《個人信息保護法》背景下數據可攜帶權探析

潘香軍

（清華大學法學院，北京 100084）

一、問題的提出

隨著互聯網、大數據的發展，數據壟斷、平臺經濟等現象已經屢見不鮮，數據收集者和控制者往往利用技術、資源等各方面優勢，設置市場門檻、造成市場的不公平競爭。在此種背景下，《個人信息保護法》（以下簡稱《個保法》）的出臺無疑給市場打了一針強心劑。《個保法》通過引入歐盟《一般數據保護條例》（以下簡稱GDRP）中確立的數據可攜帶權，平衡大中小企業之間的利益博弈關系，促進數據的流動性，賦予個人以更強的信息自決權。然而，由于權利范式不成熟，立法技術和現實需求的脫節，立法決策初衷與實際效果的不一致，導致數據可攜帶權存在巨大的爭議，因此亟需剖析數據可攜帶權的性質，厘清權利的適用范圍和權屬邊界，切實解決其本土化問題。本文將對數據可攜帶權進行討論，探討其權利的本質、本土化的正當性與合理性以及在實踐中所面臨的困境，以期破解適用難題，促進數據市場的良性發展。

二、數據可攜帶權的本體論

（一）權利屬性

關于數據可攜帶權的權利屬性，學界還存在爭議。有學者提出，數據可攜帶權并非一種權利，數據權利中的積極性權利應當有助于提升消費者福利，而此種權利一定程度上削減了信息安全［1］。因而，將數據可攜帶權囊括在數據的基本權利中并不合理。我國部分學者認為，數據可攜帶權對數據控制者賦予了過重的責任義務，無論是獲取與移植的便利性，還是技術上的支持，都超出了現實可能性，因而不能成為一種基本權利［2］。

本文認為，數據可攜帶權屬于個人信息自決權的一種類型，是一種新型的積極性數據權利，兼具了人格權和財產權雙重屬性。個人信息自決權是指個人依照法律控制個人信息并決定是否被收集和利用的權利［3］。個人信息自決既包含消極防御功能，又應當囊括訪問權、刪除權、數據可攜帶權等對信息積極的支配和控制力。法律對自然人所賦予個人數據權利，是保護自然人對其個人數據被他人收集、存儲、轉讓和使用過程中自主決定的利益［4］。

此外，在數據與信息二分的背景下，數據是信息表達的一種方式［5］。大數據時代，數據既是信息的載體和媒介，又往往包含著信息控制者對信息所實施的處理加工，而在新出臺的《個保法》中，對數據可攜帶權的表述內容限定為個人信息，因而在我國語境下可攜帶的客體實質上應解釋為信息而非數據，是個人信息權益的擴張，也是信息自決權的體現。但同時，數據可攜帶權在我國落地的過程中還面臨著許多難題，需要進一步的研究和解釋，雖然上升為數據基本權利的現實條件尚不明朗，但通過個人信息自決權的框架予以保護具有合理性。

（二）權利架構

作為一種新型的自決權，數據可攜帶權具有完整的權利架構模式。比較法上，歐盟、澳大利亞、印度、巴西等地區都先后通過立法予以明確可攜帶權的具體規則。

權利主體方面，GDPR序言中明確，條例的保護適用主體為自然人。《印度個人數據保護法》（以下簡稱《印度法》）以及《巴西通用數據保護法》（以下簡稱《巴西法》）也將主體限定為個人，而澳大利亞《競爭和消費者數據權利規則》（以下簡稱《澳大利亞法》）中除了涉及消費者個人以外，還將受認可的第三方納入主體范圍，可以由其代表消費者行使該項權利。我國所確立的數據可攜帶權，其權利主體應當僅限于自然人個人。從體系安排上看，《民法典》將個人信息保護置于單獨成編的人格權編，著眼于同《民法典》緊密銜接的《個保法》，在第一章總則編中也保護對象為自然人的個人信息，二者均突出強調了個人的重要性。從制度邏輯上看，與法人、非法人等民法中其他的主體相比，自然人一般處于弱勢地位，企業、政府可以利用技術優勢、人力資源等實現對數據的掌控，而自然人對其自身信息的知情權也因信息不對稱而無法較好的實現。同時，我國數據可攜帶權的立法還需要進一步完善和細化，在此之前類似于澳大利亞法律中規定的第三方主體不宜盲目引入，因而僅給予自然人以信息可攜帶權是權利本土化的一種良好的緩和路徑。

與權利主體相對應的義務主體為個人信息處理者，《個保法》明確了個人信息處理的方式，類似的規定在最新出臺的《美國統一個人數據保護法》（以下簡稱《美國法》）中也可尋到。總體而言，處理包括了個人信息從收集、利用、共享、刪除等各個方面，因此，負有數據可攜帶權的義務主體也應當延伸所有與數據處理有關的系統控制者。

權利客體方面，如前所述，我國語境下數據可攜帶權的客體應理解為自然人的個人信息，但應當劃定信息可攜帶的范圍。GDPR中規定為權利主體提供給數據控制者的數據，涵蓋其主動提供的個人數據以及數據控制者觀測的數據，但不應包括推測數據與衍生數據。《印度法》中規定了個人數據的權利范圍，主要限定為接收采取結構化、通用化和機器可讀格式的、與數據主體相關的個人數據，包括數據主體提供給數據控制者的、在使用數據控制者提供的服務或物品過程中產生的以及有關權利主體畫像方面的數據。《巴西法》則將客體限制為控制者正在處理的數據。我國的數據可攜帶權客體范圍也存在爭議，《信息安全技術個人信息安全規范》中規定，對于個人基本資料、個人身份信息、個人健康生理信息、個人教育工作信息等類型的，信息主體有權要求信息控制者傳輸副本。有學者認為，限縮個人信息的范圍則會降低實踐的效果，不利于打破數據壟斷和數據孤島。也有學者持反對意見［6］。本文認為，一方面，企業的觀測數據、主體畫像等信息需要大量的成本投入，也是企業以此進行精準營銷獲得盈利的重要手段之一；另一方面，這些信息在傳輸過程中無法得到保障，首先是存在一定的安全風險，其次個人無法知曉數據控制者對其個人信息處理到了何種程度，缺乏評判的標準。因此現階段權利客體應當限定為個人提供給數據處理者的信息，不包括后續的處理。

權利內容方面，各國在規定中都體現了副本獲取權和數據轉移權，其中《澳大利亞法》擴張了權利范圍，規定個人可以要求另一個數據控制者直接向持有其數據的原單位提出共享的請求。但是在行使權利的過程中，也需要受到一定的限制。例如《巴西法》中明確了兩個限制，一是不得侵犯商業秘密，二是要符合監管機構的規定。我國有學者提出分階段設立數據可攜帶權，第一階段為副本獲取權，實際成熟再引入數據轉移權［7］。我國暫時不宜過度擴張權利的內容，但這兩種權利的內容是緊密相連的，難以完全階段性割裂。行使權利時需要遵循主體適格的嚴格限制，防止引發安全風險問題。同時，不得侵犯他人的信息權益、隱私權等。

三、數據可攜帶權本土化的合理性證成

在我國《個保法》出臺之前，學界對于是否引入數據可攜帶權一直存在分歧。持反對意見的原因總結起來主要有三：其一，數據可攜權的權利類型和權利屬性不明［8］；這可以通過對權利本體的解釋得以完善；其二，由于鎖定效應、用戶粘性、商業秘密的存在，導致數據壟斷的加劇和不正當競爭，與競爭法的原理背道而馳［9］；其三，我國信息立法不完備，企業成本負擔過重，公民信息意識不強［10］。而贊成觀點大多集中論證了設立權利的現實意義。總體而言，反對者和支持者的爭議焦點集中在兩個方面，一是質疑數據可攜帶權在理論層面的正當性，二是對我國是否有數據可攜帶權的移植土壤存在懷疑。本文將從這兩個維度討論我國確立可攜帶權的正當性。

（一）理論基礎

數據可攜帶權的產生首先可以從權利哲學中尋找答案。關于權利的討論可以追溯至西方古典哲學之中，霍布斯、康德、黑格爾等都將權利的本質理解為自由，其中，康德的權利定義偏重于意志，同時強調人與人之間的協調關系［11］。在權利的發展中，權利地位的衍變經歷了由權利本位到權利義務對等的轉變。而人永遠處于復雜的社會關系之中，如今的權利建構更應當著眼于個人與社會的雙向價值本位，個人在行使權利的同時能夠最終和社會形成和諧的互動關系。數據權利的主體可以是個人，但同時它也具有社會性、公共性的性質特點。數據可攜帶權既是個人信息權利的積極擴張，又是促進數據流通的必要手段，通過權利的確認從而實現個人利益與社會利益雙重價值。

其次，對于數據壟斷和不正當競爭，也可以從理論視角進行回應。傳統競爭法規則在應對數據市場競爭存在失靈的情況，數據可攜權降低了數據壟斷的可能性［12］。競爭法領域濫用市場支配地位的判定因素無法適應大數據時代的新形勢，數據可攜帶權有利于打破大企業對數據的控制地位，促進市場流通、資源配置和利益分配。關于商業秘密和知識產權的擔憂，可以通過限定數據客體的方式解決。一般情況下，只有加工處理后的數據背后才蘊含著技術支持，單純由個體提供給數據處理者的個人信息并不涉及到商業秘密。關于鎖定效應的疑慮，則可以通過場景理論來突破。例如，有學者認為可以將可攜帶權的主要應用場景限制在大企業向小企業開放的場景中［13］，或者對不同場景設置不同的條件來保障市場的有效循環。

最后，從法經濟學的角度考量，數據可攜帶權實現了效益的最大化。科斯認為，當法律尚未界定某一具體情形，則會導致產權不明確和交易失敗的后果，最終減損了個人利益和社會利益［14］。市場經濟下，如果禁止了數據的可攜帶，于個人而言，更換網絡服務商的成本較高，挫傷了交易的積極性；于企業而言，個人用戶不愿進行交易，大企業永遠處于資源優勢的頂端，牢牢把握著數據中的價值，市場要素流動性不高，無法提高社會的效益。因此，數據可攜帶權促進了數據自由流通和交易，有利于經濟社會的進步發展［15］。

（二）實踐條件

我國互聯網的發展日新月異，實踐中已經逐漸出現了互聯網企業之間關于數據可攜帶權的糾紛訴訟，引入數據可攜帶權具有實踐上的緊迫性，而權利本土化的現實條件也日趨成熟。

第一，在立法體系上，以前公民信息意識薄弱，維權力度不夠，個人信息時常與名譽權、隱私權等混為一談。而《民法典》頒布后，專設個人信息保護一節，將信息保護提升到前所未有的地位。目前我國已經形成了公私結合的完整保護模式，包括《民法典》《個保法》《網絡安全法》《電子商務法》《刑法》等在內的法律以及由國務院、工信部、網信辦等出臺的各類互聯網信息的管理辦法、用戶個人信息安全的規定和指南都加大了數據保護的力度，體現了我國立法技術日臻完善，對互聯網發展的引導作用不斷加強。在此種背景下，引入數據可攜帶權，利用不同法律法規之間的銜接契合，給予了權利解釋和適用的空間。

第二，在技術成本上，相比于大企業而言，之前中小企業在建立數據接口、承接大企業的數據轉移方面的經驗還不夠充分，但隨著技術的發展，中小企業、初創產業也注入了源源不斷的新鮮血液，技術人才、硬件設施都不斷改善，營商環境寬松自由。比較法在規定中都涉及了數據的格式要求，我國可以考慮在政策制度方面進行格式的標準化，減輕中小企業的數據接收成本。而中小企業通過前期的機會成本付出也可以得到數據資產，后續的數據處理過程中，企業在保證為權利個體提供服務的同時，能夠利用數據創造出更多的企業效益，使技術成本轉化成了資源優勢。

第三，在數據安全上，主要存在兩個方面的擔憂。一是數據在傳輸過程中的風險；二是不法分子侵入系統、盜用身份等方式獲取所權利主體所攜帶的信息。目前各省市已經陸續出臺了數據安全管理辦法、保障條例等相關規定，企業和政府在數據監管方面雙管齊下，對外由有關部門依法依規對企業數據安全進行巡視、監督、處罰，對內企業設置數據安全的管理人員，建立起分級保護的模式，加強對數據的定期排查與評估，建立詳盡的應急預案，確保數據不被泄露和篡改。此外，在數據可攜帶權的行使上，利用規則、技術等方式，嚴格審查權利主體的真實性，進一步細化傳輸和儲存中的加密、認證等措施，嚴防不法分子冒用、盜用權利主體的個人信息。

四、數據可攜帶權的困境及破解

（一）適用困境

基于前述分析，我國已經具備了設立數據可攜帶權的理論和現實條件。然而引入數據可攜帶權后，在適用中還面臨著許多困境。

1.單個數據與大數據的沖突。大數據時代下，信息之所以能夠具有經濟利益和財產屬性，源于數據的集合體，單個獨立的信息并無太多的價值。基于這個前提，大部分企業在獲取原始數據后，形成了龐大的數據信息庫，成千上萬條信息被混合雜糅共同處理分析，因而在數據轉移的過程中可能會產生道德困境。如在微博訴脈脈不正當競爭案中，法院認為非法抓取信息屬于不正當競爭的行為。在該案中，既涉及到了注冊賬號、昵稱、個人介紹等用戶的身份信息，又觸及到了瀏覽、發布等網絡行為信息，在進行數據爬蟲時可能很難將二者進行區分，導致數據轉移的客體和可攜帶權的權利邊界被無限擴大。

2.可攜帶權與其他數據權利的協調。我國《個保法》中除引入了可攜帶權以外，還規定了知情權、查詢權、復制權、更正權、刪除權等權利，GDPR中還規定了被遺忘權。上述各項權利都需要與可攜帶權之間妥善協調配合。查詢權是可攜帶權行使的前提，缺乏此前提則無法進一步主張后續的數據權利［16］；而可攜帶權的行使也不能阻礙刪除權的適用，滿足刪除權適用條件時依然可以請求控制者刪除［17］。復制權與數據攜帶權亦存在相似之處，二者區別在于前者是權利主體復制或抄錄個人信息，后者是權利人請求從數據處理者系統中獲取或者轉移數據，可以理解為權利人授權第三方復制其個人信息。

在這些紛繁復雜的權利中，不可避免地存在權利邊界不清晰、權利互相沖突以及銜接不順暢的現象。首先，在可攜帶權與知情同意之間，如果數據主體行使了可攜帶權將其個人信息轉移至第三方平臺，隨后又撤銷了同意的意思表示，則原數據處理者和第三方平臺應采取何種措施保障主體的權利？其次，在可攜帶權與刪除權之間，若權利主體對其個人信息行使了可攜帶權后，原數據處理者是否要及時對原系統中存儲的不必要信息進行刪除？最后，在可攜帶權與復制權之間，二者概念一定程度上有所交叉，因而在權利行使要件和法律解釋上還需要進一步明晰。

3.權利主體與第三人權利的博弈。數據可攜帶權除了需要聚焦于權利主體自身的利益保護，還往往關涉到第三人的合法利益。當權利主體在傳輸數據過程中涉及到了有關第三方的數據，則可能導致對其隱私權和支配權的侵犯［18］。申言之，基于很多網絡平臺的社會交往屬性，個人信息與第三人信息密不可分，例如社交賬號中的好友基本信息、網絡動態等相關數據。如果在進行數據傳輸時，未征得第三人的同意，有侵犯他人隱私權、知情權之嫌疑；如果統一貫徹知情同意的原則，則會帶來巨大的社會成本，實質上阻礙了信息的流動，使可攜帶權的制度設計落空。如在騰訊公司訴群控軟件反不正當競爭案中，法院認為，微信數據并非相關經營性用戶單方信息，還涉及微信平臺中作為經營性用戶微信好友的其他微信用戶個人賬號數據以及通過相互交集而共同提供的用戶數據，被告擅自將該部分并不知情的微信用戶的數據加以存儲或使用，不符合用戶數據可攜帶的基本要求，構成了對微信用戶信息權益的侵害［19］。因而如何平衡好權利人與第三人的利益關系，防止數據接收平臺對第三人數據的商業化利用，是我們仍然要回應的難題。

4.個人權利與社會效應的交互。數據的社會效應既體現在數據本身所具備的公共屬性，也表現為公共部門對各類數據信息的收集和處理。GDPR中對于公共數據的規定十分保守，認為若是公共利益或履行職責，則數據可攜帶權不再適用。本文認為，此種規定與我國的現實國情不相匹配，應當鼓勵政府部門對公共數據的可攜帶。以疫情期間的大數據統計為例，在深入推進疫苗工作的階段，各地都對健康碼進行了改進，如天津市對接種疫苗的居民推行津盾碼，而若是在天津以外的地區接種，則接種信息并不能傳輸至天津衛生服務系統中，這為居民生活帶來諸多不便之處。但由于公共服務在一些領域具有強制性的特征，信息主體在行使可攜帶權的條件和方式上有待細化研究。

此外，數據可攜帶權在社會效果上存在不確定性［20］。具體而言，法律法規的規定上，無論是《民法典》中的復制權還是《個保法》中的可攜帶權，其表達都比較籠統模糊。這一方面是民法典作為處理民事法律關系的準則性規定所導致的，另一方面也為應對無法預見的形勢和問題留下解釋的空間，這就致使在實際實施過程中，產生的社會效果很可能會與權利設定的初衷背道而馳。例如，權利主體出于對小企業的不信任，將數據轉移至中小企業的意愿并不強烈，使數據僅僅停留在幾家行業巨頭企業中流通轉移，這種投票行為反而無助于打造自由的市場生態。此外，還可能會在網絡平臺中誕生數據移轉的黑灰產業鏈。

（二）破解路徑

1.厘清權利界限。在權利確定之初，就應當劃定權利的內部范圍和外部范圍，盡可能地避免數據主體自身各種權利之間的混淆，也防止權利人和第三人之間的利益沖突。因此，首先要在立法層面上不斷充實完善，總結研究比較法上實施過程中出現的權利糾紛案例，并根據我國實際情況，出臺司法解釋、相關規則，一方面必須明確數據可攜帶權的權利屬性和定位，逐步細化權利適用的規定，對權利架構形成較為統一的認知，使可攜帶權與其他的個人數據權利在解釋論上達到涇渭分明的效果；另一方面，也可以考慮分階段、分步驟、分領域、分行業、分層次推進可攜帶權的適用。

其次，在司法裁量層面，可以通過動態系統論的思想消解實踐中的疑慮。在進行權利客體的判定時，可以考量以下幾個方面的因素：（1）數據來源與用戶個人的關聯度；（2）該數據對構成數據壁壘、提高市場準入門檻的影響程度；（3）權利行使的成本效益與比例原則內涵的契合程度；（4）數據對于企業商業秘密和其他合法權益的影響［21］。在上述的影響因素均符合一般理性人視角所認可的程度時，則應當認定該數據符合權利行使的要求。如果攜帶的數據涉及到第三人，在判定可攜帶權與隱私權的界限時，也可以利用以下的動態因素靈活衡量：（1）數據與第三人的關聯性強弱；（2）數據轉移的必要性；（3）行使權利對第三人的影響程度。

2.完善配套措施。除了對權利本身的完善以外，還需要各種外部的配套措施，以支撐起整個權利體系的全流程運作。第一，提出數據攜帶的請求階段，應通過人臉識別或者其他嚴格的身份認證手段，對數據權利主體登記確認，在行使權利前后也要隨機進行主體面部校驗等風險防范措施；如果數據為敏感信息或者檢測出環境為高風險，可以實行“多重要素驗證”［22］；此外，可以借鑒新加坡《個人數據保護法》中的規定，若數據可能危害第三人的安全、身體、精神健康或損害了國家利益，則有權拒絕權利人的請求［23］。

第二，數據轉移階段，采用數據可攜的互用性框架，建立起一套通用的技術標準、格式標準和傳輸標準［24］，包括協調原數據處理者和新數據接收方之間的技術差異，對數據傳輸過程中的標準范式、加密措施、傳輸前后的格式轉換效果等作出規定。

第三，數據接收和存儲階段，可以考慮利用區塊鏈技術去中心化的特點，加強接收方的數據安全保護；建立動態的知情同意模式，及時告知權利主體數據接收后的情況，并對主體進行跟蹤調查，完善其撤銷請求或授權時的相關規則；同時，對原數據處理系統啟用一鍵刪除等技術，權利主體可以自由選擇是否行使刪除權，以保障數據主體的信息自決。

3.構建權利機制。一是建立完善的權利救濟機制。我國對數據保護的條例、規章參差不齊，公法、私法的保護模式交織，必須整合現有資源，形成刑法、民法、行政法、競爭法、網絡法、數據信息法等不同領域法律的全方位保護和多途徑救濟。若出現了侵犯權利人的個人數據權益或者侵犯了第三人利益的情形，在司法裁量時應充分考慮自然人的弱勢地位，強化數據處理者的舉證責任，并制定出責任承擔所對應的賠償數額。

二是加快監管機制的建構。首先，設立單獨的數據保護部門，在全國范圍內指導、監督數據安全工作的開展，處理權利主體對數據處理者的申訴，并對數據收集、處理、傳輸過程中的違法違規行為加以懲治［25］。其次，加強對企業數據合規的審查，除了對可攜帶權行使主體、客體、條件等嚴格審查，還要對數據處理者與權利人之間的格式條款效力、知情同意方式、自動化決策的風險、數據安全評估等方面予以重視。

三是形成協同機制。政府層面，不僅要對各項政策的出臺把關指導，對數據安全和網絡環境開展定期檢查，還應當不斷創新大數據管理機制，加強與數據處理者之間的合作，通過新技術的引入，探索出利用公共數據的可攜帶權，提高公共服務質量的有效之道。行業層面，完善行業的內部自治，嚴厲打擊大數據背后資本的非法運作和壟斷勢力，引導企業之間正當競爭，營造有序的市場環境，與政府監管之間形成互補效應。公眾層面，鼓勵數據主體積極參與數據權利的完善，增強個人信息的保護意識，在行使數據可攜帶權的過程中及時反饋合理訴求，最終形成協同配合的多元數字治理體系。

五、結語

大數據時代，數據既需要靈活的保護，亦需要在市場中流通，法律的功能在于試圖平衡好個人信息權益與社會效益之間的利益分配。數據可攜帶權的確立是我國在立法上邁出的里程碑式的一步，雖然其權利屬性和架構在學理上尚存在爭議，各種權益之間邊界不明晰，社會效果還具有不確定性，但在信息化如火如荼發展的當今，我們更需要直面困境，不斷破解可攜帶權在內的各項數據權利所面臨的發展難題，尋求一條利益平衡的路徑，推動數據行業行穩致遠。●