李伯轩

一、背景与问题

数据垄断是垄断在数据驱动型市场环境下的新型表现形式。它是指经营者通过强化对数据资源的控制，取得数据优势，进而借助自身的数据优势排除或限制市场竞争的现象。数据驱动型市场中的垄断行为主要包括三类：一是，数据驱动型经营者集中，即经营者横向或纵向吞并其他经营者，获取对方掌握的数据，以取得或维持数据优势；二是，滥用市场支配地位，即经营者凭借自身的数据优势，采取拒绝交易、价格歧视等手段，打压对自身利益构成威胁的其他经营者；三是，算法共谋，即数个经营者借助相同或相似的算法，在无需特别联络的情况下，共同作出彼此均可获益的经营决策，联合消除竞争。(1)叶明、李鑫：《大数据领域反垄断规制的理论证成与制度构建》，《科技与法律》2021年第1期。

近年来，数据垄断问题在世界范围内引发了普遍的关注。例如，2016年，微软对领英的收购案因其暴露出的数据垄断风险，而受到欧盟委员会的反垄断审查；2017年，谷歌因其利用数据限制市场竞争的行为，被欧盟委员会处以天价罚款；2019年，脸书对用户数据的不当收集和使用被德国联邦卡特尔局认定为滥用市场支配地位行为；2020年，美国联邦贸易委员会对脸书提起反垄断诉讼，理由是脸书对Instagram的收购存在垄断隐患。

在数据驱动型市场中，数据是经营者赖以生存的生产要素，也是其获得和维持竞争优势的重要保障。今日头条与腾讯之间旷日持久的“头腾大战”、腾讯与多闪之间关于微信/QQ用户头像和昵称的权属之争、字节跳动起诉腾讯滥用市场支配地位等一系列事件表明国内经营者对于数据资源的争夺日趋激烈，数据垄断危机四伏。针对市场中暴露出的数据垄断问题，我国已在积极探索相应的规制策略。2021年1月的《建设高标准市场体系行动方案》指出，我国应完善平台企业的垄断认定与数据的收集、使用和管理制度。同年2月的《关于平台经济领域的反垄断指南》进一步强调了数据的合理收集和使用在维护市场公平竞争方面的重要作用。

2018年生效的欧盟《通用数据保护条例》(General Data Protection Regulation，以下简称GDPR)的第20条对数据携带权作出了规定。该权利的问世引发了学界的关注。在2016年GDPR获得通过之时，我国学者就开始了对数据携带权的研究。(2)高富平、余超：《欧盟数据可携权评析》，《大数据》2016年第4期。时至今日，我国学者的研究重点已经从数据携带权的基本构成转向了该权利融于我国法律体系的可行性、意义和具体路径。(3)丁晓东：《论数据携带权的属性、影响与中国应用》，《法商研究》2020年第1期。与国内学界相比，国外学界对数据携带权的研究起步更早。国外学者早期的研究多为数据携带权的理论探索，而近期的研究则更多地聚焦于该权利实际运作所产生的外部效应。(4)Aysem D.,“The Right to Data Portability in the GDPR: What Lessons Can Be Learned from the EU Experience”, Journal of Internet Law, 21(7), 2018, pp:1-19.部分学者在其著述中探讨了数据携带权与数据垄断规制之间的关系。(5)曾彩霞、朱雪忠：《欧盟数据可携权在规制数据垄断中的作用、局限及其启示——以数据准入为研究进路》，《德国研究》2020年第1期。但是，由于数据携带权和数据垄断均属新生事物，所以围绕两者之间关系而展开的研究整体而言尚处于起步阶段，特别是对于数据携带权如何能在我国的法律土壤中有效发挥抑制数据垄断之功效仍需更加细致和充分的论证。

2021年8月20日，我国《个人信息保护法》获得通过。该法第45条规定，个人有权从个人信息处理者处复制其个人信息以及要求个人信息处理者将其个人信息转移至其他处理者。这意味着数据携带权在我国得以确立。在数据垄断规制方面，以我国《反垄断法》为中心形成的传统反垄断机制可能面临失灵的窘况。数据携带权的出现为我国有效规制数据垄断提供了除传统反垄断机制之外的另一路径。本文将深入剖析数据携带权在数据垄断规制方面的机理与隐忧，进而为我国相关规制的完善提供必要的指引。

二、数据携带权的制度构造

虽然我国《个人信息保护法》已经引入了数据携带权，但是与GDPR第20条相比，《个人信息保护法》第45条的规定要简单粗糙了许多。GDPR第20条既从正面列出了数据携带权的构成要素，又从反面写明了该权利的限制因素，从而构筑起了一个更具体系性的权利架构。

(一)数据携带权的构成要素

根据GDPR第20条的规定，可适用数据携带权的个人数据应具备以下特征：

第一，该数据应是与数据主体相关的个人数据。这一要求将与数据主体无关的数据和无法关联到数据主体的匿名化数据排除在外。第29条工作组是依据1995年《数据保护指令》第29条设立的咨询机构，其职责是为欧盟成员国的数据保护提供专业化的指导和建议。该工作组发布的《数据携带权指南》指出，对“与数据主体相关的个人数据”不宜做过于狭义的理解，在不对第三方的权利造成不良影响的前提下，数据携带权可以适用于涉及多人(包括行使权利的数据主体和其他人)的数据，如电话、聊天记录等。

第二，该数据应是数据主体向数据控制者提供的数据。GDPR第20条所用的“提供”一词本身便带有主动的意味，但第29条工作组在《数据携带权指南》中指明，数据主体提供给数据控制者的数据并不限于数据主体主动和有意提供的数据，还包括数据控制者于数据主体使用某些服务或设备期间获取的观察数据，例如，数据主体的网页浏览记录、搜索历史、由特殊穿戴设备记录的健康信息等。

第三，该数据应是结构化、通用化、可机读的。结构化的数据是指具有清晰的结构，依循特定的语法或模式，事先经过人为组织的数据，它被存储在关系数据库中，可通过结构化查询语言被操作和使用。至于通用化，第29条工作组鼓励数据控制者达成数据格式的技术共识，在尚未达成此种共识的情况下，数据控制者至少应使用开放格式的数据，以提升数据重新利用的可能。可机读是指数据格式应使软件程序能够轻松地识别、辨认和提取特定数据。这意味着数据控制者不得向数据主体提供难以从中提取数据的文件或者以限制其他数据控制者自动处理的格式编写而成的文件。

GDPR中的数据携带权由数据接收权和数据转移权组成。前者是指数据主体从数据控制者处获取符合前述要求的个人数据副本的权利；而后者是指数据主体将符合前述要求的个人数据在不同数据控制者之间进行转移的权利。(6)冉从敬、张沫：《欧盟GDPR中数据可携权对中国的借鉴研究》，《信息资源管理学报》2019年第2期。在关于数据转移权的规定中，为了保证数据主体能够顺利行使此项权利，GDPR第20条针对数据控制者提出了“技术可行”和“无障碍”的要求：“技术可行”要求数据控制者应以可互相操作的格式传输个人数据，鼓励不同的数据控制者就传输格式达成共识，以实现数据的顺畅流动；“无障碍”则要求数据控制者不得利用任何法律、技术或经济上的手段阻碍数据主体或其他数据控制者对个人数据的传输或者再利用。

(二)数据携带权的限制因素

首先，数据携带权的行使不得影响被遗忘权。数据携带权与被遗忘权同为GDPR下数据主体权利体系的重要组成部分，但是两者之间却存在潜在的冲突。一种常见的情况是，为了便于数据主体行使数据携带权，某些数据控制者会对其所掌握的个人数据采取特殊的技术处理(如设置数据跟踪器、插入个人数据标识符等)，这些措施可能会导致个人数据无法被彻底删除。另一种可能的情况是，如前所述，数据携带权可适用于涉及多人的数据，若数据控制者为了便于多人中的一人行使数据携带权，而拒绝删除此类数据，便会构成对其他人被遗忘权的侵犯。根据GDPR第20条第3款的规定，当数据携带权和被遗忘权相冲突时，后者应优先得到保护。

其次，数据携带权的行使不得损害公共利益。当数据控制者为了公共利益或者行使被授权的官方权威而对个人数据进行必要处理时，数据携带权的行使将会受到限制。自20世纪80年代以来，社群主义对新自由主义造成了巨大的冲击。社群主义的观点是，公共之善应先于个人之善。(7)高志宏：《公共利益观的源流及时代要义》，《学海》2019年第5期。受到西方现代公共利益观的影响，在公共利益与个人数据权利的权衡中，许多国家的立法体现出了优先保护公共利益的倾向。(8)汪全胜、卫学芝：《基于公共利益利用视角的个人数据的法律规制》，《电子知识产权》2019年第12期。GDPR在这一点上采取了相同的立场。

再次，数据携带权的行使不得损害他人的权利和自由。根据GDPR第20条第4款的规定，数据携带权的行使不得对他人的权利和自由造成负面影响。作为一个兜底性的条款，第20条第4款旨在将除被遗忘权之外的、他人享有的其他权利和自由均设定为数据主体行使数据携带权的法律边界。权利与义务是相伴而生的。他人的权利便是自我权利的界限。(9)田广兰：《权利的边界》，《哲学动态》2014年第5期。第20条第4款采用“他人的权利和自由”这样一个相当宽泛的概念作为数据携带权的行使限度，原因在于数据携带权本身尚未定型，其对于他人权利和自由的影响仍具有较大的不确定性，开放性的表述更易适应未来的变化和挑战。

三、数据携带权抑制数据垄断的作用机理

在数据驱动型市场中，新进经营者常常因无法或难以获取与优势经营者竞争所需的数据，而在市场竞争中居于劣势。数据携带权的支持者将该权利视作打破数据垄断的有力武器。

(一)消解数据的实然排他性

数据之间存在质量上的差异。相关性和时效性是评判数据质量的重要标准。相关性强调的是经营者掌握的数据与其经营活动的实际关联程度。同样的数据对于某一经营者而言是有用的，但对于其他经营者而言可能就是无用的。时效性则注重的是经营者获得数据的时间远近。某些经营者的业务范围决定了他们对于高时效性数据的需求。比如，数字地图和导航服务提供商的经营活动便离不开使用者的位置信息、交通路况信息等实时数据。

数据的质量越高，其对于经营者而言越有价值。数据的多样性和关联性使得不同形式和来源的数据有了相互替代的可能，但是高价值的关键数据通常是不可取代的。在数据驱动型市场中，经营者业务活动的成败与其能否获取和利用关键数据息息相关。即便是在数据爆炸式增长的今天，关键数据仍具有稀缺性，所以关键数据一直是经营者争夺的对象。比如，此前发生的顺丰与菜鸟、腾讯与华为、京东与天天快递之间的纠纷从本质上讲都是关键数据的争夺战。

关于数据是否具有排他性这一问题，学者们莫衷一是。“否定说”给出的理由是，数据能够被复制，并且此种复制具有成本低廉和零损耗的特点，在通常情况下，相同的数据可以被数个经营者同时收集、拥有和使用。(10)程啸：《论大数据时代的个人数据权利》，《中国社会科学》2018年第3期。然而，从实践的角度来看，经营者对于数据的占有和使用的确表现出了实然的排他性，并且此种排他性已在法律层面上得到了认可。在新浪微博与脉脉的纠纷中，新浪微博指责脉脉在未获授权的情况下，从微博抓取用户数据。法院判定，网络平台可以针对基于用户同意、通过自身经营活动进行收集和商业利用的用户数据主张权利。(11)北京微梦创科网络技术有限公司诉北京淘友天下技术有限公司、北京淘友天下科技发展有限公司不正当竞争案，北京市高级人民法院民事判决书(2016)京73民终588号。换言之，未经微博许可，其他经营者不得随意获取和使用微博掌握的用户数据。

在数据驱动型市场中，数据是经营者赖以生存的生产要素。数据的实然排他性使经营者的数据优势的形成和稳定延续成为了可能，进而为垄断的发生创造了条件。数据携带权有助于疏通数据在不同经营者之间的流通渠道，破解市场竞争所需的数据资源被优势经营者长期把控的格局。这对于抑制数据垄断显然是有所裨益的。

(二)降低数据市场进入壁垒

低市场进入壁垒曾被视作数据驱动型市场的特征之一，因为彼时，有的新进经营者能够在短时间内迅速崛起，取代比自己拥有更多数据资源的老牌经营者。比如，在短短十余年的时间里，国内主流的社交网络便由人人网转变为微博、微信等。有学者主张，某些产业的初始发展并不必然依赖于用户数据，经营者只要拥有能够巧妙满足用户需求的创新性产品或服务，便足以吸引用户，并可以迅速从新增用户中获取数据，然后进一步改进产品或服务，最终获得商业上的成功。然而，在产品和服务极度丰富的今天，用户面前的选择是十分多元化的。如何能从同类产品或服务中突出重围取得用户的青睐成为了经营者在设计、推广产品或服务时必须予以思考的问题。对于这一问题的解答仅仅依靠闭门造车和苦思冥想是不够的，还需要数据作为参考和指引。随着数据重要性的提升，数据市场的进入壁垒越发严重。

新进经营者与优势经营者在技术和资金上的差距是导致数据市场进入壁垒的重要原因。用于数据收集和分析的算法的优劣直接决定了经营者能够收集到的数据的数量、质量以及数据分析结果的相关性。技术革新所需的资金投入不但高昂而且应是持续的。技术和资金之间存在着一种相辅相成的关系。技术的革新离不开资金的投入，同时技术革新又能够促进企业效益的提升，从而使企业拥有更多可供投入的资金。对于优势经营者而言，这会引发滚雪球式的规模扩张，但对于新进经营者而言，这将持续加剧他们在技术和资金上的劣势。

除技术和资金层面的原因外，数据市场自我调节的弊端也是引发进入壁垒的重要因素。数据市场通常表现出双边市场的交互性，即平台对于一边用户群体的价值与另一边用户群体的数量相关联。比如，在网约车平台上，司机的数量影响着该平台对于乘客的价值，因为司机越多，乘客的等待时间就越短；乘客的数量反过来也影响着该平台对于司机的价值，因为乘客越多，司机空驶的几率就越小。一边用户数量的增加将吸引更多的另一边用户的加入。在此过程中，两边用户会反复地相互激励。此过程使得居于领先地位的平台能够享受递增的规模收益，进一步蚕食剩余的市场份额，最终导致赢家通吃的局面。

数据携带权有助于促进数据在不同经营者之间的流通，为优势经营者占有的数据资源向新进经营者转移创造了条件，为新进经营者开辟了更具活力的发展空间。这能够在一定程度上防止优势经营者凭借先期的数据积累阻碍后起经营者进入市场，从而打破强者愈强、弱者恒弱的恶性循环。

(三)削弱用户锁定效应

随着网络技术的飞速发展，用户能够接触到多个经营者提供的同类产品或服务。从理论上讲，摆在用户面前的选择越多，用户就越容易分散，垄断也越不易发生。然而，事实并非如此。即便是在产品和服务极度丰富的今天，优势经营者依然能够凭借其掌握的数据资源使用户对其所提供的产品或服务产生依赖。

第一，用户的自愿锁定。对于单个经营者而言，市场上可供用户选择的同类产品或服务的充裕度越高，用户流失的可能性就越大。经营者惯常采取的策略是利用其所掌握的数据来分析用户的需求，进而为用户提供投其所好的产品或服务，以便最大限度地保持已有的用户量，并尽可能地吸引潜在的用户。在技术和数据方面具备优势的经营者更易通过数据解析来摸清用户的喜好，从而提高产品或服务投放的精准度。作为理性的行为人，在面对多种同类产品或服务时，用户自然会倾向于选择优势经营者所提供的更能满足自身个性化需求的产品或服务。

第二，用户的被动锁定。为了将个人数据从一个经营者处转移至另一个经营者处，用户需要付出转换成本。这里所说的转换成本包括用户在当前经营者身上所投入的沉没成本和数据转移至其他经营者时所需付出的额外成本。转换成本越高，用户被锁定的可能性就越大。在经营者未能为数据的移转提供必要的便利或技术支持的情况下，转换成本之高很可能足以令用户放弃转移数据的想法。(12)卓力雄：《数据携带权：基本概念，问题与中国应对》，《行政法学研究》2019年第6期。

任何产品和服务都有锁定效应。数据市场中的产品和服务也不例外，并且在前述自愿锁定和被动锁定的双重作用下，他们往往有着更高的黏着度。(13)曾晶：《互联网产品的竞争特性及相关市场的界定》，《湘潭大学学报(哲学社会科学版)》2015年第3期。数据携带权有助于为个人数据在不同平台之间的移转扫除不必要的障碍。这意味着新进经营者有可能获得更多可供分析的数据，进而提升其所提供的产品或服务对于用户的吸引力。此外，当用户能够以较低成本甚至是零成本在不同经营者之间实现个人数据的迁移时，他们将不会再因成本问题而束手束脚。由此可见，数据携带权对于破解用户的自愿锁定和被动锁定均可起到积极的作用。

(四)催生互利共赢理念

在科技空前发达的今天，人类的各项活动已经能够以数字化的形式被记录下来。数据包含了对于观察对象的描述，但是单个数据的价值是有限的，因为他们难以完整地勾画出观察对象的全貌。(14)高富平：《数据流通理论——数据资源权利配置的基础》，《中外法学》2019年第6期。数据越是多样，由此得出的分析结果越为准确。打破数据来源的单一性，倡导数据的共享和流通成为了大数据时代的内在要求。

当个人向网络经营者提供个人信息或者其行为被设备记录时，个人数据与数据主体相分离，完成了数据从数据主体到数据控制者的首次流动。然而，单纯的首次流动并不足以充分发挥数据的价值。数据在不同数据控制者之间的流动才是真正意义上的数据流通。不同于普通的物，数据具有累积性和非消耗性。这意味着数据非但不会在流通中丧失原有的价值，反而会因交换、聚合和匹配而产生增值的效果。

尽管个人数据是普遍存在的并且在本质上具有可流通性和适于流通性，但是为了收集和分析这些数据，经营者需要付出成本，更何况分享数据相当于给竞争对手做了嫁衣，所以经营者自然不愿将自己掌握的数据轻易地与他人共享。(15)金耀：《数据治理法律路径的反思与转进》，《法律科学(西北政法大学学报)》2020年第2期。数字化市场中的一个个“数据孤岛”由此形成。数据控制者反数据流通的做法看似是基于自身利益的考虑而做出的理性选择，但是从更宏观的层面和更长远的角度来看，此种做法严重妨碍了足以充分发挥数据价值的数据集合的形成，进而会对包括采取此类措施的数据控制者在内的整个数据市场共同体产生不利影响。

“互惠利他”是传统社会的一种合作模式。它是指一方给予他方好处，虽然前者并不一定能够即刻获得报答或补偿，但此种利他行为的普及终将产生合作的盈余。“互惠利他”同样可以并且应当成为数据市场健康发展的生态法则。从web 1.0到web 3.0的信息技术革新一直在朝着实现数据共享和扩大合作盈余的方向发展。(16)梅夏英：《在分享和控制之间：数据保护的私法局限和公共秩序构建》，《中外法学》2019年第4期。数据携带权的出现不仅提升了数据主体对个人数据的掌控能力，而且有助于打破数据控制者各自为营的现有格局。一旦互利共赢的理念在数据控制者之间生根发芽，数据垄断便可得到抑制。

四、数据携带权加剧数据垄断的隐忧

数据携带权自诞生之初便引发了不少争议。反对者提出的理由之一便是数据携带权非但无法促进数据市场的有序竞争，反而可能适得其反。

(一)加重新进经营者的经济负担

数据驱动型行业是典型的资本密集型行业。为了争取潜在的用户，收集到尽可能多的用户数据，经营者通常需要搭建一个供用户免费或低价使用的平台。而要维系这样一个平台，经营者需要在技术支持、人力资源、宣传推广等方面投入大量的资金。经营者之间的数据收集战其实是一场资金消耗战。与已经实现前期资本积累的优势经营者相比，新进经营者常常因难以负担高额的数据收集成本，而在起步阶段便落了下风。

德国联邦卡特尔局曾在一份报告中指出，高额的数据获取成本经常令人望而却步，所以某些经营者能够获取充足的有效数据这一事实本身便已经构成了一种竞争优势。(17)Bruno L.,“ Competition Law and Big Data: The Enforcers’ View”, Italian Antitrust Review, 29(1), 2017, pp.87-103.数据的收集只是数据市场竞争的序曲。如若没有足够的数据作为素材，新进经营者便难以从中获取有用的信息，改善自己的产品或服务，进而难以吸引潜在的用户来提供更多的数据。这种恶性循环最终会导致新进经营者被挤出市场。

数据携带权的出现预示着数据在不同经营者之间的流通将变得更加顺畅，这似乎能够帮助新进经营者通过后期的数据输入，扭转自身在数据收集方面的原生劣势，但该权利的实际效果未必尽如人意。数据携带权要求数据控制者以结构化、通用化、可机读的形式传输个人数据。可事实上，经营者之间目前尚未形成符合“结构化、通用化、可机读”要求的统一的数据传输格式。数据携带权的规定实则是将开发能够实现数据直接互通的“导出-导入模块”(Export-Import Module)的重担强加在了数据控制者的肩上。由此导致的技术成本的增加对于本就缺少资金的新进经营者而言无疑是雪上加霜。(18)付新华：《数据可携权的欧美法律实践及本土化制度设计》，《河北法学》2019年第8期。

优势经营者不但引领着技术的发展，而且主导着行业标准的形成。当优势经营者率先采用的数据传输技术最终成为判断数据格式是否符合“结构化、通用化、可机读”要求的标准时，新进经营者不得不奋力追赶优势经营者的步伐，以避免因不合标准而受到公众的责难和当局的处罚。这将导致新进经营者有限的资金被大量耗损在想方设法地与优势经营者的数据传输技术和设备接轨，而不是被用于改善用户数据的收集和分析。由此可见，数据携带权一刀切地对优势经营者和新进经营者提出相同的技术要求很可能会导致后者在数据市场竞争中的不利地位进一步恶化。

(二)导致新进经营者的数据流失

数据携带权有助于促进数据流通，但它无法保证数据的定向流动。数据携带权一方面为数据主体将个人数据从优势经营者转移至新进经营者创造了条件，但另一方面也为他们将个人数据从新进经营者转移至优势经营者提供了便利。在实践中，相较于新进经营者，优势经营者常常能够凭借其在技术、资金等方面的优势，为用户提供更具吸引力的产品或服务。数据携带权的出现恰好为数据从新进经营者向优势经营者的流动打开了方便之门。

一项产品或服务对于消费者的价值可能会随着采用相同或兼容产品或服务人数的增加而增加。消费者加入某网络能给该网络中的其他消费者带来效用增加的现象被称为网络效应。(19)万兴：《大数据时代的网络效应及其价值》，《现代经济探讨》2018年第12期。在数据驱动型市场中，反馈循环是网络效应得以实现的主要方式。反馈循环表现为数据与用户数量、产品质量之间螺旋式的上升关系。具体而言，经营者能够利用其所掌握的数据分析并满足用户的需求，从而吸引更多的用户，加速数据的积累。优势经营者本就比新进经营者拥有更多的数据资源。用户数据从新进经营者向优势经营者的移转将进一步拉大这种差距，而且此种转移一旦出现，将很可能在反馈循环的推动下朝着有利于优势经营者的方向持续地、不可逆转地发展下去。

创新是新进经营者在数据市场竞争中杀出重围，改变自身劣势处境的有力武器。为了激励创新，传统的竞争法格外注重保护创新者的财产权，以此来补偿他们因创新而承受的风险。(20)龙卫球：《数据新型财产权构建及其体系研究》，《政法论坛》2017年第4期。可是，数据携带权却要求创新者共享其数据财产，这与传统竞争法的理念是相悖的。数据携带权在强化数据主体对个人数据掌控能力的同时，大大削弱了数据控制者对用户数据的掌控能力。数据携带权的问世意味着新进经营者依靠创新辛苦积累的用户数据随时可能流向其他经营者，特别是那些占据优势地位的经营者。这无疑给视创新为出路的新进经营者的未来发展带来了更多的不确定性。

数据携带权有助于打破数据资源高度集中在优势经营者手中的局面是该权利发挥反垄断效用的重要前提。然而，数据携带权其实是一把双刃剑。它的出现对于新进经营者而言未必是真的福音，因为它在为新进经营者创造翻盘机会的同时，也可能使他们的处境变得更加艰难。

(三)加剧个人数据的泄露风险

在数据驱动型市场中，产品或服务的提供者与数据主体形成了一种各取所需的共生关系：前者为后者的生活带来了便利与舒适，而后者为前者源源不断地供给能够创造更多商业利益的“数据燃料”。尽管个人数据究竟是权利客体还是民事利益载体尚未有定论，但是对个人数据应加以保护已成共识，毕竟此类数据包含了自然人的人格权益以及在大数据时代下应受保护的防御性利益。(21)解正山：《数据泄露损害问题研究》，《清华法学》2020年第4期。

随着社会生活数据化程度的加深，个人数据泄露问题越发受到关注。个人数据泄露是指个人数据被盗、被破坏，以及其他未经授权的访问、公开或修改，从而损害数据的机密性、完整性和可用性的行为。据统计，到2020年，个人数据泄露的影响已波及全球近四分之一的人口。(22)马忠法、胡玲：《论我国数据安全保护法律制度的完善》，《科技与法律》2021年第2期。近年间，我国发生多起严重的个人数据泄露事件。比如，2019年，深网视界科技公司发生大规模的数据泄露，超过250万人的个人数据涉及其中；2020年，圆通快递掌握的40余万条个人数据惨遭泄露；2021年，广东珠海网警在“净网2021”专项行动中破获一个侵犯公民个人信息的犯罪团伙，经查证10万余条中小学生的个人数据被非法泄露。

数据携带权的出现很可能会进一步加剧个人数据泄露的风险。数据主体可以依据数据携带权一次性地从数据控制者处下载和转移所有其个人数据。问题在于一旦数据主体的身份被他人盗用或者冒用，其个人数据将面临大范围泄露的危机。为了满足结构化、通用化、可机读的要求，数据控制者不得不开放更多的应用程序接口，提高数据的互操作性。然而，这也相当于为不法分子盗取或篡改用户数据提供了更多机会。

当个人数据泄露风险普遍上升时，数据主体通常不会愿意将个人数据存储在那些新兴的、自己对其数据保护能力缺乏认知的企业，反而会选择知名的、自己感觉信得过的大企业。此外，数据主体在不同数据控制者之间转移个人数据的意愿也会受到严重的抑制，因为流动越少，暴露的可能性就越小。总而言之，在个人数据泄露风险升高的情况下，个人数据不仅会出现向优势经营者集中的趋势，而且其对优势经营者的黏着性也会明显提升。数据携带权通过促进数据流通来抑制数据垄断的功能或将沦为纸上谈兵。

五、反垄断视角下数据携带权在我国的本土化思考

尽管我国《个人信息保护法》已经引入了数据携带权，但是与之相关的规制尚不够完备。理清数据携带权与传统反垄断机制在数据垄断规制中的关系，并进一步完善该权利的制度设计是十分必要的。这将有助于充分发挥数据携带权破解数据垄断之功效。

(一)数据携带权在我国数据垄断规制体系中的定位

数据携带权有一石二鸟之效。它在强化数据主体对个人数据掌控能力的同时，有助于促进数据在不同经营者之间的流通。数据携带权的问世不仅代表着个人自由在数字领域的延伸，而且为数据驱动型市场的反垄断规制提供了新的契机和思路。我国《反垄断法》自施行以来，在保护市场公平竞争和提高经济运行效率方面发挥了重要的作用，但是以该法为中心而形成的传统的反垄断机制在规制数据垄断这一垄断新样态时却遇到了水土不服的困境。

第一，相关市场界定的难题。在我国现行的反垄断机制下，相关市场界定是重要的一步。然而，网络经营者所提供的商品或服务常常是免费的。这使得传统的通过价格变化引起的市场反应来认定相关市场的假定垄断者测试法失去了适用的基础。此外，网络经营者之间的竞争具有很强的辐射性。经营者往往会采取平台化的发展策略，多方位地拓展自身的业务范围。比如，微信的最初功能是即时通讯，但时至今日，它已经成长为集移动支付、线上娱乐等功能于一身的综合性数字平台。网络经营者跨市场的渗透性导致了相关市场界定难度的增加。

第二，市场支配地位认定的难题。在围绕价格中心主义分析范式构筑起的反垄断体系中，市场份额成为了市场支配地位认定的核心指标。(23)殷继国：《大数据经营者滥用市场支配地位的法律规制》，《法商研究》2020年第4期。这一点在我国《反垄断法》第18条第1款中得到了体现。市场份额标准的广泛应用有其合理性：一是，在传统市场中，市场份额与市场支配地位存在明显的正相关关系；二是，该标准简单明了，相关信息易于获得。然而，数据驱动型市场“零价格”的特性意味着网络经营者与用户直接交易产生的营业额可能为零。这严重减损了市场份额的指示作用。虽然我国《反垄断法》第18条第2款至第6款规定了市场支配地位认定的其他考量因素，但这些因素的恰当应用尚需要更加具体的指引。(24)陈兵、徐文：《规制平台经济领域滥用市场支配地位的法理与实践》，《学习与实践》2021年第2期。

第三，经营者集中审查的难题。《关于经营者集中申报标准的规定》第3条规定，当参与集中的经营者在上一会计年度内全球营业总额超过100亿元或者国内营业总额超过20亿元，并且其中有两个或两个以上经营者的国内营业额超过4亿元时，经营者应事先申报。由此可见，我国反垄断执法机构是否启动经营者集中审查取决于经营者的营业额。然而，在数据驱动型经营者集中的情况下，依据传统营业额标准进行的经营者集中审查可能难以起到预期的反垄断效果，原因在于：一是，在更新迭代速度极快的数字化市场中，经营者的营业额并不稳定；二是，数字平台常见的免费商业模式为某些经营者逃避审查提供了借口；三是，经营者的营业额可能无法准确反映其在数据驱动型市场中的真实影响力。(25)傅晓：《警惕数据垄断：数据驱动型经营者集中研究》，《中国软科学》2021年第1期。

第四，垄断协议监管的难题。借助数据和算法，经营者获得了跟踪、抓取竞争对手的商品或服务价格以及其他商业信息，进而达成协调一致的商业策略的能力。数字化卡特尔是垄断协议在数据驱动型市场中的新型表现形式。在网络技术空前发达的今天，消费者能够在极短的时间内，获取目标商品或服务的报价。然而，此价格很可能是经营者通过数据和算法提供的自动定价，而非基于正常市场竞争条件所形成的价格。(26)丁国峰：《大数据时代下算法共谋行为的法律规制》，《社会科学辑刊》2021年第3期。与传统的垄断协议相比，数字化卡特尔更加难以察觉，也更加难以消除，因为数据和算法的组合使得经营者能够在无任何正式协议或人际互动的情况下实现和维持共谋。(27)周围：《算法共谋的反垄断法规制》，《法学》2020年第1期。

虽然数据垄断有不同的形式，但他们的共性表现为经营者凭借其掌握的数据资源从事限制或排除竞争的活动。经营者在数据资源的占有和使用中所处的优势地位是数据垄断得以产生和维持的基础。因此，只要能够破解数据资源被特定经营者把持的僵局，数据垄断便可以从根本上得到缓解。数据携带权的行使能够产生整体提升数据流通性的效果。这正是数据携带权具备反垄断效用的根源。

如前所述，传统的反垄断机制已经出现了与数字经济相脱节的现象。更新现有的反垄断机制，以使其更好地适用于数据驱动型市场中的竞争关系无疑是我国反垄断规则未来完善的重点之一。数据携带权的出现为数据垄断的规制提供了除反垄断机制之外的另一种可能，但并非要取而代之。欧盟竞争专员曾指出，欧盟在GDPR中规定数据携带权无意于削弱竞争法对数据流通的干预，如果占据支配地位的企业为数据的移转设置了不必要的阻碍，竞争主管机构仍可依据竞争法采取相应的行动。数据携带权与反垄断机制的组合适用将使数据垄断被置于双轨制的规制体系之下：数据携带权体现的是以私主体之手来抑制数据垄断，而反垄断机制体现的是以公权力之手来打击数据垄断。两者之间应是一种相互配合、相互补充的关系。

(二)以应对数据垄断为导向的我国数据携带权的完善策略

1.强化数据安全保护

数据主体行使数据携带权是以其能够适当证明自己的身份为前提的。根据GDPR第12条第6款的规定，倘若数据控制者对数据主体的身份存有合理怀疑，前者可以要求后者提供必要的额外信息以确认其身份。第29条工作组曾补充道，当数据的移转伴有较高的隐私风险时，数据控制者可在数据主体完成初次身份验证的基础上，要求其进行二次身份验证。

如前所述，当存在较高的个人数据泄露风险时，数据携带权无法起到抑制数据垄断的作用，反而可能刺激个人数据向优势经营者集中。GDPR第12条第6款和第29条工作组的解释所提到的身份验证措施均为建议性的。此种柔性的规定不利于在不同数据控制者之间形成统一的数据安全标准。整个市场的数据安全等级受到木桶效应的支配，即取决于市场中最为薄弱的环节。数据的流动是多向的，所以只要有一个数据控制者未采取充分合理的数据保护措施，数据泄露的风险就是切实存在的，数据主体的不安便无法消除。

《个人信息保护法》第51条规定，为了防止未经授权的访问和个人信息的泄露、篡改或丢失，个人信息处理者应制定内部管理制度和操作规程、对个人信息实行分类管理、采取加密措施等。此条款明确了数据控制者保护个人数据的义务，但是当数据主体提出复制或转移其个人数据的请求时，数据控制者究竟应采取怎样的合理措施以验证数据主体的身份尚缺乏具体规则的指引。需要注意的是，针对各类数据强制要求统一的身份验证措施可能会导致效率与安全价值之间的失衡，即过度地以牺牲效率为代价来保障数据安全。因此，我国的立法不可简单地采取一刀切的策略。《个人信息保护法》对敏感信息和非敏感信息进行了区分。前者是指泄露将导致主体遭到歧视或者其人身或财产安全受到严重危害的个人信息；而后者是指除前者以外的其他信息。我国可以在此基础上，分别针对敏感数据和非敏感数据设置不同的身份验证措施。对于非敏感数据，数据控制者在依数据主体的要求提供或转移个人数据时仅需进行一次身份验证即可；而对于敏感数据，数据控制者应为数据主体同时设置两种以上的身份认证机制(如指纹识别、面部识别、共享秘钥、一次性密码等)。

此外，法律应就数据控制者在紧急情况下的临时措施作出规定。一旦出现疑似数据主体身份被盗用或者冒用的情况，数据控制者应立即暂停操作，冻结相关个人数据，并以短信、电子邮件等形式通知数据主体。只有当数据主体经过额外的认证程序，确认是其本人的真实意思表示时，数据控制者才能继续完成个人数据的操作。

2.确立差异化的数据传输技术要求

我国《信息安全技术个人信息安全规范》第8.6条规定，个人信息控制者需在技术可行的前提下进行个人信息副本的传输。该条款与GDPR第20条第2款均含有“数据可行”的表述。关于“数据可行”的含义，欧盟第29条工作组曾解释道，数据控制者没有义务采用和维护具备技术兼容性的系统来处理不同来源的个人数据。但在2017年，工作组指出，当在特定行业或特定背景下不存在任何通用格式时，数据控制者应尽可能地使用常见的开放格式来提供个人数据。工作组还提到，数据主体有权要求数据控制者就自身系统为何不能直接转移数据作出解释。事实上，欧盟对“技术可行”的认识处在左右摇摆的状态。它既担心将“技术可行”设定为硬性义务会加重数据控制者的负担，又担心过于软性的“技术可行”要求会导致数据传输难以执行。

若要通过数据的自由流通破除数据垄断，仅靠数据控制者的自觉是不够的，因为他们毕竟是自利的主体。法律的干预是十分必要的。如前所述，当所有经营者受制于统一的数据传输技术要求时，新进经营者将承受较大的经济压力。这非但不能起到抑制数据垄断的作用，反而可能拉大优势经营者与新进经营者之间的差距。因此，法律干预的程度和方式对于数据携带权反垄断效用的实现是至关重要的。GDPR第20条第2款和我国《信息安全技术个人信息安全规范》第8.6条中的“技术可行”标准的优点在于它有助于对不同经营者形成差异化的监管，在新进经营者与优势经营者之间实现实质上的公平。(28)尚海涛：《论我国数据可携权的和缓化路径》，《科技与法律》2020年第1期。根据《个人信息保护法》第45条的规定，作为数据主体行使数据携带权的相对方，数据控制者有义务为数据的转移提供途径。尽管该法未对数据控制者采取的数据传输技术提出具体的要求，但若要实现数据在不同经营者之间的顺利迁移，传送方和接收方必须采用相兼容的数据传输技术。笔者认为，为了给新进经营者营造更加友好的市场环境，我国应借鉴欧盟的做法，在法律中为数据控制者传输个人数据设定“技术可行”的标准，并通过具体规则的设计，使不同经营者受制于差异化的数据传输技术要求。

具体而言，对于除新进经营者之外的其他经营者，法律应要求他们承担以结构化、通用化、可机读的形式传输个人数据的义务；而新进经营者可暂时免于承担该义务。新进经营者和非新进经营者的身份划分应以一个适当的缓冲期为界限。在该缓冲期内，新进经营者仍可采用尚不具备互操作性的数据传输格式，但他们应持续性地改进相关技术，行业主管部门或行业协会对暂时无法达到合规要求的新进经营者应给予技术上的帮助和支持。而在缓冲期结束之后，新进经营者将转为非新进经营者的身份，他们将丧失免于承担数据传输技术方面义务的特殊优惠待遇。此种差异化的规制方式既能体现出法律的强制和引导功能，又能彰显出法律不强人所难的人文关怀。

3.明确权利客体的范围

依据数据控制者从数据主体处获取数据方式的不同，个人数据可以分为以下三类：(1)直接数据，即数据主体主动提供的数据；(2)观察数据，即数据主体在使用网络平台提供的产品或服务时留下的行为痕迹；(3)衍生数据，即数据控制者通过算法对前述两类数据加以分析所得的数据。

GDPR中的数据携带权适用于数据主体向数据控制者提供的数据。如前所述，在第29条工作组的《数据携带权指南》中，数据主体提供给数据控制者的数据被解释为包括直接数据和观察数据，但不包括衍生数据。大数据时代的来临使数据价值的发掘方式发生了质变。原始数据能给数据控制者带来的直接价值是相当有限的。数据的后期处理成为了数据价值跃升的关键。(29)刘双阳、李川：《衍生数据的财产属性及其刑法保护路径》，《学术论坛》2020年第3期。由原始数据到衍生数据的加工过程往往是在数据控制者非开放的系统内部完成的。经营者完全可以通过设置访问权限、运用数据加密技术等方式阻止其他经营者接触到作为此过程产物的衍生数据。由此可见，衍生数据比原始数据具有更加明显的实然排他性，也更容易导致数据垄断的发生。即便如此，欧盟依然未将衍生数据列为数据携带权的权利客体，原因在于与直接数据和观察数据不同，衍生数据的生成融入了数据控制者的智力创造。GDPR第20条第4款将他人的权利设为数据主体行使数据携带权的法律边界。这里所说的他人的权利包括数据控制者的知识产权。

《个人信息保护法》第4条将个人信息定义为以电子或者其他方式记录的，与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。《信息安全技术个人信息安全规范》第8.6条则以列举的方式规定，个人信息主体有权从个人信息控制者处获取副本的数据和要求个人信息控制者进行副本传输的数据包括个人信息主体的基本资料、身份信息、健康生理信息、教育工作信息等。上述条款均强调了个人数据与数据主体之间的关联性，但却未注意到数据控制者从数据主体处获取个人数据方式的差异对于限定数据携带权的权利客体范围同样具有重要的意义。

根据我国《反不正当竞争法》第9条的规定，经营者的商业秘密受到法律保护。《关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第1条明确将与经营活动相关的用户数据纳入商业秘密的范畴。在衢州万联网络技术公司诉周慧民等侵犯商业秘密纠纷案中，法院认定，涉案网站数据库中的用户数据符合商业秘密的构成要件，应受法律保护。(30)衢州万联网络技术公司诉周慧民等侵犯商业秘密纠纷案，上海市高级人民法院民事判决书(2011)沪高民三(知)终字第100号。对经营者掌握的用户个人数据施加商业秘密保护与赋予数据主体数据携带权之间存在着一种内在的紧张关系。(31)郝思洋：《知识产权视角下数据财产的制度选项》，《知识产权》2019年第9期。如果商业秘密的保护被绝对化，那么数据携带权将失去存在的空间；反之，如果数据携带权被绝对化，那么商业秘密的保护将被架空。实现两者之间平衡的关键在于合理限定数据携带权的权利客体范围。《个人信息保护法》第45条未针对数据携带权适用的个人数据添加额外的限定。换言之，《个人信息保护法》中的数据携带权适用于各类个人数据，并未将衍生数据排除在外。笔直认为，我国应借鉴欧盟的理念，明确将数据携带权的客体范围限定为直接数据和观察数据。将不含或仅含有少量经营者智力创造的直接数据和观察数据列为数据携带权的权利客体能有助于促进个人数据的流通，而将含有大量经营者智力创造的衍生数据排除在数据携带权的权利客体范围之外则体现出对于经营者知识产权的尊重和保护。

六、结 语

数据有着第四次科技革命“新石油”的美誉。在我国，数据已被列为与土地、劳动力、资本、技术相并列的第5大生产要素。数据既是无限的，又是稀缺的。说它无限是因为人类社会每时每刻都在产生大量的数据，而说它稀缺是因为能够转化为现实经济效益的关键数据始终处于供不应求的状态。数字化市场中多数的关键数据被少数优势经营者所把控。经营者之间的数据流通被人为地设置了重重阻碍。由此而生的数据垄断已成为数据驱动型市场健康有序发展的一大障碍。

反垄断法在维护市场秩充、优化资源配置、增进消费者福利等方面发挥着重要的作用。然而，在面对数据垄断时，传统的反垄断机制却遇到了水土不服的难题。结合数据驱动型市场的特点更新传统的反垄断机制是我国反垄断规则未来完善的重点。2021年2月的《关于平台经济领域的反垄断指南》第11条已将经营者掌握和处理相关数据的能力、数据获取的难易程度等列为市场支配地位认定的考量因素；第20条已将经营者掌握和处理数据的能力、对数据接口的控制能力、用户迁移数据的转换成本等列为经营者集中的竞争影响的评估因素。

传统反垄断机制的更新固然重要，可在该机制之外探寻其他可供利用的规制手段同样是一种思路。数据携带权的行使能够产生促进数据在不同经营者之间流通的效果，从而有助于打破市场中的“数据孤岛”。虽然数据携带权具有破解数据垄断之功效，但是在数据垄断规制方面，它无法取代传统的反垄断机制。《个人信息保护法》中的数据携带权的出现不仅是数据主体权利体系发展的一大进步，而且为我国数据垄断的规制带来了新的契机。然而，我国的数据携带权制度尚不完备。我国应针对数据携带权制度设计上的不足，进一步完善相关规制，以便充分发挥该权利破解数据垄断的积极效用。