中央政法委机关报法治日报社主办

微博 微信
您所在的位置:首页  > 文学副刊

在欧盟,数据可携带权正迈向“广义”

2022-06-16 07:20:00 来源:法治日报·法治周末

智道

栏目主持人:於兴中

欧盟至今仍然只有“零落”的司法实践,很难从中总结什么共性或趋势。尽管一般意义下可携带权的适用范围并未明确,但对于关键的数据处理主体(守门人)和关键的处理场景(物联网),可携带权都在迈向广义。一定程度上,这也可以视为对寥寥实践的高声回应

□  朱悦 张晓丽

围绕数据可携带权还有许多疑难没有解决,最核心、紧要的一项,是可携带权究竟适用于哪些个人数据。从欧盟《通用数据保护条例》(GDPR)通过开始,便有两种实践效果截然不同的观点:“狭义说”主张用户只能携带自己主动提供的数据,“广义说”则主张数据控制者观察到的用户活动数据也可以携带。皆有理据,久而未决,欧盟四年来的司法实践也没有提供太多帮助。不久前通过的《数字市场法案》“再起波澜”。细述相关争议的历程,既有助深入理解这一新颖权利,又对我国相应权利有镜鉴意义。

狭义与广义之争

GDPR20条规定的“可携带权”是争议原点:就其曾提供给数据控制者的个人数据,数据主体有权以结构化、通用且机器可读的方式从相应控制者处接收相应数据,或将相应数据传输至另一控制者。何谓“提供”,是实践中这一权利最“要害”之处:数据控制者需要以结构化、通用且机器可读的方式准备哪些数据,数据主体又可以方便地接受或者传输哪些数据,二者范围都取决于这一概念的解释。GDPR的未能廓清问题,争议遂生。

对解释GDPR相应条款有重要参考意义的第29条工作组(一个由欧洲隐私监管机构组成的独立咨询顾问机构)《有关可携带权的指南》(以下简称《指南》)采广义说。按《指南》:用户不仅可以携带自己“主动地”“知情地”提供的数据,比如填写的表单数据;也应当能够携带“从用户活动中观察到的数据”,包括搜索历史、流量数据、交易记录、访问日志等。但《指南》惜墨如金,除“鉴于其政策目的,(可携带权中)提供的范围应当从宽解释”一语外,再未对此给出更多理据。

《指南》偏重数据主体控制的观点很快引起争议,特别是立法机关的争议。欧盟委员会就此发函道:“我们珍重(第29条工作组为《指南》所做的)工作,然而,我们也担忧《指南》可能逾越了立法过程中各方所赞同的范围。”换言之,立法各方赞同的“提供”解释偏向狭义说:用户只能携带主动知情提供的数据,而不能带走相对被动地提供的数据。

纷纷争议至今没有决断。自《指南》或函件后,欧盟层面没有再专门澄清这一问题。从其他两类位阶更低、但通常有助解释的材料也难觅解答。欧盟各成员国有关GDPR可携权的指南几乎都是重复法律正文或《指南》其他部分,反而是已经脱欧的英国数据当局可携权指南明确支持广义说。

各家GDPR评注释义情形相仿:几乎都是重复正文、《指南》及函件。克里斯托弗•库纳等三位学者的评注稍微新颖,主张广义与狭义折中:一般采狭义说,但对可穿戴设备等少数场景采广义说,支持用户携带因使用相应设备或服务而产生的数据。不过,这实际也是《指南》已有表述的观点。于是,须向司法实践寻个说法。

寥寥司法实践

欧盟各成员国迄今为止的司法实践,是否可以带给满怀希望的我们些许答案?或许有,但委实不会太多。实际上,对如此令人瞩目的新颖权利的核心要件,四年以来只有如此寥寥的实践经验,大概本身便说明了一些问题。

首先是德国联邦数据保护局(BfDI)针对德国电信的决定。简言之,有个体投诉称德国电信未能满足服务请求、IP地址和网络连接三类数据的可携带权请求。BfDI驳称三类数据全都不属于可携带权的适用范围:首先,相应服务请求通常由人工响应,而可携带权只适用于自动化处理的数据。其次,IP地址系由电信服务商分配给用户,而非由用户提供给服务商,故而不属于适用范围。最后,电信服务商不会留存网络连接数据,因此也不属于适用范围。综上,尽管这已是可携带权适用范围上可称最为详尽的案例,但更多是回应了若干具体的问题,而对广义狭义的基础层面争论没有什么助益。

其次是比利时数据保护局(APD)针对音乐制作公司的决定。案情复杂,但涉及可携带权的部分相对简明。简言之,制作公司管理音乐家的粉丝主页。音乐家依GDPR可携带权提起请求,要求控制相应主页。APD支持音乐家请求,并裁决道:因粉丝主页包含音乐家姓名、图像等个人数据,并与音乐家个人相关联,粉丝主页可以视为个人数据。又因其他要件也满足,故主页属于可携带权的适用范围。制作公司最终将粉丝页面转移给了音乐家。本案是个人数据和可携带权等方面的重要案例,对音乐行业亦有影响。然而,因其所涉问题较为独特,对分辨广义、狭义两说的参考价值同样有限。

最后是荷兰阿姆斯特丹地区法院审理的司机诉优步案。本案可谓世界范围最知名的、涉及个人数据访问与携带的案件。不过,仅就可携带权范围而言,由于本案争议数据多为优步分析加工所得“衍生数据”,而非主动提供或被动观察产生的原始数据,法院无需分辨争议学说即可判决衍生数据不属于权利范围。这是一直以来不存在争议的观点。尽管如此,法院仍在相应段落提及《指南》观点与欧盟委员会、理事会、议会的三方共识不一致,似倾向于狭义说。本案判决本身也说明:在平台这种数据处理行为相当复杂的场景中,即使是广义说的观点,依然很可能无法覆盖大部分个人数据。

综上,欧盟至今仍然只有“零落”的司法实践,很难从中总结什么共性或趋势。如果一定需要些许推测,从典型案例看,狭义说更有可能受到认可。同时,无论广义还是狭义解释,可携带权对于复杂的数据处理场景的覆盖力都很有限。

新立法仍未一锤定音

虽然立法和司法层面的进展都不算太多,欧盟并没有放弃巩固、扩展可携带权的努力。几乎已经完成立法流程,预计将于20227月正式通过的《数字市场法案》(DMA)将广义的可携带权规定为“守门人”大型平台的义务。同样受到关注的《数据法案》则针对特定类型的主体规定了较GDPR而言水平更高的、可谓“可携带权+”的权利。要之,理论争议固然尚未终局,欧盟的实践指向却始终清晰。

DMA6条第9款明确规定就其所运营的核心平台服务,守门人应当响应用户请求,以免费方式确保有效的数据携带,包括提供免费工具,以及确保连续、实时的数据访问。其间进一步明确数据携带的范围既包括“用户提供的数据”,又包括“用户活动所生成的数据”。相应用语延续自《指南》,且立场清晰:对守门人而言,可携带权应采广义解释,既包括主动提供的数据,又包括观察到的活动数据。

尘埃并未落定。DMA鉴于第59条提及了上述规定与GDPR可携带权的关系——“与GDPR下的可携带权互补”。相应地,指向各种立场的论证都不违背直观:既可以认为DMA(至少在守门人语境下)澄清了GDPR的含义,说明GDPR应采广义解释,也可以认为DMAGDPR互不影响,还可以认为作为GDPR的补充,DMA实际上是暗示了数据携带范围不包括活动生成的数据,从而支持狭义说等。然而,不管如何,守门人在实践中都需要开放更多数据。

着眼数据携带的还有同样广受关注的《数据法案》(以下简称《法案》)。《法案》主要适用于物联网设备服务以及虚拟助理,也有针对云的专门条款。《法案》要求前述主体保障用户的数据可携带权,且有两方面扩展。一是倾向于广义说,甚至可能比广义说的范围还要宽广——包括“在使用产品和相关服务中产生的数据”。二是可携带的程度更高,要求“没有不当延迟”“免费”“质量(与持有相应数据的主体可用的)相当”“连续”且“实时”。可以说,这是欧盟态度在另一类重要新场景中的宣示:可携带权需要继续加强。

总之,欧盟仍在继续发展可携带权。尽管一般意义下可携带权的适用范围并未明确,但对于关键的数据处理主体(守门人)和关键的处理场景(物联网),可携带权都在迈向广义。一定程度上,这也可以视为对寥寥实践的高声回应。

以上逐次展开了可携带权争议的演进历程。

回望我国相应规定,一方面,个人信息保护法、网络数据管理条例(征求意见稿)都规定了可携带权,赋予信息主体在个人信息处理者间转移其信息的权利,个人信息保护法首次对“个人信息可携带权”作出规定,提出“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。

另一方面,这些法律法规并未以类似欧盟的方式限缩可携带权的适用范围:仅从字面看,甚或同样可以称为“比广义说的范围还要宽广”。

虽然欧盟内的具体学说争议未必需要移用,可携带权实践适用本身的处境和后续回应,都足以作为合用的“他山之石”。由此,针对特定主体和特定场景细化可携带权是可取之路。譬如,大型平台运营者和重点场景宜保障全面的数据携带,其他主体或非重点场景则适当限缩携带范围,限于主体主动提供且由自动化方式处理的数据。这是可以设想且颇为可行的构造。

责编:王硕

联系我们 | 诚聘英才 | 广告征订 | 本站公告 | 法律声明 | 报纸订阅

版权所有 Copyrights © 2014-2022 www.legalweekly.cn ALL RIGHTS Reserved 《法治周末》

京ICP备10019071号-1 京报出证字第0143号

京公网安备 11010502038778号