数据可携带权的限制与影响：GDPR第20条

理论上说,个人用户可以虚拟网名身份注册加入互联网,并尝试通过隐私设置,减少数据的控制者针对具体用户的个人数据处理行为,一旦用户对某个互联网企业的服务或个人数据处理方式不满意,用户应当享有将留在该平台上的个人数据转移到新的服务商(即可以将其之前提交给初始服务商的个人数据“携带过来”)的权利,数据可携带权(right of data portability)的概念由此产生^[8]。根据GDPR第20条,数据可携带权的内容包括两个方面,一是副本获取权(right to obtain a copy,规定于该条第1款),二是数据转移权(right to data transfer,规定于该条第2款)。

GDPR第20条第1款规定,当数据处理系依据GDPR第6条第1款(a)项或第9条第2款所规定的数据主体的同意,或者依据GDPR第6条第1款(b)项所规定的数据主体为一方当事人的合同,或者通过自动化方式执行时,数据主体有权以结构化的、普遍使用的和机器可读的格式从某一个控制者处获取其之前提供给该控制者的与其相关的个人数据,并有权在不受该控制者妨碍的情况下将这些数据提供给另一个控制者。其中,前一个方面的规定即关于副本获取权的规定赋予了数据主体从控制者处获取其个人数据的权利;后一个方面的规定即关于数据转移权的规定则赋予了数据主体将其个人数据从一个数据控制者处转移至另一个数据控制者处的权利。后者是数据可携权与GDPR第15条所规定的数据主体访问权的最核心的区别(GDPR的起草者也是出于这一考虑而将草案上原本与访问权同置于一个条文中的关于数据可携权的规定单列为另一条文)。与副本获取权不同的是,根据GDPR第20条第2款的规定,数据转移权还应当在“技术可行”的条件下行使。换言之,只要“技术可行”,数据主体就无需先下载个人数据,而后再将其上传至另一个控制者处,而是可以直接在原控制者提供的技术操作中实现个人数据的转移。

需要注意的是,GDPR第20条第1款的规定并不意味着任何数据都可以获取和转移,更不意味着数据可携带权没有任何限制。

首先,在适用范围上,从GDPR第20条第1款仅提及GDPR第6条第1款(a)项和(b)项可知,数据可携带权对于数据控制者经过法律授权而实施的处理行为并不适用,此种情形包括GDPR第6条第1款第(c)项至第(f)项规定的履行控制者的法定义务、保护数据主体或其他自然人的重要利益、执行符合公共利益的任务或履行控制者的法定职责、为了数据主体或其他自然人的正当利益而实施的必要处理行为等。另外,从GDPR第20条第3款的规定中也可以得出数据可携带权不适用于对执行符合公共利益的任务或在履行控制者的法定职责的过程中有必要的数据处理这一结论。(www.xing528.com)

其次,在数据的获取形式上,GDPR第20条第1款要求数据控制者以结构化、普遍使用的和机器可读的形式将个人数据提供给数据主体。并且,GDPR前言第68段鼓励控制者开发能够实现数据可携带的具有互操作性的格式。也就是说,在使用这种数据格式后,数据主体获取的个人数据副本可以被继续用于其他处理过程中,而无需考虑格式的兼容问题。

再次,在权利行使后果上,根据GDPR第20条第3款的规定,数据可携带权的行使不应当影响GDPR第17条的规定(即关于删除权的规定)。也就是说,在数据主体从控制者处获取个人数据后,其仍可在满足删除权行使要件的条件下请求删除其个人数据。例如,个人数据的处理就其被收集的目的而言已不再必要,或者原控制者没有其他处理数据的正当理由,或者数据主体在获取副本之后撤回了对处理的同意等,在此类情形下,数据主体便可以向控制者主张删除其个人数据。

最后,也是在权利行使后果上,根据GDPR第20条第4款的规定,数据可携带权的行使不应当对其他人的权利和自由具有不利影响。之所以作这样的规定,是因为在现实中每个自然人的个人数据往往与其他人的个人数据相互勾连,为了保护其他人的数据,就不得不对特定数据主体的数据可携带权加以限制。第29条工作组对此做出了详细解释：对于涉及其他第三方个人数据的数据转移,仅仅允许行使数据可携权的数据主体本人对于转移后的数据进行“单一的控制”(sole control),即只能将此类数据用于个人和家庭事务目的(如出于个人目的整理通讯录),而排除任何第三方利用这些数据的可能性。接收数据的数据控制者不得基于自己的利益而处理转移后的数据,特别是禁止对数据涉及的第三方个人开展商品营销或服务活动,也不得将获得的数据用于第三方个人的“特性分析”或重建其社交圈,即使是在数据控制者本身已经掌握第三方个人数据的情形下也应如此。为规避对第三方个人的侵权风险,鼓励数据控制者(无论是数据导出方还是数据接受方)设置相应的技术工具,帮助数据主体在转移数据时剔除涉及其他个人的数据。