一、用户数据财产利益的国家保护义务
“数据”,《数据安全法》第3条第1款将其定义为“任何以电子或者其他方式对信息的记录”。其并非全新的客体形式,信息技术发展早期人类即可通过数据完成基本信息的记录、存储和运算。技术变革实现了从“小数据”向“大数据”时代的升级:智能设备制造的进步,使得企业可以收集数据、存储海量数据;大数据算法、机器学习等技术进步使得人类可以在短时间内获取、分析大量非结构化数据,企业可通过大数据分析产生决策性、生产性信息,用户提供其个人数据可以享受个性化服务。技术变革带来了社会关系的变革:随着企业数据收集、存储、分析能力的增强,其可以准确地捕捉个人过往生活轨迹并预测未来选择。如果用户无法控制对其个人数据的收集、利用,将导致用户隐私等人格权易于被他人侵犯;大数据分析提供了满足人类需求的新方式,使得数据成为经济意义上的新“财货”形式,用户与企业、企业彼此之间产生了合理分配数据经济价值的现实需求。
这在宪法层面赋予了公民基本权利新的内涵,成为了新时代数据法制体系构建的基础。至少32个国家的宪法专门规定了个人数据保护。在1983年德国“人口普查案”中,德国联邦宪法法院通过阐明德国《基本法》第1条第1款和第2条第1款中人格尊严和人格自由的内涵,最早确认“信息自决权”为一项宪法上的基本权利。欧盟《基本权利宪章》第8条“个人数据保护”规定,人人均有权享有个人数据保护。我国《宪法》虽未将数据保护明确列举为一项基本权利,但宪法基本权利体系具有价值和实践上的开放性,数据保护内容可以被既有的基本权利条款所涵摄:首先,我国《宪法》第38条规定了“中华人民共和国公民的人格尊严不受侵犯”,该条作为我国人格利益保障的基本权利条款,随着个人人格由现实逐渐向虚拟世界延伸,公民决定个人信息能否被知悉以及知悉方式、范围的权利应当被纳入人格尊严的基本内涵;其次,在经济生活中,我国《宪法》第15条第1款规定“国家实行社会主义市场经济”,间接地承认了公民的经济自由权。随着经济数字化转型,公民个人以及作为其延伸的企业享有平等地在数字环境中参与经济生活的自由,由此产生的经营成果不受不法侵害。基本权利一方面有抵御国家权力对公民不法侵害的防御权能,另一方面其作为“客观价值秩序”,使得国家有义务最大化地实现宪法的规范意图,在国家权力运行中将基本权利作为宪法的价值决定,保障基本权利实现,从而产生国家对公民的“国家保护义务”。面对大数据带来的社会秩序变化,公民具有向国家主张立法制度完善、行政执法保护、司法合宪性解释以保护其数据利益的请求权。目前,在基本权利价值秩序的实现中,我国数据保护制度体系构建重自然人人格信息、企业数据财产利益保护,忽视了个人数据中的财产价值和经济自由保障,导致形成了用户在经济生活中被数字平台锁定的利益失衡格局。
为保护公民人格尊严,既有立法已经建构起了完整的个人信息保护体系,保护涉及私人领域的个人信息不受不法侵害。我国《民法典》《电子商务法》《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等构成的制度体系建立起了我国个人信息收集的“知情同意”原则,并赋予了数据主体查询、更正、删除其个人信息的权利。2021年,我国通过了专门的《个人信息保护法》,从个人信息收集、存储、使用、加工、传输、提供、公开、删除的全过程为个人信息提供保护,确保了在数据收集者、处理者与用户的互动关系中用户个人信息之上的人格利益不受不法侵害。在保障用户个人信息不受侵害的前提下,按照私法自治原则,企业可依法取得用户同意而双方订立合同就数据收集、存储、利用作出安排,进而取得对用户数据的合法占有。对企业收集的大数据集合,由于收集过程需要高额投资且成果易于被他人复制,实践中法院通常以反不正当竞争法一般条款为企业数据财产利益提供宽泛保护。
除了承载人格信息外,用户数据兼具财产价值。绝大多数互联网免费商业模式以用户全面同意其收集和使用个人信息为前提,数据在交易中承担起类似于货币的“对价”功能,尤其是在大数据分析广泛地应用于经济生活的情况下,用户数据成为了数字环境下用户享受个性化服务乃至参与基本经济活动的前提。现行立法主要从人格利益出发为个人信息提供防御性保护,对用户数据财产价值的法律地位、保护机制并未作出规定。当前的突出矛盾在于,对经用户授权并为企业合法占有的数据,用户自身是否具有使用、收益、处分的权利?这已成为数据平台与用户交往、平台间竞争的制约性因素,如在腾讯诉抖音、多闪案中,腾讯公司与字节跳动公司通过开放平台合作,向抖音产品提供微信/QQ账户授权登录服务,在虽取得用户同意却未取得数据持有者即腾讯公司授权的情况下,抖音、多闪从微信数据库调取用户个人数据,腾讯公司主张抖音、多闪的行为构成不正当竞争,抖音、多闪则认为用户对其个人数据具有正当处分权限。这凸显了用户与企业在数据财产价值分配中的二元对立。在未明确用户数据法律属性、保护机制的前提下,将数据收集、利用、处分完全交由用户与企业通过合同自主安排,在用户与企业实力严重不对等的情况下,将会造成对用户经济自由的不当限制。绝大多数互联网免费商业模式中,由于信息不对称,用户很难预测其提供的个人数据的未来用途和后果,用户同意的意思自治模式很大程度上被虚化。同时,由于数字市场具有较强的网络效应而呈现出高度集中的特点,少数平台掌控着服务供应和数据收集的有限端口且互不兼容,用户仅能在少数网络平台之间进行选择。用户一旦向平台作出授权,便事实上失去了对其数据的控制。用户对数据的控制被企业的“数据财产利益”所吸纳,导致用户在以数据为“通货”的数字市场难以向其他产品服务转换。这极大地限制了用户在数字市场的选择自由。
宪法基本权利要求国家保障公民在经济活动中的一般行为自由,面对数字市场的锁定问题,用户有权向国家请求保护其数据财产利益,尤其是保障对其数据的自由处分而实现数字市场的自由选择。这对当前数据保护制度体系完善提出了具体要求,但并非当然地要求立法为用户设置一项新的“数据财产权”。因为单一用户数据本身价值有限,并不存在为用户分享收益的必要性。从数据锁定现实问题出发,更加迫切需要解决的问题是探索法律如何保障用户的数据处分自由,包括用户直接获取、利用、传输其数据或将之由一个数据持有者传输向另一个数据持有者进行分析、利用,即用户数据携带权益。因此,本文主要围绕此展开探讨。就如何实现用户数据的自由携带,目前主要有三种制度路径。1.用户数据处分的私法赋权。借鉴欧盟《一般数据保护条例》(以下简称GDPR)规定的“数据可携带权”(Right to Data Portability),我国《个人信息保护法》确立了个人信息的可携带权,旨在通过私法赋权的方式在用户与平台的互动中解决用户锁定问题。2.将用户数据处分作为企业数据财产利益保护之例外。反不正当竞争法一般条款为企业数据集合提供了一般性保护。司法实践中,有的法院从鼓励市场竞争和保障用户权益出发,例外性地将第三方企业的用户数据迁移行为作为正当竞争行为,从而以市场力量间接地实现对用户权益的保障。3.在竞争法框架下确立经营者保障用户数据处分权益的强制性义务。为弥补数据可携带权的不足,有学者提出在竞争法或市场管制法框架下保障用户对其数据的支配以破解用户锁定问题。以上三种路径均为保障用户数据处分权益提供了可能,同时存在局限和不确定性,本文以下将分别对此三种路径进行探讨,从而寻求破除用户数据锁定、保障用户数据自由流动的合理制度安排。
二、用户数据携带作为新型民事权利
为了避免完全意思自治导致用户与企业在数据财产价值分配中的利益失衡,学界主流观点之一即以私法赋权方式保障用户数据中的财产价值,制衡技术强权。其权利构造主要包括两种模式:一是类比于传统物权设立用户“信息财产权”/“数据财产权”,使用户可对其个人信息享有占有、使用、收益、处分的权能;二是以欧盟GDPR规定的“数据可携带权”为典型,授予用户在不同平台之间自由迁移其数据的权利。两种方案均旨在增强用户在与经营者博弈时的议价能力,核心区别在于对用户“数据财产”中人格利益的考量程度不同,前者构造侧重于使用户在数据经济中分享收益,后者选择了对用户拘束力最小的模式,最大化保障其在数字经济活动中对用户数据的控制力。
从问题导向出发,完全类比于物权设立用户“信息财产权”的局限性明显。在大数据时代,单独个人数据本身价值有限,且用户在提供数据时通过免费服务等方式获得补偿,市场失灵、公地悲剧等传统知识财产授权的正当性事由难以成立,使用户分享收益并非用户数据处分权构造的首要目标,也不需要额外的财产权激励生成数据。此外,在数字市场高度集中、用户与企业实力不对等的背景下,数据企业向用户提供的往往只有接受与否两个选项,用户一般只能被迫接受,授予用户完全的财产权也难以实质性改变用户的议价能力,反而将导致经营者对用户数据的完全所有和进一步牢固锁定。较之“信息财产权”,欧盟GDPR“数据可携带权”弱化个人数据处分中的经济利益考量,专注于解决用户数据自由处分问题,允许用户向数据收集者获取其数据并在不同平台间转移,以最大程度地保障个人在参与网络经济活动中的自由,是更为合理的选择。这一制度模式也被誉为“开启了未来数据立法的新范式”。可携带权模式已成为用户私法赋权的相对成熟制度模式,但能否真正保障用户对其数据的处分权益仍有待检验。结合欧盟法上该权利的生成史及存在的问题,现就我国《个人信息保护法》第45条第3款“个人信息可携带权”的功能及局限分析如下。
(一)欧盟“数据可携带权”制度的初衷与实施困境
欧盟GDPR第20条规定了数据主体对个人数据的“数据可携带权”。该权利包括数据获取和传输两方面的权能:第一,数据主体有权从控制者处以结构化、通用、机器可读的形式获取其个人数据;第二,技术上可行的条件下,数据主体有权将个人数据以结构化、通用、机器可读的形式由数据控制者传输给另一个控制者。
根据GDPR序言(Recital)第68条,第20条的立法目的在于“加强对个人数据的控制”,权利基础来源于欧盟《基本权利宪章》第8条规定的“每个人都有权获得个人数据保护”。其内涵最早源于德国联邦宪法法院在“人口普查法案”中所确立的“信息自决权”,信息主体有决定其个人信息能否被他人获知以及知悉的方式、范围的基本权利。根据欧盟委员会GDPR立法前评估,该制度主要解决用户对其个人数据控制的以下不足:用户个人很难在应用程序服务中提取其个人数据或实现个人数据在不同平台之间的传输,随着在线服务越来越多,积累的个人数据也越来越多,在缺乏有效数据迁移机制的情况下,用户转换服务平台即意味着失去其个人信息且重制成本高昂,这有可能导致用户被平台锁定而无法接受其他更好的服务。面对现实环境的发展变化,仅基于个人信息隐私的保障已无法满足广泛的人格发展的需要,用户积极利用和处分其数据的自由被纳入了“个人数据保护”的基本权利内涵。借鉴商业实践中“数据可携带项目”以及电信法的“号码携带权”,数据可携带权被纳入GDPR以解决数字经济中的用户锁定问题,以私法赋权进一步平衡数据主体与数据控制者之间的关系,间接地实现促进竞争的效果。有观点认为该权利不仅是“数据保护权”,更是一项经济权利,“允许数据主体/消费者可直接通过可携带、用户友好、机器可读的方式获取数据,以缓解大公司与数据主体/消费者之间的经济不平衡性,使得个人(与平台)共享大数据产生的财富,并激励开发者向用户提供更优质的功能和程序”。
虽然用户对其数据的个人控制和自由处分已发展为个人信息自决权的重要内涵,但是将该基本权利价值转化为一般民事权利,需要对“个人数据”范围作出实质性扩张,并对权利实施的有效性提出了较高要求,而在个人数据保护框架下解决这一问题存在明显的局限。首先,个人数据是指与自然人相关的已识别或可识别信息,这是从个人隐私消极防御角度作出的相对宽泛而模糊的界定,企业在进行数据迁移时往往难以清晰界定个人数据与非个人数据,在数据流动层面缺乏现实指导和法律确定性。从解除用户锁定、实现数字人格的自由发展而言,大量个人数据与非个人数据的合并,共同构成了个人人格在数字世界的延续,也是用户接受其他产品或服务的前提,因此数据迁移赋权应当实现由个人数据向用户产生所有数据的扩张。其次,在用户与经营者实力严重不对等的现实环境下,欲实现用户数据自由流动的目标,对权利实施有效性提出了较高的要求。因为锁定效应本质上源于网络经济中不同网络系统的互不兼容,用户数据自由移动需要在不同数据控制者的网络系统之间建立数据互操作性(Interoperability)而保障权利行使。例如,数据可携带权源自电信网络中用户“号码可携带权”的类比,电话号码可携带权的实施即以不同电信网络之间的互联义务为前提。根据“数据可携带项目”(Data Portability Project)共同创始人Chris Saad的解释,“互操作性意味着无论谁提供或接收数据,都应以共同体商定的方式提供,以便实施一致,无论参与交易的各方如何”。只有不同网络系统之间开放应用程序接口、就数据存储格式达成一致标准,用户才能实现数据实时迁移和不同网络系统之间的自由选择。因此,在GDPR最初建议稿中,欧盟委员会拟赋予数据可携带权广泛的权能:第一,数据主体有权将个人数据以及其向数据控制者提供并存储的其他任何数据向其他控制者进行传输;第二,由欧盟委员会统一确定个人数据传输的技术标准、方式和程序。
然而,在个人数据保护法下将用户数据处分的价值绝对化,不可避免地会导致与其他基本权利价值以及具体民事权利的冲突。具体而言,强制企业向他人开放用户网络,实现数据存储、传输的强制标准化,无疑将构成对企业财产权和经营自由的限制,间接地导致市场支配企业与中小企业的市场竞争扭曲并阻碍创新:第一,对谷歌、Facebook等大型互联网企业而言,编写实现数据可携带权的“导入—导出”模块并非难事,但对中小企业而言将会产生较高合规成本;第二,用户数据资源是数据企业的竞争力来源,普遍强制网络开放将导致用户更容易由中小企业流向已建立起网络正反馈效应的大企业,大企业可以通过模仿中小企业创新商业模式并借助其网络规模优势赢得市场竞争,致使中小企业在数字市场很难有创新竞争的空间;第三,用户数据可能不仅仅涉及个人内容,还涉及他人数据、知识产权、商业秘密等内容,无限制地允许数据传输将构成对他人权利的侵犯。
因此,该GDPR最初建议稿在欧盟议会和理事会审查阶段遭到了强烈批评,GDPR立法过程中不得不三易其稿,进一步限缩用户数据控制的范围而平衡多方利益。在欧盟议会阶段,数据携带对象由数据控制者掌握的与用户相关所有数据限缩为已提供的个人数据,删除了由欧盟委员会制定数据传输标准、方式、程序的规定,并明确仅在“技术上可行”的情况下可直接迁移个人数据。欧盟理事会进一步将数据传输格式由电子、结构化、常用格式修改为技术上最低要求的“机器可读”格式,并为平衡其他利益而规定数据可携带权行使“不得对他人的权利和自由产生不利影响”。修改之后不同网络之间互操作性的要求完全被取消,GDPR序言第68条进一步明确,“数据主体传输或接收与其有关的个人数据的权利不应使控制者有义务采用或维护技术上兼容的处理系统”,仅“鼓励数据控制者开发互操作的格式以实现数据的可携带性”。
由于与其他基本权利价值存在潜在冲突,数据可携带权的权能被大大削弱,其虽然名义上作为一项民事权利,却因义务主体不同而具有不同权利内容,甚至有无义务也有所不同,导致其与消除用户锁定、促进数据再利用的制度目标存在着现实鸿沟。首先,如前所述,个人数据与非个人数据的二分结构本身并非是从数据流动角度的科学考量,而是在个人数据保护立法下路径依赖的结果,但受限于GDPR个人数据保护立法目的,数据迁移的对象仅限于用户已向数据控制者提供的“个人数据”而非全部数据,难以实现在经济生活中消除用户锁定的目的。其次,不同平台之间的数据传输以“技术上可行”为前提,现实是不同数据处理者之间存在缺乏兼容性和互操作性等技术上的障碍,何为技术上可行以及何者有义务保障实现技术可行并无定论。即使可实现跨平台之间的用户数据迁移,现行GDPR赋予的数据可携带权仅是一种非实时、非持续性的数据传输,更接近于GDPR第15条数据访问权的延伸,功能主要在于增加企业数据收集的透明度,使数据主体可更好地了解哪些数据被收集,却难以实现用户在不同服务之间的自由切换和解决网络效应带来的锁定问题。
由于数据可携带权行使条件的不确定性,欧盟GDPR实施后,实证调研结果显示,几乎没有平台提供直接的用户数据迁移服务,实践中也缺乏用户向数据处理者主张数据可携带权的案例,只有约1/4的平台提供数据获取服务,即用户有权以结构化、常用和机器可读的格式接收其向控制者提供的与其相关的个人数据。可以说,数据可携带权仍然停留于监管者的立法创意层面,而并未在现实中真正为用户所认识和行使。
(二)我国“个人信息可携带权”:简单移植或已脱窠臼
随着数字技术的发展,个人在虚拟世界中通信、娱乐、购物等数字痕迹的集合构成了个人人格在数字世界中延续和参与经济社会生活的前提,故欧盟《基本权利宪章》中“个人数据保护”基本权利的内容从消极防御向保障个人数据积极处分扩张,成为欧盟“数据可携带权”的基本权利基础。我国《宪法》虽然并未明确将数据保护纳入基本权利范畴,但个人信息自决根本上派生于宪法上人格自由发展和人格尊严不受侵犯的基本原则,我国《宪法》规定“国家实行社会主义市场经济”,间接地承认了公民的经济自由权。随着数字技术在人类生存和发展中逐渐不可或缺,个人对其数据的积极利用和处分是个人经济自由的应有之义。
基于在基本权利层面的相似性,我国《个人信息保护法》第45条第3款确立了“个人信息可携带权”,规定“个人请求将个人信息转移至指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。然而,即使个人对其数据的处分利益可为基本权利所涵摄,这仅仅为该利益保护寻得了正当性根源,却并不必然要赋予用户对其数据的绝对处分权。如果将用户对数据的处分利益权利化,该权利的实现必然要以企业间普遍建立互操作性为前提,可能构成对他人营业自由和财产利益的过度限制,造成“保护一种基本权利,就是剥夺另一种基本权利”的困境。故而我国《个人信息保护法》为用户个人信息迁移施加了一定的限定条件。首先,并不是所有个人生成的信息都可以进行迁移,受限于个人信息保护的立法目的,可携带内容仅包括《个人信息保护法》第4条规定的“个人信息”,即“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”。其次,个人信息携带附有一定条件,并非所有的个人信息都可以被携带。欧盟规定在技术上可行的条件下,用户可以要求在数据控制者之间以结构化、通用、机器可读的形式传输其个人数据,对何为“技术上可行”并未明确;我国“个人信息可携带权”行使则以“符合国家网信部门规定条件的”为限制。在当前数据控制者彼此之间互不联通的现实条件下,数据是企业核心竞争力,实现数据互操作性也需要一定成本,立法很难一刀切地在不同企业之间强制建立数据互操作性。故而欧盟将数据可携带权的实施寄希望于未来技术发展和平台壁垒的消除;我国《个人信息保护法》则将该条件的实现交由国家网信部门加以把握,授权国家网信部门根据我国信息技术发展、行业惯例等合理因素来灵活设定相应条件,在个人信息主体与信息处理者之间审慎地进行利益平衡。
目前来看,我国“个人信息可携带权”也未能跳出窠臼,与欧盟“数据可携带权”面临着同样的困境。在民法上,利益成为一项新的“权利”需要满足归属内容确定性、社会典型公开性、普遍排除效能三项要件。其中,普遍排除效能要求权利人可以对世性地排除他人对客体的相关行为。“个人信息可携带权”并非是一项用户可以向个人信息处理者普遍主张的权利,立法仅对用户数据处分权益进行了宣示和肯认,却未规定该利益实现的机制或方式,因此是一项附条件或者形式上的“权利”。可见,《个人信息保护法》对个人信息可携带权的规定,并非是用户数据锁定问题的终结,而仅仅为立法上解决该问题的开端。未来解决该问题的核心在于,如何推动建立用户数据携带的现实条件,即在不同数据平台之间建立数据互操作性。
三、用户数据携带作为企业数据保护之例外
如前所述,《个人信息保护法》仅在立法上肯认了用户数据携带的正当性,并未在制度规范层面明确“个人信息可携带权”的义务主体和实现条件,尤其是法律对作为用户数据携带前提的互操作性条件并未作出规定,从而导致该权利有名无实。虽然立法未作强制要求,现实中伴随着用户数据价值的不断凸显,市场主体基于逐利的本性,逐渐自发地为用户提供数据迁移服务,即市场力量一定程度上保障了用户对其数据的个人控制和自由处分。如在社交媒体领域,国内及国外都出现了聚合平台,即将用户在不同社交平台领域的数据聚合到一起,允许用户实现信息一键查看和处理。这种市场的自发力量,有望化解用户与平台之间技术力量对比悬殊的问题,实现对用户数据的最大化保障。
在法律层面,市场力量的发挥却面临着数据收集者与用户以及第三方平台之间就数据财产利益分配的冲突问题,法律对企业数据财产利益的保护成为了第三方主体提供数据迁移服务的主要阻碍之一。现行法律体系下,立法虽未确立数据收集者对其收集数据集合的财产权,从保护企业数据投资利益出发,司法实践通常在反不正当竞争法下适用一般条款为企业数据提供宽泛保护。一般认为,不正当竞争行为成立应满足存在竞争关系、损害竞争者的合法权益、行为违反诚信原则或公认的商业道德三个要件。在数据保护的司法实践中,各级法院往往对竞争关系作出宽泛认定,焦点主要在后两者。裁判思路可归纳为:1.确认数据收集者在数据收集过程中付出了实质性投资,数据集合能为其带来经济利益和竞争优势,因此数据收集者对其数据集合具有竞争法上的利益;2.竞争者未经数据收集者授权获取数据的行为,损害了数据收集者的财产利益;3.相关行为因“食人而肥”“不劳而获”违反公认的商业道德而具有不正当性。在此裁判思路下,一般条款为企业数据提供了宽泛的保护。因此,有学者认为,司法实践试图激活反不正当竞争法一般条款以确立事实上的“数据财产权”。
在此前提下,基于市场力量的用户数据迁移行为会导致用户数据从一个平台流向另一个平台,不可避免地与企业数据财产利益保护产生冲突。如在前锦网络信息技术(上海)有限公司与上海逸橙信息科技有限公司不正当竞争纠纷案(以下简称前锦诉逸橙案)中,原告前锦公司创办“前程无忧”网站,收集、存储并发布人才供求信息,被告逸橙公司创办“e成”网,提供类似的人才供求信息发布和管理服务,同时在其网站上设置“关联外网账号”功能,企业用户可选择“关联外网”操作,即用户在逸橙公司网站登录前锦公司等求职信息网站的用户名、密码而选择关联账号可自动登录该网站,爬取该用户在前锦公司网站接收到的求职者简历并自动传输到逸橙公司网站“人才库”中,从而允许用户一站式处理多个渠道的投递简历。前锦公司认为,逸橙公司通过引导用户使用“关联外网账号”功能,获取其网站的完整简历信息并加以使用的行为,违反反不正当竞争法一般条款而构成不正当竞争。就类似案件,在反不正当竞争法一般条款的判断框架下,相对容易确定的是,企业对其收集数据具有财产利益、数据迁移行为将对其利益造成一定的损失;相对难以判断的是,该行为是否具有不正当性。何为诚实信用或正当商业道德具有模糊性,导致反不正当竞争法框架下判断迁移用户数据行为是否侵权具有不确定性,司法实践中对此存在不同立场。在前述抖音诉多闪案中,法院认为,平台对其收集的数据具有财产利益,将数据向第三方平台迁移除须取得用户授权外,还必须取得平台授权,否则将构成不正当竞争。在前锦诉逸橙案中,法院则认定被告经用户授权迁移数据行为具有正当性,被告关联账号或迁移数据的行为,没有干扰原告所提供的服务而未对其利益造成实质性损害,却为消费者提供了效率和便利,且不会影响正常的市场竞争秩序,不构成不正当竞争。
目前,企业数据财产利益的法律保护一定程度上阻碍了市场力量为用户数据迁移赋能,尤其是反不正当竞争法一般条款适用的不确定性难以为市场主体开展相关服务提供稳定的法律预期。本文认为,企业数据财产利益的保护并不具有绝对性,在立法未对数据权属作出明确分配的前提下,应当在数据收集者财产利益与用户对其数据处分权益之间作出恰当平衡。具体而言,企业对数据的财产权益可分为两个方面。第一,对于网络平台的数据整体或集合,平台对其进行大量投资和实质加工,具有较高的利用价值和交易价值,如果他人可以轻易获取,企业将难以收回投资而导致市场失灵,故有必要在法律上提供相对严格的保护。第二,单一用户数据本质上是用户信息转换为电子符号的外在形式,数据收集者对该数据并未提供创造性劳动成果,依其与用户的约定享有对原始数据的有限使用权,价值也主要是在为用户提供服务过程中的相对价值。在用户数据迁移的情境下,主要涉及单一用户数据之上的利益,第三方提供数据迁移服务,原数据控制者仍然保留对用户数据的使用权,对其营业不会造成实质性影响,且其不必承担任何迁移成本,同时,这为用户提供了更为便利和有效的服务,使得用户更加充分地控制其数据,有利于解除用户锁定和促进更加自由的市场竞争,可以实现数据收集者、用户、竞争者的帕累托最优。因此,本文赞同上海知识产权法院在前锦诉逸橙案中的观点,在通过反不正当竞争法一般条款对企业数据财产利益提供宽泛保护的背景下,有必要将用户数据迁移作为企业数据财产利益保护之例外,通过司法解释或指导案例的形式明确,在用户授权的前提下,经营者正当且必要地获取他人控制的用户数据,一般不认定构成不正当竞争行为。
将用户数据迁移作为企业数据财产权益保护之例外,有利于经营者主动开发多样化服务,通过市场竞争机制来缩小用户与平台之间的技术鸿沟、消除数据锁定问题。然而,由于数字经济场景下所涉利益的多元性,不同利益的纠葛限制了市场力量成长和作用发挥的空间,主要包括两方面。
第一,用户数据携带权益与第三人个人信息保护的冲突。数字环境往往涉及交互场景,这决定了企业收集数据中不仅包括用户单方提供的数据,通常还包括第三方共同提供的数据,即涉他数据问题。典型地如社交媒体上用户发布的照片、视频以及好友的评论等。经营者在根据用户授权迁移相关数据时,同时涉及到涉他数据的处理,如果未经第三人同意而直接转移相关数据,将涉及对第三人个人信息权益和隐私的侵犯。但从现实可操作性出发,经营者无法事先了解涉他数据中第三方主体身份并一一获得授权,这从根本上限制了第三方为涉他数据提供迁移服务的可行性。如在深圳市腾讯计算机系统有限公司等诉杭州聚客通科技有限公司不正当竞争纠纷案中,法院认定,聚客通公司提供的用户数据迁移服务并不构成对腾讯公司数据权益的侵犯,但由于微信聊天记录中同时涉及第三方个人信息,涉案行为由于侵犯第三方个人信息权益而构成不正当竞争。
第二,用户数据迁移权益与网络安全、数据安全的冲突。依照呈现方式不同,数据可分为公开数据与非公开数据,除了用户通过社交媒体平台等渠道主动分享公开的数据外,企业通过传感器等方式获得用户行为的观测数据(observed data)等一般为非公开数据。相关数据生成、收集之后,企业一般将其存储在服务器中并施加技术措施,选择不对外开放或仅向有限主体开放访问,第三方主体未经数据持有者授权而爬取数据的行为将可能构成侵权。近年来,我国先后通过了《网络安全法》《数据安全法》。《网络安全法》第27条、《数据安全法》第32条分别规定了对企业网络设施和数据安全的保护。第三方主体向用户提供数据迁移服务,其能够通过网络爬取等方式直接获得的仅限于公开数据,而对于企业施加技术措施保护的非公开数据,如果其规避、绕开相关技术措施,将可能构成对网络安全或数据安全的侵害。
因此,依靠第三方市场主体提供数据携带服务虽然可以解决用户数据锁定问题,但由于数字环境下涉及多元利益纠葛,其主要局限于在公开、非涉他数据的情形中发挥作用。仅依靠市场力量可能无法在用户数据携带权益与第三人个人信息权益、网络数据安全等利益之间进行平衡,为了更加全面地保障用户对其数据的控制权,有必要寻求更强有力的法律介入和系统的制度设计。
四、用户数据携带作为“守门人”的强制义务
用户数据自由携带的关键在于平台之间建立数据互操作性的环境,其涉及用户、数据持有者与第三方数据接收者之间的三方关系,以用户对其数据处分为前提,同时要求数据持有者、第三方数据接收者之间达成合作,就开放数据传输的应用程序接口、数据标准格式、构建安全的数据传输环境等达成一致。因此,仅仅在法律层面为用户赋权或为第三方数据接收者免责只能够解决部分问题,却无法就数据格式、网络安全等系列问题达成一致,有必要在法律层面作出更有约束力的安排,推动数据持有者主动参与合作,健全用户、数据持有者、第三方数据接收者的三方治理框架。作为市场经营主体,数据持有者的义务可在市场公平竞争监管的框架下加以分析。
(一)市场竞争视角下用户锁定成因分析
伴随着数字时代用户数据逐渐呈现出对价属性,数据保护成为互联网服务商之间的重要非价格竞争要素,用户对其数据的控制力、平台对数据交换安全性的保障构成了互联网产品或服务质量的重要组成部分。理论上,为了吸引足够多的消费者,企业有动力为不同偏好的消费者提供不同数据保护选项,推动平台开放并保障用户数据的自由携转也将成为平台间竞争的维度之一。在网络平台争夺用户的市场竞争中,开放平台与否的成本与收益并存,平台存在着不同策略选择。一方面,企业可以选择开放技术标准和平台,通过生产和服务的模块化建立网络,促进互补产品和服务的创新,迅速形成网络效应而扩大网络和用户规模。其缺陷在于,采取完全的互操作性或开放策略,平台创新价值无法完全实现内部化,同时难以对互补产品的质量和安全性进行监控,可能导致网络可靠性和安全性风险。另一方面,企业可能希望开发更多的创新产品和服务,根据创新的特定要求其可能倾向于控制整个价值网络,确保其服务的特定质量和功能,强制建立完全互操作性和开放性可能危及其商业模式,因此更加倾向于采取封闭策略,但其发展的网络用户规模可能相对较小。在信息充分且自由选择的情况下,用户可根据自身偏好选择不同平台服务:有的用户可能更偏好封闭系统下更为稳定、可靠的网络服务,同时承受潜在的网络锁定等问题;有的用户可能更加重视平台的开放性和灵活性,而承受存在的可靠性和安全性风险。完全竞争的理想图景下,企业有动力根据用户偏好提供数据保护选项和互操作性设计,就不同的商业模型和不同程度的互操作性之间展开竞争,借助市场的力量可满足不同的用户偏好而保障用户对其数据的充分控制,不必要通过国家权力强制调整。
然而,理想与现实却存在显著差距,实践中企业很少在平台开放性层面展开竞争,导致用户数据锁定,主要有两方面原因。
1.高度集中的市场结构难以满足用户偏好
由于数字经济兼具规模经济、网络经济的特性,取得先发优势的平台往往会率先建立正反馈过程,导致市场天然地会向少数企业集中,从而形成寡头垄断或“赢者通吃”的市场均衡结构。以常用互联网服务为例,在欧洲,谷歌占据90%的搜索引擎市场份额,Facebook占据90%的社交媒体市场份额,亚马逊占据电子商务领域30%的用户份额和60%的市场收入;在我国,百度占据80%以上搜索引擎市场份额;腾讯占据90%以上即时通讯领域的市场份额,阿里巴巴占据电商市场80%以上的市场份额;同时,数字经济中的竞争越来越成为数字生态系统之间的竞争,各互联网巨头不断实现纵向一体化,通过兼并收购向互联网的各个领域渗透,据统计,腾讯、字节跳动、百度、阿里巴巴四家公司旗下的应用占据整个移动互联网用户在线时长的70%。在高度集中的市场结构下,各大数字巨头共同掌握着数据收集和数据服务的少数端口。面对支配性平台的有限供给,用户往往没有选择或只能选择有限的服务,用户的数据保护需求难以得到满足。
2.用户选择中的信息不对称和锁定效应
数字市场充分竞争的前提在于,消费者充分知情且选择自由。大数据技术本身面临着高度的不确定性,数据分析之前并不存在概括的“目的”,用户通常并不知晓何者在获取其数据,哪些数据正在被使用,以何种方式被使用以及未来将为消费者提供何种服务,甚至企业也难以预料其使用数据的方式和潜在用途。因此,消费者往往从有限的服务选项中作出选择,要想选择满足需求的服务,用户只能在体验中不断加深了解而作出进一步的选择。现实悖论是,网络经济中用户一旦选择即被“锁定”而无法退出或面临较高转换成本:网络效应决定了同一网络中不同节点彼此互补,实践中不同厂商之间往往互不兼容以实现网络价值的完全内部化,用户对某一互联网服务的持续使用将不断贡献数据并产生用户粘性,一旦用户进行平台转换往往要以失去其全部数据为代价。例如,消费者一旦选择转换社交平台,其必然面临着所有数据、互动历史以及联系人网络的丢失。由于消费者被既有平台锁定而难以转换,潜在的竞争者难以及时、充分进入市场而对支配性平台形成有效威胁,进一步放大了市场先行者的先发优势而强化市场进入壁垒。
在市场由少数平台所主导,用户面临不充分信息和锁定效应的情况下,市场竞争难以根据消费者偏好提供适应性的数据保护选项,从而处于一种“失常均衡”的局面,消费者也面临着被数字平台过度盘剥以及其通过数据优势排除限制竞争而间接损害消费者利益的风险。
(二)反垄断法对用户数据利益保障的可能及局限
从市场竞争的视角来看,用户数据锁定可作为一种市场失灵问题在反垄断法下寻求破解和救济机制。在反垄断法视角下,如果用户提出数据携带的请求,或第三方服务商请求建立数据互操作性以实现用户数据携带,支配性平台如果直接拒绝或施加限制则有可能构成对于其他竞争者的封锁效应,从而构成对市场支配地位的滥用。理论上,可通过反垄断法强制支配性平台与竞争者之间建立数据互操作性和数据可携带性,从而恢复市场主体在数据携带层面的竞争。相对于直接赋予用户“个人信息携带权”,反垄断法并非从狭义的个人信息保护出发,而是保障用户在数字市场的自由选择权,其辐射范围超出了个人数据的限制而扩展到所有用户生成数据。立足于纠正市场失灵,其并不对一般经营者施加限制,而是以对竞争构成严重限制的市场支配地位经营者为规制对象。在救济措施上,其可以通过强有力的手段要求支配性企业与竞争者建立互操作性环境并允许用户数据迁移,从而引导市场开启在用户数据保护层面的竞争,也更符合比例原则一般要求。
然而,虽然反垄断法为数字经济领域的市场失灵提供了普遍适用的救济机制,其以静态、价格竞争为核心的分析框架适用于以动态、非价格竞争的数字市场时面临着较强的局限性,企业限制用户数据迁移或采取互操作性限制措施是否构成垄断行为具有不确定性。具体而言,在我国法上,对单一市场主体实施的垄断行为主要通过《反垄断法》第17条的滥用市场支配地位加以规制,“没有正当理由,拒绝与交易相对人进行交易”的行为将构成滥用市场支配地位。作为一般原则,企业有选择交易对象和处置其财产的自由,在两种例外情形下单方拒绝交易将构成滥用市场支配地位:拒绝交易和必要设施原则。由于我国目前尚缺乏关于用户数据携带的反垄断案例,但结合比较法经验来看,此两项原则保障用户数据自由流动时均面临着较强的不确定性。
1.拒绝交易
拒绝交易最早产生自美国判例法,作为一般原则,私人交易者可以自由地决定交易相对方。在阿斯彭滑雪案中,美国最高法院明确特定情形下的拒绝交易将证明市场支配者存在垄断意图而构成垄断,包括以下要件:此前双方必须存在交易关系;市场支配一方终止先前交易且有损短期利益;牺牲短期利润可预期地将带来更高长期利润但损害其他竞争者和消费者利益;缺乏为拒绝交易提供合理的商业理由。依此原则,虽然可证明支配企业拒绝建立数据可携带性将造成对竞争者的封锁效应并损害消费者利益,却难以满足其他要件。首先,该原则仅适用于双方存在在先交易且支配方单方面终止其盈利的情况,但实践中不同平台间往往未建立互操作性。例如,在LiveUniverse诉聚友网案中,用户最初可以将其在原告LiveUniverse网站上的内容嵌入聚友网,但随后聚友网采取不兼容措施阻止用户迁移行为,原告因此起诉聚友网构成垄断。美国第九巡回法院认为,原告与聚友网之间不存在在先交易,即使存在,原告也不能证明其在先交易有利可图而拒绝交易有悖于聚友网的利益。因此,聚友网阻止用户访问原告网站的行为并不构成垄断。其次,关于拒绝交易的合理商业理由,如上所述,数据可携带和互操作性虽然具有促进竞争的价值,但同样存在抑制创新、降低个人信息保护水平的风险,故经营者往往以此作正当性抗辩。反垄断执法机关一般难以在促进竞争与产品创新、消费者信息保护等不同价值之间进行衡量,以不干预为原则倾向于认定该抗辩成立。例如,针对市场支配企业的不兼容设计,司法实践认为只要能够证明一定程度的创新或产品改进则不视为反竞争;在Facebook v. Power Ventures案中,Facebook公司主张完全的数据可迁移性将带来隐私保护水平的下降,法院依此认可其具有“管理网站访问和使用的权利”。
2.必要设施原则
根据必要设施原则,只有某一设施为竞争不可或缺时,设施的拥有者方负有以合理条件分享该设施的义务。该原则滥觞于美国Terminal Railroad案,主要应用于铁路、码头等物理基础设施的开放,但自Trinko案后已较少被适用。欧盟竞争法引入该原则并发展成为判断拒绝交易构成滥用市场支配地位的基准,进一步适用到知识产权等信息产品中。欧盟法院在判例中明确了该原则适用的以下要件:1.拒绝交易涉及在相关市场开展特定行业不可或缺的产品或服务;2.拒绝交易排除了在相关市场的有效竞争;3.拒绝交易缺乏正当性理由。《国务院反垄断委员会关于平台经济领域的反垄断指南》也类似地规定了构成必要设施应当考虑设施重制可能性、是否排除有效竞争以及是否存在合理理由。参照相关要件在实践中的认定标准,企业收集的用户数据能否作为“必要设施”具有模糊性和不确定性。具体分析如下。
第一,数据应具有不可或缺性。根据欧盟法院解释,不可或缺是指存在“技术、法律及经济阻碍使得资源重制变得不可能甚至是不合理的困难”,是否存在经济阻碍取决于如果申请人付出与市场支配地位企业相当规模的投资,重制是否具有可能性。相较于铁路、港口等传统必要设施或知识产权而言,企业收集的数据具有非竞争性,其不同于物理设施一旦建立之后可实现排他性占有,也不具备知识产权的法定排他性,理论上一个企业获取数据后并不排斥其他企业建立类似网络获得同样数据。虽然网络效应、规模经济等特征提升了数字市场进入的壁垒,数据锁定使用户在不同网络之间转换存在较高迁移成本,这些因素对数据的非竞争性和重制用户网络的实然可能提出了挑战,但究竟在多大程度上影响竞争性网络的重制,在反垄断的框架下难以进行量化的评估。
第二,拒绝开放用户数据是否会消除相关市场的有效竞争。必要设施原则的适用以市场中的杠杆原理为基础,主要避免经营者将某一市场的垄断力量传导到另一市场。该判断主要涉及数据能否成为下游市场进入的基础,且不存在其他可替代的数据。传统意义上的铁路、港口等必要设施,其物理意义上的特征与使用方式均是明确的,判断其对于特定市场的进入是否必要也是明确的;而数据则不同,其仅仅是通过用户客观行为收集的原始素材,通过用户数据可以提取出不同信息,用户在不同平台之间实现“多归属”(Multihoming)的情况下,其在不同平台提供的数据具有一定替代性。例如,既可以从用户在电子商务平台的浏览记录中分析用户的购买习惯,也可以从用户在搜索引擎上的搜索记录提取。除了特定类型的稀缺性数据外,不同市场数据对于市场进入的差别意义在于数据关联性、规模、类型的差别,而非全有或全无的区别,故很难直观地判断在某类市场拒绝开放用户数据是否会消除在相关市场的有效竞争。
第三,拒绝开放数据缺乏正当性理由。虽然开放用户数据具有技术上的可能性,但选择平台开放或封闭各具优劣,实现用户数据的自由迁移虽然赋予了用户更多的选择自由,但是同时存在隐私保护、知识产权侵权、抑制创新的隐忧。如前所述,在促进竞争与隐私保护、激励创新的价值冲突中,反垄断机构往往难以直接划约,救济方式上也只是禁止企业何为而难以指导企业何为,无法统筹地规划网络开放后的替代性机制以实现不同价值之间的兼容,故通常以不干预为原则而依赖市场自我调节。
因此,虽然反垄断法针对用户数据锁定问题具有理论上的规制可行性,但实际适用时却面临着不同利益的衡量和不确定性。面对不确定性,反垄断法的一般理论假设是,市场对垄断具有一定的自我修复功能;面临不确定性情形,一般认为执法错误介入相较于不干预对市场损害更大。从谦抑性原则出发,反垄断法只有在经济学证据有力地证明某个行为存在且缺乏合理辩护理由时,才具有执法干预的合理性,反之则交给市场处理。也基于此,反垄断法在现实中难以为保障用户数据利益提供有力救济,而有待在数字经济领域构建更加有效的竞争执法手段。
(三)市场管制法下“守门人”的数据可携带和互操作性义务
反垄断法在数字经济领域体现出了较强的局限性,但国家对于市场公平竞争秩序的监管并非定于反垄断法之一尊,除事后的反垄断法执法之外,政府对市场的事前管制提供了有力的补充。反垄断法关于执法错误成本的假设和谦抑性原则是针对所有领域而言的,如果特定行业具有垄断的高风险性,则有必要建立政府管制制度,在损害发生之前施加预防措施避免市场失灵的出现。最典型地如在电信行业,由于电信行业具有典型的网络效应而市场高度集中,建立先发优势的市场支配地位者相对于潜在竞争者具有巨大优势,存在较高的滥用市场支配地位的风险。为了弥补反垄断法的滞后性缺陷,欧盟建立了电信行业的特别行业管制(Sector Specific Regulation)制度,即事先成立专门的监管机构,系统地判断相关市场是否存在高市场进入壁垒、缺乏有效竞争的未来趋势和反垄断执法的失灵。如果满足相关要件则需要建立政府的事前管制,基于竞争法的原则将救济措施前置化,即事先界定相关市场、确立市场支配地位企业、施加公平交易义务。对存在结构性市场失灵的高垄断风险行业,特殊行业管制相对于反垄断执法的优势在于,其可以对市场运行进行持续检测、获得充分信息,有效地降低反垄断的执法成本和不确定性,在损害发生之前系统、前瞻性地为行业竞争确立明晰规则,从而弥补反垄断执法的制度缺陷。
在数字经济领域,国外已有相关法域开始探索构建事前管制机制,在事前管制制度之下确立企业保障用户数据可携带的强制性义务。由于数字市场已经呈现出结构性市场失灵的特点,市场多边服务高度集中到某一个或少数数字平台,而平台对于经营条件设定具有极大的自主权,现实中经常滥用守门人(Gatekeeper)权力,对依赖其平台的企业或用户采取不公平措施,不断扩大其优势地位。对此,数字市场竞争治理出现了由事后反垄断向事前管制的转型:2020年12月15日,欧盟委员会正式提出《数字市场法》(Digital Markets Act)立法提案,立法草案已于2022年7月5日由欧盟议会正式通过,在7月份由欧盟理事会最终通过后颁布生效。该法案拟在数字市场建立统一的事前管制制度,即事前调查界定具有垄断风险的守门人企业,根据数字市场潜在的垄断行为,为守门人企业设置禁止义务和积极作为义务,从而避免其滥用市场优势地位而建立公平竞争。其中,实现用户数据的自由迁移被视为解决该问题的最有力手段。GDPR虽然规定了个人数据可携带权,但由于并未建立有效数据互操作环境而作用有限。从促进市场竞争的角度,欧盟《数字市场法》第6条规定了守门人建立互操作性和数据可携带性的强制义务:(1)守门人应允许其商业用户或辅助服务的提供者访问并确保互操作性,确保相关服务的操作系统、软硬件功能能够在守门人平台服务中使用;(2)对终端用户提供的数据或者其在使用平台核心业务而产生的数据,根据终端用户或其授权的第三方请求提供有效的数据携带性,包括免费提供工具以实现有效的数据可携带,确保数据持续、实时的获取;(3)对商业用户和终端用户在使用平台核心业务及商业用户产品服务产生的数据,免费为商业用户或商业用户授权的第三方提供有效、高质量的聚合或非聚合数据,以确保其能够实时、持续地进行访问和使用。该条款被认为有效地克服了GDPR“数据可携带权”的不足,有望重构数据可携带制度而全面促进用户数据在守门人平台与其他平台服务之间的自由流动。
借鉴欧盟经验,我国可考虑数字市场建立事前管制制度以弥补反垄断法的不足,并在此框架下建立保障数据自由流动的用户数据携带制度。
首先,在数字经济领域建立事前管制制度具有充分的必要性。从反垄断法与市场管制法功能分担、优势互补的角度,只有在市场存在结构性失灵的行业,才有必要建立市场管制制度,在电信行业管制中,欧盟曾提出了相关市场是否存在高市场进入壁垒、缺乏有效竞争的未来趋势、反垄断执法的失灵三项判断标准。由此视角观之,除反垄断执法失灵之外,由于数字市场本身具有规模经济、范围经济和网络效应特征,导致在搜索引擎、电子商务、即时通讯等领域产生寡头垄断的市场结构,由于存在锁定效应导致用户难以在不同服务商的数据网络之间自由转换,潜在竞争者难以进入而导致市场处于“失常均衡”,故数字市场已经存在高市场进入壁垒。同时,从行业发展来看,我国数字经济已经度过了市场主体快速进入、频繁退出的发展初期,经历相互兼并整合,目前已进入寡头垄断的相对稳定期,行业内部体现出“头部固化”趋势,几大互联网平台奠定行业头部格局后几乎再未出现撼动力量。相反在缺乏有效政府干预的情况下,平台通过策略性行为使得市场进入壁垒在不断扩大而非减小,缺乏充分有效竞争。因此,应当认定数字市场已经具备结构性失灵的特点,具有建立事前管制制度的正当性和必要性。
其次,需要进一步界定管制对象、明确管制措施。过去欧盟电信行业的特别行业管制立足于竞争法的基本原则,即事先界定相关市场、界定市场支配地位企业进而施加救济措施,与反垄断法最大的区别在于将事后救济措施前置化作为事前预防。相关市场是现行反垄断法基于工业经济形成的最基本的分析工具和研究范式,但数字经济领域的市场竞争形式却发生了根本性改变,平台、数据、算法等成为竞争的核心要素,平台往往具有双边或多边市场的特性,企业利用平台可以提供多元化服务,数字经济中的竞争越来越成为数字生态系统之间的竞争,企业在某一个领域建立的优势可以容易地渗透传导到各个领域。欧盟《数字市场法》继承了电信行业管制的逻辑,但对管制手段进行了升级,其并未采取相关市场的分析架构,转而采取了守门人的界定方式。从预防垄断风险的角度,欧盟基于市场现状将数字行业划分了10个“核心平台服务”:在线中介服务、在线搜索引擎、在线社交网络服务、视频分享平台服务、号码独立的人际通信服务、操作系统、网络浏览器、虚拟助手、云计算服务、在线广告服务。企业掌握其中一项“核心平台服务”即成为守门人而存在滥用其优势造成垄断的风险,应当承担事前管制义务。具体而言,守门人的认定应当符合三个条件:(a)对内部市场有重大影响;(b)运营一项核心平台服务,作为商业用户接触终端用户的重要门户;(c)在运营中具有稳固和持久的地位,或者在可预见的将来能够拥有该地位。此外,欧盟委员会可以根据企业营业额、市值、用户数量等作出推定。这一概念的引入为克服数字经济领域相关市场分析框架的局限性作出了有效尝试,从预防垄断的角度更加具有可操作性,在我国数字市场事前管制制度中可以加以借鉴,引入守门人的概念,即对运营一项以上核心平台服务、对国内市场有重大影响、在运营中具有稳固和持久地位的企业,应当施加事前管制措施,防范垄断风险。立足当前数字市场的反竞争行为类型,可以为守门人施加事前管制义务,包括应当为的“正面清单”和禁止为的“负面清单”。其中,针对用户数据锁定的问题,应确立守门人承担用户数据可携带的强制性义务。具体而言,守门人应当向用户及其代表就用户提供的以及因用户使用平台业务而产生的所有数据提供持续、实时的访问和传输,协助传输给另外一个平台或者数据持有者。用户应当既包括个人用户也包括平台的商业用户。为了实现有效的数据传输或迁移,守门人应当为第三方平台提供访问并建立数据互操作性。在操作层面,欧盟已在金融支付行业建立了数据互操作性的有效实践。2018年生效的“第二代支付服务指令”(Payment Services Directive, PSD 2)第64—68条规定了用户对其账户信息的控制权,即在用户提供明确授权的情况下,银行等账户服务提供商有义务无歧视地允许第三方获取与用户相关的数据,并以标准化数据格式、开放应用程序编程接口(Application programming interface,API)提供用户账户访问而执行支付命令,从而保障用户在金融支付领域对其数据的完全控制和自由选择。为实现数字网络的开放性,可为守门人施加以下义务:第一,无条件向第三方平台开放应用程序编程接口,同时建立安全的数据传输环境;第二,为避免不同平台采用专用数据存储格式对数据传输造成的阻碍,由政府及行业协会协调制定数据存储、传输的通用标准并强制实施;第三,允许第三方平台在用户授权同意的前提下访问和获取用户数据。此外,针对涉他数据的问题,可要求守门人提供请求第三人同意的渠道机制或者提供分离、匿名化等技术处理。
五、结论
技术发展使得数据成为了数字时代生产和生活不可或缺的一类新生产要素,催生了在企业之间以及用户与企业之间合理分配数据权益的需求。宪法对公民人格尊严和经济自由基本权利的保障,不仅仅要保护公民人格信息,同时要承认和保障用户数据之上的财产权益。面对用户数据锁定的现实问题,公民有权向国家要求保护其数据处分权益而实现数字市场的选择自由,这对当前数据保护制度体系完善提出了具体要求。
数据锁定根源在于用户与平台技术力量的不平等,消除数据锁定最为直接的方式就是以国家权力在用户与平台的互动关系中为用户赋权,以保护弱者、制衡强权,故我国《个人信息保护法》确立了自然人的“个人信息可携带权”。但普遍性地强制所有企业实现用户数据可携带性却可能扭曲市场竞争并阻碍创新,难以符合比例原则,因此,“个人信息可携带权”并未明确其义务主体和实施条件,仅具有形式上的宣示意义。
用户数据自由迁移问题的关键在于要建立用户、数据持有者与第三方数据接收者的合作关系,在不宜“一刀切”式地划定用户与企业权利边界的前提下,可顺应市场规律引导发挥市场的自发性力量实现对用户数据权益的保障,须在以下两方面进行制度完善。
第一,基于市场主体的逐利本性,第三方数据接收者会自发地为用户提供数据携带服务,但企业数据财产利益保护法律边界的模糊性成为了第三方平台主动为用户提供服务的最大阻碍。建议在反不正当竞争法上将用户数据携带明确为企业数据财产利益保护的例外,即在用户授权前提下,经营者正当且必要地获取他人控制的用户数据,一般不认定构成不正当竞争行为,从而引导第三方市场力量介入化解用户与平台之间技术力量对比悬殊的问题。
第二,应当完善公平竞争监管制度,开启数据持有者在开放平台、提供数据携带服务层面的竞争。从市场竞争的角度,平台开放与否是网络服务商重要的非价格竞争要素之一,充分竞争条件下企业有动力提供不同服务满足不同用户的数据保护偏好,保障用户对其数据的充分控制。由于市场高度集中难以满足用户偏好、信息不对称和锁定效应问题,导致市场处于“失常均衡”状态。理论上,反垄断法虽具有纠正该市场失灵的可行性,但其基于谦抑性立场难以提供及时救济。借鉴欧盟市场管制实践,可在数字市场建立事前管制制度而弥补反垄断法的不足,针对守门人,强制其与第三方平台建立数据互操作性环境并为用户提供持续、实时的数据携带服务,一方面,可以在占据绝大多数市场份额守门人与用户的互动中直接保障用户权益;另一方面,可以引导市场恢复在平台开放、数据携带层面的竞争,以市场竞争机制最大化地满足用户需求。
作者:张浩然,中国社会科学院法学研究所助理研究员、中国社会科学院知识产权中心研究员。
来源:《知识产权》2022年第7期。