数据可携带权的适用逻辑与规则展开

2024-06-01 02:00张翼菲
时代法学 2024年1期
关键词:控制者个人信息权利

张翼菲

(澳门科技大学法学院,中国 澳门 999078)

随着生产力水平的不断提高,我国从农业经济、工业经济时代迈入数字经济时代,从水网、交通网迈入信息网,生产要素的内容也随之进行了相应更新。2015年,贵阳大数据交易所挂牌运营,2022年进入提升优化阶段。2023年,在国家发改委价格监测中心的指导下,贵阳大数据交易所上线全国首个数据产品交易价格计算器,发布全国首套数据流通交易规则(1)常青.[数实相融算启未来]贵阳大数据交易所:勇闯数据新蓝海构建数据交易新体系[EB/OL].(2023-05-04)[2023-11-15].http://gz.people.com.cn/n2/2023/0504/c407521-40401720.html.。2020年,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》正式公布,提出了土地、劳动力、资本、技术、数据五个要素领域改革的方向。由此,数据首次被纳入生产要素范畴,也是首次作为一种新型生产要素正式出现在官方文件中(2)中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见[J].中华人民共和国国务院公报,2020(11):5-8.。2022年12月2日,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)发布,构建了数据产权、数据流通交易、数据要素收益分配和数据要素治理四个方面的制度框架,总共提出了20条政策举措,其中第10条明确提出培育数据要素流通和交易服务生态(3)中共中央 国务院关于构建数据基础制度 更好发挥数据要素作用的意见[N].人民日报,2022-12-20(001).。由此,数据要素及数据要素流通被置于重要的战略地位。但与此同时,数据在信息时代下也面临着诸多风险,如个人信息泄露、隐私权被侵犯;数据垄断、不正当竞争;甚至还可能对国家安全产生威胁。在当前全球化的竞争中,世界各国都尤为希望占据优势地位,为了更好发挥数据的效用,相应的数据权利应运而生,数据可携带权便是其中典型。欧盟《通用数据保护条例》(General Data Protection Regulation, 以下简称GDPR)、美国《加州消费者隐私法》、我国《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等法律都对数据可携带权作出了相关规定。

目前,学界对于数据可携带权的研究已为该权利进行了基本的画像,对数据可携带权的权利架构和赋权逻辑方面有了基本的认识,但未达成一致的意见。如对于权利属性而言有学者认为数据可携带权主要是具体人格权的体现(4)叶名怡.论个人信息权的基本范畴[J].清华法学,2018(5):143-158.,有学者认为是兼具人格权和财产权双重属性(5)潘香军.《个人信息保护法》背景下数据可携带权探析[J].天水行政学院学报,2022(1):111-116.,有学者认为应先确定数据的权属因其是数据利用和流通的逻辑起点(6)丁道勤.基础数据与增值数据的二元划分[J].财经法学,2017(2):5-10,30.。对于如何将这一权利在我国落地实现的问题,有学者认为,应将“权利化模式”与“行为规制模式”相结合(7)郭江兰.数据可携带权保护范式的分殊与中国方案[J].北方法学,2022(5):81-90.,有学者认为,为了打破大型数字平台的垄断效应,可参照其他国家的做法,建立合作开源的平台以实现数据可携带权设立的初衷(8)汪庆华.数据可携带权的权利结构、法律效果与中国化[J].中国法律评论,2021(3):189-201.。虽说立法层面已经将数据可携带权引入至我国,但在实践中真正实现数据可携带权却依旧存在着相当大的困难,例如规则构建均为原则性规定,不具有可操作性;技术性规定缺乏、义务内容界限不明;监管措施缺位等。尤其是在当前提出数据结构性三权分置的情况下,促进数据要素流通和交易成为当前我国数字经济发展和建设的新展望,数据可携带权在此背景下的意义更为凸显。基于此,本文从解构权利出发,证成权利到实践中适用权利时出现的困境及相对应的解决措施,旨在促进该权利在我国的适用。

一、数据可携带权的权利解构

2016年4月,欧盟GDPR第20条正式将数据可携带权(Right to Data Portability)作为一项独立的数据权利确定下来,规定了具体的权利内涵及要求(9)GDPR第20条:“基于同意或合同约定的情形且通过自动化方式处理数据时,数据主体有权从数据控制者处获取其之前向数据控制者提供的关于自身的个人数据,以一种结构化、通用的和机器可读的数据形式;并且数据主体有权将这些数据传输给另一数据控制者,提供个人数据的控制者不得进行阻碍,提供必要的帮助。”See Article 20 paragraph 1General Data Protection Regulation[EB/OL]. (2016-04-27)[2023-08-16].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1692191337366.。将数据可携带权法律移植到我国之后,具体内容规定在我国《个人信息保护法》第45条第3款(10)《个人信息保护法》第45条第3款:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”。因此就产生了一个问题,数据可携带权(Right to Data Portability)的权利名称中并未含有信息二字,为什么相关条款却规定在我国的《个人信息保护法》中,而不是规定在《中华人民共和国数据安全法》(以下简称《数据安全法》)中;本文先对这个问题从两方面作出简要释明,旨在为后续讨论划定清晰内涵和外延。一方面,阐明信息和数据的概念并说明二者之间是体用关系。另一方面,从我国的立法现状出发,试图分析立法者希冀的对数据可携带权的权利保护偏向在于保护个人信息。

第一,针对数字时代权利话语中隐私、信息与数据的混序现象,有学者认为存在两点原因:一是信息技术发展突破了原先只存在一种隐私及权利保护的秩序;二是数字经济的发展速度远高于数据和信息相关权利的区别揭示及制度建构,换言之,上层建筑暂未适应经济增速(11)申卫星.数字权利体系再造:迈向隐私、信息与数据的差序格局[J].政法论坛,2022(3):89-102.。虽然数据和信息处于混序状态,但还是存在区分的可能和必要。我国现行法关于个人信息和数据的定义,指出了二者的区别所在。《数据安全法》第3条第一次在立法层面上对“数据”作出了较为明确的界定,认为数据是对信息“以电子或其他方式”的记录(12)《数据安全法》第3条:“本法所称数据,是指任何以电子或者其他方式对信息的记录。”。《个人信息保护法》第4条第1款规定个人信息应是“以电子或者其他方式记录的”(13)《个人信息保护法》第4条第1款:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”。由此观之,数据与信息之所以在概念上有部分重合,难以区分,是因为通过的手段均为“电子方式或者其他方式”。申卫星教授以“橘肉和橘皮”的比喻来形容信息和数据之间的关系,认为二者彼此依靠互为依托,但并不因为关系紧密就不作区分,更不意味着完全割裂(14)申卫星.数字权利体系再造:迈向隐私、信息与数据的差序格局[J].政法论坛,2022(3):89-102.。具体而言,数据带有工具性的面向,极具客观性,不以人的意志为转移,是人类发明出来的用以记录事情的符号,表现为0和1二进制数组成的代码符号或序列组合,是一种形式载体(15)陆一敏.数据安全新型法益的建构——基于数据与信息的交互关系[J].苏州大学学报(哲学社会科学版),2023(4):77-87.;而信息是主体对作为符号的数据进行解读后得出的内容,是依附于形式载体上的实质内容。主体差异性之所在,加之采取不同的解释方法,最终解读出来的内容不会完全相同,因而信息的主观性较强。换言之,数据和信息并非一一对应关系(16)周斯佳.个人数据权与个人信息权关系的厘清[J].华东政法大学学报,2020(2):88-97.。区分二者的关键就在于是否存在“读取”的过程(17)梅夏英.信息和数据概念区分的法律意义[J].比较法研究,2020(6):151-162.。因此,借用中国古代哲学的一对重要范畴“体”“用”来形容信息与数据之间的关系,即信息为“体”,数据为“用”,体为根本,用为表象。

第二,数据和信息的权利侧重也并不相同。从我国立法层面来看,《数据安全法》第1条规定的立法目的是“规范数据处理活动”“保障数据安全”“促进数据开发利用”(18)《数据安全法》第1条:“为了规范数据处理活动保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。”。《个人信息保护法》第1条的立法目的为“保护个人信息权益”“规范个人信息处理活动”“促进个人信息合理利用”(19)《个人信息保护法》第1条:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”。立法机关将数据可携带权转化为国内法后置于《个人信息保护法》的规制范围下,体现了对于保护个人信息日渐开放和强化的立场(20)王利明,丁晓东.论《个人信息保护法》的亮点、特色与适用[J].法学家,2021(6):1-16.。换言之,数据的资源稀缺性在于强调发挥数据在内容层面的作用,透过数据能够读取出的有效信息,并非体现在作为一种记录信息的工具的价值,这才是法律对数据进行规制的根本意义所在(21)贾章范.大数据时代背景下数据的法律内涵与基本特征——兼评数据与信息等相关概念的关系[J].数字法治评论,2023(1):62-86.。

(一)数据可携带权的适用主体

第一,权利主体为向数据控制者提供数据的自然人。欧盟GDPR在第1条第1款规定了条例的目的在于确立个人数据处理中的自然人保护(the protection of natural persons)和个人数据自由流通的规范;第1条第2款规定了条例的宗旨在于以保护自然人的基本权利和自由(fundamental rights and freedoms of natural persons),尤其是个人数据保护的权利(22)See Article 1General Data Protection Regulation[EB/OL].(2016-04-27)[2023-08-16].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1692191337366.。《中华人民共和国民法典》(以下简称《民法典》)第2条规定:“民法调整平等主体的自然人、法人和非法人组织之间的人身关系和财产关系。”GDPR第20条中将有关权利主体的部分表述为“数据主体有权从数据控制者处获取其之前向数据控制者提供的关于自身的个人数据”;我国《个人信息保护法》第45条第3款将有关权利主体的部分表述为“个人请求将个人信息转移至其指定的个人信息处理者……”。综上,数据可携带权的权利主体为自然人,而且是只有向数据控制者提供数据的特定自然人。

第二,义务主体为数据控制者。从名称来看“controller”(控制者)一词本就暗含决策地位;另GDPR第4条第7款关于数据控制者的定义中对于其拥有的对于个人数据处理的权利使用了“determine”(决定)一词(23)GDPR第4条第7款:“控制者是指自然人、法人、公权力机关、代理机构或者其他机构单独或者共同决定个人数据处理的目的和方式。”See Article 4 paragraph 7General Data Protection Regulation[EB/OL].(2016-04-27)[2023-08-16].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1692191337366.。由此可知,数据控制者拥有对于个人数据处理的决定权,包括了决定数据处理的原因及依据、决定处理数据的方式等。并非所有处理个人数据的主体都可以称之为数据控制者:一方面,要求义务主体本身处于合法地位,如当数据被某些非法主体如“黑客”控制下时,这些数据控制者并不能成为义务主体;另一方面,保证义务主体的数据控制权利来源合法,需要源于数据主体授权或合同约定。

(二)数据可携带权的权利客体

GDPR第20条关于权利客体内容的表述为,“数据主体有权从数据控制者处获取其之前向数据控制者提供的关于自身的个人数据”。因此数据可携带权的权利主体、义务主体共同指向的对象即为个人数据。GDPR第4条第1款对“个人数据”进行了界定,认为个人数据能够对应到数据主体的身份,具有可识别性是个人数据最主要的特征(24)GDPR第4条第1款规定:“个人数据是指与已识别或可识别的自然人(数据主体)有关的任何信息。可识别的自然人是指可以通过姓名、身份证号、定位信息、网络在线标识等标识符或与该自然人的身体、心理、基因、精神状况、经济、文化或社会身份有关的一个或多个特定因素能够直接或间接对应识别的自然人。”See Article 4 paragraph 1General Data Protection Regulation[EB/OL]. (2016-04-27)[2023-08-16].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1692191337366.。因此,个人数据可携带权的权利客体是可识别的个人数据。

除数据主体主动提供的,称为“原始数据”外,还有两种在原始数据基础之上产生的数据,被称为观测数据和衍生数据。前者是通过设备收集到的,数据主体在使用数据平台的过程中经年累月形成的,如消费历史、搜索记录、社交平台上的聊天记录等;后者是基于前两种数据进行加工分析而形成的,具有附加价值的数据,如购物网站对消费者进行用户画像,金融领域信用风险评估等。欧盟第29条数据保护工作组在《数据可携带权指南》中将观测数据也纳入可携带的范围,将衍生数据排除在数据可携带权客体范畴之外(25)European Commission. Guidelines on the Right to Data Portability[EB/OL]. (2017-04-05)[2023-08-17].https://iapp.org/media/pdf/resource_center/WP29-2017-04-data-portability-guidance.pdf.。“贡献度理论”可以成为上述结论的理论依据,该理论认为对个人信息形成的贡献度可作为衡量是否可携带的标准。简单来说,数据主体最大化的参与度和贡献度决定了原始数据与主体之间有着天然的附随性;对于经过加工处理分析之后的衍生数据,数据控制者的参与度和贡献度使得原始数据具有了附加价值,包含了数据控制者的智力成果,为原始数据注入了新的血液,此时就与控制者之间的联系更为紧密;相应地,观测数据若要归类于可携带权的权利客体范围也要考量数据控制者的贡献程度,如是否仅进行了最基本的存储工作,并没有增加额外的附加价值(26)See Ruth Janal,Data Portability—A Tale of Two Concepts, Journal of Intellectual Property, Information Technology and E-Commerce Law,2017(8),p.61.。我国学者也持相同观点,将权利客体范围限定在原始数据和部分的观测数据,将包含有数据控制者智力成果和创造性工作成果的衍生数据排除(27)文立彬,邹瑛.个人信息转移权客体范围和实现方式的反思与修正[J].重庆邮电大学学报(社会科学版),2023(2):53-62.。

(三)数据可携带权的权利内容

根据GDPR第20条的规定可知,数据可携带权具有两项权利内容:一是副本获取权,或称数据接收权;二是数据转移权。副本获取权指的是数据主体有权获取其之前向数据控制者提供并存储于数据控制者处的关于其自身的数据。该项权利的权能只限于获取数据副本,并不当然使得原数据控制者处的数据随之消失,数据仍然存储在控制者处。具体表现在GDPR要求数据可携带权的行使不得阻碍被遗忘权的行使,以及《个人信息保护法》第47条另行规定了请求删除权。由此可见,虽然数据可携带权的理论基础之一是信息自决权,但也并非完全的自决,而仅仅是部分的控制权(28)李婕.个人信息可携带权的权利属性及实现路径[J].东北师大学报(哲学社会科学版),2023(1):112-120,131.。具言之,触发可携带权的法律效果并不能帮助数据主体当即获得完整的对于个人数据的所有权权能,因而需要另外的权利行使来补足这一缺位,如行使被遗忘权或是请求删除权,法效果体现为在数据控制者处的数据得到删除后数据主体即获得完整的自决权。另外,数据主体在行使可携带权的过程中往往处于弱势地位,面对处于强势地位的数据控制者,法律虽然赋予了数据主体行使可携带权的权利主体地位,但是依旧会因义务主体怠于或不履行义务而产生权利实现的不圆满性。数据转移权,指的是数据主体自由地将前述获取的数据转移传输给其他控制者,不受原数据控制者的妨碍,或者在技术可行的前提下,请求数据控制者直接将数据转移到另一控制者处,而不需要副本获取权的行使(29)刘辉.个人数据携带权与企业数据获取“三重授权原则”的冲突与调适[J].政治与法律,2022(7):114-131.。

(四)个人数据可携带权的行权条件

GDPR第20条规定,“……数据格式应为结构化、通用的且机器可读的……该权利行使基于数据主体同意或者是合同约定;权利行使的过程是以自动化方式;技术可行条件下,在控制者之间直接进行传输。”据此,行权条件可分为如下要点:

第一,数据格式的特别要求。对于数据格式的统一要求,可理解为不得受原数据控制者阻碍的具体表现,保证了携带的数据能够在其他数据控制者处正常接收处理,而无不兼容等问题出现。第二,数据处理过程采取自动化方式,因此大多数纸质文件被排除在外。第三,提供个人数据的前提是基于数据主体授权同意或者为履行与数据控制者签订的合同所必需(30)蔡培如.个人信息可携带权的规范释义及制度构建[J].交大法学,2023(2):59-73.。GDPR第7条对同意的条件作出规定(31)GDPR第7条规定:“获得数据主体同意的举证责任由数据控制者承担;如数据主体表示同意是在同时涉及其他事项的书面声明中作出,则应使用清晰明了的语言,以易于理解和使用的形式,将同意请求与其他事项明确区分开来;数据主体有权在任何时候撤回其同意;在评估时应尽可能考虑数据主体的同意是否基于自由意志作出,数据处理行为超过了履行合同所必需。”See Article 7 General Data Protection Regulation[EB/OL]. (2016-04-27)[2023-08-16].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1692191337366.。无论是数据主体授权还是基于合同义务行使权利,均将数据主体的意愿置于优先地位。在各国关于个人数据保护的立法中,知情同意原则均有所体现,知情同意的内容即为与收集、处理、使用个人数据相关的一切问题,如是否对个人数据采取一系列操作,以及处理到何种程度等。另外,基于数据主体与数据控制者之间达成的协议,为了履行合同义务,实现合同目的,数据主体也可行使可携带权。第四,直接传输数据的条件:技术可行。一方面,GDPR相关规定对数据控制者提供技术支持只是倡导性要求,而非强制要求。这就导致权利目的可能无法得到实现,如数据控制者以缺乏互通性技术为由不履行转移数据的义务。另一方面,GDPR并没有阐明技术可行的标准,大型数据控制者和中小企业之间的客观技术差距使得权利落地存在困难(32)文立彬,邹瑛.个人信息转移权客体范围和实现方式的反思与修正[J].重庆邮电大学学报(社会科学版),2023(2):53-62.。

二、数据可携带权的证成和欧美赋权模式

证成一种权利的前提首先要明确权利是什么。对于“权利是什么”这个问题,以约瑟夫·拉兹为代表的利益论学者给出了其观点,拉兹认为个人的利益是他人负有义务的充分理由,那么个人在该利益上即享有某项权利(33)See Joseph Raz,The Morality of Freedom, Oxford: Clarendon Press, 1986, p.167.。上述定义的关键在于将权利的核心认为是个人利益。而对于权利如何证成,分为两个层面:第一层面即为概念层次,个人利益可以实现对权利的初步证成(34)段卫利.新兴权利的证成标准分析——以被遗忘权为例[J].河南大学学报(社会科学版),2022(4):45-51.。第二层面在于对权利的保护,认可一项权利的存在,即意味着认可权利背后的特定价值。当个别权利蕴含着的力量聚合起来之后,便可促进良善社会的可持续发展,即共同善蕴含于权利之中,这便是共同善的内涵。拉兹认为,除去服务于个体利益之外,权利的真正价值在于对共同体文化的贡献,共同体成员因此受益。通过权利享有者的权利得到实现来达到维护其他人利益的真正目的(35)[以色列]约瑟夫·拉兹.公共领域中的伦理学[M].葛四友,译.南京:江苏人民出版社,2013:60.。从利己性出发最终指向利他性,才能使权利内涵更为充分,权利更具正当性。因此,对于数据可携带权的证成将按照上述两个方面展开。

(一) 个人利益层面:个人信息自决权

个人信息自决权肇始于德国,但并没有在德国基本法中明确规定。1983年12月15日,德国联邦宪法法院对“人口普查案”所作的判决,“个人信息自决权”首次在法律层面确立。数据可携带权的发展理念正是来源于个人信息自决权,是个人自主权在个人控制数据场景下的体现。德国联邦宪法法院对该权利的推导过程完美演绎了法律的逻辑之美:首先强调个人的价值和尊严是基本法的核心,个人的价值和尊严又主要体现在个人拥有自主决定权;那么在当前大数据时代的背景下,自主决定权的内涵也应当随之进行扩展,包括任何人可自由决定有关自身的信息的处分与利用问题(36)赵宏.信息自决权在我国的保护现状及其立法趋势前瞻[J].中国法律评论,2017(1):147-161.。

(二)促进良善社会的发展

数据可携带权作为一种新型权利,自身带有共同善的特点,通过为共同善提供服务而证成其自身,权利和共同善互为表里,互相辅助(37)段卫利.新兴权利的证成标准分析——以被遗忘权为例[J].河南大学学报(社会科学版),2022(4):45-51.。一方面,权利是自由的一种形态,是在特定社会制度中被认可的自由。数据可携带权赋予了数据主体一定的自由,即数据主体可获取其先前提供给数据控制者的数据,并将这些个人数据转移到另一控制者处的权利,实际上就是对于数据主体处分自己数据的权利的保障,尊重了数据主体的信息自决权(38)朱振.权利与自主性——探寻权利优先性的一种道德基础[J].华东政法大学学报,2016(3):26-35.。另一方面,数据可携带权的实现有利于创造一种更为良善的社会运行秩序,是共同体成员之所需。除了保证数据主体处分个人数据的权利之外,还大大降低了数据垄断的可能性,将数据作为生产要素的价值发挥到极致,促进行业创新和自由发展,以及促进数据的自由流通和交易(39)潘香军.《个人信息保护法》背景下数据可携带权探析[J].天水行政学院学报,2022(1):111-116.。数据可携带权的价值绝不仅仅是控制数据,而是让数据流动起来,发挥数据的倍增效应,潜藏的更为巨大的商业价值在于数据的流转与共享过程中产生的红利(40)康兰平,程文文.数据可携带权在欧美法律实践上的权利要旨对我国个人信息权益保护的借鉴[J].电子知识产权,2022(3):65-77.。因此,数据可携带权从应然权利向法定权利的转化,再从法定权利向实然权利的迈进,既体现了保障个人信息自决的权利,又促进了社会的数据共享,体现了共同善的内在需求,对保证整个社会的正常运转具有积极的现实意义。

(三)域外模式的有益参考

从理论基础上证成权利后,已有的域外数据可携带权的经验模式同样可为我国提供一些借鉴之处,主要以欧盟和美国为例。

欧盟数据可携带权是以人本主义为核心,以个人发起的数据迁移激发企业间竞争的活力(41)文立彬,邹瑛.个人信息转移权客体范围和实现方式的反思与修正[J].重庆邮电大学学报(社会科学版),2023(2):53-62.。如前所述,GDPR第20条对于数据可携带权的规定,向数据控制者提出了“不得阻碍”“技术可行”的要求;对于数据格式提出了“结构化的”“通用的”“机器可读的”要求;对于权利正当性基础在于数据主体同意或者履行与数据控制者签订的合同;对于权利行使限制体现在不得妨碍被遗忘权行使、不得妨碍公共利益、不得影响他人权利或自由以及数据控制者依据官方命令对数据采取的必要处理行为。GDPR在权利构建方面相对更为完善,我国在后续补充构建数据可携带权的制度时可予以参考(42)卓力雄.数据携带权:基本概念,问题与中国应对[J].行政法学研究,2019(6):129-144.。GDPR的数据可携带权制度示范效应向世界范围内辐射,在其施行后,巴西、美国、澳大利亚、新加坡等国家都相继确立了可携带权(43)杜小奇.个人信息可携带权的立法检视与适用展开[J].河北法学,2022(6):167-184.。

相较于欧盟着眼于个人信息自主权的优先保护,美国的数据可携带权模式是以企业为主导,更多关注如何最大化利用数据的经济价值。监管主要依靠行业自律,政府充当“守夜人”的角色,而非施以“看得见的手”进行外部干预(44)化国宇,杨晨书.数据可携带权的发展困境及本土化研究[J].图书馆建设,2021(4):113-122.。美国的国体为联邦制,加之各州对于数据治理理念差异较大,以及在自由主义市场经济条件下数据头部企业的话语权过大,美国并未在国家层面形成统一的数据保护法案。适用数据可携带权主要集中在金融信息、医疗健康信息等敏感信息领域,如《多德——弗兰克法》《健康保险便携性和责任法》。除此之外,州立法中最具代表性的为《加州消费者隐私法》(California Consumer Privacy Act, CCPA),第1798条100(d)项规定了“用户的访问及可携带权”(45)吴沈括,孟洁,薛颖,赵小琳,译.美国《2018年加州消费者隐私法案》中文译本[EB/OL].(2018-07-10)[2023-08-16].https://www.secrss.com/articles/3836.。CCPA的起源是由美国企业发起的DTP(Data Transfer Project)项目,致力于构建起一种数据可移植平台,旨在增加数据转移的可操作性。DTP项目的初衷看到了数据流动对于促进经济发展的重要性,因而对我国极具参考价值。但加入该项目共享平台的技术要求较高,不具备技术条件的中小企业会被排除在外(46)文立彬,邹瑛.个人信息转移权客体范围和实现方式的反思与修正[J].重庆邮电大学学报(社会科学版),2023(2):53-62.。

GDPR一经面世,就被称为史上最严格的数据保护法案,体现了欧盟崇尚人格尊严的立法理念。首创数据可携带权这一权利概念,是以向数据主体赋权增能为核心,以个人发起的数据迁移激发企业间良性竞争的活力。与欧盟不同,美国采取的自由主义的市场经济模式,强调的是自由发展。因此,美国对于数据可携带权的规制方向是主要以市场为主导,依靠市场主体自身来进行行业自律和监管,政府充当“看门人”的角色,并不作过分干预,赋予企业更多自主权。不过,欧盟和美国对于数据可携带权权利保护时的侧重和权利实施时的侧重相同,即均出于个人数据保护和竞争法的角度。

三、数据可携带权适用的困境检视

在对数据可携带权进行权利解构以及权利证成之后,当前从理论到实践中的适用还是有很大的挑战,表现在权利属性不明、义务内容边界不清以及侵犯第三方权益,包括侵犯个人信息安全与负面激励市场竞争。

(一) 数据可携带权的权利属性不明

数据可携带权作为数据权利的下位概念,权利定位随数据的权利定位明确而明确。目前学界对于数据的法律属性看法不一,大致可分为关于数据的人格权属性和财产权属性讨论。

1.“人格权说”

数据是否具有人格权属性的讨论主要落脚点在数据的内容层面,即通过解读数据后传递出来的个人信息。王利明教授认为个人信息是一种具有可识别个人身份、反映个体特征的符号系统,包括关于个人生活方方面面的信息。从这个意义上来说,个人信息和人格密切相关,只要承认个人信息是一种民事权利,那么个人信息权应为一种人格权(47)王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(4):62-72.。但同时因个人信息权具有丰富具体的内涵,以传统一般人格权的方式予以救济已无法满足个人信息权的特性及发展需求,所以唯有独立人格权说最能完全体现个人信息权的内在属性。在此学说下,个人信息权既具有传统人格权的消极抵御的面向,又具有积极控制的面向。具体而言,消极防御面向主要体现在《民法典》第959条规定了传统人格权受到侵害之后,受害人可以行使的请求权内容,包括停止侵害、排除妨碍、消除危险等(48)《中华人民共和国民法典》第959条:“人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权,不适用诉讼时效的规定。”;积极控制面向主要体现在可以直接控制个人信息,具有人格权商品化的特征(49)张里安,韩旭至.大数据时代下个人信息权的私法属性[J].法学论坛,2016(3):119-129.。

2.“财产权说”

区别于传统的生产要素,数据具有可复制性能被无限重复收集但又无实质损耗。数据具有非独占性、非排他性和非竞争性等特性(50)程啸.论大数据时代的个人数据权利[J].中国社会科学,2018(3):102-122,207-208.,致使不宜将数据纳入传统的物权客体范畴。另外,将这些特性放在当下建立数据共通的时代场景,数据要素一旦形成,就可被多个使用者同时利用,新增使用者利用数据不仅不会造成边际成本的增加,反而使边际成本为零。因此,在数据的使用频率增加后,数据的价值会在不断投入使用的过程中得到充分释放,甚至得以成倍增长。作为无形资产数据虽难以触摸,但在价值上已远超有形资产(51)邵春堡.数字经济价值的源头活水[J/OL].(2021-10-25)[2023-08-17].http://jer.whu.edu.cn/jjgc/11/2021-10-25/5327.html.。在经济发展过程中,投入数据要素能促进产品和服务的更新换代,通过对于大量的数据进行加工处理后,形成“用户画像”,进行个性化定制,将产品与用户需求精准匹配,以期创造更大的经济价值,实现创新发展(52)杨东,李佩徽.畅通数据开放共享促进共同富裕路径研究[J].法治社会,2022(3):22-32.。

(二) 义务内容边界不明

脱离了义务权利只是徒有其表,脱离了权利义务也没有任何存在的必要。数据主体的权利实现程度取决于数据控制者作为义务主体履行义务的程度。《个人信息保护法》中的数据可携带权条款将义务主体的义务内容表述为“应当提供转移的途径”,2021年11月14日《网络数据安全管理条例(征求意见稿)》第24条也仅是规定当满足特定条件的个人信息转移的请求时,数据处理者应当提供转移服务(53)参见国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知.[EB/OL].(2021-11-14)[2023-11-01].http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm?eqid=d0741a2800026dd600000006643e4b55.。从解释论的角度来说,“应当提供转移的途径”内涵非常广泛:提供什么样的途径?积极作为的义务需要完成到什么程度?还是不作为不阻碍就意味着完成了义务的消极态度?除此之外,“互操作性标准”以及统一的数据格式规定也只相当于原则的效力,仍需进一步的细化的规则标准来指导权利的落地实施。该权利中需要数据控制者承担的义务已经远超于一般权利所对应的义务内容,无形之中为数据控制者提出了更高的要求(54)丁晓东.论数据携带权的属性、影响与中国应用[J].法商研究,2020(1):73-86.。例如,数据控制者要保证数据传输过程中的数据安全、不得进行数据垄断、进行技术支持等义务(55)郭江兰.数据可携带权保护范式的分殊与中国方案[J].北方法学,2022(5):81-90.。与之相对应的数据主体向义务主体提出请求,不需要额外满足其他的条件便可将可携权启动。因此,当立法层面上的规定较为宽泛时,只能倒逼义务主体在实践中尽可能完全履行义务来实现权利目的。

(三) 侵犯第三方权益

虽然数据可携带权的出发点是保护数据主体个人的数据,但是有些数据还是会不可避免地关涉第三方。另外参考前述欧盟和美国的赋权侧重,在不同场景下,数据可携带权的行使还会侵犯第三人的信息权益以及对市场竞争有负面影响。

1. 第三人的信息安全和隐私权受到威胁

数据主体在向数据控制者提出请求转移涉他数据时,如在社交媒体平台上传多人合照、聊天记录、联系人列表等,未经过第三方主体的同意,极有可能会侵犯他人的个人信息权益或隐私权。虽然第三方同意数据主体将涉己数据上传至平台,由最初数据控制者处控制,但是并不等于在数据主体提出转移请求时,第三方主体的最初授权内容也当然延续至数据携带的环节(56)杜小奇.个人信息可携带权的立法检视与适用展开[J].河北法学,2022(6):167-184.。更有甚者,当数据可以被携带时,一个人全部的数据都可能会被一次性获取,如果用户身份被盗用,那么处于动态过程中的数据的安全性就会面临成倍增长的风险。此时“不受阻碍”的技术要求就成为了双刃剑,转而为黑客提供了极大的便利(57)丁晓东.论数据携带权的属性、影响与中国应用[J].法商研究,2020(1):73-86.。

2. 企业面临不正当竞争的风险

一方面,数据可携带权为数据的迁移提供了便利,迁移的数据本身在内容层面上的解读还有可能会涉及知识产权或商业秘密的内容,如用户的消费习惯分析、基于分析之后的精准匹配偏好产品设计、企业制定的发展战略等数据。这些衍生数据源于数据主体提供的个人数据,经过加工处理之后被赋予了经济价值,成为原数据控制者的知识产权或商业秘密,即使这些数据经过技术手段被拆分后流转,但也不排除能够通过技术手段将数据恢复的可能(58)文立彬,邹瑛.个人信息转移权客体范围和实现方式的反思与修正[J].重庆邮电大学学报(社会科学版),2023(2):53-62.。以淘宝(中国)软件有限公司诉安徽美景信息科技有限公司商业贿赂不正当竞争纠纷案为例,法院认为美景公司未付出自己的劳动创造,将“生意参谋”数据产品直接使用,作为获取商业利益的工具,是为了提供同质化存在竞争关系的的网络服务。此种拿来主义行为,明显悖于公认的商业道德,属于不劳而获“搭便车”的不正当竞争行为(59)参见浙江省杭州市中级人民法院(2018)浙01民终7312号民事判决书。。本案中的“生意参谋”数据已然成为一种数据产品,是与用户提供的原始数据已无直接对应关系的衍生数据。这种数据经过了算法过滤,形成数据分析,适应市场用户需求,开发公司投入了大量的智力劳动成果,应当认定数据控制者对其享有独立的财产性权益。

另一方面,数据可携带权可能会对市场良性竞争的负面影响。从个人角度来说,当个人数据泄露风险增高时,通常情况下人们更倾向于去选择在市场中具有一定地位的大型企业平台作为数据控制者,加之个人的使用习惯难以改变,形成路径依赖,即使这些大型企业平台层出不穷地出现泄露数据的丑闻,如“剑桥分析案”(60)Mu Xuequan.Facebook, Cambridge Analytica face rising pressure amid data breach,China-Europe Xinhua News [N/OL]. (2018-03-22)[2023-10-15].http://www.xinhuanet.com/english/2018-03/22/c_137058061.htm.,个人也不会去选择没有丑闻但是名不见经传的中小企业作为替代。与大企业相比,第一中小型企业没有市场支配力;第二中小型企业的合规成本较高(61)See Peter Swire, Yianni Lagos, Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique, Maryland law review, 2013, 72(2), p.352.。同样,从企业角度来说,商业利益驱使下,企业封闭的生态更容易形成,“数据孤岛”更为明显,积累了大量且不在市场中流通的数据,就能更精准地针对用户展开业务,获得竞争优势。“马太效应”由此而生。头部企业依旧占据着市场支配地位,甚至还在进一步扩大市场份额,中小企业本就不多的市场份额被蚕食得所剩无几,强化“数据壁垒”,加剧了市场中的不正当竞争,与数据可携带权设立的初衷背道而驰。

四、数据可携带权的适用规则展开

我国虽然在《个人信息保护法》中确立了数据可携带权的概念,但其适用条件限定在“符合国家网信部门规定条件”的情形,这意味着我国的可携带权制度构造仍有很大空间。结合《数据二十条》的理念,对数据可携带权可作为数据三权分置环节的一环进行简要阐明后,提出从权利属性定位、明晰义务内容边界以及在场景化下对于侵犯不同第三方权益的调整规则予以考量。《数据二十条》强化了数据的战略地位,提出了构建数据产权结构性分置制度的崭新理念,从两权分置到三权分置,呈现了一种弱化所有权,强化数据使用权和交易过程的趋势(62)李宗录,李雨桐.数据产权“三权分置”的私法逻辑[J].行政与法,2023(8):104-114.。更主要的目的是在于数据的结构性三权分置要鼓励引导数据要素积极流通、活跃数据交易市场,即“促进数据使用权交换和市场化流通”。(63)申卫星.论数据产权制度的层级性:“三三制”数据确权法[J].中国法学,2023(4):26-48.提出数据结构性三权分置为了促进数据要素更好流通,数据可携带权的立法目的中非常重要的面向是破除数据壁垒,促进数据流通,从某种意义上来说,数据可携带权可以作为实现三权分置的目标之一,又可作为实现目标的路径。因此,数据可携带权可以作为中间环节与三权相嵌套,但是囿于本文篇幅限制和讨论重点不在此,所以本文并不作过多论证。

(一)数据可携带权的权利属性定位

前文对于数据的权利属性主要的学说进行了简要说明,这部分将对数据可携带权的属性进行论证。可以肯定的是,数据可携带权是一种新型的复合型权利,兼具多种权利属性,糅合了人格权和财产权的相关内容(64)潘香军.《个人信息保护法》背景下数据可携带权探析[J].天水行政学院学报,2022(1):111-116.。

首先,数据可携带权具有人格权属性。从权利名称的组成来看,“数据”和“可携带”是权利的构成要素。“数据”不是普通的数据,而是个人提供的与自身密切相关的数据。“可携带”主要强调的内容是数据主体对于具有人身属性的数据进行“获取”与“传输”。二者均具有抽象人格权属性,结合起来之后,数据可携带权所要保护的法益并不能被涵盖在传统意义上任何一种如姓名权、名誉权等具体人格权所要保护的法益内,已然成为一种新型的独立的特殊人格权。随着时代的发展,人格权的内容也随之扩张,个人身份投射在数字环境中是通过个人数据实现可视化,而作为可视化载体的个人数据又具有多元的人格利益属性需要保护(65)李蕾.数据可携带权:结构、归类与属性[J].中国科技论坛,2018(6):143-150.。

其次,数据可携带权具有财产权属性。从携带数据这个民事法律行为出发,能够产生财产权属性不外乎两点:第一,携带的数据本身即具有财产利益;第二,携带数据这一行为能够产生财产利益。学界现在对数据财产化问题的讨论,可以作为这里观点的佐证。数据赋权的合理性源于两方面:数据的生产要素属性和数据主体的产权诉求(66)吴汉东.数据财产赋权的立法选择[J].法律科学(西北政法大学学报),2023(4):44-57.。讨论产权制度的目的,是为了创制一种更好的激励模式,让投入成本的人享有权利,排除在市场活动中不正当的“搭便车问题”(67)搭便车者(free rider)是得到一种物品的利益但避免为此付费的人。参见[美]曼昆.经济学基础第6版[M].梁小民,等译.北京:北京大学出版社,2014:187.,而搭便车行为的产生很大程度上正是因为缺乏产权界定或与产权配置的无效率有关。一方面,单个主体所带来的数据价值微乎其微,但是拥有海量数据的数据平台就拥有明显的财产价值优势;另一方面,携带数据行为的前提是数据主体对个人数据享有控制权,而这种控制权又使数据主体在数据控制者面前拥有了一定的“议价能力”,又从另一角度解释了数据具有财产价值(68)卓力雄.数据携带权:基本概念,问题与中国应对[J].行政法学研究,2019(6):129-144.。有学者认为数据可携带权只有依附于信息主体才会产生经济价值,因此认为其主要体现的是人格特征,故将其界定为人格权(69)叶名怡.论个人信息权的基本范畴[J].清华法学,2018(5):143-158.。本文认为,数据可携带权虽然兼具人格权和财产权属性,但它并不属于传统典型意义上的人格权和财产权,故将数据可携带权认为是一种新型的复合型权利。

(二)制定标准破解技术难题以及明晰义务内容边界

在数据控制者之间进行数据迁移时,数据控制者不得阻碍,最为关键的要求是在控制者之间形成“可互操作性标准”。但现有相关法律规范均只是将权利义务在法律层面确立,并没有更进一步的具体操作细则。数据格式统一是可互操作性标准的准入门槛,即便不存在数据可携带权的讨论,要想实现最基本的查阅和复制,以及更进一步实现数据的交易流通,相同数据能被不同平台进行识别就是必要条件。

GDPR对此问题给出的表述为“结构化、通用的且机器可读的”,并没有继续进一步具体给出细化标准。同样,我国也缺乏相应的细化技术规定。为了发挥数据可携带权的工具性权利,应当遵循的基本原则不应过于复杂,最低要求为系统可以兼容的即可(70)崔聪聪,刘传新.数据可携带权的法理逻辑和制度构建[J].重庆邮电大学学报(社会科学版),2022(6):64-72.。国务院2023年度立法规划已经将《网络数据安全管理条例》(国家网信办组织起草)纳入拟审议的行政法规草案中(71)国务院办公厅关于印发国务院2023年度立法工作计划的通知[J].中华人民共和国国务院公报,2023(17):7-12.。更高标准可根据不同场景不同行业对于数据分级的不同需求,制定相应的国家标准和行业标准,对于更为关键核心的企业可自行制定企业标准。技术规范往往不是一成不变的,而是随着社会变迁,技术规范内涵也在不断变化。因此应秉持类型化的逻辑,界限区分不必太过严格,在划定标准时保留一定的自由度。同时应当遵循利益衡量理论,不得将过重的义务全部加于数据控制者,做好数据控制者的角色区分,传输前的身份认证义务、满足条件后的数据传输义务、传输数据过程中的安全保障义务等。数据主体也应当对于数据接收方尽到审慎的审查义务,评估相关风险,为数据控制者减轻一些义务。

(三)场景化下对侵犯不同第三方权益的调整规则

个人数据利用并非局限于单一固定的模式和场景,而是呈现多元化,如医疗场景、金融场景、零售场景、电商场景、交通场景、教育场景等等。上述场景化的应用同样呼唤场景化理论的规制。“场景公正理论”是由海伦·尼森鲍姆教授在讨论隐私信息保护时提出的,他将场景主要分为四类,分别是:技术平台或系统场景、部门或行业场景、商业模式或实践场景以及社会场景。该理论的核心在于不同场景中隐私保护的边界并非固定,规则制定遵循动态平衡原则,以期更好地保护隐私信息(72)孙玉荣,卢润佳.“场景完整性理论”的应用检视和功能再造——以个人信息保护司法裁判为视角[J].北京联合大学学报(人文社会科学版),2022(3):70-79.。另外,尼森鲍姆教授认为隐私是适当的数据流通,而不是单纯地控制(73)See Helen Nissenbaum,Respecting Context to Protect Privacy: Why Meaning Matters, Science and engineering ethics,2018, 24(3), p.839.。“场景”一词既将实践中的具体事实进行适度抽象概括,又代表了认可标准的多元化。“场景正义”意味着信息保护与信息流动在特定的情景中应当符合各方的预期(74)邢会强.人脸识别的法律规制[J].比较法研究,2020(5):51-63.。在隐私保护中出现的理论和概念,对于数据可携带权的适用具有非常重要的借鉴意义,秉持“流动”的基本理念,数据控制权与数据流动达到利益平衡,符合各方预期。

1. 多重身份认证与强化知情同意原则

在可携带过程的开始环节,数据控制者应当对申请数据迁移的用户进行多重认证,不仅包括简明的个人基本信息,甚至还应包括动态密码、密保问题抑或是在初次进入数据控制者处所预先留存的具有明显个人特征的生物识别信息,力求从权利行使之初确保提出携带数据请求的主体身份合法,不会出现身份盗用、黑客窃取数据等严重的网络安全问题。一旦经过身份验证,就可以通过加密的应用编程端口(Application Programming Interface, API)(75)API:(1)应用程序接口application program interface的缩写; (2)应用程序设计接口application programming interface的缩写。参见白英彩等. 英汉计算机技术大辞典[M]. 上海市: 上海交通大学出版社, 2001: 80.Application Program Interface和Application Programming Interface,均指应用程式介面:指应用程式可藉以存取作业系统及其他服务的介面。参见杨维桢等.资讯与通信术语辞典(上册)[M].中国台北市:国立编译馆,2003:87-88.传输给接收方。

除此之外,公民的权利和自由并不是无限的,而是要受到一定的制约(76)《中华人民共和国宪法》第51条规定:“中华人民共和国公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。”。如果要转移的数据是由多方主体提供时,则数据控制者应当获得所有相关方的同意(77)Information Commissioner’s Office.Right to Data Portability[EB/OL]. [2023-08-17]. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/individual-rights/right-to-data-portability/.。同时,可给予第三方主体一定程度的撤销权,如果出现基于不真实的意思表示或者重大误解等可类推适用合同无效的情形时,第三人可以主张撤销前授权同意,涉己数据恢复到初始状态。此种做法适用于涉他数据的主体数量较少时,但在涉他数据主体数量达到一定规模时,得到全部数据相关方的同意会对数据控制者苛以重担,数据迁移的难度也随之增加。摆脱上述困境的关键可从香农对于信息的定义出发,解决方法即蕴藏在作为起点的定义之中。香农认为,信息就是被用来消除不确定性,信息熵是不确定性的度量(78)See Claude E. Shannon, A Mathematical Theory of Communication, Bell System Technical Journal, 1948,27(3), p.407.。将逻辑推导方向逆转,信息既然是消除不确定性,增强与主体之间的联系,那么降低信息与主体之间的联系增加不确定性,便可为保护主体身份不被识别具有积极意义,如匿名化、数据脱敏等方式,均是增加信息与主体之间不确定性的体现。因此,在迁移涉他数据时,数据控制者首先应获得第三方主体的同意,其次在无法获得全部第三方主体的授权同意时,应在技术层面对其中有关他人的信息进行剔除或匿名化处理后再进行传输,就可有效降低侵犯第三人权益的风险(79)杜小奇.个人信息可携带权的立法检视与适用展开[J].河北法学,2022(6):167-184.。

2.行业区分数据分级下进行数据流通

美国学者Peter Swire提出了一个名为PORT-IA(Impact Assess)的框架,从隐私、竞争、网络安全和其他考量角度对于数据可携带权这一法律概念和权利实现进程中会出现的风险及收益进行了影响评估。概观PORT-IA,内含了数据流的来源、终点、覆盖了何种数据、以及适用的法律和要求。Swire教授尤其强调了在分析隐私和安全风险时,最为重要的就是清晰映射数据流向(80)See Peter Swire, The Portability and other Required Transfers Impact Assessment (Port-Ia): Assessing Competition, Privacy, Cybersecurity, and other Considerations, Georgetown Law Technology Review, 2022(6), p.91.。在数据流通过程中,明确数据流的方向,从起点到终点,以及中间的流转环节,建立一套系统评价体系,对我国来说也十分必要。《数据二十条》在第8条“完善数据全流程合规与监管规则体系”中提出,对于数据要进行分级分类授权使用规范。循此,可以建立类似于金融行业中的网络分层安全架构,对于风险等级较高的,可能涉及知识产权和商业秘密的数据应进行更严格的保护。不仅数据要分级,数据流向也要分级。对于大企业和中小企业之间的数据流通阻碍,也可依此原则在政府指导下,进行不同层级企业内部的规则构建。可将整体实力相近的企业分类为同一层级,避免因数据接收方和数据传输方因差距过大而加重中小企业的合规负担,也避免造成头部企业的资源浪费(81)化国宇,杨晨书.数据可携带权的发展困境及本土化研究[J].图书馆建设,2021(4):113-122.。在大企业和大企业之间,中小企业和中小企业之间作第一步的数据流通,这样做的优势在于中小企业不会因为传输方与接收方因综合实力差距过大,而付出额外的成本以及承担未来可能会被吞并的风险。而后,在中小企业之间形成行业规则与惯例,中小企业之间可以进行资源整合,以此来获得与大企业平等对话的现实条件,试图打破与大企业之间的数据流通障碍,以此来尽可能促成设立数据可携带权助于市场公平竞争的初衷。

3. 横向和纵向结合的综合监管体系

参照前述提到的国家标准、行业标准和企业标准,对应到监管层面,也可照此在国家层面上设立统一的数据监管部门,对于基本层面的个人数据从最高层面进行监管。这并非违反了比例原则,反而认识到了事物发展的本质,对于最基本的内容给予最高标准的保护,随之由基本事物发展而来的产物就会因为正本清源,而具有合理合法的属性。

行业内部设立分领域分敏感级的数据监管行业协会,作为行业自律的分支,可划归统一的数据监管部门领导。行业内部监管协会的标准应高于国家所制定的最基本的监管规则。可参照美国对于重点领域,如金融信用领域、健康信息领域进行严于国家标准的行业标准制定。同时,加入到行业领域内的数据控制者,要自觉作为监督数据可携带权行使的“看门人”角色。此举之意在于将数据控制者纳入监管者体系,赋予其迁移数据义务的同时也赋予其监管的权利,最了解行业规则的往往是行业中的参与者。行业内部可确立“看门人”的轮换机制,制定一定的程序来实现监管角色流动担任的目标,达到内部自律的效果。行业内部监管和国家设立统一的监管部门,是横向自律和纵向他律相结合,能为数据可携带权的行使提供保障。

五、结语

在数字经济时代,达到数据控制与数据流通之间的平衡并非易事,数据可携带权的出现,一方面保障了个人数据控制权,另一方面旨在突破数据壁垒促进数据流通。但是这种新型权利的设想目前无法在实践中获得完整呈现,具体体现在权利体系构建亟待完善,侵犯第三方权益的现象时有发生。现有针对数据可携带权的研究主要集中在权利属性确认、限定客体范围等方面。基于上述考虑,本文从数据可携带权的权利结构和权利证成入手,论证数据可携带权普遍适用的意义与可能性,进而分析现今我国在适用数据可携带权时出现的困境,基于流通不同环节提出的更具有针对性的解决方案,以期为数据可携带权在适用路径上提供一些粗浅见解,抛砖引玉。

猜你喜欢
控制者个人信息权利
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
我们的权利
从“控制者”变身“隐形人”
警惕个人信息泄露
论人工智能的刑事责任能力与追究
浅谈中小学财务人员角色转换的紧迫性
数据控制者的权利与限制
论不存在做错事的权利
权利套装