最近出台的《中华人民共和国个人信息保护法》（2021年11月1日实施）的第四十五条第三款明确规定：“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”。这是中国第一次在正式立法中规定了数据的“可携带权”，究其源头就来自欧盟在2016年公布的《一般数据保护条例》（也有人翻译成“通用数据保护条例”，但笔者更喜欢用“一般”，因为在其公布的五年后，你会发现这个条例在欧洲没有那么通用，只能说是指明了一些数据处理“一般”原则，是故）。

【备注】本小文完成于2018年年底，本想借GDPR的热潮以及对反垄断的学习进行写作，但经过一番阅读后发现本命题的点可大可小，对于一个竞争法刚入门的“小学生”而言，想写好确实不易，且国内许多学者已有相关著述，故留下一个小篇幅的文献综述。文献的时间大约截止到2018年。至于后续是否要继续可携带权和竞争法的交叉研究，还要看笔者的近期研究成果与出站报告的最终成形态。待续……

1. 数据可携带权概述

数据可携带权（the right to data portability）是GDPR第20条新设的一种权利类型，其可以被视为GDPR第15条“数据主体的数据访问权（the individual’s right to access）”的延伸。数据可携带权是指数据主体有权获得和要求转移与其相关的特定数据。可携带权是信息自决权的重要体现，一般具有两层含义：一是数据的获得，即个人有权以通常使用的格式从机构接受个人已提供的数据；二是数据的传输，即个人可携带或转移其已经提供给机构的个人数据（京东法律研究所，2018）。目前，许多国家立法中都没有“可携带权”相关规定。

Voigt（2017）认为，虽然数据可携带权原本仅针对社交网络管理者，但现在仍可以在其他相关领域适用，特别该权利强调了“以消费者为中心”的理念，其将在与消费者相关的更广阔范围内适用。当然，该权利会对原本占中心地位的数据控制者产生较大的影响，过度保护亦将对控制者的合法商业活动和商业秘密保护等方面产生冲击。而第20条中“结构化的、通用的、可以机读的（structured, commonly used and machine-readable）方式接收”这个语句仍有待实践中去具体诠释，当然在该条约前言的第68条中明确表示其只是鼓励而非强制数据控制者开发可相互操作的数据格式。同时，第20条第4款亦明确了该权利的行使不能侵犯他人的权利和自由。

从数据可携带权的排他性来看，第20条明确规定数据控制者不可以通过技术手段阻碍数据主体对数据的转移，但是并没有规定事先在合同中的约定是否可以阻碍该转移。这个GDPR都没有对与数据权利相关的合同的合法性进行规制。而可携带权的主要经济目的就是促进服务提供商之间的正当竞争，而防止在市场中形成封闭而锁定的环境（lock-in）（Graef，2013）。如上所述，事实上第20条的适用必须遵守该条约的基本原则以及数据处理合法性规定，所以可携带权的适用让需要具体问题具体分析，同时要关注GDPR第23条欧盟与各成员国立法对该权利适用的限制。

GDPR中的数据可携带权仅适用于与数据主体相关的、数据主体提供的，基于同意或履行合同的要求的数据，不适用于因法律授权而处理的个人数据，以及GDPR第6条第1款（c）~（f）项中规定的履行法定义务、保护数据主体的重要利益、执行法定任务或履行法定职责以及为了合法利益而实施的必要处理的数据。刘云（2017）认为，该权利要求信息的控制者按照个人的要求提供通用机读格式的信息，迫使信息控制者对机读格式进行调整，从而降低了个人转移数据的难度，但也加剧了各个控制者之间的市场竞争。事实上，在数字经济背景下，数据竞争是企业竞争的重要组成部分，各个企业通过产品、技术和服务的优化与创新来改善用户体验，进而获得更多的用户和数据，此为一种良性的竞争形态。但数据可携带权的规定除了技术上给企业增加了更多成本外，更大的问题是带来了企业之间以此权利为工具抢夺数据，产生不正当竞争的风险。因此，数据可携带权的创设将在何种程度上予以落实，如何避免和规制其可能引发的恶性数据竞争，还需在后续的实践中进行检视。

2. 无价格因素的妨碍性市场支配地位滥用——以TFEU第102条为视角

根据TFEU第102条（即原《欧共体条约》第82条）的规定，一般可以将市场支配地位滥用行为分为四种（王晓晔，2011），而从性质上分又可以将其分成两类，即剥削性滥用（exploitative abuse）与妨碍性滥用[11] （exclusionary abuse）（王晓晔，2001）。剥削性滥用主要是指占有市场支配地位的企业因不受市场竞争的制约，从而可以对其交易对手提出不合理的交易条件，特别是不合理的价格。而妨碍性滥用主要是指，占有市场支配地位的企业为了维护自己的市场支配地位，或者进一步加强这个地位，或为了将其市场支配地位扩大到相邻的市场上，往往会凭借其已有的市场支配地位，妨碍公平竞争，其目的是排挤竞争对手或阻碍潜在竞争对手进入市场。该类滥用手段包括了策略性低价倾销、拒绝交易、歧视与搭售等等，其不仅会限制竞争，甚至会严重损害消费者的利益（王晓晔，2001）。

价格往往不是在讨论在线上商业环境中可替代性（substitutability）的可靠因素。如上述，在此领域的竞争往往都依靠非价格因素（如产品的质量）。如果一个企业不愿意将其数据与新进入市场的竞争者进行分享，那么这种破坏竞争的行为将导致所有企业的损失，而消费者利益也将受到侵害。而这种不愿意分享数据的行为可能会构成TFEU第102条中的“拒绝交易（refusal to deal）”。如果拒绝交易不能成立，那么还可以考虑竞争法体系内的“关键设施原则（又称必要设施原则，essential facilities doctrine）”，此原则专门针对妨碍性的反竞争行为（孙晋等，2018）。[1]在数字化商业中就是企业拒绝给其竞争者开放相关关键基础设施或重要设备，而禁止其竞争者利用该设施与其进行竞争。

在1973年的C 6/72 Continental Can案中，CJEU认为TFEU第102条可以使用在剥削性或妨碍性滥用上，且第102条所列的滥用行为并不穷尽（Whish，2015）。虽然，这是一个年代久远的案件，但是直至现在还具有重要指引作用。虽然，企业可以在实践中利用多种非价格手段来排除竞争，但在第102条适用下的相关案例却少的可怜。[2]一般而言，横向或纵向封锁（horizontal and vertical foreclosure）可以使得企业在上游或下游市场取得市场支配地位而限制竞争。妨碍性滥用可以通过低价倾销等方式实现横向封锁，但许多如拒绝供应（refusal to supply）等非价格因素行为一般都发生在下游市场。而交易和供应并不是企业对其竞争者必要义务，但如果该拒绝行为对竞争将产生巨大损害时，就需要由竞争法进行调整。另外，当前欧盟对于“关键设施原则”的适用十分谨慎，原因是对于企业而言如果被强制去向其竞争者提供关键设施，可能会对自身合法利益产生不利。所以，在适用该原则时必须对“关键”和“不可或缺（indispensable）”等原则或立法上的用词进行阐释，而该原则中的“关键设施”也不应该包括公共设施。

从过往的实践来看，企业拒绝提供的关键设施一般都是有型的基础设施或者受知识产权保护的财产物资，但在方兴未艾的多边商业模式（特别是在线平台）中，个人数据是否可以成为一种关键设施而同样适用该原则。这个问题将是本课题分析的核心之一。许多官方报告都将数据视为当前经济环境下的一种竞争优势。[3]如上述，算法（algorithm）是当前在线平台商业模式的核心，其利用搜集用户数据从而达到改善平台服务质量的目的。但对于广告商而言，搜集用户数据是为了更加准确地定向投放广告）因此，用户数和点击率的增加将同时提升服务商的收入。根据Graef的观点，此种营利模式可以被视为商业使用数据与经济规模大小的一种连结。而数字化商业的核心市场竞争力就在于其服务的质量与其所拥有的用户数据的规模。但数据更新的速度较快，故企业需要不断地对数据进行搜集和整理。因此，一个企业在某一种类数据的潜在市场中的竞争地位，是由其利用数据而获得的利润所决定的。[4]

在过去几年中，法国与比利时的竞争监管机构已在处理的案件中，关注到竞争企业在复制或利用（reproduce）由占据市场支配地位企业的数据。虽然，这两个案件都可能与在线平台没有直接的联系，但是都指向了在垄断背景下的数据交叉使用（cross-use）问题，且将数据视为一种商业资源对其的复制或利用将导致财政或暂时的竞争优势。[5]从整体上看，虽然欧盟层面上还没有对数据在竞争中的重要性进行阐释，但从各成员国竞争监管机构近年来的实践看，数据作为关键设施的可能性在不断增强，但在做此认定之前必须对该数据或数据集的具体情况与特征进行清楚地认定，同时要与欧盟本身立法上对于数据库的保护（即为sui generis）和商业秘密区分开来。[6]

3. 欧盟竞争规范在数据可携带权中的适用

如上述，GDPR第20条的制订立场是站在数字环境中的消费者，但消费者的权利亦将受到其他法律和该条约本身相关还规定的限制与束缚。而该条款适用所波及的范围不仅是占有市场支配地位的大型互联网企业，还包括了所有初创与中小型企业，可携带权不可避免地将给这些企业带来成本增加的负担。事实上，如Vanberg（2017）所言，在2015年谷歌已经推出了可执行用户数据包下载和转移的“谷歌外卖（Google takeout）服务”，但是该流程耗时且复杂，用户使用率一直不高。

消费者可以在不同平台中自由转移个人数据，是一个健康市场的标志。而不提高数据转移的成本和不设置数据转移的障碍，也是竞争法所要求的。一般而言，可以将数据可携带权分成两个实现层面：一是控制者与用户之间的转移（controller to user）；二是控制者到控制者的转移（controller to controller）。Vanberg（2017）认为后者要比前者更为重要，特别是在线上平台市场中，一般用户都缺乏数据转移的技术能力，且对此亦不大关注，但在控制者与控制者之间的数据自由转移却有较大技术与法律意义。所以，大部分对数据可携带权的实践探讨都集中在了第二个层面上。而由于技术壁垒与不同的技术标准，这种控制者之间的数据转移在现实中很难顺利实现，所以才有了竞争法可讨论的切入点。

在实践中，企业很难从其他企业手中顺利实现数据的转移，而只能开发自己的数据，同时关键设施原则的现实适用也不是很容易。但自2010年开始的欧盟委员会对谷歌的调查，以及德国联邦卡特尔局在2016至2018年对脸书的调查中，都涉及了相关议题而值得去深入研究。2010年的谷歌垄断调查中，谷歌利用其市场支配地位，与其他公司签订了合同，其中就有防止其他公司将数据从谷歌广告服务（AdWords）中转移到其他广告平台，该项条款可能造成对其他广告平台的不利影响。在2013年欧盟委员会的初步调查中，就发现了谷歌通过合同对线上的广告的限制。委员会发现谷歌在以搜索结果、搜索行为和用户搜索历史等个人数据上占据了市场支配地位，谷歌同时拒绝与其他竞争者进行数据分享（Vanberg，2017）。故谷歌的该限制数据可携带权的行为违法了TFEU第102条第b款的规定。从委员会的审理看来，TFEU第102条可能会扩展GDPR第20条中数据主体的权利范围，而对于第20条不能保护的部分还可以使用第102条来进行平行保护。在本案中，欧盟委员会还调查了脸书的隐私政策和数据保护工作。

而在2016年德国联邦卡特尔局对于脸书收购WhatsApp的调查中，重点考察了脸书是否具有滥用其市场支配地位而侵犯数据保护规范的行为。这也是一次对于占据市场优势的企业的竞争调查中加入了数据保护侵权的考量。在2016年，欧盟委员会竞争专员维斯塔格的公开发言中，其就谈到占据市场优势地位的技术平台可能通过海量个人数据的采集与存贮导致排除其他竞争者的市场准入，从而违反了相关欧盟的竞争法律。

在德卡特尔局调查过程中，发现了有至少有三个挑战：一是如何证明脸书在社交网络市场中的支配地位。特别是相关市场这个概念，在数据可携带权的观念下，脸书其实并没有与其他平台进行直接竞争，而像领英、Snapchat等平台自身也在利用个人数据；二是脸书利用其强加在用户身上的合同条款是否就构成了滥用市场支配地位。对于卡特尔局本身而言，将数据保护法和竞争法综合进行考量是一个巨大的挑战；三是如何在TFEU第102条与数据保护立法之间建立因果联系。在此卡特尔局借鉴了德国联邦最高法院的在2013年的判决（BGH 6.11.2013, KZR 58/11 „VBL-Gegenwert“）中对于两类法律的连结方式。而值得注意的是，在2017年德国反对限制竞争法第九修正案中，特别加入了“互联网相关标准”以来评估在数字经济背景下的市场支配地位。该新标准也可以被用于数据注入和网络效应等问题。另外，在第九修正案中赋予了竞争机构对收入低却收购价格高的企业并购案的调查权，因为这些企业可能是初创企业，但其手中掌握了大量有价值数据且具有成长潜力。

尾注：

[1] 该原则缘起于美国反托拉斯判例之中,即美最高法院1912年的Terminal Railroad decision, United States v. Terminal R.R. Ass'n of St. Louis, 224 U.S. 383, 409, 1912｡欧盟对于此原则的引入来自于Case IV/34.174 Sealink [1992],随后在C-7/97 Bronner [1998]案中,CJEU又对该原则的适用进行了限制｡

[2] 例如Case C-457/10 P AstraZeneca [2012], ECLI:EU:C:2012:770｡

[3] 详见European Data Protection Supervisor: Preliminary Opinion – Privacy and competitiveness in the age of big data: The Interplay between data protection, competition law and consumer protection in the Digital Economy, March 2014

[4] 关于数据的种类,可参见南开大学陈兵教授的文章｡

[5] 详见Decision No. 14-MC-02 of the French Competition Authority (L’Autorité de la Concurrence), 9.9.2014;Case PK-13-0012 Nationale Loterij NV, 22.9.2015｡

[6] 数据库与商业秘密都没有对其保护数据的性质上有具体的要求,而在竞争法范畴中应该对该数据或数据集的基本性质以及所发挥的作用进行清晰地认定｡

[11]孟雁北书中称为“排挤性滥用”，也有称为“排他性滥用”。

参考文献：

[1] Graef, Inge: Putting the Right to Data Portability into a Competition Law Perspective [J], The Journal of the Higher School of Economics, Annual Review, 2013, p. 53-63；

[2] Vanberg Diker A, Ünver M B. The right to data portability in the GDPR and EU competition law: odd couple or dynamic duo? [J]. European Journal of Law and Technology, 2017, 8(1);

[3] Voigt, Paul; Von dem Bussche, Axel: The EU General Data Protection Regulation (GDPR) – A Practical Guide [M], Springer Internatonal Publishing AG, 2017；

[4] Whish, Richard; Bailey, David: Competition Law [M], Oxford University Press, 2015;

[5] 刘云.欧洲个人信息保护法的发展历程及其改革创新[J].暨南学报(哲学社会科学版),2017,39(02):72-84；

[6] 孟雁北. 反垄断法（第二版）[M]. 北京大学出版社, 2017;

[7] 孙晋,闵佳凤.论互联网不正当竞争中消费者权益的保护——基于新修《反不正当竞争法》的思考[J].湖南社会科学,2018(01):75-85；

[8] 王晓晔. 反垄断法[M]. 法律出版社, 2011；

[9] 王晓晔. 欧共体竞争法[M]. 中国法制出版社, 2001.