查看原文
其他

第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

陈子谦 吴迪 网安寻路人 2020-02-26

众所周知,无论是欧盟个人数据保护95指令还是《通用数据保护条例》GDPR,第29条工作组发布的指导意见最为权威。经过DPO社群中热心同学的努力,第五份第29条工作组的指导意见——《数据可携权指南》的中文翻译现在推出。目前,社群还在翻译其他的指导意见,预计很快完成。在此,把译者前言贴出来。


译者序言


GDPR 第 20 条规定的数据可携权,赋予了数据主体从原数据控制者处接受个人信息,并将该信息传输给其他控制者的权利。从数据主体角度分析,此权利赋予了数据主体更强的数据控制权;从数据控制者的角度分析,此权利要求数据控制者做好配合、协助等方面的工作;从市场角度分析,此权利促进了数据在欧盟境内的自由流通,一定程度上也会使数据控制者间的竞争加剧。


基于此,29条工作组(WP29)制定了本指南,以助于数据控制者更清楚的了解自身义务和规范数据主体对此权利的行使。


首先,WP29对数据可携权的要素进行了说明,主要包括以下几点:第一,数据可携权是数据主体接收数据控制者处理的有关其个人数据的子集的权利,并且可以将其存储使用;第二,该权利可以使数据主体不受阻碍的将个人数据从一个数据控制者转移到另外一个数据控制者;第三,该权利描述的是一种管理关系,数据的传输方和接收方都对该数据有管理义务,数据传输方需审查确认接收方的身份,以确保数据能够准确的安全的传输到数据主体要求的接收方;第四,当个人行使数据可携权时,不应损害任何其他的主体权利。


其次, WP29 对数据可携权的适用条件进行了说明。该权利适用主要受到了三方面的限制:第一,对处理行为的限制,当处理行为是通过自动化方式进行的并且是基于数据主体的同意或基于数据主体为缔约方的合同时,该行为才会被纳入数据可携权的范围;第二,对数据的限制,在数据可携权的范围内,数据必须是个人信息主体向数据控制者提供的与其相关的个人数据,当数据中包含涉及到其他数据主体的个人数据、知识产权数据以及商业秘密数据时,要确保对此类数据行使数据可携权时,不得对其他数据主体的权利和自由造成不利影响。


再次, WP29 对规范数据主体行使权力的一般规则如何适用于数据可携权做了说明。第一,数据控制者事先应向数据主体披露此项权利,并且WP29 建议数据控制者明确解释数据主体利用此项权利与利用其他数据主体权利获取的数据的区别;第二,数据控制者在履行可携权义务时,除有证据证明无需验证和无法验证的情况外,应先核实数据主体的身份;第三,数据控制者应在一定时间内回应数据主体的请求。若数据控制者未做出任何响应,数据主体有权向上级监管机构投诉或寻求司法救济。

最后,WP29从安全性、便利性以及合法性等角度,对企业在提供可携数据的技术手段和应采用何种的数据格式也给出了指导和参考意见。

本指南对 GDPR 项下的数据可携权做了清晰的解释说明,译者作为从事数据合规的中国律师,此权利与我国《个人信息安全规范》中获取个人信息副本的权利相似,对于国内企业进行合规工作有一定的参考意义。因为水平所限,译文难免有不准确或错误之处,欢迎大家指正(请发邮件至 mengjie@glo.com.cn) 。


                                                                          陈子谦/吴迪

下载第29条工作组《数据可携权指南》中文全文翻译,请点击文末左下角的“阅读原文”。




关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制 

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存