目 次
一、個人數據攜帶權與企業數據獲取“三重授權原則”的基本構造及沖突
二、個人數據攜帶權與企業數據獲取“三重授權原則”之沖突的解決思路
三、個人數據攜帶權與企業數據獲取“三重授權原則”的雙向調适
四、結語
大數據應用和算法決策對個人生活的影響涉及個人自治、非歧視以及言論自由等基本權利。這在事實上向人類提出了新的時代之問:如何讓數據的運用更加尊重人的隐私、尊嚴和自由,更加尊重人的主體價值,讓人類擺脫被大數據以及數據平台操控的命運?歐盟《通用數據保護條例》(以下簡稱:GDPR)明确規定了以數據主體獲取和傳輸個人數據為核心内容的個人數據攜帶權,該規定成為包括我國《個人信息保護法》、我國《數據安全法》等在内的各國數據和信息保護法律競相學習和效仿的對象。無疑,通過立法确立個人數據攜帶權,強化數據主體控制個人信息、加強信息自治的能力,已經成為大數據法治的核心要義之一。
數據的真實價值“就像漂浮在海洋中的冰山,第一眼隻能看到冰山的一角,而絕大部分都隐藏在表面之下”。黨的十九屆四中全會确立了數據要素化在數字經濟發展中的重要地位。在大數據時代,作為生産要素的數據正在成為企業的核心競争力。在我國現行法對企業數據權利規定缺位的背景下,為了保護數據持有企業的合法數據權益,司法機關在新浪微博訴脈脈案中,創設了企業數據獲取“三重授權原則”,并試圖在數據持有企業、數據獲取主體以及數據主體之間達成合理的平衡。此後,企業數據獲取“三重授權原則”持續對類似的數據權益争奪案件的審判産生了重大影響,比如在騰訊訴微播視界案、淘寶訴美景案等案件中,“三重授權原則”均得到适用。
企業數據獲取“三重授權原則”是我國法院處理企業數據争奪案件的一項重要司法創造,從本質上講,它是一項誕生于我國《個人信息保護法》制定之前并沿用至今的司法判斷規則。源于GDPR的個人數據攜帶權實際上與《歐盟基本權利憲章》(The European Union Charter of Fundamental Rights)第八條的“個人數據受保護權”一脈相承。有學者提出,該權利處于人權演進進程中的最前沿,并且将會被劃入第四代人權,其所指向的對象是個人數據。企業數據獲取“三重授權原則”保護的對象是企業對其持有的“享有競争利益”的數據,我國目前司法實踐并未明确界定其數據的範圍,但強調對數據持有企業的在先數據權益予以保護。由此,個人數據攜帶權與企業數據獲取“三重授權原則”不僅在保護和适用的數據對象上可能存在交叉重合,而且從更深層次來講,二者無論是在宏觀的數據競争治理理念方面還是在微觀的數據流轉規則方面,均存在一定的共時性沖突。在個人數據攜帶權已被規定于我國《個人信息保護法》并将逐步在一些相關行業中貫徹的當下,廓清二者之法理邏輯,并找出适當的調适方案,将是未來我國個人信息保護立法和司法面臨的重點和難點所在。
筆者于本文中将首先對個人數據攜帶權與企業數據獲取“三重授權原則”的法律構造予以澄清,在此基礎上,梳理二者在價值理念和數據流通規則方面的沖突,然後着重從價值博弈分析以及法理基礎解構的視角,提出沖突的解決思路,最後分别從個人數據攜帶權與企業數據獲取“三重授權原則”的角度,提出未來數據法治實踐中可能的雙向調适路徑。
一、個人數據攜帶權與企業數據獲取“三重授權原則”的基本構造及沖突
(一)信息自決下的數據控制:個人數據攜帶權
如果說互聯網時代更加注重信息的交流、互通與協作,那麼大數據時代更加強調的是數據的分析與預測功能。當用戶的個人信息被平台(數據控制者)收集并用于大數據分析,數據控制者往往可以對用戶的個人生活習慣、消費傾向、興趣愛好等進行精準的“數據人格”分析。這種在虛拟數據環境下的“數據人格”通常會成為網絡平台向用戶提供精準、個性化的電子商務、金融、醫療、教育、新聞等各種服務的科技基礎。用戶在享受數據科技帶來福利的同時,亦不免陷入“信息繭房”“大數據殺熟”“平台‘二選一’”等困境。“人類邁向‘算法統治’時代的主要标志在于,越來越仰賴算法幫助或代替我們做出決策。”“基于數據主體、數據處理者和數據控制者之間市場地位的不均衡以及技術的偏見,數據主體對于數據自決利益的喪失,亟須通過制度的安排尋找數據各方主體的利益平衡點。”個人數據攜帶權就是強化數據自治的基本權利工具。
個人數據攜帶權也被稱為“個人數據可攜權”“個人信息可攜權”,盡管中外立法對其表述不盡相同,但學者一般從GDPR第二十條出發,将其定義為:數據主體有權以結構化、常用和機器可讀的格式獲得其提供給數據控制者的有關他或她的個人數據,或有權無障礙地将此類數據從其提供給的數據控制者那裡傳輸給另一個數據控制者。2021年8月20日通過的《個人信息保護法》首次在我國法上對個人數據攜帶權進行了規定,該法第四十五條規定,個人有權向個人信息處理者查閱、複制其個人信息。個人請求将個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。一般認為,個人數據攜帶權包含三項重要的子權利,即個人數據獲取權、個人數據轉移權、個人數據轉移請求權。
個人數據獲取權即數據主體無障礙地從接受其提供個人數據的數據控制者處取回其個人數據的權利。個人數據獲取權可視為一種“強化版”的數據訪問權,之所以稱為“強化版”,主要體現在兩個方面。其一,個人數據獲取權具有數據獲取格式方面的特殊性,即其獲取的是一種結構化、通用可讀的數據。這種數據與GDPR第十五條所規定的數據訪問權的内容存在重大差異:在訪問權的場合,數據控制主體并不具有提供這種特定格式數據的法定義務。在大數據時代,個人數據獲取權通常體現為一種數據下載權,即在網絡平台自由下載前述格式數據的權利。其二,個人數據獲取權項下的數據具有内容的特殊性。根據歐盟第29條工作組(WP29)的解釋,個人數據獲取權下的數據除了狹義的由數據主體直接提供給數據控制者的數據外,還包括數據控制者觀測到的數據主體在使用特定服務中記錄的數據,即“觀測數據”(observed data),例如數據主體在使用服務的過程中留下的浏覽曆史數據、用戶的流量數據以及曆史方位數據等。
個人數據轉移權,即數據主體将其獲取的上述數據,自由并自主地将其轉移至其他數據控制者的權利。個人數據轉移請求權即在技術可行的前提下,數據主體請求數據控制者将這些特定格式的數據免費轉移至其指定的數據控制者的權利。這兩項權利的區别在于,前者是數據主體獲取數據後的自主轉移,而後者是數據主體在不獲取數據的前提下,直接請求數據控制者履行轉移義務。
從個人數據攜帶權的權利構造不難看出,設立該權利的根本宗旨就是要強化數據主體的信息自決權,提高數據主體的信息自決能力。信息自決的一個重要價值在于确保實現人格自由發展。從某種意義上講,GDPR本身就是一個以個人信息自決為中心的數據權利保護體系。申言之,中外數據立法之所以如此強調信息自決權,一個重要原因就是,在大數據時代,面對數據主體和數據控制者巨大的市場地位落差,理性人的“意思自治”部分喪失了權利行使的空間。數據立法一個重要的使命就是使數據主體有能力擺脫數據控制者“無聲的奴役”,也就是盡可能緩和數據主體被動依附于數據控制者而産生的用戶黏性,打破數據控制者制造的信息鎖閉效應。
以法學方法論的視角觀之,立法主要是通過一種強制轉移數據控制的辦法,來确保數據主體的自治能力。衆所周知,數據産權是懸在數據立法之上的達摩克利斯之劍,數據的多維面向及其管理與運用的特殊性決定了傳統的具有典型排他性的民法所有權很難直接适用,要在不同數據法律關系主體之間按照傳統民事權利保護的模式進行保護異常困難,這種立法路徑也沒有被2022年2月23日公布的歐盟《數據法》(Data Act)草案所采納。在此背景下,學者和實務界都将重點更多地放在了行為規制的路徑上,通過個人數據攜帶權入法,強行轉移數據控制的主導權。具言之,如果數據主體不享有個人數據攜帶權,數據控制的主導者通常在數據持有企業一方。就數據控制和處理行為本身而言,數據主體始終處于被動的狀态。反之,個人數據攜帶權走出了消極防禦的範疇,讓數據主體有可能成為個人數據控制和轉移的主宰,進而實現數據控制主導權的移轉乃至數據服務體系中心的轉換,從以數據控制者為中心轉換為以數據主體為中心。
(二)競争法視野下的企業數據獲取:“三重授權原則”
意大利羅馬第三大學著名教授法比奧·巴桑(Fabio Bassan)曾言,法學家對數字平台的定義既有契約性的,也有監管性的,因為它必須同時滿足私人和公共監管的需要。數據治理具有公私交融性,“法律可以審慎地應用反不正當競争法,對某些數據進行保護”。由于我國長期以來在數據競争方面的立法滞後,法院在面臨大量的企業之間的數據争奪案件時通過司法創造,最終在新浪微博訴脈脈案的二審民事判決書中明确了企業數據獲取“三重授權原則”。
該案中,原告微夢公司經營新浪微博并向用戶提供微型博客服務,被告淘友技術公司和淘友科技公司開發的脈脈軟件和網站主要向用戶提供移動社交服務。為了盡可能地向用戶提供社交機會和交友服務,被告采取了關聯與分析用戶在原告所經營的微博服務中所收集的個人及其通訊錄等數據的行為。事實上,原告與被告早先簽訂了行業領域所公認的開放平台數據獲取協議(Open API),但原告在其對被告主張的四項不正當競争行為指控中,提出被告超越開放平台數據獲取協議非法抓取和使用用戶信息,并“非法獲取并使用脈脈注冊用戶手機通訊錄聯系人與新浪微博用戶的對應關系”。北京知識産權法院在該案二審過程中認為,數據獲取企業在通過開放平台數據獲取協議模式獲取個人數據時,應當獲得“三重授權”。第一重授權是作為數據主體的用戶對數據持有企業(數據控制者)的授權,即用戶允許數據持有企業向數據獲取企業共享數據。第二重授權是作為數據共享讓渡方的數據持有企業的授權,即數據持有企業允許數據獲取企業獲取數據。在此環節,雙方主要是通過簽訂開放平台數據獲取協議的形式明确雙方數據共享的具體範圍及各自權利義務的内容。第三重授權是數據主體對數據獲取企業的授權,即數據主體允許數據獲取企業處理、控制和使用其獲取的來自數據主體的數據(詳細授權規則如圖1所示)。
圖1企業數據獲取“三重授權原則”示意圖
企業數據獲取“三重授權原則”具有以下法律特征。
1.企業數據獲取“三重授權原則”充分肯定數據持有企業的數據利益
企業數據獲取“三重授權原則”本質上是關于企業之間數據獲取的一種司法判斷規則,它充分肯定數據持有企業對其持有數據的合法權益。“從傳統勞動價值理論的觀點來看,數據權勞動成本激勵理論秉持的是以勞動報酬、投資回報激勵數據流通利用的法律思維。”盡管目前我國法律并未對數據持有企業的數據權益進行明确規定,但在新浪微博訴脈脈案中,一審、二審法院均認為,作為數據持有企業的微夢公司在其經營活動中獲取并持有的新浪微博用戶個人數據,是其“重要商業資源”或者“經營資源”,而被告在未經其同意的情況下,超出開放平台數據獲取協議範圍過度獲取用戶微博數據并使用的行為,違背了行業公認的“商業道德”,導緻被告自身降低了數據收集的經濟投入,并且同時損害了微夢公司的競争優勢。
在該案之後的騰訊訴今日看點案中,廣東省廣州市越秀區人民法院進一步認為,數據持有企業對其持有的用戶數據享有競争利益,這種競争利益是數據持有企業獲得我國《反不正當競争法》保護的前提和基礎;企業之間數據獲取的不正當競争案件的認定,應當首先考慮原告是否享有基于數據的競争利益,在此基礎上,再看數據持有企業與數據獲取企業之間是否存在競争關系,最後看數據獲取企業的數據獲取行為是否造成了數據持有企業的競争利益損失。需要強調的是,在企業間的數據争奪案中,法院對競争關系的認定總體呈現出開放和包容的态度:在淘寶訴美景案和騰訊訴微播視界案中,法院提出對競争關系的認定不應局限于“同業競争”,隻要其對于數據的争奪會造成用戶的此消彼長關系,即構成競争關系。“競争利益—競争關系—競争損失”是企業之間數據争奪案件審理的基本邏輯,而數據持有企業的數據利益成為“三重授權原則”保護的核心法益。
2.企業數據獲取“三重授權原則”試圖構建以意思自治為中心的數據安全保護體系
為了應對大數據時代對海量數據的分享、融合與處理帶來的數據風險,“應該建立以數據風險管控為中心的數據安全範式:除了包括傳統數據自身安全的保密性、完整性、可用性,還要确保數據利用安全的可控性和正當性”。到底如何保障好數據利用的安全性,是數據安全法治必須予以回答的一個重大問題。盡管企業數據獲取“三重授權原則”強調對數據持有企業的權益保護,但是這種保護必須以保障用戶的個人數據安全為前提。從方法論的視角來觀察,司法機關在創制企業數據獲取“三重授權原則”時,本身就試圖去構建一種以合同為基礎、基于數據主體和數據持有企業充分意思自治的數據安全保護機制。一方面,“三重授權”蘊含了數據持有企業的單方授權,這對數據獲取企業獲取數據具有決定性意義。“數據行業的有序發展應當高度強調契約精神在數據獲取與利用規則中的重要價值。”在開放平台數據獲取協議的數據獲取模式下,雙方簽訂的數據開發協議是數據獲取的基本法律依據,在司法實踐中,其法律效力受到法院的充分肯定。于此,數據持有企業對于數據獲取與利用具有充分的決策權。另一方面,企業數據獲取“三重授權原則”包含了數據主體的“雙重授權”,其不僅能夠決定數據持有企業能否向數據獲取企業提供個人數據,而且能夠決定數據獲取企業是否可以處理其個人數據以及基于何種目的、在何種程度處理其個人數據。所以,“三重授權原則”的本質與核心其實是意思自治。
在意思自治的基礎上,企業數據獲取“三重授權原則”還寄托了創制主體對其擔負起數據安全保障的重任。在大數據時代,由于大數據處理技術的高度專業性、複雜性,數據主體通常無法真正理解和有效保護個人隐私。強化網絡平台等大型在線企業的治理,配置與其控制力和影響力相适應的個人信息保護特别義務,即“守門人”義務,是數據安全治理的大勢所趨。“互聯網平台理應對第三方應用利用用戶數據承擔一定的監督和管理責任,确保個人信息不被濫用。”一方面,企業數據獲取“三重授權原則”在事實上賦予了數據持有企業審查數據獲取企業通過數據接口獲取數據的安全性,其有權拒絕向存在重大數據安全隐患的數據獲取方提供數據。另一方面,由于作為用戶的數據主體對于數據獲取企業直接提供的數據安全格式條款往往缺乏足夠的認知能力,數據持有企業可以幫助用戶開展技術和法律層面的實質審查,從而保護數據主體的數據安全。當然,這樣的數據安全機制是否能夠切實有效發揮預期的功能,仍有待進一步驗證。
(三)個人數據攜帶權與企業數據獲取“三重授權原則”的沖突
盡管個人數據攜帶權已經為我國《個人信息保護法》等法律法規所承認,但作為一項新興的數據權利,其“尚未具備成為一種成熟型權利的條件”,不應将其視為一種“類似數據訪問權的基本權利”,而應當将其視為一種“柔性權利”或努力目标。該權利與我國《個人信息保護法》出台以前我國法院已經創制并一直沿用至今的企業數據獲取“三重授權原則”在價值理念與數據流通的規則要求等方面存在如下明顯的沖突。
1.價值理念方面的沖突
盡管學者在個人數據攜帶權是否屬于個人基本的數據權利方面存在分歧,但無疑,個人數據攜帶權是一項重要的個人數據權利。權利意味着法律關系主體的選擇自由,個人數據攜帶權賦予了數據主體極大的數據控制能力和數據處理自由。從數據控制的視角來說,個人數據攜帶權宣示了數據主體随時從數據持有企業取回個人數據的權利,即享有個人數據獲取權;從數據處理的角度來說,數據主體不僅可以自主地将其取回的個人數據移交給數據獲取方,而且可以在不取回個人數據的前提下,直接要求數據持有企業将其數據按照“機器可讀”的格式轉移給數據獲取企業。法律之所以對數據轉移的格式有明确的要求,其根本意義同樣在于保障數據主體的選擇自由,因為隻要在技術可行的條件下,保障了數據傳輸的格式,也就直接保障了數據獲取企業對該數據的處理便利,這其實也是在保障數據主體轉移數據、授權數據獲取企業按照其意志處理數據的權利。GDPR确認個人數據攜帶權的原因也正在于此,它折射出歐盟數據法制出于基本人權保護的考慮,對個人隐私的特别重視和對數據自由的高度崇尚。
與個人數據攜帶權不同,企業數據獲取“三重授權原則”雖然也注重數據主體對個人數據的控制,比如在其整個授權體系中,數據主體自身的“雙重授權”就占有重要的地位,但從根本上說,企業數據獲取“三重授權原則”的本質和核心始終是一種數據競争裁判規則。它的價值本位是維護數據持有企業的在先數據利益,保護既有的數據持有企業的合法權益,這與個人數據攜帶權的非排他性轉移屬性天然不同。企業數據獲取“三重授權原則”的一大貢獻在于承認了數據的商業價值,即認可個人信息主體與平台對同一數據同時享有不同的權益。質言之,企業數據獲取“三重授權原則”主要是從數據的商業價值的角度,來維護數據競争秩序的一種司法規則,個人數據攜帶權則主要是基于數字人權理念的角度,來保護個人數據自治的一種數據權利規則。個人數據攜帶權的價值本位是個人數據自治,“三重授權原則”的價值本位是企業數據競争利益。
2.數據流通規則方面的沖突
由于個人數據攜帶權與企業數據獲取“三重授權原則”在價值理念方面的天然差異,二者的并存必将帶來司法實踐中數據流通規則方面針鋒相對的沖突。仍以新浪微博訴脈脈案為例,對于新浪微博起訴的淘友技術公司和淘友科技公司涉嫌的數據不正當競争行為,數據主體是否享有個人數據攜帶權将對案件的審理産生決定性的影響。因為按照個人數據攜帶權的基本要求,數據主體具有對其個人數據的高度控制和決定權,作為數據獲取企業的二被告,隻要其獲得數據主體的授權,此時無論數據持有企業是否同意數據獲取企業獲取數據,都不能影響數據獲取企業獲取數據主體的個人數據。不僅如此,在技術可行的條件下,數據主體還可以直接要求其向二被告提供個人數據,基于個人數據攜帶權的基本法律構造,新浪微博不僅不得拒絕提供,而且還必須按照機器可讀的格式,為數據獲取企業免費提供。由此也引發一個值得深思的問題:數字經濟的發展和數據要素化進程的推進高度依賴于數據企業在數據研發方面的創新,對個人數據攜帶權的絕對保護雖然有利于打破平台的數據鎖閉效應,但顯然不利于數據企業對數據的深度開發,這與現代數據法治的精神可能是背道而馳的。
反觀企業數據獲取“三重授權原則”,其天然的使命是維護在先數據企業的合法數據利益(數據競争利益)。這也正是學者所倡導的“企業數據使用問題應當留給最了解自己商業運營實踐的公司,由具有利益關系的公司通過合同和技術措施實現企業的數據權益和經營利益”。當然,這無疑會在一定程度上限制和阻礙數據流通。比如具體到新浪微博訴脈脈案,數據獲取企業要想獲取用戶的個人數據,其必須滿足“三重授權”的基本要求,其中就包括數據持有企業的單獨授權(授權2)。易言之,如果用戶授權新浪微博對二被告開放獲取數據(授權1),用戶也授權了二被告獲取并處理其數據(授權3),但是由于缺乏新浪微博對二被告數據獲取行為的授權,二被告也可能因涉嫌侵犯新浪微博的“數據競争利益”、破壞“數據競争秩序”而無法獲取用戶的個人數據。或許是意識到了這樣的數據持有企業授權對數據流通的限制,近年來,美國司法實踐對于授權的苛刻要求呈現出放寬的趨勢。不難看出,在企業之間的數據争奪案的審理中,個人數據攜帶權與企業數據獲取“三重授權原則”對于數據流通要素的限制不同,這對此類案件的司法裁判帶來極大的挑戰。
二、個人數據攜帶權與企業數據獲取“三重授權原則”之沖突的解決思路
面對個人數據權利和企業數據權利、數據持有企業權利和數據獲取企業權利的沖突,司法機關往往面臨個人數據自治和企業數據競争利益保護的兩難困境。正确的司法态度絕不應當在二者之間“二選一”,而應當進行一個體系化的法律價值評估與抉擇過程。以下從對極端的“二選一”邏輯批判出發,分析絕對的個人數據攜帶權以及單純的企業數據獲取“三重授權原則”可能帶來的弊端,提出未來立法和司法中對二者之沖突予以協調的法理依據。
(一)絕對的個人數據攜帶權可能帶來的負面影響
雖然個人數據攜帶權本身涵攝了數據主體自由處分個人數據的權利,但個人數據攜帶權并不是一項“絕對權利”(absolute right),也不能對個人數據攜帶權實施絕對的法律保護,而應該在促進數據流動的前提下,适度地限制該權利給數據持有企業和數據産業發展可能帶來的負面影響。這些負面影響有以下一些。
1.個人數據攜帶權的确立對初創階段的數據行業可能造成發展障礙
數據立法必須緊跟數據産業的發展需求,這在個人數據攜帶權的具體實施方面體現得尤為明顯。個人數據攜帶權既有權利賦能的屬性又有财産賦予的屬性。在充分競争的電子商務等行業,個人數據攜帶權的确立有利于緩解數據鎖閉效應,加快數據流轉,打破平台企業的數據壟斷地位,進而确保消費者的合法權益。在數據即資産的大數據時代,數據本身就是一種資産。通過數據壟斷和算力、算法的加持,處于壟斷地位的平台企業往往無形中将用戶鎖定于“信息繭房”“服務陷阱”“算法黑盒”之中。這時候,個人數據攜帶權着眼于大數據的邏輯起點,将數據獲取、共享、轉移的主動權交給數據主體,這無疑是防範大數據時代的人變成數據的奴隸的重要法治工具。然而,對于一些非充分競争的甚至處于初始發展階段的數據行業,“如果大範圍嚴格執行數據主體的可攜帶權,利益受損的主體必然包括具有較大用戶數據存儲量的互聯網運營商”。因為就這些行業而言,從競争法的角度來說,運營商提供的數據服務的用戶黏性會随着個人數據攜帶權的強化而愈加弱化,用戶流失的結果可能帶來嚴重的負面影響。比如數據持有企業由于欠缺利益補償機制而在事實上受到損失,這種情形下,其對于發展初期的數據産業的投入可能逐步下降,對數據服務創新的意願将逐步減弱,這對數據持有企業可能帶來生存危機并倒逼其退出市場。當然,最終導緻的結果便是這些行業數據要素化的失敗和數據産業發展的停滞。學者也開始注意到,當個人控制逐漸異化為絕對控制,事實上将限制個人信息保護制度的發展。
2.與個人數據攜帶權相伴的數據轉移義務在某些情況下可能導緻數據正義缺損
蒂爾堡大學的三位學者英格·格雷夫(Inge Graef)、馬丁·胡索維奇(Martin Husovec)和納德茲達普爾托瓦(Nadezhda Purtova)在對GDPR中的個人數據可攜帶權進行深入研究後認為,個人數據可攜帶權并不是個人數據所有權,将其視為歐盟法律中旨在刺激數據驅動市場的競争和創新的新監管工具似乎更為妥當。也就是說,對個人數據攜帶權的執行和研究,我們必須關注其競争法效應,從“競争工具”的視角去觀察可能産生的法律效果。在法律上規定個人數據攜帶權的一個重要目的就是打破數據孤島和數據壟斷,既然是壟斷,在此主要的體現無疑是濫用市場支配地位。根據反壟斷法的基本原理,個人數據攜帶權适用的目标,似乎應當聚焦于促進那些處于壟斷地位的大型數據平台積極實施數據共享和數據流通。如果個人數據攜帶權是一項不加限制的絕對權利,數據主體可以要求任何數據持有企業在技術可行之時免費轉移其個人數據的話,就将對處于非壟斷地位的數據持有企業尤其是中小企業帶來不公。申言之,國家緻力于對這些中小企業實施積極的财稅政策、金融政策、産業政策等支持,但不區分适用對象的個人數據攜帶權的實施卻可能增加這些中小企業的數據運營成本,這在實質上違反了國家宏觀調控“綜合協調原則”,導緻數據領域的正義缺失。
3.個人數據攜帶權在實踐中面臨數據質量控制和數據安全防範方面的困境
數據的質量是數據要素化和數據産業發展的基石,數據的真實性、準确性、完整性對數據的再利用與再開發水平産生直接影響。個人數據攜帶權關注到了數據轉移的必要性,卻對數據轉移的質量和數據的商業價值關注不足。個人數據攜帶權被規定于GDPR時,“盡管立法理由部分闡明這一權利的确立是為了加強公民對自己個人數據的控制力,但該條在制定時實際上考慮的保護重點是社交網絡服務消費者群體”。以社交網絡服務數據為例,作為用戶向數據持有企業提供的個人數據是其信譽評級和評分的基礎,但這些數據的價值一般不能單獨體現。大數據尤其強調數據的相關性、關聯性,而非直接的因果必然性。用戶的評價數據一方面與被評價的對象密切相關,另一方面又與其他客戶的評價數據密切相關,用戶與用戶之間的評價多數情況下存在直接關聯性。如果脫離其基礎數據環境,這種“斷章取義”的“片面數據”就可能在數據價值方面大打折扣。正如歐洲學者所言:“數據的價值取決于上下文信息。把數據從上下文信息中移除,也就删除了數據的價值。”此外,個人數據攜帶權隻能轉移用戶的個人數據,不能轉移平台對其所實施的信譽評價,因為這部分數據屬于衍生數據,這可能會降低用戶将個人數據遷移至另一個平台的意願。從數據安全的角度來說,起源于歐盟的個人數據攜帶權具有高度意識形态化的文化淵源,其風險防範以人格與身份為核心,以知情同意機制為載體,但同意機制可以替代隐私保護本身可能隻是一個美麗的錯覺。此外,如果允許數據持有企業将與用戶相關的其他主體的數據或者關聯數據同時制作成“機器可讀的格式”予以轉移,“當數據主體在傳輸與第三方主體有關的通信或交易數據時,必然有可能侵犯到第三方數據主體的隐私權和對數據的支配權”。比如在新浪微博訴脈脈案中,淘友技術公司等就獲取、使用了用戶手機通訊錄中非脈脈用戶聯系人的數據,這些與數據主體密切相關的第三方數據如果在個人數據攜帶權實施的過程中無法得到精準區分和界定,就很容易導緻數據安全風險。
(二)絕對的企業數據獲取“三重授權原則”存在的主要問題
企業數據獲取“三重授權原則”旨在加強數據持有企業競争利益保護,并通過讓數據持有企業承擔數據安全“看門人”職能的形式,确保用戶的合法權益。這樣的理論預設的初衷固然是好的,但實施效果不一定能夠恰如預期。以下筆者重點從數據競争效應和個人數據安全的視角予以分析。
1.企業數據獲取“三重授權原則”可能對數據産業的良性發展造成阻礙
在“三重授權”中,數據主體的“雙重授權”是受到法律明确支持的。比如我國《個人信息保護法》第十三條至第十五條、第二十三條均肯定了個人信息處理以及個人信息委托處理過程中,個人對其信息的充分決定權。問題的核心在于,企業之間的數據獲取和處理協議,是否必須經由數據持有企業的同意。譬如,數據獲取企業在獲得數據主體授權但未經數據持有企業同意的情況下,通過爬取行為獲取數據主體的個人數據是否違法?從數據主體享有的個人數據攜帶權來說,數據持有企業的同意不僅不是必要要件,相反,數據持有企業還必須尊重數據主體的數據轉移和處理意志,在企業數據獲取“三重授權原則”下,數據獲取企業則必須獲得數據持有企業的單獨授權。事實上,這種數據持有企業的單獨授權恰恰有可能成為提高數據要素市場進入難度的重要手段,其不僅可能提高具有直接競争利益關系的同行業數據要素市場的準入壁壘,而且可能提高并不具有直接競争利益關系的相關行業的數據要素市場的準入壁壘。就直接具有競争利益關系的數據企業之間來說,數據持有企業憚于企業核心數據利益受到損失,一般不願意向數據獲取企業共享數據,或者有意提高數據獲取的代價,這将在無形之中提高數據要素市場準入的門檻。比如新浪微博訴脈脈案中,原告被告雙方本經營并不直接競争的微博和社交軟件服務,但根據判決書中被告的主張,是由于後來原告推出“微人脈”職場社交APP産品而跨入社交服務,由此雙方存在直接競争關系,原告才提起數據競争訴訟。此外,就不具有直接競争利益關系的數據企業之間的數據獲取來說,數據持有企業也完全有可能提高用戶個人數據轉移的門檻或者拒絕進行用戶個人數據的轉移,顯然,這會影響數據産業的良性發展。
2.企業數據獲取“三重授權原則”對用戶個人數據安全風險的防範意義有限
賦予數據持有企業對個人數據安全承擔“看門人”的職能有其内在的法理基礎,比如張新寶教授認為,基于控制者義務理論,“控制者作為管理者,具有專業知識、能力、技術,能夠預見可能發生的危險和損害,更有可能采取必要的措施防止損害的發生或減輕損害”。我國《個人信息保護法》第二十一條也明确規定了數據持有企業對“受托人的個人信息處理活動進行監督”的重要法律義務。基于此,企業數據獲取“三重授權原則”中,賦予數據持有企業對于數據獲取企業獲取數據的享有重要的決定性授權應當具有理論上的正當性。然而,正如商業銀行經營管理中的信貸風險管理實踐一樣,既要考慮借款人的真實還款能力,也要考慮借款人的實際還款意願,前者是信貸風險管理的客觀要素,後者是信貸風險管理的主觀要素,兩者缺一不可,對于數據持有企業的授權來說,同樣必須高度重視其數據轉移的主觀意願和商業動機。
由于“數據持有企業并不是超脫于用戶和數據獲取企業之外的第三方”,“數據持有企業不可能基于維護用戶利益而非基于自身利益做出相關決策”,“在信息流通中寄希望于由企業來把關和維護用戶數據安全的想法并不可行”,“法律隻能在數據流轉的端口加強個人對其控制,并在數據流轉過程中建立侵害個人權利的法律防禦機制”。在商業實踐中,保護用戶的個人數據安全,屢屢成為數據持有企業實施限制數據流通、提高數據流通代價甚至拒絕數據共享等不正當數據競争行為的“正當理由”。比如在新浪微博訴脈脈案中,原告微夢公司雖然多次聲稱其基于“保護用戶隐私”而終止與二被告的數據共享合作,但僅在同案的基本事實認定中,便不難看出其中的技術、商業和邏輯矛盾。既然有保護用戶隐私之重要考量,為何原告沒有采取有效的數據加密手段保護好用戶的數據,最終由于技術漏洞而為被告所獲取?并且,既然如此尊重用戶的個人數據利益和隐私,為何在發現被告通過第三方應用軟件獲取用戶數據的情況下,仍未通過任何技術手段予以制止?更為惡劣的是,原告還試圖以此為利益交換的工具,要求被告向其共享脈脈用戶的個人信息,這種行為被法院認定為典型的“放縱不正當競争行為”。正如學者所指出的,這種“更密集”的數據重複使用的控制,極有可能成為“目的不可知論”。美國華盛頓大學2003网站太阳集团丹尼爾·索洛夫(Daniel Solove)教授即直言:隐私自治栖就于同意規則之上,但隐私自治并沒有給人們提供對于個人數據的有意義的控制。
無獨有偶,發生在美國的HiQ訴領英案中,原告HiQ是一家數據分析公司,其通過數據爬取技術從公開網絡爬取了領英公司的用戶公開檔案信息,被告以《美國計算機欺詐與濫用法》(CFAA)為依據對該行為發出了“禁止通知函”。該案經過加利福尼亞州北區聯邦地區法院和美國第九巡回法院兩審法院的審理。法院認為,CFAA的規制對象并不包括互聯網上可公開訪問之數據,被告的行為實際上起到了排斥原告進入數據分析市場的競争效果,這種行為“将對互聯網的信息自由流動和公共信息的價值創造構成威脅”,因此,要求領英公司移除阻止HiQ訪問其用戶公開資料信息的全部技術障礙,并裁定對領英公司頒發禁令。總之,将個人數據安全完全絕對化為一種數據持有企業的社會責任,不僅在事實上無濟于事,而且消費者乃至整個社會的整體福利反而受到損害。
(三)個人數據攜帶權與企業數據獲取“三重授權原則”沖突解決的法理分析
在司法實踐中,我國法院越來越注重運用利益衡量的方法來處理網絡競争的案件。《最高人民法院關于審理侵害信息網絡傳播權民事糾紛案件适用法律若幹問題的規定》第一條和《北京市高級人民法院關于涉及網絡知識産權案件的審理指南》第三十條明确指出,涉及網絡競争的司法裁判應當達成經營者、消費者和社會公衆利益的平衡。個人數據攜帶權與企業數據獲取“三重授權原則”的沖突主要發生在企業之間的數據争奪案件中,從法理的角度來看,可以針對該類案件通常涉及的核心法益,刻畫出一個法律價值博弈模型(見圖2),以此實現個人數據權利、數據持有企業的數據權益、數據市場競争秩序保護三者之間納什均衡。
圖2企業數據競争價值博弈模型
具言之,在企業數據權益争奪的場合,通常涉及三方主體即數據主體、數據持有企業、數據獲取企業,三方主體各自都有自己追求的本位價值目标,當然,每一方主體的價值目标可以是多元的,比如就數據主體而言,其不僅注重數據的自由流通價值,而且關注數據安全價值,但從個人數據攜帶權的視角來說,其最根本的價值還是數據的自由流通價值,即數據的可流通性。對數據持有企業來說,競争法對數據的控制程度決定了該企業使用數據集參與競争的限制,所以其本位價值應該是數據持有企業的合法數據權益保護。這其中包含兩層含義。
第一,對部分中小企業在收集個人數據過程中付出的勞動,應當設計合理的法律補償機制。如前所述,對于大型的數據持有企業來說,其數據采集和運營成本往往可以通過相應的數據法律服務予以彌補,但對中小企業來說,這樣的運營成本到底如何進行補償呢?特别是如果允許與其具有直接競争關系的企業免費獲取數據主體的個人數據,那麼這些中小企業不僅需要付出數據采集的成本,而且要承擔“機器可讀的”的規範化數據的制作成本以及數據轉移成本,這可能對數據産業發展和數據法治的公平性帶來嚴峻的挑戰。
第二,對于數據持有企業通過加工、處理、制作的數據,已不再屬于個人數據的範疇,轉而成為衍生數據,對于衍生數據,法律應當保護其合法的數據權益,包括對衍生數據的适當支配和控制利益。值得注意的是,盡管在企業數據獲取“三重授權原則”中,強調了數據持有企業對數據獲取企業獲取個人數據的決定權,但是這裡針對的其實是個人數據而非衍生數據。因此,該規則的合理性嚴重存疑。對數據獲取企業來說,其本位價值是數據的可得性,即其最為關注的是是否能夠打破數據市場準入壁壘進而以合理的價格進入數據競争市場。
以上三方主體的價值博弈正好構成一個三角形。在幾何學上,三角形是最為穩定的圖形,但三角形的穩定性并不等于确定性,三角形的确定性有一個最為基本的前提,那就是邊長和内角确定。這一基本原理也完全适用于企業數據競争中法益平衡原理的解釋:在企業數據權益争奪過程中,三方主體都具有不同的本位價值,并且在不同案件的審理過程中,司法對于不同主體的保護也不可能完全等同,有時需要更加注重數據主體的數據流通價值的保護,有時則需要側重于對數據持有企業合法數據權益的保護,但無論如何,數據法治的基石與核心即數據安全價值不能改變。在企業數據競争價值博弈模型中,數據安全價值就是整個數據法治的底線,它決定着整個博弈模型的内角和邊長。“數據處理風險規制是保持和促進數據自由流動的基礎機制,也是數據處理秩序的基本組成部分。”如果不能守住數據安全這一底線價值,則整個數據産業、數據法治體系都将面臨最終崩塌的危險。
當然,大數據時代的數據安全并不是一種絕對安全,如果堅持絕對的數據安全觀,那麼最佳的選擇就是不發展大數據技術和數據産業,這自然不是大數據時代數據法治的應然價值訴求。大數據時代的數據發展應當堅持相對安全觀和動态安全觀。所謂相對安全觀,即在鼓勵數據要素化和數據産業發展的前提下看待和處理數據安全的問題。所謂動态安全觀,是指數據安全的法治保障必須深度根植于數據采集、保存、處理、轉移的動态過程之中,從數據的全生命周期安全的視角,去科學設計數據安全法律制度。
總之,必須在大數據的時代背景下,用數據發展的眼光去看待各方數據權益的動态博弈問題,在此基礎上,對絕對的個人數據攜帶權和企業數據獲取“三重授權原則”進行反思,并在雙向調适的基礎上,達成二者之間可能涉及的各方法益的平衡。
三、個人數據攜帶權與企業數據獲取“三重授權原則”的雙向調适
在立法與司法實踐中,個人數據攜帶權與企業數據獲取“三重授權原則”受到學界與實務屆持續的質疑表明,二者并非沒有缺陷,絕對和僵化适用任何其一,都将對數據法治和數據産業的發展造成不良影響。無論是個人數據攜帶權還是數據持有企業的合法數據權益,均同時涉及數據主體和數據持有企業的私權利和公共利益。根據企業數據競争價值博弈模型,基于數據安全和數據要素化的客觀需求,可以對兩者進行相向而行的有益調适。
(一)對個人數據攜帶權的調适
首先,合理界定個人數據攜帶權的适用領域。雖然個人數據攜帶權已被規定于我國《個人信息保護法》,“但是法律條文隻籠統地規定了權利行使的要件和權利行使對象(個人信息處理者)的義務,其具體實施規範亟待細化”。誠如王錫鋅教授所言,個人數據攜帶權在GDPR中隻是“鼓勵性的”而非“強制性的”要求,我國《個人信息保護法》中的個人數據攜帶權隻是一個授權性的、開放性的條款,其未來真正地走向實踐還将取決于未來對該項權利啟動和行使之具體條件的設定。換言之,個人數據攜帶權并不應當對所有産業、所有行業進行一刀切式的“全有或者全無”地适用,而應當充分考慮所處的行業領域、數據競争狀況、數據安全的實際保護能力等因素,對促進競争和鼓勵創新的領域以及在數據安全保護能力較強的平台之間鼓勵率先實現個人數據攜帶權。從美國的實踐來看,其在個人數據攜帶權具體的适用領域方面,也是基于本國國情,優先選擇在醫療健康信息與金融信息等領域率先适用,通過州一級的《加州消費者隐私保護法》(CCPA)等法律以及聯邦層面的《兒童在線隐私保護法》(COPPA)和《多德—弗蘭克法》(Dodd-Frank Wall Street Reform and Consumer Protection Act)等規定了個人數據攜帶權。從我國的實際情況來看,優先選擇電子商務、醫療、金融等領域,通過制定特定行業的數據監管規則和數據自律規範貫徹實施個人數據攜帶權不失為一種可行的路徑。
其次,嚴格限定個人數據攜帶權的适用對象。如歐盟第29條工作組對GDPR中個人數據的解釋那樣,個人數據隻包括由數據主體直接提供的數據以及“觀測數據”。如果數據主體請求轉移該範圍以外的數據或者數據獲取方通過爬蟲技術爬取公開網絡的個人數據之外的數據,例如數據持有企業經過處理的衍生數據等,均屬于典型的數據侵權行為。對于數據持有企業來說,如果其對采集的數據進行加工與處理,“可能享有一種新的‘身份’——數據生産者”,“并似可創設整合為一種權利形态”即數據生産者權。若數據獲取方要獲得這些衍生數據,都必須嚴格按照企業數據獲取“三重授權原則”的要求由數據持有企業進行專門授權,否則即屬違法。如此一來,數據持有企業可能有更強的動機去處理匿名化的數據,進而免受個人數據攜帶權施加的義務,有利于推動數據要素化和數字經濟的發展。因此,對于衍生數據,必須明确排除其适用個人數據攜帶權規則。另外,對于與數據主體相關的其他用戶的個人數據,數據獲取企業在獲得相應主體的單獨授權之前,不得依據數據主體的個人數據攜帶權而獲取。比如在新浪微博訴脈脈案中,數據獲取方未經授權便獲取了非新浪微博用戶的通訊錄數據,這就是一種違法行為,這些數據也必須從個人數據攜帶權規則的适用範圍内予以排除。
再次,通過引入“數據盜用理論”對數據持有企業的正當權益實施法律保護。在2022年4月24日國務院新聞辦舉行的2021年中國知識産權發展狀況新聞發布會上,國家知識産權局局長申長雨表示,要承認和保護數據處理者的合理收益。雖然目前我國在法律上并未對數據持有企業通過勞動投入獲取的個人數據賦予明确的數據權利,但如果這樣的個人數據被其競争者竊取或者盜用,無疑會對數據持有企業的利益造成侵害。就這些數據本身來說,其并不屬于衍生數據,按照個人數據攜帶權的要求,倘若數據獲取企業獲得了數據主體的授權,其自然有權獲取數據。那麼,對數據持有企業的這種正當的數據權益如何實施保護,成為擺在司法機關面前的一道難題。美國司法實踐中提出的“數據盜用理論”或許可以為我國提供借鑒。在美國聯邦最高法院1918年審理的International News Service v. Associated Press案中,原告美聯社(Associated Press)和被告國新社(International News Service)同為新聞通訊社公司,國新社通過賄賂美聯社職員等方式,獲取後者的新聞信息并提前發布,美聯社以損害其公司合法競争權益為由起訴國新社。法院在審理中認為,新聞數據本身并不受知識産權保護,但被告在明知新聞信息屬于原告的合法勞動所得的情況下,為了獲取其自身的競争利益和競争優勢,在未經授權的情況下獲取原告的新聞數據,構成數據盜用行為,應當承擔賠償責任。後來,在1997年美國第二巡回法院審理的NBA聯盟起訴摩托羅拉公司案(NBA v. Motorola, Inc.)中,法院進一步完善了“數據盜用理論”的構成要件,将“直接競争關系”“信息的時效性”“對數據産業的破壞”等要件納入。在我國引入個人數據攜帶權之際,數據持有企業的權益保護也同樣重要,在具有直接競争關系的數據企業間,可将“數據盜用理論”作為司法保護的一項重要規則,以此對個人數據攜帶權的适用形成一定的反向牽制,防止權利的絕對化,保護數據持有企業對其因勞動投入獲取的個人數據的合法權益。
最後,引入原位數據權作為個人數據攜帶權的有益補充。個人數據攜帶權突出數據的可自由流通性,而企業數據獲取“三重授權原則”強調數據持有企業對數據流通的限制,二者之間的矛盾清晰可見。既然是以法益價值平衡作為法律規制的出發點,那麼就需要考慮,在盡量保證數據流通性的前提下,是否有必要設置另外的新興權利作為替代方案。學者意識到,應當将數據的可攜帶性視為一種努力目标,并且應當根據不同的情形對數據控制者施加不同的責任。個人數據攜帶權在執行的過程中必然會提高數據持有企業的運營成本,這對于大型網絡平台來說可以通過豐富的數據服務予以彌補,但對于中小型企業來說,是一筆不得不考量的運營成本。與此同時,如前所述,個人數據攜帶權存在數據商業價值方面考量不足的缺陷。為此,建議引入歐洲學者提出的原位數據權,對作為中小企業的數據持有人的數據運營成本予以适當的彌補。所謂原位數據權,是指數據主體依法享有的在其數據所在場所使用個人數據的權利。原位數據權的本質是賦予數據主體(包括其授權的數據處理者)随時在數據持有企業處(即原位)使用數據的權利,它與個人數據攜帶權最大的差别在于,後者通常意味着數據的轉移;前者則無須轉移數據,而可由被授權的數據處理者将算法帶入原位數據并進行數據處理,并且作為授權方的數據主體有權随時撤回其數據處理授權。原位數據權的價值歸依是數據的可及性。它不僅解決了作為中小企業的數據持有企業的運營成本問題,而且從數據安全的意義上來說有利于避免數據轉移過程中的數據安全風險。我國《個人信息保護法》生效後,可在未來制定我國《個人信息保護法》的實施細則或在行業數據監管辦法中對原位數據權予以确認。
(二)對企業數據獲取“三重授權原則”的調适
1.可識别個人數據的流轉必須經過數據主體同意但并不必然要求數據持有企業同意
可識别的個人數據屬于原始數據,其本質是數據主體的數據。盡管在個人數據的收集過程中,數據持有企業付出了一定的投入和運營成本,但這無法從根本上改變數據的權屬問題。在數據企業之間通過開放公開數據共享模式(Open API)進行數據轉移的場景下,由于個人數據攜帶權的執行以及數據持有企業數據轉移義務的确認,數據法治的核心問題變成如何構建相對合理的利益補償機制。依筆者于本文中提出的設想,即引入原位數據權作為個人數據攜帶權的補充,對于适用個人數據攜帶權的數據持有企業,其數據采集成本将主要由其提供數據服務所得收益予以彌補,在法律上并不單獨為其設計補償機制。這也是目前國際上确認個人數據攜帶權的國家的通行做法。對于尚未明确适用個人數據攜帶權的行業領域,尤其是對于一些中小企業類的數據持有企業,可以通過原位數據權,确認數據獲取企業将算法代入“原位數據”,免除數據持有企業的個人數據轉移義務,從而盡量降低數據持有企業的數據運營成本。這樣,不僅能推動數據要素化的進程,而且能較好地對數據持有企業形成合理的利益補償機制,确保數據法治的正義和公平。
此外,對于通過開放公開數據共享模式獲取數據之外的大量的數據爬取行為,數據獲取方也通常基于“已經獲得用戶授權”這一“正當理由”而證成其行為的合法性。數據爬取行為屬于典型的非基于企業之間合意的數據獲取行為,這種行為在大數據時代具有正當性,其對于加強數據的深度開發利用,促進數據要素化具有重要的法律意義。在數據爬取的情形下,被爬取的個人數據往往屬于已經公開的數據主體的數據,具有公開性、開放性、公共性等特征,這些數據的自由流轉本身即社會化利用的手段之一。因此,作為爬取對象的個人數據,無需數據持有企業的同意,也不必經其授權,不适用企業數據獲取“三重授權原則”。
2.衍生數據的流轉必須經過數據持有企業的同意但并不必然要求數據主體同意
“對告知同意原則的合理限制,不應僅僅滿足于對隐私政策的評估,更需要進行價值層面的衡量并做出執法和司法上的正确判斷。”如果過度偏重于個人數據攜帶權而忽視數據持有企業的正當權益,數據持有企業必定失去加強數據服務創新和新産業更新換代的強烈動機,那麼,以所謂的保護數據主體之名而展開的數據法治最終也無法促進數據主體的消費福利。尤其是作為經過大量勞動和技術投入而制作的“數據産品”,數據持有企業對衍生數據自然應當享有一定的合法權益。企業數據獲取“三重授權原則”之所以強調數據轉移必須以數據持有企業的同意為前提,其根本考量也是保護數據持有企業的合法權益。
衍生數據有兩種。一種是經過匿名化和高度加密處理的數據,這些數據幾乎完全脫離了個人數據的屬性,是一種真正意義上的“可用不可見”“可控可計量”的數據資源,由于數據持有企業對這些數據資源的采集加工、流轉應用投入了資本和創造性智力勞動,使其成為具有價值創造的數據資産。依據“誰投資誰所有”的原則,其合法權利應當得到法律認可。對這一類衍生數據,數據中并不存在可見的個人信息,不牽涉數據主體的人格權保護的問題,因此,其流轉也無需要求數據主體同意。當然,從實際操作層面來看,因無法查看個人信息,這些數據的獲取方也不具備征求數據主體同意的客觀條件。對這類衍生數據的流轉不能一成不變地嚴格執行企業數據獲取“三重授權原則”。另一種衍生數據具有典型的“可見”屬性。這些數據也獲得了數據持有企業的大量智力投入,但是數據中的個人信息依然可見,或者其采用的數據加密技術過于簡單而達不到“可用不可見”的技術标準,經過第三方數據獲取企業“去匿名化”處理即可破解。這類衍生數據中的企業數據權利當然應當獲得保護,但數據的轉移必須獲得數據主體的同意,即嚴格執行企業數據獲取“三重授權原則”。
四、結語
随着大數據技術的迅速發展和普遍運用,傳統的人類社會正在步入一個具有現實性的數字虛拟社會,人們将其稱之為元宇宙。元宇宙的未來發展應将人的生命權、人格尊嚴等人類福祉作為科技活動的底線價值。筆者于本文中探讨的個人數據攜帶權和企業數據獲取“三重授權原則”作為大數據法治的重要組成部分自然也不例外。個人數據攜帶權是我國《個人信息保護法》上的一項重要的法定權利,其更加側重于數據主體的數據流動性價值的保護,通過反對數據(平台)壟斷的辦法,保護大數據時代人之所以為人的基本權利。企業數據獲取“三重授權原則”旨在對數據持有企業的在先數據權益實施法律保護,通過對數據持有企業賦予事實上的控制權力,保障其對數據流轉的決定權。這當然可能對數據獲取企業的數據可得性造成直接影響,并與個人數據攜帶權産生沖突。如何站在整體數據法治的視角對二者予以協調,無疑是數據立法和司法的當代使命。
“在創設個體權利之時,既要考慮所保護的利益之于該個體的價值與意義,同時也應始終将個體權利置于與他人利益、社會利益的平衡與協調之中,這樣的權利創設才能真正發揮作用。”本文的研究表明,一方面,個人數據攜帶權如果直接“全有或者全無”地适用于任何行業,可能對一些初創行業的發展造成障礙,與個人數據攜帶權相伴的數據轉移義務在某些情況下也可能導緻數據正義阙如的結果,并且其在具體執行中面臨着數據質量控制和數據安全防範方面的困境;另一方面,對所有數據不加區分地一味堅持企業數據獲取“三重授權原則”,可能對數據産業的良性發展造成阻礙,而其對于個人數據安全風險的防範意義也着實有限。為此,立法或者司法并不能輕率地在個人數據攜帶權和企業數據獲取“三重授權原則”之間“選邊站隊”,而必須在企業數據競争價值博弈模型中進行個案的價值抉擇與平衡。
對個人數據攜帶權而言,可以從其适用的行業領域、适用的數據對象、通過“數據盜用理論”的反向限制、新興數據權利(原位數據權)的引入與補充适用等方面進行相應的調适,以達到個人數據權利保護和數據公共利益的協調。對企業數據獲取“三重授權原則”而言,重點是區分不同的數據類型來确立數據流通的授權要件,合理協調數據持有企業與數據獲取企業之間的利益及其與整個數據産業競争的關系。總之,“重保護、輕利用”的數據治理理念會抑制市場活力,在數據競争糾紛中,必須“從權利侵害判斷範式向行為正當性判斷範式轉化”,确保數據私權與産業發展的良性互動。人們還必須意識到,數據安全保護應當是一項綜合性的系統工程,任何一項單純的權利或者司法裁判規則恐怕都無法徑行實現理想的數據安全價值。如何在本文的主題之上繼續探索具有可操作性的數據安全法治,将是又一項重要的課題。
