《個人信息保護法》第四十五條規(guī)定：“個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應當提供轉(zhuǎn)移的途徑”。

　　這一條雖然內(nèi)容不多，但在個信法中備受矚目，因為這相當于在中國確立了個人信息可攜帶權(quán)制度。長期以來我國都沒有在其他立法中引入歐盟的可攜帶制度，一定程度上令到國內(nèi)的互聯(lián)網(wǎng)企業(yè)在處理數(shù)據(jù)層面有更大的自由度，最初創(chuàng)立可攜帶權(quán)制度的歐盟，其互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展狀況也開始讓各國反思其“虛高”的個人權(quán)益保護立場是否導致了阻礙技術創(chuàng)新，《個人信息保護法》作為從保護個人信息為根本出發(fā)點的立法，對于可攜帶的問題是何種態(tài)度和規(guī)定，在一定程度上反映著我國對于個人信息保護和產(chǎn)業(yè)發(fā)展平衡之間的選擇。

　　從產(chǎn)業(yè)的角度看，可攜帶權(quán)的規(guī)定不僅是增加企業(yè)合規(guī)成本的問題，更關鍵的可能會導致數(shù)據(jù)資源借助可攜帶權(quán)作為跳板被任意搬運，這種擔心并非空穴來風，筆者代理一則典型數(shù)據(jù)權(quán)益案件——群控案（曾入選2020年度知識產(chǎn)權(quán)十大案例）中即涉及到第三方主張用戶有可攜帶權(quán)并將其轉(zhuǎn)移到其他平臺，法院對此問題也有過經(jīng)典論述，司法實踐中越來越多的數(shù)據(jù)權(quán)益類案件，被告方通常都會引用用戶對數(shù)據(jù)的權(quán)益作為搬運數(shù)據(jù)時的抗辯理由，此次個信法可攜帶條款的出臺，無疑令到這個理由顯得更加充分，因此我們有必要分析一下這個規(guī)定究竟會帶來多大的影響，特別是在中央層面已經(jīng)多次通過正式文件強調(diào)數(shù)據(jù)稱為與土地、技術、人力等并列的“生產(chǎn)要素”的背景下，這一規(guī)定如何與數(shù)據(jù)資源有關權(quán)益和諧統(tǒng)一。

　　一、個人信息可攜帶不等于數(shù)據(jù)可攜帶

　　GDPR并未區(qū)分數(shù)據(jù)可攜帶和個人信息可攜帶，并且對可攜帶的前提要求很低，通常只要用戶授權(quán)同意即可，這樣的賦予用戶絕對化可攜帶權(quán)的立法思路是否值得借鑒是需要慎重考慮的。

　　如果是純粹的個人信息和隱私，應該賦予用戶一定程度的可攜帶權(quán)益，如果是個人信息之外的一般用戶信息，例如用戶在平臺留下的交易評價信息等， 這部分信息的可遷移性就更加應該審慎評估，一方面這些信息跟用戶的關聯(lián)性不強，另一方面卻可能對平臺的商業(yè)價值有更大的意義，所以應該從遷移前后能否做到帕累托最優(yōu)的角度來進行評估之后再做判斷。

　　商業(yè)實踐中，出現(xiàn)越來越多的情況是，希望獲取數(shù)據(jù)資源的一方，通過向用戶開放某種免費服務或者的方式要求用戶將其他平臺上的信息授權(quán)轉(zhuǎn)移過來，比如用戶撰寫的文章、交易評價、支付信息等，這種轉(zhuǎn)移對用戶而言是沒有操作成本的，其只需要同意有關的授權(quán)協(xié)議即可，剩下的數(shù)據(jù)遷移工作由第三方平臺通過爬蟲或者其他技術手段完成（例如借助安卓無障礙抓取、借助Hook機制控制獲取等），這種方式本質(zhì)上不過是攫取平臺已有數(shù)據(jù)資源而已。

　　我們可以對照一下歐盟GDPR關于數(shù)據(jù)可攜帶權(quán)的規(guī)定：

　　第20條 數(shù)據(jù)攜帶權(quán)

　　1.當存在如下情形時，數(shù)據(jù)主體有權(quán)獲得其提供給控制者的相關個人數(shù)據(jù)，且其獲得個人數(shù)據(jù)應當是經(jīng)過整理的、普遍使用的和機器可讀的，數(shù)據(jù)主體有權(quán)無障礙地將此類數(shù)據(jù)從其提供給的控制者那里傳輸給給另一個控制者：

　?。╝）處理是建立在第6（1）條（a）點或9（2）條（a）點所規(guī)定的同意，或者6（1）條所規(guī)定的合同的基礎上的；

　?。╞）處理是通過自動化方式的。

　　其中，（a）所提到的“第6（1）條（a）點或9（2）條（a）點所規(guī)定的同意，或者6（1）條所規(guī)定的合同的基礎”要求如下：

　　第6條 處理的合法性

　　1.只有滿足至少如下一項條件時，處理才是合法的，且處理的合法性只限于滿足條件內(nèi)的處理：

　?。╝）數(shù)據(jù)主體已經(jīng)同意基于一項或多項目的而對其個人數(shù)據(jù)進行處理；

　　第9條 對特殊類型個人數(shù)據(jù)的處理

　　1.對于那些顯示種族或民族背景、政治觀念、宗教或哲學信仰或工會成員的個人數(shù)據(jù)、基因數(shù)據(jù)、為了特定識別自然人的生物性識別數(shù)據(jù)、以及和自然人健康、個人性生活或性取向相關的數(shù)據(jù)，應當禁止處理。

　　2.如果具有如下條件之一，第1段將不適用：

　?。╝）數(shù)據(jù)主體明確同意基于一個或多個特定目的而授權(quán)處理其個人數(shù)據(jù)，但依照歐盟或成員國的法律規(guī)定，數(shù)據(jù)主體無權(quán)解除第1段中所規(guī)定的禁令的除外；

　　對照我國剛出臺的《個人信息保護法》，有關條文明確只有個人信息才涉及可攜帶的問題，并不是所有用戶產(chǎn)生的數(shù)據(jù)都在可攜帶的范圍，特別是包括《個人信息保護法》在內(nèi)的多部立法句明確經(jīng)過匿名化處理的數(shù)據(jù)不再需要數(shù)據(jù)主體的同意即可處理使用，因此我國顯然沒有選擇歐盟一樣激進的思路，而是緊緊圍繞個人信息保護構(gòu)建相關的權(quán)益保障制度。

　　二、個人信息可攜帶需要滿足前提條件

　　更加值得關注的問題是，我國個信法在轉(zhuǎn)移個人信息的問題上還是非常審慎的，并不是無條件任意轉(zhuǎn)移，而是應當符合幾個前提條件：

　　1、請求發(fā)起：需要個人信息主體向處理者提出請求，在沒有請求動作作出的情況下（而且請求動作應當符合法定的明確同意的標準），處理者不需要主動介入，這一點顯然也跟個人信息控制權(quán)的主旨是一致的，畢竟在信息主體沒有明確指示的情況下處理者將信息轉(zhuǎn)移已經(jīng)明顯構(gòu)成違法甚至犯罪了。

　　2、轉(zhuǎn)移目標：信息主體要明確指定轉(zhuǎn)移到哪個個人信息處理者；

　　3、轉(zhuǎn)移條件：符合國家網(wǎng)信部門規(guī)定條件。雖然目前尚未見網(wǎng)信部門的配套規(guī)定，但后續(xù)一定會有，并且筆者認為除了這些規(guī)定，還應當保護符合《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》的有關規(guī)定，轉(zhuǎn)移不能在違法的情況下進行，不能引發(fā)網(wǎng)絡安全問題和數(shù)據(jù)安全問題。

　　關于這一點，即便是在《個人信息保護法》中也有相關聯(lián)的條款，例如第二十三條規(guī)定：“個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息”，可見在轉(zhuǎn)移個人信息的過程中，原處理者向接收處理者轉(zhuǎn)移的正是個人信息，顯然也就構(gòu)成了該條規(guī)定的“提供行為”，那么就需要搞清楚接收方的“名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類”之后才能進行轉(zhuǎn)移，特別是在跨境轉(zhuǎn)移的情況下還要另外進行安全評估，這些都是法律所規(guī)定的附帶條件。

　　4、轉(zhuǎn)移方式：個人信息處理者應當提供轉(zhuǎn)移的途徑。這一條也很關鍵，也就是說轉(zhuǎn)移仍是通過原個人信息處理者提供的途徑進行的，不能是第三方通過爬蟲、cookie等單方面的技術手段直接獲取，所以不存在用戶同意了，就可以不通過原平臺隨意搬運的問題。當然《個人信息保護法》第五十條規(guī)定：“個人信息處理者應當建立便捷的個人行使權(quán)利的申請受理和處理機制。拒絕個人行使權(quán)利的請求的，應當說明理由”，這一條也意味著處理者不能對用戶行使攜帶權(quán)制造障礙，至于“便捷”到何種程度，恐怕要在實踐中逐漸摸索建立標準了。

　　通過上述分析，筆者認為我國的《個人信息保護法》關于可攜帶權(quán)的規(guī)定并不會給數(shù)據(jù)資源帶來破壞性影響，數(shù)據(jù)資源權(quán)益人對數(shù)據(jù)搬運等侵權(quán)行為仍然具有充分的維權(quán)基礎，司法實踐中也會不斷的通過個案來確立不同具體場景下實現(xiàn)個人信息可攜帶的具體標準，國內(nèi)的互聯(lián)網(wǎng)企業(yè)沒必要因此恐慌。

　　事實上，立法者一定也是在數(shù)據(jù)資源保護和個人權(quán)益保護之間做了精心的平衡，畢竟不論我們?nèi)绾喂膭顢?shù)據(jù)流通，作為一項稀缺資源，其價值最大化的前提依然是科斯定理中所講的“確權(quán)”，個人信息的可攜帶一方面為保護個人信息建立圍欄，一方面更是為數(shù)據(jù)有序流動創(chuàng)造制度前提，但這決不意味著數(shù)據(jù)資源可以無條件的“共享”，不意味著在互聯(lián)網(wǎng)上消滅“產(chǎn)權(quán)”，不意味著將互聯(lián)網(wǎng)在技術層面的互聯(lián)互通屬性與權(quán)益層面的無條件共享劃上等號。

　　三、可攜帶權(quán)可否通過協(xié)議排除

　　討論到這里，衍生出一個更深層面的問題，《個人信息保護法》規(guī)定了個人信息可攜帶的權(quán)益（非權(quán)利），從法律的基本原理出發(fā)，權(quán)利（權(quán)益）是可以放棄的，是否可以通過協(xié)議提前排除用戶可攜帶權(quán)的使用呢？

　　這個問題并非只是單純的學術討論，在商業(yè)和司法實踐中依然有一定的價值。

　　實踐中，個人信息在攜帶轉(zhuǎn)移的過程中由于會導致原處理者面臨違法、犯罪風險（侵權(quán)公民個人信息罪），處理者為了盡量降低風險，可能存在的一種情形是通過合同與用戶進行約定可以轉(zhuǎn)移的各項條件，如果用戶的轉(zhuǎn)移請求無法達到條件，則視為放棄請求或未提出請求，這樣的約定筆者認為是大概率會出現(xiàn)的，并且也具有足夠的合理性。

　　那么這種約定是否具有合同效力呢，是否會因為跟《個人信息保護法》的規(guī)定相沖突而被無效。筆者認為至少在實質(zhì)層面不應該認定為無效，畢竟可攜帶的法律規(guī)定算不上強制性規(guī)定，因此無效的可能性最多是出于形式層面，例如未盡到提示義務。

　　可見，簡單粗暴的通過條文概括式的排除用戶可攜帶權(quán)益顯然是行不通的，并且可能因此面臨《個人信息保護法》規(guī)定的行政責任，但在開辟了有關可攜帶通道的情況下，對于權(quán)益的具體行使方式仍然可以進行約定，這種約定不一定也不應該被一律無效，而是應該從法律規(guī)定的可攜帶條件和處理者面臨的風險和成本兩方面綜合認定。