一、问题的提出

数据已成为数据经济的重要生产要素，是当前人工智能应用的基础养料。数据经济的关键在于数据的流通与共享。1然而数据控制者主导的数据流通模式缺乏制度激励，法律规范在适用上也存在不确定性；更为重要的是，数据主体缺乏有效的方式参与数据经济红利的分享。数据可携权制度构成了当前数据流通体系的重要内容。遗憾的是，当前国内对此制度的理论研究仍稍显薄弱：一是从研究内容上看，主要聚焦于对相关权利制度的介绍，2或是在论及其他问题时附带介绍该制度；3二是对于是否要引入该权利制度问题，学界主要持否定或谨慎态度；4三是现有研究的视角与维度相对单一，主要停留在权利保护层面，难以客观地评价该权利制度。我国《民法典》将个人信息规范纳入其中，但未规定可携权内容，只有国家标准规范文件《个人信息安全规范》第8.6条创立了非常狭义的“数据可携权”。5在诸多的数据纠纷中，数据可携权越来越多地被当事人提起，直接影响法官对于案件的判断。6现行法律规范的滞后性已难以适应数据产业的发展，因而有必要围绕着“数据可携权本土化构建”这一议题，重点解决以下问题：数据可携权产生的历史背景与权利构造为何?引入数据可携权的理论障碍为何，其法律效果是什么?数据可携权在数字经济维度下有何特殊价值?我国应当如何构建数据可携权制度?只有全面分析上述理论问题，数据可携权的制度构建才具有正当性与可行性。当前正值个人信息专门立法推进之际，上述理论问题的梳理与澄清旨在为相关立法提供有益参考。

二、数据可携权的权利演进与法律构造

数据可携权制度源于欧盟GDPR立法，它从诞生之初就充满了争议。7为客观地评价该权利制度，有必要从其历史演进入手，深入分析数据可携权的权利构造与理论困境。

(一)数据可携权的源流考察

1.数据可携转的理念

基于“个人数据具有可移转性”这一理念，诸多数据流通与共享的商业应用也应运而生。早期“数据可携性项目 (The Data Portability Project)”成立于2007年，旨在研究数据移转的解决方案。该项目界定的数据可携权较为宽泛，指的是用户可以获取其数据，并将其移转至替代数据存储的竞争性平台。8学者认为该项目包含了四项内容：数据访问的自由、开放的格式、平台独立性、删除的自由。9近年来，各国数据移转平台也应运而生，如英国MiData平台旨在实现对个人数据的访问，10法国MesInfos/SelfData平台强化了数据主体对于数据的控制。11由此可见，数据可携转的产业实践开展已久，基于获取大量数据的需求，产业界已经主动寻求搭建各类数据移转平台以实现数据的流通。欧盟早期法律框架中也存有类似于数据可携权的规定，只是并未抽象上升为一项权利，尚处在萌芽阶段。如欧盟1995年《数据保护指令》(Data Protection Directive)提出的数据访问权，为数据可携权的产生奠定了基础。12根据2002年《通用服务指令》(Universal Service Directive)第30条包括“用户号码可携性(Number Portability)”的规定，13可以说，用户手机号码可携转是可携权在法律规范中最早的雏形。在此基础上，欧盟《框架指令》(Framework Directive)引言第31条进一步扩展了可携转数据的范围，即除了手机号码，其他数据也可以移转，并认为API系统有助于实现数据的移转。14

综上，数据可携转的理念在早期欧洲相关规范与产业实践中已有一定积淀，尤其是手机号码的移转实践与我国当前的携号转网非常类似。尽管该理念尚未抽象为一项具体权利，但随着欧盟GDPR立法的展开，这一产业诉求逐渐为立法所采纳。

2.数据可携权的雏形

欧盟委员会2012年《统一数据保护条例(建议案)》(以下简称“《建议案》”)首次提出数据可携权的概念。其第18条第1款将数据可携权界定为：“当个人数据以普遍使用的电子化和结构化的格式被处理时，数据主体有权从数据控制者处获得正在处理数据的副本，该副本应当采用普遍使用的电子化和结构化格式，并允许数据主体进一步的使用。”第2款进一步规定：“如数据主体提供的个人数据，而且数据处理是基于同意或者合同，其有权将这些个人数据以及自动化处理系统保存的任何信息，以常用的电子格式移转到其他主体，而不受被撤回个人数据的控制者的阻碍。”15《建议案》规定的数据可携权范围较为宽泛，包括了“获取数据副本权”以及“数据移转权”,但从权利范围来看二者存在很大的不同。前者包括数据控制者正在处理的个人数据，而后者的适用对象是数据主体基于同意或以合同为基础提供的数据，以及数据控制者利用自动化系统处理产生的数据。权利客体范围的模糊性与不确定性极大地削弱了该权利的正当性，受到学者的批判。16此外，《建议案》中的数据可携权规定较为粗糙，缺乏可操作性，对数据主体直接移转数据的具体条件与权利限制规定不充分。

3.数据可携权的价值

GDPR序言第68条将数据可携权定位为进一步增强个人数据的控制，17但欧盟第29条工作小组认为，数据可携权旨在强化数据主体对个人数据具有更多的控制，便于其移转、复制个人数据，并重新平衡数据主体与数据控制者之间的关系。该权利也会促进欧盟个人数据的流通并培育数据控制者之间的竞争。18数据可携权能以一种更为平衡和透明的方式最大程度实现大数据红利，有助于减少不公平或歧视性做法，并降低将不准确的数据用于决策的风险。这将有利于企业和消费者。19有学者认为，数据可携权展开的维度包括以下几点：一是建立个人数据移转的控制；二是促进个人数据的利用或再利用；三是促进数据流通；四是促进人格的自由发展与平等。20数据可携权制度的初衷并非单一地为了强化数据主体对个人数据的控制，还至少包括以下几个方面：(1)重塑数据主体与数据控制者之间的平衡关系。数字化技术下，因信息不对称、算法黑箱、算法歧视等问题，数据主体处于绝对的弱势地位。而数据可携权的创立可提高数据主体的地位，一定程度上可改变数据主体羸弱的地位。因此，强化主体对个人数据的控制并非是数据可携权的根本目的，其根本目的在于重塑数据主体与数据控制者的关系。(2)促进数据流通以实现数据产业的良性竞争。早先进入市场的企业由于掌握了大量个人数据，一定程度上会产生事实上的数据垄断地位，不利于后续企业竞争的展开，即所谓的“用户锁定”效应。因而，不同于传统竞争法对企业竞争法律关系的直接调整，通过创设主体数据可携权以间接地调整竞争关系不失为一项制度创新。(3)实现数据主体分享数据红利。当前数据主体难以从数据红利中分享相关的数据利益。数据可携权通过促进个人数据在数据控制者之间的流通，使消费者有机会从中享受更好的产品与服务，或直接参与数据利益的分配。数据可携权一改当前数据主体在数字时代羸弱的现状，其创新之处在于从数据主体的视角设计数据流通规则，由此影响个人数据控制的格局。21

(二)数据可携权的权利演进

经欧盟2012年《建议案》初步勾勒，数据可携权最终由2018年GDPR第20条所确立：“该权利允许数据主体以结构化的、通用化和机器可读的格式接收他们提供给数据控制者的个人数据，并且不受阻碍地将这些数据传输给另一个数据控制者”。22根据文义解释，欧盟数据可携权主要有两方面的内容：一是个人数据副本取回权，数据主体有权取回其提供的个人数据副本；二是数据移转权，即在一定条件下，数据主体可以要求数据控制者直接向其他数据控制者移转其个人数据的权利。有学者认为，数据可携权除了上述两项权利，还包括数据主体将取回的个人数据转移给其他数据控制者的权利，即数据可携权由三部分内容构成。23上述理解并无实质性区别，因为数据主体将个人数据副本取回后有处理的自由，当然也包含将该数据移转给新数据控制者的权利。总体而言，较之于《建议案》,GDPR规定的数据可携权之权利构造有一些变化，相关规范更为严谨与完整，尤其是新增了相关的平衡限制条款，具体可以参见表1。

表1 数据可携权的权利演进 导出到EXCEL

1.限缩权利客体。

《建议案》规定的权利客体为数据控制者系统“正在处理的数据副本”,GDPR将数据限定为数据主体“提供的个人数据”。由此可见，二者在法技术上存在很大不同，前者采用的是数据控制者维度下的数据范畴，而后者局限于数据主体提供的数据，其权利客体更为明确与具体。此外，GDPR并不包括“主体撤回的数据”,这增强了权利客体的稳定性与确定性。

2.明确权利行使方式。

数据可携权行使的一般要件是基于主体同意或者合同的数据处理。对于数据主体直接要求移转数据的权利，《建议案》并未明确规定应当如何行使。GDPR中对于此项权利的行使新增了一项条件，即应在技术可行情况下，数据主体才可以要求数据控制者直接向其他数据控制者移转其个人数据。换言之，对于主体直接行使移转数据权还附加了“技术可行(technically feasible)”的条件。

3.细化数据的格式标准。

《建议案》对数据的格式要求较为笼统，规定电子化、结构化和通用格式即可。GDPR新增“机器可读”的格式要求，要求数据必须是结构化、通用化、机器可读格式，处理数据必须通过自动化的方式。这样就排除了纸质化的数据。这一规定有助于实践中进一步统一数据格式，便于数据的移转。

4.新增权利限制条款。

GDPR第20条第3款指出数据可携权的行使并不优先于删除权，第4款进一步规定数据可携权不得影响其他权利与自由。上述限制条款为处理数据可携权与其他权益之间的冲突提供了解决路径。

总之，正式版中的数据可携权进一步完善了权利的内容与行使，尤其是新增的权利限制条款，增强了此项权利的正当性与合理性。

(三)数据可携权的权利困境

从体系上看，欧盟GDPR第20条、序言第68条初步勾勒了数据可携权制度，欧盟第29条工作小组关于数据可携权的指南进一步澄清了该权利的诸多问题。24但从权利构造与法律适用上看，仍存在以下问题：

1.界定“提供”的个人数据

数据可携权的权利客体为数据主体向数据控制者“提供”的个人数据，根据文义解释，一是数据可携权只适用于个人数据。这一规定排除了非个人数据，包括经过匿名化处理后的个人数据。其二，数据主体提供的数据。数据主体主动提供的个人数据显然包含在其中，问题在于，其是否包括与个人相关的观测数据、衍生数据与推测数据。推测数据或衍生数据一般指的是经过加工处理的数据，在原始数据之上进行了数据增值。25根据欧盟第29条工作小组的解释，“提供”的数据主要包括：数据主体主动提供的个人数据(如姓名、手机号码等),以及数据控制者观测的数据(如浏览记录、行为轨迹等),但不包括推测数据与衍生数据。26可以说，欧盟第29条工作组的指南扩张解释了GDPR中“提供”的内涵，观测数据也被纳入“提供”的范畴。由此，消费者在数据平台或接收数据服务中产生的相关数据，也被纳入此项权利的客体范围。该扩张解释也可能带来一定的问题，如用户在使用某社交软件产生的聊天记录，其是否可以依据数据可携权要求该社交软件将该聊天记录移转给其他社交软件?数据控制者面对这一请求，首先要判断该聊天记录是否是数据可携权的客体?显然，聊天记录这一数据并非由用户主动提供，而是使用社交软件产生的，可以被归入观测数据的范畴。但聊天记录不仅涉及请求移转的主体利益，而且可能会涉及其他参与聊天主体的利益，数据控制者如果直接进行移转是否会侵犯其他第三人的利益?换言之，根据现有可携权规范，数据控制者很难明确判断哪些数据可以移转，哪些数据不能移转。

2.行使权利的技术障碍

数据可携权的行使条件适用于两种情形：基于数据主体同意与基于合同。欧盟GDPR第6条规定了多种处理数据的合法性基础，27而数据可携权仅适用于上述两种情形。对于数据控制者之间的直接数据移转权，还需要满足“技术可行性”的要件。但何为“技术可行性”,当前法规并无明确说明。根据欧盟第29条工作小组的相关解释，技术可行性并不是数据的“结构化、通用化、机器可读格式”等内容，而是指数据控制者之间系统的互通性(interoperability)。28数据控制者是否有义务实现系统的互通性?系统互通性的要求对中小企业而言显然是一项巨大的成本。正是基于这一考虑，GDPR对此持否定观点。其序言明确指出，不应让数据控制者负有采用或维护技术兼容处理系统的义务，如果因为技术障碍无法直接传输数据，数据控制者应当向数据主体解释技术障碍情况。29换言之，保证数据可携权的技术可行性并非是数据控制者的一项强制性义务，如因技术障碍无法传输数据，控制者只需向数据主体告知、解释即可。据此，构建数据移转的互通性系统并非是一项强制性义务，而只是一项提倡性建议。这将极大地限制数据可携权的适用范围。受限于互通系统要求，数据主体便无法便捷地在数据控制者之间实现个人数据的直接移转，这似乎有架空数据可携权制度之嫌疑。

3.确定责任主体与范围

数据可携权制度旨在促进个人数据的流通与利用，但在数据流通过程中产生的数据安全问题或数据后续的不当利用问题应当由谁承担责任?欧盟第29条工作小组认为，应当由数据控制者承担责任，因其应采用安全措施来保证数据移转过程中的安全。30这一论断具有一定的合理性，数据控制者应当核验数据主体身份以及具体移转数据的正当性，对可能产生的数据泄露或安全问题也应当采取相应的措施。从这一角度看，有学者认为“脸书与剑桥分析”数据泄露事件的根源在于缺乏数据可携权，31因为在不同数据平台之间的数据移转是基于用户的授权，但实际上移转的数据已超越了个人数据的范畴(包括用户好友的数据)。

数据控制者对数据移转过程中的法律风险显然应当承担责任，问题是其承担责任的范围为何?有学者认为，应当根据数据移转模式进行区分。第一，若根据GDPR数据可携权的规定，数据主体可以请求将数据移转至任何新的数据控制者处，即“开放移转模式(Open Transfers)”中数据控制者的责任应当是有限的。32理由在于，在该模式下，数据控制者缺乏对数据接受者资格与相关条件的限制，完全是由数据主体指定数据移转的接受者。第二，若是有条件的移转模式(conditionedtransfers)或合作关系的移转模式(partnershiptransfers),数据接受者的资格与后续行为受到数据控制者的严格限制，在此情形下，数据移转产生的法律风险应当由数据控制者承担。33产业实践中，开放移转模式的数据流通较为少见，更多的是会对数据的移转设置一些隐私和数据保护的限制。34因而，在有条件或合作模式下的数据移转，控制者承担的责任与范围也应当受相关条款的限制。

综上，尽管存在上述理论问题，但应看到，数据可携权制度具有深厚的法律渊源与产业基础，其开创性地将数据流转的主动权交给数据主体，旨在重塑数据主体与数据控制者之间的关系。其不断完善的权利构造构成当前数据流通体系的重要补充。

三、数据可携权内在机理的维度扩展

对数据可携权制度价值的理解不应只停留在主体权利维度，而应当将其置于整个数据经济背景下，重点研究此项权利制度在数据竞争、消费者利益保护等方面产生的重要影响。

(一)数据可携权的主体权利维度

从主体权利维度看，数据可携权是否意味着数据主体可以完全控制支配个人数据?数据可携权是否构成了“个人信息权”的积极权能?如何从体系上理解数据可携权的权利性质，其与删除权、访问权有何关联?

1. 控制支配权之反思

在论证个人信息是否构成一项具体人格权或新型人格权时，有学者往往把数据可携权作为其重要论据。35亦有学者认为，数据可携权是赋予数据主体权利的基本要素，也是其对个人数据初始所有权(default ownership)的第一步。36但欧盟GDPR并未构建一项控制与支配的人格权，而是以人权或基本权利为基础构建的一套关于人格尊严保护与信息利用的规则。对此，上述理解显然有误。

首先，理解数据可携权不能脱离整个GDPR权利体系。数据可携权并非要实现数据主体对个人数据的绝对控制与支配。欧洲数据保护法赋予人们对政府和商业企业所掌握的数字信息有一定程度自主权，包括它的用途和传播方式。但是，从未授予个人在其信息方面的经济权利或完全自主权。37事实上，欧洲大陆的个人数据保护根植于基本权利或人权保护。38如欧盟1981年权威立法文件《个人数据自动化处理中的个人保护公约》将权利表述为“个人数据受保护权”。39其次，数据可携权不得优先于其他个人数据权利。数据可携权的限制不仅来源于技术条件，还来自权利之间的冲突。即数据可携权的行使不得对其他数据权利产生影响，包括数据访问权、数据删除权等。换言之，数据可携权的行使并不意味着主体放弃了数据访问权、数据删除权。例如，车险投保用户根据数据可携权的规定，要求保险公司A将其个人数据传输给保险公司B,一旦A公司将数据转移给B公司，该用户仍然可以要求访问A公司留存的个人数据或者在一定条件下要求其删除。采用这样宽泛的平衡条款的理由在于，由于数据可携权更多受技术发展的影响，并且对其他主体的影响仍然大多不确定，法官可以在个案中选择宽泛的平衡条款以应对将来技术的挑战。40最后，数据可携权不得损害他人权利与自由。数据可携权可能与隐私权、商业秘密存在冲突。如果数据主体要求移转的数据是使用数据服务过程中产生的数据，其还包含了其他用户的隐私(如照片、聊天记录等),若数据主体要求取回或移转上述数据，就有可能侵犯他人的隐私权。例如，某用户要求移转其照片到另外的网络服务平台，但该照片还包含了其他用户的隐私(如私密合影),数据控制者是否可以基于保护隐私权而拒绝用户行使数据可携权?GDPR要求数据可携权的行使不得损害他人利益，当前的数据移转具有侵害他人隐私权之嫌，因而数据控制者可以拒绝该用户的请求。用户数据是否构成数据控制者的商业秘密目前仍存在争议，但应避免数据控制者以此为理由架空数据可携权的行使。

综上，欧盟数据可携权一定程度上增强了数据主体对数据流通与利用的控制，但并不能据此认为其构成一项具有控制与支配的权利。41事实上，欧盟数据可携权的行使有诸多限制条件，存在着一套精细化的平衡机制。

2.积极权能说之证伪

有学者认为，数据可携权属于人格权范畴，是个人信息权的子权利。42欧盟的数据权利是个人信息权的权能，不仅包括了访问权、可携带权和收益权等积极权能，而且包括了更正权、限制或反对处理权以及删除权(被遗忘权)等消极权能。43简言之，数据可携权构成了“个人信息权”的积极权能或子权利，但这一观点值得商榷。首先，数据可携权不应作为个人信息权的一项积极权能。GDPR并未将数据可携权、数据访问权等作为主体的积极权能，而是在“个人数据保护权”体系下，通过明确数据控制者的安全管理义务从而实现对主体利益的保护。因而，把数据可携权理解为积极权能并不符合欧盟立法的实践与目的。其次，积极权能的认定与我国现行立法规定并不一致。我国《民法总则》第111条是否创设了“个人信息权”仍存有较大争议，主要存在着权利说与权益说，两种学说均有一定的道理。44《民法典》仍然坚持了个人信息受法律保护的表述，并未明文确立一项“个人信息权”。个人信息法益的规制路径似乎更具有说服力。45最后，积极权能的定位存在体系障碍。根据我国《民法典》的规定，个人信息法益属于人格权范畴。根据人格权的基础理论，其一般只具有消极权能，而不存在积极权能。涉及人格权财产利益问题时，可以采用人格权商品化或“公开权”制度得以实现。因而，将数据可携权作为个人信息权的积极权能与人格权的理论体系相悖。总之，不能简单将数据可携权理解为具有控制支配的权利，其也不是一项具体权利的积极权能，更不是“个人信息权”的一项子权利。46数据可携权制度有其特定的价值维度，数据主体利益的保护只是其中的一个价值层面，并设有严格的限制内容。从根本上看，数据可携权旨在增强主体对数据移转与再利用行为的控制，47而不是增强对个人数据本身的控制。

(二)数据可携权的竞争法维度

数据可携权不仅是一项数据保护权，更是一项经济权利，其旨在解决企业与消费者之间的经济地位不平衡问题。48数据可携权的影响远超出了数据保护层面，在欧盟法律框架下，它是促进数据市场竞争与创新的工具。49因而，数字经济下的竞争法视角，是理解数据可携权制度的另一个重要维度。然而，目前理论界对此却存在着巨大分歧。

1.肯定说

从竞争法维度看，数据可携权可以打破用户锁定效应，促进数据的流通与利用。用户锁定效应是指，先进入市场的主体积累了大量用户，较晚进入市场的一方很难再积累到用户，从而慢慢退出市场。数据可携权的确会对用户锁定和转换成本产生重大影响。例如，如果没有数据可携权，使用雅虎电子邮件服务的消费者可能不希望将其邮件转移到Gmail邮箱，因为存在丢失相关个人数据的风险。从这一层面看，数据可携权的创设并非是为了保护个人的人格利益，而更多是一种访问规则，会促进个人数据流通到其他供应商，因为数据的访问对于竞争的有效展开至关重要。50数据可携权是应对当前数据市场垄断，促进数据市场自由竞争的重要手段。当前数据寡头企业存在数据封锁、数据垄断的情形，数据恶性竞争纠纷不断。而数据可携权是减少数据封锁的重要方式，其在促进自由竞争上有着重要作用，可以解决数据价值链中的利益分配问题。

数据可携权也是传统竞争法体系的重要补充。传统竞争法对数据领域滥用市场支配地位的判断存在缺陷。具体而言，传统反垄断法的适用基于市场支配地位的认定，而当前的数据收集，甚至是企业兼并中的数据聚集并不会直接导致市场支配地位。51在数据领域传统反垄断法的适用空间非常有限，无法有效规制数据市场的垄断行为。52在此意义上，数据可携权构成了一种有利于竞争性监管的最佳形式，有学者甚至认为数据可携权不应只限于个人数据而应当扩展至非个人数据(工业数据),典型的如法国数据可携权规则并没有限于个人数据。53

2.否定说

数据可携权在解释上存在不确定性，适用范围不明的最大挑战来自竞争法。54竞争法视角下，数据可携权制度可能存在以下问题：其一，数据可携权打破了现有竞争法的逻辑规范体系。传统竞争法对滥用市场支配地位损害市场竞争的判断标准已经相对成熟，但数据可携权的引入，其适用范围并不限于占有市场支配地位的主体，而适用于所有数据控制者。这一适用范围的扩大，是否会对数据市场的竞争产生消极影响?有论者认为，数据可携权与反垄断法内在理念相冲突，影响非垄断企业的创新能力与积极性。55数据可携权的适用并未区分适用对象，并不具有市场支配地位的数据控制者也要遵守数据可携权规范，实现数据的移转。其二，数据可携权制度会增加中小企业的成本，有损数据市场竞争。根据数据可携权规范，为实现数据的移转，在统一数据传输格式的基础上，还需设置兼容的系统。这种“无障碍”的互通系统对于大型企业而言并非是一种负担，而是一种竞争优势，但对于中小企业特别是对于创新企业是一项巨大的前期成本。56即数据可携权设置的技术与系统标准，是数据互通与共享的准入门槛。有论者言道，由于数据可携权制度对兼容系统与传输格式的设置，可能会增加中小企业的负担。57欧盟至今并未形成统一的数据传输格式与兼容系统，应借鉴欧盟竞争法的经验，消除数据可携权对中小企业潜在的不利后果。58

3.评析：数据可携权与数据经济竞争

数据可携权制度促进抑或阻碍数据市场的竞争与创新?对此，当前学界存在着截然不同的看法。因数据可携权概念与权利行使的模糊性导致其对竞争法的影响存在不确定性，是当前分歧产生的重要原因。该问题的解决很大程度取决于，如何评价传统竞争法对数据产业竞争秩序的影响。如果认为当前的竞争法规范可以为数据流通提供较好的机制，则数据可携权将导致规范适用主体扩大，并突破传统竞争规范体系，那么可以认为，其破坏了当前运行良好的竞争机制；但如果认为传统竞争法体系对现有数据流通与垄断缺乏足够的规制，数据可携权就是一种重要的制度创新。因而，上述问题可以转化为，用传统竞争法规范当前数据市场，是否效果良好?

本文认为，传统竞争法规则在应对数据市场竞争存在失灵的情况。数据可携权可降低数据垄断的可能性，特别是在社交网络、员工离职、更换保险公司中的数据转移。例如，汽车保险甲公司基于消费者的驾驶数据确定保费，如果消费者认为其在另外一家乙保险公司的保费更低时，可以依据数据可携权规则要求甲公司将其驾驶数据转移给乙公司。通过数据可携权，一方面可以促进原数据控制者提升服务以留下当前用户，另一方面新的数据控制者可以通过接收数据寻求新的创新。

数据可携权更为重要的价值在于，在当前数据权属不明的情形下，通过数据可携权确立的数据流通规则，一定程度上实现特定数据的共享与使用。因而，数据可携权的制度构建必须结合竞争法价值维度，最大程度促进产业竞争，减少对中小企业的不利影响。值得注意的是，是否应当将数据可携权扩展至非个人数据范畴?即从竞争法维度重塑数据可携权制度，使其成为促进数据经济创新的重要规制工具?论者认为数据可携权是基于个人数据保护的维度，并且认为数据可携权是一种具有高度人身性的权利，这种权利不可以转移给第三人，也不可以继承。59但如果从促进数据经济创新的视角看，尤其是在数据成为生产要素的背景下，构建更为广义的数据可携权制度似乎也具有现实必要性。

(三)数据可携权消费者合同维度

大数据技术下，消费者以付出个人数据为代价享受着“免费”的数据产品或服务，但难以参与数据红利的分享。数据可携权制度为消费者参与数据经济，分享数据红利提供了新路径。早期有学者认为数据可携权会损害消费者利益，其主要理由在于系统的互通性与数据格式对于企业而言是一项巨大的成本，最终这项成本会转嫁给消费者。60但随着研究的深入，特别是从数据市场竞争视角看，数据可携权与竞争法目标是一致的，消费者可以从数据可携权中实质性受益，市场竞争也因此得以增强。61在当前法律规范并没有明确数据权性质的前提下，数据的流通与使用主要依靠数据合同。

数据合同的任意性规范可以改变消费者在数字时代的弱势地位，消费者数据合同是数据可携权的重要补充。具体而言，欧盟数据可携权制度存在诸多问题，尤其是数据主体在行使权利过程中，仍然面临可移转的个人数据范围有限、技术可行性限制等问题。为了避免给企业造成过高的成本，GDPR对数据可携权的限制很大，特别是对系统互通性的要求并非是强制的，这在一定程度上削弱了消费者主导下的数据移转。因而，从保护消费者利益视角看，欧盟数据可携权的法律构造并不完美，而数据合同则构成数据可携权制度的重要补充。另一方面，数据可携权构建的数据流通规则也可为数据合同成文法规范提供参考。如欧盟2019年《提供数字内容合同指令》(以下简称“《指令》”)第16条第4款规定，消费者数据利益的实现并不局限于数据可携权，而是将其进行了一定程度的扩展；消费者离开数字化服务时可以选择免费取回(retrieve)数据。62该条款与GDPR第20条规定的可携权非常相似，但是其适用范围更宽泛。具体而言，请求取回的数据不限于个人数据，也包括消费者提供的任何其他内容以及消费者通过使用数字内容产生或生成的数据。例如，消费者在使用数字服务过程中产生相关的信用评级数据也被纳入可取回的数据范畴。《指令》一定程度上解决了消费者在数据经济中的弱势地位问题，63在当前数据产权并不清晰的情形下，构建了新的数据流通方式。欧盟GDPR对数据可携权的限制更严格，在一定程度上给予了企业是否配置互通系统的自由，但增加了主体行使权利的难度。欧盟《指令》一定程度上扩大了可携权的适用范围，赋予消费者更高的权利地位。由此可见，消费者合同是数据可携权制度的重要补充，而消费者数据利益的实现亦是数据可携权制度设计的重要目标。

综上所述，数据可携权能增强主体对数据移转的控制，在数据经济下其更为重要的价值在于促进数据竞争、保护消费者数据利益。相关的制度构建不应脱离上述价值维度。

四、数据可携权本土化构建的实现路径

数字经济的发展离不开数据的流通，数据可携权的价值也逐渐为学界所认识，各国相关立法也逐步将其纳入其中。基于数据可携权复杂的权利构造与多元的规范价值，我国《民法典》人格权编并未规定数据可携权，个人信息专门立法对此进行规定可能更为妥当。

(一)我国现行规范中的数据可携权

我国现行立法并没有直接规定数据可携权，但在2017年国家标准《个人信息安全规范》第7.9条首次提出“数据可携权”。类似于欧盟数据可携权，国家标准中的数据可携权也包含“个人信息副本获取权”与“数据移转权”,但其适用的个人信息限定为几类：个人基本资料、个人身份信息、个人健康生理信息、个人教育工作信息。新修订的2020年版《个人信息安全规范》第8.6条对此进行了修正，即控制者对个人信息副本取回权从“应”提供修改为“宜”提供，传输第三方限定为“个人主体指定的”第三方。由此可知，新修订的“数据可携权”进一步减轻了信息控制者的义务。

我国现行国家标准中的数据可携权规范非常粗糙，也并未明确数据可携权行使的条件与法律基础，在适用范围上也只限定在几类个人信息，缺乏操作性。目前我国互联网公司的隐私政策中也难以窥见个人信息可携权的相关内容。其根源在于理论研究的局限性与法律规范的缺失。从比较法来看，国外对数据可携权的法律规定呈现出完善的趋势，具体可参见表2:

表2 世界主要国家数据可携权规范 导出到EXCEL

由此可知，世界主要国家已经或者正在构建本土化的数据可携权规范。而且，越来越多的国家意识到，数据可携权制度不仅关系个人利益，更是发展数字经济，实现数据要素市场化的重要手段。基于此，我国应尽快构建本土化的数据可携权制度。

(二)我国构建数据可携权的现实路径

我国《个人信息保护法(草案)》尚未将可携权制度纳入其中，这是立法的遗憾。基于数据可携权的多重价值，我国宜在专门立法中制定相关的可携权规范。从制度定位上，应充分借鉴国外相关立法与理论，从个人信息保护、数据竞争、消费者利益保护等维度体系化构建相关规定，并创新权利实现的外部机制。

1.明晰数据可携权的权利构造。

比较法上，个人数据副本取回权与一定条件下数据直接移转权构成数据可携权的主要内容。对于数据副本取回权各国立法争议均不大，当前争议主要集中在如何界定数据移转权中的“技术可行性”条件。技术可行性不应当作严格解释，只要在广义上符合系统兼容的要求即可视为技术可行。这一解释路径可以最大限度降低数据控制者构建兼容系统的成本，从而增强数据移转权的行使可行性。数据移转权是可携权制度的核心，只有在数据控制者之间实现数据的直接移转，才可最大限度促进数据流通，最终实现消费者的数据利益。

2.厘清数据可携权的适用范围。

数据可携权制度应当平衡数据主体与数据控制者之间的利益，过于宽泛的权利范围对于数据控制者而言是一项很高的成本，也有碍权利的具体行使；但过于狭窄的权利范围，难以有效实现消费者的数据利益，也不利于数据控制者之间数据的移转。因而，如何构建强度范围适中的可携权制度是全世界面临的共同难题。有学者认为，应当根据数据控制者的不同类型，设置强度不一的数据可携权规范。64本文认为，数据可携权的范围不应限于国家标准中的几类个人信息，欧盟数据可携权限定的“主体提供的数据”虽有一定合理性，但其适用范围过于狭窄。我国可参考欧盟《提供数字合同指令》、美国加州《消费者隐私法》等立法，较为宽泛地界定数据可携权客体。消费者提供的个人数据、使用数字内容产生或生成的数据，均可成为可携权的客体。

3.增加数据可携权限制条款。

数据可携权与其他权利的冲突是制度构建必须解决的重要问题。数据可携权的行使可能会与隐私权、删除权、商业秘密等权利发生冲突，如果涉及公共利益，数据可携权也无法适用。欧盟GDPR对此有明确规定，印度2019年《个人数据保护法》第19条也对此做了进一步细化。65我国现有“数据可携权”规范最大的问题在于权利限制条款的缺失。我国权利限制条款应当包括以下内容：一是数据可携权不得优先于隐私权、删除权；二是数据可携权不得影响其他权利与自由的实现。

4.创新权利实现的外部机制。

数据可携权的具体行使对于控制者而言是一项成本。在法律关系中，数据主体处于弱势地位，如何增强此项制度的可行性，国外产业实践已有有益的探索。如英国成立个人数据移转产业工作组(datamobilitycoordinatingentity),主要负责以下事项：第一，设计协作主体；第二，修改与改进可再使用的条款；第三，启用知识共享的方式；第四，使用定向创新框架来探索解决方案，通报企业信息，确定政府干预的要求。66如，将数据可携权作为一项服务理念，增强数据可携权服务(data portability as a service)。数据主体可以授权DPaaS提供商以其名义行使数据可携权，也可要求数据控制者将数据直接发送给第三方或 DPaaS 提供商本身。67我国可以参照上述实践，创新数据可携权行使的方式。

结语

数据可携权从其诞生之初就被赋予促进数字经济繁荣的使命。欧盟数据可携权制度对世界各国立法产生了深远影响，我国是否应当移植此项权利制度?对该问题的回答应当谨慎。本文从可携权的权利演进与法律构造入手，围绕着理论界的主要争议，力求客观地重塑该权利制度的价值，为其本土化构建提供正当性依据。

（本文为文章摘录版，如需引用，参阅原文）

文章来源：法律科学(西北政法大学学报). 2021,39(04)