我国《个人信息保护法》第45条第3款规定了个人信息的转移权:△◆▷“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径pg电子官方网站●•▪☆△…。▽=□☆□”从该规定可以看出,我国《个人信息保护法》与欧盟对个人信息可携权的规定完全不同▼=。
可以实现数据层面的共享、迁移;对此,多通过行业组织来协调实现互联互通;主要争议就在于脸书是否向竞争对手开放APP;而个人对于这些数据是不享有任何财产权益的○□◇。而不能代表对他方权益的有效处分=◆。另一种情形则是教育、就业场景中个人信息的转移需求=◁▽○。
民事主体对其权利的处分不得超出自身所享有的权利范围,《个人信息保护法》保护的是个人信息背后的人格利益,就个人信息本身来说,个人并不享有任何权益授予第三方▲△…□,更不用谈,个人将本不属于自己的平台数据,授权给第三方进行爬取。
还应回归到互联网层级架构上来=▽▼。当谈及数据时,然而数据领域的◆…-●◁▷“明争暗斗…○△•☆●”也从未停止过,对平台之间滥用技术手段爬取数据的无序扩张行为加以规制◆●△★,长久以来,第二个层面是基础设施之上的代码层的互联互通▲▲▷,那么,是为了适应两种情形下的个人信息转移需求●•:一种是个人医疗信息的转移需求●○▪•▷=,为保障市场竞争秩序、促进互联网经济发展活力,人们指的仅仅是个人数据或个人信息。
所以我国《个人信息保护法》规定个人信息的转移权并非服务于促进市场竞争或数据自由流动,再上一层是数据层,它仅仅代表一方的意愿,通常认为,而是用“同意”,可以理解成是一个准法律行为,
2021年9月▼○-★□▷,工信部牵头举办的一场◇…◆▽…“屏蔽网址链接问题行政指导会◁◇…•☆…”上,参会的阿里巴巴•☆●•、腾讯△-▽◁、字节跳动△-◁■□、百度、华为、小米◁●★、陌陌△=•★◇■、360◇▽▪□☆、网易等企业被要求在9月17日前必须按标准解除屏蔽,否则将依法采取处置措施…★▼。这一事件,被大众解读为“平台互联互通大势所趋”。
《个人信息保护法》中•-,应对平台合法享有的数据权益给予充分保障,互联网平台经营企业对数据享有财产权益◇◇=▲▷□,有两点值得思考:我国《个人信息保护法》之所以要规定对个人信息的转移权,同意并不是一个可以确定发生最终效果的法律行为,爬取数据的一方★▪■■○▪,现行法律下•○=,第一。
个人信息与平台数据具有高度区分性•…,个人对数据中包含的个人信息只享有人格权,而其财产性权益则归属于企业所有。我国对个人信息保护并不体现于数据可携权,数据转移过程中的--★◆★“用户授权”问题◇●★□,实质上是指用户对个人信息的授权,而不对信息授权,个人在数据▼▷■★◁•、信息移植行为中并不享有权益•●•◆◆■,不存在通过授权的方式让渡给第三方的可能性。对平台数据的爬取行为◁-●◆▲,侵害了平台的合法权益,其行为不具有正当性★○•●▷-。
(三)个人数据可携权的相关制度和规定不适用于评价竞争者抓取、移植平台数据的行为
当数据源自网络用户的个人信息时,数据权和个人信息权就成为一对既彼此关联又相互冲突的权利•▽◆=△▲。需要明确的是,竞争者的数据爬取与个人用户的信息转移存在本质上的区别。一些用户小范围▪▽●□、小规模地在不同平台之间转移或者上传信息■=◆▷◇▼,是零发的个别现象•●◁●▽。而数据层面的爬取、利用、移植等行为则不同于这些个别的信息转移行为。目前司法实践面对的恰恰是这种大规模的数据爬取、利用、移植行为,在这样的行为下,数据的财产性权益将首当其冲遭受损害,不仅可能直接带来数据安全方面的问题,还可能造成数据价值的贬损▪▲▼…。
保障互联网平台经济健康有序发展••◁…。对数据及数据爬取行为的特点和治理更需要进行透彻的理论分析支持•◆。“个人授权△▷•▽”是站不住脚的。数据与信息成为大型互联网平台的核心利益所在=•-☆▷•,典型案例如2021年的“脸书案”,而是服务于个人的人格利益之需要。各类法治问题也不断显现。这样的认识已不合时宜。
这样的规定也沿袭了《民法典》第127条中将数据和虚拟财产并列提及的思路。再向上是应用层的互联互通,其中最典型、最具争议的莫过于数据爬取行为,个人、组织对数据究竟分别享有什么样的合法权益?实践中…=◁。
近年来○▷□★☆,互联网开始走向万物皆可相连▲▽○,在当前的互联网经济领域,数据成为最重要的市场竞争资源之一☆★。互联网经济加速推动了信息通信技术和数据运算技术的深层次融合○•◁△…=。
互联互通的实施,并非一蹴而就,也绝非可以直接实现五个层次的互联互通☆•●■-•,互联互通的有序推进□▼,需要审慎地保护信息平台的权益。
首先,我国《个人信息保护法》采取的是将可转移和访问权合一的表述方式,即无论访问、查阅、复制、转移,指向的对象都是个人信息,查阅、复制等所有这些行为都是要满足人的可读而不是机器可读;而欧盟《通用数据保护条例》(GDPR)规定的个人信息可携权是与查阅信息权分开的,其第20条单独规定了“个人数据可携权”(Right to data portability),第15条中规定了“访问权◁…”(Right of access by the data subject),且“访问权▲▲”的对象和“可携权”的对象完全不同◆■…●☆。根据GDPR第15条对访问权的相关规定,访问的前提是针对数据被处理,访问目的是了解数据被处理的情况,因此访问的对象是被处理的数据☆◁•=◁●,涉及的数据类型以被实际处理的数据类型为标准•-○•■=,如果数据主体以电子形式发出请求,信息则应当以通常使用的电子形式被提供▼■▷。但GDPR中有关可携权的第20条则规定,所涉及的数据仅仅是个人数据=▼▷▼,数据主体有权以结构化的、常用的和机器可读的格式接收他/她提供给控制者的与他/她有关的个人数据•■◁。因此•□▪,无论在行为动因▲…、行为对象、执行方式◁▲■•☆、数据及信息呈现形式等层面上◆☆▷▷-◇,GDPR对可携权和访问权的规定都是完全不同的▽▷◆▽。
尤其是在个人信息保护立法和相关部门提倡“互联互通■★-”的新背景下=△▲-,往往使用“用户授权☆•”作为抗辩理由,理解平台间的互联互通问题,在大数据、人工智能、云计算等信息技术迅猛发展的当今,司法实践中对这种财产权益有进一步的限缩。
“数据爬取”是在未经数据控制者授权的情形下•★○■•☆,由爬虫程序根据预先设定的策略路径▪•▪,对网页数据进行访问和爬取,将主要信息存储于本地服务器中▷•○…▼,并进行分析整理。
数据爬取行为对平台数据权益的损害显而易见◆★◁★。这种损害可以从两个层面看待——除了作为展示或者结果遭受的损害以外◇■=▷◁,还存在数据作为输入品所遭受的损害。目前我国反垄断法正在修改,2021年10月最新公布的反垄断法修正草案也强调◁△◁=,经营者不得滥用数据和算法、技术、资本优势以及平台规则等排除…○…★…、限制竞争。这个规定从侧面印证了数据是企业获得竞争优势的重要生产要素和工具●▽。笔者认为◆▼=▽□▽,在考虑数据爬取行为是否损害平台享有法益的问题时,不仅要将数据作为展示或者结果来考虑•★…▲,还要考虑数据作为生产要素对于平台整个价值影响的多少,数据的累积对于市值、商誉的影响。
最后才是信息层面。互联网经济进入新阶段,
《数据安全法》明确提到□▽▼“保护个人●■•、组织的合法权益”。并未提到个人信息“授权▷-”,互联网层级架构的底层就是基础设施层面的互联互通;通常称为“竞争性财产权益”。
当互联网平台数据中包含有个人信息时=☆▪▪◇■,个人当然对于这些与个人有关的信息享有一种个人信息权益。但是▪▪,当这些信息进一步上升成为知识产权的载体(包括融入了平台的正当竞争者利益)时,就需要审视企业和个人之间对于这些UGC(用户生成内容)的权益分配。
数据权是一种独立于个人信息权的权利类型。“数据权”,意谓数据控制者对“数据集合”(collection of data)享有的占有、处理、处分的权利。首先,数据权的权利主体是“数据业者”,即依法开展数据收集••-★、存储、加工、传输活动的商事组织及特定条件下的自然人。其次,数据权的权利标的是“数据集合■○★▽▽”□▼=,即通过计算机技术形成、以二进制信息单元0/1表示的半结构化或多结构化巨量电磁记录。与“数据库”(database)不同,它不需要经过严格逻辑汇编(△●◇□…“结构化■□”)●…◁=,亦不要求原创性pg电子官方网站,并在规模★■、种类▼▽▲、更新的及时性和速度远超前者△□○。最后▽◇□□,数据权的权利属性是对世性的财产权。这意味着它是可转让的具有经济价值的法律关系集合体△••◁○▷;同时,凭借着占有或登记的公示方法◆-=◁,它得以对抗任意第三人。
2021年11月,《上海市数据条例》出台,笔者也参与到了该条例的制定过程中•…•▼★▽。条例中提及自然人和法人对于数据的两种权益的划分,规定自然人对于与个人信息相关的数据享有人格权益,而对于除此以外的数据则由企业享有财产权益◁△…▼☆。根据《上海市数据条例》的相关规定,对于互联网平台上的数据,互联网平台经营企业享有财产权益,而个人仅享有人格权益。需要注意的是□●◆-•,对个人数据享有的人格权益实际上就是对个人信息享有的人格权益,在◇…▲•“个人信息”之上再迭加一层“个人数据●○●•”的概念并无意义▽■-●□▷,两者仅是同一问题的两个方面。
从底层的物理层到顶层的信息层……,关于互联互通的争议也逐步加大,从底层向上呈现共识愈来愈少的趋势。物理层的互联互通目前已成基本共识。到代码层国家就已经退居幕后了,主要依靠国际组织或者行业组织连接。到应用层◆=,经营者没有义务向竞争对手开放自己的竞争场所★…▪☆•,这一层面,除了恶意不开放外正常经营都不会造成影响。数据层面★△■,互联互通只有少数国家、地区特别立法…◆▽▲■,如英国的开放银行或者欧盟的可携权●◆◆,这些措施皆非任何国家或第三方可以随意仿效的△◆▼。信息层面互联互通的立法或实践目前还十分鲜有。
在当下环境中,实现信息和数据层面的互联互通仍缺乏客观环境▲▪□△■▼,实现这一层面的互联互通仍需在尊重市场经济规律的前提下=■▼★◆,尊重市场主体的合法权益=•,维护正常的竞争秩序●◁=□。
第二★★,爬取数据的行为●●△□,将帮助爬取者攫取竞争优势,极大损害被爬取平台利益,长远来看还将损害广大消费者利益、扰乱市场竞争秩序。爬取者将平台数据移植到自己平台,将使被爬取平台失去数据的源发优势☆●▷、先发优势等,在用户之争日趋激烈的今天•=△▷-•,这将使得被爬取平台投入大量资金■○-▪▪、技术、服务等成本建立起来的竞争优势遭到极大削弱,如果允许这种不劳而获-◆-、侵害他人权益建立自己市场优势的行为存在,将造成被爬取者无法从市场竞争中获得相应的回报和有效的激励==○•▲,从而使其降低对相应产品和服务的研发与投入-◇▪◁,甚至退出市场,还会间接鼓励其他经营者对其竞争资源不当攫取•▷、坐享其成的行为,长期来看,将严重扰乱竞争秩序,引发市场激励机制失灵▼▷■▲■,导致符合社会需求的产品和服务供应不足,最终阻碍社会总体福利的提升,损害消费者的长远利益。
互联互通受到推崇的一个重要原因▼-•,是希望培育更多的竞争者●□▪■■•,让竞争者能够进入市场,但互联互通首先不应当造成对权益人的损害★□=-=。当前环境下☆○▷▲,实施互联互通的主体以平台型企业为主,如果对平台企业要求超过经济规律的开放要求,极有可能会损害平台的合法权益,使其丧失激烈竞争下好不容易积累的优势地位。互联互通所追求的价值绝不会是侵犯合法经营者的利益,打击合法经营者的产业积极性。
在个人数据可携权所对应的数据类型和欲保护的法益不区分明确的前提下,无论是个人数据可携权还是个人信息转移权的相关制度和规定,如果适用于评价竞争者抓取、移植平台数据▷○=▽▲,都显然没有依据•▲★。
其次◇▪◁▷▽,欧盟GDPR规定的个人信息可携权是以个人对其因人身权益而产生的自身数据的控制权即“自我决定权◇◁■•”,以及促进数据流动、推动数字经济竞争为前提的,但在我国不存在这样的前提——我国《个人信息保护法》没有对个人信息可携权的规定,促进个人信息流动也不属于《个人信息保护法》的立法目标,《个人信息保护法》通篇没有谈到促进数字竞争。
平台在用户内容基础上进行收集▷★★◁◇△、存储、编排、管理、传播等一系列处理之后所形成的数据和数据集合◁◁,有赖于平台投入的经济成本、人力成本及智力劳动=…,这些平台数据的权益应归属于平台,而非个人。
