欧盟《通用数据保护条例》在世界范围内首先创设了个人信息可携带权制度,规定在基于个人同意和合同关系开展的,以自动化方式进行的个人信息处理活动中,个人有权以结构化且通用的机器可读格式获取其提供给数据控制者的个人信息,以便无障碍地提供给另一个控制者;在技术可行的情况下,个人有权将个人信息直接从一个控制者传输给另一个控制者。新加坡《个人数据保护法》规定,针对部分用户自行向经营者提供的个人信息和经营者拥有的用户活动信息,用户有权请求经营者以通用的机器可读格式提供相关信息的副本,并有权要求传输给其他在新加坡设立机构的经营者。澳大利亚《消费者数据权利法案》规定,在金融、能源、通信等领域,消费者有权要求经营者提供与自身相关的信息,并有权要求经营者将信息向指定的其他经营者开放。巴西《通用数据保护法》规定,在不侵犯商业秘密的前提下,个人有权要求将控制者正在处理的个人信息传输至另一个产品或者服务提供商;基于个人同意或合同关系开展的个人信息处理活动中,个人有权要求控制者以便于后续使用的格式提供其个人信息的完整电子副本。
从上述国家和地区法律规定看,可携带权的行使存在较多限制。欧盟《通用数据保护条例》要求,可携带权适用的个人信息主要限于直接向个人获取的个人信息,包括个人主动提供的信息,以及在使用相关产品和服务过程中形成的活动信息等,不包括从第三方等其他渠道间接获取的个人信息。适用的处理活动主要是基于个人同意或者合同关系开展的,以自动化方式进行的个人信息处理活动,基于其他情形开展的个人信息处理活动,以及通过手动进行的处理活动,均无法主张携带权。新加坡、巴西等国家的立法规定的可携带权的行使条件,与欧盟《通用数据保护条例》规定的条件基本相同。另外,欧盟还出台了专门的《数据可携带权指南》,对行使可携带权时个人信息控制者的义务、与他人权利的关系等事项作了说明:一是在个人行使可携带权的过程中,个人信息的提供和接收方都需要履行对应的个人信息保护义务。对于数据提供方而言,应当采取必要措施,保障按照个人要求的格式和内容对外提供信息,无须向接收方保证数据质量,但不得通过限制数据格式或付费等方式阻碍个人行使权利;提供数据后,数据提供方与个人的权利义务关系不受影响。对于数据接收方而言,将作为新的数据控制者承担法定的个人信息保护义务。二是针对通讯录、银行流水等涉及多个主体的信息,个人行使可携带权时,可能影响他人的合法权益。在这种情况下,如果数据接收方没有处理他人个人信息的合法性基础,则相关信息只能由行使可携带权的个人直接控制,并且只能用于个人或者家庭事务。指南还指出,个人行使可携带权不得侵害他人的版权、数据库权利等知识产权,并鼓励个人信息控制者在协助个人行使可携带权时剔除可能侵犯他人权利的数据。(www.xing528.com)
可携带权的实现需要统一机器可读的数据格式,且数据提供方与接收方之间需建立转移数据的通道。自2018年以来,部分大型互联网公司为落实欧盟《通用数据保护条例》的要求开展了一些实践。谷歌、苹果、脸书和推特等企业共同建立了一个开源的数据传输工具(Data Transfer Project,DTP),并不断吸收一些中小企业在其运营的产品和服务中部署并协助改善这一工具。数据传输工具为企业提供专门的数据和身份验证适配程序,企业将相关程序与自身的应用程序接口对接后,可以将需转移的数据转换为通用格式,在不同企业间传输。工具本身没有强制设置统一的后台服务器,并在每次数据传输完成后删除相关的授权和传输记录,以保障数据安全,这一数据传输工具为用户在不同的应用之间转移个人信息提供了便捷、可信的途径。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
