上海政法学院,上海
近年来,随着大数据的发展,互联网各个平台对数据安全与收集越来越重视,数据平台都试图通过制定数据发展策略,整合用户数据与信息,很多平台甚至对数据信息进行垄断,试图在数据垄断的过程中掌握数据信息,进而维护其控制地位,从而在数据的掌握中获得相应的利益。这进一步导致了数据垄断者利用其优势地位,忽略了对用户隐私和个人信息的保护,有些数据平台利用大数据杀熟技术侵害消费者利益。因此如何保护数据主体的知情权和控制权,以知情权与控制权为基础的可携带权,增加对数据处理者帮助数据主体处理自己的数据尤为重要。
我国的个人信息可携带权并非以个人信息自决为中心,而是兼顾个人信息的安全保障与共享利用。这意味着人格权与财产权的分类方式均无法揭示出个人信息可携带权利益客体的复杂性。对个人信息可携带权的人格权请求权属性进行明确,以期实现个人信息可携带权私益与公益保护平衡目标。
首先,以权利的不同作用为分类标准,对个人信息可携带权进行划分,从而明确个人信息可携带权的属性。显而易见,个人信息可携带权不属于抗辩权与形成权,因为完全不符合二者的特征。属于支配权还是请求权,需要作出进一步的分析。从个人信息可携带权的法律规定来看,其与请求权比较接近,不过个人信息可携带权是否可以通过人格权请求权的规定进行保护还需要根据《个人信息保护法》第四十五条第三款推定,个人信息可携带权应当是一项人格权请求权。另有以下几点原因:第一,支配权要求主体对客体具有绝对的直接支配力。个人信息不是有体物,因此信息主体无法对其个人信息直接支配,也没有对个人信息的支配权。第二,信息主体与信息处理者是连接一起的。信息主体必须以信息处理者为媒介,因此也不具备直接支配的特点。第三,对《民法典》与《个人信息保护法》进行体系解释,能够得出个人信息可携带权属于人格权请求权。纵览《民法典》人格权编可以发现,《民法典》第一千零三十七条与《个人信息保护法》第四十五条属于一般条款与特殊条款的关系,且《民法典》第一千零三十七条属于具体人格权请求权。《个人信息保护法》在《民法典》规定的知情权、更正权、查阅复制权、删除权四项权利基础上,增加了知情权、决定权、可携带权、补充权和解释说明权。《个人信息保护法》第四十五条第三款是对《民法典》第一千零三十七条的补充,同样属于人格权请求权。
前文所述个人信息可携带权为人格权,但是在实际运用上,个人信息可携带权属于一种不完全的控制权。从可携带权的字面意思理解,数据可携带权是可以从数据控制者手中携带出来,携带的数据中并非全部都是以数据化来表现,也有一些非数据的形式是通过图像的表现形式,如个人从聊天软件下载的纸质版图像就没有数据权的特征,因此也不能简单地将可携带权归类为数据权。个人信息可携带权是指个人可以对自己的信息资料进行查阅、复制、访问,以及数据迁移的权利,不全以金钱计算的方式,因此也不属于财产权。将可携带权归类为限缩的个人控制权有以下两点理由。
(1)个人信息可携带权难以切实保障
根据现行法律,无论是《民法典》人格权编还是《个人信息保护法》都未对数据控制者不配合提供数据权利人的个人数据信息有明确的规定,因此个人信息可携带权没有得到切实的保护。《民法典》第一千零三十四条规定了自然人的个人信息受到法律保护,并且规定了个人信息处理者应当遵循合法、正当、必要原则,不得过度处理。因此要明确个人信息可携带权的基本含义,通说认为个人信息可携带权是指个人可以从数据控制者中复制自己的信息,并且在行使个人信息可携带权中,能够不受企业以及信息控制者的干扰。但是个人信息可携带权的行使往往受到了企业对个人数据的限制,主要原因是信息数据控制者与信息数据主体在目的行使上有一定的偏差,甚至是立场鲜明。因此在对立的现实情况下,切实保障个人信息可携带权的行使显得尤为重要。
(2)个人信息可携带权是个人控制自己信息的前提条件
有相关学者认为,个人信息可携带权与信息所有权产权方法相关。该观点的缺陷就是仅仅关注与财产相联系的行为,并没有关注产权,在产权中比较重要的就是排除权。所谓财产是指权利人能够处分的权利,但是信息可获取或者传输相关能力,显然不是财产的主要特征。如果个人信息可携带权是产权,则应当保障其将个人信息转移至另外的数据处理者的权利。但是根据《个人信息保护法》第四十七条请求删除权是完整的信息所有权,其余权利并没有体现产权的特征。因此可携带权无法满足处分的特征,仅仅是象征性地说明了查阅、复制、转移信息等权利。以上权利都没有体现了个人信息权利人的占有权能,如果无法满足此项权能,那么可携带权只能悬于空中而无法切实落实。
本文主要从个人、企业、社会三个角度进行分析个人信息可携带权面临的实践难题,但是这三个层面在实践中可携带权难免会出现权利冲突的情形。
现如今很多网络数据平台的信息都是免费使用的,但其实这种免费并非真正意义上的免费,而是通过企业对数据权利人的隐私进行获取从而换取经济利益。每个用户的隐私比如电话号码等就有潜在的经济价值。很多平台构成对信息的垄断,通过大数据杀熟行为对用户隐私的潜在经济价值进行获取。
具体而言,数据可携带权的不当行使可能会损害其他用户对个人信息享有的知情权、决定权和删除权。《个人信息保护法》第十三条和第十七条分别对个人信息的合法依据以及数据处理者的通知义务作出了明确的规定。一方面,征得个人同意是信息加工行为合法性的主要源泉;后者要求数据处理人员将真实、准确、完整的信息以明显的方式和清晰的语言传达出来。反之,如果使用者单方面地转移资料,则有可能导致其他使用者删除资料的权利受到限制。从价值位阶来看,对个人隐私的删除权应当优先于可携带权。但是,如果某项含有个人信息的数据已经先被其他用户转移到了第三方平台,那么权利人对删除权的行使将会遇到实质性的障碍,因此很难实现真正意义上的全面删除。
可携带权包含的数据,里面夹杂着数据处理者的商业秘密。由于数据是看不见摸不着的,并且具有明显的财产属性,因此必然属于知识产权。在当今商业实践中,企业的财产很多情况下都是属于无形财产,这也进一步说明了数据的重要性。因此有关的数据企业如果对数据采取了相关的保密工作,其所有的数据和相应的财产价值都会凝聚,都体现了商业秘密。因此个人信息主体要请求信息处理者传输数据,在此过程中可能会发生商业秘密的泄露。
另一方面,可携带权涉及的数据,可能与数据发送者的著作权相关。根据《著作权法》相关规定,如果对作品、数据或者其他材料的选取或者编排体现了足够的独创性,该数据就属于著作权。因此,如果数据处理者的相关企业对个人数据进行了加工、处理,也应当视为对其享有著作权,即符合汇编作品的构成要件。在司法实务中,也有许多关于公司资料库之条款,以保障公司资料库之权益。在个人信息可携带权的行使过程中应当注重维护企业的商业秘密,尊重企业的知识产权。
个人信息可携带权的行使之所以会对数据安全造成威胁,是因为数据互操作性和安全之间的矛盾。数据在不同平台之间的转移,是落实可携带权的必要途径,数据处理者提供更多的存储空间,并且对数据的跨平台利用进行定制化处理。但是,数据的分布并非是集中的,而是分散的。数据主体也不是单一的主体,个人信息可携带权的行使会打破平台数据的垄断,每个平台之间的数据流转也会导致数据安全造成威胁。目前国外的某些运营平台也没有规定恰当的解决方式。
具体来说,个人信息可携带权造成安全隐患主要有两点。第一,个人信息数据权利人的信息被他人盗用或者冒用,该数据的转移对数据权利人的个人信息安全造成严重威胁。有些平台甚至转卖个人信息,利用其信息作为诈骗的工具。第二,存放于企业的数据库中的信息会受到黑客的攻击,原本保护个人信息的算法和程序造成损害,数据进一步泄露。数据泄露已经是常见的问题,因此信息权利人会选择将自己的数据存储在知名度比较大的平台,一些新的有关信息处理的公司就会失去竞争力。因此,更加有必要塑造制度信任,进一步减少对数据安全的威胁。
根据上述分析,个人信息可携带权是不完全控制的权利,针对此建立以个人信息主体为主导的可携带权模式显得尤为必要。可携带权以个人信息主体为主导,个人信息处理者仅仅起到协助的作用,加强个人涉及自己数据信息的处理和选择,从而减少因企业技术的控制带来的对个人信息权益的损害。
(1)增强个人信息主体的行权参与和选择
基于维护个人信息的复制、转移的考量,个人信息可携带权随之产生,个人信息可携带权的行使也是基于权利主体的限制。在信息权益的保护与行使过程中涉及两个主体,第一个是信息权利主体,另外一个是数据控制者,很明显个人信息权利主体在行使人格权上面是作为主体地位的。即便如此,个人信息主体在行使可携带权的同时仍然受到数据控制者的诸多限制,在角色上仍然属于防卫的属性。虽然个人信息可携带权的权利人是数据主体,但是实现该权利还需要数据控制者的配合。
个人信息可携带权的行使涵盖个人信息主体和数据控制者的相关利益,而不能将可携带权的实现完全由数据控制着主导。比如,谷歌在2018年发起的数据移转计划,参与者有相对统一的传输标准,能够让个人信息主体和企业信息之间进行传达。但是这种传输方式很容易造成企业之间的利益联合,因为企业之间的信息传播会更加容易,而个人之间的信息传输有着比较大的困难。目前GDPR中相关核心权利有普及的趋势,但是企业更加趋向通过联合的方式将数据集中,因集中带来的利益绑定显而易见。 因此个人信息控制者不能作为个人信息可携带权的完全控制者,由个人信息主体成为个人信息可携带权的主体才是可携带权设立的本质。
(2)以个人为行权主体的跨行业标准化实践
运用技术手段保障个人信息主体为主导的,在实践中可以形成关于转移形式的标准指引。具体来看,完善可携带权的实践,可以从以下三个方面展开。
第一,强化个人信息主体在行使权利时的可选择性。目前,可携带权的行使过程较为单一,主要是“浏览和转移”。但是,个人信息主体对转移的信息进行再次利用的途径是有限制的。因此,可携带权的范围可以更加广泛,为使个人信息处理者能够更好地处理信息,赋予其直接支配的权利是极为必要的,应当减少信息处理者对个人信息的控制。目前来看,为实现个人信息更好地在信息处理者之间转移,区块链技术的应用可以达到较好的效果。以“粤澳健康码互认”项目为例,将拟转移的个人信息转化为加密的可验证数字凭证,即使后台没有关联,信息转移在双方之间仍然真实有效,进而实现个人信息从信息处理者到接收者的完整转移。
第二,实现个人信息的可携带需要生成相对标准的转换格式,但可行权的个人信息范围有限,细则可对个人信息转移的常见数据处理模式进行明确,进而使个人信息转移实现标准化。例如,第二十九条工作组的《指南》中明确规定,在特定环境没有通用格式的情况下,数据控制者应使用常见的格式提供个人数据以及在保持高度抽象性的情况下对有用的元数据精细化。可携带权在行使范围上比较有限,因此在实践中应当开拓个人信息的相互认证,而这类信息利用可读形式即可覆盖。
第三,个人信息可携带权应当根据客户需求在不同的场景以及各种行业下转移。只有有更加广泛的转移标准以及良好的拓展性,新的个人信息主体才可以加入其中,各行业和场景之间可以进行标准化操作。这样不仅仅在企业之间比较容易传输,个人之间传输的空间也会进一步拓展。
首先应该明确,可携带权是针对信息处理者 A而不是信息接收者的处理者 B,更准确地说,是指在信息主体的要求下,将自己的个人信息传送到了信息处理者 B,需要说明的是, B并不负有接收的责任。然而,如果它不接收,就会导致与信息主体的合同无法很好地履行,或者造成对其权利的侵犯,还会引起合同法或侵权法上的法律责任,如果它对自己的个人信息进行了采集,那么它还有可能违背《个人信息保护法》中的规定,从而导致民事和行政上的责任。
其次,从广义上讲,信息接收者在信息传输的过程中也需要履行相关的义务。个人信息转移,信息处理者将信息传输至信息接收者,可以发现,个人信息转移是数据权益配置的重要手段。以2006年“微博诉脉脉案”确立了“三重授权原则”,信息接收者在个人信息转移之后需要经历用户授权、平台授权、用户授权三个阶段,也就意味着在其中任何一个阶段不满足条件,接收者都无法获取正确完整的个人信息。应当说明的是,授权是信息处理者Ad的权利,因此接收者需要服从该规则,接收者在个人信息转移的过程中应当格外注重对个人隐私的保护,原因在于经过三重授权,每一次授权都会涉及个人隐私泄漏的问题,因此信息接收一方应当注重对个人隐私的保护。
最后,应当明确个人信息处理者不能阻碍个人信息流通,但是应当注重对知识产权的保护。对于未尽到“信息传递路径”义务的信息处理者,其行为将妨碍网络正常运转,应对其进行法律规制。信息载体是中小型企业进入由互联网巨头垄断的数据市场的关键基础,也是企业在竞争中获得相对公平的机遇。如果不能及时地向用户提供有关的个人信息,则会给用户及相关企业带来重大的经济损失。而且,即使法庭判定其非法,也很难在反垄断法上获得适当的救济。为此,市场监管总局还发布了《禁止网络不正当竞争行为规定(公开征求意见稿)》,其中明确指出,经营者不得以数据、算法等技术方法,对用户的选择造成影响,从而导致流量劫持、干扰、恶意不兼容等行为,从而阻碍、破坏其他合法经营者签订的网络商品或服务的正常运转。信息处理程序锁住了用户的信息,只有一种数据,算法驱动的竞争行为可以对其他经营者所提供的服务或商品的正常运作造成严重的影响,这种网络竞争也是一种不正当竞争,需要加以规范。但在目前的司法实践中,《个人信息保护法》第四十五条规定的平台拒不执行,致使信息流动受阻,从而引发了不公平竞争。
进一步说明,如果个人信息转移不能得到恰当的实施,可能会造成竞争壁垒,也会对消费者产生难以选择的影响,进而不利于网络平台信息的流通,司法实践明确了网络平台不得阻碍个人信息的流通,相应的法律法规也应当作出进一步的明确,同时企业也应当自觉尊重竞争者的知识产权,以便更好地为个人信息主体行使可携带权提供条件。
可携带权作为法律创设的权利,在实践方面一直存在困境。本文试图从个人信息主体和个人信息主体的权利义务方面探寻可携带权的行使模式。我国《个人信息保护法》的出台,可携带权的行使应当考虑通用体系和各个行业的实践,同时应当以个人信息主体为主导,但同时明确信息处理者的权利义务。进而探索不同行业和场景可携带权的行使模式,以便更好地保障个人信息可携带权的行使。另外,在应对数据安全方面,政府相关部门应当对危害数据安全的行为加强监管职能,应当明确相关职能部门的权利和义务,出台适用于可携带权行使的配套措施,国家网信办统一制定规则,各行业主管部门具体细化要求,进而实现动态化的体系规制结构,对行业间数据共享保驾护航。
在数字经济时代,出行、购物、娱乐等每一项活动都离不开数据,对数据的收集、利用、共享也显得尤为重要,强化个人对数据的控制,鼓励企业之间有效安全地进行数据传输,是我们应当追求的目标。随着《个人信息保护法》的出台,讨论可携带权的必要性已经不具有意义,应当参照欧盟等地关于可携带权的法律规定与司法实践,构造属于中国本土的可携带权的保护模式,只有这样才能服务于数字经济社会的发展。一项权利具体如何设计,取决于其生产的制度背景以及制度想要实现的目的。但目前来看,可携带权并没有达到预期的目的,也面临着诸多实践困境,在可携带权行使过程中产生了个人隐私泄露、企业间知识产权的侵犯,以及数据传输安全隐患等一系列问题。本文从个人信息主体、信息处理者、政府三个主体的角度探寻各自的权利与义务。以个人信息主体作为行使可携带权的主导,强化个人信息主体对个人信息的控制权,信息处理者起到良好的辅助作用,政府为数据传输安全保驾护航对个人信息可携带权的行使显得尤为重要。