本文是一篇法律论文,笔者认为数据可携权在中国的适用问题不再是是否应当把数据可携权提升到制定法的高度来认识,而应该转向为怎样制定科学合理的数据可携权制度及其相关配到措施,有必要就这种权利进行权利属性研究、适用范围及其他利益之间冲突的平衡等具体应用问题进行更为深入的研究。
一、数据可携权的理论基础和法律属性
(一)理论基础
1.信息自决权理论
法律论文怎么写
信息自决权(Information Self-determination)是指信息主体对个人信息内容的自我决定权,即个体对于与自己有关的资料,有权决定其是否被他人搜集和加工利用。信息自有权是个人数据保护中最为核心的问题之一,它关系到信息主体在信息利用过程中能否充分有效地行使自己的自主管理性权利。可视为数据可携权之理论渊源与依据。
信息自决权这一思想理念的概念肇始于德国,最早由德国学者施泰姆勒提出,意指个体有权利根据自由意志,来确定其想法和行为在多大程度上为外部所知,它的实质是确保公民能够在什么时候和什么范围内向社会披露自己的生活事实,特别有权将个人信息公诸于众。随着社会信息化进程的加速和公民民主意识的增强,这一概念已为许多西方发达国家立法实践所采纳。
信息自决权既不同于隐私权也不同于言论自由权,而是一种以自我为中心的独立的人格尊严权型权利。它包括信息知情权和信息收集权两部分内容。保护个人隐私与行为自由、防御威胁和预防人格损害[8],个体根据自我决定理念,有权决定在什么时候和什么范围内公开其生活事实,要实现“个性的自由发展”,必须具备以下条件,一般人格权的范围应包括在内,但是,要化解个体和社会的矛盾,个人自决权应以重大公共利益为理由。它以信息自决为基础构建起一个完整的人格权体系,其目的在于保障个人的人格自由,并使之不受他人干预。由此将信息自决权理论进一步扩展到个人数据流动领域,给予个人对个人数据流向进行控制与支配的权力,为个人数据自决提供了特殊保护[9]。信息自决权与个人信息权在本质上具有一致性,都主张个人享有获取自己数据的自由空间。
........................
(二)法律属性
1.财产权说
纵观世界各国,只有极少数国家对个人数据财产属性作出立法上的明确规定,并且以个人数据所有权理念为基础,赋予数据主体数据转移的权利。我国法律体系尚未确立数据主体的财产权属性,而在司法实践中却存在大量侵犯个人信息、泄露隐私等侵权行为。学界关于数据可携权财产权属性问题的命题,是以“个人数据就是财产”的逻辑为基点,把数据可携权作为数据主体财产权。笔者对此观点持保留意见。
首先,作为财产权的客体,财产通常需要具有价值性、稀缺性与排他性。而单个数据个体作为个体数据可携权的客体,与整体数据资源存在较大差异,单一数据个体是非财产性的。因此,在对单一数据个体进行权利保护时,应当考虑到数据的价值属性。一是问题的提出数据价值主要来自于海量数据的汇集,数据的量愈大,价值就愈大,并且数据价值随数据量增加呈非线性增长。数据本身的属性决定了数据的稀缺程度是有限的,单个数据个体无法满足对信息的需求。并且单个数据的个体经济价值单薄,数据主体所获得的物质利益大多还是基于人格因素。因此,数据个体所享有的权利和义务都是有限的,这决定了数据价值的有限性。二是数据自动化处理技术加持,复制个人数据没有任何限制,造成了数据量每时每刻都在增加,并且不会因为被重复利用而损耗质量。个人数据只是数据可携权的客体,不具有财产稀缺性。由于数据自身的特点以及数据使用者的主观意识等原因,在数据拥有者之间进行交易时往往会出现信息共享和利益冲突现象,这就为数据权利人提供了利用个人数据实现私人目的的可能性。由于复制和传输数据成本低,个人数据可由多方主体同时控制或利用,个人数据的占有者并不一定就是对数据的唯一控制者。
.............................
二、数据可携权的本质和适用范围
(一)数据可携权的立法目的
我国数据可携权的立法目的,主要是为了保护个人信息主体的自主权和利益,促进个人信息的合理流通和利用,维护网络安全和社会公共利益。数据可携权是指个人信息主体在符合法律规定的条件下,要求个人信息处理者将其已经收集的个人信息转移给其他个人信息处理者或者自己的权利。
《中华人民共和国个人信息保护法》第四十三条规定了数据可携权的适用条件和程序,即个人信息主体有权要求个人信息处理者将其已经收集的个人信息转移给其他同意接收的个人信息处理者或者自己。我国《中华人民共和国民法典》第一千零一十八条也规定了类似的内容,即网络服务提供者收集、存储、使用自然人的个人信息,应当遵循合法、正当、必要的原则,并遵守双方约定。自然人对其个人信息有知情权、选择权、变更权、删除权。自然人有权要求网络服务提供者将其已经收集的与自己有关的电子数据提供给自己或者第三方。
由此可知,我国数据可携权的立法目的,是为了保障个人对其个人信息的控制能力,增强其数据自主性和数据价值实现性,同时也为促进数据资源开放共享和数字经济发展提供了法律支持。
欧盟《一般数据保护条例》中的数据携带权服务于两大目标:一是加强个人对其数据的控制,落实个体信息自决权,二是支持欧盟境内个人数据自由流动、促进控制者之间竞争,从而推动在数字化单一市场战略的背景下的企业创新。
与此迥异,我国《个人信息保护法》并未以“个人信息自决权”为基石,第四十四条中的“个人决定权”所指向的是“个人信息处理活动”而非“个人信息”,其体现为对个人信息处理活动的选择权、限制权和拒绝权,而非个人信息的控制权,从而紧扣个人信息保护法开宗明义所确立的“保护个人信息权益”和“规范个人信息处理活动”。
................................
(二)数据可携权的本质
数据可携权是指个人有权将其个人信息从一个数据处理者转移到另一个数据处理者的权利。这是一种保障个人信息自主和利益的权利,也是一种促进数据流通和竞争的机制。数据可携权在欧盟《通用数据保护条例》(GDPR)中被称为数据携带权,是个人数据权利的一种重要表现。
关于数据可携权的本质分析,是一个复杂的法律问题,需要从不同的角度和层面来分析。首先,从法律上来说,数据所有权是指对数据本身的占有、使用、处分和收益的权利。而数据可携权只是指对自己提供给数据处理者的有关自身的个人信息的查阅、复制和传输的权利,并不涵盖数据处理者抓取或衍生出来的其他数据。其次,从经济上来说,数据所有权是指对数据所具有的财产性价值的享有和支配。而数据可携权只是指增强个人对自己信息的控制和选择,并不能直接影响或剥夺数据处理者对数据进行商业化运用和获取收益的能力。最后,从目标上来说,数据所有权是指实现对数据资源的优化配置和有效利用。而数据可携权只是指实现对个人信息自主和利益的保障,并促进数据流通和竞争。
数据可携权从本质上来说就是一种关于信息控制和管理个人数据的法律制度。如果个人不愿意使用他人的信息或服务,或者没有能力控制他人的个人信息和数据,那么他就必须通过向其提供有效的个人数据转移来保证个人数据保护的有效性。欧盟委员会据此将数据可携权视为数据保护基本权利之一。但《欧盟基本权利宪章》(以下简称《宪章》)并未明确提到个人的数据可携权和数据控制,其中只载有保护个人数据的一般条款。在具体制度设计中,数据可携权只适用于对信息进行收集、存储和使用的领域,即不包括对于其他数据的处理。实际上,在个人数据保护中,数据可携权是一项基本人权,但由于立法上对这一问题并未予以足够重视,因此在实践中存在很多不完善之处。
.............................
三、我国数据可携权的实践困境...............................20
(一)数据可携权自身的不足......................................20
1.数据可携权的客体较模糊.............................................20
2.个人数据权利实现方式操作性有待提升...................20
四、我国数据可携权之完善...........................26
(一)明确数据可携权的适用范围........................26
1.明确数据可携权的义务主体.....................................26
2.界定数据可携权的客体范围..........................................27
结语..................................40
四、我国数据可携权之完善
(一)明确数据可携权的适用范围
1.明确数据可携权的义务主体
《个人信息保护法》确立了数据可携权应由“处理个人数据的人”承担之,并在《网络数据安全管理条例(征求意见稿)》中将其明确为“数据处理者”。在这方面,欧盟采取的是主体二分法,把数据运营者划分为数据控制者和数据处理者,在这些义务中,数据控制者仅占主导地位。区别数据控制者和数据处理者,其立法本意是要明确法律责任主体,但是,今天的多方联合处理的资料,并且用很难将数据控制者和数据处理者区别开来的方法分配数据处理责任,这种现象是很常见,怎样把两者区别开来,并非易事。我国在此问题上也存在着一定的困难,即我国的法律并未明确划分出不同类型数据的处理与利用,导致其无法准确地界定数据提供者和数据使用者各自的职责范围。所以国内使用的是“数据处理者”的概念,数据处理者确定对采集到的个人数据进行处理及使用情况,以及行使数据主体权利等、非法数据处理引起的损失、和安全保护措施等等,都负有重要职责,而建立在委托关系基础上的受托人,只需承担必要的措施,确保被处理个人数据安全即可,并且帮助数据处理者完成法律赋予他们的职责,这种机制有效地规避了将数据控制者和数据处理者明确区分开来的困难。
法律论文参考
有观点认为,数据可携权的义务主体包括数据转移方和数据接收方。数据转移方是指处理个人信息的组织或者个人,数据接收方是指接收个人信息的组织或者个人[33]。数据转移方在转移个人数据之前,应当取得数据权利人的授权,并将数据接收方的详细信息告知数据权利人。数据转移方还应当与数据接收方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对数据接收方的个人信息处理活动进行监督。数据接收方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息。数据接收方还应当遵守相同或者更高的保护标准,防止数据在转移过程中出现风险或者损失。数据接收方不得未经数据转移方同意,转委托他人处理个人信息。数据转移方和数据接收方共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
..............................
结语
目前我国《个人信息保护法》中可携权的落实还存在很大障碍,我国应积极参考域外关于数据可携权的有关立法和实践经验,从立法层面对数据可携权人格权属性进行界定,根据个人数据来源、开发利用程度和涉他性这三个角度骤为数据可携权划定了适用范围,以及弹性化数据可携权等利益冲突平衡规则。同时,还应完善配套制度,以促进个人数据保护的进一步深入。当然,对数据可携权权利架构和具体适用规则进行了界定后,权利要真正落地践行,仍需建构系列配套措施。例如加强数据交易市场的监管,规范数据交易平台,完善数据流通环节的法律规制。在隐私权与控制权之间维持动态平衡,切实维护数据流转双方的权利义务。因此,在厘清相关法律问题之前,有必要对数据可携权进行本土化探索。笔者认为要实现这一法权中国化,首先必须明确核心思路,即以“个人信息”作为权利客体的扬弃既有,根据数据来源,划分数据类型,逐类分辨是否落在数据可携范畴。其次要明确界定数据所有权主体和使用权主体的法律地位。以个人数据为依据,剔除了观测数据及其衍生数据,慎重处理权属不清的数据。数据可携属性的认定标准应当综合考虑主体特征、行为模式和社会环境三个要素,并结合数据价值取向来判断。建议在数据可携权中加入权利限制条款与例外规定,可以选择广义的限制条款,主要有目的限制以及知识产权,商业秘密等、公共利益的制约两方面。在明确界定数据产权属性之后,可以借鉴域外立法经验,将其作为一种财产权进行保护,并通过建立相应的配套制度加以实现。另外,数据可携权实施细则和国家标准以及行业指南也需加快发布,重点是与民法和经济法的关系、行政法与其他部门法之间规则的协调,构建了一套包含数据转移范围,一般规则、权利限制与救济等重点问题等健全规制体系。通过立法规范和制度设计,使我国数据权保护走上规范化之路,为大数据产业发展提供坚实的法律基础。
参考文献(略)