數據可攜權權利客體研究：結構、效果與中國化

孫躍元

(中國政法大學 民商經濟法學院，北京 100088)

2021年11月生效的《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)正式引入備受爭議的數據可攜權(1)《個人信息保護法》中沒有明確出現“數據可攜權”術語，不同學者于數據可攜權有不同稱謂，丁曉東教授稱其為數據攜帶權，申衛星教授稱其為信息的可攜帶權，也有其他學者稱其為信息遷移權。。《個人信息保護法》在第四十五條個人的查閱、復制權之下，第三款明確規定個人有請求數據轉移的權利(2)《個人信息保護法》第四十五條第三款：“個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。”。這意味著數據可攜權正式納入我國的個人信息保護法律體系。數據可攜權的提出，為數據治理的多樣性延伸提供了新的法理進路，但同時也對數權制度提出了新問題、新挑戰。如何構建明確具體且強度適中的權利適用范圍，是完善數據可攜權理論框架的重要一環。我國《個人信息保護法》尚未從規范的角度界定出數據可攜權客體的基本范疇，制約了權利體系化發展。法律制度作為規范和現實之間的協調者，需要圍繞新型數據關系構建一套完備的制度體系和規則[1]。這便要求跨越傳統權利體系的障礙，審慎構建大數據生態系統中的各項權利。

當前我國對數據可攜權的研究主要集中在三個方面：一是以域外相關權利制度為研究對象，從權利構造層面對數據可攜權進行介紹(3)此類相關論述可見高富平、余超《歐盟數據可攜權評析》，《大數據》2016年第4期;謝琳、曾俊森《數據可攜權之審視》，《電子知識產權》2019年第1期;盧家銀《論隱私自治:數據遷移權的起源、挑戰與利益平衡》，《新聞與傳播研究》2019年第8期；汪慶華《數據可攜帶權的權利結構、法律效果與中國化》，《中國法律評論》2021年第3期。;二是論證我國引入數據可攜權的可行性，由于存有爭儀,多數持謹慎態度(4)此類相關論述可見卓力雄《數據攜帶權:基本概念，問題與中國應對》，《行政法學研究》2019年第6期;丁曉東《論數據攜帶權的屬性影響與中國應用》，《法商研究》2020年第1期等。;三是研究數據可攜權的中國化路徑(5)此類相關論述可見金耀《數據可攜權的法律構造與本土構建》，《法律科學(西北政法大學學報)》2021年第4期；付新華《數據可攜權的歐美法律實踐及本土化制度設計》，《河北法學》2019年第8期。。以上三個方面中，多數研究爭論的焦點問題還是集中在數據可攜權的正當性上面，即數據主體的信息可攜是否應納為權利的保護范圍。否定說的主要理由有權利可能很難實現或帶來新的風險，還可能因場景的不同而面臨過寬或過窄的適用困境等[2]。不難看出，否定的觀點也從側面證明了數據可攜權尚未成為一種成熟型權利,因此我國也亟須細化數據可攜權的權利內容與行使，增強該法權的正當性與合理性。

當下，在權利理論架構下，我國具體深入至權利客體的研究較為薄弱，學界尚未有專門性成果產出，為了提升我國對網絡空間的國際話語權和規則制定權，需要在前沿法律問題做突破。數據可攜權作為一種新型權利，如何在中國化的過程中實現價值躍遷，需要從法律角度小心求證。數據可攜權的權利客體研究不僅能從規范上完善該權利的形式邏輯，也相當于劃定權利適用范圍、界定初始權利分配，在實踐中將直接影響對企業不法行為的判定，故而兼具理論和實踐意義。本文以權利客體制度為切入，具有一定的補白意義，希冀為解決數據可攜權應用中的矛盾和癥結提供有益思考。

一、權利客體不確定導致法律關系模糊

在數據保護框架下，數據可攜權能增強個人對數據控制力。在競爭法維度下，它被認為能夠促進數據共享與流通，打破數據寡頭化和數據壟斷化，降低用戶鎖定從而促進創新和競爭[3]。當下，社會正在經歷由資源經濟向數字經濟，由工業文明向數字文明的轉變。數據作為重要生產資源，正在逐步改變原有的社會發展模式和利益分配模式，重塑社會結構。在數字經濟驅動下，原有權益體系隨著新型權利的擴張而重構。如何構建有序的數據流通秩序，保持個人隱私與數據利用的動態平衡，是數據治理的題中之義。

作為權利義務共同指向的對象[4]，客體對民事權利構建的價值毋庸贅言。權利客體作為形式邏輯的工具，在權利的界定方面能起到基礎性作用[5]。數據可攜權權利客體的不確定性和不周延性隨著新型數據法律關系的擴張日益凸顯。如果權利客體的內涵或外延過于狹窄，會使權利流于形式而喪失意義，更有礙數據共享和流轉；如果過于寬泛，會增加信息處理者的合規成本，甚至侵犯他人隱私權和個人信息權益[6]。目前數據可攜權客體的不確定性直接導致相關主體的權利行使邊界模糊，企業不法行為判定困難。用戶、數據提供方、數據接收方三方主體的權利義務關系不甚明朗。因此本文聚焦于數據可攜權客體研究，力圖構建強度范圍適中的數據可攜權。

二、數據可攜權下權利客體構建的困境分析

數據可攜權的權利客體制度建構面臨理論和現實的困境。法律是對過往經驗的總結，它和發展的矛盾似乎永恒存在[7]。數據作為一種新型權利客體，它在數據可攜權中的具體指向范圍決定了權利初始分配。數據可攜權權利客體的規范界定既關涉數據權益配置，又關涉數據開發與利用，同時還影響數據權益保護。本文將實踐中數據可攜權權利客體在權利適用邊界上存在的問題歸為以下三類，下文將詳細論述。

(一)“可識別”標準削弱權利客體的穩定性

數據作為一種生產力，是數字經濟的內在驅動力量，有效的數據流通模式能起到正向制度激勵的作用。《個人信息保護法》第四十五條將轉移范圍限定在“個人信息”(6)《個人信息保護法》第四十五條：個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。，意指可轉移數據的判斷核心仍然是“已識別”與“可識別”相結合而定義的個人信息。而可識別理論由于自身存在類型化的疏漏，是否將“可識別”作為判斷數據轉移范圍的標準仍存有疑慮。

個人信息的判斷標準在不同層級的法律規范中莫衷一是。迄今位階最高的《中華人民共和國民法典》(以下簡稱《民法典》)和《個人信息保護法》最終統一認定方法，即以可否識別特定自然人為基礎,以信息的“直接識別”與“間接識別”為主要類型(7)《個人信息保護法》第四條：個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。《民法典》第一千零三十四條第二款規定:個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。。用戶個人信息被歸納為兩大方面：可識別性和關聯性。前者確定相關信息是否能清晰指向特定主體，后者則以“關聯性”標準補充可識別性(8)《信息安全技術—個人信息安全規范》第三章的第一節對個人信息的“識別性”和“關聯性”做了明確規定，附錄中還對“識別”與“關聯”的判定方式進行了闡明。。個人信息的外延隨著政策流變而不斷被擴張，司法實踐中個人信息的范圍日趨含混。例如，用戶的網頁瀏覽記錄、消費信息、購物習慣，這些信息具有簡單的指向性，可以確定其背后對應著一個抽象的主體。但是否能識別到具象化的特定自然人，實踐中疑竇叢生。由此看出，“可識別性”標準本身有一定的理論缺陷，導致實踐中對信息規范屬性認定失準，引發對實質違法性的判斷偏差[8]。以此為基礎再審視數據可攜權的范疇，不難看出，簡單地以“個人信息”作為劃分標準，會使可轉移數據范圍模糊不清，司法實踐無所適從。

(二)邊界過窄引發權利失效

數據可攜權邊界過窄會導致用戶真正在意的數據無法被轉移。例如購物網站的聲譽信息、反饋評價，云服務器上儲存的其他視頻文件等。此類數據不具有可識別性，遠未達到將自然人特定化的程度，無法落入可攜權的范疇。而用戶更關注的是此類數據的自由下載和移植，可能更希望將用戶評價或前期積累的信譽信息便捷地轉換于不同的購物平臺[9]。數字經濟下，反饋評價是聲譽機制的引擎，甚至會影響正常的市場交易，例如，購物網站會參考支付寶信譽決定用戶是否能夠享受分期、免息和極速退款等消費優惠。此類數據若無法可攜，數據可攜權的功能將受極大程度的限制[10]。現有規范將“可識別”作為判斷數據轉移的標準，無法涵蓋反饋評價、聲譽信息等顯然不是個人數據的數據類型。因而還須防范“權利天然擴張性”的禁錮導致數據無法被安全高效地流通和利用。

(三)邊界過寬侵犯他人合法權益

1.侵犯其他信息主體的隱私權、個人信息權益。另一方面，數據可攜權的邊界過寬，可能會侵害他人的合法權益，打破他人對數據隱私的合理期待。數據可攜權創制目的是為了增強用戶對數據的控制力，保障用戶數據隱私。過于寬泛的范圍可能會使得第三人信息被違法收集，背離初衷。例如當用戶轉移社交網絡平臺中的個人信息時，會涉及大量第三人的數據。如聊天記錄、照片、社交賬號等。數據接收方在未獲得第三人同意情況下，利用算法和大數據技術對其建檔、營銷，顯然打破了第三人的合理隱私期待。臉書(Facebook)數據泄露事件充分反映出多數企業難以妥善處理不同主體的數據權益沖突問題[11]。劍橋分析公司(Cambridge Analytica)以做性格測試為由要求用戶將部分Facebook信息授權給第三方程序，包括頭像昵稱、好友列表等。該公司以此分析出近5000萬人的信息。雖然此案焦點在于Cambridge Analytica公司違法收集和使用5000萬人信息，不涉數據可攜權，但其隱含的風險卻十分明顯。在社交網絡場景，如果賦予信息主體轉移聊天記錄、用戶昵稱等數據的權利，數據接收方可能會以用戶數據可攜權為違法阻卻事由，在未獲第三人授權前提下，非法收集和處理其個人信息。因此，界定權利范圍時有必要考慮他人隱私期待問題。

2.侵犯企業知識產權或商業秘密。企業通過對用戶使用服務或產品的行為痕跡分析，并且經過個性化和推薦性處理得到的數據，往往具有極高的數據使用價值。由于這些數據凝聚了企業的技術和財力投入，多數互聯網平臺將平臺運營數據、用戶數據視為商業秘密。騰訊在《開放平臺開發者協議》中聲稱“用戶數據的全部權利歸屬騰訊，且是騰訊的商業秘密”。如果用戶對此類數據提出數據可攜權，可能會削弱企業原有積累的數據優勢，有侵犯數據轉移方商業秘密和知識產權的風險。另一方面，數據可攜權要求信息處理者提供充分的技術力量支持數據獲取與移植。對于阿里、騰訊等大型互聯網公司，其已具備雄厚的技術和資金儲備。而對綜合實力無法與之抗衡的中小企業，合規負擔驟增，顯然不利于構建良好的競爭秩序。

綜上，數據可攜權客體的不確定性和不周延性嚴重削弱權利行使的正當性和合理性。如何解釋權利客體范圍也直接關系到案件結果。例如上述臉書一案中，如果把“個人數據”擴大解釋為“與數據主體有關的數據”，劍橋分析公司的行為則完全合法，判決結果會發生質的改變[12]。另一方面，權利客體范圍若劃定不當，可能對于企業投資數據驅動的行業具有反向激勵的作用,削弱了個人和企業投資數據驅動服務和產品的意愿。

三、數據可攜權權利客體的理論續造

(一)權利客體研究的體系化價值

數據可攜權權利客體研究有助于推動數據權利研究不斷走向深入，同時也能拓展民事權利客體體系的廣度和寬度，提升民事權利客體體系的層次性和規制力。權利客體最初僅作為經驗意義上的財產或交易對象使用，并未納入權利理論范疇。《德國民法典》將其確立為一項基本制度，權利客體成為德國民法形式理性的重要組成部分。我國的權利理論模式源自《德國民法典》，將客體納入權利的構成要素，形成了較穩定的“主體—權利—客體”的權利分析模式[13]。作為民事權利界定的必要工具，客體成為權利具體化的必備要素，使物得以從財產范疇轉為界定財產權的形式邏輯工具。這種界定作用最早體現在所有權上，以所有權和他物權為主要內容的物權法規則界定建立了民法“最基本的私域空間和權利秩序”[14]。古羅馬法的財產觀念是“物的實體化思維模式”，《德國民法典》明確規定物權的客體為物，排除以權利形式存在的無形物[15]。基于此，抽象法律關系和法律權利的體系化發展成為可能。

斯如學者所言，權利客體的屬性“限定了權利人作用外部世界來達成目的的能力”[16]，而數據可攜權下權利客體的屬性及范疇的確定是后續法律論證活動的基礎。相對規范地界定出數據可攜權的客體范疇不僅是權利體系發展的內在需求，更有利于厘清數據權利的規范邊界，回應現行權利客體理論研究和實踐發展需要。

(二)研究前提：個人信息權的正當性證成

關于數據可攜帶權的基礎理論探討無法回避的議題是數據權屬。數據權利是數據保護立法的邏輯起點和重要組成部分，也是建立規則的重要前提。數據空間產生的現行立法體系無法調整意向權利后，新型數據權利脫離既有權利保障體系，產生的數據糾紛又缺少與新型數據處理行為相對應的法律接口[17]。此外，數據主體和數據處理者之間形成了強大的非對稱力量，利益天平更多向擁有大量數據的企業傾斜[18]。為了保護數據主體的原始權利，需要構建出一套全新的權利譜系。

我國《個人信息保護法》將數據可攜權置于個人查閱權、復制權之下，是個人信息權中獲取權能的自然延伸。數據可攜權與知情同意權、獲取權、異議更正權、拒絕權、刪除權等共同構建出我國個人信息權利體系(9)更多個人信息權利構建理論詳見申衛星《論個人信息權的構建及其體系化》。。在個人信息保護領域，我國現有法律缺乏完整的權利制度體系設計。現行法中未使用“個人信息權”的相關表述，相應地，個人是否享有“數據可攜權”這種“權利”也留有爭議。盡管《民法典》人格權編增加了個人信息保護的制度框架，但僅從法益保護的角度規定個人信息受保護，沒有正面明確其法律地位，“遠未達到民法界分權利的使命和初心”[19]。我國《個人信息保護法》作為專門立法并未打破僵局，仍將個人信息停留在“權益”的地位(10)《個人信息保護法》第一條立法目的表述為“為了保護個人信息權益……”，第二條規定為“自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益”。。但是在第四章“個人在個人信息處理活動中的權利”中，隨處可見“個人有權……”的表述。如何理解此種“有權……”表述，是關于個人信息是否應當賦權的爭論。持否定態度的主流觀點認為賦權會阻礙數據流通與共享，若賦予排他性的控制權會遏制數字經濟發展[20]。持肯定態度的一方主張對于個人信息“權利保護模式”優于“法益保護模式”，個人信息權不同于隱私權，并非是排斥絕對利用的消極權能，而具有實現信息共享價值的積極權能[21]。申衛星教授認為，個人信息的權利化不僅利于個人信息保護，還能促進信息的利用，避免個人信息使用長期處于無序的狀態。個人信息權作為涵蓋多種權利形態的集合體，其理論建制呼之欲出。個人信息權的正當性證成是數據可攜權的前提與基礎。數據可攜權強調了個體有權決定個人數據的走向，即是否將其留存或者帶離某一平臺。

值得注意的是，數據可攜權權利的確立是建立在個人數據財產權保護路徑上的延伸和拓展。財產權是一定社會的物質資料占有、支配、流通和分配關系的法律表現。數據可攜帶權隱含的個人信息財產權能包括支配、流通和收益的面向，并不包括排他占有的面向。這在個人的數據支配和數據流通共享之間建立了一個動態平衡機制。

(三)權利客體的范疇指向：數據集

數據權屬迄今仍處于懸而未決的狀態，主要源自數據法律屬性的不確定性。《民法典》在“民事權利”部分明確規定數據權益屬于組成部分，但對于數據權益客體仍處于理論爭論狀態(11)《民法典》第一百二十七條：“法律對數據、網絡虛擬財產的保護有規定的，依照其規定。”。數據可攜權的具體權利客體難以確定，現有研究存在“數據信息論”“數據文件論”及“數據集合論”三類主要觀點。“數據信息論”承認數據作為民事權利客體的正當性，數據承載著信息的經濟利益和人格利益，兩者具有一致性[22]。“數據符號論”嚴格區分符號層面的數據與內容層面的信息，排除了不具有獨占性的信息，明確數據符號作為數據權益客體的可行性[23]。“數據集合”則指作為符號化的數據所形成的集合[24]。以上三種觀點為研究數據可攜權權利客體奠定了理論基礎，體現了數據權利客體與物、知識產品和人格利益等傳統民事權利客體的分野，彰顯獨立性。而從健全層次化的規制力角度來說，“數據集”的概念更符合區別機制的構建。筆者不揣簡陋，擬從以下兩點論證“數據集”作為數據可攜權客體的可行性。

根據民法一般理論，民事權利客體應當具有客觀確定性和效益性[25]。首先，數據集具有效益性。單一或獨立存在的數據并不具有價值，即不能滿足人的物質生活和精神需要。對于作為權利客體的數據集而言，只有按一定規則組合成具有獨立價值的數據集才具有價值。其次，數據集相對客觀確定，數據客觀存在并以某種形式存儲于介質之上，可被獲取和利用。《中華人民共和國網絡安全法》第七十六條將“網絡數據”定義為“通過網絡收集、存儲、傳輸、處理和產生的各種電子數據”。可以看出，數據是以“電子數據”為限，實為信息的數字化表現形式和載體。此外，數據與信息是否應作區分的爭論一直存在，也是具體確定數據可攜權客體范疇的另一重要理論壁壘。筆者認為,從規范語義和權利適用方面，個人信息作為權利客體會引發權利設定偏差，不利于保護數據主體權利(12)前文已詳細論述可識別性標準的弊端，此處不再贅述。。信息強調可識別性，表達的是對信息內容的關注，結合上文論述的“可識別”標準的弊端，未來明確權利客體范圍時應以數據集為范疇，增強權利的正當性和合理性。

四、數據可攜權下權利客體構建的原旨考察

數據可攜權的具體制度設計不可脫離對其立法原旨的考察，否則有背離立法原意和初衷的危險。“對于數據可攜帶權之范圍的解釋必須要結合該權利設定的目的來進行。”[26]為了更加凸顯數據可攜權的立法原旨，本文將其與競爭法視域下的數據可攜相對比，針對爭議焦點定性糾偏，以期對此權利的客體制度構建進行方向把控。

(一)競爭法視角：與“數據可攜”的關系

1.區別之厘清：數據可攜權非“數據可攜”。數據可攜權作為個人信息權利體系中的一種，集中體現了個人信息的權利特征。有學者認為個人信息權利兼具人格權和財產權屬性，旨在保護個人信息的自決利益[27]。另有觀點認為，信息是人格權的客體，個人信息權是單一的人格權，至于經濟價值部分可采用類似人格權商品化的方式來處理[28]。盡管存在爭議，但理論界基本肯定個人信息權利的人格權屬性。而作為個人信息權下的一項子權力，數據可攜權人格權屬性不言而喻。其立法原旨在于保障自然人的人格尊嚴和人格的全面發展，即加強個人對個人信息的控制力。后續的規則設計或整個權利建構也都應以加強個人控制力為主線。

在此基礎上再審視競爭法領域的“數據可攜”，會發現兩者的本質區別。歐盟委員會在《適用歐共體條約第82條查處市場支配地位企業濫用性排他行為的執法重點指南》中明確指出，競爭法領域提出數據可攜必須符合三個條件：企業具有市場支配地位、實施濫用行為、對競爭造成不利影響(13)Guidance on the Commissions Enforcement Priorities in Applying Article 82 of the EC Treaty to Abusive Exclusionary Conduct by Dominant Undertakings,2009/C 45/02.。典型案例如 Microsoft Corp.v.Commission of the European Communities一案，歐盟委員會要求微軟向競爭對手提供可互操作性信息的前提是，微軟在相關市場中具有支配地位，并且實施了濫用行為(14)Microsoft Corp v.Commission of the European Communities，https://curia.europa.eu/juris/showPdf.jsf?do cid=67518&doclang=EN，2021年9月13日訪問。。競爭法領域的數據可攜適用標準明顯較嚴苛,其適用范圍、使用條件、執法程序等均與數據可攜權有本質區別。誠然，數據可攜通過降低個人數據在不同平臺或企業之間的轉換成本，能減少頭部企業的鎖定和壟斷，使個人能夠按照自由意愿變更數字服務商，有效打破數據孤島和促進競爭[29]。因此，數據可攜權難以完全脫離競爭法補救措施的外觀。

2.兩者不可相混淆。多數學術觀點并未將兩者嚴格界分開，一味地寄希望于數據可攜權來促進競爭[30]。并且圍繞其是否可以與競爭法政策相銜接、是否能實質性促進競爭展開激烈的爭論。否定其本土化構建可行性的理由如下。其一，數據可攜權的適用主體是所有市場中的信息處理者，而競爭法通常要求對個案進行具體分析后，決定是否對信息處理者提出要求；其二，數據可攜權要求信息處理者開發相應技術和接口實現數據的傳輸和接收，對資金和技術本就相對薄弱的中小企業來說，增加了合規的難度和負擔，加大市場進入難度，不利于數字市場的良性競爭[31]。

筆者以為，如果一味地追求促進競爭的效果，忽視了加強個人信息自決的初衷，會對權利的具體設置產生不良影響。回歸數據可攜權的本質，其最初和最直接的目的是加強用戶對個人數據的控制，適當平衡個人始終無法有效參與數據經濟紅利的現狀。歐盟在《通用數據保護條例》(GDPR)的序言部分和《數據可攜權指南》(Guidelines on the right to Data Protability)中強調,數據可攜權旨在賦予數據主體在不同的IT環境中轉移數據的權利(15)Guidelines on the right to data portability,p.4.。第29條工作組(16)第29條工作組是根據歐盟個人數據保護95指令(Directive 95/46/EC)成立的，是獨立的歐洲數據保護和隱私咨詢機構，已發布一系列較權威的指導意見。進一步解釋,數據可攜權有助于個人數據在不同服務提供者之間轉換，促進歐盟數字化單一市場戰略的實施。雖然也可能加劇信息處理者之間的競爭，但規范的是個人數據，而非競爭(17)Guidelines on the right to data portability,p.4.。因此有必要將競爭法與個人信息保護路徑區分。

(二)“數據可攜”對數據可攜權的補強：經營者數據的轉移

個人信息保護框架下的數據可攜權適用范圍小于“數據可攜”，突出表現為經營者數據轉移。“數據可攜”是競爭法視域下的救濟措施。數字經濟下，數據市場高度集中，數據寡頭控制著占絕對百分比的數據資源。一方面，擁有先發數據優勢的互聯網平臺對其他經營者采取數據訪問限制行為，另一方面，頭部企業以實現“數據聚集”(data-drivenmergers)為目的，傾向于并購已積累大量用戶數據的企業，繼續鞏固數據壟斷優勢，例如微軟對領英的收購。其他競爭企業難以獲取開展服務所必需的用戶數據開展商業活動。此時，競爭法下的“數據可攜”極大彌補了企業無法享有數據可攜權的問題。雖然目前我國競爭法并沒有直接對經營者數據開放進行規定，國務院反壟斷委員會出臺的《關于平臺經濟領域的反壟斷指南》中刪去其征求意見稿中關于數據在一定條件下可視為關鍵設施的規定。但自2020年以來，從阿里案到美團案，其執法力度之重不難看出我國已進入平臺經濟的強監管時代。

國家市場監管總局于4月13日召開的指導會上強調依法從重從嚴處罰強迫平臺企業實施“二選一”的行為。“二選一”等濫用市場支配地位的行為限制經營者選擇，嚴重損害競爭。從美團案《行政處罰決定書》中可看出，平臺意圖以經營者自愿與其獨家合作為由進行抗辯(18)國家市場監督管理總局行政處罰決定書國市監處罰〔2021〕74號。，但經營者在不同平臺轉移經營數據面臨阻礙。經營者自己提供的數據，如產品數據、銷售信息等，無法適用數據可攜權。同時，用戶提供的能夠反映賣家信譽的服務評價等信息對經營者至關重要，關系到長期用戶信任及品牌聲譽。這些經營數據能否便捷地在平臺之間轉換決定了“二選一”困境的破解。競爭法補救措施視角下的數據可攜可以涵蓋所有類型的數據。無論是否是個人數據，只要是轉換服務所必要的數據，經營者均可提出請求。無疑，競爭法視域下的“數據可攜”在一定程度上補強了數據可攜權在經營者數據的規制空白。

盡管我國確立數據可攜權的目標，部分包括“聚焦于提升互操作性以化解數據壟斷問題”[32]，但具體制度設計時不可相混淆。有學者認為：“從強化用戶控制的角度思考數據攜帶權，可以發現數據攜帶權正是數據個人控制權的邏輯終點。”[33]綜上所述，筆者認為應從積極性、控制性權利的視角出發，在調節各方利益的基礎上，對數據可攜權的具體權利設置作規劃。

五、比較：域外數據可攜權下權利客體制度考察

(一)歐盟：以是不是推導數據為核心標準

1.歐盟法律政策中權利適用邊界流變。歐盟《通用數據保護條例》最早實現其立法確權。隨后，澳大利亞、美國、日本等國家均開始了積極的立法嘗試。歐盟數據可攜權的前身是訪問權，1995年《個人數據保護指令》(EU Data Protection Directive)中第12條對訪問權進行了規定，要求歐盟成員國應賦予數據主體擁有從控制者處獲得數據的權利。2012年歐盟委員會首倡數據可攜權，并發布建議修訂的數據保護框架，即2012年草案(19)Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protectio n Regulation),COM(2012) 0011-0025/2012-2012/0011(COD).。該草案首次探尋了權利的適用邊界。其第18條將數據可攜權拆分為“數據副本獲取權”和“數據轉移權”，但兩者的適用范圍完全不同。據法條，用戶可以獲取任何數據控制者處理的數據，只要以電子化、結構化的形式。而可轉移的數據包括用戶基于同意或以合同為基礎提供的數據，以及自動化系統產生和保存的數據(20)歐盟2012年數據保護框架(草案)中規定：“當個人數據以普遍使用的電子化和結構化的格式被處理時，數據主體有權從數據控制者處獲得正在處理數據的副本，該副本應當采用普遍使用的電子化和結構化格式，并允許數據主體進一步的使用。如數據主體提供的個人數據，而且數據處理是基于同意或者合同，其有權將這些個人數據以及自動化處理系統保存的任何信息，以常用的電子格式移轉到其他主體，而不受被撤回個人數據的控制者的阻礙。”。可轉移和可獲取的數據范圍相互矛盾、模糊不清，同時也缺乏權利限制條款，權利邊界的不確定性大大削弱了現實可操作性，因而其誕生之初便備受質疑。不可否認，盡管存在諸多疏漏，該草案創新性地從數據主體的視角設計數據流通規則,試圖重塑用戶和信息處理者之間的關系[34]，并由此影響了之后的立法格局。

2014年歐洲議會再次對該法權定位和適用范圍進行探索，并對2012年草案進行修訂，將數據副本獲取權與數據轉移權合并。最終，該法權于2018年歐盟《通用數據保護條例》(GDPR)中予以確認。其第20條明確該法權有兩方面的內容:一是數據主體有權獲得其提供的個人數據副本(right to receive the personal data);二是一定條件下數據主體可以要求數據控制者直接向其他數據控制者移轉其個人數據(right to have the personal data)(21)GDPR第20條：允許數據主體以結構化的、通用化和機器可讀的格式接收他們提供給數據控制者的個人數據，并且不受阻礙地將這些數據傳給另一個數據控制者。，并且將權利客體限定在“數據主體提供的與數據主體有關的個人數據”(22)See guidelines on the right to Data Protability 2017，https://iapp.org/media/pdf/resouce-center/WP29-201704-dataprotability-guidance.pdf,2021-5-24．。第20條第3款還規定了除外情形，即為了公共利益或行使公權力任務時，數據主體不得主張可攜權。此外，值得注意的是，GDPR中關于個人信息的表述是personal data，直譯為中文是“個人數據”。因此歐盟并未嚴格區分個人數據與個人信息，所以可攜權是相對于個人數據而言的。較之于2021年草案，GDPR規定的數據可攜權的權利構造更為嚴謹與完整，尤其是新增了具體限制條件，加強了權利的合理性和可操作性。2021年3月生效的《數據治理法案》(DGA)進一步強化GDPR中第20條規定，并強調在企業之間共享數據，允許使用個人數據(23)European data governance act：Shaping Europe’s digital future https://digital-strategy.ec.europa.eu/en/policies/data-governance-act，2021-9-26.。

通過梳理歐盟關于數據可攜權的政策流變，不難看出其反復多變的立法過程中所考量的關鍵要素。歐盟最終保留該權利的同時，又增加諸多的限制條件和除外規定，鮮明地表達了歐盟立法者對數據可攜權既歡迎又擔憂的復雜態度[35]。

2.現有規范之局限性分析。盡管權利構造日趨完善，GDPR中“數據主體提供的個人數據”所涵蓋范圍仍不明確。面對外延極不穩定的“個人數據”，歐盟第29條工作組在《數據可攜權指南》中進一步擴大解釋為“用戶行為記錄、行蹤軌跡、網頁瀏覽歷史以及搜索記錄等”，并且將“數據主體提供”解釋為兩種情形：其一是數據主體有意和主動提供的個人數據，其二是數據主體通過使用服務或者設備所提供的觀察數據(包括對用戶行為觀察后獲得的個人數據)(24)See Guidelines on the right to Data Protability 2017，https://iapp.org/media/pdf/resouce-center/WP29-2017 04-dataprotability-guidance.pdf,2021-8-24．。但明確排除了對數據主體分析后得出的個人數據，即觀測數據與衍生數據。換言之，判斷的核心標準是用戶原始數據還是基于此推導出的數據。2014年OECD隱私專家圓桌會議最先提出該區分方式。該區分方式普遍排除了基于大數據分析而形成的觀測或衍生數據，但恰恰是這些數據在原始數據之上形成了數據增值[36]。

WP29的擴張解釋并不能解決所有問題。典型場景如前文提到的社交網絡平臺，用戶的聊天記錄是否可以依據數據可攜權要求移轉給其他社交軟件？此時首先須判斷該聊天記錄是否是數據可攜權的客體。有學者認為聊天記錄雖非用戶主動提供，但由信息處理者觀測得出，可作為觀測數據被歸入可攜權客體的范疇[37]。但聊天記錄會涉及第三人信息及隱私，企業很難根據現有規范明確判斷可轉移數據的范圍。此外，在技術兼容性問題上，歐盟尚未有效平衡數據接收者和傳輸者之間的利益矛盾，并未對數據存儲的互操作性做強制要求，導致數據可攜仍有很大的不確定性[38]。盡管如此，歐盟數據可攜權的制度優劣仍可為我國實踐提供有益啟示。

(二)美國：以約束平臺競爭行為為主

美國政治體制是聯邦和地方州的雙軌制，其立法采取相對分散的進路。聯邦立法最早是在個人醫療信息領域確立了數據可攜權。從1996年《健康保險可攜帶和責任法案》到《個人可識別醫療信息隱私標準》，美國國會更看重個人對醫療信息的隱私權和控制權。除此之外，各州根據自身情況，制定了相當數量的法案。其中較具代表性的是2020年生效的《加州消費者隱私法案》(CCPA)，其第1798條100(d)項明確規定了可攜帶權。根據該條規定，企業可以通過信件或電子方式將個人信息提供給消費者，允許消費者無障礙地將此信息傳輸給其他企業(25)《加州消費者隱私法案》1798條100(d)：“企業從可驗證消費者處收到要求訪問個人信息的請求后，應立即采取措施向消費者免費披露和提供本節所要求的個人信息。個人信息的提供可通過信件或電子方式，如果以電子方式提供，信息應以便攜方式提供并且在技術可行限度內采用易于使用的形式，以允許消費者無障礙地將此信息傳輸給其他單位。企業可以隨時向消費者提供個人信息，但不應被要求在12個月期間內向消費者提供兩次以上個人信息。”。除此之外，CCPA還增加了權利限制條款，將次數限定在一年兩次(見下表)。

GDPR、CCPA和我國《個人信息保護法》下數據可攜權權利客體比較

同時，相關企業的行業自律也有一定的探索。例如包括谷歌、Facebook及微軟等大型互聯網公司均加入的DataProtability.Org工作組，尋求不同網絡應用之數據共享的解決方案[39]。然而,無論是聯邦立法或行業自律，多數從競爭法的角度予以規制。典型案例如2013年FTC啟動對谷歌的反壟斷調查。谷歌限制用戶將其在線廣告平臺AdWords的數據轉移至其他競爭平臺。但此案FTC并未明確平臺是否有協助用戶實現數據可攜權的義務，關注點在其是否濫用市場支配地位。換言之，美國更傾向于通過競爭法規制數據壟斷行為，間接實現數據可攜的目標[40]。

總之，歐盟將數據可攜權視為基本權利，強調其人格利益；美國主要規制平臺濫用數據而實施排除或限制競爭的行為。歐美和我國權利客體范圍詳細比較見表一。除了歐美，世界多數國家已經或開始建構數據可攜權制度。如印度2019年的《個人數據保護法案》、新加坡個人數據保護委員會(PDPC)的《數據可攜與創新條款建議案》。我國也應盡快完善相關法律規范。

六、中國化：數據可攜權的權利客體范疇之重構

數據可攜權的權利范圍重構應回歸權利設計之初的語境，并與我國數字產業發展現狀相協調。以此為基礎再進一步判定應以何種角度和方式引入數據可攜權，避免盲目移植以至水土不服。如何做到在強化個人對數據的控制的同時，促進數據共享和流通，需要縝密可行的制度設計和相關配套措施。本文對數據可攜權權利客體的中國化模式提出以下建議。

(一)核心思路：以數據來源為標準，逐類識別權利客體

當下我國數據權屬及其分配規則未明確，個人信息和平臺數據相互交織，缺乏清晰的產權界定。如果以個人信息的“可識別”標準來嚴格劃分個人信息和平臺數據，會陷入理論和實踐的困境(“可識別性”標準弊端前文已詳細闡釋，不再贅述)。本文認為，一個可行的路徑設計是，摒棄現有的以“個人信息”作為權利客體，按照數據來源劃定數據類型，逐類辨別是否落入數據可攜范疇。具體來說，用戶數據依來源可分為個人數據、觀測數據和衍生數據。來源于信息主體主動提供的信息(如用戶名、年齡、賬戶信息)，屬于用戶的個人數據；企業對信息主體活動觀察得到的原始數據(如智能穿戴設備收集的原始數據、瀏覽記錄、活動日志等)，屬于用戶使用設備或服務所產生的觀測數據；企業以前兩種數據為基礎，利用算法、大數據技術再次加工創建的屬于衍生數據。

首先來源于信息主體的個人數據，用戶有權決定其流向并無爭議。觀測數據雖屬于用戶的原始數據但存在轉移難度，衍生數據經企業加工處理后帶有商業秘密的屬性。針對這兩種爭議較大的數據，歐盟GDPR和美國CCPA認可觀測數據的可轉移性，CCPA選擇性地將部分衍生數據納入轉移范圍中(如用戶消費習慣)。本文認為，以數據來源劃定數據種類后，應排除觀測數據和衍生數據，允許個人數據可攜。以此簡化數據轉移范圍的劃定方法，增強權利的可操作性，具體理由有如下。

1.用戶觀測數據不應納入可轉移數據范圍。根據我國現有法治環境及觀測數據的特征，觀測數據暫不適宜納入可轉移數據的范圍。理由如下。其一，包含用戶行為痕跡的觀測數據尚未納入個人信息的范疇，無法適用現有的個人信息保護機制。從個人信息的界定來看，現行法律未完全明確觀測數據屬于個人信息。僅在國家標準《信息安全技術個人信息安全規范》中將能夠單獨或與其他信息結合的“行為軌跡”信息界定為個人信息，但并不具有強制效力。事實上，司法實踐中更傾向以“不具有可識別性”否認用戶行為數據具有個人信息屬性，從而默認信息處理者收集和使用信息的合法性(26)朱燁訴百度公司隱私權糾紛案，二審法院認為：百度公司收集的是不能識別用戶個人身份的信息，此類數據不符合個人信息的可識別性要求;而且，相關網頁只是對特定的用戶進行推送，并沒有公開用戶的消費行為及其偏好，因此并沒有打擾用戶的安寧或對用戶產生實質性損害。江蘇省南京市中級人民法院(2014)寧民終字第5028號民事判決書。。關于是否對個人信息進行擴張解釋從而擴大其范疇，學界有不同的爭論(27)支持的學者有丁曉東，參見丁曉東《用戶畫像、個性化推薦與個人信息保護》，《環球法律評論》2019年第5期。。從風險控制和消除寒蟬效應的角度出發，需要將用戶軌跡信息納入個人信息的范疇，使信息主體可以對其行使數據可攜權，但目前并不適宜。過于寬泛的界定范圍可能會帶來個人信息保護資源分配不均、監管重心發生偏差等問題。

其二，用戶的行為痕跡等觀測數據中的個人數據和平臺數據邊界模糊。例如，信息處理者收集到的個人搜索記錄、交通數據和位置數據，可能會包含平臺創建的數據。如果數據可攜權規定的數據只包含信息主體提供的個人數據，那么在遷移數據時會面臨技術和成本的問題，因為遷移時還須將個人數據和平臺創建的數據分別提取出來。因此，本文認為，目前暫不宜將用戶觀測數據納入可攜帶范圍。

2.衍生數據不應納入可轉移數據范圍。衍生數據是信息處理者以用戶提供的個人數據和觀測數據為基礎，進行推導、分析和預測而創建的數據(28)例如，銀行對用戶健康狀況評估結果或者在風險管理和金融監管場景下生成的用戶信息(例如，指定信用評分或者遵守反洗錢法的規定)不能被視為數據主體提供的數據。。信息處理者利用算法進行加工、計算、聚合，經脫敏處理而生成新的、有更高使用價值的數據。對于衍生數據的性質，學界有不同的觀點。楊立新教授認為企業須投入巨大的財力和智慧，產出不同質量的衍生數據[41]。衍生數據應屬于智力成果，是非物質化的知識形態的勞動產品。另一觀點認為衍生數據的生成機制是算法的大量復制，屬于算法、計算機的勞動成果，理應保護算法程序的獨創性[42]。可以看出，衍生數據是否認定為人類智力勞動創造的精神財富或產品還存有爭議，尚不能確定是否適用知識產權保護。但普遍認為企業創建的衍生數據早已脫離了用戶的原生數據，其集中體現了企業的技術和財力優勢，不再被視為用戶的個人數據，故而衍生數據不能作為數據可攜權的權利客體。

3.針對權屬不明的數據，暫不納入可轉移范圍。針對權屬尚不明確的數據，如用戶昵稱、關系鏈數據、賣家信用評分、聲譽信息等，由于其來源和性質的特殊性，難以將其明確歸屬為某類數據。丁曉東教授認為：用戶頭像、昵稱數據不屬于任何人，若可從公共途徑獲取，則可作為公共數據被任何人獲取；而關系鏈數據涉及企業商業秘密和用戶隱私期待，應采取審慎的態度[43]。當我們以限制的、和緩的態度看待數據可攜權的現實應用，不難發現，當下暫不宜將此類權屬不明的數據完全納入可轉移范圍。典型案例如“頭騰大戰”關于用戶數據的爭議。此次爭議中，騰訊主張微信和QQ產品平臺上的頭像、昵稱、關系鏈數據等用戶數據都屬于騰訊的商業資源，未經其許可不得通過服務收集、存儲、抓取或要求用戶提供用戶數據(29)《騰訊開放平臺開發者協議》，https://wiki.open.qq.com/wiki/%E8%85%BE%E8%AE%AF%E5%BC%80%E6%94%BE%E5%B9%B3%E5%8F%B0%E5%BC%80%E5%8F%91%E8%80%85%E5%8D%8F%E8%AE%AE，2021年8月15日訪問。。

天津市濱海新區人民法院公布的裁定書中肯定該觀點(30)天津市濱海新區人民法院民事裁定書(2019)津0116民初2091號。。盡管騰訊的主張是否侵犯個人數據可攜權存在爭議，但可以肯定，司法實踐中更傾向保護數據財產價值的發揮。本文認為，為了避免企業數據權利過度擴張損害用戶利益，在不涉企業核心秘密且無正當理由的情形下，適當允許部分數據可攜，如聲譽信息和反饋評價數據。此時互聯網平臺可將數據可攜視為一種柔性目標，盡量滿足提供便捷的傳輸服務，避免邊界過窄使權利失效。總之，為了穩定現有數字市場競爭秩序，防止企業間不正當競爭行為泛濫，應對爭議數據采取和緩化路徑。

(二)立法完善建議：增加權利限制條款和除外規定

建議《個人信息保護法》第四十五條第三款中增加數據可攜權的權利限制條款和除外規定，明確權利行使的邊界，同時建議選擇寬泛的限制條款，類似于兜底條款。對比歐盟和美國對數據可攜的權利適用規定，可以看出我國首先亟須完善之處在于權利限制款的缺失。因此，未來司法解釋和行業指南等配套法律文件中應增加數據可攜權的限制條款和除外規定。值得注意的是，歐盟最初引入該權利有其自身的產業發展考慮。歐盟互聯網經濟領域長期被美國IT巨頭公司控制，初創和小型公司進入市場難度較大[44]。反觀我國，數據經濟方興未艾，互聯網公司在人口紅利及寬松的政策下相繼涌現并蓬勃發展。市場調研機構Synergy Research Group的最新數據顯示，截止2020年底，全球20家主要云和互聯網服務公司運營的超大規模數據中心總數為597個，美國占比38%,中國以10%的占比排第二名。我國成為唯一可與美國相抗衡的數據大國[45]。因此，為了避免削弱國內優勢企業積累的數據優勢，錯失國際競爭的關鍵窗口期，有必要對數據可攜權做出限制。然而本文建議選擇寬泛的限制條款，原因有二：其一，數據可攜權本身遠未定型，對其認識也在不斷深化;其二，該權利極易受技術發展的影響，具體影響因素尚不確定，寬泛的限制條款能留給司法足夠的裁量空間。具體展開可包括兩個方面的限制。

1.目的限制：超原目的范圍應重新收集同意。針對涉他數據轉移所帶來的侵犯第三人合法利益的風險，本文認為，可以依據目的限制原則加以約束，涉他數據轉移不得超越原有目的范圍。借鑒歐盟WP29發布的《數據可攜權指南》中的規定，數據控制者的處理行為如果對于控制者或第三方所追求的正當利益是必要的，可以依此獲得合法權益(31)GDPR第6條第1款f項：“處理對于控制者或第三方所追求的正當利益是必要的，這不包括需要通過個人數據保護以實現數據主體的優先性利益或基本權利與自由，特別是兒童的優先性利益或基本權利與自由。”。《數據可攜權指南》強調尤其當服務目的是“純粹的個人或家庭活動”而處理個人數據時，若與第三方有關或有影響的，仍由該數據主體負責。例證之，若在社交網絡平臺之間轉移通訊錄數據，接收方需基于相同的目的處理該數據，即僅供信息主體使用聯系地址，而不能深度挖掘和分析其好友關系、群關系來擴充和壯大其用戶網和好友關系鏈。若接收數據方超越原有目的范圍處理涉他數據，則需要重新收集第三方用戶的同意。當然，信息處理者應盡量排除涉及他人的數據，降低第三方數據被傳輸的風險(32)WP29發布的《數據可攜權指南》中也建議數據控制者(包括數據發送方和數據接收方)的主要做法是采用工具，讓數據主體能選擇他們希望接收或傳輸的相關數據，并且排除涉及他人的數據。這有助于進一步降低第三方個人數據被傳輸的風險。。

2.知識產權、商業秘密、公共利益限制:約束適用。轉移數據若涉及企業商業秘密、知識產權，或基于公共利益而處理數據，則不適用數據可攜權。例如在電商平臺，用戶若對衍生數據和部分觀測數據請求數據轉移，平臺可能有失去前期數據積累的風險，算法技術的分析預測功效難以發揮，企業核心商業秘密易受影響。當下一些在線數字服務平臺，主營業務是為顧客提供個性化定制服務(33)例如美國的True Fit公司，用戶提供身高體重等信息，True Fit就會將這些數據和架上商品的尺碼進行匹配，為用戶篩選出每件商品最合適他們的尺碼。，用戶提供的個人信息構成企業的業務核心和商業秘密。對于這些企業，用戶對此類數據提出數據可攜權應受到約束。在數字化、監控日常化的當下，如何使用戶基于法律賦權而重新獲得主體性地位，同時充分調動信息處理者的積極性，需要小心探索。而針對公共利益優先的情形，包括衛生健康、科學研究等領域，此時應遵循價值位階，讓步于更高位階的法益，顯然數據可攜權應受到約束。

(三)配套法律措施的完善建議

1.加快法律解釋工作，制定實施細則。建議我國法律解釋機關加快有關數據可攜權的法律文件的解釋工作，明確實務中數據可攜權的衍生問題及提供操作指南，增強該權利在實務中的適用性。例如，以《民法典》《個人信息保護法》為根本依據，制定關于數據可攜權的實施細則，建議按照上述判斷權利客體的核心思路,明確權利行使范圍、適用情形、一般規則和權利救濟。只有及時有效的立法、執法、司法、守法活動，才能填補法律的真空。

2.出臺國家標準或相關行業指南。數據可攜權的本土化適用過程中，僅依靠《個人信息保護法》等“硬法”來搭建具體運行制度遠遠不夠，還應當完善“軟法”“硬法”兼具的協同治理工具箱。法律規則是顯性的強制性規則，直接輸出行為規范；而技術標準一般不具有強制力，對相關主體形成隱形約束。法律規則與技術標準如同機之兩翼，兩者須共同協調作用于數據可攜權的治理路徑。建議有關部門和行業協會協商討論，共同建立通用的數據可攜權具體實施標準，重點在數據類型、傳輸階段、格式標準等方面建立完整的可通約性路徑規劃。

就權利規范而言，數據可攜權的規定是初步和嘗試性的。數據可攜權涉及多個部門法，如民法、行政法、經濟法等，不同部門法之間規制的側重點也不同，難免有交叉、沖突。未來法律規范的完善，應當注重不同部門法之間的互相協調。在明確數據可攜權最直接的目的是加強用戶對個人數據的控制后，尤其應注意與競爭法領域的法律規定相協調，明確經營者數據轉移的適用，從不同維度全面勾勒出數據可攜權的權利適用邊界。

七、結語

數字經濟的深刻變革沖擊原有的權利結構，如何構建一套完整的數據流動規則，保持隱私權和控制權的動態平衡，是數據驅動型經濟良好發展的基礎。涉及數據糾紛的案件中，如何解釋數據可攜權中的權利客體將最終影響案件處理結果的走向。該法權的中國化首先應確定核心思路,即摒棄現有的以“個人信息”為權利客體，按照數據來源劃定數據類型，逐類辨別是否落入數據可攜范疇。在個人數據基礎上，排除觀測數據和衍生數據，謹慎對待權屬不明的數據。建議增加數據可攜權的權利限制條款和除外規定，可選擇寬泛的限制條款，主要包括目的限制和知識產權、商業秘密、公共利益限制兩個方面。此外，需要加快出臺數據可攜權的實施細則、國家標準、行業指南等，力圖構建出一套包括數據轉移范圍、一般規則、權利限制和救濟等關鍵問題在內的規制體系。在保障用戶對其數據的控制力的同時，促進數據財產價值的發揮，形成良性、穩定的數據市場競爭秩序。除了權利客體亟須重構外，許多問題都還未落地，未來還須要從政策層面提出完善建議和應對策略，積極回應現實需要。