新增「可携带权」,撬动变革的“数据石油”能否合规开采?

来源:iLaw合规

文章摘要
工业时代的战略资源是煤炭和石油,到了互联网时代,数据是新的生产要素,是产业界争相抢夺的资源。在商业利益的驱使下,产业界主动「造墙」,把获取到的用户数据归为己用,进而形成一个数据孤岛。

工业时代的战略资源是煤炭和石油,到了互联网时代,数据是新的生产要素,是产业界争相抢夺的资源。在商业利益的驱使下,产业界主动「造墙」,把获取到的用户数据归为己用,进而形成一个数据孤岛。
2021年11月1日,《个人信息保护法》(以下简称“个保法”)正式实施,并首次在我国法律中确认了个人享有请求个人信息处理者向指定第三方转移个人信息的权利,也被称之为「可携带权」。
个人信息可携带权最早创设于欧盟《通用数据保护条例》(以下简称“GDPR”),虽然个保法未直接在法条中沿用「可携带权」这一概念,但其立法原意与权利定义上基本相同。
个人信息可携带权的确认引起了不少的关注和讨论。本文将通过比较 GDPR 和个保法就此项权利的规定,简要分析对企业的合规方向的影响。

1. GDPR
个人信息可携带权是一项由个人信息主体(或称“用户”)所享有的权利,根据 GDPR 第二十条的规定,数据主体有权获得其提供给控制者的相关个人数据,且其获得个人数据应当是结构化、通用化和机器可读的,数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者。
据此,可以将 GDPR 的可携带权要素总结为:
a.可携带权是一项积极权利,权利是否发起取决于用户的需求;
b.可携带权包含两个部分,其一,用户有权要求获取数据;其二,用户有权要求转移数据。
2. 个保法
《个保法》第四十五条亦做出了可携带权的规定「个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径」。
与 GDPR 相似,个保法也明确了用户对其个人信息的获取(查阅、复制)和请求转移给另一信息处理者的权利。
国内也把信息的查阅和复制,定义为查阅权/访问权、复制权,定义虽有不同,但本质上没有影响用户数据主体权利的行使。
两部法律对于可携带权定义的都涵盖了获取数据和转移数据的两个子权利,不同之处在于 GDPR 对可携权的规定更细致。
包括数据的呈现形式要求、响应时间和可携权的行权限制,而个保法更多是原则性的规定,下文将详细论述。
3. 企业责任
在个人信息可携带权的实现过程中,无论是适用GDPR还是个保法,企业主要承担的都是消极的义务,在用户发起权利请求时,企业需要进行响应并负责协助与配合。
但如果用户未主动发起请求,不能自动转移用户的个人信息。

数据接收方在整个流程中都应当注意其「接收者」的角色设定,不得主动发起抓取数据的动作。
例如,当某位用户希望将他的账号昵称、头像、日记和备忘录等笔记信息,从A笔记软件转移至B笔记软件,以方便他快速使用。
该需求并不违反法律规定,也不存在侵犯第三方合法权益的情形,则A笔记软件的运营者应当根据用户的请求,协助他进行数据的转移。
但需注意,作为B笔记软件的运营者,不能因此主动地抓取、爬取用户在A笔记软件中的个人信息,这不符合可携带权所希望实现的权益保护,同时该行为还可能存在不正当竞争或知识产权等其他风险。
尽管企业在用户可携带权行使的过程中主要扮演义务承担者角色,但不代表企业需要无条件地、无限制地履行义务。故对于可携带权的适用条件和具体范围也应再进一步探讨。

1. 可携带权适用的主体与地域范围
根据 GDPR 的规定,该条例适用的主体和地域范围为:
①在欧盟境内设立的数据控制者或处理者,在从事业务活动过程中处理个人数据;
②在欧盟境外设立的数据控制者或处理者,在向欧盟境内的自然人提供货物或服务、或监控在欧盟境内自然人于欧盟境内的活动时,处理个人数据;
③在欧盟境外设立的数据控制者或处理者,其位于欧盟某一成员国法律可以适用的地方。
可以看出 GDPR 的适用可以拓展到域外,那么自然有可能会对开展全球化业务的中国企业产生影响。
无论是否在欧盟境内设立了企业,只要实际上在欧盟境内采取了收集、处理欧盟境内自然人个人数据的行为的,均将收到 GDPR 的规范,均需要满足对用户可携带权等权利的行使规定。
而根据《个保法》的规定:
①凡在中国境内处理自然人个人信息的活动,
②在中国境外处理中国境内自然人个人信息的活动,均适用个保法。
相对于 GDPR 关于成员国等限制条件的说明,这一适用范围显得十分清晰和直观,对于国内的企业而言无疑是必须关注的。
那么,在具体的数据范围和限制上,又有哪些条件呢?
2. 可携带权适用的数据范围与限制
①GDPR
GDPR 对于可携带权适用的数据范围,明确前提为:
当数据的处理是基于数据主体同意或基于合同约定;通过自动化方式进行处理的。
也即,可行使权利的数据应当是与数据主体有关的,且由数据主体自主同意提供的数据,并且不包括经过数据控制者进一步分析和派生的数据或经过匿名处理后的数据结果。
满足以上条件的,原数据控制者不得阻碍数据主体将这些数据转移给其他的数据控制者。
例如,某用户在使用A软件应用前已明确同意提交其性别、年龄和学历信息,用于产品功能的服务并用于画像的构建和营销推荐,那么当用户请求向 B 软件转移其所提交的个人信息时,如技术可行,则是可以执行转移请求的;
但如果用户请求转移经过分析和处理后的画像数据与营销策略数据的,这类非自动化决策数据不属于 GDPR 所说明的「通过自动化方式进行处理」的数据,并可能涉及公司的商业秘密,则对于该请求可以予以拒绝。
同时,GDPR 对于可携带权的行使还作出了明确的限制,要求:
a.可携带权的行使不得影响删除权的行使;
b.可携带权的行使不适用于数据控制者为执行公众利益或者行使其被授权的官方权威而进行的必要处理的情况;
c.可携带权的行使不得对他人的权利和自由产生不利影响。
前两点较为清晰,而对于盖然性说明的c则可以进行进一步的探索。
根据欧盟数据工作保护组所公布的《数据可携带权指南》,请求可携数据中,可能包含第三人的数据(例如,请求获取双方的聊天记录即属于此种情形),对此应当注意遵循最小化原则与合理使用目的进行谨慎处理。
此外,请求可携数据中,可能包含他人的知识产权和商业秘密,那么应删除可能侵犯第三方权利的相关信息,或在不泄露第三方信息的情况下尽可能地满足用户可携带权的行使。
这也即是提醒适用 GDPR 条例的企业,在处理用户行使可携带权的过程中,并非一概而论的进行转移操作,而应当注意考虑对第三方数据及合法权益的保护。

②个保法及相关法律规定
目前,《个保法》对于可携带权的数据范围与限制,仅作出了「符合国家网信部门规定条件的」原则性的说明。
而2021年11月出台的《网络数据安全管理条例(征求意见稿)》第二十四条,则进一步对请求转移的数据范围即行使权利的限制作出了说明,体现为:
a.请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
b.请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
c.能够验证请求人的合法身份。
并且强调如果数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。
可以发现,该《征求意见稿》与 GDPR 均强调数据可携带权行使的范围和前提,是以用户的同意或基于合同的履行必要为限。
但不同的是,GDPR 特别关注对涉及第三方数据以及第三方合法权益数据转移请求的最小化、合理化限制,而目前版本的《网络数据安全管理条例(征求意见稿)》则更倾向于关注数据本身的授权合法性,并暂未对涉及第三方合法权益的数据作出具体的规制和指引。
对此,后续我们也将持续关注立法的动态,对于不同法益之间可能存在的冲突,相信个保法与相关法律法规会给出更清晰的回应。

1. 具体的响应时间
GDPR 中规定,在任何情况下,数据控制者应在收到权利请求后的一个月内向数据主体提供采取行动的信息;对于复杂的情况,这个时限可以延长到三个月,但前提是已经向数据主体告知了延长时限的原因。
如果数据主体请求的数据大小造成网络传输有问题,数据控制者可以考虑用替代方式提供数据,或允许个人数据直接传送到另一个数据控制者,而非通过最多三个月的延长时限来满足要求。
在我国,相较于更正权、删除权以及账号注销权利在《App违法违规收集使用个人信息行为认定方法》中明确的15个工作日响应时限要求,对于可携带权的权利请求响应时限则暂未有细化标准。
而参照《移动智能终端及应用软件用户个人信息保护实施指南》的规定,数据控制者应该在隐私政策中列明个人信息主体享有的数据权利,以及权利实现的具体操作方式。
并参照《App违法违规收集使用个人信息自评估指南》的规定,App运营者应妥善受理并及时反馈用户申诉,原则上在15天内回复处理意见和结果。
因此,就目前的合规方向而言,对于可携带权的说明,可以参照此「明示告知权利+提供原则性回复时间」的方式进行。

2. 需要呈现的标准
在对可携带权执行中所需呈现的数据标准方面,GDPR 特别强调了在技术可行的前提下,可转移的个人信息应当是以结构化、通用化和机器可读的形式(in a structured, commonly used and machine-readable format)呈现。
这体现了 GDPR 对于数据真正实现可兼容的、可阅读的、通用可转移标准的重视,虽然在具体的格式上没有做进一步的强制规定,且也给了数据控制者一个「在技术可行前提下」的宽容度。
但总体可以看出,GDPR 对于数据以通用格式标准、实现更为灵活流通的鼓励态度。
而在现有中国法律的语境下,《个保法》法条原文中的说明为:「个人信息处理者应当提供转移的途径」,强调了可携带权实现的强制要求,但暂时没有对数据可携带权的格式、数据呈现标准等提出具体的限制。
尽管如此,但出于对用户请求履行之目的,为了使得数据接收方能够有效接收数据,还是应当以合理的、通用或可读的方式进行传输。
在可携带权这一权利落地和执行的道路上,未来可能还有会更多的标准规范或行业自律协会公约等,为我们提供更为清晰和可执行的标准引导。

1. 可携带权进一步打破了数据壁垒
大数据时代下,数据成为了重要的发展「能源」,企业所掌握的用户数据越多,则在商业推广的决策上就越精准,在市场的竞争力也越强。
因此,不少企业逐渐强调对所收集用户数据的独占权,不仅建立了「数据孤岛」,而且在企业之间出现的数据之争也越来越频繁。
这样的趋势无论是对用户信息的保护,还是对市场活力的激发,都并非是正向的。
在对这一问题的回应上,数据可携带权成为了一个很好的答案。
笔者认为,数据可携带权的明确,是《个保法》在强化对用户数据保护的同时,探索如何更大化合理利用数据、减少数据垄断的一个重要尝试。
因为数据可携带权将企业间数据壁垒的打破权交给了原始数据的拥有者——用户,让用户成为数据的另一实质控制者。
这不仅方便了用户对其数据的掌控,也引导数据控制者、处理者往良性的数据竞争发展,强化数据流通的自由度。
2. 对可携带权的进一步思考
然而,在可携带权打破了企业间数据壁垒,避免企业绝对主导用户数据,从而加强数据流通的同时,我们可能还需要进一步思考权利落地时可能与司法实践或其他法律规定的冲突。
以「互联网反不正当竞争第一案」为例,新浪微博起诉脉脉抓取微博用户信息,尽管非授权的抓取行为本就不符合合规要求,这一点没有争议。
但本案值得关注的是,二审法院以司法判例的形式确认了企业对自有积累数据在竞争法意义上的财产权利属性。也即,法院认为,数据对于企业而言是一种有重要竞争优势的资源。
由此可见,虽然数据可携带权在一定程度上给了用户更大的自主控制权,也希望能够引导数据更好地进行流通和使用。
但在实际落地中,企业对于数据已作出的巨大的商业贡献和成本投入是否就应该被忽视?
对于数据可携带权的适用范围、执行方式以及与竞争法和市场商业逻辑可能存在的冲突,该如何进行评估?
对于数据壁垒突破和以及对企业合法权益的保护,又应如何进行平衡?
这些,都应是需要我们进一步思考和关注的问题。
除此之外,还需要考虑的是,后续如果进一步对数据可携带权的落地提出了具体的格式要求或者标准,那么对于中小企业而言,技术以及运营维护的成本投入很可能远大于其所拥有数据带来的收益,对于这一部分企业的发展保护和合理化的合规要求,也是一个重要的思考命题。

综上,GDPR 和《个保法》对于数据可携带权的规定和要求,立法本意基本相同,但也存在着很多细节上的差异。

技术驱动法律,专业成就未来