編者按 萬眾矚目的 “數(shù)字時代基本法”——《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)歷經(jīng)多年醞釀，終于亮相。8月20日，《個人信息保護法》在經(jīng)過第三次審議后正式頒布，并將于11月1日正式生效，成為繼《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》之后，數(shù)據(jù)保護的重要法律。本報記者通過對包括立法參與者在內(nèi)的多位專家進行采訪，從法律和實際場景的角度切入，對與消費者密切相關(guān)的幾個方面進行深入解讀。

中國消費者報報道（記者 武曉莉）隨著互聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)的不斷發(fā)展，數(shù)據(jù)資源成為企業(yè)新的生產(chǎn)要素。其中，企業(yè)以各種方式收集的個人信息是非常重要的數(shù)據(jù)資產(chǎn)，因此，企業(yè)有義務(wù)更好地保護個人的數(shù)據(jù)權(quán)利。專家指出，《個人信息保護法》在第四十五條中首次規(guī)定了數(shù)據(jù)可攜帶權(quán)，不僅增強了個人對個人信息轉(zhuǎn)移與再利用行為的控制，也將對國內(nèi)企業(yè)數(shù)據(jù)合規(guī)提出新的要求。

哪些信息可以收集?

“《個人信息保護法》針對信息收集有很多條文規(guī)定，它的基本原則就是要正當(dāng)、合法、必要。”中國社會科學(xué)院學(xué)部委員、全國人大憲法和法律委員會委員孫憲忠說。

孫憲忠指出，與收集個人信息有關(guān)的條文有以下幾個：第四條明確了個人信息到底指哪些、信息的處理包括什么，其中明確指出處理個人信息應(yīng)該合法、正當(dāng)、必要;第六條對應(yīng)性更強，明確指出處理個人信息應(yīng)該具有合理的目的，應(yīng)該與處理的目的直接相關(guān)，應(yīng)該對個人的權(quán)益影響最小，例如醫(yī)院對個人疾病治療信息的收集就是有明確合理的目的，但如果收集的信息與處理目的毫無關(guān)聯(lián)，就屬于違法收集了;第十四條明確規(guī)定，即使是個人同意收集信息，平臺或者APP提供者也要給個人提供充分的說明，有時甚至還要采取書面形式，這就延伸出了同意權(quán)和知情權(quán);第十五條還提到撤回權(quán);第十六條對信息收集者提出了要求，即個人信息處理者不得以個人不同意處理其個人信息或者要求撤回信息為由，而拒絕向其提供產(chǎn)品或服務(wù)。

孫憲忠認(rèn)為，總體來說，個人信息收集是這次《個人信息保護法》非常重視的一個環(huán)節(jié)，其中有很多強制性的規(guī)定條文，這些都是特別有意義的。

什么是數(shù)據(jù)可攜帶權(quán)?

“我們也許都曾碰到過這樣的場景：去一家銀行貸款，銀行可能需要你提供個人的銀行流水、工資單等相關(guān)數(shù)據(jù)，可能還包括其他銀行的流水?dāng)?shù)據(jù)情況。這就是比較典型的涉及個人信息可攜帶權(quán)的場景。”中國首席數(shù)據(jù)官聯(lián)盟專家組成員、法律顧問，觀韜中茂(上海)律師事務(wù)所合伙人王渝偉在接受記者采訪時說?！秱€人信息保護法》第四十五條第一款規(guī)定“個人有權(quán)向個人信息處理者查閱、復(fù)制其個人信息”;第三款規(guī)定“個人請求將其個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑”。

王渝偉指出，《個人信息保護法》首次對數(shù)據(jù)可攜帶權(quán)作出規(guī)定，根據(jù)該規(guī)定，數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者處獲取個人信息副本，以及請求數(shù)據(jù)控制者直接將其個人信息傳輸給另一實體。至此，數(shù)據(jù)可攜帶權(quán)正式被納入我國個人信息保護法律體系，成為個人在個人信息處理活動中的合法權(quán)利。個人對其提交給數(shù)據(jù)處理者的個人信息將擁有更全面的控制。

據(jù)中國信息通信研究院互聯(lián)網(wǎng)法律研究中心高級研究員、個人信息保護立法研究團隊負(fù)責(zé)人楊婕介紹，歐盟《通用數(shù)據(jù)保護條例》(GDPR)最早提出對數(shù)據(jù)可攜權(quán)的定義，包括個人數(shù)據(jù)副本獲取權(quán)以及個人數(shù)據(jù)轉(zhuǎn)移權(quán)。

王渝偉指出，從歐盟的相關(guān)定義看，數(shù)據(jù)可攜帶權(quán)是指數(shù)據(jù)主體有權(quán)以結(jié)構(gòu)化、通用的和機器可讀的格式接收其提供給控制者的有關(guān)自身的個人數(shù)據(jù)，并有權(quán)不受妨礙地將這些數(shù)據(jù)傳輸給另一個控制者。經(jīng)營者有義務(wù)根據(jù)消費者的訪問請求，以郵寄或可攜帶的和可使用的電子方式，向消費者免費披露和傳輸其個人信息，以便消費者能夠?qū)?shù)據(jù)不受限制地傳輸給另一實體。

該權(quán)益回應(yīng)什么問題?

“比如上述貸款案例，我們實際遇到的情況是：銀行的APP可以提供下載個人相關(guān)信息的服務(wù)，但是用戶協(xié)議里寫了‘該交易記錄僅供用戶自己查看，不能作為他用，否則視為違約’的條款。雖然我們會認(rèn)為這樣的約定是無效的，但在《個人信息保護法》出臺之前，用戶心里沒底，其他銀行也會有‘拿這樣的信息直接用是否會構(gòu)成不正當(dāng)競爭’的顧慮。《個人信息保護法》新設(shè)個人信息可攜帶權(quán)益，這類問題將迎刃而解。對用戶來說，對自己的個人信息查閱、復(fù)制、提供給第三方等權(quán)利都有了法律依據(jù)。”王渝偉表示。“一直以來，社會各界普遍認(rèn)為應(yīng)當(dāng)在《個人信息保護法》中設(shè)定數(shù)據(jù)可攜帶權(quán)，增強個體對個人信息轉(zhuǎn)移與再利用行為的把控。數(shù)據(jù)可攜帶權(quán)的設(shè)立，不但能夠體現(xiàn)立法的前瞻性，還能夠有效回應(yīng)大型平臺數(shù)據(jù)壟斷現(xiàn)象。”楊婕說。

觀韜中茂(上海)律師事務(wù)所律師陳剛認(rèn)為，數(shù)據(jù)可攜帶權(quán)的引入，主要是為了解決數(shù)據(jù)平臺的數(shù)據(jù)壟斷問題。一方面，數(shù)據(jù)可攜帶權(quán)被作為數(shù)據(jù)主體的數(shù)據(jù)權(quán)利之一，加強了數(shù)據(jù)主體對其個人數(shù)據(jù)的控制。另一方面，數(shù)據(jù)可攜帶權(quán)也可成為反壟斷法規(guī)中的重要制度，用以規(guī)制數(shù)據(jù)平臺的壟斷行為。他指出，很多數(shù)據(jù)平臺實際上充當(dāng)了兩個或多個用戶組(如買家和賣家)之間的重要紐帶。當(dāng)他們在平臺的一側(cè)(如買家)吸引大量用戶時，會成為通往這些市場或客戶路上不可避免的收費站——平臺另一端的用戶(如賣家)由于別無選擇而使用其平臺。

楊婕認(rèn)為，具有先發(fā)市場地位的大型互聯(lián)網(wǎng)平臺，通過在市場早期積累的大量用戶個人信息，逐步形成了不可撼動的行業(yè)地位。大型互聯(lián)網(wǎng)平臺因此常常肆意調(diào)整隱私政策，迫使用戶接受不公平的隱私條款。數(shù)據(jù)可攜帶權(quán)的設(shè)立，強化了用戶自主權(quán)，能夠有效破除個人信息流通障礙，以用戶權(quán)益為出發(fā)點，形成用戶主導(dǎo)型的個人信息跨平臺流通，起到防止個人信息鎖定、降低市場準(zhǔn)入門檻以及增強平臺之間競爭的效果。

哪些數(shù)據(jù)可以攜帶?

把在一家銀行的數(shù)據(jù)拷貝給另一家銀行，把醫(yī)療信息轉(zhuǎn)移到另一家醫(yī)院，寫了多年的博客一鍵導(dǎo)入到另一個平臺……這些，都可以嗎?

王渝偉認(rèn)為，《個人信息保護法》頒布以后，在司法實踐和個人權(quán)益維護的過程中，用戶可以理直氣壯地引用數(shù)據(jù)可攜帶的相關(guān)條款。但由于規(guī)定較為籠統(tǒng)，還存在用戶哪些數(shù)據(jù)可攜帶、如何攜帶的問題。王渝偉認(rèn)為，《個人信息保護法》對數(shù)據(jù)可攜帶權(quán)適用的數(shù)據(jù)范圍尚不明確。個人對于其提交給數(shù)據(jù)控制者的具有可識別性的原生數(shù)據(jù)(即基礎(chǔ)數(shù)據(jù))，應(yīng)該具有所有權(quán)，這部分信息屬于可攜帶數(shù)據(jù)。而與用戶有關(guān)的監(jiān)測數(shù)據(jù)以及數(shù)據(jù)控制者經(jīng)過算法加工、計算、聚合而成的衍生數(shù)據(jù)，是否屬于可攜帶權(quán)的保護范圍，則未明確規(guī)定。一般認(rèn)為，獲取該類數(shù)據(jù)需要獲得數(shù)據(jù)控制者的同意，即該類數(shù)據(jù)不屬于數(shù)據(jù)可攜帶權(quán)的范圍。GDPR的可攜帶數(shù)據(jù)包括兩類：數(shù)據(jù)主體有意和主動提供的個人數(shù)據(jù)(如收件地址、用戶名、年齡等)以及數(shù)據(jù)主體通過使用服務(wù)或者設(shè)備所提供的觀測數(shù)據(jù)。

楊婕指出，根據(jù)GDPR的定義，數(shù)據(jù)主體有權(quán)獲取其提供給數(shù)據(jù)控制者的個人數(shù)據(jù)，所獲取的個人數(shù)據(jù)應(yīng)當(dāng)是結(jié)構(gòu)化的、通用的和機器可讀的，但并不涵蓋數(shù)據(jù)處理者抓取數(shù)據(jù)主體行為形成的觀測數(shù)據(jù)和各類衍生數(shù)據(jù)。

“數(shù)據(jù)攜帶權(quán)主要是指給到第三方的場景，這其中需要一個平衡。比如有人要創(chuàng)建一個類似的平臺，直接轉(zhuǎn)移用戶數(shù)據(jù)就可能產(chǎn)生另一種不正當(dāng)競爭。畢竟企業(yè)本身特殊的業(yè)務(wù)模式、特殊的數(shù)據(jù)場景也是自己特殊的競爭優(yōu)勢。因此，如果數(shù)據(jù)搜集企業(yè)已經(jīng)對數(shù)據(jù)進行了再加工，這部分?jǐn)?shù)據(jù)到底屬不屬于可攜帶的范圍，就要具體區(qū)分，不能籠統(tǒng)地歸到可攜帶信息。”王渝偉說。

關(guān)于可攜帶數(shù)據(jù)的傳輸格式，根據(jù)《個人信息保護法》第四十五條第一款和第三款，數(shù)據(jù)可攜帶權(quán)的內(nèi)容包括數(shù)據(jù)主體獲取個人信息副本權(quán)，以及請求數(shù)據(jù)控制者直接將與數(shù)據(jù)主體有關(guān)的個人信息傳輸給另一數(shù)據(jù)控制者的權(quán)利。《個人信息保護法》對數(shù)據(jù)可攜帶權(quán)下傳輸數(shù)據(jù)的形式規(guī)定不明確。陳剛認(rèn)為，條文并未明確傳輸數(shù)據(jù)格式應(yīng)當(dāng)滿足的要求。正確的解讀應(yīng)該是：數(shù)據(jù)主體可以通過網(wǎng)絡(luò)隨時訪問數(shù)據(jù)控制者處理的個人信息。同理，數(shù)據(jù)控制者也應(yīng)當(dāng)以可攜帶的、通用的、機器可讀的形式向數(shù)據(jù)主體或者經(jīng)指定的數(shù)據(jù)接收方傳輸個人信息。

在楊婕看來，第四十五條對可攜帶權(quán)僅僅作了原則性規(guī)定，為接下來進一步研究論證如何落實可攜帶權(quán)以及為國家網(wǎng)信部門制定配套性立法留足了空間。下一步，可以考慮從個人信息類型、處理方式、處理目的、平臺規(guī)模以及對第三方權(quán)益影響等方面，對可攜帶權(quán)進行限縮。

王渝偉指出，數(shù)據(jù)可攜帶權(quán)的具體業(yè)務(wù)場景、具體司法解釋，包括具體的攜帶方式、支撐數(shù)據(jù)攜帶所產(chǎn)生的費用誰來承擔(dān)等，都還需要在實踐中繼續(xù)摸索和完善。