王若曦 夏 燕

(重庆邮电大学网络空间安全与信息法学院 重庆 400065)(598152813@qq.com)

世界上首位“人工智能国务部长”奥马尔·乌莱马在2018年的阿布扎比国际石油博览会上表示：“数据就是新的石油，能以更低的成本实现更高的利润.”[1]随着互联网的发展，大数据时代已然到来，生活中到处充斥着数据的影子，人们享受着数据所带来便利的同时也面临着其带来的烦恼.2015年2月，中央网信办发布的《互联网用户账号名称管理规定》中指出：“互联网信息服务提供者应当按照‘后台实名、前台自愿’的原则，要求互联网信息服务使用者通过真实身份信息认证后注册账号.”网络信息服务提供者据此收集到比以往更多的用户个人数据.用户在使用网络信息服务提供者所提供的服务的同时也在系统中留下了大量的数据，包含用户个人数据与行为数据，用户是否有权利将该类数据进行转移，“头腾大战”“脉博之争”此类数据争夺案例将数据权属之争推向白热化，使得数据可携权这一新型权利进入大众视野并引起广泛的争议.

1 数据可携权的起源及概念辨析

1.1 数据可携权的起源

数据可携权的立法理念可以追溯到欧盟1995年的《数据保护指令》(data protection directive, DPD)，数据可携权与该指令中的查阅权具有内在的联系.

2012年1月25日，欧盟委员会在关于个人数据保护的立法提案中首次提到数据可携权，其相关规定见第18条.2014年3月，欧洲议会采取了欧盟委员会提出的草案，并将《一般数据保护条例》草案的第18条与第15条的信息获取权合并[2].2016年4月14日，数据可携权作为一项独立的新兴权利最终被规定于《一般数据保护条例》(GDPR)第20条，定义如下：“数据主体有权以结构化、通用化和机器可读的格式接收他或她提供给控制者的有关他或她的个人数据，并有权将这些数据传输给另一个控制者，原数据控制者不得阻碍[3]”.2016年12月13日，欧盟数据保护工作委员会发布了《数据可携权的指南》.

1.2 数据可携权与信息自决权

信息自决权是数据可携权的前身.信息自决权的基本内涵可概括为公民个人对其个人信息流动的决定权，这是由德国联邦宪法法院根据其《基本法》中前2条的第1款规定的权利，并经过一系列判例所确认的新型基本权利.信息自决权类似于学者艾伦·威斯汀(Alan Westin)对隐私的解释：“个人、团体或者组织机构有权决定自己何时、如何以及向他人传达什么信息.”[4]学者普道瓦(Purtova)表示，数据的可携带性已经与信息自决概念相连接，并被视为信息自决概念和控制个人数据泄露和个人数据处理默认授权的逻辑延伸[5-6].信息自决权被多个国家所接受并作为基本权利被写入宪法中，我国目前虽没有明确引用信息自决权的概念，但是我国宪法条文中有关人格尊严的条文所蕴含的理论基础与信息自决权相通.

1.3 数据可携权与数据主体访问权

在GDPR草案的数次修改中，数据可携权是否应当独立于数据主体访问权引起较大争议，经过数次调整(1)数据可携权在2012年于个人数据保护立法提案中被首次提出，相关规定在第18条.2013年，数据可携权被隶属于欧洲议会的公民自由、司法和内政事务委员会(LIBE)在报告中划分到数据主体访问权之下，作为数据主体访问权的一部分被规定在第15条之中.该权力划分理念持续并体现于2014年的GDPR草案修改稿之中.2015年，欧洲议会、欧洲理事会和欧盟委员经过讨论回归原点，视数据可携权为一项独立的权利，将其规定于第18条之中.最终数据可携权作为第20条存在于2014年公布的GDPR之中.后，数据可携权作为一项独立的新兴数据权利被规定在GDPR第20条中.数据可携权应当独立于数据主体访问权，理由如下：

首先，从保护目的来看，两者出发点不同.数据主体访问权旨在保护数据主体随时访问自己数据的权利，知悉个人数据的收集、存储与运用；数据可携权的目的则在于保证用户无障碍地从数据控制者手中获取个人数据的副本，并将其自由地传输给第三方数据控制者.数据可携权中的“可”为助动词，“携”为动词，《说文》中谓：“携，提也.”由此可见，数据可携权的重心在于转移.

其次，从行使阶段来看，两者行使逻辑不同.GDPR第15条第1款提出，数据主体访问权的使用前提是数据处理者正在处理其个人数据，由此才能获知相关信息.而数据可携权的行使与数据处理者是否正在处理其个人数据无关，数据主体随时有权行使数据可携权.权利主体有权自由管理和控制个人数据，如数据副本获取和数据转移，数据可携权是数据主体访问权的重要补充[7].

2 数据可携权的争议

数据可携权自从被提出以来引起了广泛的争议，其在欧盟委员会关于个人数据保护的立法中也进行了多次的调整与修改.学者以及企业对数据可携权褒贬不一，对于是否设立或者引入数据可携权也存在不同的观点.

2.1 支持者

第一，数据可携权有利于维护人权和保护隐私.数据可携权的实现路径是先由数据主体提出，随后数据控制者响应数据主体的要求，此举有利于数据主体提升维护个人数据权利的意识.在实践中，数据主体往往为了某些利益而将个人数据免费或者以极低的价格提供给数据控制者，其并不了解个人数据所蕴含的价值以及意义，在如此随意地“出卖”个人数据后，更不会关注数据控制者将该数据用于何处.数据控制者趋利的商业本质决定其必定为了攫取更多利益，而将大量个人数据以一定的价格出卖给第三方，此举极有可能造成数据主体隐私泄露.数据可携权的设立能够有效地加深数据主体对个人数据重要程度的了解，进而能够在一定程度上促进隐私的保护.

第二，数据可携权有利于数据流通，提升经济效益.经济社会正在面临巨大变革，企业之间的竞争尤为激烈，数字行业的单一化发展抑制创新，不利于中小型企业正当参与竞争，抬高了消费成本和消费普及.调整竞争政策以适应数字经济的市场管理方法迫在眉睫，应当采取新的概念框架，而数据可携权有利于优化市场结构.在当前数据权属不明的情形下，通过数据可携权确立的数据流通规则一定程度上实现了特定数据的共享和利用[8].数据可携权可以通过事前竞争，对较为强大的互联网企业施加约束，为中小型企业的发展提供良好的环境，推动社会创新氛围，使中小型企业尽快成为数字产业链的重要组成部分.

第三，数据可携权有利于公平原则的实现.在个人信息保护领域中，作为基本原则之一的知情同意原则约束数据控制者在收集、存储、使用数据主体的个人信息之前必须征得数据主体的同意，行使数据可携权的前提条件之一也包含知情同意原则的理念，即只有在数据主体知情同意或者基于合同的约定下才可以主张数据可携权.如果数据控制者将收集的个人数据用于其他目的，那么数据控制者就应当将这一额外的收入与数据主体共享，这也是公平原则的体现[9].在实践中，数据主体与数据控制者往往处于不平等的地位，“算法黑箱”导致数据主体无法及时有效地得知其个人数据被用于何处，数据控制者有极大的可能在数据主体不知情的情况下将数据主体的个人数据或衍生数据用于他处，并获取额外利益.基于公平原则，数据主体有权获得该部分利益，由于数据主体与数据控制者信息不对等，后者无声地攫取了大量额外利益，数据可携权可以有效地使数据主体获得应有的补偿.

2.2 反对者

在数据可携权的演进历程中，布鲁塞尔互联网和电信研讨会就曾经反对将数据可携权作为一项新型权利存在于GDPR之中，原因如下：

一是数据可携权适用的个人数据范围较小.在GDPR的草案中，数据主体仅有权就其主动提供给数据控制者的个人数据行使数据可携权，然而，个人数据的范围远大于数据主体主动提供给数据控制者的数据，如数据主体在运用数据控制者开发的软件时同步生成的与个人数据相关的使用痕迹、数据控制者为提高和优化自身服务对用户行为的深度分析，这些数据在一定意义上都属于个人数据，数据主体却无法对这类数据行使数据可携权.针对此类问题，数据可携权的客体经过不断修改后有所调整，WP29数据保护工作组认为应当对数据主体“提供的数据”作广义解释，不应当将其仅仅解释为狭义的个人数据，如账户数据、通过在线表格提交的邮件地址、用户名、年龄等.数据主体的行为所产生的部分数据是基于数据主体提供的个人数据而生成，与个人数据具有内在的统一性，虽然不属于数据主体“主动”提供的数据，但是也应当被纳入数据可携权的客体之中，以充分发挥数据可携权这一新型权利的价值.

二是数据可携权阻碍数据格式的创新.GDPR规定数据主体在行使数据可携权时有权从数据控制者那里获取经过整理的、普遍使用的和机器可读的数据格式，利用最小化的成本满足这项要求的有效解决方式就是行业间制定统一的数据输出/接收格式.此举极大降低了数据控制者间的数据交互成本，但是长此以往必将阻碍数据的格式多样化，不利于数据领域的创新发展.

我国学者们反对引入数据可携权的理由大致如下：

第一，设立数据可携权不符合我国国情.有学者从数据可携权的立法初衷出发，并结合中国的文化背景以及社会现状，将数据可携权分为数据接收权和数据转移权，提出不应一味地将数据可携权全盘移植，应当分阶段循序渐进地借鉴数据可携权的理念，即先引入数据接收权，暂缓数据转移权的确立.数据转移权目前不符合中国国情，我国的数据经济发展起步较晚，相比欧盟以及美国都有较大差距，数据转移权一方面增加数据控制者的成本，另一方面对数据安全有较大的挑战，风险较大.此外，我国的数据立法较为保守，若设立数据转移权则不利于我国互联网市场的平稳发展.

第二，设立数据可携权后法律执行不明确.GDPR第20条中关于数据可携权的行使应当提供的数据格式要求较为模糊，没有统一的标准；除此之外，在该条的第2款中提到，在行使第1款所规定的可携权时，如果技术可行，数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者.其中“技术可行”也是一个较为主观的表达，GDPR条文中并未对此有进一步的解释，数据控制者的技术水平参差不齐，“技术可行”面对不同的数据控制者展现出差异性的难度，刚起步的微型企业以及中小型企业与实力较为强劲的大型互联网企业针对“技术可行”的判定可能存在不同的标准，数据可携权的初衷在于加强数据主体对于个人数据的控制力，但数据可携权的实现很有可能由于技术的桎梏而受到影响，导致数据主体在不同企业之间行使数据可携权的门槛有所差异.

第三，设立数据可携权会扩大产业发展差距.数据可携权的行使虽然降低了数据锁定效应，但是赋予数据主体数据可携权无疑加大了数据控制者的运营压力，数据控制者必须提高技术水平，以满足数据主体随时行使数据可携权.这对于中小型企业来说不仅是企业发展的极大机遇，同时也是一个严峻的挑战，中小型企业有更多的机会去挖掘潜在客户，客户的流动性变强，市场竞争更加激烈.面对此种环境可能会有2种发展前景：一方面给予中小型企业崛起的机会，促进大型企业产业优化升级；另一方面，因为竞争激烈，压力剧增，中小型企业迫于技术以及资金等因素而退出市场，大型企业进一步扩大所占领的市场份额，形成马太效应，最终造成垄断.我国的互联网起步较晚，目前各个领域都在推行互联网+行动，试图用互联网促进经济转型，大多数企业还处于起步阶段，过早地引入数据可携权可能导致我国与处于互联网水平前沿的国家拉开更大的差距，不利于我国互联网战略的实施.

3 数据可携权主体的利益诉求

3.1 网络用户

“零价格”服务似乎是一种足以激励人们表面上分享其个人信息的策略.在以往，一旦公司能够提供有效的“零价格”服务，用户实际上并不关心他们的个人数据.因此，他们的隐私不会被视为他们在市场上选择的决定性因素.但是随着个人数据泄露事件的频繁发生，如与消费者现实生活最贴近的垃圾短信“轰炸”现象，人们的数据保护意识逐渐觉醒，保护个人数据的需求开始不断显现.数据主体期望数据控制者能够将个人数据的收集、存储与运用过程公开透明.

软件市场的纷繁多样以及功能的不断完善极大便利了消费者的日常生活以及办公协作，但是数据的不透明以及企业对数据的封锁导致用户在多个软件之间抉择困难，从而使得新兴的软件具有极大的吸引力，但是用户重新选择服务方会导致以往的数据难以继续使用，切换服务商冗杂的程序以及数据重新累积的成本还是使大量用户望而却步，数据可携权的呼声逐渐水涨船高.数据可携权的创设是为了打破数据控制者对用户数据的封锁，加强数据主体对个人数据的控制，从而促进互联网市场的自由竞争[10].

3.2 网络平台

数据可携权可以有效降低数据交换的成本，加剧同类企业竞争，进而促进企业加快创新，改善现有技术以及服务，以避免用户的大量流失.同时作为数据接收方，企业为了实现接收其他企业的客户数据，必须开发新算法，加大投资力度，否则可能随时被市场抛弃.但是在实践中，互联网企业之间往往不会共享数据，一旦将掌握的数据资产分享给竞争对手，无疑增加自身竞争压力.数据主体、数据控制者的财产利益必然均会受到一定的影响，这说明原先数据主体对该个人数据的独占优势消失[11].大型企业很明显是站在设立数据可携权的对立面上，极力阻碍新的数据平台通过其获取海量的用户数据.“微博诉脉脉案”“头腾大战”等都明确地体现了大型企业的态度.互联网巨头的存在使得少数公司垄断大量数据，这些因素都会导致数据孤岛，难以创造出“1+1>2”的数据价值[12].中小型企业对待数据可携权的态度则与大型企业背道而驰，在数据竞争市场中中小型企业在夹缝中寻求生存和发展的希望，绝大部分企业因为在残酷的竞争环境下寻找不到合适的出路而退出市场，只有极少数企业开创出属于自己的一片天地.数据可携权的设立能够有效地帮助中小型企业走进市场，获得更多的用户资源，只要其制作出的产品具有足够的创新性、实用性和新颖性，并辅以良好的服务质量，立足于市场指日可待.

2018年，Facebook、谷歌、微软以及Twitter联合推出了一项名叫“数据传输项目(DTP)”的源代码倡议[13].这个项目旨在方便各个平台之间互相传输用户个人信息，促进企业竞争.美国企业面对GDPR挑战中提出的这项协议看似是为了迎合数据可携权而推行，事实上还是为了占领市场主导地位.Facebook和Twitter由于之前都深陷用户数据泄露的丑闻，用户的信任度有所降低，此举可以加强用户对其数据的控制权，有力地挽回企业形象，避免流失更多用户.而谷歌、微软作为云服务提供商，极有可能是数据的流入方，承担存储数据的重要作用，两者对于这种发展趋势必然是乐见其成的.

3.3 国家和地区

欧盟设立数据可携权主要出于以下2个目的：

第一，打破美国互联网的垄断现状.历史、税收、成本等原因导致欧盟区域互联网发展水平远远落后于美国，其互联网企业的发展受美国掣肘已久.美国互联网巨头企业持有海量欧盟地区的用户黏性，庞大而又全面的互联网生态链加剧了用户粘性，导致欧盟在互联网领域难以拥有一席之地.欧盟用数据可携权开辟出企业收集数据的新途径，试图打破美国互联网的垄断现状.在欧盟看来，数据可携权更像是一种促进市场自由竞争并实现利益最大化的工具[14].

第二，维护欧盟地区民众的数据权利.美国互联网企业多次出现泄露用户数据的丑闻，极大地侵犯了用户的数据权利，欧盟对此深恶痛绝，因此寄希望于数据可携权能加强数据主体对个人数据的控制权.数据控制者在对用户的个人数据进行收集、存储、转移等操作时必须取得数据主体的同意，原因在于这些个人数据与个人的线上人格(digital personality)有着紧密的联系，这些碎片化的个人数据综合后能够深刻地反映数据主体的线上人格，是数据主体的人权(人格尊严和人格自由)在数字世界的反映[15].

4 数据可携权本土化的制度反思

虽然我国法律并未明文规定数据可携权，但是在许多个人信息保护相关立法之中都能找到数据可携权的理念.

4.1 数据可携权理念在我国的立法体现

数据可携权仍面临许多问题尚待解决，我国是否应当引入数据可携权还须考察.目前我国相关立法已经对数据可携权的设立有所体现.我国于2018年5月1日实施的国家标准GB/T 35273—2017《信息安全技术 个人信息安全规范》中第7.9条提到，个人信息主体有权利获取个人信息副本.根据个人信息主体的请求，个人信息控制者应为个人信息主体提供获取以下类型个人信息副本的方法，或在技术可行的前提下直接将以下个人信息副本传输给第三方：1)个人基本资料、个人身份信息；2)个人健康生理信息、个人教育工作信息.2020年，国家标准GB/T 35273—2020《信息安全技术 个人信息安全规范》完成修订并正式发布，代替了GB/T 35273—2017《信息安全技术 个人信息安全规范》，实施日期为2020年10月1日.其中有关个人信息主体获取个人信息副本的规定改在了第8.6条，内容无变化.2020年8月28日发布的《信息安全技术 网络数据处理安全规范(征求意见稿)》，第5.6条规定了个人信息查阅、更正、删除及用户账号注销的相关内容，网络运营者应建立渠道和机制，及时响应和处理个人信息主体查阅、复制、更正、删除其个人信息及用户注销账号的请求，不应对请求设置不合理条件.除此之外，第5.10条作出了“向他人提供数据前应进行安全影响分析和风险评估”等相关规定，也包含了数据可携权的理念.

4.2 数据可携权本土化的优势

数据可携权可以加强数据主体对个人数据的控制力，引入数据可携权应当取其精华，去其糟粕，使之与中国数据发展水平相适应，促进我国数据领域的繁荣发展.引入数据可携权的优势如下：

第一，数据可携权能够产生扩展效应，加快促进社会的数据化发展.用户对数据可携权需求的增加与企业对数据处理技术人员的需求呈正相关，对数据处理技术人员的巨大缺口又促进数据相关专业教育的快速提升，教育的提高与文化的发展又反过来促进经济进步，从这个角度来看数据可携权的引入有利于社会进步.

第二，数据可携权能够形成威慑效应，促进数据控制者优化自身服务.数据可携权引起数据锁定降低，当更具创新性的应用出现时，用户的可选择性增加，当企业固步自封，不优化自身服务时，极大可能导致用户流失.数据可携权在提升用户产品体验的同时对企业形成的威慑又能够促进企业优化自身服务，可谓一举两得.

第三，数据可携权能够孕育鲨鱼效应，不断提升数据的运行准确性.数据在交易和流转的过程中会经过不断的补充与完善，数据主体能够对其提供给数据控制者的个人数据进行直观的校对，对深度分析数据控制者所形成的个人数据衍生部分进行核对，并对其中与实际情形不符的数据进行及时的补正与删除.数据经过多次流转后内容更加充实，准确度随之攀升，数据主体的用户画像也更加准确.数据主体完善数据的同时也反作用于数据控制者，此举不仅有利于数据控制者提升服务水平，同时也避免数据控制者进行错误运算，造成严重后果.

4.3 数据可携权本土化面临的障碍及完善措施

我国众多学者反对将数据可携权本土化，主要原因在于数据可携权对市场作用的不确定性.虽然数据可携权能够降低数据锁定，加强数据流通，但是也有一定的概率对市场产生负作用，抑制中小型企业的发展.矛盾具有普遍性，任何事情都具有双面性，不能因为畏惧数据可携权带来的风险而踌躇不前，一味地反对引入数据可携权，应当理智看待这一新型权利.结合我国数据发展进程，针对数据可携权存在的不足，制定与中国国情相符的数据权利保障体系，促进我国数据经济朝着平稳、高质量的方向不断发展.

第一，数据可携权的数据范围尚未界定清晰.用户只能针对“经同意的、自主上传”的数据主张数据可携权，对于企业或者其他主体经过法定的义务或者其他途径收集的用户个人数据则无法主张数据可携权，这导致用户在特定情况下无法有效主张数据可携权.

针对数据可携权实施中面临的这一问题，有必要对数据可携权的数据范围进行界定，对数据进行分类，明确数据可携带的范围.可携带的数据须与数据主体有关并由数据主体提供，“与数据主体有关”要求所请求的个人数据能够识别自然人，GDPR序言第26项提出了比例测试方法，即是否可识别与“合理使用的手段”相关，须综合考虑成本、时间和可用的技术等因素[16].因此，匿名数据不属于数据可携权的权利范围.假名数据由于存在附加信息可以指向特定自然人，属于数据可携权的权利范围[17].

第二，合理保护第三方数据主体权利的体系尚未建立.当数据主体传输与第三方数据主体有关的通信或交易数据时，必然有可能侵犯到第三方数据主体的隐私权和其对个人数据的支配权.例如，用户在某个平台上传一张合照，当该用户行使数据可携权，要求将该照片转移至第三方数据平台时，或许会侵犯合照当中其他数据主体的支配权，相关联的第三方数据主体又该如何维护自己的权益呢.

针对此种困境，可以在用户注册时设置选项，由用户自主决定当其成为第三方数据主体时，何种数据可以随他人数据转移而附带转移，何种数据禁止随他人数据转移而附带转移，并且在数据主体行使数据可携权时应当及时告知相关的第三方数据主体，这时相关的第三方数据主体仍然有权作出是否将个人数据随即将转移的数据而附带转移，以充分保障其支配权.

第三，原数据控制者能否保留数据主体相关个人数据尚未定论.数据可携权包含数据副本获得权和数据转移权，用户通过主张数据可携权，将数据副本转移到第三方数据控制者手中，保留在原数据控制者手中的数据“原本”是否自动默认用户将其删除.目前GDPR并未对此作出规定，也就是说原数据控制者依然有权保留用户的个人数据.此举不利于保护用户的个人数据权利，在纷繁复杂的数据世界，与专业的数据处理工作人员相比，用户对数据的收集、存储、加工、运行知之甚少，其往往怠于行使自己的权利，企业基于自身利益的考量必然会留存用户个人信息.

数据主体行使数据可携权将个人数据转移至第三方必然会使原数据控制者损失利益，因为其将数据主体的个人数据系统化收集、存储、处理和输出都将耗费一定的成本，若大量数据主体频繁地将个人数据转移，原数据控制者将面临极大的数据体量运行压力.保障数据主体权利和维护数据控制者利益之间亟需寻找一个平衡点.将数据进行分类，针对不同类型的个人数据赋予用户不同等级权限的数据可携权或许能够缓解两者之间的冲突.例如，针对用户自己提供的基础数据，数据控制者可以无偿提供数据主体行使数据可携权；经过数据控制者深度分析得出的数据主体行为衍生数据，则需要数据主体支付给原数据控制者一定的“报酬”才能将其转移，当然数据主体也有权利选择拒绝携带此类数据.原数据控制者是否有权留存数据主体的个人数据也可以从该角度探寻出路.针对用户提供的基础个人数据，数据控制者应当默认数据主体行使可携权后自动销毁“原件”；而经过处理的数据主体行为衍生数据作为原数据控制者的劳动成果，可以赋予数据主体选择权，由其决定是否将该类数据彻底消除并支付合理的对价，若拒绝支付对价则数据控制者有权保留该类数据.

最后，数据可携权本土化还应当注意以下2点：

一是数据可携权本土化应当循序渐进.我国可以采用“试点策略”，先针对某个行业引入数据可携权，观察数据可携权的实施效果，再逐渐扩大数据可携权的实施领域，如有学者指出开放银行是数据可携权最先行也最有价值的应用场景[18].欧盟2015年发布并于2018年实施的欧盟《第二代支付服务法令》(PSD2)第66，67条赋予用户对其账户信息的控制权和可携权：“银行应在用户要求时向第三方开放用户数据的访问权限，即便该第三方与银行并不存在任何合同关系”[19].欧盟的这一法令颁布后1年内全欧洲就有300家银行加入欧洲开放银行业务，极大地促进了银行业的发展.

二是明确数据可携权的权利主体.根据GDPR序言：“本条例所提供的保护适用于自然人”[20]，因此数据可携权的权利主体应当为自然人.我国引入数据可携权首先应当明确数据可携权的权利主体，是否所有自然人都应享有数据可携权，有学者提出将数据可携权视为一种“柔性权利”或追求目标，在具体场景中赋予个体数据可携权，从而提升用户福利和促进市场与社会的公共利益[21].将数据分别放置于企业和公共场景之中，赋予不同个体差异化的数据可携权.区别对待粉丝数量庞大的商业认证用户和普通用户，只赋予后者数据可携权，因为前者对于网络平台的流量具有不可估量的影响力.从竞争法的角度出发，赋予前者数据可携权也无法有效地维护原数据控制者的商业利益.例如某知名游戏主播之前在企鹅电竞直播，后跳槽至斗鱼直播导致企鹅电竞遭受较大损失，最终该主播被起诉罚款300万元.