信息化觀察網

本文來自微信公眾號“互聯網與社會發(fā)展研究中心”，作者/錢虹瑾，寧波大學法學院2022級法學碩士。

數據可攜帶權是歐盟在《通用數據保護條例》(General Data Protection Regulation，GDPR)中提出的一項新型數據權利。從誕生開始，該項權利的屬性和實施等問題就存在很大爭議。然而，為了和歐盟的數據保護水平相匹配，世界上很多國家和地區(qū)的個人信息保護法都規(guī)定了數據可攜帶權。我國《個人信息保護法》第45條第3款也明確規(guī)定個人享有數據可攜帶權，①但未規(guī)定其具體適用條件和范圍，而是授權國家網信部門來規(guī)定。國家網信辦會同相關部門研究起草的《網絡數據安全管理條例（征求意見稿）》第24條規(guī)定了數據可攜帶權的適用條件、適用范圍。②但《網絡數據安全管理條例（征求意見稿）》的數據可攜帶權條文仍屬粗線條規(guī)定，無法為實踐提供明確指引。

《個人信息保護法》第45條第3款規(guī)定：“個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規(guī)定條件的，個人信息處理者應當提供轉移的途徑。”

《網絡數據安全管理條例（征求意見稿）》第24條規(guī)定：“符合下列條件的個人信息轉移請求，數據處理者應當為個人指定的其他數據處理者訪問、獲取其個人信息提供轉移服務：

（一）請求轉移的個人信息是基于同意或者訂立、履行合同所必需而收集的個人信息；

（二）請求轉移的個人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息；

（三）能夠驗證請求人的合法身份。

數據處理者發(fā)現接收個人信息的其他數據處理者有非法處理個人信息風險的，應當對個人信息轉移請求做合理的風險提示。

請求轉移個人信息次數明顯超出合理范圍的，數據處理者可以收取合理費用。”

爭議之處

在我國理論界與實務界就是否應當規(guī)定個人信息可攜帶權，存在爭論。一種觀點認為，我國法上不應當賦予自然人以個人信息可攜帶權，理由在于：規(guī)定個人信息可攜帶權在技術實現上存在很大的難度，可能會極大的增加企業(yè)的經營成本。[1]同時，個人信息作為網絡企業(yè)取得競爭優(yōu)勢很重要的一種資產，規(guī)定個人信息可攜帶權還可能導致各個企業(yè)之間以此作為工具搶奪數據，存在不正當競爭的風險。[2]此外，個人信息可攜帶權使得更多信息處理者擁有獲取信息主體個人信息的機會，無形中可能給黑客或犯罪組織盜取個人信息大開方便之門。[3]另一種相反的觀點認為，我國應當承認個人信息的可攜帶權，理由在于：賦予個人自由獲取和轉移個人信息的權利，增強個人對其個人信息的控制，體現了自然人對其個人信息或個人數據的支配性，是個人信息權益的重要組成部分。其次，規(guī)定個人信息可攜帶權，可以打破個人信息或個人數據領域的壟斷，防止大型網絡企業(yè)扼殺新型的網絡企業(yè)的發(fā)展，為激勵行業(yè)競爭和技術創(chuàng)新提供了良好的環(huán)境。[4]

個人信息處理者如何確認申請查閱復制個人信息的主體就是信息主體即其個人信息被處理的個人？如果個人信息處理者不去進行這種驗證，就很可能出現非信息主體的個人通過查閱復制非法獲取他人的個人信息，以致個人信息泄露的問題。我國《個人信息保護法》第51條要求個人信息處理者應當根據信息的處理目的、處理方式、個人信息的種類以及對個人的影響、可能存在的安全風險等，采取相應措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失?！睹穹ǖ洹返?038條第2款前半句也規(guī)定：“信息處理者應當采取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失。”此外，《網絡安全法》第42條第2款第1句也有相同的規(guī)定。故此，在個人向個人信息處理者要求查閱復制其個人信息時，個人信息處理者應當采取相應的技術措施和其他必要的措施來驗證申請者是否屬于適合的主體或者屬于得到授權的人。

個人要求查閱復制其個人信息時是否需要支付費用？對此，我國《個人信息保護法》的起草過程中就存在爭論。有觀點認為，個人信息處理者為了滿足個人查閱復制其個人信息的要求必將支付相應的人力物力成本，基于成本補償原則，要求個人支付一定的費用。況且，為了避免惡意的查閱復制申請而給企業(yè)造成不合理的負擔，也應當要求查閱復制個人信息的個人支付合理的費用。[5]

應當說，個人信息處理者為滿足個人查閱復制的權利確實需要花費一定的成本，此種情形由個人支付合理的費用以補償處理者為此產生的成本也是合理的。但是，我國《個人信息保護法》對此沒有作出規(guī)定，理由在于：首先，個人信息處理者的類型很多，既包括國家機關、事業(yè)單位等，也包括公司企業(yè)，且查閱復制的成本各不相同，不宜由《個人信息保護法》作出規(guī)定，可以由相應的法律、行政法規(guī)作出規(guī)定，或者由當事人加以約定。其次，對于符合條件的個人在行使查閱復制權等個人在個人信息處理活動中的權利收取費用，容易對個人行使權利造成妨礙，不符合便民利民的原則，更不利于保護個人信息權益。當然，對于不符合條件或者多次甚至是惡意行使查閱復制權的個人，可以考慮收取相應的費用，而這可以由個人信息處理者在其建立的個人行使權利的申請受理和處理機制中作出相應的規(guī)定，不應由法律直接規(guī)定。[6]

所謂“及時提供”究竟是多長時間內提供？歐盟《一般數據保護條例》第12條第3款規(guī)定：“控制者應當自收到請求起不得超過一個月內提供根據本條例第15條至第22條采取行動的信息?？紤]到請求的復雜性和數量，在必要時，這一期限可以再延長兩個月。對于延期提供信息的任何情況，控制者都應當自收到請求起一個月內通知數據主體相關情形和延遲原因。如果數據主體以電子形式發(fā)送請求，這些信息應以電子形式提供，除非數據主體對提供方式有其他特殊要求。”所謂及時并不等于立刻，但也不能拖延，具體判斷應當考慮查閱復制的申請的提出時間、需要查閱或復制的個人信息的數量、個人信息處理者完成該請求的難易程度等因素綜合判斷。

[1]參見程嘯：《個人信息保護法理解與適用》，中國法制出版社2021年版，第336頁。

[2]參見京東法律研究院：《歐盟數據憲章：〈般數據保護條例〉GDPR述評及實務指引》，法律出版社2018年版，第64頁。

[3]參見卓力雄：《數據攜帶權：基本概念、問題與中國應對》，載《行政法學研究》2019年第6期，第140頁。

[4]參見汪慶華：《數據可攜帶權的權利結構、法律效果與中國化》，載《中國法律評論》2021年第3期，第201頁。

[5]日本《個人信息保護法》第33條規(guī)定：“在被本人要求對其進行第二十七條第二款規(guī)定的有關利用目的的通知、或者接到第二十八條第一款規(guī)定的公開的請求后，個人信息處理業(yè)者可以就相關措施的實施而收取手續(xù)費。個人信息處理業(yè)者若依照前一款的規(guī)定收取手續(xù)費的，則應當在考慮實際費用并被認為是合理的范圍內，確定該手續(xù)費的金額。”我國臺灣地區(qū)《個人資料保護法》第14條規(guī)定：“查詢或請求閱覽個人資料或制給復制本者，公務機關或非公務機關得酌收必要成本費用。”我國澳門特別行政區(qū)《個人資料保護法》第11條第1款規(guī)定：“在不得拖延的合理期限內及無需支付過高費用的情況下，數據當事人享有自由地、不受限制地從負責處理個人資料的實體獲知相應事項的權利。”

[6]例如，歐盟《一般數據保護條例》第12條第5款規(guī)定：“根據本條例第13條和第14條所提供的信息以及根據本條例第15條至第22條和第34條提供的任何溝通行動都應當免費提供。在數據主體提出的請求無依據或超出提供范圍，尤其是重復提起請求的情形下，控制者也可以：(a)考慮到提供信息、交流或者采取行動的管理成本，可以收取合理的費用；(b)拒絕受理數據主體的請求?？刂普邞斪C明數據主體的請求在其提供范圍之外。”第15條第3款規(guī)定：“控制者應提供正在處理的個人數據的副本對于數據主體要求提供額外副本的，控制者可以根據管理成本收取合理的費用。如果數據主體通過電子形式提出請求，除非數據主體另有要求，信息應當以常用的電子形式提供。”