□周秀娟 史雨萱
[长春理工大学 长春 130022]
随着技术与产业的迭代效应在信息技术与传统产业交融背景下不断增强,国家产业布局有所转变,信息技术成为我国当前攻坚的关键核心技术之一。5G基站的快速扩建、5G手机终端的数量飞速增长①、国家统筹布局智能数据与计算设施以引导人工智能等技术对传统基础设施进行智能化改造[1],数字经济的发展基础由此打牢。产业数字化、传统行业互联网化成为提高社会生产力的基点,从而变革生产方式,加快产业结构优化升级,以此促进产业升级,用新动能实现新发展,数字经济已然成为推动我国经济高质量发展的助力之一。
2017年12月,习近平总书记就指出要制定数据资源确权的相关制度并完善数据产权保护制度。数据作为关键的生产要素推动数字经济发展,这一点在国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》②中得以体现。2020年底的中央经济工作会议指出要大力发展数字经济,党的第十九届五中全会也明确推进数据要素市场化改革、加快数字化发展。数据作为新兴商业资源所涉及的市场范围从虚拟经济扩充到实体经济的方方面面,数据要素与传统生产要素交汇发展的特性让数据流转等问题成为法律亟待解决的难题,其中,厘清个人数据性质成为规制数据活动的当务之急。个人数据作为可单独或与其他数据结合识别自然人的各种数据和信息,其承载的全部权益包括数据控制者的数据财产权益和自然人的数据自决权益(包含隐私权在内的人格利益)。在个人数据由用户向企业流转的过程中,企业所享有的数据财产权益尚未因其利用个人数据的行为得以体现,故在该过程的法律规制层面个人数据与个人信息并无被区分的必要。
我国当前立法更注重保护数据安全,但并未明确如何保护自然人个人数据的权益。个人数据携带体系的建立能够规制个人数据从所有者向使用者的选择性流动,可解决个人数据成为现实生产要素的必要前置程序的法律规制缺失问题。2018年,欧盟以法律形式赋予用户可在不同平台间有选择性地转移个人数据而不完全受数据控制者的干涉的权利。同年,美国加利福尼亚州发布的《加利福尼亚州消费者隐私保护法案》同样设置了数据可携带权,与欧盟注重保护人格尊严不同的是,加州选择从维护自由竞争的角度设置数据可携带权。2021年我国出台的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)虽提及个人信息可携,但未形成完善的规制体系。本文试图从私法角度对个人数据携带的规制路径问题进行探讨,以降低数据市场的准入门槛,维护良好有序的市场竞争环境,推动数字经济快速发展。
基于大数据技术分析推动的各类消费客体已围绕各行各业,应用用户许可等方式获取个人数据并进行分析、整理和交易,在各平台之间的数据流转能实现数据资源的重复利用,降低数据收集成本,实现同类数据社会效益最大化[2]。数据活动中衍生出来的“算法权力”让企业和用户之间的地位不对等程度扩大,用户本身具有的特征被转换为数据信息,逐渐湮没于大数据之中。且在互联网企业利用数据的过程中,用户参与程度随着对于个人数据加工程度的深入而不断降低。在这个过程中,虽然用户享受到互联网平台的便利服务,但作为人的选择自由和人格特质在潜移默化中却消失了。
互联网平台发展的基础性资源是用户数量。企业给予新用户更好的优惠和补贴待遇拉拢其加入该平台,为了防止用户流失,企业选择数据封锁,通过抬高个人数据的转出门槛等措施,以提升用户转移平台的成本,从而维持自己的核心竞争能力。互联网市场的高集中性导致市场竞争匮乏,互联网寡头企业利用现行法律框架对于数据权属的真空地带进行数据领域的“圈地运动”[3],市场垄断的趋势愈发明显。
新平台的服务便捷程度虽然可能好于原平台,但用户选择范围狭小、对相关平台依赖性较强、用户与平台之间不可弥补的信息差等因素,使得用户跨平台的成本极高,因此用户会选择继续使用原有平台。讨论个人数据携带这一问题能够让用户和互联网平台之间沟通时,相较之前拥有更多的选择权,同时能够明确个人数据携带的边界,让用户有意愿提供个人数据,使数据在市场中流转更加流畅。
数据市场的规模不断扩大,让一些国家开始关注数据活动中的问题,并着手思考可能导致经济波动因素解决措施,其目的在于平衡隐私和安全领域,在不侵犯国家利益的前提下帮助本国企业更好地在世界市场上发展。这种情况让世界各地的相关数据法律得以进行更适应时代发展的改革,其中欧盟将数据权利作为新型权利的观点被许多国家采纳并发展出适应本国国情特色的观点。
明确个人数据的特性与法律定位是分析个人数据携带的首要任务。数据作为一种可再生性资源,其同时具有非竞争性的特点,这让不同主体在不损耗个人数据的前提下共用这些数据,要求明确个人数据权属以规制数据活动中可能出现的风险。有学者认为法律为解决数字经济时代中数据的权属问题,应当承认用户对数据具有财产权利[4],以此帮助用户使用个人数据获取相应权益。本文所讨论的个人数据是指可以单独或与其他数据相结合以识别自然人的各种数据和敏感信息,没有个人信息的数据无法给数据控制者带来利益,若以个人数据为交易对象,数据主体基于个人数据中的人格属性应具有对个人数据相应的控制能力,故可以携带个人数据。
个人数据携带是指数据控制者基于数据主体的主动要求或双方的合同约定,在以自动化的形式对相应个人数据进行处理后,数据主体可获得提供给该控制者的数据副本,并可要求数据控制者将该数据副本传输至另一数据控制者。即自然人有权获取提供给企业的个人数据副本并将其进行转移使用,并可在转移过程中要求企业进行协助。在这个过程中,对于以收集、利用个人数据为利益来源的数据企业而言,企业对被合法收集的个人数据是否拥有权利以及拥有何种权利至关重要[5]。因此个人数据的权利设置将直接决定未来数据产业的发展。
1. 个人数据携带私法规制的完善是个人数据保护体系逻辑闭合的基本要求
我国于2021年6月10日出台的《中华人民共和国数据安全法》并未厘清个人数据的权利属性问题,这不利于个人数据的私法保护,也会让个人数据仍处于“裸奔”和不受控制的状态。《个人信息保护法》第45条第3款中虽规定个人信息可携带,但并未就该问题进行深入解释。地方立法中以《深圳经济特区数据条例》为代表,虽然其第27条第2款一定意义上体现自然人可以要求数据控制者向他人提供相关数据,但是对于携带个人数据的具体实施方案同样点到为止。该条例的意见稿中具有地方政府首次界定数据权属的条款[6],但在正式文本中并未继承数据权的表述,对于数据权属问题仍为含糊不清的态度。
司法实践对于规制个人数据活动做出了一定的回应,但仍局限于原有的法律框架之中,并未基于平衡数据流动和保护个人尊严的目的将规制个人数据携带的基本范式进行合理的改变。当前自然人在“告知-同意”框架中将个人数据主动或被动赋予互联网企业,在此之后用户就无法控制个人数据在市场中的活动。个人数据携带意图提高自然人对个人数据的控制能力,确保数据主体对个人数据所应享有的权益得以实现,以此维护自然人的尊严和人格自由不受侵害。构建携带个人数据的规制路径能够填补我国个人数据私法保护体系中关于个人数据权属的空白,这不仅是在理论层面研究的突破,同时也是对实际需要的切实回应。
2. 个人数据携带私法规制的完善是个人数据流通机制完备的基本保障
数据作为生产要素已然成为各平台占领市场的核心资源。巨型平台通过排他性支配海量个人数据的方式,让新兴企业进入市场的门槛拔高,同时采取限制数据访问和共享等方式迫使用户继续使用原平台,以增加用户转出个人数据的障碍。在此种情况下,用户自由选择的空间几近于无,用户与平台之间的信息差在该过程中不断增大。
私法规制个人数据携带可以让用户增强对个人数据权益的掌握能力。通过赋予用户在多个平台自由选择的能力,其在面对平台协议换取网络服务时的商议成本能够相对增大,从而让个人数据在多个平台之间的流转更加便捷,降低服务转换的锁定效应。同时平台设置更加透明的服务措施,也有利于提高数据主体提交数据的意愿,为数字经济的发展增添助力。
从1995年欧盟《个人数据保护指令》出台到2018年《一般数据保护条例》(以下简称GDPR)正式生效,欧盟设置的数据可携带权经历了从无到有的过程,具体变迁详见表1。
表1 数据可携带权在欧盟的设置进程
欧盟立法选择设权化路径作为个人数据携带的私法保护途径,以达成维护个人数据权利、促进市场竞争的目的。在欧盟架构数据可携带权的过程中,呈现的特点如下:(1)数据可携带权的客体形式的范围呈现缩小的趋势。可被携带的数据格式最终在法律层面被确定为“结构化、常用和机器可读”,GDPR正式文本在继承2012年发布的草案中“无障碍”的相关表述的同时,在技术上不明确要求“完全可用”,仅要求技术可行,对数据控制者而言,该规范一定程度上减轻了其合规负担。(2)对于可被携带的个人数据的内容进行一定的限制。GDPR规定可携带的客体同时需要满足以下几个条件:用户请求携带的个人数据必须是与用户关联且由用户所提供;个人数据必须是基于用户的同意或所履行合同的自动处理;在内容上所规定的“个人数据”是任何已识别或可被识别的个人信息,即数据主体主动提供或在使用过程中被数据控制者收集的位置数据、搜索记录等均属于此[7]。(3)对数据可携带权进行诸多限制和排除规定[8]。即不得违背被遗忘权的实际应用,不得违背公共利益以及他人的权利自由等,以减少行使数据可携带权危害他方利益的可能性。
1. 主体要求
数据可携带权的创设初衷是保护人的数据权利不受侵害,所以欧盟确立的数据可携带权的权利主体仅限于自然人,企业等法人组织则被排除在外。欧盟对于数据可携带权的义务主体暂未设置规模要求,故将企业等非自然人主体纳入数据可携带权的权利主体会导致平台的合规压力剧增,大型互联网公司在技术方面有充足的实力,但中小企业则不然。同时,个人数据携带的主体若拓宽至非自然人可能会导致恶意竞争的情况出现,大型互联网平台可能会凭借自己的独有优势强制要求从属于小平台的企业进行大范围地转移,可能会导致锁定效应的进一步增强,不利于市场竞争的发展。
2. 客体要求
GDPR设置的根本目的是保护个人数据[9],故GDPR将可以携带的数据范围限定为数据主体提供的、且与数据主体有关的个人数据,这一要求明确了具有指向性且必须与数据主体相关的个人数据才能被携带,但在2017年欧盟第29条工作组(WP29)发布的文件《数据可携带权的指南》中表明不能对这一条款进行过于严苛的阐释,即在不会对第三方造成不利影响的情况下,被携带的数据也可以包括涉及第三方的数据。在该要求下,数据本身应当是可识别的,此种识别包括技术上的可被多数机器识别,同时还包含在数据内涵中信息的可识别性。同时,个人数据在形式上也被予以限制,即所请求的个人数据必须是基于用户自身同意或履行合同的自动处理,且必须是经过以机器可读的方式整理过的数据。
3. 权利行使规则
数据可携带权的行使受多种规则的约束:(1)被遗忘权限制数据可携带权的行使。数据控制者主张以保障数据可携带权为主要目的拒绝自然人行使被遗忘权,并不符合欧盟立法委员会的意图,数据可携带权在与被遗忘权冲突时,应当次于被遗忘权行使。(2)数据可携带权的行使因公共利益而受到约束。若是处于保护公共利益的原因而处理的个人数据,在此种情况下数据主体不能要求获取或者试图转移这些数据。因为该项权利的制度基础是个人信息自决权,这是人格权属性与自由权属性合并的一种新型权利[7],信息自决权在理念和权利本身存在明确的边界,这种边界同样反映在数据可携带权上。(3)存在兜底条款的约束,即其他人的权利和自由。数据可携带权作为数字经济时代的权利,其行使条件随技术发展而变化的可能性极高,在不能明晰其对其他权利的影响范围的情形下,此条款可以方便法官在具体私法实践中调整相对应的解决措施,以此更好应对实际发展所带来的挑战。应当注意的是,数据可携带权所受的限制措施多从维护他人不受行使该权利带来的负面影响为基点出发,以此保障国家利益、社会公共利益和他人及企业合法权益,从而让数据可携带权作为新型数据权利与现存的体系之间维持稳定的平衡,使其更加平稳地融入现行权利保护体系。
欧盟委员会在设置解决个人数据携带的措施时,是从数据主体的角度明确个人数据的权利归属,并将数据在企业间的流动架构进行重新构建,以界定作为数据提供方的自然人和数据接收方之间的关系。这种做法的好处体现在:首先,赋予自然人数据可携带权,以打破数据巨头意图进行数据封锁的市场垄断行为;其次,个人数据的自由流动和在各平台之间进行共享也为市场提供数据这一公共基础设施,基于市场的良性竞争目的,若个人数据能随用户意愿而流动,那么个人数据所隐含的公共性价值将得到大幅度体现,参与数据市场竞争的主体能相对平等地享受到这一公共设施所带来的价值[10];最后,促进数据主体对个人数据具有更强的控制力,可以维护人的个人尊严不受侵犯。
数据可携带权的提出虽然给予自然人一定的权利掌控个人数据,但为防止本土企业数字经济生产与消费之间失衡,数据可携带权仍存在权利行使限制条件复杂、关键环节监管不力、配套保障措施仍未出台等较为突出的问题,导致数据可携带权并未发挥出立法者所期许的作用。
我国立法虽对个人数据携带稍有涉猎,但司法实践中的规制路径仍存有问题。截至2021年9月17日,以“个人数据”为模糊检索条件在北大法宝网上可检索到民事案由的案件数为500件,以知识产权为案由的数量为35件。其中以个人数据的争夺行为是否构成不正当竞争作为争议焦点案件的案由包含“不正当竞争纠纷”“其他知识产权与竞争纠纷”两种类型。在私法实践中,法院对于个人数据的规制路径属于“《合同法》路径”的案件数为2件、使用“《物权法》路径”进行规制的案件数量为4件、采取“《知识产权法》路径”的案件数量为10件,其中的代表性案件见表2。
表2 代表性案例及分析
讨论个人数据携带这一法律问题,首先需要明确其中的个人数据如何进行保护。数据非人为创作的产物,不具有独创性,但可以通过汇编的方式对个人数据进行有选择性地编排从而给予《著作权法》上的保护[11],这是目前对于数据的版权保护的现状。
在实际运营中,企业通过算法对收集到的个人数据分析汇总,这一过程虽然经由相关人员判断,但主观选择属于思想范畴,不属于《著作权法》所保护的范围,故企业主张支持对数据的分析符合独创性的诉求相对困难。2009年大众点评网诉爱帮网一案中,二审法院认为,爱帮网对于大众点评网的点评内容的引用已经超过合理限度,对大众点评网所属公司造成实质性损害,但法院同时驳回大众点评网所阐述的其整理总结网站上的用户内容数据可构成汇编作品的观点。本案中数据所构成的“汇编作品”的独创性相关标准在实践中很难操作,故而,法院对于企业提出的通过算法对于个人数据进行独创性汇总以此构成汇编作品的观点通常予以驳回。同时各个行业基于数据交易市场的倾向选择,对数据的收集和分析会呈现一定的标准化倾向,若仅仅通过独创性对数据的衍生产品进行保护,不能使数据本身得到更为完善的保护。且数据所构成的“汇编作品”是数据本身具有更高商业价值,这与《著作权法》注重保护汇编作品中的选择方式是冲突的。事实上,知识产权保护与数据共享具有一定的共性,即双方最终目标均为创造社会财富,注重知识产权的保护有利于数据控制者主动进行数据共享[12],同时,利用数据共享所创造出的智力成果促进知识产权制度随着社会发展而逐步完善,从而为创新成果提供更加完善的保护。
虽然二者之间存在一定的共性,但选择知识产权路径规制忽视了个人数据难以满足法定要件的情况。同时,法律对企业的激励措施是以限制共享来鼓励企业创新和优化技术成果,这与个人数据携带鼓励其在多平台之间流转的初衷相悖。且控制海量个人数据的巨型企业会在用户携带个人数据时,利用法律中与数据保护相关的漏洞反对转移个人数据,以阻止其他平台接收这部分数据,从而达到数据封锁的目的。故而,在个人数据携带这一法律问题中,若通过《知识产权法》路径对相关数据进行保护,会进一步导致数据流转陷入僵局。
在2020年审结的腾讯诉浙江搜道公司一案中,法院认定企业可依照与用户的合同约定享有对单一原始数据的有限使用权,一定程度上可认为对个人数据权益所采用的判定路径为《物权法》路径。相较于知识产权这一路径,通过《物权法》路径进行规制的效率较高,因为设权化这一路径需克服的制度压力小,制度改进的成本低廉。物权的权能可以很好地应对个人数据携带中出现的问题,假设对于个人数据进行物权保护,数据控制者储存个人数据的行为可展现物权的占有权能,而使用权能的内容则是数据控制者分析和再利用其所收集的个人数据,收益权能和处分权能则符合各个平台之间的数据交易活动所产生的财产权益,明显优于知识产权路径[13]。通过《物权法》路径进行规制的权责更为明确,且能够较好地融入民法体系中。数据流转会更加舒畅,将数据诠释为虚拟物,可不受登记和公示制度的束缚,更加有利于数据流转等正向影响的产生。并且经由《物权法》路径进行规制可以在一定程度上抑制企业的数据垄断和不正当竞争。
但《物权法》保护路径可能同时导致隐私权益过度保护和保护不足的问题[14]。如果赋予数据主体对抗不特定多数人的财产权,企业使用他人个人数据的行为应首先经由相关方同意,否则即违法。在企业取得个人数据的使用权益后,个人数据内含的隐私可能面临被迫泄露的风险,故《物权法》路径也有隐私权益保护不足的问题。相较于掌握先进技术的互联网大型企业而言,中小企业各方面发展并不完备,坚持这一设想会导致无形中市场准入门槛被提升到难以想象的高度。优势平台所聚拢的用户数量越多,越能够利用这一便利限制非本平台的商业用户选择其他平台,带来的进一步发展便是消费者因选择此平台的行为使得自身的数据被优势平台所利用。这种循环会导致用户锁定效应,让其他试图进入市场的平台难以吸收充足的用户,从而降低了市场的多元化程度[5]。
依照欧盟设权化路径将数据可携带权引入我国有两个弊端:一方面当前处于数字经济时代发展的窗口期,贸然以《物权法》路径进行规制会导致大型互联网企业当前积累的优势消失,限制相关企业的进一步发展;另一方面欧盟所规定的数据格式要求会给目前并无技术优势的中小企业带来较大负担,也削弱了其市场竞争力[7]。在目前的技术背景下,采取给相关企业附加过多义务的方式规制携带个人数据会阻碍市场创新,同时会影响数据和衍生产业的发展。
在法律对于数据确权的规定仍属空白的前提下,合同规制个人数据携带无法起到应有的作用。在新浪诉今日头条案中,法院基于数据可携带权在2019年无法律明文规定的原因,拒绝认可个人数据在用户同意的基础上进行平台转移行为的正当性。原有平台基于维护核心资产的目的,在与用户签订协议时规定转移个人数据须经平台许可,新兴公司在此种情况下将面临高昂的市场准入门槛,极易造成市场调控失灵,且容易导致互联网巨头和相关企业向行业垄断发展,从而对社会福利造成极大损害。
何种数据可以被携带?数据控制者应当承担何种义务?承担义务应到何种程度?若以《合同法》路径进行规制,这些均不由数据主体所控制。当前用户使用网络平台服务的前提基本上是默认相关平台收集、使用并处理使用期间所产生的个人数据,虽然“告知-同意”的合同条款让用户具有一定的拒绝权利,但是人的理性是有限的,在企业对个人所设置的格式合同中,用户已经无形地赋予企业处理个人数据的许可,仅依靠市场规制并不能让个人数据在用户的期望、选择下进行流动,个人数据所隐含的利益并不为用户所掌握。个人数据中内含的信息可以帮助相关企业精准投放广告减少营销成本,因此个人数据不会被数据控制者主动放弃。在此种情况下,选择《合同法》路径规制个人数据携带无法达到维护用户人格尊严的目的。
首先,应加强数据主体掌握个人数据的能力,原因在于多重个人数据的汇总可以刻画数据主体的线上人格。数据控制者通过技术手段整合用户在网络平台上的个人数据可以轻易发现一个自然人在网络平台上所呈现的人格。线上人格是数据主体的人格尊严和人格自由在数字世界的反映[8],若用户不能依照自己意愿获取个人数据并将其转移至任意平台,则说明其线上人格不能受自己掌握,这种限制是对数据主体自由和尊严的严重伤害。
人的尊严是自然人的最高精神需求,也是权利产生的基础。法律的设置是对社会所有自然人个人尊严的维护,个人数据携带被不合理地限制是对个人尊严、平等自由等法律价值的挑战。当前私法实践中法院将绝大多数涉及个人信息的案子以《隐私权法》途径进行保护,对于让他人社会评价降低的事务认定为侵犯名誉权[15],但这并不能完全概括携带个人数据所面临的问题。个人数据中体现的人格利益超出了传统意义上具体人格利益的范围。可以明确的是,只有通过《人格权法》路径保护自然人在个人数据上的人格权益,才能使公众在数据流转中享受到应有的权益。私法上明确的规则可以让关联主体明确行为指引,并通过具体的责任规则和救济体系进行落实,从而维护人的尊严,权利主体对基于自身原因产生的个人数据享有毋庸置疑的人格权益。
数据作为基础性的生产资料,必然成为从事数据分析行业的企业核心资产。巨量数据的流转与再利用成为数据创造商业价值的途径之一,也让用户所面临的不仅仅限于与互联网服务提供商单一的联系,同时仍需注意此后与数据服务中间商、后续数据利用者之间的复杂联系。在进行司法救济时所采取的《侵权法》路径应当通过合法性原则、价值位阶原则和权利适当限制原则为指导,以此助益于法官做出的判决能够符合时代的发展和法律秩序的稳定性要求。
1. 侵权路径之归责原则
为了平衡用户与企业之间的信息差,在实践中应基于《中华人民共和国民法典》(以下简称《民法典》)第1 165条中的过错推定责任对企业限制个人数据携带的行为性质予以认定,将企业行为正当性的举证责任归于企业而非用户。同时,将《民法典》第998条作为第1 165条的辅助规范进行适用,设置动态体系对企业的限制行为予以评价,赋予法官在个案审理中一定的自由裁量权。
2. 侵权路径之构成要件
根据《侵权法》的理论,限制携带个人数据的企业要承担侵害自然人个人数据权益的侵权责任,需要存在主观过错,并造成用户损害或有损害之虞,且过错与损害结果之间存在因果关系。故对于企业阻止个人数据携带行为的性质认定从以下几点出发:(1)该行为的主观意图为侵害用户的人格权益。企业设置限制个人数据携带措施的出发点在于消除个人数据自由传输的意图,增加转移数据的成本,以此达到减少竞争的目的。(2)企业基于防止个人数据流失的主观意图限制用户携带个人数据,并因此导致自然人对其个人数据的控制能力减弱。行为的过错程度以及过错程度的高低与法律上的可谴责性具有因果关系。所以,认定企业的主观目的和基于该目的所采取的限制措施的可谴责性程度对于维护和促进正义极为必要。(3)限制个人数据的行为会损害自然人的人格权益。《个人信息保护法》和《民法典》均规定个人的信息受到法律保护,限制个人数据携带会对用户的人格尊严造成损害,并造成个人数据隐含的交换价值的贬损。
同时应将企业限制携带个人数据行为的影响范围作为司法实践中认定人格权侵害民事责任的考虑要素。同时,应当关注构成人格权侵害民事责任的主客观因素内部和彼此的规范关系,以此在分析各因素背后的原理冲突和联动之后进行利益权衡,并根据实际情况在“限制”和“保护”中做出一定的取舍,以此维护自然人的人格尊严和自由。
1. 数据携带主体仅限于自然人
当前个人数据保护方面的法律保障仍不够充分,导致用户对个人数据的去向充满担忧。加强个人数据携带的研究可以帮助数字经济的发展,只有实施强有力的个人数据保护措施,才能够解决数据主体和数据控制者之间天然的信任冲突问题,企业在合理的限制下才能更容易地获取和再使用个人数据并将其转化为更富有商业价值的数据形式,这样才有利于我国数字经济的发展。
携带个人数据的初衷在于保护自然人能够依照自己使用个人数据并获得由此带来的便利,保护个人数据是其根本意图。非自然人主体若作为数据携带主体会给中小型平台的构建者带来较为繁重的负担,与之对应的数据控制者规模不受控制地扩大不利于数据市场的门槛下降,会导致垄断加剧、市场竞争活力减少,进而导致锁定效应。故而,当前技术环境下,仅能允许自然人作为携带个人数据的主体,非自然人主体暂须排除在外。
2. 不得违背社会公共利益
携带个人数据应当受社会公共利益的限制,用户应当在不影响他人利益以及公共利益的情况下携带个人数据。在用户要求转移特殊敏感数据等涉及公共利益的个人数据时,企业应当有严格审查的义务,并应以明显条款体现于其与用户签订的格式合同中,尽量对该种行为进行一定的审查并定时申报反常数据携带行为。同时,用户应有保密义务并防止携带个人数据的行为对国家及社会公共利益造成损害。
1. 实现依据场景确定数据分类
用户对个人数据享有的权益因个人数据的类型和来源不同应当进行分类保护,同时基于法律所赋予的限制条件对携带行为的适用范围进行限缩,以此更好地保护多数人的利益。将个人数据携带在特定场景下进行区分性保护,对企业和用户而言均可减轻合规负担。在以个人数据换取服务的场景中,个人数据的交换价值所有者必然是数据主体本身,个人对基于本身产生的个人数据具有完整的控制能力。分场景进行保护可以帮助用户合理期待在多种场景中进行数据活动,场景区分需要通过在某种场景中人们对数据活动安全的普遍预期予以确定,这点可以根据各个场景中不同共同体的特点进行划分。在个人数据携带中,通过对用户想要携带的数据进行合理划分,设置一个合理的标准之后根据所需携带数据的范围不同进行辨别,企业应构建不同的回应体系进行协助。
2. 满足不同场景下对数据携带权益的差异性保护要求
法律应根据是否能直接或间接指向数据主体对所携带的个人数据进行分类,以此划分不同场景下数据携带权益所需保护的程度。具体可以区分为携带构成用户线上人格成分中可以直接识别身份的个人数据,例如直接上传的身份证等特殊数据;携带位置信息、历史搜索记录、购买记录、观看视频记录等一些可以从侧面反应并间接识别特定人的数据;携带登录网络平台时所使用的手机号等内含通讯方式的数据。企业应根据这些数据携带的便利程度、与用户联系的紧密程度以及是否属于企业二次加工的数据等标准对于用户携带数据行为采取不同程度的限制措施。特殊敏感信息应当着重对待,在用户希望携带这类数据时应当对其附加更多的证明义务,譬如数据控制者设置保障性更高的措施以鉴别是否为本人,之后再就相应的行为进行一定的协助。用户主观发布的文字、视频等数据应当相较于前者而言更为便利地被携带,企业不得在其未影响到他人利益以及公共利益的情况下阻止其进行平台间的转移。
新一轮的产业变革促使我国抓住数字经济带来的机遇,打造未来竞争新优势,要求我国掌握个人数据保护规则的制定主导权。本文从个人数据的内涵入手,在分析欧盟个人数据携带的设权化路径基础上,对我国个人数据携带的司法规制现状进行实证分析,为个人数据携带私法保障路径的完善提供参考意见,以此推进构建适应数字经济时代新规则的法律体系的步伐,开发数据价值“新蓝海”,为构建新发展格局打下基础,从而推动和实现信息社会和谐发展。
注释
① 我国当前累计建成 5G 基站 99.3万个,5G 手机终端连接数已经超过3.92亿户。
① 2020年3月30日发布。