欧宝官方网址app

0531-82560088

欧宝体育平台app注册

欧宝体育平台app注册news

当前位置:首页 > 新闻中心 > 公司新闻

观点 刘辉:个人数据携带权与企业数据获取“三重授权原则”的冲

时间:2022-08-09 07:24:14   | 作者:欧宝官方网址app 浏览次数:1次

  原标题:观点 刘辉:个人数据携带权与企业数据获取“三重授权原则”的冲突与调适

  大数据应用和算法决策对个人生活的影响涉及个人自治、非歧视以及等基本权利。这在事实上向人类提出了新的时代之问:如何让数据的运用更加尊重人的隐私、尊严和自由,更加尊重人的主体价值,让人类摆脱被大数据以及数据平台操控的命运?欧盟《通用数据保护条例》(以下简称:GDPR)明确规定了以数据主体获取和传输个人数据为核心内容的个人数据携带权,该规定成为包括我国《个人信息保护法》、我国《数据安全法》等在内的各国数据和信息保护法律竞相学习和效仿的对象。无疑,通过立法确立个人数据携带权,强化数据主体控制个人信息、加强信息自治的能力,已经成为大数据法治的核心要义之一。

  数据的真实价值“就像漂浮在海洋中的冰山,第一眼只能看到冰山的一角,而绝大部分都隐藏在表面之下”。党的十九届四中全会确立了数据要素化在数字经济发展中的重要地位。在大数据时代,作为生产要素的数据正在成为企业的核心竞争力。在我国现行法对企业数据权利规定缺位的背景下,为了保护数据持有企业的合法数据权益,司法机关在新浪微博诉脉脉案中,创设了企业数据获取“三重授权原则”,并试图在数据持有企业、数据获取主体以及数据主体之间达成合理的平衡。此后,企业数据获取“三重授权原则”持续对类似的数据权益争夺案件的审判产生了重大影响,比如在腾讯诉微播视界案、淘宝诉美景案等案件中,“三重授权原则”均得到适用。

  企业数据获取“三重授权原则”是我国法院处理企业数据争夺案件的一项重要司法创造,从本质上讲,它是一项诞生于我国《个人信息保护法》制定之前并沿用至今的司法判断规则。源于GDPR的个人数据携带权实际上与《欧盟基本权利》(The European Union Charter of Fundamental Rights)第八条的“个人数据受保护权”一脉相承。有学者提出,该权利处于人权演进进程中的最前沿,并且将会被划入第四代人权,其所指向的对象是个人数据。企业数据获取“三重授权原则”保护的对象是企业对其持有的“享有竞争利益”的数据,我国目前司法实践并未明确界定其数据的范围,但强调对数据持有企业的在先数据权益予以保护。由此,个人数据携带权与企业数据获取“三重授权原则”不仅在保护和适用的数据对象上可能存在交叉重合,而且从更深层次来讲,二者无论是在宏观的数据竞争治理理念方面还是在微观的数据流转规则方面,均存在一定的共时性冲突。在个人数据携带权已被规定于我国《个人信息保护法》并将逐步在一些相关行业中贯彻的当下,廓清二者之法理逻辑,并找出适当的调适方案,将是未来我国个人信息保护立法和司法面临的重点和难点所在。

  笔者于本文中将首先对个人数据携带权与企业数据获取“三重授权原则”的法律构造予以澄清,在此基础上,梳理二者在价值理念和数据流通规则方面的冲突,然后着重从价值博弈分析以及法理基础解构的视角,提出冲突的解决思路,最后分别从个人数据携带权与企业数据获取“三重授权原则”的角度,提出未来数据法治实践中可能的双向调适路径。

  如果说互联网时代更加注重信息的交流、互通与协作,那么大数据时代更加强调的是数据的分析与预测功能。当用户的个人信息被平台(数据控制者)收集并用于大数据分析,数据控制者往往可以对用户的个人生活习惯、消费倾向、兴趣爱好等进行精准的“数据人格”分析。这种在虚拟数据环境下的“数据人格”通常会成为网络平台向用户提供精准、个性化的电子商务、金融、医疗、教育、新闻等各种服务的科技基础。用户在享受数据科技带来福利的同时,亦不免陷入“信息茧房”“大数据杀熟”“平台‘二选一’”等困境。“人类迈向‘算法统治’时代的主要标志在于,越来越仰赖算法帮助或代替我们做出决策。”“基于数据主体、数据处理者和数据控制者之间市场地位的不均衡以及技术的偏见,数据主体对于数据自决利益的丧失,亟须通过制度的安排寻找数据各方主体的利益平衡点。”个人数据携带权就是强化数据自治的基本权利工具。

  个人数据携带权也被称为“个人数据可携权”“个人信息可携权”,尽管中外立法对其表述不尽相同,但学者一般从GDPR第二十条出发,将其定义为:数据主体有权以结构化、常用和机器可读的格式获得其提供给数据控制者的有关他或她的个人数据,或有权无障碍地将此类数据从其提供给的数据控制者那里传输给另一个数据控制者。2021年8月20日通过的《个人信息保护法》首次在我国法上对个人数据携带权进行了规定,该法第四十五条规定,个人有权向个人信息处理者查阅、复制其个人信息。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。一般认为,个人数据携带权包含三项重要的子权利,即个人数据获取权、个人数据转移权、个人数据转移请求权。

  个人数据获取权即数据主体无障碍地从接受其提供个人数据的数据控制者处取回其个人数据的权利。个人数据获取权可视为一种“强化版”的数据访问权,之所以称为“强化版”,主要体现在两个方面。其一,个人数据获取权具有数据获取格式方面的特殊性,即其获取的是一种结构化、通用可读的数据。这种数据与GDPR第十五条所规定的数据访问权的内容存在重大差异:在访问权的场合,数据控制主体并不具有提供这种特定格式数据的法定义务。在大数据时代,个人数据获取权通常体现为一种数据下载权,即在网络平台自由下载前述格式数据的权利。其二,个人数据获取权项下的数据具有内容的特殊性。根据欧盟第29条工作组(WP29)的解释,个人数据获取权下的数据除了狭义的由数据主体直接提供给数据控制者的数据外,还包括数据控制者观测到的数据主体在使用特定服务中记录的数据,即“观测数据”(observed data),例如数据主体在使用服务的过程中留下的浏览历史数据、用户的流量数据以及历史方位数据等。

  个人数据转移权,即数据主体将其获取的上述数据,自由并自主地将其转移至其他数据控制者的权利。个人数据转移请求权即在技术可行的前提下,数据主体请求数据控制者将这些特定格式的数据免费转移至其指定的数据控制者的权利。这两项权利的区别在于,前者是数据主体获取数据后的自主转移,而后者是数据主体在不获取数据的前提下,直接请求数据控制者履行转移义务。

  从个人数据携带权的权利构造不难看出,设立该权利的根本宗旨就是要强化数据主体的信息自决权,提高数据主体的信息自决能力。信息自决的一个重要价值在于确保实现人格自由发展。从某种意义上讲,GDPR本身就是一个以个人信息自决为中心的数据权利保护体系。申言之,中外数据立法之所以如此强调信息自决权,一个重要原因就是,在大数据时代,面对数据主体和数据控制者巨大的市场地位落差,理性人的“意思自治”部分丧失了权利行使的空间。数据立法一个重要的使命就是使数据主体有能力摆脱数据控制者“无声的奴役”,也就是尽可能缓和数据主体被动依附于数据控制者而产生的用户黏性,打破数据控制者制造的信息锁闭效应。

  以法学方法论的视角观之,立法主要是通过一种强制转移数据控制的办法,来确保数据主体的自治能力。众所周知,数据产权是悬在数据立法之上的达摩克利斯之剑,数据的多维面向及其管理与运用的特殊性决定了传统的具有典型排他性的民法所有权很难直接适用,要在不同数据法律关系主体之间按照传统民事权利保护的模式进行保护异常困难,这种立法路径也没有被2022年2月23日公布的欧盟《数据法》(Data Act)草案所采纳。在此背景下,学者和实务界都将重点更多地放在了行为规制的路径上,通过个人数据携带权入法,强行转移数据控制的主导权。具言之,如果数据主体不享有个人数据携带权,数据控制的主导者通常在数据持有企业一方。就数据控制和处理行为本身而言,数据主体始终处于被动的状态。反之,个人数据携带权走出了消极防御的范畴,让数据主体有可能成为个人数据控制和转移的主宰,进而实现数据控制主导权的移转乃至数据服务体系中心的转换,从以数据控制者为中心转换为以数据主体为中心。

  意大利罗马第三大学著名教授法比奥·巴桑(Fabio Bassan)曾言,法学家对数字平台的定义既有契约性的,也有监管性的,因为它必须同时满足私人和公共监管的需要。数据治理具有公私交融性,“法律可以审慎地应用反不正当竞争法,对某些数据进行保护”。由于我国长期以来在数据竞争方面的立法滞后,法院在面临大量的企业之间的数据争夺案件时通过司法创造,最终在新浪微博诉脉脉案的二审民事判决书中明确了企业数据获取“三重授权原则”。

  该案中,原告微梦公司经营新浪微博并向用户提供微型博客服务,被告淘友技术公司和淘友科技公司开发的脉脉软件和网站主要向用户提供移动社交服务。为了尽可能地向用户提供社交机会和交友服务,被告采取了关联与分析用户在原告所经营的微博服务中所收集的个人及其通讯录等数据的行为。事实上,原告与被告早先签订了行业领域所公认的开放平台数据获取协议(Open API),但原告在其对被告主张的四项不正当竞争行为指控中,提出被告超越开放平台数据获取协议非法抓取和使用用户信息,并“非法获取并使用脉脉注册用户手机通讯录联系人与新浪微博用户的对应关系”。北京知识产权法院在该案二审过程中认为,数据获取企业在通过开放平台数据获取协议模式获取个人数据时,应当获得“三重授权”。第一重授权是作为数据主体的用户对数据持有企业(数据控制者)的授权,即用户允许数据持有企业向数据获取企业共享数据。第二重授权是作为数据共享让渡方的数据持有企业的授权,即数据持有企业允许数据获取企业获取数据。在此环节,双方主要是通过签订开放平台数据获取协议的形式明确双方数据共享的具体范围及各自权利义务的内容。第三重授权是数据主体对数据获取企业的授权,即数据主体允许数据获取企业处理、控制和使用其获取的来自数据主体的数据(详细授权规则如图1所示)。

  企业数据获取“三重授权原则”本质上是关于企业之间数据获取的一种司法判断规则,它充分肯定数据持有企业对其持有数据的合法权益。“从传统劳动价值理论的观点来看,数据权劳动成本激励理论秉持的是以劳动报酬、投资回报激励数据流通利用的法律思维。”尽管目前我国法律并未对数据持有企业的数据权益进行明确规定,但在新浪微博诉脉脉案中,一审、二审法院均认为,作为数据持有企业的微梦公司在其经营活动中获取并持有的新浪微博用户个人数据,是其“重要商业资源”或者“经营资源”,而被告在未经其同意的情况下,超出开放平台数据获取协议范围过度获取用户微博数据并使用的行为,违背了行业公认的“商业道德”,导致被告自身降低了数据收集的经济投入,并且同时损害了微梦公司的竞争优势。

  在该案之后的腾讯诉今日看点案中,广东省广州市越秀区人民法院进一步认为,数据持有企业对其持有的用户数据享有竞争利益,这种竞争利益是数据持有企业获得我国《反不正当竞争法》保护的前提和基础;企业之间数据获取的不正当竞争案件的认定,应当首先考虑原告是否享有基于数据的竞争利益,在此基础上,再看数据持有企业与数据获取企业之间是否存在竞争关系,最后看数据获取企业的数据获取行为是否造成了数据持有企业的竞争利益损失。需要强调的是,在企业间的数据争夺案中,法院对竞争关系的认定总体呈现出开放和包容的态度:在淘宝诉美景案和腾讯诉微播视界案中,法院提出对竞争关系的认定不应局限于“同业竞争”,只要其对于数据的争夺会造成用户的此消彼长关系,即构成竞争关系。“竞争利益—竞争关系—竞争损失”是企业之间数据争夺案件审理的基本逻辑,而数据持有企业的数据利益成为“三重授权原则”保护的核心法益。

  2.企业数据获取“三重授权原则”试图构建以意思自治为中心的数据安全保护体系

  为了应对大数据时代对海量数据的分享、融合与处理带来的数据风险,“应该建立以数据风险管控为中心的数据安全范式:除了包括传统数据自身安全的保密性、完整性、可用性,还要确保数据利用安全的可控性和正当性”。到底如何保障好数据利用的安全性,是数据安全法治必须予以回答的一个重大问题。尽管企业数据获取“三重授权原则”强调对数据持有企业的权益保护,但是这种保护必须以保障用户的个人数据安全为前提。从方法论的视角来观察,司法机关在创制企业数据获取“三重授权原则”时,本身就试图去构建一种以合同为基础、基于数据主体和数据持有企业充分意思自治的数据安全保护机制。一方面,“三重授权”蕴含了数据持有企业的单方授权,这对数据获取企业获取数据具有决定性意义。“数据行业的有序发展应当高度强调契约精神在数据获取与利用规则中的重要价值。”在开放平台数据获取协议的数据获取模式下,双方签订的数据开发协议是数据获取的基本法律依据,在司法实践中,其法律效力受到法院的充分肯定。于此,数据持有企业对于数据获取与利用具有充分的决策权。另一方面,企业数据获取“三重授权原则”包含了数据主体的“双重授权”,其不仅能够决定数据持有企业能否向数据获取企业提供个人数据,而且能够决定数据获取企业是否可以处理其个人数据以及基于何种目的、在何种程度处理其个人数据。所以,“三重授权原则”的本质与核心其实是意思自治。

  在意思自治的基础上,企业数据获取“三重授权原则”还寄托了创制主体对其担负起数据安全保障的重任。在大数据时代,由于大数据处理技术的高度专业性、复杂性,数据主体通常无法真正理解和有效保护个人隐私。强化网络平台等大型在线企业的治理,配置与其控制力和影响力相适应的个人信息保护特别义务,即“守门人”义务,是数据安全治理的大势所趋。“互联网平台理应对第三方应用利用用户数据承担一定的监督和管理责任,确保个人信息不被滥用。”一方面,企业数据获取“三重授权原则”在事实上赋予了数据持有企业审查数据获取企业通过数据接口获取数据的安全性,其有权拒绝向存在重大数据安全隐患的数据获取方提供数据。另一方面,由于作为用户的数据主体对于数据获取企业直接提供的数据安全格式条款往往缺乏足够的认知能力,数据持有企业可以帮助用户开展技术和法律层面的实质审查,从而保护数据主体的数据安全。当然,这样的数据安全机制是否能够切实有效发挥预期的功能,仍有待进一步验证。

  尽管个人数据携带权已经为我国《个人信息保护法》等法律法规所承认,但作为一项新兴的数据权利,其“尚未具备成为一种成熟型权利的条件”,不应将其视为一种“类似数据访问权的基本权利”,而应当将其视为一种“柔性权利”或努力目标。该权利与我国《个人信息保护法》出台以前我国法院已经创制并一直沿用至今的企业数据获取“三重授权原则”在价值理念与数据流通的规则要求等方面存在如下明显的冲突。

  尽管学者在个人数据携带权是否属于个人基本的数据权利方面存在分歧,但无疑,个人数据携带权是一项重要的个人数据权利。权利意味着法律关系主体的选择自由,个人数据携带权赋予了数据主体极大的数据控制能力和数据处理自由。从数据控制的视角来说,个人数据携带权宣示了数据主体随时从数据持有企业取回个人数据的权利,即享有个人数据获取权;从数据处理的角度来说,数据主体不仅可以自主地将其取回的个人数据移交给数据获取方,而且可以在不取回个人数据的前提下,直接要求数据持有企业将其数据按照“机器可读”的格式转移给数据获取企业。法律之所以对数据转移的格式有明确的要求,其根本意义同样在于保障数据主体的选择自由,因为只要在技术可行的条件下,保障了数据传输的格式,也就直接保障了数据获取企业对该数据的处理便利,这其实也是在保障数据主体转移数据、授权数据获取企业按照其意志处理数据的权利。GDPR确认个人数据携带权的原因也正在于此,它折射出欧盟数据法制出于基本人权保护的考虑,对个人隐私的特别重视和对数据自由的高度崇尚。

  与个人数据携带权不同,企业数据获取“三重授权原则”虽然也注重数据主体对个人数据的控制,比如在其整个授权体系中,数据主体自身的“双重授权”就占有重要的地位,但从根本上说,企业数据获取“三重授权原则”的本质和核心始终是一种数据竞争裁判规则。它的价值本位是维护数据持有企业的在先数据利益,保护既有的数据持有企业的合法权益,这与个人数据携带权的非排他性转移属性天然不同。企业数据获取“三重授权原则”的一大贡献在于承认了数据的商业价值,即认可个人信息主体与平台对同一数据同时享有不同的权益。质言之,企业数据获取“三重授权原则”主要是从数据的商业价值的角度,来维护数据竞争秩序的一种司法规则,个人数据携带权则主要是基于数字人权理念的角度,来保护个人数据自治的一种数据权利规则。个人数据携带权的价值本位是个人数据自治,“三重授权原则”的价值本位是企业数据竞争利益。

  由于个人数据携带权与企业数据获取“三重授权原则”在价值理念方面的天然差异,二者的并存必将带来司法实践中数据流通规则方面针锋相对的冲突。仍以新浪微博诉脉脉案为例,对于新浪微博起诉的淘友技术公司和淘友科技公司涉嫌的数据不正当竞争行为,数据主体是否享有个人数据携带权将对案件的审理产生决定性的影响。因为按照个人数据携带权的基本要求,数据主体具有对其个人数据的高度控制和决定权,作为数据获取企业的二被告,只要其获得数据主体的授权,此时无论数据持有企业是否同意数据获取企业获取数据,都不能影响数据获取企业获取数据主体的个人数据。不仅如此,在技术可行的条件下,数据主体还可以直接要求其向二被告提供个人数据,基于个人数据携带权的基本法律构造,新浪微博不仅不得拒绝提供,而且还必须按照机器可读的格式,为数据获取企业免费提供。由此也引发一个值得深思的问题:数字经济的发展和数据要素化进程的推进高度依赖于数据企业在数据研发方面的创新,对个人数据携带权的绝对保护虽然有利于打破平台的数据锁闭效应,但显然不利于数据企业对数据的深度开发,这与现代数据法治的精神可能是背道而驰的。

  反观企业数据获取“三重授权原则”,其天然的使命是维护在先数据企业的合法数据利益(数据竞争利益)。这也正是学者所倡导的“企业数据使用问题应当留给最了解自己商业运营实践的公司,由具有利益关系的公司通过合同和技术措施实现企业的数据权益和经营利益”。当然,这无疑会在一定程度上限制和阻碍数据流通。比如具体到新浪微博诉脉脉案,数据获取企业要想获取用户的个人数据,其必须满足“三重授权”的基本要求,其中就包括数据持有企业的单独授权(授权2)。易言之,如果用户授权新浪微博对二被告开放获取数据(授权1),用户也授权了二被告获取并处理其数据(授权3),但是由于缺乏新浪微博对二被告数据获取行为的授权,二被告也可能因涉嫌侵犯新浪微博的“数据竞争利益”、破坏“数据竞争秩序”而无法获取用户的个人数据。或许是意识到了这样的数据持有企业授权对数据流通的限制,近年来,美国司法实践对于授权的苛刻要求呈现出放宽的趋势。不难看出,在企业之间的数据争夺案的审理中,个人数据携带权与企业数据获取“三重授权原则”对于数据流通要素的限制不同,这对此类案件的司法裁判带来极大的挑战。

  知识产权与创新发展中心(以下简称“中心”)成立于2008年,是中国信通院一级业务部门,高级工程师及以上职称人数占比近40%。

  十余年来,中心始终秉承“鼎力支撑政府 热忱服务行业”的宗旨,立足“政府的IPR高端智库 行业的创新IPR平台”定位,充分发挥中国信通院在技术标准、法律法规、政策经济、行业创新、产业发展等领域的整体优势,聚焦于知识产权创造、运用、保护、管理、服务全链条,致力于解决中国信息通信产业所面临的各类战略性和现实性知识产权问题,助力国家知识产权强国建设、激发全社会创新活力、推动构建新发展格局。

  1.承担信息通信、信息化和工业化融合领域的知识产权和创新发展相关法律政策研究工作,开展数字经济反垄断规制和不正当竞争研究和支撑;

  2.承担重大科技项目知识产权和创新发展数据库、服务平台建设工作,为政府和项目管理部门提供技术支撑;

  3.开展全国范围内的知识产权鉴定和电子数据司法鉴定,标准必要专利评估和认定;

  4.提供企业合规治理和管理体系认证(ISO 37301),企业合规师培养,知识产权、科技成果转化咨询服务。

欧宝官方网址app

欧宝体育下注平台

欧宝体育平台app注册

欧宝体育平台app注册

销售电话:0531-82560088,18653155353     联系人:王经理    传真:0531-88986351

总部地址:济南市高新区天辰路978号元隆生物 1号楼4层

工厂地址:山东省济南市高新区港西路1777号山东省环保产业研发基地1号车间

 
QQ在线咨询
咨询热线
0531-82560088