數據可攜權的爭議與制度反思

王若曦 夏 燕

(重慶郵電大學網絡空間安全與信息法學院 重慶 400065)(598152813@qq.com)

世界上首位“人工智能國務部長”奧馬爾·烏萊馬在2018年的阿布扎比國際石油博覽會上表示：“數據就是新的石油，能以更低的成本實現更高的利潤.”[1]隨著互聯網的發展，大數據時代已然到來，生活中到處充斥著數據的影子，人們享受著數據所帶來便利的同時也面臨著其帶來的煩惱.2015年2月，中央網信辦發布的《互聯網用戶賬號名稱管理規定》中指出：“互聯網信息服務提供者應當按照‘后臺實名、前臺自愿’的原則，要求互聯網信息服務使用者通過真實身份信息認證后注冊賬號.”網絡信息服務提供者據此收集到比以往更多的用戶個人數據.用戶在使用網絡信息服務提供者所提供的服務的同時也在系統中留下了大量的數據，包含用戶個人數據與行為數據，用戶是否有權利將該類數據進行轉移，“頭騰大戰”“脈博之爭”此類數據爭奪案例將數據權屬之爭推向白熱化，使得數據可攜權這一新型權利進入大眾視野并引起廣泛的爭議.

1 數據可攜權的起源及概念辨析

1.1 數據可攜權的起源

數據可攜權的立法理念可以追溯到歐盟1995年的《數據保護指令》(data protection directive, DPD)，數據可攜權與該指令中的查閱權具有內在的聯系.

2012年1月25日，歐盟委員會在關于個人數據保護的立法提案中首次提到數據可攜權，其相關規定見第18條.2014年3月，歐洲議會采取了歐盟委員會提出的草案，并將《一般數據保護條例》草案的第18條與第15條的信息獲取權合并[2].2016年4月14日，數據可攜權作為一項獨立的新興權利最終被規定于《一般數據保護條例》(GDPR)第20條，定義如下：“數據主體有權以結構化、通用化和機器可讀的格式接收他或她提供給控制者的有關他或她的個人數據，并有權將這些數據傳輸給另一個控制者，原數據控制者不得阻礙[3]”.2016年12月13日，歐盟數據保護工作委員會發布了《數據可攜權的指南》.

1.2 數據可攜權與信息自決權

信息自決權是數據可攜權的前身.信息自決權的基本內涵可概括為公民個人對其個人信息流動的決定權，這是由德國聯邦憲法法院根據其《基本法》中前2條的第1款規定的權利，并經過一系列判例所確認的新型基本權利.信息自決權類似于學者艾倫·威斯汀(Alan Westin)對隱私的解釋：“個人、團體或者組織機構有權決定自己何時、如何以及向他人傳達什么信息.”[4]學者普道瓦(Purtova)表示，數據的可攜帶性已經與信息自決概念相連接，并被視為信息自決概念和控制個人數據泄露和個人數據處理默認授權的邏輯延伸[5-6].信息自決權被多個國家所接受并作為基本權利被寫入憲法中，我國目前雖沒有明確引用信息自決權的概念，但是我國憲法條文中有關人格尊嚴的條文所蘊含的理論基礎與信息自決權相通.

1.3 數據可攜權與數據主體訪問權

在GDPR草案的數次修改中，數據可攜權是否應當獨立于數據主體訪問權引起較大爭議，經過數次調整(1)數據可攜權在2012年于個人數據保護立法提案中被首次提出，相關規定在第18條.2013年，數據可攜權被隸屬于歐洲議會的公民自由、司法和內政事務委員會(LIBE)在報告中劃分到數據主體訪問權之下，作為數據主體訪問權的一部分被規定在第15條之中.該權力劃分理念持續并體現于2014年的GDPR草案修改稿之中.2015年，歐洲議會、歐洲理事會和歐盟委員經過討論回歸原點，視數據可攜權為一項獨立的權利，將其規定于第18條之中.最終數據可攜權作為第20條存在于2014年公布的GDPR之中.后，數據可攜權作為一項獨立的新興數據權利被規定在GDPR第20條中.數據可攜權應當獨立于數據主體訪問權，理由如下：

首先，從保護目的來看，兩者出發點不同.數據主體訪問權旨在保護數據主體隨時訪問自己數據的權利，知悉個人數據的收集、存儲與運用；數據可攜權的目的則在于保證用戶無障礙地從數據控制者手中獲取個人數據的副本，并將其自由地傳輸給第三方數據控制者.數據可攜權中的“可”為助動詞，“攜”為動詞，《說文》中謂：“攜，提也.”由此可見，數據可攜權的重心在于轉移.

其次，從行使階段來看，兩者行使邏輯不同.GDPR第15條第1款提出，數據主體訪問權的使用前提是數據處理者正在處理其個人數據，由此才能獲知相關信息.而數據可攜權的行使與數據處理者是否正在處理其個人數據無關，數據主體隨時有權行使數據可攜權.權利主體有權自由管理和控制個人數據，如數據副本獲取和數據轉移，數據可攜權是數據主體訪問權的重要補充[7].

2 數據可攜權的爭議

數據可攜權自從被提出以來引起了廣泛的爭議，其在歐盟委員會關于個人數據保護的立法中也進行了多次的調整與修改.學者以及企業對數據可攜權褒貶不一，對于是否設立或者引入數據可攜權也存在不同的觀點.

2.1 支持者

第一，數據可攜權有利于維護人權和保護隱私.數據可攜權的實現路徑是先由數據主體提出，隨后數據控制者響應數據主體的要求，此舉有利于數據主體提升維護個人數據權利的意識.在實踐中，數據主體往往為了某些利益而將個人數據免費或者以極低的價格提供給數據控制者，其并不了解個人數據所蘊含的價值以及意義，在如此隨意地“出賣”個人數據后，更不會關注數據控制者將該數據用于何處.數據控制者趨利的商業本質決定其必定為了攫取更多利益，而將大量個人數據以一定的價格出賣給第三方，此舉極有可能造成數據主體隱私泄露.數據可攜權的設立能夠有效地加深數據主體對個人數據重要程度的了解，進而能夠在一定程度上促進隱私的保護.

第二，數據可攜權有利于數據流通，提升經濟效益.經濟社會正在面臨巨大變革，企業之間的競爭尤為激烈，數字行業的單一化發展抑制創新，不利于中小型企業正當參與競爭，抬高了消費成本和消費普及.調整競爭政策以適應數字經濟的市場管理方法迫在眉睫，應當采取新的概念框架，而數據可攜權有利于優化市場結構.在當前數據權屬不明的情形下，通過數據可攜權確立的數據流通規則一定程度上實現了特定數據的共享和利用[8].數據可攜權可以通過事前競爭，對較為強大的互聯網企業施加約束，為中小型企業的發展提供良好的環境，推動社會創新氛圍，使中小型企業盡快成為數字產業鏈的重要組成部分.

第三，數據可攜權有利于公平原則的實現.在個人信息保護領域中，作為基本原則之一的知情同意原則約束數據控制者在收集、存儲、使用數據主體的個人信息之前必須征得數據主體的同意，行使數據可攜權的前提條件之一也包含知情同意原則的理念，即只有在數據主體知情同意或者基于合同的約定下才可以主張數據可攜權.如果數據控制者將收集的個人數據用于其他目的，那么數據控制者就應當將這一額外的收入與數據主體共享，這也是公平原則的體現[9].在實踐中，數據主體與數據控制者往往處于不平等的地位，“算法黑箱”導致數據主體無法及時有效地得知其個人數據被用于何處，數據控制者有極大的可能在數據主體不知情的情況下將數據主體的個人數據或衍生數據用于他處，并獲取額外利益.基于公平原則，數據主體有權獲得該部分利益，由于數據主體與數據控制者信息不對等，后者無聲地攫取了大量額外利益，數據可攜權可以有效地使數據主體獲得應有的補償.

2.2 反對者

在數據可攜權的演進歷程中，布魯塞爾互聯網和電信研討會就曾經反對將數據可攜權作為一項新型權利存在于GDPR之中，原因如下：

一是數據可攜權適用的個人數據范圍較小.在GDPR的草案中，數據主體僅有權就其主動提供給數據控制者的個人數據行使數據可攜權，然而，個人數據的范圍遠大于數據主體主動提供給數據控制者的數據，如數據主體在運用數據控制者開發的軟件時同步生成的與個人數據相關的使用痕跡、數據控制者為提高和優化自身服務對用戶行為的深度分析，這些數據在一定意義上都屬于個人數據，數據主體卻無法對這類數據行使數據可攜權.針對此類問題，數據可攜權的客體經過不斷修改后有所調整，WP29數據保護工作組認為應當對數據主體“提供的數據”作廣義解釋，不應當將其僅僅解釋為狹義的個人數據，如賬戶數據、通過在線表格提交的郵件地址、用戶名、年齡等.數據主體的行為所產生的部分數據是基于數據主體提供的個人數據而生成，與個人數據具有內在的統一性，雖然不屬于數據主體“主動”提供的數據，但是也應當被納入數據可攜權的客體之中，以充分發揮數據可攜權這一新型權利的價值.

二是數據可攜權阻礙數據格式的創新.GDPR規定數據主體在行使數據可攜權時有權從數據控制者那里獲取經過整理的、普遍使用的和機器可讀的數據格式，利用最小化的成本滿足這項要求的有效解決方式就是行業間制定統一的數據輸出/接收格式.此舉極大降低了數據控制者間的數據交互成本，但是長此以往必將阻礙數據的格式多樣化，不利于數據領域的創新發展.

我國學者們反對引入數據可攜權的理由大致如下：

第一，設立數據可攜權不符合我國國情.有學者從數據可攜權的立法初衷出發，并結合中國的文化背景以及社會現狀，將數據可攜權分為數據接收權和數據轉移權，提出不應一味地將數據可攜權全盤移植，應當分階段循序漸進地借鑒數據可攜權的理念，即先引入數據接收權，暫緩數據轉移權的確立.數據轉移權目前不符合中國國情，我國的數據經濟發展起步較晚，相比歐盟以及美國都有較大差距，數據轉移權一方面增加數據控制者的成本，另一方面對數據安全有較大的挑戰，風險較大.此外，我國的數據立法較為保守，若設立數據轉移權則不利于我國互聯網市場的平穩發展.

第二，設立數據可攜權后法律執行不明確.GDPR第20條中關于數據可攜權的行使應當提供的數據格式要求較為模糊，沒有統一的標準；除此之外，在該條的第2款中提到，在行使第1款所規定的可攜權時，如果技術可行，數據主體應當有權將個人數據直接從一個控制者傳輸到另一個控制者.其中“技術可行”也是一個較為主觀的表達，GDPR條文中并未對此有進一步的解釋，數據控制者的技術水平參差不齊，“技術可行”面對不同的數據控制者展現出差異性的難度，剛起步的微型企業以及中小型企業與實力較為強勁的大型互聯網企業針對“技術可行”的判定可能存在不同的標準，數據可攜權的初衷在于加強數據主體對于個人數據的控制力，但數據可攜權的實現很有可能由于技術的桎梏而受到影響，導致數據主體在不同企業之間行使數據可攜權的門檻有所差異.

第三，設立數據可攜權會擴大產業發展差距.數據可攜權的行使雖然降低了數據鎖定效應，但是賦予數據主體數據可攜權無疑加大了數據控制者的運營壓力，數據控制者必須提高技術水平，以滿足數據主體隨時行使數據可攜權.這對于中小型企業來說不僅是企業發展的極大機遇，同時也是一個嚴峻的挑戰，中小型企業有更多的機會去挖掘潛在客戶，客戶的流動性變強，市場競爭更加激烈.面對此種環境可能會有2種發展前景：一方面給予中小型企業崛起的機會，促進大型企業產業優化升級；另一方面，因為競爭激烈，壓力劇增，中小型企業迫于技術以及資金等因素而退出市場，大型企業進一步擴大所占領的市場份額，形成馬太效應，最終造成壟斷.我國的互聯網起步較晚，目前各個領域都在推行互聯網+行動，試圖用互聯網促進經濟轉型，大多數企業還處于起步階段，過早地引入數據可攜權可能導致我國與處于互聯網水平前沿的國家拉開更大的差距，不利于我國互聯網戰略的實施.

3 數據可攜權主體的利益訴求

3.1 網絡用戶

“零價格”服務似乎是一種足以激勵人們表面上分享其個人信息的策略.在以往，一旦公司能夠提供有效的“零價格”服務，用戶實際上并不關心他們的個人數據.因此，他們的隱私不會被視為他們在市場上選擇的決定性因素.但是隨著個人數據泄露事件的頻繁發生，如與消費者現實生活最貼近的垃圾短信“轟炸”現象，人們的數據保護意識逐漸覺醒，保護個人數據的需求開始不斷顯現.數據主體期望數據控制者能夠將個人數據的收集、存儲與運用過程公開透明.

軟件市場的紛繁多樣以及功能的不斷完善極大便利了消費者的日常生活以及辦公協作，但是數據的不透明以及企業對數據的封鎖導致用戶在多個軟件之間抉擇困難，從而使得新興的軟件具有極大的吸引力，但是用戶重新選擇服務方會導致以往的數據難以繼續使用，切換服務商冗雜的程序以及數據重新累積的成本還是使大量用戶望而卻步，數據可攜權的呼聲逐漸水漲船高.數據可攜權的創設是為了打破數據控制者對用戶數據的封鎖，加強數據主體對個人數據的控制，從而促進互聯網市場的自由競爭[10].

3.2 網絡平臺

數據可攜權可以有效降低數據交換的成本，加劇同類企業競爭，進而促進企業加快創新，改善現有技術以及服務，以避免用戶的大量流失.同時作為數據接收方，企業為了實現接收其他企業的客戶數據，必須開發新算法，加大投資力度，否則可能隨時被市場拋棄.但是在實踐中，互聯網企業之間往往不會共享數據，一旦將掌握的數據資產分享給競爭對手，無疑增加自身競爭壓力.數據主體、數據控制者的財產利益必然均會受到一定的影響，這說明原先數據主體對該個人數據的獨占優勢消失[11].大型企業很明顯是站在設立數據可攜權的對立面上，極力阻礙新的數據平臺通過其獲取海量的用戶數據.“微博訴脈脈案”“頭騰大戰”等都明確地體現了大型企業的態度.互聯網巨頭的存在使得少數公司壟斷大量數據，這些因素都會導致數據孤島，難以創造出“1+1>2”的數據價值[12].中小型企業對待數據可攜權的態度則與大型企業背道而馳，在數據競爭市場中中小型企業在夾縫中尋求生存和發展的希望，絕大部分企業因為在殘酷的競爭環境下尋找不到合適的出路而退出市場，只有極少數企業開創出屬于自己的一片天地.數據可攜權的設立能夠有效地幫助中小型企業走進市場，獲得更多的用戶資源，只要其制作出的產品具有足夠的創新性、實用性和新穎性，并輔以良好的服務質量，立足于市場指日可待.

2018年，Facebook、谷歌、微軟以及Twitter聯合推出了一項名叫“數據傳輸項目(DTP)”的源代碼倡議[13].這個項目旨在方便各個平臺之間互相傳輸用戶個人信息，促進企業競爭.美國企業面對GDPR挑戰中提出的這項協議看似是為了迎合數據可攜權而推行，事實上還是為了占領市場主導地位.Facebook和Twitter由于之前都深陷用戶數據泄露的丑聞，用戶的信任度有所降低，此舉可以加強用戶對其數據的控制權，有力地挽回企業形象，避免流失更多用戶.而谷歌、微軟作為云服務提供商，極有可能是數據的流入方，承擔存儲數據的重要作用，兩者對于這種發展趨勢必然是樂見其成的.

3.3 國家和地區

歐盟設立數據可攜權主要出于以下2個目的：

第一，打破美國互聯網的壟斷現狀.歷史、稅收、成本等原因導致歐盟區域互聯網發展水平遠遠落后于美國，其互聯網企業的發展受美國掣肘已久.美國互聯網巨頭企業持有海量歐盟地區的用戶黏性，龐大而又全面的互聯網生態鏈加劇了用戶粘性，導致歐盟在互聯網領域難以擁有一席之地.歐盟用數據可攜權開辟出企業收集數據的新途徑，試圖打破美國互聯網的壟斷現狀.在歐盟看來，數據可攜權更像是一種促進市場自由競爭并實現利益最大化的工具[14].

第二，維護歐盟地區民眾的數據權利.美國互聯網企業多次出現泄露用戶數據的丑聞，極大地侵犯了用戶的數據權利，歐盟對此深惡痛絕，因此寄希望于數據可攜權能加強數據主體對個人數據的控制權.數據控制者在對用戶的個人數據進行收集、存儲、轉移等操作時必須取得數據主體的同意，原因在于這些個人數據與個人的線上人格(digital personality)有著緊密的聯系，這些碎片化的個人數據綜合后能夠深刻地反映數據主體的線上人格，是數據主體的人權(人格尊嚴和人格自由)在數字世界的反映[15].

4 數據可攜權本土化的制度反思

雖然我國法律并未明文規定數據可攜權，但是在許多個人信息保護相關立法之中都能找到數據可攜權的理念.

4.1 數據可攜權理念在我國的立法體現

數據可攜權仍面臨許多問題尚待解決，我國是否應當引入數據可攜權還須考察.目前我國相關立法已經對數據可攜權的設立有所體現.我國于2018年5月1日實施的國家標準GB/T 35273—2017《信息安全技術 個人信息安全規范》中第7.9條提到，個人信息主體有權利獲取個人信息副本.根據個人信息主體的請求，個人信息控制者應為個人信息主體提供獲取以下類型個人信息副本的方法，或在技術可行的前提下直接將以下個人信息副本傳輸給第三方：1)個人基本資料、個人身份信息；2)個人健康生理信息、個人教育工作信息.2020年，國家標準GB/T 35273—2020《信息安全技術 個人信息安全規范》完成修訂并正式發布，代替了GB/T 35273—2017《信息安全技術 個人信息安全規范》，實施日期為2020年10月1日.其中有關個人信息主體獲取個人信息副本的規定改在了第8.6條，內容無變化.2020年8月28日發布的《信息安全技術 網絡數據處理安全規范(征求意見稿)》，第5.6條規定了個人信息查閱、更正、刪除及用戶賬號注銷的相關內容，網絡運營者應建立渠道和機制，及時響應和處理個人信息主體查閱、復制、更正、刪除其個人信息及用戶注銷賬號的請求，不應對請求設置不合理條件.除此之外，第5.10條作出了“向他人提供數據前應進行安全影響分析和風險評估”等相關規定，也包含了數據可攜權的理念.

4.2 數據可攜權本土化的優勢

數據可攜權可以加強數據主體對個人數據的控制力，引入數據可攜權應當取其精華，去其糟粕，使之與中國數據發展水平相適應，促進我國數據領域的繁榮發展.引入數據可攜權的優勢如下：

第一，數據可攜權能夠產生擴展效應，加快促進社會的數據化發展.用戶對數據可攜權需求的增加與企業對數據處理技術人員的需求呈正相關，對數據處理技術人員的巨大缺口又促進數據相關專業教育的快速提升，教育的提高與文化的發展又反過來促進經濟進步，從這個角度來看數據可攜權的引入有利于社會進步.

第二，數據可攜權能夠形成威懾效應，促進數據控制者優化自身服務.數據可攜權引起數據鎖定降低，當更具創新性的應用出現時，用戶的可選擇性增加，當企業固步自封，不優化自身服務時，極大可能導致用戶流失.數據可攜權在提升用戶產品體驗的同時對企業形成的威懾又能夠促進企業優化自身服務，可謂一舉兩得.

第三，數據可攜權能夠孕育鯊魚效應，不斷提升數據的運行準確性.數據在交易和流轉的過程中會經過不斷的補充與完善，數據主體能夠對其提供給數據控制者的個人數據進行直觀的校對，對深度分析數據控制者所形成的個人數據衍生部分進行核對，并對其中與實際情形不符的數據進行及時的補正與刪除.數據經過多次流轉后內容更加充實，準確度隨之攀升，數據主體的用戶畫像也更加準確.數據主體完善數據的同時也反作用于數據控制者，此舉不僅有利于數據控制者提升服務水平，同時也避免數據控制者進行錯誤運算，造成嚴重后果.

4.3 數據可攜權本土化面臨的障礙及完善措施

我國眾多學者反對將數據可攜權本土化，主要原因在于數據可攜權對市場作用的不確定性.雖然數據可攜權能夠降低數據鎖定，加強數據流通，但是也有一定的概率對市場產生負作用，抑制中小型企業的發展.矛盾具有普遍性，任何事情都具有雙面性，不能因為畏懼數據可攜權帶來的風險而躊躇不前，一味地反對引入數據可攜權，應當理智看待這一新型權利.結合我國數據發展進程，針對數據可攜權存在的不足，制定與中國國情相符的數據權利保障體系，促進我國數據經濟朝著平穩、高質量的方向不斷發展.

第一，數據可攜權的數據范圍尚未界定清晰.用戶只能針對“經同意的、自主上傳”的數據主張數據可攜權，對于企業或者其他主體經過法定的義務或者其他途徑收集的用戶個人數據則無法主張數據可攜權，這導致用戶在特定情況下無法有效主張數據可攜權.

針對數據可攜權實施中面臨的這一問題，有必要對數據可攜權的數據范圍進行界定，對數據進行分類，明確數據可攜帶的范圍.可攜帶的數據須與數據主體有關并由數據主體提供，“與數據主體有關”要求所請求的個人數據能夠識別自然人，GDPR序言第26項提出了比例測試方法，即是否可識別與“合理使用的手段”相關，須綜合考慮成本、時間和可用的技術等因素[16].因此，匿名數據不屬于數據可攜權的權利范圍.假名數據由于存在附加信息可以指向特定自然人，屬于數據可攜權的權利范圍[17].

第二，合理保護第三方數據主體權利的體系尚未建立.當數據主體傳輸與第三方數據主體有關的通信或交易數據時，必然有可能侵犯到第三方數據主體的隱私權和其對個人數據的支配權.例如，用戶在某個平臺上傳一張合照，當該用戶行使數據可攜權，要求將該照片轉移至第三方數據平臺時，或許會侵犯合照當中其他數據主體的支配權，相關聯的第三方數據主體又該如何維護自己的權益呢.

針對此種困境，可以在用戶注冊時設置選項，由用戶自主決定當其成為第三方數據主體時，何種數據可以隨他人數據轉移而附帶轉移，何種數據禁止隨他人數據轉移而附帶轉移，并且在數據主體行使數據可攜權時應當及時告知相關的第三方數據主體，這時相關的第三方數據主體仍然有權作出是否將個人數據隨即將轉移的數據而附帶轉移，以充分保障其支配權.

第三，原數據控制者能否保留數據主體相關個人數據尚未定論.數據可攜權包含數據副本獲得權和數據轉移權，用戶通過主張數據可攜權，將數據副本轉移到第三方數據控制者手中，保留在原數據控制者手中的數據“原本”是否自動默認用戶將其刪除.目前GDPR并未對此作出規定，也就是說原數據控制者依然有權保留用戶的個人數據.此舉不利于保護用戶的個人數據權利，在紛繁復雜的數據世界，與專業的數據處理工作人員相比，用戶對數據的收集、存儲、加工、運行知之甚少，其往往怠于行使自己的權利，企業基于自身利益的考量必然會留存用戶個人信息.

數據主體行使數據可攜權將個人數據轉移至第三方必然會使原數據控制者損失利益，因為其將數據主體的個人數據系統化收集、存儲、處理和輸出都將耗費一定的成本，若大量數據主體頻繁地將個人數據轉移，原數據控制者將面臨極大的數據體量運行壓力.保障數據主體權利和維護數據控制者利益之間亟需尋找一個平衡點.將數據進行分類，針對不同類型的個人數據賦予用戶不同等級權限的數據可攜權或許能夠緩解兩者之間的沖突.例如，針對用戶自己提供的基礎數據，數據控制者可以無償提供數據主體行使數據可攜權；經過數據控制者深度分析得出的數據主體行為衍生數據，則需要數據主體支付給原數據控制者一定的“報酬”才能將其轉移，當然數據主體也有權利選擇拒絕攜帶此類數據.原數據控制者是否有權留存數據主體的個人數據也可以從該角度探尋出路.針對用戶提供的基礎個人數據，數據控制者應當默認數據主體行使可攜權后自動銷毀“原件”；而經過處理的數據主體行為衍生數據作為原數據控制者的勞動成果，可以賦予數據主體選擇權，由其決定是否將該類數據徹底消除并支付合理的對價，若拒絕支付對價則數據控制者有權保留該類數據.

最后，數據可攜權本土化還應當注意以下2點：

一是數據可攜權本土化應當循序漸進.我國可以采用“試點策略”，先針對某個行業引入數據可攜權，觀察數據可攜權的實施效果，再逐漸擴大數據可攜權的實施領域，如有學者指出開放銀行是數據可攜權最先行也最有價值的應用場景[18].歐盟2015年發布并于2018年實施的歐盟《第二代支付服務法令》(PSD2)第66，67條賦予用戶對其賬戶信息的控制權和可攜權：“銀行應在用戶要求時向第三方開放用戶數據的訪問權限，即便該第三方與銀行并不存在任何合同關系”[19].歐盟的這一法令頒布后1年內全歐洲就有300家銀行加入歐洲開放銀行業務，極大地促進了銀行業的發展.

二是明確數據可攜權的權利主體.根據GDPR序言：“本條例所提供的保護適用于自然人”[20]，因此數據可攜權的權利主體應當為自然人.我國引入數據可攜權首先應當明確數據可攜權的權利主體，是否所有自然人都應享有數據可攜權，有學者提出將數據可攜權視為一種“柔性權利”或追求目標，在具體場景中賦予個體數據可攜權，從而提升用戶福利和促進市場與社會的公共利益[21].將數據分別放置于企業和公共場景之中，賦予不同個體差異化的數據可攜權.區別對待粉絲數量龐大的商業認證用戶和普通用戶，只賦予后者數據可攜權，因為前者對于網絡平臺的流量具有不可估量的影響力.從競爭法的角度出發，賦予前者數據可攜權也無法有效地維護原數據控制者的商業利益.例如某知名游戲主播之前在企鵝電競直播，后跳槽至斗魚直播導致企鵝電競遭受較大損失，最終該主播被起訴罰款300萬元.