数据保护官沙龙（DPO Salon）公益出品 29 条工作组指南系列文件编译 （截止于 2018 年 11 月 13 日） 《数据可携权指南》中译文 译者：陈子谦、谭德芳、吴迪 审校： 梅翔、孟洁 2019 年 1 月 20 日 署名-非商业性使用-禁止演绎 2.5 中国大陆 译者序言 GDPR 第 20 条规定的数据可携权，赋予了数据主体从原数据控制者处接受个人 信息，并将该信息传输给其他控制者的权利。从数据主体角度分析，此权利赋予了 数据主体更强的数据控制权；从数据控制者的角度分析，此权利要求数据控制者做 好配合、协助等方面的工作；从市场角度分析，此权利促进了数据在欧盟境内的自 由流通，一定程度上也会使数据控制者间的竞争加剧。 基于此，29 条工作组（WP29）制定了本指南，以助于数据控制者更清楚的了解 自身义务和规范数据主体对此权利的行使。 首先，WP29 对数据可携权的要素进行了说明，主要包括以下几点：第一，数据 可携权是数据主体接收数据控制者处理的有关其个人数据的子集的权利，并且可以 将其存储使用；第二，该权利可以使数据主体不受阻碍的将个人数据从一个数据控 制者转移到另外一个数据控制者；第三，该权利描述的是一种管理关系，数据的传 输方和接收方都对该数据有管理义务，数据传输方需审查确认接收方的身份，以确 保数据能够准确的安全的传输到数据主体要求的接收方；第四，当个人行使数据可 携权时，不应损害任何其他的主体权利。 其次，WP29 对数据可携权的适用条件进行了说明。该权利适用主要受到了三方 面的限制：第一，对处理行为的限制，当处理行为是通过自动化方式进行的并且是 基于数据主体的同意或基于数据主体为缔约方的合同时，该行为才会被纳入数据可 携权的范围；第二，对数据的限制，在数据可携权的范围内，数据必须是个人信息 主体向数据控制者提供的与其相关的个人数据，当数据中包含涉及到其他数据主体 的个人数据、知识产权数据以及商业秘密数据时，要确保对此类数据行使数据可携 权时，不得对其他数据主体的权利和自由造成不利影响。 再次，WP29 对规范数据主体行使权力的一般规则如何适用于数据可携权做了说 明。第一，数据控制者事先应向数据主体披露此项权利，并且 WP29 建议数据控制 者明确解释数据主体利用此项权利与利用其他数据主体权利获取的数据的区别；第 二，数据控制者在履行可携权义务时，除有证据证明无需验证和无法验证的情况 外，应先核实数据主体的身份；第三，数据控制者应在一定时间内回应数据主体的 请求。若数据控制者未做出任何响应，数据主体有权向上级监管机构投诉或寻求司 法救济。 最后，WP29 从安全性、便利性以及合法性等角度，对企业在提供可携数据的技 术手段和应采用何种的数据格式也给出了指导和参考意见。 本指南对 GDPR 项下的数据可携权做了清晰的解释说明，译者作为从事数据合 规的中国律师，此权利与我国《个人信息安全规范》中获取个人信息副本的权利相 似，对于国内企业进行合规工作有一定的参考意义。因为水平所限，译文难免有不 准确或错误之处，欢迎大家指正（请发邮件至 [email protected]）。 陈子谦/吴迪 第 29 条数据保护工作组 16 /EN WP 242 rev.01 数据可携权指南 2016 年 12 月 13 日通过 2017 年 4 月 5 日最后修改并通过 该工作组是根据第95/46 / EC号指令第29条设立的。是欧洲独立的数据保护和隐私 咨询机构。其具体职能在第95/46 /EC号指令第30条和第2002/58 /EC 指令第15条中 有所描述。 目 录 执行摘要........................................................................................................................................... 5 I. 简介 ............................................................................................................................................. 5 II 数据可携权的要素是什么？................................................................................................ 6 接收个人数据的权利.................................................... 6 将个人数据从一个数据控制者传输给另一个数据控制者的权利................ 7 控制者 ............................................................. 7 -数据可携权与数据主体的其他权限....................................... 8 III 数据可携权何时适用？ ........................................................................................................ 9 IV.规范数据主体行使权利的一般规则如何适用于数据可携权？ .............................. 13 V.如何提供必要的可携数据？ .................................................................................................. 16 执行摘要 GDPR 第 20 条创设了一种新的数据可携权，这与访问权密切相关，但在许多方面与之不 同。它允许数据主体以结构化、通用化和机器可读的格式接收他们提供给控制者的个人数 据，并将这些数据传输给另一个数据控制者。这项新权利的目的是赋予数据主体权力，并 使他/她能够更好地控制与他或她有关的个人数据。 由于它允许将个人数据从一个数据控制者直接传输给另一个数据控制者，因此，数据 可携权也是支持欧盟境内个人数据的自由流动和促进控制者之间竞争的重要工具。它 将有助于不同服务提供者之间的转换，从而促进在数字化单一市场战略的背景下发展 新服务。 本意见为解释和实施 GDPR 提出的数据可携权提供了指导。它旨在讨论数据可携权及其 范围。它阐明了新权利适用的条件，同时考虑到数据处理的法律依据（基于数据主体 的同意或履行合同的必要性），以及此权利仅限于数据主体所提供的个人数据。本意 见还提供了具体的例子和标准来解释这一权利适用的情况。在这方面，WP29 认为数据 可携权包括数据主体有意和主动提供的数据以及通过他或她的活动产生的个人数据。 这项新权利不能被削弱和局限为数据主体直接传达的个人信息，例如，在线表格中的 个人信息。 作为一种良好实践，数据控制者应该开始开发有助于响应数据可携权请求的方法，例 如下载工具和应用程序编程接口（API）。它们应确保以结构化、通用化和机器可读的 格式传送个人数据，并应鼓励它们确保在执行数据可携权请求时提供的数据格式具有 互操作性。 本意见还有助于数据控制者清楚地了解各自的义务，并推荐支持遵守数据可携权的最 佳实践和工具。最后，本意见建议行业利益相关方和行业协会共同制定一套统一的可 互操作标准和格式，以实现数据可携权的要求。 I. 简介 “通用数据保护条例”（以下简称“GDPR”）第 20 条引入了新的数据可携权。该权利 允许数据主体以结构化的、通用化和机器可读的格式接收它们提供给数据控制者的个 人数据，并且不受阻碍地将这些数据传输给另一个数据控制者。在一定条件下，该权 利支持用户选择、用户控制和用户授权。 个人根据《数据保护指令 95/46/EC》行使其访问权时，会受到数据控制者在提供被请 求信息时所选择的格式的限制。新的数据可携权旨在赋予数据主体有关其个人数据的 权力，使其能够方便地把个人数据从一个 IT 环境中转移、复制或传送到另一个 IT 环 5 境中(不论是其自己的系统、受信任的第三方的系统或新的数据控制者的系统)。 通过确认个人权利和个人对与之相关的个人数据的控制，数据可携权还提供了“重新 平衡”数据主体和数据控制者1之间关系的机会。 虽然个人数据可携权可能会（通过促进服务转换）加强服务商之间的竞争，但 GDPR 规范的是个人数据，而非竞争。特别是，GDPR 第 20 条并没有将可携数据限制在那些 对转换服务2必要或有用的数据上。 虽然数据可携权是一项新权利，但其他类型的可携权已经存在或正在其他立法领域内进行 讨论（例如，在合同终止情况下的通信服务漫游和跨境服务3）。虽然应该谨慎对待类推 的方式，但是如果以组合的方式提供不同类型的数据可携权，则在不同类型的可携权 之间有可能产生一些协同效应甚至是对个人的好处。 本意见为数据控制者提供了指导，以便其可以更新他们的实践、流程和政策，并阐明数据 可携权的意思，从而使数据主体能够有效地使用新的权利。 II 数据可携权的要素是什么？ GDPR 将第 20 条第（1）款中的数据可携权定义如下： 数据主体有权以结构化、通用化和机器可读的格式接收他或她提供给控制者的有关他 或她的个人数据，并有权将这些数据传输给另一个控制者，原数据控制者不得阻碍。 接收个人数据的权利 首先，数据可携权是数据主体接收数据控制者处理的有关其个人数据的子集的权利， 并将这些数据存储起来供个人进一步使用。这种存储可以在私有设备或私有云上进行， 而不必将数据传输给另一个数据控制者。 在这方面，数据可携权补充了访问权的内容。数据可携权的一个特点在于它为数据主体提 供了一种简单的方法来管理和重复使用个人数据。这些数据应该“以结构化、通用化和机 器可读的格式”获取。例如，数据主体可能有兴趣从音乐流媒体服务中检索他当前的播放 列表（或收听的歌曲历史），找出他听了特定音乐的次数，或检查他想要购买的或者在另 一个平台上收听的音乐。类似地，他可能还想从他的网页邮件（webmail）应用程序中检 索他的联系人列表，例如，建立婚礼列表、获得关于使用不同会员卡的购买信息，或者评 1 数据可携权的主要目的是加强个人对其个人数据的控制，并确保他们在数据生态系统中发挥积极作用。 例如，这一权利可允许银行在用户的控制下，使用最初作为能源供应服务一部分所收集的个人数据提供额外服务。 3 参见欧盟委员会关于数字化单一市场的议程：https://ec.eu