何金海

(广西民族大学 广西知识产权发展研究院，广西 南宁 530006)

学理上，个人信息可携带权作为近年来的新创概念，(2)“个人信息可携带权”，亦称数据“可携带权”“可携权”“携带权”“迁移权”或“移植权”，是指数据主体有权接收其先前提供给数据控制者的个人数据，也有权将数据迁移至其他数据控制者。可参见何玉颜：《欧盟〈通用数据保护条例〉解读及其对我国个人数据保护的启示》，载《图书情报导刊》2018年第11期，第67-72页；叶名怡：《论个人信息权的基本范畴》，载《清华法学》2018年第5期，第143-158页；汪庆华：《数据可携带权的权利结构、法律效果与中国化》，载《中国法律评论》2021年第3期，第189-201页。在我国尚未引起广泛讨论，相应的关注程度有限，研究成果集中于制度框架层面，在权利客体范围方面尚未形成系统论述。而今，随着《个人信息保护法》的实施，个人信息携带之实践操作将被应用到广泛的现实场景中。例如，导出消费记录、账户信息、播放列表，或者转移医疗信息、注册信息，又或同步个人通讯簿、网站评论、博客内容等。然而，考虑到个人信息迁移通常涉及企业数据权益甚至社会公共利益，并非任何个人信息均可纳入可携带权客体范围。此时，何种类型的个人信息可由个人申请并转移至其指定的个人信息处理者将成为一个不可避免的重要问题，其范围宽窄将直接影响到各方主体利益。因此，笔者结合国内外有关法律实践就个人信息可携带权的客体范围展开分析。

一、国内外关于可携带权客体范围的立法考察

可携带权作为一项新兴的数据权利，是经由数据自决理论、携号转网等实践过程，并历经萌芽、雏形、成型等阶段而确立的。2016年3月欧盟GDPR获得通过，其关于“数据可携带权”之独创性规定被誉为“前所未有的创举”，并迅速成为世界司法界关注的焦点。[2]包括美、印、澳、新等国在内的国家和地区纷纷在借鉴的基础上探索数据可携带权的本土化，并对可携带权的客体范围作出规定。

(一)发源：欧盟有关规定

欧洲委员会于2012年1月将数据可携带权写入《通用数据保护条例(草案)》第18条，这是“数据可携带权”概念首次在官方文件中提出。此后，数据可携带权在质疑与支持的呼声中被反复取消和提起，但最终，数据可携带权得以保留并独立规定于欧盟GDPR第20条中。[3]根据欧盟GDPR第20条的规定，可携带的个人数据类型首先应满足以下条件：其一，可携带的必须是自然人本人的个人数据；其二，该数据必须是数据主体基于同意或合同提供给个人数据控制者的，对于数据控制者为了公共利益或行使公权力所必需而处理的数据，则不属于可携带权客体范围；其三，该个人数据应当是采取自动化方式处理的，对于非自动化处理的数据则不可携带；其四，若数据携带行为对他人的权利或自由产生负面影响的，则该数据不可携带。然而，该法中“数据可携带权客体范围模糊，司法适用难度较大”。[4]为明确GDPR的相关概念，第29条工作组(WP29)于2017年4月5日发布修正版的《数据可携带权指南》(以下简称《指南》)[5]对GDPR第20条中的可携带数据范围进行了进一步阐述。

针对条件一，《指南》指出，任何匿名或者与数据主体无关的数据不在数据可携带权请求范围内，但可以明确与数据主体联系起来的匿名数据仍属于可携带权范围，即，该匿名数据可以从后台定位到真实数据主体。然而，此种界定将导致“个人在云服务器上储存的与个人无关的视频文件”“个人在电商平台上留下的用户评论”等“显然不是个人数据”的数据类型无法被纳入数据可携带权的范围[6]，纵使WP29认为不宜对“与数据主体有关的个人数据”这句话作出过于限制性的解释。

针对条件二，《指南》指出，数据主体提供的个人数据，包括“数据主体有意和主动提供的数据”(如用户名、年龄、地址)与“数据主体在使用服务或设备所提供的观测数据”(如浏览足迹、位置数据)。但是，数据控制者基于统计和分析的目的，以“数据主体提供的数据”为基础而创建的“推断数据”和“衍生数据”(如用户健康评估结果、用户画像)不能被视为数据主体提供的数据而被纳入数据可携带权的范围。此外，可携带的数据应当是基于同意或合同提供给个人数据控制者的，否则该数据也不具有可携带性。对于此种限定，《指南》并未给出过多解释，但学者对此表示了担忧，认为此举将使数据控制者倾向“非基于同意或合同”方式收集、处理相关数据。[7]

针对条件三，《指南》指出，数据可携带权只适用于数据处理是“通过自动化方式进行的”，因此数据可携带权排除人为干预，不包括大多数纸质文件，即，以纸质文件方式记录的个人数据被排除在可携带权的客体范围之外。

针对条件四，WP29认为，不应对此进行过于严格的解释。对于涉及其他数据主体的个人数据，《指南》指出，数据控制方需考虑传输该数据对第三方权利和自由会否产生不利影响。这意味着，可携带的数据类型并非完全排除了有关于第三人的个人数据，而是在有损第三人利益时予以排除在外。对于涉及知识产权和商业秘密的数据，《指南》指出，数据可能蕴含商业秘密和知识产权等合法权利，然而“潜在商业风险本身不能作为拒绝回应数据可携带权请求的理由”，数据控制者可采取变通形式来转移数据。

可见，欧盟数据可携带权只适用于有限的数据类型并附有严格的适用条件。有学者指出，“私人数据的边界问题”给数据可携带权的实施带来了障碍[8]，“可移转的个人数据范围有限”是欧盟数据可携带权制度面临的重要问题。但也有学者认为，数据可携带权的客体不可过于宽泛。[9]2020年，欧盟委员会对GDPR实施两周年效果进行评估，拟进一步扩大数据可携带权的范围。[10]然而，GDPR实施时间不长，数据携带纠纷的案件尚未产生，实际效果有待观察。[11]但无论如何，GDPR数据可携带权制度具有较强的先进性，已在世界范围产生了示范效应。

(二)比较：域外其他国家或地区有关规定

随着GDPR的正式施行，美国加州于2018年6月28日签署公布《加州消费者隐私法案》(CCPA)[12]并在其第1798.100(d)项规定了“用户的访问及可携带权”，该法成为继GDPR后最受关注的隐私保护立法。2020年11月3日，加州公民投票通过了被誉为“CCPA 2.0”的《2020年加州隐私权法》(CPRA)，该法对CCPA的规定进行了修正并保留了消费者享有数据访问与可携带权的规定。[13]其中，可携带的数据范围为“从消费者获取的特定个人信息”，且“不包括帮助保障安全性和完整性而生成的信息或法律规定的其他信息”。此外，为打破健康信息封锁，美国卫生部于2020年拟定新规明确，患者可随时携带病历信息在整个医疗保健系统中的每个医疗卫生机构就诊，此举进一步明确了可携带权的客体范围。[14]

除欧盟与美国外，其他法域也引入了个人数据可携带权并对可携带的数据范围进行了规定。2019年8月，澳大利亚颁布《消费者数据权利法案》(CDR)并于2020年2月颁布《消费者数据权利规则》(CDR规则)，对数据可携权作出进一步规定。根据该规定，可携带的数据包括“产品数据”和“消费者数据”，(3)“产品数据”是与任何特定消费者无关的数据(如产品性能)；消费者数据是特定于消费者的数据(如账户信息和交易信息)。相关介绍可参见孟洁：《评析澳大利亚〈消费者数据权利规则〉及对我国立法与产业的启发》，载微信公众号“数据合规评论”，2021年10月2日访问。不可携带的数据例如“某些信贷信息”及“实质性增强信息”。2019年12月4日，印度颁布《个人数据保护法》(PDPB)，根据该法第19条之规定，可携带的个人数据包括：个人提供的数据、个人使用产品过程中产生的数据、构成用户画像的数据、数据控制者以其他方式获取的数据。该法同时规定了“履职或遵守命令”“涉数据受托者商业秘密”“技术上不可行”三种数据可携带权的排除适用情形。该范围设定方式虽与欧盟GDPR类似但却超越了后者，将数据画像这一推测个人信息也纳入到了可携权的客体范围。2020年底，新加坡国会通过《个人数据保护法修正案》，修订后的新加坡《个人数据保护法》(PDPA)通过专门章节(26F、G、H、I、J等条款)新增了个人数据可携带权，这让新加坡成为效仿欧盟进行数据可携带权立法的代表性国家。根据该法，可携带的数据为“企业控制下的个人数据”，包括个人提供的数据以及个人活动数据，甚至是他人数据，但不包含衍生数据。为促进“数据可携带”条款的实施和运用，新加坡将陆续公布适用的具体数据类型。[15]2021年2月，阿拉伯地区参照GDPR，颁布《2021年数据保护条例》(DPR)，并在第18 条设立了数据可携带权。然而该法对数据可携带权的客体范围尚无明确规定。从比较法视角考察，国外对数据可携权客体范围的法律规定呈现出完善趋势。

(三)探索：我国有关规定

《个人信息保护法》出台之前，我国已在规范及实务层面对个人信息可携带权及其客体范围展开了积极探索。规范层面，吴晓灵委员于2017年提交的《个人信息保护法(草案)》第16条也曾规定了信息可携带权。[16]2019年12月27日，《中国人民银行金融消费者权益保护实施办法(征求意见稿)》发布，第36条对数据可携带权作出了前瞻性规定，其可携带的客体为“金融信息”。2020年3月6日，《信息安全技术个人信息安全规范GB/T 35273-2020》(以下简称《规范》)颁布，第8.6条提出了信息主体获取个人信息副本的权利，可获取的个人信息范围为：个人基本资料、个人身份信息、个人健康生理信息、个人教育工作信息四类。就其效力而言，该规范仅为推荐性国家标准，并不属于法的渊源；就可携带的个人信息范围而言，狭窄的规定与我国个人信息可携带权制度、技术发展现状和现实需要等情况不相吻合。[17]另外，携号转网可视为我国可携带权的雏形。2019年11月11日，《携号转网服务管理规定》印发，携号转网在全国范围内正式施行，推动了电话号码数据的迁移。号码作为一种个人数据，其可携带之操作加速了数据可携带权的形成。

网络实践层面，2019年3月腾讯QQ宣布帐号注销功能上线时，民众就曾提出了“平台服务终止时，服务商是否应提供用户个人数据(如好友、评论、相册)转移服务”之疑问。[18]2021年初，阿里巴巴关停虾米音乐时，为用户提供了导出歌单服务，[19]为用户将相关信息转移到其他音乐平台提供了便利。司法实践层面，近年来关于数据迁移、数据流通的纠纷较为突出，在实体法缺乏的情况下，虽然法院未能径直针对数据迁移问题作出处理，但部分案件中法院从竞争法层面作出了论述。例如，部分案件对企业通过技术手段，从类似网站获取商户简介、点评信息之行为正当性进行了评论。(4)参见(2011)一中民终字第7512号民事判决书、(2016)沪73民终242号民事判决书、(2016)京73民终588号民事判决书。实践中，将在用户个人信息基础上经过匿名化等脱敏处理后形成的衍生数据认定为不属于用户个人信息，而属于数据处理者具有特定财产权益的资产。(5)参见(2018)浙01民终7312号民事判决书。我国对个人信息可携带权及其客体范围的探索表明，何种类型的个人信息可由个人携带仍未明确，存在较大争议。

二、设定可携带权客体范围的综合考量

鉴于立法的笼统及实践的争议，我们有必要对个人信息可携带权的客体范围进行辨明。本文认为，个人信息可携带权的客体范围不应限于《规范》中的四类个人信息，而欧盟数据可携带权限定的“主体提供的数据”虽有一定合理性，但其适用范围过于狭窄。同时，为避免在立法层面照搬照抄欧盟关于客体范围的规定，在对有关规定进行审视的基础上，还应结合我国有关实际情况进行审慎地考量。

(一)背景：我国设立“可携带权”的立法初衷

从可携带权的立法来源考察，欧盟GDPR“数据可携带权”立法目的有二：其一，权利保障，即通过单独规定数据可携带权，强化数据主体对其个人数据的控制力和支配力，践行“欧盟个人数据自决理念”；[20]其二，产业竞争，即在安全可靠的方式下，充分促进各数据控制者之间的相互竞争，促进欧盟本地互联网产业的创新和发展。对于数据主体和数据控制者关系之平衡，《指南》指出，GDPR监管重心在个人数据安全与流通，而非市场竞争。2020年6月28日，欧盟委员会发布对 GDPR 实施的第一次评估，该评估报告指出，“数据可携性权利具有明显的潜力，但仍未得到充分利用......释放这一潜力是委员会的优先事项之一”。[10]其仍然将个人置于数据经济的中心，并以此间接地促进竞争，支持创新。归结而言，欧盟可携带权“在确保民众能够掌控其个人信息的同时，也促使企业不断提高创新型数字服务”。[21]

关于我国设立“个人信息可携带权”的立法初衷，亦可从两方面考察。一方面，在于加强个人信息主体对其个人信息转移与再利用行为的把控，使个人可以在同类或相似服务的不同服务商之间轻松转换，强化人格与财产利益的实现。基于此种立法目的，我国将个人信息携带主体设定为个人，从而将企业法人排除在可携带主体之外。另一方面，平台经济数据垄断、限制竞争行为日益突出，为破除优势平台的数据锁定，应引入数据可携带权。[22]在反垄断工具箱中，可携带权被认为是事先规制的手段，成为反垄断法规中的重要制度。申卫星教授指出：“我国确立可携带权的目标更多聚焦于提升互操作性以化解数据垄断问题”。[23]程啸教授也认为，设立可携带权的根本理由在于“预防和制止平台经济领域的垄断行为，保护市场公平竞争”。[24]

相对于欧盟GDPR，我国对个人信息可携带权的立法目的在规范竞争和反垄断层面的蕴意更加浓厚，因此可将竞争要素作为判断可携带权客体范围的考量因素，若某一信息不可或缺或不可重复，应着重考量是否可携带。对数据可携带权的理解，应结合数据流动和释放数据价值的角度来考虑。

(二)前提：数据的权属界分

个人信息可携带权的客体范围问题，“本质上是数据权属及其分配问题”。[25]然而，我国关于数据权属并无法律法规进行直接的规定。实践层面，2017年华为与腾讯数据争夺战、2019年腾讯与多闪用户昵称头像之争及2021年抖音与腾讯反垄断纠纷均引发了公众关于数据权属及是否可携带的思考，这也反映出，互联网产业中对实现个人数据的自由流通还存在较大争议。学理上，数据权属有四种观点：数据个人所有、数据平台所有、数据个人与平台共有、数据公众所有。[26]另外，从司法裁判中也可归纳出“数据权属界分”之司法导向。“大众点评诉爱帮不正当竞争纠纷案”与“大众点评诉百度地图不正当竞争纠纷案”中，法院认为原网站经营者对其搜集、整理而来的点评信息享有相应权益。“美景诉淘宝不正当竞争纠纷案”中，判决确认平台运营者对其收集的原始数据有权依照其与网络用户的约定进行使用，对其研发的大数据产品享有独立的财产性权益。这反映出，法院采取的是“个人信息和增值数据相区分”之规则。“微博诉脉脉不正当竞争纠纷案”中，法院确认了信息时代的数据包含反不正当竞争法中应当保护的商业价值，并强调了第三方平台使用授权平台所收集的用户数据的“三重授权原则”。这反映出，个人数据的权属倾向于被认定为企业与个人共同所有。然而，“对于已经取得用户同意将个人数据从网络开放平台迁移到第三方平台的行为是否需要取得企业的许可是值得商榷的”。[27]

如今，《个人信息保护法》已经颁布，新设立的可携带权等竞争性权利对资源的分配提出了新的要求。在确定可携带的个人信息范围时，应从分配正义出发，对信息数据资源进行合理分配，确定数据权属、个人信息与企业数据的分界。

(三)立场：关涉主体利益平衡

从立法宗旨来看，处理个人信息保护与大数据利用之间的利益衡量是制定《个人信息保护法》的核心任务之一。对“可携带的个人信息”的判断，涉及个人信息保护、企业的资产利用与数据相关行业的创新等多个维度，应基于谨慎的利益衡量作出妥善的制度安排。

对于个人信息主体而言，其关注可携带的个人信息范围是否足够宽泛，如果范围过于狭窄，这一权利将被抽空从而影响个人信息自决结果。以电商领域为例，若采狭义解释，则电商平台中的个体卖家不能将其评级和声誉等通常被纳入推测个人信息范畴的信息移动到另一平台，但恰恰该已建立的良好声誉对于购买吸引力至关重要。在我国，个人信息作为人格权益，受到法律严格保护，企业在利用数据的过程中需要更好地保护个人的数据权利。个人信息权承载姓名、肖像、隐私、名誉、信用评价等多种人格利益，因此信息主体应当被赋予更广泛且更细致的信息自决权。

对于个人信息获取方而言，希望获取到用户信息并应用到其商业运营中去以增强其市场竞争力，并通过数据迁移降低其获取数据行为的涉嫌不正当竞争的风险。从经济和社会效益的角度出发,“主张可携权也是主张对大数据的充分利用”。[28]因此，其关注可携带的个人信息范围是否足够宽泛。

对于个人信息控制者而言，可携带权使其负担了义务。数据资源成为企业新的生产要素，企业需要投入人力、物力、财力来形成数据，并以此产生一定收益。若罔顾其数据权益，则可能会影响其创新积极性。同时，宽泛的客体范围增加个人信息控制者运营成本，为避免给个人信息控制者增加不合理的负担，应对个人信息的可携带权的客体范围作出限制解释。

可携带权的适用过程通常还涉及第三方权益，因此其客体范围判断还需兼顾第三方利益，不能对第三方个人信息权利、商业秘密、数据库权利和知识产权产生不利影响，避免个人信息控制者停止有关个人信息价值加工创造服务和对竞争、创新的抑制作用。因此需要对个人信息可携带权客体范围加以限制，以实现利益相关者的个人信息保护，“平衡数据主体和关联第三方的数据权益”。[29]

一言以蔽之，对个人信息可携带权客体范围的判断，既要兼顾个人对于自身信息的控制权，也要促进数据自由流动、破除平台数据垄断，同时还要保障个人信息控制者的合理数据权益。因此，立法倾向性上，应当合理界定个人信息可携带权的客体范围，协调个人信息控制权和企业数据财产利益之间的利益冲突。

三、我国个人信息可携带权客体范围的设置

可携带权的客体范围界定实质上是一种初始权利分配活动，对其判断应当兼顾各方合法权益，平衡不同利益的竞合关系，进行多层次的合理设定。同时，为尽可能勾勒出个人信息可携带权的客体边界，此种设定还需在普适性最低标准的基础上分行业、分领域、分类型、分场景进行弹性处理。

(一)层次一：可携带权客体范围与“个人信息”

1.普适性规定：可携带的信息为“个人信息”

谈及“个人信息”，应先厘清其与“个人数据”之关系。与欧盟GDPR不同的是，我国确立的是“个人信息可携带权”而非“个人数据可携带权”之概念。不过有学者指出，欧盟GDPR实际上将“个人信息”视为“个人数据”，[30]GDPR中的“个人数据”和 “个人信息”是互相证成的同一概念，二者不作区分。[31]或认为，我国《个人信息保护法》中规定的个人信息可携带权，是“欧盟条例中确定的数据可携带权的中国化表述”。[32]但也有学者指出，个人信息可携带权场合下，对信息和数据进行区分具有一定意义。[33]笔者认为，个人信息与个人数据二者虽有细微区别——个人数据是个人信息的载体，但实践中常忽略该区别而交叉使用，[34]又鉴于二者在民事权益的讨论中具有指代内容一致性和概念难以分割性，(6)程啸教授认为，讨论自然人对个人数据的民事权利，当然就是在讨论自然人对于数据呈现的个人信息的民事权利或者包含了个人信息的数据的权利问题。参见程啸：《〈个人信息保护法〉理解与适用》，北京：中国法制出版社2021版，第75页。故对二者且不作区分处理。我国多部法律规范对个人信息作出了定义，(7)详见《网络安全法》第76条、《信息安全技术个人信息安全规范(标准号∶GB/T35273-2020)》第3.1条、《民法典》第1034条、《数据安全管理办法》第38条第(三)款、《个人信息保护法》第4条。在本文语境下，对于“个人信息”的定义，冲突之处宜采特别法规范《个人信息保护法》之规定。其中《个人信息保护法》采取了接近GDPR的定义方式——“关联+识别”标准，即“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”，该法确认了广义的个人信息范围，意味着绝大多数与自然人相关的信息都可以纳入保护范围。

《个人信息保护法》等法律对“个人信息”的定义实际上就已为可携带权的客体范围设定了边界。第一，可携带的须为本人的“个人信息”，如个人资料、好友关系、广告偏好等，这就将他人信息及无关信息排除在可携带权的范围之外；第二，可携带的须为“已识别或者可识别”的个人信息，但个人信息处理者掌握的个人提供的个人信息，经过去标识化却仍未达到匿名化处理标准的个人信息，落入可携带范围；第三，我国法律将“匿名后信息”排除在“个人信息”范畴之外，因此，从文义上理解，不具有识别要素的用户评论、用户评价等匿名后信息也不属于可携带权的客体范围，除非该匿名数据可以从后台定位到真实数据主体；第四，我国的个人信息概念将电子化的个人信息和纸质等其他形式的个人信息同时囊括在内，考虑到“携带”行为的电子化，对于非电子化的个人信息不宜适用可携带权。

2.弹性处理：将可携带权的客体范围扩张至“个人信息”以外

基于上述思路，我们不禁产生一个疑问——用户评论及评价是否可携带？相对于用户而言，“平台上的用户评价中具可识别性的属于个人信息，应当落在数据携带权的范畴之内”。[35]然而，用户评论、用户评价等是否会被归于匿名化信息，从而不属于可携带权的客体范围？对于被评价者而言，是否可以携带其评价信息到新的平台？可携带的内容，是否可以突破“个人信息”的限制？对此，有学者认为，“我国可宽泛地界定数据可携权客体”，“消费者提供的个人数据、使用数字内容产生或生成的数据，均可成为可携权的客体”，[36]对此笔者持赞同观点。因可携带权作为个人信息控制者的法律义务而出现，所以如果个人信息控制者于特定场景下扩张可携带内容，这与普适性规定并不冲突。按照此思路，对于空间存储服务中的非个人信息(如文字、图片、视频、链接、音频等)则具备了可携带性，对于个人信息概念无法囊括的微博、游记等用户生成内容，也可赋予其可携性。

(二)层次二：可携带权客体范围与“信息主体提供”

1.普适性规定：可携带的信息为个人基于同意或合同提供的个人信息

第一，因“知情同意权衍生出可携带权”，[37]将可携带权的客体范围限定为“数据主体基于同意或合同提供给个人数据控制者的”，并排除了非基于同意或合同收集的数据(传统征信机构采集的信贷数据)，具有一定合理性。而对于个人信息控制者为了公共利益或行使公权力所必需而处理的个人信息(例如：卫生部门收集的个人疾病信息)，则不可携带，此时可限制个人行使可携带权。

第二，“提供”行为应当涵盖“主动提供”和“被动记录”两类情形。判断可携带的个人信息应对个人信息与企业数据进行有效区分。借鉴欧盟经验，个人对于其有意和主动提交给数据控制者的可识别性的基础性信息(如姓名、身高、地址、年龄、职业、学历等)应该具有所有权，对于个人信息主体使用服务或者设备所提供的观测信息(如健身记录、行为轨迹等)亦应当属于可携带范围。此外，对于个人信息控制者经过算法加工、计算、聚合而成的推测个人信息(如精准画像、用户评级)，不属于可携带权的范围，因为加工创造的价值属于加工者。例如，电商领域中，网络用户浏览、搜索、收藏、加购、交易等行为痕迹信息可携带，而由行为痕迹信息推测所得出的行为人个人偏好等标签信息，则不可携带。

2.弹性处理：非基于同意或合同处理的个人信息可携及企业用户协议具体设定

第一，对于公共部门基于公权力所收集和储存的个人信息是否可携带，有学者指出，无论是入学申请、入职申请还是办理证件，重复填写各种表单为民众带来困扰。[6]因为，此种情况下，个人信息通常不具有可携带性。因此，需要通过加强不同政府部门之间的个人信息共享能力。有条件地赋予公民对于公共部门基于公权力所收集和储存的个人信息的可携带权，推动非基于同意或合同收集的个人信息的转移便携性。

第二，《个人信息保护法》正式颁布，为企业个人信息合规提出新的要求。数据竞争领域，“数据保护一般不应再成为互联网企业数据垄断行为具备正当性的理由”，一些互联网企业常以保护用户数据为由对其他企业的数据获取行为进行干预或阻拦，这样的排挤性行为很可能已经“超出了保护用户数据的必要限度且同时侵犯了用户的数据可携带权等合法权益”。[38]即便如此，各类信息并不能笼统归入可携带范围。作为个人信息控制方，应当针对个人信息可携带权的范围，结合业务模式、个人信息处理场景，建立数据分类标记管理制度。对适用于个人信息可携带权的数据类型作相应分类标记。对不属于个人信息可携带权范围的衍生信息，应当进行脱敏加工处理。区分初始个人信息和匿名化等不同处理程度的信息。同时，在平台用户协议或隐私政策中增加个人信息可携带权，条款内容应包括可携带的个人信息类型及携带的操作要求。既有条款中存在“否定个人信息可携带权”等非正当性内容的，则应及时修正。“个人信息所负载的人格利益是极为多元的”，企业可以在其用户协议中“做出特定且细化的场景适用规则”。[39]

(三)层次三：可携带权客体范围与“第三方权益”

1.普适性规定：严重危及第三方权益的个人信息不可携带

个人信息可携带，不意味着任何个人信息均可转移，需要区分不同类型信息并平衡第三方权益。个人信息非孤立存在，同时关涉第三方信息。例如，通讯录信息、电话记录信息、聊天信息、邮件往来信息、转账记录信息等包含朋友的照片或者评论、与第三人的商业往来、信件密函、信息主体的银行账户包含其他个人信息等。按照个人信息的定义，此类信息当然属于个人信息，然而，如果个人信息持有人在未征得第三方个人同意的情况下进行个人信息转移，当然有可能侵犯他人的个人信息安全。

然而，是否所有的涉他信息的转移均会危及第三人权益？是否所有的涉他信息均不可转移？若所有的涉他信息均排除在外，那么独立的个人信息将寥寥无几。因此，在划定可携带权范围时，应处理好他人权益与可携带权的关系，对可携带个人信息的范围做出限定，若其携带会损害第三人的权益，则应该排除在外，若对于第三人的利益毫无损害或不构成实质损害，则不能排除在外，比如一些普通的电话记录等。

个人信息可携带权须受到商业秘密和知识产权的限制。个人信息也会包含第三人的知识产权或者商业秘密(如个人分享的文章或视频属于第三人所有)，如果个人信息可携带权对其他人商业秘密和知识产权产生负面影响，则应加以限制。鉴于个人信息可携带权可能损害以专门处理和分析个人数据为商业模式的公司的商业利益，通过可携带权未经对方许可获取商业秘密还可能涉及到不正当竞争问题，我国在关于个人信息可携带权的立法中“应对损害商业秘密和知识产权的情形加以适当限制”。[40]

2.弹性处理：个人信息控制者设立相关部门对可携带的个人信息进行筛选

赋予用户以个人信息可携带权，不应当影响企业对商业秘密的保护，确保不得对其他信息主体的权利和自由造成不利影响。然而，如何在不同场景下界定用户可携带个人信息的范围，确保第三方权益不受侵害是国内外适用可携带权时均会面临的难题。因此，对于可携带的个人信息建议个人信息控制者设立相关部门对可携带的个人信息进行筛选、判断，明确相关责任人、监督机制、第三方救济维权机制，对重点信息的可携性进行重点审查。

结 语

个人信息可携带权客体范围的判断，可在设置普适性规则的基础上进行弹性处理。普适性规则下，可从“个人信息”“信息主体提供”“禁止损害第三方权益”等方面同时对可携带的客体范围进行多层次限定，建立具有可操作性的最低标准。在判断逻辑上，应遵循顺序原则依次从三个层次对信息是否可携带展开评判。同时，可通过与行业协会及关涉平台的合作，针对不同平台进行类型化区分、精细化设计，并考虑到对涉他权益保护，由个人信息控制者在最低标准的基础上，自行拟定细则，报行业协会和有关部门批准后实施。通过实践中的不断摸索和完善，对可携带的个人信息范围进行动态调整。