导语：App过度收集个人信息、大数据杀熟、“二选一”……伴随中国首部个人信息保护领域的专门法律出台，这些数据领域的垄断和算法滥用行为将成为监管重点，平台治理正被按下“加速键”。

App过度收集个人信息、大数据杀熟、“二选一”……伴随中国首部个人信息保护领域的专门法律出台，这些数据领域的垄断和算法滥用行为将成为监管重点，平台治理正被按下“加速键”。

《中华人民共和国个人信息保护法》（下称《个人信息保护法》）在耗时18年、历经三审后，终将于2021年11月1日起施行。作为中国个人信息保护领域的基础性法律，它与《数据安全法》《网络安全法》《民法典》共同构建了我国的数据治理立法框架。

值得关注的是，从历经三次审议到正式发布，《个人信息保护法》对网络领域的不正当竞争行为、平台垄断的关注度不断提升。

“《个人信息保护法》已触动互联网经营者的一根敏感神经。”中国电子技术标准化研究院网安中心测评实验室副主任何延哲在接受第一财经采访时称，一方面，通过引入个人信息可携带权，强化了个人对于个人信息的控制权；另一方面，通过加强对个人信息处理者自动化决策的合规性要求和监管，互联网平台的算法陷阱有望得到约束。

“大型互联网平台通过流量、数据等方式所掌握的‘权力’不断被限制、管控，这将成为未来监管工作不变的趋势之一，相关企业应在挖掘算法价值和维护个人信息法益中寻求平衡。”他说。

增设可携带权

《个人信息保护法》尘埃落定后，公民对于个人信息拥有了更强的自主权。

根据《个人信息保护法》第四十五条，对传统的查阅复制权进行扩张，增设有限的可携带权，即“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径” 。

所谓可携带权（Right to Data Portability），最早由欧盟《通用数据保护条例》（GDPR）正式提出，包括个人数据副本获取权以及个人数据移转权。业界普遍认为，这一权利不仅让个人信息跨平台转移将有法定依据，还有利于打破平台封禁，有效回应大型互联网平台“数据垄断”现象，促进信息流通。

在中国，个人信息可携带权首次出现在个人信息保护法草案（三次审议稿）中。

北京清律律师事务所首席合伙人、清华大学法学院互联网法律与政策研究中心秘书长熊定中对第一财经透露，此前，个人信息可携带权一直是业界关注的焦点，但由于个人数据被互联网企业视为重要资产，该项权利的确立，将造成互联网平台的用户流失，增加其运营成本，故而长时间不被产业界接受，仅止步于理论探讨的范畴，难以落实到实际立法中。

“虽然，目前《个人信息保护法》中的‘个人信息可携带权’更大程度上仍是一个宣示性条款，尚未有细则出台，但这已经是一个巨大的进步，意味着互联网巨头在数据上的垄断优势被打破。”熊定中称。

他还指出，个人信息可携带权是“有范围”的，即可转移数据应为个人主动提供或被收集的原始数据，不包括企业经算法处理的用户画像或包含第三方信息的数据副本。

“这就对互联网企业技术的可实现性、经济成本把控的合理性提出了更多要求，也需要监管机关在设定规则、打造典型案例的过程中，不断丰富数据可携带权的实现途径和方式。”北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心副主任吴沈括进一步对第一财经分析称。

但个人信息转移权的确立，并不意味着用户与平台、平台与平台的对立。

中国信息通信研究院云计算与大数据研究所副所长魏凯告诉第一财经，通过用户主导发起的个人信息跨平台转移，有利于增强平台间竞争，激发数据要素活力。“在这个过程中，互联网企业或存在短期阵痛，但从长远来看，其仍可以通过优化服务，来留住用户，是具有正向的经济意义。”

责任加重、监管趋严

作为个人信息处理者，互联网平台是个人信息保护的关键环节，将面临来自《个人信息保护法》的多方面约束。

其中，大型个人信息处理者的监管与其对个人信息保护特别义务被不断强化。