内容提要：个人信息可携权既具有增进个人选择自由、促进数据流通与再利用、推动数字市场公平竞争的功能，同时也可能带来个人数据联结的多元主体权益冲突、加剧数据流动风险、引发技术创新受阻、反向损害公平竞争等问题。有别于个人信息权利束中的知情权、决定权等权利所体现的程序正义价值，可携权主要涉及的是数据治理中多元主体之间利益的分配正义。应当在平衡个人信息权益、平台数据权益、数据市场竞争秩序和创新以及数据安全等多元视角下，对个人信息可携权的性质和功能进行界定，将其作为数据治理中的一项规制策略性工具。对个人信息可携权的行使应设置相应适用条件，通过采取部门化、场景化的方法，吸纳多元主体参与，完善监管机制中的程序要素和机制安排，并通过动态化和反思性调适持续促进分配正义。

　　 关键词：个人信息可携权　分配正义　个人信息权利束　数据治理

　　 一、问题提出与界定

　　 个人信息可携权（right to data portability）是一个诱人的观念。在个人与高度组织化的个人信息处理者之间的不对称权力结构中，赋予弱势一方的个人获取个人数据并加以“再利用”的权利，这不仅具有道义上的力量，对个人也是一种心理上的抚慰。在个人数据被大规模、持续性处理的时代场景中，可携权的观念呼应了个人面对大规模数据处理活动所产生的焦虑感，在一定程度上强化了个人对个人数据自主控制角色想象的建构。正是这种个人对数据控制者进行“制衡”的观念，催生了个人在数据处理活动中的知情、决定、访问、复制、删除等权利的集合，或称“个人信息权利束”。个人数据可携权正是这组权利集合中最新被引入的内容。

　　 可携权观念经由欧盟《一般数据保护条例》（General Data Protection Regulation, GDPR）形成一项个人在其个人数据处理活动中的权利，该条例对数据可携权的规定主要集中在第20条。在《一般数据保护条例》的框架中，数据可携权是一个广义概念，包含了个人向数据控制者查询、复制数据的权利（right to access）以及要求数据控制者将与其有关的个人数据转移到另一个数据控制者的权利（right to request data transmission），后者与前者都要求数据是“机器可读、普遍可用、结构化的”。与上述宽泛的理解相比，狭义的数据可携权主要指数据的“可携性”（portability），在数据处理场景中主要指个人享有请求数据控制者将数据传输给指定的新的数据处理者（即数据接收者）的权利。

　　 在欧盟委员会看来，随着信息技术的发展，保护个人数据不仅具有政治意义，也具有经济意义，因为数据保护有助于构建数字环境下的信任，促进更多的在线交流和交易活动，这对于经济发展和技术创新具有重要意义。个人数据可携权就是用于追求数字信任建设的一个制度创新。尽管欧盟立法者在反复调整相关条文后将数据可携权正式引入到立法之中，但可携权作为一项新型权利，在具体的权利行使实践中对个人信息保护、产业创新、数据安全以及公平竞争到底会产生什么样的影响，仍是一个饱受争议的话题。这一权利实践如何展开、效果如何，仍有待观察和评估。仅仅通过《一般数据保护条例》第20条的规定，也无法理解数据可携权所蕴含的各种价值和利益竞争，而这些复杂的价值和利益竞争，将决定该项权利的实践展开及其未来命运。也许是考虑到数据可携权的内在张力及其实践难题，作为欧盟个人数据保护立法解释权威机构的欧盟第29条工作组，于2016年12月制定了《个人数据可携权指南》（Guidelines on the Right to Data Portability），并于2017年4月对该指南作出新的修订。不过到目前为止，数据可携权的规定仍然只是“鼓励性的”而非“强制性的”要求，这也反映了在个人数据可携权的实践问题上，国家仍持一种谨慎立场。无独有偶，在英国、美国等国家中，可携权的引入及实践方式也面临着巨大争议，立法者与监管者对是否应广泛引入可携权、如何适用可携权等问题都持较为审慎的态度。

　　 立法者和监管者的这种谨慎立场，从另外一个角度折射出数据可携权所涉及的多种价值和利益之间的竞争甚至冲突。因此，作为一种促进个人信息权益与数据处理者利益、技术创新和产业发展之间“再平衡”的规制策略性工具，如何权衡可携权对各种相关利益和价值的所产生的影响，成为可携权制度安排中的理论和实践焦点。

　　 对于可携权，我国学界已有所关注，但其具体权能与落实仍存在较大争议。我国《个人信息保护法》第45条规定了个人对其个人信息的查询、复制以及迁移权，从而在规则层面确立了个人对其个人信息的可携权。《个人信息保护法》在一审稿、二审稿中规定了个人在数据处理活动中享有对其个人信息的查询、复制权；三审稿进一步增加了狭义的可携权。从立法过程论的角度看，这反映出立法者对引入个人信息可携权的斟酌权衡。如果考虑到《个人信息保护法》关于狭义可携权行使条件的开放性，可以发现关于个人信息可携权的规定，仍然只是一个授权性的、开放性的条款；个人信息可携权的行使，将取决于未来对该项权利启动和行使之具体条件的设定。立法者为何在个人信息保护法制定过程最后阶段“临门一脚”增加狭义可携权？如何理解个人信息可携权的性质和功能？如何设定个人信息可携权的行权条件？这些问题将是《个人信息保护法》实施中个人信息可携权实践展开的关键。本文尝试对上述问题进行探讨。

　　 二、可携权的性质及功能

　　 个人数据可携权最早由欧盟引入，后为美国加州、新加坡、澳大利亚等地的立法所参考。为何这些地区的立法提出可携权？可携权的主张理据是什么？这些理据又面临哪些批评？对这几个问题的回顾，有利于我们还原可携权的真实面貌，从而更好地理解该项权利的性质及功能。

　　 （一）数据可携权的正当性理据

　　 1. 可携权作为制衡性的个人“充权”手段

　　 赋予数据主体可携权的首要目标是为数据主体进行“充权”。在个人与大规模、组织化的数据处理者之间，存在着不对称的权力结构。个人信息保护立法的根本目标在于对个人数据处理活动进行干预和规制，而不是由个人与数据控制者进行力量悬殊的博弈。因此，个人数据保护立法的一项重要规制目标便在于缓和现实中存在的个人与数据处理者之间的不对称权力结构。广义的数据可携权所包含的权能，特别是“数据迁移权”，可以降低个人对特定数据控制者的依赖度，赋予数据主体摆脱受特定数据控制者“锁定”及选择替代性服务的能力。用经济学的思路分析，也就是数据可携权可降低用户的“切换成本”（switching cost），防止用户被“锁定”于某个服务商，因而在一定程度上增加了用户选择的能力和自由，增强了其对整个数字环境的信任。

　　 2. 可携权作为数据再利用的权利

　　 个人对其数据的广义的可携权也意味着数据主体对数据进行“充分再利用”的权利。个人首先有权在电子环境下以特定的形式复制个人数据，这可以增进个人的便利；在此基础上，数据迁移可帮助用户更便捷地切换服务商，进而打破锁定效应、获取更加多元且优质的服务。从立法原意观察，欧盟委员会在2012年关于《一般数据保护条例》的最初议案中明确指出，数据可携权是重建网络环境下交易信任的重要工具，而重建信任的重要策略就是增强个人对数据的控制。其中“重述”第68条（Recital 68）亦指出“数据可携权将进一步增强个人对数据的控制”。总的来说，这种“再利用”表明个人对其数据的某种控制能力。那么，这种“控制”的规范内涵是什么？数据可携权所指向的“控制”属于何种法律性质的控制？对上述问题的回答可以从三个方面具体展开：其一，可携权与作为基本权利的个人数据受保护权是何种关系？其二，可携权与个人数据所有权是何种关系？其三，可携权与数据分享是何种关系？以下对此略作展开回答。

　　 第一，数据可携权并不当然是作为基本权利的个人数据受保护权的组成部分。《欧盟基本权利宪章》（EU Charter of Fundamental Rights，下称“《宪章》”）第8条规定了作为基本权利的“个人数据受保护权”。一些研究者将可携权与该项基本权利联系在一起，认为个人数据受保护权的核心目标是“强化个人信息受保护”的有效性，而这就意味着“个人对其数据拥有控制权，信任数字环境中的个人信息处理”；数据可携权就是确保个人对数据控制权的一种工具，因此其构成《宪章》第8条规定的基本权利的内容。但是，《宪章》第8条虽规定了与《一般数据保护条例》规定中相对应的其他权利，例如知情、同意、查询、救济等权利，却并没有清楚地提到数据可携权或个人对数据的控制，因此无法从《宪章》第8条的规定中直接推导出个人数据可携权的规范内涵。

　　 同时，数据可携权也不是数据查询权或访问权在逻辑上的必然延伸，虽然两者在增强个人对数据的获取能力上有一定的关联，但在适用条件与功能上仍存在较大差异。一方面，从适用范围与条件上看，数据可携权使数据主体能够获得一份供自己使用的副本，并以“结构化的、普遍可用的和机器可读的”格式将数据传送给另一个控制者，这其实是专门运用于数字环境中的。并且，与普遍适用的查询权或访问权相比，数据可携权只适用于少数情况，它只能针对数据主体向数据控制者“提供”的数据，而不是与数据主体相关的所有数据。另一方面，从功能上看，与知情权类似，《宪章》规定的数据访问权，主要目的是规范数据处理行为，对个人提供程序性的保护，并未直接体现出促进数据携转、迁移与流通的内涵。实际上，数据可携权在欧盟原有法律中并没有直接的权利依据，由于其服务于快速发展的电子环境下的数据携转目的，因此在欧盟被归类为“全新权利”，而不是从《宪章》第8条中可以直接推导出的权利。

　　 第二，数据可携权也不意味着数据主体对其数据的所有权。数据携转所对应的数据可复制和可迁移性，并不是财产权的必要特征；可携权并不具有排他属性，因而并不涉及产权逻辑。虽然可携权在一定程度上使得个人可以基于自身权益的需要解除数据控制者对其个人数据的独占性控制，但这并不意味着个人可因此而获得对其数据的所有权性质的控制性权利。从权利行使的功能及后果观察，可携权的行使并不能使个人自主地、独占或排他性地支配其个人数据；而且，从权利行使的条件看，个人数据的携转也不是仅凭借个人请求便能够普遍实现的。

　　 第三，从数据共享中的个人角色观察，可携权实际上彰显了数据利用活动中个人角色的强化，使个人在积极的参与中获得数据流动带来的便捷、高质量的服务。《个人数据可携权指南》指出，“数据可携带的目标是强化个人对数据的控制并确保他们在数据生态系统中扮演关键的角色”。也就是说，要从整个数据生态系统的主体间关系角度来理解可携权的“控制属性”，即数据可携权旨在增强主体对数据移转与再利用行为的控制，而不是增强对个人数据的控制。因此，对数据可携权的功能，更为贴切的描述应当是使数据主体参与并受益于数据自由流动，让个人成为数据共享和再利用的积极参与者和受益者。在社会意义上，这种共享与再利用也可减少使用者共享数据的成本，促进更优水平的数据共享，进而促进数据驱动的数字经济发展和社会福利。

　　 3. 可携权对公平竞争的促进

欧盟《个人数据可携权指南》中明确指出，可携权“将支持个人数据的自由流动并促进数据控制者之间的竞争”。从这个意义上说，数据可携权在一定程度上可以缓解数据主体的“锁定效应”，从而促进竞争。事实上，数据竞争是现代企业竞争的重要部分，各企业通过产品、技术和服务的优化与创新来改善用户体验，吸引用户投入，(点击此处阅读下一页)