个人数据携带权与企业数据获取“三重授权原则”的冲突与调适*

2022-10-14 07:38
政治与法律 2022年7期
关键词:数据安全主体企业

刘 辉

(湖南大学法学院,湖南长沙 410082)

大数据应用和算法决策对个人生活的影响涉及个人自治、非歧视以及言论自由等基本权利。〔1〕参见[德]托马斯·威施迈耶、[德]蒂莫·拉德马赫编:《人工智能与法律的对话》,韩旭至、李辉等译,上海人民出版社2020 年版,第3 页。这在事实上向人类提出了新的时代之问:如何让数据的运用更加尊重人的隐私、尊严和自由,更加尊重人的主体价值,让人类摆脱被大数据以及数据平台操控的命运?欧盟《通用数据保护条例》(以下简称:GDPR)明确规定了以数据主体获取和传输个人数据为核心内容的个人数据携带权,该规定成为包括我国《个人信息保护法》、我国《数据安全法》等在内的各国数据和信息保护法律竞相学习和效仿的对象。无疑,通过立法确立个人数据携带权,强化数据主体控制个人信息、加强信息自治的能力,已经成为大数据法治的核心要义之一。

数据的真实价值“就像漂浮在海洋中的冰山,第一眼只能看到冰山的一角,而绝大部分都隐藏在表面之下”。〔2〕参见[英]维克托·迈尔-舍恩伯格、肯尼斯·库克耶:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,浙江人民出版社2013 年版,第127 页。党的十九届四中全会确立了数据要素化在数字经济发展中的重要地位。在大数据时代,作为生产要素的数据正在成为企业的核心竞争力。在我国现行法对企业数据权利规定缺位的背景下,为了保护数据持有企业的合法数据权益,司法机关在新浪微博诉脉脉案中,〔3〕参见北京知识产权法院(2016)京73 民终588 号民事判决书。创设了企业数据获取“三重授权原则”,并试图在数据持有企业、数据获取主体以及数据主体之间达成合理的平衡。此后,企业数据获取“三重授权原则”持续对类似的数据权益争夺案件的审判产生了重大影响,比如在腾讯诉微播视界案、淘宝诉美景案等案件中,“三重授权原则”均得到适用。

企业数据获取“三重授权原则”是我国法院处理企业数据争夺案件的一项重要司法创造,从本质上讲,它是一项诞生于我国《个人信息保护法》制定之前并沿用至今的司法判断规则。源于GDPR 的个人数据携带权实际上与《欧盟基本权利宪章》(The European Union Charter of Fundamental Rights)第八条的“个人数据受保护权”一脉相承。〔4〕参见蔡培如:《欧盟法上的个人数据受保护权研究——兼议对我国个人信息权利构建的启示》,载《法学家》2021 年第5 期。有学者提出,该权利处于人权演进进程中的最前沿,并且将会被划入第四代人权,〔5〕李蕾:《数据可携带权: 结构、归类与属性》,载《中国科技论坛》2018 年第6 期。其所指向的对象是个人数据。企业数据获取“三重授权原则”保护的对象是企业对其持有的“享有竞争利益”的数据,我国目前司法实践并未明确界定其数据的范围,但强调对数据持有企业的在先数据权益予以保护。由此,个人数据携带权与企业数据获取“三重授权原则”不仅在保护和适用的数据对象上可能存在交叉重合,而且从更深层次来讲,二者无论是在宏观的数据竞争治理理念方面还是在微观的数据流转规则方面,均存在一定的共时性冲突。在个人数据携带权已被规定于我国《个人信息保护法》并将逐步在一些相关行业中贯彻的当下,廓清二者之法理逻辑,并找出适当的调适方案,将是未来我国个人信息保护立法和司法面临的重点和难点所在。

笔者于本文中将首先对个人数据携带权与企业数据获取“三重授权原则”的法律构造予以澄清,在此基础上,梳理二者在价值理念和数据流通规则方面的冲突,然后着重从价值博弈分析以及法理基础解构的视角,提出冲突的解决思路,最后分别从个人数据携带权与企业数据获取“三重授权原则”的角度,提出未来数据法治实践中可能的双向调适路径。

一、个人数据携带权与企业数据获取“三重授权原则”的基本构造及冲突

(一)信息自决下的数据控制:个人数据携带权

如果说互联网时代更加注重信息的交流、互通与协作,那么大数据时代更加强调的是数据的分析与预测功能。当用户的个人信息被平台(数据控制者)收集并用于大数据分析,数据控制者往往可以对用户的个人生活习惯、消费倾向、兴趣爱好等进行精准的“数据人格”分析。这种在虚拟数据环境下的“数据人格”通常会成为网络平台向用户提供精准、个性化的电子商务、金融、医疗、教育、新闻等各种服务的科技基础。用户在享受数据科技带来福利的同时,亦不免陷入“信息茧房”“大数据杀熟”“平台‘二选一’”等困境。〔6〕参见刘辉:《大数据金融算法的法律规制》,载《财经理论与实践》2021 年第2 期。“人类迈向‘算法统治’时代的主要标志在于,越来越仰赖算法帮助或代替我们做出决策。”〔7〕参见王静、王轩等:《算法:人工智能在“想”什么》,国家行政管理出版社2021 年版,第132 页。“基于数据主体、数据处理者和数据控制者之间市场地位的不均衡以及技术的偏见,数据主体对于数据自决利益的丧失,亟须通过制度的安排寻找数据各方主体的利益平衡点。”〔8〕参见唐思慧:《大数据时代信息公平的保障研究:基于权利的视角》,中国政法大学出版社2017 年版,第67 页。个人数据携带权就是强化数据自治的基本权利工具。

个人数据携带权也被称为“个人数据可携权”“个人信息可携权”,尽管中外立法对其表述不尽相同,但学者一般从GDPR 第二十条出发,将其定义为:数据主体有权以结构化、常用和机器可读的格式获得其提供给数据控制者的有关他或她的个人数据,或有权无障碍地将此类数据从其提供给的数据控制者那里传输给另一个数据控制者。〔9〕参见卓力雄:《数据携带权:基本概念,问题与中国应对》,载《行政法学研究》2019 年第6 期。2021 年8 月20 日通过的《个人信息保护法》首次在我国法上对个人数据携带权进行了规定,该法第四十五条规定,个人有权向个人信息处理者查阅、复制其个人信息。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。一般认为,个人数据携带权包含三项重要的子权利,即个人数据获取权、个人数据转移权、个人数据转移请求权。

个人数据获取权即数据主体无障碍地从接受其提供个人数据的数据控制者处取回其个人数据的权利。个人数据获取权可视为一种“强化版”的数据访问权,之所以称为“强化版”,主要体现在两个方面。其一,个人数据获取权具有数据获取格式方面的特殊性,即其获取的是一种结构化、通用可读的数据。这种数据与GDPR 第十五条所规定的数据访问权的内容存在重大差异:在访问权的场合,数据控制主体并不具有提供这种特定格式数据的法定义务。〔10〕See Jef Ausloos &Pierre Dewitte,Shattering One-way Mirrors-Data Subject Access Rights in Practice,8 International Data Privacy Law 4,4-28(2018).在大数据时代,个人数据获取权通常体现为一种数据下载权,即在网络平台自由下载前述格式数据的权利。其二,个人数据获取权项下的数据具有内容的特殊性。根据欧盟第29 条工作组(WP29)的解释,〔11〕欧盟第29 条工作组(WP29)是欧盟数据保护委员会(EDPB)的前身,因其依据1995 年欧盟发布的《关于个人数据和数据流动指令(95/46/EC)》第29 条设立而得名,主要职责是审查成员国关于指令的实施、就成员国和欧盟的数据保护水平提供意见、对有关个人数据保护的事项提出建议、发布年度报告等。随着2018 年GDPR 的正式实施,WP29 被EDPB 取代。个人数据获取权下的数据除了狭义的由数据主体直接提供给数据控制者的数据外,还包括数据控制者观测到的数据主体在使用特定服务中记录的数据,即“观测数据”(observed data),例如数据主体在使用服务的过程中留下的浏览历史数据、用户的流量数据以及历史方位数据等。〔12〕See WP29,Guidelines on the Right to Data Portability,https://iapp.org/media/pdf/resource_center/WP29-2017-04-data-portabilityguidance.pdf,Last visited on Apr.25,2022.

个人数据转移权,即数据主体将其获取的上述数据,自由并自主地将其转移至其他数据控制者的权利。个人数据转移请求权即在技术可行的前提下,数据主体请求数据控制者将这些特定格式的数据免费转移至其指定的数据控制者的权利。这两项权利的区别在于,前者是数据主体获取数据后的自主转移,而后者是数据主体在不获取数据的前提下,直接请求数据控制者履行转移义务。

从个人数据携带权的权利构造不难看出,设立该权利的根本宗旨就是要强化数据主体的信息自决权,提高数据主体的信息自决能力。信息自决的一个重要价值在于确保实现人格自由发展。〔13〕参见王利明:《论个人信息删除权》,载《东方法学》2022 年第1 期。从某种意义上讲,GDPR 本身就是一个以个人信息自决为中心的数据权利保护体系。〔14〕参见汪庆华:《数据可携带权的权利结构、法律效果与中国化》,载《中国法律评论》2021 年第3 期。申言之,中外数据立法之所以如此强调信息自决权,一个重要原因就是,在大数据时代,面对数据主体和数据控制者巨大的市场地位落差,理性人的“意思自治”部分丧失了权利行使的空间。〔15〕参见葛迎:《企业数据竞争的法治出路——由企业数据竞争裁判规则切入》,载周汉华主编:《网络信息法学研究》(总第7 期),中国社会科学出版社2020 年版,第173 页。数据立法一个重要的使命就是使数据主体有能力摆脱数据控制者“无声的奴役”,也就是尽可能缓和数据主体被动依附于数据控制者而产生的用户黏性,打破数据控制者制造的信息锁闭效应。

以法学方法论的视角观之,立法主要是通过一种强制转移数据控制的办法,来确保数据主体的自治能力。众所周知,数据产权是悬在数据立法之上的达摩克利斯之剑,数据的多维面向及其管理与运用的特殊性决定了传统的具有典型排他性的民法所有权很难直接适用,要在不同数据法律关系主体之间按照传统民事权利保护的模式进行保护异常困难,这种立法路径也没有被2022 年2 月23 日公布的欧盟《数据法》(Data Act)草案所采纳。在此背景下,学者和实务界都将重点更多地放在了行为规制的路径上,通过个人数据携带权入法,强行转移数据控制的主导权。具言之,如果数据主体不享有个人数据携带权,数据控制的主导者通常在数据持有企业一方。就数据控制和处理行为本身而言,数据主体始终处于被动的状态。反之,个人数据携带权走出了消极防御的范畴,让数据主体有可能成为个人数据控制和转移的主宰,进而实现数据控制主导权的移转乃至数据服务体系中心的转换,从以数据控制者为中心转换为以数据主体为中心。

(二)竞争法视野下的企业数据获取:“三重授权原则”

意大利罗马第三大学著名教授法比奥·巴桑(Fabio Bassan)曾言,法学家对数字平台的定义既有契约性的,也有监管性的,因为它必须同时满足私人和公共监管的需要。〔16〕See Fabio Bassan,Digital Platforms and Global Law,Edward Elgar Publishing Limited,2021,p.6.数据治理具有公私交融性,“法律可以审慎地应用反不正当竞争法,对某些数据进行保护”。〔17〕参见丁晓东:《数据交易如何破局——数据要素市场中的阿罗信息悖论与法律应对》,载《东方法学》2022 年第2 期。由于我国长期以来在数据竞争方面的立法滞后,法院在面临大量的企业之间的数据争夺案件时通过司法创造,最终在新浪微博诉脉脉案的二审民事判决书中明确了企业数据获取“三重授权原则”。〔18〕严格地讲,从法的三要素来看,企业数据获取“三重授权原则”并不是一个真正的法律原则,而应当是一种法律规则。鉴于司法裁判文书和学界对该术语的使用共识,本文暂不对该表述提出修正。

该案中,原告微梦公司经营新浪微博并向用户提供微型博客服务,被告淘友技术公司和淘友科技公司开发的脉脉软件和网站主要向用户提供移动社交服务。为了尽可能地向用户提供社交机会和交友服务,被告采取了关联与分析用户在原告所经营的微博服务中所收集的个人及其通讯录等数据的行为。事实上,原告与被告早先签订了行业领域所公认的开放平台数据获取协议(Open API),但原告在其对被告主张的四项不正当竞争行为指控中,提出被告超越开放平台数据获取协议非法抓取和使用用户信息,并“非法获取并使用脉脉注册用户手机通讯录联系人与新浪微博用户的对应关系”。北京知识产权法院在该案二审过程中认为,数据获取企业在通过开放平台数据获取协议模式获取个人数据时,应当获得“三重授权”。第一重授权是作为数据主体的用户对数据持有企业(数据控制者)的授权,即用户允许数据持有企业向数据获取企业共享数据。第二重授权是作为数据共享让渡方的数据持有企业的授权,即数据持有企业允许数据获取企业获取数据。在此环节,双方主要是通过签订开放平台数据获取协议的形式明确双方数据共享的具体范围及各自权利义务的内容。第三重授权是数据主体对数据获取企业的授权,即数据主体允许数据获取企业处理、控制和使用其获取的来自数据主体的数据(详细授权规则如图1 所示)。

图1 企业数据获取“三重授权原则”示意图

企业数据获取“三重授权原则”具有以下法律特征。

1.企业数据获取“三重授权原则”充分肯定数据持有企业的数据利益

企业数据获取“三重授权原则”本质上是关于企业之间数据获取的一种司法判断规则,它充分肯定数据持有企业对其持有数据的合法权益。“从传统劳动价值理论的观点来看,数据权劳动成本激励理论秉持的是以劳动报酬、投资回报激励数据流通利用的法律思维。”〔19〕参见杨琴:《数字经济时代数据流通利用的数权激励》,载《政治与法律》2021 年第12 期。尽管目前我国法律并未对数据持有企业的数据权益进行明确规定,但在新浪微博诉脉脉案中,一审、二审法院均认为,作为数据持有企业的微梦公司在其经营活动中获取并持有的新浪微博用户个人数据,是其“重要商业资源”或者“经营资源”,而被告在未经其同意的情况下,超出开放平台数据获取协议范围过度获取用户微博数据并使用的行为,违背了行业公认的“商业道德”,导致被告自身降低了数据收集的经济投入,并且同时损害了微梦公司的竞争优势。

在该案之后的腾讯诉今日看点案中,〔20〕参见广东省广州市越秀区人民法院(2020)粤0104 民初46873 号民事判决书。广东省广州市越秀区人民法院进一步认为,数据持有企业对其持有的用户数据享有竞争利益,这种竞争利益是数据持有企业获得我国《反不正当竞争法》保护的前提和基础;企业之间数据获取的不正当竞争案件的认定,应当首先考虑原告是否享有基于数据的竞争利益,在此基础上,再看数据持有企业与数据获取企业之间是否存在竞争关系,最后看数据获取企业的数据获取行为是否造成了数据持有企业的竞争利益损失。需要强调的是,在企业间的数据争夺案中,法院对竞争关系的认定总体呈现出开放和包容的态度:在淘宝诉美景案〔21〕参见浙江省杭州市中级人民法院(2017)浙8601 民初4034 号民事判决书。和腾讯诉微播视界案〔22〕参见天津市滨海新区人民法院(2019)津0116 民初2091 号民事判决书。中,法院提出对竞争关系的认定不应局限于“同业竞争”,只要其对于数据的争夺会造成用户的此消彼长关系,即构成竞争关系。“竞争利益—竞争关系—竞争损失”是企业之间数据争夺案件审理的基本逻辑,而数据持有企业的数据利益成为“三重授权原则”保护的核心法益。

2.企业数据获取“三重授权原则”试图构建以意思自治为中心的数据安全保护体系

为了应对大数据时代对海量数据的分享、融合与处理带来的数据风险,“应该建立以数据风险管控为中心的数据安全范式:除了包括传统数据自身安全的保密性、完整性、可用性,还要确保数据利用安全的可控性和正当性”。〔23〕参见刘金瑞:《数据安全范式革新及其立法展开》,载《环球法律评论》2021 年第1 期。到底如何保障好数据利用的安全性,是数据安全法治必须予以回答的一个重大问题。尽管企业数据获取“三重授权原则”强调对数据持有企业的权益保护,但是这种保护必须以保障用户的个人数据安全为前提。从方法论的视角来观察,司法机关在创制企业数据获取“三重授权原则”时,本身就试图去构建一种以合同为基础、基于数据主体和数据持有企业充分意思自治的数据安全保护机制。一方面,“三重授权”蕴含了数据持有企业的单方授权,这对数据获取企业获取数据具有决定性意义。“数据行业的有序发展应当高度强调契约精神在数据获取与利用规则中的重要价值。”〔24〕参见田小军、曹建峰、朱开鑫:《企业间数据竞争规则研究》,载《竞争政策研究》2019 年第4 期。在开放平台数据获取协议的数据获取模式下,双方签订的数据开发协议是数据获取的基本法律依据,在司法实践中,其法律效力受到法院的充分肯定。于此,数据持有企业对于数据获取与利用具有充分的决策权。另一方面,企业数据获取“三重授权原则”包含了数据主体的“双重授权”,其不仅能够决定数据持有企业能否向数据获取企业提供个人数据,而且能够决定数据获取企业是否可以处理其个人数据以及基于何种目的、在何种程度处理其个人数据。所以,“三重授权原则”的本质与核心其实是意思自治。

在意思自治的基础上,企业数据获取“三重授权原则”还寄托了创制主体对其担负起数据安全保障的重任。在大数据时代,由于大数据处理技术的高度专业性、复杂性,数据主体通常无法真正理解和有效保护个人隐私。〔25〕See Solove D J,Privacy Self-Management and the Consent Dilemma,126 Harvard Law Review 1880,1880-1903(2013).强化网络平台等大型在线企业的治理,配置与其控制力和影响力相适应的个人信息保护特别义务,即“守门人”义务,〔26〕参见张新宝:《互联网生态“守门人”个人信息保护特别义务设置研究》,载《比较法研究》2021 年第3 期。是数据安全治理的大势所趋。“互联网平台理应对第三方应用利用用户数据承担一定的监督和管理责任,确保个人信息不被滥用。”〔27〕参见刘金瑞:《合理设定网络平台经营者对第三方应用的数据安全管理责任——关于〈数据安全管理办法(征求意见稿)〉第30 条的修改完善建议》,载《中国信息安全》2019 年第6 期。一方面,企业数据获取“三重授权原则”在事实上赋予了数据持有企业审查数据获取企业通过数据接口获取数据的安全性,其有权拒绝向存在重大数据安全隐患的数据获取方提供数据。另一方面,由于作为用户的数据主体对于数据获取企业直接提供的数据安全格式条款往往缺乏足够的认知能力,数据持有企业可以帮助用户开展技术和法律层面的实质审查,从而保护数据主体的数据安全。当然,这样的数据安全机制是否能够切实有效发挥预期的功能,仍有待进一步验证。

(三)个人数据携带权与企业数据获取“三重授权原则”的冲突

尽管个人数据携带权已经为我国《个人信息保护法》等法律法规所承认,但作为一项新兴的数据权利,其“尚未具备成为一种成熟型权利的条件”,不应将其视为一种“类似数据访问权的基本权利”,而应当将其视为一种“柔性权利”或努力目标。〔28〕参见丁晓东:《论数据携带权的属性、影响与中国应用》,载《法商研究》2020 年第1 期。该权利与我国《个人信息保护法》出台以前我国法院已经创制并一直沿用至今的企业数据获取“三重授权原则”在价值理念与数据流通的规则要求等方面存在如下明显的冲突。

1.价值理念方面的冲突

尽管学者在个人数据携带权是否属于个人基本的数据权利方面存在分歧,但无疑,个人数据携带权是一项重要的个人数据权利。权利意味着法律关系主体的选择自由,个人数据携带权赋予了数据主体极大的数据控制能力和数据处理自由。从数据控制的视角来说,个人数据携带权宣示了数据主体随时从数据持有企业取回个人数据的权利,即享有个人数据获取权;从数据处理的角度来说,数据主体不仅可以自主地将其取回的个人数据移交给数据获取方,而且可以在不取回个人数据的前提下,直接要求数据持有企业将其数据按照“机器可读”的格式转移给数据获取企业。法律之所以对数据转移的格式有明确的要求,其根本意义同样在于保障数据主体的选择自由,因为只要在技术可行的条件下,保障了数据传输的格式,也就直接保障了数据获取企业对该数据的处理便利,这其实也是在保障数据主体转移数据、授权数据获取企业按照其意志处理数据的权利。GDPR 确认个人数据携带权的原因也正在于此,〔29〕See WP29,Guidelines on the Right to “Data Portability”(wp242rev.01),https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233,lasted visited on Apr.45,2022.它折射出欧盟数据法制出于基本人权保护的考虑,对个人隐私的特别重视和对数据自由的高度崇尚。

与个人数据携带权不同,企业数据获取“三重授权原则”虽然也注重数据主体对个人数据的控制,比如在其整个授权体系中,数据主体自身的“双重授权”就占有重要的地位,但从根本上说,企业数据获取“三重授权原则”的本质和核心始终是一种数据竞争裁判规则。它的价值本位是维护数据持有企业的在先数据利益,保护既有的数据持有企业的合法权益,这与个人数据携带权的非排他性转移属性天然不同。〔30〕See Paul De Hert et al.,The Right to Data Portability in the GDPR: Towards User-Centric Interoperability of Digital Services,34 Computer Law &Security Review 201(2018).企业数据获取“三重授权原则”的一大贡献在于承认了数据的商业价值,即认可个人信息主体与平台对同一数据同时享有不同的权益。〔31〕参见陈沛:《数据流通与利用中的“三重授权”原则——再评大数据引发不正当竞争一案》,载《上海市经济管理干部学院学报》2020年第1 期。质言之,企业数据获取“三重授权原则”主要是从数据的商业价值的角度,来维护数据竞争秩序的一种司法规则,个人数据携带权则主要是基于数字人权理念的角度,来保护个人数据自治的一种数据权利规则。个人数据携带权的价值本位是个人数据自治,“三重授权原则”的价值本位是企业数据竞争利益。

2.数据流通规则方面的冲突

由于个人数据携带权与企业数据获取“三重授权原则”在价值理念方面的天然差异,二者的并存必将带来司法实践中数据流通规则方面针锋相对的冲突。仍以新浪微博诉脉脉案为例,对于新浪微博起诉的淘友技术公司和淘友科技公司涉嫌的数据不正当竞争行为,数据主体是否享有个人数据携带权将对案件的审理产生决定性的影响。因为按照个人数据携带权的基本要求,数据主体具有对其个人数据的高度控制和决定权,作为数据获取企业的二被告,只要其获得数据主体的授权,此时无论数据持有企业是否同意数据获取企业获取数据,都不能影响数据获取企业获取数据主体的个人数据。不仅如此,在技术可行的条件下,数据主体还可以直接要求其向二被告提供个人数据,基于个人数据携带权的基本法律构造,新浪微博不仅不得拒绝提供,而且还必须按照机器可读的格式,为数据获取企业免费提供。由此也引发一个值得深思的问题:数字经济的发展和数据要素化进程的推进高度依赖于数据企业在数据研发方面的创新,对个人数据携带权的绝对保护虽然有利于打破平台的数据锁闭效应,但显然不利于数据企业对数据的深度开发,这与现代数据法治的精神可能是背道而驰的。

反观企业数据获取“三重授权原则”,其天然的使命是维护在先数据企业的合法数据利益(数据竞争利益)。这也正是学者所倡导的“企业数据使用问题应当留给最了解自己商业运营实践的公司,由具有利益关系的公司通过合同和技术措施实现企业的数据权益和经营利益”。〔32〕参见付新华:《企业数据财产权保护论批判——从数据财产权到数据使用权》,载《东方法学》2022 年第2 期。当然,这无疑会在一定程度上限制和阻碍数据流通。比如具体到新浪微博诉脉脉案,数据获取企业要想获取用户的个人数据,其必须满足“三重授权”的基本要求,其中就包括数据持有企业的单独授权(授权2)。易言之,如果用户授权新浪微博对二被告开放获取数据(授权1),用户也授权了二被告获取并处理其数据(授权3),但是由于缺乏新浪微博对二被告数据获取行为的授权,二被告也可能因涉嫌侵犯新浪微博的“数据竞争利益”、破坏“数据竞争秩序”而无法获取用户的个人数据。或许是意识到了这样的数据持有企业授权对数据流通的限制,近年来,美国司法实践对于授权的苛刻要求呈现出放宽的趋势。〔33〕See Andrew Sellars,Twenty Years of Web Scraping and the Computer Fraud and Abuse Act,24 Journal of Science &Technology Law 372,413-416(2018).不难看出,在企业之间的数据争夺案的审理中,个人数据携带权与企业数据获取“三重授权原则”对于数据流通要素的限制不同,这对此类案件的司法裁判带来极大的挑战。

二、个人数据携带权与企业数据获取“三重授权原则”之冲突的解决思路

面对个人数据权利和企业数据权利、数据持有企业权利和数据获取企业权利的冲突,司法机关往往面临个人数据自治和企业数据竞争利益保护的两难困境。正确的司法态度绝不应当在二者之间“二选一”,而应当进行一个体系化的法律价值评估与抉择过程。以下从对极端的“二选一”逻辑批判出发,分析绝对的个人数据携带权以及单纯的企业数据获取“三重授权原则”可能带来的弊端,提出未来立法和司法中对二者之冲突予以协调的法理依据。

(一)绝对的个人数据携带权可能带来的负面影响

虽然个人数据携带权本身涵摄了数据主体自由处分个人数据的权利,〔34〕See Eva Fialova,Data Portability and Informational Self-Determination,8 Masaryk University Journal of Law and Technology 45,47-48(2018).但个人数据携带权并不是一项“绝对权利”(absolute right),也不能对个人数据携带权实施绝对的法律保护,〔35〕See Pamela Samuelson,Privacy as Intellectual Property,52 Stanford Law Review 1125,1125-1169(2000).而应该在促进数据流动的前提下,适度地限制该权利给数据持有企业和数据产业发展可能带来的负面影响。这些负面影响有以下一些。

1.个人数据携带权的确立对初创阶段的数据行业可能造成发展障碍

数据立法必须紧跟数据产业的发展需求,这在个人数据携带权的具体实施方面体现得尤为明显。个人数据携带权既有权利赋能的属性又有财产赋予的属性。〔36〕See Orla Lynskey,Aligning Data Protection Rights with Competition Law Remedies? The GDPR Right to Data Portability,42 European Law Review 793,809-810(2017).在充分竞争的电子商务等行业,个人数据携带权的确立有利于缓解数据锁闭效应,加快数据流转,打破平台企业的数据垄断地位,进而确保消费者的合法权益。在数据即资产的大数据时代,数据本身就是一种资产。通过数据垄断和算力、算法的加持,处于垄断地位的平台企业往往无形中将用户锁定于“信息茧房”“服务陷阱”“算法黑盒”之中。这时候,个人数据携带权着眼于大数据的逻辑起点,将数据获取、共享、转移的主动权交给数据主体,这无疑是防范大数据时代的人变成数据的奴隶的重要法治工具。然而,对于一些非充分竞争的甚至处于初始发展阶段的数据行业,“如果大范围严格执行数据主体的可携带权,利益受损的主体必然包括具有较大用户数据存储量的互联网运营商”。〔37〕参见李蕾:《数据可携带权:结构、归类与属性》,载《中国科技论坛》2018 年第6 期。因为就这些行业而言,从竞争法的角度来说,运营商提供的数据服务的用户黏性会随着个人数据携带权的强化而愈加弱化,用户流失的结果可能带来严重的负面影响。比如数据持有企业由于欠缺利益补偿机制而在事实上受到损失,这种情形下,其对于发展初期的数据产业的投入可能逐步下降,对数据服务创新的意愿将逐步减弱,这对数据持有企业可能带来生存危机并倒逼其退出市场。当然,最终导致的结果便是这些行业数据要素化的失败和数据产业发展的停滞。学者也开始注意到,当个人控制逐渐异化为绝对控制,事实上将限制个人信息保护制度的发展。〔38〕参见李芊:《从个人控制与产品规制到合作治理——论个人信息保护的模式转变》,载《华东政法大学学报》2022 年第2 期。

2.与个人数据携带权相伴的数据转移义务在某些情况下可能导致数据正义缺损

蒂尔堡大学的三位学者英格·格雷夫(Inge Graef)、马丁·胡索维奇(Martin Husovec)和纳德兹达普尔托瓦(Nadezhda Purtova)在对GDPR 中的个人数据可携带权进行深入研究后认为,个人数据可携带权并不是个人数据所有权,将其视为欧盟法律中旨在刺激数据驱动市场的竞争和创新的新监管工具似乎更为妥当。〔39〕See BI Graef,M Husovec,N Purtova,Data Portability and Data Control: Lessons for an Emerging Concept in EU Law,19 German Law Journal 1359-1398(2018).也就是说,对个人数据携带权的执行和研究,我们必须关注其竞争法效应,从“竞争工具”的视角去观察可能产生的法律效果。〔40〕See Josef Drexl,Designing Competitive Markets for Industrial Data—Between Propertisation and Access,https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2862975,2022 年4 月25 日访问。在法律上规定个人数据携带权的一个重要目的就是打破数据孤岛和数据垄断,既然是垄断,在此主要的体现无疑是滥用市场支配地位。根据反垄断法的基本原理,个人数据携带权适用的目标,似乎应当聚焦于促进那些处于垄断地位的大型数据平台积极实施数据共享和数据流通。如果个人数据携带权是一项不加限制的绝对权利,数据主体可以要求任何数据持有企业在技术可行之时免费转移其个人数据的话,就将对处于非垄断地位的数据持有企业尤其是中小企业带来不公。申言之,国家致力于对这些中小企业实施积极的财税政策、金融政策、产业政策等支持,但不区分适用对象的个人数据携带权的实施却可能增加这些中小企业的数据运营成本,〔41〕参见高富平、余超:《欧盟数据可携权评析》,载《大数据》2016 年第4 期。这在实质上违反了国家宏观调控“综合协调原则”,导致数据领域的正义缺失。

3.个人数据携带权在实践中面临数据质量控制和数据安全防范方面的困境

数据的质量是数据要素化和数据产业发展的基石,数据的真实性、准确性、完整性对数据的再利用与再开发水平产生直接影响。个人数据携带权关注到了数据转移的必要性,却对数据转移的质量和数据的商业价值关注不足。个人数据携带权被规定于GDPR 时,“尽管立法理由部分阐明这一权利的确立是为了加强公民对自己个人数据的控制力,但该条在制定时实际上考虑的保护重点是社交网络服务消费者群体”。〔42〕参见阮爽:《〈欧盟个人数据保护通用条例〉及其在德国的调适评析》,载《德国研究》2018 年第3 期。以社交网络服务数据为例,作为用户向数据持有企业提供的个人数据是其信誉评级和评分的基础,但这些数据的价值一般不能单独体现。大数据尤其强调数据的相关性、关联性,而非直接的因果必然性。〔43〕See Chris Anderson,The End of Theory: The Data Deluge Makes the Scientific Method Obsolete,https://pdodds.w3.uvm.edu/files/papers/others/2008/anderson2008a.pdf,last visited on Apr.25,2022.用户的评价数据一方面与被评价的对象密切相关,另一方面又与其他客户的评价数据密切相关,用户与用户之间的评价多数情况下存在直接关联性。如果脱离其基础数据环境,这种“断章取义”的“片面数据”就可能在数据价值方面大打折扣。正如欧洲学者所言:“数据的价值取决于上下文信息。把数据从上下文信息中移除,也就删除了数据的价值。”〔44〕See Bertin Martens et al.,Towards Efficient Information Sharing in Network Markets,https://ssrn.com/abstract=3956256,last visited on Apr.25,2022.此外,个人数据携带权只能转移用户的个人数据,不能转移平台对其所实施的信誉评价,因为这部分数据属于衍生数据,这可能会降低用户将个人数据迁移至另一个平台的意愿。〔45〕参见化国宇、杨晨书:《数据可携带权的发展困境及本土化研究》,载《图书馆建设》2021 年第4 期。从数据安全的角度来说,起源于欧盟的个人数据携带权具有高度意识形态化的文化渊源,其风险防范以人格与身份为核心,〔46〕参见丁晓东:《〈个人信息保护法〉的比较法重思:中国道路与解释原理》,载《华东政法大学学报》2022 年第2 期。以知情同意机制为载体,但同意机制可以替代隐私保护本身可能只是一个美丽的错觉。〔47〕参见李芊:《从个人控制与产品规制到合作治理——论个人信息保护的模式转变》,载《华东政法大学学报》2022 年第2 期。此外,如果允许数据持有企业将与用户相关的其他主体的数据或者关联数据同时制作成“机器可读的格式”予以转移,“当数据主体在传输与第三方主体有关的通信或交易数据时,必然有可能侵犯到第三方数据主体的隐私权和对数据的支配权”。〔48〕参见李蕾:《数据可携带权:结构、归类与属性》,载《中国科技论坛》2018 年第6 期。比如在新浪微博诉脉脉案中,淘友技术公司等就获取、使用了用户手机通讯录中非脉脉用户联系人的数据,这些与数据主体密切相关的第三方数据如果在个人数据携带权实施的过程中无法得到精准区分和界定,就很容易导致数据安全风险。

(二)绝对的企业数据获取“三重授权原则”存在的主要问题

企业数据获取“三重授权原则”旨在加强数据持有企业竞争利益保护,并通过让数据持有企业承担数据安全“看门人”职能的形式,确保用户的合法权益。这样的理论预设的初衷固然是好的,但实施效果不一定能够恰如预期。以下笔者重点从数据竞争效应和个人数据安全的视角予以分析。

1.企业数据获取“三重授权原则”可能对数据产业的良性发展造成阻碍

在“三重授权”中,数据主体的“双重授权”是受到法律明确支持的。比如我国《个人信息保护法》第十三条至第十五条、第二十三条均肯定了个人信息处理以及个人信息委托处理过程中,个人对其信息的充分决定权。问题的核心在于,企业之间的数据获取和处理协议,是否必须经由数据持有企业的同意。譬如,数据获取企业在获得数据主体授权但未经数据持有企业同意的情况下,通过爬取行为获取数据主体的个人数据是否违法?从数据主体享有的个人数据携带权来说,数据持有企业的同意不仅不是必要要件,相反,数据持有企业还必须尊重数据主体的数据转移和处理意志,在企业数据获取“三重授权原则”下,数据获取企业则必须获得数据持有企业的单独授权。事实上,这种数据持有企业的单独授权恰恰有可能成为提高数据要素市场进入难度的重要手段,其不仅可能提高具有直接竞争利益关系的同行业数据要素市场的准入壁垒,而且可能提高并不具有直接竞争利益关系的相关行业的数据要素市场的准入壁垒。〔49〕参见徐伟:《企业数据获取“三重授权原则”反思及类型化构建》,载《交大法学》2019 年第4 期。就直接具有竞争利益关系的数据企业之间来说,数据持有企业惮于企业核心数据利益受到损失,一般不愿意向数据获取企业共享数据,或者有意提高数据获取的代价,这将在无形之中提高数据要素市场准入的门槛。比如新浪微博诉脉脉案中,原告被告双方本经营并不直接竞争的微博和社交软件服务,但根据判决书中被告的主张,是由于后来原告推出“微人脉”职场社交APP 产品而跨入社交服务,由此双方存在直接竞争关系,原告才提起数据竞争诉讼。此外,就不具有直接竞争利益关系的数据企业之间的数据获取来说,数据持有企业也完全有可能提高用户个人数据转移的门槛或者拒绝进行用户个人数据的转移,显然,这会影响数据产业的良性发展。

2.企业数据获取“三重授权原则”对用户个人数据安全风险的防范意义有限

赋予数据持有企业对个人数据安全承担“看门人”的职能有其内在的法理基础,比如张新宝教授认为,基于控制者义务理论,“控制者作为管理者,具有专业知识、能力、技术,能够预见可能发生的危险和损害,更有可能采取必要的措施防止损害的发生或减轻损害”。〔50〕参见张新宝:《互联网生态“守门人”个人信息保护特别义务设置研究》,载《比较法研究》2021 年第3 期。我国《个人信息保护法》第二十一条也明确规定了数据持有企业对“受托人的个人信息处理活动进行监督”的重要法律义务。基于此,企业数据获取“三重授权原则”中,赋予数据持有企业对于数据获取企业获取数据的享有重要的决定性授权应当具有理论上的正当性。然而,正如商业银行经营管理中的信贷风险管理实践一样,既要考虑借款人的真实还款能力,也要考虑借款人的实际还款意愿,前者是信贷风险管理的客观要素,后者是信贷风险管理的主观要素,两者缺一不可,对于数据持有企业的授权来说,同样必须高度重视其数据转移的主观意愿和商业动机。

由于“数据持有企业并不是超脱于用户和数据获取企业之外的第三方”,“数据持有企业不可能基于维护用户利益而非基于自身利益做出相关决策”,“在信息流通中寄希望于由企业来把关和维护用户数据安全的想法并不可行”,〔51〕参见徐伟:《企业数据获取“三重授权原则”反思及类型化构建》,载《交大法学》2019 年第4 期。“法律只能在数据流转的端口加强个人对其控制,并在数据流转过程中建立侵害个人权利的法律防御机制”。〔52〕参见葛迎:《企业数据竞争的法治出路——由企业数据竞争裁判规则切入》,载周汉华主编:《网络信息法学研究》(总第7 期),中国社会科学出版社2020 年版,第173 页。在商业实践中,保护用户的个人数据安全,屡屡成为数据持有企业实施限制数据流通、提高数据流通代价甚至拒绝数据共享等不正当数据竞争行为的“正当理由”。比如在新浪微博诉脉脉案中,原告微梦公司虽然多次声称其基于“保护用户隐私”而终止与二被告的数据共享合作,但仅在同案的基本事实认定中,便不难看出其中的技术、商业和逻辑矛盾。既然有保护用户隐私之重要考量,为何原告没有采取有效的数据加密手段保护好用户的数据,最终由于技术漏洞而为被告所获取?并且,既然如此尊重用户的个人数据利益和隐私,为何在发现被告通过第三方应用软件获取用户数据的情况下,仍未通过任何技术手段予以制止?更为恶劣的是,原告还试图以此为利益交换的工具,要求被告向其共享脉脉用户的个人信息,这种行为被法院认定为典型的“放纵不正当竞争行为”。正如学者所指出的,这种“更密集”的数据重复使用的控制,极有可能成为“目的不可知论”。〔53〕See Bert-Jaap Koops,The Trouble with European Data Protection Law,4 International Data Privacy Law 250,250-261(2014).美国华盛顿大学法学院丹尼尔·索洛夫(Daniel Solove)教授即直言:隐私自治栖就于同意规则之上,但隐私自治并没有给人们提供对于个人数据的有意义的控制。〔54〕See Daniel J.Solove,Introduction: Privacy Self-Management and the Consent Dilemma,126 Harvard Law Review 1880,1880-1903(2013).

无独有偶,发生在美国的HiQ 诉领英案中,原告HiQ 是一家数据分析公司,其通过数据爬取技术从公开网络爬取了领英公司的用户公开档案信息,被告以《美国计算机欺诈与滥用法》(CFAA)为依据对该行为发出了“禁止通知函”。该案经过加利福尼亚州北区联邦地区法院和美国第九巡回法院两审法院的审理。法院认为,CFAA 的规制对象并不包括互联网上可公开访问之数据,被告的行为实际上起到了排斥原告进入数据分析市场的竞争效果,这种行为“将对互联网的信息自由流动和公共信息的价值创造构成威胁”,因此,要求领英公司移除阻止HiQ 访问其用户公开资料信息的全部技术障碍,并裁定对领英公司颁发禁令。〔55〕See HiQ Labs,Inc.v.LinkedIn Corp.,No.17-16783(9th Cir.2019).总之,将个人数据安全完全绝对化为一种数据持有企业的社会责任,不仅在事实上无济于事,而且消费者乃至整个社会的整体福利反而受到损害。〔56〕参见何渊等:《大数据战争:人工智能时代不能不说的事》,北京大学出版社2019 年版,第72 页。

(三)个人数据携带权与企业数据获取“三重授权原则”冲突解决的法理分析

在司法实践中,我国法院越来越注重运用利益衡量的方法来处理网络竞争的案件。《最高人民法院关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》第一条和《北京市高级人民法院关于涉及网络知识产权案件的审理指南》第三十条明确指出,涉及网络竞争的司法裁判应当达成经营者、消费者和社会公众利益的平衡。个人数据携带权与企业数据获取“三重授权原则”的冲突主要发生在企业之间的数据争夺案件中,从法理的角度来看,可以针对该类案件通常涉及的核心法益,刻画出一个法律价值博弈模型(见图2),以此实现个人数据权利、数据持有企业的数据权益、数据市场竞争秩序保护三者之间纳什均衡。

图2 企业数据竞争价值博弈模型

具言之,在企业数据权益争夺的场合,通常涉及三方主体即数据主体、数据持有企业、数据获取企业,三方主体各自都有自己追求的本位价值目标,当然,每一方主体的价值目标可以是多元的,比如就数据主体而言,其不仅注重数据的自由流通价值,而且关注数据安全价值,但从个人数据携带权的视角来说,其最根本的价值还是数据的自由流通价值,即数据的可流通性。〔57〕See Orla Lynskey,Aligning Data Protection Rights with Competition Law Remedies? The GDPR Right to Data Portability,42 European Law Review 793,793-814(2017).对数据持有企业来说,竞争法对数据的控制程度决定了该企业使用数据集参与竞争的限制,〔58〕See Barbara Van der Auwermeulen,How to Attribute the Right to Data Portability in Europe: A Comparative Analysis of Legislations,33 Computer Law &Security Law 57,57-63(2017).所以其本位价值应该是数据持有企业的合法数据权益保护。这其中包含两层含义。

第一,对部分中小企业在收集个人数据过程中付出的劳动,应当设计合理的法律补偿机制。如前所述,对于大型的数据持有企业来说,其数据采集和运营成本往往可以通过相应的数据法律服务予以弥补,但对中小企业来说,这样的运营成本到底如何进行补偿呢?特别是如果允许与其具有直接竞争关系的企业免费获取数据主体的个人数据,那么这些中小企业不仅需要付出数据采集的成本,而且要承担“机器可读的”的规范化数据的制作成本以及数据转移成本,这可能对数据产业发展和数据法治的公平性带来严峻的挑战。

第二,对于数据持有企业通过加工、处理、制作的数据,已不再属于个人数据的范畴,转而成为衍生数据,对于衍生数据,法律应当保护其合法的数据权益,包括对衍生数据的适当支配和控制利益。值得注意的是,尽管在企业数据获取“三重授权原则”中,强调了数据持有企业对数据获取企业获取个人数据的决定权,但是这里针对的其实是个人数据而非衍生数据。因此,该规则的合理性严重存疑。对数据获取企业来说,其本位价值是数据的可得性,即其最为关注的是是否能够打破数据市场准入壁垒进而以合理的价格进入数据竞争市场。

以上三方主体的价值博弈正好构成一个三角形。在几何学上,三角形是最为稳定的图形,但三角形的稳定性并不等于确定性,三角形的确定性有一个最为基本的前提,那就是边长和内角确定。这一基本原理也完全适用于企业数据竞争中法益平衡原理的解释:在企业数据权益争夺过程中,三方主体都具有不同的本位价值,并且在不同案件的审理过程中,司法对于不同主体的保护也不可能完全等同,有时需要更加注重数据主体的数据流通价值的保护,有时则需要侧重于对数据持有企业合法数据权益的保护,但无论如何,数据法治的基石与核心即数据安全价值不能改变。在企业数据竞争价值博弈模型中,数据安全价值就是整个数据法治的底线,它决定着整个博弈模型的内角和边长。“数据处理风险规制是保持和促进数据自由流动的基础机制,也是数据处理秩序的基本组成部分。”〔59〕参见陈越峰:《超越数据界权:数据处理的双重公法构造》,载《华东政法大学学报》2022 年第1 期。如果不能守住数据安全这一底线价值,则整个数据产业、数据法治体系都将面临最终崩塌的危险。

当然,大数据时代的数据安全并不是一种绝对安全,如果坚持绝对的数据安全观,那么最佳的选择就是不发展大数据技术和数据产业,这自然不是大数据时代数据法治的应然价值诉求。大数据时代的数据发展应当坚持相对安全观和动态安全观。所谓相对安全观,即在鼓励数据要素化和数据产业发展的前提下看待和处理数据安全的问题。所谓动态安全观,是指数据安全的法治保障必须深度根植于数据采集、保存、处理、转移的动态过程之中,从数据的全生命周期安全的视角,去科学设计数据安全法律制度。

总之,必须在大数据的时代背景下,用数据发展的眼光去看待各方数据权益的动态博弈问题,在此基础上,对绝对的个人数据携带权和企业数据获取“三重授权原则”进行反思,并在双向调适的基础上,达成二者之间可能涉及的各方法益的平衡。

三、个人数据携带权与企业数据获取“三重授权原则”的双向调适

在立法与司法实践中,个人数据携带权与企业数据获取“三重授权原则”受到学界与实务届持续的质疑表明,二者并非没有缺陷,绝对和僵化适用任何其一,都将对数据法治和数据产业的发展造成不良影响。无论是个人数据携带权还是数据持有企业的合法数据权益,均同时涉及数据主体和数据持有企业的私权利和公共利益。根据企业数据竞争价值博弈模型,基于数据安全和数据要素化的客观需求,可以对两者进行相向而行的有益调适。

(一)对个人数据携带权的调适

首先,合理界定个人数据携带权的适用领域。虽然个人数据携带权已被规定于我国《个人信息保护法》,“但是法律条文只笼统地规定了权利行使的要件和权利行使对象(个人信息处理者)的义务,其具体实施规范亟待细化”。〔60〕参见谢蔚、李文静:《比例原则视角下数据可携权之适用路径》,载《湖南大学学报(社会科学版)》2022 年第1 期。诚如王锡锌教授所言,个人数据携带权在GDPR 中只是“鼓励性的”而非“强制性的”要求,我国《个人信息保护法》中的个人数据携带权只是一个授权性的、开放性的条款,其未来真正地走向实践还将取决于未来对该项权利启动和行使之具体条件的设定。〔61〕参见王锡锌:《个人信息可携权与数据治理的分配正义》,载《环球法律评论》2021 年第6 期。换言之,个人数据携带权并不应当对所有产业、所有行业进行一刀切式的“全有或者全无”地适用,〔62〕See Barbara Engels,Data Portability among Online Platforms,5 Internet Policy Review: Journal on Internet regulation 1,1-17(2016).而应当充分考虑所处的行业领域、数据竞争状况、数据安全的实际保护能力等因素,对促进竞争和鼓励创新的领域以及在数据安全保护能力较强的平台之间鼓励率先实现个人数据携带权。〔63〕参见仲春、王政宇:《竞争法视野下的数据携带权及践行构思》,载《电子知识产权》2021 年第5 期。从美国的实践来看,其在个人数据携带权具体的适用领域方面,也是基于本国国情,优先选择在医疗健康信息与金融信息等领域率先适用,通过州一级的《加州消费者隐私保护法》(CCPA)等法律以及联邦层面的《儿童在线隐私保护法》(COPPA)和《多德—弗兰克法》(Dodd-Frank Wall Street Reform and Consumer Protection Act)等规定了个人数据携带权。从我国的实际情况来看,优先选择电子商务、医疗、金融等领域,通过制定特定行业的数据监管规则和数据自律规范贯彻实施个人数据携带权不失为一种可行的路径。

其次,严格限定个人数据携带权的适用对象。如欧盟第29 条工作组对GDPR 中个人数据的解释那样,个人数据只包括由数据主体直接提供的数据以及“观测数据”。如果数据主体请求转移该范围以外的数据或者数据获取方通过爬虫技术爬取公开网络的个人数据之外的数据,〔64〕从技术中立的角度讲,数据爬取行为本身具有竞争中性的属性。参见陈兵:《保护与竞争:治理数据爬取行为的竞争法功能实现》,载《政法论坛》2021 年第6 期。例如数据持有企业经过处理的衍生数据等,均属于典型的数据侵权行为。对于数据持有企业来说,如果其对采集的数据进行加工与处理,“可能享有一种新的‘身份’——数据生产者”,“并似可创设整合为一种权利形态”即数据生产者权。〔65〕参见姚佳:《企业数据的利用准则》,载《清华法学》2019 年第3 期。若数据获取方要获得这些衍生数据,都必须严格按照企业数据获取“三重授权原则”的要求由数据持有企业进行专门授权,否则即属违法。如此一来,数据持有企业可能有更强的动机去处理匿名化的数据,进而免受个人数据携带权施加的义务,〔66〕See Inge Graef,Martin Husovec &Nadezhda Purtova,Data Portability and Data Control: Lessons for an Emerging Concept in EU Law,19 German Law Journal 1370(2018).有利于推动数据要素化和数字经济的发展。因此,对于衍生数据,必须明确排除其适用个人数据携带权规则。另外,对于与数据主体相关的其他用户的个人数据,数据获取企业在获得相应主体的单独授权之前,不得依据数据主体的个人数据携带权而获取。比如在新浪微博诉脉脉案中,数据获取方未经授权便获取了非新浪微博用户的通讯录数据,这就是一种违法行为,这些数据也必须从个人数据携带权规则的适用范围内予以排除。

再次,通过引入“数据盗用理论”对数据持有企业的正当权益实施法律保护。在2022 年4 月24日国务院新闻办举行的2021 年中国知识产权发展状况新闻发布会上,国家知识产权局局长申长雨表示,要承认和保护数据处理者的合理收益。〔67〕参见《我国数据产权保护将承认数据处理者合理收益》,https://baijiahao.baidu.com/s?id=1731039972698510183&wfr=spider&for=pc,2022 年4 月25 日访问。虽然目前我国在法律上并未对数据持有企业通过劳动投入获取的个人数据赋予明确的数据权利,但如果这样的个人数据被其竞争者窃取或者盗用,无疑会对数据持有企业的利益造成侵害。就这些数据本身来说,其并不属于衍生数据,按照个人数据携带权的要求,倘若数据获取企业获得了数据主体的授权,其自然有权获取数据。那么,对数据持有企业的这种正当的数据权益如何实施保护,成为摆在司法机关面前的一道难题。美国司法实践中提出的“数据盗用理论”或许可以为我国提供借鉴。在美国联邦最高法院1918 年审理的International News Service v.Associated Press 案中,〔68〕See International News Service v.Associated Press,248 U·S·215(1918).原告美联社(Associated Press)和被告国新社(International News Service)同为新闻通讯社公司,国新社通过贿赂美联社职员等方式,获取后者的新闻信息并提前发布,美联社以损害其公司合法竞争权益为由起诉国新社。法院在审理中认为,新闻数据本身并不受知识产权保护,但被告在明知新闻信息属于原告的合法劳动所得的情况下,为了获取其自身的竞争利益和竞争优势,在未经授权的情况下获取原告的新闻数据,构成数据盗用行为,应当承担赔偿责任。后来,在1997 年美国第二巡回法院审理的NBA 联盟起诉摩托罗拉公司案(NBA v.Motorola,Inc.)中,〔69〕See National Basketball Ass’n v.Motorola,Inc.,105 F·3d 841(2nd Cir·1997).法院进一步完善了“数据盗用理论”的构成要件,将“直接竞争关系”“信息的时效性”“对数据产业的破坏”等要件纳入。在我国引入个人数据携带权之际,数据持有企业的权益保护也同样重要,在具有直接竞争关系的数据企业间,可将“数据盗用理论”作为司法保护的一项重要规则,以此对个人数据携带权的适用形成一定的反向牵制,防止权利的绝对化,保护数据持有企业对其因劳动投入获取的个人数据的合法权益。

最后,引入原位数据权作为个人数据携带权的有益补充。个人数据携带权突出数据的可自由流通性,而企业数据获取“三重授权原则”强调数据持有企业对数据流通的限制,二者之间的矛盾清晰可见。既然是以法益价值平衡作为法律规制的出发点,那么就需要考虑,在尽量保证数据流通性的前提下,是否有必要设置另外的新兴权利作为替代方案。学者意识到,应当将数据的可携带性视为一种努力目标,并且应当根据不同的情形对数据控制者施加不同的责任。〔70〕参见丁晓东:《论数据携带权的属性、影响与中国应用》,载《法商研究》2020 年第1 期。个人数据携带权在执行的过程中必然会提高数据持有企业的运营成本,这对于大型网络平台来说可以通过丰富的数据服务予以弥补,但对于中小型企业来说,是一笔不得不考量的运营成本。与此同时,如前所述,个人数据携带权存在数据商业价值方面考量不足的缺陷。为此,建议引入欧洲学者提出的原位数据权,对作为中小企业的数据持有人的数据运营成本予以适当的弥补。所谓原位数据权,是指数据主体依法享有的在其数据所在场所使用个人数据的权利。〔71〕See Bertin Martens et al.,Towards Efficient Information Sharing in Network Markets,https://ssrn.com/abstract=3956256,visited on Apr.25,2022.原位数据权的本质是赋予数据主体(包括其授权的数据处理者)随时在数据持有企业处(即原位)使用数据的权利,它与个人数据携带权最大的差别在于,后者通常意味着数据的转移;前者则无须转移数据,而可由被授权的数据处理者将算法带入原位数据并进行数据处理,并且作为授权方的数据主体有权随时撤回其数据处理授权。原位数据权的价值归依是数据的可及性。它不仅解决了作为中小企业的数据持有企业的运营成本问题,而且从数据安全的意义上来说有利于避免数据转移过程中的数据安全风险。我国《个人信息保护法》生效后,可在未来制定我国《个人信息保护法》的实施细则或在行业数据监管办法中对原位数据权予以确认。

(二)对企业数据获取“三重授权原则”的调适

1.可识别个人数据的流转必须经过数据主体同意但并不必然要求数据持有企业同意

可识别的个人数据属于原始数据,其本质是数据主体的数据。尽管在个人数据的收集过程中,数据持有企业付出了一定的投入和运营成本,但这无法从根本上改变数据的权属问题。在数据企业之间通过开放公开数据共享模式(Open API)进行数据转移的场景下,由于个人数据携带权的执行以及数据持有企业数据转移义务的确认,数据法治的核心问题变成如何构建相对合理的利益补偿机制。依笔者于本文中提出的设想,即引入原位数据权作为个人数据携带权的补充,对于适用个人数据携带权的数据持有企业,其数据采集成本将主要由其提供数据服务所得收益予以弥补,在法律上并不单独为其设计补偿机制。这也是目前国际上确认个人数据携带权的国家的通行做法。对于尚未明确适用个人数据携带权的行业领域,尤其是对于一些中小企业类的数据持有企业,可以通过原位数据权,确认数据获取企业将算法代入“原位数据”,免除数据持有企业的个人数据转移义务,从而尽量降低数据持有企业的数据运营成本。这样,不仅能推动数据要素化的进程,而且能较好地对数据持有企业形成合理的利益补偿机制,确保数据法治的正义和公平。

此外,对于通过开放公开数据共享模式获取数据之外的大量的数据爬取行为,数据获取方也通常基于“已经获得用户授权”这一“正当理由”而证成其行为的合法性。数据爬取行为属于典型的非基于企业之间合意的数据获取行为,这种行为在大数据时代具有正当性,其对于加强数据的深度开发利用,促进数据要素化具有重要的法律意义。在数据爬取的情形下,被爬取的个人数据往往属于已经公开的数据主体的数据,具有公开性、开放性、公共性等特征,这些数据的自由流转本身即社会化利用的手段之一。因此,作为爬取对象的个人数据,无需数据持有企业的同意,也不必经其授权,不适用企业数据获取“三重授权原则”。

2.衍生数据的流转必须经过数据持有企业的同意但并不必然要求数据主体同意

“对告知同意原则的合理限制,不应仅仅满足于对隐私政策的评估,更需要进行价值层面的衡量并做出执法和司法上的正确判断。”〔72〕参见张新宝:《个人信息收集:告知同意原则适用的限制》,载《比较法研究》2019 年第6 期。如果过度偏重于个人数据携带权而忽视数据持有企业的正当权益,数据持有企业必定失去加强数据服务创新和新产业更新换代的强烈动机,那么,以所谓的保护数据主体之名而展开的数据法治最终也无法促进数据主体的消费福利。尤其是作为经过大量劳动和技术投入而制作的“数据产品”,数据持有企业对衍生数据自然应当享有一定的合法权益。企业数据获取“三重授权原则”之所以强调数据转移必须以数据持有企业的同意为前提,其根本考量也是保护数据持有企业的合法权益。

衍生数据有两种。一种是经过匿名化和高度加密处理的数据,这些数据几乎完全脱离了个人数据的属性,是一种真正意义上的“可用不可见”“可控可计量”的数据资源,由于数据持有企业对这些数据资源的采集加工、流转应用投入了资本和创造性智力劳动,使其成为具有价值创造的数据资产。依据“谁投资谁所有”的原则,其合法权利应当得到法律认可。〔73〕参见童楠楠、窦悦、刘钊因:《中国特色数据要素产权制度体系构建研究》,载《电子政务》2022 年第2 期。对这一类衍生数据,数据中并不存在可见的个人信息,不牵涉数据主体的人格权保护的问题,因此,其流转也无需要求数据主体同意。当然,从实际操作层面来看,因无法查看个人信息,这些数据的获取方也不具备征求数据主体同意的客观条件。对这类衍生数据的流转不能一成不变地严格执行企业数据获取“三重授权原则”。另一种衍生数据具有典型的“可见”属性。这些数据也获得了数据持有企业的大量智力投入,但是数据中的个人信息依然可见,或者其采用的数据加密技术过于简单而达不到“可用不可见”的技术标准,经过第三方数据获取企业“去匿名化”处理即可破解。这类衍生数据中的企业数据权利当然应当获得保护,但数据的转移必须获得数据主体的同意,即严格执行企业数据获取“三重授权原则”。

四、结语

随着大数据技术的迅速发展和普遍运用,传统的人类社会正在步入一个具有现实性的数字虚拟社会,人们将其称之为元宇宙。元宇宙的未来发展应将人的生命权、人格尊严等人类福祉作为科技活动的底线价值。〔74〕参见张钦昱:《元宇宙的规则之治》,载《东方法学》2022 年第2 期。笔者于本文中探讨的个人数据携带权和企业数据获取“三重授权原则”作为大数据法治的重要组成部分自然也不例外。个人数据携带权是我国《个人信息保护法》上的一项重要的法定权利,其更加侧重于数据主体的数据流动性价值的保护,通过反对数据(平台)垄断的办法,保护大数据时代人之所以为人的基本权利。企业数据获取“三重授权原则”旨在对数据持有企业的在先数据权益实施法律保护,通过对数据持有企业赋予事实上的控制权力,保障其对数据流转的决定权。这当然可能对数据获取企业的数据可得性造成直接影响,并与个人数据携带权产生冲突。如何站在整体数据法治的视角对二者予以协调,无疑是数据立法和司法的当代使命。

“在创设个体权利之时,既要考虑所保护的利益之于该个体的价值与意义,同时也应始终将个体权利置于与他人利益、社会利益的平衡与协调之中,这样的权利创设才能真正发挥作用。”〔75〕参见姚佳:《个人信息主体的权利体系——基于数字时代个体权利的多维观察》,载《华东政法大学学报》2022 年第2 期。本文的研究表明,一方面,个人数据携带权如果直接“全有或者全无”地适用于任何行业,可能对一些初创行业的发展造成障碍,与个人数据携带权相伴的数据转移义务在某些情况下也可能导致数据正义阙如的结果,并且其在具体执行中面临着数据质量控制和数据安全防范方面的困境;另一方面,对所有数据不加区分地一味坚持企业数据获取“三重授权原则”,可能对数据产业的良性发展造成阻碍,而其对于个人数据安全风险的防范意义也着实有限。为此,立法或者司法并不能轻率地在个人数据携带权和企业数据获取“三重授权原则”之间“选边站队”,而必须在企业数据竞争价值博弈模型中进行个案的价值抉择与平衡。

对个人数据携带权而言,可以从其适用的行业领域、适用的数据对象、通过“数据盗用理论”的反向限制、新兴数据权利(原位数据权)的引入与补充适用等方面进行相应的调适,以达到个人数据权利保护和数据公共利益的协调。对企业数据获取“三重授权原则”而言,重点是区分不同的数据类型来确立数据流通的授权要件,合理协调数据持有企业与数据获取企业之间的利益及其与整个数据产业竞争的关系。总之,“重保护、轻利用”的数据治理理念会抑制市场活力,在数据竞争纠纷中,必须“从权利侵害判断范式向行为正当性判断范式转化”〔76〕参见仲春、王政宇:《数据不正当竞争纠纷的司法实践与反思》,载《北京航空航天大学学报(社会科学版)》2021 第1 期。,确保数据私权与产业发展的良性互动。人们还必须意识到,数据安全保护应当是一项综合性的系统工程,任何一项单纯的权利或者司法裁判规则恐怕都无法径行实现理想的数据安全价值。如何在本文的主题之上继续探索具有可操作性的数据安全法治,将是又一项重要的课题。

猜你喜欢
数据安全主体企业
强化述职评议 落实主体责任
企业
论碳审计主体
企业
企业
敢为人先的企业——超惠投不动产
何谓“主体间性”
部署推进2020年电信和互联网 行业网络数据安全管理工作
建立激励相容机制保护数据安全
略论意象间的主体构架