《个人信息保护法》亮点解读个人资料可以带走

根据编者按，备受关注的“数字时代基本法”—— 《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)经过多年酝酿终于出现。8月20日，《个人信息保护法》经三审后正式颁布，将于11月1日起施行，成为继《网络安全法》、《数据安全法》之后数据保护的重要法律。记者通过采访包括立法参与人在内的多位专家，从法律和现实场景的角度对与消费者密切相关的几个方面进行了深入解读。

随着互联网和大数据技术的不断发展，数据资源已经成为企业新的生产要素。其中，企业以各种方式收集的个人信息是非常重要的数据资产，因此企业有义务更好地保护个人数据权利。专家指出，《个人信息保护法》在第45条中首次规定了数据可移植权，不仅加强了个人对个人信息转移和复用的管控，也对国内企业的数据合规性提出了新的要求。

可以收集哪些信息？

“《个人信息保护法》对信息采集有很多规定，其基本原则是合法、合法、必要。”中国社会科学院院士、全国人大宪法和法律委员会委员孙说。

孙指出，关于个人信息的收集，有以下规定：第四条明确了个人信息是指什么，信息处理包括什么，明确了处理个人信息应当合法、正当、必要；第六条具有较强的对应性，明确指出处理个人信息应当有合理目的，应当与处理目的直接相关，对个人权益影响最小。比如医院收集个人疾病治疗信息有明确合理的目的，但如果收集的信息与处理目的无关，则属于违法收集；第十四条明确规定，即使个人同意收集信息，平台或APP提供者也必须向个人提供充分的说明，有时甚至采取书面形式，延伸了同意权和知情权；第15条还提到了撤销权；第16条要求信息收集者，即个人信息处理者不得以个人不同意处理其个人信息或要求撤回信息为由拒绝向其提供产品或服务。

孙认为，总的来说，个人信息采集是《个人信息保护法》中被高度重视的一个环节，有很多强制性的规定，特别有意义。

什么是数据可移植性？

“我们可能都遇到过这样的场景：你去银行贷款时，银行可能需要你提供个人的银行流水数据、工资表数据等相关数据，也可能包括其他银行的流水数据。这是一个典型的涉及个人信息可移植性的场景。”中国首席数据官联盟专家组成员、法律顾问、馆陶中茂(上海)律师事务所合伙人王宇威在接受记者采访时表示。《个人信息保护法》第四十五条第一款规定“个人有权向个人信息处理者查阅、复制其个人信息”；第三款规定：“个人请求向其指定的个人信息处理者转移个人信息，符合国家网络信息主管部门规定条件的，由个人信息处理者提供转移手段”。

王宇威指出，《个人信息保护法》首次规定了数据可移植权。根据该条例，数据主体有权从数据控制人处获得个人信息的副本，并要求数据控制人将其个人信息直接传送给另一实体。截至目前，数据可移植权已正式纳入我国个人信息保护法律体系，成为个人在个人信息处理活动中的法定权利。个人将对提交给数据处理者的个人信息有更全面的控制。

据中国信息通信研究院互联网法律研究中心高级研究员杨杰介绍

王宇威指出，从欧盟的相关定义来看，数据可移植性是指数据主体有权接收以结构化、通用和机器可读格式提供给控制者的个人数据，并有权不受阻碍地将数据传输给另一个控制者。经营者有义务根据消费者的访问请求，通过邮件或便携式和可用的电子手段免费向消费者披露和传输其个人信息，以便消费者可以不受限制地将数据传输给另一个实体。

兴趣会回应什么问题？

“比如在上述贷款案例中，我们实际遇到的情况是，银行的APP可以提供下载个人相关信息的服务，但用户协议中写了‘交易记录仅供用户查看，不能挪作他用，否则将视为违约’的条款。虽然我们会认为这样的协议是无效的，但在《通用数据保护条例》产生之前，用户是亏本的，其他银行会担心直接使用这样的信息是否会构成不正当竞争。《个人信息保护法》新设立的个人信息可以携带权益，这类问题很容易解决。对于用户来说，他们有权访问、复制和向第三方提供个人信息是有法律依据的。”王宇威说。“一直以来，社会各界人士普遍认为，数据的携带权应该设置在《个人信息保护法》，这样才能增强个人对个人信息转移和再利用的控制力。数据可移植权的设立既能体现立法的前瞻性，又能有效应对大平台数据垄断现象。”杨洁说。

馆陶中茂(上海)律师事务所律师陈刚认为，引入数据可移植权主要是为了解决数据平台的数据垄断问题。一方面，数据可移植性被视为数据主体的数据权利之一，加强了数据主体对其个人数据的控制。另一方面，数据可移植性也可以成为反垄断法律法规中的一项重要制度，用于规范数据平台的垄断行为。他指出，许多数据平台实际上充当了买方和卖方等两个或两个以上用户群体之间的重要纽带。当他们在平台的一方吸引了大量的用户(比如买家)时，他们就会成为通往这些市场或者客户的路上不可避免的收费站。——平台另一边的用户(如卖家)使用他们的平台是因为他们别无选择。

杨伟认为，具有先发市场地位的大型互联网平台已经过去

市场早期积累的大量用户个人信息，逐步形成了不可撼动的行业地位。大型互联网平台因此常常肆意调整隐私政策，迫使用户接受不公平的隐私条款。数据可携带权的设立，强化了用户自主权，能够有效破除个人信息流通障碍，以用户权益为出发点，形成用户主导型的个人信息跨平台流通，起到防止个人信息锁定、降低市场准入门槛以及增强平台之间竞争的效果。

哪些数据可以携带？

把在一家银行的数据拷贝给另一家银行，把医疗信息转移到另一家医院，写了多年的博客一键导入到另一个平台……这些，都可以吗？

王渝伟认为，《个人信息保护法》颁布以后，在司法实践和个人权益维护的过程中，用户可以理直气壮地引用数据可携带的相关条款。但由于规定较为笼统，还存在用户哪些数据可携带、如何携带的问题。王渝伟认为，《个人信息保护法》对数据可携带权适用的数据范围尚不明确。个人对于其提交给数据控制者的具有可识别性的原生数据（即基础数据），应该具有所有权，这部分信息属于可携带数据。而与用户有关的监测数据以及数据控制者经过算法加工、计算、聚合而成的衍生数据，是否属于可携带权的保护范围，则未明确规定。一般认为，获取该类数据需要获得数据控制者的同意，即该类数据不属于数据可携带权的范围。GDPR的可携带数据包括两类：数据主体有意和主动提供的个人数据（如收件地址、用户名、年龄等）以及数据主体通过使用服务或者设备所提供的观测数据。

杨婕指出，根据GDPR的定义，数据主体有权获取其提供给数据控制者的个人数据，所获取的个人数据应当是结构化的、通用的和机器可读的，但并不涵盖数据处理者抓取数据主体行为形成的观测数据和各类衍生数据。

“数据携带权主要是指给到第三方的场景，这其中需要一个平衡。比如有人要创建一个类似的平台，直接转移用户数据就可能产生另一种不正当竞争。毕竟企业本身特殊的业务模式、特殊的数据场景也是自己特殊的竞争优势。因此，如果数据搜集企业已经对数据进行了再加工，这部分数据到底属不属于可携带的范围，就要具体区分，不能笼统地归到可携带信息。”王渝伟说。

关于可携带数据的传输格式，根据《个人信息保护法》第四十五条第一款和第三款，数据可携带权的内容包括数据主体获取个人信息副本权，以及请求数据控制者直接将与数据主体有关的个人信息传输给另一数据控制者的权利。《个人信息保护法》对数据可携带权下传输数据的形式规定不明确。陈刚认为，条文并未明确传输数据格式应当满足的要求。正确的解读应该是：数据主体可以通过网络随时访问数据控制者处理的个人信息。同理，数据控制者也应当以可携带的、通用的、机器可读的形式向数据主体或者经指定的数据接收方传输个人信息。

在杨婕看来，第四十五条对可携带权仅仅作了原则性规定，为接下来进一步研究论证如何落实可携带权以及为国家网信部门制定配套性立法留足了空间。下一步，可以考虑从个人信息类型、处理方式、处理目的、平台规模以及对第三方权益影响等方面，对可携带权进行限缩。

王渝伟指出，数据可携带权的具体业务场景、具体司法解释，包括具体的携带方式、支撑数据携带所产生的费用谁来承担等，都还需要在实践中继续摸索和完善。