数字经济给社会生活带来了极大便利。作为消费者,人们通过电子商务平台、网络社交平台等满足生活所需,同时电子浏览痕迹和好友关系等也形成了海量的数据资源。表面上看,这些权利理应属于消费者个人所有,然而消费者仅拥有部分的、差别化的“查看、下载”等权利,并不拥有完整的数据查阅、存储、清除和转移等权利,更不用说对数据进行“资源化利用”了。
同时,上述数据资源作为相关企业获得和维持竞争优势的关键,却日益成为驱动市场的“新石油”。数据驱动型市场中,这些数据可以被“资源化”为某种潜在的个人信用符号或等级,造就消费者网络活动成本偏高、少数企业却“赢者通吃”的局面,而传统的反垄断机制在数据治理领域面临失灵的风险。
数据可携带权,是指数据主体获得其向数据控制者提供的个人数据,以及请求数据控制者将其数据信息传输给其他数据控制者的权利。在上述背景下,数据可携带权在数据流通交易中的价值作用凸显,成为补强和规范数据要素市场治理的重要内容。
数据可携带权有价值
数据可携带权有助于健全数据要素权益保护制度。一方面,当法律法规明确了数据主体对其数据的获取和转移享有的充分的决定权,主体对数据的控制力就会显著增强。随着数据主体参与数据要素市场活动的议价能力的提升,公平有序的数据要素市场秩序拥有了良性互动的基础。另一方面,数据要素的权属及其应用将会进一步得到细化和发展。公共数据、企业数据、个人数据分类分级确权授权使用得以推进。数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制得以建立和完善。
数据可携带权有助于建立合规高效的数据要素流通和交易制度。互联网巨头通过垄断数据这一生产资料,牢牢“锁定”用户群体,同时不断向下游市场渗透和强化其垄断地位。落实数据可携带权有助于打破数据壁垒,实现数据要素的高效自由流通和交易。新兴中小互联网企业有足够的市场机会,通过分析用户个人数据,针对用户需求提供个性化服务,通过创意性服务、多元化设计来吸引用户,用户对原产品的“自愿锁定”就会减弱。
数据可携带权有利于促进数据产业合作共赢。作为虚拟资源的数据不会因传递、分享而消耗,反而可以在流动整合中实现价值的叠加和积累。例如美食类平台仅能获取用户的饮食喜好和消费习惯数据,地图类平台仅能获取用户的行动数据,仅针对某一类数据的分析和挖掘,其潜在价值是有限的。但若是加以整合,则可以实现企业1+1>2的效益,为各方达成共赢的局面。数据可携带权为这类数据开放流通提供了法律保障,为各数据主体之间搭建流通合作渠道提供了前提条件。
落实数据可携带权存难题
2018年欧盟颁布《通用数据保护条例》,自此世界各国纷纷开始将数据可携带权纳入立法。2021年8月,我国通过了个人信息保护法,其中第45条第1款规定“个人有权向该个人信息处理者查询、复制其个人信息”,第3款规定“个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。这标志着数据可携带权在我国成为公民的一项合法权益。
然而,数据可携带权属于新型权利,对于该权利中数据的范围、数据的传输形式、权利主体的责任承担等都尚不明确,因此数据可携带权在我国落实还存在着可能侵犯第三人权利、与知识产权及商业秘密存在冲突等困难。
例如,当数据主体将自己在某一社交平台上的数据转移至另一社交平台时,其账号的好友、朋友圈等被一并转移,另一社交平台便可以在第三人未知的情况下获取其个人信息,从而造成对第三人隐私权和个人信息权的侵犯。再如,个人数据可能包含的如用户关系链、消费画像、企业销售策略等有价值的知识产权或商业秘密,一旦在数据被允许转移时,被拆分成碎片,流入其他数据控制者手中后,又有可能被重新整合、重组、分析,进而掌握原数据控制者的知识产权或商业秘密。
此外,实现数据可互操作性,要求企业提升自身数据传输的技术与数据系统,以达到数据“无障碍”传输的标准。然而我国中小互联网企业普遍存在着资金和技术短缺的劣势,强制其提高数据传输技术,会大大增加中小企业的负担,从而加剧我国数据市场的两极分化形势。
保障数据可携带权落实有三个维度
推动数据可携带权在我国进一步落实,需从三个维度予以保障。
第一,立法维度。一是限定数据可携带权的义务主体。应当对大中小型数据企业设置不同的合规义务标准。二是明确数据可携带权的权利客体范围。可将数据分为直接数据、观测数据和衍生数据,更精准切割个人数据和企业数据。同时,规定所有直接数据属于可携带权的客体范围;对于观测数据,依据其是否是经由企业特有技术而获得的来认定其是否属于可携带的数据范畴;对于衍生数据,应当将企业加工处理后的数据排除在权利客体范围之外。三是规定数据可携带权的适用范围。可在相关法律中规定数据控制者转移用户的个人数据时应满足两个条件:数据转移应当是基于数据主体同意或合同的自动处理;如果涉及第三人的个人数据,新的数据控制者处理数据时必须取得第三人同意或有其他合法依据。在限制条件方面,设置三种排除适用数据可携带权情形,包括:侵犯公共利益的;侵害他人权利的;侵犯他人商业秘密和知识产权的。
第二,监管维度。要完善数据权利监管机制,明确监管红线,加强重点领域执法司法;可以设立专门的个人数据保护部门,处理数据用户的权利申诉请求,惩治违法违规收集、传输、处理、储存数据的行为,审查企业的数据合规情况,监督企业是否及时、有效地就数据用户的请求履行数据携带义务,监督企业传输、储存数据是否达到安全标准等。构建政府、企业、社会多方协同治理模式,强化分行业监管和跨行业协同监管,全方位、多层次压实企业数据携带义务和数据安全责任。
第三,配套措施维度。一是严格数据传输技术要求与安全保障,规定平台在提供个人数据之前应先对用户进行身份认证;针对重要数据应实施严格身份认证;规定企业应当提高对数据传输、储存的加密水平,例如可创新应用区块链等技术措施等。二是创新数据流转模式,使用户成为数据传输的核心,构建广泛的分布式数据流转新模式。
文/蒋佳妮
图源/视觉中国
编辑/姬源