數(shù)據(jù)可攜帶權(quán)的適用邏輯與本土化改造

楊淳瀟

（西南政法大學 民商法學院，重慶 401120）

一、問題的提出

在大數(shù)據(jù)時代，個人數(shù)據(jù)不僅是自然人人格的電子化表達，還是影響數(shù)據(jù)市場競爭的核心要素。人工智能技術(shù)與云算法的高速發(fā)展讓數(shù)據(jù)擁有了更大的商業(yè)價值，也催生出更迫切的個人數(shù)據(jù)保護需求。歐盟《通用數(shù)據(jù)保護條例》（以下簡稱GDPR）作為一部專門保護自然人數(shù)據(jù)權(quán)利的法律，其中第20條規(guī)定了數(shù)據(jù)可攜帶權(quán)。歐盟期望通過該權(quán)利強化數(shù)據(jù)主體對個人數(shù)據(jù)的控制力，并促進數(shù)據(jù)流通。《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）引入了數(shù)據(jù)可攜帶權(quán)，但該權(quán)利的本土化進程仍處于摸索階段。國內(nèi)學界對于數(shù)據(jù)可攜帶權(quán)的研究集中于該權(quán)利的法律性質(zhì)、本土化的必要性以及引入模式，相較于域外對數(shù)據(jù)可攜帶權(quán)的研究而言，我國目前的研究角度較為單一，對該權(quán)利本土化改造路徑的研究有待深入。例如，數(shù)據(jù)可攜帶權(quán)的實施困境以及本土化改造問題仍值得挖掘?；诖?，本文試圖明晰數(shù)據(jù)可攜帶權(quán)的適用邏輯與實施困境，提出本土化的改造方案，以期為我國的數(shù)據(jù)權(quán)利保護提供參考。

二、數(shù)據(jù)可攜帶權(quán)的邏輯起點

作為舶來品，源于GDPR的數(shù)據(jù)可攜帶權(quán)自賦權(quán)之初，不僅強化個人對數(shù)據(jù)的控制，還能消除數(shù)據(jù)的“鎖定效應(yīng)”，促進競爭，意義深遠。

（一）數(shù)據(jù)可攜帶權(quán)的概念內(nèi)涵

數(shù)據(jù)可攜帶權(quán)的理論支撐可以追溯至“信息自決權(quán)”理論，即個人信息主體有權(quán)決定個人信息的公開與否、以何種程度公開以及決定個人信息的用途［1］。從該理論可以提煉出數(shù)據(jù)主體享有對其個人數(shù)據(jù)的使用、控制、決定的權(quán)利，這與數(shù)據(jù)可攜帶權(quán)的內(nèi)涵相符。數(shù)據(jù)可攜帶權(quán)正式被納入法律規(guī)范可以追溯至GDPR第20條第1款，即數(shù)據(jù)主體有權(quán)獲取“經(jīng)過整理的、普遍使用的和機器可讀的”的個人數(shù)據(jù)，有權(quán)“無障礙地將此類數(shù)據(jù)從收集其數(shù)據(jù)的控制者那里傳輸給其他控制者”［2］。從該條款中可以得出，個人數(shù)據(jù)是數(shù)據(jù)可攜帶權(quán)的調(diào)整對象。GDPR第4條將個人數(shù)據(jù)定義為任何指向一個已識別或可識別的自然人（數(shù)據(jù)主體）的信息?！秱€人信息保護法》第45 條第3 款規(guī)定了，在符合國家網(wǎng)信部門規(guī)定條件的情況下，個人有請求個人信息處理者將個人信息轉(zhuǎn)移至指定的個人信息處理者的權(quán)利［3］?；诖?，數(shù)據(jù)可攜帶權(quán)的概念可以被界定為：一項用戶出于合法正當?shù)膫鬏斈康?，請求?shù)據(jù)控制者將相關(guān)個人數(shù)據(jù)傳輸至用戶指定的另一數(shù)據(jù)控制者的權(quán)利。

（二）數(shù)據(jù)可攜帶權(quán)的賦權(quán)價值

1.強化個人對數(shù)據(jù)的控制

個人數(shù)據(jù)自由流動固然提升了交易效率，但信息壁壘與算法黑箱的存在使得公民難以完全掌控數(shù)據(jù)流向。在GDPR之前，數(shù)據(jù)可攜帶權(quán)并未被明確規(guī)定在個人數(shù)據(jù)權(quán)利中，數(shù)據(jù)主體在個人數(shù)據(jù)傳輸和處理中的參與度不高，較難發(fā)揮主觀能動性，淪為任由數(shù)據(jù)控制者操縱的客體。隨著網(wǎng)絡(luò)通信和算法的發(fā)展以及世界各國對數(shù)據(jù)可攜帶權(quán)的關(guān)注，該權(quán)利首次被明確規(guī)定在GDPR 第三章“數(shù)據(jù)主體的權(quán)利”之下，其應(yīng)當符合GDPR的主要目標，即保護自然人享有的個人數(shù)據(jù)權(quán)利。數(shù)據(jù)可攜帶權(quán)確保數(shù)據(jù)主體有權(quán)將個人數(shù)據(jù)攜帶至另一數(shù)據(jù)控制者，緩解數(shù)據(jù)主體與數(shù)據(jù)控制者之間的權(quán)利失衡，使得數(shù)據(jù)主體能夠更好地控制其個人數(shù)據(jù)的流向，實現(xiàn)用戶個人對數(shù)據(jù)的自主支配。這不僅使數(shù)據(jù)控制者獲取、存儲、傳輸、處理數(shù)據(jù)的過程更加透明，也彰顯了對數(shù)據(jù)主體人格尊嚴和主體性意志的尊重與認可。

2.消除數(shù)據(jù)“鎖定效應(yīng)”，促進競爭

在大數(shù)據(jù)時代，互聯(lián)網(wǎng)企業(yè)的蓬勃發(fā)展需要算法不斷升級換代，而算法的迭代更新離不開海量的數(shù)據(jù)資源。大型互聯(lián)網(wǎng)企業(yè)擁有更雄厚的財力與更精準的算法，因而用戶更愿意將個人數(shù)據(jù)提供給它們。由此，它們往往擁有更龐大的數(shù)據(jù)存量，并設(shè)置各種壁壘，防止用戶轉(zhuǎn)移數(shù)據(jù)，這極易形成數(shù)據(jù)“鎖定效應(yīng)”，妨礙公平競爭。數(shù)據(jù)“鎖定效應(yīng)”是指用戶依賴單一的數(shù)據(jù)控制者，由其固定且長期地為用戶提供同類服務(wù)，并且由于轉(zhuǎn)換成本較高或缺乏相應(yīng)途徑，用戶難以將數(shù)據(jù)轉(zhuǎn)移至其他數(shù)據(jù)控制者。大型互聯(lián)網(wǎng)企業(yè)正是通過大量收集用戶個人數(shù)據(jù)，使得用戶黏性極高，從而也使自身贏得穩(wěn)固的競爭優(yōu)勢。數(shù)據(jù)可攜帶權(quán)在這樣的背景下應(yīng)運而生，不僅讓用戶個人有權(quán)決定數(shù)據(jù)的傳輸，而且較大程度地消除了數(shù)據(jù)自由傳輸?shù)姆潜匾系K，從而消除數(shù)據(jù)“鎖定效應(yīng)”，促進公平競爭［4］。

3.增加個體選擇，提升消費者福利

數(shù)據(jù)可攜帶權(quán)讓用戶數(shù)據(jù)能夠自由流動，數(shù)據(jù)傳輸?shù)闹鲃訖?quán)也因此交到了用戶手中。同時，數(shù)據(jù)控制者負有提供數(shù)據(jù)轉(zhuǎn)移渠道的義務(wù)，中小型企業(yè)獲取更多數(shù)據(jù)資源的同時也降低了用戶更換數(shù)據(jù)控制者的成本。由于用戶可以選擇不同的數(shù)據(jù)控制者，企業(yè)在競爭加劇的情況下需提高自身服務(wù)水平才能留住或吸引用戶。隨著企業(yè)服務(wù)水平的提高，用戶能夠通過比較，在不同企業(yè)提供的同類服務(wù)中選擇成本更低或體驗更好的服務(wù)。由此可見，數(shù)據(jù)可攜帶權(quán)讓用戶數(shù)據(jù)從單一平臺的“鎖定效應(yīng)”中解放出來，通過降低轉(zhuǎn)換成本，讓中小型企業(yè)能夠有渠道獲取更多的數(shù)據(jù)資源，并為用戶提供更多元化、更優(yōu)質(zhì)的服務(wù)，從而增加個體選擇，提升消費者福利。

三、數(shù)據(jù)可攜帶權(quán)的實施困境

數(shù)據(jù)可攜帶權(quán)的引入固然有利于強化我國用戶對個人數(shù)據(jù)的控制和促進國內(nèi)數(shù)據(jù)市場公平競爭，但在權(quán)利引入的過程中也存在“水土不服”的實施困境，典型表現(xiàn)為數(shù)據(jù)可攜帶權(quán)的法權(quán)屬性存有爭議、權(quán)利結(jié)構(gòu)尚不清晰、與其他權(quán)益存在沖突以及責任機制亟待完善。

（一）數(shù)據(jù)可攜帶權(quán)的法權(quán)屬性存疑

數(shù)據(jù)可攜帶權(quán)法律屬性的界定是適用和保護該權(quán)利的基礎(chǔ)。GDPR 將個人數(shù)據(jù)權(quán)利通過立法的形式上升為“基本權(quán)利”，但將數(shù)據(jù)可攜帶權(quán)作為基本人權(quán)保護并未得到廣泛認可。我國《民法典》第127 條規(guī)定了對數(shù)據(jù)、網(wǎng)絡(luò)虛擬財產(chǎn)的保護，但這一宣示性條文并未明確個人數(shù)據(jù)權(quán)利的法律性質(zhì)?！秱€人信息保護法》第45條第3款僅僅停留在概念性表述，仍沒有解答數(shù)據(jù)可攜帶權(quán)的法律屬性問題。學術(shù)界關(guān)于數(shù)據(jù)可攜帶權(quán)的法律屬性主要有三種觀點：“人格權(quán)說”“財產(chǎn)權(quán)說”與兼具多重權(quán)利屬性的“新型權(quán)利說”?！叭烁駲?quán)說”從個人信息保護的角度出發(fā)，認為數(shù)據(jù)的本質(zhì)是數(shù)據(jù)主體的電子化表達，反映著數(shù)據(jù)主體的人格利益［5］?！柏敭a(chǎn)權(quán)說”從數(shù)據(jù)商業(yè)利用的角度出發(fā)，認為數(shù)據(jù)具備經(jīng)濟價值，數(shù)據(jù)主體可以提供個人數(shù)據(jù)給他人而獲取對價［6］?！靶滦蜋?quán)利說”主張數(shù)據(jù)可攜帶權(quán)兼具人格權(quán)屬性與財產(chǎn)權(quán)屬性，需要構(gòu)建多元保護機制［7］。當前我國制定法缺乏對數(shù)據(jù)可攜帶權(quán)法律屬性的規(guī)定，這不僅加重了司法裁判的負擔，而且弱化了對個人數(shù)據(jù)的保護力度。因此，如何界定數(shù)據(jù)可攜帶權(quán)的法權(quán)屬性是當下亟待解決的問題。

（二）數(shù)據(jù)可攜帶權(quán)的權(quán)利結(jié)構(gòu)尚不清晰

首先，就權(quán)利主體而言，企業(yè)賦權(quán)依據(jù)存疑。目前，學界認為數(shù)據(jù)可攜帶權(quán)的權(quán)利主體應(yīng)限定為自然人。因為自然人處于弱勢地位，與企業(yè)、政府等主體相比在經(jīng)濟實力、信息獲取能力等方面有較大差距，應(yīng)當加強保護。并且，將權(quán)利主體限定為自然人被認為是一種較為緩和的權(quán)利本土化路徑。然而在實踐中，中小型企業(yè)也有攜帶數(shù)據(jù)的需求。例如，入駐多個網(wǎng)絡(luò)平臺銷售商品或提供服務(wù)的中小型企業(yè)就有將記載在A平臺上的信用等級、交易記錄、用戶評價等數(shù)據(jù)轉(zhuǎn)移至B 平臺的現(xiàn)實需求。如果一刀切地排除中小型企業(yè)成為權(quán)利主體，有可能會與該權(quán)利打破壟斷、促進競爭、推動創(chuàng)新的目的背道而馳。因此，是否可以在區(qū)分企業(yè)規(guī)模并采取合理限制的情況下，將中小型企業(yè)納入數(shù)據(jù)可攜帶權(quán)權(quán)利主體的范圍，是該權(quán)利本土化進程中值得思考的問題。

其次，就義務(wù)主體而言，數(shù)據(jù)控制者的類型有待細分。GDPR第4條未區(qū)分數(shù)據(jù)控制者的類型和規(guī)模?！秱€人信息保護法》第45條第3款強調(diào)只要符合國家網(wǎng)信部門規(guī)定條件，所有個人信息處理者都有義務(wù)提供轉(zhuǎn)移個人信息的途徑。然而，數(shù)據(jù)控制者需在數(shù)據(jù)傳輸技術(shù)、數(shù)據(jù)安全保障等方面投入大量資金和人力才能滿足數(shù)據(jù)可攜帶的要求。并且，龍頭企業(yè)比中小型企業(yè)對數(shù)據(jù)主體的吸引力和鎖定力更強，數(shù)據(jù)主體向龍頭企業(yè)轉(zhuǎn)移數(shù)據(jù)的意愿更強烈，數(shù)據(jù)的“鎖定效應(yīng)”更明顯。由此可見，要求不同規(guī)模的企業(yè)負擔同等的義務(wù)，會使得中小型企業(yè)的合規(guī)成本和經(jīng)營負擔增加，并且可能加速數(shù)據(jù)流向大型企業(yè)，這反而將成為中小型企業(yè)在市場中成長發(fā)展和參與公平競爭的一大阻礙。在數(shù)據(jù)可攜帶權(quán)本土化的過程中，如何調(diào)整義務(wù)主體類型有待討論。

再次，就權(quán)利客體而言，數(shù)據(jù)可攜帶的范圍存疑。數(shù)據(jù)可攜帶的范圍過窄可能會使強化個人對數(shù)據(jù)的控制力的權(quán)利目標落空，范圍過寬可能導致權(quán)利被濫用。因此，如何界定數(shù)據(jù)可攜帶權(quán)的權(quán)利客體范圍至關(guān)重要。GDPR 明確數(shù)據(jù)可攜帶權(quán)的權(quán)利客體為個人數(shù)據(jù)，即任何已被識別或可被識別的自然人的相關(guān)信息。由此可見，攜帶的數(shù)據(jù)需要具備能夠識別出特定自然人的特性，例如自然人的身份證件信息、家庭住址、郵箱地址等。然而，僅僅明確權(quán)利客體為個人數(shù)據(jù)尚不能確定數(shù)據(jù)可攜帶的范圍，還需要進一步對個人數(shù)據(jù)進行分類。目前學界對攜帶原始數(shù)據(jù)并無爭議，但對觀測數(shù)據(jù)與演繹數(shù)據(jù)能否被納入數(shù)據(jù)可攜帶權(quán)的范圍仍然存疑。

最后，就義務(wù)內(nèi)容而言，數(shù)據(jù)可攜帶權(quán)對應(yīng)的義務(wù)邊界有待厘清。GDPR 第25 條規(guī)定了數(shù)據(jù)控制者應(yīng)當綜合考慮實施成本、處理范圍、處理目的等多項要素，采取合適的技術(shù)與組織措施處理數(shù)據(jù)。《個人信息保護法》也專章規(guī)定了個人信息處理者的義務(wù)，其中包括合法處理數(shù)據(jù)、保障數(shù)據(jù)安全、提供必要信息、事前評估風險、數(shù)據(jù)泄露通知等義務(wù)。目前，國內(nèi)外對于數(shù)據(jù)控制者的義務(wù)規(guī)定仍比較寬泛，缺乏針對性設(shè)計［8］。盡數(shù)列舉受保障的數(shù)據(jù)法益并不現(xiàn)實，只有厘清數(shù)據(jù)可攜帶權(quán)的義務(wù)邊界，明確數(shù)據(jù)控制者從收到攜帶請求到完成數(shù)據(jù)轉(zhuǎn)移的各階段義務(wù)，才是數(shù)據(jù)可攜帶權(quán)本土化更為理想的路徑。

（三）數(shù)據(jù)可攜帶權(quán)與其他權(quán)益的沖突

1.侵害第三人合法權(quán)益

GDPR 第20 條第4 款規(guī)定了行使數(shù)據(jù)可攜帶權(quán)的限制，即不得對他人的權(quán)利和自由產(chǎn)生負面影響。但實際上，被攜帶的數(shù)據(jù)往往不僅涉及請求行使該權(quán)利的用戶個人，也可能影響第三人權(quán)益。例如，用戶有權(quán)請求在不同平臺之間無障礙地傳輸其主動上傳至平臺的照片、視頻等數(shù)據(jù)。但是，傳輸此類數(shù)據(jù)未經(jīng)第三方許可，可能對第三方的肖像、隱私等合法權(quán)益造成潛在威脅［9］。此外，用戶手機內(nèi)的通話記錄、聊天記錄、郵件往來記錄等信息屬于用戶所有，但也不可避免地與眾多第三方相關(guān)聯(lián)。在此情況下，第三人由于沒有渠道了解與其相關(guān)的數(shù)據(jù)正在或已經(jīng)被轉(zhuǎn)移，其合法權(quán)益有很大概率遭到侵害。這種侵害將導致第三人個人信息的不當泄露，例如電話號碼被數(shù)據(jù)控制者獲取，進而向第三人發(fā)送騷擾信息，甚至可能在未經(jīng)第三人許可的情況下利用大數(shù)據(jù)分析其個人信息，然后提供針對性的營銷服務(wù)。

2.與公共利益發(fā)生沖突

數(shù)據(jù)可攜帶權(quán)的行使可能侵害第三人的合法權(quán)益，也可能涉及公共利益和數(shù)據(jù)主體個人權(quán)益的價值沖突［10］。攜帶的數(shù)據(jù)除了包含用戶的個人信息，還可能涉及公共利益和國家機密，如果企業(yè)獲取到這些核心數(shù)據(jù)并分析處理，就可能了解到社會動態(tài)、國家經(jīng)濟運行狀況、公共衛(wèi)生安全等重要信息［11］。一旦核心數(shù)據(jù)被非法跨境傳輸或泄露、毀損，將對國家安全與公共利益造成極大的損害。例如，自然人的犯罪記錄、行政處罰記錄等產(chǎn)生的數(shù)據(jù)既關(guān)乎自然人的基本人權(quán)，也關(guān)系著公眾的知情權(quán)與社會安寧。再比如，單個自然人的醫(yī)療記錄、基因信息等數(shù)據(jù)屬于個人隱私數(shù)據(jù)，但大量的基因數(shù)據(jù)集合之后就構(gòu)成了人類繁衍和遺傳的重要數(shù)據(jù)資源，需要對這類數(shù)據(jù)的攜帶進行必要的限制，否則可能引發(fā)個人權(quán)益與公共利益之間的矛盾與爭議。

（四）數(shù)據(jù)可攜帶權(quán)的責任機制不完善

1.責任主體范圍缺乏場景化區(qū)分

數(shù)據(jù)可攜帶權(quán)的行使涉及多方主體，其中包括數(shù)據(jù)主體、數(shù)據(jù)控制者、數(shù)據(jù)處理者、數(shù)據(jù)接收者。數(shù)據(jù)可攜帶權(quán)的行使是數(shù)據(jù)控制者（處理者）基于數(shù)據(jù)主體的請求將個人數(shù)據(jù)轉(zhuǎn)移至數(shù)據(jù)接收者，這個過程可以被劃分為多個具體化場景。例如，在轉(zhuǎn)移數(shù)據(jù)的場景中，數(shù)據(jù)控制者既可能是數(shù)據(jù)處理者本身，也可能是決定將數(shù)據(jù)處理委托給他人操作的委托人。如果是后者，在數(shù)據(jù)轉(zhuǎn)移過程中發(fā)生數(shù)據(jù)泄露、毀損等安全問題，對數(shù)據(jù)主體承擔最終責任的究竟是數(shù)據(jù)控制者還是數(shù)據(jù)處理者？并且，數(shù)據(jù)主體與數(shù)據(jù)接收者在什么場景下會被納入責任主體的范疇仍需要進一步討論。

2.過錯判定標準有待明確

行使數(shù)據(jù)可攜帶權(quán)可能出現(xiàn)數(shù)據(jù)控制者無故拒絕數(shù)據(jù)主體的合理請求、個人數(shù)據(jù)遭遇泄露或毀損、被攜帶的數(shù)據(jù)侵犯他人合法權(quán)益或公共利益等多種侵權(quán)情形，故而侵權(quán)責任承擔機制的重要性不言而喻。根據(jù)《民法典》第1165 條，適用過錯推定責任依據(jù)法律的明確規(guī)定。《個人信息保護法》第69 條對處理個人信息造成個人信息權(quán)益損害的，規(guī)定適用過錯推定責任。因此，在攜帶過程中若數(shù)據(jù)權(quán)益受損，需要由數(shù)據(jù)控制者證明對損害的發(fā)生沒有過錯。這主要是為了彌合用戶與數(shù)據(jù)控制者之間的信息鴻溝，傳統(tǒng)的“誰主張，誰舉證”的規(guī)則會加大用戶的舉證成本，無法滿足用戶維權(quán)的訴訟需求。適用過錯推定責任的確能在一定程度上縮小數(shù)據(jù)主體與數(shù)據(jù)控制者之間在維權(quán)成本、舉證能力等方面的差距，但如何認定數(shù)據(jù)控制者構(gòu)成過錯，仍缺乏明確標準。

四、數(shù)據(jù)可攜帶權(quán)的本土化改造

數(shù)據(jù)可攜帶權(quán)的本土化進程中存在上述諸多實施困境，亟待制定針對性的本土化改造方案。只有合理制定本土化改造方案，才能讓數(shù)據(jù)可攜帶權(quán)真正扎根于我國的法律土壤中。

（一）明確數(shù)據(jù)可攜帶權(quán)兼具雙重權(quán)利屬性

如前所述，學界對于數(shù)據(jù)可攜帶權(quán)法權(quán)屬性的界定主要有三種觀點，分別為“人格權(quán)說”“財產(chǎn)權(quán)說”“新型權(quán)利說”。本文認為，不能將數(shù)據(jù)可攜帶權(quán)簡單地歸于某一權(quán)利類屬中，其應(yīng)當是一種兼具人格利益與財產(chǎn)利益的復(fù)合型權(quán)利。

首先，數(shù)據(jù)可攜帶權(quán)不能被視為是純粹的人格權(quán)。雖然其具有類似于人格權(quán)的人身專屬性和人身依附性，但數(shù)據(jù)主體對個人數(shù)據(jù)享有的權(quán)利有限，主要體現(xiàn)在權(quán)利救濟方面。《個人信息保護法》以承擔損害賠償?shù)那謾?quán)責任來救濟個人信息權(quán)益，而《民法典》則通過人格權(quán)、請求權(quán)這種絕對權(quán)保護模式來救濟人格權(quán)。由此可見，雖然數(shù)據(jù)可攜帶權(quán)依法受到保護，但其保護強度遠遠不及人格權(quán)。

其次，數(shù)據(jù)可攜帶權(quán)不同于傳統(tǒng)財產(chǎn)權(quán)。財產(chǎn)權(quán)是能夠直接體現(xiàn)財產(chǎn)利益的民事權(quán)利，一般具有可讓與性。盡管數(shù)據(jù)和網(wǎng)絡(luò)虛擬財產(chǎn)在《民法典》第127條中得到并列保護，認可了數(shù)據(jù)具有類似于虛擬財產(chǎn)的財產(chǎn)價值，但只有形成數(shù)據(jù)集合才具備商業(yè)價值。并且，數(shù)據(jù)可攜帶權(quán)側(cè)重保護自然人人格利益。再者，數(shù)據(jù)可攜帶權(quán)不可轉(zhuǎn)讓給他人行使，不具備可讓與性。因此，不能將其簡單置于財產(chǎn)權(quán)體系中。

最后，數(shù)據(jù)可攜帶權(quán)兼具人格屬性與財產(chǎn)屬性。一項權(quán)利的法律屬性由該權(quán)利客體的性質(zhì)所決定。數(shù)據(jù)可攜帶權(quán)的權(quán)利客體是個人數(shù)據(jù)，個人數(shù)據(jù)能夠識別出特定的自然人。這些數(shù)據(jù)可以被認定為數(shù)據(jù)主體生物信息與人格特征的電子化表達，是自然人人格權(quán)益擴張的產(chǎn)物。與此同時，平臺分析處理個人數(shù)據(jù)，進而產(chǎn)出商業(yè)利益，這一過程使得個人數(shù)據(jù)具備了財產(chǎn)價值。當財產(chǎn)價值有限的個人數(shù)據(jù)被收集整合成為群體數(shù)據(jù)時，就具有了極高的商業(yè)價值，進而成為互聯(lián)網(wǎng)企業(yè)在商業(yè)競爭中脫穎而出的關(guān)鍵因素。

綜上，數(shù)據(jù)可攜帶權(quán)與人格權(quán)、財產(chǎn)權(quán)當中的特征有所重疊但又不盡相同，并且人格利益和財產(chǎn)利益的占比也并不對等。因此，應(yīng)當將數(shù)據(jù)可攜帶權(quán)的法權(quán)屬性界定為兼具雙重屬性的復(fù)合型權(quán)利。這既有利于彌補具體人格權(quán)的局限性，也有利于發(fā)揮數(shù)據(jù)的商業(yè)價值。當數(shù)據(jù)可攜帶權(quán)遭到侵害時，根據(jù)具體情況采取不同的救濟路徑才有可能實現(xiàn)更為全面的保護。

（二）厘清數(shù)據(jù)可攜帶權(quán)的權(quán)利結(jié)構(gòu)

1.權(quán)利主體：自然人與中小型企業(yè)

GDPR 將數(shù)據(jù)可攜帶權(quán)的權(quán)利主體限定為自然人，《個人信息保護法》也明確保護自然人的個人信息。但本文認為，將中小型企業(yè)納入數(shù)據(jù)可攜帶權(quán)的權(quán)利主體，有助于回應(yīng)現(xiàn)實需要和維護數(shù)據(jù)市場內(nèi)的公平競爭。一方面，用戶提供的評價、商家信用等級、成交次數(shù)等數(shù)據(jù)對于中小型企業(yè)的發(fā)展至關(guān)重要，如果不能攜帶，就需要重新建立用戶信賴，對中小型企業(yè)來說不僅消耗時間成本，還要投入巨額資金。另一方面，中小型企業(yè)由于進入市場年限短，不具備競爭優(yōu)勢，海量的數(shù)據(jù)源源不斷地流向大型企業(yè)，形成數(shù)據(jù)“鎖定效應(yīng)”。如果能夠區(qū)分企業(yè)規(guī)模，賦予中小型企業(yè)數(shù)據(jù)可攜帶權(quán)，有助于打破數(shù)據(jù)寡頭壟斷，促進數(shù)據(jù)流通共享［12］。

2.義務(wù)主體：排除中小型企業(yè)的“提供”義務(wù)

GDPR 對數(shù)據(jù)控制者不區(qū)分類型和規(guī)模，《個人信息保護法》也并未對數(shù)據(jù)可攜帶權(quán)的義務(wù)主體進行精細化區(qū)分。本文認為，應(yīng)排除中小型企業(yè)作為數(shù)據(jù)可攜帶權(quán)的義務(wù)主體。如前所述，大型企業(yè)占據(jù)數(shù)據(jù)市場壟斷地位，其在資金、人力、技術(shù)等方面有充足優(yōu)勢，具備更雄厚的實力，能夠滿足數(shù)據(jù)轉(zhuǎn)移要求。簡言之，大型企業(yè)有能力應(yīng)對新的合規(guī)要求與合規(guī)壓力。但中小型企業(yè)剛剛立足市場，要求他們短期內(nèi)與雄踞多年的大型企業(yè)承擔同等義務(wù)并不具備可操作性。如果強制要求中小型企業(yè)滿足數(shù)據(jù)傳輸技術(shù)條件，會加大其經(jīng)營負擔與合規(guī)成本，削弱其經(jīng)濟實力，令其困于競爭劣勢。因此，本文認為在數(shù)據(jù)可攜帶權(quán)本土化進程初期將中小型企業(yè)排除在義務(wù)主體之外是恰當?shù)摹?/p>

3.權(quán)利客體：允許攜帶原始數(shù)據(jù)與觀測數(shù)據(jù)

根據(jù)GDPR第20條第1款，被攜帶的個人數(shù)據(jù)需要滿足兩點：一是與數(shù)據(jù)主體相關(guān)的個人數(shù)據(jù)，二是由數(shù)據(jù)主體提供給數(shù)據(jù)控制者的個人數(shù)據(jù)。第一點排除了匿名數(shù)據(jù)和與數(shù)據(jù)主體無關(guān)的數(shù)據(jù)［13］。第二點中的“提供”有三層含義，一是主動提供的原始數(shù)據(jù)，二是通過使用設(shè)備或接受服務(wù)被動提供的觀測數(shù)據(jù)，三是基于同意或合同提供的數(shù)據(jù)。除了原始數(shù)據(jù)與觀測數(shù)據(jù)，還有數(shù)據(jù)控制者利用技術(shù)手段處理形成的演繹數(shù)據(jù)。本文認為，應(yīng)當允許攜帶原始數(shù)據(jù)與觀測數(shù)據(jù)，而將演繹數(shù)據(jù)排除。理由在于：原始數(shù)據(jù)與數(shù)據(jù)主體密不可分，其脫離了數(shù)據(jù)主體就失去了存在的意義，理應(yīng)被納入攜帶范圍。觀測數(shù)據(jù)是數(shù)據(jù)主體在日?；顒又斜蛔詣佑涗浵聛淼膫€人數(shù)據(jù)，如網(wǎng)站瀏覽記錄、運動數(shù)據(jù)、位置數(shù)據(jù)等。這些數(shù)據(jù)是基于數(shù)據(jù)主體行為產(chǎn)生的，數(shù)據(jù)控制者并不需要投入過多技術(shù)與資金。演繹數(shù)據(jù)是數(shù)據(jù)控制者投入大量的人力、物力與財力開發(fā)的產(chǎn)物，應(yīng)當限制數(shù)據(jù)主體攜帶演繹數(shù)據(jù)，保護數(shù)據(jù)控制者的合法權(quán)益，從而實現(xiàn)二者在利益上的平衡。

4.義務(wù)內(nèi)容：細化數(shù)據(jù)控制者的階段性義務(wù)

國內(nèi)外要求數(shù)據(jù)控制者負擔的義務(wù)多停留在宏觀層面，難以針對性地規(guī)制義務(wù)主體的行為。因此，應(yīng)明確數(shù)據(jù)控制者從收到數(shù)據(jù)攜帶請求到成功轉(zhuǎn)移數(shù)據(jù)的各階段義務(wù)。首先，收到數(shù)據(jù)主體提出的攜帶請求時，數(shù)據(jù)控制者需核驗身份并建立“多要素核驗”機制?；谄胶鈹?shù)據(jù)安全與數(shù)據(jù)控制者合規(guī)負擔，可以僅在請求轉(zhuǎn)移敏感數(shù)據(jù)時才啟動該機制。“多要素”可以包括人臉識別、短信驗證碼確認、電子郵件安全提醒等，這些程序能在一定程度上防范數(shù)據(jù)泄露風險并減少身份冒用行為的發(fā)生［14］。其次，在轉(zhuǎn)移數(shù)據(jù)時，數(shù)據(jù)控制者需確保將數(shù)據(jù)轉(zhuǎn)移至指定接收者并對敏感數(shù)據(jù)加密處理。最后，數(shù)據(jù)接收者成為新的數(shù)據(jù)控制者，需合理存儲數(shù)據(jù)并且未經(jīng)授權(quán)不得處理數(shù)據(jù)，否則將承擔侵權(quán)責任。

（三）數(shù)據(jù)可攜帶權(quán)行權(quán)配套機制

1.第三人的有限容忍義務(wù)

數(shù)據(jù)主體攜帶涉他數(shù)據(jù)時，可能導致第三方信息泄露，但單純攜帶并不一定侵犯第三方隱私、肖像等權(quán)益。我國《民法典》第1032 條第2 款明確規(guī)定隱私具有不被他人知曉的私密性，如果涉他數(shù)據(jù)只在機器中傳輸和存儲，不被公眾知曉，則不涉及侵犯第三人隱私。本文認為，第三人負有有限的容忍義務(wù)，不必每次征求第三人同意攜帶涉他數(shù)據(jù)，否則將會極大地打擊數(shù)據(jù)主體轉(zhuǎn)移數(shù)據(jù)的積極性，也會增加數(shù)據(jù)轉(zhuǎn)移的成本和負擔。數(shù)據(jù)可攜帶權(quán)是每個用戶主體享有的權(quán)利，每個用戶主體都對數(shù)據(jù)攜帶行為有合理期待，因為其本人也可能在某一時刻提出攜帶涉他數(shù)據(jù)的請求［15］。例如，用戶個人可能會在某平臺上傳畢業(yè)照等集體照，照片中的第三人應(yīng)當意識到該照片有可能在網(wǎng)絡(luò)中傳播，用戶個人對該類照片享有一定范圍內(nèi)的合理使用權(quán)。因此，如果數(shù)據(jù)主體出于正當目的提出攜帶請求，那么無須經(jīng)過第三人的同意。相反，數(shù)據(jù)接收者若想要利用第三人數(shù)據(jù)以實現(xiàn)商業(yè)化目的則需尊重第三人的知情同意權(quán)，否則需承擔侵權(quán)責任。

2.加強數(shù)據(jù)可攜帶權(quán)的外部監(jiān)管

實現(xiàn)權(quán)利需要有效的監(jiān)管機制。我國現(xiàn)有的個人數(shù)據(jù)保護規(guī)定散見于各部門法中，缺乏完備科學的數(shù)據(jù)可攜帶權(quán)的監(jiān)管制度。本文認為，可以從三方面著手：首先，構(gòu)建分級數(shù)據(jù)監(jiān)管機構(gòu)。國家級監(jiān)管機構(gòu)是數(shù)據(jù)監(jiān)管的最高機構(gòu)，省級監(jiān)管機構(gòu)負責解讀政策文件并對市級工作進行監(jiān)督，市級監(jiān)管機構(gòu)則具體監(jiān)督本地區(qū)中各企業(yè)的數(shù)據(jù)獲取、存儲、傳輸、處理等行為是否合法合規(guī)。其次，加強數(shù)據(jù)傳輸前后期監(jiān)管。一方面，監(jiān)管機構(gòu)需要審查數(shù)據(jù)控制者是否在用戶知情同意的情況下獲取用戶數(shù)據(jù)，并是否按照用戶請求和數(shù)據(jù)類型進行數(shù)據(jù)整理。另一方面，監(jiān)管機構(gòu)應(yīng)注重審查數(shù)據(jù)控制者的傳輸方式是否合理、傳輸渠道是否安全、是否對敏感數(shù)據(jù)進行加密處理等。最后，優(yōu)化數(shù)據(jù)監(jiān)管方式。各級監(jiān)管機構(gòu)設(shè)立內(nèi)部評價機制，加強監(jiān)管機構(gòu)自身建設(shè)，強化各級監(jiān)管機構(gòu)內(nèi)部合作與交流，以實現(xiàn)監(jiān)管機構(gòu)自身用權(quán)受監(jiān)督、違法必追究。

（四）完善數(shù)據(jù)可攜帶權(quán)的責任機制

1.區(qū)分場景界定責任主體范圍

《個人信息保護法》第69條只規(guī)定了個人信息處理者的侵權(quán)責任，但權(quán)利的實現(xiàn)需要多方主體的配合。本文認為，可將數(shù)據(jù)可攜帶權(quán)的實現(xiàn)劃分為“提出請求——數(shù)據(jù)轉(zhuǎn)移——數(shù)據(jù)接收”三個場景，在不同場景下界定責任主體范圍能實現(xiàn)更精準的救濟。首先，數(shù)據(jù)控制者無故拒絕數(shù)據(jù)主體提出的合理攜帶請求時，數(shù)據(jù)主體可以基于請求權(quán)競合主張數(shù)據(jù)控制者的違約責任或侵權(quán)責任。其次，在數(shù)據(jù)轉(zhuǎn)移過程中發(fā)生數(shù)據(jù)安全問題，數(shù)據(jù)控制者應(yīng)承擔侵權(quán)責任。若數(shù)據(jù)控制者將數(shù)據(jù)處理事項委托給他人操作，數(shù)據(jù)控制者應(yīng)對數(shù)據(jù)主體承擔最終責任。數(shù)據(jù)控制者對數(shù)據(jù)主體承擔侵權(quán)責任后可以向受托方追償并請求其承擔相應(yīng)的違約責任。最后，數(shù)據(jù)接收者有義務(wù)對接收到的數(shù)據(jù)采取恰當?shù)谋Ｗo措施，并且在未經(jīng)許可前，不能對數(shù)據(jù)進行分析與處理。數(shù)據(jù)接收者違反上述義務(wù)導致數(shù)據(jù)主體合法權(quán)益受到侵害，應(yīng)承擔相應(yīng)的侵權(quán)責任。至于數(shù)據(jù)主體承擔侵權(quán)責任的情形，應(yīng)是其明知攜帶某數(shù)據(jù)會損害第三人合法權(quán)益或公共利益，但仍要求轉(zhuǎn)移該數(shù)據(jù)并因此造成了相應(yīng)的損害后果。

2.明確判定過錯的證明標準

數(shù)據(jù)主體相對于數(shù)據(jù)控制者而言處于弱勢地位，二者在舉證能力、維權(quán)成本上都存在較大懸殊，需要加以平衡?；诠皆瓌t，《個人信息保護法》第69 條采用了過錯推定責任，由數(shù)據(jù)控制者舉證證明自己對損害的發(fā)生不存在過錯。雖然歸責原則得以明晰，但并未明確判定過錯的證明標準。就此，本文認為，可以從《民法典》人格權(quán)編對個人信息的處理原則和《個人信息保護法》對敏感信息的處理規(guī)則中尋找可用的標準。數(shù)據(jù)控制者若主張自身不存在過錯，需要證明同時滿足以下三項標準：第一，轉(zhuǎn)移數(shù)據(jù)的行為符合《民法典》第1035條規(guī)定的個人信息處理的原則和條件，即具備合法性、正當性、必要性。第二，經(jīng)過了數(shù)據(jù)主體的同意或根據(jù)合同約定進行數(shù)據(jù)傳輸。第三，數(shù)據(jù)傳輸與處理符合《個人信息保護法》第28條規(guī)定的目的特定與充分必要原則，并且對數(shù)據(jù)采取了嚴格的保護措施［16］。

五、結(jié)語

《個人信息保護法》引入數(shù)據(jù)可攜帶權(quán)，展現(xiàn)了我國個人信息保護立法的時代性與前瞻性。數(shù)據(jù)可攜帶權(quán)的功能不同于防御性個人數(shù)據(jù)權(quán)利，其具有增強數(shù)據(jù)主體對數(shù)據(jù)掌控力的積極作用，有利于平衡數(shù)據(jù)主體與數(shù)據(jù)控制者的不對等關(guān)系，并促進數(shù)據(jù)的共享與流通。但是，數(shù)據(jù)可攜帶權(quán)的本土化還面臨諸多實施困境，需要借鑒域外經(jīng)驗。首先，明確數(shù)據(jù)可攜帶權(quán)屬于兼具人格屬性與財產(chǎn)屬性的復(fù)合型權(quán)利。其次，應(yīng)從權(quán)利主體、義務(wù)主體、權(quán)利客體、義務(wù)內(nèi)容四個方面厘清數(shù)據(jù)可攜帶權(quán)的權(quán)利結(jié)構(gòu)。再次，通過要求第三人負擔有限的容忍義務(wù)、加強數(shù)據(jù)可攜帶權(quán)的外部監(jiān)管等方式緩和與其他權(quán)益之間的沖突。最后，對數(shù)據(jù)可攜帶權(quán)的本土化改造離不開責任機制的完善，一方面需要區(qū)分場景界定責任主體范圍，另一方面需要明確判定過錯的證明標準。只有不斷細化數(shù)據(jù)可攜帶權(quán)本土化的改造方案，才能真正實現(xiàn)數(shù)據(jù)的人格權(quán)益與商業(yè)價值的平衡，使數(shù)據(jù)可攜帶權(quán)牢牢扎根在中國并服務(wù)于本土數(shù)字經(jīng)濟的發(fā)展。