1. 引言
互联网企业商业运作的核心要素就是数据资源。作为信息时代的石油,合理地利用数据可以进行一系列诸如用户画像分析、广告精准投放、行业调研报告等行为,并由此产生巨大的商业利润,因此免不了产生针对用户数据的争夺大战。龙头企业往往凭借自己的先天优势形成数据垄断,从而达到限制甚至排除其他竞争者的目的,并进一步侵犯个人对信息的自决权。目前各国均加大了对互联网企业利用用户数据的保护。欧盟针对此问题率先提出建立数据可携带权制度,以规范企业的竞争行为。我国在《个人信息保护法》第四十五条第三款中也引入了该项制度,然而这项制度能否具体落实,还必须立法者深入研究该制度的背后逻辑以及分析对互联网企业和整个市场的影响,从而更好的去进一步设计制度,构造一套适合我国的数据可携带权具体措施。
2. 问题的提出
2.1. 数据垄断相关纠纷增多
在个人层面,数据可以等同于信息,个人信息即个人数据 [1]。而针对个人数据在商业化利用过程中的保护重点,则围绕着数据主体与数据利用方之间、数据利用方相互之间以及数据主体、数据利用方和公共利益三者间的冲突展开 [2]。当普通用户将其个人数据交由运营商,也就是数据控制者或处理者后,很难再次完整地获取其个人数据。运营商也可能故意设置障碍提高用户数据迁移的成本,阻止用户将其数据转移至其他运营商 [3],这一现象在互联网企业中尤为突出。在数据成为关键要素的今天,如果不及时规制互联网企业对数据的垄断行为,不仅会大大降低消费者的体验,也会对市场竞争产生不利影响。一旦这种“数据孤岛”现象越发严重,数据共享与聚合可能会带来的巨大生产力也将停滞,进而会影响整个时代的发展。因此,落实个人数据携带权,打破互联网龙头企业数据垄断现象刻不容缓。
2.2. 数据共享立法理念缺失
目前我国生效的《网络安全法》、《数据安全法》、《个人信息保护法》三大基础性法律,与《关键信息基础设施安全保护条例》等众多法律法规共同构成了我国数据保护的法律基础。虽然我国立法在不断完善,但是仍然处于数据保护的初级阶段,且立法中侧重点主要在数据的保护,没有及时回应信息时代对数据流通,数据共享的需求,折射出数据立法理念较为滞后的问题 [4]。直到2021年8月20日《个人信息保护法》第四十五条将欧盟《通用数据保护条例》中的数据可携带权正式引入到我国,才从立法上开始重视数据共享和数据反垄断问题。
2.3. 现有反垄断制度不够完善
数据垄断不同于传统的价格垄断、地域垄断,其核心在于如何判定一个企业拥有数据垄断地位,并且滥用市场支配地位,而这些标准的确定具有高度模糊性。2021年6月,欧盟针对谷歌的数字广告业务开展反垄断调查,该调查中就如何确定数字广告业务相关市场产生了很大的争议,考虑到数字广告业务形式非常广泛,不仅包括线上用户推送,也包括线下比如地铁或者商场里的投屏广告等,不同的业务范围确定将直接影响市场支配地位的认定。
2021年2月7日,中国国务院反垄断委员会制定发布《国务院反垄断委员会关于平台经济领域的反垄断指南》,指南中提出可以从经营者的市场份额及相关市场竞争状况、控制市场的能力、财力和技术条件、其他经营者对该经营者在交易上的依赖程度以及其他经营者进入相关市场的难易程度等来进行综合分析。在依赖程度的考量上,具体又包括锁定效应、用户黏性,以及其他经营者转向其他平台的可能性及转换成本等,在进入市场的难易程度上,又细化包括用户的转换成本、数据获取的难易程度等。第20条关于经营者集中审查认定的考量因素中,则提到了经营者掌握和处理数据的能力、对数据接口的控制能力、用户迁移数据的转换成本等。不得不说这一规定明晰了相关考量因素,因此在数据可携带权制度的设计中,可以参考借鉴相关规定。
3. 数据可携带权对数据反垄断的作用
3.1. 理论基础
欧盟《通用数据保护条例》(General Data Protection Regulation,下文简称《条例》)第20条创设性的规定了数据可携带权。该权利允许数据主体以结构化的、通用化和机器可读的格式接收它们提供给数据控制者的个人数据,并且不受阻碍地将这些数据传输给另一个数据控制者。
在互联网企业这种数据驱动型市场中,反馈循环是网络效应得以实现的主要方式。反馈循环表现为数据与用户数量、产品质量之间螺旋式的上升关系。具体而言,经营者能够利用其所掌握的数据分析并满足用户的需求,从而吸引更多的用户,加速数据的积累。比如常用的打车平台滴滴出行,在前期会发放大量的优惠券吸引用户,而用户一多意味着订单多,反过来又会吸引更多的司机加入,司机一多客户的选择就多,也更容易打到车。但是实践中,用户在长期使用单一平台时,可能因在平台所投入的高额成本及更换平台所需支付的新成本的考虑,而被迫困在一个平台。当用户行使数据携带权时,既能保障其在平台中的合法数据权益,亦能打破平台的锁定效应,这一特质在数据驱动型产业中最为明显,例如电商平台、社交网络平台中的数据已经成为寡头企业的市场壁垒,当用户有权行使数据携带权时,就赋予了用户在各应用之间轻松切换的能力,减少了数据控制主体对用户的锁定效应,从而消减数据壁垒,促进市场竞争。
3.2. 我国具体实践
3.2.1. 携号转网
携号转网,即一家电信运营商的用户,在不改变手机号码的情况下,即可成为另一家电信运营商的用户。自2006年10月原信息产业部发布了630号文件《信息产业部关于保障移动电话用户资费方案选择权的通知》后,携号转网政策就开始在各省市分阶段或全面执行,直到2019年11月27日,工信部召开携号转网启动仪式,携号转网才正式在全国提供服务。携号转网可以看成是我国最早推广个人信息可携带权的表现形式 [5]。对于用户而言,用户可以自由选择电信运营商,而无需考虑更换手机号码的成本,对市场而言,可以打破某一电信运营商垄断的优势地位,促进市场公平良性竞争。
3.2.2. 虾米音乐
2021年2月5日,阿里旗下虾米音乐播放器业务将正式停止服务。同时,虾米音乐的用户可以将其在虾米音乐创建或者收藏的歌单,不受阻碍的导出至其他音乐平台继续使用,最近收听或收藏的歌曲、专辑也可以通过创建歌单的方式导出。同时,网易云音乐在2021年1月6日发布“一键迁移”虾米歌单功能指引,来优化相关数据传输技术,更好的吸引虾米音乐用户。用户在各应用之间轻松切换的能力,减少了数据控制主体对用户的锁定效应,从而消减数据壁垒,促进市场竞争。
4. 数据可携带权对数据反垄断的局限性
4.1. 权利主体有限
就体系解释来看,数据可携带权更强调用户对数据的控制,而非其附带的竞争效益。单个规定在整个法律、法律部门,甚至在整个法秩序中的体系位置,对确定规范意旨至关重要 [6]。数据携带权、更正权、被遗忘权、限制处理权共同列于《条例》第三章“数据主体的权利”之第三部分“更正与擦除”,同时欧盟关于数据可携带权的官方指南中提及,数据可携带权的规范目的还是以保护个人数据安全与流通为主 [7]。
《条例》的实质在于让用户重新控制数据 [8],即限于数据主体。这一限定排除了第三方企业可能发起的数据迁移请求,以及迁移在原始数据基础之上的推演数据信息。这就让《条例》中的权利范围非常狭窄,对市场竞争的影响力也局限在有限的层面。
4.2. 数据范围难以确定
根据《条例》第20条第1款的规定,数据主体有权从数据控制者处获得的数据应该是“其提供给控制者的相关个人数据”。同时第20条规定数据应该限定在第6条第1款和第9条第2款规定的情形,这意味着只有数据主体主动提供给数据控制者和数据控制者为履行合同目的而获取的个人数据,是在数据可携带权所涵盖的范围内。第29条数据保护工作组(以下简称“WP29”)在《数据可携带权指南》中认为,这项新权利不能被削弱和局限为数据主体直接传达的个人信息。
但是如何去界定主动提供的“相关个人数据”范围比较困难。目前个人提供的数据可以分为两类,一类是数据主体有意和主动提供的静态数据,例如一些基础的个人信息,包括姓名、联系方式、性别等等;一类是数据主体通过使用服务或者设备所提供的行为动态数据,包括浏览记录、地理位置、在线使用时长等数据。后者相比于前者的商业价值更高,因为这些数据可以反映出数据主体的购物喜好、生活方式、对平台或服务的使用依赖程度等等,而这又同时是市场竞争中最为关键的收据,如果数据可携带权包括了后者,那么将为新进经营者提供巨大的商业价值,并且产生真正积极的反数据垄断效果。但是如果严格从字面意义理解,将极大限制数据范围,对于新进经营者的优势可能就不够明显 [9]。
同时在很多情况下,数据控制者处理的信息可能包含其他用户的个人数据,比如在社交领域中,通讯录信息可能包含第三方的电话号码、社交账号,通话记录则可能包含与第三方人员的通话时间、时长等,如果该权利可以运用在各个领域,比如金融领域中的银行,那么个人的转账记录中将会包括第三方账户的部分交易记录 [10]。在此情况下,的确不应当对“与数据主体有关的个人数据”做出过于限制性的解释,毕竟这些数据与数据主体相关。但考虑到数据安全,如果这些数据记录被传输给一个新的数据控制者,该数据控制者不应为任何会对第三方权利和自由产生不利影响的目的处理它们。
4.3. 可操作性低
4.3.1. 标准模糊
《条例》第20条第1款规定数据传输的形式应当是结构化、常规、机器可读取的。“结构化”增加了数据传输的便捷性,因为它更易被自动化处理 [11]。但目前对于哪些形式的数据可以算作“结构化”,并没有统一的标准。如果说“结构化”的定义不明确,那么“常规”就不具有统一的标准。并且这两个标准之间存在冲突,某些“结构化”的数据形式并没有被广泛使用。数据控制者和数据主体常用的形式也存在着差异,某些数据运营商所常用的形式,对于普通消费者而言可能是生疏的。
考虑到数据控制者处理的潜在数据类型种类繁多,《条例》并未就拟提供的个人数据格式提出具体建议。且各个行业最适合自身的数据格式有所不同,适当的数据格式可能已经存在,因此也并没有强制要求构建新的数据格式。
4.3.2. 技术难题
《条例》第20条不仅赋予数据主体要求数据控制者将数据传输给其本身的权利,并且还可以要求数据控制者将数据直接传输给第三方,前提是在技术支持的情况下。但决定技术是否支持这一传输要求的,是数据控制者。与此同时,第20条第1款中规定,数据控制者应当不设任何阻碍地将数据传出。当第一个数据控制者与第二个数据控制者所使用的处理系统不相容时,第一个数据控制者应当以何种形式将数据传出才算满足“不设任何阻碍”的要求?数据控制者是否需要按照特定的模式要求(比如export- import module)传出数据?或者数据控制者仅仅做到不故意设置技术障碍,即达到要求。这在《条例》中并没有明确,需要在《条例》实施后辨明。
4.4. 数据流向的不确定性
数据可携带权最核心的就是数据的可转移,但是它无法保证数据的流向一定是从优势经营者转向新进经营者。在前述的讨论中,数据可携带权的反数据垄断作用是发生在阻断优势经营者对用户数据的排他性使用,为用户选择其他平台、服务提供便利,但如果数据的流向相反,反而会进一步加剧数据垄断。
4.4.1. 优势经营者地位难以撼动
西班牙法律规定了用户拥有在社交媒体网络服务或同等服务上发布的内容可移植性权利,相比于《条例》中规定的客体范围更加广泛,但是该权利内容的可操作性仍然存疑。以视频弹幕网站哔哩哔哩(以下简称“B站”)为例,B站的特色是悬浮于视频上方的实时评论,即“弹幕”。早期B站以弹幕这一新鲜功能吸引了很多年轻用户,随着用户数量的增多,弹幕的发射数量、内容质量有显著的提升,在2021年11月29日,B站更是官方宣布弹幕数量已经破百亿,其吸引力甚至一度超越了视频本身。用户在B站中扮演的不再是仅接受信息的一方,其与视频网站已经形成了密不可分的关系,互联网从平台向用户的单向传播,变成了用户与用户的双向互动,可以说B站的独有氛围是由视频上传者、用户与平台共同打造的。那么B站用户在行使数据可携带权时,其客体是否包括用户自己发射的弹幕?即使赋予了用户数据可携带权,也很难保证新进经营者能够吸引到用户,因为用户收藏的视频、发射过的弹幕可能无法在其他软件上找到。
4.4.2. 新进经营者对数据的掌握能力下降
新进经营者往往通过创新来为自己在互联网市场招揽用户,为了激励创新,传统的竞争法格外注重保护创新者的财产权,以此来补偿他们因创新而承受的风险 [12]。数据可携带权在打开数据流通的大门的同时,大大削减了优势经营者对用户数据的掌控能力,但也正因如此,才可能会出现数据并没有流向新进经营者,反而被优势经营者吸引的情况,数据的自由转移可能会对某些创新企业产生负面影响 [13]。在这种角度上考虑,数据携带权所倡导的数据共享与聚合,反而会让未来互联网市场的竞争多了几分不确定性。
4.5. 救济机制缺乏
数据可携带权的行使意味着用户可以依据该权利一次性要求数据控制者转移所有个人数据,或者传输给第三方,这必将会带来数据传输方面的安全衡量。在权利行使的过程中如何确保用户身份不被他人盗用顶替,如何确保传输过程不发生数据泄露,数据接收方的身份信息由谁来核查?传输过程如果失败,用户又该如何救济?并且随着个人数据泄露风险的上升,用户往往更愿意选择知名的大企业,因为大企业在大多数情况下意味着拥有更完善的数据保护系统,并且大企业往往能提供更多的服务,减少后续数据流动的次数和暴露的风险。因此,在个人数据泄露风险升高的情况下,个人数据不仅会出现向优势经营者集中的趋势,而且其对优势经营者的黏着性也会明显提升。数据携带权通过促进数据流通来抑制数据垄断的功能或将沦为纸上谈兵 [14]。
5. 我国数据可携带权制度的完善
5.1. 明确数据传输客体
数据控制者获取的数据主要包括三类:第一类是数据主体提供的个人数据;第二类是观测数据,即对数据主体使用服务或产品时留下的行为痕迹进行分析所得的数据;第三类是衍生数据,即数据控制者基于算法技术对前两类数据进行分析所得数据 [15]。《个人信息保护法》第四十五条对数据携带权的适用范围仅规定是个人信息,没有进一步明确的类型限定,因此需要及时对其进行限定。
通过上述欧盟立法的分析,笔者认为应将该个人信息限定在直接获得数据和观察数据中,将衍生数据排除在外。如果将范围过于限缩在直接数据,其发挥的效果将十分有限,而把观察数据加入其中,虽然将部分关键数据的转移放开权限,但是毕竟这些数据没有经过算法分析,并不会窃取其他企业的商业秘密,也不会侵犯其他企业的知识产权智力成果,同时能达到数据共享的目的,较好平衡个人数据和经营者的商业秘密。
5.2. 增设差异化数据传输要求
目前《个人信息保护法》第四十五条仅规定数据控制者有义务为数据的转移提供途径,对于这种义务的强制程度,即使是欧盟也没有完全统一。一方面,如果将数据传输的“技术可行”等设定为硬性义务,则会让数据控制者承担过重的负担,另一方面,如果过于软性则可能会导致权利难以实现。
《条例》第20条第2款和我国《信息安全技术个人信息安全规范》第8.6条中的“技术可行”标准的优点在于它有助于对不同经营者形成差异化的监管,在新进经营者与优势经营者之间实现实质上的公平 [16]。因此笔者认为可以对新进经营者和非新进经营者分别设定不同的义务范围,使非新进经营者承担更多的传输不受阻碍的数据义务,而针对暂时无法达到这一标准的新进经营者并不作过多的苛责,直到其转化为非新进经营者。这两者的区分可以通过用户的数量规模,相关市场份额的认定等因素综合考量。
5.3. 不同行业分阶段执行
同时,考虑到不同的行业之间收集的数据种类繁多复杂,在我国数据保护尚未完善的情况下,贸然赋予全部行业用户数据可携带权,可能过于激进。因此数据携带权不宜表现《条例》的一般定义中“全有或全无”的特征,可以先对部分行业进行试点分析,在促进竞争和鼓励创新的领域以及数据安全保护能力较强的平台之间鼓励率先实现数据携带权。
5.4. 追责制度完善
针对数据可携带权行使过程中可能会出现的风险等,立法应该明确各方主体的责任与义务。数据主体应当对自己提供的数据受让方进行资格保证,即数据主体应当合法行使自己的权利,不能借此将自己的数据进行非法跨境传输等行为。同时法律应就数据控制者在紧急情况下的临时措施做出规定。一旦出现疑似数据主体身份被盗用或者冒用的情况,数据控制者应立即暂停操作,冻结相关个人数据,并以短信、电子邮件等形式通知数据主体。只有当数据主体经过额外的认证程序,确认是其本人的真实意思表示时,数据控制者才能继续完成个人数据的操作。针对数据传输过程中的数据泄露等归责问题,也应当进行明确的规定。
6. 总结
在互联网企业竞争中,相较于新进经营者,优势经营者常常能够凭借其在技术、资金等方面的优势,为用户提供更具吸引力的产品或服务,从而达到掌控绝对多数市场用户数据的目的。《个人信息保护法》中首次引入的数据可携带权,正是通过削弱企业对数据的掌控能力,打破互联网龙头企业的优势垄断地位,让市场回归有序竞争的状态 [17],从而最终实现保护用户的个人信息。从宏观的角度上说,是将对互联网企业数据垄断的监管问题,转向事前的预防举措。但权利的行使,必然会带来诸如中小企业可能适用相同的合规标准,变相增加市场的准入门槛等问题,在竞争形态迥异的市场中采用统一标准要求,对一些新兴企业产生抵牾 [18]。因此,有关权利制度的建设还必须引入主导平台的明确行为规则,加强数字部门合作的法律确定性,以及竞争法与其他数字法规之间的制度联系 [19]。
从更宏观的角度看,数据可携带权为打破互联网龙头企业“数据孤岛”现象提供了途径,也意味着我国数据保护理念,愈发重视数据聚合与共享,从长远的角度看,这必将为个人信息保护的进程画上浓墨重彩的一笔。