欧盟GDPR中数据可携权对中国的借鉴研究
冉从敬1,2 张 沫2
(1 .武汉大学信息资源研究中心,武汉,430072 ;2. 武汉大学信息管理学院,武汉,430072 )
[摘 要] 欧盟《通用数据保护条例》自2018 年5 月起开始施行,其对于增强数据主体权利、促进欧盟地区的自由竞争与发展具有开拓性的意义。数据可携权是《通用数据保护条例》引入的一项新型权利,由欧盟长期的立法规范演化而来,以副本获取权和副本转移权为核心内容,对加强数据主体权利、促进行业数据传输格式标准的建立具有积极的影响,但也可能会损害有价值的专有信息或知识产权、造成隐私和数据安全风险、提高企业合规成本。我国处于信息技术发展的高速时期,对于数据保护愈发重视,我国是否应引入数据可携权、应当如何借鉴,是本文探究的重点。
[关键词] 数据可携权 数据安全 数据隐私 数据保护 通用数据保护条例 欧盟
1 引言
1995 年欧盟《个人数据保护指令》(Directive on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data ,,下文简称《指令》)的颁布,规定了欧盟个人数据保护的最低标准,为欧盟确立了全面的数据保护体系。但是网络社会的发展、欧盟成员国立法规范的进步以及全球贸易的深入,使得《指令》无法应对新的风险和威胁,欧盟需要具有更高行政效力和更为全面的法律规范。
老师的幸福无处不在。其实,学生工工整整的作业本、付出努力回报给自己的满意答卷和家长充满谢意的神情和语言,是一种幸福。自己的教学方式有了魅力,是一种幸福。自己的教育理想和信念开始落地生根,是一种幸福。得到同事、家长和学生的认可与接纳,更是一种幸福……
2011 年,欧洲数据保护监督组织(EDPS )在欧盟委员会沟通会议中,提出了加强欧盟个人数据保护统一性的建议。半年后,欧盟委员会提议,应当从加强个人数据权利保护、建立统一欧盟数据市场、强化数据保护机构职能及合作等方面对《指令》进行修订。2016 年4 月欧洲议会投票通过《通用数据保护条例》(General Data Protection Regulation ,GDPR ),并于2018 年5 月25 日正式施行,同日废除《指令》的使用。相较于1995 年的《指令》,GDPR 从加强数据主体的权利保护、确定相关主体的责任制度、建立完善的监管体系等多个方面建立了完善的数据保护体系。GDPR 对于欧盟个人数据保护具有里程碑的意义,是迄今为止发达国家通过的最严厉的一部对个人数据安全进行保护的法律,为全球个人数据法律建设树立了新的标杆[1] 。GDPR 对数据主体权利的保护格外重视,引入了多项新型权利,数据可携权就是其中的一项重要权利。“数据可携权”首次提出于2012 年1 月由欧洲委员会颁布的《数据保护指令草案》(the Draft of the Data Protection Regulation ,DPR ),该草案第18 条对“数据可携权”进行了详细定义。自此,“数据可携权”正式纳入欧盟个人数据法律建设的讨论范畴,经过多次修订,登上欧盟立法的历史舞台。数据可携权的提出,对于欧盟数字经济的发展、加强个人数据控制力具有重要意义。本文将对数据可携权予以评析,以期为我国未来数据立法提供参考。
2 GDPR 数据可携权立法演进
2.1 立法起源
数据可携权是欧盟GDPR 首次引入的新型权利,但在欧盟之前颁布的一系列法律规范中可以看到其雏形和演化历程。
受到欧洲民主传统的影响,欧洲的民众对于个人数据的保护有着较高的要求。德国率先于1977 年制定了《联邦数据保护法》(Federal Data Protection Act ),随后,法国、荷兰、瑞典、比利时等欧共体国家也相继出台了个人数据保护的专门法律[2] 。随着国际贸易的日益频繁,个人数据开始在国家间流通,欧洲各国不同的个人数据保护法律对欧共体的贸易往来和经济发展造成了阻碍,社会和经济的发展对欧共体各成员国个人数据保护法的统一提出了要求。1981 年,欧洲议会通过了《保护自动化处理个人数据公约》(Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data ),这是世界上首个有约束力的个人数据保护相关的国际公约[3] 。但该公约并未如欧洲议会的预期能够将欧共体各国的个人数据保护法统一起来,欧共体各国的数据保护法仍处于分散状态。
1993 年11 月,《马斯特里赫特条约》(Maastricht Treaty )生效,欧盟正式成立。欧盟的成立加快了欧洲个人数据保护法的统一进程。1990 年,欧共体委员会发布个人数据保护指令的框架草案,经过一系列的讨论和审定后,1995 年《个人数据保护指令》(95 /46 /EC )正式生效。《指令》中第12 条对访问权进行了规定,要求欧盟成员国应保证每名数据主体拥有从管理者处获得数据信息的权利,包括数据处理、数据确认等方面。访问权与数据可携权有着非常密切的关系,访问权是数据可携权诞生的前提性权利。
2002 年欧洲的《通用服务条例》(Universal Service Directive ,Directive 2002 /22 /EC )[4] 的第三十条对”号码可携带性”进行了规定,要求各成员国应确保所有公共电话服务和移动服务的用户可以独立于提供服务的企业保留其号码。2002 年的《框架指令》(Framework Directive ,Directive 2002 /21 /EC )[5] 则对可移植性有了更为明确的规定,其中应用程序接口系统的互操作性被认为对交互式内容的可移植性有用。根据第29 条工作组的条款,数据可移植性被视为数据控制者所应用的附加保护权利,可以赋予数据主体权利。同时,该条款鼓励个人信息的可移植性,指出允许数据可移植性可以使企业和数据主体能够最大限度地利用平衡和透明的方式进行数据处理[6] 。它还可以帮助减少不公平或歧视性做法,并降低将不准确的数据用于决策目的的风险,这将有利于企业和数据主体的共赢。该条款对数据可移植性进行了较为明确的定义,突出了个人数据可移植性的巨大潜力,为《通用数据保护条例》引入数据可携权奠定了法律基础。
2.2 正式提出
可以看到,我国的个人数据保护法律体系在逐步完善,虽然有了《中华人民共和国网络安全法》对个人数据保护进行规范,但是与GDPR 全面完善的个人数据保护法规相比,还有很大差距。数据可携权并不是单一的法律条款,它需要访问权、监管措施等诸多的法律条款进行保障才能发挥效用。完善的数据保护法律体系的缺乏,使我国缺少引入数据可携权的法律基础。
日本精工株式会社(NSK)成立于1916年,是日本国内第一家设计生产轴承的厂商。目前NSK在全球26个国家和地区建立了销售网络,并拥有近70家工厂,行业排名位居世界前列。恩斯克投资有限公司是NSK的中国总部,全权负责中国大陆及中国香港的生产、技术研发与销售营运。目前NSK在中国设立的生产、研发、销售公司及子公司已达20多家,遍及中国各地。
“数据可携权”首次提出于2012 年欧洲委员会颁布的《数据保护指令草案》,该草案的第18 条对“数据可携权“进行了详细的定义,规定数据主体拥有获得个人数据副本并传输给另一个数据控制者的权利,以电子或其他通用的形式为传输方式[7] 。数据可携权的提出,是对数据主体权利的丰富和完善。2014 年3 月,欧洲议会通过会议商讨,对《数据保护指令草案》进行修订,将第18 条的“数据可携权”与第15 条的信息获取权合并[8] 。这次修改,是欧盟对“数据可携权”定位和适用范围的探索。
2.3 全面实施
4.1.1 加强数据主体权利
委员会和其他欧盟机构均未提出遵守数据可携带性请求的成本数据。根据Christensen 等人的一项研究,GDPR 改革将使欧洲中小企业的年度IT 成本增加约3000 —7200 欧元,具体取决于中小企业的行业领域,该数额相当于企业年度平均IT 预算的16 %—40 %[15] ,目前尚不清楚该预算将用于响应数据可携权请求的百分比。虽然这些IT 成本对大公司来说可能并不算高,但这一要求可能会给中小型公司带来负担。必须指出的是,由于GDPR 严格的监管和高额的罚款,中小型企业不应轻视遵守GDPR 。
3 GDPR 数据可携权内容
欧盟GDPR 中的第20 条,对数据可携权进行了详细的规定。以下为具体规定:
而欧盟无论是主体维权意识还是数据保护意识都要强于我国。从1995 年的《数据保护指令》到欧盟各国的数据保护条例,欧盟通过大量的数据保护法律将数据保护意识进行传播。GDPR 对个人数据权利的高度重视,使得大多数据权利采用的都是数据主体投诉、数据监管部门辅助监管的模式。由于我国的数据保护意识相对薄弱,贸然引入数据可携权,不仅可能无法起到加强数据主体权利的作用,还可能会被不法分子利用,进行恶性的市场竞争或威胁数据安全。
(a )处理是建立在第6 条(1 )(a )点或9 条(2 )(a )点所规定的同意,或者6 条(1 )所规定的合同的基础上的;
(b )处理是通过自动化方式的。
②在行使第1 段所规定的携带权时,如果技术可行,数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。
③行使第1 段所规定的权利,不能影响第17 条的规定。对于控制者为了公共利益,或者为了行使其被授权的官方权威而进行的必要处理,这种权利不适用。
④第1 段所规定的权利不能对他人的权利或自由产生负面影响[9] 。
从上述规定可以看到,数据可携权的内容主要包括副本获取权(Right to Obtain a Copy )和数据转移权(Right to Data Transfer )。下面将从这两个方面对数据可携权进行具体分析。
3.1 副本获取权
根据GDPR 第20 条第1 款,副本获取权指的是数据主体有权从数据控制者处获得以电子和结构化格式处理的数据副本,并能够进一步使用的权利。在这方面,行业的发展较为迅速,以Facebook 、Google 等公司为代表的一部分数据控制者已经提供了个人数据的下载入口,用户可以据此获取相关的个人数据副本[10] 。
需要注意的是,副本获取权并非全无限制。首先,GDPR 对数据传输格式进行了规定。条款规定获得数据副本的条件是通过电子手段以结构化和常用的格式处理过的数据。当数据控制者不通过电子手段和规定格式进行个人数据处理时,数据主体将无权获得个人数据的副本。目前大多数个人数据都是以电子方式处理的,但是处理数据的格式不同,然而条款并未赋予数据主体决定数据控制者将以何种格式处理个人数据的权利,也未要求数据控制者向数据主体通知处理格式。由于目前行业内传输格式多样,尚未形成统一的行业标准。欧盟的这一要求有鼓励行业出台通用格式标准的用意,但也可能会激励数据控制者不要使用标准和常用格式,以逃脱移交副本的义务,从而避免将数据主体迁移到另一个服务提供商,并节省提供数据副本的成本。对于这一问题,笔者认为有两个解决方案,一个是使数据控制者承担新的义务,要求数据控制者根据数据主体要求的格式进行数据传输;另一个是强制使用格式清单,要求数据控制者根据格式清单中的格式进行传输。但是就目前而言,这两种方案都存在问题。前者会大大提升数据控制者进行数据传输的成本,而后者将抑制开发和推广新格式的进展。
除了数据格式外,GDPR 对数据源也从两方面进行了限制。一方面是用于传输的数据应是个人数据,涉及第三方的数据将不在权利范围内;另一方面是基于数据主体的同意或以合同的形式得到数据主体的认可方可请求获取数据副本。该限制有利于隐私权的保护,但在某些情况下也可能出现问题。例如,就企业而言,为了履行法定义务,其必须要收集并保存员工保险和社会安全数据[11] 。若企业以自动化方式收集员工数据,假设有甲乙两名员工,如果员工甲的社保数据是保险公司提供的,员工乙的数据是其个人提供的。在这种情况下,根据GDPR 第20 条的规定,员工甲无法获取个人数据副本,而员工乙可以获取个人数据副本。但是,法人数据和法人控制的内部员工数据具有特殊性,根据GDPR 序言第48 条规定,当控制者是作为集团企业的组成部分或者附属机构时,其基于内部管理目的在企业集团内部开展个人数据传输(包括处理客户或雇员的个人数据)可以被认为具有合法利益。因此在这种情况下,员工甲乙都不一定能够获取个人数据副本。由于GDPR 对数据可携权没有详细的具体规范,对于此类特殊情况的处理尚没有明确说明。
从印度食素主义人群城市分布数据可得出印度素食主义人群的是由印度西南部向印度东北部递减的分布趋势。印度西南部与印度东北部从宗教、经济、种姓、政治、气候等各方面有很大的差异,其中宗教的影响最为明显。
副本获取权在一定程度上保证了数据主体对自身信息的控制和决定,是信息自决权的保障。数据主体有权获得一份副本,然而副本的移交并不代表数据的删除。因此,数据主体仅部分控制他的个人数据,只能对数据副本进行处理。如果有删除的需求,则属于GDPR 第17 条被遗忘权的内容范围。
入职第一天,何正伟就拿着新买的地图,开始挨家挨户的拜访,作为农资圈初出茅庐的年轻人,他不放过每一次学习的机会,一个县里几十家农资店,全部跑完要两个月。说起当时的故事,何正伟深有感触:“每进一家店,都抱着学习和交朋友的态度,了解客户需求,了解当地种植情况,不急于卖货,要首先赢得客户的信任,一次不行就跑两次。”
3.2 副本转移权
GDPR 第20 条第2 款对副本转移权进行了规定。数据主体有权将这些个人数据以电子和结构化格式由一个数据控制者传输到其他数据控制者,数据控制者无权阻拦。例如欧盟的Facebook 用户可以将其自主上传的所有个人数据,包括包括聊天记录、照片、视频、个人动态等转移到其他社交应用中,而Facebook 无权阻拦。
5.1.2 我国数据保护相关法律尚未形成完整的法律体系
副本转移权与副本获取权类似,都存在传输格式的问题。不同的是,副本转移权还会涉及第三方的隐私问题。GDPR 第20 条第4 款规定,数据主体在行使权利时不能对他人的权利或自由产生负面影响。基于此,当数据主体要求传输的数据涉及第三方隐私权时,数据控制者应拒绝此类请求。但在实践中,又会出现问题。例如当数据主体要求传输发布在Facebook 上的一张多人照时,这是否构成了对其他数据主体的数据权利的侵犯?又比如当一名用户将其在Facebook 上的个人数据转移至Google+ 时,如何判断该用户在Facebook 上的数据不涉及第三方隐私权?又如何对涉及第三方和未涉及第三方的数据进行筛选?Facebook 是否应当拒绝此类请求?这种信息自决权方面的冲突当如何解决,具体的操作应是怎样的流程,GDPR 没有给出具体的解决方案。可见,在遇到现实生活中的实际场景时,GDPR 尚不能有效地处理问题。
由上述分析可以看出副本转移权的设计目的是促进数据的自由流通和市场的有序竞争,降低用户数据的转移成本,改善大型企业的数据垄断现象。但随着数据的财产属性日益凸显,数据的重要性愈发得到企业的关注,在尚未完善的副本转移权条款下,企业很有可能利用现有法律的漏洞,提高数据主体进行副本转移的成本,限制数据主题进行副本转移。
4 GDPR 数据可携权的影响
相较于1995 年的《指令》,GDPR 将欧盟个人数据保护法律的生效范围从地理空间扩展到以人为主体的范畴,具有域外效力[12] 。无论组织的数据处理行为是否发生在欧盟内部,只要该组织设立在欧盟境内且涉及个人信息处理,就都在GDPR 的适用范围内。GDPR 第3 条规定了组织在地理空间上不属于欧盟但涉及个人信息处理的两种适用情况:向欧盟境内数据主体提供有偿或无偿的商品或服务;监控欧盟境内数据主体的行为。因此,数据可携权的影响范围也不仅限于欧盟,只要其个人信息处理的业务涉及欧盟,都会受到数据可携权的管辖。
4.1 有利影响
经过欧洲议会长达四年的讨论,数据可携权于2016 年3 月经欧洲议会通过以独立条款的身份出现于GDPR 的第20 条。GDPR 作为全新的个人数据保护法,具有划时代的意义。为适应社会和经济的发展,GDPR 在《指令》的基础上,对立法架构、权力与责任体系、监管及惩处措施等方面进行了更为详细系统的规范。为了适应互联网时代的需求,GDPR 增加了很多新型法律术语,例如数据主体、数据流通、数据控制者、数据跨境处理等。此外,为了统一欧盟各国的数据保护法律,GDPR 在为各国进行个人数据保护法律立法保留一定变动空间的同时,对条例适用和执行力度进行了更为严格的要求。2018 年5 月25 日GDPR 正式生效,数据可携权合法独立的权利地位得到完全确立。
GDPR 赋予了数据可携权一种类似于所有权的属性,数据主体既可以拥有个人数据也可以将其自由传输。在法律上这是一项极大的创新,是对数据主体权利的加强。数据可携权采取的应用模式是由数据主体提出申请、数据控制者响应的模式,在这种模式的影响下,也有利于数据主体数据权利意识的提升。
同时,从市场层面来看,数据可携权允许用户进行个人信息的复制和传递,从而可以自由选择最适合其需求的服务,不再因数据存储的“沉没成本”而被动选择。同时,也可以保护消费者的合法权益,避免服务提供商设置个人数据传输障碍阻碍消费者进行自由选择。
4.1.2 促进行业数据传输标准的建立
目前,国内外尚未形成统一的数据传输格式,企业间数据流通较少,数据传递不畅。数据可携权的提出,对数据格式进行了严格的要求。不仅仅是要求通过电子手段以结构化和常用的格式对数据进行处理,更重要的是数据控制者间的数据传播。这对于行业间通用的数据传输格式和行业数据规范的建立提出了要求。虽然前文有指出,数据控制者可以以传输格式为理由逃避数据传输的义务,但这一点取决于欧盟监管委员会的执法尺度。根据GDPR 第83 条规定,违反数据可携权将处以2000 万欧元或者企业上一年度全球营收的4 %的罚款,以较高者为准。不仅如此,GDPR 也给予了数据主体上诉和申请司法救济的权利。GDPR 第77 、78 条、79 条和82 条规定,对于不服监管机构的决定或是监管机构不作为,数据主体有权向监管机构提出投诉,拥有针对数据控制者、数据处理者和监管机构的有效司法补救权,还拥有向数据控制者和处理者要求因其违反GDPR 造成的损失的赔偿的权利。在如此严苛的罚金和监管政策下,如果欧盟监管委员会对于数据传输标准加以重视,数据行业的领军企业推动行业数据传输标准的建立并非遥不可及。
4.2 不利影响
4.2.1 数据转移可能会损害有价值的专有信息或知识产权
2.4 摘心打叶控制徒长 摘心能促进早熟,增加荚数和粒重,在开花盛期或末期,摘去黄尖1~3厘米为宜。当出现徒长趋势,郁闭严重时,将行间重叠的叶片适当削去部分,以改善通风透光条件,降低田间湿度,防止植株徒长倒伏,增加荚和粒重。
如果需要转移的个人数据包含有价值的专有信息和知识产权,这可能会阻碍公司或服务提供商首先创建专有信息,影响知识产权保护。数据控制者在对数据主体的数据进行收集加工后,为其赋予了财产属性。如果数据控制者将数据传输给其他数据控制者使用,无疑是对其利益的损害,破坏市场的有序竞争和知识产权的保护。True Fit 的案例说明了这一点,True Fit 是一项在线数字服务,帮助像House of Fraser 这样的在线服装零售商的用户为他们的购物者找到合适的衣服尺寸。True Fit 服务要求购物者分享各种个人数据,如身高、体重、体型、喜欢的服装品牌和服装尺码等信息。用户与True Fit 共享此信息,然后True Fit 与在线零售商共享[13] 。如果True Fit 根据数据可携权规定要求,将此数据传输给其他零售商,其业务优势将不复存在,企业将丧失核心竞争力。
GDPR 第63 条规定,如果第15 条规定的一般权利对其他人的权利和自由产生不利影响,包括商业秘密和知识产权,则可以加以限制。由于数据可携权的权利可以被视为访问权的扩展,则第63 条中提到的限制应该适用于数据可携权请求。换句话说,当公司面对数据可携权请求时,如果数据可携权对商业秘密和知识产权产生不利影响,公司应该能够从数据集中删除有价值的数据以对该项权利进行限制。
但是,GDPR 中有关数据可携权限制的第68 条以及第20 条都没有明确表明,如果对商业秘密和知识产权产生不利影响,数据可携带性的权利就会受到限制。因此,GDPR 的监管机构需要进一步说明数据可携权在影响专有信息和知识产权时是否受到限制。如果不对数据可携权加以限制,像True Fit 这样的公司可能会停止根据个人数据创建有价值的服务,这显然会对竞争和创新解决方案产生抑制作用。
4.2.2 造成隐私和数据安全风险
当数据从一个数据控制者传输到另一个数据控制者时容易出现数据安全问题。如果在没有经过严格认证的基础上,数据控制者向不应获得数据权限的人提供了访问权限,则数据可能会被利用于违法行为或给数据主体带来麻烦。例如利用信息进行诈骗、销售人员进行销售骚扰、调查人员进行数据调用或是数据被用来进行某些暴力行为。而且,GDPR 中提出的可互操作解决方案可能会加剧安全问题,虽然其不被视为导致安全漏洞的主要原因,但往往被视为增加安全漏洞机会数量的因素之一,并且此类漏洞还可能导致其他漏洞的产生。特别是对于数据安全资源有限的中小型企业而言,这是一个重要的问题。
4.2.3 提高企业合规成本
强制数据控制者传输个人数据可能会耗费不成比例的成本和资源。GDPR 第20 条要求数据副本的提供和传输应采用电子化、结构化的数据格式。如Swire 和Lagos 所指出的,许多中小型公司没有足够的资源来完全理解和遵守GDPR ,并采用规范格式将数据移交给另一家提供商[14] 。
刚想拿起竹笛来吹,风影忽然发现林子那边坐着一个女子,她的身影是那样的熟悉,显然就是他朝思暮想的红琴。他张口就想喊,可母亲的话蓦然回荡在他的耳边,红琴已经被破了瓜,不再是那个冰清玉洁的女孩了,他张大了嘴巴,还是将刚到嘴边的话咽了下去。他站了一会儿,最后还是默默地走了。他刚转身,一个惊雷突然炸响,天空就倾倒下瓢泼大雨来。红琴依然坐在一块青石板上,让冰凉的雨水浸泡着自己的身子,她纹丝不动,又一脸落寞。
5 GDPR 数据可携权中国可借鉴性研究
5.1 中国是否应引入数据可携权
对于我国是否应引入欧盟数据可携权,主要从欧盟数据可携权自身完备性和我国的国情差异两方面进行探究。
5.1.1 欧盟数据可携权不具有完备的法律体系和执法规范
GDPR 的数据可携权除上文阐述的不利影响外,仍存在很多尚未落实的细节问题,包括概念解释不清、法律界限模糊、执法规范缺失等。
结合GDPR 第20 条和序言第68 条规定,该项权利适用于基于数据主体同意或履行合同所必须而提供的个人数据。但对这一条款GDPR 没有更进一步的解释,其适用范围不清晰。个人数据这一概念,狭义解释可以理解为由数据主体亲自上传的数据,广义解释可以理解为与数据主体相关的数据。可见,对此概念的狭义解释将影响数据主体使用法律捍卫自己的数据权利,而对此概念的广义解释将可能会减少数据控制者的经济利益,因此对数据主体本身提供的数据的解释需要澄清。例如像eBay 这样的拍卖网站,联系方式和广告由卖家(数据主体)自己提供,提供商(数据控制者)将反馈分数添加到卖家的个人资料中,这些构成了声誉的一部分。因此,如果按照狭义解释,卖家只能将他们的个人信息移动到另一个拍卖站点,而不能将他们的评级和声誉移动到另一个拍卖站点,因为后者由服务提供商提供。对于在线用户而言,显示他在进入不同平台时已建立的良好声誉至关重要。如果没有声誉数据,卖家就不太可能在新平台上吸引新买家。最终,这可能会阻碍用户转移到另一个平台[16] 。
GDPR 缺乏数据可携权实施的具体规则说明。例如传输格式只要求采用电子和结构化格式,对于如何达到这一格式,是否要建立行业统一的数据标准没有明确说明。GDPR 对于第三方隐私权与数据主体间权利冲突也没有给出具体的解决方案。数据可携权的主要目标是赋予消费者权利,使他们能够获得他们的电子个人数据的副本,要求将他们的个人数据传输给另一个提供商并切换到其他提供商。因此,数据可携权的目标与其他法律领域的目标重叠,例如竞争法、消费者保护法等。
与GDPR 中的其他数据主体权利类似,数据可携权是一项权利,需要由数据主体调用,并且不能被诸如中小型企业之类的各方所依赖。例如,小企业不能要求其商业银行提供数据可携权,但是个人用户可以。这引发了一些关于其法律和理论界限的问题,以及GDPR 所包含的领域内的执法。此外,关于用户如何理解并使用数据可携权尚不明确。为了确保数据主体有效地调用权利,需要告知数据主体该权利的含义。
由上述分析可以看到,GDPR 的数据可携权的主要意义在于对数据主体权利的增强,具有开拓性的价值。但当分析到具体操作层面,该条款还有很多有待完善的部分。作为一个尚未完善的法律条款,数据可携权带给我们更多的在于法律理念和法律精神方面的革新,此时并不是引进数据可携权的成熟时机。
采用波长为550 nm的光作为入射光,在循环伏安特性曲线测试中即时记录光的透过率曲线,称为时间依赖性曲线(见图6,电解液为1 mol/L LiClO4).在电致变色薄膜中,将着色态/漂白态所表现的光透过率的低/高值标记为Tc/Tb.光的透过率差值ΔTλ=550 nm(Tb-Tc)是描述薄膜电致变色性能的一个重要指标(见图7(a)),随着循环伏安特性曲线测试的进行,ΔTλ=550 nm值有所衰减,这也表明了电致变色性能的衰退.通常,用电致变色效率η来衡量材料的电致变色性能,计算公式如下:
目前,我国个人数据保护相关法律仍在建设中,尚未形成完整的法律体系,立法进程缓慢。
2009 年通过的《刑法修正案(七)》将重点放在个人数据的财产属性上,对个人信息保护提出了要求。2012 年通过的《关于加强网络信息保护的决定》对收集、使用公民个人电子信息进行了规范[17] 。2013 年2 月1 日,《信息安全技术公共及商用服务信息系统个人信息保护指南》正式实施,要求网络服务提供者在业务活动中收集、使用公民个人电子信息时,应当遵循合法、正当、必要的原则,该指南体现了对于个人数据保护的重视和个人隐私保护的趋势发展,但是其只针对网络服务提供者的数据保护义务和用户权利列了一个基本的框架,缺乏细节支持,也没有完善的监管措施和惩罚措施。2017 年6 月《中华人民共和国网络安全法》开始施行,该法对网络信息安全进行了详细规定,将散见于各种法规、规章中的规定上升到法律层面,从个人信息的收集与处理方式、个人数据权利保障、企业的责任与义务、监管制度等多个方面进行了较为全面的规定[18] 。
互联网的普及和信息产业的发展,为个人数据保护带来了极大的隐患。同时,《指令》在实施过程中也存在缺陷。首先,《指令》的生效机制存在问题。《指令》没有在欧盟各国设置统一的监管机构,也无法直接作为法律依据进行判决,需要由各成员国以《指令》作为立法原则,制定相应的个人数据保护法才能在实际执法过程中生效。其次,由于《指令》存在大量的开放性条文,为各国的法律制定预留了过多的空间。各国在制定法律的实际实施过程中,产生了许多分歧和不确定性,未能形成统一的个人数据保护标准,导致欧盟的个人数据保护法律仍未统一。由于个人数据保护权利法律地位的提升,使得《指令》无法再适应时代的需求,制定新的数据保护法律迫在眉睫,GDPR 的修订被提上日程。
5.1.3 我国数据保护意识相对薄弱
与欧洲相比,我国从数据控制者到数据主体,都存在一定程度的缺乏数据保护意识的现象。中国的高速发展,使得人们过多地关注经济利益,忽视了隐私的重要性。在2018 年的中国发展高层论坛上,百度董事长李彦宏表示,“中国人对隐私问题的态度更开放,也相对来说没那么敏感,如果他们可以用隐私换取便利、安全或者效率,在很多情况下,他们就愿意这么做。”[19] 此言一出,很多评论家和网友纷纷指责李彦宏的观点,认为是对个人隐私的不尊重。但就现实而言,这或许是人们主动或被动选择的事实。
以手机APP 为例,安装手机APP 是人们的日常行为,但是会关注手机APP 所要求权限的用户却寥寥无几。目前,大多数的手机APP 都会要求多项授权,例如定位、访问手机账号、读取应用列表、录音、拍摄照片和视频等,而大多数授权与APP 功能并无关联,“被授权”、“被同意”的情况不胜枚举。这或许是用户主动选择,或许是平台强大用户不得不选择的结果,但所体现出的是目前我国的个人数据保护在实践层面收效甚微。
①当存在如下情形时,数据主体有权获得其提供给控制者的相关个人数据,且其获得个人数据应当是经过整理的、普遍使用的和机器可读的,数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者:
数据可携权提出之后,在欧洲以及全世界都造成了巨大的影响,它对于基础人权的巩固以及对于数据主体权利的加强具有开拓性的意义,欧洲数据保护监管局对其持以肯定的态度,鼓励政府和企业支持该项权利[20] 。但通过以上论述可以看到,数据可携权本身存在很多问题。尚不完善的执法措施、模糊的概念分析、对知识产权和公平竞争的破坏以及对数据安全的威胁,让人们对是否应将其引入打上了问号。加之我国的数据保护法律体系不完善,数据保护意识薄弱,更应慎重对待。笔者认为,我国在将来的立法或实践中可以吸收其精神,对其进行改进,以促进信息产业的良性发展。
另据介绍,2017年初,原农业部印发《关于进一步加强农业新闻舆论工作的意见》。《意见》对做好新闻发布、政策解读、涉农突发事件舆论引导等工作做出了明确规定;加强政策解读,建立工作机制,主动开展政策解读工作;做好涉农突发事件的舆论引导工作。
5.2 数据可携权对我国立法建设的启示
5.2.1 加快数据保护法律建设
自2010 年起,欧盟一直致力于《指令》的修订,对于个人数据保护法律体系的建设格外重视。GDPR 对于欧盟个人数据保护具有里程碑的意义,大大推动了个人数据保护的法律进程。数据可携权的设定,意味着个人能够更好地有效管理个人数据,保护个人隐私,具有开拓性的意义和价值。
目前,我国互联网行业发展迅速,网民数量位居全球首位,大型互联网公司层出不穷,云计算、大数据行业发展迅猛,如此快速的网络发展使我国的个人隐私安全逐渐受到影响。在世界经济论坛发布的《2018 年全球风险报告》中,网络安全仅此于自然灾害,排在第二位。据不完全统计,2017 年在黑市上泄露的个人信息达到65 亿条次,我国平均每个人的个人信息被泄露了5 次[21] 。据360 互联网安全中心的数据显示,2017 年“双11 ”期间360 安全中心共为全国用户拦截钓鱼网站攻击1.1 亿次[22] 。同时,猎网平台当天接到用户报案98 起,涉案总金额约118.3 万元,人均损失达1.2 万元。
面对如此复杂的情况,加快立法建设才是根本。不仅要建立专门的个人数据保护法律,更要加强数据保护法律体系建设。个人数据的保护应以个人数据保护法为核心,以专门性法规作为补充。个人数据保护法作为原则性的纲领法律,对个人数据保护的基本内容进行规定。但由于对应人群、行业领域和技术条件存在差异性,个人数据的处理和使用方式会有所不同。统一的个人数据保护法难以解决差异性的个人数据标准所带来的问题。为了解决这一问题,应根据不同行业和不同人群的数据保护需求,在坚持个人数据保护法的原则下制定专门性的法规,形成补充性的个人数据法规[23] 。
目前我国个人数据保护法律仍在建设中,GDPR 对于我国的立法建设具有较高的借鉴意义。但是出于社会制度、经济形态和历史沿革的差别,在借鉴时,要根据我国的现状对GDPR 进行甄别和转化,制定出能够全面对个人数据安全进行保护并符合我国国情的法律文件。
5.2.2 数据保护需平衡个人隐私权与企业发展
计算烃露点的软件主要是基于SRK和PR等状态方程,曾有研究表明,分别采用CHEMCAD 5.2和HYSYS 3.0两个软件计算不同压力下气体标准物质的烃露点时,得到的烃露点结果相差均在1℃以内[2],说明不同软件计算的烃露点结果是基本一致的。
GDPR 在对个人数据起到很好保护作用的同时,对企业也带来了一定的负面效应。以被遗忘权为例,在2014 —2017 年间,谷歌公司收到了用户发来的超过70 万条的“删帖”申请,其自行支付开销删除了将近90 万条网络链接[24] 。而从数据可携权的角度来看,无论是对通用格式的操作标准的要求,还是对遵守数据可携权请求的数据成本,都会对中小企业带来合规负担。而GDPR 对此并没有设置补贴机制,企业由此带来的经济开销只能自己买单。从整个市场的角度来看,过于强势的数据保护态度,对于跨国公司和国际市场的发展都有负面效应。
能留住食客的味觉记忆,以皮薄、馅丰、汁多、味鲜、形美著称的南翔小笼馒头,在食材与制作技艺方面都很有讲究。小笼皮坯采用多种面粉调和制作而成,每两面粉制作10个小笼包,可见其皮之薄;馅则选用精腿肉,保持肉质之原味,用骨汤熬煮肉皮成冻,拌入馅内,取其鲜美、多汁不油腻的特点。技艺上,采用双杆擀皮,皮子中间厚、四周薄,保证汤水不会流出来,最终小笼馒头呈现宝塔型;每只小笼馒头的收口处打16个以上的褶,小巧精致、玲珑剔透。
因此,在建设个人数据保护法律体系时,应对个人隐私权和企业发展进行平衡。平衡不仅是被遗忘权与企业发展间的平衡,也是维护国家数据主权和推动互联网产业高速发展的平衡。不仅要为个人数据保护提供法律保护,也要重视互联网企业的法律保护和补贴机制建设,对个人数据权利和企业利益进行平衡,促进我国互联网行业健康持续发展。
混合式教学来源于人们对于在线教学的理性反思基础上的,在线教育虽然说是现在教育的主流,因为在线教育是信息化教育模式的重构,是指把传统教育的教学方式的优势和在线教育优势完美地结合起来,充分的网络的利用时间优势和空间优势,是一种:“线上+线下”的教学,混合现实学习环境并有所提升,将各大高校优秀的教育资源整合起来,通过两种教育的有机结合,可以把学习者的学习由浅到深的引向深地学习,实现有效的教育。开展在线教育不是为了去使用在线平台,也不是去为了建设数字化的教学,也不是去为了发展各式各样的教学活动,而是为了让学生进行深度的学习。
随着肿瘤治愈率明显提高,治疗时首要考虑的因素往往是平衡疗效与如何减少其治疗的毒性,尤其是儿童。在肿瘤的治疗中,心脏损伤是患者长期生存较严重的迟发性不良反应,而在引发心脏损伤的因素中,纵隔放疗和蒽环类药物的化疗是发生心脏疾病的最高危险因素,患者在初期可能无明显症状,但这种心脏毒性通常在治疗结束5-10年后方表现出来,并且心衰一旦发生,目前尚无有效救治手段。
5.2.3 健全数据保护监管机制
在大数据时代,企业在挖掘数据价值时通常会采集大量数据进行分析。然而,如果数据采集和分析没有受到监管和控制,会存在被滥用的可能,会给公民个人数据安全和国家数据安全带来隐患。因此,我国应从GDPR 的相关规定中学习借鉴,对企业的个人数据处理及使用方式进行规范和监管,由国家、行业和企业3 方面主体建立完善的数据保护监管体系。
国家方面,要建立国家- 省- 市三级的监管机构,国家监管机构和省级监管机构主要负责政策文件解读、对市级监管机构的执法进行监督、对市级监管机构的工作进行指导,具体对于企业的监管工作由市级监管机构完成。监管机构的选择以企业注册地为准,即企业在哪个城市注册,就由哪个城市进行监管。监管机构人员的选拔与公务员相近,要求有较高的数据处理水平。行业的监管没有强制效力,主要是对境外个人数据保护文件进行解读,进行企业间纠纷协调。企业内部应设立专门的数据监管小组,该小组有权限对整个公司所有涉及个人数据处理的业务流程进行检查,与所对应的监管机构对接,进行政策文件学习和解读。
水利工程项目在建设和使用过程中存在对周围生态环境造成负面影响的环境风险。由于水利工程所处的环境系统和所影响的环境区域都是复杂的大系统,广泛地存在不确定性,尾水导流工程的建设活动也同样存在造成潜在危害发生的风险和对沿线居民健康、生态环境系统以及社会经济发展等造成损失的风险。如徐州尾水导流工程用明渠运送污水,一旦雨量大造成明渠溢出,就很容易对骆马湖水质造成影响。
数据保护与监管不仅针对个人数据安全,对维护国家数据主权更是至关重要。应借鉴欧盟经验,对跨境数据传输给予高度的重视。构建完整的跨境数据传输及审查机制,建立监管机构进行安全评估,将个人数据跨境转移纳入严格监管之下,对于国家间管辖权重叠的问题进行明确,切实维护公民个人隐私和国家数据安全。
参考文献
[1] 王达, 伍旭川. 欧盟《一般数据保护条例》的主要内容及对我国的启示[J]. 金融与经济,2018,488(4):80-83.
[2] 刘敏敏. 欧盟《个人数据保护指令》的改革及启示[D]. 重庆:西南政法大学, 2014:2.
[3] Kuner C.温珍奎译.欧盟的隐私和数据保护[M]// 周汉华主编. 个人信息保护前沿问题研究.北京:法律出版社,2006:28.
[4] 《通用服务条例》[EB/OL].[2019-02-22].https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32002L0022&qid=1550862252312&from=EN.
[5] 《框架指令》[EB/OL].[2019-02-22].https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32002L0021&qid=1550862252312&from=EN.
[6] Paul D H ,Vagelis P , Gianclaudio M , et al. The right to data portability in the GDPR: Toward user-centric interoperability of digital services[J].Computer Law & Security Review, 2017, 34(2):193-203.
[7] 李蕾. 数据可携带权:结构、归类与属性[J]. 中国科技论坛, 2018, 266(6):149-156.
[8] Fialov E. Data portability and informational self-determination[J].Masaryk University Journal of Law and Technology,2014(45):45-46.
[9] 《通用数据保护条例》[EB/OL].[2019-02-22].https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&qid=1550862106178&from=EN.
[10] 张哲. 欧盟个人数据保护法上的数据可携权研究[D].重庆:西南政法大学,2017:9.
[11] 苗振林. 欧盟数据可携权立法评析[J]. 许昌学院学报, 2018,37;227(5):89-93.
[12] 桂畅旎. 欧盟《通用数据保护法案》的影响与对策[J]. 中国信息安全, 2017(7):90-93.
[13] TrueFit官网[EB/OL].[2019-02-22].https://www.truefit.com/Home.
[14] Swire P P, Lagos Y . Why the right to data portability likely reduces consumer welfare: Antitrust and privacy critique[J]. Social Science Electronic Publishing, 2012(2):335.
[15] ChristensenL R, ColciagoA, Etro F, et al.The impact of the data protection regulation in the EU[J].European Financial Review,2013(2). [2019-02-22].http://www.europeanfinancialreview.com/the-impact-of-the-data-protection-regulation-in-the-e-u/.
[16] Graef I ,Verschakelen J , Valcke P . Putting the right to data portability into a competition law perspective[J]. Social Science Electronic Publishing, 2013, annual review:53-63.
[17] 倪东辉,程淑琴.论网络时代公民隐私权保护[J].华东经济管理,2013,27(2):132-135.
[18] 谢永江.《网络安全法》解读[EB/OL].[2019-02-22].http://www.ce.cn/xwzx/gnsz/gdxw/201611/08/t20161108_17628238.shtml.
[19] 之山.李彦宏称“中国人愿用隐私换便利” 央视:谁说的?[EB/OL].[2019-02-22].http://news.ifeng.com/a/20180327/57109942_0.shtml.
[20] 高富平, 余超. 欧盟数据可携权评析[J]. 大数据, 2016, 2(4):102-107.
[21] 厦门网.我国面临空前隐私危机:去年每人被泄露5次信息[EB/OL].[2019-02-22].http://news.xmnn.cn/xmnn/2018/06/06/100374114_01.shtml.
[22] 360社区.360双十一中国网购安全报告[EB/OL].[2019-02-22].https://bbs.360.cn/thread-15243785-1-1.html.
[23] 关伟明. 欧美个人数据保护制度及对我国的启示[D]. 南宁:广西大学, 2014:30-31.
[24] 王达, 伍旭川. 欧盟《一般数据保护条例》的主要内容及对我国的启示[J]. 金融与经济, 2018, 488(4):80-83.
Study on the Data Portability of EU GDPR and Its Reference for China
Ran Congjing 1,2 Zhang Mo 1
(1. Center for Studies of Information Resources of Wuhan University, Wuhan 430072 ;2. School of Information Management, Wuhan University, Wuhan 430072 )
[Abstract ]The EU General Data Protection Regulation (GDPR )have been in force since May 2018 ,which is of pioneering significance for enhancing the rights of data subjects and promoting free competition and development in the EU. Data portability is a new type of right introduced by the GDPR. It evolved from the long -term legislative norms of the European Union ,with copy access rights and copy transfer rights as the core contents.Data portability can strengthen the data subject rights and promote industry data transmission format standard ,but it can also damage valuable proprietary information and intellectual property ,create privacy and data security risks ,and increase corporate compliance costs. China is in the high -speed period of information technology development ,and more attention is paid to data protection. Whether China should introduce data portability and how to learn from it are the focuses of this paper.
Keywords Data portability ;Data security ;Data privacy ;Data protection ;GDPR ;EU
[中图分类号] D95 ;D923
[文献标识码] A
[文章编号] 2095 -2171 (2019 )02 -0025 -09
[基金项目] 本文系教育部人文社科重点研究基地重大项目“大数据资源的制度规制和国家治理研究”(17JJD870001)和国家社会科学基金重大项目“健全国家大数据主权的安全体系研究(国家十九大专项)”(18VSJ034)的成果之一。
[作者简介] 冉从敬,教授,博士生导师,武汉大学信息资源中心副主任,研究方向为知识产权、信息咨询、专利分析与服务,Email:rancongjing@163.com;张沫,研究方向为大数据主权,知识产权,Email:zhangmowhu@163.com。
本文引用格式: 冉从敬,张沫. 欧盟GDPR 中数据可携权对中国的借鉴研究[J] .信息资源管理学报,2019,9(2):25-33,45.
DOI :10.13365 /j.jirm.2019.02.025
(收稿日期: 2019-02-25)
标签:数据可携权论文; 数据安全论文; 数据隐私论文; 数据保护论文; 通用数据保护条例论文; 欧盟论文; 武汉大学信息资源研究中心论文; 武汉大学信息管理学院论文;