崔聰聰，劉傳新

(北京郵電大學(xué) 人文學(xué)院，北京 100876)

一、問題的提出

數(shù)據(jù)可攜帶權(quán)是歐盟在《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，GDPR)中提出的一項新型數(shù)據(jù)權(quán)利。從誕生開始，該項權(quán)利的屬性和實施等問題就存在很大爭議。然而，為了和歐盟的數(shù)據(jù)保護水平相匹配，世界上很多國家和地區(qū)的個人信息保護法都規(guī)定了數(shù)據(jù)可攜帶權(quán)。《中華人民共和國個人信息保護法》(以下簡稱“《個人信息保護法》”)第45條第3款也明確規(guī)定個人享有數(shù)據(jù)可攜帶權(quán)(1)《個人信息保護法》第45條第3款規(guī)定：“個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑?！?，但未規(guī)定其具體適用條件和范圍，而是授權(quán)國家網(wǎng)信部門來規(guī)定。國家網(wǎng)信辦會同相關(guān)部門研究起草的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》第24條規(guī)定了數(shù)據(jù)可攜帶權(quán)的適用條件、適用范圍(2)《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》第24條規(guī)定：“符合下列條件的個人信息轉(zhuǎn)移請求，數(shù)據(jù)處理者應(yīng)當(dāng)為個人指定的其他數(shù)據(jù)處理者訪問、獲取其個人信息提供轉(zhuǎn)移服務(wù)：(一)請求轉(zhuǎn)移的個人信息是基于同意或者訂立、履行合同所必需而收集的個人信息；(二)請求轉(zhuǎn)移的個人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息；(三)能夠驗證請求人的合法身份。數(shù)據(jù)處理者發(fā)現(xiàn)接收個人信息的其他數(shù)據(jù)處理者有非法處理個人信息風(fēng)險的，應(yīng)當(dāng)對個人信息轉(zhuǎn)移請求做合理的風(fēng)險提示。請求轉(zhuǎn)移個人信息次數(shù)明顯超出合理范圍的，數(shù)據(jù)處理者可以收取合理費用?！薄Ｏ啾扔跉W洲數(shù)據(jù)保護委員會的前身——歐盟第29條工作組(Article 29 Working Party，WP29)頒布的《數(shù)據(jù)可攜帶權(quán)指南》(Guidelines On The Right To Data Portability)，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》的數(shù)據(jù)可攜帶權(quán)條文仍屬粗線條規(guī)定，無法為實踐提供明確指引。

目前，理論界對數(shù)據(jù)可攜帶權(quán)的研究主要聚焦于權(quán)利屬性、功能定位。就權(quán)利屬性而言，代表性觀點有：基本權(quán)利否定說[1]、個人信息權(quán)的分支[2]、包含人身權(quán)和財產(chǎn)權(quán)的新型個人權(quán)利[3]、消費者參與數(shù)據(jù)紅利分享的機制[4]113-114等；就數(shù)據(jù)可攜帶權(quán)的功能定位而言，主流觀點將其定位為保護個人數(shù)據(jù)權(quán)利和反壟斷的工具[5-6]。對數(shù)據(jù)可攜帶權(quán)的制度設(shè)計和具體適用問題，學(xué)者鮮有論及，且存在爭議。有學(xué)者認為，應(yīng)寬泛地界定數(shù)據(jù)可攜帶權(quán)的客體，對于技術(shù)可行性不作嚴格解釋，增加權(quán)利限制條款[4]123；有學(xué)者認為數(shù)據(jù)可攜帶權(quán)的客體在特定行業(yè)可以延伸到衍生數(shù)據(jù)，技術(shù)標準的設(shè)定應(yīng)由監(jiān)管部門、行業(yè)利益相關(guān)者博弈，合理分配安全風(fēng)險和成本[7]16-19。

現(xiàn)有研究成果大多在歐盟條文及WP29制定的《數(shù)據(jù)可攜帶權(quán)指南》框架下展開，將數(shù)據(jù)可攜帶權(quán)的制度功能定位為保護用戶個人信息權(quán)益和反壟斷。一味地強調(diào)個人信息權(quán)益保護與反壟斷，其隱含的出發(fā)點是將個人信息處理者與個人信息主體對立，結(jié)果自然是無法解決權(quán)利行使過程中的數(shù)據(jù)安全和權(quán)利沖突問題。有學(xué)者雖然從消費者福利、分配正義的角度理解數(shù)據(jù)可攜帶權(quán)，但是沒有真正說明在數(shù)據(jù)生產(chǎn)過程中個人與企業(yè)分別扮演的角色、二者之間的關(guān)系以及個人數(shù)據(jù)所帶來利益的分配，因此無法提出科學(xué)的制度架構(gòu)。數(shù)據(jù)可攜帶權(quán)要想在實踐中順利落地實施，需要消除個人信息處理者和個人信息主體之間的對立并形成共識。數(shù)據(jù)生產(chǎn)理論可以彌合二者的利益沖突。因此，筆者嘗試從數(shù)據(jù)生產(chǎn)的視角理解和構(gòu)建數(shù)據(jù)可攜帶權(quán)。

二、GDPR數(shù)據(jù)可攜帶權(quán)再考察

(一)制度背景

以數(shù)據(jù)為基礎(chǔ)生產(chǎn)要素的數(shù)字經(jīng)濟逐漸成為各個國家和地區(qū)新的經(jīng)濟增長點。歐盟雖然擁有巨大市場，但是不爭的事實是，它的數(shù)字經(jīng)濟和數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)模遠遠落后于美國。20世紀末21世紀初，美國的蘋果、微軟、亞馬遜、谷歌、Facebook等企業(yè)逐漸成長為互聯(lián)網(wǎng)行業(yè)的巨頭，而歐洲幾乎沒有出現(xiàn)一個可以與美國抗衡的互聯(lián)網(wǎng)企業(yè)。面對這一巨大壓力，歐盟發(fā)揮自己在制定規(guī)則方面的優(yōu)勢，加速了在數(shù)據(jù)領(lǐng)域的立法過程，從《關(guān)于個人數(shù)據(jù)自動化處理之個人保護公約》到《數(shù)據(jù)保護指令》，再到現(xiàn)在的GDPR[8]，歐盟數(shù)據(jù)立法越來越細致，對于個人數(shù)據(jù)權(quán)利的規(guī)范越來越嚴密，數(shù)據(jù)可攜帶權(quán)就是新規(guī)定的一項權(quán)利。

互聯(lián)網(wǎng)企業(yè)的迅速發(fā)展不僅在國家層面是一種威脅，而且在個人層面，造成個人處于弱勢地位。大型互聯(lián)網(wǎng)企業(yè)的壟斷行為會損害消費者的合法權(quán)益，其不受限制地收集個人信息的行為也會損害個人的數(shù)據(jù)權(quán)利。因此，出于對個人的基本人權(quán)、人格權(quán)、數(shù)據(jù)權(quán)利的保護，歐盟不斷地完善數(shù)據(jù)領(lǐng)域的立法工作。從企業(yè)層面來說，超大型互聯(lián)網(wǎng)企業(yè)占據(jù)著先發(fā)優(yōu)勢，利用互聯(lián)網(wǎng)服務(wù)極大的客戶黏性實施壟斷行為，發(fā)揮互聯(lián)網(wǎng)的“鎖定效應(yīng)”，阻礙后發(fā)的互聯(lián)網(wǎng)企業(yè)的發(fā)展。雖然歐盟本身是一個巨大的市場，但是其互聯(lián)網(wǎng)市場份額基本被美國的互聯(lián)網(wǎng)企業(yè)所瓜分，這也是其難以發(fā)展自己的互聯(lián)網(wǎng)企業(yè)的重要原因之一。

在GDPR正式確立數(shù)據(jù)可攜帶權(quán)之前，已經(jīng)有不少類似實踐。美國于1996年規(guī)定電話運營商應(yīng)該配合消費者在切換到新供應(yīng)商時攜帶電話號碼的要求。2002年歐盟《通用服務(wù)指令》(Universal Service Directive)也規(guī)定了“用戶號碼的可攜性”(number portability)，“攜號轉(zhuǎn)網(wǎng)”被認為是數(shù)據(jù)可攜帶權(quán)的雛形。2010年，時任美國總統(tǒng)奧巴馬提出“My Data”計劃，推動公共機構(gòu)與企業(yè)之間的數(shù)據(jù)流動[9]。2018年，谷歌、微軟、蘋果等互聯(lián)網(wǎng)公司共同推出了數(shù)據(jù)傳輸項目(data transfer project)，旨在促進平臺之間的數(shù)據(jù)攜帶。理論層面，2012年歐盟《統(tǒng)一數(shù)據(jù)保護條例(建議案)》中首次規(guī)定了數(shù)據(jù)可攜帶權(quán)，并最終在2018年生效的GDPR中被確定為一項獨立權(quán)利。

(二)制度功能

“權(quán)利之功能”是權(quán)利受其自身本質(zhì)特性決定而必然對權(quán)利名義下的行為所具有的影響和功用[10]。每一項權(quán)利和制度的設(shè)立都有著其自身想要實現(xiàn)的目的和功能，而制度的功能往往是被其產(chǎn)生的制度背景所深刻影響甚至決定的?；谏鲜鲋贫缺尘埃瑪?shù)據(jù)可攜帶權(quán)的制度功能主要有以下幾點：

1.增強個人數(shù)據(jù)權(quán)利

依照體系解釋，數(shù)據(jù)可攜帶權(quán)的首要功能應(yīng)該是保護和增強個人的數(shù)據(jù)權(quán)利。數(shù)字經(jīng)濟的“野蠻”發(fā)展對個人的數(shù)據(jù)安全和數(shù)據(jù)權(quán)利都是一種極大威脅，因此歐盟出臺GDPR加以應(yīng)對?！稓W盟委員會關(guān)于GDPR實施兩周年評估報告》中指出，GDPR是歐盟框架的核心，保障了《歐盟基本權(quán)利憲章》第8條和《歐盟運作條約》第16條規(guī)定的數(shù)據(jù)保護基本權(quán)利[11]。GDPR第1條也指出，本條例保護的是自然人的基本權(quán)利與自由，特別是自然人享有的個人數(shù)據(jù)保護的權(quán)利(3)GDPR Chapter1 Articlel：“This regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data.”。可見，GDPR中所有條款的價值目標都是為了保護自然人的基本權(quán)利與自由。數(shù)據(jù)可攜帶權(quán)具體規(guī)定于GDPR第20條，是第三章“數(shù)據(jù)主體的權(quán)利”之下的條款，從這些確權(quán)的規(guī)范文本可以看出，數(shù)據(jù)可攜帶權(quán)應(yīng)該首先被看作數(shù)據(jù)主體的權(quán)利之一。

2.促進公平競爭

《數(shù)據(jù)可攜帶權(quán)指南》明確指出，數(shù)據(jù)可攜帶權(quán)將促進數(shù)據(jù)控制者之間的競爭[12]。該權(quán)利旨在打破用戶因為個人數(shù)據(jù)無法攜帶導(dǎo)致更換互聯(lián)網(wǎng)服務(wù)時產(chǎn)生巨大的轉(zhuǎn)換成本所帶來的“鎖定效應(yīng)”。數(shù)據(jù)可攜帶權(quán)允許用戶將數(shù)據(jù)帶到新的服務(wù)提供商，使得一家公司對個人數(shù)據(jù)的訪問不排除另一家公司的訪問，體現(xiàn)出數(shù)據(jù)的非競爭性。數(shù)據(jù)可攜帶權(quán)可以降低轉(zhuǎn)換成本，方便新的市場參與者進入，并加劇已經(jīng)進入市場的公司之間的競爭。因為如果用戶能夠?qū)?shù)據(jù)轉(zhuǎn)移到多個服務(wù)提供商，那么他們與給定平臺的聯(lián)系就會更少。

互聯(lián)網(wǎng)企業(yè)具有迅速擴張的特性，在一個市場占據(jù)主導(dǎo)地位的企業(yè)可以利用其收集和掌握的個人數(shù)據(jù)在其他市場獲得競爭優(yōu)勢，從而形成一個“生態(tài)系統(tǒng)”，在很多相關(guān)的市場都迅速占據(jù)主導(dǎo)地位。谷歌、亞馬遜、Facebook等互聯(lián)網(wǎng)公司利用其數(shù)據(jù)優(yōu)勢，在汽車、醫(yī)療、人工智能等領(lǐng)域的迅速發(fā)展就是最好的證明。數(shù)據(jù)可攜帶權(quán)可以避免這種情況的發(fā)生，使得相關(guān)市場的競爭仍然存在。因此，相比那些已經(jīng)出現(xiàn)了占主導(dǎo)地位的經(jīng)營者的市場來說，數(shù)據(jù)可攜帶權(quán)對于促進新興市場或發(fā)展中市場的競爭可能更為有效。

3.刺激數(shù)字經(jīng)濟發(fā)展

WP29在《數(shù)據(jù)可攜帶權(quán)指南》中表明，數(shù)據(jù)可攜帶權(quán)的主要目的是加強個人對其個人數(shù)據(jù)的控制，并確保他們在數(shù)據(jù)生態(tài)系統(tǒng)中發(fā)揮積極作用，并且將會培養(yǎng)數(shù)據(jù)主體控制之下的、數(shù)據(jù)控制者之間個人數(shù)據(jù)的創(chuàng)新和分享的機會[12]。由此可見，數(shù)據(jù)可攜帶權(quán)的另一制度功能就是通過賦予個人數(shù)據(jù)可攜帶權(quán)，創(chuàng)造一個可以信任的網(wǎng)絡(luò)環(huán)境，促進個人數(shù)據(jù)流動，從而刺激數(shù)字經(jīng)濟的發(fā)展。實際上，歐盟確立數(shù)據(jù)可攜帶權(quán)的目的不僅在于強調(diào)個人對于個人數(shù)據(jù)“靜態(tài)”的控制，更在于強調(diào)個人對于“再利用”其個人數(shù)據(jù)的話語權(quán)。其更高的目標在于促進個人數(shù)據(jù)在個人控制下的有序流動，從而促進數(shù)字經(jīng)濟的發(fā)展。歐盟在2021年關(guān)于《一般數(shù)據(jù)保護條例》的最初議案中就指出，數(shù)據(jù)可攜帶權(quán)是網(wǎng)絡(luò)環(huán)境下重建交易信任的重要工具，而重建信任的重要策略是加強個人對數(shù)據(jù)的控制[13]。這是歐盟面對數(shù)字經(jīng)濟發(fā)展的壓力給出的回應(yīng)。

(三)制度內(nèi)容

歐盟GDPR第20條對數(shù)據(jù)可攜帶權(quán)作出規(guī)定，權(quán)利內(nèi)容主要是允許數(shù)據(jù)主體有權(quán)以結(jié)構(gòu)化、通用化和機器可讀的格式接收其提供給數(shù)據(jù)控制者的有關(guān)個人的數(shù)據(jù)，并有權(quán)將這些數(shù)據(jù)傳輸給另一個數(shù)據(jù)控制者。此項權(quán)利與數(shù)據(jù)訪問權(quán)密切相關(guān)，具體而言，主要有以下適用條件：

1.數(shù)據(jù)處理建立在數(shù)據(jù)主體同意或履行合同的基礎(chǔ)上

GDPR第6條對數(shù)據(jù)處理的合法性基礎(chǔ)作出多項規(guī)定，數(shù)據(jù)可攜帶權(quán)只適用于基于數(shù)據(jù)主體同意或履行合同的數(shù)據(jù)處理行為。其功能之一是保護個人的數(shù)據(jù)權(quán)利，在權(quán)利層級上，應(yīng)該讓位于公共利益、國家安全等更高層級的法益。因此，為了履行法定義務(wù)、公共利益等對個人數(shù)據(jù)進行處理的行為并不適用于數(shù)據(jù)可攜帶權(quán)。

2.可攜帶的個人數(shù)據(jù)限定為自然人所提供

對于何為“提供”，WP29在《數(shù)據(jù)可攜帶權(quán)指南》中作出解釋，為“數(shù)據(jù)主體主動以及在知情的情況下提供的數(shù)據(jù)”和“數(shù)據(jù)主體使用服務(wù)或設(shè)備時向其提供的觀測數(shù)據(jù)”。企業(yè)對收集到的個人數(shù)據(jù)進行處理、加工后的衍生數(shù)據(jù)，例如“用戶畫像”，不在可攜帶的范圍內(nèi)。這體現(xiàn)了歐盟在保護個人數(shù)據(jù)權(quán)利和企業(yè)競爭優(yōu)勢之間尋求的一種平衡。

3.數(shù)據(jù)格式“結(jié)構(gòu)化”“通用”“機器可讀”

這三點更側(cè)重于技術(shù)上的要求，同時體現(xiàn)出歐盟的矛盾心態(tài)。從保障個人數(shù)據(jù)權(quán)利的角度出發(fā)，對于數(shù)據(jù)控制者之間的“互通性”“技術(shù)可行性”的要求越高，數(shù)據(jù)的攜帶越容易；然而對企業(yè)施加過多的標準要求會增加企業(yè)、尤其是中小企業(yè)的合規(guī)負擔(dān)，不利于數(shù)字經(jīng)濟的發(fā)展。因此，GDPR序言中明確指出，不應(yīng)讓數(shù)據(jù)控制者負有采用或維護技術(shù)兼容處理系統(tǒng)的義務(wù)[14]。WP29《數(shù)據(jù)可攜帶權(quán)指南》對于技術(shù)上的規(guī)定只是沒有強制效力的倡議和鼓勵，對于提供的個人數(shù)據(jù)的格式，也只是鼓勵使用XML、JSON、CSV等。

4.不得影響第三方的權(quán)利和自由

數(shù)據(jù)可攜帶權(quán)保障個人的數(shù)據(jù)權(quán)利，但是不能影響到他人的權(quán)利和自由。例如，當(dāng)攜帶的數(shù)據(jù)有明顯的涉他性時，涉及他人的隱私權(quán)、知識產(chǎn)權(quán)、商業(yè)秘密等，就不能僅憑數(shù)據(jù)主體的攜帶要求而對數(shù)據(jù)進行攜帶。與此同時，WP29《數(shù)據(jù)可攜帶權(quán)指南》也強調(diào)，數(shù)據(jù)控制者不得以涉及知識產(chǎn)權(quán)、商業(yè)秘密為由拒絕向數(shù)據(jù)主體提供所有信息。這體現(xiàn)出歐盟為了平衡多方利益而過于理想化的制度設(shè)計[15]?，F(xiàn)實中的權(quán)利沖突非常復(fù)雜，個人數(shù)據(jù)難以剝離，歐盟想要達到的數(shù)據(jù)可攜帶權(quán)和第三方權(quán)利互不影響、互不阻礙的狀態(tài)幾乎不可能實現(xiàn)。

一項制度的背景是其產(chǎn)生的原因，也因此影響甚至決定了此制度的功能和價值目標；制度內(nèi)容是路徑，制度功能是目標，制度內(nèi)容是為了實現(xiàn)制度功能而設(shè)立的，因此制度功能決定了如何具體規(guī)范該項制度的實施細節(jié)。GDPR規(guī)定的數(shù)據(jù)可攜帶權(quán)想要實現(xiàn)的制度功能過多，既包括個人層面，也包括產(chǎn)業(yè)層面和國家層面。因此，在設(shè)計具體制度時，GDPR想要盡力實現(xiàn)個人、企業(yè)、產(chǎn)業(yè)等多方多種利益的平衡，但是結(jié)果卻不盡如人意，很多時候甚至與想要達到的制度功能相悖，導(dǎo)致每一種利益都沒有得到很好保護。這是因為GDPR預(yù)設(shè)了多方利益主體之間的對立立場，并沒有找到個人利益、企業(yè)利益和產(chǎn)業(yè)利益等多種利益之間的共同點。如果從保護個人數(shù)據(jù)權(quán)利和反壟斷的角度理解，而不是站在更高的視角去審視數(shù)據(jù)可攜帶權(quán)，把企業(yè)看作損害個人數(shù)據(jù)權(quán)利、擾亂市場競爭秩序的“始作俑者”，認為企業(yè)利益和個人數(shù)據(jù)權(quán)利、產(chǎn)業(yè)利益相互沖突和對立，那么保護用戶個人的數(shù)據(jù)權(quán)利和產(chǎn)業(yè)利益就勢必要增加企業(yè)的成本和負擔(dān)，減少或削弱企業(yè)、尤其是有優(yōu)勢地位的企業(yè)的競爭優(yōu)勢，個人數(shù)據(jù)權(quán)利、產(chǎn)業(yè)利益和企業(yè)利益之間變成零和博弈，無法達到動態(tài)平衡。數(shù)據(jù)可攜帶權(quán)對于個人來說，是警惕和對抗企業(yè)、保護個人權(quán)利的工具；而對于企業(yè)來說，則只是一項合規(guī)負擔(dān)，企業(yè)對于數(shù)據(jù)可攜帶權(quán)的態(tài)度和學(xué)生對待老師布置的作業(yè)的態(tài)度一樣，只想“應(yīng)付了事”。如果以這種方式來理解數(shù)據(jù)可攜帶權(quán)，那么這項權(quán)利的實施效率將會變得低下，其作用得不到充分發(fā)揮。法律制度若要順利實現(xiàn)其規(guī)制目標，前提是有效平衡各方的利益，而這要求必須找到各方的利益共同點。因此，數(shù)據(jù)可攜帶權(quán)的制度構(gòu)造應(yīng)當(dāng)以超越各方利益沖突的視角為切入點。數(shù)據(jù)生產(chǎn)背后體現(xiàn)的社會公共利益可以將各方利益進行統(tǒng)一和平衡，從而有效破解雙方的利益沖突，支撐數(shù)據(jù)可攜帶權(quán)的公平構(gòu)建。

三、數(shù)據(jù)生產(chǎn)視角下的數(shù)據(jù)可攜帶權(quán)

(一)數(shù)據(jù)生產(chǎn)的基本原理

數(shù)據(jù)的產(chǎn)生依托于科技發(fā)展，但是數(shù)據(jù)已經(jīng)超越科技范圍，成為一種由法律和科技共同構(gòu)成的社會關(guān)系。這種社會關(guān)系已經(jīng)超越了個人的法律利益，其中包含個人與個人之間、個人與數(shù)據(jù)控制者之間以及相互之間在國家安全層面的多種利益。

在事實層面，數(shù)據(jù)已經(jīng)成為一種現(xiàn)代生產(chǎn)要素，是信息資本的重要組成部分。數(shù)字經(jīng)濟時代，數(shù)據(jù)已經(jīng)有了和貨幣一樣的一般等價物的作用[16]。在國務(wù)院發(fā)布的《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》中指出，我國經(jīng)濟的五大生產(chǎn)要素為土地、勞動力、資本、技術(shù)和數(shù)據(jù)；《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》也規(guī)定“推動將數(shù)據(jù)生產(chǎn)要素納入國民經(jīng)濟核算體系”(4)《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》第64條規(guī)定：“市統(tǒng)計部門應(yīng)當(dāng)探索建立數(shù)據(jù)生產(chǎn)要素統(tǒng)計核算制度，明確統(tǒng)計范圍、統(tǒng)計指標和統(tǒng)計方法，準確反映數(shù)據(jù)生產(chǎn)要素的資產(chǎn)價值，推動將數(shù)據(jù)生產(chǎn)要素納入國民經(jīng)濟核算體系?！薄Ｉa(chǎn)過程就是勞動過程，在勞動過程中，數(shù)據(jù)既作為一種勞動對象，也作為一種勞動資料參與生產(chǎn)。個人產(chǎn)生的、未經(jīng)任何加工的個人數(shù)據(jù)是大數(shù)據(jù)的“原材料”，是數(shù)據(jù)處理者加工的對象，被加工處理成數(shù)據(jù)產(chǎn)品后，在生產(chǎn)、分配、交換、消費環(huán)節(jié)發(fā)揮作用。勞動資料是勞動者和勞動對象的媒介，“是勞動者置于自己和勞動對象之間、用來把自己的活動傳導(dǎo)到勞動對象上去的物或物的綜合體”[17]。數(shù)據(jù)控制者利用收集到的個人信息，不僅可以了解個人特征、喜好等，而且可以了解個人與群體之間的關(guān)系，個人如何與群體之間產(chǎn)生聯(lián)系，并且可將這種聯(lián)系適用于所有具有這些群體特征的個人[18]。

個人數(shù)據(jù)對于群體層面的分析和預(yù)測具有巨大的經(jīng)濟價值，在生產(chǎn)、分配、交換、消費環(huán)節(jié)都對企業(yè)產(chǎn)生指導(dǎo)作用。例如，通過不斷收集某一地區(qū)人群的購物瀏覽記錄，可以分析該地區(qū)人群的購物偏好，個人與群體之間就產(chǎn)生了一種聯(lián)系，即該地區(qū)的人大概率都具有某種購物偏好。因此，當(dāng)一個人被數(shù)據(jù)分析后判斷為該地區(qū)的人群，就可以在其同意的情況下為其推送包含該種購物偏好的推銷信息，這就是個人數(shù)據(jù)在群體層面對順利實現(xiàn)從商品到貨幣“驚險的一躍”的作用。

(二)個人參與數(shù)據(jù)生產(chǎn)：從對立到合作

個人數(shù)據(jù)對于生產(chǎn)具有巨大的推動和指導(dǎo)作用，并產(chǎn)生了巨大的經(jīng)濟利益。然而現(xiàn)實生活中，這些利益被數(shù)據(jù)控制者獨占，用戶為企業(yè)進行“無償?shù)臄?shù)字勞動”，其產(chǎn)生的剩余價值被企業(yè)所剝削。自20世紀90年代起，互聯(lián)網(wǎng)公司轉(zhuǎn)向商業(yè)模式，把可用的“免費”的個人數(shù)據(jù)資源變成現(xiàn)金收益并且獨占[19]。這種獨占導(dǎo)致數(shù)據(jù)控制者與個人之間的緊張關(guān)系，個人對數(shù)據(jù)化的擔(dān)憂、其數(shù)據(jù)產(chǎn)生的剩余價值被壓榨的風(fēng)險，使得科技行業(yè)成為個人不信任和政府監(jiān)管審查的焦點。這大大阻礙了個人數(shù)據(jù)在生產(chǎn)中發(fā)揮作用。

如果個人可以參與到數(shù)據(jù)產(chǎn)生的經(jīng)濟利益的分配中去，個人和數(shù)據(jù)控制者就可以成為一種合作關(guān)系，而非對立關(guān)系。數(shù)據(jù)可攜帶權(quán)為個人參與經(jīng)濟利益的分配提供了一種方式，個人可以通過行使攜帶權(quán)將其個人數(shù)據(jù)提供給其他數(shù)據(jù)控制者，并且獲取一定的經(jīng)濟利益。此時，個人數(shù)據(jù)的提供將會從企業(yè)強迫個人同意收集變?yōu)橛脩魝€人自愿提供，并且個人也愿意將這些數(shù)據(jù)分享給其他企業(yè)。這就使得數(shù)據(jù)的收集和流動更具活力，作為數(shù)字經(jīng)濟“原料”的個人數(shù)據(jù)將會發(fā)揮更大的作用。

(三)數(shù)據(jù)可攜帶權(quán)支撐數(shù)據(jù)生產(chǎn)

1.提供數(shù)據(jù)生產(chǎn)的原材料

個人數(shù)據(jù)是數(shù)據(jù)的重要組成部分，是數(shù)字經(jīng)濟和數(shù)據(jù)生產(chǎn)的原材料和動力。個人通過行使數(shù)據(jù)可攜帶權(quán)將個人數(shù)據(jù)的部分或全部攜帶到另一個數(shù)據(jù)控制者處，另一個數(shù)據(jù)控制者便可以對這些數(shù)據(jù)進行分析、加工。就像同一塊原材料能做出不同成品一樣，不同企業(yè)由于算法不同，對數(shù)據(jù)的挖掘能力不同，對同一數(shù)據(jù)集合的使用也不同，可以提高數(shù)據(jù)的使用效率。通過數(shù)據(jù)可攜帶權(quán)實現(xiàn)個人數(shù)據(jù)在不同數(shù)據(jù)控制者之間的流動，有助于數(shù)字經(jīng)濟的發(fā)展。

2.降低成本

個人數(shù)據(jù)是非競爭性的，一個數(shù)據(jù)控制者對個人數(shù)據(jù)的使用不應(yīng)該影響其他數(shù)據(jù)控制者。但是，由于存在市場競爭，很多數(shù)據(jù)控制者不愿與其他企業(yè)分享其掌握的數(shù)據(jù)，使得非競爭性的個人數(shù)據(jù)變成一種“競爭性資源”，其他數(shù)據(jù)控制者想要獲取個人數(shù)據(jù)難度較大，成本較高。數(shù)據(jù)可攜帶權(quán)可以降低獲取個人數(shù)據(jù)的成本，企業(yè)只需要與個人達成協(xié)議，個人攜帶數(shù)據(jù)至新的數(shù)據(jù)控制者處，就可以實現(xiàn)數(shù)據(jù)的流動；新的數(shù)據(jù)控制者不需要再向原來的數(shù)據(jù)控制者支付對價，只需向個人支付即可。

3.構(gòu)建全國統(tǒng)一數(shù)據(jù)市場

2022年4月10日發(fā)布的《中共中央 國務(wù)院關(guān)于加快建設(shè)全國統(tǒng)一大市場的意見》明確提出加快培育統(tǒng)一的技術(shù)和數(shù)據(jù)市場的要求。這是對于數(shù)據(jù)在事實層面作為生產(chǎn)要素的探索。要想建立統(tǒng)一的數(shù)據(jù)市場，數(shù)據(jù)有序流動非常重要，而個人數(shù)據(jù)作為數(shù)據(jù)的重要組成部分，其有序流動也勢在必行。不管是在數(shù)據(jù)交易所進行，還是個人與數(shù)據(jù)買方直接進行交易，數(shù)據(jù)可攜帶權(quán)都可以作為個人參與分享個人數(shù)據(jù)產(chǎn)生的經(jīng)濟利益的工具。數(shù)據(jù)可攜帶權(quán)使個人能夠“受益于使用個人數(shù)據(jù)所創(chuàng)造的價值”，尤其是可以將數(shù)據(jù)用于自己的目的，或?qū)?shù)據(jù)授權(quán)給第三方進一步使用，以獲得經(jīng)濟利益[20]。數(shù)據(jù)可攜帶權(quán)對于全國統(tǒng)一數(shù)據(jù)市場的形成有推動作用。

從數(shù)據(jù)生產(chǎn)的視角來看，數(shù)據(jù)可攜帶權(quán)可以作為一種促進分配正義的規(guī)制性工具[7]13，在數(shù)據(jù)主體和數(shù)據(jù)平臺之間對數(shù)據(jù)產(chǎn)生的利益進行分配；作為個人可以使用的一種權(quán)利，是個人可以選擇的工具。如果把數(shù)據(jù)可攜帶權(quán)作為一種工具來看待，那么其制度設(shè)計要首先注重實施效率，其次才是對于公平正義的實現(xiàn)。

四、數(shù)據(jù)可攜帶權(quán)的制度設(shè)計

(一)可攜帶數(shù)據(jù)的范圍

從數(shù)據(jù)生產(chǎn)的角度來看，數(shù)據(jù)可攜帶權(quán)適用范圍越大，越有利于發(fā)揮工具性作用。從數(shù)據(jù)使用角度來劃分，個人數(shù)據(jù)可分成三種：第一種是數(shù)據(jù)主體為了正常使用或者提高用戶體驗，在知情同意原則下主動自愿提供的個人數(shù)據(jù)，例如申請注冊時個人提供的基本信息；第二種是對數(shù)據(jù)主體的網(wǎng)絡(luò)活動，例如搜索、瀏覽等行為進行記錄而得到的數(shù)據(jù)，一般統(tǒng)稱為觀測數(shù)據(jù)；第三種是對第一種和第二種數(shù)據(jù)運用算法進行加工產(chǎn)生的數(shù)據(jù)，一般稱作衍生數(shù)據(jù)。個人主動提供的數(shù)據(jù)和觀測數(shù)據(jù)屬于數(shù)據(jù)可攜帶權(quán)的適用范圍已經(jīng)成為共識，對于衍生數(shù)據(jù)能否適用數(shù)據(jù)可攜帶權(quán)尚有爭議。數(shù)據(jù)控制者的市場競爭優(yōu)勢更多來自于觀測數(shù)據(jù)和衍生數(shù)據(jù)，而衍生數(shù)據(jù)是最有價值的數(shù)據(jù)，數(shù)據(jù)控制者可以利用衍生數(shù)據(jù)分析市場趨勢，預(yù)測商機，提升商品和服務(wù)的質(zhì)量[21]。因此，衍生數(shù)據(jù)應(yīng)該成為數(shù)據(jù)可攜帶權(quán)的客體范圍。

衍生數(shù)據(jù)并不涉及對企業(yè)知識產(chǎn)權(quán)和商業(yè)秘密的侵犯。衍生數(shù)據(jù)屬于利用算法產(chǎn)生的結(jié)果和功能效果，并不是算法本身。算法本質(zhì)上是解決問題的一種方式，是用數(shù)學(xué)語言建構(gòu)數(shù)學(xué)模型來描述實際現(xiàn)象，是以現(xiàn)實世界為研究對象并抽象化的簡化數(shù)學(xué)結(jié)構(gòu)[22]。算法是一種為了達到特定結(jié)果和目的的邏輯步驟，屬于為了解決某個特定問題或者達到某個特定目的所要采取的一系列步驟[23]。對于算法的保護，有著作權(quán)法保護、商業(yè)秘密保護、專利法的技術(shù)方案保護等不同觀點[24]，《最高人民法院關(guān)于審理侵犯商業(yè)秘密民事案件適用法律若干問題的規(guī)定》(2020年)第1條將與技術(shù)有關(guān)的算法等信息規(guī)定為《反不正當(dāng)競爭法》第9條第4款所稱的技術(shù)信息。由此可見，受保護的是算法本身，而非利用算法產(chǎn)生的結(jié)果。衍生數(shù)據(jù)是利用算法的邏輯步驟得出的一個有價值的結(jié)果，其本身并不能等同于算法而被保護。同時，衍生數(shù)據(jù)也不能作為商業(yè)秘密進行保護。商業(yè)秘密是指具有非公知性、價值性的技術(shù)信息與經(jīng)營信息，并且應(yīng)當(dāng)采取適當(dāng)?shù)谋Ｃ苁侄蝃25]。而根據(jù)《個人信息保護法》第7條規(guī)定，“處理個人信息應(yīng)當(dāng)遵循公開、透明原則”；第45條第1款規(guī)定，“個人有權(quán)向個人信息處理者查閱其個人信息”，因此，衍生個人數(shù)據(jù)不符合商業(yè)秘密要求的秘密性，對其不能采取適當(dāng)?shù)谋Ｃ苁侄危荒茏鳛樯虡I(yè)秘密予以保護。

如果個人和數(shù)據(jù)控制者之間對衍生數(shù)據(jù)的攜帶無法達成共識，可以借鑒標準必要專利的FRAND原則，即標準制定組織(Standard Setting Organization，SSO)在制定標準時都要求那些可能被納入標準的專利權(quán)的所有人作出“公平、合理和無歧視”(Fair, Reasonable and Non-discriminatory，F(xiàn)RAND)承諾[26]。作出FRAND承諾類似于強制許可的承諾，F(xiàn)RAND原則的適用可以消除因“專利套牢”而帶來的“專利劫持”問題[27]。歐盟委員會在《數(shù)字單一化市場》戰(zhàn)略中也提出在數(shù)字許可中適用FRAND原則以促進數(shù)字流動和準入[28]。

綜上，數(shù)據(jù)可攜帶權(quán)的范圍應(yīng)該包括數(shù)據(jù)主體提供的個人基本信息數(shù)據(jù)、觀測數(shù)據(jù)、衍生數(shù)據(jù)在內(nèi)的個人數(shù)據(jù)。

(二)數(shù)據(jù)可攜帶權(quán)的具體適用

1.格式與技術(shù)標準

《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》對于數(shù)據(jù)攜帶的格式和技術(shù)標準并沒有作出規(guī)定。數(shù)據(jù)可攜帶權(quán)對于個人來說是一項可以選擇的工具性權(quán)利，因此為了提高效率，促進數(shù)據(jù)的流動，對于數(shù)據(jù)攜帶的格式和技術(shù)要求不應(yīng)該過高，只要在廣義上符合系統(tǒng)兼容的最低要求即可[4]116。對于格式和技術(shù)要求的最低標準，可以以部門規(guī)章的形式作出規(guī)定；對于其他的更高標準，可以考慮通過國家標準或者行業(yè)標準規(guī)定。統(tǒng)一標準的目的是便于數(shù)據(jù)可攜帶權(quán)的實施進而促進數(shù)據(jù)的流動。

2.收費問題

歐盟的數(shù)據(jù)可攜帶權(quán)是賦予個人的一項數(shù)據(jù)權(quán)利，對于數(shù)據(jù)控制者來說，則是一種法律上的義務(wù)和負擔(dān)。因此，在通常情況下，對于個人的攜帶請求，數(shù)據(jù)控制者應(yīng)該配合且不收取費用以履行其義務(wù)。只有在申請沒有明顯依據(jù)或者過于頻繁時，為了避免資源浪費、個人濫用權(quán)利、給企業(yè)增加不合理的負擔(dān)，數(shù)據(jù)控制者可以收取“合理費用”，可拒絕過度或者明顯無依據(jù)的數(shù)據(jù)遷移請求[29]。

數(shù)據(jù)可攜帶權(quán)的行使可能會給企業(yè)尤其是中小企業(yè)帶來負擔(dān)，從長遠看，可能會導(dǎo)致消費者的權(quán)益受損。但是，從另一個角度理解，消費者可以自愿選擇攜帶個人數(shù)據(jù)，并把數(shù)據(jù)可攜帶權(quán)看作一項企業(yè)提供的服務(wù)，并愿意為之付費。花錢享受服務(wù)對于用戶個人來說，并不算“負擔(dān)”。對于企業(yè)來說，通過收費來承擔(dān)數(shù)據(jù)可攜帶權(quán)實施的成本，企業(yè)配合實施的意愿將會增強。從工具性權(quán)利角度來理解，數(shù)據(jù)可攜帶權(quán)對于個人來說是可以選擇的使個人數(shù)據(jù)流動、從而獲取經(jīng)濟利益的工具；對于企業(yè)來說，配合個人的攜帶要求是一項義務(wù)，但是無償配合并不是其義務(wù)，企業(yè)可以要求個人支付成本。從這個角度看，數(shù)據(jù)可攜帶權(quán)更像企業(yè)提供的一種“有償服務(wù)”，可以收取適當(dāng)費用。

3.數(shù)據(jù)安全

GDPR第5條規(guī)定了數(shù)據(jù)控制者的安全保障義務(wù)，其有義務(wù)確保個人數(shù)據(jù)的安全。在實現(xiàn)數(shù)據(jù)攜帶的過程中，數(shù)據(jù)安全面臨著更大的風(fēng)險，因此數(shù)據(jù)控制者應(yīng)該承擔(dān)更高的義務(wù)。根據(jù)WP29《數(shù)據(jù)可攜帶權(quán)指南》，數(shù)據(jù)控制者應(yīng)當(dāng)采取風(fēng)險防范措施以確保數(shù)據(jù)傳輸給正確的人。數(shù)據(jù)控制者還應(yīng)該協(xié)助用戶保障其存儲在用戶系統(tǒng)里的個人數(shù)據(jù)的安全。但是，這些條文對于安全措施的規(guī)定使用的措辭都是“the controller may”，這意味著數(shù)據(jù)控制者可以選擇采取身份驗證措施保證數(shù)據(jù)安全，但并不是法定義務(wù)。

與GDPR使用“the controller may”不同，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》明確要求數(shù)據(jù)處理者“能夠驗證請求人的合法身份”，并且“應(yīng)當(dāng)對個人信息轉(zhuǎn)移請求做合理的風(fēng)險提示”。保障個人數(shù)據(jù)的安全是《個人數(shù)據(jù)保護法》對于企業(yè)施加的義務(wù)，其中第51條、第57條等都對安全保障義務(wù)進行規(guī)定，企業(yè)要履行上述義務(wù)。針對數(shù)據(jù)攜帶過程中的安全風(fēng)險，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》的規(guī)定較為合理。如果后續(xù)發(fā)生數(shù)據(jù)安全問題，個人可以依據(jù)《個人數(shù)據(jù)保護法》在個案中維護自己的權(quán)利。

(三)權(quán)利沖突及其調(diào)適

對于權(quán)利沖突問題的解決，很大程度上取決于如何理解和定義數(shù)據(jù)可攜帶權(quán)，這影響了權(quán)利的位階順序，從而對權(quán)利沖突的解決產(chǎn)生影響。

1.與知識產(chǎn)權(quán)的沖突

如果個人攜帶的數(shù)據(jù)中包含他人享有著作權(quán)的文本內(nèi)容、攝影作品等，可能會涉及對他人知識產(chǎn)權(quán)的侵犯。不過，單純的攜帶行為并不總會侵犯他人的知識產(chǎn)權(quán)，應(yīng)該分情況討論。攜帶行為主要涉及著作權(quán)中的復(fù)制權(quán)，而復(fù)制權(quán)是一項財產(chǎn)性權(quán)利，意在保護著作權(quán)人的財產(chǎn)利益不受損害。單純的攜帶行為并不會對他人的財產(chǎn)權(quán)利造成損害。如果攜帶之后的后續(xù)行為，比如對他人享有著作權(quán)作品的使用，侵害他人的知識產(chǎn)權(quán)，那么權(quán)利人可以在個案中提起訴訟，并要求賠償[30]。此外，一個如“大眾點評網(wǎng)”的評價網(wǎng)站，通過給予用戶折扣、優(yōu)惠券等形式，獲得用戶對該網(wǎng)站上發(fā)布的評價、照片等的獨家許可權(quán)。這種情況下，用戶個人想要行使數(shù)據(jù)可攜帶權(quán)，把其數(shù)據(jù)導(dǎo)入另一個競爭性的評價網(wǎng)站，企業(yè)與個人的權(quán)利就會發(fā)生沖突。數(shù)據(jù)可攜帶權(quán)是一種工具性權(quán)利，其在權(quán)利位階上應(yīng)該低于并讓位于他人合法取得的知識產(chǎn)權(quán)。

2.與他人數(shù)據(jù)權(quán)利的沖突

個人將存儲的涉他照片、聊天記錄等攜帶的行為并不當(dāng)然地侵犯他人的隱私權(quán)、肖像權(quán)等人格權(quán)利。存儲的涉他照片、聊天記錄、交易記錄等被攜帶后，并不當(dāng)然地被公之于眾。隱私只存在于人和人之間，當(dāng)上述和他人有聯(lián)系的數(shù)據(jù)被存儲于其他數(shù)據(jù)控制者的機器之中，并不涉及對隱私權(quán)的侵犯，單純的攜帶行為不會侵犯他人的隱私權(quán)等人格權(quán)利。如果接收方嚴格按照《個人信息保護法》等相關(guān)法律法規(guī)的規(guī)定，以與原來相同的方式存儲和使用數(shù)據(jù)，應(yīng)該屬于合理使用。以集體照的轉(zhuǎn)移為例，集體照中的第三人在拍攝集體照時就應(yīng)當(dāng)意識到該照片可能被用作正當(dāng)目的的分享，因此用戶對儲存在個人賬戶的集體照片享有一定程度的使用權(quán)，有一定范圍的合理使用的權(quán)利[31]。有學(xué)者提出，一些低門檻的Vlog等短視頻的分享和攜帶會侵犯不知情的第三人的隱私權(quán)[32]。筆者認為，應(yīng)該區(qū)分本身就侵犯他人權(quán)利的視頻、照片和攜帶行為導(dǎo)致的對他人權(quán)利的侵犯，二者不能混為一談。有的視頻、照片在拍攝時就已經(jīng)侵犯他人的隱私權(quán)，與攜帶行為無關(guān)。

攜帶涉他數(shù)據(jù)侵犯的主要是他人的數(shù)據(jù)權(quán)利，包括數(shù)據(jù)自決權(quán)、知情同意權(quán)等權(quán)利。因為在這種情況下，與其個人有關(guān)的數(shù)據(jù)被轉(zhuǎn)移存儲在其他數(shù)據(jù)控制者處，而當(dāng)事人并不知情。此時，應(yīng)該考察其他相關(guān)主體的合理期望，因為數(shù)據(jù)可攜帶權(quán)的存在，每個用戶應(yīng)該都有一個合理期待，即與他人的聊天記錄等某些涉及個人的數(shù)據(jù)可能被攜帶，因為其本人也可能在某一個時刻提出攜帶涉他數(shù)據(jù)的請求。因此，如果新的數(shù)據(jù)處理者只是簡單存儲，并不會將第三方的數(shù)據(jù)進行處理，那么他人對于這種情況應(yīng)該負有一定的容忍義務(wù)。如果新的數(shù)據(jù)處理者想要對第三方的數(shù)據(jù)進行處理以實現(xiàn)自身目的，那么必須征得第三方的知情同意。

五、結(jié) 語

一項權(quán)利具體如何設(shè)計，取決于其產(chǎn)生的制度背景以及想要實現(xiàn)的制度目的。WP29在《數(shù)據(jù)可攜帶權(quán)指南》中承認，數(shù)據(jù)可攜帶權(quán)具有明顯的潛力，但在歐盟仍未得到充分利用，這說明歐盟的制度設(shè)計未必合理。歐盟和我國的國情不同，數(shù)據(jù)可攜帶權(quán)產(chǎn)生的制度背景和想要實現(xiàn)的制度目的也不同，因此對于數(shù)據(jù)可攜帶權(quán)的具體制度設(shè)計也應(yīng)該有所差異，不應(yīng)該把歐盟的制度奉為圭臬。筆者從數(shù)據(jù)生產(chǎn)的角度來理解數(shù)據(jù)可攜帶權(quán)，把其視為一種工具性權(quán)利，是促進數(shù)據(jù)要素流動和市場化、發(fā)展數(shù)字經(jīng)濟的重要工具。從這個角度設(shè)計數(shù)據(jù)可攜帶權(quán)的具體制度，可以更加強調(diào)效率，促進其功能和作用的發(fā)揮。