李 婕

(安徽民政開放學院，安徽 合肥 230041)

《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)第45條規(guī)定了個人信息可攜帶權，即“個人請求查閱、復制其個人信息的，個人信息處理者應當及時提供。個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規(guī)定條件的，個人信息處理者應當提供轉移的途徑”，這一規(guī)定的立法初衷是促進個人信息合理利用，但相比于信息企業(yè)的絕對優(yōu)勢，個人在復制、轉移個人信息的過程中依然面臨諸多困境。當前我國理論界就數(shù)據可攜帶權的概念(1)參見卓力雄：《數(shù)據攜帶權的基本問題與中國應對》，《行政法學研究》2019年第6期；王錫梓：《個人信息可攜權與數(shù)據治理的分配正義》，《環(huán)球法律評論》2021年第6期。、結構(2)參見汪慶華：《數(shù)據可攜帶權的權利結構、法律效果與中國化》，《中國法律評論》2021年第3期。及本土化問題(3)參見華國宇、楊晨書：《數(shù)據可攜帶權的發(fā)展困境及本土化研究》，《圖書館建設》2021年第4期。進行了研究，但并未認真審視《個人信息保護法》中規(guī)定的個人信息可攜帶權的內涵特點，以及該條款在我國實踐中面臨的問題與挑戰(zhàn)。因此，本文研究《個人信息保護法》中個人信息可攜帶權的實現(xiàn)路徑，既是理論突破，也是實踐所需。

一、我國個人信息可攜帶權的實踐困境與原因分析

隨著信息技術的發(fā)展，個人轉移自己信息的行為已司空見慣，但個人將存在于網絡平臺上的信息下載、上傳至其他網絡平臺時往往面臨諸多障礙?！拔⒉┰V脈脈案”(4)參見北京市海淀區(qū)(2015)海民(知)初字第12602號判決書。“新浪微博訴字節(jié)跳動不正當競爭案”(5)https：//baijiahao.baidu.com/s?=1700976763470914266&wfr=spider&for=pc.html.都引發(fā)了信息移植行為合法性的探討。《個人信息保護法》雖然規(guī)定了個人信息可攜帶權，但這一條款內容抽象，實踐中引發(fā)了不少問題。

(一)權利實現(xiàn)困難

互聯(lián)網平臺阻礙權利人對自己信息控制權的實現(xiàn)。騰訊訴搜道網絡案件中(6)浙江省杭州市(2019)浙8601民初1987號判決書。，被告未經微信用戶及其關聯(lián)用戶的完整授權而擅自獲取微信用戶數(shù)據，致使微信用戶在違背個人意愿的情況下“被移植”了個人信息，其結果是個人信息可攜帶權完全被漠視。此外，個人信息可攜帶權面臨被互聯(lián)網平臺“鎖定”的困難。根據現(xiàn)行《個人信息保護法》，權利人可以將自己在QQ上的圖片、消息和聯(lián)系人轉移到自己的“脈脈”賬戶。但是，權利人的所有朋友信息仍然在QQ上，這些朋友未使用“脈脈”軟件時，權利人的個人信息并未實現(xiàn)在新平臺上的流通，因為權利人所有的朋友信息都被鎖定在QQ里而無法在“脈脈”上與其交流?？梢?，互聯(lián)網平臺不但直接移植權利人的個人信息，而且直接“鎖定”權利人的信息，成為個人信息可攜帶權實現(xiàn)難以逾越的障礙。

個人信息轉移行為可能引發(fā)不同平臺之間的不正當競爭。權利人把個人信息導入另一社交平臺的過程中，可能因另一社交平臺傳輸規(guī)則的限制，致使其個人信息難以完整呈現(xiàn)。2007年，Live Universe起訴My Space案件中，被告阻止用戶在他們的My Space個人資料中加入原社交平臺Vidilife上的相關內容，構成不正當競爭(7)Live Universe Inc.v.My Space Inc.，No.CV 06-6994 AHM (RZx)，at 1 (C.D.Cal.June 4，2007)，aff’d，304 F.App’x 554 (9th Cir.2008).法院認為，My Space 沒有義務使其產品與競爭對手的產品兼容，My Space也沒有從事排他性行為，因為反壟斷原則，也沒有與競爭對手打交道的義務。。由于不同平臺的技術設計不同，個人將信息導入新平臺時可能無法實現(xiàn)數(shù)據完全轉移，阻礙個人信息可攜帶權的實現(xiàn)。

(二)原因分析

1.網絡平臺運營規(guī)則不統(tǒng)一導致個人信息流通受阻。2021年3月抖音訴騰訊案判定騰訊通過微信和QQ限制用戶分享來自抖音內容的行為構成壟斷；“頭騰之爭”案中，原告認為抖音向用戶推薦好友時使用來源于微信/QQ開放平臺的微信/QQ用戶頭像、昵稱(8)諶嘉妮：《我的數(shù)據誰做主》，《互聯(lián)網天地》2019年第6期。，未經個人同意直接將其信息進行流通的行為構成侵權。但判決認為，“網站經營者通過robots協(xié)議對其他網絡機器人的抓取進行限制，這是網站經營者經營自主權的一種體現(xiàn)”(9)“北京微夢創(chuàng)科網絡技術有限公司訴北京字節(jié)跳動科技有限公司不正當競爭糾紛案”，北京市高級人民法院(2021)京民終281號判決書。。當不同的網絡平臺經營者制定限制個人信息轉移的不同規(guī)則時，個人信息可攜帶權幾無實現(xiàn)可能。

2.法律不完善、技術難題等導致不正當競爭問題。個人轉移自己信息的過程中，可能因不同網絡平臺的不配合、轉移規(guī)則不同而導致信息難以流通。這些平臺基于自身利益考量，往往不提供事實認定的證據，以保持自身的競爭優(yōu)勢地位，目前法律對此愛莫能助。例如，“微博訴脈脈”一案的判決指出，在如今的互聯(lián)網條件下，不論是個人行使數(shù)據轉移權利，還是第二數(shù)據控制者以該權利作為原數(shù)據控制者的不正當競爭訴訟的抗辯理由，相關證據大多只能由原數(shù)據控制者提供，而本案中，由于證據缺失，大量的案件事實由法院推定得出。因此，一旦原數(shù)據控制者不合作或未能完整地保存證據，權利人的取證將成為妨礙信息可攜帶權實現(xiàn)的一大難題。

二、國外信息可攜帶權的保護經驗及對比分析

“信息時代的法律媒介是信息性和溝通性的?！?10)余盛峰：《全球信息化秩序下的法律革命》，高鴻鈞、魯楠、余盛峰：《法律全球化：中國與世界》，清華大學出版社，2014年，第211頁。歐盟《通用數(shù)據保護條例》(下文簡稱GDPR)賦予權利人對自己數(shù)據的控制權來確保數(shù)據可攜帶權實現(xiàn)，美國規(guī)定企業(yè)義務來保障個人數(shù)據可攜帶權實現(xiàn)，這些制度都對我國信息可攜帶權的保護有借鑒意義。

(一)歐美數(shù)據可攜帶權法律的保護之考察

1.GDPR賦權式數(shù)據可攜帶權的保護經驗

歐盟通過賦予權利人對自己數(shù)據的控制權來確保數(shù)據可攜帶權的實現(xiàn)，以解決權利人信息流通受阻以及互聯(lián)網企業(yè)的不正當競爭等問題。GDPR第20條規(guī)定了數(shù)據可攜帶權，通過賦予數(shù)據主體在數(shù)據控制者之間傳輸個人數(shù)據的權利，保護個人對自己數(shù)據的控制權。這一規(guī)定授予數(shù)據主體三項權利：基于同意或合同處理個人數(shù)據的權利、通過自動化方式處理個人數(shù)據的權利以及以結構化、常用和機器可讀格式接收其提供給控制者的個人數(shù)據的權利。為保障個人數(shù)據有效流通，GDPR第20(ⅰ)(ⅱ)條賦予權利人“將這些數(shù)據傳輸給另一個控制器的權利，而不受向其提供個人數(shù)據的控制器的阻礙”，以及數(shù)據主體有權“在技術上可行的情況下，將個人數(shù)據從一個控制器直接傳輸?shù)搅硪粋€控制器”。這一規(guī)定明確了權利人對自己數(shù)據控制的三大途徑：獲取副本、將個人數(shù)據傳輸?shù)降谌?、?shù)據主體請求將個人數(shù)據從一個數(shù)據控制者傳輸?shù)搅硪粋€數(shù)據控制者。為保障權利人對自己數(shù)據控制權的實現(xiàn)，該法律同時規(guī)定了數(shù)據傳輸必須“技術可行”：一是數(shù)據傳輸具有互操作性；二是數(shù)據控制者意在阻撓或暫緩數(shù)據主體獲取、傳輸其個人數(shù)據而實施的任何經濟、技術障礙都將被認定成一種阻礙(11)De Hert P，Papakonstantinou V and Malgieri G，et al.，“The right to data portability in the GDPR：Towards user-centric interoperability of digital services”，Computer Law & Security Review，Vol.34，No.2，2018，pp.197-203.。歐盟委員會對GDPR實施的第一次評估(12)See European Commission.Data Protection as a Pillar of Citizens’ Empowerment and the EU’s Approach to the Digital Transition—Two Years of Application of the General Data Protection Regulation，COM (2020) 264 final (Jun.24，2020)，https：//eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX：52020DC0264&from=EN.中指出，“GDPR保障個人能夠在不同的數(shù)據之間切換服務提供商，這將間接促進競爭和支持創(chuàng)新”。由此可見，歐盟GDPR通過明確個人信息可攜帶權的權利內容和要求互聯(lián)網服務商提供數(shù)據傳輸技術的方式，促進信息流通和有序競爭。

2.美國義務式數(shù)據可攜帶權的保護經驗

美國法律通過規(guī)定企業(yè)義務來保障公民以易用、無障礙的方式傳輸個人信息，以避免互聯(lián)網企業(yè)操控個人信息而導致不正當競爭。首先，美國在立法層面明確個人數(shù)據可攜帶權的內容。1996年，美國《健康保險可攜帶和責任法》首次在聯(lián)邦層面規(guī)定了個人數(shù)據可攜帶權。2010年，時任美國總統(tǒng)奧巴馬發(fā)起了一系列名為“My Data”的倡議，以確保美國公民能夠方便、安全地訪問自己的個人數(shù)據。2020年，《加州消費者隱私法》第1798條100(d)項明確規(guī)定了個人數(shù)據可攜帶權?！捌髽I(yè)從可驗證的消費者處收到要求訪問個人信息的請求后，應立即采取措施向消費者免費披露和提供本節(jié)所要求的個人信息?！薄捌髽I(yè)可通過信件或電子方式提供個人信息，如果以電子方式提供，應以可攜帶的、易用的格式提供信息，以確保消費者無障礙地將此信息傳輸給其他主體?！?13)參見汪慶華：《數(shù)據可攜帶權的權利結構、法律效果與中國化》。其次，美國法律明確規(guī)定了個人信息可攜帶權的技術實現(xiàn)路徑。2020年，美國聯(lián)邦政府頒布《平臺互操作性規(guī)則》，規(guī)定個人可以通過智能手機APP實現(xiàn)個人信息可攜帶權。Facebook Inc.v.Power Ventures案件中(14)Facebook Inc.v.Power Ventures Inc.，No.C 08-05780 JW，at 14 (N.D.Cal.July 20，2010).，Power Ventures獲得了用戶許可其訪問原社交平臺的權利，但Facebook并未與Power Ventures建立互操作性而導致Power Ventures用戶無法訪問自己之前在Facebook的賬戶信息，最終法院判決Power Ventures承擔法律責任。Verizon Communications Inc.v.Trinko LLP 案件中(15)Verizon Communications Inc.v.Trinko LLP，540 U.S.398，415 (2004) (quoting a law review article).，法院認為如果網絡平臺對個人信息傳輸施加某種形式的交易義務，可能構成反壟斷法中的“排他行為”，需承擔相應懲罰。

3.小結

歐美個人信息可攜帶權通過明確個人權利內容、提供技術操作規(guī)范來保障個人對自己信息的控制權，進而促進有序競爭。二者都規(guī)定了個人訪問、下載、轉移自己在網絡平臺上個人信息的權利，并規(guī)定了“互操作性”技術保障這一權利實現(xiàn)。司法實踐中，個人對自己信息的控制受阻時，可根據GDPR或反壟斷的相關法律法規(guī)來訴請法院支持自己信息可攜帶權的實現(xiàn)。

(二)我國與歐美數(shù)據可攜帶權法律保護之比較

我國對個人信息可攜帶權的規(guī)定強調信息主體權利，并未規(guī)定保障這一權利實現(xiàn)的技術性措施。因此，我國個人信息可攜帶權難以保障個人信息流通，也無法避免不正當競爭的消極效果。我國與歐美對個人信息可攜帶權的法律保護差異，主要體現(xiàn)在權利模式、義務方責任以及信息移植技術等方面。

1.權利模式不同。我國個人信息可攜帶權以請求權為內容，即請求查閱權、請求復制權和請求轉移信息權三項內容。歐盟數(shù)據可攜帶權以數(shù)據主體控制權為核心保障信息可攜帶權實現(xiàn)。即“數(shù)據主體有權以結構化、通用和機器可讀格式接受其提供給信息控制者的與其有關的個人數(shù)據”，“數(shù)據主體有權無障礙地將這些數(shù)據傳輸給另一控制者”。美國數(shù)據可攜帶權則以施加給企業(yè)義務的方式保障個人數(shù)據可攜帶權的實現(xiàn)。如果說中國和歐盟的立法以權利人為中心來保護信息可攜帶權的實現(xiàn)，那么美國的立法則是以施加信息控制者的義務為中心來保護信息可攜帶權的實現(xiàn)。

2.義務方的責任程度不同。信息可攜帶權實現(xiàn)的主體包括權利人和數(shù)據平臺。由于權利人相較于科技巨頭處于弱勢地位，很多國家通過規(guī)定信息控制者的義務來保障個人信息可攜帶權實現(xiàn)，但義務方的責任程度有差別。例如，我國信息可攜帶權的實現(xiàn)取決于信息處理者應權利人申請“提供”義務的履行程度，當信息處理者的能力(如技術)不足時，個人信息可攜帶權難以實現(xiàn)。歐盟GDPR保障個人“不受向其提供個人數(shù)據的控制器的阻礙”而轉移個人數(shù)據。美國數(shù)據可攜帶權直接規(guī)定了企業(yè)以“可攜帶、易用”的方式提供權利人數(shù)據的義務，“并確保消費者無障礙地將此信息傳輸給其他主體”的義務。由此可見，歐美強調信息控制者“無障礙”地保障信息傳輸義務，更有利于個人信息可攜帶權的實現(xiàn)。

3.信息移植的技術方法不同。歐美法律都要求信息控制者提供互操作性技術以滿足信息移植要求，我國法律并未明確規(guī)定。從技術上來看，信息移植主要有兩種技術。一是權利人一次性導出信息進行移植，即用戶可以通過這種方式下載他們在某個平臺上擁有的數(shù)據快照，該快照可以上傳到另一個平臺。一次性導出信息不需要數(shù)據傳輸平臺(數(shù)據發(fā)送方)和數(shù)據接收平臺(數(shù)據接收方)有直接連接，而是權利人充當兩個平臺之間的中介，將數(shù)據從一個平臺移動到另一個平臺。這種技術確保用戶可以完全控制他發(fā)送的數(shù)據，并允許他根據需要從發(fā)送平臺刪除個人數(shù)據。但是，一次性導出技術通常需要很長時間才能完成，且需要轉化格式等操作，不利于個人便捷使用。二是互操作性，即允許兩個或多個平臺直接交換用戶信息的技術。應用程序編程接口(“API”)促進了系統(tǒng)之間實時數(shù)據的最新傳輸和記錄，這種方法也被稱為API可移植性。與一次性導出相比，API能夠將信息從發(fā)送方直接移植到接收方，即數(shù)據發(fā)送方通過速率限制和密鑰注冊，觀察和控制接收方獲取數(shù)據的內容、時間和方式，使兩個平臺的列表保持同步。當然，一次性導出技術和API技術并不是嚴格的二分法。例如，數(shù)據發(fā)送方和數(shù)據接收方可能會在短時間內直接通信，然后彼此切斷；或者在滿足某些條件時，數(shù)據發(fā)送方可能只允許用戶將他們的數(shù)據傳輸?shù)教囟ǖ男缕脚_，但都以互操作性為技術基礎。相較之下，我國《個人信息保護法》并未規(guī)定個人信息轉移的技術要求。

三、我國個人信息可攜帶權的屬性分析：不完全的個人控制權

根據我國《個人信息保護法》，信息可攜帶權的實現(xiàn)依賴于個人信息處理者“應當及時提供”以及“應當提供轉移的途徑”的義務履行程度，無法有效保障個人信息控制權的實現(xiàn)。無論是個人把信息轉移到新平臺時受限而不能上傳完整信息，還是新平臺過度披露用戶的個人信息，抑或原平臺拒絕提供訴訟中的關鍵證據等妨礙個人信息移植問題，根源都在于個人信息可攜帶權的屬性不清。立足我國《個人信息保護法》分析個人信息可攜帶權的屬性，是解決上述實踐困境的根本之策。

(一)我國個人信息可攜帶權之解讀

我國學界關于個人信息可攜帶權的屬性有人格權說(16)參見葉名怡：《論個人信息權的基本范疇》，《清華法學》2018年第6期。、數(shù)據權說(17)參見張憶然：《大數(shù)據時代“個人信息”的權利變遷與刑法保護的教義學限縮》，《政治與法律》2020年第6期。、復合權說(即兼具財產權和人格權屬性說)(18)參見李蕾：《數(shù)據可攜帶權：結構、歸類與屬性》，《中國科技論壇》2018年第6期。等觀點，都未準確指出個人信息可攜帶權的本質。個人信息可攜帶權中的“個人”具有人格權屬性，但人格權的范圍過于概括，個人信息權、被遺忘權、算法解釋權(19)參見李婕：《公共治理領域算法解釋權之構建》，《求是學刊》2021年第3期。等都屬于人格權范疇，難以體現(xiàn)個人信息可攜帶權的特點。個人信息可攜帶權中，以數(shù)據形式呈現(xiàn)的內容具有數(shù)據權屬性，但以非數(shù)據形式顯現(xiàn)出來的個人信息(如個人從“脈脈”上下載并打印出來的紙質個人圖像)不具有數(shù)據權屬性，因此數(shù)據權說難以涵蓋個人信息可攜帶權的所有內容。個人信息可攜帶權的內容是個人對自己信息的查閱、復制、訪問以及遷移等權利，多數(shù)指向行為，并不必然以金錢計算價值，因此財產權說也名不符實。為了更好地剖析個人信息可攜帶權的內涵，本文根據法律條款具體解讀我國個人信息可攜帶權的內容特點。

1.個人信息可攜帶權是“懸于半空”的個人信息權

《中華人民共和國民法典》(以下簡稱《民法典》)和《個人信息保護法》都未規(guī)定互聯(lián)網平臺未履行“提供”權利人信息義務的法律責任，導致個人信息可攜帶權處于“懸于半空”的狀態(tài)。《民法典》第1034條規(guī)定“自然人的個人信息受法律保護”，并在第1035條規(guī)定處理個人信息應當遵循合法、正當、必要原則，不得過度處理。個人對自己處于第三方設備中的信息進行查閱訪問、下載傳輸，是實現(xiàn)個人信息權的應有之義。因此，《個人信息保護法》第45條可視為《民法典》個人信息權條款的延伸。但是，這些權利只有在符合“合法、正當、必要原則，且不過度處理”的情況下才能實現(xiàn)。而權利人和信息處理者的立場不同、利益不一，信息處理者能否按照權利人的請求履行“提供”信息的義務，是權利人實現(xiàn)信息控制權的關鍵。

2.個人信息可攜帶權是個人控制自己信息的前提條件

有學者認為，個人信息可攜帶權與信息所有權的產權方法密切相關(20)Peter Swire & Yianni Lagos，“Why the right to data portability likely reduces consumer welfare：Antitrust and privacy critique”，MD.L.REV.，Vol.72，2013，pp.335-373.。但這些觀點似乎僅關注了Rubinstein所說的 “與財產有關的行為，如交易、交換或出售數(shù)據”(21)Rubinstein，Big data，“The end of privacy or a new beginning?”，International Vata Privaly Law，Vol.3，No.2，2013，pp.74-83.，而忽略了產權的定義要素——排除權?！柏敭a”這一概念的含義是針對整個世界的有形或無形物體的任何利益(具有所謂的普遍效力(22)Nadezhda Purtova，“Property rights in personal data：A European perspective”，Kluwer Law Incernational Press，2011，pp.57.)。信息可獲取性或傳輸能力，并不是財產的必要定義特征。如果個人信息可攜帶權是產權，則具有保障權利人帶著他的個人信息離開某一網絡平臺或服務的功能?？v觀《個人信息保護法》全文，其關于個人信息可攜帶權的規(guī)定并沒有產生這種排除的權利：只有權利人行使《個人信息保護法》第47條的請求刪除權才能獲得完整的信息所有權——但是信息可攜帶權的行使并不會自動觸發(fā)刪除請求。因此，個人信息可攜帶權難以滿足“排除權”這一所有權的核心要求，僅宣示性地規(guī)定了個人享有“請求查閱、復制、轉移信息”的權利，這些內容僅僅是開啟“使用、收益、處分”個人信息權利內容的前提。如果個人不能控制(占有)個人信息，那么個人信息可攜帶權不過是空中樓閣。

3.小結

“數(shù)據可移植性的主要目的是加強個人的控制……并確保他們在數(shù)據生態(tài)系統(tǒng)中發(fā)揮積極作用?！?23)Art.29 Data Protection Working Party，Guidelines on the Right to Data Portability，16/EN WP 242 rev.01 (Apr.5，2017)，at 7.個人信息可攜帶權的初衷是通過賦予權利人對個人信息的查閱、控制、訪問、轉移而實現(xiàn)信息控制權，從而促進信息在不同網絡平臺之間自由流動。但在我國《個人信息保護法》框架下，個人對自己信息的控制需要“個人信息處理者提供轉移路徑”才能實現(xiàn)，這種“懸于半空”的個人信息權僅是個人對自己信息控制的前提條件，是立法創(chuàng)設的新型權利。

(二)不完全信息自決權之證成

《個人信息保護法》第45條規(guī)定的個人信息可攜帶權難以劃入傳統(tǒng)權利的范疇，本文從立法目的、體系解釋、適用現(xiàn)狀等方面闡釋個人信息可攜帶權的“新”內涵，探索其“懸于半空”的新型權利特征。

1.權利內容新——本質上是個人信息“控制權”。相較于傳統(tǒng)民法通過占有實現(xiàn)對權利的控制，個人信息可攜帶權通過權利人的請求權開啟對信息的控制?！巴ㄟ^個人控制他們的信息來加強信息流通”是《個人信息保護法》第一條“促進個人信息合理利用”的應有之義，故信息可移植性被視為信息保護基本權利的一部分。因此，個人對信息的查閱權、復制權和請求轉移權目的都在于確保個人對自己信息的控制。《個人信息保護法》第45條規(guī)定了信息轉移的兩種途徑：個人請求復制個人信息，然后自己轉移到新的網絡平臺；個人請求原網絡平臺將個人信息轉移至其指定的個人信息處理者。所以，個人可以自行決定是否以及在何種范圍內轉移自己的信息，本質上是個體對自己信息的控制權和支配權(24)張憶然：《大數(shù)據時代“個人信息”的權利變遷與刑法保護的教義學限縮》。。

2.權利模式新——以“賦權—義務”為核心，權利實現(xiàn)期限不確定?！秱€人信息保護法》第45條強調信息處理者對權利人的申請“應當及時提供”和“提供轉移的路徑”等義務，意在探索在目前技術可行的框架內權利人和信息處理者共同協(xié)作的信息可攜帶權實現(xiàn)模式——信息權利人向信息處理者提出信息訪問、復制等請求，并且在信息處理者同意時才能移植。但無論哪種個人信息轉移方式，都需原信息處理者配合才能實現(xiàn)。如果個人將自己的信息傳輸?shù)搅硪痪W絡平臺的技術要求、經濟成本過高的話，個人可能無法實現(xiàn)傳輸目的。而且，《個人信息保護法》未規(guī)定信息控制人向信息主體移交信息副本的任何期限——雖然“個人請求查閱、復制其個人信息的，個人信息處理者應當及時提供”，但“及時”究竟是多長時間，各網絡平臺并未有一致的做法；在“個人信息處理者應當提供轉移的途徑”的情況下，信息處理者在多少工作日內提供轉移途徑，也未有定論。眾多中小網絡平臺由于管理不規(guī)范、技術不成熟等原因，滿足信息主體實現(xiàn)信息可攜帶權要求的時間恐怕相當漫長。

3.權利實現(xiàn)方式新——信息處理者“提供”轉移路徑?！秱€人信息保護法》第45條規(guī)定的請求查閱權、復制權和請求轉移權在一定程度上保證了權利人的信息自主性。這一條款中信息處理者的“提供”則有不同的解釋。在最狹義的意義上，“提供”是指信息處理者自愿提供或主動披露信息——如通過填寫表格或回答問卷提供信息。更廣泛的解釋還包括 “被動提供”的信息，或通過使用控制器提供的設備或服務觀察到的信息。最廣泛的解釋將包括信息處理者以合同或同意為由處理的所有信息?！疤峁备拍畹哪：缦逕o疑對個人行使信息可攜帶權帶來困難，但在某種意義上能夠促使信息處理者刪除相關信息——當原始信息不再需要嚴格處理時，不愿意分享的信息處理者將被促使刪除這些信息。無論是信息主體促使信息處理者行使刪除權，還是請求信息處理者“提供”信息，都是《個人信息保護法》的首創(chuàng)，是個人信息可攜帶權實現(xiàn)方式的創(chuàng)新。

4.小結

信息可攜帶權是權利人將個人信息移動到另一個控制者的可能性，其初衷是確保信息主體對其信息的控制，從而保證信息自決權的實現(xiàn)?！秱€人信息保護法》第45條中信息可攜帶權包括請求訪問權、獲得副本的權利和信息傳輸?shù)臋嗬?。盡管這些權利增強了權利人的信息自決權實現(xiàn)的可能性，但信息控制的實現(xiàn)仍有賴于信息處理者“提供”轉移路徑。故我國個人信息可攜帶權雖然具有內容新、模式新、實現(xiàn)方式新等特點，但本質上是一種不完全的控制權。雖然信息處理者具有配合義務，但法律并未規(guī)范履行該義務的保障措施，導致個人對自己的信息僅有部分控制權。

四、個人信息可攜帶權之部分控制權效應

個人信息可攜帶權源于歐美法律中個人對自己信息的控制權，但因種種限制，我國法律僅賦予權利人不完全的信息自決權。其結果是，個人信息自由流通的力度受限，該權利促進有序競爭的功能受到影響。那么，在我國司法實踐中，哪些技術難題阻礙權利個人信息可攜帶權的實現(xiàn)？這種立法模式對信息行業(yè)的競爭秩序具有什么影響？

(一)個人信息流通受限

權利人對個人信息的控制是信息流通的前提，然后權利人才能將個人信息傳輸至另一網絡平臺。根據《個人信息保護法》第45條，權利人可通過復制信息掌握信息內容，同時通過行使《個人信息保護法》第47條的刪除權來獲得信息所有權。通常情況下，權利人會同時提交復制權和刪除權兩項請求，將個人信息全部控制在自己手中。權利人請求原平臺將個人信息轉移至指定的個人信息處理者，當原平臺怠于或不愿轉移信息時，個人信息流通將受到限制。GDPR第29工作組在數(shù)據可移植性指南中提出，除了防止服務鎖定外，信息可攜帶權“本質上是在數(shù)據主體的控制下……促進數(shù)據控制者之間個人數(shù)據的創(chuàng)新和共享機會”(25)Peter Swire，“Why the right to dada portability likely reduces consumer welfare：Antitrust and privacy critique”，Maryland Law Review，No.2，2013，pp.346-371.。相較之下，我國個人信息可攜帶權僅規(guī)定了不完全的個人信息控制，自然難以使個人信息在流通中發(fā)揮應有作用。

(二)技術難題阻礙個人信息可攜帶權的實現(xiàn)

《個人信息保護法》第45條要求信息處理者應權利人申請履行“應當及時提供”和“應當提供轉移的路徑”義務，是個人信息可攜帶權實現(xiàn)的必要條件。個人信息處理者不履行配合義務，會給權利人增加負擔，主要表現(xiàn)為以下方面。

1.轉換成本高、效果差

相較于GDPR提出的“結構化的、常用的和機器可讀的”互操作性技術，我國法律并未規(guī)定技術規(guī)則，權利人可能因信息處理者的不配合行為難以行使信息可攜帶權。如果用戶在一個平臺上擁有大量數(shù)據，那么他切換到另一個平臺可能會付出巨大的代價。例如，甲將自己在亞馬遜Goodreads平臺上閱讀的數(shù)百本書的評分移植到另一平臺時，他必須手動輸入自己閱讀的每本書的評分，巨大的工作量導致他不得不考慮是否移植信息。因此，轉換成本成為信息移植的一大障礙。如果個人信息難以便捷地導入新網絡平臺，那么“鎖定”問題依然會阻止數(shù)據流通，導致立法目的難以實現(xiàn)。在缺乏互操作性的情況下，即使信息具有可移植性，網絡鎖定效應也會持續(xù)存在。例如，一方面，便攜性允許Facebook用戶一次性將他們的圖片、消息和聯(lián)系人傳輸?shù)剿麄兊腟napchat賬戶；另一方面，互操作性允許Facebook用戶直接發(fā)布到朋友的Snapchat或與他們實時分享狀態(tài)更新。雖然Facebook有導出功能，允許用戶下載他的所有信息，并將其帶到其他地方，但當用戶所有的朋友都被鎖在Facebook里時，用戶將信息轉移到Snapchat平臺也無法實現(xiàn)信息流通目的。

2.突破訪問設置難

歐美數(shù)據可攜帶權中的“互操作性”要求實際賦予科技企業(yè)開放數(shù)據的義務，因為數(shù)據是一種非競爭性、非排他性的資源。但在某些情況下，平臺可以對某些數(shù)據設置排他的訪問權限，如物聯(lián)網溫度計公司可能對有關患者體溫的數(shù)據有獨特的訪問權限，石油公司可能對特定的地熱數(shù)據有獨特的訪問權限。信息可移植性可以在一定程度上削弱獨特數(shù)據訪問的優(yōu)勢，而互操作性是突破訪問設置的重要方法。數(shù)據發(fā)送方可能出于不想因為過多的數(shù)據致使接收器過載，或者為了自己的利益而希望保留數(shù)據等想法，隱瞞其收集的某些數(shù)據。為推行互操作性措施，英國商業(yè)創(chuàng)新與技能部正推進 Midata的可移植性計劃來降低金融科技領域獨特數(shù)據訪問的障礙，讓消費者使用Midata下載他們的歷史銀行交易數(shù)據，以便他們可以使用價格比較工具來查看他們是否可以將數(shù)據轉移到另一家銀行來節(jié)省開支。目前我國法律并未明確信息移植技術問題的應對方法，如何突破技術障礙，是個人信息控制權實現(xiàn)必須正視的問題。

(三)影響競爭秩序的附隨效應擴大

1.信息可攜帶權無法引導有序競爭

我國個人信息可攜帶權是不完全的控制權，導致其附隨的競爭效應凸顯。信息可攜帶權的目的是賦予信息主體控制權，確保信息主體從信息控制者處獲取其個人數(shù)據，并可以便捷地轉移到另一信息控制者。權利人只有在新的網絡平臺上同意將用戶的個人數(shù)據導入其自己的數(shù)據庫時，信息可攜帶權才能實現(xiàn)。由于不同社交軟件具有各自的數(shù)據格式和不同的數(shù)據庫結構，數(shù)據控制器很難合并另一個控制器提供的數(shù)據。權利主體難以在不同網絡平臺轉移個人數(shù)據時，信息可攜帶權無法有效引導網絡企業(yè)的有序競爭。

2.信息可攜帶權形塑競爭規(guī)則

《個人信息保護法》第45條不僅是對個人信息可攜帶權的確認，而且可能對競爭格局產生廣泛的影響。一方面，信息可移植性可以促進競爭，促進移植信息的重新利用，并刺激信息分析服務的發(fā)展。根據《個人信息保護法》第45條，信息移植不僅可以使權利人將信息傳輸給原網絡平臺的直接競爭對手，還有利于權利人利用不同平臺的互補增值服務進行產品比較。另一方面，明確信息格式以及信息處理程序的標準化和互操作性可能限制競爭。標準化有助于實現(xiàn)可攜帶權，也有可能帶來負面后果，即一旦選擇了特定的標準，新技術的發(fā)展就會停滯不前，因為市場參與者傾向于提供符合約定標準的產品和服務，影響網絡技術創(chuàng)新的應用市場。

當前信息可攜帶權的規(guī)定傾向于幫助具有強大網絡效應的現(xiàn)有平臺吸引用戶、降低轉換成本，實際上可能會損害網絡規(guī)模較小的競爭對手(26)參見羅小芳、王素素：《數(shù)字經濟、就業(yè)與勞動收入增長》，《江漢論壇》2011年第11期。。例如，初創(chuàng)小型企業(yè)可能會選擇更小、更便宜的客戶關系管理平臺，當他們擁有更多客戶，并希望更好地進行系統(tǒng)集成時，初創(chuàng)公司會通過購買第三方工具或付費請專家來轉換客戶信息而盡快切換到更大的客戶管理平臺，此時巨大的轉換成本將限制其競爭力。

五、我國信息可攜帶權之實現(xiàn)路徑

如果信息處理者不履行《個人信息保護法》第45條“及時提供信息”“提供轉移的途徑”的義務，不但導致個人信息可攜帶權無法實現(xiàn)，而且可能構成損害其他經營者的合法權益、擾亂社會經濟秩序的不正當競爭行為。當前，《網絡數(shù)據安全管理條例(征求意見稿)》《禁止網絡不正當競爭行為規(guī)定(公開征求意見稿)》等法律法規(guī)對個人信息可攜帶權的實現(xiàn)發(fā)揮著重要功能。

(一)現(xiàn)行法律責任之不足

GDPR頒布前，歐盟前競爭事務專員阿爾穆尼亞 (Almunia) 在一次演講中明確表示，數(shù)據可攜帶權“觸及競爭政策的核心”，“保障客戶通過隨身攜帶自己的數(shù)據進行轉換的市場，才能進行有效競爭”(27)Press Release，Joaquin Almunia，“Competition Comm’r，European Comm’n，Remarks on Competition and Personal Data Protection at the Privacy Platform Event：Competition and Privacy in Markets of Data in Brussels”，(Nov.26，2012)，http：//europa.eu/rapid/press-release SPEECH-12-860_en.html.。如果占主導地位的網絡公司不允許用戶隨身攜帶他們的數(shù)據，歐盟委員會或國家競爭主管機構可以根據競爭法進行干預。

《個人信息保護法》和《中華人民共和國反不正當競爭法》(以下簡稱《反不正當競爭法》)都規(guī)定了對信息處理者不履行義務的行為追究法律責任的條款?！斗床徽敻偁幏ā返?2條規(guī)定，經營者不得利用技術手段“惡意對其他經營者合法提供的網絡產品或者服務實施不兼容行為”。信息控制者拒不提供信息轉移的技術、途徑的行為，自然會妨礙、破壞其他經營者合法提供的網絡產品或者服務的市場占有率，符合《反不正當競爭法》第12條的規(guī)定。《反不正當競爭法》第24條規(guī)定的懲罰措施(28)《反不正當競爭法》第24條規(guī)定：“經營者違反本法第十二條規(guī)定妨礙、破壞其他經營者合法提供的網絡產品或者服務正常運行的，由監(jiān)督檢查部門責令停止違法行為，處十萬元以上五十萬元以下的罰款；情節(jié)嚴重的，處五十萬元以上三百萬元以下的罰款。”直指“拒不提供信息轉移義務”的違法行為，但違法行為是否在信息網絡市場占有相當比例，違法行為是否擾亂了信息網絡市場秩序進而構成不正當競爭，并不容易認定。與之相對，《個人信息保護法》第66條規(guī)定，“處理個人信息未履行本法規(guī)定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務”。這一處罰措施不利于“信息流通”，反而會導致個人信息因原平臺的應用程序終止而無法訪問。因此，《個人信息保護法》和《反不正當競爭法》都難以對個人信息可攜帶權的實現(xiàn)提供有效保障。

(二)明確網絡平臺不得阻礙個人信息流通

信息處理者不提供“信息轉移途徑”義務的行為妨礙網絡有序競爭，亟須新的立法進行規(guī)制。信息可攜帶權是初創(chuàng)企業(yè)和中小企業(yè)進入 Facebook、谷歌等 “IT 巨頭”主導的數(shù)據市場的重要保障，這為企業(yè)參與市場競爭提供了一個公平的機會(29)卓力雄：《數(shù)據攜帶權的基本問題與中國應對》，《行政法學研究》2019年第6期。。當信息處理者不履行“提供信息”等義務時，權利人或受影響的網絡服務商很難證明自己的權利受到現(xiàn)實可見的、物理的損害。當阻礙信息移植的行為尚未發(fā)生實害結果時，受害人很難根據《反不正當競爭法》獲得救濟。為引導網絡空間競爭有序，“確保真正選擇優(yōu)質產品和服務來保持市場開放和保護消費者”(30)參見阿里巴巴集團“二選一”壟斷行為案的行政處罰決定書(國市監(jiān)處[2021]28號)與行政指導書。雖然市場監(jiān)管總局依據《反壟斷法》處罰阿里巴巴集團“二選一”行為，但該“二選一”行為亦構成違反《反不正當競爭法》第2條或第12條的不正當競爭行為。，2021年市場監(jiān)管總局公布《禁止網絡不正當競爭行為規(guī)定(公開征求意見稿)》，該規(guī)定第13條明確提出，“經營者不得利用數(shù)據、算法等技術手段，通過影響用戶選擇或者其他方式，實施流量劫持、干擾、惡意不兼容等行為，妨礙、破壞其他經營者合法提供的網絡產品或者服務正常運行”，第14條規(guī)定“經營者不得實施妨礙、干擾其他經營者合法提供的網絡產品或者服務的行為”。信息處理者“鎖定”用戶信息的情況屬于“利用數(shù)據、算法等技術”顯著性地影響其他經營者合法權益的行為，即當且僅當一項數(shù)據、算法驅動型競爭行為能夠顯著妨礙、破壞其他經營者合法提供的網絡產品或者服務正常運行時，該項網絡競爭行為可能構成不正當競爭行為。

司法實踐中，信息處理者妨礙、破壞違法行為的類型與嚴重程度以及預估的妨礙、破壞違法行為對競爭的影響(31)翟巍：《數(shù)據、算法驅動型不正當競爭行為的規(guī)制路徑》，《法治研究》2021年第6期。都是判斷不正當競爭的具體標準。騰訊訴搜道網絡案的判決指出“數(shù)據可攜帶權是指數(shù)據主體有權獲取其提供給控制者的相關個人數(shù)據”，但同時亦對該項權利的行使設置了一定的條件，不僅要求“數(shù)據遷移每一方均需采取嚴格的隱私保護等安全措施，同時也明確禁止未經授權的數(shù)據轉移”?！皩τ谖⑿艂€人數(shù)據的遷移，要充分保障網絡用戶的合法權益，更要禁止數(shù)據領域的不正當競爭行為”(32)浙江省杭州市(2019)浙8601民初1987號判決書。。因此，當網絡平臺拒絕履行《個人信息保護法》第45條的義務、阻礙信息流通時，可能構成不正當競爭行為。缺乏信息可移植性將會限制消費者選擇競爭產品，如果科技企業(yè)涉嫌排他性濫用，可能造成競爭對手進入壁壘，這種限制市場和技術發(fā)展的行為將會對消費者造成誤導(33)陳兵：《數(shù)據時代開啟消費者多元共治新格局》，《東北師大學報(哲學社會科學版)》2022年第2期。，甚至構成利用技術手段實施妨礙、干擾不正當競爭行為。當前司法判決已先行邁出“網絡平臺不得阻礙個人信息流通”步伐，法律規(guī)范應進一步完善信息可攜帶權的實現(xiàn)路徑。

(三)完善信息可攜帶權實現(xiàn)的操作指引

《禁止網絡不正當競爭行為規(guī)定(公開征求意見稿)》尚未生效前，網絡信息企業(yè)采取補救措施是避免反不正當競爭處罰的有效舉措。谷歌濫用支配地位案中(34)For Commitments of Google，see Case COMP/C-3/39.740 Foundem and others，April 3，2013，paras.27-31，2013 O.J.，http：//ec.europa.eu/competition/antitrust/cases/decdocs/39740/39740 8608_5.pdf.，聯(lián)邦貿易委員會與谷歌進行談判，要求谷歌停止使搜索引擎提供商對廣告商施加義務，以阻止他們將廣告活動轉移到競爭平臺。當谷歌自愿讓步以取消對 AdWords 的限制時，聯(lián)邦貿易委員會結束了調查。另一方面，當信息是競爭對手在市場上推出自己的產品或服務所必不可少的條件時，共享信息義務是充分競爭的必然要求。在企業(yè)合并的情況下，信息可移植性或信息共享的補救措施可以作為防止“顯著阻礙有效競爭”的工具發(fā)揮作用，2008年湯姆森/路透社合并決定中采用的補救措施即是先例。這種補救措施允許信息庫的購買者在與合并實體的競爭中迅速將自己確立為市場上可靠的競爭力量。法院在Alrosa案中明確表示，提出承諾的企業(yè)在侵權決定中“有意識地接受他們做出的讓步”有助于消除侵權后果的不利影響(35)CJEU，European Comm’n v.Alrosa Co.，Case C-441/07 P，ECL：EU：C：2010：377，para.48 (June 29，2010).。這些案例表明，美國競爭管理機構將實現(xiàn)數(shù)據可移植性作為競爭問題的補救對策。目前，我國并沒有強制數(shù)據轉移的規(guī)定，可從完善技術操作指引方面加以規(guī)制。

《信息安全技術個人信息安全規(guī)范》和《網絡數(shù)據安全管理條例(征求意見稿)》細化了信息可攜帶權實現(xiàn)的可操作性要求?！缎畔踩夹g個人信息安全規(guī)范》第8.6條規(guī)定，信息控制者應個人信息主體的請求，在技術可行的前提下將上述信息傳輸給指定的第三方。我國《網絡數(shù)據安全管理條例(征求意見稿)》對信息可攜帶權實現(xiàn)也規(guī)定了明確的可操作性條款。該條例第20、23、24條針對信息可攜帶權的實現(xiàn)做了明確規(guī)定：第20條要求制定個人信息處理規(guī)則并嚴格遵守，明確“個人查閱、復制、更正、刪除、限制處理、轉移個人信息，以及注銷賬號、撤回處理個人信息同意的途徑和方法”；第23條要求數(shù)據處理者對個人信息查閱、復制等申請“不得設置不合理條件”，“應當在十五個工作日內處理并反饋”；第24條規(guī)定數(shù)據處理者對個人信息轉移要求“應當為個人指定的其他數(shù)據處理者訪問、獲取其個人信息提供轉移服務”。該條例中上述條款是對個人信息可攜帶權實現(xiàn)的具體化，但“技術可行”“不合理條件”如何判斷，可參考“攜號轉網”(36)我國曾開展“攜號轉網”服務以強化用戶對信息的控制權，是信息可攜帶權中國實踐的破冰之行。2019年工信部頒布《攜號轉網服務管理規(guī)定》，中國移動、中國聯(lián)通和中國電信三大基礎運營商隨之發(fā)布固定號碼攜號轉網和移動號碼攜號轉網服務細則。這一服務實際是通過網信企業(yè)之間的互操作性來完成個人信息轉移，對促進市場競爭、優(yōu)化市場結構具有推動作用。中互操作性的模式。

從技術角度看，互操作性有“API導出”和“集體移植”兩種路徑。API能夠避免一次性導出成本過高(如長時間的數(shù)據備份)問題，能夠更快速(通常在幾分之一秒內)和更頻繁地訪問更小的信息塊。利用API技術，使用Facebook“登錄”按鈕等流線型設計元素可提供無縫的傳輸體驗，還能夠進一步降低轉換成本和返回現(xiàn)有服務的成本(37)目前，API跨系統(tǒng)可提取市場訂單信息、鉆孔信息編輯、流程信息編輯及批量導出報表的開發(fā)及應用。參見李建華、張凱瑞、王?。骸禝nPlan系統(tǒng)的API開發(fā)及應用》，《印制電路信息》2019年第6期。。“集體移植”指網絡用戶能夠輕松地將他們的信息傳輸?shù)搅硪粋€網絡平臺，并將原賬戶中關聯(lián)的好友信息一并傳輸。集體移植可將多人共享的數(shù)據包含在傳輸中，使其在不侵犯用戶隱私的情況下打包并批量傳輸數(shù)據，而且能夠降低轉換成本。例如，集體移植能夠使用戶在切換到新平臺時將原平臺上的朋友一起轉移，這有助于促進新生的社交網絡發(fā)展。集體移植還降低了共享數(shù)據的用戶組的轉換成本。隨著人工智能技術的不斷成熟，建議《網絡數(shù)據安全管理條例(征求意見稿)》在附則中規(guī)定信息可攜帶權在技術上的互操作性，明確API導出和集體移植路徑，為個人信息可攜帶權的實現(xiàn)提供技術保障。

六、結 語

保障個人信息的控制權與促進信息網絡有序發(fā)展是個人信息可攜帶權的重要內涵?！秱€人信息保護法》采取“權利人請求+義務人配合”的模式規(guī)定個人信息可攜帶權，屬于不完全的信息控制權，無法有效發(fā)揮信息在控制者和權利人之間再利用的功能，導致其客觀上擴大了該條款對競爭秩序的影響效應。當前，《禁止網絡不正當競爭行為規(guī)定(公開征求意見稿)》《網絡數(shù)據安全管理條例(征求意見稿)》是規(guī)制網絡市場秩序的主要依據，建議《網絡數(shù)據安全管理條例(征求意見稿)》在附則中明確信息可攜帶權實現(xiàn)的技術路徑，為數(shù)字中國建設添磚加瓦！