比例原則視角下數(shù)據(jù)可攜權(quán)之適用路徑

謝蔚 李文靜

[摘 要] ?《個人信息保護法》明確規(guī)定了數(shù)據(jù)可攜權(quán)，但具體實施規(guī)范仍待細(xì)化。我國缺乏法律指引下的數(shù)據(jù)可攜權(quán)實操經(jīng)驗，以比例原則作為分析工具對歐盟數(shù)據(jù)可攜權(quán)確立過程和實施進路研析，可以用一種規(guī)范結(jié)構(gòu)的方式映射我國數(shù)據(jù)可攜權(quán)的適用路徑。我國下一階段可以將數(shù)據(jù)可攜權(quán)實施規(guī)范確定為技術(shù)條件標(biāo)準(zhǔn)的政策性實現(xiàn)策略與競爭法上的補充實施方案相結(jié)合的框架，并在具體實施過程中進行動態(tài)評估調(diào)整。

[關(guān)鍵詞] ?數(shù)據(jù)可攜權(quán);個人信息保護法;比例原則

[中圖分類號]? G203??? [文獻標(biāo)識碼] A?? [文章編號] 1008—1763（2022）01—0140—07

Research on the Application of Data Portability Rights

from the Perspective of the Principle of Proportionality

XIE Wei，LI Wen-jing

（School of law， Xiangtan University， Xiangtan 411105， China）

Abstract： The "Personal Information Protection Law" clearly stipulates the data portability of personal information， but its specific implementation specifications still need to be refined. We lack the practical experience of data portability under the legal guidance. The principle of proportionality is used as an analysis tool to analyze the establishment process and implementation of EU data portability. It can map the application of data portability in our? country in a standardized structure. In the next stage， we can determine the framework for the implementation of the rights? to data portability as a model that combines the policy implementation strategy of the technical condition standard and the supplementary implementation plan in the competition law， and conducts a dynamic evaluation and adjustment during the specific implementation process.

Key words： ?rights? to data portability; ?Personal Information Protection Law; ?principle of proportionality

2016年4月27日，歐盟議會與理事會通過了《通用數(shù)據(jù)保護條例》（以下簡稱GDPR）。2018年5月25日，GDPR正式實施，直接適用于歐盟各成員國。為增強數(shù)據(jù)主體對個人數(shù)據(jù)的控制，GDPR明確了數(shù)據(jù)主體享有隱私權(quán)、糾正權(quán)、刪除權(quán)、數(shù)據(jù)可攜權(quán)等數(shù)據(jù)權(quán)利。? [1] 關(guān)于數(shù)據(jù)可攜權(quán)的具體內(nèi)容，第20條規(guī)定了數(shù)據(jù)主體有權(quán)以結(jié)構(gòu)化、通用、機器可讀的方式接收其提供給數(shù)據(jù)控制者的與其相關(guān)的個人數(shù)據(jù)的接收權(quán);在技術(shù)可行的情況下數(shù)據(jù)主體有權(quán)無障礙地將其個人數(shù)據(jù)從某一數(shù)據(jù)控制者傳輸給另一個數(shù)據(jù)控制者的數(shù)據(jù)遷移權(quán)。

出于對域外數(shù)據(jù)可攜權(quán)的關(guān)注，我國學(xué)界在2018年后亦涌現(xiàn)一大批以數(shù)據(jù)可攜權(quán)為主題的研究成果。對這些文獻進行梳理后大體可以將其分為兩類：一類是關(guān)于借鑒與引入數(shù)據(jù)可攜權(quán)的研究;另一類是就數(shù)據(jù)可攜權(quán)本身的屬性、內(nèi)容、問題等方面的研究。從我國2017年以來的數(shù)據(jù)發(fā)展與規(guī)范實踐來看，《個人信息保護法》正式出臺之前已有數(shù)據(jù)可攜權(quán)的內(nèi)容。例如：2017年由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會頒布的《信息安全技術(shù)個人信息安全規(guī)范》的7.9規(guī)定，根據(jù)個人信息主體的請求，個人信息控制者應(yīng)為個人信息主體提供以下類型個人信息（個人基本信息、個人身份信息、個人健康生理信息、個人教育工作信息）副本的方法，或在技術(shù)可行的前提下直接將個人信息的副本傳輸給第三方。2021年8月20日，《個人信息保護法》正式出臺，該法第45條第3款對個人信息的可攜權(quán)作出了明確規(guī)定。在這一背景下，厘清我國引入數(shù)據(jù)可攜權(quán)過程中的爭議焦點，在比較歐盟數(shù)據(jù)可攜權(quán)立法的基礎(chǔ)上構(gòu)建我國數(shù)據(jù)可攜權(quán)的具體適用路徑便是一個不可回避的重大議題。

一 關(guān)于我國是否引入數(shù)據(jù)

可攜權(quán)制度的爭論

《個人信息保護法》正式出臺前，關(guān)于是否引入數(shù)據(jù)可攜權(quán)，存在幾種不同觀點。一種對引入數(shù)據(jù)可攜權(quán)持肯定態(tài)度，認(rèn)為通過立法確認(rèn)個人有自由獲取和轉(zhuǎn)移其個人數(shù)據(jù)的權(quán)利，可以強化自然人對其數(shù)據(jù)的支配性，有助于塑造更為公平透明的數(shù)據(jù)處理市場，防止大型網(wǎng)絡(luò)企業(yè)壟斷個人數(shù)據(jù)領(lǐng)域。? [2] 但對引入模式存在不同看法：一種方案認(rèn)為可攜（帶）權(quán)是《民法總則》中規(guī)定的個人信息權(quán)的一種具體積極權(quán)能，可在制定民法典時細(xì)化完善包含可攜權(quán)在內(nèi)的各項個人信息權(quán)權(quán)能;另一種方案則認(rèn)為應(yīng)當(dāng)在未來的《個人信息保護法》中予以規(guī)定? [3] ，以形成更好的數(shù)據(jù)專門立法體系。另外一種觀點對可攜權(quán)（可轉(zhuǎn)移權(quán)）的引入持保留態(tài)度。持該種觀點的學(xué)者認(rèn)為，雖然該權(quán)利增強了個人對其信息的控制權(quán)，但也給信息控制者增加了壓力和成本，必然會增強各個信息控制者之間的市場競爭程度。? [4]

規(guī)定個人信息可攜權(quán)是很有必要的。首先，從規(guī)范層面來看，我國在2012年黨的十八大之后，便開始部署實施大數(shù)據(jù)國家戰(zhàn)略，致力于推動政府、行業(yè)、企業(yè)之間數(shù)據(jù)資源的整合和開放共享。一方面，國家機關(guān)紛紛制定了大數(shù)據(jù)的發(fā)展規(guī)劃，如2015年國務(wù)院發(fā)布了《促進大數(shù)據(jù)發(fā)展行動綱要》，2016年中共中央辦公廳與國務(wù)院辦公廳聯(lián)合發(fā)布了《國家信息化戰(zhàn)略發(fā)展綱要》，2017年最高人民檢察院印發(fā)了《檢察大數(shù)據(jù)行動指南（2017-2020年）》，2018年進一步印發(fā)了《全國檢察機關(guān)智慧檢務(wù)行動指南（2018-2020年）》等;另一方面，數(shù)據(jù)立法的進程明顯加快，逐步形成了包括《網(wǎng)絡(luò)安全法》《個人信息安全規(guī)范》《電信與互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《網(wǎng)絡(luò)交易管理辦法》在內(nèi)的數(shù)據(jù)立法體系。在實踐層面，我國的數(shù)字經(jīng)濟已然在國民經(jīng)濟中占據(jù)重要地位。? [5] 近年來，數(shù)字經(jīng)濟的規(guī)模和發(fā)展速度均呈現(xiàn)增長態(tài)勢。中國信息通信研究院《G20國家數(shù)字經(jīng)濟發(fā)展研究報告（2017）》顯示，2016年，我國數(shù)字經(jīng)濟規(guī)模以3.4萬億美元的總量位居世界第二，全球市值前十的公司中有七家科技企業(yè)，我國的阿里巴巴和騰訊位列其中;到2018年，營業(yè)額排名全球前二十的互聯(lián)網(wǎng)企業(yè)中，我國便占據(jù)了八個席位;根據(jù)2019年中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第44次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》，我國網(wǎng)民規(guī)模已達9.04億。2019年國家網(wǎng)信辦發(fā)布的《數(shù)字中國建設(shè)發(fā)展報告（2018）》顯示，2018年我國數(shù)字經(jīng)濟規(guī)模達到31.3萬億元，占GDP比重達到34.8%。

我們當(dāng)下正處于數(shù)字經(jīng)濟時代。數(shù)據(jù)的數(shù)量龐大、范圍廣泛、價值日增，如果不加快數(shù)據(jù)在網(wǎng)絡(luò)中流動的速率，將影響經(jīng)濟與社會發(fā)展的效率。在我國數(shù)據(jù)發(fā)展規(guī)劃與數(shù)據(jù)立法著力推動數(shù)據(jù)流轉(zhuǎn)與保障數(shù)據(jù)安全的前提下，為進一步活躍我國的數(shù)字經(jīng)濟生態(tài)，實施數(shù)據(jù)可攜權(quán)以加快數(shù)據(jù)流動，符合目的正當(dāng)性的要求。

全國人大常委會發(fā)布的公開征求意見的《個人信息保護法（草案）》一審稿、二審稿，都只在第四十五條規(guī)定了個人對其數(shù)據(jù)的查閱復(fù)制權(quán)，回避了學(xué)界呼聲較高的數(shù)據(jù)可攜權(quán)入法。之后，全國人民代表大會憲法和法律委員會經(jīng)過反復(fù)研究，建議增加個人信息數(shù)據(jù)可攜權(quán)的相關(guān)規(guī)定? [6] ，最終，2021年8月20日的第十三屆全國人大常委會第三十次會議通過《個人信息保護法》，其第45條第3款規(guī)定：“個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑?！敝链?，個人信息數(shù)據(jù)可攜權(quán)正式被法律所確認(rèn)。

數(shù)據(jù)可攜權(quán)雖然被確立，但是法律條文只籠統(tǒng)地規(guī)定了權(quán)利行使的要件和權(quán)利行使對象（個人信息處理者）的義務(wù)，其具體實施規(guī)范亟待細(xì)化，而我國關(guān)于法律指引下的數(shù)據(jù)可攜權(quán)的實踐較為缺乏。對此，我們可以參考?xì)W盟數(shù)據(jù)可攜權(quán)的實施過程，總結(jié)其經(jīng)驗和不足，為我國的數(shù)據(jù)可攜權(quán)適用提供有益借鑒。

二 歐盟數(shù)據(jù)可攜權(quán)確立

與實施過程中的利益權(quán)衡

（一）歐盟數(shù)據(jù)可攜權(quán)確立過程中的利益沖突

一個不爭的事實是，歐盟的數(shù)據(jù)產(chǎn)業(yè)發(fā)展明顯滯后于美國，正是在這樣的背景下，歐盟加速了數(shù)據(jù)立法的進程，從第一代1981年的《關(guān)于個人數(shù)據(jù)自動化處理之個人保護公約》到第二代1995年的《數(shù)據(jù)保護指令》，再到第三代的GDPR，歐盟的數(shù)據(jù)立法內(nèi)容不斷細(xì)化，效力逐步加強。一方面，歐盟意識到在現(xiàn)實的數(shù)字世界中，數(shù)據(jù)控制者處于明顯的強勢地位，數(shù)據(jù)主體則處于現(xiàn)實的弱勢地位。? [7] 為了加強對數(shù)據(jù)主體的法律保護，確立數(shù)據(jù)可攜權(quán)具有打破數(shù)據(jù)壟斷，增強數(shù)據(jù)主體對個人信息控制的效果。另一方面，歐盟又擔(dān)憂確立數(shù)據(jù)可攜權(quán)這一新型權(quán)利可能會損害有價值的專有信息或知識產(chǎn)權(quán)，造成隱私和數(shù)據(jù)安全風(fēng)險、提高企業(yè)合規(guī)成本等負(fù)面 影響。?? [8]

這種對數(shù)據(jù)可攜權(quán)的矛盾態(tài)度可從GDPR的制定過程中得以反映，因為在GDPR 的“建議稿”中，歐盟立法者積極主張數(shù)據(jù)可攜權(quán)，但“一讀稿”卻刪除了有關(guān)數(shù)據(jù)可攜權(quán)的條款，最終GDPR中的數(shù)據(jù)可攜權(quán)內(nèi)容幾經(jīng)波折才得以保留，但又增加了許多的限制條件和例外規(guī)定。? [9] 即便在GDPR確立數(shù)據(jù)可攜權(quán)之后，世界范圍內(nèi)確立數(shù)據(jù)可攜權(quán)的立法例仍屬少數(shù)，如美國聯(lián)邦層面沒有關(guān)于數(shù)據(jù)可攜權(quán)的立法，其對數(shù)據(jù)可攜權(quán)持較為審慎的態(tài)度，更傾向于有限制地賦予企業(yè)數(shù)據(jù)訪問和數(shù)據(jù)可攜的權(quán)利，并主要依靠相關(guān)企業(yè)的行業(yè)自律和自主探索。? [10] 從歐盟企業(yè)的接受度來看，數(shù)據(jù)可攜權(quán)的實際運行也并不樂觀。據(jù)湯森路透的調(diào)查數(shù)據(jù)顯示，79%的企業(yè)要么沒有滿足GDPR的監(jiān)管要求，要么在跟進規(guī)則方面遇到困難;91%的企業(yè)表示知道GDPR，但其中1/4表示自己沒有熟悉了解其規(guī)定;這些企業(yè)在數(shù)據(jù)保護方面的年平均支出為130萬美元，預(yù)計合規(guī)成本還將不斷提高。從GDPR確立數(shù)據(jù)可攜權(quán)的過程來看，立法者存在明顯的猶豫與遲疑，企業(yè)持有一定觀望與排斥，GDPR進行的數(shù)據(jù)權(quán)利分配產(chǎn)生的利益沖突是否能夠得以緩和有待進一步的實踐檢驗。

（二）歐盟數(shù)據(jù)可攜權(quán)制度內(nèi)容的利益權(quán)衡

在現(xiàn)有的GDPR框架內(nèi)，立法者對數(shù)據(jù)可攜權(quán)的制度設(shè)計始終注意平衡數(shù)據(jù)運營者與數(shù)據(jù)主體之間、數(shù)據(jù)運營者之間、數(shù)據(jù)主體與第三人（或公共利益）之間的利益關(guān)系，? [1] 以避免數(shù)據(jù)可攜權(quán)的確立造成權(quán)利失衡的局面，不致對企業(yè)競爭與創(chuàng)新、數(shù)據(jù)安全等帶來負(fù)面影響。具體而言：

1.數(shù)據(jù)運營者與數(shù)據(jù)主體之間的利益權(quán)衡

數(shù)據(jù)運營者包括數(shù)據(jù)控制者與數(shù)據(jù)處理者。在數(shù)字世界當(dāng)中，數(shù)據(jù)主體是通過使用數(shù)據(jù)運營者的產(chǎn)品與服務(wù)而進行數(shù)據(jù)活動。數(shù)據(jù)作為一種關(guān)鍵性競爭資源，其權(quán)屬的分配實質(zhì)上是一種利益的分配。從開放視角來看，數(shù)據(jù)的權(quán)屬分配存有四種可能的模式，即數(shù)據(jù)主體所有、數(shù)據(jù)運營者所有、數(shù)據(jù)主體與數(shù)據(jù)運營者共有，以及數(shù)據(jù)公眾所有。? [2] 確立數(shù)據(jù)可攜權(quán)的內(nèi)在邏輯是確立數(shù)據(jù)利益歸于數(shù)據(jù)主體所有。然而，若制度上僅作如此安排，則將導(dǎo)致數(shù)據(jù)運營者怠于進行數(shù)據(jù)開發(fā)，不利于數(shù)字經(jīng)濟的發(fā)展。因此，需要通過限定數(shù)據(jù)可攜權(quán)的數(shù)據(jù)范圍來實現(xiàn)彼此間的利益平衡，歐盟或許正是基于此種考量最終將數(shù)據(jù)可攜權(quán)的標(biāo)的確定為與數(shù)據(jù)主體有關(guān)的個人數(shù)據(jù)。? [3]

具體而言，數(shù)據(jù)主體被限定為自然人而不包括企業(yè)等其他主體。與數(shù)據(jù)主體有關(guān)的個人數(shù)據(jù)亦是在對數(shù)據(jù)進行分類的前提下作出的范圍限定。因為在數(shù)據(jù)使用的整個價值鏈中，存有三大類數(shù)據(jù)：第一類是數(shù)據(jù)主體主動提供的個人數(shù)據(jù);第二類是對數(shù)據(jù)主體使用服務(wù)或產(chǎn)品時留下的行為痕跡進行分析所得的觀測數(shù)據(jù);第三類是數(shù)據(jù)控制者基于算法技術(shù)對第一類和第二類數(shù)據(jù)進行分析所得的衍生數(shù)據(jù)。? [4] 從數(shù)據(jù)平臺對數(shù)據(jù)本身的投入來看，從第一類到第三類其投入依次遞增，而從數(shù)據(jù)的經(jīng)濟價值來看，亦呈現(xiàn)依次遞增的效果。? [5] 為了不影響數(shù)據(jù)平臺的積極性，GDPR僅明確第一類數(shù)據(jù)屬于數(shù)據(jù)可攜權(quán)的標(biāo)的。對于更能反映數(shù)據(jù)主體心理狀態(tài)、購物偏好、生活習(xí)慣等信息的觀測數(shù)據(jù)和衍生數(shù)據(jù)是否可以納入數(shù)據(jù)可攜權(quán)的范圍，GDPR似乎有意保持著模糊態(tài)度。此外，數(shù)據(jù)平臺還可在證明其有關(guān)數(shù)據(jù)處理的強制性法律依據(jù)優(yōu)先于數(shù)據(jù)主體的權(quán)益，或者為了設(shè)立、行使或捍衛(wèi)其合法權(quán)利的條件下對數(shù)據(jù)可攜權(quán)進行限制。

2.數(shù)據(jù)運營者之間的利益權(quán)衡

在以數(shù)據(jù)為核心競爭要素的互聯(lián)網(wǎng)行業(yè)，搜索引擎、電商平臺、社交網(wǎng)絡(luò)等數(shù)據(jù)平臺已然存在高度集中的壟斷現(xiàn)象。一些大型數(shù)據(jù)平臺利用其數(shù)據(jù)與資金優(yōu)勢占領(lǐng)高地，通過市場支配地位進行數(shù)據(jù)控制，如果不能采取有效手段解決數(shù)據(jù)準(zhǔn)入障礙，將阻礙中小企業(yè)參與競爭和技術(shù)創(chuàng)新。GDPR確立數(shù)據(jù)可攜權(quán)，亦是為了讓數(shù)據(jù)主體擁有更充分的選擇權(quán)，避免數(shù)據(jù)平臺企業(yè)進行用戶鎖定，中小企業(yè)也因此能獲得公平競爭的機會。

然而，在確立數(shù)據(jù)可攜權(quán)的過程中，歐盟立法者也意識到了這種假定未必成立。因為數(shù)據(jù)可攜權(quán)的數(shù)據(jù)遷移權(quán)部分需要數(shù)據(jù)以結(jié)構(gòu)化的、通用的、機器可讀的方式存儲與傳輸。這樣一種以互操作性（Interoperability）為前提的制度設(shè)定，對于不同的數(shù)據(jù)平臺而言，其合規(guī)成本具有異質(zhì)性。因為數(shù)據(jù)遷移的實現(xiàn)需要數(shù)據(jù)平臺開發(fā)多個應(yīng)用程序接口（API）以滿足不同的數(shù)據(jù)傳輸格式之間互操作性的要求，更何況數(shù)據(jù)傳輸格式隨著科技發(fā)展不斷增多。這對于谷歌、臉書、亞馬遜、騰訊等已經(jīng)占據(jù)市場且頗具規(guī)模的數(shù)據(jù)平臺企業(yè)是競爭優(yōu)勢，但對于初創(chuàng)企業(yè)和正值發(fā)展瓶頸期的中小企業(yè)則是巨大的生存壓力。? [16] 如有研究者提到，GDPR改革將使得歐盟中小企業(yè)的年度IT成本增加約3000歐元-7200歐元，具體取決于中小企業(yè)的行業(yè)領(lǐng)域，該數(shù)據(jù)相當(dāng)于企業(yè)年度平均IT預(yù)算的16%-40%。? [8] 正是為了避免給中小企業(yè)造成過重負(fù)擔(dān)，GDPR在制度內(nèi)容上并未強制要求企業(yè)建立互操作性的儲存與傳輸格式，而是以鼓勵的方式實施，比如在要求企業(yè)建立數(shù)據(jù)保護官的問題上僅限定為雇員在250人以上的大型 企業(yè)。

3.數(shù)據(jù)主體與第三人及公共利益之間的利益 權(quán)衡

GDPR確立的數(shù)據(jù)可攜權(quán)注意到在數(shù)據(jù)流轉(zhuǎn)與數(shù)據(jù)集合的情景下容易發(fā)生權(quán)利沖突，特別是當(dāng)其與知識產(chǎn)權(quán)（商業(yè)秘密）、第三人隱私權(quán)及公共利益發(fā)生沖突時，該權(quán)利的行使要受到相應(yīng)的限制。具體而言：首先，在GDPR的《指南》中，將數(shù)據(jù)信息區(qū)分為含有知識產(chǎn)權(quán)與不含有知識產(chǎn)權(quán)兩類。如果數(shù)據(jù)主體請求轉(zhuǎn)移的個人數(shù)據(jù)含有知識產(chǎn)權(quán)，將會侵害到享有上述權(quán)利的主體權(quán)益，因此數(shù)據(jù)平臺應(yīng)當(dāng)在分割涉及知識產(chǎn)權(quán)的信息后再進行數(shù)據(jù)傳輸? [17] 。其次，為保護第三人隱私權(quán)，GDPR明確數(shù)據(jù)可攜權(quán)不能對他人的權(quán)利或自由產(chǎn)生負(fù)面影響。由于在互聯(lián)網(wǎng)環(huán)境中將不同主體的個人數(shù)據(jù)完全分割是極為困難的，尤其在涉及交易平臺或社交平臺的場景下，這種數(shù)據(jù)粘合的現(xiàn)象更為普遍。在數(shù)據(jù)主體請求轉(zhuǎn)移其個人數(shù)據(jù)時，如涉及第三人的個人隱私，第三方無法自動知悉其個人隱私可能因數(shù)據(jù)遷移而受到影響。為此，GDPR要求數(shù)據(jù)平臺必須在第三人知情同意的情況下才能進行數(shù)據(jù)傳輸，且接收數(shù)據(jù)的數(shù)據(jù)平臺須承擔(dān)對該第三人的個人數(shù)據(jù)的保護義務(wù)。最后，GDPR允許基于國家安全，公共安全，刑事犯罪的預(yù)防、調(diào)查或刑事處罰的執(zhí)行，司法獨立與司法程序保護，違反職業(yè)道德規(guī)范的預(yù)防、調(diào)查與起訴，科學(xué)歷史研究或統(tǒng)計目的等公共利益的需要，對數(shù)據(jù)可攜權(quán)進行必要限制。

4.數(shù)據(jù)可攜權(quán)與數(shù)據(jù)安全之間的權(quán)衡

數(shù)據(jù)可攜權(quán)在加速數(shù)據(jù)流動效率的同時也增加了數(shù)據(jù)安全的風(fēng)險。為了滿足互操作性的存儲與傳輸需要，數(shù)據(jù)運營者將開發(fā)更多的應(yīng)用程序接口，其結(jié)果是導(dǎo)致系統(tǒng)和服務(wù)更加具有開放性，這將為黑客侵犯提供更多的機會，從而產(chǎn)生更多的數(shù)據(jù)非法泄露、非法提供與非法買賣的違法行為。從數(shù)據(jù)可攜權(quán)制度內(nèi)容來看，對數(shù)據(jù)平臺僅提出“技術(shù)可行”的情況下增加互操作性未嘗沒有數(shù)據(jù)安全的考慮，并且GDPR直面數(shù)據(jù)安全問題對數(shù)據(jù)平臺提出了“充分保護”的要求。數(shù)據(jù)平臺必須采用適當(dāng)?shù)募夹g(shù)和組織措施確保其掌握的個人數(shù)據(jù)能夠達到合理應(yīng)對風(fēng)險的安全級別，并明確要求對個人數(shù)據(jù)進行匿名化和加密處理。在任何情況下，數(shù)據(jù)平臺必須執(zhí)行身份驗證程序，可要求數(shù)據(jù)主體提供合法身份證明? [18] 。在GDPR生效之后，確有數(shù)據(jù)平臺因未履行“充分保護”義務(wù)而被問責(zé)。例如，2018年，德國一家社交平臺的運營商將數(shù)據(jù)主體的密碼以明文形式存儲，該公司的用戶數(shù)據(jù)后來發(fā)生了嚴(yán)重的泄露，有80.8萬個電子郵件地址和187.2萬個帶有先關(guān)密碼的用戶名被發(fā)布到其他網(wǎng)站。為此，德國的監(jiān)管機構(gòu)對其作出了2萬歐元的罰款。? [7]

在數(shù)據(jù)平臺與數(shù)據(jù)主體存在持續(xù)性的不對等關(guān)系背景下，賦予數(shù)據(jù)主體包括數(shù)據(jù)可攜權(quán)在內(nèi)的系列數(shù)據(jù)權(quán)利充分體現(xiàn)了對數(shù)據(jù)主體的傾斜性保護。然而，歐盟立法者認(rèn)識到數(shù)據(jù)可攜權(quán)是一種需要平衡的權(quán)利，? [19] GDPR中對數(shù)據(jù)可攜權(quán)設(shè)置的諸多限制條件正是表明該權(quán)利在性質(zhì)上并非絕對權(quán)，需要調(diào)適其與其他權(quán)利之間的關(guān)系。然而，即便GDPR作出了利益權(quán)衡的努力，但這種平衡也為數(shù)據(jù)可攜權(quán)的實施帶來了不確定性。在面臨利益或價值沖突的情況下，如何正確適用數(shù)據(jù)可攜權(quán)制度成為亟待討論的問題。公法領(lǐng)域的比例原則提供了將抽象的利益衡量轉(zhuǎn)化為規(guī)范結(jié)構(gòu)的法律技術(shù)，因而是合適的分析工具。

（三）歐盟數(shù)據(jù)可攜權(quán)實施過程中的利益平衡

2020年6月歐盟委員會發(fā)布《數(shù)據(jù)保護作為公民賦權(quán)的支柱和歐盟數(shù)字轉(zhuǎn)型的路徑暨〈通用數(shù)據(jù)保護條例〉兩周年實施歷程報告》（以下簡稱《GDPR兩周年實施歷程報告》）? [20] ，一方面其重申數(shù)據(jù)可攜權(quán)實施的意義，它可以使個人切換不同的服務(wù)提供商，使個人處于數(shù)據(jù)經(jīng)濟的核心地位，這將間接促進競爭并支持創(chuàng)新，因此強調(diào)使數(shù)據(jù)可攜權(quán)得以進一步適用是歐盟委員會目前的首要任務(wù)之一。另一方面，《GDPR兩周年實施歷程報告》更強調(diào)數(shù)據(jù)可攜權(quán)的明顯潛力并未得到充分挖掘。這主要是由于歐盟的數(shù)據(jù)戰(zhàn)略凸顯了實現(xiàn)數(shù)據(jù)可攜權(quán)目前尚需要解決的各種困難。比如，缺乏能夠以機器可讀的格式提供數(shù)據(jù)的標(biāo)準(zhǔn)，難以提高對數(shù)據(jù)可攜權(quán)的有效利用，以至于數(shù)據(jù)可攜權(quán)的有效利用僅限于有限的幾個行業(yè)之間（如銀行業(yè)和電信業(yè)）。通過上述分析，就數(shù)據(jù)可攜權(quán)的適用問題，歐盟更注重數(shù)據(jù)主體對個人數(shù)據(jù)的控制，并在合法合理控制的前提下，進一步促進數(shù)據(jù)流轉(zhuǎn)及數(shù)據(jù)企業(yè)之間的良性競爭。因而歐盟強調(diào)，進一步利用數(shù)據(jù)可攜權(quán)并非不可能，但需要通過設(shè)計適當(dāng)?shù)墓ぞ摺?biāo)準(zhǔn)化的格式和接口來實現(xiàn)。歐盟也在考慮通過使用強制性技術(shù)接口和機器可讀格式以便實現(xiàn)實時數(shù)據(jù)遷移。

三 比例原則指導(dǎo)下我國數(shù)據(jù)

可攜權(quán)的具體適用路徑

（一）比例原則作為法益衡量的一般原則

GDPR中對數(shù)據(jù)可攜權(quán)設(shè)置的諸多限制條件正是表明該權(quán)利在性質(zhì)上并非絕對權(quán)，需要調(diào)適其與其他權(quán)利之間的關(guān)系。在面臨利益或價值沖突的情況下，如何正確適用《個人信息保護法》中數(shù)據(jù)可攜權(quán)規(guī)范成為學(xué)者們激烈討論的問題。復(fù)雜的利益衡量需要借助混合型的法律推理，誕生于公法領(lǐng)域的比例原則提供了將抽象的利益衡量轉(zhuǎn)化為規(guī)范結(jié)構(gòu)的法律技術(shù)，是目的理性的集中體現(xiàn)與成本收益分析的另一種表達，在私法中也具有普適性? [16] ，因而是合適的分析工具。

比例原則發(fā)源于18世紀(jì)后期的德國，為了保護公民權(quán)利免受強大警察權(quán)過度侵犯，德國警察法中開始出現(xiàn)比例原則的觀念，在奧托·邁耶1895年出版的《德國行政法》中明確提出“警察權(quán)力不可違反比例原則”。此后比例原則在理論與實踐中得到了極大發(fā)展，成為德國公法理論中的“皇冠原則”。第二次世界大戰(zhàn)后，德國憲法法院更是將其從行政法原則提升為憲法原則。從比例原則的起源與發(fā)展來看，該原則為公權(quán)力主體作用于私權(quán)利主體的場景劃定了合理界限，當(dāng)不同主體或不同權(quán)利之間產(chǎn)生沖突之時，比例原則提供了利益衡量的技術(shù)手段。在法治觀轉(zhuǎn)型和全球化影響下，比例原則在輻射范圍上實現(xiàn)從國別、區(qū)域到全球的地域性影響，完成從公法、私法到其他部門法的滲透。在功能定位上，比例原則從基礎(chǔ)的權(quán)利保障功能拓展到權(quán)力配置功能? [17] ，使得后者在新興權(quán)利判斷領(lǐng)域開始作為方法論成為“目標(biāo)—手段”理性構(gòu)建的基準(zhǔn)。

比例原則既包容多元價值，又提供系統(tǒng)框架的特質(zhì)，一方面使它能在本來“不可通約”的價值間進行比較，具備多元論的沖突解決優(yōu)勢;另一方面，它使得分析過程的各個階段變得更加透明，這也促使方法論意義上的比例原則獲得青睞? [18] 。尤其在重大立法或重大決策當(dāng)中，比例原則要求國家治理應(yīng)當(dāng)從客觀形勢出發(fā)審慎確定管理目標(biāo)，在實現(xiàn)管理目標(biāo)的方案選擇上進行目的正當(dāng)性、適當(dāng)性、必要性與均衡性的分析，? [19] 避免出現(xiàn)制度運行成本過高，社會負(fù)擔(dān)過重等不利后果。因而在我國如何適用數(shù)據(jù)可攜權(quán)的問題上，比例原則的三項子原則（適當(dāng)性原則、必要性原則、均衡性原則）作為目的手段理性建構(gòu)中的路徑化、工具性方案，可以提供管理創(chuàng)新的理性視角，進入法益衡量中的論證過程。

（二）我國數(shù)據(jù)可攜權(quán)適用路徑的適當(dāng)性原則

適當(dāng)性原則要求采取一項行動能夠?qū)崿F(xiàn)或至少有助于所追求目的的實現(xiàn)。由于任何一種制度或者措施多多少少會有助于目的的達成，因而該原則的滿足一般不存在太大難題。? [21] 具體到我國數(shù)據(jù)可攜權(quán)的實施，這一原則要求能夠?qū)崿F(xiàn)或者至少有助于實現(xiàn)加強數(shù)據(jù)主體的權(quán)利保護和促進數(shù)據(jù)平臺之間的競爭與創(chuàng)新。然而，是否能夠產(chǎn)生這一正面效果卻存有較大的爭議。

雖然一部分意見認(rèn)為數(shù)據(jù)可攜權(quán)能夠增強數(shù)據(jù)主體對個人數(shù)據(jù)的控制，有利于打破數(shù)據(jù)壟斷并促進數(shù)據(jù)市場的競爭與創(chuàng)新。? [22] 但是，仍有不少反對者認(rèn)為數(shù)據(jù)可攜權(quán)的實施可能對競爭產(chǎn)生負(fù)面影響。由于我國互聯(lián)網(wǎng)行業(yè)已然存在騰訊、阿里巴巴、京東、滴滴等巨頭，長期以來積累了海量數(shù)據(jù)和先發(fā)優(yōu)勢。在這樣的背景下，實施數(shù)據(jù)可攜權(quán)可能產(chǎn)生如下一些連鎖反應(yīng)：首先，基于數(shù)據(jù)可攜權(quán)的數(shù)據(jù)流動極可能在實際上更多的是從中小企業(yè)向大型企業(yè)的流向;其次，中小企業(yè)可能將資金與人力更多地投入到數(shù)據(jù)可攜權(quán)的合規(guī)性滿足，從而擠占其進行技術(shù)創(chuàng)新的資源，亦可能因承受不起數(shù)據(jù)可攜權(quán)的合規(guī)性成本而難以為繼;最后，在數(shù)據(jù)可攜權(quán)增加企業(yè)成本的情況下，大部分免費的互聯(lián)網(wǎng)應(yīng)用與服務(wù)可能向收費模式轉(zhuǎn)變，最終成本轉(zhuǎn)移到消費者身上，減損用戶福利。? [16]

然而上述觀點并不具備說服力，以電信領(lǐng)域為例，該領(lǐng)域攜號轉(zhuǎn)網(wǎng)的實踐既是歐盟數(shù)據(jù)可攜權(quán)的萌芽領(lǐng)域，也是該權(quán)利發(fā)揮典型效用的領(lǐng)域。我國2019年11月正式實施攜號轉(zhuǎn)網(wǎng)，目前正處于深化業(yè)務(wù)規(guī)范辦理階段，攜號轉(zhuǎn)網(wǎng)提升了電信運營商競爭的同時并未減損消費者利益，反而提高消費者對電信服務(wù)提供商的選擇權(quán)，進而在電信領(lǐng)域初步實現(xiàn)個人數(shù)據(jù)的接收與遷移。歐盟《GDPR兩周年實施歷程報告》通過評估GDPR兩周年的實施情況，把數(shù)據(jù)可攜權(quán)提升至創(chuàng)新性個人數(shù)據(jù)權(quán)利保護機制的地位。歐盟委員關(guān)注到數(shù)據(jù)可攜權(quán)實施帶來的數(shù)據(jù)交互相關(guān)實踐在互聯(lián)網(wǎng)平臺生態(tài)系統(tǒng)中的重大作用，表示籌備中的《數(shù)字服務(wù)法》將賦予個人更好控制其數(shù)據(jù)的權(quán)利。再者，數(shù)據(jù)可攜權(quán)還可產(chǎn)生其他額外效應(yīng)，比如在“數(shù)據(jù)利他主義”視角下，數(shù)據(jù)可攜權(quán)可以使個人更容易為了公共利益，自己或者許可數(shù)據(jù)處理者將其個人數(shù)據(jù)“捐獻”。例如，個人可以自己或者許可其他數(shù)據(jù)處理者將其個人健康數(shù)據(jù)遷移至醫(yī)療機構(gòu)，促進健康醫(yī)療部門的科研攻關(guān)。

（三）我國數(shù)據(jù)可攜權(quán)適用路徑的必要性原則

必要性原則又名為損害最小原則，是指在有助于實現(xiàn)目的的眾多行動方案中，應(yīng)當(dāng)選擇對合法權(quán)益損害最小的一種方案。? [21] 在比例原則的眾多子原則當(dāng)中，該子原則適用的頻率最高，對于立法與決策而言，能夠借以審慎權(quán)衡各種可供選擇的規(guī)制模式。在這一原則之下，我國的數(shù)據(jù)可攜權(quán)適用路徑可以選擇更為穩(wěn)健的實施方案，具體而言：

1.數(shù)據(jù)可攜權(quán)技術(shù)條件標(biāo)準(zhǔn)的政策性實現(xiàn)策略

數(shù)據(jù)遷移權(quán)通過國家網(wǎng)信辦探索技術(shù)條件標(biāo)準(zhǔn)來另行規(guī)定，能夠更加靈活地根據(jù)技術(shù)發(fā)展和行業(yè)實踐來進行政策性調(diào)整。在具體操作層面，可以考慮按照如下方案推進：一方面，可以由國家網(wǎng)信辦以行政規(guī)劃的形式確立數(shù)據(jù)遷移互操作性的發(fā)展規(guī)劃，明確數(shù)據(jù)存儲的最低強制性標(biāo)準(zhǔn)，推動互聯(lián)網(wǎng)協(xié)會建立數(shù)據(jù)存儲的行業(yè)標(biāo)準(zhǔn)，并通過行政指導(dǎo)的方式優(yōu)先實現(xiàn)達到一定經(jīng)濟規(guī)模的數(shù)據(jù)平臺在一定年限內(nèi)達標(biāo)數(shù)據(jù)遷移的技術(shù)條件，并對達標(biāo)企業(yè)予以行政獎勵或政策性支持;另一方面，通過授權(quán)特定領(lǐng)域試點的方式加速數(shù)據(jù)遷移互操作性的實施。重點包括2019年即在《政府工作報告》中提出的移動通信領(lǐng)域的攜號轉(zhuǎn)網(wǎng)，個人健康醫(yī)療數(shù)據(jù)在醫(yī)療機構(gòu)間的遷移以及在金融征信領(lǐng)域的個人數(shù)據(jù)可攜，對這些領(lǐng)域可以設(shè)定具體的技術(shù)要求。如此，既能滿足特定領(lǐng)域亟需解除用戶數(shù)據(jù)鎖定效應(yīng)的社會需求，又能避免全面實施數(shù)據(jù)可攜權(quán)帶來的巨大制度成本。這與歐盟委員會2020年6月發(fā)布的《GDPR兩周年實施歷程報告》中確立的進一步釋放數(shù)據(jù)可攜權(quán)潛力的重點領(lǐng)域相一致。如此，既能滿足特定領(lǐng)域亟需解除用戶數(shù)據(jù)鎖定效應(yīng)的社會需求，又能避免全面實施數(shù)據(jù)可攜權(quán)帶來的巨大制度成本。

2.競爭法上的補充實施方案

數(shù)據(jù)可攜權(quán)在性質(zhì)上是對數(shù)據(jù)平臺與數(shù)據(jù)主體之間關(guān)于數(shù)據(jù)利益的制度分配。從打破數(shù)據(jù)平臺的壟斷地位或消除數(shù)據(jù)平臺之間的不正當(dāng)競爭角度出發(fā)，同樣可能達到促進用戶數(shù)據(jù)自由流轉(zhuǎn)的效果，從而成為補充性的實施方案。? [23] 具體而言，一方面，當(dāng)消費者或企業(yè)發(fā)現(xiàn)具有市場支配地位的數(shù)據(jù)平臺存在濫用其支配地位的行為，并對市場競爭或消費者權(quán)益造成了不利影響，即可通過《反壟斷法》確立的責(zé)任制度進行規(guī)制;? [22] 另一方面，即便對用戶數(shù)據(jù)進行鎖定的數(shù)據(jù)平臺尚不具有市場支配地位，但只要能夠證明對其他數(shù)據(jù)平臺造成了具體的損害，且行為本身具有違反誠實信用原則或公認(rèn)的商業(yè)道德的性質(zhì)，亦可在《反不正當(dāng)競爭法》框架下實現(xiàn) 問責(zé)。? [21]

（四）數(shù)據(jù)可攜權(quán)適用路徑的動態(tài)均衡性調(diào)整

均衡性原則即狹義的比例原則，該原則要求為追求正當(dāng)目的所采取行動的最終收益必須大于該行動造成的損害或成本。在該原則的要求下，數(shù)據(jù)可攜權(quán)的實施應(yīng)當(dāng)在整體上產(chǎn)生正面的社會效益。在我國對該權(quán)利通過立法確定的情況下，均衡性原則要求建立動態(tài)的實施評估機制，以進行及時的制度反饋和調(diào)適。? [24] 具體而言，可以采用定期評估法定義務(wù)與不定期評估反饋權(quán)利相結(jié)合的模式，一方面明確行政主管部門對數(shù)據(jù)可攜權(quán)實施情況進行定期評估的法定義務(wù)，另一方面推動互聯(lián)網(wǎng)協(xié)會對數(shù)據(jù)可攜權(quán)的實施情況進行不定期評估，并通過網(wǎng)絡(luò)途徑開通民意渠道，聽取民眾或企業(yè)對數(shù)據(jù)可攜權(quán)制度運行的意見，以此來保障數(shù)據(jù)可攜權(quán)的基本權(quán)利地位及其適用實效。

四 結(jié) 語

在人們的交互行為越來越通過互聯(lián)網(wǎng)平臺開展的情況下，數(shù)據(jù)資源的價值挖掘和數(shù)據(jù)主體的權(quán)利保護已然成為世界各國數(shù)據(jù)立法的中心議題。面對歐盟進一步釋放數(shù)據(jù)可攜權(quán)正面效應(yīng)的努力，以及我國數(shù)據(jù)可攜權(quán)通過《個人信息保護法》正式確立的現(xiàn)實，應(yīng)當(dāng)通過比例原則對該權(quán)利的具體適用路徑進行指引，實施過程中應(yīng)當(dāng)綜合考慮各方主體利益平衡，并采用動態(tài)均衡調(diào)整的方式，最終使得該項權(quán)利得以發(fā)揮促進數(shù)據(jù)市場健康發(fā)展的效用。

[參 考 文 獻]

[1]? 張黎.大數(shù)據(jù)視角下數(shù)據(jù)權(quán)的體系建構(gòu)研究[J].圖書館，2020（4）：21-28.

[2] 葉名怡.論個人信息權(quán)的基本范疇[J].清華法學(xué)，2018（5）：143-158.

[3] 金耀.數(shù)據(jù)可攜權(quán)的法律構(gòu)造與本土構(gòu)建[J].法律科學(xué)（西北政法大學(xué)學(xué)報），2021（4）：105-116.

[4] 劉云.歐洲個人信息保護法的發(fā)展歷程及其改革創(chuàng)新[J].暨南學(xué)報（哲學(xué)社會科學(xué)版），2017（2）：72-84.

[5] 李德恩.數(shù)據(jù)權(quán)利之法律性質(zhì)與分段保護[J].理論月刊，2020（3）：113-123.

[6] 《全國人民代表大會憲法和法律委員會關(guān)于〈中華人民共和國個人信息保護法（草案）〉審議結(jié)果的報告》.

[7] 卓麗.GDPR下企業(yè)數(shù)據(jù)合規(guī)問題及對策分析[J].北外法學(xué)，2020（1）：182-196.

[8] 冉從敬，張沫.歐盟GDPR中數(shù)據(jù)可攜權(quán)對中國的借鑒研究[J].信息資源管理學(xué)報，2019（2）：25-33，45.

[9] 卓力雄.數(shù)據(jù)攜帶權(quán)：基本概念，問題與中國應(yīng)對[J].行政法學(xué)研究，2019（6）：129-144.

[10] 付新華.數(shù)據(jù)可攜權(quán)的歐美法律實踐及本土化制度設(shè)計[J].河北法學(xué)，2019（8）：157-168.

[11] 牛彬彬.個人數(shù)據(jù)權(quán)效力體系研究[J].江西財經(jīng)大學(xué)學(xué)報，2020（5）：134-147.

[12] 丁曉東.數(shù)據(jù)到底屬于誰？——從網(wǎng)絡(luò)爬蟲看平臺數(shù)據(jù)權(quán)屬與數(shù)據(jù)保護[J].華東政法大學(xué)學(xué)報，2019（5）：69-83.

[13] 鄭令晗，肖冬梅.歐盟非個人數(shù)據(jù)自由流動制度及其中國本土化[J].圖書情報工作，2019（13）：122-128.

[14] 曾彩霞，朱雪忠.歐盟數(shù)據(jù)可攜權(quán)在規(guī)制數(shù)據(jù)壟斷中的作用、局限及其啟示——以數(shù)據(jù)準(zhǔn)入為研究進路[J].德國研究，2020（1）：133-147，164.

[15] 邢根上，魯芳，周忠寶，等.數(shù)據(jù)可攜權(quán)能否治理“大數(shù)據(jù)殺熟”？[J/OL].中國管理科學(xué)：1-16[2021-05-05].https：//doi.org/10.16381/j.cnki.issn1003-207x.2020.2232.

[16] 盧家銀.論隱私自治：數(shù)據(jù)遷移權(quán)的起源、挑戰(zhàn)與利益平衡[J].新聞與傳播研究，2019（8）：71-88，127-128.

[17] 化國宇，楊晨書.數(shù)據(jù)可攜帶權(quán)的發(fā)展困境及本土化研究[J/OL].圖書館建設(shè)：1-14[2021-05-04].http：//kns.cnki.net/kcms/detail/23.1331.g2.20201029.1436.004.html.

[18] 刁勝先，李絁芩.歐盟數(shù)據(jù)可攜權(quán)的困境與本土化思考[J].重慶郵電大學(xué)學(xué)報（社會科學(xué)版），2020（2）：68-77.

[19] 魏遠(yuǎn)山.我國數(shù)據(jù)權(quán)演進歷程回顧與趨勢展望[J].圖書館論壇，2021（1）：119-131.

[20] GDPR兩周年實施歷程報告[EB/OL].[2020-06-24].https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX%3A52020DC0264.

[21] 蘭磊.比例原則視角下的《反不正當(dāng)競爭法》一般條款解釋——以視頻網(wǎng)站上廣告攔截和快進是否構(gòu)成不正當(dāng)競爭為例[J].東方法學(xué)，2015（3）：68-81.

[22] 朱玥.界分與補強：歐盟數(shù)據(jù)可攜權(quán)與競爭法補救措施[J].北京政法職業(yè)學(xué)院學(xué)報，2020（1）：49-56.

[23] 胡繼曄，杜牧真.數(shù)字平臺壟斷趨勢的博弈分析及應(yīng)對[J/OL].管理學(xué)刊：1-17[2021-05-05].http：//kns.cnki.net/kcms/detail/41.1408.F.20210409.1357.002.html.

[24] 楊學(xué)科.數(shù)字私權(quán)力：憲法內(nèi)涵、憲法挑戰(zhàn)和憲制應(yīng)對方略[J].湖湘論壇，2021（2）：86-98.

3078501908285