编者按 万众瞩目的 “数字时代基本法”——《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)历经多年酝酿,终于亮相。8月20日,《个人信息保护法》在经过第三次审议后正式颁布,并将于11月1日正式生效,成为继《网络安全法》和《数据安全法》之后,数据保护的重要法律。本报记者通过对包括立法参与者在内的多位专家进行采访,从法律和实际场景的角度切入,对与消费者密切相关的几个方面进行深入解读。
中国消费者报报道(记者 武晓莉)随着互联网和大数据技术的不断发展,数据资源成为企业新的生产要素。其中,企业以各种方式收集的个人信息是非常重要的数据资产,因此,企业有义务更好地保护个人的数据权利。专家指出,《个人信息保护法》在第四十五条中首次规定了数据可携带权,不仅增强了个人对个人信息转移与再利用行为的控制,也将对国内企业数据合规提出新的要求。
哪些信息可以收集?
“《个人信息保护法》针对信息收集有很多条文规定,它的基本原则就是要正当、合法、必要。”中国社会科学院学部委员、全国人大宪法和法律委员会委员孙宪忠说。
孙宪忠指出,与收集个人信息有关的条文有以下几个:第四条明确了个人信息到底指哪些、信息的处理包括什么,其中明确指出处理个人信息应该合法、正当、必要;第六条对应性更强,明确指出处理个人信息应该具有合理的目的,应该与处理的目的直接相关,应该对个人的权益影响最小,例如医院对个人疾病治疗信息的收集就是有明确合理的目的,但如果收集的信息与处理目的毫无关联,就属于违法收集了;第十四条明确规定,即使是个人同意收集信息,平台或者APP提供者也要给个人提供充分的说明,有时甚至还要采取书面形式,这就延伸出了同意权和知情权;第十五条还提到撤回权;第十六条对信息收集者提出了要求,即个人信息处理者不得以个人不同意处理其个人信息或者要求撤回信息为由,而拒绝向其提供产品或服务。
孙宪忠认为,总体来说,个人信息收集是这次《个人信息保护法》非常重视的一个环节,其中有很多强制性的规定条文,这些都是特别有意义的。
什么是数据可携带权?
“我们也许都曾碰到过这样的场景:去一家银行贷款,银行可能需要你提供个人的银行流水、工资单等相关数据,可能还包括其他银行的流水数据情况。这就是比较典型的涉及个人信息可携带权的场景。”中国首席数据官联盟专家组成员、法律顾问,观韬中茂(上海)律师事务所合伙人王渝伟在接受记者采访时说。《个人信息保护法》第四十五条第一款规定“个人有权向个人信息处理者查阅、复制其个人信息”;第三款规定“个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。
王渝伟指出,《个人信息保护法》首次对数据可携带权作出规定,根据该规定,数据主体有权从数据控制者处获取个人信息副本,以及请求数据控制者直接将其个人信息传输给另一实体。至此,数据可携带权正式被纳入我国个人信息保护法律体系,成为个人在个人信息处理活动中的合法权利。个人对其提交给数据处理者的个人信息将拥有更全面的控制。
据中国信息通信研究院互联网法律研究中心高级研究员、个人信息保护立法研究团队负责人杨婕介绍,欧盟《通用数据保护条例》(GDPR)最早提出对数据可携权的定义,包括个人数据副本获取权以及个人数据转移权。
王渝伟指出,从欧盟的相关定义看,数据可携带权是指数据主体有权以结构化、通用的和机器可读的格式接收其提供给控制者的有关自身的个人数据,并有权不受妨碍地将这些数据传输给另一个控制者。经营者有义务根据消费者的访问请求,以邮寄或可携带的和可使用的电子方式,向消费者免费披露和传输其个人信息,以便消费者能够将数据不受限制地传输给另一实体。
该权益回应什么问题?
“比如上述贷款案例,我们实际遇到的情况是:银行的APP可以提供下载个人相关信息的服务,但是用户协议里写了‘该交易记录仅供用户自己查看,不能作为他用,否则视为违约’的条款。虽然我们会认为这样的约定是无效的,但在《个人信息保护法》出台之前,用户心里没底,其他银行也会有‘拿这样的信息直接用是否会构成不正当竞争’的顾虑。《个人信息保护法》新设个人信息可携带权益,这类问题将迎刃而解。对用户来说,对自己的个人信息查阅、复制、提供给第三方等权利都有了法律依据。”王渝伟表示。“一直以来,社会各界普遍认为应当在《个人信息保护法》中设定数据可携带权,增强个体对个人信息转移与再利用行为的把控。数据可携带权的设立,不但能够体现立法的前瞻性,还能够有效回应大型平台数据垄断现象。”杨婕说。
观韬中茂(上海)律师事务所律师陈刚认为,数据可携带权的引入,主要是为了解决数据平台的数据垄断问题。一方面,数据可携带权被作为数据主体的数据权利之一,加强了数据主体对其个人数据的控制。另一方面,数据可携带权也可成为反垄断法规中的重要制度,用以规制数据平台的垄断行为。他指出,很多数据平台实际上充当了两个或多个用户组(如买家和卖家)之间的重要纽带。当他们在平台的一侧(如买家)吸引大量用户时,会成为通往这些市场或客户路上不可避免的收费站——平台另一端的用户(如卖家)由于别无选择而使用其平台。
杨婕认为,具有先发市场地位的大型互联网平台,通过在市场早期积累的大量用户个人信息,逐步形成了不可撼动的行业地位。大型互联网平台因此常常肆意调整隐私政策,迫使用户接受不公平的隐私条款。数据可携带权的设立,强化了用户自主权,能够有效破除个人信息流通障碍,以用户权益为出发点,形成用户主导型的个人信息跨平台流通,起到防止个人信息锁定、降低市场准入门槛以及增强平台之间竞争的效果。
哪些数据可以携带?
把在一家银行的数据拷贝给另一家银行,把医疗信息转移到另一家医院,写了多年的博客一键导入到另一个平台……这些,都可以吗?
王渝伟认为,《个人信息保护法》颁布以后,在司法实践和个人权益维护的过程中,用户可以理直气壮地引用数据可携带的相关条款。但由于规定较为笼统,还存在用户哪些数据可携带、如何携带的问题。王渝伟认为,《个人信息保护法》对数据可携带权适用的数据范围尚不明确。个人对于其提交给数据控制者的具有可识别性的原生数据(即基础数据),应该具有所有权,这部分信息属于可携带数据。而与用户有关的监测数据以及数据控制者经过算法加工、计算、聚合而成的衍生数据,是否属于可携带权的保护范围,则未明确规定。一般认为,获取该类数据需要获得数据控制者的同意,即该类数据不属于数据可携带权的范围。GDPR的可携带数据包括两类:数据主体有意和主动提供的个人数据(如收件地址、用户名、年龄等)以及数据主体通过使用服务或者设备所提供的观测数据。
杨婕指出,根据GDPR的定义,数据主体有权获取其提供给数据控制者的个人数据,所获取的个人数据应当是结构化的、通用的和机器可读的,但并不涵盖数据处理者抓取数据主体行为形成的观测数据和各类衍生数据。
“数据携带权主要是指给到第三方的场景,这其中需要一个平衡。比如有人要创建一个类似的平台,直接转移用户数据就可能产生另一种不正当竞争。毕竟企业本身特殊的业务模式、特殊的数据场景也是自己特殊的竞争优势。因此,如果数据搜集企业已经对数据进行了再加工,这部分数据到底属不属于可携带的范围,就要具体区分,不能笼统地归到可携带信息。”王渝伟说。
关于可携带数据的传输格式,根据《个人信息保护法》第四十五条第一款和第三款,数据可携带权的内容包括数据主体获取个人信息副本权,以及请求数据控制者直接将与数据主体有关的个人信息传输给另一数据控制者的权利。《个人信息保护法》对数据可携带权下传输数据的形式规定不明确。陈刚认为,条文并未明确传输数据格式应当满足的要求。正确的解读应该是:数据主体可以通过网络随时访问数据控制者处理的个人信息。同理,数据控制者也应当以可携带的、通用的、机器可读的形式向数据主体或者经指定的数据接收方传输个人信息。
在杨婕看来,第四十五条对可携带权仅仅作了原则性规定,为接下来进一步研究论证如何落实可携带权以及为国家网信部门制定配套性立法留足了空间。下一步,可以考虑从个人信息类型、处理方式、处理目的、平台规模以及对第三方权益影响等方面,对可携带权进行限缩。
王渝伟指出,数据可携带权的具体业务场景、具体司法解释,包括具体的携带方式、支撑数据携带所产生的费用谁来承担等,都还需要在实践中继续摸索和完善。