个人信息可携带权的权利属性及实现路径

李 婕

(安徽民政开放学院，安徽 合肥 230041)

《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第45条规定了个人信息可携带权，即“个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”，这一规定的立法初衷是促进个人信息合理利用，但相比于信息企业的绝对优势，个人在复制、转移个人信息的过程中依然面临诸多困境。当前我国理论界就数据可携带权的概念(1)参见卓力雄：《数据携带权的基本问题与中国应对》，《行政法学研究》2019年第6期；
王锡梓：《个人信息可携权与数据治理的分配正义》，《环球法律评论》2021年第6期。、结构(2)参见汪庆华：《数据可携带权的权利结构、法律效果与中国化》，《中国法律评论》2021年第3期。及本土化问题(3)参见华国宇、杨晨书：《数据可携带权的发展困境及本土化研究》，《图书馆建设》2021年第4期。进行了研究，但并未认真审视《个人信息保护法》中规定的个人信息可携带权的内涵特点，以及该条款在我国实践中面临的问题与挑战。因此，本文研究《个人信息保护法》中个人信息可携带权的实现路径，既是理论突破，也是实践所需。

随着信息技术的发展，个人转移自己信息的行为已司空见惯，但个人将存在于网络平台上的信息下载、上传至其他网络平台时往往面临诸多障碍。“微博诉脉脉案”(4)参见北京市海淀区(2015)海民(知)初字第12602号判决书。“新浪微博诉字节跳动不正当竞争案”(5)https：//baijiahao.baidu.com/s?=1700976763470914266&wfr=spider&for=pc.html.都引发了信息移植行为合法性的探讨。《个人信息保护法》虽然规定了个人信息可携带权，但这一条款内容抽象，实践中引发了不少问题。

(一)权利实现困难

互联网平台阻碍权利人对自己信息控制权的实现。腾讯诉搜道网络案件中(6)浙江省杭州市(2019)浙8601民初1987号判决书。，被告未经微信用户及其关联用户的完整授权而擅自获取微信用户数据，致使微信用户在违背个人意愿的情况下“被移植”了个人信息，其结果是个人信息可携带权完全被漠视。此外，个人信息可携带权面临被互联网平台“锁定”的困难。根据现行《个人信息保护法》，权利人可以将自己在QQ上的图片、消息和联系人转移到自己的“脉脉”账户。但是，权利人的所有朋友信息仍然在QQ上，这些朋友未使用“脉脉”软件时，权利人的个人信息并未实现在新平台上的流通，因为权利人所有的朋友信息都被锁定在QQ里而无法在“脉脉”上与其交流。可见，互联网平台不但直接移植权利人的个人信息，而且直接“锁定”权利人的信息，成为个人信息可携带权实现难以逾越的障碍。

个人信息转移行为可能引发不同平台之间的不正当竞争。权利人把个人信息导入另一社交平台的过程中，可能因另一社交平台传输规则的限制，致使其个人信息难以完整呈现。2007年，Live Universe起诉My Space案件中，被告阻止用户在他们的My Space个人资料中加入原社交平台Vidilife上的相关内容，构成不正当竞争(7)Live Universe Inc.v.My Space Inc.，No.CV 06-6994 AHM (RZx)，at 1 (C.D.Cal.June 4，2007)，aff’d，304 F.App’x 554 (9th Cir.2008).法院认为，My Space 没有义务使其产品与竞争对手的产品兼容，My Space也没有从事排他性行为，因为反垄断原则，也没有与竞争对手打交道的义务。。由于不同平台的技术设计不同，个人将信息导入新平台时可能无法实现数据完全转移，阻碍个人信息可携带权的实现。

(二)原因分析

1.网络平台运营规则不统一导致个人信息流通受阻。2021年3月抖音诉腾讯案判定腾讯通过微信和QQ限制用户分享来自抖音内容的行为构成垄断；
“头腾之争”案中，原告认为抖音向用户推荐好友时使用来源于微信/QQ开放平台的微信/QQ用户头像、昵称(8)谌嘉妮：《我的数据谁做主》，《互联网天地》2019年第6期。，未经个人同意直接将其信息进行流通的行为构成侵权。但判决认为，“网站经营者通过robots协议对其他网络机器人的抓取进行限制，这是网站经营者经营自主权的一种体现”(9)“北京微梦创科网络技术有限公司诉北京字节跳动科技有限公司不正当竞争纠纷案”，北京市高级人民法院(2021)京民终281号判决书。。当不同的网络平台经营者制定限制个人信息转移的不同规则时，个人信息可携带权几无实现可能。

2.法律不完善、技术难题等导致不正当竞争问题。个人转移自己信息的过程中，可能因不同网络平台的不配合、转移规则不同而导致信息难以流通。这些平台基于自身利益考量，往往不提供事实认定的证据，以保持自身的竞争优势地位，目前法律对此爱莫能助。例如，“微博诉脉脉”一案的判决指出，在如今的互联网条件下，不论是个人行使数据转移权利，还是第二数据控制者以该权利作为原数据控制者的不正当竞争诉讼的抗辩理由，相关证据大多只能由原数据控制者提供，而本案中，由于证据缺失，大量的案件事实由法院推定得出。因此，一旦原数据控制者不合作或未能完整地保存证据，权利人的取证将成为妨碍信息可携带权实现的一大难题。

“信息时代的法律媒介是信息性和沟通性的。”(10)余盛峰：《全球信息化秩序下的法律革命》，高鸿钧、鲁楠、余盛峰：《法律全球化：中国与世界》，清华大学出版社，2014年，第211页。欧盟《通用数据保护条例》(下文简称GDPR)赋予权利人对自己数据的控制权来确保数据可携带权实现，美国规定企业义务来保障个人数据可携带权实现，这些制度都对我国信息可携带权的保护有借鉴意义。

(一)欧美数据可携带权法律的保护之考察

1.GDPR赋权式数据可携带权的保护经验

欧盟通过赋予权利人对自己数据的控制权来确保数据可携带权的实现，以解决权利人信息流通受阻以及互联网企业的不正当竞争等问题。GDPR第20条规定了数据可携带权，通过赋予数据主体在数据控制者之间传输个人数据的权利，保护个人对自己数据的控制权。这一规定授予数据主体三项权利：基于同意或合同处理个人数据的权利、通过自动化方式处理个人数据的权利以及以结构化、常用和机器可读格式接收其提供给控制者的个人数据的权利。为保障个人数据有效流通，GDPR第20(ⅰ)(ⅱ)条赋予权利人“将这些数据传输给另一个控制器的权利，而不受向其提供个人数据的控制器的阻碍”，以及数据主体有权“在技术上可行的情况下，将个人数据从一个控制器直接传输到另一个控制器”。这一规定明确了权利人对自己数据控制的三大途径：获取副本、将个人数据传输到第三方、数据主体请求将个人数据从一个数据控制者传输到另一个数据控制者。为保障权利人对自己数据控制权的实现，该法律同时规定了数据传输必须“技术可行”：一是数据传输具有互操作性；
二是数据控制者意在阻挠或暂缓数据主体获取、传输其个人数据而实施的任何经济、技术障碍都将被认定成一种阻碍(11)De Hert P，Papakonstantinou V and Malgieri G，et al.，“The right to data portability in the GDPR：Towards user-centric interoperability of digital services”，Computer Law & Security Review，Vol.34，No.2，2018，pp.197-203.。欧盟委员会对GDPR实施的第一次评估(12)See European Commission.Data Protection as a Pillar of Citizens’ Empowerment and the EU’s Approach to the Digital Transition—Two Years of Application of the General Data Protection Regulation，COM (2020) 264 final (Jun.24，2020)，https：//eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX：52020DC0264&from=EN.中指出，“GDPR保障个人能够在不同的数据之间切换服务提供商，这将间接促进竞争和支持创新”。由此可见，欧盟GDPR通过明确个人信息可携带权的权利内容和要求互联网服务商提供数据传输技术的方式，促进信息流通和有序竞争。

2.美国义务式数据可携带权的保护经验

美国法律通过规定企业义务来保障公民以易用、无障碍的方式传输个人信息，以避免互联网企业操控个人信息而导致不正当竞争。首先，美国在立法层面明确个人数据可携带权的内容。1996年，美国《健康保险可携带和责任法》首次在联邦层面规定了个人数据可携带权。2010年，时任美国总统奥巴马发起了一系列名为“My Data”的倡议，以确保美国公民能够方便、安全地访问自己的个人数据。2020年，《加州消费者隐私法》第1798条100(d)项明确规定了个人数据可携带权。“企业从可验证的消费者处收到要求访问个人信息的请求后，应立即采取措施向消费者免费披露和提供本节所要求的个人信息。”“企业可通过信件或电子方式提供个人信息，如果以电子方式提供，应以可携带的、易用的格式提供信息，以确保消费者无障碍地将此信息传输给其他主体。”(13)参见汪庆华：《数据可携带权的权利结构、法律效果与中国化》。其次，美国法律明确规定了个人信息可携带权的技术实现路径。2020年，美国联邦政府颁布《平台互操作性规则》，规定个人可以通过智能手机APP实现个人信息可携带权。Facebook Inc.v.Power Ventures案件中(14)Facebook Inc.v.Power Ventures Inc.，No.C 08-05780 JW，at 14 (N.D.Cal.July 20，2010).，Power Ventures获得了用户许可其访问原社交平台的权利，但Facebook并未与Power Ventures建立互操作性而导致Power Ventures用户无法访问自己之前在Facebook的账户信息，最终法院判决Power Ventures承担法律责任。Verizon Communications Inc.v.Trinko LLP 案件中(15)Verizon Communications Inc.v.Trinko LLP，540 U.S.398，415 (2004) (quoting a law review article).，法院认为如果网络平台对个人信息传输施加某种形式的交易义务，可能构成反垄断法中的“排他行为”，需承担相应惩罚。

3.小结

欧美个人信息可携带权通过明确个人权利内容、提供技术操作规范来保障个人对自己信息的控制权，进而促进有序竞争。二者都规定了个人访问、下载、转移自己在网络平台上个人信息的权利，并规定了“互操作性”技术保障这一权利实现。司法实践中，个人对自己信息的控制受阻时，可根据GDPR或反垄断的相关法律法规来诉请法院支持自己信息可携带权的实现。

(二)我国与欧美数据可携带权法律保护之比较

我国对个人信息可携带权的规定强调信息主体权利，并未规定保障这一权利实现的技术性措施。因此，我国个人信息可携带权难以保障个人信息流通，也无法避免不正当竞争的消极效果。我国与欧美对个人信息可携带权的法律保护差异，主要体现在权利模式、义务方责任以及信息移植技术等方面。

1.权利模式不同。我国个人信息可携带权以请求权为内容，即请求查阅权、请求复制权和请求转移信息权三项内容。欧盟数据可携带权以数据主体控制权为核心保障信息可携带权实现。即“数据主体有权以结构化、通用和机器可读格式接受其提供给信息控制者的与其有关的个人数据”，“数据主体有权无障碍地将这些数据传输给另一控制者”。美国数据可携带权则以施加给企业义务的方式保障个人数据可携带权的实现。如果说中国和欧盟的立法以权利人为中心来保护信息可携带权的实现，那么美国的立法则是以施加信息控制者的义务为中心来保护信息可携带权的实现。

2.义务方的责任程度不同。信息可携带权实现的主体包括权利人和数据平台。由于权利人相较于科技巨头处于弱势地位，很多国家通过规定信息控制者的义务来保障个人信息可携带权实现，但义务方的责任程度有差别。例如，我国信息可携带权的实现取决于信息处理者应权利人申请“提供”义务的履行程度，当信息处理者的能力(如技术)不足时，个人信息可携带权难以实现。欧盟GDPR保障个人“不受向其提供个人数据的控制器的阻碍”而转移个人数据。美国数据可携带权直接规定了企业以“可携带、易用”的方式提供权利人数据的义务，“并确保消费者无障碍地将此信息传输给其他主体”的义务。由此可见，欧美强调信息控制者“无障碍”地保障信息传输义务，更有利于个人信息可携带权的实现。

3.信息移植的技术方法不同。欧美法律都要求信息控制者提供互操作性技术以满足信息移植要求，我国法律并未明确规定。从技术上来看，信息移植主要有两种技术。一是权利人一次性导出信息进行移植，即用户可以通过这种方式下载他们在某个平台上拥有的数据快照，该快照可以上传到另一个平台。一次性导出信息不需要数据传输平台(数据发送方)和数据接收平台(数据接收方)有直接连接，而是权利人充当两个平台之间的中介，将数据从一个平台移动到另一个平台。这种技术确保用户可以完全控制他发送的数据，并允许他根据需要从发送平台删除个人数据。但是，一次性导出技术通常需要很长时间才能完成，且需要转化格式等操作，不利于个人便捷使用。二是互操作性，即允许两个或多个平台直接交换用户信息的技术。应用程序编程接口(“API”)促进了系统之间实时数据的最新传输和记录，这种方法也被称为API可移植性。与一次性导出相比，API能够将信息从发送方直接移植到接收方，即数据发送方通过速率限制和密钥注册，观察和控制接收方获取数据的内容、时间和方式，使两个平台的列表保持同步。当然，一次性导出技术和API技术并不是严格的二分法。例如，数据发送方和数据接收方可能会在短时间内直接通信，然后彼此切断；
或者在满足某些条件时，数据发送方可能只允许用户将他们的数据传输到特定的新平台，但都以互操作性为技术基础。相较之下，我国《个人信息保护法》并未规定个人信息转移的技术要求。

根据我国《个人信息保护法》，信息可携带权的实现依赖于个人信息处理者“应当及时提供”以及“应当提供转移的途径”的义务履行程度，无法有效保障个人信息控制权的实现。无论是个人把信息转移到新平台时受限而不能上传完整信息，还是新平台过度披露用户的个人信息，抑或原平台拒绝提供诉讼中的关键证据等妨碍个人信息移植问题，根源都在于个人信息可携带权的属性不清。立足我国《个人信息保护法》分析个人信息可携带权的属性，是解决上述实践困境的根本之策。

(一)我国个人信息可携带权之解读

我国学界关于个人信息可携带权的属性有人格权说(16)参见叶名怡：《论个人信息权的基本范畴》，《清华法学》2018年第6期。、数据权说(17)参见张忆然：《大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩》，《政治与法律》2020年第6期。、复合权说(即兼具财产权和人格权属性说)(18)参见李蕾：《数据可携带权：结构、归类与属性》，《中国科技论坛》2018年第6期。等观点，都未准确指出个人信息可携带权的本质。个人信息可携带权中的“个人”具有人格权属性，但人格权的范围过于概括，个人信息权、被遗忘权、算法解释权(19)参见李婕：《公共治理领域算法解释权之构建》，《求是学刊》2021年第3期。等都属于人格权范畴，难以体现个人信息可携带权的特点。个人信息可携带权中，以数据形式呈现的内容具有数据权属性，但以非数据形式显现出来的个人信息(如个人从“脉脉”上下载并打印出来的纸质个人图像)不具有数据权属性，因此数据权说难以涵盖个人信息可携带权的所有内容。个人信息可携带权的内容是个人对自己信息的查阅、复制、访问以及迁移等权利，多数指向行为，并不必然以金钱计算价值，因此财产权说也名不符实。为了更好地剖析个人信息可携带权的内涵，本文根据法律条款具体解读我国个人信息可携带权的内容特点。

1.个人信息可携带权是“悬于半空”的个人信息权

《中华人民共和国民法典》(以下简称《民法典》)和《个人信息保护法》都未规定互联网平台未履行“提供”权利人信息义务的法律责任，导致个人信息可携带权处于“悬于半空”的状态。《民法典》第1034条规定“自然人的个人信息受法律保护”，并在第1035条规定处理个人信息应当遵循合法、正当、必要原则，不得过度处理。个人对自己处于第三方设备中的信息进行查阅访问、下载传输，是实现个人信息权的应有之义。因此，《个人信息保护法》第45条可视为《民法典》个人信息权条款的延伸。但是，这些权利只有在符合“合法、正当、必要原则，且不过度处理”的情况下才能实现。而权利人和信息处理者的立场不同、利益不一，信息处理者能否按照权利人的请求履行“提供”信息的义务，是权利人实现信息控制权的关键。

2.个人信息可携带权是个人控制自己信息的前提条件

有学者认为，个人信息可携带权与信息所有权的产权方法密切相关(20)Peter Swire & Yianni Lagos，“Why the right to data portability likely reduces consumer welfare：Antitrust and privacy critique”，MD.L.REV.，Vol.72，2013，pp.335-373.。但这些观点似乎仅关注了Rubinstein所说的 “与财产有关的行为，如交易、交换或出售数据”(21)Rubinstein，Big data，“The end of privacy or a new beginning?”，International Vata Privaly Law，Vol.3，No.2，2013，pp.74-83.，而忽略了产权的定义要素——排除权。“财产”这一概念的含义是针对整个世界的有形或无形物体的任何利益(具有所谓的普遍效力(22)Nadezhda Purtova，“Property rights in personal data：A European perspective”，Kluwer Law Incernational Press，2011，pp.57.)。信息可获取性或传输能力，并不是财产的必要定义特征。如果个人信息可携带权是产权，则具有保障权利人带着他的个人信息离开某一网络平台或服务的功能。纵观《个人信息保护法》全文，其关于个人信息可携带权的规定并没有产生这种排除的权利：只有权利人行使《个人信息保护法》第47条的请求删除权才能获得完整的信息所有权——但是信息可携带权的行使并不会自动触发删除请求。因此，个人信息可携带权难以满足“排除权”这一所有权的核心要求，仅宣示性地规定了个人享有“请求查阅、复制、转移信息”的权利，这些内容仅仅是开启“使用、收益、处分”个人信息权利内容的前提。如果个人不能控制(占有)个人信息，那么个人信息可携带权不过是空中楼阁。

3.小结

“数据可移植性的主要目的是加强个人的控制……并确保他们在数据生态系统中发挥积极作用。”(23)Art.29 Data Protection Working Party，Guidelines on the Right to Data Portability，16/EN WP 242 rev.01 (Apr.5，2017)，at 7.个人信息可携带权的初衷是通过赋予权利人对个人信息的查阅、控制、访问、转移而实现信息控制权，从而促进信息在不同网络平台之间自由流动。但在我国《个人信息保护法》框架下，个人对自己信息的控制需要“个人信息处理者提供转移路径”才能实现，这种“悬于半空”的个人信息权仅是个人对自己信息控制的前提条件，是立法创设的新型权利。

(二)不完全信息自决权之证成

《个人信息保护法》第45条规定的个人信息可携带权难以划入传统权利的范畴，本文从立法目的、体系解释、适用现状等方面阐释个人信息可携带权的“新”内涵，探索其“悬于半空”的新型权利特征。

1.权利内容新——本质上是个人信息“控制权”。相较于传统民法通过占有实现对权利的控制，个人信息可携带权通过权利人的请求权开启对信息的控制。“通过个人控制他们的信息来加强信息流通”是《个人信息保护法》第一条“促进个人信息合理利用”的应有之义，故信息可移植性被视为信息保护基本权利的一部分。因此，个人对信息的查阅权、复制权和请求转移权目的都在于确保个人对自己信息的控制。《个人信息保护法》第45条规定了信息转移的两种途径：个人请求复制个人信息，然后自己转移到新的网络平台；
个人请求原网络平台将个人信息转移至其指定的个人信息处理者。所以，个人可以自行决定是否以及在何种范围内转移自己的信息，本质上是个体对自己信息的控制权和支配权(24)张忆然：《大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩》。。

2.权利模式新——以“赋权—义务”为核心，权利实现期限不确定。《个人信息保护法》第45条强调信息处理者对权利人的申请“应当及时提供”和“提供转移的路径”等义务，意在探索在目前技术可行的框架内权利人和信息处理者共同协作的信息可携带权实现模式——信息权利人向信息处理者提出信息访问、复制等请求，并且在信息处理者同意时才能移植。但无论哪种个人信息转移方式，都需原信息处理者配合才能实现。如果个人将自己的信息传输到另一网络平台的技术要求、经济成本过高的话，个人可能无法实现传输目的。而且，《个人信息保护法》未规定信息控制人向信息主体移交信息副本的任何期限——虽然“个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供”，但“及时”究竟是多长时间，各网络平台并未有一致的做法；
在“个人信息处理者应当提供转移的途径”的情况下，信息处理者在多少工作日内提供转移途径，也未有定论。众多中小网络平台由于管理不规范、技术不成熟等原因，满足信息主体实现信息可携带权要求的时间恐怕相当漫长。

3.权利实现方式新——信息处理者“提供”转移路径。《个人信息保护法》第45条规定的请求查阅权、复制权和请求转移权在一定程度上保证了权利人的信息自主性。这一条款中信息处理者的“提供”则有不同的解释。在最狭义的意义上，“提供”是指信息处理者自愿提供或主动披露信息——如通过填写表格或回答问卷提供信息。更广泛的解释还包括 “被动提供”的信息，或通过使用控制器提供的设备或服务观察到的信息。最广泛的解释将包括信息处理者以合同或同意为由处理的所有信息。“提供”概念的模糊界限无疑对个人行使信息可携带权带来困难，但在某种意义上能够促使信息处理者删除相关信息——当原始信息不再需要严格处理时，不愿意分享的信息处理者将被促使删除这些信息。无论是信息主体促使信息处理者行使删除权，还是请求信息处理者“提供”信息，都是《个人信息保护法》的首创，是个人信息可携带权实现方式的创新。

4.小结

信息可携带权是权利人将个人信息移动到另一个控制者的可能性，其初衷是确保信息主体对其信息的控制，从而保证信息自决权的实现。《个人信息保护法》第45条中信息可携带权包括请求访问权、获得副本的权利和信息传输的权利。尽管这些权利增强了权利人的信息自决权实现的可能性，但信息控制的实现仍有赖于信息处理者“提供”转移路径。故我国个人信息可携带权虽然具有内容新、模式新、实现方式新等特点，但本质上是一种不完全的控制权。虽然信息处理者具有配合义务，但法律并未规范履行该义务的保障措施，导致个人对自己的信息仅有部分控制权。

个人信息可携带权源于欧美法律中个人对自己信息的控制权，但因种种限制，我国法律仅赋予权利人不完全的信息自决权。其结果是，个人信息自由流通的力度受限，该权利促进有序竞争的功能受到影响。那么，在我国司法实践中，哪些技术难题阻碍权利个人信息可携带权的实现？这种立法模式对信息行业的竞争秩序具有什么影响？

(一)个人信息流通受限

权利人对个人信息的控制是信息流通的前提，然后权利人才能将个人信息传输至另一网络平台。根据《个人信息保护法》第45条，权利人可通过复制信息掌握信息内容，同时通过行使《个人信息保护法》第47条的删除权来获得信息所有权。通常情况下，权利人会同时提交复制权和删除权两项请求，将个人信息全部控制在自己手中。权利人请求原平台将个人信息转移至指定的个人信息处理者，当原平台怠于或不愿转移信息时，个人信息流通将受到限制。GDPR第29工作组在数据可移植性指南中提出，除了防止服务锁定外，信息可携带权“本质上是在数据主体的控制下……促进数据控制者之间个人数据的创新和共享机会”(25)Peter Swire，“Why the right to dada portability likely reduces consumer welfare：Antitrust and privacy critique”，Maryland Law Review，No.2，2013，pp.346-371.。相较之下，我国个人信息可携带权仅规定了不完全的个人信息控制，自然难以使个人信息在流通中发挥应有作用。

(二)技术难题阻碍个人信息可携带权的实现

《个人信息保护法》第45条要求信息处理者应权利人申请履行“应当及时提供”和“应当提供转移的路径”义务，是个人信息可携带权实现的必要条件。个人信息处理者不履行配合义务，会给权利人增加负担，主要表现为以下方面。

1.转换成本高、效果差

相较于GDPR提出的“结构化的、常用的和机器可读的”互操作性技术，我国法律并未规定技术规则，权利人可能因信息处理者的不配合行为难以行使信息可携带权。如果用户在一个平台上拥有大量数据，那么他切换到另一个平台可能会付出巨大的代价。例如，甲将自己在亚马逊Goodreads平台上阅读的数百本书的评分移植到另一平台时，他必须手动输入自己阅读的每本书的评分，巨大的工作量导致他不得不考虑是否移植信息。因此，转换成本成为信息移植的一大障碍。如果个人信息难以便捷地导入新网络平台，那么“锁定”问题依然会阻止数据流通，导致立法目的难以实现。在缺乏互操作性的情况下，即使信息具有可移植性，网络锁定效应也会持续存在。例如，一方面，便携性允许Facebook用户一次性将他们的图片、消息和联系人传输到他们的Snapchat账户；
另一方面，互操作性允许Facebook用户直接发布到朋友的Snapchat或与他们实时分享状态更新。虽然Facebook有导出功能，允许用户下载他的所有信息，并将其带到其他地方，但当用户所有的朋友都被锁在Facebook里时，用户将信息转移到Snapchat平台也无法实现信息流通目的。

2.突破访问设置难

欧美数据可携带权中的“互操作性”要求实际赋予科技企业开放数据的义务，因为数据是一种非竞争性、非排他性的资源。但在某些情况下，平台可以对某些数据设置排他的访问权限，如物联网温度计公司可能对有关患者体温的数据有独特的访问权限，石油公司可能对特定的地热数据有独特的访问权限。信息可移植性可以在一定程度上削弱独特数据访问的优势，而互操作性是突破访问设置的重要方法。数据发送方可能出于不想因为过多的数据致使接收器过载，或者为了自己的利益而希望保留数据等想法，隐瞒其收集的某些数据。为推行互操作性措施，英国商业创新与技能部正推进 Midata的可移植性计划来降低金融科技领域独特数据访问的障碍，让消费者使用Midata下载他们的历史银行交易数据，以便他们可以使用价格比较工具来查看他们是否可以将数据转移到另一家银行来节省开支。目前我国法律并未明确信息移植技术问题的应对方法，如何突破技术障碍，是个人信息控制权实现必须正视的问题。

(三)影响竞争秩序的附随效应扩大

1.信息可携带权无法引导有序竞争

我国个人信息可携带权是不完全的控制权，导致其附随的竞争效应凸显。信息可携带权的目的是赋予信息主体控制权，确保信息主体从信息控制者处获取其个人数据，并可以便捷地转移到另一信息控制者。权利人只有在新的网络平台上同意将用户的个人数据导入其自己的数据库时，信息可携带权才能实现。由于不同社交软件具有各自的数据格式和不同的数据库结构，数据控制器很难合并另一个控制器提供的数据。权利主体难以在不同网络平台转移个人数据时，信息可携带权无法有效引导网络企业的有序竞争。

2.信息可携带权形塑竞争规则

《个人信息保护法》第45条不仅是对个人信息可携带权的确认，而且可能对竞争格局产生广泛的影响。一方面，信息可移植性可以促进竞争，促进移植信息的重新利用，并刺激信息分析服务的发展。根据《个人信息保护法》第45条，信息移植不仅可以使权利人将信息传输给原网络平台的直接竞争对手，还有利于权利人利用不同平台的互补增值服务进行产品比较。另一方面，明确信息格式以及信息处理程序的标准化和互操作性可能限制竞争。标准化有助于实现可携带权，也有可能带来负面后果，即一旦选择了特定的标准，新技术的发展就会停滞不前，因为市场参与者倾向于提供符合约定标准的产品和服务，影响网络技术创新的应用市场。

当前信息可携带权的规定倾向于帮助具有强大网络效应的现有平台吸引用户、降低转换成本，实际上可能会损害网络规模较小的竞争对手(26)参见罗小芳、王素素：《数字经济、就业与劳动收入增长》，《江汉论坛》2011年第11期。。例如，初创小型企业可能会选择更小、更便宜的客户关系管理平台，当他们拥有更多客户，并希望更好地进行系统集成时，初创公司会通过购买第三方工具或付费请专家来转换客户信息而尽快切换到更大的客户管理平台，此时巨大的转换成本将限制其竞争力。

如果信息处理者不履行《个人信息保护法》第45条“及时提供信息”“提供转移的途径”的义务，不但导致个人信息可携带权无法实现，而且可能构成损害其他经营者的合法权益、扰乱社会经济秩序的不正当竞争行为。当前，《网络数据安全管理条例(征求意见稿)》《禁止网络不正当竞争行为规定(公开征求意见稿)》等法律法规对个人信息可携带权的实现发挥着重要功能。

(一)现行法律责任之不足

GDPR颁布前，欧盟前竞争事务专员阿尔穆尼亚 (Almunia) 在一次演讲中明确表示，数据可携带权“触及竞争政策的核心”，“保障客户通过随身携带自己的数据进行转换的市场，才能进行有效竞争”(27)Press Release，Joaquin Almunia，“Competition Comm’r，European Comm’n，Remarks on Competition and Personal Data Protection at the Privacy Platform Event：Competition and Privacy in Markets of Data in Brussels”，(Nov.26，2012)，http：//europa.eu/rapid/press-release SPEECH-12-860_en.html.。如果占主导地位的网络公司不允许用户随身携带他们的数据，欧盟委员会或国家竞争主管机构可以根据竞争法进行干预。

《个人信息保护法》和《中华人民共和国反不正当竞争法》(以下简称《反不正当竞争法》)都规定了对信息处理者不履行义务的行为追究法律责任的条款。《反不正当竞争法》第12条规定，经营者不得利用技术手段“恶意对其他经营者合法提供的网络产品或者服务实施不兼容行为”。信息控制者拒不提供信息转移的技术、途径的行为，自然会妨碍、破坏其他经营者合法提供的网络产品或者服务的市场占有率，符合《反不正当竞争法》第12条的规定。《反不正当竞争法》第24条规定的惩罚措施(28)《反不正当竞争法》第24条规定：“经营者违反本法第十二条规定妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的，由监督检查部门责令停止违法行为，处十万元以上五十万元以下的罚款；
情节严重的，处五十万元以上三百万元以下的罚款。”直指“拒不提供信息转移义务”的违法行为，但违法行为是否在信息网络市场占有相当比例，违法行为是否扰乱了信息网络市场秩序进而构成不正当竞争，并不容易认定。与之相对，《个人信息保护法》第66条规定，“处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务”。这一处罚措施不利于“信息流通”，反而会导致个人信息因原平台的应用程序终止而无法访问。因此，《个人信息保护法》和《反不正当竞争法》都难以对个人信息可携带权的实现提供有效保障。

(二)明确网络平台不得阻碍个人信息流通

信息处理者不提供“信息转移途径”义务的行为妨碍网络有序竞争，亟须新的立法进行规制。信息可携带权是初创企业和中小企业进入 Facebook、谷歌等 “IT 巨头”主导的数据市场的重要保障，这为企业参与市场竞争提供了一个公平的机会(29)卓力雄：《数据携带权的基本问题与中国应对》，《行政法学研究》2019年第6期。。当信息处理者不履行“提供信息”等义务时，权利人或受影响的网络服务商很难证明自己的权利受到现实可见的、物理的损害。当阻碍信息移植的行为尚未发生实害结果时，受害人很难根据《反不正当竞争法》获得救济。为引导网络空间竞争有序，“确保真正选择优质产品和服务来保持市场开放和保护消费者”(30)参见阿里巴巴集团“二选一”垄断行为案的行政处罚决定书(国市监处[2021]28号)与行政指导书。虽然市场监管总局依据《反垄断法》处罚阿里巴巴集团“二选一”行为，但该“二选一”行为亦构成违反《反不正当竞争法》第2条或第12条的不正当竞争行为。，2021年市场监管总局公布《禁止网络不正当竞争行为规定(公开征求意见稿)》，该规定第13条明确提出，“经营者不得利用数据、算法等技术手段，通过影响用户选择或者其他方式，实施流量劫持、干扰、恶意不兼容等行为，妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行”，第14条规定“经营者不得实施妨碍、干扰其他经营者合法提供的网络产品或者服务的行为”。信息处理者“锁定”用户信息的情况属于“利用数据、算法等技术”显著性地影响其他经营者合法权益的行为，即当且仅当一项数据、算法驱动型竞争行为能够显著妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行时，该项网络竞争行为可能构成不正当竞争行为。

司法实践中，信息处理者妨碍、破坏违法行为的类型与严重程度以及预估的妨碍、破坏违法行为对竞争的影响(31)翟巍：《数据、算法驱动型不正当竞争行为的规制路径》，《法治研究》2021年第6期。都是判断不正当竞争的具体标准。腾讯诉搜道网络案的判决指出“数据可携带权是指数据主体有权获取其提供给控制者的相关个人数据”，但同时亦对该项权利的行使设置了一定的条件，不仅要求“数据迁移每一方均需采取严格的隐私保护等安全措施，同时也明确禁止未经授权的数据转移”。“对于微信个人数据的迁移，要充分保障网络用户的合法权益，更要禁止数据领域的不正当竞争行为”(32)浙江省杭州市(2019)浙8601民初1987号判决书。。因此，当网络平台拒绝履行《个人信息保护法》第45条的义务、阻碍信息流通时，可能构成不正当竞争行为。缺乏信息可移植性将会限制消费者选择竞争产品，如果科技企业涉嫌排他性滥用，可能造成竞争对手进入壁垒，这种限制市场和技术发展的行为将会对消费者造成误导(33)陈兵：《数据时代开启消费者多元共治新格局》，《东北师大学报(哲学社会科学版)》2022年第2期。，甚至构成利用技术手段实施妨碍、干扰不正当竞争行为。当前司法判决已先行迈出“网络平台不得阻碍个人信息流通”步伐，法律规范应进一步完善信息可携带权的实现路径。

(三)完善信息可携带权实现的操作指引

《禁止网络不正当竞争行为规定(公开征求意见稿)》尚未生效前，网络信息企业采取补救措施是避免反不正当竞争处罚的有效举措。谷歌滥用支配地位案中(34)For Commitments of Google，see Case COMP/C-3/39.740 Foundem and others，April 3，2013，paras.27-31，2013 O.J.，http：//ec.europa.eu/competition/antitrust/cases/decdocs/39740/39740 8608_5.pdf.，联邦贸易委员会与谷歌进行谈判，要求谷歌停止使搜索引擎提供商对广告商施加义务，以阻止他们将广告活动转移到竞争平台。当谷歌自愿让步以取消对 AdWords 的限制时，联邦贸易委员会结束了调查。另一方面，当信息是竞争对手在市场上推出自己的产品或服务所必不可少的条件时，共享信息义务是充分竞争的必然要求。在企业合并的情况下，信息可移植性或信息共享的补救措施可以作为防止“显著阻碍有效竞争”的工具发挥作用，2008年汤姆森/路透社合并决定中采用的补救措施即是先例。这种补救措施允许信息库的购买者在与合并实体的竞争中迅速将自己确立为市场上可靠的竞争力量。法院在Alrosa案中明确表示，提出承诺的企业在侵权决定中“有意识地接受他们做出的让步”有助于消除侵权后果的不利影响(35)CJEU，European Comm’n v.Alrosa Co.，Case C-441/07 P，ECL：EU：C：2010：377，para.48 (June 29，2010).。这些案例表明，美国竞争管理机构将实现数据可移植性作为竞争问题的补救对策。目前，我国并没有强制数据转移的规定，可从完善技术操作指引方面加以规制。

《信息安全技术个人信息安全规范》和《网络数据安全管理条例(征求意见稿)》细化了信息可携带权实现的可操作性要求。《信息安全技术个人信息安全规范》第8.6条规定，信息控制者应个人信息主体的请求，在技术可行的前提下将上述信息传输给指定的第三方。我国《网络数据安全管理条例(征求意见稿)》对信息可携带权实现也规定了明确的可操作性条款。该条例第20、23、24条针对信息可携带权的实现做了明确规定：第20条要求制定个人信息处理规则并严格遵守，明确“个人查阅、复制、更正、删除、限制处理、转移个人信息，以及注销账号、撤回处理个人信息同意的途径和方法”；
第23条要求数据处理者对个人信息查阅、复制等申请“不得设置不合理条件”，“应当在十五个工作日内处理并反馈”；
第24条规定数据处理者对个人信息转移要求“应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务”。该条例中上述条款是对个人信息可携带权实现的具体化，但“技术可行”“不合理条件”如何判断，可参考“携号转网”(36)我国曾开展“携号转网”服务以强化用户对信息的控制权，是信息可携带权中国实践的破冰之行。2019年工信部颁布《携号转网服务管理规定》，中国移动、中国联通和中国电信三大基础运营商随之发布固定号码携号转网和移动号码携号转网服务细则。这一服务实际是通过网信企业之间的互操作性来完成个人信息转移，对促进市场竞争、优化市场结构具有推动作用。中互操作性的模式。

从技术角度看，互操作性有“API导出”和“集体移植”两种路径。API能够避免一次性导出成本过高(如长时间的数据备份)问题，能够更快速(通常在几分之一秒内)和更频繁地访问更小的信息块。利用API技术，使用Facebook“登录”按钮等流线型设计元素可提供无缝的传输体验，还能够进一步降低转换成本和返回现有服务的成本(37)目前，API跨系统可提取市场订单信息、钻孔信息编辑、流程信息编辑及批量导出报表的开发及应用。参见李建华、张凯瑞、王俊：《InPlan系统的API开发及应用》，《印制电路信息》2019年第6期。。“集体移植”指网络用户能够轻松地将他们的信息传输到另一个网络平台，并将原账户中关联的好友信息一并传输。集体移植可将多人共享的数据包含在传输中，使其在不侵犯用户隐私的情况下打包并批量传输数据，而且能够降低转换成本。例如，集体移植能够使用户在切换到新平台时将原平台上的朋友一起转移，这有助于促进新生的社交网络发展。集体移植还降低了共享数据的用户组的转换成本。随着人工智能技术的不断成熟，建议《网络数据安全管理条例(征求意见稿)》在附则中规定信息可携带权在技术上的互操作性，明确API导出和集体移植路径，为个人信息可携带权的实现提供技术保障。

保障个人信息的控制权与促进信息网络有序发展是个人信息可携带权的重要内涵。《个人信息保护法》采取“权利人请求+义务人配合”的模式规定个人信息可携带权，属于不完全的信息控制权，无法有效发挥信息在控制者和权利人之间再利用的功能，导致其客观上扩大了该条款对竞争秩序的影响效应。当前，《禁止网络不正当竞争行为规定(公开征求意见稿)》《网络数据安全管理条例(征求意见稿)》是规制网络市场秩序的主要依据，建议《网络数据安全管理条例(征求意见稿)》在附则中明确信息可携带权实现的技术路径，为数字中国建设添砖加瓦！