搜索
  • 11

    X
  • 12

    X
  • 易轶

    X
  • 尹正友

    X
  • 于琦

    X
重复内容

数据|个人信息可携带权的国标解读及实践探究——以《数据安全技术·基于个人请求的个人信息转移要求(征求意见稿)》为核心

免费 吴丹君 时长/课时:21分钟/0.47课时 1个月之前
已学:1,087人 点赞 分享 推荐 收藏 设置

分享到微信

声音

  • 普通女声
  • 普通男声
  • 特别男声
  • 性感男声
  • 情感男声

语速

  • 0.7X
  • 1.0X
  • 1.5X
  • 2.0X
  • 3.0X
  • 4.0X

字号

  • 标准
  • 特大
确定 取消

2024年4月3日,全国网络安全标准化技术委员会发布《数据安全技术 基于个人请求的个人信息转移要求(征求意见稿)》(以下简称《个人信息转移要求》),明确了基于个人信息主体请求转移其个人信息的适用和行使条件、可请求转移的个人信息范围等内容。本文将探讨国内外对个人信息可携带权的法律规定,结合国内的商业实践和司法案例,分析个人信息转移的方式及合规要求。通过这一讨论,我们旨在为读者提供一个清晰的视角,理解个人信息可携带权的落地要点。

一、国际框架下的个人信息可携带权规定

(一)欧盟

2018年,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效,该条例首次将数据可携带权(Right to data portability)以法律形式明确确立。根据第20条规定,数据主体有权以结构化、通用的和机器可读的格式接收其提供给控制者的相关个人数据,并能够无障碍地将这些数据转移给另一位数据控制者。然而,为了平衡各方利益,数据可携带权的行使并非无限制的,需要满足一系列条件以确保权利的合理行使以及数据的安全传输。具体而言,这些条件包括:(1)转移范围限于数据主体提供给控制者的相关个人数据;(2)所涉数据的处理是通过自动化方式进行;(3)数据转移建立在数据主体同意或遵循合同约定的基础上;(4)不得损害他人的权利或自由;(5)在技术可行的基础上传输数据。

(二)美国

在美国,尽管联邦层面尚未制定统一的数据可携带制度,但一些州已经开始探索数据转移相关实践。例如,2018 年加州颁布《加州消费者隐私保护法 》(California Consumer Privacy Act ,CCPA),确立了消费者对其个人数据的访问和可携带权。根据该法案第1798.100条,企业向消费者提供其个人数据之前,应先对消费者进行身份验证。此外,企业以电子形式向消费者提供的数据应具备便携性,并在技术可行限度内采用易于使用的格式,使消费者能够无障碍地将这些信息转移给另一个实体。与欧盟的GDPR相比,CCPA特别考虑到了企业处理转移请求的成本,规定消费者在12个月内最多只能请求转移两次个人信息,旨在合理限制消费者行使权利的频率,减轻企业的负担。

(三)中国

《个人信息保护法》第四十五条第三款明确了个人信息可携带权的法律基础,规定个人有权请求将其个人信息转移至其指定的个人信息处理者,只要该请求满足国家网信部门规定的条件。为了推动该条款的落地,国家互联网信息办公室起草了《网络数据安全管理条例(征求意见稿)》,规定符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:(1)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;(2)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;(3)能够验证请求人的合法身份。为了进一步细化和明确个人信息可携带权的实施路径, 全国网络安全标准化技术委员会发布了《个人信息转移要求》。虽然该文件目前尚处于征求意见阶段,但其内容对于指导企业如何处理个人信息转移请求提供了重要的参考框架。

二、国内落地适用情况分析

个人信息可携带权作为个人信息主体所拥有的一项重要权利,正日益受到社会各界的广泛重视。随着相关法律法规和标准体系的不断完善,这一权利在商业领域中的体现与应用也日益丰富。同时,通过相关司法实践探索,个人信息可携带权的适用条件得到了进一步的明晰与界定,为权利的落地行使提供了法律保障。

(一)商业实践

当前,电信领域的“携号转网”服务是个人信息可携带权在商业实践中的一项重要体现。该服务的推行允许用户在更换电信服务提供商的同时,保留原有的手机号码,为用户提供了很大的便利,减少了因更换服务商而可能产生的社交和业务联系中断问题。自2019年《携号转网服务管理规定》发布以来,我国三大电信业务经营者积极响应,分别制定并发布了携号转网服务细则。这些细则明确了用户申请携出服务号码的具体条件,包括号码经实名登记、无在网约定期限限制、无拖欠费用等,从而确保了用户在符合条件的情况下能够顺利实现携号转网。

除电信行业外,其他涉及个人信息收集与处理的行业领域,如金融、电子商务、医疗健康等,也在积极探索和实践个人信息可携带权的应用。例如,以金融领域的微众银行为例,它牵头发起分布式数据传输协议(DDTP)倡议,致力于构建一个以用户主导权为核心的数据传输系统。在这一倡议下,用户能够基于个人信息可携带权,主动发起数据传输请求并进行上传操作,同时,用户也可对数据的使用范围和使用目的等进行明确授权管理。

此外,一些互联网平台和应用也在深入探索个人信息转移的落地方案,通过制定隐私政策来向用户说明其个人信息转移的具体操作流程和注意事项。例如,曹操出行的隐私政策中明确提到,在法律法规允许且技术可行的前提下,如数据接口匹配,用户可以要求将个人信息传输给指定的第三方。

7fe6f4a52262d3ce38f700973b437d4c.png

(来源:曹操出行个人信息保护及隐私政策)

(二)司法实践

在司法实践领域,涉及个人信息可携带权的讨论常见于反不正当竞争纠纷案中。典型的行为模式是A公司利用技术手段抓取、同步或移植B公司所拥有的用户个人信息数据,进而用于自己的商业经营活动。面对指控,A公司往往以获得用户授权许可为由进行抗辩,并主张用户享有数据可携带权。

关于被诉数据转移行为能否通过用户授权而具备正当性,司法案例呈现出不同的裁判观点。在(2019)沪73民终263号案中,法院认为,A公司基于用户同意通过关联账号获取该用户在B公司网站上的简历数据,不构成不正当竞争。因为选择关联账户功能并将简历信息同步至A公司服务器处,均出于用户自己的意愿,亦由用户自己使用该技术实现,A公司提供的关联同步技术本身不具有不正当性。而在(2019)浙8601民初1987号案中,法院对数据权益归属进行了细分,认为:对于某个特定的单一用户信息,B公司仅享有有限的使用权;而对于整体数据资源,由于B公司投入了大量的人力、财力和物力,因此依法拥有竞争性权益。用户授权范围无法及于B公司的合法权益,因此数据抓取行为构成不正当竞争。在(2021)京73民终2816号案中,法院同样指出,由于涉案信息存在多重利益主体——用户对原始数据享有权益,而原告平台则对其加工、处理形成的数据集合享有权益——被告仅凭涉案用户授权而进行大量的数据“移植”行为不具有正当性。

关于数据可携带权的抗辩,我们发现虽然法院都否定了这一抗辩事由,但在该权利的行使条件上却持有清晰而明确的立场。具体而言,法院强调了以下几点:(1)数据可携带权的行使必须符合特定条件,数据转移每一方均需采取严格的隐私和安全措施;(2)明确禁止任何未经授权的数据抓取和转移行为,数据转移应获得所有用户及关联用户的完整授权;(3)鉴于网络数据的多重属性,需平衡用户、数据平台经营者以及社会公众三方面的利益;(4)可携带权的实现以个人提出信息转移请求为前提,并由个人信息处理者协助将请求的信息转移给其他个人信息处理者。

基于司法实践的经验,新发布的《个人信息转移要求》对数据可携带权的适用条件进行了进一步明确,规定行使该权利需要同时满足以下条件:

1713518172688.png

三、国标要点内容解读

(一)可携带权的客体范围

根据《个人信息转移要求》第6.1条的规定,个人信息主体在行使可携带权时,有权请求转移的个人信息主要涵盖以下两大类:

1.个人在知情的情况下主动提供的个人信息。举例来说,当用户在某在线购物平台注册账号时,所填写的姓名、联系方式以及收货地址等,均属于此类信息。这些信息是用户基于知情同意主动分享给平台的,因此,在符合相关规定的前提下,用户有权要求将其转移至其他平台或机构。

2.个人因使用产品或服务而被观察和收集的信息。这类信息通常涉及用户在使用服务时的自动生成和采集的数据,如使用地图导航功能而提供的个人位置信息、使用物联网设备而直接采集到的心率数据等信息。

需要注意的是,经过匿名化处理后的信息,由于其不再能够直接或间接识别到特定个人,因此不再属于个人信息范畴,故个人信息主体无法请求将其转移至其他平台或机构。此外,个人信息处理者在对原始数据进行分析、计算和加工后,可能生成新的衍生信息,例如用户画像和行为分析报告。这些衍生信息虽然是从个人信息中提炼而来,但它们是处理者通过特定的算法和业务逻辑生成的,通常包含了处理者的知识产权、商业秘密和市场竞争优势。在(2020)粤0192民初20405号案中,法院认为,衍生数据系经营者在原始数据基础上开发处理的经营性成果,经营者应当享受相关权益。因此,这些衍生信息也不在个人信息主体可行使的数据可携带权范围内。在实际操作中,已有实践正在尝试界定可请求转移的个人信息范围,并通过隐私政策来明确这些范围,具体情况可参见下图所示。

1b5f4ca7a278f2a591fad18e682ba369.png

(来源:腾讯电子签隐私政策)

(二)个人信息转移的基本流程

根据《个人信息转移要求》,个人信息转移请求行使的基本流程主要包含请求发起、请求验证、请求处理、个人信息导出以及转移的个人信息导入五个步骤(基本流程图如下)。 

c9c74e8f3e68e1b1486a4f0aa066583b.png

请求发起阶段,个人信息处理者应以醒目且易于理解的方式,使用清晰明了的语言,真实、准确、全面地告知个人信息主体如何行使个人信息转移的权利,并为个人信息主体提供便捷的发起请求的途径。若个人选择委托第三方代为提出请求,个人信息处理者则需进一步核实请求的有效性,确保请求的真实性与合法性。

请求验证阶段,个人信息处理者进行个人身份认证时,必须确保采取的方法是合理和适度的,并且严格遵循最小必要原则。例如,对于要求用户提交手持身份证照片的方式,个人信息处理者应当评估是否有更好的替代方案可以达到相同的目的,以避免不必要地收集敏感个人信息。

请求处理阶段,《个人信息转移要求》为个人信息处理者设定了明确的操作规范,包括处理请求的时间限制、采用的标准格式、处理请求费用要求以及拒绝请求后需履行的告知义务,确保了处理流程的规范性。

个人信息的导出与导入环节,若牵涉到第三方的个人信息,信息导出方应当进行合理评估,并妥善保存相关的操作记录。作为接收方的信息处理者,应严格遵守用户明确的授权范围处理此类信息。例如,在未经用户明确授权的情况下,接收方不得利用自动化决策技术进行信息推送、商业营销等活动,以免侵犯用户的个人信息权益。

(三)特殊个人信息转移请求处理要求

1.不满14周岁未成年人个人信息转移请求

针对不满14周岁未成年人的个人信息转移请求,鉴于其属于敏感个人信息,必须施以更高标准的保护措施。根据《个人信息转移要求》和《信息安全技术 个人信息安全规范》(GB/T 35273-2020),个人信息处理者在处理这类请求时可事先开展个人信息安全影响评估,评估转移可能带来的安全风险,并据此制定保护措施。

同时,个人信息处理者应确保未成年人的个人信息转移是在其父母或其他监护人的充分知情和明确授权下进行的。在个人信息转移过程中,个人信息处理者还应向接收方提示该信息来源于未成年人,以便接收方能够充分了解信息的敏感性,并据此采取相应的保护措施,确保未成年人的个人信息在转移和使用过程中得到妥善保护。

2.涉及第三方的个人信息转移请求

当个人信息处理者已经通过共享或委托等方式将个人信息提供给第三方时,个人信息处理者需向个人信息主体承担告知义务,告知其提供给第三方的个人信息类型和数量,并详细说明第三方处理者的身份、联系方式、处理目的和方式以及向第三方行使个人信息转移权的方式和程序等。同时,个人信息处理者有义务监督第三方的履约情况,一旦发现第三方未能履行转移请求,存在侵害信息主体权益的风险,必须及时采取补救措施以防止损害扩大,确保个人信息主体的权益得到妥善保护。

3.涉及跨境提供的个人信息转移请求

根据《个人信息转移要求》的明确规定,当个人提出将个人信息转移至指定境外接收方时,个人信息处理者必须履行告知义务和数据跨境合规义务。根据《个人信息保护法》《促进和规范数据跨境流动规定》《数据出境安全评估办法》等相关规定,个人信息处理者需通过数据出境安全评估、个人信息出境标准合同备案或个人信息出境安全认证等合规路径,确保个人信息向境外接收方的安全传输。

若个人信息处理者无法满足上述出境要求,必须明确告知个人信息主体,并主动提供复制其个人信息的方法,以便个人信息主体能够自行处理其数据。

(四)个人信息转移请求的响应路径

个人信息转移过程中将涉及到个人信息主体、个人信息处理者、个人信息接收方等多方主体,《个人信息转移要求》基于各方在个人信息转移过程中的作用,将个人信息转移方式分为了以下三种,并明确了每种路径的合规要求:

1.完全以个人信息主体为中心的个人信息转移

b562fc42857df0e2bd845467f9cf79c8.png

在此模式下,个人信息转移活动主要围绕个人信息主体展开。由个人信息主体主动发起转移请求,并在接收转移的个人信息后,自行将其提供给指定的个人信息接收方,从而实现个人信息的转移。为确保整个流程的效率,个人信息处理者对个人信息转移请求的验证时限以及转移操作时限均设定为15日。

根据《个人信息转移要求》的明确规定,个人信息处理者所提供的信息应当采用机器可读的格式,以便于个人信息主体的接收和后续使用。若在转移过程中出现失败情况,接收方有责任向个人信息主体说明未能成功完成转移的具体原因,确保个人信息主体能够及时了解转移状态并采取相应的措施。

2.个人信息接收方(转入方)积极主动模式的个人信息转移

eddafa4b421056ebf7ed273d729b16ce.png

在该模式下,个人信息主体发出个人信息转移请求的对象是个人信息接收方。接收方完成个人信息主体认证后,将转移请求和个人信息主体验证信息发送给个人信息处理者。个人信息处理者在收到请求后,应在15日内完成请求的验证工作,并在通过验证后15日内将需要转移的个人信息直接提供给个人信息接收方。

3.代理模式的个人信息转移

b6e04080092d585b31fb0d80ce5a5fb4.png

代理模式下的个人信息转移与第一种路径相似,但特别引入了代理机构作为中介参与个人信息的转移活动。这一流程依然遵循个人信息可携带权的原则,以个人信息主体的请求为起始点。代理机构根据个人信息主体的指示,代表其向个人信息处理者发送转移请求。个人信息处理者在接收到转移请求后,负责进行必要的验证工作,并在规定时间内向代理机构完成个人信息的转移。代理机构应在1天内将所转移的信息发送给个人信息主体指定的接收方。在整个转移过程完成后,代理机构应当将整个处理过程中各个阶段信息汇总并反馈给个人信息主体,确保个人信息主体对其个人信息的转移有完整的了解和控制。

重要提示:本文章并非提供法律或其他意见,请勿基于本文章内容采取或不采取任何行动。

作者:吴丹君律师团队

首发:微信公众号“大数据法律研究”

版权声明:著作权归作者所有,如需转载,请联系作者获得授权,并注明作者信息及文章出处
发布:吴丹君 编辑:点小读 责任编辑:点小读

还可以输入280个字 查看 《留言评论奖励规则》 发表评论

精选评论

(1)

公司决议下次,股东是否打赏的卡死了肯德基阿里

声音
  • 情感童声
  • 性感男声
  • 特别男声
  • 普通男声
  • 普通女声
语速
  • 0.7X
  • 1.0X
  • 1.5X
  • 2X
  • 3X
  • 4X
字号
  • 特大
  • 标准

作者

吴丹君
  • 文章156
  • 读者52w
  • 关注25
  • 点赞435

  观韬中茂上海办公室合伙人,律商联讯LexisNexis网络安全合规专家、首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。

  专注于互联网、数据信息合规领域,就网络安全和数据信息的合规事项为客户提供咨询及全流程合规整改服务。精耕于网络安全合规领域.

  执业领域:

  互联网|数据信息、兼并收购、外商直接投资、酒店等

  曾为众多跨国公司和外国公司的在华投资、并购以及日常运营提供法律服务。

我也要当作者

思想共享 知识变现

点赞

(2) 更多

常见问题

  • 1、“点读”是什么?

    点读是点睛网APP中的一款全民学法的人工智能(AI)新产品。它能“识字”和“朗读”,它使“读屏”变“听书”,解放读者的眼睛和颈椎。它使“讲课”变“写作”,解放讲师的时间和身心。

  • 2、“点读”的作者?

    在点睛网PC或APP端注册,登录点睛网PC端个人后台,点击“我的文章”,填写作者信息并上传文章。当第一篇文章通过编辑审核后,即成为点睛网的正式作者。

  • 3、“点读”的文章?

    作者在点睛网个人中心发布文章,编辑审核合格的才能呈现给读者。作者只能发布自己写的文章,不能发布或转发他人的文章。更不能发布有违法律法规、政府规定,或公序良俗、文明风尚、社会和谐等文章。

  • 4、“点读”的审核?

    作者文章上传后,编辑将在工作日最晚不超过24个小时、非工作日最晚不超过48个小时内完成审核。审核未通过的,说明理由。文章评论的审核,参照以上周期。

记课时

数据|个人信息可携带权的国标解读及实践探究——以《数据安全技术·基于个人请求的个人信息转移要求(征求意见稿)》为核心

消费:70点币 现有:0点币 课时:0.47课时/21分钟
确定

您好,以下是重要提示:

本网服务属虚拟电子产品,通过第三方平台支付,退费程序复杂且成本畸高。所以, 一经购买成功,概不支持退费请您理解。谢谢!

支付成功

恭喜您记录课时成功!

继续听课 选择文章
记课时

数据|个人信息可携带权的国标解读及实践探究——以《数据安全技术·基于个人请求的个人信息转移要求(征求意见稿)》为核心

消费:70点币 现有:0点币(点币余额不足,还需支付533点币) 课时:0.47课时/21分钟
充值

您好,以下是重要提示:

本网服务属虚拟电子产品,通过第三方平台支付,退费程序复杂且成本畸高。所以, 一经购买成功,概不支持退费请您理解。谢谢!

文章查重申诉
0 /1000
提交申诉
提交成功

我们会尽快处理您的申诉意见,
请注意查看处理结果。

确认