數據可攜帶權在歐美法律實踐上的權利要旨對我國個人信息權益保護的借鑒

文 / 康蘭平 程文文

目前，歐盟在對數據資源進行干預與監管時主要依據2018年生效的《一般數據保護條例》（General Data Protection Regulation，GDPR，以下簡稱《條例》）的相關規定。其中，“數據可攜帶權”是一項十分重要的新型權利，相關的法律規定正在成為數據平臺監管和數據主體權利實現的重要準則。《條例》第20條規定了數據主體有權獲取其提供給數據控制者的個人數據副本權利，在技術可行的條件下所獲取的個人數據類型應當是結構化的、常用的和可自動識別的，且數據主體有權利將所獲得的數據無障礙地從其提供給數據控制者處傳輸給其他的數據控制者處。歐盟數據保護委員會（原歐盟第29條數據保護工作組）也在《數據可攜帶權指南》（以下簡稱《指南》）中指出，個人數據可攜帶權的規定根源于“數據自決”的權利，指的是個人數據的用戶擁有自由傳輸數據的選擇權，能夠自主決定通過何種方式在何時何地被誰收集轉移傳輸數據的一種權利。數據可攜帶權在加強個人數據保護的同時，提升了數據在數字市場中的流通速度，也能夠更好地發揮數據要素的倍增效應。數據可攜帶權的創立賦予了數據主體對個人數據的有效控制，協助他們移動、復制或從一個IT環境或平臺到另一個IT環境或平臺。1. 李蕾：《數據可攜帶權：結構、歸類與屬性》，載《中國科技論壇》2018年第6期，第143頁。數據可攜帶權通過確認個體的數據控制權利和對權利實現的限制條款動態平衡了數據主體和數據控制者之間的關系，有助于在各種平臺中傳輸和使用個人數據，構筑起了體系化的權利建構和法律規制模式。

然而數據可攜帶權這一新型權利設定也面臨著法律效果的懸浮化質疑。一方面，數據可攜帶權的落實可能會加重中小企業的合規成本和企業負擔。對此類企業而言，由于其在數據市場競爭力較弱，且沒有充足的人力、財力等支撐條件，導致其數據不斷流失，會加劇不正當競爭的鎖定效應或數據壟斷現象。另一方面，《條例》過高的個人數據保護標準也會限制數據移植的效率，在這樣的框架下平臺極為被動，對數據主體個人信息的控制面臨著嚴格繁瑣的程序與審查，折射出權利泛化危機和技術操作可行性等問題。因此，如何促進平臺競爭與數字產業發展還需要進一步完善我國數據可攜帶權的規范基礎、權利屬性和精細化場景設計，保障數據的自由流動和有效規制數據壟斷，營造高效穩定的數據市場。2. 化國宇、楊晨書：《數據可攜帶權的發展困境及本土化研究》，載《圖書館建設》2021年第4期，第113-122頁。

一、數據可攜帶權的學理溯源與規范解讀

（一）數據可攜帶權的理論邏輯

歐盟GDPR正式將數據可攜帶權確立為一項實在法意義上的法定數據權利。3.付新華：《數據可攜權的歐美法律實踐及本土化制度設計》，載《河北法學》2019年第8期，第157頁。根據 GDPR第20條規定，數據可攜帶權是指在遵循數據傳輸技術標準和特定場景設定的情況下，數據主體能夠采取結構化、通用化和機器可讀的方式，獲得其向數據控制者提供的有關數據主體自身的數據，并且有權無阻礙地將這些數據傳輸給其他數據控制者。4.劉澤剛：《大數據隱私的身份悖謬及其法律對策》，載《浙江社會科學》2019年第12期，第21頁。本文在結合歐美法律實踐和相關司法實務經驗的基礎上對數據可攜帶權的權利要旨進行規范解讀和價值衡量，以明晰數據可攜帶權的法理邏輯與法律構造。

（1）數據主體享有獲取個人數據復制件的權利。數據主體有權從數據控制者處獲得自己存儲于數據控制者處并經過處理的個人數據子集，并將該數據存儲在云端并能夠便捷自由傳輸。

（2）該數據形態應當是“結構化的、通用的和可機讀的”。《指南》對此給出了細致的規定：“結構化”是指由數據控制者通過預先設置軟件應用程序方式為其他數據控制者簡化數據傳輸的數據格式。5.丁曉東：《論數據攜帶權的屬性、影響與中國應用》，載《法商研究》2020年第1期，第73-86頁。“通用化”是指數據形式應當能夠被數據主體所自由傳輸和重復利用的格式，例如，XML、JSON、CSV 等格式便于數據后續的自由流通和傳輸轉移。而對于“可機讀”的含義，指令2013/37/EU 第21條將其定義為“一種文件格式，其設立方式能夠幫助軟件應用程序精準識別并能夠從中提取出特定的相關數據”，而那些無法從文檔中獲取相關數據或者限制其他數據控制者機器可讀的文件格式編碼的文檔（如PDF）則能夠被排除在外。6.Ursic H. Unfolding the new-born right to data portability: Four gateways to data subject control. SCRIPTed, 2018, 15: 42.

（3）通過提供一種切實可行的技術途徑，能夠將個人數據無障礙地從現有的數據控制者處傳輸到另外一個數據控制者處的傳輸轉移權利。GDPR第20條第1款規定了數據主體有權“無障礙地”將個人數據從某一數據控制者處傳輸至其他數據控制者處。GDPR第20條第2款規定了在數據傳輸標準和技術可操作的場景下，根據數據主體的個人請求，數據也能夠無障礙地從一個數據控制者轉移到另一個數據控制者。

關于該項規定，解釋部分的第68條鼓勵數據控制者開發可共用的（interoperable）數據格式，以便捷地推動數據可攜帶權的實現，但尚未構建起能夠幫助控制者使用技術上兼容的處理系統。而且，GDPR要求數據控制者不得為數據傳輸轉移設置層層障礙。數據可攜帶權的這一無障礙規定不僅為數據主體提供了獲取和重新使用數據的權能，而且還使其能夠把之前提供的數據傳輸給其他的服務提供商（既可在同一商業領域中，也可在不同的商業領域中）。除了通過禁止“鎖定”（“lock-in”）的方式來給消費者提供數據權能之外，數據可攜帶權能夠數據主體提供共享數據的可能，同時也能夠推動數據產業的激勵創新。當然，這些進程都應當處于數據主體的控制之下，并以安全可靠的方式進行。數據可攜帶權能夠提升用戶對其個人數據的控制能力，實現數據的共享和重復利用，從而推動數據產業的有序競爭提升用戶的個人信息權益。7.Graef I, Uerschakelen J, Ualcke P, Putting the Right to Data Portability into a Competition Law Perspective, Law: The Journal of the Higher School of Economics, Annual Review, 2013: 53-63.

（4）數據可攜帶權對于控制者的責任也給出了規定。數據控制者需根據第20條中所規定的情形，回應數據主體的請求，但是該控制者不需要對數據主體或接收數據的其他數據控制主體的數據轉移傳輸行為負責，即數據控制者盡管需要對數據接收者履行隱私義務，但是數據控制者也能夠采取相應的安全控制措施，確保數據接收者能夠忠于數據主體的委托。數據的控制者和數據處理者應當能夠通過合作共享方式，通過特定的程序，響應數據主體的請求，并且在聯合控制數據的情況下，明確分配各個數據控制者的責任。根據第14條規定的透明性要求，傳輸轉移數據的其他數據控制者應當在數據主體請求傳輸轉移數據之前，清楚、直接地說明新的處理目的。如果數據的接收者需要對數據進行轉移傳輸，應當嚴格恪守GDPR第5條中的相關規定，在遵循數據合規的相關義務基礎上履行存儲責任和保密義務。8.卓力雄：《數據攜帶權：基本概念，問題與中國應對》，載《行政法學研究》2019年第10期，第129-144頁。

（二）數據可攜帶權的法律爭議

自數據可攜帶權被作為一項法定權利以來，就產生了諸多的爭議與沖突。對于數據可攜帶權辯護者來說，數據可攜帶權的創設具有合理性、必要性。首先，數據可攜帶權通過賦予用戶獲取并移植數據的權利強化了數據主體對于個人信息權益的控制權能，能夠滿足數據主體對于個人數據的移轉傳輸需求。其次，數據可攜帶權的設定有助于消除數據的壟斷和“鎖定效應”，推動數據行業傳輸數據標準的建立與完善。最后，數據可攜帶權的設定有助于提升數據主體的用戶體驗，通過促進數據共享與流動，促進數據的自由流動和數據產業的公平競爭。

對于數據可攜帶權的質疑者而言。首先，《歐盟基本權利憲章》暫時未將數據可攜帶權作為一項基本的數據權利進行保護。因此，在歐盟實證法體系下，該權利暫時不能被作為一項基本權利。其次，GDPR對數據可攜帶權進行規定的目的在于加強對個人數據信息的有效控制，但由于數據可攜帶權的實現涉及多方利益，如個人利益、企業利益、社會利益等，對數據進行控制并將數據傳輸給他人有賴于企業的行業自律和自主探索。再次，數據可攜帶權賦予數據主體獲取并移植數據副本的權利，同時也加劇了數據被他人冒用或盜用的安全風險，允許數據主體可以無條件的一次性批量下載并轉移的數據或許會包含第三人的信息與隱私，這會在一定程度上加劇涉他數據的剝離難、數據的可用性存疑和數據安全風險等困難。最后，雖然數據可攜帶權能夠在一定程度上消除“鎖定”效應，但也面臨著數據從中小企業向大企業遷移的風險，反而加劇了數據壟斷與不正當競爭。9. 謝琳、曾俊森：《數據可攜權之審視》，載《電子知識產權》2019 年第 1 期，第 34 頁。數據可攜帶權在一定程度上面臨著公共利益和個人權益的價值沖突。GDPR第20條第3款對于數據可攜帶權的權利限制條款進行了排除限制，“針對數據控制者為了維護公共利益需要，或者為了履行其被官方授權的對個人數據進行必要收集的需要，此時權利不適用。”該條規定表明，在與社會利益、經濟利益、國家利益以及他人的權利和自由相沖突的領域，需要對數據可攜帶權的行使進行權利限制與利益平衡。10.Zanfi r G. The right to data portability in the context of the EU data protection reform. International Data Privacy Law, 2012, 2(3): 149-162.

（三）數據可攜帶權的發展趨勢

數據可攜帶權作為個人信息的子權利盡管可以打破“數據壁壘”促進個人數據的自由流動和企業的有序競爭，但是也無法回避數據的多元價值齟齬和場景依附性。數據可攜帶權自被創設以來也面臨著諸多的質疑，在規范維度與實踐層面亟待進行法律效果評估與發展趨勢前瞻。

從數據安全的維度上看，GDPR 及《數據可攜帶權指南》并沒有針對數據可攜帶權在實施中面臨的適用困境以及技術標準給出穩定高效的權利實現機制，數據可攜帶權的引入導致的隱私風險和數據合規會阻滯數據的自由流動和個人信息權益保護。因此，應當在數據安全分級分類方面進行場景化的設計，特別是要對數據控制者提升場景風險監管保障方面的數據流通能力進行評估，避免數據傳輸過程中侵害第三方利益、利用虛假身份騙取數據以及數據安全泄露等等。從市場競爭的維度上看，盡管數據可攜帶權有助于打破數據主體的封鎖效應能力，促進數字市場的自由競爭，但也面臨著大型平臺利用競爭優勢遷移中小企業的數據反而加劇了數據鎖定效應和數據壟斷可能性。從知識產權保護維度上看，GDPR第20條以及《數據可攜帶權指南》也規定，針對數據主體在數據遷移過程中所可能引發的損害商業秘密和知識產權的負面效應，數據控制者應當在確保不損害商業秘密和知識產權的情形下進行數據遷移和數據傳輸，但不能因此一刀切拒絕數據傳輸的應用場景。盡管《數據可攜帶權指南》將數據信息劃分為有知識產權和不含有知識產權的兩種類型，但卻大大低估了實踐中個人數據與知識產權的復雜交織狀況，也并沒有能夠為權利的齟齬沖突提供現實有效的解決方案。從技術維度上看，數據可攜帶權的實施落地面臨的一大技術難題在于跨平臺數據遷移的技術可操作性問題。GDPR規定在數據傳輸格式上應當充分遵循“結構化、通用、機器讀取”等要求，但 GDPR并未對此進行技術標準的統一。數據傳輸格式的不通用在實現互操作性上面臨著諸多的難題，且面臨著日新月異的復雜場景嵌入與破壁，互操作性的實現面臨著技術障礙。對于中小企業而言意味著要付出更大的合規成本，投入更多的執行成本和數據傳輸標準框架以滿足互操作性的現實要求。11.Beata, A, Safari. Intangible privacy rights: How Europe's GDPR Will Set a New Global Standard for Personal Data Protection. Seton Hall Law Review, 2016, 47(3):809.因此，在歐盟尚未形成共同的技術標準和操作格式之前，數據可攜帶權的落地仍面臨著數字平臺反壟斷與個人數據保護之重疊與沖突。12.李伯軒：《數據攜帶權的反壟斷效用：機理、反思與策略》，載《社會科學》2021年第12期，第105頁。

二、數據可攜帶權的權利屬性分析

數據可攜帶權作為一項新型權利，自GDPR規定以來就引發了學術界以及實務界的廣泛討論與質疑，如何從應然的權利證成轉變為實然層面的權利保障有必要對該權利的法律屬性進行清晰定位。當前在我國高度重視數字經濟健康發展和數據開放共享的發展態勢下，數據可攜帶權的引入不可避免地也面臨著隱私保護、數據安全、數據壟斷、權利沖突以及多重利益齟齬等辯難，我們應當在對數據可攜帶權這一新型權利進行規范性解讀的基礎上進行權利屬性厘清與多元價值平衡。13. 丁曉東：《個人信息權利的反思與重塑：論個人信息保護的適用、前提與法益基礎”》，載《中外法學》2020年第2期，第314頁。

（一）數據可攜帶權能否作為基本權利進行保護

在國際上，人權具有不同的劃分標準，根據人權保護利益的基礎性和重要性可劃分為基本人權和非基本人權是較為通用的標準，作為基本人權保護的有生命權，健康權財產權等權利。非基本人權幾乎都是由基本人權派生而成的。部分學者主張可以將數據可攜帶權作為基本人權保護，理由在于：包括數據可攜帶權在內的公民數據權是一項新興的公民基本權利，是信息社會化的必然產物。隨著大數據時代的到來，數據可攜帶權已經成為具有代表性權利之一。它具體包括信息所有者本人能夠無障礙地對個人信息依法享有的傳輸轉移的權利。德國憲法法院在1983年“人口普查案”判決中正式將“個人信息自決權”予以法定化，歐洲法院通過谷歌案確立了“數字遺忘權”即“數據主體有權要求互聯網搜索引擎服務商將與其姓名鏈接的陳舊的、毫無關聯或者侵害隱私的信息從搜索鏈接中進行刪除”。因此，新型的數據可攜帶權能夠作為一項實在法意義上的制度性權利在立法中得到確認并且能夠被應用到司法裁判當中作為審理依據。14. 龔子秋：《公民“數據權”：一項新興的基本人權》，載《江海學刊》2018年第6期，第157頁。

國內外也有相當部分學者主張數據可攜帶權不得作為基本人權保護，理由在于：數據可攜帶權被劃分為基本人權存在疑問, 可被作為非基本權利進行保護。首先，《歐盟權利憲章》并未明確將數據可攜帶權納入其中，也未將其作為訪問權的延展權利進行保護。其次，數據可攜帶權存在目的是促進數據的交流與共享，加強數據在平臺間的有效流動，破除“數據壁壘”與“鎖定效應”，如果將數據可攜帶權作為基本人權加以保護，或許會阻礙數據市場的發展，因此，更適宜將數據可攜帶權作為促進數據市場競爭的有效武器和規制工具。15. 曾彩霞、朱雪忠：《歐盟數據攜帶權在規制數據壟斷中的作用、局限及其啟示——以數據準入為研究進路》，載《德國研究》2020年第1期，第134頁。再次，數據可攜帶權與傳統權利相比具有特定的社會利益，例如數據主體對于數據子集的支配控制權，訪問傳輸權等，并可以在以上特定利益中自由選擇，因此，雖然數據可攜帶權日益受到重視，但是離被作為基本人權進行保護還存在一定距離。數據可攜帶權目前仍缺乏作為基本人權保護的正當性和合理性。因此，數據可攜帶權的核心在于要求企業對數據的傳輸提供配合，這不同于一般的個人數據保護權利，較難認為是一種基本權利。16. 冉從敬、張沫：《歐盟GDPR中數據可攜權對中國的借鑒研究》，載《信息資源管理學報》2019年第2期，第25頁。

（二）數據可攜帶權的多重民事權利屬性界定

首先，數據可攜帶權具有抽象的人格屬性。根據我國民法典：人格權是一個抽象的權利。數據可攜帶權屬于數據主體，并依賴于數據主體的身份，數據可攜帶權屬于人格權是被普遍認可的。原因在于，可攜帶權中的“數據”與人格利益和個人信息息息相關且能夠與隱私權、姓名權等權利關聯，包含人格要素，并非普通數據。世界上許多國家民法典，包括我國最新出臺的民法典都共同面臨著一個問題：人格權的范圍設定過于狹窄。但隨著社會的發展與科技的進步，具有人的意志，隱私，尊嚴等多重人格利益屬性的個人數據在進行可識別化后可以被作為一種抽象人格權保護，以彌補具體人格權的局限性。其次，數據可攜帶權具有財產權價值。目前GDPR基于人格權的角度對于個人數據進行保護，但是學界對此也存在質疑觀點。就全球數據行業而言，數據資產的價值在于數據的流轉與共享而產生的商業紅利，在數據可攜帶權中用戶可以將個人數據從一個平臺轉移到其他平臺并通過處理，數據通過成倍的繁殖與擴散發揮數據紅利，促進數據共享。數據與具有可視化物理外觀特性的財產不同，它具有極大的可復制性與傳播性，可以在數據網絡中快速傳播與自我繁殖，雖然單個數據上的財產價值有限，但在巨量的數據被匯集在一起時，財產價值不容忽視。根據波斯納在《法律的經濟分析》一書中提到，想要發揮數據價值與保護個人數據，必須承認數據的財產屬性。因此，數據可攜帶權是一項復合型權利，兼具多項權利屬性，它并非單單涉及人格利益，它還構成了數據主體對數據本身的支配控制權能。

（三）數據可攜帶權的權利實現困境

盡管歐盟GDPR第 20條、序言第 68 條初步勾勒了數據可攜帶權制度，歐盟第29條工作小組關于數據可攜帶權的指南則從權利構造和法律適用上進一步厘清了權利實現的法律屬性。但數據可攜帶權作為一項新型權利仍面臨著法律屬性的定性模糊與司法適用困境。具體而言：（1）數據可攜帶權的權利客體含混不清。依據GDPR所界定的個人數據只適用于自然人數據和數據主體提供的數據。但是對于個人數據的界定而言，是否包含在原始數據基礎上進行的與個人相關的觀測數據、衍生數據與推測數據直接影響到哪些數據可以移轉、哪些數據不能夠移轉。歐盟第29 條工作組的指南擴張解釋了GDPR中提供的內涵，觀測數據也被納入提供的范疇。由此，消費者在數據平臺或接收數據服務中產生的相關數據，也被納入此項權利的客體范圍.但該擴張解釋也可能帶來一定的問題，如用戶在使用某社交軟件產生的聊天記錄，其是否可以依據數據可攜帶權要求該社交軟件將該聊天記錄移轉給其他社交軟件？數據控制者面對這一請求，首先要判斷該聊天記錄是否是數據可攜權的客體？聊天記錄這一數據并非由用戶主動提供，而是使用社交軟件產生的，可以被歸入觀測數據的范疇。但聊天記錄不僅涉及請求移轉的主體利益，而且可能會涉及其他參與聊天主體的利益，數據控制者如果直接進行移轉是否會侵犯其他第三人的利益？（2）行使權利的技術障礙。歐盟 GDPR第6條規定了處理數據的規范性基礎，而數據可攜帶權僅適用于基于合同的約束和基于數據主體同意。對于不同數據控制者之間的移轉傳輸數據權，還需要滿足技術可行性的要件。但何為技術可行性，當前法規并無明確說明。根據歐盟第29條工作小組的相關解釋,技術可操作性并不是數據的結構化、通用化、機器可讀格式等內容，而是指數據控制者之間系統的互通性。GDPR序言中強調保證數據可攜權的技術可行性并非是數據控制者的一項強制性義務，倘若遭遇技術可行性障礙導致無法轉移傳輸數據，數據控制者履行向數據主體告知、解釋的義務即可。據此，構建數據移轉的互通性系統并非是一項強制性義務，而只是一項提倡性建議。17.參見時明濤：《大數據時代企業數據權利保護的困境與突破》，載《電子知識產權》 2020年第7期，第66頁。受限于互通系統要求，數據控制主體便會導致無法無障礙地在數據控制者之間進行個人數據的直接移轉與傳輸，使得數據可攜帶權面臨著權利泛化的錯誤承諾。（3）確定責任主體與范圍。數據可攜帶權創設的目標在于加強個人數據的自由流動，但在數據移轉的過程中所產生的隱私泄露和安全風險也面臨著責任主體的承擔和權利救濟問題。根據歐盟第29條工作小組認為，應當由數據控制者承擔責任，采用安全措施來保證數據移轉過程中的數據安全。這一論斷具有一定的合理性，數據控制者應當核驗數據主體身份以及具體移轉數據的正當性，對可能產生的數據泄露或安全問題也應當采取相應的補救措施。

綜上，盡管數據可攜帶權面臨著權利構造的證成與質疑，作為一項新型權利有著得天獨厚的規范基礎與創新活力，其開創性地將數據副本的流轉權利交給數據主體，賦予了數據主體對個人數據的控制能力，有助于實現數據的自由流動和企業的激勵創新。因此，不斷完善數據可攜帶權的權利屬性、實現機制與邊界限度有助于更好地保護個人數據和促進數據流通體系完善。18.金耀：《數據可攜權的法律構造與本土構建》，載《法律科學(西北政法大學學報)》2021年第4期，第105頁。

三、數據可攜帶權的域外經驗及法律效果考量

數據可攜帶權作為歐盟創設的一項新興權利旨在促進個人數據的自由流通、實現數據主體的賦權增能，活躍歐盟數字市場的創新效能。歐盟GDPR明確賦予了自然人數據可攜帶權的權利保障規定，提升了數據主體的個人信息權益保障。而美國對數據可攜帶權的引入則秉持著市場主導的立場，在營造產業發展的底色基礎上通過企業加強行業自律和反壟斷規制方式，推動數據企業數據可攜帶權的行使與落地。19.付新華：《數據可攜權的歐美法律實踐及本土化制度設計》，載《河北法學》2019年第8期，第157頁。有鑒于歐美數據可攜帶權的不同法律實踐與司法經驗，我國數據可攜帶權的引入和落地應當在有效鏡鑒數據可攜帶權的域外經驗與法律效果基礎上進行本土化的權利構造與法律調適。

（一）數據可攜帶權的歐盟模式

在數據權利保護方面歐盟采取專門立法的方式，主要包括《數據保護指令（95/46/EC 指令）》《個人數據保護指令》《隱私電子指令》(E-Privacy Directive)《數據庫指令》( Database Directive) 以及《通用數據保護條例》(GDPR)。包括數據可攜帶權在內的歐洲個人數據權利保護的理論起源于德國在“人口普查法案”判決中確定的個人信息自決的權利。在2012年歐盟委員會提交的數據保護草案中，將數據可攜帶權以及數據主體訪問權、被遺忘權等權利并列在草案第三章進行規定，促成了歐盟體系內個人數據權利體系的初步形成。隨后歐盟個人數據保護立法機構對于數據可攜帶權進行了多次修訂，2013年，在歐洲議會下設的公民自由、司法和內政事務委員會（LIBE）發布的報告中將數據可攜帶權作為數據主體訪問權的有機組成部分納入立法文本當中。在最后正式通過的GDPR文本中，該數據權利作為一項獨立的制度性權利被單獨列明在第二十條，并將該權利的客體具體限定于“個人數據”，是數據可攜帶性功能的具體體現。因此，歐盟的個人數據保護傾向于加強數據主體對于數據的控制能力，消除市場準入障礙。隨后2016年，WP29也在《關于執行GDPR的2016年行動計劃的聲明》和《關于數據可攜帶權的指引》發布了數據可攜帶權的具體行動指南，2018年10月又推出了《非個人數據自由流動條例》，鼓勵企業之間共享數據禁止數據本地化限制，目的也是為了擴大數據可攜帶權的適用范圍，推動歐盟單一數字市場的建立，提振歐盟的數字經濟潛力。

在數據可攜帶權保護方面歐盟采用專門立法的方式由政府加以監管。歐盟主張，在社交軟件中的個人數據已經成為人格權的延續，因此，基于人格權的保護和人格自由發展理念，歐盟開始通過頂層設計加強數據主體對于數據的控制力度，促進個人數據的自由流動。GDPR將數據可攜帶權從法律層面進行創造性初步規定，目的在于通過立法為個人數據保護提供更多支持，讓數據主體能夠在技術可行的條件下便捷的管理和控制自己的數據，以此提升數據主體對個人數據的控制能力，保證信息主體自由行使信息自決權。

在2015年前，歐盟數字市場監管的主要目的是促進數字服務的自由流動，以“私人、非營利、以利益相關者的利益為基礎”，除非絕對必要，各國政府應當避免干預，因此，在需要監管的地方，將其保持在最低限度，所有數據保護法規應當基于單一市場自由的監管，考慮到商業利益。但是在2015年之后，開始淡化了自由主義信條，不再強調數據權利的絕對自由化，通過引進平臺監管、新的規則與監管措施消滅數字服務中的威脅，逐步完成向溫和的模式轉變。20.丁曉東：《被遺忘權的基本原理與場景化界定》，載《清華法學》2018年第12期，第94頁。2020年12月，歐盟委員會公布了《數字服務法案》和《數字市場法案》，為所有數字服務市場主體制定了一套全面的新規則，旨在消解平臺空間的監管分散化、確保數字市場的公平性和可競爭性。《數字服務法案》和《數字市場法案》涉及范圍較廣，包括大型平臺的數據壟斷、數據不正當競爭、重新平衡用戶、在線平臺和監管機構之間的權利和職責等等。在眾多舉措中，《數字服務法案》加強了在線平臺與信息服務提供商的法律責任和對于平臺政策內容的監督，完善電子商務指令。通過事先制訂規則，將具有顯著網絡效用的大型平臺充當“把關人”，維護網絡用戶的信任，提高數據的共享開放水平，保證數據行業創業者、企業和市場之間的公平競爭。歐盟針對數字市場競爭規則的改革也為數據可攜帶權的實施提供新的制度環境，將法律法規與行業協會等結合起來，為數據可攜帶權提供更為多元化的場景應用和精細化的規范保障。

（二）數據可攜帶權的美國模式

對于數據可攜帶權美國也早在國會中以立法的形式將其確定下來。1996年8月21日，美國國會通過了《健康保險可攜帶和責任法》（Health Insurance Portability and Accountability

Act，簡稱HIPAA）。美國醫療和人力服務部為了推進更高質量的醫療服務與促進公共福祉之間的平衡，以此為宗旨頒布的《個人可識別醫療信息隱私標準》中，明確規定個人對醫療信息享有隱私權和控制權，在面對個人醫療信息這一極其敏感信息時，個人享有衛生保險健康機構收集到的關于個人健康的數據信息權利，但是對此類敏感數據的“可移植”尚未作出規定。

2018年通過的《加利福尼亞消費者隱私法案》(CCPA)正式引入數據可攜帶權，規定了消費者的訪問和可攜帶權。該法案一是規定消費者對企業收集和管理其個人信息享有數據控制權；二是對數據企業收集處理數據的方式劃定了權限清單和目的紅線。該法案適用于在加州直接或間接收集該州消費者個人信息的企業，且這些企業需要有收集和處理個人信息的目的和權限，同時還要符合以下一項或多項標準：（1）經通貨膨脹調整后，年收入總額超過 2500 萬美元；（2）通過銷售消費者的個人信息獲得50%或更多的年收入；（3）每年為商業目的購買、接收、出售或分享 50000 或更多消費者、家庭或設備的個人信息。美國數據治理以行業自律為主要手段，輔以政府監管，堅持以市場為導向的模式，協調個人數據保護與數據產業發展的沖突。由于美國聯邦體制下各州數據治理理念差異化及數據巨頭企業的阻礙，美國并未采取類似于歐盟數據保護的統一立法，而是采取分散化的立法形式，同時輔以行業自律和事后司法救濟的途徑。對于金融等重點領域內的數據，美國政府對此類數據加強管控和保護力度，針對非敏感信息政府一般秉持“守夜人”的態度，盡量減少國家公權力的介入。美國的個人數據保護模式更側重于從產業利益角度規范企業收集數據的方式，并且以解決問題的態度來處理數字產業發展與數據主體權益保障之間的沖突。21.高富平：《個人信息處理：我國個人信息保護法的規范對象》，載《法商研究》2021年第 2 期，第74頁。CCPA賦予了消費者數據可攜帶權，注重消費者的權利保護，盡管其立法也面臨著規制成本、權利邊界、隱私安全等問題，但相比歐盟對于數據可攜帶權的技術性操作標準模糊，CCPA擴大了權利的適用對象，建構了以消費者為中心的場景化數據保護方式，重點關注的是更符合數據產業發展得更具有操作性的實施方案。

（三）域外法律經驗模式特點與法律效果評估

第一，數據保護模式不同。歐盟通過在實在法層面設立制度性權利的方式來促進數字產業公平競爭和個人數據權益保障。從2010年起，歐盟就致力于構造個人數據保護的合作式法律體系，以確保數據可攜帶權的行使和個人數據安全，建立數據保護“防火墻”。美國尚未在法律上對數數據可攜帶權作出完整系統的規定，主要依賴行業自律。

第二，法益保護目標不同。美國法與歐盟法對數據可攜帶權保護的監管模式與治理理念存在著顯著差異。歐盟法是在保障人權和數據合規層面去增強數據主體的信息權益，而美國法側重于市場主導背景下通過競爭法則的引入加強對數據的利用，平衡數據保護和數字產業發展的矛盾沖突，通過競爭博弈和指示的方式降低互聯網企業和數據企業的合規負擔。兩者都致力于規避數據被“鎖定效應”，在加強個人數據保護力度的同時減弱了數據企業和平臺對個人數據的控制能力。

第三，適用主體和適用條件的差異。在數據控制者和數據主體之間權益保護的衡量方面，歐盟更傾向于保護數據主體，美國則是傾向于保護數據控制者的權益。歐盟GDPR數據可攜權的適用主體只能是自然人，不能是公司等法人組織；美國數據訪問及數據可攜權相關案例的適用主體是公司等法人組織。歐美差異的原因在于GDPR是一部個人數據保護法，立法的宗旨在于確保個人數據權利的實現，而美國的相關司法案例則更多地是從競爭法角度對企業數據訪問和數據可攜請求的務實裁決。兩者不同的地方在于歐盟將數據可攜權作為個人數據權的一部分，而美國則更多地是從市場競爭的角度考量實施數據移轉的謙抑性與務實性。

法律是一種地方性知識，數據可攜帶權的歐美法律實踐盡管能夠為我國數據可攜帶權本土化提供規范性基礎，但仍需要進行本土化的制度設計和法律構型。數據可攜帶權的法律構造與本土設計應當因應我國公民個人信息保護的現實需要和數字經濟健康發展的需求，探討我國數據可攜帶權的本土化法律適用空間與權利實現機制，明晰數據可攜帶權的權利限制條款與權利結構。

四、我國個人信息保護制度中信息可攜帶權的本土化應用

當前我國數字經濟正處于快速發展階段，對于數據可攜帶權這一項新型權利的探究不僅能夠有助于補強個人信息保護的數據權能，同時也能夠為融入全球數字經濟浪潮提供合規標準與中國方案。數據可攜帶權的本土化和中國實施方案不僅僅是促進數據流通和利用、推動數據市場公平競爭中國方案的重中之重，而且能夠為我國數據治理領域提供反思性調適的權利實現機制與本土化制度設計。

（一）明晰信息可攜帶權的規范基礎

1.從立法上明確數據可攜帶權的法律屬性

在數字經濟時代數據產品成為流轉、共享的關鍵節點，由于數據產品與企業運營、投入資本以及企業合規等緊密關聯，因此，如何明確數據可攜帶權的法律屬性與正當性理據有助于更好的保護數據控制權和財產權成為新時代數據利用和數據治理亟待解決的風險和利益沖突問題。

由于我國立法尚未對數據可攜帶權的法律屬性做出有區分度的精細化規定，但在司法實務中通過“新浪微博訴脈脈案”“淘寶訴美景不正當競爭糾紛案件”等具體司法裁判確立了一些規則與標準。在淘寶訴美景案中淘寶公司在長期提供零售電商服務過程中產生相當一部分“數據產品”，此類數據產品可以提高淘寶公司的服務與運行水平，而且此類數據產品具有增值價值即財產利益。而美景公司在運行旗下網站時，以提供遠程服務的方式，幫助他人獲取此類“數據產品”，獲取數據商業利益，構成了不正當競爭行為。此案作為互聯網數據產品第一案，明確了數據產品具有競爭性財產權益。數據具有財產性價值，并且通過自由流動和挖掘共享能夠獲得數據紅利。當前，數據產品的開發與應用已成為數字經濟繁榮發展的新型商業模式，是網絡運營者市場競爭優勢的主要來源與核心競爭力所在。數據作為市場交易對象已經具備了商品的財產價值，理應通過法律保護的形式給予清晰界定，推動大數據產業的發展。因此，我們在法律層面上論證數據可攜帶權的正當性基礎時，要考慮到其具有人格權和財產權多重屬性的權利束功能。數據可攜帶權并非純粹涉及人格利益，應當將其看作是一種復合式權利進行保護，促進信息化場景多元化運用，尤其需要通過確立企業對數據產品享有獨立的財產性權益方式構建互利共贏的數據生態環境。

2.平衡信息可攜帶權與其他權利的矛盾沖突

GDPR第20條第3款進行了權利限制性規定：“對于數據控制者基于公共利益的考量，或者為了行使其被授權的官方權威而進行的必要性處理，這種權利不適用”。顯而易見，如數據涉及公共利益則無法行使數據可攜帶權。但第2 9工作組發布的指南也對此進行詳細解釋，因此，如果數據控制者和收集者有正當理由，即為了保護公共利益或行使公共職責，不再根據GDPR關于責任的部分進行附加規定。

數據可攜權的行使可能會與隱私權、刪除權、商業秘密等權利發生沖突，如果涉及公共利益，數據可攜權也無法適用。歐盟GDPR對此有明確規定，印度 2019年《個人數據保護法》第19條也對此做了進一步細化。我國現有“數據可攜權”規范最大的問題在于權利限制條款的缺失。我國權利限制條款應當包括以下內容：一是數據可攜權不得優先于隱私權、刪除權；二是數據可攜權不得影響其他權利與自由的實現。個人數據可攜帶權其實在一定程度上意味著個人數據是具有可分離性，即數據可以在不同的數據平臺上存在，尤其是在涉及公共領域時，我們可以理性區分私密數據和公共數據，防止在行使數據可攜帶權時可能會危及公共利益或第三人的合法權益。在此類數據爭議的案件中，司法機關應當著重考量公益和私益的界分與補強，盡量在平衡矛盾沖突的同時，促進數據可攜帶權的合規使用。本文認為應當將數據可攜帶權作為一種“柔性權利”加以保護，并分場景進行適用22.Van der Auwermeulen B. How to attribute the right to data portability in Europe: A comparative analysis of legislations. Computer law & security review, 2017, 33(1): 57-72.。數據可攜帶權會在一定程度上打破我國公共事業單位及政府間“數據壟斷”、“數據孤島”及“數據鎖定效應”現象，促進數據的有效交流共享和產業發展，提高我國公共數據開放共享水平。23.趙精武：《數據跨境傳輸中標準化合同的構建基礎與監管轉型》，載《法律科學(西北政法大學學報)》2022年第2期，第148頁。

（二）構建本土化適用的信息可攜帶權制度

在數字經濟時代，個人用戶會在數據平臺產生大量數據，對于此類數據，我國法律應如何分級分層保護正引發廣泛的質疑與討論。《民法典》對于個人信息保護進行了階段性立法回應，用專章的方式對個人信息的類型、收集、更改或者刪除作出了初步規定，為系統化研究個人信息保護提供了寶貴的契機。但是，目前我國對于個人信息保護的私法體系仍處于正在被構型和完善的階段，還未形成權利保護的科學路徑與本土化設計。比如個人信息保護的民法難題在于能否將數據可攜帶權納入傳統的人格權和財產權保護范疇，以及《民法典》將個人信息作為一項獨立的人格權益進行保護面臨著權利束的多元價值沖突，將個人信息作為獨立的人格權益進行保護，會導致其與隱私權界限難以區分。

因此，數據可攜帶權作為一項新型權利，仍存在立法論證、行業壁壘以及技術支持等現實問題。24.王利明：《和而不同：隱私權與個人信息的規則界分和適用》，載《法學評論》2021年第 2 期，第15頁。例如，在確權方面，當個人數據涉及到第三方的利益時，那么對于其權屬問題應當如何處理才能不侵害第三方的利益；由于行業利益之爭，導致數據平臺之間“壁壘”嚴重，數據轉移難度加大，妨礙其自由流通；在個人數據進行轉讓的同時，所需要的轉移技術支撐是應當由原網絡服務提供商還是由個人用戶的“意向”網絡服務提供商負責等問題都是日后數據保護政策完善的重中之重，進而彌補數據可攜帶權規定的不完善之處。數據可攜帶權的行使與保護，應當強調公法的監管策略與分配正義功能。在實施好《民法典》相關要求的同時，系統化地運用公法路徑對數據可攜帶權進行科學的風險控制和多元利益平衡，加強對數據可攜帶權的正當性、必要性和可行性研究，不過分依賴民法的權利保護模式，通過“場景化設定”和分級分層策略來不斷探索數據可攜帶權的積極功能，因應不同行業、不同領域、不同場景制訂不同的規則，平衡多方利益之間的沖突和競合關系，從數據治理的分配正義角度回應數據可攜帶權的行使條件和監管策略。

綜上，數據可攜帶權作為一項新型權利，自GDPR規定以來就引發了國內外學術界以及實務界的廣泛討論與質疑。本文結合《民法典》《個人信息保護法》等立法背景，對于數據可攜帶權的權利屬性和立法目的進行深刻剖析，可以將其設為一種新型柔性權利，并區分數據類型、應用場景和行業領域，因地制宜地做出規則設計，防止“一刀切”的在整個數據行業實行，以至于導致部分小企業陷入不正當競爭漩渦。25.Lynskey O. The Foundations of EU Data Protection Law. Oxford University Press, 2015.

（三）創新我國信息可攜帶權的權利生產機制

大數據時代由于數據企業能力優劣勢各有區別，常存在部分互聯網巨頭會利用其優勢地位，對數據加以控制，限制其他數據者的利用，由此造成數據“鎖定效應”。數據可攜帶權的出現，會在一定程度上打破“數據壟斷”現象，促進數據間的交流共享。但是，數據可攜帶權也會給數據從小企業流向大企業提供便利，那么大企業又會利用自己的優勢競爭條件吸收數據。因此，數據可攜帶權的新設有助于打破數字壁壘和行業壟斷，但也可能面臨著規范平臺競爭的現實風險場景設定。數據可攜帶權在賦予數據主體獲取數據并傳輸數據的信息自決權同時，如何避免數據泄露、隱私安全和權利保障等問題，明確數據可攜帶權的價值取向和權利生產機制也是當前我國數據可攜帶權正向賦權保護模式研究的重心。

首先，明晰我國數據可攜帶權的權利構造。數據可攜帶權確立的根本目標在于增進數據主體對于個人數據的控制能力，提升數據主體對于個人數據的自決和支配力度。26.Van der Sloot B. Do Data Protection Rules Protect the Individual and Should They? An Assessment of the Proposed General Data Protection Regulation. International Data Privacy Law, 2014, 4(4): 307.其次，明確數據可攜帶權的適用范圍。通過研究歐美國家數據可攜帶權的相關制度規定，我們可以總結出：數據可攜帶權目前面臨的極大挑戰是對“個人數據”定義和適用范圍的界定較弱。根據GDPR的規定：只有由個人“輸入”（Enter）和使用產品或服務“產生”（Generate）的數據才屬于個人數據范圍，而以此衍生或者推導得出的數據并不屬于數據可攜帶權的適用范圍。因此，在數據可攜帶權的本土化研究中，我們也應當以一種較為溫和和緩的方式去界定該權利，盡量提高數據可攜帶權的可操作性、針對性和專門性，確保數據可攜帶權作為一項新型權利的實現方式和救濟機制。最后，增加數據可攜帶權的限制條款。對于涉及公共利益以及第三人合法權益的數據，我們應當以更為明確，更具可操作性和指向性的規定進行梳理，將數據進行一定程度的剝離分割，在確保不損害國家安全、公共安全和第三人合法權益的基礎上，允許數據主體行使數據可攜帶權并將其轉移并傳送。同時，在具體操作層面，仍需專門立法進行細化規定，減少數據泄露、數據壟斷等風險。數據控制者應當在數據主體請求保護權利時起到守門人的作用，在確保數據主體隱私安全的同時需要對涉及敏感信息的具有高風險的數據進行“多重要素驗證”，之后數據主體才能獲得授權。數據控制者有責任保證在處理數據主體攜帶的數據時，符合數據處理目的，不超出相關性要求，在數量上也不得超過新數據處理目的所要求的數量。在個人數據被傳輸轉移之前，原數據控制者也應當承擔一定的義務防止數據被泄露，通過對提出請求的數據主體進行身份核準和精準識別，并通過特定的安全機制對數據進行加密處理，確保數據的準確安全傳輸。接收數據的新控制者必須在數據主體請求轉移傳輸數據之前，清楚直接地說明新的處理目的。27.邢會強：《論數據可攜權在我國的引入——以開放銀行為視角》，載《政法論叢》2020年第2期，第14頁。若需要對數據進行其他處理，數據的接收者應當遵循著公開透明、數據最小化、合規性、精準化、存儲限制等現實目標。28.BARBARA ENGELS.Data portability among online platforms.Internet Policy Review,2016，5(2):1-17.

五、結語

歐盟確立的“數據可攜帶權”法律制度在增強數據主體對于數據控制力度的同時能夠打破“數據鎖定效應”和“數據壟斷”現象，推動數字經濟繁榮發展。我國《個人信息保護法》首次在法律上提出了個人信息的可攜帶權，賦予公民自主支配個人信息的權利。個人信息可攜帶權作為數字經濟時代的新型權利，關系到個人信息主體權益保護和數字經濟業態健康發展。基于數據可攜權的多重價值，從制度定位上我國應充分借鑒域外相關立法經驗與司法實踐，從個人信息保護、數據競爭、消費者利益保護等維度體系化構建相關規定，創新權利實現的外部機制。29.曾彩霞、朱雪忠：《歐盟數據攜帶權在規制數據壟斷中的作用、局限及其啟示——以數據準入為研究進路》，載《德國研究》2020 年第1期，第134 頁。我們需要明確數據可攜帶權的權利構造與規范基礎，平衡數據可攜帶權的引入所承載的信息價值與人格價值的利益沖突，革新數據可攜帶權之監管理念來完善我國數據可攜帶權的法益保護模式，通過構建兼顧創新與人權的激勵相容的數字經濟法治保障體系，創新數據可攜帶權的信任機制與救濟機制。可見，數據可攜帶權的法律構造和本土化設計都需要立法層面進行有效回應和場景細化，構建多方主體的操作標準和制度框架，完善企業數據合規要求，達到信息價值與人格價值的多元利益平衡，構建可量化可操作性的權利運行機制。