个人信息可携带权制度的规范构造与协调适用

袁俊宇，张斌峰

（中南财经政法大学 法学院，湖北 武汉 430073）

个人信息可携带权对遏制大型企业垄断数据信息市场以及强化信息主体的信息控制能力都有重要意义。然而，对于大多数国家立法者而言，个人信息可携带权的属性却难以把握，更遑论对其内容准确规定。个人信息可携带权宛如“普罗透斯”的脸，在不同的价值视角下呈现出不同的理论面向。学界对个人信息可携带权的属性问题展开激烈争论，至今未有定论。位于《个人信息保护法》第45 条的个人信息可携带权，从属性、功能、客体、内容到规范协调适用上，均存在诸多模糊之处。以至于有学者认为，《个人信息保护法》对个人信息可携带权的规定，“仅是原则性的规定，可携带权的具体内容、具体手段以及适用场景仍需要未来国家网信部门出台规定来推动落实”[1]285。其中，《个人信息保护法》第45 条第3 款对个人信息携带转移的具体方式、具体情形等方面的规定，尤其显得含糊其辞。为克服上述障碍，可依循权利属性界定—规范内部构造—规范外部协调的研究脉络，对个人信息可携带权进行层次分明地爬梳剔抉，并从法解释学立场对个人信息可携带权在立法与司法中存在的问题予以回应。

一、个人信息可携带权的权利属性界定

我国的个人信息可携带权并非以个人信息自决为中心，而是兼顾个人信息的安全保障与共享利用。这意味着人格权与财产权的分类方式均无法揭示出个人信息可携带权利益客体的复杂性。为消解这一困境，需借助“本权权益”与保护“本权权益”权利的分类模式，对个人信息可携带权的人格权请求权属性予以证成，以期实现个人信息可携带权私益保障与公益保护的衡平目标。

（一）个人信息可携带权属性之争：人格权或财产权

个人信息可携带权是个人信息权益的子权利。针对个人信息可携带权的权利属性问题，学界展开激烈讨论，未有定论。坚持人格权统摄的学者认为，个人信息可携带权是一项人格权，即个人信息自决权的具体体现[2]，有以下三点理由：一是根据《个人信息保护法》第4 条规定，个人信息“不包括匿名化处理后的信息”。个人信息由“身份要素”与“人格要素”信息共同构成，故个人信息权是一项具体人格权，作为子权利的个人信息可携带权也应当是具体人格权。二是信息主体通过“信息自决”的方式，能够有效支配其个人信息。如德国1970 年“小人口普查案”①BVerfGE 27，1-Mikrozensus.与1983 年“人口普查案”②BVerfGE 65，1-Volkszählung.，以法院判决形式赋予公民对其个人信息自我决定的权利。在此意义上，个人信息可携带权体现为信息主体对其个人信息是否携带转移的自我决定。三是从域外立法上分析，2020 年美国《加州消费者隐私法案》（CPRA）第14 节第v 条第1 款、2017 年德国《联邦数据保护法》（BDSG）第46 节第1 条、2020 年日本《个人信息保护法》第2 条，都将个人信息指向能够识别特定个人的各类信息。个人信息的携带转移会对个人信息中的人格要素信息造成影响，故个人信息可携带权可划入人格权范畴。与上述观点相反，坚持财产权统摄的学者认为，个人信息可携带权是一项财产权。[3]“有不少学者试图从财产权或类似权利的角度来定性个人数据权，认为可携带性是数据权利的重要特征。”[4]持此观点的学者有如下几点理由：其一，《民法典》第127 条规定间接肯定数据财产权。《民法典》第993 条就对人格标识许可使用作出规定，该条的“等”字表述为个人信息纳入其中提供了制度空间。据此，若个人信息权益是一项财产权，那么个人信息可携带权自然可归入财产权。其二，个人信息可携带权中蕴含财产权的部分权能。财产权的权能包括占有、使用、收益和处分，可携带权隐含的是财产权的交易、出售、使用和收益权能，并不包括财产权的排他占有。[5]其三，引入财产权能够强化数据主体对数据的控制。[6]“个人信息作为数据要素的组成颗粒在规模化的商业利用中爆发出巨大经济价值”[7]，个人信息可携带权是信息主体对数据资产控制的重要手段。然而，无论人格权抑或财产权皆无法与个人信息的复杂利益构成相契合。[8]现有立法将个人信息视为一种受法律保护权益，“由‘本权权益’与保护‘本权权益’的权利构成”[9]。处于流变不居状态的个人信息主体利益，只能被兼具稳定性与灵活性的权利结构框定。借助于“权利束模型”能对个人信息权益进行适切地解构[10]，个人信息权益下各项权利并行不悖，它们之间构成平行互补关系，共同作用于保护“本权权益”的特定目标。据此，既能打破“人格权”或“财产权”的选择囚笼，又能化解个人信息权益中诸项价值冲突。综上所述，个人信息可携带权与“本权权益——保护本权权益的权利”的分类相契合，这种分类框架恰能满足个人信息携带转移过程中的利益复杂性要求，即个人信息可携带权本质上是保护人格或财产利益的权利。

（二）个人信息可携带权属性定位：人格权请求权

基于“本权权益——保护本权权益的权利”的框架，个人信息可携带权可视为具有“保护本权权益作用”的权利。若以权利的不同作用为分类标准，可对个人信息可携带权进行划分，从而厘定个人信息可携带权的属性。个人信息可携带权不属于抗辩权与形成权应无疑问，但究竟属于支配权抑或请求权，尤待进一步探析。若个人信息可携带权属于请求权，那么个人信息可携带权是否能视为人格权请求权？根据《个人信息保护法》第45 条第3 款的表述可以推知，个人信息可携带权是一项人格权请求权，有以下几点原因：第一，支配权要求主体对客体具有绝对的直接支配力。[11]514个人信息不是有体之物，信息主体无法直接占有支配个人信息，自然也不对个人信息享有支配权。第二，信息主体与信息处理者之间存在难以弥合的“数字鸿沟”。个人信息可携带权人须通过信息处理者来实现信息的获取与转移。第三，对《民法典》与《个人信息保护法》进行体系解释，能够推导出个人信息可携带权属于人格权请求权。纵览《民法典》人格权编可以发现，《民法典》第1037 条与《民法典》第995 条是一般条款与特殊条款的关系，且《民法典》第1037 条属于具体人格权请求权。[12]《个人信息保护法》在《民法典》规定的知情同意权、查阅复制权、更正权、删除权四项权利基础上，增加知情权、决定权、可携带权、补充权以及解释说明权。[13]《个人信息保护法》第45 条第3 款是对《民法典》第1037 条的延伸与拓展，也是一项人格权请求权。结合上述理由可以推知，个人信息可携带权是一项人格权请求权。此外，个人信息可携带权定位为人格权请求权，有着坚实牢固的现实基础，具体有以下两点理由：其一，人格权请求权是权利人保障“本权权益”的重要手段。与财产侵害案件不同，人格损害一旦发生，便不可逆转。在“齐玉苓案”①“齐玉苓诉陈晓琪等以侵犯姓名权的手段侵犯宪法保护的公民受教育的基本权利纠纷案”，《最高人民法院公报》2001 年第5 期。中，行为人非法盗取信息主体个人信息并冒名顶替的行为，侵犯齐玉苓的人格权并造成严重精神损害。然而，由于人格利益损害难以证明，法律难以保障用户的合法权益。人格权请求权的设置，有助于解决这一缺憾。为恢复人格权的圆满状态，人格权请求权人能够排除行为人的不法侵害行为[14]326-328，且不以行为人的行为构成侵权为前提[15]。个人信息可携带权定位为人格权请求权，有助于保障权利人的人格利益。其二，个人信息可携带权定位为人格权请求权，有利于克服个人与企业之间的“数字鸿沟”。在2021 年《个人信息保护法》施行前，不少移动端APP 提供者就已大肆窃取用户个人信息，甚至“监听”用户。[16]上述个人信息侵害行为屡禁不止的根本原因在于，用户与服务提供商之间存在难以逾越的“数字鸿沟”。在实践中，无论是信息主体还是行政监管部门，都不具有足够力量扼制具有隐蔽性的个人信息侵害行为。在此背景下，人格权请求权具有防患于未然之功，将信息主体的个人信息可携带权定位为人格权请求权，有助于从权利义务分配层面对用户、监管机关以及服务提供商三者的“失衡状态”予以调整。

（三）人格权请求权目标重塑：个人信息可携带权蕴含私益与公益衡平目标

前已述及，个人信息可携带权保护的个人信息权益具有私人利益与公共利益相互交融的复杂构成。作为人格权请求权的个人信息可携带权，具有令二者衡平的权利目标。个人信息可携带权的公共利益目标，包括打破“用户锁定”效应、有效刺激企业创新、降低用户的平台转换成本等，具有许多竞争法补救措施的特征。[17]甚至有学者认为，“个人信息可携带权应被视为法律监管工具，旨在刺激数据驱动市场的竞争和创新。”[18]在此背景下，仅视个人信息可携带权为保护私益的权利不具有合理性，这在域外各国的立法中有所体现。如德国2022 年《反限制竞争法》第19a 条中对跨市场竞争者施加了信息可携带的义务；美国2021 年《通过支持服务切换增强兼容性和竞争性法》第3节对大型通信平台服务提供商的信息移转义务予以规定；欧盟《数字市场法》第6 条第1 款第h 项要求“守门人”平台需提供有效的数据携带和促进数据移转的工具。我国2020 年公布的《〈反垄断法〉修订草案（公开征求意见稿）》第21 条第2 款中专门规定，在认定互联网领域经营者是否具有市场支配地位时，除需考虑市场占有规模等既有要素外，还需考虑锁定效应、网络效应、处理及掌握数据的能力等新增要素。无论境内外立法，都对数据处理与市场垄断之间的联系予以肯定，同时也表明大型个人信息处理者可能成为数据信息的垄断者。从这个意义出发，个人信息可携带权与《反垄断法》存在一定的内在联系，个人信息可携带权亦具有反垄断的公共属性。在《个人信息保护法》颁布前，法院多以是否侵害用户对其个人信息的决定权，作为判处数据信息反不正当竞争案件的重要理由。在“北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷案”中，法院认为，“第三方应用开发者作为网络建设与运行的重要参与者，在收集、使用个人数据信息时，应当遵循诚实信用的原则及公认的商业道德，取得用户同意并经网络运营者授权后合法获取、使用数据信息”②北京知识产权法院（2016）京73 民终588 号民事判决书。。在“深圳市腾讯计算机系统有限公司、腾讯科技（深圳）有限公司商业贿赂不正当竞争纠纷案”①天津市滨海新区人民法院（2019）津0116 民初2091 号裁定书。中，法院认为，抖音未经用户授权同意，擅自获取腾讯平台用户数据并转移给多闪的行为，侵害了腾讯及用户的权益。信息主体的个人信息可携带权行使与否，能从根本上改变案件当事人胜诉或败诉的结局。这意味着，个人信息可携带权在保护私人利益的同时，也兼有保障公共利益的目标。数据信息是具有重要价值的资源，谁占有或垄断该资源谁就能在数字市场中占领高地，这为“反公地悲剧”的产生埋下伏笔。处于激烈竞争的企业之间难以达成“数据信息”共享利用的合意，甚至可能催生出各种垄断数据信息的技术寡头。对此，有学者提出，可建立兼具分享功能与控制功能的个人信息保护系统结构[19]，以平衡数据流通与个人信息保护之间的关系[20]。个人信息可携带权的创设与这一利益衡平的立法目标相契合，个人信息可携带权通过强化信息主体控制力与打破数据信息垄断来实现私人利益与公共利益的衡平。

二、解释论视域下个人信息可携带权的规范构造

在现有法律体系下，个人信息可携带权的法律规定存在模糊地带，尤其是关于个人信息可携带权的功能定位、客体范围、适用方式等。为澄清上述问题，可基于个人信息可携带权人格权请求权的属性定位以及私益与公益的衡平目标，对个人信息可携带权的规范构造予以厘清与重塑。

（一）个人信息可携带权的功能：查阅、复制、转移三者兼具

法律体系是一个相对封闭的逻辑体系，需从概念分析的方式着手，对法律予以实证分析。[21]57-58当前学界对“个人信息可携带”与“个人信息转移”存在概念混用的问题，这在一定程度上不当缩减了个人信息可携带权的丰富内涵。有学者认为，《个人信息保护法》第45 条第1 款、第2 款、第3款分别对应的是访问权、复制权、转移权[22]358，个人信息可携带权（转移权）仅规定于《个人信息保护法》第45 条第3 款中。然而，法律规定个人信息携带权的意义在于，强化个人信息主体自由决定的权利，打破信息处理者对数据信息的垄断。[23]自主决定存在一个重要前提，即保障信息主体的知情同意。个人信息访问权、复制权、转移权均属于知情原则的延伸与拓展。[24]202从日常经验出发，唯有信息主体充分了解个人信息处理的各项基本事宜，才能理性地作出各项决定。[25]205仅凭《个人信息保护法》第45 条第3 款，不足以确保信息主体充分知情，也难以承载个人信息可携带权的丰富内涵。尤其是在语言使用规则无效的情景中，语义学解释并不能为某个法的渊源进行合理解释。[26]37当我们说存在一个有效规范时，同时也在说该规范属于某一个法律体系[27]17，可借助体系解释能够有效弥补语义解释的不足。具体而言，结合《个人信息保护法》第45 条第1 款至第3 款对个人信息可携带权进行整体理解，理由有以下几点：其一，个人信息查阅复制权与个人信息可携带权存在逻辑上的包涵关系。《个人信息保护法》第45 条第1款与第2 款规定的是查阅复制权，《个人信息保护法》第45 条第3 款规定的是可携带权。从功能上分析，《个人信息保护法》第45 条中的“查阅复制权与可携带权是两项不同的权利，有明显的差异”[24]202。然而，个人信息查阅权、个人信息复制权与个人信息可携带权，在权利目的、法律关系、权利行使要件上都存在逻辑上的包涵关系。具体而言，若信息主体不具有查阅复制权利，则不享有对个人信息核验矫正之权利，也无法保障所携带转移的个人信息准确无误。[29]因此，个人信息查阅复制权是个人信息可携带权的应有之义。其二，个人信息可携带权的整体理解有益于化解法律层面的冲突。《个人信息保护法》第45 条第3 款规定，个人可以将“个人信息转移至其指定的个人信息处理者……个人信息处理者应当提供转移的途径”。根据“应当”的表述可以推知，个人信息可携带权是一项“刚性”权利。“刚性”权利意味着，信息处理者必须做特定的行为。与之不符的是，信息处理者究竟在什么时间转移个人信息未有规定。一旦信息处理者拖延履行信息携带转移义务，就会导致个人信息可携带权“失灵”。由此，“刚性”权利效力定位与“不确定”的转移时间之间存在冲突。若将个人信息可携带权的规范基础，视为《个人信息保护法》第45 条整体而非部分，则上述问题迎刃而解。《个人信息保护法》第45 条第2 款“应当及时提供”的要求，同样适用于第3 款。其三，域外立法对个人信息可携带权采取整体理解的态度。欧盟在2012 年《一般通用数据保护条例》（以下简称为GDPR）草案中首次提出“用户数据可携权”，并于2016 年GDPR 第20 条中正式规定“个人信息可携权”。GDPR 第20 条第1 款明确指出，信息主体有权收到有关他或她向控制者提供的个人信息，这是个人信息可携带权行使的基本前提。个人信息的查阅、复制、转移共同构筑起个人信息可携带权的整体运行脉络。除欧盟外，巴西《个人信息保护法》第18 条、印度《个人信息保护法》第17 条、俄罗斯《联邦个人数据法》第14 条，均秉持相同的立场。当信息主体享有查阅复制权利时，自然同时享有转移个人信息的权利，如此规定具有合理性。由此及彼，对我国《个人信息保护法》第45 条规定的个人信息可携带权也需予以整体理解。综上所述，需结合《个人信息保护法》第45 条第1 款至第3 款对个人信息可携带权进行整体理解。换而言之，个人信息可携带权兼具查阅、复制、转移三项功能，不能孤立地将个人信息可携带权理解为转移权。

（二）个人信息可携带权的客体：具有精神或财产利益的信息

个人信息可携带权所涉及的“个人信息”为何，《个人信息保护法》第45 条对此并未回答。结合《个人信息保护法》第4 条与《个人信息保护法》第45 条第3 款规定可知，无“识别性”但具有“财产”或“精神”价值的数据信息不在法律允许转移的范围内。按照欧盟关于可携带权的相关指引，个人可请求转移的个人信息包括两类：一是基础信息，二是因合同履行而被记录的观测信息，如用户的网页浏览历史以及搜索记录等。[29]所谓被记录的观测信息，也可称其为个人衍生信息。若以携带转移的信息是否符合“可识别性”为标准，决定其能否被信息主体携带转移，难以应对“个人衍生信息”携带转移的现实需求。上述观点，在我国立法中有所体现。《网络数据安全管理条例（征求意见稿）》第24 条第1 款第2 项特别规定：“请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息。”有鉴于此，个人信息可携带权客体的甄别标准，需由能不能“识别特定个人”转向是否具有“重要利益”。这一“重要利益”既可以是精神利益，也可以是财产利益。[30]不具可识别性特征的个人信息，可因其具有“财产性利益”或“精神性利益”而符合个人信息携带转移的条件。

为拓展个人信息可携带权客体的范围，对信息主体需要携带转移的信息可设置如下三重判断机制：其一，个人信息是否与第三人隐私相关，若相关则需得到第三人授权后方可携带转移。权利人要求携带转移数据信息，可能涉及第三人的隐私。如信息主体发布涉及第三人隐私，且仅对自己可见的微信朋友圈文字或图片内容。此种情况下，需得到第三人的授权同意后，信息主体才能携带转移。在实践中，当批量的个人信息从一社交平台转向另一社交平台时，其中涉及第三人数据的部分具有被不当获取与使用的风险。[31]受数据信息的相互关联性特征影响，即便是不具有识别性的碎片信息，在大数据分析及算法技术的处理下，也可能成为具有识别性的个人信息。在“Facebook信息泄露案”中，剑桥分析公司在已获取的30 万原始数据基础上，通过大数据算法技术分析关联了8700 万的衍生数据。[32]其二，个人信息是否具有财产性价值，若具备相应的财产性价值则允许携带转移。对某些网红博主而言，部分不具备识别性的个人信息可能具有较大的经济价值。[33]譬如，那些隐藏自身真实身份，以科普、宠物、美食等为主题拍摄照片、视频或文字记录并上传各大网络平台的博主。他们上传的照片、视频、文字内容属于信息范畴，且具有重要的经济价值。若以不具“可识别性”无法纳入个人信息可携带范围为由，否定博主对其照片、视频、文字等信息享有个人信息可携带权，有失公允。由此，个人信息可携带权的客体并不局限于“已识别”与“可识别”的个人信息，而能够扩展至具有“商品化”价值的个人信息。不具备可识别性特征的个人信息，可因其具有财产性利益而符合个人信息携带转移的条件。其三，个人信息是否具有精神性价值，若具备相应的精神性价值则允许携带转移。一般而言，用户评论信息是消费者购买特定商品、服务或作出某项决定的参考依据，具有十分重要的经济价值。在特定情况下，部分用户会以匿名的网络日记、留言、评论等方式记录生活，此时“不具有识别性”的信息便具有纪念留念的精神价值。在司法实践中，因个人信息受到侵害而遭受精神损害的当事人，可向侵害人提起精神损害赔偿之诉。①北京互联网法院（2019）京0491 民初16142 号民事判决书。从权利属性的角度分析，自然人的个人信息权益可以是一种精神性人格权益。[34]个人信息可携带权的客体自然也可以是姓名、肖像、名誉、荣誉、隐私等精神性人格要素。囿于“本权权益”与保护“本权权益”权利的关系，为保护用户的精神利益而赋予用户对相关信息享有个人信息可携带权，具有一定合理性。经上述三重机制的爬梳剔抉之后，个人信息可携带权的客体得以浮现。

（三）个人信息可携带权的内容：转移能被自动化处理的数据

《个人信息保护法》第45 条第3 款中规定：“符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。”然而，信息处理者需符合何种国家网信部门规定的条件、信息处理者提供何种转移的途径，未得而知。与《个人信息保护法》相比较，GDPR 对信息处理者义务规定更为细致，同时也是我国在《个人信息保护法》立法中的重要参考文本。因此，可借鉴GDPR 第20 条规定对上述规定模糊部分予以厘清。GDPR 第20 条规定“数据主体有权获得其提供给控制者的相关个人数据，且获得的个人数据应当是经过整理的、普遍使用的和机器可读的，数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给给另一个控制者”。根据GDPR 第20 条规定可发现，信息处理者应当提供“转移的途径”具有以下三层含义：第一，《个人信息保护法》第45 条第3 款的“转移的途径”指自动化处理的信息转移渠道。个人信息携带转移是信息主体与信息处理者共同形成的民事活动。这一活动“主要是指个人信息处理者与个人所指定的个人信息处理者之间通过相关合同或协议来实现个人信息的转移”[35]346，仅凭信息主体的力量无法实现个人信息携带转移。在通常情况下，数字经济活动会产生体量十分庞大的数据信息。唯有预先设置转移渠道，信息处理者才能高效地实现个人信息转移之义务。例如，2018 年谷歌公司发起的“数据转移计划”（DTP）项目，参与该项目的公司数量众多，包括微软、推特、脸书以及苹果等公司。仅谷歌一家公司就有70 多种产品和服务支持用户转移传输其个人信息，每月传输量多达200 万条。在此背景下，人工处理的成本高且效率低，不具有现实价值与意义，需以自动化信息处理方式为主要途径。第二，《个人信息保护法》第45 条第3 款的“转移的途径”，意味着信息处理者需采取统一的格式标准。对此，可借鉴GDPR 的相关规定，以供参考。GDPR 数据携带权要求下载的格式是“结构化的、通用的和机器可读的”[36]。首先，“结构化”即电子数据结构，此形态的信息能够被操作系统自动化处理。其次，“机器可读”指数据能被机器软件或应用程序轻易地识别、提取、应用。最后，根据第29 工作组（Article 29 Working Party）发布的指南所述，何谓“通用的”需视信息处理者的具体场景与可能的技术情况而定[37]，并不强制要求各平台采取互相兼容的数据操作系统[38]。结合上述解释可知，各信息处理者需遵循一套“结构化的、通用的和机器可读的”的格式标准，以利于实现信息主体携带转移个人信息的需求。此外，上述格式标准仅针对被转移的数据信息，而不对信息处理者的转移系统作同等要求，即仅需保障各主体数据信息基本的转移功能。第三，《个人信息保护法》第45 条第3 款的“转移的途径”受“符合国家网信部门规定条件”限制。有学者指出，个人信息可携带权会大幅度增加企业的IT 成本[39]349，致使小型企业的经营活动难以为继。相较于一般的请求权而言，个人信息携带转移权对信息处理者的义务负担更重，若不加区分地令所有信息处理者都承担个人信息携带转移义务，未免过于严苛。这意味着，“需要在不同的场景中赋予个体不同程度的数据携带权”[40]。一种解决路径是以信息处理规模为边界，规定大型企业承担携带转移义务，而小型企业则不承担。如欧盟《数字服务法案》（Digital Services Act）第4 节第25 条第1 款规定，“服务对象的数量超过4500 万”即可归入超大型在线平台，并承担与其规模相适配的义务。小企业与大企业之间存在较大的能力差异，小企业不具有垄断市场的可能。只有达到一定处理规模的信息处理者才需承担设置个人信息转移渠道的义务，对个人信息携带转移义务作上述类型划分具有合理性。

三、个人信息携带转移过程中的协调适用机制

个人信息可携带权的功能、客体、内容澄清后，其规范适用问题尤待明晰。《个人信息保护法》第45 条与其他法律条款之间存在制度衔接不畅的症结。具体而言，包括死者近亲属能否继承死者的个人信息可携带权、信息处理者与合理使用条款如何适配、个人信息可携带权与人格权禁令制度如何协调等问题。为此，需立足于个人信息可携带权的规范属性，以构建个人信息可携带权的协调适用机制。

（一）继承转移：近亲属对死者个人信息享有可携带权

近亲属对死者个人信息享有可携带权，有助于强化对死者个人信息的保护。根据2020 年《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》（以下简称“精神损害赔偿责任规定”）第3 条规定，若“死者的姓名、肖像、名誉、荣誉、隐私、遗体、遗骨等受到侵害”，近亲属可请求精神损害赔偿，如“蔡志军、蔡玲玲等一般人格权纠纷案”①杭州铁路运输法院（2019）浙8601 民初1987 号民事判决书。。上述案例表明，借助于死者近亲属人格权，能够起到防止死者个人信息非法披露与利用的功用。作为人格权请求权的个人信息可携带权与人格权紧密关联。规定死者近亲属对死者个人信息享有个人信息可携带权，能起到保障死者个人信息免遭第三人侵害之功效。此外，死者近亲属对死者个人信息享有个人信息可携带权，还包括以下三点理由：其一，借助于体系解释可以发现，我国立法认可死者近亲属对死者个人信息的可携带权。《个人信息保护法》第49 条规定：“自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。”根据该条中“查阅、复制、更正、删除等权利”的表述，可以发现“等”字是对查阅、复制、更正、删除类似权利的兜底性表达。个人信息可携带权是与查阅、复制、更正、删除等权利处于同一位阶的权利。借助文意解释可将“转移”涵义解释进《个人信息保护法》第49 条的“等”字之中，死者近亲属对死者的个人信息享有可携带权。[41]其二，赋予死者近亲属个人信息可携带权的目的在于，实现个人信息的积极保护。结合精神损害赔偿责任规定第3 条、《民法典》第1034 条、《民法典》第990 条、《民法典》第994 条可知，《民法典》第994条中的“等”可以涵盖个人信息于其中。这意味着，当死者个人信息遭受侵害时，当事人可请求精神损害赔偿。然而，侵权法保护大多发生于损害产生后，同时具有相应的举证证明门槛，存在一定局限性。为消弭侵权法保护滞后与被动的困境，“《个人信息保护法》赋予了死者近亲属针对死者的个人信息可以积极行使相应权利，是一种积极、主动的保护”[13]。其三，死者近亲属对死者个人信息享有可携带权，有助于实现死者个人信息的价值。价值即客体对主体某种需要的满足。无论基于精神层面抑或财产层面，死者个人信息对死者近亲属而言，都可能具有某种特定价值。在“Ellsworth”案中②参见“赵鹏与杨喜东等隐私权纠纷案”，河南省鹤壁市淇滨区人民法院（2022）豫0611 民初426 号民事判决书；“丁伟、洪雅县云洁干洗店案”，山东省滨州市沾化区人民法院（2022）鲁1603 民初404 号民事判决书。，法院判令雅虎公司将死者的电子邮件尽数归还死者的父亲，以实现死者近亲属哀悼追忆的愿望。一般而言，死者的电子邮件、日记等，对其近亲属皆有睹物思人的精神层面价值。从财产角度分析，个人信息在特定情形下能够成为财产权客体。若死者近亲属享有相应的权利，则可充分激活死者个人信息潜在的财产价值。例如，死者的平台账号拥有大量粉丝，具有一定商业化价值，死者近亲属对平台账号的运营能带来财产收益。赋予死者近亲属对死者个人信息的可携带权，有助于实现死者个人信息财产利益的最大化。

（二）拒绝转移：个人信息转移与合理使用条款的衔接

个人信息可携带权与合理使用规则发生冲突时，该如何化解冲突？具言之，信息主体欲行使个人信息可携带权，而信息处理者以合理使用条款拒绝履行时，该如何协调二者？这一问题背后，隐含着私益与公益的价值衡量。在“Rīgas 案”①《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法（草案）〉审议结果的报告》。中，法院认为，基于保障第三方与公共利益的需要，信息处理者可以不经授权同意，而披露信息主体的个人信息。在“黄某与腾讯个人信息权益网络侵权责任纠纷案”②贵州省纳雍县人民法院（2019）黔0525 民初2550 号民事判决书。、“何某、南浦海滨花园业主委员会等隐私权纠纷案”③福建省厦门市中级人民法院（2017）闽02 民终975 号民事判决书。、“Rijkeboer 案”④山东省平度市人民法院（2021）鲁0283 民初5073 号民事判决书。中，法院均动态地考量各种因素，以判定被告行为是否构成侵权。在利益衡量背景下，个人信息可携带义务人能否依据《个人信息保护法》第13 条第1 款第2项至第7 项拒绝信息主体的携带转移请求，需分情况进行讨论。首先，《个人信息保护法》第13 条第1 款第6 项不能成为拒绝信息主体转移个人信息的合理依据。原因在于，个人自行公开或者其他已合法公开的个人信息，仍然需保障信息主体对其个人信息的控制与自决。有学者认为，“处理已公开的个人信息虽无须个人同意，但并不意味着个人信息处理者可以超过合理范围进行处理，也不意昧着个人不再享受人格权益或失去对这些信息的控制。”[42]86结合《民法典》第1036 条与《个人信息保护法》第13 条第1 款第6 项可以推知，立法者希冀信息能够充分自由地流通利用[43]，故而设置“自行公开或者合法公开的信息”这一例外情形。《个人信息保护法》第45 条所规定的个人信息可携带权，并不与《民法典》第1036条与《个人信息保护法》第13 条第1 款第6 项相悖，反而起着补充完善之功能。《个人信息保护法》第45 条在促进信息流通、共享、利用之余，也能同时确保信息主体携带转移其个人信息，间接体现信息主体的自决权与控制权。其次，《个人信息保护法》第13 条第2 项、第4 项、第5 项、均不能成为拒绝信息主体转移个人信息的合理依据。事实上，《个人信息保护法》第13 条第1 款第2项、第4 项、第5 项之立法目的在于，通过设置无需信息主体同意而处理利用个人信息的例外情形，以实现信息的充分流通利用。在“为履行合同所必需”“为应对突发公共卫生事件或者紧急情况”“为公共利益”等情形下，信息处理者当然享有处理使用个人信息的权利。信息处理者对个人信息处理使用权利并不必然与携带转移义务相冲突。在数据信息自动化处理的前提下，信息携带转移既不会陡然增加处理成本，也不会妨碍突发事件的应急处理。有鉴于此，信息处理者履行个人信息携带转移的请求具有合理性。最后，《个人信息保护法》第13 条第1 款第3 项与第7 项，均为信息处理者拒绝信息主体携带转移个人信息提供制度空间。在《个人信息保护法》第13 条第1 款第3 项规定的“法定职责或者法定义务所必需”情形中，履行法定职责与义务的信息处理者，无须为信息主体转移个人信息。不仅如此，《个人信息保护法》第13 条第1 款第7 项所规定的“法律、行政法规规定的其它情形”作为兜底性条款，亦为信息处理者营造出拒绝信息主体携带转移请求的制度空间。信息处理者根据特定法律法规得以拒绝相关信息主体携带转移的请求。综上所述，在《个人信息保护法》第13 条第2 项、第4 项、第5 项、第6 项的情形下，信息处理者不得拒绝信息主体携带转移个人信息的请求。

（三）强制转移：个人信息转移过程中人格权禁令的引入

信息主体与信息处理者之间存在难以跨越的数字鸿沟，个人信息可携带权的实现完全取决于信息处理者是否履行其携带转移义务。一旦个人信息可携带义务人不履行或延迟履行义务，则可能导致个人信息可携带权的查询、复制、转移权利内容被架空。为此，需引入《民法典》第995 条的规定，以构造出人格权请求权保护的周延体系。与《民法典》第1165 条相比，《民法典》第995条并未规定行为人过错以及损害后果的适用要件，且该条的适用范围更广。《民法典》第995 条中的“‘消除影响’‘恢复名誉’‘赔礼道歉’应不属于人格权请求权”[44]，无法为权利人提供预防损害发生的功能。与之相反，“停止侵害、排除妨碍、消除危险”作用于损害发生前或进行中，能及时有效地保障信息主体的合法权益。当信息主体以“停止侵害、排除妨碍、消除危险”为由，提出个人信息携带转移要求时，信息处理者需“立即”为其办理转移事宜，否则对损害扩大部分承担连带责任。此外，根据《民法典》第997 条规定，“民事主体有证据证明行为人正在实施或者即将实施侵害其人格权的违法行为，不及时制止将使其合法权益受到难以弥补的损害的”，当事人有权向人民法院申请采取责令行为人停止有关行为的措施。对此条款，结合《个人信息保护法》第45 条，可作如下理解：首先，对信息携带转移义务人而言，其违法行为以不作为为主。“正在实施或者即将实施侵害其人格权的违法行为”是指，在被告知信息主体所面临人格利益损害的危险后，信息处理者仍不履行携带转移义务。其次，信息主体对合法权益受到难以弥补的损害的举证，不必达到盖然性证明标准，仅需证明人格权存在遭受侵害的可能。[45]若非如此，难以及时防止人格权损害的发生与扩大，也有违人格权禁令的制度目的。人格权禁令制度的引入，能够有效地遏制人格权损害的继续发生。当信息处理者拒绝履行个人信息转移义务，且无视“停止侵害、排除妨碍、消除危险”请求，会带来难以弥补的人格利益损害时，信息主体可向法院申请人格权禁令，且仅需证明信息主体人格利益存在侵害可能。综上所述，《个人信息保护法》第45 条、《民法典》第995 条、《民法典》第997 条共同构成人格权请求权保护的阶层体系：首先，信息主体可依据《个人信息保护法》第45 条向信息处理者主张携带转移的请求。其次，当人格利益即将或正在遭受侵害时，可以《民法典》第995 条的“停止侵害、排除妨碍、消除危险”为由，请求信息处理者立即履行携带转移义务。最后，当信息处理者拒绝履行《个人信息保护法》第45 条与《民法典》第995 条所规定之义务时，信息主体可根据《民法典》第997 条规定，向法院申请人格权禁令，并通过法院强制执行信息携带转移之义务。若不具备强制执行信息携带转移条件的，可对信息主体个人信息进行封存保护，或执行其他替代性的保障措施。

四、结语

数字技术作为科技革命与产业变革的先导力量，日益融入于社会生活的方方面面之中，深刻地改变着人们的生活方式、生产方式，也给社会的数字治理带来巨大挑战。为打破企业寡头对数据信息的垄断，同时弥合企业与用户之间的“数字鸿沟”，立法者特别为信息主体设置个人信息可携带权，并规定于《个人信息保护法》第45 条之中。然而，既有法律对个人信息可携带权的规定存在诸多模糊不清之处。对此，需立足于整体性的系统思维，从规范内部构造与外部协调适应两个层面对个人信息可携带权予以完善。“在保障个人信息权益的基础上，促进信息数据依法合理有效利用，推动数字经济持续健康发展。”[46]对信息主体而言，个人信息可携带权有助于强化自身对个人信息的控制能力。对信息处理者而言，个人信息可携带权有益于营造公平有序的数据信息市场环境。唯有将目光“来回往返”于信息主体与信息处理者之间，并牢牢掌控私益保障与公益保护价值衡平的方向舵，才能真正扬起数字时代巨轮的风帆。从权利属性分析，个人信息可携带权的客体利益构成纷繁复杂，个人信息可携带权兼具人格权与财产权的双重属性。个人信息可携带权流变不居的属性特征，既是数字时代下法律滞后的具体表现，也是既有法律系统对现代社会高度复杂性化约不能的必然结果。在此背景下，以“本权权益”与“保护本权权益权利”的功能划分，代替“人格权”与“财产权”的属性划分，具有合理性。个人信息可携带权的这种划分方式，投射出以“差异”应对“差异”而非以“同一”应对“差异”的系统观察者视角。据此，个人信息可携带权人面临的适用环境是复杂的，个人信息可携带权的权利目标会是多重的。为消弭外部环境复杂性所带来的不确定性，个人信息可携带权的规则应是尽可能清晰的。在这个意义上，对个人信息可携带权展开研究，既有助于构建公平有序的数字市场营商环境，也为相关的立法与司法实践提供了理论支撑。