數據可攜制度：國外典型實踐及對中國的啟示

付偉 楊曉波 李曉東

（1.伏羲智庫，山東菏澤 274000;2.清華大學互聯網治理研究中心，北京 100084;3.中國科學院計算技術研究所，北京 100192）

數據可攜是指數據能夠根據數據主體的意愿在不同數據控制者之間進行轉移傳輸，是在互聯網發展普及和數字平臺不斷壯大過程中，為保護消費者權益、促進數據流轉和數字市場公平競爭而形成的一種理念和制度構想。2012年歐盟啟動數據立法改革并推出《一般數據保護條例》（GDPR）草案，第18條首次賦予數據主體擁有從數據控制者獲取數據副本并允許數據主體進一步使用該數據的權利[1]。此后，歐盟、韓國、澳大利亞以及美國五個州均已在法律中正式確認數據可攜制度；《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第45條明確規定，個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。與此同時，社交鏈接數據、我的數據、數據轉移項目等支持數據可攜制度的實踐方案也在不斷涌現。2023年2月，中共中央、國務院印發的《數字中國建設整體布局規劃》提出暢通數據資源大循環，確立數據資源為數字中國建設的核心要素[2]。系統研究國外數據可攜制度的爭議、關注焦點、實踐方案等，對進一步完善中國數據可攜制度構建、推動相關實踐方案落地、助力數字中國建設具有重要意義。

一、數據可攜引發的爭議

構建數據可攜制度能夠更好地保護數據主體權益、提高數據流通利用水平、推動數字經濟公平競爭和普惠式增長，但其中也可能面臨多元主體利益沖突、阻礙技術和應用創新以及數據安全風險等問題和挑戰，支持和反對聲音均具有一定的合理性和說服力。

（一）支持構建數據可攜的理由

一是增強用戶對數據的控制和權利。隨著人類進入數字時代，數字技術應用帶來的不確定性和風險引發了廣泛憂慮，人們需要在認知和行為層面掌握確定性和可控力。數據可攜制度為用戶控制和管理數據提供了依據[3]。一方面，用戶可以自由決定其數據的控制、使用、轉移、授權使用和保存。在可攜場景下，用戶可以下載、保存、轉移以及授權特定機構使用數據等，并且用戶有權決定何時、何地、何種設備具體實施數據可攜[4-5]。另一方面，數字時代的來臨，互聯網與現實世界存在映射關系，用戶在網絡空間中逐漸形成了數字人格，這種人格由分散在用戶使用過的互聯網應用和服務中的數據構成。數據可攜制度加強了數據主體對自身信息的控制程度，更有利于拓展人在數字網絡中的權利和尊嚴。

二是促進數據流通和價值釋放。數據可攜有助于打破企業壟斷數據流通和數據價值植入的渠道，將數據流通和數據價值植入的主動權交還給用戶，有望解決用戶數據流轉困難的問題[6]。數據使用的決定權由數據控制者轉為用戶，用戶可以在多個平臺站中選擇最合適的使用方式，而不是完全取決于互聯網服務提供商[7]。而億萬用戶對數據流通和數據價值植入的重新思考和重新選擇，必然會增加數據流通渠道和價值釋放機會。這將促進數據向中小型互聯網企業、創新型應用和服務等流動，為互聯網行業特別是數據驅動型企業的發展提供更多機會，讓用戶的沉淀數據得以再次開發利用。同時，這也會回饋用戶更多的數據使用方式和更好的使用體驗[8]。此外，數據可攜制度將促進數據行業標準的制定[9]，為數據的跨地域、跨行業、跨系統流通奠定基礎。數據可攜在健康醫療、開放銀行等領域的實踐已經充分證明了其增強數據流動和釋放數據價值的作用[10-11]。

三是推動數字市場公平競爭和數字經濟普惠式增長。當前，部分數字平臺存在通過實施數據封鎖、設置排他性規則和限制用戶數據轉出等措施謀取數據利益和維護競爭優勢的現象[12]。引入數據可攜制度能夠有效改變用戶和數字平臺的不平等地位[13]，改善數據市場發展不公平競爭狀況，并推動數字經濟實現普惠式增長。一方面，允許用戶自主選擇數據授權使用方、數據流通途徑和數據保存地址實際上明確了數據與應用業務的分離，降低了第三方機構利用數據的門檻，可有效解決數據市場被少數數字平臺壟斷的局面[14]。另一方面，數據壟斷現象的減少降低了初創企業進入門檻[15]，可以促進初創企業圍繞數據驅動業務開展投資[16]，有助于實現各領域數字經濟增長。

（二）反對數據可攜的理由

一是帶來多元主體利益沖突。數據可攜將改變多元主體之間的相互關系，可能會造成數據主體間的利益沖突[17]。首先是數據運營者與數據主體之間的利益沖突。數據可攜要求將部分甚至全部數據利益重新分配給數據主體，數據運營者可能會因為數據利益減少而造成運營困難或怠于研發新項目。其次是數據運營者之間的利益沖突。雖然數據可攜降低了數據市場的準入門檻，但對數據標準、格式和互操作的嚴格要求會導致部分數據運營者在初創時期背負更重的負擔。最后是數據主體與第三方之間的利益沖突。數據主體在管理其數據時，可能涉及其他人的隱私、商業秘密或知識產權等利益，并產生利益沖突，進而影響數據可攜制度的有效實施。

二是造成數據安全風險。數據可攜要求的數據標準化流通可能會為不法者提供“便利”[18]。企業在收集和使用數據時，會采用不同的數據格式或傳輸端口，間接增加了網絡攻擊難度，但數據可攜對數據格式的一致性要求正好降低了這種復雜性。一方面，數據可攜要求采用結構化、通用化和機器可讀的格式存儲和傳輸數據，且相關標準和協議一般為公開的，為網絡攻擊和數據竊取提供了確切的目標；另一方面，為了便于數據轉移，企業往往會開發更多的應用程序端口以增強服務開放性，也為網絡攻擊提供了更多的“窗口”。數據在轉移過程中因受到非法攻擊而導致的泄露、遺失或改寫應當由誰承擔相應責任也不明晰，造成了法律歸責的真空[19]。此外，互聯網是信息傳播平臺，數據可攜可能會導致過去僅在單一平臺傳播的違法有害信息跨平臺傳播并迅速在全網擴散，特別是超大型平臺之間的數據可攜可能會帶來不可預知的安全風險。

三是可能阻礙數字技術和應用創新。一致的技術標準可能對技術創新產生潛在的抑制效應[20]。一旦形成固定的統一標準，市場主體為了符合要求往往會降低創新的動力，間接導致整個市場的創造力下降。同時，數據可攜提高了企業的合規成本，容易降低企業開發新技術和新產品的熱情。強制數據控制者傳輸數據可能會耗費不成比例的成本和資源[10]。對于大企業而言，它們承擔的法律責任與獲得的數據利益容易失衡。為實現數據可攜，互聯網企業需要編寫更多的輔助性應用程序，這些程序并不會影響整體的應用程序，但需要付出更多的運營成本[2]。對于中小企業而言，它們往往缺乏實現數據互操作性的技術支持和資金支持，而不能滿足數據可攜合規要求又可能影響其產品在市場上的正常推廣，甚至使其面臨處罰[10]。此外，數據可攜削弱了互聯網企業對數據的掌握能力，并降低其開發數據收集類應用程序的意愿。在沒有明確收益預期的情況下，市場主體在數字領域的變革創新以及持續投資均受到抑制。

二、國外數據可攜制度建設進展

（一）歐盟較早提出構建數據可攜制度

2016年4月，歐洲議會通過GDPR，其第20條明確規定了“數據主體有權以結構化、通用化和機器可讀的格式接收他們提供給數據控制者的個人數據，并不受阻礙地將這些數據傳輸給另一個數據控制者”[21]，并且詳細規定了用戶在行使數據可攜時，不得損害公共利益，或對他人的權利及自由產生負面影響。同年12月，歐盟第29條數據保護工作組發布了《個人數據可攜權指南》，為用戶實際行使數據可攜權利提供規范指南，明確了數據可攜的要素、何時可適用、一般數據規則對數據可攜的影響和如何提供可攜數據等[22]。2020年12月，歐盟委員會提出主要針對美國科技巨頭的《數字市場法案》（DMA），進一步將數據可攜制度的權利主體擴大至企業用戶，允許企業用戶和個人用戶攜帶并轉移其在平臺上產生的數據。此外，歐洲數據保護監管局（EDPS）曾于2016年9月發布《EDPS對個人信息管理系統的意見》[23]，對發展旨在管理、存儲和共享個人數據的系統表示支持。此后，很多數據可攜制度實踐方案就是基于該文件。

（二）美國在聯邦和州層面都構建了數據可攜制度

在聯邦層面，由于美國沒有統一聯邦數據保護法，數據可攜制度主要體現在部門立法之中。比如，在健康數據領域，1996年美國出臺《健康保險可攜性和責任法案》（HIPAA），規定了個人有權獲得其個人健康信息的副本。2009年《經濟和臨床健康的健康信息技術法案》（HITECH）更新和擴大了HIPAA的信息披露要求，賦予個人從相關實體獲得信息的電子格式副本且可要求該實體將副本直接發送給個人指定的實體或個人的權利。2016年美國出臺《21世紀醫療法》，對數據可攜提出了額外要求，包括數據交換標準、用于健康信息交換的安全應用程序編程接口（APIs）等。在財務數據領域，美國2010年出臺《多德-弗蘭克法案》，第1033條賦予消費者以電子格式訪問其財務信息的權利，相關主體應根據要求，向消費者提供該主體控制或處理的有關消費者獲得的消費金融產品或服務的信息。在州層面，加利福尼亞州、科羅拉多州和弗吉尼亞州通過了數據保護法，并都有明確的數據可攜條款。這些法律都要求本州的數據控制者以標準格式向消費者提供其數據的電子副本，允許消費者“不受阻礙地”將這些數據傳輸給第三方。整體來看，美國已經在消費者保護、醫療保健等多個行業領域實施了數據可攜制度，為促進行業發展和消費者福利的增加提供保障。但是美國科技政策咨詢機構認為，應鼓勵但不應強制推行更普遍的數據可轉移計劃[24]。

（三）韓國重視數據可攜在金融領域的制度構建

為應對歐盟的數據立法改革和第四次工業革命，韓國政府不斷修訂法律加強對個人的信息保護，同時引入了使用非身份性個人信息的概念，提供基于數據可攜性的一站式服務[25]。韓國2020年頒布《信息信用法》，并在該法第33條明確規定數據可攜制度在金融領域具體適用方法，規定“作為個人的信用信息主體可以要求將其持有的關于自己的個人信用信息傳輸給提供信用信息的用戶的下列任何一方”。同時，該法詳細規定了權利主體范圍和信息信用數據控制主體承擔的義務。為了應對智能信息社會發展所帶來的問題，韓國在2021年9月提起了《個人信息保護法》的修正案，新增個人信息的傳送要求權，并針對自動化決定的信息主體的權利等進行了修改，同時規定了個人信息傳送要求的條件等。其中，新設的個人信息的傳送要求權實際上就是個人信息可攜要求，信息主體可以要求個人信息處理者將其處理的個人信息發送給信息主體本人、個人信息管理專門機構等。

（四）澳大利亞強調消費者數據可攜權益

2019年8月，澳大利亞頒布了《消費者數據權利法》（修正案），該修正案在2010年《消費者數據權利法》基礎上增加了數據可攜部分，明確規定澳大利亞消費者有權要求安全、有效和方便地披露數據控制者控制的有關信息，并且給消費者有權要求數據控制者將其控制的有關信息提供給消費者自己使用或經認可的第三方使用。另外，消費者在金融領域中獲得了更多的數據可攜自由，譬如消費者可以決定以何種方式共享何種數據，以及何人可以擁有并使用這些數據。澳大利亞信息專員辦公室、澳大利亞競爭和消費者委員會在2020年發布了《消費者數據權利合規和執法政策》，目標是為消費者提供有效和方便地訪問企業（數據持有者）持有的消費者數據的能力，并授權將這些數據安全地共享給受信任和被認可的第三方（認可的數據接收者）。該項政策從銀行業開始，并將在整個經濟范圍內逐步推出。

總體來看，數據可攜理念已經被多個國家和地區納入數據制度規則構建之中。但是由于互聯網發展程度、社會發展水平、商業模式和基礎條件等有所不同，這些國家和地區在實施前提、數據范圍、請求次數、傳輸方式等數據可攜的制度設計細節和要求方面也存在差異。除了保障個人數據權益外，數據可攜的范圍進一步擴展到企業數據，促使數據可攜制度落地帶來的應用類型也從金融領域向其他領域擴張。

三、國外數據可攜制度的典型實踐方案

隨著數據可攜制度被廣泛接受并逐步進入法律條文之中，各國支持數據可攜制度落地的實踐方案開始不斷涌現，其中值得關注的包括社交鏈接數據、我的數據、數據轉移項目等典型實踐方案。

（一）社交連接數據

社交連接數據（Social Linked Data，SoLiD）是由萬維網之父蒂姆·伯納斯·李提出的一套規范，支持安全地將數據存儲在被稱為Pod的分散數據存儲中。數據所有者通過授予第三方對其Pod上的數據進行訪問的權利實現數據連接。由于SoLiD是基于已有的萬維網聯盟（W3C）標準規范構建的，所以這種訪問是全球可達的。

SoLiD主要由4部分構成，即：認證機制、控制機制、規范機制和授權機制（圖1）。認證機制是指SoLiD通過將網絡統一資源定位符（WebID URL）作為通用用戶名或參與者標識符，用戶以此可實現跨服務登錄，避免被服務提供商鎖定。控制機制具體可分為檢索、創建、替換、更新、刪除、保存和使用數據。規范機制是指SoLiD使用應用程序接口（RESTful API），并將數據存儲為資源描述框架（RDF）。數據中的每個資源都有一個URL，無論這個資源是文檔、圖像、人物、抽象概念還是兩個資源之間的關系，SoLiD都可對各個URL實現具體操作。授權機制是用戶通過授權使特定應用程序可訪問該用戶儲存在SoLiD上相應數據。

圖1 SoLiD范式及4種機制

該規范可以實現用戶賬戶分散、數據存儲分布以及不同平臺間的數據互操作，并解決用戶的關切和數據處理者的合規挑戰。從用戶角度看，SoLiD可以讓用戶數據避免被數字平臺鎖定和濫用，同時也能夠讓用戶直接參與管理自己的數據，幫助用戶保護數據以防止數據丟失；從數據處理者角度看，SoLiD采取嚴格的認證授權模式可以顯著降低因分散收集數據帶來的巨額成本及合規風險。當前SoLiD尚未實現大規模商用，仍在積極開發中，且商業模式未明確。

（二）我的數據

我的數據（MyData）作為一種與數據可攜制度密切相關的數據利用模式和范式，主要分為北歐模式和韓國模式兩類。其中，北歐模式被定義為一種確保數據互操作性和可移植性的基礎架構方案，允許個人從不同的數據來源聚合個人數據，并以此與能夠提供更加豐富數據和服務的供應商進行交互[26]。北歐模式為個人數據管理提供了易于使用且全面的工具、公開顯示組織如何使用其數據的透明機制，通過在個人允諾許可的情況下促進對現有個人數據集的法律和技術訪問，為新型的基于數據的業務提供機會，通過支持數據互操作性降低新企業的進入門檻，從而確保以數據驅動為核心的數字市場更加平衡和更具競爭力。北歐模式確保授權流和數據流的分離，且用戶可以自由選擇運營商而不丟失其MyData賬戶的內容，因此該賬戶系統在北歐模式中具有獨特的重要性（圖2）。

圖2 MyData北歐模式的運行機制

韓國政府依據其《信息信用法》提出并開發了MyData項目（簡稱韓國模式），旨在讓數據主體能夠通過自己意愿管理個人信息，同時為企業創造新機會，具體由監管層、實施層和支援層構成（圖3）。其中，監管層包括個人信息保護委員會和金融服務委員會，負責發布服務指南、組建標準工作、審核運營商資質并發放許可；實施層包括信息源、運營商和中介機構，運營商基于信用傳輸要求收集分散的個人信用信息為用戶提供一站式查詢、金融產品咨詢、資產管理等服務，中介機構側重為部分金融機構（信用保障機構）和運營商搭建橋梁；支援層由韓國信用信息院負責的支援中心構成，主要工作是支持個人信用信息穩定傳送，包含管理可傳送的個人信用信息的范圍、標準化、傳送費用、金融消費者權益和個人信用信息認證基準等服務。韓國自2019年5月起在醫療、金融、公共服務、交通和生活消費5個領域進行MyData測試，其中金融數據服務于2022年1月正式投入使用。

圖3 韓國模式的運行機制

總體來看，北歐模式與韓國模式之間存在顯著差異：一方面，北歐模式是平臺主導模式，而韓國模式是政府主導模式；另一方面，北歐模式的數據可攜范圍比韓國模式要廣，韓國模式主要植根于金融領域。此外，北歐模式采用非營利模式，而韓國模式相關企業大多為營利企業。北歐模式的初衷是確保個人對其數據的全權管理與控制，最低要求是個人有權訪問和使用其個人數據，在此過程中并不要求一定賦予數據可攜的權利。而韓國模式是以數據可攜制度為基礎，通過授權方式和應用程序接口（API）傳輸實現數據可攜，從而創造出相應的數據產業生態。

（三）數據轉移項目

數據轉移項目（data transfer project，DTP）啟動于2018年，由美國四家大型互聯網企業（谷歌、臉書、微軟、推特）發起，旨在創建一個開源的數據可攜平臺，幫助網絡用戶從在服務提供商處下載數據副本轉變為直接在各個服務提供商之間傳輸數據，并在此過程中解決數據下載和上傳中遭遇的帶寬限制、數據格式不兼容以及數據發現缺失等問題，從而不斷增強數據可攜生態系統并增加提供可攜性的服務數量[27]。如圖4所示，傳統模式下，每個供應商都必須為其他供應商的專有API以及潛在的數據格式構建和維護適配器，通過DTP平臺，每個提供者只構建和維護一個支持DTP的可用標準格式數據模型的API。

圖4 利用DTP提升數據轉移便捷度** 資料來源：Data Transfer Project Overview and Fundamental，2018-7-20

DTP實施主體主要包括用戶、DTP平臺、數據提供者和數據接收者。DTP擺脫了過去由從數據提供者處下載數據且存儲，再將該數據轉移至特定數據接收者的煩瑣且不保真情況，而是通過特定的數據傳輸機制，實現了數據在數據提供者和數據接收者之間的傳輸，減少了用戶下載和存儲個人數據的環節。另外，DTP平臺在數據傳輸過程中，實現數據格式規范化和數據格式可轉換化，加強數據可兼容性和互聯性。數據提供者和數據接收者加入DTP，便可以通過實現數據格式規范化和可轉換化，然后用戶享受DTP項目便利的數據傳輸方式。此外，DTP實行平臺主導模式，并不存儲用戶個人數據，而是將其作為統一的數據格式相互認可和轉化系統。

DTP體系的核心構成包括3個部分：數據模型（data models）、企業專用適配器（adapters）和任務管理庫（task management library）。首先，數據模型是規范格式，用于建立對如何傳輸數據的共識，數據模型通常按數據類型分組形成數據組，如照片、電子郵件、聯系人或音樂等。其次，企業專用適配器主要有數據適配器和身份驗證適配器兩種類型。這些適配器存在于提供商的核心基礎結構外，可以由提供商本身編寫，也可以由希望啟用與提供商之間的數據傳輸的第三方寫入（圖5）。其中，數據適配器是將給定提供程序的API轉換為DTP使用的數據模型的代碼段；身份驗證適配器是一段代碼，允許使用者在將數據傳出或傳輸到另一個提供程序之前對其賬戶進行身份驗證。最后，任務管理庫處理后臺任務，例如兩個相關適配器之間的調用、安全數據存儲、重試邏輯、速率限制、分頁管理、故障處理和單個通知等。理想情況下，每家公司都將使用可互操作的API來允許數據在企業之間流動。

圖5 數據適配器和身份驗證適配器在DTP中的作用** 資料來源：Data Transfer Project Overview and Fundamental，2018-7-20

四、數據可攜制度構建難點及對中國的啟示

（一）構建數據可攜制度的主要難點

當前，數據可攜制度構建在全球層面已經形成了一些共識，相關實踐方案也在不斷涌現和完善，但由于數據可攜制度的新穎性以及數據要素價值釋放過程的復雜性，數據可攜制度構建及落地實踐仍然面臨一系列困難和挑戰。

一是不同層面利益平衡難協調。數據可攜制度通過促進數據流動來實現基于數據的創新和市場競爭，但更多的流動和交互將增加數據安全和隱私泄露的風險，使數據流動與安全保障之間存在矛盾。同時，數據可攜使數據的產生、流轉和使用形成多數據主體格局，將重構個人、數字平臺以及第三方服務商之間的利益關系，導致不同數據主體之間的利益協調面臨挑戰，特別是可能造成數字平臺圍繞數據要素價值釋放產業的投資成本與收益失衡的問題。

二是可攜數據范圍邊界不清晰。數據一般包括用戶自主直接提供或生成的數據、通過機器采集的觀察數據、服務提供商創建的推斷數據以及基于現實關于未來情況的預測數據4個方面。但不同國家和地區數據可攜范圍邊界存在較大差異且存在擴大化趨勢。比如，歐盟GDPR關于數據可攜的范圍僅包含用戶主動提供的數據，但后續的指南將其擴大至觀察數據，歐盟部分成員國進一步將數據可攜的范圍擴充至推斷數據。

三是數據可攜模式與路徑存在爭議。數據可攜有兩種模式可供選擇，一是對所有的數據都采用一套固定的模式，從而確保技術標準的統一性和普適性，以更好地滿足跨平臺、跨系統、跨組織的數據轉移，比如SoLiD模式、DTP模式等；二是分行業、分領域采用不同的模式，以確保在制定有關標準和設計基礎架構方面能夠更加聚焦，比如韓國MyData就是從金融領域開始推進。這兩種模式與路徑是否可行以及孰優孰劣尚需實踐檢驗。

四是數據格式標準化和互操作實現困難。結構化、通用化和機器可讀格式作為數據可攜的基本前提缺乏清晰的描述和統一可行的標準。GDPR實施兩周年評估報告中專門提及，缺少關于機器可讀數據格式的標準是需要解決的障礙[28]。而且商業企業很難有足夠的內在動力去實現數據的互操作性和標準化，特別是對于本身就擁有數據優勢的大企業來說尤為如此。目前，已有的實踐方案都還處于實驗階段或應用初期，市場培育還需要較長的時間。

五是面臨安全風險挑戰。數據可攜要求數據企業在處理傳輸數據時，符合互操作性規范并滿足特定數據接收者的要求。一方面，數據可攜會因為技術的標準化為非法攻擊者提供“便利”；另一方面，相比于過去存儲于大型服務器或平臺中的高安全性，數據接收者的多樣性和不確定性也使得數據面臨更多的安全風險。同時也會帶來數據安全無法有效歸責的問題。此外，實現數據可攜過程中的認證授權是個難題，需要保證用戶的“請求”是便捷的、可靠的。

（二）對中國數據可攜制度構建的啟示

作為數字經濟和數據利用最為活躍的國家，中國正在加快構建數據基礎性制度，數據可攜是其重要組成部分，國外數據可攜制度構建及落地實踐將對中國構建數據可攜制度提供有益的借鑒和參考。

一是循序漸進推動數據可攜制度落地。中國作為數字經濟發展大國，推進數據可攜制度落地，將對數字經濟發展和形成企業競爭優勢產生直接影響。數據可攜制度構建須以中國的現實土壤和本土化根基作為支撐[29]。鑒于《個人信息保護法》已將數據可攜入法，中國應在落地實施過程中充分考慮其可能對中國當前數字經濟發展優勢產生的影響，平衡各方利益關切，為企業應對該影響提供足夠的準備時間和探索空間，循序漸進地推進數據可攜。

二是強化數據互操作理念。數據可攜對數據在不同信息系統之間的互操作性要求最高，要求實現數據的可識別、可尋址、可管理、可復用[30]，需要確保數據的順利轉移和轉移之后能夠直接使用。在當前的互聯網應用現狀和技術水平下，數據可攜模式難以實現，但它代表了理想狀態下未來發展的方向之一，應加強在數據互操作技術和系統層面的研發支持和激勵。同時，為解決數據流轉過程中必然增加的安全風險和威脅，鼓勵市場開發面向數據可攜的安全解決方案，特別是隱私增強技術和數據主體身份認證機制等。

三是探索細化數據可攜的標準和規則。通過支持制定團體標準、行業標準等形式，自下而上地探索數據可攜制度的細化要求，明確可轉移數據的場景、類型、數據格式和傳輸標準等，在成功實踐經驗的基礎上完善相關法律規則，為個人和數據控制者根據數據可攜規則攜轉數據的行為及后果提供可預測性和確定性。

四是鼓勵布局數據可攜試驗項目。首先，加強對數據可攜理念的持續性跟蹤研究，重點包括未來法規層面可攜數據范圍的變化、可攜模式的演進以及行業層面數據互操作技術的進展和數據可攜生態發展的情況等；其次，開展數據可攜影響評估，結合具體業務對實施不同程度數據可攜的成本、潛在風險、挑戰、影響和收益等進行評估；最后，開展數據可攜試驗性項目，從培育企業潛在競爭能力的角度，選取特定領域聯合搭建數據可攜解決方案，面向行業輸出標準、規則以及最佳實踐，為有關政策制定提供支撐。

五、結語

數據可攜制度構建對用戶數據權益保障、數據要素價值釋放、數據產業生態構建等多個方面具有重要意義。雖然還存在一定的爭議、困難和挑戰，但不可否認的是主要國家和地區已經或正在通過立法形式支持數據可攜，學術界和產業界也在積極推動相關實踐方案落地，數據可攜制度及其實踐方案未來會不斷細化和完善，數據制度創新也將不斷推動數據相關的技術創新和商業創新。中國作為數據資源大國，構建數據可攜制度和落地數據可攜實踐方案，將不斷促進數據流動和數據要素價值釋放，對加快發展數字經濟和建設數字中國提供有力支撐。但由于當前我國對數據可攜制度的認識和實踐都缺乏較為全面系統的了解，也尚無成熟的范式可循，結合國情穩妥地推進數據可攜制度構建和實踐落地尤為重要。此外，在實踐過程中，對數據可攜制度的落地實施開展有效的評估也非常重要。