数据可携带权的法理逻辑和制度构建*

崔聪聪，刘传新

(北京邮电大学 人文学院，北京 100876)

一、问题的提出

数据可携带权是欧盟在《通用数据保护条例》(General Data Protection Regulation，GDPR)中提出的一项新型数据权利。从诞生开始，该项权利的属性和实施等问题就存在很大争议。然而，为了和欧盟的数据保护水平相匹配，世界上很多国家和地区的个人信息保护法都规定了数据可携带权。《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第45条第3款也明确规定个人享有数据可携带权(1)《个人信息保护法》第45条第3款规定：“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。”，但未规定其具体适用条件和范围，而是授权国家网信部门来规定。国家网信办会同相关部门研究起草的《网络数据安全管理条例(征求意见稿)》第24条规定了数据可携带权的适用条件、适用范围(2)《网络数据安全管理条例(征求意见稿)》第24条规定：“符合下列条件的个人信息转移请求，数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务：(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息；(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息；(三)能够验证请求人的合法身份。数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的，应当对个人信息转移请求做合理的风险提示。请求转移个人信息次数明显超出合理范围的，数据处理者可以收取合理费用。”。相比于欧洲数据保护委员会的前身——欧盟第29条工作组(Article 29 Working Party，WP29)颁布的《数据可携带权指南》(Guidelines On The Right To Data Portability)，《网络数据安全管理条例(征求意见稿)》的数据可携带权条文仍属粗线条规定，无法为实践提供明确指引。

目前，理论界对数据可携带权的研究主要聚焦于权利属性、功能定位。就权利属性而言，代表性观点有：基本权利否定说[1]、个人信息权的分支[2]、包含人身权和财产权的新型个人权利[3]、消费者参与数据红利分享的机制[4]113-114等；就数据可携带权的功能定位而言，主流观点将其定位为保护个人数据权利和反垄断的工具[5-6]。对数据可携带权的制度设计和具体适用问题，学者鲜有论及，且存在争议。有学者认为，应宽泛地界定数据可携带权的客体，对于技术可行性不作严格解释，增加权利限制条款[4]123；有学者认为数据可携带权的客体在特定行业可以延伸到衍生数据，技术标准的设定应由监管部门、行业利益相关者博弈，合理分配安全风险和成本[7]16-19。

现有研究成果大多在欧盟条文及WP29制定的《数据可携带权指南》框架下展开，将数据可携带权的制度功能定位为保护用户个人信息权益和反垄断。一味地强调个人信息权益保护与反垄断，其隐含的出发点是将个人信息处理者与个人信息主体对立，结果自然是无法解决权利行使过程中的数据安全和权利冲突问题。有学者虽然从消费者福利、分配正义的角度理解数据可携带权，但是没有真正说明在数据生产过程中个人与企业分别扮演的角色、二者之间的关系以及个人数据所带来利益的分配，因此无法提出科学的制度架构。数据可携带权要想在实践中顺利落地实施，需要消除个人信息处理者和个人信息主体之间的对立并形成共识。数据生产理论可以弥合二者的利益冲突。因此，笔者尝试从数据生产的视角理解和构建数据可携带权。

二、GDPR数据可携带权再考察

(一)制度背景

以数据为基础生产要素的数字经济逐渐成为各个国家和地区新的经济增长点。欧盟虽然拥有巨大市场，但是不争的事实是，它的数字经济和数据产业发展规模远远落后于美国。20世纪末21世纪初，美国的苹果、微软、亚马逊、谷歌、Facebook等企业逐渐成长为互联网行业的巨头，而欧洲几乎没有出现一个可以与美国抗衡的互联网企业。面对这一巨大压力，欧盟发挥自己在制定规则方面的优势，加速了在数据领域的立法过程，从《关于个人数据自动化处理之个人保护公约》到《数据保护指令》，再到现在的GDPR[8]，欧盟数据立法越来越细致，对于个人数据权利的规范越来越严密，数据可携带权就是新规定的一项权利。

互联网企业的迅速发展不仅在国家层面是一种威胁，而且在个人层面，造成个人处于弱势地位。大型互联网企业的垄断行为会损害消费者的合法权益，其不受限制地收集个人信息的行为也会损害个人的数据权利。因此，出于对个人的基本人权、人格权、数据权利的保护，欧盟不断地完善数据领域的立法工作。从企业层面来说，超大型互联网企业占据着先发优势，利用互联网服务极大的客户黏性实施垄断行为，发挥互联网的“锁定效应”，阻碍后发的互联网企业的发展。虽然欧盟本身是一个巨大的市场，但是其互联网市场份额基本被美国的互联网企业所瓜分，这也是其难以发展自己的互联网企业的重要原因之一。

在GDPR正式确立数据可携带权之前，已经有不少类似实践。美国于1996年规定电话运营商应该配合消费者在切换到新供应商时携带电话号码的要求。2002年欧盟《通用服务指令》(Universal Service Directive)也规定了“用户号码的可携性”(number portability)，“携号转网”被认为是数据可携带权的雏形。2010年，时任美国总统奥巴马提出“My Data”计划，推动公共机构与企业之间的数据流动[9]。2018年，谷歌、微软、苹果等互联网公司共同推出了数据传输项目(data transfer project)，旨在促进平台之间的数据携带。理论层面，2012年欧盟《统一数据保护条例(建议案)》中首次规定了数据可携带权，并最终在2018年生效的GDPR中被确定为一项独立权利。

(二)制度功能

“权利之功能”是权利受其自身本质特性决定而必然对权利名义下的行为所具有的影响和功用[10]。每一项权利和制度的设立都有着其自身想要实现的目的和功能，而制度的功能往往是被其产生的制度背景所深刻影响甚至决定的。基于上述制度背景，数据可携带权的制度功能主要有以下几点：

1.增强个人数据权利

依照体系解释，数据可携带权的首要功能应该是保护和增强个人的数据权利。数字经济的“野蛮”发展对个人的数据安全和数据权利都是一种极大威胁，因此欧盟出台GDPR加以应对。《欧盟委员会关于GDPR实施两周年评估报告》中指出，GDPR是欧盟框架的核心，保障了《欧盟基本权利宪章》第8条和《欧盟运作条约》第16条规定的数据保护基本权利[11]。GDPR第1条也指出，本条例保护的是自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利(3)GDPR Chapter1 Articlel：“This regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data.”。可见，GDPR中所有条款的价值目标都是为了保护自然人的基本权利与自由。数据可携带权具体规定于GDPR第20条，是第三章“数据主体的权利”之下的条款，从这些确权的规范文本可以看出，数据可携带权应该首先被看作数据主体的权利之一。

2.促进公平竞争

《数据可携带权指南》明确指出，数据可携带权将促进数据控制者之间的竞争[12]。该权利旨在打破用户因为个人数据无法携带导致更换互联网服务时产生巨大的转换成本所带来的“锁定效应”。数据可携带权允许用户将数据带到新的服务提供商，使得一家公司对个人数据的访问不排除另一家公司的访问，体现出数据的非竞争性。数据可携带权可以降低转换成本，方便新的市场参与者进入，并加剧已经进入市场的公司之间的竞争。因为如果用户能够将数据转移到多个服务提供商，那么他们与给定平台的联系就会更少。

互联网企业具有迅速扩张的特性，在一个市场占据主导地位的企业可以利用其收集和掌握的个人数据在其他市场获得竞争优势，从而形成一个“生态系统”，在很多相关的市场都迅速占据主导地位。谷歌、亚马逊、Facebook等互联网公司利用其数据优势，在汽车、医疗、人工智能等领域的迅速发展就是最好的证明。数据可携带权可以避免这种情况的发生，使得相关市场的竞争仍然存在。因此，相比那些已经出现了占主导地位的经营者的市场来说，数据可携带权对于促进新兴市场或发展中市场的竞争可能更为有效。

3.刺激数字经济发展

WP29在《数据可携带权指南》中表明，数据可携带权的主要目的是加强个人对其个人数据的控制，并确保他们在数据生态系统中发挥积极作用，并且将会培养数据主体控制之下的、数据控制者之间个人数据的创新和分享的机会[12]。由此可见，数据可携带权的另一制度功能就是通过赋予个人数据可携带权，创造一个可以信任的网络环境，促进个人数据流动，从而刺激数字经济的发展。实际上，欧盟确立数据可携带权的目的不仅在于强调个人对于个人数据“静态”的控制，更在于强调个人对于“再利用”其个人数据的话语权。其更高的目标在于促进个人数据在个人控制下的有序流动，从而促进数字经济的发展。欧盟在2021年关于《一般数据保护条例》的最初议案中就指出，数据可携带权是网络环境下重建交易信任的重要工具，而重建信任的重要策略是加强个人对数据的控制[13]。这是欧盟面对数字经济发展的压力给出的回应。

(三)制度内容

欧盟GDPR第20条对数据可携带权作出规定，权利内容主要是允许数据主体有权以结构化、通用化和机器可读的格式接收其提供给数据控制者的有关个人的数据，并有权将这些数据传输给另一个数据控制者。此项权利与数据访问权密切相关，具体而言，主要有以下适用条件：

1.数据处理建立在数据主体同意或履行合同的基础上

GDPR第6条对数据处理的合法性基础作出多项规定，数据可携带权只适用于基于数据主体同意或履行合同的数据处理行为。其功能之一是保护个人的数据权利，在权利层级上，应该让位于公共利益、国家安全等更高层级的法益。因此，为了履行法定义务、公共利益等对个人数据进行处理的行为并不适用于数据可携带权。

2.可携带的个人数据限定为自然人所提供

对于何为“提供”，WP29在《数据可携带权指南》中作出解释，为“数据主体主动以及在知情的情况下提供的数据”和“数据主体使用服务或设备时向其提供的观测数据”。企业对收集到的个人数据进行处理、加工后的衍生数据，例如“用户画像”，不在可携带的范围内。这体现了欧盟在保护个人数据权利和企业竞争优势之间寻求的一种平衡。

3.数据格式“结构化”“通用”“机器可读”

这三点更侧重于技术上的要求，同时体现出欧盟的矛盾心态。从保障个人数据权利的角度出发，对于数据控制者之间的“互通性”“技术可行性”的要求越高，数据的携带越容易；然而对企业施加过多的标准要求会增加企业、尤其是中小企业的合规负担，不利于数字经济的发展。因此，GDPR序言中明确指出，不应让数据控制者负有采用或维护技术兼容处理系统的义务[14]。WP29《数据可携带权指南》对于技术上的规定只是没有强制效力的倡议和鼓励，对于提供的个人数据的格式，也只是鼓励使用XML、JSON、CSV等。

4.不得影响第三方的权利和自由

数据可携带权保障个人的数据权利，但是不能影响到他人的权利和自由。例如，当携带的数据有明显的涉他性时，涉及他人的隐私权、知识产权、商业秘密等，就不能仅凭数据主体的携带要求而对数据进行携带。与此同时，WP29《数据可携带权指南》也强调，数据控制者不得以涉及知识产权、商业秘密为由拒绝向数据主体提供所有信息。这体现出欧盟为了平衡多方利益而过于理想化的制度设计[15]。现实中的权利冲突非常复杂，个人数据难以剥离，欧盟想要达到的数据可携带权和第三方权利互不影响、互不阻碍的状态几乎不可能实现。

一项制度的背景是其产生的原因，也因此影响甚至决定了此制度的功能和价值目标；制度内容是路径，制度功能是目标，制度内容是为了实现制度功能而设立的，因此制度功能决定了如何具体规范该项制度的实施细节。GDPR规定的数据可携带权想要实现的制度功能过多，既包括个人层面，也包括产业层面和国家层面。因此，在设计具体制度时，GDPR想要尽力实现个人、企业、产业等多方多种利益的平衡，但是结果却不尽如人意，很多时候甚至与想要达到的制度功能相悖，导致每一种利益都没有得到很好保护。这是因为GDPR预设了多方利益主体之间的对立立场，并没有找到个人利益、企业利益和产业利益等多种利益之间的共同点。如果从保护个人数据权利和反垄断的角度理解，而不是站在更高的视角去审视数据可携带权，把企业看作损害个人数据权利、扰乱市场竞争秩序的“始作俑者”，认为企业利益和个人数据权利、产业利益相互冲突和对立，那么保护用户个人的数据权利和产业利益就势必要增加企业的成本和负担，减少或削弱企业、尤其是有优势地位的企业的竞争优势，个人数据权利、产业利益和企业利益之间变成零和博弈，无法达到动态平衡。数据可携带权对于个人来说，是警惕和对抗企业、保护个人权利的工具；而对于企业来说，则只是一项合规负担，企业对于数据可携带权的态度和学生对待老师布置的作业的态度一样，只想“应付了事”。如果以这种方式来理解数据可携带权，那么这项权利的实施效率将会变得低下，其作用得不到充分发挥。法律制度若要顺利实现其规制目标，前提是有效平衡各方的利益，而这要求必须找到各方的利益共同点。因此，数据可携带权的制度构造应当以超越各方利益冲突的视角为切入点。数据生产背后体现的社会公共利益可以将各方利益进行统一和平衡，从而有效破解双方的利益冲突，支撑数据可携带权的公平构建。

三、数据生产视角下的数据可携带权

(一)数据生产的基本原理

数据的产生依托于科技发展，但是数据已经超越科技范围，成为一种由法律和科技共同构成的社会关系。这种社会关系已经超越了个人的法律利益，其中包含个人与个人之间、个人与数据控制者之间以及相互之间在国家安全层面的多种利益。

在事实层面，数据已经成为一种现代生产要素，是信息资本的重要组成部分。数字经济时代，数据已经有了和货币一样的一般等价物的作用[16]。在国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》中指出，我国经济的五大生产要素为土地、劳动力、资本、技术和数据；《深圳经济特区数据条例》也规定“推动将数据生产要素纳入国民经济核算体系”(4)《深圳经济特区数据条例》第64条规定：“市统计部门应当探索建立数据生产要素统计核算制度，明确统计范围、统计指标和统计方法，准确反映数据生产要素的资产价值，推动将数据生产要素纳入国民经济核算体系。”。生产过程就是劳动过程，在劳动过程中，数据既作为一种劳动对象，也作为一种劳动资料参与生产。个人产生的、未经任何加工的个人数据是大数据的“原材料”，是数据处理者加工的对象，被加工处理成数据产品后，在生产、分配、交换、消费环节发挥作用。劳动资料是劳动者和劳动对象的媒介，“是劳动者置于自己和劳动对象之间、用来把自己的活动传导到劳动对象上去的物或物的综合体”[17]。数据控制者利用收集到的个人信息，不仅可以了解个人特征、喜好等，而且可以了解个人与群体之间的关系，个人如何与群体之间产生联系，并且可将这种联系适用于所有具有这些群体特征的个人[18]。

个人数据对于群体层面的分析和预测具有巨大的经济价值，在生产、分配、交换、消费环节都对企业产生指导作用。例如，通过不断收集某一地区人群的购物浏览记录，可以分析该地区人群的购物偏好，个人与群体之间就产生了一种联系，即该地区的人大概率都具有某种购物偏好。因此，当一个人被数据分析后判断为该地区的人群，就可以在其同意的情况下为其推送包含该种购物偏好的推销信息，这就是个人数据在群体层面对顺利实现从商品到货币“惊险的一跃”的作用。

(二)个人参与数据生产：从对立到合作

个人数据对于生产具有巨大的推动和指导作用，并产生了巨大的经济利益。然而现实生活中，这些利益被数据控制者独占，用户为企业进行“无偿的数字劳动”，其产生的剩余价值被企业所剥削。自20世纪90年代起，互联网公司转向商业模式，把可用的“免费”的个人数据资源变成现金收益并且独占[19]。这种独占导致数据控制者与个人之间的紧张关系，个人对数据化的担忧、其数据产生的剩余价值被压榨的风险，使得科技行业成为个人不信任和政府监管审查的焦点。这大大阻碍了个人数据在生产中发挥作用。

如果个人可以参与到数据产生的经济利益的分配中去，个人和数据控制者就可以成为一种合作关系，而非对立关系。数据可携带权为个人参与经济利益的分配提供了一种方式，个人可以通过行使携带权将其个人数据提供给其他数据控制者，并且获取一定的经济利益。此时，个人数据的提供将会从企业强迫个人同意收集变为用户个人自愿提供，并且个人也愿意将这些数据分享给其他企业。这就使得数据的收集和流动更具活力，作为数字经济“原料”的个人数据将会发挥更大的作用。

(三)数据可携带权支撑数据生产

1.提供数据生产的原材料

个人数据是数据的重要组成部分，是数字经济和数据生产的原材料和动力。个人通过行使数据可携带权将个人数据的部分或全部携带到另一个数据控制者处，另一个数据控制者便可以对这些数据进行分析、加工。就像同一块原材料能做出不同成品一样，不同企业由于算法不同，对数据的挖掘能力不同，对同一数据集合的使用也不同，可以提高数据的使用效率。通过数据可携带权实现个人数据在不同数据控制者之间的流动，有助于数字经济的发展。

2.降低成本

个人数据是非竞争性的，一个数据控制者对个人数据的使用不应该影响其他数据控制者。但是，由于存在市场竞争，很多数据控制者不愿与其他企业分享其掌握的数据，使得非竞争性的个人数据变成一种“竞争性资源”，其他数据控制者想要获取个人数据难度较大，成本较高。数据可携带权可以降低获取个人数据的成本，企业只需要与个人达成协议，个人携带数据至新的数据控制者处，就可以实现数据的流动；新的数据控制者不需要再向原来的数据控制者支付对价，只需向个人支付即可。

3.构建全国统一数据市场

2022年4月10日发布的《中共中央 国务院关于加快建设全国统一大市场的意见》明确提出加快培育统一的技术和数据市场的要求。这是对于数据在事实层面作为生产要素的探索。要想建立统一的数据市场，数据有序流动非常重要，而个人数据作为数据的重要组成部分，其有序流动也势在必行。不管是在数据交易所进行，还是个人与数据买方直接进行交易，数据可携带权都可以作为个人参与分享个人数据产生的经济利益的工具。数据可携带权使个人能够“受益于使用个人数据所创造的价值”，尤其是可以将数据用于自己的目的，或将数据授权给第三方进一步使用，以获得经济利益[20]。数据可携带权对于全国统一数据市场的形成有推动作用。

从数据生产的视角来看，数据可携带权可以作为一种促进分配正义的规制性工具[7]13，在数据主体和数据平台之间对数据产生的利益进行分配；作为个人可以使用的一种权利，是个人可以选择的工具。如果把数据可携带权作为一种工具来看待，那么其制度设计要首先注重实施效率，其次才是对于公平正义的实现。

四、数据可携带权的制度设计

(一)可携带数据的范围

从数据生产的角度来看，数据可携带权适用范围越大，越有利于发挥工具性作用。从数据使用角度来划分，个人数据可分成三种：第一种是数据主体为了正常使用或者提高用户体验，在知情同意原则下主动自愿提供的个人数据，例如申请注册时个人提供的基本信息；第二种是对数据主体的网络活动，例如搜索、浏览等行为进行记录而得到的数据，一般统称为观测数据；第三种是对第一种和第二种数据运用算法进行加工产生的数据，一般称作衍生数据。个人主动提供的数据和观测数据属于数据可携带权的适用范围已经成为共识，对于衍生数据能否适用数据可携带权尚有争议。数据控制者的市场竞争优势更多来自于观测数据和衍生数据，而衍生数据是最有价值的数据，数据控制者可以利用衍生数据分析市场趋势，预测商机，提升商品和服务的质量[21]。因此，衍生数据应该成为数据可携带权的客体范围。

衍生数据并不涉及对企业知识产权和商业秘密的侵犯。衍生数据属于利用算法产生的结果和功能效果，并不是算法本身。算法本质上是解决问题的一种方式，是用数学语言建构数学模型来描述实际现象，是以现实世界为研究对象并抽象化的简化数学结构[22]。算法是一种为了达到特定结果和目的的逻辑步骤，属于为了解决某个特定问题或者达到某个特定目的所要采取的一系列步骤[23]。对于算法的保护，有著作权法保护、商业秘密保护、专利法的技术方案保护等不同观点[24]，《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(2020年)第1条将与技术有关的算法等信息规定为《反不正当竞争法》第9条第4款所称的技术信息。由此可见，受保护的是算法本身，而非利用算法产生的结果。衍生数据是利用算法的逻辑步骤得出的一个有价值的结果，其本身并不能等同于算法而被保护。同时，衍生数据也不能作为商业秘密进行保护。商业秘密是指具有非公知性、价值性的技术信息与经营信息，并且应当采取适当的保密手段[25]。而根据《个人信息保护法》第7条规定，“处理个人信息应当遵循公开、透明原则”；第45条第1款规定，“个人有权向个人信息处理者查阅其个人信息”，因此，衍生个人数据不符合商业秘密要求的秘密性，对其不能采取适当的保密手段，不能作为商业秘密予以保护。

如果个人和数据控制者之间对衍生数据的携带无法达成共识，可以借鉴标准必要专利的FRAND原则，即标准制定组织(Standard Setting Organization，SSO)在制定标准时都要求那些可能被纳入标准的专利权的所有人作出“公平、合理和无歧视”(Fair, Reasonable and Non-discriminatory，FRAND)承诺[26]。作出FRAND承诺类似于强制许可的承诺，FRAND原则的适用可以消除因“专利套牢”而带来的“专利劫持”问题[27]。欧盟委员会在《数字单一化市场》战略中也提出在数字许可中适用FRAND原则以促进数字流动和准入[28]。

综上，数据可携带权的范围应该包括数据主体提供的个人基本信息数据、观测数据、衍生数据在内的个人数据。

(二)数据可携带权的具体适用

1.格式与技术标准

《网络数据安全管理条例(征求意见稿)》对于数据携带的格式和技术标准并没有作出规定。数据可携带权对于个人来说是一项可以选择的工具性权利，因此为了提高效率，促进数据的流动，对于数据携带的格式和技术要求不应该过高，只要在广义上符合系统兼容的最低要求即可[4]116。对于格式和技术要求的最低标准，可以以部门规章的形式作出规定；对于其他的更高标准，可以考虑通过国家标准或者行业标准规定。统一标准的目的是便于数据可携带权的实施进而促进数据的流动。

2.收费问题

欧盟的数据可携带权是赋予个人的一项数据权利，对于数据控制者来说，则是一种法律上的义务和负担。因此，在通常情况下，对于个人的携带请求，数据控制者应该配合且不收取费用以履行其义务。只有在申请没有明显依据或者过于频繁时，为了避免资源浪费、个人滥用权利、给企业增加不合理的负担，数据控制者可以收取“合理费用”，可拒绝过度或者明显无依据的数据迁移请求[29]。

数据可携带权的行使可能会给企业尤其是中小企业带来负担，从长远看，可能会导致消费者的权益受损。但是，从另一个角度理解，消费者可以自愿选择携带个人数据，并把数据可携带权看作一项企业提供的服务，并愿意为之付费。花钱享受服务对于用户个人来说，并不算“负担”。对于企业来说，通过收费来承担数据可携带权实施的成本，企业配合实施的意愿将会增强。从工具性权利角度来理解，数据可携带权对于个人来说是可以选择的使个人数据流动、从而获取经济利益的工具；对于企业来说，配合个人的携带要求是一项义务，但是无偿配合并不是其义务，企业可以要求个人支付成本。从这个角度看，数据可携带权更像企业提供的一种“有偿服务”，可以收取适当费用。

3.数据安全

GDPR第5条规定了数据控制者的安全保障义务，其有义务确保个人数据的安全。在实现数据携带的过程中，数据安全面临着更大的风险，因此数据控制者应该承担更高的义务。根据WP29《数据可携带权指南》，数据控制者应当采取风险防范措施以确保数据传输给正确的人。数据控制者还应该协助用户保障其存储在用户系统里的个人数据的安全。但是，这些条文对于安全措施的规定使用的措辞都是“the controller may”，这意味着数据控制者可以选择采取身份验证措施保证数据安全，但并不是法定义务。

与GDPR使用“the controller may”不同，《网络数据安全管理条例(征求意见稿)》明确要求数据处理者“能够验证请求人的合法身份”，并且“应当对个人信息转移请求做合理的风险提示”。保障个人数据的安全是《个人数据保护法》对于企业施加的义务，其中第51条、第57条等都对安全保障义务进行规定，企业要履行上述义务。针对数据携带过程中的安全风险，《网络数据安全管理条例(征求意见稿)》的规定较为合理。如果后续发生数据安全问题，个人可以依据《个人数据保护法》在个案中维护自己的权利。

(三)权利冲突及其调适

对于权利冲突问题的解决，很大程度上取决于如何理解和定义数据可携带权，这影响了权利的位阶顺序，从而对权利冲突的解决产生影响。

1.与知识产权的冲突

如果个人携带的数据中包含他人享有著作权的文本内容、摄影作品等，可能会涉及对他人知识产权的侵犯。不过，单纯的携带行为并不总会侵犯他人的知识产权，应该分情况讨论。携带行为主要涉及著作权中的复制权，而复制权是一项财产性权利，意在保护著作权人的财产利益不受损害。单纯的携带行为并不会对他人的财产权利造成损害。如果携带之后的后续行为，比如对他人享有著作权作品的使用，侵害他人的知识产权，那么权利人可以在个案中提起诉讼，并要求赔偿[30]。此外，一个如“大众点评网”的评价网站，通过给予用户折扣、优惠券等形式，获得用户对该网站上发布的评价、照片等的独家许可权。这种情况下，用户个人想要行使数据可携带权，把其数据导入另一个竞争性的评价网站，企业与个人的权利就会发生冲突。数据可携带权是一种工具性权利，其在权利位阶上应该低于并让位于他人合法取得的知识产权。

2.与他人数据权利的冲突

个人将存储的涉他照片、聊天记录等携带的行为并不当然地侵犯他人的隐私权、肖像权等人格权利。存储的涉他照片、聊天记录、交易记录等被携带后，并不当然地被公之于众。隐私只存在于人和人之间，当上述和他人有联系的数据被存储于其他数据控制者的机器之中，并不涉及对隐私权的侵犯，单纯的携带行为不会侵犯他人的隐私权等人格权利。如果接收方严格按照《个人信息保护法》等相关法律法规的规定，以与原来相同的方式存储和使用数据，应该属于合理使用。以集体照的转移为例，集体照中的第三人在拍摄集体照时就应当意识到该照片可能被用作正当目的的分享，因此用户对储存在个人账户的集体照片享有一定程度的使用权，有一定范围的合理使用的权利[31]。有学者提出，一些低门槛的Vlog等短视频的分享和携带会侵犯不知情的第三人的隐私权[32]。笔者认为，应该区分本身就侵犯他人权利的视频、照片和携带行为导致的对他人权利的侵犯，二者不能混为一谈。有的视频、照片在拍摄时就已经侵犯他人的隐私权，与携带行为无关。

携带涉他数据侵犯的主要是他人的数据权利，包括数据自决权、知情同意权等权利。因为在这种情况下，与其个人有关的数据被转移存储在其他数据控制者处，而当事人并不知情。此时，应该考察其他相关主体的合理期望，因为数据可携带权的存在，每个用户应该都有一个合理期待，即与他人的聊天记录等某些涉及个人的数据可能被携带，因为其本人也可能在某一个时刻提出携带涉他数据的请求。因此，如果新的数据处理者只是简单存储，并不会将第三方的数据进行处理，那么他人对于这种情况应该负有一定的容忍义务。如果新的数据处理者想要对第三方的数据进行处理以实现自身目的，那么必须征得第三方的知情同意。

五、结 语

一项权利具体如何设计，取决于其产生的制度背景以及想要实现的制度目的。WP29在《数据可携带权指南》中承认，数据可携带权具有明显的潜力，但在欧盟仍未得到充分利用，这说明欧盟的制度设计未必合理。欧盟和我国的国情不同，数据可携带权产生的制度背景和想要实现的制度目的也不同，因此对于数据可携带权的具体制度设计也应该有所差异，不应该把欧盟的制度奉为圭臬。笔者从数据生产的角度来理解数据可携带权，把其视为一种工具性权利，是促进数据要素流动和市场化、发展数字经济的重要工具。从这个角度设计数据可携带权的具体制度，可以更加强调效率，促进其功能和作用的发挥。