首先,从GDPR第20条文义可知,为配合用户实现数据可携权,数据控制者识别数据主体是一项义务。在实务中,较为简便的识别方法,即为创设账户。互联网平台一般会要求用户注册账户以便开通相关服务和功能,而注册账户一般包括注册用户名、设置密码、绑定手机号或邮箱等步骤,从而使得数据主体和该账户形成对应。因此,在多数情况下,互联网平台在确认数据主体身份时一般可通过数据主体使用的账户进行识别。
其次,根据GDPR第12(6),数据控制者无法识别数据主体时,应当要求数据主体提供相关信息证明其与相关数据提供方系同一主体。另一方面,GDPR第11(2)也同样赋予了数据主体提供信息证明身份的权利。结合两者可推知,在无法识别数据主体时,数据控制者不可直接拒绝数据主体的要求,而是需要给予对方提供信息证明的机会。据此,为了避免争议,履行义务以及统一相关操作,我们建议数据控制者通过完善界面交互设计,比如在用户提出数据可携权的要求时能以表格等简明方式自动弹出需要用户填写的信息,从而获取所需数据主体的识别信息,以作为识别相关数据主体的证明。所需识别信息可因用户要求可携的信息而不同:比如最常见的方式为通过用户账户信息识别;但若与交易记录、支付信息等相关,则可要求数据主体补充相应财产信息;而若与某些事件办理等特定信息相关的,则可要求提供受理编码等信息。用户数据可携权虽然还是一个新兴概念,但是在用户访问权等传统权利中也需要识别数据主体。因此,对于企业而言,如何识别用户并不陌生。但是鉴于可携权相较于访问权赋予用户对数据更强的掌控力,且可携权带来的数据流动对各方主体均会产生影响,故我们认为企业在识别可携权数据主体身份时应设置更为缜密的识别条件,最好能根据用户要求可携信息的不同设置不同的识别条件。
贰
及时应答和免费提供
(1)及时应答数据主体的可携要求
根据GDPR第12(3),数据控制者应及时应答数据主体的可携要求,具体时间要求见下表:
值得注意的是,企业作为数据控制者无论是否同意可携请求,均应及时应答数据主体的请求,不可以沉默应对,且应答时限原则上应以一月为限。
另外,根据GDPR第12(4),若企业拒绝数据主体可携要求时,其应于收到请求后的1个月内告知数据主体两大事项:其一,拒绝的理由;其二,可救济的措施。
实践中,我们建议企业将数据可携权的应答流程列明于《用户协议》《隐私条款》《会员守则》等文件中,包括应答时限和应答救济等,并可相应明确“大量请求”、“复杂请求”和“一般请求”的范围,以此来避免实践操作中的模糊和争议。
(2)免费提供可携信息
根据GDPR第12(5),数据控制者应数据主体的要求提供可携信息时,原则上应免费提供,但若是该等数据明显难以查找或过量需求的,尤其是显著重复的,数据控制者可以收取一定合理的费用。关于此,企业应当注意以下几点:
第一,免费提供应为惯例,有偿提供则为例外;
第二,若数据主体要求反复提供相应数据的,数据控制者有权收取合理费用;
第三,数据控制者负有证明数据明显难以查找或过量需求的举证责任。
由此可见,实践中,企业在提供可携数据时鲜有能够收取费用的情形。另外,一份数据被多个数据主体要求可携时并非前文所指的第二点所指的过量需求;仅有同一数据主体多次要求可携同份数据时,企业才可以过量需求为由收取合理费用。以数据主体分享文章链接为例,其分享链接的名称属于与其有关的信息,但其分享链接的内容属于与其无关的信息,故不在可携范围之内。但是,例如通话记录、财产信息等数据信息,其通常会存在多个数据主体的信息。此时,《指南》认为数据控制者不应单单局限于字面理解,将通化记录中相对方的信息完全剔除,而是应本着保持通话记录通常的形式,将其整体看作与数据主体有关的信息。
叁
采用合理的提供方式
跟据GDPR第20(1),数据控制者向数据主体提供可携数据时,应采用格式化的、通用的和可机读的格式。GDPR提出的格式化、通用和可机读的三大要求,实际为可携数据提供格式的最低标准,其最终目的是实现互操作性[6](Interoperability),使得该等数据可在多个平台被访问和处理。
鉴于文件的格式多种多样,故GDPR未对提供数据的格式作出指定。实践中,可携数据的提供格式可能随不同数据类型而变化。根据《指南》,企业在采用提供方式时应考量以下几点:
第一,为数据主体能够无障碍的重新使用相关可携数据,可提供元数据以保证数据主体能最大程度的利用该等数据。以邮件收件箱为例,若仅以PDF的格式提供可能不能满足用户对于收件箱功能的重新使用,因此企业可尽量提供与收件箱功能有关的元数据以保证其原有功能。此处需注意,虽然我们建议企业可尽量提供元数据以保证数据的利用率,但该要求并非企业的法定义务。另外,由于元数据涉及相关程序的核心,若被篡改或泄露会对原数据控制者、数据主体均造成严重损害,故应谨慎对待。
第二,提供庞大而复杂数据信息时,数据控制者应给予用户自由选择所需数据权利。换而言之,数据控制者应于相关界面列示数据目录,以供数据主体自由选取部分或全部信息。同时,数据控制者应以通俗的语言描述该等数据,以便数据主体明晰自己所需的数据为何。
第三,提供的可携数据格式应具有互操作性,但不代表数据控制者需采纳或维护用户数据处理的兼容性。简单来说,企业开发的程序提供API接口即是增加该等程序的互操作性,但这并不意味该等程序需适用于任何系统环境。鉴于该项内容与计算机理论密切相关,本文限于法律实务仅作简单阐释。
肆
重视可携数据的安全
跟据GDPR第5(1)和(f),数据控制者本身即应对用户数据的安全负责,包括防止用户数据的滥用、非法处置和意外灭失、损毁等。但是,在数据控制者配合用户实现可携权时,鉴于传输带来的风险,数据控制者需承担更高的义务,结合《指南》规定,具体可分为如下两点:
其一,确保可携数据传输至正确的目的地。为此,数据控制者可运用一切可利用的核验手段,但该等手段不得阻碍数据主体实现用户数据可携权,比如向用户收取额外或高昂的费用等。
其二,提示用户注意保护该等可携数据。数据主体电脑系统相较于数据控制者的系统安全系数略低,故数据主体在使用、存储可携数据时会面临更大的数据安全风险。据此,数据控制者可通过风险提示和操作指引,帮助数据主体采取正确的步骤保护数据的安全。
伍
结语
互联网时代,计算机技术迅猛发展、不断革新。因此,即使是GDPR也仅对数据可携权的实务操作作了原则性规定,且该等规定主要强调了宏观效果及目的,而非规制微观操作。鉴于此,企业作为数据控制者在应对用户的数据可携权时,也应灵活机变,合理运用相应技术配合用户实现数据可携权,切忌拘泥于提供方式的形式或提供数据的格式模板等。
最后,对于中国企业,GDPR规定并非适用于所有用户,尤其是GDPR第20条规定的用户数据可携权,是一项主要针对欧盟境内用户的权利。因此,企业在制作《用户协议》或《隐私条款》时,可以考虑增设专门应对GDPR及适用于欧盟境内用户的条款,在其中约定关于用户数据可携权的内容,或者根据用户的所在地自动匹配不同的协议文本。
注释:
[1]近年来有关的国内知名争议案件及事件包括:新浪微博起诉脉脉抓取使用微博用户信息案((2016)京73民终588号判决)、大众点评诉百度不正当竞争案((2016)沪73民终242号)、顺丰与菜鸟的数据大战、华为与腾讯的微信数据争夺战。
[2]Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) Official Journal of the European Union, Vol. L119 (4 May 2016), pp. 1- 88 http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L:2016:119:TOC
[3]Guidelines on the right to data portability. 16/EN WP 242. Adopted on 13 December 2016.
[4]根据GDPR2012年建议案中的定义,数据主体是指数据控制者或任何自然人、法人通过合理手段,尤其通过姓名、身份证号、定位数据、网络标识符以及特定的身体、心理、基因、精神状态、经济、文化、社会身份等因素,能够直接或间接识别的自然人。
[5]根据GDPR中的定义,数据控制者是指单独或与他人共同确定个人数据处理的目的和方式的自然人、法人、公共权力机关、代理机构或其他机构;这里个人数据处理的目的和方式应由欧盟或成员国法律决定,数据控制者或其任命的具体标准也可由欧盟或成员国法律规定。
[6]又称互用性,是指不同的计算机系统、网络、操作系统和应用程序一起工作并共享信息的能力。