数据可携带权的适用逻辑与本土化改造

杨淳潇

（西南政法大学 民商法学院，重庆 401120）

一、问题的提出

在大数据时代，个人数据不仅是自然人人格的电子化表达，还是影响数据市场竞争的核心要素。人工智能技术与云算法的高速发展让数据拥有了更大的商业价值，也催生出更迫切的个人数据保护需求。欧盟《通用数据保护条例》（以下简称GDPR）作为一部专门保护自然人数据权利的法律，其中第20条规定了数据可携带权。欧盟期望通过该权利强化数据主体对个人数据的控制力，并促进数据流通。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）引入了数据可携带权，但该权利的本土化进程仍处于摸索阶段。国内学界对于数据可携带权的研究集中于该权利的法律性质、本土化的必要性以及引入模式，相较于域外对数据可携带权的研究而言，我国目前的研究角度较为单一，对该权利本土化改造路径的研究有待深入。例如，数据可携带权的实施困境以及本土化改造问题仍值得挖掘。基于此，本文试图明晰数据可携带权的适用逻辑与实施困境，提出本土化的改造方案，以期为我国的数据权利保护提供参考。

二、数据可携带权的逻辑起点

作为舶来品，源于GDPR的数据可携带权自赋权之初，不仅强化个人对数据的控制，还能消除数据的“锁定效应”，促进竞争，意义深远。

（一）数据可携带权的概念内涵

数据可携带权的理论支撑可以追溯至“信息自决权”理论，即个人信息主体有权决定个人信息的公开与否、以何种程度公开以及决定个人信息的用途［1］。从该理论可以提炼出数据主体享有对其个人数据的使用、控制、决定的权利，这与数据可携带权的内涵相符。数据可携带权正式被纳入法律规范可以追溯至GDPR第20条第1款，即数据主体有权获取“经过整理的、普遍使用的和机器可读的”的个人数据，有权“无障碍地将此类数据从收集其数据的控制者那里传输给其他控制者”［2］。从该条款中可以得出，个人数据是数据可携带权的调整对象。GDPR第4条将个人数据定义为任何指向一个已识别或可识别的自然人（数据主体）的信息。《个人信息保护法》第45 条第3 款规定了，在符合国家网信部门规定条件的情况下，个人有请求个人信息处理者将个人信息转移至指定的个人信息处理者的权利［3］。基于此，数据可携带权的概念可以被界定为：一项用户出于合法正当的传输目的，请求数据控制者将相关个人数据传输至用户指定的另一数据控制者的权利。

（二）数据可携带权的赋权价值

1.强化个人对数据的控制

个人数据自由流动固然提升了交易效率，但信息壁垒与算法黑箱的存在使得公民难以完全掌控数据流向。在GDPR之前，数据可携带权并未被明确规定在个人数据权利中，数据主体在个人数据传输和处理中的参与度不高，较难发挥主观能动性，沦为任由数据控制者操纵的客体。随着网络通信和算法的发展以及世界各国对数据可携带权的关注，该权利首次被明确规定在GDPR 第三章“数据主体的权利”之下，其应当符合GDPR的主要目标，即保护自然人享有的个人数据权利。数据可携带权确保数据主体有权将个人数据携带至另一数据控制者，缓解数据主体与数据控制者之间的权利失衡，使得数据主体能够更好地控制其个人数据的流向，实现用户个人对数据的自主支配。这不仅使数据控制者获取、存储、传输、处理数据的过程更加透明，也彰显了对数据主体人格尊严和主体性意志的尊重与认可。

2.消除数据“锁定效应”，促进竞争

在大数据时代，互联网企业的蓬勃发展需要算法不断升级换代，而算法的迭代更新离不开海量的数据资源。大型互联网企业拥有更雄厚的财力与更精准的算法，因而用户更愿意将个人数据提供给它们。由此，它们往往拥有更庞大的数据存量，并设置各种壁垒，防止用户转移数据，这极易形成数据“锁定效应”，妨碍公平竞争。数据“锁定效应”是指用户依赖单一的数据控制者，由其固定且长期地为用户提供同类服务，并且由于转换成本较高或缺乏相应途径，用户难以将数据转移至其他数据控制者。大型互联网企业正是通过大量收集用户个人数据，使得用户黏性极高，从而也使自身赢得稳固的竞争优势。数据可携带权在这样的背景下应运而生，不仅让用户个人有权决定数据的传输，而且较大程度地消除了数据自由传输的非必要障碍，从而消除数据“锁定效应”，促进公平竞争［4］。

3.增加个体选择，提升消费者福利

数据可携带权让用户数据能够自由流动，数据传输的主动权也因此交到了用户手中。同时，数据控制者负有提供数据转移渠道的义务，中小型企业获取更多数据资源的同时也降低了用户更换数据控制者的成本。由于用户可以选择不同的数据控制者，企业在竞争加剧的情况下需提高自身服务水平才能留住或吸引用户。随着企业服务水平的提高，用户能够通过比较，在不同企业提供的同类服务中选择成本更低或体验更好的服务。由此可见，数据可携带权让用户数据从单一平台的“锁定效应”中解放出来，通过降低转换成本，让中小型企业能够有渠道获取更多的数据资源，并为用户提供更多元化、更优质的服务，从而增加个体选择，提升消费者福利。

三、数据可携带权的实施困境

数据可携带权的引入固然有利于强化我国用户对个人数据的控制和促进国内数据市场公平竞争，但在权利引入的过程中也存在“水土不服”的实施困境，典型表现为数据可携带权的法权属性存有争议、权利结构尚不清晰、与其他权益存在冲突以及责任机制亟待完善。

（一）数据可携带权的法权属性存疑

数据可携带权法律属性的界定是适用和保护该权利的基础。GDPR 将个人数据权利通过立法的形式上升为“基本权利”，但将数据可携带权作为基本人权保护并未得到广泛认可。我国《民法典》第127 条规定了对数据、网络虚拟财产的保护，但这一宣示性条文并未明确个人数据权利的法律性质。《个人信息保护法》第45条第3款仅仅停留在概念性表述，仍没有解答数据可携带权的法律属性问题。学术界关于数据可携带权的法律属性主要有三种观点：“人格权说”“财产权说”与兼具多重权利属性的“新型权利说”。“人格权说”从个人信息保护的角度出发，认为数据的本质是数据主体的电子化表达，反映着数据主体的人格利益［5］。“财产权说”从数据商业利用的角度出发，认为数据具备经济价值，数据主体可以提供个人数据给他人而获取对价［6］。“新型权利说”主张数据可携带权兼具人格权属性与财产权属性，需要构建多元保护机制［7］。当前我国制定法缺乏对数据可携带权法律属性的规定，这不仅加重了司法裁判的负担，而且弱化了对个人数据的保护力度。因此，如何界定数据可携带权的法权属性是当下亟待解决的问题。

（二）数据可携带权的权利结构尚不清晰

首先，就权利主体而言，企业赋权依据存疑。目前，学界认为数据可携带权的权利主体应限定为自然人。因为自然人处于弱势地位，与企业、政府等主体相比在经济实力、信息获取能力等方面有较大差距，应当加强保护。并且，将权利主体限定为自然人被认为是一种较为缓和的权利本土化路径。然而在实践中，中小型企业也有携带数据的需求。例如，入驻多个网络平台销售商品或提供服务的中小型企业就有将记载在A平台上的信用等级、交易记录、用户评价等数据转移至B 平台的现实需求。如果一刀切地排除中小型企业成为权利主体，有可能会与该权利打破垄断、促进竞争、推动创新的目的背道而驰。因此，是否可以在区分企业规模并采取合理限制的情况下，将中小型企业纳入数据可携带权权利主体的范围，是该权利本土化进程中值得思考的问题。

其次，就义务主体而言，数据控制者的类型有待细分。GDPR第4条未区分数据控制者的类型和规模。《个人信息保护法》第45条第3款强调只要符合国家网信部门规定条件，所有个人信息处理者都有义务提供转移个人信息的途径。然而，数据控制者需在数据传输技术、数据安全保障等方面投入大量资金和人力才能满足数据可携带的要求。并且，龙头企业比中小型企业对数据主体的吸引力和锁定力更强，数据主体向龙头企业转移数据的意愿更强烈，数据的“锁定效应”更明显。由此可见，要求不同规模的企业负担同等的义务，会使得中小型企业的合规成本和经营负担增加，并且可能加速数据流向大型企业，这反而将成为中小型企业在市场中成长发展和参与公平竞争的一大阻碍。在数据可携带权本土化的过程中，如何调整义务主体类型有待讨论。

再次，就权利客体而言，数据可携带的范围存疑。数据可携带的范围过窄可能会使强化个人对数据的控制力的权利目标落空，范围过宽可能导致权利被滥用。因此，如何界定数据可携带权的权利客体范围至关重要。GDPR 明确数据可携带权的权利客体为个人数据，即任何已被识别或可被识别的自然人的相关信息。由此可见，携带的数据需要具备能够识别出特定自然人的特性，例如自然人的身份证件信息、家庭住址、邮箱地址等。然而，仅仅明确权利客体为个人数据尚不能确定数据可携带的范围，还需要进一步对个人数据进行分类。目前学界对携带原始数据并无争议，但对观测数据与演绎数据能否被纳入数据可携带权的范围仍然存疑。

最后，就义务内容而言，数据可携带权对应的义务边界有待厘清。GDPR 第25 条规定了数据控制者应当综合考虑实施成本、处理范围、处理目的等多项要素，采取合适的技术与组织措施处理数据。《个人信息保护法》也专章规定了个人信息处理者的义务，其中包括合法处理数据、保障数据安全、提供必要信息、事前评估风险、数据泄露通知等义务。目前，国内外对于数据控制者的义务规定仍比较宽泛，缺乏针对性设计［8］。尽数列举受保障的数据法益并不现实，只有厘清数据可携带权的义务边界，明确数据控制者从收到携带请求到完成数据转移的各阶段义务，才是数据可携带权本土化更为理想的路径。

（三）数据可携带权与其他权益的冲突

1.侵害第三人合法权益

GDPR 第20 条第4 款规定了行使数据可携带权的限制，即不得对他人的权利和自由产生负面影响。但实际上，被携带的数据往往不仅涉及请求行使该权利的用户个人，也可能影响第三人权益。例如，用户有权请求在不同平台之间无障碍地传输其主动上传至平台的照片、视频等数据。但是，传输此类数据未经第三方许可，可能对第三方的肖像、隐私等合法权益造成潜在威胁［9］。此外，用户手机内的通话记录、聊天记录、邮件往来记录等信息属于用户所有，但也不可避免地与众多第三方相关联。在此情况下，第三人由于没有渠道了解与其相关的数据正在或已经被转移，其合法权益有很大概率遭到侵害。这种侵害将导致第三人个人信息的不当泄露，例如电话号码被数据控制者获取，进而向第三人发送骚扰信息，甚至可能在未经第三人许可的情况下利用大数据分析其个人信息，然后提供针对性的营销服务。

2.与公共利益发生冲突

数据可携带权的行使可能侵害第三人的合法权益，也可能涉及公共利益和数据主体个人权益的价值冲突［10］。携带的数据除了包含用户的个人信息，还可能涉及公共利益和国家机密，如果企业获取到这些核心数据并分析处理，就可能了解到社会动态、国家经济运行状况、公共卫生安全等重要信息［11］。一旦核心数据被非法跨境传输或泄露、毁损，将对国家安全与公共利益造成极大的损害。例如，自然人的犯罪记录、行政处罚记录等产生的数据既关乎自然人的基本人权，也关系着公众的知情权与社会安宁。再比如，单个自然人的医疗记录、基因信息等数据属于个人隐私数据，但大量的基因数据集合之后就构成了人类繁衍和遗传的重要数据资源，需要对这类数据的携带进行必要的限制，否则可能引发个人权益与公共利益之间的矛盾与争议。

（四）数据可携带权的责任机制不完善

1.责任主体范围缺乏场景化区分

数据可携带权的行使涉及多方主体，其中包括数据主体、数据控制者、数据处理者、数据接收者。数据可携带权的行使是数据控制者（处理者）基于数据主体的请求将个人数据转移至数据接收者，这个过程可以被划分为多个具体化场景。例如，在转移数据的场景中，数据控制者既可能是数据处理者本身，也可能是决定将数据处理委托给他人操作的委托人。如果是后者，在数据转移过程中发生数据泄露、毁损等安全问题，对数据主体承担最终责任的究竟是数据控制者还是数据处理者？并且，数据主体与数据接收者在什么场景下会被纳入责任主体的范畴仍需要进一步讨论。

2.过错判定标准有待明确

行使数据可携带权可能出现数据控制者无故拒绝数据主体的合理请求、个人数据遭遇泄露或毁损、被携带的数据侵犯他人合法权益或公共利益等多种侵权情形，故而侵权责任承担机制的重要性不言而喻。根据《民法典》第1165 条，适用过错推定责任依据法律的明确规定。《个人信息保护法》第69 条对处理个人信息造成个人信息权益损害的，规定适用过错推定责任。因此，在携带过程中若数据权益受损，需要由数据控制者证明对损害的发生没有过错。这主要是为了弥合用户与数据控制者之间的信息鸿沟，传统的“谁主张，谁举证”的规则会加大用户的举证成本，无法满足用户维权的诉讼需求。适用过错推定责任的确能在一定程度上缩小数据主体与数据控制者之间在维权成本、举证能力等方面的差距，但如何认定数据控制者构成过错，仍缺乏明确标准。

四、数据可携带权的本土化改造

数据可携带权的本土化进程中存在上述诸多实施困境，亟待制定针对性的本土化改造方案。只有合理制定本土化改造方案，才能让数据可携带权真正扎根于我国的法律土壤中。

（一）明确数据可携带权兼具双重权利属性

如前所述，学界对于数据可携带权法权属性的界定主要有三种观点，分别为“人格权说”“财产权说”“新型权利说”。本文认为，不能将数据可携带权简单地归于某一权利类属中，其应当是一种兼具人格利益与财产利益的复合型权利。

首先，数据可携带权不能被视为是纯粹的人格权。虽然其具有类似于人格权的人身专属性和人身依附性，但数据主体对个人数据享有的权利有限，主要体现在权利救济方面。《个人信息保护法》以承担损害赔偿的侵权责任来救济个人信息权益，而《民法典》则通过人格权、请求权这种绝对权保护模式来救济人格权。由此可见，虽然数据可携带权依法受到保护，但其保护强度远远不及人格权。

其次，数据可携带权不同于传统财产权。财产权是能够直接体现财产利益的民事权利，一般具有可让与性。尽管数据和网络虚拟财产在《民法典》第127条中得到并列保护，认可了数据具有类似于虚拟财产的财产价值，但只有形成数据集合才具备商业价值。并且，数据可携带权侧重保护自然人人格利益。再者，数据可携带权不可转让给他人行使，不具备可让与性。因此，不能将其简单置于财产权体系中。

最后，数据可携带权兼具人格属性与财产属性。一项权利的法律属性由该权利客体的性质所决定。数据可携带权的权利客体是个人数据，个人数据能够识别出特定的自然人。这些数据可以被认定为数据主体生物信息与人格特征的电子化表达，是自然人人格权益扩张的产物。与此同时，平台分析处理个人数据，进而产出商业利益，这一过程使得个人数据具备了财产价值。当财产价值有限的个人数据被收集整合成为群体数据时，就具有了极高的商业价值，进而成为互联网企业在商业竞争中脱颖而出的关键因素。

综上，数据可携带权与人格权、财产权当中的特征有所重叠但又不尽相同，并且人格利益和财产利益的占比也并不对等。因此，应当将数据可携带权的法权属性界定为兼具双重属性的复合型权利。这既有利于弥补具体人格权的局限性，也有利于发挥数据的商业价值。当数据可携带权遭到侵害时，根据具体情况采取不同的救济路径才有可能实现更为全面的保护。

（二）厘清数据可携带权的权利结构

1.权利主体：自然人与中小型企业

GDPR 将数据可携带权的权利主体限定为自然人，《个人信息保护法》也明确保护自然人的个人信息。但本文认为，将中小型企业纳入数据可携带权的权利主体，有助于回应现实需要和维护数据市场内的公平竞争。一方面，用户提供的评价、商家信用等级、成交次数等数据对于中小型企业的发展至关重要，如果不能携带，就需要重新建立用户信赖，对中小型企业来说不仅消耗时间成本，还要投入巨额资金。另一方面，中小型企业由于进入市场年限短，不具备竞争优势，海量的数据源源不断地流向大型企业，形成数据“锁定效应”。如果能够区分企业规模，赋予中小型企业数据可携带权，有助于打破数据寡头垄断，促进数据流通共享［12］。

2.义务主体：排除中小型企业的“提供”义务

GDPR 对数据控制者不区分类型和规模，《个人信息保护法》也并未对数据可携带权的义务主体进行精细化区分。本文认为，应排除中小型企业作为数据可携带权的义务主体。如前所述，大型企业占据数据市场垄断地位，其在资金、人力、技术等方面有充足优势，具备更雄厚的实力，能够满足数据转移要求。简言之，大型企业有能力应对新的合规要求与合规压力。但中小型企业刚刚立足市场，要求他们短期内与雄踞多年的大型企业承担同等义务并不具备可操作性。如果强制要求中小型企业满足数据传输技术条件，会加大其经营负担与合规成本，削弱其经济实力，令其困于竞争劣势。因此，本文认为在数据可携带权本土化进程初期将中小型企业排除在义务主体之外是恰当的。

3.权利客体：允许携带原始数据与观测数据

根据GDPR第20条第1款，被携带的个人数据需要满足两点：一是与数据主体相关的个人数据，二是由数据主体提供给数据控制者的个人数据。第一点排除了匿名数据和与数据主体无关的数据［13］。第二点中的“提供”有三层含义，一是主动提供的原始数据，二是通过使用设备或接受服务被动提供的观测数据，三是基于同意或合同提供的数据。除了原始数据与观测数据，还有数据控制者利用技术手段处理形成的演绎数据。本文认为，应当允许携带原始数据与观测数据，而将演绎数据排除。理由在于：原始数据与数据主体密不可分，其脱离了数据主体就失去了存在的意义，理应被纳入携带范围。观测数据是数据主体在日常活动中被自动记录下来的个人数据，如网站浏览记录、运动数据、位置数据等。这些数据是基于数据主体行为产生的，数据控制者并不需要投入过多技术与资金。演绎数据是数据控制者投入大量的人力、物力与财力开发的产物，应当限制数据主体携带演绎数据，保护数据控制者的合法权益，从而实现二者在利益上的平衡。

4.义务内容：细化数据控制者的阶段性义务

国内外要求数据控制者负担的义务多停留在宏观层面，难以针对性地规制义务主体的行为。因此，应明确数据控制者从收到数据携带请求到成功转移数据的各阶段义务。首先，收到数据主体提出的携带请求时，数据控制者需核验身份并建立“多要素核验”机制。基于平衡数据安全与数据控制者合规负担，可以仅在请求转移敏感数据时才启动该机制。“多要素”可以包括人脸识别、短信验证码确认、电子邮件安全提醒等，这些程序能在一定程度上防范数据泄露风险并减少身份冒用行为的发生［14］。其次，在转移数据时，数据控制者需确保将数据转移至指定接收者并对敏感数据加密处理。最后，数据接收者成为新的数据控制者，需合理存储数据并且未经授权不得处理数据，否则将承担侵权责任。

（三）数据可携带权行权配套机制

1.第三人的有限容忍义务

数据主体携带涉他数据时，可能导致第三方信息泄露，但单纯携带并不一定侵犯第三方隐私、肖像等权益。我国《民法典》第1032 条第2 款明确规定隐私具有不被他人知晓的私密性，如果涉他数据只在机器中传输和存储，不被公众知晓，则不涉及侵犯第三人隐私。本文认为，第三人负有有限的容忍义务，不必每次征求第三人同意携带涉他数据，否则将会极大地打击数据主体转移数据的积极性，也会增加数据转移的成本和负担。数据可携带权是每个用户主体享有的权利，每个用户主体都对数据携带行为有合理期待，因为其本人也可能在某一时刻提出携带涉他数据的请求［15］。例如，用户个人可能会在某平台上传毕业照等集体照，照片中的第三人应当意识到该照片有可能在网络中传播，用户个人对该类照片享有一定范围内的合理使用权。因此，如果数据主体出于正当目的提出携带请求，那么无须经过第三人的同意。相反，数据接收者若想要利用第三人数据以实现商业化目的则需尊重第三人的知情同意权，否则需承担侵权责任。

2.加强数据可携带权的外部监管

实现权利需要有效的监管机制。我国现有的个人数据保护规定散见于各部门法中，缺乏完备科学的数据可携带权的监管制度。本文认为，可以从三方面着手：首先，构建分级数据监管机构。国家级监管机构是数据监管的最高机构，省级监管机构负责解读政策文件并对市级工作进行监督，市级监管机构则具体监督本地区中各企业的数据获取、存储、传输、处理等行为是否合法合规。其次，加强数据传输前后期监管。一方面，监管机构需要审查数据控制者是否在用户知情同意的情况下获取用户数据，并是否按照用户请求和数据类型进行数据整理。另一方面，监管机构应注重审查数据控制者的传输方式是否合理、传输渠道是否安全、是否对敏感数据进行加密处理等。最后，优化数据监管方式。各级监管机构设立内部评价机制，加强监管机构自身建设，强化各级监管机构内部合作与交流，以实现监管机构自身用权受监督、违法必追究。

（四）完善数据可携带权的责任机制

1.区分场景界定责任主体范围

《个人信息保护法》第69条只规定了个人信息处理者的侵权责任，但权利的实现需要多方主体的配合。本文认为，可将数据可携带权的实现划分为“提出请求——数据转移——数据接收”三个场景，在不同场景下界定责任主体范围能实现更精准的救济。首先，数据控制者无故拒绝数据主体提出的合理携带请求时，数据主体可以基于请求权竞合主张数据控制者的违约责任或侵权责任。其次，在数据转移过程中发生数据安全问题，数据控制者应承担侵权责任。若数据控制者将数据处理事项委托给他人操作，数据控制者应对数据主体承担最终责任。数据控制者对数据主体承担侵权责任后可以向受托方追偿并请求其承担相应的违约责任。最后，数据接收者有义务对接收到的数据采取恰当的保护措施，并且在未经许可前，不能对数据进行分析与处理。数据接收者违反上述义务导致数据主体合法权益受到侵害，应承担相应的侵权责任。至于数据主体承担侵权责任的情形，应是其明知携带某数据会损害第三人合法权益或公共利益，但仍要求转移该数据并因此造成了相应的损害后果。

2.明确判定过错的证明标准

数据主体相对于数据控制者而言处于弱势地位，二者在举证能力、维权成本上都存在较大悬殊，需要加以平衡。基于公平原则，《个人信息保护法》第69 条采用了过错推定责任，由数据控制者举证证明自己对损害的发生不存在过错。虽然归责原则得以明晰，但并未明确判定过错的证明标准。就此，本文认为，可以从《民法典》人格权编对个人信息的处理原则和《个人信息保护法》对敏感信息的处理规则中寻找可用的标准。数据控制者若主张自身不存在过错，需要证明同时满足以下三项标准：第一，转移数据的行为符合《民法典》第1035条规定的个人信息处理的原则和条件，即具备合法性、正当性、必要性。第二，经过了数据主体的同意或根据合同约定进行数据传输。第三，数据传输与处理符合《个人信息保护法》第28条规定的目的特定与充分必要原则，并且对数据采取了严格的保护措施［16］。

五、结语

《个人信息保护法》引入数据可携带权，展现了我国个人信息保护立法的时代性与前瞻性。数据可携带权的功能不同于防御性个人数据权利，其具有增强数据主体对数据掌控力的积极作用，有利于平衡数据主体与数据控制者的不对等关系，并促进数据的共享与流通。但是，数据可携带权的本土化还面临诸多实施困境，需要借鉴域外经验。首先，明确数据可携带权属于兼具人格属性与财产属性的复合型权利。其次，应从权利主体、义务主体、权利客体、义务内容四个方面厘清数据可携带权的权利结构。再次，通过要求第三人负担有限的容忍义务、加强数据可携带权的外部监管等方式缓和与其他权益之间的冲突。最后，对数据可携带权的本土化改造离不开责任机制的完善，一方面需要区分场景界定责任主体范围，另一方面需要明确判定过错的证明标准。只有不断细化数据可携带权本土化的改造方案，才能真正实现数据的人格权益与商业价值的平衡，使数据可携带权牢牢扎根在中国并服务于本土数字经济的发展。