數據可攜帶權的適用邏輯與本土化改造

楊淳瀟

（西南政法大學 民商法學院，重慶 401120）

一、問題的提出

在大數據時代，個人數據不僅是自然人人格的電子化表達，還是影響數據市場競爭的核心要素。人工智能技術與云算法的高速發展讓數據擁有了更大的商業價值，也催生出更迫切的個人數據保護需求。歐盟《通用數據保護條例》（以下簡稱GDPR）作為一部專門保護自然人數據權利的法律，其中第20條規定了數據可攜帶權。歐盟期望通過該權利強化數據主體對個人數據的控制力，并促進數據流通?！吨腥A人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）引入了數據可攜帶權，但該權利的本土化進程仍處于摸索階段。國內學界對于數據可攜帶權的研究集中于該權利的法律性質、本土化的必要性以及引入模式，相較于域外對數據可攜帶權的研究而言，我國目前的研究角度較為單一，對該權利本土化改造路徑的研究有待深入。例如，數據可攜帶權的實施困境以及本土化改造問題仍值得挖掘?；诖?，本文試圖明晰數據可攜帶權的適用邏輯與實施困境，提出本土化的改造方案，以期為我國的數據權利保護提供參考。

二、數據可攜帶權的邏輯起點

作為舶來品，源于GDPR的數據可攜帶權自賦權之初，不僅強化個人對數據的控制，還能消除數據的“鎖定效應”，促進競爭，意義深遠。

（一）數據可攜帶權的概念內涵

數據可攜帶權的理論支撐可以追溯至“信息自決權”理論，即個人信息主體有權決定個人信息的公開與否、以何種程度公開以及決定個人信息的用途［1］。從該理論可以提煉出數據主體享有對其個人數據的使用、控制、決定的權利，這與數據可攜帶權的內涵相符。數據可攜帶權正式被納入法律規范可以追溯至GDPR第20條第1款，即數據主體有權獲取“經過整理的、普遍使用的和機器可讀的”的個人數據，有權“無障礙地將此類數據從收集其數據的控制者那里傳輸給其他控制者”［2］。從該條款中可以得出，個人數據是數據可攜帶權的調整對象。GDPR第4條將個人數據定義為任何指向一個已識別或可識別的自然人（數據主體）的信息?！秱€人信息保護法》第45 條第3 款規定了，在符合國家網信部門規定條件的情況下，個人有請求個人信息處理者將個人信息轉移至指定的個人信息處理者的權利［3］?；诖?，數據可攜帶權的概念可以被界定為：一項用戶出于合法正當的傳輸目的，請求數據控制者將相關個人數據傳輸至用戶指定的另一數據控制者的權利。

（二）數據可攜帶權的賦權價值

1.強化個人對數據的控制

個人數據自由流動固然提升了交易效率，但信息壁壘與算法黑箱的存在使得公民難以完全掌控數據流向。在GDPR之前，數據可攜帶權并未被明確規定在個人數據權利中，數據主體在個人數據傳輸和處理中的參與度不高，較難發揮主觀能動性，淪為任由數據控制者操縱的客體。隨著網絡通信和算法的發展以及世界各國對數據可攜帶權的關注，該權利首次被明確規定在GDPR 第三章“數據主體的權利”之下，其應當符合GDPR的主要目標，即保護自然人享有的個人數據權利。數據可攜帶權確保數據主體有權將個人數據攜帶至另一數據控制者，緩解數據主體與數據控制者之間的權利失衡，使得數據主體能夠更好地控制其個人數據的流向，實現用戶個人對數據的自主支配。這不僅使數據控制者獲取、存儲、傳輸、處理數據的過程更加透明，也彰顯了對數據主體人格尊嚴和主體性意志的尊重與認可。

2.消除數據“鎖定效應”，促進競爭

在大數據時代，互聯網企業的蓬勃發展需要算法不斷升級換代，而算法的迭代更新離不開海量的數據資源。大型互聯網企業擁有更雄厚的財力與更精準的算法，因而用戶更愿意將個人數據提供給它們。由此，它們往往擁有更龐大的數據存量，并設置各種壁壘，防止用戶轉移數據，這極易形成數據“鎖定效應”，妨礙公平競爭。數據“鎖定效應”是指用戶依賴單一的數據控制者，由其固定且長期地為用戶提供同類服務，并且由于轉換成本較高或缺乏相應途徑，用戶難以將數據轉移至其他數據控制者。大型互聯網企業正是通過大量收集用戶個人數據，使得用戶黏性極高，從而也使自身贏得穩固的競爭優勢。數據可攜帶權在這樣的背景下應運而生，不僅讓用戶個人有權決定數據的傳輸，而且較大程度地消除了數據自由傳輸的非必要障礙，從而消除數據“鎖定效應”，促進公平競爭［4］。

3.增加個體選擇，提升消費者福利

數據可攜帶權讓用戶數據能夠自由流動，數據傳輸的主動權也因此交到了用戶手中。同時，數據控制者負有提供數據轉移渠道的義務，中小型企業獲取更多數據資源的同時也降低了用戶更換數據控制者的成本。由于用戶可以選擇不同的數據控制者，企業在競爭加劇的情況下需提高自身服務水平才能留住或吸引用戶。隨著企業服務水平的提高，用戶能夠通過比較，在不同企業提供的同類服務中選擇成本更低或體驗更好的服務。由此可見，數據可攜帶權讓用戶數據從單一平臺的“鎖定效應”中解放出來，通過降低轉換成本，讓中小型企業能夠有渠道獲取更多的數據資源，并為用戶提供更多元化、更優質的服務，從而增加個體選擇，提升消費者福利。

三、數據可攜帶權的實施困境

數據可攜帶權的引入固然有利于強化我國用戶對個人數據的控制和促進國內數據市場公平競爭，但在權利引入的過程中也存在“水土不服”的實施困境，典型表現為數據可攜帶權的法權屬性存有爭議、權利結構尚不清晰、與其他權益存在沖突以及責任機制亟待完善。

（一）數據可攜帶權的法權屬性存疑

數據可攜帶權法律屬性的界定是適用和保護該權利的基礎。GDPR 將個人數據權利通過立法的形式上升為“基本權利”，但將數據可攜帶權作為基本人權保護并未得到廣泛認可。我國《民法典》第127 條規定了對數據、網絡虛擬財產的保護，但這一宣示性條文并未明確個人數據權利的法律性質?！秱€人信息保護法》第45條第3款僅僅停留在概念性表述，仍沒有解答數據可攜帶權的法律屬性問題。學術界關于數據可攜帶權的法律屬性主要有三種觀點：“人格權說”“財產權說”與兼具多重權利屬性的“新型權利說”?！叭烁駲嗾f”從個人信息保護的角度出發，認為數據的本質是數據主體的電子化表達，反映著數據主體的人格利益［5］?！柏敭a權說”從數據商業利用的角度出發，認為數據具備經濟價值，數據主體可以提供個人數據給他人而獲取對價［6］?！靶滦蜋嗬f”主張數據可攜帶權兼具人格權屬性與財產權屬性，需要構建多元保護機制［7］。當前我國制定法缺乏對數據可攜帶權法律屬性的規定，這不僅加重了司法裁判的負擔，而且弱化了對個人數據的保護力度。因此，如何界定數據可攜帶權的法權屬性是當下亟待解決的問題。

（二）數據可攜帶權的權利結構尚不清晰

首先，就權利主體而言，企業賦權依據存疑。目前，學界認為數據可攜帶權的權利主體應限定為自然人。因為自然人處于弱勢地位，與企業、政府等主體相比在經濟實力、信息獲取能力等方面有較大差距，應當加強保護。并且，將權利主體限定為自然人被認為是一種較為緩和的權利本土化路徑。然而在實踐中，中小型企業也有攜帶數據的需求。例如，入駐多個網絡平臺銷售商品或提供服務的中小型企業就有將記載在A平臺上的信用等級、交易記錄、用戶評價等數據轉移至B 平臺的現實需求。如果一刀切地排除中小型企業成為權利主體，有可能會與該權利打破壟斷、促進競爭、推動創新的目的背道而馳。因此，是否可以在區分企業規模并采取合理限制的情況下，將中小型企業納入數據可攜帶權權利主體的范圍，是該權利本土化進程中值得思考的問題。

其次，就義務主體而言，數據控制者的類型有待細分。GDPR第4條未區分數據控制者的類型和規模?！秱€人信息保護法》第45條第3款強調只要符合國家網信部門規定條件，所有個人信息處理者都有義務提供轉移個人信息的途徑。然而，數據控制者需在數據傳輸技術、數據安全保障等方面投入大量資金和人力才能滿足數據可攜帶的要求。并且，龍頭企業比中小型企業對數據主體的吸引力和鎖定力更強，數據主體向龍頭企業轉移數據的意愿更強烈，數據的“鎖定效應”更明顯。由此可見，要求不同規模的企業負擔同等的義務，會使得中小型企業的合規成本和經營負擔增加，并且可能加速數據流向大型企業，這反而將成為中小型企業在市場中成長發展和參與公平競爭的一大阻礙。在數據可攜帶權本土化的過程中，如何調整義務主體類型有待討論。

再次，就權利客體而言，數據可攜帶的范圍存疑。數據可攜帶的范圍過窄可能會使強化個人對數據的控制力的權利目標落空，范圍過寬可能導致權利被濫用。因此，如何界定數據可攜帶權的權利客體范圍至關重要。GDPR 明確數據可攜帶權的權利客體為個人數據，即任何已被識別或可被識別的自然人的相關信息。由此可見，攜帶的數據需要具備能夠識別出特定自然人的特性，例如自然人的身份證件信息、家庭住址、郵箱地址等。然而，僅僅明確權利客體為個人數據尚不能確定數據可攜帶的范圍，還需要進一步對個人數據進行分類。目前學界對攜帶原始數據并無爭議，但對觀測數據與演繹數據能否被納入數據可攜帶權的范圍仍然存疑。

最后，就義務內容而言，數據可攜帶權對應的義務邊界有待厘清。GDPR 第25 條規定了數據控制者應當綜合考慮實施成本、處理范圍、處理目的等多項要素，采取合適的技術與組織措施處理數據?！秱€人信息保護法》也專章規定了個人信息處理者的義務，其中包括合法處理數據、保障數據安全、提供必要信息、事前評估風險、數據泄露通知等義務。目前，國內外對于數據控制者的義務規定仍比較寬泛，缺乏針對性設計［8］。盡數列舉受保障的數據法益并不現實，只有厘清數據可攜帶權的義務邊界，明確數據控制者從收到攜帶請求到完成數據轉移的各階段義務，才是數據可攜帶權本土化更為理想的路徑。

（三）數據可攜帶權與其他權益的沖突

1.侵害第三人合法權益

GDPR 第20 條第4 款規定了行使數據可攜帶權的限制，即不得對他人的權利和自由產生負面影響。但實際上，被攜帶的數據往往不僅涉及請求行使該權利的用戶個人，也可能影響第三人權益。例如，用戶有權請求在不同平臺之間無障礙地傳輸其主動上傳至平臺的照片、視頻等數據。但是，傳輸此類數據未經第三方許可，可能對第三方的肖像、隱私等合法權益造成潛在威脅［9］。此外，用戶手機內的通話記錄、聊天記錄、郵件往來記錄等信息屬于用戶所有，但也不可避免地與眾多第三方相關聯。在此情況下，第三人由于沒有渠道了解與其相關的數據正在或已經被轉移，其合法權益有很大概率遭到侵害。這種侵害將導致第三人個人信息的不當泄露，例如電話號碼被數據控制者獲取，進而向第三人發送騷擾信息，甚至可能在未經第三人許可的情況下利用大數據分析其個人信息，然后提供針對性的營銷服務。

2.與公共利益發生沖突

數據可攜帶權的行使可能侵害第三人的合法權益，也可能涉及公共利益和數據主體個人權益的價值沖突［10］。攜帶的數據除了包含用戶的個人信息，還可能涉及公共利益和國家機密，如果企業獲取到這些核心數據并分析處理，就可能了解到社會動態、國家經濟運行狀況、公共衛生安全等重要信息［11］。一旦核心數據被非法跨境傳輸或泄露、毀損，將對國家安全與公共利益造成極大的損害。例如，自然人的犯罪記錄、行政處罰記錄等產生的數據既關乎自然人的基本人權，也關系著公眾的知情權與社會安寧。再比如，單個自然人的醫療記錄、基因信息等數據屬于個人隱私數據，但大量的基因數據集合之后就構成了人類繁衍和遺傳的重要數據資源，需要對這類數據的攜帶進行必要的限制，否則可能引發個人權益與公共利益之間的矛盾與爭議。

（四）數據可攜帶權的責任機制不完善

1.責任主體范圍缺乏場景化區分

數據可攜帶權的行使涉及多方主體，其中包括數據主體、數據控制者、數據處理者、數據接收者。數據可攜帶權的行使是數據控制者（處理者）基于數據主體的請求將個人數據轉移至數據接收者，這個過程可以被劃分為多個具體化場景。例如，在轉移數據的場景中，數據控制者既可能是數據處理者本身，也可能是決定將數據處理委托給他人操作的委托人。如果是后者，在數據轉移過程中發生數據泄露、毀損等安全問題，對數據主體承擔最終責任的究竟是數據控制者還是數據處理者？并且，數據主體與數據接收者在什么場景下會被納入責任主體的范疇仍需要進一步討論。

2.過錯判定標準有待明確

行使數據可攜帶權可能出現數據控制者無故拒絕數據主體的合理請求、個人數據遭遇泄露或毀損、被攜帶的數據侵犯他人合法權益或公共利益等多種侵權情形，故而侵權責任承擔機制的重要性不言而喻。根據《民法典》第1165 條，適用過錯推定責任依據法律的明確規定?！秱€人信息保護法》第69 條對處理個人信息造成個人信息權益損害的，規定適用過錯推定責任。因此，在攜帶過程中若數據權益受損，需要由數據控制者證明對損害的發生沒有過錯。這主要是為了彌合用戶與數據控制者之間的信息鴻溝，傳統的“誰主張，誰舉證”的規則會加大用戶的舉證成本，無法滿足用戶維權的訴訟需求。適用過錯推定責任的確能在一定程度上縮小數據主體與數據控制者之間在維權成本、舉證能力等方面的差距，但如何認定數據控制者構成過錯，仍缺乏明確標準。

四、數據可攜帶權的本土化改造

數據可攜帶權的本土化進程中存在上述諸多實施困境，亟待制定針對性的本土化改造方案。只有合理制定本土化改造方案，才能讓數據可攜帶權真正扎根于我國的法律土壤中。

（一）明確數據可攜帶權兼具雙重權利屬性

如前所述，學界對于數據可攜帶權法權屬性的界定主要有三種觀點，分別為“人格權說”“財產權說”“新型權利說”。本文認為，不能將數據可攜帶權簡單地歸于某一權利類屬中，其應當是一種兼具人格利益與財產利益的復合型權利。

首先，數據可攜帶權不能被視為是純粹的人格權。雖然其具有類似于人格權的人身專屬性和人身依附性，但數據主體對個人數據享有的權利有限，主要體現在權利救濟方面?！秱€人信息保護法》以承擔損害賠償的侵權責任來救濟個人信息權益，而《民法典》則通過人格權、請求權這種絕對權保護模式來救濟人格權。由此可見，雖然數據可攜帶權依法受到保護，但其保護強度遠遠不及人格權。

其次，數據可攜帶權不同于傳統財產權。財產權是能夠直接體現財產利益的民事權利，一般具有可讓與性。盡管數據和網絡虛擬財產在《民法典》第127條中得到并列保護，認可了數據具有類似于虛擬財產的財產價值，但只有形成數據集合才具備商業價值。并且，數據可攜帶權側重保護自然人人格利益。再者，數據可攜帶權不可轉讓給他人行使，不具備可讓與性。因此，不能將其簡單置于財產權體系中。

最后，數據可攜帶權兼具人格屬性與財產屬性。一項權利的法律屬性由該權利客體的性質所決定。數據可攜帶權的權利客體是個人數據，個人數據能夠識別出特定的自然人。這些數據可以被認定為數據主體生物信息與人格特征的電子化表達，是自然人人格權益擴張的產物。與此同時，平臺分析處理個人數據，進而產出商業利益，這一過程使得個人數據具備了財產價值。當財產價值有限的個人數據被收集整合成為群體數據時，就具有了極高的商業價值，進而成為互聯網企業在商業競爭中脫穎而出的關鍵因素。

綜上，數據可攜帶權與人格權、財產權當中的特征有所重疊但又不盡相同，并且人格利益和財產利益的占比也并不對等。因此，應當將數據可攜帶權的法權屬性界定為兼具雙重屬性的復合型權利。這既有利于彌補具體人格權的局限性，也有利于發揮數據的商業價值。當數據可攜帶權遭到侵害時，根據具體情況采取不同的救濟路徑才有可能實現更為全面的保護。

（二）厘清數據可攜帶權的權利結構

1.權利主體：自然人與中小型企業

GDPR 將數據可攜帶權的權利主體限定為自然人，《個人信息保護法》也明確保護自然人的個人信息。但本文認為，將中小型企業納入數據可攜帶權的權利主體，有助于回應現實需要和維護數據市場內的公平競爭。一方面，用戶提供的評價、商家信用等級、成交次數等數據對于中小型企業的發展至關重要，如果不能攜帶，就需要重新建立用戶信賴，對中小型企業來說不僅消耗時間成本，還要投入巨額資金。另一方面，中小型企業由于進入市場年限短，不具備競爭優勢，海量的數據源源不斷地流向大型企業，形成數據“鎖定效應”。如果能夠區分企業規模，賦予中小型企業數據可攜帶權，有助于打破數據寡頭壟斷，促進數據流通共享［12］。

2.義務主體：排除中小型企業的“提供”義務

GDPR 對數據控制者不區分類型和規模，《個人信息保護法》也并未對數據可攜帶權的義務主體進行精細化區分。本文認為，應排除中小型企業作為數據可攜帶權的義務主體。如前所述，大型企業占據數據市場壟斷地位，其在資金、人力、技術等方面有充足優勢，具備更雄厚的實力，能夠滿足數據轉移要求。簡言之，大型企業有能力應對新的合規要求與合規壓力。但中小型企業剛剛立足市場，要求他們短期內與雄踞多年的大型企業承擔同等義務并不具備可操作性。如果強制要求中小型企業滿足數據傳輸技術條件，會加大其經營負擔與合規成本，削弱其經濟實力，令其困于競爭劣勢。因此，本文認為在數據可攜帶權本土化進程初期將中小型企業排除在義務主體之外是恰當的。

3.權利客體：允許攜帶原始數據與觀測數據

根據GDPR第20條第1款，被攜帶的個人數據需要滿足兩點：一是與數據主體相關的個人數據，二是由數據主體提供給數據控制者的個人數據。第一點排除了匿名數據和與數據主體無關的數據［13］。第二點中的“提供”有三層含義，一是主動提供的原始數據，二是通過使用設備或接受服務被動提供的觀測數據，三是基于同意或合同提供的數據。除了原始數據與觀測數據，還有數據控制者利用技術手段處理形成的演繹數據。本文認為，應當允許攜帶原始數據與觀測數據，而將演繹數據排除。理由在于：原始數據與數據主體密不可分，其脫離了數據主體就失去了存在的意義，理應被納入攜帶范圍。觀測數據是數據主體在日?；顒又斜蛔詣佑涗浵聛淼膫€人數據，如網站瀏覽記錄、運動數據、位置數據等。這些數據是基于數據主體行為產生的，數據控制者并不需要投入過多技術與資金。演繹數據是數據控制者投入大量的人力、物力與財力開發的產物，應當限制數據主體攜帶演繹數據，保護數據控制者的合法權益，從而實現二者在利益上的平衡。

4.義務內容：細化數據控制者的階段性義務

國內外要求數據控制者負擔的義務多停留在宏觀層面，難以針對性地規制義務主體的行為。因此，應明確數據控制者從收到數據攜帶請求到成功轉移數據的各階段義務。首先，收到數據主體提出的攜帶請求時，數據控制者需核驗身份并建立“多要素核驗”機制?；谄胶鈹祿踩c數據控制者合規負擔，可以僅在請求轉移敏感數據時才啟動該機制?！岸嘁亍笨梢园ㄈ四樧R別、短信驗證碼確認、電子郵件安全提醒等，這些程序能在一定程度上防范數據泄露風險并減少身份冒用行為的發生［14］。其次，在轉移數據時，數據控制者需確保將數據轉移至指定接收者并對敏感數據加密處理。最后，數據接收者成為新的數據控制者，需合理存儲數據并且未經授權不得處理數據，否則將承擔侵權責任。

（三）數據可攜帶權行權配套機制

1.第三人的有限容忍義務

數據主體攜帶涉他數據時，可能導致第三方信息泄露，但單純攜帶并不一定侵犯第三方隱私、肖像等權益。我國《民法典》第1032 條第2 款明確規定隱私具有不被他人知曉的私密性，如果涉他數據只在機器中傳輸和存儲，不被公眾知曉，則不涉及侵犯第三人隱私。本文認為，第三人負有有限的容忍義務，不必每次征求第三人同意攜帶涉他數據，否則將會極大地打擊數據主體轉移數據的積極性，也會增加數據轉移的成本和負擔。數據可攜帶權是每個用戶主體享有的權利，每個用戶主體都對數據攜帶行為有合理期待，因為其本人也可能在某一時刻提出攜帶涉他數據的請求［15］。例如，用戶個人可能會在某平臺上傳畢業照等集體照，照片中的第三人應當意識到該照片有可能在網絡中傳播，用戶個人對該類照片享有一定范圍內的合理使用權。因此，如果數據主體出于正當目的提出攜帶請求，那么無須經過第三人的同意。相反，數據接收者若想要利用第三人數據以實現商業化目的則需尊重第三人的知情同意權，否則需承擔侵權責任。

2.加強數據可攜帶權的外部監管

實現權利需要有效的監管機制。我國現有的個人數據保護規定散見于各部門法中，缺乏完備科學的數據可攜帶權的監管制度。本文認為，可以從三方面著手：首先，構建分級數據監管機構。國家級監管機構是數據監管的最高機構，省級監管機構負責解讀政策文件并對市級工作進行監督，市級監管機構則具體監督本地區中各企業的數據獲取、存儲、傳輸、處理等行為是否合法合規。其次，加強數據傳輸前后期監管。一方面，監管機構需要審查數據控制者是否在用戶知情同意的情況下獲取用戶數據，并是否按照用戶請求和數據類型進行數據整理。另一方面，監管機構應注重審查數據控制者的傳輸方式是否合理、傳輸渠道是否安全、是否對敏感數據進行加密處理等。最后，優化數據監管方式。各級監管機構設立內部評價機制，加強監管機構自身建設，強化各級監管機構內部合作與交流，以實現監管機構自身用權受監督、違法必追究。

（四）完善數據可攜帶權的責任機制

1.區分場景界定責任主體范圍

《個人信息保護法》第69條只規定了個人信息處理者的侵權責任，但權利的實現需要多方主體的配合。本文認為，可將數據可攜帶權的實現劃分為“提出請求——數據轉移——數據接收”三個場景，在不同場景下界定責任主體范圍能實現更精準的救濟。首先，數據控制者無故拒絕數據主體提出的合理攜帶請求時，數據主體可以基于請求權競合主張數據控制者的違約責任或侵權責任。其次，在數據轉移過程中發生數據安全問題，數據控制者應承擔侵權責任。若數據控制者將數據處理事項委托給他人操作，數據控制者應對數據主體承擔最終責任。數據控制者對數據主體承擔侵權責任后可以向受托方追償并請求其承擔相應的違約責任。最后，數據接收者有義務對接收到的數據采取恰當的保護措施，并且在未經許可前，不能對數據進行分析與處理。數據接收者違反上述義務導致數據主體合法權益受到侵害，應承擔相應的侵權責任。至于數據主體承擔侵權責任的情形，應是其明知攜帶某數據會損害第三人合法權益或公共利益，但仍要求轉移該數據并因此造成了相應的損害后果。

2.明確判定過錯的證明標準

數據主體相對于數據控制者而言處于弱勢地位，二者在舉證能力、維權成本上都存在較大懸殊，需要加以平衡?；诠皆瓌t，《個人信息保護法》第69 條采用了過錯推定責任，由數據控制者舉證證明自己對損害的發生不存在過錯。雖然歸責原則得以明晰，但并未明確判定過錯的證明標準。就此，本文認為，可以從《民法典》人格權編對個人信息的處理原則和《個人信息保護法》對敏感信息的處理規則中尋找可用的標準。數據控制者若主張自身不存在過錯，需要證明同時滿足以下三項標準：第一，轉移數據的行為符合《民法典》第1035條規定的個人信息處理的原則和條件，即具備合法性、正當性、必要性。第二，經過了數據主體的同意或根據合同約定進行數據傳輸。第三，數據傳輸與處理符合《個人信息保護法》第28條規定的目的特定與充分必要原則，并且對數據采取了嚴格的保護措施［16］。

五、結語

《個人信息保護法》引入數據可攜帶權，展現了我國個人信息保護立法的時代性與前瞻性。數據可攜帶權的功能不同于防御性個人數據權利，其具有增強數據主體對數據掌控力的積極作用，有利于平衡數據主體與數據控制者的不對等關系，并促進數據的共享與流通。但是，數據可攜帶權的本土化還面臨諸多實施困境，需要借鑒域外經驗。首先，明確數據可攜帶權屬于兼具人格屬性與財產屬性的復合型權利。其次，應從權利主體、義務主體、權利客體、義務內容四個方面厘清數據可攜帶權的權利結構。再次，通過要求第三人負擔有限的容忍義務、加強數據可攜帶權的外部監管等方式緩和與其他權益之間的沖突。最后，對數據可攜帶權的本土化改造離不開責任機制的完善，一方面需要區分場景界定責任主體范圍，另一方面需要明確判定過錯的證明標準。只有不斷細化數據可攜帶權本土化的改造方案，才能真正實現數據的人格權益與商業價值的平衡，使數據可攜帶權牢牢扎根在中國并服務于本土數字經濟的發展。