个保法系列解读 | 可转移权与死者近亲属权利,个人信息权利保护的新...
共 3799字,需浏览 8分钟
·
2021-12-05 08:52
正式实施的《个人信息保护法》(以下简称“《个保法》”)已经成为各类个人信息处理者的基本行为规范。为了帮助企业更好地了解《个保法》的合规要求,TalkingData法务合规部特别撰写系列文章,解析重点议题与对应法条,并对企业实践情况进行调研,供相关从业者参考。
《个保法》特别设置了“个人在个人信息处理活动中的权利”专章,详细阐述了个人信息主体所享有的各类权利,例如知情权、查阅复制权、拒绝权、可转移权、更正权、删除权等。相比于之前的征求意见稿,可转移权和死者近亲属权利是《个保法》正式发布版本的两个新增亮点,本文将对此深入分析。
一、可转移权(可携带权)
1.什么是可转移权?
《个保法》在借鉴域外立法经验的基础上,增加了个人信息可转移权的规定,即如果符合网信部门规定的条件,个人请求将其个人信息转移至其指定的个人信息处理者的,个人信息处理者应当提供转移的途径。
2.可转移权的行使条件是什么?
针对《个保法》所要求的“网信部门规定的条件”,国家互联网信息办公室通过2021年11月14日公布的《网络数据安全管理条例(征求意见稿)》对此条件予以明确,具体如下:
前提 | 请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息,且同时是本人信息或请求人合法获得且不违背他人意愿的他人信息。 |
验证 | 能够验证请求人的合法身份。 |
风险 提示 | 数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应做合理的风险提示。 |
费用 | 请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。 |
3.欧盟是如何规定可转移权的?
GDPR第20条规定了个人信息可转移权,其旨在增强个人对其个人信息的控制权,进一步打破数据垄断和数据孤岛。但是此权利的行使需受到一定的限制,因为某个人的个人信息可能同时会涉及他人的个人信息,例如邮件信息、聊天信息等,转移自己个人信息的同时也转移了他人的个人信息,因此GDPR特别强调行权时不能对其他人的基本权益带来侵害。
前提 | 请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息,且是采用自动化方式处理的。 在技术可行的前提下,个人信息主体有权将个人数据不受阻碍地从一个控制者传输给另一个控制者。 |
形式 | 个人信息主体有权以结构化、通用和机器可读的形式接收其提供给控制者的与其有关个人信息。 |
影响 | 此权利的行使不得对他人的权利和自由产生不利影响。 |
4.欧盟与中国对于可转移权的规定有什么不同?
技术前提是一个非常重要的区别。GDPR特别强调了可转移的个人信息必须是通过自动化方式进行处理的、结构化、通用化和可机读的信息,可转移权的行使需要在满足技术可行的基础上进行。因为只有各类个人信息处理者使用的是可兼容的或通用的格式,才能使得个人信息可以无障碍地在不同平台间转移,但是目前行业没有通用格式,欧盟也只是鼓励控制者使用常用的开放格式,如XML、CSV,并非强制要求。GDPR的Recital 68也特别强调,此权利不代表控制者有义务采用或维护技术上兼容的处理系统。
但是依据《网络数据安全管理条例(征求意见稿)》的相关内容,中国法律语境下的可转移权并没有提出技术可行的前提限制,而是强调数据处理者应当提供可转移的服务,强制性更强。建议相关企业开发可以回应可转移权的工具,例如特定的下载工具或应用程序接口。同时还可以和行业协会等自治组织进行合作,共同制定一套技术标准来推动此权利在行业内落地实施。
二、死者近亲属权利
1.如果用户死亡,其近亲属可以在什么条件下行使死者的个人信息权利?
《个保法》规定,除非死者生前另有安排,否则死者的近亲属为了自身的合法、正当利益,可以对死者的个人信息行使查阅、复制、更正、删除等权利。由此可见,死者近亲属行权需满足一定的条件:
前提 | 死者生前没有安排。 |
主体 | 死者的近亲属。 |
《中华人民共和国民法典》:近亲属为配偶、父母、子女、兄弟姐妹、祖父母、外祖父母、孙子女、外孙子女。 | |
目的 | 为了近亲属自身的合法、正当利益。 |
权利 | 可以对死者的个人信息行使查阅、复制、更正、删除等《个保法》第四章赋予的权利。 |
中国现行有效的法律法规均未对自然人死亡后个人信息权益的保护进行规定,此条款则填补了此部分的立法空白。同时,《个保法》也秉承了《中华人民共和国民法典》加强死者权益保护的精神,把对个人信息主体的保护从生前延伸至死后,在回应数字身份权益保护问题的同时给个人提供更完善的保护。
2.相关企业应如何落实死者近亲属的权利行使?
建议相关企业在隐私政策的个人信息权利部分增加死者权益保护的内容,建立死者个人信息权益响应机制,并明确具体的行权路径,例如告知用户行使此权利所需提交的材料以及具体的流程。此外,也可以在相关个人信息处理平台设置相关功能,让用户可以在生前对死后的个人信息进行处理安排。据报道,苹果iOS 15已经实施了“数字遗产计划”,用户可以在自己的账户中添加遗产联系人,其在提交该用户死亡证明后,可以请求访问用户的iCloud账号,并继承用户存储的相关信息。
3.域外法律是否规定了死者个人信息权益保护?
针对是否保护死者的个人信息权益这个问题,世界各国的规定并不相同。从欧盟来看,GDPR明确规定其不适用于死者的个人信息,由欧盟各成员国自行制定与死者个人信息相关的规则。例如,瑞典和英国明确规定不保护死者的个人信息;法国则规定死者可以对其去世后的个人信息在生前做出相应的安排;西班牙规定死者的合法继承人可以行使访问权、删除权、更正权。从美国来看,CCPA并未对该问题做出明确规定;HIPPA则指出死者去世后的50年内,其个人信息应得到与其在世时相等程度的保护。
4.近亲属行使死者的个人信息权利的规定可能带来什么争议?
虽然《个保法》为亲属行权增加了一些限制,例如必须是基于自身的合法、正当利益且死者生前没有进行任何安排,这就意味着近亲属行权也要在充分尊重死者的意志的基础上进行。但此条款的具体实施仍然可能会产生一些争议。例如,“正当利益”的界定还需进一步厘清,以及如果不同的近亲属同时提出对死者个人信息权利的行使请求,如果响应一方近亲属的行权请求可能侵害死者或者其他近亲属的权益,企业应如何权衡应对,以及是否应该细化近亲属行权的顺位还有待讨论。此外,死者近亲属行权的前提是死者生前没有安排,可是死者以什么形式进行安排,又如何将其安排告知相关企业也是一个实践难点。
三、企业实践情况调研
经过对Apple App Store的前30款免费App的调研发现,近80%的App均没有在隐私政策中规定可转移权或死者近亲属权利的内容。
*可关注本公众号,发送关键词「个人信息权利保护」,获取完整版调研报告
1.可转移权
约20%的App在隐私政策中提到了可转移权,其中大部分都会在隐私政策中规定会依据法律法规的要求来响应用户提出转移请求。例如“抖音”和“小红书”,具体截图如下。
抖音隐私政策
小红书隐私政策
只有微信并没有明确规定转移权,而是在隐私政策的个人信息使用部分指出当用户使用微信与其他软件或硬件互通功能时,微信会在获取用户同意之后传输相关信息。
微信隐私政策
2.死者近亲属权利
约20%的App在隐私政策中提到了死者近亲属权利,具体的表述方式分为两类,一类是在隐私政策中特别设置专门条款来阐述死者近亲属的权利。例如“微信”和“哔哩哔哩”,具体截图如下。
微信隐私政策
哔哩哔哩隐私政策
哔哩哔哩的表述非常详细,其在隐私政策中明确告知了行权所需提供的材料,并经与在线客服沟通确认,死者近亲属需将准备好的相关材料发送至help@bilibili.com客服邮箱,哔哩哔哩确认后,近亲属可行使死者的相关权利。除此之外,哔哩哔哩还为了缅怀死者,特别设置了纪念账号,死者的亲友均可在提供必要证明文件的前提下向哔哩哔哩申请将死者的账号变为纪念账号。官网关于纪念账号的介绍截图如下:
但是为了实现与《个人信息保护法》关于死者权益保护的规定,如果死者的近亲属行使删除权,即使这个账户已被申请为纪念账户,其实也应该删除相应的个人信息。
另一类是在隐私政策的响应用户请求的部分仅笼统说明已逝用户的近亲属可以行使死者的相关权利。例如“淘特”和“钉钉”,具体截图如下。
钉钉隐私政策
淘特隐私政策
*可关注本公众号,发送关键词「个人信息权利保护」,获取完整版调研报告
《个保法》对于个人信息的保护日益完善,相关企业应依据法律规范的要求响应用户的个人信息权利行使请求,并及时做出回应。TalkingData目前已成为信通院“个人信息保护合规审计推进小组”的首批成员,会在严格遵守《个保法》的相关规定的基础上积极推进个人信息保护工作,完善公司内部的合规体系。
声明
本文版权归属于TalkingData法务合规部,解读内容和调研数据仅供一般参考,不应视为针对特定事件的意见,任何依据本文全部或部分内容做出的判断或决定以及因此造成的法律后果,TalkingData法务合规部不承担任何责任。
如有任何问题,请邮件联系我们:
td_legal@tendcloud.com。
推荐阅读:
个保法系列解读 | 个人信息跨境传输,企业要做到这些事
个保法系列解读 | “告知-同意”到底该怎么做?
TalkingData成为信通院“个人信息保护合规审计推进小组”首批成员
TalkingData——用数据说话
每天一篇好文章,欢迎分享关注