最终出台的个保法第45条，增加了第3款关于“个人信息可携带权”的规定：

个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

这一姗姗来迟又可谓不失时机的条款，将对整个个人信息保护法的体系带来质的变化。个人基于个人信息可携带权，可实现在各个平台或网站间自由移转其个人信息。不同于第四章规定的其他消极性权利（如访问权、更正、补充的权利、删除权），个人信息可携带权体现了个人对于自身信息的积极处分。这一权利的设立也有助于打破平台企业对用户的“锁定效应”及数据垄断局面，促进良性竞争。

欧盟于2018年《一般数据保护条例》中确立了“数据可携带权”，我国个保法引入个人信息可携带权主要借鉴了欧盟的立法实践。由于个保法的规定存在尚未明确之处，仅规定了“符合国家网信部门规定条件的”应提供转移的途径。因此，本文将以欧盟的经验为参照，为个人信息处理者正确理解与适用这一制度提供合规指引。

01. 响应可携带权请求的情形

根据欧盟《一般数据保护条例》第20条规定，数据主体有权以结构化、通用的和机器可读的格式接收其提供给控制者的有关自身的个人数据，并在基于同意或合同约定情形下处理数据时，有权不受妨碍地将这些数据传输给另一个控制者。《一般数据保护条例》还要求数据可携权只适用于数据处理是“通过自动化方式进行的”。个保法规定的个人信息不仅局限于以电子形式记录的，还包括书面记录的个人信息，但后者不属于行使个人信息可携带权的范畴。

个保法第13条规定了多项处理个人信息的合法性基础，企业以“取得个人的同意”或“订立、履行个人作为一方当事人的合同所必需”为依据处理个人信息的情况下，应当及时响应符合条件的可携带权要求。若公司是基于第13条第（3）至（7）项来处理个人信息的，则无需响应用户的请求。

个保法正式稿在第（2）项还新增了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”这一合法性基础，在这种情况下员工能否主张个人信息可携带权尚需明确。欧盟第29条工作组（欧盟数据保护委员会前身）制定的《数据可携权指南》指出[2]，在实践中，人力资源环境下的数据可携权无疑将涉及到一些处理操作(如支付和薪酬服务、内部招聘)，但在许多其他情况下，需要具体验证其适用于数据可携权的所有条件是否得到满足。

合规建议：员工的个人信息可携带权应当严格遵守“为订立、履行个人作为一方当事人的合同所必需”这一条件下的构成要件，对于在就业领域中遵守法律义务所必需的个人信息处理，企业无需响应相应的请求。

02. 可携带权的客体范围

个人信息可携带权的客体指向的是个人提供给信息处理者的个人信息。“提供”不仅包括用户通过自己明确的行为主动提供，还包括个人信息处理者对信息的收集。搜索引擎的历史记录、交通或位置信息、可穿戴设备记录的原始数据等均属于个人信息可携带权的客体。企业根据收集到的个人信息进行加工后产生的衍生数据，不在个人信息可携带权范围内，例如企业创建的“用户画像”。对于衍生数据的定义，司法裁判在“安徽美景信息科技有限公司、淘宝（中国）软件有限公司商业贿赂不正当竞争纠纷案”[3]中指出，衍生数据与网络用户信息、原始网络数据无直接对应关系，虽然同样源于网络用户信息，但经过网络运营者大量的智力劳动成果投入，经过深度开发与系统整合，最终呈现给消费者的数据内容，已独立于网络用户信息、原始网络数据之外。

根据《数据可携权指南》，匿名数据不属于个人信息可携带权的范畴，但能够明确与个人联系起来的假名数据（pseudonymous data）仍处于可携权请求范围内，例如该个人提供的标识符。

合规建议：个保法第3条有关个人信息的定义与《民法典》第1034条的规定不同，《民法典》采用的是“可识别”到具体自然人的标准，而个保法则扩大范围，只要与已识别或者可识别的自然人“有关”的信息均为个人信息。因此，企业若基于商业上的考虑，不想将某类信息传输给其他第三方，则应当建立起数据分类标记管理制度，对于相应的衍生数据进行完全的脱敏加工或匿名化处理。

03. 个人信息处理者的具体义务

（一）可携带个人信息的格式

欧盟《一般数据保护条例》要求以“结构化、通用的和机器可读”方式向数据主体或第三方提供个人信息。“结构化”指的是能够存储在计算机磁盘的结构数据，企业不能以书面形式向用户提供，以造成用户不必要的负担。“通用”意味着必须是能够被广泛地使用。“机器可读”则指的是能够被软件应用程序轻松识别和提取特定数据。上述三类特征实际上是相生相伴，你中有我的关系。

对于可携带个人信息的具体格式，欧盟并没有作出强制要求，欧盟《数据可携权指南》建议如果所在的行业或部门中没有通用的特定格式，则应使用CSV、XML和JSON等开放格式提供个人数据。

（二）“互操作性”协助义务

在上述格式要求下，欧盟鼓励行业内相关企业进行合作，共同制定一套通用的具有“互操作性”的标准和格式。欧洲议会2021年3月25日关于《欧盟委员会关于GDPR实施两周年评估报告》的决议[4]指出，鼓励在线平台为其所有底层数字平台创建单一联系点，以便用户可从该联系点将个人数据传输至正确的接收人。

这意味着，个人信息可携带权并不要求企业有义务采用或维持与其他第三方系统相兼容的处理系统。但是，收到用户转移个人信息要求的企业应当保证传输上的技术可行性，不能设置任何不合理的障碍，以减缓或阻止向其他个人信息处理者传输个人信息。障碍可能包括对用户的请求收取费用、对用户提供繁琐的验证要求、提供的数据不可执行等等。

（三）个人信息完成传输后的义务

对于传输个人信息的企业，不存在对接收方后续处理行为负责的义务，但是应当确保在使用API等方式进行传输的过程中，个人信息不受被篡改或窃取的风险。一旦传输完成，个人信息以数据的形式到达第三方控制的系统，相应的风险则转移给接收方承担。

对于接收个人信息的企业，并不是收到可携带权请求即可自动保留该数据，企业应当考虑接收该信息是否与处理目的直接相关，且未违法合法、正当、必要和诚信原则。此外，还需要考虑该个人信息中是否包含其他第三方的个人信息。

合规建议：

（一）企业应当履行好告知义务，为用户提供便捷的行使个人信息可携带权的渠道或方式，告知用户个人信息在传输过程中及传输后可能面临的风险。如果用户所请求的信息包含他人的个人信息，企业则应当进行评估传输这些信息是否会对他人的权益产生不良的影响。

（二）为确保企业自身系统满足可携带性要求，可采用系统内开放的API模式。对于涉及到多个平台的大型企业来说，由于隐私政策“一揽子同意”的模式已受到司法和执法的否定性评价，企业不能在未经用户有效同意的情况下，擅自将个人信息提供给具有关联关系的平台，因此建立完善的个人信息可携带性评估制度和传输渠道尤为重要。企业应明确可携带的、通用的、机器可读的数据形式，及时有效地处理用户的可携带权请求。

来源：吴旭华律师团队