可携带权是GDPR对数据主体的一项创新权利规定，简而言之是指数据主体针对已经向数据控制者提供的个人数据，有权向数据控制者处获取结构化、通用化和可机读的上述数据；同时,数据主体有权将这些数据转移给其他数据控制者,原数据控制者。可携带权的基本规定在GDPR前言第68项以及正文第12条。第29条工作组在2017年4月专门针对这一项新权利颁发了《数据可携带权指南》。

下文内容旨在结合GDPR以及指南的规定，就可携带权的涵义以及实操问题进行阐述。

GDPR的基本规定

前言(68)：为进一步加强数据主体对其数据的控制,当个人数据的处理是通过自动化方式进行时,应当允许数据主体获得其向控制者以结构化的、通用的、机器可读的、能共同操作的格式提供的个人数据,并允许传输给其他控制者。应鼓励数据控制者发展方便数据携带的能共同操作的格式。当数据主体在其同意的基础上提供个人数据,或者处理对履行合同是必要的,该权利应当适用。当处理不是基于合同或者同意,该权利不应当适用。从本质上来说,行使该权利不应影响处理个人数据的控制者履行其公共义务。因此,当个人数据的处理对控制者遵守法律义务是必要的,或者对执行有公共利益的任务或者行使控制者被授予的官方职权的任务是必要的,该权利不应适用。数据主体传输或者接受个人数据的权利不应当对控制者产生采用或者维护技术性兼容处理系统的义务。在一组特定的数据中,涉及多个数据主体,根据本条例获得个人数据的权利不应当影响其他数据主体的权利和自由。另外,该权利不应影响或限制数据主体删除个人数据的权利,并且尤其该权利并不影响数据主体可删除其个人数据,以及依据本条例规定,对删除权的限制也不意味着数据主体为履行合同的必要而在合同履行的必要限度内提供的个人数据的删除。若技术可行,数据主体应当有权利要求个人数据直接从一个控制者传输到另一个控制者。

GDPR第20条：数据可携带权

1.满足以下情况时,如果数据主体向某数据控制者提供与其有关的个人数据,那么该数据主体有权从该数据控制者处获取结构化、通用化和可机读的上述数据；同时,数据主体有权将这些数据转移给其他数据控制者,原数据控制者不得进行阻碍：

(a)当处理是基于第6条第1款(a)项数据主体同意的情况下或基于第9条第2款(a)项的规定或基于第6条第1款(b)项合同约定的情况下;

(b)通过自动化方式进行处理的情况下。

2.基于本条第1款规定行使数据持续控制权的数据主体,在技术可操作的情况下有权将相关个人数据从一个控制者处直接转移给另一个控制者。

3.本条第1款规定的权利行使不得影响本法第17条规定的权利。该权利不适用于为执行公众利益任务所必要或者数据控制者为行使其职务权限进行的数据处理的情况。

4.第1款所述的权利,不应对他人权利和自由产生不利影响。

可携带权意义

1.赋予数据主体对个人数据的权力，协助他们移动，复制或并从一个IT环境到另一个IT环境。

2. 通过确认个体的个人权利和对个人数据的控制，数据可携带性也代表了“重新平衡”数据主体和数据控制者之间关系的机会。

3. 有助于在用户感兴趣的各种服务中传输和重用有关用户的个人数据。

4. 可以增强服务之间的竞争。

可携带权的主要构成

1. 数据主体接受个人数据的权利（对数据访问权的补充）： 数据主体“以结构化、通用和机器可读的格式接收”数据控制者处理的其个人数据集，并存储该等数据以供进一步个人使用的权利。该等存储可以在私有设备或私有云上，无需将数据转移到另一个数据控制者。

2. 数据主体将个人数据“无障碍地”从一个数据控制者转移到另一个数据控制者的权利。

3. 数据主体的控制权：要求接收数据和处理数据的权利。

可携带权中的个人数据范围

数据范围必须同时满足：

（1） 与数据主体有关的数据，其中任何匿名或不涉及数据主体的数据将不在范围内。然而，可以清楚地链接到数据主体的假名数据在范围内。

（2） 数据主体已经提供给数据控制者的数据，包括数据主体主动和有意提供的数据（例如，邮寄地址、用户名、年龄等）以及通过使用服务或设备由数据主体提供的观察数据。例如由可穿戴设备跟踪的心跳。

但不包括由数据控制者根据数据主体提供的数据创建的推断数据和派生数据，例如通过个性化或推荐处理，关于用户健康或档案的评估结果。

可携带权与第三方权利的关系

不会对他人的权利和自由产生不利影响，主要体现在针对数据中含有第三方个人数据以及知识产权、商业秘密等情况。

1. 数据涉及第三方个人数据时：

- 避免将包含其他（非同意）数据对象的个人数据的数据转移给新数据控制者。

- 仅允许该等数据被保持在请求用户的唯一控制下，并且仅由纯粹的个人或家庭需求进行管理，从而允许由另一个控制者处理这样的个人数据。

- 该等信息不应该在未经第三方数据主体的知晓和同意下用来增设第三方数据主体档案，也不能用来检索关于这第三方的信息并创建特定的画像。

- 针对个人活动引发的数据主体处理需求若涉及和潜在地影响第三方，只要该等处理不是以任何方式由数据控制者决定的，则数据主体应承担相应责任。

- 所有数据控制者（包括“发送”和“接收”方）应采用适当的工具确保数据主体选择他们希望接收、发送和排除的相关其他个人的数据。

2. 数据涉及知识产权和商业秘密时：

- 数据可携带权不得通过不公平或者侵犯知识产权的行为构成对个人滥用信息的滥用。

- 响应数据可携带性请求之前应考虑这些权利，但考量的结果不应是拒绝向数据主体提供所有信息。

- 潜在的商业风险（例如，未偿还债务或与数据主体的贸易冲突）本身并不能作为拒绝响应可携带型请求的理由，数据控制者可以以不泄露商业秘密或知识产权的信息的形式转移由数据主体提供的个人数据。

如何确保数据主体实现数据可携带权

1. 行使基础： 基于数据主体的要求或数据主体时当事人的合同履行需要（例如雇员数据处理）。

2. 告知：控制者告知数据主体是否存在可携带权。

- 当有关个人数据直接从数据主体收集时，该等告知发生在“获得个人数据的时候”。

- 如果个人数据并未从数据主体获得，要求在获得数据后合理不超过一个月的合理时间内，在与数据主体首次通信时，或向第三方披露时，提供信息。

3. 解释： 数据控制者清楚地解释数据主体可以通过访问权和数据可携带权而接收的数据类型之间的差异。

4. 数据保留： 数据控制者应在数据主体关闭帐户之前一直包含关于数据可携带性的信息。数据可携带性不会自动触发从数据控制者的系统删除数据，并且不影响应用于已发送的数据的原始保留周期。只要数据控制者仍在处理数据，数据主体就可以行使他或她的权利。

5.如果数据主体想要行使他或她的删除权（第17条下的“被遗忘权”），数据可携带性不能被数据控者用作延迟或拒绝这种删除的理由。

响应可携带性要求的时限

1. 在任何情况下“在收到请求后的一个月内”数据控制者将向数据主体“不迟延”地提供“采取行动的信息”。对于复杂的情况，这个月期可以延长到三个月，前提是数据主体已经在原始请求的一个月内被告知延迟的原因。

2. 如果数据主体请求的数据的大小造成网络传输有问题，数据控制者也可能需要考虑替代的方法提供数据，例如，使用流或保存到CD、DVD或其他物理介质，或者允许个人数据直接传送到另一个数据控制者，而非允许最多三个月的延长的时间来满足请求。

3. 任何情况下数据控制者必须积极响应，不能保持沉默

如何提供便携式数据

1. GDPR要求数据主体有权不受数据控制者干扰向另一个控制者转移已提供的个人数据。

该等干扰的解释可以是数据控制者设置的的任何法律、技术或金融障碍，以抑制或减缓数据主体或另一数据控制器的访问、传输或重用。例如，该等干扰可能是：要求付费交付数据、缺乏互操作性或访问数据格式或API或提供的格式、检索数据集的过度延迟或复杂性、故意混淆数据集或特定和不适当或过度的区块标准化或认可要求。

2. 数据控制者有义务“在技术上可行时直接向其他数据控制者传输便携式数据”。应以可互操作的格式传输个人数据，尽管其他数据控制者无义务来支持该等格式。禁止控制者对传输设置障碍，如果技术障碍禁止直接传输，则数据控制者对数据主体解释障碍。

数据控制者向数据控制者传输的技术可行性应视每个需求评估。但“技术上可行”不应该为控制者制定或维护技术兼容的处理系统设置义务。

3. 可采取的数据格式必须满足：

- 规范要求： 结构化、通用和机器可读的格式

- 结果需求：可互操作的的系统，不是兼容系统。

数据控制者应该启动开发可以回应数据可携带权的请求的工具，例如下载工具和应用程序接口。由于可以由数据控制者能处理的潜在数据类型的广泛性，GDPR不对要提供的个人数据的格式强加特定的建议。鼓励行业利益相关者和行业协会合作，共同制定一套可互操作的标准和格式。

文章来源:享法JoyLegal，发布此信息的目的在于传播更多信息，如有侵权请联系删除。