《个人信息保护法》背景下数据可携带权探析

潘香军

（清华大学法学院，北京 100084）

一、问题的提出

随着互联网、大数据的发展，数据垄断、平台经济等现象已经屡见不鲜，数据收集者和控制者往往利用技术、资源等各方面优势，设置市场门槛、造成市场的不公平竞争。在此种背景下，《个人信息保护法》（以下简称《个保法》）的出台无疑给市场打了一针强心剂。《个保法》通过引入欧盟《一般数据保护条例》（以下简称GDRP）中确立的数据可携带权，平衡大中小企业之间的利益博弈关系，促进数据的流动性，赋予个人以更强的信息自决权。然而，由于权利范式不成熟，立法技术和现实需求的脱节，立法决策初衷与实际效果的不一致，导致数据可携带权存在巨大的争议，因此亟需剖析数据可携带权的性质，厘清权利的适用范围和权属边界，切实解决其本土化问题。本文将对数据可携带权进行讨论，探讨其权利的本质、本土化的正当性与合理性以及在实践中所面临的困境，以期破解适用难题，促进数据市场的良性发展。

二、数据可携带权的本体论

（一）权利属性

关于数据可携带权的权利属性，学界还存在争议。有学者提出，数据可携带权并非一种权利，数据权利中的积极性权利应当有助于提升消费者福利，而此种权利一定程度上削减了信息安全［1］。因而，将数据可携带权囊括在数据的基本权利中并不合理。我国部分学者认为，数据可携带权对数据控制者赋予了过重的责任义务，无论是获取与移植的便利性，还是技术上的支持，都超出了现实可能性，因而不能成为一种基本权利［2］。

本文认为，数据可携带权属于个人信息自决权的一种类型，是一种新型的积极性数据权利，兼具了人格权和财产权双重属性。个人信息自决权是指个人依照法律控制个人信息并决定是否被收集和利用的权利［3］。个人信息自决既包含消极防御功能，又应当囊括访问权、删除权、数据可携带权等对信息积极的支配和控制力。法律对自然人所赋予个人数据权利，是保护自然人对其个人数据被他人收集、存储、转让和使用过程中自主决定的利益［4］。

此外，在数据与信息二分的背景下，数据是信息表达的一种方式［5］。大数据时代，数据既是信息的载体和媒介，又往往包含着信息控制者对信息所实施的处理加工，而在新出台的《个保法》中，对数据可携带权的表述内容限定为个人信息，因而在我国语境下可携带的客体实质上应解释为信息而非数据，是个人信息权益的扩张，也是信息自决权的体现。但同时，数据可携带权在我国落地的过程中还面临着许多难题，需要进一步的研究和解释，虽然上升为数据基本权利的现实条件尚不明朗，但通过个人信息自决权的框架予以保护具有合理性。

（二）权利架构

作为一种新型的自决权，数据可携带权具有完整的权利架构模式。比较法上，欧盟、澳大利亚、印度、巴西等地区都先后通过立法予以明确可携带权的具体规则。

权利主体方面，GDPR序言中明确，条例的保护适用主体为自然人。《印度个人数据保护法》（以下简称《印度法》）以及《巴西通用数据保护法》（以下简称《巴西法》）也将主体限定为个人，而澳大利亚《竞争和消费者数据权利规则》（以下简称《澳大利亚法》）中除了涉及消费者个人以外，还将受认可的第三方纳入主体范围，可以由其代表消费者行使该项权利。我国所确立的数据可携带权，其权利主体应当仅限于自然人个人。从体系安排上看，《民法典》将个人信息保护置于单独成编的人格权编，着眼于同《民法典》紧密衔接的《个保法》，在第一章总则编中也保护对象为自然人的个人信息，二者均突出强调了个人的重要性。从制度逻辑上看，与法人、非法人等民法中其他的主体相比，自然人一般处于弱势地位，企业、政府可以利用技术优势、人力资源等实现对数据的掌控，而自然人对其自身信息的知情权也因信息不对称而无法较好的实现。同时，我国数据可携带权的立法还需要进一步完善和细化，在此之前类似于澳大利亚法律中规定的第三方主体不宜盲目引入，因而仅给予自然人以信息可携带权是权利本土化的一种良好的缓和路径。

与权利主体相对应的义务主体为个人信息处理者，《个保法》明确了个人信息处理的方式，类似的规定在最新出台的《美国统一个人数据保护法》（以下简称《美国法》）中也可寻到。总体而言，处理包括了个人信息从收集、利用、共享、删除等各个方面，因此，负有数据可携带权的义务主体也应当延伸所有与数据处理有关的系统控制者。

权利客体方面，如前所述，我国语境下数据可携带权的客体应理解为自然人的个人信息，但应当划定信息可携带的范围。GDPR中规定为权利主体提供给数据控制者的数据，涵盖其主动提供的个人数据以及数据控制者观测的数据，但不应包括推测数据与衍生数据。《印度法》中规定了个人数据的权利范围，主要限定为接收采取结构化、通用化和机器可读格式的、与数据主体相关的个人数据，包括数据主体提供给数据控制者的、在使用数据控制者提供的服务或物品过程中产生的以及有关权利主体画像方面的数据。《巴西法》则将客体限制为控制者正在处理的数据。我国的数据可携带权客体范围也存在争议，《信息安全技术个人信息安全规范》中规定，对于个人基本资料、个人身份信息、个人健康生理信息、个人教育工作信息等类型的，信息主体有权要求信息控制者传输副本。有学者认为，限缩个人信息的范围则会降低实践的效果，不利于打破数据垄断和数据孤岛。也有学者持反对意见［6］。本文认为，一方面，企业的观测数据、主体画像等信息需要大量的成本投入，也是企业以此进行精准营销获得盈利的重要手段之一；另一方面，这些信息在传输过程中无法得到保障，首先是存在一定的安全风险，其次个人无法知晓数据控制者对其个人信息处理到了何种程度，缺乏评判的标准。因此现阶段权利客体应当限定为个人提供给数据处理者的信息，不包括后续的处理。

权利内容方面，各国在规定中都体现了副本获取权和数据转移权，其中《澳大利亚法》扩张了权利范围，规定个人可以要求另一个数据控制者直接向持有其数据的原单位提出共享的请求。但是在行使权利的过程中，也需要受到一定的限制。例如《巴西法》中明确了两个限制，一是不得侵犯商业秘密，二是要符合监管机构的规定。我国有学者提出分阶段设立数据可携带权，第一阶段为副本获取权，实际成熟再引入数据转移权［7］。我国暂时不宜过度扩张权利的内容，但这两种权利的内容是紧密相连的，难以完全阶段性割裂。行使权利时需要遵循主体适格的严格限制，防止引发安全风险问题。同时，不得侵犯他人的信息权益、隐私权等。

三、数据可携带权本土化的合理性证成

在我国《个保法》出台之前，学界对于是否引入数据可携带权一直存在分歧。持反对意见的原因总结起来主要有三：其一，数据可携权的权利类型和权利属性不明［8］；这可以通过对权利本体的解释得以完善；其二，由于锁定效应、用户粘性、商业秘密的存在，导致数据垄断的加剧和不正当竞争，与竞争法的原理背道而驰［9］；其三，我国信息立法不完备，企业成本负担过重，公民信息意识不强［10］。而赞成观点大多集中论证了设立权利的现实意义。总体而言，反对者和支持者的争议焦点集中在两个方面，一是质疑数据可携带权在理论层面的正当性，二是对我国是否有数据可携带权的移植土壤存在怀疑。本文将从这两个维度讨论我国确立可携带权的正当性。

（一）理论基础

数据可携带权的产生首先可以从权利哲学中寻找答案。关于权利的讨论可以追溯至西方古典哲学之中，霍布斯、康德、黑格尔等都将权利的本质理解为自由，其中，康德的权利定义偏重于意志，同时强调人与人之间的协调关系［11］。在权利的发展中，权利地位的衍变经历了由权利本位到权利义务对等的转变。而人永远处于复杂的社会关系之中，如今的权利建构更应当着眼于个人与社会的双向价值本位，个人在行使权利的同时能够最终和社会形成和谐的互动关系。数据权利的主体可以是个人，但同时它也具有社会性、公共性的性质特点。数据可携带权既是个人信息权利的积极扩张，又是促进数据流通的必要手段，通过权利的确认从而实现个人利益与社会利益双重价值。

其次，对于数据垄断和不正当竞争，也可以从理论视角进行回应。传统竞争法规则在应对数据市场竞争存在失灵的情况，数据可携权降低了数据垄断的可能性［12］。竞争法领域滥用市场支配地位的判定因素无法适应大数据时代的新形势，数据可携带权有利于打破大企业对数据的控制地位，促进市场流通、资源配置和利益分配。关于商业秘密和知识产权的担忧，可以通过限定数据客体的方式解决。一般情况下，只有加工处理后的数据背后才蕴含着技术支持，单纯由个体提供给数据处理者的个人信息并不涉及到商业秘密。关于锁定效应的疑虑，则可以通过场景理论来突破。例如，有学者认为可以将可携带权的主要应用场景限制在大企业向小企业开放的场景中［13］，或者对不同场景设置不同的条件来保障市场的有效循环。

最后，从法经济学的角度考量，数据可携带权实现了效益的最大化。科斯认为，当法律尚未界定某一具体情形，则会导致产权不明确和交易失败的后果，最终减损了个人利益和社会利益［14］。市场经济下，如果禁止了数据的可携带，于个人而言，更换网络服务商的成本较高，挫伤了交易的积极性；于企业而言，个人用户不愿进行交易，大企业永远处于资源优势的顶端，牢牢把握着数据中的价值，市场要素流动性不高，无法提高社会的效益。因此，数据可携带权促进了数据自由流通和交易，有利于经济社会的进步发展［15］。

（二）实践条件

我国互联网的发展日新月异，实践中已经逐渐出现了互联网企业之间关于数据可携带权的纠纷诉讼，引入数据可携带权具有实践上的紧迫性，而权利本土化的现实条件也日趋成熟。

第一，在立法体系上，以前公民信息意识薄弱，维权力度不够，个人信息时常与名誉权、隐私权等混为一谈。而《民法典》颁布后，专设个人信息保护一节，将信息保护提升到前所未有的地位。目前我国已经形成了公私结合的完整保护模式，包括《民法典》《个保法》《网络安全法》《电子商务法》《刑法》等在内的法律以及由国务院、工信部、网信办等出台的各类互联网信息的管理办法、用户个人信息安全的规定和指南都加大了数据保护的力度，体现了我国立法技术日臻完善，对互联网发展的引导作用不断加强。在此种背景下，引入数据可携带权，利用不同法律法规之间的衔接契合，给予了权利解释和适用的空间。

第二，在技术成本上，相比于大企业而言，之前中小企业在建立数据接口、承接大企业的数据转移方面的经验还不够充分，但随着技术的发展，中小企业、初创产业也注入了源源不断的新鲜血液，技术人才、硬件设施都不断改善，营商环境宽松自由。比较法在规定中都涉及了数据的格式要求，我国可以考虑在政策制度方面进行格式的标准化，减轻中小企业的数据接收成本。而中小企业通过前期的机会成本付出也可以得到数据资产，后续的数据处理过程中，企业在保证为权利个体提供服务的同时，能够利用数据创造出更多的企业效益，使技术成本转化成了资源优势。

第三，在数据安全上，主要存在两个方面的担忧。一是数据在传输过程中的风险；二是不法分子侵入系统、盗用身份等方式获取所权利主体所携带的信息。目前各省市已经陆续出台了数据安全管理办法、保障条例等相关规定，企业和政府在数据监管方面双管齐下，对外由有关部门依法依规对企业数据安全进行巡视、监督、处罚，对内企业设置数据安全的管理人员，建立起分级保护的模式，加强对数据的定期排查与评估，建立详尽的应急预案，确保数据不被泄露和篡改。此外，在数据可携带权的行使上，利用规则、技术等方式，严格审查权利主体的真实性，进一步细化传输和储存中的加密、认证等措施，严防不法分子冒用、盗用权利主体的个人信息。

四、数据可携带权的困境及破解

（一）适用困境

基于前述分析，我国已经具备了设立数据可携带权的理论和现实条件。然而引入数据可携带权后，在适用中还面临着许多困境。

1.单个数据与大数据的冲突。大数据时代下，信息之所以能够具有经济利益和财产属性，源于数据的集合体，单个独立的信息并无太多的价值。基于这个前提，大部分企业在获取原始数据后，形成了庞大的数据信息库，成千上万条信息被混合杂糅共同处理分析，因而在数据转移的过程中可能会产生道德困境。如在微博诉脉脉不正当竞争案中，法院认为非法抓取信息属于不正当竞争的行为。在该案中，既涉及到了注册账号、昵称、个人介绍等用户的身份信息，又触及到了浏览、发布等网络行为信息，在进行数据爬虫时可能很难将二者进行区分，导致数据转移的客体和可携带权的权利边界被无限扩大。

2.可携带权与其他数据权利的协调。我国《个保法》中除引入了可携带权以外，还规定了知情权、查询权、复制权、更正权、删除权等权利，GDPR中还规定了被遗忘权。上述各项权利都需要与可携带权之间妥善协调配合。查询权是可携带权行使的前提，缺乏此前提则无法进一步主张后续的数据权利［16］；而可携带权的行使也不能阻碍删除权的适用，满足删除权适用条件时依然可以请求控制者删除［17］。复制权与数据携带权亦存在相似之处，二者区别在于前者是权利主体复制或抄录个人信息，后者是权利人请求从数据处理者系统中获取或者转移数据，可以理解为权利人授权第三方复制其个人信息。

在这些纷繁复杂的权利中，不可避免地存在权利边界不清晰、权利互相冲突以及衔接不顺畅的现象。首先，在可携带权与知情同意之间，如果数据主体行使了可携带权将其个人信息转移至第三方平台，随后又撤销了同意的意思表示，则原数据处理者和第三方平台应采取何种措施保障主体的权利？其次，在可携带权与删除权之间，若权利主体对其个人信息行使了可携带权后，原数据处理者是否要及时对原系统中存储的不必要信息进行删除？最后，在可携带权与复制权之间，二者概念一定程度上有所交叉，因而在权利行使要件和法律解释上还需要进一步明晰。

3.权利主体与第三人权利的博弈。数据可携带权除了需要聚焦于权利主体自身的利益保护，还往往关涉到第三人的合法利益。当权利主体在传输数据过程中涉及到了有关第三方的数据，则可能导致对其隐私权和支配权的侵犯［18］。申言之，基于很多网络平台的社会交往属性，个人信息与第三人信息密不可分，例如社交账号中的好友基本信息、网络动态等相关数据。如果在进行数据传输时，未征得第三人的同意，有侵犯他人隐私权、知情权之嫌疑；如果统一贯彻知情同意的原则，则会带来巨大的社会成本，实质上阻碍了信息的流动，使可携带权的制度设计落空。如在腾讯公司诉群控软件反不正当竞争案中，法院认为，微信数据并非相关经营性用户单方信息，还涉及微信平台中作为经营性用户微信好友的其他微信用户个人账号数据以及通过相互交集而共同提供的用户数据，被告擅自将该部分并不知情的微信用户的数据加以存储或使用，不符合用户数据可携带的基本要求，构成了对微信用户信息权益的侵害［19］。因而如何平衡好权利人与第三人的利益关系，防止数据接收平台对第三人数据的商业化利用，是我们仍然要回应的难题。

4.个人权利与社会效应的交互。数据的社会效应既体现在数据本身所具备的公共属性，也表现为公共部门对各类数据信息的收集和处理。GDPR中对于公共数据的规定十分保守，认为若是公共利益或履行职责，则数据可携带权不再适用。本文认为，此种规定与我国的现实国情不相匹配，应当鼓励政府部门对公共数据的可携带。以疫情期间的大数据统计为例，在深入推进疫苗工作的阶段，各地都对健康码进行了改进，如天津市对接种疫苗的居民推行津盾码，而若是在天津以外的地区接种，则接种信息并不能传输至天津卫生服务系统中，这为居民生活带来诸多不便之处。但由于公共服务在一些领域具有强制性的特征，信息主体在行使可携带权的条件和方式上有待细化研究。

此外，数据可携带权在社会效果上存在不确定性［20］。具体而言，法律法规的规定上，无论是《民法典》中的复制权还是《个保法》中的可携带权，其表达都比较笼统模糊。这一方面是民法典作为处理民事法律关系的准则性规定所导致的，另一方面也为应对无法预见的形势和问题留下解释的空间，这就致使在实际实施过程中，产生的社会效果很可能会与权利设定的初衷背道而驰。例如，权利主体出于对小企业的不信任，将数据转移至中小企业的意愿并不强烈，使数据仅仅停留在几家行业巨头企业中流通转移，这种投票行为反而无助于打造自由的市场生态。此外，还可能会在网络平台中诞生数据移转的黑灰产业链。

（二）破解路径

1.厘清权利界限。在权利确定之初，就应当划定权利的内部范围和外部范围，尽可能地避免数据主体自身各种权利之间的混淆，也防止权利人和第三人之间的利益冲突。因此，首先要在立法层面上不断充实完善，总结研究比较法上实施过程中出现的权利纠纷案例，并根据我国实际情况，出台司法解释、相关规则，一方面必须明确数据可携带权的权利属性和定位，逐步细化权利适用的规定，对权利架构形成较为统一的认知，使可携带权与其他的个人数据权利在解释论上达到泾渭分明的效果；另一方面，也可以考虑分阶段、分步骤、分领域、分行业、分层次推进可携带权的适用。

其次，在司法裁量层面，可以通过动态系统论的思想消解实践中的疑虑。在进行权利客体的判定时，可以考量以下几个方面的因素：（1）数据来源与用户个人的关联度；（2）该数据对构成数据壁垒、提高市场准入门槛的影响程度；（3）权利行使的成本效益与比例原则内涵的契合程度；（4）数据对于企业商业秘密和其他合法权益的影响［21］。在上述的影响因素均符合一般理性人视角所认可的程度时，则应当认定该数据符合权利行使的要求。如果携带的数据涉及到第三人，在判定可携带权与隐私权的界限时，也可以利用以下的动态因素灵活衡量：（1）数据与第三人的关联性强弱；（2）数据转移的必要性；（3）行使权利对第三人的影响程度。

2.完善配套措施。除了对权利本身的完善以外，还需要各种外部的配套措施，以支撑起整个权利体系的全流程运作。第一，提出数据携带的请求阶段，应通过人脸识别或者其他严格的身份认证手段，对数据权利主体登记确认，在行使权利前后也要随机进行主体面部校验等风险防范措施；如果数据为敏感信息或者检测出环境为高风险，可以实行“多重要素验证”［22］；此外，可以借鉴新加坡《个人数据保护法》中的规定，若数据可能危害第三人的安全、身体、精神健康或损害了国家利益，则有权拒绝权利人的请求［23］。

第二，数据转移阶段，采用数据可携的互用性框架，建立起一套通用的技术标准、格式标准和传输标准［24］，包括协调原数据处理者和新数据接收方之间的技术差异，对数据传输过程中的标准范式、加密措施、传输前后的格式转换效果等作出规定。

第三，数据接收和存储阶段，可以考虑利用区块链技术去中心化的特点，加强接收方的数据安全保护；建立动态的知情同意模式，及时告知权利主体数据接收后的情况，并对主体进行跟踪调查，完善其撤销请求或授权时的相关规则；同时，对原数据处理系统启用一键删除等技术，权利主体可以自由选择是否行使删除权，以保障数据主体的信息自决。

3.构建权利机制。一是建立完善的权利救济机制。我国对数据保护的条例、规章参差不齐，公法、私法的保护模式交织，必须整合现有资源，形成刑法、民法、行政法、竞争法、网络法、数据信息法等不同领域法律的全方位保护和多途径救济。若出现了侵犯权利人的个人数据权益或者侵犯了第三人利益的情形，在司法裁量时应充分考虑自然人的弱势地位，强化数据处理者的举证责任，并制定出责任承担所对应的赔偿数额。

二是加快监管机制的建构。首先，设立单独的数据保护部门，在全国范围内指导、监督数据安全工作的开展，处理权利主体对数据处理者的申诉，并对数据收集、处理、传输过程中的违法违规行为加以惩治［25］。其次，加强对企业数据合规的审查，除了对可携带权行使主体、客体、条件等严格审查，还要对数据处理者与权利人之间的格式条款效力、知情同意方式、自动化决策的风险、数据安全评估等方面予以重视。

三是形成协同机制。政府层面，不仅要对各项政策的出台把关指导，对数据安全和网络环境开展定期检查，还应当不断创新大数据管理机制，加强与数据处理者之间的合作，通过新技术的引入，探索出利用公共数据的可携带权，提高公共服务质量的有效之道。行业层面，完善行业的内部自治，严厉打击大数据背后资本的非法运作和垄断势力，引导企业之间正当竞争，营造有序的市场环境，与政府监管之间形成互补效应。公众层面，鼓励数据主体积极参与数据权利的完善，增强个人信息的保护意识，在行使数据可携带权的过程中及时反馈合理诉求，最终形成协同配合的多元数字治理体系。

五、结语

大数据时代，数据既需要灵活的保护，亦需要在市场中流通，法律的功能在于试图平衡好个人信息权益与社会效益之间的利益分配。数据可携带权的确立是我国在立法上迈出的里程碑式的一步，虽然其权利属性和架构在学理上尚存在争议，各种权益之间边界不明晰，社会效果还具有不确定性，但在信息化如火如荼发展的当今，我们更需要直面困境，不断破解可携带权在内的各项数据权利所面临的发展难题，寻求一条利益平衡的路径，推动数据行业行稳致远。●