查看原文
其他

GDPR之“用户数据可携权”评析(三) —— “数据可携权”视角下的数据之争


数据隐私和网络安全

专栏

作者:冯坚坚 朱菁 蒋昕妍 


本文首发于威科先行法律信息库


导言: 

大数据时代,在技术的推动下,互联网平台间的数据流动日益频繁。但是,在互联网生态体系中,数据流动给生活带来便捷的同时也会触发多重隐患,尤其是含有个人信息的用户数据。对于企业,用户数据是其提升竞争力的法宝,企业间因数据之争摩擦不断[1];而对于用户,他们既希望能够通过简便的方式存储、使用、传输自己的数据,但也不希望自己的数据因此而被滥用、泄露。据此,对于用户数据流动的保护与规范刻不容缓。我们将通过三篇文章评析欧盟“The General Data Protection Regulation”[2](将于2018年5月25日生效,以下简称“GDPR”)中“用户数据可携权”的规则、实践操作以及该权利在平台间数据争议中的适用和障碍。本文为第三篇,拟以“用户数据可携权”的视角分析巨头间的数据之争,对包括用户、企业在内的相关方的权责进行梳理,从而探讨引入“用户数据可携权”的合理性以及存在的落地障碍。

关键词:数据可携权、GDPR、个人信息安全规范、知识产权、反不正当竞争

近年来,基于用户数据价值的显著提升,各大互联网巨头间频频爆发数据争夺事件。盘点2017年,包括阿里、华为、腾讯、百度以及新浪等互联网巨擘均被卷入各类数据之战[3]。但是,由于法律的缺位,很多争议只能通过行政方式调停。行政调停弊端颇多:其一,行政调停不利于明晰争议各方的相关权责,难以为今后企业的实践操作提供指引;其二,行政调停不利于保护用户的利益,巨头数据之争最终受损的往往是用户,但行政调停却不能给予消费者主张权利的机会和基础。按照现行法律法规,用户将个人数据提供至数据控制者后,该等用户数据的归属以及包括用户在内的各方主体对于该等数据享有何种权利均未有清晰的规制。对此,用户数据可携权的引入,对于重新梳理用户数据的相关规则有一定的帮助。

用户数据可携权引入的合理基础


据GDPR第20条,用户数据可携权与用户访问权、用户清除权(被遗忘权)以及用户修正权等并列,也是用户作为数据主体享有的一项基本权利。但不同的是,相较于传统权利赋予用户对数据静态层面的把控,用户数据可携权从动态层面赋予了用户持续控制相关数据的权利。《数据可携权指南》[4](以下简称“《指南》”)指出,用户数据可携权不仅赋予用户取得、重复利用相关数据的权利,还赋予用户传输该等数据的权利。据此,用户数据可携权从用户角度出发,对数据流动规则提出了新的要求,而巨头间的角逐随着用户的加入也将发生新的演变。

1. 新的“数据控制者”的出现

数据可携权的诞生强调了用户作为数据主体、数据的提供者以及数据内容的主角,对数据享有较高的持续控制权。在数据之争的案例中,争夺对象大多都是用户数据,比如脉脉对新浪微博用户职业信息、教育信息、手机号信息的抓取,再比如华为、腾讯对用户微信数据的争夺。但在数据可携权规则的视角下,前述信息的流动又有了新的“控制者”——用户。

正如本系列第一篇文章所分析的,用户主动提供的与之相关的信息以及企业监测用户所得之信息均属于用户数据可携权的主张范围。[5]以华为与腾讯的微信数据之争为例,微信认为用户使用微信的聊天内容属于微信数据,华为不得取得;但华为认为,该等数据系用户所有,其经用户同意即可获得[6]。根据用户数据可携权,用户聊天内容系用户提供的与用户相关的信息,且未经微信加工,属于原生信息,故应属于可携数据范围。因此,依据数据可携权理论,如果用户要求,微信聊天内容即可携,腾讯和华为作为数据传输方和接收方,均需配合,谁也不得主导之。

2. 从根源解锁用户数据的流动

根据《指南》,原数据控制者作为数据传输方应当配合实现数据可携权,从而负有主动向另一数据控制者提供可携数据或相应开放端口(API)的义务。至此,用户数据的锁定性得以从根源得到改变。

3. 规范数据控制者对数据的获取方式以及使用目的

与数据传输方相同的是,根据《指南》,数据接收方同样应当配合实现数据可携权,其应本着最小化原则和以实现用户目的为准则接收和处理可携数据。换而言之,指南蕴含了三层意思: 其一,数据接收方应遵守“接收”二字的规定,不可以主动抓取的手段获得数据传输方控制的可携数据。此处需强调,未经用户同意主动抓取数据传输方控制的可携数据当然应予以禁止,但经过用户同意后直接抓取数据传输方控制的可携数据亦不可取。 其二,数据接收方应以实现用户目的为准则处理可携数据,因此数据接收方不得为了超出用户事先授权范围对用户可携数据进行相应处理(例如不在用户目的范围之内的精准营销甚至大数据杀熟行为),而是应遵循用户的目的对可携数据进行处理。 其三,数据接收方应恪守最小化原则,即在接收数据时,以为了实现用户目的为限,接收尽可能少的数据。 综上可见,用户数据可携权实际上引入了新的数据流动秩序,该秩序以数据主体的同意和持续控制能力为核心,同时要求数据控制者的传输方和接收方各司其职,承担配合之义务。因此,引入用户数据可携权,从一定程度上明晰了用户数据的归属,并对各方可对该等数据主张权利内容进行了界定,故对实践指引有着积极的效果。同时,数据可携权视角下,数据控制者对于流动数据的控制权在一定程度上弱化为被动配合权,故可从源头避免数据控制者因争夺行为产生的数据摩擦

用户数据可携权面临的落地障碍


鉴于用户数据可携权是一项创新的权利,尚未经实践检验,相关理论和运用均尚存有一些矛盾和不完善之处。比如如何界定用户数据可携权的属性,又比如如何平衡数据的自由流动与安全问题。对于前述问题,GDPR未作正面回答,而是直接规制用户数据可携权的表现形式和实际操作从而绕过理论探讨,致使用户数据可携权的权利属性不明晰,而这可能对用户数据可携权的今后发展带来不利影响。除此之外,GDPR对于用户数据可携权的实践运用也存有欠缺考量之处,我国若引入该权利,建议应对以下问题多做斟酌:

1. 与知识产权的冲突

根据GDPR第20条以及《指南》,在可携数据含有第三人商业秘密和知识产权的情形下,应先予以摘除可能侵犯第三人权利的相关信息,再进行传输。但是,《指南》同时强调,数据控制者不得以此为由拒绝向数据主体提供所有信息,而是应在不泄露第三人信息的情况下,尽可能地向数据主体提供其要求的信息。

《指南》以简单划分的方式,将含有知识产权和不含有知识产权的信息一分为二。但是,我们认为《指南》似乎低估了现实中个人信息与知识产权相互包含的复杂性。举例而言,若欧盟境内一名人A在某网络媒体上发表了一份或若干包含大量个人信息的数据内容(可以是文字、照片或视频等载体形式),并独家许可该网络媒体通过信息网络向公众发布。从著作权角度,A对该网络媒体的许可已排除A和任意第三方对前述数据内容的信息网络传播权。那么,若此时A向该网络媒体主张个人信息的数据可携权时,该网络媒体作为数据控制者所负有的提供传输的义务显然与其应享有的独家信息网络传播权相悖。实践中,数据控制者为获得独家信息网络传播权通常需要支付相应的许可费用,但却因为数据可携权而无法享受应有的权利,似乎有违我国民法建立的权责义务相对等的原则。

2. 与反不正当竞争的冲突

根据《指南》,数据可携权的目的是为了通过促进数据流动,从而鼓励平台间的有效竞争和减少单个平台对用户数据的锁定效应。但是,结合我国今年的司法实践,该等理论似乎并不能良好适用。

在“互联网反不正当竞争第一案”中,新浪微博起诉脉脉抓取使用微博用户信息案[7],二审法院首次以司法判例的形式确认了企业对于其收集积累的数据享有竞争法意义上的财产权利。[8]二审法院认为,对企业而言,数据已经成为一种商业资本,一项重要的经济投入,而数据的获取和使用,不仅能成为企业竞争优势的来源,更能为企业创造更多的经济效益,是经营者重要的竞争优势与商业资源。因此,脉脉擅自获取并使用非脉脉用户的新浪微博信息,无正当理由的截取了新浪微博的竞争优势,侵害了新浪微博的商业资源。[9] 

由此可见,数据可携权理论在实践评估数据价值时,虽重点考量了用户在其中的贡献,但却对企业的努力和创造的价值不够重视,与市场经济中的商业逻辑存在冲突


“GDPR之用户数据可携权评析”系列文章结语


目前,用户数据可携权尚处于初步实践阶段,国内尚无用户数据可携权的提法,而仅是在(GB/T35273—2017)《信息技术安全 个人信息安全规范》第7.9条中作出类似安排[10],但是适用范围极其狭窄。我们认为,随着技术推动数据流动的加速,数据的自由流动是数据价值最大化的底层需求和条件,但用户数据可携权能否成为被普遍认可的权利仍有很大不确定性。从本质上看,用户数据可携权是欧盟GDPR对个人信息权利的财产权属性和人格权属性的糅合与相互妥协,是效率(强调数据自由流动)与安全(强调个人隐私保护)两种价值取向的交叉,其从一诞生就有着内在的矛盾和逻辑冲突。如何理清用户数据可携权背后的逻辑,吸收其中有益的规则,同时消除其与知识产权、反不正当竞争等现有权利及法律体系之间的矛盾,是用户数据可携权将来落地实践与发展的重要课题。



注释:

[1] 近年来有关的国内知名争议案件及事件包括:新浪微博起诉脉脉抓取使用微博用户信息案((2016)京73民终588号判决)、大众点评诉百度不正当竞争案((2016)沪73民终242号)、顺丰与菜鸟的数据大战、华为与腾讯的微信数据争夺战。 

[2] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) Official Journal of the European Union, Vol. L119 (4 May 2016), pp. 1- 88 http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L:2016:119:TOC 

[3]《数据之争——盘点2017年与数据有关的争议》,作者瞿淼、董文馨。

[4] 2016年12月13日,欧盟数据工作保护组公布了Guidelines on the right to data portability. 16/EN WP 242. 

[5]《GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”》,作者;冯坚坚,胡科,朱菁。

[6] 华为荣耀Magic手机可通过用户在微信中的聊天信息,自动为用户加载智能化推送信息或功能,比如天气、时间或备注日历事项等。

[7] 新浪微博开放自己的接口给被告脉脉使用,但脉脉却违背相关协议,擅自抓取非脉脉用户的新浪微博信息,从而引发双方争议。

[8]《数据之争——盘点2017年与数据有关的争议》,作者瞿淼、董文馨。

[9] (2016)京73民终588号判决

[10]《个人信息安全规范》第7.9条:根据个人信息主体的请求,个人信息控制者应为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将以下个人信息的副本传输给第三方: a) 个人基本资料、个人身份信息; b) 个人健康生理信息、个人教育工作信息。



本专栏往期文章

1. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”

2. GDPR之“用户数据可携权”评析(二) ——“用户数据可携权”实务运用的若干问题

3. 记账理财APP的个人信息合规挑战

4. 个人信息安全——“用户同意”之浅析

5. 您的公司有数据保护官了吗?


作者介绍


   冯坚坚    

合伙人

021-2613 6221

feng.jianjian@jingtian.com


竞天公诚律师事务所合伙人。


冯坚坚律师的执业领域主要专注于网络安全合规、反垄断调查及反垄断合规咨询。冯律师是上海市律师协会互联网业务研究委员会委员,曾任阿里巴巴特色中国训练营讲师,长期为众多大型跨国企业、大型互联网科技企业提供法律服务,对于互联网新技术与商业模式有独到而深刻的理解。


自2016年开始,冯律师及其团队为大量客户提供了有关网络安全法相关的合规咨询服务,并从2017年网络安全法生效实施后,协助客户应对与网络安全合规有关的政府检查和调查,在公司的网络安全合规和调查应对上积累了丰富的经验。


   朱   菁    

律师

021- 2613 6221

zhu.jing@jingtian.com


竞天公诚律师事务所律师。华东政法大学国际法硕士。自2014年开始执业,执业领域主要专注于网络安全合规、反垄断调查及反垄断合规咨询。朱律师曾参与中国汽车行业的纵向限制问题的调研,对于汽车行业的反垄断合规体系建设及落地有着一定的实操经验。


同时,朱律师还曾先后参与多个新三板挂牌项目、私募基金融资项目、上海股交中心挂牌项目以及企业债项目,在证券与资本市场、并购重组与外商投资方面积累了较为丰富的经验。


   蒋昕妍    

律师

021- 2613 6221

jiang.xinyan@jingtian.com


蒋昕妍是竞天公诚律师事务所争议解决部律师,执业领域为商事争议解决、数据隐私与网络安全。


蒋律师2013年毕业于中南财经政法大学,取得法学学士学位;2016年毕业于美国本杰明卡多佐法学院,取得法律博士学位(Juris Doctor)。在加入竞天公诚之前,蒋律师曾在美国纽约州司法部任职。


蒋律师已取得美国纽约州律师资格和中国法律职业资格。蒋律师的工作语言是中文和英文。


声明 DISCLAIMER


本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。

This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存