GDPR之“用户数据可携权”评析(二) ——“用户数据可携权”实务运用的若干问题
数据隐私和网络安全
专栏
作者:冯坚坚 朱菁 蒋昕妍
本文首发于威科先行法律信息库
导言:
大数据时代,在技术的推动下,互联网平台间的数据流动日益频繁。但是,在互联网生态体系中,数据流动给生活带来便捷的同时也会触发多重隐患,尤其是含有个人信息的用户数据。对于企业,用户数据是其提升竞争力的法宝,企业间因数据之争摩擦不断[1];而对于用户,他们既希望能够通过简便的方式存储、使用、传输自己的数据,但也不希望自己的数据因此而被滥用、泄露。据此,对于用户数据流动的保护与规范刻不容缓。我们将通过三篇文章评析欧盟“The General Data Protection Regulation”[2](将于2018年5月25日生效,以下简称“GDPR”)中“用户数据可携权”的规则、实践操作以及该权利在平台间数据争议中的适用和障碍。本文为第二篇,主要对“用户数据可携权”在实务中的运用进行介绍和分析。
关键词:数据可携权、GDPR、个人信息安全规范 实务运用
根据GDPR第3条关于地域适用的规定,对于用户群体中包含欧盟境内用户或者对用户在欧盟境内的行为存在数据监控的国内产品及服务提供商(例如跨境电商、社交媒体以及音乐视频服务商等)而言,在面对欧盟境内用户要求行使“用户数据可携权”时,无论该等产品及服务提供商是否在欧盟境内,均应遵守GDPR的相应规定。据此,本文以中国企业的视角切入,结合GDPR与欧盟《数据可携权指南》[3](以下简称“《指南》”)等相关规范,为企业面临欧盟用户要求实现数据可携权的场景提供操作指引。
缜密识别数据主体(Data Subject)
跟据GDPR第20条,用户数据可携权指数据主体有权获取或传输自己提供给数据控制者(controller)[5]的相关用户数据副本的权利。因此,数据控制者在应要求提供相关数据时,首先应识别行使“数据可携权”的主体与提供相关用户数据的主体是否同一。关于如何识别,GDPR并无相关规定,下文将结合相关规定和实务作出分析如下:
首先,从GDPR第20条文义可知,为配合用户实现数据可携权,数据控制者识别数据主体是一项义务。在实务中,较为简便的识别方法,即为创设账户。互联网平台一般会要求用户注册账户以便开通相关服务和功能,而注册账户一般包括注册用户名、设置密码、绑定手机号或邮箱等步骤,从而使得数据主体和该账户形成对应。因此,在多数情况下,互联网平台在确认数据主体身份时一般可通过数据主体使用的账户进行识别。
其次,根据GDPR第12(6),数据控制者无法识别数据主体时,应当要求数据主体提供相关信息证明其与相关数据提供方系同一主体。另一方面,GDPR第11(2)也同样赋予了数据主体提供信息证明身份的权利。结合两者可推知,在无法识别数据主体时,数据控制者不可直接拒绝数据主体的要求,而是需要给予对方提供信息证明的机会。据此,为了避免争议,履行义务以及统一相关操作,我们建议数据控制者通过完善界面交互设计,比如在用户提出数据可携权的要求时能以表格等简明方式自动弹出需要用户填写的信息,从而获取所需数据主体的识别信息,以作为识别相关数据主体的证明。所需识别信息可因用户要求可携的信息而不同:比如最常见的方式为通过用户账户信息识别;但若与交易记录、支付信息等相关,则可要求数据主体补充相应财产信息;而若与某些事件办理等特定信息相关的,则可要求提供受理编码等信息。用户数据可携权虽然还是一个新兴概念,但是在用户访问权等传统权利中也需要识别数据主体。因此,对于企业而言,如何识别用户并不陌生。但是鉴于可携权相较于访问权赋予用户对数据更强的掌控力,且可携权带来的数据流动对各方主体均会产生影响,故我们认为企业在识别可携权数据主体身份时应设置更为缜密的识别条件,最好能根据用户要求可携信息的不同设置不同的识别条件。
及时应答和免费提供
(1)及时应答数据主体的可携要求
根据GDPR第12(3),数据控制者应及时应答数据主体的可携要求,具体时间要求见下表:
值得注意的是,企业作为数据控制者无论是否同意可携请求,均应及时应答数据主体的请求,不可以沉默应对,且应答时限原则上应以一月为限。
另外,根据GDPR第12(4),若企业拒绝数据主体可携要求时,其应于收到请求后的1个月内告知数据主体两大事项:其一,拒绝的理由;其二,可救济的措施。
实践中,我们建议企业将数据可携权的应答流程列明于《用户协议》《隐私条款》《会员守则》等文件中,包括应答时限和应答救济等,并可相应明确“大量请求”、“复杂请求”和“一般请求”的范围,以此来避免实践操作中的模糊和争议。
(2)免费提供可携信息
根据GDPR第12(5),数据控制者应数据主体的要求提供可携信息时,原则上应免费提供,但若是该等数据明显难以查找或过量需求的,尤其是显著重复的,数据控制者可以收取一定合理的费用。关于此,企业应当注意以下几点:
第一,免费提供应为惯例,有偿提供则为例外;
第二,若数据主体要求反复提供相应数据的,数据控制者有权收取合理费用;
第三,数据控制者负有证明数据明显难以查找或过量需求的举证责任。
由此可见,实践中,企业在提供可携数据时鲜有能够收取费用的情形。另外,一份数据被多个数据主体要求可携时并非前文所指的第二点所指的过量需求;仅有同一数据主体多次要求可携同份数据时,企业才可以过量需求为由收取合理费用。以数据主体分享文章链接为例,其分享链接的名称属于与其有关的信息,但其分享链接的内容属于与其无关的信息,故不在可携范围之内。但是,例如通话记录、财产信息等数据信息,其通常会存在多个数据主体的信息。此时,《指南》认为数据控制者不应单单局限于字面理解,将通化记录中相对方的信息完全剔除,而是应本着保持通话记录通常的形式,将其整体看作与数据主体有关的信息。
采用合理的提供方式
跟据GDPR第20(1),数据控制者向数据主体提供可携数据时,应采用格式化的、通用的和可机读的格式。GDPR提出的格式化、通用和可机读的三大要求,实际为可携数据提供格式的最低标准,其最终目的是实现互操作性[6](Interoperability),使得该等数据可在多个平台被访问和处理。
鉴于文件的格式多种多样,故GDPR未对提供数据的格式作出指定。实践中,可携数据的提供格式可能随不同数据类型而变化。根据《指南》,企业在采用提供方式时应考量以下几点:
第一,为数据主体能够无障碍的重新使用相关可携数据,可提供元数据以保证数据主体能最大程度的利用该等数据。以邮件收件箱为例,若仅以PDF的格式提供可能不能满足用户对于收件箱功能的重新使用,因此企业可尽量提供与收件箱功能有关的元数据以保证其原有功能。此处需注意,虽然我们建议企业可尽量提供元数据以保证数据的利用率,但该要求并非企业的法定义务。另外,由于元数据涉及相关程序的核心,若被篡改或泄露会对原数据控制者、数据主体均造成严重损害,故应谨慎对待。
第二,提供庞大而复杂数据信息时,数据控制者应给予用户自由选择所需数据权利。换而言之,数据控制者应于相关界面列示数据目录,以供数据主体自由选取部分或全部信息。同时,数据控制者应以通俗的语言描述该等数据,以便数据主体明晰自己所需的数据为何。
第三,提供的可携数据格式应具有互操作性,但不代表数据控制者需采纳或维护用户数据处理的兼容性。简单来说,企业开发的程序提供API接口即是增加该等程序的互操作性,但这并不意味该等程序需适用于任何系统环境。鉴于该项内容与计算机理论密切相关,本文限于法律实务仅作简单阐释。
重视可携数据的安全
跟据GDPR第5(1)和(f),数据控制者本身即应对用户数据的安全负责,包括防止用户数据的滥用、非法处置和意外灭失、损毁等。但是,在数据控制者配合用户实现可携权时,鉴于传输带来的风险,数据控制者需承担更高的义务,结合《指南》规定,具体可分为如下两点:
其一,确保可携数据传输至正确的目的地。为此,数据控制者可运用一切可利用的核验手段,但该等手段不得阻碍数据主体实现用户数据可携权,比如向用户收取额外或高昂的费用等。
其二,提示用户注意保护该等可携数据。数据主体电脑系统相较于数据控制者的系统安全系数略低,故数据主体在使用、存储可携数据时会面临更大的数据安全风险。据此,数据控制者可通过风险提示和操作指引,帮助数据主体采取正确的步骤保护数据的安全。
结语
互联网时代,计算机技术迅猛发展、不断革新。因此,即使是GDPR也仅对数据可携权的实务操作作了原则性规定,且该等规定主要强调了宏观效果及目的,而非规制微观操作。鉴于此,企业作为数据控制者在应对用户的数据可携权时,也应灵活机变,合理运用相应技术配合用户实现数据可携权,切忌拘泥于提供方式的形式或提供数据的格式模板等。
最后,对于中国企业,GDPR规定并非适用于所有用户,尤其是GDPR第20条规定的用户数据可携权,是一项主要针对欧盟境内用户的权利。因此,企业在制作《用户协议》或《隐私条款》时,可以考虑增设专门应对GDPR及适用于欧盟境内用户的条款,在其中约定关于用户数据可携权的内容,或者根据用户的所在地自动匹配不同的协议文本。
注释:
[1]近年来有关的国内知名争议案件及事件包括:新浪微博起诉脉脉抓取使用微博用户信息案((2016)京73民终588号判决)、大众点评诉百度不正当竞争案((2016)沪73民终242号)、顺丰与菜鸟的数据大战、华为与腾讯的微信数据争夺战。
[2]Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) Official Journal of the European Union, Vol. L119 (4 May 2016), pp. 1- 88 http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L:2016:119:TOC
[3]Guidelines on the right to data portability. 16/EN WP 242. Adopted on 13 December 2016.
[4]根据GDPR2012年建议案中的定义,数据主体是指数据控制者或任何自然人、法人通过合理手段,尤其通过姓名、身份证号、定位数据、网络标识符以及特定的身体、心理、基因、精神状态、经济、文化、社会身份等因素,能够直接或间接识别的自然人。
[5]根据GDPR中的定义,数据控制者是指单独或与他人共同确定个人数据处理的目的和方式的自然人、法人、公共权力机关、代理机构或其他机构;这里个人数据处理的目的和方式应由欧盟或成员国法律决定,数据控制者或其任命的具体标准也可由欧盟或成员国法律规定。
[6]又称互用性,是指不同的计算机系统、网络、操作系统和应用程序一起工作并共享信息的能力。
本专栏往期文章
1. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
合伙人
021-2613 6221
feng.jianjian@jingtian.com
竞天公诚律师事务所合伙人。
冯坚坚律师的执业领域主要专注于网络安全合规、反垄断调查及反垄断合规咨询。冯律师是上海市律师协会互联网业务研究委员会委员,曾任阿里巴巴特色中国训练营讲师,长期为众多大型跨国企业、大型互联网科技企业提供法律服务,对于互联网新技术与商业模式有独到而深刻的理解。
自2016年开始,冯律师及其团队为大量客户提供了有关网络安全法相关的合规咨询服务,并从2017年网络安全法生效实施后,协助客户应对与网络安全合规有关的政府检查和调查,在公司的网络安全合规和调查应对上积累了丰富的经验。
律师
021- 2613 6221
zhu.jing@jingtian.com
竞天公诚律师事务所律师。华东政法大学国际法硕士。自2014年开始执业,执业领域主要专注于网络安全合规、反垄断调查及反垄断合规咨询。朱律师曾参与中国汽车行业的纵向限制问题的调研,对于汽车行业的反垄断合规体系建设及落地有着一定的实操经验。
同时,朱律师还曾先后参与多个新三板挂牌项目、私募基金融资项目、上海股交中心挂牌项目以及企业债项目,在证券与资本市场、并购重组与外商投资方面积累了较为丰富的经验。
律师
021- 2613 6221
jiang.xinyan@jingtian.com
蒋昕妍是竞天公诚律师事务所争议解决部律师,执业领域为商事争议解决、数据隐私与网络安全。
蒋律师2013年毕业于中南财经政法大学,取得法学学士学位;2016年毕业于美国本杰明卡多佐法学院,取得法律博士学位(Juris Doctor)。在加入竞天公诚之前,蒋律师曾在美国纽约州司法部任职。
蒋律师已取得美国纽约州律师资格和中国法律职业资格。蒋律师的工作语言是中文和英文。
声明 DISCLAIMER
本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.