苗 振 林

(河南省高級人民法院，河南 鄭州 450000)

大數(shù)據(jù)時代，隱私保護(hù)成為世界性難題。前不久，F(xiàn)acebook公司超過8700萬用戶數(shù)據(jù)泄露，深陷“劍橋分析丑聞”事件。隨著該事件的持續(xù)發(fā)酵，扎克伯格為此參加美國參議院和眾議院聽證會，該事件再度引起人們對信息社會中數(shù)據(jù)安全面臨的風(fēng)險的恐慌。在國內(nèi)，百度公司李彥宏在中國高層發(fā)展論壇發(fā)表“中國人更開放，對隱私問題沒那么敏感”更是引起軒然大波。互聯(lián)網(wǎng)便捷了信息的傳播，催生了搜索引擎、電子商務(wù)、移動社交軟件、O2O、共享經(jīng)濟(jì)等一些令人興奮的商業(yè)模式，未來人工智能和區(qū)塊鏈將帶來更加革命性的變化。但是，在產(chǎn)業(yè)迅猛發(fā)展的同時，犧牲隱私保護(hù)的事件屢禁不止，二者之間的關(guān)系也愈發(fā)緊張，單純從技術(shù)角度已無法維持二者的動態(tài)平衡，全球開啟新一輪個人信息保護(hù)立法就是對此種現(xiàn)象的制度回應(yīng)。

2018年5月25日，歐盟《一般數(shù)據(jù)保護(hù)條例(GDPR)》(以下簡稱“GDPR”)將正式實(shí)施，其實(shí)施效果必將受到國際社會的密切關(guān)注，并影響其他國家或地區(qū)的個人信息保護(hù)立法。在這部被外界稱為“史上最嚴(yán)的個人數(shù)據(jù)保護(hù)條例”中，擴(kuò)大的地域適用范圍、強(qiáng)化的被遺忘權(quán)、新型的數(shù)據(jù)可攜權(quán)、高額的罰款以及一站式監(jiān)管等成為制度亮點(diǎn)。為了構(gòu)建歐洲數(shù)字化單一市場(Digital Single Market)并促進(jìn)歐盟數(shù)字經(jīng)濟(jì)發(fā)展，歐盟立法機(jī)構(gòu)在此次開始于2012年的個人數(shù)據(jù)保護(hù)改革中創(chuàng)造性地引入了“數(shù)據(jù)可攜權(quán)(Right to Data Portability)”。對于這項(xiàng)性質(zhì)模糊、適用復(fù)雜的權(quán)利，歐盟又在2017年發(fā)布了相關(guān)指引，以提升該權(quán)利的可操作性。當(dāng)前，我國正處于數(shù)字經(jīng)濟(jì)蓬勃發(fā)展時期，個人信息保護(hù)、數(shù)據(jù)權(quán)屬等問題亟待理論構(gòu)建和中國方案的提出，為此本文將對數(shù)據(jù)可攜權(quán)予以評析，以期為我國未來數(shù)據(jù)立法提供域外立法的參考。

一、數(shù)據(jù)可攜權(quán)的立法背景

數(shù)據(jù)可攜權(quán)的基本理念在于“個人能夠?qū)⑵鋫€人數(shù)據(jù)和資料從一個信息服務(wù)者處無障礙地轉(zhuǎn)移至另一個信息服務(wù)者處”[1]。舉例而言，對于歐洲地區(qū)的Facebook用戶來說，他們可以基于數(shù)據(jù)可攜權(quán)的規(guī)定，將其提供給Facebook公司的個人數(shù)據(jù)，包括聊天記錄、圖片、個人動態(tài)等轉(zhuǎn)移至Google或WeChat等其他社交應(yīng)用之中。這種權(quán)利賦予了用戶類似于所有權(quán)的權(quán)能，更加強(qiáng)調(diào)用戶對其個人數(shù)據(jù)的控制力和支配性。

然而，從個人數(shù)據(jù)保護(hù)法的基本原理和世界各國的立法實(shí)踐來看，個人數(shù)據(jù)權(quán)更多的是一項(xiàng)防御性權(quán)利，比如針對數(shù)據(jù)錯誤的更正權(quán)、針對非法處理的反對權(quán)、針對不當(dāng)信息留存的刪除權(quán)等，但歐盟此次引入的數(shù)據(jù)可攜權(quán)被賦予了更多的積極意義，它使數(shù)據(jù)主體能夠以一種類似于物權(quán)的方式管理和控制自己的數(shù)據(jù)。對于這項(xiàng)理念超前的權(quán)利而言，它的產(chǎn)生有著深刻的立法背景。

互聯(lián)網(wǎng)的出現(xiàn)使人類進(jìn)入了信息化社會。1996年在南非召開的“信息社會與發(fā)展大會”宣布信息時代已經(jīng)來臨?！霸谛畔⒒顺毕碇?，國與國之間的競爭將取決于對信息的占有程度，誰占據(jù)了信息優(yōu)勢，誰就占領(lǐng)了政治、經(jīng)濟(jì)、軍事、文化的制高點(diǎn)”[2]23。為了在托夫勒所謂的“第三次浪潮”中搶占先機(jī)并占據(jù)國際規(guī)則制定的話語權(quán)，世界各國和地區(qū)紛紛制定了有利于自己的信息化戰(zhàn)略。美國的“國家信息基礎(chǔ)設(shè)施行動計(jì)劃(NII)”“新一代因特網(wǎng)五年計(jì)劃(NGI)”“開放政府國家行動計(jì)劃”，日本的“e-Japan”“u-Japan”和“i-Japan”計(jì)劃，歐盟的“電子歐洲——面對所有人的信息社會”計(jì)劃、《歐洲信息社會2010發(fā)展規(guī)劃——i2010》，我國的《2006—2020年國家信息化發(fā)展戰(zhàn)略》《國家信息化發(fā)展戰(zhàn)略綱要》以及《“十三五”國家信息化規(guī)劃》，均對各相關(guān)國家和地區(qū)的信息化進(jìn)程以及信息產(chǎn)業(yè)發(fā)展起到了一定的推動作用。

在互聯(lián)網(wǎng)產(chǎn)業(yè)近三十年的發(fā)展中，歐盟地區(qū)逐漸失去了自己的優(yōu)勢，未能在全球信息化浪潮中培育出具有國際影響力的大型互聯(lián)網(wǎng)企業(yè)。在2017年全球市值排名前十的互聯(lián)網(wǎng)企業(yè)中，中國占據(jù)四席，其余來自美國，而未能見到歐盟企業(yè)的身影?？陀^地講，歐盟地區(qū)在數(shù)字經(jīng)濟(jì)發(fā)展方面已經(jīng)落后于美國和中國。以蘋果、Google、微軟、亞馬遜、Facebook為代表的美國互聯(lián)網(wǎng)企業(yè)已經(jīng)在歐盟地區(qū)的智能手機(jī)、搜索、云計(jì)算、電子商務(wù)、社交領(lǐng)域中占據(jù)市場支配地位，而這也在一定程度上阻礙了歐盟本土企業(yè)的創(chuàng)新和發(fā)展。為此，就產(chǎn)業(yè)發(fā)展而言，歐盟地區(qū)需要通過法律手段來削弱境外企業(yè)已有的優(yōu)勢，力求打造一個更加開放透明和公平有序的市場競爭環(huán)境，從而促進(jìn)本土互聯(lián)網(wǎng)企業(yè)的發(fā)展。

受二戰(zhàn)時期納粹政府利用個人信息實(shí)施犯罪的影響，歐盟在信息化社會的轉(zhuǎn)型過程中，十分注重對個人信息的法律保護(hù)，陸續(xù)出臺了《電信部門的隱私保護(hù)指令》《遠(yuǎn)程消費(fèi)保護(hù)指令》《數(shù)據(jù)保護(hù)指令》等法律規(guī)范。這些規(guī)范，尤其是1995年的《數(shù)據(jù)保護(hù)指令》，成為許多國家和地區(qū)在個人信息保護(hù)立法上所效仿的對象。2015年實(shí)施的一項(xiàng)針對28000名歐洲民眾的調(diào)查顯示，15%的歐盟民眾認(rèn)為他們對其數(shù)據(jù)享有完全的控制，超過30%的人認(rèn)為他們并沒有任何控制力。同時，調(diào)查結(jié)果還顯示，超過三分之二的民眾，尤其是年輕人，認(rèn)為在他們想要改變服務(wù)的時候能夠轉(zhuǎn)移存儲在一個服務(wù)提供者處的個人信息至另一個控制者處是十分重要的[3]。由此可見，在歐洲民眾的認(rèn)知中，個人數(shù)據(jù)的控制力還有待加強(qiáng)，并且對于年輕人而言，他們更希望在個人數(shù)據(jù)的存儲和轉(zhuǎn)移上有更高的便捷性。因此，從社會民眾的權(quán)利需求上看，歐盟需要在以往的權(quán)利保護(hù)基礎(chǔ)上更加強(qiáng)化個人的數(shù)據(jù)控制力。

為實(shí)現(xiàn)對個人信息自決的高水準(zhǔn)保護(hù)并促進(jìn)市場競爭，歐盟委員會于2012年提出的數(shù)據(jù)保護(hù)改革草案中引入了數(shù)據(jù)可攜權(quán)。雖然自提議以來，數(shù)據(jù)可攜權(quán)就成為個人數(shù)據(jù)權(quán)利體系的重要組成部分，但由于這項(xiàng)新型數(shù)據(jù)權(quán)利的多重復(fù)雜性，其內(nèi)容也在GDPR草案的研討中經(jīng)歷了數(shù)次重大調(diào)整，并最終固定在了GDPR的第20條*GDPR第20條規(guī)定如下：1.數(shù)據(jù)主體有權(quán)以一種結(jié)構(gòu)化、通用和機(jī)器可讀的形式獲取他或她已提供給數(shù)據(jù)控制者的相關(guān)個人數(shù)據(jù)，并有權(quán)無障礙地從其提供個人數(shù)據(jù)的控制者處將這些數(shù)據(jù)轉(zhuǎn)移至另一個數(shù)據(jù)控制者處，如果：(a)處理行為是在依據(jù)第六條(1)(a)或第九條(2)(a)的同意或依據(jù)第六條(1)(b)成立的合同的基礎(chǔ)上實(shí)施的；和(b)處理行為由自動化方式實(shí)施。2.在依據(jù)第一段行使他或她的數(shù)據(jù)可攜權(quán)時，數(shù)據(jù)主體應(yīng)有權(quán)在技術(shù)可行的條件下將個人數(shù)據(jù)直接從一個數(shù)據(jù)控制者處轉(zhuǎn)移至另一個數(shù)據(jù)控制者處。3.關(guān)于該條第一段權(quán)利的行使應(yīng)當(dāng)無差別地適用第十七條。那項(xiàng)權(quán)利不適用于為了執(zhí)行以公共利益或行使由數(shù)據(jù)控制者授權(quán)的官方權(quán)威為名的任務(wù)而實(shí)施的必要處理行為。4.第一段中所提及的權(quán)利不應(yīng)反過來影響他人的權(quán)利和自由。。因此，可以說，產(chǎn)業(yè)發(fā)展的落后以及高水準(zhǔn)保護(hù)個人數(shù)據(jù)的社會需求共同促成了數(shù)據(jù)可攜權(quán)的產(chǎn)生。

二、數(shù)據(jù)可攜權(quán)的內(nèi)容

在歐洲，信息自決權(quán)可謂是個人數(shù)據(jù)保護(hù)的重要理論來源。在德國著名的《人口普查法》判例中，聯(lián)邦憲法法院從德國基本法所蘊(yùn)含的一般人格權(quán)中推導(dǎo)出了“信息自決權(quán)”，從而判決德國《人口普查法》關(guān)于指紋收集和利用的規(guī)定違憲。信息自決同時還意味著數(shù)據(jù)處理的透明度原則，即個人應(yīng)當(dāng)被告知數(shù)據(jù)處理的相關(guān)信息，包括但不限于數(shù)據(jù)是否被處理、處理的目的、存儲期限以及數(shù)據(jù)主體享有的權(quán)利。因此，數(shù)據(jù)可攜權(quán)可被視為一種通過賦予個人獲取以及轉(zhuǎn)移個人數(shù)據(jù)的權(quán)利來實(shí)現(xiàn)個人信息自決的方式，其與GDPR第三章規(guī)定的獲取權(quán)、更正權(quán)、刪除權(quán)以及限制處理權(quán)共同構(gòu)筑了歐盟個人數(shù)據(jù)保護(hù)法中的權(quán)利體系。從GDPR第二十條的規(guī)定可以看到，數(shù)據(jù)可攜權(quán)的內(nèi)容包括兩個方面，其一是副本獲取權(quán)(Right to Obtain a Copy)，其二是數(shù)據(jù)轉(zhuǎn)移權(quán)(Right to Data Transfer)。

(一)副本獲取權(quán)

根據(jù)歐盟“第29條”工作組(Article 29 working Party 簡稱 WP29)的意見，副本獲取權(quán)是指從數(shù)據(jù)控制者處得到個人數(shù)據(jù)復(fù)制件并將其存儲在私密的設(shè)備中以備再度使用的權(quán)利[4]。該項(xiàng)權(quán)利也被視為訪問權(quán)的一種補(bǔ)充。在這方面，行業(yè)已經(jīng)走在了立法的前面。一些互聯(lián)網(wǎng)服務(wù)提供者，如Facebook、Google等公司已經(jīng)提供了個人數(shù)據(jù)的下載入口，用戶可以據(jù)此獲取相關(guān)的個人數(shù)據(jù)副本。但是，即便如此，副本獲取權(quán)的內(nèi)容在立法研討中也經(jīng)歷了數(shù)次修改。

在歐盟委員會于2012年提議的草案中，副本獲取權(quán)的要件是數(shù)據(jù)處理要以電子化方式，并以結(jié)構(gòu)化和通用的形式為之。然而，在數(shù)據(jù)處理的形式上，該草案并沒有賦予數(shù)據(jù)主體決定權(quán)，同時也沒有對數(shù)據(jù)控制者課以通知數(shù)據(jù)主體處理形式的法定義務(wù)。對此，有學(xué)者就認(rèn)為，這種規(guī)定將導(dǎo)致數(shù)據(jù)主體的區(qū)分或賦予數(shù)據(jù)控制者以委員會規(guī)定的形式處理個人數(shù)據(jù)的義務(wù)[5]。而對于這種沒有正當(dāng)性基礎(chǔ)的數(shù)據(jù)主體區(qū)分，其可能產(chǎn)生的后果便是一部分群體無法行使其數(shù)據(jù)可攜權(quán)。與此同時，由于法律沒有強(qiáng)制要求數(shù)據(jù)控制者采用特定的數(shù)據(jù)處理方式，控制者可以以企業(yè)經(jīng)營自主權(quán)為由不采用標(biāo)準(zhǔn)化的處理方式，從而規(guī)避法定的數(shù)據(jù)轉(zhuǎn)移義務(wù)并降低企業(yè)的運(yùn)營成本。對于這種看似故意留下的法律漏洞，一個解決辦法就是由歐盟委員會制定規(guī)則，要求所有的企業(yè)都按照當(dāng)前通用的形式處理數(shù)據(jù)。但是這種方法卻存在兩種弊端：其一是法律將為數(shù)據(jù)控制者課以額外的法定義務(wù)，這在一定程度上是對企業(yè)經(jīng)營自主權(quán)的侵害；其二則是這種僵化的解決方式也將不利于數(shù)據(jù)處理形式的多元化發(fā)展。

面對學(xué)者的質(zhì)疑和批判，立法機(jī)構(gòu)做出了調(diào)整，正式通過的條例僅要求數(shù)據(jù)處理是經(jīng)過數(shù)據(jù)主體同意的并以自動化的方式進(jìn)行，刪除了通用形式的規(guī)定。但是，目前的法律規(guī)定仍然存在數(shù)據(jù)來源、義務(wù)履行期限和法律后果上的問題。

首先，在數(shù)據(jù)來源上，該權(quán)利要求能夠請求獲取副本的個人數(shù)據(jù)是基于數(shù)據(jù)主體的同意或合同的方式得到的，而排除了其他的數(shù)據(jù)獲取方式。在現(xiàn)實(shí)生活中，控制者獲取個人數(shù)據(jù)的方式并不限于數(shù)據(jù)主體，還可能通過政府信息公開或與其他企業(yè)的合作共享來獲取。因此，如果僅在數(shù)據(jù)主體主動提供的情況下才享有該權(quán)利的話，勢必將導(dǎo)致該權(quán)利對數(shù)據(jù)來源的歧視。對此，有學(xué)者就曾舉例，對于雇主而言，收集并保存雇員保險和社會安全數(shù)據(jù)是履行法定義務(wù)所必須實(shí)施的行為，如果雇員甲的社保數(shù)據(jù)是其主動提供的，而雇員乙的數(shù)據(jù)是從保險公司處獲得的，那么，根據(jù)GDPR第二十條的規(guī)定，雇員甲可以獲取個人數(shù)據(jù)副本，而雇員乙卻無法獲取個人數(shù)據(jù)副本。這種區(qū)分將違背公平原則，使一部分?jǐn)?shù)據(jù)主體無法行使其應(yīng)有的權(quán)利。

其次，在義務(wù)的履行期限上，出于信息安全考慮，控制者必然需要驗(yàn)證數(shù)據(jù)主體的身份，由此便產(chǎn)生了獲取個人數(shù)據(jù)副本的期限問題。對此，GDPR并未做出相關(guān)規(guī)定。需要指出的是，過于簡單的身份識別方式雖然在一定程度上有利于副本獲取權(quán)的實(shí)現(xiàn)，但此種方式也將導(dǎo)致數(shù)據(jù)安全面臨巨大風(fēng)險[6]。對此，英國信息委員會辦公室就指出，控制者應(yīng)當(dāng)在一個月之內(nèi)無不合理遲延地對數(shù)據(jù)主體的轉(zhuǎn)移數(shù)據(jù)的請求予以回應(yīng)。若自然人的數(shù)據(jù)轉(zhuǎn)移請求復(fù)雜或請求主體過多，控制者的回應(yīng)期限可以延長至兩個月，但是其仍應(yīng)當(dāng)在一個月之內(nèi)通知個人，并解釋原因。如果控制者未回應(yīng)該請求，那么其也應(yīng)當(dāng)在一個月之內(nèi)解釋原因，告知數(shù)據(jù)主體所享有的提起投訴和獲得司法救濟(jì)的權(quán)利[7]。

最后，在副本獲取權(quán)的行使后果上，GDPR也沒有做出規(guī)定。從當(dāng)前的法律規(guī)定來看，數(shù)據(jù)主體在獲取了個人數(shù)據(jù)副本之后，并不意味著數(shù)據(jù)在控制者處的自動清除。對此，有學(xué)者就曾明確指出，這樣的制度設(shè)計(jì)僅能使自然人“對其個人數(shù)據(jù)擁有部分的控制力”[5]。對于數(shù)據(jù)的刪除，雖然GDPR第二十條第三款要求數(shù)據(jù)可攜權(quán)不能夠影響第十七條規(guī)定的刪除權(quán)的行使，但由于刪除權(quán)的行使仍以數(shù)據(jù)主體的請求為前提，在數(shù)據(jù)主體不知悉其享有的法定權(quán)利時，數(shù)據(jù)仍將繼續(xù)保留在控制者處。對此，筆者認(rèn)為，在未來的法律適用中，應(yīng)當(dāng)為控制者設(shè)定法定的通知義務(wù)，即要求在數(shù)據(jù)主體請求個人數(shù)據(jù)副本后，告知數(shù)據(jù)主體享有刪除權(quán)。這種做法在保障個人信息自決的同時又能夠防止控制者對個人數(shù)據(jù)的過度利用[8]。

(二)數(shù)據(jù)轉(zhuǎn)移權(quán)

數(shù)據(jù)轉(zhuǎn)移權(quán)可以說是數(shù)據(jù)可攜權(quán)與數(shù)據(jù)主體訪問權(quán)最核心的區(qū)別。根據(jù)GDPR第二十條第一段的規(guī)定，數(shù)據(jù)主體有權(quán)將其提供的個人數(shù)據(jù)無障礙地從一個控制者處轉(zhuǎn)移至另一個控制者處。比如，歐盟境內(nèi)的Facebook用戶可以請求Facebook公司將其主動提供的個人數(shù)據(jù)，包括聊天記錄、照片、視頻、個人動態(tài)等轉(zhuǎn)移至其他社交應(yīng)用，如Google+或WeChat之中。在實(shí)現(xiàn)數(shù)據(jù)可攜的工具上，WP29指出，企業(yè)不僅應(yīng)當(dāng)提供數(shù)據(jù)下載的機(jī)會，還應(yīng)當(dāng)提供數(shù)據(jù)轉(zhuǎn)移的API接口[4]。

數(shù)據(jù)轉(zhuǎn)移權(quán)在適用范圍上同樣是針對基于數(shù)據(jù)主體的同意或?yàn)槁男泻贤鴮?shí)施的自動化處理行為。與副本獲取權(quán)不同的是，該權(quán)利還要求在技術(shù)可行(Technically Feasible)的條件下，數(shù)據(jù)主體有權(quán)直接將其個人數(shù)據(jù)轉(zhuǎn)移至另一個控制者處[9]。同時，在滿足刪除權(quán)行使要件的條件下，數(shù)據(jù)主體亦有權(quán)請求個人數(shù)據(jù)的刪除。

對于這一看似美好的制度設(shè)想，其在涉它數(shù)據(jù)的轉(zhuǎn)移上還存在較為復(fù)雜的利益權(quán)衡問題。在上述例子中，F(xiàn)acebook用戶發(fā)布的圖片、聊天記錄、個人動態(tài)等信息可能還會涉及第三人，比如數(shù)據(jù)主體之間的聊天記錄，發(fā)布在個人賬號中的集體照等。因此，當(dāng)一名用戶將其在Facebook上的個人數(shù)據(jù)轉(zhuǎn)移至Google+時，Google公司將不僅獲取該用戶的個人數(shù)據(jù)，亦會獲取該第三人的個人數(shù)據(jù)，而這又是否構(gòu)成個人數(shù)據(jù)的非法收集？此外，如果集體照中的他人或聊天記錄的對方不允許數(shù)據(jù)主體轉(zhuǎn)移其個人數(shù)據(jù)，這種個人信息自決之間的沖突又當(dāng)如何解決？對此，GDPR緒言(68)也只是宣示性地指出在涉他數(shù)據(jù)的獲取上應(yīng)當(dāng)無差別地保護(hù)他人的權(quán)利和自由，而并未給出具體的解決機(jī)制。

從上述分析中可以看到，數(shù)據(jù)轉(zhuǎn)移權(quán)在設(shè)計(jì)初衷上是為了促進(jìn)歐盟地區(qū)的自由競爭和發(fā)展，但其后果則是一方所占有的個人數(shù)據(jù)的喪失，而另一方對個人數(shù)據(jù)的獲取。隨著數(shù)據(jù)資產(chǎn)價值的日益凸顯，控制者必將投入更多的成本來維護(hù)這種無形財(cái)產(chǎn)。因此，為了使用戶繼續(xù)使用其網(wǎng)絡(luò)服務(wù)，避免個人數(shù)據(jù)的流失，控制者也很有可能利用現(xiàn)有法律規(guī)定的漏洞，使用“鎖入策略(Lock-in Strategy)”[1]。通過增加數(shù)據(jù)轉(zhuǎn)移成本來迫使用戶留在自己的網(wǎng)絡(luò)服務(wù)之中，以維持其市場規(guī)模?？梢灶A(yù)見的是，控制者所提供的服務(wù)種類越多，范圍越廣，網(wǎng)絡(luò)用戶轉(zhuǎn)移個人數(shù)據(jù)的成本就越高。“等到數(shù)據(jù)主體的轉(zhuǎn)移成本太高的時候，他或她將不可能使用數(shù)據(jù)轉(zhuǎn)移權(quán)了”[5]。若果真如此，數(shù)據(jù)可攜權(quán)也將無法發(fā)揮歐盟立法者所設(shè)想的功效。

三、數(shù)據(jù)可攜權(quán)的借鑒與啟示

歐盟此次立法所引入的數(shù)據(jù)可攜權(quán)可謂個人信息保護(hù)法領(lǐng)域的開創(chuàng)之舉，在全球任何司法管轄區(qū)都沒有立法和實(shí)踐經(jīng)驗(yàn)，也因此成為各個國家關(guān)注的焦點(diǎn)。對于我國未來的個人信息保護(hù)立法而言，數(shù)據(jù)可攜權(quán)除了在權(quán)利內(nèi)容上獨(dú)具新穎性之外，在立法體系以及權(quán)利類型化方面均有可借鑒之處。

我國在個人信息保護(hù)立法方面起步較晚，雖然現(xiàn)行的各類規(guī)范已經(jīng)超過一百部，但是這些規(guī)范的系統(tǒng)性、獨(dú)立性和操作性都顯得不夠，而近些年出現(xiàn)的信息泄露事件也使得個人信息保護(hù)立法再度成為整個社會所關(guān)注的焦點(diǎn)。在我國法學(xué)界，早期就有學(xué)者認(rèn)為應(yīng)當(dāng)全面確立個人信息權(quán)[10]。自我國《民法總則》通過之后，也有學(xué)者提出了在人格權(quán)編中確立個人信息權(quán)內(nèi)涵、個人信息合法收集標(biāo)準(zhǔn)、信用信息保護(hù)、個人信息權(quán)利限制等內(nèi)容的建議[11]。近年來，關(guān)于制定個人信息保護(hù)法的呼聲日益高漲，全國人大常委會法工委也表示正在對個人信息保護(hù)立法的有關(guān)問題進(jìn)行認(rèn)真研究、論證。由此可見，增強(qiáng)公民的個人信息控制力已經(jīng)成為社會共識。

就數(shù)據(jù)可攜權(quán)而言，其最大的亮點(diǎn)在于數(shù)據(jù)轉(zhuǎn)移權(quán)。按照歐盟立法機(jī)構(gòu)的設(shè)想，其意在使數(shù)據(jù)可以在不同數(shù)據(jù)控制者之間自由傳輸，進(jìn)而幫助歐盟本土的搜索引擎、社交軟件、電子商務(wù)企業(yè)崛起， 打破Google、Facebook、亞馬遜等互聯(lián)網(wǎng)巨頭的絕對市場壟斷地位。這種制度背后隱藏著歐盟和美國在互聯(lián)網(wǎng)產(chǎn)業(yè)上的差距，且其實(shí)施后果尚不可知。反觀我國，互聯(lián)網(wǎng)企業(yè)在寬松政策環(huán)境和人口紅利的刺激下迅猛發(fā)展，使我國成為可與美國比肩的網(wǎng)絡(luò)大國，在網(wǎng)絡(luò)治理上更需要我國本土的理論創(chuàng)造和制度構(gòu)建，盲目引入數(shù)據(jù)轉(zhuǎn)移權(quán)將導(dǎo)致過高的試錯成本，甚至阻礙我國的產(chǎn)業(yè)發(fā)展。結(jié)合當(dāng)前數(shù)據(jù)泄露頻發(fā)、民眾數(shù)據(jù)控制力不足的現(xiàn)實(shí)，筆者認(rèn)為，我國可以借鑒數(shù)據(jù)可攜權(quán)中的副本獲取權(quán)，允許用戶下載有關(guān)其個人的信息，通過此種方式讓用戶知悉自己被收集的信息有哪些、如何被處理、存儲方式等。副本獲取權(quán)結(jié)合我國現(xiàn)有的刪除權(quán)，將從制度上賦予信息主體自主決定何種數(shù)據(jù)被收集、何種數(shù)據(jù)被處理的權(quán)利，實(shí)現(xiàn)數(shù)據(jù)控制力的實(shí)質(zhì)性增強(qiáng)。

除此之外，隨著大數(shù)據(jù)的商業(yè)化利用和產(chǎn)業(yè)發(fā)展，其另一個特征——“資產(chǎn)”屬性日益凸顯，大數(shù)據(jù)的權(quán)屬關(guān)系即將成為新的社會矛盾和經(jīng)濟(jì)糾紛焦點(diǎn)。在我國，大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的最大阻力并不是技術(shù)條件的不成熟，而是相關(guān)法律及保障機(jī)制的不完善，雖然我國《民法總則》將“數(shù)據(jù)”納入民法保護(hù)范圍，其法律屬性得到承認(rèn)，但相關(guān)法律規(guī)范的缺失也使得大數(shù)據(jù)產(chǎn)業(yè)發(fā)展承擔(dān)著巨大的風(fēng)險。

目前，由于數(shù)據(jù)權(quán)屬界定不明確而導(dǎo)致的法律空白已成為我國推動大數(shù)據(jù)開發(fā)利用的瓶頸之一。一方面，需求側(cè)數(shù)據(jù)的割據(jù)壟斷，阻礙了產(chǎn)業(yè)鏈上下游之間的信息流動，導(dǎo)致產(chǎn)能過剩和成本過高；另一方面，權(quán)屬問題立法界定的缺失，限制了供給側(cè)大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展，導(dǎo)致供給側(cè)結(jié)構(gòu)性改革動力不足。數(shù)據(jù)權(quán)屬在本質(zhì)上并非一個單純的技術(shù)問題，而是一個建構(gòu)在利益平衡之上的法律問題，需要法學(xué)理論上的頂層設(shè)計(jì)。

我國近年來將大數(shù)據(jù)發(fā)展上升為國家戰(zhàn)略。國務(wù)院早在2015年就發(fā)布了《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》，習(xí)近平總書記在中共中央政治局第二次集體學(xué)習(xí)時強(qiáng)調(diào)要“實(shí)施國家大數(shù)據(jù)戰(zhàn)略加快建設(shè)數(shù)字中國”。從法學(xué)角度而言，在數(shù)字經(jīng)濟(jì)發(fā)展和數(shù)字中國的建設(shè)中，數(shù)據(jù)權(quán)屬必將成為產(chǎn)業(yè)發(fā)展所必須解決的前置性問題。數(shù)據(jù)可攜權(quán)賦予了自然人以類似所有權(quán)的支配力，但是數(shù)據(jù)的法律性質(zhì)卻并沒有被進(jìn)一步說明。就此而言，我國《民法總則》第127條將數(shù)據(jù)作為一種財(cái)產(chǎn)加以保護(hù)，為數(shù)據(jù)財(cái)產(chǎn)性權(quán)利的建構(gòu)提供了制度空間。但是在理論研究和制度設(shè)計(jì)上，還需要考量《民法總則》第111條規(guī)定的個人信息受保護(hù)的規(guī)定。

：

[1] Peter Swire, Yianni Lagos. Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique[J].Maryland Law Review,2013(2).

[2] 齊愛民.信息法原論[M].武漢：武漢大學(xué)出版社，2010.

[3] Emily Taylor. Data Protection Day—data portability and the GDPR[EB/OL].(2016-02-09) [2018-03-04].http:∥www.emilytaylor.eu/data-protection-day-data-portability-and-the-gdpr/.

[4] Article 29 Data Protection Working Party ,Guidelines on the right to data portability[EB/OL]. (2017-04-05) [2018-03-05]. http:∥ec.europa.eu/newsroom/document.cfm?doc_id=44099.

[5] Eva Fialov .Data Portability and Informational Self-determination[J].Masaryk University Journal of Law and Technology,2014,8.

[6] Brenda Leong.What’s Wrong with the Proposed EU Right of Data Portability? [EB/OL]. (2012-10-17) [2018-03-05]. available at:https:∥fpf.org/2012/10/17/whats-wrong-with-the-proposed-eu-right-of-data-portability/.

[7] UK Information Commissioner's Office.The right to data portability[EB/OL]. (2017-05-01) [2018-02-15].https:∥ico.org.uk/for-organisations/data-protection-reform/overview-of-the-gdpr/individuals-rights/the-right-to-data-portability/.

[8] 張哲.探微與啟示：歐盟個人數(shù)據(jù)保護(hù)法上的數(shù)據(jù)可攜權(quán)研究[J].廣西政法管理干部學(xué)院學(xué)報(bào)，2016(6)：43-48.

[9] General Data Protection Regulation, Article 20.

[10] 王利明.論個人信息權(quán)的法律保護(hù)——以個人信息權(quán)與隱私權(quán)的界分為中心[J].現(xiàn)代法學(xué)，2013(4)：62-72.

[11] 王葉剛.人格權(quán)確權(quán)與人格權(quán)法獨(dú)立成編——以個人信息權(quán)為例[J].東方法學(xué)，2017(6)：107-112.