谢 蔚，李文静

(湘潭大学 法学院，湖南 湘潭 411105)

2016年4月27日，欧盟议会与理事会通过了《通用数据保护条例》(以下简称GDPR)。2018年5月25日，GDPR正式实施，直接适用于欧盟各成员国。为增强数据主体对个人数据的控制，GDPR明确了数据主体享有隐私权、纠正权、删除权、数据可携权等数据权利。[1]关于数据可携权的具体内容，第20条规定了数据主体有权以结构化、通用、机器可读的方式接收其提供给数据控制者的与其相关的个人数据的接收权；在技术可行的情况下数据主体有权无障碍地将其个人数据从某一数据控制者传输给另一个数据控制者的数据迁移权。

出于对域外数据可携权的关注，我国学界在2018年后亦涌现一大批以数据可携权为主题的研究成果。对这些文献进行梳理后大体可以将其分为两类：一类是关于借鉴与引入数据可携权的研究；另一类是就数据可携权本身的属性、内容、问题等方面的研究。从我国2017年以来的数据发展与规范实践来看，《个人信息保护法》正式出台之前已有数据可携权的内容。例如：2017年由全国信息安全标准化技术委员会颁布的《信息安全技术个人信息安全规范》的7.9规定，根据个人信息主体的请求，个人信息控制者应为个人信息主体提供以下类型个人信息(个人基本信息、个人身份信息、个人健康生理信息、个人教育工作信息)副本的方法，或在技术可行的前提下直接将个人信息的副本传输给第三方。2021年8月20日，《个人信息保护法》正式出台，该法第45条第3款对个人信息的可携权作出了明确规定。在这一背景下，厘清我国引入数据可携权过程中的争议焦点，在比较欧盟数据可携权立法的基础上构建我国数据可携权的具体适用路径便是一个不可回避的重大议题。

一 关于我国是否引入数据可携权制度的争论

《个人信息保护法》正式出台前，关于是否引入数据可携权，存在几种不同观点。一种对引入数据可携权持肯定态度，认为通过立法确认个人有自由获取和转移其个人数据的权利，可以强化自然人对其数据的支配性，有助于塑造更为公平透明的数据处理市场，防止大型网络企业垄断个人数据领域。[2]但对引入模式存在不同看法：一种方案认为可携(带)权是《民法总则》中规定的个人信息权的一种具体积极权能，可在制定民法典时细化完善包含可携权在内的各项个人信息权权能；另一种方案则认为应当在未来的《个人信息保护法》中予以规定[3]，以形成更好的数据专门立法体系。另外一种观点对可携权(可转移权)的引入持保留态度。持该种观点的学者认为，虽然该权利增强了个人对其信息的控制权，但也给信息控制者增加了压力和成本，必然会增强各个信息控制者之间的市场竞争程度。[4]

规定个人信息可携权是很有必要的。首先，从规范层面来看，我国在2012年党的十八大之后，便开始部署实施大数据国家战略，致力于推动政府、行业、企业之间数据资源的整合和开放共享。一方面，国家机关纷纷制定了大数据的发展规划，如2015年国务院发布了《促进大数据发展行动纲要》，2016年中共中央办公厅与国务院办公厅联合发布了《国家信息化战略发展纲要》，2017年最高人民检察院印发了《检察大数据行动指南(2017-2020年)》，2018年进一步印发了《全国检察机关智慧检务行动指南(2018-2020年)》等；另一方面，数据立法的进程明显加快，逐步形成了包括《网络安全法》《个人信息安全规范》《电信与互联网用户个人信息保护规定》《网络交易管理办法》在内的数据立法体系。在实践层面，我国的数字经济已然在国民经济中占据重要地位。[5]近年来，数字经济的规模和发展速度均呈现增长态势。中国信息通信研究院《G20国家数字经济发展研究报告(2017)》显示，2016年，我国数字经济规模以3.4万亿美元的总量位居世界第二，全球市值前十的公司中有七家科技企业，我国的阿里巴巴和腾讯位列其中；到2018年，营业额排名全球前二十的互联网企业中，我国便占据了八个席位；根据2019年中国互联网络信息中心发布的第44次《中国互联网络发展状况统计报告》，我国网民规模已达9.04亿。2019年国家网信办发布的《数字中国建设发展报告(2018)》显示，2018年我国数字经济规模达到31.3万亿元，占GDP比重达到34.8%。

我们当下正处于数字经济时代。数据的数量庞大、范围广泛、价值日增，如果不加快数据在网络中流动的速率，将影响经济与社会发展的效率。在我国数据发展规划与数据立法着力推动数据流转与保障数据安全的前提下，为进一步活跃我国的数字经济生态，实施数据可携权以加快数据流动，符合目的正当性的要求。

全国人大常委会发布的公开征求意见的《个人信息保护法(草案)》一审稿、二审稿，都只在第四十五条规定了个人对其数据的查阅复制权，回避了学界呼声较高的数据可携权入法。之后，全国人民代表大会宪法和法律委员会经过反复研究，建议增加个人信息数据可携权的相关规定[6]，最终，2021年8月20日的第十三届全国人大常委会第三十次会议通过《个人信息保护法》，其第45条第3款规定：“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。”至此，个人信息数据可携权正式被法律所确认。

数据可携权虽然被确立，但是法律条文只笼统地规定了权利行使的要件和权利行使对象(个人信息处理者)的义务，其具体实施规范亟待细化，而我国关于法律指引下的数据可携权的实践较为缺乏。对此，我们可以参考欧盟数据可携权的实施过程，总结其经验和不足，为我国的数据可携权适用提供有益借鉴。

二 欧盟数据可携权确立与实施过程中的利益权衡

(一)欧盟数据可携权确立过程中的利益冲突

一个不争的事实是，欧盟的数据产业发展明显滞后于美国，正是在这样的背景下，欧盟加速了数据立法的进程，从第一代1981年的《关于个人数据自动化处理之个人保护公约》到第二代1995年的《数据保护指令》，再到第三代的GDPR，欧盟的数据立法内容不断细化，效力逐步加强。一方面，欧盟意识到在现实的数字世界中，数据控制者处于明显的强势地位，数据主体则处于现实的弱势地位。[7]为了加强对数据主体的法律保护，确立数据可携权具有打破数据垄断，增强数据主体对个人信息控制的效果。另一方面，欧盟又担忧确立数据可携权这一新型权利可能会损害有价值的专有信息或知识产权，造成隐私和数据安全风险、提高企业合规成本等负面影响。[8]

这种对数据可携权的矛盾态度可从GDPR的制定过程中得以反映，因为在GDPR 的“建议稿”中，欧盟立法者积极主张数据可携权，但“一读稿”却删除了有关数据可携权的条款，最终GDPR中的数据可携权内容几经波折才得以保留，但又增加了许多的限制条件和例外规定。[9]即便在GDPR确立数据可携权之后，世界范围内确立数据可携权的立法例仍属少数，如美国联邦层面没有关于数据可携权的立法，其对数据可携权持较为审慎的态度，更倾向于有限制地赋予企业数据访问和数据可携的权利，并主要依靠相关企业的行业自律和自主探索。[10]从欧盟企业的接受度来看，数据可携权的实际运行也并不乐观。据汤森路透的调查数据显示，79%的企业要么没有满足GDPR的监管要求，要么在跟进规则方面遇到困难；91%的企业表示知道GDPR，但其中1/4表示自己没有熟悉了解其规定；这些企业在数据保护方面的年平均支出为130万美元，预计合规成本还将不断提高。从GDPR确立数据可携权的过程来看，立法者存在明显的犹豫与迟疑，企业持有一定观望与排斥，GDPR进行的数据权利分配产生的利益冲突是否能够得以缓和有待进一步的实践检验。

(二)欧盟数据可携权制度内容的利益权衡

在现有的GDPR框架内，立法者对数据可携权的制度设计始终注意平衡数据运营者与数据主体之间、数据运营者之间、数据主体与第三人(或公共利益)之间的利益关系，[1]以避免数据可携权的确立造成权利失衡的局面，不致对企业竞争与创新、数据安全等带来负面影响。具体而言：

1.数据运营者与数据主体之间的利益权衡

数据运营者包括数据控制者与数据处理者。在数字世界当中，数据主体是通过使用数据运营者的产品与服务而进行数据活动。数据作为一种关键性竞争资源，其权属的分配实质上是一种利益的分配。从开放视角来看，数据的权属分配存有四种可能的模式，即数据主体所有、数据运营者所有、数据主体与数据运营者共有，以及数据公众所有。[2]确立数据可携权的内在逻辑是确立数据利益归于数据主体所有。然而，若制度上仅作如此安排，则将导致数据运营者怠于进行数据开发，不利于数字经济的发展。因此，需要通过限定数据可携权的数据范围来实现彼此间的利益平衡，欧盟或许正是基于此种考量最终将数据可携权的标的确定为与数据主体有关的个人数据。[3]

具体而言，数据主体被限定为自然人而不包括企业等其他主体。与数据主体有关的个人数据亦是在对数据进行分类的前提下作出的范围限定。因为在数据使用的整个价值链中，存有三大类数据：第一类是数据主体主动提供的个人数据；第二类是对数据主体使用服务或产品时留下的行为痕迹进行分析所得的观测数据；第三类是数据控制者基于算法技术对第一类和第二类数据进行分析所得的衍生数据。[4]从数据平台对数据本身的投入来看，从第一类到第三类其投入依次递增，而从数据的经济价值来看，亦呈现依次递增的效果。[5]为了不影响数据平台的积极性，GDPR仅明确第一类数据属于数据可携权的标的。对于更能反映数据主体心理状态、购物偏好、生活习惯等信息的观测数据和衍生数据是否可以纳入数据可携权的范围，GDPR似乎有意保持着模糊态度。此外，数据平台还可在证明其有关数据处理的强制性法律依据优先于数据主体的权益，或者为了设立、行使或捍卫其合法权利的条件下对数据可携权进行限制。

2.数据运营者之间的利益权衡

在以数据为核心竞争要素的互联网行业，搜索引擎、电商平台、社交网络等数据平台已然存在高度集中的垄断现象。一些大型数据平台利用其数据与资金优势占领高地，通过市场支配地位进行数据控制，如果不能采取有效手段解决数据准入障碍，将阻碍中小企业参与竞争和技术创新。GDPR确立数据可携权，亦是为了让数据主体拥有更充分的选择权，避免数据平台企业进行用户锁定，中小企业也因此能获得公平竞争的机会。

然而，在确立数据可携权的过程中，欧盟立法者也意识到了这种假定未必成立。因为数据可携权的数据迁移权部分需要数据以结构化的、通用的、机器可读的方式存储与传输。这样一种以互操作性(Interoperability)为前提的制度设定，对于不同的数据平台而言，其合规成本具有异质性。因为数据迁移的实现需要数据平台开发多个应用程序接口(API)以满足不同的数据传输格式之间互操作性的要求，更何况数据传输格式随着科技发展不断增多。这对于谷歌、脸书、亚马逊、腾讯等已经占据市场且颇具规模的数据平台企业是竞争优势，但对于初创企业和正值发展瓶颈期的中小企业则是巨大的生存压力。[16]如有研究者提到，GDPR改革将使得欧盟中小企业的年度IT成本增加约3000欧元-7200欧元，具体取决于中小企业的行业领域，该数据相当于企业年度平均IT预算的16%-40%。[8]正是为了避免给中小企业造成过重负担，GDPR在制度内容上并未强制要求企业建立互操作性的储存与传输格式，而是以鼓励的方式实施，比如在要求企业建立数据保护官的问题上仅限定为雇员在250人以上的大型企业。

3.数据主体与第三人及公共利益之间的利益权衡

GDPR确立的数据可携权注意到在数据流转与数据集合的情景下容易发生权利冲突，特别是当其与知识产权(商业秘密)、第三人隐私权及公共利益发生冲突时，该权利的行使要受到相应的限制。具体而言：首先，在GDPR的《指南》中，将数据信息区分为含有知识产权与不含有知识产权两类。如果数据主体请求转移的个人数据含有知识产权，将会侵害到享有上述权利的主体权益，因此数据平台应当在分割涉及知识产权的信息后再进行数据传输[17]。其次，为保护第三人隐私权，GDPR明确数据可携权不能对他人的权利或自由产生负面影响。由于在互联网环境中将不同主体的个人数据完全分割是极为困难的，尤其在涉及交易平台或社交平台的场景下，这种数据粘合的现象更为普遍。在数据主体请求转移其个人数据时，如涉及第三人的个人隐私，第三方无法自动知悉其个人隐私可能因数据迁移而受到影响。为此，GDPR要求数据平台必须在第三人知情同意的情况下才能进行数据传输，且接收数据的数据平台须承担对该第三人的个人数据的保护义务。最后，GDPR允许基于国家安全，公共安全，刑事犯罪的预防、调查或刑事处罚的执行，司法独立与司法程序保护，违反职业道德规范的预防、调查与起诉，科学历史研究或统计目的等公共利益的需要，对数据可携权进行必要限制。

4.数据可携权与数据安全之间的权衡

数据可携权在加速数据流动效率的同时也增加了数据安全的风险。为了满足互操作性的存储与传输需要，数据运营者将开发更多的应用程序接口，其结果是导致系统和服务更加具有开放性，这将为黑客侵犯提供更多的机会，从而产生更多的数据非法泄露、非法提供与非法买卖的违法行为。从数据可携权制度内容来看，对数据平台仅提出“技术可行”的情况下增加互操作性未尝没有数据安全的考虑，并且GDPR直面数据安全问题对数据平台提出了“充分保护”的要求。数据平台必须采用适当的技术和组织措施确保其掌握的个人数据能够达到合理应对风险的安全级别，并明确要求对个人数据进行匿名化和加密处理。在任何情况下，数据平台必须执行身份验证程序，可要求数据主体提供合法身份证明[18]。在GDPR生效之后，确有数据平台因未履行“充分保护”义务而被问责。例如，2018年，德国一家社交平台的运营商将数据主体的密码以明文形式存储，该公司的用户数据后来发生了严重的泄露，有80.8万个电子邮件地址和187.2万个带有先关密码的用户名被发布到其他网站。为此，德国的监管机构对其作出了2万欧元的罚款。[7]

在数据平台与数据主体存在持续性的不对等关系背景下，赋予数据主体包括数据可携权在内的系列数据权利充分体现了对数据主体的倾斜性保护。然而，欧盟立法者认识到数据可携权是一种需要平衡的权利，[19]GDPR中对数据可携权设置的诸多限制条件正是表明该权利在性质上并非绝对权，需要调适其与其他权利之间的关系。然而，即便GDPR作出了利益权衡的努力，但这种平衡也为数据可携权的实施带来了不确定性。在面临利益或价值冲突的情况下，如何正确适用数据可携权制度成为亟待讨论的问题。公法领域的比例原则提供了将抽象的利益衡量转化为规范结构的法律技术，因而是合适的分析工具。

(三)欧盟数据可携权实施过程中的利益平衡

2020年6月欧盟委员会发布《数据保护作为公民赋权的支柱和欧盟数字转型的路径暨〈通用数据保护条例〉两周年实施历程报告》(以下简称《GDPR两周年实施历程报告》)[20]，一方面其重申数据可携权实施的意义，它可以使个人切换不同的服务提供商，使个人处于数据经济的核心地位，这将间接促进竞争并支持创新，因此强调使数据可携权得以进一步适用是欧盟委员会目前的首要任务之一。另一方面，《GDPR两周年实施历程报告》更强调数据可携权的明显潜力并未得到充分挖掘。这主要是由于欧盟的数据战略凸显了实现数据可携权目前尚需要解决的各种困难。比如，缺乏能够以机器可读的格式提供数据的标准，难以提高对数据可携权的有效利用，以至于数据可携权的有效利用仅限于有限的几个行业之间(如银行业和电信业)。通过上述分析，就数据可携权的适用问题，欧盟更注重数据主体对个人数据的控制，并在合法合理控制的前提下，进一步促进数据流转及数据企业之间的良性竞争。因而欧盟强调，进一步利用数据可携权并非不可能，但需要通过设计适当的工具、标准化的格式和接口来实现。欧盟也在考虑通过使用强制性技术接口和机器可读格式以便实现实时数据迁移。

三 比例原则指导下我国数据可携权的具体适用路径

(一)比例原则作为法益衡量的一般原则

GDPR中对数据可携权设置的诸多限制条件正是表明该权利在性质上并非绝对权，需要调适其与其他权利之间的关系。在面临利益或价值冲突的情况下，如何正确适用《个人信息保护法》中数据可携权规范成为学者们激烈讨论的问题。复杂的利益衡量需要借助混合型的法律推理，诞生于公法领域的比例原则提供了将抽象的利益衡量转化为规范结构的法律技术，是目的理性的集中体现与成本收益分析的另一种表达,在私法中也具有普适性[16]，因而是合适的分析工具。

比例原则发源于18世纪后期的德国，为了保护公民权利免受强大警察权过度侵犯，德国警察法中开始出现比例原则的观念，在奥托·迈耶1895年出版的《德国行政法》中明确提出“警察权力不可违反比例原则”。此后比例原则在理论与实践中得到了极大发展，成为德国公法理论中的“皇冠原则”。第二次世界大战后，德国宪法法院更是将其从行政法原则提升为宪法原则。从比例原则的起源与发展来看，该原则为公权力主体作用于私权利主体的场景划定了合理界限，当不同主体或不同权利之间产生冲突之时，比例原则提供了利益衡量的技术手段。在法治观转型和全球化影响下，比例原则在辐射范围上实现从国别、区域到全球的地域性影响，完成从公法、私法到其他部门法的渗透。在功能定位上，比例原则从基础的权利保障功能拓展到权力配置功能[17]，使得后者在新兴权利判断领域开始作为方法论成为“目标—手段”理性构建的基准。

比例原则既包容多元价值，又提供系统框架的特质，一方面使它能在本来“不可通约”的价值间进行比较，具备多元论的冲突解决优势；另一方面，它使得分析过程的各个阶段变得更加透明，这也促使方法论意义上的比例原则获得青睐[18]。尤其在重大立法或重大决策当中，比例原则要求国家治理应当从客观形势出发审慎确定管理目标，在实现管理目标的方案选择上进行目的正当性、适当性、必要性与均衡性的分析，[19]避免出现制度运行成本过高，社会负担过重等不利后果。因而在我国如何适用数据可携权的问题上，比例原则的三项子原则(适当性原则、必要性原则、均衡性原则)作为目的手段理性建构中的路径化、工具性方案，可以提供管理创新的理性视角，进入法益衡量中的论证过程。

(二)我国数据可携权适用路径的适当性原则

适当性原则要求采取一项行动能够实现或至少有助于所追求目的的实现。由于任何一种制度或者措施多多少少会有助于目的的达成，因而该原则的满足一般不存在太大难题。[21]具体到我国数据可携权的实施，这一原则要求能够实现或者至少有助于实现加强数据主体的权利保护和促进数据平台之间的竞争与创新。然而，是否能够产生这一正面效果却存有较大的争议。

虽然一部分意见认为数据可携权能够增强数据主体对个人数据的控制，有利于打破数据垄断并促进数据市场的竞争与创新。[22]但是，仍有不少反对者认为数据可携权的实施可能对竞争产生负面影响。由于我国互联网行业已然存在腾讯、阿里巴巴、京东、滴滴等巨头，长期以来积累了海量数据和先发优势。在这样的背景下，实施数据可携权可能产生如下一些连锁反应：首先，基于数据可携权的数据流动极可能在实际上更多的是从中小企业向大型企业的流向；其次，中小企业可能将资金与人力更多地投入到数据可携权的合规性满足，从而挤占其进行技术创新的资源，亦可能因承受不起数据可携权的合规性成本而难以为继；最后，在数据可携权增加企业成本的情况下，大部分免费的互联网应用与服务可能向收费模式转变，最终成本转移到消费者身上，减损用户福利。[16]

然而上述观点并不具备说服力，以电信领域为例，该领域携号转网的实践既是欧盟数据可携权的萌芽领域，也是该权利发挥典型效用的领域。我国2019年11月正式实施携号转网，目前正处于深化业务规范办理阶段，携号转网提升了电信运营商竞争的同时并未减损消费者利益，反而提高消费者对电信服务提供商的选择权，进而在电信领域初步实现个人数据的接收与迁移。欧盟《GDPR两周年实施历程报告》通过评估GDPR两周年的实施情况，把数据可携权提升至创新性个人数据权利保护机制的地位。欧盟委员关注到数据可携权实施带来的数据交互相关实践在互联网平台生态系统中的重大作用，表示筹备中的《数字服务法》将赋予个人更好控制其数据的权利。再者，数据可携权还可产生其他额外效应，比如在“数据利他主义”视角下，数据可携权可以使个人更容易为了公共利益，自己或者许可数据处理者将其个人数据“捐献”。例如，个人可以自己或者许可其他数据处理者将其个人健康数据迁移至医疗机构，促进健康医疗部门的科研攻关。

(三)我国数据可携权适用路径的必要性原则

必要性原则又名为损害最小原则，是指在有助于实现目的的众多行动方案中，应当选择对合法权益损害最小的一种方案。[21]在比例原则的众多子原则当中，该子原则适用的频率最高，对于立法与决策而言，能够借以审慎权衡各种可供选择的规制模式。在这一原则之下，我国的数据可携权适用路径可以选择更为稳健的实施方案，具体而言：

1.数据可携权技术条件标准的政策性实现策略

数据迁移权通过国家网信办探索技术条件标准来另行规定，能够更加灵活地根据技术发展和行业实践来进行政策性调整。在具体操作层面，可以考虑按照如下方案推进：一方面，可以由国家网信办以行政规划的形式确立数据迁移互操作性的发展规划，明确数据存储的最低强制性标准，推动互联网协会建立数据存储的行业标准，并通过行政指导的方式优先实现达到一定经济规模的数据平台在一定年限内达标数据迁移的技术条件，并对达标企业予以行政奖励或政策性支持；另一方面，通过授权特定领域试点的方式加速数据迁移互操作性的实施。重点包括2019年即在《政府工作报告》中提出的移动通信领域的携号转网，个人健康医疗数据在医疗机构间的迁移以及在金融征信领域的个人数据可携，对这些领域可以设定具体的技术要求。如此，既能满足特定领域亟需解除用户数据锁定效应的社会需求，又能避免全面实施数据可携权带来的巨大制度成本。这与欧盟委员会2020年6月发布的《GDPR两周年实施历程报告》中确立的进一步释放数据可携权潜力的重点领域相一致。如此，既能满足特定领域亟需解除用户数据锁定效应的社会需求，又能避免全面实施数据可携权带来的巨大制度成本。

2.竞争法上的补充实施方案

数据可携权在性质上是对数据平台与数据主体之间关于数据利益的制度分配。从打破数据平台的垄断地位或消除数据平台之间的不正当竞争角度出发，同样可能达到促进用户数据自由流转的效果，从而成为补充性的实施方案。[23]具体而言，一方面，当消费者或企业发现具有市场支配地位的数据平台存在滥用其支配地位的行为，并对市场竞争或消费者权益造成了不利影响，即可通过《反垄断法》确立的责任制度进行规制；[22]另一方面，即便对用户数据进行锁定的数据平台尚不具有市场支配地位，但只要能够证明对其他数据平台造成了具体的损害，且行为本身具有违反诚实信用原则或公认的商业道德的性质，亦可在《反不正当竞争法》框架下实现问责。[21]

(四)数据可携权适用路径的动态均衡性调整

均衡性原则即狭义的比例原则，该原则要求为追求正当目的所采取行动的最终收益必须大于该行动造成的损害或成本。在该原则的要求下，数据可携权的实施应当在整体上产生正面的社会效益。在我国对该权利通过立法确定的情况下，均衡性原则要求建立动态的实施评估机制，以进行及时的制度反馈和调适。[24]具体而言，可以采用定期评估法定义务与不定期评估反馈权利相结合的模式，一方面明确行政主管部门对数据可携权实施情况进行定期评估的法定义务，另一方面推动互联网协会对数据可携权的实施情况进行不定期评估，并通过网络途径开通民意渠道，听取民众或企业对数据可携权制度运行的意见，以此来保障数据可携权的基本权利地位及其适用实效。

四 结 语

在人们的交互行为越来越通过互联网平台开展的情况下，数据资源的价值挖掘和数据主体的权利保护已然成为世界各国数据立法的中心议题。面对欧盟进一步释放数据可携权正面效应的努力，以及我国数据可携权通过《个人信息保护法》正式确立的现实，应当通过比例原则对该权利的具体适用路径进行指引，实施过程中应当综合考虑各方主体利益平衡，并采用动态均衡调整的方式，最终使得该项权利得以发挥促进数据市场健康发展的效用。