個人數據攜帶權與企業數據獲取“三重授權原則”的沖突與調適*

劉 輝

（湖南大學法學院，湖南長沙 410082）

大數據應用和算法決策對個人生活的影響涉及個人自治、非歧視以及言論自由等基本權利。〔1〕參見［德］托馬斯·威施邁耶、［德］蒂莫·拉德馬赫編：《人工智能與法律的對話》，韓旭至、李輝等譯，上海人民出版社2020 年版，第3 頁。這在事實上向人類提出了新的時代之問：如何讓數據的運用更加尊重人的隱私、尊嚴和自由，更加尊重人的主體價值，讓人類擺脫被大數據以及數據平臺操控的命運？歐盟《通用數據保護條例》（以下簡稱：GDPR）明確規定了以數據主體獲取和傳輸個人數據為核心內容的個人數據攜帶權，該規定成為包括我國《個人信息保護法》、我國《數據安全法》等在內的各國數據和信息保護法律競相學習和效仿的對象。無疑，通過立法確立個人數據攜帶權，強化數據主體控制個人信息、加強信息自治的能力，已經成為大數據法治的核心要義之一。

數據的真實價值“就像漂浮在海洋中的冰山，第一眼只能看到冰山的一角，而絕大部分都隱藏在表面之下”。〔2〕參見［英］維克托·邁爾-舍恩伯格、肯尼斯·庫克耶：《大數據時代：生活、工作與思維的大變革》，盛楊燕、周濤譯，浙江人民出版社2013 年版，第127 頁。黨的十九屆四中全會確立了數據要素化在數字經濟發展中的重要地位。在大數據時代，作為生產要素的數據正在成為企業的核心競爭力。在我國現行法對企業數據權利規定缺位的背景下，為了保護數據持有企業的合法數據權益，司法機關在新浪微博訴脈脈案中，〔3〕參見北京知識產權法院（2016）京73 民終588 號民事判決書。創設了企業數據獲取“三重授權原則”，并試圖在數據持有企業、數據獲取主體以及數據主體之間達成合理的平衡。此后，企業數據獲取“三重授權原則”持續對類似的數據權益爭奪案件的審判產生了重大影響，比如在騰訊訴微播視界案、淘寶訴美景案等案件中，“三重授權原則”均得到適用。

企業數據獲取“三重授權原則”是我國法院處理企業數據爭奪案件的一項重要司法創造，從本質上講，它是一項誕生于我國《個人信息保護法》制定之前并沿用至今的司法判斷規則。源于GDPR 的個人數據攜帶權實際上與《歐盟基本權利憲章》（The European Union Charter of Fundamental Rights）第八條的“個人數據受保護權”一脈相承。〔4〕參見蔡培如：《歐盟法上的個人數據受保護權研究——兼議對我國個人信息權利構建的啟示》，載《法學家》2021 年第5 期。有學者提出，該權利處于人權演進進程中的最前沿,并且將會被劃入第四代人權，〔5〕李蕾：《數據可攜帶權: 結構、歸類與屬性》，載《中國科技論壇》2018 年第6 期。其所指向的對象是個人數據。企業數據獲取“三重授權原則”保護的對象是企業對其持有的“享有競爭利益”的數據，我國目前司法實踐并未明確界定其數據的范圍，但強調對數據持有企業的在先數據權益予以保護。由此，個人數據攜帶權與企業數據獲取“三重授權原則”不僅在保護和適用的數據對象上可能存在交叉重合，而且從更深層次來講，二者無論是在宏觀的數據競爭治理理念方面還是在微觀的數據流轉規則方面，均存在一定的共時性沖突。在個人數據攜帶權已被規定于我國《個人信息保護法》并將逐步在一些相關行業中貫徹的當下，廓清二者之法理邏輯，并找出適當的調適方案，將是未來我國個人信息保護立法和司法面臨的重點和難點所在。

筆者于本文中將首先對個人數據攜帶權與企業數據獲取“三重授權原則”的法律構造予以澄清，在此基礎上，梳理二者在價值理念和數據流通規則方面的沖突，然后著重從價值博弈分析以及法理基礎解構的視角，提出沖突的解決思路，最后分別從個人數據攜帶權與企業數據獲取“三重授權原則”的角度，提出未來數據法治實踐中可能的雙向調適路徑。

一、個人數據攜帶權與企業數據獲取“三重授權原則”的基本構造及沖突

（一）信息自決下的數據控制：個人數據攜帶權

如果說互聯網時代更加注重信息的交流、互通與協作，那么大數據時代更加強調的是數據的分析與預測功能。當用戶的個人信息被平臺（數據控制者）收集并用于大數據分析，數據控制者往往可以對用戶的個人生活習慣、消費傾向、興趣愛好等進行精準的“數據人格”分析。這種在虛擬數據環境下的“數據人格”通常會成為網絡平臺向用戶提供精準、個性化的電子商務、金融、醫療、教育、新聞等各種服務的科技基礎。用戶在享受數據科技帶來福利的同時，亦不免陷入“信息繭房”“大數據殺熟”“平臺‘二選一’”等困境。〔6〕參見劉輝：《大數據金融算法的法律規制》，載《財經理論與實踐》2021 年第2 期。“人類邁向‘算法統治’時代的主要標志在于，越來越仰賴算法幫助或代替我們做出決策。”〔7〕參見王靜、王軒等：《算法：人工智能在“想”什么》，國家行政管理出版社2021 年版，第132 頁。“基于數據主體、數據處理者和數據控制者之間市場地位的不均衡以及技術的偏見，數據主體對于數據自決利益的喪失，亟須通過制度的安排尋找數據各方主體的利益平衡點。”〔8〕參見唐思慧：《大數據時代信息公平的保障研究：基于權利的視角》，中國政法大學出版社2017 年版，第67 頁。個人數據攜帶權就是強化數據自治的基本權利工具。

個人數據攜帶權也被稱為“個人數據可攜權”“個人信息可攜權”，盡管中外立法對其表述不盡相同，但學者一般從GDPR 第二十條出發，將其定義為：數據主體有權以結構化、常用和機器可讀的格式獲得其提供給數據控制者的有關他或她的個人數據，或有權無障礙地將此類數據從其提供給的數據控制者那里傳輸給另一個數據控制者。〔9〕參見卓力雄：《數據攜帶權：基本概念，問題與中國應對》，載《行政法學研究》2019 年第6 期。2021 年8 月20 日通過的《個人信息保護法》首次在我國法上對個人數據攜帶權進行了規定，該法第四十五條規定，個人有權向個人信息處理者查閱、復制其個人信息。個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。一般認為，個人數據攜帶權包含三項重要的子權利，即個人數據獲取權、個人數據轉移權、個人數據轉移請求權。

個人數據獲取權即數據主體無障礙地從接受其提供個人數據的數據控制者處取回其個人數據的權利。個人數據獲取權可視為一種“強化版”的數據訪問權，之所以稱為“強化版”，主要體現在兩個方面。其一，個人數據獲取權具有數據獲取格式方面的特殊性，即其獲取的是一種結構化、通用可讀的數據。這種數據與GDPR 第十五條所規定的數據訪問權的內容存在重大差異：在訪問權的場合，數據控制主體并不具有提供這種特定格式數據的法定義務。〔10〕See Jef Ausloos &Pierre Dewitte,Shattering One-way Mirrors-Data Subject Access Rights in Practice,8 International Data Privacy Law 4,4-28（2018）.在大數據時代，個人數據獲取權通常體現為一種數據下載權，即在網絡平臺自由下載前述格式數據的權利。其二，個人數據獲取權項下的數據具有內容的特殊性。根據歐盟第29 條工作組（WP29）的解釋，〔11〕歐盟第29 條工作組（WP29）是歐盟數據保護委員會（EDPB）的前身，因其依據1995 年歐盟發布的《關于個人數據和數據流動指令（95/46/EC）》第29 條設立而得名，主要職責是審查成員國關于指令的實施、就成員國和歐盟的數據保護水平提供意見、對有關個人數據保護的事項提出建議、發布年度報告等。隨著2018 年GDPR 的正式實施，WP29 被EDPB 取代。個人數據獲取權下的數據除了狹義的由數據主體直接提供給數據控制者的數據外，還包括數據控制者觀測到的數據主體在使用特定服務中記錄的數據，即“觀測數據”（observed data），例如數據主體在使用服務的過程中留下的瀏覽歷史數據、用戶的流量數據以及歷史方位數據等。〔12〕See WP29,Guidelines on the Right to Data Portability,https://iapp.org/media/pdf/resource_center/WP29-2017-04-data-portabilityguidance.pdf,Last visited on Apr.25,2022.

個人數據轉移權，即數據主體將其獲取的上述數據，自由并自主地將其轉移至其他數據控制者的權利。個人數據轉移請求權即在技術可行的前提下，數據主體請求數據控制者將這些特定格式的數據免費轉移至其指定的數據控制者的權利。這兩項權利的區別在于，前者是數據主體獲取數據后的自主轉移，而后者是數據主體在不獲取數據的前提下，直接請求數據控制者履行轉移義務。

從個人數據攜帶權的權利構造不難看出，設立該權利的根本宗旨就是要強化數據主體的信息自決權，提高數據主體的信息自決能力。信息自決的一個重要價值在于確保實現人格自由發展。〔13〕參見王利明：《論個人信息刪除權》，載《東方法學》2022 年第1 期。從某種意義上講，GDPR 本身就是一個以個人信息自決為中心的數據權利保護體系。〔14〕參見汪慶華：《數據可攜帶權的權利結構、法律效果與中國化》，載《中國法律評論》2021 年第3 期。申言之，中外數據立法之所以如此強調信息自決權，一個重要原因就是，在大數據時代，面對數據主體和數據控制者巨大的市場地位落差，理性人的“意思自治”部分喪失了權利行使的空間。〔15〕參見葛迎：《企業數據競爭的法治出路——由企業數據競爭裁判規則切入》，載周漢華主編：《網絡信息法學研究》（總第7 期），中國社會科學出版社2020 年版，第173 頁。數據立法一個重要的使命就是使數據主體有能力擺脫數據控制者“無聲的奴役”，也就是盡可能緩和數據主體被動依附于數據控制者而產生的用戶黏性，打破數據控制者制造的信息鎖閉效應。

以法學方法論的視角觀之，立法主要是通過一種強制轉移數據控制的辦法，來確保數據主體的自治能力。眾所周知，數據產權是懸在數據立法之上的達摩克利斯之劍，數據的多維面向及其管理與運用的特殊性決定了傳統的具有典型排他性的民法所有權很難直接適用，要在不同數據法律關系主體之間按照傳統民事權利保護的模式進行保護異常困難，這種立法路徑也沒有被2022 年2 月23 日公布的歐盟《數據法》（Data Act）草案所采納。在此背景下，學者和實務界都將重點更多地放在了行為規制的路徑上，通過個人數據攜帶權入法，強行轉移數據控制的主導權。具言之，如果數據主體不享有個人數據攜帶權，數據控制的主導者通常在數據持有企業一方。就數據控制和處理行為本身而言，數據主體始終處于被動的狀態。反之，個人數據攜帶權走出了消極防御的范疇，讓數據主體有可能成為個人數據控制和轉移的主宰，進而實現數據控制主導權的移轉乃至數據服務體系中心的轉換，從以數據控制者為中心轉換為以數據主體為中心。

（二）競爭法視野下的企業數據獲取：“三重授權原則”

意大利羅馬第三大學著名教授法比奧·巴桑（Fabio Bassan）曾言，法學家對數字平臺的定義既有契約性的，也有監管性的，因為它必須同時滿足私人和公共監管的需要。〔16〕See Fabio Bassan,Digital Platforms and Global Law,Edward Elgar Publishing Limited,2021,p.6.數據治理具有公私交融性，“法律可以審慎地應用反不正當競爭法，對某些數據進行保護”。〔17〕參見丁曉東：《數據交易如何破局——數據要素市場中的阿羅信息悖論與法律應對》，載《東方法學》2022 年第2 期。由于我國長期以來在數據競爭方面的立法滯后，法院在面臨大量的企業之間的數據爭奪案件時通過司法創造，最終在新浪微博訴脈脈案的二審民事判決書中明確了企業數據獲取“三重授權原則”。〔18〕嚴格地講，從法的三要素來看，企業數據獲取“三重授權原則”并不是一個真正的法律原則，而應當是一種法律規則。鑒于司法裁判文書和學界對該術語的使用共識，本文暫不對該表述提出修正。

該案中，原告微夢公司經營新浪微博并向用戶提供微型博客服務，被告淘友技術公司和淘友科技公司開發的脈脈軟件和網站主要向用戶提供移動社交服務。為了盡可能地向用戶提供社交機會和交友服務，被告采取了關聯與分析用戶在原告所經營的微博服務中所收集的個人及其通訊錄等數據的行為。事實上，原告與被告早先簽訂了行業領域所公認的開放平臺數據獲取協議（Open API），但原告在其對被告主張的四項不正當競爭行為指控中，提出被告超越開放平臺數據獲取協議非法抓取和使用用戶信息，并“非法獲取并使用脈脈注冊用戶手機通訊錄聯系人與新浪微博用戶的對應關系”。北京知識產權法院在該案二審過程中認為，數據獲取企業在通過開放平臺數據獲取協議模式獲取個人數據時，應當獲得“三重授權”。第一重授權是作為數據主體的用戶對數據持有企業（數據控制者）的授權，即用戶允許數據持有企業向數據獲取企業共享數據。第二重授權是作為數據共享讓渡方的數據持有企業的授權，即數據持有企業允許數據獲取企業獲取數據。在此環節，雙方主要是通過簽訂開放平臺數據獲取協議的形式明確雙方數據共享的具體范圍及各自權利義務的內容。第三重授權是數據主體對數據獲取企業的授權，即數據主體允許數據獲取企業處理、控制和使用其獲取的來自數據主體的數據（詳細授權規則如圖1 所示）。

圖1 企業數據獲取“三重授權原則”示意圖

企業數據獲取“三重授權原則”具有以下法律特征。

1.企業數據獲取“三重授權原則”充分肯定數據持有企業的數據利益

企業數據獲取“三重授權原則”本質上是關于企業之間數據獲取的一種司法判斷規則，它充分肯定數據持有企業對其持有數據的合法權益。“從傳統勞動價值理論的觀點來看，數據權勞動成本激勵理論秉持的是以勞動報酬、投資回報激勵數據流通利用的法律思維。”〔19〕參見楊琴：《數字經濟時代數據流通利用的數權激勵》，載《政治與法律》2021 年第12 期。盡管目前我國法律并未對數據持有企業的數據權益進行明確規定，但在新浪微博訴脈脈案中，一審、二審法院均認為，作為數據持有企業的微夢公司在其經營活動中獲取并持有的新浪微博用戶個人數據，是其“重要商業資源”或者“經營資源”，而被告在未經其同意的情況下，超出開放平臺數據獲取協議范圍過度獲取用戶微博數據并使用的行為，違背了行業公認的“商業道德”，導致被告自身降低了數據收集的經濟投入，并且同時損害了微夢公司的競爭優勢。

在該案之后的騰訊訴今日看點案中，〔20〕參見廣東省廣州市越秀區人民法院（2020）粵0104 民初46873 號民事判決書。廣東省廣州市越秀區人民法院進一步認為，數據持有企業對其持有的用戶數據享有競爭利益，這種競爭利益是數據持有企業獲得我國《反不正當競爭法》保護的前提和基礎；企業之間數據獲取的不正當競爭案件的認定，應當首先考慮原告是否享有基于數據的競爭利益，在此基礎上，再看數據持有企業與數據獲取企業之間是否存在競爭關系，最后看數據獲取企業的數據獲取行為是否造成了數據持有企業的競爭利益損失。需要強調的是，在企業間的數據爭奪案中，法院對競爭關系的認定總體呈現出開放和包容的態度：在淘寶訴美景案〔21〕參見浙江省杭州市中級人民法院（2017）浙8601 民初4034 號民事判決書。和騰訊訴微播視界案〔22〕參見天津市濱海新區人民法院（2019）津0116 民初2091 號民事判決書。中，法院提出對競爭關系的認定不應局限于“同業競爭”，只要其對于數據的爭奪會造成用戶的此消彼長關系，即構成競爭關系。“競爭利益—競爭關系—競爭損失”是企業之間數據爭奪案件審理的基本邏輯，而數據持有企業的數據利益成為“三重授權原則”保護的核心法益。

2.企業數據獲取“三重授權原則”試圖構建以意思自治為中心的數據安全保護體系

為了應對大數據時代對海量數據的分享、融合與處理帶來的數據風險，“應該建立以數據風險管控為中心的數據安全范式：除了包括傳統數據自身安全的保密性、完整性、可用性，還要確保數據利用安全的可控性和正當性”。〔23〕參見劉金瑞：《數據安全范式革新及其立法展開》，載《環球法律評論》2021 年第1 期。到底如何保障好數據利用的安全性，是數據安全法治必須予以回答的一個重大問題。盡管企業數據獲取“三重授權原則”強調對數據持有企業的權益保護，但是這種保護必須以保障用戶的個人數據安全為前提。從方法論的視角來觀察，司法機關在創制企業數據獲取“三重授權原則”時，本身就試圖去構建一種以合同為基礎、基于數據主體和數據持有企業充分意思自治的數據安全保護機制。一方面，“三重授權”蘊含了數據持有企業的單方授權，這對數據獲取企業獲取數據具有決定性意義。“數據行業的有序發展應當高度強調契約精神在數據獲取與利用規則中的重要價值。”〔24〕參見田小軍、曹建峰、朱開鑫：《企業間數據競爭規則研究》，載《競爭政策研究》2019 年第4 期。在開放平臺數據獲取協議的數據獲取模式下，雙方簽訂的數據開發協議是數據獲取的基本法律依據，在司法實踐中，其法律效力受到法院的充分肯定。于此，數據持有企業對于數據獲取與利用具有充分的決策權。另一方面，企業數據獲取“三重授權原則”包含了數據主體的“雙重授權”，其不僅能夠決定數據持有企業能否向數據獲取企業提供個人數據，而且能夠決定數據獲取企業是否可以處理其個人數據以及基于何種目的、在何種程度處理其個人數據。所以，“三重授權原則”的本質與核心其實是意思自治。

在意思自治的基礎上，企業數據獲取“三重授權原則”還寄托了創制主體對其擔負起數據安全保障的重任。在大數據時代，由于大數據處理技術的高度專業性、復雜性，數據主體通常無法真正理解和有效保護個人隱私。〔25〕See Solove D J,Privacy Self-Management and the Consent Dilemma,126 Harvard Law Review 1880,1880-1903（2013）.強化網絡平臺等大型在線企業的治理，配置與其控制力和影響力相適應的個人信息保護特別義務，即“守門人”義務，〔26〕參見張新寶：《互聯網生態“守門人”個人信息保護特別義務設置研究》，載《比較法研究》2021 年第3 期。是數據安全治理的大勢所趨。“互聯網平臺理應對第三方應用利用用戶數據承擔一定的監督和管理責任，確保個人信息不被濫用。”〔27〕參見劉金瑞：《合理設定網絡平臺經營者對第三方應用的數據安全管理責任——關于〈數據安全管理辦法（征求意見稿）〉第30 條的修改完善建議》，載《中國信息安全》2019 年第6 期。一方面，企業數據獲取“三重授權原則”在事實上賦予了數據持有企業審查數據獲取企業通過數據接口獲取數據的安全性，其有權拒絕向存在重大數據安全隱患的數據獲取方提供數據。另一方面，由于作為用戶的數據主體對于數據獲取企業直接提供的數據安全格式條款往往缺乏足夠的認知能力，數據持有企業可以幫助用戶開展技術和法律層面的實質審查，從而保護數據主體的數據安全。當然，這樣的數據安全機制是否能夠切實有效發揮預期的功能，仍有待進一步驗證。

（三）個人數據攜帶權與企業數據獲取“三重授權原則”的沖突

盡管個人數據攜帶權已經為我國《個人信息保護法》等法律法規所承認，但作為一項新興的數據權利，其“尚未具備成為一種成熟型權利的條件”，不應將其視為一種“類似數據訪問權的基本權利”，而應當將其視為一種“柔性權利”或努力目標。〔28〕參見丁曉東：《論數據攜帶權的屬性、影響與中國應用》，載《法商研究》2020 年第1 期。該權利與我國《個人信息保護法》出臺以前我國法院已經創制并一直沿用至今的企業數據獲取“三重授權原則”在價值理念與數據流通的規則要求等方面存在如下明顯的沖突。

1.價值理念方面的沖突

盡管學者在個人數據攜帶權是否屬于個人基本的數據權利方面存在分歧，但無疑，個人數據攜帶權是一項重要的個人數據權利。權利意味著法律關系主體的選擇自由，個人數據攜帶權賦予了數據主體極大的數據控制能力和數據處理自由。從數據控制的視角來說，個人數據攜帶權宣示了數據主體隨時從數據持有企業取回個人數據的權利，即享有個人數據獲取權；從數據處理的角度來說，數據主體不僅可以自主地將其取回的個人數據移交給數據獲取方，而且可以在不取回個人數據的前提下，直接要求數據持有企業將其數據按照“機器可讀”的格式轉移給數據獲取企業。法律之所以對數據轉移的格式有明確的要求，其根本意義同樣在于保障數據主體的選擇自由，因為只要在技術可行的條件下，保障了數據傳輸的格式，也就直接保障了數據獲取企業對該數據的處理便利，這其實也是在保障數據主體轉移數據、授權數據獲取企業按照其意志處理數據的權利。GDPR 確認個人數據攜帶權的原因也正在于此，〔29〕See WP29,Guidelines on the Right to “Data Portability”（wp242rev.01）,https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233,lasted visited on Apr.45,2022.它折射出歐盟數據法制出于基本人權保護的考慮，對個人隱私的特別重視和對數據自由的高度崇尚。

與個人數據攜帶權不同，企業數據獲取“三重授權原則”雖然也注重數據主體對個人數據的控制，比如在其整個授權體系中，數據主體自身的“雙重授權”就占有重要的地位，但從根本上說，企業數據獲取“三重授權原則”的本質和核心始終是一種數據競爭裁判規則。它的價值本位是維護數據持有企業的在先數據利益，保護既有的數據持有企業的合法權益，這與個人數據攜帶權的非排他性轉移屬性天然不同。〔30〕See Paul De Hert et al.,The Right to Data Portability in the GDPR: Towards User-Centric Interoperability of Digital Services,34 Computer Law &Security Review 201（2018）.企業數據獲取“三重授權原則”的一大貢獻在于承認了數據的商業價值，即認可個人信息主體與平臺對同一數據同時享有不同的權益。〔31〕參見陳沛：《數據流通與利用中的“三重授權”原則——再評大數據引發不正當競爭一案》，載《上海市經濟管理干部學院學報》2020年第1 期。質言之，企業數據獲取“三重授權原則”主要是從數據的商業價值的角度，來維護數據競爭秩序的一種司法規則，個人數據攜帶權則主要是基于數字人權理念的角度，來保護個人數據自治的一種數據權利規則。個人數據攜帶權的價值本位是個人數據自治，“三重授權原則”的價值本位是企業數據競爭利益。

2.數據流通規則方面的沖突

由于個人數據攜帶權與企業數據獲取“三重授權原則”在價值理念方面的天然差異，二者的并存必將帶來司法實踐中數據流通規則方面針鋒相對的沖突。仍以新浪微博訴脈脈案為例，對于新浪微博起訴的淘友技術公司和淘友科技公司涉嫌的數據不正當競爭行為，數據主體是否享有個人數據攜帶權將對案件的審理產生決定性的影響。因為按照個人數據攜帶權的基本要求，數據主體具有對其個人數據的高度控制和決定權，作為數據獲取企業的二被告，只要其獲得數據主體的授權，此時無論數據持有企業是否同意數據獲取企業獲取數據，都不能影響數據獲取企業獲取數據主體的個人數據。不僅如此，在技術可行的條件下，數據主體還可以直接要求其向二被告提供個人數據，基于個人數據攜帶權的基本法律構造，新浪微博不僅不得拒絕提供，而且還必須按照機器可讀的格式，為數據獲取企業免費提供。由此也引發一個值得深思的問題：數字經濟的發展和數據要素化進程的推進高度依賴于數據企業在數據研發方面的創新，對個人數據攜帶權的絕對保護雖然有利于打破平臺的數據鎖閉效應，但顯然不利于數據企業對數據的深度開發，這與現代數據法治的精神可能是背道而馳的。

反觀企業數據獲取“三重授權原則”，其天然的使命是維護在先數據企業的合法數據利益（數據競爭利益）。這也正是學者所倡導的“企業數據使用問題應當留給最了解自己商業運營實踐的公司，由具有利益關系的公司通過合同和技術措施實現企業的數據權益和經營利益”。〔32〕參見付新華：《企業數據財產權保護論批判——從數據財產權到數據使用權》，載《東方法學》2022 年第2 期。當然，這無疑會在一定程度上限制和阻礙數據流通。比如具體到新浪微博訴脈脈案，數據獲取企業要想獲取用戶的個人數據，其必須滿足“三重授權”的基本要求，其中就包括數據持有企業的單獨授權（授權2）。易言之，如果用戶授權新浪微博對二被告開放獲取數據（授權1），用戶也授權了二被告獲取并處理其數據（授權3），但是由于缺乏新浪微博對二被告數據獲取行為的授權，二被告也可能因涉嫌侵犯新浪微博的“數據競爭利益”、破壞“數據競爭秩序”而無法獲取用戶的個人數據。或許是意識到了這樣的數據持有企業授權對數據流通的限制，近年來，美國司法實踐對于授權的苛刻要求呈現出放寬的趨勢。〔33〕See Andrew Sellars,Twenty Years of Web Scraping and the Computer Fraud and Abuse Act,24 Journal of Science &Technology Law 372,413-416（2018）.不難看出，在企業之間的數據爭奪案的審理中，個人數據攜帶權與企業數據獲取“三重授權原則”對于數據流通要素的限制不同，這對此類案件的司法裁判帶來極大的挑戰。

二、個人數據攜帶權與企業數據獲取“三重授權原則”之沖突的解決思路

面對個人數據權利和企業數據權利、數據持有企業權利和數據獲取企業權利的沖突，司法機關往往面臨個人數據自治和企業數據競爭利益保護的兩難困境。正確的司法態度絕不應當在二者之間“二選一”，而應當進行一個體系化的法律價值評估與抉擇過程。以下從對極端的“二選一”邏輯批判出發，分析絕對的個人數據攜帶權以及單純的企業數據獲取“三重授權原則”可能帶來的弊端，提出未來立法和司法中對二者之沖突予以協調的法理依據。

（一）絕對的個人數據攜帶權可能帶來的負面影響

雖然個人數據攜帶權本身涵攝了數據主體自由處分個人數據的權利，〔34〕See Eva Fialova,Data Portability and Informational Self-Determination,8 Masaryk University Journal of Law and Technology 45,47-48（2018）.但個人數據攜帶權并不是一項“絕對權利”（absolute right），也不能對個人數據攜帶權實施絕對的法律保護，〔35〕See Pamela Samuelson,Privacy as Intellectual Property,52 Stanford Law Review 1125,1125-1169（2000）.而應該在促進數據流動的前提下，適度地限制該權利給數據持有企業和數據產業發展可能帶來的負面影響。這些負面影響有以下一些。

1.個人數據攜帶權的確立對初創階段的數據行業可能造成發展障礙

數據立法必須緊跟數據產業的發展需求，這在個人數據攜帶權的具體實施方面體現得尤為明顯。個人數據攜帶權既有權利賦能的屬性又有財產賦予的屬性。〔36〕See Orla Lynskey,Aligning Data Protection Rights with Competition Law Remedies? The GDPR Right to Data Portability,42 European Law Review 793,809-810（2017）.在充分競爭的電子商務等行業，個人數據攜帶權的確立有利于緩解數據鎖閉效應，加快數據流轉，打破平臺企業的數據壟斷地位，進而確保消費者的合法權益。在數據即資產的大數據時代，數據本身就是一種資產。通過數據壟斷和算力、算法的加持，處于壟斷地位的平臺企業往往無形中將用戶鎖定于“信息繭房”“服務陷阱”“算法黑盒”之中。這時候，個人數據攜帶權著眼于大數據的邏輯起點，將數據獲取、共享、轉移的主動權交給數據主體，這無疑是防范大數據時代的人變成數據的奴隸的重要法治工具。然而，對于一些非充分競爭的甚至處于初始發展階段的數據行業，“如果大范圍嚴格執行數據主體的可攜帶權，利益受損的主體必然包括具有較大用戶數據存儲量的互聯網運營商”。〔37〕參見李蕾：《數據可攜帶權：結構、歸類與屬性》，載《中國科技論壇》2018 年第6 期。因為就這些行業而言，從競爭法的角度來說，運營商提供的數據服務的用戶黏性會隨著個人數據攜帶權的強化而愈加弱化，用戶流失的結果可能帶來嚴重的負面影響。比如數據持有企業由于欠缺利益補償機制而在事實上受到損失，這種情形下，其對于發展初期的數據產業的投入可能逐步下降，對數據服務創新的意愿將逐步減弱，這對數據持有企業可能帶來生存危機并倒逼其退出市場。當然，最終導致的結果便是這些行業數據要素化的失敗和數據產業發展的停滯。學者也開始注意到，當個人控制逐漸異化為絕對控制，事實上將限制個人信息保護制度的發展。〔38〕參見李芊：《從個人控制與產品規制到合作治理——論個人信息保護的模式轉變》，載《華東政法大學學報》2022 年第2 期。

2.與個人數據攜帶權相伴的數據轉移義務在某些情況下可能導致數據正義缺損

蒂爾堡大學的三位學者英格·格雷夫（Inge Graef）、馬丁·胡索維奇（Martin Husovec）和納德茲達普爾托瓦（Nadezhda Purtova）在對GDPR 中的個人數據可攜帶權進行深入研究后認為，個人數據可攜帶權并不是個人數據所有權，將其視為歐盟法律中旨在刺激數據驅動市場的競爭和創新的新監管工具似乎更為妥當。〔39〕See BI Graef,M Husovec,N Purtova,Data Portability and Data Control: Lessons for an Emerging Concept in EU Law,19 German Law Journal 1359-1398（2018）.也就是說，對個人數據攜帶權的執行和研究，我們必須關注其競爭法效應，從“競爭工具”的視角去觀察可能產生的法律效果。〔40〕See Josef Drexl,Designing Competitive Markets for Industrial Data—Between Propertisation and Access,https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2862975，2022 年4 月25 日訪問。在法律上規定個人數據攜帶權的一個重要目的就是打破數據孤島和數據壟斷，既然是壟斷，在此主要的體現無疑是濫用市場支配地位。根據反壟斷法的基本原理，個人數據攜帶權適用的目標，似乎應當聚焦于促進那些處于壟斷地位的大型數據平臺積極實施數據共享和數據流通。如果個人數據攜帶權是一項不加限制的絕對權利，數據主體可以要求任何數據持有企業在技術可行之時免費轉移其個人數據的話，就將對處于非壟斷地位的數據持有企業尤其是中小企業帶來不公。申言之，國家致力于對這些中小企業實施積極的財稅政策、金融政策、產業政策等支持，但不區分適用對象的個人數據攜帶權的實施卻可能增加這些中小企業的數據運營成本，〔41〕參見高富平、余超：《歐盟數據可攜權評析》，載《大數據》2016 年第4 期。這在實質上違反了國家宏觀調控“綜合協調原則”，導致數據領域的正義缺失。

3.個人數據攜帶權在實踐中面臨數據質量控制和數據安全防范方面的困境

數據的質量是數據要素化和數據產業發展的基石，數據的真實性、準確性、完整性對數據的再利用與再開發水平產生直接影響。個人數據攜帶權關注到了數據轉移的必要性，卻對數據轉移的質量和數據的商業價值關注不足。個人數據攜帶權被規定于GDPR 時，“盡管立法理由部分闡明這一權利的確立是為了加強公民對自己個人數據的控制力，但該條在制定時實際上考慮的保護重點是社交網絡服務消費者群體”。〔42〕參見阮爽：《〈歐盟個人數據保護通用條例〉及其在德國的調適評析》，載《德國研究》2018 年第3 期。以社交網絡服務數據為例，作為用戶向數據持有企業提供的個人數據是其信譽評級和評分的基礎，但這些數據的價值一般不能單獨體現。大數據尤其強調數據的相關性、關聯性，而非直接的因果必然性。〔43〕See Chris Anderson,The End of Theory: The Data Deluge Makes the Scientific Method Obsolete,https://pdodds.w3.uvm.edu/files/papers/others/2008/anderson2008a.pdf,last visited on Apr.25,2022.用戶的評價數據一方面與被評價的對象密切相關，另一方面又與其他客戶的評價數據密切相關，用戶與用戶之間的評價多數情況下存在直接關聯性。如果脫離其基礎數據環境，這種“斷章取義”的“片面數據”就可能在數據價值方面大打折扣。正如歐洲學者所言：“數據的價值取決于上下文信息。把數據從上下文信息中移除，也就刪除了數據的價值。”〔44〕See Bertin Martens et al.,Towards Efficient Information Sharing in Network Markets,https://ssrn.com/abstract=3956256,last visited on Apr.25,2022.此外，個人數據攜帶權只能轉移用戶的個人數據，不能轉移平臺對其所實施的信譽評價，因為這部分數據屬于衍生數據，這可能會降低用戶將個人數據遷移至另一個平臺的意愿。〔45〕參見化國宇、楊晨書：《數據可攜帶權的發展困境及本土化研究》，載《圖書館建設》2021 年第4 期。從數據安全的角度來說，起源于歐盟的個人數據攜帶權具有高度意識形態化的文化淵源，其風險防范以人格與身份為核心，〔46〕參見丁曉東：《〈個人信息保護法〉的比較法重思：中國道路與解釋原理》，載《華東政法大學學報》2022 年第2 期。以知情同意機制為載體，但同意機制可以替代隱私保護本身可能只是一個美麗的錯覺。〔47〕參見李芊：《從個人控制與產品規制到合作治理——論個人信息保護的模式轉變》，載《華東政法大學學報》2022 年第2 期。此外，如果允許數據持有企業將與用戶相關的其他主體的數據或者關聯數據同時制作成“機器可讀的格式”予以轉移，“當數據主體在傳輸與第三方主體有關的通信或交易數據時，必然有可能侵犯到第三方數據主體的隱私權和對數據的支配權”。〔48〕參見李蕾：《數據可攜帶權：結構、歸類與屬性》，載《中國科技論壇》2018 年第6 期。比如在新浪微博訴脈脈案中，淘友技術公司等就獲取、使用了用戶手機通訊錄中非脈脈用戶聯系人的數據，這些與數據主體密切相關的第三方數據如果在個人數據攜帶權實施的過程中無法得到精準區分和界定，就很容易導致數據安全風險。

（二）絕對的企業數據獲取“三重授權原則”存在的主要問題

企業數據獲取“三重授權原則”旨在加強數據持有企業競爭利益保護，并通過讓數據持有企業承擔數據安全“看門人”職能的形式，確保用戶的合法權益。這樣的理論預設的初衷固然是好的，但實施效果不一定能夠恰如預期。以下筆者重點從數據競爭效應和個人數據安全的視角予以分析。

1.企業數據獲取“三重授權原則”可能對數據產業的良性發展造成阻礙

在“三重授權”中，數據主體的“雙重授權”是受到法律明確支持的。比如我國《個人信息保護法》第十三條至第十五條、第二十三條均肯定了個人信息處理以及個人信息委托處理過程中，個人對其信息的充分決定權。問題的核心在于，企業之間的數據獲取和處理協議，是否必須經由數據持有企業的同意。譬如，數據獲取企業在獲得數據主體授權但未經數據持有企業同意的情況下，通過爬取行為獲取數據主體的個人數據是否違法？從數據主體享有的個人數據攜帶權來說，數據持有企業的同意不僅不是必要要件，相反，數據持有企業還必須尊重數據主體的數據轉移和處理意志，在企業數據獲取“三重授權原則”下，數據獲取企業則必須獲得數據持有企業的單獨授權。事實上，這種數據持有企業的單獨授權恰恰有可能成為提高數據要素市場進入難度的重要手段，其不僅可能提高具有直接競爭利益關系的同行業數據要素市場的準入壁壘，而且可能提高并不具有直接競爭利益關系的相關行業的數據要素市場的準入壁壘。〔49〕參見徐偉：《企業數據獲取“三重授權原則”反思及類型化構建》，載《交大法學》2019 年第4 期。就直接具有競爭利益關系的數據企業之間來說，數據持有企業憚于企業核心數據利益受到損失，一般不愿意向數據獲取企業共享數據，或者有意提高數據獲取的代價，這將在無形之中提高數據要素市場準入的門檻。比如新浪微博訴脈脈案中，原告被告雙方本經營并不直接競爭的微博和社交軟件服務，但根據判決書中被告的主張，是由于后來原告推出“微人脈”職場社交APP 產品而跨入社交服務，由此雙方存在直接競爭關系，原告才提起數據競爭訴訟。此外，就不具有直接競爭利益關系的數據企業之間的數據獲取來說，數據持有企業也完全有可能提高用戶個人數據轉移的門檻或者拒絕進行用戶個人數據的轉移，顯然，這會影響數據產業的良性發展。

2.企業數據獲取“三重授權原則”對用戶個人數據安全風險的防范意義有限

賦予數據持有企業對個人數據安全承擔“看門人”的職能有其內在的法理基礎，比如張新寶教授認為，基于控制者義務理論，“控制者作為管理者，具有專業知識、能力、技術，能夠預見可能發生的危險和損害，更有可能采取必要的措施防止損害的發生或減輕損害”。〔50〕參見張新寶：《互聯網生態“守門人”個人信息保護特別義務設置研究》，載《比較法研究》2021 年第3 期。我國《個人信息保護法》第二十一條也明確規定了數據持有企業對“受托人的個人信息處理活動進行監督”的重要法律義務。基于此，企業數據獲取“三重授權原則”中，賦予數據持有企業對于數據獲取企業獲取數據的享有重要的決定性授權應當具有理論上的正當性。然而，正如商業銀行經營管理中的信貸風險管理實踐一樣，既要考慮借款人的真實還款能力，也要考慮借款人的實際還款意愿，前者是信貸風險管理的客觀要素，后者是信貸風險管理的主觀要素，兩者缺一不可，對于數據持有企業的授權來說，同樣必須高度重視其數據轉移的主觀意愿和商業動機。

由于“數據持有企業并不是超脫于用戶和數據獲取企業之外的第三方”，“數據持有企業不可能基于維護用戶利益而非基于自身利益做出相關決策”，“在信息流通中寄希望于由企業來把關和維護用戶數據安全的想法并不可行”，〔51〕參見徐偉：《企業數據獲取“三重授權原則”反思及類型化構建》，載《交大法學》2019 年第4 期。“法律只能在數據流轉的端口加強個人對其控制，并在數據流轉過程中建立侵害個人權利的法律防御機制”。〔52〕參見葛迎：《企業數據競爭的法治出路——由企業數據競爭裁判規則切入》，載周漢華主編：《網絡信息法學研究》（總第7 期），中國社會科學出版社2020 年版，第173 頁。在商業實踐中，保護用戶的個人數據安全，屢屢成為數據持有企業實施限制數據流通、提高數據流通代價甚至拒絕數據共享等不正當數據競爭行為的“正當理由”。比如在新浪微博訴脈脈案中，原告微夢公司雖然多次聲稱其基于“保護用戶隱私”而終止與二被告的數據共享合作，但僅在同案的基本事實認定中，便不難看出其中的技術、商業和邏輯矛盾。既然有保護用戶隱私之重要考量，為何原告沒有采取有效的數據加密手段保護好用戶的數據，最終由于技術漏洞而為被告所獲取？并且，既然如此尊重用戶的個人數據利益和隱私，為何在發現被告通過第三方應用軟件獲取用戶數據的情況下，仍未通過任何技術手段予以制止？更為惡劣的是，原告還試圖以此為利益交換的工具，要求被告向其共享脈脈用戶的個人信息，這種行為被法院認定為典型的“放縱不正當競爭行為”。正如學者所指出的，這種“更密集”的數據重復使用的控制，極有可能成為“目的不可知論”。〔53〕See Bert-Jaap Koops,The Trouble with European Data Protection Law,4 International Data Privacy Law 250,250-261（2014）.美國華盛頓大學法學院丹尼爾·索洛夫（Daniel Solove）教授即直言：隱私自治棲就于同意規則之上，但隱私自治并沒有給人們提供對于個人數據的有意義的控制。〔54〕See Daniel J.Solove,Introduction: Privacy Self-Management and the Consent Dilemma,126 Harvard Law Review 1880,1880-1903（2013）.

無獨有偶，發生在美國的HiQ 訴領英案中，原告HiQ 是一家數據分析公司，其通過數據爬取技術從公開網絡爬取了領英公司的用戶公開檔案信息，被告以《美國計算機欺詐與濫用法》（CFAA）為依據對該行為發出了“禁止通知函”。該案經過加利福尼亞州北區聯邦地區法院和美國第九巡回法院兩審法院的審理。法院認為，CFAA 的規制對象并不包括互聯網上可公開訪問之數據，被告的行為實際上起到了排斥原告進入數據分析市場的競爭效果，這種行為“將對互聯網的信息自由流動和公共信息的價值創造構成威脅”，因此，要求領英公司移除阻止HiQ 訪問其用戶公開資料信息的全部技術障礙，并裁定對領英公司頒發禁令。〔55〕See HiQ Labs,Inc.v.LinkedIn Corp.,No.17-16783（9th Cir.2019）.總之，將個人數據安全完全絕對化為一種數據持有企業的社會責任，不僅在事實上無濟于事，而且消費者乃至整個社會的整體福利反而受到損害。〔56〕參見何淵等：《大數據戰爭：人工智能時代不能不說的事》，北京大學出版社2019 年版，第72 頁。

（三）個人數據攜帶權與企業數據獲取“三重授權原則”沖突解決的法理分析

在司法實踐中，我國法院越來越注重運用利益衡量的方法來處理網絡競爭的案件。《最高人民法院關于審理侵害信息網絡傳播權民事糾紛案件適用法律若干問題的規定》第一條和《北京市高級人民法院關于涉及網絡知識產權案件的審理指南》第三十條明確指出，涉及網絡競爭的司法裁判應當達成經營者、消費者和社會公眾利益的平衡。個人數據攜帶權與企業數據獲取“三重授權原則”的沖突主要發生在企業之間的數據爭奪案件中，從法理的角度來看，可以針對該類案件通常涉及的核心法益，刻畫出一個法律價值博弈模型（見圖2），以此實現個人數據權利、數據持有企業的數據權益、數據市場競爭秩序保護三者之間納什均衡。

圖2 企業數據競爭價值博弈模型

具言之，在企業數據權益爭奪的場合，通常涉及三方主體即數據主體、數據持有企業、數據獲取企業，三方主體各自都有自己追求的本位價值目標，當然，每一方主體的價值目標可以是多元的，比如就數據主體而言，其不僅注重數據的自由流通價值，而且關注數據安全價值，但從個人數據攜帶權的視角來說，其最根本的價值還是數據的自由流通價值，即數據的可流通性。〔57〕See Orla Lynskey,Aligning Data Protection Rights with Competition Law Remedies? The GDPR Right to Data Portability,42 European Law Review 793,793-814（2017）.對數據持有企業來說，競爭法對數據的控制程度決定了該企業使用數據集參與競爭的限制，〔58〕See Barbara Van der Auwermeulen,How to Attribute the Right to Data Portability in Europe: A Comparative Analysis of Legislations,33 Computer Law &Security Law 57,57-63（2017）.所以其本位價值應該是數據持有企業的合法數據權益保護。這其中包含兩層含義。

第一，對部分中小企業在收集個人數據過程中付出的勞動，應當設計合理的法律補償機制。如前所述，對于大型的數據持有企業來說，其數據采集和運營成本往往可以通過相應的數據法律服務予以彌補，但對中小企業來說，這樣的運營成本到底如何進行補償呢？特別是如果允許與其具有直接競爭關系的企業免費獲取數據主體的個人數據，那么這些中小企業不僅需要付出數據采集的成本，而且要承擔“機器可讀的”的規范化數據的制作成本以及數據轉移成本，這可能對數據產業發展和數據法治的公平性帶來嚴峻的挑戰。

第二，對于數據持有企業通過加工、處理、制作的數據，已不再屬于個人數據的范疇，轉而成為衍生數據，對于衍生數據，法律應當保護其合法的數據權益，包括對衍生數據的適當支配和控制利益。值得注意的是，盡管在企業數據獲取“三重授權原則”中，強調了數據持有企業對數據獲取企業獲取個人數據的決定權，但是這里針對的其實是個人數據而非衍生數據。因此，該規則的合理性嚴重存疑。對數據獲取企業來說，其本位價值是數據的可得性，即其最為關注的是是否能夠打破數據市場準入壁壘進而以合理的價格進入數據競爭市場。

以上三方主體的價值博弈正好構成一個三角形。在幾何學上，三角形是最為穩定的圖形，但三角形的穩定性并不等于確定性，三角形的確定性有一個最為基本的前提，那就是邊長和內角確定。這一基本原理也完全適用于企業數據競爭中法益平衡原理的解釋：在企業數據權益爭奪過程中，三方主體都具有不同的本位價值，并且在不同案件的審理過程中，司法對于不同主體的保護也不可能完全等同，有時需要更加注重數據主體的數據流通價值的保護，有時則需要側重于對數據持有企業合法數據權益的保護，但無論如何，數據法治的基石與核心即數據安全價值不能改變。在企業數據競爭價值博弈模型中，數據安全價值就是整個數據法治的底線，它決定著整個博弈模型的內角和邊長。“數據處理風險規制是保持和促進數據自由流動的基礎機制，也是數據處理秩序的基本組成部分。”〔59〕參見陳越峰：《超越數據界權：數據處理的雙重公法構造》，載《華東政法大學學報》2022 年第1 期。如果不能守住數據安全這一底線價值，則整個數據產業、數據法治體系都將面臨最終崩塌的危險。

當然，大數據時代的數據安全并不是一種絕對安全，如果堅持絕對的數據安全觀，那么最佳的選擇就是不發展大數據技術和數據產業，這自然不是大數據時代數據法治的應然價值訴求。大數據時代的數據發展應當堅持相對安全觀和動態安全觀。所謂相對安全觀，即在鼓勵數據要素化和數據產業發展的前提下看待和處理數據安全的問題。所謂動態安全觀，是指數據安全的法治保障必須深度根植于數據采集、保存、處理、轉移的動態過程之中，從數據的全生命周期安全的視角，去科學設計數據安全法律制度。

總之，必須在大數據的時代背景下，用數據發展的眼光去看待各方數據權益的動態博弈問題，在此基礎上，對絕對的個人數據攜帶權和企業數據獲取“三重授權原則”進行反思，并在雙向調適的基礎上，達成二者之間可能涉及的各方法益的平衡。

三、個人數據攜帶權與企業數據獲取“三重授權原則”的雙向調適

在立法與司法實踐中，個人數據攜帶權與企業數據獲取“三重授權原則”受到學界與實務屆持續的質疑表明，二者并非沒有缺陷，絕對和僵化適用任何其一，都將對數據法治和數據產業的發展造成不良影響。無論是個人數據攜帶權還是數據持有企業的合法數據權益，均同時涉及數據主體和數據持有企業的私權利和公共利益。根據企業數據競爭價值博弈模型，基于數據安全和數據要素化的客觀需求，可以對兩者進行相向而行的有益調適。

（一）對個人數據攜帶權的調適

首先，合理界定個人數據攜帶權的適用領域。雖然個人數據攜帶權已被規定于我國《個人信息保護法》，“但是法律條文只籠統地規定了權利行使的要件和權利行使對象（個人信息處理者）的義務，其具體實施規范亟待細化”。〔60〕參見謝蔚、李文靜：《比例原則視角下數據可攜權之適用路徑》，載《湖南大學學報（社會科學版）》2022 年第1 期。誠如王錫鋅教授所言，個人數據攜帶權在GDPR 中只是“鼓勵性的”而非“強制性的”要求，我國《個人信息保護法》中的個人數據攜帶權只是一個授權性的、開放性的條款，其未來真正地走向實踐還將取決于未來對該項權利啟動和行使之具體條件的設定。〔61〕參見王錫鋅：《個人信息可攜權與數據治理的分配正義》，載《環球法律評論》2021 年第6 期。換言之，個人數據攜帶權并不應當對所有產業、所有行業進行一刀切式的“全有或者全無”地適用，〔62〕See Barbara Engels,Data Portability among Online Platforms,5 Internet Policy Review: Journal on Internet regulation 1,1-17（2016）.而應當充分考慮所處的行業領域、數據競爭狀況、數據安全的實際保護能力等因素，對促進競爭和鼓勵創新的領域以及在數據安全保護能力較強的平臺之間鼓勵率先實現個人數據攜帶權。〔63〕參見仲春、王政宇：《競爭法視野下的數據攜帶權及踐行構思》，載《電子知識產權》2021 年第5 期。從美國的實踐來看，其在個人數據攜帶權具體的適用領域方面，也是基于本國國情，優先選擇在醫療健康信息與金融信息等領域率先適用，通過州一級的《加州消費者隱私保護法》（CCPA）等法律以及聯邦層面的《兒童在線隱私保護法》（COPPA）和《多德—弗蘭克法》（Dodd-Frank Wall Street Reform and Consumer Protection Act）等規定了個人數據攜帶權。從我國的實際情況來看，優先選擇電子商務、醫療、金融等領域，通過制定特定行業的數據監管規則和數據自律規范貫徹實施個人數據攜帶權不失為一種可行的路徑。

其次，嚴格限定個人數據攜帶權的適用對象。如歐盟第29 條工作組對GDPR 中個人數據的解釋那樣，個人數據只包括由數據主體直接提供的數據以及“觀測數據”。如果數據主體請求轉移該范圍以外的數據或者數據獲取方通過爬蟲技術爬取公開網絡的個人數據之外的數據，〔64〕從技術中立的角度講，數據爬取行為本身具有競爭中性的屬性。參見陳兵：《保護與競爭：治理數據爬取行為的競爭法功能實現》，載《政法論壇》2021 年第6 期。例如數據持有企業經過處理的衍生數據等，均屬于典型的數據侵權行為。對于數據持有企業來說，如果其對采集的數據進行加工與處理，“可能享有一種新的‘身份’——數據生產者”，“并似可創設整合為一種權利形態”即數據生產者權。〔65〕參見姚佳：《企業數據的利用準則》，載《清華法學》2019 年第3 期。若數據獲取方要獲得這些衍生數據，都必須嚴格按照企業數據獲取“三重授權原則”的要求由數據持有企業進行專門授權，否則即屬違法。如此一來，數據持有企業可能有更強的動機去處理匿名化的數據，進而免受個人數據攜帶權施加的義務，〔66〕See Inge Graef,Martin Husovec &Nadezhda Purtova,Data Portability and Data Control: Lessons for an Emerging Concept in EU Law,19 German Law Journal 1370（2018）.有利于推動數據要素化和數字經濟的發展。因此，對于衍生數據，必須明確排除其適用個人數據攜帶權規則。另外，對于與數據主體相關的其他用戶的個人數據，數據獲取企業在獲得相應主體的單獨授權之前，不得依據數據主體的個人數據攜帶權而獲取。比如在新浪微博訴脈脈案中，數據獲取方未經授權便獲取了非新浪微博用戶的通訊錄數據，這就是一種違法行為，這些數據也必須從個人數據攜帶權規則的適用范圍內予以排除。

再次，通過引入“數據盜用理論”對數據持有企業的正當權益實施法律保護。在2022 年4 月24日國務院新聞辦舉行的2021 年中國知識產權發展狀況新聞發布會上，國家知識產權局局長申長雨表示，要承認和保護數據處理者的合理收益。〔67〕參見《我國數據產權保護將承認數據處理者合理收益》，https://baijiahao.baidu.com/s?id=1731039972698510183&wfr=spider&for=pc，2022 年4 月25 日訪問。雖然目前我國在法律上并未對數據持有企業通過勞動投入獲取的個人數據賦予明確的數據權利，但如果這樣的個人數據被其競爭者竊取或者盜用，無疑會對數據持有企業的利益造成侵害。就這些數據本身來說，其并不屬于衍生數據，按照個人數據攜帶權的要求，倘若數據獲取企業獲得了數據主體的授權，其自然有權獲取數據。那么，對數據持有企業的這種正當的數據權益如何實施保護，成為擺在司法機關面前的一道難題。美國司法實踐中提出的“數據盜用理論”或許可以為我國提供借鑒。在美國聯邦最高法院1918 年審理的International News Service v.Associated Press 案中，〔68〕See International News Service v.Associated Press,248 U·S·215（1918）.原告美聯社（Associated Press）和被告國新社（International News Service）同為新聞通訊社公司，國新社通過賄賂美聯社職員等方式，獲取后者的新聞信息并提前發布，美聯社以損害其公司合法競爭權益為由起訴國新社。法院在審理中認為，新聞數據本身并不受知識產權保護，但被告在明知新聞信息屬于原告的合法勞動所得的情況下，為了獲取其自身的競爭利益和競爭優勢，在未經授權的情況下獲取原告的新聞數據，構成數據盜用行為，應當承擔賠償責任。后來，在1997 年美國第二巡回法院審理的NBA 聯盟起訴摩托羅拉公司案（NBA v.Motorola,Inc.）中，〔69〕See National Basketball Ass’n v.Motorola,Inc.,105 F·3d 841（2nd Cir·1997）.法院進一步完善了“數據盜用理論”的構成要件，將“直接競爭關系”“信息的時效性”“對數據產業的破壞”等要件納入。在我國引入個人數據攜帶權之際，數據持有企業的權益保護也同樣重要，在具有直接競爭關系的數據企業間，可將“數據盜用理論”作為司法保護的一項重要規則，以此對個人數據攜帶權的適用形成一定的反向牽制，防止權利的絕對化，保護數據持有企業對其因勞動投入獲取的個人數據的合法權益。

最后，引入原位數據權作為個人數據攜帶權的有益補充。個人數據攜帶權突出數據的可自由流通性，而企業數據獲取“三重授權原則”強調數據持有企業對數據流通的限制，二者之間的矛盾清晰可見。既然是以法益價值平衡作為法律規制的出發點，那么就需要考慮，在盡量保證數據流通性的前提下，是否有必要設置另外的新興權利作為替代方案。學者意識到，應當將數據的可攜帶性視為一種努力目標，并且應當根據不同的情形對數據控制者施加不同的責任。〔70〕參見丁曉東：《論數據攜帶權的屬性、影響與中國應用》，載《法商研究》2020 年第1 期。個人數據攜帶權在執行的過程中必然會提高數據持有企業的運營成本，這對于大型網絡平臺來說可以通過豐富的數據服務予以彌補，但對于中小型企業來說，是一筆不得不考量的運營成本。與此同時，如前所述，個人數據攜帶權存在數據商業價值方面考量不足的缺陷。為此，建議引入歐洲學者提出的原位數據權，對作為中小企業的數據持有人的數據運營成本予以適當的彌補。所謂原位數據權，是指數據主體依法享有的在其數據所在場所使用個人數據的權利。〔71〕See Bertin Martens et al.,Towards Efficient Information Sharing in Network Markets,https://ssrn.com/abstract=3956256,visited on Apr.25,2022.原位數據權的本質是賦予數據主體（包括其授權的數據處理者）隨時在數據持有企業處（即原位）使用數據的權利，它與個人數據攜帶權最大的差別在于，后者通常意味著數據的轉移；前者則無須轉移數據，而可由被授權的數據處理者將算法帶入原位數據并進行數據處理，并且作為授權方的數據主體有權隨時撤回其數據處理授權。原位數據權的價值歸依是數據的可及性。它不僅解決了作為中小企業的數據持有企業的運營成本問題，而且從數據安全的意義上來說有利于避免數據轉移過程中的數據安全風險。我國《個人信息保護法》生效后，可在未來制定我國《個人信息保護法》的實施細則或在行業數據監管辦法中對原位數據權予以確認。

（二）對企業數據獲取“三重授權原則”的調適

1.可識別個人數據的流轉必須經過數據主體同意但并不必然要求數據持有企業同意

可識別的個人數據屬于原始數據，其本質是數據主體的數據。盡管在個人數據的收集過程中，數據持有企業付出了一定的投入和運營成本，但這無法從根本上改變數據的權屬問題。在數據企業之間通過開放公開數據共享模式（Open API）進行數據轉移的場景下，由于個人數據攜帶權的執行以及數據持有企業數據轉移義務的確認，數據法治的核心問題變成如何構建相對合理的利益補償機制。依筆者于本文中提出的設想，即引入原位數據權作為個人數據攜帶權的補充，對于適用個人數據攜帶權的數據持有企業，其數據采集成本將主要由其提供數據服務所得收益予以彌補，在法律上并不單獨為其設計補償機制。這也是目前國際上確認個人數據攜帶權的國家的通行做法。對于尚未明確適用個人數據攜帶權的行業領域，尤其是對于一些中小企業類的數據持有企業，可以通過原位數據權，確認數據獲取企業將算法代入“原位數據”，免除數據持有企業的個人數據轉移義務，從而盡量降低數據持有企業的數據運營成本。這樣，不僅能推動數據要素化的進程，而且能較好地對數據持有企業形成合理的利益補償機制，確保數據法治的正義和公平。

此外，對于通過開放公開數據共享模式獲取數據之外的大量的數據爬取行為，數據獲取方也通常基于“已經獲得用戶授權”這一“正當理由”而證成其行為的合法性。數據爬取行為屬于典型的非基于企業之間合意的數據獲取行為，這種行為在大數據時代具有正當性，其對于加強數據的深度開發利用，促進數據要素化具有重要的法律意義。在數據爬取的情形下，被爬取的個人數據往往屬于已經公開的數據主體的數據，具有公開性、開放性、公共性等特征，這些數據的自由流轉本身即社會化利用的手段之一。因此，作為爬取對象的個人數據，無需數據持有企業的同意，也不必經其授權，不適用企業數據獲取“三重授權原則”。

2.衍生數據的流轉必須經過數據持有企業的同意但并不必然要求數據主體同意

“對告知同意原則的合理限制，不應僅僅滿足于對隱私政策的評估，更需要進行價值層面的衡量并做出執法和司法上的正確判斷。”〔72〕參見張新寶：《個人信息收集：告知同意原則適用的限制》，載《比較法研究》2019 年第6 期。如果過度偏重于個人數據攜帶權而忽視數據持有企業的正當權益，數據持有企業必定失去加強數據服務創新和新產業更新換代的強烈動機，那么，以所謂的保護數據主體之名而展開的數據法治最終也無法促進數據主體的消費福利。尤其是作為經過大量勞動和技術投入而制作的“數據產品”，數據持有企業對衍生數據自然應當享有一定的合法權益。企業數據獲取“三重授權原則”之所以強調數據轉移必須以數據持有企業的同意為前提，其根本考量也是保護數據持有企業的合法權益。

衍生數據有兩種。一種是經過匿名化和高度加密處理的數據，這些數據幾乎完全脫離了個人數據的屬性，是一種真正意義上的“可用不可見”“可控可計量”的數據資源，由于數據持有企業對這些數據資源的采集加工、流轉應用投入了資本和創造性智力勞動，使其成為具有價值創造的數據資產。依據“誰投資誰所有”的原則，其合法權利應當得到法律認可。〔73〕參見童楠楠、竇悅、劉釗因：《中國特色數據要素產權制度體系構建研究》，載《電子政務》2022 年第2 期。對這一類衍生數據，數據中并不存在可見的個人信息，不牽涉數據主體的人格權保護的問題，因此，其流轉也無需要求數據主體同意。當然，從實際操作層面來看，因無法查看個人信息，這些數據的獲取方也不具備征求數據主體同意的客觀條件。對這類衍生數據的流轉不能一成不變地嚴格執行企業數據獲取“三重授權原則”。另一種衍生數據具有典型的“可見”屬性。這些數據也獲得了數據持有企業的大量智力投入，但是數據中的個人信息依然可見，或者其采用的數據加密技術過于簡單而達不到“可用不可見”的技術標準，經過第三方數據獲取企業“去匿名化”處理即可破解。這類衍生數據中的企業數據權利當然應當獲得保護，但數據的轉移必須獲得數據主體的同意，即嚴格執行企業數據獲取“三重授權原則”。

四、結語

隨著大數據技術的迅速發展和普遍運用，傳統的人類社會正在步入一個具有現實性的數字虛擬社會，人們將其稱之為元宇宙。元宇宙的未來發展應將人的生命權、人格尊嚴等人類福祉作為科技活動的底線價值。〔74〕參見張欽昱：《元宇宙的規則之治》，載《東方法學》2022 年第2 期。筆者于本文中探討的個人數據攜帶權和企業數據獲取“三重授權原則”作為大數據法治的重要組成部分自然也不例外。個人數據攜帶權是我國《個人信息保護法》上的一項重要的法定權利，其更加側重于數據主體的數據流動性價值的保護，通過反對數據（平臺）壟斷的辦法，保護大數據時代人之所以為人的基本權利。企業數據獲取“三重授權原則”旨在對數據持有企業的在先數據權益實施法律保護，通過對數據持有企業賦予事實上的控制權力，保障其對數據流轉的決定權。這當然可能對數據獲取企業的數據可得性造成直接影響，并與個人數據攜帶權產生沖突。如何站在整體數據法治的視角對二者予以協調，無疑是數據立法和司法的當代使命。

“在創設個體權利之時，既要考慮所保護的利益之于該個體的價值與意義，同時也應始終將個體權利置于與他人利益、社會利益的平衡與協調之中，這樣的權利創設才能真正發揮作用。”〔75〕參見姚佳：《個人信息主體的權利體系——基于數字時代個體權利的多維觀察》，載《華東政法大學學報》2022 年第2 期。本文的研究表明，一方面，個人數據攜帶權如果直接“全有或者全無”地適用于任何行業，可能對一些初創行業的發展造成障礙，與個人數據攜帶權相伴的數據轉移義務在某些情況下也可能導致數據正義闕如的結果，并且其在具體執行中面臨著數據質量控制和數據安全防范方面的困境；另一方面，對所有數據不加區分地一味堅持企業數據獲取“三重授權原則”，可能對數據產業的良性發展造成阻礙，而其對于個人數據安全風險的防范意義也著實有限。為此，立法或者司法并不能輕率地在個人數據攜帶權和企業數據獲取“三重授權原則”之間“選邊站隊”，而必須在企業數據競爭價值博弈模型中進行個案的價值抉擇與平衡。

對個人數據攜帶權而言，可以從其適用的行業領域、適用的數據對象、通過“數據盜用理論”的反向限制、新興數據權利（原位數據權）的引入與補充適用等方面進行相應的調適，以達到個人數據權利保護和數據公共利益的協調。對企業數據獲取“三重授權原則”而言，重點是區分不同的數據類型來確立數據流通的授權要件，合理協調數據持有企業與數據獲取企業之間的利益及其與整個數據產業競爭的關系。總之，“重保護、輕利用”的數據治理理念會抑制市場活力，在數據競爭糾紛中,必須“從權利侵害判斷范式向行為正當性判斷范式轉化”〔76〕參見仲春、王政宇：《數據不正當競爭糾紛的司法實踐與反思》，載《北京航空航天大學學報（社會科學版）》2021 第1 期。，確保數據私權與產業發展的良性互動。人們還必須意識到，數據安全保護應當是一項綜合性的系統工程，任何一項單純的權利或者司法裁判規則恐怕都無法徑行實現理想的數據安全價值。如何在本文的主題之上繼續探索具有可操作性的數據安全法治，將是又一項重要的課題。