黄炜杰:个人信息可携权所涉之权益冲突与规则适用 ||《地方立法研究》
个人信息可携权所涉之权益冲突与规则适用
黄炜杰
(深圳大学法学院助理教授、硕士生导师)
本文来源于《地方立法研究》2023年第3期。因篇幅较长,本文注释已略,建议阅读全文。
摘要
《个人信息保护法》第45条规定的个人信息可携权,能加强信息主体对其个人信息的控制,打破数据锁定,鼓励竞争。但个人信息可携权与其他权益的冲突阻碍了可携权的实施,《个人信息保护法》也没有规定个人信息可携权所涉之权益冲突的协调机制。文章论证,个人信息可携权所涉之权益冲突包括两类:一是个人信息可携权与原处理者权益的冲突,二是个人信息可携权与其他主体权益的冲突。对于前者,应允许原处理者分离出涉及自身权益的信息或设置技术保护措施,新处理者不得破坏、避开技术措施,除非其使用符合法律规定的权利例外;原处理者可以请求新处理者对分离信息产生的费用进行合理补偿。对于后者,应参照《民法典》网络侵权条款,规定用户在转移信息前需获取相关权益主体的同意,并对被请求信息所涉权益予以标注;处理者对涉及不同类型权益的信息负有不同层级的审查义务与采取必要措施的义务。关键词
个人信息保护法 个人信息可携权 个人信息处理者 网络侵权条款
目次
一、可携权所涉权益冲突的检视与反思
二、可携权与原处理者权益的冲突与协调
三、可携权与其他主体权益的冲突与协调
四、我国个人信息可携权条款实施细则的构建
个人信息可携权(right to data portability)在欧盟2018年5月颁布的《一般数据保护条例》(GDPR)中被首次提出。我国《个人信息保护法》三审草案中也增加了对个人信息可携权的规定,并延续至正式立法文本中。《个人信息保护法》第45条规定:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”个人信息可携权的确立引发了巨大争议。一方面,个人信息可携权能加强信息主体(以下简称“用户”)对其个人信息的控制,降低信息主体转移个人信息处理者(通常也是服务提供者)的成本,有助于用户获得更多元、优质的服务。个人信息是数字经济时代最重要的竞争资源,允许用户转移个人信息可以打破原个人信息处理者(以下简称“原处理者”)的锁定效应,鼓励新的个人信息处理者(以下简称“新处理者”)通过提升用户体验获取用户信任、参与竞争。但另一方面,可携权的行使也可能影响其他主体的权益,如知识产权、商业秘密、隐私权、个人信息权益等。可携权与其他权益的冲突是实施可携权的重要障碍,本文即是围绕这一问题展开讨论。
一、可携权所涉权益冲突的检视与反思
用户行使可携权时请求原处理者转移的信息,既可能包含原处理者的知识产权、商业秘密或竞争性权益,也可能包含第三方主体的知识产权、商业秘密、隐私权或个人信息权益。如何解决可携权与其他权益的冲突,无论立法、司法还是学界都未形成统一意见,甚至GDPR条款之间都自相矛盾,严重阻碍了可携权的实施。
(一)与可携权冲突的主要权益类型
首先,可携权可能与原处理者的知识产权相冲突,如用户请求转移的信息是原处理者对众多原始数据花费显著投资、进行具有独创性的编排而形成的汇编作品。譬如,在汉涛与爱帮聚信案中,法院认为,汉涛公司经营的大众点评网对网友点评内容的收集、选择和编排所汇集整理而成的整体信息,符合汇编作品的特点,汉涛公司对该汇编作品享有著作权,其他平台不得擅自抓取。
其次,可携权可能与原处理者的商业秘密或竞争性权益相冲突,如被请求信息是原处理者根据信息主体消费习惯、行为模式、联系方式所整理的具有极高商业价值的消费报告、个性化推送数据。譬如,美国新闻和评论网站PhoneDog聘请Noah Kravitz 作为产品评论员和视频博主,Kravitz 在其 Twitter 账号下积累了 17000 名粉丝,并在辞职后继续使用其 Twitter 账户、将粉丝转移到PhoneDog的竞争对手。加州法院认定Kravitz的Twitter账号信息是商业秘密,Kravitz构成对PhoneDog商业秘密的侵犯。我国腾讯群控案、微博蚁坊案、微博饭友案等案件中,法院也都支持原处理者对由原始数据聚合而成的整体数据资源享有竞争性权益,新处理者不得仅凭用户的同意而使用这些数据。
再者,可携权也可能与被请求信息所涉及的其他主体的权益相冲突。如当被请求信息为包含用户身份、工作地点、IP地址的视频,该视频同时使用了他人享有著作权的音乐作品作为背景音乐,可携权的行使就可能侵犯他人知识产权。此外,被请求信息还可能涉及其他用户的商业秘密或国家秘密,如当用户请求将包含他人商业秘密的电子邮件转移至另一电子邮件服务商,或将包含国家秘密的电子邮件转移至境外电子邮件服务商,可携权的行使就会侵犯商业秘密、国家秘密。而且,个人信息可携权也可能与他人的隐私权或个人信息权益产生冲突,这种冲突在社交平台上尤为常见,因为被请求信息很可能与多个自然人相关,如聊天记录、点赞评论、转账记录等。若用户根据可携权将某款社交App中的通讯录、聊天记录转移至另一款社交App,就涉及对第三人个人信息的未授权使用,甚至可能侵犯第三人的隐私权。
(二)围绕可携权所涉权益冲突的文献述评
立法实践中,可携权与其他权益的冲突导致可携权的入法过程曲折且充满争议。即使在可携权被正式纳入GDPR及各国立法后,围绕如何解决可携权与其他权益冲突的争议也从未停止。GDPR第20条第4款强调“可携权不能影响他人的权利和自由”。这似乎意味着,如果影响他人权利和自由,用户就不能行使可携权。但GDPR序言第63条又指出,“对知识产权、商业秘密和潜在商业风险的考量,都不构成拒绝为信息主体提供信息的理由”。GDPR序言第63条也被第29条工作组(欧盟数据保护委员会前身)制定的《数据可携权指南》(以下简称“第29条工作组指南”)所支持,即权益冲突不影响可携权的行使。这可以理解为,可携权优先于他人的知识产权、商业秘密和竞争性权益。GDPR关于如何解决可携权所涉之权益冲突的立场自相矛盾,其他国家的可携权条款也未规定可携权与其他权益发生冲突时的具体行使规则。
司法实践中,欧盟及其成员国法院更倾向于认定可携权优先。如在Schrems v.Facebook案中,奥地利隐私维权人士Max Schrems请求Facebook提供关于自己的个人数据,但Facebook只提供了一部分数据,理由是其他数据包含了Facebook公司的知识产权与商业秘密。2020年12月9日,维也纳最高法院判决Facebook公司有义务向Schrems提供Facebook所持有的关于Schrems的所有数据。英国数字竞争专家委员会在其报告中也对司法实践如何应对可携权与隐私权的冲突提出了建议,指出可携权的实施需辅以强有力的隐私保障措施。换言之,即便用户请求转移的信息包含他人隐私,只要有充分的隐私保障措施,用户依旧可以行使可携权。但该报告没有就如何解决可携权与其他权益的冲突提出指引。笔者尚未检索到我国法院适用《个人信息保护法》第45条处理可携权与其他权益冲突的案例。但前述汉涛与爱帮案、腾讯群控案、微博蚁坊案与微博饭友案,体现出我国法院认定知识产权、竞争性权益优先于可携权的倾向。
理论文献中,有学者认为应由法院在个案中根据不同权益价值的大小判断可携权是否得以行使。但这会导致可携权的实施充满不确定性。还有观点认为,只要新处理者能保证将涉及他人权益的数据使用于特定的社会合理目的,原处理者就应当转移,必要时新处理者可以给予原处理者一定补偿。但这会导致可携权的适用范围局限于“特定的社会合理目的”。王锡梓教授提出“分配正义”的概念,认为可携权涉及用户与其他个人信息主体、用户与数据处理者、数据处理者与数据接收者等多元主体之间利益的分配正义,但并没有就“分配正义”在个案中如何实施、如何解决上述权益冲突进行具体阐释。
如何解决个人信息可携权所涉及的权益冲突?如何合理界定享有可携权的个人信息的范围以减少可携权与其他权益的冲突?这些问题是影响《个人信息保护法》可携权条款能否得到顺利实施的关键。本文尝试对上述问题进行探讨。
(三)本文思路:权益冲突及其协调机制的类型化
本文将个人信息可携权所可能侵犯的权益分为两种类型,一类是原处理者的权益,包括原处理者的知识产权、商业秘密、竞争性权益;一类是被请求信息所涉及的除原处理者以外的其他相关权益主体的权益,包括其他主体的知识产权、商业秘密、国家秘密、隐私权、个人信息权益等。
将可携权所涉之权益冲突,按照权益主体的不同进行类型化区分,是因为在这两种类型的权益冲突中,权益主体对被请求信息所享有的权益性质不同。当所涉权益主体是原处理者本身时,可携权规则处理的是“用户—原处理者—新处理者”这三个主体之间的关系,原处理者对被请求信息所享有的权益,源于对用户提供的原始数据的加工整理,不是独立存在的。当所涉权益主体是原处理者以外的主体时,可携权规则处理的是“用户—原处理者—新处理者—权益主体”这四个主体之间的关系。原处理者承担信息处理者的职能;而权益主体对被请求信息享有的权益是独立存在的,不以用户的个人信息为基础。
为此,对可携权与原处理者权益的冲突、可携权与其他相关权益主体权益的冲突,也应有不同的解决路径。本文第二部分讨论如何解决可携权与原处理者权益的冲突,第三部分讨论如何解决可携权与其他主体权益的冲突,第四部分提出对我国《个人信息保护法》可携权条款实施细则的建议。
二、可携权与原处理者权益的冲突与协调
当用户请求转移的信息涉及原处理者知识产权、商业秘密或其他竞争性权益时,可携权就会与原处理者权益发生冲突。原处理者为了维护独占用户个人信息而取得的竞争优势,以自己对被请求信息都付出了劳动、享有权益为由,不希望信息被转移。如果要求原处理者同意,用户才能行使可携权,会显著提高可携权的实施成本,限缩可携权的适用空间。这不仅损害用户处理个人信息的自由,更会诱导用户根据处理者的意识形态倾向或偏好,选择性地向处理者提供信息,损害自由表达市场的形成。难以协调可携权与原处理者其他权益冲突的关键,在于可携权的权益性质不明,以至于难以厘清可携权与知识产权、商业秘密、竞争性权益等权益的序位关系。
(一)从权益位阶到权益分离
权益位阶是解决权益冲突的方法,即“基于各项民事权益保护的法益的价值以及法律设定该民事权益的规范目的,对民事权益进行序位排列,序位在先的权利应当优先于序位在后的权益实现”。目前关于可携权的性质仍有很大争议。部分欧洲学者认为可携权是一项使“个人有权控制其个人数据并信任数字环境”的根本权利,美国学者普遍将可携权作为普通权利看待,而我国还存在将个人信息权益视为一种“法益”而非“权利”的观点,即信息主体对其个人信息并不享有绝对权和支配权,只享有应受法律保护的利益。在“法益保护”说下,可携权仅仅是一种法益,而非权利。在可携权性质尚缺乏共识的情况下,自然难以对可携权和知识产权、商业秘密、竞争性权益等冲突性权益进行位阶排序。
在现阶段难以厘清可携权与其他冲突性权益的位阶的情况下,更可行的方法是将享有冲突性权益的信息从被请求信息中分离出去,避免权益冲突。而且,原处理者对被请求信息享有的权益是基于对用户所提供原始信息的加工处理,分离出原处理者享有权益的部分一般不会影响新处理者获得用户的原始信息,可携权的目的并未落空。
(二)可携信息范围的界定
1.享有知识产权、商业秘密的信息的分离
被请求信息涉及原处理者知识产权,通常是指原处理者将被请求信息以具有独创性的方式选择、编排而形成汇编作品,或者原处理者将被请求信息记录、存储在享有著作权的计算机软件上。易言之,与可携权发生冲突的知识产权通常为著作权。被请求信息涉及原处理者的商业秘密,主要是指原处理者处理、分析被请求信息可能运用到属于商业秘密的算法,新处理者可能通过反向工程、反编译等方式破解被请求信息的算法。
如前所述,目前避免可携权与著作权、商业秘密冲突的最简单方法,就是原处理者将享有著作权或涉及底层算法等商业秘密的信息从被请求信息中剥离出来,再向新处理者提供被分离后的信息。分离成本过高时,允许原处理者采取技术措施保护被请求信息中享有著作权或商业秘密的部分,再向新处理者提供加密的信息。原处理者也可以与新处理者约定,新处理者不得自行或授权、教唆、帮助、诱导他人对原处理者所提供的信息进行反向工程或反编译处理。原处理者还可以就分离信息、采取技术措施而产生的费用,要求新处理者进行一定补偿。新处理者与原处理者就补偿金额协商不成的,可以参照《著作权法》关于著作权集体管理的规定,允许双方向国家网信部门申请裁决,对裁决不服的,可以向法院提起诉讼;新处理者与原处理者也可以直接向人民法院提起诉讼。
新处理者避开、破坏技术措施的,应根据《著作权法》第53条或《反不正当竞争法》第17条、第21条承担责任,除非新处理者获取信息的目的符合《著作权法》第24、25、35、42、45、46、50条等关于权利限制的规定。新处理者利用被转移信息实现上述目的后,应及时删除原处理者享有著作权的信息。
2.享有竞争性权益的信息的分离
可携权不仅可能侵犯原处理者的知识产权与商业秘密,还可能与原处理者的竞争性权益发生冲突。尽管我国在2020年才确立可携权,但近年来各大网络平台早有关于可携权与竞争性权益的纠纷。如在微博诉脉脉案中,微博起诉脉脉非法抓取、使用微博平台用户信息,脉脉辩称其已经获得用户授权,而微博认为被抓取信息不仅包含用户利益,也包含微博的利益。法院支持了微博的主张,提出第三方获取平台用户信息时应遵循“用户授权+平台授权+用户授权”的三重授权原则。三重授权规则在微信与多闪案、微梦创科与复娱案、抖音与刷宝案等多个案件中都被采纳,被视为“开放平台领域网络经营者应当遵守的商业道德”。法院认为,如果不经原平台授权第三方就可以获得相关数据,会“不当利用竞争者的竞争利益……有违该领域的商业道德……将造成互相抄袭、复制的恶性竞争后果,不利于各经营主体提高其服务品质,不利于维护良性竞争秩序”。而根据可携权规则,只要信息主体要求,原处理者就必须将其持有的个人信息转移至第三方平台,即便原处理者并不愿意将这些信息授权给第三方平台。
可携权与三重授权规则的冲突,源于信息主体可携权与原处理者竞争性权益的冲突。如前所述,在难以判断可携权与原处理者竞争性权益的位阶情况下,解决可携权与竞争性权益冲突的最可行方法就是将包含竞争性权益的信息从被请求信息中分离出去。这就需要明确原处理者对哪些信息享有竞争性权益。尽管立法上没有对竞争性权益予以明确解释,但司法实践与理论界普遍认为竞争性权益是一种受保护的“商业利益和竞争优势”,是企业对其投入了相应的人力物力、付出了较大贡献而形成的核心竞争力所享有的权益。原处理者对被转移信息所享有的竞争性权益的正当性基础,在于原处理者在处理该信息上的投入。只有对那些原处理者投入程度较大、贡献程度较高的信息,原处理者才享有竞争性权益。
(1)处理者所持有的个人信息的分类。
经济合作与发展组织(OECD)根据处理者对个人信息投入的大小,将处理者所持有的个人信息分为四类:①提供数据(provided data),即信息主体直接提供的数据,且信息主体明确知道其行为会导致数据的产生,譬如注册用户时提供的信息、在社交媒体上发布的信息;②观测数据(observed data),即基于信息处理者对信息主体的观测并被记录的数据,如cookies中获得的数据、传感器产生的数据;③衍生数据(derived data),即对已有数据通过简单的推理或基础数学运算而得到的与特定自然人相关的新数据元素,譬如根据用户的访问次数和购买商品之间的比率计算的用户的可盈利性,根据用户的消费记录获得的消费报告;④推断数据(inferred data),即基于对已有数据的分析而形成的可以进行预测行为的数据,譬如信用风险分数、预期寿命分数、对用户的个性化推荐等。这四类数据都可以是非匿名数据,即已具有可识别性或未来具有识别可能性的数据,均在我国享有可携权的个人信息范畴内。
对于第一类数据,原处理者没有对信息进行任何处理,只是提供了获取用户信息的渠道。对于第二类数据,原平台也只是提供了观测和记录的工具,并没有对信息内容进行任何处理。对于第三类数据,原平台对数据进行了简单处理,但处理过程并不复杂,只要作为被处理信息源的个人数据不变,具有相同或相似信息处理能力的处理者也都能得到相同的衍生数据。对于第四类数据,尽管信息主体提供了基础数据,但处理者的处理过程和处理方法具有独创性,不同数据处理者会得到不同的推断数据。
目前没有争议的是,原处理者对第一类数据的权益——如果存在的话,无法阻止用户行使可携权。因为处理者仅仅为用户提供了储存信息的渠道,这一投入是一般性的、基础性的,是获得用户信息的对价。既然处理者已经实际上获得了用户数据,就没有必要通过法律对这种投入予以额外保护。新处理者要想接收转入信息,也必须进行这种投入。用户才是该类信息的贡献者。故对于这类数据,原处理者基本不享有权益,不能阻碍用户行使可携权。
但原处理者对第二类、第三类和第四类数据的投入能否使原处理者享有竞争性权益、阻却可携权的行使,则面临较大争议。这其实与我国学界所激烈讨论的“企业数据权属”问题相关:信息处理者的权益及于哪些种类的数据。这其实与我国学界所激烈讨论的“企业数据权属”问题相关:信息处理者的权益及于哪些种类的数据。由于我国《个人信息保护保法》可携权条款过于简单,没有界定用户权益与原处理者权益的关系,我国不少学者选择从GDPR的可携权制度中探求域外经验。
GDPR可携权条款将享有可携权的个人信息的范畴界定为“由用户提供(provided)”的个人信息。有学者认为应从狭义理解“提供”,认为“用户所提供的信息”仅指用户主动提供给处理者、并且知道该信息提供给了处理者的信息,即第一类信息“提供数据”。采狭义理解的理由为:从语义上,“提供”是主动行为,需要信息主体的积极行为,而不是被动被观测、被衍生。GDPR只有在可携权的条款处,才采用了“数据主体提供的个人信息”的表述,在储存权、收集权、访问权上,用的都是“同意他人获取的个人信息”,说明可携权的范围更窄,更需要信息主体本身的投入。从后果主义考量,过于宽泛的可携权会起到反竞争的效果。如果平台预期自己整理的数据可以被随时转移到另一个平台,平台就会降低对数据的投资。当原平台不具有市场支配地位的情况时,允许原平台授权第三方平台获取其用户个人信息以换取合作机会,更有助于促进竞争。另外,还有学者担心,可携权过宽会带来数据安全隐患,因为黑客可以将虚假身份移植到其他平台,将单一平台上的身份欺诈转变为多平台的个人数据泄露,从而迫使平台扩大对数据安全措施的投资,增加了平台的负担。
另一种观点则认为,广义解释更符合立法者的意图。GDPR序言第68条指出,“可携权适用于数据主体对其个人信息的提供是基于同意,或者是为履行合同所必需的情形”,说明只要是获得了用户同意,无论该信息是否由用户主动提供,都属于可携权的范畴。这也更符合GDPR序言第68条所指出的确立可携权的目的:加强个人信息主体对其个人信息的控制。“第29条工作组指南”也支持广义解释,认为享有可携权的信息包括与信息主体活动有关的个人信息或者源于对个人行为观察产生的信息,但不包括从个人信息中衍生或推断得到的数据。也即,可携权及于提供数据和观测数据,不及于衍生数据和推断数据。GDPR通过之后,取代第29条工作组的欧盟数据保护委员会也强调,“数据可携权应当有更广泛的应用,不仅仅限于数据主体提供的个人信息”。
(2)可携权及于提供数据、观测数据与衍生数据。
本文赞同采用广义解释,并且认为我国享有可携权的个人信息范围应比“第29条工作组指南”所界定的更广,应从提供数据、观测数据扩展到衍生数据。衍生数据的基础是用户的个人信息,数据处理者只是对用户信息进行了简单计算。只要是相同的用户信息,具有相同或相似信息处理能力的信息处理者都能获得相同的结果。这意味着,用户对衍生数据的贡献,远大于处理者对衍生数据的贡献,处理者对衍生数据不享有竞争性权益,不能阻却用户行使可携权。而对于推断数据,信息处理者的贡献大于用户,因为对于相同的原生数据,即便是相同或相似信息处理能力的信息处理者,由于服务性质与内容、经营方向、算法设计等的不同,产生的推断数据往往不同。而且,处理者生产推断数据的成本大于生产衍生数据的成本。处理者愿意生产推断数据,不仅是为了当下业务需要,也存在独占该数据而吸引未来交易的预期。如果将推断数据纳入可携权范畴、允许用户不经处理者同意而转移,会削弱处理者开发更先进的算法、生产能更精准预测用户行为的推断数据的激励。故应认可处理者对推断数据享有竞争性权益,将推断数据排除出可携权的范围。
将提供数据、观测数据和衍生数据都纳入用户享有可携权的信息范围,不仅有助于增强用户对个人信息的控制权、防止“锁定”效应,也不会导致“狭义说”所担心的损害数据处理者激励的后果。激励理论是知识产权法的基石。为避免他人“搭便车”影响创造者的积极性,法律赋予创造者对其创造的知识产品在一定期限内的排他性开发权,为创造者提供经济激励。但激励理论并不适用于提供、观测和衍生数据,因为这三类数据是处理者为了经营业务的需要而产生的,或者是处理者主营业务的副产品。譬如社交平台对用户评论、点赞的收集与呈现,是为了增强网络效应;电商平台根据用户消费记录整理的消费报告,有助于提高消费者忠诚度。生产这些数据的成本远低于其收益,故即便没有法律保护,处理者也会产生这些数据。即便是为数据库设立专门知识产权保护的欧盟,也设置了“副产品”(spin -off)规则这一权利例外,即由作为数据生产者主要业务的副产品的数据所组成的数据库不受保护。至于“狭义说”所担心的数据安全隐患,只要用户享有可携权、有权自行决定转移个人信息以及被转移信息的接收者,就存在数据安全的隐患,可携数据的范围的扩大并不会实质性地增加数据安全风险。而且,可以允许原处理者参考金融机构的相关规则,设置某些限制性措施来确保用户身份以保护被请求信息的安全,提高个人信息转移的安全性。
将个人信息可携权的适用范围限定于提供数据、观测数据和衍生数据,也能解决可携权与司法实践中普遍适用的三重授权规则之间的冲突。可携权其实包含了两重授权:用户对原处理者关于转移信息的授权,以及用户对新处理者关于获取信息的授权。三重授权规则增加了“原平台对新平台”这一层授权,要求原处理者授予新处理者关于获取信息的授权。根据本文建议,提供数据、观测数据和衍生数据适用可携权规则,只要个人信息主体提出转移请求,原处理者就应转移。推断数据适用三重授权规则,用户必须获得原处理者同意才有权转移,因为原处理者对被请求信息进行了实质性、独创性投入,享有决定是否转移该信息的权益。
三、可携权与其他主体权益的冲突与协调
个人信息可携权不仅会与原处理者发生权益冲突,也可能产生与被请求信息所涉其他主体的知识产权、个人信息权益、隐私权、商业秘密、国家秘密的协调问题。我国对于如何处理可携权与原处理者权益的冲突尚处于无法可依的状态,但《民法典》第1194—1197条(即网络侵权条款)为如何处理可携权与其他主体的权益冲突提供了一定参照。可以《民法典》网络侵权条款为基础,根据可携权的实施方式与特征,构建可携权与其他主体权益的冲突协调机制。
(一)《民法典》网络侵权条款的有限参照
网络侵权条款解决的是侵权行为人、为侵权行为提供服务的网络服务提供者(以下简称“网络平台”)以及权利人之间的关系。可携权主要适用于网络环境,可携权的个人信息处理者主要为线上处理者,可以理解为提供转移个人信息服务的网络平台,故可携权行使过程中用户对相关主体权益的侵犯问题,理论上也可以适用《民法典》的网络侵权条款。
然而,《民法典》网络侵权条款不足以处理用户、个人信息处理者、相关权益主体在可携权行使过程中的权利义务关系。
首先,在主体上,《民法典》调整的是“用户—网络平台—权利人”三主体之间的关系,而可携权涉及“用户—原处理者—新处理者—权益主体”四主体,这就产生了《民法典》所规定的网络平台的义务,能否直接适用于可携权语境下的原处理者与新处理者的问题。如果能,原处理者与新处理者是分别承担网络平台的所有义务,还是分摊网络平台的义务?如何分摊?
其次,在审查义务的配置上,《民法典》不要求网络平台承担一般性的事前审查义务,而将审查义务配置给权利人,权利人发现侵权信息通知网络平台后,网络平台才有及时采取必要措施的义务,即“避风港”条款。避风港条款对网络平台审查义务的免除,很大程度上是互联网产业发展初期保护网络平台的政策需要。立法者认为不应苛求网络平台对海量信息是否侵权进行逐一审查,否则将阻却信息产业的发展。相比于网络平台,权利人更清楚也更关心自己的权利,发现侵权的成本更低,故立法者选择将审查义务配置给权利人。但是,权利人发现侵权的前提是侵权信息持续性的公开展示,而个人信息处理者转移信息几乎可以在瞬间完成,也无须公示,导致相关权益主体根本无从知晓自己的权益已经被侵犯,更无法采取措施阻止、减少损失。
值得注意的是,尽管《民法典》不要求网络平台承担一般性的事前审查义务,但仍规定了在某些情况下,网络平台“应当知道”侵权的发生而需要采取必要措施。这意味着,网络平台仍承担一定的事前注意义务,或者说弱审查义务。但《民法典》以及《侵权责任法》等相关法律并没有明确这种注意义务的内容与范围,司法解释对这一注意义务的规定也不全面,甚至前后矛盾,导致司法实践对“应当知道”的认定出现论证缺位、标准混乱、概念混淆等乱象。而且,网络平台对侵权信息的注意义务与权利人发现侵权的成本有关。权利人发现侵权的成本越高,网络平台对侵权信息的注意义务就越大。如前所述,可携权语境下,相关权益主体发现侵权的成本远高于其他网络侵权情形下权利人的发现成本,故个人信息处理者的注意义务标准应高于一般网络平台。
最后,在必要措施上,《民法典》规定的必要措施包括删除、屏蔽、断开链接等,但这是因为《民法典》默认其规制的网络平台持续性地展示侵权信息,故删除、屏蔽、断开链接足以避免损失扩大。但对于个人信息处理者,信息转移是几乎可以瞬间完成的。一旦转移完成,原处理者就已经提供了服务,删除、屏蔽、断开链接无法阻止侵权信息的转移,反而可能侵犯权益主体的权利,因为权益主体可能只是不希望其信息被转移给新处理者,而非反对将信息储存于原处理者手中。
可见,鉴于线上个人信息转移服务的特殊性,《民法典》的网络侵权条款无法直接适用于可携权的语境,还应结合可携权的实施方式与特征,重塑“用户—原处理者—新处理者—权益主体”之间的权利义务关系。
(二)“用户-原处理者-新处理者-权益主体”的权利义务关系重构
构建“用户-原处理者-新处理者-权益主体”的权利义务关系,需要解决以下问题:①可携权的行使是否以知识产权人、商业秘密持有人、国家秘密持有人、隐私权人、个人信息主体等相关权益主体的同意为前提?如果是,应由谁去征求同意?用户、原处理者抑或新处理者?②对于未经权益主体同意而转移的信息,用户、原处理者、新处理者分别需要承担什么责任?原处理者、新处理者是否对被请求信息的侵权承担审查义务?③对于发现的侵权信息,处理者需要采取何种措施防止损失扩大?
1.权益主体的同意规则
前文对可携权与原处理者权益冲突的解决,采用信息分离的方式,不仅因为难以确定权益位阶,也是因为原处理者对被请求信息所享有的权益主要源于对用户提供的原始数据的加工、贡献。将原处理者享有权益的信息从被请求信息中分离,并不会导致用户丧失对其提供给原处理者的原始信息的控制。新处理者依旧可以获得用户的原始信息,只是无法获得原处理者通过投入大量人力、物力劳动而享有知识产权、商业秘密或竞争性权益的数据产品。但对于可携权与其他主体权益的冲突,信息分离未必可取。首先,其他主体对被请求信息享有权益并不是因为其对用户的原始数据进行了加工,而是因为独立提供了享有权益的原始信息。其他主体提供的原始信息和用户提供的原始信息一起构成了被请求信息整体,如聊天记录、点赞评论。如果将其他主体享有权益的部分,即其他主体提供的信息,从被请求信息中分离,会破坏被请求信息的完整性,甚至导致可携权目的落空。毕竟,用户希望通过可携权将“社会关系网络”转移至新处理者,以获得更优质的服务,单纯转移用户提供的原始信息并不能达到这种目的。其次,还存在分离成本谁来承担的问题。原处理者并没有为了其他权益主体的利益而采用加密等技术手段进行信息分离的激励。可携权一般不会为用户带来直接经济收益,故用户也不会为了行使可携权而向原处理者支付信息分离的费用。同时,由于信息的转移并非由相关权益主体和新处理者发起的,也不应由他们承担该成本。
鉴于将用户提供的信息与其他信息主体享有权益的信息相分离不可行,为解决可携权与其他信息主体权益的冲突,仍有必要确定可携权与其他信息主体权益的位阶排序。有的观点认为,用户需要经过权益主体的同意才能行使可携权,否则构成侵权。另一种观点则认为,用户有权自由转移涉及他人权益的信息,除非用户明知新处理者有不当处理个人信息的历史。由于我国《民法典》网络侵权条款已规定网络用户、网络服务提供者不得利用网络侵犯他人民事权益,为保证法条之间的协调,更可行的方法是要求被请求信息在转移前应获得权益主体的同意,以避免侵权责任。
权益主体同意的获取有三种方式:用户获取、原处理者获取,以及新处理者获取。由于个人信息的转移是用户提起的,为的是用户本身的利益,用户有最大的动力促进权益主体尽快给予转移的同意,故应将获取同意的义务配置给该用户。而且,相比于处理海量信息的处理者,用户对其主动请求转移的信息涉及哪些权益主体,有更低的识别成本。不过,更低的识别成本未必等同于更低的搜寻成本。在网络空间中,共同形成某一信息的主体之间可能并不认识彼此,也缺乏有效的联系方式。譬如甲在某点评网站上的点评,被乙丙丁等评论或点赞,而甲乙丙丁之间相互不认识。即便大多数网站为网站用户之间设置了“私信”等联系工具,但回复效率较低,甲仍无法有效联系到乙丙丁。原处理者与网站用户之间的联系成本更低。故用户在难以联系上权益主体的情况下,可以请求原处理者将通知转达给权益主体,或请求原处理者告知权益主体的联系方式。
权益主体的同意应基于对涉及其权益的信息为何被携带以及如何被携带的充分知情。故用户应充分告知或请原平台转告相关权益主体关于被请求信息的内容、转移的目的、新平台的名称或姓名和联系方式,以及新平台的处理规则、目的、方式和范围。权益主体在对上述信息有充分了解后,自愿、明确作出是否同意的决定,并及时告知用户。权益主体没有明确同意的,用户不得转移,否则承担侵权责任。
2.处理者的审查义务
若用户未经权益主体同意就实施可携权,用户需对权益主体承担直接侵权责任。原处理者、新处理者是否需要承担间接侵权责任,取决于原处理者、新处理者对被转移信息承担什么义务。
首先,处理者不承担一般性的事前审查义务。和其他网络平台一样,个人信息处理者需要处理海量信息,如果要求信息处理者对每一条被请求信息是否侵权进行逐一审查,会实质性影响信息处理的效率,减缓信息流动,削弱信息价值。但另一方面,由于信息转移的完成时间非常短、转移过程没有公开,权益主体根本无从知晓其权益被侵犯,因此也不能将审查义务配置给权益主体。由于信息处理者和权益主体发现侵权的成本都很高,更好的选择是让提出可携权请求的用户分担审查成本。本文认为,可以要求用户对涉及他人权益的信息进行标注,包括权益的类型、权益主体的姓名与联系方式等,并附带所有权益主体同意转移的证明或根据法律授权得以依法转移的证明(如对他人知识产权的合理使用)。用户没有尽到标注义务而导致他人权益受损的,应对权益主体承担侵权责任。
其次,虽然处理者无须承担一般性的审查义务,但需要对被标注的信息进行审查。对于被标注的权益是一般知识产权或个人信息权益的,处理者只需要对用户的通知是否包含了所有通知要素、权益主体的同意是否明确、用户是否提供了权益主体的同意转移证明或法律授权证明等进行形式审查。对于被标注的权益是知名知识产权、敏感个人信息、私密个人信息、商业秘密与国家秘密的,处理者还负有更高审查义务。在上述形式审查之外,还需要对用户是否征求了所有权益主体的同意、权益主体的同意文件是否为伪造、该转移是否满足法律授权的条件而无须权益主体同意、转移是否超过了权益主体或法律的授权范围等进行实质性审查。
最后,虽然一般而言处理者只对用户已标注的信息负有审查义务,但是,对于那些虽然用户没有标注但侵权信号非常明显、处理者应当知道侵权发生的信息,处理者也负有审查义务。处理者是否“应当知道”,与处理者处理信息的能力、侵权的明显程度、被侵权的权益的知名度等因素有关。而且,如前所述,权利人发现侵权的成本越高,网络平台对侵权信息的注意义务越大。由于权益主体在信息转移的情形下发现侵权的成本高于在侵权信息被持续性公开展示的情境下的发现成本,处理者的注意义务应高于一般网络平台,亦即处理者“应当知道”的门槛应低于一般网络平台“应当知道”的标准。在实践中,处理者“应当知道”的标准可以相同或相似条件下的原处理者所应采取的行为标准为基准。由于信息的转移会减损、至少不是增加原处理者的竞争优势,固然存在原处理者与新处理者是合作关系乃至利益共同体的关系,但在这种情况下,原处理者可以通过向用户征求许可的方式将用户信息分享给新处理者,而无须利用可携权。可携权很多时候处理的是原处理者不愿意分享信息以获得基于信息的垄断优势的情形。原处理者其实有意愿主动审查信息是否侵权,继而以被请求信息侵犯他人合法权益为由不予转移。因此,判断涉案处理者是否应当知道侵权的发生,可以具有相同或近似信息处理能力的处理者在相同或近似语境下能否以原处理者的身份审查出某未标注信息侵权为准。
上述审查义务及其标准同等适用于原处理者和新处理者。原处理者承担审查义务的基础在于用户利用了原处理者的服务对他人享有权益的信息进行了转移;新处理者承担审查义务的基础在于用户利用新处理者的服务储存、展示他人享有权益的信息。对转移到境外处理者的,还应满足《个人信息保护法》第38条的规定。若处理者没有履行审查义务而导致信息被转移造成对他人合法权益侵害的,处理者应与用户承担连带责任。具体而言,当原处理者和新处理者都履行了审查义务,则无须为权益主体的损失承担连带责任;当双方处理者都没有履行审查义务时,则需要承担连带责任;当一方处理者能证明自己履行了审查义务,而另一方处理者无法证明自己履行了审查义务的,未尽审查义务的处理者需要为权益主体的损失承担连带责任。只有在一种情况下,未尽审查义务的处理者可以无须承担侵权责任:原处理者没有履行审查义务但新处理者尽到审查义务并及时阻止了信息转移,没有为权益主体带来损失。但这种情况的发生概率较小,毕竟原处理者更有动力履行审查义务,从而才能以被请求信息侵权为由,拒绝转移信息以保留自己的竞争优势。
3.处理者采取必要措施的义务
处理者履行了审查义务而发现被请求信息侵权的,有立刻停止转移、停止接收的义务。新处理者已经接收的,应立即删除。同时,处理者应及时通知相关权益主体,向其告知被请求转移信息的类型及其所涉及的权益、用户的姓名与联系方式等,便于权益主体与用户进行后续协商。当权益主体发现涉及自己权益的信息未经自己同意而被转移时,也有权通知处理者。当信息尚未被转移时,原处理者有义务立刻终止转移;当信息已经被转移时,权益主体有权自己通知或请求原处理者通知新处理者停止接收或删除信息。未采取必要措施的处理者,需要与用户承担连带责任。未及时采取必要措施的处理者,需要为权益主体损失的扩大部分与用户承担连带责任。
为防止权益主体滥用权利,可以借鉴《民法典》网络侵权条款中的“反通知”“转声明”流程,即处理者有权依权益主体通知停止转移信息(原处理者)或停止接收、删除信息(新处理者),再将权益主体的通知转送用户。用户可以提出不侵权的声明,再由处理者转送权益主体。如果权益主体在合理期限内不起诉或不投诉的,原处理者应当继续转移信息、新处理者应当恢复被转移信息。如果权益主体在合理期限内起诉或投诉的,处理者应待有权机关作出生效裁决后,再依裁决内容采取相应措施。权益主体因错误通知造成用户、原处理者、新处理者损害的,用户因错误声明造成权益主体、原处理者、新处理者损害的,应当承担侵权责任。
四、我国个人信息可携权条款实施细则的构建
结合前文分析,本文对《个人信息保护法》可携权条款实施细则的制定,提出以下建议。
第一,被请求信息涉及原处理者知识产权、商业秘密的,原处理者有权从被请求信息中分离出其享有知识产权、商业秘密的部分,或者对享有知识产权、商业秘密的部分采取技术保护措施,该技术措施不得限制新处理者获得个人信息主体向原处理者提供的原始数据。原处理者有权就分离信息、采取技术措施所产生的费用,请求新处理者给予一定补偿。新处理者不得避开、破坏技术措施,除非其使用符合《著作权法》第24、25、35、42、45、46、50条关于权利限制的规定。新处理者利用被转移信息实现上述目的后,应及时删除原处理者享有知识产权的信息。
第二,原处理者有权基于其享有的竞争性权益拒绝转移推断数据。但如果被请求信息属于提供数据、观测数据、衍生数据,原处理者需应个人信息主体请求,将被请求信息转移给新处理者。为降低信息转移的安全风险,原处理者可以根据其所提供服务的性质,对信息转移采取某些限制性措施,以确保用户的信息主体身份。
第三,被请求信息涉及其他主体的知识产权、个人信息权益、隐私权、商业秘密、国家秘密的,用户应取得权益主体关于转移信息的同意,并标注被请求信息所涉及的权益类型、权益主体,否则对权益主体承担侵权责任。处理者对标注为涉及一般知识产权、个人信息权益的信息,承担形式审查责任;对标注为涉及知名知识产权、敏感个人信息、私密个人信息、商业秘密与国家秘密的信息,承担实质审查责任。对于用户虽未标注、但侵权信号非常明显、处理者应当知道侵权行为发生的被请求信息,处理者也负有审查义务。
处理者发现被转移信息涉嫌侵权的,应立即停止转移、停止接收或删除信息,并及时通知相关权益主体。权益主体发现自己权益被侵害的,有权通知处理者,处理者应立即停止转移、停止接收或删除信息,并及时将该通知转告用户。处理者知道或应当知道被转移信息侵害他人民事权益而未采取必要措施的,与用户承担连带责任;未及时采取必要措施的,就权益主体损失的扩大部分承担连带责任。
用户接到通知后,可以向处理者提交不存在侵权的声明,处理者应及时将声明转送权益主体,并告知其可以向有关部门投诉或向人民法院起诉。处理者在转送声明到达权益主体后的合理期限内,未收到权益主体已经投诉或起诉通知的,应当及时转移、接收、恢复被请求信息。权益主体、用户需要为错误通知、错误声明而造成的损失,承担侵权责任。
个人信息可携权是我国《个人信息保护法》赋予信息主体的一项重要权能,在加强信息主体对其个人信息的控制、避免大型网络平台的“锁定”效应、维护市场自由公平竞争秩序上发挥着不可或缺的作用。但我国《个人信息保护法》对个人信息可携权的规定较为粗糙,没有厘清享有可携权的个人信息的范围,没有明确可携权与其他权益相冲突时的行使规则,阻碍了可携权的实施。本文批判性借鉴了域外可携权规则和我国《民法典》网络侵权条款,对我国个人信息可携权规则提出了具体的优化建议,探讨了不同语境下可携权用户、原个人信息处理者、新个人信息处理者和其他权益主体的权利义务关系,为如何协调可携权与其他权益的冲突提供了具体实践路径。
韩旭至:敏感个人信息处理的告知同意
《地方立法研究》2023年第3期目录与摘要
《地方立法研究》投稿网站:https://dflf.cbpt.cnki.net/