2018年5月25日,欧盟颁布的《一般数据保护条例》正式生效。这一法律史无前例地引入数据携带权,赋予数据主体以获取和传输个人数据的权利。根据《一般数据保护条例》第20条的规定,数据主体有权获取“经过整理的、普遍使用的和机器可读的”个人数据,有权“无障碍地将此类数据从收集其数据的控制者那里传输给其他控制者”。① 无疑,数据携带权将对用户的数据权利产生重要的影响。数据携带权使用户能够在不同的网站和设备上自由地转移个人数据,用户对个人数据的控制能力将达到前所未有的高度。因此,这一权利的支持者指出,数据携带权将促进用户福利,打破数据壁垒与数据垄断,促进数据共享与数据流通。但与此同时,数据携带权的反对者也指出这一权利可能带来的种种问题。例如,这一权利可能带来技术性难题,为企业附加过多的责任;又如,数据携带权未必能够促进用户福利,未必有利于市场的良性竞争。 围绕数据携带权问题之所以产生争议,是因为理论研究未能澄清数据携带权的权利属性问题,未能充分认知该权利对市场竞争秩序的影响。②那么,究竟该如何认识数据携带权这一新型权利的权利属性?其对市场竞争秩序有何影响?本文拟对此进行深入剖析,并在此基础上对数据携带权的中国应用问题进行讨论,探讨我国正在制定的个人信息保护法是否应当移植或借鉴欧盟的数据携带权,③以及如何在争议案件与具体场景中运用这一权利。 一、数据携带权的起源、要素与争议 (一)数据携带权的起源 数据携带权的起源可以追溯到2007年。随着网络平台的支配力越来越大,其对用户权益的影响也越来越大,一些专家学者在2007年提出“社交网络用户权利法案”的宣言,要求强化网络社会中的个人数据权利。④伴随着这一理念和运动,一些社会活动者创立了“数据可携带项目”,提出数据携带权的概念。该项目认为,数据携带权意味着个人可以“获取个人的数据并将其移植到一个平台上或者替换平台上之前的数据”,数据携带权将帮助网络用户实现“人们在互操作的应用程序中重新使用数据的能力”。⑤ 在“数据可携带项目”提出后不久,一些社会组织、政府和企业也加入倡导数据携带权的动议。2010年,隐私权组织“电子隐私基金会”建议,数据可携带权应该是“社交网络用户隐私权法案”的一个组成部分。⑥同年,美国白宫发起“我的数据”(My Data)倡议,强调便捷化数据访问,同时提高数据的可移植性。⑦2011年,谷歌和脸谱加入“数据可携带项目”。⑧谷歌创建“谷歌外带”(Google Takeout)工具,允许用户从27个谷歌产品中下载数据。⑨在脸谱平台上,用户不仅可以下载其个人资料中共享的信息,还可以下载脸谱所保存的其他不可见信息,如用户点击的广告、用于登录的IP地址等信息。⑩ 经过众多专家学者、社会组织和政府机构的倡议,欧盟委员会在起草《一般数据保护条例(草案)》时,正式将数据携带权列入数据主体所享有的一系列数据权利中。根据欧盟委员会的意见,数据携带权可以提升用户对于个人数据的控制程度,促进网络空间中网络服务商与用户之间的信任。此后,数据携带权面临种种怀疑和指控,并且一度在草案中被取消。但在2016年通过的最终版本中,这一新生的数据权利还是被保留了下来,作为与数据访问权、更正权、被遗忘权、限制处理权等权利相并列的数据权利。(11) (二)数据携带权的要素 对于数据携带权,《一般数据保护条例》的“重述”以及第29工作组对其作出了进一步的阐释。(12)根据“重述”特别是第29工作组发布的指南,数据携带权包含如下基本要素: 第一,就权利属性而言,数据携带权首先意味着,数据主体有权下载关于个人数据的集合。就这一点而言,数据携带权可以说是数据访问权的进一步扩张,它不仅赋予数据主体以访问个人数据的权利,(13)而且为数据主体管理和重新使用个人数据提供了更为方便的途径。数据携带权赋予个体以一种“经过整理的、普遍使用的和机器可读的”方式来获取和下载个人数据。例如,数据主体如果有兴趣获取其在某个音乐网站所选择的音乐列表,或者听歌的历史记录,或者想获得网页电子邮件里的联系人列表,就都有权要求网站提供此类下载链接。(14)数据携带权还赋予数据主体以自由迁徙数据的权利。《一般数据保护条例》第20条第1、2款不仅禁止数据控制者人为设置传输障碍,妨碍数据主体传输个人数据,而且要求其在技术允许的情形下必须为数据主体传输个人数据提供便利。如果技术可行,那么数据控制者有义务使个人能够在数据控制者之间传输个人数据。(15) 第二,就数据携带权所涉及的数据范围而言,《一般数据保护条例》第20条第1款将其范围限定在“数据主体提供与数据主体有关的个人数据”。这一范围首先排除了匿名化的数据或与数据主体无关的数据。(16)但第29工作组发布的指南也指出,不应对此进行过于严格的解释。在不会对第三方的权利和自由产生不良影响的情况下,可被移植的数据也应当包括涉及多人的数据,如电话、人际互动或网络通讯记录等可能涉及他人的数据,当个人请求对这些数据行使数据携带权时,此类数据也应当被包括在数据携带权的范围之内。(17) 第三,就下载的格式而言,数据携带权要求下载的格式是“经过整理的、普遍使用的和机器可读的”。第29工作组发布的指南指出,对于什么是“普遍使用的”,要视具体场景和技术共识而定,在没有约定和共识的情况下,应当使用通用的开放格式的数据,以使数据的重新利用成为可能。数据控制者不得以非通用格式为个人提供数据,因为这会使得用户无法便捷地重新使用数据。(18)而对于“机器可读的”格式,欧盟的相关法律则将其定义为“使软件应用程序能够轻易地识别、认知和提取特定数据的格式”,而那些限制自动处理的文件格式编码的文档将被排除在外,因为从这些文档中很难提取相应数据。(19)
