歐盟數(shù)據(jù)可攜權的法律構造與本土化思考

胡學峰

(安徽大學 法學院，安徽 合肥 230031)

有學者云：“新世紀數(shù)據(jù)就是新石油，能以較低成本換取較高利潤。”步入21世紀以來，大數(shù)據(jù)以其強大的存儲能力、快捷的處理效率備受市場青睞。以數(shù)據(jù)資源為核心的數(shù)字經(jīng)濟一路高歌猛進，其發(fā)展規(guī)模與速度均呈迅猛增長態(tài)勢。相關調查①顯示，2015—2020年間，我國數(shù)字經(jīng)濟在國民經(jīng)濟中占比由27%飆升至38.6%，2020年同比上漲2.3個百分點。2020年12月，我國數(shù)字經(jīng)濟以39.2萬億元人民幣的體量躍居世界第二。數(shù)字經(jīng)濟規(guī)模如此龐大，范圍相當廣泛，在當前發(fā)展尤為突出。數(shù)字經(jīng)濟的關鍵在于數(shù)據(jù)的流通與共享，但現(xiàn)狀卻是數(shù)據(jù)控制者主導下的數(shù)字經(jīng)濟缺乏流通，相關法律規(guī)范尚不健全[1]。更重要的是，現(xiàn)行體制下數(shù)字經(jīng)濟的紅利難以惠及到眾多數(shù)據(jù)主體。鑒于此，應加快數(shù)據(jù)在信息網(wǎng)絡中的流動速率，否則將會影響我國經(jīng)濟與社會發(fā)展的效率。在此背景下，“數(shù)據(jù)可攜權”的誕生正當其時，它將數(shù)據(jù)的自由流轉創(chuàng)設為數(shù)據(jù)主體的一項權利，可以有效打擊“數(shù)據(jù)壟斷”行為，滿足數(shù)字經(jīng)濟的發(fā)展需求，進一步助推國民經(jīng)濟發(fā)展的可持續(xù)增長。

1 數(shù)據(jù)可攜權的具體內涵與法律構造

1.1 數(shù)據(jù)可攜權的具體內涵

1.1.1 數(shù)據(jù)可攜權的權利演進

數(shù)據(jù)可攜權的立法理念可以追溯至1995年的《歐盟數(shù)據(jù)保護指令》，其中關于數(shù)據(jù)訪問權的相關規(guī)定通常被視為可攜權確立的前提性權利[2]。2012年1月，歐盟擬定《通用數(shù)據(jù)保護條例》(以下簡稱“GDPR”)草案時，在第18條正式設立“數(shù)據(jù)可攜權”，這在該項權利的演進過程中具有重大意義。2014年3月，歐洲議會采納前述草案，并將其中第18條與第15條的信息獲取權合并。2016年4月，GDPR第20條正式確立“數(shù)據(jù)可攜權”獨立的法律地位，并對其定義予以闡釋②。同年12月，歐盟發(fā)布《數(shù)據(jù)可攜權指南》。兩年后，2018年5月25日GDPR 正式對歐盟成員國產生法律約束力[3]。在此之后，美國加州、澳大利亞、印度等基本沿用了歐盟GDPR的相關規(guī)定，紛紛制定出類似法案③。

1.1.2 數(shù)據(jù)可攜權的具體內容

目前國內通說認為，“數(shù)據(jù)可攜權”主要包含兩項“子權利”——數(shù)據(jù)接收權與數(shù)據(jù)轉移權。二者可以說是可攜權的一體兩面，從權利的“個人獲取”與“自由流轉”兩個維度共同構成數(shù)據(jù)可攜權的具體內容。

數(shù)據(jù)接收權是指數(shù)據(jù)主體有權獲得其提供給數(shù)據(jù)控制者的個人數(shù)據(jù)，且該數(shù)據(jù)需滿足結構化、通用化和機器可讀的格式要求。但GDPR在格式標準上有所保留，并未制定出一套“放之四海而皆準”的通用格式，而是通過政府鼓勵，推進行業(yè)自律，促使行業(yè)協(xié)會和利益相關方共同探討，自發(fā)形成一套通用標準格式。數(shù)據(jù)接收權自誕生之初，便被視為數(shù)據(jù)訪問權的延伸，其對減少數(shù)據(jù)流轉障礙意義非凡。

數(shù)據(jù)轉移權是指在技術可行條件下，用戶有權將個人數(shù)據(jù)從一方數(shù)據(jù)控制者轉移至另一方數(shù)據(jù)控制者，且轉移不受數(shù)據(jù)控制者阻礙[4]。比如微信用戶申請將其個人數(shù)據(jù)轉移至支付寶賬號中，微信不得設置技術障礙加以抗拒，否則將侵犯微信用戶的數(shù)據(jù)轉移權。“數(shù)據(jù)的自由流轉”正是轉移權獨立于數(shù)據(jù)訪問權的核心區(qū)別之一。此外，“技術可行條件”是否可以視為GDPR出于平衡數(shù)據(jù)控制者的利益考量而作出的一大讓步，值得我們深思。畢竟技術條件是否真正可行，想必也只有數(shù)據(jù)控制者自身知曉。不過，“技術可行條件”的模糊表述也存在一定的積極意義，它反對技術適用條件的“一刀切”。考慮到各地經(jīng)濟發(fā)展不平衡的現(xiàn)實狀況，這為制定切合實際的地方性法律規(guī)范提供可能。

1.2 數(shù)據(jù)可攜權的法律構造

1.2.1 數(shù)據(jù)可攜權的主體

數(shù)據(jù)可攜權的主體包括權利主體與義務主體。

對于數(shù)據(jù)可攜權的權利主體，GDPR早有論斷④。其中特別強調對自然人個人數(shù)據(jù)保護的權利。而此處的自然人不含地域屬性，即權利主體不僅限于歐盟境內自然人，還包括歐盟境外接受境內企業(yè)商品或服務的自然人。因為伴隨著全球化進程的加快，歐盟境內互聯(lián)網(wǎng)企業(yè)勢必開發(fā)部分涉外業(yè)務。而根據(jù)GDPR第3條規(guī)定，任何在歐盟境內設立的數(shù)據(jù)控制者，其對個人數(shù)據(jù)的處理均要受到GDPR約束。由此觀之，可攜權的主體范圍不僅包括歐盟境內自然人，還包括歐盟境外使用、接受境內企業(yè)商品或服務的自然人。另外，作為與自然人相對的法律概念——“法人”是否享有個人數(shù)據(jù)保護的權利主體資格，我們不得而知。但鑒于GDPR所有條文均對“法人”只字未提，因而可以推定法人不在此處討論范圍之內。

數(shù)據(jù)可攜權的義務主體，GDPR也有規(guī)定。由GDPR第20條規(guī)定可知，可攜權的義務主體包括歐盟境內所有數(shù)據(jù)控制者。但這里需要明確的是，歐盟境外的數(shù)據(jù)控制者是否同樣受該條例管轄？這要分情況討論：第一，數(shù)據(jù)控制者在境外，但在境內設有分支機構。鑒于GDPR較強的地域屬性，其分支機構的數(shù)據(jù)處理行為，均要受到條例的實時規(guī)范[5]。第二，數(shù)據(jù)控制者在境外，但涉外業(yè)務關系到歐盟境內的自然人。出于對境內主體數(shù)據(jù)保護的需要，GDPR同樣將其視為可攜權的義務主體。

1.2.2 數(shù)據(jù)可攜權的客體

由GDPR 第20條規(guī)定⑤可知，可攜權的權利客體和適用對象乃是“個人數(shù)據(jù)”。鑒于網(wǎng)絡社會中個人數(shù)據(jù)規(guī)模龐大、范圍廣泛，將所有的個人數(shù)據(jù)都納入可攜權的保護范圍較難實現(xiàn)。另外，為維護數(shù)據(jù)雙方間的利益平衡，對個人數(shù)據(jù)的界定宜需謹慎。解釋過于狹窄時，數(shù)據(jù)主體的權利行使可能難以進行，數(shù)據(jù)可攜權的實質性作用恐難發(fā)揮；但解釋失之過寬，則會增加中小企業(yè)的合規(guī)負擔和經(jīng)營成本[6]，對部分企業(yè)尤其是小微企業(yè)的生存發(fā)展構成威脅。因而，合理限定“個人數(shù)據(jù)”的具體內涵就顯得格外重要。

第一，該數(shù)據(jù)須為關于數(shù)據(jù)主體的個人數(shù)據(jù)。首先，基于對數(shù)據(jù)主體的解釋，“非自然人”的相關數(shù)據(jù)自然難以成為數(shù)據(jù)可攜權的客體。其次，數(shù)據(jù)主體“個人數(shù)據(jù)”的基本內涵如何明確？對此，國內齊愛民教授認為：個人信息是指個人的姓名、性別、健康狀況等可以直接或間接識別個人的信息。

第二，該數(shù)據(jù)須為數(shù)據(jù)主體向數(shù)據(jù)控制者提供。此處強調的是數(shù)據(jù)提供的親歷性與主動性。當下社會網(wǎng)絡詐騙無孔不入，數(shù)據(jù)主體親自提供個人數(shù)據(jù)可以有效降低其被泄露、盜用的風險。同時也表明，數(shù)據(jù)可攜權的行使主體具有不可替代性。而個人數(shù)據(jù)要求“主動提供”表明，GDPR只保護“主動數(shù)據(jù)”而非“被動數(shù)據(jù)”。現(xiàn)如今以大數(shù)據(jù)分析、云端計算等信息技術獲取的衍生數(shù)據(jù)和推斷數(shù)據(jù)便是“被動數(shù)據(jù)”的典型代表。它們是基于數(shù)據(jù)控制者的商事經(jīng)營行為而產生的，自然不屬于數(shù)據(jù)主體提供的個人數(shù)據(jù)，將其排除在可攜權的客體范圍之外也是合乎情理的。

1.2.3 數(shù)據(jù)可攜權的行使

1.2.3.1 行使方式與條件

對于數(shù)據(jù)可攜權的行使，GDPR明確列舉出兩項條件：

第一，對于可攜權涉及的個人數(shù)據(jù)，必須以“自動化方式”進行一定處理。鑒于數(shù)據(jù)規(guī)模龐大、范圍廣泛，“自動化方式”能給企業(yè)的數(shù)據(jù)處理效率帶來質的飛越。同時這也從側面反映出傳統(tǒng)的紙質文件數(shù)據(jù)被排除在權利的適用范圍之外，電子數(shù)據(jù)的手動轉移方式也難為GDPR所認可。

第二，數(shù)據(jù)處理行為必須取得數(shù)據(jù)主體的事先同意或基于先前的合同約定。可攜權的行使前提是必須確保數(shù)據(jù)主體的知情權、同意權得到尊重。對此，GDPR亦有相關論述：“同意”標準須具體清晰，是在用戶充分知情的情況下以自愿方式作出。按照該標準的嚴格要求，我國國內公司以復雜深奧的隱私政策保護，“強迫”用戶同意的做法將失去合法性。數(shù)據(jù)控制者以明確清晰、通俗易懂的方式告知數(shù)據(jù)主體相關內容，取得用戶的實質性同意而非形式上同意，乃是今后用戶知情權保障的一大趨勢。用戶如果對上述政策存在不滿，在點擊不同意的選項后，仍可使用軟件的部分功能。而“合同約定”說明只有在合同范圍內，數(shù)據(jù)可攜權的行使才是合法的。超出合同的約定范圍，權利的行使就有侵犯他人隱私信息之嫌。綜上，數(shù)據(jù)可攜權的行使必須同時滿足上述兩個條件，缺一不可。

另外，即便上述條件均已滿足，個人數(shù)據(jù)的自由流轉還須滿足“技術可行條件”的現(xiàn)實要求。但GDPR和WP29對“技術可行條件”均未作說明，可見歐盟在此方面有所保留。鑒于“技術可行條件”概念比較模糊，需要對其進行細致界定，否則將會影響可攜權的實質性作用發(fā)揮。因而，可以參考歐洲銀行聯(lián)合會的相關經(jīng)驗：數(shù)據(jù)控制者對于“技術不可行情況”負有證明義務。如果不能提供足夠證明，數(shù)據(jù)控制者不得妨礙用戶可攜權的正常行使；反之，如果的確存在技術障礙，其亦負有向數(shù)據(jù)主體解釋說明的義務。如此方可最大限度地保護數(shù)據(jù)主體的可攜權利益。

1.2.3.2 行使限制

古語云：“沒有規(guī)矩，不成方圓。”目前歐盟既定的法律框架內，任何權利的行使都會受到限制，數(shù)據(jù)可攜權也不例外。對此，GDPR第20條亦有說明，可攜權的行使不得影響公共利益，也不得損害第三方的合法權益。以下僅就上述兩點作簡要說明：

第一，數(shù)據(jù)可攜權的行使須讓步于社會公共利益。“社會公共利益”在各國法律體系中一貫享有優(yōu)位性。不同時代、不同社會的公共利益不盡相同，但國家安全、社會秩序以及法律權威等作為社會公共利益的具體內涵獲得各國法律的普遍認同，基于此作出的各項活動可視為維護公共利益的典型表現(xiàn)。換言之，如果可攜權的行使并未涉及公共利益、科學歷史研究以及統(tǒng)計目的等情況，那么該權利自然無須克減。此外，為追求現(xiàn)代法治中的實體正義，數(shù)據(jù)主體為公共利益而作出的“權利犧牲”應當?shù)玫较鄳a償，這也是“以人為本”社會治理理念的具體體現(xiàn)。

第二，數(shù)據(jù)可攜權的行使不得損害第三方合法權益。在全球化進程不斷深入的大背景下，數(shù)據(jù)主體在轉移數(shù)據(jù)時，要求將己方數(shù)據(jù)與其他主體數(shù)據(jù)完全切割開來的想法既不現(xiàn)實也不合理。比如，法院要求銀行積極配合，將被告人銀行賬戶的交易信息作為證據(jù)提交法庭時，必然會涉及到與該主體發(fā)生交易的第三方主體的數(shù)據(jù)信息。此時，作為數(shù)據(jù)控制者的銀行在進行數(shù)據(jù)轉移時，須取得第三方主體的概括同意抑或銀行在提交相關數(shù)據(jù)時應以必要方式加以掩蓋，否則可攜權的行使便有侵犯他人隱私之嫌。在萬物互聯(lián)的信息時代，我們更能理解數(shù)據(jù)主體對個人數(shù)據(jù)安全的合理關切。

2 歐盟數(shù)據(jù)可攜權引入我國的爭議

數(shù)據(jù)可攜權自誕生之初便飽受爭議，歐盟部分學者將其視為數(shù)據(jù)訪問權的延伸，二者都是數(shù)據(jù)主體為了解數(shù)據(jù)控制者處的個人數(shù)據(jù)而創(chuàng)設的權利工具，因而無必要將可攜權設為一項獨立權利。在歐盟的立法進程中，可攜權也歷經(jīng)多次調整與修改。國外立法尚且如此，國內引入、推行的阻力可想而知。鑒于我國數(shù)據(jù)保護立法起步較晚，偏向保守，目前與歐盟存在不小差距。因而國內對于引入可攜權的反對之聲不絕于耳，占據(jù)主流。

2.1 反對者的觀點

反對者認為可攜權的引入與我國國情不符，可能導致諸多問題與挑戰(zhàn)的產生。可攜權要求數(shù)據(jù)自由流轉，這易造成數(shù)據(jù)信息的泄漏；加之我國網(wǎng)絡安全環(huán)境堪憂，引入可攜權會給不法分子提供更多犯罪機會。另外，可攜權的設立勢必會加重企業(yè)的運營成本，這會制約中小企業(yè)的發(fā)展，拉大產業(yè)發(fā)展差距。反對的理由主要包括以下幾點：

第一，數(shù)據(jù)可攜權的引入會阻礙我國數(shù)字經(jīng)濟的平穩(wěn)發(fā)展。目前我國數(shù)字經(jīng)濟正處于高速發(fā)展階段，而數(shù)據(jù)立法一向保守。若貿然引入可攜權制度，勢必會對我國互聯(lián)網(wǎng)市場的平穩(wěn)發(fā)展造成沖擊。鑒于數(shù)字經(jīng)濟目前在國民經(jīng)濟中占有舉足輕重的地位，因而對于可能影響其發(fā)展走勢的數(shù)據(jù)可攜權的引入理當慎之又慎。

第二，數(shù)據(jù)可攜權的引入會增加數(shù)據(jù)被泄露和盜取的風險。可攜權的確可實現(xiàn)數(shù)據(jù)的自由流轉，但對此權利若不加限制，頻繁的數(shù)據(jù)轉移無疑會增加數(shù)據(jù)被泄漏、盜用和攻擊的潛在風險。尤其是中小企業(yè)抵御和防范網(wǎng)絡攻擊的能力有限，信息詐騙、虛假身份等問題將集中出現(xiàn)。結合目前國內網(wǎng)絡安全環(huán)境，疊加風險將更為突出。

第三，數(shù)據(jù)可攜權的引入還會惡化數(shù)據(jù)市場競爭環(huán)境，加大產業(yè)發(fā)展差距。可攜權的引入勢必會加增數(shù)據(jù)控制者的運營成本。為了方便數(shù)據(jù)轉移，現(xiàn)有的技術水平必須不斷提高。大型企業(yè)憑借雄厚資本和智力支持，可以從容應對，而中小企業(yè)的處境將極為艱難。技術創(chuàng)新需要投入大量資本，在長久的市場競爭中，若無國家政策的鼓勵扶持，中小企業(yè)被迫出局也只是時間問題。而“數(shù)據(jù)寡頭”將會趁此進一步鎖定市場份額，形成馬太效應，最終加劇“數(shù)據(jù)壟斷”程度。

2.2 支持者的觀點

支持者從數(shù)據(jù)可攜權的性質、優(yōu)勢等角度出發(fā)，結合我國數(shù)據(jù)隱私泄露嚴重的現(xiàn)狀，以及數(shù)據(jù)市場缺乏流通、數(shù)據(jù)壁壘和壟斷等亟待解決的問題，呼吁對數(shù)據(jù)可攜權進行改造，創(chuàng)設出符合我國國情、具有本土化特色的可攜權制度。主要有三點理由：

第一，數(shù)據(jù)可攜權的引入有利于強化用戶對個人數(shù)據(jù)的支配性。這是可攜權設立最低層次的目的。引入可攜權可以促進用戶對自身數(shù)據(jù)信息重要性的了解，進一步加強其對存儲在數(shù)據(jù)控制者處的信息數(shù)據(jù)的控制。這對目前我國個人信息盜取嚴重的網(wǎng)絡亂象具有一定的遏制、打擊意義，同時也能順應《個人信息保護法》對于用戶數(shù)據(jù)保護加強的趨勢，具有積極的現(xiàn)實意義。

第二，數(shù)據(jù)可攜權的引入可以促進數(shù)據(jù)流通，推動數(shù)字經(jīng)濟的高質量發(fā)展。現(xiàn)如今，“數(shù)據(jù)寡頭”利用雄厚資本和強大技術支持竭力維護“數(shù)據(jù)壟斷”現(xiàn)狀，這不僅違反競爭法的基本精神，也阻礙中小企業(yè)進入相關市場，而缺乏競爭則會進一步抑制創(chuàng)新。可攜權的引入可以改變數(shù)據(jù)流通規(guī)則，促進特定數(shù)據(jù)的共享和利用，有助于塑造更加公平透明的數(shù)據(jù)處理市場[7]。

第三，數(shù)據(jù)可攜權的引入符合社會正義公平原則。適用可攜權須取得用戶同意或基于合同約定。按照這一法律邏輯，數(shù)據(jù)控制者擅自將用戶數(shù)據(jù)另作他用，產生的各項收益應與數(shù)據(jù)主體共享。但現(xiàn)實是，數(shù)據(jù)雙方在信息收集能力方面存在巨大差距。在利益驅使下，數(shù)據(jù)控制者經(jīng)常私自攫取大量額外利益而不告知相關用戶[8]。我國引入可攜權制度能有效遏制數(shù)據(jù)控制者上述行為，進一步維護相關主體的數(shù)據(jù)權益。

綜上所述，可攜權制度是否引入，支持者與反對者各執(zhí)一詞、莫衷一是。這其實是看待事物的不同角度所致。任何事物都具有兩面性，我們不能因噎廢食，看到可攜權帶來的風險與挑戰(zhàn)便躊躇不前。而應當在深入了解其具體內涵與法律構造的理論基礎上集思廣益，盡可能預見權利引入引發(fā)的相關問題，先行建立完善好配套制度，努力為可攜權的本土化改造“鋪石墊路”。

3 數(shù)據(jù)可攜權本土化改造的實現(xiàn)路徑

近些年的數(shù)據(jù)糾紛使可攜權的重要性逐漸得到社會認可。數(shù)據(jù)產業(yè)的強勢崛起對我國現(xiàn)行立法提出新的要求，現(xiàn)行法律規(guī)范的滯后性問題較為突出。參考歐盟相關的司法實踐，有必要對數(shù)據(jù)可攜權進行本土化改造。

3.1 我國現(xiàn)行規(guī)范中的數(shù)據(jù)可攜權

自2012年十八大后，為積極響應大數(shù)據(jù)國家戰(zhàn)略，進一步推動數(shù)據(jù)資源的整合、開放和共享，我國數(shù)據(jù)立法的進程明顯加快，逐步形成以《信息安全技術個人信息安全規(guī)范》國家標準和《個人信息保護法》為核心的數(shù)據(jù)立法體系。

2017年制定的《信息安全技術個人信息安全規(guī)范》國家標準⑥，對于個人信息控制者施加的義務以及信息轉移的相關規(guī)定與歐盟的數(shù)據(jù)可攜權可謂大同小異，這也被視為我國“數(shù)據(jù)可攜權”首次成文的規(guī)定。伴隨著信息產業(yè)和數(shù)字經(jīng)濟的繁榮發(fā)展，信息主體與信息控制者所獲收益已然失衡。有鑒于此，國家出臺《信息安全技術個人信息安全規(guī)范》旨在重新平衡此種利益，這也為數(shù)據(jù)可攜權的本土化構建提供一定的法律保障。

但從三年的司法實踐來看，直接科以信息控制者較重的法律義務有失偏頗。于是政府對個中細節(jié)加以調整，在2020年將規(guī)范中個人信息副本的提供由“應”改為“宜”，傳輸?shù)谌较薅椤皞€人主體指定”第三方。一字之差，卻有效緩解了信息控制者的壓力。重新進行利益平衡也反映出網(wǎng)信部門為維護互聯(lián)網(wǎng)現(xiàn)有秩序平穩(wěn)運行的一番苦心。

此外，2018年的《個人信息保護法》⑦將我國“數(shù)據(jù)可攜權”的法律位階予以提升，由標準化文件直接上升至正式的成文法律，反映出政府部門對個人信息保護的重視程度日益加強。但該法條文過于籠統(tǒng)，僅規(guī)定了權利行使要件和行使對象[9]，具體操作規(guī)范亟待補充完善，而這也是現(xiàn)行國家標準下我國數(shù)據(jù)可攜權立法的一個縮影。

3.2 數(shù)據(jù)可攜權本土化面臨的障礙及完善措施

第一，原數(shù)據(jù)控制者是否可以保留已轉移數(shù)據(jù)尚不明確。當數(shù)據(jù)雙方配合進行數(shù)據(jù)轉移時，其能否繼續(xù)保留已轉移的用戶數(shù)據(jù)，GDPR對此未置可否。而根據(jù)我國“法無明文規(guī)定即可為”的法律精神，應默認原數(shù)據(jù)控制者擁有數(shù)據(jù)保留權。但這樣理解卻增加了用戶數(shù)據(jù)被盜用、篡改的潛在風險，同時也與可攜權的設立初衷相違背。如今大數(shù)據(jù)時代的社會紛繁復雜，網(wǎng)絡用戶對自身數(shù)據(jù)的收集、分析、存儲等環(huán)節(jié)知之甚少，常常怠于行使自己的權利。而數(shù)據(jù)轉移肯定會使原數(shù)據(jù)控制者的既有利益遭受損失，商業(yè)主體為追逐經(jīng)濟利益，必然會將用戶數(shù)據(jù)加以留存。在數(shù)據(jù)利益分配失衡的局面下，亟需重新平衡二者之間的利益關系。

鑒于此，可對用戶數(shù)據(jù)進行分類，對不同類型的個人數(shù)據(jù)賦予數(shù)據(jù)控制者不同程度的數(shù)據(jù)保留權限。針對用戶主動提供的基礎數(shù)據(jù)，例如個人信息、健康狀況等，法律應將該種數(shù)據(jù)的轉移設立為數(shù)據(jù)控制者必須履行的法定義務，其在完成相關數(shù)據(jù)轉移后，應當自動銷毀、刪除相關數(shù)據(jù)原件，不可私自留存；而針對數(shù)據(jù)控制者通過深度觀測、分析數(shù)據(jù)主體而獲得的衍生數(shù)據(jù)、推測數(shù)據(jù)等“加工數(shù)據(jù)”，例如淘寶通過分析用戶消費習慣而得出的銷售數(shù)據(jù)，抖音通過分析用戶的瀏覽歷史、點贊行為而獲取的相關數(shù)據(jù)，對于企業(yè)付出巨大經(jīng)濟與人力成本獲得的智力成果，宜賦予數(shù)據(jù)主體以選擇權，想要刪除這些數(shù)據(jù)須另行支付合理對價。否則在數(shù)據(jù)轉移后，應默認數(shù)據(jù)控制者有權繼續(xù)保留上述數(shù)據(jù)，以便合理維護二者利益的動態(tài)平衡。

第二，第三方主體數(shù)據(jù)權利保護體系尚未建立。司法實踐中，數(shù)據(jù)控制者在進行數(shù)據(jù)轉移時，常會涉及第三方用戶的個人數(shù)據(jù)。鑒于數(shù)據(jù)的緊密聯(lián)系性與不可分割性，如何合理妥當?shù)亟鉀Q二者沖突值得深思。例如，網(wǎng)友上傳一段合拍視頻至朋友圈，當該網(wǎng)友欲將視頻轉移至抖音時，必然會涉及視頻中第三方主體的隱私權與肖像權。在不影響數(shù)據(jù)可攜權效能發(fā)揮的前提下，如何盡力維護第三方主體的合法權益？針對上述問題，宜科以數(shù)據(jù)控制者審查數(shù)據(jù)轉移時多方主體的“共同同意”義務。若用戶無數(shù)據(jù)涉及第三方主體的同意文件，數(shù)據(jù)控制者可駁回相關的數(shù)據(jù)傳輸申請，這亦是可攜權行使前提的應有之義。民事訴訟領域權利沖突、競合是十分普遍的現(xiàn)象。行使可攜權若涉及公共利益，自然無法適用。與知情權、隱私權等發(fā)生沖突，將損害他人權益時，亦應受到合理規(guī)制。而我國現(xiàn)行可攜權之規(guī)定，其最大問題莫過于第三方權利遭到侵害時，相關權利救濟措施缺失。對此，可要求在數(shù)據(jù)轉移過程中如果涉及第三方權利，應取得其事先同意或事后追認。否則由于數(shù)據(jù)控制者未盡合理審查義務，第三方數(shù)據(jù)由此產生的潛在風險或相應損失應由數(shù)據(jù)控制者和數(shù)據(jù)主體共同承擔。

另外，還有兩點需要注意：一是數(shù)據(jù)可攜權本土化應循序漸進，在我國可采用試點立法。在試點的區(qū)域選擇上，以東南沿海發(fā)達城市為主。畢竟它們的數(shù)據(jù)經(jīng)濟規(guī)模龐大，數(shù)據(jù)產業(yè)發(fā)展也較為成熟，具備試點立法的現(xiàn)實基礎；在試點的行業(yè)選擇上，開放銀行應是最先行、最有價值的應用場景[10]。試點立法的彈性空間較大，司法實踐效果良好便向全國全面展開；若不盡人意，則我國數(shù)據(jù)可攜權的設立還有待探討。二是數(shù)據(jù)可攜權的主體范圍需要限縮。GDPR規(guī)定的權利主體為自然人，但是否所有自然人均享有此種權利值得商榷。相較于歐盟，我國擁有超過14億的龐大人口規(guī)模，若不加區(qū)分，將所有自然人都納入權利主體范圍既不現(xiàn)實又不合理。可以考慮將民事行為能力與網(wǎng)民身份等因素引入數(shù)據(jù)可攜權主體范圍劃定的標準之內，賦予不同個體差異化的數(shù)據(jù)可攜權。對于無民事訴訟能力、限制民事行為能力之人，宜將其數(shù)據(jù)的相關權利暫交其監(jiān)護人行使。對于網(wǎng)絡紅人與普通用戶須區(qū)別對待。鑒于前者網(wǎng)絡社會影響力巨大，對其數(shù)據(jù)可攜權的賦予應予以種種限制，以防其隨意轉移個人數(shù)據(jù)造成既有網(wǎng)絡秩序的破壞；而普通用戶的數(shù)據(jù)權益無需克減，如此可進一步促進社會公平正義的實現(xiàn)。

4 結語

歐盟設立數(shù)據(jù)可攜權的初衷在于削弱微軟、谷歌、蘋果等一眾美國互聯(lián)網(wǎng)巨頭對其網(wǎng)絡環(huán)境的影響力，扶持歐盟本土網(wǎng)絡企業(yè)的發(fā)展，以期縮小歐美在數(shù)據(jù)產業(yè)方面的發(fā)展差距。而我國坐擁龐大的人口基數(shù)、廣闊的內需市場和寬松的國家政策環(huán)境，以阿里、百度為代表的本土互聯(lián)網(wǎng)企業(yè)正在逐步走向世界。面對數(shù)據(jù)產業(yè)發(fā)展的這種差異，加之歐盟既定的可攜權制度尚不成熟，對其引入自當慎之又慎。在充分了解可攜權制度的前提下，結合我國立法實際，對歐盟可攜權制度予以合理改造，以期構建出符合我國國情、具有中國化特色的數(shù)據(jù)可攜權制度。

注釋：

①資料來源：《中國數(shù)字經(jīng)濟發(fā)展白皮書(2020)》——中國信息通信研究院.

②《通用數(shù)據(jù)保護條例》第20條：“數(shù)據(jù)主體有權以結構化、通用化和機器可讀的格式接收他或她提供給控制者的有關他或她的個人數(shù)據(jù)，并有權將這些數(shù)據(jù)傳輸給另一個控制者，原數(shù)據(jù)控制者不得阻礙。”

③類似法案包括美國加州2018年《加州消費者隱私法》、澳大利亞2019年《消費者數(shù)據(jù)權利法案》、印度2019年《個人數(shù)據(jù)保護法》等.

④《通用數(shù)據(jù)保護條例》第1條：“本條例保護自然人的基本權利與自由，特別是自然人享有的個人數(shù)據(jù)保護的權利。”

⑤《通用數(shù)據(jù)保護條例》第20條第2款：“數(shù)據(jù)主體有權獲得其提供給數(shù)據(jù)控制者的個人數(shù)據(jù)副本，并將此類數(shù)據(jù)從一個數(shù)據(jù)控制者處轉移至另一個控制者的權利。”

⑥《信息安全技術個人信息安全規(guī)范》7.9：“根據(jù)個人信息主體的請求，個人信息控制者應為個人信息主體提供以下類型個人信息(個人基本信息、個人身份信息、個人健康生理信息、個人教育工作信息)副本的方法，或在技術可行的前提下直接將個人信息的副本傳輸給第三方。”

⑦《個人信息保護法》第四十五條第三款：“個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應當提供轉移的途徑。”