返回列表
可携带权在我国落地的实践问题
2021-09-28

摘要

《中华人民共和国个人信息保护法》(《个保法》)出台后,单独同意、未成年人保护、违法成本、可携带权等内容迅速成为讨论焦点。其中,“可携带权”甚至被寄予打破垄断壁垒和促进市场竞争的期望。因此,本文将聚焦可携带权,通过比较欧盟的“可携带权”,介绍该权利的基本情况,同步探讨在我国落地可能面临的问题。

一、可携带权的来源介绍

(一)欧盟GDPR下的的可携带权

欧盟的《通用数据保护条例》(General Data Protection Regulation,以下简称GDRP)的第20条确定了可携带权(Right to data portability)。该权利的确定被寄予了厚望,旨在保护个人数据、促进数据流通和鼓励市场竞争。这是GDPR下数据主体的基本权利之一,其与访问权、更正权、限制处理权数据主体等权利共同构建数据主体完整的权利保障体系,给予更多数据主体对其个人数据的控制力和自决力。

根据ARTICLE 29 DATA PROTECTION WORKING PARTY (欧盟数据保护委员会(原欧盟第29条数据保护工作组)出台的Guidelines on the right to data portability under Regulation 2016/679(《数据可携带权指南》,以下简称“Guidelines”),符合特定条件下,可携带权下的个人数据主体权利分为两方面,包括:

①复制、下载等方式获取数据控制者所获取其数据副本并重复的使用,这也是个人数据主体访问权最直观的体现;

②将该个人数据从一个平台转移至另一个平台,这也是可携带的显著特征,避免个人数据被数据控制者“锁定”的局面,从而避免形成数据流通的壁垒。

因此说,欧盟GDPR的“可携带权”最能直接地反映数据主体对其个人数据的控制权。

为了让可携带权更有可操作性,GDPR第20条对可携带权作出较为详细的要求:

1.第一款的a)项规定了可携带权所适用的基于特定合法性基础处理活动范围,即仅适用于基于获得用户同意、基于合同履行,以及基于就业、社会保险与社会保障法领域内的数据控制者或数据主体履行义务、实现特定权利的目的所必要的三类合法性基础下的数据处理活动;

2.第一款的b)项则规定了个人数据的转移的技术条件和环境,即限于为利用自动化处理下获得的个人数据。结合GDPR第20条第一款内容,即在第一款的a)项规定的基础上,“可携带权”适用的数据还需符合一定的技术操作条件:为结构化(structured)、通用化(commonly used)和可机读(machine-readable)格式的数据。根据ICO出具的GDPR的指南,“可携带权”仅适用于IT环境下的自动化个人数据处理活动,排除了人工数据处理,例如纸质文档中的个人数据。。第三款则隐含了如技术实施成本是合理的条件,若存在较大难度或成本,该转移请求是不被支持的。

3.第四款则规定了该权利形式的制衡条件,即不能侵害第三人的权利和自由。

综合GDPR的全文来看,其Article20 和 Recital68还限定“可携带权”并不适用基于公共权益或者公权部门基于法定职责或法定义务下的个人数据处理活动。

(二)比对中国版的“可携带权”

我国《个保法》第四十五条第三款规定也赋予了个人信息主体具有将个人信息从一个平台转移至另一个平台的权利,其与GDPR的“可携带权”的内容相似,因此该条款的赋予个人信息主体的权利被称为中国版的“可携带权”。可携带权在《个保法》的一审稿和二审稿中均未出现,其在最后一次审议稿中增加,颇有临危受命的味道。这与当前加大互联网监管、反不正当竞争反垄断限制以及“共同富裕”的政策方向相符。因此,可以预见《个保法》的“可携带权”将对现有的互联网格局产生重大影响。

从内容上看,相比于欧盟的GDPR有关条文,我国版《个保法》并未对“可携带权”进行细则的规定,其将该权利的实施落地条件留给了国家网信部门进行规定和细化。目前该权利仍是较空洞,因为尚未有法律、行政法规等有关规定明确以下内容:

1.个人信息转移的适用范围及要求。

2.个人信息转移的技术环境及要求。

3.其他如不得妨碍第三方权益和自由的保护等制衡要求。

具体比对表格图示如下:

二、可携带权在我国落地的实践问题

虽然国家网信部门暂未制定和公布可携带权的转移条件的实施细则文档,但可借鉴GDPR“可携带权”落地实施的问题,来帮助反思我国“可携带权”落地将面临的问题。同时针对GDPR“可携带权”说适用的数据类型范围、实施条件设置等也可进行借鉴参考并明晰我国的可携带权的适用范围和条件。

首先,“可携带权”所适用的数据范围边界模糊,该权利的行使或将面临各类权属纠纷。

如前文说述,《个保法》并未明确“可携带权”的适用的个人信息范围,《民法典》《数据安全法》《个人信息保护法》等有关法律或行政法规也未确定个人信息的所有权属,其仅规定个人信息主体在个人信息处理活动中享有相应的权利。因此,“可携带权”落地可能面临该权利所适用的数据范围问题,也可能将因数据的权属而导致纠纷。

反观在GDPR,其结合Guidelines以及各国DPA出具的GDPR落地的配套指南性文件,可相对确定“可携带权”的适用范围。在GDPR的语境中,个人数据权属归个人数据主体,其对个人数据具有相对明确的控制权。但第20条规定也仅有原则性要求,“可携带权”可适用的数据范围需其他的文件来协助落地,Guidelines则对可携带权的适用的数据范围进行了参考性质的指引说明。根据该指引性文件,“可携带权”主要适用于两类数据:

1.个人主体提供的个人数据,包括:①个人信息主体主动填写或者以其他方式提供的信息,如个人姓名、身份、手机号、年龄等信息;②个人信息主体基于使用产品或服务时的被观察或被记录的数据,如个人使用系统平台、手机、手环等穿戴设备或其他移动设备终端所产生的登录、浏览、点击、购买、评论等行为数据”(下称“原始数据”)。

2.与个人有关的数据,即任何与该数据主体相关的个人信息,甚至可扩大至经假名化后但仍能识别个人的数据。该数据范围排除了匿名化后的数据和数据控制者基于个人主体提供的数据进行推测和派生的数据(下称“衍生数据”)。GDPR条款虽未明确衍生数据是否适用“可携带权”,但第20条第四款所规定的不得妨碍第三方的权利及自由也隐含了Guidelines的相似内容。对于数据处理者(含数据处理者)基于个人数据进行分析加工所得的衍生数据,若其集合了知识投入和其他创造性的成果及相应的权利,例如商业秘密、著作权等第三方的权利,“可携带权”的履行将会因与第三方的权利产生冲突而无法行使。

根据我国的司法实践,个人信息中的原始数据一般归属于个人,这或许为“可携带权”的落地带来一些期许。在“新浪诉脉脉”、“微信群控案”等与数据反不正当竞争纠纷的案件中,法院在具体个案的判决分析提及,在特定场景下个人信息中的原始数据属于个人而不属于平台,对于基于个人信息(无论是原始信息还是衍生信息)的整体数据集合的归属,法院仅未进行分析和认定,其保护内容仅为信息处理者(平台)基于整体数据集合所构成的竞争性权益。因此可预见的是,个人行使“可携带权”,至少在“原始数据”范围内而言,是具有一定的可行性的,但对于衍生数据是否适用,则需留待个案讨论或结合后续监管部门出具的细则文件来进一步确定了。

当然,在实际的操作场景下,个人行使“可携带权”所适用的数据范围还可能因数据处理者与个人信息主体约定数据权利归属而造成边界模糊,但该障碍或许可随着个保法及网信部门规定的细则出台而被突破。一些头部互联网企业基于其垄断性和市场支配能力,大多数会在隐私政策、用户协议等合同文本中约定用户的个人信息以及基于个人信息加工所得归平台所有(例如由用户主动提供的假名化的昵称、头像等数据)。一旦这些基本信息约定归属该企业所有,则个人信息主体请求行使有关数据将因合同约定数据的归属而无法适用。此外,其他行业竞争者即使得到了用户的同意而将其以上信息导入新平台,可能会面临不正当竞争的诉讼风险。

个保法的出台将可能打破这一困境,在符合条件的情况下,个人信息主体请求转移其个人信息至指定的个人信息处理者时,个保法规定了个人信息处理者有义务提供转移的途径的义务。因此,企业通过协议或合同约定个人信息的归属或限制可携带权的实现将面临违法的风险。

其次,“可携带权”所实现的途径和标准不清晰,其将可能面临技术障碍。

如前文所述,《个保法》并未明确该权利的实现途径,仅言“符合国家网信部门规定条件的”。参考GDPR的规定,也可预见我国的“可携带权”落地时需面临的技术障碍,尤其是数据的技术格式标准和技术可操作性等问题。

参考GDPR,从可转移数据的前提条件和具体技术指标作出规定:个人数据转移应是技术可操作的,需转移的数据是结构化、通用化、可机读的。一定程度上,对技术可操作提供了规范和标准的指引,也为个人信息自由流通建立技术基础。长期来看,对保护个人权利和促进市场竞争都会产生积极的影响,通过清晰的数据标准使个人可以有效控制其个人信息的,进而促进数据有序地流通,最终避免因企业自身打造的数据壁垒而导致的垄断局面。

但对企业而言,可携带权的落地实施并不是一件好事。

首先,为了实现用户的个人信息转移,企业将承担相当的技术、时间和人力成本,其不仅有旧数据的重建带来的改造成本,还有新数据的新格式带来的维护成本。若成本远大于收益,毫无疑问将成为资本主义精神的异教徒。在我国的市场经济中同样不适合。

再者,目前尚未有具体的案例或者文件指导该权利行使的较为统一的技术格式标准,现存的技术标准也相对封闭,更有加剧垄断的态势。在美国,谷歌主导了一套数据的格式标准,如utm数据格式标准,并将该标准广泛应用于自己的各个业务,同时推动和帮助其合作伙伴使用该技术标准。虽然在这个盟友圈数据能够自由流通,但是盟友圈以外的企业是无法触及的,数据无法与之交互或进行共享。因此,个人信息主体如果想从圈内转移到圈外,就会面临技术不可操作的问题,在实质上阻碍了转移权利的行使。谷歌借助其强势的垄断能力拉拢更多的盟友成立了一个圈子,通过建立标准的方式圈定了自己的数据帝国,反而让垄断的势头更盛,这也无疑是违背了立法者的初衷。

此外,技术具有专业性,但评估数据转移技术上的可行性尚没有权威的技术认定标准可以参考,因此对于技术是否可操作具有一定的异议空间。因此,企业很有可以利用这一特性而主张转移的技术不可操作,从而达到限制用户行使可携带权的目的。

最后,第三方的权利和自由等制衡问题,也将可能成为“可携带权”的实践的障碍。

如第一部分数据权属部分所述,问题的滥觞在于个人信息主体的个人信息权利与第三方的权利和自由之间的冲突。参考GDPR有关规定,其规定个人信息的权利形式不得妨碍第三方的权利和自由的形式。仅聚焦于个人信息及/或其衍生、派生的数据而言,就可能存在多种权利重叠、交集甚至冲突,以此构成“可携带权”的阻碍。以社交关系链为例,关系链是社交软件的关键命脉,它帮助你维持社交圈,让每一个孤立的个体有了联络,从而形成无穷无尽的关系网。人是群居动物,天然就对关系链产生依赖。这也是为什么一旦熟悉使用某个社交软件后,就无法脱离,除非有另一个新型的关系链出现。而当个人信息主体想将自己的社交信息,从一个平台转移至另一个平台,其实就是转移关系链,但一旦转移就会涉及到第三人的个人信息或其他数据,例如第三人的名称、头像、手机号、与他的聊天记录以及平台基于该数据进行加工分析所得的“用户画像标签”等衍生数据等。这些信息既是主张者的个人信息,同样也是第三人的个人信息(甚至是敏感个人信息),同时还可能是涉及平台知识产权的数据类型。根据个保法规定,如果要共享、转让这些个人信息,需要得到个人信息主体的授权同意;根据知识产权有关法律规定,还有可能需要获得平台的授权同意。当个人信息主体需要转移涉及成千上百名好友的关系链时,如何获取同意,将构成转移信息的一大门槛。

三、总结

综上所述,可携带权具有美好的初衷,可强化个人信息主体对自己的个人信息有全流程的控制,同时能有效地促进市场竞争。但通过层层的剖析,要想实现这种愿景,还有一定距离。现有的垄断企业可以通过技术可操作、格式联盟化、第三人权利和自由的制衡等因素,阻碍个人信息主体行使可携带权的合法权利。对我国的“可携带权”行使而言,关键在于国家网信部门制定条件的严苛程度。这或许是改变目前互联网格局的一个时代性的契机,我们拭目以待。

参考内容:

(1)Guidelines on the right to data portability under Regulation 2016/679(欧盟数据保护委员会(原欧盟第29条数据保护工作组)发布的《数据可携带权指南》)

(2)ICO关于GDPR的指引文件

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/

(3)“微信群控案”判决书2019)浙8601民初1987号、“新浪诉脉脉案”(2016)京73民终588号

 

作者:李林兴、许瑞凤

审稿:候天赐

(文中观点不代表北源律师事务所的观点或法律意见)

 

返回列表
可携带权在我国落地的实践问题
2021-09-28

摘要

《中华人民共和国个人信息保护法》(《个保法》)出台后,单独同意、未成年人保护、违法成本、可携带权等内容迅速成为讨论焦点。其中,“可携带权”甚至被寄予打破垄断壁垒和促进市场竞争的期望。因此,本文将聚焦可携带权,通过比较欧盟的“可携带权”,介绍该权利的基本情况,同步探讨在我国落地可能面临的问题。

一、可携带权的来源介绍

(一)欧盟GDPR下的的可携带权

欧盟的《通用数据保护条例》(General Data Protection Regulation,以下简称GDRP)的第20条确定了可携带权(Right to data portability)。该权利的确定被寄予了厚望,旨在保护个人数据、促进数据流通和鼓励市场竞争。这是GDPR下数据主体的基本权利之一,其与访问权、更正权、限制处理权数据主体等权利共同构建数据主体完整的权利保障体系,给予更多数据主体对其个人数据的控制力和自决力。

根据ARTICLE 29 DATA PROTECTION WORKING PARTY (欧盟数据保护委员会(原欧盟第29条数据保护工作组)出台的Guidelines on the right to data portability under Regulation 2016/679(《数据可携带权指南》,以下简称“Guidelines”),符合特定条件下,可携带权下的个人数据主体权利分为两方面,包括:

①复制、下载等方式获取数据控制者所获取其数据副本并重复的使用,这也是个人数据主体访问权最直观的体现;

②将该个人数据从一个平台转移至另一个平台,这也是可携带的显著特征,避免个人数据被数据控制者“锁定”的局面,从而避免形成数据流通的壁垒。

因此说,欧盟GDPR的“可携带权”最能直接地反映数据主体对其个人数据的控制权。

为了让可携带权更有可操作性,GDPR第20条对可携带权作出较为详细的要求:

1.第一款的a)项规定了可携带权所适用的基于特定合法性基础处理活动范围,即仅适用于基于获得用户同意、基于合同履行,以及基于就业、社会保险与社会保障法领域内的数据控制者或数据主体履行义务、实现特定权利的目的所必要的三类合法性基础下的数据处理活动;

2.第一款的b)项则规定了个人数据的转移的技术条件和环境,即限于为利用自动化处理下获得的个人数据。结合GDPR第20条第一款内容,即在第一款的a)项规定的基础上,“可携带权”适用的数据还需符合一定的技术操作条件:为结构化(structured)、通用化(commonly used)和可机读(machine-readable)格式的数据。根据ICO出具的GDPR的指南,“可携带权”仅适用于IT环境下的自动化个人数据处理活动,排除了人工数据处理,例如纸质文档中的个人数据。。第三款则隐含了如技术实施成本是合理的条件,若存在较大难度或成本,该转移请求是不被支持的。

3.第四款则规定了该权利形式的制衡条件,即不能侵害第三人的权利和自由。

综合GDPR的全文来看,其Article20 和 Recital68还限定“可携带权”并不适用基于公共权益或者公权部门基于法定职责或法定义务下的个人数据处理活动。

(二)比对中国版的“可携带权”

我国《个保法》第四十五条第三款规定也赋予了个人信息主体具有将个人信息从一个平台转移至另一个平台的权利,其与GDPR的“可携带权”的内容相似,因此该条款的赋予个人信息主体的权利被称为中国版的“可携带权”。可携带权在《个保法》的一审稿和二审稿中均未出现,其在最后一次审议稿中增加,颇有临危受命的味道。这与当前加大互联网监管、反不正当竞争反垄断限制以及“共同富裕”的政策方向相符。因此,可以预见《个保法》的“可携带权”将对现有的互联网格局产生重大影响。

从内容上看,相比于欧盟的GDPR有关条文,我国版《个保法》并未对“可携带权”进行细则的规定,其将该权利的实施落地条件留给了国家网信部门进行规定和细化。目前该权利仍是较空洞,因为尚未有法律、行政法规等有关规定明确以下内容:

1.个人信息转移的适用范围及要求。

2.个人信息转移的技术环境及要求。

3.其他如不得妨碍第三方权益和自由的保护等制衡要求。

具体比对表格图示如下:

二、可携带权在我国落地的实践问题

虽然国家网信部门暂未制定和公布可携带权的转移条件的实施细则文档,但可借鉴GDPR“可携带权”落地实施的问题,来帮助反思我国“可携带权”落地将面临的问题。同时针对GDPR“可携带权”说适用的数据类型范围、实施条件设置等也可进行借鉴参考并明晰我国的可携带权的适用范围和条件。

首先,“可携带权”所适用的数据范围边界模糊,该权利的行使或将面临各类权属纠纷。

如前文说述,《个保法》并未明确“可携带权”的适用的个人信息范围,《民法典》《数据安全法》《个人信息保护法》等有关法律或行政法规也未确定个人信息的所有权属,其仅规定个人信息主体在个人信息处理活动中享有相应的权利。因此,“可携带权”落地可能面临该权利所适用的数据范围问题,也可能将因数据的权属而导致纠纷。

反观在GDPR,其结合Guidelines以及各国DPA出具的GDPR落地的配套指南性文件,可相对确定“可携带权”的适用范围。在GDPR的语境中,个人数据权属归个人数据主体,其对个人数据具有相对明确的控制权。但第20条规定也仅有原则性要求,“可携带权”可适用的数据范围需其他的文件来协助落地,Guidelines则对可携带权的适用的数据范围进行了参考性质的指引说明。根据该指引性文件,“可携带权”主要适用于两类数据:

1.个人主体提供的个人数据,包括:①个人信息主体主动填写或者以其他方式提供的信息,如个人姓名、身份、手机号、年龄等信息;②个人信息主体基于使用产品或服务时的被观察或被记录的数据,如个人使用系统平台、手机、手环等穿戴设备或其他移动设备终端所产生的登录、浏览、点击、购买、评论等行为数据”(下称“原始数据”)。

2.与个人有关的数据,即任何与该数据主体相关的个人信息,甚至可扩大至经假名化后但仍能识别个人的数据。该数据范围排除了匿名化后的数据和数据控制者基于个人主体提供的数据进行推测和派生的数据(下称“衍生数据”)。GDPR条款虽未明确衍生数据是否适用“可携带权”,但第20条第四款所规定的不得妨碍第三方的权利及自由也隐含了Guidelines的相似内容。对于数据处理者(含数据处理者)基于个人数据进行分析加工所得的衍生数据,若其集合了知识投入和其他创造性的成果及相应的权利,例如商业秘密、著作权等第三方的权利,“可携带权”的履行将会因与第三方的权利产生冲突而无法行使。

根据我国的司法实践,个人信息中的原始数据一般归属于个人,这或许为“可携带权”的落地带来一些期许。在“新浪诉脉脉”、“微信群控案”等与数据反不正当竞争纠纷的案件中,法院在具体个案的判决分析提及,在特定场景下个人信息中的原始数据属于个人而不属于平台,对于基于个人信息(无论是原始信息还是衍生信息)的整体数据集合的归属,法院仅未进行分析和认定,其保护内容仅为信息处理者(平台)基于整体数据集合所构成的竞争性权益。因此可预见的是,个人行使“可携带权”,至少在“原始数据”范围内而言,是具有一定的可行性的,但对于衍生数据是否适用,则需留待个案讨论或结合后续监管部门出具的细则文件来进一步确定了。

当然,在实际的操作场景下,个人行使“可携带权”所适用的数据范围还可能因数据处理者与个人信息主体约定数据权利归属而造成边界模糊,但该障碍或许可随着个保法及网信部门规定的细则出台而被突破。一些头部互联网企业基于其垄断性和市场支配能力,大多数会在隐私政策、用户协议等合同文本中约定用户的个人信息以及基于个人信息加工所得归平台所有(例如由用户主动提供的假名化的昵称、头像等数据)。一旦这些基本信息约定归属该企业所有,则个人信息主体请求行使有关数据将因合同约定数据的归属而无法适用。此外,其他行业竞争者即使得到了用户的同意而将其以上信息导入新平台,可能会面临不正当竞争的诉讼风险。

个保法的出台将可能打破这一困境,在符合条件的情况下,个人信息主体请求转移其个人信息至指定的个人信息处理者时,个保法规定了个人信息处理者有义务提供转移的途径的义务。因此,企业通过协议或合同约定个人信息的归属或限制可携带权的实现将面临违法的风险。

其次,“可携带权”所实现的途径和标准不清晰,其将可能面临技术障碍。

如前文所述,《个保法》并未明确该权利的实现途径,仅言“符合国家网信部门规定条件的”。参考GDPR的规定,也可预见我国的“可携带权”落地时需面临的技术障碍,尤其是数据的技术格式标准和技术可操作性等问题。

参考GDPR,从可转移数据的前提条件和具体技术指标作出规定:个人数据转移应是技术可操作的,需转移的数据是结构化、通用化、可机读的。一定程度上,对技术可操作提供了规范和标准的指引,也为个人信息自由流通建立技术基础。长期来看,对保护个人权利和促进市场竞争都会产生积极的影响,通过清晰的数据标准使个人可以有效控制其个人信息的,进而促进数据有序地流通,最终避免因企业自身打造的数据壁垒而导致的垄断局面。

但对企业而言,可携带权的落地实施并不是一件好事。

首先,为了实现用户的个人信息转移,企业将承担相当的技术、时间和人力成本,其不仅有旧数据的重建带来的改造成本,还有新数据的新格式带来的维护成本。若成本远大于收益,毫无疑问将成为资本主义精神的异教徒。在我国的市场经济中同样不适合。

再者,目前尚未有具体的案例或者文件指导该权利行使的较为统一的技术格式标准,现存的技术标准也相对封闭,更有加剧垄断的态势。在美国,谷歌主导了一套数据的格式标准,如utm数据格式标准,并将该标准广泛应用于自己的各个业务,同时推动和帮助其合作伙伴使用该技术标准。虽然在这个盟友圈数据能够自由流通,但是盟友圈以外的企业是无法触及的,数据无法与之交互或进行共享。因此,个人信息主体如果想从圈内转移到圈外,就会面临技术不可操作的问题,在实质上阻碍了转移权利的行使。谷歌借助其强势的垄断能力拉拢更多的盟友成立了一个圈子,通过建立标准的方式圈定了自己的数据帝国,反而让垄断的势头更盛,这也无疑是违背了立法者的初衷。

此外,技术具有专业性,但评估数据转移技术上的可行性尚没有权威的技术认定标准可以参考,因此对于技术是否可操作具有一定的异议空间。因此,企业很有可以利用这一特性而主张转移的技术不可操作,从而达到限制用户行使可携带权的目的。

最后,第三方的权利和自由等制衡问题,也将可能成为“可携带权”的实践的障碍。

如第一部分数据权属部分所述,问题的滥觞在于个人信息主体的个人信息权利与第三方的权利和自由之间的冲突。参考GDPR有关规定,其规定个人信息的权利形式不得妨碍第三方的权利和自由的形式。仅聚焦于个人信息及/或其衍生、派生的数据而言,就可能存在多种权利重叠、交集甚至冲突,以此构成“可携带权”的阻碍。以社交关系链为例,关系链是社交软件的关键命脉,它帮助你维持社交圈,让每一个孤立的个体有了联络,从而形成无穷无尽的关系网。人是群居动物,天然就对关系链产生依赖。这也是为什么一旦熟悉使用某个社交软件后,就无法脱离,除非有另一个新型的关系链出现。而当个人信息主体想将自己的社交信息,从一个平台转移至另一个平台,其实就是转移关系链,但一旦转移就会涉及到第三人的个人信息或其他数据,例如第三人的名称、头像、手机号、与他的聊天记录以及平台基于该数据进行加工分析所得的“用户画像标签”等衍生数据等。这些信息既是主张者的个人信息,同样也是第三人的个人信息(甚至是敏感个人信息),同时还可能是涉及平台知识产权的数据类型。根据个保法规定,如果要共享、转让这些个人信息,需要得到个人信息主体的授权同意;根据知识产权有关法律规定,还有可能需要获得平台的授权同意。当个人信息主体需要转移涉及成千上百名好友的关系链时,如何获取同意,将构成转移信息的一大门槛。

三、总结

综上所述,可携带权具有美好的初衷,可强化个人信息主体对自己的个人信息有全流程的控制,同时能有效地促进市场竞争。但通过层层的剖析,要想实现这种愿景,还有一定距离。现有的垄断企业可以通过技术可操作、格式联盟化、第三人权利和自由的制衡等因素,阻碍个人信息主体行使可携带权的合法权利。对我国的“可携带权”行使而言,关键在于国家网信部门制定条件的严苛程度。这或许是改变目前互联网格局的一个时代性的契机,我们拭目以待。

参考内容:

(1)Guidelines on the right to data portability under Regulation 2016/679(欧盟数据保护委员会(原欧盟第29条数据保护工作组)发布的《数据可携带权指南》)

(2)ICO关于GDPR的指引文件

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/

(3)“微信群控案”判决书2019)浙8601民初1987号、“新浪诉脉脉案”(2016)京73民终588号

 

作者:李林兴、许瑞凤

审稿:候天赐

(文中观点不代表北源律师事务所的观点或法律意见)