2021.08.22 朱彤 原舒仪
《个保法漫谈》系列是君合贸易和数据合规组为结合《个人信息保护法》的出台和实施,就新法之中的一些新问题、新要求和一些值得探讨的问题,跟大家以小文的形式进行交流,希望能抛砖引玉。
2021年8月20日,全国人大常委会审议并通过《个人信息保护法》,其中第45条明确了数据可携带权(Right to data portability),即“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。数据可携带权起源于欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR),未来《个人信息保护法》中规定的数据可携带权将如何在中国落地,其权利的边界与范围、权利实现的方式、数据可携带权落地可能遇到的困境,我们可以参考GDPR以进行探讨。
一、数据可携带权的范围与边界
1. 权利客体范围
GDPR明确的权利客体范围如下:
与数据主体相关的个人数据:匿名(anonymous)数据不在数据可携带权的客体范围内,而假名(pseudonymous)数据仍属于数据可携带权的客体范围。
数据主体“提供”给数据控制者的数据:包括(1)数据主体主动提供给数据控制者的数据;(2)数据主体因使用服务或设备而自动提供给数据控制者的数据(如搜索历史数据、由可穿戴设备追踪的心率等数据)。欧盟数据保护委员会(原欧盟第29条数据保护工作组)也在《数据可携带权指南》(Guidelines on the right to data portability under Regulation 2016/679,以下简称“《指南》”)中指出,第二类数据并不包括数据控制者在数据主体提供的数据基础上创造的推断数据或衍生数据(如根据用户可穿戴设备追踪的心率而分析得出的用户健康状况评估结果等数据)。
2. 权利边界
数据可携带权关注的是数据主体对其个人数据的控制力,但该权利的不合理扩张可能损害公共利益或他人合法权益,因此数据可携带权的行使并不是绝对的。根据GDPR第20条第3、4款,数据可携带权的行使主要有以下两方面限制:
数据可携带权不应妨碍GDPR第17条中被遗忘权的行使,并且不得影响数据控制者履行涉及公共利益的任务或行使被授予的官方权力。
不得对其他数据主体的权利和自由造成不利影响,这主要包括涉及第三方个人数据、知识产权和商业秘密的情形。
二、数据可携带权的实现方式
1. 行权条件
GDPR下数据可携带权的行使需要满足特定的条件:
行使数据可携带权的依据仅包括基于数据主体的同意和基于合同约定两种:需要注意的是,若数据主体与数据控制者权力地位差距悬殊,以至于数据主体无法完全基于自由意志作出,则有可能被认定为不构成有效同意。在这方面《指南》指出,涉及雇员数据的情形中,数据可携带权的行使通常仅基于合同约定。
行使数据可携带权所涉及的数据处理需要通过自动化方式进行:《指南》还指出,数据控制者之间的直接数据移转需要满足技术可行性的要件,即数据控制者之间系统的互通性(interoperability),而并不仅仅是GDPR要求的“结构化、通用化且可机读性”。
2. 权利请求的响应
响应方式:无论权利请求是否被拒绝,数据控制者都须予以数据主体答复。
响应时间:数据控制者不应无故拖延响应期限,通常应在收到数据可携带权行使请求后的一个月内作出答复(涉及复杂情形或多个请求时,响应期限可延长至三个月)。
是否收费:数据控制者通常不能对其提供数据的行为收取费用,除非数据控制者能证明数据主体的请求明显没有根据或其重复请求具有过度性。
3. 数据保留
《指南》中建议数据控制者在数据主体关闭其账户之前保留有关数据可携带权的所有信息,以便用户取回其个人数据、在不同设备或服务之间便捷传输个人数据。
三、数据可携带权的困境与展望
数据可携带权从其诞生之初就被赋予了保护个人数据、增强数据市场竞争和促进数字经济繁荣的使命。然而,数据可携带权的实际执行也面临着诸多现实困境。例如,在技术的层面,数据控制者之间的直接移转数据要求实现其系统之间的互通性,对中小企业而言,这无疑会带来巨大的合规成本和技术障碍。而如果受限于互通系统的要求,数据主体可能无法轻易实现在数据控制者之间便捷地直接转移个人数据。此外,现实中如数据主体的聊天记录通常涉及第三人的利益,直接进行转移则会对其他数据主体的权利造成影响,因此,数据可携带权的实现往往也具有操作上的复杂性。
目前《个人信息保护法》并未明确数据可携带权的范围、权利实现方式,而是由国家网信部门制定配套制度。未来,在制度层面,国家网信部门是否会对可携带权行使范围进行限缩、如何平衡数据可携带权与第三方权益影响;在实践层面,企业如何在保障个人信息主体权利的基础上解决技术障碍、平衡合规成本,都将成为《个人信息保护法》出台之后值得持续观察、探讨的问题。