SCI论文(www.lunwensci.com)
摘要 :欧盟数据可携带权立法在全球范围内产生了深远影响,但该制度存在的执法标准分 散、治理措施针对性弱等缺陷阻碍了效能实现。经反思,欧盟经验对我国数据可携带权落地的启 示在于:一是发挥行政执法监督效能,落实“ 统一执法标准 ”和“ 区分情形区别对待 ”措施;二是 建立数据产权制度, 从数据平台内部激活数据要素价值。
欧盟《一般数据保护条例 》(General Data Protection Regulation,简称 GDPR) 在全球范围内 率先以立法形式确立了“ 数据可携带权”(Right to Data Portability)。 数据可携带权的设立,蕴含 着促进个人数据流通和打破数据平台垄断的重要 意义。GDPR 实施四年来,在欧盟范围内建立了 规范的新型数据治理体系,并促进了个人数据权 利的行使和提高了国际数据法规的趋同性。从实 践数据看,欧盟成员国依据 GDPR 向数个数据平 台开具的罚单金额、罚单数量呈逐年递增趋势。 如 2021 年,欧盟共开出 312 笔罚单,罚款总额约 10 亿欧元,比 2020 年罚单总额高出 521%。其中, 2021 年卢森堡以数据滥用为由向亚马逊公司开出 了 7.46 亿欧元罚单,成为 GDPR 实施以来最高数 额的罚单。然而,欧盟数据可携带权制度受制于 法律障碍和现实阻碍,未能充分发挥畅通数据流 通和打破数据垄断的作用。对此,有必要深入分 析欧盟数据可携带权困境,归纳共性规律和特性 因素,为我国数据可携带权的实践指引提供重要 参考。
一 、欧盟数据可携带权落地路向困境分析
欧盟数据可携带权在实践中遭遇困境,既有 制度设计层面的原因,也存在执法过程中的问 题,有必要展开探讨。
( 一 ) 欧盟各成员国数据治理标准未达共识以 致执法标准差异大
在 GDPR 生效前,如德国、瑞典早在 20 世纪70 年代就颁行了个人信息保护立法,其他国家在 此之后相继出台相关法案,说明欧盟成员国之间 对于数据价值的重视存在程度上区别。在 GDPR 生效后,尽管成员国在数据治理的法律形式和法 律条款上达成共识,但在执法标准、执法效率和 执法特点等方面存在显著差异。从执法案件数量 看,西班牙、意大利和罗马尼亚执法案件较多, 占总数的 53% 。而斯洛文尼亚持续保持领罚单纪 录,故外界对该国是否真正落实了 GDPR 的各项 要求存在质疑。此外,在落实 GDPR 规定过程中, 欧盟成员国的选择性执法拉大了执法标准差距。 如意大利数据保护局开创了“ 提前付款计划”, 规 定被处罚的公司若放弃上诉权则只需支付一半的 罚款金额。对于跨域执法而言,欧盟成员国间的 分歧更为明显。这种对数据保护标准忽高忽低的 状态,表现出成员国的向心力不足。[1] 这反映出 GDPR 在个人数据权利设置中存在制度缺陷,即 构建了以可识别个人数据为标准的广泛的个人数 据概念,进而个人数据处理行为的外延得以无限 延伸。从执法过程看,如亚马逊公司针对处罚结 果称“ 罚款和补救措施是不合理和不成比例的”, 并提出上诉。除亚马逊公司外,仍有多个遭处罚 的数据平台不认可处罚依据并积极上诉,加之部 分成员国的数据监管机构人手不足,导致案件量 逐年递增且部分案件长期处于审理状态,上述情 况对 GDPR 的实践和执行造成了较多的不确定 性。[2] 从本质上看,GDPR 基于人本主义立场设立了数据可携带权制度,侧重于保护人格利益和 数据安全,但对于个人数据的流通和平台的数据 权利则关注不足。
( 二 ) 治理措施未触及平台核心利益,数据垄 断和平台歧视持续存在
欧洲数据保护专员公署发布的《2020—2024 年数据保护战略 》中指出,要减少用户对单一通 信和软件服务垄断供应商的依赖,促进市场充分 竞争。在实践中,欧盟成员国依据 GDPR 向数据 平台开出的罚单数量和金额逐年上升,但治理措 施未触及超级平台核心利益,罚金对于富可敌国 的超级平台而言可能属于正常运营成本,这说明 GDPR 对超级平台的规制成效相当有限。超级平 台为了避免法律责任,倾向于采取限制竞争的方 式以保障数据安全且达成合规要求。详言之,超 级平台的歧视持续存在,实践中多采取“ 限缩解 除屏蔽的范围 ”“增加用户访问外链步骤、难度 ” 等措施,并根据其他平台的市场份额、技术水平 等进行差异化、歧视化对待。超级平台在早期获 得数据资源优势之后,并没有推动行业数据资源 的开放,反而限制已有数据的自由流动,间接提 高中小微企业进入市场的门槛;同时,部分中小微 企业为了实现“ 弯道超车”, 恶意抓取其他平台数 据,又使得超级平台对践行数据可携带权持消极 态度。诚然,GDPR 考虑到了不同规模平台的权 利义务配置,豁免了中小微企业数据处理活动的 记录行为。有研究指出,GDPR 对于中小微企业 的豁免条款形同虚设,理由在于豁免条件与实践 情形相脱节,中小微企业在日常经营中符合豁免 条件的情形少之又少。[3] GDPR 设置中小微企业 豁免条款的初衷在于促进市场竞争,以降低法律 义务要求的方式鼓励中小微企业参与竞争。事实 上,一些中小微企业因为无法承担 GDPR 下合规 成本而选择终止欧洲业务,这显然与立法初衷背 道而驰。
二、欧盟数据可携带权实践经验对我国的启示
我国借鉴了欧盟数据可携带权制度并在《 中 华人民共和国个人信息保护法 》( 以下简称《个 人信息保护法》) 中予以确立。欧盟数据可携带 权的立法与实践经验表明,过于强调人格权的立法取向和执法过程中存在选择性、不确定性和非针对性问题,造成了数据可携带权诸多作用难以 发挥。对此,结合数字经济发展趋势和我国国情 特点得出以下启示。
( 一 ) 发挥行政执法监督效能,落实“ 统一执 法标准 ”和“ 区分情况区别对待 ”措施
《 个人信息保护法 》第六十条规定了个人信 息保护职责部门,即国家网信办和地方网信部 门。近年来,各级网信部门针对侵害个人信息乱 象展开一系列治理行动,如查处违规搜集个人信 息 APP 、查处含多个违法行为的某滴公司等,保 障了公民个人信息安全和维护了数字产业竞争环 境,民众普遍认可网信部门执法效能。在我国,网 信部门在国家数据治理体系和治理现代化中具有 承上启下的功能,对上它能够保障国家数据主权 安全,对下亦能落实数据法治建设。较之境外, 发挥行政执法监督效能实现数据法治的现代化是 我国数据可携带权得以落地的前提和依托。整体 来看,我国应完善形式数据法治和实质数据法治 有机融合的发展。在形式层面,建议落实“ 统一 执法标准 ”和“ 区分情况区别对待 ”措施,细化 数据可携带权的操作流程和监督措施。详言之, “ 统一执法标准 ”是指相关立法以法理规范和典则 为依据,网信部门依法行政,国家网信办适时出 台相关操作指南、案例指导、行政答复和开展业 务培训,不断完善实践操作标准的同时提升执法 监督水平,维护良好的数字产业发展环境。“ 区分 情况区别对待 ”是指网信部门应根据不同规模的 数据平台、不同类型的个人信息、不同特点的数 据产品,依法适用相应的法律规则。对于数据可 携带权的落地举措,强调事前防范和事中监管, 这主要包括数据平台内部合规体系建设和外部约 谈提醒、 日常检查、以案促改的监督常态化。在 实质层面,数据法治的核心在于保护公民权利, 实现数据可携带权畅通数据转移和打破数据垄 断的效能。对此,一是在落实数据可携带权相关 规定过程中,应经过正当的法律程序,保护数据 主体合法权利,造成损害的,应当给予补偿或赔 偿;二是应规范网信部门执法行为,执法权的行使 应当符合相关规则且体现维护公共利益的需要。
综上,我国数据可携带权的落地必须从中国 国情出发解决现实问题,持续发挥网信部门行政执法监督的积极作用,保障数据可携带权诸多效 能的实现,最终从形式和实质两个层面形成数据 法治的自洽。
( 二 ) 建立数据产权制度,从数据平台内部激 活数据要素价值
在数据治理中,执法的目的不在于惩罚,而 在于畅通个人数据流通和打破数据平台垄断。 因此,数据可携带权的落地措施得以有效执行的 关键在于平衡数据控制者数据权利和义务,尤其 是配置与其数据保护义务相匹配的数据权利,从 内部激活数据权益。我国《个人信息保护法 》规 定了层次不同的法律责任,能够应对绝大多数的 不法行为。我国数据可携带权的实践问题在于, 如何进一步明确数据权利归属,从平台内部激活 数据流通价值进而构建数据流通生态。数字经济 下,大数据、区块链等科技手段使得数据利用的 方式发生了显著变化,直接由数据主体提供的数 据价值并不明显,但数据经分析、整理或排列后 形成的数据产品才是提升数据价值的关键。数据 产品浓缩了数据控制者的创造性构思与设计, 因此数据控制者多采用例如权限设置、数据加密 等方式防止数据产品被竞争对手所知悉和抓取, 数据垄断亦由此加剧。对此,有必要通过合理分 配数据控制者的权利义务,尤其是通过建立数据 产权制度以明确数据控制者的数据权利和利益分 配规则,并与《个人信息保护法 》所规定的义务 相匹配,以期激活数据权利价值。我国《个人信 息保护法 》针对敏感个人信息设置了数据控制 者的特殊义务,进而在规则方面应着力实践和优 化数据权利的制度设计。[4] 目前,我国对数据产权 制度已经进行了一些有益尝试,如 2021 年 7 月深 圳市人民代表大会常务委员会公布的《深圳经济 特区数据条例 》对数据要素资产配置进行了规定, 2020 年 3 月广州市政府常务会议上审议通过的《广 州市加快打造数字经济创新引领型城市的若干措 施 》则对数据确权进行了探讨。对数据权利进行 分类和确认,核心在于平衡数据要素价值链条上 的多方主体利益,通过内部激励的方式提升数据 转移的流畅度和持续性,这又将积极反作用于个 人信息主体的权利意识和行使。鉴于我国数据产 权制度的建设和探索仍旧处于初级阶段,故应以构建国家层面的数据产权制度为目标,在一段时 期内,各地持续以积极实践的方式探索数据产权 确权规则,细化数据确权的一般情形规则和特殊 情况规范。
三、小结
欧盟 GDPR 在全球范围内首先以立法形式规 定了“ 数据可携带权 ”,具有颇多积极意义。经 过实践的检验和反馈,数据可携带权的落地效果 与预期相差甚远。这或许可以归结为两个主要原 因,一是欧盟各成员国数据治理标准未达共识以 致执法标准差异大;二是数据治理措施未触及平 台核心利益,数据垄断和平台歧视持续存在。鉴于 GDPR 对于全球个人信息保护立法的深远影响, 我国相关立法也是如此。因此,有必要审慎反思 GDPR 数据可携带权落地的难点和成因,并在此 基础上构建可行的中国路径,以期实现数据可携 带权诸多的积极效能。GDPR 数据可携带权对我 国的启示主要包含两个方面。在一方面,考虑到 中国国情的特殊性,建议充分发挥行政执法监督 效能,落实“ 统一执法标准 ”和“ 区分情况区别 对待 ”措施。持续发挥网信部门行政执法监督的 积极作用,保障数据可携带权诸多效能的实现, 最终从形式和实质两个层面形成数据法治的自 洽。在另一方面,主张建立数据产权制度,从数据 平台内部激活数据要素价值。即通过合理分配数 据控制者的权利义务,尤其是通过建立数据产权 制度以明确数据控制者的数据权利和利益分配规 则,并与《个人信息保护法 》所规定的义务相匹 配,以期激活数据权利价值。通过上述两个方面 的调整与优化,以期实现数据可携带权打破数据 平台垄断、畅通数据良性流动等作用,为我国数 据经济的可持续发展夯实权利基础和制度保障。
参考文献
[1] Bradford.The Brussels Effect:How the European union Rules th World [M].New York:Oxford Universit Press,2020:137.
[2] 高富平.GDPR 的制度缺陷及其对我国《个人信息保护法》实施的警示[J].法治研究,2022(3): 17-30.
[3] 方芳,张蕾.欧盟个人数据治理进展、困境及启示[J].德国研究,2021.36(4):49-66.157-158.
[4] 于改之.从控制到利用:刑法数据治理的模式转换[J].中国社会科学,2022(7):56-74.205.
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/falvlunwen/66686.html
