在信息化社会,信息成为比物质和能量更为重要的社会资源,开发并利用数据成为了国民经济活动的主要内容。个人数据保护法作为一项新兴的法律部门也因信息产业的迅速发展而登上历史舞台,并在全球蔓延开来。欧盟于1995年出台了《数据保护指令》并在长达二十多年的司法实践中积累了丰富的经验,而随着信息技术的快速发展、个人信息侵权形态的多样性和损害的严重性,适时修改现有法律规范已经成为社会共识。欧盟委员会于2012年正式启动了个人数据保护法立法改革,并于2016年正式通过了《一般数据保护条例》。除了在立法上正式确立了被遗忘权之外,其所创设的数据可携权亦成为理论和实务界所关注的焦点。对于这项“史无前例”的新型数据权利,其能否像欧盟立法者所期望的那样,在增强个人数据控制力的同时推动欧盟数字经济的创新发展,殊值探讨。为此,本文将从数据可携权概述、数据可携权的理论基础、数据可携权的权利架构、数据可携权的启示四个部分系统性地介绍和分析该权利,以期为我国个人信息法学研究和立法实践提供借鉴。第一部分为数据可携权概述。数据可携权的提出源于欧盟委员会于2012年提交的数据保护改革草案,在长达四年的立法议程中,其权利性质和构成要件也经历了数次重大修改,并最终被固定在《一般数据保护条例》第二十条之中。该权利是对大数据时代社会民众渴望增强数据控制力的回应,同时也是构建欧洲数字化单一市场的重要举措。因此,数据可携权可谓兼具激发市场活力和强化个人数据控制力的双重价值。第二部分为数据可携权的理论基础。不同于美国的隐私权保护模式,欧盟个人数据保护法以德国法上的信息自决权为理论基础,其是指个人有权决定有关其自身的信息是否以及在何种程度上被处理或利用的权利。数据可携权秉承了信息自决理论,其允许自然人将其提供给控制者的个人数据简便地从一处转移至另一处,从而增强自然人对个人数据的控制力。第三部分为数据可携权的权利架构。该部分是全文的重点,笔者主要从数据可携权的主体、客体、内容、行使条件、与其他权利之间的关系五个层面展开。在主体层面,数据可携权的权利主体为自然人,不包括法人和死者,义务主体为数据控制者,并在地域上并非仅限于欧盟地区;在权利客体层面,数据可携权的权利客体为个人数据,其范围界定需要结合任何信息、相关性、已识别或可识别、自然人四个要素予以综合认定;在权利内容层面,数据可携权包括了副本获取权和数据转移权;在行使条件层面,数据主体对基于他或她的同意或合同等合法理由的自动化处理行为可以请求行使该权利,并且只有在技术可行的条件下,才能够主张将个人数据直接从一个控制者处转移至另一个控制者处;在与其他权利之间的关系层面,数据可携权与被遗忘权是两个相互独立的权利,并且数据可携权的行使也不应当反过来影响他人的权利和自由。第四部分为数据可携权的启示。就我国而言,由于电信诈骗、个人信息买卖等违法行为屡禁不止,严重损害了公民隐私等人格利益,加快制定个人信息保护法已经成为立法者和社会民众的共识。在数据可携权的引入问题上,对于互联网产业快速发展的我国而言,由于和欧盟地区在立法背景、立法目的、现有法律体系上的不同以及数据可携权制度本身所存在的诸多弊端,在未来的个人信息保护立法中,我国应当立足当前的个人信息保护现状,系统梳理现行个人信息保护法律法规,同时借鉴发达国家之体系化立法经验,以制定出一部既反映社会需求,又促进信息自由流动的法律规范,而非引入欧盟地区的数据可携权。