王韬 狄如馨｜数据可携权的法律审视与适应性构建思考

随着数字经济时代到来，数据流转成为一种不可回避的趋势。数据可携权作为一项新兴权利，有助于实现数据主体对个人数据的控制、转移，还能打破互联网“数据孤岛”，减少数据垄断带来的市场壁垒，更能为企业提供多元数据资源，倒逼企业在数据合规的前提下开展技术创新、优化产品服务，进而加速整个数字产业的迭代升级。而与此同时，在数据权属不明、对数据分类规制不健全的情况下，数据可携权仍有司法困境，发生纠纷亦在所难免，既影响了数据主体权利的有效行使，也制约了数据要素市场的健康发展。本文将从数据可携权的发展背景、内涵、司法实践现状等方面厘清目前的行权边界和方式，通过分析借鉴域外立法经验探索数据可携权的适应性构建路径。

一、数据可携权问题的由来

数字经济背景下，大数据、人工智能等相关产业快速发展。数据作为新型生产要素，在社会资源配置中发挥重要作用。政府、企业、个人在数据加工、使用等多个环节涉及的权利问题，受到业界、社会的普遍关注。而数据一旦流转就必然会带来数据控制者、数据接收者、消费者三方权益冲突问题。在此背景下，如何妥善处理数据流转问题，平衡好数据控制者、数据接收者、消费者之间的关系，营造良好的市场竞争环境，日益成为数据治理上的难题。

目前，域外部分地区通过制定法层面确立数据可携带权为个人数据权利。我国在个人信息保护法第45条第3款中对数据可携权作出相关规定，明确个人可以享有数据可携带权，这也是数字时代下对于个人信息保护的回应，表明数据可携权不仅关系个人利益，更是数字经济发展、数据要素市场化的重要手段，具有深远意义。虽然现有立法开始引入数据可携权的概念，但仍然过于宽泛，对数据可携权的适用条件和范围、权利实现方式尚无具体的指引，在我国实践中如何实现权利，平衡数据可携权与其他权利之间的关系，都将成为值得探讨、观察的问题。

二、数据可携权之沿革与内涵

数据可携权是欧盟在2012年的通用数据保护条例（以下简称gdpr）中创设的个人数据权利。gdpr在其第20条第1款中对数据可携权做了定义，即数据主体有权获得其提供给控制者的个人数据，且获得的个人数据应当是经过整理的、通用且机器可读的，数据主体有权将此类数据不受阻碍地传输给另一个控制者。

目前比较普遍的观点认为，数据可携权的理论根源来自于德国联邦宪法法院作出的关于信息自决权的人口普查法判决。1982年，德国颁布人口普查法，该法实施后将允许收集公民职业、住所等个人信息。部分公民对此提起了宪法诉讼。德国联邦宪法法院最终将审查焦点锁定为其是否违反德国基本法也即德国宪法保障的一般人格权，并由此创设了信息自决权的概念。该院认为，如果个人无法知道自己的个人信息在多大程度上被谁获得和利用，个人将失去作为主体参与的可能性，成为他人可以操纵的信息客体，这是对人类尊严的侵犯。在信息化时代下，自决理念下的“个性自由”包括个人自主决定何时以及在多大程度上披露其个人生活事实的权利。唯有当个人可以支配其个人信息时，才可能自由发展其人格。德国联邦宪法法院以此充分论证了个人信息自决的必要性，并把对个人信息的独立控制在宪法的高度上加以确认，将个人资料权利明确为一项宪法权利。而后，信息自决将个人信息保护置于宪法“人的尊严”视域下，逐渐构建起了以个人控制为中心的保护体系。gdpr相应立法的数据主体权利束中，知情同意权、删除权、访问权，无一不是加强信息主体对其数据的控制、支配。

我国最早在2020年3月发布的《信息安全技术个人信息安全规范》（gb/t35273-2020）中引入数据可携权。其中8.6条在规定数据主体有权获取其信息时，也明确了技术可行的前提下个人信息控制者应数据主体请求直接将个人信息的副本传输给个人信息主体指定的第三方的义务。数据安全法第7条对此作出了原则性规定，在对个人数据权益保护的同时，国家鼓励数据合理有效利用，保障数据依法有序自由流动，在数据控制中能够有序竞争。随后，2021年施行的个人信息保护法第45条正式在法律层面上明确了数据可携权。同年11月发布的《网络数据安全管理条例（征求意见稿）》第24条予以进一步细化，对权利行使前提条件进行规定，还对数据处理者的提示义务和收取费用权利作出规定，但至今正式稿尚未出台。

三、数据可携权之司法适用困境

司法实践中，公开裁判文书直接提及数据可携权的案例只有2个，均在个人信息保护法生效之前，且均为数据处理者之间的不正当竞争纠纷。在该类案件中，获取数据行为的正当性往往是法院审查的重点内容，对此，原、被告双方也会展开激烈的对抗，提出各式各样的理由及证据。在某讯公司与浙江某道网络技术有限公司不正当竞争纠纷一案中，被告某道公司开发了微信群控软件，通过该软件可以操控多个微信账号，并可监控、存储微信数据。某讯认为某道公司的行为构成不正当竞争，某道公司以数据可携权进行抗辩，认为用户的社交数据权益归用户所有，其已征得用户同意获取数据，按照数据可携权理论及有关规定，其行为并未违反商业道德。但当时法院经审理认为，数据可携权在我国并无法律依据，且某道公司也未获得微信用户的完整授权等，因此某道公司关于数据可携权的抗辩不能成立。无独有偶，在某浪诉某新闻搬运明星微博数据案中，被告公司也援引数据可携权进行抗辩，但法院依然认为，数据可携权在我国并无法律依据，且从理论上数据可携权适用的数据类型及所保护的法益与案件没有可比性，因此没有采纳被告公司的抗辩。

在以上两起案件中，法院虽然否认了数据可携权抗辩，但也对数据可携权的适用发表了评价，大致可以看出法院认为数据可携权的适用条件：一是需有明确的法律依据。在两案发生当时，我国对于数据可携权并无明确的法律依据。二是应用户主动请求迁移数据。在两案中，虽然法院都以用户授权不完整或存在瑕疵为由否定了被告的数据可携权抗辩，但不可否认的是，用户授权是案件审查的重点。同时，法院对数据可携权的适用持有明显的谨慎态度，在某博诉某条公司案中，法院认定了16个用户同意某条公司同步其微博账号数据的证据是完整的，但仍以该授权没有具体明确到用户系要求行使数据可携权为由驳回了抗辩。三是行使数据可携权需要考虑到涉他信息所涉及的他人利益，以及考虑到对公共利益的影响。在某讯诉某道公司案中，法院认为数据具有多重属性，数据处理需要兼顾微信用户、数据平台经营者和社会公众三方面的利益。

总体而言，司法实践中法院对数据可携权的适用持明显的谨慎态度。这或许与当时数据可携权在我国并无明确的法律依据直接相关，但这一缺陷现在已由个人信息保护法补足。同时，在该两案中，法院完全将数据可携权的抗辩转化为了数据可携权的适用条件，实际上被告提出数据可携抗辩并非要在个案中行使数据可携权，而是通过数据可携权来论证数据主体对其生成的部分数据拥有权益，或者说享有一定程度的支配、控制权利，自然由此可以推导出，用户基于其相关数据权益可以对第三方平台作出授权。但法院在裁判时，将问题转化为了可携权具体应如何适用，转而论述可携权的行使要件，从而将裁判天平向在先数据持有方的权益保护倾斜，也客观上导致了可携权这一权利背后的用户权益的虚置。

四、数据可携权之域外立法借鉴

从比较法来看，国外对数据可携权的法律规定呈现出完善的趋势。世界主要国家已经或者正在构建本土化的数据可携权规范。而且，越来越多的国家意识到，数据可携权制度不仅关系个人利益，更是发展数字经济、实现数据要素市场化的重要手段。为了更好分析数据可携权制度，本部分梳理了欧盟、

新加坡、美国联邦层面关于数据可携权的立法规定，进行域外考察与分析。

（一）

欧盟

数据可携权在欧盟确立也历经多次讨论与修正，从2012年1月数据保护指令草案首次提出数据可携带权，到2014年3月一般数据保护条例（一读稿）将第18条数据可携带权规定并纳入了第15条数据访问权，最终在一般数据保护条例（gdpr）第20条和29条工作组（wp29）制定的《数据可携权指南》中得以确立。按照上述两个文件，欧盟的数据可携权主要内容如下：

1.权利主体：“数据主体”（data subject)，不包括法人等企业主体。

2.权利内容上：按照gdpr第20条的规定，数据可携权的内容包括接收权与传输权，方式包括直接传输（原数据控制者有义务按照数据主体的要求，直接将数据传输给另一数据控制者）和间接传输（原数据控制者仅有义务将数据传输给数据主体，由数据主体将数据传输给新的数据控制者）。同时，按照该条第2款规定，仅在满足“技术可行”的前提条件时，数据控制者才有义务将个人数据直接传输至其他数据控制者。这一规定实质上使直接传输义务成为了一种倡导性义务，数据控制者可以宣称其不满足“技术可行”的条件，从而拒绝直接传输的请求。

3.可携带的数据类型：可携带的数据仅包括个人数据，非个人数据不可携带，具言之，此处的个人数据指的是数据控制者基于数据主体的同意或双方签订的合同并通过自动化方式处理的数据。个人数据中可携带的数据包括：①用户主动提供的数据，如在线提交的个人账户数据，如收件地址、用户名、年龄等；②观测数据（data from the observation of data subject's activity），即数据主体因使用服务或设备所产生的数据，如搜索记录、用户日志等。与此区分的是，推测数据和派生数据，即数据控制者基于前述2种数据进行事后分析而获得数据如用户健康状况评估结果、用户画像等，不属于可携带的数据类型。

4.权利限制：①公共利益限制：数据控制者为了公共利益，或者为了行使其被官方授权而进行的必要处理，数据主体不得行使数据可携权。②第三人合法权益限制：数据可携权不能造成对他人权利或自由的负面影响。一是涉及知识产权和商业秘密的数据；二是涉他数据。对于包含有第三方信息的涉他的个人数据，按照《数据可携权指南》规定，在满足特定要求的情况下，可以被携带：a）该类数据只能由提出数据可携请求的个人单独控制，并且只能满足其个人或家庭需求；b）接收数据的新的控制者，不得将该类数据用于服务自身的目的。如在未获得第三方同意时，不得将第三方信息用于完善第三方数据主体画像，并进行相关产品或服务的营销等等。关于涉他数据是否允许携带的具体裁量尺度上，《数据可携权指南》作出了应该有利于可携权行使的规定，指南指出，“在很多情况下，数据控制者处理的信息包含多个数据主体的个人数据。在此情况下，数据控制者不应当就此作出过分限制性的解释。”③数据被遗忘权的限制：数据可携权不会自动触发从数据控制者的系统删除数据，但如果数据主体想行使gdpr第17条规定的“被遗忘权”，数据控制者不能以数据可携权为由延迟或者拒绝数据主体的要求。④合理请求限制：原则上禁止数据控制者因行使数据可携权向个人收取费用。但数据控制者有证据证明数据可携权的请求没有合理依据或是过分的要求时，“特别是数据可携权请求具有重复特征”，数据控制者可以拒绝数据主体的数据可携权请求，或向其收取合理费用。要注意的是，采用应用程序接口（api）这样的自动化系统，有助于数据控制者与数据主体进行交流，从而减少因数据主体重复提出请求而产生的潜在负担。因此，只有在极少数情况下，数据控制者有正当理由拒绝数据主体提出数据可携权请求。其次，确定数据可携权请求是否过分时，不应当考虑创建响应数据可携权请求的总成本。整个系统执行成本既不应当由数据主体承担，也不应当用作拒绝响应数据可携权请求的理由。

（二）

新加坡

新加坡于2012年制定了个人数据保护法（pdpa），于2020年对pdpa进行修正，并在修正案中正式引入了数据可携权制度。其中设置了专门章节对“数据携带”进行规定，对数据携带权的立法目的、术语、具体内容进行介绍，也规定了数据传输请求权与数据传输义务，对数据传输方式与条件进行了限制，并设置涉及第三方数据时的数据传输规则。

1.权利主体：“个人”（individual)，不包括法人等企业主体。

2.权利内容：pdpa第26h条规定：“个人有权提出数据移植请求（a data porting request），要求移植组织（a porting organisation）将移植请求中指定的合适的数据转移给接收组织（a receiving organisation）。”

与欧盟的gdpr关于数据可携权的规定不同，pdpa并未规定个人的接收权，而是只规定了传输权，且为直接传输。虽然pdpa未直接规定接收权，但pdpa在第5章分别规定了个人拥有数据访问权、数据更正权和数据副本保存权。从立法逻辑上，访问权、更正权、副本保存权可以理解为数据可携权的前提。

3.可携带的数据类型

①用户提供的数据。②用户活动的数据（user activity data），即用户在使用组织提供的服务、产品的过程中（或结果）形成的数据。

相对应的，以下数据不可携带：①派生的个人数据。②受法律特殊保护的个人数据。③如果披露，将泄露商业秘密的个人数据，且该泄露会损害移植组织的竞争力。④如果调查和相关的诉讼、上诉程序尚未完成，则为了调查目的，未经个人同意而披露、使用和收集的个人数据。⑤仅为评估目的而保留的意见数据。

4.权利行使的条件

需移植组织和个人保持持续的关系。“持续关系”是指个人与移植组织之间，因移植组织经营或开展业务和活动（无论是商业活动还是其他活动）而持续存在的关系。

5．权利限制

①国家利益限制。

②第三人合法权益限制。包括数据移植请求不得泄露商业秘密；不得损害与移植数据无关、相关的个人的安全或身心健康。同时规定，对于涉他数据，在满足特定要求下，可以不经过其他主体同意直接移植：a)数据移植请求以请求人个人或家庭的身份制作；b)移植的数据属于请求人个人提供的数据或活动数据。并且，接收组织只能将该数据用于为请求人个人提供商品或服务的目的。

③合理请求限制：此时，移植组织可以考虑数据移植请求的数量和频率。一是由于数据移植请求的重复性和系统性等，不合理地干扰了移植组织的运营。二是移植数据的负担或费用对移植组织不合理或与个人利益不成比例。三是要求移植的数据不存在或者微不足道。四是数据移植请求是无聊的或无理取闹的。

（三）

美国联邦层面

美国联邦层面尚未有关于数据可携权的统一规定，主要散见于一些具体的部门立法中。2023年4月19日，美国民主党众议员提交了在线隐私法案（online privacy act of 2023，h.r.2701）（尚未通过），该法案是对隐私权保护的综合性立法，提出了“用户数据权利”概念，并明确规定了数据可携权。该法案最终能否通过还不确定。该法案关于数据可携权的规定主要有以下内容：

1.权利主体：自然人（individual）。

2.权利内容：在线隐私法案第104条（b）规定，提供可携式种类内产品或服务的涵盖实体（coveredentity，在线隐私法案将控制数据的主体称为涵盖实体）应当向个人提供合理的机制，使该个人可以以结构化、常用且机器可读的格式下载该个人向涵盖实体提供的个人信息或任何该个人的通信内容，并可以使用实时应用程序接口（api）或类似机制，将前述信息或通信内容，从该涵盖实体转移到另一个涵盖实体。按照该规定，数据可携权包含接收权与传输权（包括直接传输与间接传输）。与欧盟gdpr将直接传输作为倡导性不同，在线隐私法案并未有倡导性表述，未规定“技术可行”的前提条件，而是明确要求涵盖实体采用api转移数据，为强制性规定。

3.可携带的数据类型

个人数据可携带。但与个人相关的公开信息（如政府实体提供的信息等），以及无法识别到特定的个人的推测数据和派生数据，不可携带。

4.权利行使的条件

①适用于可携式商品或服务类别：与欧盟、新加坡不同，在线隐私法案规定只有涵盖平台提供的商品或服务属于可携式商品或服务，该类数据才能被携带。数字隐私机构董事每年度至少1次会确定和公布可携式商品或服务的类别。

②小型企业除外，符合条件的小型企业可以不履行数据可携的要求。小型企业是指符合以下条件的实体：（a）不通过出售个人信息赚取收入；（b）为定向或个性化广告处理个人信息而获得的年收入不到一半；（c）在过去12个月中的3个月或3个月以上，与服务的每个子公司和关联公司一起未维护250,000或更多个人的个人信息；（d）雇员人数少于200人；和（e）在前12个月期间收到的总收入少于25,000,000美元。

五、数据可携权之适应性构建思考

基于数据可携权复杂的权利构造与多元的规范价值，我国应从制度定位的角度，充分借鉴国外相关立法与理论，从数据流通与数据保护的平衡发展、多方贡献数据权益分配等方面，从适应本土化的角度作出思考。

（一）

数据流通与数据保护的平衡发展

数据资源持有权、数据加工使用权、数据产品经营权表面上看是赋予了数据一种有限产权，但其实在数据权益保护这一价值维度之外，还有另外一个价值维度，就是数据要素流通。

从背景看，对于数据权益保护，一直存在财产权保护模式和行为法保护模式两种争议。财产权模式认为只有权属明确，才能消除数据交易隐患，增强交易信心；行为法模式则担忧确定权属会导致保护过重、阻碍流通。在这样一个背景下，《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）虽然选择了财产权模式，但并没有引入一个完整的数据所有权概念，而是创造性地提出了数据产权分置这一有限产权概念，实际上也是对数据流通这一价值有所考虑。从内容看，“数据二十条”指导思想部分也是直言“以促进数据合规高效流通使用、赋能实体经济为主线”。

当前，以新一代人工智能革命为契机，几乎可以重塑所有的互联网产品如办公软件、搜索引擎、推荐系统等。在生成式人工智能领域，安全和发展将会是长期伴随、相互影响的主线。因此，在导向上，建议充分平衡安全和发展，鼓励科技创新，不过度限制数据流通与使用，在国家安全、个人信息保护等得到保障的前提下，支持国内互联网企业充分加入到新的国际竞争。

（二）

多方贡献投入的数据权益分配

互联网平台企业常遇到的另一场景就是多方参与下生成的数据，如何分配各方数据权益。比如，平台与合作商签署合作合同，约定由合作商向平台提供某一领域的商业服务，平台向合作商支付货币对价，利用合作商的服务运营自身业务。在合作过程中，合作商为了完成服务，不可避免地需要收集部分数据，将数据存储在平台上的设备，供平台使用，此时，平台与合作商的数据权益如何分配？

对于多方参与产生的数据要素权益分配问题，“数据二十条”原则性规定，按照“谁投入、谁贡献、谁受益”原则，保护数据要素各参与方的投入产出收益。对于该原则性规定，如何在个案中理解和适用，对此，我们认为，应遵循“梯次化”处理原则，从两个层次依次理解和适用：

1.第一层次：合同约定优先。“数据二十条”规定的数据资源持有权、数据加工使用权、数据产品经营权，本质上还是一种私权，应以尊重意思自治为第一原则，在双方有合同约定的情况下，优先适用约定。

2.第二层次：权利主体单一优先。在无合同约定的情况下，如何分配各方权益，需要更为准确理解“数据二十条”精神。“数据二十条”虽然确定了“谁投入、谁贡献、谁受益”的原则，但绝不意味着无限制认可所有参与方都能拥有数据权益，就如一条大河，可能由雨水、小溪、支流甚至于人们倾倒进去的生活和工业废水等共同组成，但肯定不能说各方都对该河流拥有权益。在权属清晰度上，单一权属肯定优于多方权属，多方权属肯定优于权属不明，而权属越清晰，越有利于数据的商业化运用。因此，我们认为，在个案中，应综合案情，优先确定数据权属归属于一方，而不是优先确定一个类似共有性质的权属，以求权属清晰的最大化。至于归属于哪一方，考虑到“数据二十条”提出的要“向数据价值和使用价值的创造者合理倾斜”，因此，应着重考虑数据由哪一方使用才最能体现价值，这就需要结合特定场景进行分析与确定。

六、结语

当下，互联网数据信息的商业化运用已经成为互联网发展新的热点。我们认为，如何准确理解与适用数据的权益问题，是数据信息进行商业化运用所需要明确的一个基础性问题，但目前也是一个空白和难点问题。相信随着与数据信息权益相关的各方面研究进一步深入，中国作为互联网产业大国，能够在世界范围内为数据产权制度探索贡献了中国智慧和中国方案。

丁娴静 张煜｜数字金融背景下要素式应用场景办案的制度构想与实践探索

李戴玮｜数字平台自我优待的反垄断法规制困境与出路

孙啸天｜数字时代涉案加密货币的处置困境与破解之道

张献之 贾妍彦｜司法数据的开放及产权实现研究

李超｜枫桥经验多元解纷中的“政法数据共享”——一个整体性治理理论的分析框架

熊婷 韩富饶｜企业数据商业秘密保护的法律认定研究

赵苡含｜论数据资源持有权的法律配置

上海市法学会官网

http://www.sls.org.cn

上观号作者：上海市法学会