马近斐｜论数据可携带权的法律审视

Original 马近斐上海市法学会东方法学 2022-11-11

收录于合集

马近斐

东南大学法学院硕士研究生

要目

一、问题的提出二、数据垄断情景下的互联网经济生态圈乱象及其背后的商业逻辑三、数据垄断情景下数据可携带权理念的引入
四、数据可携带权立法目的之三重面向与面对的困境
五、面对数据可携带权的中国应对方案
结语

在数据垄断的情境下，新生企业往往面临着来自法律、技术与市场的重重准入壁垒，且数据垄断方可以利用其市场支配地位采取强制不兼容、价格歧视、过度收集用户隐私等一系列不当行为。当前，欧盟率先采取的数据可携带权，通过赋予数据主体以个人信息权，探索了一条间接规制数据垄断行为的新路径。然而，“数据可携带权”的三重面向中，存在着诸如数据安全风险、互操作性弱以及过度管制可能等问题，需要我们在引入时予以甄别和防范。在当前情势下，不适宜直接在个人信息保护法中直接规定数据可携带权，但应当加强对数据可携带权的理论研究与配套制度构建。待条件成熟后，可以探索以法律修正案的形式增加“数据可携带权”的有关条款。在加入该条款时，应当注意加入中小企业豁免制度，且扩大数据主体的范围，以及加强与其他法律的衔接性。

一、问题的提出

近年来，互联网、大数据、人工智能等新科技接力发展，逐渐成为了社会进步的“新标志”。而这些技术的发展，都离不开作为底层生产要素的“数据”这一基本资源，“数据”甚至成为当代经济增长的“新石油”。在数据领域取得先发优势的互联网平台巨头，纷纷通过制定数据发展策略，进行数据垄断，进而巩固其在数据产业市场及其下游产业群中的寡头地位。在数据垄断的背景下，当前互联网经济生态正逐步呈现“竞争内卷化”和“准入困难化”的反向发展势态。而当这一趋势加速发展，进而使得某一互联网领域呈现“固化板结”形态之后，拥有数据垄断地位的经营者，往往依据其与用户之间交易中绝对强势地位和市场支配地位，降低其对于用户的隐私保护力度，并进一步采取“大数据杀熟”、降低服务质量等侵害消费者权益的行为。

为缓解数据市场准入的困难性，促进数据流动，营造数据市场竞争的“鲶鱼效应”，进而保护消费者权益，欧盟率先赋予了数据主体以数据知情权与控制权为核心权能的数据可携带权，并分配给数据控制者辅助数据主体自由转移个人信息的义务。欧盟的此种制度设计，是对数据垄断行为进行规制的有益探索，其他国家、地区也纷纷跟进，打造具有本土化特征的“数据可携带权”。在提请全国人大常委会审议的2017年版《个人信息保护法（草案）》中，草案草拟者在第16条中明确提出了数据主体享有本项权利。然而，在2020年的第二版草案中，该制度却付之阙如。立法者对待数据可携带权的态度反复与犹疑，凸显了该项权利设计上的不完善性与背后各方力量相互博弈的问题复杂性。数据可携带权是否是一项有理、有效的权利？该权利的行使范围与边界在何处？如何建构一条符合国情的本土化权利构建路径，以营造公平合理的数据市场竞争环境？这些都是当前亟待理论回应的问题，本文拟围绕这些核心问题展开。

二、数据垄断情景下的互联网经济生态圈乱象及其背后的商业逻辑

当前，互联网巨头纷纷利用各自核心产品优势搭建一种提供居间服务，链接多个群体，促进市场交易的互联网新型平台。而取得先发优势的互联网平台可以借助用户侧的网络效应特征，实现了“赢者通吃”的市场效果。为了进一步巩固其市场领先地位，互联网寡头平台往往综合运用法律障碍、技术障碍、经济障碍等方式阻碍市场后入者取得用户数据。一旦其垄断“数据”这一必要的生产资料，优势平台还能将其垄断地位向下游市场不断传递。近年来，由于数据垄断地位带来的市场优势，正诱导着互联网平台开展损害竞争的行为，进而使得互联网市场上呈现了一系列乱象。

“二选一”等强制不兼容行为

平台的价值与用户的数量之间存在“相互依存、相互决定”的关系，拥有一定数量级和高质量的用户是互联网平台得以在市场竞争中存活并发展的关键。因此，围绕着用户及其数据的竞争，可以说是互联网竞争中的“关键战役”。“3Q大战”“微博与脉脉案”正是其中的典型案例，而这些案件的实质根源在于平台对于用户的数据采取严格垄断政策。研究表明，尽管在互联网产品的选择中，消费者拥有“多宿主”特质，但由于转换平台的成本之大，导致消费者对互联网优势产品往往产生依赖。而互联网平台则可以利用其对用户的“锁定效应”，强制其在“二选一”的市场竞争中被迫留在该平台，进而进一步削弱竞争对手的竞争优势，同时扩大自身的数据拥有量。这一行为构成了“先发优势—数据垄断—强制不兼容—消费者被迫留下—进一步扩大竞争优势”的相互反馈的循环，使得其竞争对手难以聚集其足够的用户数量，实现“市场挤出”效果，进而降低了市场的竞争效果。

市场准入壁垒升高现象

由于数据产业的前期投入成本高、后期可变成本低以及数据为驱动的双边市场存在相当程度的间接网络效应等特性，使得当前数据产业生态呈现高度集中的态势，数据也随之成为了市场准入的关键性限制条件。拥有关键性数据资源的互联网寡头企业往往综合利用法律、技术、市场上的多重阻碍，限制潜在竞争者加入这一竞争行列。

在法律层面考量此问题，主要表现为法律对于用户的隐私保护程度、对于数据权益（数据所有权）的保护力度和数据流动的支持程度，以及限制利用数据实施歧视行为的规制力度等都会对市场潜在竞争者产生不同程度的阻碍或者反阻碍效果。而拥有数据垄断者往往可以借助其数据优势、技术优势、用户优势来利用法律规定阻碍潜在竞争者。例如，如果某部法律规定了较为严苛的隐私保护规定，这必然对市场经营者提出较高的技术要求。相对来说，已经拥有先发优势的数据垄断者往往更能达到相关要求，而新企业则更难达到此等高标准。这样，法律规定便间接扩大了数据垄断企业和新企业在准入方面的差距。

在技术方面的阻碍，主要呈现为以下三项：第一，用于数据收集、分析、维护的技术成本往往较为高昂，市场新入者往往无力长时间承担。第二，数据产业对于算法的可靠性与数据分析有效性提出了较高要求，而现有的数据垄断企业往往拥有更优秀的资金支持和人力资源支持，以制造较为稳定的数据产品。第三，数据存储标准化不一与传输设备不兼容成为另一重要的技术阻碍，这一点有效地阻碍了数据共享与利用。

市场方面的阻碍显得更为直观，主要体现为拥有数据垄断能力的经营者正依据其数据资源库和用户粘性度对企图加入市场竞争的潜在竞争者采取准入封锁，且通过产业链（圈）跨界至相关市场。同时，众所周知的是，商业模式并不属于知识产权的保护范围，而当市场新入者试图以商业新模式突破重重市场封锁时，现有的数据垄断者会做出迅速反应，利用其高数据拥有程度，设计更为符合用户需求的类似产品，进而封堵该市场新入者的发展空间。

算法歧视行为

基于对数据的绝对控制，数据垄断平台往往利用“黑箱”中的算法对于消费者、劳动者采取隐秘而精准的操控。以外卖平台为例，2019年，中国全行业外卖订单单均配送时长比3年前减少了10分钟，外卖骑手在精准的系统算法操纵下，被要求以更高的效率，完成更多的工作，劳动报酬却没有得到提升。与此同时，外卖平台的消费者却发现外卖越点越贵，其在不同程度上都遭遇了“大数据杀熟”等歧视性定价行为。相关平台通过数据分析得出精准的用户画像，并将其定价调整为无限逼近消费者（劳动者）愿意付出的极限。

消费者隐私受损现象

尽管表面上看，不少消费者可以“免费”使用绝大多数互联网平台，但这是互联网作为“双边平台”的特性所决定的。事实上，消费者对于平台的使用并非是人们一般认为的“免费”，而是通过个人数据的供给，与平台达成“隐私换服务”的商业模式架构。正常的市场状态下，经营者应当提供良好的隐私保护政策，以换取用户的青睐与信任。然而，当数，据一旦处于优势平台的垄断之下，其可以肆意调整对待消费者的隐私政策，并通过减少对消费者的隐私对价供给来节约成本。在微软收购领英一案中，欧盟委员会就指出，如果一旦优势互联网平台持续实施封锁效应，就会产生“劣币驱逐良币”的效果，使得那些对用户隐私保护力度更强（成本更高）的竞争对手被迫边缘化，并将限制消费者在选择服务商考量隐私保护这一重要维度。

三、数据垄断情景下数据可携带权理念的引入

诚如上文所言，在当前数据垄断的情境下，互联网经济生态圈已然产生一系列不和谐的发展倾向，亟待法律介入进行规范和调整。部分学者指出，反垄断法作为调整市场垄断领域的基本法，当然应当主动出击，积极回应数据垄断这一最新的垄断样态。但也有很多学者认为，当前平台经济仍处于新生状态，且系中国未来经济的重要增长点，应当对其采取包容审慎、监管中性和轻度监管的态度。此论者进一步认为，在当前法律对于数据权利的性质、范围、内容尚未明确规定的情况下，反垄断法强行介入调整，反而会造成对行业发展和产品创新的损害。

相较于反垄断法对于数据垄断行为的直接介入，欧盟更青睐于探索加强数据流通以打破锁定效应的间接规制路径。为此，欧盟率先在一般数据保护条例中以成文的形式，赋予了个人能够以结构化、普遍和机器可读的格式从服务提供商处获取其个人数据并有权无障碍的将这些数据传输给另一服务提供商的数据可携带权，旨在以四两拨千斤的方式打破数据垄断。

数据可携带权的理论沿革

早在1983年，德国在进行人口普查时，曾有公民针对其应当拥有的个人信息自决权提起宪法诉愿。德国宪法法院经过审理后认为，个人有权决定是否以及何种程度上向他人透露自己的信息。换言之，法院认为，个人拥有决定自我信息归属的权利，自此，信息自决理论正式诞生。学界普遍认为，当前数据可迁移（携带）权的理论渊源也正是滥觞于此。而最早意义上的数据可携带权可以追溯至2002年欧盟所发布实施的普遍服务指令。在此项《指令》中，消费者被授予携带电话号码的自由，这也是当今数据可携带权的最早实践探索。

欧盟于2012年提出的《一般数据保护条例（建议稿）》，第一次明确指出数据主体拥有数据可携带权这一重要数据权利。然而，在接下来，欧盟议会对数据可携带权的概念、内容和所处的篇章位置进行了多次调整，甚至曾一度将其合并入“数据访问权”的范围。经过多轮博弈，最终，“数据可携带权”还是被独立保留下来，但被增添了相当多的限制和排除条件。2016年，欧盟一般数据保护条例明确规定了数据主体享有数据可携带权。

数据可携带权的关键问题：基于对《条例》第20条的解读

《条例》中对于数据可携带权制定了如下规则：1.数据可携带权的前提是数据可访问（获取）权，即当事人有权利从数据控制者手中获取其曾经提供的结构化、常用和机器可读的格式的数据；2.这里的“数据”仅限于通过合同或数据主体明示同意提供的信息，且是以自动化的方式被收集的；3.当技术可行时，数据主体有权要求数据控制者直接迁移而非个人亲自操作；4.条例还建立四种排除数据可携带权的情形，分别是不得妨碍“被遗忘权”、不得影响公共利益、不能对他人权利或自由产生不利影响以及数据控制者依照官方命令而为的必要操作。

条文采取正面罗列加反面排除的方式进行了规则构造，但其中尚有许多关键点需要进行解读和探讨。

首先，“提供给……关于他或她的个人数据”说明，该数据必须被紧密限制在可识别性的个人数据中，而不能涉及他人信息。同时，这一条文中的“提供给”一词存在有可争议的空间。众所周知，数据可以被依照其在产业价值链中的不同阶段，被分为以下三类：一是基础数据，即数据主体基于合意提供的个人数据；二是观测数据，即数据控制者对数据主体在使用时遗留下的行为痕迹进行分析所提取的数据；三则是数据控制对前述数据进行加工、整理后形成的数据材料，被统称为衍生数据。从字面意思上看，基础数据是被主体明确无误地提供给控制方的，但围绕衍生数据能否被纳入可携带的数据范围的问题，数据垄断平台与欧洲数据保护委员会进行了激烈的争辩。但根据条例第65条的规定，欧洲数据保护委员会有权裁决相关争议问题。因此，一般来说，观测数据与基础数据一般都被欧盟视为可以携带的个人数据。

其次，数据可携带权的适用范围是值得关注的另一重点问题。第一，这里的数据被仅限定在基于“同意”或者“合同”之上向其提供的个人数据。第二，这里的数据仅限于被自动化方式收集的数据，换言之，这一要求排除了人工对于数据的干预。但随之而来的一个问题是，如果某种数据通过纸质问卷收集并录入之系统之中，是否还能被认为是可以携带的数据呢？最后，本条文还规定了四种反面排除的情形，其中最有争议的是“不得影响公共利益”和“不能对他人权利或自由产生不利影响”两项。这两条规定犹如民法中的“公序良俗”与“权利不得滥用”原则，具有很强的包容性和解释性，如果两者的适用情形没有被清晰地限定，则很容易沦为数据控制方逃避转移义务的良好借口。

第三，数据可携带权对数据形式的要求是第三个关键点。条例第20条及陈述部分共对数据的形式提出了四个要求：即“结构化”“常用”“机器可读”“可互操作”。“结构化”是指是指被高度组织化和整齐化的数据，其可以被某种特定的格式读取。“机器可读”和“可互操作”强调的数据的格式可被机器处理，并可通过现行技术在不同组织间进行交互和共享。“常用”即为字面意思。四者相互联系，不难读出欧盟对于数据的可共享性的期待。然而，欧盟对于数据控制者在日常经营中所运用的数据要求仅仅采取推荐性标准，因此，并没有足够的强制力推动数据格式的统一化，进而也使得数据可携带权在操作方面面临着相当突出的技术阻碍。

最后，为了增强数据可携带权的技术可行性，欧盟数据保护工作组对于数据传输要求进行了规则制定。根据条文，数据传输的要求可以概括为以下两点，一是“无障碍”，二是“技术上可行”。然而，这两点无疑都充满着可争辩性，也必然成为数据控制者进行抗辩的法律工具。为了限缩数据控制方的抗辩范围，工作组进一步指出“障碍”一词包含“法律、技术和经济上的各种障碍”，且应当由数据控制方举证障碍的不可归责性。对于何为“技术上可行”，工作组也暂时无法给出明确的定论，只能要求数据控制方承担解释“技术上不可行”原因的义务。

四、数据可携带权立法目的之三重面向与面对的困境

尽管设计GDPR的原初目的是为了保护个人数据权利，但是根据欧盟数据保护工作组所公布的《数据可携带权指南》所描述的，该种权利构造的主要目的却是为了服务于竞争政策。事实上，如果我们进一步分析，数据可携带权的立法目的至少有三重面向，一是面向个人，保护“数字人格”背后的个人自由和人格尊严；二是面向有关企业，打破“锁定效应”，降低企业准入门槛；三是面向社会加强数据流动，营造公平竞争环境，从而鼓励创新。但是，无论是哪种面向，在制度的具体实践中，都存在着“事与愿违”的现象，需要我们认真分析，以便规避负面影响，发挥好数据可携带权的正面效能。

面向个人：保障“数字人格”的理想与“潜在安全风险”的现实

正如学者赞菲耶所认为的那样，伴随着互联网的迅猛发展，人格电子化正成为一种明显的发展趋势。当前，互联网平台通过对数据进行交互式处理，将每个现实个体通过网络进行连接，而当现实人作为人之资格与尊严映射在网络社区中，便形成了每个人的“数字人格”。

在这个角度上来审视“数据可携带权”，我们可以分析出如下结论：数据原本是个人的隐秘信息，其所有权也应当是一种私人权利。然而，互联网垄断平台在数据所有权的法律属性尚未明定的情况下，通过“自我赋权”的方式剥夺了数据主体的信息资源。而数据可携带权作为信息自决权在互联网数据领域的自然延伸，通过构造数据访问权和控制转移权的方式，加强了数据主体（此处特指自然人）对于自身信息的控制程度，更有利于拓展人在数字网络中的权利和尊严。而这一点也在立法解释中得到了证明。质言之，数据可携带权正是强化数字人格保护的体现。

尽管“数据可携带权”的对于个人而言的价值目标如此宏大与正当，但却面临着一个难以回避的现实问题—即个人信息的泄露风险增大。这一问题可以被细化为两种关键类型，一是虚假数据主体身份问题，二是数据传输过程中遭受攻击、窃取问题。首先，根据欧盟关于数据可携带权的规定，要求必须一次性提取所有数据，且不得为此“设置障碍”—即数据控制者无权对于数据主体进行第二次有效验证。这一规定大大增强了“虚假主体”的可能性，可能引发一系列数据窃取诈骗、敲诈勒索等问题。第二点问题发生在数据传输和转移过程中。数据转移的去向往往是许多新生平台，而新生平台共性的问题在于其技术与资金稳定性不足，因此打造出的数据转移通道与之后存储数据的数据库之稳定性无法得到保证。由此观之，对于数据可携带权可能引发个人信息的泄露风险增大的问题，GDPR并无力形成一套清晰高效的系统化解决方案。

面向企业：打破“锁定效应”的理想与“技术操作障碍”的现实

欧盟认为，之所以当前数据控制方相对于数据主体位居绝对强势地位，正是由于数据控制方可以采取各种阻碍抑制潜在竞争者的参与，从而牢牢地将用户锁定在本平台。而一个平台拥有的用户越多，单个用户转移至其他平台所需要付出的各类成本就会更大，最终形成一种“锁定效应”。而赋予数据主体以“数据可携带权”可以重新平衡二者关系，让数据主体重新在数据经济生态圈中发挥积极的作用，减少其转移高昂的转移成本，以促进该领域的公平竞争。

从条文设置的初衷来看，如果这一目标能够达成，的确能够有效地缓解“锁定效应”。因为“数据可携带权”有效地降低了后入者参与市场的成本与壁垒，能够使得更多潜在竞争者公平地享有数据流通带来的社会福利。对于后来者来说，只要其能够提供高于现有平台水准的服务，其就有可能获得现有用户的青睐。然而，正如我们前文分析条文时所提到的“无障碍”与“技术上可行”两点，其很有可能成为数据控制者逃避履行义务的托辞。

换言之，数据可携带权面临的严重现实问题是，当前各个平台之间数据的“互操作性”不强。“互操作性”也可以被认为是“兼容性”，指的是可在不同系统之间能够相互转移和存贮数据的能力。数据可携带权能够在“技术上可行”的前提就是数据能够通过某种可被相互识别的传输通道运输，并能在不同系统之间被存贮，否则不同数据控制者之间难以达成数据共享。早在2010年，《欧洲数字议程》就将缺乏互操作性列为当今时代中阻碍数字一体化建设的七大原因之一。而在2015年，《数字化单一市场战略》又指出不同数据控制者在数据准入方面缺乏互操作性是阻碍数据跨境交流和新服务开发的主要阻碍。

统一的数据存储格式必然能降低市场准入门槛，提升市场服务的多样性与开放性，反之必然影响数据的流通性，对“数据可携带权”的实现造成技术上的阻碍。然而，由于欧盟作为邦联的原因，其管制能力并无法达到统一主权国家所能达到的标准，因此在考量多方力量后，只能是提倡采取增强互操作性的方法，而未制定统一的数据传输与存储标准。这一点为“数据可携带权”的实践运行蒙上了一层阴影。也难怪欧盟数据保护小组表示：“与其说是促进个人数据自由流转的工具，‘数据可携权’的规定更像是一种原则。”

面向社会：营造“激发创新”的理想与“过度管制可能”的现实

对于调整数据竞争的政策来说，最为关键是实现数据流通和数据控制之间的平衡，或者说平衡在数据控制者和数据共享者之间的资源配置。过度强调数据流通，会损害数据控制者的利益，损害其收集、整理、利用数据资源的积极性，最终导致社会整体福利的降低。而过度强调数据控制，又会使得数据资源被垄断，同样不利于数据时代的商业创新和竞争市场秩序。数据可携带权正是在当前数据控制过分发达，而数据流通相对弱势的情况下出台的用于平衡二者之间关系的工具。

欧盟认为，个人对于自身数据被利用情况的不清楚以及对自己隐私安全问题的担心，严重影响了数据主体与控制者之间的互信，进而使得个人数据不能被充分收集、整理，进而影响了数据在整个行业内的流通。而“数据可携带权”的横空出世，将承担起增强平台与用户之间互信的重要使命。欧盟相信，该权利的充分保障，会帮助消费者选择对其服务（含隐私保护）效果最好的平台，也就充分保障了消费者的自由选择权。而当其增强了对被选择对平台的信任程度时，其就有更强的动力提供自身数据以换取服务，从而增大了社会拥有的数据总量。在他们看来，数据主体分享、交换数据的意愿程度与可转移数据的自由度呈现正相关关系。进一步讲，社会数据总量的增多以及数据交换成本的降低，将会促进数据流通的效率，而良好的数据流通将为社会创新提供发育的温床。

然而，有学者对这一理想状态进行了批评，并作出了不同的理论假设。首先，这一派学者认为，尽管数据主体可以将数据自由转移到其他平台，但是如果对于其他平台的安全程度缺乏信心的情况下，其更可能将其数据保存在更为安全的大型互联网平台，这使得数据向中小企业流通的愿景成为一种幻想。虽然数据的自由流通可能推动社会创新，但有学者认为这一论断并没有直接证据，甚至在某些行业的某种创新造成阻碍。最后，当自己辛辛苦苦收集的数据可以被其他人不费吹灰之力转移走时，数据控制者收集、整理、利用数据资源的积极性会被磋商。同时，该条文也未规定中小企业豁免，这使得中小企业还将为此种权利投入额外的成本，这也变相增高了市场准入壁垒。因此，这一派学者认为，数据可携带权或许更加不利于社会创新。

五、面对数据可携带权的中国应对方案

当前，学界关于数据可携带权的看法呈现两极分化，立法者的态度也游移不定。针对此种情况，应当冷静应对上文提出的数据可携带权的问题，积极吸取数据可携带权的有益经验，探索数据垄断的规制新路径。在当前情势下，不适宜直接在个人信息保护法中直接规定数据可携带权，但应当加强对数据可携带权对理论研究与配套制度构建。在构建统一的数据存储标准及数据安全标准后，可以探索以法律修正案的形式增加“数据可携带权”的有关条款。在加入该条款时，应当加入中小企业豁免问题，且扩大数据主体的范围，以及加强与其他法律的衔接性。

当前情景：暂时不适宜直接引入“数据可携带权”

前文已经表述，数据可携带权在建立之后，呈现多种与现实状态不合的问题，大大削弱了数据可携带权的实践价值。同时，我国当前的数据产业、数字经济正成为蓬勃的经济发展增长点。过于早地打破数据控制与数据流通方之间的市场自然调整方式，或许也未必是一条有利于数据产业发展的路径。

因此，我们不妨让“子弹飞一会”，冷静观察、总结数据可携带权在运行过程中的各类问题，提前做好法律、经济、物质上的配套措施，为将来建立该制度做好准备。但是，我们丝毫不能放松对这一问题的理论研究。其原因在于，在境外国家陆续建立数据可携带权的情况下，如果我国企业不能很好地做好应对方案，必然影响我国在跨境数据产业竞争中的影响力。其次，如果跨国企业面对国内、国外消费者实行两套标准，或许会造成对于我国消费者的歧视性对待。

前景预期：做好法律、经济与技术上的准备

一是应当提前建立数据可携权实施的技术支撑配套政策。在我国2017年的《草案》中，也曾提出了“技术上可行”的要求，但是却没有进一步的补充细则，因此难以回答以下几个问题：技术可行性的标准是什么？是数据输出方还是输入方的技术可行？最终裁决权归于哪一机构？证明责任由何方承担？如果不对这些问题进行厘定，则很容易沦为数据控制方逃避义务的借口。

其次，《草案》中对数据的存贮格式以及的迁移性都没有规定，这从侧面反映了我国当前对于此项标准的系统性缺失。本文认为，尽管采取统一数据格式会降低平台的优势，但是对于整体社会来说，这一行为对数据的流通具有极大的意义。另外，即使采取统一数据存储标准会降低数据垄断平台的竞争优势，也绝不会降低其收集数据的意愿，因为这是其生存的基本生命线。为了留住客户，他们只会提高其服务质量，以服务质量换取数据，从而提升社会中消费者整体的福利水平。因此，国家层面应当建立储存数据的统一格式标准以应对数据转移障碍，提升数据可携带权的可操作性。

二是在未来的制度中应当规定中小企业豁免制度。按照GDPR的规定，数据可携带权的义务主体范围非常广泛，从社交平台到购物平台，甚至传统的航空公司等都在其列。但是，义务主体并未因为其规模的大小而被赋予不同类型的义务，这就使得中小企业面对更为沉重的义务包袱。相较拥有雄厚财力和技术力量的大公司，这些中小企业面对这样的合规成本显得更加难以承担。而这或许会成为一种新型市场准入法律障碍，与该政策制定之初试图扶持中小企业，促进市场竞争的愿望背道而驰。因此，应当从平台规模、用户活跃度、公司资产价值等多维角度出发，区分大小企业，并建立中小企业实施“数据可携带权”豁免制度。

三是扩大数据权利主体范围，并适度扩大“数据”范围。当前“数据可携带权”的权利主体仅有自然人，但事实上某些情况下，法人及其他非法人组织也有转移个人数据的需求。在特定的情况下，应当赋予法人等组织“数据可携带权”。例如，在购物平台入驻的商家，其客户资料、用户评价等商业数据，可以探索将其纳入至可以携带的“数据”范围。其次，“数据”的范围一般仅包括基础数据与观测数据，而不包括衍生数据。但是如果衍生数据成为一种“关键必要设施”的情况下，而数据控制方又采取排除、限制竞争的措施，拒绝以合理条件提供相关数据，此时或可赋予数据接收企业有限（附条件）的数据可携带权申请权，在征得数据主体同意后进行数据迁移。

结语

在数据垄断的情境下，新生企业往往面临着来自法律、技术与市场的重重准入壁垒，且数据垄断方可以利用其市场支配地位采取强制不兼容、价格歧视、过度收集用户隐私等一系列不当行为。当前，欧盟率先采取的数据可携带权，通过赋予数据主体以个人信息权，探索了一条间接规制数据垄断行为的新路径。然而，“数据可携带权”的三重面向中，都不同程度地存在着例如数据安全风险、互操作性弱以及过度管制可能等问题，需要我们在引入时予以甄别和防范。在当前情势下，不适宜直接在个人信息保护法中直接规定数据可携带权，但应当加强对数据可携带权的理论研究与配套制度构建。在国家层面，应当加快构建统一的数据存储标准及数据安全标准后，以进一步降低“数据锁定效应”。待条件成熟后，可以探索以法律修正案的形式增加“数据可携带权”的有关条款。在加入该条款时，应当注意加入中小企业豁免问题，且扩大数据主体的范围，以及加强与其他法律的衔接性。

往期精彩回顾

徐静｜刑法立法中主观主义的扩张和应对

戴敏敏｜认罪认罚量刑建议不予采纳现象之研究

上海市法学会官网

http://www.sls.org.cn