《中華人民共和國個人信息保護法》于8月20日正式發布，較諸之前草案，對個人權利影響最大的，莫過于第四十五條在“個人信息查閱、復制權”之外，增設“在個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑”。看到這一“個人信息轉移權”，人們會不由想起歐盟《一般數據保護條例》的“數據攜帶權”，即個人有權獲得其提供給數據控制者的相關個人數據，且其該數據應當是結構化的、普遍適用的和機器可讀的，個人還有權無障礙地將此類數據從其原數據控制者那里傳輸給另一個控制者。為此，還引發坊間就該條款是否專門針對“數據競爭與壟斷”的討論與猜測。不過，“個人信息轉移權”真的是中國版的“數據攜帶權”嗎？對此，我們還需要正本清源。

　　什么是“個人信息轉移權”的立法目的？

　　歐盟《一般數據保護條例》中的數據攜帶權服務于兩大目標：一是加強個人對其數據的控制，落實個體信息自決權，二是支持歐盟境內個人數據自由流動、促進控制者之間競爭，從而推動在數字化單一市場戰略的背景下的企業創新。與此迥異，我國個人信息保護法并未以“個人信息自決權”為基石，第四十四條中的“個人決定權”所指向的是“個人信息處理活動”而非“個人信息”，其體現為對個人信息處理活動的選擇權、限制權和拒絕權，而非個人信息的控制權，從而勾連個人信息保護法開宗明義所確立的“保護個人信息權益”和“規范個人信息處理活動”。另一方面，我國個人信息保護法將“個人信息合理利用”作為立法目的之一，但其主要體現為對個人信息所承載多元利益之肯認，平衡作為個人信息處理者的企業、國家機關與作為信息主體的個人之利益。因此，無論文本含義、立法說明抑或體系解釋，個人信息保護法均無競爭法上的考量，在正式稿最終刪除了草案第一條中“保障個人信息依法有序自由流動”的表述，充分說明其無意于個人信息流動與市場競爭秩序建構。

　　那么，個人信息轉移權究竟意在何方？這個問題其實并不難回答。個人信息保護法第一條通過“根據憲法，制定本法”的宣誓，將個人信息權利上溯至憲法第33條第三款“國家尊重和保障人權”、第38條“中華人民共和國公民的人格尊嚴不受侵犯”、第40條“中華人民共和國公民的通信自由和通信秘密受法律的保護”，從而彰顯出“以人民為中心”的人格權利保障目的。簡言之，個人信息轉移權作為查閱、復制權的延伸，為個人提供了更充分、更多樣的保障自身權利的渠道。個人健康醫療信息的轉移可謂最典型的應用場景。當一名病人轉院，或者在異地突發疾病之時，他就診的醫院只有全面掌握之前病歷信息后，才能妥當診治，此時，能否從其他醫療機構及時轉移個人信息就顯得意義重大。總之，個人信息轉移權系為信息主體利益所設，與市場主體利益無涉。

　　話說回來，我國法律并非沒有考慮數據流通和公平競爭，只是將這一任務交給了數據安全法。該法第七條提出：保障數據依法有序自由流動，促進以數據為關鍵要素的數字經濟發展，第五十一條的禁止規范進一步涵蓋了“排除、限制競爭的數據處理活動”，并將其引致反壟斷法來處理。這是非常適切的回應之舉。事實上，歐盟的實踐已經證明，不顧市場勢力和市場結構的一刀切式數據攜帶權，并沒有實現打破數據鎖定的效果。相反，這一權利反而成為大企業建立朋友圈、小企業喪失細分市場優勢的逆向機制。2018年，谷歌與微軟、推特、Facebook和蘋果合作共同致力于“數據傳輸項目”，并于2019年推出數據便攜性工具，多個巨頭的數據反而更加集中了。

　　如何行使個人信息轉移權？

　　由于數據攜帶權面臨著種種爭議，歐盟《一般數據保護條例》為該權利的行使施加了多重限制。首先，可攜帶的個人數據僅指數據主體本人提供的數據，不包括他人提供的數據，且不得含有可能有損第三人的權利或自由（如涉及到第三方數據權益、隱私權、商業秘密）的數據，其次，可攜帶的個人數據限于經個人同意或基于合同而自動化收集的數據。最后，被請求的企業只有在技術可行的前提下才有義務傳輸數據，不負有采用或維護技術兼容處理系統的一般性義務。

　　事實上，也正是因為數據攜帶權苛刻的行使條件，個人信息保護法采取了授權國家網信部門立法的形式，為個人信息轉移權保留了最大程度的靈活性。在相關細則尚未出臺之前，我們不妨借箸代籌，略做構想。首先，該權利指向本人提供的、無損他人權益的個人信息，因而權利人有必要證明其真實身份；其次，所轉移的是電子化個人信息，但并非結構化的、機器可讀的數據。個人信息轉移權承接查閱權、復制權而來，以充實個人知情權為依歸，其信息當為一般人所能理解，自不待言。與我國上述三位一體的權利不同，歐盟采取分而治之的路徑：《一般數據保護條例》第15條規定“個人數據訪問權（查閱權、復制權），第20條規定數據攜帶權，兩者在數據范圍和實施限制上均大相徑庭。與中國類似，訪問權對數據形式亦無強制性機器要求。最后，既然轉移的是一般人可閱讀的信息，則個人信息處理者便不存在數據攜帶權中技術兼容難題，理應提供轉移的途徑。

　　由此可見，個人信息轉移權與歐盟數據攜帶權，貌合神離。更確切地說，前者是在個人信息保護法的脈絡下，對后者的揚棄和革新。一方面，個人信息轉移權以信息和數據、人格與財產、個體與市場二分為原則，讓信息與人格歸于個體，讓數據、財產歸于市場，通過個人信息保護法和數據安全法實現了邏輯清明和功能簡化，消除了數據攜帶權因設計目標復雜導致的矛盾與模糊。但另一方面，個人信息轉移權也可能面臨”事與愿違“的后果，也就是個人信息可能因個人的無知或疏忽，從高保護水平的處理者不當流入了低保護水平的處理者，此時個人因信息轉移所帶來的損失反而大過了好處。為此，監管者可以仿效澳大利亞等國，從健康醫療、教育、就業、信用等貼合個人關切的場景和行業入手，劃定個人信息接受者的資質和保護標準，在個人信息安全基礎上，實現個人信息的有序轉移。須知，個人信息流動不是目的，個人信息之后的個人權利保障才是重中之重。