个人信息可携带权一般是指信息主体有权获取其提供给信息处理者的个人信息，并有权将该个人信息无障碍地从该信息处理者处传输至其他信息处理者，个人信息可携带权被认为具有保护个人信息权益的同时可以遏制大型企业数据垄断促进数据市场竞争和数字经济繁荣的作用，但该权利自提出以来争议就比较大，欧盟《通用数据保护条例》（简称“GDPR”)新增个人数据可携带权规定后，美国加州、英国等也相继引入个人信息可携带权，我国《个人信息保护法（草案）》第一、二次审议稿中并没有个人信息可携带权条款，但第三次审议稿以及最终出台的《个人信息保护法》（简称“《个保法》”）新增了个人信息可携带权条款，不过该条款仅是原则性规定，其权利客体范围、适用情形以及个人信息处理者如何响应等均有待进一步明确，这对目前企业合规来说无疑是一个难题。

为此，本文参考GDPR规定及适用来探讨我国企业现阶段关于个人信息可携带权合规思路。由于欧盟采用个人数据可携带权概念，而我国个人信息可携带权概念，两个概念内涵相同，为行文之便，本文统一采用个人信息可携带权表述。

一、个人信息可携带权客体范围 

我国《个保法》未明确，首先来看GDPR的规定，根据GDPR第20条，个人可携带的个人信息类型必须是：

1.本人的个人信息（personal data concerning him or her）；

2.个人信息主体提供给个人信息控制者的（which he or she has provided to a data controller）。

但是，可携带权所涉及具体为何种类型的个人信息仍不明确，对此，29条工作组制定的《Guidelines on the right to data portability》 （简称“《指南》”）对上述两个要求作了进一步细化：

1.何为本人个人信息？

对于何为本人的个人信息，GDPR第4条定义为确定的或可识别的自然人相关的任何信息，即可识别和关联两个标准，我国《个保法》第4条持相同标准。由此，《指南》进一步指出任何匿名或者与数据主体无关的数据不在数据可携权请求范围内，但可以明确与数据主体联系起来的匿名数据（pseudonymous data）仍属于可携带权范围。

由于个人数据的关联性标准，当一个数据控制者处理数据含有多个数据主体的个人数据情况下，这些关联数据也可能属于可携带权范围，比如：用户网络电话记录可能包含的第三方人员的拨入和拨出信息，或用户帐户记录的数据涉及多名人员的个人数据，这些记录与数据主体相关，该用户应该能够获得这些数据记录。

２.何为信息主体提供的个人信息？

数据主体提供的个人信息，包括：（1）主动提供的个人信息，如注册账户填写的信息，包括用户名、年龄等；（2）数据主体在使用服务或设备等过程中留下的数据，如个人搜索记录、交通数据和位置数据，还可包含其他原始数据，以及可穿戴设备记录的心跳数据。但是，以“数据主体提供的数据”为基础而创建的“推测数据”和“派生数据”，如用户健康状况评估结果等不能被视为数据主体提供的数据。

3.我国个人信息可携带权客体范围应如何界定？

我国《个保法》第45条第3款规定“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”。

可见，对于个人有权要求转移至指定的个人信息处理者的个人信息类型，并不明确。目前新版《个人信息安全规范》第8.6条规定信息类型仅包括：1.本人的基本资料、身份信息；2.本人的健康生理信息、教育工作信息。

因《个人信息安全规范》仅为推荐性国家标准，且规定可携带的个人信息范围过窄，与我国个人信息可携带权制度、技术发展现状和现实需要等情况不相吻合。对此，笔者认为，我国个人信息可携带权客体范围可参考GDPR和《指南》规定，理由如下：

（1）我国《个保法》与GDPR关于个人信息的定义具有相同定义；

（2）我国《个保法》第4条已将“匿名化处理后的信息”排除在外，而匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程，其与《指南》所指“推测数据”相衔接；（3）我国司法实践也将在用户个人信息基础上经过匿名化等脱敏处理后形成的衍生数据认定为不属于用户个人信息，而属于数据处理者具有特定财产权益的资产，如安徽某公司诉淘宝（中国）软件有限公司不正当竞争纠纷案等。

 因此，笔者认为我国个人信息可携带权客体范围包括：1.使用产品或服务过程中主动提供给个人信息处理者的可识别的个人信息；2.使用产品或服务过程中形成与个人相关联的个人信息；3.个人信息处理者掌握的前述个人提供的个人信息，经过去标识化，但仍未达到匿名化处理标准的个人信息。当然经过去标识化处理后个人信息主体的可携带权客体是有所限制的，具体如何确定笔者认为应根据个案情况，结合去标识化技术安全性和对信息主体隐私保护等因素确定，本文不作展开。

相应地，不属于可携带权客体范围的信息：1.匿名化处理后的信息（按照《个保法》规定匿名化是指经过处理后无法识别特定个人，且不能复原的过程）；2.在匿名化处理基础上通过特定算法、大数据技术等进一步处理形成的标签或者数据集等。

二、何种情形下享有个人信息可携带权？

我国《个保法》规定“符合国家网信部门规定条件的”可行使该权利，显然，立法时并没有充分考虑个人信息可携带权适用情形，而是授权给国家网信办进一步细化，在未有细化规定之前，个人何种情况下享有并可行使个人信息可携带权？

1.基于个人同意或者合同履行需要

我国个人信息可携带权制度是借鉴GDPR而来，相比之下，GDPR第20条规定较为明确，因此笔者同样先从GDPR规定来分析。

GDPR第20条规定两种数据处理情形下，个人数据主体才具备可携带权，即该条第1款（a）项规定“基于个人数据主体同意或者基于履行与数据主体之间合同”而处理个人数据，且还要满足第（b）项“通过自动化方式处理个人数据”。换言之，除前述处理个人信息情形外，不触发个人信息可携带权。

相同的是，我国《个保法》也规定了“同意以及为订立、履行个人作为一方当事人的合同所必需”这两种可合法处理个人信息的情形，适用个人信息可携带权应无异议。

至于我国《个保法》规定“基于依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”而处理个人信息是否适用个人信息可携带权，则需进一步考量，《指南》的观点是，人力资源环境下如涉及到一些处理操作，如支付和薪酬服务、内部招聘享有个人信息可携带权，但在许多其他情况下，需要具体验证数据可携权的所有条件是否得到满足。

因此，我国《个保法》第13条规定：（３）基于法定为履行法定职责或者法定义务所必需；（４）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（５）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（６）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（７）法律、行政法规规定的其他情形，均没有个人信息可携带权适用的空间。

２.通过自动化方式处理个人信息

不同的是，GDPR规定个人数据可携带权适用于通过自动化处理个人数据的情形，而纸质化方式处理个人信息无个人数据可携带权，我们此前也讨论过了我国《个保法》适用包括纸质化处理个人信息的情形，适用范围较广，故通过纸质化处理个人信息是否有个人信息可携带权则不明确，但从技术和成本等角度来看，在我国纸质化方式处理个人信息也无适用可携带权的基础。

３.不得对第三人权利和自由造成不利影响

这种情形是指，当数据主体要求传输给新数据处理者所传输的数据涉及第三人数据权利时，一般而言，该第三人要么同意新数据处理者对其个人数据进行处理，要么与该数据处理者签订合同，以便新的数据处理者获得合法的处理依据。在无法获得处理该第三人数据合法依据情况下，该数据处理者为了避免合规风险，可对数据主体行使可携带权设置障碍，甚至拒绝。

对此，《指南》指出数据可携带权的行使不得对其他数据主体的权利和自由造成不利影响，例如涉及第三人的信息访问权等。但是，数据可携带权也不应涉及第三人情况就一概否定。如网页邮件涉及联系人、朋友、亲属、家庭和更广泛情景的通讯录等，此类数据与上述数据可携带权的可识别个人相关；再如，数据主体的银行账户包含涉及相关交易的个人数据，不仅包含银行账户持有者的数据，还包含其他个人的数据（例如，已把钱转给第三人的账户信息）。

以上情况下行使数据可携带权，这些第三方的权利和自由不太可能受到不利影响，且数据处理都用于相同的目的。相反地，如果新的数据处理者将个人数据用于其他目的（例如将包含第三人的个人数据用于营销目的），则第三方权利和自由将无法得到保障。

由此可见，涉及第三人个人信息权利时，个人信息可携带权适用变得复杂，需要考量很多因素。笔者观点是我国同样会限制这种涉及第三人权利的个人信息可携带权，具体情况还需要根据网信办的细化规定来处理。

三、个人信息处理者该如何响应？

当个人信息主体提出个人信息携带请求时，个人信息处理者该如何响应该请求？进一步而言，个人信息处理者应承担何种义务？

1.个人信息格式上有何要求？对涉及转移的个人信息至新个人信息处理者时所格式有何要求？

我国《个保法》同样未置一词，GDPR第20条规定，要求所转移的个人数据以结构化、通用的和机器可读的格式，该格式并非要求形成一种统一的格式，GDPR序言第68条解释结构化、通用的和机器可读的格式的目的是提高数据处理者之间提供数据的可操作性，也称互操作性。

2013/37 欧盟指令序言第 21 条对“机器可读”作的定义是一种结构化文件格式，应用软件能容易验证、识别并提取特定数据，提供这种格式的数据不应该使数据处理者负担较高的成本，GDPR序言68条进一步指出数据可携带权的目的是产生具有互操作性的系统，而不是兼容系统。

《指南》提到各个行业最适合自身的数据格式可能有所不同，如果在特定行业或特定环境中没有通用数据格式，数据控制者应当采用常用的开放数据格式（例如，XML、JSON、CSV 等）和最佳粒度级别上的有用的元数据提供个人数据。29条工作组鼓励行业利益相关方和行业协会进行合作，共同制定一套通用的具有互操作性的标准和格式，以满足数据可携权的要求。

因此，笔者认为GDPR及相关规定和实践具有直接的参考意义，同样地，我国个人信息可携带权具体采取何种格式提供也并没有固定的标准，而是以行业通用格式为基准，实践中可能会因不同行业的技术发展水平进行调整。

2.如何提供？

这里所指并非格式，而是个人信息处理者是直接传输个人指定的全部个人信息，还是提供可提取相关个人信息的工具。GDPR规定是在技术可行的基础上数据控制者负有直接传输的义务，以最大限度实现可携带权。但此种情况下，因不同数据处理者之间可能采用不同的软硬件设备，可能存在无法直接传输的情况，或者直接传输给数据处理者负担过重，可以采取替代方式，如实践中确实存在技术障碍确实难以传输的，需要向个人信息主体解释。

因行业和技术的原因，笔者认为实践场景中确实存在难以直接传输的情形。若确实无法实现可携带权的情形，个人信息处理者需要向个人信息主体解释和举证此种情形下个人信息可携带权无法实现。

3.要确保转移数据的安全

安全要求是第一步也是最重要的一步，建立准确识别提出可携带权的信息主体的身份的机制，确保不存在被冒用、盗用等风险，如果对个人信息主体身份产生合理怀疑，可以要求个人信息主体提供补充信息，以对个人信息主体进行身份验证。

第二步，确保将指定的个人信息传输给正确的新个人信息处理者，传输过程必须采取安全保障措施，保障个人信息不存在泄露等风险。

虽然个人信息接收方是个人信息主体指定，一般在前述保障安全的情况下传输完即可，但如个人信息接收方数据安全保障能力较差或者可能出现数据安全风险的，个人信息处理者可以告知个人信息主体，并可以拒绝履行。此外，在涉及影响到第三人个人信息或者公共利益情况下，个人信息处理者可以拒绝响应个人信息可携带权。

亦如前述，提供个人信息格式和方式都要满足安全标准，否则，即便技术可行也不应传输。

4.其他

包括响应个人信息主体可携带权请求的时间，拒绝回应个人信息可携权请求情形和方式，个人信息可携带权行使成本过高的收费等，GDPR和《指南》都有提到，因篇幅所限，本文不做展开。

四、合规思路

在国家网信部门未作出细化规定前，我国个人信息可携带权制度的落实仍未有定论，但对大量处理个人信息的企业来说，个人信息可携带权已具有实际的具体应用场景，故企业需要作相应的合规应对，为此，在我国现有规定基础上，结合GDPR的规定，笔者提出如下合规建议，供企业参考。

第一，隐私政策中增加个人信息可携带权条款及相应机制，包括提出方式、响应时间、提供格式以及收费情况、拒绝可携带权行使请求情形、申诉渠道、联系方式等，告知个人信息在传输过程中及传输后可能面临的风险，具体结合企业实际情况进行确定。

第二，针对所收集的信息，建立个人信息和数据分级分类管理制度，并进行备份和采取安全管理措施，在此基础上结合业务需要对个人信息进行处理后所得信息进一步进行分类管理，区分初始个人信息、脱敏和匿名化等不同处理程度的信息，避免个人信息可携带权涉及到匿名化中或处理后的个人信息。

第三，补充个人信息可携带权行使时涉及第三人权益的申诉机制，如有必要，企业则应当就传输这些信息是否会对他人的权益产生不良的影响进行评估。

第四，企业要尽可能提供行业通用、普遍可读格式的个人信息，即试图实现结构化、通用的和机器可读的目标，在技术可行的情况下，直接传输个人信息，在数量很大的情况下，可采用系统内开放的API接口的方式。

第五，数据内部控制制度上，增加数据可携带权审查机制，审查包括个人信息可携带权请求人、可携带请求的基础、接收方、涉及个人信息类型、格式、安全传输机制等，以确保个人信息安全。

五、结语

因我国对个人信息可携带权规定较为模糊，而且本身争议较大，具体在实践中如何落实需要国家网信办进一步规定，但GDPR关于数据可携带权制度和实践经验方面都具有可操作性和先进性，在没有具体规定前，借鉴欧盟的经验可以减少争议，对我国企业的合规参考意义极大，企业可借鉴并着手调整和落地。