˙
新闻与出版物
可携带权在手,个人信息我有? ——关于《个人信息保护法》中可携带权有关规定的评论及建议
2021年08月26日 发布人:华诚小编

可携带权在手,个人信息我有?——关于《个人信息保护法》中可携带权有关规定的评论及建议

华诚律师事务所  金易文

随着信息化与经济社会持续深度融合,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。与此同时,个人信息利用与保护之间的矛盾也愈发突出,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。

 

幸好,8月20日,十三届全国人大常委会第三十次会议表决通过了《个人信息保护法》,并将于2021年11月1日起施行。值得注意的是,除了针对过度收集信息、大数据杀熟、滥用人脸识别技术等热门问题进行了规制外,《个人信息保护法》也借鉴了域外立法有益经验,增加个人信息可携带权的规定:根据《个人信息保护法》第四十五条第三款的规定,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

image.png

个人信息可携带权源自于欧盟《一般数据保护条例》(General Data Protection Regulation,下文简称GDPR),GDPR在其第20条第1款中对数据可携带权作了如下定义:数据主体有权获取其提供给数据控制者的相关个人数据,其所获取的个人数据形态应当是结构化的(structured)、通用的(commonly used)和机器可读的(machine-readable),且数据主体有权将此类数据无障碍地从该控制者处传输至其他控制者处。

image.png

这项富有创新性的权利允许用户把数据导入到第三方,还将使个人可以在同类或相似服务的不同服务商之间轻松转换,旨在强化个人对其个人信息的控制权,促进数据自由流动,理论上是有助于打破数据领域的垄断以及数据孤岛局面,激发互联网领域的创新活力的。

 

但事实真的如此吗?笔者认为,就目前国内个人信息保护的现状而言,《个人信息保护法》对于可携带权较为原则性的规定可能会导致以下问题:

 

一、可能导致个人数据向大企业集中

将个人数据的选择权交给用户,在数据数据安全保护的技术高低差异客观存在的前提下,小企业难以确保用户的信任。

 

从用户角度来看,作为数据主体的用户在对接收数据的企业的技术安全措施缺乏清晰认知的情况下,可能更愿意将自己的个人信息储存在那些比较知名、自己相对信得过的大公司系统里;从企业角度来看,当中小企业考虑到自身收集、整理的数据可能被转移到其他数据控制者手里时,也可能抑制这些企业收集、整理数据并创新数据业务的意愿;从商业竞争角度来看,大企业可以利用原本的竞争优势,让渡较小的利益来引导用户转移其在中小企业中的个人数据,导致中小企业的客户及数据资源流失。

image.png

最终,在小企业因缺乏足够的数据无法经营而被收购兼并乃至破产重组中,中小企业自身收集的个人信息很可能被转移到大企业手里。因此,无论从哪个角度来看,可携带权可能导致的一个结果就是,数据最终慢慢集中到大公司的控制下,仍旧无法自由流通

 

二、可能降低中小企业竞争力

依据《个人信息保护法》的规定,中小企业为落实“可携带权”,实现使数据主体不受阻碍地将个人数据从一个数据控制者转移到另一个数据控制者,不得不开发具有“可互操作性”的数据系统,并增加对数据安全方面的投资。实践中,实现不同系统与功能单元之间的数据互操作性并非易事,需要付出额外的成本,包括但不限于人员管理配置、数据接口等技术升级。

image.png

但是,从欧盟2017年以来的实践来看,脸书、谷歌等大型企业陆续开始形成企业数据格式统一且可相互转移的联盟,如果用户想将数据转至其他联盟外的平台,则可能因无法兼容的接口而落空,这对于中小企业而言是非常不利的。因此,数据可携权可能会为中小企业带来更大的合规压力与运营成本,反而可能降低中小企业的竞争力

 

三、可能导致额外的数据安全风险

根据《个人信息保护法》的规定,可携带权作为个人信息主体的基本权利,其行使与否完全取决于个人信息主体的自由意志,考虑到目前数量庞大的互联网消费者,这可能使得今后个人数据的传输和转移变得十分频繁,客观上为恶意攻击提供了机会。当一些数据接收者的技术能力有限或对数据主体的认证力度不够时,黑客、数据黑产、灰产等恶意攻击者利用虚假身份盗取个人数据、以数据或注入错误代码的方式来进行违法犯罪活动的可能性将会显著提高

image.png

四、可能增加企业间侵权风险

从法律风险上看,可携带权的行使也可能侵犯企业的知识产权。如对于企业收集并整理的个人数据,在一定情况下可能符合商业秘密的构成条件,进而成为企业的商业秘密,应当受到《反不正当竞争法》等法律法规的保护,但可携带权的行使实际上与上述商业秘密构成了冲突,如果个人信息主体将包含有上述商业秘密的数据传输到竞争对手公司,那无疑将损害该公司的合法权益,甚至可携带权可能成为企业之间互相窃取商业秘密的一大武器

image.png

可携带权的设置是具有进步意义的,其有利于打破数据领域的垄断以及数据孤岛局面,但它也是一柄双刃剑,是如果不对其进行进一步的细致规定,实践中的意义将大打折扣。根据《个人信息保护法》第六十二条的规定,国家网信部门统筹协调有关部门依据本法制定个人信息保护具体规则、标准。

 

为此,笔者建议在上述网信部门后续牵头制定的具体规则、标准中,对可携带权的相关事宜明确如下:

 

一、明确可携带权适用的数据范围

《个人信息保护法》对于可携带权的规定比较笼统,关于数据可携带权适用的数据范围尚不明确。

 

对此,可以参考欧盟的分类办法。根据前述的GDPR及欧盟制定的《数据可携带指南》的规定,个人数据主要可以分为两类:一类是数据主体主动提供的数据,如填写的个人资料信息,姓名、性别、年龄、家庭住址等;另一类则是数据控制者通过观测数据主体在使用某些服务而记录的个人数据,如某人的搜索历史记录、交通数据、位置数据以及可穿戴设备跟踪的心跳数据等。但不包括个人用户的精准画像、信用评级、人物影响力等通过对上述两种数据进行后续分析推断得到的衍生数据,也不包括匿名或不涉及数据主体的数据。

image.png

笔者建议,在上述网信部门后续牵头制定的具体规则、标准中,可以将可携带权的个人信息范围限定在第一类,也就是数据主体主动提供的数据中,对于第二类个人数据以及精准画像、用户评级等,由于可能涉及到企业的商业秘密或个人主体的隐私,不宜作为可携带权的客体。

 

二、统一可携带权数据传输格式

如前所述,《个人信息保护法》下对于可携带权下传输的数据形式也尚不明确,这可能导致中小企业增加额外的合规成本。

 

对此,笔者建议,在上述网信部门后续牵头制定的具体规则、标准中,可以统一可携带权下传输的数据格式,具体而言,首先可以通过行业协会和行业利益相关者的合作,以类似“企业标准”或“最佳实践”的方式,建立一套最低标准的数据可交互操作的标准和格式,确保该标准可以被多数企业所适用;然后,在部分特定的领域中开展试点工作,给予中小企业一定的缓冲期,并由行业协会对无法建立统一接口的中小企业提供一定的帮助和指导;在条件成熟后,最终建立统一的强制性国家标准。

 

三、针对不同平台进行类型化区分

鉴于可携带权可能对不同规模的企业存在不同的效应,笔者建议需要针对不同平台进行类型化区分,并进行精细化设计,从而最大限度地发挥该制度的积极作用。

 

1、 促进政府部门间的数据的共享

首先,对于提供公共服务的政府部门来说,笔者认为不应进行太多限制,反而可以将数据可携权视为一种柔性权利,在具体场景中赋予个体数据可携权,如在政府部门建立跨部门的数据共享联合工作机构,受理个体所提出的合理的数据可携权请求,促进我国政府和事业单位打破部门藩篱,消除“数据孤岛”,促进政府部门间的数据的共享与便民化服务。

 

2、 禁止数据在大企业之间以可携带权形式进行流转

其次,对于可能借可携带权进一步垄断数据的大企业而言,为了防范个人信息在各大企业间转移而不对小企业开放,笔者建议可以将可携带权的主要应用场景限制在大企业向小企业开放的场景中,而达到一定规模的大企业间的数据流转,则不应当适用可携带权的相关规定。

 

四、保护企业知识产权和个人隐私

在实现可携带权的同时,也应当一并考虑到对企业的商业秘密等知识产权和个人隐私的保护,当实现可携带权时打包的数据中包含涉及到其他数据主体的个人数据、知识产权数据以及商业秘密数据时,要确保对此类数据行使数据可携权时,不得对其他数据主体的权利和自由造成不利影响。

image.png

笔者建议,可以在上述网信部门后续牵头制定的具体规则、标准中,明确普通个人数据与商业秘密的界限,并明确企业内部对其进行筛选、判断的责任人以及监督部门;此外,笔者也建议可以要求通过行业标准等形式对数据传输的加密要求和形式进行明确,防止在传输过程中遭遇黑客、数据黑产、灰产等恶意攻击进而产生泄露。


本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。

© Copyright 2000-2015 All Rights Reserved | 沪ICP备15028801号 隐私保护 | 用户反馈

沪公网安备 31010402001317号

Lin