查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《河北法学》
数据可携权的欧美法律实践及本土化制度设计
【英文标题】 European Union and American Legal Practice of the Right to Data Portability and its Localization System Design
【作者】 付新华【作者单位】 吉林大学法学院法学理论专业{博士研究生}
【分类】 法理学
【中文关键词】 数据可携权;数据可携;GDPR;本土化;个人信息权
【英文关键词】 right to data portability; data portability; GDPR; localization; personal information rights
【文章编码】 1002-3933(2019)08-0157-12【文献标识码】 A
【期刊年份】 2019年【期号】 8
【页码】 157
【摘要】

数据可携权是欧盟GDPR创设的一项新兴数据权利,旨在增强个人数据控制权,促进个人数据的自由流动和企业的创新与竞争。美国对数据可携权持较为审慎的立场,主要依靠企业的行业自律和自主探索。我国有数据可携权本土化的必要性和可行性。数据可携权本土化面临的障碍,可通过一定的法律适用调整进行化解。数据可携权属于人格权的范畴,是个人信息权的子权利。我国应结合公民的需求和经济发展的需要,适当借鉴欧美的相关立法和司法经验,对数据可携权进行本土化的制度设计。

【英文摘要】

Right to data portability is a new data right created by GDPR of the European Union, which aims to enhance the control of personal data and the innovation and competition of enterprises. The United States takes a cautious stance on data portability, mainly relying on industry self-discipline and independent exploration. China has the necessity and feasibility of localization of right to data portability. The obstacles to the localization can be resolved through certain legal application adjustments. The right to data portability belongs to the category of personality right, the sub-right of personal information rights. China should combine the needs of citizens and economic development, appropriately draw on the relevant legislative and judicial experience of European Union and the United States to design a localized system for the right to data portability.

【全文】法宝引证码CLI.A.1271037    
  
  

欧盟《一般数据保护条例》(2016/679)(本文简称“GDPR”)第20条创设了一项新的数据权利——数据可携权(Right to data portability),目的是增强大数据时代公民的个人数据控制权,促进个人数据的自由流动和企业的创新与竞争{1}。数据可携权提出以来,国外学者从不同角度对数据可携权进行了较为深入的研讨,有从法律适用角度的剖析,有从GDPR与竞争法比较角度进行的探讨,还有从隐私和竞争角度进行的批判等。与国外较为详实的研究相比,国内关于数据可携权的研究才刚刚起步,且缺乏对数据可携权本土化相关具体问题的探讨。数据可携权在欧美的发展状况如何;是否有本土化的必要性和可行性,面临哪些障碍;如何对数据可携权进行性质定位、法律适用调整以及权利设计等,都是需要认真研究和探讨的问题。本文将围绕上述问题展开研究,以期为提上立法议程的《个人信息保护法》提供参考借鉴。

一、数据可携权的欧美法律实践及其比较分析

2016年欧盟GDPR正式将数据可携权确立为一项数据权利,美国虽没有个人数据保护法层面的数据可携权,但有数据可携(Data portability)[1]和数据访问的相关案例,从中可以看出欧美对数据可携的基本立场和发展趋势。

(一)欧盟GDPR数据可携权的权利内涵

大数据时代,网络服务提供者为了保持竞争优势,往往保留个人数据并阻止用户重新使用或传输个人数据,导致用户转换到其他服务的成本较高,在一定程度上造成了用户锁定,既限制了用户的个人数据控制权,也对新的网络服务提供者造成了市场准入障碍{2}。对该问题的意识引发了对数据可携权的需求和讨论。欧盟为有效应对大数据、云计算、人工智能等数据科学的发展带来的新挑战和新问题,2010年欧盟委员会组织了一次修订现有个人数据保护框架的辩论,数据可携权首次作为一个明确的概念被提出{3}。除了方便用户传输个人数据以外,数据可携权还被定义为防止不公平竞争和保护个人数据的必要机制{4}。2012年,欧盟委员会开始起草GDPR,对欧盟数据保护规则进行改革,以加强个人数据保护和促进欧盟数字经济的发展。经过长达4年的讨论和修改,GDPR于2016年正式颁布,并于2018年生效实施,至此,数据可携权作为一项法定的数据权利得以确立。

GDPR第20条规定:(1)当数据处理是基于第6条第1款(a)项或第9条第2款(a)项获得的同意或第6条第1款(b)项达成的合同,且是以自动方式处理时,数据主体有权以结构化、常用和机器可读的格式接收其提供给数据控制者的个人数据,并有权无障碍地将这些数据传输给另一个数据控制者;(2)在技术可行的情况下,数据主体有权将其个人数据从一个数据控制者直接转移到另一个数据控制者,该权利的行使不妨碍第17条(被遗忘权)的适用;(3)该权利不适用于为执行公共利益或行使官方赋予数据控制者职权时进行的必要处理;(4)行使该权利不得侵犯他人的权利和自由{5}。该条文涉及一些关键术语,如“结构化、常用和机器可读”、“无障碍”、“技术可行”等,对这些关键术语的理解和界定在一定程度上决定着数据可携权的适用范围是广泛还是狭窄。GDPR第20条没有对上述术语进行明确界定,导致对这些关键术语的解读存在一定分歧。因此本文在结合GDPR相关序言和一般数据保护规则、第29条数据保护工作组(“WP29”)《关于数据可携权的适用指南》和欧盟相关法律文件的基础上对上述关键术语进行解析,以明晰数据可携权的权利内涵。

首先,“结构化、常用和机器可读”(Structured, commonly used and machine-readable)。

“结构化”(Structured)是指“软件应用程序可以很容易地识别和提取特定数据,包括个别的事实陈述及其内部结构。”[2]对于何为“常用”(Commonly used),WP29考虑到不同行业或部门的“常用”格式不同,鼓励不同行业或部门的服务提供商就什么是“常用”达成一致;没有常用格式的地方,控制者应以开放格式提供个人数据{1}。“机器可读”(Machine-readable)是指如果“文件中的数据是已经编码的”,那么格式应是机器可读的;如果不能从中自动提取数据,不应被认为是机器可读的格式{1}。“结构化”、“常用”和“机器可读”的目的是为了使软件程序可以提取数据,使新的服务提供者能够重复使用数据。

其次,对于何为“无障碍”(Without hindrance),有研究者对“无障碍”进行了广义和狭义解释。广义解释认为“无障碍”要求数据控制者履行积极的作为义务,开发“出口-进口模块”(以下简称“EIM”),方便用户导出、导入个人数据。狭义解释认为“无障碍”只要求数据控制者履行消极的不作为义务,即不得设置障碍以阻止用户将数据传输给另一个控制者{6}。

WP29对“障碍”进行了明确解释,即“数据控制者为避免或阻碍数据主体或其他数据控制者的访问、传输或重新使用数据而制造的任何法律、技术或财务障碍。”{7}根据WP29对“障碍”的解释,“无障碍”应做狭义理解。GDPR只是鼓励数据控制者采取可互操作的格式,方便数据主体传输和重新使用数据,并没有要求数据控制者开发EIM{6}。

最后,对于何为“技术可行”(Technically feasible),GDPR没有予以明确,给数据控制者留下了很大的选择余地。由于GDPR没有要求数据控制者开发或采用兼容的处理系统,可能会出现对某个数据控制者而言技术可行,而对其他数据控制者不可行的情况,因此“技术可行”的约束力将是非常有限的。实际上,“技术可行”是个动态变化的过程,随着技术的逐渐进步,“技术可行”可能会变得越来越容易,因此,对于何为“技术可行”应进行个案分析,并对当时的技术能力进行动态解释。数据控制者之间的合作对于制定“技术可行”的行业规范和标准至关重要{1}。

(二)美国数据可携的相关案例及发展趋势

数据可携权虽是一项新兴权利,但数据可携并非新问题。2007年,非营利性行业组织“数据可携项目”(Data portability project)成立,旨在讨论和研究数据可携解决方案,推进不同应用程序之间的互操作性(Interoperable),一年后,Google和Facebook等公司加入该组织,2009年该组织在美国完成注册[3]。欧盟委员会负责竞争政策的副主席华金·阿尔穆尼亚(Joaquin Almunia)指出,在健康的竞争环境中消费者可以自由地将其个人数据从一个数据控制者传输到另一个数据控制者,因此禁止数据可携的商业行为应成为竞争法的规制对象[4]。因此,从竞争法的角度也需要考虑数据可携。

美国关于数据可携的典型案例是2013年美国联邦贸易委员会(FTC)对谷歌公司的反垄断调查案。谷歌公司限制其企业用户将谷歌在线广告平台AdWords上的数据传输到其他竞争平台,在一定程度上造成了用户锁定,进而将其他在线广告平台排除在相关市场之外。由于重新制作在线广告的成本很高,这种限制会使大多数中小型公司不得不继续使用谷歌的AdWords平台。2013年,谷歌公司在企业数据可携方面受到美国FTC的反垄断调查,谷歌迫于压力提出实现AdWords平台用户数据可携的补救措施。FTC虽没有对谷歌公司施以罚款,也未明确其是否有义务实现用户数据的可携带性,但谷歌案至少可以说明,占市场支配地位的数据控制者如果拒绝数据可携请求,可能会受到竞争法关于滥用市场支配地位的反垄断调查,通过竞争法规则可以使企业实现数据的可携带性。

数据可携权被视为数据访问权的扩展和延伸,通过对数据访问请求的司法裁决,可以适当推断出美国对数据可携的基本立场和态度。美国法院在2004年的Trinko案[5]之后,限制必要设施原则的适用,拒绝企业强制访问其他企业数据库的请求,之后的很多案件均是对Trinko案判决思路的延续[6]。直到2012年的PeopleBrowsr v. Twitter案,美国对企业数据访问请求的立场有所松动和转变,由严守自由竞争底线到有限制地允许企业访问其他企业的数据库。该案是PeopleBrowsr公司要求Twitter公司授予其访问Twitter数据的权限以便能够提供分析服务,Twitter拒绝了PeopleBrowsr的请求。PeopleBrowsr对Twitter提起诉讼,加利福尼亚州法院根据不正当竞争法对Twitter施加了“临时限制令”[7]。Twitter依据《反托拉斯法》向联邦法院提起上诉,其诉讼请求并未得到支持,双方最终达成和解,Twitter同意PeopleBrowsr在2013年之前可以继续访问Twitter的相关数据库[8]。从美国法院对数据访问态度的转变可以推断其对数据可携的立场,美国未来很可能从促进竞争的角度要求占市场支配地位的公司履行数据可携义务,在一定程度上支持用户的数据可携请求。

(三)欧美数据可携的比较分析

首先,基本立场的差异。欧盟GDPR明确赋予了自然人数据可携权,美国没有关于数据可携权的立法,对数据可携持较为审慎的态度,更倾向于有限制地赋予企业数据访问和数据可携的权利,并主要依靠相关企业的行业自律和自主探索。欧美对数据可携不同态度的背后反映了其相关立法理念与竞争文化的差异。欧盟更加崇尚人格尊严,体现在GDPR对个人数据的严格保护;美国则更加崇尚自由,体现在竞争领域即对企业的产品设计自由和自由交易权的尊重。欧盟将个人数据权利视为基本权利,将数据可携权作为个人数据权的一部分;美国则更多从自由竞争的角度考量实施数据可携的现实必要性。

其次,适用主体与适用条件的差异。一是适用主体不同。与其他数据权利一样,欧盟GDPR数据可携权的适用主体只能是自然人,不能是公司等法人组织;美国数据访问及数据可携相关案例的适用主体是公司等法人组织。差异的原因在于GDPR是一部个人数据保护法,立法的根本意图在于保护个人数据,而美国的相关案例是从竞争法角度对企业数据访问和数据可携请求的裁决。二是适用条件不同。欧盟GDPR数据可携权的适用条件为:所请求的个人数据必须是基于数据主体的同意或履行合同的自动处理;所请求的个人数据必须是关于数据主体并由数据主体提供;所请求的个人数据不得对他人的权利和自由产生不利影响{5}。美国数据可携的适用条件则需满足:被请求数据可携的企业具有市场支配地位;企业构成滥用市场支配地位。

二、数据可携权本土化的必要性、可行性及其可能面临的障碍

法律是一种地方性知识,欧美关于数据可携的立法例和司法经验不能当然地成为数据可携权本土化的正当性依据。因此,有必要立基于我国公民的需求和经济发展的需要,探讨数据可携权本土化的必要性、可行性,并明晰数据可携权本土化可能面临的障碍。

(一)数据可携权本土化的必要性

1.数据主体对数据可携权有现实需求

我国与欧美所处的时代、面临的问题等有极大的相似性,我国公民同样有确立数据可携权的现实需求。

一是数据主体有在不同的网络服务之间自由转移个人数据的需求。例如,国内用户对“号码可携”的呼声很高,“号码可携”即手机用户可以在不换号的情况下变换电信运营商,选择最优的电信套餐服务。为满足用户的需求,工信部宣布自2018年12月1日起,天津、海南等5省(市)率先落实“携号转网”,并有望在2020年全面实现“号码可携”[9]。数据可携与号码可携问题类似,用户同样有在不同的网络服务之间自由转移数据的现实需求。再以出租房屋的房东为例,房东在58同城注册的房屋信息,如果想在赶集网上出租,只能重新注册,无法将其在58同城提交的信息转移到赶集网上。同样,一个淘宝平台皇冠级的卖家,想在京东商城开店,其在淘宝平台的信誉评分、服务评分和商品信息等数据无法转移到京东商城,而重新累积店铺信誉和服务评价成本很高,卖家只能继续留在淘宝平台,除非卖家在其他网上商城重新制作店铺及商品信息,并重新经营信誉和服务评价。大数据时代个人数据不仅被视为数字时代的重要生产要素,而且被视为“数字市场的货币”[10]。网络服务提供者以免费服务吸引用户,通过对用户投放有针对性的广告获取经济利益。为保持竞争优势和锁定用户,网络服务提供者不断收集个人数据并阻止用户转移和重新使用个人数据,对用户自由转移和使用个人数据造成了障碍,引发了用户对转移和重新使用个人数据的现实需求。

二是数据主体有增强个人数据控制权的需求。大数据时代,一方面越来越多的网络服务提供者通过收集、分析、使用并出售个人数据以获取商业利益;另一方面数据主体在使用任何网络应用前均需同意一定程度的数据收集和处理,却无法下载、接收或转移个人数据。而越来越多的网络服务提供者通过收集、分析、使用并出售个人数据以获取商业利益,数据主体正逐渐失去对其数字身份的控制。著名民法学者王泽鉴在讨论个人信息保护法时指出“个人资料(信息)的法律规范并非自始基于一个预先设计的规划,而是因应侵害形态、科技进步、保护必要性及人民的权利意识而形成。”{8}新兴权利保护的问题,意味着在社会公众或某个群体或个人看来应当是“权利”,应当得到司法的承认、保护和救济{9}。为了满足人们在不同的网络服务之间自由转移个人数据的需求以及加强个人数据控制权的需求,有必要赋予数据主体数据可携权。

2.数据可携权可促进创新和自由竞争

数控可携权的立法目的是解除用户锁定,使用户可以在不同网络服务之间自由转移个人数据,增强用户的个人数据控制权,进而促进网络服务行业创新和竞争。首先,用户在相同或类似服务之间可自由选择喜欢的平台,有助于促使企业提供更好的服务,创建更值得信赖和友好的在线环境{3}。其次,数据可携权可加快用户个人数据的流通,为初创公司和小公司进入由大公司所垄断的相关市场创造了条件和机会,也使更多的网络服务提供者能够收集到以往无法获得的数据,从而对用户进行精准数字画像,投放有针对性的广告以获取经济利益。因此,正如“数据可携项目”主席Elias Bizannes所言,允许用户数据可携不仅有益于用户,对数据控制者也具有经济利益[11]。

(二)数据可携权本土化的可行性

我国有数据可携权本土化的法律空间。2018年8月,十三届全国人大常委会第五次会议首次审议了民法典各分编草案,单独设立了《人格权编(草案)》。《人格权编(草案)》强化了对隐私权和个人信息的保护,明确个人信息作为人格利益的非财产属性,禁止个人信息的交易,并为即将制定的个人信息保护法留下了衔接空间,对于大数据时代人格权与人格尊严的保护具有重要意义。得益于近年来国内学者对被遗忘权的广泛关注和深入研讨,《人格权编(草案)》第815条对信息删除权进行了较为详细的规定;此外,第815条还规定“自然人可以向信息持有人依法查阅、抄录或者复制其个人信息;发现信息有错误的,有权提出异议并要求及时采取更正等必要措施。”该规定为数据访问权(查阅、抄录)、数据可携权(复制)、数据更正权(异议、更正)留下了立法空间。该条文规定的“复制”可以理解为接收个人数据副本的权利,属于数据可携权的权利内容。2018年9月,十三届全国人大常委会公布的近五年立法规划中,将《个人信息保护法》上升为第一序列立法计划,为数据可携权的立法提供了法律空间。我国应合理借鉴欧美关于数据可携的立法和司法实践经验,对数据可携权进行权利设计和法律适用调整,制定适合我国国情的数据可携权立法方案,并在未来的《个人信息保护法》中对数据可携权予以确认。

(三)数据可携权本土化可能面临的障碍

数据可携权确立以来,受到了来自隐私和竞争方面的批判与质疑,成为数据可携权本土化面临的主要障碍。

1.数据可携权会增加隐私和数据安全风险



  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
【参考文献】

{1} ARTICLE 29 DATA PROTECTION WORKING PARTY. Guidelines on the right to data portability.2017.1-20.

{2} BARBARA ENGELS. Data portability among online platforms[J]. Internet Policy Review, 2016,5(2):1-17.

{3} BARBARA VAN DER AUWERMEULE. How to attribute the right to data portability in Europe: A comparative analysis of legislations[J]. Computer Law & Security Review, 2017,(33):1-16.我反正不洗碗,我可以做饭

{4} ZANFIR GABRIELA. The right to Data portability in the context of the EU data protection reform[J]. International Data Privacy Law, 2013,2(3):149-162.

{5} REGULATION (EU) OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL. On the Protection of

Individuals with Regard to the Processing of Personal Data and the Free Movement of Such Data[J]. Official Journal of the European Union, 2016.1-88.

{6} PETER SWIRE, YIANNI LAGOS. Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique[J]. Maryland Law Review, 2013,72(2):335-380.

{7} GRIMSTAD, FREDRIK BERGSMARK. The Right to Data Portability in Article 20 of the General Data Protection Regulation[D]. Norway: University of Oslo, 2017.

{8}王泽鉴.人格权法:法释义学、比较法、案例研究[M].北京:北京大学出版社,2013.209.

{9}张建文.新兴权利保护的基本权利路径[J].河北法学,2019,(2):16-28.

{10} STEFAN WEISS. Privacy threat model for data portability in social networks applications[J]. International Journal of Information Management, 2009,29(4):249-250.

{11} GRAEF, BY INGE, M. HUSOVEC, N. PURTOVA. Data Portability and Data Control: Lessons for an Emerging Concept in EU Law[J]. German Law Journal, 2018,19(6):1359-1398.

{12} CHRISTENSEN L, COLCIAGO A, ETRO F, et al. The impact of the data protection regulation in the EU [J]. Intertic Policy Paper, Intertic, 2013.1-90.

{13} AYSEM DIKER VANBERG, MEHMET BILAL ? NVER. The right to data portability in the GDPR and EU competition law: odd couple or dynamic duo?[J]. European Journal of Law and Technology, 2017,8(1):1-22.

{14} KREBS D. Regulating the cloud: a comparative analysis of the current and proposed privacy frameworks in Canada and the European Union[J]. CAN. J. L.& TECH, 2012,(10):29-74.

{15}齐爱民.中华人民共和国个人信息保护法学者建议稿[J].河北法学,2019,(1):33-45.

©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1271037      关注法宝动态:  

法宝联想
【相似文献】

热门视频更多