論我國數據可攜權的和緩化路徑

尚海濤

（天津師范大學法學院，天津300387）

引言

新世紀以來，無所不在的數據①一方面，數據不同于信息，數據只是描述事物的一些客觀符號，而信息則是對數據處理加工處理后的主觀結果；另一方面，數據與信息密不可分，數據是信息的形式，而信息是數據的內容。但在本文語境中，數據和信息的含義相同。一般而言，歐盟多使用“數據”一詞，而我國多采用“信息”這一詞匯。采集工具、強大的數據存儲能力，使得大數據的技術和市場得以迅猛發展，它一方面給民眾的生活、就業和公共服務帶來較大便利，但另一方面，伴隨著個人數據的不規范采集、不安全處理和無約束存儲，它又給個人隱私和安全埋下諸多隱患，且隨著少數“數據巨頭”企業的擴張性發展，數據經濟發展中的鎖定效應以及數據壟斷逐漸凸顯。由此，創新和發展數據權利以打破數據封鎖、預防數據濫用，加強數據主體對于數據的控制力，并平衡網絡社會中的自由與責任、產業發展與隱私保護就成為立法的必然選擇。“個人數據上的權利安排直接決定了數據的流動、分享以及數據產業的發展。”[1]在這方面，歐盟在《一般數據保護條例》(General Data Protection Regulation，以下簡稱《條例》)中創設的數據可攜權（Right to Data Portability）具有較強的示范和借鑒意義。作為一種新型的個人數據權利，數據可攜權“賦予數據主體（data subject）接收和轉移數據的權利，將增強數據主體對其自身數據的控制，并將平衡數據主體與數據控制者（data controller）之間的失衡態勢”；“數據可攜權可以使網絡企業和數據主體以更為均衡和透明的方式最大化大數據的好處，它還可以最大限度地減少不公平或歧視性做法，讓更多企業參與大數據市場的自由競爭。”[2]有鑒于此，本文即在描述數據可攜權制度構造的基礎上，對于我國數據可攜權的本土化路徑及其模式進行具體分析。

一、數據可攜權的由來及其立法進程

在歐盟法律框架中，可攜權的初始提及源于號碼可攜權，《電子通信網絡服務的普遍服務和用戶權利》[3]第30條允許用戶“攜帶號碼”,即確保用戶可以獨立于提供服務的企業從而保留其固定或移動的電話號碼。“數據可攜權”概念的首次提出源于歐洲議會于2012年公布的《一般數據保護條例》草案（下述簡稱“草案”）。這部被用以替換1995年《數據保護指令》的草案共有11章99條，其中在第15條首次創設了“數據可攜權”。雖然自概念提出數據可攜權就成為個人數據保護權利體系的重要組成部分，但由于歐盟對數據可攜權的認識在不斷深化，因此數據可攜權的內容也隨著草案的審議修改而處于變動之中。龐德曾言：“法律必須保持穩定，但又不能一成不變。因此所有的法律思想都力圖協調穩定必要性與變化必要性這兩種彼此沖突的要求。”[4]可攜權的變動一方面體現在數據可攜權與數據訪問權合并分立的糾葛關系中，另一方面則體現在數據可攜權本身權利內容的變化中。

2012年，歐洲議會在其提出的初始草案中，將數據可攜權規定于第18條，獨立于第15條的數據訪問權。但到2013年，歐洲議會下設的公民自由、司法和內政事務委員會（The Committee on Civil Liberties,Justice and Home Affairs）提出一份建議稿，主張將數據可攜權作為數據訪問權的一部分，一并規定于第15條。隨后，歐洲議會在2014通過的《條例》新版本中采納了這一建議，數據可攜權被作為數據訪問權的一部分，規定于第15條中。2015年，歐盟執委會通過了《條例》的更新版本，但在這一版本中數據可攜權又被重新作為一項獨立權利，規定在了第18條中。2016年，歐洲議會投票通過了《條例》的最終版本，數據可攜權和數據訪問權依然分立，只是數據可攜權由第18條更改為第20條。可攜權和訪問權之間之所以產生如此糾葛關系，主要在于兩方面的原因：一是數據訪問權是數據可攜權的前提，只有在訪問的基礎上明確知道自己上傳和被收集的個人數據，方能進行下載和轉移。“絕大多數時候真實的情形是，人們根本就沒有意識到自己產生了什么樣的以及多少數量的個人數據。”[1]二是數據可攜權是數據訪問權的延伸，在訪問權知道和了解自己個人數據的基礎上，數據主體可以通過下載和轉移的方式，讓自己或第三方控制者深挖自己的個人數據，從而分享大數據流通的增值蛋糕。

二、數據可攜權的制度構造

數據可攜權主要規定于《條例》的第20條，它被看作是第15條數據訪問權的具體延伸。在這一法條中，數據可攜權主要明晰了兩方面的內容：一是數據可攜權本身；二是數據可攜權的規則約束。

（一）什么是數據可攜權

仔細研讀《條例》第20條的第1款和第2款，我們看到數據可攜權的界定有三個關鍵要素，分別是數據接收權、數據轉移權和數據可攜權的基礎條件。

1.數據接收權

數據接收權主要規定于第1款的前半段，即“數據主體有權以結構化、通用和機器可讀的形式接收他或她已提供給數據控制者的關于他或她的個人數據”。基于此，所謂數據接收權，是指數據主體享有從數據控制者一方下載關于自己個人數據的權利。譬如，163郵箱的用戶有權把郵箱中包括信件、附件等在內的所有郵件，下載至自己電腦。當然，在這其中有兩個需要注意的細節：一是個人數據的限定條件，即他或她已提供給數據控制者的關于自己的個人數據。由此，這些個人數據就不包括數據控制者從數據主體之外收集的數據，以及數據控制者在提供服務過程中基于運算和推斷所形成的數據；二是個人數據轉移的方式，即結構化、通用和機器可讀的形式。由此，《條例》確立的“可攜帶”數據對象，是基于特定基礎、以特定方式處理的、本人提供的數據。

2.數據轉移權

數據轉移權主要規定于第2款中，即“在依據第1款行使他或她的數據可攜權時，數據主體應有權在技術可行的條件下，將個人數據直接從一方數據控制者轉移至另一方數據控制者。”基于此，所謂數據轉移權，是指數據主體有權把個人數據從一方數據控制者直接轉移至另一方數據控制者。如某人有權把163郵箱中的郵件直接轉移至QQ郵箱，163郵箱不得拒絕且不得設置技術障礙。此種轉移有兩種形式，一是數據主體先行從一方數據控制者下載個人數據至自己的存儲器，之后再將個人數據轉移到另一方數據控制者，這主要規定于第1款中；二是數據主體直接把個人數據從一方數據控制者轉移到另一方數據控制者，這主要規定于第2款中，兩種形式的轉移都為《條例》所許可。

3.數據可攜權基礎條件

數據可攜權的基礎條件主要規定于第1款的后半段，即“（a）處理行為是在依據第6條第1款第1項或第9條第2款第1項的同意或依據第6條第1款第2項成立合同的基礎上實施；和（b）處理行為由自動化方式實施。由上述條款可知，數據可攜權的基礎條件有二：一是本人同意（based on consent）；二是履行合同（based on a contract）。本人同意主要源于第6條第1款第1項和第9條第2款第1項，之所以有兩個來源，主要在于第6條第1款第1項所涵蓋的是非敏感個人數據（non-sensitive personal data），而第9條第2款第1項所涵蓋的是敏感個人數據（sensitive personal data）。數據主體可以基于履行合同而行使數據可攜權，這兒的履行合同既可以是履行數據主體所參與的合同，也可以是根據數據主體事先請求采取措施而簽訂的必要合同，“必要”的標準需要視情況而定，但《條例》緒言的第44項規定，只有在“合同范圍內是必要的或有意簽訂合同的情況下，行使數據可攜權才是合法的”。

（二）數據可攜權的規則約束

數據可攜權的規則約束主要體現于20條的第3款和第4款，即數據可攜權不得妨礙數據被遺忘權，數據可攜權不適用于為履行公共利益或行使由數據控制者授權的官方權力為名的任務而實施的必要處理行為，數據可攜權不得對其他人的權利和自由產生不利影響。

1.數據可攜權的第3款限制

首先，數據可攜權因被遺忘權而受限制。數據可攜權與被遺忘權沖突的情形主要有兩種：一是有些數據控制者為了方便和保障數據主體的可攜權，可能會在數據主體的個人數據中采用一些特殊的技術方法，如放置數據跟蹤器、個人數據標識符等，這些技術方法可能會導致個人數據不能完全被刪除；二是有些數據控制者為了保障數據主體的可攜權，會拒絕刪除多人數據，從而妨礙到他人的被遺忘權。這兩種情形中，在涉及可攜權與被遺忘權沖突時，立法主張以被遺忘權為主，可攜權讓位于被遺忘權。當然，《條例》提出這一條款的目的，還在于指出“數據可攜權不能被認為是將數據從一個數據控制者轉移到另一個數據控制者，同時要求第一個數據控制者擦除這些數據”，“歐盟立法委員不希望數據可攜權的行使，包括同時從第一個數據控制者擦除數據”。

其次，數據可攜權因公共利益而受限制。如果是為公共利益目的而處理的個人數據，數據主體就不能要求獲取和轉移這些數據，如為了犯罪偵查、行政處罰等執法目的所處理的個人數據，數據主體就無權要求接收和轉移。對于公共利益的界定，可以參考《歐洲人權公約》第8條的規定，在其所適用的本·凡澤訴法國案(Ben Faiza v.France)②見Ben Faiza v.France，no.31446/12，［2018］ECHR153.中，歐洲人權法院認為數據收集的目的在于刑事調查和審判，而這屬于公共利益的范疇。數據可攜權之所以因公共利益而受限制，還在于其理論基礎是人的尊嚴，所謂“人的尊嚴是人之為人的價值所在”，“人類社會的一切活動——無論經濟的、政治的、文化的還是法律的活動——均指向一個共同的目標，那就是讓人們生活得更有尊嚴。”[5]數據可攜權的創設，正是在大數據時代彰顯人性尊嚴的一次制度設計。數據可攜權的制度基礎是個人的信息自決權，所謂信息自決權，是指“信息主體對自身信息的控制權與選擇，即由公民決定自身信息何時、何地、以何種方式被收集、儲存、處理以及利用的權利。”作為將人格權屬性與自由權屬性合并的一種新型復合權利，信息自決權同時保護個體的人格權和意志自由。以人的尊嚴和信息自決權為理念指引和制度基礎，歐盟委員會在《條例》中構建了一個相對完善的個人數據權利體系，包括數據訪問權、可攜權、被遺忘權、糾正權、反對權、限制處理權、拒絕權等。作為人的尊嚴制度化的信息自決權，雖然在自決和自治方面具有較高的絕對性，但理念和權利本身同樣存在理論邊界和規則邊界，這點在信息自決權確立的德國“人口普查案”③在該案中，德國聯邦憲法法院從一般人格權中推導出“信息自決權”，從而判定《人口普查法》關于指紋收集和利用的規定違反憲法。具體See Eva Fialova,Data Portability and Informational Self-Determination,8 Masaryk U.J.L.&Tech.45,47-48(2014).中有著清晰地展示。同樣，這種邊界也反映在同為信息自決權的其他二級權利上，如被遺忘權就規定了五種限制規則。

2.數據可攜權的第4款限制

“法律是明確的、肯定的規范，但法律又不可避免地會出現意義模糊的情形”。[6]“其他人的權利和自由”是一個非常寬泛的概念，有些類似于兜底條款，這種寬泛的感覺在與被遺忘權的限制條款比較后尤為明顯。《條例》第17條第3款列舉了五項不適用被遺忘權的情形，即言論和信息自由的權利；公眾進行的任務利益或行使官方權力；衛生領域的公共利益；科學或歷史研究目的或統計目的以及設立、行使或捍衛合法權利。究其原因，一方面，歐盟對數據可攜權的認識仍在不斷深化過程中，數據可攜權本身遠未定型，因此歐盟就在數據可攜權的限定條款上采取了相對審慎的態度；另一方面，由于數據可攜權更易受技術發展的影響，其對其他權利的影響仍大多不確定，因此選擇寬泛的限定條款可以讓法官根據具體情況調整解決方案，以便應對未來的技術發展或實際挑戰。

三、數據可攜權的本土化路徑及其方案

歐盟《條例》公布之后，其條款陸續為日本、巴西、印度等國家所借鑒吸收，我國《網絡安全法》亦參照《條例》設置了數據刪除權等權利，但對于是否以及如何將數據可攜權引入我國并進行本土化適用，不同的學者有著不盡一致的意見④一些學者主張不引入數據可攜權，具體參見謝琳、曾俊森：《數據可攜權之審視》，《電子知識產權》2019年第1期；高富平、余超：《歐盟數據可攜權評析》，《大數據》2016年第4期；張哲：《探微與啟示：歐盟個人數據保護法上的數據可攜權研究》，《廣西政法管理干部學院學報》2016年第6期；張金平：《歐盟個人數據權的演進及其啟示》，《法商研究》2019年第5期。而有些學者則僅主張借鑒歐盟的副本獲取權，具體參見苗振林：《歐盟數據可攜權立法評析》，《許昌學院學報》2018年第5期；呂炳斌：《論網絡用戶對“數據”的權利——兼論網絡法中的產業政策和利益衡量》，《法律科學(西北政法大學學報)》2018年第6期。。對此，筆者認為我們應當回歸到制度設計之初的語境，看看歐盟創設數據可攜權的立法初衷并與我國當前的數字經濟發展狀況相比對，以此來判定是否引入以及如何建構中國模式的數據可攜權，避免盲目移植以致作繭自縛。

（一）數據可攜權的立法初衷

歐盟設立數據可攜權的立法初衷有二：一是權利保障，即最大化數據主體對于個人數據的控制，這主要體現于數據接收權的設計上；二是產業競爭，即促進大數據市場的自由競爭，這主要體現在數據轉移權的設立上。“數據可攜帶權……不僅為消費者提供了更多選擇，還將促進一系列行業的競爭和創新。”[7]當然，不單數據可攜權，而毋寧《條例》的整體目的亦是如此，如《條例》新增設的“被遺忘權”⑤被遺忘權的典型案例是“谷歌公司訴岡薩雷斯案”，在該案中歐盟法院認為，相比搜索引擎公司的經濟利益，數據所體現的個人權利和個人尊嚴具有更重要的意義。,也意在加強公民的數據權利；“《條例》涉及個人數據保護的方方面面，但綜合來看，仍然可以發現其中有一條非常明顯的主線，就是強化數據主體對于數據的控制權。”[8]

歐盟創設數據可攜權的核心，在于從數據主體的角度重構個人數據的權屬及其流動規則，進而重新界定數據主體與數據控制者、不同數據控制者之間的關系。首先，數據可攜權賦予數據主體享有對個人數據的類似所有權⑥關于數據權利的屬性，國外主要有歐盟的隱私權模式和美國的財產權模式，而國內學者的討論主要集中于數據財產權說、新型人格權說、商業秘密說、知識產權說四種觀點。，即數據主體既可以從數據控制者一方下載個人數據，也可以將個人數據自由傳輸至第三方。之所以說是類似所有權，是因為數據的可復制、可重復利用以及非對抗性的特征，使得個人數據既可以為數據控制者所有，又可以為數據主體擁有。數據主體對于個人數據的類似所有權，就使得數據主體的下載和傳輸請求具有法律的正當性和合理性，從而極大提升數據主體對于個人數據的控制。“這一權利在一定程度上有助于澄清數據歸屬，即控制者對個人數據不具有控制權，僅負有配合義務，由此避免控制者爭奪用戶數據，促進數據流動。”[9]其次，數據可攜權賦予數據主體自由選擇數據控制者的權利。消費者之所以固定于某一網絡平臺，很重要的原因在于數據存儲的“沉沒成本”。大多數消費者不想因更換網絡平臺，而重新經歷個人數據的累積過程，因為這過程中所伴隨的往往是各類個人數據的重新輸入、個人重要數據的遺失，以及因數據累積不足導致平臺推薦的精確性不高等。數據可攜權允許消費者對于個人數據進行下載和傳輸，則有效解決了這一問題。同時，數據可攜權還避免數據控制者設置傳輸障礙阻礙消費者自由選擇，由此消費者可以根據自己的喜好，自由地選擇數據市場中的任一平臺進行消費。“數據可攜權使數據主體能夠決定他們的數據會發生什么，并賦予他們針對數據控制者的實際權利，讓他們真正能夠控制自己的個人信息。”[10]此外，數據可攜權的適用，是由數據主體提出申請，數據控制者加以響應，此種模式也有利于數據主體權利意識的提升。

隨著人工智能、云計算、量子計算等新興技術的開發，數據作為生產要素的屬性日漸凸顯，個人數據以及在此基礎上的衍生數據漸趨成為數據企業的核心競爭力。與之相關的是，企業圍繞數據的競爭也愈加激烈，諸如“HIQ訴LinkedIn”案、“淘寶訴美景不正當競爭”案、“大眾點評訴百度”案、華為和騰訊圍繞微信端口的紛爭等⑦見HIQ Labs,Inc·v.LinkedIn Corp.,No.17-16783（2017）；（2017）浙8601民初4034號民事判決書；（2016）滬73民終242號民事判決書等。，皆揭示出數據企業由用戶之爭轉向數據之爭。有些數據企業進入市場較早，積累了大量的用戶及其個人數據，從而逐漸成為“數據巨頭”企業。一方面，不同于傳統的商業模式，以數據驅動的新型商業模式具有明顯的正反饋循環效應，包括“使用者反饋”，即“數據巨頭”企業可以利用自己收集的超量數據提升產品質量，獲得更多用戶⑧見Mark A·Lemley&David McGowan,Legal Implications of Network Economic Effects,86 CAL.L.REV.479（1998）.Michael L.Katz&Carl Shapiro,Network Externalities,Competition,and Compatibility,75 AM.ECON.REV.424（1985）.；“獲利反饋”，即“數據巨頭”企業可以利用自己所掌握的大量數據精準定位廣告投放，在從廣告服務中獲利后，進而再投資研發并改進生產，以期獲得更多消費者。另一方面，“數據巨頭”企業為了維持自己的核心競爭力，往往進行數據封鎖，或者設置排他性的規定和協議，或者不給消費者設置個人數據的轉出通道，或者提高消費者轉換服務平臺的成本。如Facebook就規定沒有經過他們的同意，其他任何數據企業不得從其平臺上收集個人數據⑨見Face book所公布的《對于安全的權利和責任聲明》。，這些舉措都會阻礙中小數據企業收集和利用數據資源。而當“數據巨頭”企業取得市場優勢和壟斷地位后，與一個充分競爭的市場環境相比，其在保障消費者的隱私方面就會不同程度的弱化，“如果壟斷企業憑借數據市場支配地位實現數據尋租，控制數據資源并攫取額外利益，可能極大損害消費者福利。”[11]

數據可攜權的設立可謂是對于上述背景的法律回應，歐盟寄希望于以數據可攜權為杠桿撬動整個歐盟大數據產業的發展。《條例》“誕生于歐盟數字單一市場形成的關鍵時刻，具有明顯的功能主義的立法特征”[9]。《條例》通過將數據接收權和轉移權收歸于數據主體，增加了消費者對于個人數據的控制。在強化消費者控制權的同時，《條例》通過傳輸格式的要求還降低了數據主體轉換控制者的成本，而這也將極大促進數據企業之間的良性競爭。“在歐盟看來，數據可攜權更像是一種促進市場自由競爭并實現利益最大化的工具”。[12]當消費者手握自己的個人數據時，“數據巨頭”企業和中小企業為了獲取和爭奪個人數據往往就會通過技術創新、增加服務、增強隱私等措施來吸引消費者。一方面，在激烈的競爭中，數據企業需要給消費者讓渡更多的數據紅利；另一方面在數據的流轉和轉換當中，數據可攜權增強了數據的自我修復和校準功能，也減少了企業因數據瑕疵所產生的風險。這些舉措都有助于打破數據鎖定和壟斷效應，最終激發大數據產業的活力進而推動大數據產業的發展。此外，歐盟在加強個人數據權利的背后還隱藏著推進歐盟本土數據企業發展的目的。《條例》“以上述人權條約為依托，確立高標準的個人數據保護制度，提高市場門檻，是一種新型的社會性貿易壁壘”，其目的在于平衡歐盟本土企業數字經濟生產與消費之間的失衡狀態。

（二）數據可攜權的和緩化路徑

權利作為“個體或團體能夠運用政府的手段和力量切實加以保護的重要利益”[13]，其設定必須要考慮到整體的社會背景和文化基礎，否則就會脫去正義的外裝，退化為單純謀求個人利益的工具，甚至會加劇社會中不同群體間的利益沖突，并進而妨害社會團結。數據可攜權的設立亦是如此，無論選擇何種模式，都必須以中國的現實土壤和本土化的根基作為支撐。

1.先行設立數據接收權

基于數據可攜權的制度構造，并參考歐盟設立可攜權的立法初衷，筆者認為，我國需要在將來的《個人信息保護法》中設立數據可攜權，但應當采取和緩化的路徑，即先行設立數據接收權，而等條件成熟時再將數據轉移權納入其中。換言之，當前我國只是部分借鑒歐盟《條例》中的數據可攜權，即允許數據主體下載其個人數據，主要是通過此種方式讓數據主體明確知道自己被收集了哪些個人數據，而它們又是如何被存儲和處理，以便增強數據主體對于個人數據的控制力。2012年的《全國人大常委會關于加強網絡信息保護的決定》第8條規定，公民“有權要求網絡服務提供者刪除有關信息或者采取其他必要措施予以制止。”2016年《網絡安全法》第43條規定，個人“有權要求網絡運營者刪除其個人信息”，上述條款被認為是我國明確設立刪除權的主要法律依據。我國所確立的刪除權，主要是賦予數據主體要求數據控制者刪除與其有關數據的權利。當數據接收權設立以后，與刪除權、訪問權相結合，形成個人數據權利的小閉環體系，將從制度上賦予數據主體自主決定哪種數據被收集、哪種數據被處理，從而實質性地增強數據主體對于自己個人數據的控制力。

2.暫不設立數據轉移權

之所以暫不設立數據轉移權，主要基于兩方面的考慮：一是我國和歐盟所面臨的數字經濟的發展境況不同；二是數據轉移權的適用仍面臨著諸多不確定因素。由此，若貿然借鑒有可能起到反作用。

“數據立法區域競爭的實質是數字經濟的全球競爭。”近年來，在數字經濟發展上歐盟已落后于美國和中國，未能培育出具有世界影響力的“數據巨頭”企業。依據米克爾發布的2018互聯網趨勢報告，當前全球市值最高的20家數據公司中，美國占據了11席，中國占據9席，而未見到歐盟企業的身影。與此同時，根據市場研究機構Synergy Research所發布的數據，在2018年新增的超大規模數據中心中，美國占40%，中國占8%，日本占6%，英國占6%，澳大利亞占5%⑩見科技十點見：《2018全球超大規模數據中心數量增長11%中國占比全球第二》，https://baijiahao.baidu.com/s?id=1623328584483412521&wfr=spider&for=pc，2019年5月22日訪問。。蘋果、Face book、微軟等美國數據企業，逐漸在歐盟地區占據支配地位，而這也阻礙了歐盟本土數據企業的發展。由此，歐盟希望通過數據轉移權的設置，削弱美國數據企業已有的數據優勢，從而促進歐盟本土的搜索引擎、電子商務等企業的崛起。歐盟有關個人數據權立法的一切努力最終都是為了保護、扶持和發展歐盟本土數據處理產業，扭轉歐洲數據處理市場被美國壟斷的局面。與歐盟不同，在寬松的政策環境和人口紅利的刺激下，國內的阿里巴巴、騰訊、百度、京東、小米、美團等互聯網公司相繼涌現并迅猛發展，除了牢牢占據國內市場外，還在國際市場上嶄露頭角，從而使得我國成為可與美國一較高下的數據處理大國。由此，我國數據立法的重點并不在于通過數據可攜權的設立來幫助本土數據企業的發展，而是構建公平競爭的市場秩序，切實加強個人數據權利的保障。若此時貿然引入數據轉移權，一方面會削弱阿里巴巴等優勢企業的數據累積優勢，限制了國內優勢數據企業的發展，從而失去了競爭的關鍵窗口期；但另一方面數據轉移的格式要求會給國內中小數據企業造成較大負擔，從而削弱了他們低成本的競爭優勢。基于上述考慮，則“我國也宜謹慎，在目前技術背景下，尚不宜引入。若對網絡服務商施加過多義務和責任，將不利于網絡產業的發展。”[14]

雖然歐盟設立數據可攜權的立法初衷在于增加市場競爭，讓更多歐盟本土的數據企業脫穎而出，但在實際運行過程中仍存在一定瑕疵。一是數據可攜權并不一定打破數據鎖定的效應。不同于反壟斷法主要針對壟斷企業，即那些具有“明顯的市場支配性”的企業，數據可攜權所適用的對象既包括“數據巨頭”企業，也包括那些中小數據企業。正如學者彼得?斯懷爾和伊安尼?拉各斯所指出的，“數據可攜權未充分認識到其雙向性缺陷，即轉移個人數據的請求既可以面向壟斷企業提出，也可能面向非壟斷企業提出，由此那些沒有市場主導地位且占有份額較小的企業也可能成為反壟斷的對象。”[15]數據轉移權的這一特性有可能限制和阻礙中小數據企業的創新動力與積極性。二是由于《條例》對數據傳輸格式條件的規定較為模糊，對于通常使用非結構化和非通用數據格式的中小企業來說，這反而會加重其法律義務，增加其在商業運作上的合規成本。“中小企業并沒有與大型公司一樣的資源，既缺少軟件編程人員，也沒有相關的律師團隊”。由此，對于數據轉移的“進出口系統”，若以與“數據巨頭”企業同等的標準要求中小數據企業，則中小企業將背負沉重的負擔，最終反而限制了中小數據企業的發展。三是數據轉移權的運行還增加了數據被竊取和攻擊的風險。由于數據轉移權允許數據主體一次性將自己的個人數據進行移轉，因此在多次轉移的過程中就會出現安全風險問題，尤其是數據主體將自己的個人數據轉向中小網絡平臺時，相應的數據詐騙、虛假身份等問題將集中出現，結合目前國內的網絡安全環境，則疊加風險將更為突出。

3.已有立法嘗試的評析

當前國內對于數據可攜權的立法嘗試，主要體現于2017年由全國信息安全標準化技術委員會頒布的《信息安全技術個人信息安全規范》（以下簡稱《規范》）?除《規范》外，部分全國人大代表還擬定了《中華人民共和國個人信息保護法（草案）2017版》，在這部草案中，也有關于數據可攜權的規定，主要集中于第16條，即“信息主體有權就其被收集處理的個人信息獲得對應的副本，并可以在技術可行時直接要求信息控制者將這些個人信息傳輸給另一控制者。”由于僅是草案，距離正式的法律文本還有諸多修改和完善，因此本文暫不討論。。《規范》中關于可攜權的規定，主要體現在第7.9條個人信息主體獲取個人信息副本中，即“根據個人信息主體的請求，個人信息控制者應為個人信息主體提供獲取以下類型個人信息副本的方法，或在技術可行的前提下直接將以下個人信息的副本傳輸給第三方：a)個人基本資料、個人身份信息；b)個人健康生理信息、個人教育工作信息。”

《規范》雖然規定了數據接收權和數據轉移權，但仍有兩個問題需要加以解決和完善：首先，可攜帶的個人數據的范圍較窄。按照《規范》以及《網絡安全法》的規定，個人數據是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”，這僅包括數據主體主動提供的數據，如個人的基本資料、身份信息、健康生理信息和教育工作信息，而沒有將數據主體被動提供的個人數據納入可攜帶的范圍。而歐盟數據可攜權所規定的個人數據，是“任何已識別或可識別的自然人相關的信息”，這主要包括兩個部分：一是數據主體主動提供的數據，即數據主體明知并且已主動向數據控制者上傳的個人數據。如填寫的個人資料信息，姓名、性別、年齡、家庭住址等；二是數據主體被動提供的數據，即由數據控制者觀察數據主體而產生的個人數據，如某人的搜索歷史記錄、交通數據、位置數據以及可穿戴設備跟蹤的心跳數據等，這些數據并非由數據主體主動提供，而是數據主體在享有服務的過程中，為控制者所觀察到的個人數據。以淘寶為例，淘寶網站中賣家的個人信息，如賣家的姓名、電話、地址、營業執照等屬于數據主體主動提供的個人數據，而賣家的信譽，如反映賣家信譽的積分和等級圖標等，則屬于數據主體被動提供的個人數據。與主動提供的個人數據相比，被動提供的個人數據更為重要。WP29也認為，創設數據可攜權的目標，在于允許數據主體攜帶和轉移那些對于數據主體而言是不可或缺或不可重復的個人數據，主動提供的數據如姓名、地址、年齡等恰恰是可以重復的，而被動提供的數據如搜索歷史、活動軌跡、消費記錄等則是不可重復的。由此，《規范》中可攜帶的個人數據范圍還需要加以拓展，將數據主體被動提供的個人數據也一并納入，以便更為有效地加強數據主體對于個人數據的控制。除上述兩類數據外，還有一類數據是由數據控制者分析和推斷的衍生數據或增值數據，如基于消費記錄分析出的用戶消費偏好、基于健康記錄推斷出的健康風險數據等。對于這一類數據，多數學者認為其屬于平臺數據而非個人數據，并不屬于數據可攜權的范圍。其次，《規范》所規定的“技術可行”使得數據轉移權僅具有宣示意義，而這一點也是歐盟《條例》屢受詬病的地方。對于“技術可行”，有些學者認為，它是數據控制者的義務，即數據控制者有義務采用可行的技術，保障數據主體進行個人數據的轉移；有些學者則認為，“技術可行”是對數據主體可攜權的限制，即若技術上不可行，數據主體就不能進行個人數據的直接轉移。對此，WP29認為，“技術可行”并非是數據控制者的義務，即數據控制者沒有義務采用和維護技術上兼容的處理系統，以處理來自不同來源的個人數據。但在2017年。發布的修訂準則中，WP29就“技術可行”又提供了一定的說明，“對于給定行業或特定背景下沒有任何格式通用的數據控制者，應盡可能使用常用的開放格式（例如XML，JSON，CSV）以及有用的元數據提供個人數據。同時，WP29還特別提出，數據主體有權要求數據控制者，就自己系統不能直接轉移解釋其中的原因，以此強化數據主體個人數據的直接轉移；承擔必要的攜帶費用；確保數據安全。通過上文的分析我們看到，歐盟本身對于“技術可行”的認知也在矛盾之中，一方面不想加重數據控制者的負擔，尤其是中小數據企業的負擔，以免削弱數據可攜權在產業競爭方面的打算；另一方面又不想放任自流，讓數據控制者決定什么是“技術可行”，那樣數據轉移權在實踐中將會寸步難行。也正是這種左右搖擺的矛盾心態使得“技術可行”成為《條例》的模糊之一，當然也正是因為這一原因，所以筆者建議我國可攜權的構建暫不引入數據轉移權，否則若實踐條件達不到，將使得數據轉移權僅具有條文的宣示意義。

結論

在上文對數據可攜權制度構造的解讀中，我們可以清晰地看到歐盟立法時的權衡和審慎，一方面他們想擴大數據主體的權利范圍，以完善主體的信息自決權，并幫助民眾參與和分享大數據發展的時代紅利；但另一方面，他們又不想過度加重數據控制者的負擔，以免減緩個人數據的開發和利用，阻礙數字技術的創新和發展。我國數據可攜權的建構既要借鑒歐盟《條例》中關于可攜權的規定，但又不能全盤引入照搬照抄，而是應當在甄別和轉化的基礎上采取和緩化的路徑。一方面，我國和歐盟都面臨著數據泄露頻發、民眾數據控制力不足的現實，因此，數據可攜權的構建首先應引入數據接收權，以切實加強數據主體對于個人數據的控制力；但同時，我國又面臨著和歐盟不同的數字經濟發展情況，不存在利用數據可攜權增加產業競爭的考慮，加之數據轉移權本身還存在一定的模糊和爭議之處，由此數據轉移權的引入需要暫緩，等各方面條件成熟時再行規定。當然，將來《個人信息保護法》中數據可攜權的建構，還必須考慮到社會的變化和技術的發展對于監管的新要求，促進數字經濟創新與保障個人數據權利的平衡，法律和技術的協調，以及如何規制讓技術創新更多地服務于公民利益和社會福祉。