論個人信息可攜帶權及實現

白楊

摘 要：《個人信息保護法》首次規定可攜帶權，本文圍繞權利的構造及實現展開。首先對可攜帶權的性質、內容進行討論，認為該權利是以保護個人利益為核心兼具財產屬性的新型權利，并對該權利的主體、客體和具體內容展開論述。可攜帶權權利實現的過程中要嚴格審查遷移數據的范圍和權屬，劃清責任主體的義務邊界，制定標準化的流通規則，更要對損害他人利益和社會利益的行為進行限制，以促進數據流通、驅動數字經濟發展。

關鍵詞：可攜帶權；數據流通；個人數據；數字經濟

中圖分類號：D923.8文獻標識碼：Ａ 文章編號：１００９ — ２２３４（２０23）06 — ０108 — ０6

《國民經濟和社會發展第十四個五年計劃和2035年遠景目標綱要》明確指出要迎接數字時代，激活數據要素潛能，加快建設數字經濟，以數字化轉型整體驅動生產方式變革。國家和地方創新探索數字經濟的發展模式，數字經濟秩序呈現野蠻性生長的狀態，如何重建數字時代的經濟秩序，特別是如何保護數字市場中信息提供者的數字權益成為重中之重。2021年我國通過了《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），該法成為數字社會治理的力工具。該法第五章專章規定了個人在個人信息處理活動中的權利，第45條第3款引入了個人信息可攜帶權（本文不區分數據與個人信息、數據可攜帶權與個人信息可攜帶權的意思，兩者等同使用），即“個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。”該款入法路程頗為曲折，僅在草案三審稿中出現并被隨后出臺的法律所保留。可攜帶權為什么最后才被立法者所采納？法律條文對可攜帶權的規定為何如此寬泛？如何理解可攜帶權的性質與內容？可攜帶權在中國如何行使？如何保護可攜帶權？本文嘗試對上述問題進行探討。

一、個人信息可攜帶權的性質

（一）可攜帶權是基于個人利益所產生的權利

可攜帶權的客體為個人信息或個人數據，個人信息是指能夠描述個人基本特征和其他身份信息的資料。一些個人信息更是直指特定的自然人，例如身份證號碼僅描述唯一主體，此種特定的可識別性集中體現了個人信息與個人權益的緊密關系。信息主體對個人信息流轉范圍和流轉方式的掌握是在現實社會中保護個人信息相關權益的價值基礎。［1］個人信息權利包括可攜帶權在內均是基于保護個人利益產生，并非為維護公共利益亦或公共秩序而設立。并且可攜帶權當屬權利而非權益。在制定《民法典》及《個人信息保護法》過程中，學界對個人信息權益的性質分歧較大。“民事利益說”認為自然人對個人信息享有的只是受法律保護的利益，而非民事權利。［2］其一在立法語言的選擇上，《民法總則》第111條沒有使用“個人信息權”的表述，這意味著立法機關沒有將個人信息作為一項具體的人格權利；［3］其二，對個人信息的保護是行為規制模式而非權利保護模式；［4］其三，將個人信息的認定為民事權利會導致主體享有過于強大的決定權和支配權，致使個人信息無法自由流動，阻礙數字經濟的發展。［5］茲以為根據我國國情，將個人信息權益認定為權利尚無不妥之處。隨著信息技術突飛猛進式的發展，我國公民的生活與數字技術的交融愈發緊密，公民對個人信息權益保護的意識卻較為淡薄，即便將信息權益認定為權利，也僅是給予公民個人信息更強的法律保護，而不可能出現因公民對信息的絕對控制導致數據的流通受阻，從而影響數字經濟的發展的情況。相反，若將個人信息權益的性質認定為利益，根據權利義務相對應原則，無權利則無義務，法律不能為個人信息利益設置義務，這恐怕會引起數字經濟、數字社會治理的一系列問題。以可攜帶權為例，若可攜帶權僅是一種法益，用戶就無法強制要求數據控制者轉移其個人信息至另一數據接收者，且保證數據流轉安全等，這顯然會加劇數字時代背景下的市場壟斷，增加數字安全風險，因此，認定包括可攜帶權在內的個人信息權益為權利是正當且合理的。

（二）可攜帶權帶有財產屬性

上文提到可攜帶權基于人身利益產生，權利內核是對個人人格利益特別是精神利益的保護。在我國，人格權益的保護遵循“一元制”結構，既保護權利本身所強調的人格利益，亦保護權利實現過程中產生的財產利益，易言之，個人信息權益是天然內置財產屬性的人格權益。可攜帶權亦如此。可攜帶權的實質在于數據的流通，流通過程中產生有形或無形的經濟價值，經濟的本質不過是資源無數次流通與交易的總和。例如，用戶甲將其存儲在百度網盤的資料移轉至阿里網盤，此時百度網盤的使用率下降，其會員服務等附帶服務的收益隨之降低，但阿里網盤則因為用戶的數據遷移而增加了利潤。顯然，可攜帶權的實現內蘊經濟價值的生產，故法律應當認可攜帶權自身所天然擁有的財產屬性并予以保護。

（三）可攜帶權是一項新型權利

從存續時間上看，2010年電子前沿基金會（Electroic Frotier Foundation）曾提出社交網絡用戶隱私權法案應當包括數據可攜帶權，保證用戶在決定離開社交網絡服務是能夠以通用的格式轉移到其他服務中，［6］這可視為可攜帶權理念的雛形。可攜帶權作為一種權利類型第一次出現在2012年歐盟《通用數據保護條例》（草案）（General Data Protection Regulation，以下簡稱GDPR）的第18條。2016年正式出臺GDPR，自此數據可攜帶權被法律正式確立。2012年至今僅10年，可攜帶權剛剛經歷“提出——確立”的過程，可以說可攜帶權尚處在“少年”時期。從產生時代背景看，當今整個社會從工業時代大踏步邁進數字時代，數字政府、數字法院、數字法學等理念層出不窮，社會的數字化轉型使社會秩序發生顛覆性變革，可攜帶權正是產生在這樣一個新型社會，其內容也帶有明顯的時代特征，即為滿足數字經濟的發展和數字社會秩序的重建要求個人信息自由、無障礙的流動。從權利內容上看，可攜帶權完全不同于以往的任何一種人身權利，可攜帶權跳脫傳統的法律理念和權利模型的范疇，是具備前瞻性特點的新型權利。

（四）可攜帶權是一項特殊的請求權

作為個人信息權利的可攜帶權，是基于個人信息自決權而產生的，權利主體可以自主支配權利的行使和實現。然而，可攜帶權實現的關鍵是由數據控制者操縱數據流轉過程，用戶可攜帶權的實現需要請求數據控制著給予幫助，在此過程中用戶必還須解除其對個人信息的獨占性控制，就此認為本為支配權的可攜帶權是一項特殊的請求權。

二、個人信息可攜帶權的內容

（一）個人信息可攜帶權的權利架構

1.可攜帶權的權利主體

歐盟GDPR明確本條例的保護主體僅適用于自然人。印度、新加坡、日本等國家相關法律亦將主體限定為自然人，但澳大利亞《消費者數據權利法》（Consumer Data Right，以下簡稱CDR）將受認可的第三人列為可攜帶權的行權主體，此規定有待商榷。首先，信息是主體個人的信息，個人對其個人信息享有支配權，在一定程度上類似于物權中的所有權，排斥他人對該權利的行使及干預。倘若第三人可以針對他人信息行使可攜帶權，意味著第三人實現了對他人信息的掌控，即便是在信息享有者認可的情況下轉移個人信息仍然存在諸多問題，例如信息享有者的認可是否是其真實意思表示、雙方對認可范圍的理解是否一致等等，上述問題若無法有效規制必會損害信息享有者的自決權，給其帶來諸多不便。其次，各國個人信息或數字立法的首要目的在與保護個人信息和隱私安全，可攜帶權以用戶掌控數據為核心，這在一定程度上排除了希望第三方發起數據轉移請求的可能性，將第三人列為請求主體與立法初衷相悖。我國《個人信息保護法》第45條也將可攜帶權的權利主體限定為自然人，其原因有二。第一，將自然人列為唯一的權利人，突出強調了人的重要性，符合“以人為本”的立法觀念。第二，與法人和非法人組織相比，自然人在信息的收集和處理過程中處于弱勢地位，數據收集者可以利用技術手段實現對個人信息的操控，而自然人礙于自身的認知水平和技術水平等因素卻不能實現其知情權。總之，可攜帶權的主體不應盲目擴張，以自然人為唯一主體較為合理。

2.可攜帶權的客體

GDPR以“提供”為標準劃定可攜帶權客體的范圍，歐盟數據保護工作委員會（以下簡稱WP29）發布的《數據可攜帶權指南》對“提供的數據”做出了解釋，包括關于數據提供者的個人資料以及其提供給數據控制者的個人信息。該解釋排除了與數據主體無關的數據和匿名數據，以及以數據主體提供數據為藍本通過算法技術推測出的數據。WP29的解釋是各方利益權衡的結果，明確客體范圍是提供數據可以避免數據接收者因數據轉移竊取原數據保存者的商業秘密，損害原數據保存者的合法商業利益，擾亂數據市場的經濟秩序。《印度個人信息保護法》（Personal Data Protection Bill，以下簡稱PDPB）規定數據主體可以轉移的數據除了自已向數據委托人提供的數據外，專款規定在提供服務或商品使用的過程中產生的數據亦在可移植數據的范圍內，該類數據不應等同于“推斷數據”和“預測數據”，而應當定性為用戶在互聯網活動中基于其行為軌跡而產生的痕跡數據，例如購物網站瀏覽痕跡是用戶活動數據，網絡服務提供商基于瀏覽痕跡而提供的個性化商品推薦數據則是衍生數據。PDPB的規定擴大了可移植數據的范圍，由于用戶行使可攜帶權的目的之一就是方便、快捷的將其使用互聯網所形成的“習慣”無縫轉接至另一網絡服務提供商，因此將痕跡數據納入可移植數據的范疇與用戶日常行為實踐相符。我國將可攜帶權的客體僅限制為個人信息，但未劃定個人信息的范圍，這成為可攜帶權適用的一大阻礙，據此下文將厘清可攜帶權的適用范圍，以期解決該權利實現過程中的利益沖突。

3.可攜帶權的內容

GDPR規定數據可攜帶權由兩個子權利組成，即導出數據的權利和直接傳輸數據的權利。該權利允許個人以結構化、通用和機器可讀的格式請求和接收其個人數據，同時允許個人請求將數據從一個網絡服務提供商直接移植到另一個網絡服務提供商，簡言之，個人有權獲取及無障礙傳輸數據副本。《數據可攜帶權指南》將這種“阻礙”描述為數據控者設置的任何阻止或減緩數據主體或另一數據控制者行使訪問、傳輸或二次利用的法律、技術或財務障礙。例如，交付數據所需要的費用、缺乏互操作性或無法訪問數據格式等。我國可攜帶權雖在語言表達上僅描述了狹義的數據“可攜性”即數據轉移權，但是應當認識到，獲取副本權與數據轉移轉權緊密相連，不能完全割裂討論。就數據傳輸而言，主體既可直接轉移數據又可間接轉移數據，直接轉移是指數據的提供端和接收端直接通過API接口即完成數據遷移，例如音樂平臺之間歌單的轉移。間接轉移是指用戶需自己需將欲遷移的信息下載后再傳輸到另一網絡服務商，例如上文提到的網盤資料之間的轉移，由于兩個服務商之間沒有建立通行的API接口，就需要用戶通過繁瑣的下載再上傳模式實現數據的轉移。這種方式僅能滿足單一用戶的小體量數據轉移，不能實現以數據自由流通驅動數字市場競爭的目的。

（二）可攜帶權與其他權利的關系

1.可攜帶權與查閱、復制權的關系

查閱復制權是指除法律、行政法規另有規定外，作為信息主體的個人在個人信息處理活動中依法享有向個人信息處理者查閱、復制個人信息的權利。［7］數據主體享有查閱復制權是行使可攜帶權的前提，查閱復制權類同可攜帶權中獲取副本的權能，但兩者有明顯的區別。其一，權利基礎不同。查閱復制權基于主體享有的知情權產生，可攜帶權的權利基礎則為信息決定權。其二，當事人不同。兩者的權利主體均為自然人，但是兩者的地位不盡相同。自然人主體在可攜帶權中是信息的提供主體，而在查閱復制權中，權利主體是指信息被處理的一方。兩個權利的義務主體亦不同，查閱復制權的義務主體僅有一個，即存儲個人信息的數據保有者，可攜帶權的義務主體除數據保有者外還包括數據接收者。其三，權利客體不同。查閱復制權的客體包括所有個人信息，而可攜帶權的客體范圍有明顯的邊界，一般僅限于以電子方式存儲的且是個人提供的數據。其四，權利行使方式不同。查閱復制權的行使與其他領域相似權利的行使并無二異，但是對于可攜帶權的行使要在互聯網環境中進行，數據的傳輸和接收端口是格式化的，兩者之間具有互操作性。其五，權利的功能不同。查閱復制權的設立目的在于使用戶清晰明了的知道其信息的存儲位置、使用方式等，而可攜帶權的功能除了滿足數據自由流動的需求外，更為重要的是其社會意義，即通過打破數據的鎖定效應從而促進數字經濟的發展。

2.可攜帶權與刪除權的關系

個人信息的刪除權，是指個人信息的處理違反法律規定，超過了當事人約定的范圍，或權利人認為信息處理行為繼續下去會有損本人的利益時，信息主體要求信息處理者及時停止對個人信息的處理并刪除相關個人信息的權利。［8］從權利構成上可見，兩權截然不同。其中最為明顯的是可攜帶權的實現不應排除刪除權的行使，當信息主體主張的刪除事由符合法律規定時，個人信息處理者應當刪除信息。原因在于網絡環境不同于物理環境，物理社會中某一特定財物從A處出搬移至B處后，該財物在A處徹底消失。但是在網絡環境中，即使信息主體通過可攜帶權的行使完成了數據的遷移，但原數據保有者出仍留有被移植的數據，簡言之，可攜帶權實現不能消滅原存儲位置中的原始數據，行使刪除權是使個人信息“消失”的唯一方式。

三、個人信息可攜帶權的實現

（一）厘清個人信息的范圍及權屬

我國《個人信息保護法》對個人信息的定義借鑒了GDPR的“可識別標準”，同時又增加了“關聯說”的標準，將個人信息定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。至此，我國法律明確了個人信息的定義及理論范圍。但尚未限定可轉移的個人信息的范圍，換言之，理論上所有的個人信息均可轉移，那么備受爭議的衍生數據是否可以轉移呢？為解決此問題，應當深入探討個人信息的分類和權屬問題。

關于信息或數據的分類，目前各界對個人數據的分類尚未形成明確的界定。GDPR將數據分為提供數據、觀察數據和推測數據，但可攜帶數據僅限于提供數據。CDR明確區分消費者（包括個人和中小企業）在線發布的數據，在線交易創建的數據，購買數據和與以數字形式持有的交易或活動相關的其他數據。以上這些分類都是立法機關基于自身國情的考量所進行的不同劃分。將上述分類與我國實踐中數據的產生和利用情況相結合，我們可以將數據分為個人基礎數據、個人行為數據和個人行為傾向數據。這三者以數據控者在數據處理過程中所付出的智力勞動量為標準劃分。其中，個人基礎數據包括個人生物信息及其他由主體主動提供的原始數據，如例如美食測評軟件中用戶直接輸入的餐廳評價；個人行為數據是指用戶利用網絡產品服務時所產生的痕跡數據，例如利用社交軟件產生的聊天記錄；個人行為傾向數據是指網絡服務提供商以用戶行為數據為基礎，通過算法分析、計算創建的數據，該類數據主要表現為個性化推薦數據，例如音樂播放軟件中“最喜歡的音樂類型”等。

劃分數據范圍旨在明確數據權屬。個人基礎數據以個人生物信息和個人主動提供的數據為內容，該類數據的產生與主體密不可分，因此該類數據應當完全由數據主體支配，當屬可攜帶的范圍。個人行為數據依據用戶的服務利用行為產生，雖然在此過程中網絡服務提供商參與了數據的管理，但是此種管理由其自身性質決定且并沒有參與過多的智力勞動；相反，若用戶沒有實施瀏覽或其他行為，則談不上數據的管理，故個人行為數據因具有較高的人身依賴性應歸數于可攜帶權的范圍。個性行為傾向數據明顯含有大量經營者的智力創造，對該類數據的利益分配應當偏重數據控制者。但這并不意味著此類數據不能移轉，有學者建議應當支付一定對價，［9］在付費購買數據控制者智力成果的基礎上實現數據遷移，這樣便可以最大化的實現個人信息的價值。

總之，立法部門應當根據我國的具體情況，盡快出臺司法解釋或者有關條例，明確可攜帶權的客體范圍，使可攜帶權在中國落地生根。

（二）劃定責任主體的義務邊界

以數據控制者為視角，可攜帶權的實現需要經過告知—識別—回應這三個階段，在此過程中數據控制者要履行其義務。首先，數據控制者要承擔告知義務。可攜帶權是一種發生在互聯網領域的新興權利，群眾對該權利的認識必然是模糊的，數據控制者應當以清晰、易懂的方式告知用戶享有可攜帶權以及該權利的內容和行使方法。其次，對于用戶的行權請求，數據控制者應當謹慎識別用戶身份，可以采取郵箱驗證、密保問題、人臉識別等方式核驗用戶身份信息。對傳輸敏感信息以及傳輸環境判定為高風險的情況下實行“多重要素驗證”，［10］即數據控制者要求用戶要通過兩種以上的認證機制之后，才能得到授權并獲取個人數據，確保數據安全。最后，數據控制者須對用戶的請求予以回應。回應的內容可簡單概括為請求數據是否具備可攜性。若條件滿足，則按照雙方約定的期限或者本公司隱私協議規定的期限按時完成信息的傳輸工作；反之，則應及時回復并說明理由。至于回應的期限宜根據數據的傳輸數量和難度等因素分場景決定，不能將回復期限“一刀切”。風險控制義務必須貫穿整個遷移過程。域外國家或地區大都選擇單邊保護，即前端保護或后端保護二選一。顯然這些風控模式都不能實現數據的全流程保護，我國應當前段保護與后端保護并行，但需要對安全風險和相應措施的成本充分評估和合理分配，在構建相互協調的技術標準的同時，推動數據控制者和數據接收者的安全責任邊界清晰化、均衡化，［11］避免因過高的責任標準阻礙可攜帶權的實現。

另外，在添設數據控制者的義務時還需要考慮比例原則、數據遷移的頻次、數據價值保持及數據是否被濫用等因素，合理標定義務邊界。

（三）制定標準化的數據流動規則

GDPR要求數字服務供應商之前應當采取結構化，通用且格式化的方式以滿足數據傳輸兩端的互操作性，目的是彌合數字技術鴻溝，推動數據在市場中的流通和交易，所以說設計標準化的數據遷移規則至關重要。

首要明確的是標準化不等于統一。有數據顯示，2019年，GDPR的個人信息可攜帶權的規定導致歐盟的中小企業年度支出總額達到163億歐元，平均增加成本在565歐元到2049歐元不等。［12］高昂的成本造成企業協助用戶實現信息流轉的意愿低迷，特別是對中小企業而言，耗費大量的財物執行用戶的信息移植請求是不切實際的。在現實情況下，人們更愿意相信大型企業提供的網絡服務質量更高、隱私保護和數據安全保護機制更加健全，會不自主地選擇大型網絡服務商提供的服務，由此用戶會將其存儲在中小企業中信息轉移到大企業，造成數據和用戶的流失，加之高昂的合規成本，中小企業的生存會面臨危險。故不分行業、不分規模地要求所有企業使用統一的數據流轉規則是不合理的，會加重中小微企業的負擔。因此標準化的規則并非所有數字產業或數字服務使用同一的、無差別的規則，而應當是動態的、場景化的、行業化的實施方案。而且標準化的制定并非對現有技術的控制，亦非是技術進步的障礙，而是為實現技術便利，技術創新與發展而設置的操作流程，在此目的的指引下，鼓勵技術型企業參與標準制定和論證過程，承擔更多的行業責任和社會責任。例如，各行業內的大型在線網絡服務企業對中小企業發展情況進行調研后出具調研報告，并協助政府制定適用于中小微企業的合規標準。建全培育機制，由大企業對小企業進行合規培訓，指導其完成合規建設后，政府部門對參與該項活動的大型企業給予榮譽及物質獎勵。

（四）實現可攜帶權的限制

我國《個人信息保護法》第45條僅規定權利的行使要符合有關部門的要求，那么如何理解“要求”的具體內容？

第一，在特定情況下，個人的權利不得對抗國家權力的行使。《數據可攜帶權指南》規定可攜帶權不適用于數據控制者為公共利益或基于官方授權而進行的必要的數據處理。也就是為實現公共利益或者有國家部門授權的情況下，即使用戶發出了數據遷移的請求，數據控制者也有不協助其完成遷移的權利。此外PDPB還規定可攜權不適用于司法裁判。

第二，個人權利的行使不得損害他人的合法權益。其一，不得損害其他自然人的隱私權及其他權益。當下不同主體間數據粘合現象十分普遍，與之相生的就是多元主體之間的數據權利沖突問題。例如用戶在微信聊天軟件中所產生的數據必然存在相當一部分的涉他數據，包括聊天記錄、朋友圈的評論等等，當用戶對上述數據遷移時，如何保護第三人的個人權益？GDPR要求數據控制者必須取得第三人的同意且數據接收者負有保護義務。相反，《新加坡個人信息保護法》（Personal Data Protection Act，以下簡稱PDPA）規定在少數特定情形下，可以不經第三方同意將其個人信息轉移給數據接收者。相比較而言，PDPA的做法更值得提倡。理由一：要求用戶或數據控制者將此類融合數據完全割裂是極大的技術挑戰，同時切割數據使其“碎片化”會降低數據的價值。理由二：取得第三人同意會增加數據攜帶的成本。以微信聊天記錄為例，該類數據中所涉及的第三人的數量是龐大的，若轉移數據需要經過每一個第三人的同意，勢必會花費大量的時間和精力，用戶甚至會因此放棄數據轉移。但是，“少數特定情形”如何確定？對第三人數據分類討論是相對適宜的：1.網絡行為數據、設備數據、社會關系數據不能直接識別特定第三人的數據在未經其同意的情況下是可以轉移的，例如網站的訪問數據、計算機終端的位置信息等。反之，可以直接識別特定第三人的數據則必取得其同意，此類數據包括個身份證號碼、指紋、銀行賬戶等人身份信息、生物信息、賬戶信息等；2.以第三人是否已經公開為標準，若第三人已經公開（僅限于主動公開和其他依法公開的信息）并上傳至網絡的可以轉移，反之則不能；3.以轉移是否會侵犯第三人隱私為標準確定是否應當獲得其同意；4.以轉移是否會損害第三人經濟利益為標準。例如，第三人的商業策劃信息不得擅自轉移。其二，不得侵犯他人的商業秘密和知識產權。數據中的商業秘密和知識產權來源有二，一是數據內容本身帶有商業秘密或者受知識產權保護；二是數據控制者收集、處理數據所用技術涉及商業秘密或知識產權。當用戶發出數據轉移請求后，數據在傳輸過程即可能被第三方黑客控制而披露商業秘密，抑或是數據接收者接受數據后破解數據的原有存儲和利用模式而侵犯其知識產權。據此，應當要求數據遷移中的各方利益主體履行自身的誠信義務，不得故意損害任何一方的合法利益。

四、結語

允許數據自由的流通，有利于構建良性的市場環境。面對可攜帶權問世以來出現的諸多問題，以及我國可攜帶權通過《個人信息保護法》正式確立的現實，精準認定可攜帶權的性質，理解可攜帶權的內容，制定具體的適用和保護規范以適應中國數據產業的發展現狀，這一權利才能真正滿足我國群眾信息自由流轉和本土數字經濟發展的需要。

〔參 考 文 獻〕

［1］王利明.中華人民共和國民法總則詳解（上）［M］.北京：中國法制出版社，2017：456.

［2］程嘯.個人信息保護法理解與適用［M］.北京：中國法制出版社，2021：24.

［3］王利明.中華人民共和國民法總則詳解（上）［M］.北京：中國法制出版社，2017：465.

［4］葉金強.《民法總則》“民事權利章”的得與失［J］.中外法學，2017（03）：651-655.

［5］丁曉東.個人信息私法保護的困境與出路［J］.法學研究，2018（06）：194-206.

［6］柴瑞娟，田奧妮.開放銀行場景下引入數據可攜權的風險化解與制度構建［J］.征信，2022（03）：17-25.

［7］Graef I， Husovec M， Purtova N， Data Portab

ility and Data Control：Lessons for an Emerging Concept in EU Law，SSRN Electronic Journal， 2017.

［8］化國宇，楊晨書.數據可攜帶權的發展困境及本土化研究［J］.圖書館建設，2021（04）：120.

［9］王錫鋅.個人信息可攜權與數據治理的分配正義［J］．環球法律評論，2021（06）：19.

［10］時東，楊暉.征信業個人信息可攜帶權保護［J］.中國金融，2022（01）：94.

〔責任編輯：侯慶海〕