苗 振 林

(河南省高级人民法院，河南 郑州 450000)

大数据时代，隐私保护成为世界性难题。前不久，Facebook公司超过8700万用户数据泄露，深陷“剑桥分析丑闻”事件。随着该事件的持续发酵，扎克伯格为此参加美国参议院和众议院听证会，该事件再度引起人们对信息社会中数据安全面临的风险的恐慌。在国内，百度公司李彦宏在中国高层发展论坛发表“中国人更开放，对隐私问题没那么敏感”更是引起轩然大波。互联网便捷了信息的传播，催生了搜索引擎、电子商务、移动社交软件、O2O、共享经济等一些令人兴奋的商业模式，未来人工智能和区块链将带来更加革命性的变化。但是，在产业迅猛发展的同时，牺牲隐私保护的事件屡禁不止，二者之间的关系也愈发紧张，单纯从技术角度已无法维持二者的动态平衡，全球开启新一轮个人信息保护立法就是对此种现象的制度回应。

2018年5月25日，欧盟《一般数据保护条例(GDPR)》(以下简称“GDPR”)将正式实施，其实施效果必将受到国际社会的密切关注，并影响其他国家或地区的个人信息保护立法。在这部被外界称为“史上最严的个人数据保护条例”中，扩大的地域适用范围、强化的被遗忘权、新型的数据可携权、高额的罚款以及一站式监管等成为制度亮点。为了构建欧洲数字化单一市场(Digital Single Market)并促进欧盟数字经济发展，欧盟立法机构在此次开始于2012年的个人数据保护改革中创造性地引入了“数据可携权(Right to Data Portability)”。对于这项性质模糊、适用复杂的权利，欧盟又在2017年发布了相关指引，以提升该权利的可操作性。当前，我国正处于数字经济蓬勃发展时期，个人信息保护、数据权属等问题亟待理论构建和中国方案的提出，为此本文将对数据可携权予以评析，以期为我国未来数据立法提供域外立法的参考。

一、数据可携权的立法背景

数据可携权的基本理念在于“个人能够将其个人数据和资料从一个信息服务者处无障碍地转移至另一个信息服务者处”[1]。举例而言，对于欧洲地区的Facebook用户来说，他们可以基于数据可携权的规定，将其提供给Facebook公司的个人数据，包括聊天记录、图片、个人动态等转移至Google或WeChat等其他社交应用之中。这种权利赋予了用户类似于所有权的权能，更加强调用户对其个人数据的控制力和支配性。

然而，从个人数据保护法的基本原理和世界各国的立法实践来看，个人数据权更多的是一项防御性权利，比如针对数据错误的更正权、针对非法处理的反对权、针对不当信息留存的删除权等，但欧盟此次引入的数据可携权被赋予了更多的积极意义，它使数据主体能够以一种类似于物权的方式管理和控制自己的数据。对于这项理念超前的权利而言，它的产生有着深刻的立法背景。

互联网的出现使人类进入了信息化社会。1996年在南非召开的“信息社会与发展大会”宣布信息时代已经来临。“在信息化浪潮席卷之下，国与国之间的竞争将取决于对信息的占有程度，谁占据了信息优势，谁就占领了政治、经济、军事、文化的制高点”[2]23。为了在托夫勒所谓的“第三次浪潮”中抢占先机并占据国际规则制定的话语权，世界各国和地区纷纷制定了有利于自己的信息化战略。美国的“国家信息基础设施行动计划(NII)”“新一代因特网五年计划(NGI)”“开放政府国家行动计划”，日本的“e-Japan”“u-Japan”和“i-Japan”计划，欧盟的“电子欧洲——面对所有人的信息社会”计划、《欧洲信息社会2010发展规划——i2010》，我国的《2006—2020年国家信息化发展战略》《国家信息化发展战略纲要》以及《“十三五”国家信息化规划》，均对各相关国家和地区的信息化进程以及信息产业发展起到了一定的推动作用。

在互联网产业近三十年的发展中，欧盟地区逐渐失去了自己的优势，未能在全球信息化浪潮中培育出具有国际影响力的大型互联网企业。在2017年全球市值排名前十的互联网企业中，中国占据四席，其余来自美国，而未能见到欧盟企业的身影。客观地讲，欧盟地区在数字经济发展方面已经落后于美国和中国。以苹果、Google、微软、亚马逊、Facebook为代表的美国互联网企业已经在欧盟地区的智能手机、搜索、云计算、电子商务、社交领域中占据市场支配地位，而这也在一定程度上阻碍了欧盟本土企业的创新和发展。为此，就产业发展而言，欧盟地区需要通过法律手段来削弱境外企业已有的优势，力求打造一个更加开放透明和公平有序的市场竞争环境，从而促进本土互联网企业的发展。

受二战时期纳粹政府利用个人信息实施犯罪的影响，欧盟在信息化社会的转型过程中，十分注重对个人信息的法律保护，陆续出台了《电信部门的隐私保护指令》《远程消费保护指令》《数据保护指令》等法律规范。这些规范，尤其是1995年的《数据保护指令》，成为许多国家和地区在个人信息保护立法上所效仿的对象。2015年实施的一项针对28000名欧洲民众的调查显示，15%的欧盟民众认为他们对其数据享有完全的控制，超过30%的人认为他们并没有任何控制力。同时，调查结果还显示，超过三分之二的民众，尤其是年轻人，认为在他们想要改变服务的时候能够转移存储在一个服务提供者处的个人信息至另一个控制者处是十分重要的[3]。由此可见，在欧洲民众的认知中，个人数据的控制力还有待加强，并且对于年轻人而言，他们更希望在个人数据的存储和转移上有更高的便捷性。因此，从社会民众的权利需求上看，欧盟需要在以往的权利保护基础上更加强化个人的数据控制力。

为实现对个人信息自决的高水准保护并促进市场竞争，欧盟委员会于2012年提出的数据保护改革草案中引入了数据可携权。虽然自提议以来，数据可携权就成为个人数据权利体系的重要组成部分，但由于这项新型数据权利的多重复杂性，其内容也在GDPR草案的研讨中经历了数次重大调整，并最终固定在了GDPR的第20条*GDPR第20条规定如下：1.数据主体有权以一种结构化、通用和机器可读的形式获取他或她已提供给数据控制者的相关个人数据，并有权无障碍地从其提供个人数据的控制者处将这些数据转移至另一个数据控制者处，如果：(a)处理行为是在依据第六条(1)(a)或第九条(2)(a)的同意或依据第六条(1)(b)成立的合同的基础上实施的；和(b)处理行为由自动化方式实施。2.在依据第一段行使他或她的数据可携权时，数据主体应有权在技术可行的条件下将个人数据直接从一个数据控制者处转移至另一个数据控制者处。3.关于该条第一段权利的行使应当无差别地适用第十七条。那项权利不适用于为了执行以公共利益或行使由数据控制者授权的官方权威为名的任务而实施的必要处理行为。4.第一段中所提及的权利不应反过来影响他人的权利和自由。。因此，可以说，产业发展的落后以及高水准保护个人数据的社会需求共同促成了数据可携权的产生。

二、数据可携权的内容

在欧洲，信息自决权可谓是个人数据保护的重要理论来源。在德国著名的《人口普查法》判例中，联邦宪法法院从德国基本法所蕴含的一般人格权中推导出了“信息自决权”，从而判决德国《人口普查法》关于指纹收集和利用的规定违宪。信息自决同时还意味着数据处理的透明度原则，即个人应当被告知数据处理的相关信息，包括但不限于数据是否被处理、处理的目的、存储期限以及数据主体享有的权利。因此，数据可携权可被视为一种通过赋予个人获取以及转移个人数据的权利来实现个人信息自决的方式，其与GDPR第三章规定的获取权、更正权、删除权以及限制处理权共同构筑了欧盟个人数据保护法中的权利体系。从GDPR第二十条的规定可以看到，数据可携权的内容包括两个方面，其一是副本获取权(Right to Obtain a Copy)，其二是数据转移权(Right to Data Transfer)。

(一)副本获取权

根据欧盟“第29条”工作组(Article 29 working Party 简称 WP29)的意见，副本获取权是指从数据控制者处得到个人数据复制件并将其存储在私密的设备中以备再度使用的权利[4]。该项权利也被视为访问权的一种补充。在这方面，行业已经走在了立法的前面。一些互联网服务提供者，如Facebook、Google等公司已经提供了个人数据的下载入口，用户可以据此获取相关的个人数据副本。但是，即便如此，副本获取权的内容在立法研讨中也经历了数次修改。

在欧盟委员会于2012年提议的草案中，副本获取权的要件是数据处理要以电子化方式，并以结构化和通用的形式为之。然而，在数据处理的形式上，该草案并没有赋予数据主体决定权，同时也没有对数据控制者课以通知数据主体处理形式的法定义务。对此，有学者就认为，这种规定将导致数据主体的区分或赋予数据控制者以委员会规定的形式处理个人数据的义务[5]。而对于这种没有正当性基础的数据主体区分，其可能产生的后果便是一部分群体无法行使其数据可携权。与此同时，由于法律没有强制要求数据控制者采用特定的数据处理方式，控制者可以以企业经营自主权为由不采用标准化的处理方式，从而规避法定的数据转移义务并降低企业的运营成本。对于这种看似故意留下的法律漏洞，一个解决办法就是由欧盟委员会制定规则，要求所有的企业都按照当前通用的形式处理数据。但是这种方法却存在两种弊端：其一是法律将为数据控制者课以额外的法定义务，这在一定程度上是对企业经营自主权的侵害；其二则是这种僵化的解决方式也将不利于数据处理形式的多元化发展。

面对学者的质疑和批判，立法机构做出了调整，正式通过的条例仅要求数据处理是经过数据主体同意的并以自动化的方式进行，删除了通用形式的规定。但是，目前的法律规定仍然存在数据来源、义务履行期限和法律后果上的问题。

首先，在数据来源上，该权利要求能够请求获取副本的个人数据是基于数据主体的同意或合同的方式得到的，而排除了其他的数据获取方式。在现实生活中，控制者获取个人数据的方式并不限于数据主体，还可能通过政府信息公开或与其他企业的合作共享来获取。因此，如果仅在数据主体主动提供的情况下才享有该权利的话，势必将导致该权利对数据来源的歧视。对此，有学者就曾举例，对于雇主而言，收集并保存雇员保险和社会安全数据是履行法定义务所必须实施的行为，如果雇员甲的社保数据是其主动提供的，而雇员乙的数据是从保险公司处获得的，那么，根据GDPR第二十条的规定，雇员甲可以获取个人数据副本，而雇员乙却无法获取个人数据副本。这种区分将违背公平原则，使一部分数据主体无法行使其应有的权利。

其次，在义务的履行期限上，出于信息安全考虑，控制者必然需要验证数据主体的身份，由此便产生了获取个人数据副本的期限问题。对此，GDPR并未做出相关规定。需要指出的是，过于简单的身份识别方式虽然在一定程度上有利于副本获取权的实现，但此种方式也将导致数据安全面临巨大风险[6]。对此，英国信息委员会办公室就指出，控制者应当在一个月之内无不合理迟延地对数据主体的转移数据的请求予以回应。若自然人的数据转移请求复杂或请求主体过多，控制者的回应期限可以延长至两个月，但是其仍应当在一个月之内通知个人，并解释原因。如果控制者未回应该请求，那么其也应当在一个月之内解释原因，告知数据主体所享有的提起投诉和获得司法救济的权利[7]。

最后，在副本获取权的行使后果上，GDPR也没有做出规定。从当前的法律规定来看，数据主体在获取了个人数据副本之后，并不意味着数据在控制者处的自动清除。对此，有学者就曾明确指出，这样的制度设计仅能使自然人“对其个人数据拥有部分的控制力”[5]。对于数据的删除，虽然GDPR第二十条第三款要求数据可携权不能够影响第十七条规定的删除权的行使，但由于删除权的行使仍以数据主体的请求为前提，在数据主体不知悉其享有的法定权利时，数据仍将继续保留在控制者处。对此，笔者认为，在未来的法律适用中，应当为控制者设定法定的通知义务，即要求在数据主体请求个人数据副本后，告知数据主体享有删除权。这种做法在保障个人信息自决的同时又能够防止控制者对个人数据的过度利用[8]。

(二)数据转移权

数据转移权可以说是数据可携权与数据主体访问权最核心的区别。根据GDPR第二十条第一段的规定，数据主体有权将其提供的个人数据无障碍地从一个控制者处转移至另一个控制者处。比如，欧盟境内的Facebook用户可以请求Facebook公司将其主动提供的个人数据，包括聊天记录、照片、视频、个人动态等转移至其他社交应用，如Google+或WeChat之中。在实现数据可携的工具上，WP29指出，企业不仅应当提供数据下载的机会，还应当提供数据转移的API接口[4]。

数据转移权在适用范围上同样是针对基于数据主体的同意或为履行合同而实施的自动化处理行为。与副本获取权不同的是，该权利还要求在技术可行(Technically Feasible)的条件下，数据主体有权直接将其个人数据转移至另一个控制者处[9]。同时，在满足删除权行使要件的条件下，数据主体亦有权请求个人数据的删除。

对于这一看似美好的制度设想，其在涉它数据的转移上还存在较为复杂的利益权衡问题。在上述例子中，Facebook用户发布的图片、聊天记录、个人动态等信息可能还会涉及第三人，比如数据主体之间的聊天记录，发布在个人账号中的集体照等。因此，当一名用户将其在Facebook上的个人数据转移至Google+时，Google公司将不仅获取该用户的个人数据，亦会获取该第三人的个人数据，而这又是否构成个人数据的非法收集？此外，如果集体照中的他人或聊天记录的对方不允许数据主体转移其个人数据，这种个人信息自决之间的冲突又当如何解决？对此，GDPR绪言(68)也只是宣示性地指出在涉他数据的获取上应当无差别地保护他人的权利和自由，而并未给出具体的解决机制。

从上述分析中可以看到，数据转移权在设计初衷上是为了促进欧盟地区的自由竞争和发展，但其后果则是一方所占有的个人数据的丧失，而另一方对个人数据的获取。随着数据资产价值的日益凸显，控制者必将投入更多的成本来维护这种无形财产。因此，为了使用户继续使用其网络服务，避免个人数据的流失，控制者也很有可能利用现有法律规定的漏洞，使用“锁入策略(Lock-in Strategy)”[1]。通过增加数据转移成本来迫使用户留在自己的网络服务之中，以维持其市场规模。可以预见的是，控制者所提供的服务种类越多，范围越广，网络用户转移个人数据的成本就越高。“等到数据主体的转移成本太高的时候，他或她将不可能使用数据转移权了”[5]。若果真如此，数据可携权也将无法发挥欧盟立法者所设想的功效。

三、数据可携权的借鉴与启示

欧盟此次立法所引入的数据可携权可谓个人信息保护法领域的开创之举，在全球任何司法管辖区都没有立法和实践经验，也因此成为各个国家关注的焦点。对于我国未来的个人信息保护立法而言，数据可携权除了在权利内容上独具新颖性之外，在立法体系以及权利类型化方面均有可借鉴之处。

我国在个人信息保护立法方面起步较晚，虽然现行的各类规范已经超过一百部，但是这些规范的系统性、独立性和操作性都显得不够，而近些年出现的信息泄露事件也使得个人信息保护立法再度成为整个社会所关注的焦点。在我国法学界，早期就有学者认为应当全面确立个人信息权[10]。自我国《民法总则》通过之后，也有学者提出了在人格权编中确立个人信息权内涵、个人信息合法收集标准、信用信息保护、个人信息权利限制等内容的建议[11]。近年来，关于制定个人信息保护法的呼声日益高涨，全国人大常委会法工委也表示正在对个人信息保护立法的有关问题进行认真研究、论证。由此可见，增强公民的个人信息控制力已经成为社会共识。

就数据可携权而言，其最大的亮点在于数据转移权。按照欧盟立法机构的设想，其意在使数据可以在不同数据控制者之间自由传输，进而帮助欧盟本土的搜索引擎、社交软件、电子商务企业崛起， 打破Google、Facebook、亚马逊等互联网巨头的绝对市场垄断地位。这种制度背后隐藏着欧盟和美国在互联网产业上的差距，且其实施后果尚不可知。反观我国，互联网企业在宽松政策环境和人口红利的刺激下迅猛发展，使我国成为可与美国比肩的网络大国，在网络治理上更需要我国本土的理论创造和制度构建，盲目引入数据转移权将导致过高的试错成本，甚至阻碍我国的产业发展。结合当前数据泄露频发、民众数据控制力不足的现实，笔者认为，我国可以借鉴数据可携权中的副本获取权，允许用户下载有关其个人的信息，通过此种方式让用户知悉自己被收集的信息有哪些、如何被处理、存储方式等。副本获取权结合我国现有的删除权，将从制度上赋予信息主体自主决定何种数据被收集、何种数据被处理的权利，实现数据控制力的实质性增强。

除此之外，随着大数据的商业化利用和产业发展，其另一个特征——“资产”属性日益凸显，大数据的权属关系即将成为新的社会矛盾和经济纠纷焦点。在我国，大数据产业发展的最大阻力并不是技术条件的不成熟，而是相关法律及保障机制的不完善，虽然我国《民法总则》将“数据”纳入民法保护范围，其法律属性得到承认，但相关法律规范的缺失也使得大数据产业发展承担着巨大的风险。

目前，由于数据权属界定不明确而导致的法律空白已成为我国推动大数据开发利用的瓶颈之一。一方面，需求侧数据的割据垄断，阻碍了产业链上下游之间的信息流动，导致产能过剩和成本过高；另一方面，权属问题立法界定的缺失，限制了供给侧大数据产业的健康发展，导致供给侧结构性改革动力不足。数据权属在本质上并非一个单纯的技术问题，而是一个建构在利益平衡之上的法律问题，需要法学理论上的顶层设计。

我国近年来将大数据发展上升为国家战略。国务院早在2015年就发布了《促进大数据发展行动纲要》，习近平总书记在中共中央政治局第二次集体学习时强调要“实施国家大数据战略加快建设数字中国”。从法学角度而言，在数字经济发展和数字中国的建设中，数据权属必将成为产业发展所必须解决的前置性问题。数据可携权赋予了自然人以类似所有权的支配力，但是数据的法律性质却并没有被进一步说明。就此而言，我国《民法总则》第127条将数据作为一种财产加以保护，为数据财产性权利的建构提供了制度空间。但是在理论研究和制度设计上，还需要考量《民法总则》第111条规定的个人信息受保护的规定。

：

[1] Peter Swire, Yianni Lagos. Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique[J].Maryland Law Review,2013(2).

[2] 齐爱民.信息法原论[M].武汉：武汉大学出版社，2010.

[3] Emily Taylor. Data Protection Day—data portability and the GDPR[EB/OL].(2016-02-09) [2018-03-04].http:∥www.emilytaylor.eu/data-protection-day-data-portability-and-the-gdpr/.

[4] Article 29 Data Protection Working Party ,Guidelines on the right to data portability[EB/OL]. (2017-04-05) [2018-03-05]. http:∥ec.europa.eu/newsroom/document.cfm?doc_id=44099.

[5] Eva Fialov .Data Portability and Informational Self-determination[J].Masaryk University Journal of Law and Technology,2014,8.

[6] Brenda Leong.What’s Wrong with the Proposed EU Right of Data Portability? [EB/OL]. (2012-10-17) [2018-03-05]. available at:https:∥fpf.org/2012/10/17/whats-wrong-with-the-proposed-eu-right-of-data-portability/.

[7] UK Information Commissioner's Office.The right to data portability[EB/OL]. (2017-05-01) [2018-02-15].https:∥ico.org.uk/for-organisations/data-protection-reform/overview-of-the-gdpr/individuals-rights/the-right-to-data-portability/.

[8] 张哲.探微与启示：欧盟个人数据保护法上的数据可携权研究[J].广西政法管理干部学院学报，2016(6)：43-48.

[9] General Data Protection Regulation, Article 20.

[10] 王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学，2013(4)：62-72.

[11] 王叶刚.人格权确权与人格权法独立成编——以个人信息权为例[J].东方法学，2017(6)：107-112.