个人信息权利中的可转移权
Locations
一、欧盟的规定
这个权利很难不让人联想欧盟GDPR中的“Right to data portability”,这个权利在中国一般被翻译为“可携权”,本文中沿用这一翻译,以区别中国《个人信息保护法》中的可转移权。
欧盟的可携权是指数据主体有权以结构化、通用和可机读的格式,接收其提供给控制者的有关于其的个人数据,并有权将这些数据传输给另一个控制者,而不受向其提供个人数据的控制者的阻碍。
可携权并不是无限权利,这一权利需要建立在:
1.处理活动的合法性基础是在同意或为履行合同所必须;其他合法性基础下的处理活动其实并不能产生可携权的行使基础。
2.处理活动是通过自动化方式进行的。
GDPR又在下方更明确的规定,这一权利不适用于为公共利益或行使授予控制者的官方权力而执行任务所需的处理。
GDPR Recital 68 进一步明确了这一权利的适用:
1.为了进一步加强对其自身数据的控制,如果个人数据的处理是通过自动化方式进行的,则还应允许数据主体接收其以结构化、常用、机器可读和互操作的格式提供给控制者的个人数据,并将其传输给另一个控制者。应鼓励数据控制器开发支持数据可移植性的互操作格式。换句话说,如果不是以自动化方式开展的,其实这一权利很难在技术上实现。
2.如果数据主体根据其同意提供了个人数据,或者履行合同需要进行处理,则该权利适用。如果处理是基于除同意或合同以外的法律依据,则这一权利不应适用。
3.就其性质而言,数据主体不应对在履行公共职责过程中处理个人数据的控制人行使该权利。因此,如果个人数据的处理是为了遵守控制者承担的法律义务,或为了执行公共利益或行使授予控制者的官方权力而执行的任务所必需的,则这一权利不应适用。
4.数据主体传输或接收有关其个人数据的权利不应构成控制者采用或维护处理系统技术兼容的义务。
5.如果某组个人数据涉及多个数据主体,则根据GDPR,接收个人数据的权利不应损害其他数据主体的权利和自由。
6.此外,该权利不应损害数据主体获得删除个人数据的权利以及本条例规定的该权利的限制,尤其是,不意味着删除他或她为履行合同而提供的关于数据主体的个人数据,只要这些个人数据是履行合同所必需的。
7. 在技术上可行的情况下,数据主体应有权将个人数据从一个控制者直接传输给另一个。
以上其实表明,欧盟GDPR中可携权的应用实际上是有很强的限制的,而不是无限权利,并且在实践中,即使符合两个条件,即控制者以自动化方式进行处理,并且所依赖的合法性基础是同意或者履行合同,这一权利行使仍然受到技术限制,所以一般能有这种技术进行操作的都是互联网公司居多。尤其是转移时,实际上涉及到系统的对接能力,以及转移前后的格式通用性和可读取性,就更是问题。所以很多欧盟的客户也都强调可携权要建立在技术可行的角度。
二、中国的可转移权的规定
中国的可转移权与欧盟的可携权是不是一个东西?现在法律太粗太框架,所以还不清楚。可以看看中国法律或者立法趋势里是怎么看待这个新名词的:
在此前的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)中:
8.6 个人信息主体获取个人信息副本
根据个人信息主体的请求,个人信息控制者宜为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将以下类型个人信息的副本传输给个人:
信息主体指定的第三方:
a) 本人的基本资料、身份信息;
b) 本人的健康生理信息、教育工作信息。
到这里,中国的规定还是和欧盟的很接近的,还是有强调在技术可行的前提下进行传输,但与欧盟相比,也没有明确具体的应用条件,比如说合法性基础的限制以及是否限于自动化处理。
《个人信息保护法》的规定:
“个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”
《网络数据安全管理条例》(征求意见稿)的规定:
“第二十四条 符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:
(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
(二) 请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
(三)能够验证请求人的合法身份。
数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。
请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。”
对比欧盟的规定,在传输这个层面上,中国的转移个人信息的请求没有提到任何关于技术的问题,也没有以结构化、通用、可机读的格式要求数据转移,这里就和欧盟关于可携权的规定有了一个区分。既然技术难度被中国法律给拿掉了,那么这里就要官方有一个进一步的解释了,到底可转移权跟欧盟的可携权是不是走的一个路子?或者说,怎么转移,对方怎么用?是我们理解的:信息像被移植过去了一样,到对方处直接能用?还是说信息通过书面、信函、邮件等方式传递过去后,到对方也要转换到自己的系统中进行解析和运用?这里没有说明。但法律目前的状态,有一定可能是在支持更广含义上的转移的,或者说不强求技术上的对接与系统能力吻合,而是更看重实质上的转移。但具体应该如何,需要官方进一步提供解释和指导。
另外一个也需要看到的是,这里也提到了实现这个权利的合法性基础条件限制,这也和欧盟的情况是一样的,换句话说,如果个人数据的处理是为了遵守承担的法律义务,或为了响应公共健康事件(防疫)或者为保护个人的生命财产安全所必需的,则这一权利不应适用,这在现实的处理活动场景下也是可以理解的,因为最原始的那一方自己得留着履行自己的法律义务。
三、疑问
我们遇到的主要问题点在两个方面上。首先,我们服务的公司是很希望能配合其消费者响应这个权利的,但是涉及转移时就面临两个问题:
1.怎么转移?通过系统进行电子方式的转移?还是通过书面方式转移?转移的路径怎么提供给个人?
我们思考,法律的本意是否是实现实质性的转移?如果是的话,那么就忽略掉了格式问题,而考虑以数据主体和接收方都能读取的方式来实现转移。但是涉及到另外一个问题,接收方由谁提供?换句话说,个人要求个人信息处理者A将信息转移给个人信息处理者B,但是A和B互相之间没有这么传过,是不是应该由个人来提供一个B的联系方式?
再深入一点,如果A不确定个人提供的B的联系方式是否准确,是否会造成数据泄露,那么A公司是否有权代表个人与B公司进行联系,确认B公司的真实性,并且与B公司达成转移的一致?但是这个时候,对于B公司而言,将面临另一个问题,如下:
2.接收方是否有足够的合法性基础来获取数据?
B公司作为接收方,属于获取个人信息的一方,虽然是被动获取,但是仍然需要具备合法性基础,从转移的角度而言,如果A公司的基础是获取同意,B公司也对应是获取同意,A公司处理的基础假如是为了履行合同,B公司应该也是一样的才对。但问题也出在这里,可能消费者并不买账,因为消费者可能认为我想把在A公司的数据转移给B公司纯粹是因为我不相信A公司了,但是我希望用一用B公司,但是还没和B公司订立合同。也就是说实际上可能会出现处理的合法性基础不是很吻合的情况。有同学会讲了:
A的合法性基础可能是同意+履行合同,B的合法性基础可能是同意+为订立合同。
这有什么本质区别?
问题在于,合同是双方的,这个消费者要和B签合同没问题,B也得要啊,或者说B也得有意向和消费者订立这样的协议。当行使转移权时,B公司很有可能都不知情。当然,为了把这个话题聊下去不至于聊死,我们让A去和B公司沟通,取得B公司的签署合同的意向,此时B公司为了订立合同来接收该消费者数据。然后呢?就发生了下一个问题:
3.用户体系不兼容的问题
A公司的用户体系和B公司的用户体系不一致,比如A公司待转移的字段是姓名、年龄、手机号、会员卡号、会员积分、消费记录以及赠品记录等。B公司一看,你的会员卡号、积分、消费记录、赠品记录跟我有啥关系?这时就会很麻烦,这些是个人信息吗?也是履行合同中所必须的,但是转移过去之后怎么存?怎么继续用?这就会构成进一步的问题。而且履行A的合同是不是和履行B的合同效果一样?这个问题也需要监管部门能给一些指导和建议。
总之,实践中这里的问题还是很多的,作为从业者,虽然按照学理上也对这个问题有一些自己的粗浅理解,但是从个人信息保护法实践的角度看,目前中国的法律已经走出了很多的独特性,因此在这个问题上,还是建议官方能够给出进一步指导,以促进企业在这个问题上的进一步合规。