汪琼欣

(华东政法大学 经济法学院，上海 201620)

一、培育数据要素市场，明晰数据产权

在数字经济迅猛发展的背景下，数据已成为具有重要战略意义的新经济资源，并在党的十九届四中全会中被首次置于生产要素之列。2020年3月30日，中共中央国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，再次提出要加快培育数据要素市场，根据数据性质完善产权制度，进一步加强数据资源整合与安全保护，实现社会数据资源价值的提升。与此同时，数据产权作为数据产业创新发展的基础性制度，对数据要素市场化和数据安全维护都至关重要。换言之，培育数据要素市场面临的首要障碍，便是处于模糊状态的数据产权界定。

数据产权界定的复杂性首先来源于数据的特殊性。一方面，数据的非消耗性、非竞争性使传统的科斯产权定理无法直接适用，多数研究者认为，应当将数据产权与传统物权、知识产权相区别，以最大化数据资源价值为目标，扩大利用数据资源的主体范围，产生更大的社会总体福利。因此，难以将数据产权划定在已有的物权、知识产权制度框架之内。另一方面，从数据本身的特性来看，类型繁多(high-variety)、容量大(high-volume)、处理速度快(high-velocity)的3V属性[1]导致数据在产生、收集、使用各环节呈现爆炸式的规模增长，在此过程中涉及的数据生产者、收集处理者、使用者、控制者等多方主体则出现了更为复杂多样的利益交叉，尤其是在数据产业巨大市场利益的驱动下，数据稀有价值不断体现，数据产业链的各主体更是纷争不断[2]。其中，用户与企业之间信息保护和数据收集的冲突、企业之间数据争夺的冲突、企业在数据使用过程中产生的争议是数据经济时代的核心问题[3]14。

然而，考察我国现有法律规范与实践经验，针对数据产权界定及其衍生出的利益冲突争议，均未提供合理的制度安排。法律规范主要以规制数据交易行为的方式，强调数据安全，没有明确数据产权的划分规则，过于被动的补救性制度无法积极主动地促进数据要素市场的发展。实践中，“用户同意”的单边权利配置则不仅没有实现数据保护目标，也不符合数据产权界定的价值追求，以此为基础的“数据所有权”理论同样不利于数据流通与产业创新。因此，鉴于现有权利规范体系难以满足数据产权界定的需求，有必要将数据产权上升为独立权利形态进行权利分配[4]，在利益平衡、隐私保护、规范数据使用等基本原则的共同指引下，遵循数据权利结构的基本逻辑，以权利客体“数据”为核心[5]64，根据数据产业链各主体的需求界定产权归属，保障数据安全的同时促进数据流通和产业创新发展。

二、数据产权制度框架及其特性分析

(一)数据产权制度框架选择

基于不同的价值目标，对数据产权的界定提出了多种制度设计框架，包括“数据权”“数据所有权”和“数据权益”等。

首先，类似于绝对权的权利定性与数据的特殊性难以契合，不利于数据流通和产业创新。数据权(1)《深圳经济特区数据条例(征求意见稿)》第四条：自然人、法人和非法人组织依据法律、法规和本条例的规定享有数据权，任何组织或者个人不得侵犯。数据权是权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利。包括对数据的自主决定、控制、处理、收益、求偿等权利束，根据数据内容可以细化为个人、公共、市场主体分别所有的数据权，此时，产生的首要问题便是权利客体重合，使数据权属陷入更加复杂的权利混沌之中。与之类似的数据所有权同样不能满足多方主体的利益需求。并且，“所有权”制度本身发端于物权，从“物”与“数据”的客体层面比较来看，二者存在巨大差异，无法以物权领域的所有权体系构建数据所有权。

其次，界定数据权利时，应当以财产权利界定为主，并非一定要纳入数据相关的所有利益。无论是“数据权益”[6]82模式，还是“新型财产权”[7]理论，都将人格权益作为数据确权的重要组成部分，将其与数据财产权对应，分别赋予个人与企业。虽然数据会附有人格要素从而体现人格权益，但是，一方面，数据包括原始数据和衍生数据，原始数据大部分来源于个人信息，但衍生数据则大多产生于企业对数据的处理分析，无论是原始数据还是衍生数据，均不是全部囊括在个人数据范围之内，并且，数据携带的人格要素也具有一定的经济利益，从而可以实现财产化，通过财产权途径进行确认[8]；另一方面，人格权益的保护可以援引已有的人格权规范，尤其是《民法典》的生效，为人格权提供了更为体系化的、完整的保护，而数据财产权益却缺少足够的制度依据。

产权制度的设计目的在于实现资源最佳配置和有效率的资源开发利用，与传统的物、劳动、资本等不同，数据本身没有商业价值，通过企业收集处理、分析，创新研发出来的大数据(或数据集束)才是经济效益的发挥途径。传统民法的所有权观点对于非排他、非消耗性的数据并不能直接适用，赋予数据产业链所有主体排他性所有权会导致数据碎片化的“反公地悲剧”问题[9]101，不仅大幅增加数据要素市场化成本，也不利于数字经济发展。因此，从数字经济时代特性来看，数据产权应当选择人格权/财产权之外的新型权利框架，具体而言，对数据行为产生的网络数据，技术使用者享有使自己或他人在财产性利益上受益或受损的权利[10]。值得说明的是，数据产权以财产性利益为主并不等同于忽视人格利益保护，之所以需要合理确认数据产权，就是为了通过合理调整财产性利益的归属，使个人数据人格权益最大程度的规避被侵害的风险。

(二)数据产权特性及其产生问题

数据产权与传统物权、知识产权的区别在于数据与物、作品、专利等的区别。数据是通过各种介质对信息的记录，无法实际占有，但是有独立的利益[3]17。与物相比，数据不具有物质形态，对数据的使用不会发生排他与损耗；与知识产权客体相比，数据没有独创性、期限性和法定性，权利的确定也无需专利或商标的法定程序[5]71。因此，数据产权是非竞争性产权，其效用的最大发挥不再适用于针对私人物品的科斯产权定理，而是需要通过数据流通来最大化数据资源价值，让更多主体参与数据资源的有效利用，总体上产生更大的社会福利，这也是多数研究者所赞同的。

由于数据产权的客体是数据行为产生的网络数据，权利主体是作为数据生产者的企业，但该“数据行为”，即数据产生者在接受数据企业提供服务过程中输入的内容、产生的浏览痕迹，涉及数据产生者的个人利益。不仅包括人格利益，还包括人格利益财产化后潜藏的经济价值，甚至一些重要人物的个人数据，无需通过数据集束体现价值，仅依其社会地位就能产生独特商业利益。因此，数据产权在最大化资源利用的同时，受到数据产生者的约束，即来自另一权利主体对同一权利客体的限制。

从数据生产者的角度而言，不仅需要解决个人数据保护问题，还要面对市场竞争层面的其他竞争企业。数据产业的发展极大地依赖技术革新，加之数据本身的时效性，数据内容和数据价值变化迅速，由此导致数据的利益大小不仅体现在数量上，时间也是数据价值发挥程度的重要影响因素，因此企业总是希望尽可能多的收集更多数据来提升自身竞争力，同时倾向于以技术、协议等方式保护数据免受其他竞争者的抓取，维护企业市场地位。但是，数据垄断、信息孤岛的形成与促进数据流通、最大化数据资源利用的目的相悖，如何在防范“搭便车”“反公地悲剧”[11]等市场问题的同时，促进数据资源利用，是数据产权界定面临的另一独特问题。

三、数据产权现行规范与实践的思辨

(一)域外制度分析

目前较为典型的数据产权制度是美国和欧盟模式。首先，美国的治理理念是尊重网络市场自治[12]，在数据使用上给予企业充分的自由，只要法律未明确禁止，企业即可对个人信息进行处理，在规范数据使用和纠纷解决方面则依赖行业自制规范与竞争法[13]。不过这并不意味着美国忽视个人数据保护，当个人数据在企业使用过程中发生隐私侵害时，美国法院通过责任规则而不是产权制度保护个人隐私数据自决权，即不承认个人对数据拥有数据产权，通过侵权或消费者保护法等其他民法制度为个人提供救济[9]105。并且，美国在医疗、教育、金融等特殊领域的个人数据使用上单独立法，为个人可识别信息提供重点保护[6]80。在人格利益保护方面，欧盟采取的是比美国更为严格的保护模式，个人数据主体对数据拥有绝对控制权，同数据经济利用价值相比，欧盟法院会优先保护个人数据权利。在此基础上，欧盟对企业数据使用规范理念与美国相反，只要法律没有明确授权，企业便不得进行数据处理。但欧盟的另一制度特点在于，其设置了数据库特殊版权保护和数据生产者权。前者为不具独创性的数据库特别提供财产权保护(具有独创性的数据库则归入汇编作品保护范围)；后者则为机器生成数据赋予对世物权和防卫权。(机器生成数据或称工业数据，是除个人数据之外的其他不可识别自然人身份的数据，在机器设备的运行过程中产生并被收集、处理和使用。)

从立法文本来看，欧盟和美国的数据产权意指企业处理后的衍生数据，其产生不仅包括资源投入，还有劳动付出。虽然在企业数据使用限度方面，美国和欧盟规定不同，但是对于个人数据保护，二者都较为严格，只不过是在数据产权制度之外通过责任机制单独立法，保障个人数据自决权或控制权，这与数据产权的含义也是相符合的。值得借鉴的是，二者采取公法和私法结合的方式，注重多重数据权益的保护。但是，美国完全尊重市场的治理理念在我国数据产业发展初期并不适用，尤其是数据侵害纠纷仍然频发，我国需要更加严格的数据使用限制制度。而欧盟的数据生产者权和数据特特殊权利，不仅二者之间存在重复保护，与商业秘密和知产制度也难以协调，在多重主体的参与下，反而使数据产权界定更为复杂，制度本身的必要性存在疑问[14]。

另外，还有德国、日本也是在知识产权框架下，以版权、商业秘密等方式对数据产权进行确认，但是只涉及部分数据，不能普遍适用于数据产业的所有数据集束，这也是知识产权体系与数据产权界定无法契合的体现[15]。

(二)国内相关法律规范及实践效果分析

1、国内相关法律规范应用分析

从纵向角度考察，我国最早确认有关公民个人隐私电子信息受保护的规定是2012年《关于加强网络信息保护的决定》，初步规范了网络服务提供者收集、使用信息的程序要求；2016年的《网络安全法》则在网络运营者收集使用个人信息方面加强了制度性规范，进一步强调数据的安全使用；随后，2017年出台的《民法总则》第一百二十七条将数据与虚拟财产并列，似乎是原则性肯定了数据的财产性利益；2018年修订的《反不正当竞争法》增加了互联网专条，再次对数据收集、利用、共享从行为规制的层面进行规范，但是主要针对竞争企业之间的行为。通过对以上法律法规的总结发现，一直以来，我国法律规范都没有将数据产权界定置于清晰地带，更多地直接从保护数据安全的目的出发，对企业收集、使用数据提出规范性要求，消费者与经营者之间关于数据产权的地位仍旧模糊。即使是最新颁布的《数据安全法(草案)》，也是从规范数据交易行为的角度，强调数据安全，更像是对以往分散的法律法规的总结性规定，仍然没有明确数据产权的划分。

因此，从培育数据要素市场，激励数据产业创新发展的总体目标来看，关于数据产权界定，我国在规范层面的补给仍旧有待完善，立法理念要从单纯的数据安全防护转移到与数据激励并重。

2、数据产权分配实践分析

在前述规范的指引下，企业在数据收集、使用方面仍然采取的是“用户同意”的单边配置模式，虽然是数据产业运作模式需求，但这一模式经历多年实践检验，存在诸多不足：第一，无论是“选择退出”(opt-out)还是“选择加入”(opt-in)，对用户而言大多作为享受企业服务的对价，存在潜在被迫性，或者是敷衍选择；第二，数字经济发展至今，以往的知情同意模式已经无法适应当前用户需求，比起企业收集数据时的高成本投入，规范企业对数据的使用权才是解决问题的重点；第三，数据产业链纵横交错，涉及的主体或主体集团复杂多样，仅仅从单一用户的层面进行限制，无法满足各方主体的需求，对用户利益的保护效果也未达预期[3]19。

基于知情同意模式的缺陷，Richard Murphy和Lawrence Lessing根据欧盟模式的特点，认为个人信息数据等同于财产，应当以产权制度保护，即以用户为权力中心，赋予其包括删改、携带等各项权利在内的“信息自决权”，提高用户个人数据保护水平[16]55。但这种绝对权配置不利于数据产业发展，对用户而言也没有实质性作用。首先，用户数据实际上不依赖用户存在，而是靠企业的技术服务器保存，即使赋予法律上的所有权(或控制权)，用户也难以直接占有或支配数据，转移数据时也只能通过重复劳动的方式再次输入到另一技术服务器内。其次，从实践操作可能性上来说，正因为数据保存、使用的技术依赖性，企业方和用户处于另一种信息不对称的地位，行业壁垒、技术壁垒、数据专业性使企业难以向用户清楚解释数据的使用情况[17]，用户对数据的控制更是阻碍重重。再次，从理论层面而言，数据的价值体现在企业对数据集束的利益挖掘，并非直接来源于用户个人，从促进数据要素市场发展的角度来看，排除企业在数据产权框架内的地位，对数据流通和数据产业发展而言也将是重大打击[16]56。

由此可见，如今实践中“知情同意”的模式更像是将数据原始所有权赋予用户，企业以用户协议的方式获取用户的个人数据使用权、交易权，亦或更多其他权利，从频发的数据泄露、数据侵权等纠纷来看，这一形式上的“用户中心”模式不仅没有达到数据安全保护效果，也不符合数据产权的界定要求。

四、数据产权界定原则的理论刨析

(一)对各主体价值贡献与利益关切的衡量

利益衡量原则不仅是为了确认数据产权的配置主体，鉴于数据特殊性，还需要明确数据产权的排他性程度。

首先，从价值贡献方面来看，数据不是天然产物，虽然看似没有损失，但实际上无论是企业还是个人，对数据的产生和生产都是投入了成本的，只不过这种成本投入后，体现价值收益的方式不同。从个人层面来看，在大数据时代，个人数据所蕴含的人格属性已成为一种标志性符合的集合，本质上属于人在数字经济领域的社会资产，而这种资产的形成来源于个人长期投身于社会工作、生活、人际交往等获得社会尊重与认可，此为个人对数据成本投入的体现[18]；从企业层面来看，其成本投入就更为直接，技术设备、人力资源、财产支撑、企业商誉等，是数据产业链各个环节的企业为收集、分析、使用、交易数据做出巨大贡献的证据。

其次，从利益关关切方面来看，个人与企业、企业之间、还有社会关注的利益存在区别。个人关注人格利益，企业追求经济价值以及竞争性产权保护，社会则需要数据的最佳配置为社会整体带来最大收益[19]。虽然技术可以使数据产权达到不同程度的排他性，但数据资源的非损耗、非竞争、边际效益递增等特性表明，最大化社会利益的途径使促进数据资源最广泛的流通与利用。然而，结合上述成本分析，有价值数据的产生需要行为主体大量的实质性投入，为了维护企业的利益追求和公平性，以及个人利益追求，数据产权配置应当在社会利益追求之上降低要求，采取有限排他性的产权安排。

通过上述成本与利益的分析，根据经济学理论，数据产权应当配置给承担成本更高的利益相关主体，考虑到各主体利益关切的不同，还应当针对不同环节产生的数据，比较成本与收益的差值，衡量对冲后的成本大小，配置有限排他的数据产权。

(二)隐私保护与数据产业发展激励的平衡

如前所述，确认以财产利益为重心的数据产权概念并非忽略个人数据的隐私保护，而是以财产利益的合理分配达到防范隐私侵权风险的目的，再借鉴欧美与美国的模式，在产权制度之外寻求个人隐私保护的途径，因此，隐私保护与数据产业激励的平衡仍然是数据产权界定的重要原则，甚至丁晓东认为，对隐私的保护应当优先于企业数据权益[20]。而将隐私保护置于优先地位并非过度平衡。从数据产业的发展模式开始，企业的利益源头实际上就是涉及用户各个方面的大量数据，企业通过对用户数据的收集分析，或是针对性的提供产品、服务，或是将数据分析结果本身作为交易对象，无论是何种运营模式，企业依靠用户提供数据发展，而企业经营能力又通过用户数据输入的多寡体现，据此形成正向循环，不断吸引越来越多的用户为数据产业发展提供关键资源。根据这一逻辑分析，可以说用户数据是企业运作的保障，数据产业发展的基石，而这些涉及用户隐私的基础数据若是得不到保护，又何来企业利益之说呢？因此，对用户的个人数据隐私保护是不可忽视的重要问题，只不过在当前培育数据要素市场，激励数据产业发展的整体要求下，需要寻求二者之间的平衡，以规避隐私侵害的方式最大化激励产业创新发展，这便是数据产权界定的基本原则之一。

(三)以合理预期为限规范数据使用

数据产权界定不同于所有权分配，所有权配置在实践操作层面于用户而言并无实质性意义，已于第三部分论证，同时，对企业而言，比起所有权，使用权似乎更为重要，毕竟数据价值的发挥不在于谁拥有数据，而在于谁如何使用数据。

首先，关于企业与用户之间的关系，通过对众多互联网平台的用户协议总结发现，企业并没有要求用户在协议中让渡数据的所有权，而是要求获取数据的使用权相关权益，当然，若企业对所有权提出要求也会受到否定评价。在互联网信息时代，相对于传统所有权的确认，对信息和数据更强调的是实际控制与利用，企业首先从数据产生者——用户手中获取数据使用权，再通过大量数据归纳分析获取数据利益，或是与其他企业进行数据交易，这也与数据产权的定义相契合：企业作为技术使用者，对原始数据投入成本产生的衍生数据价值，自己收益或允许其他主体获得利益。此时，规范企业数据使用应当以原始数据产生者合理预期为指引，而合理预期的范围，则要结合用户协议、行业协议、商业惯例、一般社会认知等标准在不同场景中分别判断。同时，在合理预期的要求下，参考国际实践，透明度原则是保障使用限制规则有效实施的重要配套原则，要求企业对于数据使用情况和风险及时披露告知。

其次，规范企业数据使用还体现在企业之间的合法竞争要求，并且企业之间的正当竞争行为也会对用户的数据安全造成影响。起初，否定数据产权的完全排他性是为了数据资源的最大化价值发挥，而否定数据产权的完全非排他性，则是为了促进数据产业的良性竞争，防止反公地悲剧(2)反公地悲剧(Tragedy of Anti-commons)：由美国学者MICHAE L A.HELLER提出，即当权利所有者众多，权利关系复杂，每个权利所有者都可以排他性使用资源，权利所有者相互设置障碍阻止他人使用资源时，利用资源的障碍多、成本高，资源同样无法得到有效利用。参考文献9、11已经注明了国内与国外的文献出处，与经济法中的“公地悲剧”这一概念对应。、搭便车等负外部效应。目前，最常见的不正当竞争行为起源于新浪诉脉脉案(3)案件来源：北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷二审民事判决书【(2016)京73民终588号】，北京知识产权法院。的网络数据爬虫违法抓取，虽然法院在该案中认为企业对其收集的数据享有竞争法意义上的财产权利，未经他人授权不得随意抓取利用，但为了避免数据控制企业反向的数据孤岛、数据垄断，阻碍数据产业的多样性发展，数据抓取的核心问题在于禁止不正当抓取，根据双方企业的性质、行为目的、经营范围、数据使用方式等标准判断企业的合理预期，在该范围内规范数据抓取的正当使用。

五、数据分类基础上的产权界定规则

(一)合理识别标准下的数据分类

数据产权的客体包括数据产生者产生的基础数据和数据生产者生产的衍生数据，或叫增值数据，是“数据”到“有价值数据”的转变。数据产权的界定目标为保护个人数据安全的前提下促进数据产业发展，因此，在两类数据中，值得关注的是基础数据中的普通数据与敏感数据的区分，在数据分类的基础上确立数据产权和数据保护规则。

黄锫提出按照能否直接识别个人身份区分普通数据和敏感数据，且直接识别的界限随着技术条件发展而变化[21]。这一变化的原因在于数据时代，识别技术发展迅速，理论上，只要投入足够多的技术和工作，任何普通数据都能够识别出个体身份从而变为敏感数据。但是，这一直接识别标准，至少在当前的技术和观念下，是过于严苛的。对原始数据的分级决定着增值数据产权的分配，会对后续规范制定整个产生影响，考虑到法律的稳定性与可预期性，为实现推动数据产业发展的目标，合理识别标准更为准确，即社会一般人用常规方法足以识别出某些信息属于特定身份主体的数据，则为敏感数据。此时，即使技术条件发展变化，使识别难易度改变，这一标准仍旧可以维持适用。从这一意义上说，前述直接识别标准中，界限随着技术条件发展而变化实际上也是合理识别标准的含义。

(二)数据产权界定规则

根据数据分类结果，首先，对于数据生产者生产的衍生数据，是企业投入大量人力物力、资金设备，通过算法、技术收集处理、分析等操作行为得出的劳动成果，根据洛克和马克思的劳动价值理论，没有理由否认企业对此劳动付出获得收益的权利，因此，该类数据的产权理应由企业享有。但数据产权的概念不同于所有权和控制权，企业享有数据产权仅代表享有数据收益或允许他人收益的权利，这意味着数据产权界定明确了企业针对各类数据享有的具体权利，使数据之上的各项权利划分更加清晰。

在原始数据获取方面，企业仍然要遵循个人数据保护规则，此时便涉及到基础数据的权利界定。虽然在实际行使上存在阻碍，但原始数据的所有权归属于个人并无争议，问题在于，企业对衍生数据拥有的产权来源于用户所有的基础数据，该部分产权是否应当由用户共有？换句话说，企业利用用户提供的原始数据获取增值数据，又利用增值数据获取收益，该部分收益是否应当与用户共享？毕竟按照劳动价值理论，用户对于原始数据一样有所投入。这一问题的解决看似矛盾，但是归功于成本—利益衡量原则与数据企业运作模式，是能够得到合理解释的。一方面，除了某些特例，单个数据并不能体现明显价值，是学界公认的，虽然个体对单个数据的产生有所投入，但是这是个体社会生活的必然结果，比起有价值的数据，更多的是“数据废气”，并不能产生有效的经济价值。而企业对数据集束的投入与产出占有更大比重，更有利于数据价值最大化发挥，从利益衡量原则来看，得出同样的结果，增值数据产权应当归属于企业；另一方面，对于用户提供的基础数据，从数据企业运作模式来看，数据输入与平台服务的投入——回报模式，实际上已经与用户分配了一部分利益，这是当前个人提供数据获取对价的最优选择。

既然增值数据产权分配给了企业，而基础数据所有权仍然是用户享有，就需要配套规则对这两种权利进行保障，在数据产权分配方面，现有规则对企业如何收集、处理数据已有系统性规定，需要补充的是数据使用的管制规则，保证企业在使用数据获取收益过程中的行为规范和良性竞争，从而防范数据侵害的社会风险，维护社会公共利益。另一关键在于个人基础数据的保护，尤其是对于敏感数据，应当设定更严格的数据数据收集、交易限制，除了基本的告知与用户同意，数据安全风险防范预警这类信息披露要求，在技术处理方面，还需要更进一步的数据脱敏处理和技术保护。同时，为了配合人格利益侵害纠纷的处理，相应的责任规则、纠纷解决机制也应当得到完善，让个人基础数据安全得到事前、事中、事后的全阶段保护。

结 语

数据产权界定是培育数据要素市场，促进数据产业创新发展的基础性问题。数据不同于传统的权利客体，它所具有的非损耗性、非竞争性决定了数据不适用于以往的科斯产权定理，从社会整体利益的角度来看，需要以促进数据流通、共享的方式最大化数据资源价值，让更多主体投入数据价值挖掘。但是，考虑到数据产业创新激励和企业竞争的公平性，需要在数据的完全非排他性中进行限制，确立数据产权的有限排他性，以各方合理预期为标准，结合法律法规、行业管理、商业模式的特征，规范企业之间的数据流通、信息抓取，而不是绝对禁止，由此避免数据垄断和信息孤岛的产生。另外，数据产权界定最受关注的个人基础数据保护，尤其是敏感数据保护问题，产权规则对个人数据投入予以肯定，但产权不同于所有权，企业对增值数据享有产权框架内的收益或允许他人收益的权利，个人对基础数据享有所有权，根据数据企业运作模式，企业为个人提供数据服务是当前使个人获取基础数据投入对价的最优选择，而个人数据安全防护则通过信息霹披露、数据脱敏等技术方式，同时完善配套的责任规则与数据侵害纠纷解决机制。