1、 年 月重庆邮电大学学报(社会科学版)第 卷第 期 ():引用格式:文立彬,邹瑛个人信息转移权客体范围和实现方式的反思与修正重庆邮电大学学报(社会科学版),():个人信息转移权客体范围和实现方式的反思与修正文立彬,邹 瑛(南宁师范大学 法学与社会学院,广西 南宁;北海市海城区人民法院,广西 北海)摘 要:个人信息保护法确立了个人信息转移权,该权被赋予促进个人信息流通、打破数据平台垄断的期待。然而,作为新兴权利的个人信息转移权在实践中面临着客体范围模糊、操作性不强等主要问题,这导致个人信息转移权落地困难。在剖析困境成因、比较域外立法经验和反思实践成效的基础上,建议将直接数据和部分观察数据纳入个人
2、信息转移权客体范畴,确定差异化数据传输要求,以期实现个人信息转移权的多重效能。关键词:个人信息保护法;个人信息转移权;客体范围;差异化数据传输中图分类号:文献标识码:文章编号:()个人信息转移权又称数据可携带权(),自 年被学术界提出以来,就在世界主要国家中经历了理论争论、立法确认和实践检验的环节。年,欧盟在其制定的通用数据保护条例(,)草案中首次规定该权利,并于 年定稿、年 月生效的 正式版本中确立此权。为个人数据保护提供了明确而有力的法律依据,且最早提出了数据可携带权的定义及相关规则,与之并列为数据权利的还有数据访问权、更正权、被遗忘权、限制处理权等权利。需要指出,我国个人信息转移权与 数
3、据可携带权的内涵存在明显差异。其一,客体范围不同。数据可携带权的客体范围限定于基于数据主体同意或为履行合同所必须而收集、且以自动化方式处理的个人数据,具体包括直接数据和观收稿日期:基金项目:广西哲学社会科学规划研究课题:基于广西司法大数据样本的个人信息犯罪刑事规制体系研究();广西教育科学“十四五”规划专项课题:新文科背景下双创法学人才培养与课程思政建设的融合与实践研究();南宁师范大学本科课堂教学模式改革项目:数字经济视域下知识产权法智慧翻转课堂的教学改革与创新优化作者简介:文立彬,副教授,法学博士、博士后,硕士生导师,主要从事知识产权法研究,:;邹瑛,一级法官,综合审判庭副庭长,主要从事知
4、识产权法研究,:。测数据。根据我国个人信息保法第 条第 款的规定,个人有权要求转移至指定的个人信息处理者的个人信息类型并不明确。此外,根据我国 年 月实施的信息安全技术 个人信息安全规范第 条规定的信息类型,即本人的基本资料、身份信息、本人的健康生理信息和教育工作信息,均属于直接数据而非观测数据。其二,数据传输模式不同。仅将“以机器可读的格式向个人提供副本”作为数据控制者的强制性义务,而仅在满足“技术可行”的前提条件时,数据控制者才有义务将个人数据直接传输至其他数据控制者。这一规定实质上使直接传输义务成为了一种倡导性义务,在实践中很可能以“不满足技术要求”为由而拒绝用户请求。我国采用直接或间接
5、传输模式,或采用类似欧盟的折衷方案,但于规范层面未有定论。其三,对涉他个人数据的处理不同。数据转移过程中,个人所请求移转的个人数据可能涉及他人的个人数据或隐私,此即涉他个人数据,对其移转可能对他人的权利和自由产生影响,也可能增加个人数据泄露的风险。因此,第 条第 款规定,个人行使可携带权时不得影响他人的权利和自由,而我国立法无相关规定。鉴于域外数据可携带权与我国相关权利在内涵上的显著差异,我国个人信息保护法采用了个人信息转移的表述,相关研究也采用了“个人信息转移权”或“个人信息迁移权”的概念。考虑到我国个人信息转移权是在个人信息保护法脉络下对域外个人数据可携带权的扬弃和革新,且个人信息具体权利
6、应与个人信息保护法相关规定保持一致,本文采用“个人信息转移权”的概念。一、问题的提出数据可携带权及相关数据权利的产生和演化是数据产业经济发展的产物。作为数据产业大国,我国数据利用不仅涉及公民个人的权利保障和数据企业的良性竞争与有序发展,更涉及国家数据主权的构建与安全。近年来,我国个人信息相关立法经历了从无到有、从分散到集中、从宽泛到具体的发展历程,逐步形成了个人信息保护法律体系。在个人信息保护法出台前,年实施的国家标准信息安全技术 个人信息安全规范第 条规定的“个人信息主体获取个人信息副本”的条款常被视为我国确立“个人信息转移权”的铺垫。年实施的个人信息保护法完善了个人信息保护制度,丰富了个人
7、信息保护规则和保障了数字经济发展环境。其中,个人信息转移权的规则积极回应了数据平台的数据垄断问题。从我国个人信息保护法律体系来看,年实施的网络安全法和 年实施的数据安全法将数据安全和数据利用视为一体两翼,合力保障着数据价值背后的国家主权。年实施的民法典确立了个人信息的“人格利益”属性及其在民事权利体系中的位置,侧重保护个人信息权中的财产权。个人信息保护法是一部保护个人信息的综合性法律,将维护人格尊严作为立法的核心价值,注重保护个人信息权中的人格权。根据个人信息保护法相关规定,个人信息主体将有权从个人信息处理者处获取个人信息副本,以及请求个人信息处理者直接将其个人信息传输给另一实体。为落实上述立
8、法中关于数据安全管理的规定,年 月,国家互联网信息办公室会同相关部门发布了网络数据安全管理条例(征求意见稿)(以下简称意见稿),并于 年 月被国务院列入拟制定的行政法规名单。意见稿从总体看,旨在强化和落实数据处理者的主体问题,是对网络安全法数据安全法个人信息保护法的落地、细化和补充。从细节看,意见稿细化了个人信息处理规则,构建了“义务约束、权利保护”的个人信息安全保障框架。可见,相关立法围绕“平衡个人信息安全和流通价值”进行了细致规划。个人信息转移权的立法宗旨在于强化个人信息主体的权利意识和畅通权利行使,打通个人数据在不同数据平台之间的渠道,以打破数据垄断,这与我国数字经济的发展趋势个人信息保
9、护法第 条第 款规定:“个人有权向个人信息处理者查阅、复制其个人信息。”第 条第 款规定:“个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”和国家大数据战略高度契合。相较于传统行业,数据产业具有集聚效应、与个人信息密切和易垄断这三大特点。在大数据时代,原始个人信息能够提供的商业价值较为有限且较低,而个人信息经加工处理后形成的数据产品能够实现“预测”作用,具有重要商业价值。大型数据平台具有前期优势,在获取个人信息并提供服务后形成高度的“客户黏性”,并会为了保持“客户黏性”而采取法律阻碍、技术障碍、经济障碍等方式阻止竞争者取得个人信
10、息及衍生数据。从整体看,我国数据产业经历了从野蛮生长到步入高质量发展的阶段变化;从局部看,与个人信息相关的不当行为仍普遍存在且社会影响更为恶劣。例如,大型数据平台强制商家和用户“二选一”的行为,既削弱了竞争者优势,又扩大了自身数据储量。再如,大型数据平台通过数据精确分析,将产品或服务的定价无限接近消费者购买力的上限,迫使消费者接受歧视性定价而实施“大数据杀熟”。可见,上述乱象背后体现了个人信息的多重属性和深层价值,个人信息转移权的确立和落实正是为了回应和处理因数据垄断产生的诸多问题。然而,个人信息转移权在实践中面临较多问题:客体范围模糊、操作性不强、与其他权利存在冲突等。这些问题一方面导致个人
11、信息的流转不畅、价值停滞、市场失灵和遭遇道德风险,另一方面导致有效解决数据垄断问题的立法宗旨难以实现。从本质上看,个人信息转移权遭遇的现实困境和立法障碍,是个人信息权、个人信息处理者数据权利和数据市场竞争秩序三者之间的矛盾。在查阅相关文献的基础上发现,现有研究较少从我国个人信息保护法的视角对个人信息转移权的客体范围和实现方式进行分析和总结,且对域外相关立法成效反思的研究仍不够深入,这为本研究预留了一定的空间。需要说明的是,我国个人 信 息 保 护 法 采 用 个 人 信 息()的概念,欧盟 采用个人数据()的概念,鉴于 对我国及域外个人信息保护立法上的深远影响,本文将“个人信息”和“个人数据”
12、、“个人信息处理者”和“数据控制者”、“个人信息可携带权”和“数据可携带权”分别作同一概念进行使用。二、个人信息转移权客体范围和实现方式面临的困境分析个人信息保护法第四章规定了与个人信息处理相关的七项权利,旨在加强个人对个人信息的控制。从七项权利的逻辑关系看,知情权系行使决定权的前提,查阅复制权是知情权和决定权的保障,也是更正补充权和删除权的基础。转移权赋予个体转移个人信息的权利,既是查阅复制权的延伸,也是实现决定权的保障。解释权则是落实知情权的重要一环。可知,上述七项权利形成了法定性和开放性兼具的个人信息权利体系。其中,个人信息转移权被寄予了打破数据垄断等期望。然而,个人信息转移权面临的现实
13、困境和立法阻碍使其无法充分发挥效能,故有必要深入剖析困境成因。(一)个人信息转移权客体范围较为模糊个人信息流转难的关键在于个人信息虽然由个人信息主体所创建,但大多数情况下需要通过个人信息处理者流转,责任主体和利益主体不一致。而个人信息转移权的客体范围模糊增加了个人信息流转的障碍:其客体是个人信息,而个人信息的法律属性及权利范围一直存在争议。有学者指出,相较于 中数据可携带权是一种“鼓励性”而非“强制性”的规定而言,我国个人信息保护法中的个人信息转移权内容是一个授权性、开放性的条款,其未来是否能够真正落地,取决于数据可携带权的权利启动和行使条件之设置。对此,有必要就我国个人信息转移权客体的属性及
14、范围展开探讨。首先,个人信息的法律属性存在争议。个人信息保护法第 条和第 条采取折中方法,规定个人信息是独立的具体人格权客体。其原因在于,一是民法典人格权编将个人信息纳入该体系中,与隐私权规定在同一章,说明个人信息具有权利属性;二是以权利形式保护个人信息具有可行性;三是个人信息保护法在第 条和第 条中两次使用了“个人行使权利”的表述,说明个人信息属于独立的民事权利客体,而非一般法益。然而,若仅将个人信息权定位于人格权的延伸,则存在范围设定过窄的问题。在数字经济时代下,个人信息权兼具人格属性和财产属性,应被视为一种新兴的复合型权利,而且个人信息处理者对个人信息的处分权能亦是应有内涵。其次,个人信
15、息转移权的客体范围不够明确。个人信息保护法对于个人信息转移权的规定较为笼统,适用的数据范围有待明确,这导致个人信息处理者的数据权利难以落实。具体来看,民法典第 条第 款以“概括举例”的方式明确了个人信息的概念,其范围基本涵盖了全领域的个人信息。个人信息保护法第 条规定了个人信息的范围,即具有可识别性的信息,匿名化处理后的信息不属于个人信息。问题在于:第一,是否存在不属于个人信息转移权客体的个人信息;第二,个人信息经匿名化处理后形成的数据产品,个人信息处理者是否享有财产权并可依法受益?个人信息转移权客体范围的确定,对于数据平台的商业秘密保护尤为重要,亦是维护数据产业良性竞争之关键。(二)个人信息
16、权利实现方式的操作性有待提升根据南方都市报个人信息保护研究中心发布的个人信息安全年度报告()显示,款被测 中,只有 款明确用户可要求获取个人信息副本,其中仅 款称可提供转移服务。涉及个人信息转移服务的,基本都要求用户提供对方 的接收方式、接口等信息;然而,没有任何一款 明示告知用户如何获取上述信息,这进一步增加了用户行使转移权的难度。个人信息转移权的落地不仅有赖于其内涵的明确,而且依赖于可操作性的提升。但是,个人信息处理者和个体之间存在的信息落差和技术不均衡等差异,一方面影响了个人信息转移权的有效行使,另一方面对个体行使其他个人信息权利也造成阻碍。从技术层面进一步看,个人信息转移权操作性不强的问题阻碍了其积极效能的发挥。例如,个人信息处理者之间要直接转移数据就需要实现其系统之间的互通,对中小企业而言,这无疑会带来巨大的合规成本和技术障碍。由于受限于互通系统的要求,数据主体可能无法轻易在个人信息处理者之间便捷地直接转移个人数据。此外,现实中对涉及第三人利益的数据,如数据主体的聊天记录,直接进行转移则会对其他数据主体的权利造成影响。可见,个人信息转移权的实现具有复杂性,对其可操作性的提升不