大数据时代下欧盟数据可携带权的风险和启示.pdf

资源描述

1、年第期(第卷总第期)大数据时代下欧盟数据可携带权的风险和启示吕思祺(复旦大学法学院上海)摘要:数据可携带权是欧盟于年生效的一项新兴权利允许数据主体不受阻碍地将个人数据传输给另一个数据控制者研究数据可携带权对我国个人数据保护体系的建构、国内互联网企业走向国际市场都将起到积极促进的作用通过对欧盟一般数据保护条例中的立法规定及其实施现状进行分析发现该条款实质上已沦为僵尸条款并未发挥预期的功能我国在中华人民共和国个人信息保护法中确立了此项权利在后续相关制度规定时应当参考欧盟经验对数据可携带权的客体范围进行限缩加强政府部门分层级监管实现数据可携带权的中国本土化

2、关键词:数据可携带权一般数据保护条例数据保护个人信息保护数据安全治理中图分类号:文献标识码:/引用格式:吕思祺.大数据时代下欧盟数据可携带权的风险和启示.网络安全与数据治理 ():.():.:引言大数据时代改变了人类的生活和工作方式同时也给个人数据和隐私的保护带来了更大的挑战年欧盟出台的“史上最严数据保护法律”一般数据保护条例()中引入了名为“数据可携带权”的制度使数据主体能够不受阻碍地将个人数据在不同数据控制者之间传输这一权利旨在促进个人数据在欧盟内的自由流通避免个人数据的“锁定”让用户能在不同的数据控制者之间便捷自由地切换以鼓励市场竞争然而制度运行在具体实践中却出现了

3、诸多问题:由于条文规定含糊、标准不统一、技术可操作性较差等问题其实际上并没有给数据安全和市场公平竞争带来积极意义而最终沦为僵尸条款本文将针对以上问题展开论述探讨该制度的缘起、发展及现实困境以期为我国未来的立法实践提供参考理论缘起与制度设计数据可携带权的缘起作为欧洲数据战略的一部分欧盟致力于构建“单一的数据市场”确保其成为数字化和人工智能方面的全球领导者并提出通过数据战略的实施欧盟国的数据经济总量将从年的亿欧元(约占当年的 )提升至年的亿欧元(约占当年的)因此在数据经济时代的背景下对数据控制和流转的监管显得愈发重要数据可携带权的诞生有迹可循年经济合作数据

4、治理年第期(第卷总第期)与发展组织为了打破数据国别保护的非关税贸易壁垒、促进数据跨境流动通过了经合组织隐私保护和个人数据跨境流动准则成为倡导数据跨境流动的始祖年欧洲理事会()通过了与个人数据自动化处理有关的个人保护公约()旨在实现成员国之间的数据跨境共享年欧盟出台的标志性法律欧盟个人数据保护指令(/)第条规定:数据接收国只有达到欧盟所认可的条件才可以进行数据转移从而建立了较高的数据保护标准然而随着互联网和物联网的兴起碎片化的个人数据在传输时风险增大原有的规定逐渐无法应对新时期信息安全的需要由此“数据可携带权”的概念应运而生这一概念最早由欧盟委员会于年月在

5、建议稿中提出该稿第条赋予用户将其个人数据传输给另一个数据控制者的权利欧洲议会在审查后认为数据可携带权应当被视为是访问权的延伸而不是单独的一项权利因此其在年月通过的修正案中将数据可携带权与访问权合并但反对合并者认为两种权利之间存在明显不同:访问权的范围比数据可携带权的范围更广且数据可携带权要求事先存在一个企业即时通信系统()以便数据输出访问权则不做此要求在双方激烈讨论后考虑到数据可携带权旨在加强数据安全治理确保个人数据在成员国之间自由流动而访问权无法涵盖“数据转移”的权利内容因此决定将前者作为一个单独的条款在中保留下来数据可携带权的应用欧盟为推动数据可携带权的实

6、施出台了配套规定年月欧盟委员会发布了一份名为“数字单一市场的标准化优先事项”()的公报宣布将从年起增加专门用于数据互操作性标准的研发和创新的投资以实现跨部门的数据整合欧盟第条数据保护工作组()曾在数据保护官指南(以下简称指南)中指出“如果没有互操作性的标准数据可携带权注定是一个原则声明而不会成为数据时代下个人自决的真正和有效的工具”可见互操作性标准的制定及其可行性是保证数据可携带权实施的前提指南强调互操作性()不等于兼容性()后者实际上要求原数据控制者承担更加沉重的义务:数据发出方需要修改被转移数据的格式以保证其符合接收方所使用的处理系统的要求因此相较于“兼

7、容性”所包含的单方面责任“互操作性”门槛较低更强调双方共同的责任:发出方和接收方都有义务确保数据的顺利传输前者发出的数据应当采用通用格式而后者则需要将数据处理成其系统所采用的格式为了满足“互操作性”的要求数据控制者应当开发相应的下载工具和应用程序编程接口()以确保其他系统或应用程序()能与其通畅连接并传输数据这是因为不同于一次性传输():一次性传输的工作原理是将用户作为中介需要用户将其在一个中的数据下载下来然后再上传至另一个这一过程类似于使用盘进行数据传输每次传输可能会花费数天甚至数周效率很低而在使用的情形下数据发出方与接收方保持持续连接无论用户使用哪个添加

8、或删除数据其操作都会实时共享给另一个因而所需的传输时间更加短暂文献指出允许用户在不放弃原有服务的情况下更换服务可以帮助数据接收方节约储存成本也可以提供更快更便捷的传输途径欧盟对数据可携带权三易其稿的立法过程以及出台指南进一步完善修正的行为侧面反映出立法者在这一权利的权属和运用上依然处于摸索的阶段正因如此数据可携带权在实践中遇到了许多障碍制度中存在的问题与现状条文存在矛盾与争议第条从三个部分规定了数据可携带权的内容:第一数据主体有接收、存储和使用个人数据的权利第二数据控制者有义务依照请求将个人数据传输给另一数据控制者第三该权利不适用于为公共利益执行职务或行使公

9、权力的行为同时不得对他人的权利和自由产生不利影响此条规定正面罗列了数据主体及数据控制者的权利义务同时又从反面规定了除外情形从而构建了一套看似严密完整的逻辑框架但实际上条文自身的含糊性以及与其他条文之间的矛盾使得对数据可携带权行使的理解伴随着很多争议并因此引发了一系列问题首先第条第款中将“数据可携带权”定义为:数据主体有权以结构化的()、通用的()、机器可读的()格式接收其提供给数据控制者的个人数据并有权将其传输给其他数据控制者而不受提供该个人数据的数据控制者的阻碍其中结构化要求将数据依照特定的结构进行组织并储存以便查阅和使用通用化旨在促使数据控投稿网址:年第期(第

10、卷总第期)制者们使用相同的数据格式或者至少应当使用便于数据开放的格式机器可读则被欧盟正式定义为“文件格式的结构化使软件应用程序可以很容易地识别、确认和提取特定的数据包括个别的事实陈述及其内部结构”如逗号分隔值()、可扩展标记语言()、对象表示法()等文件格式这三个传输数据格式的“最低要求”实质上即是对“互操作性”要求的细化尽管第条明确提出“数据主体传输或接收有关其个人数据的权利不应对控制者产生采用或维护技术上兼容的处理系统的义务”但上述格式要求实质上逼迫数据控制者在软件开发过程中添加额外的合规模块对于企业来说这实际上带来了巨大的成本支出:一方面软件开发成本需要长期的资金注

11、入企业需持续投入技术成本另一方面第条第款规定未能遵守数据可携带权要求的数据控制者将被处以最高万欧元的行政罚款这不仅抬高了新企业的准入门槛也加强了头部企业的垄断其次定义所说的个人数据仅为数据主体提供的个人数据这又内在地包含了两个方面的要求:第一数据类型是个人数据而不是企业数据或其他类型的数据因此任何匿名化的数据都不属于数据可携带权的范畴即数据主体在将数据以匿名化的方式存入服务器后就无权提出数据可携带权行使的请求而第条提出的增强安全级别的措施包括“个人数据匿名化和加密处理”信息的保护与权利的使用之间形成了矛盾第二数据必须是由数据主体提供的数据的范围通常可以分为四

12、个层面即接收的数据、观察到的数据、推断的数据以及预测的数据那么该条规定中“由数据主体提供的数据”是否仅包括接收到的数据而忽略了其他层面?对此欧洲数据保护监督机构呼吁应当扩大数据的范围而不是仅限于数据主体提供的数据这样有利于加强个人对数据的控制和治理但也有学者认为“提供”一词指的是数据主体做出的有意识的行为所以应当对数据的类型进行限制以保护商业数据处理者的商业秘密和战略此外第条第款中还规定了数据主体享有数据携带权需要基于其“以一种容易理解的形式”“在书面声明的情形下做出”的同意这给数据处理者获取“同意”设置了重重关卡但允许数据控制者在“处理对于控制者或者第三人所追求

13、的合法利益是必要的”的情况下不经“同意”就获取个人数据在此两种选项下数据控制者大概率会偏向后一种更加容易的方式而忽略对数据主体“同意”之意思表示的获取从而导致数据主体无法享有数据携带权最后第条第款中规定:可携带权的行使“不影响第条的规定”即数据主体可以同时行使可携带权和被遗忘权在撤回其对数据处理的同意时要求数据控制者删除这些数据第条也明确指出“数据可携带权不应损害数据主体要求删除个人数据的权利和本条例规定的该权利的限制”对第条第款进行了确认但是当涉及第三人时可携带权与被遗忘权之间就产生了矛盾倘若数据主体要求转移与第三人隐私有关的数据信息而与此同时第三人又主张被

14、遗忘权要求删除与其有关的数据那么数据控制者就陷入了一个既不能转移又不能删除数据的两难境地实践中存在的风险与挑战如前所述欧盟创设数据可携带权主要为了实现三个目标:数据主体更好地实现对其个人数据的控制以保护个人信息及隐私促进数据控制者之间的公平竞争以推动创新以及实现欧盟内数据的自由流通增强欧盟在数据安全治理领域的头部作用但事实上数据可携带权的发展可能正与其追求的目标背道而驰无法更好地保护个人信息安全早在年数据可携带权还没有从访问权发展而来之时联邦贸易委员会()下设的关于访问和安全的咨询委员会在其报告中就称“访问和安全之间存在着非常真实的紧张关系”而数据可携带权的发展无疑

15、增加了这种危险:在数据可以转移的情况下一个人一生的数据都可能被一次性获取而所要求的“不受阻碍”或许也会在一定程度上影响数据控制者对用户身份核对的次数与验证方式从而威胁用户个人信息的安全事实上在数据可一次性获取并移植的前提下黑客可以更便捷地得到更多的个人数据这对平台关于个人信息的保护措施提出了更高的要求对此本文认为平台应当对申请数据转移的用户进行多重认证包括一般的个人信息核验以及更保险的生物信息识别等此外还可以使用额外的认证信息如一次性密码、密保问题等除了因身份欺诈造成的个人信息泄露外数据传输过程中也存在许多被攻击的风险如中间人攻击()或分布式拒绝服

16、务攻击()等因此本文认为提高加密技术与水平是数据控制者应当采取的最低限度的安全措施在此基础上还应使用更多授权认证方式数据治理年第期(第卷总第期)不利于企业之间的公平竞争从理论构想上分析数据可携带权是打破垄断的利器有助于削弱数据的“锁定效应”实现不同数据控制者之间的数据流通打破头部企业对数据资源的垄断但在实践中该权利并没有达到预期的效果头部互联网企业往往会提供多种在线服务例如谷歌就同时提供搜索引擎、新闻、社交、购物、邮件等服务用户注册一个账号就可以享受全部服务这使用户形成了使用习惯被“锁定”在这一数据控制者中因此即使出现了几次轰动全球的与网络安全相关的丑闻

17、(例如“剑桥分析案”)用户依然不会选择其他替代服务与此同时头部企业还在继续开拓新市场所占市场份额越来越大从而造成了不公平的竞争环境和详细地描述了这一“良性循环”过程:“越多的人主动或被动地提供数据公司就能进一步根据需求改善其产品从而对潜在的用户更有吸引力”例如在使用脸书()的的基础上开发了一个游戏平台通过向用户及其好友投放广告、发送游戏邀请并发布游戏信息等以吸引更多的玩家加入两家公司形成了互利合作的关系年占收入的而占收入的然而年发布声明结束了与的合作关系取消了两家企业之间的对接从而使得的估值从亿美元下降到了亿美元从的失败案例可以看

18、出在使用过程中小企业对大企业存在着一定的依附性如果监管机构试图通过强制执行来促进竞争其应当构建一个更加完善系统的法律框架防止以大欺小在数据驱动型市场中数据是经营者获得并维持竞争优势的重要保障如国内发生的顺丰与菜鸟、腾讯与华为、京东与天天快递之间的纠纷从本质上来讲都是有关数据的争夺战为了收集更多的客户数据新兴企业可能需要搭建一个更加便宜乃至免费的平台而支撑该平台需要在技术、人工、宣传等方面付出大量的成本然而大部分的平台都只有在达到一定的规模或市场份额后才能盈利前期需要企业自行承担风险成本这会给新兴企业带来极大负担尽管在资金有限的情况下依然可以通过技术手段实现用户爆

19、发式增长但这也会产生潜在的风险例如年领英()在其成立后不久就采用了一种名为“增长黑客”的手段扩大了用户规模但这种方式背后带来的隐私、安全以及垃圾邮件等问题也使得领英被提起诉讼并付出了万美元和解金的代价此外正如上一节所提到的个人数据泄漏的风险不断上升在这种情况下用户通常会倾向于选择更加知名老牌的企业变相地造成了大公司的数据垄断不利于企业之间的公平竞争制度评估与法理启示数据可携带权的现状回顾颁布至今有许多学者对其在欧盟各国实施的现状进行了实证研究结果证明立法者本身期望赋予数据可携带权的意图与法律实施的现状之间存在较大差异年有学者针对德国部分互联网用户对权

20、利的了解程度进行了调查其结果如图所示从图中可以看出仅有不到/的参与者听说过数据可携带权而中的其他权利均有超过半数的人知晓这一结果表明数据可携带权在互联网用户中鲜有人知因而也缺少行使该权利的实践经验同样该团队也从数据控制者的角度对数据可携带权的实施现状进行了研究:参与调查的家在线服务平台中仅有图了解中相关权利的用户数据投稿网址:年第期(第卷总第期)在法律允许的时间范围内提供数据传输仅有的平台满足“结构化的、通用的、机器可读的”数据格式要求而在导入数据方面的数据平台没有提供导入数据的选项只有的平台提供了一部分的数据导入功能文献对“平台处理转移数据请

21、求所需的时间”进行了实证研究结果显示存在回复所需时间长(的平台在一个月后才回复)、过程审核不严格、实践次数少(有位数据控制者提出是第一次收到转移数据的要求)等问题反映出该权利的行使在数据控制者层面也并没有得到很好的落实法理启示与借鉴意义继欧盟于年提出数据可携带权概念后美国、日本、瑞士等多个国家也引入了该权利尽管欧盟的数据可携带权在条文本身以及后续的规范上都没有进行完善的规定最终沦为了僵尸条款但这对各国特别是我国进行实际意义上的数据可携带权的实施或许可以提供一定程度上的借鉴意义年月日中华人民共和国个人信息保护法颁布该法第条规定个人有权从个人信息处理者处复制其个

22、人信息以及要求个人信息处理者将其个人信息转移至其他处理者这代表着数据可携带权在我国得以确立我国将该权利规定在个人信息保护法中意味着该权利的首要价值目标在于加强个人信息安全增强数据主体对其数据信息的掌控能力显示了我国立法机关对于个人信息保护权的开放与强化立场但该法并未明确规定该权利的范围、权利实现方式因此本文将立足权利保护借鉴域外法提出一些建议以期实现个人与数据处理者的双赢美国学者以美国年电子政务法案要求的隐私影响评估和要求的数据保护影响评估为蓝本就如何避免或减少数据可携带权的实施带来的风险提出了一个名为的框架该框架提出对传输的数据根据其敏感性进行分类对于

23、一般的浏览数据、公开的个人信息等可以归为低风险数据而诸如敏感信息、财务信息等则归入高风险数据将科学家、政府工作人员、学者等影响力较大、更容易成为被窃取身份数据信息的人的数据归入高风险数据而对于普通用户的数据可以进行稍低等级的保护借鉴这一做法本文认为我国对于不同风险级别的数据应当制定不同的处理规则以避免“一刀切”的情况数据敏感级别的分类可以由单独的“隐私阈限分析”()组织进行隐私影响评估和进一步的风险分析建立类似金融部门中的分层安全机制对安全风险较高账户实施更高水平的保护此外政府部门应当积极推动与行业利益相关者以及行业协会合作对关于数据控制者评估数据接受者的安全和数据主体

24、提出请求时的安全性方面的责任和授权提出更加详细的指导共同制定一套符合“互操作性”要求的最低标准和格式确保绝大多数的企业都可以适用在监管上可以设立一个专门监督数据可携带权的监管机构对该权利的实现、监管等进行说明并告知用户如何在数据控制者拒绝提供数据时进行投诉为减轻监管机构的压力同样可以对企业进行分级根据企业的收入和控制的数据量级给予不同程度的监管具体到分级标准上可以参考美国的加州消费者隐私法案其只适用于满足以下条件的营利性公司:总收入超过万美元每年购买或接受万及以上的个人信息或者每年及以上的收入来自出售个人信息而我国正处于该权利施行的早期可以适当对适用该权利的数

25、据主体进行限缩给中小型企业一定的缓冲和进步空间结束语我国正处于数字经济发展的高速期根据中国信息通信研究院发布的中国数字经济发展白皮书()的数据显示年以来我国数字经济年均增速高达年我国数字经济规模达到万亿元数字产业化规模为万亿元数字经济已经成为稳增长的强大力量而数字经济健康稳步发展的背后离不开足够的法律规定与理论支撑尽管有学者认为在当前发展的初期应当给数据企业和大数据产业的发展相对宽松的环境不应当给其施加太多的限制和束缚但是应当看到在多国都对该权利进行了规定并出台了相关法规的背景下我国企业在境外发展运行或进行跨境数据传输时不可避免会受到规制和影响这有许多国

26、际先例:年月日谷歌因违反被法国国家信息与自由委员会()罚款万欧元年月日对法国营销科技公司涉嫌违反的行为罚款万美元且并未说明该公司存在何种数据使用不当的行为年月日母公司因违反而被爱尔兰数据保护委员会()罚款亿美元据此为了维护我国企业在他国的利益创造更加公平开放的营商环境掌握数字经济时代个人数据保护的主导权和话语权加强有关数据开放、传输、保护等方面的法律研究已经迫在眉睫为此有必要重视对欧盟数据可携带权立法及其实践方面的研究为我国后续在该方向上的立法及相关法规的出台提供参考和借鉴让这一权利中国化并服务于我国的数字经济发展(下转第页)数据治理

27、年第期(第卷总第期):.张凌寒.算法权力的兴起、异化及法律规制.法商研究 ():.刘琳.算法解释权与商业秘密保护的冲突化解.行政法学研究 ():.:.:.戚聿东肖旭.数字经济时代的企业管理变革.管理世界 ():.王怀勇邓若翰.算法时代金融公平的实现困境与法律应对.中南大学学报(社会科学版)():.:.():.张欣宋雨鑫.算法审计的制度逻辑和本土化构建.郑州大学学报(哲学社会科学版)():.丛颖男王兆毓朱金清.论算法解释权的重构全算法开发流治理与分级分类解释框架.计算机科学 ():.刘峰许菲.风险导向型审计法律风险审计质量兼论“五大”在我国审计市场的行为.会计研究():.:

28、.:.:.():.:/().王光远瞿曲.公司治理中的内部审计受托责任视角的内部治理机制观.审计研究 ():.周中胜陈汉文.大股东资金占用与外部审计监督.审计研究 ():.申卫星.数字权利体系再造:迈向隐私、信息与数据的差序格局.政法论坛 ():.王莹.算法侵害责任框架刍议.中国法学():.(收稿日期:)作者简介:王兆毓()男硕士研究生主要研究方向:算法治理、个人信息保护(上接第页)参考文献李世刚包丁裕睿王峥.欧盟一般数据保护条例文本和实用工具.北京:人民日报出版社.:.():.:.():.李伯轩.数据携带权的反垄断效用:机理、反思与策略.社会科学 ():./().():.卓力雄.数据携带权:基本概念问题与中国应对.行政法学研究 ():.:.():.:.:.:.:.():.王利明丁晓东.论个人信息保护法的亮点、特色与适用.法学家 ():.:.():.(收稿日期:)作者简介:吕思祺()女硕士研究生主要研究方向:民商法、网络安全投稿网址:

展开阅读全文