《个人数据保护法》之数据可携权：新加坡经验与中国法的应用

陈 喆 杨嘉宁

一、问题提出:新加坡数据可携权的基本定位

在全球化数字经济时代，数据作为信息流通的主要形式被赋予了极高的商业价值。新加坡作为全球高附加值信息通信应用中心，经过数年的发展已经探寻出了信息产业的新增长点，并成为信息强国之一。虽然在新冠疫情背景下全球经济呈现出疲软的态势，但是在新加坡智慧国家战略的推动下，其信息产业同环比仍保持在较高的数值：根据新加坡2022年度第三季度各行业同比环比增长情况可以看出，信息通信业同比增长6.2%，环比增长4.7%①MinistryofTradeandIndustrySingapore.MTIforecastsGDPgrowthof“around3.5PerCent”in2022and“0.5to2.5PerCent”in2023[EB/OL].(2022-11-23)[2022-11-28].https://www.mti.gov.sg/Resources/Economic-Survey-of-Singapore/2022/Economic-Survey-of-Singapore-Third-Quarter-2022.。产业的增速发展离不开法律制度的赋能，信息通信业亦是如此。

新加坡数据相关立法主要分为三个阶段。第一阶段为立法阶段。2012年，新加坡颁布了《个人数据保护法》（Personal Data Protection Act，以下简称PDPA），开启了个人数据保护的法律进程。第二阶段为配套完善阶段。2013年，第一个管理PDPA的机构——个人数据保护委员会（Per‐sonal Data Protection Committee，以 下 简 称PDPC）成立。2014年，PDPC开始与新加坡消费者协会、新加坡调解中心合作，为商家与用户提供调解服务。2015年，PDPC与亚太隐私管理局（Asia Pacific Privacy Authorities）共同举办了首届隐私意识周，第一次大范围地向公众普及新型数据保护。第三阶段为国际交流合作阶段。2016年，新加坡主持建立了东盟个人数据保护框架，加强了本地区的个人数据保护。2017年，PDPC启动了针对PDPA的公众咨询服务，对组织和自然人的疑问进行定期公开答复。2018年，新加坡参与了亚太经济合作组织跨境隐私规则制度和数据处理者隐私识别制度的制定。2019年，新加坡开始探索数据可携权对业务创新、市场竞争和消费者的影响，并准备以修正案的形式将其纳入PDPA。在国际领域，新加坡领导了东盟数据保护和隐私论坛，并在人工智能治理和伦理领域获得了信息社会世界峰会的最高奖项，获奖项目包括PDPC的人工智能治理框架模型。2020年，《个人数据保护法》修正案出台，数据可携权被正式纳入新加坡法律体系。同年，新加坡率先公布了《东盟数据管理框架》和《东盟跨境数动据流示范合同条款》，为东盟企业在数据相关领域的业务操作提供了关键意见和参考依据。在国际合作层面，新加坡与智利、新西兰签署了《数字经济伙伴协定》（Digital Economy Partner‐ship Agreement），与澳大利亚签署了《新加坡—澳大利亚数字经济协定》（Singapore-Australia Digital Economy Agreement）。2022年，新加坡立足于数据保护和安全实践，开发了人工智能验证、匿名化、生物识别、隐私增强技术监管沙盒等工具，以期降低数据使用时的风险②Personal Data Protection Commission.Looking back on 10 years of our data protection journey[EB/OL].(2022-12-01)[2022-12-05].https://www.pdpc.gov.sg/-/media/Files/PDPC/anniversary2022/index.html.。

近年来，中国实施国家大数据战略，但理论界和实务界仍缺乏对数据可携权问题的深度思考。目前，影响中国数据可携权发展的主要问题在于立法供给不足，既有重点条款的缺失，也有制度设计的不完善。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）没有明确界定数据可携权的数据类型与适用范围，仅使用了一般性的术语表达赋予权利与义务。在相关法规中，中国保护的数据对象范围较窄，未能充分发挥活动数据、衍生数据、业务联系数据对数字经济发展的作用，更不能达到“促进个人信息合理利用”的立法宗旨。整体而言，中国现行法律存在规定模糊、实践缺乏可操作性等立法技术问题。目前，理论界对数据可携权的研究主要聚焦于引进数据可携权的必要性、数据可携权威胁数据安全的担忧及数据可携权对反垄断的作用③谢琳，曾俊森.数据可携权之审视[J].电子知识产权，2019（1）：28-39.。在域外法借鉴上也主要聚焦于欧盟与美国的做法，鲜有参考新加坡立法模式的研究。综合而言，现有研究没有认识到新加坡立法经验对数据流通的重要意义，没有考虑到对不同数据类型进行分类保护管理，也没有构想出符合中国数据市场发展利益的具体制度设计。

鉴于此，本文从PDPA实施的先进经验入手，剖析中国数据可携权在实施中需要解决的关键问题，并在此基础上对数据可携权法律体系的完善提出建议。本文将以协调“保护个人隐私”“促进数据流通”“维护国家安全”等法益为主线，对PDPA的立法特色进行精细研究与梳理，从学理角度深度剖析新兴权利的结构，从实践角度分析数据可携权的正当性与局限性，最后针对中国数据可携权的立法现状进行比较，提出符合中国数据立法领域发展的建设路径。

二、实践经验:新加坡数据可携权的立法特色

（一）数据保护体制立法系统化

新加坡采用一部专门性法律结合实施细则的模式进行了体系化立法（见表1）。2012年10月5日，PDPA经新加坡议会表决通过并于同年12月7日正式颁布。整部法律共计10章，正文部分共68个条文，并附有9个附表。其内容涵盖了预备部分，PDPA管理制度，保护个人信息的一般规则，收集、使用和披露个人信息，查阅以及改正个人信息，个人信息的保护，执行、上诉机制，禁止来电处及总论。根据表1，6部独立的实施细则规定了PDPA涵盖的重点领域，其中包括：数据泄漏通知、违法构成、禁止调用注册表处、执行和上诉等①马治国，张磊.新加坡个人信息保护的立法模式及对中国的启示[J].上海交通大学学报（哲学社会科学版），2015（5）：89-97.。此外，还有4部附属法例（subsidiary legislation），它们分别规定了PDPA能够适用的具体法定机构（statutory bodies）、执法机构（prescribes law enforcement agencies）和医疗机构（prescribed healthcare bodies）。这种体系化的立法能够使法官和当事人准确高效地定位，从而满足司法高效的需求。从立法技术上来说，专门性立法与实施细则的结合形成了详略得当的结构，作为补充性的实施细则也可根据时代变化、行业需求、科技革新进行及时调整，而不影响PDPA的稳定性。

表1 新加坡个人数据保护法律体系

（二）数据可携权向规范性转变

数据可携权的出现来自数字经济的发展，并被欧盟《一般数据保护条例》（General Data Pro‐tection Regulation）固定下来②金晶.欧盟《一般数据保护条例》：演进、要点与疑义[J].欧洲研究，2018（4）：1-26.。数据可携权带有功能主义的立法特征和保护多重法益的立法目的。不同的主体对数据享有不同的权利，承担不同的义务：数据主体在信息网络服务中产生数据，对数据具有支配权；数据控制者与处理者通常为信息处理平台，具有控制信息流通、处理信息、获得收益的权利和保护信息安全的义务；国家作为保护本国及本国公民数据安全的最后一道屏障，具有数据主权。然而，上述权利义务在未通过立法确定下来前，只能由其他法律或作为自然权利与义务进行规制，权利人也会因此无法找到准确的法律依据而承担不利的后果。“有法感，无法实”的现象主要体现在“数据”与“信息”二者的涵摄范围不同，这种情况导致了部分数据无法延伸到“个人信息自决权”，从而无法使自身权利得到保障。数据可携权调和了个人隐私保护需要、商业流通需求与国家安全保护等法益，是数据应用领域中的一个重要场域。可以说，数据可携权的完备程度直接体现了一个国家数据法治化的程度和水平。新加坡所设立的数据可携权不仅在体系上丰富了PDPA第6章“数据泄漏”的内容，更在整个法律层面赋予了各类数据主体权利，明确了相关义务，并将其精确切割。数据可携权规范性的意义在于它对外衔接新型数据发展的模式，对内明晰数据领域的责任分配，为个人数据保护提供立法支撑。

（三）数据可携权制度催生专门机构设立

个人数据保护的需要是全方位的，不仅涉及事后救济性质的诉讼保护，还有事前预防性质的保护方式。如果仅有司法活动与诉讼成本投入这个新兴领域，法院则会被置于两难境地：各个难度不一的案件全部涌进法院，不仅占用大量司法资源，而且不能使当事人及时获得救济，最终就会造成诉累①李宜展，刘细文，李泽霞，等.科学数据安全边界概念模型研究：基于利益相关者视角[J].中国科学基金，2022（2）：339-347.。与此同时，司法纠纷外的需求也不能获得满足。国家不可能将科普建议、学术研究、咨询性服务的功能强加于司法部门。相应地，司法部门也无力承载更多元化的必要性需求。因此，PDPA在第2章规定了专门的个人信息保护机构“新加坡个人数据保护委员会”（PDPC），用以促进和加强个人数据保护，在企业和消费者间建立信任的交易环境，从而为新加坡经济的蓬勃发展作出贡献。该机构于2013年1月2日成立，对内负责处理个人数据保护问题，对外则在国际上代表新加坡政府处理相关事宜。PDPC下设的咨询委员会负责推行与保障个人信息相关政策落实：在前端，制定咨询指引以帮助机构了解并遵守PDPA；在中端，审查组织的数据保护实践，并在必要时发布合规决定或指引；在后端，与行业监管部门合作，监督各个领域的数据合规性。在事后救济层面，它还拥有指示权、复审权及调查权。PDPC的设置无疑分摊了司法机关处理个人数据争议的压力。

（四）数据可携权采取列举式立法

PDPA与中国《个人信息保护法》的立法方式存在一定差异。新加坡把个人数据保护的关联内容全部囊括其中，并针对每个主题内容的各个面向都设定了对应规则。数据可携权中较为重要的条款：数据可携权适用条件、不得传输数据的情况、传送个人数据的前提条件与相关义务、保存个人数据的适用条件与要求，都细化到了具体情形。需要注意的是，各主题项下的规则及情形均为罗列式，而非概括式。涉及主题内容的情形都被提炼出来，最终形成了一套“行为范式的规则集合体”②马治国，张磊.新加坡个人信息保护的立法模式及对中国的启示[J].上海交通大学学报，2015（5）：89-97.。由此可见，新加坡对此已经具有较为充分的实践，并形成了稳定的规则说明书。相较而言，中国只规定了数据主体具有查阅权、复制权与转移权，以及个人数据处理者具有提供数据转移途径的义务，并没有总结出常见情形。数据可携权制度设置上的模糊规定可能会导致其沦为一项倡导性规定，从而不能达到数据利用和数据保护的立法目的。就此差距，可以考虑构建符合中国发展需求的数据可携权范式，在关键条文上进行详细化阐释。

三、学理阐释:新加坡数据可携权的权利结构

（一）数据可携权渊源及权属定性

新兴权利的出现必须有其茁壮成长的土壤，明晰数据可携权的法权渊源是至关重要的一步③劳东燕.“人脸识别第一案”判决的法理分析[J].环球法律评论，2022（1）：146-161.。新旧更替的时代往往会催生新型权利的出现。在大数据时代，人们享受着数据带来的红利，同时也备受公共领域与私人领域交叉的威胁。人格尊严不是空洞的口号，而是法定的人格利益的延伸④卓力雄.数据携带权：基本概念，问题与中国应对[J].行政法学研究，2019（6）：129-144.。信息时代，数据空间的收集权、使用权、披露权、携带权均是对网络平台中人格尊严的保护。法律需要通过赋权的方式加强对数据的自主治理，使一个人拥有对自己所产生的数据和隐私的控制权。

数据作为信息时代的细胞，影响着个人信息的收集、携转与处理。企业作为数据的处理者享有大量的数据资源，在趋利的本质属性下，数据型企业的运作逐步渗透到私人领域，使个人隐私受到了前所未有的侵害。著名哲学家卢奇亚诺·弗洛瑞迪称，信息传播科技是一种再本化的科技，它最明显的方式就是正在重新本体化人类所处的这个“信息圈”，通过改变多元主体深植于其中的信息权及其互动环境的本质，愈益引发严重的信息隐私问题①李超.论消费者评价数据利益的合理分配[J].知识产权，2022（7）：70-90.。可以看出，信息传播科技催生了与数据有关的多方主体的出现，并按照利用数据的方式进行细化分工。但是，多方主体并不能适应传统的权利义务关系，新兴的权利也不能得到有效保护。于是，数据可携权的创设满足了信息时代下给数据主体赋权的需要，大大促进了数据处理者创新产品和服务，同时也防止了信息通信行业的垄断行为。

数据可携权作为个人信息权的子权利，其权利类型在学界一直备受争议。有学者认为数据可携权属于财产权，数据主体具备按照个人意愿合法处置个人数据的权利。例如，数据可携权给予了数据主体在多个数据控制者中选择的权利。数据主体可以在主动选择的过程中被间接赋予议价的权利，从而向经济效益更高的数据平台流通。此外，PDPA还规定了数据收费标准，即由数据接收者承担一定的数据携转费用。该制度变相说明了数据可以给数据处理者带来一定的财产利益。

诚然，数据可携权可以体现一定的财产利益，具有财产权的部分属性，但是该部分属性不可全部概括为数据可携权的特征②付新华.数据可携权的欧美法律实践及本土化制度设计[J].河北法学，2019（8）：157-168.。其一，个人数据与数据主体的不可分离性决定了脱离数据主体的个人数据不具备商业价值，从而不能为数据主体提供财产利益。若一项权利需要依靠载体才能获得价值，那它就不是传统意义上的财产权。其二，PDPA保护的是可识别的个人数据，体现的是数据主体的人格特质，具备一定的人格属性。个人数据与个人的线上人格（digital personality）紧密相连，碎片化的数据整合到一起即可在后台形成人格画像。数据可携权赋予了个人在不同平台携转数据的权利，个人可以选择在不同定位的平台上展示自己的多面性。因此，该项权利不仅是保护个人隐私的有利屏障，而且更是多样化人格的体现。数据可携权融合了人格权与财产权，具备二者的部分主要属性，但不能完全纳入其中。鉴于此，数据可携权可被评价为一种新型个人权利。

（二）数据可携权的权利构成及特征

1.数据可携权的权利构成

数据可携权的权利基础在微观层面上是对个人隐私权的保护，在宏观层面是对国家安全的维护。从经济效益出发，数据可携权还是对数据的充分利用和企业创新的赋能。这与PDPA在第26G条明确的赋权目标不谋而合。立法者一方面希望提升个人对自身数据的自决（antonomy）和控制力（control），另一方面希望通过携转数据激发使用和创新的频率，以促进产品和服务的开发、提升和优化。

数据可携权的主体必须是合同的授权方，如账户的所有人、保单的持有者等。PDPA在第6章规定了数据可携权的权利内容。数据主体有权请求移植机构将指明的自身数据携转至接收机构处。该项权利行使的前提是，数据携带权需要符合先前制定的规定，并且在收到数据携带要求时，移植机构与数据主体具有持续的关系。需要注意的是，数据可携权所指向的数据必须以机器可读（machine-readable format）的方式传送。目前，PDPA没有强制要求数据携转者必须以互相兼容的数据系统移送数据。数据可携权的阻却事由主要包括以下五点：威胁第三人的安全、身体或精神健康，对数据主体的安全、身体或精神健康造成伤害，违反国家利益，接收组织是不合格的主体，携转对象为PDPC规定的禁止传输使用的数据。

数据涵盖的范围主要包括三类：个人提供给组织的数据（user provided data），使用组织产品或服务时收集的个人活动数据（user activity data）和业务联系信息（business contact information）。业务联系信息是新加坡特有的数据类型，这是基于便利本国商业联系的目的而设定的。它在PDPA中被具体化为某一自然主体的姓名、职位信息、商用电话号码、工作地址、电子邮件地址及其他非私人用途的信息。PDPC在《对数据可携权的回复》中特别提到，商业秘密和衍生数据（derived data）均不包含在数据可携权的法定权利对象范围内①Personal Data Protection Commission.Response to feedback on the public consultation on proposed data portability and data innovation provisions[EB/OL].(2020-01-20)[2022-06-12].https://www.pdpc.gov.sg/news-and-events/announcements/2020/01/response-to-public-consult-ondp-and-di.。因为商业秘密的泄露有损组织的竞争优势，衍生数据是基于特定算法产生的新数据，可能带来过度挖掘个人隐私的风险。PDPA有关数据可携权的规定仅适用于数据主体同意或合同规定的情况，对于其他处理情形下的可携权更强调自愿性与鼓励性，而不要求立法与监管的介入。因此，接受者在一定范围内可以获取个人衍生数据，但需要以数据接收者和数据主体向数据移植者支付一定的对价为条件②王锡锌.个人信息可携权与数据治理的分配正义[J].环球法律评论，2021（6）：5-22.。

此外，PDPC根据数据类型建立了一套标准的数据白名单（white-listed dataset），旨在降低企业的合规成本并为个人提供确定的数据可携权利清单。每一份清单均会与特定行业协会协商，根据不同需求制作数据库。该份白名单包括数据携转请求模型、携转时间大纲、数据格式、传输协议、认证协议和网络安全标准。在PDPC发布每一项规制文书前，各个领域的白名单都需要与业界或消费者团体进行合作制定、试行、测试、调整，以期跟上技术进步和行业惯例的更新。

2.数据可携权特性之隐私与流通的平衡

时代的进步使人们对于分享数据触手可及，科技为共享数据信息提供了各种便捷化的载体。但数据可携权中涉第三人数据的处理一直备受争议。如拍摄主体的一条视频既可以为用户提供多元的服务，也可能使无意入镜的第三人隐私泄露。这类数据包含第三人的生物特征、轨迹数据及关系链数据，很可能作为数据处理者市场推广的重点对象。因此，作为一种共有数据，不加限制地将共享数据作为一个整体进行携转不利于对第三人隐私的保护③张建文，高宁宁.欧盟数据可携权下涉他数据转移的问题研究[J].重庆邮电大学学报（社会科学版），2021（3）：33-40.。

在平衡第三人隐私权与数据可携权的便捷性时，新加坡立法选择了限缩携转条件的方式。PDPA认为，涉第三人数据在提供合理保护的前提下可被携转，并且此类数据的携转无须第三人同意。官方文件中使用了平衡的（balanced）、合理的（reasonable）、切合实际的（pragmatic）等限定语修饰携转的条件。通过列举的方式确保涉第三人数据必须在请求方的控制之下，请求的提出是基于请求方个人或家庭目的。收集第三人的数据是为了提供请求方已经同意的产品或服务，不是基于向第三人推广等其他目的。如此，新加坡既实现了数据自由流通的要求、企业节约数据处理成本的需求，也解决了涉第三人隐私保护的需要。

3.数据可携权与其他权利的衔接

数据可携权位于PDPA第6章中的增加条款，从第26F条起至第26G条止。依据系统解释的方法，数据可携权与前后文中的其他权利有较强的衔接性。PDPA在第5章分别规定了数据主体拥有数据访问权、数据更正权和数据副本保存权。从立法逻辑上解释，访问权、更正权、副本保存权是数据可携权的前提。以上三种权利保障了用户的知情权，赋予了用户监管数据处理者使用数据的权利。例如，数据访问权的权利内容为数据处理的目的、内容、使用方式、存储时间等。用户可以自行监测数据处理者的处理行为是否合规，确定其是否符合最小化和必要性使用的标准。区别于他国立法，PDPA在第21条单独规定了数据主体的副本获取权，即数据移植机构单独提供一份副本给数据主体，供数据主体查看数据收集的范围和应用方式。新加坡采取了数据可携权外延缩小的立法模式，用数据获取权强调个人对自身数据的控制，将数据可携权的重点放在企业的开发利用上。

数据可携权与知识产权保护存在一定的冲突。知识产权保护的是作品，发明、实用新型、外观设计，商标，以及其他智力成果，数据主体要求携转的数据可能与之有竞合的可能性。PDPC在《对数据可携权的回复》中强调，知识产权不能作为拒绝携转数据的理由①Personal Data Protection Commission.Response to feedback on the public consultation on proposed data portability and data innovation provisions[EB/OL].(2020-01-20)[2022-06-12].https://www.pdpc.gov.sg/news-and-events/announcements/2020/01/response-to-public-consult-ondp-and-di.。可见，新加坡将数据可携权的优先性置于保护知识产权之上。但是，数据可携权的优先性是有限度的。一方面，数据移植机构所提供的数据限定为“用户主动提供的”，这一范围阻止了向竞争对手无限披露知识产权相关信息的可能性；另一方面，公平获酬的方法可以解决二者间利益冲突的问题，即在不侵犯商业秘密的前提下，向数据移植机构支付一定报酬，以期达到知识产权与数据可携权之间的利益平衡②化国宇，杨晨书.数据可携带权的发展困境及本土化研究[J].图书馆建设，2021（4）：113-122.。这种利益填平的方式有利于保障知识产权人的权利，也不会造成知识产权人与数据接收组织间利益分配矛盾的激化。

四、新加坡经验:设置数据可携权的实践效果

（一）数据可携权的正当性

1.正当性之一：个人层面，数据控制力提升

数据可携权的设立是为了提升个人对数据的控制力，而不是让数据主体与数据处理者之进行力量博弈。对比数据可携权设立前后，数据主体拥有了事实上自由选择数据控制者的权利，变相降低了数据主体对原有平台的用户黏性，从而提升了摆脱数据锁定的能力。让数据主体“重获选择的自由”会变相加强数据主体对数据处理者的信任，提升对自身数据的风险控制能力。

从数据主体用户体验的角度出发，此次赋权能够使用户的人格权得以充分保障。PDPC认为，个人数据与线上人格之间具有密切的联系。这些碎片化的个人数据在经过加工处理后，可以呈现出数据主体的线上人格，亦被学者称为数据主体在数据空间的人格反映③王若曦，夏燕.数据可携权的争议与制度反思[J].信息安全研究，2021（11）：1063-1070.。虽然如今数据主体可以在微信朋友圈、小红书、哔哩哔哩等应用程序中展示个人生活，但是用户请求数据可携权前，购物软件中的商铺注册年龄、用户评分、信誉数据等数据并不能实现平台间互通，在数据主体转移平台时会将先前积累的数据彻底归零。当商家在发现服务水平更优、更能全面展示自身个性的平台时，往往会因数据投入的沉没成本过高而选择放弃。数据可携权赋予了数据主体决定以何种方式处理自身数据的能力，允许数据主体以自身喜好展示多面化的自己，这恰恰满足了对数据主体人格自由的保障。

2.正当性之二：市场层面，破除多重数据封锁

数据可携权为打破数据市场垄断提供了解决思路。如前文所述，数据处理者掌握着大量的数据资源，相较于数据主体具有更高的优势地位。为了促进数据市场的公平竞争，降低数据携转成本、打破数据锁定效应成为了因应之策④朱振.捍卫权利模式：个人信息保护中的公共性与权利[J].环球法律评论，2022（1）：21-35.。数据的准入障碍主要分为技术障碍和市场障碍。

区别于传统行业，信息企业需要具备强大的数据收集和分析能力。此类能力的提升必须依托成熟的算法技术，即在企业拥有的数据库内提取出兼备可用性和高质量的数据。算法技术的迭代升级需要雄厚的技术开发资金支持，这足以使新兴的信息企业被拒之市场门外。除此之外，信息企业数据存储和传输设备的兼容开发成本或成为另一重阻碍。鉴于此，PDPA目前只提出了机器可读的要求，并没有明确数据存储和传输格式的强制性标准。PDPC在《对数据可携权的回复》中提到，具体的技术携转标准将与各行业、各类企业协商后出台。这种做法无疑给新兴信息企业开发相关技术提供了充足的准备时间，并给予了大型企业内部合规审查的缓冲期限。

信息市场上的障碍主要指的是马太效应。市面上现有的信息企业已然具有稳定的用户群体、海量的数据客体和成熟的分析工具。基于规模经济的原理，生产部门的规模扩大可以降低整个企业的生产成本。新兴企业在进入市场初期时，难以获得一定数量的可用数据，从而难以使用户携转至新兴企业。此外，新企业试图加入行业内部时，已成规模的企业基于加强垄断地位的目的，通常会提高技术准入标准、数据许可条件以封锁市场准入。数据可携权的应用可以有效打破市场准入门槛。用户通过请求将个人数据携转至新兴企业处，无须通过“烧钱”等发展模式即可扩大其可用数据的供给，为后期数据处理提供必要的支撑①邢会强.个人金融信息保护法的定位与定向[J].当代法学，2022（3）：100-112.。由此可见，数据可携权是从数据供给源头着手，降低数据准入壁垒，促进了数据自由流通。

3.正当性之三：社会治理层面，事前预防与事后救济并重

新加坡立法将信息义务组织的行为范式与违法行径的应对均规定在了PDPA中，形成了事前预防与事后救济并重的立法模式②马治国，张磊.新加坡个人信息保护的立法模式及对中国的启示[J].上海交通大学学报（哲学社会科学版），2015（5）：89-97.。从篇章体例上来看，PDPA的第3章到第6章规定了应如何处理个人数据。第3章规定了保护个人数据的一般规则和责任，第4章规定了信息收集、使用、披露的具体规则，第5章规定了数据主体的获取权、更正权和副本保存权，第6章规定了个人数据的预防性保护规则，如准确性标准、境外数据携转要求、数据泄露的通知。上述范式的规定将信息义务组织的行为准则确定下来，汇总成一份“行为规范书”，起到了预防性保护的作用，使信息义务组织处理数据的行为符合法律规定，并与现实相对接。新加坡个人数据保护委员会除了解决个人数据纠纷，还承担为个人和企业提供咨询服务、开展相关领域学术研究、提升个人数据保护意识等职能。委员会的日常工作旨在普及PDPA，为提升个人权利意识和提升企业数据合规水平作出了突出贡献。

PDPA在第9C章和第9D章规定了救济式保护模式。第48G条赋予了个人数据保护委员会调解的功能，即替代性争议解决方案。个人数据保护委员会可以根据第48H条和第48I条在数据主体的申请下行使复审权和指使权。第48P条规定可以向个人信息保护委员会提起上诉，也可以根据第48Q条向高等法庭提起上诉。信息义务组织可以根据第51条、第52条、第55条及第56条的规定承担相应的刑事责任。如上所述，PDPA所构建的多元化救济机制不仅包含了民事程序和刑事程序，还将替代性纠纷解决机制纳入其中。个人数据保护委员会承担复审职能，协助司法部门处理个人数据保护的争议，分摊了部分司法压力，从而使新加坡数据保护兼备效率与公平。

（二）数据可携权的三大局限

1.局限之一：企业层面，创新门槛提高

虽然目前新加坡并没有要求数据可携权应当实现无障碍接口和企业内部合规审查，但是这将在未来成为一个必备的发展趋势。许多企业担心强制性的接口设置和严格的合规审查将加剧行业内部不公平发展的可能性，给新兴企业带来更大的生存压力③卢家银.论隐私自治：数据迁移权的起源、挑战与利益平衡[J].新闻与传播研究，2019（8）：71-88，127-128.。对于已经具备一定市场规模的行业巨头企业而言，开发数据可携的技术、制定企业内部规范无须花费过多的人力物力。但是对于新兴企业而言，在初创期存活下来的前提是具有可与现有企业相抗衡的业务水平。过多要求新兴企业花费大量资金与时间于隐私政策制定、数据可携技术配套设计，不符合经济规律，也不利于鼓励企业创新与行业发展。此外，数据排他性产生的后续携转成本会抑制市场进入。在数据可携权背景下，只有兼具创新性和低成本携转的企业才能够获取生存空间。然而，在消费者价格已经归零的市场中，克服市场转换成本具有极高的挑战性。新兴企业基于“成本—回报”的考虑难以将现有资源投入到市场中，大规模企业基于鲶鱼效应缺乏动力开发新产品和新服务，最终将导致整个行业创新动力不足。

这种基于“锁定效应”的担忧仅具有一定的合理性④丁晓东.论数据携带权的属性、影响与中国应用[J].法商研究，2020（1）：73-86.。从垄断角度出发，先进入市场的企业可能会采取提高行业准入门槛等方式将用户固定在某几家企业中。但是，这种不当封锁行为可以由反垄断法进行规制，通过为信息行业中的垄断行为设立权利边界，促成互联网企业间的良性竞争。解决了用户被迫锁定的问题，前文的担忧从自由竞争的市场角度看也不能成立。没有回声的空谷不值得纵身一跃。对于已经形成成熟产业的红海市场，新兴企业鲜有进行重新开发的实力和勇气。数据可携权对于企业而言，是尚未成熟的行业和领域是最佳的试验场地。数据在流转过程中，经营者可以通过分析工具的运用不断满足用户的需求，从而吸引更多的用户。最终，在反馈正循环的过程中培育自身的优势，以领先的技术水平和服务能力回馈市场。

2.局限之二：治理层面，数据安全受威胁

数据可携权可能带来的数据安全威胁主要包括两点：流通性风险的提高与跨境数据携转。针对流通性风险而言，这是由数据可携的技术标准所决定的。在数据携转的启动环节，身份验证的假冒问题最为突出。不法分子通常会以数据可携权的名义，通过盗用验证账户、瘫痪密钥等方式借机行侵犯他人隐私之实。在数据携转的过程中，数据处理者为了便利数据的传输，通常需要设置更多的访问接口，允许更多类型的服务器从中提取相应数据。接口数量的增多与数据泄露的风险呈正相关关系，数据兼容性的提升不可避免地带来恶意攻击数据处理者服务器的可能①谢蔚，李文静.比例原则视角下数据可携权之适用路径[J].湖南大学学报（社会科学版），2022（1）：140-146.。在数据携转的下载过程中，用户可以一次性打包下载所有储存在数据处理者服务器内的数据，无须针对某一类获得单独许可。这将大幅降低数据侵犯者的信息获取成本，给数据处理者带来更高的数据安全要求。

数据可携权在跨境携转时会带来更大的不确定性和数据泄露风险。个人的数据或许不包括涉及国家安全的重要信息，但是随着数据量的扩大，数据主体可以聚合成新的数据元和数据集并形成整合型隐私②孙跃元.数据可携权权利客体研究:结构、效果与中国化[J].河南财经政法大学学报，2022（3）：78-90.。这些数据集在一定程度上能够反映并分析出某一族群、社会、国家的政治、经济、文化形态③卢家银.论隐私自治：数据迁移权的起源、挑战与利益平衡[J].新闻与传播研究，2019（8）：71-88，127-128.。海量数据的跨境携转不可避免地会影响国家安全，可能会被其他国家利用为制约本国发展的有力武器。但是，跨境携转并非实质上不可行。PDPA在第26条规定，组织原则上不得将任何个人数据携转到新加坡以外的国家或地区，但是数据接收机构所在国提供了与本法规定相当的保护标准的除外。这种一般适用标准加豁免情形的规定，为必要的数据跨境安全流通提供了保障。

3.局限之三：应用层面，数据种类不全面

在数据使用链条中共包含三大类数据：第一类是数据主体所提供的个人数据，第二类是对数据主体在组织中留下的行为痕迹进行分析所得的活动数据，第三类数据建立在分析前两类数据之上，被称为衍生数据。新加坡在立法时明确了个人提供的数据和活动数据是数据可携权的构成部分，但没有明确衍生数据是否包含在内。然而，衍生数据是三类数据中最富有价值的数据④曾彩霞，朱雪忠.欧盟数据可携权在规制数据垄断中的作用、局限及其启示：以数据准入为研究进路[J].德国研究，2020（1）：133-147，164.。数据控制者可以通过衍生数据分析出用户的真实需求，按需提高自身的产品和服务水平。同时，衍生数据对于算法的提升具有较大帮助，它的质量和可用性远远高于用户提供的个人数据和活动数据，算法的信息抓取能力和分析能力也会因此取得更精确的效果。在何种情形之下衍生数据可作为数据携转的对象，这一问题尚存讨论空间。

五、规制之策:中国数据可携权制度的建设路径

（一）中国数据可携权相关法律现状

1.大数据战略与总体国家安全观背景下的数据可携权立法

2015年，党的十八届五中全会首次提出了要实施国家大数据战略，各国家机关据此开展了有关数据发展的研究，如2015年国务院印发的《促进大数据发展行动纲要》，2016年中共中央办公厅和国务院办公厅联合印发的《国家信息化战略发展纲要》等。在数据领域立法上，中国也逐步加快相应进度。《中华人民共和国网络安全法》（以下简称《网络安全法》《电信与互联网用户个人信息保护规定》等陆续出台，《个人信息保护法》于2021年11月1日正式生效。2022年，中国在数据安全与网络安全领域的立法成果呈现井喷式的增长。2022年上半年，中国共出台了32项国家政策法规、22项重点行业政策、28项地方政策规章、34项国家技术标准、27项重点领域报告，如《“十四五”数字经济发展规划》《网络安全审查办法》《信息安全技术 网络数据处理安全要求》《数据安全治理白皮书4.0》等。由此可见，中国越来越重视数据的发展，并在立法上呈现逐渐成熟的态势。

2019年11月11日，工业和信息化部印发《携号转网服务管理规定》，标志着数据可携权第一次全国范围内的实践。携号转网是指在不更换号码的情况下，将数据携转至另一电信运营商之下，用户享受新接收者提供的服务。在携号转网试点时，社会针对此项举措产生了热议，其中不乏尖锐的批评声音。然而，该项政策实施至今，消费者、电信行业、国家对此均做出了肯定的反馈。对于消费者而言，携号转网减少了用户的转网成本，提供了选择更优质服务的机会。对于电信行业而言，此项措施可以有效打破电信运营商的优势地位，促进市场竞争①丁晓东.论数据携带权的属性、影响与中国应用[J].法商研究，2020（1）：73-86.。对于国家而言，这也无疑节约了号码资源。据工业和信息化部披露，截至2020年12月14日，中国携号转网的用户已达1700万人②中华人民共和国工业和信息化部信息通信管理局.工业和信息化部召开电信服务质量专题座谈会[EB/OL].(2020-12-16)[2022-06-12].https://www.miit.gov.cn/xwdt/gxdt/ldhd/art/2020/art_0f3640fcfb2d42ceaef1f31b9a346a28.html.。

《个人信息保护法》第四十五条规定了信息主体拥有查阅权、复制权及个人信息转移权。信息主体可以先行查阅信息处理者控制下的数据，并有权将个人信息复制到其他处理者的服务器，这与新加坡PDPA中数据可携权的权利内容相对应。

2.中国与新加坡数据可携权重点条款比较分析

（1）中国与新加坡有关数据可携权重点条款的差别究其根本是立法基本原则不同。各国数据保护法案均强调“个人对数据拥有控制权”和“数据安全”等法益，又根据本国国情，将不同法益按照优先顺序进行了排列。中国在《个人信息保护法》第一条中规定，本法制定的目的是保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。但是结合《网络安全法》可以看出，中国更强调网络安全，即维护网络空间主权和国家安全及社会公共利益。相较于此，数据利用与创新、个人更高层次的信息权益均处于低位。而新加坡PDPA采取了原则上允许、有条件禁止的规定③金耀.数据可携权的法律构造与本土构建[J].法律科学（西北政法大学学报），2021（4）：105-116.，其目标是鼓励个人数据的流通，加强企业对数据的开发利用和自由竞争。

（2）中国保护的数据对象范围较窄。根据《信息安全技术 个人信息安全规范》第8.6条规定，根据个人信息主体的请求，个人信息控制者可以为个人信息主体提供获取以下类型个人信息副本的办法，或在技术可行的前提下直接将以下类型个人信息的副本传输给个人信息主体指定的第三方。本人的基本资料、身份信息、健康生理信息、教育工作信息涵盖在内，但不包含信息主体被动提供的个人信息、活动信息和衍生信息。从商业价值出发，被动的信息如浏览记录、消费记录、信誉等级等是不会被轻易篡改、无法重复提供的。中国将商业价值极高的三类数据排除在外，可以说明虽然中国立法满足了数据安全的保护需求，但是并不能达到《个人信息保护法》中“促进个人信息合理利用”的目标④李志强，叶好.国家治理现代化视域下大数据赋能政府治理研究[J].西南民族大学学报（人文社会科学版），2022（4）：177-184.。

（3）中国与新加坡在个人数据跨境的限制上存在一定差异。信息时代下数据的传输成本相对较低，虚拟空间也相应地存在地理边界。数据的跨境流通虽然可能带来多元的文化体验，但是也有可能会给隐私保护和国家安全带来前所未有的威胁。中国在《个人信息保护法》第三十八条规定了数据跨境应当具备的条件：经过国家网信部门的安全评估，对个人信息保护进行认证，与境外接收方订立合同并约定双方的权利义务等。新加坡PDPA对于数据跨境表述较为模糊，原则上规定个人数据不可携转至国外。两国的共同点为：个人信息处理者需要保障境外接收方处理个人信息的活动达到本国法律规定的个人信息保护标准。中国关于数据跨境的立法能与新加坡立法相衔接，这为两国间数据流通提供了法律保障（见表2）。

表2 中国与新加坡数据可携权关键条款对比

（二）构建符合中国发展需求的数据可携权制度

1.协调统一个人隐私、数据流通、国家安全等法益

数据不仅是个人隐私、国家安全的重要组成部分，而且也是重要的商业资源和战略资源。回顾中国科技领域的发展历程，中国已在数字经济上位于世界前列。根据玛丽·米克尔发布的《2018年互联网趋势报告》，全球市值最高的20家数据企业中，美国占据11家，其余9家在中国。阿里巴巴、字节跳动、腾讯、百度、京东等顶尖互联网企业在国内市场中占据重要地位，更在国际市场中取得了竞争优势。综合国内外情况，中国更需要加强数据间流通与利用，促进构建公平竞争的市场秩序，以期助力中国企业的竞争力提升①尚海涛.论我国数据可携权的和缓化路径[J].科技与法律，2020（1）：86-94.。因此，中国可以借鉴新加坡个人信息适量原则，以个人敏感信息不泄露为底线，以促进数据流通为目的，制定详细的数据可携权法律制度。在采取合理的预防措施的前提下，保护个人数据不被滥用，不在未经许可的情况下被访问、修改、收集、破坏②刘宪权，何阳阳.《个人信息保护法》视角下侵犯公民个人信息罪要件的调整[J].华南师范大学学报（社会科学版），2022（1）：141-154，207-208.。

2.细化保护数据可携权利对象

中国《个人信息保护法》未明确规定数据的类型与适用范围，仅在《信息安全技术 个人信息安全规范》中列明了数据可携权适用于信息主体主动提供的基础个人信息。建议引用新加坡个人提供给组织的数据、活动数据、业务联系数据与衍生数据的分类标准，针对以上四种数据类型做出分类化的数据准入规则。具体而言，个人提供给组织的数据如果具备同意基础，即可直接被携转至其他数据控制者处。活动数据在不涉及数据主体个人敏感信息的情况下，可以被携转③李伯轩.数据携带权的反垄断效用：机理、反思与策略[J].社会科学，2021（12）：105-116.。业务联系数据基于市场供需对接的必要性，可不经数据主体同意，直接由数据接收组织将数据携转至己处。针对特定行业的衍生数据，可以参照相关行业标准、技术传输标准，在不违背法律禁止性规定的前提下纳入数据衍生权的保护对象中。

3.分类设置数据可携权适用场景

新加坡个人数据保护委员会根据行业监管手段及行业风险点，颁布了一系列数据携转的详细标准。目前，中国已经形成了以《个人信息保护法》为核心，各省各自出台具体的数据保护条例作为补充的系统化立法模式。但是，中国尚未出台特定领域和场景下有关数据可携权的具体要求，数据可携规定的模糊性可能会给中小企业带来较高的合规成本。此外，“制定数据可携权实施条件和具体规则”的义务笼统归于国家互联网信息办公室（以下简称国家网信办），并没有结合不同行业的需求满足其因应之策。

因此，国家网信办可以以行政规划的方式确立最低标准的强制性数据携转技术标准。针对国内已经具备一定规模或者营利额达到全行业平均线一定比例以上的企业，由国家网信办通过行政指导的形式对其进行数据携转的合规审查，并督促加以整改。对于中小型企业而言，行业协会可以与国家网信办合作，制作出条件较为宽松、验收期限较长的数据可携规范标准①化国宇，杨晨书.数据可携带权的发展困境及本土化研究[J].图书馆建设，2021（4）：113-122.。除此之外，可以对重点行业的特定数据进行试点运行。这样既可以打破数据封锁，又可以为向社会各领域推行数据可携权提供缓冲空间。电子通信行业可以在借鉴携号转网的经验基础上实现电子邮件的数据携转，医疗机构中的健康数据携转和金融领域的征信数据携转已经具备推行可携权的技术条件。

六、结语

数据可携权作为中国《个人信息保护法》中的新设权利和发达国家普遍设置的权利，我们需要加强研究力度，以期在法律层面保障数据领域的平稳发展。此项新型个人权利兼具了人格权益和财产权益，在权利构成中体现出了个人隐私保护与数据流通的平衡。通过新加坡的实践效果可以看出，该项权利的制度设置需要发挥其“提升个人数据控制力”“破除市场数据封锁”“兼顾事前预防与事后救济”的积极作用，也需要设法降低“提高的创新门槛与锁定效应”“受威胁的数据安全”“应用不全面的数据种类”等负面影响。在大数据战略与总体国家安全观的指导下，兼顾个人、企业、国家安全等多重法益，平衡数据安全与数据利用的尺度，构建符合中国发展需要的数据可携权制度。就当前数据领域日益激烈的国际竞争环境而言，中国可以考虑转变“重保护，轻应用”的立法态度，将数据可携权由宣示性向实用性和缓过渡。同时，细化保护数据可携权利对象，针对数据类型明确规定其适用情形。在适用场景上，根据各行业监管手段及风险点细化数据携转的标准，分类管理大中小型企业的数据可携合规标准。

中国一直坚持的总体国家安全观是基于国际形势和维护中国整体主权、安全和发展利益需要所形成的指导理念。数据安全作为总体国家安全观的重要组成部分，影响着数据领域的立法方向。但是，数据可携权设置的初衷主要在于加强数据间流通，从而提高本国企业在国际竞争中的优势。一味地防御式立法不利于中国进一步开拓国际市场，更容易将中国头部数据型企业置于劣势地位。数据可携权于2022年首次被规范化，如今需要探索出更加适合中国发展道路的系列制度。一项实用意义大于潜在风险的权利，不应该被束之高阁，而应当被合理利用。因此，可以考虑数字经济领域的特点，将原则性与灵活性的立法方式相结合，在动态维护中国数据安全的同时，促进数据流通并提升数据处理利用能力。综上所述，本文根据中国在数据市场的领先地位，以及对个人隐私、数据流通、国家安全间的利益平衡需要，提出将数据可携权制度建设从仅具备宣示意义落地到具备可操作性的立法模式，在双循环新发展格局下提高国际循环的质量水平，激发国内循环的内生动力，在数据领域培育出具有全球竞争力的世界一流企业。