21世纪是信息时代，大数据背景下个人数据俨然成为提升生产力和竞争力的重要因素，但个人数据又因为其自身的隐私属性使得对它的收集利用争议不断。2012年，欧盟在1995年通过的《欧盟数据保护指令》（以下简称《指令》）的基础上，起草了《欧盟统一数据保护条例》（以下简称《条例》），该条例经过不断地讨论、修改与完善，终于形成了定稿，并将于2018年正式实施。本文就其中规定的一项特殊权利——数据可携权进行梳理探讨，旨在提出该项权利的拟制对我国立法的启示。

数据可携权在1995年的《指令》中并没有规定，第一次出现是在2012年的《条例》草案第18条。针对这一草案， 2013年11月，欧洲公民自由与正义及国内事务委员会（The Committee on Civil Liberties,Justice and Home Affairs）提交了一份建议稿，提出将第18条的可携权合并到第15条的访问权中，2014年3月12日，欧洲议会采用了这一提议。但是在《条例》的定稿中，还是将其单独成条规，定为第20条^[1]。

数据可携权主要包括3个方面的内容。

● 当数据控制者基于数据主体的同意或者基于合同的约定，并且以自动化的方式处理个人数据时，数据主体有权获得相关的数据副本，并有权将副本传输给其他控制者，即数据主体有权下载其个人数据，例如微博用户有权下载微博收集的有关其自身的个人数据。这里需要注意的是该项权利的前提条件，即只有当处理数据的行为是基于数据主体同意或者合同约定时才能适用，若是基于公共利益等依据的处理行为，则数据主体无法主张该项权利。

● 在技术条件允许的情况下，数据主体行使前述权利时，可以直接要求控制者将有关其自身的个人数据传输给另一控制者。这就给首先处理数据的控制者拟制了一项非常强烈的法定义务，他不仅要将处理的个人数据反馈给数据主体，甚至还有义务按照数据主体的要求传输给其他控制者，并且传输的数据还包括其他任何数据主体提供的信息，如微博用户可以将其所有信息传输给另一网络社交平台。

● 当数据处理是执行公众利益任务所必需或者是经官方授权时，不适用数据可携权，并且对于该项权利的行使，不得对他人的权利和自由产生不利影响。

为了更好地理解这一创新权利，还需要对以下两个问题进行更加深入的讨论，因为对它们的解释和执行的力度将会直接体现出可携权的本质，也将直接考验立法者的本意。

首先是对于第一款中数据主体提供的“与其相关的个人数据”的认定。这一问题的讨论涉及《条例》所能覆盖的数据的数量。首先需要明确的是网站收集的数据包括各种类型，第一种即用户自己提交的各种数据，这无疑属于该款的范围；第二种类型的数据是网站为了使用、分析等目的而自身收集的无法联系到特定个人用户的数据，这类数据应当认为不在上述规定的范围内。最容易引起争议的是处于两者之间的数据，即一种结合了数据主体和控制者的数据，最典型的如微博的好友列表，用户当然可以决定他们的好友，但是微博却拥有广泛的相关数据，例如潜在的好友等，这些细微的差别都将会复杂化这一权利在实践中的适用。

其次是对于第二款中“技术可操作”的解读。不同种类的数据、不同类型的控制者，对于“技术可操作”的标准存在着不同的理解，根据《条例》的文本来看，可携权要求控制者们建立起一种“进出口”系统，使得控制者能“进口”接收来自数据主体或其他控制者传输进来的数据，也能将自身处理的数据“出口”传输出去，而这一系统的建设又需要考虑到“通用”和“方便使用”的格式，这将会大大地提升控制者的成本，因为现阶段还没有某一系统能够得到行业广泛的认同，对于“通用”格式的理解存在很大争议。此外，对于这一问题的争议还会涉及第一款中的“不得阻碍”的认定，如果从狭义的角度解释这一问题，认为这一规定仅仅是为了防止控制者拒绝传输数据，这确实减少了建立“进出口”系统的建设成本，但是这对于数据流通和利用效率的牺牲也将会使该项权利失去了存在的价值^[2]。

除了以上两方面的主要内容外，有关可携权还需要注意的是这是一项积极权利，控制者并没有义务主动将处理的数据副本传输给数据主体，只是在数据主体要求的情况下才会进行传输。

可携权的权利基础可以从以下3个角度来进行分析。

首先，早在1950年发布的《欧洲人权公约》中，便确立了尊重“隐私和家庭生活”的权利，作为基础的人权之一，法院将这一权利的内容延伸到个人数据的保护，随后在《欧洲运作条约》（The Treaty on the Functioning of the European Union）中又补充“每个人都有权保护涉及他们的个人数据”，这便为1995年的《指令》和2012年的《条例》提供了法律基础。同时，数据可携权也是建立在保护基本人权和隐私的基础之上的^[2]。

其次，在大数据的背景下，数据的自由流通和交易会极大地促进经济社会的发展，而可携权便是增强数据流通的一种方式，从经济和社会效益的角度出发，主张可携权也是主张对大数据的充分利用。

最后，在现阶段的“告知—同意”的法律框架下，如果控制者将收集的个人数据用于其他目的，那么控制者就应当将这一额外的收入与数据主体共享，这也是公平原则的体现。此外，当数据用来交易的时候，数据主体通常并不了解他们为了获取“免费”网络服务而提供的个人数据的价值，所以很难得到公正的补偿，数据可携权也弥补了这一缺陷(http://www.vieuws.eu/edpseuropean-dataprotectionsupervisor/edps-meetingthe-challengesof-big-dataa-call-fortransparencyuser-controldata-protectionby-design-andaccountability/)。

首先与访问权相比，一方面，访问权是可携权行使的前提条件，因为如果数据主体没有意识到自己的权利，不知晓自身的数据被处理，也就无法主张相应的权利。另一方面，可携权是对访问权的扩展和延伸，并且强调了进一步使用以及再利用的重要性，换句话说，它将被动的数据主体转化为一个积极的数据再利用人，它实际上赋予了用户一种权利，用户可以利用这个已经由第三方附加了价值的服务，并且可以分享这一由大数据创造的财富。

其次是与被遗忘权相比，被遗忘权要求数据被清除，不再进行流通和转让，与可携权有着本质的区别。此外，数据主体将其获得的个人数据副本传输给其他控制者时，并不意味着自动对前任控制者行使了被遗忘权，前任控制者仍然可以在符合《条例》的规定下继续处理该数据。

首先，可携权能够减少数据的禁闭封锁，一定程度上也有利于形成一个良好的竞争市场环境，允许数据主体轻松地选择和更换数据控制者，也从客观上促进了对数据主体的保护。从更加宏观的角度看，由于可携权允许数据自由地流通到第三方控制者，这正好消除了一个新市场的形成对个人数据需求的阻碍，进而有效地提升了第三方提供的服务，这些都有利于减少市场的垄断结构。

其次，可携权能够以更加透明和平衡的方式将大数据使个人和商业的利益最大化，有利于调整控制者和数据主体在经济地位上的不平衡。可携权的“允许数据主体进一步从自身的数据上获利”的属性，从长远的角度看^[2]，也最小化了实践中的不公平现象，并且增强了数据自我修复校准的功能，减少了使用不准确的数据作为决策参考的风险^[3]。

（1）数据主体对副本的进一步使用或者授权使用可能侵犯了控制者的知识产权

控制者在收集了数据主体的信息后，通过加工处理，使其成为了具有财产属性的信息产品，在这种情形下，数据主体将获得的副本直接有偿授予另一位控制者使用，无疑侵害了前一控制者的利益，并不利于市场的有序竞争，虽然从公平的角度出发，数据主体应当参与到因处理其个人数据产生的收益中，但是在什么情况下或者在多大的程度上数据主体应当参与到这种分配中却很难界定。此外，对于很多的网站而言，因知识产权或商业秘密都会限制用户下载某些信息，这也与数据可携权发生冲突，增加了实践中的操作难度。

（2）数据可携权并不满足竞争法规定的正当竞争

客观上，似乎允许数据主体自由地传输再利用其个人数据有利于打破信息垄断，但是从竞争法（competition law）的角度出发，这种行为是否符合正当竞争的精神，值得仔细地推敲。在考量一件竞争法案件时，需要关注3个要素：市场的支配地位、垄断行为以及该垄断行为造成的危害并不能与其产生的效率所抵销。结合这些要素来分析数据的可携权，便会发现它的适用范围太过宽泛了^[2]。在打着防止数据封锁的旗号下，可携权完全忽视了市场的主导地位，给各种控制者强加了很多的义务却没有相应的利益回报。此外，传统的竞争法倾向于针对大型企业，然而可携权却并没有区分适用的对象，这就给中小企业带来了诸多问题，因为在实践中，它们几乎没有主导市场的能力，并且要满足可携权是需要大量成本，例如要建设“进出口”系统、专业的律师团队解决各类争议等。无疑这种不加区别的对待很可能会将很多创新型的企业扼杀在摇篮里。

（3）可携权在基础人权和隐私上的困境

首先，一部分学者认为将可携权不加讨论地就直接纳入基础的人权，这一做法本身就值得商榷，正如在美国要确立宪法性的权利就必须修正宪法一样，在欧洲并不能仅仅因为它涉及基础人权就理所当然地不予质疑。其次，可携权增强了数据主体的信息自主决定，即网络服务商将会采取更加个性化的服务来吸引用户以寻求数据的收集，这样的结果也只能是导致用户的隐私越来越少^[2]。此外，当同一数据涉及多个数据主体时，可携权的行使也会显得十分困难，例如甲在微博上发布了一张和乙的合照，那么按照可携权理论，甲当然可以就这份数据再下载并传输，但是这一副本的传输会不会侵犯到乙的隐私？控制者在这种情形下便陷入一种尴尬的局面。

（4）可携权在权利属性上的争议

通过《条例》的规定，似乎赋予了可携权一种类似于所有权的属性，数据主体既可以拥有也可以自由传输其个人数据。然而矛盾的是在欧洲大量的理论和实践中，并没有将个人信息认定为财产，这也就是说在当前的法律框架下，并没有一个相对统一的标准来界定这一权利属性，这就使得这一创设出来的权利变得极具风险。

（5）在数据安全方面，可携权同样面临巨大的风险

在此之前，用户访问数据通常都是一次性行为，并且都是针对特定的数量和种类的信息，但是在可携权的规定下，数据主体一生的数据都可以一次性下载完毕。另一方面，即使控制者编程出了“进出口”系统，那么所有的信息传输也都将会是自动化的，并且对于即将传输的数据控制者也不能进行二次核实，因为可能会涉及对“不得阻碍”的解释问题，那么这些信息如果被黑客窃取，那么随之而来的身份诈骗等诸多问题都将会造成极大的困扰。

可携权看上去是个很吸引人的概念，一方面个人希望能够拿回自身的数据或再利用或再传输以获利，能够真正地以主导地位参与到这一环节；另一方面，因为它涉及基础人权，相比批判它而言，人们更乐意赞同它，因而欧洲数据保护监管局对其也持肯定的态度，鼓励政府和企业支持该项权利。

但是通过以上的论述，在其迷人的表面下，它固有的缺陷却更加值得关注，它对于传统正当竞争精神的破坏、在隐私以及数据安全上面临的巨大风险以及在实践中几乎无法操作等缺陷，不得不让人质疑是否应当鲁莽地将其引入实践中。这是一项具备“蝴蝶效应”的权利，如果以立法的方式将其确定下来，显而易见的是，整个欧洲的互联网产业将会发生巨大的震荡，更多更复杂的问题也将会一一浮上水面。笔者认为，在个人数据保护法律体系较为完善的欧洲尚且如此，我国在将来的立法及实践中应当对其加以改进或者舍弃，以促进信息产业的健康发展。