随着互联网和大数据技术的不断发展,对数据的收集和使用正在深刻改变我们的生活,如今数据甚至已经成为了一种新型资源。为了更好地保护个人信息数据安全,防止相关企业垄断、非法收集和使用用户个人信息数据,欧盟在20世纪90年代末拟定的《数据保护指令(草案)》中提出了数据可携带权(Right to Data Portability,又译“数据携带权”)概念。此概念一经提出便受到了国际社会的广泛关注,支持者与反对者在公共辩论中就其存留展开激烈交锋。最终欧盟通过2018年出台的《通用数据保护条例》(General Data Protection Regulation,又译《一般数据保护条例》,以下简称《条例》)第20条正式确立了数据可携带权制度,希望能够借此增强欧盟境内居民对其个人信息数据的控制力,促进数据的自由流动,激发互联网领域的创新活力。旨在促进个人数据保护和流动作为一种新兴制度,欧盟数据可携带权制度的价值取向在于,加强人们对其个人数据的控制并打破数据壁垒和垄断。它是指个人信息数据主体有权从网络数据平台处获得“经过处理的、常用的且机器可读的”个人专属数据,并有权要求平台将其个人专属数据传输给其他数据控制者。例如,网络社交媒体平台的用户可以要求平台将专属部分的用户数据完整传输给自己或移交给其他平台。按照设计构想,在这一制度框架下,应该可以实现个人信息在不同平台和设备间的无障碍转移。数据可携带权的权利主体和客体是欧盟有关制度的重要内容。《条例》规定,个人信息数据可携带权的权利主体为数据主体,且仅限于通过数据信息(例如姓名、性别、地址等)可以直接或间接识别的自然人,不包括法人和其他组织。自然人、法人、公共机构和其他组织作为数据的强制性主体存在于制度内。数据可携带权的客体为个人信息数据,即数据主体自己提供的、与其自身有关联性的已识别或可识别的个人信息。根据《条例》第20条第一款之规定,这里所说的个人信息数据不包括具有匿名性的或者与数据主体无关的个人数据。同时欧盟还对数据范围作出了解释,认为在不侵犯第三方隐私、自由的前提下,为了保证数据可携带权制度的实际可操作性,对于相关数据的范围不应做过分严苛的要求。《条例》所规定的数据可携带权主要涉及两方面的权利内容:副本获取权和数据转移权。副本获取权即信息数据主体有权要求数据控制者将其所提供的、与其有关的数据以《条例》规定的特定形式进行传输,并允许数据主体进行备份。副本获取权赋予数据主体获取、缓存自身数据的权利,有利于他们更好地进行信息自决,维护个人信息自由。《条例》第20条第一款与第二款对数据转移权进行了规定,它也是欧盟数据可携带权制度的核心,具体是指数据主体有权要求数据控制者将自身数据以特定形式移交给其他数据控制者,原数据控制者不得加以阻拦或不完全转移。这里所说的数据转移一般包括两类行为:一是数据主体行使副本获取权,将数据储存于先行准备的存储器中,并移交给另一数据控制者以实现数据转移;二是数据主体直接要求原数据控制者将特定数据移交给另一数据控制者。数据转移权的设置,旨在以副本获取权为基础,进一步促进个人信息数据的流动,打破部分互联网企业对用户个人信息数据的控制与垄断。数据可携带权性质存在争议对于数据可携带权的权利性质,目前学术理论界存在多种看法,主要有财产权性质说、人格权性质说和复合型权利性质说三种。财产权性质说认为数据可携带权是财产权。个人数据可携带权的核心在于数据处理与数据转移,对于数据主体与数据控制者之间的“交易”而言,经过处理的个人数据主要与财产权益相关。对此种观点的争议较大,因为欧盟设立数据可携带权制度的初衷并非是为了保护数据主体的财产,且多数国家并不认可个人数据的财产性质,故这种学说主张目前仅停留在学术研讨层面。人格权性质说认为数据可携带权是人格权。支持这种观点的学者认为,数据可携带权是隐私权的延伸,属于人格权。个人信息数据关乎人格尊严、自由以及用户的个人隐私、荣誉、名誉等人格利益,因而个人数据权应被归入人格权这一类别,表征为数据主体的人格利益。虽然个人信息中的某些数据具有财产价值,但不能因此就认为数据可携带权是财产权,因为任何一种权利都具有一定的财产性价值。相应的,当个人的数据可携带权受到侵犯时,应当适用人格权相关保护方式。复合型权利性质说认为,数据可携带权既具有人格权属性也具有财产权属性,是一种新的复合型权利。笔者也赞同此种观点。由于欧盟数据可携带权制度的设立初衷就是保护个人隐私和个人数据,维护个人的人格尊严与信息自由,所以其具有人格权属性这一点是毋庸置疑的。数据可携带权的财产权属性主要体现在,数据主体可以在数据控制者之间自由转移其所能掌控的个人数据,并因此获得与不同数据控制者就有价值的数据进行“议价”的能力,从中获取利益。由此可见,数据可携带权兼具人格权与财产权属性,具有复合型权利的特征。实际执行效果有待观察欧盟的数据可携带权制度采用“数据基本权利”模式,赋予数据主体一定的数据控制权与自决权,更好地维护了数据主体的人格尊严与自由。与此同时,也增强了数据的流动性,能够在某种程度上遏制相关企业的数据垄断,促进互联网领域的良性竞争,推动欧盟数字经济发展。这一制度具有美好的立法设想,其实际执行效果却仍有待观察。有学者认为在权利客体即个人数据范围层面,欧盟的相关法律规定过于模糊。虽然《条例》明确规定对个人数据范围采用“可识别说”,但仅给出了“个人数据”的简单定义,并未规定更加具体细致、有助于实际操作的数据范围标准,导致该制度权利客体范围模糊,司法适用难度较大。在权利内容层面,欧盟的数据可携带权制度规定数据主体可以享有其所提供的、与其相关的“专属数据”的副本获取权和数据转移权。但个人信息数据一般不是孤立存在的,往往与数据主体之外的其他人息息相关,这就要求数据控制者对数据主体所获取的数据进行审查,而欧盟并未对此种审查义务作出具体规定。故当数据主体因行使自己的权利而侵犯他人的隐私、知识产权或商业秘密时,侵权责任应当由数据主体还是数据控制者承担以及怎样承担,仍需要进一步探索和明确。在权利性质层面,由于各国尚未就个人数据的性质达成共识,导致难以认定以个人数据权为基础的数据可携带权的法律属性,不利于保护数据主体的权益。另外,虽然欧盟数据可携带权制度的设计初衷与价值取向是在保护个人信息安全和自由的同时,充分促进数据流动、打破数据垄断、鼓励相关领域的技术创新,但在实际运用过程中,从维护个人信息数据安全的维度来看,该制度表面上赋予数据主体更大的控制权与自决权,实际上却可能将有关数据置于更危险的境地。欧盟的数据可携带权制度赋予数据主体一次性获得所有可获得数据的权利,在这种情况下一旦数据主体身份被冒用或伪造,将会造成难以预测的后果。且数据在线上传输过程中极易受到网络攻击,若因此导致信息数据泄露,将难以确定数据发送与接收者的责任。在打破数据垄断维度,该制度的构想是打通从大型互联网企业到中小型企业的数据流通通道,但由于相关数据涉及很多个人信息,人们往往更愿意相信知名的、安全系统较为完善的大型企业而非中小型新创企业,这让他们的数据转移意愿受到抑制,不利于数据流动和打破数据垄断。综上所述,在笔者看来,虽然欧盟数据可携带权制度的价值取向值得肯定,但其在立法以及现实运用层面仍有许多待完善之处。(本文系福建省社科规划项目(省法学会专项)“新技术背景下网络平台的侵权责任研究”(FJ2020TWFB04)阶段性成果)(作者单位:福建师范大学法学院)编辑:刘星
