GDPR之「用戶數據可攜權」評析(二)——「用戶數據可攜權」實務運用的若干問題
競天公誠律師事務所 馮堅堅 朱菁 蔣昕妍
導言:
大數據時代,在技術的推動下,互聯網平台間的數據流動日益頻繁。但是,在互聯網生態體系中,數據流動給生活帶來便捷的同時也會觸發多重隱患,尤其是含有個人信息的用戶數據。對於企業,用戶數據是其提升競爭力的法寶,企業間因數據之爭摩擦不斷[1];而對於用戶,他們既希望能夠通過簡便的方式存儲、使用、傳輸自己的數據,但也不希望自己的數據因此而被濫用、泄露。據此,對於用戶數據流動的保護與規範刻不容緩。我們將通過三篇文章評析歐盟「The General Data
Protection Regulation」[2](將於2018年5月25日生效,以下簡稱「GDPR」)中「用戶數據可攜權」的規則、實踐操作以及該權利在平台間數據爭議中的適用和障礙。本文為第二篇,主要對「用戶數據可攜權」在實務中的運用進行介紹和分析。關鍵詞:數據可攜權、GDPR、個人信息安全規範、實務運用
根據GDPR第3條關於地域適用的規定,對於用戶群體中包含歐盟境內用戶或者對用戶在歐盟境內的行為存在數據監控的國內產品及服務提供商(例如跨境電商、社交媒體以及音樂視頻服務商等)而言,在面對歐盟境內用戶要求行使「用戶數據可攜權」時,無論該等產品及服務提供商是否在歐盟境內,均應遵守GDPR的相應規定。據此,本文以中國企業的視角切入,結合GDPR與歐盟《數據可攜權指南》[3](以下簡稱「《指南》」)等相關規範,為企業面臨歐盟用戶要求實現數據可攜權的場景提供操作指引。
1. 縝密識別數據主體(data subject)[4]
根據GDPR第20條,用戶數據可攜權指數據主體有權獲取或傳輸自己提供給數據控制者(controller)[5]的相關用戶數據副本的權利。因此,數據控制者在應要求提供相關數據時,首先應識別行使「數據可攜權」的主體與提供相關用戶數據的主體是否同一。關於如何識別,GDPR並無相關規定,下文將結合相關規定和實務作出分析如下:
首先,從GDPR第20條文義可知,為配合用戶實現數據可攜權,數據控制者識別數據主體是一項義務。在實務中,較為簡便的識別方法,即為創設賬戶。互聯網平台一般會要求用戶註冊賬戶以便開通相關服務和功能,而註冊賬戶一般包括註冊用戶名、設置密碼、綁定手機號或郵箱等步驟,從而使得數據主體和該賬戶形成對應。因此,在多數情況下,互聯網平台在確認數據主體身份時一般可通過數據主體使用的賬戶進行識別。
其次,根據GDPR第12(6),數據控制者無法識別數據主體時,應當要求數據主體提供相關信息證明其與相關數據提供方系同一主體。另一方面,GDPR第11(2)也同樣賦予了數據主體提供信息證明身份的權利。結合兩者可推知,在無法識別數據主體時,數據控制者不可直接拒絕數據主體的要求,而是需要給予對方提供信息證明的機會。據此,為了避免爭議,履行義務以及統一相關操作,我們建議數據控制者通過完善界面交互設計,比如在用戶提出數據可攜權的要求時能以表格等簡明方式自動彈出需要用戶填寫的信息,從而獲取所需數據主體的識別信息,以作為識別相關數據主體的證明。所需識別信息可因用戶要求可攜的信息而不同:比如最常見的方式為通過用戶賬戶信息識別;但若與交易記錄、支付信息等相關,則可要求數據主體補充相應財產信息;而若與某些事件辦理等特定信息相關的,則可要求提供受理編碼等信息。
用戶數據可攜權雖然還是一個新興概念,但是在用戶訪問權等傳統權利中也需要識別數據主體。因此,對於企業而言,如何識別用戶並不陌生。但是鑒於可攜權相較於訪問權賦予用戶對數據更強的掌控力,且可攜權帶來的數據流動對各方主體均會產生影響,故我們認為企業在識別可攜權數據主體身份時應設置更為縝密的識別條件,最好能根據用戶要求可攜信息的不同設置不同的識別條件。
2. 及時應答和免費提供
(1) 及時應答數據主體的可攜要求
根據GDPR第12(3),數據控制者應及時應答數據主體的可攜要求,具體時間要求見下表:
競天公誠律師事務所 馮堅堅 朱菁 蔣昕妍
導言:
大數據時代,在技術的推動下,互聯網平台間的數據流動日益頻繁。但是,在互聯網生態體系中,數據流動給生活帶來便捷的同時也會觸發多重隱患,尤其是含有個人信息的用戶數據。對於企業,用戶數據是其提升競爭力的法寶,企業間因數據之爭摩擦不斷[1];而對於用戶,他們既希望能夠通過簡便的方式存儲、使用、傳輸自己的數據,但也不希望自己的數據因此而被濫用、泄露。據此,對於用戶數據流動的保護與規範刻不容緩。我們將通過三篇文章評析歐盟「The General Data
Protection Regulation」[2](將於2018年5月25日生效,以下簡稱「GDPR」)中「用戶數據可攜權」的規則、實踐操作以及該權利在平台間數據爭議中的適用和障礙。本文為第二篇,主要對「用戶數據可攜權」在實務中的運用進行介紹和分析。關鍵詞:數據可攜權、GDPR、個人信息安全規範、實務運用
根據GDPR第3條關於地域適用的規定,對於用戶群體中包含歐盟境內用戶或者對用戶在歐盟境內的行為存在數據監控的國內產品及服務提供商(例如跨境電商、社交媒體以及音樂視頻服務商等)而言,在面對歐盟境內用戶要求行使「用戶數據可攜權」時,無論該等產品及服務提供商是否在歐盟境內,均應遵守GDPR的相應規定。據此,本文以中國企業的視角切入,結合GDPR與歐盟《數據可攜權指南》[3](以下簡稱「《指南》」)等相關規範,為企業面臨歐盟用戶要求實現數據可攜權的場景提供操作指引。
1. 縝密識別數據主體(data subject)[4]
根據GDPR第20條,用戶數據可攜權指數據主體有權獲取或傳輸自己提供給數據控制者(controller)[5]的相關用戶數據副本的權利。因此,數據控制者在應要求提供相關數據時,首先應識別行使「數據可攜權」的主體與提供相關用戶數據的主體是否同一。關於如何識別,GDPR並無相關規定,下文將結合相關規定和實務作出分析如下:
首先,從GDPR第20條文義可知,為配合用戶實現數據可攜權,數據控制者識別數據主體是一項義務。在實務中,較為簡便的識別方法,即為創設賬戶。互聯網平台一般會要求用戶註冊賬戶以便開通相關服務和功能,而註冊賬戶一般包括註冊用戶名、設置密碼、綁定手機號或郵箱等步驟,從而使得數據主體和該賬戶形成對應。因此,在多數情況下,互聯網平台在確認數據主體身份時一般可通過數據主體使用的賬戶進行識別。
其次,根據GDPR第12(6),數據控制者無法識別數據主體時,應當要求數據主體提供相關信息證明其與相關數據提供方系同一主體。另一方面,GDPR第11(2)也同樣賦予了數據主體提供信息證明身份的權利。結合兩者可推知,在無法識別數據主體時,數據控制者不可直接拒絕數據主體的要求,而是需要給予對方提供信息證明的機會。據此,為了避免爭議,履行義務以及統一相關操作,我們建議數據控制者通過完善界面交互設計,比如在用戶提出數據可攜權的要求時能以表格等簡明方式自動彈出需要用戶填寫的信息,從而獲取所需數據主體的識別信息,以作為識別相關數據主體的證明。所需識別信息可因用戶要求可攜的信息而不同:比如最常見的方式為通過用戶賬戶信息識別;但若與交易記錄、支付信息等相關,則可要求數據主體補充相應財產信息;而若與某些事件辦理等特定信息相關的,則可要求提供受理編碼等信息。
用戶數據可攜權雖然還是一個新興概念,但是在用戶訪問權等傳統權利中也需要識別數據主體。因此,對於企業而言,如何識別用戶並不陌生。但是鑒於可攜權相較於訪問權賦予用戶對數據更強的掌控力,且可攜權帶來的數據流動對各方主體均會產生影響,故我們認為企業在識別可攜權數據主體身份時應設置更為縝密的識別條件,最好能根據用戶要求可攜信息的不同設置不同的識別條件。
2. 及時應答和免費提供
(1) 及時應答數據主體的可攜要求
根據GDPR第12(3),數據控制者應及時應答數據主體的可攜要求,具體時間要求見下表:
值得注意的是,企業作為數據控制者無論是否同意可攜請求,均應及時應答數據主體的請求,不可以沉默應對,且應答時限原則上應以一月為限。
另外,根據GDPR第12(4),若企業拒絕數據主體可攜要求時,其應於收到請求後的1個月內告知數據主體兩大事項:其一,拒絕的理由;其二,可救濟的措施。
實踐中,我們建議企業將數據可攜權的應答流程列明於《用戶協議》、《隱私條款》《會員守則》等文件中,包括應答時限和應答救濟等,並可相應明確「大量請求」、「複雜請求」和「一般請求」的範圍,以此來避免實踐操作中的模糊和爭議。
(2) 免費提供可攜信息
根據GDPR第12(5),數據控制者應數據主體的要求提供可攜信息時,原則上應免費提供,但若是該等數據明顯難以查找或過量需求的,尤其是顯著重複的,數據控制者可以收取一定合理的費用。關於此,企業應當注意以下幾點:
第一,免費提供應為慣例,有償提供則為例外;
第二,若數據主體要求反覆提供相應數據的,數據控制者有權收取合理費用;
第三,數據控制者負有證明數據明顯難以查找或過量需求的舉證責任。
由此可見,實踐中,企業在提供可攜數據時鮮有能夠收取費用的情形。另外,一份數據被多個數據主體要求可攜時並非前文所指的第二點所指的過量需求;僅有同一數據主體多次要求可攜同份數據時,企業才可以過量需求為由收取合理費用。
3. 採用合理的提供方式
根據GDPR第20(1),數據控制者向數據主體提供可攜數據時,應採用格式化的、通用的和可機讀的格式。GDPR提出的格式化、通用和可機讀的三大要求,實際為可攜數據提供格式的最低標準,其最終目的是實現互操作性[6](Interoperability),使得該等數據可在多個平台被訪問和處理。
鑒於文件的格式多種多樣,故GDPR未對提供數據的格式作出指定。實踐中,可攜數據的提供格式可能隨不同數據類型而變化。根據《指南》,企業在採用提供方式時應考量以下幾點:
第一,為數據主體能夠無障礙的重新使用相關可攜數據,可提供元數據以保證數據主體能最大程度的利用該等數據。以郵件收件箱為例,若僅以PDF的格式提供可能不能滿足用戶對於收件箱功能的重新使用,因此企業可盡量提供與收件箱功能有關的元數據以保證其原有功能。此處需注意,雖然我們建議企業可盡量提供元數據以保證數據的利用率,但該要求並非企業的法定義務。另外,由於元數據涉及相關程序的核心,若被篡改或泄露會對原數據控制者、數據主體均造成嚴重損害,故應謹慎對待。
第二,提供龐大而複雜數據信息時,數據控制者應給予用戶自由選擇所需數據權利。換而言之,數據控制者應於相關界面列示數據目錄,以供數據主體自由選取部分或全部信息。同時,數據控制者應以通俗的語言描述該等數據,以便數據主體明晰自己所需的數據為何。
第三,提供的可攜數據格式應具有互操作性,但不代表數據控制者需採納或維護用戶數據處理的兼容性。簡單來說,企業開發的程序提供API介面即是增加該等程序的互操作性,但這並不意味該等程序需適用於任何系統環境。鑒於該項內容與計算機理論密切相關,本文限於法律實務僅作簡單闡釋。
4. 重視可攜數據的安全
根據GDPR第5(1)和(f),數據控制者本身即應對用戶數據的安全負責,包括防止用戶數據的濫用、非法處置和意外滅失、損毀等。但是,在數據控制者配合用戶實現可攜權時,鑒於傳輸帶來的風險,數據控制者需承擔更高的義務,結合《指南》規定,具體可分為如下兩點:
其一,確保可攜數據傳輸至正確的目的地。為此,數據控制者可運用一切可利用的核驗手段,但該等手段不得阻礙數據主體實現用戶數據可攜權,比如向用戶收取額外或高昂的費用等。
其二,提示用戶注意保護該等可攜數據。數據主體電腦系統相較於數據控制者的系統安全係數略低,故數據主體在使用、存儲可攜數據時會面臨更大的數據安全風險。據此,數據控制者可通過風險提示和操作指引,幫助數據主體採取正確的步驟保護數據的安全。
結語:
互聯網時代,計算機技術迅猛發展、不斷革新。因此,即使是GDPR也僅對數據可攜權的實務操作作了原則性規定,且該等規定主要強調了宏觀效果及目的,而非規制微觀操作。鑒於此,企業作為數據控制者在應對用戶的數據可攜權時,也應靈活機變,合理運用相應技術配合用戶實現數據可攜權,切忌拘泥於提供方式的形式或提供數據的格式模板等。
最後,對於中國企業,GDPR規定並非適用於所有用戶,尤其是GDPR第20條規定的用戶數據可攜權,是一項主要針對歐盟境內用戶的權利。因此,企業在製作《用戶協議》或《隱私條款》時,可以考慮增設專門應對GDPR及適用於歐盟境內用戶的條款,在其中約定關於用戶數據可攜權的內容,或者根據用戶的所在地自動匹配不同的協議文本。
[1] 近年來有關的國內知名爭議案件及事件包括:新浪微博起訴脈脈抓取使用微博用戶信息案((2016)京73民終588號判決)、大眾點評訴百度不正當競爭案((2016)滬73民終242號)、順豐與菜鳥的數據大戰、華為與騰訊的微信數據爭奪戰。
[2] Regulation (EU) 2016/679 of
the European Parliament and of the Council of 27 April 2016 on the protectionof natural persons with regard to the processing of personal data and on thefree movement of such data, and repealing Directive 95/46/EC (General Data
Protection Regulation) Official Journal of the European Union, Vol. L119 (4 May2016), pp. 1- 88http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L:2016:119:TOC[3] Guidelines on the right to data portability. 16/EN WP 242. Adopted
on 13 December 2016.[4] 根據GDPR2012年建議案中的定義,數據主體是指數據控制者或任何自然人、法人通過合理手段,尤其通過姓名、身份證號、定位數據、網路標識符以及特定的身體、心理、基因、精神狀態、經濟、文化、社會身份等因素,能夠直接或間接識別的自然人。
[5] 根據GDPR中的定義,數據控制者是指單獨或與他人共同確定個人數據處理的目的和方式的自然人、法人、公共權力機關、代理機構或其他機構;這裡個人數據處理的目的和方式應由歐盟或成員國法律決定,數據控制者或其任命的具體標準也可由歐盟或成員國法律規定。
[6] 又稱互用性,是指不同的計算機系統、網路、操作系統和應用程序一起工作並共享信息的能力。
值得注意的是,企業作為數據控制者無論是否同意可攜請求,均應及時應答數據主體的請求,不可以沉默應對,且應答時限原則上應以一月為限。
另外,根據GDPR第12(4),若企業拒絕數據主體可攜要求時,其應於收到請求後的1個月內告知數據主體兩大事項:其一,拒絕的理由;其二,可救濟的措施。
實踐中,我們建議企業將數據可攜權的應答流程列明於《用戶協議》、《隱私條款》《會員守則》等文件中,包括應答時限和應答救濟等,並可相應明確「大量請求」、「複雜請求」和「一般請求」的範圍,以此來避免實踐操作中的模糊和爭議。
(2) 免費提供可攜信息
根據GDPR第12(5),數據控制者應數據主體的要求提供可攜信息時,原則上應免費提供,但若是該等數據明顯難以查找或過量需求的,尤其是顯著重複的,數據控制者可以收取一定合理的費用。關於此,企業應當注意以下幾點:
第一,免費提供應為慣例,有償提供則為例外;
第二,若數據主體要求反覆提供相應數據的,數據控制者有權收取合理費用;
第三,數據控制者負有證明數據明顯難以查找或過量需求的舉證責任。
由此可見,實踐中,企業在提供可攜數據時鮮有能夠收取費用的情形。另外,一份數據被多個數據主體要求可攜時並非前文所指的第二點所指的過量需求;僅有同一數據主體多次要求可攜同份數據時,企業才可以過量需求為由收取合理費用。
3. 採用合理的提供方式
根據GDPR第20(1),數據控制者向數據主體提供可攜數據時,應採用格式化的、通用的和可機讀的格式。GDPR提出的格式化、通用和可機讀的三大要求,實際為可攜數據提供格式的最低標準,其最終目的是實現互操作性[6](Interoperability),使得該等數據可在多個平台被訪問和處理。
鑒於文件的格式多種多樣,故GDPR未對提供數據的格式作出指定。實踐中,可攜數據的提供格式可能隨不同數據類型而變化。根據《指南》,企業在採用提供方式時應考量以下幾點:
第一,為數據主體能夠無障礙的重新使用相關可攜數據,可提供元數據以保證數據主體能最大程度的利用該等數據。以郵件收件箱為例,若僅以PDF的格式提供可能不能滿足用戶對於收件箱功能的重新使用,因此企業可盡量提供與收件箱功能有關的元數據以保證其原有功能。此處需注意,雖然我們建議企業可盡量提供元數據以保證數據的利用率,但該要求並非企業的法定義務。另外,由於元數據涉及相關程序的核心,若被篡改或泄露會對原數據控制者、數據主體均造成嚴重損害,故應謹慎對待。
第二,提供龐大而複雜數據信息時,數據控制者應給予用戶自由選擇所需數據權利。換而言之,數據控制者應於相關界面列示數據目錄,以供數據主體自由選取部分或全部信息。同時,數據控制者應以通俗的語言描述該等數據,以便數據主體明晰自己所需的數據為何。
第三,提供的可攜數據格式應具有互操作性,但不代表數據控制者需採納或維護用戶數據處理的兼容性。簡單來說,企業開發的程序提供API介面即是增加該等程序的互操作性,但這並不意味該等程序需適用於任何系統環境。鑒於該項內容與計算機理論密切相關,本文限於法律實務僅作簡單闡釋。
4. 重視可攜數據的安全
根據GDPR第5(1)和(f),數據控制者本身即應對用戶數據的安全負責,包括防止用戶數據的濫用、非法處置和意外滅失、損毀等。但是,在數據控制者配合用戶實現可攜權時,鑒於傳輸帶來的風險,數據控制者需承擔更高的義務,結合《指南》規定,具體可分為如下兩點:
其一,確保可攜數據傳輸至正確的目的地。為此,數據控制者可運用一切可利用的核驗手段,但該等手段不得阻礙數據主體實現用戶數據可攜權,比如向用戶收取額外或高昂的費用等。
其二,提示用戶注意保護該等可攜數據。數據主體電腦系統相較於數據控制者的系統安全係數略低,故數據主體在使用、存儲可攜數據時會面臨更大的數據安全風險。據此,數據控制者可通過風險提示和操作指引,幫助數據主體採取正確的步驟保護數據的安全。
結語:
互聯網時代,計算機技術迅猛發展、不斷革新。因此,即使是GDPR也僅對數據可攜權的實務操作作了原則性規定,且該等規定主要強調了宏觀效果及目的,而非規制微觀操作。鑒於此,企業作為數據控制者在應對用戶的數據可攜權時,也應靈活機變,合理運用相應技術配合用戶實現數據可攜權,切忌拘泥於提供方式的形式或提供數據的格式模板等。
最後,對於中國企業,GDPR規定並非適用於所有用戶,尤其是GDPR第20條規定的用戶數據可攜權,是一項主要針對歐盟境內用戶的權利。因此,企業在製作《用戶協議》或《隱私條款》時,可以考慮增設專門應對GDPR及適用於歐盟境內用戶的條款,在其中約定關於用戶數據可攜權的內容,或者根據用戶的所在地自動匹配不同的協議文本。
[1] 近年來有關的國內知名爭議案件及事件包括:新浪微博起訴脈脈抓取使用微博用戶信息案((2016)京73民終588號判決)、大眾點評訴百度不正當競爭案((2016)滬73民終242號)、順豐與菜鳥的數據大戰、華為與騰訊的微信數據爭奪戰。
[2] Regulation (EU) 2016/679 of
the European Parliament and of the Council of 27 April 2016 on the protectionof natural persons with regard to the processing of personal data and on thefree movement of such data, and repealing Directive 95/46/EC (General DataProtection Regulation) Official Journal of the European Union, Vol. L119 (4 May2016), pp. 1- 88http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L:2016:119:TOC[3] Guidelines on the right to data portability. 16/EN WP 242. Adopted
on 13 December 2016.[4] 根據GDPR2012年建議案中的定義,數據主體是指數據控制者或任何自然人、法人通過合理手段,尤其通過姓名、身份證號、定位數據、網路標識符以及特定的身體、心理、基因、精神狀態、經濟、文化、社會身份等因素,能夠直接或間接識別的自然人。
[5] 根據GDPR中的定義,數據控制者是指單獨或與他人共同確定個人數據處理的目的和方式的自然人、法人、公共權力機關、代理機構或其他機構;這裡個人數據處理的目的和方式應由歐盟或成員國法律決定,數據控制者或其任命的具體標準也可由歐盟或成員國法律規定。
[6] 又稱互用性,是指不同的計算機系統、網路、操作系統和應用程序一起工作並共享信息的能力。
推薦閱讀:
※「暗網」:包庇罪惡的互聯網平行世界
※字幕組安全指南,也適用於任何希望逃避State Apparatus的人
※買票、住酒店、貸款、清關,鬼知道我的個人信息都幹了什麼!
※「打人未必要打臉」—淺議行政處罰信息公開要注重個人隱私保護
※GDPR之「用戶數據可攜權」評析(三)—— 「數據可攜權」視角下的數據之爭