GDPR合规：数据可携带权的主要内容

古元

译 / 姜开锋

欧盟《一般数据保护条例》（General Data Protection Regulation，下文简称GDPR）在其第20条第1款中对数据可携带权作了如下定义：

数据主体有权获取其提供给数据控制者的相关个人数据，其所获取的个人数据形态应当是结构化的（structured）、通用的（commonly used）和机器可读的（machine-readable），且数据主体有权将此类数据无障碍地从该控制者处传输至其他控制者处。

1 获取个人数据的权利

首先，数据可携带权意味着数据主体有权获取经数据控制者处理过的、其个人数据的子集，并且有权存储这些数据以供进一步的个人使用。存储地址可在其私人设备上，亦可在私人云空间中，而不必将数据传输至另一个数据控制者处。

在这一意义上，数据可携带权是数据访问权的重要补充。数据可携带权的特征之一在于它为数据主体提供了一种简便的途径，使其能够自我管理和重复使用个人数据。数据主体所获取的个人数据形态应当是“结构化的、通用的和机器可读的”。例如，数据主体可能想从音乐流媒体服务中导出他当前的播放列表（或者听歌的历史记录），从而知道某一曲目听过多少次，或确定出要购买的或者要在另一个平台上听的歌曲。他可能还想从他的电子邮件程序中导出他的联系人列表，用于制作婚礼参加人名录；或者想获取使用不同的会员卡购物的记录；或者想评估其碳排放量（carbon footprint）。

2 将个人数据从某一控制者处传输至另一控制者处的权利

其次，第20条第1款规定数据主体有权“无障碍地”将个人数据从某一控制者处传输至其他控制者处。在技术上可行的情形中，根据数据主体的请求，数据也可以直接从一个数据控制者传输至另一个数据控制者（第20条第2款）。关于该项规定，解释部分的第68条（recital 68）鼓励数据控制者开发可共用的（interoperable）数据格式，以实现数据的可携带性，但并未强制要求控制者使用技术上兼容的处理系统。不过，GDPR倒是要求控制者不得设置传输障碍。

至关重要的是，数据可携带权的这一内容不仅为数据主体提供了获取和重新使用数据的权能，而且还使他们能够把之前提供的数据传输给其他的服务提供商（既可在同一商业领域中，也可在不同的商业领域中）。除了通过禁止“锁定”（“lock-in”）的方式来给消费者提供数据权能之外，数据可携带权还有望促进数据控制者的创新，并为其提供共享个人数据的机会；当然，这些进程都处于数据主体的控制之下，并以安全可靠的方式进行。数据可携带权能够促使用户在不同的机构之间对其个人数据进行可控的和有限的共享，从而丰富服务的内容，提升用户的体验。数据可携带权可以推动用户在他们感兴趣的各种服务中进行个人数据的传输和重复使用。

3 控制者责任

数据可携带权保证了数据主体可根据自身的意愿，接收个人数据和处理个人数据的权利。

数据控制者根据第20条中所规定的情形，回应数据主体的请求；但该控制者不对数据主体或接收数据的其他公司的数据处理行为负责。他们受数据主体之委托而采取行动，包括何时将个人数据直接传输给另一个数据控制者。在这种情况下，该数据控制者不对数据接收者的合规性负责，因为选择接收方的不是该发送数据的控制者。同时，控制者应采取相应的安全措施，以确保他们的行动忠实于数据主体的委托。例如，他们可以设立相应的程序，以确保传输的个人数据类型确实是数据主体想要传输的数据类型。这可以通过在传输之前，或者在数据主体最初同意处理数据之前，或者处理协议最终确定之前，经由数据主体的确认而实现。

回应数据传输请求的控制者没有义务在传输数据之前检查和验证数据的质量。当然，根据GDPR第5条第1款中的规定，这些数据应该是准确的，并且是及时更新的。此外，数据可携带权并未强制要求数据控制者保留个人数据的期限应当超过必要的或者任何明定的期限。而且，数据控制者也不必为了回应未来可能出现的数据传输请求，而超出适当的保留期限对数据予以存储。

如果数据主体的个人数据由数据处理者（a data processor）进行处理，那么根据GDPR第28条，处理者和控制者签订的合同应当要求处理者“通过合适的技术与组织手段帮助控制者履行其责任，......，以回应数据主体据其权利所提出的请求”。因此，数据控制者应与其数据处理者进行合作，设立特定的程序，以响应数据主体的请求。在联合控制数据的情况下，合同应明确分配各个数据控制者相互之间在回应数据可携带权时的责任。

此外，接收数据的控制者有责任确保数据主体所提供的可携带式数据与新的数据处理目的相关，且不超出新目的所要求之数量。例如，数据主体从电子邮件服务提供者处获取邮件数据后，将其传输到安全的归档平台进行归档；这时，新的数据控制者就不需要处理数据主体邮件通讯录中联系人的详细信息。如果此信息与新的处理目的无关，则该信息就不应被保留和处理。在任何情形中，接收数据的控制者都没有义务必须接受和处理数据主体利用数据可携带权传输过来的个人数据。例如，如果数据主体想要将其银行交易的详细信息传输给协助其管理预算的服务者，则该接收数据的控制者只要具有不同的服务目的，就没有必要接受所有的数据，也没有义务必须保留所有的数据。换句话说，该接收数据的控制者接受和保留的数据应该只是其提供服务所必需的和相关的数据。

数据接收者成为这些个人数据的新控制者，他们并且必须遵守GDPR第5条中的相关规定。根据第14条规定的透明性要求，接收数据的新控制者必须在数据主体请求传输数据之前，清楚、直接地说明新的处理目的。对于其开展的任何其它的数据处理，该数据控制者应当遵守第5条中的规定，如合法性、公平性、透明性、目的限制、数据量最小化、准确性、完整性、保密性、存储限制和存储责任。

持有个人数据的数据控制者应当做好相应的准备，为其数据主体实现数据可携带权提供便利条件。数据控制者可以选择是否接收来自数据主体的数据，而不是必须接收。

原文：节选自Article 29 Data Protection Working Party《Guidelines on the right to data portability》

本文仅作学习交流之用

声明：本文来自大数据和人工智能法律研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。