欧盟数据可携权的法律构造与本土化思考

胡学峰

(安徽大学 法学院，安徽 合肥 230031)

有学者云：“新世纪数据就是新石油，能以较低成本换取较高利润。”步入21世纪以来，大数据以其强大的存储能力、快捷的处理效率备受市场青睐。以数据资源为核心的数字经济一路高歌猛进，其发展规模与速度均呈迅猛增长态势。相关调查①显示，2015—2020年间，我国数字经济在国民经济中占比由27%飙升至38.6%，2020年同比上涨2.3个百分点。2020年12月，我国数字经济以39.2万亿元人民币的体量跃居世界第二。数字经济规模如此庞大，范围相当广泛，在当前发展尤为突出。数字经济的关键在于数据的流通与共享，但现状却是数据控制者主导下的数字经济缺乏流通，相关法律规范尚不健全[1]。更重要的是，现行体制下数字经济的红利难以惠及到众多数据主体。鉴于此，应加快数据在信息网络中的流动速率，否则将会影响我国经济与社会发展的效率。在此背景下，“数据可携权”的诞生正当其时，它将数据的自由流转创设为数据主体的一项权利，可以有效打击“数据垄断”行为，满足数字经济的发展需求，进一步助推国民经济发展的可持续增长。

1 数据可携权的具体内涵与法律构造

1.1 数据可携权的具体内涵

1.1.1 数据可携权的权利演进

数据可携权的立法理念可以追溯至1995年的《欧盟数据保护指令》，其中关于数据访问权的相关规定通常被视为可携权确立的前提性权利[2]。2012年1月，欧盟拟定《通用数据保护条例》(以下简称“GDPR”)草案时，在第18条正式设立“数据可携权”，这在该项权利的演进过程中具有重大意义。2014年3月，欧洲议会采纳前述草案，并将其中第18条与第15条的信息获取权合并。2016年4月，GDPR第20条正式确立“数据可携权”独立的法律地位，并对其定义予以阐释②。同年12月，欧盟发布《数据可携权指南》。两年后，2018年5月25日GDPR 正式对欧盟成员国产生法律约束力[3]。在此之后，美国加州、澳大利亚、印度等基本沿用了欧盟GDPR的相关规定，纷纷制定出类似法案③。

1.1.2 数据可携权的具体内容

目前国内通说认为，“数据可携权”主要包含两项“子权利”——数据接收权与数据转移权。二者可以说是可携权的一体两面，从权利的“个人获取”与“自由流转”两个维度共同构成数据可携权的具体内容。

数据接收权是指数据主体有权获得其提供给数据控制者的个人数据，且该数据需满足结构化、通用化和机器可读的格式要求。但GDPR在格式标准上有所保留，并未制定出一套“放之四海而皆准”的通用格式，而是通过政府鼓励，推进行业自律，促使行业协会和利益相关方共同探讨，自发形成一套通用标准格式。数据接收权自诞生之初，便被视为数据访问权的延伸，其对减少数据流转障碍意义非凡。

数据转移权是指在技术可行条件下，用户有权将个人数据从一方数据控制者转移至另一方数据控制者，且转移不受数据控制者阻碍[4]。比如微信用户申请将其个人数据转移至支付宝账号中，微信不得设置技术障碍加以抗拒，否则将侵犯微信用户的数据转移权。“数据的自由流转”正是转移权独立于数据访问权的核心区别之一。此外，“技术可行条件”是否可以视为GDPR出于平衡数据控制者的利益考量而作出的一大让步，值得我们深思。毕竟技术条件是否真正可行，想必也只有数据控制者自身知晓。不过，“技术可行条件”的模糊表述也存在一定的积极意义，它反对技术适用条件的“一刀切”。考虑到各地经济发展不平衡的现实状况，这为制定切合实际的地方性法律规范提供可能。

1.2 数据可携权的法律构造

1.2.1 数据可携权的主体

数据可携权的主体包括权利主体与义务主体。

对于数据可携权的权利主体，GDPR早有论断④。其中特别强调对自然人个人数据保护的权利。而此处的自然人不含地域属性，即权利主体不仅限于欧盟境内自然人，还包括欧盟境外接受境内企业商品或服务的自然人。因为伴随着全球化进程的加快，欧盟境内互联网企业势必开发部分涉外业务。而根据GDPR第3条规定，任何在欧盟境内设立的数据控制者，其对个人数据的处理均要受到GDPR约束。由此观之，可携权的主体范围不仅包括欧盟境内自然人，还包括欧盟境外使用、接受境内企业商品或服务的自然人。另外，作为与自然人相对的法律概念——“法人”是否享有个人数据保护的权利主体资格，我们不得而知。但鉴于GDPR所有条文均对“法人”只字未提，因而可以推定法人不在此处讨论范围之内。

数据可携权的义务主体，GDPR也有规定。由GDPR第20条规定可知，可携权的义务主体包括欧盟境内所有数据控制者。但这里需要明确的是，欧盟境外的数据控制者是否同样受该条例管辖？这要分情况讨论：第一，数据控制者在境外，但在境内设有分支机构。鉴于GDPR较强的地域属性，其分支机构的数据处理行为，均要受到条例的实时规范[5]。第二，数据控制者在境外，但涉外业务关系到欧盟境内的自然人。出于对境内主体数据保护的需要，GDPR同样将其视为可携权的义务主体。

1.2.2 数据可携权的客体

由GDPR 第20条规定⑤可知，可携权的权利客体和适用对象乃是“个人数据”。鉴于网络社会中个人数据规模庞大、范围广泛，将所有的个人数据都纳入可携权的保护范围较难实现。另外，为维护数据双方间的利益平衡，对个人数据的界定宜需谨慎。解释过于狭窄时，数据主体的权利行使可能难以进行，数据可携权的实质性作用恐难发挥；但解释失之过宽，则会增加中小企业的合规负担和经营成本[6]，对部分企业尤其是小微企业的生存发展构成威胁。因而，合理限定“个人数据”的具体内涵就显得格外重要。

第一，该数据须为关于数据主体的个人数据。首先，基于对数据主体的解释，“非自然人”的相关数据自然难以成为数据可携权的客体。其次，数据主体“个人数据”的基本内涵如何明确？对此，国内齐爱民教授认为：个人信息是指个人的姓名、性别、健康状况等可以直接或间接识别个人的信息。

第二，该数据须为数据主体向数据控制者提供。此处强调的是数据提供的亲历性与主动性。当下社会网络诈骗无孔不入，数据主体亲自提供个人数据可以有效降低其被泄露、盗用的风险。同时也表明，数据可携权的行使主体具有不可替代性。而个人数据要求“主动提供”表明，GDPR只保护“主动数据”而非“被动数据”。现如今以大数据分析、云端计算等信息技术获取的衍生数据和推断数据便是“被动数据”的典型代表。它们是基于数据控制者的商事经营行为而产生的，自然不属于数据主体提供的个人数据，将其排除在可携权的客体范围之外也是合乎情理的。

1.2.3 数据可携权的行使

1.2.3.1 行使方式与条件

对于数据可携权的行使，GDPR明确列举出两项条件：

第一，对于可携权涉及的个人数据，必须以“自动化方式”进行一定处理。鉴于数据规模庞大、范围广泛，“自动化方式”能给企业的数据处理效率带来质的飞越。同时这也从侧面反映出传统的纸质文件数据被排除在权利的适用范围之外，电子数据的手动转移方式也难为GDPR所认可。

第二，数据处理行为必须取得数据主体的事先同意或基于先前的合同约定。可携权的行使前提是必须确保数据主体的知情权、同意权得到尊重。对此，GDPR亦有相关论述：“同意”标准须具体清晰，是在用户充分知情的情况下以自愿方式作出。按照该标准的严格要求，我国国内公司以复杂深奥的隐私政策保护，“强迫”用户同意的做法将失去合法性。数据控制者以明确清晰、通俗易懂的方式告知数据主体相关内容，取得用户的实质性同意而非形式上同意，乃是今后用户知情权保障的一大趋势。用户如果对上述政策存在不满，在点击不同意的选项后，仍可使用软件的部分功能。而“合同约定”说明只有在合同范围内，数据可携权的行使才是合法的。超出合同的约定范围，权利的行使就有侵犯他人隐私信息之嫌。综上，数据可携权的行使必须同时满足上述两个条件，缺一不可。

另外，即便上述条件均已满足，个人数据的自由流转还须满足“技术可行条件”的现实要求。但GDPR和WP29对“技术可行条件”均未作说明，可见欧盟在此方面有所保留。鉴于“技术可行条件”概念比较模糊，需要对其进行细致界定，否则将会影响可携权的实质性作用发挥。因而，可以参考欧洲银行联合会的相关经验：数据控制者对于“技术不可行情况”负有证明义务。如果不能提供足够证明，数据控制者不得妨碍用户可携权的正常行使；反之，如果的确存在技术障碍，其亦负有向数据主体解释说明的义务。如此方可最大限度地保护数据主体的可携权利益。

1.2.3.2 行使限制

古语云：“没有规矩，不成方圆。”目前欧盟既定的法律框架内，任何权利的行使都会受到限制，数据可携权也不例外。对此，GDPR第20条亦有说明，可携权的行使不得影响公共利益，也不得损害第三方的合法权益。以下仅就上述两点作简要说明：

第一，数据可携权的行使须让步于社会公共利益。“社会公共利益”在各国法律体系中一贯享有优位性。不同时代、不同社会的公共利益不尽相同，但国家安全、社会秩序以及法律权威等作为社会公共利益的具体内涵获得各国法律的普遍认同，基于此作出的各项活动可视为维护公共利益的典型表现。换言之，如果可携权的行使并未涉及公共利益、科学历史研究以及统计目的等情况，那么该权利自然无须克减。此外，为追求现代法治中的实体正义，数据主体为公共利益而作出的“权利牺牲”应当得到相应补偿，这也是“以人为本”社会治理理念的具体体现。

第二，数据可携权的行使不得损害第三方合法权益。在全球化进程不断深入的大背景下，数据主体在转移数据时，要求将己方数据与其他主体数据完全切割开来的想法既不现实也不合理。比如，法院要求银行积极配合，将被告人银行账户的交易信息作为证据提交法庭时，必然会涉及到与该主体发生交易的第三方主体的数据信息。此时，作为数据控制者的银行在进行数据转移时，须取得第三方主体的概括同意抑或银行在提交相关数据时应以必要方式加以掩盖，否则可携权的行使便有侵犯他人隐私之嫌。在万物互联的信息时代，我们更能理解数据主体对个人数据安全的合理关切。

2 欧盟数据可携权引入我国的争议

数据可携权自诞生之初便饱受争议，欧盟部分学者将其视为数据访问权的延伸，二者都是数据主体为了解数据控制者处的个人数据而创设的权利工具，因而无必要将可携权设为一项独立权利。在欧盟的立法进程中，可携权也历经多次调整与修改。国外立法尚且如此，国内引入、推行的阻力可想而知。鉴于我国数据保护立法起步较晚，偏向保守，目前与欧盟存在不小差距。因而国内对于引入可携权的反对之声不绝于耳，占据主流。

2.1 反对者的观点

反对者认为可携权的引入与我国国情不符，可能导致诸多问题与挑战的产生。可携权要求数据自由流转，这易造成数据信息的泄漏；加之我国网络安全环境堪忧，引入可携权会给不法分子提供更多犯罪机会。另外，可携权的设立势必会加重企业的运营成本，这会制约中小企业的发展，拉大产业发展差距。反对的理由主要包括以下几点：

第一，数据可携权的引入会阻碍我国数字经济的平稳发展。目前我国数字经济正处于高速发展阶段，而数据立法一向保守。若贸然引入可携权制度，势必会对我国互联网市场的平稳发展造成冲击。鉴于数字经济目前在国民经济中占有举足轻重的地位，因而对于可能影响其发展走势的数据可携权的引入理当慎之又慎。

第二，数据可携权的引入会增加数据被泄露和盗取的风险。可携权的确可实现数据的自由流转，但对此权利若不加限制，频繁的数据转移无疑会增加数据被泄漏、盗用和攻击的潜在风险。尤其是中小企业抵御和防范网络攻击的能力有限，信息诈骗、虚假身份等问题将集中出现。结合目前国内网络安全环境，叠加风险将更为突出。

第三，数据可携权的引入还会恶化数据市场竞争环境，加大产业发展差距。可携权的引入势必会加增数据控制者的运营成本。为了方便数据转移，现有的技术水平必须不断提高。大型企业凭借雄厚资本和智力支持，可以从容应对，而中小企业的处境将极为艰难。技术创新需要投入大量资本，在长久的市场竞争中，若无国家政策的鼓励扶持，中小企业被迫出局也只是时间问题。而“数据寡头”将会趁此进一步锁定市场份额，形成马太效应，最终加剧“数据垄断”程度。

2.2 支持者的观点

支持者从数据可携权的性质、优势等角度出发，结合我国数据隐私泄露严重的现状，以及数据市场缺乏流通、数据壁垒和垄断等亟待解决的问题，呼吁对数据可携权进行改造，创设出符合我国国情、具有本土化特色的可携权制度。主要有三点理由：

第一，数据可携权的引入有利于强化用户对个人数据的支配性。这是可携权设立最低层次的目的。引入可携权可以促进用户对自身数据信息重要性的了解，进一步加强其对存储在数据控制者处的信息数据的控制。这对目前我国个人信息盗取严重的网络乱象具有一定的遏制、打击意义，同时也能顺应《个人信息保护法》对于用户数据保护加强的趋势，具有积极的现实意义。

第二，数据可携权的引入可以促进数据流通，推动数字经济的高质量发展。现如今，“数据寡头”利用雄厚资本和强大技术支持竭力维护“数据垄断”现状，这不仅违反竞争法的基本精神，也阻碍中小企业进入相关市场，而缺乏竞争则会进一步抑制创新。可携权的引入可以改变数据流通规则，促进特定数据的共享和利用，有助于塑造更加公平透明的数据处理市场[7]。

第三，数据可携权的引入符合社会正义公平原则。适用可携权须取得用户同意或基于合同约定。按照这一法律逻辑，数据控制者擅自将用户数据另作他用，产生的各项收益应与数据主体共享。但现实是，数据双方在信息收集能力方面存在巨大差距。在利益驱使下，数据控制者经常私自攫取大量额外利益而不告知相关用户[8]。我国引入可携权制度能有效遏制数据控制者上述行为，进一步维护相关主体的数据权益。

综上所述，可携权制度是否引入，支持者与反对者各执一词、莫衷一是。这其实是看待事物的不同角度所致。任何事物都具有两面性，我们不能因噎废食，看到可携权带来的风险与挑战便踌躇不前。而应当在深入了解其具体内涵与法律构造的理论基础上集思广益，尽可能预见权利引入引发的相关问题，先行建立完善好配套制度，努力为可携权的本土化改造“铺石垫路”。

3 数据可携权本土化改造的实现路径

近些年的数据纠纷使可携权的重要性逐渐得到社会认可。数据产业的强势崛起对我国现行立法提出新的要求，现行法律规范的滞后性问题较为突出。参考欧盟相关的司法实践，有必要对数据可携权进行本土化改造。

3.1 我国现行规范中的数据可携权

自2012年十八大后，为积极响应大数据国家战略，进一步推动数据资源的整合、开放和共享，我国数据立法的进程明显加快，逐步形成以《信息安全技术个人信息安全规范》国家标准和《个人信息保护法》为核心的数据立法体系。

2017年制定的《信息安全技术个人信息安全规范》国家标准⑥，对于个人信息控制者施加的义务以及信息转移的相关规定与欧盟的数据可携权可谓大同小异，这也被视为我国“数据可携权”首次成文的规定。伴随着信息产业和数字经济的繁荣发展，信息主体与信息控制者所获收益已然失衡。有鉴于此，国家出台《信息安全技术个人信息安全规范》旨在重新平衡此种利益，这也为数据可携权的本土化构建提供一定的法律保障。

但从三年的司法实践来看，直接科以信息控制者较重的法律义务有失偏颇。于是政府对个中细节加以调整，在2020年将规范中个人信息副本的提供由“应”改为“宜”，传输第三方限定为“个人主体指定”第三方。一字之差，却有效缓解了信息控制者的压力。重新进行利益平衡也反映出网信部门为维护互联网现有秩序平稳运行的一番苦心。

此外，2018年的《个人信息保护法》⑦将我国“数据可携权”的法律位阶予以提升，由标准化文件直接上升至正式的成文法律，反映出政府部门对个人信息保护的重视程度日益加强。但该法条文过于笼统，仅规定了权利行使要件和行使对象[9]，具体操作规范亟待补充完善，而这也是现行国家标准下我国数据可携权立法的一个缩影。

3.2 数据可携权本土化面临的障碍及完善措施

第一，原数据控制者是否可以保留已转移数据尚不明确。当数据双方配合进行数据转移时，其能否继续保留已转移的用户数据，GDPR对此未置可否。而根据我国“法无明文规定即可为”的法律精神，应默认原数据控制者拥有数据保留权。但这样理解却增加了用户数据被盗用、篡改的潜在风险，同时也与可携权的设立初衷相违背。如今大数据时代的社会纷繁复杂，网络用户对自身数据的收集、分析、存储等环节知之甚少，常常怠于行使自己的权利。而数据转移肯定会使原数据控制者的既有利益遭受损失，商业主体为追逐经济利益，必然会将用户数据加以留存。在数据利益分配失衡的局面下，亟需重新平衡二者之间的利益关系。

鉴于此，可对用户数据进行分类，对不同类型的个人数据赋予数据控制者不同程度的数据保留权限。针对用户主动提供的基础数据，例如个人信息、健康状况等，法律应将该种数据的转移设立为数据控制者必须履行的法定义务，其在完成相关数据转移后，应当自动销毁、删除相关数据原件，不可私自留存；而针对数据控制者通过深度观测、分析数据主体而获得的衍生数据、推测数据等“加工数据”，例如淘宝通过分析用户消费习惯而得出的销售数据，抖音通过分析用户的浏览历史、点赞行为而获取的相关数据，对于企业付出巨大经济与人力成本获得的智力成果，宜赋予数据主体以选择权，想要删除这些数据须另行支付合理对价。否则在数据转移后，应默认数据控制者有权继续保留上述数据，以便合理维护二者利益的动态平衡。

第二，第三方主体数据权利保护体系尚未建立。司法实践中，数据控制者在进行数据转移时，常会涉及第三方用户的个人数据。鉴于数据的紧密联系性与不可分割性，如何合理妥当地解决二者冲突值得深思。例如，网友上传一段合拍视频至朋友圈，当该网友欲将视频转移至抖音时，必然会涉及视频中第三方主体的隐私权与肖像权。在不影响数据可携权效能发挥的前提下，如何尽力维护第三方主体的合法权益？针对上述问题，宜科以数据控制者审查数据转移时多方主体的“共同同意”义务。若用户无数据涉及第三方主体的同意文件，数据控制者可驳回相关的数据传输申请，这亦是可携权行使前提的应有之义。民事诉讼领域权利冲突、竞合是十分普遍的现象。行使可携权若涉及公共利益，自然无法适用。与知情权、隐私权等发生冲突，将损害他人权益时，亦应受到合理规制。而我国现行可携权之规定，其最大问题莫过于第三方权利遭到侵害时，相关权利救济措施缺失。对此，可要求在数据转移过程中如果涉及第三方权利，应取得其事先同意或事后追认。否则由于数据控制者未尽合理审查义务，第三方数据由此产生的潜在风险或相应损失应由数据控制者和数据主体共同承担。

另外，还有两点需要注意：一是数据可携权本土化应循序渐进，在我国可采用试点立法。在试点的区域选择上，以东南沿海发达城市为主。毕竟它们的数据经济规模庞大，数据产业发展也较为成熟，具备试点立法的现实基础；在试点的行业选择上，开放银行应是最先行、最有价值的应用场景[10]。试点立法的弹性空间较大，司法实践效果良好便向全国全面展开；若不尽人意，则我国数据可携权的设立还有待探讨。二是数据可携权的主体范围需要限缩。GDPR规定的权利主体为自然人，但是否所有自然人均享有此种权利值得商榷。相较于欧盟，我国拥有超过14亿的庞大人口规模，若不加区分，将所有自然人都纳入权利主体范围既不现实又不合理。可以考虑将民事行为能力与网民身份等因素引入数据可携权主体范围划定的标准之内，赋予不同个体差异化的数据可携权。对于无民事诉讼能力、限制民事行为能力之人，宜将其数据的相关权利暂交其监护人行使。对于网络红人与普通用户须区别对待。鉴于前者网络社会影响力巨大，对其数据可携权的赋予应予以种种限制，以防其随意转移个人数据造成既有网络秩序的破坏；而普通用户的数据权益无需克减，如此可进一步促进社会公平正义的实现。

4 结语

欧盟设立数据可携权的初衷在于削弱微软、谷歌、苹果等一众美国互联网巨头对其网络环境的影响力，扶持欧盟本土网络企业的发展，以期缩小欧美在数据产业方面的发展差距。而我国坐拥庞大的人口基数、广阔的内需市场和宽松的国家政策环境，以阿里、百度为代表的本土互联网企业正在逐步走向世界。面对数据产业发展的这种差异，加之欧盟既定的可携权制度尚不成熟，对其引入自当慎之又慎。在充分了解可携权制度的前提下，结合我国立法实际，对欧盟可携权制度予以合理改造，以期构建出符合我国国情、具有中国化特色的数据可携权制度。

注释：

①资料来源：《中国数字经济发展白皮书(2020)》——中国信息通信研究院.

②《通用数据保护条例》第20条：“数据主体有权以结构化、通用化和机器可读的格式接收他或她提供给控制者的有关他或她的个人数据，并有权将这些数据传输给另一个控制者，原数据控制者不得阻碍。”

③类似法案包括美国加州2018年《加州消费者隐私法》、澳大利亚2019年《消费者数据权利法案》、印度2019年《个人数据保护法》等.

④《通用数据保护条例》第1条：“本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利。”

⑤《通用数据保护条例》第20条第2款：“数据主体有权获得其提供给数据控制者的个人数据副本，并将此类数据从一个数据控制者处转移至另一个控制者的权利。”

⑥《信息安全技术个人信息安全规范》7.9：“根据个人信息主体的请求，个人信息控制者应为个人信息主体提供以下类型个人信息(个人基本信息、个人身份信息、个人健康生理信息、个人教育工作信息)副本的方法，或在技术可行的前提下直接将个人信息的副本传输给第三方。”

⑦《个人信息保护法》第四十五条第三款：“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。”