作为2018年5月25日生效的欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)的产物,数据可携权(the right to data portability)挥臂一掷,给全球数字市场的发展带来了深远的影响。事实上,早在2012年1月,欧盟委员会提出的数据保护草案中就引入了数据可携权。立法者的原旨兼有数据保护及竞争促进的考量,简言之即平衡数据流动的自由和监管,减少由于封锁效应带来的消费者福利损失,同时消除欧盟本土互联网企业的市场准入障碍。
继欧盟后,美国、印度、巴西等国家纷纷效仿,在本国法中引入数据可携权的相关规定,旨在实现对个人信息自决的高水准保护。数据可携权中赋予数据主体的副本获取权和数据转移权,无疑会对数据库庞大的互联网企业(即数据控制者)产生影响,无论从商业运营模式、数据存储方式考量还是从用户忠诚度方面考虑,均会给数字市场带来新一轮变革。此外,企业可能面临着数据保护立法与反垄断法竞合问责的风险。本文从数据可携权的全球立法现状入手,讨论其对互联网企业在数据保护及竞争方面产生的影响。
一、加强个人信息自决,数据可携权之风盛行
欧盟委员会在GDPR第20条规定数据可携权的内容,即当数据控制者(即企业)基于数据主体(即用户)的同意或者基于合同的约定,在以自动化的方式处理用户数据时,数据主体有权从数据控制者处以“结构化、通用、机器可读的格式”获取其曾提供的个人信息;同时,数据主体有权要求数据控制者将个人信息传输至另一控制者。
受此影响,2018年6月,美国也颁布了2020年实施生效的《加州消费者隐私法》(California Consumer Privacy Act,以下简称“CCPA”)。该法在第1798.100部分规定了用户的“访问及可携权”(right to access and portability),即通过身份核实后的消费者可以请求企业提供其收集的特定个人信息以及其他类别信息的副本,若企业以电子方式提供,则数据的副本必须“可携”,并且在技术上可行的情况下,应以“易于使用的格式”允许消费者将该信息传送给另一实体。
在欧美领导下,数据可携权立法盛行,相继不少国家均欲或正在本国法律中引入数据可携权的相关内容,如印度、巴西、新加坡、日本。
相较之下,中国对“数据可携权”的相似规定最早体现在2017年3月全国人大代表在两会上提交的《个人信息保护法(草案)》(以下简称“草案”)中的第16条“信息可携权”,其内容与欧盟GDPR数据可携权的内容基本一致。而后,2018年5月生效实施的非强制性国家标准《信息技术安全 个人信息安全规范》(以下简称“PISS”)第7.9条中也规定了,个人信息主体有权获取个人信息副本,且在技术可行的前提下还可要求个人信息控制者直接将信息副本传输给第三方。虽然该规范未直接使用“数据可携权”这一术语,但该条实际上囊括了信息主体对信息副本的获取及转移这两项内容。2019年初新修订的PISS草案中将个人信息主体获取个人信息副本的范围仅限于个人基本资料、个人身份信息、个人健康生理信息、个人教育工作信息。
二、重构数据市场格局,颠覆互联网企业现有模式
数据可携权的引入,对以大数据为依托的众多互联网企业都提出了更高的要求。以社交媒体这一互联网平台的重要分支为例,漫溯社交媒体的发展史,其实也是企业之间相互争夺资源与财富的战争史。
20世纪末,以Blog为代表的新型社交媒体诞生之初,就因为其内容小众化、满足关系链构建与社群形成的用户需求而显著区别于传统媒体,广受网民青睐。20多年至今,由最初用户通过个人账号搜索添加好友,到后来软件授权获取通讯录信息对用户进行好友推荐,再到不同社交软件间互相开放登录端口、共享好友列表信息,用户向平台输送信息的形式在变,而构建关系网、建立好友圈的诉求却一直是社交媒体发展过程中不变的主题。而在这些竞争关系的企业中,先进去市场的企业积累了大量的用户,获客成本较低,用户粘性高。而后进入市场的企业所提供的产品与服务,用户转换服务需要耗费巨额的成本费用,本身很难积累用户,随着后进去市场的企业退出,由此形成了互联网时代下对于用户的锁定。此外,具有先发优势的企业为巩固现有优势地位,会采取各种方式提高行业准入门槛,如封锁数据,提高用户转换服务商的成本迫使用户留在其服务之中。
数据可携权的出现很好地解决了该问题。数据可携带权从数据主体视角设计数据流动规则,将数据获取和转移的权利回归于数据主体本身,加强用户对数据控制的同时进一步削减了数据主体转换服务商的成本,重构“用户/数据服务提供商”、“数字产品服务市场上的竞争者”之间的关系,由此影响个人数据控制格局。
三、互联网巨头的双重合规挑战:数据保护法与反垄断法的竞合
数据可携权理念上虽有促进自由、打破用户锁定效应的考量,但其更重于后者,因此适用对象囊括所有互联网企业。与数据可携权不同,反垄断法通过规制具有市场主导力量的垄断企业以促进竞争。数据可携权的适用对象范围远远大于反垄断法所规定的范围,体现了与反垄断法存在交叉、竞合的趋势。因此,随着全球数据立法的不断完善,互联网巨头企业将会受到数据保护法与反垄断法的双重监管,面临前所未有的巨大挑战。
(一)欧盟委员会突袭调查银行拒绝分享数据案(2017)
2017年10月,欧盟委员会突袭调查了欧盟成员国内(包括荷兰、波兰)的数家银行,怀疑这些银行与行业协会达成垄断协议且/或滥用市场支配地位,在用户已经授权的情况下,仍然拒绝向非银行的金融科技公司提供用户的账户信息。本案中被调查方(数据控制者)拒绝向第三方金融公司提供数据的行为,与数据主体的授权相悖,其实是以阻碍数据主体行使对数据的控制权的方式,阻碍了数据的流动性,构成《欧盟运行条约》第102条滥用市场支配地位中的拒绝交易行为。这种基于数据主体的需求转移数据的行为模式,与数据可携权的内在要求具有一致性。本案在GDPR生效前,仅适用反垄断法规制进行规制。而GDPR生效后,遇到此类竞合的情形,究竟欧盟委员会适用哪种法律来规制,目前仍未知。
(二)美国数据传输项目(Data Transfer Project)
在美国,2018年7月,由Google牵头,Facebook、Microsoft、Twitter三家互联网巨头参与的数据传输项目(Data Transfer Project,以下简称“DTP”)正式启动,该项目拟通过建立开源的数据可携平台,实现用户要求下的多个在线服务提供者之间的信息无缝传输。他们认为,数据可携性能够降低数据传输成本,便于用户在不同App之间自由切换使用,最终达到促进企业竞争的目的。DTP的上述创建旨意即体现了发起企业对数据保护法及反垄断法两法的综合考量。
四、总结
数据可携权作为GDPR较为经典的权利之一,是欧盟对个人信息权利的财产权属性与人格权属性的融合与相互妥协的产物,是数据自由流动与个人隐私保护两种价值取向的交叉。数据可携带权来了新的个人数据使用机制,确实能够给数据市场带来巨大变革。
反观中国,尽管信息安全保护相关法律中已纳入数据可携权的实质内容,但由于两大出处本身都没有法律强制执行力,因此实践中,中国互联网企业普遍未将数据可携权相关规定纳入企业网络合规政策中。遍寻国内主要的互联网平台的隐私政策不难发现,以微信、淘宝、微博、百度为代表的企业均未赋予数据主体副本获取权和数据转移权。
但由于GDPR中数据可携权的规定并不成熟,仍然存在着权利冲突和尚未形成统一操作标准、难以实施等特点。未来,我国是否在高层级的立法中明确引入数据可携权以及如何保障数据可携权的可实施性仍值得深究。(大成数据保护团队,Chloe & Taiga对本文有贡献。)
声明:本文来自个人信息与数据保护实务评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。