歐盟數(shù)據(jù)可攜權(quán)的困境與本土化思考

刁勝先 李施芩

摘要：歐盟在《通用數(shù)據(jù)保護(hù)條例》中創(chuàng)造性地規(guī)定了數(shù)據(jù)可攜權(quán)，以期在增強(qiáng)數(shù)據(jù)主體對于其個人數(shù)據(jù)控制力的同時，促進(jìn)歐盟本地互聯(lián)網(wǎng)產(chǎn)業(yè)的創(chuàng)新和發(fā)展。作為一項新興權(quán)利，數(shù)據(jù)可攜權(quán)既充滿著希望又引發(fā)了世界范圍的爭議。通過對數(shù)據(jù)可攜權(quán)的演進(jìn)、價值、要素、行使和困境等進(jìn)行分析，在肯定其加強(qiáng)和促進(jìn)個人數(shù)據(jù)法律保護(hù)的前提下，直面其不足與弊病，再結(jié)合我國產(chǎn)業(yè)發(fā)展和個人信息保護(hù)立法現(xiàn)狀，對其本土化思考有所助益。我國目前不宜盲目引進(jìn)或一味拒絕數(shù)據(jù)可攜權(quán)，應(yīng)當(dāng)針對具體國情，借鑒其經(jīng)驗并對其進(jìn)行本土化取舍，構(gòu)建適合我國的可攜權(quán)內(nèi)容，以實(shí)現(xiàn)我國數(shù)據(jù)產(chǎn)業(yè)發(fā)展與個人數(shù)據(jù)主體權(quán)益保護(hù)的平衡。

關(guān)鍵詞：數(shù)據(jù)可攜權(quán);《通用數(shù)據(jù)保護(hù)條例》;權(quán)利架構(gòu);本土化

中圖分類號：D913;D912.1 文獻(xiàn)標(biāo)識碼：A 文章編號：1673-8268（2020）02-0068-10

一、歐盟數(shù)據(jù)可攜權(quán)的演進(jìn)與價值

（一）提出與演進(jìn)

隨著大數(shù)據(jù)技術(shù)的發(fā)展和普及，個人數(shù)據(jù)保護(hù)已經(jīng)成為各國熱議的話題之一。世界上最早的個人數(shù)據(jù)保護(hù)立法可以追溯到美國1970年通過的《美國公平信用報告法》和德國黑森邦州1970年的《資料保護(hù)法》。而歐盟委員會也為了防止個人數(shù)據(jù)被不當(dāng)處理，在1995年正式通過了《第95/46/EC號保護(hù)個人在數(shù)據(jù)處理和自動移動中權(quán)利的指令》（以下簡稱“95指令”），旨在保護(hù)個人數(shù)據(jù)免受非法收集、超出目的范圍的處理、傳輸以及個人信息泄露的威脅。但是面對大數(shù)據(jù)時代的到來，數(shù)據(jù)的收集和處理變得日益頻繁，個人數(shù)據(jù)泄露和被不法利用的例子頻發(fā)，使數(shù)據(jù)主體對于其個人數(shù)據(jù)的控制力受到了前所未有的威脅。除此之外，以谷歌、Facebook、微軟等為代表的美國互聯(lián)網(wǎng)巨頭的崛起，限制了歐盟的本土互聯(lián)網(wǎng)企業(yè)發(fā)展，使其與前者的差距越來越大。在此背景下，為了加強(qiáng)對個人數(shù)據(jù)的保護(hù)，打造一個更加公平透明的市場競爭環(huán)境，歐盟委員會于2012年在95指令的基礎(chǔ)上起草了《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR），創(chuàng)造性地引入了數(shù)據(jù)可攜權(quán)的概念，這項新穎又充滿爭議的個人數(shù)據(jù)權(quán)利在經(jīng)過四年的討論和修改后被固定在了GDPR的最終文本中。而后，為了明確GDPR中尚未具體說明的相關(guān)概念，歐盟第29條工作組（Article 29 Working Party，WP29）在2017年4月發(fā)布了關(guān)于數(shù)據(jù)可攜權(quán)的指南，大體上完善了數(shù)據(jù)可攜權(quán)的法律框架，為數(shù)據(jù)主體和數(shù)據(jù)控制者提供了指導(dǎo)，從而使其更有效地行使這項新的權(quán)利。

從數(shù)據(jù)可攜性這個想法的產(chǎn)生來看，數(shù)據(jù)可攜權(quán)事實(shí)上產(chǎn)生于數(shù)據(jù)保護(hù)法領(lǐng)域之外。早在2007年，數(shù)據(jù)可攜性項目（The Data Protability Pro-ject）就產(chǎn)生了，旨在討論和解決在商業(yè)環(huán)境中如何保障數(shù)據(jù)不被約束地傳輸，并為個人數(shù)據(jù)在商業(yè)環(huán)境中傳輸?shù)於嘶A(chǔ)。這個項目在當(dāng)時受到了許多大型數(shù)據(jù)控制者例如Facebook和Google的關(guān)注，并提供了自愿的配套解決方案。例如，Google在2011年創(chuàng)建了“Google Takeout”工具，允許其用戶從27種谷歌產(chǎn)品中導(dǎo)出和下載其個人數(shù)據(jù)。Facebook也提供了類似的下載工具，允許其用戶不僅能下載他們在個人資料中分享的信息，而且還能下載其他被動數(shù)據(jù)，包括用戶活動日志、曾點(diǎn)擊過的廣告和曾登錄過的IP地址等。但是從實(shí)踐的角度而言，這個項目事實(shí)上很難在激烈的商業(yè)競爭環(huán)境中實(shí)現(xiàn);從本質(zhì)上來講，該項目提供的數(shù)據(jù)可攜性提議非常類似能使個人深入了解其個人數(shù)據(jù)使用情況的數(shù)據(jù)訪問權(quán)，但是卻不能有效地促進(jìn)該項個人數(shù)據(jù)向第三方數(shù)據(jù)控制者的傳輸。而這同樣也是GDPR數(shù)次草案修改中關(guān)于數(shù)據(jù)可攜權(quán)是否獨(dú)立于數(shù)據(jù)訪問權(quán)的重大爭議點(diǎn)。

數(shù)據(jù)訪問權(quán)作為一項正式的法律權(quán)利被提出，是在2012年1月歐盟委員會提交的GDPR草案中。在最初的草案中，數(shù)據(jù)可攜權(quán)被規(guī)定于第15條，與數(shù)據(jù)訪問權(quán)獨(dú)立存在。然而此項規(guī)定引發(fā)了企業(yè)和學(xué)界的眾多爭議，主流的反對意見認(rèn)為數(shù)據(jù)可攜權(quán)應(yīng)當(dāng)作為數(shù)據(jù)訪問權(quán)的一項具體內(nèi)容而并入訪問權(quán)規(guī)定之中。因此，在2014年3月歐洲議會通過的GDPR修正案中，數(shù)據(jù)可攜權(quán)被合并入了數(shù)據(jù)訪問權(quán)，盡管歐洲委員會對于數(shù)據(jù)可攜權(quán)獨(dú)立性的觀點(diǎn)在這一系列的修正案中并沒有改變，但是歐洲議會仍然認(rèn)為數(shù)據(jù)可攜權(quán)不應(yīng)該被視為一項獨(dú)立的權(quán)利，而應(yīng)當(dāng)被視為數(shù)據(jù)訪問權(quán)的延伸。但最終在2016年4月，經(jīng)過歐盟委員會、歐洲議會和歐洲理事會的再三磋商，數(shù)據(jù)可攜權(quán)的權(quán)利內(nèi)容包括但是不局限于數(shù)據(jù)訪問權(quán)，因此被再次確立為一項獨(dú)立的數(shù)據(jù)主體權(quán)利固定于GDPR的最終文本之中。因此，有學(xué)者也提出，可以將數(shù)據(jù)訪問權(quán)看成是數(shù)據(jù)可攜權(quán)的先決條件，而將數(shù)據(jù)可攜權(quán)視為從訪問權(quán)發(fā)展而來的、數(shù)據(jù)主體對于其個人權(quán)利控制的補(bǔ)充。經(jīng)過兩年的過渡期后，數(shù)據(jù)可攜權(quán)隨著GDPR于2018年5月25日正式對所有成員國具有法律約束力。

（二）功能與價值

數(shù)據(jù)可攜權(quán)的設(shè)立不可避免地改變了個人數(shù)據(jù)的控制方式，這種改變既體現(xiàn)在數(shù)據(jù)主體與數(shù)據(jù)控制者之間，也體現(xiàn)在有競爭關(guān)系的數(shù)據(jù)控制者之間。歐盟委員會認(rèn)為設(shè)立數(shù)據(jù)可攜權(quán)的立法目的在于：首先，增強(qiáng)數(shù)據(jù)主體對于其個人數(shù)據(jù)的控制力和支配力，這種控制力不僅表現(xiàn)在數(shù)據(jù)主體能夠要求數(shù)據(jù)控制者提供其個人數(shù)據(jù)，更表現(xiàn)在數(shù)據(jù)主體能夠?qū)ζ鋫€人數(shù)據(jù)進(jìn)行重復(fù)利用。例如，某音樂軟件的用戶可以要求此音樂軟件提供包含該用戶的個人賬戶信息、音樂偏好消費(fèi)習(xí)慣等個人數(shù)據(jù)的格式化副本，并將此副本轉(zhuǎn)移至另一音樂軟件。其次，數(shù)據(jù)可攜權(quán)的設(shè)立還能降低企業(yè)在歐盟地區(qū)的市場準(zhǔn)入門檻，進(jìn)而增加消費(fèi)者福祉。

有學(xué)者指出，由于數(shù)據(jù)可攜權(quán)的規(guī)定不僅要求數(shù)據(jù)控制者提供數(shù)據(jù)主體訪問其個人數(shù)據(jù)的權(quán)利，還要求其提供可供轉(zhuǎn)移的統(tǒng)一化格式，并且在數(shù)據(jù)主體將其個人數(shù)據(jù)傳輸給另一家服務(wù)提供商時，數(shù)據(jù)控制者也需要投入額外的成本來防止在這一過程中可能產(chǎn)生的泄露商業(yè)機(jī)密和知識產(chǎn)權(quán)的風(fēng)險，這些要求都會大大增加數(shù)據(jù)控制者的管理成本，不利于小型互聯(lián)網(wǎng)企業(yè)的孵化和發(fā)展、甚至導(dǎo)致微小型企業(yè)破產(chǎn)，從而降低消費(fèi)者福利。但從另一個角度來看，由于數(shù)據(jù)可攜權(quán)的規(guī)定賦予了數(shù)據(jù)主體對于其個人數(shù)據(jù)類似所有權(quán)的權(quán)利，因此，他們可以根據(jù)自己的自由意志來支配自己的個人數(shù)據(jù)，從而保障消費(fèi)者擁有更多自由選擇網(wǎng)絡(luò)服務(wù)提供商的權(quán)利，削弱了大型互聯(lián)網(wǎng)公司例如亞馬遜、Facebook等利用其現(xiàn)有的市場優(yōu)勢和“鎖入”政策來維系用戶數(shù)量和市場規(guī)模的行為。一方面，大型互聯(lián)網(wǎng)公司需要投入更多精力進(jìn)行創(chuàng)新，提高產(chǎn)品用戶體驗和保障消費(fèi)者隱私來吸引消費(fèi)者繼續(xù)青睞其產(chǎn)品。另一方面，正如前歐盟委員會競爭司司長Joaquin Mmunia指出，數(shù)據(jù)可攜權(quán)可以帶來一個更加良性的互聯(lián)網(wǎng)競爭市場，因為對于中小型企業(yè)而言，這會降低互聯(lián)網(wǎng)市場準(zhǔn)入門檻，使更多的競爭者加入到市場之中。對于消費(fèi)者而言，數(shù)據(jù)可攜權(quán)的設(shè)立不僅可以增強(qiáng)消費(fèi)者對于自己個人數(shù)據(jù)的控制力，降低更換網(wǎng)絡(luò)服務(wù)提供商的成本，更能迫使互聯(lián)網(wǎng)企業(yè)投入更大的精力于公司產(chǎn)品創(chuàng)新從而吸引消費(fèi)者將其個人數(shù)據(jù)轉(zhuǎn)移至己方平臺。從某種程度上而言。數(shù)據(jù)可攜權(quán)的設(shè)立提出了一種新的解決數(shù)據(jù)主體和數(shù)據(jù)控制者之間關(guān)系的思路，打破了以往數(shù)據(jù)控制者特別是某些大型互聯(lián)網(wǎng)公司主導(dǎo)個人數(shù)據(jù)使用的模式。這不僅滿足了歐盟委員會提出的保障消費(fèi)者能更好地在線獲取數(shù)字產(chǎn)品和服務(wù)的建設(shè)數(shù)字化單一市場的要求，而且達(dá)到了在強(qiáng)化消費(fèi)者個人數(shù)據(jù)保護(hù)力度的同時又充分激發(fā)互聯(lián)網(wǎng)市場活力的效果。

二、歐盟數(shù)據(jù)可攜權(quán)的要素

（一）數(shù)據(jù)可攜權(quán)的主體

1.權(quán)利主體

GDPR第1條指出：“本條例保護(hù)自然人的基本權(quán)利與自由，特別是自然人享有的個人數(shù)據(jù)保護(hù)的權(quán)利?！彪m然GDPR沒有明確否定法人的權(quán)利主體資格，但是從GDPR第1條立法目的和第4條對于條例內(nèi)各項概念的定義解釋可以看出，法人并不是受GDPR保護(hù)的權(quán)利主體，更不可能是數(shù)據(jù)可攜權(quán)的權(quán)利主體，由此得知數(shù)據(jù)可攜權(quán)的權(quán)利主體為自然人。由于GDPR屬于歐盟條例，不需經(jīng)過歐盟各成員國立法轉(zhuǎn)換成法律即可直接適用，因此，歐盟境內(nèi)的自然人均可成為數(shù)據(jù)可攜權(quán)的主體。此外，根據(jù)GDPR第3條對于地域范圍的規(guī)定，由于在歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者對個人數(shù)據(jù)的處理均受到GDPR的管轄，因此，任何受到在歐盟境內(nèi)設(shè)立的數(shù)據(jù)控制者服務(wù)的自然人，無論其是否來自歐盟境內(nèi)，均可成為數(shù)據(jù)可攜權(quán)的權(quán)利主體。

2.義務(wù)主體

根據(jù)GDPR第20條規(guī)定，數(shù)據(jù)控制者有義務(wù)以經(jīng)過整理的、普遍使用的和機(jī)器可讀的格式向數(shù)據(jù)主體提交其個人數(shù)據(jù)副本。與數(shù)據(jù)處理者和接受者不同，根據(jù)GDPR第4條第7款規(guī)定，數(shù)據(jù)控制者是指決定個人數(shù)據(jù)處理目的與方式的自然人或法人、公共機(jī)構(gòu)、規(guī)制機(jī)構(gòu)或其他實(shí)體。所有滿足該定義的主體，無論是社交媒體、搜索引擎、在線照片儲存還是銀行、航空公司網(wǎng)絡(luò)系統(tǒng)，無論其規(guī)模大小，都要受到數(shù)據(jù)可攜權(quán)的管轄。在地域管轄上，同樣根據(jù)GDPR第3條規(guī)定，除了歐盟境內(nèi)設(shè)立的數(shù)據(jù)控制者應(yīng)然成為數(shù)據(jù)可攜權(quán)管轄的義務(wù)主體外，在境外設(shè)立的數(shù)據(jù)控制者在滿足“（a）為歐盟境內(nèi)主體提供商品或服務(wù)……或（b）對發(fā)生在歐盟范圍內(nèi)的數(shù)據(jù)主體活動進(jìn)行監(jiān)控”的條件下也受到數(shù)據(jù)可攜權(quán)的約束。

（二）數(shù)據(jù)可攜權(quán)的客體

根據(jù)GDPR第20條規(guī)定，數(shù)據(jù)主體有權(quán)獲得其提供給數(shù)據(jù)控制者的個人數(shù)據(jù)副本，并將此類數(shù)據(jù)從一個數(shù)據(jù)控制者處轉(zhuǎn)移至另一個控制者的權(quán)利。由此來看，數(shù)據(jù)可攜權(quán)的權(quán)利客體和對象應(yīng)為數(shù)據(jù)主體提供給數(shù)據(jù)控制者的個人數(shù)據(jù)。換句話說，數(shù)據(jù)可攜權(quán)范圍內(nèi)的個人數(shù)據(jù)必須滿足兩個條件。

第一，該數(shù)據(jù)為關(guān)于數(shù)據(jù)主體的個人數(shù)據(jù)。首先，應(yīng)當(dāng)明確個人數(shù)據(jù)的內(nèi)涵。目前對于個人數(shù)據(jù)的界定大多采取歐盟95指令中使用的“可識別說”，該觀點(diǎn)也在GDPR和歐盟WP29《關(guān)于個人數(shù)據(jù)概念的意見》中得到完善，并逐漸被其他各國的立法機(jī)關(guān)和學(xué)者所接受。例如，我國齊愛民教授也認(rèn)為，個人信息是指個人的姓名、性別、年齡、血型、健康狀況、身高、人種、地址、職業(yè)、生日等可以直接或者間接識別個人的信息。根據(jù)WP29的解釋，個人數(shù)據(jù)有以下幾個特性：（1）任意性，形式上可以為電子計算機(jī)中存儲的信息或紙質(zhì)文檔中保存的信息，內(nèi)容上可以為客觀的、反映個人身份特征的信息或是主觀的、可以通過主觀評價而識別到某個人的信息;（2）相關(guān)性，個人數(shù)據(jù)必須是關(guān)于某個人的信息，并且這種相關(guān)性可以基于不同場景而產(chǎn)生不同的判斷標(biāo)準(zhǔn);（3）已識別或可識別性，這一點(diǎn)是個人數(shù)據(jù)的核心特征，意味著這種個人數(shù)據(jù)是否可以在所有合理可能的方法下直接或者是間接地識別出某人。其次，由于數(shù)據(jù)可攜權(quán)同時也是針對數(shù)據(jù)控制者必須滿足的義務(wù)，所以有學(xué)者認(rèn)為，數(shù)據(jù)可攜權(quán)的客體不可過于寬泛，應(yīng)當(dāng)對個人數(shù)據(jù)的范圍做出限制性解釋，以免給數(shù)據(jù)控制者增加不合理的負(fù)擔(dān)。

第二，該數(shù)據(jù)必須為數(shù)據(jù)主體向數(shù)據(jù)控制者所提供。但是，GDPR并未明晰數(shù)據(jù)主體所提供的數(shù)據(jù)的具體含義，對此，WP29在解釋中指出，可以將“數(shù)據(jù)主體提供的數(shù)據(jù)”分為以下兩類：（1）數(shù)據(jù)主體有意和主動提供的個人數(shù)據(jù)。該類型數(shù)據(jù)最為簡單、易于分辨，包括數(shù)據(jù)主體在網(wǎng)絡(luò)活動中主動提交的賬戶數(shù)據(jù)，例如，數(shù)據(jù)主體通過在線表格上傳的電子郵件地址、電話號碼以及家庭地址等個人偏好性設(shè)置，這些數(shù)據(jù)通常是在數(shù)據(jù)主體第一次與數(shù)據(jù)控制者進(jìn)行交互時上傳到數(shù)據(jù)控制者服務(wù)器;（2）數(shù)據(jù)主體通過使用服務(wù)或者設(shè)備所提供的觀測數(shù)據(jù)。這一類型數(shù)據(jù)可以被視為數(shù)據(jù)主體被動提供的數(shù)據(jù)，通常表現(xiàn)為數(shù)據(jù)主體的行為數(shù)據(jù)，即數(shù)據(jù)控制者通過記錄、觀察主體行為而得到的數(shù)據(jù)，包括其網(wǎng)站瀏覽歷史、位置數(shù)據(jù)以及通過穿戴設(shè)備記錄的健康數(shù)據(jù)等。與此同時，WP29在解釋中強(qiáng)調(diào)，這一部分?jǐn)?shù)據(jù)不應(yīng)當(dāng)包括數(shù)據(jù)控制者基于統(tǒng)計和分析的目的而產(chǎn)生的衍生數(shù)據(jù)和推斷數(shù)據(jù)，數(shù)據(jù)控制者可以通過對數(shù)據(jù)主體主動提供的個人數(shù)據(jù)和觀測到的數(shù)據(jù)主體的行為數(shù)據(jù)來執(zhí)行某種分析，從而創(chuàng)造推斷數(shù)據(jù)和衍生數(shù)據(jù)，例如，金融系統(tǒng)對于用戶的信用評分，或是企業(yè)對用戶進(jìn)行的分類結(jié)果和用戶畫像等。以電子交易平臺的賣方為例，也就是說，賣家可以要求電子交易平臺提供他在該平臺上的廣告、聯(lián)系信息以及交易記錄和買方對于其評價的數(shù)據(jù)副本，但是不能要求平臺提供經(jīng)過分析后得到的平均信用評級的數(shù)據(jù)副本。

雖然GDPR中并未對數(shù)據(jù)可攜權(quán)規(guī)定的權(quán)利客體提供明確的澄清，但是我們不應(yīng)對其做出過于狹義的或是寬泛的解釋。數(shù)據(jù)主體會更加關(guān)心對象范圍的狹義解釋，因為對于個人數(shù)據(jù)的狹義解釋可能會影響數(shù)據(jù)主體個人數(shù)據(jù)保護(hù)的結(jié)果。而數(shù)據(jù)控制者則擔(dān)心廣義的解釋將會增加數(shù)據(jù)控制者的運(yùn)營成本，因此應(yīng)當(dāng)合理界定數(shù)據(jù)可攜權(quán)的適用范圍?？偟膩碚f，數(shù)據(jù)主體提供的個人數(shù)據(jù)不僅包括主體主動提交的數(shù)據(jù)，還包括基于數(shù)據(jù)主體行為而觀察到的個人數(shù)據(jù)，但不應(yīng)包括數(shù)據(jù)控制者基于主體行為而創(chuàng)建的推斷數(shù)據(jù)和衍生數(shù)據(jù)。

（三）數(shù)據(jù)可攜權(quán)的具體內(nèi)容

根據(jù)GDPR第20條和WP29在指南中的解釋，數(shù)據(jù)可攜權(quán)的具體內(nèi)容應(yīng)當(dāng)包含兩項：個人數(shù)據(jù)接收權(quán)和個人數(shù)據(jù)轉(zhuǎn)移權(quán)。前者是數(shù)據(jù)主體有獲得有關(guān)的個人數(shù)據(jù)副本的權(quán)利，屬于對數(shù)據(jù)訪問權(quán)的延伸;而后者則是數(shù)據(jù)主體有將有關(guān)的個人數(shù)據(jù)從一個控制者轉(zhuǎn)移至另一個控制者的權(quán)利，這種轉(zhuǎn)移不限于社交網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)移，還包括員工離職和醫(yī)療數(shù)據(jù)的轉(zhuǎn)移等。

1.數(shù)據(jù)接收權(quán)

數(shù)據(jù)接收權(quán)是指數(shù)據(jù)主體有獲得其提供給控制者的相關(guān)個人數(shù)據(jù)的權(quán)利，并且其獲得的個人數(shù)據(jù)應(yīng)當(dāng)是結(jié)構(gòu)化、普遍使用的和以機(jī)器可讀的格式。這項權(quán)利可以被視為是數(shù)據(jù)訪問權(quán)的延伸，數(shù)據(jù)主體除了有要求數(shù)據(jù)控制者提供其個人數(shù)據(jù)的權(quán)利外，還有要求個人數(shù)據(jù)是以結(jié)構(gòu)化、普遍使用和以機(jī)器可讀的格式所提供的權(quán)利，這種延伸可以減少個人數(shù)據(jù)在不同數(shù)據(jù)控制者之間流轉(zhuǎn)的障礙。但是實(shí)踐中，對于“結(jié)構(gòu)化、普遍使用和機(jī)器可讀”的格式暫且沒有一個定論，為了避免對企業(yè)自主經(jīng)營權(quán)造成損害，影響數(shù)據(jù)處理形式多元化的發(fā)展.GDPR和WP29并未對該格式采取強(qiáng)制性要求，而是以鼓勵的形式，推進(jìn)行業(yè)協(xié)會和利益相關(guān)方共同制定一套通用的標(biāo)準(zhǔn)和格式以滿足數(shù)據(jù)可攜權(quán)的實(shí)現(xiàn)。WP29進(jìn)一步強(qiáng)調(diào)，“結(jié)構(gòu)化、普遍使用和機(jī)器可讀”的格式不是數(shù)據(jù)控制者提供個人數(shù)據(jù)的唯一標(biāo)準(zhǔn)，而應(yīng)當(dāng)是最低限度的基本要求，最終目的應(yīng)當(dāng)滿足數(shù)據(jù)格式的“互相操作性”。因為如果缺少互相操作性，數(shù)據(jù)就不能在不同的網(wǎng)絡(luò)和IT系統(tǒng)中流通，那么數(shù)據(jù)可攜權(quán)將失去存在的大部分意義。

2.數(shù)據(jù)轉(zhuǎn)移權(quán)

數(shù)據(jù)轉(zhuǎn)移權(quán)是指數(shù)據(jù)主體有將其提供的個人數(shù)據(jù)從一個控制者處轉(zhuǎn)移至另一個控制者處的權(quán)利，并且這種轉(zhuǎn)移不應(yīng)受到數(shù)據(jù)控制者的阻礙。數(shù)據(jù)轉(zhuǎn)移權(quán)是可攜權(quán)獨(dú)立于數(shù)據(jù)訪問權(quán)最核心的區(qū)別之一，這種轉(zhuǎn)移權(quán)類似于歐盟《消費(fèi)者保護(hù)法》賦予消費(fèi)者的一項通訊號碼可攜權(quán)，即消費(fèi)者可以在轉(zhuǎn)移通訊服務(wù)供應(yīng)商的情況下保留自己的通訊號碼。WP29將“無障礙”解釋為不被拒絕訪問、拖延訪問或者重復(fù)利用和傳輸。相應(yīng)地，“障礙”通常表現(xiàn)為：缺少數(shù)據(jù)格式的互相操作性，收取數(shù)據(jù)傳輸費(fèi)用，缺少訪問數(shù)據(jù)格式或API的權(quán)限，故意模糊數(shù)據(jù)集或者過多的部門標(biāo)準(zhǔn)化和認(rèn)證要求等。從本質(zhì)上來講，轉(zhuǎn)移權(quán)不僅增強(qiáng)了保障數(shù)據(jù)主體對其個人數(shù)據(jù)的控制力，同時也是支持歐盟境內(nèi)個人數(shù)據(jù)的自由流動和促進(jìn)數(shù)據(jù)控制者之間競爭的重要工具，且有助于個人數(shù)據(jù)在不同數(shù)據(jù)服務(wù)商之間的傳輸和重復(fù)利用，降低歐盟地區(qū)互聯(lián)網(wǎng)企業(yè)的市場準(zhǔn)入門檻，從而促進(jìn)歐盟數(shù)字化單一市場戰(zhàn)略的推行。

本章主要對數(shù)據(jù)可攜權(quán)的要素也就是權(quán)利架構(gòu)進(jìn)行了分析，從權(quán)利的主體、客體以及數(shù)據(jù)可攜權(quán)的具體內(nèi)容來展開。根據(jù)上文分析可以看到，作為GDPR設(shè)立的新興權(quán)利，數(shù)據(jù)可攜權(quán)的主體范圍，包括權(quán)利主體以及義務(wù)主體與其他在GDPR中規(guī)定的數(shù)據(jù)權(quán)利的主體范圍幾乎一致。對于數(shù)據(jù)可攜權(quán)的客體范圍，雖然其并未在GDPR的條文中得到具體闡述，但WP29卻對其做出了特別的解釋，即數(shù)據(jù)主體提供的個人數(shù)據(jù)不僅包括主體主動提交的數(shù)據(jù)，還包括基于數(shù)據(jù)主體行為而觀察到的個人數(shù)據(jù).但不應(yīng)包括數(shù)據(jù)控制者基于主體行為而創(chuàng)建的推斷數(shù)據(jù)和衍生數(shù)據(jù)。從權(quán)利內(nèi)容的方面來看，數(shù)據(jù)可攜權(quán)不僅包括數(shù)據(jù)主體對于其個人數(shù)據(jù)的獲取權(quán)，而且還包括對于個人數(shù)據(jù)的轉(zhuǎn)移權(quán)，而后者權(quán)利則構(gòu)成了數(shù)據(jù)可攜權(quán)與數(shù)據(jù)訪問權(quán)的最核心的區(qū)別。數(shù)據(jù)可攜權(quán)作為一項固化數(shù)據(jù)可遷移性的權(quán)利，在一定程度上加強(qiáng)了數(shù)據(jù)主體對于其個人數(shù)據(jù)的控制能力，并重新設(shè)置了個人數(shù)據(jù)間的流動規(guī)則，從而減少數(shù)據(jù)控制者利用“鎖定效應(yīng)”固定消費(fèi)者控制相關(guān)市場的反競爭行為。

三、歐盟數(shù)據(jù)可攜權(quán)的行使

（一）行使方式與條件

根據(jù)GDPR第20條第（1）款（a）（b）項，數(shù)據(jù)主體有權(quán)處理或轉(zhuǎn)移個人數(shù)據(jù)的行為必須滿足兩個條件：數(shù)據(jù)可攜權(quán)涉及到的數(shù)據(jù)必須是通過“自動化方式”進(jìn)行處理的;處理行為基于數(shù)據(jù)主體的同意或數(shù)據(jù)主體為合同的締約方。對前者容易理解，數(shù)據(jù)可攜權(quán)僅僅使用于被“自動化方式”處理過的個人數(shù)據(jù)，因此紙質(zhì)文件數(shù)據(jù)不能納入可攜權(quán)的范圍。此外，數(shù)據(jù)可攜權(quán)還需要基于數(shù)據(jù)主體的同意或合同時方能行使。知情同意是個人數(shù)據(jù)法保護(hù)的最基本的原則，根據(jù)GDPR第16條，“同意”的標(biāo)準(zhǔn)必須具體、清晰，是在用戶充分知情的情況下以自愿方式做出。在這種高標(biāo)準(zhǔn)下，以往數(shù)據(jù)控制者通過復(fù)雜繁瑣的隱私政策要求用戶以同意上述所有要求的方式做出一攬子授權(quán)的做法將失去合法性;數(shù)據(jù)控制者在獲得用戶知情同意時盡到明確、清晰的提示義務(wù)，以簡單易懂的語言讓用戶真的理解他們的個人數(shù)據(jù)將被如何收集和處理，而不僅僅是形式上獲得用戶的同意。此外，GDPR第8條還對未滿16周歲的兒童“同意”作出了特別規(guī)定，在處理兒童個人數(shù)據(jù)時必須獲得其父母或者其他監(jiān)護(hù)人同意。從這些規(guī)定可以看出，GDPR增加了對于數(shù)據(jù)控制者的法定義務(wù)，加強(qiáng)了對于知情同意要件的認(rèn)定，加強(qiáng)了個人信息自決理論在個人數(shù)據(jù)保護(hù)實(shí)踐中的貫徹。在數(shù)據(jù)主體明示同意的情況下.數(shù)據(jù)控制者為了實(shí)現(xiàn)與數(shù)據(jù)主體之間成立合同目的而進(jìn)行處理的數(shù)據(jù)也可以納入數(shù)據(jù)可攜權(quán)的范圍。例如，用戶在網(wǎng)站上購買商品的交易記錄、或是保險買賣合同中保險公司為提供產(chǎn)品而收集、處理的用戶個人信息等。

在滿足上述兩個行使條件的情況下，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者提供有關(guān)于該數(shù)據(jù)主體的個人數(shù)據(jù)。但是，GDPR第20條第（2）款同時還對個人數(shù)據(jù)轉(zhuǎn)移提出了特殊的規(guī)定，即在技術(shù)可行的情況下，數(shù)據(jù)控制者還負(fù)有將可攜個人數(shù)據(jù)直接傳輸給其他數(shù)據(jù)控制者的義務(wù)?？墒荊DPR和WP29并未對“技術(shù)可行”做出進(jìn)一步解釋，并且強(qiáng)調(diào)了技術(shù)可行的要求并不意味著要求數(shù)據(jù)控制者負(fù)有采用或維護(hù)技術(shù)兼容處理系統(tǒng)的強(qiáng)制義務(wù)，因為這必然給企業(yè)帶來額外的成本?！凹夹g(shù)上可行”是個寬泛的表達(dá)，其并不等同于經(jīng)濟(jì)上可行。歐洲銀行聯(lián)合會（EBF）對此做出如下解釋：如果數(shù)據(jù)控制者聲稱轉(zhuǎn)移是不可行的，則必須證明這一點(diǎn)，如果不能提供足夠的證明，則應(yīng)當(dāng)保證數(shù)據(jù)的可傳輸性。同時WP29指出，數(shù)據(jù)控制者之間進(jìn)行數(shù)據(jù)傳輸?shù)募夹g(shù)可行性應(yīng)當(dāng)采取個人評估的方式，如果兩個數(shù)據(jù)控制者的系統(tǒng)具備以安全的方式傳出和接收個人數(shù)據(jù)的技術(shù)條件，那么這兩者之間可以進(jìn)行傳輸。如果不具備此項條件，那么數(shù)據(jù)控制者應(yīng)當(dāng)將數(shù)據(jù)障礙情況向數(shù)據(jù)主體進(jìn)行解釋。

（二）行使限制

在法律適用方面，任何一項權(quán)利的行使都應(yīng)當(dāng)受到合理的限制，數(shù)據(jù)可攜權(quán)亦是如此。根據(jù)GDPR第20條第（3）（4）款的規(guī)定：行使該條第（1）款規(guī)定的數(shù)據(jù)可攜權(quán)時，不得影響第17條數(shù)據(jù)被遺忘權(quán)的規(guī)定。對于數(shù)據(jù)控制者為了公共利益，或是行使公權(quán)力而進(jìn)行的必要處理，也不適用數(shù)據(jù)可攜權(quán)的規(guī)定。此外，數(shù)據(jù)可攜權(quán)的行使不能對他人的權(quán)利或自由產(chǎn)生負(fù)面影響。據(jù)此，行使數(shù)據(jù)可攜權(quán)有三個例外規(guī)定。

第一個例外涉及到GDPR第17條規(guī)定的被遺忘權(quán)。從法條文義上解釋，數(shù)據(jù)可攜權(quán)與被遺忘權(quán)是可以并存的，數(shù)據(jù)主體可以在行使數(shù)據(jù)可攜權(quán)的同時要求原數(shù)據(jù)控制者刪除其個人數(shù)據(jù);但同時WP29也強(qiáng)調(diào)，數(shù)據(jù)可攜權(quán)并不必然導(dǎo)致被遺忘權(quán)的觸發(fā).個人數(shù)據(jù)在被數(shù)據(jù)主體提取或轉(zhuǎn)移之后并不必然導(dǎo)致被刪除，只有在滿足被遺忘權(quán)的形式要件情況下（例如數(shù)據(jù)主體撤回同意、數(shù)據(jù)處理不合法或不再必要、或者數(shù)據(jù)主體反對處理有關(guān)個人數(shù)據(jù)等情況），經(jīng)過數(shù)據(jù)主體主張，原數(shù)據(jù)控制者方有義務(wù)刪除有關(guān)的個人數(shù)據(jù)。

第二個例外是為了滿足某些特殊利益。GDPR第89條規(guī)定了行使數(shù)據(jù)可攜權(quán)的減損規(guī)則，即在為了實(shí)現(xiàn)公共利益、科學(xué)歷史研究、統(tǒng)計目的或是為了行使法律賦予數(shù)據(jù)控制者的權(quán)力而進(jìn)行處理的數(shù)據(jù)，可以合理限制其可攜性，但這并不意味著數(shù)據(jù)主體對這類型的個人數(shù)據(jù)無法主張可攜權(quán)，只是在如果完全實(shí)現(xiàn)可攜權(quán)訴求可能使上述目的實(shí)現(xiàn)復(fù)雜化甚至無法實(shí)現(xiàn)的情況下方可實(shí)現(xiàn)對于數(shù)據(jù)可攜權(quán)的克減。換句話說，如果對該部分?jǐn)?shù)據(jù)行使可攜權(quán)并不會阻礙公共利益、科學(xué)歷史研究、統(tǒng)計目的或是數(shù)據(jù)控制者行使法律賦予的權(quán)力的情況下，該權(quán)利不用克減。

從前文的論述可以看到，數(shù)據(jù)可攜權(quán)更多關(guān)注的是數(shù)據(jù)主體對于其個人數(shù)據(jù)的控制力以及個人數(shù)據(jù)在不同數(shù)據(jù)控制者之間的轉(zhuǎn)移能力。但是對于數(shù)據(jù)控制者而言，用戶轉(zhuǎn)換成本的減少必然導(dǎo)致企業(yè)運(yùn)營成本的增加。GDPR將數(shù)據(jù)可攜權(quán)確定為數(shù)據(jù)主體的基本權(quán)利，無論其規(guī)模大小均可以被適用于所有企業(yè).這在一定程度上違背了競爭政策的原則和精神。不僅如此，數(shù)據(jù)可攜權(quán)要求個人數(shù)據(jù)能夠“不受阻礙地”在數(shù)據(jù)控制者之間以滿足“互相操作性”的格式進(jìn)行轉(zhuǎn)移，這個要求在一定程度上會增加個人數(shù)據(jù)泄露的風(fēng)險，因而要求數(shù)據(jù)控制者投入更多的運(yùn)營成本來防止數(shù)據(jù)主體權(quán)利受到負(fù)面威脅。對于消費(fèi)者而言，這些增加的運(yùn)營成本最終都會轉(zhuǎn)嫁到消費(fèi)者身上，因此，消費(fèi)者福利也有可能受到潛在的減損?？傊?，數(shù)據(jù)可攜權(quán)在實(shí)踐中帶來的新問題也許比想象的更加復(fù)雜。

五、歐盟數(shù)據(jù)可攜權(quán)的本土化思考

縱觀世界范圍內(nèi)的個人數(shù)據(jù)立法，無論是從數(shù)據(jù)保護(hù)的前沿性還是從數(shù)據(jù)權(quán)利體系的完善性來看，歐盟地區(qū)都走在世界前列，而數(shù)據(jù)可攜權(quán)作為歐盟最新數(shù)據(jù)保護(hù)立法中的獨(dú)創(chuàng)性權(quán)利自然成為了世界司法界關(guān)注的焦點(diǎn)。相較歐盟而言，我國在個人信息保護(hù)方面仍處于探索階段，尚未形成一個完備的個人數(shù)據(jù)保護(hù)法律體系。對于是否引入數(shù)據(jù)可攜權(quán)，在我國學(xué)界為數(shù)不多的研究中，主流觀點(diǎn)是不建議全盤、立即和貿(mào)然引入，而要審慎對待。比如，冉從敬、張沫認(rèn)為：數(shù)據(jù)可攜權(quán)不是單一的法律條款，而需要訪問權(quán)、監(jiān)管措施等諸多法律條款進(jìn)行保障才能發(fā)揮效用，我國缺乏完善的數(shù)據(jù)保護(hù)法律體系，因而缺少引入數(shù)據(jù)可攜權(quán)的法律基礎(chǔ);謝琳、曾俊森論證了數(shù)據(jù)可攜權(quán)的諸多不足后，認(rèn)為我國雖已有數(shù)據(jù)可攜權(quán)規(guī)定的雛形，但在經(jīng)過充分的產(chǎn)業(yè)情況調(diào)研以及實(shí)踐檢驗之前，暫不適宜引入;高富平、余超則認(rèn)為數(shù)據(jù)可攜權(quán)具有安全風(fēng)險、實(shí)踐中幾乎無法操作等固有缺陷，我國不應(yīng)魯莽引入，應(yīng)在未來的立法與實(shí)踐當(dāng)中進(jìn)行重構(gòu)或者舍棄。因此，無論從權(quán)利的新穎性還是權(quán)利體系的完備性來看，我國都不可避免地需要考慮和借鑒歐盟體系。但是借鑒并不意味著一味的照搬抄襲，對于是否引進(jìn)數(shù)據(jù)可攜權(quán)而言，我們需要認(rèn)真思考其與我國社會發(fā)展和司法現(xiàn)狀的適配性，避免因為盲目引入而產(chǎn)生與我國現(xiàn)有法律制度的沖突以及阻礙我國信息產(chǎn)業(yè)的發(fā)展。筆者認(rèn)為，我們既不宜盲目引進(jìn)，也不應(yīng)一味拒絕，如何建構(gòu)中國模式的數(shù)據(jù)可攜權(quán)仍然是對我國專家的一次挑戰(zhàn)，有必要對其作出本土化思考。

（一）本土化的不利方面

正如前文所述，數(shù)據(jù)可攜權(quán)在美好的設(shè)想下，仍然可能在數(shù)據(jù)安全上面臨巨大風(fēng)險以及與現(xiàn)有法律制度產(chǎn)生沖突矛盾。歐盟對于數(shù)據(jù)可攜權(quán)的司法實(shí)踐經(jīng)驗尚不足一年，有學(xué)者曾提出執(zhí)行數(shù)據(jù)可攜權(quán)的成本或許將遠(yuǎn)遠(yuǎn)大于降低市場門檻給中小型企業(yè)帶來的福利，因此只有時間才能證明處理數(shù)據(jù)可攜性的請求是否過于昂貴。

此外，一項法律制度的引進(jìn)除了要以充分的理論研究為基礎(chǔ)，更要從社會經(jīng)濟(jì)發(fā)展背景來考慮。正如前文提到的，歐盟提出數(shù)據(jù)可攜權(quán)的一個目的是削弱以美國為首的互聯(lián)網(wǎng)巨頭的數(shù)據(jù)壟斷帶來的優(yōu)勢，促進(jìn)歐盟本土企業(yè)的發(fā)展從而減少歐美互聯(lián)網(wǎng)產(chǎn)業(yè)之間的發(fā)展差距。對于我國而言，根據(jù)《國家信息化發(fā)展戰(zhàn)略綱要》和《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》的戰(zhàn)略布局，我國互聯(lián)網(wǎng)和大數(shù)據(jù)產(chǎn)業(yè)正處于蓬勃發(fā)展的階段，在2018年營業(yè)額排名前二十的全球互聯(lián)網(wǎng)企業(yè)中.中國僅次于美國，占據(jù)了八個席位。可以說，我國已經(jīng)成為了與美國并首的互聯(lián)網(wǎng)大國，這與國家給予互聯(lián)網(wǎng)企業(yè)寬松的政策環(huán)境是分不開的。因此我們應(yīng)該保持這種奮發(fā)向上的勢頭，在立法方面減輕企業(yè)負(fù)擔(dān)，以寬松的國家政策和人口紅利繼續(xù)刺激互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展。

數(shù)據(jù)可攜權(quán)的實(shí)行對于社會互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展和個人數(shù)據(jù)保護(hù)的影響還未穩(wěn)定下來，在個人數(shù)據(jù)保護(hù)法律體系較為完善的歐盟尚且應(yīng)該對數(shù)據(jù)可攜權(quán)的施行持謹(jǐn)慎態(tài)度，因此，我國更應(yīng)該理性看待數(shù)據(jù)可攜權(quán)的引進(jìn)。

（二）本土化的有利方面

雖然從數(shù)據(jù)可攜權(quán)本身缺陷和歐盟與中國不同的互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展背景的角度而言，我國在現(xiàn)今階段暫且不宜盲目照搬數(shù)據(jù)可攜權(quán)，但是這并不意味著數(shù)據(jù)可攜權(quán)制度一文不值，其不足也并非不能克服。數(shù)據(jù)可攜權(quán)作為一個前沿概念，既帶來爭議又充滿了希望，對于改善我國目前數(shù)據(jù)保護(hù)現(xiàn)狀十分具有誘惑力。它能改善當(dāng)前個人數(shù)據(jù)被泄露或被不法利用的現(xiàn)狀，增強(qiáng)數(shù)據(jù)主體對于個人數(shù)據(jù)的控制力.對我國的個人數(shù)據(jù)權(quán)利類型化、權(quán)利體系化具有借鑒意義。

目前我國關(guān)于個人信息的立法散見于各類法律法規(guī)之中，總體上十分落后，導(dǎo)致當(dāng)前數(shù)據(jù)泄露事件頻發(fā)，數(shù)據(jù)主體對于其個人數(shù)據(jù)的控制力不足，成為了阻礙數(shù)據(jù)產(chǎn)業(yè)發(fā)展的瓶頸之一。但是，我國《數(shù)據(jù)安全法》《個人信息保護(hù)法》等新法制定和《科學(xué)技術(shù)進(jìn)步法》等舊法修改已被列入當(dāng)前十三屆全國人大五年立法規(guī)劃，其內(nèi)容有望對數(shù)據(jù)可攜權(quán)加以關(guān)注和規(guī)定。不僅如此，我們還可以從歐盟數(shù)據(jù)可攜權(quán)的規(guī)定中，借鑒數(shù)據(jù)獲取權(quán)的內(nèi)容，賦予數(shù)據(jù)主體要求數(shù)據(jù)控制者提供其有關(guān)的個人數(shù)據(jù)的權(quán)利。讓數(shù)據(jù)主體更清楚地明白其個人數(shù)據(jù)被收集的方式和程度，從實(shí)質(zhì)意義上增強(qiáng)數(shù)據(jù)主體對于其個人數(shù)據(jù)的控制能力。

此外，為了實(shí)現(xiàn)個人數(shù)據(jù)主體、政府、企業(yè)等多方主體的利益平衡，我國可在數(shù)據(jù)可攜權(quán)的權(quán)利客體、內(nèi)容與行使條件上加以限縮，分領(lǐng)域分行業(yè)、區(qū)分不同適用主體而賦予不同的權(quán)利內(nèi)容和苛加不同的限制條件。據(jù)此，結(jié)合國家社會整體進(jìn)程的發(fā)展所需與個人信息化生存的權(quán)益訴求，在動態(tài)平衡中，分階段逐步實(shí)現(xiàn)數(shù)據(jù)可攜權(quán)，避免“一刀切”和“大躍進(jìn)”，也是本土化的一種可行思路。