《個(gè)人信息保護(hù)法》第四十五條規(guī)定：“個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國(guó)家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑”。

　　這一條雖然內(nèi)容不多，但在個(gè)信法中備受矚目，因?yàn)檫@相當(dāng)于在中國(guó)確立了個(gè)人信息可攜帶權(quán)制度。長(zhǎng)期以來我國(guó)都沒有在其他立法中引入歐盟的可攜帶制度，一定程度上令到國(guó)內(nèi)的互聯(lián)網(wǎng)企業(yè)在處理數(shù)據(jù)層面有更大的自由度，最初創(chuàng)立可攜帶權(quán)制度的歐盟，其互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展?fàn)顩r也開始讓各國(guó)反思其“虛高”的個(gè)人權(quán)益保護(hù)立場(chǎng)是否導(dǎo)致了阻礙技術(shù)創(chuàng)新，《個(gè)人信息保護(hù)法》作為從保護(hù)個(gè)人信息為根本出發(fā)點(diǎn)的立法，對(duì)于可攜帶的問題是何種態(tài)度和規(guī)定，在一定程度上反映著我國(guó)對(duì)于個(gè)人信息保護(hù)和產(chǎn)業(yè)發(fā)展平衡之間的選擇。

　　從產(chǎn)業(yè)的角度看，可攜帶權(quán)的規(guī)定不僅是增加企業(yè)合規(guī)成本的問題，更關(guān)鍵的可能會(huì)導(dǎo)致數(shù)據(jù)資源借助可攜帶權(quán)作為跳板被任意搬運(yùn)，這種擔(dān)心并非空穴來風(fēng)，筆者代理一則典型數(shù)據(jù)權(quán)益案件——群控案（曾入選2020年度知識(shí)產(chǎn)權(quán)十大案例）中即涉及到第三方主張用戶有可攜帶權(quán)并將其轉(zhuǎn)移到其他平臺(tái)，法院對(duì)此問題也有過經(jīng)典論述，司法實(shí)踐中越來越多的數(shù)據(jù)權(quán)益類案件，被告方通常都會(huì)引用用戶對(duì)數(shù)據(jù)的權(quán)益作為搬運(yùn)數(shù)據(jù)時(shí)的抗辯理由，此次個(gè)信法可攜帶條款的出臺(tái)，無疑令到這個(gè)理由顯得更加充分，因此我們有必要分析一下這個(gè)規(guī)定究竟會(huì)帶來多大的影響，特別是在中央層面已經(jīng)多次通過正式文件強(qiáng)調(diào)數(shù)據(jù)稱為與土地、技術(shù)、人力等并列的“生產(chǎn)要素”的背景下，這一規(guī)定如何與數(shù)據(jù)資源有關(guān)權(quán)益和諧統(tǒng)一。

　　一、個(gè)人信息可攜帶不等于數(shù)據(jù)可攜帶

　　GDPR并未區(qū)分?jǐn)?shù)據(jù)可攜帶和個(gè)人信息可攜帶，并且對(duì)可攜帶的前提要求很低，通常只要用戶授權(quán)同意即可，這樣的賦予用戶絕對(duì)化可攜帶權(quán)的立法思路是否值得借鑒是需要慎重考慮的。

　　如果是純粹的個(gè)人信息和隱私，應(yīng)該賦予用戶一定程度的可攜帶權(quán)益，如果是個(gè)人信息之外的一般用戶信息，例如用戶在平臺(tái)留下的交易評(píng)價(jià)信息等， 這部分信息的可遷移性就更加應(yīng)該審慎評(píng)估，一方面這些信息跟用戶的關(guān)聯(lián)性不強(qiáng)，另一方面卻可能對(duì)平臺(tái)的商業(yè)價(jià)值有更大的意義，所以應(yīng)該從遷移前后能否做到帕累托最優(yōu)的角度來進(jìn)行評(píng)估之后再做判斷。

　　商業(yè)實(shí)踐中，出現(xiàn)越來越多的情況是，希望獲取數(shù)據(jù)資源的一方，通過向用戶開放某種免費(fèi)服務(wù)或者的方式要求用戶將其他平臺(tái)上的信息授權(quán)轉(zhuǎn)移過來，比如用戶撰寫的文章、交易評(píng)價(jià)、支付信息等，這種轉(zhuǎn)移對(duì)用戶而言是沒有操作成本的，其只需要同意有關(guān)的授權(quán)協(xié)議即可，剩下的數(shù)據(jù)遷移工作由第三方平臺(tái)通過爬蟲或者其他技術(shù)手段完成（例如借助安卓無障礙抓取、借助Hook機(jī)制控制獲取等），這種方式本質(zhì)上不過是攫取平臺(tái)已有數(shù)據(jù)資源而已。

　　我們可以對(duì)照一下歐盟GDPR關(guān)于數(shù)據(jù)可攜帶權(quán)的規(guī)定：

　　第20條 數(shù)據(jù)攜帶權(quán)

　　1.當(dāng)存在如下情形時(shí)，數(shù)據(jù)主體有權(quán)獲得其提供給控制者的相關(guān)個(gè)人數(shù)據(jù)，且其獲得個(gè)人數(shù)據(jù)應(yīng)當(dāng)是經(jīng)過整理的、普遍使用的和機(jī)器可讀的，數(shù)據(jù)主體有權(quán)無障礙地將此類數(shù)據(jù)從其提供給的控制者那里傳輸給給另一個(gè)控制者：

　　（a）處理是建立在第6（1）條（a）點(diǎn)或9（2）條（a）點(diǎn)所規(guī)定的同意，或者6（1）條所規(guī)定的合同的基礎(chǔ)上的；

　　（b）處理是通過自動(dòng)化方式的。

　　其中，（a）所提到的“第6（1）條（a）點(diǎn)或9（2）條（a）點(diǎn)所規(guī)定的同意，或者6（1）條所規(guī)定的合同的基礎(chǔ)”要求如下：

　　第6條 處理的合法性

　　1.只有滿足至少如下一項(xiàng)條件時(shí)，處理才是合法的，且處理的合法性只限于滿足條件內(nèi)的處理：

　　（a）數(shù)據(jù)主體已經(jīng)同意基于一項(xiàng)或多項(xiàng)目的而對(duì)其個(gè)人數(shù)據(jù)進(jìn)行處理；

　　第9條 對(duì)特殊類型個(gè)人數(shù)據(jù)的處理

　　1.對(duì)于那些顯示種族或民族背景、政治觀念、宗教或哲學(xué)信仰或工會(huì)成員的個(gè)人數(shù)據(jù)、基因數(shù)據(jù)、為了特定識(shí)別自然人的生物性識(shí)別數(shù)據(jù)、以及和自然人健康、個(gè)人性生活或性取向相關(guān)的數(shù)據(jù)，應(yīng)當(dāng)禁止處理。

　　2.如果具有如下條件之一，第1段將不適用：

　?。╝）數(shù)據(jù)主體明確同意基于一個(gè)或多個(gè)特定目的而授權(quán)處理其個(gè)人數(shù)據(jù)，但依照歐盟或成員國(guó)的法律規(guī)定，數(shù)據(jù)主體無權(quán)解除第1段中所規(guī)定的禁令的除外；

　　對(duì)照我國(guó)剛出臺(tái)的《個(gè)人信息保護(hù)法》，有關(guān)條文明確只有個(gè)人信息才涉及可攜帶的問題，并不是所有用戶產(chǎn)生的數(shù)據(jù)都在可攜帶的范圍，特別是包括《個(gè)人信息保護(hù)法》在內(nèi)的多部立法句明確經(jīng)過匿名化處理的數(shù)據(jù)不再需要數(shù)據(jù)主體的同意即可處理使用，因此我國(guó)顯然沒有選擇歐盟一樣激進(jìn)的思路，而是緊緊圍繞個(gè)人信息保護(hù)構(gòu)建相關(guān)的權(quán)益保障制度。

　　二、個(gè)人信息可攜帶需要滿足前提條件

　　更加值得關(guān)注的問題是，我國(guó)個(gè)信法在轉(zhuǎn)移個(gè)人信息的問題上還是非常審慎的，并不是無條件任意轉(zhuǎn)移，而是應(yīng)當(dāng)符合幾個(gè)前提條件：

　　1、請(qǐng)求發(fā)起：需要個(gè)人信息主體向處理者提出請(qǐng)求，在沒有請(qǐng)求動(dòng)作作出的情況下（而且請(qǐng)求動(dòng)作應(yīng)當(dāng)符合法定的明確同意的標(biāo)準(zhǔn)），處理者不需要主動(dòng)介入，這一點(diǎn)顯然也跟個(gè)人信息控制權(quán)的主旨是一致的，畢竟在信息主體沒有明確指示的情況下處理者將信息轉(zhuǎn)移已經(jīng)明顯構(gòu)成違法甚至犯罪了。

　　2、轉(zhuǎn)移目標(biāo)：信息主體要明確指定轉(zhuǎn)移到哪個(gè)個(gè)人信息處理者；

　　3、轉(zhuǎn)移條件：符合國(guó)家網(wǎng)信部門規(guī)定條件。雖然目前尚未見網(wǎng)信部門的配套規(guī)定，但后續(xù)一定會(huì)有，并且筆者認(rèn)為除了這些規(guī)定，還應(yīng)當(dāng)保護(hù)符合《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》的有關(guān)規(guī)定，轉(zhuǎn)移不能在違法的情況下進(jìn)行，不能引發(fā)網(wǎng)絡(luò)安全問題和數(shù)據(jù)安全問題。

　　關(guān)于這一點(diǎn)，即便是在《個(gè)人信息保護(hù)法》中也有相關(guān)聯(lián)的條款，例如第二十三條規(guī)定：“個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。接收方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息”，可見在轉(zhuǎn)移個(gè)人信息的過程中，原處理者向接收處理者轉(zhuǎn)移的正是個(gè)人信息，顯然也就構(gòu)成了該條規(guī)定的“提供行為”，那么就需要搞清楚接收方的“名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類”之后才能進(jìn)行轉(zhuǎn)移，特別是在跨境轉(zhuǎn)移的情況下還要另外進(jìn)行安全評(píng)估，這些都是法律所規(guī)定的附帶條件。

　　4、轉(zhuǎn)移方式：個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。這一條也很關(guān)鍵，也就是說轉(zhuǎn)移仍是通過原個(gè)人信息處理者提供的途徑進(jìn)行的，不能是第三方通過爬蟲、cookie等單方面的技術(shù)手段直接獲取，所以不存在用戶同意了，就可以不通過原平臺(tái)隨意搬運(yùn)的問題。當(dāng)然《個(gè)人信息保護(hù)法》第五十條規(guī)定：“個(gè)人信息處理者應(yīng)當(dāng)建立便捷的個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制。拒絕個(gè)人行使權(quán)利的請(qǐng)求的，應(yīng)當(dāng)說明理由”，這一條也意味著處理者不能對(duì)用戶行使攜帶權(quán)制造障礙，至于“便捷”到何種程度，恐怕要在實(shí)踐中逐漸摸索建立標(biāo)準(zhǔn)了。

　　通過上述分析，筆者認(rèn)為我國(guó)的《個(gè)人信息保護(hù)法》關(guān)于可攜帶權(quán)的規(guī)定并不會(huì)給數(shù)據(jù)資源帶來破壞性影響，數(shù)據(jù)資源權(quán)益人對(duì)數(shù)據(jù)搬運(yùn)等侵權(quán)行為仍然具有充分的維權(quán)基礎(chǔ)，司法實(shí)踐中也會(huì)不斷的通過個(gè)案來確立不同具體場(chǎng)景下實(shí)現(xiàn)個(gè)人信息可攜帶的具體標(biāo)準(zhǔn)，國(guó)內(nèi)的互聯(lián)網(wǎng)企業(yè)沒必要因此恐慌。

　　事實(shí)上，立法者一定也是在數(shù)據(jù)資源保護(hù)和個(gè)人權(quán)益保護(hù)之間做了精心的平衡，畢竟不論我們?nèi)绾喂膭?lì)數(shù)據(jù)流通，作為一項(xiàng)稀缺資源，其價(jià)值最大化的前提依然是科斯定理中所講的“確權(quán)”，個(gè)人信息的可攜帶一方面為保護(hù)個(gè)人信息建立圍欄，一方面更是為數(shù)據(jù)有序流動(dòng)創(chuàng)造制度前提，但這決不意味著數(shù)據(jù)資源可以無條件的“共享”，不意味著在互聯(lián)網(wǎng)上消滅“產(chǎn)權(quán)”，不意味著將互聯(lián)網(wǎng)在技術(shù)層面的互聯(lián)互通屬性與權(quán)益層面的無條件共享劃上等號(hào)。

　　三、可攜帶權(quán)可否通過協(xié)議排除

　　討論到這里，衍生出一個(gè)更深層面的問題，《個(gè)人信息保護(hù)法》規(guī)定了個(gè)人信息可攜帶的權(quán)益（非權(quán)利），從法律的基本原理出發(fā)，權(quán)利（權(quán)益）是可以放棄的，是否可以通過協(xié)議提前排除用戶可攜帶權(quán)的使用呢？

　　這個(gè)問題并非只是單純的學(xué)術(shù)討論，在商業(yè)和司法實(shí)踐中依然有一定的價(jià)值。

　　實(shí)踐中，個(gè)人信息在攜帶轉(zhuǎn)移的過程中由于會(huì)導(dǎo)致原處理者面臨違法、犯罪風(fēng)險(xiǎn)（侵權(quán)公民個(gè)人信息罪），處理者為了盡量降低風(fēng)險(xiǎn)，可能存在的一種情形是通過合同與用戶進(jìn)行約定可以轉(zhuǎn)移的各項(xiàng)條件，如果用戶的轉(zhuǎn)移請(qǐng)求無法達(dá)到條件，則視為放棄請(qǐng)求或未提出請(qǐng)求，這樣的約定筆者認(rèn)為是大概率會(huì)出現(xiàn)的，并且也具有足夠的合理性。

　　那么這種約定是否具有合同效力呢，是否會(huì)因?yàn)楦秱€(gè)人信息保護(hù)法》的規(guī)定相沖突而被無效。筆者認(rèn)為至少在實(shí)質(zhì)層面不應(yīng)該認(rèn)定為無效，畢竟可攜帶的法律規(guī)定算不上強(qiáng)制性規(guī)定，因此無效的可能性最多是出于形式層面，例如未盡到提示義務(wù)。

　　可見，簡(jiǎn)單粗暴的通過條文概括式的排除用戶可攜帶權(quán)益顯然是行不通的，并且可能因此面臨《個(gè)人信息保護(hù)法》規(guī)定的行政責(zé)任，但在開辟了有關(guān)可攜帶通道的情況下，對(duì)于權(quán)益的具體行使方式仍然可以進(jìn)行約定，這種約定不一定也不應(yīng)該被一律無效，而是應(yīng)該從法律規(guī)定的可攜帶條件和處理者面臨的風(fēng)險(xiǎn)和成本兩方面綜合認(rèn)定。