中国人权领域唯一专业网站
首页>出版物>《人权》杂志

我国实践中个人信息可携权的优化进路——基于66款App隐私政策实证分析

来源:《人权》2024年第3期作者:李锦华
字号:默认超大| 打印|

我国实践中个人信息可携权的优化进路

——基于66款App隐私政策实证分析

李锦华

内容提要:虽然现有法律规范和司法实践能够为个人信息可携权提供基础性指导,但通过对66款App隐私政策进行实证研究,从是否规定个人信息可携权、是否能够自行导出副本、是否有文本示例、是否需要身份验证、副本文档是否加密、所涉个人信息范围是否一致等方面进行考察可知,可携权实施存在障碍。这种实践差距一方面是由于对个人信息可携权利的误解,另一方面是由可携权的负外部性、实践成本与技术局限所导致。在对可携权重新思考的基础上,通过法律推动可携权的实施,以技术为导向的操作改进,响应流程机制的细化,以及增强系统互操作性等多层面的优化,在一定程度上可以消解个人信息可携权的实践难题。

关键词:个人信息可携权 查阅复制权 信息转移权 隐私政策 技术操作性

一、我国个人信息可携权的立法与实践

(一) 个人信息可携权的法律构造

个人信息可携权的明确规范是在欧盟《一般数据保护条例》(GDPR)第20条,通过其表述可以将个人信息可携权划分为两个层次:一是个人信息主体需要向控制者请求个人信息的导出,二是将所获得的信息传输到另一个控制者。从这个概念层次划分来看,我国《个人信息保护法》第45条规定也属于可携权的范畴,可以得出与GDPR第20条相同的两个层次划分。第一个是查阅、复制(或获取副本),第二个是转移至其他信息处理者处(即转移)。虽然我国没有用“个人信息可携权”的表述,但根据条文定义可知,其亦属可携权之义。当然,权利的具体内容和限制条件由于各国的历史、文化等背景差异会有所不同,但不影响对概念表达的共识。我国之所以没有直接用“可携权”表述两个层次合二为一,也是因为考虑到尽管GDPR已经实施多年,但由于缺少进行信息转移的有效基础设施、可操作性的系统,以及信息传输技术难度等原因,跨平台信息转移的权利未能真正实施,目前可携权的实施还停留在第一层次的个人信息复制权。为了第二层次转移权的实现,欧盟展开了诸多努力,诸如《数字市场法》《数字服务法》《非个人数据自由流动条例》《数据法案》等规范的颁布,都包含了促进可携权实现的意图。为了与国际、学界通用表达衔接,本文使用“个人信息可携权”的概念,将《个人信息保护法》第45条中的三款内容囊括进来讨论。根据该条文规定,可以对其进行如下结构性解剖:

首先,可携权的权利主体。第一个权利主体是自然人。从个人信息保护法的域内外立法沿革来看,所涉规范保护的主体也是自然人。值得注意的是,《个人信息保护法》第49条规定自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者相关个人信息行使本章规定的查阅、复制、更正、删除等权利。故而,除非死者生前另有安排,死者的近亲属可以成为死者个人信息可携权的权利行使主体。第二个权利主体是信息处理者。可携权中的信息处理者理论上是大于等于两个。因为可携权的第二层含义就是将信息从此信息处理者转移至彼信息处理者处。即从A转移至B,B只是泛指,而不是仅仅只能转移给一个信息处理者。

其次,权利客体。个人信息可携权的权利客体是个人信息。有学者将个人信息的范围分为四个维度:个人直接提供的信息,系统自动收集的信息,推断信息以及预测信息。可携权中规定的个人信息可以解释为仅为个人提供的信息,也可以解释为包括自动收集、推断和预测信息。考虑到可携权的设定目标是加强个人自主选择和信息自决,同时打破数字市场锁定效应和降低转换成本,应当采取更广泛的解释方式,对其可携的信息范围作最大限度的解释。但仅根据我国《个人信息保护法》第45条的条文表述,尚无法判断可携信息范围。

再次,权利内容。根据前文所述可知,《个人信息保护法》第45条的权利规范可以细分为两个层次。第一个是查阅、复制个人信息的权利。第二个是转移个人信息至其他信息处理者处的权利。第一层次允许个人获取其信息副本,第二层次转移权如何实施,诸如操作流程是通过个人请求获取副本后,再请求向第三方信息处理者转移,还是可以越过第一层次的查阅复制请求,直接要求A信息处理者向B信息处理者传输等问题尚不明晰。相对地,信息处理者负有保障该权利行使的义务,包括建立便捷受理请求的机制,及时告知信息传输情况的义务,以及安全保护信息传输等。我国《个人信息保护法》第50条规定,“个人信息处理者应当建立便捷的个人行使权利的申请受理与处理机制。拒绝个人行使权利的请求的,应当说明理由”。面对信息处理者拒绝权利行使请求的,个人还有权提起诉讼。

又次,权利限制。根据《个人信息保护法》第45条第1款可知对个人信息查阅、复制有两个限制:一方面,如果有《个人信息保护法》第18条第1款规定的法律、行政法规规定应当保密或者不需要告知的情形的,可以不响应其查阅、复制的请求;另一方面,《个人信息保护法》第35条规定国家机关为履行法定职责处理个人信息应当按照有关规定履行告知义务,但如果有第18条第1款规定的情形或者告知将妨碍国家机关履行法定职责的除外。虽然从条文上来看,该权利限制是针对个人信息查阅、复制权,但是根据可携权的整体构造可知,如果没有查阅、复制权的实现,个人信息转移权利将失去可实现的对象(信息副本)。故而,应将该限制视为对个人信息可携权整体的除外规定。针对第二层次转移权的部分,《个人信息保护法》第45条第3款对其增加了一个限定——“符合国家网信部门规定条件的”才应当提供转移的途径,而何为国家网信部门规定的条件有待进一步解答。

最后,权利实现方式。目前我国就提供副本的形式和时间暂无明确规定,我国没有采用类似欧盟“结构化、常用的、机器可读的格式”的表述,因此,理论上可携权可以是以信息处理者为个人提供经过整理的、可以普遍使用的且机器可读的信息副本的方式实现,也可以是信息处理者直接通过信息转移通道将个人信息转移到个人所指定的信息处理者处的方式实现。

(二) 个人信息可携权的App实践现状

本文参照《互联网平台分类分级指南(征求意见稿)》的平台类型,根据常用度和知名度,选取涉及网络销售类平台、生活服务类平台、社交娱乐类平台、信息资讯类平台、金融服务类平台等的66款常见App作为分析对象,从App隐私政策中是否规定可携权,是否可自行导出副本,自行导出副本的方式、限制以及所提供的副本信息范围等多方面描述个人信息可携权实践现状。经实证分析可得,在选取的66款App中,没有使用“可携权”的表述。有56款App规定了个人信息复制权,10款App隐私政策未提及个人信息复制权。在56款规定了复制权的App中,是否可自行导出副本,是否提供文本示例,获取副本的渠道以及副本所包含内容范围也存在差异。

首先,在56款规定了个人信息复制权的App中,有51款明确指出了个人可以获取个人信息副本。其中,仅有23款提供了个人自行导出副本的方式,有5款App在隐私政策中说明了个人具有查阅、复制的权利,但是只提供了查阅、访问的方式,让个人可以查阅、访问获取,但不能自行导出副本。其他28款则需根据隐私政策中提供的联系方式进行获取副本的请求。在23款可自行导出副本的App中仅有3款提供了所提供副本的文件示例。在可自行导出副本的App中,除了WPS是通过发送短信的方式提出下载副本的链接外,其余则需填写邮箱,通过邮件提供下载方式。同时,在填写邮箱发送副本下载链接时,有13款App还需通过手机短信验证码(腾讯会议需邮箱验证码)进行身份验证,其余10款均直接填写邮箱即可。

其次,在66款App中能提供自行导出副本的23款App中,其副本所涉及信息内容大多集中在头像、昵称、登录名(用户名)、手机号、注册时间、性别、邮箱、生日、设备信息。App与第三方共享的个人信息,一般在App的内部可以自行查阅,但均不在前述提供副本App所提供的副本信息范围内。也仅有个别App副本涉及浏览记录(爱奇艺观影记录)和订单信息(滴滴青桔)。与诸如头像、昵称、用户名、注册时间等信息相比,与个人信息处理情况相关的个人信息更值得关注。此外,上述副本文件所涉信息中,个别涉及可能会被视为“敏感”的个人信息,如身份证号码、婚姻状况和身材尺码,这一类型的信息副本的获取可能增加隐私风险和安全问题。

再次,在66款App中能提供自行导出副本的23款App中,其提供的副本格式存在不一致的情况。在提供副本的这些App中,其提供的副本文档格式有5种类型,包含Excel、Txt、PDF、Html,以及直接以文字展示在邮箱正文中的形式。其中快手提供的副本要求用WPS打开,不支持Excel。QQ浏览器、腾讯会议和哔哩哔哩直接在获取链接的邮箱正文内展示其副本内容,唯品会、微信的副本通过Html链接的方式呈现。通过Txt文本和Excel格式提供的副本信息存在无法显示头像图片的问题,在Excel格式中,头像无法显示,在Txt文本中头像图片只能以链接方式跳转新的页面展示。

又次,在66款App中能提供自行导出副本的23款App中,有6款App提供的文件处在加密状态,需要密码进行解压才能查看。副本文件所需要的密码有的附随在发送下载链接的邮件内,有的是通过App中的消息栏进行发送,个别则是通过短信发送。在需要解码的加密文档中,个别仍需要通过注册的手机号码进行再次验证。在此基础上,在下载这些App所提供的副本文件时,有4款还需要通过设备扫码登录才能下载,从实物上,需要手机或其他物联网设备进行扫码登录,而不能直接在网页上通过账号密码登录。在本文所进行的23份副本获取中,QQ在通过设备扫码时还要求扫码设备与网页登录所连接的网络以及经常使用地一致,否则可能出现登录失败的情形导致无法下载。

最后,提供自行导出副本的23款App,响应请求的速度较快,绝大多数均是即时或在几分钟内就发送到了所填写的邮箱。它们在所提供的链接的时效性问题上存在差异,除了以邮箱附件形式发送的文件下载时效取决于邮箱附件下载规则,以及直接在邮箱正文体现副本内容的3款App,绝大多数下载均在7日内有效。其中,学习强国和淘宝时效性为30日,微信和唯品会72小时,京东24小时,滴滴青桔则为30分钟。同时,滴滴青桔当日内只能申请获取副本一次。另外,淘宝所提供的链接不支持在手机端下载,而且链接在下载文件后即失效,如需再次下载则需要重新申请。

(三) 个人信息可携权的司法实践

在我国首例个人信息可携权相关的纠纷案参见广州互联网法院(2022)粤01民终3937号民事判决书。中,一审法院认为查阅复制权的行使请求不以证明查阅动机合理性为前提,亦不以实名认证为前提。所提供的副本格式应以结构化、通用的、可读的、可下载的形式提供,但不包括截屏,也不包括App设置的查阅方式(这属于查阅权范畴)。同时二审法院将提供副本的时间延长至30日。该案中,法院认为唯品会作为信息处理者应当提供的信息副本范围如下:

针对第三方SDK收集的个人信息是否属于可携权的范围的问题,二审法院认为因为未有证据显示唯品会公司收集了上述信息,故而对原告要求唯品会公司向其披露上述信息的诉讼请求不予支持。因此,如果没有证据证明信息处理者参与了第三方SDK所收集的个人信息处理,原则上第三方SDK收集的个人信息不属于个人信息复制权所涉的副本范围。

针对提供副本的形式,法院认为应当以电子副本的方式提供相关个人信息及其处理情况,应当采取书面形式,可为纸介质或者电子介质,电子化副本不限于Excel、Word文档等形式。但对于唯品会主张的用户可以通过查阅方式获悉相应信息,可以通过截图等方式获取信息内容的形式,法院不予认可。

针对提供副本的时间,一审法院判决为10日,二审法院考虑其副本信息收集需要一定的时间和成本,故而将提供副本的时间延长至30日。

二、我国个人信息可携权立法与实践存在差距

(一) 个人信息可携权的政策嵌入力度不足

经分析可知,在选取的66款App中,仅有56款App规定了个人信息复制权(大多用复制、获取副本的表达方式,暂无转移、可携的表述),仍有10款App隐私政策未提及个人信息复制权,更无具体行使路径。在56款规定个人信息复制权的App中,仅有23款提供了个人自行导出副本的方式。尽管App未在隐私政策等文本赋予个人信息可携权,并不能阻却个人依据《个人信息保护法》所享有的信息可携权,但是隐私政策不论是作为信息处理者的自律声明,还是作为格式合同,起到符合法律规定的个人信息处理履行告知义务、贯彻透明度原则的功能。使用App的个人不能完全知晓其在法律上拥有的全部权利,对于在使用App过程中遇到的疑难问题,通常会最先在App内部的文件说明设置流程中寻找解决方式。因此,隐私政策中有关可携权的缺失,将导致个人不清楚自己所享有的信息权利,进而阻碍了个人信息可携权的实现。个人需要通过其他方式了解和行使可携权,例如,与信息处理者联系提出诉求,向有关部门投诉,或向法院起诉等等,这些途径相比于自行阅读和操作可携权行使流程而言,需要花费更多的时间和精力,不仅增加了个人行使权利的成本和压力,也会给信息处理者和有关部门带来诉累。

(二) 个人信息可携权的权利客体形式复杂

在前述23款可自行导出副本的App中,其提供的副本下载文档格式涉及Excel(7个)、Txt(9个)、PDF(1个),Html(2个),和邮件内容中直接展示(3个)多种形式。其中仅快手提供的副本需要使用WPS打开,不支持Excel。这就要求个人在未安装WPS软件的情况下,为获取该副本而需要额外下载新软件。而直接在获取链接的邮件正文内展示其所提供的信息,这种副本形式无法独立发送和分享,这将导致可携权中第二层次的转移权受阻碍。在Excel格式中的头像图片无法显示,这属于信息展示不完整。而Txt文本中头像图片只能通过点击图片打开一个新的页面读取展示,信息无法在同一界面呈现,展示界面割裂,而且Txt文本和Excel格式对于副本信息内容的呈现不如PDF格式来得直观和美观。形式多样的副本格式,缺乏标准化、兼容性和互操作性,增加了信息传输转移的障碍。一方面,个人需要同时拥有可以读取这些副本的软件和系统;另一方面,各App下载副本形式互不统一,难以相互对应,信息处理者也需要拥有可以容纳其他副本格式的软件和系统。这进一步要求信息基础设施底层技术的开发人员需要同时掌握多种系统程序的技术,不仅要知晓己方的信息处理系统,还要了解对方的处理系统,才能为实现系统与系统、平台与平台之间的移转传输打下丰富的理论与实操基础。相关人员需要去校准双方或多方的复杂系统框架、相关设置以及定制化的接口来适应可携权的请求,实现无阻碍的跨平台移转,这对信息处理者的负担是显著的。

(三) 个人信息可携权的权利内容范围不一

就提供自行下载副本所涉及的信息内容来看,副本所涉信息范围明显小于其隐私政策所规定能够查询的信息范围,即存在查阅权的信息范围与可携权的信息范围不一致的情形。对于平台与第三方共享的个人信息,一般在App界面中可以自行查阅,但均不在前述提供副本App所提供的副本信息范围内。我国《个人信息保护法》对查阅权的具体范围暂无规定。有学者主张个人所请求复制的信息内容与查阅获取的内容应当一致。但根据唯品会案件和本文抽取的66款App操作可知,个人信息在App内部可自行查询的范围远远大于其提供下载副本所展示的信息。法院在判断唯品会需提供副本的个人信息范围时,考虑的是所涉信息与个人信息的相关性及对个人信息处理情况的影响性。法院认为查阅复制权的客体不仅包含个人信息本身,还应当包括个人信息处理情况。从这个意义上讲,法院认为查阅复制权的客体是个人信息+个人信息处理的情况。但是对于何为“个人信息处理情况”则需要在具体场景下确认。个人信息处理的情况是否包括自动化处理决策所涉的逻辑、所考虑的因素以及各自权重,是否包括推断数据,个人信息查阅和复制权所涉及的个人信息范围是否应当保持一致,复制权所涉的个人信息范围是否与可携权的范围一致等问题尚不明晰。

此外,共享所收集个人信息的第三方自行收集的其他个人信息是否属于理应披露提供副本的范围问题未明确。个人信息共享意味着将已收集的用户个人信息与第三方进行分享,从而在信息处理者和第三方之间形成对用户个人信息的共同处理关系。第三方在取得用户个人信息后可能通过再次处理,甚至再次共享,对该信息进行再利用,用户对于该个人信息的共享往往缺乏认识。尽管在大多数隐私政策或个人信息收集清单中提供了个人信息主体查阅该共享信息的对象和具体内容的途径,但这些信息仍然不在所提供的信息副本中。在唯品会案中,法院支持了副本应当包括与第三方(包括第三方支付机构)共享的个人信息,涉及第三方的具体名称以及共享给第三方的用户个人信息,包括信息种类、信息内容、使用目的、使用场景和共享方式。但针对“第三方SDK收集的个人信息”是否应当提供副本,法院认为根据现有证据未能证明唯品会公司收集了上述信息,故而不予支持。但是,第三方SDK收集的个人信息可能存在超越唯品会公司共享的其收集的用户个人信息范围,即使唯品会公司没有参与这部分信息的处理,但个人信息的权益仍然应当受到保障,个人如何主张这部分信息权利存在难题。

(四) 个人信息可携权的权利边界存在规范空白

实际上App中所涉个人信息往往与他人有关,例如,微信、QQ等社交平台中发布的照片、视频等可能含有第三方的信息。但根据上文分析可知,所获取的信息内容范围较窄,仅仅与个人相关,大多涉及一些无关痛痒的信息,在所分析的隐私政策中也未提及与第三方权益冲突时的解决方式。由于社会的互联交互,个人信息往往与其他人的信息交糅在一起,而获取个人信息副本具有信息泄露、侵犯他人信息、隐私和其他合法权益的风险,例如,提供副本可能损害商业秘密或知识产权。此外,尽管信息处理者对提出获取副本请求的信息主体身份存有合理怀疑时,可以要求信息主体提供额外信息以确认其身份;但这些额外的用以验证身份的信息可能导致信息被过度收集,与其他信息结合后使得某些已经去识别化的信息被重新识别,增加隐私、信息侵犯的风险。而且,就调查的样本来看,仅通过简单的验证手段就可以获得个人住址、身份证、婚恋等敏感信息存在相当大的安全问题。如何协调个人信息可携权与其他利益的冲突和紧张关系,减少其带来的负外部性问题值得探究,这可能需要一种逐案处理的方法。

(五) 个人信息可携权的行使程序烦琐

通过前文App实证分析可知,个人信息可携权第一层次复制权的实现,需要经过多重操作,包括需填写账户密码、手机验证码、解压文件密码,甚至需要已登录账户的设备扫码再次登录等环节。对于所获取副本文档进行加密的情况,加密文档需要密码解锁,所需密码或附随在邮件中,或通过手机短信发送,或通过App内部信息栏发送。文档加密和解密过程需要额外资源和时间,可能导致信息传输速度变慢,个人在访问相关信息时可能会经历更长的等待时间。这种延迟不仅影响个人需求实现的即时性和流畅性,也可能在某些时间敏感的应用场景中造成不便。而且,在本文考察的提供自行导出信息副本的23款App中,有13款要求进行身份验证。大多数是通过给绑定的手机号发送验证码的形式验证(有1款是以邮箱发送验证码)。由于目前我国立法尚未明确要求核验身份,更未规定身份验证的具体形式和要求,因此各大App也未能达成一致。唯品会案中,法院认为唯品会作为信息处理者,对于个人提出的查阅复制请求,应当采取相应的技术措施验证个人的真实身份。根据前文对选取的App提供的副本信息内容分析来看,副本所涉的个人信息较少,涉密或其他关联性极强的信息极少,即使在填写副本下载链接的接收邮箱前不需要身份验证,也可能无伤大雅,过多的操作流程和身份验证程序,将导致个人的权利行使成本增加,削弱个人权利请求的动力,不利于个人方便快捷了解相关信息以及满足副本获取和流通传输需求。因此,对于这部分关联性不强、所涉影响较小的信息副本的获取,是否应当将身份验证作为获取可携权的前置程序,是否需要通过账户密码登录、手机验证码、设备扫码登录等多重验证程序,对于副本的加密及所提供的下载链接容易失效而需要再次发起请求的操作是否合理,值得思考。

三、我国个人信息可携权立法与实践差距成因分析

(一) 被误解的个人信息可携权

从全球个人信息保护立法过程来看,大多数个人信息保护立法吸纳了信息自我控制的理论,采用了以自治为核心的个人信息权利体系,强调了个人在数字化时代对个人信息的控制,展现了对个人自主权的高度重视。但是,个人信息保护的目标不是防止处理信息,而是保护个人信息不被不当处理。个人信息可携权中包含的对信息控制的表达的确是个人信息保护的重要目标,但并不是绝对的控制。将可携权理解为以个人主义为核心的权利,可能会引发对个人信息保护权利绝对化的误导性解释,导致将赋予个人信息权利作为自主决定权利的最终价值,产生相关法律刚性的增加和缺乏可塑性的风险,无法满足当代和未来信息社会不断发展的挑战。个人信息在互联网商业模式运营中的关键作用,使信息成为一种重要的竞争资源,个人信息所蕴含的经济效益和竞争优势使得信息的收集使用容易受到封锁。具有优势地位的信息处理者能够通过数据权力锁定个人,排除他人获取信息。个人信息保护立法将个人信息可携权赋予个人,是为了应对这一问题,防止个人被“封锁”进而自主选择权受到损害的情形,同时也能防止数字市场不正当竞争和垄断现象的发生,保障其他信息处理者对信息的公平获取,维持良好数字市场的竞争环境。一方面,对于可携权第一层含义查阅复制的赋权规范,作为个人信息可转移权的前置条件,是为了避免个人被平台锁定,是对数据权力的一项制衡手段,只有个人能够了解、获悉对其个人信息处理的行为过程,才能获得自由发展。对个人而言,获取个人信息是确保信息自主的关键,有助于防止信息处理者利用权力不平等的信息处理关系不当限制个人信息主体的合法权益。另一方面,对于可携权第二层含义转移的赋权规范,是为了降低锁定效应、垄断的可能性。信息跨平台转移有利于打破信息处理者对信息的绝对控制地位,促进市场流通、资源配置和利益分配。可携权的设定,要求信息处理者相关系统之间需要达到某种程度的连接,实现信息跨平台的自由传输。从信息自由迁移的角度来看,个人可以按照自己的意愿在不同的平台之间自由转换,个人的可选择对象的增加,为信息处理者更好履行个人信息保护义务和责任提供压力和动力,促进信息处理者努力完善自身,维持用户粘性和信息资源,为信息市场竞争带来良好效应。同时,法律也规定了可携权的例外情形,对于可携权作出了一定的限制。

因此,可以发现,个人信息可携权并不是静态的控制,而是可以用来与其他利益进行权衡的工具性权利。它是一种与信息处理环境以及信息处理技术相关条件紧密相关的权利,是为了促进信息在合理的框架内流动,而不是为了遏制信息的处理和流通共享。

(二) 负外部性影响

从个人层面来看,个人信息可携权属于积极性权利,但是这种积极性权利与消极性的隐私权益可能存在紧张冲突:个人信息可携权可能增加侵犯自己消极隐私的风险。可携权的行使会导致信息处理者为满足个体行使查阅、复制和转移信息的请求而收集更多个人信息,并延长个人信息存储时间。例如在美国《加州消费者隐私法案》中响应访问请求的信息内容需要包括自请求提出之日起往前推算12个月的信息。信息大量和长时间的存储与信息收集最少化、必要保留时间相悖。同时,信息处理者对提出请求的信息主体身份存在合理怀疑时,可以要求个人提供额外信息以确认身份。这些额外的、用以验证身份的信息可能导致信息过度收集,甚至可能与其他信息相结合产生新的侵犯隐私风险。此外,个人信息往往不是纯粹与个人相关,所要求提供的信息副本可能与其他人的信息是交织杂糅的,例如,如果A想把照片转移到其他平台,但是这些照片包含了B的图像,在这种情况下,B是否有权控制自己的信息,阻止该照片的转移?即传输有关他人信息的能力可能会引发具有挑战性的隐私问题。如何保障个人信息可携权的行使不会侵犯他人的合法信息权益,如何协调可携权与其他利益的冲突等问题值得探究。欧盟WP29工作组已经认识到个人信息可携权对安全带来的风险问题,但只表示所采取的安全措施不应阻碍个人信息可携权的行使。

从信息处理者角度来看,维护个人对信息的自主控制和商业运营的目标相冲突的。信息是数字经济和社会的重要资源,能够极大提高社会效率、创新性和竞争力,要充分发挥信息的巨大潜力,信息的获取和可用性至关重要。对于信息处理者来说,尤其是想在信息市场占据主导地位的信息处理者,需要投入时间、精力和人力的成本对信息进行长期的收集,分析和维护,以充分发掘信息处理的商业价值。例如,某网站对用户的品位、休闲活动等个人信息进行收集处理,通过分析这些信息为客户提供服装穿搭最优建议。而通过个人信息可携权的行使,使用户能够把这些信息转移到另一个在线零售服装店;对通过这些信息的获取,该在线零售服装店也能够使用这些信息来推荐最佳服装组合。这样做的后果是,最初针对这些信息进行处理分析的信息处理者的投资和竞争力会遭受损失。从这一角度看,如果信息可携权得到无条件实现,信息处理者处理信息以提供信息产品或服务上的基础动力就会降低,这也将进一步导致以信息处理为核心的数字时代社会的发展空间受阻。

(三) 操作难度的阻碍

从个人角度来看,信息可携权的行使存在阻碍。一方面,由于平台提供的信息产品或服务已经成为用户日常生活的必需品,且在信息市场中难以找到其他可替代的同类产品或服务,或者切换平台需要耗费大量的成本,信息迁移的费用也会阻碍个人信息的跨平台转移,故而用户容易被占据主导地位的平台锁定,这进一步巩固了平台的主导地位,导致恶性循环的不良后果。因而,即使发生了一些数据泄露丑闻,如Facebook与剑桥分析公司案件,Equifax的数据泄露事件,以及滴滴出行泄露个人信息被处罚案,也没有产生大量用户转向其他平台的严重后果。另一方面,个人可携权操作也面临与其他权益冲突的权衡问题。例如个人信息可携权的行使不能损害第三人的合法权益。根据欧盟GDPR的规定可知,第二个信息主体的隐私和删除权比第一个信息主体的可携带权更重要。此外,还需要考虑如何协调商业秘密或其他竞争性信息权益与信息可携权利之间的冲突问题。这些权益冲突的权衡很大程度上需要根据特定的场景进行分析,这给信息可携的操作带来了不确定性。

从信息处理者的角度来看,目前还不清楚信息处理者之间的直接传输在技术上应当如何实现,不同信息处理者之间的信息传输操作复杂。信息转移的操作技术障碍除缺乏标准化、兼容性和互操作性的系统外,还面临同时掌握多种底层技术的开发人员匮乏的挑战,这也为信息可携带来了很大阻碍。不管是从一个平台迁移到另一个平台,还是同时使用这两个平台,信息处理者都需要去开发和校准复杂的技术框架、相关设置以及定制化的接口来适应其他处理者的平台系统。操作技术的研发和维护,以及与其他信息处理平台的接洽和协调都需要大量资源的投入,这些操作系统的搭建对于微小信息处理者来说存在负担过重的不利后果,即遵从信息可携要求所带来的经济负担可能会损害中小型企业的信息商业发展。

四、我国个人信息可携权的优化进路

信息处理者的信息处理需求与个人信息权利之间存在着一定程度的紧张关系,个人信息权利作为一种工具,用以规范分析信息处理活动的具体风险,从而减轻权力结构的失衡。有学者认为:“无论是依据《民法典》个人信息条款还是依据《个人信息保护法》提起诉讼,都应将其视为类似向监管机构提起的申诉。”不论是在司法裁决中,还是信息处理者对于申诉/请求的响应中,都需要对相关要求/诉求从治理的角度进行分析,对个人信息处理规则和信息处理活动中的一系列权利的请求和主张需要在具体场景中分析不同的权益是否有利于信息处理关系的治理。故而应当以解决问题为导向,扩大各主体参与的力量,探索问题解决之道,并且认可各主体之间相互依存关系的问责体系。通过法律的完善、对可携权利重新理解。

(一) 个人信息可携权利重思

首先,无论是欧盟、美国还是我国的《民法典》中个人信息条款、《个人信息保护法》调整的主体关系都是围绕着“处理关系”展开,不是传统意义上针对国家的诉讼或针对平等主体的民事诉讼,这种信息权利并非一种绝对民事实体权利,例如,信息处理者在隐私政策中未赋予个人信息主体可携权利,很难说个体就受到了“损害”,或者人格权益受到了重大侵害。即使未在隐私政策等文本中赋予个人信息可携权,信息处理者可能会受到相关部门处罚,这也并不等于其侵犯了个人信息权利,信息处理者未规定个人信息可携权并不能阻却个体依据《个人信息保护法》所享有的信息权利。

其次,个人信息可携权不是一项排他性的实体权利。可携权的行使需要与信息自由、公众知情权、商业运营等合法权益进行平衡,“下沉至具体场景和行为之中”。个人信息不仅具有公共性,还可能涉及其他人的信息权益,因此可携权的行使需要结合特定场景中关涉的合法权益进行分析,具有场景动态性。此外,个人信息可携权不是一种绝对性权利。原则上对于提出可携权的请求的方式没有具体形式上的要求,书面、口头、电子邮箱、电话等方式均可。但如果信息处理者为可携请求的行使专门设立了特定的邮箱、通信方式,以合理的方式告知并能表明个人能够获悉相关渠道,那么信息处理者没有义务对发送到其他邮箱、通信地址、电话等随机或不属于特定渠道的请求进行处理。且针对不同的信息处理者可请求的信息范围存在差异。相对地,信息处理者回应个人信息可携权的具体方式也有所不同,可能因为个人所请求的信息数量、范围、技术操作处理难度等而异,如本文所涉66项App提供副本的格式和信息内容以及响应速度存在差异。可携权更像是“一种程序性权利,回应机制应被视为一种沟通机制或客服机制”。因此,不应孤立地看待个人信息可携权,应当将其放置在具体场景中结合所涉的合法权益进行动态分析,将个人信息可携权视为一种带有“沟通”效果的程序性权利。

最后,个人信息可携权除了能为个人信息主体提供自主控制的权利,还会对其他领域产生技术性的影响。因为个人信息可携权包含两层含义:一个是个人获取信息副本的权利,另一个是在不同信息处理者之间的信息传输。从第二层次来看,信息可携使得信息处理者可以访问和获取大量的数据集,而数据集的获取处理是信息产品或服务改进或其他人工智能技术发展的重要因素,但对于大多数信息处理者来说,囿于技术、资源和其他因素的影响,大量信息的获取与处理是相对困难的。为了发展数字社会,信息处理者之间的信息传输和交换是不可或缺的。信息可携权的价值并不限于个人信息权利的自主价值,还在于其能够成为促进社会公共利益发展的重要工具,为公共政策的执行或科学研究提供信息集。同时,信息可携权对于市场和技术领域也具有潜在积极影响,通过降低转换成本和锁定效应能够促进数字市场的良性竞争。

因此,应当将个人信息可携权理解为一种工具性权利,是用来对抗权力体系的不透明性、不对称性,以实现个人“自我信息控制”,旨在消除或减少这种权力不对称现状的手段。作为一种工具性权利,信息可携权让个人能够参与到信息处理的生态系统中,促进以信息为基础的数字权力和利益的再分配,敦促信息处理者为信息主体创造更多价值,保障信息处理流通发展的健康秩序。

(二) 通过法律助推可携权实施

面对信息时代提出的问题和挑战,法律规范可以表达对个人自治的尊重,并尽可能地为个人信息自主管理的能力提供一些必要条件。因此,通过对个人信息可携权相关法律规定的完善,可以进一步明晰信息可携权的规范价值。首先,根据目前《个人信息保护法》的相关规定,个人信息可携权只能由个人行使,不能授予或委托给信息中介服务机构。但因为信息处理者之间信息传输和流通的实现对于防止用户封锁、垄断和促进创新的效果有重要作用,适当授权和委托给专门机构统一行使,弥补个体能力的不足,可以产生促进竞争的效果。同时也能避免个人对所获取信息副本的保存不当,或转移错误而导致的隐私或网络安全问题。

就个人信息可携权所涉及的信息范围,可参照欧盟GDPR和相关指南的规定,将可携范围扩展到可观察到的数据。对于个人信息可携权的信息范围,有学者也提出了四种可能涉及的信息类型:由个人直接提供的信息,观察信息(包括传感器收集的信息),以及推断信息和预测信息。前两者纳入属于可携权的信息范围符合欧盟GDPR和WP29工作组的意见,但对于后两者是否纳入值得斟酌。因为如果承认个人信息可携权的设置是为了防止用户被锁定,以及其他竞争者被不当排除在市场之外,那么基于传感器或其他方式收集的“观察信息”应当属于个人可携的范围。而推断和预测信息一般是信息处理者在原始信息基础上处理分析形成的“劳动成果”,具有商业价值,一般与具体特定个人无直接关联性,不应强行纳入可携的信息范围。但也有学者认为不应当局限于前两种信息范围,如果有其他合法的副本获取利益证明,可以延伸至推断和预测信息,对可携信息范围采用更广泛的解释,包括收集的关于用户行为的全部信息。对于后两者信息是否纳入,有待未来进一步明晰。

此外,就共享所收集个人信息的第三方自行收集的其他个人信息是否属于理应提供副本的范围问题,共享意味着将已收集的个人信息与第三方分享,从而在信息处理者和第三方之间形成对用户个人信息的共同处理关系。第三方在取得用户个人信息后可以对其进行再次处理,甚至与他人进行共享,对该信息再利用。用户对于该个人信息共享后的一系列处理行为往往缺乏认识。尽管在大多数隐私政策或个人信息收集清单中提供了个人信息主体查阅该共享信息的对象和具体内容的通道,但这部分信息仍然不在所提供的信息副本中。唯品会案中,法院支持了获取副本应当包括与第三方(包括第三方支付机构)共享的个人信息,涉及第三方的具体名称以及共享给第三方的用户个人信息,包括信息种类、信息内容、使用目的、使用场景和共享方式。但针对“第三方SDK收集的个人信息”是否应当提供副本,法院认为根据现有证据未能证明唯品会公司收集了上述信息,故而不予支持。但是,第三方SDK收集的个人信息可能存在超越唯品会公司共享的其收集的用户个人信息范围,即使唯品会公司没有参与这部分信息的处理,但用户的个人信息权益仍然应当受到保障。或许可通过法律规范,在案件处理时,可将该SDK收集的第三方作为案件第三人参与审理,符合要求的应向信息可携权请求人提供相应的信息副本。

当然,可携权的行使应当受到限制。一方面,由于社会的互联交互,个人信息往往与其他信息交糅在一起,在涉及他人利益或其他公共利益时需要对冲突利益进行权衡。另一方面,可携权的实现可能导致信息泄露的风险增加,个人对于信息副本的存储可能因为黑客或设备遗失而产生信息丢失、泄露的风险。而且,信息处理者各自的组织结构与技术水平参差不齐,如果接收信息的信息处理者安全保障措施水平较低,则风险也会增加。因此,需要根据信息处理情况进行判综合断,允许信息处理者在特定情况下不响应个人信息可携权请求。

最后,还需要从法律规范层面要求和推动信息可携技术、互操作性系统项目的建设和发展。通过法律推动技术的发展创新,进一步降低可携的成本。法律上的强制性规定是权利实施的重要保障,但是信息处理者对于可携权的操作系统和具体实施具有专业上的优势,通过法律推动有关部门进行标准制定,鼓励信息处理者之间形成合作联盟,推动可操作流程标准的制定和实施,通过行业协商合作的方式颁布实施的标准可能更具有可行性和专业性。如欧洲《数字市场法案》就要求其守门人应当确保个人可以有效地实施信息可携采取必要技术措施,如提供高质量的应用程序编程接口等。欧盟委员会《数据战略》旨在为“战略部门的欧盟范围内通用的、可互操作的数据空间”创建一个框架,《企业对政府数据共享报告》呼吁建立确保跨国、跨部门的互操作性的通用标准。通过法律助推技术发展和创新,法律层面的规范作为保障信息处理者自治的强力,鼓励、促进并监督行业标准的制定和实施的方式,将政府、个人、信息处理者的力量协同起来,促使信息处理者之间建立涉及更多技术和政策方案的合作,创造信息可携权的实践条件。唯品会案中法院也建议“唯品会公司对照《民法典》《个人信息保护法》及相关监管要求,充分发挥自身技术条件,运用信息化技术,建立常态化、便捷化的个人信息查阅复制响应机制,不断降低成本,提升效率,匹配平台用户需求”。技术发展不断深化,社会系统与社会场景的不断分化,个人信息可携权的定义、范围、保护程度和救济方式难以有固定和统一的标准,“这要求我们从概念独断论走向语用性商谈,让信息主体不断参与到与自身息息相关的信息规范和隐私期待的公共商谈”。

(三) 技术导向的可携操作改进

技术有望在各个领域促进新的治理过程,与此同时,它也改变了法律赖以运作的环境。莱西格“代码就是法律”就体现了技术在营造良好权利行使环境中的重要作用。内置于计算机软件中的代码程序能够为法律规则提供一种替代性措施。个人信息可携权的实施难度和实现程度很大程度上取决于操作技术的研发难度。因而以技术为导向的操作性改进方案,通过信息技术设计考虑和技术组织保障,能够让用户更好地了解个人信息是如何使用和维护的,能够增加个人信息可携权的操作性。

一是调整隐私政策的界面设置。虽然信息处理者未在隐私政策中规定个人信息可携权也不能阻碍个人信息可携权的行使,但是如果在隐私政策等相关文件中表达清晰明确,更有利于个人信息主体依照文本“自行查阅复制、转移”相关信息,无须事事均向信息处理者提出请求,这不仅能缩短个人信息权利行使的时间,减少信息处理者响应机制的负担,也能避免不必要的沟通成本。对此,可以设置隐私政策文本目录,明确标出个人享有的信息权利一章,同时设置可跳转的链接,方便个人了解其拥有的信息权利以及具体行使的条件和形式。在“通过设计的隐私保护”理念指导下,将隐私保护理念嵌入系统设计的每一个环节,可以提供最大限度的信息保护。例如,如果要求可携权的行使方式是通过在线提交获取副本请求,则该方式应该通过直观、易于获取的界面提供,确保获取信息副本是直观的。设计不仅仅是页面的,还包括其中的文字、图片、色彩排列组合等,可以通过标准指南的制定,明确规定“有利于查看”以及“易懂、便捷、简单”的方式提供所请求个人信息的副本建立标准。此外,还能通过设计对信息可携权请求的权限进行控制。包括权限分配、权限自动调整和权限延伸控制等方面。因为依据不同场景,信息副本提供所面临的风险指标不同,需要及时调整权限。

二是改进信息处理者提供副本的方式。信息处理者应当尽可能全面完整地提供有关个人信息,包括从其处理的电子系统或非电子系统归档存储的所有个人信息。如果采取电子形式,信息处理者提供信息的形式应属于一般计算机系统能够打开的文档类型。目前微信的聊天记录备份在电脑中的文档形式,就属于在电脑系统中的该文档存储位置上直接点击无法访问的类型。个人必须在电脑中登录微信,并在其内部聊天记录备份的选项框中才能查看。如果直接在电脑存储位置打开,则显示为一堆计算机代码,这也对可携权的实现造成了阻碍。此外,信息处理者提供的信息内容表述应当简洁、清晰明了、简单易懂。其应当考虑到所申请信息主体所掌握知识和经验以及理解沟通的能力,如未成年人、老年人或其他有特殊需要的人。如果基于技术的限制,只能以不常见的文档或“非文字”的代码表述,则必须对其进行解释,以使该副本提供对请求人有实际意义。信息处理者原则上应当一次性提供所请求的个人信息副本。但在特殊情况下,也可以采取分批提供的方式。比如在所涉及的个人信息数量极为庞大时,分批提供有助于减少个人信息收集和获取的难度。再比如,所涉信息部分由于技术难度、获取整理难度较大,需要花费较长时间,分批提供则能将已有的信息积极提供给个人信息主体。对于个人信息可携权请求的反馈时间,可以根据所请求的信息内容、范围和操作的复杂性而具体规定。在唯品会案件中,法院判定唯品会应当在30日内提供所请求的信息副本。在本文统计的App实践中,大多数提供副本的速度很快,短的几秒钟、几分钟,长的大多也不超过一天的时间。就这方面来看,App实践表现良好。但是,随着未来的发展,其可携的信息副本内容也会逐渐增加,所涵盖的信息数量可能会逐渐庞大。因此,信息处理者也应进行技术调整,设置个人信息副本的可选择性,包括可批量请求副本获取,可选择性下载,为个人权利行使提供便利的同时,也能减轻信息处理者义务履行的负担。

三是优化身份验证程序。就本文考察的App提供的个人信息副本来看,部分App为个人提供了自主导出个人信息副本渠道,对于信息副本所包含的信息类型并未作出区分。在仅涉及如用户名、头像等信息的副本获取情形中,由于用户名、头像等信息可能是假名或网络图片,即使是真实情形,其在日常生活中也不会对个人造成显著不利影响,因此如果对该部分信息副本的请求进行多次的身份验证程序,则会造成操作流程的烦琐,以及时间与精力的浪费。而对于一些较为敏感、私密、可能产生重大影响的信息,信息处理者也将其与用户名、头像等一般信息进行同等对待,不提供多重身份验证程序,则可能产生信息泄露、信息安全等不利后果。因此,信息处理者应在对信息进行一定程度地类型化区分的基础上,优化身份验证程序。对于敏感、私密的信息,面对可能给个人合法权益带来重大影响的信息副本请求时,进行多重验证,以确保该请求人是该信息副本的主体。同时信息处理者也应当具备相应的基础措施以验证申请者是否属于适格的请求主体。对于无法识别信息主体,或者主体身份与所请求的信息主体明显不符、明显无关的请求,信息处理者有权拒绝,但应当告知请求人。对于验证身份所需的额外信息的需求,需要根据具体情况进行判断。

四是推动互操作性系统的搭建。可携权的最终实现,有赖于可携技术和平台的搭建与升级。可携权第一层含义所涉及的查阅复制权,取决于信息处理者自身所提供的系统以及所采取的技术措施。在这种情况下,个人可以下载该平台的个人信息副本,将个人信息副本存储在其他介质上。就目前来看,第一层含义基本实现。但是,可携权第二层含义上的信息转移,则需要信息处理者与其他信息处理者之间的平台和技术具有互操作性。互操作性与其通信能力、程序执行或不同功能之间的信息传输有关,互操作是确保信息交换和重新使用可能性的最低标准。就如ios系统与安卓系统,Mac系统与Windows系统之间存在诸多不可兼容的情况,有些App只有安卓版本而没有ios版本,此时想从安卓端移转至ios系统无从实现。因此,如果传输信息处理者之间的信息副本、可读形式以及承载信息的系统不具有互操作性,信息转移无法实现。个人信息可携权的设置目的不仅仅是实现第一层次个人信息副本的获取和访问,更重要的是第二层次转移的实现,即在不同信息处理者之间进行信息转移,从而促进以个人为中心的信息生态系统的建立和完善。因此,需要加强信息处理者之间的交流和合作,就信息转移所需的平台和技术问题进行联合创新,推动信息无障碍流通、促进信息时代的互通互联。

五、结语

个人信息可携权的实施优化具有现实价值,作为一种对数字市场竞争的调节手段,个人信息可携权有利于促进以互惠协作的方式形成具有互操作性、信息可共享流通的良性信息利用环境。在数字时代个人信息可携权不仅是可取的,而且是必须的。但通过实证可知,个人信息可携权存在实践偏差。其实践性较弱除目前对该权利本身的关注度不够外,在实施行为和法律上也存在障碍。一方面,对于个人自主权利的绝对性的强调,误解了个人信息可携权的规范价值;另一方面,可携权实践过程面临负外部性和操作难度的障碍,故而需在个人信息可携权重思的基础上进行制度优化。通过法律助力个人信息可携权的实施,让个人积极参与到个人信息保护、信息治理的过程中,通过动态和对话协商的方式实现多方的良性互动,引导和鼓励企业加强互操作性平台和系统项目的构建与推进,营造和加强信息时代个人信息利用的生态系统。同时以技术导向的可携操作改进,通过系统设计明晰个人信息可携权的操作流程,消解信息可携权的技术壁垒。本文对66款App隐私政策中可携权相关规范进行实证调查,结合唯品会案件的司法裁判,分析个人信息可携权规范与实践存在的偏差并思考应对措施,可为个人信息可携权优化提供建议。当然,个人信息可携权作为一项新的权利,还有待未来进一步检验。

(李锦华,中国人民大学法学院博士研究生。)

【本文系国家社科基金重大项目“当代中国数字法学基本范畴体系研究”(23&ZD154)阶段性成果。】

Abstract:Although the existing legal norms and judicial practices can provide basic guidance for the right to personal data portability,it can be concluded that there are obstacles to the realization of this right through empirical research of the privacy policies of 66 mobile apps,such as whether they have stipulations on the right to personal data portability,whether they are able to derive copies of personal information automatically,whether there are textual examples,whether ID verification is required,whether the copied documents are encrypted,and whether the scope of personal information involved is consistent. This gap in practice,on the one hand,reflects the misunderstanding of the right to personal data portability,and on the other hand,is a result of the negative externalities,practical costs and technical limitations of the right to personal data portability. Based on rethinking the right to data portability,we can somehow solve practical problems concerning the right to personal data portability through multiple measures such as promoting the fulfillment of this right by legislation,optimizing technology-oriented operations,refining response process mechanisms,and enhancing system interoperability.

Keywords:Right to Personal Data Portability;Right to Data Search and Duplication;Right to Data Transfer;Privacy Policy;Technical Operability

(责任编辑 曹 炜)

 

打印|