歐陽楚楚

摘 要｜隨著數(shù)據(jù)產(chǎn)業(yè)的迅猛發(fā)展，越來越多的個人信息被收集利用，如何提高個人對其個人信息的控制權(quán)成了各國立法關(guān)注的問題。我國《個人信息保護(hù)法》規(guī)定了個人信息可攜帶權(quán)，旨在增強(qiáng)個人信息自決、促進(jìn)數(shù)據(jù)流通，進(jìn)而鼓勵公平競爭。但是個人信息可攜帶權(quán)落地后，在實踐中面臨著客體范圍和行權(quán)條件模糊、存在利益沖突、個人信息轉(zhuǎn)移存在技術(shù)障礙的問題。現(xiàn)有法律條文的規(guī)定較為籠統(tǒng)，無法為實踐提供明確指引。本文對個人信息可攜帶權(quán)的實踐困境進(jìn)行分析，提出了通過立法明確個人信息可攜帶權(quán)的客體范圍和行權(quán)條件、明確利益歸屬問題、建立互操作性平臺或使用應(yīng)用程序接口破解技術(shù)障礙的解決途徑。

關(guān)鍵詞｜《個人信息保護(hù)法》；個人信息可攜帶權(quán)；客體范圍；利益沖突

Copyright ? 2023 by author （s） and SciScan Publishing Limited

This article is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License. https：//creativecommons.org/licenses/by-nc/4.0/

隨著全球數(shù)字經(jīng)濟(jì)時代的到來，數(shù)據(jù)已成為一項重要戰(zhàn)略資源并被列為第五大生產(chǎn)要素。a大型數(shù)據(jù)平臺掌握了海量個人信息，在行業(yè)內(nèi)形成了不可撼動的地位。當(dāng)信息泄露、隱私權(quán)受到侵犯時，僅靠個人的力量無法和數(shù)據(jù)企業(yè)巨頭抗衡。在此情況下，如何提升個人對其信息的主導(dǎo)權(quán)是各國立法都較為關(guān)注的問題。在個人信息保護(hù)立法層面，歐盟一直走在前列。歐盟《通用數(shù)據(jù)保護(hù)條例》（以下簡稱GDPR）第20條首次規(guī)定了數(shù)據(jù)可攜帶權(quán)。GDPR出臺后，在世界范圍內(nèi)產(chǎn)生了巨大反響，各國紛紛跟進(jìn)立法。

《個人信息保護(hù)法》起草過程中，第一次和第二次審議稿中均沒有規(guī)定可攜帶權(quán)，第三稿才增加了個人信息可攜帶權(quán)的規(guī)定。從立法過程論的角度看，反映出立法者對引入個人信息可攜帶權(quán)的斟酌權(quán)衡。這體現(xiàn)了我國立法在個人信息保護(hù)方面作出的努力，同時也表明了個人信息可攜帶權(quán)作為一種新興權(quán)利，雖然在實踐中可能會遇到不少困境，但也是在全球化數(shù)據(jù)時代大趨勢下不得不明確的一項權(quán)利。

現(xiàn)有關(guān)于可攜帶權(quán)的研究大多聚焦于GDPR，詳細(xì)解讀GDPR中的各項規(guī)定，在比較法視角下分析如何在我國本土構(gòu)建可攜帶權(quán)，為學(xué)習(xí)了解域外可攜帶權(quán)提供了豐富的文獻(xiàn)資料?，F(xiàn)階段，我國已經(jīng)在立法上確立了可攜帶權(quán)，對于該權(quán)利的研究應(yīng)從實踐應(yīng)用角度出發(fā)，多關(guān)注其落地實施情況，才能真正實現(xiàn)立法目的。本文從個人信息可攜帶權(quán)的實踐現(xiàn)狀出發(fā)，分析個人信息可攜帶權(quán)的實踐困境，并提出解決方案。

一、個人信息可攜帶權(quán)的實踐現(xiàn)狀

筆者通過檢索裁判文書網(wǎng)發(fā)現(xiàn)，目前僅有一份裁判文書涉及個人信息可攜帶權(quán)，且于2019年立案并開庭審理。在騰訊訴搜道不正當(dāng)競爭糾紛案中，兩被告搜道公司與聚客通公司提出微信用戶享有個人數(shù)據(jù)可攜帶權(quán)，但是由于當(dāng)時我國并未確立個人信息可攜帶權(quán)，《網(wǎng)絡(luò)安全法》和《電子商務(wù)法》也無法提供法律依據(jù)，最終法院以缺乏法律和事實依據(jù)，未予支持被告的主張。

自2021年11月個人信息可攜帶權(quán)確立以來，目前尚無第二份涉及個人信息可攜帶權(quán)的相關(guān)司法裁判文書。由此可以看出，雖然《個人信息保護(hù)法》第四十五條第三款明確了個人信息可攜帶權(quán)，但落地實施情況并不理想。

根據(jù)南都個人信息保護(hù)課題組出品的《個人信息安全年度報告（2022）》，在150款被測試的App中，只有45款A(yù)pp在隱私政策中告知個人信息副本可下載且可轉(zhuǎn)移，更多的App則只提到了可下載并未提到轉(zhuǎn)移。在發(fā)出下載和轉(zhuǎn)移個人信息請求后，測試人員只收到了14款A(yù)pp提供的個人信息副本，其中有兩款A(yù)pp“快手”和“作業(yè)幫”提供的個人信息副本無法打開。能下載到個人信息副本的App大多數(shù)是在App內(nèi)部提供了個人信息自動化導(dǎo)出的功能，其他獲取個人信息副本的渠道如打電話、發(fā)郵件、聯(lián)系客服等，幾乎都沒能獲得個人信息副本。很多App運(yùn)營者沒有真正理解和落實個人信息可攜帶權(quán)。從報告來看，目前行使個人信息復(fù)制權(quán)尚能部分實現(xiàn)，但是請求個人信息處理者直接將信息轉(zhuǎn)移給指定的另一信息處理者并未有成功案例。目前許多互聯(lián)網(wǎng)企業(yè)對于個人信息可攜帶權(quán)還未有足夠關(guān)注，雖然現(xiàn)有法律條文已有規(guī)定，但是還較為籠統(tǒng)，無法為實踐提供明確指引。

二、個人信息可攜帶權(quán)的實踐困境分析

（一）我國個人信息可攜帶權(quán)的客體范圍和行權(quán)條件模糊

我國《個人信息保護(hù)法》關(guān)于個人信息可攜帶權(quán)的規(guī)定沒有明確可攜帶權(quán)的行使條件及客體范圍，而是授權(quán)國家網(wǎng)信部門進(jìn)行規(guī)定。根據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第二十四條的規(guī)定來看，個人信息可攜帶權(quán)的客體范圍是本人信息或者請求人合法獲得且不違背他人意愿的他人信息。個人信息可攜帶權(quán)的行使條件包含兩點，一是該個人信息是基于個人信息主體同意或者訂立、履行合同所必需而收集的個人信息，二是能夠驗證請求人的合法身份。但是與歐盟第29條工作組頒布的《數(shù)據(jù)可攜帶權(quán)指南》相比，我國關(guān)于個人信息可攜帶權(quán)的規(guī)定仍屬于粗線條規(guī)定，無法為實踐提供明確指引。不完全的法條設(shè)計，雖然具有靈活性，但在適用上也會存在不確定的弊端。

GDPR首次規(guī)定了數(shù)據(jù)可攜帶權(quán)，相關(guān)規(guī)定較為詳細(xì)，對其他各國個人信息領(lǐng)域立法具有引領(lǐng)作用。根據(jù)其第20條規(guī)定，數(shù)據(jù)可攜帶權(quán)的行權(quán)條件為以下三點：第一，該數(shù)據(jù)是基于數(shù)據(jù)主體的同意或者履行與數(shù)據(jù)控制者之間的合同所需提供給數(shù)據(jù)控制者的個人數(shù)據(jù)；第二，該數(shù)據(jù)以自動化方式進(jìn)行處理；第三，該權(quán)利的行使不能違反被遺忘權(quán)的規(guī)定，不適用于為公共利益執(zhí)行任務(wù)或數(shù)據(jù)控制者依官方指令進(jìn)行的必要的數(shù)據(jù)處理且不得侵犯他人權(quán)利和自由。同時根據(jù)《指南》中的解釋，數(shù)據(jù)可攜帶權(quán)的客體范圍包括數(shù)據(jù)主體在知情情況下主動提供給數(shù)據(jù)控制者的數(shù)據(jù)、數(shù)據(jù)主體因使用服務(wù)或設(shè)備而提供的觀測數(shù)據(jù)。觀測數(shù)據(jù)包括瀏覽記錄、位置數(shù)據(jù)、由可穿戴設(shè)備追蹤的心率等數(shù)據(jù)。數(shù)據(jù)控制者根據(jù)收集到的個人數(shù)據(jù)進(jìn)行加工處理后的衍生數(shù)據(jù)，是數(shù)據(jù)控制者通過各種算法和技術(shù)過濾分析后已經(jīng)無法識別出數(shù)據(jù)主體的數(shù)據(jù)，最具商業(yè)價值和競爭力，不在數(shù)據(jù)可攜帶權(quán)的范圍之內(nèi)。

通過對比分析可以發(fā)現(xiàn)我國在個人信息可攜帶權(quán)的行權(quán)條件上未規(guī)定因公共利益、法律法規(guī)的規(guī)定或者侵犯他人利益而不能行權(quán)的情況，在實踐中容易導(dǎo)致個人信息可攜帶權(quán)的行使范圍過廣、與公共利益或他人利益沖突的問題。數(shù)據(jù)可攜帶權(quán)與其他權(quán)利的沖突是制度構(gòu)建必須解決的重要問題。另外，對于“本人信息”是否僅包括個人信息主體主動提供的信息，如身份證號、居住地址、手機(jī)號碼等，還是也包括個人信息主體因使用服務(wù)而提供的瀏覽記錄等觀測數(shù)據(jù)，以及信息處理者通過對收集的信息進(jìn)行加工處理后的衍生數(shù)據(jù)并沒有進(jìn)行規(guī)定。在數(shù)據(jù)產(chǎn)業(yè)時代，衍生數(shù)據(jù)是互聯(lián)網(wǎng)企業(yè)的核心數(shù)據(jù)，通過對收集來的個人信息加工處理，可以收集某一地區(qū)人群的消費(fèi)習(xí)慣、預(yù)測個人偏好、某一時期的經(jīng)濟(jì)走向、相關(guān)行業(yè)未來發(fā)展趨勢等。這些數(shù)據(jù)經(jīng)過匿名化處理和特殊算法進(jìn)行加工后，有些會成為企業(yè)的商業(yè)秘密和知識產(chǎn)權(quán)。在法律沒有明確規(guī)定的情況下，個人信息處理者為使其自身利益最大化，往往會壓縮個人信息主體的權(quán)利。個人信息可攜帶權(quán)客體范圍的界定對于保護(hù)互聯(lián)網(wǎng)企業(yè)和個人信息主體的權(quán)利至關(guān)重要，當(dāng)前模糊規(guī)定是個人信息可攜帶權(quán)難以落地踐行的一大問題。

（二）存在利益沖突

在行使個人信息可攜帶權(quán)的過程中，存在兩方面的利益沖突。一方面是個人與個人信息處理者之間的利益沖突，另一方面是原個人信息處理者與個人指定將其個人信息轉(zhuǎn)移至其處的后個人信息處理者之間的利益沖突。

對于個人與個人信息處理者之間的利益沖突，主要體現(xiàn)在個人信息的歸屬問題上。在安徽美景與淘寶商業(yè)賄賂不正當(dāng)競爭糾紛二審裁判文書中，法院認(rèn)為經(jīng)過算法提煉整合、分析過濾后衍生數(shù)據(jù)歸屬于個人信息處理者，但目前仍缺乏法律依據(jù)。另外，對于觀測數(shù)據(jù)和衍生數(shù)據(jù)的界定也待明確。我國現(xiàn)行立法上并未規(guī)定觀測數(shù)據(jù)和衍生數(shù)據(jù)，本文所提到的這兩個概念來源于《指南》中的解釋。在現(xiàn)行法律沒有明確個人信息可攜帶權(quán)的客體范圍前，個人信息主體能否請求轉(zhuǎn)移觀測數(shù)據(jù)和衍生數(shù)據(jù)無法給出明確的指引。

原個人信息處理者是一開始存儲個人信息的主體，在為個人提供服務(wù)的過程中，個人信息處理者會利用不同算法對初始的個人信息進(jìn)行加工，旨在為使用者提供更好的服務(wù)。如果此時，個人信息主體提出將其個人信息轉(zhuǎn)移到另一信息處理者處，那么此部分包含了原個人信息處理者勞動成果的信息將會轉(zhuǎn)移到其競爭對手處。接收個人信息的后個人信息處理者只需要提供傳輸途徑就可以輕松取得這些信息和隨之而來的用戶。在這種情況下，盡管法律規(guī)定了個人信息處理者在個人請求轉(zhuǎn)移其個人信息時的義務(wù)，原個人信息處理者也會怠于履行相關(guān)義務(wù)，甚至想方設(shè)法阻止個人行使個人信息可攜帶權(quán)，不利于信息的流通和技術(shù)的創(chuàng)新。從靜態(tài)使用角度看，似乎讓更多主體獲得數(shù)據(jù)，可以進(jìn)一步加強(qiáng)數(shù)據(jù)互通，但是數(shù)據(jù)資源是需要動態(tài)累積和生產(chǎn)的。所以，要在尊重原數(shù)據(jù)處理者勞動成果的基礎(chǔ)上促進(jìn)數(shù)據(jù)的流通。

（三）個人信息轉(zhuǎn)移存在技術(shù)障礙

我國法律目前并未明確個人信息轉(zhuǎn)移的途徑和傳輸方式，未對個人信息處理者提出技術(shù)要求，條文只表明個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。在實踐中，各個企業(yè)提供轉(zhuǎn)移的途徑和存儲數(shù)據(jù)的格式可能是不同的，在操作中會遇到諸多問題。如前文所說，根據(jù)《報告（2022）》，目前只有極少數(shù)App在系統(tǒng)內(nèi)部提供了個人信息自動化導(dǎo)出的功能（并未提到有App提供自動化導(dǎo)入功能），這也是實踐中獲得個人信息副本最有效的方式。但若強(qiáng)制要求所有企業(yè)自行在應(yīng)用程序中設(shè)置個人信息自動化導(dǎo)入和導(dǎo)出功能，對企業(yè)來說成本較高，中小企業(yè)可能無力負(fù)擔(dān)。明確可攜帶權(quán)的立法目的之一就是促進(jìn)數(shù)據(jù)的流通，實現(xiàn)數(shù)據(jù)利用的最大化，達(dá)到反壟斷的效果。若規(guī)定各企業(yè)自行研發(fā)信息自動化導(dǎo)入和導(dǎo)出功能，對于互聯(lián)網(wǎng)巨頭來說很容易實現(xiàn)，但是對于中小企業(yè)來說是一筆巨額研發(fā)費(fèi)用，不利于其發(fā)展，更難解決目前互聯(lián)網(wǎng)巨頭壟斷數(shù)據(jù)的現(xiàn)狀。

另外，參照域外立法，GDPR序言也表示數(shù)據(jù)可攜帶權(quán)的行使不會使數(shù)據(jù)控制者負(fù)有采用或維持技術(shù)上兼容的處理系統(tǒng)的義務(wù)，在技術(shù)上可行的情況下，數(shù)據(jù)主體方可要求行使數(shù)據(jù)可攜帶權(quán)。目前用戶最多只能下載個人信息，并自行將相關(guān)信息轉(zhuǎn)移到其他平臺，App之間還沒有一個互相連接的渠道為用戶將個人信息轉(zhuǎn)移到其指定的信息處理者?，F(xiàn)階段，讓每個企業(yè)在App內(nèi)自行研發(fā)個人信息轉(zhuǎn)移功能并不現(xiàn)實，個人信息轉(zhuǎn)移面臨的另一問題便是在技術(shù)上存在障礙。當(dāng)用戶提出轉(zhuǎn)移個人信息的請求后，個人信息處理者通過何種途經(jīng)來實現(xiàn)是當(dāng)前要解決的問題。

數(shù)據(jù)是互聯(lián)網(wǎng)企業(yè)的核心資產(chǎn)，通過數(shù)據(jù)分析可以開發(fā)出迎合用戶喜好的產(chǎn)品、了解其產(chǎn)品的受眾人群等。如果個人信息能夠便捷地從一個平臺轉(zhuǎn)移到另一平臺，便會打破鎖定效應(yīng)、促進(jìn)數(shù)據(jù)流通，部分?jǐn)?shù)據(jù)將流入中小企業(yè)，消除其進(jìn)入市場的壁壘，從而促進(jìn)公平競爭。目前我國法律并未明確信息轉(zhuǎn)移技術(shù)問題的應(yīng)對方法，怎樣突破技術(shù)障礙，是個人信息控制權(quán)實現(xiàn)必須正視的問題。

三、個人信息可攜帶權(quán)的法理基礎(chǔ)

《個人信息保護(hù)法》第四章規(guī)定了7種權(quán)利，雖然這些權(quán)利功能不同，但是存在著內(nèi)在的聯(lián)系，形成了一個權(quán)利體系。查閱復(fù)制權(quán)與可攜帶權(quán)都規(guī)定在第四十五條，其中第1款和第2款規(guī)定的是查閱復(fù)制權(quán)，第3款規(guī)定的是可攜帶權(quán)。查閱復(fù)制權(quán)涉及個人信息主體和個人信息處理者兩方主體，而可攜帶權(quán)關(guān)系到個人信息主體、個人信息處理者，以及個人信息主體指定的將其個人信息轉(zhuǎn)移到其處的另一方個人信息處理者三方主體，與查閱復(fù)制權(quán)相比，其法律關(guān)系較為復(fù)雜。從立法目的來看，我國個人信息可攜帶權(quán)應(yīng)當(dāng)是包括了接收權(quán)和請求轉(zhuǎn)移權(quán)兩部分?！吨腥A人民共和國個人信息保護(hù)法（草案）》審議結(jié)果的報告第七條的表述為“有的常委委員和社會公眾、部門、專家提出，為方便個人獲取并轉(zhuǎn)移其個人信息，建議借鑒有關(guān)國家和地區(qū)的立法，增加個人信息可攜帶權(quán)的規(guī)定”。從中我們可以看出，此表述中個人信息可攜帶權(quán)包括了“獲取”和“轉(zhuǎn)移”兩部分，采用了與GDPR相同的模式。

GDPR數(shù)據(jù)可攜帶權(quán)既包括數(shù)據(jù)主體以結(jié)構(gòu)化的、通用的、可以機(jī)讀的方式的接收權(quán)，又包括了在技術(shù)上可行的條件下將個人數(shù)據(jù)從某一控制者直接傳輸至其他控制者的轉(zhuǎn)移權(quán)。我國《個人信息保護(hù)法》第四十五條第3款規(guī)定的個人信息可攜帶權(quán)僅指明了個人信息處理者將個人信息轉(zhuǎn)移至另一信息處理者的轉(zhuǎn)移權(quán)，并沒有提到個人信息主體的接收權(quán)。既然確立個人信息可攜帶權(quán)的目的是促進(jìn)數(shù)據(jù)流通和提高個人信息自決，個人卻無法以機(jī)讀的方式獲取個人信息，這樣的權(quán)利無疑是“跛腳的”。將復(fù)制權(quán)擴(kuò)展為傳統(tǒng)復(fù)制權(quán)和個人信息接收權(quán)兩部分，是當(dāng)前在尊重立法原意的基礎(chǔ)上，最為穩(wěn)健的解釋路徑。

目前學(xué)界對個人信息可攜帶權(quán)的屬性主要有新型權(quán)利說（兼具人格權(quán)屬性與財產(chǎn)權(quán)屬性）、人格權(quán)說、數(shù)據(jù)權(quán)說、基本權(quán)利否定說等幾種主流觀點。筆者認(rèn)為個人信息可攜帶權(quán)是一種兼具人格權(quán)屬性和財產(chǎn)權(quán)屬性的新型權(quán)利?！睹穹ǖ洹穼€人信息保護(hù)規(guī)定在人格權(quán)編并將其與隱私權(quán)并為一章，從中可以看出它的人格權(quán)屬性。個人信息包括生物識別信息、行蹤信息和健康信息等，與自然人的人格尊嚴(yán)和人身自由密切相關(guān)。個人信息具有復(fù)制性、流通性較強(qiáng)的特征，大數(shù)據(jù)時代下的個人信息主要的功能不光在于實現(xiàn)公共利益，而且在于它的經(jīng)濟(jì)價值。在數(shù)據(jù)時代，個人通過行使可攜帶權(quán)可將個人信息從一個平臺轉(zhuǎn)移到其他多個平臺，雖然少量個人信息不會給企業(yè)帶來多少福利，但是數(shù)量龐大的個人信息的集合經(jīng)過加工處理（即我們通常所說的大數(shù)據(jù)）能給互聯(lián)網(wǎng)企業(yè)帶來巨額財富。個人信息可攜帶權(quán)的立法目的旨在打破數(shù)據(jù)壟斷、促進(jìn)信息流動、帶動科技創(chuàng)新并提升個人對個人信息的控制權(quán)。雖然個人信息起初來源于個人，但是由于其復(fù)制性強(qiáng)、蘊(yùn)含著公共利益和經(jīng)濟(jì)利益，使得個人對其個人信息的控制是一種非完全控制。個人可以對其個人信息進(jìn)行使用、收益、處分，但卻不能完全占有，個人信息的占有權(quán)能使個人信息處理者通常占有個人信息。我國的個人信息可攜帶權(quán)實質(zhì)上是一種請求權(quán)，個人請求個人信息處理者轉(zhuǎn)移其個人信息時，個人信息處理者才履行相應(yīng)義務(wù)，此時應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。

四、破解個人信息可攜帶權(quán)實踐困境之對策

（一）通過立法明確個人信息可攜帶權(quán)的客體范圍和行權(quán)條件

GDPR最早提出數(shù)據(jù)可攜帶權(quán)，結(jié)合歐盟第29條工作組在《指南》中的解釋，其關(guān)于數(shù)據(jù)可攜帶權(quán)的規(guī)定較為詳細(xì)，明確了數(shù)據(jù)可攜帶權(quán)的客體范圍和行權(quán)條件。美國在個人數(shù)據(jù)可攜帶權(quán)方面較具有代表性的CCPA也規(guī)定了觀測數(shù)據(jù)和衍生數(shù)據(jù)。不同的是，GDPR的立法模式以數(shù)據(jù)控制者為中心，而CCPA則以企業(yè)為主導(dǎo)，更為關(guān)注數(shù)據(jù)的利用價值，這也較符合美國的基本國情。相對于歐盟GDPR，我國對個人信息可攜帶權(quán)的立法目的在規(guī)范競爭和反壟斷層面的蘊(yùn)意更加濃厚。我國未來在明確個人信息可攜帶權(quán)的客體范圍和行權(quán)條件時，要避免照搬、照抄歐盟的數(shù)據(jù)可攜帶權(quán)規(guī)定，可以在符合我國國情的情況下，參考?xì)W美數(shù)據(jù)可攜帶權(quán)的相關(guān)條款?；谖覈鴤€人信息可攜帶權(quán)目前在實踐中的困境，通過后續(xù)立法明確個人信息可攜帶權(quán)的客體范圍和行權(quán)條件是十分必要的。

個人信息可攜帶權(quán)本身對個人信息處理者施加了較重的義務(wù)，若將個人信息規(guī)定過寬，將使個人信息處理者承擔(dān)過于沉重的負(fù)擔(dān)，反而不利于技術(shù)創(chuàng)新。筆者認(rèn)為，現(xiàn)階段在個人信息可攜帶權(quán)的客體范圍上，可以通過立法明確個人信息主體提供的原始信息和經(jīng)過技術(shù)處理后的衍生數(shù)據(jù)的歸屬。個人信息主體主動且知情情況下提供給個人信息處理者的信息應(yīng)屬于個人信息主體，經(jīng)過個人信息處理者匿名化加工處理后的衍生數(shù)據(jù)不應(yīng)納入個人信息的范圍。個人信息處理者將收集到的信息進(jìn)行加工處理后，這些信息有些就成了企業(yè)的商業(yè)秘密或知識產(chǎn)權(quán)。這些經(jīng)過處理后的數(shù)據(jù)已無法識別到最初提供個人信息的主體，實現(xiàn)了匿名化，即衍生數(shù)據(jù)的使用不會對個人信息主體造成損害。諸多此類數(shù)據(jù)匯集到一起，能產(chǎn)生巨大的經(jīng)濟(jì)價值。在數(shù)據(jù)時代，個人信息可攜帶權(quán)對于促進(jìn)數(shù)據(jù)的流通和充分利用具有重要意義。關(guān)于個人信息可攜帶權(quán)的行權(quán)條件，至少應(yīng)加入因法律法規(guī)規(guī)定或行使該權(quán)利將損害公共利益或他人利益的情況下不能行使個人信息可攜帶權(quán)這一規(guī)定，以解決與公共利益或他人利益沖突的問題。

（二）通過立法明確利益歸屬問題

要解決個人信息主體和個人信息處理者之間的利益沖突，不僅要明確個人信息可攜帶權(quán)的客體范圍，還要對觀測數(shù)據(jù)和衍生數(shù)據(jù)進(jìn)行明確界定。對于個人信息處理者之間的利益沖突問題，歸根結(jié)底在于對個人信息處理者加工處理后的個人信息的歸屬問題的界定。我國立法上并未提及觀測數(shù)據(jù)和衍生數(shù)據(jù)的概念，本文中所提到的這兩個概念，來源于歐盟《指南》中的解釋。就目前各國立法實踐來看，對于衍生數(shù)據(jù)的歸屬并無爭議，應(yīng)當(dāng)歸屬于個人信息處理者。但是對于觀測數(shù)據(jù)來說，雖然個人信息處理者進(jìn)行了相應(yīng)的技術(shù)處理，但是處理后的信息仍與個人信息主體廣泛牽連。如何界定觀測數(shù)據(jù)的歸屬，是解決各方利益沖突的關(guān)鍵。基于以上分析，筆者認(rèn)為在我國個人信息可攜帶權(quán)的框架下，觀測數(shù)據(jù)可以按照個人信息主體與個人信息處理者對信息貢獻(xiàn)度的比例進(jìn)行劃分，個人信息主體貢獻(xiàn)較多的信息納入個人信息的范圍，個人信息處理者通過算法合成等技術(shù)貢獻(xiàn)值較多的不應(yīng)納入個人信息的范圍，應(yīng)和衍生數(shù)據(jù)一同歸屬于個人信息處理者。綜上所述，要平衡各方主體在個人信息可攜帶權(quán)行使過程中的利益沖突，還要在后續(xù)立法中明確觀測數(shù)據(jù)的歸屬問題。

（三）建立互操作性平臺或使用應(yīng)用程序接口破解技術(shù)障礙

歐盟第29條工作組建議適用API（應(yīng)用程序接口）來促成自動化的數(shù)據(jù)可攜帶權(quán)。如何理解API？比如一家剛成立的打車App，在其應(yīng)用程序使用過程中必然會用到地圖功能，但是再投入研發(fā)地圖模塊對于打車App來說成本較高，在這時可以在地圖App（高德地圖、百度地圖）的開放平臺找到地圖API，通過購買地圖App的服務(wù)就可以在打車軟件頁面上線地圖功能了。這樣對企業(yè)來說既方便，又節(jié)省了研發(fā)成本。API的應(yīng)用使個人可以通過他們自己或第三方的軟件提出關(guān)于個人數(shù)據(jù)的請求。除了使用應(yīng)用程序接口外，美國企業(yè)大多使用DTP項目轉(zhuǎn)移數(shù)據(jù)。數(shù)據(jù)傳輸項目（DTP）是蘋果、谷歌、臉書、微軟和推特等大型企業(yè)的合作項目，旨在創(chuàng)建一個開源的、從服務(wù)到服務(wù)的數(shù)據(jù)攜帶權(quán)平臺，減少供應(yīng)商和用戶的基礎(chǔ)設(shè)施負(fù)擔(dān)，以便網(wǎng)絡(luò)上的所有個人可以輕松地在在線服務(wù)供應(yīng)商之間移動數(shù)據(jù)。DTP模式可以解決行使數(shù)據(jù)可攜帶權(quán)中操作不便的問題，對我國建立互操作性平臺具有一定借鑒意義。但是它的弊端在于目前參與DTP的都是運(yùn)營較為成熟的企業(yè)，中小企業(yè)被拒之門外。另外，韓國2022年在金融領(lǐng)域開展了MyData項目試點，用戶可以通過MyData App要求金融機(jī)構(gòu)將用戶個人信息通過API傳遞到MyData中，用戶在此App中可以對個人信息進(jìn)行一站式查詢。雖然該項目有政府的加入，但由于種種原因推行得并不順利。

我國對數(shù)據(jù)轉(zhuǎn)移的傳輸方式未有明確規(guī)定，在實踐中，不同企業(yè)通過不同傳輸方式為個人轉(zhuǎn)移信息會存在諸多問題。個人信息可攜帶權(quán)的行使同樣也面臨著技術(shù)障礙，許多App并沒有在程序中設(shè)置個人信息轉(zhuǎn)移功能，而且企業(yè)自行研發(fā)此功能將耗費(fèi)巨額資金。目前我國很多App運(yùn)營者并不真正理解個人信息可攜帶權(quán)，其更不會耗費(fèi)巨資為履行該義務(wù)進(jìn)行研究，另外很多中小企業(yè)也無力為此投入資金。我國可以參照DTP模式，在照顧中小企業(yè)的基礎(chǔ)上由政府牽頭鼓勵行業(yè)間建立互操作性平臺，或者在法律層面給出傳輸方式的相關(guān)建議來破解此實踐困境。

五、結(jié)語

個人信息可攜帶權(quán)作為一種新興權(quán)利，現(xiàn)有文獻(xiàn)資料對其研究并不完備。我國個人信息可攜帶權(quán)在實踐中面臨著客體范圍和行權(quán)條件模糊、存在利益沖突、個人信息轉(zhuǎn)移存在技術(shù)障礙的問題?？紤]到我國個人信息可攜帶權(quán)最早起源于歐盟GDPR，屬于舶來品，筆者認(rèn)為可以在符合我國國情的情況下，參考域外立法，做到對GDPR數(shù)據(jù)可攜帶權(quán)的揚(yáng)棄?？梢越梃b域外成熟經(jīng)驗，通過立法明確個人信息可攜帶權(quán)的客體范圍和行權(quán)條件、明確利益歸屬問題、通過建立類似于API、DTP模式的互操作性平臺或應(yīng)用程序接口破解技術(shù)障礙來解決我國個人信息可攜帶權(quán)目前的實踐困境。

The Practical Dilemma and Solution of Personal Information Portability Right

Ouyang Chuchu

Shanghai University of Political Science and Law， Shanghai

Abstract： With the rapid development of the data industry， more and more personal information is collected and used， how to improve the control of personal information has become the legislative concern of various countries. Chinas Personal Information Protection Law provides for the right to portability of personal information， aiming to enhance the self-determination of personal information， promote the flow of data， and encourage fair competition. However， after the implementation of personal information portability， there are some problems in practice， such as fuzzy object scope and exercise conditions， conflicts of interest， and technical obstacles in personal information transfer. Based on the analysis of the practical dilemma of personal information portability right， this paper puts forward some solutions to clarify the object scope and exercise conditions of personal information portability right through legislation， clarify the problem of interest ownership through legislation， establish an interoperability platform or use application program interface to break the technical barriers.

Key words： Personal Information Protection Law; Personal information portability right; Object scope; Conflict of interest