个人信息可携带权的实践困境及对策研究

欧阳楚楚

摘 要｜随着数据产业的迅猛发展，越来越多的个人信息被收集利用，如何提高个人对其个人信息的控制权成了各国立法关注的问题。我国《个人信息保护法》规定了个人信息可携带权，旨在增强个人信息自决、促进数据流通，进而鼓励公平竞争。但是个人信息可携带权落地后，在实践中面临着客体范围和行权条件模糊、存在利益冲突、个人信息转移存在技术障碍的问题。现有法律条文的规定较为笼统，无法为实践提供明确指引。本文对个人信息可携带权的实践困境进行分析，提出了通过立法明确个人信息可携带权的客体范围和行权条件、明确利益归属问题、建立互操作性平台或使用应用程序接口破解技术障碍的解决途径。

關键词｜《个人信息保护法》；个人信息可携带权；客体范围；利益冲突

Copyright ? 2023 by author （s） and SciScan Publishing Limited

This article is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License. https：//creativecommons.org/licenses/by-nc/4.0/

随着全球数字经济时代的到来，数据已成为一项重要战略资源并被列为第五大生产要素。a大型数据平台掌握了海量个人信息，在行业内形成了不可撼动的地位。当信息泄露、隐私权受到侵犯时，仅靠个人的力量无法和数据企业巨头抗衡。在此情况下，如何提升个人对其信息的主导权是各国立法都较为关注的问题。在个人信息保护立法层面，欧盟一直走在前列。欧盟《通用数据保护条例》（以下简称GDPR）第20条首次规定了数据可携带权。GDPR出台后，在世界范围内产生了巨大反响，各国纷纷跟进立法。

《个人信息保护法》起草过程中，第一次和第二次审议稿中均没有规定可携带权，第三稿才增加了个人信息可携带权的规定。从立法过程论的角度看，反映出立法者对引入个人信息可携带权的斟酌权衡。这体现了我国立法在个人信息保护方面作出的努力，同时也表明了个人信息可携带权作为一种新兴权利，虽然在实践中可能会遇到不少困境，但也是在全球化数据时代大趋势下不得不明确的一项权利。

现有关于可携带权的研究大多聚焦于GDPR，详细解读GDPR中的各项规定，在比较法视角下分析如何在我国本土构建可携带权，为学习了解域外可携带权提供了丰富的文献资料。现阶段，我国已经在立法上确立了可携带权，对于该权利的研究应从实践应用角度出发，多关注其落地实施情况，才能真正实现立法目的。本文从个人信息可携带权的实践现状出发，分析个人信息可携带权的实践困境，并提出解决方案。

一、个人信息可携带权的实践现状

笔者通过检索裁判文书网发现，目前仅有一份裁判文书涉及个人信息可携带权，且于2019年立案并开庭审理。在腾讯诉搜道不正当竞争纠纷案中，两被告搜道公司与聚客通公司提出微信用户享有个人数据可携带权，但是由于当时我国并未确立个人信息可携带权，《网络安全法》和《电子商务法》也无法提供法律依据，最终法院以缺乏法律和事实依据，未予支持被告的主张。

自2021年11月个人信息可携带权确立以来，目前尚无第二份涉及个人信息可携带权的相关司法裁判文书。由此可以看出，虽然《个人信息保护法》第四十五条第三款明确了个人信息可携带权，但落地实施情况并不理想。

根据南都个人信息保护课题组出品的《个人信息安全年度报告（2022）》，在150款被测试的App中，只有45款App在隐私政策中告知个人信息副本可下载且可转移，更多的App则只提到了可下载并未提到转移。在发出下载和转移个人信息请求后，测试人员只收到了14款App提供的个人信息副本，其中有两款App“快手”和“作业帮”提供的个人信息副本无法打开。能下载到个人信息副本的App大多数是在App内部提供了个人信息自动化导出的功能，其他获取个人信息副本的渠道如打电话、发邮件、联系客服等，几乎都没能获得个人信息副本。很多App运营者没有真正理解和落实个人信息可携带权。从报告来看，目前行使个人信息复制权尚能部分实现，但是请求个人信息处理者直接将信息转移给指定的另一信息处理者并未有成功案例。目前许多互联网企业对于个人信息可携带权还未有足够关注，虽然现有法律条文已有规定，但是还较为笼统，无法为实践提供明确指引。

二、个人信息可携带权的实践困境分析

（一）我国个人信息可携带权的客体范围和行权条件模糊

我国《个人信息保护法》关于个人信息可携带权的规定没有明确可携带权的行使条件及客体范围，而是授权国家网信部门进行规定。根据《网络数据安全管理条例（征求意见稿）》第二十四条的规定来看，个人信息可携带权的客体范围是本人信息或者请求人合法获得且不违背他人意愿的他人信息。个人信息可携带权的行使条件包含两点，一是该个人信息是基于个人信息主体同意或者订立、履行合同所必需而收集的个人信息，二是能够验证请求人的合法身份。但是与欧盟第29条工作组颁布的《数据可携带权指南》相比，我国关于个人信息可携带权的规定仍属于粗线条规定，无法为实践提供明确指引。不完全的法条设计，虽然具有灵活性，但在适用上也会存在不确定的弊端。

GDPR首次规定了数据可携带权，相关规定较为详细，对其他各国个人信息领域立法具有引领作用。根据其第20条规定，数据可携带权的行权条件为以下三点：第一，该数据是基于数据主体的同意或者履行与数据控制者之间的合同所需提供给数据控制者的个人数据；第二，该数据以自动化方式进行处理；第三，该权利的行使不能违反被遗忘权的规定，不适用于为公共利益执行任务或数据控制者依官方指令进行的必要的数据处理且不得侵犯他人权利和自由。同时根据《指南》中的解释，数据可携带权的客体范围包括数据主体在知情情况下主动提供给数据控制者的数据、数据主体因使用服务或设备而提供的观测数据。观测数据包括浏览记录、位置数据、由可穿戴设备追踪的心率等数据。数据控制者根据收集到的个人数据进行加工处理后的衍生数据，是数据控制者通过各种算法和技术过滤分析后已经无法识别出数据主体的数据，最具商业价值和竞争力，不在数据可携带权的范围之内。

通过对比分析可以发现我国在个人信息可携带权的行权条件上未规定因公共利益、法律法规的规定或者侵犯他人利益而不能行权的情况，在实践中容易导致个人信息可携带权的行使范围过广、与公共利益或他人利益冲突的问题。数据可携带权与其他权利的冲突是制度构建必须解决的重要问题。另外，对于“本人信息”是否仅包括个人信息主体主动提供的信息，如身份证号、居住地址、手机号码等，还是也包括个人信息主体因使用服务而提供的浏览记录等观测数据，以及信息处理者通过对收集的信息进行加工处理后的衍生数据并没有进行规定。在数据产业时代，衍生数据是互联网企业的核心数据，通过对收集来的个人信息加工处理，可以收集某一地区人群的消费习惯、预测個人偏好、某一时期的经济走向、相关行业未来发展趋势等。这些数据经过匿名化处理和特殊算法进行加工后，有些会成为企业的商业秘密和知识产权。在法律没有明确规定的情况下，个人信息处理者为使其自身利益最大化，往往会压缩个人信息主体的权利。个人信息可携带权客体范围的界定对于保护互联网企业和个人信息主体的权利至关重要，当前模糊规定是个人信息可携带权难以落地践行的一大问题。

（二）存在利益冲突

在行使个人信息可携带权的过程中，存在两方面的利益冲突。一方面是个人与个人信息处理者之间的利益冲突，另一方面是原个人信息处理者与个人指定将其个人信息转移至其处的后个人信息处理者之间的利益冲突。

对于个人与个人信息处理者之间的利益冲突，主要体现在个人信息的归属问题上。在安徽美景与淘宝商业贿赂不正当竞争纠纷二审裁判文书中，法院认为经过算法提炼整合、分析过滤后衍生数据归属于个人信息处理者，但目前仍缺乏法律依据。另外，对于观测数据和衍生数据的界定也待明确。我国现行立法上并未规定观测数据和衍生数据，本文所提到的这两个概念来源于《指南》中的解释。在现行法律没有明确个人信息可携带权的客体范围前，个人信息主体能否请求转移观测数据和衍生数据无法给出明确的指引。

原个人信息处理者是一开始存储个人信息的主体，在为个人提供服务的过程中，个人信息处理者会利用不同算法对初始的个人信息进行加工，旨在为使用者提供更好的服务。如果此时，个人信息主体提出将其个人信息转移到另一信息处理者处，那么此部分包含了原个人信息处理者劳动成果的信息将会转移到其竞争对手处。接收个人信息的后个人信息处理者只需要提供传输途径就可以轻松取得这些信息和随之而来的用户。在这种情况下，尽管法律规定了个人信息处理者在个人请求转移其个人信息时的义务，原个人信息处理者也会怠于履行相关义务，甚至想方设法阻止个人行使个人信息可携带权，不利于信息的流通和技术的创新。从静态使用角度看，似乎让更多主体获得数据，可以进一步加强数据互通，但是数据资源是需要动态累积和生产的。所以，要在尊重原数据处理者劳动成果的基础上促进数据的流通。

（三）个人信息转移存在技术障碍

我国法律目前并未明确个人信息转移的途径和传输方式，未对个人信息处理者提出技术要求，条文只表明个人信息处理者应当提供转移的途径。在实践中，各个企业提供转移的途径和存储数据的格式可能是不同的，在操作中会遇到诸多问题。如前文所说，根据《报告（2022）》，目前只有极少数App在系统内部提供了个人信息自动化导出的功能（并未提到有App提供自动化导入功能），这也是实践中获得个人信息副本最有效的方式。但若强制要求所有企业自行在应用程序中设置个人信息自动化导入和导出功能，对企业来说成本较高，中小企业可能无力负担。明确可携带权的立法目的之一就是促进数据的流通，实现数据利用的最大化，达到反垄断的效果。若规定各企业自行研发信息自动化导入和导出功能，对于互联网巨头来说很容易实现，但是对于中小企业来说是一笔巨额研发费用，不利于其发展，更难解决目前互联网巨头垄断数据的现状。

另外，参照域外立法，GDPR序言也表示数据可携带权的行使不会使数据控制者负有采用或维持技术上兼容的处理系统的义务，在技术上可行的情况下，数据主体方可要求行使数据可携带权。目前用户最多只能下载个人信息，并自行将相关信息转移到其他平台，App之间还没有一个互相连接的渠道为用户将个人信息转移到其指定的信息处理者。现阶段，让每个企业在App内自行研发个人信息转移功能并不现实，个人信息转移面临的另一问题便是在技术上存在障碍。当用户提出转移个人信息的请求后，个人信息处理者通过何种途经来实现是当前要解决的问题。

数据是互联网企业的核心资产，通过数据分析可以开发出迎合用户喜好的产品、了解其产品的受众人群等。如果个人信息能够便捷地从一个平台转移到另一平台，便会打破锁定效应、促进数据流通，部分数据将流入中小企业，消除其进入市场的壁垒，从而促进公平竞争。目前我国法律并未明确信息转移技术问题的应对方法，怎样突破技术障碍，是个人信息控制权实现必须正视的问题。

三、个人信息可携带权的法理基础

《个人信息保护法》第四章规定了7种权利，虽然这些权利功能不同，但是存在着内在的联系，形成了一个权利体系。查阅复制权与可携带权都规定在第四十五条，其中第1款和第2款规定的是查阅复制权，第3款规定的是可携带权。查阅复制权涉及个人信息主体和个人信息处理者两方主体，而可携带权关系到个人信息主体、个人信息处理者，以及个人信息主体指定的将其个人信息转移到其处的另一方个人信息处理者三方主体，与查阅复制权相比，其法律关系较为复杂。从立法目的来看，我国个人信息可携带权应当是包括了接收权和请求转移权两部分。《中华人民共和国个人信息保护法（草案）》审议结果的报告第七条的表述为“有的常委委员和社会公众、部门、专家提出，为方便个人获取并转移其个人信息，建议借鉴有关国家和地区的立法，增加个人信息可携带权的规定”。从中我们可以看出，此表述中个人信息可携带权包括了“获取”和“转移”两部分，采用了与GDPR相同的模式。

GDPR数据可携带权既包括数据主体以结构化的、通用的、可以机读的方式的接收权，又包括了在技术上可行的条件下将个人数据从某一控制者直接传输至其他控制者的转移权。我国《个人信息保护法》第四十五条第3款规定的个人信息可携带权仅指明了个人信息处理者将个人信息转移至另一信息处理者的转移权，并没有提到个人信息主体的接收权。既然确立个人信息可携带权的目的是促进数据流通和提高个人信息自决，个人却无法以机读的方式获取个人信息，这样的权利无疑是“跛脚的”。将复制权扩展为传统复制权和个人信息接收权两部分，是当前在尊重立法原意的基础上，最为稳健的解释路径。

目前学界对个人信息可携带权的属性主要有新型权利说（兼具人格权属性与财产权属性）、人格权说、数据权说、基本权利否定说等几种主流观点。笔者认为个人信息可携带权是一种兼具人格权属性和财产权属性的新型权利。《民法典》将个人信息保护规定在人格权编并将其与隐私权并为一章，从中可以看出它的人格权属性。个人信息包括生物识别信息、行踪信息和健康信息等，与自然人的人格尊严和人身自由密切相关。个人信息具有复制性、流通性较强的特征，大数据时代下的个人信息主要的功能不光在于实现公共利益，而且在于它的经济价值。在数据时代，个人通过行使可携带权可将个人信息从一个平台转移到其他多个平台，虽然少量个人信息不会给企业带来多少福利，但是数量庞大的个人信息的集合经过加工处理（即我们通常所说的大数据）能给互联网企业带来巨额财富。个人信息可携带权的立法目的旨在打破数据垄断、促进信息流动、带动科技创新并提升个人对个人信息的控制权。虽然个人信息起初来源于个人，但是由于其复制性强、蕴含着公共利益和经济利益，使得个人对其个人信息的控制是一种非完全控制。个人可以对其个人信息进行使用、收益、处分，但却不能完全占有，个人信息的占有权能使个人信息处理者通常占有个人信息。我国的个人信息可携带权实质上是一种请求权，个人请求个人信息处理者转移其个人信息时，个人信息处理者才履行相应义务，此时应当提供转移的途径。

四、破解个人信息可携带权实践困境之对策

（一）通过立法明确个人信息可携带权的客体范围和行权条件

GDPR最早提出数据可携带权，结合欧盟第29条工作组在《指南》中的解释，其关于数据可携带权的规定较为详细，明确了数据可携带权的客体范围和行权条件。美国在个人数据可携带权方面较具有代表性的CCPA也规定了观测数据和衍生数据。不同的是，GDPR的立法模式以数据控制者为中心，而CCPA则以企业为主导，更为关注数据的利用价值，这也较符合美国的基本国情。相对于欧盟GDPR，我国对个人信息可携带权的立法目的在规范竞争和反垄断层面的蕴意更加浓厚。我国未来在明确个人信息可携带权的客体范围和行权条件时，要避免照搬、照抄欧盟的数据可携带权规定，可以在符合我国国情的情况下，参考欧美数据可携带权的相关条款。基于我国个人信息可携带权目前在实践中的困境，通过后续立法明确个人信息可携带权的客体范围和行权条件是十分必要的。

个人信息可携带权本身对个人信息处理者施加了较重的义务，若将个人信息规定过宽，将使个人信息处理者承担过于沉重的负担，反而不利于技术创新。笔者认为，现阶段在个人信息可携带权的客体范围上，可以通过立法明确个人信息主体提供的原始信息和经过技术处理后的衍生数据的归属。个人信息主体主动且知情情况下提供给个人信息处理者的信息应属于个人信息主体，经过个人信息处理者匿名化加工处理后的衍生数据不应纳入个人信息的范圍。个人信息处理者将收集到的信息进行加工处理后，这些信息有些就成了企业的商业秘密或知识产权。这些经过处理后的数据已无法识别到最初提供个人信息的主体，实现了匿名化，即衍生数据的使用不会对个人信息主体造成损害。诸多此类数据汇集到一起，能产生巨大的经济价值。在数据时代，个人信息可携带权对于促进数据的流通和充分利用具有重要意义。关于个人信息可携带权的行权条件，至少应加入因法律法规规定或行使该权利将损害公共利益或他人利益的情况下不能行使个人信息可携带权这一规定，以解决与公共利益或他人利益冲突的问题。

（二）通过立法明确利益归属问题

要解决个人信息主体和个人信息处理者之间的利益冲突，不仅要明确个人信息可携带权的客体范围，还要对观测数据和衍生数据进行明确界定。对于个人信息处理者之间的利益冲突问题，归根结底在于对个人信息处理者加工处理后的个人信息的归属问题的界定。我国立法上并未提及观测数据和衍生数据的概念，本文中所提到的这两个概念，来源于欧盟《指南》中的解释。就目前各国立法实践来看，对于衍生数据的归属并无争议，应当归属于个人信息处理者。但是对于观测数据来说，虽然个人信息处理者进行了相应的技术处理，但是处理后的信息仍与个人信息主体广泛牵连。如何界定观测数据的归属，是解决各方利益冲突的关键。基于以上分析，笔者认为在我国个人信息可携带权的框架下，观测数据可以按照个人信息主体与个人信息处理者对信息贡献度的比例进行划分，个人信息主体贡献较多的信息纳入个人信息的范围，个人信息处理者通过算法合成等技术贡献值较多的不应纳入个人信息的范围，应和衍生数据一同归属于个人信息处理者。综上所述，要平衡各方主体在个人信息可携带权行使过程中的利益冲突，还要在后续立法中明确观测数据的归属问题。

（三）建立互操作性平台或使用应用程序接口破解技术障碍

欧盟第29条工作组建议适用API（应用程序接口）来促成自动化的数据可携带权。如何理解API？比如一家刚成立的打车App，在其应用程序使用过程中必然会用到地图功能，但是再投入研发地图模块对于打车App来说成本较高，在这时可以在地图App（高德地图、百度地图）的开放平台找到地图API，通过购买地图App的服务就可以在打车软件页面上线地图功能了。这样对企业来说既方便，又节省了研发成本。API的应用使个人可以通过他们自己或第三方的软件提出关于个人数据的请求。除了使用应用程序接口外，美国企业大多使用DTP项目转移数据。数据传输项目（DTP）是苹果、谷歌、脸书、微软和推特等大型企业的合作项目，旨在创建一个开源的、从服务到服务的数据携带权平台，减少供应商和用户的基础设施负担，以便网络上的所有个人可以轻松地在在线服务供应商之间移动数据。DTP模式可以解决行使数据可携带权中操作不便的问题，对我国建立互操作性平台具有一定借鉴意义。但是它的弊端在于目前参与DTP的都是运营较为成熟的企业，中小企业被拒之门外。另外，韩国2022年在金融领域开展了MyData项目试点，用户可以通过MyData App要求金融机构将用户个人信息通过API传递到MyData中，用户在此App中可以对个人信息进行一站式查询。虽然该项目有政府的加入，但由于种种原因推行得并不顺利。

我國对数据转移的传输方式未有明确规定，在实践中，不同企业通过不同传输方式为个人转移信息会存在诸多问题。个人信息可携带权的行使同样也面临着技术障碍，许多App并没有在程序中设置个人信息转移功能，而且企业自行研发此功能将耗费巨额资金。目前我国很多App运营者并不真正理解个人信息可携带权，其更不会耗费巨资为履行该义务进行研究，另外很多中小企业也无力为此投入资金。我国可以参照DTP模式，在照顾中小企业的基础上由政府牵头鼓励行业间建立互操作性平台，或者在法律层面给出传输方式的相关建议来破解此实践困境。

五、结语

个人信息可携带权作为一种新兴权利，现有文献资料对其研究并不完备。我国个人信息可携带权在实践中面临着客体范围和行权条件模糊、存在利益冲突、个人信息转移存在技术障碍的问题。考虑到我国个人信息可携带权最早起源于欧盟GDPR，属于舶来品，笔者认为可以在符合我国国情的情况下，参考域外立法，做到对GDPR数据可携带权的扬弃。可以借鉴域外成熟经验，通过立法明确个人信息可携带权的客体范围和行权条件、明确利益归属问题、通过建立类似于API、DTP模式的互操作性平台或应用程序接口破解技术障碍来解决我国个人信息可携带权目前的实践困境。

The Practical Dilemma and Solution of Personal Information Portability Right

Ouyang Chuchu

Shanghai University of Political Science and Law， Shanghai

Abstract： With the rapid development of the data industry， more and more personal information is collected and used， how to improve the control of personal information has become the legislative concern of various countries. Chinas Personal Information Protection Law provides for the right to portability of personal information， aiming to enhance the self-determination of personal information， promote the flow of data， and encourage fair competition. However， after the implementation of personal information portability， there are some problems in practice， such as fuzzy object scope and exercise conditions， conflicts of interest， and technical obstacles in personal information transfer. Based on the analysis of the practical dilemma of personal information portability right， this paper puts forward some solutions to clarify the object scope and exercise conditions of personal information portability right through legislation， clarify the problem of interest ownership through legislation， establish an interoperability platform or use application program interface to break the technical barriers.

Key words： Personal Information Protection Law; Personal information portability right; Object scope; Conflict of interest