GDPR之“用户数据可携权”评析（一）——认识“用户数据可携权”

数据隐私和网络安全

专栏

何为用户数据可携权

根据GDPR第20条，用户数据可携权指当数据控制者（即企业）基于数据主体（即用户）的同意或者基于合同的约定，在以自动化的方式处理用户数据时，数据主体有权获取其提供给数据控制者的且与其有关的前述数据副本；同时，数据主体有权将该等数据副本传输至另一数据控制者。

据此，我们认为用户数据可携权的要素如下：
(1) 用户数据可携权是一项用户的权利；
(2) 用户数据可携权是一项积极权利，即需要用户主动提出要求；
(3) 用户数据可携权主要包含两项权利：其一，用户有权取得其数据副本；其二，用户有权将该等数据传输至另一数据控制者，且用户有权要求数据控制者直接将该等数据传输至另一数据控制者[3]。

由此可见，数据控制者，即企业，在数据可携权的实现中，担任配合、遵循以及协助数据主体的角色。但是，配合不代表企业放弃自身的权利，在用户数据可携权的实践中，企业应正确理解用户数据可携权的可携范围，从而以保护自身数据权益以及第三方的相关权利。2016年12月13日，欧盟数据工作保护组公布了《数据可携权指南》[4]（以下简称“《指南》”），对用户数据可携范围作出了较为明确的规定，下文将以此为核心，着重分析。

用户数据可携性的前提条件——用户同意+自动化处理

根据GDPR第20条，用户数据的可携性需符合以下两个前提条件：

其一，数据控制者基于用户同意所收集处理的用户数据是相关数据可携的前提。所谓用户同意，包括用户与数据控制者间达成的协议，比如《用户协议》、《会员守则》等；同时，也包括用户通过点击“注册”、“购买”、“发送”等选项作出同意的行为，比如用户在电商网站上购买物品形成的交易记录，或用户使用音乐APP形成的收听列表等。

那么非基于“用户同意”而取得的信息为何呢？根据GDPR序言第68段以第20(3)，数据控制者基于公共利益、政府授权以及履行法定义务等取得的用户数据，不属于可携数据的范畴，比如政府网站因履行职能所取得的相关数据。此处，需注意的是，虽然该等数据不属于可携范围，但是基于合理目的时，也可相应提供给数据主体，比如数据主体的税务申报记录。

其二，数据控制者通过自动化方式收集处理的用户数据是相关数据可携的另一个前提条件。据此，数据控制者通过纸质形式收集的相关用户数据不在可携范围内。

用户数据可携的范围

根据GDPR第20条，用户数据的可携与否取决于下述两个条件：

其一，用户数据需为数据主体提供的信息。如何理解“数据主体提供的信息”，《指南》认为应以广义的视角加以解释，其将“数据主体提供的信息”分为两类情形：

(1) 数据主体主动提供的信息，比如通过网上表格填写的账户信息（包括账户名称、邮箱地址、年龄等）等需要数据主体填写、提交的输出类信息。

(2) 数据主体因使用相关APP而“被动”被采集的信息。值得注意的是，此处的被动非指用户对该等信息的提供不知情，而是指用户因使用APP或开通APP某项功能使得APP可以自动采集或处理用户的数据。换而言之，该等数据的获取无需用户主动填写或输入，比如用户的网页浏览记录、流量数据和地理位置信息。该等信息被《指南》称之为“监测信息”。

此外，《指南》同时指出，上述数据均指的是原始数据，即未经相关软件分析处理的信息。若是前述信息经相关APP采集分析后形成的新数据，则不在用户数据的可携范围内，比如经分析用户喜好形成营销推送列表，又比如经分析用户健康数据得出的健康评分等。

其二，用户数据需与数据主体相关。关于此，《指南》补充，数据控制者不应局限于GDPR的文字表述，而应兼顾相关合理性来分析何为与数据主体相关的信息：

(1) 排除匿名信息。与数据主体有关隐含之意即为数据控制者可将用户数据与请求的数据主体相关联。而匿名信息，顾名思义，是基于用户匿名提供，比如用户作为游客身份发布的信息，数据主体可能无法将此类信息与数据主体相关联，故该等信息不应属于数据可携范围。但是，GDPR第11(2)补充，在前述情形下，若是用户提供信息可以证明其与匿名信息相关的，则该等匿名信息也应属于数据可携范围。实践中，用户还经常以假名等方式发布信息，但根据我国互联网行业“前台自由，后台实名”的原则，该等信息虽以假名发布，但与数据主体显然关联，故应属于用户数据的可携范围之内。

(2) 排除与数据主体无关的信息。以数据主体分享文章链接为例，其分享链接的名称属于与其有关的信息，但其分享链接的内容属于与其无关的信息，故不在可携范围之内。但是，例如通话记录、财产信息等数据信息，其通常会存在多个数据主体的信息。此时，《指南》认为数据控制者不应单单局限于字面理解，将通化记录中相对方的信息完全剔除，而是应本着保持通话记录通常的形式，将其整体看作与数据主体有关的信息。

用户数据可携权的限制

GDPR第20(4)规定，用户数据可携权不应对他人的权利和自由造成不利影响。根据《指南》，以下两种情形可能会对他人的权利和自由造成不利影响：

(1) 请求可携数据中包含有用户主体以外的第三人数据的情形

根据GDPR第6(1)，数据控制者在收集、处理和使用用户个人信息时应当取得用户的同意或与用户有相关约定等合法基础。基于此，用户在行使可携权传输信息时，通常需给予新的数据控制者收集、处理和使用该等可携数据的同意或与新的数据控制者达成相关协议。但是，如前文所述，实务中用户要求可携的信息中往往会存在第三人的个人信息，而第三人与新的数据控制者间却没有相关的约定安排。据此，在应数据主体要求传输包含第三人数据信息时，数据控制者应注意以下几点：

首先，数据传输方不可武断拒绝传输所有含有第三人信息的数据。如前文所述，类似于用户通话记录、交易记录等信息，虽包含第三人信息但也均属于可携范围之内。

其次，数据传输方应当通过相应技术手段避免在传输用户数据时对第三人的权利和自由造成不利影响。举例而言，数据传输方可以设置选项要求用户承诺仅以储存、备份的目的合理使用和传输通话记录或交易记录。

再者，数据传输方需谨慎对待含有第三人信息的“内容类”数据传输。实践中，若用户发布了一张他人相片，并要求将这张相片传输给另一数据控制者时，数据传输方应注意两个问题：其一，该等信息确由用户提供，故应属于与其相关的信息，故不可武断拒绝；第二，该等信息显然包含第三人的权利，比如肖像权，故对该等数据的传输对第三人的权利和自由造成不利影响的风险较大。此时，若技术可行，数据传输方可直接向第三人征求同意。但若不行，我们建议数据传输方可谨慎协助用户主体实现数据可携，比如鉴于该照片由用户主体提供，数据传输方可仅为请求数据主体提供下载副本的选项，但拒绝为其传输相关内容。

最后，数据接收方在应数据主体要求接收处理相关数据时应遵循最小化原则和合理目的原则。具体而言：第一，数据接收方仅可收集与用户要求直接相关的信息，不可超越收集信息的范围；第二，数据接收方应当遵循数据主体的目的处理可携的数据信息。以通话记录为例，数据主体以备份为目的要求传输，但数据接收方却因掌握了数据主体通话相对方的电话号码，而向通话相对方致电推销自身产品的，便是违背了合理目的的原则，且会对第三人的权利和自由造成不利影响。

(2) 请求可携数据中包含他人知识产权和商业秘密的情形

根据GDPR第15条，第20(4)以及序言第68段，第三人的权利和自由包括商业秘密和知识产权，尤其是计算机软件著作权。据此，《指南》认为，在可携数据含有第三人商业秘密和知识产权的情形下，应予以摘除可能侵犯第三人权利的相关信息。但是，《指南》同时强调，数据控制者不得以此为由拒绝向数据主体提供所有信息，而是应在不泄露第三人信息的情况下，尽可能地向数据主体提供其要求的信息。关于此，我们认为，出于保护数据主体实现权利的考量，《指南》的规定有其合理性；但现实中用户数据可携权与知识产权的冲突情形复杂多变，《指南》的规定似乎尚未周延。由于篇幅主旨限制，此处则不予赘述。

综上，企业在配合用户行使数据可携权时，其自身也应作好相应准备，比如提高判断数据可携范围的意识，以及设置相关程序避免数据可携的风险等。关于其的具体操作，我们将于以后的文章中与大家进一步探讨。

目前，我国法律法规均暂未提及“用户数据可携权”的概念，但这不代表我国规范对此完全空白。《个人信息安全规范》第7.9条，即开创性的规定了个人信息主体有权要求数据控制者提供用户数据副本以及传输相应数据副本，虽然对于可携信息范围[5]作出了比较严格的限定，但该等安排相当于“用户数据可携权”在我国的雏形，为其发展留下了铺垫和空间。

结语

大数据时代，用户数据价值显著提升，但作为用户数据主体却无法分享该等利益，“用户数据可携权”的出现既可以提升用户体验，又可以促进平台间的竞争，使得数据主体也能享受大数据下带来的便捷而不至被某个平台“锁定”。而企业作为数据控制者，应当以更为积极的态度迎接“用户数据可携权”，正确认识、合规运用，更好地维护数据流动的自由。

注释：

1. 近年来有关的国内知名争议案件及事件包括：新浪微博起诉脉脉抓取使用微博用户信息案（(2016)京73民终588号判决）、大众点评诉百度不正当竞争案 （(2016)沪73民终242号）、顺丰与菜鸟的数据大战、华为与腾讯的微信数据争夺战。
2. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) Official Journal of the European Union, Vol. L119 (4 May 2016), pp. 1- 88 http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L:2016:119:TOC. 
3. GDPR第20(2) .
4. Guidelines on the right to data portability. 16/EN WP 242. Adopted on 13 December 2016.
5. 《个人信息安全规范》第7.9条：根据个人信息主体的请求,个人信息控制者应为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将以下个人信息的副本传输给第三方: a) 个人基本资料、个人身份信息; b) 个人健康生理信息、个人教育工作信息。

本专栏往期文章

1. 记账理财APP的个人信息合规挑战

2. 个人信息安全——“用户同意”之浅析

3. 您的公司有数据保护官了吗？

合伙人

021-2613 6221

feng.jianjian@jingtian.com

竞天公诚律师事务所合伙人。

冯坚坚律师的执业领域主要专注于网络安全合规、反垄断调查及反垄断合规咨询。冯律师是上海市律师协会互联网业务研究委员会委员，曾任阿里巴巴特色中国训练营讲师，长期为众多大型跨国企业、大型互联网科技企业提供法律服务，对于互联网新技术与商业模式有独到而深刻的理解。

自2016年开始，冯律师及其团队为大量客户提供了有关网络安全法相关的合规咨询服务，并从2017年网络安全法生效实施后，协助客户应对与网络安全合规有关的政府检查和调查，在公司的网络安全合规和调查应对上积累了丰富的经验。

合伙人

010-5809 1182

hu.ke@jingtian.com

胡科律师毕业于北京大学和加州大学伯克利分校，分别获得法学学士和法学硕士学位，具有中华人民共和国和美国纽约州律师资格。 

胡科律师是竞天公诚律师事务所争议解决部合伙人。其执业领域为商事争议解决，尤其擅长跨境商事和知识产权争议的诉讼和仲裁。胡律师经常代理客户处理在中国法院的重大涉外诉讼以及在CIETAC、BAC、HKIAC、ICC、SCC、SIAC等中外仲裁机构进行的商事仲裁案件，涉及公司、股权、中外合资、PE/VC投资、金融、贸易、工程、能源、文化娱乐、技术许可以及外国仲裁裁决或法院判决的司法审查和执行。2018年，他被《法律名人录》认可为国际仲裁领域的"未来领袖"之一。

胡律师是国际商事仲裁理事会（ICCA）-清华大学中国仲裁法律与实践联合工作组成员，国际律师协会（IBA）仲裁委员会成员和IBA ARB 40协调委员会的中国国家代表，中国青年仲裁小组组织委员会成员和YSIAC领导委员会成员。

胡律师的工作语言是中文和英文。

律师

021- 2613 6221

zhu.jing@jingtian.com

竞天公诚律师事务所律师。华东政法大学国际法硕士。自2014年开始执业，执业领域主要专注于网络安全合规、反垄断调查及反垄断合规咨询。朱律师曾参与中国汽车行业的纵向限制问题的调研，对于汽车行业的反垄断合规体系建设及落地有着一定的实操经验。

同时，朱律师还曾先后参与多个新三板挂牌项目、私募基金融资项目、上海股交中心挂牌项目以及企业债项目，在证券与资本市场、并购重组与外商投资方面积累了较为丰富的经验。