尊重用户意愿，支持用户原生数据的可携带与跨平台流转

　　作者：胡悦

　　数据已经成为国家的战略性资源，也是企业核心竞争力的重要基础。2020年，中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》首次强调了数据的生产要素地位，明确提出加快培育数据要素市场，对推进数据开放共享、释放数据资源价值、加强数据资源的整合和保护做出重要部署。《“十四五”大数据产业发展规划》也提出要促进推动数据“时效性”流动，建立数据共享机制，提升数据共享能力。然而，数据的战略重要性和商业价值使得数据控制者倾向于不共享数据，特别是以头部社交平台为代表的超级平台、元平台积累的用户个人数据。在数据要素体系中，个人数据因其潜在的巨大商业价值，成为当前数据经济环境下市场主体相互竞争的重要资源，巨头企业的扩张通常伴随着对用户个人数据的垄断。例如，大型互联网公司和平台企业常常将用户数据的全部权利归属于企业自身，将数据视为商业秘密对待。

　　数据可携：实现数据权利，促进数据共享

　　数据的重要性以及平台对个人数据的垄断触发了两个问题。一方面，数据垄断不利于数字经济高质量发展。数据垄断加剧了数字经济中的用户“锁定效应”，即较先进入市场的企业由于积累了大量用户，且用户对其已产生依赖，导致较晚进入市场的企业很难再积累用户。“锁定效应”在不同相关市场的程度也存在差异，即时通信和社交应用由于其广泛用户基数、高频和高时长的特点，头部平台的“锁定效应”也最深。换言之，数据已经成为数字经济时代企业准入市场的基础条件，某些企业的数据垄断推高了其他企业准入市场的壁垒，不利于形成一个良好的竞争市场环境。此外，数字经济的核心是数据的流通与共享，而数据垄断限制了数据与其他生产要素叠加，难以发挥数据的倍增效应，因而成为数字经济发展的瓶颈制约。另一方面，在大数据市场的商业利润的驱动下，以及随着数据采集技术和数据存储能力的快速发展，用户的数据焦虑感日益凸显，亟盼实现对数据控制者的制衡以及对自身数据的控制，呼吁大数据时代的个人数据权利。

　　近几年，围绕用户数据权利问题，在用户和平台、平台和平台之间都产生了不少争议。典型的如“多闪案”，抖音旗下多闪和腾讯旗下微信就在获得微信用户授权同意情况下，微信用户是否可以将自身在微信上的头像、昵称等公开数据转移到多闪上产生了争端，微信坚持禁止这一转移行为，但用户和多闪认为这些数据在权属上归于用户，用户有权利跨平台转移自身数据。这就涉及数据可携（Data portability），即数据的可携带性、可迁移性或者可移植性，是破除数据准入障碍和促进数据共享的关键概念。数据可携指数据主体可以将数据副本从一个数据控制者传输给另一个数据控制者。这一方面有助于实现数据主体对自身数据的控制，另一方面也促进了个人数据在不同平台间自由流动和互操作性，为数据市场和数字经济发展注入活力。

　　数据可携的域外实践：欧盟和美国

　　国际上，数据可携的理念与实践早已有之。非营利性行业组织 “数据可携项目”（Data portability project.org）于2007年成立，谷歌、Facebook、微软等互联网公司陆续宣布加入，寻求在各类不同的网络应用之间进行数据共享的解决方案。

　　在2016年，数据可携作为一项个人数据权利被写入欧盟《通用数据保护条例》（GDPR）。GDPR第20条创设了“数据可携权”这一新兴权利，将之定义为“数据主体有权以结构化的、通用的、机器可读的方式接收其提供给控制者的与其相关的个人数据，并且有权将该数据传输至其他控制者而不受此前已经获得该数据的控制者的妨害”。可见，GDPR数据可携权的内容主要包括数据获取权和数据转移权：前者指数据主体有权从数据控制者处获取“结构化的、通用的、机器可读的方式”的数据副本；后者指数据主体有权将数据副本从一个数据控制者传输给其他数据控制者。

　　欧盟GDPR引入数据可携权以及其他个人数据权利有其初衷。一是强化数据主体对个人数据的控制，保障个人信息自决权。在欧盟看来，个人数据体现了数据主体的人格特征，因此是人格利益的一部分，数据可携权是一项基本权利。二是欧盟将数据可携权作为促进自由竞争的重要抓手，通过数据可携打破平台对数据主体的“锁定效应”。在当前市场环境中，用户不愿意转移平台可能是因为转换服务的成本太高，而数据可携便于用户把自己在一个平台上积累的数据转移到另一个平台，由此减弱先进入市场的企业在用户数据积累上的先发优势。三是服务欧盟经济发展战略，促进欧洲本土经济利益。欧盟一直致力于建设数字单一市场，促进欧盟数字经济繁荣发展。数据流动是数字单一市场的应有之义，数据可携权在欧盟数字经济市场战略中发挥关键作用。同时，在以谷歌、微软、Facebook为代表的美国互联网巨头企业抢占欧洲市场的情况下，数据可携有利于破除美国企业对欧洲用户的锁定，遏制美国企业在欧洲市场的霸权地位，扶持欧洲本土中小数字企业发展。

　　相比于欧盟的统一立法路径，美国数据可携实践体现在相对分散的立法和判例中。其中，具有代表性的法案是美国加州的《加州消费者隐私法案》，该法案规定企业应该应消费者请求，通过信件或者电子方式提供个人信息，并且允许消费者无障碍地将此信息传输给其他实体。在相关司法判例中，美国数据可携实践的出发点是约束平台竞争行为，遏制平台滥用市场支配地位。例如，2013年，联邦贸易委员会启动对谷歌的反垄断调查，指控谷歌限制用户将谷歌在线广告平台上的数据传输到其他竞争平台，阻碍了用户转换服务。

　　数据可携的本土化：路径与方案

　　在我国，2021年11月生效的《中华人民共和国个人信息保护法》正式引入数据可携权，在第四十五条个人的查阅、复制权之下规定：“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。”这意味着个人拥有请求数据转移的法定权利，数据可携进入了我国的个人信息保护法律体系，成为个人在信息处理活动中的合法权利。这不仅增强了个人对个人信息的控制，也对国内企业数据合规提出新的要求。但是，目前条款对可携数据的范围的规定还较为笼统，用户哪些数据可携带还不清晰。一般认为，个人对具有可识别性的原生数据（如用户账号、昵称等）具有所有权，这类数据属于可携带权适用的数据范围。而对于用户观测数据（用户行为痕迹）和衍生数据（经算法进行加工、计算、聚合过的数据）是否应纳入可转移数据范围仍有不同观点，不少观点认为不应纳入。

　　除了法律条文的具体实施规范亟待细化，有观点认为，应先行设立数据接收权，暂不设立数据转移权；也有观点认为，应该通过技术程序保障隐私和数据安全，同时也要考虑保护商业秘密和知识产权，在相关法律文件中增加限制条件和除外规定。总之，随着数据可携的实质内容已经进入我国立法，未来应在实践中进一步摸索和完善数据可携权，以平衡数据流动与企业发展、个人隐私、数据安全之间的关系。

　　（作者系清华大学数据治理研究中心研究员）