個(gè)保法系列解讀 | 可轉(zhuǎn)移權(quán)與死者近親屬權(quán)利,個(gè)人信息權(quán)利保護(hù)的新...
正式實(shí)施的《個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱“《個(gè)保法》”)已經(jīng)成為各類個(gè)人信息處理者的基本行為規(guī)范。為了幫助企業(yè)更好地了解《個(gè)保法》的合規(guī)要求,TalkingData法務(wù)合規(guī)部特別撰寫系列文章,解析重點(diǎn)議題與對(duì)應(yīng)法條,并對(duì)企業(yè)實(shí)踐情況進(jìn)行調(diào)研,供相關(guān)從業(yè)者參考。
《個(gè)保法》特別設(shè)置了“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”專章,詳細(xì)闡述了個(gè)人信息主體所享有的各類權(quán)利,例如知情權(quán)、查閱復(fù)制權(quán)、拒絕權(quán)、可轉(zhuǎn)移權(quán)、更正權(quán)、刪除權(quán)等。相比于之前的征求意見(jiàn)稿,可轉(zhuǎn)移權(quán)和死者近親屬權(quán)利是《個(gè)保法》正式發(fā)布版本的兩個(gè)新增亮點(diǎn),本文將對(duì)此深入分析。
一、可轉(zhuǎn)移權(quán)(可攜帶權(quán))
1.什么是可轉(zhuǎn)移權(quán)?
《個(gè)保法》在借鑒域外立法經(jīng)驗(yàn)的基礎(chǔ)上,增加了個(gè)人信息可轉(zhuǎn)移權(quán)的規(guī)定,即如果符合網(wǎng)信部門規(guī)定的條件,個(gè)人請(qǐng)求將其個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者的,個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。
2.可轉(zhuǎn)移權(quán)的行使條件是什么?
針對(duì)《個(gè)保法》所要求的“網(wǎng)信部門規(guī)定的條件”,國(guó)家互聯(lián)網(wǎng)信息辦公室通過(guò)2021年11月14日公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》對(duì)此條件予以明確,具體如下:
前提 | 請(qǐng)求轉(zhuǎn)移的個(gè)人信息是基于同意或者訂立、履行合同所必需而收集的個(gè)人信息,且同時(shí)是本人信息或請(qǐng)求人合法獲得且不違背他人意愿的他人信息。 |
驗(yàn)證 | 能夠驗(yàn)證請(qǐng)求人的合法身份。 |
風(fēng)險(xiǎn) 提示 | 數(shù)據(jù)處理者發(fā)現(xiàn)接收個(gè)人信息的其他數(shù)據(jù)處理者有非法處理個(gè)人信息風(fēng)險(xiǎn)的,應(yīng)做合理的風(fēng)險(xiǎn)提示。 |
費(fèi)用 | 請(qǐng)求轉(zhuǎn)移個(gè)人信息次數(shù)明顯超出合理范圍的,數(shù)據(jù)處理者可以收取合理費(fèi)用。 |
3.歐盟是如何規(guī)定可轉(zhuǎn)移權(quán)的?
GDPR第20條規(guī)定了個(gè)人信息可轉(zhuǎn)移權(quán),其旨在增強(qiáng)個(gè)人對(duì)其個(gè)人信息的控制權(quán),進(jìn)一步打破數(shù)據(jù)壟斷和數(shù)據(jù)孤島。但是此權(quán)利的行使需受到一定的限制,因?yàn)槟硞€(gè)人的個(gè)人信息可能同時(shí)會(huì)涉及他人的個(gè)人信息,例如郵件信息、聊天信息等,轉(zhuǎn)移自己個(gè)人信息的同時(shí)也轉(zhuǎn)移了他人的個(gè)人信息,因此GDPR特別強(qiáng)調(diào)行權(quán)時(shí)不能對(duì)其他人的基本權(quán)益帶來(lái)侵害。
前提 | 請(qǐng)求轉(zhuǎn)移的個(gè)人信息是基于同意或者訂立、履行合同所必需而收集的個(gè)人信息,且是采用自動(dòng)化方式處理的。 在技術(shù)可行的前提下,個(gè)人信息主體有權(quán)將個(gè)人數(shù)據(jù)不受阻礙地從一個(gè)控制者傳輸給另一個(gè)控制者。 |
形式 | 個(gè)人信息主體有權(quán)以結(jié)構(gòu)化、通用和機(jī)器可讀的形式接收其提供給控制者的與其有關(guān)個(gè)人信息。 |
影響 | 此權(quán)利的行使不得對(duì)他人的權(quán)利和自由產(chǎn)生不利影響。 |
4.歐盟與中國(guó)對(duì)于可轉(zhuǎn)移權(quán)的規(guī)定有什么不同?
技術(shù)前提是一個(gè)非常重要的區(qū)別。GDPR特別強(qiáng)調(diào)了可轉(zhuǎn)移的個(gè)人信息必須是通過(guò)自動(dòng)化方式進(jìn)行處理的、結(jié)構(gòu)化、通用化和可機(jī)讀的信息,可轉(zhuǎn)移權(quán)的行使需要在滿足技術(shù)可行的基礎(chǔ)上進(jìn)行。因?yàn)橹挥懈黝悅€(gè)人信息處理者使用的是可兼容的或通用的格式,才能使得個(gè)人信息可以無(wú)障礙地在不同平臺(tái)間轉(zhuǎn)移,但是目前行業(yè)沒(méi)有通用格式,歐盟也只是鼓勵(lì)控制者使用常用的開(kāi)放格式,如XML、CSV,并非強(qiáng)制要求。GDPR的Recital 68也特別強(qiáng)調(diào),此權(quán)利不代表控制者有義務(wù)采用或維護(hù)技術(shù)上兼容的處理系統(tǒng)。
但是依據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》的相關(guān)內(nèi)容,中國(guó)法律語(yǔ)境下的可轉(zhuǎn)移權(quán)并沒(méi)有提出技術(shù)可行的前提限制,而是強(qiáng)調(diào)數(shù)據(jù)處理者應(yīng)當(dāng)提供可轉(zhuǎn)移的服務(wù),強(qiáng)制性更強(qiáng)。建議相關(guān)企業(yè)開(kāi)發(fā)可以回應(yīng)可轉(zhuǎn)移權(quán)的工具,例如特定的下載工具或應(yīng)用程序接口。同時(shí)還可以和行業(yè)協(xié)會(huì)等自治組織進(jìn)行合作,共同制定一套技術(shù)標(biāo)準(zhǔn)來(lái)推動(dòng)此權(quán)利在行業(yè)內(nèi)落地實(shí)施。
二、死者近親屬權(quán)利
1.如果用戶死亡,其近親屬可以在什么條件下行使死者的個(gè)人信息權(quán)利?
《個(gè)保法》規(guī)定,除非死者生前另有安排,否則死者的近親屬為了自身的合法、正當(dāng)利益,可以對(duì)死者的個(gè)人信息行使查閱、復(fù)制、更正、刪除等權(quán)利。由此可見(jiàn),死者近親屬行權(quán)需滿足一定的條件:
前提 | 死者生前沒(méi)有安排。 |
主體 | 死者的近親屬。 |
《中華人民共和國(guó)民法典》:近親屬為配偶、父母、子女、兄弟姐妹、祖父母、外祖父母、孫子女、外孫子女。 | |
目的 | 為了近親屬自身的合法、正當(dāng)利益。 |
權(quán)利 | 可以對(duì)死者的個(gè)人信息行使查閱、復(fù)制、更正、刪除等《個(gè)保法》第四章賦予的權(quán)利。 |
中國(guó)現(xiàn)行有效的法律法規(guī)均未對(duì)自然人死亡后個(gè)人信息權(quán)益的保護(hù)進(jìn)行規(guī)定,此條款則填補(bǔ)了此部分的立法空白。同時(shí),《個(gè)保法》也秉承了《中華人民共和國(guó)民法典》加強(qiáng)死者權(quán)益保護(hù)的精神,把對(duì)個(gè)人信息主體的保護(hù)從生前延伸至死后,在回應(yīng)數(shù)字身份權(quán)益保護(hù)問(wèn)題的同時(shí)給個(gè)人提供更完善的保護(hù)。
2.相關(guān)企業(yè)應(yīng)如何落實(shí)死者近親屬的權(quán)利行使?
建議相關(guān)企業(yè)在隱私政策的個(gè)人信息權(quán)利部分增加死者權(quán)益保護(hù)的內(nèi)容,建立死者個(gè)人信息權(quán)益響應(yīng)機(jī)制,并明確具體的行權(quán)路徑,例如告知用戶行使此權(quán)利所需提交的材料以及具體的流程。此外,也可以在相關(guān)個(gè)人信息處理平臺(tái)設(shè)置相關(guān)功能,讓用戶可以在生前對(duì)死后的個(gè)人信息進(jìn)行處理安排。據(jù)報(bào)道,蘋果iOS 15已經(jīng)實(shí)施了“數(shù)字遺產(chǎn)計(jì)劃”,用戶可以在自己的賬戶中添加遺產(chǎn)聯(lián)系人,其在提交該用戶死亡證明后,可以請(qǐng)求訪問(wèn)用戶的iCloud賬號(hào),并繼承用戶存儲(chǔ)的相關(guān)信息。
3.域外法律是否規(guī)定了死者個(gè)人信息權(quán)益保護(hù)?
針對(duì)是否保護(hù)死者的個(gè)人信息權(quán)益這個(gè)問(wèn)題,世界各國(guó)的規(guī)定并不相同。從歐盟來(lái)看,GDPR明確規(guī)定其不適用于死者的個(gè)人信息,由歐盟各成員國(guó)自行制定與死者個(gè)人信息相關(guān)的規(guī)則。例如,瑞典和英國(guó)明確規(guī)定不保護(hù)死者的個(gè)人信息;法國(guó)則規(guī)定死者可以對(duì)其去世后的個(gè)人信息在生前做出相應(yīng)的安排;西班牙規(guī)定死者的合法繼承人可以行使訪問(wèn)權(quán)、刪除權(quán)、更正權(quán)。從美國(guó)來(lái)看,CCPA并未對(duì)該問(wèn)題做出明確規(guī)定;HIPPA則指出死者去世后的50年內(nèi),其個(gè)人信息應(yīng)得到與其在世時(shí)相等程度的保護(hù)。
4.近親屬行使死者的個(gè)人信息權(quán)利的規(guī)定可能帶來(lái)什么爭(zhēng)議?
雖然《個(gè)保法》為親屬行權(quán)增加了一些限制,例如必須是基于自身的合法、正當(dāng)利益且死者生前沒(méi)有進(jìn)行任何安排,這就意味著近親屬行權(quán)也要在充分尊重死者的意志的基礎(chǔ)上進(jìn)行。但此條款的具體實(shí)施仍然可能會(huì)產(chǎn)生一些爭(zhēng)議。例如,“正當(dāng)利益”的界定還需進(jìn)一步厘清,以及如果不同的近親屬同時(shí)提出對(duì)死者個(gè)人信息權(quán)利的行使請(qǐng)求,如果響應(yīng)一方近親屬的行權(quán)請(qǐng)求可能侵害死者或者其他近親屬的權(quán)益,企業(yè)應(yīng)如何權(quán)衡應(yīng)對(duì),以及是否應(yīng)該細(xì)化近親屬行權(quán)的順位還有待討論。此外,死者近親屬行權(quán)的前提是死者生前沒(méi)有安排,可是死者以什么形式進(jìn)行安排,又如何將其安排告知相關(guān)企業(yè)也是一個(gè)實(shí)踐難點(diǎn)。
三、企業(yè)實(shí)踐情況調(diào)研
經(jīng)過(guò)對(duì)Apple App Store的前30款免費(fèi)App的調(diào)研發(fā)現(xiàn),近80%的App均沒(méi)有在隱私政策中規(guī)定可轉(zhuǎn)移權(quán)或死者近親屬權(quán)利的內(nèi)容。
*可關(guān)注本公眾號(hào),發(fā)送關(guān)鍵詞「?jìng)€(gè)人信息權(quán)利保護(hù)」,獲取完整版調(diào)研報(bào)告
1.可轉(zhuǎn)移權(quán)
約20%的App在隱私政策中提到了可轉(zhuǎn)移權(quán),其中大部分都會(huì)在隱私政策中規(guī)定會(huì)依據(jù)法律法規(guī)的要求來(lái)響應(yīng)用戶提出轉(zhuǎn)移請(qǐng)求。例如“抖音”和“小紅書”,具體截圖如下。
抖音隱私政策
小紅書隱私政策
只有微信并沒(méi)有明確規(guī)定轉(zhuǎn)移權(quán),而是在隱私政策的個(gè)人信息使用部分指出當(dāng)用戶使用微信與其他軟件或硬件互通功能時(shí),微信會(huì)在獲取用戶同意之后傳輸相關(guān)信息。
微信隱私政策
2.死者近親屬權(quán)利
約20%的App在隱私政策中提到了死者近親屬權(quán)利,具體的表述方式分為兩類,一類是在隱私政策中特別設(shè)置專門條款來(lái)闡述死者近親屬的權(quán)利。例如“微信”和“嗶哩嗶哩”,具體截圖如下。
微信隱私政策
嗶哩嗶哩隱私政策
嗶哩嗶哩的表述非常詳細(xì),其在隱私政策中明確告知了行權(quán)所需提供的材料,并經(jīng)與在線客服溝通確認(rèn),死者近親屬需將準(zhǔn)備好的相關(guān)材料發(fā)送至[email protected]客服郵箱,嗶哩嗶哩確認(rèn)后,近親屬可行使死者的相關(guān)權(quán)利。除此之外,嗶哩嗶哩還為了緬懷死者,特別設(shè)置了紀(jì)念賬號(hào),死者的親友均可在提供必要證明文件的前提下向嗶哩嗶哩申請(qǐng)將死者的賬號(hào)變?yōu)榧o(jì)念賬號(hào)。官網(wǎng)關(guān)于紀(jì)念賬號(hào)的介紹截圖如下:
但是為了實(shí)現(xiàn)與《個(gè)人信息保護(hù)法》關(guān)于死者權(quán)益保護(hù)的規(guī)定,如果死者的近親屬行使刪除權(quán),即使這個(gè)賬戶已被申請(qǐng)為紀(jì)念賬戶,其實(shí)也應(yīng)該刪除相應(yīng)的個(gè)人信息。
另一類是在隱私政策的響應(yīng)用戶請(qǐng)求的部分僅籠統(tǒng)說(shuō)明已逝用戶的近親屬可以行使死者的相關(guān)權(quán)利。例如“淘特”和“釘釘”,具體截圖如下。
釘釘隱私政策
淘特隱私政策
*可關(guān)注本公眾號(hào),發(fā)送關(guān)鍵詞「?jìng)€(gè)人信息權(quán)利保護(hù)」,獲取完整版調(diào)研報(bào)告
《個(gè)保法》對(duì)于個(gè)人信息的保護(hù)日益完善,相關(guān)企業(yè)應(yīng)依據(jù)法律規(guī)范的要求響應(yīng)用戶的個(gè)人信息權(quán)利行使請(qǐng)求,并及時(shí)做出回應(yīng)。TalkingData目前已成為信通院“個(gè)人信息保護(hù)合規(guī)審計(jì)推進(jìn)小組”的首批成員,會(huì)在嚴(yán)格遵守《個(gè)保法》的相關(guān)規(guī)定的基礎(chǔ)上積極推進(jìn)個(gè)人信息保護(hù)工作,完善公司內(nèi)部的合規(guī)體系。
? 聲明??
本文版權(quán)歸屬于TalkingData法務(wù)合規(guī)部,解讀內(nèi)容和調(diào)研數(shù)據(jù)僅供一般參考,不應(yīng)視為針對(duì)特定事件的意見(jiàn),任何依據(jù)本文全部或部分內(nèi)容做出的判斷或決定以及因此造成的法律后果,TalkingData法務(wù)合規(guī)部不承擔(dān)任何責(zé)任。
如有任何問(wèn)題,請(qǐng)郵件聯(lián)系我們:
推薦閱讀:
個(gè)保法系列解讀 | 個(gè)人信息跨境傳輸,企業(yè)要做到這些事
個(gè)保法系列解讀 | “告知-同意”到底該怎么做?
TalkingData成為信通院“個(gè)人信息保護(hù)合規(guī)審計(jì)推進(jìn)小組”首批成員
TalkingData——用數(shù)據(jù)說(shuō)話
每天一篇好文章,歡迎分享關(guān)注
