论数据可携权及其规范重塑

PAGE10中文摘要摘要：关键词：ABSTRACTABSTRACT:Asanimportantsystemforcoordinatingtherighttocontroldataandtheefficiencyofitscirculation,thenormativeframeworkoftherighttodataportabilityisdirectlyrelatedtotheabilityofdataelementstobeconfiguredinthemarket.Currently,inthefieldofpersonaldata,Article45ofthePersonalInformationProtectionLawhasfallenintothestateof“rightsinvain”duetothelackofdatascopedefinition,technicalstandardsandrightsreliefmechanism;inthefieldofnon-personaldata,industrialInternetofThingsandotherscenariosareclosedduetoclosedinterfacesandserioustechnicalbarriers,whichhaveresultedintheformationof“datasilos”.Inthefieldofnon-personaldata,scenessuchastheIndustrialInternetofThingshaveformed“dataislands”duetoclosedinterfacesandserioustechnicalbarriers,andthestaticprotectionmodeoftheDataSecurityLawisdifficulttomeettheneedsofdynamicdatacirculation.TheEUDataActhasprovidedChinawithexperienceinsystemreshapingbyexpandingtherighttodataportabilitytonon-personaldata,establishingmandatoryinteroperabilitystandards,andestablishingamechanismforbalancinginterests.Inordertoenhancetheeffectivenessofthedataportabilitysystem,weshouldclarifytheclassificationandgovernancerulesofpersonalandnon-personaldataatthelegislativelevel,andclarifytheownershipboundariesofderivativedata;promotethenationalstandardsofunifieddataformatsandinterfaceprotocolsatthetechnicallevel,andbreakthetechnicalmonopolyofplatforms;andconsolidatetheregulatoryfunctionsofmultipledepartmentsattheregulatorylevel,soastorealizetheorganicunityofsecurityprotectionandcirculationefficiency.KEYWORDS：Righttodataportability;personalinformationprotection;non-personaldata;datafactormarket;interoperability目录2338中文摘要 i28099ABSTRACT ii11653目录 iii17022一、引言 528484二、数据可携权的制度发展与全球比较 611406（一）数据可携权的起源与制度演进 6219681.欧盟GDPR第20条的立法背景与制度逻辑 6293982.我国个人数据可携权的本土化规范 7237613.全球法域比较：欧美与我国的异同 831085（二）欧盟《数据法案》的制度创新 10314571.权利客体扩展：从个人数据走向非个人数据 10317062.技术互操作性标准的法定化与平台责任设定 1118903.利益衡平机制与数据安全保障的协同设计 117716三、个人数据可携权的制度瓶颈与实践困境 1216316（一）《个人信息保护法》第四十五条规范的内在局限 13131961.数据范围、技术标准与救济程序的缺失 13286092.GDPR制度经验的适用启示与规范局限 1420456（二）司法适用与平台运行的结构性障碍 1576951.司法裁判中的回避适用与裁量保守 1584352.平台的数据技术壁垒与用户锁定效应 1625769（三）权利基础与监管逻辑的深层矛盾 16141021.数据权属争议：原始数据、观测数据与衍生数据的权属模糊 1679572.技术标准制定的滞后性与执行虚置 18249433.多部门监管格局下的协调与执行困境 188908四、非个人数据可携权的制度空白与现实需求 197973（一）制度构建的功能诉求 1970981.工业物联网数据流通与接口封闭问题 19307952.公共数据的共享效率与要素价值释放 19138503.跨领域协同中的“数据孤岛”治理 2025306（二）制度缺位的多维表现 20184321.立法结构中的“重安全、轻流通”失衡格局 20155052.技术标准体系与监管机制之间的协同失效 21653.私有协议的制度滥用与中小企业的适配困境 2226810五、我国数据可携权的规范重塑 223489（一）数据可携权规范重塑的基本原则 22228181.权益平衡：用户、平台与公共利益多方平衡 2321602.分类治理：区别对待个人数据与非个人数据 23173493.安全可控：促进流通与信息保护的协同机制 2431222（二）个人数据可携权的规范重塑 2548691.明确数据权属与权利边界的分类立法 25308172.制定统一技术标准，打破平台技术封锁 26195533.构建数据市场监管体系，实现合规与效率共赢 2617175（三）非个人数据可携权的规范构建 28189441.数据分类标准与场景化分级授权体系构建 28272862.技术互操作性规则的标准化与工具化支持 29178133.多元市场主体利益的动态平衡 2910308六、结语 3026469参考文献 3228131致谢 36 一、引言[[]中共中央、国务院在2020年发布的《关于构建更加完善的要素市场化配置体制机制的意见》（简称“数据二十条”）中首次将“数据”界定为“生产要素”的范畴。][]中共中央、国务院在2020年发布的《关于构建更加完善的要素市场化配置体制机制的意见》（简称“数据二十条”）中首次将“数据”界定为“生产要素”的范畴。[[]欧盟《一般数据保护条例》第二十条规定：“个人有权利接收与其相关的其提供给数据控制者的以结构化、通用、机器可读取格式的个人数据，并不受障碍地将这些数据传输到另一数据处理者中的权利。”][[]《中华人民共和国个人信息保护法》第四十五条规定：“个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。”][]欧盟《一般数据保护条例》第二十条规定：“个人有权利接收与其相关的其提供给数据控制者的以结构化、通用、机器可读取格式的个人数据，并不受障碍地将这些数据传输到另一数据处理者中的权利。”[]《中华人民共和国个人信息保护法》第四十五条规定：“个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。”二、数据可携权的制度发展与全球比较（一）数据可携权的起源与制度演进欧盟GDPR第20条的立法背景与制度逻辑[[]刘敏敏：《欧盟〈个人数据保护指令〉的改革及启示》，[]刘敏敏：《欧盟〈个人数据保护指令〉的改革及启示》，西南政法大学2014年硕士学位论文。[]《欧洲议会和欧洲理事会2002年3月7日第2002/22/EC号指令》（Directive2002/22/ECoftheEuropeanParliamentandoftheCouncilof7March2002onuniversalserviceandusers'rightsrelatingtoelectroniccommunicationsnetworksandservices），载欧盟官方网站，\o"GivesaccesstothisdocumentthroughitsELIURI."http://data.europa.eu/eli/dir/2002/22/2016-04-30.[]《欧洲议会和理事会2002年3月7日关于电子通信网络和服务通用监管框架的第2002/21/EC号指令》（Directive2002/21/ECoftheEuropeanParliamentandoftheCouncilof7March2002onacommonregulatoryframeworkforelectroniccommunicationsnetworksandservices），载欧盟官方网站，\o"GivesaccesstothisdocumentthroughitsELIURI."http://data.europa.eu/eli/dir/2002/21/oj.[[]SeeGuidelinesontherighttoDataProtability2017,https://iapp.Org/media/pd/resouce-center/WP29-201704-dataprotabilityguidance.pdf,2021-8-24.][[]SeeGuidelinesontherighttoDataProtability2017,https://iapp.Org/media/pd/resouce-center/WP29-201704-dataprotabilityguidance.pdf,2021-8-24.[]参见高富平、余超：《欧盟数据可携权评析》，载《大数据》2016年第4期，第104页。2.我国个人数据可携权的本土化规范[[]《个人信息保护法》第四条：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。《民法典》第一千零三十四条第二款规定：个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。][]《个人信息保护法》第四条：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。《民法典》第一千零三十四条第二款规定：个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。[]参见付新华：《数据可携权的欧美法律实践及本土化制度设计》，载《河北法学》2019年8月第8期，第161-162页。3.全球法域比较：欧美与我国的异同继欧盟《GDPR》之后，我国《个人信息保护法》、美国的《2018年加利福尼亚消费者隐私法案》、[[]美国《2018年加利福尼亚消费者隐私法案》：“(a)消费者有权要求收集消费者个人信息的经营者向该其披露该经营者收集的个人信息的类别和具体要素；(c)经营者应仅在收到可核实消费者的请求后才向消费者提供(a)项中指定的信息。”]韩国的《个人信息保护法》、[[]韩国《个人信息保护法》：第三十五条之二：“①信息主体结合销售额、个人信息之规模等因素，在满足下列全部条件的情况下，对于符合总统令规定的个人信息处理者，可以要求个人信息处理者将其处理自身的个人信息传送到自己、其他个人信息处理者或根据第三十五条第三款第一项规定的个人信息管理专门机关。”]印度的《个人数据保护法》、[[]印度《2023数字个人数据保护法案》：第三章数据主体的权利和义务：“11.(1)数据主体有权就处理个人数据从其先前已给予同意的数据受托人处获取。”]澳大利亚的《消费者数据权利法案》、[[]根据新法案，消费者在与第三方金融科技平台或数字银行分享个人数据方面将拥有更多自由，例如，消费者个人“拥有”自己的数据，可以自主决定对哪些数据以何种条件进行共享，可以访问自己的银行、能源、电话和互联网交易信息，也可以决定谁可以拥有并使用这些数据。]日本的《个人信息保护法》[[]日本《个人信息保护法》第二十八条规定：“本人可以请求个人信息处理者以提供电磁记录的方式及其他《个人信息保护委员会规则》规定的方式公开可识别该本人的保存中的个人数据。”]和新加坡的《2023年数字个人数据保护法案》[[[]美国《2018年加利福尼亚消费者隐私法案》：“(a)消费者有权要求收集消费者个人信息的经营者向该其披露该经营者收集的个人信息的类别和具体要素；(c)经营者应仅在收到可核实消费者的请求后才向消费者提供(a)项中指定的信息。”[]韩国《个人信息保护法》：第三十五条之二：“①信息主体结合销售额、个人信息之规模等因素，在满足下列全部条件的情况下，对于符合总统令规定的个人信息处理者，可以要求个人信息处理者将其处理自身的个人信息传送到自己、其他个人信息处理者或根据第三十五条第三款第一项规定的个人信息管理专门机关。”[]印度《2023数字个人数据保护法案》：第三章数据主体的权利和义务：“11.(1)数据主体有权就处理个人数据从其先前已给予同意的数据受托人处获取。”[]根据新法案，消费者在与第三方金融科技平台或数字银行分享个人数据方面将拥有更多自由，例如，消费者个人“拥有”自己的数据，可以自主决定对哪些数据以何种条件进行共享，可以访问自己的银行、能源、电话和互联网交易信息，也可以决定谁可以拥有并使用这些数据。[]日本《个人信息保护法》第二十八条规定：“本人可以请求个人信息处理者以提供电磁记录的方式及其他《个人信息保护委员会规则》规定的方式公开可识别该本人的保存中的个人数据。”[]新加坡《个人数据保护法》：“(1)个人可以向移植组织提出一个请求（称为数据移植请求），移植组织将数据移植请求中指定的任何适用数据发送给接收组织。(2)在符合第(3)，(5)和(6)款的规定下，移植组织必须在收到数据移植请求后，按照规定的任何要求，将数据移植请求中指定的适用数据发送给接收组织。(3)第(2)款仅在满足以下条件时适用：数据移植请求满足规定的任何要求；(a)(b)移植组织在收到数据移植请求时，与个人之间存在持续的关系。”[]冯泽华、刘向东：《数据可携权的国际模式与中国进路》，载《青年记者》2023年第4期，第97页。全球实践形成的三种模式在核心目标、权利主体、权利客体以及对数据格式的规定上都有一定的共性。他们的核心目标都是加强个人数据控制和促进市场竞争，以此来回应数据市场和数据要素的增长。欧盟为打破平台的“数据锁定效应”，通过数据自决权赋予用户对自身数据的动态掌控权。（二）欧盟《数据法案》的制度创新1.权利客体扩展：从个人数据走向非个人数据[[]参见方新军：《权利客体的概念及层次》，载《法学研究》2010年第2期，第36-58页。][[]吴沈括、柯晓薇：《欧盟〈数据法案〉的规范要旨与制度启示：以个人信息保护为视角》，载《个人信息保护》2024年第1期，第3页。][]参见方新军：《权利客体的概念及层次》，载《法学研究》2010年第2期，第36-58页。[]吴沈括、柯晓薇：《欧盟〈数据法案〉的规范要旨与制度启示：以个人信息保护为视角》，载《个人信息保护》2024年第1期，第3页。[]欧盟《数据法案》第五条用户与第三方共享数据的权利：“1.应用户或代表用户行事的一方的请求，数据持有者应在不无故拖延的情况下，以全面、结构化、通用和机器可读的格式，向第三方提供现成的数据以及解释和使用这些数据所需的相关元数据，其质量应与数据持有者可用的相同，并应方便、安全、免费地提供给用户，在相关且技术可行的情况下，还应连续和实时地提供。数据持有者应根据第8条和第9条的规定向第三方提供数据。”2.技术互操作性标准的法定化与平台责任设定GDPR虽然对数据控制者提供数据的格式有了要求，但其“结构化、机器可读”的要求仅是笼统的标准，在实际操作中数据格式想要达到自由流通所需要的“机器可读”的结构化标准却十分困难。例如，常见的文本格式（txt）虽然技术要求不高，很简单直观但是难以满足大数据分析模型下对复杂数据的要求。文件和表格（常见的如PDF、HTLM、xls、xlsx等）在大规模的数据分析中也存在着格式不兼容等局限性。并且将互操作性从企业自律上升为法定义务，确保数据跨行业流通的技术可行性。《数据法案》[[]法案要求，数据处理服务的提供商必须遵守如下法定义务，以消除用户切换服务面临的障碍：（1）在合同中明确用户切换服务的权利，以及此种情况下服务提供商的义务；（2）向用户披露数据处理服务切换和迁移的信息（包括切换和迁移的方法、格式，以及技术等方面的限制），并提供由服务提供商维护的最新在线登记册，其中应包含数据结构与格式的详细信息、以及相关标准和开放互操作性规范；（3）诚实信用义务，即与其他各方真诚合作，使用户能够有效切换服务；（4）逐步减少切换服务的费用（该费用不得超过服务提供商因用户切换服务而产生的成本），并于2027年1月12日后不再收取费用；（5）基础设施即服务（IaaS）的提供商必须采取措施以确保用户在切换到同类服务后能够实现功能上的等效性；其他数据处理服务提供商则必须提供开放接口，并在欧盟相关标准或规范发布后12个月内确保与之兼容。][]法案要求，数据处理服务的提供商必须遵守如下法定义务，以消除用户切换服务面临的障碍：（1）在合同中明确用户切换服务的权利，以及此种情况下服务提供商的义务；（2）向用户披露数据处理服务切换和迁移的信息（包括切换和迁移的方法、格式，以及技术等方面的限制），并提供由服务提供商维护的最新在线登记册，其中应包含数据结构与格式的详细信息、以及相关标准和开放互操作性规范；（3）诚实信用义务，即与其他各方真诚合作，使用户能够有效切换服务；（4）逐步减少切换服务的费用（该费用不得超过服务提供商因用户切换服务而产生的成本），并于2027年1月12日后不再收取费用；（5）基础设施即服务（IaaS）的提供商必须采取措施以确保用户在切换到同类服务后能够实现功能上的等效性；其他数据处理服务提供商则必须提供开放接口，并在欧盟相关标准或规范发布后12个月内确保与之兼容。3.利益衡平机制与数据安全保障的协同设计[[]《欧盟〈数据法案[]《欧盟〈数据法案〉对我国数据要素市场发展的三点启示》，载中国电子信息产业发展研究院微信公众平台，https://mp.weixin.qq.com/s/b1haK5r081XCaSXMEBiJTg.[]参见辛勇飞：《中国数据治理规则体系构建：现状、挑战与展望》，载《人民论坛·学术前沿》2023年第6期，第6-12页。三、个人数据可携权的制度瓶颈与实践困境（一）《个人信息保护法》第四十五条规范的内在局限1.数据范围、技术标准与救济程序的缺失[[]邢会强：《论数据可携权在我国的引入[]邢会强：《论数据可携权在我国的引入——以开放银行为视角》，载《政法论丛》2020年第2期，第16-26页。[[]See[]SeeArticle29DataProtectionWorkingParty:GuidelinesontheＲighttoDataPortability，AdoptedonDecember13，2016，lastrevisedandadoptedonApril5，2017，16/ENWP242rev.01.PP.4．2.GDPR制度经验的适用启示与规范局限（二）司法适用与平台运行的结构性障碍1.司法裁判中的回避适用与裁量保守[[]卓力雄：《数据携带权：基本概念，问题与中国应对》，[]卓力雄：《数据携带权：基本概念，问题与中国应对》，载《行政法学研究》2019年第6期，第134页。2.平台的数据技术壁垒与用户锁定效应数据治理的应时性、复杂性、技术性，[[]参见沈岿：《数据治理与软法》，载《财经法学》2021年第1期，第9-11页。]以及平台对个人数据的垄断触发了两个问题。一方面，数据垄断不利于数字经济高质量发展。数据垄断加剧了数字经济中的用户“锁定效应[]参见沈岿：《数据治理与软法》，载《财经法学》2021年第1期，第9-11页。[]安徽美景信息科技有限公司与淘宝（中国）软件有限公司不正当竞争纠纷案，浙江省杭州市中级人民法院（2018）浙01民终7312号民事判决书。“锁定效应”在不同相关市场的程度也存在差异，即时通信和社交应用由于其广泛用户基数、高频和高时长的特点，头部平台的“锁定效应”也最深。换言之，数据已经成为数字经济时代企业准入市场的基础条件，某些企业的数据垄断推高了其他企业准入市场的壁垒，不利于形成一个良好的竞争市场环境。此外，数字经济的核心是数据的流通与共享，而数据垄断限制了数据与其他生产要素叠加，难以发挥数据的倍增效应，因而成为数字经济发展的瓶颈制约。另一方面，在大数据市场的商业利润的驱动下，以及随着数据采集技术和数据存储能力的快速发展，用户的数据焦虑感日益凸显，亟盼实现对数据控制者的制衡以及对自身数据的控制，呼吁大数据时代的个人数据权利。（三）权利基础与监管逻辑的深层矛盾1.数据权属争议：原始数据、观测数据与衍生数据的权属模糊[[]孙跃元：《数据可携权权利客体研究：结构、效果与中国化》，载《河南财经政法大学学报》2022年第37期，第86页。][]孙跃元：《数据可携权权利客体研究：结构、效果与中国化》，载《河南财经政法大学学报》2022年第37期，第86页。[]彭辉：《数据权属的逻辑结构与赋权边界——基于“公地悲剧”和“反公地悲剧”的视角》，载《比较法研究》2022年第1期,第102-104页。[[]参见朱宝丽[]参见朱宝丽：《数据产权界定：多维视角与体系建构》，载《法学论坛》2019年第5期，第78-86页。2.技术标准制定的滞后性与执行虚置[[]GB/T43697-2024数据安全技术、数据分类分级规则，详见国家标准全文公开系统。[]GB/T43697-2024数据安全技术、数据分类分级规则，详见国家标准全文公开系统。3.多部门监管格局下的协调与执行困境四、非个人数据可携权的制度空白与现实需求（一）制度构建的功能诉求1.工业物联网数据流通与接口封闭问题企业的真正竞争力应该在于数据分析能力而不应是对数据资源的控制优势，[[]SeeKrämerJ.PersonalDataPortabilityinthePlatformEconomy::EconomicImplicationsAndPolicyＲecommendations.JournalofCompetitionLaw＆Economics,2021,17,p．270－271．]非个人数据的可携是工业物联网场景的需求，有利于破除数据锁定效应。工业互联网场景中，企业间的数字鸿沟问题日益突出：数字技术很大程度上提升了头部企业数据控制能力，量[]SeeKrämerJ.PersonalDataPortabilityinthePlatformEconomy::EconomicImplicationsAndPolicyＲecommendations.JournalofCompetitionLaw＆Economics,2021,17,p．270－271．[]李剑、林轩、林秀芹：《数据访问和共享的规制路径研究—以欧盟〈数据法案（草案）〉为视角》，载《情报理论与实践》2022年第7期，第103页。[]SeeHelenaUrsic，UnfoldingtheNew-bornＲighttoDataPortability:FourGatewaystoDataSubjectControl，15SCＲIPTed42，64－66(2018)．2.公共数据的共享效率与要素价值释放GDPR规定的个人数据可携权虽明确提供了考虑他人利益的空间，但在某种程度上忽视了集体利益，公共数据的利用和可携被忽视[[]SeeGraefI，PetrocˇnikTandTombalTConceptualizingAutonomyinanEraofCollectiveDataProcessing：FromTheorytoPractice．DigitalSociety，2023[]SeeGraefI，PetrocˇnikTandTombalTConceptualizingAutonomyinanEraofCollectiveDataProcessing：FromTheorytoPractice．DigitalSociety，2023，2，pp．2-5．[]《乘数而上，重质求效—第二批“气象数据要素×”典型案例纵览》，载气象数据多类应用场景见中国气象局官网，/2011xwzx/2011xqxxw/2011xqxyw/202412/t20241217_6746323.html。3.跨领域协同中的“数据孤岛”治理有利于促进数据驱动的跨领域协同创新。打破“数据孤岛”、释放数据价值进而推动经济社会的持续发展是最终目的。在数据市场上，各主体之间相对分散。数据流通链条上的各个单位业务流程分割过于严格，各个部分的流程又相互独立，导致数据在不同流程间无法流通。且各个单位部门往往独立运作，拥有自己的数据系统和数据库。缺乏数据共享和交流机制。不同的应用程序和数据库也可能使用不同的技术平台和数据结构。若系统间缺乏集成和交互能力，数据无法自由流动，而是被局限在各自的系统中，则会形成数据孤岛。非个人数据可携权允许各类在不同主体之间自由流动，有助于传统数据孤岛的限制。欧盟《非个人数据自由流动框架条例》就通过禁止数据本地化要求，降低了企业在数据采集和处理上的重复成本，通过数据的高效流通，企业可以更快速地整合资源，优化生产流程，并推动跨行业协作。（二）制度缺位的多维表现1.立法结构中的“重安全、轻流通”失衡格局传统的“以保护促进流通”的数据治理方式已逐渐不能适应数据市场的需要，[[]参见商建刚：《从保护到流通：我国数据治理范式反思》，载《苏州大学学报（哲学社会科学版）》2024年第1期，第100－110页。]当前我国数据治理的立法框架呈现出明显的“重安全，轻流通”特征。但是现有的立法更加侧重的是“安全”价值的考虑，对“效率”价值的考量明显不足。现有的规范仍然围绕的是数据在静态保护和数据主权的维护，对于现在数据市场有较高关注度的跨主体、跨行业的数据流通所需要的动态治理机制很少涉及到。例如《数据安全法》第三章规定的“数据安全制度”中更多聚焦于静态数据安全的风险防控和部门监管职责，以及数据安全分类分层保护相关的规定，忽略了数据流动甚至跨境流动和传输中的安全性问题。数据控制者[]参见商建刚：《从保护到流通：我国数据治理范式反思》，载《苏州大学学报（哲学社会科学版）》2024年第1期，第100－110页。2.技术标准体系与监管机制之间的协同失效我国技术标准体系与监管机制之间存在明显的割裂与脱节，严重制约了数据可携权制度的落地。首先，在标准体系层面，目前由国家标准化管理委员会、工业与信息化部、网信办等主体主导制定的数据相关技术标准多以推荐性标准为主，缺乏强制性执行力，加上数据可携权实际上在不同领域合适的实践方案和实践效果其实存在巨大差别，[[]SeeMichaelS．Barr，AbigailDeHart＆AndrewKang，ConsumerAutonomyandPathwaystoPortabilityinBankingandFinancialServices，UniversityofMichiganCenteronFinance，Law＆PolicyWorkingPaper(WorkingPaperNo．1[]SeeMichaelS．Barr，AbigailDeHart＆AndrewKang，ConsumerAutonomyandPathwaystoPortabilityinBankingandFinancialServices，UniversityofMichiganCenteronFinance，Law＆PolicyWorkingPaper(WorkingPaperNo．1.Nov.2019)，https://ssrn.com/abstract=3483757orhttp://dx.D/10.2139/ssrn.监管机制的碎片化还导致数据控制者在实际执行数据迁移履行相关义务时，缺乏统一的合规依据。一些地方政府单位在开放政务数据迁移时，会给予数据安全的奥绿拒绝向下游企业或者科研机构提供数据访问接口，而市场监督部门则更需要数据的开放和数据要素流通的价值转化。监管目标与标准之间相互矛盾，这就使得企业陷入“数据不可以但又必须流通”的政策困境。这种缺乏系统治理体系的现状，使得数据标准制定和可携权制度供给需求长期处于脱节状态，严重压缩了可携权制度执行的有效空间。[[][]《基于可携带权的消费者数据流通模式研究报告》，载国家信息中心、国家电子政务外网管理中心官网，/sic/93/552/622/0529/20240529080857113684795_pc.html.3.私有协议的制度滥用与中小企业的适配困境因为缺乏强制互操作性标准与统一监管约束，头部平台常常通过制定私有数据协议强化技术壁垒。这些私有协议通常体现为非公开的接口标准、不透明的数据格式要求等。部分平台甚至通过合同条款或技术封锁手段对接口调用频率、数据存储位置、访问权限进行附加限制。下游的企业难以打破技术壁垒就不得不在数据的格式转换和数据的收集上重复投入成本，此种局面下非个人数据在市场上的流通陷入困境，产业链的数字化转型面临重重困境。在智能医疗设备类领域，有些厂商要求医院只能使用其制定的云端系统进行设备运行信息的采集和处理，医院不能自由迁移或者合并不同厂商设备间的数据，这就导致医疗系统内部“设备数据孤岛”的问题十分突出。这种为了拒绝数据交互的市场态度，不仅影响了医疗效率也阻碍了人工智能医学模型等场景的搭建和发展，不利于智能医疗技术的发展。而且与大型平台相比，中小企业常常因为缺乏足够的技术资源而难以适配各种各样复杂的接口，这种技术门槛对资源和技术有限的中小企业而言几乎无法逾越。最终结果是数据流通形成垄断结构，严重破坏数据要素公平流动的市场基础。上述这种私有协议滥用现象既损害了用户对数据的控制权，也加剧了数据的垄断和集中，扩大了中小企业和头部平台之间的数据鸿沟。在未来制度重塑过程中有关部门必须强化对私有协议合法边界的规制，借助技术标准法律化与平台义务制度化，构建包容、公平的数据可携生态体系，力图打破数据控制权的单边垄断局势。五、我国数据可携权的规范重塑（一）数据可携权规范重塑的基本原则1.权益平衡：用户、平台与公共利益多方平衡[[]王锡锌[]王锡锌：《个人信息可携权与数据治理的分配正义》，载《环球法律评论》2021年第6期，第14页。2.分类治理：区别对待个人数据与非个人数据[[][]此类相似论述详见王锡锌：《个人信息可携权与数据治理的分配正义》，载《环球法律评论》2021年第6期。3.安全可控：促进流通与信息保护的协同机制[[]参见张衠：《跨境数据流动的国际形势和中国路径》，载《信息安全与通信保密[]参见张衠：《跨境数据流动的国际形势和中国路径》，载《信息安全与通信保密》，2018年第12期，第21-26页。[]冯泽华、刘向东：《数据可携权的国际模式与中国进路》，载《青年记者》2023年第4期，第97页。[]参见赵精武：《个人信息匿名化的理论基础与制度建构》，载《中外法学》2024年第2期，第326-345页。（二）个人数据可携权的规范重塑1.明确数据权属与权利边界的分类立法[[]参见全培锋：《我国数据权利民法保护问题研究》，广西师范大学[]参见全培锋：《我国数据权利民法保护问题研究》，广西师范大学2021年硕士学位论文。[]孙跃元：《数据可携权权利客体研究：结构、效果与中国化》，载《河南财经政法大学学报》2022年第37期，第87页。2.制定统一技术标准，打破平台技术封锁平台主导下的接口私有化导致数据市场形成“二八”趋势：少数大型企业控制了大部分数据资源。[[]欧盟指出，虽然数据体量从2018年产生的33兆字节增长到2025年预计的175兆字节，但有百分之八十[]欧盟指出，虽然数据体量从2018年产生的33兆字节增长到2025年预计的175兆字节，但有百分之八十的工业数据从未被利用，隐藏着巨大的开发潜力。SeeEuropeanParliament.BoostingdatasharingintheEU:whatarethebenefits?，athttps://www.europarl.europa.eu/topics/en/article/20220331STO26411/boosting-data-sharing-in-the-eu-what-are-the-benefits.[]参见汪庆华：《数据可携带权的权利结构、法律效果与中国化》，载《中国法律评论》2021年第3期，第189－201页。数据的重复传输和迁移是数据价值不贬值的一个保障。所以在技术维度须建立统一的强制性国家标准，确保数据在各平台之间可以实现规范化传输和重复性利用。技术标准的规范化范围应当包括导出数据格式、接口的使用和转换等基本环节，只有全环节多方面的标准才能够保障数据迁移过程中的兼容性与安全性。同时标准化不应该仅仅是技术问题，也更应该成为法律问题。强制性国家标准的效力应当通过立法层面来进行确立，以此来构建更加平等透明的数据协同生态。同时，还可以考虑引入“互操作性例外”机制。对涉及国家安全、他人隐私或核心商业秘密的数据可以依法设置限制门槛。但此种限制的设定需要由平台来承担举证责任，防止平台滥用技术豁免来掩盖拒绝迁移、意图垄断数据的真实动机。对于头部平台利用其技术优势、市场主导地位限制用户数据流动的行为，也应纳入反垄断法与竞争政策的规制视野，避免数据集中引发市场控制与排他性接入风险。此外，统一标准的落实不应仅依赖立法条文的静态规定，更应配套建设可操作的技术工具。例如，可由国家主导研发，为中小平台提供低成本、可复用的技术服务支撑。3.构建数据市场监管体系，实现合规与效率共赢[[]参见南方都市报个人信息保护研究中心：《APP超频率调用权限情况严重仅一成承诺提供个人信息转移服务》，载腾讯网南方都市报官方账号2021年12月17日，/rain/a[]参见南方都市报个人信息保护研究中心：《APP超频率调用权限情况严重仅一成承诺提供个人信息转移服务》，载腾讯网南方都市报官方账号2021年12月17日，/rain/a/20211219A01PAV00，2025年3月27日最后访问。[]参见张新宝：《我国个人信息保护法立法主要矛盾研讨》，载《吉林大学社会科学学报》2018年第5期，第45-56页。[]参见丁晓东：《论数据携带权的属性、影响与中国应用》，载《法商研究》2020年第1期，第85页。[[]SeeKrämerJ，etal[]SeeKrämerJ，etal.MakingDataPortabilityMoreEffectivefortheDigitalEconomy，CentreonＲegulationinEurope，2020，pp．79－83．（三）非个人数据可携权的规范构建非个人数据的可携权制度是构建数据要素市场化流通体系的关键性支撑部分。与个人数据不同，非个人数据的权属结构更加复杂。它通常不会直接关联自然人的身份，但是它的经济价值更高，对于整个数字产业的牵引力也更强。非个人数据可携权制度的发展关系到整个数字经济体系中的产业协同、公共治理和资源配置的能力和实现效果。目前非个人数据还没有纳入到我国现行的数据可携权规定中，制度上的空白与实践中需求增长的张力不断扩大。本部分探究推动非个人数据可携权制度的建设，不仅是回应市场现实的必要举措，也是推动数据治理模式从侧重“风险防控”到关注“价值赋能”的关键节点。1.数据分类标准与场景化分级授权体系构建数据可携权的实践效果存在差异，在不同的场景下对个人信息的保护和对市场竞争的促进效果都不尽相同，[[]参见汪庆华[]参见汪庆华：《数据可携带权的权利结构、法律效果与中国化》，载《中国法律评论》,2021年第3期，第189-201页。对于那些由单一主体在封闭系统里采集并且没有经过深度加工的数据，可以把它们归类为“原始控制型数据”，例如工业机器人传感器采集的设备运行数据，这些数据的可携性应当更高，数据携带的审查也应该更宽松。而那些经过多主体协同处理、算法推理以及数据融合后生成的“复合衍生型数据”，例如平台对工业运行效率所做出的预测性分析结果，应该划分为需要与平台协商共同享有可携带权或者直接划分为平台主权的类别里。而那些政府和企业联合采集的数据，像环境监测数据、公共基础设施运行数据等，就应当纳入“公共协同型数据”类别。这类数据的可携应当给予政府一定程度的优先流通调配权，以此保障公共治理与社会服务的功能得以实现。而个人对此类数据的可携就应当受到更多限制，因为个人对此类数据的应用场景很少，更高标准的审查机制可以防止因为个人可携权的滥用导致公共数据的流失。在这一分类的基础之上，还需要同步构建场景化的分级授权机制。在那些低风险、低敏感度的数据迁移场景当中，可允许数据持有主体在备案的基础上直接进行迁移。在涉及商业秘密、关键设备运行指标、跨国平台流通等高风险场景里面，应该建立多方协商机制，设置明确的迁移范围、使用边界、数据保密责任以及法律救济路径等，以此来保障迁移行为的安全与合规。通过引入“分级迁移清单”制度，明确不同类别数据的可携强度、责任分担与监管方式，有助于提高数据迁移操作的确定性。2.技术互操作性规则的标准化与工具化支持制度能否有效推动非个人数据迁移，很大程度上取决于底层技术结构是否支持互联互通。在数据间接移转模式下，缺乏机器可读的数据格式标准是导致当前数据可携带权仅在银行、电信等少数行业中发挥效用的重要原因。[[]SeeDataprotectionasapillarofcitizens’empowermentandtheEU’sapproachtothedigitaltransition-twoyearsofapplicationoftheGeneralDataProtectionＲegulation，EUＲ-Lex(24Jun，2020)，athttps://eur-lex.europa.eu/eli/treaty/char_2016/oj/eng.]欧盟在《欧洲数字议程》（2010年）[]SeeDataprotectionasapillarofcitizens’empowermentandtheEU’sapproachtothedigitaltransition-twoyearsofapplicationoftheGeneralDataProtectionＲegulation，EUＲ-Lex(24Jun，2020)，athttps://eur-lex.europa.eu/eli/treaty/char_2016/oj/eng.[]SeeEuropeanCommission,“ADigitalAgendaforEurope”,COM(2010),245final/2,Brussels.2010.[]SeeDanielL.Rubinfeld/MichalS.Gal，“AccessBarrierstoBigData”，p.364.在我国为了推动非个人数据互操作性规则的构建，应当在依靠行业的协同能力，在行业主导的基础上引入国家法定强制运行机制体系。可以通过设立“数据可携的接口标准体系”来明确不同的行业中都可以通用的数据字段格式、通信协议、加密标准等。同时，还应该重视标准的工具化问题。标准的存在并不意味着迁移路径的实际可行，如果缺乏技术工具的支持，企业特别是中小企业依然难以完成标准接入。所以建议政府或者公共平台合力开发通用的数据迁移格式转化的中间程序，以此来实现格式转换等功能。此外，还可以建立“互操作能力评价体系”，对平台开放程度、接口质量、响应速度等进行定量评估。“技术合规评级制度”可以作为政府采购、行业准入、信贷支持等政策依据，推动形成技术互通的正向激励机制。3.多元市场主体利益的动态平衡非个人数据的可携行为通常涉及设备制造商、平台服务商、数据使用者、行业监管者等多元主体，其权利边界交错、数据贡献不一，导致数据可携行为难以简单归类为“单边控制权”。若制度设计无法精准识别不同主体的角色定位与实际利益诉求，极易在迁移过程中引发平台排斥、责任推诿等问题。数据迁移中最典型的利益冲突表现为：平台通过封闭数据接口维护用户粘性，而下游企业则希望基于历史数据构建独立模型、优化运营方案。有学者提出了“共同生成数据”的共享权利，数据共同生产的程度越高，对于其移转的限制就应当更少，以此作为平衡数据主体与数据持有者利益冲突的新方案。[[][]SeeCohenN.Ali－EliprinciplesforadataeconomyaDataEconomy－DatatransactionsandDatarights.PrinciplesforaDataEconomy，2021，pp．134－163．另外不同规模、能力与行业地位的数据主体在成本和收益上存在巨大差异，据一项研究表明，受GDPR改革的影响，欧盟中小IT企业的年度成本将会增加约3000-7200欧元，相当于企业年度平均IT预算的16%~40%。[[]参见参见金耀：《人工智能时代数据可携权的迭代转进》，载《苏州大学学报（哲学社会科学版）》，2025年第46期，第88页，[]参见参见金耀：《人工智能时代数据可携权的迭代转进》，载《苏州大学学报（哲学社会科学版）》，2025年第46期，第88页，ChristensenBlColciagoAEtroF'.etal.TheImpactoftheDataProtectionRegulationintheE.U.EuropeaninancialReview.2013,pp.15-16.六、结语本文主线以欧盟GDPR与《数据法案》的制度演进为参照，从个人数据可携权到非个人数据可携权的双重角度展开研究。在个人数据可携权层面，研究通过对我国数据可携权落地实施效果和域外法律的对比，将视角聚焦于《个人信息保护法》第四十五条规范体系的内在局限和实践当中面临的困境。研究通过对比GDPR的相关规则发现我国制度存在数据权属不明权利边界模糊、技术标准缺位、司法实践保守化倾向明显等问题。司法实践中法院常回避《个人信息保护法》直接适用，转而依赖《反不正当竞争法》的“商业道德”条款导致用户数据可携权的虚置。对此，本文提出“分层权益保护”框架。在非个人数据可携权层面，研究聚焦于借鉴欧盟《数据法案》带来的启示，通过扩展数据可携权的客体范围至非个人数据、建立强制互操作性标准、注重多方利益平衡等构建起数据分享有序的治理模式，为非个人数据的流通和可携提供了制度建设的启示。通过以上研究文章构建起了个人与非个人数据可携权的协同治理框架。但研究仍存在局限，未来可探索数据可携权主体扩展至企业平台等，同时可探索数据携带与流动监管的协同机制，推动数据可携权从理论建构向实践效能转化，最终实现数据要素安全可控与价值释放的平衡。

参考文献著作：王利明、程啸、朱虎：《中华人民共和国民法典人格权编释义》，中国法制出版社2020年版。梁慧星：《民法总论》，北京:法律出版社2017年版。程啸：《个人信息保护法理解与适用》，法律出版社2021年版。连玉明：《数权法1.0：数权的理论基础》，北京社会科学文献出版社2018年版。期刊文献：高富平、余超：《欧盟数据可携权评析》，载《大数据》2016年第4期。付新华：《数据可携权的欧美法律实践及本土化制度设计》，载《河北法学》2019年8月第8期。冯泽华、刘向东：《数据可携权的国际模式与中国进路》，载《青年记者》2023年第4期。方新军：《权利客体的概念及层次》，《法学研究》2010年第2期。吴沈括、柯晓薇：《欧盟〈数据法案〉的规范要旨与制度启示：以个人信息保护为视角》，载《个人信息保护》2024年第1期。辛勇飞：《中国数据治理规则体系构建：现状、挑战与展望》，载《人民论坛·学术前沿》2023年第6期。邢会强：《论数据可携权在我国的引入——以开放银行为视角》，载《政法论丛》2020年第2期。卓力雄：《数据携带权：基本概念，问题与中国应对》，载《行政法学研究》2019年第6期。沈岿：《数据治理与软法》，载《财经法学》2021年第1期。孙跃元：《数据可携权权利客体研究：结构、效果与中国化》，载《河南财经政法大学学报》2022年第37期。彭辉：《数据权属的逻辑结构与赋权边界——基于“公地悲剧”和“反公地悲剧”的视角》，载《比较法研究》2022年第1期。朱宝丽：《数据产权界定：多维视角与体系建构》，载《法学论坛》2019年第5期。李剑、林轩、林秀芹：《数据访问和共享的规制路径研究—以欧盟〈数据法案（草案）〉为视角》，载《情报理论与实践》2022年第7期。商建刚：《从保护到流通：我国数据治理范式反思》，载《苏州大学学报（哲学社会科学版）》2024年第1期。王锡锌：《个人信息可携权与数据治理的分配正义》，载《环球法律评论》2021年第6期。张衠：《跨境数据流动的国际形势和中国路径》，载《信息安全与通信保密》2018年第12期。赵精武：《个人信息匿名化的理论基础与制度建构》，载《中外法学》2024年第2期。汪庆华：《数据可携带权的权利结构、法律效果与中国化》，载《中国法律评论》2021年第3期。张新宝：《我国个人信息保护法立法主要矛盾研讨》，载《吉林大学社会科学学报》2018年第5期。丁晓东：《论数据携带权的属性、影响与中国应用》，载《法商研究》2020年第1期。金耀：《人工智能时代数据可携权的迭代转进》，载《苏州大学学报（哲学社会科学版）》2025年第2期。付新华：《数据可携的双重路径探析——以个人数据保护法与竞争法为核心》，载《河南大学学报（社会科学版）》2019年第5期。钱玉文，聂国庆：《个人信息可携带权的困境检视与规则优化》载《征信》2024年第7期。宋歌：《数据可携带权的解读与践行路径研究》，载《大连理工大学学报（社会科学版）》2024年第8期。尹飞、李冬：《论数据携带权在我国的适应性建构》，载《贵州师范大学学报（社会科学版）》2023年第5期。汤霞：《数据携带权的适用困局、纾解之道及本土建构》，载《行政法学研究》2023年第1期。郭江兰：《数据可携带权保护范式的分殊与中国方案》，载《北方法学》2022年16期。张浩然：《用户数据携带权益保障的制度路径》，载《知识产权》2022年第7期。柴瑞娟、田奥妮：《开放银行场景下引入数据可携权的风险化解与制度构建》，载《征信》2022年第3期。曹思依：《竞争法视角下的数据治理规范与阶段选择》，载《东南大学学报（这些社会科学版）》2021年第9期。金耀：《数据可携权的法律构造与本土构建》，载《法律科学（西北政法大学学报）》2021年第4期。化国宇、杨晨书：《数据可携带权的发展困境及本土化研究》，载《图书馆建设》2021年第4期。曾彩霞、朱雪忠：《欧盟数据可携权在规制数据垄断中的作用、局限及其启示——以数据准入为研究进路》，载《德国研究》2020年第1期。尚海涛：《论我国数据可携权的和缓化路径》，载《科技与法律》2020年第1期。邹军：《基于欧盟〈通用数据保护条例〉的个人数据跨境流动规制机制研究》，载《新闻大学》2019年第12期。冉从敬、张沫：《欧盟GDPR中数据可携权对中国的借鉴研究》，载《信息资源管理学报》2019年第2期。谢琳、曾俊森：《数据可携权之审视》，载《电子知识产权》2019年第1期。胡文华、孔华锋：《欧盟〈通用数据保护条例〉之中国效应及应对》，载《计算机应用与软件》2018年35期。陈华丽：《个人信息使用的三个关键点——以欧盟〈通用数据保护条例〉为视角的分析》，载《青年记者》2018年第27期。金晶：《欧盟