首页>>理论频道>>域外司法

个人数据迁移的国外实践、最新进展及对我国的启示

时间:2020-05-15 12:16:00作者:尹锋林 崔华新闻来源:正义网

评论投稿打印转发复制链接||字号

  在互联网经济快速发展的今天,数据越来越重要,被称为信息时代的“石油”。国际互联网巨头通过长期的积累,汇集了大量的个人用户数据,并且已经成为了强化和维持其优势地位、甚至垄断地位的主要市场壁垒。便捷的个人数据迁移,对于保护消费者利益具有重要意义,同时,对于激活和促进有效的市场竞争亦具有关键作用。欧盟《通用数据保护条例》率先强制性地要求互联网企业确保消费者迁移个人数据的权利,美国加州《消费者隐私法案》亦要求互联网企业提供个人数据的迁移服务。为了履行相关法律义务,谷歌、脸书、微软、苹果、推特等公司在2018年联合推出了“个人数据迁移项目”(Data Transfer Project)。该项目通过国际互联网巨头之间的合作,建立一个开源的公共框架,以使用户能够在不同的互联网平台之间进行无缝的、直接的个人数据迁移。国外个人数据迁移的法律与实践,对我国保护消费者权益、促进市场竞争亦具有借鉴意义。

  一、数据迁移的法律规定

  由于国际互联网巨头是大量个人数据的汇集者,并据此而在市场竞争中占据显著的优势地位。因此,国际互联网巨头如果没有外在因素的推动,显然没有动力主动推进个人数据迁移的便利化工作。国际互联网巨头之所以推出“个人数据迁移项目”,主要原因是法律的要求,特别是欧盟《通用数据保护条例》(EU General Data Protection Regulation)以及美国加州的《消费者隐私法案》。

  欧盟《通用数据保护条例》第20条对个人用户数据迁移问题做出了明确规定。具体包括如下内容:第一,为了加强个人用户对其个人数据的控制,如果存放在互联网平台上个人数据的处理是通过自动手段进行的,那么,个人用户有权要求互联网平台向其提供一份结构化的、通用的、机器可读且具有互操作性格式的个人数据副本。第二,个人用户有权将其存放在一个互联网平台上的个人数据迁移到其他互联网平台。同时,互联网平台应鼓励开发可互操作的个人数据格式,以实现个人数据可迁移性。

  在《通用数据保护条例》生效之前,国际上已经有了互联网平台之间的个人数据迁移服务实践。Digi.me数据公司是提供个人数据迁移服务的机构之一。该公司创始人Julian Ranger在《通用数据保护条例》通过之后,认为该条例对Digi.me将产生的积极影响。Julian Ranger认为:“欧盟立法将加快个人信息经济的发展,因为个人可以控制自己的数据”。这也是Digi.me数据公司能够存在的理由,即该公司可以作为个人数据资料的管理员和邮递员。Digi.me的桌面应用程序提供了一个用户可以编辑、查看和搜索个人数据的界面,用户可以将这些数据存储在自己选择的设备或基于云的存储服务上。为了吸引消费者,该公司目前专注于Facebook、Twitter、Instagram、谷歌等社交媒体网络的个人数据,以及LinkedIn和Viadeo等专业网络上的个人数据。

  在欧盟《通用数据保护条例》正式生效之后,国际互联网科技公司正面临着比以往任何时候都更加激烈的反垄断担忧,其中很多是围绕个人数据的访问问题而产生的。这些国际互联网巨头在个人数据积累的数量和质量方面几乎没有竞争对手,当他们面临有关竞争监管和垄断权力的新问题时,分享数据可能是最不痛苦的约束自己的方式之一。

  二、“个人数据迁移项目”的启动与内容

  目前,很多国际互联网巨头已经提供了某种程度的个人数据下载服务,但这些服务很少能够与其他互联网平台连接。欧洲《通用数据保护法规》(GDPR)要求互联网公司向用户提供所有可用的个人数据。该规定使用户可以要求互联网公司提供更多、更全面的个人数据信息。谷歌Takeout的产品经理Greg Fair认为:“当人们拥有数据时,他们希望能够将数据从一种产品转移到另一种产品,但他们做不到”;同时,“这也是一个谷歌公司无法单独解决的问题。”

  2018年7月20日,谷歌、脸书、微软和推特等公司共同宣布了一项名为“个人数据迁移项目”的新计划,旨在以一种新的方式在平台之间传输个人数据。谷歌将该项目描述为允许用户“直接将个人数据从一个服务传输到另一个服务,而不需要下载和重新上传。”该项目呼吁更多的公司加入这一项目,并指出“可移植性和互操作性是云创新和竞争的核心。”

  执行该项目的现有软件代码可以在GitHub上开源获得,同时还有一份描述其范围的白皮书。白皮书称:“可移植性的未来将需要更加包容、灵活和开放。”“我们希望这个项目能够在任意两个面向公众的产品接口之间建立直接导入和导出数据的连接。”

  Facebook的API是剑桥分析公司(Cambridge Analytica)丑闻的核心。谷歌也一直在与自己的API丑闻作斗争,特别是因第三方电子邮件应用程序对Gmail用户数据处理不当而遭到的强烈抗议。在某种程度上,“个人数据迁移项目”将是管理这种风险的一种方式,可以将责任分摊给更多的互联网公司。

  负责Facebook数据下载产品的戴维?贝塞尔(David Baser)表示:“我们总是希望首先考虑用户数据保护”,“API的优点之一是,作为数据提供者,我们有能力关闭传递途径或对他们如何使用它施加条件。有了数据下载工具,数据就不需要我们去管了,它就真的在野外了。如果有人想把这些数据用于不良目的,Facebook真的无能为力。”

  “个人数据迁移项目”白皮书确立了关于个人数据迁移的以下原则:

  第一,为用户构建原则。个人数据可迁移性工具应是开放的,并且与行业标准互通,易于查找,易于使用。同时,用户可以为了自己的目的在服务之间方便地传输数据或下载数据。

  第二,使用严格的隐私和安全标准。数据迁移的每一方的提供者都需要有严格的隐私和安全措施,以防止未经授权的访问、数据转移或其他类型的欺诈。个人用户需要以清晰和简洁的方式被告知所传输数据的类型和范围,数据将如何被使用,以及目标服务的隐私政策和安全措施。

  第三,关注用户的个人数据,而非企业数据。个人数据可移植性需要关注对个人用户具有实用功能的数据,比如用户创建、导入或批准收集的内容。互联网企业等组织机构的数据可移植性将由组织机构自己的数据政策控制。

  第四,尊重每一个人的原则。我们生活在一个协作的世界里,人们相互联系,分享,共同创造。数据可移植性应该只专注于提供与请求转移的人直接相关的数据,以便在可移植性、隐私和尝试新服务的好处之间取得适当的平衡。这意味着互联网服务提供商需要确保数据主体之外的人的相关隐私信息得到尊重。

  三、“个人数据迁移项目”进展

  跟据有关报道,关于“个人数据迁移项目”进展,Facebook隐私与公共政策主管史蒂夫·萨特菲尔德(Steve Satterfield)近日表示:在过去几年里,该公司曾接到政策制定者和监管机构的电话,要求其提供更多选择,让人们更容易地选择新的提供商,并将数据转移到新的服务上。此外,康涅狄格州的民主党参议员理查德·布卢门撒尔(Richard Blumenthal)、弗吉尼亚州的马克·华纳(Mark Warner)以及密苏里州的共和党参议员乔希·霍利(Josh Hawley)提出了一项名为《接入法案》(ACCESS Act)的法案,该法案要求大型科技平台允许用户轻松地将数据转移到其他服务上。

  Facebook开发了自己的数据迁移工具,并将其作为“个人数据迁移项目”的数据迁移工具之一,以使网络用户随时可以在网络服务提供商之间轻松地转移数据。同时,该项目的成员也在考虑让用户在未来可以便捷迁移电子邮件、播放列表和活动等数据。

  2020年4月29日,在与竞争和隐私领域的学者和政策专家的电话会议上,Facebook表示,该公司正有意与第三方建立数据传输合作伙伴关系,以避免剑桥分析事件的重演。4月30日,Facebook在美国和加拿大第一次允许用户将照片和视频迁移到竞争对手网络平台,这一功能已经在包括欧洲和美洲在内的几个国家启动。

  四、FTC对数据迁移问题的关注

  美国联邦贸易委员会FTC在其官方网站上发布计划,将于2020年9月22日召开有关数据可迁移性问题的研讨会。该研讨会将讨论数据可迁移性给消费者带来的潜在好处和挑战,以及由此而引发的竞争。

  FTC将数据可迁移性界定为:消费者将电子邮件、联系人、日历、财务信息、健康信息、收藏夹、朋友或社交媒体上发布的内容等数据从一项服务转移到另一项服务或转移到消费者自己处的能力。除了给消费者带来好处之外,数据的可移植性还可以通过允许新进入市场的竞争者访问他们原本不会拥有的数据,从而促进互联网竞争性平台与服务的发展,进而促进市场竞争。与此同时,实现或要求数据可迁移性也可能会带来挑战。例如,消费者希望迁移的数据可能包括有关他人的信息,比如朋友的照片和评论;如何处理这些数据、如何安全地传输数据;谁有责任确保数据的可迁移性在技术上是可行的;强制数据访问或数据共享是否会影响互联网公司投资数据驱动产品和服务的动机;等等。

  五、域外法律实践对我国的启示

  个人数据可迁移性是近年来国外反垄断和消费者隐私领域重点讨论和关注的问题。随着我国互联网产业的发展,国内的互联网巨头亦掌握了大量的个人数据。有些互联网公司为了维护其数据壁垒,锁定用户,甚至通过格式化的用户协议不正当地限制用户迁移数据。这样一方面损害了消费者的消费选择权和有关其个人数据的合法权益,同时,另一方面也会损害市场的正当竞争,不利于我国网络经济的长远发展。

  近日,全国人大常委会公布《中华人民共和国民法典( 草案)》(征求意见稿)第111条规定:自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。第1036条第1款规定:自然人可以向信息控制者依法查阅、抄录或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。在我国《民法典》由全国人民代表大会通过之后,上述法律规定将成为我国个人数据迁移的基本法律渊源。同时,今年初全国人大常委会还将个人信息保护法、数据安全法列入了本年立法规划。

[责任编辑:马志为]
关于我们 联系我们 广告服务
Copyright © 2021 JCRB.com Inc. All Rights Reserved. 正义网版权所有 未经授权 严禁转载
京ICP备13018232号-3 国家广电总局信息网络传播视听节目许可证:0110425号
互联网新闻信息服务许可证 京公网安备 11010702000076号 增值电信业务经营许可证B2-20203552
企业法人营业执照 广播电视节目制作经营许可证 网络出版服务许可证
网站违法和不良信息举报电话:010-8642 2930