信息化觀察網(wǎng)

本文來自微信公眾號(hào)“互聯(lián)網(wǎng)與社會(huì)發(fā)展研究中心”，作者/錢虹瑾，寧波大學(xué)法學(xué)院2022級(jí)法學(xué)碩士。

數(shù)據(jù)可攜帶權(quán)是歐盟在《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，GDPR)中提出的一項(xiàng)新型數(shù)據(jù)權(quán)利。從誕生開始，該項(xiàng)權(quán)利的屬性和實(shí)施等問題就存在很大爭(zhēng)議。然而，為了和歐盟的數(shù)據(jù)保護(hù)水平相匹配，世界上很多國(guó)家和地區(qū)的個(gè)人信息保護(hù)法都規(guī)定了數(shù)據(jù)可攜帶權(quán)。我國(guó)《個(gè)人信息保護(hù)法》第45條第3款也明確規(guī)定個(gè)人享有數(shù)據(jù)可攜帶權(quán)，①但未規(guī)定其具體適用條件和范圍，而是授權(quán)國(guó)家網(wǎng)信部門來規(guī)定。國(guó)家網(wǎng)信辦會(huì)同相關(guān)部門研究起草的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》第24條規(guī)定了數(shù)據(jù)可攜帶權(quán)的適用條件、適用范圍。②但《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》的數(shù)據(jù)可攜帶權(quán)條文仍屬粗線條規(guī)定，無法為實(shí)踐提供明確指引。

《個(gè)人信息保護(hù)法》第45條第3款規(guī)定：“個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國(guó)家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。”

《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》第24條規(guī)定：“符合下列條件的個(gè)人信息轉(zhuǎn)移請(qǐng)求，數(shù)據(jù)處理者應(yīng)當(dāng)為個(gè)人指定的其他數(shù)據(jù)處理者訪問、獲取其個(gè)人信息提供轉(zhuǎn)移服務(wù)：

（一）請(qǐng)求轉(zhuǎn)移的個(gè)人信息是基于同意或者訂立、履行合同所必需而收集的個(gè)人信息；

（二）請(qǐng)求轉(zhuǎn)移的個(gè)人信息是本人信息或者請(qǐng)求人合法獲得且不違背他人意愿的他人信息；

（三）能夠驗(yàn)證請(qǐng)求人的合法身份。

數(shù)據(jù)處理者發(fā)現(xiàn)接收個(gè)人信息的其他數(shù)據(jù)處理者有非法處理個(gè)人信息風(fēng)險(xiǎn)的，應(yīng)當(dāng)對(duì)個(gè)人信息轉(zhuǎn)移請(qǐng)求做合理的風(fēng)險(xiǎn)提示。

請(qǐng)求轉(zhuǎn)移個(gè)人信息次數(shù)明顯超出合理范圍的，數(shù)據(jù)處理者可以收取合理費(fèi)用。”

爭(zhēng)議之處

在我國(guó)理論界與實(shí)務(wù)界就是否應(yīng)當(dāng)規(guī)定個(gè)人信息可攜帶權(quán)，存在爭(zhēng)論。一種觀點(diǎn)認(rèn)為，我國(guó)法上不應(yīng)當(dāng)賦予自然人以個(gè)人信息可攜帶權(quán)，理由在于：規(guī)定個(gè)人信息可攜帶權(quán)在技術(shù)實(shí)現(xiàn)上存在很大的難度，可能會(huì)極大的增加企業(yè)的經(jīng)營(yíng)成本。[1]同時(shí)，個(gè)人信息作為網(wǎng)絡(luò)企業(yè)取得競(jìng)爭(zhēng)優(yōu)勢(shì)很重要的一種資產(chǎn)，規(guī)定個(gè)人信息可攜帶權(quán)還可能導(dǎo)致各個(gè)企業(yè)之間以此作為工具搶奪數(shù)據(jù)，存在不正當(dāng)競(jìng)爭(zhēng)的風(fēng)險(xiǎn)。[2]此外，個(gè)人信息可攜帶權(quán)使得更多信息處理者擁有獲取信息主體個(gè)人信息的機(jī)會(huì)，無形中可能給黑客或犯罪組織盜取個(gè)人信息大開方便之門。[3]另一種相反的觀點(diǎn)認(rèn)為，我國(guó)應(yīng)當(dāng)承認(rèn)個(gè)人信息的可攜帶權(quán)，理由在于：賦予個(gè)人自由獲取和轉(zhuǎn)移個(gè)人信息的權(quán)利，增強(qiáng)個(gè)人對(duì)其個(gè)人信息的控制，體現(xiàn)了自然人對(duì)其個(gè)人信息或個(gè)人數(shù)據(jù)的支配性，是個(gè)人信息權(quán)益的重要組成部分。其次，規(guī)定個(gè)人信息可攜帶權(quán)，可以打破個(gè)人信息或個(gè)人數(shù)據(jù)領(lǐng)域的壟斷，防止大型網(wǎng)絡(luò)企業(yè)扼殺新型的網(wǎng)絡(luò)企業(yè)的發(fā)展，為激勵(lì)行業(yè)競(jìng)爭(zhēng)和技術(shù)創(chuàng)新提供了良好的環(huán)境。[4]

個(gè)人信息處理者如何確認(rèn)申請(qǐng)查閱復(fù)制個(gè)人信息的主體就是信息主體即其個(gè)人信息被處理的個(gè)人？如果個(gè)人信息處理者不去進(jìn)行這種驗(yàn)證，就很可能出現(xiàn)非信息主體的個(gè)人通過查閱復(fù)制非法獲取他人的個(gè)人信息，以致個(gè)人信息泄露的問題。我國(guó)《個(gè)人信息保護(hù)法》第51條要求個(gè)人信息處理者應(yīng)當(dāng)根據(jù)信息的處理目的、處理方式、個(gè)人信息的種類以及對(duì)個(gè)人的影響、可能存在的安全風(fēng)險(xiǎn)等，采取相應(yīng)措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露、篡改、丟失?！睹穹ǖ洹返?038條第2款前半句也規(guī)定：“信息處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集、存儲(chǔ)的個(gè)人信息安全，防止信息泄露、篡改、丟失。”此外，《網(wǎng)絡(luò)安全法》第42條第2款第1句也有相同的規(guī)定。故此，在個(gè)人向個(gè)人信息處理者要求查閱復(fù)制其個(gè)人信息時(shí)，個(gè)人信息處理者應(yīng)當(dāng)采取相應(yīng)的技術(shù)措施和其他必要的措施來驗(yàn)證申請(qǐng)者是否屬于適合的主體或者屬于得到授權(quán)的人。

個(gè)人要求查閱復(fù)制其個(gè)人信息時(shí)是否需要支付費(fèi)用？對(duì)此，我國(guó)《個(gè)人信息保護(hù)法》的起草過程中就存在爭(zhēng)論。有觀點(diǎn)認(rèn)為，個(gè)人信息處理者為了滿足個(gè)人查閱復(fù)制其個(gè)人信息的要求必將支付相應(yīng)的人力物力成本，基于成本補(bǔ)償原則，要求個(gè)人支付一定的費(fèi)用。況且，為了避免惡意的查閱復(fù)制申請(qǐng)而給企業(yè)造成不合理的負(fù)擔(dān)，也應(yīng)當(dāng)要求查閱復(fù)制個(gè)人信息的個(gè)人支付合理的費(fèi)用。[5]

應(yīng)當(dāng)說，個(gè)人信息處理者為滿足個(gè)人查閱復(fù)制的權(quán)利確實(shí)需要花費(fèi)一定的成本，此種情形由個(gè)人支付合理的費(fèi)用以補(bǔ)償處理者為此產(chǎn)生的成本也是合理的。但是，我國(guó)《個(gè)人信息保護(hù)法》對(duì)此沒有作出規(guī)定，理由在于：首先，個(gè)人信息處理者的類型很多，既包括國(guó)家機(jī)關(guān)、事業(yè)單位等，也包括公司企業(yè)，且查閱復(fù)制的成本各不相同，不宜由《個(gè)人信息保護(hù)法》作出規(guī)定，可以由相應(yīng)的法律、行政法規(guī)作出規(guī)定，或者由當(dāng)事人加以約定。其次，對(duì)于符合條件的個(gè)人在行使查閱復(fù)制權(quán)等個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利收取費(fèi)用，容易對(duì)個(gè)人行使權(quán)利造成妨礙，不符合便民利民的原則，更不利于保護(hù)個(gè)人信息權(quán)益。當(dāng)然，對(duì)于不符合條件或者多次甚至是惡意行使查閱復(fù)制權(quán)的個(gè)人，可以考慮收取相應(yīng)的費(fèi)用，而這可以由個(gè)人信息處理者在其建立的個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制中作出相應(yīng)的規(guī)定，不應(yīng)由法律直接規(guī)定。[6]

所謂“及時(shí)提供”究竟是多長(zhǎng)時(shí)間內(nèi)提供？歐盟《一般數(shù)據(jù)保護(hù)條例》第12條第3款規(guī)定：“控制者應(yīng)當(dāng)自收到請(qǐng)求起不得超過一個(gè)月內(nèi)提供根據(jù)本條例第15條至第22條采取行動(dòng)的信息?？紤]到請(qǐng)求的復(fù)雜性和數(shù)量，在必要時(shí)，這一期限可以再延長(zhǎng)兩個(gè)月。對(duì)于延期提供信息的任何情況，控制者都應(yīng)當(dāng)自收到請(qǐng)求起一個(gè)月內(nèi)通知數(shù)據(jù)主體相關(guān)情形和延遲原因。如果數(shù)據(jù)主體以電子形式發(fā)送請(qǐng)求，這些信息應(yīng)以電子形式提供，除非數(shù)據(jù)主體對(duì)提供方式有其他特殊要求。”所謂及時(shí)并不等于立刻，但也不能拖延，具體判斷應(yīng)當(dāng)考慮查閱復(fù)制的申請(qǐng)的提出時(shí)間、需要查閱或復(fù)制的個(gè)人信息的數(shù)量、個(gè)人信息處理者完成該請(qǐng)求的難易程度等因素綜合判斷。

[1]參見程嘯：《個(gè)人信息保護(hù)法理解與適用》，中國(guó)法制出版社2021年版，第336頁。

[2]參見京東法律研究院：《歐盟數(shù)據(jù)憲章：〈般數(shù)據(jù)保護(hù)條例〉GDPR述評(píng)及實(shí)務(wù)指引》，法律出版社2018年版，第64頁。

[3]參見卓力雄：《數(shù)據(jù)攜帶權(quán)：基本概念、問題與中國(guó)應(yīng)對(duì)》，載《行政法學(xué)研究》2019年第6期，第140頁。

[4]參見汪慶華：《數(shù)據(jù)可攜帶權(quán)的權(quán)利結(jié)構(gòu)、法律效果與中國(guó)化》，載《中國(guó)法律評(píng)論》2021年第3期，第201頁。

[5]日本《個(gè)人信息保護(hù)法》第33條規(guī)定：“在被本人要求對(duì)其進(jìn)行第二十七條第二款規(guī)定的有關(guān)利用目的的通知、或者接到第二十八條第一款規(guī)定的公開的請(qǐng)求后，個(gè)人信息處理業(yè)者可以就相關(guān)措施的實(shí)施而收取手續(xù)費(fèi)。個(gè)人信息處理業(yè)者若依照前一款的規(guī)定收取手續(xù)費(fèi)的，則應(yīng)當(dāng)在考慮實(shí)際費(fèi)用并被認(rèn)為是合理的范圍內(nèi)，確定該手續(xù)費(fèi)的金額。”我國(guó)臺(tái)灣地區(qū)《個(gè)人資料保護(hù)法》第14條規(guī)定：“查詢或請(qǐng)求閱覽個(gè)人資料或制給復(fù)制本者，公務(wù)機(jī)關(guān)或非公務(wù)機(jī)關(guān)得酌收必要成本費(fèi)用。”我國(guó)澳門特別行政區(qū)《個(gè)人資料保護(hù)法》第11條第1款規(guī)定：“在不得拖延的合理期限內(nèi)及無需支付過高費(fèi)用的情況下，數(shù)據(jù)當(dāng)事人享有自由地、不受限制地從負(fù)責(zé)處理個(gè)人資料的實(shí)體獲知相應(yīng)事項(xiàng)的權(quán)利。”

[6]例如，歐盟《一般數(shù)據(jù)保護(hù)條例》第12條第5款規(guī)定：“根據(jù)本條例第13條和第14條所提供的信息以及根據(jù)本條例第15條至第22條和第34條提供的任何溝通行動(dòng)都應(yīng)當(dāng)免費(fèi)提供。在數(shù)據(jù)主體提出的請(qǐng)求無依據(jù)或超出提供范圍，尤其是重復(fù)提起請(qǐng)求的情形下，控制者也可以：(a)考慮到提供信息、交流或者采取行動(dòng)的管理成本，可以收取合理的費(fèi)用；(b)拒絕受理數(shù)據(jù)主體的請(qǐng)求。控制者應(yīng)當(dāng)證明數(shù)據(jù)主體的請(qǐng)求在其提供范圍之外。”第15條第3款規(guī)定：“控制者應(yīng)提供正在處理的個(gè)人數(shù)據(jù)的副本對(duì)于數(shù)據(jù)主體要求提供額外副本的，控制者可以根據(jù)管理成本收取合理的費(fèi)用。如果數(shù)據(jù)主體通過電子形式提出請(qǐng)求，除非數(shù)據(jù)主體另有要求，信息應(yīng)當(dāng)以常用的電子形式提供。”