胡學(xué)峰

(安徽大學(xué) 法學(xué)院，安徽 合肥 230031)

有學(xué)者云：“新世紀(jì)數(shù)據(jù)就是新石油，能以較低成本換取較高利潤(rùn)?！辈饺?1世紀(jì)以來(lái)，大數(shù)據(jù)以其強(qiáng)大的存儲(chǔ)能力、快捷的處理效率備受市場(chǎng)青睞。以數(shù)據(jù)資源為核心的數(shù)字經(jīng)濟(jì)一路高歌猛進(jìn)，其發(fā)展規(guī)模與速度均呈迅猛增長(zhǎng)態(tài)勢(shì)。相關(guān)調(diào)查①顯示，2015—2020年間，我國(guó)數(shù)字經(jīng)濟(jì)在國(guó)民經(jīng)濟(jì)中占比由27%飆升至38.6%，2020年同比上漲2.3個(gè)百分點(diǎn)。2020年12月，我國(guó)數(shù)字經(jīng)濟(jì)以39.2萬(wàn)億元人民幣的體量躍居世界第二。數(shù)字經(jīng)濟(jì)規(guī)模如此龐大，范圍相當(dāng)廣泛，在當(dāng)前發(fā)展尤為突出。數(shù)字經(jīng)濟(jì)的關(guān)鍵在于數(shù)據(jù)的流通與共享，但現(xiàn)狀卻是數(shù)據(jù)控制者主導(dǎo)下的數(shù)字經(jīng)濟(jì)缺乏流通，相關(guān)法律規(guī)范尚不健全[1]。更重要的是，現(xiàn)行體制下數(shù)字經(jīng)濟(jì)的紅利難以惠及到眾多數(shù)據(jù)主體。鑒于此，應(yīng)加快數(shù)據(jù)在信息網(wǎng)絡(luò)中的流動(dòng)速率，否則將會(huì)影響我國(guó)經(jīng)濟(jì)與社會(huì)發(fā)展的效率。在此背景下，“數(shù)據(jù)可攜權(quán)”的誕生正當(dāng)其時(shí)，它將數(shù)據(jù)的自由流轉(zhuǎn)創(chuàng)設(shè)為數(shù)據(jù)主體的一項(xiàng)權(quán)利，可以有效打擊“數(shù)據(jù)壟斷”行為，滿足數(shù)字經(jīng)濟(jì)的發(fā)展需求，進(jìn)一步助推國(guó)民經(jīng)濟(jì)發(fā)展的可持續(xù)增長(zhǎng)。

1 數(shù)據(jù)可攜權(quán)的具體內(nèi)涵與法律構(gòu)造

1.1 數(shù)據(jù)可攜權(quán)的具體內(nèi)涵

1.1.1 數(shù)據(jù)可攜權(quán)的權(quán)利演進(jìn)

數(shù)據(jù)可攜權(quán)的立法理念可以追溯至1995年的《歐盟數(shù)據(jù)保護(hù)指令》，其中關(guān)于數(shù)據(jù)訪問(wèn)權(quán)的相關(guān)規(guī)定通常被視為可攜權(quán)確立的前提性權(quán)利[2]。2012年1月，歐盟擬定《通用數(shù)據(jù)保護(hù)條例》(以下簡(jiǎn)稱“GDPR”)草案時(shí)，在第18條正式設(shè)立“數(shù)據(jù)可攜權(quán)”，這在該項(xiàng)權(quán)利的演進(jìn)過(guò)程中具有重大意義。2014年3月，歐洲議會(huì)采納前述草案，并將其中第18條與第15條的信息獲取權(quán)合并。2016年4月，GDPR第20條正式確立“數(shù)據(jù)可攜權(quán)”獨(dú)立的法律地位，并對(duì)其定義予以闡釋②。同年12月，歐盟發(fā)布《數(shù)據(jù)可攜權(quán)指南》。兩年后，2018年5月25日GDPR 正式對(duì)歐盟成員國(guó)產(chǎn)生法律約束力[3]。在此之后，美國(guó)加州、澳大利亞、印度等基本沿用了歐盟GDPR的相關(guān)規(guī)定，紛紛制定出類(lèi)似法案③。

1.1.2 數(shù)據(jù)可攜權(quán)的具體內(nèi)容

目前國(guó)內(nèi)通說(shuō)認(rèn)為，“數(shù)據(jù)可攜權(quán)”主要包含兩項(xiàng)“子權(quán)利”——數(shù)據(jù)接收權(quán)與數(shù)據(jù)轉(zhuǎn)移權(quán)。二者可以說(shuō)是可攜權(quán)的一體兩面，從權(quán)利的“個(gè)人獲取”與“自由流轉(zhuǎn)”兩個(gè)維度共同構(gòu)成數(shù)據(jù)可攜權(quán)的具體內(nèi)容。

數(shù)據(jù)接收權(quán)是指數(shù)據(jù)主體有權(quán)獲得其提供給數(shù)據(jù)控制者的個(gè)人數(shù)據(jù)，且該數(shù)據(jù)需滿足結(jié)構(gòu)化、通用化和機(jī)器可讀的格式要求。但GDPR在格式標(biāo)準(zhǔn)上有所保留，并未制定出一套“放之四海而皆準(zhǔn)”的通用格式，而是通過(guò)政府鼓勵(lì)，推進(jìn)行業(yè)自律，促使行業(yè)協(xié)會(huì)和利益相關(guān)方共同探討，自發(fā)形成一套通用標(biāo)準(zhǔn)格式。數(shù)據(jù)接收權(quán)自誕生之初，便被視為數(shù)據(jù)訪問(wèn)權(quán)的延伸，其對(duì)減少數(shù)據(jù)流轉(zhuǎn)障礙意義非凡。

數(shù)據(jù)轉(zhuǎn)移權(quán)是指在技術(shù)可行條件下，用戶有權(quán)將個(gè)人數(shù)據(jù)從一方數(shù)據(jù)控制者轉(zhuǎn)移至另一方數(shù)據(jù)控制者，且轉(zhuǎn)移不受數(shù)據(jù)控制者阻礙[4]。比如微信用戶申請(qǐng)將其個(gè)人數(shù)據(jù)轉(zhuǎn)移至支付寶賬號(hào)中，微信不得設(shè)置技術(shù)障礙加以抗拒，否則將侵犯微信用戶的數(shù)據(jù)轉(zhuǎn)移權(quán)?！皵?shù)據(jù)的自由流轉(zhuǎn)”正是轉(zhuǎn)移權(quán)獨(dú)立于數(shù)據(jù)訪問(wèn)權(quán)的核心區(qū)別之一。此外，“技術(shù)可行條件”是否可以視為GDPR出于平衡數(shù)據(jù)控制者的利益考量而作出的一大讓步，值得我們深思。畢竟技術(shù)條件是否真正可行，想必也只有數(shù)據(jù)控制者自身知曉。不過(guò)，“技術(shù)可行條件”的模糊表述也存在一定的積極意義，它反對(duì)技術(shù)適用條件的“一刀切”?？紤]到各地經(jīng)濟(jì)發(fā)展不平衡的現(xiàn)實(shí)狀況，這為制定切合實(shí)際的地方性法律規(guī)范提供可能。

1.2 數(shù)據(jù)可攜權(quán)的法律構(gòu)造

1.2.1 數(shù)據(jù)可攜權(quán)的主體

數(shù)據(jù)可攜權(quán)的主體包括權(quán)利主體與義務(wù)主體。

對(duì)于數(shù)據(jù)可攜權(quán)的權(quán)利主體，GDPR早有論斷④。其中特別強(qiáng)調(diào)對(duì)自然人個(gè)人數(shù)據(jù)保護(hù)的權(quán)利。而此處的自然人不含地域?qū)傩?，即?quán)利主體不僅限于歐盟境內(nèi)自然人，還包括歐盟境外接受境內(nèi)企業(yè)商品或服務(wù)的自然人。因?yàn)榘殡S著全球化進(jìn)程的加快，歐盟境內(nèi)互聯(lián)網(wǎng)企業(yè)勢(shì)必開(kāi)發(fā)部分涉外業(yè)務(wù)。而根據(jù)GDPR第3條規(guī)定，任何在歐盟境內(nèi)設(shè)立的數(shù)據(jù)控制者，其對(duì)個(gè)人數(shù)據(jù)的處理均要受到GDPR約束。由此觀之，可攜權(quán)的主體范圍不僅包括歐盟境內(nèi)自然人，還包括歐盟境外使用、接受境內(nèi)企業(yè)商品或服務(wù)的自然人。另外，作為與自然人相對(duì)的法律概念——“法人”是否享有個(gè)人數(shù)據(jù)保護(hù)的權(quán)利主體資格，我們不得而知。但鑒于GDPR所有條文均對(duì)“法人”只字未提，因而可以推定法人不在此處討論范圍之內(nèi)。

數(shù)據(jù)可攜權(quán)的義務(wù)主體，GDPR也有規(guī)定。由GDPR第20條規(guī)定可知，可攜權(quán)的義務(wù)主體包括歐盟境內(nèi)所有數(shù)據(jù)控制者。但這里需要明確的是，歐盟境外的數(shù)據(jù)控制者是否同樣受該條例管轄？這要分情況討論：第一，數(shù)據(jù)控制者在境外，但在境內(nèi)設(shè)有分支機(jī)構(gòu)。鑒于GDPR較強(qiáng)的地域?qū)傩?，其分支機(jī)構(gòu)的數(shù)據(jù)處理行為，均要受到條例的實(shí)時(shí)規(guī)范[5]。第二，數(shù)據(jù)控制者在境外，但涉外業(yè)務(wù)關(guān)系到歐盟境內(nèi)的自然人。出于對(duì)境內(nèi)主體數(shù)據(jù)保護(hù)的需要，GDPR同樣將其視為可攜權(quán)的義務(wù)主體。

1.2.2 數(shù)據(jù)可攜權(quán)的客體

由GDPR 第20條規(guī)定⑤可知，可攜權(quán)的權(quán)利客體和適用對(duì)象乃是“個(gè)人數(shù)據(jù)”。鑒于網(wǎng)絡(luò)社會(huì)中個(gè)人數(shù)據(jù)規(guī)模龐大、范圍廣泛，將所有的個(gè)人數(shù)據(jù)都納入可攜權(quán)的保護(hù)范圍較難實(shí)現(xiàn)。另外，為維護(hù)數(shù)據(jù)雙方間的利益平衡，對(duì)個(gè)人數(shù)據(jù)的界定宜需謹(jǐn)慎。解釋過(guò)于狹窄時(shí)，數(shù)據(jù)主體的權(quán)利行使可能難以進(jìn)行，數(shù)據(jù)可攜權(quán)的實(shí)質(zhì)性作用恐難發(fā)揮；但解釋失之過(guò)寬，則會(huì)增加中小企業(yè)的合規(guī)負(fù)擔(dān)和經(jīng)營(yíng)成本[6]，對(duì)部分企業(yè)尤其是小微企業(yè)的生存發(fā)展構(gòu)成威脅。因而，合理限定“個(gè)人數(shù)據(jù)”的具體內(nèi)涵就顯得格外重要。

第一，該數(shù)據(jù)須為關(guān)于數(shù)據(jù)主體的個(gè)人數(shù)據(jù)。首先，基于對(duì)數(shù)據(jù)主體的解釋?zhuān)胺亲匀蝗恕钡南嚓P(guān)數(shù)據(jù)自然難以成為數(shù)據(jù)可攜權(quán)的客體。其次，數(shù)據(jù)主體“個(gè)人數(shù)據(jù)”的基本內(nèi)涵如何明確？對(duì)此，國(guó)內(nèi)齊愛(ài)民教授認(rèn)為：個(gè)人信息是指?jìng)€(gè)人的姓名、性別、健康狀況等可以直接或間接識(shí)別個(gè)人的信息。

第二，該數(shù)據(jù)須為數(shù)據(jù)主體向數(shù)據(jù)控制者提供。此處強(qiáng)調(diào)的是數(shù)據(jù)提供的親歷性與主動(dòng)性。當(dāng)下社會(huì)網(wǎng)絡(luò)詐騙無(wú)孔不入，數(shù)據(jù)主體親自提供個(gè)人數(shù)據(jù)可以有效降低其被泄露、盜用的風(fēng)險(xiǎn)。同時(shí)也表明，數(shù)據(jù)可攜權(quán)的行使主體具有不可替代性。而個(gè)人數(shù)據(jù)要求“主動(dòng)提供”表明，GDPR只保護(hù)“主動(dòng)數(shù)據(jù)”而非“被動(dòng)數(shù)據(jù)”?，F(xiàn)如今以大數(shù)據(jù)分析、云端計(jì)算等信息技術(shù)獲取的衍生數(shù)據(jù)和推斷數(shù)據(jù)便是“被動(dòng)數(shù)據(jù)”的典型代表。它們是基于數(shù)據(jù)控制者的商事經(jīng)營(yíng)行為而產(chǎn)生的，自然不屬于數(shù)據(jù)主體提供的個(gè)人數(shù)據(jù)，將其排除在可攜權(quán)的客體范圍之外也是合乎情理的。

1.2.3 數(shù)據(jù)可攜權(quán)的行使

1.2.3.1 行使方式與條件

對(duì)于數(shù)據(jù)可攜權(quán)的行使，GDPR明確列舉出兩項(xiàng)條件：

第一，對(duì)于可攜權(quán)涉及的個(gè)人數(shù)據(jù)，必須以“自動(dòng)化方式”進(jìn)行一定處理。鑒于數(shù)據(jù)規(guī)模龐大、范圍廣泛，“自動(dòng)化方式”能給企業(yè)的數(shù)據(jù)處理效率帶來(lái)質(zhì)的飛越。同時(shí)這也從側(cè)面反映出傳統(tǒng)的紙質(zhì)文件數(shù)據(jù)被排除在權(quán)利的適用范圍之外，電子數(shù)據(jù)的手動(dòng)轉(zhuǎn)移方式也難為GDPR所認(rèn)可。

第二，數(shù)據(jù)處理行為必須取得數(shù)據(jù)主體的事先同意或基于先前的合同約定?？蓴y權(quán)的行使前提是必須確保數(shù)據(jù)主體的知情權(quán)、同意權(quán)得到尊重。對(duì)此，GDPR亦有相關(guān)論述：“同意”標(biāo)準(zhǔn)須具體清晰，是在用戶充分知情的情況下以自愿方式作出。按照該標(biāo)準(zhǔn)的嚴(yán)格要求，我國(guó)國(guó)內(nèi)公司以復(fù)雜深?yuàn)W的隱私政策保護(hù)，“強(qiáng)迫”用戶同意的做法將失去合法性。數(shù)據(jù)控制者以明確清晰、通俗易懂的方式告知數(shù)據(jù)主體相關(guān)內(nèi)容，取得用戶的實(shí)質(zhì)性同意而非形式上同意，乃是今后用戶知情權(quán)保障的一大趨勢(shì)。用戶如果對(duì)上述政策存在不滿，在點(diǎn)擊不同意的選項(xiàng)后，仍可使用軟件的部分功能。而“合同約定”說(shuō)明只有在合同范圍內(nèi)，數(shù)據(jù)可攜權(quán)的行使才是合法的。超出合同的約定范圍，權(quán)利的行使就有侵犯他人隱私信息之嫌。綜上，數(shù)據(jù)可攜權(quán)的行使必須同時(shí)滿足上述兩個(gè)條件，缺一不可。

另外，即便上述條件均已滿足，個(gè)人數(shù)據(jù)的自由流轉(zhuǎn)還須滿足“技術(shù)可行條件”的現(xiàn)實(shí)要求。但GDPR和WP29對(duì)“技術(shù)可行條件”均未作說(shuō)明，可見(jiàn)歐盟在此方面有所保留。鑒于“技術(shù)可行條件”概念比較模糊，需要對(duì)其進(jìn)行細(xì)致界定，否則將會(huì)影響可攜權(quán)的實(shí)質(zhì)性作用發(fā)揮。因而，可以參考?xì)W洲銀行聯(lián)合會(huì)的相關(guān)經(jīng)驗(yàn)：數(shù)據(jù)控制者對(duì)于“技術(shù)不可行情況”負(fù)有證明義務(wù)。如果不能提供足夠證明，數(shù)據(jù)控制者不得妨礙用戶可攜權(quán)的正常行使；反之，如果的確存在技術(shù)障礙，其亦負(fù)有向數(shù)據(jù)主體解釋說(shuō)明的義務(wù)。如此方可最大限度地保護(hù)數(shù)據(jù)主體的可攜權(quán)利益。

1.2.3.2 行使限制

古語(yǔ)云：“沒(méi)有規(guī)矩，不成方圓?！蹦壳皻W盟既定的法律框架內(nèi)，任何權(quán)利的行使都會(huì)受到限制，數(shù)據(jù)可攜權(quán)也不例外。對(duì)此，GDPR第20條亦有說(shuō)明，可攜權(quán)的行使不得影響公共利益，也不得損害第三方的合法權(quán)益。以下僅就上述兩點(diǎn)作簡(jiǎn)要說(shuō)明：

第一，數(shù)據(jù)可攜權(quán)的行使須讓步于社會(huì)公共利益。“社會(huì)公共利益”在各國(guó)法律體系中一貫享有優(yōu)位性。不同時(shí)代、不同社會(huì)的公共利益不盡相同，但國(guó)家安全、社會(huì)秩序以及法律權(quán)威等作為社會(huì)公共利益的具體內(nèi)涵獲得各國(guó)法律的普遍認(rèn)同，基于此作出的各項(xiàng)活動(dòng)可視為維護(hù)公共利益的典型表現(xiàn)。換言之，如果可攜權(quán)的行使并未涉及公共利益、科學(xué)歷史研究以及統(tǒng)計(jì)目的等情況，那么該權(quán)利自然無(wú)須克減。此外，為追求現(xiàn)代法治中的實(shí)體正義，數(shù)據(jù)主體為公共利益而作出的“權(quán)利犧牲”應(yīng)當(dāng)?shù)玫较鄳?yīng)補(bǔ)償，這也是“以人為本”社會(huì)治理理念的具體體現(xiàn)。

第二，數(shù)據(jù)可攜權(quán)的行使不得損害第三方合法權(quán)益。在全球化進(jìn)程不斷深入的大背景下，數(shù)據(jù)主體在轉(zhuǎn)移數(shù)據(jù)時(shí)，要求將己方數(shù)據(jù)與其他主體數(shù)據(jù)完全切割開(kāi)來(lái)的想法既不現(xiàn)實(shí)也不合理。比如，法院要求銀行積極配合，將被告人銀行賬戶的交易信息作為證據(jù)提交法庭時(shí)，必然會(huì)涉及到與該主體發(fā)生交易的第三方主體的數(shù)據(jù)信息。此時(shí)，作為數(shù)據(jù)控制者的銀行在進(jìn)行數(shù)據(jù)轉(zhuǎn)移時(shí)，須取得第三方主體的概括同意抑或銀行在提交相關(guān)數(shù)據(jù)時(shí)應(yīng)以必要方式加以掩蓋，否則可攜權(quán)的行使便有侵犯他人隱私之嫌。在萬(wàn)物互聯(lián)的信息時(shí)代，我們更能理解數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)安全的合理關(guān)切。

2 歐盟數(shù)據(jù)可攜權(quán)引入我國(guó)的爭(zhēng)議

數(shù)據(jù)可攜權(quán)自誕生之初便飽受爭(zhēng)議，歐盟部分學(xué)者將其視為數(shù)據(jù)訪問(wèn)權(quán)的延伸，二者都是數(shù)據(jù)主體為了解數(shù)據(jù)控制者處的個(gè)人數(shù)據(jù)而創(chuàng)設(shè)的權(quán)利工具，因而無(wú)必要將可攜權(quán)設(shè)為一項(xiàng)獨(dú)立權(quán)利。在歐盟的立法進(jìn)程中，可攜權(quán)也歷經(jīng)多次調(diào)整與修改。國(guó)外立法尚且如此，國(guó)內(nèi)引入、推行的阻力可想而知。鑒于我國(guó)數(shù)據(jù)保護(hù)立法起步較晚，偏向保守，目前與歐盟存在不小差距。因而國(guó)內(nèi)對(duì)于引入可攜權(quán)的反對(duì)之聲不絕于耳，占據(jù)主流。

2.1 反對(duì)者的觀點(diǎn)

反對(duì)者認(rèn)為可攜權(quán)的引入與我國(guó)國(guó)情不符，可能導(dǎo)致諸多問(wèn)題與挑戰(zhàn)的產(chǎn)生?？蓴y權(quán)要求數(shù)據(jù)自由流轉(zhuǎn)，這易造成數(shù)據(jù)信息的泄漏；加之我國(guó)網(wǎng)絡(luò)安全環(huán)境堪憂，引入可攜權(quán)會(huì)給不法分子提供更多犯罪機(jī)會(huì)。另外，可攜權(quán)的設(shè)立勢(shì)必會(huì)加重企業(yè)的運(yùn)營(yíng)成本，這會(huì)制約中小企業(yè)的發(fā)展，拉大產(chǎn)業(yè)發(fā)展差距。反對(duì)的理由主要包括以下幾點(diǎn)：

第一，數(shù)據(jù)可攜權(quán)的引入會(huì)阻礙我國(guó)數(shù)字經(jīng)濟(jì)的平穩(wěn)發(fā)展。目前我國(guó)數(shù)字經(jīng)濟(jì)正處于高速發(fā)展階段，而數(shù)據(jù)立法一向保守。若貿(mào)然引入可攜權(quán)制度，勢(shì)必會(huì)對(duì)我國(guó)互聯(lián)網(wǎng)市場(chǎng)的平穩(wěn)發(fā)展造成沖擊。鑒于數(shù)字經(jīng)濟(jì)目前在國(guó)民經(jīng)濟(jì)中占有舉足輕重的地位，因而對(duì)于可能影響其發(fā)展走勢(shì)的數(shù)據(jù)可攜權(quán)的引入理當(dāng)慎之又慎。

第二，數(shù)據(jù)可攜權(quán)的引入會(huì)增加數(shù)據(jù)被泄露和盜取的風(fēng)險(xiǎn)。可攜權(quán)的確可實(shí)現(xiàn)數(shù)據(jù)的自由流轉(zhuǎn)，但對(duì)此權(quán)利若不加限制，頻繁的數(shù)據(jù)轉(zhuǎn)移無(wú)疑會(huì)增加數(shù)據(jù)被泄漏、盜用和攻擊的潛在風(fēng)險(xiǎn)。尤其是中小企業(yè)抵御和防范網(wǎng)絡(luò)攻擊的能力有限，信息詐騙、虛假身份等問(wèn)題將集中出現(xiàn)。結(jié)合目前國(guó)內(nèi)網(wǎng)絡(luò)安全環(huán)境，疊加風(fēng)險(xiǎn)將更為突出。

第三，數(shù)據(jù)可攜權(quán)的引入還會(huì)惡化數(shù)據(jù)市場(chǎng)競(jìng)爭(zhēng)環(huán)境，加大產(chǎn)業(yè)發(fā)展差距。可攜權(quán)的引入勢(shì)必會(huì)加增數(shù)據(jù)控制者的運(yùn)營(yíng)成本。為了方便數(shù)據(jù)轉(zhuǎn)移，現(xiàn)有的技術(shù)水平必須不斷提高。大型企業(yè)憑借雄厚資本和智力支持，可以從容應(yīng)對(duì)，而中小企業(yè)的處境將極為艱難。技術(shù)創(chuàng)新需要投入大量資本，在長(zhǎng)久的市場(chǎng)競(jìng)爭(zhēng)中，若無(wú)國(guó)家政策的鼓勵(lì)扶持，中小企業(yè)被迫出局也只是時(shí)間問(wèn)題。而“數(shù)據(jù)寡頭”將會(huì)趁此進(jìn)一步鎖定市場(chǎng)份額，形成馬太效應(yīng)，最終加劇“數(shù)據(jù)壟斷”程度。

2.2 支持者的觀點(diǎn)

支持者從數(shù)據(jù)可攜權(quán)的性質(zhì)、優(yōu)勢(shì)等角度出發(fā)，結(jié)合我國(guó)數(shù)據(jù)隱私泄露嚴(yán)重的現(xiàn)狀，以及數(shù)據(jù)市場(chǎng)缺乏流通、數(shù)據(jù)壁壘和壟斷等亟待解決的問(wèn)題，呼吁對(duì)數(shù)據(jù)可攜權(quán)進(jìn)行改造，創(chuàng)設(shè)出符合我國(guó)國(guó)情、具有本土化特色的可攜權(quán)制度。主要有三點(diǎn)理由：

第一，數(shù)據(jù)可攜權(quán)的引入有利于強(qiáng)化用戶對(duì)個(gè)人數(shù)據(jù)的支配性。這是可攜權(quán)設(shè)立最低層次的目的。引入可攜權(quán)可以促進(jìn)用戶對(duì)自身數(shù)據(jù)信息重要性的了解，進(jìn)一步加強(qiáng)其對(duì)存儲(chǔ)在數(shù)據(jù)控制者處的信息數(shù)據(jù)的控制。這對(duì)目前我國(guó)個(gè)人信息盜取嚴(yán)重的網(wǎng)絡(luò)亂象具有一定的遏制、打擊意義，同時(shí)也能順應(yīng)《個(gè)人信息保護(hù)法》對(duì)于用戶數(shù)據(jù)保護(hù)加強(qiáng)的趨勢(shì)，具有積極的現(xiàn)實(shí)意義。

第二，數(shù)據(jù)可攜權(quán)的引入可以促進(jìn)數(shù)據(jù)流通，推動(dòng)數(shù)字經(jīng)濟(jì)的高質(zhì)量發(fā)展?，F(xiàn)如今，“數(shù)據(jù)寡頭”利用雄厚資本和強(qiáng)大技術(shù)支持竭力維護(hù)“數(shù)據(jù)壟斷”現(xiàn)狀，這不僅違反競(jìng)爭(zhēng)法的基本精神，也阻礙中小企業(yè)進(jìn)入相關(guān)市場(chǎng)，而缺乏競(jìng)爭(zhēng)則會(huì)進(jìn)一步抑制創(chuàng)新?？蓴y權(quán)的引入可以改變數(shù)據(jù)流通規(guī)則，促進(jìn)特定數(shù)據(jù)的共享和利用，有助于塑造更加公平透明的數(shù)據(jù)處理市場(chǎng)[7]。

第三，數(shù)據(jù)可攜權(quán)的引入符合社會(huì)正義公平原則。適用可攜權(quán)須取得用戶同意或基于合同約定。按照這一法律邏輯，數(shù)據(jù)控制者擅自將用戶數(shù)據(jù)另作他用，產(chǎn)生的各項(xiàng)收益應(yīng)與數(shù)據(jù)主體共享。但現(xiàn)實(shí)是，數(shù)據(jù)雙方在信息收集能力方面存在巨大差距。在利益驅(qū)使下，數(shù)據(jù)控制者經(jīng)常私自攫取大量額外利益而不告知相關(guān)用戶[8]。我國(guó)引入可攜權(quán)制度能有效遏制數(shù)據(jù)控制者上述行為，進(jìn)一步維護(hù)相關(guān)主體的數(shù)據(jù)權(quán)益。

綜上所述，可攜權(quán)制度是否引入，支持者與反對(duì)者各執(zhí)一詞、莫衷一是。這其實(shí)是看待事物的不同角度所致。任何事物都具有兩面性，我們不能因噎廢食，看到可攜權(quán)帶來(lái)的風(fēng)險(xiǎn)與挑戰(zhàn)便躊躇不前。而應(yīng)當(dāng)在深入了解其具體內(nèi)涵與法律構(gòu)造的理論基礎(chǔ)上集思廣益，盡可能預(yù)見(jiàn)權(quán)利引入引發(fā)的相關(guān)問(wèn)題，先行建立完善好配套制度，努力為可攜權(quán)的本土化改造“鋪石墊路”。

3 數(shù)據(jù)可攜權(quán)本土化改造的實(shí)現(xiàn)路徑

近些年的數(shù)據(jù)糾紛使可攜權(quán)的重要性逐漸得到社會(huì)認(rèn)可。數(shù)據(jù)產(chǎn)業(yè)的強(qiáng)勢(shì)崛起對(duì)我國(guó)現(xiàn)行立法提出新的要求，現(xiàn)行法律規(guī)范的滯后性問(wèn)題較為突出。參考?xì)W盟相關(guān)的司法實(shí)踐，有必要對(duì)數(shù)據(jù)可攜權(quán)進(jìn)行本土化改造。

3.1 我國(guó)現(xiàn)行規(guī)范中的數(shù)據(jù)可攜權(quán)

自2012年十八大后，為積極響應(yīng)大數(shù)據(jù)國(guó)家戰(zhàn)略，進(jìn)一步推動(dòng)數(shù)據(jù)資源的整合、開(kāi)放和共享，我國(guó)數(shù)據(jù)立法的進(jìn)程明顯加快，逐步形成以《信息安全技術(shù)個(gè)人信息安全規(guī)范》國(guó)家標(biāo)準(zhǔn)和《個(gè)人信息保護(hù)法》為核心的數(shù)據(jù)立法體系。

2017年制定的《信息安全技術(shù)個(gè)人信息安全規(guī)范》國(guó)家標(biāo)準(zhǔn)⑥，對(duì)于個(gè)人信息控制者施加的義務(wù)以及信息轉(zhuǎn)移的相關(guān)規(guī)定與歐盟的數(shù)據(jù)可攜權(quán)可謂大同小異，這也被視為我國(guó)“數(shù)據(jù)可攜權(quán)”首次成文的規(guī)定。伴隨著信息產(chǎn)業(yè)和數(shù)字經(jīng)濟(jì)的繁榮發(fā)展，信息主體與信息控制者所獲收益已然失衡。有鑒于此，國(guó)家出臺(tái)《信息安全技術(shù)個(gè)人信息安全規(guī)范》旨在重新平衡此種利益，這也為數(shù)據(jù)可攜權(quán)的本土化構(gòu)建提供一定的法律保障。

但從三年的司法實(shí)踐來(lái)看，直接科以信息控制者較重的法律義務(wù)有失偏頗。于是政府對(duì)個(gè)中細(xì)節(jié)加以調(diào)整，在2020年將規(guī)范中個(gè)人信息副本的提供由“應(yīng)”改為“宜”，傳輸?shù)谌较薅椤皞€(gè)人主體指定”第三方。一字之差，卻有效緩解了信息控制者的壓力。重新進(jìn)行利益平衡也反映出網(wǎng)信部門(mén)為維護(hù)互聯(lián)網(wǎng)現(xiàn)有秩序平穩(wěn)運(yùn)行的一番苦心。

此外，2018年的《個(gè)人信息保護(hù)法》⑦將我國(guó)“數(shù)據(jù)可攜權(quán)”的法律位階予以提升，由標(biāo)準(zhǔn)化文件直接上升至正式的成文法律，反映出政府部門(mén)對(duì)個(gè)人信息保護(hù)的重視程度日益加強(qiáng)。但該法條文過(guò)于籠統(tǒng)，僅規(guī)定了權(quán)利行使要件和行使對(duì)象[9]，具體操作規(guī)范亟待補(bǔ)充完善，而這也是現(xiàn)行國(guó)家標(biāo)準(zhǔn)下我國(guó)數(shù)據(jù)可攜權(quán)立法的一個(gè)縮影。

3.2 數(shù)據(jù)可攜權(quán)本土化面臨的障礙及完善措施

第一，原數(shù)據(jù)控制者是否可以保留已轉(zhuǎn)移數(shù)據(jù)尚不明確。當(dāng)數(shù)據(jù)雙方配合進(jìn)行數(shù)據(jù)轉(zhuǎn)移時(shí)，其能否繼續(xù)保留已轉(zhuǎn)移的用戶數(shù)據(jù)，GDPR對(duì)此未置可否。而根據(jù)我國(guó)“法無(wú)明文規(guī)定即可為”的法律精神，應(yīng)默認(rèn)原數(shù)據(jù)控制者擁有數(shù)據(jù)保留權(quán)。但這樣理解卻增加了用戶數(shù)據(jù)被盜用、篡改的潛在風(fēng)險(xiǎn)，同時(shí)也與可攜權(quán)的設(shè)立初衷相違背。如今大數(shù)據(jù)時(shí)代的社會(huì)紛繁復(fù)雜，網(wǎng)絡(luò)用戶對(duì)自身數(shù)據(jù)的收集、分析、存儲(chǔ)等環(huán)節(jié)知之甚少，常常怠于行使自己的權(quán)利。而數(shù)據(jù)轉(zhuǎn)移肯定會(huì)使原數(shù)據(jù)控制者的既有利益遭受損失，商業(yè)主體為追逐經(jīng)濟(jì)利益，必然會(huì)將用戶數(shù)據(jù)加以留存。在數(shù)據(jù)利益分配失衡的局面下，亟需重新平衡二者之間的利益關(guān)系。

鑒于此，可對(duì)用戶數(shù)據(jù)進(jìn)行分類(lèi)，對(duì)不同類(lèi)型的個(gè)人數(shù)據(jù)賦予數(shù)據(jù)控制者不同程度的數(shù)據(jù)保留權(quán)限。針對(duì)用戶主動(dòng)提供的基礎(chǔ)數(shù)據(jù)，例如個(gè)人信息、健康狀況等，法律應(yīng)將該種數(shù)據(jù)的轉(zhuǎn)移設(shè)立為數(shù)據(jù)控制者必須履行的法定義務(wù)，其在完成相關(guān)數(shù)據(jù)轉(zhuǎn)移后，應(yīng)當(dāng)自動(dòng)銷(xiāo)毀、刪除相關(guān)數(shù)據(jù)原件，不可私自留存；而針對(duì)數(shù)據(jù)控制者通過(guò)深度觀測(cè)、分析數(shù)據(jù)主體而獲得的衍生數(shù)據(jù)、推測(cè)數(shù)據(jù)等“加工數(shù)據(jù)”，例如淘寶通過(guò)分析用戶消費(fèi)習(xí)慣而得出的銷(xiāo)售數(shù)據(jù)，抖音通過(guò)分析用戶的瀏覽歷史、點(diǎn)贊行為而獲取的相關(guān)數(shù)據(jù)，對(duì)于企業(yè)付出巨大經(jīng)濟(jì)與人力成本獲得的智力成果，宜賦予數(shù)據(jù)主體以選擇權(quán)，想要?jiǎng)h除這些數(shù)據(jù)須另行支付合理對(duì)價(jià)。否則在數(shù)據(jù)轉(zhuǎn)移后，應(yīng)默認(rèn)數(shù)據(jù)控制者有權(quán)繼續(xù)保留上述數(shù)據(jù)，以便合理維護(hù)二者利益的動(dòng)態(tài)平衡。

第二，第三方主體數(shù)據(jù)權(quán)利保護(hù)體系尚未建立。司法實(shí)踐中，數(shù)據(jù)控制者在進(jìn)行數(shù)據(jù)轉(zhuǎn)移時(shí)，常會(huì)涉及第三方用戶的個(gè)人數(shù)據(jù)。鑒于數(shù)據(jù)的緊密聯(lián)系性與不可分割性，如何合理妥當(dāng)?shù)亟鉀Q二者沖突值得深思。例如，網(wǎng)友上傳一段合拍視頻至朋友圈，當(dāng)該網(wǎng)友欲將視頻轉(zhuǎn)移至抖音時(shí)，必然會(huì)涉及視頻中第三方主體的隱私權(quán)與肖像權(quán)。在不影響數(shù)據(jù)可攜權(quán)效能發(fā)揮的前提下，如何盡力維護(hù)第三方主體的合法權(quán)益？針對(duì)上述問(wèn)題，宜科以數(shù)據(jù)控制者審查數(shù)據(jù)轉(zhuǎn)移時(shí)多方主體的“共同同意”義務(wù)。若用戶無(wú)數(shù)據(jù)涉及第三方主體的同意文件，數(shù)據(jù)控制者可駁回相關(guān)的數(shù)據(jù)傳輸申請(qǐng)，這亦是可攜權(quán)行使前提的應(yīng)有之義。民事訴訟領(lǐng)域權(quán)利沖突、競(jìng)合是十分普遍的現(xiàn)象。行使可攜權(quán)若涉及公共利益，自然無(wú)法適用。與知情權(quán)、隱私權(quán)等發(fā)生沖突，將損害他人權(quán)益時(shí)，亦應(yīng)受到合理規(guī)制。而我國(guó)現(xiàn)行可攜權(quán)之規(guī)定，其最大問(wèn)題莫過(guò)于第三方權(quán)利遭到侵害時(shí)，相關(guān)權(quán)利救濟(jì)措施缺失。對(duì)此，可要求在數(shù)據(jù)轉(zhuǎn)移過(guò)程中如果涉及第三方權(quán)利，應(yīng)取得其事先同意或事后追認(rèn)。否則由于數(shù)據(jù)控制者未盡合理審查義務(wù)，第三方數(shù)據(jù)由此產(chǎn)生的潛在風(fēng)險(xiǎn)或相應(yīng)損失應(yīng)由數(shù)據(jù)控制者和數(shù)據(jù)主體共同承擔(dān)。

另外，還有兩點(diǎn)需要注意：一是數(shù)據(jù)可攜權(quán)本土化應(yīng)循序漸進(jìn)，在我國(guó)可采用試點(diǎn)立法。在試點(diǎn)的區(qū)域選擇上，以東南沿海發(fā)達(dá)城市為主。畢竟它們的數(shù)據(jù)經(jīng)濟(jì)規(guī)模龐大，數(shù)據(jù)產(chǎn)業(yè)發(fā)展也較為成熟，具備試點(diǎn)立法的現(xiàn)實(shí)基礎(chǔ)；在試點(diǎn)的行業(yè)選擇上，開(kāi)放銀行應(yīng)是最先行、最有價(jià)值的應(yīng)用場(chǎng)景[10]。試點(diǎn)立法的彈性空間較大，司法實(shí)踐效果良好便向全國(guó)全面展開(kāi)；若不盡人意，則我國(guó)數(shù)據(jù)可攜權(quán)的設(shè)立還有待探討。二是數(shù)據(jù)可攜權(quán)的主體范圍需要限縮。GDPR規(guī)定的權(quán)利主體為自然人，但是否所有自然人均享有此種權(quán)利值得商榷。相較于歐盟，我國(guó)擁有超過(guò)14億的龐大人口規(guī)模，若不加區(qū)分，將所有自然人都納入權(quán)利主體范圍既不現(xiàn)實(shí)又不合理?？梢钥紤]將民事行為能力與網(wǎng)民身份等因素引入數(shù)據(jù)可攜權(quán)主體范圍劃定的標(biāo)準(zhǔn)之內(nèi)，賦予不同個(gè)體差異化的數(shù)據(jù)可攜權(quán)。對(duì)于無(wú)民事訴訟能力、限制民事行為能力之人，宜將其數(shù)據(jù)的相關(guān)權(quán)利暫交其監(jiān)護(hù)人行使。對(duì)于網(wǎng)絡(luò)紅人與普通用戶須區(qū)別對(duì)待。鑒于前者網(wǎng)絡(luò)社會(huì)影響力巨大，對(duì)其數(shù)據(jù)可攜權(quán)的賦予應(yīng)予以種種限制，以防其隨意轉(zhuǎn)移個(gè)人數(shù)據(jù)造成既有網(wǎng)絡(luò)秩序的破壞；而普通用戶的數(shù)據(jù)權(quán)益無(wú)需克減，如此可進(jìn)一步促進(jìn)社會(huì)公平正義的實(shí)現(xiàn)。

4 結(jié)語(yǔ)

歐盟設(shè)立數(shù)據(jù)可攜權(quán)的初衷在于削弱微軟、谷歌、蘋(píng)果等一眾美國(guó)互聯(lián)網(wǎng)巨頭對(duì)其網(wǎng)絡(luò)環(huán)境的影響力，扶持歐盟本土網(wǎng)絡(luò)企業(yè)的發(fā)展，以期縮小歐美在數(shù)據(jù)產(chǎn)業(yè)方面的發(fā)展差距。而我國(guó)坐擁龐大的人口基數(shù)、廣闊的內(nèi)需市場(chǎng)和寬松的國(guó)家政策環(huán)境，以阿里、百度為代表的本土互聯(lián)網(wǎng)企業(yè)正在逐步走向世界。面對(duì)數(shù)據(jù)產(chǎn)業(yè)發(fā)展的這種差異，加之歐盟既定的可攜權(quán)制度尚不成熟，對(duì)其引入自當(dāng)慎之又慎。在充分了解可攜權(quán)制度的前提下，結(jié)合我國(guó)立法實(shí)際，對(duì)歐盟可攜權(quán)制度予以合理改造，以期構(gòu)建出符合我國(guó)國(guó)情、具有中國(guó)化特色的數(shù)據(jù)可攜權(quán)制度。

注釋?zhuān)?/p>

①資料來(lái)源：《中國(guó)數(shù)字經(jīng)濟(jì)發(fā)展白皮書(shū)(2020)》——中國(guó)信息通信研究院.

②《通用數(shù)據(jù)保護(hù)條例》第20條：“數(shù)據(jù)主體有權(quán)以結(jié)構(gòu)化、通用化和機(jī)器可讀的格式接收他或她提供給控制者的有關(guān)他或她的個(gè)人數(shù)據(jù)，并有權(quán)將這些數(shù)據(jù)傳輸給另一個(gè)控制者，原數(shù)據(jù)控制者不得阻礙。”

③類(lèi)似法案包括美國(guó)加州2018年《加州消費(fèi)者隱私法》、澳大利亞2019年《消費(fèi)者數(shù)據(jù)權(quán)利法案》、印度2019年《個(gè)人數(shù)據(jù)保護(hù)法》等.

④《通用數(shù)據(jù)保護(hù)條例》第1條：“本條例保護(hù)自然人的基本權(quán)利與自由，特別是自然人享有的個(gè)人數(shù)據(jù)保護(hù)的權(quán)利。”

⑤《通用數(shù)據(jù)保護(hù)條例》第20條第2款：“數(shù)據(jù)主體有權(quán)獲得其提供給數(shù)據(jù)控制者的個(gè)人數(shù)據(jù)副本，并將此類(lèi)數(shù)據(jù)從一個(gè)數(shù)據(jù)控制者處轉(zhuǎn)移至另一個(gè)控制者的權(quán)利?！?/p>

⑥《信息安全技術(shù)個(gè)人信息安全規(guī)范》7.9：“根據(jù)個(gè)人信息主體的請(qǐng)求，個(gè)人信息控制者應(yīng)為個(gè)人信息主體提供以下類(lèi)型個(gè)人信息(個(gè)人基本信息、個(gè)人身份信息、個(gè)人健康生理信息、個(gè)人教育工作信息)副本的方法，或在技術(shù)可行的前提下直接將個(gè)人信息的副本傳輸給第三方?！?/p>

⑦《個(gè)人信息保護(hù)法》第四十五條第三款：“個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國(guó)家網(wǎng)信部門(mén)規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑?！?/p>