吴沈括

　　北京师范大学互联网发展研究院院长助理、网络法治国际中心执行主任

　　崔婷婷

　　北京师范大学网络法治国际中心研究助理

　　前言

　　2019年9月6日，Facebook正式发布《数据可携性与隐私》报告，直指当下全球数据治理中的一个重大现实问题：世界各国的政策制定者越来越支持数据可携性，竞争和数据保护专家一致认为，虽然数据可携性涉及复杂的法律问题，但数据可携权有助于人们有效控制他们的数据，并使他们更容易在网络服务提供商中进行自由选择，可以助益促进在线竞争。

　　数据可携性可帮助人们控制数据并选择最能满足其需求的服务，同时可携性可能会对保护隐私权益带来挑战。首席执行官马克扎克伯格最近呼吁制定数据可携性的相关法律，而为了应对这些挑战，Facebook正在寻求广泛的利益相关方提供反馈和指导。了解如何构建数据的可携性，在促进竞争的同时保持他们对在线服务的信任，为了打造一个人们可以信任并有效使用的可携性工具，应该规定哪些类型的数据应该是具有可携性的，以及如何合理分配数据移转过程中的数据隐私及安全法律责任？Facebook报告目的正是推进关于这些规则应该是什么样的对话。 只有用户主导的所有数据都能自由移转到第三方才能被视为“数据可携性”吗？基于讨论数据可携性的来源，人们可能会认为这是一个具有明确含义的简单概念。例如在GDPR背景下，可携性只是接收个人数据并将其从一个服务提供商传输到另一个服务提供商的权利，而国际标准化组织将“数据可携性”定义为“无需重新输入数据即可轻松地将数据从一个系统传输到另一个系统的能力”，重点放在数据转移的容易程度上。

　　但是一直又来自不同利益相关者的呼吁，他们要求既可以提高数据的可移植性，又可以限制人们与第三方共享数据的能力。特别是在剑桥分析事件之后，要求限制应用程序通过Facebook登录接收的信息，并加强Facebook对接收这些信息的应用程序的监管。这些呼吁表明，一些评论可能认为平台到应用程序的数据传输与“真正的”数据可携性所实现的传输是不同的。例如，Facebook 2019年与美国联邦贸易委员会达成的和解协议将可携性转移与其他转移分开对待。

　　相比之下，其它评论认为，剑桥分析事件的发生是因为数据的可携性，这意味着当通过应用程序共享数据时，例如Facebook、iOS、Android、Twitter已经在平台上引入了数据可携性。

　　这些评论产生的问题是：用户转移数据的请求何时构成可携性请求?答案至关重要，尤其是因为附加于可携性请求的合法权利。例如在GDPR下必须“无障碍地”满足可携性请求，由此产生关于服务提供商是否可以拒绝请求、限制请求的可用数据或限制第三方的任何情况的问题。很明显，许多利益相关者认为平台应该对用户数据的接收者施加数据使用限制，但问题仍然是服务提供商是否必须提供替代机制来实现没有这些限制的数据转移。如果是这样，这两种转移如何相互不同？

　　数据转移通常涉及三方：请求用户、转移实体和接收实体。从技术角度来看，（1）当请求人指示转移实体导出他或她的数据时，数据转移开始；（2）然后转移实体将请求的数据发送给请求人或直接发送给接收实体；（3）一旦与接收方实体共享数据，用户就可以在该服务上或通过该服务与数据交互。

　　但在技术上看起来相似的转移可能在实践中有所不同。区分转移的一个因素是转移实体和接收实体之间的关系以及管理它们之间转移的规则。一般而言，用户导向的三大类转移情形可描述如下：

　　（1）开放性转移

　　请求用户可以接收他们的数据并将其传输到任何接收实体，而没有转移实体对接收者施加的控制或限制（超出法律规定的限制）。在此模型中，请求用户可以通过他们自己的设备（如Facebook的Download Your Information工具）执行向转移实体的转移，或者转移实体可以促进直接转移。除了为实现转移而进行的技术联系外，转让和接收实体之间没有任何关系。这种模式似乎与GDPR的预期最接近。

　　（2）有条件转移

　　请求用户可以接收他们的数据，并将其传输给任何已满足数据转移条件的转让人。转让和接收实体之间的关系只是为了能够提供此类用户请求，而没有持续的关系。这可能是一种考虑用户在服务之间直接转移数据的请求方法，这也是数据转移项目正在努力实现的技术手段。

　　（3）合作性转移

　　请求用户可以接收他们的数据并将其转移给接收实体，转让人与该接收实体围绕此类转移存在一个持续性关系，其条款可以包括关于接收实体如何使用在转移中获得的数据的规定。转移和接收实体之间关系的存在的目的不仅仅是简单地实现用户的转移请求，也是将转移实体的一个特征集成到另一个接收实体的产品中。

　　在考虑可携性时，需要回答的问题是，哪些转移应被视为涉及“数据可携性”以及转移中各方的义务应如何在每个模型中体现出来？开放性转移似乎与GDPR和其它地方描述的数据可携性的性质明显一致，但是有条件转移又是什么？转让实体可以限制用户向其发送数据的第三方？这些限制是否与可携性一致？开放性转移是否应被视为数据可携性？

　　Facebook针对以上问题认为，即使进行数据转移以遵守可携性请求时，转移实体也可以围绕转移实施一些隐私和数据保护限制，但是关于什么样的条件是适当的问题仍然存在，通过平台强加的限制措施有些过于严格，无法与可携性保持一致。最近Facebook与美国联邦贸易委员会的和解协议表明，一些监管机构可能认为平台式转移与可携性转移不同，而在这两个类别之间的操作路线可能是可携性和其他数据传输之间的界限。 二、哪些数据应该是可携的？

　　实现数据可携性的主要目的是为个人提供对其数据的控制，但究竟什么是“他们的数据”？很明显，人们能够将他们上传的照片或者他们发布到社交网络的帖子等数据进行转移，但是还不太清楚应该包括哪些其它数据。

　　人们是否应该能够导出服务提供商在使用其功能时收到的信息、搜索历史记录、位置数据和活动日志等信息？服务提供商根据人们上传的数据或与服务的互动产生的其他有关人员的信息应当如何规定？例如用于个性化音乐、事件和广告的推断或者识别潜在的欺诈活动？

　　GDPR和工作组指南建议，对于可携性权利涉及的数据应该有所限制。GDPR要求的是人们“提供给”数据控制者的个人数据的可携性。工作组建议人们能够将他们主动提供的个人数据转移给服务提供商，而不是服务提供商根据该目的推演出的数据。

　　另一个问题是，对于在技术上可用但很快就会被删除的数据，服务提供商是否应该构建工具来导出这些数据？此外，是否存在使数据可携的负担超过个人输出数据之负担的情况？例如关于个人使用服务的数据可以包括该人在一定时期内查看的每个页面或内容的列表、点击的每个链接以及收到的每个通知。服务提供商通常会将这些信息的日志保留一段时间，但是这些日志数据可携性的过程可能具有挑战性，并且对用户的好处可能并不总是明显的，例如导出在Facebook上单击的所有链接的列表是否有用？

　　可携性的部分目的是为了鼓励竞争和新服务的出现，但是也应该考虑到这样会给服务提供商带来运营负担，毕竟大部分服务提供商的资源比Facebook这样的公司要少。从这个角度来看，似乎很明显需要服务提供商就相关数据可携性的义务施加一些限制。考虑数据留存期并平衡提供者相对用户利益的负担可能有助于确定这些限制应该是什么或应该适用于谁，但需要进一步解决的是如何进行平衡以及由谁展开平衡的问题。

　　三、谁的数据应该具有可携性？

　　如果一个数据与多个自然人相关联（社交网络服务的常见情况），移转服务提供商是否应当限制这些数据的可携性？提供商如何确保每个人的权利都得到充分考虑？

　　提供数据可携性有助于人们控制其数据，但是当一个人想要传输与另一个人相关的数据时会发生什么？例如人员A想要将她的照片从一个服务转移到另一个服务，但那些照片包括人物B的图像，该怎么办？在这种情况下，B有权控制他的信息？如果人们想将手机通讯录的内容或联系人生日列表导出到新服务怎么办？

　　如这些示例所显示的，有时很难描述谁的数据应该具有可携性，Facebook尤其如此，其核心功能是允许用户与其他人联系并创建共享体验，而传输有关联系人或朋友的数据的能力可能会引发特别具有挑战性的隐私问题。

　　一些人认为数据作为财产的概念具有争议性，可能导致的更多问题远远超出可携性问题的大背景。在实践中许多类型的信息具有多个所有者，例如某A的电话簿中有某B的电话号码，那么A是该电话号码的所有者吗？此外，在欧盟作为一项基本权利的数据保护并不取决于谁“拥有”有关数据。

　　作为示例，某A上传了她和三个朋友B,C,D的视频，她没有采取任何措施来让服务商识别她的朋友（比如“标记”他们）。似乎很明显，A应该有权将视频转移到一个新的服务，但是如果出现这样的情形，B、C和D应该对视频拥有什么权利？而谁又处于行使这些权利的最佳位置？

　　假设一个相同场景的不同版本：某A上传视频，但是她标记了B、C和D，这些人恰好都是该服务的用户。在此场景中，服务提供者可以通知B、C和D有关可携性请求的情形，但此时他们是否有权阻止A传输视频？

　　如果案例讨论的不是视频，而是A联系人列表中的电子邮件地址，那么答案可能会发生什么变化？对A个人来说，转移它们相比转移A个人的照片是更容易还是更困难？在分析谁的数据应该是可移植时，如何衡量这些因素需要更多的讨论和指引。

　　一些评论经常将谁的数据应该具有可携性的相关问题描述为与一个人的“社交图”的可携性，“社交图”是一个用户与该服务上的其他用户和实体之间的连接地图。一些支持数据可携性的人认为，像Facebook这样的服务必须使人们能够传输自己的数据以及关于他们社交图的数据，部分原因是后者的数据可能有助于其他社交网络公司进行创新。这些支持者认为，如果没有一个可携性的社交图，用户可能无法无缝地转移到其他社交网络。

　　Facebook认为双方都有强有力的论据：支持社交图的可携性对于创新和竞争是很重要的，但这样做也伴随着重要的隐私问题，因此关键的问题是能否找到合理的方法来实现这种共享，同时保护所有相关个人的隐私。 四、应该如何保护隐私，同时实现数据可携性？

　　对于正在处理中的用户导向的数据转移，在确定应转移哪种类型的数据以及谁的数据应该转移之后，需要解决如何在实现可携性的同时完成隐私保护的问题。对于可能的法律责任，移转提供商面对（1）提出转移请求的用户、（2）其他与被移转的数据有利益牵连的人、（3）数据的潜在接收者方面各有什么法律责任？

　　（1）数据请求用户

　　可携性是为了帮助人们保持对数据的控制，请求用户在转移数据时应做出明智的选择，这意味着确保请求用户拥有希望做出转移的数据。但是，究竟一个人应该拥有什么样的信息、应该如何提供这些信息(由谁提供)、应该向想要转移数据的人提供什么信息以及由谁以那种有益的方式呈现这些信息等等这些问题还没有得到决策者、监管者或其他利益相关者的充分回答。

　　（2）非数据请求用户

　　一些数据可携性请求可能涉及与提出可携性请求人以外的主体相关联的数据（也即“非请求用户”），但是否应该转移这些用户的数据存在严峻的问题。如果应该，服务提供商将需要考虑这些用户自身的隐私权益。

　　一些利益相关者提出了通过同意机制或者类似方法允许人们授予彼此从特定服务中导出数据的许可，即用户A能够授权用户B和数据接收者共享用户A数据的权限，例如非请求用户是否能够在他们的某个朋友想要与某个应用共享数据时选择是否导出他们的数据？这种方法是否会导致注意力疲劳？对于特定服务的用户，是否最好给人们一个设置选择，从而使他们能够始终允许他们的朋友（或其他联系人）将他们的个人数据的全部或某些类别转移给第三方？

　　（3）潜在数据接收者

　　在过去一年中，许多利益相关方呼吁服务提供商应该做出努力以防止某些第三方滥用数据，但是在可携性方面，这些努力应该包括哪些具体内容？

　　关于这个问题几乎没有专家评论。在GDPR背景下，工作组的指南只规定转移数据时采取确保个人数据安全转移所需的所有安全措施，包括使用强认证措施或者进行数据加密。Facebook建议采取风险缓解措施，例如使用额外的身份验证信息，或者如果怀疑某个帐户遭到入侵则暂停或冻结转移，但是这些安全措施“不得具有阻碍性，并且不得阻止用户行使其权利。” 五、数据转移中数据被滥用或保护不当，谁应当负责？

　　值得追问的是，如何在转移和接收服务提供者之间合理配置法律责任？用户自己是否应当对影响他们（或他们的朋友）数据的问题负责？

　　关于行使GDPR框架下的可携性权利，当服务提供商根据用户的请求将数据转移到另一个实体时，存在明确的责任分配。工作组指南认为，转移服务提供商负责代表请求用户行事，确保传输到正确的接收者，并减轻与数据可携性相关的任何风险，而接收实体必须确保他们只接收与他们向请求用户提供的服务所必需且相关的数据，并且转移后转让服务提供商不对数据主体或其他接收个人数据的公司开展的处理负责（因为它们仅代表数据主体而不是数据接收实体）。相反，根据工作组的说法，责任应当归于接收者，接收者必须根据其在GDPR下的义务处理和保护其接受的个人数据。

　　新加坡个人数据保护委员会还提出一种赔偿责任模式，其中转让实体将免于因接收方滥用数据而引起的损害索赔，转让实体不应当对与移植数据的准确性和质量相关的索赔承担责任，除非证明在转让之前数据已经被破坏。最近该委员会在其关于这一专题的咨询文件中没有提到赔偿责任，但似乎限制了转让实体在转移后的责任水平。

　　但显然在某些情况下，政策制定者和监管机构希望转移实体即使在转移后仍能保持一定的责任水平。将这一现实与欧盟工作组指南以及新加坡个人数据保护委员会的咨询文件相协调的一种方法可能是，进一步澄清服务提供商的责任可能会根据转移的类型变化而变化，也即是否为开放性转移、有条件转移或者合作性转移。（1）对于开放性转移，服务提供商应承担的最大责任是帮助用户应对将数据提供给新服务所伴随的风险。服务提供商可能会探索工具来帮助用户了解下载数据的安全风险和协议要求，他还可以考虑向用户提供有关指导，帮助其检查接收实体可能存在数据滥用或安全保护措施不足的情况。

　　例如，提供商可以指导用户如何确认接收实体的真实性、检查接收实体的网站安全性（例如HTTP和HTTPS之间的差异）、如何在下载数据时保护他们的设备（例如在下载数据时不使用公共Wi-Fi）、如何确定接收方实体是否有适当的政策（例如检查隐私政策以确定接收方是否会出售其接收的用户数据）。

　　（2）对于有条件转移，一种可以考虑的方法是服务提供者要求接收实体证明他们是由标准机构认证的，表明其符合相关的行为守则，或者他们将根据适用的法律和规范处理个人数据以满足数据转移请求之前的保护要求。一旦服务提供者获得此类认证，他们可以就此豁免数据转移后出现的相关责任。

　　（3）对于合作性转移，对转移实体施加某种程度的责任可能更为合适，包括就转移后发生的数据处理情形，此外，在可行的限度内对转让后接收主体的个人数据处理科加一些强化监督也可能是适当。

　　最后，如果用户的数据可携性请求涉及属于第三方的个人数据，对请求转移联系人数据的用户施加责任通常会对可携性产生抑制，特别是对“社交图”可携性产生抑制。可能更为理想的方案是将请求用户的责任限制在仅仅涉及确实不合理或者鲁莽行为的案件范围内，例如故意将其联系人的数据转移到已知存在数据滥用或数据保护实践不良历史的当事方。结语

　　毋庸置疑，数据可携性相关法律规则的制定和完善，对于促进数据共享、流通与数据权利保护的平衡具有重要作用。在数据的转移过程中，请求用户、转移实体和接收实体必须合法合规地获得和控制个人数据，但是如何以保护隐私的方式实现数据可携性、在数据被滥用情况下如何明确责任承担主体等难题的解决，有利于促进数据可携性相关法律规范的持续发展，良性的数据可携性讨论争鸣与制度革新有望为人们提供前所未有的信息控制可能性，并且有效支持充满活力的持续创新和在线竞争。

本文首发于微信公众号：数字经济与社会。文章内容属作者个人观点，不代表和讯网立场。投资者据此操作，风险请自担。