首先,正如反对意见所指出的,数据携带权会给中小企业带来更高的合规压力,从而在一定程度上阻碍市场竞争和创新。
另一方面,立足于刑事政策与预防目的之间的关系,是将一般预防还是特殊预防当作优先的目的,是主张一般预防的目的时,究竟强调其消极威慑的面向,还是凸显规范信赖的积极面向,都存在刑事政策施加作用的空间。我国宪法在司法上的不可适用性,导致其所架构的权力制约机制存在缺陷,无法切实履行保障基本权利与制约国家权力的使命。
一方面,它旨在证成政治权力结构与权力运用的正当性。值得指出的是,若是将规范有效性理解为法益的唯一内容,则规范目的所指向的便只有法益。故而,当前所称的刑法的刑事政策化,主要是指刑法适用的刑事政策化,或者更准确地说,是指刑法教义学的合目的的体系性建构。总体而言,既有的研究并没有清楚地揭示:刑事政策究竟如何对刑法体系施加作用,尤其是,其作用的合理边界何在,也就是如何控制刑事政策的问题,未见有系统深入的研究。这样的处理方式,可以说是为刑事政策与刑法体系的关系研究打开了新的思路。
二者在价值取向与思维方式等方面都存在重大的不同:前者维护的是刑法体系的安定性,后者则旨在构筑刑法体系的应变性。这表明,刑事政策想要为刑法体系所接纳,要么是与规范目的相结合,要么是与刑罚目的相结合,舍此之外,别无其他有效的途径。[21]互操作性与兼容性的区别在于,互操作性要求在用户不知道或不太清楚功能单元性能的情况下仍然可以在不同功能单元之间进行交流、运行程序或传输数据,而兼容性则要求不同的系统可以实现兼容。
原因有三:其一,这些用户并不具备与微博等企业进行平等协商的能力。腾讯公司介意的是此类数据被字节跳动公司获取,而字节跳动公司想要获取的也正是此类数据。从竞争的角度来看,数据携带权所施加的普遍性责任无疑对中小企业更为不利。[22] (三)数据携带权的争议 自从数据携带权被提出以来,围绕这一权利就存在很多争议。
此外,这种新型权利还可能因为场景不同而面临过宽或过窄运用的困境。2.公共数据中的数据携带权 对于公共部门所收集和储存的个人数据,我国对数据携带权的运用应该更为积极。
例如,当某家小型超市为消费者提供用户卡并通过这种卡收集用户信息而某家大型超市发现这家小型超市对自身形成挑战时,这家大型超市就可能希望吸引这家小型商店的用户,获取这些用户的各类消费信息。但《一般数据保护条例》中确立的大量数据权利本身就是对传统数据权利的拓展,数据主体的权利这一章规定了一系列重要权利:数据主体对个人数据的访问权、更正权、擦除权(被遗忘权)、限制处理权、数据携带权、一般反对权和反对自动化决策的权利,这些数据权利很多都并不能被传统的数据权利囊括。[68] See Guidelines on the Right to Data Portability 2017, https://iapp.org/media/pdf/resource_center/WP29-2017-04- data- portability - guidance.pdf, 2018-06-18. [69] 参见《今年浙江要这么干。数据携带权虽然非常值得追求,但也面临争议。
有学者指出,数据携带权在欧盟的实证法体系下不能成立。数据携带权将促使互联网企业不断改善自身的产品设计,以产品设计来留住普通用户。一方面,互联网的先行者效应、赢者通吃效应、倾覆效应固然会导致数据垄断,数据流通也因此会有利于打破用户黏性,增强市场竞争活力。对于社交平台企业而言,关系链数据是企业的核心资产,具有重要的商业价值,而且属于企业采取技术与措施进行重点保护的数据完全符合商业秘密的条件。
这一要求强烈鼓励行业利益相关者与行业协会之间进行合作,共同制定一套通用的可互操作的标准和格式,以实现数据可移植性的要求。[12] 重述不具有法律效力,但为《一般数据保护条例》提供补充信息,帮助相关主体理解和适用条例。
例如,这一权利可能带来技术性难题,为企业附加过多的责任。[52] 参见《一般数据保护条例》第1条第3款。
用户对于这些平台往往具有很强的依赖性,即使有同类平台或产品出现,用户也常常不会使用后发产品。造成这种困境的部分原因是,政府部门和事业单位之间的数据可携带性非常弱,亟须通过加强不同政府部门与事业单位之间的互操作性来加强公共部门的数据共享能力。丁晓东:《数据到底属于谁?——从网络爬虫看平台数据权属与数据保护》,《华东政法大学学报》2019年第5期。[32]这样,数据携带权就可能会给中小企业造成更大的合规压力。我国未来的个人信息保护法应当更多强调场景化保护与数据权利合理预期的进路,通过场景化界定与数据权利合理预期来指导个人信息保护法的制定,确立个人信息权利或个人数据权利的边界。为了鼓励创新和竞争,竞争法一般不会要求市场中的创新者共享其财产,或者帮助竞争对手轻易获取另一方的财产。
当然,企业是否拥有对数据的财产性权利,这是一个复杂的问题。[12]根据重述特别是第29工作组发布的指南,数据携带权包含如下基本要素: 第一,就权利属性而言,数据携带权首先意味着,数据主体有权下载关于个人数据的集合。
[47]我们知道,2018年发生了举世震惊脸谱数据泄露事件,[48]在此事件中,剑桥分析公司通过一款应用程序收集了30万用户的信息,并通过授权获得这30万人的朋友圈,从中获得了5000万人的信息。虽然此案涉及的是剑桥分析公司对于这5000万人信息在没有获得授权情况下的非法使用,没有涉及数据携带权,但此案所隐含的数据携带权困境却非常明显。
事实上,根据数据携带权的要求,微博反而应当配合今日头条进行数据转移,当今日头条与个人签订排他性数据协议或者限制用户的数据携带权时,此类协议就可能涉嫌违法或无效。数据携带权的支持者指出,信息隐私的关键在于对个人信息的控制。
[51]即使是对于个人数据权利最为强调的《一般数据保护条例》,也强调不能限制欧盟内部个人数据的自由流动。最后,用户黏性的降低与数据流通的加快对于竞争是好是坏,也难以进行简单判断。最后,数据携带权的行使可能侵犯企业的知识产权,因为企业所收集的个人数据可能已经符合企业商业秘密的保护标准,或者可以获得数据库的保护。此后,数据携带权面临种种怀疑和指控,并且一度在草案中被取消。
就这一点而言,数据携带权可以说是数据访问权的进一步扩张,它不仅赋予数据主体以访问个人数据的权利,[13]而且为数据主体管理和重新使用个人数据提供了更为方便的途径。作为此案HiQ公司的顾问,哈佛大学的劳伦斯·却伯(Laurence Tribe)教授指出,数据与信息的访问权是一种言论自由的权利,受到美国宪法第一修正案的保护。
但对于中小企业而言,此类合规要求可能会带来极大的压力。[14]数据携带权还赋予数据主体以自由迁徙数据的权利。
对于数据孤岛给民众带来的困扰,可能很多人都感同身受。[30]此外,数据携带权所涉及的数据可能包含他人数据,如个人图片可能常常包含与其他人的合影、个人聊天记录可能包含他人隐私。
[26] 2.数据携带权的反对意见 第一,数据携带权不能成为一种权利。第一个案例是微博与今日头条之间关于用户生成内容是否可以在用户授权前提下被爬虫的争议。随着网络平台的支配力越来越大,其对用户权益的影响也越来越大,一些专家学者在2007年提出社交网络用户权利法案的宣言,要求强化网络社会中的个人数据权利。[43] 此外,数据携带权的权利边界还可能面临过窄或过宽的困境,从而使数据携带权失去意义或侵犯其他合法权益。
但与此同时,数据携带权的反对者也指出这一权利可能带来的种种问题。有研究者主张企业对于数据拥有财产性权利。
在中国语境下借鉴与运用数据携带权,首先要避免在个人信息立法中照搬照抄欧盟的数据携带权规定。[36]其后,现代数据隐私法的权威阿兰·威斯丁又提出了积极性的信息权利或数据权利的概念,将数据权利界定为个人对自身信息的积极性控制。
根据这种观点,数据的本质其实是一种言论,而言论的本质就是流通和共享,具有公共属性。一方面,当把数据携带权界定为只是数据主体提供的与数据主体有关的个人数据[44]时,很多数据将不能被纳入数据携带权的范围,如个人在云服务器上储存的与个人无关的视频文件,在电商平台上留下的用户评论。
