本文来自微信公众号“互联网与社会发展研究中心”,作者/钱虹瑾,宁波大学法学院2022级法学硕士。
数据可携带权是欧盟在《通用数据保护条例》(General Data Protection Regulation,GDPR)中提出的一项新型数据权利。从诞生开始,该项权利的属性和实施等问题就存在很大争议。然而,为了和欧盟的数据保护水平相匹配,世界上很多国家和地区的个人信息保护法都规定了数据可携带权。我国《个人信息保护法》第45条第3款也明确规定个人享有数据可携带权,①但未规定其具体适用条件和范围,而是授权国家网信部门来规定。国家网信办会同相关部门研究起草的《网络数据安全管理条例(征求意见稿)》第24条规定了数据可携带权的适用条件、适用范围。②但《网络数据安全管理条例(征求意见稿)》的数据可携带权条文仍属粗线条规定,无法为实践提供明确指引。
《个人信息保护法》第45条第3款规定:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”
《网络数据安全管理条例(征求意见稿)》第24条规定:“符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:
(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
(三)能够验证请求人的合法身份。
数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。
请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。”
争议之处
在我国理论界与实务界就是否应当规定个人信息可携带权,存在争论。一种观点认为,我国法上不应当赋予自然人以个人信息可携带权,理由在于:规定个人信息可携带权在技术实现上存在很大的难度,可能会极大的增加企业的经营成本。[1]同时,个人信息作为网络企业取得竞争优势很重要的一种资产,规定个人信息可携带权还可能导致各个企业之间以此作为工具抢夺数据,存在不正当竞争的风险。[2]此外,个人信息可携带权使得更多信息处理者拥有获取信息主体个人信息的机会,无形中可能给黑客或犯罪组织盗取个人信息大开方便之门。[3]另一种相反的观点认为,我国应当承认个人信息的可携带权,理由在于:赋予个人自由获取和转移个人信息的权利,增强个人对其个人信息的控制,体现了自然人对其个人信息或个人数据的支配性,是个人信息权益的重要组成部分。其次,规定个人信息可携带权,可以打破个人信息或个人数据领域的垄断,防止大型网络企业扼杀新型的网络企业的发展,为激励行业竞争和技术创新提供了良好的环境。[4]
个人信息处理者如何确认申请查阅复制个人信息的主体就是信息主体即其个人信息被处理的个人?如果个人信息处理者不去进行这种验证,就很可能出现非信息主体的个人通过查阅复制非法获取他人的个人信息,以致个人信息泄露的问题。我国《个人信息保护法》第51条要求个人信息处理者应当根据信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取相应措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。《民法典》第1038条第2款前半句也规定:“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。”此外,《网络安全法》第42条第2款第1句也有相同的规定。故此,在个人向个人信息处理者要求查阅复制其个人信息时,个人信息处理者应当采取相应的技术措施和其他必要的措施来验证申请者是否属于适合的主体或者属于得到授权的人。
个人要求查阅复制其个人信息时是否需要支付费用?对此,我国《个人信息保护法》的起草过程中就存在争论。有观点认为,个人信息处理者为了满足个人查阅复制其个人信息的要求必将支付相应的人力物力成本,基于成本补偿原则,要求个人支付一定的费用。况且,为了避免恶意的查阅复制申请而给企业造成不合理的负担,也应当要求查阅复制个人信息的个人支付合理的费用。[5]
应当说,个人信息处理者为满足个人查阅复制的权利确实需要花费一定的成本,此种情形由个人支付合理的费用以补偿处理者为此产生的成本也是合理的。但是,我国《个人信息保护法》对此没有作出规定,理由在于:首先,个人信息处理者的类型很多,既包括国家机关、事业单位等,也包括公司企业,且查阅复制的成本各不相同,不宜由《个人信息保护法》作出规定,可以由相应的法律、行政法规作出规定,或者由当事人加以约定。其次,对于符合条件的个人在行使查阅复制权等个人在个人信息处理活动中的权利收取费用,容易对个人行使权利造成妨碍,不符合便民利民的原则,更不利于保护个人信息权益。当然,对于不符合条件或者多次甚至是恶意行使查阅复制权的个人,可以考虑收取相应的费用,而这可以由个人信息处理者在其建立的个人行使权利的申请受理和处理机制中作出相应的规定,不应由法律直接规定。[6]
所谓“及时提供”究竟是多长时间内提供?欧盟《一般数据保护条例》第12条第3款规定:“控制者应当自收到请求起不得超过一个月内提供根据本条例第15条至第22条采取行动的信息。考虑到请求的复杂性和数量,在必要时,这一期限可以再延长两个月。对于延期提供信息的任何情况,控制者都应当自收到请求起一个月内通知数据主体相关情形和延迟原因。如果数据主体以电子形式发送请求,这些信息应以电子形式提供,除非数据主体对提供方式有其他特殊要求。”所谓及时并不等于立刻,但也不能拖延,具体判断应当考虑查阅复制的申请的提出时间、需要查阅或复制的个人信息的数量、个人信息处理者完成该请求的难易程度等因素综合判断。
[1]参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第336页。
[2]参见京东法律研究院:《欧盟数据宪章:〈般数据保护条例〉GDPR述评及实务指引》,法律出版社2018年版,第64页。
[3]参见卓力雄:《数据携带权:基本概念、问题与中国应对》,载《行政法学研究》2019年第6期,第140页。
[4]参见汪庆华:《数据可携带权的权利结构、法律效果与中国化》,载《中国法律评论》2021年第3期,第201页。
[5]日本《个人信息保护法》第33条规定:“在被本人要求对其进行第二十七条第二款规定的有关利用目的的通知、或者接到第二十八条第一款规定的公开的请求后,个人信息处理业者可以就相关措施的实施而收取手续费。个人信息处理业者若依照前一款的规定收取手续费的,则应当在考虑实际费用并被认为是合理的范围内,确定该手续费的金额。”我国台湾地区《个人资料保护法》第14条规定:“查询或请求阅览个人资料或制给复制本者,公务机关或非公务机关得酌收必要成本费用。”我国澳门特别行政区《个人资料保护法》第11条第1款规定:“在不得拖延的合理期限内及无需支付过高费用的情况下,数据当事人享有自由地、不受限制地从负责处理个人资料的实体获知相应事项的权利。”
[6]例如,欧盟《一般数据保护条例》第12条第5款规定:“根据本条例第13条和第14条所提供的信息以及根据本条例第15条至第22条和第34条提供的任何沟通行动都应当免费提供。在数据主体提出的请求无依据或超出提供范围,尤其是重复提起请求的情形下,控制者也可以:(a)考虑到提供信息、交流或者采取行动的管理成本,可以收取合理的费用;(b)拒绝受理数据主体的请求。控制者应当证明数据主体的请求在其提供范围之外。”第15条第3款规定:“控制者应提供正在处理的个人数据的副本对于数据主体要求提供额外副本的,控制者可以根据管理成本收取合理的费用。如果数据主体通过电子形式提出请求,除非数据主体另有要求,信息应当以常用的电子形式提供。”
