上海政法学院,上海
数据可携权是欧盟《通用数据保护条例》首创的。我国《个人信息保护法》第四十五条将数据可携权规定为个人在个人信息处理活动中的一项权利。但是,面对我国数字经济蓬勃发展的今天,鉴于平台用户对于自身个人信息保护意识普遍不强,有关数据可携权寥寥几字的法律规定在面对实务中的复杂局面还是显得心有余而力不足。为确保可携权能够真正在实践中发挥出保护个人信息权益的作用,还是需要更加明确相关权利主体和权利客体,使个人信息能够在数据主体的意愿下自由流动,打破平台与平台之间的壁垒,促进个人数据的重复利用,增强数据主体的信息自决。
首先,我们需要看到法律具体规定中的数据可携权,才能对数据可携权的权利内容进行明确。数据可携权首创于GDPR,在欧盟之后美国加州、中国纷纷在法律中规定了相关条款,只是所属部门法可能不同,权利名称有些差异,但是各国所规定的权利内容都是大同小异的。
个人数据可携权给予数据主体对其个人数据副本获取的权利,《个人信息保护法》第四十五条规定个人有权向个人信息处理者查阅、复制其个人信息,但在具体的实践中数据处理方提供的数据副本还需要满足一定的格式要求,例如GDPR中规定的“经过整理的”“机器可读的”“普遍使用的”,这样的个人数据是可以由用户的私人设备存储使用的,而不一定是要传送到另一个数据处理者的。这项权利使得个人能够更加灵活的处理自己的个人数据,同时也能够更加详细地知道数据处理者掌握了自身的哪些信息。
数据主体有权要求数据处理者将自己的个人数据转移到其他处理者是数据可携权的题中之义。但是,由于各个互联网平台之间的技术差异导致数据兼容性差,数据文件的格式多样等一系列问题给现阶段数据可携权在实践层面的应用带来难题。同时,个人数据传输权的使用并不代表用户在原来数据处理者处的个人数据会被删除。例如GDPR中还规定了被遗忘权,用户可以自行选择是否要求原数据处理者删除自己在其平台存储的个人信息;《个人信息保护法》第四十七条也规定了数据主体的删除权,给予个人自由选择如何处理自己的个人数据的权利。这是符合数据可携权的应用初衷的,数据主体要求将自己的数据转移到另一个数据处理者的平台可能是为了备份自己的数据,并不是表示自己撤回了对于原数据处理者处理自己个人数据的同意,要求数据传输不代表删除权的一定发生。
毫无疑问自然人是数据可携权的权利主体,但是在实践中往往会出现个人由于各种各样的原因将权利委托给他人代为主张。这个时候得到授权的自然人是否可以代替本人行使数据可携权?
从GDPR的规定来看,只要自然人通过明示授权他人代理,受托人是有权利代为行使本人的数据可携权的;我国《个人信息保护法》的规定强调数据可携权的权利行使主体为个人,而数据可携权本身并不属于具有严格人身性质的法律行为,所以从法律条文出发,如果受托人亦是个人且被代理人与原数据处理者之间没有相关权利不可代理的协议,得到授权的自然人应当是可以代替本人行使数据可携权的。
但是,如果被代理人委托法人代替行使数据可携权是否有效呢?GDPR并没有给出明确的规定,WP29在其指导方针中对该问题的态度也是模棱两可的,认为在不违背GDPR相关规定以及是为了数据主体的利益考量的前提下,法人代替行使数据可携权也可以是一种选择。什么是为了数据主体的利益去考量?如何衡量?怎么判断第三方是不是为了抢占数据主体的个人数据到自己的平台进行处理?这些悬而未决的问题最后伤害的还是作为数据主体的个人用户。
从我国《个人信息保护法》对于“个人”的强调来看,法人显而易见不属于个人的含义范围之内,那么被代理人委托法人代替行使数据可携权的法律行为就应当是无效的。但是,如果说个人想要在这个法人运营的平台上新开一个账户,又认为在原平台上行使数据可携权过于繁琐,这个时候新平台方帮助用户向原平台主张数据传输权尊重了用户的选择权。
数据可携权设立的法律目的是为了保护个人的信息权益,既然如此,禁止法人代替个人行使数据可携权一方面不利于权利在具体应用中的落地,试想如果个人发现原平台不支持其提出数据传输的请求,是自己去新平台上另开账户便利还是与原平台打一场官司便利呢?另一方面,通过禁止法人代替个人行使权利并不能避免法人滥用个人信息的可能性,在实践中新平台与用户之间可以共同指定一名自然人作为被委托人来规避这条法律规则。
诚然,可携权更加强调的是信息处理活动中个人角色的重要性,使得个人能够通过积极的权利主张来获得数据流动中带来的更符合自身需求的服务,如让法人组织参与其中更像是一种个人对于自身信息决定权的削弱。但是,有多少用户会有意识地去主张这项权利呢?当一定规模的用户想要从原有平台转到新平台去的时候,是否让新平台的数据处理者统一去主张权利更加有效率呢?虽然这些个人数据可能包含原平台通过其算法自动得出的一些信息,其中由于涉及的商业秘密和知识产权而不能被数据接收方的平台使用,但是并不妨碍新的数据处理者以用户的名义行使权利。
用户提供给数据处理者的个人数据大多都是姓名、电话号码、地理位置、浏览/搜索记录、聊天记录等,这些数据毫无疑问是具有身份识别性的,是能够通过算法自动追溯到个人的,那么也是毋庸置疑能够由用户向平台提出可携权的。但是,有的时候用户上传到平台的数据中还会不可避免的包括其他用户的信息,这些信息是否能够由上传的用户提出可携权有待讨论。
举例来说,用户a在某平台分享了一张自己与用户b的合照,用户a在该平台提出可携权,那么这张照片是否应该包含在内?
传统的知情—同意模式似乎并不能完全保护到用户的个人信息,一般情况下,关联第三人对个人数据的转移行为通常并不知情,而要求个人在请求转移涉他数据时获得所有数据主体的同意并不具备现实可行性,导致关联第三人的知情权无法得到有效保障。这样的后果可能就是当他人的个人信息未经同意被合法的搬运到别的平台,而倘若这一新平台的隐私保护机制并不健全,甚至可能造成用户在完全不知情的情况下被泄露了个人信息。
如果例子中用户b提出可携权,这张照片是否可以被包含在内?换句话说,无论用户a还是b提出可携权,该照片都可以被包含在内的话,是不是可以说一旦用户向平台提出可携权,就意味着所有包含该用户的数据的应当被一并携带,无论该数据还包含其他多少用户。
要解决这个问题,需要率先辨别什么是个人数据。从GDPR和我国《个人信息保护法》的相关规定中不难看出,“已识别或可识别”的数据是判断个人数据的关键所在。“已识别”指的是在该数据下可以准确地将某人从特定人群中与其他人区分开来;“可识别”指的是在该数据下虽然现在还未能辨别,但是存在可能能够将某人与特定人群中的其他人区分开来。从这个角度上来说同时包含用户a和用户b的合照显然能够经过算法识别出a和b,也就是说合照应当同时包含a和b两个人的个人数据。
那么理论上说,当用户a想要携带由自己上传的该合照的时候,显然需要征得用户b的同意才能够顺利进行,否则便是侵犯用户b的个人信息权。同样的,当用户b想要携带自己在该平台上的数据的时候,该合照虽不是用户b本人上传,但其中包含可以识别到用户b的数据,用户b是有权利携带该合照的(前提是经过用户a的同意)。
但是在具体应用层面这样的理论是否具有可操作性?
首先是平台算法的局限性。对于已识别的个人数据,算法可以在用户提出行使可携权时自动定位、选定相应内容,不论该数据是否由用户本人上传,只要能够定位到用户,算法就能够自动将其抓取呈现给用户。但是对于可识别的个人数据,可识别只是有可能被识别,并不是当下已经识别,这就造成对于这一类数据而言,用户提出的可携权可能因为算法的限制不能够全面准确的获得。
其次是用户缺乏相应的权利意识。许多用户并不知道或不清楚数据可携权的含义,在日常实践中去主张数据可携权也就更加无从谈起。更严重的是,在上述合照的例子中,如果用户a未经用户b同意对合照提出数据可携权,用户b可能根本不会意识到这侵犯到自身的个人信息权。
最后是数据本身的多样性。一份相同的数据在不同的使用场景中可能代表着不同的意义。例如在买卖合同中的标的物售价只是关于该物的信息,而在就该标的物的取得纳税时,售价就会关涉到所有权人的个人信息,因为此时标的物的售价与负有纳税义务的所有权人产生了关联。
涉他数据在用户行使可携权时并不仅仅只有合照那么简单,还有聊天记录、点赞等等,但是对于合照是否能够单独行使可携权的讨论能够给我们对于该权利在实际操作中的具体运行以更多启示。之前引起关注的“姚明起诉可口可乐(中国)有限公司侵犯其肖像权”案也许可以为我们的思考提供一些参考。
集体肖像包含多个个人肖像,所以需要明确什么是个人肖像才能有助于明确集体肖像的含义。从民法典的定义上来看,可识别性同样是认定肖像之所以为肖像的核心。最容易被识别的外部形象自然是带有个人面貌的影像资料,但也不仅限于此。就例如一张穿着NBA中休斯顿火箭队11号队服的背影照片,虽然照片中没有明显的脸部特征,但是依旧能够简单推断出这是一张姚明的照片,那么也依旧构成个人肖像权。
既然已经明确个人肖像的认定标准,接下来就需要思考什么是集体肖像以及集体肖像权是否成立的问题。王利明教授认为,集体肖像是由多个个体共同构成的,个体肖像作为集体肖像的一部分,集体肖像本身则作为一个完整的、独立于个体的肖像。而张红教授则认为,集体肖像中的每个个体对其个人肖像单独享有权利,但是这些个体又构成了难以分割的一个整体,个体在行使自身肖像权的同时必然会影响到这个整体肖像中他人的权利,所以集体肖像作为一个事实概念在法律性质上具有“独立性和统一性的双重特征”。
但是,肯定集体肖像的存在并不代表集体肖像权一定存在。《民法典》有关肖像权的相关规定并没有在立法上肯定集体肖像权,但是提出了“肖像作品权利人”这一概念。如果将这一概念带入上述姚明与可口可乐公司的纠纷,找到谁是姚明、巴特尔和郭士强这张合照的肖像作品权利人,问题就能够迎刃而解。
所以,再回到对于在网络平台的个人用户发布自己与他人的合照是否可以不经他人同意使用可携权这一问题,《民法典》第一千零二十条规定了对于肖像的合理使用可以不经过肖像权人的同意。如果默认发布照片的用户是肖像作品权利人,他人在与这一用户拍下照片的时候就应当预见到可能会被用于分享等在合理范围内的正当目的。诚然肖像作品权利人并不等同于肖像权人,但是过于强调肖像权人的人身权利对于促进信息的自由流动无益。如果每一次正当目的的使用都需要经过肖像作品上每一个肖像权人的同意才能进行,那么可以想见在现代社交网络平台将变得寸步难行,肖像权人也将不胜其扰。
音乐、电子书等完全属于他人知识产权的作品是否能够由用户行使数据可携权?从概念上来说这类数据并不属于个人数据,因为算法无法从这类信息中识别到用户。但是,如果不能对音乐、电子书等数据进行携带,似乎又无法发挥数据可携权的全部功能。
有些学者提出从竞争法的视角出发,数据可携权是一把双刃剑。一方面是对于行业中的小微企业来说,符合相关数据可携权的规定可能是一笔沉重的负担;同时,数据可携权亦会涉及公司算法泄露、商业秘密遭受损害等情形,不利于刺激行业创新。另一方面来说,毫无疑问数据可携权在实践层面的落实能够减少用户锁定的情形发生,给予小微企业进入一些本来由少数公司垄断的相关市场领域;此外,让数据流动起来也是数据创造价值的重要方面,数据可携权能够使得更多的信息处理者取得之前无法获取的数据,用以创造经济利益。所以,从这两方面来说,数据可携权既可能阻碍竞争,也有可能促进竞争。
数据可携权使得个人数据可以直接有偿或无偿地传输给其他数据控制者,会在一定程度上减损数据控制者的财产利益。反过来,数据库、知识产权或商业秘密规则本身也会限制数据主体转移某些专有数据,与数据可携权的内容发生冲突。
虽然现在我国《个人信息保护法》已经从个人权利的角度确定了数据可携权,但是无法否认的是这一权利在具体实施的过程中会对相关的数据细分市场产生影响。就以QQ音乐与网易云音乐两大音乐软件为例,如果一个平台的用户想要将自己创建的歌单或者收藏的音乐通过数据可携权转移到另一个平台,其中一些由平台取得独家授权的歌曲是无法在另一个平台进行播放的。如果数据可携权将这些不能识别到个人的数据也作为可以转移的数据会造成权利的过分扩大,损害到市场竞争中的数据处理者。
数据可携权这一权利的设定就表示在立法上数据主体的权利是优先于数据处理者的利益。那么,如何在保障个人权利的前提下不减损数据处理者开发数据的积极性,平衡好数据主体与数据处理者之间的利益还是有待思考。
同一数据中很可能同时含有多个可识别主体,与只含有单个可识别的主体的数据不同,这种数据建立在每一个独立个体贡献的个人信息基础之上,在物理上具有不可分割的特质,是独立性与统一性相结合的数据,应当肯定同一数据标的上不同可识别主体享有的数据权利。然而,当多个数据主体针对同一数据同时主张自身权益时,各数据主体之间的利益就会发生冲突。
个人用户需要的数据可携权应当是便于使用的、由用户自由选择的,但是涉他数据的客观存在要求数据可携权在行使时需要考虑如何平衡权利主体与第三人的利益。如果对涉他数据的可携权行使设定过多繁琐的限制,必定导致个人用户放弃对于这项权力的主张;但另一方面第三人的人身权利和财产权利不应因此受到侵害。
《上海市数据条例》将个人信息的公开作为数据是否可被处理的参考标准之一。这一标准为涉他数据如何纳入可携权提供了新的思路。例如,第三人不反对合照上传到朋友圈,就等于第三人通过默示的方式同意合照在朋友圈范围内的公开;第三人在与权利人聊天时,应当预见到这些聊天信息会被权利人阅读,就等于第三人同意聊天记录在他们两人之间的公开。如此一来,既然涉及第三人可识别信息的数据如果在原平台上产生、使用而不被第三人主张侵犯其隐私权,那么当这些数据传输到新的平台上按照原来的用途正常使用时,第三人也不会觉得他的隐私权受到了侵犯。
可是,由于新平台与原平台对于数据保护的程度可能并不相同以及在传输过程中可能导致的数据泄露是第三人会顾虑的。我国法律规定对于第三人的权利保护使第三人作为数据主体可以向数据可携权的接收方提出限制或者拒绝对其个人信息进行处理,但是不妨碍可携权的行使。
数据可携权的提出具有鲜明的超前性和独特性,与以往对个人数据权利的防御性保护不同,数据可携权更大程度上强调了数据主体对于数据的主动控制权,为重新平衡数据主体与数据控制者之间关系提供了机会,有助于调整数据主体与数据控制者的不对等地位,将个人数据的价值最大化。但不可否认的是,想要将《个人信息保护法》中的可携权真正落实还有很长的一段路要走。由于笔者并不熟悉相关信息技术而仅仅从数据可携权的权利主体和客体进行讨论,认为可以考虑由法人代理个人的数据可携权,促进权利应用的效率;以是否公开为标准来衡量涉他数据在可携权中应当纳入的范围。对于可携权,我国应当切实围绕个人信息权益保护这一根本目的,在借鉴域外数据可携权相关立法与实践经验的同时积极发挥自身制度优势,使该权利能够真正地落地实践。
[1]杨芳.个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体[J].比较法研究,2015(6):22-33.
[2]Hondagneu-Messner,Sasha.Data Portability:A Guide and a Roadmap[J].Rutgers Computer and Technology Law Journal, 2021,47(2):240-273.
[3]张红.肖像权保护中的利益平衡[J].中国法学,2014(1):266-284.
[4]申卫星.论个人信息权的构建及其体系化[J].比较法研究,2021(5):1-13.
[5]王利明.论数据权益:以“权利束”为视角[J].政治与法律,2022(7):99-113.
[6]丁晓东.论数据携带权的属性、影响与中国应用[J].法商研究,2020(1):73-86.
[7]杜明强.论作为新兴人格权的个人信息权[J].北方法学,2020(5):64-78.
[8]王利明,丁晓东.论《个人信息保护法》的亮点、特色与适用[J].法学家,2021(6):1-16.
[9]陈星.论个人信息权:定位纷争、权利证成与规范证成[J].江汉论坛,2022(8):138-144.
[10]刘辉.个人数据携带权与企业数据获取“三重授权原则”的冲突与调适[J].政治与法律,2022(7):119-121.
[11]周樨平.大数据时代企业数据权益保护论[J].法学,2022(5):159-175.
[12]蔡培如.个人信息可携带权的规范释义及制度建构[J].交大法学,2023(2):59-73.
[13]申卫星,李夏旭.个人数据所有权的赋权逻辑与制度展开[J].法学评论,2023(5):114-128.
[14]董新义.论个人信用信息转移权在我国的应用:理据与规制[J].求是学刊,2023(2):117-134.