隨著互聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)的不斷發(fā)展，數(shù)據(jù)資源成為企業(yè)新的生產(chǎn)要素。其中，企業(yè)以各種方式收集的個(gè)人信息是非常重要的數(shù)據(jù)資產(chǎn)，因此，企業(yè)有義務(wù)更好地保護(hù)個(gè)人的數(shù)據(jù)權(quán)利。專家指出，《個(gè)人信息保護(hù)法》在第四十五條中首次規(guī)定了數(shù)據(jù)可攜帶權(quán)，不僅增強(qiáng)了個(gè)人對個(gè)人信息轉(zhuǎn)移與再利用行為的控制，也將對國內(nèi)企業(yè)數(shù)據(jù)合規(guī)提出新的要求。

哪些信息可以收集?

“《個(gè)人信息保護(hù)法》針對信息收集有很多條文規(guī)定，它的基本原則就是要正當(dāng)、合法、必要。”中國社會(huì)科學(xué)院學(xué)部委員、全國人大憲法和法律委員會(huì)委員孫憲忠說。

孫憲忠指出，與收集個(gè)人信息有關(guān)的條文有以下幾個(gè)：第四條明確了個(gè)人信息到底指哪些、信息的處理包括什么，其中明確指出處理個(gè)人信息應(yīng)該合法、正當(dāng)、必要;第六條對應(yīng)性更強(qiáng)，明確指出處理個(gè)人信息應(yīng)該具有合理的目的，應(yīng)該與處理的目的直接相關(guān)，應(yīng)該對個(gè)人的權(quán)益影響最小，例如醫(yī)院對個(gè)人疾病治療信息的收集就是有明確合理的目的，但如果收集的信息與處理目的毫無關(guān)聯(lián)，就屬于違法收集了;第十四條明確規(guī)定，即使是個(gè)人同意收集信息，平臺(tái)或者APP提供者也要給個(gè)人提供充分的說明，有時(shí)甚至還要采取書面形式，這就延伸出了同意權(quán)和知情權(quán);第十五條還提到撤回權(quán);第十六條對信息收集者提出了要求，即個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者要求撤回信息為由，而拒絕向其提供產(chǎn)品或服務(wù)。

孫憲忠認(rèn)為，總體來說，個(gè)人信息收集是這次《個(gè)人信息保護(hù)法》非常重視的一個(gè)環(huán)節(jié)，其中有很多強(qiáng)制性的規(guī)定條文，這些都是特別有意義的。

什么是數(shù)據(jù)可攜帶權(quán)?

“我們也許都曾碰到過這樣的場景：去一家銀行貸款，銀行可能需要你提供個(gè)人的銀行流水、工資單等相關(guān)數(shù)據(jù)，可能還包括其他銀行的流水?dāng)?shù)據(jù)情況。這就是比較典型的涉及個(gè)人信息可攜帶權(quán)的場景。”中國首席數(shù)據(jù)官聯(lián)盟專家組成員、法律顧問，觀韜中茂(上海)律師事務(wù)所合伙人王渝偉在接受記者采訪時(shí)說。《個(gè)人信息保護(hù)法》第四十五條第一款規(guī)定“個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息”;第三款規(guī)定“個(gè)人請求將其個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑”。

王渝偉指出，《個(gè)人信息保護(hù)法》首次對數(shù)據(jù)可攜帶權(quán)作出規(guī)定，根據(jù)該規(guī)定，數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者處獲取個(gè)人信息副本，以及請求數(shù)據(jù)控制者直接將其個(gè)人信息傳輸給另一實(shí)體。至此，數(shù)據(jù)可攜帶權(quán)正式被納入我國個(gè)人信息保護(hù)法律體系，成為個(gè)人在個(gè)人信息處理活動(dòng)中的合法權(quán)利。個(gè)人對其提交給數(shù)據(jù)處理者的個(gè)人信息將擁有更全面的控制。

據(jù)中國信息通信研究院互聯(lián)網(wǎng)法律研究中心高級研究員、個(gè)人信息保護(hù)立法研究團(tuán)隊(duì)負(fù)責(zé)人楊婕介紹，歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)最早提出對數(shù)據(jù)可攜權(quán)的定義，包括個(gè)人數(shù)據(jù)副本獲取權(quán)以及個(gè)人數(shù)據(jù)轉(zhuǎn)移權(quán)。

王渝偉指出，從歐盟的相關(guān)定義看，數(shù)據(jù)可攜帶權(quán)是指數(shù)據(jù)主體有權(quán)以結(jié)構(gòu)化、通用的和機(jī)器可讀的格式接收其提供給控制者的有關(guān)自身的個(gè)人數(shù)據(jù)，并有權(quán)不受妨礙地將這些數(shù)據(jù)傳輸給另一個(gè)控制者。經(jīng)營者有義務(wù)根據(jù)消費(fèi)者的訪問請求，以郵寄或可攜帶的和可使用的電子方式，向消費(fèi)者免費(fèi)披露和傳輸其個(gè)人信息，以便消費(fèi)者能夠?qū)?shù)據(jù)不受限制地傳輸給另一實(shí)體。

該權(quán)益回應(yīng)什么問題?

“比如上述貸款案例，我們實(shí)際遇到的情況是：銀行的APP可以提供下載個(gè)人相關(guān)信息的服務(wù)，但是用戶協(xié)議里寫了‘該交易記錄僅供用戶自己查看，不能作為他用，否則視為違約’的條款。雖然我們會(huì)認(rèn)為這樣的約定是無效的，但在《個(gè)人信息保護(hù)法》出臺(tái)之前，用戶心里沒底，其他銀行也會(huì)有‘拿這樣的信息直接用是否會(huì)構(gòu)成不正當(dāng)競爭’的顧慮。《個(gè)人信息保護(hù)法》新設(shè)個(gè)人信息可攜帶權(quán)益，這類問題將迎刃而解。對用戶來說，對自己的個(gè)人信息查閱、復(fù)制、提供給第三方等權(quán)利都有了法律依據(jù)。”王渝偉表示。“一直以來，社會(huì)各界普遍認(rèn)為應(yīng)當(dāng)在《個(gè)人信息保護(hù)法》中設(shè)定數(shù)據(jù)可攜帶權(quán)，增強(qiáng)個(gè)體對個(gè)人信息轉(zhuǎn)移與再利用行為的把控。數(shù)據(jù)可攜帶權(quán)的設(shè)立，不但能夠體現(xiàn)立法的前瞻性，還能夠有效回應(yīng)大型平臺(tái)數(shù)據(jù)壟斷現(xiàn)象。”楊婕說。

觀韜中茂(上海)律師事務(wù)所律師陳剛認(rèn)為，數(shù)據(jù)可攜帶權(quán)的引入，主要是為了解決數(shù)據(jù)平臺(tái)的數(shù)據(jù)壟斷問題。一方面，數(shù)據(jù)可攜帶權(quán)被作為數(shù)據(jù)主體的數(shù)據(jù)權(quán)利之一，加強(qiáng)了數(shù)據(jù)主體對其個(gè)人數(shù)據(jù)的控制。另一方面，數(shù)據(jù)可攜帶權(quán)也可成為反壟斷法規(guī)中的重要制度，用以規(guī)制數(shù)據(jù)平臺(tái)的壟斷行為。他指出，很多數(shù)據(jù)平臺(tái)實(shí)際上充當(dāng)了兩個(gè)或多個(gè)用戶組(如買家和賣家)之間的重要紐帶。當(dāng)他們在平臺(tái)的一側(cè)(如買家)吸引大量用戶時(shí)，會(huì)成為通往這些市場或客戶路上不可避免的收費(fèi)站——平臺(tái)另一端的用戶(如賣家)由于別無選擇而使用其平臺(tái)。

楊婕認(rèn)為，具有先發(fā)市場地位的大型互聯(lián)網(wǎng)平臺(tái)，通過在市場早期積累的大量用戶個(gè)人信息，逐步形成了不可撼動(dòng)的行業(yè)地位。大型互聯(lián)網(wǎng)平臺(tái)因此常常肆意調(diào)整隱私政策，迫使用戶接受不公平的隱私條款。數(shù)據(jù)可攜帶權(quán)的設(shè)立，強(qiáng)化了用戶自主權(quán)，能夠有效破除個(gè)人信息流通障礙，以用戶權(quán)益為出發(fā)點(diǎn)，形成用戶主導(dǎo)型的個(gè)人信息跨平臺(tái)流通，起到防止個(gè)人信息鎖定、降低市場準(zhǔn)入門檻以及增強(qiáng)平臺(tái)之間競爭的效果。

哪些數(shù)據(jù)可以攜帶?

把在一家銀行的數(shù)據(jù)拷貝給另一家銀行，把醫(yī)療信息轉(zhuǎn)移到另一家醫(yī)院，寫了多年的博客一鍵導(dǎo)入到另一個(gè)平臺(tái)……這些，都可以嗎?

王渝偉認(rèn)為，《個(gè)人信息保護(hù)法》頒布以后，在司法實(shí)踐和個(gè)人權(quán)益維護(hù)的過程中，用戶可以理直氣壯地引用數(shù)據(jù)可攜帶的相關(guān)條款。但由于規(guī)定較為籠統(tǒng)，還存在用戶哪些數(shù)據(jù)可攜帶、如何攜帶的問題。王渝偉認(rèn)為，《個(gè)人信息保護(hù)法》對數(shù)據(jù)可攜帶權(quán)適用的數(shù)據(jù)范圍尚不明確。個(gè)人對于其提交給數(shù)據(jù)控制者的具有可識別性的原生數(shù)據(jù)(即基礎(chǔ)數(shù)據(jù))，應(yīng)該具有所有權(quán)，這部分信息屬于可攜帶數(shù)據(jù)。而與用戶有關(guān)的監(jiān)測數(shù)據(jù)以及數(shù)據(jù)控制者經(jīng)過算法加工、計(jì)算、聚合而成的衍生數(shù)據(jù)，是否屬于可攜帶權(quán)的保護(hù)范圍，則未明確規(guī)定。一般認(rèn)為，獲取該類數(shù)據(jù)需要獲得數(shù)據(jù)控制者的同意，即該類數(shù)據(jù)不屬于數(shù)據(jù)可攜帶權(quán)的范圍。GDPR的可攜帶數(shù)據(jù)包括兩類：數(shù)據(jù)主體有意和主動(dòng)提供的個(gè)人數(shù)據(jù)(如收件地址、用戶名、年齡等)以及數(shù)據(jù)主體通過使用服務(wù)或者設(shè)備所提供的觀測數(shù)據(jù)。

楊婕指出，根據(jù)GDPR的定義，數(shù)據(jù)主體有權(quán)獲取其提供給數(shù)據(jù)控制者的個(gè)人數(shù)據(jù)，所獲取的個(gè)人數(shù)據(jù)應(yīng)當(dāng)是結(jié)構(gòu)化的、通用的和機(jī)器可讀的，但并不涵蓋數(shù)據(jù)處理者抓取數(shù)據(jù)主體行為形成的觀測數(shù)據(jù)和各類衍生數(shù)據(jù)。

“數(shù)據(jù)攜帶權(quán)主要是指給到第三方的場景，這其中需要一個(gè)平衡。比如有人要?jiǎng)?chuàng)建一個(gè)類似的平臺(tái)，直接轉(zhuǎn)移用戶數(shù)據(jù)就可能產(chǎn)生另一種不正當(dāng)競爭。畢竟企業(yè)本身特殊的業(yè)務(wù)模式、特殊的數(shù)據(jù)場景也是自己特殊的競爭優(yōu)勢。因此，如果數(shù)據(jù)搜集企業(yè)已經(jīng)對數(shù)據(jù)進(jìn)行了再加工，這部分?jǐn)?shù)據(jù)到底屬不屬于可攜帶的范圍，就要具體區(qū)分，不能籠統(tǒng)地歸到可攜帶信息。”王渝偉說。

關(guān)于可攜帶數(shù)據(jù)的傳輸格式，根據(jù)《個(gè)人信息保護(hù)法》第四十五條第一款和第三款，數(shù)據(jù)可攜帶權(quán)的內(nèi)容包括數(shù)據(jù)主體獲取個(gè)人信息副本權(quán)，以及請求數(shù)據(jù)控制者直接將與數(shù)據(jù)主體有關(guān)的個(gè)人信息傳輸給另一數(shù)據(jù)控制者的權(quán)利。《個(gè)人信息保護(hù)法》對數(shù)據(jù)可攜帶權(quán)下傳輸數(shù)據(jù)的形式規(guī)定不明確。陳剛認(rèn)為，條文并未明確傳輸數(shù)據(jù)格式應(yīng)當(dāng)滿足的要求。正確的解讀應(yīng)該是：數(shù)據(jù)主體可以通過網(wǎng)絡(luò)隨時(shí)訪問數(shù)據(jù)控制者處理的個(gè)人信息。同理，數(shù)據(jù)控制者也應(yīng)當(dāng)以可攜帶的、通用的、機(jī)器可讀的形式向數(shù)據(jù)主體或者經(jīng)指定的數(shù)據(jù)接收方傳輸個(gè)人信息。

在楊婕看來，第四十五條對可攜帶權(quán)僅僅作了原則性規(guī)定，為接下來進(jìn)一步研究論證如何落實(shí)可攜帶權(quán)以及為國家網(wǎng)信部門制定配套性立法留足了空間。下一步，可以考慮從個(gè)人信息類型、處理方式、處理目的、平臺(tái)規(guī)模以及對第三方權(quán)益影響等方面，對可攜帶權(quán)進(jìn)行限縮。

王渝偉指出，數(shù)據(jù)可攜帶權(quán)的具體業(yè)務(wù)場景、具體司法解釋，包括具體的攜帶方式、支撐數(shù)據(jù)攜帶所產(chǎn)生的費(fèi)用誰來承擔(dān)等，都還需要在實(shí)踐中繼續(xù)摸索和完善。(記者：武曉莉)