比例原則視角下數(shù)據(jù)可攜權(quán)之適用路徑*

謝 蔚，李文靜

(湘潭大學(xué) 法學(xué)院，湖南 湘潭 411105)

2016年4月27日，歐盟議會與理事會通過了《通用數(shù)據(jù)保護(hù)條例》(以下簡稱GDPR)。2018年5月25日，GDPR正式實(shí)施，直接適用于歐盟各成員國。為增強(qiáng)數(shù)據(jù)主體對個(gè)人數(shù)據(jù)的控制，GDPR明確了數(shù)據(jù)主體享有隱私權(quán)、糾正權(quán)、刪除權(quán)、數(shù)據(jù)可攜權(quán)等數(shù)據(jù)權(quán)利。[1]關(guān)于數(shù)據(jù)可攜權(quán)的具體內(nèi)容，第20條規(guī)定了數(shù)據(jù)主體有權(quán)以結(jié)構(gòu)化、通用、機(jī)器可讀的方式接收其提供給數(shù)據(jù)控制者的與其相關(guān)的個(gè)人數(shù)據(jù)的接收權(quán)；在技術(shù)可行的情況下數(shù)據(jù)主體有權(quán)無障礙地將其個(gè)人數(shù)據(jù)從某一數(shù)據(jù)控制者傳輸給另一個(gè)數(shù)據(jù)控制者的數(shù)據(jù)遷移權(quán)。

出于對域外數(shù)據(jù)可攜權(quán)的關(guān)注，我國學(xué)界在2018年后亦涌現(xiàn)一大批以數(shù)據(jù)可攜權(quán)為主題的研究成果。對這些文獻(xiàn)進(jìn)行梳理后大體可以將其分為兩類：一類是關(guān)于借鑒與引入數(shù)據(jù)可攜權(quán)的研究；另一類是就數(shù)據(jù)可攜權(quán)本身的屬性、內(nèi)容、問題等方面的研究。從我國2017年以來的數(shù)據(jù)發(fā)展與規(guī)范實(shí)踐來看，《個(gè)人信息保護(hù)法》正式出臺之前已有數(shù)據(jù)可攜權(quán)的內(nèi)容。例如：2017年由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會頒布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》的7.9規(guī)定，根據(jù)個(gè)人信息主體的請求，個(gè)人信息控制者應(yīng)為個(gè)人信息主體提供以下類型個(gè)人信息(個(gè)人基本信息、個(gè)人身份信息、個(gè)人健康生理信息、個(gè)人教育工作信息)副本的方法，或在技術(shù)可行的前提下直接將個(gè)人信息的副本傳輸給第三方。2021年8月20日，《個(gè)人信息保護(hù)法》正式出臺，該法第45條第3款對個(gè)人信息的可攜權(quán)作出了明確規(guī)定。在這一背景下，厘清我國引入數(shù)據(jù)可攜權(quán)過程中的爭議焦點(diǎn)，在比較歐盟數(shù)據(jù)可攜權(quán)立法的基礎(chǔ)上構(gòu)建我國數(shù)據(jù)可攜權(quán)的具體適用路徑便是一個(gè)不可回避的重大議題。

一 關(guān)于我國是否引入數(shù)據(jù)可攜權(quán)制度的爭論

《個(gè)人信息保護(hù)法》正式出臺前，關(guān)于是否引入數(shù)據(jù)可攜權(quán)，存在幾種不同觀點(diǎn)。一種對引入數(shù)據(jù)可攜權(quán)持肯定態(tài)度，認(rèn)為通過立法確認(rèn)個(gè)人有自由獲取和轉(zhuǎn)移其個(gè)人數(shù)據(jù)的權(quán)利，可以強(qiáng)化自然人對其數(shù)據(jù)的支配性，有助于塑造更為公平透明的數(shù)據(jù)處理市場，防止大型網(wǎng)絡(luò)企業(yè)壟斷個(gè)人數(shù)據(jù)領(lǐng)域。[2]但對引入模式存在不同看法：一種方案認(rèn)為可攜(帶)權(quán)是《民法總則》中規(guī)定的個(gè)人信息權(quán)的一種具體積極權(quán)能，可在制定民法典時(shí)細(xì)化完善包含可攜權(quán)在內(nèi)的各項(xiàng)個(gè)人信息權(quán)權(quán)能；另一種方案則認(rèn)為應(yīng)當(dāng)在未來的《個(gè)人信息保護(hù)法》中予以規(guī)定[3]，以形成更好的數(shù)據(jù)專門立法體系。另外一種觀點(diǎn)對可攜權(quán)(可轉(zhuǎn)移權(quán))的引入持保留態(tài)度。持該種觀點(diǎn)的學(xué)者認(rèn)為，雖然該權(quán)利增強(qiáng)了個(gè)人對其信息的控制權(quán)，但也給信息控制者增加了壓力和成本，必然會增強(qiáng)各個(gè)信息控制者之間的市場競爭程度。[4]

規(guī)定個(gè)人信息可攜權(quán)是很有必要的。首先，從規(guī)范層面來看，我國在2012年黨的十八大之后，便開始部署實(shí)施大數(shù)據(jù)國家戰(zhàn)略，致力于推動政府、行業(yè)、企業(yè)之間數(shù)據(jù)資源的整合和開放共享。一方面，國家機(jī)關(guān)紛紛制定了大數(shù)據(jù)的發(fā)展規(guī)劃，如2015年國務(wù)院發(fā)布了《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》，2016年中共中央辦公廳與國務(wù)院辦公廳聯(lián)合發(fā)布了《國家信息化戰(zhàn)略發(fā)展綱要》，2017年最高人民檢察院印發(fā)了《檢察大數(shù)據(jù)行動指南(2017-2020年)》，2018年進(jìn)一步印發(fā)了《全國檢察機(jī)關(guān)智慧檢務(wù)行動指南(2018-2020年)》等；另一方面，數(shù)據(jù)立法的進(jìn)程明顯加快，逐步形成了包括《網(wǎng)絡(luò)安全法》《個(gè)人信息安全規(guī)范》《電信與互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《網(wǎng)絡(luò)交易管理辦法》在內(nèi)的數(shù)據(jù)立法體系。在實(shí)踐層面，我國的數(shù)字經(jīng)濟(jì)已然在國民經(jīng)濟(jì)中占據(jù)重要地位。[5]近年來，數(shù)字經(jīng)濟(jì)的規(guī)模和發(fā)展速度均呈現(xiàn)增長態(tài)勢。中國信息通信研究院《G20國家數(shù)字經(jīng)濟(jì)發(fā)展研究報(bào)告(2017)》顯示，2016年，我國數(shù)字經(jīng)濟(jì)規(guī)模以3.4萬億美元的總量位居世界第二，全球市值前十的公司中有七家科技企業(yè)，我國的阿里巴巴和騰訊位列其中；到2018年，營業(yè)額排名全球前二十的互聯(lián)網(wǎng)企業(yè)中，我國便占據(jù)了八個(gè)席位；根據(jù)2019年中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第44次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，我國網(wǎng)民規(guī)模已達(dá)9.04億。2019年國家網(wǎng)信辦發(fā)布的《數(shù)字中國建設(shè)發(fā)展報(bào)告(2018)》顯示，2018年我國數(shù)字經(jīng)濟(jì)規(guī)模達(dá)到31.3萬億元，占GDP比重達(dá)到34.8%。

我們當(dāng)下正處于數(shù)字經(jīng)濟(jì)時(shí)代。數(shù)據(jù)的數(shù)量龐大、范圍廣泛、價(jià)值日增，如果不加快數(shù)據(jù)在網(wǎng)絡(luò)中流動的速率，將影響經(jīng)濟(jì)與社會發(fā)展的效率。在我國數(shù)據(jù)發(fā)展規(guī)劃與數(shù)據(jù)立法著力推動數(shù)據(jù)流轉(zhuǎn)與保障數(shù)據(jù)安全的前提下，為進(jìn)一步活躍我國的數(shù)字經(jīng)濟(jì)生態(tài)，實(shí)施數(shù)據(jù)可攜權(quán)以加快數(shù)據(jù)流動，符合目的正當(dāng)性的要求。

全國人大常委會發(fā)布的公開征求意見的《個(gè)人信息保護(hù)法(草案)》一審稿、二審稿，都只在第四十五條規(guī)定了個(gè)人對其數(shù)據(jù)的查閱復(fù)制權(quán)，回避了學(xué)界呼聲較高的數(shù)據(jù)可攜權(quán)入法。之后，全國人民代表大會憲法和法律委員會經(jīng)過反復(fù)研究，建議增加個(gè)人信息數(shù)據(jù)可攜權(quán)的相關(guān)規(guī)定[6]，最終，2021年8月20日的第十三屆全國人大常委會第三十次會議通過《個(gè)人信息保護(hù)法》，其第45條第3款規(guī)定：“個(gè)人請求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。”至此，個(gè)人信息數(shù)據(jù)可攜權(quán)正式被法律所確認(rèn)。

數(shù)據(jù)可攜權(quán)雖然被確立，但是法律條文只籠統(tǒng)地規(guī)定了權(quán)利行使的要件和權(quán)利行使對象(個(gè)人信息處理者)的義務(wù)，其具體實(shí)施規(guī)范亟待細(xì)化，而我國關(guān)于法律指引下的數(shù)據(jù)可攜權(quán)的實(shí)踐較為缺乏。對此，我們可以參考?xì)W盟數(shù)據(jù)可攜權(quán)的實(shí)施過程，總結(jié)其經(jīng)驗(yàn)和不足，為我國的數(shù)據(jù)可攜權(quán)適用提供有益借鑒。

二 歐盟數(shù)據(jù)可攜權(quán)確立與實(shí)施過程中的利益權(quán)衡

(一)歐盟數(shù)據(jù)可攜權(quán)確立過程中的利益沖突

一個(gè)不爭的事實(shí)是，歐盟的數(shù)據(jù)產(chǎn)業(yè)發(fā)展明顯滯后于美國，正是在這樣的背景下，歐盟加速了數(shù)據(jù)立法的進(jìn)程，從第一代1981年的《關(guān)于個(gè)人數(shù)據(jù)自動化處理之個(gè)人保護(hù)公約》到第二代1995年的《數(shù)據(jù)保護(hù)指令》，再到第三代的GDPR，歐盟的數(shù)據(jù)立法內(nèi)容不斷細(xì)化，效力逐步加強(qiáng)。一方面，歐盟意識到在現(xiàn)實(shí)的數(shù)字世界中，數(shù)據(jù)控制者處于明顯的強(qiáng)勢地位，數(shù)據(jù)主體則處于現(xiàn)實(shí)的弱勢地位。[7]為了加強(qiáng)對數(shù)據(jù)主體的法律保護(hù)，確立數(shù)據(jù)可攜權(quán)具有打破數(shù)據(jù)壟斷，增強(qiáng)數(shù)據(jù)主體對個(gè)人信息控制的效果。另一方面，歐盟又擔(dān)憂確立數(shù)據(jù)可攜權(quán)這一新型權(quán)利可能會損害有價(jià)值的專有信息或知識產(chǎn)權(quán)，造成隱私和數(shù)據(jù)安全風(fēng)險(xiǎn)、提高企業(yè)合規(guī)成本等負(fù)面影響。[8]

這種對數(shù)據(jù)可攜權(quán)的矛盾態(tài)度可從GDPR的制定過程中得以反映，因?yàn)樵贕DPR 的“建議稿”中，歐盟立法者積極主張數(shù)據(jù)可攜權(quán)，但“一讀稿”卻刪除了有關(guān)數(shù)據(jù)可攜權(quán)的條款，最終GDPR中的數(shù)據(jù)可攜權(quán)內(nèi)容幾經(jīng)波折才得以保留，但又增加了許多的限制條件和例外規(guī)定。[9]即便在GDPR確立數(shù)據(jù)可攜權(quán)之后，世界范圍內(nèi)確立數(shù)據(jù)可攜權(quán)的立法例仍屬少數(shù)，如美國聯(lián)邦層面沒有關(guān)于數(shù)據(jù)可攜權(quán)的立法，其對數(shù)據(jù)可攜權(quán)持較為審慎的態(tài)度，更傾向于有限制地賦予企業(yè)數(shù)據(jù)訪問和數(shù)據(jù)可攜的權(quán)利，并主要依靠相關(guān)企業(yè)的行業(yè)自律和自主探索。[10]從歐盟企業(yè)的接受度來看，數(shù)據(jù)可攜權(quán)的實(shí)際運(yùn)行也并不樂觀。據(jù)湯森路透的調(diào)查數(shù)據(jù)顯示，79%的企業(yè)要么沒有滿足GDPR的監(jiān)管要求，要么在跟進(jìn)規(guī)則方面遇到困難；91%的企業(yè)表示知道GDPR，但其中1/4表示自己沒有熟悉了解其規(guī)定；這些企業(yè)在數(shù)據(jù)保護(hù)方面的年平均支出為130萬美元，預(yù)計(jì)合規(guī)成本還將不斷提高。從GDPR確立數(shù)據(jù)可攜權(quán)的過程來看，立法者存在明顯的猶豫與遲疑，企業(yè)持有一定觀望與排斥，GDPR進(jìn)行的數(shù)據(jù)權(quán)利分配產(chǎn)生的利益沖突是否能夠得以緩和有待進(jìn)一步的實(shí)踐檢驗(yàn)。

(二)歐盟數(shù)據(jù)可攜權(quán)制度內(nèi)容的利益權(quán)衡

在現(xiàn)有的GDPR框架內(nèi)，立法者對數(shù)據(jù)可攜權(quán)的制度設(shè)計(jì)始終注意平衡數(shù)據(jù)運(yùn)營者與數(shù)據(jù)主體之間、數(shù)據(jù)運(yùn)營者之間、數(shù)據(jù)主體與第三人(或公共利益)之間的利益關(guān)系，[1]以避免數(shù)據(jù)可攜權(quán)的確立造成權(quán)利失衡的局面，不致對企業(yè)競爭與創(chuàng)新、數(shù)據(jù)安全等帶來負(fù)面影響。具體而言：

1.數(shù)據(jù)運(yùn)營者與數(shù)據(jù)主體之間的利益權(quán)衡

數(shù)據(jù)運(yùn)營者包括數(shù)據(jù)控制者與數(shù)據(jù)處理者。在數(shù)字世界當(dāng)中，數(shù)據(jù)主體是通過使用數(shù)據(jù)運(yùn)營者的產(chǎn)品與服務(wù)而進(jìn)行數(shù)據(jù)活動。數(shù)據(jù)作為一種關(guān)鍵性競爭資源，其權(quán)屬的分配實(shí)質(zhì)上是一種利益的分配。從開放視角來看，數(shù)據(jù)的權(quán)屬分配存有四種可能的模式，即數(shù)據(jù)主體所有、數(shù)據(jù)運(yùn)營者所有、數(shù)據(jù)主體與數(shù)據(jù)運(yùn)營者共有，以及數(shù)據(jù)公眾所有。[2]確立數(shù)據(jù)可攜權(quán)的內(nèi)在邏輯是確立數(shù)據(jù)利益歸于數(shù)據(jù)主體所有。然而，若制度上僅作如此安排，則將導(dǎo)致數(shù)據(jù)運(yùn)營者怠于進(jìn)行數(shù)據(jù)開發(fā)，不利于數(shù)字經(jīng)濟(jì)的發(fā)展。因此，需要通過限定數(shù)據(jù)可攜權(quán)的數(shù)據(jù)范圍來實(shí)現(xiàn)彼此間的利益平衡，歐盟或許正是基于此種考量最終將數(shù)據(jù)可攜權(quán)的標(biāo)的確定為與數(shù)據(jù)主體有關(guān)的個(gè)人數(shù)據(jù)。[3]

具體而言，數(shù)據(jù)主體被限定為自然人而不包括企業(yè)等其他主體。與數(shù)據(jù)主體有關(guān)的個(gè)人數(shù)據(jù)亦是在對數(shù)據(jù)進(jìn)行分類的前提下作出的范圍限定。因?yàn)樵跀?shù)據(jù)使用的整個(gè)價(jià)值鏈中，存有三大類數(shù)據(jù)：第一類是數(shù)據(jù)主體主動提供的個(gè)人數(shù)據(jù)；第二類是對數(shù)據(jù)主體使用服務(wù)或產(chǎn)品時(shí)留下的行為痕跡進(jìn)行分析所得的觀測數(shù)據(jù)；第三類是數(shù)據(jù)控制者基于算法技術(shù)對第一類和第二類數(shù)據(jù)進(jìn)行分析所得的衍生數(shù)據(jù)。[4]從數(shù)據(jù)平臺對數(shù)據(jù)本身的投入來看，從第一類到第三類其投入依次遞增，而從數(shù)據(jù)的經(jīng)濟(jì)價(jià)值來看，亦呈現(xiàn)依次遞增的效果。[5]為了不影響數(shù)據(jù)平臺的積極性，GDPR僅明確第一類數(shù)據(jù)屬于數(shù)據(jù)可攜權(quán)的標(biāo)的。對于更能反映數(shù)據(jù)主體心理狀態(tài)、購物偏好、生活習(xí)慣等信息的觀測數(shù)據(jù)和衍生數(shù)據(jù)是否可以納入數(shù)據(jù)可攜權(quán)的范圍，GDPR似乎有意保持著模糊態(tài)度。此外，數(shù)據(jù)平臺還可在證明其有關(guān)數(shù)據(jù)處理的強(qiáng)制性法律依據(jù)優(yōu)先于數(shù)據(jù)主體的權(quán)益，或者為了設(shè)立、行使或捍衛(wèi)其合法權(quán)利的條件下對數(shù)據(jù)可攜權(quán)進(jìn)行限制。

2.數(shù)據(jù)運(yùn)營者之間的利益權(quán)衡

在以數(shù)據(jù)為核心競爭要素的互聯(lián)網(wǎng)行業(yè)，搜索引擎、電商平臺、社交網(wǎng)絡(luò)等數(shù)據(jù)平臺已然存在高度集中的壟斷現(xiàn)象。一些大型數(shù)據(jù)平臺利用其數(shù)據(jù)與資金優(yōu)勢占領(lǐng)高地，通過市場支配地位進(jìn)行數(shù)據(jù)控制，如果不能采取有效手段解決數(shù)據(jù)準(zhǔn)入障礙，將阻礙中小企業(yè)參與競爭和技術(shù)創(chuàng)新。GDPR確立數(shù)據(jù)可攜權(quán)，亦是為了讓數(shù)據(jù)主體擁有更充分的選擇權(quán)，避免數(shù)據(jù)平臺企業(yè)進(jìn)行用戶鎖定，中小企業(yè)也因此能獲得公平競爭的機(jī)會。

然而，在確立數(shù)據(jù)可攜權(quán)的過程中，歐盟立法者也意識到了這種假定未必成立。因?yàn)閿?shù)據(jù)可攜權(quán)的數(shù)據(jù)遷移權(quán)部分需要數(shù)據(jù)以結(jié)構(gòu)化的、通用的、機(jī)器可讀的方式存儲與傳輸。這樣一種以互操作性(Interoperability)為前提的制度設(shè)定，對于不同的數(shù)據(jù)平臺而言，其合規(guī)成本具有異質(zhì)性。因?yàn)閿?shù)據(jù)遷移的實(shí)現(xiàn)需要數(shù)據(jù)平臺開發(fā)多個(gè)應(yīng)用程序接口(API)以滿足不同的數(shù)據(jù)傳輸格式之間互操作性的要求，更何況數(shù)據(jù)傳輸格式隨著科技發(fā)展不斷增多。這對于谷歌、臉書、亞馬遜、騰訊等已經(jīng)占據(jù)市場且頗具規(guī)模的數(shù)據(jù)平臺企業(yè)是競爭優(yōu)勢，但對于初創(chuàng)企業(yè)和正值發(fā)展瓶頸期的中小企業(yè)則是巨大的生存壓力。[16]如有研究者提到，GDPR改革將使得歐盟中小企業(yè)的年度IT成本增加約3000歐元-7200歐元，具體取決于中小企業(yè)的行業(yè)領(lǐng)域，該數(shù)據(jù)相當(dāng)于企業(yè)年度平均IT預(yù)算的16%-40%。[8]正是為了避免給中小企業(yè)造成過重負(fù)擔(dān)，GDPR在制度內(nèi)容上并未強(qiáng)制要求企業(yè)建立互操作性的儲存與傳輸格式，而是以鼓勵(lì)的方式實(shí)施，比如在要求企業(yè)建立數(shù)據(jù)保護(hù)官的問題上僅限定為雇員在250人以上的大型企業(yè)。

3.數(shù)據(jù)主體與第三人及公共利益之間的利益權(quán)衡

GDPR確立的數(shù)據(jù)可攜權(quán)注意到在數(shù)據(jù)流轉(zhuǎn)與數(shù)據(jù)集合的情景下容易發(fā)生權(quán)利沖突，特別是當(dāng)其與知識產(chǎn)權(quán)(商業(yè)秘密)、第三人隱私權(quán)及公共利益發(fā)生沖突時(shí)，該權(quán)利的行使要受到相應(yīng)的限制。具體而言：首先，在GDPR的《指南》中，將數(shù)據(jù)信息區(qū)分為含有知識產(chǎn)權(quán)與不含有知識產(chǎn)權(quán)兩類。如果數(shù)據(jù)主體請求轉(zhuǎn)移的個(gè)人數(shù)據(jù)含有知識產(chǎn)權(quán)，將會侵害到享有上述權(quán)利的主體權(quán)益，因此數(shù)據(jù)平臺應(yīng)當(dāng)在分割涉及知識產(chǎn)權(quán)的信息后再進(jìn)行數(shù)據(jù)傳輸[17]。其次，為保護(hù)第三人隱私權(quán)，GDPR明確數(shù)據(jù)可攜權(quán)不能對他人的權(quán)利或自由產(chǎn)生負(fù)面影響。由于在互聯(lián)網(wǎng)環(huán)境中將不同主體的個(gè)人數(shù)據(jù)完全分割是極為困難的，尤其在涉及交易平臺或社交平臺的場景下，這種數(shù)據(jù)粘合的現(xiàn)象更為普遍。在數(shù)據(jù)主體請求轉(zhuǎn)移其個(gè)人數(shù)據(jù)時(shí)，如涉及第三人的個(gè)人隱私，第三方無法自動知悉其個(gè)人隱私可能因數(shù)據(jù)遷移而受到影響。為此，GDPR要求數(shù)據(jù)平臺必須在第三人知情同意的情況下才能進(jìn)行數(shù)據(jù)傳輸，且接收數(shù)據(jù)的數(shù)據(jù)平臺須承擔(dān)對該第三人的個(gè)人數(shù)據(jù)的保護(hù)義務(wù)。最后，GDPR允許基于國家安全，公共安全，刑事犯罪的預(yù)防、調(diào)查或刑事處罰的執(zhí)行，司法獨(dú)立與司法程序保護(hù)，違反職業(yè)道德規(guī)范的預(yù)防、調(diào)查與起訴，科學(xué)歷史研究或統(tǒng)計(jì)目的等公共利益的需要，對數(shù)據(jù)可攜權(quán)進(jìn)行必要限制。

4.數(shù)據(jù)可攜權(quán)與數(shù)據(jù)安全之間的權(quán)衡

數(shù)據(jù)可攜權(quán)在加速數(shù)據(jù)流動效率的同時(shí)也增加了數(shù)據(jù)安全的風(fēng)險(xiǎn)。為了滿足互操作性的存儲與傳輸需要，數(shù)據(jù)運(yùn)營者將開發(fā)更多的應(yīng)用程序接口，其結(jié)果是導(dǎo)致系統(tǒng)和服務(wù)更加具有開放性，這將為黑客侵犯提供更多的機(jī)會，從而產(chǎn)生更多的數(shù)據(jù)非法泄露、非法提供與非法買賣的違法行為。從數(shù)據(jù)可攜權(quán)制度內(nèi)容來看，對數(shù)據(jù)平臺僅提出“技術(shù)可行”的情況下增加互操作性未嘗沒有數(shù)據(jù)安全的考慮，并且GDPR直面數(shù)據(jù)安全問題對數(shù)據(jù)平臺提出了“充分保護(hù)”的要求。數(shù)據(jù)平臺必須采用適當(dāng)?shù)募夹g(shù)和組織措施確保其掌握的個(gè)人數(shù)據(jù)能夠達(dá)到合理應(yīng)對風(fēng)險(xiǎn)的安全級別，并明確要求對個(gè)人數(shù)據(jù)進(jìn)行匿名化和加密處理。在任何情況下，數(shù)據(jù)平臺必須執(zhí)行身份驗(yàn)證程序，可要求數(shù)據(jù)主體提供合法身份證明[18]。在GDPR生效之后，確有數(shù)據(jù)平臺因未履行“充分保護(hù)”義務(wù)而被問責(zé)。例如，2018年，德國一家社交平臺的運(yùn)營商將數(shù)據(jù)主體的密碼以明文形式存儲，該公司的用戶數(shù)據(jù)后來發(fā)生了嚴(yán)重的泄露，有80.8萬個(gè)電子郵件地址和187.2萬個(gè)帶有先關(guān)密碼的用戶名被發(fā)布到其他網(wǎng)站。為此，德國的監(jiān)管機(jī)構(gòu)對其作出了2萬歐元的罰款。[7]

在數(shù)據(jù)平臺與數(shù)據(jù)主體存在持續(xù)性的不對等關(guān)系背景下，賦予數(shù)據(jù)主體包括數(shù)據(jù)可攜權(quán)在內(nèi)的系列數(shù)據(jù)權(quán)利充分體現(xiàn)了對數(shù)據(jù)主體的傾斜性保護(hù)。然而，歐盟立法者認(rèn)識到數(shù)據(jù)可攜權(quán)是一種需要平衡的權(quán)利，[19]GDPR中對數(shù)據(jù)可攜權(quán)設(shè)置的諸多限制條件正是表明該權(quán)利在性質(zhì)上并非絕對權(quán)，需要調(diào)適其與其他權(quán)利之間的關(guān)系。然而，即便GDPR作出了利益權(quán)衡的努力，但這種平衡也為數(shù)據(jù)可攜權(quán)的實(shí)施帶來了不確定性。在面臨利益或價(jià)值沖突的情況下，如何正確適用數(shù)據(jù)可攜權(quán)制度成為亟待討論的問題。公法領(lǐng)域的比例原則提供了將抽象的利益衡量轉(zhuǎn)化為規(guī)范結(jié)構(gòu)的法律技術(shù)，因而是合適的分析工具。

(三)歐盟數(shù)據(jù)可攜權(quán)實(shí)施過程中的利益平衡

2020年6月歐盟委員會發(fā)布《數(shù)據(jù)保護(hù)作為公民賦權(quán)的支柱和歐盟數(shù)字轉(zhuǎn)型的路徑暨〈通用數(shù)據(jù)保護(hù)條例〉兩周年實(shí)施歷程報(bào)告》(以下簡稱《GDPR兩周年實(shí)施歷程報(bào)告》)[20]，一方面其重申數(shù)據(jù)可攜權(quán)實(shí)施的意義，它可以使個(gè)人切換不同的服務(wù)提供商，使個(gè)人處于數(shù)據(jù)經(jīng)濟(jì)的核心地位，這將間接促進(jìn)競爭并支持創(chuàng)新，因此強(qiáng)調(diào)使數(shù)據(jù)可攜權(quán)得以進(jìn)一步適用是歐盟委員會目前的首要任務(wù)之一。另一方面，《GDPR兩周年實(shí)施歷程報(bào)告》更強(qiáng)調(diào)數(shù)據(jù)可攜權(quán)的明顯潛力并未得到充分挖掘。這主要是由于歐盟的數(shù)據(jù)戰(zhàn)略凸顯了實(shí)現(xiàn)數(shù)據(jù)可攜權(quán)目前尚需要解決的各種困難。比如，缺乏能夠以機(jī)器可讀的格式提供數(shù)據(jù)的標(biāo)準(zhǔn)，難以提高對數(shù)據(jù)可攜權(quán)的有效利用，以至于數(shù)據(jù)可攜權(quán)的有效利用僅限于有限的幾個(gè)行業(yè)之間(如銀行業(yè)和電信業(yè))。通過上述分析，就數(shù)據(jù)可攜權(quán)的適用問題，歐盟更注重?cái)?shù)據(jù)主體對個(gè)人數(shù)據(jù)的控制，并在合法合理控制的前提下，進(jìn)一步促進(jìn)數(shù)據(jù)流轉(zhuǎn)及數(shù)據(jù)企業(yè)之間的良性競爭。因而歐盟強(qiáng)調(diào)，進(jìn)一步利用數(shù)據(jù)可攜權(quán)并非不可能，但需要通過設(shè)計(jì)適當(dāng)?shù)墓ぞ摺?biāo)準(zhǔn)化的格式和接口來實(shí)現(xiàn)。歐盟也在考慮通過使用強(qiáng)制性技術(shù)接口和機(jī)器可讀格式以便實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)遷移。

三 比例原則指導(dǎo)下我國數(shù)據(jù)可攜權(quán)的具體適用路徑

(一)比例原則作為法益衡量的一般原則

GDPR中對數(shù)據(jù)可攜權(quán)設(shè)置的諸多限制條件正是表明該權(quán)利在性質(zhì)上并非絕對權(quán)，需要調(diào)適其與其他權(quán)利之間的關(guān)系。在面臨利益或價(jià)值沖突的情況下，如何正確適用《個(gè)人信息保護(hù)法》中數(shù)據(jù)可攜權(quán)規(guī)范成為學(xué)者們激烈討論的問題。復(fù)雜的利益衡量需要借助混合型的法律推理，誕生于公法領(lǐng)域的比例原則提供了將抽象的利益衡量轉(zhuǎn)化為規(guī)范結(jié)構(gòu)的法律技術(shù)，是目的理性的集中體現(xiàn)與成本收益分析的另一種表達(dá),在私法中也具有普適性[16]，因而是合適的分析工具。

比例原則發(fā)源于18世紀(jì)后期的德國，為了保護(hù)公民權(quán)利免受強(qiáng)大警察權(quán)過度侵犯，德國警察法中開始出現(xiàn)比例原則的觀念，在奧托·邁耶1895年出版的《德國行政法》中明確提出“警察權(quán)力不可違反比例原則”。此后比例原則在理論與實(shí)踐中得到了極大發(fā)展，成為德國公法理論中的“皇冠原則”。第二次世界大戰(zhàn)后，德國憲法法院更是將其從行政法原則提升為憲法原則。從比例原則的起源與發(fā)展來看，該原則為公權(quán)力主體作用于私權(quán)利主體的場景劃定了合理界限，當(dāng)不同主體或不同權(quán)利之間產(chǎn)生沖突之時(shí)，比例原則提供了利益衡量的技術(shù)手段。在法治觀轉(zhuǎn)型和全球化影響下，比例原則在輻射范圍上實(shí)現(xiàn)從國別、區(qū)域到全球的地域性影響，完成從公法、私法到其他部門法的滲透。在功能定位上，比例原則從基礎(chǔ)的權(quán)利保障功能拓展到權(quán)力配置功能[17]，使得后者在新興權(quán)利判斷領(lǐng)域開始作為方法論成為“目標(biāo)—手段”理性構(gòu)建的基準(zhǔn)。

比例原則既包容多元價(jià)值，又提供系統(tǒng)框架的特質(zhì)，一方面使它能在本來“不可通約”的價(jià)值間進(jìn)行比較，具備多元論的沖突解決優(yōu)勢；另一方面，它使得分析過程的各個(gè)階段變得更加透明，這也促使方法論意義上的比例原則獲得青睞[18]。尤其在重大立法或重大決策當(dāng)中，比例原則要求國家治理應(yīng)當(dāng)從客觀形勢出發(fā)審慎確定管理目標(biāo)，在實(shí)現(xiàn)管理目標(biāo)的方案選擇上進(jìn)行目的正當(dāng)性、適當(dāng)性、必要性與均衡性的分析，[19]避免出現(xiàn)制度運(yùn)行成本過高，社會負(fù)擔(dān)過重等不利后果。因而在我國如何適用數(shù)據(jù)可攜權(quán)的問題上，比例原則的三項(xiàng)子原則(適當(dāng)性原則、必要性原則、均衡性原則)作為目的手段理性建構(gòu)中的路徑化、工具性方案，可以提供管理創(chuàng)新的理性視角，進(jìn)入法益衡量中的論證過程。

(二)我國數(shù)據(jù)可攜權(quán)適用路徑的適當(dāng)性原則

適當(dāng)性原則要求采取一項(xiàng)行動能夠?qū)崿F(xiàn)或至少有助于所追求目的的實(shí)現(xiàn)。由于任何一種制度或者措施多多少少會有助于目的的達(dá)成，因而該原則的滿足一般不存在太大難題。[21]具體到我國數(shù)據(jù)可攜權(quán)的實(shí)施，這一原則要求能夠?qū)崿F(xiàn)或者至少有助于實(shí)現(xiàn)加強(qiáng)數(shù)據(jù)主體的權(quán)利保護(hù)和促進(jìn)數(shù)據(jù)平臺之間的競爭與創(chuàng)新。然而，是否能夠產(chǎn)生這一正面效果卻存有較大的爭議。

雖然一部分意見認(rèn)為數(shù)據(jù)可攜權(quán)能夠增強(qiáng)數(shù)據(jù)主體對個(gè)人數(shù)據(jù)的控制，有利于打破數(shù)據(jù)壟斷并促進(jìn)數(shù)據(jù)市場的競爭與創(chuàng)新。[22]但是，仍有不少反對者認(rèn)為數(shù)據(jù)可攜權(quán)的實(shí)施可能對競爭產(chǎn)生負(fù)面影響。由于我國互聯(lián)網(wǎng)行業(yè)已然存在騰訊、阿里巴巴、京東、滴滴等巨頭，長期以來積累了海量數(shù)據(jù)和先發(fā)優(yōu)勢。在這樣的背景下，實(shí)施數(shù)據(jù)可攜權(quán)可能產(chǎn)生如下一些連鎖反應(yīng)：首先，基于數(shù)據(jù)可攜權(quán)的數(shù)據(jù)流動極可能在實(shí)際上更多的是從中小企業(yè)向大型企業(yè)的流向；其次，中小企業(yè)可能將資金與人力更多地投入到數(shù)據(jù)可攜權(quán)的合規(guī)性滿足，從而擠占其進(jìn)行技術(shù)創(chuàng)新的資源，亦可能因承受不起數(shù)據(jù)可攜權(quán)的合規(guī)性成本而難以為繼；最后，在數(shù)據(jù)可攜權(quán)增加企業(yè)成本的情況下，大部分免費(fèi)的互聯(lián)網(wǎng)應(yīng)用與服務(wù)可能向收費(fèi)模式轉(zhuǎn)變，最終成本轉(zhuǎn)移到消費(fèi)者身上，減損用戶福利。[16]

然而上述觀點(diǎn)并不具備說服力，以電信領(lǐng)域?yàn)槔?，該領(lǐng)域攜號轉(zhuǎn)網(wǎng)的實(shí)踐既是歐盟數(shù)據(jù)可攜權(quán)的萌芽領(lǐng)域，也是該權(quán)利發(fā)揮典型效用的領(lǐng)域。我國2019年11月正式實(shí)施攜號轉(zhuǎn)網(wǎng)，目前正處于深化業(yè)務(wù)規(guī)范辦理階段，攜號轉(zhuǎn)網(wǎng)提升了電信運(yùn)營商競爭的同時(shí)并未減損消費(fèi)者利益，反而提高消費(fèi)者對電信服務(wù)提供商的選擇權(quán)，進(jìn)而在電信領(lǐng)域初步實(shí)現(xiàn)個(gè)人數(shù)據(jù)的接收與遷移。歐盟《GDPR兩周年實(shí)施歷程報(bào)告》通過評估GDPR兩周年的實(shí)施情況，把數(shù)據(jù)可攜權(quán)提升至創(chuàng)新性個(gè)人數(shù)據(jù)權(quán)利保護(hù)機(jī)制的地位。歐盟委員關(guān)注到數(shù)據(jù)可攜權(quán)實(shí)施帶來的數(shù)據(jù)交互相關(guān)實(shí)踐在互聯(lián)網(wǎng)平臺生態(tài)系統(tǒng)中的重大作用，表示籌備中的《數(shù)字服務(wù)法》將賦予個(gè)人更好控制其數(shù)據(jù)的權(quán)利。再者，數(shù)據(jù)可攜權(quán)還可產(chǎn)生其他額外效應(yīng)，比如在“數(shù)據(jù)利他主義”視角下，數(shù)據(jù)可攜權(quán)可以使個(gè)人更容易為了公共利益，自己或者許可數(shù)據(jù)處理者將其個(gè)人數(shù)據(jù)“捐獻(xiàn)”。例如，個(gè)人可以自己或者許可其他數(shù)據(jù)處理者將其個(gè)人健康數(shù)據(jù)遷移至醫(yī)療機(jī)構(gòu)，促進(jìn)健康醫(yī)療部門的科研攻關(guān)。

(三)我國數(shù)據(jù)可攜權(quán)適用路徑的必要性原則

必要性原則又名為損害最小原則，是指在有助于實(shí)現(xiàn)目的的眾多行動方案中，應(yīng)當(dāng)選擇對合法權(quán)益損害最小的一種方案。[21]在比例原則的眾多子原則當(dāng)中，該子原則適用的頻率最高，對于立法與決策而言，能夠借以審慎權(quán)衡各種可供選擇的規(guī)制模式。在這一原則之下，我國的數(shù)據(jù)可攜權(quán)適用路徑可以選擇更為穩(wěn)健的實(shí)施方案，具體而言：

1.數(shù)據(jù)可攜權(quán)技術(shù)條件標(biāo)準(zhǔn)的政策性實(shí)現(xiàn)策略

數(shù)據(jù)遷移權(quán)通過國家網(wǎng)信辦探索技術(shù)條件標(biāo)準(zhǔn)來另行規(guī)定，能夠更加靈活地根據(jù)技術(shù)發(fā)展和行業(yè)實(shí)踐來進(jìn)行政策性調(diào)整。在具體操作層面，可以考慮按照如下方案推進(jìn)：一方面，可以由國家網(wǎng)信辦以行政規(guī)劃的形式確立數(shù)據(jù)遷移互操作性的發(fā)展規(guī)劃，明確數(shù)據(jù)存儲的最低強(qiáng)制性標(biāo)準(zhǔn)，推動互聯(lián)網(wǎng)協(xié)會建立數(shù)據(jù)存儲的行業(yè)標(biāo)準(zhǔn)，并通過行政指導(dǎo)的方式優(yōu)先實(shí)現(xiàn)達(dá)到一定經(jīng)濟(jì)規(guī)模的數(shù)據(jù)平臺在一定年限內(nèi)達(dá)標(biāo)數(shù)據(jù)遷移的技術(shù)條件，并對達(dá)標(biāo)企業(yè)予以行政獎(jiǎng)勵(lì)或政策性支持；另一方面，通過授權(quán)特定領(lǐng)域試點(diǎn)的方式加速數(shù)據(jù)遷移互操作性的實(shí)施。重點(diǎn)包括2019年即在《政府工作報(bào)告》中提出的移動通信領(lǐng)域的攜號轉(zhuǎn)網(wǎng)，個(gè)人健康醫(yī)療數(shù)據(jù)在醫(yī)療機(jī)構(gòu)間的遷移以及在金融征信領(lǐng)域的個(gè)人數(shù)據(jù)可攜，對這些領(lǐng)域可以設(shè)定具體的技術(shù)要求。如此，既能滿足特定領(lǐng)域亟需解除用戶數(shù)據(jù)鎖定效應(yīng)的社會需求，又能避免全面實(shí)施數(shù)據(jù)可攜權(quán)帶來的巨大制度成本。這與歐盟委員會2020年6月發(fā)布的《GDPR兩周年實(shí)施歷程報(bào)告》中確立的進(jìn)一步釋放數(shù)據(jù)可攜權(quán)潛力的重點(diǎn)領(lǐng)域相一致。如此，既能滿足特定領(lǐng)域亟需解除用戶數(shù)據(jù)鎖定效應(yīng)的社會需求，又能避免全面實(shí)施數(shù)據(jù)可攜權(quán)帶來的巨大制度成本。

2.競爭法上的補(bǔ)充實(shí)施方案

數(shù)據(jù)可攜權(quán)在性質(zhì)上是對數(shù)據(jù)平臺與數(shù)據(jù)主體之間關(guān)于數(shù)據(jù)利益的制度分配。從打破數(shù)據(jù)平臺的壟斷地位或消除數(shù)據(jù)平臺之間的不正當(dāng)競爭角度出發(fā)，同樣可能達(dá)到促進(jìn)用戶數(shù)據(jù)自由流轉(zhuǎn)的效果，從而成為補(bǔ)充性的實(shí)施方案。[23]具體而言，一方面，當(dāng)消費(fèi)者或企業(yè)發(fā)現(xiàn)具有市場支配地位的數(shù)據(jù)平臺存在濫用其支配地位的行為，并對市場競爭或消費(fèi)者權(quán)益造成了不利影響，即可通過《反壟斷法》確立的責(zé)任制度進(jìn)行規(guī)制；[22]另一方面，即便對用戶數(shù)據(jù)進(jìn)行鎖定的數(shù)據(jù)平臺尚不具有市場支配地位，但只要能夠證明對其他數(shù)據(jù)平臺造成了具體的損害，且行為本身具有違反誠實(shí)信用原則或公認(rèn)的商業(yè)道德的性質(zhì)，亦可在《反不正當(dāng)競爭法》框架下實(shí)現(xiàn)問責(zé)。[21]

(四)數(shù)據(jù)可攜權(quán)適用路徑的動態(tài)均衡性調(diào)整

均衡性原則即狹義的比例原則，該原則要求為追求正當(dāng)目的所采取行動的最終收益必須大于該行動造成的損害或成本。在該原則的要求下，數(shù)據(jù)可攜權(quán)的實(shí)施應(yīng)當(dāng)在整體上產(chǎn)生正面的社會效益。在我國對該權(quán)利通過立法確定的情況下，均衡性原則要求建立動態(tài)的實(shí)施評估機(jī)制，以進(jìn)行及時(shí)的制度反饋和調(diào)適。[24]具體而言，可以采用定期評估法定義務(wù)與不定期評估反饋權(quán)利相結(jié)合的模式，一方面明確行政主管部門對數(shù)據(jù)可攜權(quán)實(shí)施情況進(jìn)行定期評估的法定義務(wù)，另一方面推動互聯(lián)網(wǎng)協(xié)會對數(shù)據(jù)可攜權(quán)的實(shí)施情況進(jìn)行不定期評估，并通過網(wǎng)絡(luò)途徑開通民意渠道，聽取民眾或企業(yè)對數(shù)據(jù)可攜權(quán)制度運(yùn)行的意見，以此來保障數(shù)據(jù)可攜權(quán)的基本權(quán)利地位及其適用實(shí)效。

四 結(jié) 語

在人們的交互行為越來越通過互聯(lián)網(wǎng)平臺開展的情況下，數(shù)據(jù)資源的價(jià)值挖掘和數(shù)據(jù)主體的權(quán)利保護(hù)已然成為世界各國數(shù)據(jù)立法的中心議題。面對歐盟進(jìn)一步釋放數(shù)據(jù)可攜權(quán)正面效應(yīng)的努力，以及我國數(shù)據(jù)可攜權(quán)通過《個(gè)人信息保護(hù)法》正式確立的現(xiàn)實(shí)，應(yīng)當(dāng)通過比例原則對該權(quán)利的具體適用路徑進(jìn)行指引，實(shí)施過程中應(yīng)當(dāng)綜合考慮各方主體利益平衡，并采用動態(tài)均衡調(diào)整的方式，最終使得該項(xiàng)權(quán)利得以發(fā)揮促進(jìn)數(shù)據(jù)市場健康發(fā)展的效用。