法学理论与实践
Theory and Practice of Law
- 主办单位:未來中國國際出版集團有限公司
- ISSN:3079-7152(P)
- ISSN:3079-9996(O)
- 期刊分类:人文社科
- 出版周期:月刊
- 投稿量:0
- 浏览量:150
相关文章
暂无数据
个人数据携带权的法律保障机制研究
Research on the Legal Protection Mechanism of Personal Data Carrying Right
引言
在数字经济蓬勃发展的当下,数据已成为驱动社会进步的核心生产要素。随着互联网技术的深度渗透,个人数据的收集、处理与利用呈现出规模化、复杂化趋势,数据的经济价值与人格利益属性交织共生,引发了对个人数据权利保护的持续关注。作为数字时代的重要权利建构,个人数据携带权旨在赋予数据主体对其个人数据的转移与控制能力,成为平衡数据流通利用与个人权益保护的关键制度设计。
数据携带权的概念最早可追溯至20世纪60年代的美国,其诞生源于对个人数据隐私保护的关切。随着欧盟《通用数据保护条例》(GDPR)的实施,数据可携带权以明确的法律规则形态落地,成为全球数据治理的重要标杆。我国在2021年颁布的《中华人民共和国个人信息保护法》(以下简称《个保法》)第四十五条首次确立了数据携带权,规定数据主体在符合国家网信部门规定的条件下,有权请求转移其个人信息。这一规定标志着我国对数据主体权利的立法进步,但其仅为原则性条款,具体行使条件、限制规则及保障机制均付之阙如,实际操作层面依赖国家网信部门进一步细化规定,而相关配套细则至今尚未出台。
当前,我国数据携带权制度面临立法粗放与实践空白的双重挑战:一方面,《个保法》仅规定权利框架,未明确行使要件、费用承担、监管机制等具体规则;另一方面,数据主体行权时易引发与数据控制者、第三方主体及公共利益的冲突,而既有法律体系缺乏系统性解决机制。在此背景下,如何借鉴域外经验并结合本土实践,构建契合我国数字经济发展需求的数据携带权法律保障机制,成为理论与实务界亟待解决的重要课题。
本文从数据携带权的权利属性辨析出发,梳理我国现行制度的局限,探索优化路径,以期为完善个人数据保护立法、促进数据合理流通提供理论参考,推动实现个人数据权益保护与社会数据价值利用的动态平衡。
一、个人数据携带权的法律属性
目前,学界就个人数据携带权的法律属性的认知仍未取得统一意见,乃至于个人数据携带权是一项独立的权利还是其上位概念个人信息权的一项积极权能亦存在争议。
(一)人格权说
“人格权说”认为自然人人格利益的电子化呈现,与隐私等个人人格特质存在紧密关联。在大数据技术蓬勃发展的当下,个人的出行轨迹、网络搜索记录、交易详情、地理位置等信息,被各类传感器与终端设备持续记录、采集。凭借这些设备,现实社会中的各类活动以比特或比特流的形式完整留存,并上传至公共或私人云端,从而在网络空间中构建起现实世界的镜像,形成所谓的“数字孪生”。数字化浪潮已席卷全球,个人难以抗衡这一时代趋势,个人、企业乃至国家均同时置身于现实社会与虚拟网络社会之中。基于个人在现实社会中享有人格利益的共识,“数字人格”概念的确立亦具有合理性与必然性。从客体的人权属性来看,以个人数据为对象的个人数据携带权,应被视作具体人格权的一种表现形式。
(二)财产权说
财产权说则从另一视角解读个人信息保护问题。该理论主张将个人信息纳入财产保护范畴,其依据在于个人信息包含隐私内容。在全球数据产业体系内,数据资产的价值于数据流通与共享过程中得以彰显。个人数据携带权的施行,促使数据实现广泛传播与复制,推动单一数据向数据集合转变,显著提升数据的财产价值。波斯纳在《法律的经济分析》中强调,欲充分发挥数据价值并实现个人数据有效保护,需认可数据的财产属性。随着大数据时代的深入发展,数据已然成为重要资源。平台与机构收集个人数据后,通过加工处理获取商业价值,此时数据便具备财产属性。对于数据主体而言,向平台或机构提供个人数据可获取相应财产收益,形成双向利益互动。在国内,王利明教授在《人格权法研究》中提出,个人对数据享有优先财产权,可对企业数据交易行为形成制约。国外学者如Alan Westin亦支持个人信息财产权观点,主张个人应拥有控制信息传播的权利。
(三)复合权说
复合权说认为,数据可携带权兼具多种权利属性,很难将其归属到某一权利之中。王利明教授指出,个人数据权归于人格权,但是我国民法体系未对个人数据权做规定。数据可携带权的理论基础是信息自决权,保护人格尊严和意志,属于基本人格权。数据可携带权依附于数据主体,体现人格权属性,但不同于隐私权等具体人格权,也不等同于数据所有权,而是对个人数据使用、存储、转移的请求权。同时,个人数据经收集、加工后具有商业价值,数据控制者可变现,体现财产性。因此,数据可携带权兼具人格权和财产权属性。
二、个人数据携带权的法律保障机制局限
《个保法》第四十五条意味着数据携带权在我国的正式确立,但其法律保障机制亦存在一定的局限性。
(一)数据可携带权行使的成本确定规则模糊
1.数据控制者收取“合理费用”标准缺失明确界定
在个人数据转移进程中,数据主体与数据控制者均需面对费用相关事宜。我国现行法律体系中,关于费用承担主体尚未形成具体且清晰的规定,致使在实际操作层面,“合理费用”的判定缺乏统一准则。《网络安全条例》第二十四条允许数据处理者在个人信息转移请求超出合理范围时收取合理费用,然而“合理范围”和“合理费用”的具体定义尚未规定。因此,数据可携带权于数据主体而言是重要权益保障,对数据控制者而言则衍生出责任与成本负担。日常情境下,数据控制者多以无偿形式协助数据主体完成个人数据转移。然而,当数据转移请求频次过高,企业运营成本显著增加时,数据控制者收取“合理费用”存在必要性。这一收费机制不仅能够抑制不必要的数据转移行为,还可推动数据可携带权在合理范畴内有效行使。鉴于数据可携带权在我国发展进程中面临的现实需求,于构建数据可携带权具体制度时,对数据控制者收取费用的标准予以明确界定,成为推动该权利有序发展的关键环节,对数据可携带权制度的完善与实施具有不可忽视的重要价值。
2.数据接收方是否可以收费未予明确规定
我国《个保法》确实规定了数据控制者应提供数据转移的途径,但对数据接收方来说,面临的挑战较大。数据主体可能将同一数据转移到多个平台,导致数据接收方可能随时失去刚获得的数据,并承担转移数据的成本。关于数据接收方是否可以要求数据主体承担这些费用,以及是否可以收取一定费用,《个保法》并未明确规定,国家网信部门也未作出具体规定,因此需要进一步明确。
(二)数据可携带权行使产生的权益冲突的解决机制不完善
1.数据可携带权与第三方主体的权利冲突
个人数据并非独立存在,往往交织着第三方主体的个人信息。诸如聊天对话内容、通话沟通记录、人物合影影像,以及邮件往来文本等数据载体,均承载着第三方数据主体的个人信息。在行使数据可携带权的过程中,数据主体的权益主张易与第三方主体产生利益碰撞,这种冲突主要体现在隐私权与知情权层面。涵盖其他数据控制者、企业、机构以及个人在内的多元第三方主体,其权益均可能因数据可携带权的实施而遭受影响,甚至面临潜在损失风险。
2.数据可携带权与数据控制方的权利冲突
数据可携带权可能与数据控制方冲突,后者可能为商业利益设置障碍,妨碍数据主体行使权利。当数据主体行使这一权利时,原数据控制者可能因失去数据控制权而面临竞争加剧,而新数据控制者则可能因获得新数据而增强竞争力。数据可携带权的行使可能涉及数据控制者的商业秘密,尤其是个人数据被加工成新数据时。对于涉及商业秘密的个人数据转移请求,需要制度上的系统考量和安排,以平衡数据主体的权利与数据控制者的商业利益。
3.数据可携带权与公共利益的冲突
纵观我国的立法,《个保法》并未明确规定数据可携带权的行使限制,仅授权国家网信部门进行规定。宪法允许国家为公共利益依法征收或征用公民私有财产,且在多部法律中公共利益优先。因此,当数据主体行使数据可携带权与公共利益发生冲突时,需要平衡个人权利与公共利益的关系,并确定优先级和标准。对于数据跨境携带可能与公共利益发生冲突的情况,也需要制度上的明确和考量。
(三)数据可携带权行使中的监管和救济机制不健全
1.监管机构不明确
数据可携带权在实践场景中遭遇双重挑战:数据主体身份核验机制亟待完善,数据传输安全防护体系亦需强化。回顾我国个人信息保护立法演进,早期分散于法律、行政法规、部门规章的规范模式,致使执法实践中重复介入与权责冲突并存。立法权的分散配置,赋予多元部门与机构监管权限,同一维权诉求常触发不同机关受理,处理结论分歧显著。《个保法》的颁行虽实现立法层面的整合统一,但未完全覆盖既有规范体系。该法第六十条明确国家网信部门的监督主导地位,同时规定国务院及县级以上地方政府相关部门协同参与。这一架构下,数据可携带权监管呈现多部门共治格局,各部门监管细则差异明显,增加数据主体权利行使与权益救济的复杂度,也凸显构建标准化、专业化监督管理体系的现实需求。
2.救济途径单一
权利行使与救济如影随形,实体权利的存在构成救济的前提。我国关于数据可携带权本土化救济机制的法律规范,呈现分散化特征,尚未形成系统完备的制度体系。目前,主要有三条法律条文对数据可携带权行使的救济途径作出规定。《个保法》第五十条赋予个人在信息处理者拒绝其权利主张时,向法院提起诉讼的权利;第六十九条明确信息处理者若实施侵权行为且无法证明自身无过错,须承担相应责任;第七十条规定,当多人权益遭受侵害时,经网信部门指定的组织可依法提起诉讼。上述条款均聚焦数据主体的救济路径,然而在实际权利行使过程中,数据控制者同样面临被侵权风险,现有法律对此未予充分考量。此外,单一的诉讼救济途径存在局限性,较低的诉讼门槛虽便利数据主体维权,但可能导致同类型案件在法院大量涌现,进而加重司法审判负担。
三、个人数据携带权的法律保障机制的优化路径
如前所述,个人数据携带权的法律保障机制亦存在一定的局限性,因此可从以下几个方面对其进行优化。
(一)明确数据可携带权行使中的费用标准与收取主体
1.明确的“合理费用”标准
数据可携带权行使过程中,基本费用通常由数据主体负担,在此基础上,明确费用合理范畴与标准成为关键。衡量“合理费用”需着重考量数据主体转移个人数据的频次及数据容量,二者构成费用标准的核心参照要素。费用设定应当契合实际需求,确保处于合理区间,避免因过高费用形成数据主体权利行使的阻碍,从而保障数据可携带权得以顺畅落实。关于“合理费用”的概念,可以参考《政府信息公开信息处理费管理办法》中的规定明确收费程序、方式及监管,旨在调节信息公开申请、引导合理行使权利。具体来说,包括:一是按次数收费,如一年内免费两次,第三次起每次500元,超过四次每次增加300元;二是按数据容量收费,如128G内免费,128G至256G收300元,256G至512G收600元,以此类推。这样的收费机制旨在防止滥用权利和阻碍数据可携带权的行使。
2.明确数据接收方的收费权利
关于数据转移费用,可依据数据主体转移后的行为决定。第一,如果数据主体将数据转移到新接收方后至少6个月至1年内未再次转移,接收方不应收费,因为数据具有财产价值,接收方可通过分析数据获益。第二,如果数据主体在6个月内将数据转移到多个接收方并再次转移,后续接收方可收取合理费用,因为他们提供了存储和转移服务,产生了成本。“合理费用”可参考之前讨论的标准,并考虑存储天数和实际开支计算。
(二)建立数据可携带权与多方主体权益的平衡机制
平衡数据可携带权与其他利益需兼顾个人权益、商业利益、公共利益和数据安全。这要求在保障数据主体权益的同时,考虑其他方诉求和社会稳定,是一项复杂任务,需多方面权衡,促进数据保护和流动的健康发展。
1.数据可携带权与关联第三人的利益平衡机制
我国《个保法》尚未对涉及关联第三人的数据携带作出明确规制,而数据主体行使数据可携带权转移个人数据时,存在侵犯第三人隐私权的潜在风险。不过,并非所有含第三人数据的携带行为均必然构成隐私侵权。以存储于平台的合照、聊天记录、通讯记录等数据为例,数据被携带后若未进入公开流通领域,实际未对第三人隐私权造成侵害。同时,数据主体对涉第三人的个人数据在一定范围内享有合理使用权益。在制度构建层面,需对不同情形加以区分:当数据主体计划于新平台公开含第三人数据,应获取第三人明确同意,同意形式可采用现场确认、电话沟通、短信回复或聊天记录确认等便捷方式;就数据转移可能引发的第三人知情权问题,需引入“合理期待”判断标准——若数据仅处于存储状态,未对第三人知情权形成实质影响;若涉及数据加工利用行为,则需事先征得第三人同意。可通过制定差异化的同意程序,针对不同类型信息设置相应保护机制,以此保障第三人数据安全。
2.数据可携带权与数据控制方的利益平衡机制
数据可携带权引发的矛盾主要集中于数据主体与控制者、不同控制者之间。数据主体在接受服务过程中产生的数据,赋予控制者使用权限。为调和数据主体与控制者的利益分歧,可构建数据贡献价值机制。数据转移场景下,该机制作用显著。转移个人原始数据时,数据主体作为数据源头贡献更多价值,其利益诉求应被优先考量;若转移数据涉及控制者商业秘密等衍生数据,数据控制者因后续加工投入获得更高价值权重,此时其利益可获优先保护。值得注意的是,数据控制者不能以商业秘密为借口,单方面限制数据主体行使权利。实践中,可借助技术手段对敏感数据进行剥离处理,在保障商业秘密安全的前提下,实现数据合规转移,确保数据可携带权的有效落实。
3.数据可携带权与公共利益的平衡机制
数据可携带权的行使面临公共利益的约束,当两者出现冲突时,公共利益占据优先地位。在我国数据可携带权立法进程中,明确公共利益在数据可携带权框架内的界定范围与数据携带具体标准是关键。建立透明度机制与问责体系,可有效保障数据携带过程的公平性与公正性。通过公开数据携带的流程、标准以及公共利益的判断依据,接受社会监督,确保数据携带行为合法合规。同时,引入公众参与机制,赋予公众对数据携带决策的监督权利,从多元视角审视数据可携带权与公共利益的平衡,形成多方协同的治理格局,避免单一主体决策带来的失衡风险。
(三)完善数据可携带权行使中的监管与救济机制
1.完善数据可携带权行使的监管机制
在数据可携带权立法领域,多国已建立专门监管架构。美国与欧盟通过设立数据保护委员会、监管机构,实现对数据保护事务的系统性管控,这些机构承担规范数据可携带权实施、处理相关投诉争议的职责。反观我国,数据可携带权监管存在权责分散问题,多元主体被赋予监管权限,致使同一行为面临多重处罚的情况时有发生。
针对这一现状,我国在明确数据可携带权权属后,需着手构建复合型监管体系。一方面,设立分级监管机构,国家层面由国家网信部门统筹全局,省级、市级分别设置对应机构,形成垂直监管架构,上级机构对下级实施监督,受理申诉复议并有权撤销不当决定;另一方面,打造“企业—协会—政府”联动机制,整合多方力量提升监管效能。鉴于当前我国数据可携带权规定尚停留在单一法条层面,推进本土化进程需采取渐进策略,分阶段、分层次、分行业稳步实施,逐步完善相关制度体系。
2.完善数据可携带权行使的救济途径
我国数据可携带权救济体系以司法救济为主,呈现单一化特征。数据主体权利受损时,可向人民法院提起诉讼;涉及多人权益受侵,指定组织可代为诉讼。为健全救济机制,可从多维度拓展救济路径。
数据主体层面,新增监管投诉渠道。投诉流程参照《行政法》相关规范,涵盖证据收集、书面提交、受理审查、调查核实及处理决定等环节。同时,引入申诉复议机制,数据主体权益受侵时,可先向监管部门申诉,若对处理决定存疑,可向原监管机构或上级机构申请复议,亦可直接诉诸法院。此外,通过监管裁决或法院判决,数据主体可获取相应赔偿。
数据控制者亦应享有救济权利。当数据主体向监管机构投诉侵权时,控制者可提供证据自证无责;面对数据主体的申诉或诉讼,控制者有权反驳、反诉,通过举证减轻或免除责任;对监管机构决定与法院判决,控制者可分别申请复议与上诉,维护自身合法权益。
四、结语
我国《中华人民共和国个人信息保护法》第四十五条关于数据可携带权的条款,直面数据流通共享议题,在数据准入机制构建与数据垄断治理层面作出积极探索。自数据可携带权概念产生,其便肩负推动数字经济蓬勃发展的重任,成为激发数据市场创新活力、强化市场竞争的重要力量。
审视我国现行数据可携带权规定,其表述尚显概括,难以完全满足实践需求。尽管域外数据可携带权发展经验具有参考价值,但简单移植并不可取,需紧密结合我国发展实际,依据不同阶段特征与现实诉求,构建契合本土环境的制度体系。
数据可携带权的实践落地,需以利益平衡为核心准则,注重法律规制与技术应用的协同配合。只有从细化具体规则、明确适用领域等维度着手,制定具有实操性的实施标准,方能确保数据可携带权深度融入本土数字经济,切实发挥其促进产业发展、保障数据权益的作用。
参考文献:
- [1] 郑佳宁.数字财产权论纲[J].东方法学,2022(02):106-119.
- [2] 孙森,宣頔.欧盟《通用数据保护条例》中数据可携权的本土化建构研究[J].经营与管理,2022(04):44-49.
- [3] 丁晓东.论数据携带权的属性、影响与中国应用[J].法商研究,2020,37(01): 73-86.
- [4] 卓力雄.数据携带权:基本概念,问题与中国应对[J].行政法学研究,2019(06):129-144.