数据可携带权在欧美法律实践上的权利要旨对我国个人信息权益保护的借鉴

文 / 康兰平 程文文

目前，欧盟在对数据资源进行干预与监管时主要依据2018年生效的《一般数据保护条例》（General Data Protection Regulation，GDPR，以下简称《条例》）的相关规定。其中，“数据可携带权”是一项十分重要的新型权利，相关的法律规定正在成为数据平台监管和数据主体权利实现的重要准则。《条例》第20条规定了数据主体有权获取其提供给数据控制者的个人数据副本权利，在技术可行的条件下所获取的个人数据类型应当是结构化的、常用的和可自动识别的，且数据主体有权利将所获得的数据无障碍地从其提供给数据控制者处传输给其他的数据控制者处。欧盟数据保护委员会（原欧盟第29条数据保护工作组）也在《数据可携带权指南》（以下简称《指南》）中指出，个人数据可携带权的规定根源于“数据自决”的权利，指的是个人数据的用户拥有自由传输数据的选择权，能够自主决定通过何种方式在何时何地被谁收集转移传输数据的一种权利。数据可携带权在加强个人数据保护的同时，提升了数据在数字市场中的流通速度，也能够更好地发挥数据要素的倍增效应。数据可携带权的创立赋予了数据主体对个人数据的有效控制，协助他们移动、复制或从一个IT环境或平台到另一个IT环境或平台。1. 李蕾：《数据可携带权：结构、归类与属性》，载《中国科技论坛》2018年第6期，第143页。数据可携带权通过确认个体的数据控制权利和对权利实现的限制条款动态平衡了数据主体和数据控制者之间的关系，有助于在各种平台中传输和使用个人数据，构筑起了体系化的权利建构和法律规制模式。

然而数据可携带权这一新型权利设定也面临着法律效果的悬浮化质疑。一方面，数据可携带权的落实可能会加重中小企业的合规成本和企业负担。对此类企业而言，由于其在数据市场竞争力较弱，且没有充足的人力、财力等支撑条件，导致其数据不断流失，会加剧不正当竞争的锁定效应或数据垄断现象。另一方面，《条例》过高的个人数据保护标准也会限制数据移植的效率，在这样的框架下平台极为被动，对数据主体个人信息的控制面临着严格繁琐的程序与审查，折射出权利泛化危机和技术操作可行性等问题。因此，如何促进平台竞争与数字产业发展还需要进一步完善我国数据可携带权的规范基础、权利属性和精细化场景设计，保障数据的自由流动和有效规制数据垄断，营造高效稳定的数据市场。2. 化国宇、杨晨书：《数据可携带权的发展困境及本土化研究》，载《图书馆建设》2021年第4期，第113-122页。

一、数据可携带权的学理溯源与规范解读

（一）数据可携带权的理论逻辑

欧盟GDPR正式将数据可携带权确立为一项实在法意义上的法定数据权利。3.付新华：《数据可携权的欧美法律实践及本土化制度设计》，载《河北法学》2019年第8期，第157页。根据 GDPR第20条规定，数据可携带权是指在遵循数据传输技术标准和特定场景设定的情况下，数据主体能够采取结构化、通用化和机器可读的方式，获得其向数据控制者提供的有关数据主体自身的数据，并且有权无阻碍地将这些数据传输给其他数据控制者。4.刘泽刚：《大数据隐私的身份悖谬及其法律对策》，载《浙江社会科学》2019年第12期，第21页。本文在结合欧美法律实践和相关司法实务经验的基础上对数据可携带权的权利要旨进行规范解读和价值衡量，以明晰数据可携带权的法理逻辑与法律构造。

（1）数据主体享有获取个人数据复制件的权利。数据主体有权从数据控制者处获得自己存储于数据控制者处并经过处理的个人数据子集，并将该数据存储在云端并能够便捷自由传输。

（2）该数据形态应当是“结构化的、通用的和可机读的”。《指南》对此给出了细致的规定：“结构化”是指由数据控制者通过预先设置软件应用程序方式为其他数据控制者简化数据传输的数据格式。5.丁晓东：《论数据携带权的属性、影响与中国应用》，载《法商研究》2020年第1期，第73-86页。“通用化”是指数据形式应当能够被数据主体所自由传输和重复利用的格式，例如，XML、JSON、CSV 等格式便于数据后续的自由流通和传输转移。而对于“可机读”的含义，指令2013/37/EU 第21条将其定义为“一种文件格式，其设立方式能够帮助软件应用程序精准识别并能够从中提取出特定的相关数据”，而那些无法从文档中获取相关数据或者限制其他数据控制者机器可读的文件格式编码的文档（如PDF）则能够被排除在外。6.Ursic H. Unfolding the new-born right to data portability: Four gateways to data subject control. SCRIPTed, 2018, 15: 42.

（3）通过提供一种切实可行的技术途径，能够将个人数据无障碍地从现有的数据控制者处传输到另外一个数据控制者处的传输转移权利。GDPR第20条第1款规定了数据主体有权“无障碍地”将个人数据从某一数据控制者处传输至其他数据控制者处。GDPR第20条第2款规定了在数据传输标准和技术可操作的场景下，根据数据主体的个人请求，数据也能够无障碍地从一个数据控制者转移到另一个数据控制者。

关于该项规定，解释部分的第68条鼓励数据控制者开发可共用的（interoperable）数据格式，以便捷地推动数据可携带权的实现，但尚未构建起能够帮助控制者使用技术上兼容的处理系统。而且，GDPR要求数据控制者不得为数据传输转移设置层层障碍。数据可携带权的这一无障碍规定不仅为数据主体提供了获取和重新使用数据的权能，而且还使其能够把之前提供的数据传输给其他的服务提供商（既可在同一商业领域中，也可在不同的商业领域中）。除了通过禁止“锁定”（“lock-in”）的方式来给消费者提供数据权能之外，数据可携带权能够数据主体提供共享数据的可能，同时也能够推动数据产业的激励创新。当然，这些进程都应当处于数据主体的控制之下，并以安全可靠的方式进行。数据可携带权能够提升用户对其个人数据的控制能力，实现数据的共享和重复利用，从而推动数据产业的有序竞争提升用户的个人信息权益。7.Graef I, Uerschakelen J, Ualcke P, Putting the Right to Data Portability into a Competition Law Perspective, Law: The Journal of the Higher School of Economics, Annual Review, 2013: 53-63.

（4）数据可携带权对于控制者的责任也给出了规定。数据控制者需根据第20条中所规定的情形，回应数据主体的请求，但是该控制者不需要对数据主体或接收数据的其他数据控制主体的数据转移传输行为负责，即数据控制者尽管需要对数据接收者履行隐私义务，但是数据控制者也能够采取相应的安全控制措施，确保数据接收者能够忠于数据主体的委托。数据的控制者和数据处理者应当能够通过合作共享方式，通过特定的程序，响应数据主体的请求，并且在联合控制数据的情况下，明确分配各个数据控制者的责任。根据第14条规定的透明性要求，传输转移数据的其他数据控制者应当在数据主体请求传输转移数据之前，清楚、直接地说明新的处理目的。如果数据的接收者需要对数据进行转移传输，应当严格恪守GDPR第5条中的相关规定，在遵循数据合规的相关义务基础上履行存储责任和保密义务。8.卓力雄：《数据携带权：基本概念，问题与中国应对》，载《行政法学研究》2019年第10期，第129-144页。

（二）数据可携带权的法律争议

自数据可携带权被作为一项法定权利以来，就产生了诸多的争议与冲突。对于数据可携带权辩护者来说，数据可携带权的创设具有合理性、必要性。首先，数据可携带权通过赋予用户获取并移植数据的权利强化了数据主体对于个人信息权益的控制权能，能够满足数据主体对于个人数据的移转传输需求。其次，数据可携带权的设定有助于消除数据的垄断和“锁定效应”，推动数据行业传输数据标准的建立与完善。最后，数据可携带权的设定有助于提升数据主体的用户体验，通过促进数据共享与流动，促进数据的自由流动和数据产业的公平竞争。

对于数据可携带权的质疑者而言。首先，《欧盟基本权利宪章》暂时未将数据可携带权作为一项基本的数据权利进行保护。因此，在欧盟实证法体系下，该权利暂时不能被作为一项基本权利。其次，GDPR对数据可携带权进行规定的目的在于加强对个人数据信息的有效控制，但由于数据可携带权的实现涉及多方利益，如个人利益、企业利益、社会利益等，对数据进行控制并将数据传输给他人有赖于企业的行业自律和自主探索。再次，数据可携带权赋予数据主体获取并移植数据副本的权利，同时也加剧了数据被他人冒用或盗用的安全风险，允许数据主体可以无条件的一次性批量下载并转移的数据或许会包含第三人的信息与隐私，这会在一定程度上加剧涉他数据的剥离难、数据的可用性存疑和数据安全风险等困难。最后，虽然数据可携带权能够在一定程度上消除“锁定”效应，但也面临着数据从中小企业向大企业迁移的风险，反而加剧了数据垄断与不正当竞争。9. 谢琳、曾俊森：《数据可携权之审视》，载《电子知识产权》2019 年第 1 期，第 34 页。数据可携带权在一定程度上面临着公共利益和个人权益的价值冲突。GDPR第20条第3款对于数据可携带权的权利限制条款进行了排除限制，“针对数据控制者为了维护公共利益需要，或者为了履行其被官方授权的对个人数据进行必要收集的需要，此时权利不适用。”该条规定表明，在与社会利益、经济利益、国家利益以及他人的权利和自由相冲突的领域，需要对数据可携带权的行使进行权利限制与利益平衡。10.Zanfi r G. The right to data portability in the context of the EU data protection reform. International Data Privacy Law, 2012, 2(3): 149-162.

（三）数据可携带权的发展趋势

数据可携带权作为个人信息的子权利尽管可以打破“数据壁垒”促进个人数据的自由流动和企业的有序竞争，但是也无法回避数据的多元价值龃龉和场景依附性。数据可携带权自被创设以来也面临着诸多的质疑，在规范维度与实践层面亟待进行法律效果评估与发展趋势前瞻。

从数据安全的维度上看，GDPR 及《数据可携带权指南》并没有针对数据可携带权在实施中面临的适用困境以及技术标准给出稳定高效的权利实现机制，数据可携带权的引入导致的隐私风险和数据合规会阻滞数据的自由流动和个人信息权益保护。因此，应当在数据安全分级分类方面进行场景化的设计，特别是要对数据控制者提升场景风险监管保障方面的数据流通能力进行评估，避免数据传输过程中侵害第三方利益、利用虚假身份骗取数据以及数据安全泄露等等。从市场竞争的维度上看，尽管数据可携带权有助于打破数据主体的封锁效应能力，促进数字市场的自由竞争，但也面临着大型平台利用竞争优势迁移中小企业的数据反而加剧了数据锁定效应和数据垄断可能性。从知识产权保护维度上看，GDPR第20条以及《数据可携带权指南》也规定，针对数据主体在数据迁移过程中所可能引发的损害商业秘密和知识产权的负面效应，数据控制者应当在确保不损害商业秘密和知识产权的情形下进行数据迁移和数据传输，但不能因此一刀切拒绝数据传输的应用场景。尽管《数据可携带权指南》将数据信息划分为有知识产权和不含有知识产权的两种类型，但却大大低估了实践中个人数据与知识产权的复杂交织状况，也并没有能够为权利的龃龉冲突提供现实有效的解决方案。从技术维度上看，数据可携带权的实施落地面临的一大技术难题在于跨平台数据迁移的技术可操作性问题。GDPR规定在数据传输格式上应当充分遵循“结构化、通用、机器读取”等要求，但 GDPR并未对此进行技术标准的统一。数据传输格式的不通用在实现互操作性上面临着诸多的难题，且面临着日新月异的复杂场景嵌入与破壁，互操作性的实现面临着技术障碍。对于中小企业而言意味着要付出更大的合规成本，投入更多的执行成本和数据传输标准框架以满足互操作性的现实要求。11.Beata, A, Safari. Intangible privacy rights: How Europe's GDPR Will Set a New Global Standard for Personal Data Protection. Seton Hall Law Review, 2016, 47(3):809.因此，在欧盟尚未形成共同的技术标准和操作格式之前，数据可携带权的落地仍面临着数字平台反垄断与个人数据保护之重叠与冲突。12.李伯轩：《数据携带权的反垄断效用：机理、反思与策略》，载《社会科学》2021年第12期，第105页。

二、数据可携带权的权利属性分析

数据可携带权作为一项新型权利，自GDPR规定以来就引发了学术界以及实务界的广泛讨论与质疑，如何从应然的权利证成转变为实然层面的权利保障有必要对该权利的法律属性进行清晰定位。当前在我国高度重视数字经济健康发展和数据开放共享的发展态势下，数据可携带权的引入不可避免地也面临着隐私保护、数据安全、数据垄断、权利冲突以及多重利益龃龉等辩难，我们应当在对数据可携带权这一新型权利进行规范性解读的基础上进行权利属性厘清与多元价值平衡。13. 丁晓东：《个人信息权利的反思与重塑：论个人信息保护的适用、前提与法益基础”》，载《中外法学》2020年第2期，第314页。

（一）数据可携带权能否作为基本权利进行保护

在国际上，人权具有不同的划分标准，根据人权保护利益的基础性和重要性可划分为基本人权和非基本人权是较为通用的标准，作为基本人权保护的有生命权，健康权财产权等权利。非基本人权几乎都是由基本人权派生而成的。部分学者主张可以将数据可携带权作为基本人权保护，理由在于：包括数据可携带权在内的公民数据权是一项新兴的公民基本权利，是信息社会化的必然产物。随着大数据时代的到来，数据可携带权已经成为具有代表性权利之一。它具体包括信息所有者本人能够无障碍地对个人信息依法享有的传输转移的权利。德国宪法法院在1983年“人口普查案”判决中正式将“个人信息自决权”予以法定化，欧洲法院通过谷歌案确立了“数字遗忘权”即“数据主体有权要求互联网搜索引擎服务商将与其姓名链接的陈旧的、毫无关联或者侵害隐私的信息从搜索链接中进行删除”。因此，新型的数据可携带权能够作为一项实在法意义上的制度性权利在立法中得到确认并且能够被应用到司法裁判当中作为审理依据。14. 龚子秋：《公民“数据权”：一项新兴的基本人权》，载《江海学刊》2018年第6期，第157页。

国内外也有相当部分学者主张数据可携带权不得作为基本人权保护，理由在于：数据可携带权被划分为基本人权存在疑问, 可被作为非基本权利进行保护。首先，《欧盟权利宪章》并未明确将数据可携带权纳入其中，也未将其作为访问权的延展权利进行保护。其次，数据可携带权存在目的是促进数据的交流与共享，加强数据在平台间的有效流动，破除“数据壁垒”与“锁定效应”，如果将数据可携带权作为基本人权加以保护，或许会阻碍数据市场的发展，因此，更适宜将数据可携带权作为促进数据市场竞争的有效武器和规制工具。15. 曾彩霞、朱雪忠：《欧盟数据携带权在规制数据垄断中的作用、局限及其启示——以数据准入为研究进路》，载《德国研究》2020年第1期，第134页。再次，数据可携带权与传统权利相比具有特定的社会利益，例如数据主体对于数据子集的支配控制权，访问传输权等，并可以在以上特定利益中自由选择，因此，虽然数据可携带权日益受到重视，但是离被作为基本人权进行保护还存在一定距离。数据可携带权目前仍缺乏作为基本人权保护的正当性和合理性。因此，数据可携带权的核心在于要求企业对数据的传输提供配合，这不同于一般的个人数据保护权利，较难认为是一种基本权利。16. 冉从敬、张沫：《欧盟GDPR中数据可携权对中国的借鉴研究》，载《信息资源管理学报》2019年第2期，第25页。

（二）数据可携带权的多重民事权利属性界定

首先，数据可携带权具有抽象的人格属性。根据我国民法典：人格权是一个抽象的权利。数据可携带权属于数据主体，并依赖于数据主体的身份，数据可携带权属于人格权是被普遍认可的。原因在于，可携带权中的“数据”与人格利益和个人信息息息相关且能够与隐私权、姓名权等权利关联，包含人格要素，并非普通数据。世界上许多国家民法典，包括我国最新出台的民法典都共同面临着一个问题：人格权的范围设定过于狭窄。但随着社会的发展与科技的进步，具有人的意志，隐私，尊严等多重人格利益属性的个人数据在进行可识别化后可以被作为一种抽象人格权保护，以弥补具体人格权的局限性。其次，数据可携带权具有财产权价值。目前GDPR基于人格权的角度对于个人数据进行保护，但是学界对此也存在质疑观点。就全球数据行业而言，数据资产的价值在于数据的流转与共享而产生的商业红利，在数据可携带权中用户可以将个人数据从一个平台转移到其他平台并通过处理，数据通过成倍的繁殖与扩散发挥数据红利，促进数据共享。数据与具有可视化物理外观特性的财产不同，它具有极大的可复制性与传播性，可以在数据网络中快速传播与自我繁殖，虽然单个数据上的财产价值有限，但在巨量的数据被汇集在一起时，财产价值不容忽视。根据波斯纳在《法律的经济分析》一书中提到，想要发挥数据价值与保护个人数据，必须承认数据的财产属性。因此，数据可携带权是一项复合型权利，兼具多项权利属性，它并非单单涉及人格利益，它还构成了数据主体对数据本身的支配控制权能。

（三）数据可携带权的权利实现困境

尽管欧盟GDPR第 20条、序言第 68 条初步勾勒了数据可携带权制度，欧盟第29条工作小组关于数据可携带权的指南则从权利构造和法律适用上进一步厘清了权利实现的法律属性。但数据可携带权作为一项新型权利仍面临着法律属性的定性模糊与司法适用困境。具体而言：（1）数据可携带权的权利客体含混不清。依据GDPR所界定的个人数据只适用于自然人数据和数据主体提供的数据。但是对于个人数据的界定而言，是否包含在原始数据基础上进行的与个人相关的观测数据、衍生数据与推测数据直接影响到哪些数据可以移转、哪些数据不能够移转。欧盟第29 条工作组的指南扩张解释了GDPR中提供的内涵，观测数据也被纳入提供的范畴。由此，消费者在数据平台或接收数据服务中产生的相关数据，也被纳入此项权利的客体范围.但该扩张解释也可能带来一定的问题，如用户在使用某社交软件产生的聊天记录，其是否可以依据数据可携带权要求该社交软件将该聊天记录移转给其他社交软件？数据控制者面对这一请求，首先要判断该聊天记录是否是数据可携权的客体？聊天记录这一数据并非由用户主动提供，而是使用社交软件产生的，可以被归入观测数据的范畴。但聊天记录不仅涉及请求移转的主体利益，而且可能会涉及其他参与聊天主体的利益，数据控制者如果直接进行移转是否会侵犯其他第三人的利益？（2）行使权利的技术障碍。欧盟 GDPR第6条规定了处理数据的规范性基础，而数据可携带权仅适用于基于合同的约束和基于数据主体同意。对于不同数据控制者之间的移转传输数据权，还需要满足技术可行性的要件。但何为技术可行性，当前法规并无明确说明。根据欧盟第29条工作小组的相关解释,技术可操作性并不是数据的结构化、通用化、机器可读格式等内容，而是指数据控制者之间系统的互通性。GDPR序言中强调保证数据可携权的技术可行性并非是数据控制者的一项强制性义务，倘若遭遇技术可行性障碍导致无法转移传输数据，数据控制者履行向数据主体告知、解释的义务即可。据此，构建数据移转的互通性系统并非是一项强制性义务，而只是一项提倡性建议。17.参见时明涛：《大数据时代企业数据权利保护的困境与突破》，载《电子知识产权》 2020年第7期，第66页。受限于互通系统要求，数据控制主体便会导致无法无障碍地在数据控制者之间进行个人数据的直接移转与传输，使得数据可携带权面临着权利泛化的错误承诺。（3）确定责任主体与范围。数据可携带权创设的目标在于加强个人数据的自由流动，但在数据移转的过程中所产生的隐私泄露和安全风险也面临着责任主体的承担和权利救济问题。根据欧盟第29条工作小组认为，应当由数据控制者承担责任，采用安全措施来保证数据移转过程中的数据安全。这一论断具有一定的合理性，数据控制者应当核验数据主体身份以及具体移转数据的正当性，对可能产生的数据泄露或安全问题也应当采取相应的补救措施。

综上，尽管数据可携带权面临着权利构造的证成与质疑，作为一项新型权利有着得天独厚的规范基础与创新活力，其开创性地将数据副本的流转权利交给数据主体，赋予了数据主体对个人数据的控制能力，有助于实现数据的自由流动和企业的激励创新。因此，不断完善数据可携带权的权利属性、实现机制与边界限度有助于更好地保护个人数据和促进数据流通体系完善。18.金耀：《数据可携权的法律构造与本土构建》，载《法律科学(西北政法大学学报)》2021年第4期，第105页。

三、数据可携带权的域外经验及法律效果考量

数据可携带权作为欧盟创设的一项新兴权利旨在促进个人数据的自由流通、实现数据主体的赋权增能，活跃欧盟数字市场的创新效能。欧盟GDPR明确赋予了自然人数据可携带权的权利保障规定，提升了数据主体的个人信息权益保障。而美国对数据可携带权的引入则秉持着市场主导的立场，在营造产业发展的底色基础上通过企业加强行业自律和反垄断规制方式，推动数据企业数据可携带权的行使与落地。19.付新华：《数据可携权的欧美法律实践及本土化制度设计》，载《河北法学》2019年第8期，第157页。有鉴于欧美数据可携带权的不同法律实践与司法经验，我国数据可携带权的引入和落地应当在有效镜鉴数据可携带权的域外经验与法律效果基础上进行本土化的权利构造与法律调适。

（一）数据可携带权的欧盟模式

在数据权利保护方面欧盟采取专门立法的方式，主要包括《数据保护指令（95/46/EC 指令）》《个人数据保护指令》《隐私电子指令》(E-Privacy Directive)《数据库指令》( Database Directive) 以及《通用数据保护条例》(GDPR)。包括数据可携带权在内的欧洲个人数据权利保护的理论起源于德国在“人口普查法案”判决中确定的个人信息自决的权利。在2012年欧盟委员会提交的数据保护草案中，将数据可携带权以及数据主体访问权、被遗忘权等权利并列在草案第三章进行规定，促成了欧盟体系内个人数据权利体系的初步形成。随后欧盟个人数据保护立法机构对于数据可携带权进行了多次修订，2013年，在欧洲议会下设的公民自由、司法和内政事务委员会（LIBE）发布的报告中将数据可携带权作为数据主体访问权的有机组成部分纳入立法文本当中。在最后正式通过的GDPR文本中，该数据权利作为一项独立的制度性权利被单独列明在第二十条，并将该权利的客体具体限定于“个人数据”，是数据可携带性功能的具体体现。因此，欧盟的个人数据保护倾向于加强数据主体对于数据的控制能力，消除市场准入障碍。随后2016年，WP29也在《关于执行GDPR的2016年行动计划的声明》和《关于数据可携带权的指引》发布了数据可携带权的具体行动指南，2018年10月又推出了《非个人数据自由流动条例》，鼓励企业之间共享数据禁止数据本地化限制，目的也是为了扩大数据可携带权的适用范围，推动欧盟单一数字市场的建立，提振欧盟的数字经济潜力。

在数据可携带权保护方面欧盟采用专门立法的方式由政府加以监管。欧盟主张，在社交软件中的个人数据已经成为人格权的延续，因此，基于人格权的保护和人格自由发展理念，欧盟开始通过顶层设计加强数据主体对于数据的控制力度，促进个人数据的自由流动。GDPR将数据可携带权从法律层面进行创造性初步规定，目的在于通过立法为个人数据保护提供更多支持，让数据主体能够在技术可行的条件下便捷的管理和控制自己的数据，以此提升数据主体对个人数据的控制能力，保证信息主体自由行使信息自决权。

在2015年前，欧盟数字市场监管的主要目的是促进数字服务的自由流动，以“私人、非营利、以利益相关者的利益为基础”，除非绝对必要，各国政府应当避免干预，因此，在需要监管的地方，将其保持在最低限度，所有数据保护法规应当基于单一市场自由的监管，考虑到商业利益。但是在2015年之后，开始淡化了自由主义信条，不再强调数据权利的绝对自由化，通过引进平台监管、新的规则与监管措施消灭数字服务中的威胁，逐步完成向温和的模式转变。20.丁晓东：《被遗忘权的基本原理与场景化界定》，载《清华法学》2018年第12期，第94页。2020年12月，欧盟委员会公布了《数字服务法案》和《数字市场法案》，为所有数字服务市场主体制定了一套全面的新规则，旨在消解平台空间的监管分散化、确保数字市场的公平性和可竞争性。《数字服务法案》和《数字市场法案》涉及范围较广，包括大型平台的数据垄断、数据不正当竞争、重新平衡用户、在线平台和监管机构之间的权利和职责等等。在众多举措中，《数字服务法案》加强了在线平台与信息服务提供商的法律责任和对于平台政策内容的监督，完善电子商务指令。通过事先制订规则，将具有显著网络效用的大型平台充当“把关人”，维护网络用户的信任，提高数据的共享开放水平，保证数据行业创业者、企业和市场之间的公平竞争。欧盟针对数字市场竞争规则的改革也为数据可携带权的实施提供新的制度环境，将法律法规与行业协会等结合起来，为数据可携带权提供更为多元化的场景应用和精细化的规范保障。

（二）数据可携带权的美国模式

对于数据可携带权美国也早在国会中以立法的形式将其确定下来。1996年8月21日，美国国会通过了《健康保险可携带和责任法》（Health Insurance Portability and Accountability

Act，简称HIPAA）。美国医疗和人力服务部为了推进更高质量的医疗服务与促进公共福祉之间的平衡，以此为宗旨颁布的《个人可识别医疗信息隐私标准》中，明确规定个人对医疗信息享有隐私权和控制权，在面对个人医疗信息这一极其敏感信息时，个人享有卫生保险健康机构收集到的关于个人健康的数据信息权利，但是对此类敏感数据的“可移植”尚未作出规定。

2018年通过的《加利福尼亚消费者隐私法案》(CCPA)正式引入数据可携带权，规定了消费者的访问和可携带权。该法案一是规定消费者对企业收集和管理其个人信息享有数据控制权；二是对数据企业收集处理数据的方式划定了权限清单和目的红线。该法案适用于在加州直接或间接收集该州消费者个人信息的企业，且这些企业需要有收集和处理个人信息的目的和权限，同时还要符合以下一项或多项标准：（1）经通货膨胀调整后，年收入总额超过 2500 万美元；（2）通过销售消费者的个人信息获得50%或更多的年收入；（3）每年为商业目的购买、接收、出售或分享 50000 或更多消费者、家庭或设备的个人信息。美国数据治理以行业自律为主要手段，辅以政府监管，坚持以市场为导向的模式，协调个人数据保护与数据产业发展的冲突。由于美国联邦体制下各州数据治理理念差异化及数据巨头企业的阻碍，美国并未采取类似于欧盟数据保护的统一立法，而是采取分散化的立法形式，同时辅以行业自律和事后司法救济的途径。对于金融等重点领域内的数据，美国政府对此类数据加强管控和保护力度，针对非敏感信息政府一般秉持“守夜人”的态度，尽量减少国家公权力的介入。美国的个人数据保护模式更侧重于从产业利益角度规范企业收集数据的方式，并且以解决问题的态度来处理数字产业发展与数据主体权益保障之间的冲突。21.高富平：《个人信息处理：我国个人信息保护法的规范对象》，载《法商研究》2021年第 2 期，第74页。CCPA赋予了消费者数据可携带权，注重消费者的权利保护，尽管其立法也面临着规制成本、权利边界、隐私安全等问题，但相比欧盟对于数据可携带权的技术性操作标准模糊，CCPA扩大了权利的适用对象，建构了以消费者为中心的场景化数据保护方式，重点关注的是更符合数据产业发展得更具有操作性的实施方案。

（三）域外法律经验模式特点与法律效果评估

第一，数据保护模式不同。欧盟通过在实在法层面设立制度性权利的方式来促进数字产业公平竞争和个人数据权益保障。从2010年起，欧盟就致力于构造个人数据保护的合作式法律体系，以确保数据可携带权的行使和个人数据安全，建立数据保护“防火墙”。美国尚未在法律上对数数据可携带权作出完整系统的规定，主要依赖行业自律。

第二，法益保护目标不同。美国法与欧盟法对数据可携带权保护的监管模式与治理理念存在着显著差异。欧盟法是在保障人权和数据合规层面去增强数据主体的信息权益，而美国法侧重于市场主导背景下通过竞争法则的引入加强对数据的利用，平衡数据保护和数字产业发展的矛盾冲突，通过竞争博弈和指示的方式降低互联网企业和数据企业的合规负担。两者都致力于规避数据被“锁定效应”，在加强个人数据保护力度的同时减弱了数据企业和平台对个人数据的控制能力。

第三，适用主体和适用条件的差异。在数据控制者和数据主体之间权益保护的衡量方面，欧盟更倾向于保护数据主体，美国则是倾向于保护数据控制者的权益。欧盟GDPR数据可携权的适用主体只能是自然人，不能是公司等法人组织；美国数据访问及数据可携权相关案例的适用主体是公司等法人组织。欧美差异的原因在于GDPR是一部个人数据保护法，立法的宗旨在于确保个人数据权利的实现，而美国的相关司法案例则更多地是从竞争法角度对企业数据访问和数据可携请求的务实裁决。两者不同的地方在于欧盟将数据可携权作为个人数据权的一部分，而美国则更多地是从市场竞争的角度考量实施数据移转的谦抑性与务实性。

法律是一种地方性知识，数据可携带权的欧美法律实践尽管能够为我国数据可携带权本土化提供规范性基础，但仍需要进行本土化的制度设计和法律构型。数据可携带权的法律构造与本土设计应当因应我国公民个人信息保护的现实需要和数字经济健康发展的需求，探讨我国数据可携带权的本土化法律适用空间与权利实现机制，明晰数据可携带权的权利限制条款与权利结构。

四、我国个人信息保护制度中信息可携带权的本土化应用

当前我国数字经济正处于快速发展阶段，对于数据可携带权这一项新型权利的探究不仅能够有助于补强个人信息保护的数据权能，同时也能够为融入全球数字经济浪潮提供合规标准与中国方案。数据可携带权的本土化和中国实施方案不仅仅是促进数据流通和利用、推动数据市场公平竞争中国方案的重中之重，而且能够为我国数据治理领域提供反思性调适的权利实现机制与本土化制度设计。

（一）明晰信息可携带权的规范基础

1.从立法上明确数据可携带权的法律属性

在数字经济时代数据产品成为流转、共享的关键节点，由于数据产品与企业运营、投入资本以及企业合规等紧密关联，因此，如何明确数据可携带权的法律属性与正当性理据有助于更好的保护数据控制权和财产权成为新时代数据利用和数据治理亟待解决的风险和利益冲突问题。

由于我国立法尚未对数据可携带权的法律属性做出有区分度的精细化规定，但在司法实务中通过“新浪微博诉脉脉案”“淘宝诉美景不正当竞争纠纷案件”等具体司法裁判确立了一些规则与标准。在淘宝诉美景案中淘宝公司在长期提供零售电商服务过程中产生相当一部分“数据产品”，此类数据产品可以提高淘宝公司的服务与运行水平，而且此类数据产品具有增值价值即财产利益。而美景公司在运行旗下网站时，以提供远程服务的方式，帮助他人获取此类“数据产品”，获取数据商业利益，构成了不正当竞争行为。此案作为互联网数据产品第一案，明确了数据产品具有竞争性财产权益。数据具有财产性价值，并且通过自由流动和挖掘共享能够获得数据红利。当前，数据产品的开发与应用已成为数字经济繁荣发展的新型商业模式，是网络运营者市场竞争优势的主要来源与核心竞争力所在。数据作为市场交易对象已经具备了商品的财产价值，理应通过法律保护的形式给予清晰界定，推动大数据产业的发展。因此，我们在法律层面上论证数据可携带权的正当性基础时，要考虑到其具有人格权和财产权多重属性的权利束功能。数据可携带权并非纯粹涉及人格利益，应当将其看作是一种复合式权利进行保护，促进信息化场景多元化运用，尤其需要通过确立企业对数据产品享有独立的财产性权益方式构建互利共赢的数据生态环境。

2.平衡信息可携带权与其他权利的矛盾冲突

GDPR第20条第3款进行了权利限制性规定：“对于数据控制者基于公共利益的考量，或者为了行使其被授权的官方权威而进行的必要性处理，这种权利不适用”。显而易见，如数据涉及公共利益则无法行使数据可携带权。但第2 9工作组发布的指南也对此进行详细解释，因此，如果数据控制者和收集者有正当理由，即为了保护公共利益或行使公共职责，不再根据GDPR关于责任的部分进行附加规定。

数据可携权的行使可能会与隐私权、删除权、商业秘密等权利发生冲突，如果涉及公共利益，数据可携权也无法适用。欧盟GDPR对此有明确规定，印度 2019年《个人数据保护法》第19条也对此做了进一步细化。我国现有“数据可携权”规范最大的问题在于权利限制条款的缺失。我国权利限制条款应当包括以下内容：一是数据可携权不得优先于隐私权、删除权；二是数据可携权不得影响其他权利与自由的实现。个人数据可携带权其实在一定程度上意味着个人数据是具有可分离性，即数据可以在不同的数据平台上存在，尤其是在涉及公共领域时，我们可以理性区分私密数据和公共数据，防止在行使数据可携带权时可能会危及公共利益或第三人的合法权益。在此类数据争议的案件中，司法机关应当着重考量公益和私益的界分与补强，尽量在平衡矛盾冲突的同时，促进数据可携带权的合规使用。本文认为应当将数据可携带权作为一种“柔性权利”加以保护，并分场景进行适用22.Van der Auwermeulen B. How to attribute the right to data portability in Europe: A comparative analysis of legislations. Computer law & security review, 2017, 33(1): 57-72.。数据可携带权会在一定程度上打破我国公共事业单位及政府间“数据垄断”、“数据孤岛”及“数据锁定效应”现象，促进数据的有效交流共享和产业发展，提高我国公共数据开放共享水平。23.赵精武：《数据跨境传输中标准化合同的构建基础与监管转型》，载《法律科学(西北政法大学学报)》2022年第2期，第148页。

（二）构建本土化适用的信息可携带权制度

在数字经济时代，个人用户会在数据平台产生大量数据，对于此类数据，我国法律应如何分级分层保护正引发广泛的质疑与讨论。《民法典》对于个人信息保护进行了阶段性立法回应，用专章的方式对个人信息的类型、收集、更改或者删除作出了初步规定，为系统化研究个人信息保护提供了宝贵的契机。但是，目前我国对于个人信息保护的私法体系仍处于正在被构型和完善的阶段，还未形成权利保护的科学路径与本土化设计。比如个人信息保护的民法难题在于能否将数据可携带权纳入传统的人格权和财产权保护范畴，以及《民法典》将个人信息作为一项独立的人格权益进行保护面临着权利束的多元价值冲突，将个人信息作为独立的人格权益进行保护，会导致其与隐私权界限难以区分。

因此，数据可携带权作为一项新型权利，仍存在立法论证、行业壁垒以及技术支持等现实问题。24.王利明：《和而不同：隐私权与个人信息的规则界分和适用》，载《法学评论》2021年第 2 期，第15页。例如，在确权方面，当个人数据涉及到第三方的利益时，那么对于其权属问题应当如何处理才能不侵害第三方的利益；由于行业利益之争，导致数据平台之间“壁垒”严重，数据转移难度加大，妨碍其自由流通；在个人数据进行转让的同时，所需要的转移技术支撑是应当由原网络服务提供商还是由个人用户的“意向”网络服务提供商负责等问题都是日后数据保护政策完善的重中之重，进而弥补数据可携带权规定的不完善之处。数据可携带权的行使与保护，应当强调公法的监管策略与分配正义功能。在实施好《民法典》相关要求的同时，系统化地运用公法路径对数据可携带权进行科学的风险控制和多元利益平衡，加强对数据可携带权的正当性、必要性和可行性研究，不过分依赖民法的权利保护模式，通过“场景化设定”和分级分层策略来不断探索数据可携带权的积极功能，因应不同行业、不同领域、不同场景制订不同的规则，平衡多方利益之间的冲突和竞合关系，从数据治理的分配正义角度回应数据可携带权的行使条件和监管策略。

综上，数据可携带权作为一项新型权利，自GDPR规定以来就引发了国内外学术界以及实务界的广泛讨论与质疑。本文结合《民法典》《个人信息保护法》等立法背景，对于数据可携带权的权利属性和立法目的进行深刻剖析，可以将其设为一种新型柔性权利，并区分数据类型、应用场景和行业领域，因地制宜地做出规则设计，防止“一刀切”的在整个数据行业实行，以至于导致部分小企业陷入不正当竞争漩涡。25.Lynskey O. The Foundations of EU Data Protection Law. Oxford University Press, 2015.

（三）创新我国信息可携带权的权利生产机制

大数据时代由于数据企业能力优劣势各有区别，常存在部分互联网巨头会利用其优势地位，对数据加以控制，限制其他数据者的利用，由此造成数据“锁定效应”。数据可携带权的出现，会在一定程度上打破“数据垄断”现象，促进数据间的交流共享。但是，数据可携带权也会给数据从小企业流向大企业提供便利，那么大企业又会利用自己的优势竞争条件吸收数据。因此，数据可携带权的新设有助于打破数字壁垒和行业垄断，但也可能面临着规范平台竞争的现实风险场景设定。数据可携带权在赋予数据主体获取数据并传输数据的信息自决权同时，如何避免数据泄露、隐私安全和权利保障等问题，明确数据可携带权的价值取向和权利生产机制也是当前我国数据可携带权正向赋权保护模式研究的重心。

首先，明晰我国数据可携带权的权利构造。数据可携带权确立的根本目标在于增进数据主体对于个人数据的控制能力，提升数据主体对于个人数据的自决和支配力度。26.Van der Sloot B. Do Data Protection Rules Protect the Individual and Should They? An Assessment of the Proposed General Data Protection Regulation. International Data Privacy Law, 2014, 4(4): 307.其次，明确数据可携带权的适用范围。通过研究欧美国家数据可携带权的相关制度规定，我们可以总结出：数据可携带权目前面临的极大挑战是对“个人数据”定义和适用范围的界定较弱。根据GDPR的规定：只有由个人“输入”（Enter）和使用产品或服务“产生”（Generate）的数据才属于个人数据范围，而以此衍生或者推导得出的数据并不属于数据可携带权的适用范围。因此，在数据可携带权的本土化研究中，我们也应当以一种较为温和和缓的方式去界定该权利，尽量提高数据可携带权的可操作性、针对性和专门性，确保数据可携带权作为一项新型权利的实现方式和救济机制。最后，增加数据可携带权的限制条款。对于涉及公共利益以及第三人合法权益的数据，我们应当以更为明确，更具可操作性和指向性的规定进行梳理，将数据进行一定程度的剥离分割，在确保不损害国家安全、公共安全和第三人合法权益的基础上，允许数据主体行使数据可携带权并将其转移并传送。同时，在具体操作层面，仍需专门立法进行细化规定，减少数据泄露、数据垄断等风险。数据控制者应当在数据主体请求保护权利时起到守门人的作用，在确保数据主体隐私安全的同时需要对涉及敏感信息的具有高风险的数据进行“多重要素验证”，之后数据主体才能获得授权。数据控制者有责任保证在处理数据主体携带的数据时，符合数据处理目的，不超出相关性要求，在数量上也不得超过新数据处理目的所要求的数量。在个人数据被传输转移之前，原数据控制者也应当承担一定的义务防止数据被泄露，通过对提出请求的数据主体进行身份核准和精准识别，并通过特定的安全机制对数据进行加密处理，确保数据的准确安全传输。接收数据的新控制者必须在数据主体请求转移传输数据之前，清楚直接地说明新的处理目的。27.邢会强：《论数据可携权在我国的引入——以开放银行为视角》，载《政法论丛》2020年第2期，第14页。若需要对数据进行其他处理，数据的接收者应当遵循着公开透明、数据最小化、合规性、精准化、存储限制等现实目标。28.BARBARA ENGELS.Data portability among online platforms.Internet Policy Review,2016，5(2):1-17.

五、结语

欧盟确立的“数据可携带权”法律制度在增强数据主体对于数据控制力度的同时能够打破“数据锁定效应”和“数据垄断”现象，推动数字经济繁荣发展。我国《个人信息保护法》首次在法律上提出了个人信息的可携带权，赋予公民自主支配个人信息的权利。个人信息可携带权作为数字经济时代的新型权利，关系到个人信息主体权益保护和数字经济业态健康发展。基于数据可携权的多重价值，从制度定位上我国应充分借鉴域外相关立法经验与司法实践，从个人信息保护、数据竞争、消费者利益保护等维度体系化构建相关规定，创新权利实现的外部机制。29.曾彩霞、朱雪忠：《欧盟数据携带权在规制数据垄断中的作用、局限及其启示——以数据准入为研究进路》，载《德国研究》2020 年第1期，第134 页。我们需要明确数据可携带权的权利构造与规范基础，平衡数据可携带权的引入所承载的信息价值与人格价值的利益冲突，革新数据可携带权之监管理念来完善我国数据可携带权的法益保护模式，通过构建兼顾创新与人权的激励相容的数字经济法治保障体系，创新数据可携带权的信任机制与救济机制。可见，数据可携带权的法律构造和本土化设计都需要立法层面进行有效回应和场景细化，构建多方主体的操作标准和制度框架，完善企业数据合规要求，达到信息价值与人格价值的多元利益平衡，构建可量化可操作性的权利运行机制。