個人數據攜帶權的價值理念及實現路徑

[中圖分類號]D913 [文獻標識碼]A

[文章編號]1673-0186（2025）007-0140-020

[DOI編碼]10.19631/j.cnki.css.2025.007.010

黨的二十大報告提出，加快發展數字經濟，促進數字經濟和實體經濟深度融合，打造具有國際競爭力的數字產業集群[1]。《中共中央辦公廳國務院辦公廳關于加快公共數據資源開發利用的意見》指出，充分發揮數據要素放大、疊加、倍增效應，為不斷做強做優做大數字經濟、構筑國家競爭新優勢提供堅實支撐①。近年來，大數據產業蓬勃發展給民眾工作生活帶來諸多便利，個人數據②在其中扮演重要角色。然而，個人數據處理中不規范行為可能會侵害數據主作者簡介：馮藝，西南政法大學民商法學院博士研究生，研究方向：民法學與個人信息保護法。

① 中國政府網.《中共中央辦公廳國務院辦公廳關于加快公共數據資源開發利用的意見》[EB/OL].[2024-10-09].ttps：//www.gov.cn/gongbao/2024/issue_11666/202410/content_6983475.html.

② 我國現行立法尚未對“數據”和“信息”形成統一表述，對于二者間的關系，有學者認為，如果將“數據”僅限于計算機和網絡領域以二進制代碼形式存在的電子數據，則在性質上“信息”是本體，“數據”是媒介或載體[2]。還有學者認為，信息與數據是內容與形式的關系，數據是表現信息的載體[3]。對于數據的定義，《中華人民共和國數據安全法》第三條第一款對此作出規定，即“本法所稱數據，是指任何以電子或者其他方式對信息的記錄”。可見，無論是現行立法規定還是學者主張觀點，“數據”與“信息”的關系均可總結為“數據”是“信息”的載體或記錄方式。個人數據攜帶權更多關注的是作為“個人信息\"載體或記錄方式的“個人數據\"傳輸過程中的各種問題。因此，為行文方便，除相關法律法規使用原文表述外，本文不再單獨對“個人數據\"和“個人信息\"進行區分，統一表述為“個人數據”。

體①的合法權益。同時，企業對個人數據的鎖定不利于個人數據的自由流動，極易破壞市場競爭。因此，創新和發展個人數據權利，打破個人數據鎖定效應、增強數據主體對個人數據的控制尤為重要。有學者認為，個人數據上的權利安排直接決定數據的流動、分享及數據產業的發展[4]，個人數據攜帶權能起到較為積極的作用。

2021年11月1日起正式施行的《中華人民共和國個人信息保護法》（以下簡稱“個保法”）第四十五條對個人數據攜帶權作出規定，標志著個人數據攜帶權正式成為個人在個人信息處理活動中享有的權利之一。本文以“個保法\"第四十五條為基礎，通過厘清個人數據攜帶權的基本內涵和價值理念，闡明其存在的必要性基礎，廓清其客體范圍，明確其權利內容及邊界，確定侵權行為類型，并由此劃定主體責任、構建權利救濟機制，為個人數據攜帶權的實現提供具體指引。

一、個人數據攜帶權的價值理念與立法評析

個人數據的真實應用價值“像漂浮在海洋中的冰山，第一眼只能著到冰山的一角，而絕大部分都埋藏在表面之下”[5]，加強個人數據的共享更能發揮其價值。個人數據攜帶權能夠強化數據主體對其個人數據的控制，促進數據市場的競爭，實現個人數據的共享，充分發揮個人數據的應用價值。

（一）個人數據攜帶權的價值理念：平衡不同主體利益，促進個人數據共享

個人數據攜帶權以個人信息自決理論為基礎，該理論意即個人信息主體有權以自己的意志決定其個人信息公開與否、公開程度及其用途[6，個人數據攜帶權的基本內涵與該理論相一致。歐盟《一般數據保護條例》（GDPR，以下簡稱《條例》）第20條最早以法律規范形式對個人數據攜帶權作出規定，即在技術可行時，數據主體有權以結構化、通用和機器可讀的格式獲取其向數據控制者提供的與其相關的個人數據，并有權將這些個人數據不受阻礙地傳輸給其他數據控制者②。與《條例》第20條相比，“個保法\"第四十五條除表述上與之不同外③，二者反映的個人數據攜帶權內涵基本一致。縱觀上述兩個條文，個人數據攜帶權主要涉及三方法律關系主體，即數據主體、轉移方數據控制者與接收方數據控制者，其核心即為數據主體有權以自己的意志將其從轉移方數據控制者處復制的與其相關的個人數據無障礙地傳輸給其他① 《中華人民共和國個人信息保護法》第二條和第三條規定本法保護的是自然人的個人信息，不包括法人和非法人組織等，作為個人信息的載體或記錄方式的個人數據同樣應僅限于自然人的個人數據。因此，本文所指的數據主體僅限于自然人。

② 參見歐盟《一般數據保護條例》第20條第1款[EB/OL].[2024-06-09].htps：/gdpr.eu/tag/gdpr/.

③ 與歐盟《條例》第 20條相比，“個保法\"第四十五條將個人數據攜帶權的權利主體表述為“個人\"“個人信息處理者”，權利內容上則表述為“查閱\"“復制”“轉移”。二者雖在部分表述上存在區別，但所反映出的個人數據攜帶權的內涵基本一致。

數據控制者，實現個人數據在不同主體間自由流動①?？梢哉f，個人數據攜帶權構建了以數據主體為核心的個人數據保護方案，該方案通過配置數據控制權利、數據轉移義務及數據保護義務，有效規范數據共享環節中交織的各種法律關系[8]。厘清個人數據攜帶權基本內涵后，還應明晰其價值理念，這是個人數據攜帶權存在的必要性基礎。首先，個人數據攜帶權能增強數據主體對其個人數據的控制，使其可以自由地將其個人數據在不同數據控制者間傳輸，降低數據主體對數據控制者的依附性。通常情況下，受數據控制者擁有的技術優勢及信息不對稱等影響，數據主體與數據控制者往往處于不平等地位，導致數據主體對數據控制者具有很強的依附性。個人數據攜帶權使數據主體和數據控制者間地位趨于平等，攜號轉網②即為典型實例，它能增強用戶對其手機號碼的控制，自由選擇更青睞的基礎電信服務運營商，使得與該手機號碼相關的所有數據都能在不同基礎電信服務運營商間轉移，避免用戶被鎖定在某一基礎電信服務運營商處。可見，個人數據攜帶權使得數據主體參與并受益于數據自由流動，讓個人成為數據共享和再利用的積極參與者和受益者[9]。

其次，個人數據攜帶權能促進數據市場競爭，激發數據控制者的創新意識。由于個人數據具有重要價值，掌握大量個人數據的數據控制者為維持自己的競爭力，往往利用其技術、資金等優勢，設置各種壁壘或障礙避免數據主體轉移其個人數據，導致壟斷和鎖定效應形成，這對中小型企業或新進企業等數據控制者的發展極為不利，極大損害市場競爭。前者由于缺乏潛在競爭對手怠于創新，導致數據主體對產品或服務的體驗感下降。同時，后者也因鎖定效應所處的劣勢地位怠于創新。個人數據攜帶權能打破鎖定效應，促進數據市場競爭，讓中小型企業或新進企業等獲得更多成長機會[10]，數據控制者為獲取個人數據往往會通過技術創新、增加服務和隱私保護等措施吸引數據主體[1]，激發數據控制者創新意識，數據主體由此獲得更好的產品或服務。可以說，個人數據攜帶權是傳統競爭法體系的重要補充[2]。

最后，個人數據攜帶權有助于實現個人數據共享，促進各主體互利共贏。在新浪微博訴今日頭條移植數據不正當競爭案中，北京知識產權法院在二審判決中認為，今日頭條雖取得新浪微博用戶授權但未經新浪微博許可利用爬蟲技術將用戶在新浪微博上發布的內容直接移植到今日頭條平臺從事商用，損害了新浪微博的合法權益，構成不正當競爭③。可見，法院在審理本案時認為微夢公司對其持有的新浪微博用戶在其中發布的內容形成的數據享有競爭利益，該競爭利益不得遭受侵害。個人數據攜帶權可能會改變這一局面，因為此時新浪微博用戶只需行使個人數據攜帶權請求新浪微博將其發布的內容轉移至今日頭條，今日頭條即可無障礙獲取這些內容，無需取得新浪微博許可。由此表明，個人數據攜帶權在一定程度上能打破數據控制者間的壁壘，進一步促進個人數據共享，讓數據主體從中獲得更多數據紅利，增加二者間互信[13]。此外，個人數據在不同數據控制者間流動時會因數據控制者分享、交換個人數據使個人數據的價值因聚合而增值，形成互利共贏的局面。

（二）個人數據攜帶權的域外立法評析

歐盟《條例》最早以法律規范形式對個人數據攜帶權作出規定，其被寫入《條例》第20條的過程中，經歷了從2012年《條例（建議稿）》第18條首次提出，到2014年《條例（修改稿）》將其刪除并與第15條個人數據訪問權合并，再到2016年正式通過的《條例》第20條將其作為數據主體享有的一項權利的變化，體現了歐盟立法者對個人數據攜帶權所持的審慎態度。而后歐盟第 29條工作組（W29）發布的《數據可攜權指南》（以下簡稱《指南》）在《條例》第20條基礎上對個人數據攜帶權作出細化解釋。歐盟立法開創性引入個人數據攜帶權對其他國家或地區具有很強的示范作用，部分國家或地區在此后立法中紛紛引入個人數據攜帶權。

美國《加州消費者隱私法案》（CCPA）賦予消費者個人數據攜帶權①，這是美國個人數據攜帶權中最具代表的立法。新加坡 2020 年通過的《個人數據保護法修正案》對《個人數據保護法》（PDPA）作出修改，其中新增個人數據攜帶權，并設專章對個人數據攜帶權相關問題作出規定[14]。印度《個人數據保護法》（PDPB）對數據主體可攜帶的個人數據類型及個人數據攜帶權排除適用的情形作出規定，其在歐盟《條例》基礎上將數據畫像這類加工數據納入個人數據攜帶權客體范圍[16]。其他國家或地區立法內容雖各有千秋，但基本以歐盟《條例》為范本，結合本國或本地區現實情況加以完善。在這一過程中，個人數據攜帶權立法不斷成熟。

域外立法是“從無到有，從粗到細”，逐步細化和完善的過程?？季坑蛲鈧€人數據攜帶權立法目的，主要以增強數據主體對其個人數據控制及促進數據控制者間良性競爭、加快大數據產業創新發展為核心，但不同國家或地區側重不同。同時各國立法設置了一系列成體系配套制度，以歐盟為例，《條例》對個人數據、控制者、處理者、接收者等定義加以明確，闡明了個人數據攜帶權法律關系主客體范圍。對處理的合法性、特殊類型個人數據的處理、權利行使的保障措施、數據控制者責任等作出規定，以保障數據主體順利行使個人數據攜帶權。對于個人數據安全，《條例》通過設置數據控制者應采取的安全保障措施、對可能發生的個人數據泄露向數據主體和監管機構報告等內容，充分保障個人數據在不同主體間安全傳輸。此外，《條例》對監管機構職權作出規定以監督數據控制者是否履行義務，并設置數據主體權利救濟機制、各主體法律責任及懲罰措施，充分保障數據主體合法權益。這一系列配套制度對我國個人數據攜帶權立法具有一定參考價值。

（三）個人數據攜帶權在我國的發展

個人數據攜帶權寫入“個保法\"前，我國已在各層面對其作出積極探索。2019年《中國人民銀行金融消費者權益保護實施辦法（征求意見稿）》第三十六條②曾對個人數據攜帶權作出規定，盡管該條在此后正式施行的版本中被刪除，但也體現出我國金融領域對個人數據攜帶權的嘗試。2020年3月國家市場監督管理總局、國家標準化管理委員會發布的《信息安全技術個人信息安全規范》第8.6條對個人信息主體獲取個人信息副本作出規定①，雖然該規范僅為推薦性國家標準，不具有強制性，但能從中看到個人數據攜帶權的影子。“個保法\"第四十五條在一審稿和二審稿中僅含“查閱、復制\"前兩款內容，但“轉移\"才是個人數據攜帶權最核心的內容，這使得一審稿和二審稿中個人數據攜帶權立法內容稍顯不足?！皞€保法\"三審稿中加入了“轉移\"并作為第三款內容，最終成為正式施行文本的一部分，促使個人數據攜帶權在內容上更加完整，其基本內涵也與域外立法基本一致。

可以說，我國個人數據攜帶權立法同樣是“從無到有，從粗到細”的過程?！皞€保法”引人個人數據攜帶權主要從方便數據主體獲取并轉移其個人數據和打破數據領域壟斷及數據孤島局面兩方面考慮，這與域外立法目的相類似。縱觀“個保法”，同樣存在一套成體系配套制度，其在明確個人信息、個人信息處理者等術語內涵基礎上，對個人信息處理規則作出規定，并區分敏感個人信息和非敏感個人信息。對個人信息處理者的義務及履行個人信息保護職責的部門的具體職責也作出了規定，并設置了相應法律責任，這些規定有利于保障數據主體行使個人數據攜帶權?？梢?，無論是個人數據攜帶權立法進程、立法目的還是與之相關的配套制度，我國都與以歐盟為主的域外各國保持一致。總之，個人數據攜帶權的存在有很強的必要性，一方面，從其本身暗含的價值理念上，其能強化數據主體對其個人數據的控制，促進數據市場競爭，實現個人數據共享;另一方面，“個保法\"第四十五條對個人數據攜帶權作出規定反映出立法者對個人數據攜帶權所持的肯定態度，域外立法部分經驗對我國個人數據攜帶權立法具有一定借鑒意義，加之當前我國大數據產業蓬勃發展，個人數據攜帶權對此具有較強促進作用。但與域外立法相比，“個保法\"第四十五條對個人數據攜帶權的規定僅為原則性、概括性規定，未來仍需在該條基礎上，通過下位法立法或出臺相關法律解釋等方式予以細化。

二、個人數據攜帶權之客體范圍的廓清

廓清個人數據攜帶權客體范圍重點在于平衡數據主體與數據控制者間的利益，如果權利客體范圍過窄，則無法實現個人數據攜帶權強化數據主體對其個人數據控制的價值理念，也不利于個人數據自由流動;如果過寬，則會加重數據控制者合規成本，降低其創新積極性。當前，“個保法\"第四十五條尚未對個人數據攜帶權客體范圍作出規定。因此，應在“個保法\"第四十五條基礎上結合第四條對個人信息定義的規定，進一步廓清個人數據攜帶權客體范圍。

（一）以“三性”為核心的個人數據攜帶權客體構成要件

“個保法\"第四條第一款將個人信息定義為“以電子或其他方式記錄的與已識別或可識別的自然人有關的各種信息，不包括匿名化處理后的信息”，由此可得，個人信息主要包括關聯性和識別性兩個要件，且排除匿名化處理后的信息。個人數據攜帶權作為“個保法”的一部分，其客體構成要件同樣應以該條規定為依據，包含關聯性和識別性兩個要件，并排除匿名化處理后的數據。同時，考慮到數據控制者傳輸和儲存個人數據的成本，個人數據攜帶權客體構成要件還應包含必需性這一要件。

第一，關聯性是指數據主體行使個人數據攜帶權時請求復制或轉移的個人數據僅限于與其相關的。需重點關注的是“與其相關\"應達到何種程度才滿足關聯性這一要件。對此，歐盟第29條工作組認為，只要具備內容要素（該數據內容是關于某特定個人的）、目的要素（該數據是用于評估某特定個人的）或結果要素（該數據處理可能會對某特定個人合法權益造成影響）這三個要素的其中一個，即可認定該數據與某特定個人存在關聯性①。本文認為，第 29條工作組對個人數據關聯性認定方式存在一定合理性，但按此種方式認定會使只要某一數據與該個人存在一絲聯系即可認定二者存在關聯性，導致個人數據范圍過寬。英國信息專員辦公室（ICO）提出認定一個數據是否為個人數據時，集中性（該數據應以某特定個人為中心，而不是其他人、對象、交易或事件）應作為其中一個考慮因素②，該因素能在一定程度上限縮個人數據的范圍。因此，認定數據主體請求復制或轉移的數據是否與之存在關聯性時，可結合上述兩種方式綜合認定。具體而言，應以該數據內容為基礎，如果該數據內容是以其本人為中心的，則應直接認定該數據與之存在關聯性，如某人的身份證號，其內容是關乎本人身份信息，應認定二者間存在關聯性。如果該數據內容雖未以其本人為中心，但該數據是用于對其的評估或對該數據處理可能會對其權利或利益產生影響，仍應認定二者間存在關聯性，如某人的房屋產權信息，雖然該房屋產權信息內容是以該房屋為中心，但這一信息能夠用于認定本人對該房屋享有所有權，應認定二者間存在關聯性。當然，如果該數據內容不以其本人為中心，而以某一事件、交易、對象或其他人為中心，僅對其有所涉及，則二者間不存在關聯性，如某一學術會議的微信公眾號推文，雖然推文內容對某個人有所提及，但其是聚焦于某一學術會議而非某個人，因此無法認定推文內容與該個人存在關聯性。只有數據主體請求復制或轉移的數據與其存在關聯性，該數據才可能屬于作為個人數據攜帶權客體的個人數據。

第二，就識別性而言，通過“個保法\"第四條規定不難發現，主要分為已識別和可識別兩種類型，前者即數據主體已被完全識別，后者即數據主體存在被識別的可能性。判斷數據主體請求復制或轉移的數據是否具有識別性時，主要判斷該數據是否已識別或可識別，前者較易判斷，此處主要探討后者應如何認定。對于這一問題，有學者認為應從識別的主體（數據主體被識別的可能性是相對于特定數據控制者還是所有人）和識別的手段（前述識別的主體在認定數據主體被識別的可能性時所采取的手段需達到何種程度）兩方面加以認定[16]。判斷數據主體請求復制或轉移的數據是否符合識別性這一構成要件，識別的主體和識別的手段是其中重要內容，將二者結合認定更易精準判斷該數據是否可識別。在個人數據攜帶權法律關系中，識別的主體應限于轉移方數據控制者而非所有人。一方面，數據主體行使個人數據攜帶權具有相對性，是數據主體、轉移方數據控制者及接收方數據控制者三方法律關系，因而識別的主體也應在這一法律關系主體范圍內;另一方面，不同數據控制者受其技術、資金等因素影響存在差異，如果將識別的主體認定為所有人，則會導致個人數據攜帶權客體范圍過大，同時也會受各種差異影響增加轉移方數據控制者合規成本。對于識別的手段，應為轉移方數據控制者在利用其現有手段并付出最大努力后，該數據主體是否存在被識別的現實可能，不包括理論上的可能。如果將理論上的可能納人其中，但轉移方數據控制者現有手段無法實現，理論上的可能無法付諸現實，也無納入必要。就數據控制者是否利用其現有手段并付出最大努力的認定，考慮到不同數據識別的難度、數據主體請求復制或轉移的緊迫性不同，及數據控制者技術、資本等是不斷變化的，應綜合識別成本、數據控制者可能獲得的利益、數據處理的方式、可能面臨的風險等因素加以認定。

第三，必需性是指數據主體請求復制或轉移的個人數據應是復制或轉移事由所必需的?！皞€保法\"第六條第一款規定，個人信息的處理應當與處理目的直接相關，必需性正是該條規定具體體現。雖然個人數據攜帶權的價值理念之一在于增強數據主體對其個人數據的控制，但數據控制者傳輸和儲存個人數據需要付出一定成本;同時，個人數據對于數據控制者的價值不言而喻，如果數據主體無限量地請求數據控制者傳輸其個人數據，則會無端增加數據控制者處理成本，造成數據資源流失和浪費。將必需性作為個人數據攜帶權客體構成要件之一，不僅是對“個保法\"第六條第一款規定的積極遵循和回應，而且能在滿足數據主體行使個人數據攜帶權目的同時最大限度節省數據控制者因此產生的成本，更好地平衡二者利益。

不得不指出的是，經匿名化處理的數據無法成為個人數據攜帶權客體?！皞€保法\"第七十三條第四款對匿名化定義作出規定，即個人信息經處理無法識別特定自然人且不能復原的過程。由此可知，匿名化處理關鍵在于處理后無法識別且無法復原。此時，由于該數據不具有關聯性和識別性不屬于個人數據攜帶權客體，數據主體無法對匿名化處理后的數據行使個人數據攜帶權。同時將匿名化處理后的數據排除在個人數據攜帶權客體范圍外能在一定程度上免除數據控制者傳輸義務，減緩數據控制者傳輸成本，以平衡雙方利益。但隨著技術的發展，匿名化處理后的數據存在復原的可能性，諸如重新識別或去匿名化等技術手段能夠使匿名化處理的數據再復原[18]，再復原的數據將重新具有關聯性和識別性，如果其還符合必需性這一要件，則該數據也會重新成為個人數據攜帶權客體①。因此，匿名化處理后的數據應不存在復原的可能性，但復原的可能性因技術的發展及輔助信息的多少處于動態變化，是否存在復原的可能性也應結合復原所需的技術、資金、人力及輔助信息的數量等綜合判斷。

（二）以多層次劃分為基礎的個人數據攜帶權客體具體類型廓清

厘清個人數據攜帶權客體構成要件后，應將各類數據進行多層次劃分，探明其中哪些數據屬于個人數據攜帶權客體，明確其具體類型。以多層次劃分的方式廓清個人數據攜帶權客體的具體類型，具有諸多功能意義。其一，數據往往涉及多個領域，具有交叉性和重疊性，采用此分類方式有助于全面覆蓋各類數據，保證每一類別下的數據不與其他類別交叉和重疊。其二，多層次劃分的方式更易形成邏輯體系，有助于更好地判斷該數據是否屬于個人數據攜帶權客體。其三，不同數據對數據主體權利和利益的影響程度不同，采用此分類方式在一定程度上能基于影響程度大小對數據采取相應保護措施，保障數據主體合法權益。此外，《中華人民共和國數據安全法》（以下簡稱《數據安全法》）第二十一條建立了數據分類分級保護制度，此分類方式正是對該條規定的充分回應。具體而言，首先，數據往往來源于不同主體，在個人數據攜帶權法律關系中，可依數據來源不同劃分為來源于數據主體的數據和來源于數據控制者的數據;其次，來源于數據主體的數據都是數據主體提供給數據控制者的，只是提供方式有直接和間接之分，所以，可依數據主體提供方式不同劃分為直接數據和觀測數據。來源于數據控制者的數據通常是數據控制者對數據主體提供的數據進行加工形成的新數據，只是加工程度不同，此時，可以此劃分為推測數據和衍生數據;最后，“個保法”依個人信息敏感程度不同將個人信息分為敏感個人信息和非敏感個人信息，個人數據攜帶權作為“個保法”一部分同樣應遵循這一分類。因此，在完成前述劃分后，對屬于個人數據攜帶權客體的個人數據也應依敏感程度劃分為敏感個人數據和非敏感個人數據，數據控制者在傳輸敏感個人數據時應更為謹慎。

直接數據指數據主體主動且自愿提供給數據控制者的數據，如姓名、身份證號、家庭住址等。這類數據只要符合個人數據攜帶權客體構成要件，即屬于個人數據攜帶權客體。觀測數據指數據主體在使用產品或服務過程中被記錄下來的數據，如網站搜索記錄、淘寶交易記錄、智能手表健康記錄等。對于觀測數據是否屬于個人數據攜帶權客體，我國立法尚無規定，歐盟第29 條工作組在《指南》中對“數據主體提供的數據\"作出解釋①，將其納入個人數據攜帶權客體范圍。據此，觀測數據雖是數據主體“被動\"提供給數據控制者的數據，但由于這是數據主體使用產品或服務時留下的痕跡，能與數據主體直接對應，與之存在較強關聯性和識別性。因此如果觀測數據是數據主體請求獲取或轉移事由所必需的，應屬于個人數據攜帶權客體。

推測數據和衍生數據可統稱為數據控制者的加工數據，它們是在數據主體提供的數據基礎上加工形成的新數據。推測數據（又稱推斷數據）指數據控制者通過對數據主體提供的數據以算法算力計算形成的分析或評價其某一或某些能力或水平的數據，如消費水平評級、信用評級、健康評級等。衍生數據指數據控制者將其所掌握的數據主體提供的數據經脫敏化處理后，單獨或結合多個數據運用計算、統計、分析等方式形成的數據，脫敏化處理是衍生數據的重要特征。歐盟第29條工作組并未將推測數據和衍生數據納入個人數據攜帶權客體范圍②，表明歐盟對知識產權保護的重視。對于二者是否屬于個人數據攜帶權客體，本文認為，推測數據雖是評估數據主體某一或某些能力或水平的數據，與數據主體存在一定關聯性，但它是數據控制者基于其所掌握的算法等技術形成的新數據，不同數據控制者所掌握的技術不同即便對同一批數據形成的推測數據的質量、內容等也是存在區別的?；诖?，有學者主張，推測數據僅為數據的副產品，不應作為可攜帶的數據，因為這足以讓獲得先發優勢的公司比新進入市場的競爭者保持某種競爭優勢[20]。所以為保護這種競爭優勢，推測數據不屬于個人數據攜帶權客體。對于衍生數據，一方面，由于脫敏化處理使其與數據主體間不存在關聯性和識別性，不符合個人數據攜帶權客體構成要件。另一方面，有觀點認為，衍生數據是數據控制者投人大量智力勞動創造的無形財產，其與商業秘密的法律特征基本吻合，應作為商業秘密加以保護[21]。也有觀點認為，數據控制者對其采集的數據進行加工和處理可能使其享有數據生產者這一新身份，并似可創設整合為一種權利形態即數據生產者權[22]。在淘寶訴美景不正當競爭糾紛案③中，杭州鐵路運輸法院一審認為，被告美景未經原告淘寶許可直接獲取淘寶在收集用戶通過瀏覽、搜索、交易等行為產生大量觀測數據基礎上通過算法分析等技術形成的衍生數據并用作商用，損害了淘寶商業模式和競爭優勢，構成不正當競爭?？梢姛o論是學者觀點還是司法實踐，均認可衍生數據屬于知識產權客體。據此，衍生數據大多是數據控制者在其已掌握的數據主體提供的數據基礎上，投人大量成本形成的新數據，不同數據控制者因其技術、財力、人力、數據模型等客觀條件差異，形成的衍生數據各有千秋?？梢哉f，衍生數據大多是數據控制者深度挖掘原始數據潛在價值的產物，具有獨創性，作為知識產權客體無可厚非。因此，如果對衍生數據行使個人數據攜帶權則可能侵害數據控制者知識產權或商業秘密，降低其創新積極性，不利于市場競爭和大數據產業發展。所以，衍生數據也不屬于個人數據攜帶權客體。

不得不說的是，將觀測數據和衍生數據排除在個人數據攜帶權客體范圍外，是否與促進市場競爭這一價值理念相沖突？又是否會加劇數據控制者對數據的壟斷？在行吟信息科技（上海）有限公司與廈門某甲網絡科技有限公司、廈門某乙網絡科技有限公司等不正當競爭糾紛案①中，杭州中院二審認為，個人數據攜帶權應滿足其指向的數據為個人數據和個人數據的處理必須由數據主體主動提出兩個要件。如無法識別數據主體的數據，或數據處理并非個人同意且主動提出而從其他數據控制者處獲取，則無法適用個人數據攜帶權。本案中，某甲公司、某乙公司獲取和使用的部分數據雖為個人數據，但這些個人數據的處理并非由數據主體主動提出，因此不應適用個人數據攜帶權。同時，這些個人數據是行吟公司規?；揖呱虡I價值的數據集合，具有超出原始信息內容的增量價值，某甲公司、某乙公司獲取和使用這些個人數據妨害了行吟公司基于該商業生態通過數據資源獲得競爭利益，構成不正當競爭?？梢姡痉▽嵺`中，法院將推測數據和衍生數據排除個人數據攜帶權客體范圍外，主要在于保護其所具有的增量價值，保障數據控制者基于此獲得的競爭利益，維護市場競爭秩序。因此，之所以將直接數據和觀測數據納入個人數據攜帶權客體范圍，是因為此類數據來源于數據主體，不涉及其他數據控制者的利益，對此類數據行使個人數據攜帶權能夠便于如中小型企業、新進企業等數據控制者因此推出獨具其特色的產品或服務，提高其市場競爭力，從而促進市場競爭，打破數據壟斷。而推測數據和衍生數據大多是數據主體以直接數據和觀測數據為基礎，投入大量人力、財力、技術等形成的新數據，具有一定的增量價值，這能幫助數據控制者在市場競爭中占據優勢，如果對此類數據行使個人數據攜帶權，會讓部分數據控制者有了不勞而獲的理由，也會降低數據控制者的創新積極性。可見，將推測數據和衍生數據排除個人數據攜帶權客體范圍外，不會加劇數據控制者的壟斷，反而能鼓勵數據控制者創新，促進相關產業蓬勃發展。

綜上所述，個人數據攜帶權客體僅包括直接數據和觀測數據，不包括推測數據和衍生數據?！皞€保法\"將個人信息劃分為敏感個人信息和非敏感個人信息，并在第二章第二節對敏感個人信息的處理制定了更加嚴格的規則，個人數據攜帶權作為“個保法”一部分，其客體即直接數據和觀測數據同樣應以敏感程度不同劃分為敏感個人數據和非敏感個人數據。由于敏感個人數據的處理可能對數據主體權利和利益產生較大影響，此時，數據控制者在轉移敏感個人數據時應采取更為嚴格的措施。具體而言，數據主體在請求復制或轉移時，數據控制者應在轉移前對傳輸個人數據可能產生的影響進行評估，并在評估完成后告知數據主體傳輸該個人數據可能對其權利或利益產生的影響。由于未成年人認知水平有限，如果請求復制或轉移的是未滿14周歲未成年人的個人數據，還應征得其監護人同意。此外，數據控制者應記錄并保存敏感個人數據的傳輸情況，允許數據主體（如數據主體為未滿14周歲未成年人還應包含其監護人）進行查閱和提出異議，以更好地保護敏感程度較高的個人數據。

三、個人數據攜帶權之內容與邊界

廓清個人數據攜帶權客體范圍后，需從權利結構和個人數據傳輸標準兩方面明確個人數據攜帶權權利內容。同時，任何權利的行使都不是漫無邊界的，需探明個人數據攜帶權的權利邊界，平衡不同利益。

（一）個人數據攜帶權權利結構及個人數據傳輸標準的明晰

對于個人數據攜帶權權利結構，“個保法\"第四十五條將個人數據攜帶權細分為個人數據副本復制權和個人數據轉移請求權兩項子權利。就兩項子權利的內涵，前者可總結為數據主體無障礙地從數據控制者處取回其提供的與其相關的個人數據的權利；后者即為數據主體請求數據控制者將其提供的與其相關的個人數據以特定格式無障礙地傳輸至其指定的其他數據控制者的權利。有學者認為，除上述兩項子權利，個人數據攜帶權還包括數據主體將其從數據控制者處復制的個人數據無障礙地轉移至其他數據控制者的權利，即個人數據轉移權[23]，本文認為，數據主體從數據控制者處復制其個人數據后自然有權以自己的意志自由轉移，所以個人數據攜帶權包含該子權利自不待言。因此，個人數據攜帶權包含個人數據副本復制權、個人數據轉移權和個人數據轉移請求權三項子權利。厘清個人數據攜帶權權利結構后，需討論的是，無論復制或轉移個人數據，其應符合怎樣的格式標準，以及其在不同主體間傳輸時系統間應達到何種傳輸標準。

當前，“個保法”尚未對個人數據格式標準作出規定。《條例》第20條規定個人數據格式標準應為結構化、通用、機器可讀且以自動化方式處理。具體來說，結構化是指具有清晰結構，依循特定語法或模式，事先經人為組織的數據，它被存儲在關系數據庫中，可通過結構化查詢語言被操作和使用[24]；對于通用和機器可讀，歐盟第29條工作組在《指南》中作出解釋，前者是指在給定行業或給定環境中無常用格式情況下，數據控制者應使用常用開放格式（如 XML、JSON、CSV等）提供個人數據。后者是指一種文件格式，其結構可使軟件應用程序輕松識別和提取特定數據①；自動化則可解釋為個人數據應以電子化方式記錄。本文認為，《條例》對個人數據格式標準的規定較為合理，但自動化表述稍顯內斂，直接表述為電子化更為清晰。且《中華人民共和國民法典》（以下簡稱《民法典》）第一千零三十四條、《中華人民共和國網絡安全法》第七十六條、《數據安全法》第三條中對以電子化方式記錄的信息進行規定時均直接表達為“電子”，所以直接表述為電子化更貼合我國現行立法表述?；诖?，將個人數據格式標準界定為“結構化、電子化、通用化、機器可讀\"更為適宜。

對于個人數據傳輸系統應達到何種傳輸標準，《條例》指出需滿足無障礙和技術可行。無障礙較好理解，對于技術可行，歐盟第29條工作組在《指南》指出鼓勵數據控制者間以互操作方式傳輸個人數據，不強制采用或維護技術上兼容的處理系統①。然而，第29條工作組這一解釋存在的弊端在于如果僅鼓勵互操作，不強制采用相兼容的處理系統，則可能導致不同主體間無法順利傳輸個人數據，數據控制者可以此為由拒絕數據主體個人數據復制或轉移請求，使個人數據攜帶權被變相架空。因此，個人數據傳輸系統的傳輸標準應強制滿足兼容性要求。我國“個保法\"第六十二條規定，國家網信部門統籌協調有關部門制定個人信息保護具體規則和標準。所以，要加快推進以國家網信部門統籌協調有關部門為主導，各行業協會、互聯網企業、研究機構、高等院校等利益相關者參與，共同制定一套統一的兼容性個人數據傳輸系統的傳輸標準，需注意的是，這一標準應是最低水平且具有強制性，確保不同主體都能無障礙地傳輸個人數據。在此基礎上，不同行業可根據行業內部需要制定更高水平的操作標準，但這種標準僅為鼓勵性。對于中小型企業、新進企業等數據控制者，可能因財力、技術等限制無法立即達到最低標準。此時應為其設置一定期限的緩沖期，在緩沖期內其無需以最低標準傳輸個人數據，可以諸如非結構化、非通用化的個人數據副本格式[25]等方式傳輸。同時，各行業主管部門應在此期間為其提供指導，給予經濟、技術等方面的扶助，緩解其合規負擔，幫助其在緩沖期內達到最低標準。此外，在最低標準形成前，為確保個人數據正常傳輸，不同主體間可利用其現有個人數據傳輸系統和個人數據格式盡可能實現無障礙傳輸，如無法實現無障礙傳輸，則可通過U盤、光盤、硬盤等物理介質代替傳輸。

（二）以平衡不同利益為目的的個人數據攜帶權權利邊界的界定

任何權利的行使都是有邊界的，個人數據攜帶權作為一項新興權利，其行使同樣存在邊界。因此，應明確界定個人數據攜帶權的權利邊界，避免與其他權利和利益產生沖突。對于權利邊界的界定，可以比例原則為核心，平衡不同利益。盡管比例原則在公法領域更為常見，但比例原則在法學領域具有價值傾向，是一種衡量的工具與尺度。所以，比例原則在個人數據攜帶權權利邊界的界定上同樣有其適用空間，其所涵蓋的三個子原則（必要性原則、適當性原則、最小損害原則）在該項權利邊界界定上主要以最小損害原則為主，這一子原則的內容具體到該項權利邊界界定上可總結為數據主體行使個人數據攜帶權的行為應對其他權利或利益造成的影響是最小的。

第一，應處理好個人數據攜帶權與個人數據刪除權的關系。不同權利間存在沖突在所難免，權利沖突主要是其所反映的價值理念不同，在個人數據攜帶權和個人數據刪除權中，前者主要反映個人信息自決和促進市場競爭的價值理念，后者強調個人隱私保護的價值理念[26]。對此，本文認為，個人數據刪除權應優于個人數據攜帶權。一方面，個人隱私具有私密性，一旦遭受侵害可能對數據主體權利和利益產生不利影響，個人數據刪除權賦予數據主體自主決定是否禁止其個人數據流轉[27]以更好地保護其個人隱私。相比之下，個人數據攜帶權所反映的個人信息自決和促進市場競爭的價值理念對數據主體產生的影響及對其保護的現實緊迫性小于個人隱私。因此，依據比例原則中最小損害原則，二者出現沖突時，個人信息自決和促進市場競爭這一價值理念對個人隱私保護構成的損害應是最小的，后者應優先于前者。另一方面，從數據主體對其個人數據的控制力來說，個人數據刪除權的控制力明顯強于個人數據攜帶權，控制力更強的權利自然應優先。具體到“個保法\"第四十七條對個人數據刪除權的規定，如滿足該條規定的五項情形，則無論數據主體是否行使個人數據攜帶權，數據控制者都應主動刪除個人數據，例如，數據主體行使第四十七條第三款規定的撤回數據控制者處理對其個人數據的同意，則數據控制者自然無權傳輸其個人數據，應主動刪除其個人數據。當然，這兩項權利均為獨立的權利，如不存在“個保法\"第四十七條規定的情形，數據主體請求數據控制者復制或轉移其個人數據后，并不意味著數據控制者應同時刪除其個人數據，若數據主體未行使個人數據刪除權，數據控制者仍可保留其個人數據。

第二，應處理好個人數據攜帶權與第三人權利和利益的關系。數據主體的個人數據不是孤立存在的，其往往與第三人的個人數據相交織，如果不加限制地行使個人數據攜帶權可能會對第三人權利和利益產生影響。因此，數據主體對此類個人數據行使個人數據攜帶權時，首先應判斷二者能否分割，如果能直接分割，根據最小損害原則，此時對第三人權利和利益產生的影響是最小的，數據主體應在分割后再行使個人數據攜帶權。但大多情況下因個人數據交織的復雜性往往無法直接分割，此時，需取得第三人的同意再行使個人數據攜帶權。關于第三人的同意，本文認為，出于保障數據主體行使個人數據攜帶權效率及對第三人的權利和利益產生的影響是最小的考慮，無需要求數據主體取得所有第三人同意，而是取得“利益相關第三人\"即“對該個人數據行使個人數據攜帶權可能對其權利和利益產生明顯影響的人\"同意即可，如情侶二人在旅游景區約會時拍下一張合照，但合照中還包含其他游客，根據最小損害原則，其他游客屬于照片中無關人員，情侶二人中一人行使個人數據攜帶權幾乎不會對其權利和利益造成損害，但情侶另一方屬于照片中的主角，權利的行使會對其權利和利益產生影響，此時只需取得情侶另一方同意即可，無需取得照片中所有游客同意。此外，對利益相關第三人的“同意\"應做擴張解釋，即該同意既包括同意數據主體復制或轉移該個人數據，也包括同意接收該個人數據的數據控制者對其進行處理。如果數據控制者在接收個人數據后對涉及第三人個人數據的處理還需再征得第三人同意可能會大幅降低個人數據處理效率，增加數據控制者成本，也可能對數據主體行使個人數據攜帶權想要達到的自的造成影響。但為避免接收方數據控制者借此便利濫用第三人個人數據，損害第三人合法權益，其在處理此類個人數據時應合理處理，超出合理范圍處理的第三人有權要求其停止處理。同時，即使在合理處理范圍內，數據控制者也應切實保障第三人權利和利益，如第三人權利和利益因其處理行為造成損害，則第三人有權要求其承擔相應責任。

第三，應處理好個人數據攜帶權與國家利益、社會公共利益間的關系?！稐l例》對此采取“一刀切\"的方式，即凡涉及國家利益、社會公共利益的個人數據處理均無法行使個人數據攜帶權①。這種“一刀切\"的方式過于絕對，二者關系應辯證看待。目前，與個人數據密切相關的國家利益、社會公共利益主要是國家安全和公共安全[28]。因此，如果公權力機關為維護國家安全與公共安全依職權收集的個人數據，如公安機關為偵破電信詐騙案件開展刑事偵查收集的犯罪嫌疑人和被害人的個人數據，此時，個人數據更多承載的是公共利益[29]，公共之善優于個人之善[30]，出于更好地維護國家安全和公共安全，保障更為重要和廣泛的利益，大多情況下，私人利益應讓渡于國家利益、社會公共利益，數據主體不得行使個人數據攜帶權。當然，根據最小損害原則，如果此時數據主體行使個人數據攜帶權的確不會對國家安全與公共安全產生不利影響，為平衡二者利益，數據主體可對此行使個人數據攜帶權。如果根本不涉及維護國家安全與公共安全，數據主體此時行使個人數據攜帶權并不會對國家利益與社會公共利益產生不利影響，反而會為數據主體帶來更多便利，應允許數據主體行使個人數據攜帶權。例如，數據主體向公共部門辦理各種事項時需填寫各類表單提供個人數據，為避免重復填寫表單的繁瑣，應允許數據主體行使個人數據攜帶權，此舉也能促進公共部門間數據共享，打破部門藩籬，消除“數據孤島”[31]。

此外，數據主體和數據控制者間的利益平衡同樣重要，數據主體反復請求數據控制者復制或轉移其個人數據時應如何處理則為其中最常見的問題。有關這一問題，我國現行立法尚無規定，《條例》第12條第5款規定，數據主體的請求是重復性且數據控制者能證明明顯毫無依據時，數據控制者可向數據主體收取一定費用或拒絕其請求。本文認為，數據主體行使個人數據攜帶權時，出于需要反復請求數據控制者復制或轉移其個人數據在所難免，但如果其反復提出的請求已超合理限度或無必要，則會加重數據控制者的負擔?！稐l例》這一規定在該情形下具有一定合理性，但如允許數據控制者拒絕數據主體復制或轉移請求，則會為數據控制者以重復性為由逃避履行個人數據傳輸義務留有一絲空間。因此，根據最小損害原則，數據控制者此時可視情況向數據主體收取一筆合理費用，但不得拒絕數據主體的請求。該種方式既能避免無端加重數據控制者的負擔，也能保障數據主體行使其個人數據攜帶權，以平衡二者利益。

四、侵害個人數據攜帶權的行為類型、責任與權利救濟機制

保障數據主體行使個人數據攜帶權是個人數據攜帶權實現路徑中的重要一步。此時，應確定侵害個人數據攜帶權的行為類型，并以此劃分主體責任，建立權利救濟機制，充分保障數據主體合法權益。

（一）侵害個人數據攜帶權的行為類型：阻礙數據主體控制其個人數據傳輸

個人數據攜帶權的核心是數據主體請求數據控制者向其或其指定的數據控制者傳輸其個人數據，可見，個人數據攜帶權賦予了數據主體對其個人數據傳輸的控制，包括傳輸數量、對象等。因此，侵害個人數據攜帶權的行為本質上是阻礙數據主體控制其個人數據傳輸。基于此，可將這一行為分為五種類型，包括數據控制者拒絕履行個人數據傳輸義務、數據控制者個人數據傳輸義務履行不合要求、數據控制者客觀上無法履行個人數據傳輸義務、數據控制者超出合理期限仍未履行個人數據傳輸義務及數據主體非真實意愿行使個人數據攜帶權。

第一，數據控制者拒絕履行個人數據傳輸義務包括數據控制者直接拒絕履行和以其行為表明拒絕履行。前者較易理解，至于后者，歐盟第29條工作組在《指南》中作出解釋：“數據控制者為阻止或減緩數據主體訪問、傳輸或再利用其個人數據設置的法律、技術或經濟障礙，如其所提供的個人數據格式缺乏互操作性等。”①有學者提出，一些互聯網企業常以保護用戶個人數據為由干預其他企業獲取用戶個人數據，該行為已超出保護用戶個人數據的必要限度，侵害了用戶個人數據攜帶權[32]。簡言之，數據控制者以其行為表明拒絕履行是其雖同意履行個人數據傳輸義務或未直接拒絕，但通過設置技術障礙等干預行為導致數據主體無法控制其個人數據傳輸，實質上仍構成拒絕履行，侵害了數據主體個人數據攜帶權。

第二，數據控制者個人數據傳輸義務履行不合要求包括數據控制者傳輸數量錯誤和傳輸對象錯誤。此時，數據控制者雖積極履行了個人數據傳輸義務，但無論是數量錯誤還是對象錯誤，客觀上都阻礙了數據主體控制其個人數據傳輸，前者阻礙了數據主體對個人數據傳輸數量的控制，后者則對數據主體對個人數據傳輸方向的控制構成阻礙，不符合數據主體的要求，侵害了其個人數據攜帶權。

第三，數據控制者客觀上無法履行個人數據傳輸義務指因數據控制者未采取足夠的安全保障措施導致個人數據在傳輸前或傳輸中滅失，最終無法傳輸至數據主體指定的對象。此時，數據控制者雖愿意履行個人數據傳輸義務，但由于其未采取足夠的安全保障措施導致個人數據滅失使其客觀上無法履行，阻礙了數據主體控制其個人數據傳輸，對其個人數據攜帶權造成侵害，數據主體有權要求數據控制者承擔責任。同時，數據控制者還應就個人數據的滅失向數據主體承擔責任。需注意的是，如果個人數據的滅失是因數據控制者未采取足夠的安全保障措施導致黑客人侵所致，黑客需承擔的是諸如竊取數據主體個人數據這類行為產生的法律責任，但其沒有傳輸數據主體個人數據的義務，并未侵害數據主體的個人數據攜帶權，無需對此承擔責任。

第四，數據控制者超出合理期限仍未履行個人數據傳輸義務指數據控制者在數據主體提出請求之日起的合理期限內尚未將其個人數據傳輸至其指定對象，也未告知其合理原因。數據控制者超出合理期限都未履行個人數據傳輸義務自然侵害了數據主體的個人數據攜帶權，此處最為重要的是合理期限界定。我國立法尚未對此作出規定，僅在“個保法\"第五十條指出個人信息處理者者拒絕個人行使權利請求時應說明理由，而《條例》第12條第3款規定，數據控制者應在數據主體提出請求后一個月內提供信息，必要情形下可延長至三個月，但應在收到請求后一個月內將延長事由予以告知。同時第4款規定，數據控制者如未采取相應行動對數據主體請求作出回應，應在收到請求后一個月內告知原因。本文認為，個人數據攜帶權涉及較多行業且在我國尚處起步階段，可酌情參考歐盟立法經驗，在“個保法\"第五十條規定基礎上，先行設定一個供所有行業統一適用的最長合理期限。具體而言，數據控制者應在收到數據主體請求之日起45日內履行個人數據傳輸義務，如確需延長，至多延長至90日。同時數據控制者應在收到數據主體請求之日起20日內告知其延長事由，如無法履行個人數據傳輸義務，應在收到數據主體請求之日起20日內告知原因，并提出替代或救濟方案。在此基礎上，為順應行業發展趨勢，各行業可根據行業內部情況，設置更短合理期限。

第五，數據主體非真實意愿行使個人數據攜帶權指數據控制者為自身利益以脅迫、欺詐等方式使數據主體非基于其真實意愿行使個人數據攜帶權。個人數據攜帶權以個人信息自決為基礎，數據主體有權自主決定是否行使個人數據攜帶權，如果數據控制者以脅迫、欺詐等方式迫使其在非真實意愿下行使個人數據攜帶權，則侵害了其個人數據攜帶權，因為其可能并無指示數據控制者傳輸其個人數據的意愿。真實意愿的衡量是其中重點，有學者主張，可通過同意當場是否存在威脅、表達不同意時是否存在責任后果、同意是否可隨時撤回等因素加以認定[33]，本文認為，在此基礎上還可參考數據主體是否在掌握真實情況下行使權利、雙方訂立合同時數據主體是否對合同條款完全理解等因素，更為全面地判斷數據主體是否基于其真實意愿行使個人數據攜帶權。對于此類行為，數據主體既可參考《民法典》民事法律行為可撤銷事由相關規定請求撤銷，同時還可要求數據控制者因脅迫、欺詐等行為侵害其個人數據攜帶權承擔相應責任。

（二）侵害個人數據攜帶權的主體責任劃定

“個保法\"對主體責任規定可總結為“民事責任和行政責任為主，刑事責任兜底”，個人數據攜帶權作為“個保法”一部分，侵害個人數據攜帶權的主體責任也應以此為基礎劃定。個人數據攜帶權主要涉及數據主體、轉移方數據控制者和接收方數據控制者三方主體，責任劃定應以此展開。

對于民事責任，數據主體可主張數據控制者對其承擔違約責任和侵權責任，如二者出現競合，擇其一主張。就違約責任，主要看數據主體與數據控制者間訂立的合同中有無涉及個人數據攜帶權條款，如存在相關條款且數據控制者未按合同約定履行個人數據傳輸義務，則數據主體可依照《民法典》違約責任相關規定請求數據控制者承擔違約責任。就侵權責任，“個保法\"第六十九條就歸責原則作出規定，該條采取過錯推定原則認定個人信息處理者是否承擔侵權責任。數據控制者侵害數據主體個人數據攜帶權侵權責任認定同樣應適用過錯推定原則，這是由于個人數據傳輸涉及大量專業知識，大多數據主體并不具備這方面知識，如果讓其證明數據控制者存在過錯則不利于維護其合法權益，為平衡主體利益，應由數據控制者承擔證明責任。此時如數據控制者因其行為阻礙數據主體控制其個人數據傳輸，侵害數據主體個人數據攜帶權，除非其能證明自己并無過錯，否則都應對此承擔侵權責任。就侵權責任中損害賠償責任認定，重點是確定賠償數額，本文認為，為尊重當事人意思自治，應先由雙方協商確定。如雙方無法協商，可根據數據控制者因阻礙數據主體控制其個人數據傳輸因此獲得的利益或數據主體因此受到的損失為依據確定。如仍無法確定，可由法院等第三方根據實際情況確定。此外，當數據主體個人數據攜帶權遭受侵害，其有義務采取措施防止損害結果擴大，如果因其原因導致損害結果進一步擴大，可酌情減輕數據控制者責任。

對于行政責任，“個保法\"第六十六條作出詳細規定，既包括警告、罰款、責令停產停業、沒收違法所得、吊銷許可證或營業執照五種一般行政處罰類型，又包括責令暫?；蛘呓K止相關應用程序提供服務及禁止直接負責的主管人員和其他責任人員在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人兩種凸顯個人信息保護色彩的處罰措施。如數據控制者侵害數據主體個人數據攜帶權需承擔行政責任，應以警告、罰款、沒收違法所得三類行政處罰為主，其余處罰應謹慎適用，這是因為通常情況下數據主體更希望通過救濟順利行使個人數據攜帶權，實現個人數據無障礙傳輸，其余處罰反而對數據主體行使個人數據攜帶權構成更大阻礙，在適用時需更為謹慎。此外，個人數據攜帶權涉及行業眾多，各行業內部可根據本行業基本情況，建立或完善行政追責體系，以更好地規范行業秩序。

對于刑事責任，侵害個人數據攜帶權的行為目前暫無追究刑事責任的必要。一方面，《中華人民共和國刑法》與此相關的罪名只有第二百五十三條之一“侵犯公民個人信息罪”，但該罪名具體內容與侵害個人數據攜帶權本質（即阻礙數據主體對其個人數據傳輸的控制）相去甚遠，不具有可適用性。另一方面，對阻礙數據主體控制其個人數據傳輸行為追究刑事責任恐過于嚴苛，代價過大。數據主體完全能通過其他部門法尋求救濟保障其合法權益，刑法謙抑性表明侵害個人數據攜帶權行為暫時不宜入刑[8]。此外，“個保法\"第七十一條將刑事責任作為兜底性規定也反映立法者對追究刑事責任所持的謹慎態度。

（三）數據主體的權利救濟機制

當數據主體對其個人數據傳輸的控制受到阻礙，無法行使個人數據攜帶權時，應獲得及時救濟。可構建“內外結合，由內而外”的權利救濟機制?！皟萛"即數據控制者存在前述五類行為時，數據主體應先向數據控制者提出異議，再次請求數據控制者按其要求履行個人數據傳輸義務或告知替代方案及救濟措施。數據控制者應依照“個保法\"第五十條規定為數據主體建立便捷的異議受理及處理機制，并針對其提出的異議在合理期限內作出回應，以充分回應其訴求。“外\"即如數據主體與數據控制者未能協商一致，可向縣級以上地方人民政府履行個人信息保護職責的部門提出申訴。前述部門應按照“個保法\"第六十二條第二款規定的職責，及時接受并處理數據主體因其對個人數據傳輸的控制受阻提出的申訴，使其得到及時有效的救濟。國家網信部門也應根據“個保法\"第六十三條第五款規定，統籌協調有關部門定期完善數據主體申訴機制，為其獲得救濟提供便利。當然，數據主體也可直接向法院提起訴訟?！皟韧饨Y合\"既能尊重數據主體和數據控制者雙方意思自治，為雙方提供更多機會化解糾紛，又能為數據主體提供更多保障，使其權利遭受侵害時獲得充分救濟?！坝蓛榷鈂"即數據主體向數據控制者提出異議前，不得直接向縣級以上地方人民政府履行個人信息保護職責的部門提出申訴或向法院提起訴訟，主要考慮到通常情況下數據主體與數據控制者直接協商就能化解糾紛，所以“由內而外\"能在一定程度上有效緩解縣級以上地方人民政府履行個人信息保護職責的部門或法院受理繁雜申訴或案件的壓力，優化資源配置。此外，“個保法\"第七十條對公益訴訟作出規定，但個人數據攜帶權法律關系僅涉及三方主體，侵害個人數據攜帶權很難導致眾多個人權益受損，如存在此類情形，有權提起公益訴訟的主體可向法院提起公益訴訟維護受害人合法權益。

五、結語

個人數據攜帶權是大數據產業蓬勃發展下的一項新興權利，其具有增強數據主體對其個人數據控制、促進數據市場競爭等價值理念。對比我國立法現狀和域外立法情況，域外立法部分經驗對我國個人數據攜帶權立法具有一定借鑒意義。個人數據攜帶權在我國存在與發展十分必要?；诖耍蓸嫿òP聯性、識別性、必需性在內的權利客體構成要件，并以此為基礎進行多層次劃分廓清權利客體具體類型。對于權利內容，個人數據攜帶權包含個人數據副本復制權、個人數據轉移權及個人數據轉移請求權三項子權利，基于此，將個人數據格式標準界定為“結構化、電子化、通用化、機器可讀”，并加快推進統一的兼容性個人數據傳輸系統的傳輸標準構建。同時，應以比例原則為核心，界定權利邊界以平衡不同利益。最后侵害個人數據攜帶權行為本質是阻礙數據主體控制其個人數據傳輸，據此將侵權行為類型劃分為包含數據控制者拒絕履行個人數據傳輸義務在內的五種類型，并由此劃分主體責任、構建“內外結合，由內而外”的權利救濟機制。當前，個人數據攜帶權在我國尚處起步階段，未來可考慮率先在數據政策相對成熟的地區、數字化水平較為發達的行業、促進競爭和鼓勵創新的領域及個人數據安全保護能力較強的平臺[實現個人數據攜帶權，再逐步推廣到全行業適用?！皞€保法”第四十五條初步立法是個人數據攜帶權立法在我國邁出的第一步，期待未來取得更大突破。

參考文獻

[1］習近平.高舉中國特色社會主義偉大旗幟為全面建設社會主義現代化國家而團結奮斗——在中國共產黨第二十次全國代表大會上的報告[N].人民日報，2022-10-26（1）.

[2]梅夏英.信息和數據概念區分的法律意義[J].比較法研究，2020（6）：151-162.

[3]申衛星.論個人信息權的構建及其體系化[J].比較法研究，2021（5）：1-13.

[4]程嘯.論大數據時代的個人數據權利[J].中國社會科學，2018（3）：102-122，207-208.

[5］維克托·邁爾-舍恩伯格，肯尼斯·庫克耶.大數據時代：生活、工作與思維的大變革[M].盛楊燕，周濤，譯.

杭州：浙江人民出版社，2013：127.

[6]汪慶華.個人信息權的體系化解釋[J].社會科學文摘，2022（4）：118-120.

[7］張哲.探微與啟示：歐盟個人數據保護法上的數據可攜權研究[J].廣西政法管理干部學院學報，2016（6）：43-48.

[8]趙吟.數據可攜權的實現路徑：基于開放銀行的分析[J].華東政法大學學報，2024（2）：67-82.

[9]王錫鋅.個人信息可攜權與數據治理的分配正義[J].環球法律評論，2021（6）：5-22.

[10]汪慶華.數據可攜帶權的權利結構、法律效果與中國化[J].中國法律評論，2021（3）：189-201.

[11]尚海濤.論我國數據可攜權的和緩化路徑[J].科技與法律，2020（1）：86-94.

[12]金耀.數據可攜權的法律構造與本土構建[J].法律科學（西北政法大學學報），2021（4）：105-116.

[13]卓力雄.數據攜帶權：基本概念，問題與中國應對[J].行政法學研究，2019（6）：129-144.

[14]董春華.新加坡《個人數據保護法》中的“數據攜帶”[N].中國社會科學報，2021-06-07（7）.

[15]何金海.論我國個人信息可攜帶權的客體范圍[J].山東科技大學學報（社會科學版），2022（2）：66-74.

[16]程嘯.個人信息范圍的界定與要件判斷[J].武漢大學學報（哲學社會科學版），2024（4）：128-140.

[17]PAUL OHM. Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization[J].UCLALawReview， 2010（6）： 1701-1777.

[18]夏慶鋒.個人信息匿名化制度的反思與改進[J].財經法學，2024（5）：41-58.

[19]汪文涵.匿名化個人信息再識別風險的層理透視與靶向治理[J].征信，2024（11）：50-59.

[20]HONDAGNEU-MESSNER.Data Portability： A Guide and a Roadmap [J].RutgersComputer and TechnologyLaw Journal，2021， vol.47（2）： 255.

[21］劉雙陽、李川.衍生數據的財產屬性及其刑法保護路徑[J].學術論壇，2020（3）：39-47.

[22]姚佳.企業數據的利用準則[J].清華法學，2019（3）：114-125.

[23]劉輝.個人數據攜帶權與企業數據獲取“三重授權原則\"的沖突與調適[J].政治與法律，2022（7）：114-131.

[24]李伯軒.數據攜帶權的反壟斷效用：機理、反思與策略[J].社會科學，2021（12）：105-116.

[25]化國宇，楊晨書.數據可攜帶權的發展困境及本土化研究[J].圖書館建設，2021（4）：113-122.

[26]LIWENlONG.ATaleof Two Rights：Exploring The Potential Conflict BetweenRight to Data Portability andRight to Be Forgoten under the General Data Protection Regulation[J]. International Data Privacy Law，2018（4）： 309-317.

[27]謝琳，曾俊森.數據可攜權之審視[J].電子知識產權，2019（1）：28-39.

[28]李蕾.數據可攜帶權：結構、歸類與屬性[J].中國科技論壇，2018（6）：143-150.

[29]張力，黃鑫.大數據背景下個人信息保護的公私法銜接[J].重慶郵電大學學報（社會科學版），2021（1）：47-55.

[30]高志宏.公共利益觀的源流及時代要義[J].學海，2019（5）：22-26.

[31]丁曉東.論數據攜帶權的屬性、影響與中國應用[J].法商研究，2020（1）：73-86.

[32]郭傳凱.走出網絡不當競爭行為規制的雙重困境[J].法學評論，2020（4）：144-155.[33]商希雪.個人信息隱私利益與自決利益的權利實現路徑[J].法律科學（西北政法大學學報），2020（3）：71-85.

[34]仲春，王政宇.競爭法視野下的數據攜帶權及踐行構思[J].電子知識產權，2021（5）：4-17.

The Value Concept and Realization Path of Personal Data Portability Right

Feng Yi

（Southwest University of Political Science and LawSchool of Civil and Commercial Law， Chongqing 401120）

Abstract：As an emerging right， Personal Data Portability Right has some concepts such as strengthening the data subject's control over their personal data and promoting competition in the data mark. Article 45 of the Personal Information Protection Law of the People's Republic of China only provides a principled provision on Personal Data Portability Right，and it still needs to be detailed in future legislation. Therefore，it is necessary to establish the constituent elements of the right's object with relevance， recognizability，and necessity as the core，and on this basis，carry out multi-level division to clarify the specific types of the right's object. Clarifying the right's structure， establishing a standardized format for personal data that is \"structured， electronic，universal，and machine-readable\"，and constructing aunified and compatible transmission standard for personal data transmission systems. At the same time， the boundaries of the right should be defined based on the principle of proportionality to balance diferent interests.The types of acts that infringe upon Personal Data Portability Right should be clearly defined， and based on this，the main responsibilities should be determined and a \"combination of internal and external，starting from the inside\" rights relief mechanism should be established. Ultimately， this will lay the foundation for the realization of Personal Data Portability Right and the prosperous development ofthe big data industry.

Key Words： Personal Data Portability Right；Personal Data；Data Subject；Data Controller; Balancing of Interest

（責任編輯：易曉艷）