金耀：数据可携权的法律构造与本土构建 | 前沿

（一）数据可携权的源流考察

数据可携转的理念在早期欧洲的相关规范与产业实践中已有一定的积淀，尤其是手机号码的移转实践与我国当前的携号转网非常类似。尽管该理念尚未抽象为一项具体权利，但随着欧盟GDPR立法的展开，这一产业诉求逐渐为立法所采纳。

欧盟委员会2012年《统一数据保护条例（建议案）》首次提出数据可携权的概念，可视为数据可携权的雏形。但是，权利客体范围的模糊性与不确定性极大地削弱了该权利的正当性，受到学者的批判；其中有关数据可携权的规定较为粗糙，缺乏可操作性，对数据主体直接移转数据的具体条件与权利限制规定不充分。

数据可携权的价值既在于强化数据主体对个人数据的控制，也在于重塑数据主体与数据控制者之间的平衡关系、促进数据流通以实现数据产业的良性竞争、实现数据主体分享数据红利。

（二）数据可携权的权利演进

GDPR第20条最终确立了数据可携权，它主要包含两方面的内容：一是个人数据副本取回权，二是数据移转权。有学者认为，除此之外还应包括数据主体将取回的个人数据转移给其他数据控制者的权利。总体而言，较之于《建议案》，GDPR规定的数据可携权之权利构造有一些变化，相关规范更为严谨与完整，限缩了权利客体、明确了权利行使方式、细化了数据的格式标准并新增了权利限制条款。

（三）数据可携权的权利困境

第一，根据现有关于界定“提供”的个人数据的可携权规范，数据控制者很难明确判断哪些数据可以移转，哪些数据不能移转；第二，保证数据可携权的技术可行性，即数据控制者之间系统的互通性，不是一项强制性义务，而是提倡性建议，这将极大地限制数据可携权的适用范围；第三，在数据流通过程中可能产生数据安全问题或数据后续的不当利用问题，与之相关的责任承担主体与责任范围存在争议。有学者认为，应当由数据控制者承担责任，且其承担责任的范围与数据移转模式相关。开放移转模式中的数据控制者责任是有限的，因为数据控制者缺乏对数据接受者资格与相关条件的限制，完全是由数据主体指定数据移转的接受者。在有条件的移转模式或合作关系的移转模式中，数据接受者的资格与后续行为受到数据控制者的严格限制，因此应完全由数据控制者承担风险。

尽管存在上述理论问题，但应看到，数据可携权制度具有深厚的法律渊源与产业基础，其开创性地将数据流转的主动权交给数据主体，旨在重塑数据主体与数据控制者之间的关系。其不断完善的权利构造构成为当前数据流通体系的重要补充。

第一，数据可携权的主体权利维度。一方面，数据可携权并非控制支配权。首先，数据可携权并非要实现数据主体对个人数据的绝对控制与支配；其次，数据可携权的行使不得对其他数据权利产生影响；最后，数据可携权不得损害他人权利与自由。事实上，欧盟数据可携权的行使有诸多限制条件，存在着一套精细化的平衡机制。另一方面，数据可携权并非积极权能。首先，GDPR只是在“个人数据保护权”体系下，通过明确数据控制者的安全管理义务从而实现对主体利益的保护；其次，积极权能的认定与我国现行立法规定并不一致；最后，积极权能的定位存在体系障碍，因为人格权一般只具有消极权能。从根本上看，数据可携权旨在增强主体对数据移转与再利用行为的控制，而不是增强对个人数据本身的控制。

第二，数据可携权的竞争法维度。在欧盟法律框架下，数据可携权是促进数据市场竞争与创新的工具，但是目前理论界对此存在分歧。肯定说认为，数据可携权可以打破用户锁定效应，作为竞争性监管的最佳形式可以称为传统竞争法的重要补充；否定说认为，数据可携权存在打破现有竞争法的逻辑规范体系、增加中小企业成本等问题。实际上，如何解决当前分歧很大程度取决于用传统竞争法规范当前数据市场的效果。现阶段，传统竞争法规则在应对数据市场竞争存在失灵的情况，数据可携权可降低数据垄断的可能性，通过数据可携权，可以促进原数据控制者提升服务、促进新的数据控制者进行创新。同时，在当前数据权属不明的情形下，通过数据可携权确立的数据流通规则，可一定程度上实现特定数据的共享与使用，最大程度促进产业竞争，减少对中小企业的不利影响。

第三，数据可携权消费者合同维度。数据合同的任意性规范可以改变消费者在数字时代的弱势地位，消费者数据合同是数据可携权的重要补充。另一方面，数据可携权构建的数据流通规则也可为数据合同成文法规范提供参考。

（一）我国现行规范中的数据可携权

我国现行立法并没有直接规定数据可携权，但在2017年国家标准《个人信息安全规范》第7.9条首次提出“数据可携权”。类似于欧盟数据可携权，国家标准中的数据可携权也包含“个人信息副本获取权”与“数据移转权”，但其适用的个人信息限定为个人基本资料、个人身份信息、个人健康生理信息、个人教育工作信息。新修订的2020年版《个人信息安全规范》第8.6条对此进行了修正，其进一步减轻了信息控制者的义务。

我国现行国家标准中的数据可携权规范存在问题，例如，规范非常粗糙，未明确数据可携权行使的条件与法律基础，在适用范围上也只限定在几类个人信息，缺乏操作性；目前我国互联网公司的隐私政策中也难以窥见个人信息可携权的相关内容，其根源在于理论研究的局限性与法律规范的缺失。

从比较法来看，国外对数据可携权的法律规定呈现出完善的趋势。世界主要国家已经或者正在构建本土化的数据可携权规范。而且，越来越多的国家意识到，数据可携权制度不仅关系个人利益，更是发展数字经济，实现数据要素市场化的重要手段。基于此，我国应尽快构建本土化的数据可携权制度。

（二）我国构建数据可携权的现实路径

基于数据可携权复杂的权利构造与多元的规范价值，我国《民法典》人格权编并未规定数据可携权，我国宜在专门立法中制定相关的可携权规范。从制度定位上，应充分借鉴国外相关立法与理论，从个人信息保护、数据竞争、消费者利益保护等维度体系化构建相关规定，并创新权利实现的外部机制。

第一，明晰数据可携权的权利构造。对于当前争议之焦点——如何界定数据移转权中的“技术可行性”条件，不应对其作严格解释，只要在广义上符合系统兼容的要求即可视为技术可行。这一解释路径可以最大限度降低数据控制者构建兼容系统的成本，从而增强数据移转权的行使可行性。

第二，厘清数据可携权的适用范围。数据可携权的范围不应限于国家标准中的几类个人信息，我国可参考欧盟《提供数字合同指令》、美国加州《消费者隐私法》等立法，较为宽泛地界定数据可携权客体。消费者提供的个人数据、使用数字内容产生或生成的数据，均可成为可携权的客体。

第三，增加数据可携权限制条款。我国权利限制条款应当包括以下内容：一是数据可携权不得优先于隐私权、删除权；二是数据可携权不得影响其他权利与自由的实现。

第四，创新权利实现的外部机制。我国可以参照英国成立个人数据移转产业工作组的实践：其一，设计协作主体；其二，修改与改进可再使用的条款；其三，启用知识共享的方式；其四，使用定向创新框架来探索解决方案，通报企业信息，确定政府干预的要求。

数据可携权从其诞生之初就被赋予促进数字经济繁荣的使命。欧盟数据可携权制度对世界各国立法产生了深远影响，我国是否应当移植此项权利制度这一问题的回答应当谨慎。因此，应当客观地重塑该权利制度的价值，为其本土化构建提供正当性依据。