論個人信息保護與市場競爭的互動關系
——從個人信息保護視角觀察*

王融 / 騰訊研究院專家

一、引言

一個多世紀前的工業時代，隱私保護學說和競爭法制度幾乎同時誕生。1如果聚焦于美國法律史，一個有意思的發現是，美國隱私法原理和競爭實體法誕生在同一年。1890年，美國人薩姆爾.D.沃倫（Samule D.Warren）和路易斯.D.布蘭代斯（Louis D.Bran-deis）在《哈佛法學評論》（第四期）上發表的《論隱私權》一文是有關隱私權的第一篇法學專論。自此以后，法律實務和法律學說都對隱私權問題展開了孜孜不倦的探索。而與此同時，美國的第一部競爭成文法《謝爾曼法》也于1890年頒布。人類歷史上也首次通過法律制度，來保護喧囂市場中個人的安寧與自由，免受外界過分滋擾；同時保護經營者的競爭自由，建立公平、正當、有序的市場秩序。長久以來，隱私保護法與競爭法區隔明顯，二者在調整行為、執法機構、救濟機制等方面涇渭分明。例如，房東在租戶的屋子里安裝了竊聽裝置，毫無疑問人們將圍繞隱私問題而探討，與競爭法無關。

但是，一百多年后的今天，信息通信技術所帶來的數字化洪流，將人類社會推入到以數據為生產資料的新時代，隱私與競爭問題變得不再那么容易區隔，而是密切交織在一起。同一個市場活動，可能會同時引發隱私與競爭問題關切。特別是在國內互聯網市場，自“3Q大戰”2“3Q大戰”指自2010年9月開始的，網絡安全企業奇虎360與騰訊之間一系列的糾紛，爭議包括隱私、競爭等話題，糾紛訴訟至2014年最高院判決告終。北京奇虎科技有限公司訴騰訊科技（深圳）有限公司、深圳市騰訊計算機系統有限公司濫用市場支配地位糾紛案，(2013)民三終字第4號。以來，圍繞數據的競爭日益白熱化，特別是近兩年，從“新浪訴脈脈”案，3北京淘友天下技術有限公司等與北京微夢創科網絡技術有限公司不正當競爭糾紛上訴案，(2016)京73民終588號。“菜鳥順豐之爭”、4“順豐菜鳥之爭”是指2017年6月發生的，快遞企業順豐與阿里菜鳥網絡之間的爭議，同樣包含隱私、競爭話題，該糾紛以國家監管部門的介入而告一段落。到“大眾點評訴百度地圖”案，5大眾點評訴百度不正當競爭案 (2016)滬73民終242號民事判決書。幾乎每一個糾紛都同時引發了隱私與競爭問題的共同關切。隱私與競爭問題彼此交織，呈現復雜的市場面貌。但究其原因，更多與數字經濟的生產資料-數據本身的二元屬性相關。

其一是數據所帶有的用戶權利屬性。個人依據隱私與個人信息保護法，享有隱私保護利益以及個人數據利益。6本書中的“隱私”概念涵蓋了隱私權學說的隱私利益保護，以及以隱私權為基礎的個人信息保護，為行文簡潔，統一表達為“隱私”。數字經濟中的數據資料十分廣泛，包括不具有個人身份屬性的其他數據，如天氣、礦產資源、工業數據等。但不可否認，我們正在經歷的移動互聯網時代，所累積的數據礦藏中最有價值的部分多集中于個人數據。當然，也有人質疑，由于網絡世界的無孔不入，用戶基于數據的隱私權利早已不復存在。但事實恰恰相反，隱私保護權利不論在學說上，還是法律實踐上，都有著長足的發展。人們普遍認為：“隱私”并不是信息分享的對立面，而是對信息分享的控制。用戶與特定的經營者分享個人信息，并不影響用戶就該部分信息對經營者主張“合理的隱私期待利益”，歐盟更是強化了用戶的個人數據保護權利，各國網絡安全法關于網絡服務提供者的安全保障義務，也很大程度構建在保護用戶隱私權及個人信息合法利益的基礎之上。

其二是數據本身的競爭價值屬性。數字經濟，不止于經濟活動本身的數字化。離開數據的支撐，產品和服務提供將難以為繼；更為關鍵的是，競爭方式的數據化，某些商業活動離開數據的哺育，產品和服務無法得以優化，從而無法形成核心競爭力。以搜索引擎業務為例，谷歌2016年處理的搜索請求年度超過2萬億次，平均每秒超過6萬次以上,7Danny Sullivan: “Google now handles at least 2 trillion searches per year”, available at https://searchengineland.com/googlenow-handles-2-999-trillion-searches-per-year-250247, last visited on Dec.23th 2018.也正是基于巨大豐沛的數據資源，谷歌的核心算法得以不斷優化，僅2014年核心算法改進890次之多。算法和數據之間的良性互動，使得谷歌始終在搜索結果的相關性、快速性、及時性上保持領先競爭力。

對于隱私與競爭問題的交匯，如何協調適用隱私法和競爭法，有著不同觀點。有觀點認為：對數字市場競爭問題的考量，不僅應當關注價格因素，還應納入隱私等非價格因素；但也有反對者認為，仍應區分競爭與隱私問題的不同性質，將隱私問題交由隱私法和相應的執法機構去解決。8Maurice E.Stucke and Allen P.Gruenes, Big Data and Competition Policy, Oxford, 2016, pp.259-260.但事實上，盡管同一類行為同時觸發了隱私與競爭關切，但隱私與競爭法的制度目標、調解方式仍有明顯區別，關鍵在于不論是隱私問題的調查分析，還是競爭問題的調查分析，都不應再滿足于單一的一元元素的分析，而要考慮到其他方面。換言之，個人信息保護法與競爭法要彼此關注和呼應原本屬于對方領域的問題。

二、隱私與市場的關系

（一）隱私保護與市場效率并不完全是對立關系

對于隱私保護和市場效率，普遍存在著二者對立的誤解，認為隱私保護降低了信息流動的效率，對創新發展有阻礙作用。正如法經濟學者理查德·艾倫·波斯納（Richard Allen Posner）認為：隱私并不如人們所感知那樣，它并不是多數人所相信的社會價值（Posner 2008）。

隱私機制在降低信息流動效率的同時，同時存在隱私與市場和諧關系的另一面，即隱私保護機制幫助市場更有效和穩定的運行。隱私讓個人區別于他人，成為獨立的個體。同時，個人無法在真空中獲得自我實現，他/她需要進入社會，了解到他人的信息，而市場在其中發揮了重要的角色。如果隱私缺失，一些社會活動、機制、以及人類所認同的價值觀念將遭到侵蝕。事實上，隱私一直是市場機制有效運行的不可或缺的一部分。已有社會試驗表明，在工作場景中，如果雇主使用全面的監控系統，實際上雇員的工作效率最低。9Ryan Calo, Privacy and Markets,“a Love Story, Legal Studies Research Paper” No.2015-26, University of Washington School of Law.

（二）隱私是市場競爭中一個重要的維度

隱私與競爭是市場得以持續活力發展的兩大基石。二者背后的價值根基都折射了人類對自治和自由的追求。隱私保護關涉個人自由與安寧，而競爭法則保障經營者的經營自由秩序。充滿競爭活力的市場，也將為用戶提供有效的隱私保護供給。

以美國市場為例，盡管谷歌、臉書等巨頭企業已經覆蓋了搜索、社交的主流市場，但基于用戶隱私保護功能的業務創新依然活躍。在搜索市場，以“不追蹤用戶”為競爭賣點的鴨鴨果（DuckDuckGo），明確表明不會記錄用戶的搜索行為，默認不利用“儲存在用戶本地終端上的數據（以下簡稱Cookie）”。2016年鴨鴨果（DuckDuckGo）搜索總量超100億次，10DuckDuckGo, “Blog—10 Billion Private Searches & Counting!”, available at https://spreadprivacy.com/10-billion-privatesearches/, last visited on Feb.23th, 2018.在全球市場的熱度翻倍，成為全球第5大搜索引擎網站。11Source ：Alexa,“The top 500 sites on the web,” available at https://www.alexa.com/topsites/category/Computers/Internet/Searching/Search_Engines, last visited on Feb.23th, 2018.在2017年第一季度，主打“閱后即焚功能”的快照（Snapchat）社交軟件日活躍用戶已經達到1.6億，每日視頻點播量和臉書相當。12Source: Snapchat - Statistics & Facts, available at https://www.statista.com/topics/2882/snapchat/, last visited on Feb.23th,2018.可見，隱私保護仍然作為人類最基本的需求而存在，而一個有效競爭的市場能夠面向此類需求提供服務，并展開競爭。而對于蘋果、臉書、谷歌這些大型互聯網公司而言，也始終將隱私保護作為其核心理念。特別以蘋果為例，隱私保護是其產品的核心賣點之一。從最初的設計階段開始，隱私保護的理念就已植根于產品與服務之中。在2016年協助FBI調查案件事件中，蘋果與美國政府公開叫板，指責政府不應要求其在產品中增加后門。13Apple -Customer Letter, available at https://www.apple.com/customer-letter/, last visited on Feb 5th, 2018.

三、個人信息保護法律制度對市場競爭的影響

競爭法劃定了數字經濟中市場主體的經營行為邊界，而由于個人信息保護法律制度直接設立了數字經濟中最重要的個人數據的收集、流轉與處理規則，從某種程度上來說，個人信息保護法律制度本身對數字市場競爭會帶來影響。

（一）“opt-in ”與“opt-out”機制對市場效率的影響

“知情-同意”原則是個人信息保護的基本原則與核心內容，但這一原則在歐盟與美國的立法中有著不同的具體體現。在歐盟個人信息保護立法中，“知情同意”中更多表現為明示同意，或者表達為“opt-in”模式（“事前允諾”），即在收集個人數據之前，應當事前得到數據主體的本人的明確同意，否則即為違法。而在美國立法中則相反，更多表現為默示同意，即“optout”模式，即在數據收集的過程中，默認用戶同意數據處理活動，用戶如若不同意收集及處理活動，可以通過退出的方式來實現拒絕權。

opt-in與opt-out 兩種制度模式更早出現在反垃圾郵件制度中。“opt-out事后退出”模式的立法是建立在假定郵件接收者同意的基礎上，直到郵件接收者行使拒絕權。這兩種制度模式有著明顯的優劣點。在郵件場景中，opt-out模式減輕了企業的合規負擔，有助于商業郵件的快速傳播，但它把成本轉移給了消費者，為了退訂EMAIL，用戶必須打開并回復；相反，opt-in模式雖然有利于消費者舉證企業違法發送郵件，但它同時大大限制限制了互聯網上的商業活動，減少了合同機會。

opt-in與opt-out制度模式的優劣點，對于個人信息的收集、處理效率也產生同樣的影響。按照歐盟數據處理的合法性原則要求，在商業場景中處理個人數據，大部分情況下應當得到數據主體的同意，數據主體有權阻止有關于自己的數據的處理。在數據處理者將數據主體的數據出于商業營銷目的披露給第三方之前，應當通知數據主體對象，后者有權拒絕此類披露。數據主體本人對于有關個人數據的收集、處理活動依法享有較強的控制力。在歐盟個人數據保護立法改革之后，《通用數據保護條例 》（General Data Protection Regulation，GDPR條例）更是增強了這種同意機制，要求同意必須是具體的、清晰的，是用戶在充分知情的前提下自由做出的。如果數據控制者希望獲得的同意的事項區別于此前已取得同意的事項范圍，則需要向用戶做出單獨明確的說明；如果將同意數據處理作為簽訂合同的前提條件，而這種數據處理事實上超出了提供服務所必需的范圍，將違反有關“同意應當是自由做出”的規定。

在這種“同意”的高標準下，雖然GDPR條例并沒有明確禁止“推定同意”模式（敏感數據處理、數據畫像活動例外），但在實踐中通過推定方式獲得用戶同意將很難被認為是有效合法的。也就是說，當前實踐中普遍存在的通過冗長晦澀的隱私政策來獲取用戶同意，或者讓用戶在簽訂業務協議時通過“打鉤”方式作出一攬子授權的方式將可能失去合法性。業界普遍認為，GDPR條例關于有效合法同意的嚴格規定，使得用戶的同意不會像現在這樣被輕易獲得。14王融：《歐盟數據保護通用條例詳解》，載《大數據》2016年第4期。更重要的是，GDPR條例賦予了數據主體可以隨時撤回同意的權利。數據控制者應當明確告知用戶現有該權利，并為用戶方便的行使該權利提供便利。

與歐盟相比，美國則在更多情形下選擇認可默示同意。在美國個人信息保護相關法律法規中，鮮有對同意作出類似于歐盟的嚴格解釋。要實現合法的數據處理活動，并不必然需要個人的明確同意，更多場景是只要為個人提供退出渠道即可，這就為企業的數據處理活動中留下了巨大的合法性空間。

美國合理使用信息原則（Fair Information Practice Pricinple, FIPP原則）是美國在消費者隱私保護與個人信息保護監管中所應用的重要原則。該原則起源于美國健康、教育和福利部1973年專題報告《公民記錄、計算機和權利》，這份報告是1974年《隱私法》的核心，在美國多個州的數據保護規則中得以體現。這一原則在美國隱私監管的重要機構美國聯邦貿易委員會的執法活動中也發揮著指引作用。15Daniel J.Solove and Woodrow Hartzog, “The FTC and the New Common Law of Privacy”, Columbia Law Review Vol 114, p.583.FIPP原則提出的合理使用個人信息原則包括：透明性、個人參與、明確用途、數據最小化、使用限制、數據質量和完整性、安全性、可追責與審計。

與歐盟相比，美國的隱私保護原則不再特別強調個人的權利，特別是個人對于數據處理活動的控制力（集中體現為知情同意是數據處理活動的合法性要素），而僅僅是弱化為透明性和個人的參與。這些原則更多從對企業的最低責任出發來規定，例如企業應當明確用途、提供安全保障等。在多數情形下，能夠為用戶提供退出機制，則滿足了主要的合規要求。即使在2016年美國美國聯邦通信委員會（FCC）通過的《“寬帶網絡服務提供商隱私指導草案”》，這項被視為通信行業最為嚴格的隱私法規文件中，美國監管機構依舊遵循了美國法中常見的“告知—同意”（notice and consent）框架，并細分出以下三個類別：（1）默認同意。適用于提供寬帶網絡服務所必須使用到的消費者數據，以及向用戶推銷類似于用戶已經購買的寬帶網絡服務時所需要的消費者數據，還包括滿足“符合消費者預期的其他目的”時需要用到的數據。“隱私指導草案”認為，在用戶與網絡服務提供商之間達成關系時，已經默認網絡服務提供商使用上述數據，因此不再需要用戶額外的同意。（2）選擇退出（Opt-out）。寬帶服務提供商在提供服務時能收集到一系列用戶數據，當寬帶服務提供商向用戶推銷“與通信相關的服務時”，或向其下屬機構共享用戶數據以向用戶推銷“與通信相關的服務時”，“隱私指導草案”允許在寬帶服務提供商組織內部共享和使用用戶數據，除非用戶明確選擇退出這樣的信息共享。（3）選擇參與（Opt-in）。上述兩類情形之外的其他任何（包括與第三方）使用、共享用戶數據的行為原則上都是禁止的，除非用戶明確表示選擇參與。盡管這項草案已明確了默示同意和選擇退出機制，但對于寬帶服務商對部分數據利用行為，草案嘗試引入了明示同意機制，遭到了強烈反對，最終被否決。16Michael Kan, “Congress dismantles Internet privacy rules, allowing ISPs to sell your web history“, available at https://www.pcworld.com/article/3185880/privacy/us-house-votes-to-undo-broadband-privacy-rules.html, last visited on Feb.23th,2018.

對于“opt-in”、“opt-out”模式的不同運用，是歐美個人信息保護立法體現出嚴格與寬松之區別的重要原因之一。同時，也對于將個人數據作為重要生產資料的數字經濟市場效率產生了直接的影響。在移動互聯網、云計算、物聯網技術應用下，無處不在的智能終端、傳感器，實現時時刻刻的數據收集與計算。在這種業務模式中，事前一一取得用戶的明確同意，對于數據處理效率、業務模式都帶來不可忽視的影響和效率損失。

（二）禁止跟蹤（do not track）機制對數據獲取的影響

除了“opt-in”,“opt-out”外，在個人信息保護政策中發展出的自律性準則禁止跟蹤（do not track）機制也同樣對數據獲取效率產生影響。

理解禁止跟蹤（do not track）機制，首先需要理解儲存在用戶本地終端上的數據（以下簡稱Cookie）。Cookie是指網站為了辨別用戶身份而儲存在用戶本地終端上的數據（通常經過加密）。網站利用Cookie信息，一方面得以為用戶提供個性化服務，另一方面，對這些數據信息進行集合化分析，完善網站經營策略，同時，網站可以根據這些瀏覽記錄，掌握用戶的瀏覽習慣，以便更好地投放廣告和提供服務。以cookie為基礎的用戶數據分析，是互聯網商業模式主要特點。

Cookie通常是以 user@domain格式命名的，user是本地用戶名，domain是所訪問的網站的域名，17第三方cookie與搜索引擎+網站廣告原理，載http://www.mamicode.com/info-detail-377965.html，2018年2月23日最后訪問。大多數的第三方監測工具和網站分析工具都會采用第三方Cookie。所謂第一方和第三方的說法，是用來確定Cookie歸屬的，這個歸屬是指Cookie中記錄的域（domain）。第一方和第三方的主要區別是：Cookie中的域名是否和被訪問網站的域一樣，是就是第一方，否就是第三方。在1993年Cookie技術初誕生時，cookie具有專屬性原則（即A網站存放在Cookie的用戶信息，B網站是無權訪問的），但隨著互聯網廣告產業的發展，網站除了嵌入自身的cookie,還可以在網頁中嵌入第三方的cookie,這使得網站可以跨站使用其他網站Cookie中的個人信息，從而產生了隱私風險。

2010年12月，美國聯邦貿易委員會發布的隱私問題報告中要求設計一個 禁止跟蹤（do not track）系統讓用戶能控制自己在網絡上的隱私信息。18Federal Trade Commission (FTC): Staff Issues Privacy Report, Offers Framework for Consumers, Businesses, and Policymakers, Federal Trade Commission, Retrieved 2 May 2012.隨后，微軟宣布其下一款瀏覽器（IE9）將會提供一個阻止第三方追蹤的黑名單，用以保護用戶的隱私不被追蹤。

當用戶提出禁止跟蹤（do not track）請求時，具有禁止跟蹤（do not track）功能的瀏覽器在http 數據傳輸中添加一個“頭信息”（headers），這個頭信息向商業網站的服務器表明用戶不希望被追蹤，這樣，遵守該規則的網站就不會追蹤用戶的個人信息來用于更精準的在線廣告。19維基百科：請勿追蹤，載https://zh.wikipedia.org/wiki/%E8%AF%B7%E5%8B%BF%E8%BF%BD%E8%B8%AA，2018年2月23日最后訪問。值得注意的是，禁止跟蹤（do not track）功能是一個自律機制，它完全依賴于網站服務端是否自律，也就是說廣告商可以忽略這個機制。有些公司同意不再將用戶數據用于保險、醫療等行業，但是依然有可能會用在市場研究和產品開發中。因此，美國對于第三方cookie隱私問題的解決方案禁止跟蹤（do not track）機制，并不是強制的法律規定，而是行業達成的自律承諾。

禁止跟蹤（do not track）在這一標準中區分了第一方和第三方，如果用戶仍然使用的是第一方平臺的應用或者網頁，則該平臺則可以繼續跟蹤用戶，但第三方則不能。從保護用戶隱私角度來說，這是對于第三方cookie的合理規制，因為用戶在訪問特定網站時，該網站留存和分析自己的cookie數據是為了向用戶提供更好的服務，符合用戶的合理隱私期待。但對于用戶訪問網站之外的其他第三方獲取其cookie數據，并用于廣告營銷分析，則超出了用戶的合理期待邊界。

但從數據獲取的視角出發，該標準實際上是對第一方、第三方獲取用戶數據作出了區別對待，第一方可以以默認方式獲取用戶行為數據，而第三方則默認不能獲取，除非用戶主動關閉禁止跟蹤（do not track）。因此，如同“opt-in”與“opt-out ”機制影響了數據獲取的效率一樣，作為重要的隱私保護機制禁止跟蹤（do not track）實際也影響了不同市場主體獲取數據的效率。

（三）歐美個人信息保護政策對互聯網產業的影響

歐盟和美國個人信息保護政策有著較大的區別，其中對待“opt-in”、“opt-out”的不同立場以及關于cookie的禁止跟蹤（do not track）機制的態度是這種區別的典型表現。

歐盟在最早制定個人數據保護立法時就崇尚對個人信息自決權的保護，在個人權利的保護與互聯網發展創新這一對矛盾中，歐盟立法更傾向于對個人權利的保護，該指導思想一直延續至今。美國對于互聯網的管理一直崇尚的是保護創新，倡導行業自律，不通過嚴格的法律來限制企業行為，因此美國個人信息保護在個人權利保護與發展創新之間，選擇了后者。美國的做法，在促進企業發展與創新方面確實起到了積極作用，目前全球市值排名靠前的互聯網企業大部分都來自美國，而在歐洲卻缺少這種大型的互聯網企業。當然，歐盟關于個人信息保護的嚴格立法在某種程度上也是對美國互聯網巨頭企業的一種制衡。

四、個人信息保護制度擴張對市場競爭的影響

除 了“opt-in”、“opt-out”、 禁 止 跟 蹤（do not track）等個人信息保護機制會對市場效率帶來直接影響外，近年來隨著歐盟對個人信息保護法的持續改革，一些新的保護機制與制度也會對市場競爭帶來影響，其中尤以數據可攜權制度為代表。

針對成員國個人數據保護碎片化問題，以及云計算、大數據帶來的法律適用挑戰，歐盟2012年啟動對《1995年數據保護指令》的制度改革，在經過長達四年的立法進程后，歐盟于2016年4月通過的GDPR條例于2018年5月25日正式生效。GDPR條例繼續堅守保護公民基本權利理念，全面提升個人數據保護力度，相比于1995年版指令，GDPR條例對數據主體的權利規定更細致入微，為個人有效行使權利提供了堅實的法律保障。其中不僅包括傳統的個人信息保護法律中的個人權利，如知情權、訪問權、反對權等，還全面引入了新型的權利類型，其中最典型的是“數據可攜權”（第20條）的規定。

（一）歐盟“數據可攜權”的相關規定

歐盟委員會在首次提出的GDPR條例草稿的第一個版本中，就出現了數據可攜權。此后在2014年3月的歐洲議會討論版本中，可攜權與數據獲取權合并在一起。在2016年4月，GDPR條例的最終版本，數據可攜權又再次被單獨列為一個條款，并在其適用范圍方面留出了許多開放空間。

GDPR條例對于數據可攜權的規定主要集中在第20條，具體為：

1.當存在如下情形時，數據主體有權獲得其提供給數據控制者的相關個人數據，且其獲得的個人數據應當是結構化的、普遍可使用的和機器可讀的，數據主體有權無障礙地將此類數據從其提供給的控制者那里傳輸給另一個控制者：

(a) 處理是建立在第6（1）條（a）點或9（2）條（a）點所規定的同意，或者6（1）條所規定的合同的基礎上的；

(b) 處理是通過自動化方式的。

2.在行使第1段所規定的攜帶權時，如果技術可行，數據主體應當有權將個人數據直接從一個控制者傳輸到另一個控制者。

3.行使第1段所規定的權利，不能影響第17條的規定。對于控制者為了公共利益，或者為了行使其被授權的官方權威而進行的必要處理，這種權利不適用。

4.第1段所規定的權利不能對他人的權利或自由產生負面影響。

盡管GDPR條例明確引入了數據可攜權，但也考慮到了數據主體權利與其他正當權利之間平衡，僅僅第20條難以完全解釋“數據可攜權”所可能包涵的豐富含義，以及在具體實踐如何執行。因此，作為歐盟個人數據保護立法解釋的權威機構，歐盟第29條工作組于2016年12月通過了《個人數據可攜帶權指南》，并于2017年4月對該指南進行了修訂。20Article 29 Data Protection Working Party: Guidelines on the right to data portability，Adopted on December 13, 2016，last revised and adopted on April 5, 2017, 16/EN WP 242 rev.01.

《個人數據可攜帶權指南》明確指出：數據可攜帶權源于數據主體對于個人數據的可訪問權，但與可訪問權存在許多差別。這項權利的核心目的是賦予數據主體對于個人數據更強的控制力。同時，考慮到這項權利賦予了數據主體從數據控制者處直接獲得并轉移數據的權利，因此這項權利也將對數據市場競爭帶來直接的影響，用戶切換服務提供商的門檻更低，減少被數據“鎖定”服務的可能，進一步促進數據的流動，并增強企業（作為數據控制者）之間的競爭。另一方面，對于用戶而言，由于增強了個人對數據的控制力，將有利于數據的匯聚，例如用戶可以將使用不同服務產生的數據共同傳輸到第三方，實現新的數據利用。例如：在健康領域，用戶可以更加方便地將個人不同的醫療數據、健身數據匯聚和利用。

《個人數據可攜帶權指南》澄清了此項權利適用的基本前提要考慮數據處理活動的合法性要素，包括經過了數據主體的同意，或者是為了履行合同而必須。明確這項權利僅僅適用于數據主體提供（provided）給數據控制者的數據，但《個人數據可攜帶權指南》也提出，“提供”并不僅僅限于數據控制者在明知、積極的狀態下獲得的數據（例如數據主體通過在線電子表格的方式提供的數據），也包括因數據主體的活動而產生的數據。

從GDPR條例對數據可攜權的表述看，該權利并不限定在轉移數據的場景。作為“數據訪問權”的升級版，該權利首先滿足用戶獲得自身數據的需求，至于在獲得該數據后，用戶是否再轉移，取決于用戶的選擇。因此《個人數據可攜帶權指南》中舉了兩個具體的場景的例子，一是用戶在使用在線音樂播放服務時，可以獲得關于個人最近播放的音樂清單數據，或者在使用電子郵箱服務時，獲得郵箱聯系人信息。實踐中，其實已經有這樣的自發的商業形態，例如“Google Take Out”，用戶可以將其在Google+上的相關個人數據以多種開放的數據格式獲取。

在用戶選擇直接轉移的場景下，即從一個服務商傳輸到另外一個服務商時，GDPR條例要求服務商應當“無障礙”（without hindrance）地進行傳輸。因此GDPR條例在背景引言部分，在解釋數據可攜帶權時，也鼓勵數據控制者形成更加具有兼容性的數據系統，以更有效的幫助用戶實現該權利。當然，使用“鼓勵”措辭本身也意味著發展兼容性、或者互操作性的數據、系統格式，并不是數據控制者的法定義務。

（二）“數據可攜權”的適用問題

1.“數據可攜權”在哪些情形下適用？

根據《條例》第20條，數據可攜權適用于自動化的數據處理活動，并且該處理活動活動獲得了數據主體的同意；或者該處理活動是為了履行與數據主體簽訂的合同。因此，對于用戶同意或者履行合同之外的數據處理活動，GDPR條例并沒有建立一般意義上的“數據可攜權”。例如，金融機構依據《反洗錢法》等行業專門立法的要求，開展的防范和識別洗錢的特定數據處理活動，并不適用于“數據可攜權”。再如，在雇員數據領域，由于雇員的數據收集及處理活動往往是在就職場景中發生的，而在這一場景中，考慮到用戶的同意往往并不是“自由”作出的。同時，一些人力資源數據處理系統的合法基礎是建立在合法利益的基礎之上，或者是為了滿足勞動法的基本合規要求。因此對于雇員領域的數據可攜帶權的適用，也需要個案式的分析判斷。

2.“數據可攜權”適用于哪些數據？

GDPR條例第20條對所適用的數據，僅僅做了兩個限定，一個是與本人相關的個人數據，二是數據主體提供（provide）給數據控制者的個人數據。因此，匿名化的數據并不適用于“數據可攜權”,但根據GDPR條例對匿名化數據（anonoymous data）和假名數據（pseudonymous data）的區分，以及對假名數據仍然屬于個人數據的判斷，假名數據仍然適用于“數據可攜權”。21EU: General Data Protection Regulation Recital 26.

在實踐中往往有這樣一種情形，數據控制者掌握的數據往往同時關涉幾方數據主體，如電話記錄，不僅包括呼叫方信息，也包括呼入方信息。對此，第29條工作組的解釋是，盡管同一份數據關涉到多個數據主體，但對于單個數據主體來說，這一份數據仍屬于其個人數據，因此，其有權行使“數據可攜帶權”。只是對于數據接收方而言，對于所接收到的數據主體本人以外的其他第三方個人的數據，不可開展對第三方權利及自由有所損害的數據處理活動。

“提供給”數據控制者的數據包括兩類數據：（1）數據控制者明知、或者積極獲取的數據，例如通過電子表格方式由用戶提交的數據，這在賬戶類信息中非常明顯；（2）“提供”也包括數據控制者在提供服務的過程中，通過自動記錄，“觀察”（observe）得來的個人數據，比如搜索關鍵詞記錄，流量數據，位置數據等。但“提供給”數據控制者的數據并不包括：數據控制者根據用戶提交的數據，以及其觀測而獲得的數據，通過算法加工而產生的分析數據，推測數據。例如控制者為用戶建立的用戶畫像數據、信用評價數據等等，這些數據的產生離不開控制者的智力和資金投入，控制者對此類衍生數據也享有合法權益，不能完全交由用戶行使轉移權利。

3.對“數據可攜權”適用的限定

GDPR條例對于可適用于“可攜權”的情形做出了必要限定，第20條第4款要求：數據可攜權的適用不能對他人的權利和自由產生負面影響。實踐中，對他人的權利和自由可能產生負面影響的例子更多存在于“數據可攜權”所涉及的數據中不僅包括請求行使該權利的數據主體，可能也包括其他個人數據。典型的例子就是前面所提到的通信錄、通話記錄、郵件往來記錄等信息。這些信息屬于請求行使“數據可攜權”的用戶，但同時也關聯到與其有交互的其他用戶。

在這種情形下，由于并沒有機制使得其他用戶了解到這種數據轉移，對其他個人的權利產生負面影響的可能性會很大。比如對于通過“數據可攜權”接收到數據的新的數據控制者而言，其可以面向其他用戶開展市場營銷服務，甚至是在未經其允許的情況下直接向其提供服務，從而侵犯了不知情的第三方個人的基本權益。

為了避免這種情形的發生,第29條工作組給出了一條非常艱難的解決路徑。首先，涉及到此類情形的數據轉移，獲得數據的“新的”數據控制者所開展的數據處理活動應當仍能保證數據主體的唯一控制（sole control）。也就是說，這種數據轉移只能服務于數據主體的個人或者家庭活動。例如個人可以將郵件通信錄上傳至云盤，用于個人的信息留存、備份目的。第三方云盤僅能提供此類存儲服務，而不能超出“唯一控制”目的提供其他服務。獲得數據的新的“數據控制者”不應當基于其商業目的，利用數據主體提供的其他第三方的個人數據開展商業活動，例如通過獲得的新數據，豐富第三方的個人數據畫像，或者創建第三方的個人數據檔案。其次，為了防止對第三方個人產生危害，《個人數據可攜帶權指南》鼓勵數據控制者能夠對用戶數據進行剔除，以保證盡可能最少的涉及到其他第三方數據。

考慮到這些數據已經通過“數據可攜帶”轉移到了新的數據控制者手里，做到上述要求，無非是要求商業主體能夠“潔身自律”不去觸碰新數據，這無異于一種幻想。大多數數據保護規則會增加數據市場上新的競爭主體的進入門檻，因為它會限制對個人數據的收集和使用。但是數據可攜權為市場參與者帶來便利，它使收集個人數據變得更加便利，進而便利市場進入。數據可攜權刺激競爭，對數據再使用有著積極的作用；但它也給市場參與者增加了合規負擔，并且對于包含其他第三人情形的數據可攜轉移，對不知情第三方的權益保護的作用是積極的，還是消極的，目前的GDPR條例以及第29條工作組的指南似乎都沒有給出明確的答案。

GDPR條例中對于“數據可攜帶權”的適用排除了對于他人的權利或自由產生負面影響的場景。而在實踐中，可能相關的他人合法權利還包括商業秘密、知識產權（特別是軟件版權）。但是，對這些權利的考慮并不必然可以拒絕用戶提出適用“可攜帶權”的全部要求，在特定情形下，可以將涉及到他人合法權利的信息剔除之后提供給用戶。在實踐中，這種剔除工作本身也帶來挑戰。許多企業持有的數據資產沒有達到知識產權保護的資格。這些數據不會產生知識產權沖突。但特殊的數據庫權利區分可能會困難，因為數據庫上存在多種權利，還有獨立于系統的附加保護層，更不容易剝離。商業秘密也是如此，雖然信息是由用戶提供的，但是并不排除它構成更廣泛的商業秘密權的基礎。22Inge Graef, Martin Husovec, Nadezhda Purtova：“Data Portability and Data Control Lessons for an Emerging Concept in EU Law”，TILBURG LAW SCHOOL LEGAL STUDIES RESEARCH PAPER SERIES，No.22/2017.而對于用戶而言，其不能通過適用“數據可攜帶權”，對他人合法的知識產權權利予以侵害。

（三）“數據可攜權”項下的法定義務

為了協助用戶實現“數據可攜權”，數據控制者負有相對應的法定義務。如在數據主體的請求下，以特定格式提供或者傳輸相關個人數據。為進一步澄清法定義務的內容，指南將數據控制者分為響應“數據可攜帶權”請求的數據控制者（data exporter）以及在此請求下接受相關數據的數據控制者(data importer)兩類，以明確其法定義務的邊界。

首先，對于響應“數據可攜帶權”請求的數據控制者（data exporter）來說，其只面向數據主體本人，并不負有檢查數據接收者是否符合個人數據保護法各項要求的義務。因為從數據流轉看，該數據接收者并不是由數據控制者挑選的，而是由數據主體本人決定的。也因此，數據控制者需要采取配套措施，以證明其向第三方傳輸的數據，是經數據主體本人請求的。另外，數據可攜帶權并不影響數據留存。數據控制者并不能以在將來有可能要為數據主體提供數據可攜服務為由，超出數據處理目的的合理期限留存數據。這也意味著對于數據控制者已經刪除，不再保留的數據，用戶也無法主張“可攜帶權”。

在實踐中，數據可攜帶的請求可能事實上是由數據處理者操作的，在數據控制者與數據處理者之間的合作協議中需要明確相關事宜。特別是根據GDPR條例第28條規定的“數據處理者”中明確：“數據處理者應當采取合適技術與組織措施、其處理方式符合本條例要求，并且保障數據主體權利”,對于聯合的數據控制者，則應在協議中明確在處理“數據可攜帶權”請求時二者的責任分工。

其次，對于數據接收方(data importer)而言，其應當確保其通過“數據可攜帶”方式接收的數據應當與其數據處理活動是相關的，通過傳輸獲得的數據不能超過其數據處理目的。超過必要范圍的數據，數據接收方不得保存和處理。例如，在用戶在電子郵件服務中，行使“數據可攜帶權”，將其郵件傳輸到一個安全的電子檔案存儲平臺中，以實現用戶“唯一控制”的備份存儲目的。數據接收方并不需要去獲取用戶在上一家電子郵件服務中所有的電子郵件通信者的聯系信息。

考慮到數據接收方也是GDPR條例所規范的數據控制者，因此，在其通過“數據可攜帶權”方式獲取數據時，也應當符合GDPR條例第14條的相關規范，即“當個人數據并不是從數據主體本人處收集時，數據控制者應當提供的信息”的要求，向數據主體提供包括數據處理目的等相關必要信息。當然，數據接收方并不負有法定義務必需接受來自數據主體的個人數據。

再次，“數據可攜權”并不影響用戶行使其他數據權利類型。當用戶發起“可攜權”需求時，并不必然要求原數據控制者刪除其個人數據。只要原數據控制者仍掌握和處理用戶數據，則用戶仍可以向其主張行使各項數據權利。 如果用戶認為其“數據可攜權”沒有被充分滿足，也可以通過主張其他權利，如數據訪問權，來向數據控制者提出質疑。GDPR條例中規定的“數據可攜帶權”可能會與歐盟成員國的國內立法，或者其他行業領域的專門立法中規定的類似權利有重合現象。如果用戶是依據其他行業的專門立法，來請求數據轉移，則適用專門法，而非適用GDPR條例。例如,根據《歐盟支付服務指令》，用戶可以將個人的銀行賬戶信息轉移給第三方的賬戶信息服務提供者。而當用戶適用GDPR條例，主張“數據可攜帶權”時，其他專門立法并不必然凌駕于GDPR條例之上，這需要具體案例具體評估，以避免其他立法規定不合理的影響到GDPR條例的適用。

五、數據可攜權等制度面臨的質疑與挑戰

“數據可攜權”在歐盟2012年數據保護制度改革建議稿中一經提出，就面臨了眾多質疑。這一新創設的權利能夠為用戶提供便利，減少用戶轉換服務提供者的成本，從而能夠更有效地促進業務競爭。但是深入研究會發現，有關鎖定用戶的成本以及用戶轉換服務時所遇到的阻礙問題完全可以通過競爭法來解決。

競爭法歷經百年發展歷史，已經形成了較為嚴密和成熟的基礎理論，它不僅考慮到了用戶的鎖定成本，也考慮到了鎖定還會帶來一定的消費者福利，甚至一定的轉換成本可以鼓勵對新技術業務的投資，從長期來看是具有效率的。競爭法的適用是以企業在市場上具有顯著市場地位，并濫用該地位損害正當的市場競爭為前提的，其規則適用具有復雜而嚴密的程序要求和違法構成要件。而根據GDPR條例規定，數據可攜權作為用戶的基本權利，可以被要求適用于任何一個機構，包括新興企業在內。

美國學者皮特.斯懷爾（Peter Swire）與揚尼.拉各斯（Yianni Lagos）在《為什么數據可攜權可能會降低消費者福利？》一文中對當時2013年的《條例（草稿）》中關于數據可攜權的規定曾進行了全面的批判，認為數據可攜權與競爭法機理背道而馳，動態效率和創新減少，以及會對數據安全等帶來威脅。

（一）數據可攜權的規定可能與競爭法背道而馳

數據可攜性的觀點是很有吸引力的，消費者也喜歡可以將數據輕松轉移到新的服務商的便利性，但是，數據可攜權的條款與美國反壟斷法，甚至與歐盟競爭法并不吻合。競爭法中經營者濫用市場支配地位行為的前提是其被認定（或推定）具有市場支配地位。歐盟委員會認為，市場份額低于40%的公司較難具有市場支配地位；美國反壟斷法對市場力量的要求也很高，除了高的市場份額外，經營者必須具備影響準入門檻的能力才可能被證明具有強的市場力量。但是，歐盟數據保護草案中規定的數據可攜權適用于任何通過自動化方式處理數據的公司，包括初創公司，并不考量該經營者是否具有比較強的市場力量，這就與競爭法的規定相背離。

競爭執法機構很難對沒有市場力量的中小企業（SMEs）采取執法行動，因此規范中小企業的數據可攜權有三大可質疑之處。其一是中小企業很少有市場力量；其二是中小企業的合規負擔相對于收益來說可能更重；其三是條例草案中還就數據轉移模式進行了特別規定，提出了“export-import module”(EIM)的數據轉出轉入模式，這一命令遠遠超出了先前的關于互操作性的法律規則。如果小型軟件公司從一開始就被要求編寫EIM程序以遵守數據可攜權，那創新就可能會受到影響。

觀察數字經濟的商業模式，“鎖定”在很多場景下是一種理性的競爭選擇，服務商會有動機避免用戶隨意切換。例如：盡管google+, 臉書面向用戶提供其數據副本，但往往會對用戶直接將個人數據轉移向其他平臺有所限制。臉書阻止谷歌瀏覽器Chrome直接將用戶朋友關系導出，即使用戶可以通過手動方式整理其個人社交網絡檔案信息，將個人照片、音視頻下載整理。臉書的服務協議中也明確禁止用戶通過自動化方式收集用戶信息內容。23FACEBOOK 用戶協議安全條款：未經允許，您不得通過自動化方式（例如：收獲機器人、機器人、蜘蛛、scraper）收集用戶信息內容。

在考察實現消費者福利目標的最佳方式時，美國和歐盟的競爭法有理性的適用規則，而不是條例草案關于“數據可攜帶權”的簡單規定。對于數據的格式，條例草案條款要求數據以“結構化的”、“通用”的模式提供。盡管結構化的數據格式可以實現更簡單的數據傳輸，但關鍵問題是，沒有明確的工具可以確定哪些格式被認為是結構化的。一旦數據執法機構負責確定哪些格式是結構化的，它還需要確定該格式是否被普遍使用。結構化格式不一定是常用的，因為許多標準并沒有被廣泛采用。實踐中，由數據執法機構來衡量消費者實際使用的數據格式的難度很大。

（二）數據可攜權可能會減少動態效率和創新

數據可攜權可能對動態效率和消費者福利產生重大影響。

首先，數據可攜權創造了一個不正當的激勵。條例草案規定：數據可攜權僅適用于“以電子和常用結構化格式”處理數據的公司。根據條例草案的字面意思，公司如果決定不使用電子和結構化格式，就可以避免承擔數據可攜義務，包括提供具有EIM模式的數據格式。具有諷刺意味的是，這種旨在提高互操作性的措施可能導致企業減少使用促進互操作性的標準格式。隨著使用非結構化格式的增加，數據可攜權可能會加劇當前的數據鎖定問題，而這正好與預期效果相反。

其次，實現消費者福利的主要考慮因素是如何為創新創造激勵。數據可攜權和互操作性的支持者通常認為更大的互操作性會導致更多的創新。但是，進入市場的成本降低后，在數據的互操作性也會減少創新。解決第一方和第二方之間的創新問題是一項復雜的任務。這種復雜性的問題須基于特定的市場特點而非一刀切的數據可攜權規則。而過去的商業實踐表明：科技行業的動態競爭才會產生更多創新。

科技市場的基本特征是一個玩家領先，然后成為市場領導者，往往擁有很大的市場份額。經濟學家對這一現象提出了三個術語：先發優勢（first-mover advantage）、網絡效應（network effects）和傾覆效應（tipping effect）。業務創新的進入是昂貴而具有風險的，如果規則降低了進入市場的盈利水平，那么可以預期新業務中的創新將會減少。

競爭法鼓勵創造動態效率的技術創新，但數據可攜權的規則在市場競爭激烈的情況下，往往會減少創新。基于歐盟法規定的數據可攜權制度，公司可能會因為預期收益較低而決定不進行風險投資，消費者可能會因此享受不到創新福利。

（三）數據可攜權可能會帶來數據安全風險

“數據可攜權”最為突出的問題是對用戶本人身份的驗證問題，如果他人假借用戶之名行使“數據可攜帶權”，將帶來嚴重的數據安全問題。GDPR條例在總結過去制度經驗的基礎上，作出了不對用戶身份作出驗證的規定，其中第11條是關于不需要識別的處理，具體為：（1）如果控制者處理個人數據的目的不需要或不再需要控制者對數據主體進行識別，控制者就不再具有為了遵循本條例而維持、獲取或處理額外信息以識別數據主體的責任。（2）對于第1段所規定的情形，如果控制者能夠證明其不適合識別數據主體，如有可能，數據控制者應當告知數據主體。在此類情形下，除非數據主體為了行使第15至20條所規定的權利，需要提供額外信息而使得對其識別變得可能，第15至20條將不應適用。也就是說，如果數據處理并不需要識別用戶身份，則數據控制者并不要求去獲取更多的信息去驗證用戶身份，這實際上是出于保護用戶身份安全的角度而設計的條款。相應地，在用戶并不主張數據權利的情形下，包括主張（訪問權、更正權、刪除權、被遺忘權，可攜帶權）等權利，數據控制者沒有義務去為這些權利的實現提供輔助。

當然，GDPR條例第12條規定了在沒有身份信息的場景下，用戶主張行使權利的情形。第12（2）規定：控制者應當對數據主體行使第15至22條的權利而提供幫助。對于第11（2）條所規定的情形，當數據主體請求其行使第15至22條的權利，控制者不應拒絕，除非控制者能夠證明其并不適宜識別數據主體。換言之，如果由用戶發起數據權利主張，則應由用戶提供相應額外的信息，以幫助數據控制者驗證其身份，為后續實現權利提供基本的必要條件。需要澄清的是，驗證身份并不必然代表驗證用戶的真實身份，而是需要驗證主張數據權利的用戶和服務中的數據主體的身份一致。因此，《個人數據可攜帶權指南》要求數據控制者不得因為驗證的需要，而要求數據主體提供超過必要范圍的個人信息用于驗證。實踐中，用戶即可通過用戶名、密碼訪問到個人數據，此類信息并沒有披露出用戶的真實身份，但同樣滿足了身份驗證目的。考慮到數據可攜帶權可能帶來數據轉移后果，對數據主體本人的權益影響會更大，因此如何去確定身份驗證標準仍需要深入探討。

更為重要的是，在歐盟現有的數據保護基本權利框架內，數據可攜帶權這一新創制權利與個人現有的數據安全權利緊密相關。因此，定義數據可攜權應充分認識到數據安全權的風險。歐盟法并沒有關注到數據安全權利，數據可攜權將帶來安全風險，無障礙獲取數據更是增加了額外的風險。如果將其應用于敏感信息領域，由于互聯網上缺乏有效的認證機制更容易導致數據可攜權在線服務面臨安全挑戰。

（四）“數據可攜權”能否促進互操作性的實現

GDPR條例第20條規定：數據主體有權無障礙地將個人數據從其提供給的控制者那里傳輸給另一個控制者。在實踐中，可能以下方式會構成“障礙”，即：（1）收費，或者是收取不合理費用；（2）數據格式缺乏互操作性；（3）沒有數據訪問入口；（4） 過分延遲；（5）在獲取完整數據時過分復雜；（6）對可訪問數據庫增加復雜度等等。GDPR條例第20條（2）進一步規定：如果技術可行，數據主體應當有權將個人數據直接從一個控制者傳輸到另一個控制者。需澄清的是，本款并不意味著要求數據控制者發展出與其他數據控制者相互可操作的數據處理系統，只是在客觀上已經具備這種技術傳輸條件時，不得拒絕用戶直接轉移數據的請求。從方便數據傳輸的角度，GDPR條例第20條(1)實際上已經提出了具體的要求，包括結構化、可普遍使用、機器可讀。這三點實際上可以看作是“可互操作”的最基本要求。

上述規定的核心是解決數據的再利用問題，即用最小的成本在實現用戶轉移數據的同時，也無縫實現對數據的再利用。以“機器可讀”為例，傳輸的數據不僅包括數據內容本身，還需要包括相關元數據、以協助其他數據系統識別、提取相關數據。《個人數據可攜帶權指南》指出，數據控制者在考慮以何種數據格式提供數據時，應當考慮數據主體再利用該數據的場景，以有利于實現用戶的數據再利用為目的。當然，這直接帶來的問題是，對數據控制者作出如此之高的要求，是否已經超出了數據保護法的邊界？不僅擔負保護用戶數據的責任，還需要考慮到數據的后續利用，甚至進一步要為第三方對數據的后續利用掃清障礙，提供盡可能多的信息，這是否已經違背了市場競爭中最基本原理？

對于計算機開放性的支持者而言，互操作性是一個理想的目標。1991年歐盟《計算機程序指令》允許第二方對第一方程序進行觀察研究、復制必要的信息，以實現與第一方產品的互操作性。但到目前，并沒有法律規定要求第一方提供EIM模式來幫助第二方實現互操作性。不可否認，互操作性具有十分強的吸引力。但與此同時，市場趨勢也表明消費者也喜歡對互操作性有所限制的系統，典型如蘋果系統。實際上這些限制有助于保護安全和隱私，降低應用程序獲取不必要的個人數據所帶來的風險。這些消費者偏好的例子表明，通過確定數據可攜權，對所有在線服務提供商提出互操作性要求缺乏客觀評判的尺度。

六、結語

本文系統討論了隱私保護與市場競爭之間的關系，并從個人信息保護法的視角出發，探討了個人信息保護制度對市場競爭的影響，特別以“知情-同意”這一核心的個人信息保護機制的不同模式來探討其對效率、市場競爭的影響。

隨著個人信息保護制度的發展，其中尤以歐盟GDPR條例為代表，個人信息保護制度與競爭法律制度產生了越來越密切的互動關系。GDPR條例中提出的數據可攜權，是個人信息保護制度的一次極大擴張。正如歐盟競爭事務委員阿爾穆尼亞（Almunia）指出：“數據可攜權已經直達了競爭政策的核心”，24Commissioner Almunia, “Competition and Personal Data Protection”, speech given at the Privacy Platform event:Competition and Privacy in Markets of Data in Brussels on November26, 2012, available at http://europa.eu/rapid/press-release_SPEECH-12-860_en.htm., last visited on Feb.24th, 2018.這直接產生了個人數據保護法與競爭法的競合問題。競爭執法機構是否可以以數據控制者違反數據可攜權的要求，開展競爭法執法？GDPR條例對數據可攜權只有一個條文規范，盡管歐盟數據保護機構歐盟第29條工作組專門對爭議極大的數據可攜權發布了指南，但仍未解決數據可攜權所帶來的問題，而且，指南的相關說明還反映出歐盟立法者對數據可攜權的考慮并不成熟，其初衷是為了增強用戶對個人數據的控制權，但顯然并沒有對可能帶來的競爭、安全問題開出良方。這些問題包括但不限于：在個人數據涉及到其他第三人時，如何在適用數據可攜權規定的同時，避免對不知情第三人合法權利的損害？面向所有數據控制者都適用的數據可攜權，如何解決中小企業的合規負擔問題？數據可攜權如何在保護用戶合法權益的同時，為市場創新提供適當激勵，作為個人信息保護執法機構是否有足夠能力解決數據可攜權帶來的市場競爭扭曲問題？由此可知，關于大數據應用中個人信息保護法與競爭法關系問題的研究僅僅是一個開始，理論研究與實踐探索還任重而道遠。