白杨
摘 要:《个人信息保护法》首次规定可携带权,本文围绕权利的构造及实现展开。首先对可携带权的性质、内容进行讨论,认为该权利是以保护个人利益为核心兼具财产属性的新型权利,并对该权利的主体、客体和具体内容展开论述。可携带权权利实现的过程中要严格审查迁移数据的范围和权属,划清责任主体的义务边界,制定标准化的流通规则,更要对损害他人利益和社会利益的行为进行限制,以促进数据流通、驱动数字经济发展。
关键词:可携带权;数据流通;个人数据;数字经济
中图分类号:D923.8文献标识码:A 文章编号:1009 — 2234(2023)06 — 0108 — 06
《国民经济和社会发展第十四个五年计划和2035年远景目标纲要》明确指出要迎接数字时代,激活数据要素潜能,加快建设数字经济,以数字化转型整体驱动生产方式变革。国家和地方创新探索数字经济的发展模式,数字经济秩序呈现野蛮性生长的状态,如何重建数字时代的经济秩序,特别是如何保护数字市场中信息提供者的数字权益成为重中之重。2021年我国通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),该法成为数字社会治理的力工具。该法第五章专章规定了个人在个人信息处理活动中的权利,第45条第3款引入了个人信息可携带权(本文不区分数据与个人信息、数据可携带权与个人信息可携带权的意思,两者等同使用),即“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”该款入法路程颇为曲折,仅在草案三审稿中出现并被随后出台的法律所保留。可携带权为什么最后才被立法者所采纳?法律条文对可携带权的规定为何如此宽泛?如何理解可携带权的性质与内容?可携带权在中国如何行使?如何保护可携带权?本文尝试对上述问题进行探讨。
一、个人信息可携带权的性质
(一)可携带权是基于个人利益所产生的权利
可携带权的客体为个人信息或个人数据,个人信息是指能够描述个人基本特征和其他身份信息的资料。一些个人信息更是直指特定的自然人,例如身份证号码仅描述唯一主体,此种特定的可识别性集中体现了个人信息与个人权益的紧密关系。信息主体对个人信息流转范围和流转方式的掌握是在现实社会中保护个人信息相关权益的价值基础。[1]个人信息权利包括可携带权在内均是基于保护个人利益产生,并非为维护公共利益亦或公共秩序而设立。并且可携带权当属权利而非权益。在制定《民法典》及《个人信息保护法》过程中,学界对个人信息权益的性质分歧较大。“民事利益说”认为自然人对个人信息享有的只是受法律保护的利益,而非民事权利。[2]其一在立法语言的选择上,《民法总则》第111条没有使用“个人信息权”的表述,这意味着立法机关没有将个人信息作为一项具体的人格权利;[3]其二,对个人信息的保护是行为规制模式而非权利保护模式;[4]其三,将个人信息的认定为民事权利会导致主体享有过于强大的决定权和支配权,致使个人信息无法自由流动,阻碍数字经济的发展。[5]兹以为根据我国国情,将个人信息权益认定为权利尚无不妥之处。随着信息技术突飞猛进式的发展,我国公民的生活与数字技术的交融愈发紧密,公民对个人信息权益保护的意识却较为淡薄,即便将信息权益认定为权利,也仅是给予公民个人信息更强的法律保护,而不可能出现因公民对信息的绝对控制导致数据的流通受阻,从而影响数字经济的发展的情况。相反,若将个人信息权益的性质认定为利益,根据权利义务相对应原则,无权利则无义务,法律不能为个人信息利益设置义务,这恐怕会引起数字经济、数字社会治理的一系列问题。以可携带权为例,若可携带权仅是一种法益,用户就无法强制要求数据控制者转移其个人信息至另一数据接收者,且保证数据流转安全等,这显然会加剧数字时代背景下的市场垄断,增加数字安全风险,因此,认定包括可携带权在内的个人信息权益为权利是正当且合理的。
(二)可携带权带有财产属性
上文提到可携带权基于人身利益产生,权利内核是对个人人格利益特别是精神利益的保护。在我国,人格权益的保护遵循“一元制”结构,既保护权利本身所强调的人格利益,亦保护权利实现过程中产生的财产利益,易言之,个人信息权益是天然内置财产属性的人格权益。可携带权亦如此。可携带权的实质在于数据的流通,流通过程中产生有形或无形的经济价值,经济的本质不过是资源无数次流通与交易的总和。例如,用户甲将其存储在百度网盘的资料移转至阿里网盘,此时百度网盘的使用率下降,其会员服务等附带服务的收益随之降低,但阿里网盘则因为用户的数据迁移而增加了利润。显然,可携带权的实现内蕴经济价值的生产,故法律应当认可攜带权自身所天然拥有的财产属性并予以保护。
(三)可携带权是一项新型权利
从存续时间上看,2010年电子前沿基金会(Electroic Frotier Foundation)曾提出社交网络用户隐私权法案应当包括数据可携带权,保证用户在决定离开社交网络服务是能够以通用的格式转移到其他服务中,[6]这可视为可携带权理念的雏形。可携带权作为一种权利类型第一次出现在2012年欧盟《通用数据保护条例》(草案)(General Data Protection Regulation,以下简称GDPR)的第18条。2016年正式出台GDPR,自此数据可携带权被法律正式确立。2012年至今仅10年,可携带权刚刚经历“提出——确立”的过程,可以说可携带权尚处在“少年”时期。从产生时代背景看,当今整个社会从工业时代大踏步迈进数字时代,数字政府、数字法院、数字法学等理念层出不穷,社会的数字化转型使社会秩序发生颠覆性变革,可携带权正是产生在这样一个新型社会,其内容也带有明显的时代特征,即为满足数字经济的发展和数字社会秩序的重建要求个人信息自由、无障碍的流动。从权利内容上看,可携带权完全不同于以往的任何一种人身权利,可携带权跳脱传统的法律理念和权利模型的范畴,是具备前瞻性特点的新型权利。
(四)可携带权是一项特殊的请求权
作为个人信息权利的可携带权,是基于个人信息自决权而产生的,权利主体可以自主支配权利的行使和实现。然而,可携带权实现的关键是由数据控制者操纵数据流转过程,用户可携带权的实现需要请求数据控制着给予帮助,在此过程中用户必还须解除其对个人信息的独占性控制,就此认为本为支配权的可携带权是一项特殊的请求权。
二、个人信息可携带权的内容
(一)个人信息可携带权的权利架构
1.可携带权的权利主体
欧盟GDPR明确本条例的保护主体仅适用于自然人。印度、新加坡、日本等国家相关法律亦将主体限定为自然人,但澳大利亚《消费者数据权利法》(Consumer Data Right,以下简称CDR)将受认可的第三人列为可携带权的行权主体,此规定有待商榷。首先,信息是主体个人的信息,个人对其个人信息享有支配权,在一定程度上类似于物权中的所有权,排斥他人对该权利的行使及干预。倘若第三人可以针对他人信息行使可携带权,意味着第三人实现了对他人信息的掌控,即便是在信息享有者认可的情况下转移个人信息仍然存在诸多问题,例如信息享有者的认可是否是其真实意思表示、双方对认可范围的理解是否一致等等,上述问题若无法有效规制必会损害信息享有者的自决权,给其带来诸多不便。其次,各国个人信息或数字立法的首要目的在与保护个人信息和隐私安全,可携带权以用户掌控数据为核心,这在一定程度上排除了希望第三方发起数据转移请求的可能性,将第三人列为请求主体与立法初衷相悖。我国《个人信息保护法》第45条也将可携带权的权利主体限定为自然人,其原因有二。第一,将自然人列为唯一的权利人,突出强调了人的重要性,符合“以人为本”的立法观念。第二,与法人和非法人组织相比,自然人在信息的收集和处理过程中处于弱势地位,数据收集者可以利用技术手段实现对个人信息的操控,而自然人碍于自身的认知水平和技术水平等因素却不能实现其知情权。总之,可携带权的主体不应盲目扩张,以自然人为唯一主体较为合理。
2.可携带权的客体
GDPR以“提供”为标准划定可携带权客体的范围,欧盟数据保护工作委员会(以下简称WP29)发布的《数据可携带权指南》对“提供的数据”做出了解释,包括关于数据提供者的个人资料以及其提供给数据控制者的个人信息。该解释排除了与数据主体无关的数据和匿名数据,以及以数据主体提供数据为蓝本通过算法技术推测出的数据。WP29的解释是各方利益权衡的结果,明确客体范围是提供数据可以避免数据接收者因数据转移窃取原数据保存者的商业秘密,损害原数据保存者的合法商业利益,扰乱数据市场的经济秩序。《印度个人信息保护法》(Personal Data Protection Bill,以下简称PDPB)规定数据主体可以转移的数据除了自已向数据委托人提供的数据外,专款规定在提供服务或商品使用的过程中产生的数据亦在可移植数据的范围内,该类数据不应等同于“推断数据”和“预测数据”,而应当定性为用户在互联网活动中基于其行为轨迹而产生的痕迹数据,例如购物网站浏览痕迹是用户活动数据,网络服务提供商基于浏览痕迹而提供的个性化商品推荐数据则是衍生数据。PDPB的规定扩大了可移植数据的范围,由于用户行使可携带权的目的之一就是方便、快捷的将其使用互联网所形成的“习惯”无缝转接至另一网络服务提供商,因此将痕迹数据纳入可移植数据的范畴与用户日常行为实践相符。我国将可携带权的客体仅限制为个人信息,但未划定个人信息的范围,这成为可携带权适用的一大阻碍,据此下文将厘清可携带权的适用范围,以期解决该权利实现过程中的利益冲突。
3.可携带权的内容
GDPR规定数据可携带权由两个子权利组成,即导出数据的权利和直接传输数据的权利。该权利允许个人以结构化、通用和机器可读的格式请求和接收其个人数据,同时允许个人请求将数据从一个网络服务提供商直接移植到另一个网络服務提供商,简言之,个人有权获取及无障碍传输数据副本。《数据可携带权指南》将这种“阻碍”描述为数据控者设置的任何阻止或减缓数据主体或另一数据控制者行使访问、传输或二次利用的法律、技术或财务障碍。例如,交付数据所需要的费用、缺乏互操作性或无法访问数据格式等。我国可携带权虽在语言表达上仅描述了狭义的数据“可携性”即数据转移权,但是应当认识到,获取副本权与数据转移转权紧密相连,不能完全割裂讨论。就数据传输而言,主体既可直接转移数据又可间接转移数据,直接转移是指数据的提供端和接收端直接通过API接口即完成数据迁移,例如音乐平台之间歌单的转移。间接转移是指用户需自己需将欲迁移的信息下载后再传输到另一网络服务商,例如上文提到的网盘资料之间的转移,由于两个服务商之间没有建立通行的API接口,就需要用户通过繁琐的下载再上传模式实现数据的转移。这种方式仅能满足单一用户的小体量数据转移,不能实现以数据自由流通驱动数字市场竞争的目的。
(二)可携带权与其他权利的关系
1.可携带权与查阅、复制权的关系
查阅复制权是指除法律、行政法规另有规定外,作为信息主体的个人在个人信息处理活动中依法享有向个人信息处理者查阅、复制个人信息的权利。[7]数据主体享有查阅复制权是行使可携带权的前提,查阅复制权类同可携带权中获取副本的权能,但两者有明显的区别。其一,权利基础不同。查阅复制权基于主体享有的知情权产生,可携带权的权利基础则为信息决定权。其二,当事人不同。两者的权利主体均为自然人,但是两者的地位不尽相同。自然人主体在可携带权中是信息的提供主体,而在查阅复制权中,权利主体是指信息被处理的一方。两个权利的义务主体亦不同,查阅复制权的义务主体仅有一个,即存储个人信息的数据保有者,可携带权的义务主体除数据保有者外还包括数据接收者。其三,权利客体不同。查阅复制权的客体包括所有个人信息,而可携带权的客体范围有明显的边界,一般仅限于以电子方式存储的且是个人提供的数据。其四,权利行使方式不同。查阅复制权的行使与其他领域相似权利的行使并无二异,但是对于可携带权的行使要在互联网环境中进行,数据的传输和接收端口是格式化的,两者之间具有互操作性。其五,权利的功能不同。查阅复制权的设立目的在于使用户清晰明了的知道其信息的存储位置、使用方式等,而可携带权的功能除了满足数据自由流动的需求外,更为重要的是其社会意义,即通过打破数据的锁定效应从而促进数字经济的发展。
2.可携带权与删除权的关系
个人信息的删除权,是指个人信息的处理违反法律规定,超过了当事人约定的范围,或权利人认为信息处理行为继续下去会有损本人的利益时,信息主体要求信息处理者及时停止对个人信息的处理并删除相关个人信息的权利。[8]从权利构成上可见,两权截然不同。其中最为明显的是可携带权的实现不应排除删除权的行使,当信息主体主张的删除事由符合法律规定时,个人信息处理者应当删除信息。原因在于网络环境不同于物理环境,物理社会中某一特定财物从A处出搬移至B处后,该财物在A处彻底消失。但是在网络环境中,即使信息主体通过可携带权的行使完成了数据的迁移,但原数据保有者出仍留有被移植的数据,简言之,可携带权实现不能消灭原存储位置中的原始数据,行使删除权是使个人信息“消失”的唯一方式。
三、个人信息可携带权的实现
(一)厘清个人信息的范围及权属
我国《个人信息保护法》对个人信息的定义借鉴了GDPR的“可识别标准”,同时又增加了“关联说”的标准,将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。至此,我国法律明确了个人信息的定义及理论范围。但尚未限定可转移的个人信息的范围,换言之,理论上所有的个人信息均可转移,那么备受争议的衍生数据是否可以转移呢?为解决此问题,应当深入探讨个人信息的分类和权属问题。
关于信息或数据的分类,目前各界对个人数据的分类尚未形成明确的界定。GDPR将数据分为提供数据、观察数据和推测数据,但可携带数据仅限于提供数据。CDR明确区分消费者(包括个人和中小企业)在线发布的数据,在线交易创建的数据,购买数据和与以数字形式持有的交易或活动相关的其他数据。以上这些分类都是立法机关基于自身国情的考量所进行的不同划分。将上述分类与我国实践中数据的产生和利用情况相结合,我们可以将数据分为个人基础数据、个人行为数据和个人行为倾向数据。这三者以数据控者在数据处理过程中所付出的智力劳动量为标准划分。其中,个人基础数据包括个人生物信息及其他由主体主动提供的原始数据,如例如美食测评软件中用户直接输入的餐厅评价;个人行为数据是指用户利用网络产品服务时所产生的痕迹数据,例如利用社交软件产生的聊天记录;个人行为倾向数据是指网络服务提供商以用户行为数据为基础,通过算法分析、计算创建的数据,该类数据主要表现为个性化推荐数据,例如音乐播放软件中“最喜欢的音乐类型”等。
划分数据范围旨在明确数据权属。个人基础数据以个人生物信息和个人主动提供的数据为内容,该类数据的产生与主体密不可分,因此该类数据应当完全由数据主体支配,当属可携带的范围。个人行为数据依据用户的服务利用行为产生,虽然在此过程中网络服务提供商参与了数据的管理,但是此种管理由其自身性质决定且并没有参与过多的智力劳动;相反,若用户没有实施浏览或其他行为,则谈不上数据的管理,故个人行为数据因具有较高的人身依赖性应归数于可携带权的范围。个性行为倾向数据明显含有大量经营者的智力创造,对该类数据的利益分配应当偏重数据控制者。但这并不意味着此类数据不能移转,有学者建议应当支付一定对价,[9]在付费购买数据控制者智力成果的基础上实现数据迁移,这样便可以最大化的实现个人信息的价值。
总之,立法部门应当根据我国的具体情况,尽快出台司法解释或者有关条例,明确可携带权的客体范围,使可携带权在中国落地生根。
(二)划定责任主体的义务边界
以数据控制者为视角,可携带权的实现需要经过告知—识别—回应这三个阶段,在此过程中数据控制者要履行其义务。首先,数据控制者要承担告知义务。可携带权是一种发生在互联网领域的新兴权利,群众对该权利的认识必然是模糊的,数据控制者应当以清晰、易懂的方式告知用户享有可携带权以及该权利的内容和行使方法。其次,对于用户的行权请求,数据控制者应当谨慎识别用户身份,可以采取邮箱验证、密保问题、人脸识别等方式核验用户身份信息。对传输敏感信息以及传输环境判定为高风险的情况下实行“多重要素验证”,[10]即数据控制者要求用户要通过两种以上的认证机制之后,才能得到授权并获取个人数据,确保数据安全。最后,数据控制者须對用户的请求予以回应。回应的内容可简单概括为请求数据是否具备可携性。若条件满足,则按照双方约定的期限或者本公司隐私协议规定的期限按时完成信息的传输工作;反之,则应及时回复并说明理由。至于回应的期限宜根据数据的传输数量和难度等因素分场景决定,不能将回复期限“一刀切”。风险控制义务必须贯穿整个迁移过程。域外国家或地区大都选择单边保护,即前端保护或后端保护二选一。显然这些风控模式都不能实现数据的全流程保护,我国应当前段保护与后端保护并行,但需要对安全风险和相应措施的成本充分评估和合理分配,在构建相互协调的技术标准的同时,推动数据控制者和数据接收者的安全责任边界清晰化、均衡化,[11]避免因过高的责任标准阻碍可携带权的实现。
另外,在添设数据控制者的义务时还需要考虑比例原则、数据迁移的频次、数据价值保持及数据是否被滥用等因素,合理标定义务边界。
(三)制定标准化的数据流动规则
GDPR要求数字服务供应商之前应当采取结构化,通用且格式化的方式以满足数据传输两端的互操作性,目的是弥合数字技术鸿沟,推动数据在市场中的流通和交易,所以说设计标准化的数据迁移规则至关重要。
首要明确的是标准化不等于统一。有数据显示,2019年,GDPR的个人信息可携带权的规定导致欧盟的中小企业年度支出总额达到163亿欧元,平均增加成本在565欧元到2049欧元不等。[12]高昂的成本造成企业协助用户实现信息流转的意愿低迷,特别是对中小企业而言,耗费大量的财物执行用户的信息移植请求是不切实际的。在现实情况下,人们更愿意相信大型企业提供的网络服务质量更高、隐私保护和数据安全保护机制更加健全,会不自主地选择大型网络服务商提供的服务,由此用户会将其存储在中小企业中信息转移到大企业,造成数据和用户的流失,加之高昂的合规成本,中小企业的生存会面临危险。故不分行业、不分规模地要求所有企业使用统一的数据流转规则是不合理的,会加重中小微企业的负担。因此标准化的规则并非所有数字产业或数字服务使用同一的、无差别的规则,而应当是动态的、场景化的、行业化的实施方案。而且标准化的制定并非对现有技术的控制,亦非是技术进步的障碍,而是为实现技术便利,技术创新与发展而设置的操作流程,在此目的的指引下,鼓励技术型企业参与标准制定和论证过程,承担更多的行业责任和社会责任。例如,各行业内的大型在线网络服务企业对中小企业发展情况进行调研后出具调研报告,并协助政府制定适用于中小微企业的合规标准。建全培育机制,由大企业对小企业进行合规培训,指导其完成合规建设后,政府部门对参与该项活动的大型企业给予荣誉及物质奖励。
(四)实现可携带权的限制
我国《个人信息保护法》第45条仅规定权利的行使要符合有关部门的要求,那么如何理解“要求”的具体内容?
第一,在特定情况下,个人的权利不得对抗国家权力的行使。《数据可携带权指南》规定可携带权不适用于数据控制者为公共利益或基于官方授权而进行的必要的数据处理。也就是为实现公共利益或者有国家部门授权的情况下,即使用户发出了数据迁移的请求,数据控制者也有不协助其完成迁移的权利。此外PDPB还规定可携权不适用于司法裁判。
第二,个人权利的行使不得损害他人的合法权益。其一,不得损害其他自然人的隐私权及其他权益。当下不同主体间数据粘合现象十分普遍,与之相生的就是多元主体之间的数据权利冲突问题。例如用户在微信聊天软件中所产生的数据必然存在相当一部分的涉他数据,包括聊天记录、朋友圈的评论等等,当用户对上述数据迁移时,如何保护第三人的个人权益?GDPR要求数据控制者必须取得第三人的同意且数据接收者负有保护义务。相反,《新加坡个人信息保护法》(Personal Data Protection Act,以下简称PDPA)规定在少数特定情形下,可以不经第三方同意将其个人信息转移给数据接收者。相比较而言,PDPA的做法更值得提倡。理由一:要求用户或数据控制者将此类融合数据完全割裂是极大的技术挑战,同时切割数据使其“碎片化”会降低数据的价值。理由二:取得第三人同意会增加数据携带的成本。以微信聊天记录为例,该类数据中所涉及的第三人的数量是庞大的,若转移数据需要经过每一个第三人的同意,势必会花费大量的时间和精力,用户甚至会因此放弃数据转移。但是,“少数特定情形”如何确定?对第三人数据分类讨论是相对适宜的:1.网络行为数据、设备数据、社会关系数据不能直接识别特定第三人的数据在未经其同意的情况下是可以转移的,例如网站的访问数据、计算机终端的位置信息等。反之,可以直接识别特定第三人的数据则必取得其同意,此类数据包括个身份证号码、指纹、银行账户等人身份信息、生物信息、账户信息等;2.以第三人是否已经公开为标准,若第三人已经公开(仅限于主动公开和其他依法公开的信息)并上传至网络的可以转移,反之则不能;3.以转移是否会侵犯第三人隐私为标准确定是否应当获得其同意;4.以转移是否会损害第三人经济利益为标准。例如,第三人的商业策划信息不得擅自转移。其二,不得侵犯他人的商业秘密和知识产权。数据中的商业秘密和知识产权来源有二,一是数据内容本身带有商业秘密或者受知识产权保护;二是数据控制者收集、处理数据所用技术涉及商业秘密或知识产权。当用户发出数据转移请求后,数据在传输过程即可能被第三方黑客控制而披露商业秘密,抑或是数据接收者接受数据后破解数据的原有存储和利用模式而侵犯其知识产权。据此,应当要求数据迁移中的各方利益主体履行自身的诚信义务,不得故意损害任何一方的合法利益。
四、结语
允许数据自由的流通,有利于构建良性的市场环境。面对可携带权问世以来出现的诸多问题,以及我国可携带权通过《个人信息保护法》正式确立的现实,精准认定可携带权的性质,理解可携带权的内容,制定具体的适用和保护规范以适应中国数据产业的发展现状,这一权利才能真正满足我国群众信息自由流转和本土数字经济发展的需要。
〔参 考 文 献〕
[1]王利明.中华人民共和国民法总则详解(上)[M].北京:中国法制出版社,2017:456.
[2]程啸.个人信息保护法理解与适用[M].北京:中国法制出版社,2021:24.
[3]王利明.中华人民共和国民法总则详解(上)[M].北京:中国法制出版社,2017:465.
[4]叶金强.《民法总则》“民事权利章”的得与失[J].中外法学,2017(03):651-655.
[5]丁晓东.个人信息私法保护的困境与出路[J].法学研究,2018(06):194-206.
[6]柴瑞娟,田奥妮.开放银行场景下引入数据可携权的风险化解与制度构建[J].征信,2022(03):17-25.
[7]Graef I, Husovec M, Purtova N, Data Portab
ility and Data Control:Lessons for an Emerging Concept in EU Law,SSRN Electronic Journal, 2017.
[8]化国宇,杨晨书.数据可携带权的发展困境及本土化研究[J].图书馆建设,2021(04):120.
[9]王锡锌.个人信息可携权与数据治理的分配正义[J].环球法律评论,2021(06):19.
[10]时东,杨晖.征信业个人信息可攜带权保护[J].中国金融,2022(01):94.
〔责任编辑:侯庆海〕