王世海 鄧 騰

（北京交通大學(xué)法學(xué)院 北京 100048）

近幾年，互聯(lián)網(wǎng)產(chǎn)業(yè)迅速發(fā)展，互聯(lián)網(wǎng)企業(yè)開始走出國(guó)門，而我國(guó)的數(shù)據(jù)保護(hù)相關(guān)立法才開始啟動(dòng)，立法工作明顯落后于數(shù)字產(chǎn)業(yè)的快速發(fā)展，國(guó)內(nèi)對(duì)于引入數(shù)據(jù)可攜權(quán)的反對(duì)之聲不斷出現(xiàn)?！秱€(gè)人信息保護(hù)法》對(duì)數(shù)據(jù)可攜權(quán)的確立反映出國(guó)家對(duì)個(gè)人信息的重視程度不斷加強(qiáng)，但是法律條文只概括地規(guī)定了權(quán)力行使要件以及義務(wù)者，并未具體規(guī)定適用條件和范圍等，而是授權(quán)國(guó)家網(wǎng)信部門加以規(guī)定，在司法實(shí)踐中，無法提供有效指引，便會(huì)使權(quán)力被束之高閣。

一、比較法視角下的數(shù)據(jù)可攜權(quán)

數(shù)據(jù)可攜權(quán)在我國(guó)的設(shè)立是十分必要的，隨著大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，數(shù)據(jù)保護(hù)的相關(guān)立法不能過分滯后于數(shù)據(jù)發(fā)展需要，在法律保護(hù)層面要與數(shù)據(jù)發(fā)展相適應(yīng)，如制度規(guī)定和適用得當(dāng)，數(shù)據(jù)可攜權(quán)不僅有利于破除數(shù)據(jù)封鎖，促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展，有利于實(shí)現(xiàn)數(shù)據(jù)主體對(duì)數(shù)據(jù)的控制權(quán)，實(shí)現(xiàn)數(shù)字中國(guó)戰(zhàn)略目標(biāo)。

（一）GDPR 與《個(gè)人信息保護(hù)法》下的數(shù)據(jù)可攜權(quán)。歐盟《通用數(shù)據(jù)保護(hù)條例》中規(guī)定數(shù)據(jù)可攜權(quán)包括“副本獲取權(quán)”和“數(shù)據(jù)轉(zhuǎn)移權(quán)”。我國(guó)的《個(gè)人信息保護(hù)法》對(duì)信息可攜權(quán)的具體內(nèi)容也有所區(qū)分，“可攜”的“攜”，一是復(fù)制，二是傳輸，因而信息可攜權(quán)又分為復(fù)制權(quán)和傳輸權(quán)，構(gòu)成信息可攜權(quán)的整體[1]（P100）。不過，兩部法律在具體規(guī)定方面也是有所區(qū)別的。第一，對(duì)傳輸格式的規(guī)定不同。GDPR規(guī)定數(shù)據(jù)可攜權(quán)的客體應(yīng)符合“結(jié)構(gòu)化、通用和機(jī)器可讀”的特征，明確排除了我們常適用的PDF 格式，因?yàn)槠浜罄m(xù)難以對(duì)信息再次利用修改；反觀我國(guó)法律，卻未對(duì)可攜帶的數(shù)據(jù)的格式展開進(jìn)一步說明[2]。第二，傳輸?shù)膶?shí)現(xiàn)不同，按照GDPR的規(guī)定，數(shù)據(jù)控制者不得為主體可攜帶權(quán)的行使設(shè)立阻礙，不得“無故拖延”，并且應(yīng)當(dāng)在自身收到用戶請(qǐng)求后的一個(gè)月內(nèi)采取行動(dòng)，重大復(fù)雜疑難情況可以延長(zhǎng)，反觀我國(guó)并未具體規(guī)定數(shù)據(jù)控制者處理請(qǐng)求的具體時(shí)間；第三，GDPR要求權(quán)利的行使必須在相關(guān)監(jiān)管機(jī)構(gòu)的監(jiān)督之下進(jìn)行，確立了權(quán)利受到侵害時(shí)的救濟(jì)途徑以及數(shù)據(jù)控制者的責(zé)任承擔(dān)方式。反觀我國(guó)法律，只是簡(jiǎn)單規(guī)定了權(quán)力形式要件以及義務(wù)者。第四，GDPR規(guī)定，數(shù)據(jù)主體申請(qǐng)過于頻繁或者缺乏依據(jù)，可以考慮數(shù)據(jù)控制者的利益，讓其收取一定的費(fèi)用，但是我國(guó)法律并未提到此點(diǎn)。因此筆者認(rèn)為，我國(guó)《個(gè)人信息保護(hù)法》對(duì)數(shù)據(jù)可攜權(quán)的規(guī)定僅僅停留在表面，還未做出實(shí)質(zhì)規(guī)定，因此我國(guó)的數(shù)據(jù)相關(guān)立法急需做出回應(yīng)。

（二）數(shù)據(jù)可攜權(quán)的權(quán)利屬性。歐盟將數(shù)據(jù)可攜權(quán)作為一種新型的公民基本權(quán)利，是互聯(lián)網(wǎng)時(shí)代的必然產(chǎn)物，從數(shù)據(jù)可攜權(quán)的首次提出到如今，已經(jīng)經(jīng)歷了不斷地調(diào)整與修改，基本上已經(jīng)形成了一套完備的可攜權(quán)體系。我國(guó)，有很大一部分學(xué)者認(rèn)為，數(shù)據(jù)可攜權(quán)并不具有成為一種基本權(quán)利的條件。他們認(rèn)為，該權(quán)利可能很難落地或帶來新的風(fēng)險(xiǎn)，數(shù)據(jù)可攜權(quán)對(duì)數(shù)據(jù)控制者賦予了過重的責(zé)任義務(wù)，無論是獲取與傳輸?shù)谋憷?，還是技術(shù)上的支持，在實(shí)踐中都是難以操作的，這些都表明了數(shù)據(jù)可攜權(quán)尚未具備成為一種成熟型權(quán)利的條件[3]。

筆者認(rèn)為，數(shù)據(jù)可攜帶權(quán)是數(shù)據(jù)時(shí)代下的一種新興權(quán)利，是個(gè)人信息權(quán)的一種類型，基于其自身的特殊性，從數(shù)據(jù)主體角度而言，既具有人格權(quán)屬性，也具有財(cái)產(chǎn)權(quán)屬性。數(shù)據(jù)可攜帶權(quán)是個(gè)人參與自己信息所帶來經(jīng)濟(jì)利益的分配的一種方式[4]，個(gè)人可以通過行使數(shù)據(jù)可攜帶權(quán)轉(zhuǎn)移自己的數(shù)據(jù)給其他有需求的數(shù)據(jù)控制者，從而獲取一定的經(jīng)濟(jì)利益，此時(shí)個(gè)人數(shù)據(jù)也就發(fā)揮了其自身更大的作用。

（三）數(shù)據(jù)可攜權(quán)的支配權(quán)性質(zhì)與請(qǐng)求權(quán)性質(zhì)。有學(xué)者認(rèn)為，數(shù)據(jù)主體不能根據(jù)自己的意愿直接攜帶數(shù)據(jù)，也不可能憑借單方的意思表示變更數(shù)據(jù)法律關(guān)系，而只能在一定情況下，請(qǐng)求數(shù)據(jù)控制者協(xié)助自己處理個(gè)人信息并且傳輸個(gè)人信息，在這個(gè)意義上，可攜權(quán)并非絕對(duì)權(quán)和支配權(quán)，而是一種請(qǐng)求權(quán)[5]。權(quán)利人是信息主體，義務(wù)人是信息控制者，權(quán)力的順利行使必須請(qǐng)求他人協(xié)助。而有些學(xué)者認(rèn)為，可攜權(quán)作為一種請(qǐng)求權(quán)，不影響其同時(shí)也是絕對(duì)權(quán)和支配權(quán)。支配權(quán)指對(duì)特定的物進(jìn)行支配，并排斥他人干涉的權(quán)利。數(shù)據(jù)可攜權(quán)是數(shù)據(jù)主體行使支配權(quán)的一個(gè)環(huán)節(jié)，這個(gè)環(huán)節(jié)就是獲取和轉(zhuǎn)移。其究竟是屬于支配權(quán)還是請(qǐng)求權(quán)需要判斷在權(quán)力的具體形式過程中是否需要依賴他人的行為，如果用戶可以獨(dú)立行使，此時(shí)則為支配權(quán)。雖然數(shù)據(jù)可攜權(quán)的行使過程中有信息控制者的參與，但是其本質(zhì)上僅是一種輔助行為，并非權(quán)力的主要行為[6]。

筆者認(rèn)為，數(shù)據(jù)可攜權(quán)的確立在一定程度上增強(qiáng)了數(shù)據(jù)主體對(duì)自身信息的控制權(quán)，為自己使用以及數(shù)據(jù)的流通利用提供了便利的同時(shí)增強(qiáng)了控制度，但是并不能據(jù)此將其認(rèn)定為一種具有控制與支配性的權(quán)利。

二、數(shù)據(jù)可攜權(quán)的現(xiàn)實(shí)困境

（一）可能威脅數(shù)據(jù)安全（身份授權(quán)和傳輸過程中）。數(shù)據(jù)可攜權(quán)也可能會(huì)危及到數(shù)據(jù)安全。首先，從用戶授權(quán)這個(gè)角度來說，《條例》僅概括性地規(guī)定了數(shù)據(jù)控制者要對(duì)數(shù)據(jù)主體的身份進(jìn)行驗(yàn)證，并未對(duì)具體的方式、程序以及通過標(biāo)準(zhǔn)進(jìn)行規(guī)定，這為后續(xù)的實(shí)踐帶來難題。WP29在后續(xù)的相關(guān)說明中也明確指出，對(duì)數(shù)據(jù)主體的身份驗(yàn)證必須作為行使數(shù)據(jù)轉(zhuǎn)移的前置程序，進(jìn)一步要求其提供相應(yīng)的文件證明身份合格，遺憾的是，其也并未對(duì)具體的操作方式做出規(guī)定與限制。實(shí)踐過程中，首先，給予了數(shù)據(jù)控制者一定的“自由裁量權(quán)”，由類似于“最終解釋權(quán)歸數(shù)據(jù)控制者所有”，其掌握主動(dòng)權(quán)，便可能會(huì)架空這一權(quán)利。其次，倘若數(shù)據(jù)控制者得到的是虛假的證明文件，即錯(cuò)誤授權(quán)于訪問者，訪問權(quán)行使后，一旦數(shù)據(jù)被下載，那么數(shù)據(jù)便處于極其危險(xiǎn)的境地，此時(shí)便不再受數(shù)據(jù)控制者和數(shù)據(jù)主體的控制，像“無主物”一樣飄散在互聯(lián)網(wǎng)上。

其次，《條例》要求數(shù)據(jù)傳輸需要符合“機(jī)器可讀”“常用”以及“互通化”，這幾點(diǎn)都具備，數(shù)據(jù)傳輸技術(shù)就會(huì)變得較為容易便利，卻因此增加了在傳輸過程中數(shù)據(jù)被“偷襲”的概率?！稐l例》規(guī)定數(shù)據(jù)主體有權(quán)無障礙地將這些數(shù)據(jù)傳輸給另一個(gè)數(shù)據(jù)控制者，即數(shù)據(jù)控制者為避免或阻礙數(shù)據(jù)主體或其他數(shù)據(jù)控制者的訪問、傳輸或重新使用數(shù)據(jù)而制造的任何法律、技術(shù)或財(cái)務(wù)障礙，也就意味著數(shù)據(jù)在傳輸過程中假如面臨被竊取等問題也無法得到救濟(jì)，哪怕數(shù)據(jù)控制者以合理的理由拒絕繼續(xù)傳輸數(shù)據(jù)，也有可能會(huì)被有心人說成是“制造障礙”。

筆者認(rèn)為，就數(shù)據(jù)傳輸過程中的數(shù)據(jù)安全問題而言，《條例》看似做出了相關(guān)規(guī)定，實(shí)則缺少一個(gè)與之配套的具體的細(xì)則說明和嚴(yán)密的安全保證體系，這也就成了歐盟數(shù)據(jù)可攜權(quán)實(shí)踐過程中的一大阻礙，廣大學(xué)者和法律從業(yè)人員也在積極探討，尋求出路。

（二）可能阻礙競(jìng)爭(zhēng)和創(chuàng)新。首先，數(shù)據(jù)可攜權(quán)的行使過程中可能會(huì)增加企業(yè)的相關(guān)成本，如滿足可攜權(quán)的要求之下而產(chǎn)生的合法與違法成本。從合法成本角度而言，若要符合《條例》所規(guī)定的內(nèi)容，企業(yè)就要盡可能地提高各項(xiàng)與數(shù)據(jù)傳輸相關(guān)的技術(shù)，如數(shù)據(jù)傳輸和數(shù)據(jù)安全保障技術(shù)。對(duì)于大企業(yè)而言，針對(duì)技術(shù)提高所做的資金以及各項(xiàng)增費(fèi)可能只是正常生產(chǎn)經(jīng)營(yíng)活動(dòng)中所需資金的一部分。但是對(duì)于小企業(yè)而言，這些過多的投入可能會(huì)讓本就不富裕的小微企業(yè)更是雪上加霜，實(shí)際與生產(chǎn)相關(guān)的經(jīng)營(yíng)活動(dòng)可能會(huì)資金短缺，從而影響企業(yè)發(fā)展。并且第29工作組發(fā)布的《個(gè)人數(shù)據(jù)可攜權(quán)指南》規(guī)定，數(shù)據(jù)控制者的配合義務(wù)做出了明確規(guī)定，即數(shù)據(jù)控制者的配合應(yīng)該是及時(shí)的、免費(fèi)的，這將會(huì)給數(shù)據(jù)控制者以額外負(fù)擔(dān)。從違法成本角度而言，《條例》第82條第2款規(guī)定，任何涉及到處理的控制者都應(yīng)當(dāng)對(duì)因?yàn)檫`反本條例的處理而受到的損害承擔(dān)責(zé)任。

其次，按照數(shù)據(jù)可攜權(quán)設(shè)立的最初設(shè)想：突破用戶鎖定后，使小企業(yè)在自身服務(wù)優(yōu)異的基礎(chǔ)之上擁有獲得數(shù)據(jù)資源的可能性，促進(jìn)市場(chǎng)的有效公平競(jìng)爭(zhēng)。不能排除的是，數(shù)據(jù)傳輸、數(shù)據(jù)流通往往是具有不確定性的，在數(shù)據(jù)從大企業(yè)流向小企業(yè)的同時(shí)，小企業(yè)的數(shù)據(jù)也很有可能流向大企業(yè)。在二者軟實(shí)力不相上下的情況下，大企業(yè)完全可以通過品牌效應(yīng)或者企業(yè)文化沉淀等，籠絡(luò)客戶，客戶也完全有可能基于品牌信賴選擇大企業(yè)，這便與反壟斷法“運(yùn)用公權(quán)力打擊壟斷”的初衷背離。

最后，整個(gè)數(shù)據(jù)可攜權(quán)的行駛過程可能會(huì)對(duì)數(shù)據(jù)控制者的知識(shí)產(chǎn)權(quán)和商業(yè)秘密產(chǎn)生威脅。企業(yè)在對(duì)其依法收集的個(gè)人數(shù)據(jù)進(jìn)行加工、處理后會(huì)形成自己的數(shù)據(jù)庫，這個(gè)數(shù)據(jù)庫相當(dāng)于是企業(yè)自己的“智力成果”，當(dāng)其滿足一定的條件后，這些數(shù)據(jù)就受到了商業(yè)秘密的保護(hù)甚至是知識(shí)產(chǎn)權(quán)的保護(hù)。將數(shù)據(jù)權(quán)力和知識(shí)產(chǎn)權(quán)相結(jié)合時(shí)，知識(shí)產(chǎn)權(quán)是對(duì)企業(yè)收集數(shù)據(jù)后產(chǎn)生的增量的那一部分賦予的排他性權(quán)力，企業(yè)通常以此換取數(shù)據(jù)的爬坡式增長(zhǎng)，從中獲益。而數(shù)據(jù)可攜權(quán)便是賦予了數(shù)據(jù)主體數(shù)據(jù)流轉(zhuǎn)的權(quán)利，這便與知識(shí)產(chǎn)權(quán)的排他性相違背。從商業(yè)秘密的角度而言，我國(guó)對(duì)商業(yè)秘密的自始保護(hù)大都是與不正當(dāng)競(jìng)爭(zhēng)聯(lián)系在一起的，在傳統(tǒng)的《競(jìng)爭(zhēng)法》和現(xiàn)有的司法實(shí)踐中，大都將對(duì)他人商業(yè)秘密的不法侵害認(rèn)為是一種不正當(dāng)競(jìng)爭(zhēng)。一個(gè)企業(yè)通過用戶行使數(shù)據(jù)可攜權(quán)而獲取別的企業(yè)的數(shù)據(jù)資源，此時(shí)便等于變相承認(rèn)可以通過行使數(shù)據(jù)可攜權(quán)獲取別人的商業(yè)秘密，這與立法的初衷相違背。

（三）技術(shù)障礙。《條例》規(guī)定在技術(shù)可行的情況下，數(shù)據(jù)主體可以行使數(shù)據(jù)可攜權(quán)。伊娃·菲亞洛娃指出，數(shù)據(jù)可攜權(quán)的相關(guān)規(guī)定并沒有賦予數(shù)據(jù)主體選擇以何種格式進(jìn)行數(shù)據(jù)處理的權(quán)利，同時(shí)也沒有要求數(shù)據(jù)控制者告知數(shù)據(jù)主體以何種形式進(jìn)行數(shù)據(jù)處理的義務(wù)。[7]

歐盟GDPR強(qiáng)調(diào)應(yīng)當(dāng)采用“結(jié)構(gòu)化、通用、機(jī)器可讀取的格式”，強(qiáng)調(diào)數(shù)據(jù)之間的直接傳輸。如此規(guī)定是為了形成數(shù)據(jù)轉(zhuǎn)移技術(shù)上的互通性，而不是加重?cái)?shù)據(jù)控制者自身建立兼容性傳輸系統(tǒng)的義務(wù)。但是在實(shí)踐中這點(diǎn)其實(shí)很難在彼此之間達(dá)成一致，如前文所述，會(huì)增加企業(yè)的各項(xiàng)成本，對(duì)小微企業(yè)來講也是一個(gè)不小的挑戰(zhàn)，加重了企業(yè)的負(fù)擔(dān)。

歐盟在《條例》出臺(tái)前也考慮到了這個(gè)問題，在序言中將所謂的“互通性”作為一種鼓勵(lì)性義務(wù)，要求如果數(shù)據(jù)控制者因?yàn)榧夹g(shù)方面的障礙而無法傳輸數(shù)據(jù)，則需要向數(shù)據(jù)主體做出說明。當(dāng)其作為非強(qiáng)制性義務(wù)時(shí)，在格式標(biāo)準(zhǔn)上有所保留，看似靈活，實(shí)則在一定程度上為數(shù)據(jù)控制者提供了拒絕理由?！盎ネㄐ浴痹趯?shí)踐中該如何證明呢？證明標(biāo)準(zhǔn)又是什么呢？負(fù)責(zé)評(píng)判斷定的主體又是誰呢？這在實(shí)踐中便會(huì)帶來一系列的問題，一是數(shù)據(jù)控制者可以此為理由拒絕提供和傳輸數(shù)據(jù)，此時(shí)數(shù)據(jù)主體也無能為力，數(shù)據(jù)可攜權(quán)的規(guī)定也就束之高閣了。二是當(dāng)一項(xiàng)義務(wù)不具有強(qiáng)制性時(shí)，義務(wù)的履行也就缺乏使之賦予實(shí)踐的外界壓力和內(nèi)在動(dòng)力。因此在數(shù)據(jù)傳輸過程中面臨的技術(shù)障礙問題急需被解決！技術(shù)可行是一個(gè)動(dòng)態(tài)化的過程，隨著科技的不斷發(fā)展進(jìn)步，“技術(shù)可行”這個(gè)“障礙”一定會(huì)被克服！

三、完善數(shù)據(jù)可攜權(quán)的具體規(guī)則設(shè)計(jì)

（一）數(shù)據(jù)獲取權(quán)的具體規(guī)范設(shè)計(jì)。

1.數(shù)據(jù)可攜權(quán)的權(quán)利主體。數(shù)據(jù)可攜權(quán)的主體應(yīng)當(dāng)是自然人，該自然人具有“可識(shí)別性”和“相關(guān)性”兩個(gè)特性。自然人的權(quán)利始于出生、終于死亡，因此死者不具有數(shù)據(jù)可攜權(quán)，但是賦予了其近親屬等一定的權(quán)益保障?！秱€(gè)人信息保護(hù)法》第49條規(guī)定:“自然人死亡的，其近親屬為了自身的合法、正當(dāng)利益，可以對(duì)死者的相關(guān)個(gè)人信息行使本章規(guī)定的查閱、復(fù)制、更正、刪除等權(quán)利；死者生前另有安排的除外。”

無論是歐盟《通用數(shù)據(jù)保護(hù)條例》，還是我國(guó)的《個(gè)人信息保護(hù)法》中對(duì)于數(shù)據(jù)可攜權(quán)的主體均未提到法人，這也就從反面說明了法人與其他非法人組織組織不是數(shù)據(jù)可攜權(quán)的主體，將其排除在外。法人和其他組織不具有人格權(quán)屬性，并且對(duì)法人的民事權(quán)益保護(hù)大都體現(xiàn)在財(cái)產(chǎn)權(quán)益方面，在其擁有的數(shù)據(jù)資料或者信息遭到侵犯時(shí)，大都通過反不正當(dāng)競(jìng)爭(zhēng)法和知識(shí)產(chǎn)權(quán)法加以保護(hù)。但是將數(shù)據(jù)可攜權(quán)的主體限制于自然人又會(huì)在很大程度上影響企業(yè)的積極性，因此我們可以借鑒歐盟數(shù)據(jù)可攜權(quán)的規(guī)定，將權(quán)利主體限定為自然人，考慮在競(jìng)爭(zhēng)法中增加企業(yè)的數(shù)據(jù)可攜權(quán)，從而保護(hù)企業(yè)的數(shù)據(jù)財(cái)產(chǎn)權(quán)益。

2.數(shù)據(jù)可攜權(quán)的義務(wù)主體。根據(jù)我國(guó)《個(gè)人信息保護(hù)法》規(guī)定，信息可攜權(quán)的義務(wù)主體是存儲(chǔ)、利用、處理信息主體有關(guān)其個(gè)人信息的信息控制者，即是應(yīng)信息主體要求負(fù)有信息復(fù)制和轉(zhuǎn)移義務(wù)的網(wǎng)絡(luò)服務(wù)提供商。

就義務(wù)主體而言，學(xué)界有兩種觀點(diǎn)，有學(xué)者認(rèn)為數(shù)據(jù)可攜權(quán)的義務(wù)主體不應(yīng)該局限于居于市場(chǎng)力量的大型網(wǎng)絡(luò)公司，主要理由有以下幾點(diǎn)：第一，對(duì)于具有市場(chǎng)力量的確定欠缺適當(dāng)?shù)臉?biāo)準(zhǔn)；第二，數(shù)據(jù)本身的價(jià)值具有不確定性，難以具體認(rèn)定；第三，區(qū)別對(duì)待不利于實(shí)現(xiàn)主體的信息自決權(quán)。[1]（P111）還有學(xué)者認(rèn)為應(yīng)該局限于具有市場(chǎng)力量的大型網(wǎng)絡(luò)公司，基于小企業(yè)同等的機(jī)會(huì)，從而促進(jìn)公平競(jìng)爭(zhēng)。[8]

我國(guó)可以將數(shù)據(jù)可攜權(quán)的義務(wù)主體進(jìn)行限縮性規(guī)定，將義務(wù)主體的范圍規(guī)定為大企業(yè)，適當(dāng)減少或豁免中小企業(yè)的信息傳輸義務(wù)，減少其合規(guī)成本，以平衡個(gè)人數(shù)據(jù)全一、數(shù)據(jù)市場(chǎng)競(jìng)爭(zhēng)秩序和創(chuàng)新，但是在實(shí)踐中如何判定需要具體進(jìn)一步規(guī)定。

此外，我們可以借鑒歐盟數(shù)據(jù)可攜權(quán)的規(guī)定，不能僅僅將義務(wù)主體限定在我國(guó)境內(nèi)的數(shù)據(jù)控制者。立法者應(yīng)當(dāng)從可能造成實(shí)際影響的角度，將義務(wù)主體分為三類：第一，設(shè)立在我國(guó)境內(nèi)且相關(guān)數(shù)據(jù)可攜行為發(fā)生在我國(guó)境內(nèi)的數(shù)據(jù)控制者；第二，設(shè)立在國(guó)外，但相關(guān)數(shù)據(jù)可攜行為發(fā)生在我國(guó)境內(nèi)的數(shù)據(jù)控制者；第三，設(shè)立在我國(guó)境內(nèi)，但是實(shí)際運(yùn)營(yíng)在域外的數(shù)據(jù)控制者。從而全方面保護(hù)用戶的數(shù)據(jù)可攜權(quán)。數(shù)據(jù)控制者不應(yīng)當(dāng)僅限于自然人，應(yīng)當(dāng)擴(kuò)大到法人、非法人組織等其他機(jī)構(gòu)。

3.數(shù)據(jù)可攜權(quán)的責(zé)任主體。為了保證數(shù)據(jù)可攜權(quán)的行使不被架空，保證個(gè)人信息數(shù)據(jù)轉(zhuǎn)移時(shí)更加順利，歐盟《通用數(shù)據(jù)保護(hù)條例》提出數(shù)據(jù)控制者在數(shù)據(jù)主體要求轉(zhuǎn)移數(shù)據(jù)時(shí)不得設(shè)立相關(guān)障礙，不得設(shè)立訪問障礙，傳輸障礙或者再次使用時(shí)的相關(guān)障礙，也就是不得設(shè)立技術(shù)上的相關(guān)障礙（技術(shù)不可行）。此點(diǎn)可以考慮借鑒歐洲銀行聯(lián)合會(huì)的相關(guān)規(guī)定：數(shù)據(jù)控制者或者技術(shù)服務(wù)者對(duì)于“技術(shù)不可行情況”應(yīng)該負(fù)有一定的證明義務(wù)，如果不能提供足夠證據(jù)證明，就不能妨礙數(shù)據(jù)可攜權(quán)的行使，按照用戶的要求履行一定的義務(wù)。反之，如果其可以證明“技術(shù)不可行”，的確存在相關(guān)的障礙，其也負(fù)有相關(guān)的證明義務(wù)，向用戶做出解釋說明。[9]

此外，作為個(gè)人，在網(wǎng)絡(luò)服務(wù)商這些大企業(yè)面前明顯處于劣勢(shì)地位，在日常的服務(wù)享受過程中，作為數(shù)據(jù)主體的用戶個(gè)人大都被要求同意一些事先擬定好的格式條款，并且用戶只有選擇使用與不使用的權(quán)利，在市場(chǎng)壟斷的情況下，只能被迫放棄自身的某些權(quán)利，選擇“同意”，這明顯是不合理的。以《360用戶服務(wù)協(xié)議》為例，該協(xié)議第3款規(guī)定：“鑒于網(wǎng)絡(luò)服務(wù)的特殊性，用戶同意360有權(quán)根據(jù)業(yè)務(wù)發(fā)展情況隨時(shí)變更、中斷或終止部分或全部的網(wǎng)絡(luò)服務(wù)而無須通知用戶，也無需對(duì)任何用戶或者第三方承擔(dān)責(zé)任。”該協(xié)議就是我們常說的格式條款，網(wǎng)絡(luò)服務(wù)商利用自己的天然優(yōu)勢(shì)地位，削減或者排除用戶權(quán)利，免除或者降低自己的責(zé)任，這明顯是不合理的。[10]

4.數(shù)據(jù)可攜權(quán)的客體。我國(guó)現(xiàn)行法律將攜權(quán)的客體規(guī)定為個(gè)人信息，個(gè)人信息是數(shù)據(jù)的內(nèi)容，而數(shù)據(jù)是個(gè)人信息的載體，數(shù)據(jù)是以電子方式記錄的個(gè)人信息，而個(gè)人信息不僅僅可以以數(shù)據(jù)方式記錄。因此筆者認(rèn)為我國(guó)法律規(guī)定的個(gè)人信息可攜權(quán)也將個(gè)人數(shù)據(jù)可攜權(quán)囊括其中。

《條例》從數(shù)據(jù)主體的角度對(duì)數(shù)據(jù)來源進(jìn)行限制，要求數(shù)據(jù)來源應(yīng)當(dāng)是“數(shù)據(jù)主體提供的與他或她相關(guān)的個(gè)人數(shù)據(jù)”，并且現(xiàn)有的立法和研究大都將可攜權(quán)限制在數(shù)據(jù)主體“知情且同意”的基礎(chǔ)之上，將其他方式排除在外。有學(xué)者認(rèn)為，隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的不斷發(fā)展，電信網(wǎng)絡(luò)詐騙案件層出不窮、無孔不入。倘若由將權(quán)利客體的范圍限定為主體親自提供的數(shù)據(jù)，此時(shí)便可以降低數(shù)據(jù)泄露風(fēng)險(xiǎn)，保護(hù)數(shù)據(jù)安全。因此這里所說的數(shù)據(jù)重點(diǎn)強(qiáng)調(diào)的是數(shù)據(jù)提供的主動(dòng)性與親歷性，應(yīng)當(dāng)由數(shù)據(jù)主體向數(shù)據(jù)控制者提供，數(shù)據(jù)可攜權(quán)只保護(hù)“主動(dòng)數(shù)據(jù)”而非“被動(dòng)數(shù)據(jù)”[1]（P100）。

事實(shí)上，數(shù)據(jù)控制者的數(shù)據(jù)來源不僅僅可以通過數(shù)據(jù)主體獲得，還可以通過其他的合法方式，如通過政府信息公開方式等獲取個(gè)人信息。在實(shí)踐中，如企業(yè)分別收集了A和B的社保數(shù)據(jù)，A的數(shù)據(jù)是其主動(dòng)提供的，但是B的社保數(shù)據(jù)是企業(yè)通過社保信息共享平臺(tái)獲得的，那么此時(shí)按照現(xiàn)有的立法，A可以行使數(shù)據(jù)可攜權(quán)，然后B卻不可以行使，那么明顯是不合理的，違背了平等原則。因此我們可以借鑒那些突破“知情同意”原則的立法，從實(shí)踐的角度出發(fā)，擴(kuò)大數(shù)據(jù)來源范圍。

現(xiàn)有的立法在數(shù)據(jù)可攜權(quán)的適用范圍方面大都達(dá)成的統(tǒng)一的觀點(diǎn)，將其規(guī)定在原始數(shù)據(jù)和觀測(cè)數(shù)據(jù)以內(nèi)，從而保護(hù)數(shù)據(jù)主體的權(quán)益。從企業(yè)財(cái)產(chǎn)權(quán)益保護(hù)的角度，將企業(yè)通過一定的數(shù)據(jù)加工分析，天然屬于智力成果的衍生數(shù)據(jù)排除在外，筆者認(rèn)為這是合理的，在此不再贅述。

（二）數(shù)據(jù)轉(zhuǎn)移權(quán)的具體規(guī)范設(shè)計(jì)。

1.數(shù)據(jù)轉(zhuǎn)移的技術(shù)基礎(chǔ)。數(shù)據(jù)可攜權(quán)實(shí)踐中最大的問題便是互通性問題，即技術(shù)上的可操作性，如何在保障數(shù)據(jù)安全的基礎(chǔ)之上實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)移也就成了最大的問題。美國(guó)實(shí)現(xiàn)可攜帶權(quán)的模式是建成DTP，是由谷歌、Facebook、微軟和推特四家公司聯(lián)合發(fā)起，它的原理非常簡(jiǎn)單，用戶通過通知甲平臺(tái)，把個(gè)人數(shù)據(jù)轉(zhuǎn)給乙平臺(tái)，然后甲乙雙方直接通過協(xié)議搞定數(shù)據(jù)傳輸。比如說Facebook 上存放的個(gè)人數(shù)據(jù)，一鍵就可以轉(zhuǎn)存到微軟的云上，在推特上的聯(lián)系人數(shù)據(jù)一鍵就能導(dǎo)入谷歌郵箱。這個(gè)模式最大的優(yōu)點(diǎn)就是很方便，但缺點(diǎn)就是巨頭壟斷，表面上數(shù)據(jù)開放了，實(shí)際上是巨頭之間的相互開放，如果規(guī)則是巨頭限定好的，那么小公司就只能接受，不能修改，這便是換了馬甲繼續(xù)壟斷。那么如何避免巨頭壟斷呢？韓國(guó)的MyData 模式做了另一種嘗試，政府發(fā)牌照，指定數(shù)據(jù)運(yùn)營(yíng)商對(duì)個(gè)人數(shù)據(jù)進(jìn)行統(tǒng)一儲(chǔ)存和管理，當(dāng)用戶通知甲平臺(tái)將數(shù)據(jù)轉(zhuǎn)給乙平臺(tái)，甲就先把數(shù)據(jù)傳到運(yùn)營(yíng)商那里，再由運(yùn)營(yíng)商查驗(yàn)用戶授權(quán)，再轉(zhuǎn)給乙。這個(gè)模式最大的優(yōu)點(diǎn)是引入了政府的權(quán)威，全程由政府監(jiān)管，但新的缺點(diǎn)就是利益沖突，持牌運(yùn)營(yíng)商本身也做業(yè)務(wù)，又當(dāng)裁判又當(dāng)運(yùn)動(dòng)員，比如韓國(guó)現(xiàn)在發(fā)的牌照，大都發(fā)給了大型金融科技公司，他們本身存在金融業(yè)務(wù)，由負(fù)責(zé)存放競(jìng)爭(zhēng)對(duì)手的數(shù)據(jù)，所以此種模式也不成功。美國(guó)和韓國(guó)現(xiàn)在的方法存在的問題仍舊是壟斷，只不過是用新壟斷代替舊壟斷。

那么中國(guó)有什么獨(dú)特的路可以反壟斷呢？《個(gè)人信息可攜帶權(quán)中國(guó)路徑倡議白皮書》提出，中國(guó)只有發(fā)揮產(chǎn)業(yè)區(qū)塊鏈的優(yōu)勢(shì)，才能真正繞開巨頭壟斷，走出一條自己的道路，區(qū)塊鏈?zhǔn)鞘奈逡?guī)劃的七大數(shù)字經(jīng)濟(jì)重點(diǎn)產(chǎn)業(yè)之一，產(chǎn)業(yè)區(qū)塊鏈這個(gè)優(yōu)勢(shì)可以解決個(gè)人信息可攜帶的問題，就是將韓國(guó)模式里的持牌運(yùn)營(yíng)商角色直接替換成中立的產(chǎn)業(yè)區(qū)塊鏈，把裁判員和運(yùn)動(dòng)員分開，區(qū)塊鏈融入之后會(huì)把全程可追溯、防篡改這些特性都帶入循環(huán)里面去，用戶可以把自己在各個(gè)app 里的數(shù)據(jù)一鍵導(dǎo)入到任何地方，整個(gè)存放過程需要由政府指定的權(quán)威機(jī)構(gòu)全程監(jiān)督，防止篡改和遺漏，這就解決了權(quán)威的問題，然后再由機(jī)構(gòu)將文件的哈希值存在中立的區(qū)塊鏈上，解決反壟斷的問題。

可以將哈希值理解為任何文件的數(shù)據(jù)指紋，一旦這個(gè)文件發(fā)生了微小的變化，指紋就會(huì)跟著變，也就是說，這個(gè)世界上沒有兩個(gè)文件的哈希值是完全相同的，正如沒有兩個(gè)人的指紋是完全相同的一樣，而這個(gè)哈希值的優(yōu)點(diǎn)就是它比原文件小很多，這就如我們快遞包裹上那個(gè)條形碼，我們想知道快遞到哪，只需要跟蹤條形碼就可以，這就直接解決了方便的問題。這樣一來，權(quán)威、方便、反壟斷三個(gè)目標(biāo)都達(dá)成了，所以這個(gè)新模式可以幫助我們突破數(shù)據(jù)可攜權(quán)的技術(shù)障礙。

2.增加數(shù)據(jù)可攜權(quán)的限制條款。在網(wǎng)絡(luò)高度發(fā)達(dá)的當(dāng)今社會(huì)，我們所發(fā)布的信息難免會(huì)具有涉他屬性，如我們?cè)谂笥讶Πl(fā)布的與他人的合照，或者微信上與朋友的聊天記錄等，從自己的角度而言，每一個(gè)人都是一個(gè)數(shù)據(jù)主體，都可以主張自己的數(shù)據(jù)權(quán)益，那么這些數(shù)據(jù)在獲取轉(zhuǎn)移時(shí)又該怎么辦呢？學(xué)界中比較普遍的觀點(diǎn)認(rèn)為，此時(shí)應(yīng)當(dāng)遵循知情同意原則，這是個(gè)人信息保護(hù)的首要基本原則，它體現(xiàn)了信息主體的自由意志，是信息主體實(shí)現(xiàn)新型精神自由（信息自由）的基本路徑。有些學(xué)者卻對(duì)知情同意原則提出了質(zhì)疑，認(rèn)為此原則在具體實(shí)踐中大都被架空，用戶無法完全理解那些冗長(zhǎng)復(fù)雜的條款，常常越過閱讀直接同意，或者說是被迫同意。[11]

因?yàn)槔碚撋系恼J(rèn)為用戶實(shí)現(xiàn)知情同意較為困難，而選擇拋棄，這在邏輯上是不合理的，此時(shí)重點(diǎn)應(yīng)當(dāng)考慮的是如何保護(hù)用戶的知情同意權(quán)。其次，作為一個(gè)民事主體在其權(quán)益可能受到損害前，應(yīng)該享有同意權(quán)，可以拒絕他人行使涉他數(shù)據(jù)的可攜權(quán)，有權(quán)自己決定。最后，在數(shù)據(jù)轉(zhuǎn)移完畢后，應(yīng)該享有自決權(quán)，比如說可以隨時(shí)請(qǐng)求刪除涉他數(shù)據(jù)留存信息等，從而保護(hù)自己的合法權(quán)益。

（三）實(shí)現(xiàn)數(shù)據(jù)可攜權(quán)的具體規(guī)范設(shè)計(jì)。

1.數(shù)據(jù)轉(zhuǎn)移前的權(quán)利告知、風(fēng)險(xiǎn)評(píng)估、身份驗(yàn)證義務(wù)。對(duì)于不通曉法律的老百姓來講，是否知道自己享有某項(xiàng)權(quán)利是他們行使權(quán)利的前提，從歐盟數(shù)據(jù)可攜權(quán)立法后的法律實(shí)踐來看，如何讓數(shù)據(jù)主體明確自身權(quán)利也是實(shí)現(xiàn)數(shù)據(jù)可攜權(quán)的重要環(huán)節(jié)。因此，在數(shù)據(jù)可攜權(quán)本土化的過程中，我們不僅要從立法層面付諸行動(dòng)，而且更要加強(qiáng)宣傳和普法活動(dòng)，讓數(shù)據(jù)主體增強(qiáng)數(shù)據(jù)信息意識(shí)。此外，我們可以參考《民法典》中對(duì)格式條款的規(guī)定，互聯(lián)網(wǎng)服務(wù)提供商可以在與用戶訂立合同之前告知其享有攜帶自身數(shù)據(jù)轉(zhuǎn)移的權(quán)利，可以在合同中列出相關(guān)條款，在信息主體處于劣勢(shì)的狀況下，可以要求服務(wù)商提供提示、說明義務(wù)，即加黑、加粗、標(biāo)亮等，并且在用戶具有疑問時(shí)，提供解釋說明，以此保護(hù)用戶權(quán)益，減少糾紛。

按照《條例》的規(guī)定，在數(shù)據(jù)轉(zhuǎn)移時(shí)應(yīng)當(dāng)采取機(jī)器可讀、開放的數(shù)據(jù)格式，也就是前文所說的“互通性”，但是在實(shí)踐中，這點(diǎn)在增加傳輸便利性的同時(shí)，與之而來的便是開放后產(chǎn)生安全性問題。歐盟在看到這點(diǎn)后也采取了相應(yīng)的安全保障措施，如加密工具、共享密鑰等。在我國(guó)的實(shí)踐中，這點(diǎn)也是不可避免的問題，立法可以規(guī)定將身份驗(yàn)證作為服務(wù)商收到數(shù)據(jù)轉(zhuǎn)移申請(qǐng)時(shí)的必經(jīng)程序，通過相應(yīng)的方式對(duì)用戶身份進(jìn)行核對(duì)，如發(fā)送驗(yàn)證碼或者指紋識(shí)別等。但是這些方式在當(dāng)今高科技的環(huán)境之下也存在“失靈”的風(fēng)險(xiǎn)，因此我們可以賦予服務(wù)提供商一定的主動(dòng)性，當(dāng)其對(duì)數(shù)據(jù)主體的身份存在合理懷疑時(shí)，則可以要求展開雙重驗(yàn)證補(bǔ)強(qiáng)效力等。

學(xué)界中有些觀點(diǎn)認(rèn)為數(shù)據(jù)控制者對(duì)數(shù)據(jù)接收方也應(yīng)當(dāng)履行一定的審查義務(wù)，但是筆者認(rèn)為不該如此，數(shù)據(jù)主體意愿與數(shù)據(jù)接收方之間簽訂合同，數(shù)據(jù)接收方是由數(shù)據(jù)主體自身選定的，從而達(dá)成協(xié)議，因此二者之間存在權(quán)利義務(wù)，應(yīng)當(dāng)由數(shù)據(jù)主體自身審查數(shù)據(jù)接收方的各項(xiàng)條件。如果盲目概括地將審查義務(wù)擴(kuò)大到數(shù)據(jù)控制者身上，便過分?jǐn)U大了數(shù)據(jù)控制者應(yīng)當(dāng)履行的義務(wù)，對(duì)其是極其不公平的，也會(huì)打擊其積極性。

2.數(shù)據(jù)可攜權(quán)的監(jiān)管以及救濟(jì)機(jī)制。首先，我們不能僅將行動(dòng)停留在紙面的立法工作上，更要加強(qiáng)實(shí)踐，注重權(quán)力行使過程中的監(jiān)管機(jī)制，個(gè)人信息保護(hù)在我國(guó)才剛剛開始，需要在發(fā)展中不斷完善，因此我們可以在實(shí)踐中確立相應(yīng)的監(jiān)管機(jī)制，在協(xié)調(diào)好雙方權(quán)利義務(wù)的同時(shí)促進(jìn)數(shù)據(jù)可攜權(quán)的落實(shí)與保護(hù)，具體的落實(shí)方法有待探討，在此不作贅述。

其次，一項(xiàng)權(quán)利的確定也就意味著需要有與其相伴的救濟(jì)措施，在救濟(jì)措施方面，歐盟《條例》允許主體對(duì)于行使權(quán)力過程中的相關(guān)問題可以選擇向監(jiān)管部門投訴，也可以直接向法院起訴，賦予數(shù)據(jù)主體雙途徑權(quán)利救濟(jì)機(jī)制，賦予數(shù)據(jù)主體在向監(jiān)管機(jī)構(gòu)尋求救濟(jì)后，倘若不服仍可向法院起訴的二次救濟(jì)途徑。在數(shù)據(jù)可攜權(quán)本土化的過程中，我們也可以學(xué)習(xí)歐盟，借鑒歐盟相關(guān)立法，設(shè)立監(jiān)管機(jī)構(gòu)，以此更好地保護(hù)數(shù)據(jù)主體。

最后，我們可以在立法中規(guī)定數(shù)據(jù)控制者的不作為責(zé)任，如根據(jù)其不履行原因、不履行程度、不履行態(tài)度等，通過主客觀結(jié)合，對(duì)其采取一定的懲罰措施，如行政賠償、損害賠償?shù)取Ｓ袑W(xué)者認(rèn)為確定數(shù)據(jù)控制者的責(zé)任很大程度上忽視了為數(shù)據(jù)控制者所加負(fù)的義務(wù)，一定程度上犧牲了數(shù)據(jù)控制者的利益，長(zhǎng)此以往，歐盟期望數(shù)據(jù)可攜權(quán)帶來數(shù)據(jù)產(chǎn)業(yè)發(fā)展的美好憧憬不一定能夠如愿實(shí)現(xiàn)。但是筆者不贊同此種觀點(diǎn)，數(shù)據(jù)主體相對(duì)于數(shù)據(jù)控制者而言處于天然的弱勢(shì)地位，在行使權(quán)力過程中很大可能上會(huì)受到數(shù)據(jù)控制者的阻礙，因此規(guī)定數(shù)據(jù)控制者的責(zé)任是立法中不可缺少的一部分。

結(jié)語

近年來中國(guó)的數(shù)據(jù)泄露事件也屢見不鮮，從AcFun到華住連鎖酒店，從圓通到順豐，數(shù)據(jù)生意無孔不入。然而，相比外國(guó)網(wǎng)友的義憤填膺，中國(guó)公眾的態(tài)度倒是意外的平和：“在這個(gè)信息泄漏的時(shí)代，誰不是裸奔？”一句調(diào)侃的玩笑話，也折射出大數(shù)據(jù)洪流下，國(guó)人對(duì)隱私泄露的習(xí)以為常。如今的中國(guó)已經(jīng)開啟了5G時(shí)代，互聯(lián)網(wǎng)經(jīng)濟(jì)發(fā)展迅速，用戶的安全度與信任感卻越來越低了。在算法主導(dǎo)的時(shí)代里，我們不能只注重?cái)?shù)字經(jīng)濟(jì)的發(fā)展，更應(yīng)該注重的個(gè)人信息的保護(hù)，我們一手秉持商業(yè)與利益，一手緊握理想與情懷，如何將二者結(jié)合，是我們這一代人肩負(fù)的使命，不要讓“萬物互聯(lián)”吞噬個(gè)人生活的最后一片“自留地”。