第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)
众所周知,无论是欧盟个人数据保护95指令还是《通用数据保护条例》GDPR,第29条工作组发布的指导意见最为权威。经过DPO社群中热心同学的努力,第五份第29条工作组的指导意见——《数据可携权指南》的中文翻译现在推出。目前,社群还在翻译其他的指导意见,预计很快完成。在此,把译者前言贴出来。
译者序言
GDPR 第 20 条规定的数据可携权,赋予了数据主体从原数据控制者处接受个人信息,并将该信息传输给其他控制者的权利。从数据主体角度分析,此权利赋予了数据主体更强的数据控制权;从数据控制者的角度分析,此权利要求数据控制者做好配合、协助等方面的工作;从市场角度分析,此权利促进了数据在欧盟境内的自由流通,一定程度上也会使数据控制者间的竞争加剧。
基于此,29条工作组(WP29)制定了本指南,以助于数据控制者更清楚的了解自身义务和规范数据主体对此权利的行使。
首先,WP29对数据可携权的要素进行了说明,主要包括以下几点:第一,数据可携权是数据主体接收数据控制者处理的有关其个人数据的子集的权利,并且可以将其存储使用;第二,该权利可以使数据主体不受阻碍的将个人数据从一个数据控制者转移到另外一个数据控制者;第三,该权利描述的是一种管理关系,数据的传输方和接收方都对该数据有管理义务,数据传输方需审查确认接收方的身份,以确保数据能够准确的安全的传输到数据主体要求的接收方;第四,当个人行使数据可携权时,不应损害任何其他的主体权利。
其次, WP29 对数据可携权的适用条件进行了说明。该权利适用主要受到了三方面的限制:第一,对处理行为的限制,当处理行为是通过自动化方式进行的并且是基于数据主体的同意或基于数据主体为缔约方的合同时,该行为才会被纳入数据可携权的范围;第二,对数据的限制,在数据可携权的范围内,数据必须是个人信息主体向数据控制者提供的与其相关的个人数据,当数据中包含涉及到其他数据主体的个人数据、知识产权数据以及商业秘密数据时,要确保对此类数据行使数据可携权时,不得对其他数据主体的权利和自由造成不利影响。
再次, WP29 对规范数据主体行使权力的一般规则如何适用于数据可携权做了说明。第一,数据控制者事先应向数据主体披露此项权利,并且WP29 建议数据控制者明确解释数据主体利用此项权利与利用其他数据主体权利获取的数据的区别;第二,数据控制者在履行可携权义务时,除有证据证明无需验证和无法验证的情况外,应先核实数据主体的身份;第三,数据控制者应在一定时间内回应数据主体的请求。若数据控制者未做出任何响应,数据主体有权向上级监管机构投诉或寻求司法救济。
最后,WP29从安全性、便利性以及合法性等角度,对企业在提供可携数据的技术手段和应采用何种的数据格式也给出了指导和参考意见。
本指南对 GDPR 项下的数据可携权做了清晰的解释说明,译者作为从事数据合规的中国律师,此权利与我国《个人信息安全规范》中获取个人信息副本的权利相似,对于国内企业进行合规工作有一定的参考意义。因为水平所限,译文难免有不准确或错误之处,欢迎大家指正(请发邮件至 mengjie@glo.com.cn) 。
陈子谦/吴迪
下载第29条工作组《数据可携权指南》中文全文翻译,请点击文末左下角的“阅读原文”。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点