南財(cái)合規(guī)科技研究院研究員 王俊 郭美婷

8月20日，《個(gè)人信息保護(hù)法》由第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議通過(guò)，自2021年11月1日起施行。

縱觀《個(gè)人信息保護(hù)法》近二十年的立法路程，互聯(lián)網(wǎng)高速發(fā)展，大數(shù)據(jù)時(shí)代到來(lái)，伴隨著高頻、高速、高密度的數(shù)據(jù)交流傳輸，作為原材料的個(gè)人信息濫用問(wèn)題相伴而至。

對(duì)個(gè)人信息保護(hù)的立法呼聲越來(lái)越高，急需一部專門(mén)法律定分止?fàn)??！秱€(gè)人信息保護(hù)法》千呼萬(wàn)喚始出來(lái)。

南方財(cái)經(jīng)全媒體集團(tuán)合規(guī)科技研究院長(zhǎng)期關(guān)注個(gè)人信息保護(hù)議題，持續(xù)跟蹤報(bào)道立法進(jìn)程、監(jiān)管動(dòng)態(tài)、公眾呼聲。借《個(gè)人信息保護(hù)法》落地之際，推出解讀報(bào)告《個(gè)人信息保護(hù)法企業(yè)合規(guī)啟示報(bào)告》。

該報(bào)告分為上下篇，第一篇《個(gè)人信息處理新變局》梳理立法路徑與模式，聚焦個(gè)人信息處理邏輯的轉(zhuǎn)變，第二篇《企業(yè)合規(guī)風(fēng)險(xiǎn)研判》則將目光放到企業(yè)合規(guī)的重點(diǎn)與難點(diǎn)，以及新的信息處理機(jī)制在數(shù)字經(jīng)濟(jì)發(fā)展中面臨的新挑戰(zhàn)。報(bào)告受中國(guó)社會(huì)科學(xué)院法學(xué)研究所副研究員、中國(guó)法學(xué)會(huì)網(wǎng)絡(luò)與信息法學(xué)研究會(huì)副秘書(shū)長(zhǎng)周輝指導(dǎo)。

本篇報(bào)道為報(bào)告上篇的拆解報(bào)道，聚焦《個(gè)人信息保護(hù)法》新增的數(shù)據(jù)可攜帶權(quán)。

數(shù)據(jù)可攜帶權(quán)為的是強(qiáng)化個(gè)人對(duì)于個(gè)人信息的控制權(quán)，促進(jìn)數(shù)據(jù)自由流動(dòng)，激發(fā)互聯(lián)網(wǎng)領(lǐng)域的創(chuàng)新活力，破除大平臺(tái)的數(shù)據(jù)壟斷。

但是，這個(gè)美好的愿景真的會(huì)實(shí)現(xiàn)嗎？

隨著公眾對(duì)個(gè)人信息保護(hù)的重視，個(gè)人數(shù)據(jù)逐漸流向安全高地，賦予個(gè)人的“可攜帶權(quán)”是否會(huì)讓個(gè)人更傾向于大平臺(tái)，使得促進(jìn)競(jìng)爭(zhēng)的愿景落空。

其次，對(duì)于中小企業(yè)而言，為落實(shí)“可攜帶權(quán)”，人員管理配置、數(shù)據(jù)接口等技術(shù)升級(jí)以及個(gè)人數(shù)據(jù)轉(zhuǎn)出后帶來(lái)的損失等，將增加合規(guī)成本，加重企業(yè)負(fù)擔(dān)。這對(duì)企業(yè)來(lái)說(shuō)只是短暫的陣痛，還是會(huì)在大浪淘沙中出局？

我們是否做好了數(shù)據(jù)可攜落地的充分準(zhǔn)備？這是法律出臺(tái)后仍要面臨的現(xiàn)實(shí)拷問(wèn)。

打破互聯(lián)網(wǎng)巨頭的數(shù)據(jù)壟斷

《個(gè)人信息保護(hù)法》第四十五條規(guī)定，“個(gè)人請(qǐng)求將其個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國(guó)家網(wǎng)信部門(mén)規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑”，明確賦予了個(gè)人可攜權(quán)。

中國(guó)人民大學(xué)法學(xué)院教授石佳友此前就曾呼吁立法明確個(gè)人信息可攜帶權(quán)，他告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者，賦予個(gè)人可攜帶權(quán)，可以強(qiáng)化信息主體對(duì)個(gè)人信息的利用和控制，承認(rèn)信息本身的價(jià)值，促進(jìn)信息流通與共享。

可攜帶權(quán)借鑒的是歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）對(duì)數(shù)據(jù)可攜帶權(quán)的設(shè)立。彼時(shí)，歐盟創(chuàng)設(shè)這一制度，為的是實(shí)現(xiàn)個(gè)人信息的自決權(quán)，并通過(guò)用戶發(fā)起的數(shù)據(jù)流動(dòng)促進(jìn)企業(yè)間相互競(jìng)爭(zhēng)。

“數(shù)據(jù)的共享與流動(dòng)對(duì)企業(yè)而言利益沖突太大了，但如果給個(gè)人賦權(quán)，增加可攜帶權(quán)，企業(yè)就無(wú)話可說(shuō)了。”北京尚隱科技有限公司CEO張仁卓分析稱。

不少專家認(rèn)為，數(shù)據(jù)可攜帶權(quán)的引入，一定程度上可以使得數(shù)據(jù)在不同經(jīng)營(yíng)者之間的流動(dòng)，促進(jìn)經(jīng)營(yíng)者公平競(jìng)爭(zhēng)，解決數(shù)據(jù)平臺(tái)的數(shù)據(jù)壟斷問(wèn)題。

但這個(gè)愿望能實(shí)現(xiàn)嗎？從歐盟的實(shí)踐來(lái)看，結(jié)果似乎不盡如人意。

對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心執(zhí)行主任許可直言，歐盟可攜帶權(quán)的做法，非但沒(méi)有促進(jìn)競(jìng)爭(zhēng)，反而讓如臉書(shū)、谷歌等大型企業(yè)形成聯(lián)盟，聯(lián)盟內(nèi)的企業(yè)數(shù)據(jù)格式統(tǒng)一，可互轉(zhuǎn)移，但如果用戶想將數(shù)據(jù)轉(zhuǎn)至其他平臺(tái)，則因無(wú)法兼容的接口而落空，最終加劇壟斷。

浙江墾丁律師事務(wù)所合伙人李晉沅從另一個(gè)角度表達(dá)了擔(dān)憂。他認(rèn)為，現(xiàn)實(shí)中，數(shù)據(jù)安全保護(hù)的技術(shù)高低讓作為數(shù)據(jù)主體的消費(fèi)者“用腳投票”。

“在風(fēng)險(xiǎn)較大，且對(duì)接收數(shù)據(jù)企業(yè)的技術(shù)和安全保障能力缺乏認(rèn)知的情況下，數(shù)據(jù)主體轉(zhuǎn)移個(gè)人信息的意愿會(huì)被明顯地抑制，可能更愿意將自己的個(gè)人信息儲(chǔ)存在那些比較知名、自己相對(duì)信得過(guò)的大公司系統(tǒng)里，使得數(shù)據(jù)自由流動(dòng)成為一種美好的幻想?！崩顣x沅告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者。

哪些信息可攜帶？

歐盟的數(shù)據(jù)可攜帶權(quán)“失利”，在許可看來(lái)，與其規(guī)定的可攜帶權(quán)的客體范圍密不可分。

GDPR及歐盟制定的《數(shù)據(jù)可攜帶指南》規(guī)定了個(gè)人數(shù)據(jù)涵蓋的范圍。一部分是數(shù)據(jù)主體主動(dòng)提供的數(shù)據(jù)，如填寫(xiě)的個(gè)人資料信息，姓名、性別、年齡、家庭住址等；另一部分則是數(shù)據(jù)控制者通過(guò)觀測(cè)數(shù)據(jù)主體在使用某些服務(wù)而記錄的個(gè)人數(shù)據(jù)，如某人的搜索歷史記錄、交通數(shù)據(jù)、位置數(shù)據(jù)以及可穿戴設(shè)備跟蹤的心跳數(shù)據(jù)等。但不包括個(gè)人用戶的精準(zhǔn)畫(huà)像、信用評(píng)級(jí)、人物影響力等通過(guò)對(duì)上述兩種數(shù)據(jù)進(jìn)行后續(xù)分析推斷得到的衍生數(shù)據(jù)，也不包括匿名或不涉及數(shù)據(jù)主體的數(shù)據(jù)。

許可表示，歐盟將可攜帶權(quán)的客體定為機(jī)器可讀的個(gè)人數(shù)據(jù)，就必然會(huì)面臨各企業(yè)數(shù)據(jù)不兼容的阻礙。而該項(xiàng)權(quán)利的執(zhí)行又非?？酥?，當(dāng)個(gè)人行使數(shù)據(jù)的可攜帶權(quán)時(shí)，如果企業(yè)間原本的數(shù)據(jù)接口不兼容，GDPR并不會(huì)要求企業(yè)額外花費(fèi)高額的成本，設(shè)立與第三方進(jìn)行數(shù)據(jù)交換的渠道，則數(shù)據(jù)的轉(zhuǎn)移并未成功實(shí)現(xiàn)。

《個(gè)人信息保護(hù)法》對(duì)于數(shù)據(jù)可攜帶權(quán)的規(guī)定還比較籠統(tǒng)。關(guān)于數(shù)據(jù)可攜帶權(quán)適用的數(shù)據(jù)范圍尚不明確。并且，數(shù)據(jù)可攜帶權(quán)下傳輸?shù)臄?shù)據(jù)形式不明確。需要未來(lái)具體細(xì)化的標(biāo)準(zhǔn)規(guī)范出臺(tái)。

華東政法大學(xué)教授、互聯(lián)網(wǎng)法治研究院院長(zhǎng)、數(shù)據(jù)法律研究中心主任高富平認(rèn)為，個(gè)人“可攜帶”的只限于用戶在登錄注冊(cè)APP時(shí)提供的信息，企業(yè)基于對(duì)個(gè)人的觀察形成的信息并不能包括羅列在內(nèi)。不能給消費(fèi)者過(guò)多干預(yù)市場(chǎng)自然競(jìng)爭(zhēng)的權(quán)利。

許可也表示，在中國(guó)數(shù)據(jù)與信息兩分法的背景下，若可攜帶權(quán)轉(zhuǎn)移的是個(gè)人信息，能夠滿足各方的利益期待。該信息僅限于個(gè)人提供的、不包括企業(yè)后續(xù)加工處理的信息。

他解釋稱，一方面，可攜帶權(quán)可得到實(shí)質(zhì)的落地，保證了個(gè)人對(duì)其信息的自決權(quán)；另一方面，對(duì)于企業(yè)而言，傳輸數(shù)據(jù)所要付出的合規(guī)成本遠(yuǎn)超過(guò)轉(zhuǎn)移信息。前者需要設(shè)立新的接口，后者則只需落實(shí)個(gè)人信息的查詢復(fù)制權(quán)。

但是，張仁卓認(rèn)為，對(duì)數(shù)據(jù)可攜帶權(quán)的理解，要從數(shù)據(jù)流動(dòng)和釋放數(shù)據(jù)價(jià)值的角度來(lái)考慮?？蓴y帶權(quán)對(duì)打破數(shù)據(jù)領(lǐng)域的壟斷以及數(shù)據(jù)孤島局面極其重要。如果，過(guò)于限制個(gè)人信息的范圍，那實(shí)踐中的意義將大打折扣。

仍待網(wǎng)信部門(mén)出臺(tái)細(xì)則

目前《個(gè)人信息法》可攜帶權(quán)內(nèi)容寫(xiě)得較為原則，設(shè)置了“符合國(guó)家網(wǎng)信部門(mén)規(guī)定條件”的前提，后續(xù)有待網(wǎng)信部門(mén)出臺(tái)實(shí)施細(xì)則。

對(duì)企業(yè)來(lái)講，需對(duì)可攜帶權(quán)帶來(lái)的影響研判，及時(shí)作出反應(yīng)。比如，其帶來(lái)的數(shù)據(jù)安全風(fēng)險(xiǎn)。

“數(shù)據(jù)攜帶權(quán)的規(guī)定使得個(gè)人數(shù)據(jù)的傳輸和轉(zhuǎn)移變得十分頻繁，為惡意攻擊提供難得的機(jī)會(huì)，尤其是當(dāng)多個(gè)服務(wù)提供商都可以訪問(wèn)用戶的個(gè)人數(shù)據(jù)時(shí)，很難保證他們都在技術(shù)和用戶認(rèn)證方面做得完善?！崩顣x沅認(rèn)為，當(dāng)一些數(shù)據(jù)接收者的技術(shù)能力有限或?qū)?shù)據(jù)主體的認(rèn)證力度不夠時(shí)，黑客、數(shù)據(jù)黑產(chǎn)、數(shù)據(jù)灰產(chǎn)等惡意攻擊者利用虛假身份盜取個(gè)人數(shù)據(jù)、以數(shù)據(jù)或注入錯(cuò)誤代碼的方式來(lái)進(jìn)行違法犯罪活動(dòng)的可能性顯著提高。

許可建議，可攜帶權(quán)在不同行業(yè)、不同類型、不同場(chǎng)景下采取不同方案。比如應(yīng)極為審慎對(duì)待金融信息，只能向在法律上明確規(guī)定、獲得認(rèn)證或達(dá)到標(biāo)準(zhǔn)的企業(yè)轉(zhuǎn)移。

至于可攜帶權(quán)帶來(lái)的競(jìng)爭(zhēng)格局影響，專家們持不同觀點(diǎn)。

個(gè)人在未知情況下“用腳投票”給大企業(yè)的概率大，中小企業(yè)自身收集的個(gè)人信息很可能被轉(zhuǎn)移到其他公司手里，用戶忠誠(chéng)度和信任度都難以確定，中小企業(yè)投身于數(shù)據(jù)的收集分析以及產(chǎn)品的創(chuàng)新意愿將降低。李晉沅建議，未來(lái)應(yīng)該有更多的配套法律法規(guī)，以消解可攜帶權(quán)可能對(duì)社會(huì)創(chuàng)新和公平競(jìng)爭(zhēng)帶來(lái)的負(fù)面影響。

許可認(rèn)為，為了防范個(gè)人信息在各大企業(yè)間轉(zhuǎn)移而不對(duì)小企業(yè)開(kāi)放，應(yīng)嚴(yán)格地將可攜帶權(quán)的主要應(yīng)用場(chǎng)景限制在大企業(yè)向小企業(yè)開(kāi)放的場(chǎng)景中，大企業(yè)間不屬于可攜帶權(quán)的對(duì)象。

石佳友則持樂(lè)觀態(tài)度，認(rèn)為可攜帶權(quán)給了個(gè)人篩選企業(yè)的權(quán)利，有利于數(shù)據(jù)流動(dòng)與競(jìng)爭(zhēng)，從而提高市場(chǎng)整體的信息安全保障水平。