论数据可携权在数据竞争类案件中的适用路径构建
作者 | 许雪芳 王会战
编辑 | 布鲁斯
一、问题的提出
近年来,互联网平台之间关于数据的不正当竞争案件纠纷不断出现,成为各界关注的热点问题。在该类案件中,获取数据行为的正当性往往是法院审查的重点内容,对此,原被告双方也会展开激烈的对抗,提出各式各样的理由及证据。较为引人注意的是,在腾讯诉搜浙江搜道网络技术有限公司数据抓取一案中[1],被告搜道公司开发了微信群控软件,通过该软件可以操控多个微信账号,并可监控、存储微信数据。腾讯认为搜道公司的行为构成不正当竞争,搜道公司以数据可携权进行抗辩,认为用户的社交数据权益归用户所有,其已征得用户同意获取数据,按照数据可携权理论及有关规定,其行为并未违反商业道德。但法院认为,数据可携权在我国并无法律依据,且搜道公司也未获得微信用户的完整授权等,因此搜道公司关于数据可携权的抗辩不能成立。无独有偶,在新浪诉头条搬运明星微博数据案中[2],头条也引用数据可携权进行抗辩,但法院依然认为,数据可携权在我国并无法律依据,且从理论上数据可携权适用的数据类型及所保护的法益与案件没有可比性,因此没有采纳头条公司的抗辩。
在上述两案判决之后,2021年11月1日《个人信息保护法》开始实施,该法第45条第3款被普遍认为引入了“数据可携权”,是数据可携权在我国的直接法律依据。[3]不过,自《个人信息保护法》生效至今,在数据竞争类案件中,尚未有引入数据可携权进行抗辩的司法案例,因此,法院如何应对这一法律变化尚无可供参考的实际案例。由此也引发了本文所要讨论的问题,即在有明确法律依据的情况下,数据可携权能否在数据竞争类案件中适用,如若可以,其适用路径又该如何构建?
二、数据可携权的理论内涵
早在2012年,欧盟已经在《通用数据保护条例》( General Data Protection Regulation,GDPR)明确规定了数据可携权。按照GDPR规定,数据可携权指的是数据主体有权以结构化、通用化和机器可读的格式接收他或她提供给控制者的有关他或她的个人数据,并有权无障碍地将此类数据从数据控制者那里传输给另一个控制者的权利。
一般认为,数据可携权的理论根源来自于德国关于信息自决权的联邦宪法法院人口普查法判决。[4]1982年,德国联邦政府颁布《人口普查法》,该法实施后将涉及全面收集公民职业、住所等的个人信息,以进行全面的人口普查。部分公民对此提起了宪法诉讼。德国联邦宪法法院最终将审查焦点锁定为是否违反德国基本法也即德国宪法保障的一般人格权,并由此创设了信息自决权的概念。该院认为,如果个人无法知道自己的个人信息在何种程度上、被何人获得并加以利用,则个人将失去作为主体参与的可能性,而沦为他人可以操纵的信息客体,被沦为客体正是人性尊严被侵害的同义语。[5]在信息化时代下,“基于自决理念的‘个性自由’包括了个人具备权利,以自行决定何时并在何种限度内披露其个人生活的事实”,[6]唯有当个人可以支配其个人信息时,才可能自由发展其人格。[7]德国联邦宪法法院以此充分论证了个人信息自决的必要性,并把对个人信息的独立控制在宪法的高度上加以确认,将个人资料权利明确为一项宪法权利。[8]而后,信息自决将个人信息保护置于宪法“人的尊严”视域下,逐渐构建起了以个人控制为中心的保护体系。[9] GDPR相应立法的数据主体权利束中,知情同意权、删除权、访问权,无一不是加强信息主体对其数据的控制、支配。相比于以上数据权利,数据可携权出现较晚。
二十一世纪初,随着互联网的发展,美国涌现了谷歌、脸书等行业巨头,相比之下,欧盟的互联网市场虽然庞大,但发展更显缓慢,也未出现能与美国巨头抗衡的企业。因此,在互联网格局的竞争中,欧盟有着掣肘美国互联网先发之势的动力。伴随着互联网企业的发展,互联网平台的控制能力、支配能力也有了质的提升,这种能力也引发各种警惕的声音。[10]尤其是在欧盟,个人信息权益保护有着非比寻常的地位,而伴随着平台数据控制能力质的飞跃,用户权益无疑受到了侵蚀。在此大背景下,欧盟在数据权利束中进一步引入了数据可携权。相比于其他数据权利,数据可携权有着明显的独特性。
其一,数据可携权将数据主体对个人数据的自决从“程序性控制”进一步扩充到“实体利益分配”。如上所述,从制度背景上,欧盟引入数据可携权就有着较强的调整数据主体与数据处理者之间权力结构的考量。权利设计上,个人权利束中的告知同意权、删除权更多是通过程序上的设计,基于同意的机制确保数据处理者的个人信息处理在信息主体的明确知情下处理,并且可以行使相应的更正、删除、撤回同意等权利,从而规制个人信息处理的行为。这种权利设计围绕着公平信息实践原则,以平衡个人信息保护与合理利用。[11]相比把个人数据“给出去”并使其合规合目的地被使用,可携权的制度规则赋予了信息主体把个人数据“收回”并传输给第三方个人信息处理者的权利,确认了信息主体对已经向数据处理者提供的个人数据等类型的信息仍然有权决定被谁予以再利用,从而增强数据主体对数据移转和再利用的控制。其将信息主体引入到数据处理者之间的利益竞争互动中,其权利结构并不局限于数据主体与数据处理者之间的关系,而是同时涉及到数据主体之间、数据主体与数据处理者之间、处理者与处理者之间的权利义务分配关系,从而明确地承认了信息主体在数据流通中对其个人信息应享有相应的数据权益,使数据主体成为数据共享和再利用的积极参与者和受益者,弥补了数据主体在数据实体利益分配中的缺位。[12]由此,可携权规则体现的是数据流通中的实体利益分配。就数据主体权利保护体系中,其他数据权利均更重视保护数据主体的信息安全,但可携权最根本维护的是数据的自由流通价值。[13]
其二,该权利积极性色彩更浓。如上,在权利目标上,可携权旨在增强主体对数据移转与再利用的控制权,同时刺激数据流通,这些目标更多考虑了数据主体对数据“再利用”的积极控制,而非防止自身权益受侵害的消极防御,[14]从而使个人的数据权益从一种消极性的防御性权利转向一种积极性的控制性权利。[15]
综上,在个人信息自决的大框架下,数据可携权的权利设计展现出了与众不同的特质,既弥补了数据主体在数据权益实体分配中的缺位,又弥补了数据权益保护与流通中对数据流通的忽视。因此,在适用数据可携权时,需要注意到该种特质。
三、数据可携权的司法适用现状及问题
我国最早在2020年3月发布的《信息安全技术 个人信息安全规范》(GB/T35273-2020)引入可携权。其8.6条在规定数据主体有权获取其信息时,也明确了技术可行的前提下个人信息控制者应数据主体请求直接将个人信息的基本资料、身份信息、健康生理信息、教育工作信息副本传输给个人信息主体指定的第三方的义务。尽管数据范围窄,但这一概念也曾轰动一时,由此也导致了一些司法案件中出现了数据可携权抗辩。随后,2021年8月,《个人信息保护法》正式在法律层面上明确了可携权,可携权有了正式法律依据。同年11月发布的《网络数据安全管理条例(征求意见稿)》第24条[16]进一步细化规定了数据可携权,至今正式稿尚未出台。
司法实践中,公开裁判文书直接提及数据可携权的案例只有2个,均在《个人信息保护法》生效之前,且均为数据处理者之间的不正当竞争纠纷。
具体而言,在腾讯诉浙江搜道公司不正当竞争一案中,被告搜道公司开发微信群控软件,用户确认同意后则可在被告软件对微信账号进行管理,被告也由此获得微信账号数据,因而被腾讯起诉。[17]对此,搜道公司辩称道,用户的社交数据权益应当归用户自行所有,微信不享有任何数据权益,根据《信息安全技术个人信息安全规范》关于可携权的规定也印证了个人数据携带权的正当性和合理性,故其行为未违反商业道德。同时其所获得的微信用户信息均来自用户正常交易留下的数据,其用户借此添加好友并等待对方同意确认,也是基于微信的使用规则,并未破坏微信的信息安全。然而法院判决指出,一则,搜道公司所辩称的可携权无法律依据,即使域外有相关立法,但也不满足安全保障及授权等权利行使条件。二则,数据有多重属性,需兼顾多方利益。微信数据的不确定性特征使得微信用户、微信平台和第三方平台对于微信数据的权利边界显得较难划分,微信数据处理需要兼顾微信用户、数据平台经营者和社会公众三方面的利益,在数据的合理流通和合理保护之间寻找合适的平衡点,但如何平衡法院并未深入论述。三则,搜道公司不能证明获得微信授权,也不能证明获得微信用户及其关联用户的完整授权。故法院认为搜道公司数据可携权抗辩不能成立。
北京微梦创科网络技术有限公司诉北京字节跳动科技有限公司一案(下称微博诉头条案)中,微博运营方北京微梦创科公司认为头条运营方北京字节跳动公司擅自抓取、搬运明星微博,构成不正当竞争。[18]头条对此辩称,涉案微博系用户同意将其微博账号信息同步至用户的头条账号。用户在新浪微博上发布的内容的经济利益均由新浪独享,用户并未参与分享,而用户对其发布的内容同样拥有完整、独立的权利,该权利不受平台同意的限缩,用户有权授权发布。这也与GDPR为促进数据流通、保护用户权利规定的数据可携带权,及民法典1037条、《信息安全技术个人信息安全规范》8.6条的取向是一致的。对此,法院认为,数据可携权在我国并无直接法律依据,且从理论层面,数据可携权所对应的数据内容和所保护的法益与本案而言没有可比性,可携权实现也以用户的请求为前提。数据控制者应用户请求协助传输,数据接收者应用户请求接收,而非本案主动抓取。最终,法院也并未采纳被告的这一抗辩。
在以上两个案件中,法院虽然否认了数据可携权抗辩,但也对数据可携权的适用发表了评价,大致可以看出法院认为数据可携权的适用条件:一是需有明确的法律依据。在两案发生时,数据可携权并无法律依据。二是应用户主动请求迁移数据。在两案中,虽然法院都以用户授权不完整或存在瑕疵为由否定了被告的数据可携权抗辩,但不可否认的是,用户授权是案件审查的重点。同时,法院对数据可携权的适用持有明显的谨慎态度,在微博诉头条案中,法院认定了16个用户同意头条同步其微博账号数据的证据是完整的,但仍以该授权没有具体明确到用户是要求行使数据可携权为由驳回了抗辩。三是行使数据可携权需要考虑到涉他信息所涉及的他人利益,以及考虑到对公共利益的影响。在腾讯诉搜道公司案中,法院认为数据具有多重属性,数据处理需要兼顾微信用户、数据平台经营者和社会公众三方面的利益。
总体而言,可以看出法院对数据可携权的适用持明显的谨慎态度。这或许与当时数据可携权在我国并无明确的法律依据直接相关,但这一缺陷现在已由《个人信息保护法》补足。同时,在该两案中,法院完全将数据可携权的抗辩转化为了数据可携权的适用条件,实际上被告提出数据可携抗辩并非要在个案中行使数据可携权,而是通过数据可携权来论证数据主体对其生成的部分数据拥有权益,或者说享有一定程度的支配、控制权利,自然由此可以推导出,用户基于其相关数据权益可以对第三方平台作出授权。但法院在裁判时,将问题转化为了可携权具体应如何适用,转而论述可携权的行使要件,从而将裁判天平向在先数据持有方的权益保护倾斜,也客观上导致了可携权这一权利背后的用户权益的虚置。
四、数据可携权的域外立法借鉴
为了更好的了解数据可携权制度,本部分梳理了欧盟、新加坡、美国(联邦、加州、科罗拉多州、弗吉尼亚州)关于数据可携权的立法规定,以期有所借鉴。
(一)欧盟
欧盟的数据可携权规定于《一般数据保护条例》(GDPR)第20条和29条工作组(WP29)制定的《数据可携权指南》。按照上述两个文件,欧盟的数据可携权主要内容如下[19]:
1.权利主体
“数据主体”(data subject),不包括法人等企业主体。
2.权利内容上:按照GDPR第20条的规定,数据可携权的内容包括接收权与传输权,包括直接传输(原数据控制者有义务按照数据主体的要求,直接将数据传输给另一数据控制者)和间接传输(原数据控制者仅有义务将数据传输给数据主体,由数据主体将数据传输给新的数据控制者)。同时,GDPR仅将“以结构化、通用化和机器可读的格式向个人提供副本”作为数据控制者的强制性义务,按照该条第2款规定,仅在满足“技术可行”的前提条件时,数据控制者才有义务将个人数据直接传输至其他数据控制者。这一规定实质上使直接传输义务成为了一种倡导性义务,数据控制者可以宣称其不满足“技术可行”的条件,从而拒绝直接传输的请求。
3. 可携带的数据类型
可携带的数据仅包括个人数据,非个人数据不可携带,具言之,此处的个人数据指的是数据控制者基于数据主体的同意或双方签订的合同并通过自动化方式处理的数据。个人数据中可携带的数据包括①用户主动提供的数据,如在线提交的个人账户数据,如收件地址、用户名、年龄等;②观测数据(data from the observation of data subject's activity),即数据主体通过使用服务或设备所形成的数据,如用户活动日志、搜索记录等。与此区分的是,推测数据和派生数据,即数据控制者基于前述2种数据进行事后分析而获得数据如用户健康状况评估结果、用户画像等,不属于可携带的数据类型。
4.权利限制
①公共利益限制:对于数据控制者为了公共利益或者行使被授予的官方权威所处理的数据,不得行使数据可携权。
②第三人合法权益限制:数据可携权不得对他人得权利或自由产生负面影响。一是涉及知识产权和商业秘密的数据;二是涉他数据。对于包含有第三方信息的涉他的个人数据,按照《数据可携权指南》规定,在满足特定要求的情况下,可以被携带:a)该类数据只能由提出数据可携请求的个人单独控制,并且只能满足于其个人或家庭需求;b)接收数据的新的控制者,不得将该类数据用于服务自身的目的。如在未征得第三方同意的情况下,不得将第三方数据信息用于完善第三方数据主体画像,并进行相关产品或服务的营销等等。关于涉他数据是否允许携带的具体裁量尺度上,《数据可携权指南》作出了应该有利于携带权行使的规定,指南指出,“在很多情况下,数据控制者处理的信息包含多个数据主体的个人数据。在此情况下,数据控制者不应当对‘数据主体有关的个人数据’这句话作出过于限制性的解释。”
③数据被遗忘权的限制:数据可携权不会自动触发从数据控制者的系统删除数据,但如果数据主体想行使GDPR第17条规定的“被遗忘权”,数据控制者不能以数据可携权为由延迟或者拒绝数据主体的要求。
④合理请求限制:原则上禁止数据控制者因行使数据可携权向个人收取费用。但数据控制者有证据证明数据可携权的请求没有合理依据或是过分的要求时,“特别是数据可携权请求具有重复特征”,数据控制者可以拒绝数据主体的数据可携权请求,或向其收取合理费用。要注意的是,采用应用程序接口(API)这样的自动化系统,有助于数据控制者与数据主体进行交流,从而减少因数据主体重复提出请求而产生的潜在负担。因此,只有在极少数情况下,数据控制者有正当理由拒绝数据主体提出数据可携权请求,即便数据主体提出多项数据可携权请求。其次,确定数据可携权请求是否过分时,不应当考虑创建响应数据可携权请求的总成本。整个系统执行成本既不应当由数据主体承担,也不应当用作拒绝响应数据可携权请求的理由。
(二)新加坡
新加坡于2012年制定了《个人数据保护法》(PDPA),[20]并于2020年对PDPA进行修正,在修正案中正式引入了数据可携权制度。[21]
1.权利主体
“个人”(individual),不包括法人等企业主体。
2.权利内容
PDPA第26H条规定:“个人有权提出数据移植请求(a data porting request),要求移植组织(a porting organisation)将移植请求中指定的合适的数据转移给接收组织(a receiving organisation)。”
与欧盟的GDPR关于数据可携带权的规定不同,PDPA并未规定个人的接收权,而是只规定了传输权,且为直接传输。虽然PDPA未直接规定接收权,但PDPA 在第 5 章分别规定了个人拥有数据访问权、数据更正权和数据副本保存权。从立法逻辑上解释,访问权、更正权、副本保存权可以理解为数据可携权的前提。
3.可携带的数据类型
①用户提供的数据。②用户活动的数据user activity data:用户在使用组织提供的服务、产品的过程中(或结果)形成的数据。
相对应的,以下数据不可携带:①派生的个人数据。②受法律特殊保护的个人数据。③如果披露,将泄露商业秘密的个人数据,且该泄露会损害移植组织的竞争力。④如果调查和相关的诉讼、上诉程序尚未完成,则为了调查目的,未经个人同意而披露、使用和收集的个人数据。⑤仅为评估目的而保留的意见数据。
4.权利行使的条件
需移植组织和个人保持持续的关系。“持续关系”是指个人与移植组织之间,因移植组织经营或开展业务和活动(无论是商业活动还是其他活动),而持续存在的关系。
5.权利限制
①国家利益限制。
②第三人合法权益限制:包括数据移植请求不得泄露商业秘密;不得损害与移植数据无关、相关的个人的安全或身心健康。同时规定,对于涉他数据,在满足特定要求下,可以不经过其他主体同意直接移植:a)数据移植请求以请求人个人或家庭的身份制作;b)移植的数据属于请求人个人提供的数据或活动数据。并且,接收组织只能将该数据用于为请求人个人提供商品或服务的目的。
③合理请求限制:此时,移植组织可以考虑数据移植请求的数量和频率:一是由于数据移植请求的重复性和系统性等,不合理的干扰了移植组织的运营。而是移植数据的负担或费用对移植组织不合理或与个人利益不成比例。三是要求移植的数据不存在或者微不足道。四是数据移植请求是无聊的或无理取闹的。
(三)美国联邦层面
美国联邦层面尚未有关于数据可携权的统一规定,主要散见于一些具体的部门立法中。2023年4月19日,美国民主党众议员提交了《在线隐私法案》(Online Privacy Act of 2023,H.R. 2701)(尚未通过),该法案是对隐私权保护的综合性立法,提出了“用户数据权利”概念,并明确规定了数据可携权。[22]该法案最终能否通过还不确定。该法案关于数据可携权的规定主要有以下内容:
1.权利主体
自然人(individual)。
2.权利内容
《在线隐私法案》第104条(b)规定,提供可携式种类内产品或服务的涵盖实体(covered entity,在线隐私法案将控制数据的主体称为涵盖实体)应当向个人提供合理的机制,使该个人可以以结构化、常用且机器可读的格式下载该个人向涵盖实体提供的个人信息或任何该个人的通信内容,并可以使用实时应用程序接口(API)或类似机制,将前述信息或通信内容,从该涵盖实体转移到到另一个涵盖实体。按照该规定,数据可携权包含接收权与传输权(包括直接传输与间接传输)。与欧盟GDPR将直接传输作为倡导性不同,《在线隐私法案》并未有倡导性表述,未规定“技术可行”的前提条件,而是明确要求涵盖实体采用API转移数据,为强制性规定。
3.可携带的数据类型
个人数据可携带。但与个人相关的公开信息publicly available(如政府实体提供的信息等),以及无法识别到特定的个人的推测数据和派生数据,不可携带。
4.权利行使的条件
①适用于可携式商品或服务类别:与欧盟、新加坡不同,《在线隐私法案》规定只有涵盖平台提供的商品或服务属于可携式商品或服务,该类数据才能被携带。数字隐私机构董事每年度至少1次会确定和公布可携式商品或服务的类别。
小型企业除外,符合条件的小型企业可以不履行数据可携的要求。小型企业是指符合以下条件的实体:(A) 不通过出售个人信息赚取收入;(B) 为定向或个性化广告处理个人信息而获得的年收入不到一半;C) 在过去 12 个月中的 3 个月或 3 个月以上,与服务的每个子公司和关联公司一起未维护 250,000 或更多个人的个人信息;(D) 雇员人数少于 200 人;和(E) 在前 12 个月期间收到的总收入少于 25,000,000 美元。
(四)美国加利福尼亚州
《加州消费者隐私法》规定了数据可携带条款。[23]
1.权利主体
自然人 Consumer,指在个人或家庭场景中的自然人,而不包含在商业场景中的自然人。
2.权利内容
《加州消费者隐私法》第1798.100条规定,消费者有权要求收集其个人信息的企业(a business)向其披露该企业收集的个人信息。该企业收到请求后,应免费向消费者披露和提供个人信息。信息可以通过邮件或电子方式传递,如果以电子方式提供,则信息应为便携的,并且在技术可行的范围内,采用易于使用的格式,使消费者可以毫无阻碍地将此信息传输给另一个实体(another entity)。即,数据可携权包含接收权与传输权,传输权仅包括间接传输,并且要求“在技术可行的范围内”进行。
3.可携带的数据类型
个人数据可携带,指识别、涉及、描述、能够与特定消费者或家庭直接或间接关联或可以合理关联的信息。且与欧盟、新加坡和美国联邦不同,可携权的个人数据包含了部分派生数据,在这里指“获取的用户个人数据能够得出的推论,以创建反映消费者偏好、特征、心理趋势、偏好、倾向、行为、态度、智力、能力和倾向的消费者概况”的数据。[24]
4.权利限制
①国家法律限制:不得限制企业联邦、州或地方法律的能力;不得限制企业遵守联邦、州或地方当局的民事、刑事或监管询问、调查、传票或传票。
②企业合法权利限制:至于合法权利内涵,法案未细化规定。
③合理请求限制:1)在12个月内,不得要求企业向消费者提供个人信息超过两次。2)如果消费者的请求明显没有根据或过度,特别是因为它们的重复性,企业可以收取合理的费用(考虑到提供信息或通信或采取所请求的行动的行政成本),或者拒绝按请求采取行动,并通知消费者拒绝请求的原因。企业应承担证明消费者要求明显没有根据或过度的责任。
④小型企业除外:数据可携权只适用于满足以下一个或多个要求的企业:1)年总收入超过 2500 万美元(2500 万美元);2)每年为商业目的单独或组合购买、接收、销售或共享 50,000 或更多消费者、家庭或设备的个人信息;3)50% 或更多的年收入来自出售消费者的个人信息。
(五)美国科罗拉多州
科罗拉多州关于数据可携权规定于《科罗拉多州隐私法》。[25]该法案对《加州消费者隐私法》有较多借鉴。
1.权利主体
自然人 Consumer。
2.权利内容
《科罗拉多州隐私法》第6-1-1306条规定,在技术可行的条件下,消费者有权以便携的、易于使用的格式获取数据,以使得消费者可以无障碍的将该类数据从控制者(controller)那里转移至另一个实体。即,数据可携权包含接收权与传输权,传输权仅包括间接传输,并且要求“在技术可行的范围内”进行。
3.可携带的数据类型
可携带的数据为个人数据。不可携带的数据包括:①与个人相关的公开信息publicly available information。“公开信息”是指从联邦、州或地方政府记录中合法提供的信息。②匿名化的数据(去识别化的数据)。
4.权利限制
①国家法律限制。
②企业合法权利限制:主要系不得披露和损害数据控制者的商业秘密。
③合理请求限制:1)在12个月内,不得要求企业向消费者提供个人信息超过两次。2)如果消费者的请求明显没有根据或过度,特别是因为它们的重复性,企业可以收取合理的费用(考虑到提供信息或通信或采取所请求的行动的行政成本),或者拒绝按请求采取行动,并通知消费者拒绝请求的原因。企业应承担证明消费者要求明显没有根据或过度的责任。
④小型企业除外:数据可携权只适用于满足以下一个或多个要求的企业:1)年总收入超过 2500 万美元(2500 万美元);2)每年为商业目的单独或组合购买、接收、销售或共享 50,000 或更多消费者、家庭或设备的个人信息;3)50% 或更多的年收入来自出售消费者的个人信息。
⑤第三人合法利益限制:数据可携权的行使不得限制数据控制者保护第三人生命或人身安全等至关重要利益的能力。
(六)美国弗吉尼亚州
弗吉尼亚州关于数据可携权规定于《弗吉尼亚州消费者数据保护法》。[26]该法案与《科罗拉多州隐私法》《加州消费者隐私法》三部法案之间有较大相似之处。
1.权利主体
自然人,法案中为Consumer。
2.权利内容
《弗吉尼亚州消费者数据保护法》第59.1-573条规定,消费者可以获取此前提供给控制者的个人信息的副本,并可以以便携的、技术上可行、随时可用的形式,基于自动化处理的数据的情形下,使得消费者向另一控制者无障碍的传输数据。即,数据可携权包含接收权与传输权,传输权仅包括间接传输,并且要求“技术可行”。
3.可携带的数据类型
可携带的数据为个人数据。不可携带的数据包括:①与个人相关的公开信息②匿名化的数据。
4.权利限制
①国家法律限制。
②合理请求限制:1)在12个月内,控制者可以免费向消费者提供个人信息不超过两次。2)如果消费者请求过多、没有依据或重复,控制者可以收取适当费用。
③小型企业除外:数据可携权只适用于满足以下条件的数据控制者:1)一年内控制或处理100,000个以上个人数据;2)控制或处理25,000个以上个人数据,并从销售该数据中获得50%以上的收入。
④第三人合法利益限制:不得限制数据控制者保护第三人生命或人身安全等至关重要利益的能力。不得影响任何人的权利和自由。
五、数据可携权在我国的司法适用路径构建
企业数据多数来源于自然人使用其产品过程中的主动提供或者自然留痕收集,用户数据在商业环境中具有不可比拟的地位,但在企业之间你争我夺的数据保卫战中,司法裁判似乎忽视了用户对于数据的权益,在企业数据纠纷的定纷止争中,对用户拥有的数据进行了“缺席审判”。[27]可携权的引入,将数据主体引入了数据控制者、处理者之间的权益互动关系,可以弥补数据主体在数据权益实体分配中的缺位,同时刺激数据流通。然而,目前在数据竞争类案件中,我国司法对于数据可携权的运用尚显谨慎与不足。结合数据可携权所体现的个人信息自决以及域外立法借鉴,或可从以下方面寻求突破。
其一,在司法实践中,可适当将可携权引入现有竞争利益衡量之中。传统的数据竞争类案件所确立的裁判规则,极为重视在先持有平台的授权,这种授权体系,本质上依旧维护的是在先数据持有企业的利益,却轻视了对数据主体权益的保护。去年底中央印发的“数据20条”也明确提出,要“合理降低市场主体获取数据的门槛”、“充分保护数据来源者的合法权益,推动基于知情同意或存在法定事由的数据流通使用模式,保障数据来源者享有获取或复制转移由其促成产生数据的权益”。[28]从域外立法看,也极为重视个人对自身数据的控制权。域内司法也无需避讳引入可携权等规制工具,在数据竞争类案件中,认可数据流通场景中用户对其数据享有的权益。
其二,虽然总体看,国外关于数据可携权欲保护的法益、适用条件、权利限制等有较多细化规定和限制条件,但国外关于数据可携权立法所体现出来的一些思想或观点,仍然有部分可供借鉴之处:
一是在平台没有对数据本身有投入的情况下(仅提供平台不属于此处的投入),数据可携权更注重保护和强化个人对自身数据的控制权。
二是在可携数据种类上,域外立法基本均将数据分为用户提供的数据、用户活动或观测数据(用户使用平台服务自动留痕的数据)、推测或派生数据(对前两种数据加工分析所得的数据)三种,且均认可对前两种数据个人可以携带,其实是变相认可了个人对前两种数据的独立或自主控制的权益,也即变相认可了关于该两种数据,用户授权可以对抗在先持有数据平台。
三是对于目前案例中支持在先数据持有平台权益的劳动赋权观点(主要是平台企业搭建了平台,为系统运营投入较大成本等),延伸理解的话,欧盟GDPR其实也有一定程度的变相否认。GDPR规定,在考虑个人数据可携权请求是否过分时,不应当考虑创建响应数据可携权请求的总成本,整个系统执行成本既不应当由数据主体承担,也不应当用作拒绝响应数据可携权请求的理由。
四是对于包含有第三方信息的涉他数据(即并非完全由个人产出的数据),域外立法也基本一致认为,在满足特定要求的情况下,即使未经该第三方同意,个人仍然可以携带。虽然域外立法对该种携带作出了条件限制,但其并未因数据涉及第三方而严苛地认为一律必须经第三方同意才能携带,这所体现的促进数据流通的立法取向仍然值得借鉴。
最后,在数据竞争类案件中,对于数据可携权的认识不应局限于数据可携权问题本身,即不应陷入审查和论证数据可携权能否适用的一些形式化要件之中,而是应回归到用户数据权益这一本质上,回归到数据可携权所体现的数据主体对有关数据的权益之上,在数据分类的基础上,认可用户授权的正当性。
注释
[1] 参见:深圳市腾讯计算机系统有限公司、腾讯科技(深圳)有限公司等与浙江搜道网络技术有限公司等不正当竞争纠纷,杭州铁路运输法院(2019)浙8601民初1987号民事判决书。
[2] 参见:北京微梦创科网络技术有限公司诉北京字节跳动科技有限公司一案,北京市海淀区人民法院(2017)京0108民初24530号民事判决书。
[3] 《个人信息保护法》第45条第3款规定:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”
[4] 郑二威,《【前沿思考】数据可携带权剖析及其中国化践行》,《互联网法治研究》公众号2021年1月28日发表,“网址https://mp.weixin.qq.com/s/y2syz_clv0qOwr0nlPPJWw”,最后访问日2023年9月4日。
[5] 杨芳,个人信息自决权理论及其检讨 兼论个人信息保护法之保护客体,载《比较法研究》 2015 年第 6 期,第26页。
[6] 参见:赵宏,《【扫码背后】从信息自决权看个人信息的公法保护丨中法评》,《中国法律评论》公众号2020年9月6日发布,网址https://mp.weixin.qq.com/s/MKlX-QUIlGUMyLjlJPRFcQ,最后访问日期2023年9月4日。
[7] 杨芳,个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体,载《比较法研究》2015 年第 6 期,第26页。
[8] 贺栩栩:《比较法上的个人数据信息自决权》,载《比较法研究》2013年第2期,第65页。
[9] 孔祥稳《个人信息自决权的理论批评与实践反思——兼论个人信息保护法第44条决定权之适用》,《法治现代化研究》公众号,2022年10月2日发表,网址https://mp.weixin.qq.com/s/JyU_IQubJp6mEqaVJpKGQA,最后访问日2023年9月4日
[10] 可见,崔聪聪, 刘传新:《【信息法学研究】| 数据可携带权的法理逻辑和制度构建》,载《重庆邮电大学学报社科版》公众号, 2022-12-09发布,网址https://mp.weixin.qq.com/s/btdF8R2lpVE1QU-Ey5pT1Q,最后访问日2023年9月4日。
[11] 关于公平信息实践原则,可见,王齐齐,朱沁,数字经济时代个人信息保护的公平信息实践原则,载《信息安全研究》第 9 卷第7期 ,2023 年7月,第681至686页。
[12] 参见:王锡锌:个人信息可携权与数据治理的分配正义,载《环球法律评论》2021 年第 6 期,第12页。
[13] 刘辉:个人数据携带权与企业数据获取 三重授权原则的冲突与调适_,载《政治与法律》2022 年第 7 期,第125页。
[14] 参见:王锡锌:个人信息可携权与数据治理的分配正义,载《环球法律评论》2021 年第 6 期,第14页。
[15] 丁晓东:论数据携带权的属性、影响与中国应用,载《法商研究》2020年第1期,第78页。
[16] 《网络数据安全管理条例(征求意见稿)》第二十四条 :符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;(三)能够验证请求人的合法身份。数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。
[17] 参见:深圳市腾讯计算机系统有限公司、腾讯科技(深圳)有限公司等与浙江搜道网络技术有限公司等不正当竞争纠纷,杭州铁路运输法院(2019)浙8601民初1987号民事判决书。
[18] 参见:北京微梦创科网络技术有限公司诉北京字节跳动科技有限公司一案,北京市海淀区人民法院(2017)京0108民初24530号民事判决书。
[19] See Council of Europe, General Data Protection Regulation (GDPR), https://gdpr-info.eu/art-20-gdpr/, last visited on Sep. 4, 2023; See Article 29 Data Protection Working Party, Guidelines on the Right to Data Portability, wp242_rev01_en (iapp.org),last visited on Sep. 4, 2023.
[20] See Attorney-General's Chambers of Singapore, Personal Data Protection Act 2012, https://sso.agc.gov.sg/Act/PDPA2012, last visited on Sep. 4, 2023.
[21] See Attorney-General's Chambers of Singapore. Personal Data Protection (Amendment) Act 2020, https://sso.agc.gov.sg/Acts-Supp/40-2020/#pr13-, last visited on Sep. 4, 2023.
[22] See 118th Congress, Online Privacy Act of 2023, https://www.congress.gov/bill/118th-congress/house-bill/2701/text?s=1&r=2#toc-H4B6DAC7C15B0455FBE38974DCAA3F78F, last visited on Sep. 4, 2023.
[23] See California Consumer Privacy Act of 2018, https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375, last visited on Sep. 4, 2023.
[24] 1)标识符,例如真实姓名、别名、邮政地址、唯一个人标识符、在线标识符互联网协议地址、电子邮件地址、帐户名、社会安全号码、驾照号码、护照号码或其他类似标识符。
2)商业信息,包括购买、获得或考虑的个人财产、产品或服务的记录,或其他购买或消费历史或倾向。
3)生物识别信息。
4)互联网或其他电子网络活动信息,包括但不限于浏览历史、搜索历史以及有关消费者与互联网网站、应用程序或广告互动的信息。
5)地理位置数据。
6)音频、电子、视觉、热、嗅觉或类似信息。
7)教育信息.
8)从本小节中确定的任何信息中得出的推论,以创建反映消费者偏好、特征、心理趋势、偏好、倾向、行为、态度、智力、能力和倾向的消费者概况。
[25] See the General Assembly of the State of Colorado, Colorado Privacy Act, 《科罗拉多州隐私法案》原文.pdf, last visited on Sep. 4, 2023.
[26] See Consumer Data Protection Act ('CDPA'), https://www.dataguidance.com/notes/virginia-data-protection-overview, last visited on Sep. 4, 2023;《中译本全文 | 美国弗吉尼亚《消费者数据保护法》(CDPA)| DPOHUB》,载《数据保护官》公众号,2021-03-17发布,网址https://mp.weixin.qq.com/s/TClo7PMnLip8Hb5Zxvz1qQ,最后访问时间2023年9月4号。
[27] 参见:仲春, 王政宇《数据不正当竞争纠纷的司法实践与反思》,北京航空航天大学学报社会科学版2022年2月19日发布,网址https://mp.weixin.qq.com/s/S11kb1xKIMCSXBWHNG8ooQ,最后访问日期2023年9月4号。
[28] 《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》,网址https://baijiahao.baidu.com/s?id=1752697020942990482&wfr=spider&for=pc,最后访问日期2023年9月4号。
(本文仅代表作者观点,不代表知产力立场)
图片来源 | 网络