數據可攜帶權的適用邏輯與規則展開

張翼菲

(澳門科技大學法學院,中國 澳門 999078)

隨著生產力水平的不斷提高,我國從農業經濟、工業經濟時代邁入數字經濟時代,從水網、交通網邁入信息網,生產要素的內容也隨之進行了相應更新。2015年,貴陽大數據交易所掛牌運營,2022年進入提升優化階段。2023年,在國家發改委價格監測中心的指導下,貴陽大數據交易所上線全國首個數據產品交易價格計算器,發布全國首套數據流通交易規則(1)常青.[數實相融算啟未來]貴陽大數據交易所:勇闖數據新藍海構建數據交易新體系[EB/OL].(2023-05-04)[2023-11-15].http://gz.people.com.cn/n2/2023/0504/c407521-40401720.html.。2020年,《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》正式公布,提出了土地、勞動力、資本、技術、數據五個要素領域改革的方向。由此,數據首次被納入生產要素范疇,也是首次作為一種新型生產要素正式出現在官方文件中(2)中共中央 國務院關于構建更加完善的要素市場化配置體制機制的意見[J].中華人民共和國國務院公報,2020(11):5-8.。2022年12月2日,《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》(以下簡稱《數據二十條》)發布,構建了數據產權、數據流通交易、數據要素收益分配和數據要素治理四個方面的制度框架,總共提出了20條政策舉措,其中第10條明確提出培育數據要素流通和交易服務生態(3)中共中央 國務院關于構建數據基礎制度 更好發揮數據要素作用的意見[N].人民日報,2022-12-20(001).。由此,數據要素及數據要素流通被置于重要的戰略地位。但與此同時,數據在信息時代下也面臨著諸多風險,如個人信息泄露、隱私權被侵犯;數據壟斷、不正當競爭;甚至還可能對國家安全產生威脅。在當前全球化的競爭中,世界各國都尤為希望占據優勢地位,為了更好發揮數據的效用,相應的數據權利應運而生,數據可攜帶權便是其中典型。歐盟《通用數據保護條例》(General Data Protection Regulation, 以下簡稱GDPR)、美國《加州消費者隱私法》、我國《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)等法律都對數據可攜帶權作出了相關規定。

目前,學界對于數據可攜帶權的研究已為該權利進行了基本的畫像,對數據可攜帶權的權利架構和賦權邏輯方面有了基本的認識,但未達成一致的意見。如對于權利屬性而言有學者認為數據可攜帶權主要是具體人格權的體現(4)葉名怡.論個人信息權的基本范疇[J].清華法學,2018(5):143-158.,有學者認為是兼具人格權和財產權雙重屬性(5)潘香軍.《個人信息保護法》背景下數據可攜帶權探析[J].天水行政學院學報,2022(1):111-116.,有學者認為應先確定數據的權屬因其是數據利用和流通的邏輯起點(6)丁道勤.基礎數據與增值數據的二元劃分[J].財經法學,2017(2):5-10,30.。對于如何將這一權利在我國落地實現的問題,有學者認為,應將“權利化模式”與“行為規制模式”相結合(7)郭江蘭.數據可攜帶權保護范式的分殊與中國方案[J].北方法學,2022(5):81-90.,有學者認為,為了打破大型數字平臺的壟斷效應,可參照其他國家的做法,建立合作開源的平臺以實現數據可攜帶權設立的初衷(8)汪慶華.數據可攜帶權的權利結構、法律效果與中國化[J].中國法律評論,2021(3):189-201.。雖說立法層面已經將數據可攜帶權引入至我國,但在實踐中真正實現數據可攜帶權卻依舊存在著相當大的困難,例如規則構建均為原則性規定,不具有可操作性;技術性規定缺乏、義務內容界限不明;監管措施缺位等。尤其是在當前提出數據結構性三權分置的情況下,促進數據要素流通和交易成為當前我國數字經濟發展和建設的新展望,數據可攜帶權在此背景下的意義更為凸顯?；诖?本文從解構權利出發,證成權利到實踐中適用權利時出現的困境及相對應的解決措施,旨在促進該權利在我國的適用。

一、數據可攜帶權的權利解構

2016年4月,歐盟GDPR第20條正式將數據可攜帶權(Right to Data Portability)作為一項獨立的數據權利確定下來,規定了具體的權利內涵及要求(9)GDPR第20條:“基于同意或合同約定的情形且通過自動化方式處理數據時,數據主體有權從數據控制者處獲取其之前向數據控制者提供的關于自身的個人數據,以一種結構化、通用的和機器可讀的數據形式;并且數據主體有權將這些數據傳輸給另一數據控制者,提供個人數據的控制者不得進行阻礙,提供必要的幫助?！盨ee Article 20 paragraph 1General Data Protection Regulation[EB/OL]. (2016-04-27)[2023-08-16].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1692191337366.。將數據可攜帶權法律移植到我國之后,具體內容規定在我國《個人信息保護法》第45條第3款(10)《個人信息保護法》第45條第3款:“個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。”。因此就產生了一個問題,數據可攜帶權(Right to Data Portability)的權利名稱中并未含有信息二字,為什么相關條款卻規定在我國的《個人信息保護法》中,而不是規定在《中華人民共和國數據安全法》(以下簡稱《數據安全法》)中;本文先對這個問題從兩方面作出簡要釋明,旨在為后續討論劃定清晰內涵和外延。一方面,闡明信息和數據的概念并說明二者之間是體用關系。另一方面,從我國的立法現狀出發,試圖分析立法者希冀的對數據可攜帶權的權利保護偏向在于保護個人信息。

第一,針對數字時代權利話語中隱私、信息與數據的混序現象,有學者認為存在兩點原因:一是信息技術發展突破了原先只存在一種隱私及權利保護的秩序;二是數字經濟的發展速度遠高于數據和信息相關權利的區別揭示及制度建構,換言之,上層建筑暫未適應經濟增速(11)申衛星.數字權利體系再造:邁向隱私、信息與數據的差序格局[J].政法論壇,2022(3):89-102.。雖然數據和信息處于混序狀態,但還是存在區分的可能和必要。我國現行法關于個人信息和數據的定義,指出了二者的區別所在?！稊祿踩ā返?條第一次在立法層面上對“數據”作出了較為明確的界定,認為數據是對信息“以電子或其他方式”的記錄(12)《數據安全法》第3條:“本法所稱數據,是指任何以電子或者其他方式對信息的記錄?！薄！秱€人信息保護法》第4條第1款規定個人信息應是“以電子或者其他方式記錄的”(13)《個人信息保護法》第4條第1款:“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息?！薄Ｓ纱擞^之,數據與信息之所以在概念上有部分重合,難以區分,是因為通過的手段均為“電子方式或者其他方式”。申衛星教授以“橘肉和橘皮”的比喻來形容信息和數據之間的關系,認為二者彼此依靠互為依托,但并不因為關系緊密就不作區分,更不意味著完全割裂(14)申衛星.數字權利體系再造:邁向隱私、信息與數據的差序格局[J].政法論壇,2022(3):89-102.。具體而言,數據帶有工具性的面向,極具客觀性,不以人的意志為轉移,是人類發明出來的用以記錄事情的符號,表現為0和1二進制數組成的代碼符號或序列組合,是一種形式載體(15)陸一敏.數據安全新型法益的建構——基于數據與信息的交互關系[J].蘇州大學學報(哲學社會科學版),2023(4):77-87.;而信息是主體對作為符號的數據進行解讀后得出的內容,是依附于形式載體上的實質內容。主體差異性之所在,加之采取不同的解釋方法,最終解讀出來的內容不會完全相同,因而信息的主觀性較強。換言之,數據和信息并非一一對應關系(16)周斯佳.個人數據權與個人信息權關系的厘清[J].華東政法大學學報,2020(2):88-97.。區分二者的關鍵就在于是否存在“讀取”的過程(17)梅夏英.信息和數據概念區分的法律意義[J].比較法研究,2020(6):151-162.。因此,借用中國古代哲學的一對重要范疇“體”“用”來形容信息與數據之間的關系,即信息為“體”,數據為“用”,體為根本,用為表象。

第二,數據和信息的權利側重也并不相同。從我國立法層面來看,《數據安全法》第1條規定的立法目的是“規范數據處理活動”“保障數據安全”“促進數據開發利用”(18)《數據安全法》第1條:“為了規范數據處理活動保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益,制定本法?！?。《個人信息保護法》第1條的立法目的為“保護個人信息權益”“規范個人信息處理活動”“促進個人信息合理利用”(19)《個人信息保護法》第1條:“為了保護個人信息權益,規范個人信息處理活動,促進個人信息合理利用,根據憲法,制定本法。”。立法機關將數據可攜帶權轉化為國內法后置于《個人信息保護法》的規制范圍下,體現了對于保護個人信息日漸開放和強化的立場(20)王利明,丁曉東.論《個人信息保護法》的亮點、特色與適用[J].法學家,2021(6):1-16.。換言之,數據的資源稀缺性在于強調發揮數據在內容層面的作用,透過數據能夠讀取出的有效信息,并非體現在作為一種記錄信息的工具的價值,這才是法律對數據進行規制的根本意義所在(21)賈章范.大數據時代背景下數據的法律內涵與基本特征——兼評數據與信息等相關概念的關系[J].數字法治評論,2023(1):62-86.。

(一)數據可攜帶權的適用主體

第一,權利主體為向數據控制者提供數據的自然人。歐盟GDPR在第1條第1款規定了條例的目的在于確立個人數據處理中的自然人保護(the protection of natural persons)和個人數據自由流通的規范;第1條第2款規定了條例的宗旨在于以保護自然人的基本權利和自由(fundamental rights and freedoms of natural persons),尤其是個人數據保護的權利(22)See Article 1General Data Protection Regulation[EB/OL].(2016-04-27)[2023-08-16].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1692191337366.?！吨腥A人民共和國民法典》(以下簡稱《民法典》)第2條規定:“民法調整平等主體的自然人、法人和非法人組織之間的人身關系和財產關系?！盙DPR第20條中將有關權利主體的部分表述為“數據主體有權從數據控制者處獲取其之前向數據控制者提供的關于自身的個人數據”;我國《個人信息保護法》第45條第3款將有關權利主體的部分表述為“個人請求將個人信息轉移至其指定的個人信息處理者……”。綜上,數據可攜帶權的權利主體為自然人,而且是只有向數據控制者提供數據的特定自然人。

第二,義務主體為數據控制者。從名稱來看“controller”(控制者)一詞本就暗含決策地位;另GDPR第4條第7款關于數據控制者的定義中對于其擁有的對于個人數據處理的權利使用了“determine”(決定)一詞(23)GDPR第4條第7款:“控制者是指自然人、法人、公權力機關、代理機構或者其他機構單獨或者共同決定個人數據處理的目的和方式?！盨ee Article 4 paragraph 7General Data Protection Regulation[EB/OL].(2016-04-27)[2023-08-16].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1692191337366.。由此可知,數據控制者擁有對于個人數據處理的決定權,包括了決定數據處理的原因及依據、決定處理數據的方式等。并非所有處理個人數據的主體都可以稱之為數據控制者:一方面,要求義務主體本身處于合法地位,如當數據被某些非法主體如“黑客”控制下時,這些數據控制者并不能成為義務主體;另一方面,保證義務主體的數據控制權利來源合法,需要源于數據主體授權或合同約定。

(二)數據可攜帶權的權利客體

GDPR第20條關于權利客體內容的表述為,“數據主體有權從數據控制者處獲取其之前向數據控制者提供的關于自身的個人數據”。因此數據可攜帶權的權利主體、義務主體共同指向的對象即為個人數據。GDPR第4條第1款對“個人數據”進行了界定,認為個人數據能夠對應到數據主體的身份,具有可識別性是個人數據最主要的特征(24)GDPR第4條第1款規定:“個人數據是指與已識別或可識別的自然人(數據主體)有關的任何信息。可識別的自然人是指可以通過姓名、身份證號、定位信息、網絡在線標識等標識符或與該自然人的身體、心理、基因、精神狀況、經濟、文化或社會身份有關的一個或多個特定因素能夠直接或間接對應識別的自然人?！盨ee Article 4 paragraph 1General Data Protection Regulation[EB/OL]. (2016-04-27)[2023-08-16].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1692191337366.。因此,個人數據可攜帶權的權利客體是可識別的個人數據。

除數據主體主動提供的,稱為“原始數據”外,還有兩種在原始數據基礎之上產生的數據,被稱為觀測數據和衍生數據。前者是通過設備收集到的,數據主體在使用數據平臺的過程中經年累月形成的,如消費歷史、搜索記錄、社交平臺上的聊天記錄等;后者是基于前兩種數據進行加工分析而形成的,具有附加價值的數據,如購物網站對消費者進行用戶畫像,金融領域信用風險評估等。歐盟第29條數據保護工作組在《數據可攜帶權指南》中將觀測數據也納入可攜帶的范圍,將衍生數據排除在數據可攜帶權客體范疇之外(25)European Commission. Guidelines on the Right to Data Portability[EB/OL]. (2017-04-05)[2023-08-17].https://iapp.org/media/pdf/resource_center/WP29-2017-04-data-portability-guidance.pdf.。“貢獻度理論”可以成為上述結論的理論依據,該理論認為對個人信息形成的貢獻度可作為衡量是否可攜帶的標準。簡單來說,數據主體最大化的參與度和貢獻度決定了原始數據與主體之間有著天然的附隨性;對于經過加工處理分析之后的衍生數據,數據控制者的參與度和貢獻度使得原始數據具有了附加價值,包含了數據控制者的智力成果,為原始數據注入了新的血液,此時就與控制者之間的聯系更為緊密;相應地,觀測數據若要歸類于可攜帶權的權利客體范圍也要考量數據控制者的貢獻程度,如是否僅進行了最基本的存儲工作,并沒有增加額外的附加價值(26)See Ruth Janal,Data Portability—A Tale of Two Concepts, Journal of Intellectual Property, Information Technology and E-Commerce Law,2017(8),p.61.。我國學者也持相同觀點,將權利客體范圍限定在原始數據和部分的觀測數據,將包含有數據控制者智力成果和創造性工作成果的衍生數據排除(27)文立彬,鄒瑛.個人信息轉移權客體范圍和實現方式的反思與修正[J].重慶郵電大學學報(社會科學版),2023(2):53-62.。

(三)數據可攜帶權的權利內容

根據GDPR第20條的規定可知,數據可攜帶權具有兩項權利內容:一是副本獲取權,或稱數據接收權;二是數據轉移權。副本獲取權指的是數據主體有權獲取其之前向數據控制者提供并存儲于數據控制者處的關于其自身的數據。該項權利的權能只限于獲取數據副本,并不當然使得原數據控制者處的數據隨之消失,數據仍然存儲在控制者處。具體表現在GDPR要求數據可攜帶權的行使不得阻礙被遺忘權的行使,以及《個人信息保護法》第47條另行規定了請求刪除權。由此可見,雖然數據可攜帶權的理論基礎之一是信息自決權,但也并非完全的自決,而僅僅是部分的控制權(28)李婕.個人信息可攜帶權的權利屬性及實現路徑[J].東北師大學報(哲學社會科學版),2023(1):112-120,131.。具言之,觸發可攜帶權的法律效果并不能幫助數據主體當即獲得完整的對于個人數據的所有權權能,因而需要另外的權利行使來補足這一缺位,如行使被遺忘權或是請求刪除權,法效果體現為在數據控制者處的數據得到刪除后數據主體即獲得完整的自決權。另外,數據主體在行使可攜帶權的過程中往往處于弱勢地位,面對處于強勢地位的數據控制者,法律雖然賦予了數據主體行使可攜帶權的權利主體地位,但是依舊會因義務主體怠于或不履行義務而產生權利實現的不圓滿性。數據轉移權,指的是數據主體自由地將前述獲取的數據轉移傳輸給其他控制者,不受原數據控制者的妨礙,或者在技術可行的前提下,請求數據控制者直接將數據轉移到另一控制者處,而不需要副本獲取權的行使(29)劉輝.個人數據攜帶權與企業數據獲取“三重授權原則”的沖突與調適[J].政治與法律,2022(7):114-131.。

(四)個人數據可攜帶權的行權條件

GDPR第20條規定,“……數據格式應為結構化、通用的且機器可讀的……該權利行使基于數據主體同意或者是合同約定;權利行使的過程是以自動化方式;技術可行條件下,在控制者之間直接進行傳輸?！睋?行權條件可分為如下要點:

第一,數據格式的特別要求。對于數據格式的統一要求,可理解為不得受原數據控制者阻礙的具體表現,保證了攜帶的數據能夠在其他數據控制者處正常接收處理,而無不兼容等問題出現。第二,數據處理過程采取自動化方式,因此大多數紙質文件被排除在外。第三,提供個人數據的前提是基于數據主體授權同意或者為履行與數據控制者簽訂的合同所必需(30)蔡培如.個人信息可攜帶權的規范釋義及制度構建[J].交大法學,2023(2):59-73.。GDPR第7條對同意的條件作出規定(31)GDPR第7條規定:“獲得數據主體同意的舉證責任由數據控制者承擔;如數據主體表示同意是在同時涉及其他事項的書面聲明中作出,則應使用清晰明了的語言,以易于理解和使用的形式,將同意請求與其他事項明確區分開來;數據主體有權在任何時候撤回其同意;在評估時應盡可能考慮數據主體的同意是否基于自由意志作出,數據處理行為超過了履行合同所必需?！盨ee Article 7 General Data Protection Regulation[EB/OL]. (2016-04-27)[2023-08-16].https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679&qid=1692191337366.。無論是數據主體授權還是基于合同義務行使權利,均將數據主體的意愿置于優先地位。在各國關于個人數據保護的立法中,知情同意原則均有所體現,知情同意的內容即為與收集、處理、使用個人數據相關的一切問題,如是否對個人數據采取一系列操作,以及處理到何種程度等。另外,基于數據主體與數據控制者之間達成的協議,為了履行合同義務,實現合同目的,數據主體也可行使可攜帶權。第四,直接傳輸數據的條件:技術可行。一方面,GDPR相關規定對數據控制者提供技術支持只是倡導性要求,而非強制要求。這就導致權利目的可能無法得到實現,如數據控制者以缺乏互通性技術為由不履行轉移數據的義務。另一方面,GDPR并沒有闡明技術可行的標準,大型數據控制者和中小企業之間的客觀技術差距使得權利落地存在困難(32)文立彬,鄒瑛.個人信息轉移權客體范圍和實現方式的反思與修正[J].重慶郵電大學學報(社會科學版),2023(2):53-62.。

二、數據可攜帶權的證成和歐美賦權模式

證成一種權利的前提首先要明確權利是什么。對于“權利是什么”這個問題,以約瑟夫·拉茲為代表的利益論學者給出了其觀點,拉茲認為個人的利益是他人負有義務的充分理由,那么個人在該利益上即享有某項權利(33)See Joseph Raz,The Morality of Freedom, Oxford: Clarendon Press, 1986, p.167.。上述定義的關鍵在于將權利的核心認為是個人利益。而對于權利如何證成,分為兩個層面:第一層面即為概念層次,個人利益可以實現對權利的初步證成(34)段衛利.新興權利的證成標準分析——以被遺忘權為例[J].河南大學學報(社會科學版),2022(4):45-51.。第二層面在于對權利的保護,認可一項權利的存在,即意味著認可權利背后的特定價值。當個別權利蘊含著的力量聚合起來之后,便可促進良善社會的可持續發展,即共同善蘊含于權利之中,這便是共同善的內涵。拉茲認為,除去服務于個體利益之外,權利的真正價值在于對共同體文化的貢獻,共同體成員因此受益。通過權利享有者的權利得到實現來達到維護其他人利益的真正目的(35)[以色列]約瑟夫·拉茲.公共領域中的倫理學[M].葛四友,譯.南京:江蘇人民出版社,2013:60.。從利己性出發最終指向利他性,才能使權利內涵更為充分,權利更具正當性。因此,對于數據可攜帶權的證成將按照上述兩個方面展開。

(一) 個人利益層面:個人信息自決權

個人信息自決權肇始于德國,但并沒有在德國基本法中明確規定。1983年12月15日,德國聯邦憲法法院對“人口普查案”所作的判決,“個人信息自決權”首次在法律層面確立。數據可攜帶權的發展理念正是來源于個人信息自決權,是個人自主權在個人控制數據場景下的體現。德國聯邦憲法法院對該權利的推導過程完美演繹了法律的邏輯之美:首先強調個人的價值和尊嚴是基本法的核心,個人的價值和尊嚴又主要體現在個人擁有自主決定權;那么在當前大數據時代的背景下,自主決定權的內涵也應當隨之進行擴展,包括任何人可自由決定有關自身的信息的處分與利用問題(36)趙宏.信息自決權在我國的保護現狀及其立法趨勢前瞻[J].中國法律評論,2017(1):147-161.。

(二)促進良善社會的發展

數據可攜帶權作為一種新型權利,自身帶有共同善的特點,通過為共同善提供服務而證成其自身,權利和共同善互為表里,互相輔助(37)段衛利.新興權利的證成標準分析——以被遺忘權為例[J].河南大學學報(社會科學版),2022(4):45-51.。一方面,權利是自由的一種形態,是在特定社會制度中被認可的自由。數據可攜帶權賦予了數據主體一定的自由,即數據主體可獲取其先前提供給數據控制者的數據,并將這些個人數據轉移到另一控制者處的權利,實際上就是對于數據主體處分自己數據的權利的保障,尊重了數據主體的信息自決權(38)朱振.權利與自主性——探尋權利優先性的一種道德基礎[J].華東政法大學學報,2016(3):26-35.。另一方面,數據可攜帶權的實現有利于創造一種更為良善的社會運行秩序,是共同體成員之所需。除了保證數據主體處分個人數據的權利之外,還大大降低了數據壟斷的可能性,將數據作為生產要素的價值發揮到極致,促進行業創新和自由發展,以及促進數據的自由流通和交易(39)潘香軍.《個人信息保護法》背景下數據可攜帶權探析[J].天水行政學院學報,2022(1):111-116.。數據可攜帶權的價值絕不僅僅是控制數據,而是讓數據流動起來,發揮數據的倍增效應,潛藏的更為巨大的商業價值在于數據的流轉與共享過程中產生的紅利(40)康蘭平,程文文.數據可攜帶權在歐美法律實踐上的權利要旨對我國個人信息權益保護的借鑒[J].電子知識產權,2022(3):65-77.。因此,數據可攜帶權從應然權利向法定權利的轉化,再從法定權利向實然權利的邁進,既體現了保障個人信息自決的權利,又促進了社會的數據共享,體現了共同善的內在需求,對保證整個社會的正常運轉具有積極的現實意義。

(三)域外模式的有益參考

從理論基礎上證成權利后,已有的域外數據可攜帶權的經驗模式同樣可為我國提供一些借鑒之處,主要以歐盟和美國為例。

歐盟數據可攜帶權是以人本主義為核心,以個人發起的數據遷移激發企業間競爭的活力(41)文立彬,鄒瑛.個人信息轉移權客體范圍和實現方式的反思與修正[J].重慶郵電大學學報(社會科學版),2023(2):53-62.。如前所述,GDPR第20條對于數據可攜帶權的規定,向數據控制者提出了“不得阻礙”“技術可行”的要求;對于數據格式提出了“結構化的”“通用的”“機器可讀的”要求;對于權利正當性基礎在于數據主體同意或者履行與數據控制者簽訂的合同;對于權利行使限制體現在不得妨礙被遺忘權行使、不得妨礙公共利益、不得影響他人權利或自由以及數據控制者依據官方命令對數據采取的必要處理行為。GDPR在權利構建方面相對更為完善,我國在后續補充構建數據可攜帶權的制度時可予以參考(42)卓力雄.數據攜帶權:基本概念,問題與中國應對[J].行政法學研究,2019(6):129-144.。GDPR的數據可攜帶權制度示范效應向世界范圍內輻射,在其施行后,巴西、美國、澳大利亞、新加坡等國家都相繼確立了可攜帶權(43)杜小奇.個人信息可攜帶權的立法檢視與適用展開[J].河北法學,2022(6):167-184.。

相較于歐盟著眼于個人信息自主權的優先保護,美國的數據可攜帶權模式是以企業為主導,更多關注如何最大化利用數據的經濟價值。監管主要依靠行業自律,政府充當“守夜人”的角色,而非施以“看得見的手”進行外部干預(44)化國宇,楊晨書.數據可攜帶權的發展困境及本土化研究[J].圖書館建設,2021(4):113-122.。美國的國體為聯邦制,加之各州對于數據治理理念差異較大,以及在自由主義市場經濟條件下數據頭部企業的話語權過大,美國并未在國家層面形成統一的數據保護法案。適用數據可攜帶權主要集中在金融信息、醫療健康信息等敏感信息領域,如《多德——弗蘭克法》《健康保險便攜性和責任法》。除此之外,州立法中最具代表性的為《加州消費者隱私法》(California Consumer Privacy Act, CCPA),第1798條100(d)項規定了“用戶的訪問及可攜帶權”(45)吳沈括,孟潔,薛穎,趙小琳,譯.美國《2018年加州消費者隱私法案》中文譯本[EB/OL].(2018-07-10)[2023-08-16].https://www.secrss.com/articles/3836.。CCPA的起源是由美國企業發起的DTP(Data Transfer Project)項目,致力于構建起一種數據可移植平臺,旨在增加數據轉移的可操作性。DTP項目的初衷看到了數據流動對于促進經濟發展的重要性,因而對我國極具參考價值。但加入該項目共享平臺的技術要求較高,不具備技術條件的中小企業會被排除在外(46)文立彬,鄒瑛.個人信息轉移權客體范圍和實現方式的反思與修正[J].重慶郵電大學學報(社會科學版),2023(2):53-62.。

GDPR一經面世,就被稱為史上最嚴格的數據保護法案,體現了歐盟崇尚人格尊嚴的立法理念。首創數據可攜帶權這一權利概念,是以向數據主體賦權增能為核心,以個人發起的數據遷移激發企業間良性競爭的活力。與歐盟不同,美國采取的自由主義的市場經濟模式,強調的是自由發展。因此,美國對于數據可攜帶權的規制方向是主要以市場為主導,依靠市場主體自身來進行行業自律和監管,政府充當“看門人”的角色,并不作過分干預,賦予企業更多自主權。不過,歐盟和美國對于數據可攜帶權權利保護時的側重和權利實施時的側重相同,即均出于個人數據保護和競爭法的角度。

三、數據可攜帶權適用的困境檢視

在對數據可攜帶權進行權利解構以及權利證成之后,當前從理論到實踐中的適用還是有很大的挑戰,表現在權利屬性不明、義務內容邊界不清以及侵犯第三方權益,包括侵犯個人信息安全與負面激勵市場競爭。

(一) 數據可攜帶權的權利屬性不明

數據可攜帶權作為數據權利的下位概念,權利定位隨數據的權利定位明確而明確。目前學界對于數據的法律屬性看法不一,大致可分為關于數據的人格權屬性和財產權屬性討論。

1.“人格權說”

數據是否具有人格權屬性的討論主要落腳點在數據的內容層面,即通過解讀數據后傳遞出來的個人信息。王利明教授認為個人信息是一種具有可識別個人身份、反映個體特征的符號系統,包括關于個人生活方方面面的信息。從這個意義上來說,個人信息和人格密切相關,只要承認個人信息是一種民事權利,那么個人信息權應為一種人格權(47)王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心[J].現代法學,2013(4):62-72.。但同時因個人信息權具有豐富具體的內涵,以傳統一般人格權的方式予以救濟已無法滿足個人信息權的特性及發展需求,所以唯有獨立人格權說最能完全體現個人信息權的內在屬性。在此學說下,個人信息權既具有傳統人格權的消極抵御的面向,又具有積極控制的面向。具體而言,消極防御面向主要體現在《民法典》第959條規定了傳統人格權受到侵害之后,受害人可以行使的請求權內容,包括停止侵害、排除妨礙、消除危險等(48)《中華人民共和國民法典》第959條:“人格權受到侵害的,受害人有權依照本法和其他法律的規定請求行為人承擔民事責任。受害人的停止侵害、排除妨礙、消除危險、消除影響、恢復名譽、賠禮道歉請求權,不適用訴訟時效的規定?！?積極控制面向主要體現在可以直接控制個人信息,具有人格權商品化的特征(49)張里安,韓旭至.大數據時代下個人信息權的私法屬性[J].法學論壇,2016(3):119-129.。

2.“財產權說”

區別于傳統的生產要素,數據具有可復制性能被無限重復收集但又無實質損耗。數據具有非獨占性、非排他性和非競爭性等特性(50)程嘯.論大數據時代的個人數據權利[J].中國社會科學,2018(3):102-122,207-208.,致使不宜將數據納入傳統的物權客體范疇。另外,將這些特性放在當下建立數據共通的時代場景,數據要素一旦形成,就可被多個使用者同時利用,新增使用者利用數據不僅不會造成邊際成本的增加,反而使邊際成本為零。因此,在數據的使用頻率增加后,數據的價值會在不斷投入使用的過程中得到充分釋放,甚至得以成倍增長。作為無形資產數據雖難以觸摸,但在價值上已遠超有形資產(51)邵春堡.數字經濟價值的源頭活水[J/OL].(2021-10-25)[2023-08-17].http://jer.whu.edu.cn/jjgc/11/2021-10-25/5327.html.。在經濟發展過程中,投入數據要素能促進產品和服務的更新換代,通過對于大量的數據進行加工處理后,形成“用戶畫像”,進行個性化定制,將產品與用戶需求精準匹配,以期創造更大的經濟價值,實現創新發展(52)楊東,李佩徽.暢通數據開放共享促進共同富裕路徑研究[J].法治社會,2022(3):22-32.。

(二) 義務內容邊界不明

脫離了義務權利只是徒有其表,脫離了權利義務也沒有任何存在的必要。數據主體的權利實現程度取決于數據控制者作為義務主體履行義務的程度?！秱€人信息保護法》中的數據可攜帶權條款將義務主體的義務內容表述為“應當提供轉移的途徑”,2021年11月14日《網絡數據安全管理條例(征求意見稿)》第24條也僅是規定當滿足特定條件的個人信息轉移的請求時,數據處理者應當提供轉移服務(53)參見國家互聯網信息辦公室關于《網絡數據安全管理條例(征求意見稿)》公開征求意見的通知.[EB/OL].(2021-11-14)[2023-11-01].http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm?eqid=d0741a2800026dd600000006643e4b55.。從解釋論的角度來說,“應當提供轉移的途徑”內涵非常廣泛:提供什么樣的途徑?積極作為的義務需要完成到什么程度?還是不作為不阻礙就意味著完成了義務的消極態度?除此之外,“互操作性標準”以及統一的數據格式規定也只相當于原則的效力,仍需進一步的細化的規則標準來指導權利的落地實施。該權利中需要數據控制者承擔的義務已經遠超于一般權利所對應的義務內容,無形之中為數據控制者提出了更高的要求(54)丁曉東.論數據攜帶權的屬性、影響與中國應用[J].法商研究,2020(1):73-86.。例如,數據控制者要保證數據傳輸過程中的數據安全、不得進行數據壟斷、進行技術支持等義務(55)郭江蘭.數據可攜帶權保護范式的分殊與中國方案[J].北方法學,2022(5):81-90.。與之相對應的數據主體向義務主體提出請求,不需要額外滿足其他的條件便可將可攜權啟動。因此,當立法層面上的規定較為寬泛時,只能倒逼義務主體在實踐中盡可能完全履行義務來實現權利目的。

(三) 侵犯第三方權益

雖然數據可攜帶權的出發點是保護數據主體個人的數據,但是有些數據還是會不可避免地關涉第三方。另外參考前述歐盟和美國的賦權側重,在不同場景下,數據可攜帶權的行使還會侵犯第三人的信息權益以及對市場競爭有負面影響。

1. 第三人的信息安全和隱私權受到威脅

數據主體在向數據控制者提出請求轉移涉他數據時,如在社交媒體平臺上傳多人合照、聊天記錄、聯系人列表等,未經過第三方主體的同意,極有可能會侵犯他人的個人信息權益或隱私權。雖然第三方同意數據主體將涉己數據上傳至平臺,由最初數據控制者處控制,但是并不等于在數據主體提出轉移請求時,第三方主體的最初授權內容也當然延續至數據攜帶的環節(56)杜小奇.個人信息可攜帶權的立法檢視與適用展開[J].河北法學,2022(6):167-184.。更有甚者,當數據可以被攜帶時,一個人全部的數據都可能會被一次性獲取,如果用戶身份被盜用,那么處于動態過程中的數據的安全性就會面臨成倍增長的風險。此時“不受阻礙”的技術要求就成為了雙刃劍,轉而為黑客提供了極大的便利(57)丁曉東.論數據攜帶權的屬性、影響與中國應用[J].法商研究,2020(1):73-86.。

2. 企業面臨不正當競爭的風險

一方面,數據可攜帶權為數據的遷移提供了便利,遷移的數據本身在內容層面上的解讀還有可能會涉及知識產權或商業秘密的內容,如用戶的消費習慣分析、基于分析之后的精準匹配偏好產品設計、企業制定的發展戰略等數據。這些衍生數據源于數據主體提供的個人數據,經過加工處理之后被賦予了經濟價值,成為原數據控制者的知識產權或商業秘密,即使這些數據經過技術手段被拆分后流轉,但也不排除能夠通過技術手段將數據恢復的可能(58)文立彬,鄒瑛.個人信息轉移權客體范圍和實現方式的反思與修正[J].重慶郵電大學學報(社會科學版),2023(2):53-62.。以淘寶(中國)軟件有限公司訴安徽美景信息科技有限公司商業賄賂不正當競爭糾紛案為例,法院認為美景公司未付出自己的勞動創造,將“生意參謀”數據產品直接使用,作為獲取商業利益的工具,是為了提供同質化存在競爭關系的的網絡服務。此種拿來主義行為,明顯悖于公認的商業道德,屬于不勞而獲“搭便車”的不正當競爭行為(59)參見浙江省杭州市中級人民法院(2018)浙01民終7312號民事判決書。。本案中的“生意參謀”數據已然成為一種數據產品,是與用戶提供的原始數據已無直接對應關系的衍生數據。這種數據經過了算法過濾,形成數據分析,適應市場用戶需求,開發公司投入了大量的智力勞動成果,應當認定數據控制者對其享有獨立的財產性權益。

另一方面,數據可攜帶權可能會對市場良性競爭的負面影響。從個人角度來說,當個人數據泄露風險增高時,通常情況下人們更傾向于去選擇在市場中具有一定地位的大型企業平臺作為數據控制者,加之個人的使用習慣難以改變,形成路徑依賴,即使這些大型企業平臺層出不窮地出現泄露數據的丑聞,如“劍橋分析案”(60)Mu Xuequan.Facebook, Cambridge Analytica face rising pressure amid data breach,China-Europe Xinhua News [N/OL]. (2018-03-22)[2023-10-15].http://www.xinhuanet.com/english/2018-03/22/c_137058061.htm.,個人也不會去選擇沒有丑聞但是名不見經傳的中小企業作為替代。與大企業相比,第一中小型企業沒有市場支配力;第二中小型企業的合規成本較高(61)See Peter Swire, Yianni Lagos, Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique, Maryland law review, 2013, 72(2), p.352.。同樣,從企業角度來說,商業利益驅使下,企業封閉的生態更容易形成,“數據孤島”更為明顯,積累了大量且不在市場中流通的數據,就能更精準地針對用戶展開業務,獲得競爭優勢?！榜R太效應”由此而生。頭部企業依舊占據著市場支配地位,甚至還在進一步擴大市場份額,中小企業本就不多的市場份額被蠶食得所剩無幾,強化“數據壁壘”,加劇了市場中的不正當競爭,與數據可攜帶權設立的初衷背道而馳。

四、數據可攜帶權的適用規則展開

我國雖然在《個人信息保護法》中確立了數據可攜帶權的概念,但其適用條件限定在“符合國家網信部門規定條件”的情形,這意味著我國的可攜帶權制度構造仍有很大空間。結合《數據二十條》的理念,對數據可攜帶權可作為數據三權分置環節的一環進行簡要闡明后,提出從權利屬性定位、明晰義務內容邊界以及在場景化下對于侵犯不同第三方權益的調整規則予以考量?！稊祿畻l》強化了數據的戰略地位,提出了構建數據產權結構性分置制度的嶄新理念,從兩權分置到三權分置,呈現了一種弱化所有權,強化數據使用權和交易過程的趨勢(62)李宗錄,李雨桐.數據產權“三權分置”的私法邏輯[J].行政與法,2023(8):104-114.。更主要的目的是在于數據的結構性三權分置要鼓勵引導數據要素積極流通、活躍數據交易市場,即“促進數據使用權交換和市場化流通”。(63)申衛星.論數據產權制度的層級性:“三三制”數據確權法[J].中國法學,2023(4):26-48.提出數據結構性三權分置為了促進數據要素更好流通,數據可攜帶權的立法目的中非常重要的面向是破除數據壁壘,促進數據流通,從某種意義上來說,數據可攜帶權可以作為實現三權分置的目標之一,又可作為實現目標的路徑。因此,數據可攜帶權可以作為中間環節與三權相嵌套,但是囿于本文篇幅限制和討論重點不在此,所以本文并不作過多論證。

(一)數據可攜帶權的權利屬性定位

前文對于數據的權利屬性主要的學說進行了簡要說明,這部分將對數據可攜帶權的屬性進行論證?？梢钥隙ǖ氖?數據可攜帶權是一種新型的復合型權利,兼具多種權利屬性,糅合了人格權和財產權的相關內容(64)潘香軍.《個人信息保護法》背景下數據可攜帶權探析[J].天水行政學院學報,2022(1):111-116.。

首先,數據可攜帶權具有人格權屬性。從權利名稱的組成來看,“數據”和“可攜帶”是權利的構成要素?！皵祿辈皇瞧胀ǖ臄祿?而是個人提供的與自身密切相關的數據。“可攜帶”主要強調的內容是數據主體對于具有人身屬性的數據進行“獲取”與“傳輸”。二者均具有抽象人格權屬性,結合起來之后,數據可攜帶權所要保護的法益并不能被涵蓋在傳統意義上任何一種如姓名權、名譽權等具體人格權所要保護的法益內,已然成為一種新型的獨立的特殊人格權。隨著時代的發展,人格權的內容也隨之擴張,個人身份投射在數字環境中是通過個人數據實現可視化,而作為可視化載體的個人數據又具有多元的人格利益屬性需要保護(65)李蕾.數據可攜帶權:結構、歸類與屬性[J].中國科技論壇,2018(6):143-150.。

其次,數據可攜帶權具有財產權屬性。從攜帶數據這個民事法律行為出發,能夠產生財產權屬性不外乎兩點:第一,攜帶的數據本身即具有財產利益;第二,攜帶數據這一行為能夠產生財產利益。學界現在對數據財產化問題的討論,可以作為這里觀點的佐證。數據賦權的合理性源于兩方面:數據的生產要素屬性和數據主體的產權訴求(66)吳漢東.數據財產賦權的立法選擇[J].法律科學(西北政法大學學報),2023(4):44-57.。討論產權制度的目的,是為了創制一種更好的激勵模式,讓投入成本的人享有權利,排除在市場活動中不正當的“搭便車問題”(67)搭便車者(free rider)是得到一種物品的利益但避免為此付費的人。參見[美]曼昆.經濟學基礎第6版[M].梁小民,等譯.北京:北京大學出版社,2014:187.,而搭便車行為的產生很大程度上正是因為缺乏產權界定或與產權配置的無效率有關。一方面,單個主體所帶來的數據價值微乎其微,但是擁有海量數據的數據平臺就擁有明顯的財產價值優勢;另一方面,攜帶數據行為的前提是數據主體對個人數據享有控制權,而這種控制權又使數據主體在數據控制者面前擁有了一定的“議價能力”,又從另一角度解釋了數據具有財產價值(68)卓力雄.數據攜帶權:基本概念,問題與中國應對[J].行政法學研究,2019(6):129-144.。有學者認為數據可攜帶權只有依附于信息主體才會產生經濟價值,因此認為其主要體現的是人格特征,故將其界定為人格權(69)葉名怡.論個人信息權的基本范疇[J].清華法學,2018(5):143-158.。本文認為,數據可攜帶權雖然兼具人格權和財產權屬性,但它并不屬于傳統典型意義上的人格權和財產權,故將數據可攜帶權認為是一種新型的復合型權利。

(二)制定標準破解技術難題以及明晰義務內容邊界

在數據控制者之間進行數據遷移時,數據控制者不得阻礙,最為關鍵的要求是在控制者之間形成“可互操作性標準”。但現有相關法律規范均只是將權利義務在法律層面確立,并沒有更進一步的具體操作細則。數據格式統一是可互操作性標準的準入門檻,即便不存在數據可攜帶權的討論,要想實現最基本的查閱和復制,以及更進一步實現數據的交易流通,相同數據能被不同平臺進行識別就是必要條件。

GDPR對此問題給出的表述為“結構化、通用的且機器可讀的”,并沒有繼續進一步具體給出細化標準。同樣,我國也缺乏相應的細化技術規定。為了發揮數據可攜帶權的工具性權利,應當遵循的基本原則不應過于復雜,最低要求為系統可以兼容的即可(70)崔聰聰,劉傳新.數據可攜帶權的法理邏輯和制度構建[J].重慶郵電大學學報(社會科學版),2022(6):64-72.。國務院2023年度立法規劃已經將《網絡數據安全管理條例》(國家網信辦組織起草)納入擬審議的行政法規草案中(71)國務院辦公廳關于印發國務院2023年度立法工作計劃的通知[J].中華人民共和國國務院公報,2023(17):7-12.。更高標準可根據不同場景不同行業對于數據分級的不同需求,制定相應的國家標準和行業標準,對于更為關鍵核心的企業可自行制定企業標準。技術規范往往不是一成不變的,而是隨著社會變遷,技術規范內涵也在不斷變化。因此應秉持類型化的邏輯,界限區分不必太過嚴格,在劃定標準時保留一定的自由度。同時應當遵循利益衡量理論,不得將過重的義務全部加于數據控制者,做好數據控制者的角色區分,傳輸前的身份認證義務、滿足條件后的數據傳輸義務、傳輸數據過程中的安全保障義務等。數據主體也應當對于數據接收方盡到審慎的審查義務,評估相關風險,為數據控制者減輕一些義務。

(三)場景化下對侵犯不同第三方權益的調整規則

個人數據利用并非局限于單一固定的模式和場景,而是呈現多元化,如醫療場景、金融場景、零售場景、電商場景、交通場景、教育場景等等。上述場景化的應用同樣呼喚場景化理論的規制?！皥鼍肮碚摗笔怯珊悺つ嵘U姆教授在討論隱私信息保護時提出的,他將場景主要分為四類,分別是:技術平臺或系統場景、部門或行業場景、商業模式或實踐場景以及社會場景。該理論的核心在于不同場景中隱私保護的邊界并非固定,規則制定遵循動態平衡原則,以期更好地保護隱私信息(72)孫玉榮,盧潤佳.“場景完整性理論”的應用檢視和功能再造——以個人信息保護司法裁判為視角[J].北京聯合大學學報(人文社會科學版),2022(3):70-79.。另外,尼森鮑姆教授認為隱私是適當的數據流通,而不是單純地控制(73)See Helen Nissenbaum,Respecting Context to Protect Privacy: Why Meaning Matters, Science and engineering ethics,2018, 24(3), p.839.?！皥鼍啊币辉~既將實踐中的具體事實進行適度抽象概括,又代表了認可標準的多元化。“場景正義”意味著信息保護與信息流動在特定的情景中應當符合各方的預期(74)邢會強.人臉識別的法律規制[J].比較法研究,2020(5):51-63.。在隱私保護中出現的理論和概念,對于數據可攜帶權的適用具有非常重要的借鑒意義,秉持“流動”的基本理念,數據控制權與數據流動達到利益平衡,符合各方預期。

1. 多重身份認證與強化知情同意原則

在可攜帶過程的開始環節,數據控制者應當對申請數據遷移的用戶進行多重認證,不僅包括簡明的個人基本信息,甚至還應包括動態密碼、密保問題抑或是在初次進入數據控制者處所預先留存的具有明顯個人特征的生物識別信息,力求從權利行使之初確保提出攜帶數據請求的主體身份合法,不會出現身份盜用、黑客竊取數據等嚴重的網絡安全問題。一旦經過身份驗證,就可以通過加密的應用編程端口(Application Programming Interface, API)(75)API:(1)應用程序接口application program interface的縮寫; (2)應用程序設計接口application programming interface的縮寫。參見白英彩等. 英漢計算機技術大辭典[M]. 上海市: 上海交通大學出版社, 2001: 80.Application Program Interface和Application Programming Interface,均指應用程式介面:指應用程式可藉以存取作業系統及其他服務的介面。參見楊維楨等.資訊與通信術語辭典(上冊)[M].中國臺北市:國立編譯館,2003:87-88.傳輸給接收方。

除此之外,公民的權利和自由并不是無限的,而是要受到一定的制約(76)《中華人民共和國憲法》第51條規定:“中華人民共和國公民在行使自由和權利的時候,不得損害國家的、社會的、集體的利益和其他公民的合法的自由和權利。”。如果要轉移的數據是由多方主體提供時,則數據控制者應當獲得所有相關方的同意(77)Information Commissioner’s Office.Right to Data Portability[EB/OL]. [2023-08-17]. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/individual-rights/right-to-data-portability/.。同時,可給予第三方主體一定程度的撤銷權,如果出現基于不真實的意思表示或者重大誤解等可類推適用合同無效的情形時,第三人可以主張撤銷前授權同意,涉己數據恢復到初始狀態。此種做法適用于涉他數據的主體數量較少時,但在涉他數據主體數量達到一定規模時,得到全部數據相關方的同意會對數據控制者苛以重擔,數據遷移的難度也隨之增加。擺脫上述困境的關鍵可從香農對于信息的定義出發,解決方法即蘊藏在作為起點的定義之中。香農認為,信息就是被用來消除不確定性,信息熵是不確定性的度量(78)See Claude E. Shannon, A Mathematical Theory of Communication, Bell System Technical Journal, 1948,27(3), p.407.。將邏輯推導方向逆轉,信息既然是消除不確定性,增強與主體之間的聯系,那么降低信息與主體之間的聯系增加不確定性,便可為保護主體身份不被識別具有積極意義,如匿名化、數據脫敏等方式,均是增加信息與主體之間不確定性的體現。因此,在遷移涉他數據時,數據控制者首先應獲得第三方主體的同意,其次在無法獲得全部第三方主體的授權同意時,應在技術層面對其中有關他人的信息進行剔除或匿名化處理后再進行傳輸,就可有效降低侵犯第三人權益的風險(79)杜小奇.個人信息可攜帶權的立法檢視與適用展開[J].河北法學,2022(6):167-184.。

2.行業區分數據分級下進行數據流通

美國學者Peter Swire提出了一個名為PORT-IA(Impact Assess)的框架,從隱私、競爭、網絡安全和其他考量角度對于數據可攜帶權這一法律概念和權利實現進程中會出現的風險及收益進行了影響評估。概觀PORT-IA,內含了數據流的來源、終點、覆蓋了何種數據、以及適用的法律和要求。Swire教授尤其強調了在分析隱私和安全風險時,最為重要的就是清晰映射數據流向(80)See Peter Swire, The Portability and other Required Transfers Impact Assessment (Port-Ia): Assessing Competition, Privacy, Cybersecurity, and other Considerations, Georgetown Law Technology Review, 2022(6), p.91.。在數據流通過程中,明確數據流的方向,從起點到終點,以及中間的流轉環節,建立一套系統評價體系,對我國來說也十分必要?！稊祿畻l》在第8條“完善數據全流程合規與監管規則體系”中提出,對于數據要進行分級分類授權使用規范。循此,可以建立類似于金融行業中的網絡分層安全架構,對于風險等級較高的,可能涉及知識產權和商業秘密的數據應進行更嚴格的保護。不僅數據要分級,數據流向也要分級。對于大企業和中小企業之間的數據流通阻礙,也可依此原則在政府指導下,進行不同層級企業內部的規則構建。可將整體實力相近的企業分類為同一層級,避免因數據接收方和數據傳輸方因差距過大而加重中小企業的合規負擔,也避免造成頭部企業的資源浪費(81)化國宇,楊晨書.數據可攜帶權的發展困境及本土化研究[J].圖書館建設,2021(4):113-122.。在大企業和大企業之間,中小企業和中小企業之間作第一步的數據流通,這樣做的優勢在于中小企業不會因為傳輸方與接收方因綜合實力差距過大,而付出額外的成本以及承擔未來可能會被吞并的風險。而后,在中小企業之間形成行業規則與慣例,中小企業之間可以進行資源整合,以此來獲得與大企業平等對話的現實條件,試圖打破與大企業之間的數據流通障礙,以此來盡可能促成設立數據可攜帶權助于市場公平競爭的初衷。

3. 橫向和縱向結合的綜合監管體系

參照前述提到的國家標準、行業標準和企業標準,對應到監管層面,也可照此在國家層面上設立統一的數據監管部門,對于基本層面的個人數據從最高層面進行監管。這并非違反了比例原則,反而認識到了事物發展的本質,對于最基本的內容給予最高標準的保護,隨之由基本事物發展而來的產物就會因為正本清源,而具有合理合法的屬性。

行業內部設立分領域分敏感級的數據監管行業協會,作為行業自律的分支,可劃歸統一的數據監管部門領導。行業內部監管協會的標準應高于國家所制定的最基本的監管規則。可參照美國對于重點領域,如金融信用領域、健康信息領域進行嚴于國家標準的行業標準制定。同時,加入到行業領域內的數據控制者,要自覺作為監督數據可攜帶權行使的“看門人”角色。此舉之意在于將數據控制者納入監管者體系,賦予其遷移數據義務的同時也賦予其監管的權利,最了解行業規則的往往是行業中的參與者。行業內部可確立“看門人”的輪換機制,制定一定的程序來實現監管角色流動擔任的目標,達到內部自律的效果。行業內部監管和國家設立統一的監管部門,是橫向自律和縱向他律相結合,能為數據可攜帶權的行使提供保障。

五、結語

在數字經濟時代,達到數據控制與數據流通之間的平衡并非易事,數據可攜帶權的出現,一方面保障了個人數據控制權,另一方面旨在突破數據壁壘促進數據流通。但是這種新型權利的設想目前無法在實踐中獲得完整呈現,具體體現在權利體系構建亟待完善,侵犯第三方權益的現象時有發生?，F有針對數據可攜帶權的研究主要集中在權利屬性確認、限定客體范圍等方面。基于上述考慮,本文從數據可攜帶權的權利結構和權利證成入手,論證數據可攜帶權普遍適用的意義與可能性,進而分析現今我國在適用數據可攜帶權時出現的困境,基于流通不同環節提出的更具有針對性的解決方案,以期為數據可攜帶權在適用路徑上提供一些粗淺見解,拋磚引玉。