《中華人民共和國個人信息保護(hù)法》于8月20日正式發(fā)布，較諸之前草案，對個人權(quán)利影響最大的，莫過于第四十五條在“個人信息查閱、復(fù)制權(quán)”之外，增設(shè)“在個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑”?？吹竭@一“個人信息轉(zhuǎn)移權(quán)”，人們會不由想起歐盟《一般數(shù)據(jù)保護(hù)條例》的“數(shù)據(jù)攜帶權(quán)”，即個人有權(quán)獲得其提供給數(shù)據(jù)控制者的相關(guān)個人數(shù)據(jù)，且其該數(shù)據(jù)應(yīng)當(dāng)是結(jié)構(gòu)化的、普遍適用的和機(jī)器可讀的，個人還有權(quán)無障礙地將此類數(shù)據(jù)從其原數(shù)據(jù)控制者那里傳輸給另一個控制者。為此，還引發(fā)坊間就該條款是否專門針對“數(shù)據(jù)競爭與壟斷”的討論與猜測。不過，“個人信息轉(zhuǎn)移權(quán)”真的是中國版的“數(shù)據(jù)攜帶權(quán)”嗎？對此，我們還需要正本清源。

　　什么是“個人信息轉(zhuǎn)移權(quán)”的立法目的？

　　歐盟《一般數(shù)據(jù)保護(hù)條例》中的數(shù)據(jù)攜帶權(quán)服務(wù)于兩大目標(biāo)：一是加強(qiáng)個人對其數(shù)據(jù)的控制，落實(shí)個體信息自決權(quán)，二是支持歐盟境內(nèi)個人數(shù)據(jù)自由流動、促進(jìn)控制者之間競爭，從而推動在數(shù)字化單一市場戰(zhàn)略的背景下的企業(yè)創(chuàng)新。與此迥異，我國個人信息保護(hù)法并未以“個人信息自決權(quán)”為基石，第四十四條中的“個人決定權(quán)”所指向的是“個人信息處理活動”而非“個人信息”，其體現(xiàn)為對個人信息處理活動的選擇權(quán)、限制權(quán)和拒絕權(quán)，而非個人信息的控制權(quán)，從而勾連個人信息保護(hù)法開宗明義所確立的“保護(hù)個人信息權(quán)益”和“規(guī)范個人信息處理活動”。另一方面，我國個人信息保護(hù)法將“個人信息合理利用”作為立法目的之一，但其主要體現(xiàn)為對個人信息所承載多元利益之肯認(rèn)，平衡作為個人信息處理者的企業(yè)、國家機(jī)關(guān)與作為信息主體的個人之利益。因此，無論文本含義、立法說明抑或體系解釋，個人信息保護(hù)法均無競爭法上的考量，在正式稿最終刪除了草案第一條中“保障個人信息依法有序自由流動”的表述，充分說明其無意于個人信息流動與市場競爭秩序建構(gòu)。

　　那么，個人信息轉(zhuǎn)移權(quán)究竟意在何方？這個問題其實(shí)并不難回答。個人信息保護(hù)法第一條通過“根據(jù)憲法，制定本法”的宣誓，將個人信息權(quán)利上溯至憲法第33條第三款“國家尊重和保障人權(quán)”、第38條“中華人民共和國公民的人格尊嚴(yán)不受侵犯”、第40條“中華人民共和國公民的通信自由和通信秘密受法律的保護(hù)”，從而彰顯出“以人民為中心”的人格權(quán)利保障目的。簡言之，個人信息轉(zhuǎn)移權(quán)作為查閱、復(fù)制權(quán)的延伸，為個人提供了更充分、更多樣的保障自身權(quán)利的渠道。個人健康醫(yī)療信息的轉(zhuǎn)移可謂最典型的應(yīng)用場景。當(dāng)一名病人轉(zhuǎn)院，或者在異地突發(fā)疾病之時，他就診的醫(yī)院只有全面掌握之前病歷信息后，才能妥當(dāng)診治，此時，能否從其他醫(yī)療機(jī)構(gòu)及時轉(zhuǎn)移個人信息就顯得意義重大?？傊瑐€人信息轉(zhuǎn)移權(quán)系為信息主體利益所設(shè)，與市場主體利益無涉。

　　話說回來，我國法律并非沒有考慮數(shù)據(jù)流通和公平競爭，只是將這一任務(wù)交給了數(shù)據(jù)安全法。該法第七條提出：保障數(shù)據(jù)依法有序自由流動，促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)發(fā)展，第五十一條的禁止規(guī)范進(jìn)一步涵蓋了“排除、限制競爭的數(shù)據(jù)處理活動”，并將其引致反壟斷法來處理。這是非常適切的回應(yīng)之舉。事實(shí)上，歐盟的實(shí)踐已經(jīng)證明，不顧市場勢力和市場結(jié)構(gòu)的一刀切式數(shù)據(jù)攜帶權(quán)，并沒有實(shí)現(xiàn)打破數(shù)據(jù)鎖定的效果。相反，這一權(quán)利反而成為大企業(yè)建立朋友圈、小企業(yè)喪失細(xì)分市場優(yōu)勢的逆向機(jī)制。2018年，谷歌與微軟、推特、Facebook和蘋果合作共同致力于“數(shù)據(jù)傳輸項(xiàng)目”，并于2019年推出數(shù)據(jù)便攜性工具，多個巨頭的數(shù)據(jù)反而更加集中了。

　　如何行使個人信息轉(zhuǎn)移權(quán)？

　　由于數(shù)據(jù)攜帶權(quán)面臨著種種爭議，歐盟《一般數(shù)據(jù)保護(hù)條例》為該權(quán)利的行使施加了多重限制。首先，可攜帶的個人數(shù)據(jù)僅指數(shù)據(jù)主體本人提供的數(shù)據(jù)，不包括他人提供的數(shù)據(jù)，且不得含有可能有損第三人的權(quán)利或自由（如涉及到第三方數(shù)據(jù)權(quán)益、隱私權(quán)、商業(yè)秘密）的數(shù)據(jù)，其次，可攜帶的個人數(shù)據(jù)限于經(jīng)個人同意或基于合同而自動化收集的數(shù)據(jù)。最后，被請求的企業(yè)只有在技術(shù)可行的前提下才有義務(wù)傳輸數(shù)據(jù)，不負(fù)有采用或維護(hù)技術(shù)兼容處理系統(tǒng)的一般性義務(wù)。

　　事實(shí)上，也正是因?yàn)閿?shù)據(jù)攜帶權(quán)苛刻的行使條件，個人信息保護(hù)法采取了授權(quán)國家網(wǎng)信部門立法的形式，為個人信息轉(zhuǎn)移權(quán)保留了最大程度的靈活性。在相關(guān)細(xì)則尚未出臺之前，我們不妨借箸代籌，略做構(gòu)想。首先，該權(quán)利指向本人提供的、無損他人權(quán)益的個人信息，因而權(quán)利人有必要證明其真實(shí)身份；其次，所轉(zhuǎn)移的是電子化個人信息，但并非結(jié)構(gòu)化的、機(jī)器可讀的數(shù)據(jù)。個人信息轉(zhuǎn)移權(quán)承接查閱權(quán)、復(fù)制權(quán)而來，以充實(shí)個人知情權(quán)為依歸，其信息當(dāng)為一般人所能理解，自不待言。與我國上述三位一體的權(quán)利不同，歐盟采取分而治之的路徑：《一般數(shù)據(jù)保護(hù)條例》第15條規(guī)定“個人數(shù)據(jù)訪問權(quán)（查閱權(quán)、復(fù)制權(quán)），第20條規(guī)定數(shù)據(jù)攜帶權(quán)，兩者在數(shù)據(jù)范圍和實(shí)施限制上均大相徑庭。與中國類似，訪問權(quán)對數(shù)據(jù)形式亦無強(qiáng)制性機(jī)器要求。最后，既然轉(zhuǎn)移的是一般人可閱讀的信息，則個人信息處理者便不存在數(shù)據(jù)攜帶權(quán)中技術(shù)兼容難題，理應(yīng)提供轉(zhuǎn)移的途徑。

　　由此可見，個人信息轉(zhuǎn)移權(quán)與歐盟數(shù)據(jù)攜帶權(quán)，貌合神離。更確切地說，前者是在個人信息保護(hù)法的脈絡(luò)下，對后者的揚(yáng)棄和革新。一方面，個人信息轉(zhuǎn)移權(quán)以信息和數(shù)據(jù)、人格與財(cái)產(chǎn)、個體與市場二分為原則，讓信息與人格歸于個體，讓數(shù)據(jù)、財(cái)產(chǎn)歸于市場，通過個人信息保護(hù)法和數(shù)據(jù)安全法實(shí)現(xiàn)了邏輯清明和功能簡化，消除了數(shù)據(jù)攜帶權(quán)因設(shè)計(jì)目標(biāo)復(fù)雜導(dǎo)致的矛盾與模糊。但另一方面，個人信息轉(zhuǎn)移權(quán)也可能面臨”事與愿違“的后果，也就是個人信息可能因個人的無知或疏忽，從高保護(hù)水平的處理者不當(dāng)流入了低保護(hù)水平的處理者，此時個人因信息轉(zhuǎn)移所帶來的損失反而大過了好處。為此，監(jiān)管者可以仿效澳大利亞等國，從健康醫(yī)療、教育、就業(yè)、信用等貼合個人關(guān)切的場景和行業(yè)入手，劃定個人信息接受者的資質(zhì)和保護(hù)標(biāo)準(zhǔn)，在個人信息安全基礎(chǔ)上，實(shí)現(xiàn)個人信息的有序轉(zhuǎn)移。須知，個人信息流動不是目的，個人信息之后的個人權(quán)利保障才是重中之重。