楊淳瀟

（西南政法大學(xué) 民商法學(xué)院，重慶 401120）

一、問(wèn)題的提出

在大數(shù)據(jù)時(shí)代，個(gè)人數(shù)據(jù)不僅是自然人人格的電子化表達(dá)，還是影響數(shù)據(jù)市場(chǎng)競(jìng)爭(zhēng)的核心要素。人工智能技術(shù)與云算法的高速發(fā)展讓數(shù)據(jù)擁有了更大的商業(yè)價(jià)值，也催生出更迫切的個(gè)人數(shù)據(jù)保護(hù)需求。歐盟《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱GDPR）作為一部專門(mén)保護(hù)自然人數(shù)據(jù)權(quán)利的法律，其中第20條規(guī)定了數(shù)據(jù)可攜帶權(quán)。歐盟期望通過(guò)該權(quán)利強(qiáng)化數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的控制力，并促進(jìn)數(shù)據(jù)流通?！吨腥A人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）引入了數(shù)據(jù)可攜帶權(quán)，但該權(quán)利的本土化進(jìn)程仍處于摸索階段。國(guó)內(nèi)學(xué)界對(duì)于數(shù)據(jù)可攜帶權(quán)的研究集中于該權(quán)利的法律性質(zhì)、本土化的必要性以及引入模式，相較于域外對(duì)數(shù)據(jù)可攜帶權(quán)的研究而言，我國(guó)目前的研究角度較為單一，對(duì)該權(quán)利本土化改造路徑的研究有待深入。例如，數(shù)據(jù)可攜帶權(quán)的實(shí)施困境以及本土化改造問(wèn)題仍值得挖掘?；诖耍疚脑噲D明晰數(shù)據(jù)可攜帶權(quán)的適用邏輯與實(shí)施困境，提出本土化的改造方案，以期為我國(guó)的數(shù)據(jù)權(quán)利保護(hù)提供參考。

二、數(shù)據(jù)可攜帶權(quán)的邏輯起點(diǎn)

作為舶來(lái)品，源于GDPR的數(shù)據(jù)可攜帶權(quán)自賦權(quán)之初，不僅強(qiáng)化個(gè)人對(duì)數(shù)據(jù)的控制，還能消除數(shù)據(jù)的“鎖定效應(yīng)”，促進(jìn)競(jìng)爭(zhēng)，意義深遠(yuǎn)。

（一）數(shù)據(jù)可攜帶權(quán)的概念內(nèi)涵

數(shù)據(jù)可攜帶權(quán)的理論支撐可以追溯至“信息自決權(quán)”理論，即個(gè)人信息主體有權(quán)決定個(gè)人信息的公開(kāi)與否、以何種程度公開(kāi)以及決定個(gè)人信息的用途［1］。從該理論可以提煉出數(shù)據(jù)主體享有對(duì)其個(gè)人數(shù)據(jù)的使用、控制、決定的權(quán)利，這與數(shù)據(jù)可攜帶權(quán)的內(nèi)涵相符。數(shù)據(jù)可攜帶權(quán)正式被納入法律規(guī)范可以追溯至GDPR第20條第1款，即數(shù)據(jù)主體有權(quán)獲取“經(jīng)過(guò)整理的、普遍使用的和機(jī)器可讀的”的個(gè)人數(shù)據(jù)，有權(quán)“無(wú)障礙地將此類數(shù)據(jù)從收集其數(shù)據(jù)的控制者那里傳輸給其他控制者”［2］。從該條款中可以得出，個(gè)人數(shù)據(jù)是數(shù)據(jù)可攜帶權(quán)的調(diào)整對(duì)象。GDPR第4條將個(gè)人數(shù)據(jù)定義為任何指向一個(gè)已識(shí)別或可識(shí)別的自然人（數(shù)據(jù)主體）的信息?！秱€(gè)人信息保護(hù)法》第45 條第3 款規(guī)定了，在符合國(guó)家網(wǎng)信部門(mén)規(guī)定條件的情況下，個(gè)人有請(qǐng)求個(gè)人信息處理者將個(gè)人信息轉(zhuǎn)移至指定的個(gè)人信息處理者的權(quán)利［3］?；诖?，數(shù)據(jù)可攜帶權(quán)的概念可以被界定為：一項(xiàng)用戶出于合法正當(dāng)?shù)膫鬏斈康?，?qǐng)求數(shù)據(jù)控制者將相關(guān)個(gè)人數(shù)據(jù)傳輸至用戶指定的另一數(shù)據(jù)控制者的權(quán)利。

（二）數(shù)據(jù)可攜帶權(quán)的賦權(quán)價(jià)值

1.強(qiáng)化個(gè)人對(duì)數(shù)據(jù)的控制

個(gè)人數(shù)據(jù)自由流動(dòng)固然提升了交易效率，但信息壁壘與算法黑箱的存在使得公民難以完全掌控?cái)?shù)據(jù)流向。在GDPR之前，數(shù)據(jù)可攜帶權(quán)并未被明確規(guī)定在個(gè)人數(shù)據(jù)權(quán)利中，數(shù)據(jù)主體在個(gè)人數(shù)據(jù)傳輸和處理中的參與度不高，較難發(fā)揮主觀能動(dòng)性，淪為任由數(shù)據(jù)控制者操縱的客體。隨著網(wǎng)絡(luò)通信和算法的發(fā)展以及世界各國(guó)對(duì)數(shù)據(jù)可攜帶權(quán)的關(guān)注，該權(quán)利首次被明確規(guī)定在GDPR 第三章“數(shù)據(jù)主體的權(quán)利”之下，其應(yīng)當(dāng)符合GDPR的主要目標(biāo)，即保護(hù)自然人享有的個(gè)人數(shù)據(jù)權(quán)利。數(shù)據(jù)可攜帶權(quán)確保數(shù)據(jù)主體有權(quán)將個(gè)人數(shù)據(jù)攜帶至另一數(shù)據(jù)控制者，緩解數(shù)據(jù)主體與數(shù)據(jù)控制者之間的權(quán)利失衡，使得數(shù)據(jù)主體能夠更好地控制其個(gè)人數(shù)據(jù)的流向，實(shí)現(xiàn)用戶個(gè)人對(duì)數(shù)據(jù)的自主支配。這不僅使數(shù)據(jù)控制者獲取、存儲(chǔ)、傳輸、處理數(shù)據(jù)的過(guò)程更加透明，也彰顯了對(duì)數(shù)據(jù)主體人格尊嚴(yán)和主體性意志的尊重與認(rèn)可。

2.消除數(shù)據(jù)“鎖定效應(yīng)”，促進(jìn)競(jìng)爭(zhēng)

在大數(shù)據(jù)時(shí)代，互聯(lián)網(wǎng)企業(yè)的蓬勃發(fā)展需要算法不斷升級(jí)換代，而算法的迭代更新離不開(kāi)海量的數(shù)據(jù)資源。大型互聯(lián)網(wǎng)企業(yè)擁有更雄厚的財(cái)力與更精準(zhǔn)的算法，因而用戶更愿意將個(gè)人數(shù)據(jù)提供給它們。由此，它們往往擁有更龐大的數(shù)據(jù)存量，并設(shè)置各種壁壘，防止用戶轉(zhuǎn)移數(shù)據(jù)，這極易形成數(shù)據(jù)“鎖定效應(yīng)”，妨礙公平競(jìng)爭(zhēng)。數(shù)據(jù)“鎖定效應(yīng)”是指用戶依賴單一的數(shù)據(jù)控制者，由其固定且長(zhǎng)期地為用戶提供同類服務(wù)，并且由于轉(zhuǎn)換成本較高或缺乏相應(yīng)途徑，用戶難以將數(shù)據(jù)轉(zhuǎn)移至其他數(shù)據(jù)控制者。大型互聯(lián)網(wǎng)企業(yè)正是通過(guò)大量收集用戶個(gè)人數(shù)據(jù)，使得用戶黏性極高，從而也使自身贏得穩(wěn)固的競(jìng)爭(zhēng)優(yōu)勢(shì)。數(shù)據(jù)可攜帶權(quán)在這樣的背景下應(yīng)運(yùn)而生，不僅讓用戶個(gè)人有權(quán)決定數(shù)據(jù)的傳輸，而且較大程度地消除了數(shù)據(jù)自由傳輸?shù)姆潜匾系K，從而消除數(shù)據(jù)“鎖定效應(yīng)”，促進(jìn)公平競(jìng)爭(zhēng)［4］。

3.增加個(gè)體選擇，提升消費(fèi)者福利

數(shù)據(jù)可攜帶權(quán)讓用戶數(shù)據(jù)能夠自由流動(dòng)，數(shù)據(jù)傳輸?shù)闹鲃?dòng)權(quán)也因此交到了用戶手中。同時(shí)，數(shù)據(jù)控制者負(fù)有提供數(shù)據(jù)轉(zhuǎn)移渠道的義務(wù)，中小型企業(yè)獲取更多數(shù)據(jù)資源的同時(shí)也降低了用戶更換數(shù)據(jù)控制者的成本。由于用戶可以選擇不同的數(shù)據(jù)控制者，企業(yè)在競(jìng)爭(zhēng)加劇的情況下需提高自身服務(wù)水平才能留住或吸引用戶。隨著企業(yè)服務(wù)水平的提高，用戶能夠通過(guò)比較，在不同企業(yè)提供的同類服務(wù)中選擇成本更低或體驗(yàn)更好的服務(wù)。由此可見(jiàn)，數(shù)據(jù)可攜帶權(quán)讓用戶數(shù)據(jù)從單一平臺(tái)的“鎖定效應(yīng)”中解放出來(lái)，通過(guò)降低轉(zhuǎn)換成本，讓中小型企業(yè)能夠有渠道獲取更多的數(shù)據(jù)資源，并為用戶提供更多元化、更優(yōu)質(zhì)的服務(wù)，從而增加個(gè)體選擇，提升消費(fèi)者福利。

三、數(shù)據(jù)可攜帶權(quán)的實(shí)施困境

數(shù)據(jù)可攜帶權(quán)的引入固然有利于強(qiáng)化我國(guó)用戶對(duì)個(gè)人數(shù)據(jù)的控制和促進(jìn)國(guó)內(nèi)數(shù)據(jù)市場(chǎng)公平競(jìng)爭(zhēng)，但在權(quán)利引入的過(guò)程中也存在“水土不服”的實(shí)施困境，典型表現(xiàn)為數(shù)據(jù)可攜帶權(quán)的法權(quán)屬性存有爭(zhēng)議、權(quán)利結(jié)構(gòu)尚不清晰、與其他權(quán)益存在沖突以及責(zé)任機(jī)制亟待完善。

（一）數(shù)據(jù)可攜帶權(quán)的法權(quán)屬性存疑

數(shù)據(jù)可攜帶權(quán)法律屬性的界定是適用和保護(hù)該權(quán)利的基礎(chǔ)。GDPR 將個(gè)人數(shù)據(jù)權(quán)利通過(guò)立法的形式上升為“基本權(quán)利”，但將數(shù)據(jù)可攜帶權(quán)作為基本人權(quán)保護(hù)并未得到廣泛認(rèn)可。我國(guó)《民法典》第127 條規(guī)定了對(duì)數(shù)據(jù)、網(wǎng)絡(luò)虛擬財(cái)產(chǎn)的保護(hù)，但這一宣示性條文并未明確個(gè)人數(shù)據(jù)權(quán)利的法律性質(zhì)?！秱€(gè)人信息保護(hù)法》第45條第3款僅僅停留在概念性表述，仍沒(méi)有解答數(shù)據(jù)可攜帶權(quán)的法律屬性問(wèn)題。學(xué)術(shù)界關(guān)于數(shù)據(jù)可攜帶權(quán)的法律屬性主要有三種觀點(diǎn)：“人格權(quán)說(shuō)”“財(cái)產(chǎn)權(quán)說(shuō)”與兼具多重權(quán)利屬性的“新型權(quán)利說(shuō)”。“人格權(quán)說(shuō)”從個(gè)人信息保護(hù)的角度出發(fā)，認(rèn)為數(shù)據(jù)的本質(zhì)是數(shù)據(jù)主體的電子化表達(dá)，反映著數(shù)據(jù)主體的人格利益［5］?！柏?cái)產(chǎn)權(quán)說(shuō)”從數(shù)據(jù)商業(yè)利用的角度出發(fā)，認(rèn)為數(shù)據(jù)具備經(jīng)濟(jì)價(jià)值，數(shù)據(jù)主體可以提供個(gè)人數(shù)據(jù)給他人而獲取對(duì)價(jià)［6］。“新型權(quán)利說(shuō)”主張數(shù)據(jù)可攜帶權(quán)兼具人格權(quán)屬性與財(cái)產(chǎn)權(quán)屬性，需要構(gòu)建多元保護(hù)機(jī)制［7］。當(dāng)前我國(guó)制定法缺乏對(duì)數(shù)據(jù)可攜帶權(quán)法律屬性的規(guī)定，這不僅加重了司法裁判的負(fù)擔(dān)，而且弱化了對(duì)個(gè)人數(shù)據(jù)的保護(hù)力度。因此，如何界定數(shù)據(jù)可攜帶權(quán)的法權(quán)屬性是當(dāng)下亟待解決的問(wèn)題。

（二）數(shù)據(jù)可攜帶權(quán)的權(quán)利結(jié)構(gòu)尚不清晰

首先，就權(quán)利主體而言，企業(yè)賦權(quán)依據(jù)存疑。目前，學(xué)界認(rèn)為數(shù)據(jù)可攜帶權(quán)的權(quán)利主體應(yīng)限定為自然人。因?yàn)樽匀蝗颂幱谌鮿?shì)地位，與企業(yè)、政府等主體相比在經(jīng)濟(jì)實(shí)力、信息獲取能力等方面有較大差距，應(yīng)當(dāng)加強(qiáng)保護(hù)。并且，將權(quán)利主體限定為自然人被認(rèn)為是一種較為緩和的權(quán)利本土化路徑。然而在實(shí)踐中，中小型企業(yè)也有攜帶數(shù)據(jù)的需求。例如，入駐多個(gè)網(wǎng)絡(luò)平臺(tái)銷售商品或提供服務(wù)的中小型企業(yè)就有將記載在A平臺(tái)上的信用等級(jí)、交易記錄、用戶評(píng)價(jià)等數(shù)據(jù)轉(zhuǎn)移至B 平臺(tái)的現(xiàn)實(shí)需求。如果一刀切地排除中小型企業(yè)成為權(quán)利主體，有可能會(huì)與該權(quán)利打破壟斷、促進(jìn)競(jìng)爭(zhēng)、推動(dòng)創(chuàng)新的目的背道而馳。因此，是否可以在區(qū)分企業(yè)規(guī)模并采取合理限制的情況下，將中小型企業(yè)納入數(shù)據(jù)可攜帶權(quán)權(quán)利主體的范圍，是該權(quán)利本土化進(jìn)程中值得思考的問(wèn)題。

其次，就義務(wù)主體而言，數(shù)據(jù)控制者的類型有待細(xì)分。GDPR第4條未區(qū)分?jǐn)?shù)據(jù)控制者的類型和規(guī)模。《個(gè)人信息保護(hù)法》第45條第3款強(qiáng)調(diào)只要符合國(guó)家網(wǎng)信部門(mén)規(guī)定條件，所有個(gè)人信息處理者都有義務(wù)提供轉(zhuǎn)移個(gè)人信息的途徑。然而，數(shù)據(jù)控制者需在數(shù)據(jù)傳輸技術(shù)、數(shù)據(jù)安全保障等方面投入大量資金和人力才能滿足數(shù)據(jù)可攜帶的要求。并且，龍頭企業(yè)比中小型企業(yè)對(duì)數(shù)據(jù)主體的吸引力和鎖定力更強(qiáng)，數(shù)據(jù)主體向龍頭企業(yè)轉(zhuǎn)移數(shù)據(jù)的意愿更強(qiáng)烈，數(shù)據(jù)的“鎖定效應(yīng)”更明顯。由此可見(jiàn)，要求不同規(guī)模的企業(yè)負(fù)擔(dān)同等的義務(wù)，會(huì)使得中小型企業(yè)的合規(guī)成本和經(jīng)營(yíng)負(fù)擔(dān)增加，并且可能加速數(shù)據(jù)流向大型企業(yè)，這反而將成為中小型企業(yè)在市場(chǎng)中成長(zhǎng)發(fā)展和參與公平競(jìng)爭(zhēng)的一大阻礙。在數(shù)據(jù)可攜帶權(quán)本土化的過(guò)程中，如何調(diào)整義務(wù)主體類型有待討論。

再次，就權(quán)利客體而言，數(shù)據(jù)可攜帶的范圍存疑。數(shù)據(jù)可攜帶的范圍過(guò)窄可能會(huì)使強(qiáng)化個(gè)人對(duì)數(shù)據(jù)的控制力的權(quán)利目標(biāo)落空，范圍過(guò)寬可能導(dǎo)致權(quán)利被濫用。因此，如何界定數(shù)據(jù)可攜帶權(quán)的權(quán)利客體范圍至關(guān)重要。GDPR 明確數(shù)據(jù)可攜帶權(quán)的權(quán)利客體為個(gè)人數(shù)據(jù)，即任何已被識(shí)別或可被識(shí)別的自然人的相關(guān)信息。由此可見(jiàn)，攜帶的數(shù)據(jù)需要具備能夠識(shí)別出特定自然人的特性，例如自然人的身份證件信息、家庭住址、郵箱地址等。然而，僅僅明確權(quán)利客體為個(gè)人數(shù)據(jù)尚不能確定數(shù)據(jù)可攜帶的范圍，還需要進(jìn)一步對(duì)個(gè)人數(shù)據(jù)進(jìn)行分類。目前學(xué)界對(duì)攜帶原始數(shù)據(jù)并無(wú)爭(zhēng)議，但對(duì)觀測(cè)數(shù)據(jù)與演繹數(shù)據(jù)能否被納入數(shù)據(jù)可攜帶權(quán)的范圍仍然存疑。

最后，就義務(wù)內(nèi)容而言，數(shù)據(jù)可攜帶權(quán)對(duì)應(yīng)的義務(wù)邊界有待厘清。GDPR 第25 條規(guī)定了數(shù)據(jù)控制者應(yīng)當(dāng)綜合考慮實(shí)施成本、處理范圍、處理目的等多項(xiàng)要素，采取合適的技術(shù)與組織措施處理數(shù)據(jù)?！秱€(gè)人信息保護(hù)法》也專章規(guī)定了個(gè)人信息處理者的義務(wù)，其中包括合法處理數(shù)據(jù)、保障數(shù)據(jù)安全、提供必要信息、事前評(píng)估風(fēng)險(xiǎn)、數(shù)據(jù)泄露通知等義務(wù)。目前，國(guó)內(nèi)外對(duì)于數(shù)據(jù)控制者的義務(wù)規(guī)定仍比較寬泛，缺乏針對(duì)性設(shè)計(jì)［8］。盡數(shù)列舉受保障的數(shù)據(jù)法益并不現(xiàn)實(shí)，只有厘清數(shù)據(jù)可攜帶權(quán)的義務(wù)邊界，明確數(shù)據(jù)控制者從收到攜帶請(qǐng)求到完成數(shù)據(jù)轉(zhuǎn)移的各階段義務(wù)，才是數(shù)據(jù)可攜帶權(quán)本土化更為理想的路徑。

（三）數(shù)據(jù)可攜帶權(quán)與其他權(quán)益的沖突

1.侵害第三人合法權(quán)益

GDPR 第20 條第4 款規(guī)定了行使數(shù)據(jù)可攜帶權(quán)的限制，即不得對(duì)他人的權(quán)利和自由產(chǎn)生負(fù)面影響。但實(shí)際上，被攜帶的數(shù)據(jù)往往不僅涉及請(qǐng)求行使該權(quán)利的用戶個(gè)人，也可能影響第三人權(quán)益。例如，用戶有權(quán)請(qǐng)求在不同平臺(tái)之間無(wú)障礙地傳輸其主動(dòng)上傳至平臺(tái)的照片、視頻等數(shù)據(jù)。但是，傳輸此類數(shù)據(jù)未經(jīng)第三方許可，可能對(duì)第三方的肖像、隱私等合法權(quán)益造成潛在威脅［9］。此外，用戶手機(jī)內(nèi)的通話記錄、聊天記錄、郵件往來(lái)記錄等信息屬于用戶所有，但也不可避免地與眾多第三方相關(guān)聯(lián)。在此情況下，第三人由于沒(méi)有渠道了解與其相關(guān)的數(shù)據(jù)正在或已經(jīng)被轉(zhuǎn)移，其合法權(quán)益有很大概率遭到侵害。這種侵害將導(dǎo)致第三人個(gè)人信息的不當(dāng)泄露，例如電話號(hào)碼被數(shù)據(jù)控制者獲取，進(jìn)而向第三人發(fā)送騷擾信息，甚至可能在未經(jīng)第三人許可的情況下利用大數(shù)據(jù)分析其個(gè)人信息，然后提供針對(duì)性的營(yíng)銷服務(wù)。

2.與公共利益發(fā)生沖突

數(shù)據(jù)可攜帶權(quán)的行使可能侵害第三人的合法權(quán)益，也可能涉及公共利益和數(shù)據(jù)主體個(gè)人權(quán)益的價(jià)值沖突［10］。攜帶的數(shù)據(jù)除了包含用戶的個(gè)人信息，還可能涉及公共利益和國(guó)家機(jī)密，如果企業(yè)獲取到這些核心數(shù)據(jù)并分析處理，就可能了解到社會(huì)動(dòng)態(tài)、國(guó)家經(jīng)濟(jì)運(yùn)行狀況、公共衛(wèi)生安全等重要信息［11］。一旦核心數(shù)據(jù)被非法跨境傳輸或泄露、毀損，將對(duì)國(guó)家安全與公共利益造成極大的損害。例如，自然人的犯罪記錄、行政處罰記錄等產(chǎn)生的數(shù)據(jù)既關(guān)乎自然人的基本人權(quán)，也關(guān)系著公眾的知情權(quán)與社會(huì)安寧。再比如，單個(gè)自然人的醫(yī)療記錄、基因信息等數(shù)據(jù)屬于個(gè)人隱私數(shù)據(jù)，但大量的基因數(shù)據(jù)集合之后就構(gòu)成了人類繁衍和遺傳的重要數(shù)據(jù)資源，需要對(duì)這類數(shù)據(jù)的攜帶進(jìn)行必要的限制，否則可能引發(fā)個(gè)人權(quán)益與公共利益之間的矛盾與爭(zhēng)議。

（四）數(shù)據(jù)可攜帶權(quán)的責(zé)任機(jī)制不完善

1.責(zé)任主體范圍缺乏場(chǎng)景化區(qū)分

數(shù)據(jù)可攜帶權(quán)的行使涉及多方主體，其中包括數(shù)據(jù)主體、數(shù)據(jù)控制者、數(shù)據(jù)處理者、數(shù)據(jù)接收者。數(shù)據(jù)可攜帶權(quán)的行使是數(shù)據(jù)控制者（處理者）基于數(shù)據(jù)主體的請(qǐng)求將個(gè)人數(shù)據(jù)轉(zhuǎn)移至數(shù)據(jù)接收者，這個(gè)過(guò)程可以被劃分為多個(gè)具體化場(chǎng)景。例如，在轉(zhuǎn)移數(shù)據(jù)的場(chǎng)景中，數(shù)據(jù)控制者既可能是數(shù)據(jù)處理者本身，也可能是決定將數(shù)據(jù)處理委托給他人操作的委托人。如果是后者，在數(shù)據(jù)轉(zhuǎn)移過(guò)程中發(fā)生數(shù)據(jù)泄露、毀損等安全問(wèn)題，對(duì)數(shù)據(jù)主體承擔(dān)最終責(zé)任的究竟是數(shù)據(jù)控制者還是數(shù)據(jù)處理者？并且，數(shù)據(jù)主體與數(shù)據(jù)接收者在什么場(chǎng)景下會(huì)被納入責(zé)任主體的范疇仍需要進(jìn)一步討論。

2.過(guò)錯(cuò)判定標(biāo)準(zhǔn)有待明確

行使數(shù)據(jù)可攜帶權(quán)可能出現(xiàn)數(shù)據(jù)控制者無(wú)故拒絕數(shù)據(jù)主體的合理請(qǐng)求、個(gè)人數(shù)據(jù)遭遇泄露或毀損、被攜帶的數(shù)據(jù)侵犯他人合法權(quán)益或公共利益等多種侵權(quán)情形，故而侵權(quán)責(zé)任承擔(dān)機(jī)制的重要性不言而喻。根據(jù)《民法典》第1165 條，適用過(guò)錯(cuò)推定責(zé)任依據(jù)法律的明確規(guī)定。《個(gè)人信息保護(hù)法》第69 條對(duì)處理個(gè)人信息造成個(gè)人信息權(quán)益損害的，規(guī)定適用過(guò)錯(cuò)推定責(zé)任。因此，在攜帶過(guò)程中若數(shù)據(jù)權(quán)益受損，需要由數(shù)據(jù)控制者證明對(duì)損害的發(fā)生沒(méi)有過(guò)錯(cuò)。這主要是為了彌合用戶與數(shù)據(jù)控制者之間的信息鴻溝，傳統(tǒng)的“誰(shuí)主張，誰(shuí)舉證”的規(guī)則會(huì)加大用戶的舉證成本，無(wú)法滿足用戶維權(quán)的訴訟需求。適用過(guò)錯(cuò)推定責(zé)任的確能在一定程度上縮小數(shù)據(jù)主體與數(shù)據(jù)控制者之間在維權(quán)成本、舉證能力等方面的差距，但如何認(rèn)定數(shù)據(jù)控制者構(gòu)成過(guò)錯(cuò)，仍缺乏明確標(biāo)準(zhǔn)。

四、數(shù)據(jù)可攜帶權(quán)的本土化改造

數(shù)據(jù)可攜帶權(quán)的本土化進(jìn)程中存在上述諸多實(shí)施困境，亟待制定針對(duì)性的本土化改造方案。只有合理制定本土化改造方案，才能讓數(shù)據(jù)可攜帶權(quán)真正扎根于我國(guó)的法律土壤中。

（一）明確數(shù)據(jù)可攜帶權(quán)兼具雙重權(quán)利屬性

如前所述，學(xué)界對(duì)于數(shù)據(jù)可攜帶權(quán)法權(quán)屬性的界定主要有三種觀點(diǎn)，分別為“人格權(quán)說(shuō)”“財(cái)產(chǎn)權(quán)說(shuō)”“新型權(quán)利說(shuō)”。本文認(rèn)為，不能將數(shù)據(jù)可攜帶權(quán)簡(jiǎn)單地歸于某一權(quán)利類屬中，其應(yīng)當(dāng)是一種兼具人格利益與財(cái)產(chǎn)利益的復(fù)合型權(quán)利。

首先，數(shù)據(jù)可攜帶權(quán)不能被視為是純粹的人格權(quán)。雖然其具有類似于人格權(quán)的人身專屬性和人身依附性，但數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)享有的權(quán)利有限，主要體現(xiàn)在權(quán)利救濟(jì)方面?！秱€(gè)人信息保護(hù)法》以承擔(dān)損害賠償?shù)那謾?quán)責(zé)任來(lái)救濟(jì)個(gè)人信息權(quán)益，而《民法典》則通過(guò)人格權(quán)、請(qǐng)求權(quán)這種絕對(duì)權(quán)保護(hù)模式來(lái)救濟(jì)人格權(quán)。由此可見(jiàn)，雖然數(shù)據(jù)可攜帶權(quán)依法受到保護(hù)，但其保護(hù)強(qiáng)度遠(yuǎn)遠(yuǎn)不及人格權(quán)。

其次，數(shù)據(jù)可攜帶權(quán)不同于傳統(tǒng)財(cái)產(chǎn)權(quán)。財(cái)產(chǎn)權(quán)是能夠直接體現(xiàn)財(cái)產(chǎn)利益的民事權(quán)利，一般具有可讓與性。盡管數(shù)據(jù)和網(wǎng)絡(luò)虛擬財(cái)產(chǎn)在《民法典》第127條中得到并列保護(hù)，認(rèn)可了數(shù)據(jù)具有類似于虛擬財(cái)產(chǎn)的財(cái)產(chǎn)價(jià)值，但只有形成數(shù)據(jù)集合才具備商業(yè)價(jià)值。并且，數(shù)據(jù)可攜帶權(quán)側(cè)重保護(hù)自然人人格利益。再者，數(shù)據(jù)可攜帶權(quán)不可轉(zhuǎn)讓給他人行使，不具備可讓與性。因此，不能將其簡(jiǎn)單置于財(cái)產(chǎn)權(quán)體系中。

最后，數(shù)據(jù)可攜帶權(quán)兼具人格屬性與財(cái)產(chǎn)屬性。一項(xiàng)權(quán)利的法律屬性由該權(quán)利客體的性質(zhì)所決定。數(shù)據(jù)可攜帶權(quán)的權(quán)利客體是個(gè)人數(shù)據(jù)，個(gè)人數(shù)據(jù)能夠識(shí)別出特定的自然人。這些數(shù)據(jù)可以被認(rèn)定為數(shù)據(jù)主體生物信息與人格特征的電子化表達(dá)，是自然人人格權(quán)益擴(kuò)張的產(chǎn)物。與此同時(shí)，平臺(tái)分析處理個(gè)人數(shù)據(jù)，進(jìn)而產(chǎn)出商業(yè)利益，這一過(guò)程使得個(gè)人數(shù)據(jù)具備了財(cái)產(chǎn)價(jià)值。當(dāng)財(cái)產(chǎn)價(jià)值有限的個(gè)人數(shù)據(jù)被收集整合成為群體數(shù)據(jù)時(shí)，就具有了極高的商業(yè)價(jià)值，進(jìn)而成為互聯(lián)網(wǎng)企業(yè)在商業(yè)競(jìng)爭(zhēng)中脫穎而出的關(guān)鍵因素。

綜上，數(shù)據(jù)可攜帶權(quán)與人格權(quán)、財(cái)產(chǎn)權(quán)當(dāng)中的特征有所重疊但又不盡相同，并且人格利益和財(cái)產(chǎn)利益的占比也并不對(duì)等。因此，應(yīng)當(dāng)將數(shù)據(jù)可攜帶權(quán)的法權(quán)屬性界定為兼具雙重屬性的復(fù)合型權(quán)利。這既有利于彌補(bǔ)具體人格權(quán)的局限性，也有利于發(fā)揮數(shù)據(jù)的商業(yè)價(jià)值。當(dāng)數(shù)據(jù)可攜帶權(quán)遭到侵害時(shí)，根據(jù)具體情況采取不同的救濟(jì)路徑才有可能實(shí)現(xiàn)更為全面的保護(hù)。

（二）厘清數(shù)據(jù)可攜帶權(quán)的權(quán)利結(jié)構(gòu)

1.權(quán)利主體：自然人與中小型企業(yè)

GDPR 將數(shù)據(jù)可攜帶權(quán)的權(quán)利主體限定為自然人，《個(gè)人信息保護(hù)法》也明確保護(hù)自然人的個(gè)人信息。但本文認(rèn)為，將中小型企業(yè)納入數(shù)據(jù)可攜帶權(quán)的權(quán)利主體，有助于回應(yīng)現(xiàn)實(shí)需要和維護(hù)數(shù)據(jù)市場(chǎng)內(nèi)的公平競(jìng)爭(zhēng)。一方面，用戶提供的評(píng)價(jià)、商家信用等級(jí)、成交次數(shù)等數(shù)據(jù)對(duì)于中小型企業(yè)的發(fā)展至關(guān)重要，如果不能攜帶，就需要重新建立用戶信賴，對(duì)中小型企業(yè)來(lái)說(shuō)不僅消耗時(shí)間成本，還要投入巨額資金。另一方面，中小型企業(yè)由于進(jìn)入市場(chǎng)年限短，不具備競(jìng)爭(zhēng)優(yōu)勢(shì)，海量的數(shù)據(jù)源源不斷地流向大型企業(yè)，形成數(shù)據(jù)“鎖定效應(yīng)”。如果能夠區(qū)分企業(yè)規(guī)模，賦予中小型企業(yè)數(shù)據(jù)可攜帶權(quán)，有助于打破數(shù)據(jù)寡頭壟斷，促進(jìn)數(shù)據(jù)流通共享［12］。

2.義務(wù)主體：排除中小型企業(yè)的“提供”義務(wù)

GDPR 對(duì)數(shù)據(jù)控制者不區(qū)分類型和規(guī)模，《個(gè)人信息保護(hù)法》也并未對(duì)數(shù)據(jù)可攜帶權(quán)的義務(wù)主體進(jìn)行精細(xì)化區(qū)分。本文認(rèn)為，應(yīng)排除中小型企業(yè)作為數(shù)據(jù)可攜帶權(quán)的義務(wù)主體。如前所述，大型企業(yè)占據(jù)數(shù)據(jù)市場(chǎng)壟斷地位，其在資金、人力、技術(shù)等方面有充足優(yōu)勢(shì)，具備更雄厚的實(shí)力，能夠滿足數(shù)據(jù)轉(zhuǎn)移要求。簡(jiǎn)言之，大型企業(yè)有能力應(yīng)對(duì)新的合規(guī)要求與合規(guī)壓力。但中小型企業(yè)剛剛立足市場(chǎng)，要求他們短期內(nèi)與雄踞多年的大型企業(yè)承擔(dān)同等義務(wù)并不具備可操作性。如果強(qiáng)制要求中小型企業(yè)滿足數(shù)據(jù)傳輸技術(shù)條件，會(huì)加大其經(jīng)營(yíng)負(fù)擔(dān)與合規(guī)成本，削弱其經(jīng)濟(jì)實(shí)力，令其困于競(jìng)爭(zhēng)劣勢(shì)。因此，本文認(rèn)為在數(shù)據(jù)可攜帶權(quán)本土化進(jìn)程初期將中小型企業(yè)排除在義務(wù)主體之外是恰當(dāng)?shù)摹?/p>

3.權(quán)利客體：允許攜帶原始數(shù)據(jù)與觀測(cè)數(shù)據(jù)

根據(jù)GDPR第20條第1款，被攜帶的個(gè)人數(shù)據(jù)需要滿足兩點(diǎn)：一是與數(shù)據(jù)主體相關(guān)的個(gè)人數(shù)據(jù)，二是由數(shù)據(jù)主體提供給數(shù)據(jù)控制者的個(gè)人數(shù)據(jù)。第一點(diǎn)排除了匿名數(shù)據(jù)和與數(shù)據(jù)主體無(wú)關(guān)的數(shù)據(jù)［13］。第二點(diǎn)中的“提供”有三層含義，一是主動(dòng)提供的原始數(shù)據(jù)，二是通過(guò)使用設(shè)備或接受服務(wù)被動(dòng)提供的觀測(cè)數(shù)據(jù)，三是基于同意或合同提供的數(shù)據(jù)。除了原始數(shù)據(jù)與觀測(cè)數(shù)據(jù)，還有數(shù)據(jù)控制者利用技術(shù)手段處理形成的演繹數(shù)據(jù)。本文認(rèn)為，應(yīng)當(dāng)允許攜帶原始數(shù)據(jù)與觀測(cè)數(shù)據(jù)，而將演繹數(shù)據(jù)排除。理由在于：原始數(shù)據(jù)與數(shù)據(jù)主體密不可分，其脫離了數(shù)據(jù)主體就失去了存在的意義，理應(yīng)被納入攜帶范圍。觀測(cè)數(shù)據(jù)是數(shù)據(jù)主體在日?；顒?dòng)中被自動(dòng)記錄下來(lái)的個(gè)人數(shù)據(jù)，如網(wǎng)站瀏覽記錄、運(yùn)動(dòng)數(shù)據(jù)、位置數(shù)據(jù)等。這些數(shù)據(jù)是基于數(shù)據(jù)主體行為產(chǎn)生的，數(shù)據(jù)控制者并不需要投入過(guò)多技術(shù)與資金。演繹數(shù)據(jù)是數(shù)據(jù)控制者投入大量的人力、物力與財(cái)力開(kāi)發(fā)的產(chǎn)物，應(yīng)當(dāng)限制數(shù)據(jù)主體攜帶演繹數(shù)據(jù)，保護(hù)數(shù)據(jù)控制者的合法權(quán)益，從而實(shí)現(xiàn)二者在利益上的平衡。

4.義務(wù)內(nèi)容：細(xì)化數(shù)據(jù)控制者的階段性義務(wù)

國(guó)內(nèi)外要求數(shù)據(jù)控制者負(fù)擔(dān)的義務(wù)多停留在宏觀層面，難以針對(duì)性地規(guī)制義務(wù)主體的行為。因此，應(yīng)明確數(shù)據(jù)控制者從收到數(shù)據(jù)攜帶請(qǐng)求到成功轉(zhuǎn)移數(shù)據(jù)的各階段義務(wù)。首先，收到數(shù)據(jù)主體提出的攜帶請(qǐng)求時(shí)，數(shù)據(jù)控制者需核驗(yàn)身份并建立“多要素核驗(yàn)”機(jī)制?；谄胶鈹?shù)據(jù)安全與數(shù)據(jù)控制者合規(guī)負(fù)擔(dān)，可以僅在請(qǐng)求轉(zhuǎn)移敏感數(shù)據(jù)時(shí)才啟動(dòng)該機(jī)制。“多要素”可以包括人臉識(shí)別、短信驗(yàn)證碼確認(rèn)、電子郵件安全提醒等，這些程序能在一定程度上防范數(shù)據(jù)泄露風(fēng)險(xiǎn)并減少身份冒用行為的發(fā)生［14］。其次，在轉(zhuǎn)移數(shù)據(jù)時(shí)，數(shù)據(jù)控制者需確保將數(shù)據(jù)轉(zhuǎn)移至指定接收者并對(duì)敏感數(shù)據(jù)加密處理。最后，數(shù)據(jù)接收者成為新的數(shù)據(jù)控制者，需合理存儲(chǔ)數(shù)據(jù)并且未經(jīng)授權(quán)不得處理數(shù)據(jù)，否則將承擔(dān)侵權(quán)責(zé)任。

（三）數(shù)據(jù)可攜帶權(quán)行權(quán)配套機(jī)制

1.第三人的有限容忍義務(wù)

數(shù)據(jù)主體攜帶涉他數(shù)據(jù)時(shí)，可能導(dǎo)致第三方信息泄露，但單純攜帶并不一定侵犯第三方隱私、肖像等權(quán)益。我國(guó)《民法典》第1032 條第2 款明確規(guī)定隱私具有不被他人知曉的私密性，如果涉他數(shù)據(jù)只在機(jī)器中傳輸和存儲(chǔ)，不被公眾知曉，則不涉及侵犯第三人隱私。本文認(rèn)為，第三人負(fù)有有限的容忍義務(wù)，不必每次征求第三人同意攜帶涉他數(shù)據(jù)，否則將會(huì)極大地打擊數(shù)據(jù)主體轉(zhuǎn)移數(shù)據(jù)的積極性，也會(huì)增加數(shù)據(jù)轉(zhuǎn)移的成本和負(fù)擔(dān)。數(shù)據(jù)可攜帶權(quán)是每個(gè)用戶主體享有的權(quán)利，每個(gè)用戶主體都對(duì)數(shù)據(jù)攜帶行為有合理期待，因?yàn)槠浔救艘部赡茉谀骋粫r(shí)刻提出攜帶涉他數(shù)據(jù)的請(qǐng)求［15］。例如，用戶個(gè)人可能會(huì)在某平臺(tái)上傳畢業(yè)照等集體照，照片中的第三人應(yīng)當(dāng)意識(shí)到該照片有可能在網(wǎng)絡(luò)中傳播，用戶個(gè)人對(duì)該類照片享有一定范圍內(nèi)的合理使用權(quán)。因此，如果數(shù)據(jù)主體出于正當(dāng)目的提出攜帶請(qǐng)求，那么無(wú)須經(jīng)過(guò)第三人的同意。相反，數(shù)據(jù)接收者若想要利用第三人數(shù)據(jù)以實(shí)現(xiàn)商業(yè)化目的則需尊重第三人的知情同意權(quán)，否則需承擔(dān)侵權(quán)責(zé)任。

2.加強(qiáng)數(shù)據(jù)可攜帶權(quán)的外部監(jiān)管

實(shí)現(xiàn)權(quán)利需要有效的監(jiān)管機(jī)制。我國(guó)現(xiàn)有的個(gè)人數(shù)據(jù)保護(hù)規(guī)定散見(jiàn)于各部門(mén)法中，缺乏完備科學(xué)的數(shù)據(jù)可攜帶權(quán)的監(jiān)管制度。本文認(rèn)為，可以從三方面著手：首先，構(gòu)建分級(jí)數(shù)據(jù)監(jiān)管機(jī)構(gòu)。國(guó)家級(jí)監(jiān)管機(jī)構(gòu)是數(shù)據(jù)監(jiān)管的最高機(jī)構(gòu)，省級(jí)監(jiān)管機(jī)構(gòu)負(fù)責(zé)解讀政策文件并對(duì)市級(jí)工作進(jìn)行監(jiān)督，市級(jí)監(jiān)管機(jī)構(gòu)則具體監(jiān)督本地區(qū)中各企業(yè)的數(shù)據(jù)獲取、存儲(chǔ)、傳輸、處理等行為是否合法合規(guī)。其次，加強(qiáng)數(shù)據(jù)傳輸前后期監(jiān)管。一方面，監(jiān)管機(jī)構(gòu)需要審查數(shù)據(jù)控制者是否在用戶知情同意的情況下獲取用戶數(shù)據(jù)，并是否按照用戶請(qǐng)求和數(shù)據(jù)類型進(jìn)行數(shù)據(jù)整理。另一方面，監(jiān)管機(jī)構(gòu)應(yīng)注重審查數(shù)據(jù)控制者的傳輸方式是否合理、傳輸渠道是否安全、是否對(duì)敏感數(shù)據(jù)進(jìn)行加密處理等。最后，優(yōu)化數(shù)據(jù)監(jiān)管方式。各級(jí)監(jiān)管機(jī)構(gòu)設(shè)立內(nèi)部評(píng)價(jià)機(jī)制，加強(qiáng)監(jiān)管機(jī)構(gòu)自身建設(shè)，強(qiáng)化各級(jí)監(jiān)管機(jī)構(gòu)內(nèi)部合作與交流，以實(shí)現(xiàn)監(jiān)管機(jī)構(gòu)自身用權(quán)受監(jiān)督、違法必追究。

（四）完善數(shù)據(jù)可攜帶權(quán)的責(zé)任機(jī)制

1.區(qū)分場(chǎng)景界定責(zé)任主體范圍

《個(gè)人信息保護(hù)法》第69條只規(guī)定了個(gè)人信息處理者的侵權(quán)責(zé)任，但權(quán)利的實(shí)現(xiàn)需要多方主體的配合。本文認(rèn)為，可將數(shù)據(jù)可攜帶權(quán)的實(shí)現(xiàn)劃分為“提出請(qǐng)求——數(shù)據(jù)轉(zhuǎn)移——數(shù)據(jù)接收”三個(gè)場(chǎng)景，在不同場(chǎng)景下界定責(zé)任主體范圍能實(shí)現(xiàn)更精準(zhǔn)的救濟(jì)。首先，數(shù)據(jù)控制者無(wú)故拒絕數(shù)據(jù)主體提出的合理攜帶請(qǐng)求時(shí)，數(shù)據(jù)主體可以基于請(qǐng)求權(quán)競(jìng)合主張數(shù)據(jù)控制者的違約責(zé)任或侵權(quán)責(zé)任。其次，在數(shù)據(jù)轉(zhuǎn)移過(guò)程中發(fā)生數(shù)據(jù)安全問(wèn)題，數(shù)據(jù)控制者應(yīng)承擔(dān)侵權(quán)責(zé)任。若數(shù)據(jù)控制者將數(shù)據(jù)處理事項(xiàng)委托給他人操作，數(shù)據(jù)控制者應(yīng)對(duì)數(shù)據(jù)主體承擔(dān)最終責(zé)任。數(shù)據(jù)控制者對(duì)數(shù)據(jù)主體承擔(dān)侵權(quán)責(zé)任后可以向受托方追償并請(qǐng)求其承擔(dān)相應(yīng)的違約責(zé)任。最后，數(shù)據(jù)接收者有義務(wù)對(duì)接收到的數(shù)據(jù)采取恰當(dāng)?shù)谋Ｗo(hù)措施，并且在未經(jīng)許可前，不能對(duì)數(shù)據(jù)進(jìn)行分析與處理。數(shù)據(jù)接收者違反上述義務(wù)導(dǎo)致數(shù)據(jù)主體合法權(quán)益受到侵害，應(yīng)承擔(dān)相應(yīng)的侵權(quán)責(zé)任。至于數(shù)據(jù)主體承擔(dān)侵權(quán)責(zé)任的情形，應(yīng)是其明知攜帶某數(shù)據(jù)會(huì)損害第三人合法權(quán)益或公共利益，但仍要求轉(zhuǎn)移該數(shù)據(jù)并因此造成了相應(yīng)的損害后果。

2.明確判定過(guò)錯(cuò)的證明標(biāo)準(zhǔn)

數(shù)據(jù)主體相對(duì)于數(shù)據(jù)控制者而言處于弱勢(shì)地位，二者在舉證能力、維權(quán)成本上都存在較大懸殊，需要加以平衡?；诠皆瓌t，《個(gè)人信息保護(hù)法》第69 條采用了過(guò)錯(cuò)推定責(zé)任，由數(shù)據(jù)控制者舉證證明自己對(duì)損害的發(fā)生不存在過(guò)錯(cuò)。雖然歸責(zé)原則得以明晰，但并未明確判定過(guò)錯(cuò)的證明標(biāo)準(zhǔn)。就此，本文認(rèn)為，可以從《民法典》人格權(quán)編對(duì)個(gè)人信息的處理原則和《個(gè)人信息保護(hù)法》對(duì)敏感信息的處理規(guī)則中尋找可用的標(biāo)準(zhǔn)。數(shù)據(jù)控制者若主張自身不存在過(guò)錯(cuò)，需要證明同時(shí)滿足以下三項(xiàng)標(biāo)準(zhǔn)：第一，轉(zhuǎn)移數(shù)據(jù)的行為符合《民法典》第1035條規(guī)定的個(gè)人信息處理的原則和條件，即具備合法性、正當(dāng)性、必要性。第二，經(jīng)過(guò)了數(shù)據(jù)主體的同意或根據(jù)合同約定進(jìn)行數(shù)據(jù)傳輸。第三，數(shù)據(jù)傳輸與處理符合《個(gè)人信息保護(hù)法》第28條規(guī)定的目的特定與充分必要原則，并且對(duì)數(shù)據(jù)采取了嚴(yán)格的保護(hù)措施［16］。

五、結(jié)語(yǔ)

《個(gè)人信息保護(hù)法》引入數(shù)據(jù)可攜帶權(quán)，展現(xiàn)了我國(guó)個(gè)人信息保護(hù)立法的時(shí)代性與前瞻性。數(shù)據(jù)可攜帶權(quán)的功能不同于防御性個(gè)人數(shù)據(jù)權(quán)利，其具有增強(qiáng)數(shù)據(jù)主體對(duì)數(shù)據(jù)掌控力的積極作用，有利于平衡數(shù)據(jù)主體與數(shù)據(jù)控制者的不對(duì)等關(guān)系，并促進(jìn)數(shù)據(jù)的共享與流通。但是，數(shù)據(jù)可攜帶權(quán)的本土化還面臨諸多實(shí)施困境，需要借鑒域外經(jīng)驗(yàn)。首先，明確數(shù)據(jù)可攜帶權(quán)屬于兼具人格屬性與財(cái)產(chǎn)屬性的復(fù)合型權(quán)利。其次，應(yīng)從權(quán)利主體、義務(wù)主體、權(quán)利客體、義務(wù)內(nèi)容四個(gè)方面厘清數(shù)據(jù)可攜帶權(quán)的權(quán)利結(jié)構(gòu)。再次，通過(guò)要求第三人負(fù)擔(dān)有限的容忍義務(wù)、加強(qiáng)數(shù)據(jù)可攜帶權(quán)的外部監(jiān)管等方式緩和與其他權(quán)益之間的沖突。最后，對(duì)數(shù)據(jù)可攜帶權(quán)的本土化改造離不開(kāi)責(zé)任機(jī)制的完善，一方面需要區(qū)分場(chǎng)景界定責(zé)任主體范圍，另一方面需要明確判定過(guò)錯(cuò)的證明標(biāo)準(zhǔn)。只有不斷細(xì)化數(shù)據(jù)可攜帶權(quán)本土化的改造方案，才能真正實(shí)現(xiàn)數(shù)據(jù)的人格權(quán)益與商業(yè)價(jià)值的平衡，使數(shù)據(jù)可攜帶權(quán)牢牢扎根在中國(guó)并服務(wù)于本土數(shù)字經(jīng)濟(jì)的發(fā)展。