歐盟數據可攜權的困境與本土化思考

刁勝先 李施芩

摘要：歐盟在《通用數據保護條例》中創造性地規定了數據可攜權，以期在增強數據主體對于其個人數據控制力的同時，促進歐盟本地互聯網產業的創新和發展。作為一項新興權利，數據可攜權既充滿著希望又引發了世界范圍的爭議。通過對數據可攜權的演進、價值、要素、行使和困境等進行分析，在肯定其加強和促進個人數據法律保護的前提下，直面其不足與弊病，再結合我國產業發展和個人信息保護立法現狀，對其本土化思考有所助益。我國目前不宜盲目引進或一味拒絕數據可攜權，應當針對具體國情，借鑒其經驗并對其進行本土化取舍，構建適合我國的可攜權內容，以實現我國數據產業發展與個人數據主體權益保護的平衡。

關鍵詞：數據可攜權;《通用數據保護條例》;權利架構;本土化

中圖分類號：D913;D912.1 文獻標識碼：A 文章編號：1673-8268（2020）02-0068-10

一、歐盟數據可攜權的演進與價值

（一）提出與演進

隨著大數據技術的發展和普及，個人數據保護已經成為各國熱議的話題之一。世界上最早的個人數據保護立法可以追溯到美國1970年通過的《美國公平信用報告法》和德國黑森邦州1970年的《資料保護法》。而歐盟委員會也為了防止個人數據被不當處理，在1995年正式通過了《第95/46/EC號保護個人在數據處理和自動移動中權利的指令》（以下簡稱“95指令”），旨在保護個人數據免受非法收集、超出目的范圍的處理、傳輸以及個人信息泄露的威脅。但是面對大數據時代的到來，數據的收集和處理變得日益頻繁，個人數據泄露和被不法利用的例子頻發，使數據主體對于其個人數據的控制力受到了前所未有的威脅。除此之外，以谷歌、Facebook、微軟等為代表的美國互聯網巨頭的崛起，限制了歐盟的本土互聯網企業發展，使其與前者的差距越來越大。在此背景下，為了加強對個人數據的保護，打造一個更加公平透明的市場競爭環境，歐盟委員會于2012年在95指令的基礎上起草了《通用數據保護條例》（General Data Protection Regulation，GDPR），創造性地引入了數據可攜權的概念，這項新穎又充滿爭議的個人數據權利在經過四年的討論和修改后被固定在了GDPR的最終文本中。而后，為了明確GDPR中尚未具體說明的相關概念，歐盟第29條工作組（Article 29 Working Party，WP29）在2017年4月發布了關于數據可攜權的指南，大體上完善了數據可攜權的法律框架，為數據主體和數據控制者提供了指導，從而使其更有效地行使這項新的權利。

從數據可攜性這個想法的產生來看，數據可攜權事實上產生于數據保護法領域之外。早在2007年，數據可攜性項目（The Data Protability Pro-ject）就產生了，旨在討論和解決在商業環境中如何保障數據不被約束地傳輸，并為個人數據在商業環境中傳輸奠定了基礎。這個項目在當時受到了許多大型數據控制者例如Facebook和Google的關注，并提供了自愿的配套解決方案。例如，Google在2011年創建了“Google Takeout”工具，允許其用戶從27種谷歌產品中導出和下載其個人數據。Facebook也提供了類似的下載工具，允許其用戶不僅能下載他們在個人資料中分享的信息，而且還能下載其他被動數據，包括用戶活動日志、曾點擊過的廣告和曾登錄過的IP地址等。但是從實踐的角度而言，這個項目事實上很難在激烈的商業競爭環境中實現;從本質上來講，該項目提供的數據可攜性提議非常類似能使個人深入了解其個人數據使用情況的數據訪問權，但是卻不能有效地促進該項個人數據向第三方數據控制者的傳輸。而這同樣也是GDPR數次草案修改中關于數據可攜權是否獨立于數據訪問權的重大爭議點。

數據訪問權作為一項正式的法律權利被提出，是在2012年1月歐盟委員會提交的GDPR草案中。在最初的草案中，數據可攜權被規定于第15條，與數據訪問權獨立存在。然而此項規定引發了企業和學界的眾多爭議，主流的反對意見認為數據可攜權應當作為數據訪問權的一項具體內容而并入訪問權規定之中。因此，在2014年3月歐洲議會通過的GDPR修正案中，數據可攜權被合并入了數據訪問權，盡管歐洲委員會對于數據可攜權獨立性的觀點在這一系列的修正案中并沒有改變，但是歐洲議會仍然認為數據可攜權不應該被視為一項獨立的權利，而應當被視為數據訪問權的延伸。但最終在2016年4月，經過歐盟委員會、歐洲議會和歐洲理事會的再三磋商，數據可攜權的權利內容包括但是不局限于數據訪問權，因此被再次確立為一項獨立的數據主體權利固定于GDPR的最終文本之中。因此，有學者也提出，可以將數據訪問權看成是數據可攜權的先決條件，而將數據可攜權視為從訪問權發展而來的、數據主體對于其個人權利控制的補充。經過兩年的過渡期后，數據可攜權隨著GDPR于2018年5月25日正式對所有成員國具有法律約束力。

（二）功能與價值

數據可攜權的設立不可避免地改變了個人數據的控制方式，這種改變既體現在數據主體與數據控制者之間，也體現在有競爭關系的數據控制者之間。歐盟委員會認為設立數據可攜權的立法目的在于：首先，增強數據主體對于其個人數據的控制力和支配力，這種控制力不僅表現在數據主體能夠要求數據控制者提供其個人數據，更表現在數據主體能夠對其個人數據進行重復利用。例如，某音樂軟件的用戶可以要求此音樂軟件提供包含該用戶的個人賬戶信息、音樂偏好消費習慣等個人數據的格式化副本，并將此副本轉移至另一音樂軟件。其次，數據可攜權的設立還能降低企業在歐盟地區的市場準入門檻，進而增加消費者福祉。

有學者指出，由于數據可攜權的規定不僅要求數據控制者提供數據主體訪問其個人數據的權利，還要求其提供可供轉移的統一化格式，并且在數據主體將其個人數據傳輸給另一家服務提供商時，數據控制者也需要投入額外的成本來防止在這一過程中可能產生的泄露商業機密和知識產權的風險，這些要求都會大大增加數據控制者的管理成本，不利于小型互聯網企業的孵化和發展、甚至導致微小型企業破產，從而降低消費者福利。但從另一個角度來看，由于數據可攜權的規定賦予了數據主體對于其個人數據類似所有權的權利，因此，他們可以根據自己的自由意志來支配自己的個人數據，從而保障消費者擁有更多自由選擇網絡服務提供商的權利，削弱了大型互聯網公司例如亞馬遜、Facebook等利用其現有的市場優勢和“鎖入”政策來維系用戶數量和市場規模的行為。一方面，大型互聯網公司需要投入更多精力進行創新，提高產品用戶體驗和保障消費者隱私來吸引消費者繼續青睞其產品。另一方面，正如前歐盟委員會競爭司司長Joaquin Mmunia指出，數據可攜權可以帶來一個更加良性的互聯網競爭市場，因為對于中小型企業而言，這會降低互聯網市場準入門檻，使更多的競爭者加入到市場之中。對于消費者而言，數據可攜權的設立不僅可以增強消費者對于自己個人數據的控制力，降低更換網絡服務提供商的成本，更能迫使互聯網企業投入更大的精力于公司產品創新從而吸引消費者將其個人數據轉移至己方平臺。從某種程度上而言。數據可攜權的設立提出了一種新的解決數據主體和數據控制者之間關系的思路，打破了以往數據控制者特別是某些大型互聯網公司主導個人數據使用的模式。這不僅滿足了歐盟委員會提出的保障消費者能更好地在線獲取數字產品和服務的建設數字化單一市場的要求，而且達到了在強化消費者個人數據保護力度的同時又充分激發互聯網市場活力的效果。

二、歐盟數據可攜權的要素

（一）數據可攜權的主體

1.權利主體

GDPR第1條指出：“本條例保護自然人的基本權利與自由，特別是自然人享有的個人數據保護的權利。”雖然GDPR沒有明確否定法人的權利主體資格，但是從GDPR第1條立法目的和第4條對于條例內各項概念的定義解釋可以看出，法人并不是受GDPR保護的權利主體，更不可能是數據可攜權的權利主體，由此得知數據可攜權的權利主體為自然人。由于GDPR屬于歐盟條例，不需經過歐盟各成員國立法轉換成法律即可直接適用，因此，歐盟境內的自然人均可成為數據可攜權的主體。此外，根據GDPR第3條對于地域范圍的規定，由于在歐盟內部設立的數據控制者對個人數據的處理均受到GDPR的管轄，因此，任何受到在歐盟境內設立的數據控制者服務的自然人，無論其是否來自歐盟境內，均可成為數據可攜權的權利主體。

2.義務主體

根據GDPR第20條規定，數據控制者有義務以經過整理的、普遍使用的和機器可讀的格式向數據主體提交其個人數據副本。與數據處理者和接受者不同，根據GDPR第4條第7款規定，數據控制者是指決定個人數據處理目的與方式的自然人或法人、公共機構、規制機構或其他實體。所有滿足該定義的主體，無論是社交媒體、搜索引擎、在線照片儲存還是銀行、航空公司網絡系統，無論其規模大小，都要受到數據可攜權的管轄。在地域管轄上，同樣根據GDPR第3條規定，除了歐盟境內設立的數據控制者應然成為數據可攜權管轄的義務主體外，在境外設立的數據控制者在滿足“（a）為歐盟境內主體提供商品或服務……或（b）對發生在歐盟范圍內的數據主體活動進行監控”的條件下也受到數據可攜權的約束。

（二）數據可攜權的客體

根據GDPR第20條規定，數據主體有權獲得其提供給數據控制者的個人數據副本，并將此類數據從一個數據控制者處轉移至另一個控制者的權利。由此來看，數據可攜權的權利客體和對象應為數據主體提供給數據控制者的個人數據。換句話說，數據可攜權范圍內的個人數據必須滿足兩個條件。

第一，該數據為關于數據主體的個人數據。首先，應當明確個人數據的內涵。目前對于個人數據的界定大多采取歐盟95指令中使用的“可識別說”，該觀點也在GDPR和歐盟WP29《關于個人數據概念的意見》中得到完善，并逐漸被其他各國的立法機關和學者所接受。例如，我國齊愛民教授也認為，個人信息是指個人的姓名、性別、年齡、血型、健康狀況、身高、人種、地址、職業、生日等可以直接或者間接識別個人的信息。根據WP29的解釋，個人數據有以下幾個特性：（1）任意性，形式上可以為電子計算機中存儲的信息或紙質文檔中保存的信息，內容上可以為客觀的、反映個人身份特征的信息或是主觀的、可以通過主觀評價而識別到某個人的信息;（2）相關性，個人數據必須是關于某個人的信息，并且這種相關性可以基于不同場景而產生不同的判斷標準;（3）已識別或可識別性，這一點是個人數據的核心特征，意味著這種個人數據是否可以在所有合理可能的方法下直接或者是間接地識別出某人。其次，由于數據可攜權同時也是針對數據控制者必須滿足的義務，所以有學者認為，數據可攜權的客體不可過于寬泛，應當對個人數據的范圍做出限制性解釋，以免給數據控制者增加不合理的負擔。

第二，該數據必須為數據主體向數據控制者所提供。但是，GDPR并未明晰數據主體所提供的數據的具體含義，對此，WP29在解釋中指出，可以將“數據主體提供的數據”分為以下兩類：（1）數據主體有意和主動提供的個人數據。該類型數據最為簡單、易于分辨，包括數據主體在網絡活動中主動提交的賬戶數據，例如，數據主體通過在線表格上傳的電子郵件地址、電話號碼以及家庭地址等個人偏好性設置，這些數據通常是在數據主體第一次與數據控制者進行交互時上傳到數據控制者服務器;（2）數據主體通過使用服務或者設備所提供的觀測數據。這一類型數據可以被視為數據主體被動提供的數據，通常表現為數據主體的行為數據，即數據控制者通過記錄、觀察主體行為而得到的數據，包括其網站瀏覽歷史、位置數據以及通過穿戴設備記錄的健康數據等。與此同時，WP29在解釋中強調，這一部分數據不應當包括數據控制者基于統計和分析的目的而產生的衍生數據和推斷數據，數據控制者可以通過對數據主體主動提供的個人數據和觀測到的數據主體的行為數據來執行某種分析，從而創造推斷數據和衍生數據，例如，金融系統對于用戶的信用評分，或是企業對用戶進行的分類結果和用戶畫像等。以電子交易平臺的賣方為例，也就是說，賣家可以要求電子交易平臺提供他在該平臺上的廣告、聯系信息以及交易記錄和買方對于其評價的數據副本，但是不能要求平臺提供經過分析后得到的平均信用評級的數據副本。

雖然GDPR中并未對數據可攜權規定的權利客體提供明確的澄清，但是我們不應對其做出過于狹義的或是寬泛的解釋。數據主體會更加關心對象范圍的狹義解釋，因為對于個人數據的狹義解釋可能會影響數據主體個人數據保護的結果。而數據控制者則擔心廣義的解釋將會增加數據控制者的運營成本，因此應當合理界定數據可攜權的適用范圍。總的來說，數據主體提供的個人數據不僅包括主體主動提交的數據，還包括基于數據主體行為而觀察到的個人數據，但不應包括數據控制者基于主體行為而創建的推斷數據和衍生數據。

（三）數據可攜權的具體內容

根據GDPR第20條和WP29在指南中的解釋，數據可攜權的具體內容應當包含兩項：個人數據接收權和個人數據轉移權。前者是數據主體有獲得有關的個人數據副本的權利，屬于對數據訪問權的延伸;而后者則是數據主體有將有關的個人數據從一個控制者轉移至另一個控制者的權利，這種轉移不限于社交網絡的數據轉移，還包括員工離職和醫療數據的轉移等。

1.數據接收權

數據接收權是指數據主體有獲得其提供給控制者的相關個人數據的權利，并且其獲得的個人數據應當是結構化、普遍使用的和以機器可讀的格式。這項權利可以被視為是數據訪問權的延伸，數據主體除了有要求數據控制者提供其個人數據的權利外，還有要求個人數據是以結構化、普遍使用和以機器可讀的格式所提供的權利，這種延伸可以減少個人數據在不同數據控制者之間流轉的障礙。但是實踐中，對于“結構化、普遍使用和機器可讀”的格式暫且沒有一個定論，為了避免對企業自主經營權造成損害，影響數據處理形式多元化的發展.GDPR和WP29并未對該格式采取強制性要求，而是以鼓勵的形式，推進行業協會和利益相關方共同制定一套通用的標準和格式以滿足數據可攜權的實現。WP29進一步強調，“結構化、普遍使用和機器可讀”的格式不是數據控制者提供個人數據的唯一標準，而應當是最低限度的基本要求，最終目的應當滿足數據格式的“互相操作性”。因為如果缺少互相操作性，數據就不能在不同的網絡和IT系統中流通，那么數據可攜權將失去存在的大部分意義。

2.數據轉移權

數據轉移權是指數據主體有將其提供的個人數據從一個控制者處轉移至另一個控制者處的權利，并且這種轉移不應受到數據控制者的阻礙。數據轉移權是可攜權獨立于數據訪問權最核心的區別之一，這種轉移權類似于歐盟《消費者保護法》賦予消費者的一項通訊號碼可攜權，即消費者可以在轉移通訊服務供應商的情況下保留自己的通訊號碼。WP29將“無障礙”解釋為不被拒絕訪問、拖延訪問或者重復利用和傳輸。相應地，“障礙”通常表現為：缺少數據格式的互相操作性，收取數據傳輸費用，缺少訪問數據格式或API的權限，故意模糊數據集或者過多的部門標準化和認證要求等。從本質上來講，轉移權不僅增強了保障數據主體對其個人數據的控制力，同時也是支持歐盟境內個人數據的自由流動和促進數據控制者之間競爭的重要工具，且有助于個人數據在不同數據服務商之間的傳輸和重復利用，降低歐盟地區互聯網企業的市場準入門檻，從而促進歐盟數字化單一市場戰略的推行。

本章主要對數據可攜權的要素也就是權利架構進行了分析，從權利的主體、客體以及數據可攜權的具體內容來展開。根據上文分析可以看到，作為GDPR設立的新興權利，數據可攜權的主體范圍，包括權利主體以及義務主體與其他在GDPR中規定的數據權利的主體范圍幾乎一致。對于數據可攜權的客體范圍，雖然其并未在GDPR的條文中得到具體闡述，但WP29卻對其做出了特別的解釋，即數據主體提供的個人數據不僅包括主體主動提交的數據，還包括基于數據主體行為而觀察到的個人數據.但不應包括數據控制者基于主體行為而創建的推斷數據和衍生數據。從權利內容的方面來看，數據可攜權不僅包括數據主體對于其個人數據的獲取權，而且還包括對于個人數據的轉移權，而后者權利則構成了數據可攜權與數據訪問權的最核心的區別。數據可攜權作為一項固化數據可遷移性的權利，在一定程度上加強了數據主體對于其個人數據的控制能力，并重新設置了個人數據間的流動規則，從而減少數據控制者利用“鎖定效應”固定消費者控制相關市場的反競爭行為。

三、歐盟數據可攜權的行使

（一）行使方式與條件

根據GDPR第20條第（1）款（a）（b）項，數據主體有權處理或轉移個人數據的行為必須滿足兩個條件：數據可攜權涉及到的數據必須是通過“自動化方式”進行處理的;處理行為基于數據主體的同意或數據主體為合同的締約方。對前者容易理解，數據可攜權僅僅使用于被“自動化方式”處理過的個人數據，因此紙質文件數據不能納入可攜權的范圍。此外，數據可攜權還需要基于數據主體的同意或合同時方能行使。知情同意是個人數據法保護的最基本的原則，根據GDPR第16條，“同意”的標準必須具體、清晰，是在用戶充分知情的情況下以自愿方式做出。在這種高標準下，以往數據控制者通過復雜繁瑣的隱私政策要求用戶以同意上述所有要求的方式做出一攬子授權的做法將失去合法性;數據控制者在獲得用戶知情同意時盡到明確、清晰的提示義務，以簡單易懂的語言讓用戶真的理解他們的個人數據將被如何收集和處理，而不僅僅是形式上獲得用戶的同意。此外，GDPR第8條還對未滿16周歲的兒童“同意”作出了特別規定，在處理兒童個人數據時必須獲得其父母或者其他監護人同意。從這些規定可以看出，GDPR增加了對于數據控制者的法定義務，加強了對于知情同意要件的認定，加強了個人信息自決理論在個人數據保護實踐中的貫徹。在數據主體明示同意的情況下.數據控制者為了實現與數據主體之間成立合同目的而進行處理的數據也可以納入數據可攜權的范圍。例如，用戶在網站上購買商品的交易記錄、或是保險買賣合同中保險公司為提供產品而收集、處理的用戶個人信息等。

在滿足上述兩個行使條件的情況下，數據主體有權要求數據控制者提供有關于該數據主體的個人數據。但是，GDPR第20條第（2）款同時還對個人數據轉移提出了特殊的規定，即在技術可行的情況下，數據控制者還負有將可攜個人數據直接傳輸給其他數據控制者的義務。可是GDPR和WP29并未對“技術可行”做出進一步解釋，并且強調了技術可行的要求并不意味著要求數據控制者負有采用或維護技術兼容處理系統的強制義務，因為這必然給企業帶來額外的成本。“技術上可行”是個寬泛的表達，其并不等同于經濟上可行。歐洲銀行聯合會（EBF）對此做出如下解釋：如果數據控制者聲稱轉移是不可行的，則必須證明這一點，如果不能提供足夠的證明，則應當保證數據的可傳輸性。同時WP29指出，數據控制者之間進行數據傳輸的技術可行性應當采取個人評估的方式，如果兩個數據控制者的系統具備以安全的方式傳出和接收個人數據的技術條件，那么這兩者之間可以進行傳輸。如果不具備此項條件，那么數據控制者應當將數據障礙情況向數據主體進行解釋。

（二）行使限制

在法律適用方面，任何一項權利的行使都應當受到合理的限制，數據可攜權亦是如此。根據GDPR第20條第（3）（4）款的規定：行使該條第（1）款規定的數據可攜權時，不得影響第17條數據被遺忘權的規定。對于數據控制者為了公共利益，或是行使公權力而進行的必要處理，也不適用數據可攜權的規定。此外，數據可攜權的行使不能對他人的權利或自由產生負面影響。據此，行使數據可攜權有三個例外規定。

第一個例外涉及到GDPR第17條規定的被遺忘權。從法條文義上解釋，數據可攜權與被遺忘權是可以并存的，數據主體可以在行使數據可攜權的同時要求原數據控制者刪除其個人數據;但同時WP29也強調，數據可攜權并不必然導致被遺忘權的觸發.個人數據在被數據主體提取或轉移之后并不必然導致被刪除，只有在滿足被遺忘權的形式要件情況下（例如數據主體撤回同意、數據處理不合法或不再必要、或者數據主體反對處理有關個人數據等情況），經過數據主體主張，原數據控制者方有義務刪除有關的個人數據。

第二個例外是為了滿足某些特殊利益。GDPR第89條規定了行使數據可攜權的減損規則，即在為了實現公共利益、科學歷史研究、統計目的或是為了行使法律賦予數據控制者的權力而進行處理的數據，可以合理限制其可攜性，但這并不意味著數據主體對這類型的個人數據無法主張可攜權，只是在如果完全實現可攜權訴求可能使上述目的實現復雜化甚至無法實現的情況下方可實現對于數據可攜權的克減。換句話說，如果對該部分數據行使可攜權并不會阻礙公共利益、科學歷史研究、統計目的或是數據控制者行使法律賦予的權力的情況下，該權利不用克減。

從前文的論述可以看到，數據可攜權更多關注的是數據主體對于其個人數據的控制力以及個人數據在不同數據控制者之間的轉移能力。但是對于數據控制者而言，用戶轉換成本的減少必然導致企業運營成本的增加。GDPR將數據可攜權確定為數據主體的基本權利，無論其規模大小均可以被適用于所有企業.這在一定程度上違背了競爭政策的原則和精神。不僅如此，數據可攜權要求個人數據能夠“不受阻礙地”在數據控制者之間以滿足“互相操作性”的格式進行轉移，這個要求在一定程度上會增加個人數據泄露的風險，因而要求數據控制者投入更多的運營成本來防止數據主體權利受到負面威脅。對于消費者而言，這些增加的運營成本最終都會轉嫁到消費者身上，因此，消費者福利也有可能受到潛在的減損。總之，數據可攜權在實踐中帶來的新問題也許比想象的更加復雜。

五、歐盟數據可攜權的本土化思考

縱觀世界范圍內的個人數據立法，無論是從數據保護的前沿性還是從數據權利體系的完善性來看，歐盟地區都走在世界前列，而數據可攜權作為歐盟最新數據保護立法中的獨創性權利自然成為了世界司法界關注的焦點。相較歐盟而言，我國在個人信息保護方面仍處于探索階段，尚未形成一個完備的個人數據保護法律體系。對于是否引入數據可攜權，在我國學界為數不多的研究中，主流觀點是不建議全盤、立即和貿然引入，而要審慎對待。比如，冉從敬、張沫認為：數據可攜權不是單一的法律條款，而需要訪問權、監管措施等諸多法律條款進行保障才能發揮效用，我國缺乏完善的數據保護法律體系，因而缺少引入數據可攜權的法律基礎;謝琳、曾俊森論證了數據可攜權的諸多不足后，認為我國雖已有數據可攜權規定的雛形，但在經過充分的產業情況調研以及實踐檢驗之前，暫不適宜引入;高富平、余超則認為數據可攜權具有安全風險、實踐中幾乎無法操作等固有缺陷，我國不應魯莽引入，應在未來的立法與實踐當中進行重構或者舍棄。因此，無論從權利的新穎性還是權利體系的完備性來看，我國都不可避免地需要考慮和借鑒歐盟體系。但是借鑒并不意味著一味的照搬抄襲，對于是否引進數據可攜權而言，我們需要認真思考其與我國社會發展和司法現狀的適配性，避免因為盲目引入而產生與我國現有法律制度的沖突以及阻礙我國信息產業的發展。筆者認為，我們既不宜盲目引進，也不應一味拒絕，如何建構中國模式的數據可攜權仍然是對我國專家的一次挑戰，有必要對其作出本土化思考。

（一）本土化的不利方面

正如前文所述，數據可攜權在美好的設想下，仍然可能在數據安全上面臨巨大風險以及與現有法律制度產生沖突矛盾。歐盟對于數據可攜權的司法實踐經驗尚不足一年，有學者曾提出執行數據可攜權的成本或許將遠遠大于降低市場門檻給中小型企業帶來的福利，因此只有時間才能證明處理數據可攜性的請求是否過于昂貴。

此外，一項法律制度的引進除了要以充分的理論研究為基礎，更要從社會經濟發展背景來考慮。正如前文提到的，歐盟提出數據可攜權的一個目的是削弱以美國為首的互聯網巨頭的數據壟斷帶來的優勢，促進歐盟本土企業的發展從而減少歐美互聯網產業之間的發展差距。對于我國而言，根據《國家信息化發展戰略綱要》和《促進大數據發展行動綱要》的戰略布局，我國互聯網和大數據產業正處于蓬勃發展的階段，在2018年營業額排名前二十的全球互聯網企業中.中國僅次于美國，占據了八個席位。可以說，我國已經成為了與美國并首的互聯網大國，這與國家給予互聯網企業寬松的政策環境是分不開的。因此我們應該保持這種奮發向上的勢頭，在立法方面減輕企業負擔，以寬松的國家政策和人口紅利繼續刺激互聯網產業的發展。

數據可攜權的實行對于社會互聯網產業發展和個人數據保護的影響還未穩定下來，在個人數據保護法律體系較為完善的歐盟尚且應該對數據可攜權的施行持謹慎態度，因此，我國更應該理性看待數據可攜權的引進。

（二）本土化的有利方面

雖然從數據可攜權本身缺陷和歐盟與中國不同的互聯網產業發展背景的角度而言，我國在現今階段暫且不宜盲目照搬數據可攜權，但是這并不意味著數據可攜權制度一文不值，其不足也并非不能克服。數據可攜權作為一個前沿概念，既帶來爭議又充滿了希望，對于改善我國目前數據保護現狀十分具有誘惑力。它能改善當前個人數據被泄露或被不法利用的現狀，增強數據主體對于個人數據的控制力.對我國的個人數據權利類型化、權利體系化具有借鑒意義。

目前我國關于個人信息的立法散見于各類法律法規之中，總體上十分落后，導致當前數據泄露事件頻發，數據主體對于其個人數據的控制力不足，成為了阻礙數據產業發展的瓶頸之一。但是，我國《數據安全法》《個人信息保護法》等新法制定和《科學技術進步法》等舊法修改已被列入當前十三屆全國人大五年立法規劃，其內容有望對數據可攜權加以關注和規定。不僅如此，我們還可以從歐盟數據可攜權的規定中，借鑒數據獲取權的內容，賦予數據主體要求數據控制者提供其有關的個人數據的權利。讓數據主體更清楚地明白其個人數據被收集的方式和程度，從實質意義上增強數據主體對于其個人數據的控制能力。

此外，為了實現個人數據主體、政府、企業等多方主體的利益平衡，我國可在數據可攜權的權利客體、內容與行使條件上加以限縮，分領域分行業、區分不同適用主體而賦予不同的權利內容和苛加不同的限制條件。據此，結合國家社會整體進程的發展所需與個人信息化生存的權益訴求，在動態平衡中，分階段逐步實現數據可攜權，避免“一刀切”和“大躍進”，也是本土化的一種可行思路。