《个人信息保护法》第四十五条规定：“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”。

　　这一条虽然内容不多，但在个信法中备受瞩目，因为这相当于在中国确立了个人信息可携带权制度。长期以来我国都没有在其他立法中引入欧盟的可携带制度，一定程度上令到国内的互联网企业在处理数据层面有更大的自由度，最初创立可携带权制度的欧盟，其互联网产业发展状况也开始让各国反思其“虚高”的个人权益保护立场是否导致了阻碍技术创新，《个人信息保护法》作为从保护个人信息为根本出发点的立法，对于可携带的问题是何种态度和规定，在一定程度上反映着我国对于个人信息保护和产业发展平衡之间的选择。

　　从产业的角度看，可携带权的规定不仅是增加企业合规成本的问题，更关键的可能会导致数据资源借助可携带权作为跳板被任意搬运，这种担心并非空穴来风，笔者代理一则典型数据权益案件——群控案（曾入选2020年度知识产权十大案例）中即涉及到第三方主张用户有可携带权并将其转移到其他平台，法院对此问题也有过经典论述，司法实践中越来越多的数据权益类案件，被告方通常都会引用用户对数据的权益作为搬运数据时的抗辩理由，此次个信法可携带条款的出台，无疑令到这个理由显得更加充分，因此我们有必要分析一下这个规定究竟会带来多大的影响，特别是在中央层面已经多次通过正式文件强调数据称为与土地、技术、人力等并列的“生产要素”的背景下，这一规定如何与数据资源有关权益和谐统一。

　　一、个人信息可携带不等于数据可携带

　　GDPR并未区分数据可携带和个人信息可携带，并且对可携带的前提要求很低，通常只要用户授权同意即可，这样的赋予用户绝对化可携带权的立法思路是否值得借鉴是需要慎重考虑的。

　　如果是纯粹的个人信息和隐私，应该赋予用户一定程度的可携带权益，如果是个人信息之外的一般用户信息，例如用户在平台留下的交易评价信息等， 这部分信息的可迁移性就更加应该审慎评估，一方面这些信息跟用户的关联性不强，另一方面却可能对平台的商业价值有更大的意义，所以应该从迁移前后能否做到帕累托最优的角度来进行评估之后再做判断。

　　商业实践中，出现越来越多的情况是，希望获取数据资源的一方，通过向用户开放某种免费服务或者的方式要求用户将其他平台上的信息授权转移过来，比如用户撰写的文章、交易评价、支付信息等，这种转移对用户而言是没有操作成本的，其只需要同意有关的授权协议即可，剩下的数据迁移工作由第三方平台通过爬虫或者其他技术手段完成（例如借助安卓无障碍抓取、借助Hook机制控制获取等），这种方式本质上不过是攫取平台已有数据资源而已。

　　我们可以对照一下欧盟GDPR关于数据可携带权的规定：

　　第20条 数据携带权

　　1.当存在如下情形时，数据主体有权获得其提供给控制者的相关个人数据，且其获得个人数据应当是经过整理的、普遍使用的和机器可读的，数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给给另一个控制者：

　　（a）处理是建立在第6（1）条（a）点或9（2）条（a）点所规定的同意，或者6（1）条所规定的合同的基础上的；

　　（b）处理是通过自动化方式的。

　　其中，（a）所提到的“第6（1）条（a）点或9（2）条（a）点所规定的同意，或者6（1）条所规定的合同的基础”要求如下：

　　第6条 处理的合法性

　　1.只有满足至少如下一项条件时，处理才是合法的，且处理的合法性只限于满足条件内的处理：

　　（a）数据主体已经同意基于一项或多项目的而对其个人数据进行处理；

　　第9条 对特殊类型个人数据的处理

　　1.对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据，应当禁止处理。

　　2.如果具有如下条件之一，第1段将不适用：

　　（a）数据主体明确同意基于一个或多个特定目的而授权处理其个人数据，但依照欧盟或成员国的法律规定，数据主体无权解除第1段中所规定的禁令的除外；

　　对照我国刚出台的《个人信息保护法》，有关条文明确只有个人信息才涉及可携带的问题，并不是所有用户产生的数据都在可携带的范围，特别是包括《个人信息保护法》在内的多部立法句明确经过匿名化处理的数据不再需要数据主体的同意即可处理使用，因此我国显然没有选择欧盟一样激进的思路，而是紧紧围绕个人信息保护构建相关的权益保障制度。

　　二、个人信息可携带需要满足前提条件

　　更加值得关注的问题是，我国个信法在转移个人信息的问题上还是非常审慎的，并不是无条件任意转移，而是应当符合几个前提条件：

　　1、请求发起：需要个人信息主体向处理者提出请求，在没有请求动作作出的情况下（而且请求动作应当符合法定的明确同意的标准），处理者不需要主动介入，这一点显然也跟个人信息控制权的主旨是一致的，毕竟在信息主体没有明确指示的情况下处理者将信息转移已经明显构成违法甚至犯罪了。

　　2、转移目标：信息主体要明确指定转移到哪个个人信息处理者；

　　3、转移条件：符合国家网信部门规定条件。虽然目前尚未见网信部门的配套规定，但后续一定会有，并且笔者认为除了这些规定，还应当保护符合《网络安全法》、《数据安全法》的有关规定，转移不能在违法的情况下进行，不能引发网络安全问题和数据安全问题。

　　关于这一点，即便是在《个人信息保护法》中也有相关联的条款，例如第二十三条规定：“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息”，可见在转移个人信息的过程中，原处理者向接收处理者转移的正是个人信息，显然也就构成了该条规定的“提供行为”，那么就需要搞清楚接收方的“名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”之后才能进行转移，特别是在跨境转移的情况下还要另外进行安全评估，这些都是法律所规定的附带条件。

　　4、转移方式：个人信息处理者应当提供转移的途径。这一条也很关键，也就是说转移仍是通过原个人信息处理者提供的途径进行的，不能是第三方通过爬虫、cookie等单方面的技术手段直接获取，所以不存在用户同意了，就可以不通过原平台随意搬运的问题。当然《个人信息保护法》第五十条规定：“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由”，这一条也意味着处理者不能对用户行使携带权制造障碍，至于“便捷”到何种程度，恐怕要在实践中逐渐摸索建立标准了。

　　通过上述分析，笔者认为我国的《个人信息保护法》关于可携带权的规定并不会给数据资源带来破坏性影响，数据资源权益人对数据搬运等侵权行为仍然具有充分的维权基础，司法实践中也会不断的通过个案来确立不同具体场景下实现个人信息可携带的具体标准，国内的互联网企业没必要因此恐慌。

　　事实上，立法者一定也是在数据资源保护和个人权益保护之间做了精心的平衡，毕竟不论我们如何鼓励数据流通，作为一项稀缺资源，其价值最大化的前提依然是科斯定理中所讲的“确权”，个人信息的可携带一方面为保护个人信息建立围栏，一方面更是为数据有序流动创造制度前提，但这决不意味着数据资源可以无条件的“共享”，不意味着在互联网上消灭“产权”，不意味着将互联网在技术层面的互联互通属性与权益层面的无条件共享划上等号。

　　三、可携带权可否通过协议排除

　　讨论到这里，衍生出一个更深层面的问题，《个人信息保护法》规定了个人信息可携带的权益（非权利），从法律的基本原理出发，权利（权益）是可以放弃的，是否可以通过协议提前排除用户可携带权的使用呢？

　　这个问题并非只是单纯的学术讨论，在商业和司法实践中依然有一定的价值。

　　实践中，个人信息在携带转移的过程中由于会导致原处理者面临违法、犯罪风险（侵权公民个人信息罪），处理者为了尽量降低风险，可能存在的一种情形是通过合同与用户进行约定可以转移的各项条件，如果用户的转移请求无法达到条件，则视为放弃请求或未提出请求，这样的约定笔者认为是大概率会出现的，并且也具有足够的合理性。

　　那么这种约定是否具有合同效力呢，是否会因为跟《个人信息保护法》的规定相冲突而被无效。笔者认为至少在实质层面不应该认定为无效，毕竟可携带的法律规定算不上强制性规定，因此无效的可能性最多是出于形式层面，例如未尽到提示义务。

　　可见，简单粗暴的通过条文概括式的排除用户可携带权益显然是行不通的，并且可能因此面临《个人信息保护法》规定的行政责任，但在开辟了有关可携带通道的情况下，对于权益的具体行使方式仍然可以进行约定，这种约定不一定也不应该被一律无效，而是应该从法律规定的可携带条件和处理者面临的风险和成本两方面综合认定。