GDPR之「用戶數據可攜權」評析（三）—— 「數據可攜權」視角下的數據之爭

競天公誠律師事務所 馮堅堅 朱菁 蔣昕妍

導言：

大數據時代，在技術的推動下，互聯網平台間的數據流動日益頻繁。但是，在互聯網生態體系中，數據流動給生活帶來便捷的同時也會觸發多重隱患，尤其是含有個人信息的用戶數據。對於企業，用戶數據是其提升競爭力的法寶，企業間因數據之爭摩擦不斷[1]；而對於用戶，他們既希望能夠通過簡便的方式存儲、使用、傳輸自己的數據，但也不希望自己的數據因此而被濫用、泄露。據此，對於用戶數據流動的保護與規範刻不容緩。我們將通過三篇文章評析歐盟「The General Data

Protection Regulation」[2]（將於2018年5月25日生效，以下簡稱「GDPR」）中「用戶數據可攜權」的規則、實踐操作以及該權利在平台間數據爭議中的適用和障礙。本文為第三篇，擬以「用戶數據可攜權」的視角分析巨頭間的數據之爭，對包括用戶、企業在內的相關方的權責進行梳理，從而探討引入「用戶數據可攜權」的合理性以及存在的落地障礙。

關鍵詞：數據可攜權、GDPR、個人信息安全規範、知識產權、反不正當競爭

近年來，基於用戶數據價值的顯著提升，各大互聯網巨頭間頻頻爆發數據爭奪事件。盤點2017年，包括阿里、華為、騰訊、百度以及新浪等互聯網巨擘均被捲入各類數據之戰[3]。但是，由於法律的缺位，很多爭議只能通過行政方式調停。行政調停弊端頗多：其一，行政調停不利於明晰爭議各方的相關權責，難以為今後企業的實踐操作提供指引；其二，行政調停不利於保護用戶的利益，巨頭數據之爭最終受損的往往是用戶，但行政調停卻不能給予消費者主張權利的機會和基礎。按照現行法律法規，用戶將個人數據提供至數據控制者後，該等用戶數據的歸屬以及包括用戶在內的各方主體對於該等數據享有何種權利均未有清晰的規制。對此，用戶數據可攜權的引入，對於重新梳理用戶數據的相關規則有一定的幫助。

一、用戶數據可攜權引入的合理基礎

根據GDPR第20條，用戶數據可攜權與用戶訪問權、用戶清除權（被遺忘權）以及用戶修正權等並列，也是用戶作為數據主體享有的一項基本權利。但不同的是，相較於傳統權利賦予用戶對數據靜態層面的把控，用戶數據可攜權從動態層面賦予了用戶持續控制相關數據的權利。《數據可攜權指南》[4]（以下簡稱「《指南》」）指出，用戶數據可攜權不僅賦予用戶取得、重複利用相關數據的權利，還賦予用戶傳輸該等數據的權利。據此，用戶數據可攜權從用戶角度出發，對數據流動規則提出了新的要求，而巨頭間的角逐隨著用戶的加入也將發生新的演變。

1. 新的「數據控制者」的出現

數據可攜權的誕生強調了用戶作為數據主體、數據的提供者以及數據內容的主角，對數據享有較高的持續控制權。在數據之爭的案例中，爭奪對象大多都是用戶數據，比如脈脈對新浪微博用戶職業信息、教育信息、手機號信息的抓取，再比如華為、騰訊對用戶微信數據的爭奪。但在數據可攜權規則的視角下，前述信息的流動又有了新的「控制者」——用戶。

正如本系列第一篇文章所分析的，用戶主動提供的與之相關的信息以及企業監測用戶所得之信息均屬於用戶數據可攜權的主張範圍。[5]以華為與騰訊的微信數據之爭為例，微信認為用戶使用微信的聊天內容屬於微信數據，華為不得取得；但華為認為，該等數據系用戶所有，其經用戶同意即可獲得[6]。根據用戶數據可攜權，用戶聊天內容系用戶提供的與用戶相關的信息，且未經微信加工，屬於原生信息，故應屬於可攜數據範圍。因此，依據數據可攜權理論，如果用戶要求，微信聊天內容即可攜，騰訊和華為作為數據傳輸方和接收方，均需配合，誰也不得主導之。

2. 從根源解鎖用戶數據的流動

根據《指南》，原數據控制者作為數據傳輸方應當配合實現數據可攜權，從而負有主動向另一數據控制者提供可攜數據或相應開放埠（API）的義務。至此，用戶數據的鎖定性得以從根源得到改變。

3. 規範數據控制者對數據的獲取方式以及使用目的

與數據傳輸方相同的是，根據《指南》，數據接收方同樣應當配合實現數據可攜權，其應本著最小化原則和以實現用戶目的為準則接收和處理可攜數據。換而言之，指南蘊含了三層意思：

其一，數據接收方應遵守「接收」二字的規定，不可以主動抓取的手段獲得數據傳輸方控制的可攜數據。此處需強調，未經用戶同意主動抓取數據傳輸方控制的可攜數據當然應予以禁止，但經過用戶同意後直接抓取數據傳輸方控制的可攜數據亦不可取。

其二，數據接收方應以實現用戶目的為準則處理可攜數據，因此數據接收方不得為了超出用戶事先授權範圍對用戶可攜數據進行相應處理（例如不在用戶目的範圍之內的精準營銷甚至大數據殺熟行為），而是應遵循用戶的目的對可攜數據進行處理。

其三，數據接收方應恪守最小化原則，即在接收數據時，以為了實現用戶目的為限，接收儘可能少的數據。

綜上可見，用戶數據可攜權實際上引入了新的數據流動秩序，該秩序以數據主體的同意和持續控制能力為核心，同時要求數據控制者的傳輸方和接收方各司其職，承擔配合之義務。因此，引入用戶數據可攜權，從一定程度上明晰了用戶數據的歸屬，並對各方可對該等數據主張權利內容進行了界定，故對實踐指引有著積極的效果。同時，數據可攜權視角下，數據控制者對於流動數據的控制權在一定程度上弱化為被動配合權，故可從源頭避免數據控制者因爭奪行為產生的數據摩擦。

二、用戶數據可攜權面臨的落地障礙

鑒於用戶數據可攜權是一項創新的權利，尚未經實踐檢驗，相關理論和運用均尚存有一些矛盾和不完善之處。比如如何界定用戶數據可攜權的屬性，又比如如何平衡數據的自由流動與安全問題。對於前述問題，GDPR未作正面回答，而是直接規制用戶數據可攜權的表現形式和實際操作從而繞過理論探討，致使用戶數據可攜權的權利屬性不明晰，而這可能對用戶數據可攜權的今後發展帶來不利影響。除此之外，GDPR對於用戶數據可攜權的實踐運用也存有欠缺考量之處，我國若引入該權利，建議應對以下問題多做斟酌：

1. 與知識產權的衝突

根據GDPR第20條以及《指南》，在可攜數據含有第三人商業秘密和知識產權的情形下，應先予以摘除可能侵犯第三人權利的相關信息，再進行傳輸。但是，《指南》同時強調，數據控制者不得以此為由拒絕向數據主體提供所有信息，而是應在不泄露第三人信息的情況下，儘可能地向數據主體提供其要求的信息。

《指南》以簡單劃分的方式，將含有知識產權和不含有知識產權的信息一分為二。但是，我們認為《指南》似乎低估了現實中個人信息與知識產權相互包含的複雜性。舉例而言，若歐盟境內一名人A在某網路媒體上發表了一份或若干包含大量個人信息的數據內容（可以是文字、照片或視頻等載體形式），並獨家許可該網路媒體通過信息網路向公眾發布。從著作權角度，A對該網路媒體的許可已排除A和任意第三方對前述數據內容的信息網路傳播權。那麼，若此時A向該網路媒體主張個人信息的數據可攜權時，該網路媒體作為數據控制者所負有的提供傳輸的義務顯然與其應享有的獨家信息網路傳播權相悖。實踐中，數據控制者為獲得獨家信息網路傳播權通常需要支付相應的許可費用，但卻因為數據可攜權而無法享受應有的權利，似乎有違我國民法建立的權責義務相對等的原則。

2. 與反不正當競爭的衝突

根據《指南》，數據可攜權的目的是為了通過促進數據流動，從而鼓勵平台間的有效競爭和減少單個平台對用戶數據的鎖定效應。但是，結合我國今年的司法實踐，該等理論似乎並不能良好適用。

在「互聯網反不正當競爭第一案」中，新浪微博起訴脈脈抓取使用微博用戶信息案[7]，二審法院首次以司法判例的形式確認了企業對於其收集積累的數據享有競爭法意義上的財產權利。[8]二審法院認為，對企業而言，數據已經成為一種商業資本，一項重要的經濟投入，而數據的獲取和使用，不僅能成為企業競爭優勢的來源，更能為企業創造更多的經濟效益，是經營者重要的競爭優勢與商業資源。因此，脈脈擅自獲取並使用非脈脈用戶的新浪微博信息，無正當理由的截取了新浪微博的競爭優勢，侵害了新浪微博的商業資源。[9]

由此可見，數據可攜權理論在實踐評估數據價值時，雖重點考量了用戶在其中的貢獻，但卻對企業的努力和創造的價值不夠重視，與市場經濟中的商業邏輯存在衝突。

「GDPR之用戶數據可攜權評析」系列文章結語：

目前，用戶數據可攜權尚處於初步實踐階段，國內尚無用戶數據可攜權的提法，而僅是在（GB/T35273—2017）《信息技術安全 個人信息安全規範》第7.9條中作出類似安排[10]，但是適用範圍極其狹窄。我們認為，隨著技術推動數據流動的加速，數據的自由流動是數據價值最大化的底層需求和條件，但用戶數據可攜權能否成為被普遍認可的權利仍有很大不確定性。從本質上看，用戶數據可攜權是歐盟GDPR對個人信息權利的財產權屬性和人格權屬性的糅合與相互妥協，是效率（強調數據自由流動）與安全（強調個人隱私保護）兩種價值取向的交叉，其從一誕生就有著內在的矛盾和邏輯衝突。如何理清用戶數據可攜權背後的邏輯，吸收其中有益的規則，同時消除其與知識產權、反不正當競爭等現有權利及法律體系之間的矛盾，是用戶數據可攜權將來落地實踐與發展的重要課題。

---

[1] 近年來有關的國內知名爭議案件及事件包括：新浪微博起訴脈脈抓取使用微博用戶信息案（(2016)京73民終588號判決）、大眾點評訴百度不正當競爭案（(2016)滬73民終242號）、順豐與菜鳥的數據大戰、華為與騰訊的微信數據爭奪戰。

[2] Regulation (EU) 2016/679 of

the European Parliament and of the Council of 27 April 2016 on the protection

of natural persons with regard to the processing of personal data and on the

free movement of such data, and repealing Directive 95/46/EC (General Data

Protection Regulation) Official Journal of the European Union, Vol. L119 (4 May

2016), pp. 1- 88

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L:2016:119:TOC

[3] 《數據之爭——盤點2017年與數據有關的爭議》，作者瞿淼、董文馨。

[4] 2016年12月13日，歐盟數據工作保護組公布了Guidelines on the right to data

portability. 16/EN WP 242.

[5] 《GDPR之「用戶數據可攜權」評析（一）——認識「用戶數據可攜權」》，作者；馮堅堅，胡科，朱菁。

[6] 華為榮耀Magic手機可通過用戶在微信中的聊天信息，自動為用戶載入智能化推送信息或功能，比如天氣、時間或備註日曆事項等。

[7] 新浪微博開放自己的介面給被告脈脈使用，但脈脈卻違背相關協議，擅自抓取非脈脈用戶的新浪微博信息，從而引發雙方爭議。

[8] 《數據之爭——盤點2017年與數據有關的爭議》，作者瞿淼、董文馨。

[9] (2016)京73民終588號判決

[10] 《個人信息安全規範》第7.9條：根據個人信息主體的請求,個人信息控制者應為個人信息主體提供獲取以下類型個人信息副本的方法,或在技術可行的前提下直接將以下個人信息的副本傳輸給第三方:

a) 個人基本資料、個人身份信息;

b) 個人健康生理信息、個人教育工作信息。

推薦閱讀：