謝 蔚，李文靜

(湘潭大學 法學院，湖南 湘潭 411105)

2016年4月27日，歐盟議會與理事會通過了《通用數(shù)據(jù)保護條例》(以下簡稱GDPR)。2018年5月25日，GDPR正式實施，直接適用于歐盟各成員國。為增強數(shù)據(jù)主體對個人數(shù)據(jù)的控制，GDPR明確了數(shù)據(jù)主體享有隱私權、糾正權、刪除權、數(shù)據(jù)可攜權等數(shù)據(jù)權利。[1]關于數(shù)據(jù)可攜權的具體內(nèi)容，第20條規(guī)定了數(shù)據(jù)主體有權以結構化、通用、機器可讀的方式接收其提供給數(shù)據(jù)控制者的與其相關的個人數(shù)據(jù)的接收權；在技術可行的情況下數(shù)據(jù)主體有權無障礙地將其個人數(shù)據(jù)從某一數(shù)據(jù)控制者傳輸給另一個數(shù)據(jù)控制者的數(shù)據(jù)遷移權。

出于對域外數(shù)據(jù)可攜權的關注，我國學界在2018年后亦涌現(xiàn)一大批以數(shù)據(jù)可攜權為主題的研究成果。對這些文獻進行梳理后大體可以將其分為兩類：一類是關于借鑒與引入數(shù)據(jù)可攜權的研究；另一類是就數(shù)據(jù)可攜權本身的屬性、內(nèi)容、問題等方面的研究。從我國2017年以來的數(shù)據(jù)發(fā)展與規(guī)范實踐來看，《個人信息保護法》正式出臺之前已有數(shù)據(jù)可攜權的內(nèi)容。例如：2017年由全國信息安全標準化技術委員會頒布的《信息安全技術個人信息安全規(guī)范》的7.9規(guī)定，根據(jù)個人信息主體的請求，個人信息控制者應為個人信息主體提供以下類型個人信息(個人基本信息、個人身份信息、個人健康生理信息、個人教育工作信息)副本的方法，或在技術可行的前提下直接將個人信息的副本傳輸給第三方。2021年8月20日，《個人信息保護法》正式出臺，該法第45條第3款對個人信息的可攜權作出了明確規(guī)定。在這一背景下，厘清我國引入數(shù)據(jù)可攜權過程中的爭議焦點，在比較歐盟數(shù)據(jù)可攜權立法的基礎上構建我國數(shù)據(jù)可攜權的具體適用路徑便是一個不可回避的重大議題。

一 關于我國是否引入數(shù)據(jù)可攜權制度的爭論

《個人信息保護法》正式出臺前，關于是否引入數(shù)據(jù)可攜權，存在幾種不同觀點。一種對引入數(shù)據(jù)可攜權持肯定態(tài)度，認為通過立法確認個人有自由獲取和轉移其個人數(shù)據(jù)的權利，可以強化自然人對其數(shù)據(jù)的支配性，有助于塑造更為公平透明的數(shù)據(jù)處理市場，防止大型網(wǎng)絡企業(yè)壟斷個人數(shù)據(jù)領域。[2]但對引入模式存在不同看法：一種方案認為可攜(帶)權是《民法總則》中規(guī)定的個人信息權的一種具體積極權能，可在制定民法典時細化完善包含可攜權在內(nèi)的各項個人信息權權能；另一種方案則認為應當在未來的《個人信息保護法》中予以規(guī)定[3]，以形成更好的數(shù)據(jù)專門立法體系。另外一種觀點對可攜權(可轉移權)的引入持保留態(tài)度。持該種觀點的學者認為，雖然該權利增強了個人對其信息的控制權，但也給信息控制者增加了壓力和成本，必然會增強各個信息控制者之間的市場競爭程度。[4]

規(guī)定個人信息可攜權是很有必要的。首先，從規(guī)范層面來看，我國在2012年黨的十八大之后，便開始部署實施大數(shù)據(jù)國家戰(zhàn)略，致力于推動政府、行業(yè)、企業(yè)之間數(shù)據(jù)資源的整合和開放共享。一方面，國家機關紛紛制定了大數(shù)據(jù)的發(fā)展規(guī)劃，如2015年國務院發(fā)布了《促進大數(shù)據(jù)發(fā)展行動綱要》，2016年中共中央辦公廳與國務院辦公廳聯(lián)合發(fā)布了《國家信息化戰(zhàn)略發(fā)展綱要》，2017年最高人民檢察院印發(fā)了《檢察大數(shù)據(jù)行動指南(2017-2020年)》，2018年進一步印發(fā)了《全國檢察機關智慧檢務行動指南(2018-2020年)》等；另一方面，數(shù)據(jù)立法的進程明顯加快，逐步形成了包括《網(wǎng)絡安全法》《個人信息安全規(guī)范》《電信與互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《網(wǎng)絡交易管理辦法》在內(nèi)的數(shù)據(jù)立法體系。在實踐層面，我國的數(shù)字經(jīng)濟已然在國民經(jīng)濟中占據(jù)重要地位。[5]近年來，數(shù)字經(jīng)濟的規(guī)模和發(fā)展速度均呈現(xiàn)增長態(tài)勢。中國信息通信研究院《G20國家數(shù)字經(jīng)濟發(fā)展研究報告(2017)》顯示，2016年，我國數(shù)字經(jīng)濟規(guī)模以3.4萬億美元的總量位居世界第二，全球市值前十的公司中有七家科技企業(yè)，我國的阿里巴巴和騰訊位列其中；到2018年，營業(yè)額排名全球前二十的互聯(lián)網(wǎng)企業(yè)中，我國便占據(jù)了八個席位；根據(jù)2019年中國互聯(lián)網(wǎng)絡信息中心發(fā)布的第44次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》，我國網(wǎng)民規(guī)模已達9.04億。2019年國家網(wǎng)信辦發(fā)布的《數(shù)字中國建設發(fā)展報告(2018)》顯示，2018年我國數(shù)字經(jīng)濟規(guī)模達到31.3萬億元，占GDP比重達到34.8%。

我們當下正處于數(shù)字經(jīng)濟時代。數(shù)據(jù)的數(shù)量龐大、范圍廣泛、價值日增，如果不加快數(shù)據(jù)在網(wǎng)絡中流動的速率，將影響經(jīng)濟與社會發(fā)展的效率。在我國數(shù)據(jù)發(fā)展規(guī)劃與數(shù)據(jù)立法著力推動數(shù)據(jù)流轉與保障數(shù)據(jù)安全的前提下，為進一步活躍我國的數(shù)字經(jīng)濟生態(tài)，實施數(shù)據(jù)可攜權以加快數(shù)據(jù)流動，符合目的正當性的要求。

全國人大常委會發(fā)布的公開征求意見的《個人信息保護法(草案)》一審稿、二審稿，都只在第四十五條規(guī)定了個人對其數(shù)據(jù)的查閱復制權，回避了學界呼聲較高的數(shù)據(jù)可攜權入法。之后，全國人民代表大會憲法和法律委員會經(jīng)過反復研究，建議增加個人信息數(shù)據(jù)可攜權的相關規(guī)定[6]，最終，2021年8月20日的第十三屆全國人大常委會第三十次會議通過《個人信息保護法》，其第45條第3款規(guī)定：“個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應當提供轉移的途徑?！敝链?，個人信息數(shù)據(jù)可攜權正式被法律所確認。

數(shù)據(jù)可攜權雖然被確立，但是法律條文只籠統(tǒng)地規(guī)定了權利行使的要件和權利行使對象(個人信息處理者)的義務，其具體實施規(guī)范亟待細化，而我國關于法律指引下的數(shù)據(jù)可攜權的實踐較為缺乏。對此，我們可以參考歐盟數(shù)據(jù)可攜權的實施過程，總結其經(jīng)驗和不足，為我國的數(shù)據(jù)可攜權適用提供有益借鑒。

二 歐盟數(shù)據(jù)可攜權確立與實施過程中的利益權衡

(一)歐盟數(shù)據(jù)可攜權確立過程中的利益沖突

一個不爭的事實是，歐盟的數(shù)據(jù)產(chǎn)業(yè)發(fā)展明顯滯后于美國，正是在這樣的背景下，歐盟加速了數(shù)據(jù)立法的進程，從第一代1981年的《關于個人數(shù)據(jù)自動化處理之個人保護公約》到第二代1995年的《數(shù)據(jù)保護指令》，再到第三代的GDPR，歐盟的數(shù)據(jù)立法內(nèi)容不斷細化，效力逐步加強。一方面，歐盟意識到在現(xiàn)實的數(shù)字世界中，數(shù)據(jù)控制者處于明顯的強勢地位，數(shù)據(jù)主體則處于現(xiàn)實的弱勢地位。[7]為了加強對數(shù)據(jù)主體的法律保護，確立數(shù)據(jù)可攜權具有打破數(shù)據(jù)壟斷，增強數(shù)據(jù)主體對個人信息控制的效果。另一方面，歐盟又擔憂確立數(shù)據(jù)可攜權這一新型權利可能會損害有價值的專有信息或知識產(chǎn)權，造成隱私和數(shù)據(jù)安全風險、提高企業(yè)合規(guī)成本等負面影響。[8]

這種對數(shù)據(jù)可攜權的矛盾態(tài)度可從GDPR的制定過程中得以反映，因為在GDPR 的“建議稿”中，歐盟立法者積極主張數(shù)據(jù)可攜權，但“一讀稿”卻刪除了有關數(shù)據(jù)可攜權的條款，最終GDPR中的數(shù)據(jù)可攜權內(nèi)容幾經(jīng)波折才得以保留，但又增加了許多的限制條件和例外規(guī)定。[9]即便在GDPR確立數(shù)據(jù)可攜權之后，世界范圍內(nèi)確立數(shù)據(jù)可攜權的立法例仍屬少數(shù)，如美國聯(lián)邦層面沒有關于數(shù)據(jù)可攜權的立法，其對數(shù)據(jù)可攜權持較為審慎的態(tài)度，更傾向于有限制地賦予企業(yè)數(shù)據(jù)訪問和數(shù)據(jù)可攜的權利，并主要依靠相關企業(yè)的行業(yè)自律和自主探索。[10]從歐盟企業(yè)的接受度來看，數(shù)據(jù)可攜權的實際運行也并不樂觀。據(jù)湯森路透的調(diào)查數(shù)據(jù)顯示，79%的企業(yè)要么沒有滿足GDPR的監(jiān)管要求，要么在跟進規(guī)則方面遇到困難；91%的企業(yè)表示知道GDPR，但其中1/4表示自己沒有熟悉了解其規(guī)定；這些企業(yè)在數(shù)據(jù)保護方面的年平均支出為130萬美元，預計合規(guī)成本還將不斷提高。從GDPR確立數(shù)據(jù)可攜權的過程來看，立法者存在明顯的猶豫與遲疑，企業(yè)持有一定觀望與排斥，GDPR進行的數(shù)據(jù)權利分配產(chǎn)生的利益沖突是否能夠得以緩和有待進一步的實踐檢驗。

(二)歐盟數(shù)據(jù)可攜權制度內(nèi)容的利益權衡

在現(xiàn)有的GDPR框架內(nèi)，立法者對數(shù)據(jù)可攜權的制度設計始終注意平衡數(shù)據(jù)運營者與數(shù)據(jù)主體之間、數(shù)據(jù)運營者之間、數(shù)據(jù)主體與第三人(或公共利益)之間的利益關系，[1]以避免數(shù)據(jù)可攜權的確立造成權利失衡的局面，不致對企業(yè)競爭與創(chuàng)新、數(shù)據(jù)安全等帶來負面影響。具體而言：

1.數(shù)據(jù)運營者與數(shù)據(jù)主體之間的利益權衡

數(shù)據(jù)運營者包括數(shù)據(jù)控制者與數(shù)據(jù)處理者。在數(shù)字世界當中，數(shù)據(jù)主體是通過使用數(shù)據(jù)運營者的產(chǎn)品與服務而進行數(shù)據(jù)活動。數(shù)據(jù)作為一種關鍵性競爭資源，其權屬的分配實質上是一種利益的分配。從開放視角來看，數(shù)據(jù)的權屬分配存有四種可能的模式，即數(shù)據(jù)主體所有、數(shù)據(jù)運營者所有、數(shù)據(jù)主體與數(shù)據(jù)運營者共有，以及數(shù)據(jù)公眾所有。[2]確立數(shù)據(jù)可攜權的內(nèi)在邏輯是確立數(shù)據(jù)利益歸于數(shù)據(jù)主體所有。然而，若制度上僅作如此安排，則將導致數(shù)據(jù)運營者怠于進行數(shù)據(jù)開發(fā)，不利于數(shù)字經(jīng)濟的發(fā)展。因此，需要通過限定數(shù)據(jù)可攜權的數(shù)據(jù)范圍來實現(xiàn)彼此間的利益平衡，歐盟或許正是基于此種考量最終將數(shù)據(jù)可攜權的標的確定為與數(shù)據(jù)主體有關的個人數(shù)據(jù)。[3]

具體而言，數(shù)據(jù)主體被限定為自然人而不包括企業(yè)等其他主體。與數(shù)據(jù)主體有關的個人數(shù)據(jù)亦是在對數(shù)據(jù)進行分類的前提下作出的范圍限定。因為在數(shù)據(jù)使用的整個價值鏈中，存有三大類數(shù)據(jù)：第一類是數(shù)據(jù)主體主動提供的個人數(shù)據(jù)；第二類是對數(shù)據(jù)主體使用服務或產(chǎn)品時留下的行為痕跡進行分析所得的觀測數(shù)據(jù)；第三類是數(shù)據(jù)控制者基于算法技術對第一類和第二類數(shù)據(jù)進行分析所得的衍生數(shù)據(jù)。[4]從數(shù)據(jù)平臺對數(shù)據(jù)本身的投入來看，從第一類到第三類其投入依次遞增，而從數(shù)據(jù)的經(jīng)濟價值來看，亦呈現(xiàn)依次遞增的效果。[5]為了不影響數(shù)據(jù)平臺的積極性，GDPR僅明確第一類數(shù)據(jù)屬于數(shù)據(jù)可攜權的標的。對于更能反映數(shù)據(jù)主體心理狀態(tài)、購物偏好、生活習慣等信息的觀測數(shù)據(jù)和衍生數(shù)據(jù)是否可以納入數(shù)據(jù)可攜權的范圍，GDPR似乎有意保持著模糊態(tài)度。此外，數(shù)據(jù)平臺還可在證明其有關數(shù)據(jù)處理的強制性法律依據(jù)優(yōu)先于數(shù)據(jù)主體的權益，或者為了設立、行使或捍衛(wèi)其合法權利的條件下對數(shù)據(jù)可攜權進行限制。

2.數(shù)據(jù)運營者之間的利益權衡

在以數(shù)據(jù)為核心競爭要素的互聯(lián)網(wǎng)行業(yè)，搜索引擎、電商平臺、社交網(wǎng)絡等數(shù)據(jù)平臺已然存在高度集中的壟斷現(xiàn)象。一些大型數(shù)據(jù)平臺利用其數(shù)據(jù)與資金優(yōu)勢占領高地，通過市場支配地位進行數(shù)據(jù)控制，如果不能采取有效手段解決數(shù)據(jù)準入障礙，將阻礙中小企業(yè)參與競爭和技術創(chuàng)新。GDPR確立數(shù)據(jù)可攜權，亦是為了讓數(shù)據(jù)主體擁有更充分的選擇權，避免數(shù)據(jù)平臺企業(yè)進行用戶鎖定，中小企業(yè)也因此能獲得公平競爭的機會。

然而，在確立數(shù)據(jù)可攜權的過程中，歐盟立法者也意識到了這種假定未必成立。因為數(shù)據(jù)可攜權的數(shù)據(jù)遷移權部分需要數(shù)據(jù)以結構化的、通用的、機器可讀的方式存儲與傳輸。這樣一種以互操作性(Interoperability)為前提的制度設定，對于不同的數(shù)據(jù)平臺而言，其合規(guī)成本具有異質性。因為數(shù)據(jù)遷移的實現(xiàn)需要數(shù)據(jù)平臺開發(fā)多個應用程序接口(API)以滿足不同的數(shù)據(jù)傳輸格式之間互操作性的要求，更何況數(shù)據(jù)傳輸格式隨著科技發(fā)展不斷增多。這對于谷歌、臉書、亞馬遜、騰訊等已經(jīng)占據(jù)市場且頗具規(guī)模的數(shù)據(jù)平臺企業(yè)是競爭優(yōu)勢，但對于初創(chuàng)企業(yè)和正值發(fā)展瓶頸期的中小企業(yè)則是巨大的生存壓力。[16]如有研究者提到，GDPR改革將使得歐盟中小企業(yè)的年度IT成本增加約3000歐元-7200歐元，具體取決于中小企業(yè)的行業(yè)領域，該數(shù)據(jù)相當于企業(yè)年度平均IT預算的16%-40%。[8]正是為了避免給中小企業(yè)造成過重負擔，GDPR在制度內(nèi)容上并未強制要求企業(yè)建立互操作性的儲存與傳輸格式，而是以鼓勵的方式實施，比如在要求企業(yè)建立數(shù)據(jù)保護官的問題上僅限定為雇員在250人以上的大型企業(yè)。

3.數(shù)據(jù)主體與第三人及公共利益之間的利益權衡

GDPR確立的數(shù)據(jù)可攜權注意到在數(shù)據(jù)流轉與數(shù)據(jù)集合的情景下容易發(fā)生權利沖突，特別是當其與知識產(chǎn)權(商業(yè)秘密)、第三人隱私權及公共利益發(fā)生沖突時，該權利的行使要受到相應的限制。具體而言：首先，在GDPR的《指南》中，將數(shù)據(jù)信息區(qū)分為含有知識產(chǎn)權與不含有知識產(chǎn)權兩類。如果數(shù)據(jù)主體請求轉移的個人數(shù)據(jù)含有知識產(chǎn)權，將會侵害到享有上述權利的主體權益，因此數(shù)據(jù)平臺應當在分割涉及知識產(chǎn)權的信息后再進行數(shù)據(jù)傳輸[17]。其次，為保護第三人隱私權，GDPR明確數(shù)據(jù)可攜權不能對他人的權利或自由產(chǎn)生負面影響。由于在互聯(lián)網(wǎng)環(huán)境中將不同主體的個人數(shù)據(jù)完全分割是極為困難的，尤其在涉及交易平臺或社交平臺的場景下，這種數(shù)據(jù)粘合的現(xiàn)象更為普遍。在數(shù)據(jù)主體請求轉移其個人數(shù)據(jù)時，如涉及第三人的個人隱私，第三方無法自動知悉其個人隱私可能因數(shù)據(jù)遷移而受到影響。為此，GDPR要求數(shù)據(jù)平臺必須在第三人知情同意的情況下才能進行數(shù)據(jù)傳輸，且接收數(shù)據(jù)的數(shù)據(jù)平臺須承擔對該第三人的個人數(shù)據(jù)的保護義務。最后，GDPR允許基于國家安全，公共安全，刑事犯罪的預防、調(diào)查或刑事處罰的執(zhí)行，司法獨立與司法程序保護，違反職業(yè)道德規(guī)范的預防、調(diào)查與起訴，科學歷史研究或統(tǒng)計目的等公共利益的需要，對數(shù)據(jù)可攜權進行必要限制。

4.數(shù)據(jù)可攜權與數(shù)據(jù)安全之間的權衡

數(shù)據(jù)可攜權在加速數(shù)據(jù)流動效率的同時也增加了數(shù)據(jù)安全的風險。為了滿足互操作性的存儲與傳輸需要，數(shù)據(jù)運營者將開發(fā)更多的應用程序接口，其結果是導致系統(tǒng)和服務更加具有開放性，這將為黑客侵犯提供更多的機會，從而產(chǎn)生更多的數(shù)據(jù)非法泄露、非法提供與非法買賣的違法行為。從數(shù)據(jù)可攜權制度內(nèi)容來看，對數(shù)據(jù)平臺僅提出“技術可行”的情況下增加互操作性未嘗沒有數(shù)據(jù)安全的考慮，并且GDPR直面數(shù)據(jù)安全問題對數(shù)據(jù)平臺提出了“充分保護”的要求。數(shù)據(jù)平臺必須采用適當?shù)募夹g和組織措施確保其掌握的個人數(shù)據(jù)能夠達到合理應對風險的安全級別，并明確要求對個人數(shù)據(jù)進行匿名化和加密處理。在任何情況下，數(shù)據(jù)平臺必須執(zhí)行身份驗證程序，可要求數(shù)據(jù)主體提供合法身份證明[18]。在GDPR生效之后，確有數(shù)據(jù)平臺因未履行“充分保護”義務而被問責。例如，2018年，德國一家社交平臺的運營商將數(shù)據(jù)主體的密碼以明文形式存儲，該公司的用戶數(shù)據(jù)后來發(fā)生了嚴重的泄露，有80.8萬個電子郵件地址和187.2萬個帶有先關密碼的用戶名被發(fā)布到其他網(wǎng)站。為此，德國的監(jiān)管機構對其作出了2萬歐元的罰款。[7]

在數(shù)據(jù)平臺與數(shù)據(jù)主體存在持續(xù)性的不對等關系背景下，賦予數(shù)據(jù)主體包括數(shù)據(jù)可攜權在內(nèi)的系列數(shù)據(jù)權利充分體現(xiàn)了對數(shù)據(jù)主體的傾斜性保護。然而，歐盟立法者認識到數(shù)據(jù)可攜權是一種需要平衡的權利，[19]GDPR中對數(shù)據(jù)可攜權設置的諸多限制條件正是表明該權利在性質上并非絕對權，需要調(diào)適其與其他權利之間的關系。然而，即便GDPR作出了利益權衡的努力，但這種平衡也為數(shù)據(jù)可攜權的實施帶來了不確定性。在面臨利益或價值沖突的情況下，如何正確適用數(shù)據(jù)可攜權制度成為亟待討論的問題。公法領域的比例原則提供了將抽象的利益衡量轉化為規(guī)范結構的法律技術，因而是合適的分析工具。

(三)歐盟數(shù)據(jù)可攜權實施過程中的利益平衡

2020年6月歐盟委員會發(fā)布《數(shù)據(jù)保護作為公民賦權的支柱和歐盟數(shù)字轉型的路徑暨〈通用數(shù)據(jù)保護條例〉兩周年實施歷程報告》(以下簡稱《GDPR兩周年實施歷程報告》)[20]，一方面其重申數(shù)據(jù)可攜權實施的意義，它可以使個人切換不同的服務提供商，使個人處于數(shù)據(jù)經(jīng)濟的核心地位，這將間接促進競爭并支持創(chuàng)新，因此強調(diào)使數(shù)據(jù)可攜權得以進一步適用是歐盟委員會目前的首要任務之一。另一方面，《GDPR兩周年實施歷程報告》更強調(diào)數(shù)據(jù)可攜權的明顯潛力并未得到充分挖掘。這主要是由于歐盟的數(shù)據(jù)戰(zhàn)略凸顯了實現(xiàn)數(shù)據(jù)可攜權目前尚需要解決的各種困難。比如，缺乏能夠以機器可讀的格式提供數(shù)據(jù)的標準，難以提高對數(shù)據(jù)可攜權的有效利用，以至于數(shù)據(jù)可攜權的有效利用僅限于有限的幾個行業(yè)之間(如銀行業(yè)和電信業(yè))。通過上述分析，就數(shù)據(jù)可攜權的適用問題，歐盟更注重數(shù)據(jù)主體對個人數(shù)據(jù)的控制，并在合法合理控制的前提下，進一步促進數(shù)據(jù)流轉及數(shù)據(jù)企業(yè)之間的良性競爭。因而歐盟強調(diào)，進一步利用數(shù)據(jù)可攜權并非不可能，但需要通過設計適當?shù)墓ぞ?、標準化的格式和接口來實現(xiàn)。歐盟也在考慮通過使用強制性技術接口和機器可讀格式以便實現(xiàn)實時數(shù)據(jù)遷移。

三 比例原則指導下我國數(shù)據(jù)可攜權的具體適用路徑

(一)比例原則作為法益衡量的一般原則

GDPR中對數(shù)據(jù)可攜權設置的諸多限制條件正是表明該權利在性質上并非絕對權，需要調(diào)適其與其他權利之間的關系。在面臨利益或價值沖突的情況下，如何正確適用《個人信息保護法》中數(shù)據(jù)可攜權規(guī)范成為學者們激烈討論的問題。復雜的利益衡量需要借助混合型的法律推理，誕生于公法領域的比例原則提供了將抽象的利益衡量轉化為規(guī)范結構的法律技術，是目的理性的集中體現(xiàn)與成本收益分析的另一種表達,在私法中也具有普適性[16]，因而是合適的分析工具。

比例原則發(fā)源于18世紀后期的德國，為了保護公民權利免受強大警察權過度侵犯，德國警察法中開始出現(xiàn)比例原則的觀念，在奧托·邁耶1895年出版的《德國行政法》中明確提出“警察權力不可違反比例原則”。此后比例原則在理論與實踐中得到了極大發(fā)展，成為德國公法理論中的“皇冠原則”。第二次世界大戰(zhàn)后，德國憲法法院更是將其從行政法原則提升為憲法原則。從比例原則的起源與發(fā)展來看，該原則為公權力主體作用于私權利主體的場景劃定了合理界限，當不同主體或不同權利之間產(chǎn)生沖突之時，比例原則提供了利益衡量的技術手段。在法治觀轉型和全球化影響下，比例原則在輻射范圍上實現(xiàn)從國別、區(qū)域到全球的地域性影響，完成從公法、私法到其他部門法的滲透。在功能定位上，比例原則從基礎的權利保障功能拓展到權力配置功能[17]，使得后者在新興權利判斷領域開始作為方法論成為“目標—手段”理性構建的基準。

比例原則既包容多元價值，又提供系統(tǒng)框架的特質，一方面使它能在本來“不可通約”的價值間進行比較，具備多元論的沖突解決優(yōu)勢；另一方面，它使得分析過程的各個階段變得更加透明，這也促使方法論意義上的比例原則獲得青睞[18]。尤其在重大立法或重大決策當中，比例原則要求國家治理應當從客觀形勢出發(fā)審慎確定管理目標，在實現(xiàn)管理目標的方案選擇上進行目的正當性、適當性、必要性與均衡性的分析，[19]避免出現(xiàn)制度運行成本過高，社會負擔過重等不利后果。因而在我國如何適用數(shù)據(jù)可攜權的問題上，比例原則的三項子原則(適當性原則、必要性原則、均衡性原則)作為目的手段理性建構中的路徑化、工具性方案，可以提供管理創(chuàng)新的理性視角，進入法益衡量中的論證過程。

(二)我國數(shù)據(jù)可攜權適用路徑的適當性原則

適當性原則要求采取一項行動能夠實現(xiàn)或至少有助于所追求目的的實現(xiàn)。由于任何一種制度或者措施多多少少會有助于目的的達成，因而該原則的滿足一般不存在太大難題。[21]具體到我國數(shù)據(jù)可攜權的實施，這一原則要求能夠實現(xiàn)或者至少有助于實現(xiàn)加強數(shù)據(jù)主體的權利保護和促進數(shù)據(jù)平臺之間的競爭與創(chuàng)新。然而，是否能夠產(chǎn)生這一正面效果卻存有較大的爭議。

雖然一部分意見認為數(shù)據(jù)可攜權能夠增強數(shù)據(jù)主體對個人數(shù)據(jù)的控制，有利于打破數(shù)據(jù)壟斷并促進數(shù)據(jù)市場的競爭與創(chuàng)新。[22]但是，仍有不少反對者認為數(shù)據(jù)可攜權的實施可能對競爭產(chǎn)生負面影響。由于我國互聯(lián)網(wǎng)行業(yè)已然存在騰訊、阿里巴巴、京東、滴滴等巨頭，長期以來積累了海量數(shù)據(jù)和先發(fā)優(yōu)勢。在這樣的背景下，實施數(shù)據(jù)可攜權可能產(chǎn)生如下一些連鎖反應：首先，基于數(shù)據(jù)可攜權的數(shù)據(jù)流動極可能在實際上更多的是從中小企業(yè)向大型企業(yè)的流向；其次，中小企業(yè)可能將資金與人力更多地投入到數(shù)據(jù)可攜權的合規(guī)性滿足，從而擠占其進行技術創(chuàng)新的資源，亦可能因承受不起數(shù)據(jù)可攜權的合規(guī)性成本而難以為繼；最后，在數(shù)據(jù)可攜權增加企業(yè)成本的情況下，大部分免費的互聯(lián)網(wǎng)應用與服務可能向收費模式轉變，最終成本轉移到消費者身上，減損用戶福利。[16]

然而上述觀點并不具備說服力，以電信領域為例，該領域攜號轉網(wǎng)的實踐既是歐盟數(shù)據(jù)可攜權的萌芽領域，也是該權利發(fā)揮典型效用的領域。我國2019年11月正式實施攜號轉網(wǎng)，目前正處于深化業(yè)務規(guī)范辦理階段，攜號轉網(wǎng)提升了電信運營商競爭的同時并未減損消費者利益，反而提高消費者對電信服務提供商的選擇權，進而在電信領域初步實現(xiàn)個人數(shù)據(jù)的接收與遷移。歐盟《GDPR兩周年實施歷程報告》通過評估GDPR兩周年的實施情況，把數(shù)據(jù)可攜權提升至創(chuàng)新性個人數(shù)據(jù)權利保護機制的地位。歐盟委員關注到數(shù)據(jù)可攜權實施帶來的數(shù)據(jù)交互相關實踐在互聯(lián)網(wǎng)平臺生態(tài)系統(tǒng)中的重大作用，表示籌備中的《數(shù)字服務法》將賦予個人更好控制其數(shù)據(jù)的權利。再者，數(shù)據(jù)可攜權還可產(chǎn)生其他額外效應，比如在“數(shù)據(jù)利他主義”視角下，數(shù)據(jù)可攜權可以使個人更容易為了公共利益，自己或者許可數(shù)據(jù)處理者將其個人數(shù)據(jù)“捐獻”。例如，個人可以自己或者許可其他數(shù)據(jù)處理者將其個人健康數(shù)據(jù)遷移至醫(yī)療機構，促進健康醫(yī)療部門的科研攻關。

(三)我國數(shù)據(jù)可攜權適用路徑的必要性原則

必要性原則又名為損害最小原則，是指在有助于實現(xiàn)目的的眾多行動方案中，應當選擇對合法權益損害最小的一種方案。[21]在比例原則的眾多子原則當中，該子原則適用的頻率最高，對于立法與決策而言，能夠借以審慎權衡各種可供選擇的規(guī)制模式。在這一原則之下，我國的數(shù)據(jù)可攜權適用路徑可以選擇更為穩(wěn)健的實施方案，具體而言：

1.數(shù)據(jù)可攜權技術條件標準的政策性實現(xiàn)策略

數(shù)據(jù)遷移權通過國家網(wǎng)信辦探索技術條件標準來另行規(guī)定，能夠更加靈活地根據(jù)技術發(fā)展和行業(yè)實踐來進行政策性調(diào)整。在具體操作層面，可以考慮按照如下方案推進：一方面，可以由國家網(wǎng)信辦以行政規(guī)劃的形式確立數(shù)據(jù)遷移互操作性的發(fā)展規(guī)劃，明確數(shù)據(jù)存儲的最低強制性標準，推動互聯(lián)網(wǎng)協(xié)會建立數(shù)據(jù)存儲的行業(yè)標準，并通過行政指導的方式優(yōu)先實現(xiàn)達到一定經(jīng)濟規(guī)模的數(shù)據(jù)平臺在一定年限內(nèi)達標數(shù)據(jù)遷移的技術條件，并對達標企業(yè)予以行政獎勵或政策性支持；另一方面，通過授權特定領域試點的方式加速數(shù)據(jù)遷移互操作性的實施。重點包括2019年即在《政府工作報告》中提出的移動通信領域的攜號轉網(wǎng)，個人健康醫(yī)療數(shù)據(jù)在醫(yī)療機構間的遷移以及在金融征信領域的個人數(shù)據(jù)可攜，對這些領域可以設定具體的技術要求。如此，既能滿足特定領域亟需解除用戶數(shù)據(jù)鎖定效應的社會需求，又能避免全面實施數(shù)據(jù)可攜權帶來的巨大制度成本。這與歐盟委員會2020年6月發(fā)布的《GDPR兩周年實施歷程報告》中確立的進一步釋放數(shù)據(jù)可攜權潛力的重點領域相一致。如此，既能滿足特定領域亟需解除用戶數(shù)據(jù)鎖定效應的社會需求，又能避免全面實施數(shù)據(jù)可攜權帶來的巨大制度成本。

2.競爭法上的補充實施方案

數(shù)據(jù)可攜權在性質上是對數(shù)據(jù)平臺與數(shù)據(jù)主體之間關于數(shù)據(jù)利益的制度分配。從打破數(shù)據(jù)平臺的壟斷地位或消除數(shù)據(jù)平臺之間的不正當競爭角度出發(fā)，同樣可能達到促進用戶數(shù)據(jù)自由流轉的效果，從而成為補充性的實施方案。[23]具體而言，一方面，當消費者或企業(yè)發(fā)現(xiàn)具有市場支配地位的數(shù)據(jù)平臺存在濫用其支配地位的行為，并對市場競爭或消費者權益造成了不利影響，即可通過《反壟斷法》確立的責任制度進行規(guī)制；[22]另一方面，即便對用戶數(shù)據(jù)進行鎖定的數(shù)據(jù)平臺尚不具有市場支配地位，但只要能夠證明對其他數(shù)據(jù)平臺造成了具體的損害，且行為本身具有違反誠實信用原則或公認的商業(yè)道德的性質，亦可在《反不正當競爭法》框架下實現(xiàn)問責。[21]

(四)數(shù)據(jù)可攜權適用路徑的動態(tài)均衡性調(diào)整

均衡性原則即狹義的比例原則，該原則要求為追求正當目的所采取行動的最終收益必須大于該行動造成的損害或成本。在該原則的要求下，數(shù)據(jù)可攜權的實施應當在整體上產(chǎn)生正面的社會效益。在我國對該權利通過立法確定的情況下，均衡性原則要求建立動態(tài)的實施評估機制，以進行及時的制度反饋和調(diào)適。[24]具體而言，可以采用定期評估法定義務與不定期評估反饋權利相結合的模式，一方面明確行政主管部門對數(shù)據(jù)可攜權實施情況進行定期評估的法定義務，另一方面推動互聯(lián)網(wǎng)協(xié)會對數(shù)據(jù)可攜權的實施情況進行不定期評估，并通過網(wǎng)絡途徑開通民意渠道，聽取民眾或企業(yè)對數(shù)據(jù)可攜權制度運行的意見，以此來保障數(shù)據(jù)可攜權的基本權利地位及其適用實效。

四 結 語

在人們的交互行為越來越通過互聯(lián)網(wǎng)平臺開展的情況下，數(shù)據(jù)資源的價值挖掘和數(shù)據(jù)主體的權利保護已然成為世界各國數(shù)據(jù)立法的中心議題。面對歐盟進一步釋放數(shù)據(jù)可攜權正面效應的努力，以及我國數(shù)據(jù)可攜權通過《個人信息保護法》正式確立的現(xiàn)實，應當通過比例原則對該權利的具體適用路徑進行指引，實施過程中應當綜合考慮各方主體利益平衡，并采用動態(tài)均衡調(diào)整的方式，最終使得該項權利得以發(fā)揮促進數(shù)據(jù)市場健康發(fā)展的效用。