論我國個人信息可攜帶權(quán)的客體范圍

何金海

(廣西民族大學(xué) 廣西知識產(chǎn)權(quán)發(fā)展研究院，廣西 南寧 530006)

學(xué)理上，個人信息可攜帶權(quán)作為近年來的新創(chuàng)概念，(2)“個人信息可攜帶權(quán)”，亦稱數(shù)據(jù)“可攜帶權(quán)”“可攜權(quán)”“攜帶權(quán)”“遷移權(quán)”或“移植權(quán)”，是指數(shù)據(jù)主體有權(quán)接收其先前提供給數(shù)據(jù)控制者的個人數(shù)據(jù)，也有權(quán)將數(shù)據(jù)遷移至其他數(shù)據(jù)控制者。可參見何玉顏：《歐盟〈通用數(shù)據(jù)保護(hù)條例〉解讀及其對我國個人數(shù)據(jù)保護(hù)的啟示》，載《圖書情報導(dǎo)刊》2018年第11期，第67-72頁；葉名怡：《論個人信息權(quán)的基本范疇》，載《清華法學(xué)》2018年第5期，第143-158頁；汪慶華：《數(shù)據(jù)可攜帶權(quán)的權(quán)利結(jié)構(gòu)、法律效果與中國化》，載《中國法律評論》2021年第3期，第189-201頁。在我國尚未引起廣泛討論，相應(yīng)的關(guān)注程度有限，研究成果集中于制度框架層面，在權(quán)利客體范圍方面尚未形成系統(tǒng)論述。而今，隨著《個人信息保護(hù)法》的實施，個人信息攜帶之實踐操作將被應(yīng)用到廣泛的現(xiàn)實場景中。例如，導(dǎo)出消費記錄、賬戶信息、播放列表，或者轉(zhuǎn)移醫(yī)療信息、注冊信息，又或同步個人通訊簿、網(wǎng)站評論、博客內(nèi)容等。然而，考慮到個人信息遷移通常涉及企業(yè)數(shù)據(jù)權(quán)益甚至社會公共利益，并非任何個人信息均可納入可攜帶權(quán)客體范圍。此時，何種類型的個人信息可由個人申請并轉(zhuǎn)移至其指定的個人信息處理者將成為一個不可避免的重要問題，其范圍寬窄將直接影響到各方主體利益。因此，筆者結(jié)合國內(nèi)外有關(guān)法律實踐就個人信息可攜帶權(quán)的客體范圍展開分析。

一、國內(nèi)外關(guān)于可攜帶權(quán)客體范圍的立法考察

可攜帶權(quán)作為一項新興的數(shù)據(jù)權(quán)利，是經(jīng)由數(shù)據(jù)自決理論、攜號轉(zhuǎn)網(wǎng)等實踐過程，并歷經(jīng)萌芽、雛形、成型等階段而確立的。2016年3月歐盟GDPR獲得通過，其關(guān)于“數(shù)據(jù)可攜帶權(quán)”之獨創(chuàng)性規(guī)定被譽為“前所未有的創(chuàng)舉”，并迅速成為世界司法界關(guān)注的焦點。[2]包括美、印、澳、新等國在內(nèi)的國家和地區(qū)紛紛在借鑒的基礎(chǔ)上探索數(shù)據(jù)可攜帶權(quán)的本土化，并對可攜帶權(quán)的客體范圍作出規(guī)定。

(一)發(fā)源：歐盟有關(guān)規(guī)定

歐洲委員會于2012年1月將數(shù)據(jù)可攜帶權(quán)寫入《通用數(shù)據(jù)保護(hù)條例(草案)》第18條，這是“數(shù)據(jù)可攜帶權(quán)”概念首次在官方文件中提出。此后，數(shù)據(jù)可攜帶權(quán)在質(zhì)疑與支持的呼聲中被反復(fù)取消和提起，但最終，數(shù)據(jù)可攜帶權(quán)得以保留并獨立規(guī)定于歐盟GDPR第20條中。[3]根據(jù)歐盟GDPR第20條的規(guī)定，可攜帶的個人數(shù)據(jù)類型首先應(yīng)滿足以下條件：其一，可攜帶的必須是自然人本人的個人數(shù)據(jù)；其二，該數(shù)據(jù)必須是數(shù)據(jù)主體基于同意或合同提供給個人數(shù)據(jù)控制者的，對于數(shù)據(jù)控制者為了公共利益或行使公權(quán)力所必需而處理的數(shù)據(jù)，則不屬于可攜帶權(quán)客體范圍；其三，該個人數(shù)據(jù)應(yīng)當(dāng)是采取自動化方式處理的，對于非自動化處理的數(shù)據(jù)則不可攜帶；其四，若數(shù)據(jù)攜帶行為對他人的權(quán)利或自由產(chǎn)生負(fù)面影響的，則該數(shù)據(jù)不可攜帶。然而，該法中“數(shù)據(jù)可攜帶權(quán)客體范圍模糊，司法適用難度較大”。[4]為明確GDPR的相關(guān)概念，第29條工作組(WP29)于2017年4月5日發(fā)布修正版的《數(shù)據(jù)可攜帶權(quán)指南》(以下簡稱《指南》)[5]對GDPR第20條中的可攜帶數(shù)據(jù)范圍進(jìn)行了進(jìn)一步闡述。

針對條件一，《指南》指出，任何匿名或者與數(shù)據(jù)主體無關(guān)的數(shù)據(jù)不在數(shù)據(jù)可攜帶權(quán)請求范圍內(nèi)，但可以明確與數(shù)據(jù)主體聯(lián)系起來的匿名數(shù)據(jù)仍屬于可攜帶權(quán)范圍，即，該匿名數(shù)據(jù)可以從后臺定位到真實數(shù)據(jù)主體。然而，此種界定將導(dǎo)致“個人在云服務(wù)器上儲存的與個人無關(guān)的視頻文件”“個人在電商平臺上留下的用戶評論”等“顯然不是個人數(shù)據(jù)”的數(shù)據(jù)類型無法被納入數(shù)據(jù)可攜帶權(quán)的范圍[6]，縱使WP29認(rèn)為不宜對“與數(shù)據(jù)主體有關(guān)的個人數(shù)據(jù)”這句話作出過于限制性的解釋。

針對條件二，《指南》指出，數(shù)據(jù)主體提供的個人數(shù)據(jù)，包括“數(shù)據(jù)主體有意和主動提供的數(shù)據(jù)”(如用戶名、年齡、地址)與“數(shù)據(jù)主體在使用服務(wù)或設(shè)備所提供的觀測數(shù)據(jù)”(如瀏覽足跡、位置數(shù)據(jù))。但是，數(shù)據(jù)控制者基于統(tǒng)計和分析的目的，以“數(shù)據(jù)主體提供的數(shù)據(jù)”為基礎(chǔ)而創(chuàng)建的“推斷數(shù)據(jù)”和“衍生數(shù)據(jù)”(如用戶健康評估結(jié)果、用戶畫像)不能被視為數(shù)據(jù)主體提供的數(shù)據(jù)而被納入數(shù)據(jù)可攜帶權(quán)的范圍。此外，可攜帶的數(shù)據(jù)應(yīng)當(dāng)是基于同意或合同提供給個人數(shù)據(jù)控制者的，否則該數(shù)據(jù)也不具有可攜帶性。對于此種限定，《指南》并未給出過多解釋，但學(xué)者對此表示了擔(dān)憂，認(rèn)為此舉將使數(shù)據(jù)控制者傾向“非基于同意或合同”方式收集、處理相關(guān)數(shù)據(jù)。[7]

針對條件三，《指南》指出，數(shù)據(jù)可攜帶權(quán)只適用于數(shù)據(jù)處理是“通過自動化方式進(jìn)行的”，因此數(shù)據(jù)可攜帶權(quán)排除人為干預(yù)，不包括大多數(shù)紙質(zhì)文件，即，以紙質(zhì)文件方式記錄的個人數(shù)據(jù)被排除在可攜帶權(quán)的客體范圍之外。

針對條件四，WP29認(rèn)為，不應(yīng)對此進(jìn)行過于嚴(yán)格的解釋。對于涉及其他數(shù)據(jù)主體的個人數(shù)據(jù)，《指南》指出，數(shù)據(jù)控制方需考慮傳輸該數(shù)據(jù)對第三方權(quán)利和自由會否產(chǎn)生不利影響。這意味著，可攜帶的數(shù)據(jù)類型并非完全排除了有關(guān)于第三人的個人數(shù)據(jù)，而是在有損第三人利益時予以排除在外。對于涉及知識產(chǎn)權(quán)和商業(yè)秘密的數(shù)據(jù)，《指南》指出，數(shù)據(jù)可能蘊含商業(yè)秘密和知識產(chǎn)權(quán)等合法權(quán)利，然而“潛在商業(yè)風(fēng)險本身不能作為拒絕回應(yīng)數(shù)據(jù)可攜帶權(quán)請求的理由”，數(shù)據(jù)控制者可采取變通形式來轉(zhuǎn)移數(shù)據(jù)。

可見，歐盟數(shù)據(jù)可攜帶權(quán)只適用于有限的數(shù)據(jù)類型并附有嚴(yán)格的適用條件。有學(xué)者指出，“私人數(shù)據(jù)的邊界問題”給數(shù)據(jù)可攜帶權(quán)的實施帶來了障礙[8]，“可移轉(zhuǎn)的個人數(shù)據(jù)范圍有限”是歐盟數(shù)據(jù)可攜帶權(quán)制度面臨的重要問題。但也有學(xué)者認(rèn)為，數(shù)據(jù)可攜帶權(quán)的客體不可過于寬泛。[9]2020年，歐盟委員會對GDPR實施兩周年效果進(jìn)行評估，擬進(jìn)一步擴(kuò)大數(shù)據(jù)可攜帶權(quán)的范圍。[10]然而，GDPR實施時間不長，數(shù)據(jù)攜帶糾紛的案件尚未產(chǎn)生，實際效果有待觀察。[11]但無論如何，GDPR數(shù)據(jù)可攜帶權(quán)制度具有較強(qiáng)的先進(jìn)性，已在世界范圍產(chǎn)生了示范效應(yīng)。

(二)比較：域外其他國家或地區(qū)有關(guān)規(guī)定

隨著GDPR的正式施行，美國加州于2018年6月28日簽署公布《加州消費者隱私法案》(CCPA)[12]并在其第1798.100(d)項規(guī)定了“用戶的訪問及可攜帶權(quán)”，該法成為繼GDPR后最受關(guān)注的隱私保護(hù)立法。2020年11月3日，加州公民投票通過了被譽為“CCPA 2.0”的《2020年加州隱私權(quán)法》(CPRA)，該法對CCPA的規(guī)定進(jìn)行了修正并保留了消費者享有數(shù)據(jù)訪問與可攜帶權(quán)的規(guī)定。[13]其中，可攜帶的數(shù)據(jù)范圍為“從消費者獲取的特定個人信息”，且“不包括幫助保障安全性和完整性而生成的信息或法律規(guī)定的其他信息”。此外，為打破健康信息封鎖，美國衛(wèi)生部于2020年擬定新規(guī)明確，患者可隨時攜帶病歷信息在整個醫(yī)療保健系統(tǒng)中的每個醫(yī)療衛(wèi)生機(jī)構(gòu)就診，此舉進(jìn)一步明確了可攜帶權(quán)的客體范圍。[14]

除歐盟與美國外，其他法域也引入了個人數(shù)據(jù)可攜帶權(quán)并對可攜帶的數(shù)據(jù)范圍進(jìn)行了規(guī)定。2019年8月，澳大利亞頒布《消費者數(shù)據(jù)權(quán)利法案》(CDR)并于2020年2月頒布《消費者數(shù)據(jù)權(quán)利規(guī)則》(CDR規(guī)則)，對數(shù)據(jù)可攜權(quán)作出進(jìn)一步規(guī)定。根據(jù)該規(guī)定，可攜帶的數(shù)據(jù)包括“產(chǎn)品數(shù)據(jù)”和“消費者數(shù)據(jù)”，(3)“產(chǎn)品數(shù)據(jù)”是與任何特定消費者無關(guān)的數(shù)據(jù)(如產(chǎn)品性能)；消費者數(shù)據(jù)是特定于消費者的數(shù)據(jù)(如賬戶信息和交易信息)。相關(guān)介紹可參見孟潔：《評析澳大利亞〈消費者數(shù)據(jù)權(quán)利規(guī)則〉及對我國立法與產(chǎn)業(yè)的啟發(fā)》，載微信公眾號“數(shù)據(jù)合規(guī)評論”，2021年10月2日訪問。不可攜帶的數(shù)據(jù)例如“某些信貸信息”及“實質(zhì)性增強(qiáng)信息”。2019年12月4日，印度頒布《個人數(shù)據(jù)保護(hù)法》(PDPB)，根據(jù)該法第19條之規(guī)定，可攜帶的個人數(shù)據(jù)包括：個人提供的數(shù)據(jù)、個人使用產(chǎn)品過程中產(chǎn)生的數(shù)據(jù)、構(gòu)成用戶畫像的數(shù)據(jù)、數(shù)據(jù)控制者以其他方式獲取的數(shù)據(jù)。該法同時規(guī)定了“履職或遵守命令”“涉數(shù)據(jù)受托者商業(yè)秘密”“技術(shù)上不可行”三種數(shù)據(jù)可攜帶權(quán)的排除適用情形。該范圍設(shè)定方式雖與歐盟GDPR類似但卻超越了后者，將數(shù)據(jù)畫像這一推測個人信息也納入到了可攜權(quán)的客體范圍。2020年底，新加坡國會通過《個人數(shù)據(jù)保護(hù)法修正案》，修訂后的新加坡《個人數(shù)據(jù)保護(hù)法》(PDPA)通過專門章節(jié)(26F、G、H、I、J等條款)新增了個人數(shù)據(jù)可攜帶權(quán)，這讓新加坡成為效仿歐盟進(jìn)行數(shù)據(jù)可攜帶權(quán)立法的代表性國家。根據(jù)該法，可攜帶的數(shù)據(jù)為“企業(yè)控制下的個人數(shù)據(jù)”，包括個人提供的數(shù)據(jù)以及個人活動數(shù)據(jù)，甚至是他人數(shù)據(jù)，但不包含衍生數(shù)據(jù)。為促進(jìn)“數(shù)據(jù)可攜帶”條款的實施和運用，新加坡將陸續(xù)公布適用的具體數(shù)據(jù)類型。[15]2021年2月，阿拉伯地區(qū)參照GDPR，頒布《2021年數(shù)據(jù)保護(hù)條例》(DPR)，并在第18 條設(shè)立了數(shù)據(jù)可攜帶權(quán)。然而該法對數(shù)據(jù)可攜帶權(quán)的客體范圍尚無明確規(guī)定。從比較法視角考察，國外對數(shù)據(jù)可攜權(quán)客體范圍的法律規(guī)定呈現(xiàn)出完善趨勢。

(三)探索：我國有關(guān)規(guī)定

《個人信息保護(hù)法》出臺之前，我國已在規(guī)范及實務(wù)層面對個人信息可攜帶權(quán)及其客體范圍展開了積極探索。規(guī)范層面，吳曉靈委員于2017年提交的《個人信息保護(hù)法(草案)》第16條也曾規(guī)定了信息可攜帶權(quán)。[16]2019年12月27日，《中國人民銀行金融消費者權(quán)益保護(hù)實施辦法(征求意見稿)》發(fā)布，第36條對數(shù)據(jù)可攜帶權(quán)作出了前瞻性規(guī)定，其可攜帶的客體為“金融信息”。2020年3月6日，《信息安全技術(shù)個人信息安全規(guī)范GB/T 35273-2020》(以下簡稱《規(guī)范》)頒布，第8.6條提出了信息主體獲取個人信息副本的權(quán)利，可獲取的個人信息范圍為：個人基本資料、個人身份信息、個人健康生理信息、個人教育工作信息四類。就其效力而言，該規(guī)范僅為推薦性國家標(biāo)準(zhǔn)，并不屬于法的淵源；就可攜帶的個人信息范圍而言，狹窄的規(guī)定與我國個人信息可攜帶權(quán)制度、技術(shù)發(fā)展現(xiàn)狀和現(xiàn)實需要等情況不相吻合。[17]另外，攜號轉(zhuǎn)網(wǎng)可視為我國可攜帶權(quán)的雛形。2019年11月11日，《攜號轉(zhuǎn)網(wǎng)服務(wù)管理規(guī)定》印發(fā)，攜號轉(zhuǎn)網(wǎng)在全國范圍內(nèi)正式施行，推動了電話號碼數(shù)據(jù)的遷移。號碼作為一種個人數(shù)據(jù)，其可攜帶之操作加速了數(shù)據(jù)可攜帶權(quán)的形成。

網(wǎng)絡(luò)實踐層面，2019年3月騰訊QQ宣布帳號注銷功能上線時，民眾就曾提出了“平臺服務(wù)終止時，服務(wù)商是否應(yīng)提供用戶個人數(shù)據(jù)(如好友、評論、相冊)轉(zhuǎn)移服務(wù)”之疑問。[18]2021年初，阿里巴巴關(guān)停蝦米音樂時，為用戶提供了導(dǎo)出歌單服務(wù)，[19]為用戶將相關(guān)信息轉(zhuǎn)移到其他音樂平臺提供了便利。司法實踐層面，近年來關(guān)于數(shù)據(jù)遷移、數(shù)據(jù)流通的糾紛較為突出，在實體法缺乏的情況下，雖然法院未能徑直針對數(shù)據(jù)遷移問題作出處理，但部分案件中法院從競爭法層面作出了論述。例如，部分案件對企業(yè)通過技術(shù)手段，從類似網(wǎng)站獲取商戶簡介、點評信息之行為正當(dāng)性進(jìn)行了評論。(4)參見(2011)一中民終字第7512號民事判決書、(2016)滬73民終242號民事判決書、(2016)京73民終588號民事判決書。實踐中，將在用戶個人信息基礎(chǔ)上經(jīng)過匿名化等脫敏處理后形成的衍生數(shù)據(jù)認(rèn)定為不屬于用戶個人信息，而屬于數(shù)據(jù)處理者具有特定財產(chǎn)權(quán)益的資產(chǎn)。(5)參見(2018)浙01民終7312號民事判決書。我國對個人信息可攜帶權(quán)及其客體范圍的探索表明，何種類型的個人信息可由個人攜帶仍未明確，存在較大爭議。

二、設(shè)定可攜帶權(quán)客體范圍的綜合考量

鑒于立法的籠統(tǒng)及實踐的爭議，我們有必要對個人信息可攜帶權(quán)的客體范圍進(jìn)行辨明。本文認(rèn)為，個人信息可攜帶權(quán)的客體范圍不應(yīng)限于《規(guī)范》中的四類個人信息，而歐盟數(shù)據(jù)可攜帶權(quán)限定的“主體提供的數(shù)據(jù)”雖有一定合理性，但其適用范圍過于狹窄。同時，為避免在立法層面照搬照抄歐盟關(guān)于客體范圍的規(guī)定，在對有關(guān)規(guī)定進(jìn)行審視的基礎(chǔ)上，還應(yīng)結(jié)合我國有關(guān)實際情況進(jìn)行審慎地考量。

(一)背景：我國設(shè)立“可攜帶權(quán)”的立法初衷

從可攜帶權(quán)的立法來源考察，歐盟GDPR“數(shù)據(jù)可攜帶權(quán)”立法目的有二：其一，權(quán)利保障，即通過單獨規(guī)定數(shù)據(jù)可攜帶權(quán)，強(qiáng)化數(shù)據(jù)主體對其個人數(shù)據(jù)的控制力和支配力，踐行“歐盟個人數(shù)據(jù)自決理念”；[20]其二，產(chǎn)業(yè)競爭，即在安全可靠的方式下，充分促進(jìn)各數(shù)據(jù)控制者之間的相互競爭，促進(jìn)歐盟本地互聯(lián)網(wǎng)產(chǎn)業(yè)的創(chuàng)新和發(fā)展。對于數(shù)據(jù)主體和數(shù)據(jù)控制者關(guān)系之平衡，《指南》指出，GDPR監(jiān)管重心在個人數(shù)據(jù)安全與流通，而非市場競爭。2020年6月28日，歐盟委員會發(fā)布對 GDPR 實施的第一次評估，該評估報告指出，“數(shù)據(jù)可攜性權(quán)利具有明顯的潛力，但仍未得到充分利用......釋放這一潛力是委員會的優(yōu)先事項之一”。[10]其仍然將個人置于數(shù)據(jù)經(jīng)濟(jì)的中心，并以此間接地促進(jìn)競爭，支持創(chuàng)新。歸結(jié)而言，歐盟可攜帶權(quán)“在確保民眾能夠掌控其個人信息的同時，也促使企業(yè)不斷提高創(chuàng)新型數(shù)字服務(wù)”。[21]

關(guān)于我國設(shè)立“個人信息可攜帶權(quán)”的立法初衷，亦可從兩方面考察。一方面，在于加強(qiáng)個人信息主體對其個人信息轉(zhuǎn)移與再利用行為的把控，使個人可以在同類或相似服務(wù)的不同服務(wù)商之間輕松轉(zhuǎn)換，強(qiáng)化人格與財產(chǎn)利益的實現(xiàn)?；诖朔N立法目的，我國將個人信息攜帶主體設(shè)定為個人，從而將企業(yè)法人排除在可攜帶主體之外。另一方面，平臺經(jīng)濟(jì)數(shù)據(jù)壟斷、限制競爭行為日益突出，為破除優(yōu)勢平臺的數(shù)據(jù)鎖定，應(yīng)引入數(shù)據(jù)可攜帶權(quán)。[22]在反壟斷工具箱中，可攜帶權(quán)被認(rèn)為是事先規(guī)制的手段，成為反壟斷法規(guī)中的重要制度。申衛(wèi)星教授指出：“我國確立可攜帶權(quán)的目標(biāo)更多聚焦于提升互操作性以化解數(shù)據(jù)壟斷問題”。[23]程嘯教授也認(rèn)為，設(shè)立可攜帶權(quán)的根本理由在于“預(yù)防和制止平臺經(jīng)濟(jì)領(lǐng)域的壟斷行為，保護(hù)市場公平競爭”。[24]

相對于歐盟GDPR，我國對個人信息可攜帶權(quán)的立法目的在規(guī)范競爭和反壟斷層面的蘊意更加濃厚，因此可將競爭要素作為判斷可攜帶權(quán)客體范圍的考量因素，若某一信息不可或缺或不可重復(fù)，應(yīng)著重考量是否可攜帶。對數(shù)據(jù)可攜帶權(quán)的理解，應(yīng)結(jié)合數(shù)據(jù)流動和釋放數(shù)據(jù)價值的角度來考慮。

(二)前提：數(shù)據(jù)的權(quán)屬界分

個人信息可攜帶權(quán)的客體范圍問題，“本質(zhì)上是數(shù)據(jù)權(quán)屬及其分配問題”。[25]然而，我國關(guān)于數(shù)據(jù)權(quán)屬并無法律法規(guī)進(jìn)行直接的規(guī)定。實踐層面，2017年華為與騰訊數(shù)據(jù)爭奪戰(zhàn)、2019年騰訊與多閃用戶昵稱頭像之爭及2021年抖音與騰訊反壟斷糾紛均引發(fā)了公眾關(guān)于數(shù)據(jù)權(quán)屬及是否可攜帶的思考，這也反映出，互聯(lián)網(wǎng)產(chǎn)業(yè)中對實現(xiàn)個人數(shù)據(jù)的自由流通還存在較大爭議。學(xué)理上，數(shù)據(jù)權(quán)屬有四種觀點：數(shù)據(jù)個人所有、數(shù)據(jù)平臺所有、數(shù)據(jù)個人與平臺共有、數(shù)據(jù)公眾所有。[26]另外，從司法裁判中也可歸納出“數(shù)據(jù)權(quán)屬界分”之司法導(dǎo)向?！按蟊婞c評訴愛幫不正當(dāng)競爭糾紛案”與“大眾點評訴百度地圖不正當(dāng)競爭糾紛案”中，法院認(rèn)為原網(wǎng)站經(jīng)營者對其搜集、整理而來的點評信息享有相應(yīng)權(quán)益。“美景訴淘寶不正當(dāng)競爭糾紛案”中，判決確認(rèn)平臺運營者對其收集的原始數(shù)據(jù)有權(quán)依照其與網(wǎng)絡(luò)用戶的約定進(jìn)行使用，對其研發(fā)的大數(shù)據(jù)產(chǎn)品享有獨立的財產(chǎn)性權(quán)益。這反映出，法院采取的是“個人信息和增值數(shù)據(jù)相區(qū)分”之規(guī)則?！拔⒉┰V脈脈不正當(dāng)競爭糾紛案”中，法院確認(rèn)了信息時代的數(shù)據(jù)包含反不正當(dāng)競爭法中應(yīng)當(dāng)保護(hù)的商業(yè)價值，并強(qiáng)調(diào)了第三方平臺使用授權(quán)平臺所收集的用戶數(shù)據(jù)的“三重授權(quán)原則”。這反映出，個人數(shù)據(jù)的權(quán)屬傾向于被認(rèn)定為企業(yè)與個人共同所有。然而，“對于已經(jīng)取得用戶同意將個人數(shù)據(jù)從網(wǎng)絡(luò)開放平臺遷移到第三方平臺的行為是否需要取得企業(yè)的許可是值得商榷的”。[27]

如今，《個人信息保護(hù)法》已經(jīng)頒布，新設(shè)立的可攜帶權(quán)等競爭性權(quán)利對資源的分配提出了新的要求。在確定可攜帶的個人信息范圍時，應(yīng)從分配正義出發(fā)，對信息數(shù)據(jù)資源進(jìn)行合理分配，確定數(shù)據(jù)權(quán)屬、個人信息與企業(yè)數(shù)據(jù)的分界。

(三)立場：關(guān)涉主體利益平衡

從立法宗旨來看，處理個人信息保護(hù)與大數(shù)據(jù)利用之間的利益衡量是制定《個人信息保護(hù)法》的核心任務(wù)之一。對“可攜帶的個人信息”的判斷，涉及個人信息保護(hù)、企業(yè)的資產(chǎn)利用與數(shù)據(jù)相關(guān)行業(yè)的創(chuàng)新等多個維度，應(yīng)基于謹(jǐn)慎的利益衡量作出妥善的制度安排。

對于個人信息主體而言，其關(guān)注可攜帶的個人信息范圍是否足夠?qū)挿海绻秶^于狹窄，這一權(quán)利將被抽空從而影響個人信息自決結(jié)果。以電商領(lǐng)域為例，若采狹義解釋，則電商平臺中的個體賣家不能將其評級和聲譽等通常被納入推測個人信息范疇的信息移動到另一平臺，但恰恰該已建立的良好聲譽對于購買吸引力至關(guān)重要。在我國，個人信息作為人格權(quán)益，受到法律嚴(yán)格保護(hù)，企業(yè)在利用數(shù)據(jù)的過程中需要更好地保護(hù)個人的數(shù)據(jù)權(quán)利。個人信息權(quán)承載姓名、肖像、隱私、名譽、信用評價等多種人格利益，因此信息主體應(yīng)當(dāng)被賦予更廣泛且更細(xì)致的信息自決權(quán)。

對于個人信息獲取方而言，希望獲取到用戶信息并應(yīng)用到其商業(yè)運營中去以增強(qiáng)其市場競爭力，并通過數(shù)據(jù)遷移降低其獲取數(shù)據(jù)行為的涉嫌不正當(dāng)競爭的風(fēng)險。從經(jīng)濟(jì)和社會效益的角度出發(fā),“主張可攜權(quán)也是主張對大數(shù)據(jù)的充分利用”。[28]因此，其關(guān)注可攜帶的個人信息范圍是否足夠?qū)挿骸?/p>

對于個人信息控制者而言，可攜帶權(quán)使其負(fù)擔(dān)了義務(wù)。數(shù)據(jù)資源成為企業(yè)新的生產(chǎn)要素，企業(yè)需要投入人力、物力、財力來形成數(shù)據(jù)，并以此產(chǎn)生一定收益。若罔顧其數(shù)據(jù)權(quán)益，則可能會影響其創(chuàng)新積極性。同時，寬泛的客體范圍增加個人信息控制者運營成本，為避免給個人信息控制者增加不合理的負(fù)擔(dān)，應(yīng)對個人信息的可攜帶權(quán)的客體范圍作出限制解釋。

可攜帶權(quán)的適用過程通常還涉及第三方權(quán)益，因此其客體范圍判斷還需兼顧第三方利益，不能對第三方個人信息權(quán)利、商業(yè)秘密、數(shù)據(jù)庫權(quán)利和知識產(chǎn)權(quán)產(chǎn)生不利影響，避免個人信息控制者停止有關(guān)個人信息價值加工創(chuàng)造服務(wù)和對競爭、創(chuàng)新的抑制作用。因此需要對個人信息可攜帶權(quán)客體范圍加以限制，以實現(xiàn)利益相關(guān)者的個人信息保護(hù)，“平衡數(shù)據(jù)主體和關(guān)聯(lián)第三方的數(shù)據(jù)權(quán)益”。[29]

一言以蔽之，對個人信息可攜帶權(quán)客體范圍的判斷，既要兼顧個人對于自身信息的控制權(quán)，也要促進(jìn)數(shù)據(jù)自由流動、破除平臺數(shù)據(jù)壟斷，同時還要保障個人信息控制者的合理數(shù)據(jù)權(quán)益。因此，立法傾向性上，應(yīng)當(dāng)合理界定個人信息可攜帶權(quán)的客體范圍，協(xié)調(diào)個人信息控制權(quán)和企業(yè)數(shù)據(jù)財產(chǎn)利益之間的利益沖突。

三、我國個人信息可攜帶權(quán)客體范圍的設(shè)置

可攜帶權(quán)的客體范圍界定實質(zhì)上是一種初始權(quán)利分配活動，對其判斷應(yīng)當(dāng)兼顧各方合法權(quán)益，平衡不同利益的競合關(guān)系，進(jìn)行多層次的合理設(shè)定。同時，為盡可能勾勒出個人信息可攜帶權(quán)的客體邊界，此種設(shè)定還需在普適性最低標(biāo)準(zhǔn)的基礎(chǔ)上分行業(yè)、分領(lǐng)域、分類型、分場景進(jìn)行彈性處理。

(一)層次一：可攜帶權(quán)客體范圍與“個人信息”

1.普適性規(guī)定：可攜帶的信息為“個人信息”

談及“個人信息”，應(yīng)先厘清其與“個人數(shù)據(jù)”之關(guān)系。與歐盟GDPR不同的是，我國確立的是“個人信息可攜帶權(quán)”而非“個人數(shù)據(jù)可攜帶權(quán)”之概念。不過有學(xué)者指出，歐盟GDPR實際上將“個人信息”視為“個人數(shù)據(jù)”，[30]GDPR中的“個人數(shù)據(jù)”和 “個人信息”是互相證成的同一概念，二者不作區(qū)分。[31]或認(rèn)為，我國《個人信息保護(hù)法》中規(guī)定的個人信息可攜帶權(quán)，是“歐盟條例中確定的數(shù)據(jù)可攜帶權(quán)的中國化表述”。[32]但也有學(xué)者指出，個人信息可攜帶權(quán)場合下，對信息和數(shù)據(jù)進(jìn)行區(qū)分具有一定意義。[33]筆者認(rèn)為，個人信息與個人數(shù)據(jù)二者雖有細(xì)微區(qū)別——個人數(shù)據(jù)是個人信息的載體，但實踐中常忽略該區(qū)別而交叉使用，[34]又鑒于二者在民事權(quán)益的討論中具有指代內(nèi)容一致性和概念難以分割性，(6)程嘯教授認(rèn)為，討論自然人對個人數(shù)據(jù)的民事權(quán)利，當(dāng)然就是在討論自然人對于數(shù)據(jù)呈現(xiàn)的個人信息的民事權(quán)利或者包含了個人信息的數(shù)據(jù)的權(quán)利問題。參見程嘯：《〈個人信息保護(hù)法〉理解與適用》，北京：中國法制出版社2021版，第75頁。故對二者且不作區(qū)分處理。我國多部法律規(guī)范對個人信息作出了定義，(7)詳見《網(wǎng)絡(luò)安全法》第76條、《信息安全技術(shù)個人信息安全規(guī)范(標(biāo)準(zhǔn)號∶GB/T35273-2020)》第3.1條、《民法典》第1034條、《數(shù)據(jù)安全管理辦法》第38條第(三)款、《個人信息保護(hù)法》第4條。在本文語境下，對于“個人信息”的定義，沖突之處宜采特別法規(guī)范《個人信息保護(hù)法》之規(guī)定。其中《個人信息保護(hù)法》采取了接近GDPR的定義方式——“關(guān)聯(lián)+識別”標(biāo)準(zhǔn)，即“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息”，該法確認(rèn)了廣義的個人信息范圍，意味著絕大多數(shù)與自然人相關(guān)的信息都可以納入保護(hù)范圍。

《個人信息保護(hù)法》等法律對“個人信息”的定義實際上就已為可攜帶權(quán)的客體范圍設(shè)定了邊界。第一，可攜帶的須為本人的“個人信息”，如個人資料、好友關(guān)系、廣告偏好等，這就將他人信息及無關(guān)信息排除在可攜帶權(quán)的范圍之外；第二，可攜帶的須為“已識別或者可識別”的個人信息，但個人信息處理者掌握的個人提供的個人信息，經(jīng)過去標(biāo)識化卻仍未達(dá)到匿名化處理標(biāo)準(zhǔn)的個人信息，落入可攜帶范圍；第三，我國法律將“匿名后信息”排除在“個人信息”范疇之外，因此，從文義上理解，不具有識別要素的用戶評論、用戶評價等匿名后信息也不屬于可攜帶權(quán)的客體范圍，除非該匿名數(shù)據(jù)可以從后臺定位到真實數(shù)據(jù)主體；第四，我國的個人信息概念將電子化的個人信息和紙質(zhì)等其他形式的個人信息同時囊括在內(nèi)，考慮到“攜帶”行為的電子化，對于非電子化的個人信息不宜適用可攜帶權(quán)。

2.彈性處理：將可攜帶權(quán)的客體范圍擴(kuò)張至“個人信息”以外

基于上述思路，我們不禁產(chǎn)生一個疑問——用戶評論及評價是否可攜帶？相對于用戶而言，“平臺上的用戶評價中具可識別性的屬于個人信息，應(yīng)當(dāng)落在數(shù)據(jù)攜帶權(quán)的范疇之內(nèi)”。[35]然而，用戶評論、用戶評價等是否會被歸于匿名化信息，從而不屬于可攜帶權(quán)的客體范圍？對于被評價者而言，是否可以攜帶其評價信息到新的平臺？可攜帶的內(nèi)容，是否可以突破“個人信息”的限制？對此，有學(xué)者認(rèn)為，“我國可寬泛地界定數(shù)據(jù)可攜權(quán)客體”，“消費者提供的個人數(shù)據(jù)、使用數(shù)字內(nèi)容產(chǎn)生或生成的數(shù)據(jù)，均可成為可攜權(quán)的客體”，[36]對此筆者持贊同觀點。因可攜帶權(quán)作為個人信息控制者的法律義務(wù)而出現(xiàn)，所以如果個人信息控制者于特定場景下擴(kuò)張可攜帶內(nèi)容，這與普適性規(guī)定并不沖突。按照此思路，對于空間存儲服務(wù)中的非個人信息(如文字、圖片、視頻、鏈接、音頻等)則具備了可攜帶性，對于個人信息概念無法囊括的微博、游記等用戶生成內(nèi)容，也可賦予其可攜性。

(二)層次二：可攜帶權(quán)客體范圍與“信息主體提供”

1.普適性規(guī)定：可攜帶的信息為個人基于同意或合同提供的個人信息

第一，因“知情同意權(quán)衍生出可攜帶權(quán)”，[37]將可攜帶權(quán)的客體范圍限定為“數(shù)據(jù)主體基于同意或合同提供給個人數(shù)據(jù)控制者的”，并排除了非基于同意或合同收集的數(shù)據(jù)(傳統(tǒng)征信機(jī)構(gòu)采集的信貸數(shù)據(jù))，具有一定合理性。而對于個人信息控制者為了公共利益或行使公權(quán)力所必需而處理的個人信息(例如：衛(wèi)生部門收集的個人疾病信息)，則不可攜帶，此時可限制個人行使可攜帶權(quán)。

第二，“提供”行為應(yīng)當(dāng)涵蓋“主動提供”和“被動記錄”兩類情形。判斷可攜帶的個人信息應(yīng)對個人信息與企業(yè)數(shù)據(jù)進(jìn)行有效區(qū)分。借鑒歐盟經(jīng)驗，個人對于其有意和主動提交給數(shù)據(jù)控制者的可識別性的基礎(chǔ)性信息(如姓名、身高、地址、年齡、職業(yè)、學(xué)歷等)應(yīng)該具有所有權(quán)，對于個人信息主體使用服務(wù)或者設(shè)備所提供的觀測信息(如健身記錄、行為軌跡等)亦應(yīng)當(dāng)屬于可攜帶范圍。此外，對于個人信息控制者經(jīng)過算法加工、計算、聚合而成的推測個人信息(如精準(zhǔn)畫像、用戶評級)，不屬于可攜帶權(quán)的范圍，因為加工創(chuàng)造的價值屬于加工者。例如，電商領(lǐng)域中，網(wǎng)絡(luò)用戶瀏覽、搜索、收藏、加購、交易等行為痕跡信息可攜帶，而由行為痕跡信息推測所得出的行為人個人偏好等標(biāo)簽信息，則不可攜帶。

2.彈性處理：非基于同意或合同處理的個人信息可攜及企業(yè)用戶協(xié)議具體設(shè)定

第一，對于公共部門基于公權(quán)力所收集和儲存的個人信息是否可攜帶，有學(xué)者指出，無論是入學(xué)申請、入職申請還是辦理證件，重復(fù)填寫各種表單為民眾帶來困擾。[6]因為，此種情況下，個人信息通常不具有可攜帶性。因此，需要通過加強(qiáng)不同政府部門之間的個人信息共享能力。有條件地賦予公民對于公共部門基于公權(quán)力所收集和儲存的個人信息的可攜帶權(quán)，推動非基于同意或合同收集的個人信息的轉(zhuǎn)移便攜性。

第二，《個人信息保護(hù)法》正式頒布，為企業(yè)個人信息合規(guī)提出新的要求。數(shù)據(jù)競爭領(lǐng)域，“數(shù)據(jù)保護(hù)一般不應(yīng)再成為互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)壟斷行為具備正當(dāng)性的理由”，一些互聯(lián)網(wǎng)企業(yè)常以保護(hù)用戶數(shù)據(jù)為由對其他企業(yè)的數(shù)據(jù)獲取行為進(jìn)行干預(yù)或阻攔，這樣的排擠性行為很可能已經(jīng)“超出了保護(hù)用戶數(shù)據(jù)的必要限度且同時侵犯了用戶的數(shù)據(jù)可攜帶權(quán)等合法權(quán)益”。[38]即便如此，各類信息并不能籠統(tǒng)歸入可攜帶范圍。作為個人信息控制方，應(yīng)當(dāng)針對個人信息可攜帶權(quán)的范圍，結(jié)合業(yè)務(wù)模式、個人信息處理場景，建立數(shù)據(jù)分類標(biāo)記管理制度。對適用于個人信息可攜帶權(quán)的數(shù)據(jù)類型作相應(yīng)分類標(biāo)記。對不屬于個人信息可攜帶權(quán)范圍的衍生信息，應(yīng)當(dāng)進(jìn)行脫敏加工處理。區(qū)分初始個人信息和匿名化等不同處理程度的信息。同時，在平臺用戶協(xié)議或隱私政策中增加個人信息可攜帶權(quán)，條款內(nèi)容應(yīng)包括可攜帶的個人信息類型及攜帶的操作要求。既有條款中存在“否定個人信息可攜帶權(quán)”等非正當(dāng)性內(nèi)容的，則應(yīng)及時修正?！皞€人信息所負(fù)載的人格利益是極為多元的”，企業(yè)可以在其用戶協(xié)議中“做出特定且細(xì)化的場景適用規(guī)則”。[39]

(三)層次三：可攜帶權(quán)客體范圍與“第三方權(quán)益”

1.普適性規(guī)定：嚴(yán)重危及第三方權(quán)益的個人信息不可攜帶

個人信息可攜帶，不意味著任何個人信息均可轉(zhuǎn)移，需要區(qū)分不同類型信息并平衡第三方權(quán)益。個人信息非孤立存在，同時關(guān)涉第三方信息。例如，通訊錄信息、電話記錄信息、聊天信息、郵件往來信息、轉(zhuǎn)賬記錄信息等包含朋友的照片或者評論、與第三人的商業(yè)往來、信件密函、信息主體的銀行賬戶包含其他個人信息等。按照個人信息的定義，此類信息當(dāng)然屬于個人信息，然而，如果個人信息持有人在未征得第三方個人同意的情況下進(jìn)行個人信息轉(zhuǎn)移，當(dāng)然有可能侵犯他人的個人信息安全。

然而，是否所有的涉他信息的轉(zhuǎn)移均會危及第三人權(quán)益？是否所有的涉他信息均不可轉(zhuǎn)移？若所有的涉他信息均排除在外，那么獨立的個人信息將寥寥無幾。因此，在劃定可攜帶權(quán)范圍時，應(yīng)處理好他人權(quán)益與可攜帶權(quán)的關(guān)系，對可攜帶個人信息的范圍做出限定，若其攜帶會損害第三人的權(quán)益，則應(yīng)該排除在外，若對于第三人的利益毫無損害或不構(gòu)成實質(zhì)損害，則不能排除在外，比如一些普通的電話記錄等。

個人信息可攜帶權(quán)須受到商業(yè)秘密和知識產(chǎn)權(quán)的限制。個人信息也會包含第三人的知識產(chǎn)權(quán)或者商業(yè)秘密(如個人分享的文章或視頻屬于第三人所有)，如果個人信息可攜帶權(quán)對其他人商業(yè)秘密和知識產(chǎn)權(quán)產(chǎn)生負(fù)面影響，則應(yīng)加以限制。鑒于個人信息可攜帶權(quán)可能損害以專門處理和分析個人數(shù)據(jù)為商業(yè)模式的公司的商業(yè)利益，通過可攜帶權(quán)未經(jīng)對方許可獲取商業(yè)秘密還可能涉及到不正當(dāng)競爭問題，我國在關(guān)于個人信息可攜帶權(quán)的立法中“應(yīng)對損害商業(yè)秘密和知識產(chǎn)權(quán)的情形加以適當(dāng)限制”。[40]

2.彈性處理：個人信息控制者設(shè)立相關(guān)部門對可攜帶的個人信息進(jìn)行篩選

賦予用戶以個人信息可攜帶權(quán)，不應(yīng)當(dāng)影響企業(yè)對商業(yè)秘密的保護(hù)，確保不得對其他信息主體的權(quán)利和自由造成不利影響。然而，如何在不同場景下界定用戶可攜帶個人信息的范圍，確保第三方權(quán)益不受侵害是國內(nèi)外適用可攜帶權(quán)時均會面臨的難題。因此，對于可攜帶的個人信息建議個人信息控制者設(shè)立相關(guān)部門對可攜帶的個人信息進(jìn)行篩選、判斷，明確相關(guān)責(zé)任人、監(jiān)督機(jī)制、第三方救濟(jì)維權(quán)機(jī)制，對重點信息的可攜性進(jìn)行重點審查。

結(jié) 語

個人信息可攜帶權(quán)客體范圍的判斷，可在設(shè)置普適性規(guī)則的基礎(chǔ)上進(jìn)行彈性處理。普適性規(guī)則下，可從“個人信息”“信息主體提供”“禁止損害第三方權(quán)益”等方面同時對可攜帶的客體范圍進(jìn)行多層次限定，建立具有可操作性的最低標(biāo)準(zhǔn)。在判斷邏輯上，應(yīng)遵循順序原則依次從三個層次對信息是否可攜帶展開評判。同時，可通過與行業(yè)協(xié)會及關(guān)涉平臺的合作，針對不同平臺進(jìn)行類型化區(qū)分、精細(xì)化設(shè)計，并考慮到對涉他權(quán)益保護(hù)，由個人信息控制者在最低標(biāo)準(zhǔn)的基礎(chǔ)上，自行擬定細(xì)則，報行業(yè)協(xié)會和有關(guān)部門批準(zhǔn)后實施。通過實踐中的不斷摸索和完善，對可攜帶的個人信息范圍進(jìn)行動態(tài)調(diào)整。