論個(gè)人信息可攜帶權(quán)及實(shí)現(xiàn)

白楊

摘 要：《個(gè)人信息保護(hù)法》首次規(guī)定可攜帶權(quán)，本文圍繞權(quán)利的構(gòu)造及實(shí)現(xiàn)展開(kāi)。首先對(duì)可攜帶權(quán)的性質(zhì)、內(nèi)容進(jìn)行討論，認(rèn)為該權(quán)利是以保護(hù)個(gè)人利益為核心兼具財(cái)產(chǎn)屬性的新型權(quán)利，并對(duì)該權(quán)利的主體、客體和具體內(nèi)容展開(kāi)論述?？蓴y帶權(quán)權(quán)利實(shí)現(xiàn)的過(guò)程中要嚴(yán)格審查遷移數(shù)據(jù)的范圍和權(quán)屬，劃清責(zé)任主體的義務(wù)邊界，制定標(biāo)準(zhǔn)化的流通規(guī)則，更要對(duì)損害他人利益和社會(huì)利益的行為進(jìn)行限制，以促進(jìn)數(shù)據(jù)流通、驅(qū)動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展。

關(guān)鍵詞：可攜帶權(quán)；數(shù)據(jù)流通；個(gè)人數(shù)據(jù)；數(shù)字經(jīng)濟(jì)

中圖分類(lèi)號(hào)：D923.8文獻(xiàn)標(biāo)識(shí)碼：Ａ 文章編號(hào)：１００９ — ２２３４（２０23）06 — ０108 — ０6

《國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年計(jì)劃和2035年遠(yuǎn)景目標(biāo)綱要》明確指出要迎接數(shù)字時(shí)代，激活數(shù)據(jù)要素潛能，加快建設(shè)數(shù)字經(jīng)濟(jì)，以數(shù)字化轉(zhuǎn)型整體驅(qū)動(dòng)生產(chǎn)方式變革。國(guó)家和地方創(chuàng)新探索數(shù)字經(jīng)濟(jì)的發(fā)展模式，數(shù)字經(jīng)濟(jì)秩序呈現(xiàn)野蠻性生長(zhǎng)的狀態(tài)，如何重建數(shù)字時(shí)代的經(jīng)濟(jì)秩序，特別是如何保護(hù)數(shù)字市場(chǎng)中信息提供者的數(shù)字權(quán)益成為重中之重。2021年我國(guó)通過(guò)了《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》），該法成為數(shù)字社會(huì)治理的力工具。該法第五章專(zhuān)章規(guī)定了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，第45條第3款引入了個(gè)人信息可攜帶權(quán)（本文不區(qū)分?jǐn)?shù)據(jù)與個(gè)人信息、數(shù)據(jù)可攜帶權(quán)與個(gè)人信息可攜帶權(quán)的意思，兩者等同使用），即“個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國(guó)家網(wǎng)信部門(mén)規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑?！痹摽钊敕烦填H為曲折，僅在草案三審稿中出現(xiàn)并被隨后出臺(tái)的法律所保留。可攜帶權(quán)為什么最后才被立法者所采納？法律條文對(duì)可攜帶權(quán)的規(guī)定為何如此寬泛？如何理解可攜帶權(quán)的性質(zhì)與內(nèi)容？可攜帶權(quán)在中國(guó)如何行使？如何保護(hù)可攜帶權(quán)？本文嘗試對(duì)上述問(wèn)題進(jìn)行探討。

一、個(gè)人信息可攜帶權(quán)的性質(zhì)

（一）可攜帶權(quán)是基于個(gè)人利益所產(chǎn)生的權(quán)利

可攜帶權(quán)的客體為個(gè)人信息或個(gè)人數(shù)據(jù)，個(gè)人信息是指能夠描述個(gè)人基本特征和其他身份信息的資料。一些個(gè)人信息更是直指特定的自然人，例如身份證號(hào)碼僅描述唯一主體，此種特定的可識(shí)別性集中體現(xiàn)了個(gè)人信息與個(gè)人權(quán)益的緊密關(guān)系。信息主體對(duì)個(gè)人信息流轉(zhuǎn)范圍和流轉(zhuǎn)方式的掌握是在現(xiàn)實(shí)社會(huì)中保護(hù)個(gè)人信息相關(guān)權(quán)益的價(jià)值基礎(chǔ)。［1］個(gè)人信息權(quán)利包括可攜帶權(quán)在內(nèi)均是基于保護(hù)個(gè)人利益產(chǎn)生，并非為維護(hù)公共利益亦或公共秩序而設(shè)立。并且可攜帶權(quán)當(dāng)屬權(quán)利而非權(quán)益。在制定《民法典》及《個(gè)人信息保護(hù)法》過(guò)程中，學(xué)界對(duì)個(gè)人信息權(quán)益的性質(zhì)分歧較大?！懊袷吕嬲f(shuō)”認(rèn)為自然人對(duì)個(gè)人信息享有的只是受法律保護(hù)的利益，而非民事權(quán)利。［2］其一在立法語(yǔ)言的選擇上，《民法總則》第111條沒(méi)有使用“個(gè)人信息權(quán)”的表述，這意味著立法機(jī)關(guān)沒(méi)有將個(gè)人信息作為一項(xiàng)具體的人格權(quán)利；［3］其二，對(duì)個(gè)人信息的保護(hù)是行為規(guī)制模式而非權(quán)利保護(hù)模式；［4］其三，將個(gè)人信息的認(rèn)定為民事權(quán)利會(huì)導(dǎo)致主體享有過(guò)于強(qiáng)大的決定權(quán)和支配權(quán)，致使個(gè)人信息無(wú)法自由流動(dòng)，阻礙數(shù)字經(jīng)濟(jì)的發(fā)展。［5］茲以為根據(jù)我國(guó)國(guó)情，將個(gè)人信息權(quán)益認(rèn)定為權(quán)利尚無(wú)不妥之處。隨著信息技術(shù)突飛猛進(jìn)式的發(fā)展，我國(guó)公民的生活與數(shù)字技術(shù)的交融愈發(fā)緊密，公民對(duì)個(gè)人信息權(quán)益保護(hù)的意識(shí)卻較為淡薄，即便將信息權(quán)益認(rèn)定為權(quán)利，也僅是給予公民個(gè)人信息更強(qiáng)的法律保護(hù)，而不可能出現(xiàn)因公民對(duì)信息的絕對(duì)控制導(dǎo)致數(shù)據(jù)的流通受阻，從而影響數(shù)字經(jīng)濟(jì)的發(fā)展的情況。相反，若將個(gè)人信息權(quán)益的性質(zhì)認(rèn)定為利益，根據(jù)權(quán)利義務(wù)相對(duì)應(yīng)原則，無(wú)權(quán)利則無(wú)義務(wù)，法律不能為個(gè)人信息利益設(shè)置義務(wù)，這恐怕會(huì)引起數(shù)字經(jīng)濟(jì)、數(shù)字社會(huì)治理的一系列問(wèn)題。以可攜帶權(quán)為例，若可攜帶權(quán)僅是一種法益，用戶(hù)就無(wú)法強(qiáng)制要求數(shù)據(jù)控制者轉(zhuǎn)移其個(gè)人信息至另一數(shù)據(jù)接收者，且保證數(shù)據(jù)流轉(zhuǎn)安全等，這顯然會(huì)加劇數(shù)字時(shí)代背景下的市場(chǎng)壟斷，增加數(shù)字安全風(fēng)險(xiǎn)，因此，認(rèn)定包括可攜帶權(quán)在內(nèi)的個(gè)人信息權(quán)益為權(quán)利是正當(dāng)且合理的。

（二）可攜帶權(quán)帶有財(cái)產(chǎn)屬性

上文提到可攜帶權(quán)基于人身利益產(chǎn)生，權(quán)利內(nèi)核是對(duì)個(gè)人人格利益特別是精神利益的保護(hù)。在我國(guó)，人格權(quán)益的保護(hù)遵循“一元制”結(jié)構(gòu)，既保護(hù)權(quán)利本身所強(qiáng)調(diào)的人格利益，亦保護(hù)權(quán)利實(shí)現(xiàn)過(guò)程中產(chǎn)生的財(cái)產(chǎn)利益，易言之，個(gè)人信息權(quán)益是天然內(nèi)置財(cái)產(chǎn)屬性的人格權(quán)益。可攜帶權(quán)亦如此?？蓴y帶權(quán)的實(shí)質(zhì)在于數(shù)據(jù)的流通，流通過(guò)程中產(chǎn)生有形或無(wú)形的經(jīng)濟(jì)價(jià)值，經(jīng)濟(jì)的本質(zhì)不過(guò)是資源無(wú)數(shù)次流通與交易的總和。例如，用戶(hù)甲將其存儲(chǔ)在百度網(wǎng)盤(pán)的資料移轉(zhuǎn)至阿里網(wǎng)盤(pán)，此時(shí)百度網(wǎng)盤(pán)的使用率下降，其會(huì)員服務(wù)等附帶服務(wù)的收益隨之降低，但阿里網(wǎng)盤(pán)則因?yàn)橛脩?hù)的數(shù)據(jù)遷移而增加了利潤(rùn)。顯然，可攜帶權(quán)的實(shí)現(xiàn)內(nèi)蘊(yùn)經(jīng)濟(jì)價(jià)值的生產(chǎn)，故法律應(yīng)當(dāng)認(rèn)可攜帶權(quán)自身所天然擁有的財(cái)產(chǎn)屬性并予以保護(hù)。

（三）可攜帶權(quán)是一項(xiàng)新型權(quán)利

從存續(xù)時(shí)間上看，2010年電子前沿基金會(huì)（Electroic Frotier Foundation）曾提出社交網(wǎng)絡(luò)用戶(hù)隱私權(quán)法案應(yīng)當(dāng)包括數(shù)據(jù)可攜帶權(quán)，保證用戶(hù)在決定離開(kāi)社交網(wǎng)絡(luò)服務(wù)是能夠以通用的格式轉(zhuǎn)移到其他服務(wù)中，［6］這可視為可攜帶權(quán)理念的雛形?？蓴y帶權(quán)作為一種權(quán)利類(lèi)型第一次出現(xiàn)在2012年歐盟《通用數(shù)據(jù)保護(hù)條例》（草案）（General Data Protection Regulation，以下簡(jiǎn)稱(chēng)GDPR）的第18條。2016年正式出臺(tái)GDPR，自此數(shù)據(jù)可攜帶權(quán)被法律正式確立。2012年至今僅10年，可攜帶權(quán)剛剛經(jīng)歷“提出——確立”的過(guò)程，可以說(shuō)可攜帶權(quán)尚處在“少年”時(shí)期。從產(chǎn)生時(shí)代背景看，當(dāng)今整個(gè)社會(huì)從工業(yè)時(shí)代大踏步邁進(jìn)數(shù)字時(shí)代，數(shù)字政府、數(shù)字法院、數(shù)字法學(xué)等理念層出不窮，社會(huì)的數(shù)字化轉(zhuǎn)型使社會(huì)秩序發(fā)生顛覆性變革，可攜帶權(quán)正是產(chǎn)生在這樣一個(gè)新型社會(huì)，其內(nèi)容也帶有明顯的時(shí)代特征，即為滿(mǎn)足數(shù)字經(jīng)濟(jì)的發(fā)展和數(shù)字社會(huì)秩序的重建要求個(gè)人信息自由、無(wú)障礙的流動(dòng)。從權(quán)利內(nèi)容上看，可攜帶權(quán)完全不同于以往的任何一種人身權(quán)利，可攜帶權(quán)跳脫傳統(tǒng)的法律理念和權(quán)利模型的范疇，是具備前瞻性特點(diǎn)的新型權(quán)利。

（四）可攜帶權(quán)是一項(xiàng)特殊的請(qǐng)求權(quán)

作為個(gè)人信息權(quán)利的可攜帶權(quán)，是基于個(gè)人信息自決權(quán)而產(chǎn)生的，權(quán)利主體可以自主支配權(quán)利的行使和實(shí)現(xiàn)。然而，可攜帶權(quán)實(shí)現(xiàn)的關(guān)鍵是由數(shù)據(jù)控制者操縱數(shù)據(jù)流轉(zhuǎn)過(guò)程，用戶(hù)可攜帶權(quán)的實(shí)現(xiàn)需要請(qǐng)求數(shù)據(jù)控制著給予幫助，在此過(guò)程中用戶(hù)必還須解除其對(duì)個(gè)人信息的獨(dú)占性控制，就此認(rèn)為本為支配權(quán)的可攜帶權(quán)是一項(xiàng)特殊的請(qǐng)求權(quán)。

二、個(gè)人信息可攜帶權(quán)的內(nèi)容

（一）個(gè)人信息可攜帶權(quán)的權(quán)利架構(gòu)

1.可攜帶權(quán)的權(quán)利主體

歐盟GDPR明確本條例的保護(hù)主體僅適用于自然人。印度、新加坡、日本等國(guó)家相關(guān)法律亦將主體限定為自然人，但澳大利亞《消費(fèi)者數(shù)據(jù)權(quán)利法》（Consumer Data Right，以下簡(jiǎn)稱(chēng)CDR）將受認(rèn)可的第三人列為可攜帶權(quán)的行權(quán)主體，此規(guī)定有待商榷。首先，信息是主體個(gè)人的信息，個(gè)人對(duì)其個(gè)人信息享有支配權(quán)，在一定程度上類(lèi)似于物權(quán)中的所有權(quán)，排斥他人對(duì)該權(quán)利的行使及干預(yù)。倘若第三人可以針對(duì)他人信息行使可攜帶權(quán)，意味著第三人實(shí)現(xiàn)了對(duì)他人信息的掌控，即便是在信息享有者認(rèn)可的情況下轉(zhuǎn)移個(gè)人信息仍然存在諸多問(wèn)題，例如信息享有者的認(rèn)可是否是其真實(shí)意思表示、雙方對(duì)認(rèn)可范圍的理解是否一致等等，上述問(wèn)題若無(wú)法有效規(guī)制必會(huì)損害信息享有者的自決權(quán)，給其帶來(lái)諸多不便。其次，各國(guó)個(gè)人信息或數(shù)字立法的首要目的在與保護(hù)個(gè)人信息和隱私安全，可攜帶權(quán)以用戶(hù)掌控?cái)?shù)據(jù)為核心，這在一定程度上排除了希望第三方發(fā)起數(shù)據(jù)轉(zhuǎn)移請(qǐng)求的可能性，將第三人列為請(qǐng)求主體與立法初衷相悖。我國(guó)《個(gè)人信息保護(hù)法》第45條也將可攜帶權(quán)的權(quán)利主體限定為自然人，其原因有二。第一，將自然人列為唯一的權(quán)利人，突出強(qiáng)調(diào)了人的重要性，符合“以人為本”的立法觀(guān)念。第二，與法人和非法人組織相比，自然人在信息的收集和處理過(guò)程中處于弱勢(shì)地位，數(shù)據(jù)收集者可以利用技術(shù)手段實(shí)現(xiàn)對(duì)個(gè)人信息的操控，而自然人礙于自身的認(rèn)知水平和技術(shù)水平等因素卻不能實(shí)現(xiàn)其知情權(quán)?？傊蓴y帶權(quán)的主體不應(yīng)盲目擴(kuò)張，以自然人為唯一主體較為合理。

2.可攜帶權(quán)的客體

GDPR以“提供”為標(biāo)準(zhǔn)劃定可攜帶權(quán)客體的范圍，歐盟數(shù)據(jù)保護(hù)工作委員會(huì)（以下簡(jiǎn)稱(chēng)WP29）發(fā)布的《數(shù)據(jù)可攜帶權(quán)指南》對(duì)“提供的數(shù)據(jù)”做出了解釋?zhuān)P(guān)于數(shù)據(jù)提供者的個(gè)人資料以及其提供給數(shù)據(jù)控制者的個(gè)人信息。該解釋排除了與數(shù)據(jù)主體無(wú)關(guān)的數(shù)據(jù)和匿名數(shù)據(jù)，以及以數(shù)據(jù)主體提供數(shù)據(jù)為藍(lán)本通過(guò)算法技術(shù)推測(cè)出的數(shù)據(jù)。WP29的解釋是各方利益權(quán)衡的結(jié)果，明確客體范圍是提供數(shù)據(jù)可以避免數(shù)據(jù)接收者因數(shù)據(jù)轉(zhuǎn)移竊取原數(shù)據(jù)保存者的商業(yè)秘密，損害原數(shù)據(jù)保存者的合法商業(yè)利益，擾亂數(shù)據(jù)市場(chǎng)的經(jīng)濟(jì)秩序?！队《葌€(gè)人信息保護(hù)法》（Personal Data Protection Bill，以下簡(jiǎn)稱(chēng)PDPB）規(guī)定數(shù)據(jù)主體可以轉(zhuǎn)移的數(shù)據(jù)除了自已向數(shù)據(jù)委托人提供的數(shù)據(jù)外，專(zhuān)款規(guī)定在提供服務(wù)或商品使用的過(guò)程中產(chǎn)生的數(shù)據(jù)亦在可移植數(shù)據(jù)的范圍內(nèi)，該類(lèi)數(shù)據(jù)不應(yīng)等同于“推斷數(shù)據(jù)”和“預(yù)測(cè)數(shù)據(jù)”，而應(yīng)當(dāng)定性為用戶(hù)在互聯(lián)網(wǎng)活動(dòng)中基于其行為軌跡而產(chǎn)生的痕跡數(shù)據(jù)，例如購(gòu)物網(wǎng)站瀏覽痕跡是用戶(hù)活動(dòng)數(shù)據(jù)，網(wǎng)絡(luò)服務(wù)提供商基于瀏覽痕跡而提供的個(gè)性化商品推薦數(shù)據(jù)則是衍生數(shù)據(jù)。PDPB的規(guī)定擴(kuò)大了可移植數(shù)據(jù)的范圍，由于用戶(hù)行使可攜帶權(quán)的目的之一就是方便、快捷的將其使用互聯(lián)網(wǎng)所形成的“習(xí)慣”無(wú)縫轉(zhuǎn)接至另一網(wǎng)絡(luò)服務(wù)提供商，因此將痕跡數(shù)據(jù)納入可移植數(shù)據(jù)的范疇與用戶(hù)日常行為實(shí)踐相符。我國(guó)將可攜帶權(quán)的客體僅限制為個(gè)人信息，但未劃定個(gè)人信息的范圍，這成為可攜帶權(quán)適用的一大阻礙，據(jù)此下文將厘清可攜帶權(quán)的適用范圍，以期解決該權(quán)利實(shí)現(xiàn)過(guò)程中的利益沖突。

3.可攜帶權(quán)的內(nèi)容

GDPR規(guī)定數(shù)據(jù)可攜帶權(quán)由兩個(gè)子權(quán)利組成，即導(dǎo)出數(shù)據(jù)的權(quán)利和直接傳輸數(shù)據(jù)的權(quán)利。該權(quán)利允許個(gè)人以結(jié)構(gòu)化、通用和機(jī)器可讀的格式請(qǐng)求和接收其個(gè)人數(shù)據(jù)，同時(shí)允許個(gè)人請(qǐng)求將數(shù)據(jù)從一個(gè)網(wǎng)絡(luò)服務(wù)提供商直接移植到另一個(gè)網(wǎng)絡(luò)服務(wù)提供商，簡(jiǎn)言之，個(gè)人有權(quán)獲取及無(wú)障礙傳輸數(shù)據(jù)副本?！稊?shù)據(jù)可攜帶權(quán)指南》將這種“阻礙”描述為數(shù)據(jù)控者設(shè)置的任何阻止或減緩數(shù)據(jù)主體或另一數(shù)據(jù)控制者行使訪(fǎng)問(wèn)、傳輸或二次利用的法律、技術(shù)或財(cái)務(wù)障礙。例如，交付數(shù)據(jù)所需要的費(fèi)用、缺乏互操作性或無(wú)法訪(fǎng)問(wèn)數(shù)據(jù)格式等。我國(guó)可攜帶權(quán)雖在語(yǔ)言表達(dá)上僅描述了狹義的數(shù)據(jù)“可攜性”即數(shù)據(jù)轉(zhuǎn)移權(quán)，但是應(yīng)當(dāng)認(rèn)識(shí)到，獲取副本權(quán)與數(shù)據(jù)轉(zhuǎn)移轉(zhuǎn)權(quán)緊密相連，不能完全割裂討論。就數(shù)據(jù)傳輸而言，主體既可直接轉(zhuǎn)移數(shù)據(jù)又可間接轉(zhuǎn)移數(shù)據(jù)，直接轉(zhuǎn)移是指數(shù)據(jù)的提供端和接收端直接通過(guò)API接口即完成數(shù)據(jù)遷移，例如音樂(lè)平臺(tái)之間歌單的轉(zhuǎn)移。間接轉(zhuǎn)移是指用戶(hù)需自己需將欲遷移的信息下載后再傳輸?shù)搅硪痪W(wǎng)絡(luò)服務(wù)商，例如上文提到的網(wǎng)盤(pán)資料之間的轉(zhuǎn)移，由于兩個(gè)服務(wù)商之間沒(méi)有建立通行的API接口，就需要用戶(hù)通過(guò)繁瑣的下載再上傳模式實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)移。這種方式僅能滿(mǎn)足單一用戶(hù)的小體量數(shù)據(jù)轉(zhuǎn)移，不能實(shí)現(xiàn)以數(shù)據(jù)自由流通驅(qū)動(dòng)數(shù)字市場(chǎng)競(jìng)爭(zhēng)的目的。

（二）可攜帶權(quán)與其他權(quán)利的關(guān)系

1.可攜帶權(quán)與查閱、復(fù)制權(quán)的關(guān)系

查閱復(fù)制權(quán)是指除法律、行政法規(guī)另有規(guī)定外，作為信息主體的個(gè)人在個(gè)人信息處理活動(dòng)中依法享有向個(gè)人信息處理者查閱、復(fù)制個(gè)人信息的權(quán)利。［7］數(shù)據(jù)主體享有查閱復(fù)制權(quán)是行使可攜帶權(quán)的前提，查閱復(fù)制權(quán)類(lèi)同可攜帶權(quán)中獲取副本的權(quán)能，但兩者有明顯的區(qū)別。其一，權(quán)利基礎(chǔ)不同。查閱復(fù)制權(quán)基于主體享有的知情權(quán)產(chǎn)生，可攜帶權(quán)的權(quán)利基礎(chǔ)則為信息決定權(quán)。其二，當(dāng)事人不同。兩者的權(quán)利主體均為自然人，但是兩者的地位不盡相同。自然人主體在可攜帶權(quán)中是信息的提供主體，而在查閱復(fù)制權(quán)中，權(quán)利主體是指信息被處理的一方。兩個(gè)權(quán)利的義務(wù)主體亦不同，查閱復(fù)制權(quán)的義務(wù)主體僅有一個(gè)，即存儲(chǔ)個(gè)人信息的數(shù)據(jù)保有者，可攜帶權(quán)的義務(wù)主體除數(shù)據(jù)保有者外還包括數(shù)據(jù)接收者。其三，權(quán)利客體不同。查閱復(fù)制權(quán)的客體包括所有個(gè)人信息，而可攜帶權(quán)的客體范圍有明顯的邊界，一般僅限于以電子方式存儲(chǔ)的且是個(gè)人提供的數(shù)據(jù)。其四，權(quán)利行使方式不同。查閱復(fù)制權(quán)的行使與其他領(lǐng)域相似權(quán)利的行使并無(wú)二異，但是對(duì)于可攜帶權(quán)的行使要在互聯(lián)網(wǎng)環(huán)境中進(jìn)行，數(shù)據(jù)的傳輸和接收端口是格式化的，兩者之間具有互操作性。其五，權(quán)利的功能不同。查閱復(fù)制權(quán)的設(shè)立目的在于使用戶(hù)清晰明了的知道其信息的存儲(chǔ)位置、使用方式等，而可攜帶權(quán)的功能除了滿(mǎn)足數(shù)據(jù)自由流動(dòng)的需求外，更為重要的是其社會(huì)意義，即通過(guò)打破數(shù)據(jù)的鎖定效應(yīng)從而促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展。

2.可攜帶權(quán)與刪除權(quán)的關(guān)系

個(gè)人信息的刪除權(quán)，是指?jìng)€(gè)人信息的處理違反法律規(guī)定，超過(guò)了當(dāng)事人約定的范圍，或權(quán)利人認(rèn)為信息處理行為繼續(xù)下去會(huì)有損本人的利益時(shí)，信息主體要求信息處理者及時(shí)停止對(duì)個(gè)人信息的處理并刪除相關(guān)個(gè)人信息的權(quán)利。［8］從權(quán)利構(gòu)成上可見(jiàn)，兩權(quán)截然不同。其中最為明顯的是可攜帶權(quán)的實(shí)現(xiàn)不應(yīng)排除刪除權(quán)的行使，當(dāng)信息主體主張的刪除事由符合法律規(guī)定時(shí)，個(gè)人信息處理者應(yīng)當(dāng)刪除信息。原因在于網(wǎng)絡(luò)環(huán)境不同于物理環(huán)境，物理社會(huì)中某一特定財(cái)物從A處出搬移至B處后，該財(cái)物在A處徹底消失。但是在網(wǎng)絡(luò)環(huán)境中，即使信息主體通過(guò)可攜帶權(quán)的行使完成了數(shù)據(jù)的遷移，但原數(shù)據(jù)保有者出仍留有被移植的數(shù)據(jù)，簡(jiǎn)言之，可攜帶權(quán)實(shí)現(xiàn)不能消滅原存儲(chǔ)位置中的原始數(shù)據(jù)，行使刪除權(quán)是使個(gè)人信息“消失”的唯一方式。

三、個(gè)人信息可攜帶權(quán)的實(shí)現(xiàn)

（一）厘清個(gè)人信息的范圍及權(quán)屬

我國(guó)《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的定義借鑒了GDPR的“可識(shí)別標(biāo)準(zhǔn)”，同時(shí)又增加了“關(guān)聯(lián)說(shuō)”的標(biāo)準(zhǔn)，將個(gè)人信息定義為“以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”。至此，我國(guó)法律明確了個(gè)人信息的定義及理論范圍。但尚未限定可轉(zhuǎn)移的個(gè)人信息的范圍，換言之，理論上所有的個(gè)人信息均可轉(zhuǎn)移，那么備受爭(zhēng)議的衍生數(shù)據(jù)是否可以轉(zhuǎn)移呢？為解決此問(wèn)題，應(yīng)當(dāng)深入探討個(gè)人信息的分類(lèi)和權(quán)屬問(wèn)題。

關(guān)于信息或數(shù)據(jù)的分類(lèi)，目前各界對(duì)個(gè)人數(shù)據(jù)的分類(lèi)尚未形成明確的界定。GDPR將數(shù)據(jù)分為提供數(shù)據(jù)、觀(guān)察數(shù)據(jù)和推測(cè)數(shù)據(jù)，但可攜帶數(shù)據(jù)僅限于提供數(shù)據(jù)。CDR明確區(qū)分消費(fèi)者（包括個(gè)人和中小企業(yè)）在線(xiàn)發(fā)布的數(shù)據(jù)，在線(xiàn)交易創(chuàng)建的數(shù)據(jù)，購(gòu)買(mǎi)數(shù)據(jù)和與以數(shù)字形式持有的交易或活動(dòng)相關(guān)的其他數(shù)據(jù)。以上這些分類(lèi)都是立法機(jī)關(guān)基于自身國(guó)情的考量所進(jìn)行的不同劃分。將上述分類(lèi)與我國(guó)實(shí)踐中數(shù)據(jù)的產(chǎn)生和利用情況相結(jié)合，我們可以將數(shù)據(jù)分為個(gè)人基礎(chǔ)數(shù)據(jù)、個(gè)人行為數(shù)據(jù)和個(gè)人行為傾向數(shù)據(jù)。這三者以數(shù)據(jù)控者在數(shù)據(jù)處理過(guò)程中所付出的智力勞動(dòng)量為標(biāo)準(zhǔn)劃分。其中，個(gè)人基礎(chǔ)數(shù)據(jù)包括個(gè)人生物信息及其他由主體主動(dòng)提供的原始數(shù)據(jù)，如例如美食測(cè)評(píng)軟件中用戶(hù)直接輸入的餐廳評(píng)價(jià)；個(gè)人行為數(shù)據(jù)是指用戶(hù)利用網(wǎng)絡(luò)產(chǎn)品服務(wù)時(shí)所產(chǎn)生的痕跡數(shù)據(jù)，例如利用社交軟件產(chǎn)生的聊天記錄；個(gè)人行為傾向數(shù)據(jù)是指網(wǎng)絡(luò)服務(wù)提供商以用戶(hù)行為數(shù)據(jù)為基礎(chǔ)，通過(guò)算法分析、計(jì)算創(chuàng)建的數(shù)據(jù)，該類(lèi)數(shù)據(jù)主要表現(xiàn)為個(gè)性化推薦數(shù)據(jù)，例如音樂(lè)播放軟件中“最喜歡的音樂(lè)類(lèi)型”等。

劃分?jǐn)?shù)據(jù)范圍旨在明確數(shù)據(jù)權(quán)屬。個(gè)人基礎(chǔ)數(shù)據(jù)以個(gè)人生物信息和個(gè)人主動(dòng)提供的數(shù)據(jù)為內(nèi)容，該類(lèi)數(shù)據(jù)的產(chǎn)生與主體密不可分，因此該類(lèi)數(shù)據(jù)應(yīng)當(dāng)完全由數(shù)據(jù)主體支配，當(dāng)屬可攜帶的范圍。個(gè)人行為數(shù)據(jù)依據(jù)用戶(hù)的服務(wù)利用行為產(chǎn)生，雖然在此過(guò)程中網(wǎng)絡(luò)服務(wù)提供商參與了數(shù)據(jù)的管理，但是此種管理由其自身性質(zhì)決定且并沒(méi)有參與過(guò)多的智力勞動(dòng)；相反，若用戶(hù)沒(méi)有實(shí)施瀏覽或其他行為，則談不上數(shù)據(jù)的管理，故個(gè)人行為數(shù)據(jù)因具有較高的人身依賴(lài)性應(yīng)歸數(shù)于可攜帶權(quán)的范圍。個(gè)性行為傾向數(shù)據(jù)明顯含有大量經(jīng)營(yíng)者的智力創(chuàng)造，對(duì)該類(lèi)數(shù)據(jù)的利益分配應(yīng)當(dāng)偏重?cái)?shù)據(jù)控制者。但這并不意味著此類(lèi)數(shù)據(jù)不能移轉(zhuǎn)，有學(xué)者建議應(yīng)當(dāng)支付一定對(duì)價(jià)，［9］在付費(fèi)購(gòu)買(mǎi)數(shù)據(jù)控制者智力成果的基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)遷移，這樣便可以最大化的實(shí)現(xiàn)個(gè)人信息的價(jià)值。

總之，立法部門(mén)應(yīng)當(dāng)根據(jù)我國(guó)的具體情況，盡快出臺(tái)司法解釋或者有關(guān)條例，明確可攜帶權(quán)的客體范圍，使可攜帶權(quán)在中國(guó)落地生根。

（二）劃定責(zé)任主體的義務(wù)邊界

以數(shù)據(jù)控制者為視角，可攜帶權(quán)的實(shí)現(xiàn)需要經(jīng)過(guò)告知—識(shí)別—回應(yīng)這三個(gè)階段，在此過(guò)程中數(shù)據(jù)控制者要履行其義務(wù)。首先，數(shù)據(jù)控制者要承擔(dān)告知義務(wù)。可攜帶權(quán)是一種發(fā)生在互聯(lián)網(wǎng)領(lǐng)域的新興權(quán)利，群眾對(duì)該權(quán)利的認(rèn)識(shí)必然是模糊的，數(shù)據(jù)控制者應(yīng)當(dāng)以清晰、易懂的方式告知用戶(hù)享有可攜帶權(quán)以及該權(quán)利的內(nèi)容和行使方法。其次，對(duì)于用戶(hù)的行權(quán)請(qǐng)求，數(shù)據(jù)控制者應(yīng)當(dāng)謹(jǐn)慎識(shí)別用戶(hù)身份，可以采取郵箱驗(yàn)證、密保問(wèn)題、人臉識(shí)別等方式核驗(yàn)用戶(hù)身份信息。對(duì)傳輸敏感信息以及傳輸環(huán)境判定為高風(fēng)險(xiǎn)的情況下實(shí)行“多重要素驗(yàn)證”，［10］即數(shù)據(jù)控制者要求用戶(hù)要通過(guò)兩種以上的認(rèn)證機(jī)制之后，才能得到授權(quán)并獲取個(gè)人數(shù)據(jù)，確保數(shù)據(jù)安全。最后，數(shù)據(jù)控制者須對(duì)用戶(hù)的請(qǐng)求予以回應(yīng)?；貞?yīng)的內(nèi)容可簡(jiǎn)單概括為請(qǐng)求數(shù)據(jù)是否具備可攜性。若條件滿(mǎn)足，則按照雙方約定的期限或者本公司隱私協(xié)議規(guī)定的期限按時(shí)完成信息的傳輸工作；反之，則應(yīng)及時(shí)回復(fù)并說(shuō)明理由。至于回應(yīng)的期限宜根據(jù)數(shù)據(jù)的傳輸數(shù)量和難度等因素分場(chǎng)景決定，不能將回復(fù)期限“一刀切”。風(fēng)險(xiǎn)控制義務(wù)必須貫穿整個(gè)遷移過(guò)程。域外國(guó)家或地區(qū)大都選擇單邊保護(hù)，即前端保護(hù)或后端保護(hù)二選一。顯然這些風(fēng)控模式都不能實(shí)現(xiàn)數(shù)據(jù)的全流程保護(hù)，我國(guó)應(yīng)當(dāng)前段保護(hù)與后端保護(hù)并行，但需要對(duì)安全風(fēng)險(xiǎn)和相應(yīng)措施的成本充分評(píng)估和合理分配，在構(gòu)建相互協(xié)調(diào)的技術(shù)標(biāo)準(zhǔn)的同時(shí)，推動(dòng)數(shù)據(jù)控制者和數(shù)據(jù)接收者的安全責(zé)任邊界清晰化、均衡化，［11］避免因過(guò)高的責(zé)任標(biāo)準(zhǔn)阻礙可攜帶權(quán)的實(shí)現(xiàn)。

另外，在添設(shè)數(shù)據(jù)控制者的義務(wù)時(shí)還需要考慮比例原則、數(shù)據(jù)遷移的頻次、數(shù)據(jù)價(jià)值保持及數(shù)據(jù)是否被濫用等因素，合理標(biāo)定義務(wù)邊界。

（三）制定標(biāo)準(zhǔn)化的數(shù)據(jù)流動(dòng)規(guī)則

GDPR要求數(shù)字服務(wù)供應(yīng)商之前應(yīng)當(dāng)采取結(jié)構(gòu)化，通用且格式化的方式以滿(mǎn)足數(shù)據(jù)傳輸兩端的互操作性，目的是彌合數(shù)字技術(shù)鴻溝，推動(dòng)數(shù)據(jù)在市場(chǎng)中的流通和交易，所以說(shuō)設(shè)計(jì)標(biāo)準(zhǔn)化的數(shù)據(jù)遷移規(guī)則至關(guān)重要。

首要明確的是標(biāo)準(zhǔn)化不等于統(tǒng)一。有數(shù)據(jù)顯示，2019年，GDPR的個(gè)人信息可攜帶權(quán)的規(guī)定導(dǎo)致歐盟的中小企業(yè)年度支出總額達(dá)到163億歐元，平均增加成本在565歐元到2049歐元不等。［12］高昂的成本造成企業(yè)協(xié)助用戶(hù)實(shí)現(xiàn)信息流轉(zhuǎn)的意愿低迷，特別是對(duì)中小企業(yè)而言，耗費(fèi)大量的財(cái)物執(zhí)行用戶(hù)的信息移植請(qǐng)求是不切實(shí)際的。在現(xiàn)實(shí)情況下，人們更愿意相信大型企業(yè)提供的網(wǎng)絡(luò)服務(wù)質(zhì)量更高、隱私保護(hù)和數(shù)據(jù)安全保護(hù)機(jī)制更加健全，會(huì)不自主地選擇大型網(wǎng)絡(luò)服務(wù)商提供的服務(wù)，由此用戶(hù)會(huì)將其存儲(chǔ)在中小企業(yè)中信息轉(zhuǎn)移到大企業(yè)，造成數(shù)據(jù)和用戶(hù)的流失，加之高昂的合規(guī)成本，中小企業(yè)的生存會(huì)面臨危險(xiǎn)。故不分行業(yè)、不分規(guī)模地要求所有企業(yè)使用統(tǒng)一的數(shù)據(jù)流轉(zhuǎn)規(guī)則是不合理的，會(huì)加重中小微企業(yè)的負(fù)擔(dān)。因此標(biāo)準(zhǔn)化的規(guī)則并非所有數(shù)字產(chǎn)業(yè)或數(shù)字服務(wù)使用同一的、無(wú)差別的規(guī)則，而應(yīng)當(dāng)是動(dòng)態(tài)的、場(chǎng)景化的、行業(yè)化的實(shí)施方案。而且標(biāo)準(zhǔn)化的制定并非對(duì)現(xiàn)有技術(shù)的控制，亦非是技術(shù)進(jìn)步的障礙，而是為實(shí)現(xiàn)技術(shù)便利，技術(shù)創(chuàng)新與發(fā)展而設(shè)置的操作流程，在此目的的指引下，鼓勵(lì)技術(shù)型企業(yè)參與標(biāo)準(zhǔn)制定和論證過(guò)程，承擔(dān)更多的行業(yè)責(zé)任和社會(huì)責(zé)任。例如，各行業(yè)內(nèi)的大型在線(xiàn)網(wǎng)絡(luò)服務(wù)企業(yè)對(duì)中小企業(yè)發(fā)展情況進(jìn)行調(diào)研后出具調(diào)研報(bào)告，并協(xié)助政府制定適用于中小微企業(yè)的合規(guī)標(biāo)準(zhǔn)。建全培育機(jī)制，由大企業(yè)對(duì)小企業(yè)進(jìn)行合規(guī)培訓(xùn)，指導(dǎo)其完成合規(guī)建設(shè)后，政府部門(mén)對(duì)參與該項(xiàng)活動(dòng)的大型企業(yè)給予榮譽(yù)及物質(zhì)獎(jiǎng)勵(lì)。

（四）實(shí)現(xiàn)可攜帶權(quán)的限制

我國(guó)《個(gè)人信息保護(hù)法》第45條僅規(guī)定權(quán)利的行使要符合有關(guān)部門(mén)的要求，那么如何理解“要求”的具體內(nèi)容？

第一，在特定情況下，個(gè)人的權(quán)利不得對(duì)抗國(guó)家權(quán)力的行使?！稊?shù)據(jù)可攜帶權(quán)指南》規(guī)定可攜帶權(quán)不適用于數(shù)據(jù)控制者為公共利益或基于官方授權(quán)而進(jìn)行的必要的數(shù)據(jù)處理。也就是為實(shí)現(xiàn)公共利益或者有國(guó)家部門(mén)授權(quán)的情況下，即使用戶(hù)發(fā)出了數(shù)據(jù)遷移的請(qǐng)求，數(shù)據(jù)控制者也有不協(xié)助其完成遷移的權(quán)利。此外PDPB還規(guī)定可攜權(quán)不適用于司法裁判。

第二，個(gè)人權(quán)利的行使不得損害他人的合法權(quán)益。其一，不得損害其他自然人的隱私權(quán)及其他權(quán)益。當(dāng)下不同主體間數(shù)據(jù)粘合現(xiàn)象十分普遍，與之相生的就是多元主體之間的數(shù)據(jù)權(quán)利沖突問(wèn)題。例如用戶(hù)在微信聊天軟件中所產(chǎn)生的數(shù)據(jù)必然存在相當(dāng)一部分的涉他數(shù)據(jù)，包括聊天記錄、朋友圈的評(píng)論等等，當(dāng)用戶(hù)對(duì)上述數(shù)據(jù)遷移時(shí)，如何保護(hù)第三人的個(gè)人權(quán)益？GDPR要求數(shù)據(jù)控制者必須取得第三人的同意且數(shù)據(jù)接收者負(fù)有保護(hù)義務(wù)。相反，《新加坡個(gè)人信息保護(hù)法》（Personal Data Protection Act，以下簡(jiǎn)稱(chēng)PDPA）規(guī)定在少數(shù)特定情形下，可以不經(jīng)第三方同意將其個(gè)人信息轉(zhuǎn)移給數(shù)據(jù)接收者。相比較而言，PDPA的做法更值得提倡。理由一：要求用戶(hù)或數(shù)據(jù)控制者將此類(lèi)融合數(shù)據(jù)完全割裂是極大的技術(shù)挑戰(zhàn)，同時(shí)切割數(shù)據(jù)使其“碎片化”會(huì)降低數(shù)據(jù)的價(jià)值。理由二：取得第三人同意會(huì)增加數(shù)據(jù)攜帶的成本。以微信聊天記錄為例，該類(lèi)數(shù)據(jù)中所涉及的第三人的數(shù)量是龐大的，若轉(zhuǎn)移數(shù)據(jù)需要經(jīng)過(guò)每一個(gè)第三人的同意，勢(shì)必會(huì)花費(fèi)大量的時(shí)間和精力，用戶(hù)甚至?xí)虼朔艞墧?shù)據(jù)轉(zhuǎn)移。但是，“少數(shù)特定情形”如何確定？對(duì)第三人數(shù)據(jù)分類(lèi)討論是相對(duì)適宜的：1.網(wǎng)絡(luò)行為數(shù)據(jù)、設(shè)備數(shù)據(jù)、社會(huì)關(guān)系數(shù)據(jù)不能直接識(shí)別特定第三人的數(shù)據(jù)在未經(jīng)其同意的情況下是可以轉(zhuǎn)移的，例如網(wǎng)站的訪(fǎng)問(wèn)數(shù)據(jù)、計(jì)算機(jī)終端的位置信息等。反之，可以直接識(shí)別特定第三人的數(shù)據(jù)則必取得其同意，此類(lèi)數(shù)據(jù)包括個(gè)身份證號(hào)碼、指紋、銀行賬戶(hù)等人身份信息、生物信息、賬戶(hù)信息等；2.以第三人是否已經(jīng)公開(kāi)為標(biāo)準(zhǔn)，若第三人已經(jīng)公開(kāi)（僅限于主動(dòng)公開(kāi)和其他依法公開(kāi)的信息）并上傳至網(wǎng)絡(luò)的可以轉(zhuǎn)移，反之則不能；3.以轉(zhuǎn)移是否會(huì)侵犯第三人隱私為標(biāo)準(zhǔn)確定是否應(yīng)當(dāng)獲得其同意；4.以轉(zhuǎn)移是否會(huì)損害第三人經(jīng)濟(jì)利益為標(biāo)準(zhǔn)。例如，第三人的商業(yè)策劃信息不得擅自轉(zhuǎn)移。其二，不得侵犯他人的商業(yè)秘密和知識(shí)產(chǎn)權(quán)。數(shù)據(jù)中的商業(yè)秘密和知識(shí)產(chǎn)權(quán)來(lái)源有二，一是數(shù)據(jù)內(nèi)容本身帶有商業(yè)秘密或者受知識(shí)產(chǎn)權(quán)保護(hù)；二是數(shù)據(jù)控制者收集、處理數(shù)據(jù)所用技術(shù)涉及商業(yè)秘密或知識(shí)產(chǎn)權(quán)。當(dāng)用戶(hù)發(fā)出數(shù)據(jù)轉(zhuǎn)移請(qǐng)求后，數(shù)據(jù)在傳輸過(guò)程即可能被第三方黑客控制而披露商業(yè)秘密，抑或是數(shù)據(jù)接收者接受數(shù)據(jù)后破解數(shù)據(jù)的原有存儲(chǔ)和利用模式而侵犯其知識(shí)產(chǎn)權(quán)。據(jù)此，應(yīng)當(dāng)要求數(shù)據(jù)遷移中的各方利益主體履行自身的誠(chéng)信義務(wù)，不得故意損害任何一方的合法利益。

四、結(jié)語(yǔ)

允許數(shù)據(jù)自由的流通，有利于構(gòu)建良性的市場(chǎng)環(huán)境。面對(duì)可攜帶權(quán)問(wèn)世以來(lái)出現(xiàn)的諸多問(wèn)題，以及我國(guó)可攜帶權(quán)通過(guò)《個(gè)人信息保護(hù)法》正式確立的現(xiàn)實(shí)，精準(zhǔn)認(rèn)定可攜帶權(quán)的性質(zhì)，理解可攜帶權(quán)的內(nèi)容，制定具體的適用和保護(hù)規(guī)范以適應(yīng)中國(guó)數(shù)據(jù)產(chǎn)業(yè)的發(fā)展現(xiàn)狀，這一權(quán)利才能真正滿(mǎn)足我國(guó)群眾信息自由流轉(zhuǎn)和本土數(shù)字經(jīng)濟(jì)發(fā)展的需要。

〔參 考 文 獻(xiàn)〕

［1］王利明.中華人民共和國(guó)民法總則詳解（上）［M］.北京：中國(guó)法制出版社，2017：456.

［2］程嘯.個(gè)人信息保護(hù)法理解與適用［M］.北京：中國(guó)法制出版社，2021：24.

［3］王利明.中華人民共和國(guó)民法總則詳解（上）［M］.北京：中國(guó)法制出版社，2017：465.

［4］葉金強(qiáng).《民法總則》“民事權(quán)利章”的得與失［J］.中外法學(xué)，2017（03）：651-655.

［5］丁曉東.個(gè)人信息私法保護(hù)的困境與出路［J］.法學(xué)研究，2018（06）：194-206.

［6］柴瑞娟，田奧妮.開(kāi)放銀行場(chǎng)景下引入數(shù)據(jù)可攜權(quán)的風(fēng)險(xiǎn)化解與制度構(gòu)建［J］.征信，2022（03）：17-25.

［7］Graef I， Husovec M， Purtova N， Data Portab

ility and Data Control：Lessons for an Emerging Concept in EU Law，SSRN Electronic Journal， 2017.

［8］化國(guó)宇，楊晨書(shū).數(shù)據(jù)可攜帶權(quán)的發(fā)展困境及本土化研究［J］.圖書(shū)館建設(shè)，2021（04）：120.

［9］王錫鋅.個(gè)人信息可攜權(quán)與數(shù)據(jù)治理的分配正義［J］．環(huán)球法律評(píng)論，2021（06）：19.

［10］時(shí)東，楊暉.征信業(yè)個(gè)人信息可攜帶權(quán)保護(hù)［J］.中國(guó)金融，2022（01）：94.

〔責(zé)任編輯：侯慶?！?/p>