尚海涛

（天津师范大学法学院，天津300387）

引言

新世纪以来，无所不在的数据①一方面，数据不同于信息，数据只是描述事物的一些客观符号，而信息则是对数据处理加工处理后的主观结果；另一方面，数据与信息密不可分，数据是信息的形式，而信息是数据的内容。但在本文语境中，数据和信息的含义相同。一般而言，欧盟多使用“数据”一词，而我国多采用“信息”这一词汇。采集工具、强大的数据存储能力，使得大数据的技术和市场得以迅猛发展，它一方面给民众的生活、就业和公共服务带来较大便利，但另一方面，伴随着个人数据的不规范采集、不安全处理和无约束存储，它又给个人隐私和安全埋下诸多隐患，且随着少数“数据巨头”企业的扩张性发展，数据经济发展中的锁定效应以及数据垄断逐渐凸显。由此，创新和发展数据权利以打破数据封锁、预防数据滥用，加强数据主体对于数据的控制力，并平衡网络社会中的自由与责任、产业发展与隐私保护就成为立法的必然选择。“个人数据上的权利安排直接决定了数据的流动、分享以及数据产业的发展。”[1]在这方面，欧盟在《一般数据保护条例》(General Data Protection Regulation，以下简称《条例》)中创设的数据可携权（Right to Data Portability）具有较强的示范和借鉴意义。作为一种新型的个人数据权利，数据可携权“赋予数据主体（data subject）接收和转移数据的权利，将增强数据主体对其自身数据的控制，并将平衡数据主体与数据控制者（data controller）之间的失衡态势”；“数据可携权可以使网络企业和数据主体以更为均衡和透明的方式最大化大数据的好处，它还可以最大限度地减少不公平或歧视性做法，让更多企业参与大数据市场的自由竞争。”[2]有鉴于此，本文即在描述数据可携权制度构造的基础上，对于我国数据可携权的本土化路径及其模式进行具体分析。

一、数据可携权的由来及其立法进程

在欧盟法律框架中，可携权的初始提及源于号码可携权，《电子通信网络服务的普遍服务和用户权利》[3]第30条允许用户“携带号码”,即确保用户可以独立于提供服务的企业从而保留其固定或移动的电话号码。“数据可携权”概念的首次提出源于欧洲议会于2012年公布的《一般数据保护条例》草案（下述简称“草案”）。这部被用以替换1995年《数据保护指令》的草案共有11章99条，其中在第15条首次创设了“数据可携权”。虽然自概念提出数据可携权就成为个人数据保护权利体系的重要组成部分，但由于欧盟对数据可携权的认识在不断深化，因此数据可携权的内容也随着草案的审议修改而处于变动之中。庞德曾言：“法律必须保持稳定，但又不能一成不变。因此所有的法律思想都力图协调稳定必要性与变化必要性这两种彼此冲突的要求。”[4]可携权的变动一方面体现在数据可携权与数据访问权合并分立的纠葛关系中，另一方面则体现在数据可携权本身权利内容的变化中。

2012年，欧洲议会在其提出的初始草案中，将数据可携权规定于第18条，独立于第15条的数据访问权。但到2013年，欧洲议会下设的公民自由、司法和内政事务委员会（The Committee on Civil Liberties,Justice and Home Affairs）提出一份建议稿，主张将数据可携权作为数据访问权的一部分，一并规定于第15条。随后，欧洲议会在2014通过的《条例》新版本中采纳了这一建议，数据可携权被作为数据访问权的一部分，规定于第15条中。2015年，欧盟执委会通过了《条例》的更新版本，但在这一版本中数据可携权又被重新作为一项独立权利，规定在了第18条中。2016年，欧洲议会投票通过了《条例》的最终版本，数据可携权和数据访问权依然分立，只是数据可携权由第18条更改为第20条。可携权和访问权之间之所以产生如此纠葛关系，主要在于两方面的原因：一是数据访问权是数据可携权的前提，只有在访问的基础上明确知道自己上传和被收集的个人数据，方能进行下载和转移。“绝大多数时候真实的情形是，人们根本就没有意识到自己产生了什么样的以及多少数量的个人数据。”[1]二是数据可携权是数据访问权的延伸，在访问权知道和了解自己个人数据的基础上，数据主体可以通过下载和转移的方式，让自己或第三方控制者深挖自己的个人数据，从而分享大数据流通的增值蛋糕。

二、数据可携权的制度构造

数据可携权主要规定于《条例》的第20条，它被看作是第15条数据访问权的具体延伸。在这一法条中，数据可携权主要明晰了两方面的内容：一是数据可携权本身；二是数据可携权的规则约束。

（一）什么是数据可携权

仔细研读《条例》第20条的第1款和第2款，我们看到数据可携权的界定有三个关键要素，分别是数据接收权、数据转移权和数据可携权的基础条件。

1.数据接收权

数据接收权主要规定于第1款的前半段，即“数据主体有权以结构化、通用和机器可读的形式接收他或她已提供给数据控制者的关于他或她的个人数据”。基于此，所谓数据接收权，是指数据主体享有从数据控制者一方下载关于自己个人数据的权利。譬如，163邮箱的用户有权把邮箱中包括信件、附件等在内的所有邮件，下载至自己电脑。当然，在这其中有两个需要注意的细节：一是个人数据的限定条件，即他或她已提供给数据控制者的关于自己的个人数据。由此，这些个人数据就不包括数据控制者从数据主体之外收集的数据，以及数据控制者在提供服务过程中基于运算和推断所形成的数据；二是个人数据转移的方式，即结构化、通用和机器可读的形式。由此，《条例》确立的“可携带”数据对象，是基于特定基础、以特定方式处理的、本人提供的数据。

2.数据转移权

数据转移权主要规定于第2款中，即“在依据第1款行使他或她的数据可携权时，数据主体应有权在技术可行的条件下，将个人数据直接从一方数据控制者转移至另一方数据控制者。”基于此，所谓数据转移权，是指数据主体有权把个人数据从一方数据控制者直接转移至另一方数据控制者。如某人有权把163邮箱中的邮件直接转移至QQ邮箱，163邮箱不得拒绝且不得设置技术障碍。此种转移有两种形式，一是数据主体先行从一方数据控制者下载个人数据至自己的存储器，之后再将个人数据转移到另一方数据控制者，这主要规定于第1款中；二是数据主体直接把个人数据从一方数据控制者转移到另一方数据控制者，这主要规定于第2款中，两种形式的转移都为《条例》所许可。

3.数据可携权基础条件

数据可携权的基础条件主要规定于第1款的后半段，即“（a）处理行为是在依据第6条第1款第1项或第9条第2款第1项的同意或依据第6条第1款第2项成立合同的基础上实施；和（b）处理行为由自动化方式实施。由上述条款可知，数据可携权的基础条件有二：一是本人同意（based on consent）；二是履行合同（based on a contract）。本人同意主要源于第6条第1款第1项和第9条第2款第1项，之所以有两个来源，主要在于第6条第1款第1项所涵盖的是非敏感个人数据（non-sensitive personal data），而第9条第2款第1项所涵盖的是敏感个人数据（sensitive personal data）。数据主体可以基于履行合同而行使数据可携权，这儿的履行合同既可以是履行数据主体所参与的合同，也可以是根据数据主体事先请求采取措施而签订的必要合同，“必要”的标准需要视情况而定，但《条例》绪言的第44项规定，只有在“合同范围内是必要的或有意签订合同的情况下，行使数据可携权才是合法的”。

（二）数据可携权的规则约束

数据可携权的规则约束主要体现于20条的第3款和第4款，即数据可携权不得妨碍数据被遗忘权，数据可携权不适用于为履行公共利益或行使由数据控制者授权的官方权力为名的任务而实施的必要处理行为，数据可携权不得对其他人的权利和自由产生不利影响。

1.数据可携权的第3款限制

首先，数据可携权因被遗忘权而受限制。数据可携权与被遗忘权冲突的情形主要有两种：一是有些数据控制者为了方便和保障数据主体的可携权，可能会在数据主体的个人数据中采用一些特殊的技术方法，如放置数据跟踪器、个人数据标识符等，这些技术方法可能会导致个人数据不能完全被删除；二是有些数据控制者为了保障数据主体的可携权，会拒绝删除多人数据，从而妨碍到他人的被遗忘权。这两种情形中，在涉及可携权与被遗忘权冲突时，立法主张以被遗忘权为主，可携权让位于被遗忘权。当然，《条例》提出这一条款的目的，还在于指出“数据可携权不能被认为是将数据从一个数据控制者转移到另一个数据控制者，同时要求第一个数据控制者擦除这些数据”，“欧盟立法委员不希望数据可携权的行使，包括同时从第一个数据控制者擦除数据”。

其次，数据可携权因公共利益而受限制。如果是为公共利益目的而处理的个人数据，数据主体就不能要求获取和转移这些数据，如为了犯罪侦查、行政处罚等执法目的所处理的个人数据，数据主体就无权要求接收和转移。对于公共利益的界定，可以参考《欧洲人权公约》第8条的规定，在其所适用的本·凡泽诉法国案(Ben Faiza v.France)②见Ben Faiza v.France，no.31446/12，［2018］ECHR153.中，欧洲人权法院认为数据收集的目的在于刑事调查和审判，而这属于公共利益的范畴。数据可携权之所以因公共利益而受限制，还在于其理论基础是人的尊严，所谓“人的尊严是人之为人的价值所在”，“人类社会的一切活动——无论经济的、政治的、文化的还是法律的活动——均指向一个共同的目标，那就是让人们生活得更有尊严。”[5]数据可携权的创设，正是在大数据时代彰显人性尊严的一次制度设计。数据可携权的制度基础是个人的信息自决权，所谓信息自决权，是指“信息主体对自身信息的控制权与选择，即由公民决定自身信息何时、何地、以何种方式被收集、储存、处理以及利用的权利。”作为将人格权属性与自由权属性合并的一种新型复合权利，信息自决权同时保护个体的人格权和意志自由。以人的尊严和信息自决权为理念指引和制度基础，欧盟委员会在《条例》中构建了一个相对完善的个人数据权利体系，包括数据访问权、可携权、被遗忘权、纠正权、反对权、限制处理权、拒绝权等。作为人的尊严制度化的信息自决权，虽然在自决和自治方面具有较高的绝对性，但理念和权利本身同样存在理论边界和规则边界，这点在信息自决权确立的德国“人口普查案”③在该案中，德国联邦宪法法院从一般人格权中推导出“信息自决权”，从而判定《人口普查法》关于指纹收集和利用的规定违反宪法。具体See Eva Fialova,Data Portability and Informational Self-Determination,8 Masaryk U.J.L.&Tech.45,47-48(2014).中有着清晰地展示。同样，这种边界也反映在同为信息自决权的其他二级权利上，如被遗忘权就规定了五种限制规则。

2.数据可携权的第4款限制

“法律是明确的、肯定的规范，但法律又不可避免地会出现意义模糊的情形”。[6]“其他人的权利和自由”是一个非常宽泛的概念，有些类似于兜底条款，这种宽泛的感觉在与被遗忘权的限制条款比较后尤为明显。《条例》第17条第3款列举了五项不适用被遗忘权的情形，即言论和信息自由的权利；公众进行的任务利益或行使官方权力；卫生领域的公共利益；科学或历史研究目的或统计目的以及设立、行使或捍卫合法权利。究其原因，一方面，欧盟对数据可携权的认识仍在不断深化过程中，数据可携权本身远未定型，因此欧盟就在数据可携权的限定条款上采取了相对审慎的态度；另一方面，由于数据可携权更易受技术发展的影响，其对其他权利的影响仍大多不确定，因此选择宽泛的限定条款可以让法官根据具体情况调整解决方案，以便应对未来的技术发展或实际挑战。

三、数据可携权的本土化路径及其方案

欧盟《条例》公布之后，其条款陆续为日本、巴西、印度等国家所借鉴吸收，我国《网络安全法》亦参照《条例》设置了数据删除权等权利，但对于是否以及如何将数据可携权引入我国并进行本土化适用，不同的学者有着不尽一致的意见④一些学者主张不引入数据可携权，具体参见谢琳、曾俊森：《数据可携权之审视》，《电子知识产权》2019年第1期；高富平、余超：《欧盟数据可携权评析》，《大数据》2016年第4期；张哲：《探微与启示：欧盟个人数据保护法上的数据可携权研究》，《广西政法管理干部学院学报》2016年第6期；张金平：《欧盟个人数据权的演进及其启示》，《法商研究》2019年第5期。而有些学者则仅主张借鉴欧盟的副本获取权，具体参见苗振林：《欧盟数据可携权立法评析》，《许昌学院学报》2018年第5期；吕炳斌：《论网络用户对“数据”的权利——兼论网络法中的产业政策和利益衡量》，《法律科学(西北政法大学学报)》2018年第6期。。对此，笔者认为我们应当回归到制度设计之初的语境，看看欧盟创设数据可携权的立法初衷并与我国当前的数字经济发展状况相比对，以此来判定是否引入以及如何建构中国模式的数据可携权，避免盲目移植以致作茧自缚。

（一）数据可携权的立法初衷

欧盟设立数据可携权的立法初衷有二：一是权利保障，即最大化数据主体对于个人数据的控制，这主要体现于数据接收权的设计上；二是产业竞争，即促进大数据市场的自由竞争，这主要体现在数据转移权的设立上。“数据可携带权……不仅为消费者提供了更多选择，还将促进一系列行业的竞争和创新。”[7]当然，不单数据可携权，而毋宁《条例》的整体目的亦是如此，如《条例》新增设的“被遗忘权”⑤被遗忘权的典型案例是“谷歌公司诉冈萨雷斯案”，在该案中欧盟法院认为，相比搜索引擎公司的经济利益，数据所体现的个人权利和个人尊严具有更重要的意义。,也意在加强公民的数据权利；“《条例》涉及个人数据保护的方方面面，但综合来看，仍然可以发现其中有一条非常明显的主线，就是强化数据主体对于数据的控制权。”[8]

欧盟创设数据可携权的核心，在于从数据主体的角度重构个人数据的权属及其流动规则，进而重新界定数据主体与数据控制者、不同数据控制者之间的关系。首先，数据可携权赋予数据主体享有对个人数据的类似所有权⑥关于数据权利的属性，国外主要有欧盟的隐私权模式和美国的财产权模式，而国内学者的讨论主要集中于数据财产权说、新型人格权说、商业秘密说、知识产权说四种观点。，即数据主体既可以从数据控制者一方下载个人数据，也可以将个人数据自由传输至第三方。之所以说是类似所有权，是因为数据的可复制、可重复利用以及非对抗性的特征，使得个人数据既可以为数据控制者所有，又可以为数据主体拥有。数据主体对于个人数据的类似所有权，就使得数据主体的下载和传输请求具有法律的正当性和合理性，从而极大提升数据主体对于个人数据的控制。“这一权利在一定程度上有助于澄清数据归属，即控制者对个人数据不具有控制权，仅负有配合义务，由此避免控制者争夺用户数据，促进数据流动。”[9]其次，数据可携权赋予数据主体自由选择数据控制者的权利。消费者之所以固定于某一网络平台，很重要的原因在于数据存储的“沉没成本”。大多数消费者不想因更换网络平台，而重新经历个人数据的累积过程，因为这过程中所伴随的往往是各类个人数据的重新输入、个人重要数据的遗失，以及因数据累积不足导致平台推荐的精确性不高等。数据可携权允许消费者对于个人数据进行下载和传输，则有效解决了这一问题。同时，数据可携权还避免数据控制者设置传输障碍阻碍消费者自由选择，由此消费者可以根据自己的喜好，自由地选择数据市场中的任一平台进行消费。“数据可携权使数据主体能够决定他们的数据会发生什么，并赋予他们针对数据控制者的实际权利，让他们真正能够控制自己的个人信息。”[10]此外，数据可携权的适用，是由数据主体提出申请，数据控制者加以响应，此种模式也有利于数据主体权利意识的提升。

随着人工智能、云计算、量子计算等新兴技术的开发，数据作为生产要素的属性日渐凸显，个人数据以及在此基础上的衍生数据渐趋成为数据企业的核心竞争力。与之相关的是，企业围绕数据的竞争也愈加激烈，诸如“HIQ诉LinkedIn”案、“淘宝诉美景不正当竞争”案、“大众点评诉百度”案、华为和腾讯围绕微信端口的纷争等⑦见HIQ Labs,Inc·v.LinkedIn Corp.,No.17-16783（2017）；（2017）浙8601民初4034号民事判决书；（2016）沪73民终242号民事判决书等。，皆揭示出数据企业由用户之争转向数据之争。有些数据企业进入市场较早，积累了大量的用户及其个人数据，从而逐渐成为“数据巨头”企业。一方面，不同于传统的商业模式，以数据驱动的新型商业模式具有明显的正反馈循环效应，包括“使用者反馈”，即“数据巨头”企业可以利用自己收集的超量数据提升产品质量，获得更多用户⑧见Mark A·Lemley&David McGowan,Legal Implications of Network Economic Effects,86 CAL.L.REV.479（1998）.Michael L.Katz&Carl Shapiro,Network Externalities,Competition,and Compatibility,75 AM.ECON.REV.424（1985）.；“获利反馈”，即“数据巨头”企业可以利用自己所掌握的大量数据精准定位广告投放，在从广告服务中获利后，进而再投资研发并改进生产，以期获得更多消费者。另一方面，“数据巨头”企业为了维持自己的核心竞争力，往往进行数据封锁，或者设置排他性的规定和协议，或者不给消费者设置个人数据的转出通道，或者提高消费者转换服务平台的成本。如Facebook就规定没有经过他们的同意，其他任何数据企业不得从其平台上收集个人数据⑨见Face book所公布的《对于安全的权利和责任声明》。，这些举措都会阻碍中小数据企业收集和利用数据资源。而当“数据巨头”企业取得市场优势和垄断地位后，与一个充分竞争的市场环境相比，其在保障消费者的隐私方面就会不同程度的弱化，“如果垄断企业凭借数据市场支配地位实现数据寻租，控制数据资源并攫取额外利益，可能极大损害消费者福利。”[11]

数据可携权的设立可谓是对于上述背景的法律回应，欧盟寄希望于以数据可携权为杠杆撬动整个欧盟大数据产业的发展。《条例》“诞生于欧盟数字单一市场形成的关键时刻，具有明显的功能主义的立法特征”[9]。《条例》通过将数据接收权和转移权收归于数据主体，增加了消费者对于个人数据的控制。在强化消费者控制权的同时，《条例》通过传输格式的要求还降低了数据主体转换控制者的成本，而这也将极大促进数据企业之间的良性竞争。“在欧盟看来，数据可携权更像是一种促进市场自由竞争并实现利益最大化的工具”。[12]当消费者手握自己的个人数据时，“数据巨头”企业和中小企业为了获取和争夺个人数据往往就会通过技术创新、增加服务、增强隐私等措施来吸引消费者。一方面，在激烈的竞争中，数据企业需要给消费者让渡更多的数据红利；另一方面在数据的流转和转换当中，数据可携权增强了数据的自我修复和校准功能，也减少了企业因数据瑕疵所产生的风险。这些举措都有助于打破数据锁定和垄断效应，最终激发大数据产业的活力进而推动大数据产业的发展。此外，欧盟在加强个人数据权利的背后还隐藏着推进欧盟本土数据企业发展的目的。《条例》“以上述人权条约为依托，确立高标准的个人数据保护制度，提高市场门槛，是一种新型的社会性贸易壁垒”，其目的在于平衡欧盟本土企业数字经济生产与消费之间的失衡状态。

（二）数据可携权的和缓化路径

权利作为“个体或团体能够运用政府的手段和力量切实加以保护的重要利益”[13]，其设定必须要考虑到整体的社会背景和文化基础，否则就会脱去正义的外装，退化为单纯谋求个人利益的工具，甚至会加剧社会中不同群体间的利益冲突，并进而妨害社会团结。数据可携权的设立亦是如此，无论选择何种模式，都必须以中国的现实土壤和本土化的根基作为支撑。

1.先行设立数据接收权

基于数据可携权的制度构造，并参考欧盟设立可携权的立法初衷，笔者认为，我国需要在将来的《个人信息保护法》中设立数据可携权，但应当采取和缓化的路径，即先行设立数据接收权，而等条件成熟时再将数据转移权纳入其中。换言之，当前我国只是部分借鉴欧盟《条例》中的数据可携权，即允许数据主体下载其个人数据，主要是通过此种方式让数据主体明确知道自己被收集了哪些个人数据，而它们又是如何被存储和处理，以便增强数据主体对于个人数据的控制力。2012年的《全国人大常委会关于加强网络信息保护的决定》第8条规定，公民“有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。”2016年《网络安全法》第43条规定，个人“有权要求网络运营者删除其个人信息”，上述条款被认为是我国明确设立删除权的主要法律依据。我国所确立的删除权，主要是赋予数据主体要求数据控制者删除与其有关数据的权利。当数据接收权设立以后，与删除权、访问权相结合，形成个人数据权利的小闭环体系，将从制度上赋予数据主体自主决定哪种数据被收集、哪种数据被处理，从而实质性地增强数据主体对于自己个人数据的控制力。

2.暂不设立数据转移权

之所以暂不设立数据转移权，主要基于两方面的考虑：一是我国和欧盟所面临的数字经济的发展境况不同；二是数据转移权的适用仍面临着诸多不确定因素。由此，若贸然借鉴有可能起到反作用。

“数据立法区域竞争的实质是数字经济的全球竞争。”近年来，在数字经济发展上欧盟已落后于美国和中国，未能培育出具有世界影响力的“数据巨头”企业。依据米克尔发布的2018互联网趋势报告，当前全球市值最高的20家数据公司中，美国占据了11席，中国占据9席，而未见到欧盟企业的身影。与此同时，根据市场研究机构Synergy Research所发布的数据，在2018年新增的超大规模数据中心中，美国占40%，中国占8%，日本占6%，英国占6%，澳大利亚占5%⑩见科技十点见：《2018全球超大规模数据中心数量增长11%中国占比全球第二》，https://baijiahao.baidu.com/s?id=1623328584483412521&wfr=spider&for=pc，2019年5月22日访问。。苹果、Face book、微软等美国数据企业，逐渐在欧盟地区占据支配地位，而这也阻碍了欧盟本土数据企业的发展。由此，欧盟希望通过数据转移权的设置，削弱美国数据企业已有的数据优势，从而促进欧盟本土的搜索引擎、电子商务等企业的崛起。欧盟有关个人数据权立法的一切努力最终都是为了保护、扶持和发展欧盟本土数据处理产业，扭转欧洲数据处理市场被美国垄断的局面。与欧盟不同，在宽松的政策环境和人口红利的刺激下，国内的阿里巴巴、腾讯、百度、京东、小米、美团等互联网公司相继涌现并迅猛发展，除了牢牢占据国内市场外，还在国际市场上崭露头角，从而使得我国成为可与美国一较高下的数据处理大国。由此，我国数据立法的重点并不在于通过数据可携权的设立来帮助本土数据企业的发展，而是构建公平竞争的市场秩序，切实加强个人数据权利的保障。若此时贸然引入数据转移权，一方面会削弱阿里巴巴等优势企业的数据累积优势，限制了国内优势数据企业的发展，从而失去了竞争的关键窗口期；但另一方面数据转移的格式要求会给国内中小数据企业造成较大负担，从而削弱了他们低成本的竞争优势。基于上述考虑，则“我国也宜谨慎，在目前技术背景下，尚不宜引入。若对网络服务商施加过多义务和责任，将不利于网络产业的发展。”[14]

虽然欧盟设立数据可携权的立法初衷在于增加市场竞争，让更多欧盟本土的数据企业脱颖而出，但在实际运行过程中仍存在一定瑕疵。一是数据可携权并不一定打破数据锁定的效应。不同于反垄断法主要针对垄断企业，即那些具有“明显的市场支配性”的企业，数据可携权所适用的对象既包括“数据巨头”企业，也包括那些中小数据企业。正如学者彼得•斯怀尔和伊安尼•拉各斯所指出的，“数据可携权未充分认识到其双向性缺陷，即转移个人数据的请求既可以面向垄断企业提出，也可能面向非垄断企业提出，由此那些没有市场主导地位且占有份额较小的企业也可能成为反垄断的对象。”[15]数据转移权的这一特性有可能限制和阻碍中小数据企业的创新动力与积极性。二是由于《条例》对数据传输格式条件的规定较为模糊，对于通常使用非结构化和非通用数据格式的中小企业来说，这反而会加重其法律义务，增加其在商业运作上的合规成本。“中小企业并没有与大型公司一样的资源，既缺少软件编程人员，也没有相关的律师团队”。由此，对于数据转移的“进出口系统”，若以与“数据巨头”企业同等的标准要求中小数据企业，则中小企业将背负沉重的负担，最终反而限制了中小数据企业的发展。三是数据转移权的运行还增加了数据被窃取和攻击的风险。由于数据转移权允许数据主体一次性将自己的个人数据进行移转，因此在多次转移的过程中就会出现安全风险问题，尤其是数据主体将自己的个人数据转向中小网络平台时，相应的数据诈骗、虚假身份等问题将集中出现，结合目前国内的网络安全环境，则叠加风险将更为突出。

3.已有立法尝试的评析

当前国内对于数据可携权的立法尝试，主要体现于2017年由全国信息安全标准化技术委员会颁布的《信息安全技术个人信息安全规范》（以下简称《规范》）⑪除《规范》外，部分全国人大代表还拟定了《中华人民共和国个人信息保护法（草案）2017版》，在这部草案中，也有关于数据可携权的规定，主要集中于第16条，即“信息主体有权就其被收集处理的个人信息获得对应的副本，并可以在技术可行时直接要求信息控制者将这些个人信息传输给另一控制者。”由于仅是草案，距离正式的法律文本还有诸多修改和完善，因此本文暂不讨论。。《规范》中关于可携权的规定，主要体现在第7.9条个人信息主体获取个人信息副本中，即“根据个人信息主体的请求，个人信息控制者应为个人信息主体提供获取以下类型个人信息副本的方法，或在技术可行的前提下直接将以下个人信息的副本传输给第三方：a)个人基本资料、个人身份信息；b)个人健康生理信息、个人教育工作信息。”

《规范》虽然规定了数据接收权和数据转移权，但仍有两个问题需要加以解决和完善：首先，可携带的个人数据的范围较窄。按照《规范》以及《网络安全法》的规定，个人数据是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”，这仅包括数据主体主动提供的数据，如个人的基本资料、身份信息、健康生理信息和教育工作信息，而没有将数据主体被动提供的个人数据纳入可携带的范围。而欧盟数据可携权所规定的个人数据，是“任何已识别或可识别的自然人相关的信息”，这主要包括两个部分：一是数据主体主动提供的数据，即数据主体明知并且已主动向数据控制者上传的个人数据。如填写的个人资料信息，姓名、性别、年龄、家庭住址等；二是数据主体被动提供的数据，即由数据控制者观察数据主体而产生的个人数据，如某人的搜索历史记录、交通数据、位置数据以及可穿戴设备跟踪的心跳数据等，这些数据并非由数据主体主动提供，而是数据主体在享有服务的过程中，为控制者所观察到的个人数据。以淘宝为例，淘宝网站中卖家的个人信息，如卖家的姓名、电话、地址、营业执照等属于数据主体主动提供的个人数据，而卖家的信誉，如反映卖家信誉的积分和等级图标等，则属于数据主体被动提供的个人数据。与主动提供的个人数据相比，被动提供的个人数据更为重要。WP29也认为，创设数据可携权的目标，在于允许数据主体携带和转移那些对于数据主体而言是不可或缺或不可重复的个人数据，主动提供的数据如姓名、地址、年龄等恰恰是可以重复的，而被动提供的数据如搜索历史、活动轨迹、消费记录等则是不可重复的。由此，《规范》中可携带的个人数据范围还需要加以拓展，将数据主体被动提供的个人数据也一并纳入，以便更为有效地加强数据主体对于个人数据的控制。除上述两类数据外，还有一类数据是由数据控制者分析和推断的衍生数据或增值数据，如基于消费记录分析出的用户消费偏好、基于健康记录推断出的健康风险数据等。对于这一类数据，多数学者认为其属于平台数据而非个人数据，并不属于数据可携权的范围。其次，《规范》所规定的“技术可行”使得数据转移权仅具有宣示意义，而这一点也是欧盟《条例》屡受诟病的地方。对于“技术可行”，有些学者认为，它是数据控制者的义务，即数据控制者有义务采用可行的技术，保障数据主体进行个人数据的转移；有些学者则认为，“技术可行”是对数据主体可携权的限制，即若技术上不可行，数据主体就不能进行个人数据的直接转移。对此，WP29认为，“技术可行”并非是数据控制者的义务，即数据控制者没有义务采用和维护技术上兼容的处理系统，以处理来自不同来源的个人数据。但在2017年。发布的修订准则中，WP29就“技术可行”又提供了一定的说明，“对于给定行业或特定背景下没有任何格式通用的数据控制者，应尽可能使用常用的开放格式（例如XML，JSON，CSV）以及有用的元数据提供个人数据。同时，WP29还特别提出，数据主体有权要求数据控制者，就自己系统不能直接转移解释其中的原因，以此强化数据主体个人数据的直接转移；承担必要的携带费用；确保数据安全。通过上文的分析我们看到，欧盟本身对于“技术可行”的认知也在矛盾之中，一方面不想加重数据控制者的负担，尤其是中小数据企业的负担，以免削弱数据可携权在产业竞争方面的打算；另一方面又不想放任自流，让数据控制者决定什么是“技术可行”，那样数据转移权在实践中将会寸步难行。也正是这种左右摇摆的矛盾心态使得“技术可行”成为《条例》的模糊之一，当然也正是因为这一原因，所以笔者建议我国可携权的构建暂不引入数据转移权，否则若实践条件达不到，将使得数据转移权仅具有条文的宣示意义。

结论

在上文对数据可携权制度构造的解读中，我们可以清晰地看到欧盟立法时的权衡和审慎，一方面他们想扩大数据主体的权利范围，以完善主体的信息自决权，并帮助民众参与和分享大数据发展的时代红利；但另一方面，他们又不想过度加重数据控制者的负担，以免减缓个人数据的开发和利用，阻碍数字技术的创新和发展。我国数据可携权的建构既要借鉴欧盟《条例》中关于可携权的规定，但又不能全盘引入照搬照抄，而是应当在甄别和转化的基础上采取和缓化的路径。一方面，我国和欧盟都面临着数据泄露频发、民众数据控制力不足的现实，因此，数据可携权的构建首先应引入数据接收权，以切实加强数据主体对于个人数据的控制力；但同时，我国又面临着和欧盟不同的数字经济发展情况，不存在利用数据可携权增加产业竞争的考虑，加之数据转移权本身还存在一定的模糊和争议之处，由此数据转移权的引入需要暂缓，等各方面条件成熟时再行规定。当然，将来《个人信息保护法》中数据可携权的建构，还必须考虑到社会的变化和技术的发展对于监管的新要求，促进数字经济创新与保障个人数据权利的平衡，法律和技术的协调，以及如何规制让技术创新更多地服务于公民利益和社会福祉。