張哲

探微與啟示：歐盟個人數(shù)據(jù)保護(hù)法上的數(shù)據(jù)可攜權(quán)研究

張哲

（西南政法大學(xué) 民商法學(xué)院，重慶 401120）

歐盟《一般數(shù)據(jù)保護(hù)條例（GDPR）》引入的數(shù)據(jù)可攜權(quán)在增強(qiáng)個人數(shù)據(jù)控制力和促進(jìn)市場競爭方面可謂前所未有。這項(xiàng)大數(shù)據(jù)時(shí)代的新型數(shù)據(jù)權(quán)利成為繼被遺忘權(quán)之后歐盟數(shù)據(jù)保護(hù)改革中的又一大亮點(diǎn)。以個人信息自決為理論基礎(chǔ)的數(shù)據(jù)可攜權(quán)在內(nèi)容上包括了數(shù)據(jù)主體的副本獲取權(quán)和數(shù)據(jù)轉(zhuǎn)移權(quán)。但與此同時(shí)，法律概念的抽象性、適用范圍的局限性以及與其他數(shù)據(jù)權(quán)利間的不協(xié)調(diào)性亦使得該權(quán)利的法律適用亟待歐盟執(zhí)法機(jī)構(gòu)更加具體和可操作性的實(shí)施細(xì)則的出臺。就我國當(dāng)前互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展和立法概況而言，未來的個人信息保護(hù)法中不宜引入數(shù)據(jù)可攜權(quán)。

數(shù)據(jù)可攜權(quán)；GDPR；信息自決；控制力

2016年5月4日，歐盟《一般數(shù)據(jù)保護(hù)條例

（G D P R）》（以下簡稱“G D P R”）正式文本被公布在歐盟官方公報(bào)上，[1]從而正式結(jié)束了這項(xiàng)長達(dá)四年之久的歐盟個人數(shù)據(jù)保護(hù)改革。在這部被外界稱為“史上最嚴(yán)的個人數(shù)據(jù)保護(hù)條例”中，擴(kuò)大的地域適用范圍、強(qiáng)化的被遺忘權(quán)、新型的數(shù)據(jù)可攜權(quán)、一站式服務(wù)和嚴(yán)厲的處罰措施等成為亮點(diǎn)。為了促進(jìn)市場競爭以及構(gòu)建歐洲數(shù)字化單一市場（D igita l S ing l e M a r ket），[2]歐盟立法機(jī)構(gòu)在此次個人數(shù)據(jù)保護(hù)改革中創(chuàng)造性地引入了“數(shù)據(jù)可攜權(quán)（R ight to D ata P o r ta b i l it y）”。對于這項(xiàng)在任何司法管轄區(qū)都沒有立法和司法經(jīng)驗(yàn)的新型權(quán)利而言，其在立法進(jìn)程中也受到了來自理論和實(shí)務(wù)層面的雙重挑戰(zhàn)。

一、數(shù)據(jù)可攜權(quán)的提出

在快速變革的信息時(shí)代，隨著新技術(shù)的不斷涌現(xiàn)，數(shù)據(jù)的商業(yè)價(jià)值日益凸顯，數(shù)字經(jīng)濟(jì)已然成為世界各國著力打造的新增長點(diǎn)。而與此同時(shí)，大規(guī)模的數(shù)據(jù)泄露事件以及利用個人信息實(shí)施精準(zhǔn)詐騙等違法行為層出不窮，我們每個人都成了互聯(lián)網(wǎng)世界中的“透明人”。為加強(qiáng)新時(shí)期公民的個人數(shù)據(jù)控制力，歐盟立法機(jī)構(gòu)在原有《數(shù)據(jù)保護(hù)指令（95/46/EC）》的基礎(chǔ)上實(shí)施了一系列數(shù)據(jù)保護(hù)改革。在2012年1月25日發(fā)布的《關(guān)于個人數(shù)據(jù)處理和自由流動的個人保護(hù)》的建議中，歐盟委員會在第十五條中首次引入了“數(shù)據(jù)可攜權(quán)”，此舉也標(biāo)志著數(shù)據(jù)可攜權(quán)正式進(jìn)入歐盟立法進(jìn)程。

作為一項(xiàng)新型數(shù)據(jù)權(quán)利，數(shù)據(jù)可攜權(quán)的基本理念在于“個人能夠?qū)⑵鋫€人數(shù)據(jù)和資料從一個信息服務(wù)者處無障礙地轉(zhuǎn)移至另一個信息服務(wù)者處”。[3]雖然自提議以來，其就成為了個人數(shù)據(jù)權(quán)利體系的重要組成部分，但由于這項(xiàng)史無前例的數(shù)據(jù)權(quán)利的多重復(fù)雜性，歐盟立法機(jī)構(gòu)也在個人數(shù)據(jù)權(quán)利體系的構(gòu)建上進(jìn)行了數(shù)次重大修改。

在歐盟委員會2012年的提議中，數(shù)據(jù)可攜權(quán)被規(guī)定在第十八條，獨(dú)立于第十五條規(guī)定的數(shù)據(jù)主體訪問權(quán)（R ighto f access by the d ata s u b ject）。[4]但在2013年歐洲議會下設(shè)的公民自由、司法和內(nèi)政事務(wù)委員會（LI B E）發(fā)布的報(bào)告中，卻將該權(quán)利作為數(shù)據(jù)主體訪問權(quán)的一個具體內(nèi)容并入第十五條的規(guī)定之中。[5]隨后，歐洲議會于2014年3月份通過了G D P R草案修改稿，該權(quán)利亦被作為數(shù)據(jù)主體訪問權(quán)的一部分規(guī)定在第十五條中。[6]2015年12月15日，歐洲議會、歐洲理事會和歐盟委員會在“三方會談”中就G D P R草案達(dá)成了實(shí)質(zhì)性共識，[7]在該草案中，數(shù)據(jù)可攜權(quán)又被重新作為一項(xiàng)獨(dú)立的權(quán)利規(guī)定在了第十八條之中。[8]此種權(quán)利架構(gòu)安排也一直保持到了2016年5月4日正式公布的G D P R第二十條之中。[9]

從G D P R草案的數(shù)次修改中可以看到，歐盟立法機(jī)構(gòu)在數(shù)據(jù)可攜權(quán)與數(shù)據(jù)主體訪問權(quán)之間的關(guān)系認(rèn)定上存在較大爭議。原因在于，按照立法者的設(shè)想，數(shù)據(jù)可攜權(quán)在權(quán)能上除了獲取個人數(shù)據(jù)外，更重要的是，數(shù)據(jù)主體還能夠?qū)⑵鋫€人數(shù)據(jù)無障礙地從一個控制者處轉(zhuǎn)移至另一個控制者處。由于G D P R第十五條允許數(shù)據(jù)主體訪問的多為有關(guān)數(shù)據(jù)處理的確認(rèn)性信息，若將獲取個人數(shù)據(jù)的權(quán)能作為訪問權(quán)的具體內(nèi)容予以規(guī)定，就將導(dǎo)致第十五條在權(quán)利內(nèi)容上的混亂。而就數(shù)據(jù)可攜性的內(nèi)涵來說，正如學(xué)者E va F ia l ová所言，數(shù)據(jù)可攜類似于對一個物體實(shí)施的物理轉(zhuǎn)移行為。這個物體從一個地方取出并被攜帶至另一個地方。[10]因此，不管是個人數(shù)據(jù)被攜帶至個人還是另一個控制者處，其都是數(shù)據(jù)可攜性功能的體現(xiàn)。所以，在權(quán)利架構(gòu)上，筆者亦認(rèn)為數(shù)據(jù)可攜權(quán)應(yīng)當(dāng)被作為一項(xiàng)獨(dú)立于訪問權(quán)的數(shù)據(jù)權(quán)利。

二、數(shù)據(jù)可攜權(quán)的理論基礎(chǔ)

作為一項(xiàng)旨在增強(qiáng)個人數(shù)據(jù)控制力的權(quán)利，數(shù)據(jù)可攜權(quán)的理論基礎(chǔ)來源于信息自決權(quán)。在德國著名的“人口普查法案”判決中，[11]聯(lián)邦憲法法院通過對《德國基本法》第一條（1）關(guān)于人格尊嚴(yán)的保護(hù)以及第二條（1）關(guān)于人格自由發(fā)展的解釋，認(rèn)為政府的人口普查行為侵犯了公民“對個人數(shù)據(jù)基本的自決權(quán)”，背離了憲法所保護(hù)的人格尊嚴(yán)和自由，從而以判例的形式確認(rèn)了公民享有的“信息自決權(quán)”。

信息自決權(quán)是指自然人享有決定關(guān)于其個人的數(shù)據(jù)向誰披露、在何種程度上披露以及如何利用的權(quán)利。因此，從其定義中可以看到，“信息自決權(quán)的精髓在于信息主體對自身信息的控制與選擇，即自我決定的權(quán)利?！盵12]這種控制與選擇就表現(xiàn)在自然人對數(shù)據(jù)從收集、存儲、處理、使用、刪除等各個環(huán)節(jié)在范圍、方式、程度和期限上的深度參與。同時(shí)，信息自決還意味著數(shù)據(jù)處理的透明度原則，即個人應(yīng)當(dāng)被告知數(shù)據(jù)處理的相關(guān)信息，包括但不限于數(shù)據(jù)是否被處理、處理的目的、存儲期限以及數(shù)據(jù)主體享有的權(quán)利。

數(shù)據(jù)可攜在內(nèi)容上類似于所有權(quán)人基于自由意志而實(shí)施的物權(quán)轉(zhuǎn)移過程。就二者的關(guān)系，正如學(xué)者P ur tova所言，數(shù)據(jù)可攜已經(jīng)與信息自決相連接并被視為是信息自決概念和個人對控制個人數(shù)

據(jù)泄露和進(jìn)一步處理的默認(rèn)授權(quán)的邏輯延伸。[13]因此，數(shù)據(jù)可攜權(quán)可被視為一種通過賦予自然人獲取以及轉(zhuǎn)移個人數(shù)據(jù)的權(quán)利來實(shí)現(xiàn)信息自決的方式，其與G D P R第三章規(guī)定的數(shù)據(jù)主體訪問權(quán)、更正權(quán)、刪除權(quán)（被遺忘權(quán)）、反對權(quán)以及限制處理權(quán)共同構(gòu)筑了歐盟個人數(shù)據(jù)權(quán)利保護(hù)體系。

三、數(shù)據(jù)可攜權(quán)的內(nèi)容

為實(shí)現(xiàn)歐盟對個人信息自決的高水準(zhǔn)保護(hù)并促進(jìn)市場競爭，數(shù)據(jù)可攜權(quán)的內(nèi)容也在G D P R草案的研討中經(jīng)歷了數(shù)次重大調(diào)整，并最終固定在了G D P R第二十條。以下即為具體規(guī)定：

第二十條數(shù)據(jù)可攜權(quán)[14]

1.數(shù)據(jù)主體有權(quán)以一種結(jié)構(gòu)化、通用和機(jī)器可讀的形式獲取他或她已提供給數(shù)據(jù)控制者的相關(guān)個人數(shù)據(jù)，并有權(quán)無障礙地從其提供個人數(shù)據(jù)的控制者處將這些數(shù)據(jù)轉(zhuǎn)移至另一個數(shù)據(jù)控制者處，如果：

（a）處理行為是在依據(jù)第六條（1）（a）或第九條（2）（a）的同意或依據(jù)第六條（1）（b）成立的合同的基礎(chǔ)上實(shí)施的；和

（b）處理行為由自動化方式實(shí)施。

2.在依據(jù)第一段行使他或她的數(shù)據(jù)可攜權(quán)時(shí)，數(shù)據(jù)主體應(yīng)有權(quán)在技術(shù)可行的條件下將個人數(shù)據(jù)直接從一個數(shù)據(jù)控制者處轉(zhuǎn)移至另一個數(shù)據(jù)控制者處。

3.關(guān)于該條第一段權(quán)利的行使應(yīng)當(dāng)無差別地適用第十七條。那項(xiàng)權(quán)利不適用于為了執(zhí)行以公共利益或行使由數(shù)據(jù)控制者授權(quán)的官方權(quán)威為名的任務(wù)而實(shí)施的必要處理行為。

4.第一段中所提及的權(quán)利不應(yīng)反過來影響他人的權(quán)利和自由。

從上述規(guī)定中可以看到，數(shù)據(jù)可攜權(quán)的內(nèi)容包括兩個方面，其一是副本獲取權(quán)（r ight to o b tain a cop y），其二是數(shù)據(jù)轉(zhuǎn)移權(quán)（r ight to d ata t r ans f e r）。

（一）副本獲取權(quán)

副本獲取權(quán)賦予了數(shù)據(jù)主體從控制者處下載個人數(shù)據(jù)的權(quán)利，并且控制者在提供個人數(shù)據(jù)時(shí)還應(yīng)當(dāng)以一種結(jié)構(gòu)化、通用和機(jī)器可讀的形式為之，這也極大地便利了數(shù)據(jù)的進(jìn)一步利用。對于這項(xiàng)頗具爭議的權(quán)利，無論是在構(gòu)成要件上還是獲取數(shù)據(jù)的范圍上，相較于早期的立法草案，歐盟立法機(jī)構(gòu)都對其進(jìn)行了重大調(diào)整。

首先是在獲取數(shù)據(jù)的范圍上，在歐盟委員會2012年的建議中，允許獲取的個人數(shù)據(jù)為“正在處理的數(shù)據(jù)”。但在正式通過的文本中，立法者刪除了此項(xiàng)限制性規(guī)定，只要是數(shù)據(jù)主體提供給控制者的個人數(shù)據(jù)，其均可以要求下載。其次，在數(shù)據(jù)處理的形式上，原有的草案要求對于以電子化、結(jié)構(gòu)化和通用形式為之的處理行為方可主張獲取數(shù)據(jù)副本，但在正式文本中卻要求處理行為以自動化方式為之，并基于數(shù)據(jù)主體的同意或合同目的。因此，在數(shù)據(jù)處理形式上，正式的規(guī)定擴(kuò)大了副本獲取權(quán)的適用范圍，未采用通用形式的自動化處理行為亦將受到該規(guī)則的約束。

從當(dāng)前互聯(lián)網(wǎng)行業(yè)的發(fā)展來看，雖然數(shù)據(jù)可攜權(quán)的規(guī)定還沒有生效，但是美國互聯(lián)網(wǎng)公司卻早已開始了這方面的探索和實(shí)踐。例如，谷歌于2011年就推出了G oog l e T akeo u t服務(wù)，用戶可選擇G oog l e+設(shè)置里的“數(shù)據(jù)自由”(D ata L i b e r ation)選項(xiàng)，下載自己所有的檔案數(shù)據(jù)、信息流數(shù)據(jù)、P icassa上的照片、Bu zz數(shù)據(jù)、圈子和聯(lián)系人數(shù)據(jù)。F ace b ook也為用戶提供了下載個人數(shù)據(jù)的接口，并且提供了更多可供下載的數(shù)據(jù)類型。除了照片、聯(lián)系人、視頻等數(shù)據(jù)外，他們甚至可以提供為用戶推送精準(zhǔn)廣告所使用的關(guān)鍵詞和興趣列表。微軟亦在其產(chǎn)品中提供了不同的數(shù)據(jù)可攜性，一個主要的領(lǐng)域就是o ff ice365，在這個軟件中，用戶可以利用內(nèi)置程序輕松地導(dǎo)入或?qū)С鰯?shù)據(jù)，并且即使是用戶不再使用該軟件，其仍可以在90天之內(nèi)導(dǎo)出個人數(shù)據(jù)。

所以，無論是從法律規(guī)定還是行業(yè)發(fā)展方面來看，允許用戶獲取個人數(shù)據(jù)副本已經(jīng)成為立法者和企業(yè)共同的追求。但這并不意味著任何數(shù)據(jù)都可以獲取，更不意味著該權(quán)利就沒有任何限制條件。

首先，在適用范圍上，該權(quán)利適用于基于數(shù)據(jù)主體同意或?yàn)槁男泻贤鴮?shí)施的自動化處理行為。對于數(shù)據(jù)控制者經(jīng)過法律授權(quán)而實(shí)施的處理行為并不適用，此種例外情形包括G D P R第六條（1）（c）———（f）中規(guī)定的為履行法定義務(wù)、保護(hù)數(shù)據(jù)主體的重要利益、執(zhí)行法定任務(wù)或履行法定職責(zé)以及為了合法利益而實(shí)施的必要處理行為。[15]

其次，在數(shù)據(jù)的獲取形式上，G D P R要求數(shù)據(jù)控制者以結(jié)構(gòu)化、通用和機(jī)器可讀的形式將個人數(shù)據(jù)提供給數(shù)據(jù)主體。在G D P R緒言（68）中，歐盟立法者也鼓勵控制者開發(fā)能夠?qū)崿F(xiàn)數(shù)據(jù)可攜的具有互操作性的格式。也就是說，在使用這種數(shù)據(jù)格式后，自然人下載的個人數(shù)據(jù)副本可以被繼續(xù)用于其他處理過程中，而無需考慮格式的兼容問題，從而大大增強(qiáng)了個人數(shù)據(jù)處理的便捷度。

最后，在權(quán)利行使后果上，副本獲取權(quán)的行使不應(yīng)當(dāng)阻礙G D P R第十七條刪除權(quán)（被遺忘權(quán)）的適用。也就是說，在數(shù)據(jù)主體從控制者處獲取個人數(shù)據(jù)后，其仍可在滿足刪除權(quán)行使要件的條件下請求個人數(shù)據(jù)的刪除。例如，個人數(shù)據(jù)的處理就其被收集的目的而言已經(jīng)不再必要，或者數(shù)據(jù)主體在下載副本之后撤銷了處理的同意等，在此類情形下，數(shù)據(jù)主體便可以向控制者主張個人數(shù)據(jù)的刪除。

（二）數(shù)據(jù)轉(zhuǎn)移權(quán)

顧名思義，數(shù)據(jù)轉(zhuǎn)移權(quán)就是將數(shù)據(jù)從一處轉(zhuǎn)移至另一處的權(quán)利?？梢哉f，這是數(shù)據(jù)可攜權(quán)與數(shù)據(jù)主體訪問權(quán)最核心的區(qū)別。根據(jù)G D P R第二十條的第一段的規(guī)定，數(shù)據(jù)主體有權(quán)將其提供的個人數(shù)據(jù)無障礙地從一個控制者處轉(zhuǎn)移至另一個控制者處。比如，F(xiàn) ace b ook用戶可以基于該權(quán)利將其提供給F ace b ook的個人數(shù)據(jù)，包括聊天記錄、圖片、個人動態(tài)等轉(zhuǎn)移至G oog l e+或W e C hat等其他社交應(yīng)用之中。

相較于之前的草案，數(shù)據(jù)轉(zhuǎn)移權(quán)的調(diào)整主要表現(xiàn)在兩個方面。首先，在歐盟委員會的草案中，數(shù)據(jù)轉(zhuǎn)移權(quán)的客體不僅包括個人數(shù)據(jù)，還包括數(shù)據(jù)主體提供的其他數(shù)據(jù)以及控制者從其他自動化系統(tǒng)得到的數(shù)據(jù)，但在正式的G D P R文本中，數(shù)據(jù)轉(zhuǎn)移權(quán)的客體僅限于個人數(shù)據(jù)。其次，正式文本在原有的數(shù)據(jù)轉(zhuǎn)移權(quán)基礎(chǔ)上，增加了“在技術(shù)可行的條件下，直接將個人數(shù)據(jù)在控制者之間轉(zhuǎn)移”的規(guī)定，使個人數(shù)據(jù)的轉(zhuǎn)移更加便捷。

同副本獲取權(quán)一樣，該權(quán)利在適用范圍上也是針對基于數(shù)據(jù)主體的同意或?yàn)槁男泻贤鴮?shí)施的自動化處理行為。但與副本獲取權(quán)不同的是，該權(quán)利還要求在技術(shù)可行（technica ll y f easi b l e）的條件下，數(shù)據(jù)主體有權(quán)直接將其個人數(shù)據(jù)轉(zhuǎn)移至另一個控制者處。這種規(guī)定使數(shù)據(jù)主體無需先下載個人數(shù)據(jù)，而后再上傳至另一個控制者處，而是直接在控制者提供的技術(shù)操作中實(shí)現(xiàn)個人數(shù)據(jù)的轉(zhuǎn)移，從而在更大程度上增加了數(shù)據(jù)轉(zhuǎn)移的便捷性。同時(shí)，在個人數(shù)據(jù)被轉(zhuǎn)移至其他控制者處后，若該數(shù)據(jù)就原有控制者收集的目的而言已不再必要或原有控制者無其他處理數(shù)據(jù)的正當(dāng)理由，那么數(shù)據(jù)主體也有權(quán)請求個人數(shù)據(jù)的刪除。

四、數(shù)據(jù)可攜權(quán)的制度缺陷

從G D P R對數(shù)據(jù)可攜權(quán)的規(guī)定中可以看到，在權(quán)利內(nèi)容上，其允許數(shù)據(jù)主體以便捷的方式獲取和轉(zhuǎn)移個人數(shù)據(jù)，在增強(qiáng)個人數(shù)據(jù)控制力和營造公平市場競爭環(huán)境方面可謂一舉兩得。但如果結(jié)合信息時(shí)代數(shù)據(jù)流通的多樣性和復(fù)雜性來審視權(quán)利構(gòu)成要件的話，我們就會發(fā)現(xiàn)，對于這樣一個看似美好的制度設(shè)想，其中還存在著諸多制度缺陷和法律適用上的不確定性。主要表現(xiàn)在以下幾個方面：

1.不合理的適用范圍。歐盟委員會曾在其提議中規(guī)定該權(quán)利適用于以電子化、結(jié)構(gòu)化和通用方式實(shí)施的處理行為，[16]但卻遭到了部分學(xué)者的反對。雖然在當(dāng)今時(shí)代，大部分?jǐn)?shù)據(jù)處理行為均以電子化的方式進(jìn)行，但在數(shù)據(jù)格式上卻沒有形成統(tǒng)一標(biāo)準(zhǔn)，若按照上述規(guī)定執(zhí)行，不僅將導(dǎo)致部分?jǐn)?shù)據(jù)主體的權(quán)利無法得到保障，還將鼓勵控制者采用非通用形式以規(guī)避法律義務(wù)。[17]因此，正式頒布的G D P R取消了“結(jié)構(gòu)化和通用形式”的規(guī)定，對所有的自動化處理行為均予以適用。雖然這種規(guī)定擴(kuò)大了權(quán)利的適用范圍，但也過度增加了數(shù)據(jù)控制者的義務(wù)。因?yàn)榘凑债?dāng)前的規(guī)定，對于以非通用形式處理數(shù)據(jù)的控制者而言，其需以結(jié)構(gòu)化、通用和機(jī)器可讀的形式提供個人數(shù)據(jù)副本，這顯然會使大量以非通用方式處理個人數(shù)據(jù)的中小企業(yè)承受過重的法律義務(wù)。此外，雖然G D P R緒言（68）指出，“數(shù)據(jù)控制者應(yīng)當(dāng)被鼓勵開發(fā)能夠使數(shù)據(jù)可攜的可共同操作的格式”，[18]但是這也僅僅是建議性的，對于企業(yè)沒有直接的法律約束力。

2.數(shù)據(jù)來源上的歧視。根據(jù)G D P R的規(guī)定，該權(quán)利僅僅適用于數(shù)據(jù)主體提供給控制者的個人數(shù)據(jù)，對于因合法授權(quán)而處理的個人數(shù)據(jù)則并不適用。比如，雇主為履行法定義務(wù)自保險(xiǎn)公司處收集并保存雇員的個人保險(xiǎn)數(shù)據(jù)，那么，相較于經(jīng)雇員同意而獲取其個人保險(xiǎn)數(shù)據(jù)而言，雇員在此種情形下就無法主張數(shù)據(jù)可攜權(quán)。這種規(guī)定將導(dǎo)致權(quán)利適用在數(shù)據(jù)來源上的區(qū)別對待，違反了法律上的公平原則，使一部分?jǐn)?shù)據(jù)主體無法行使其數(shù)據(jù)可攜權(quán)。

3.通知規(guī)則的缺失。根據(jù)G D P R第二十條第三段的規(guī)定，數(shù)據(jù)可攜權(quán)的行使應(yīng)當(dāng)無差別地適用第十七條的規(guī)定，但數(shù)據(jù)主體是否應(yīng)當(dāng)被告知享有刪除權(quán)仍存疑問。在法律后果上，個人在行使數(shù)據(jù)可攜權(quán)而轉(zhuǎn)移了個人數(shù)據(jù)后，未必就表明其同時(shí)主張刪除權(quán)，G D P R緒言（68）也表明，數(shù)據(jù)可攜權(quán)的行使并不意味著個人數(shù)據(jù)在控制者處的直接刪除。但根據(jù)信息自決理論，個人有權(quán)知悉并決定數(shù)據(jù)處理的各個環(huán)節(jié)。因此，從保障個人權(quán)利的角度而言，應(yīng)當(dāng)在未來的實(shí)施細(xì)則中要求控制者在

數(shù)據(jù)主體主張?jiān)摍?quán)利后通知個人享有刪除權(quán)，這樣既能保證數(shù)據(jù)處理的透明性，又能保障個人的信息自決。

4.涉他數(shù)據(jù)的轉(zhuǎn)移問題。與搜索、購物等以滿足用戶自我需求為目的的服務(wù)不同，社交網(wǎng)絡(luò)具有天然的涉他屬性。在上述關(guān)于數(shù)據(jù)可攜權(quán)的舉例中，F(xiàn) ace b ook用戶發(fā)布的圖片、聊天信息、個人動態(tài)等很有可能會涉及到他人，比如數(shù)據(jù)主體之間的聊天記錄，發(fā)布在個人賬號中的合照和視頻等。因此，當(dāng)一名用戶將其在F ace b ook上的個人數(shù)據(jù)轉(zhuǎn)移至G oog l e+時(shí)，G oog l e不僅將獲得該用戶的數(shù)據(jù)，亦會獲取有關(guān)他人的數(shù)據(jù)，而這又是否構(gòu)成了對個人數(shù)據(jù)的非法收集？如果集體照中的他人或聊天記錄的對方不允許G oog l e獲取其個人數(shù)據(jù)，這種個人信息自決和數(shù)據(jù)可攜權(quán)之間的沖突又當(dāng)如何解決？對此，G D P R緒言（68）也只是宣示性地指出在涉他數(shù)據(jù)的獲取上應(yīng)當(dāng)無差別地保護(hù)他人的權(quán)利和自由，而并未給出具體的解決機(jī)制。

5.不確定的義務(wù)履行期限。在個人行使其數(shù)據(jù)可攜權(quán)時(shí)，出于信息安全考慮，控制者必然需要驗(yàn)證數(shù)據(jù)主體的身份，由此便產(chǎn)生了數(shù)據(jù)提供的期限問題。遺憾的是，G D P R并未對此作出規(guī)定。應(yīng)當(dāng)指出的是，過于簡單的身份識別方式雖然在一定程度上有利于副本獲取權(quán)的實(shí)現(xiàn)，但此種方式也將導(dǎo)致數(shù)據(jù)安全面臨巨大風(fēng)險(xiǎn)。[19]

五、我國是否有必要引入數(shù)據(jù)可攜權(quán)

縱觀世界范圍內(nèi)的個人數(shù)據(jù)保護(hù)立法，歐盟地區(qū)無論是在法律體系的完備性還是數(shù)據(jù)權(quán)利的前沿性均可謂一馬當(dāng)先，其也因此成為歐盟各成員國、新加坡、日本以及我國港澳臺地區(qū)在個人數(shù)據(jù)立法上所效仿的對象。但是，一國要想制定一部科學(xué)合理的個人信息保護(hù)法，除了借鑒先進(jìn)國家的立法之外，還必須結(jié)合本國的國情、歷史文化、法律傳統(tǒng)和行業(yè)發(fā)展?fàn)顩r，選擇一條適合自己的模式。

在個人信息保護(hù)立法領(lǐng)域，我國起步較晚，齊愛民教授于2005年提交至國務(wù)院的《中華人民共和國個人信息保護(hù)法（草案）學(xué)者建議稿》可謂開歷史之先河，為我國后來制定個人信息保護(hù)相關(guān)規(guī)范提供了重要參考。據(jù)不完全統(tǒng)計(jì)，我國當(dāng)前有關(guān)個人信息方面的規(guī)范就有一百多部，除《全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》和工信部《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》外，其他規(guī)范多散見于刑法、行政法規(guī)和其他部門規(guī)章之中?？梢哉f，我國當(dāng)前的個人信息保護(hù)規(guī)范，無論在效力層級還是在體系性上都存在諸多亟待完善之處，因此，業(yè)界和學(xué)術(shù)界都在積極呼吁制定我國的個人信息保護(hù)法。

近年來，我國互聯(lián)網(wǎng)行業(yè)發(fā)展迅速，中國網(wǎng)絡(luò)空間研究院于2015年12月15日發(fā)布的《中國互聯(lián)網(wǎng)20年發(fā)展報(bào)告》顯示，中國網(wǎng)民規(guī)模已經(jīng)成為全球第一，全球互聯(lián)網(wǎng)企業(yè)十強(qiáng)中有4家就在中國。互聯(lián)網(wǎng)經(jīng)濟(jì)在我國G D P中的占比也持續(xù)攀升，2014年就達(dá)到了7%。但與此同時(shí)，數(shù)據(jù)泄露、電信詐騙、個人信息非法買賣等事件也層出不窮，有人甚至為此付出了生命代價(jià)。對此，雖然有學(xué)者和人大代表曾多次呼吁制定個人信息保護(hù)法，但直到今天我國仍未出臺專門的個人信息保護(hù)法。因此，就當(dāng)前而言，我國最迫切的任務(wù)是制定一部符合本國國情的個人信息保護(hù)法典，以應(yīng)對信息技術(shù)的快速發(fā)展對個人信息保護(hù)帶來的嚴(yán)峻挑戰(zhàn)。

就數(shù)據(jù)可攜權(quán)而言，除了增強(qiáng)個人的數(shù)據(jù)控制力外，歐盟引入該制度更多的是一種產(chǎn)業(yè)層面的考慮。從全球互聯(lián)網(wǎng)行業(yè)的發(fā)展來看，歐盟因?yàn)槿丝谏?、市場狹小、高稅收等原因未能抓住信息時(shí)代的發(fā)展機(jī)遇，使其在數(shù)字經(jīng)濟(jì)發(fā)展方面已經(jīng)遠(yuǎn)遠(yuǎn)落后于中國和美國。以谷歌、F ace b ook、亞馬遜、微軟為代表的美國互聯(lián)網(wǎng)企業(yè)在歐洲地區(qū)已經(jīng)占據(jù)絕對市場支配地位，嚴(yán)重阻礙了歐盟地區(qū)互聯(lián)網(wǎng)企業(yè)的發(fā)展。因此，歐盟當(dāng)局希望通過構(gòu)建新的數(shù)據(jù)保護(hù)規(guī)則，如引入被遺忘權(quán)、數(shù)據(jù)可攜權(quán)等來強(qiáng)化隱私保護(hù)，以限制美國企業(yè)在歐盟地區(qū)的發(fā)展。對于這樣一個看似美好的制度設(shè)想，即使在歐盟地區(qū)，學(xué)者也褒貶不一，甚至有學(xué)者認(rèn)為其有可能會減少消費(fèi)者福利。[20]因此，在G D P R于2018年生效實(shí)施后，數(shù)據(jù)可攜權(quán)究竟能否發(fā)揮立法者所預(yù)期的功能也未可知。

反觀我國，在互聯(lián)網(wǎng)和大數(shù)據(jù)產(chǎn)業(yè)如火如荼發(fā)展的重要時(shí)期，數(shù)字經(jīng)濟(jì)已經(jīng)成為國家著力打造的新的經(jīng)濟(jì)增長點(diǎn)。如果盲目引入這項(xiàng)在理論和實(shí)務(wù)層面均存在巨大爭議的權(quán)利，無論是如騰訊、阿里巴巴等大型互聯(lián)網(wǎng)企業(yè)，還是大量中小企業(yè)，均將因?yàn)檫^于繁重的法定義務(wù)而增加企業(yè)的運(yùn)行成本，進(jìn)而阻礙整個產(chǎn)業(yè)的快速發(fā)展。

一項(xiàng)法律制度的引入不應(yīng)以不充分的理論研究為基礎(chǔ)，更不應(yīng)以犧牲整個行業(yè)的發(fā)展前景為代價(jià)，果真如此，法律也將成為社會發(fā)展的絆腳石。對于至今仍未出臺個人信息保護(hù)法的我國而言，在立法經(jīng)驗(yàn)和理論研究上還存在諸多不足之

處。因此，筆者認(rèn)為，無論是從產(chǎn)業(yè)發(fā)展還是我國當(dāng)前的立法概況而言，均不宜將數(shù)據(jù)可攜權(quán)納入我國未來的個人信息立法之中。

[1]General Data Protection Regulation.available at：http: //eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX: 32016R0679&from=EN，2016年5月15日最后訪問.

[2]參見歐盟委員會關(guān)于Digital Single Market的介紹，available at：http://ec.europa.eu/priorities/digital-single -market_en，2016年5月15日最后訪問.

[3]Peter Swire，Yianni Lagos.Why the Right to Data Portability Likely Reduces Consumer Welfare:Antitrust and Privacy Critique[J].Maryland Law Review，2013(2):335，available at：http://ssrn.com/abstract=2159157，2016年 5月15日最后訪問.

[4]Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)，COM (2012)11 final from 25 January 2012.available at：http://ec. europa.eu/justice/data-protection/document/review2012/com_ 2012_11_en.pdf，2016年5月6日最后訪問.

[5]The Committee on Civil Liberties，Justice and Home Affairs.Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)(COM(2012)0011– C7-0025/2012– 2012/ 0011(COD)).available at：http://www.europarl.europa.eu/sides/ getDoc.do?pubRef=-//EP//NONSGML+REPORT+A7-2013-0402+0+DOC+PDF+V0//EN，2016年5月19日最后訪問.

[6]European Parliament.Legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (COM(2012)0011– C7-0025/2012– 2012/0011(COD)). available at：http://www.europarl.europa.eu/sides/getDoc.do? pubRef=-//EP//NONSGML+TA+P7-TA-2014-0212+0+DOC+ PDF+V0//EN，2016年5月19日最后訪問.

[7]European Commission.Agreement on Commission's EU data protection reform will boost Digital Single Market. available at：http://europa.eu/rapid/press-release_IP-15-6321_en.htm，2016年5月19日最后訪問.

[8]Council of the European Union.Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data(General Data Protection Regulation)[first reading].available at：http:// data.consilium.europa.eu/doc/document/ST-15039-2015-INIT/en/pdf，2016年5月19日最后訪問.

[9]General Data Protection Regulation.available at：http: //eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX: 32016R0679&from=EN，2016年5月15日最后訪問.

[10]Eva Fialová.Data Portability and Informational Self determination [J].Masaryk University Journal of Law and Technology，2014(8).

[11]參見該案的德文版判決，available at:http://www. servat.unibe.ch/dfr/bv065001.html#RnOO3，2016年 5月 15日最后訪問；英文版判決，available at：https://www. freiheitsfoo.de/files/2013/10/Census-Act.pdf，2016年5月15日最后訪問.

[12]姚岳絨.論信息自決權(quán)作為一項(xiàng)基本權(quán)利在我國的證成[J].政治與法律，2012(2).

[13] Purtova.N.Property Rights in Personal Data:a European Perspective[M]，Alphen aan den Rijn:Kluwer Law International，2011.

[14]General Data Protection Regulation，Article 20. available at：http://eur-lex.europa.eu/legal-content/EN/TXT/ PDF/?uri=CELEX:32016R0679&from=EN，2016年5月15日最后訪問.

[15]General Data Protection Regulation，Article 6. available at：http://eur-lex.europa.eu/legal-content/EN/TXT/ PDF/?uri=CELEX:32016R0679&from=EN，2016年5月15日最后訪問.

[16]Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data(General Data Protection Regulation)，COM(2012)11 final from 25 January 2012.available at：http:// ec.europa.eu/justice/data -protection/document/review2012/ com_2012_11_en.pdf，2016年5月6日最后訪問.

[17]Eva Fialová.Data Portability and Informational Selfdetermination [J].Masaryk University Journal of Law and Technology，2014(8).

[18]General Data Protection Regulation，Recital 68. available at：http://eur-lex.europa.eu/legal-content/EN/TXT/ PDF/?uri=CELEX:32016R0679&from=EN，2016年5月15日最后訪問.

[19]Brenda Leong.What’sWrongwith the Proposed EU Right of Data Portability?available at：https://fpf.org/2012/10/ 17/whats-wrong-with-the-proposed-eu-right-of-dataportability/，2016年5月15日最后訪問.

[20]Peter Swire，Yianni Lagos.Why the Right to Data Portability Likely Reduces Consumer Welfare:Antitrust and Privacy Critique[J]，Maryland Law Review，2013(2):335，available at：http://ssrn.com/abstract=2159157，2016年 5月15日最后訪問.

［責(zé)任編輯：袁翠微］

Brief Research and Inspiration：A Study of the Right to Data Portability in EU’s Personal Data Protection Law

Zhang Zhe
(School of Civil and Commercial Law Studies，Southwest University of Political Science and Law，Chongqing 401120，China)

The right to data portability introduced by EU General Data Protection Regulation (GDPR)is unprecedented in respects of strengthening the data control of individuals as well as promoting the market competition，this new type of right in the big data era becomes another highlight of EU’s data protection reform after the right to be forgotten.With personal information self-determination as the theoretical basis，the right to data portability includes the right to obtain a copy and the right to data transfer in the content.Meanwhile，the abstractness of the legal concepts，limitation of the applicable scope and the incompatibility with other data rights also make it urgent for the adoption of the EU law enforcement agencies’more specific and operable implementing guidance for the application of this right.As for Chinese current development of the Internet industry and the general situation of legislation，the personal information protection law in future should not introduce the right to data portability.

Right to Data Portability;GDPR；Information Self-determination;Controlling force

DF49

A

1008-8628(2016)06-0043-06

2016-09-13

張哲（1992-），男，漢族，河南平頂山人，西南政法大學(xué)民商法學(xué)院2014級研究生，主要從事個人信息保護(hù)法研究。