數(shù)據(jù)可攜權的困境與重構

王世海 鄧 騰

（北京交通大學法學院 北京 100048）

近幾年，互聯(lián)網(wǎng)產(chǎn)業(yè)迅速發(fā)展，互聯(lián)網(wǎng)企業(yè)開始走出國門，而我國的數(shù)據(jù)保護相關立法才開始啟動，立法工作明顯落后于數(shù)字產(chǎn)業(yè)的快速發(fā)展，國內對于引入數(shù)據(jù)可攜權的反對之聲不斷出現(xiàn)?！秱€人信息保護法》對數(shù)據(jù)可攜權的確立反映出國家對個人信息的重視程度不斷加強，但是法律條文只概括地規(guī)定了權力行使要件以及義務者，并未具體規(guī)定適用條件和范圍等，而是授權國家網(wǎng)信部門加以規(guī)定，在司法實踐中，無法提供有效指引，便會使權力被束之高閣。

一、比較法視角下的數(shù)據(jù)可攜權

數(shù)據(jù)可攜權在我國的設立是十分必要的，隨著大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，數(shù)據(jù)保護的相關立法不能過分滯后于數(shù)據(jù)發(fā)展需要，在法律保護層面要與數(shù)據(jù)發(fā)展相適應，如制度規(guī)定和適用得當，數(shù)據(jù)可攜權不僅有利于破除數(shù)據(jù)封鎖，促進數(shù)字經(jīng)濟的發(fā)展，有利于實現(xiàn)數(shù)據(jù)主體對數(shù)據(jù)的控制權，實現(xiàn)數(shù)字中國戰(zhàn)略目標。

（一）GDPR 與《個人信息保護法》下的數(shù)據(jù)可攜權。歐盟《通用數(shù)據(jù)保護條例》中規(guī)定數(shù)據(jù)可攜權包括“副本獲取權”和“數(shù)據(jù)轉移權”。我國的《個人信息保護法》對信息可攜權的具體內容也有所區(qū)分，“可攜”的“攜”，一是復制，二是傳輸，因而信息可攜權又分為復制權和傳輸權，構成信息可攜權的整體[1]（P100）。不過，兩部法律在具體規(guī)定方面也是有所區(qū)別的。第一，對傳輸格式的規(guī)定不同。GDPR規(guī)定數(shù)據(jù)可攜權的客體應符合“結構化、通用和機器可讀”的特征，明確排除了我們常適用的PDF 格式，因為其后續(xù)難以對信息再次利用修改；反觀我國法律，卻未對可攜帶的數(shù)據(jù)的格式展開進一步說明[2]。第二，傳輸?shù)膶崿F(xiàn)不同，按照GDPR的規(guī)定，數(shù)據(jù)控制者不得為主體可攜帶權的行使設立阻礙，不得“無故拖延”，并且應當在自身收到用戶請求后的一個月內采取行動，重大復雜疑難情況可以延長，反觀我國并未具體規(guī)定數(shù)據(jù)控制者處理請求的具體時間；第三，GDPR要求權利的行使必須在相關監(jiān)管機構的監(jiān)督之下進行，確立了權利受到侵害時的救濟途徑以及數(shù)據(jù)控制者的責任承擔方式。反觀我國法律，只是簡單規(guī)定了權力形式要件以及義務者。第四，GDPR規(guī)定，數(shù)據(jù)主體申請過于頻繁或者缺乏依據(jù)，可以考慮數(shù)據(jù)控制者的利益，讓其收取一定的費用，但是我國法律并未提到此點。因此筆者認為，我國《個人信息保護法》對數(shù)據(jù)可攜權的規(guī)定僅僅停留在表面，還未做出實質規(guī)定，因此我國的數(shù)據(jù)相關立法急需做出回應。

（二）數(shù)據(jù)可攜權的權利屬性。歐盟將數(shù)據(jù)可攜權作為一種新型的公民基本權利，是互聯(lián)網(wǎng)時代的必然產(chǎn)物，從數(shù)據(jù)可攜權的首次提出到如今，已經(jīng)經(jīng)歷了不斷地調整與修改，基本上已經(jīng)形成了一套完備的可攜權體系。我國，有很大一部分學者認為，數(shù)據(jù)可攜權并不具有成為一種基本權利的條件。他們認為，該權利可能很難落地或帶來新的風險，數(shù)據(jù)可攜權對數(shù)據(jù)控制者賦予了過重的責任義務，無論是獲取與傳輸?shù)谋憷?，還是技術上的支持，在實踐中都是難以操作的，這些都表明了數(shù)據(jù)可攜權尚未具備成為一種成熟型權利的條件[3]。

筆者認為，數(shù)據(jù)可攜帶權是數(shù)據(jù)時代下的一種新興權利，是個人信息權的一種類型，基于其自身的特殊性，從數(shù)據(jù)主體角度而言，既具有人格權屬性，也具有財產(chǎn)權屬性。數(shù)據(jù)可攜帶權是個人參與自己信息所帶來經(jīng)濟利益的分配的一種方式[4]，個人可以通過行使數(shù)據(jù)可攜帶權轉移自己的數(shù)據(jù)給其他有需求的數(shù)據(jù)控制者，從而獲取一定的經(jīng)濟利益，此時個人數(shù)據(jù)也就發(fā)揮了其自身更大的作用。

（三）數(shù)據(jù)可攜權的支配權性質與請求權性質。有學者認為，數(shù)據(jù)主體不能根據(jù)自己的意愿直接攜帶數(shù)據(jù)，也不可能憑借單方的意思表示變更數(shù)據(jù)法律關系，而只能在一定情況下，請求數(shù)據(jù)控制者協(xié)助自己處理個人信息并且傳輸個人信息，在這個意義上，可攜權并非絕對權和支配權，而是一種請求權[5]。權利人是信息主體，義務人是信息控制者，權力的順利行使必須請求他人協(xié)助。而有些學者認為，可攜權作為一種請求權，不影響其同時也是絕對權和支配權。支配權指對特定的物進行支配，并排斥他人干涉的權利。數(shù)據(jù)可攜權是數(shù)據(jù)主體行使支配權的一個環(huán)節(jié)，這個環(huán)節(jié)就是獲取和轉移。其究竟是屬于支配權還是請求權需要判斷在權力的具體形式過程中是否需要依賴他人的行為，如果用戶可以獨立行使，此時則為支配權。雖然數(shù)據(jù)可攜權的行使過程中有信息控制者的參與，但是其本質上僅是一種輔助行為，并非權力的主要行為[6]。

筆者認為，數(shù)據(jù)可攜權的確立在一定程度上增強了數(shù)據(jù)主體對自身信息的控制權，為自己使用以及數(shù)據(jù)的流通利用提供了便利的同時增強了控制度，但是并不能據(jù)此將其認定為一種具有控制與支配性的權利。

二、數(shù)據(jù)可攜權的現(xiàn)實困境

（一）可能威脅數(shù)據(jù)安全（身份授權和傳輸過程中）。數(shù)據(jù)可攜權也可能會危及到數(shù)據(jù)安全。首先，從用戶授權這個角度來說，《條例》僅概括性地規(guī)定了數(shù)據(jù)控制者要對數(shù)據(jù)主體的身份進行驗證，并未對具體的方式、程序以及通過標準進行規(guī)定，這為后續(xù)的實踐帶來難題。WP29在后續(xù)的相關說明中也明確指出，對數(shù)據(jù)主體的身份驗證必須作為行使數(shù)據(jù)轉移的前置程序，進一步要求其提供相應的文件證明身份合格，遺憾的是，其也并未對具體的操作方式做出規(guī)定與限制。實踐過程中，首先，給予了數(shù)據(jù)控制者一定的“自由裁量權”，由類似于“最終解釋權歸數(shù)據(jù)控制者所有”，其掌握主動權，便可能會架空這一權利。其次，倘若數(shù)據(jù)控制者得到的是虛假的證明文件，即錯誤授權于訪問者，訪問權行使后，一旦數(shù)據(jù)被下載，那么數(shù)據(jù)便處于極其危險的境地，此時便不再受數(shù)據(jù)控制者和數(shù)據(jù)主體的控制，像“無主物”一樣飄散在互聯(lián)網(wǎng)上。

其次，《條例》要求數(shù)據(jù)傳輸需要符合“機器可讀”“常用”以及“互通化”，這幾點都具備，數(shù)據(jù)傳輸技術就會變得較為容易便利，卻因此增加了在傳輸過程中數(shù)據(jù)被“偷襲”的概率?！稐l例》規(guī)定數(shù)據(jù)主體有權無障礙地將這些數(shù)據(jù)傳輸給另一個數(shù)據(jù)控制者，即數(shù)據(jù)控制者為避免或阻礙數(shù)據(jù)主體或其他數(shù)據(jù)控制者的訪問、傳輸或重新使用數(shù)據(jù)而制造的任何法律、技術或財務障礙，也就意味著數(shù)據(jù)在傳輸過程中假如面臨被竊取等問題也無法得到救濟，哪怕數(shù)據(jù)控制者以合理的理由拒絕繼續(xù)傳輸數(shù)據(jù)，也有可能會被有心人說成是“制造障礙”。

筆者認為，就數(shù)據(jù)傳輸過程中的數(shù)據(jù)安全問題而言，《條例》看似做出了相關規(guī)定，實則缺少一個與之配套的具體的細則說明和嚴密的安全保證體系，這也就成了歐盟數(shù)據(jù)可攜權實踐過程中的一大阻礙，廣大學者和法律從業(yè)人員也在積極探討，尋求出路。

（二）可能阻礙競爭和創(chuàng)新。首先，數(shù)據(jù)可攜權的行使過程中可能會增加企業(yè)的相關成本，如滿足可攜權的要求之下而產(chǎn)生的合法與違法成本。從合法成本角度而言，若要符合《條例》所規(guī)定的內容，企業(yè)就要盡可能地提高各項與數(shù)據(jù)傳輸相關的技術，如數(shù)據(jù)傳輸和數(shù)據(jù)安全保障技術。對于大企業(yè)而言，針對技術提高所做的資金以及各項增費可能只是正常生產(chǎn)經(jīng)營活動中所需資金的一部分。但是對于小企業(yè)而言，這些過多的投入可能會讓本就不富裕的小微企業(yè)更是雪上加霜，實際與生產(chǎn)相關的經(jīng)營活動可能會資金短缺，從而影響企業(yè)發(fā)展。并且第29工作組發(fā)布的《個人數(shù)據(jù)可攜權指南》規(guī)定，數(shù)據(jù)控制者的配合義務做出了明確規(guī)定，即數(shù)據(jù)控制者的配合應該是及時的、免費的，這將會給數(shù)據(jù)控制者以額外負擔。從違法成本角度而言，《條例》第82條第2款規(guī)定，任何涉及到處理的控制者都應當對因為違反本條例的處理而受到的損害承擔責任。

其次，按照數(shù)據(jù)可攜權設立的最初設想：突破用戶鎖定后，使小企業(yè)在自身服務優(yōu)異的基礎之上擁有獲得數(shù)據(jù)資源的可能性，促進市場的有效公平競爭。不能排除的是，數(shù)據(jù)傳輸、數(shù)據(jù)流通往往是具有不確定性的，在數(shù)據(jù)從大企業(yè)流向小企業(yè)的同時，小企業(yè)的數(shù)據(jù)也很有可能流向大企業(yè)。在二者軟實力不相上下的情況下，大企業(yè)完全可以通過品牌效應或者企業(yè)文化沉淀等，籠絡客戶，客戶也完全有可能基于品牌信賴選擇大企業(yè)，這便與反壟斷法“運用公權力打擊壟斷”的初衷背離。

最后，整個數(shù)據(jù)可攜權的行駛過程可能會對數(shù)據(jù)控制者的知識產(chǎn)權和商業(yè)秘密產(chǎn)生威脅。企業(yè)在對其依法收集的個人數(shù)據(jù)進行加工、處理后會形成自己的數(shù)據(jù)庫，這個數(shù)據(jù)庫相當于是企業(yè)自己的“智力成果”，當其滿足一定的條件后，這些數(shù)據(jù)就受到了商業(yè)秘密的保護甚至是知識產(chǎn)權的保護。將數(shù)據(jù)權力和知識產(chǎn)權相結合時，知識產(chǎn)權是對企業(yè)收集數(shù)據(jù)后產(chǎn)生的增量的那一部分賦予的排他性權力，企業(yè)通常以此換取數(shù)據(jù)的爬坡式增長，從中獲益。而數(shù)據(jù)可攜權便是賦予了數(shù)據(jù)主體數(shù)據(jù)流轉的權利，這便與知識產(chǎn)權的排他性相違背。從商業(yè)秘密的角度而言，我國對商業(yè)秘密的自始保護大都是與不正當競爭聯(lián)系在一起的，在傳統(tǒng)的《競爭法》和現(xiàn)有的司法實踐中，大都將對他人商業(yè)秘密的不法侵害認為是一種不正當競爭。一個企業(yè)通過用戶行使數(shù)據(jù)可攜權而獲取別的企業(yè)的數(shù)據(jù)資源，此時便等于變相承認可以通過行使數(shù)據(jù)可攜權獲取別人的商業(yè)秘密，這與立法的初衷相違背。

（三）技術障礙?！稐l例》規(guī)定在技術可行的情況下，數(shù)據(jù)主體可以行使數(shù)據(jù)可攜權。伊娃·菲亞洛娃指出，數(shù)據(jù)可攜權的相關規(guī)定并沒有賦予數(shù)據(jù)主體選擇以何種格式進行數(shù)據(jù)處理的權利，同時也沒有要求數(shù)據(jù)控制者告知數(shù)據(jù)主體以何種形式進行數(shù)據(jù)處理的義務。[7]

歐盟GDPR強調應當采用“結構化、通用、機器可讀取的格式”，強調數(shù)據(jù)之間的直接傳輸。如此規(guī)定是為了形成數(shù)據(jù)轉移技術上的互通性，而不是加重數(shù)據(jù)控制者自身建立兼容性傳輸系統(tǒng)的義務。但是在實踐中這點其實很難在彼此之間達成一致，如前文所述，會增加企業(yè)的各項成本，對小微企業(yè)來講也是一個不小的挑戰(zhàn)，加重了企業(yè)的負擔。

歐盟在《條例》出臺前也考慮到了這個問題，在序言中將所謂的“互通性”作為一種鼓勵性義務，要求如果數(shù)據(jù)控制者因為技術方面的障礙而無法傳輸數(shù)據(jù)，則需要向數(shù)據(jù)主體做出說明。當其作為非強制性義務時，在格式標準上有所保留，看似靈活，實則在一定程度上為數(shù)據(jù)控制者提供了拒絕理由。“互通性”在實踐中該如何證明呢？證明標準又是什么呢？負責評判斷定的主體又是誰呢？這在實踐中便會帶來一系列的問題，一是數(shù)據(jù)控制者可以此為理由拒絕提供和傳輸數(shù)據(jù)，此時數(shù)據(jù)主體也無能為力，數(shù)據(jù)可攜權的規(guī)定也就束之高閣了。二是當一項義務不具有強制性時，義務的履行也就缺乏使之賦予實踐的外界壓力和內在動力。因此在數(shù)據(jù)傳輸過程中面臨的技術障礙問題急需被解決！技術可行是一個動態(tài)化的過程，隨著科技的不斷發(fā)展進步，“技術可行”這個“障礙”一定會被克服！

三、完善數(shù)據(jù)可攜權的具體規(guī)則設計

（一）數(shù)據(jù)獲取權的具體規(guī)范設計。

1.數(shù)據(jù)可攜權的權利主體。數(shù)據(jù)可攜權的主體應當是自然人，該自然人具有“可識別性”和“相關性”兩個特性。自然人的權利始于出生、終于死亡，因此死者不具有數(shù)據(jù)可攜權，但是賦予了其近親屬等一定的權益保障?！秱€人信息保護法》第49條規(guī)定:“自然人死亡的，其近親屬為了自身的合法、正當利益，可以對死者的相關個人信息行使本章規(guī)定的查閱、復制、更正、刪除等權利；死者生前另有安排的除外。”

無論是歐盟《通用數(shù)據(jù)保護條例》，還是我國的《個人信息保護法》中對于數(shù)據(jù)可攜權的主體均未提到法人，這也就從反面說明了法人與其他非法人組織組織不是數(shù)據(jù)可攜權的主體，將其排除在外。法人和其他組織不具有人格權屬性，并且對法人的民事權益保護大都體現(xiàn)在財產(chǎn)權益方面，在其擁有的數(shù)據(jù)資料或者信息遭到侵犯時，大都通過反不正當競爭法和知識產(chǎn)權法加以保護。但是將數(shù)據(jù)可攜權的主體限制于自然人又會在很大程度上影響企業(yè)的積極性，因此我們可以借鑒歐盟數(shù)據(jù)可攜權的規(guī)定，將權利主體限定為自然人，考慮在競爭法中增加企業(yè)的數(shù)據(jù)可攜權，從而保護企業(yè)的數(shù)據(jù)財產(chǎn)權益。

2.數(shù)據(jù)可攜權的義務主體。根據(jù)我國《個人信息保護法》規(guī)定，信息可攜權的義務主體是存儲、利用、處理信息主體有關其個人信息的信息控制者，即是應信息主體要求負有信息復制和轉移義務的網(wǎng)絡服務提供商。

就義務主體而言，學界有兩種觀點，有學者認為數(shù)據(jù)可攜權的義務主體不應該局限于居于市場力量的大型網(wǎng)絡公司，主要理由有以下幾點：第一，對于具有市場力量的確定欠缺適當?shù)臉藴?；第二，?shù)據(jù)本身的價值具有不確定性，難以具體認定；第三，區(qū)別對待不利于實現(xiàn)主體的信息自決權。[1]（P111）還有學者認為應該局限于具有市場力量的大型網(wǎng)絡公司，基于小企業(yè)同等的機會，從而促進公平競爭。[8]

我國可以將數(shù)據(jù)可攜權的義務主體進行限縮性規(guī)定，將義務主體的范圍規(guī)定為大企業(yè)，適當減少或豁免中小企業(yè)的信息傳輸義務，減少其合規(guī)成本，以平衡個人數(shù)據(jù)全一、數(shù)據(jù)市場競爭秩序和創(chuàng)新，但是在實踐中如何判定需要具體進一步規(guī)定。

此外，我們可以借鑒歐盟數(shù)據(jù)可攜權的規(guī)定，不能僅僅將義務主體限定在我國境內的數(shù)據(jù)控制者。立法者應當從可能造成實際影響的角度，將義務主體分為三類：第一，設立在我國境內且相關數(shù)據(jù)可攜行為發(fā)生在我國境內的數(shù)據(jù)控制者；第二，設立在國外，但相關數(shù)據(jù)可攜行為發(fā)生在我國境內的數(shù)據(jù)控制者；第三，設立在我國境內，但是實際運營在域外的數(shù)據(jù)控制者。從而全方面保護用戶的數(shù)據(jù)可攜權。數(shù)據(jù)控制者不應當僅限于自然人，應當擴大到法人、非法人組織等其他機構。

3.數(shù)據(jù)可攜權的責任主體。為了保證數(shù)據(jù)可攜權的行使不被架空，保證個人信息數(shù)據(jù)轉移時更加順利，歐盟《通用數(shù)據(jù)保護條例》提出數(shù)據(jù)控制者在數(shù)據(jù)主體要求轉移數(shù)據(jù)時不得設立相關障礙，不得設立訪問障礙，傳輸障礙或者再次使用時的相關障礙，也就是不得設立技術上的相關障礙（技術不可行）。此點可以考慮借鑒歐洲銀行聯(lián)合會的相關規(guī)定：數(shù)據(jù)控制者或者技術服務者對于“技術不可行情況”應該負有一定的證明義務，如果不能提供足夠證據(jù)證明，就不能妨礙數(shù)據(jù)可攜權的行使，按照用戶的要求履行一定的義務。反之，如果其可以證明“技術不可行”，的確存在相關的障礙，其也負有相關的證明義務，向用戶做出解釋說明。[9]

此外，作為個人，在網(wǎng)絡服務商這些大企業(yè)面前明顯處于劣勢地位，在日常的服務享受過程中，作為數(shù)據(jù)主體的用戶個人大都被要求同意一些事先擬定好的格式條款，并且用戶只有選擇使用與不使用的權利，在市場壟斷的情況下，只能被迫放棄自身的某些權利，選擇“同意”，這明顯是不合理的。以《360用戶服務協(xié)議》為例，該協(xié)議第3款規(guī)定：“鑒于網(wǎng)絡服務的特殊性，用戶同意360有權根據(jù)業(yè)務發(fā)展情況隨時變更、中斷或終止部分或全部的網(wǎng)絡服務而無須通知用戶，也無需對任何用戶或者第三方承擔責任?！痹搮f(xié)議就是我們常說的格式條款，網(wǎng)絡服務商利用自己的天然優(yōu)勢地位，削減或者排除用戶權利，免除或者降低自己的責任，這明顯是不合理的。[10]

4.數(shù)據(jù)可攜權的客體。我國現(xiàn)行法律將攜權的客體規(guī)定為個人信息，個人信息是數(shù)據(jù)的內容，而數(shù)據(jù)是個人信息的載體，數(shù)據(jù)是以電子方式記錄的個人信息，而個人信息不僅僅可以以數(shù)據(jù)方式記錄。因此筆者認為我國法律規(guī)定的個人信息可攜權也將個人數(shù)據(jù)可攜權囊括其中。

《條例》從數(shù)據(jù)主體的角度對數(shù)據(jù)來源進行限制，要求數(shù)據(jù)來源應當是“數(shù)據(jù)主體提供的與他或她相關的個人數(shù)據(jù)”，并且現(xiàn)有的立法和研究大都將可攜權限制在數(shù)據(jù)主體“知情且同意”的基礎之上，將其他方式排除在外。有學者認為，隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的不斷發(fā)展，電信網(wǎng)絡詐騙案件層出不窮、無孔不入。倘若由將權利客體的范圍限定為主體親自提供的數(shù)據(jù)，此時便可以降低數(shù)據(jù)泄露風險，保護數(shù)據(jù)安全。因此這里所說的數(shù)據(jù)重點強調的是數(shù)據(jù)提供的主動性與親歷性，應當由數(shù)據(jù)主體向數(shù)據(jù)控制者提供，數(shù)據(jù)可攜權只保護“主動數(shù)據(jù)”而非“被動數(shù)據(jù)”[1]（P100）。

事實上，數(shù)據(jù)控制者的數(shù)據(jù)來源不僅僅可以通過數(shù)據(jù)主體獲得，還可以通過其他的合法方式，如通過政府信息公開方式等獲取個人信息。在實踐中，如企業(yè)分別收集了A和B的社保數(shù)據(jù)，A的數(shù)據(jù)是其主動提供的，但是B的社保數(shù)據(jù)是企業(yè)通過社保信息共享平臺獲得的，那么此時按照現(xiàn)有的立法，A可以行使數(shù)據(jù)可攜權，然后B卻不可以行使，那么明顯是不合理的，違背了平等原則。因此我們可以借鑒那些突破“知情同意”原則的立法，從實踐的角度出發(fā)，擴大數(shù)據(jù)來源范圍。

現(xiàn)有的立法在數(shù)據(jù)可攜權的適用范圍方面大都達成的統(tǒng)一的觀點，將其規(guī)定在原始數(shù)據(jù)和觀測數(shù)據(jù)以內，從而保護數(shù)據(jù)主體的權益。從企業(yè)財產(chǎn)權益保護的角度，將企業(yè)通過一定的數(shù)據(jù)加工分析，天然屬于智力成果的衍生數(shù)據(jù)排除在外，筆者認為這是合理的，在此不再贅述。

（二）數(shù)據(jù)轉移權的具體規(guī)范設計。

1.數(shù)據(jù)轉移的技術基礎。數(shù)據(jù)可攜權實踐中最大的問題便是互通性問題，即技術上的可操作性，如何在保障數(shù)據(jù)安全的基礎之上實現(xiàn)數(shù)據(jù)轉移也就成了最大的問題。美國實現(xiàn)可攜帶權的模式是建成DTP，是由谷歌、Facebook、微軟和推特四家公司聯(lián)合發(fā)起，它的原理非常簡單，用戶通過通知甲平臺，把個人數(shù)據(jù)轉給乙平臺，然后甲乙雙方直接通過協(xié)議搞定數(shù)據(jù)傳輸。比如說Facebook 上存放的個人數(shù)據(jù)，一鍵就可以轉存到微軟的云上，在推特上的聯(lián)系人數(shù)據(jù)一鍵就能導入谷歌郵箱。這個模式最大的優(yōu)點就是很方便，但缺點就是巨頭壟斷，表面上數(shù)據(jù)開放了，實際上是巨頭之間的相互開放，如果規(guī)則是巨頭限定好的，那么小公司就只能接受，不能修改，這便是換了馬甲繼續(xù)壟斷。那么如何避免巨頭壟斷呢？韓國的MyData 模式做了另一種嘗試，政府發(fā)牌照，指定數(shù)據(jù)運營商對個人數(shù)據(jù)進行統(tǒng)一儲存和管理，當用戶通知甲平臺將數(shù)據(jù)轉給乙平臺，甲就先把數(shù)據(jù)傳到運營商那里，再由運營商查驗用戶授權，再轉給乙。這個模式最大的優(yōu)點是引入了政府的權威，全程由政府監(jiān)管，但新的缺點就是利益沖突，持牌運營商本身也做業(yè)務，又當裁判又當運動員，比如韓國現(xiàn)在發(fā)的牌照，大都發(fā)給了大型金融科技公司，他們本身存在金融業(yè)務，由負責存放競爭對手的數(shù)據(jù)，所以此種模式也不成功。美國和韓國現(xiàn)在的方法存在的問題仍舊是壟斷，只不過是用新壟斷代替舊壟斷。

那么中國有什么獨特的路可以反壟斷呢？《個人信息可攜帶權中國路徑倡議白皮書》提出，中國只有發(fā)揮產(chǎn)業(yè)區(qū)塊鏈的優(yōu)勢，才能真正繞開巨頭壟斷，走出一條自己的道路，區(qū)塊鏈是十四五規(guī)劃的七大數(shù)字經(jīng)濟重點產(chǎn)業(yè)之一，產(chǎn)業(yè)區(qū)塊鏈這個優(yōu)勢可以解決個人信息可攜帶的問題，就是將韓國模式里的持牌運營商角色直接替換成中立的產(chǎn)業(yè)區(qū)塊鏈，把裁判員和運動員分開，區(qū)塊鏈融入之后會把全程可追溯、防篡改這些特性都帶入循環(huán)里面去，用戶可以把自己在各個app 里的數(shù)據(jù)一鍵導入到任何地方，整個存放過程需要由政府指定的權威機構全程監(jiān)督，防止篡改和遺漏，這就解決了權威的問題，然后再由機構將文件的哈希值存在中立的區(qū)塊鏈上，解決反壟斷的問題。

可以將哈希值理解為任何文件的數(shù)據(jù)指紋，一旦這個文件發(fā)生了微小的變化，指紋就會跟著變，也就是說，這個世界上沒有兩個文件的哈希值是完全相同的，正如沒有兩個人的指紋是完全相同的一樣，而這個哈希值的優(yōu)點就是它比原文件小很多，這就如我們快遞包裹上那個條形碼，我們想知道快遞到哪，只需要跟蹤條形碼就可以，這就直接解決了方便的問題。這樣一來，權威、方便、反壟斷三個目標都達成了，所以這個新模式可以幫助我們突破數(shù)據(jù)可攜權的技術障礙。

2.增加數(shù)據(jù)可攜權的限制條款。在網(wǎng)絡高度發(fā)達的當今社會，我們所發(fā)布的信息難免會具有涉他屬性，如我們在朋友圈發(fā)布的與他人的合照，或者微信上與朋友的聊天記錄等，從自己的角度而言，每一個人都是一個數(shù)據(jù)主體，都可以主張自己的數(shù)據(jù)權益，那么這些數(shù)據(jù)在獲取轉移時又該怎么辦呢？學界中比較普遍的觀點認為，此時應當遵循知情同意原則，這是個人信息保護的首要基本原則，它體現(xiàn)了信息主體的自由意志，是信息主體實現(xiàn)新型精神自由（信息自由）的基本路徑。有些學者卻對知情同意原則提出了質疑，認為此原則在具體實踐中大都被架空，用戶無法完全理解那些冗長復雜的條款，常常越過閱讀直接同意，或者說是被迫同意。[11]

因為理論上的認為用戶實現(xiàn)知情同意較為困難，而選擇拋棄，這在邏輯上是不合理的，此時重點應當考慮的是如何保護用戶的知情同意權。其次，作為一個民事主體在其權益可能受到損害前，應該享有同意權，可以拒絕他人行使涉他數(shù)據(jù)的可攜權，有權自己決定。最后，在數(shù)據(jù)轉移完畢后，應該享有自決權，比如說可以隨時請求刪除涉他數(shù)據(jù)留存信息等，從而保護自己的合法權益。

（三）實現(xiàn)數(shù)據(jù)可攜權的具體規(guī)范設計。

1.數(shù)據(jù)轉移前的權利告知、風險評估、身份驗證義務。對于不通曉法律的老百姓來講，是否知道自己享有某項權利是他們行使權利的前提，從歐盟數(shù)據(jù)可攜權立法后的法律實踐來看，如何讓數(shù)據(jù)主體明確自身權利也是實現(xiàn)數(shù)據(jù)可攜權的重要環(huán)節(jié)。因此，在數(shù)據(jù)可攜權本土化的過程中，我們不僅要從立法層面付諸行動，而且更要加強宣傳和普法活動，讓數(shù)據(jù)主體增強數(shù)據(jù)信息意識。此外，我們可以參考《民法典》中對格式條款的規(guī)定，互聯(lián)網(wǎng)服務提供商可以在與用戶訂立合同之前告知其享有攜帶自身數(shù)據(jù)轉移的權利，可以在合同中列出相關條款，在信息主體處于劣勢的狀況下，可以要求服務商提供提示、說明義務，即加黑、加粗、標亮等，并且在用戶具有疑問時，提供解釋說明，以此保護用戶權益，減少糾紛。

按照《條例》的規(guī)定，在數(shù)據(jù)轉移時應當采取機器可讀、開放的數(shù)據(jù)格式，也就是前文所說的“互通性”，但是在實踐中，這點在增加傳輸便利性的同時，與之而來的便是開放后產(chǎn)生安全性問題。歐盟在看到這點后也采取了相應的安全保障措施，如加密工具、共享密鑰等。在我國的實踐中，這點也是不可避免的問題，立法可以規(guī)定將身份驗證作為服務商收到數(shù)據(jù)轉移申請時的必經(jīng)程序，通過相應的方式對用戶身份進行核對，如發(fā)送驗證碼或者指紋識別等。但是這些方式在當今高科技的環(huán)境之下也存在“失靈”的風險，因此我們可以賦予服務提供商一定的主動性，當其對數(shù)據(jù)主體的身份存在合理懷疑時，則可以要求展開雙重驗證補強效力等。

學界中有些觀點認為數(shù)據(jù)控制者對數(shù)據(jù)接收方也應當履行一定的審查義務，但是筆者認為不該如此，數(shù)據(jù)主體意愿與數(shù)據(jù)接收方之間簽訂合同，數(shù)據(jù)接收方是由數(shù)據(jù)主體自身選定的，從而達成協(xié)議，因此二者之間存在權利義務，應當由數(shù)據(jù)主體自身審查數(shù)據(jù)接收方的各項條件。如果盲目概括地將審查義務擴大到數(shù)據(jù)控制者身上，便過分擴大了數(shù)據(jù)控制者應當履行的義務，對其是極其不公平的，也會打擊其積極性。

2.數(shù)據(jù)可攜權的監(jiān)管以及救濟機制。首先，我們不能僅將行動停留在紙面的立法工作上，更要加強實踐，注重權力行使過程中的監(jiān)管機制，個人信息保護在我國才剛剛開始，需要在發(fā)展中不斷完善，因此我們可以在實踐中確立相應的監(jiān)管機制，在協(xié)調好雙方權利義務的同時促進數(shù)據(jù)可攜權的落實與保護，具體的落實方法有待探討，在此不作贅述。

其次，一項權利的確定也就意味著需要有與其相伴的救濟措施，在救濟措施方面，歐盟《條例》允許主體對于行使權力過程中的相關問題可以選擇向監(jiān)管部門投訴，也可以直接向法院起訴，賦予數(shù)據(jù)主體雙途徑權利救濟機制，賦予數(shù)據(jù)主體在向監(jiān)管機構尋求救濟后，倘若不服仍可向法院起訴的二次救濟途徑。在數(shù)據(jù)可攜權本土化的過程中，我們也可以學習歐盟，借鑒歐盟相關立法，設立監(jiān)管機構，以此更好地保護數(shù)據(jù)主體。

最后，我們可以在立法中規(guī)定數(shù)據(jù)控制者的不作為責任，如根據(jù)其不履行原因、不履行程度、不履行態(tài)度等，通過主客觀結合，對其采取一定的懲罰措施，如行政賠償、損害賠償?shù)?。有學者認為確定數(shù)據(jù)控制者的責任很大程度上忽視了為數(shù)據(jù)控制者所加負的義務，一定程度上犧牲了數(shù)據(jù)控制者的利益，長此以往，歐盟期望數(shù)據(jù)可攜權帶來數(shù)據(jù)產(chǎn)業(yè)發(fā)展的美好憧憬不一定能夠如愿實現(xiàn)。但是筆者不贊同此種觀點，數(shù)據(jù)主體相對于數(shù)據(jù)控制者而言處于天然的弱勢地位，在行使權力過程中很大可能上會受到數(shù)據(jù)控制者的阻礙，因此規(guī)定數(shù)據(jù)控制者的責任是立法中不可缺少的一部分。

結語

近年來中國的數(shù)據(jù)泄露事件也屢見不鮮，從AcFun到華住連鎖酒店，從圓通到順豐，數(shù)據(jù)生意無孔不入。然而，相比外國網(wǎng)友的義憤填膺，中國公眾的態(tài)度倒是意外的平和：“在這個信息泄漏的時代，誰不是裸奔？”一句調侃的玩笑話，也折射出大數(shù)據(jù)洪流下，國人對隱私泄露的習以為常。如今的中國已經(jīng)開啟了5G時代，互聯(lián)網(wǎng)經(jīng)濟發(fā)展迅速，用戶的安全度與信任感卻越來越低了。在算法主導的時代里，我們不能只注重數(shù)字經(jīng)濟的發(fā)展，更應該注重的個人信息的保護，我們一手秉持商業(yè)與利益，一手緊握理想與情懷，如何將二者結合，是我們這一代人肩負的使命，不要讓“萬物互聯(lián)”吞噬個人生活的最后一片“自留地”。