湯霞

關(guān)鍵詞：數(shù)據(jù)攜帶權(quán)；數(shù)據(jù)安全；互操作性；知識產(chǎn)權(quán)保護(hù)

數(shù)據(jù)已被公認(rèn)為經(jīng)濟增長和社會進(jìn)步的必要基礎(chǔ)，在數(shù)字經(jīng)濟中流通和共享的數(shù)據(jù)是市場經(jīng)濟主體的重要資產(chǎn)。與數(shù)據(jù)生產(chǎn)要素緊密結(jié)合的數(shù)字平臺企業(yè)出于繼續(xù)保持競爭優(yōu)勢的考慮可能會不公開數(shù)據(jù)或限制數(shù)據(jù)流動，對其他企業(yè)設(shè)置進(jìn)入壁壘，使非主導(dǎo)平臺難以與其競爭。①為了在由少數(shù)巨頭主導(dǎo)的數(shù)字領(lǐng)域增加競爭，一些監(jiān)管機構(gòu)要求大型平臺允許用戶自由轉(zhuǎn)移數(shù)據(jù)。歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）引入的數(shù)據(jù)攜帶權(quán)（Right to Data Portability，RtDP）已成為解決數(shù)字經(jīng)濟領(lǐng)域競爭問題的首選方案，其使命在于保護(hù)數(shù)字經(jīng)濟中處于弱勢地位的個人的基本價值并在最大程度上推動經(jīng)濟創(chuàng)新與社會福祉。②考慮到數(shù)據(jù)攜帶權(quán)可能存在侵犯數(shù)據(jù)主體的數(shù)據(jù)隱私、損害平臺的數(shù)據(jù)權(quán)利等隱憂，需要合理設(shè)計該制度以激勵數(shù)據(jù)的流通與共享。本文首先對GDPR中數(shù)據(jù)攜帶權(quán)的適用范圍和表現(xiàn)形式予以厘清，在此基礎(chǔ)上梳理數(shù)據(jù)攜帶權(quán)在數(shù)據(jù)壟斷規(guī)制與數(shù)據(jù)權(quán)益保護(hù)方面的困局，然后從數(shù)據(jù)安全與流通之利益平衡的角度分析數(shù)據(jù)攜帶權(quán)適用困局的紓解之道，最后立足我國實際，探討如何兼顧個人對數(shù)據(jù)的控制權(quán)與平臺的數(shù)據(jù)財產(chǎn)利益，如何打破優(yōu)勢平臺的數(shù)據(jù)壟斷以及如何提升數(shù)據(jù)互操作性以便利數(shù)據(jù)自由流動。

一、促進(jìn)數(shù)據(jù)流通與共享：數(shù)據(jù)攜帶權(quán)的適用范圍和表現(xiàn)形式

隨著互聯(lián)網(wǎng)、大數(shù)據(jù)以及移動通信等信息技術(shù)的出現(xiàn)和普及，數(shù)字平臺擁有的先發(fā)優(yōu)勢使其能夠獲得顯著的市場競爭優(yōu)勢。數(shù)據(jù)攜帶權(quán)的出現(xiàn)使得用戶可以將其數(shù)據(jù)從一個平臺移植到另一個平臺，不僅便利了個人對數(shù)據(jù)的控制和利用，也有助于打破數(shù)據(jù)壁壘和數(shù)據(jù)壟斷，促進(jìn)數(shù)據(jù)流通與共享。

（一）數(shù)據(jù)攜帶權(quán)的適用范圍

數(shù)據(jù)攜帶權(quán)即數(shù)據(jù)主體從數(shù)據(jù)控制者處移動、復(fù)制或傳輸個人數(shù)據(jù)的權(quán)利，①保障個人控制其數(shù)據(jù)和信任數(shù)字環(huán)境，打破用戶在不同的服務(wù)者之間轉(zhuǎn)換的鎖定效應(yīng)，促進(jìn)數(shù)據(jù)控制者之間的競爭。GDPR中數(shù)據(jù)攜帶權(quán)集中在第20條，具有重要的制度創(chuàng)新：首先，數(shù)據(jù)必須以“結(jié)構(gòu)化、常用和機器可讀的格式”提供，增加了數(shù)據(jù)的擴展性；其次，“在技術(shù)可行的情況下”，數(shù)據(jù)主體有權(quán)“將這些數(shù)據(jù)毫無阻礙地傳輸給另一個控制者”，推動了數(shù)據(jù)的聚合與重用；最后，被請求的原始數(shù)據(jù)控制者有義務(wù)為數(shù)據(jù)主體免費提供數(shù)據(jù)移植服務(wù)，有助于降低其他企業(yè)的市場準(zhǔn)入門檻。為應(yīng)對數(shù)據(jù)攜帶權(quán)的措辭在范圍和實施上的模糊帶來的問題，歐盟第29條工作組②（WP29）于2017年4月5日出臺了《數(shù)據(jù)攜帶權(quán)指南》（以下簡稱《指南》），旨在幫助數(shù)據(jù)控制者為應(yīng)用數(shù)據(jù)攜帶權(quán)做好準(zhǔn)備。

1.與數(shù)據(jù)主體有關(guān)的個人數(shù)據(jù)

數(shù)據(jù)攜帶權(quán)適用于數(shù)據(jù)主體向數(shù)據(jù)控制者提供的個人數(shù)據(jù)，并且該數(shù)據(jù)處理是基于同意或合同并通過自動方式進(jìn)行的。關(guān)于數(shù)據(jù)攜帶權(quán)的適用范圍存在諸多討論，特別是關(guān)于術(shù)語“提供”的含義。第29條工作組在其《指南》中將“提供”解釋為“數(shù)據(jù)主體在知情的情況下主動提供的數(shù)據(jù)”以及“數(shù)據(jù)主體因使用服務(wù)或設(shè)備而提供的觀測數(shù)據(jù)”③。這意味著受數(shù)據(jù)攜帶權(quán)約束的個人數(shù)據(jù)除了個人基本信息之外，還包括個人的搜索歷史、交通和位置數(shù)據(jù)，以及其他原始數(shù)據(jù)，例如可穿戴設(shè)備跟蹤的心跳和在以收集數(shù)據(jù)為目的的活動中占有的數(shù)據(jù)。④這一范圍不包括數(shù)據(jù)控制者從所提供的個人數(shù)據(jù)或任何非個人數(shù)據(jù)中使用算法推斷出的數(shù)據(jù)。雖然該類數(shù)據(jù)最具商業(yè)價值且能夠幫助企業(yè)獲得市場競爭優(yōu)勢，但考慮到該數(shù)據(jù)不是由數(shù)據(jù)主體“提供”的，為了維持?jǐn)?shù)據(jù)主體和數(shù)據(jù)控制者之間的利益平衡，將其排除在數(shù)據(jù)攜帶權(quán)之外。

2.涉及第三方的數(shù)據(jù)

在數(shù)據(jù)主體要求轉(zhuǎn)移數(shù)據(jù)時，平臺可向其提供復(fù)選框，并告知哪些數(shù)據(jù)可以被轉(zhuǎn)移。數(shù)據(jù)主體的個人數(shù)據(jù)至少應(yīng)包括個人的社交圖譜如電話、網(wǎng)絡(luò)通訊記錄等，不可避免地會涉及作為數(shù)據(jù)主體好友的其他用戶信息和數(shù)據(jù)主體與其好友通過相互交集而共同提供的涉他數(shù)據(jù)等第三方數(shù)據(jù)，但在數(shù)據(jù)攜帶權(quán)請求中應(yīng)包括哪些第三方數(shù)據(jù)仍存在不確定性。考慮到移植涉第三方的數(shù)據(jù)通常是在第三方不知情的情況下進(jìn)行的，第三方無法行使其作為數(shù)據(jù)主體的權(quán)利。第29條工作組強調(diào)了移植涉第三方數(shù)據(jù)的要求，即新的數(shù)據(jù)控制者不能將第三方數(shù)據(jù)用于營銷，在未經(jīng)第三方數(shù)據(jù)主體知情和同意的情況下，不得利用第三方的數(shù)據(jù)或?qū)υ摂?shù)據(jù)進(jìn)行分析處理，不得利用移植的數(shù)據(jù)來豐富第三方數(shù)據(jù)主體的檔案。即便第三方知曉其數(shù)據(jù)被移轉(zhuǎn)后要求數(shù)據(jù)控制者刪除相關(guān)數(shù)據(jù)，其刪除權(quán)的行使實際上受到了限制。①

3.適用例外

GDPR第20條規(guī)定了數(shù)據(jù)攜帶權(quán)的三個適用例外。第一，該權(quán)利僅適用于數(shù)據(jù)控制者保留的數(shù)據(jù)。如果數(shù)據(jù)主體根據(jù)GDPR第17條行使其被遺忘的權(quán)利，則其不能同時轉(zhuǎn)移數(shù)據(jù)。對于已呈現(xiàn)匿名且不再屬于可識別的個人的數(shù)據(jù)也無法轉(zhuǎn)移。第二，數(shù)據(jù)攜帶權(quán)不得妨礙為公共利益或為了行使數(shù)據(jù)控制者被授權(quán)的官方權(quán)威而對數(shù)據(jù)進(jìn)行的必要處理。這意味著當(dāng)為了公共利益或法律需要時，個人數(shù)據(jù)不適用數(shù)據(jù)攜帶權(quán)。第三，數(shù)據(jù)攜帶權(quán)的應(yīng)用不應(yīng)對他人的數(shù)據(jù)權(quán)利產(chǎn)生不利影響。個人數(shù)據(jù)通常涉及多個數(shù)據(jù)主體，若數(shù)據(jù)主體請求移植的數(shù)據(jù)可能侵犯他人的隱私權(quán)，數(shù)據(jù)控制者可以拒絕數(shù)據(jù)主體的請求。即便第三方已同意數(shù)據(jù)主體將涉第三方數(shù)據(jù)轉(zhuǎn)移至新平臺，數(shù)據(jù)移轉(zhuǎn)的過程中第三方的數(shù)據(jù)權(quán)利仍然受到保護(hù)。

數(shù)據(jù)攜帶權(quán)的范圍和解釋主要涉及該權(quán)利是否可以被使用以促進(jìn)個人數(shù)據(jù)的連續(xù)和重復(fù)轉(zhuǎn)移。但是，當(dāng)前的法規(guī)沒有明確何為“技術(shù)上可行”和“不受阻礙”，數(shù)據(jù)保護(hù)工作組希望不同的數(shù)據(jù)平臺能夠通過互操作性標(biāo)準(zhǔn)傳輸個人數(shù)據(jù)，對數(shù)據(jù)主體或另一數(shù)據(jù)控制者對該數(shù)據(jù)的訪問、傳輸或重用，現(xiàn)有數(shù)據(jù)控制者不得設(shè)置任何法律、經(jīng)濟或技術(shù)上的障礙。②保障數(shù)據(jù)攜帶權(quán)安全實施的成本較高，中小企業(yè)難以負(fù)擔(dān)，數(shù)據(jù)保護(hù)機構(gòu)很難要求所有數(shù)據(jù)控制者遵守嚴(yán)格的互操作性標(biāo)準(zhǔn)。③由于數(shù)據(jù)攜帶權(quán)的范圍尚不明晰，就GDPR第20條給予數(shù)據(jù)主體對其數(shù)據(jù)控制權(quán)的范圍和程度，目前的法律實踐尚未達(dá)成一致意見?！都又菹M者隱私法》（CCPA）未就數(shù)據(jù)攜帶權(quán)包含哪些類型的數(shù)據(jù)發(fā)布任何指南，企業(yè)無法根據(jù)明確的規(guī)則來判斷可以移植的數(shù)據(jù)范圍，但CCPA中數(shù)據(jù)攜帶權(quán)還包括用戶對企業(yè)收集的個人信息的知情權(quán)，范圍寬于GDPR。④CCPA在數(shù)據(jù)攜帶權(quán)的適用問題上也應(yīng)采用與GDPR類似的標(biāo)準(zhǔn)，以在全球范圍內(nèi)促進(jìn)反壟斷、互操作性等問題的解決。

（二）數(shù)據(jù)攜帶權(quán)的表現(xiàn)形式

數(shù)據(jù)攜帶權(quán)是支持個人數(shù)據(jù)自由流動并促進(jìn)數(shù)據(jù)控制者之間競爭的重要工具，它降低了現(xiàn)有數(shù)據(jù)控制者對數(shù)據(jù)的持久性控制，刺激競爭并促進(jìn)數(shù)據(jù)的擴散和重用。⑤為了便利數(shù)據(jù)的轉(zhuǎn)移，需要協(xié)調(diào)數(shù)據(jù)格式的標(biāo)準(zhǔn)化和互操作性，以完善數(shù)據(jù)處理過程。數(shù)據(jù)攜帶權(quán)主要有兩種表現(xiàn)形式，不同之處在于如何移動數(shù)據(jù)。

第一種數(shù)據(jù)攜帶權(quán)表現(xiàn)形式是一次性導(dǎo)出（one-off exports），即用戶以一種可以上傳到另一個平臺的形式下載其在一個平臺上的數(shù)據(jù)，不需要數(shù)據(jù)發(fā)送方和數(shù)據(jù)接收方有直接連接。一次性導(dǎo)出可以降低數(shù)據(jù)轉(zhuǎn)換成本，對其他類型的數(shù)據(jù)如照片、視頻和博客文章等也同樣適用。實踐中，由于不同的平臺傳輸數(shù)據(jù)的方式不同，數(shù)據(jù)發(fā)送方在移動大量數(shù)據(jù)時可能無法以易于訪問的格式存儲。一次性導(dǎo)出通常需要數(shù)據(jù)控制者花費較長時間來準(zhǔn)備。

第二種數(shù)據(jù)攜帶權(quán)表現(xiàn)形式是通過應(yīng)用程序編程接口（ API）實現(xiàn)的互操作性，即用戶允許兩個或多個平臺直接交換數(shù)據(jù)，在訪問中不受限制地與當(dāng)前或未來的其他平臺或系統(tǒng)實現(xiàn)互聯(lián)，并進(jìn)行持續(xù)的、實時的和最新的信息傳輸。互操作性是實現(xiàn)數(shù)據(jù)攜帶權(quán)的關(guān)鍵，個人數(shù)據(jù)通過互操作性可以便捷地從一個系統(tǒng)傳輸至另一個系統(tǒng)。①根據(jù)GDPR第20條第1款的規(guī)定，數(shù)據(jù)控制者須提供“結(jié)構(gòu)化的、常用的和機器可讀的”系統(tǒng)來便利數(shù)據(jù)主體傳輸數(shù)據(jù)。第29條工作組建議使用API來促進(jìn)自動化的數(shù)據(jù)傳輸，以便企業(yè)能夠幫助個人進(jìn)行數(shù)據(jù)管理或?qū)ζ髽I(yè)收集的個人數(shù)據(jù)再利用，防止數(shù)據(jù)鎖定和促進(jìn)創(chuàng)新。

與一次性導(dǎo)出相比，API要求數(shù)據(jù)發(fā)送方和數(shù)據(jù)接收方保持穩(wěn)定的關(guān)系。接收方向發(fā)送方請求數(shù)據(jù)，使其能夠更快、更頻繁地獲取數(shù)據(jù)。API還允許數(shù)據(jù)發(fā)送方通過速率限制和密鑰注冊等控制接收方獲取數(shù)據(jù)的內(nèi)容、時間和方式，并在必要時切斷接收方的訪問。數(shù)據(jù)發(fā)送者保留對數(shù)據(jù)的控制除了競爭之外還會考慮安全性、防止垃圾郵件和降低成本等因素。一次性導(dǎo)出和API并不是嚴(yán)格的二分法，對于一次性導(dǎo)出，數(shù)據(jù)發(fā)送方和數(shù)據(jù)接收方可能在短時間內(nèi)直接連接，然后彼此斷開；關(guān)于API，數(shù)據(jù)發(fā)送方可能僅在滿足某些條件時才允許用戶將其數(shù)據(jù)傳輸至其他平臺。

二、數(shù)據(jù)壟斷規(guī)制與數(shù)據(jù)權(quán)益保護(hù)不足：數(shù)據(jù)攜帶權(quán)的適用困局

數(shù)字平臺持有的數(shù)據(jù)差異可能會造成進(jìn)入壁壘，阻礙數(shù)據(jù)的自由流動。為了應(yīng)對國際社會日益高漲的對數(shù)字平臺的反壟斷規(guī)制，大型數(shù)字平臺將數(shù)據(jù)攜帶權(quán)納入其競爭政策之中，允許用戶將其個人數(shù)據(jù)從一個平臺傳輸至另一平臺。②數(shù)據(jù)攜帶權(quán)雖增加了數(shù)據(jù)主體對數(shù)據(jù)的控制權(quán)并推動市場競爭，但其在規(guī)制數(shù)據(jù)壟斷問題上仍面臨諸多挑戰(zhàn)。

（一）數(shù)據(jù)攜帶權(quán)的實踐

數(shù)據(jù)的可攜帶最早可追溯至電信領(lǐng)域電話號碼可攜帶的相關(guān)規(guī)定。美國1996年《電信法》（Telecommunications

Act）明確規(guī)定號碼攜帶權(quán)。2003年11月24日，美國聯(lián)邦通信委員會（FCC）要求所有無線運營商允許用戶將其電話號碼移植到另一個運營商，改變了用戶若更換運營商須放棄現(xiàn)有電話號碼的做法。FCC希望通過消除轉(zhuǎn)換成本來增加運營商之間的競爭。歐洲議會和歐盟理事會也在《有關(guān)電子通訊網(wǎng)絡(luò)通用服務(wù)和用戶權(quán)利的2002/22/EC號指令》中規(guī)定了號碼攜帶權(quán)。③金融和醫(yī)療保健等領(lǐng)域也出現(xiàn)了允許用戶查閱和獲取相關(guān)數(shù)據(jù)的規(guī)定。④網(wǎng)絡(luò)技術(shù)的發(fā)展使得更多的用戶希望將其在互聯(lián)網(wǎng)上的數(shù)據(jù)在不同的服務(wù)器之間自由傳輸，實踐中也涌現(xiàn)出允許用戶移植數(shù)據(jù)的案例。美國早在2000年的ReverseAuction. com案中就承認(rèn)了數(shù)據(jù)的可攜性。Re-verseAuction. com是eBay的競爭對手，它使用不公平和欺騙性的行為來收集有關(guān)eBay用戶的電子郵件地址和反饋評級等信息。盡管美國聯(lián)邦貿(mào)易委員會（FTC）對ReverseAuction.com的行為頗有微詞，也認(rèn)為eBay控制用戶評論的方式阻礙了在線拍賣行業(yè)的競爭，但并未聲明不允許移植個人的在線評論是反競爭的。①

2008年，大型數(shù)字平臺谷歌和臉書加入數(shù)據(jù)攜帶權(quán)項目，允許用戶在不同的網(wǎng)絡(luò)服務(wù)提供者之間移植數(shù)據(jù)，以實現(xiàn)數(shù)據(jù)的重用。②但是，用戶在轉(zhuǎn)移數(shù)據(jù)的過程中仍受制于平臺的諸多限制。在2013年FTC對谷歌的反壟斷調(diào)查案中，鑒于谷歌對用戶將廣告從其在線廣告平臺Adwords轉(zhuǎn)移到其他競爭性平臺的限制，用戶在其他平臺手動挨個插入廣告費時費力，轉(zhuǎn)換成本極高，不得不繼續(xù)使用Adwords平臺。FTC對谷歌發(fā)起反壟斷調(diào)查，谷歌承諾在60天內(nèi)刪除其AdWords API條款中限制用戶跨平臺管理廣告的表述。③該案中，F(xiàn)TC未對谷歌的壟斷行為進(jìn)行罰款，也未明確谷歌是否有義務(wù)滿足用戶的數(shù)據(jù)攜帶權(quán)請求，但至少說明占據(jù)市場支配地位的數(shù)據(jù)平臺若拒絕用戶的數(shù)據(jù)攜帶權(quán)請求，可能會受到FTC的反壟斷調(diào)查。

GDPR在對數(shù)據(jù)攜帶權(quán)作出規(guī)定之后，為滿足用戶轉(zhuǎn)移數(shù)據(jù)的需求，受GDPR約束的平臺允許用戶在平臺間自由遷移數(shù)據(jù)。實踐中不同平臺之間的數(shù)據(jù)遷移影響市場主體的競爭，歐盟委員會對大型數(shù)字平臺濫用市場支配地位排除限制競爭的行為日漸重視。在谷歌濫用市場支配地位案中，歐盟委員會調(diào)查發(fā)現(xiàn)，谷歌在與第三方網(wǎng)站簽訂的合同中設(shè)置了一些限制性條款，阻止谷歌的競爭對手在這些網(wǎng)站上投放搜索廣告或者將廣告轉(zhuǎn)向其他競爭性平臺。④歐盟委員會根據(jù)《歐盟運行條約》（TFEU）第102條和《歐洲經(jīng)濟區(qū)協(xié)定》（EEA Agreement）第54條禁止濫用市場支配地位的規(guī)定，⑤認(rèn)為谷歌濫用其市場主導(dǎo)地位來代理在線搜索廣告，并通過對第三方網(wǎng)站實施反競爭合同限制來保護(hù)自身免受競爭壓力的做法剝奪了其他公司在創(chuàng)新方面進(jìn)行競爭的可能性，也剝奪了消費者從平臺之間的競爭中獲益的機會，因而對谷歌處以14.9億歐元的罰款。⑥

從上述案例來看，占據(jù)市場主導(dǎo)地位的平臺通常利用數(shù)據(jù)和算法壟斷優(yōu)勢對其他企業(yè)設(shè)置進(jìn)入壁壘，以強化其現(xiàn)有市場支配地位。歐盟試圖通過數(shù)據(jù)攜帶權(quán)向數(shù)據(jù)控制者施加義務(wù)，一方面能通過保護(hù)數(shù)據(jù)主體的數(shù)據(jù)安全來降低數(shù)據(jù)壟斷平臺對消費者的侵害，另一方面也能推動數(shù)據(jù)的自由流動和激活數(shù)據(jù)市場的競爭活力。但是，當(dāng)前數(shù)據(jù)攜帶權(quán)的權(quán)利主體僅為個人，可攜帶的數(shù)據(jù)有限，無法對數(shù)據(jù)市場的數(shù)據(jù)壟斷行為進(jìn)行有效規(guī)制。如果數(shù)據(jù)攜帶權(quán)進(jìn)一步擴展到企業(yè)，那么對市場競爭的影響極為重大。

（二）數(shù)據(jù)攜帶權(quán)適用的局限性

數(shù)據(jù)攜帶權(quán)可以降低用戶的數(shù)據(jù)轉(zhuǎn)換成本并促進(jìn)數(shù)據(jù)流通，但考慮到不同平臺市場地位的差異，市場的新進(jìn)入者仍會面臨難以克服的網(wǎng)絡(luò)效應(yīng)或規(guī)模經(jīng)濟問題。數(shù)據(jù)在轉(zhuǎn)移的過程中也可能出現(xiàn)信息泄露或盜用的隱私與安全風(fēng)險、知識產(chǎn)權(quán)侵權(quán)風(fēng)險以及企業(yè)合規(guī)風(fēng)險等。

1.經(jīng)濟層面：加劇數(shù)字平臺的反競爭效應(yīng)

一是降低的轉(zhuǎn)換成本可能加劇數(shù)據(jù)鎖定。若用戶在一個平臺存儲大量數(shù)據(jù)，其將數(shù)據(jù)移植到另一個平臺時可能會產(chǎn)生大額費用，此時轉(zhuǎn)換成本構(gòu)成進(jìn)入壁壘。一次性導(dǎo)出和API可以降低用戶的轉(zhuǎn)換成本，但未必會促使數(shù)據(jù)從主導(dǎo)平臺流向競爭對手。雖然數(shù)據(jù)攜帶權(quán)意味著幾家占據(jù)主導(dǎo)地位的大平臺和眾多小平臺更容易在同一基礎(chǔ)上競爭，但具有強大網(wǎng)絡(luò)效應(yīng)的現(xiàn)有平臺通過數(shù)據(jù)攜帶權(quán)可以更好地吸引用戶將在初創(chuàng)平臺存儲的數(shù)據(jù)轉(zhuǎn)移至大型平臺，導(dǎo)致“強者恒強”的局面出現(xiàn)，加劇數(shù)據(jù)的鎖定效應(yīng)。因而，轉(zhuǎn)換成本的降低實際上可能會損害較小的競爭對手，加劇大企業(yè)對數(shù)據(jù)的壟斷。

二是規(guī)模經(jīng)濟可能阻礙創(chuàng)新。當(dāng)企業(yè)隨著規(guī)模擴大、市場份額提升以及數(shù)據(jù)存量增加而提高效率時，就會出現(xiàn)規(guī)模經(jīng)濟。①平臺產(chǎn)品質(zhì)量的提升對其他用戶尤其是潛在用戶的吸引力越大，也就越容易拓展新的客戶群。數(shù)據(jù)攜帶權(quán)便利了數(shù)據(jù)控制者收集、分析用戶數(shù)據(jù)，推動企業(yè)不斷變革運營模式并催生高質(zhì)量產(chǎn)品和良好服務(wù)的新型數(shù)據(jù)產(chǎn)業(yè)。但是，一些平臺為了達(dá)到和保持規(guī)模經(jīng)濟的動力會實施掠奪性定價和垂直整合等抑制創(chuàng)新的行為，阻礙數(shù)據(jù)分析和數(shù)據(jù)運用等新型初創(chuàng)企業(yè)或中小企業(yè)的創(chuàng)新發(fā)展與服務(wù)提升。大型平臺為了維持規(guī)模經(jīng)濟甚至?xí)脭?shù)據(jù)攜帶權(quán)直接從其他平臺獲取數(shù)據(jù)，比如谷歌地圖公司（Google Maps）從Yelp網(wǎng)站上收集圖片以增加企業(yè)照片的數(shù)量，抑制了其他平臺創(chuàng)新的動力。②

三是網(wǎng)絡(luò)效應(yīng)可能對其他平臺構(gòu)成進(jìn)入壁壘。當(dāng)產(chǎn)品或服務(wù)的價值隨著用戶使用數(shù)量的增加而增加時，就會產(chǎn)生網(wǎng)絡(luò)效應(yīng)。平臺具有的雙邊市場特性使得網(wǎng)絡(luò)效應(yīng)不僅取決于平臺同種類型的用戶數(shù)量，也取決于平臺另一邊的用戶數(shù)量。③如果一個平臺的規(guī)模遠(yuǎn)超其競爭對手，新進(jìn)入者無法獲得與占據(jù)市場支配力量的大型數(shù)字平臺競爭的同等數(shù)量和質(zhì)量的數(shù)據(jù)。即便其吸引用戶通過數(shù)據(jù)攜帶權(quán)來加入其平臺，個人一次只能導(dǎo)出一個用戶的數(shù)據(jù)很難為平臺吸引足夠多的用戶群體以達(dá)到競爭效果。API比一次性導(dǎo)出更好地解決了網(wǎng)絡(luò)效應(yīng)，前提是數(shù)據(jù)發(fā)送者可以隨時切斷數(shù)據(jù)訪問?？傊?，API本身并不能讓平臺更容易克服網(wǎng)絡(luò)效應(yīng)。

2.法律層面：隱私侵犯和知識產(chǎn)權(quán)侵權(quán)

一是隱私侵犯。數(shù)據(jù)攜帶權(quán)的反競爭效應(yīng)和網(wǎng)絡(luò)安全／隱私效應(yīng)之間存在內(nèi)在的張力。GDPR、CCPA等現(xiàn)有規(guī)范要求各數(shù)據(jù)平臺為用戶提供數(shù)據(jù)自由下載和跨平臺遷移服務(wù)，既未明確可攜帶數(shù)據(jù)的范圍，也未對數(shù)據(jù)下載或遷移過程中可能出現(xiàn)的侵入、泄露、丟失甚至篡改風(fēng)險出臺明確的解決方案；同時，實踐中不同平臺在數(shù)據(jù)保護(hù)的技術(shù)和標(biāo)準(zhǔn)上存在差異，用戶攜帶的數(shù)據(jù)可能包含他人的數(shù)據(jù)，甚至包含敏感信息，在跨平臺轉(zhuǎn)移的過程中可能出現(xiàn)安全風(fēng)險，但各平臺的身份驗證機制并不一致，難以保證數(shù)據(jù)安全。一些學(xué)者將數(shù)據(jù)所有權(quán)視為一種權(quán)利，認(rèn)為用戶有權(quán)決定其數(shù)據(jù)的去向。①然而，數(shù)據(jù)作為一種產(chǎn)權(quán)并不能解決諸多問題，數(shù)據(jù)是信息，而非任何人的財產(chǎn)。將個人信息視為需要許可或出售的財產(chǎn)，可能會誘使人們?yōu)榱撕苄〉膬r值而放棄隱私權(quán)，同時給信息的自由流動注入巨大的阻力和風(fēng)險。GDPR中“不受阻礙”的措辭為數(shù)據(jù)的可攜性提供了更多的不確定性，數(shù)據(jù)傳輸存在安全風(fēng)險。

二是知識產(chǎn)權(quán)侵權(quán)。通常情況下，數(shù)據(jù)控制者將收集的數(shù)據(jù)通過算法進(jìn)行加工處理，對其賦予財產(chǎn)價值，當(dāng)滿足一定條件時可能構(gòu)成其商業(yè)秘密的保護(hù)標(biāo)準(zhǔn)。若一企業(yè)可以通過數(shù)據(jù)攜帶權(quán)不經(jīng)另一企業(yè)的許可而獲取其商業(yè)秘密，則屬于破壞市場秩序的不正當(dāng)競爭，不利于知識產(chǎn)權(quán)保護(hù)與創(chuàng)新方案的產(chǎn)生。GDPR并未明確數(shù)據(jù)攜帶權(quán)應(yīng)受到知識產(chǎn)權(quán)保護(hù)的限制，當(dāng)數(shù)據(jù)攜帶的權(quán)利加強時，為了保護(hù)數(shù)據(jù)主體的隱私，企業(yè)基于數(shù)據(jù)處理而提供新服務(wù)的動機就會減弱。數(shù)據(jù)攜帶權(quán)使得數(shù)據(jù)在流轉(zhuǎn)與聚合的過程中易引發(fā)權(quán)利沖突，若轉(zhuǎn)移的數(shù)據(jù)涉及企業(yè)的知識產(chǎn)權(quán)，很可能使得數(shù)據(jù)接收者獲取“搭便車”效益，損害數(shù)據(jù)發(fā)送者的商業(yè)秘密，從而引發(fā)商業(yè)或法律風(fēng)險。

3.技術(shù)層面：互操作性面臨技術(shù)困難

互操作性被視為開放互聯(lián)網(wǎng)、增加市場競爭和為用戶提供更公平的環(huán)境的重要舉措。GDPR規(guī)定了數(shù)據(jù)攜帶權(quán)且將其適用于所有提供數(shù)據(jù)服務(wù)的企業(yè)，但沒有具體說明其技術(shù)特征，導(dǎo)致數(shù)字平臺在實踐中對數(shù)據(jù)攜帶權(quán)的利用有限。中小企業(yè)沒有足夠的技術(shù)能力編寫能夠?qū)崿F(xiàn)數(shù)據(jù)可攜的“導(dǎo)入——導(dǎo)出”模塊，承擔(dān)著較大的合規(guī)責(zé)任，不得不投入更多的成本來降低合規(guī)風(fēng)險，而這些成本最終將轉(zhuǎn)嫁給消費者。②第29條工作組發(fā)布的《指南》中將數(shù)據(jù)攜帶權(quán)的“技術(shù)是否可行”交給數(shù)據(jù)控制者自由裁量，且未要求達(dá)到兼容性程度。實踐中，數(shù)據(jù)控制者之間意圖實現(xiàn)互操作性的文件格式往往不兼容，可能導(dǎo)致格式化問題或者圖片、圖表等內(nèi)容的丟失。③若數(shù)據(jù)控制者不采用自動化和通用標(biāo)準(zhǔn)對數(shù)據(jù)加以處理，數(shù)據(jù)主體可能無法獲得個人數(shù)據(jù)或雖獲取數(shù)據(jù)副本但因格式缺乏互操作性而無法實現(xiàn)個人數(shù)據(jù)重用。

三、數(shù)據(jù)安全與流通之動態(tài)調(diào)試：數(shù)據(jù)攜帶權(quán)適用困局的紓解之道

數(shù)據(jù)安全與數(shù)據(jù)流通并非完全對立，數(shù)據(jù)安全關(guān)涉?zhèn)€人自由和安寧，數(shù)據(jù)流通保障數(shù)字平臺間的經(jīng)營秩序，二者共同推動數(shù)據(jù)市場的持續(xù)發(fā)展。但是，數(shù)據(jù)攜帶權(quán)適用過程中可能出現(xiàn)經(jīng)濟、法律和技術(shù)等層面的挑戰(zhàn)，需要采取措施規(guī)范數(shù)據(jù)市場的競爭秩序。

（一）建立數(shù)據(jù)的集體攜帶權(quán)制度

一次性導(dǎo)出和API側(cè)重于為用戶提供對其數(shù)據(jù)的訪問權(quán)限，可以減輕轉(zhuǎn)換成本，但無法解決網(wǎng)絡(luò)效應(yīng)和規(guī)模經(jīng)濟問題。集體攜帶權(quán)不僅能解決上述問題，還便利了不觸發(fā)隱私安全問題的數(shù)據(jù)傳輸。與API攜帶權(quán)一樣，集體攜帶權(quán)要求數(shù)據(jù)發(fā)送者和接收者直接互聯(lián)。

1.集體攜帶權(quán)的優(yōu)勢

集體攜帶權(quán)可以使用戶輕松地將其數(shù)據(jù)以及與其共同使用的其他用戶數(shù)據(jù)一并傳輸至另一平臺。如果一組用戶在特定平臺上共享對共同創(chuàng)建的數(shù)據(jù)的訪問權(quán)并且希望將該數(shù)據(jù)移動到新平臺，則原始平臺應(yīng)幫助該組用戶轉(zhuǎn)移其數(shù)據(jù)。①集體攜帶權(quán)降低了用戶將個人數(shù)據(jù)以及與個人數(shù)據(jù)相關(guān)的他人數(shù)據(jù)轉(zhuǎn)移至新平臺的轉(zhuǎn)換成本，還降低了擁有共享數(shù)據(jù)的用戶群的轉(zhuǎn)換成本，避免了在其他攜帶權(quán)形式下不得不放棄共享數(shù)據(jù)的困境。通過大規(guī)模移動用戶數(shù)據(jù)，市場的新進(jìn)入者可以直接針對特定的大型群體，根據(jù)其需求創(chuàng)建產(chǎn)品，比其他形式的數(shù)據(jù)攜帶權(quán)更好地解決了規(guī)模經(jīng)濟和網(wǎng)絡(luò)效應(yīng)問題，有助于競爭平臺更快地達(dá)到與現(xiàn)有平臺相似的規(guī)模。

2.集體攜帶權(quán)的制度設(shè)計

集體攜帶權(quán)允許用戶與他人共同傳輸其數(shù)據(jù)并維護(hù)數(shù)據(jù)使用的情境，確保競爭對手可以將其用于相同目的，解決了除轉(zhuǎn)換成本以外的市場進(jìn)入壁壘。希望改善平臺競爭的監(jiān)管機構(gòu)應(yīng)盡快制定集體攜帶權(quán)法規(guī)來規(guī)范涉及大量數(shù)據(jù)轉(zhuǎn)移的諸多問題：首先，集體攜帶權(quán)法規(guī)將完全獨立于其他形式的數(shù)據(jù)攜帶權(quán)法規(guī)并旨在保障用戶更好地控制其數(shù)據(jù)。一次性導(dǎo)出、API等數(shù)據(jù)攜帶權(quán)法規(guī)要求平臺應(yīng)個人請求，將其個人數(shù)據(jù)通過通用的機器可讀格式傳輸至另一平臺，使用戶能夠更好地嘗試新的服務(wù)產(chǎn)品。集體攜帶權(quán)法規(guī)旨在允許個人訪問和驗證平臺擁有或控制下的個人數(shù)據(jù)，以及企業(yè)如何使用其個人數(shù)據(jù)。比如，新加坡在對其個人數(shù)據(jù)保護(hù)法的修訂中將數(shù)據(jù)攜帶權(quán)的競爭和數(shù)據(jù)控制目標(biāo)分為獨立的數(shù)據(jù)攜帶權(quán)和訪問權(quán)，有助于相關(guān)主體對數(shù)據(jù)的控制和利用。②其次，集體攜帶權(quán)法規(guī)將區(qū)分小型新市場進(jìn)入者和大型現(xiàn)有企業(yè)。這可以防止用戶和數(shù)據(jù)進(jìn)一步集中到具有強大網(wǎng)絡(luò)效應(yīng)的大型平臺，同時減輕資源不足的初創(chuàng)公司過度的技術(shù)負(fù)擔(dān)。最后，該法規(guī)將為用戶數(shù)據(jù)重疊的情形創(chuàng)設(shè)例外。③如果數(shù)據(jù)主體是某個封閉群體的一部分，則平臺應(yīng)確保所有相關(guān)的數(shù)據(jù)主體同意轉(zhuǎn)移或?qū)С鰯?shù)據(jù)，切實保護(hù)他人的數(shù)據(jù)權(quán)益。

（二）強化數(shù)據(jù)攜帶權(quán)的身份驗證和數(shù)據(jù)分層安全保護(hù)

數(shù)據(jù)攜帶權(quán)應(yīng)具有嚴(yán)格的標(biāo)準(zhǔn)，以確保個人數(shù)據(jù)安全可靠地跨平臺傳輸。第29條工作組就數(shù)據(jù)攜帶權(quán)的安全性提供了一些指導(dǎo)，《指南》第11條第2款規(guī)定數(shù)據(jù)主體可以提供更多信息來識別其身份，第12條第6款規(guī)定數(shù)據(jù)控制者對數(shù)據(jù)主體的身份有合理懷疑時可以要求其進(jìn)一步提供信息以確認(rèn)身份。第29條工作組進(jìn)一步指出，數(shù)據(jù)控制者應(yīng)在一個月內(nèi)滿足用戶轉(zhuǎn)移數(shù)據(jù)的要求，復(fù)雜情況下該期限可以延長至三個月，但須在最初請求提出后一個月內(nèi)通知數(shù)據(jù)主體關(guān)于延遲的原因?！都又菹M者隱私法條例》第4條也對如何驗證個人身份提供了指導(dǎo)，要求企業(yè)建立適當(dāng)驗證個人身份的方法，比如個人信息的類型、敏感性和價值；傷害風(fēng)險；欺詐或惡意行為者的可能性；用于驗證目的的信息和可用的驗證技術(shù)等。①

與《指南》一樣，《加州消費者隱私法條例》為個人數(shù)據(jù)提供了安全保護(hù)，但并未完全保護(hù)個人數(shù)據(jù)在移轉(zhuǎn)過程中的安全。雖然對復(fù)雜情況進(jìn)行核查和延長時間在一定程度上可以保證安全性，但數(shù)據(jù)平臺和監(jiān)管機構(gòu)應(yīng)根據(jù)用戶賬戶的安全風(fēng)險大小，對數(shù)據(jù)進(jìn)行分層安全保護(hù)。首先，平臺可以根據(jù)個人感知的安全水平或風(fēng)險實施更高級別的安全標(biāo)準(zhǔn)來預(yù)防和減輕身份盜竊行為。具體而言，原數(shù)據(jù)控制者在接收到數(shù)據(jù)主體轉(zhuǎn)移數(shù)據(jù)的請求后，應(yīng)對數(shù)據(jù)主體的身份進(jìn)行多重核驗，在符合傳輸條件的情況下對要傳輸?shù)臄?shù)據(jù)進(jìn)行加密，并確保數(shù)據(jù)主體指定的接收方接收數(shù)據(jù)。若在此過程中數(shù)據(jù)出現(xiàn)泄漏，則原數(shù)據(jù)控制者應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任，數(shù)據(jù)轉(zhuǎn)移之后出現(xiàn)泄漏的情況則由數(shù)據(jù)接收方承擔(dān)侵權(quán)責(zé)任。其次，監(jiān)管機構(gòu)應(yīng)根據(jù)平臺的收入和擁有與控制的個人數(shù)據(jù)量進(jìn)行不同程度的監(jiān)管。CCPA已對總收入超過2500萬美元的營利性公司、每年購買或接收5萬人以上的個人數(shù)據(jù)以及從出售個人數(shù)據(jù)中獲得其年收入的50%或以上的公司加強監(jiān)管力度，監(jiān)管機構(gòu)在審查有關(guān)數(shù)據(jù)攜帶權(quán)的安全標(biāo)準(zhǔn)時應(yīng)考慮公司的相對成熟度和參與度。②

（三）加強知識產(chǎn)權(quán)保護(hù)

企業(yè)收集用戶數(shù)據(jù)并建立數(shù)據(jù)庫，在此基礎(chǔ)上投入資金和技術(shù)對數(shù)據(jù)進(jìn)行挖掘形成衍生數(shù)據(jù)，尤其是企業(yè)對數(shù)據(jù)主體的數(shù)據(jù)進(jìn)行加工構(gòu)成其業(yè)務(wù)核心和商業(yè)秘密時，企業(yè)應(yīng)當(dāng)對數(shù)據(jù)擁有有限產(chǎn)權(quán)，以維持其核心競爭力。若傳輸?shù)臄?shù)據(jù)涉及企業(yè)的知識產(chǎn)權(quán)時，數(shù)字平臺應(yīng)當(dāng)將涉及其知識產(chǎn)權(quán)的數(shù)據(jù)分割后再進(jìn)行傳輸。但若企業(yè)利用其數(shù)據(jù)優(yōu)勢地位拒絕交易以達(dá)到排除限制競爭效果時，可通過反壟斷法予以規(guī)制。目前，一些國家逐漸意識到數(shù)據(jù)攜帶權(quán)不僅關(guān)乎個人利益，也是企業(yè)實現(xiàn)數(shù)據(jù)要素市場化的重要手段，對其利益應(yīng)予以關(guān)注。比如，印度2019年的《個人數(shù)據(jù)保護(hù)法案》第19條明確了構(gòu)成商業(yè)秘密的情況不符合技術(shù)可行性條件，③新加坡個人數(shù)據(jù)保護(hù)委員會（PDPC）制定的數(shù)據(jù)攜帶與創(chuàng)新條款建議案也指出數(shù)據(jù)控制者可以自證數(shù)據(jù)是否構(gòu)成其商業(yè)秘密。④

（四）建立DTP來解決互操作性難題

數(shù)據(jù)傳輸項目（Data Transfer Project，DTP）是蘋果、谷歌、臉書、微軟和推特等大型企業(yè)的合作項目，旨在創(chuàng)建一個開源的、服務(wù)到服務(wù)的數(shù)據(jù)攜帶權(quán)平臺，減少供應(yīng)商和用戶的基礎(chǔ)設(shè)施負(fù)擔(dān)，以便網(wǎng)絡(luò)上的所有個人可以輕松地在在線服務(wù)提供商之間移動其數(shù)據(jù)。DTP將由用戶、數(shù)據(jù)發(fā)送方與接收方、托管實體和DTP系統(tǒng)共同承擔(dān)安全責(zé)任，其設(shè)計格式允許任何數(shù)據(jù)運營者參與該項目而不影響其核心基礎(chǔ)設(shè)施。①

第29條工作組和加利福尼亞監(jiān)管機構(gòu)都未解決標(biāo)準(zhǔn)格式問題，DTP提供了一個可供所有平臺使用的標(biāo)準(zhǔn)格式，有利于創(chuàng)建互操作性標(biāo)準(zhǔn)。②盡管大型平臺企業(yè)的存在可能會使互操作性所需的成本和專業(yè)知識成為小型企業(yè)的進(jìn)入障礙，DTP為新的市場進(jìn)入者提供了可用的標(biāo)準(zhǔn)格式，降低了中小企業(yè)的技術(shù)成本。監(jiān)管機構(gòu)應(yīng)密切關(guān)注DTP或其他意圖創(chuàng)建數(shù)據(jù)攜帶權(quán)通用交換方法的組織，以確保數(shù)據(jù)攜帶權(quán)的互操作性和安全性。

四、實踐與建構(gòu)：數(shù)據(jù)攜帶權(quán)在中國的本土化

數(shù)字經(jīng)濟的繁榮發(fā)展需要充分發(fā)揮數(shù)據(jù)要素的市場化，加速數(shù)據(jù)的流通與共享。數(shù)據(jù)攜帶權(quán)的價值逐漸被我國學(xué)界認(rèn)可，但其作為一把雙刃劍，極可能促進(jìn)市場的有效競爭，也可能加劇市場的惡性競爭。我國應(yīng)根據(jù)自身實際，合理借鑒歐盟經(jīng)驗，對數(shù)據(jù)攜帶權(quán)進(jìn)行適當(dāng)調(diào)試，明確數(shù)據(jù)攜帶權(quán)的適用范圍和攜帶場景。

（一）數(shù)據(jù)攜帶權(quán)的本土化實踐

我國在2017年12月發(fā)布的《信息技術(shù)安全個人信息安全規(guī)范》第7.9條規(guī)定了個人信息主體的個人信息副本獲取權(quán)和數(shù)據(jù)移轉(zhuǎn)權(quán)，被視為我國數(shù)據(jù)攜帶權(quán)的雛形。③《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）第45條規(guī)定了個人有向信息處理者查閱、復(fù)制其個人信息的權(quán)利，信息處理者應(yīng)根據(jù)信息主體的請求將個人信息轉(zhuǎn)移給指定的信息處理者。這是我國在法律層面首次明確個人信息的可攜性，與歐盟的數(shù)據(jù)攜帶權(quán)極為類似。④我國的法律規(guī)定中通常將個人數(shù)據(jù)表述為“個人信息”，“信息主體”與歐盟的數(shù)據(jù)主體相對應(yīng)。本文認(rèn)為個人數(shù)據(jù)與個人信息雖有細(xì)微差別，但實踐中常將二者交叉使用，故不對二者進(jìn)行區(qū)分。為表述方便，本部分將信息統(tǒng)稱為數(shù)據(jù)，將個人信息攜帶權(quán)統(tǒng)稱為數(shù)據(jù)攜帶權(quán)。

關(guān)于個人能否便捷地行使數(shù)據(jù)攜帶權(quán)轉(zhuǎn)移數(shù)據(jù)的問題，可從相關(guān)案件中一探究竟。在前錦公司訴逸橙公司案中，上海知識產(chǎn)權(quán)法院認(rèn)為逸橙公司在取得用戶授權(quán)的情況下通過關(guān)聯(lián)賬號遷移數(shù)據(jù)的行為正當(dāng)，未對前錦公司的經(jīng)濟利益造成實質(zhì)性損害，反而為用戶提供了便利與效率，不構(gòu)成影響市場正常秩序的不正當(dāng)競爭。⑤在抖音訴騰訊案中，抖音認(rèn)為騰訊通過微信與QQ限制用戶分享來自抖音的內(nèi)容構(gòu)成壟斷，遂向北京知識產(chǎn)權(quán)法院提起訴訟。此前，字節(jié)跳動也曾因騰訊攔截和屏蔽用戶分享頭條網(wǎng)的內(nèi)容而起訴騰訊。上述案件表明，抖音、騰訊等爭奪的關(guān)鍵在于用戶背后的關(guān)系鏈以及相關(guān)聯(lián)的巨大的群體市場，用戶是否享有數(shù)據(jù)攜帶權(quán)對案件的性質(zhì)至關(guān)重要。若賦予用戶數(shù)據(jù)攜帶權(quán)，那么抖音和字節(jié)跳動通過獲取用戶授權(quán)而獲得騰訊數(shù)據(jù)的行為很可能是合法的，騰訊應(yīng)當(dāng)配合抖音和字節(jié)跳動來轉(zhuǎn)移用戶數(shù)據(jù)。占據(jù)優(yōu)勢的數(shù)字平臺利用壟斷地位限制數(shù)據(jù)自由流動，損害了消費者利益，數(shù)據(jù)攜帶權(quán)一定程度上可以打破數(shù)據(jù)壟斷，增加消費者的選擇權(quán)。具體而言，普通用戶缺乏與平臺競爭的能力，其與平臺是數(shù)據(jù)主體與數(shù)據(jù)控制者的關(guān)系，可以允許其行使數(shù)據(jù)攜帶權(quán)自由轉(zhuǎn)移個人數(shù)據(jù)；對于知名認(rèn)證用戶，鑒于其本身具有較大的影響力和商業(yè)性，具有與平臺直接競爭的實力，因而不應(yīng)當(dāng)允許其通過數(shù)據(jù)攜帶權(quán)無償獲得平臺的數(shù)據(jù)，雙方可以通過合同的方式約定有償使用。①遷移數(shù)據(jù)的接收者作為第三方平臺介入，可以有效化解用戶和平臺之間懸殊的技術(shù)力量對比和數(shù)據(jù)鎖定等問題，也可以推動數(shù)據(jù)持有者之間在數(shù)據(jù)攜帶服務(wù)層面的市場競爭，滿足用戶對數(shù)據(jù)保護(hù)的偏好和其對個人數(shù)據(jù)的有效控制。

（二）數(shù)據(jù)攜帶權(quán)的本土化建構(gòu)

《個人信息保護(hù)法》中雖確立了數(shù)據(jù)攜帶權(quán)，但僅籠統(tǒng)規(guī)定了數(shù)據(jù)主體行使權(quán)利的要件和個人數(shù)據(jù)處理者的義務(wù)，對可攜帶數(shù)據(jù)的種類、范圍、數(shù)據(jù)轉(zhuǎn)移過程中的風(fēng)險以及技術(shù)可行的條件等未作明確規(guī)定，也未涉及企業(yè)對數(shù)據(jù)可攜性的訴求，缺乏可操作性。我國在構(gòu)建數(shù)據(jù)攜帶權(quán)制度時應(yīng)明確和細(xì)化相關(guān)規(guī)定，最大限度促進(jìn)數(shù)據(jù)流通和共享。

1.明晰數(shù)據(jù)攜帶權(quán)的適用范圍

數(shù)據(jù)攜帶權(quán)的適用范圍應(yīng)在數(shù)據(jù)主體和數(shù)據(jù)控制者之間保持平衡，寬泛的適用范圍加重了數(shù)據(jù)控制者的成本，而狹窄的適用范圍不利于數(shù)據(jù)主體實現(xiàn)數(shù)據(jù)利益和數(shù)據(jù)控制者之間互相傳輸數(shù)據(jù)?！秱€人信息保護(hù)法》中對數(shù)據(jù)攜帶權(quán)范圍的規(guī)定較為寬泛，操作性不強。為了進(jìn)一步規(guī)范和完善數(shù)據(jù)攜帶權(quán)，首先，我國應(yīng)借鑒第29條工作組對用戶提供的原始數(shù)據(jù)、觀測數(shù)據(jù)和衍生數(shù)據(jù)的區(qū)分，分別制定不同的數(shù)據(jù)攜帶標(biāo)準(zhǔn)。具體而言，我國應(yīng)將個人數(shù)據(jù)和觀測數(shù)據(jù)納入《個人信息保護(hù)法》的數(shù)據(jù)可攜帶范圍內(nèi)加以規(guī)定，并賦予企業(yè)對衍生數(shù)據(jù)有限的攜帶權(quán)，允許商家攜帶評價等級和商譽等級等類似數(shù)據(jù)，打破數(shù)據(jù)壟斷者通過拒絕交易、提高許可條件與價格等方式對新企業(yè)設(shè)置準(zhǔn)入壁壘的企圖。其次，在不會對第三方帶來不利影響的前提下，數(shù)據(jù)攜帶權(quán)的范圍還包括涉及第三方的數(shù)據(jù)。數(shù)據(jù)主體行使攜帶權(quán)轉(zhuǎn)移的數(shù)據(jù)需征得第三方同意且是經(jīng)機器可讀的格式整理過的可識別數(shù)據(jù)。最后，數(shù)據(jù)攜帶權(quán)的行使應(yīng)受制于數(shù)據(jù)主體的刪除權(quán)和公共利益，且不能影響他人的權(quán)利與自由，比如不得損害企業(yè)通過算法等技術(shù)對數(shù)據(jù)加工處理而形成的知識產(chǎn)權(quán)。相對于GDPR在公共數(shù)據(jù)收集上的豁免規(guī)定，我國在公共部門收集和儲存?zhèn)€人數(shù)據(jù)問題上應(yīng)積極運用數(shù)據(jù)攜帶權(quán)，當(dāng)此類信息不涉及國家安全、公共利益和第三人利益時，應(yīng)允許數(shù)據(jù)主體獲取和轉(zhuǎn)移數(shù)據(jù)，以打破我國政府部門之間的藩籬，實現(xiàn)部門之間的數(shù)據(jù)共享。

2.在具體場景中平衡個人的數(shù)據(jù)安全保護(hù)和平臺企業(yè)的發(fā)展

數(shù)據(jù)攜帶權(quán)的行使涉及數(shù)據(jù)主體、數(shù)據(jù)接收者和控制者等多方主體，針對數(shù)據(jù)在被遷移的過程中面臨的泄露、丟失等風(fēng)險，我國應(yīng)當(dāng)在具體的場景下要求各平臺在收集與處理個人數(shù)據(jù)時提升數(shù)據(jù)安全保障能力。比如數(shù)據(jù)控制者對提出移植數(shù)據(jù)請求的數(shù)據(jù)主體進(jìn)行身份核驗，若傳輸敏感數(shù)據(jù)時實行多重要素核驗，并以短信、電子郵件等方式向數(shù)據(jù)主體發(fā)送安全警告，身份驗證通過之后才能傳輸數(shù)據(jù)。在特定的場景下，數(shù)據(jù)控制者之間傳輸數(shù)據(jù)時不得超出最初的場景設(shè)定而對數(shù)據(jù)加以濫用，應(yīng)根據(jù)傳輸數(shù)據(jù)的性質(zhì)、用途以及面臨的風(fēng)險等，商定好數(shù)據(jù)加密協(xié)議，提高數(shù)據(jù)傳輸?shù)陌踩裕苿訑?shù)據(jù)在不同平臺之間安全、自由傳輸。當(dāng)出現(xiàn)數(shù)據(jù)泄露時，合理厘定數(shù)據(jù)發(fā)送者和接收者的侵權(quán)責(zé)任，維護(hù)數(shù)據(jù)主體的權(quán)益。具體而言，我國可在電信、醫(yī)療、金融等特定場景明確可攜帶數(shù)據(jù)的內(nèi)涵，當(dāng)數(shù)據(jù)控制者收到用戶傳輸數(shù)據(jù)的請求后，在遵循安全保障和履行充分告知義務(wù)后，可在保證互操作性的情形之下開展數(shù)據(jù)移植活動。數(shù)據(jù)的接收方不僅應(yīng)保障所接收數(shù)據(jù)的安全性，也應(yīng)避免采用網(wǎng)絡(luò)爬取等方式獲取數(shù)據(jù)發(fā)送方采取技術(shù)保護(hù)措施的非公開數(shù)據(jù)。同時，我國也應(yīng)考慮到過于寬泛的數(shù)據(jù)攜帶權(quán)反而可能抑制有利于用戶利益的商業(yè)模式，損害數(shù)字市場的公平有序競爭和創(chuàng)新發(fā)展。為了不影響數(shù)字平臺提升服務(wù)和創(chuàng)新技術(shù)的積極性，立法者應(yīng)兼顧數(shù)據(jù)主體和數(shù)據(jù)運營者之間的利益平衡，明確用戶的數(shù)據(jù)攜帶權(quán)不應(yīng)影響企業(yè)對其商業(yè)秘密的保護(hù)，允許企業(yè)在用戶授權(quán)同意的情況下對用戶數(shù)據(jù)進(jìn)行訪問和利用。在涉及第三方數(shù)據(jù)的問題上，我國可要求數(shù)據(jù)發(fā)送方提供尋求第三方同意傳輸其數(shù)據(jù)的渠道或者對涉他數(shù)據(jù)進(jìn)行分離與匿名化處理等。①

3.制定數(shù)據(jù)存儲格式的互操作性標(biāo)準(zhǔn)

數(shù)據(jù)攜帶權(quán)要求的兼容性并非數(shù)字平臺間的完全兼容，而是數(shù)據(jù)存儲格式的兼容。我國可借鑒歐盟的做法，推動行業(yè)利益相關(guān)者與行業(yè)協(xié)會加強協(xié)作，協(xié)調(diào)各方關(guān)切，共同制定一套數(shù)據(jù)存儲格式的互操作性標(biāo)準(zhǔn)，便利數(shù)據(jù)傳輸。對于技術(shù)可行性要求，應(yīng)對其作廣義解釋，只要符合系統(tǒng)兼容的要求即可滿足技術(shù)可行性條件，切實降低數(shù)據(jù)控制者創(chuàng)建系統(tǒng)兼容性的成本。②鑒于初創(chuàng)企業(yè)和中小企業(yè)與大型平臺在用戶數(shù)量和技術(shù)等方面的劣勢，在實現(xiàn)數(shù)據(jù)攜帶權(quán)時可能受制于大型平臺的網(wǎng)絡(luò)效應(yīng)和規(guī)模效應(yīng)而步履維艱，甚至因使用的非結(jié)構(gòu)化或非通用格式而面臨合規(guī)風(fēng)險。因此，行業(yè)利益相關(guān)者與行業(yè)協(xié)會應(yīng)根據(jù)我國當(dāng)前的信息技術(shù)發(fā)展水平、行業(yè)慣例等，協(xié)調(diào)制定通用的數(shù)據(jù)存儲與傳輸標(biāo)準(zhǔn)來保障數(shù)據(jù)主體的選擇自由與數(shù)據(jù)接收方對數(shù)據(jù)處理的便利，對具有一定經(jīng)濟規(guī)模的數(shù)據(jù)平臺在一定年限內(nèi)達(dá)到數(shù)據(jù)傳輸技術(shù)條件的企業(yè)進(jìn)行獎勵或政策扶持，對短期內(nèi)無法達(dá)到合規(guī)標(biāo)準(zhǔn)的企業(yè)提供相應(yīng)的指導(dǎo)與幫助。為了保障數(shù)字網(wǎng)絡(luò)的開放共享，大型數(shù)字平臺應(yīng)當(dāng)無條件地向數(shù)據(jù)接收方開放API并建立安全可靠的數(shù)據(jù)跨平臺傳輸環(huán)境。需要注意的是，行業(yè)利益相關(guān)者與行業(yè)協(xié)會協(xié)調(diào)制定的互操作性標(biāo)準(zhǔn)為最低標(biāo)準(zhǔn)，平臺企業(yè)可報其批準(zhǔn)，在最低標(biāo)準(zhǔn)基礎(chǔ)之上根據(jù)自身的技術(shù)條件自行擬定更高標(biāo)準(zhǔn)的實施細(xì)則，以增強自身對用戶的吸引力。我國可先在電信、醫(yī)療和金融征信等數(shù)據(jù)安全保護(hù)能力較強的領(lǐng)域積極推行個人數(shù)據(jù)可攜，并設(shè)定具體的技術(shù)標(biāo)準(zhǔn)，既可以打破壟斷行業(yè)的數(shù)據(jù)鎖定，也避免了全面實施數(shù)據(jù)攜帶權(quán)帶來的巨大制度成本。

結(jié)論

數(shù)據(jù)攜帶權(quán)加強了數(shù)據(jù)主體對個人數(shù)據(jù)的控制，一定程度上減輕了數(shù)據(jù)壟斷，有助于數(shù)據(jù)的自由流通和共享。但是，歐盟對數(shù)據(jù)攜帶權(quán)的制度設(shè)計中存在數(shù)據(jù)攜帶權(quán)的適用范圍不明、隱私侵犯、知識產(chǎn)權(quán)保護(hù)不足以及互操作性弱等問題，對數(shù)據(jù)遷移過程中的數(shù)據(jù)權(quán)益保護(hù)和壟斷規(guī)制有限。大型數(shù)字平臺可能利用其對數(shù)據(jù)的壟斷優(yōu)勢對中小企業(yè)設(shè)置市場進(jìn)入壁壘，中小企業(yè)面臨著高昂的技術(shù)開發(fā)成本和法律合規(guī)成本，難以產(chǎn)生與大型平臺博弈的市場競爭力。構(gòu)建集體攜帶權(quán)制度、完善數(shù)據(jù)攜帶權(quán)的身份驗證和數(shù)據(jù)分層安全保護(hù)、加強知識產(chǎn)權(quán)保護(hù)以及建立DrIP來解決互操作性等舉措可以有效解決數(shù)據(jù)攜帶權(quán)面臨的挑戰(zhàn)。我國的個人信息立法應(yīng)在具體場景下適當(dāng)運用，通過數(shù)據(jù)攜帶權(quán)為用戶提供便利，加快數(shù)據(jù)的流轉(zhuǎn)和應(yīng)用，打破“數(shù)據(jù)孤島”現(xiàn)象，推動市場競爭與數(shù)據(jù)保護(hù)的良性互動。

（責(zé)任編輯：張莉）