摘 要

欧盟在《通用数据保护条例》中首次引入数据可携权，旨在加强公民对个人数据控制力的同时，能够削弱域外互联网企业的市场垄断地位促进本土企业的发展。数据可携权由个人信息自决权演化而来，同时具备抽象人格权属性和部分财产权属性。数据可携权的内容包括副本获取权和数据转移权，但其存在概念模糊、适用的社会效果不确定的弊端。因此，在立足于我国国情的前提下，不应直接引入数据可携权。但在个人信息保护制度上，可以借鉴GDPR的内容。立法上尽快制定统一的个人信息保护法、执法上整合各部门监管职责、实践中强化企业和公民的数据保护意识。

关键词：可携权 属性 副本获取权 数据转移权

Abstract

The right to data portability is introduced by EU General Data Protection Regulation ( GDPR)to weaken the market monopoly position of Internet enterprises outside the territory and promote development of local enterprises in the EU , while enhancing the control of personal data. The right to data portability , which with the attributes of abstract personal right and partial property right, evolved from the right to self-determination of personal information. The right to data portability includes the right to obtain a copy and the right to data transfer in the content, but its concept is vague and the application effect is uncertain. China should not directly introduce the right to data portability In the regard of its national conditions, however it can draw lessons from GDPR in terms of personal information protection. China should enact a unified personal information protection law as soon as possible, integrate the supervision duties of various departments in law enforcement, and strengthen the awareness of data protection of enterprises and citizens in practice.

Key Words: the Right to Data Portability; Nature ; Right to Obtain a Copy; Right to Data Transfer

目录

第1章 绪论 1

第2章数据可携权的立法背景与演化路径 2

2.1立法背景 2

2.2演化路径 3

第3章 数据可携权的权利根基与权利属性 5

3.1权利根基 5

图3.1 6

3.2权利属性 6

3.2.1数据可携权具有抽象人格权属性 6

3.2.2数据可携权具有部分财产权属性 7

第4章 数据可携权的权利内容 8

4.1副本获取权 8

图4.1 图4.2 图4.3 10

4.2数据转移权 10

第5章 欧盟数据可携权立法的启示 13

5.1我国个人信息保护立法现状 13

5.2欧盟引入数据可携权的立法目的与我国国情不完全适应 14

5.3欧盟数据可携权本身存在制度上的缺陷 14

第6章 结语 15

参考文献 16

第1章 绪论

随着科技的发展，数据已经成为了促进科技创新和经济发展的重要资源。为加强对个人信息自决权的保护，促进数据自由流通市场竞争，欧洲联盟颁布了《通用数据保护条例》( General Data Protection Regulation，下称GDPR) ,并于2018年5月25日在其适用地域内全面生效。这部被称为史上最严的个人数据保护法，一个突出的特点是在立法技术上的创新，例如第20条增设了数据可携权。GDPR确立该权利旨在解决像GAFA等互联网巨头的数据垄断问题，保障个人对自身数据的实际控制力，并方便消费者的个人数据在不同的社交网络和应用之间自由携带，从而促进市场主体使用更有利于个人数据保护的技术进行相互竞争。

GDPR中数据可携权的设立在减轻消费者转移个人数据的不便与负担的同时，也引发了一系列的问题。其所面临的困境与挑战，对所有国家和区域的立法者都是严峻的考验。近年来，我国将大力发展数字经济产业作为国家战略目标之一，并逐步发展成为互联网产业强国。但是，随之而来的数字经济纠纷也日益增多，亟需构建相应的法律制度上加强治理。因此，从欧盟对个人数据保护的研究和立法中吸取适应我国国情的经验，不失为一种捷径和优势。

第2章数据可携权的立法背景与演化路径

2018年5月25日，欧盟通过的《通用数据保护条例》正式确立了数据可携权的法律地位，由此，该权利作为一项前所未有的全新权利在欧盟各成员国开始适用。尽管数据可携权2018年才被正式确立，但其从萌芽、演进到实施历经了相当长的一段时间。

2.1立法背景

在互联网时代，开发并利用数据成为影响经济发展的重要因素，数据的商业价值也日益凸显。欧盟委员会发布的《欧盟单一数字市场战略》显示，欧盟的数字经济价值近年来不断上升，预计2020年将达到至7390亿欧元，占欧盟GDP的4%。然而，在信息技术迅猛发展的同时，欧盟面临两大困境。

首先，互联网带动了数字经济的发展，催生了共享经济、社交平台、搜索引擎、电子商务等便捷的数字经济模式。这些新兴商业模式给以往的传统商业模式带来了巨大冲击，极大改变了人们的生活方式。互联网技术的发展，使得人类社会正从以计算机为核心的IT时代迈向以数据为核心的DT时代。因此，数据已经成为了促进科技创新和经济发展的重要资源。未来决定一个国家处于发展领先地位的，是该国能否在信息资源的占有和利用上处于优势^[1]。 但是，在全球争夺数字主导权、数字经济迅猛发展的同时，个人信息被泄露、牺牲隐私保护事件频发，例如近年Facebook陷入“剑桥分析”丑闻并泄露了超过8700万的用户个人信息等。互联网产业与公民隐私权之间的关系愈发难以协调，即使通过现有的技术手段也不能将二者拉回平衡状态。对此，欧盟各国及地区为应对数据侵权的行为呈高发多发态势、造成的社会影响日益严重的现象，急需进行相应的制度回应，以增强公民对个人数据的控制力、顺应互联网时代个人数据保护的新浪潮。

其次，互联网发展的近三十余年来，欧盟地区互联网企业无论从规模还是数量上已逐渐落后于其他国家或地区的互联网企业^[2]。事实上，2018年互联网企业市值全球排名中，占据前十的企业分别是：谷歌（Google）、亚马逊（Amazon）、腾讯（Tencent）、Faccebook、阿里巴巴(Alibaba)、奈飞公司（Netflix）、普林斯利公司（Priceline）、eBay、Salesforce和百度公司（Baidu）^[3]。其中中国占据三席，其余来自美国。实际上，欧盟地区近年来互联网产业的发展趋势相较于美国和中国已处于劣势，以Google、微软、Facebook、亚马逊为主的大型互联网公司几乎垄断了欧洲地区的互联网市场，这极大地影响了欧盟域内电商企业的发展。在此情形下，欧盟采取了立法改革的手段，加大域外企业的准入成本，给本土企业营造公平、透明的竞争环境，进而提升本土企业的竞争力以提升本土企业的竞争力。

数据可携权是欧盟在面临以上困境时提出来的新型权利。该权利的立法理念是保证公民个人信息在不同数据控制主体间能够自由流通，从而营造更加公平、透明的市场竞争环境^[4]。立法者希望通过该权利增强个人数据控制力的同时消除欧盟本土企业的市场准入障碍，从而将欧盟地区打造成为兼具人权保障和产业创新的福地。因此，高水准保护个人数据的社会需求和产业发展的落后，促进了欧盟对个人数据的立法改革，并共同促成了数据可携权的产生。

2.2演化路径

2018年5月25日，欧盟颁布的《通用数据保护条例》第20条正式确立了数据可携权独立合法的法律地位。数据可携权最早在2012年欧盟颁布的《数据保护指令草案》(下称DPR) 中被首次提出，但其实际上在1995年的《数据保护指令》(下称DPD)中就已初露端倪。

20世纪70年代，欧洲各国开始重视对个人数据保护方面的相关立法。1970年，美国和德国相继颁布了世界上最早的个人数据保护法律规范：《美国公平信用报告法》和德国黑森邦州《资料保护法》^[5]。但此时关于数据保护的法律规范仍以国内法为主。20世纪90年代，个人数据保护的立法与改革活动逐渐在欧盟地位兴起。1995年，欧盟颁布了《数据保护指令》( Data Protection Directive，下称DPD)。不同于美国对个人信息侧重于公民隐私利益的立法理念，欧盟的个人数据保护模式更加侧重于公民对其个人数据的控制力。DPD中确立了六个有关数据保护的立法原则，并在指令中的第12条规定了查阅权，该项权利与数据可携权具有密切联系，查阅权实际上是数据可携权的诞生的源头，而数据可携权则是查阅权的延伸与演化。

随着信息科技的发展，DPD在适用时无法应对新时代背景下数据保护的难题，且由于年代久远，各成员国国内立法难以适应其立法内容。对此，欧洲委员会在2012年颁布了《数据保护指令草案》，DPR细化了个人数据保护条款，首次将数据可携权、被遗忘权等新型权利纳入其中，并在草案第18条规定了数据可携权的含义。2013年11月，欧洲公民自由与正义及国内事务委员会提交了一份建议稿，提出将第18条的可携权与第15条的访问权合并^[6]。2014年3月，欧洲议会采取了欧洲委员会提出的草案，并将《数据保护指令》的18条与15 条的“信息访问权”合并，将数据可携带权作为数据存取权的一部分^[7]。但是，2016年3月欧洲会议一致通过的《通用数据保护条例》定稿中，还是将数据可携权单独立条，并定为第20条。

2018年5月25日，《通用数据保护条例》(GDPR)在欧盟各国开始实施生效。这部被称为史上最严的数据保护条例的核心内容包括：重新定义了个人数据授权；引入了被遗忘权、删除权和数据可携带权；对涉及特殊风险的数据做出了处理规定；规定了数据主体拥有申请司法救济和赔偿的权利；明确了数据处理者的法律责任；创设了企业数据保护专员（DPO）制度；规定了企业采集数据时必须履行告知义务；提出了个人数据保护的缺省原则；提出了“一站式（one-stop-shop）”监管原则^[8]；加大对数据违法违规行为的处罚力度等。GDPR的出台为全球个人隐私数据保护树立了新标杆，开创了与美国个人隐私保护不同的新模式。GDPR第三章的数据获取权、更正权、删除权以及限制处理权共同构筑了欧盟个人数据保护法中的权利体系。其中第20条是对数据可携权进行专门规定的一个条款^[9]。

第3章 数据可携权的权利根基与权利属性

要研究一项权利的法律构造首先明确该权利在已有的法律体系中的地位，尤其是该权利的法律属性。而权利根基必然会对该权利的属性产生影响。因此，对数据可携权进行探讨前，首先应当明确该权利的权利根基。

3.1权利根基

数据可携权作为一项新型的数据权利，强调公民个人对自身数据的实际控制力，建立在人格权和公民隐私权的基础之上，是个人信息自决权理念的延伸与演化。

早在1950年，欧盟委员会制定的《欧洲人权公约》中就包含了隐私权条款，并通过欧洲人权法院的广义解释将保护范围延伸到了个人数据的处理。在此阶段公民隐私权建立在人格权的基础之上。随着科技的发展，仅通过公民隐私权理论来保护个人信息难以与现实相适应。法律的滞后性与公民权利需求之间的矛盾在1982年德国联邦会议通过的《联邦人口普查法》终于爆发出来。该法案要求将公民的职业、住所、教育背景等个人信息全部纳入普查范围内。法案颁布后引起了民众的强烈不满，多位公民以该法案违法德国基本法为由起诉至德国联邦宪法法院。经审理后法院认为《联邦人口普查法》中强制获取个人信息的行为违反了《德国基本法》中“人格自由发展和受到尊重”的要求，判决该部分违反宪法应属无效。该判例还创造性地引入了“个人信息自决权”的概念，并将该权利与宪法上的一般人格权相区分，使之成为一项单独的权利。但该项权利仍然是建立在人格权的基础之上，主要以公民对个人信息的“更正权”、“删除权”等形式存在，并未涉及财产权属性，处于一种被动保护而非主动保护的权利状态。而近年来，互联网产业的兴起带动了数字经济的迅猛发展，个人数据的使用方式和以往完全不同，数据控制主体通过对个人数据的挖掘、分析与处理，能够从中获得巨大的经济利益，个人信息的财产权属性日益凸显，各个国家和地区开始酝酿单独确立个人数据权的问题。1995年，欧盟在DPR中首次定义了“个人数据”的概念，即任何与确认或可以确认的自然人相关的信息。后数据可携权在以DPR为基础和蓝本的GDPR中也得到了确立。

基于以上事实，数据可携权起源于以人格权为基础的公民隐私权，后逐渐发展为个人信息自决权，此时不论是公民隐私权还是个人信息自决权，具备人格权属性而几乎不涉及财产权属性。在个人信息自决权逐步获得财产权属性后，才慢慢演化成为包含数据可携权在内的个人数据权。此外，信息自决权是指信息主体对自身信息公开与否、如何公开、公开的程度、公开的时间以及公开的方式等享有的自主决定权，它与数据可携权的要旨都在于强调数据主体对自身信息的选择、控制权利，包括对数据从收集、存储、处理、使用、删除等各个环节的参与^[10]。数据可携权实质上是个人信息自决权发展后的产物，是个人数据权利类型的细化。二者无论在历史沿革还是概念内含上都具有符合逻辑结构的自然衔接。因此，在数据可携权的演化路径中最根本最直接的权利基础无疑是个人信息自决权。

公民隐私权 个人信息自决权 个人数据权（包含数据可携权）

人格权 财产权属性

图3.1

3.2权利属性

在进一步研究数据可携权的具体内容之前，有必要对明确其法律属性。要了解一项权利的权利属性，需要联系其上位法。数据可携权是建立在个人信息自决权的基础之上，其直接的上位法是个人数据权。但是，我国相关法律规范并未明确个人数据权的权利属性。而理论界对个人数据权属性主要有财产权属性说、人格权属性说、国家主权属性说、支配权属性说、自由权属性说^[11]，这些学说既有其合理之处也有不足。实际上，数据可携权作为一种新型的民事权利，在运用中有其他民事权利所不具备的复杂性。换言之，数据可携权是一项同时具备抽象人格权与部分财产权特征的复合型性权利。而要分析数据可携权的权利属性最直接的方式，是从直接规定该权利的法律规范—GDPR中探究。

3.2.1数据可携权具有抽象人格权属性

GDPR中涉及的数据权利的起源于以人格权为基础的公民隐私权，而在欧洲地区隐私权又被视为“建立在基本人权之上的政治要求”，因此数据可携权被视为人格权的分野，天然地具有人格权属性的因子。并且,在GDPR的条款中，也都明确体现了对数据可携权客体的人格权保护路径。例如，GDPR第9条规定，禁止处理涉及人格权的数据，包括“涉及种族或民族起源、政治观点、宗教信仰、哲学信仰、工会成员资格、健康数据、性生活、性取向等相关数据，或以识别自然人身份为目的对基因数据、生物特征数据，或大规模的有关犯罪记录和违法行为的个人数据”。因此，数据可携权与数据所有权人密切相关，它是以保护数据主体为中心的权利，强调数据主体的控制力，旨在保护人格尊严与人格价值。但是，欧盟国家及地区并未对数据可携权属于何种人格权做出具体规定。

人格权作为个体生存和发展的基础性权利，对于自然人而言，通常包括生命健康权、姓名权、肖像权、隐私权等，以上这些权利属于人格权体系中的具体人格权。当以上权利受到侵犯时，往往可以直接适用法条中的相应规定进行惩治。例如在我国，未经本人同意以营利为目的使用公民肖像是侵犯肖像权的行为。除具体人格权以外，人格权体系还包括抽象人格权。抽象人格权往往没有具体的权利类型划分，而是作为兜底性条款规定在立法中，它是从注重财产保护到更为注重自然人人格利益保护的近代法制观念的体现，是司法裁判为顺应时代潮流而对立法的超越与突破。只要是侵犯公民自由、平等与尊严的行为，都可能被纳入抽象人格权的保护范畴，抽象人格权具有解释、创造和补充具体人格权的功能。数据可携权所保护的客体是个人数据，它可能涉及到数据主体的姓名、肖像、名誉和隐私权，该客体与具体人格权是交叉但互不包含关系，能够作为一项新型的民事权利客体。而数据可携权的内容则强调数据主体的“获取”与“传输”行为，有不同与其他任何具体人格权的行为特征。基于以上分析，数据可携权具有新型的民事权利客体和权利内容，它并非隐私权、姓名权、名誉权的替代品，而是权利主体对自我数据进行控制的一种新型特殊人格权，应当被纳入抽象人格权的范畴。

3.2.2数据可携权具有部分财产权属性

尽管在GDPR中没有对数据可携权财产性保护的直接规定，但从其内容中能够推断出个人数据的财产权特征。首先，GDPR规定了明示授权原则，第三人在获取个人数据时需经数据主体的明示同意，未经同意不得收集数据主体数据，并且明示同意不包括默示授权^[12]；其次，GDPR为限定了数据控制主体对数据的使用范围，数据控制主体只能在基于数据主体明示同意的前提下，以符合数据主体所要求的目的合理、规范地使用该数据，不得私自挪作他用，并且数据主体可随时无条件地撤回这种明示授权，但不能对数据控制主体造成不合理的损害；最后，GDPR规定了对数据控制主体的监管机构和处罚制度，即由各国相应的个人数据监管机构负责对侵犯公民个人数据的行为展开，数据主体也可以直接向法院起诉该侵权的数据控制主体，当监管机构不履行或履行监管义务不当时，数据主体可同时起诉该监管部门。

GDPR的上述规定中：要求数据的控制主体不能任意处置他人数据，表明个人数据具有使用和交换价值；以财产规则而不是责任规则对个人数据进行保护，规定了惩罚性而非补偿性的赔偿^[13]。这些规定强烈地体现了数据可携权及其客体的财产权属性。但数据可携权并非完全具有财产权的全部特征，传统财产权理论中财产主体具有对财产的所有权、收益权、转让权等各项权利，而GDPR却并未赋予数据主体完整的财产权。实际上，数据主体在行使数据可携权的过程中，只能体现财产权的的部分属性、结构、环节与步骤，难以构成一个完整的财产权^[14]。