyData運營商相當于創造了額外的個人數據存儲節點,用戶層面無法自主選擇數據存儲位置,企業端也會對MyData運營商“既是運動員又是裁判員”的雙重身份存在質疑。
(四)實踐邏輯:個人信息轉移權落地應適應國情
比較來看,我國立法中個人信息權利設置的初衷在于保護個人信息,并將個人信息合理利用納入立法目的。我國立法認可個人信息蘊含的多元價值,進而通過規范性文件平衡個人信息安全與流通價值間的利益。反觀歐盟相關立法,其以“個人信息自決權”為基石,強調個人對其數據的控制和支持歐盟境內個人數據流通。但事實證明,歐盟數據可攜帶權制度對市場勢力和市場結構關注不足,并沒有實現打破數據壟斷的預期效果。而美國相關立法凸顯個人信息流通價值,支持企業發展和創新,這與其立法背后體現巨頭企業利益訴求的原因密不可分。再看韓國,其相關立法旨在以政府為重心優先保障金融領域的個人信息流通,這與該國踐行政府主導、以大型公司為主的外向型經濟模式關系密切。
不難看出,各國立法的出發點基于自身的發展狀況和利益訴求,因此立法模式和具體規范各有側重。從域外立法模式來考察,以美國為代表的企業模式雖然為用戶提供了便利,但導致了大型數據平臺的結盟,阻礙了中小企業涉足數據產業。值得注意的是,美國模式優先在特定領域落地數據可攜帶權,并以此由點帶面展開個人信息權內容的探討,這具有積極的借鑒價值。以韓國為代表的政府主導模式雖然更為強勢,試圖覆蓋的領域更多,但也遇到了更大的阻力,同時制造出了新的潛在問題。域外主要的兩種立法模式都沒能讓用戶自主選擇數據存儲位置和追溯數據的傳輸軌跡及授權信息,生態層面也缺乏有效的激勵機制,且暫不能實現跨行業通用的個人信息攜帶,離完全意義的“數據可攜帶”尚有距離。因此,我國個人信息轉移權的實踐邏輯在于從國情出發,先解決主要矛盾再鋪開適用,以便作為新興權利的個人信息轉移權能更好地嵌入個人信息保護法律體系之中并充分發揮效能。
四、我國個人信息轉移權切實落地的可行路徑
我國《個人信息保護法》雖然在一定程度上參考借鑒了域外相關立法,包括一些基本規則和權利義務,但我國與域外國家在經濟、政治和文化方面存在的諸多不同,導致了個人信息權利在各自立法體系和具體規則中的明顯差異。對此,我國個人信息轉移權的實踐不可照搬域外經驗,而應在探索中構建中國路徑。
(一)明確個人信息轉移權客體范圍,落實個人信息主體權利
我國《民法典》和《個人信息保護法》雖然規定了個人信息的概念及范圍,但并未明確規定個人信息轉移權的客體范圍,因此我們可以從立法和司法兩個層面進行剖析并提出對策。
其一,從立法層面考察。考慮到GDPR對全球個人信息保護立法的深遠影響,因此在數據可攜帶權客體的分類上具有借鑒意義。歐盟《數據可攜帶權指南》將個體提供的數據信息歸為三類。第一類為直接數據,即數據主體主動提供的數據;第二類為觀察數據,即數據主體在使用數據平臺提供的產品或服務時留下的行為痕跡;第三類為衍生數據,即數據控制者通過算法對前述兩類數據加以分析所得的數據,如在健康領域的體檢報告、健康評分,在金融領域的信用評級、風險評級等[17]。《數據可攜帶權指南》指出,直接數據和觀察數據屬于個人數據可攜帶權的客體,而衍生數據不是。因為衍生數據經由個人信息的分析、整理或排列而成,包含了個人數據處理者的獨創性設計,屬于智慧成果。此外,有觀點對將“觀察數據”納入個人數據可攜帶權的客體提出了質疑,并從“貢獻度理論”角度出發,采用比例原則進行了分析。該觀點認為,對個人信息形成的貢獻度是決定是否可攜帶的基本標準。比如,自愿提供的個人信息反映了數據主體在信息創建中的最大貢獻,因此對其授予個人信息主體在完全訪問和使用方面的合法權利。相對應地,衍生信息之所以不屬于個人數據可攜帶權的客體,理由在于此類信息屬于信息處理者而非數據主體的貢獻。因此,從內在邏輯一致性的視角出發,在決定觀察數據是否適用個人數據可攜帶權時,應當考慮數據主體或數據處理者的貢獻度大小[18]。換言之,當個人信息主體主動形成觀察信息,而個人信息處理者僅提供了個人信息存儲的服務,此情況下的個人信息并未包含大量的創造性構思與設計,因此不屬于智慧成果,而屬于個人數據可攜帶權客體所涵蓋的范圍;反之,則可能屬于個人數據處理者的智慧成果,不屬于個人數據可攜帶權客體。上述學者觀點考慮到了直接數據、觀察數據和衍生數據的內在邏輯一致性,且根據觀察數據的不同情況加以區別對待,既有利于提升個人數據可攜帶權的可操作性,又有助于保障個人數據處理者的智慧成果,能夠更精準切割個人信息和企業數據,以實現數據控制和數據利用的動態平衡。綜上,我們建議將個人信息轉移權的客體范圍限定于直接數據和部分觀察數據,將包含有大量個人信息處理者創造性構思和設計的衍生數據與部分觀察數據排除在個人信息轉移權的客體之外。
其二,從司法層面考察。法律諺語“法律的生命不在于邏輯而在于經驗”闡明了法律積極作用的實現不在于法律條文本身,而在于通過司法解釋、司法實踐以及整個司法活動來實現其中的價值觀念。因此,從我國司法判例中挖掘并歸納出個人信息轉移權客體的范圍,具有重要意義。從“新浪微博訴脈脈案”和“淘寶訴美景不正當競爭案”的司法判決可知,第一,個人數據具有財產性價值,數據產品屬于具有競爭性的財產權益,因而受到法律保護。個人信息處理者對其搜集的原始數據,有權依照其與個人信息主體的約定進行使用。確認個人信息處理者對其研發的數據產品享有獨立的財產性利益,體現了“個人信息和增值數據相區分”的司法規則。第二,對于第三方平臺使用授權平臺所搜集的用戶數據,應遵循“三重授權原則”[19]。三重授權原則中,第一重授權是個人信息主體對個人信息處理者的授權,即用戶向個人信息持有平臺授權其共享自己的信息;第二重授權是指作為個人信息共享讓渡方的個人信息持有平臺的授權,即個人信息持有平臺允許個人信息獲取企業獲取個人信息,其中交易雙方主要以協議方式明確所共享的個人信息范圍和各自的權利義務;第三重授權是個人信息主體對個人信息獲取企業的授權,即個人信息主體允許個人信息獲取企業處理、控制和使用其獲取的來自個人信息主體的相關信息[20]。第三,個人信息轉移權兼具人格屬性和財產屬性,應當視其為一種新興權利進行保護。因此,在落實個人信息轉移權時,有必要促進信息化場景多元化運用,細化個人信息轉移權的使用范圍,從而構建兼顧數據流通和數據安全的良性數據生態體系。比如,可在相關法律中規定個人信息處理者轉移用戶個人信息時應滿足兩個條件:信息轉移應當是基于信息主體同意或合同的自動處理;如果個人信息涉及他人,則新的個人信息處理者處理信息時必須取得他人的同意或存在其他合法依據。在限制條件方面,應設置三種排除適用個人信息轉移權的情形,即涉及侵犯公共利益的,涉及侵犯他人權利的,涉及侵犯他人知識產權或商業秘密的,以避免或減少個人信息轉移權與其他權利的沖突。綜上所述,我國司法實踐確立了“個人信息和增值數據相區分”的司法規則和個人信息使用的“三重授權原則”,認可數據的雙重屬性,認同數據產品屬于智慧成果和具有財產價值。從長遠看,建議以立法形式明確上述規則和原則,并優先在特定領域適用個人信息轉移權,即在教育、醫療、金融、交通等與公民重大利益相關的領域,落實個人信息轉移權的權利行使和權利救濟,這與國情所需高度契合。
(二)確定差異化的數據傳輸要求,優化個人信息轉移權操作模式
第一,確定差異化的數據傳輸要求,遵循“技術可行”標準并細化規則。GDPR針對數據控制者規定了“技術可行”及“無障礙”要求,2020年的《信息安全技術 個人信息安全規范》第8.6條也規定個人信息控制者需在技術可行的前提下進行個人信息副本傳輸。關鍵是:不同平臺間的數據是否兼容以及兼容成本如何承擔?對此,個人信息控制者沒有法定義務,立法者也并未考慮過此問題。若將“技術可行”規定為強行性規范,則將顯著增加個人信息處理者義務;若規定為引導性規范,則會讓數據傳輸遭遇更多障礙。個人信息轉移權的設立初衷是為了實現數據流通和打破數據平臺壟斷,但僅僅依靠個人信息處理者的行業自律是遠遠不夠的,故法律干預確有必要。對此,可參考歐盟做法,將個人信息處理者在轉移個人信息應遵守的“技術可行”標準以立法形式加以規定,確定差異化的數據傳輸要求。此舉既符合我國大數據產業迅速發展下不同規模不同類型的個人信息處理者的現狀,又能以更為友好的方式維護數據產業的良性競爭。
第二,可采取分布式數據傳輸協議,建立用戶主動行使個人信息轉移權的模式。分布式數據傳輸協議(distributed data transfer protocol,DDTP)建立用戶主動行使個人信息轉移權的模式,是實踐個人信息轉移權、提升數據生產力的可行路徑。該協議基于區塊鏈技術進行設計,通過區塊鏈的全流程追溯、防篡改、傳遞信任等特性,疊加引進權威機構的參與,助力更安全、可信、易協作的個人信息攜帶應用。DDTP與域外主流模式相比,區別在于:第一,DDTP是分布式的,沒有中心機構主導,旨在讓用戶成為關鍵參與者,有賴于個人信息處理者滿足充分告知、合法授權兩個重要前提;第二,DDTP并不是單一的項目而是協議,且有望成為通用協議,讓具有大量數據的提供者以及有很多應用場景的數據接收方能通過用戶本身的授權進行數據傳遞。在此過程中注入區塊鏈、云計算、AI能力,可有效應對可信傳輸、安全存儲、協同生產三大難題。當前,廣東和澳門跨境通關的粵澳健康碼項目采用DDTP模式,在運行了一段時間后,取得了良好的社會效應,既為粵澳兩地機構提供了跨境數據驗證基礎設施,又實現了兩地居民及企業便捷跨境的目標,這為完善中國語境下的個人信息轉移權的立法與實踐提供了有益參考。
五、結 語
在數字經濟時代,數據所蘊含的人格屬性和財產價值受到普遍關注,數據作為新型生產力要素已經上升至國家戰略高度,并與國家安全息息相關。《民法典》和《個人信息保護法》的相繼施行,為作為新型權利的個人信息轉移權提供了法律依據。個人信息轉移權的確立與實踐,旨在提升個人信息主體的權利意識,促進個人信息的流通,打破大型數據平臺的數據壟斷。從個人信息轉移權落地的情況分析,面臨著個人信息處理者權利義務不匹配且數據平臺歧視持續存在、個人信息轉移權的客體范圍較為模糊、個人信息權利實現方式操作性不強等主要問題。從域外立法經驗進行考察和反思可知,歐盟GDPR對全球個人信息保護立法產生了重要且深遠的影響[21]。美國采用企業主導的數據可攜帶權模式,更多關注數據利用的商業價值和產業發展,強調行業自律和反壟斷規制方式。韓國采用的MyData模式體現了政府主導,并試圖覆蓋更多領域,但也遇到了更大的阻力。對此,破解我國個人信息轉移權的落地難題不可照搬域外經驗,而應堅持“從實踐中來到實踐中去”的標準,理性地反思不足和總結經驗,積極探索個人信息轉移權的中國路徑。對此,可從兩個方面來破解個人信息轉移權遭遇的難題。第一,明確個人信息轉移權客體范圍,確保個人信息主體權利的落實。將個人信息類型中的直接數據和部分觀察數據納入個人信息轉移權的客體范疇,將衍生數據和部分觀察數據排除在個人信息轉移權客體之外,并賦予個人信息處理者對相應數據產品的財產權利。同時,建議以立法形式確認“個人信息和增值數據相區分”的司法規則與個人信息使用的“三重授權原則”,并在特定領域即教育、醫療、金融、交通等與公民重大利益相關領域中優先適用個人信息轉移權。第二,確定差異化的數據傳輸要求,遵循“技術可行”并細化規則;采取分布式數據傳輸協議,建立用戶主動行使個人信息轉移權的模式。
參考文獻:
[1] 許可.誠信原則:個人信息保護與利用平衡的信任路徑[J].中外法學,2022(5):1155.
[2] 陳星.論個人信息權:定位紛爭、權利證成與規范構造[J].江漢論壇,2022(8):143.
[3] 丁曉東.什么是數據權利?——從歐洲《一般數據保護條例》看數據隱私的保護[J].華東政法大學學報,2018(4):75.
[4] 王利明.論《個人信息保護法》與《民法典》的適用關系[J].湖湘法學評論,2021(1):25.
[5] 劉輝.個人數據攜帶權與企業數據獲取“三重授權原則”的沖突與調適[J].政治與法律,2022(7):114.
[6] 鄒曉玫,杜靜.大數據環境下個人信息利用之授權模式研究——重要性基礎上的風險評估路徑探索[J].情報理論與實踐,2020(3):38.
[7] 王錫鋅.數據可攜權與數據治理的分配正義[J].環球法律評論,2021(6):6-8.
[8] 汪慶華.數據可攜帶權的權利結構、法律效果與中國化[J].中國法律評論,2021(3):189-201.
[9] 張建文,高寧寧.歐盟數據可攜權下涉他數據轉移的問題研究[J].重慶郵電大學學報(社會科學版),2021(3):34.
[10]蔣佳妮.落實數據可攜帶權 讓數據“活動”起來[N].光明日報,2022-08-28(5).
[11]李伯軒.數據攜帶權的反壟斷效用:機理、反思與策略[J].社會科學,2021(12):107.
[12]杜小奇.數據可攜帶權的立法檢視與適用展開[J].河北法學,2022(6):169.
[13]化國宇,楊晨書.數據可攜帶權的發展困境及本土化研究[J].圖書館建設,2021(4):118.
[14]康蘭平,程文文.數據可攜帶權在歐美法律實踐上的權利要旨對我國個人信息權益保護的借鑒[J].電子知識產權,2022(3):73.
[15]羅力.數字政府背景下全球個人數據開發進展研究[J].電腦知識與技術,2021(12):22-23.
[16]高玉翔.個人信息可攜帶權的全球實踐和中國路徑倡議[J].金融電子化,2021(12):79.
[17]杜小奇.數據可攜帶權的立法檢視與適用展開[J].河北法學,2022(6):174.
[18]JANAL? R.Data Portability-A Tale of Two Concepts[J]. Journal of Intellectual Property, Information Technology and E-Commerce Law,2017(8):59.
[19]何金海.論我國數據可攜帶權的客體范圍[J].山東科技大學學報(社會科學版),2022(4):70.
[20]劉輝.個人數據攜帶權與企業數據獲取“三重授權原則”的沖突與調適[J].政治與法律,2022(7):117.
[21]崔聰聰,劉傳新.數據可攜帶權的法理邏輯和制度構建[J].重慶郵電大學學報(社會科學版),2022(6):64-72.
Reflection and Revision on the Object Boundary and Realization Method of the Right to Information Portability
WEN Libin1, ZOU Ying2
(1. School of Law and Sociology, Nanning Normal University, Nanning 530001, China;
2. Peoples Court of Haicheng District of Beihai, Beihai 536000, China)
Abstract:
The right of information portability has been established in the Personal Information Protection Law. Information portability is expected to promote the circulation of personal information and break the monopoly of data platforms. However, as a new right, the main problem of the right to information portability in practice is that the object scope is fuzzy and the operation is not strong. As a result, these issues have led to poor practice of the right to information portability. On the basis of analyzing the causes of the predicament, comparing foreign legislative experience and reflecting on the effectiveness of practice, we recommend that, first of all, direct data and partial observation data should be included in the scope of object of the right of information portability. Second, differentiated data transmission should be clarified. Finally, the multiple values of information portability will be realized.
Keywords:
Personal Information Protection Law; right to information portability; object scope; distributed data transfer
(編輯:刁勝先)
收稿日期:2022-10-13
基金項目:廣西哲學社會科學規劃研究課題:基于廣西司法大數據樣本的個人信息犯罪刑事規制體系研究(22FFX013);廣西教育科學“十四五”規劃專項課題:新文科背景下雙創法學人才培養與課程思政建設的融合與實踐研究(2022ZJY2754);南寧師范大學本科課堂教學模式改革項目:數字經濟視域下知識產權法智慧翻轉課堂的教學改革與創新優化
作者簡介:
文立彬,副教授,法學博士、博士后,碩士生導師,主要從事知識產權法研究,E-mail: ayy68216@qq.com;鄒瑛,一級法官,綜合審判庭副庭長,主要從事知識產權法研究,E-mail:410425178@qq.com。
