m88 sport betting app保法》漫谈系列之一:聊聊数据可携带权将如何落地
2021.08.22 朱彤 原舒仪
m88 sport betting app保法漫谈》系列是君合贸易和数据合规组为结合m88 sport betting app人信息保护法》的出台和实施,就新法之中的一些新问题、新要求和一些值得探讨的问题,跟大家以小文的形式进行交流,希望能抛砖引玉。
2021年8月20日,全国人大常委会审议并通过m88 sport betting app人信息保护法》,其中第45条明确了数据可携带权(Right to data portability),即“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。数据可携带权起源于欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR),未来m88 sport betting app人信息保护法》中规定的数据可携带权将如何在中国落地,其权利的边界与范围、权利实现的方式、数据可携带权落地可能遇到的困境,我们可以参考GDPR以进行探讨。
一、m88 sport betting app可携带权的范围与边界
1. 权利客体范围
GDPR明确的权利客体范围如下:
与m88 sport betting app主体相关的个人m88 sport betting app:匿名(anonymous)m88 sport betting app不在m88 sport betting app可携带权的客体范围内,而假名(pseudonymous)m88 sport betting app仍属于m88 sport betting app可携带权的客体范围。
m88 sport betting app主体“提供”给m88 sport betting app控制者的m88 sport betting app:包括(1)m88 sport betting app主体主动提供给m88 sport betting app控制者的m88 sport betting app;(2)m88 sport betting app主体因使用服务或设备而自动提供给m88 sport betting app控制者的m88 sport betting app(如搜索历史m88 sport betting app、由可穿戴设备追踪的心率等m88 sport betting app)。欧盟m88 sport betting app保护委员会(原欧盟第29条m88 sport betting app保护工作组)也在《m88 sport betting app可携带权指南》(Guidelines on the right to data portability under Regulation 2016/679,以下简称“《指南》”)中指出,第二类m88 sport betting app并不包括m88 sport betting app控制者在m88 sport betting app主体提供的m88 sport betting app基础上创造的推断m88 sport betting app或衍生m88 sport betting app(如根据用户可穿戴设备追踪的心率而分析得出的用户健康状况评估结果等m88 sport betting app)。
2. 权利边界
m88 sport betting app可携带权关注的是m88 sport betting app主体对其个人m88 sport betting app的控制力,但该权利的不合理扩张可能损害公共利益或他人合法权益,因此m88 sport betting app可携带权的行使并不是绝对的。根据GDPR第20条第3、4款,m88 sport betting app可携带权的行使主要有以下两方面限制:
m88 sport betting app可携带权不应妨碍GDPR第17条中被遗忘权的行使,并且不得影响m88 sport betting app控制者履行涉及公共利益的任务或行使被授予的官方权力。
不得对其他m88 sport betting app主体的权利和自由造成不利影响,这主要包括涉及第三方个人m88 sport betting app、知识产权和商业秘密的情形。
二、m88 sport betting app可携带权的实现方式
1. 行权条件
GDPR下m88 sport betting app可携带权的行使需要满足特定的条件:
行使m88 sport betting app可携带权的依据仅包括基于m88 sport betting app主体的同意和基于合同约定两种:需要注意的是,若m88 sport betting app主体与m88 sport betting app控制者权力地位差距悬殊,以至于m88 sport betting app主体无法完全基于自由意志作出,则有可能被认定为不构成有效同意。在这方面《指南》指出,涉及雇员m88 sport betting app的情形中,m88 sport betting app可携带权的行使通常仅基于合同约定。
行使m88 sport betting app可携带权所涉及的m88 sport betting app处理需要通过自动化方式进行:《指南》还指出,m88 sport betting app控制者之间的直接m88 sport betting app移转需要满足技术可行性的要件,即m88 sport betting app控制者之间系统的互通性(interoperability),而并不仅仅是GDPR要求的“结构化、通用化且可机读性”。
2. 权利请求的响应
响应方式:无论权利请求是否被拒绝,m88 sport betting app控制者都须予以m88 sport betting app主体答复。
响应时间:m88 sport betting app控制者不应无故拖延响应期限,通常应在收到m88 sport betting app可携带权行使请求后的一个月内作出答复(涉及复杂情形或多个请求时,响应期限可延长至三个月)。
是否收费:m88 sport betting app控制者通常不能对其提供m88 sport betting app的行为收取费用,除非m88 sport betting app控制者能证明m88 sport betting app主体的请求明显没有根据或其重复请求具有过度性。
3. m88 sport betting app保留
《指南》中建议m88 sport betting app控制者在m88 sport betting app主体关闭其账户之前保留有关m88 sport betting app可携带权的所有信息,以便用户取回其个人m88 sport betting app、在不同设备或服务之间便捷传输个人m88 sport betting app。
三、m88 sport betting app可携带权的困境与展望
m88 sport betting app可携带权从其诞生之初就被赋予了保护个人m88 sport betting app、增强m88 sport betting app市场竞争和促进数字经济繁荣的使命。然而,m88 sport betting app可携带权的实际执行也面临着诸多现实困境。例如,在技术的层面,m88 sport betting app控制者之间的直接移转m88 sport betting app要求实现其系统之间的互通性,对中小企业而言,这无疑会带来巨大的合规成本和技术障碍。而如果受限于互通系统的要求,m88 sport betting app主体可能无法轻易实现在m88 sport betting app控制者之间便捷地直接转移个人m88 sport betting app。此外,现实中如m88 sport betting app主体的聊天记录通常涉及第三人的利益,直接进行转移则会对其他m88 sport betting app主体的权利造成影响,因此,m88 sport betting app可携带权的实现往往也具有操作上的复杂性。
目前m88 sport betting app人信息保护法》并未明确数据可携带权的范围、权利实现方式,而是由国家网信部门制定配套制度。未来,在制度层面,国家网信部门是否会对可携带权行使范围进行限缩、如何平衡数据可携带权与第三方权益影响;在实践层面,企业如何在保障个人信息主体权利的基础上解决技术障碍、平衡合规成本,都将成为m88 sport betting app人信息保护法》出台之后值得持续观察、探讨的问题。
