闕梓冰

(清華大學(xué) 法學(xué)院,北京 海淀 100084)

① 2021年,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》,該意見稿第24條對可攜權(quán)的行使要件作出了規(guī)定,但該條例至今尚未出臺。

② 在邏輯關(guān)系上,數(shù)據(jù)是信息的載體,是信息在符號層的句法呈現(xiàn),承載個人信息的數(shù)據(jù)為個人數(shù)據(jù)。參見申衛(wèi)星:《數(shù)字權(quán)利體系再造:邁向隱私、信息與數(shù)據(jù)的差序格局》,載《政法論壇》2022年第3期,第96-97頁。需要說明的是,對于個人數(shù)據(jù)的范圍界定仍存爭議,本文所稱的個人數(shù)據(jù),并非歸屬(結(jié)果)意義上的個人數(shù)據(jù),而系事實意義上的承載個人信息的個人數(shù)據(jù)。

自歐盟《通用數(shù)據(jù)保護條例》(以下簡稱“歐盟GDPR”)確立個人數(shù)據(jù)可攜權(quán)以來,理論界和實務(wù)界對如何通過可攜權(quán)實現(xiàn)數(shù)據(jù)流通利用較為關(guān)注。我國《個人信息保護法》將可攜權(quán)成文化,但并未明確規(guī)定權(quán)利的行使條件和客體范圍,可攜權(quán)何以從規(guī)范成為現(xiàn)實仍有探索空間。①作為個人數(shù)據(jù)權(quán)能的組成部分,可攜權(quán)承載了立法者增強個人對其數(shù)據(jù)的控制權(quán)以及促進(jìn)市場競爭的重要價值期待,與此同時,權(quán)利的不當(dāng)行使也可能會產(chǎn)生諸多消極效應(yīng)。[1]在借鑒國外經(jīng)驗引入可攜權(quán)規(guī)則后,如何立足中國實踐對該規(guī)則予以細(xì)化,是當(dāng)前迫切需要解決的問題。

一、問題的提出

《個人信息保護法》第45條第3款規(guī)定,個人有權(quán)“請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者”,這在規(guī)范上確立了個人數(shù)據(jù)可攜權(quán)。②可攜權(quán)確立的初衷在于增強個人對其數(shù)據(jù)的控制,以及預(yù)防平臺壟斷行為、維護公平競爭。[2]但可攜權(quán)的行使也給企業(yè)商業(yè)數(shù)據(jù)保護帶來挑戰(zhàn)。

個人數(shù)據(jù)可攜權(quán)包含個人數(shù)據(jù)獲取權(quán)和個人數(shù)據(jù)轉(zhuǎn)移權(quán)兩項權(quán)能,分別對應(yīng)個人與數(shù)據(jù)控制者、數(shù)據(jù)控制者與數(shù)據(jù)接收者之間的利益沖突。就個人與數(shù)據(jù)控制者而言,若擴張可攜權(quán)的范圍,將增加數(shù)據(jù)控制者的負(fù)擔(dān),因為數(shù)據(jù)控制者必須提供“結(jié)構(gòu)化的、普遍使用的和機器可讀的”數(shù)據(jù)供用戶攜帶;數(shù)據(jù)控制者與數(shù)據(jù)接收者之間則存在競爭利益沖突,用戶從數(shù)據(jù)控制者處攜帶的數(shù)據(jù)將被數(shù)據(jù)接收者所獲取,數(shù)據(jù)接收者可以對相應(yīng)數(shù)據(jù)進(jìn)行加工使用,這可能損及數(shù)據(jù)控制者的競爭利益。

既有討論已經(jīng)充分認(rèn)識到可攜權(quán)對商業(yè)數(shù)據(jù)保護的挑戰(zhàn),并提出了相應(yīng)協(xié)調(diào)策略。針對個人與數(shù)據(jù)控制者之間的沖突,不少意見認(rèn)為應(yīng)借鑒歐盟GDPR的規(guī)定,對可攜權(quán)的范圍進(jìn)行限定,即可攜帶的數(shù)據(jù)不包括衍生數(shù)據(jù)(推測數(shù)據(jù))。[3]針對數(shù)據(jù)控制者與數(shù)據(jù)接收者之間的沖突,既有研究多認(rèn)為應(yīng)當(dāng)對數(shù)據(jù)接收者的權(quán)利進(jìn)行部分限制,例如應(yīng)遵守三重授權(quán)原則;[4]數(shù)據(jù)接收者僅能就接收的數(shù)據(jù)用于特定用途,不應(yīng)商業(yè)化利用等。[5]如此既可以方便個人行使可攜權(quán),也能夠有效保護數(shù)據(jù)控制者的利益。相反觀點認(rèn)為,不應(yīng)為了保護商業(yè)數(shù)據(jù)限制可攜權(quán)的范圍,否則相應(yīng)制度促進(jìn)數(shù)據(jù)流通利用的初衷將無法實現(xiàn)。在特定場景下,可攜權(quán)范圍應(yīng)包括數(shù)據(jù)控制者處理過的數(shù)據(jù),甚至衍生數(shù)據(jù)。[1]數(shù)據(jù)接收者更愿意接收能夠滿足再利用需要的數(shù)據(jù),若限定可攜帶的數(shù)據(jù)范圍,將使得攜帶后的數(shù)據(jù)脫離其基礎(chǔ)環(huán)境,數(shù)據(jù)的價值也大打折扣。(1)“Porting one’s own data removes that interaction context. In many applications, network effects and interactions are important in the value of the data.” MARTENS B, PARKER G, PETROPOULOS G, et al. Towards efficient information sharing in network markets[J].Working paper, 2021(12): 24. Available at SSRN: https://ssrn.com/abstract=3956256.比如,在社交平臺場景下,若把個人數(shù)據(jù)從前后文中單獨摘出,個人數(shù)據(jù)往往就失去了再利用的價值。[6]

可見,現(xiàn)行規(guī)范雖然確立了個人數(shù)據(jù)可攜權(quán),但對于可攜權(quán)的行使要件、客體范圍均未置明文,從而面對可攜權(quán)行使對企業(yè)商業(yè)數(shù)據(jù)保護構(gòu)成的挑戰(zhàn)。本文聚焦可攜權(quán)對商業(yè)數(shù)據(jù)保護的挑戰(zhàn)及應(yīng)對方案。首先,系統(tǒng)性回顧針對可攜權(quán)與商業(yè)數(shù)據(jù)保護協(xié)調(diào)方案的既有文獻(xiàn),梳理出旨在通過限制可攜帶的數(shù)據(jù)范圍以保護商業(yè)數(shù)據(jù)的模式,分析相應(yīng)模式的守成與不足;其次,回歸可攜權(quán)的規(guī)范意旨,重思可攜權(quán)所涉的利益關(guān)系,并基于公私法協(xié)同的理念,在價值層面探討私益保護與公共目標(biāo)再平衡;最后,探索應(yīng)對可攜權(quán)與商業(yè)數(shù)據(jù)保護挑戰(zhàn)的總體思路,從制度設(shè)計的角度提出協(xié)調(diào)二者的具體方案。

二、可攜權(quán)限制模式:守成與不足

(一)可攜權(quán)限制模式的提出及其理據(jù)

回顧學(xué)界關(guān)于可攜權(quán)的討論,在《個人信息保護法》確立可攜權(quán)的前后,已有不少文獻(xiàn)關(guān)注到了可攜權(quán)對商業(yè)數(shù)據(jù)保護的挑戰(zhàn)。自歐盟GDPR確立可攜權(quán)以來,理論界的質(zhì)疑之聲未曾斷絕。其中,核心質(zhì)疑意見認(rèn)為,若將可攜權(quán)的客體界定得過于寬泛,將可能減損甚至否定數(shù)據(jù)控制者享有的數(shù)據(jù)利益;[7]將數(shù)據(jù)傳輸給數(shù)據(jù)接收者,還可能侵犯數(shù)據(jù)控制者的商業(yè)秘密或知識產(chǎn)權(quán)。[8]各企業(yè)之間甚至可能利用數(shù)據(jù)可攜權(quán)搶奪數(shù)據(jù),從而加大壟斷和不正當(dāng)競爭風(fēng)險。[9]

針對前述質(zhì)疑,既有觀點提出了應(yīng)對策略,即通過對可攜權(quán)進(jìn)行兩方面的限制,來保護商業(yè)數(shù)據(jù)。其一,應(yīng)限制可攜權(quán)的主動效力,即限制可攜權(quán)能夠攜帶的數(shù)據(jù)范圍。參考?xì)W盟GDPR的規(guī)定,可攜權(quán)的范圍應(yīng)限定為個人主動提供給數(shù)據(jù)控制者的數(shù)據(jù),以及訂立、履行合同所必需的數(shù)據(jù);不包括經(jīng)過數(shù)據(jù)控制者匿名化處理且無法復(fù)原的數(shù)據(jù)以及推測數(shù)據(jù)。[10]《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》第24條秉承此種觀點。其二,應(yīng)限制可攜權(quán)的被動抗辯效力,針對企業(yè)間的數(shù)據(jù)獲取行為,原則上應(yīng)遵守脫胎于裁判實踐形成的“三重授權(quán)”原則,可攜權(quán)不能成為數(shù)據(jù)接收者抗辯不當(dāng)數(shù)據(jù)獲取行為的工具。[11]論者之所以傾向于采取前述模式,從形式上看是借鑒國外經(jīng)驗,在價值根源上則是出于偏重保護數(shù)據(jù)控制者合法利益的考量。

首先,在規(guī)范層面,比較法上的諸多規(guī)范都已關(guān)注到可攜權(quán)與商業(yè)數(shù)據(jù)保護之間的緊張關(guān)系,對于二者的平衡,不少規(guī)范給予了明確答案。比如,歐盟GDPR第20條第1款將可攜權(quán)的客體范圍限定于基于數(shù)據(jù)主體同意或為履行合同所必需而收集,且以自動化方式處理的個人數(shù)據(jù)。這意味著歐盟GDPR系通過限制可攜權(quán)的方式調(diào)和二者的沖突。歐盟第29條工作組(WP29)發(fā)布的《關(guān)于GDPR下數(shù)據(jù)可攜權(quán)的解釋指南》再次重申可攜帶的數(shù)據(jù)不包括衍生數(shù)據(jù)和推測數(shù)據(jù)。(2)See Guidelines on the right to data portability | WP 242 rev. 01 (5 April 2017). https://ec. europa. eu/newsroom/article29/items/611233, Last visited on Oct. 25, 2022.美國《加州消費者隱私法案》同樣采取此種方案。(3)See California Consumer Privacy Act of 2018, 1798. 140(v), https://leginfo. legislature. ca. gov/faces/codes_displayText. xhtml?division=3. &part=4. &lawCode=CIV&title=1.81.5.Last visited on Oct.25, 2022.與此同時,歐盟GDPR第20條第4款明確,可攜權(quán)的行使不得影響他人的權(quán)利和自由,這被解讀為系回應(yīng)數(shù)據(jù)控制者和數(shù)據(jù)接收者之間的利益沖突問題,即相應(yīng)權(quán)利的行使不得對數(shù)據(jù)控制者的知識產(chǎn)權(quán)和商業(yè)秘密構(gòu)成妨礙。[12]在我國,《個人信息安全規(guī)范》(GB/T 35273-2020)第8.6條將可攜權(quán)的范圍界定為包括個人基本資料、個人身份信息、個人健康生理信息、個人教育工作信息四類,這顯示出標(biāo)準(zhǔn)制定者對可攜帶數(shù)據(jù)范圍的謹(jǐn)慎態(tài)度。

其次,在價值層面,對個人和數(shù)據(jù)接收者進(jìn)行限制,被視為平衡個人與數(shù)據(jù)控制者、數(shù)據(jù)接收者的利益。簡言之,可攜權(quán)雖具有刺激數(shù)據(jù)流動、促進(jìn)公平競爭和技術(shù)創(chuàng)新的作用,但這些均建立在數(shù)據(jù)“可以”被再利用的基礎(chǔ)上。可攜權(quán)項下能夠攜帶的數(shù)據(jù)范圍關(guān)涉到個人與數(shù)據(jù)控制者之間的利益平衡,應(yīng)合理分配雙方的權(quán)利義務(wù)。明確個人可以攜帶的數(shù)據(jù)范圍包括其主動提供的數(shù)據(jù)和訂立履行合同所必需的數(shù)據(jù),能夠加強個人對其數(shù)據(jù)的控制,經(jīng)過數(shù)據(jù)控制者算法處理后的數(shù)據(jù),已經(jīng)不屬于個人數(shù)據(jù)。明確不能攜帶相應(yīng)數(shù)據(jù),能夠有效降低數(shù)據(jù)控制者的負(fù)擔(dān),平衡個人和數(shù)據(jù)控制者的利益。另外,經(jīng)過數(shù)據(jù)控制者處理過的數(shù)據(jù)可能已經(jīng)符合企業(yè)商業(yè)秘密的保護標(biāo)準(zhǔn),若允許個人將其轉(zhuǎn)移到數(shù)據(jù)接收企業(yè),將可能使數(shù)據(jù)控制者的核心商業(yè)秘密被數(shù)據(jù)接收者反向破解,從而產(chǎn)生相應(yīng)的商業(yè)或法律上的風(fēng)險。[13]相反,限制可攜權(quán)的范圍,要求數(shù)據(jù)接收者僅能取得特定數(shù)據(jù),能夠平衡數(shù)據(jù)控制者和數(shù)據(jù)接收者的利益。

概括而言,既有文獻(xiàn)多認(rèn)為應(yīng)通過限制可攜權(quán)的方式,調(diào)和可攜權(quán)與商業(yè)數(shù)據(jù)保護的沖突。這既是比較法的通常做法,也得到了我國國家標(biāo)準(zhǔn)的確認(rèn),而且能夠在維護個人和數(shù)據(jù)接收者利益的同時,避免給數(shù)據(jù)控制者造成過重負(fù)擔(dān)和不利影響。

(二)可攜權(quán)限制模式的守成與失衡

前述可攜權(quán)限制模式在保護商業(yè)數(shù)據(jù)問題上具有守成優(yōu)勢,能夠有效緩解我國引入可攜權(quán)的擔(dān)憂。但與此同時,此種模式將導(dǎo)致數(shù)據(jù)接收者能夠獲取的數(shù)據(jù)極為有限,可攜權(quán)的制度功用無法得到良好發(fā)揮。

1.守成:企業(yè)商業(yè)數(shù)據(jù)的充分保護

在《個人信息保護法》立法過程中,就是否引入可攜權(quán)存在諸多爭議,不少意見擔(dān)憂可攜權(quán)的確立將大幅增加企業(yè)的經(jīng)營成本,導(dǎo)致企業(yè)競爭優(yōu)勢的喪失,甚至對我國數(shù)字經(jīng)濟的發(fā)展造成阻礙。[8]而將可攜權(quán)的范圍和效力限定在一定范圍內(nèi),能夠保護企業(yè)的合法投入,降低企業(yè)對于不正當(dāng)競爭的擔(dān)憂。

一方面,此種模式充分肯定了勞動創(chuàng)造價值論。根據(jù)洛克的勞動財產(chǎn)理論,付出勞動者應(yīng)享有勞動產(chǎn)品的財產(chǎn)權(quán),數(shù)據(jù)控制者通過數(shù)據(jù)處理行為所取得的利益理應(yīng)受到財產(chǎn)法的保護。[14]同時,在數(shù)據(jù)的采集和加工過程中,數(shù)據(jù)控制者需要投入巨大的資金及其他成本,肯定相應(yīng)權(quán)益受法律保護也是出于鼓勵其市場積極性的考慮。[15]另一方面,此種模式能夠充分保護數(shù)據(jù)控制者的競爭利益。在司法實踐中,無論是“新浪與脈脈糾紛案”“騰訊與微播糾紛案”還是“百度與大眾點評糾紛案”,關(guān)涉數(shù)據(jù)權(quán)益的糾紛主要都發(fā)生于企業(yè)與企業(yè)之間,爭議焦點亦在于用戶數(shù)據(jù)的獲取問題。司法實踐出于保護企業(yè)商業(yè)數(shù)據(jù)的需要,確立了“三重授權(quán)原則”,要求數(shù)據(jù)接收者在取得數(shù)據(jù)控制者的商業(yè)數(shù)據(jù)時,需要獲得用戶向數(shù)據(jù)控制者的授權(quán)、數(shù)據(jù)控制者向數(shù)據(jù)接收者的授權(quán)以及用戶向數(shù)據(jù)接收者的授權(quán),秉承三重授權(quán)原則的價值本位是維護企業(yè)數(shù)據(jù)競爭利益。(4)參見北京知識產(chǎn)權(quán)法院(2016)京73民終588號民事判決書。關(guān)于三重授權(quán)原則的具體解讀,可參見劉輝:《個人數(shù)據(jù)攜帶權(quán)與企業(yè)數(shù)據(jù)獲取“三重授權(quán)原則”的沖突與調(diào)適》,載《政治與法律》2022年第7期,第120-121頁。若允許用戶通過行使可攜權(quán)的方式任意攜帶數(shù)據(jù)至數(shù)據(jù)接收者處,數(shù)據(jù)接收者就完全可以主張此類數(shù)據(jù)是合法獲得的,不構(gòu)成不正當(dāng)競爭。因此,只有將可攜帶的數(shù)據(jù)范圍限制在一定范圍內(nèi),才能確保與三重授權(quán)原則保持一致,從而有效維護企業(yè)的競爭利益。

切實保護企業(yè)商業(yè)數(shù)據(jù)是確保數(shù)據(jù)市場健康發(fā)展的重要一環(huán),但并非全部,尤其是在“贏者通吃”的互聯(lián)網(wǎng)市場里,居于領(lǐng)先地位的平臺能夠利用其數(shù)據(jù)優(yōu)勢,享受遞增的規(guī)模收益,進(jìn)一步蠶食剩余的市場份額。[16]只有促進(jìn)數(shù)據(jù)更好地在市場中流通利用,才能夠為新進(jìn)經(jīng)營者開辟發(fā)展空間,這對于數(shù)字經(jīng)濟的長遠(yuǎn)發(fā)展至關(guān)重要。

2.失衡:可攜權(quán)的功用難以發(fā)揮

前述限制可攜權(quán)的規(guī)范設(shè)計,雖能夠維護企業(yè)商業(yè)數(shù)據(jù),但使得可攜權(quán)制度的初衷無法有效發(fā)揮?？蓴y權(quán)的規(guī)范目的既包括增強個人對數(shù)據(jù)的控制,也包括刺激數(shù)據(jù)流通、鼓勵市場競爭。可攜權(quán)限制模式雖具有部分守成優(yōu)勢,但不足也十分明顯,這表現(xiàn)為既不利于個人有效轉(zhuǎn)換平臺,也無助于促進(jìn)市場競爭。

首先,對于個人而言,可攜權(quán)的制度目的之一在于方便用戶在不同的平臺間進(jìn)行快速轉(zhuǎn)換,從而打破“鎖定效應(yīng)”,但若將個人能夠攜帶的數(shù)據(jù)范圍限定為主動提供的數(shù)據(jù),很可能無法實現(xiàn)制度初衷。例如,在本地生活平臺場景下,個人能攜帶的數(shù)據(jù)僅限于主動提供的姓名、聯(lián)系方式、地區(qū)等信息,至于個人的評論數(shù)據(jù)、偏好數(shù)據(jù)等,則可能被認(rèn)定為商業(yè)數(shù)據(jù)而無法攜帶,而后者往往是個人更為在意的轉(zhuǎn)移對象。此種模式將使得通過行使可攜權(quán)轉(zhuǎn)移的數(shù)據(jù)對于個人的意義大幅減損,個人轉(zhuǎn)移平臺的意愿也將降低,這無疑將進(jìn)一步加劇鎖定效應(yīng),不利于市場競爭。在社交平臺場景下,若個人無法直接攜帶通訊錄、聊天記錄、照片等數(shù)據(jù),則根本無法順利地在新平臺進(jìn)行社交活動。(5)在國外實踐中,ProgrammableWeb網(wǎng)站的專家成功下載了Facebook的諸多個人數(shù)據(jù),但因缺乏“前后文”的信息,使得個人在新平臺上根本無法找到好友。See MARTENS B, PARKER G, PETROPOULOS G, et al. Towards efficient information sharing in network markets[J].Working paper, 2021(12): 24.Available at SSRN: https://ssrn.com/abstract=3956256.可攜權(quán)之于打破平臺鎖定效應(yīng)的意義也將因此喪失。

其次,對于數(shù)據(jù)接收者而言,其最希望獲得市場價值大的觀測數(shù)據(jù)和衍生數(shù)據(jù)。此類數(shù)據(jù)若無法包含在可攜帶數(shù)據(jù)的范圍內(nèi),將使得用戶攜帶的數(shù)據(jù)欠缺再利用價值,鼓勵市場競爭的制度初衷也將無法實法。以社交平臺為例,和朋友的互動數(shù)據(jù)、共享的照片都是最具市場價值的信息。[17]數(shù)據(jù)接收方正是期待運用算法等手段對此類數(shù)據(jù)進(jìn)行分析,進(jìn)而通過了解個人數(shù)據(jù)關(guān)系鏈的模式實現(xiàn)相應(yīng)的商業(yè)目的。(6)在通訊錄數(shù)據(jù)背后,映射的是社會關(guān)系資本,包含著巨大的商業(yè)利益。參見包曉麗、熊丙萬:《通訊錄數(shù)據(jù)中的社會關(guān)系資本——數(shù)據(jù)要素產(chǎn)權(quán)配置的研究范式》,載《中國法律評論》2020年第2期,第149頁。若將可攜權(quán)的客體限制為主動提供的數(shù)據(jù),個人行使可攜權(quán)時能夠攜帶的數(shù)據(jù)極為有限,這無法滿足市場主體尤其是數(shù)據(jù)接收者的需求。(7)轉(zhuǎn)移的數(shù)據(jù)容易脫離既有的價值網(wǎng)絡(luò),從而無法確保同樣的數(shù)據(jù)在另一個競爭性平臺上獲得原有價值。參見胡凌:《功能視角下個人信息的公共性及其實現(xiàn)》,載《法制與社會發(fā)展》2021年第5期,第186頁。如此,可攜權(quán)制度促進(jìn)市場競爭的初衷將無法彰顯。

綜上所述,針對可攜權(quán)的行使對企業(yè)商業(yè)數(shù)據(jù)保護構(gòu)成的挑戰(zhàn),既有方案從比較法鏡鑒和價值平衡等角度出發(fā),主張采用可攜權(quán)限制模式,即將可攜權(quán)的主動和被動效力限定在一定范圍。此種方案雖有助于保護數(shù)據(jù)控制者的商業(yè)利益,但同時也將產(chǎn)生不利于個人有效實現(xiàn)平臺轉(zhuǎn)換、無法給數(shù)據(jù)接收者提供有效數(shù)據(jù)等負(fù)面效應(yīng)。

三、協(xié)同視野下的失衡矯治:強化與制衡

法律對利益關(guān)系的關(guān)注最終要落實在對主體的關(guān)切。前述可攜權(quán)與商業(yè)數(shù)據(jù)保護的協(xié)調(diào)策略之所以出現(xiàn)守成有余但功用不足的情況,根源還是在于未能全面把握可攜權(quán)背后的利益沖突關(guān)系,并以一以貫之的思路去協(xié)調(diào)相應(yīng)沖突?？蓴y權(quán)的復(fù)雜性在于其背后的利益糾葛并非是雙向的、線性的,而是呈現(xiàn)出多維度的網(wǎng)狀結(jié)構(gòu)。其中,國家作為公共利益的代表者所發(fā)揮的作用不可或缺。直面可攜權(quán)背后的復(fù)雜利益關(guān)系,并區(qū)分不同場景下的調(diào)和路徑,能夠在發(fā)揮可攜權(quán)制度功能的同時,避免損及其他利益。

(一)可攜權(quán)所涉利益關(guān)系的再衡量

1.可攜權(quán)的功能定位:從私益保護到公私法協(xié)同

回顧前述針對可攜權(quán)與商業(yè)數(shù)據(jù)保護協(xié)調(diào)方案的討論,不難發(fā)現(xiàn),論者所預(yù)設(shè)的利益沖突均局限在私主體之間,即主要精力在于分析個人與數(shù)據(jù)控制者、數(shù)據(jù)控制者與數(shù)據(jù)接收者之間的利益關(guān)系。在個人、數(shù)據(jù)控制者、數(shù)據(jù)接收者之間的私益保護沖突背景下,對于一方的偏重保護意味著對另一方的限制,可攜權(quán)與商業(yè)數(shù)據(jù)保護呈現(xiàn)非此即彼的關(guān)系。也正是在此種預(yù)設(shè)下,相應(yīng)方案的選擇成為單純的優(yōu)劣比較或價值取舍?；诳蓴y權(quán)潛在的增加數(shù)據(jù)控制者負(fù)擔(dān)、縱容不正當(dāng)競爭的負(fù)面效應(yīng),論者多在選擇上偏向商業(yè)數(shù)據(jù)保護,由此形成可攜權(quán)限制模式。

前述論斷實質(zhì)上是將可攜權(quán)作為一種旨在保護私主體利益的制度,但這并不能完整呈現(xiàn)可攜權(quán)的全貌。作為個人數(shù)據(jù)權(quán)益的組成部分,可攜權(quán)不僅具有私益保護功能,還具有公益促進(jìn)面向。個人信息保護的整體制度呈現(xiàn)出公私法融合特征,無論是法律淵源、調(diào)整關(guān)系、保護群體、保護法益以及損害賠償、違約救濟等部分,都采取了公私法協(xié)同模式,個人信息保護法不僅保護個體的自主利益,同時也承載著促進(jìn)創(chuàng)新等公共職能。[18]

可攜權(quán)作為《個人信息保護法》確立的個人信息權(quán)益,具有公私法融合的特征。立法者在已經(jīng)認(rèn)識到可攜權(quán)潛在的負(fù)面作用的情形下,仍確立了可攜權(quán)制度,不僅是為了體現(xiàn)自然人對其個人數(shù)據(jù)的支配性、方便個人轉(zhuǎn)換平臺,更是為了“打破數(shù)據(jù)領(lǐng)域的壟斷問題,激勵行業(yè)競爭和技術(shù)創(chuàng)新”。[19]立法者的這一期待與私益保護并不直接相關(guān),更多體現(xiàn)的是促進(jìn)公共利益的面向。正如有的學(xué)者所概括的那樣,可攜權(quán)是一種策略性的規(guī)制工具,秉承反壟斷、促進(jìn)競爭的理念,發(fā)揮鼓勵技術(shù)創(chuàng)新和促進(jìn)產(chǎn)業(yè)發(fā)展的作用。[5]

若僅集中精力于形式化方案的推演和優(yōu)劣比較,難免會忽視甚至遺忘制度背后的功能預(yù)設(shè),以至于得出的結(jié)論明顯背離人們對相應(yīng)規(guī)則的功能期待。[20]可攜權(quán)制度的功能預(yù)設(shè)與知情同意權(quán)、查閱復(fù)制權(quán)、更正刪除權(quán)并不完全相同,相較于后者所表現(xiàn)出的私益保護面向,前者更多地表現(xiàn)出推動數(shù)據(jù)流通利用、促進(jìn)市場競爭、打破數(shù)據(jù)壟斷進(jìn)而提升社會福祉的公共功能。因此,其他利益在與可攜權(quán)發(fā)生沖突時,相應(yīng)的利益衡量都應(yīng)置于公私法協(xié)同的場景下進(jìn)行考察。在公私法協(xié)同視野下,個人、數(shù)據(jù)控制者、數(shù)據(jù)接收者的利益需要與技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展等公益目標(biāo)之間進(jìn)行“再平衡”。

2.公私法協(xié)同下的利益沖突再衡量

在公私法協(xié)同視角下,可攜權(quán)所承載的公益目標(biāo),需要通過擴張可攜帶的數(shù)據(jù)范圍予以實現(xiàn)。因為只有最大程度保障個人將有價值的數(shù)據(jù)攜帶至數(shù)據(jù)接收者,才可以更好地釋放數(shù)據(jù)所蘊含的經(jīng)濟效益,并預(yù)防和打破平臺經(jīng)濟主導(dǎo)下的數(shù)據(jù)壟斷行為,促進(jìn)商業(yè)數(shù)據(jù)的高效流通利用。[21]

數(shù)據(jù)控制者和數(shù)據(jù)接收者的算法模型、所積累的其他數(shù)據(jù)資源均有所差異,故而針對相同數(shù)據(jù)的挖掘可能會產(chǎn)生不同的經(jīng)濟效益。商業(yè)數(shù)據(jù)只有經(jīng)過反復(fù)利用、與不同數(shù)據(jù)進(jìn)行關(guān)聯(lián)聚合,才能更好地釋放所蘊涵的社會經(jīng)濟價值。商業(yè)數(shù)據(jù)不斷地被利用與分享,有助于提高資源利用效率,減少收集信息的重復(fù)勞動,進(jìn)而促進(jìn)社會共同福祉的提升。[14]正是在此種數(shù)據(jù)高效流通的背景下,數(shù)據(jù)企業(yè)想要取得競爭優(yōu)勢,必須不斷優(yōu)化其算法和算力,從而與其他企業(yè)良性競爭,如此,才能最終實現(xiàn)惠及社會大眾的整體目的。我國司法實踐也充分證實了此點。在前錦訴逸橙案中,法院認(rèn)為數(shù)據(jù)接收者經(jīng)由個人授權(quán)(獲取用戶在數(shù)據(jù)控制者處的賬號密碼),從數(shù)據(jù)控制者處遷移數(shù)據(jù)的行為不構(gòu)成不正當(dāng)競爭,因為“將該行為放置在反不正當(dāng)競爭法促進(jìn)市場經(jīng)濟健康發(fā)展,鼓勵和保護公平競爭,保護競爭者和消費者合法權(quán)益的立法目的下”,相應(yīng)行為屬于創(chuàng)新行為。(8)參見前錦網(wǎng)絡(luò)信息技術(shù)(上海)有限公司與上海逸橙信息科技有限公司其他不正當(dāng)競爭糾紛案,上海知識產(chǎn)權(quán)法院(2019)滬73民終263號民事判決書。可見,如果數(shù)據(jù)轉(zhuǎn)移行為整體有利于公益目標(biāo)的實現(xiàn),此時數(shù)據(jù)控制者僅以可能損害其利益為由的主張,就無法得到法院的支持。

可攜權(quán)協(xié)同維護公私法利益的本質(zhì),決定了其在促進(jìn)公益的同時,不能置私主體利益尤其是數(shù)據(jù)控制者利益于不顧。某項行為即便在整體層面有助于公共福祉的提升,也不必然就具有正當(dāng)性。法律規(guī)范在鼓勵“做大蛋糕”的同時,也應(yīng)注重私主體之間的分配正義,即兼顧個人、數(shù)據(jù)控制者和數(shù)據(jù)接收者的利益訴求。可攜權(quán)在發(fā)揮公益促進(jìn)功能時,可能損及數(shù)據(jù)控制者的利益,故有必要對個人能夠攜帶的數(shù)據(jù)范圍以及數(shù)據(jù)接收者處理行為予以必要的限制。第一,應(yīng)劃定個人可攜帶數(shù)據(jù)的負(fù)面清單,對于涉及企業(yè)核心商業(yè)秘密、企業(yè)具有知識產(chǎn)權(quán)的數(shù)據(jù),不屬于可以攜帶的數(shù)據(jù)。[22]即便此種攜帶有助于社會整體利益的提升,企業(yè)的商業(yè)秘密和知識產(chǎn)權(quán)保護屬于法律所傾斜保護的利益,對于立法者作出的此種判斷,裁判者應(yīng)予以尊重。第二,應(yīng)明確數(shù)據(jù)接收者接收數(shù)據(jù)行為的底線,對于非基于個人自主意志的數(shù)據(jù)轉(zhuǎn)移行為,原則上仍應(yīng)予以否定評價。第三,應(yīng)引入目的限定原則對數(shù)據(jù)接收者的行為進(jìn)行限制。目的限定原則是對《個人信息保護法》第6條的發(fā)展,要求數(shù)據(jù)接收者的處理行為應(yīng)當(dāng)與原平臺處理的目的保持一致,這主要是對數(shù)據(jù)接收者起到規(guī)制作用,以避免損害數(shù)據(jù)控制者的競爭利益。

在公私法協(xié)同視野下,可攜權(quán)需要充分發(fā)揮維護市場競爭秩序以及促進(jìn)數(shù)據(jù)經(jīng)濟發(fā)展等宏觀目標(biāo),故而擴張數(shù)據(jù)可攜權(quán)的范圍誠有必要,但此種擴張應(yīng)當(dāng)與可攜權(quán)的制度功能相一致。與此同時,數(shù)據(jù)控制者的核心競爭利益也應(yīng)得到維護,在擴張可攜帶的數(shù)據(jù)范圍的情況下,應(yīng)明確不可攜帶數(shù)據(jù)的類型,并以目的限定原則限制數(shù)據(jù)接收者對數(shù)據(jù)的處理,從而解決不正當(dāng)競爭的隱憂。由此,可攜權(quán)與商業(yè)數(shù)據(jù)保護的協(xié)調(diào)開始具有較為清晰明確的思路,具體可以從強化個人數(shù)據(jù)可攜權(quán)和制衡數(shù)據(jù)接收者處理行為兩方面展開。

(二)商業(yè)數(shù)據(jù)攜帶缺憾的補強

個人主動提供的數(shù)據(jù)屬于可攜權(quán)的客體,并無爭議。類似的,匿名化且無法復(fù)原的數(shù)據(jù)不屬于個人數(shù)據(jù),自然無法攜帶。有疑義的是觀測數(shù)據(jù)和衍生數(shù)據(jù)能否攜帶。在私益保護模式下,基于商業(yè)數(shù)據(jù)保護的需要,觀測數(shù)據(jù)和衍生數(shù)據(jù)往往都不應(yīng)納入可攜帶的數(shù)據(jù)范圍,因為這些數(shù)據(jù)在收集和整合過程中,更多體現(xiàn)的是企業(yè)的技術(shù)和財力優(yōu)勢,故相應(yīng)數(shù)據(jù)不再屬于個人數(shù)據(jù)的范疇。(9)對此也有反對意見,比如費澤就主張對個人行為作廣義解釋,無論是個人主動生成的數(shù)據(jù),還是被動記錄的數(shù)據(jù),如由機器生成或自動化的反映數(shù)據(jù)(Reflexive Daten),均屬于個人行為生成數(shù)據(jù)。Vgl.Karl-Heinz Fezer, Digitales Dateneigentum-ein grundrechtsdemokratisches Bürgerrecht in der Zivilgesellschaft, S.112.此種結(jié)論在純粹私益沖突的場合并無問題,例如,當(dāng)數(shù)據(jù)控制者和數(shù)據(jù)接收者均為普通平臺時,并不存在反壟斷等公益目標(biāo),從利益衡量的角度出發(fā),此時應(yīng)當(dāng)偏重保護企業(yè)的商業(yè)數(shù)據(jù),但在涉及公共利益的場合,應(yīng)當(dāng)以公私法協(xié)同思維考慮相應(yīng)問題。在特定情境下,可攜帶的數(shù)據(jù)范圍應(yīng)當(dāng)包括觀測數(shù)據(jù)。相應(yīng)場景表現(xiàn)為觀測數(shù)據(jù)構(gòu)成新進(jìn)數(shù)據(jù)處理者的必要基礎(chǔ)設(shè)施,而新進(jìn)數(shù)據(jù)處理者又無法以合理的價格或條件獲得的情形。[23]具言之,數(shù)據(jù)企業(yè)的競爭優(yōu)勢取得需要靠數(shù)據(jù)資源的積累,也依賴于通過算法等技術(shù)對數(shù)據(jù)資源進(jìn)行加工、整合與分析。用以加工、整合與分析的原始數(shù)據(jù)是企業(yè)競爭優(yōu)勢的基礎(chǔ),通過算法等技術(shù)進(jìn)行挖掘分析后產(chǎn)生的衍生數(shù)據(jù)或者數(shù)據(jù)產(chǎn)品方是企業(yè)競爭優(yōu)勢的核心。面對相同的原始數(shù)據(jù),不同的算法技術(shù)可能得出迥異的結(jié)論。觀測數(shù)據(jù)作為價值較大的數(shù)據(jù),往往可能成為新進(jìn)數(shù)據(jù)處理者必不可少的基礎(chǔ)設(shè)施,相應(yīng)數(shù)據(jù)的自由流動是打破數(shù)據(jù)壟斷、促進(jìn)市場競爭的關(guān)鍵。也正是在意識到數(shù)據(jù)資源可能自由流通后,企業(yè)方才更有動力更新自身的技術(shù),這正是可攜權(quán)制度所希望描繪出的市場圖景。對于衍生數(shù)據(jù),數(shù)據(jù)控制者于其中投入了更多的財力,且此類數(shù)據(jù)還可能蘊含數(shù)據(jù)控制者開發(fā)的算法等核心商業(yè)秘密,故其原則上不應(yīng)當(dāng)納入可攜權(quán)的客體范圍,否則將給數(shù)據(jù)控制者的利益造成較大損害。但也有例外,當(dāng)衍生數(shù)據(jù)成為新進(jìn)企業(yè)的必要設(shè)施,且相應(yīng)數(shù)據(jù)落入《反壟斷法》的規(guī)制范圍時,才可以例外地以對優(yōu)勢企業(yè)科以衍生數(shù)據(jù)的移轉(zhuǎn)義務(wù)。

前述例外情況僅適用于作為“守門人”的大型互聯(lián)網(wǎng)平臺。大型互聯(lián)網(wǎng)平臺依照《個人信息保護法》應(yīng)當(dāng)履行“個人信息守門人”的義務(wù),同時也屬于反壟斷法的重點規(guī)制對象,平臺對于可攜權(quán)的行使應(yīng)當(dāng)進(jìn)行更大程度的配合。在比較法上,歐洲《數(shù)據(jù)市場法》對大型互聯(lián)網(wǎng)平臺賦予了可攜帶的強制性義務(wù),要求其免費為商業(yè)用戶或商業(yè)用戶授權(quán)的第三方提供有效、高質(zhì)量的聚合或非聚合數(shù)據(jù),以確保用戶能夠?qū)崟r、持續(xù)地進(jìn)行訪問和使用。在美國相關(guān)法案里,具有支配地位的大型平臺(covered platform)也被科以強制性的數(shù)據(jù)轉(zhuǎn)移義務(wù),這同樣體現(xiàn)出鮮明的反壟斷傾向。例如,美國參議院通過的《美國創(chuàng)新與選擇在線法案》禁止平臺通過協(xié)議或技術(shù)限制的方式阻止商業(yè)用戶將其數(shù)據(jù)移植到其他系統(tǒng)或應(yīng)用程序;(10)See S.2992-American Innovation and Choice Online Act.https://www.congress.gov/bill/117th-congress/senate-bill/2992/text,Last visited on Oct.28, 2022.美國眾議院通過的《2021服務(wù)交換法案》則要求大型平臺應(yīng)維持?jǐn)?shù)據(jù)的“可攜帶性”,確保數(shù)據(jù)能夠符合議案規(guī)定的標(biāo)準(zhǔn)結(jié)構(gòu)化、常用和機器可讀的格式,經(jīng)用戶明示同意后,按用戶指示向其他平臺企業(yè)安全傳輸數(shù)據(jù)。(11)See US House of Representatives: Augmenting Compatibility and Competition by Enabling Service Switching Act of 2021.https://laweconcenter.org/wp-content/uploads/2021/06/Augmenting-Compatibility-and-Competition-by-Enabling-Service-Switching-Act.pdf, Last visited on Oct.28, 2022.法案提出的背景是,谷歌、亞馬遜、Facebook等大型互聯(lián)網(wǎng)平臺利用自身軟硬件與網(wǎng)絡(luò)基礎(chǔ)設(shè)施,拒絕或限制競爭企業(yè)或存在潛在競爭關(guān)系的企業(yè)與其互聯(lián)互通,同時通過協(xié)議或技術(shù)手段阻礙用戶數(shù)據(jù)轉(zhuǎn)移。相應(yīng)法案的提出,正是為了打破大型平臺的壟斷,促進(jìn)市場競爭。

此外,對于商業(yè)數(shù)據(jù)的攜帶,也應(yīng)考慮建立合理的收費補償機制。這是因為,數(shù)據(jù)處理者對于個人數(shù)據(jù)的處理付出了勞動,也投入了大量資金,建立收費補償機制同樣是在強化可攜權(quán)的基礎(chǔ)上平衡數(shù)據(jù)控制者與數(shù)據(jù)接收者的重要途徑。[24]

(三)不正當(dāng)競爭隱憂的化解

可攜權(quán)制度的初衷是鼓勵競爭,而非縱容不正當(dāng)競爭,故在對可攜權(quán)進(jìn)行強化后,對于企業(yè)擔(dān)憂的不正當(dāng)競爭問題,也應(yīng)設(shè)置相應(yīng)的機制予以化解。具體包括兩個方面,一是應(yīng)對用戶的自主轉(zhuǎn)移行為與數(shù)據(jù)接收者引導(dǎo)的轉(zhuǎn)移行為分別進(jìn)行規(guī)制,二是應(yīng)要求數(shù)據(jù)接收者恪守目的限定原則。

首先,應(yīng)區(qū)分?jǐn)?shù)據(jù)轉(zhuǎn)移的原因是用戶行使可攜權(quán)的自主轉(zhuǎn)移,還是在數(shù)據(jù)接收者的不當(dāng)引導(dǎo)下進(jìn)行的大規(guī)模數(shù)據(jù)遷移,后者仍屬于不正當(dāng)競爭行為。從數(shù)據(jù)的價值創(chuàng)造過程看,單一用戶的數(shù)據(jù)、集成大量用戶的大數(shù)據(jù)和基于大數(shù)據(jù)開發(fā)的衍生數(shù)據(jù)(數(shù)據(jù)產(chǎn)品)價值逐漸遞增。單一用戶的數(shù)據(jù)相較于孤立的個別數(shù)據(jù)具有更大的資源性價值,無論是瀏覽記錄、聊天記錄、郵件內(nèi)容,都能夠被新平臺用以對用戶喜好進(jìn)行深度分析進(jìn)而提供更好的服務(wù);大量用戶的大數(shù)據(jù)還可以被用于挖掘用戶群體的偏好信息,以及用戶之間的關(guān)聯(lián)關(guān)系,從而進(jìn)行流量變現(xiàn)和產(chǎn)品開發(fā);基于大數(shù)據(jù)開發(fā)的衍生數(shù)據(jù)和數(shù)據(jù)產(chǎn)品則是平臺取得經(jīng)營優(yōu)勢的核心競爭力。比如,社交平臺取得文字、圖片、視頻等數(shù)據(jù)后,通過加工可以分析出不同用戶的行為習(xí)慣與消費偏好之間潛在關(guān)聯(lián)的新數(shù)據(jù),進(jìn)而用以輔助商業(yè)決策、精準(zhǔn)營銷等。[25]數(shù)據(jù)價值的演進(jìn)過程決定了大量用戶的大數(shù)據(jù)和數(shù)據(jù)產(chǎn)品承載了數(shù)據(jù)控制者的核心競爭利益,在強化可攜權(quán)效力時應(yīng)當(dāng)對此有所回應(yīng)。為了避免以可攜權(quán)為由進(jìn)行的大數(shù)據(jù)爬取行為,需要區(qū)分用戶自主的轉(zhuǎn)移行為和數(shù)據(jù)接收方組織或引導(dǎo)用戶批量轉(zhuǎn)移數(shù)據(jù)的行為,前者符合制度目的,后者具有明顯的不正當(dāng)競爭色彩。司法實踐在一定程度上證實了此點,在騰訊與搜道網(wǎng)絡(luò)等不正當(dāng)競爭糾紛案,被告運用其開發(fā)的“聚客通群控軟件”大規(guī)模收集用戶聊天記錄等數(shù)據(jù),雖其抗辯稱系用戶授權(quán),但正如法院指出的那樣,數(shù)據(jù)資源的整體與單一原始數(shù)據(jù)個體享有不同的數(shù)據(jù)權(quán)益,整體爬取的方式對騰訊公司基于數(shù)據(jù)資源整體獲得的競爭權(quán)益構(gòu)成了實質(zhì)性損害。(12)參見深圳市騰訊計算機系統(tǒng)有限公司等與浙江搜道網(wǎng)絡(luò)技術(shù)有限公司、杭州聚客通科技有限公司不正當(dāng)競爭糾紛案,杭州鐵路運輸法院(2019)浙8601民初1987號民事判決書。

其次,數(shù)據(jù)接收者處理所接收的數(shù)據(jù)時,應(yīng)遵循目的限定原則,從而控制不正當(dāng)競爭風(fēng)險。在擴張可攜權(quán)范圍的同時,目的限定原則要求數(shù)據(jù)接收者的處理行為應(yīng)當(dāng)與原平臺處理的目的保持一致,這主要是對數(shù)據(jù)接收者起到規(guī)制作用,從而避免損害數(shù)據(jù)控制者的競爭利益。目的限定原則主要適用于社交平臺的數(shù)據(jù)攜帶場合,在社交平臺中,個人行使可攜權(quán)可能攜帶大量涉他數(shù)據(jù),在原平臺里,數(shù)據(jù)控制者處理相應(yīng)數(shù)據(jù)系取得了個人和涉他數(shù)據(jù)中的第三人的同意。對于數(shù)據(jù)接收者而言,相應(yīng)數(shù)據(jù)的攜帶系個人完成,數(shù)據(jù)接收者處理數(shù)據(jù)的權(quán)限也應(yīng)僅限于特定目的范圍內(nèi),也即數(shù)據(jù)接收者對于數(shù)據(jù)的使用權(quán)限無法超過原平臺。[26]例如,在平臺之間轉(zhuǎn)移通訊錄數(shù)據(jù),接收方需基于相同的目的處理該數(shù)據(jù),即僅供信息主體使用聯(lián)系地址和方式,便利個人重新找到好友。數(shù)據(jù)接收者不得對涉及第三人的數(shù)據(jù)進(jìn)行超目的處理,如用于挖掘用戶與第三人之間的社交關(guān)系,向第三人進(jìn)行精準(zhǔn)營銷等,除非數(shù)據(jù)接收者額外取得了用戶和第三人的同意。

綜上,可攜權(quán)不僅是私益保護制度,同時也承載著反壟斷、促進(jìn)市場競爭的公共功能,有必要在公私法協(xié)同治理的語境下,厘清可攜權(quán)所涉的利益關(guān)系,并將私法利益與公益目標(biāo)之間進(jìn)行再平衡?？蓴y權(quán)所承載的公共職能決定了個人能夠攜帶的數(shù)據(jù)范圍應(yīng)有所擴張,應(yīng)嚴(yán)格遵守可攜權(quán)的制度目的,并區(qū)分一般平臺與大型平臺予以適用。在擴張可攜權(quán)的同時,有必要設(shè)置配套制度保護企業(yè)的合法利益,包括應(yīng)區(qū)分用戶自主攜帶數(shù)據(jù)的行為和大規(guī)模數(shù)據(jù)轉(zhuǎn)移行為,明確后者仍屬于不正當(dāng)競爭行為;引入目的限定原則對數(shù)據(jù)接收者的處理行為予以限制,從而有效矯治可攜權(quán)在商業(yè)數(shù)據(jù)保護中的失衡景象。

四、結(jié)論

推動商業(yè)數(shù)據(jù)共享與再利用,個人數(shù)據(jù)可攜權(quán)于其中扮演重要角色。既有討論多從企業(yè)商業(yè)數(shù)據(jù)保護的立場出發(fā),認(rèn)為應(yīng)對可攜權(quán)的主動和被動效力進(jìn)行限制,此種模式有助于守成保護企業(yè)的合法利益,但不利于實現(xiàn)立法者的制度初衷,可攜權(quán)在商業(yè)數(shù)據(jù)保護中呈現(xiàn)失衡景象。究其原因,是對于可攜權(quán)的功能定位未能厘清,致使對于利益沖突的討論被局限于私益保護層面。可攜權(quán)作為一項規(guī)制市場的工具,其承載的規(guī)范意圖不僅在于增強個人對其數(shù)據(jù)的控制,還在于通過私人權(quán)利的行使實現(xiàn)促進(jìn)數(shù)據(jù)流通和市場競爭的公共目的。此種目的決定了在特定情境下應(yīng)當(dāng)對可攜權(quán)進(jìn)行強化,部分商業(yè)數(shù)據(jù)也屬于可攜帶的數(shù)據(jù)范圍。與此同時,數(shù)據(jù)控制者的利益保護也不可偏廢,應(yīng)區(qū)分用戶自主攜帶數(shù)據(jù)的行為和大規(guī)模轉(zhuǎn)移數(shù)據(jù)的行為,后者仍構(gòu)成不正當(dāng)競爭,此外還應(yīng)引入目的限定原則對數(shù)據(jù)接收者的數(shù)據(jù)處理行為進(jìn)行限制,以保障公平合理的市場競爭秩序。