摘要
在当今时代,企业的收集与加工个人信息形成的商业数据带来了巨大的商业价值,与此同时,个人数据安全却面临前所未有的挑战。对此,2016年欧盟《通用数据保护条例》(以下简称GDPR)中推出了数据可携带权制度,旨在增强个体对数据的了解与控制。数据可携带权不仅能够为公民的数据安全提供保障,为个人数据保护带来便利,同时也能促使企业更加主动地寻求创新,为中小企业进入市场创造便利条件。该制度一经问世便引发广泛的国际关注,以美国、新加坡为代表的诸国纷纷效仿,陆续出台本国的数据领域法律法规以保护数据安全。2021年颁布的《中华人民共和国个人信息保护法》第45条确立了数据可携带权的基本内容,但缺少较为细致的配套规定,可能引发诸多问题,为此健全我国数据可携带权制度提供可行性建议是必要的。 1983年德国宪法法院提出的信息自决理论为数据可携带权提供了理论支撑。数据可携带权制度的确立,有助于加强自然人对其个人信息的控制,促进市场公平竞争及营造良好的社会创新氛围。数据可携带权兼具人格权与财产权属性,其权利主体限于自然人,义务主体是对处理个人信息行为有决定权的数据控制者,客体是数据主体主动提供的个人数据以及可观察到的个人数据并排除衍生数据,权利内容主要包括个人数据获取权和个人数据传输权。 目前我国对于数据可携带权的现实需求主要有以下四个方面:数据流通和共享、提升企业竞争力、满足消费者需求、顺应国际趋势。研究既往判例可知,法院采纳数据可携带权的前提是法律条文明确、当事人主动请求转移数据、谨慎考量涉他信息对他人及社会的影响。通过参考借鉴欧盟与美国的经验,我国可以在实践中推行差异化标准试点、制定集合化规则文件和保持谦抑性处理态度。 在完善数据可携带权基本规范的同时,应注意配套规范体系建设,解决潜在的问题。一是加强数据安全保护,解决行权过程中的数据安全问题;二是给予中小企业缓冲期,解决数据可携带权制度对中小企业发展形成限制的难题;三是完善“知情—同意”制度,避免个人在行权过程中侵犯他人权利;四是统一数据传输标准,解决互操作性开发成本高且难度大、缺乏标准统一的数据传输格式与模式问题;五是在制度层面,明确数据可携带权的客体范围及权利属性,构建完善的冲突解决机制,保障数据可携带权的落地实施。
NETL