数据安全观察 | 中国个人信息转移权：数据携带权的脱胎换骨

走出去智库观察  

微信社交、淘宝购物等在网上所产生的浏览足迹、社交好友、商品交易等数据，所有权归于谁呢？银行转账、医院看病等数据的所有权，消费者是否可以轻松携带并提供给其他服务机构使用呢？

走出去智库(CGGT)观察到，我国《个人信息保护法》首次对数据可携带权作出规定：数据主体有权从数据控制者处获取个人信息副本，以及请求数据控制者直接将其个人信息传输给另一实体。至此，数据可携带权正式被纳入我国个人信息保护法律体系。

如何行使个人信息转移权？今天，走出去智库（CGGT）刊发对外经济贸易大学数字经济与法律创新研究中心执行主任许可的文章，供关注数据安全管理的读者参考。

要 点

CGGT，CHINA GOING GLOBAL THINKTANK

1、欧盟《一般数据保护条例》中的数据携带权服务于两大目标：一是加强个人对其数据的控制，落实个体信息自决权，二是支持欧盟境内个人数据自由流动、促进控制者之间竞争，从而推动在数字化单一市场战略的背景下的企业创新。

2、我国个人信息保护法将“个人信息合理利用”作为立法目的之一，但其主要体现为对个人信息所承载多元利益之肯认，平衡作为个人信息处理者的企业、国家机关与作为信息主体的个人之利益。

3、个人信息转移权以信息和数据、人格与财产、个体与市场二分为原则，让信息与人格归于个体，让数据、财产归于市场，通过个人信息保护法和数据安全法实现了逻辑清明和功能简化，消除了数据携带权因设计目标复杂导致的矛盾与模糊。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/许可

对外经济贸易大学数字经济与法律创新研究中心执行主任

《中华人民共和国个人信息保护法》于8月20日正式发布，较诸之前草案，对个人权利影响最大的，莫过于第四十五条在“个人信息查阅、复制权”之外，增设“在个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”。

看到这一“个人信息转移权”，人们会不由想起欧盟《一般数据保护条例》的“数据携带权”，即个人有权获得其提供给数据控制者的相关个人数据，且其该数据应当是结构化的、普遍适用的和机器可读的，个人还有权无障碍地将此类数据从其原数据控制者那里传输给另一个控制者。

为此，还引发坊间就该条款是否专门针对“数据竞争与垄断”的讨论与猜测。不过，“个人信息转移权”真的是中国版的“数据携带权”吗？对此，我们还需要正本清源。

什么是“个人信息转移权”的立法目的？

欧盟《一般数据保护条例》中的数据携带权服务于两大目标：一是加强个人对其数据的控制，落实个体信息自决权，二是支持欧盟境内个人数据自由流动、促进控制者之间竞争，从而推动在数字化单一市场战略的背景下的企业创新。

与此迥异，我国个人信息保护法并未以“个人信息自决权”为基石，第四十四条中的“个人决定权”所指向的是“个人信息处理活动”而非“个人信息”，其体现为对个人信息处理活动的选择权、限制权和拒绝权，而非个人信息的控制权，从而勾连个人信息保护法开宗明义所确立的“保护个人信息权益”和“规范个人信息处理活动”。

另一方面，我国个人信息保护法将“个人信息合理利用”作为立法目的之一，但其主要体现为对个人信息所承载多元利益之肯认，平衡作为个人信息处理者的企业、国家机关与作为信息主体的个人之利益。因此，无论文本含义、立法说明抑或体系解释，个人信息保护法均无竞争法上的考量，在正式稿最终删除了草案第一条中“保障个人信息依法有序自由流动”的表述，充分说明其无意于个人信息流动与市场竞争秩序建构。

那么，个人信息转移权究竟意在何方？这个问题其实并不难回答。个人信息保护法第一条通过“根据宪法，制定本法”的宣誓，将个人信息权利上溯至宪法第33条第三款“国家尊重和保障人权”、第38条“中华人民共和国公民的人格尊严不受侵犯”、第40条“中华人民共和国公民的通信自由和通信秘密受法律的保护”，从而彰显出“以人民为中心”的人格权利保障目的。简言之，个人信息转移权作为查阅、复制权的延伸，为个人提供了更充分、更多样的保障自身权利的渠道。个人健康医疗信息的转移可谓最典型的应用场景。当一名病人转院，或者在异地突发疾病之时，他就诊的医院只有全面掌握之前病历信息后，才能妥当诊治，此时，能否从其他医疗机构及时转移个人信息就显得意义重大。总之，个人信息转移权系为信息主体利益所设，与市场主体利益无涉。

话说回来，我国法律并非没有考虑数据流通和公平竞争，只是将这一任务交给了数据安全法。该法第七条提出：保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展，第五十一条的禁止规范进一步涵盖了“排除、限制竞争的数据处理活动”，并将其引致反垄断法来处理。这是非常适切的回应之举。事实上，欧盟的实践已经证明，不顾市场势力和市场结构的一刀切式数据携带权，并没有实现打破数据锁定的效果。相反，这一权利反而成为大企业建立朋友圈、小企业丧失细分市场优势的逆向机制。2018年，谷歌与微软、推特、Facebook和苹果合作共同致力于“数据传输项目”，并于2019年推出数据便携性工具，多个巨头的数据反而更加集中了。

如何行使个人信息转移权？

由于数据携带权面临着种种争议，欧盟《一般数据保护条例》为该权利的行使施加了多重限制。首先，可携带的个人数据仅指数据主体本人提供的数据，不包括他人提供的数据，且不得含有可能有损第三人的权利或自由（如涉及到第三方数据权益、隐私权、商业秘密）的数据，其次，可携带的个人数据限于经个人同意或基于合同而自动化收集的数据。最后，被请求的企业只有在技术可行的前提下才有义务传输数据，不负有采用或维护技术兼容处理系统的一般性义务。

事实上，也正是因为数据携带权苛刻的行使条件，个人信息保护法采取了授权国家网信部门立法的形式，为个人信息转移权保留了最大程度的灵活性。在相关细则尚未出台之前，我们不妨借箸代筹，略做构想。首先，该权利指向本人提供的、无损他人权益的个人信息，因而权利人有必要证明其真实身份；其次，所转移的是电子化个人信息，但并非结构化的、机器可读的数据。个人信息转移权承接查阅权、复制权而来，以充实个人知情权为依归，其信息当为一般人所能理解，自不待言。与我国上述三位一体的权利不同，欧盟采取分而治之的路径：《一般数据保护条例》第15条规定“个人数据访问权（查阅权、复制权），第20条规定数据携带权，两者在数据范围和实施限制上均大相径庭。与中国类似，访问权对数据形式亦无强制性机器要求。最后，既然转移的是一般人可阅读的信息，则个人信息处理者便不存在数据携带权中技术兼容难题，理应提供转移的途径。

由此可见，个人信息转移权与欧盟数据携带权，貌合神离。更确切地说，前者是在个人信息保护法的脉络下，对后者的扬弃和革新。一方面，个人信息转移权以信息和数据、人格与财产、个体与市场二分为原则，让信息与人格归于个体，让数据、财产归于市场，通过个人信息保护法和数据安全法实现了逻辑清明和功能简化，消除了数据携带权因设计目标复杂导致的矛盾与模糊。但另一方面，个人信息转移权也可能面临“事与愿违”的后果，也就是个人信息可能因个人的无知或疏忽，从高保护水平的处理者不当流入了低保护水平的处理者，此时个人因信息转移所带来的损失反而大过了好处。为此，监管者可以仿效澳大利亚等国，从健康医疗、教育、就业、信用等贴合个人关切的场景和行业入手，划定个人信息接受者的资质和保护标准，在个人信息安全基础上，实现个人信息的有序转移。须知，个人信息流动不是目的，个人信息之后的个人权利保障才是重中之重。

来源：法制网