刘瑞爽

大数据经济即将进入数据资本时代[1]。数据成为与土地、劳动力、资本、技术等传统要素并列的生产要素，加快培育数据要素市场势在必行。同时，在大数据技术推动下，个人信息的应用已经由商业和经济领域，逐步扩大到政治、社会治理和公共政策等领域，并给公民的政治生活和国家的网络安全与主权等带来越来越大的影响[2]。目前，我国已经初步建立了与国际基本接轨的个人信息保护法律体系，有些行政区域业已开始了数据要素市场的实践，意在形成系列创新安排。例如，2021年上海数据交易所成立，其面向全球开展大数据综合交易，这“可能是第4次工业革命的变革性事件之一”[3]。但是，数据相关法律资源依然供给不足：个人信息权益保护方面，《个人信息保护法》尚需配套文件与落地执行；数据交易方面，存在数据确权难、定价难、互信难、入场难、监管难等关键共性难题，其中，数据产权不清晰，导致数据难以自由流转、难以物尽其用，不能充分保护数据的相关权利人，不能实现 “每个人得到其应所得”(to each his due)之正义[4]。故尽快完善数据确权并予以相应规制，是时代的要求。本文认为，数据确权及数据规制的“硬法”进路为：明确法律概念、分析利益光谱、确定利益归属、权衡优先次序、平衡多方利益、搭建规制框架，制定具体规则。

1 原生数据与衍生数据：数据确权与规制的起点

对数据在法律层面概念的厘清和统一，是讨论其权利归属及规制的起点；统一法律术语，亦为法律规制的题中之义。本文中，数据与信息同义，个人数据与个人信息同义。

1.1 原生数据、衍生数据及数据处理

数据可以分为原生数据和衍生数据。原生数据是指不依赖于现有数据而产生的数据。衍生数据是指原生数据被记录、存储后，经过算法加工、计算、融合而成的系统的、可读取的、有使用价值的数据[5]，如健康医疗数据、生物识别数据、基因数据等。从来源上看原生数据主要有两个来源：其一，本源于自然人，如生物样本；其二，本源于自然界，如气候数据。二者均不依赖于现有数据而产生。前者为“天赋人权”之范畴，人出生后随即享有，体现为人格利益，属个人信息，受法律保护；后者通常产生于自然界，当属域内全体人民，即归国家或集体所有。换言之，原生数据是未经数据处理的数据。衍生数据为原生数据之外的数据，乃基于对原生数据或其他衍生数据的数据处理而来。数据处理，为法律用语，依据《数据安全法》第二条，数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。

1.2 个人信息与个人数据

《民法典》对个人信息界定采“识别说”，但《个人信息保护法》为新法、特别法，效力优于《民法典》，故应采《个人信息保护法》的“关联说”[6]57。本文所称个人信息，是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。因此，实务中判断数据是否为个人信息，应按照“关联说”，遵循从“个人到信息”的路径进行判断，而非“识别说”的“从信息到特定人”之路径。换言之，与个人相关的信息即为个人信息，经匿名化处理后不能识别特定人且完全不能复原的除外。本文所称个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等，为数据处理的下位概念。需要说明的是，一方面，有的个人信息属于原生数据，如生物样本；有的个人信息属于衍生数据，如个人健康数据。另一方面，原生数据可来自个人数据，如基因数据；衍生数据可能包含个人信息，如公共数据中的个人数据，也可能不包含个人信息，此时称非个人数据。

1.3 公共数据与政务数据

参照《上海市数据条例》等地方法规，本文所称公共数据，是指国家机关、事业单位，经依法授权具有管理公共事务职能的组织，以及供水、供电、供气、公共交通等提供公共服务的组织，在履行公共管理和服务职责过程中收集和产生的数据。依据《数据安全法》，政务数据是“社会数据”的对称，是指国家机关为履行法定职责而形成的数据。公共数据与政务数据应属衍生数据。

2 数据的利益与权属

不论原生还是衍生，数据不仅承载信息，而且承载着利益。大数据时代，只有法律结合数据利益之所在，确定数据权利主体，才谈得上进一步的规制，即数据利益划分与数据确权是进一步数据规制的前提。目前，学界对于界定数据权属，存在用户所有、平台所有、用户与平台共有、国家所有这四种权属分配模式[7]。但是，这些学说均未充分考虑原生数据与衍生数据的权属区别，亦未全面认识到衍生数据中存在的“利益光谱”，更未客观考量数据上利益价值的权重，从而或过于强调某一方权利，或权利过于分散，难以完全避免“公地悲剧”或“反公地悲剧”，进而导致数据价值混乱、利益失衡。本文认为，利益光谱的“两头强化，多方平衡”，是我国数据处理规制立法的指导思想，前述学说的缺陷，不符合这一指导思想。唯有在此指导思想下完善立法、综合治理，方可在对数据权利人维护合理保护效度的前提下，促进数据有序流通和数据资产不断迭代更新，维护数据权益体系中各方利益平衡。因此，本文区分原生数据与衍生数据，以数据所涉利益为出发点，探讨利益相关者的权益确定问题。

2.1 原生数据的利益与权属

本文认为，类似于《民法典》规定的国家所有权之客体，如城市的土地、矿藏、水流、海域、无线电频谱等属于国家所有，原生数据中的属于国家的自然界数据，如气象数据、地理数据等，应属国家利益，权利主体为域内全体人民，即归国家所有；同理，原生数据中源自集体所有的财产的，权利主体为集体；原生数据中的因人之为人而自然产生的个人数据，基于人格尊严，其承载个人信息权益，属个人享有并受法律保护，如个人生物样本及相关数据。概言之，原生数据属于原发者，要么属于国家或集体，要么属于个人享有。

2.2 衍生数据上的“利益光谱”与权属

对原生数据或其他衍生数据进行数据处理，产生衍生数据。例如，基于政务活动形成的政务数据、公共数据，基于商业活动产生的商业数据，基于医疗服务产生的健康医疗数据等，均属于衍生数据。不同于原生数据利益的单一性，衍生数据往往涉及多方主体的合法权益，且这些权益往往重叠交织、渐变游移、难以分割，形同光之谱系，故本文将其喻为“利益光谱”。

数据上存在多方主体利益，已为我国法律所明定。例如，依据《数据安全法》《个人信息保护法》《民法典》《生物安全法》《人类遗传资源管理条例》等，“利益光谱”包括但不限于国家利益、公共利益、个人信息处理者利益、人类共同利益、人格利益准共有者的利益、个人权益(包括个人信息权益)等。在“光谱”的两头，是国家利益与个人权益，中间为其他利益，如数据处理者的利益。

例如，对生物样本进行数据处理后，产生基因信息等衍生数据，其承载多方利益，呈光谱状，说明如下。

第一，基因信息承载个人的基因信息权益，为人格利益，归个人享有，受法律保护。个人的基因信息属于个人信息。有学者认为，个人信息是能够识别特定自然人的信息，这种可识别性就体现了人格特征。个人享有个人信息权[8]。通说认为，个人信息权益为民事权益中的人格权益[6]31，而非类似隐私权那样的绝对权。立法采通说，《民法典》《个人信息保护法》明确规定个人信息权益为人格利益，而非具体人格权，归个人享有并受法律保护。人格利益包括精神利益和财产性利益，个人信息权益亦如此[9]27。个人信息权益不属财产权范畴，但我国法上的对人格权保护一元化模式涵盖了精神利益和财产利益[6]33，依据《民法典》第九百九十三条，民事主体可以将自己的姓名、名称、肖像等许可他人使用。本文认为，本条的“等”涵摄个人信息，故个人主张基于个人基因信息处理请求补偿的，尚有法律允许空间。尤其是基于商业目的合法处理个人信息对个人予以适当补偿的，不违背法律强制性规定，符合公平原则，亦可避免剥削之嫌。例如，临床试验对受试者提供个人基因信息的适当补偿。

值得注意的是，处理个人基因信息的，不仅涉及个人信息权益这一人格利益，还可能对其个人权益产生重大影响。因基因信息性质既属于敏感个人信息，又属于私密信息，对其处理不当的，对个人权益会产生重大影响。此处所指个人权益包括但不限于：宪法权利中的人权、人格尊严、通信秘密与自由、财产权利；公法上的权利，如《基本医疗卫生与健康促进法》确立的公民健康权；私法上的权利，即民事权利，包括人身权利、财产权利和其他人身财产权益。《信息安全技术——个人信息安全影响评估指南》从限制个人自主决定权、引发差别性待遇、个人名义受损或遭受精神压力、人身财产受损四个维度指明了具体危害，并指出安全风险：对个人信息未经授权的访问、泄露、篡改、丢失等。前述危害及风险即为对个人权益重大影响的典型表现。概言之，在个人基因信息利益光谱的一端，即为个人信息权益以及处理数据可能辐射的个人权益，其权利主体为自然人本人。

第二，基因信息承载人格利益准共有者的人格利益。处理基因信息的，有时会涉及人格利益准共有者的人格利益。共有原本是物权法所规定的所有权的概念；准共有则将其扩大到所有权之外的财产全领域，不仅包括物权法的他物权，还扩大到债权和知识产权领域权利共有。准共有现象也存在于人格利益的场合[9]35，如关联之隐私、团体之荣誉、集体之照相、共同之声音作品等。当然，也包括共有的个人基因信息，如同卵双生者之共有的基因信息。简言之，处理个人基因信息涉及血亲的，血亲与自然人享有共有的基因人格利益，未经其同意或法律许可，不得处理。

第三，基因信息还承载着个人所属民族或社群的基因信息利益，应属公共利益。例如，政府有关部门依照《生物安全法》《人类遗传资源管理条例》等对人类遗传资源进行行政管理，其目的之一在于公共利益的维护。又如，政府或者法律授权的组织等基于公共卫生目的、遵循正当程序，对生物样本及遗传信息进行收集、存储、使用、加工、传输、共享等处理活动，形成政务数据或公共数据，此时可视为自然人对其个人信息权益的部分让渡，体现的是公共利益，权利主体为全体公众，由政府及其有关部门或者法律授权的组织或个人代为行使。

第四，数据处理者基于数据处理获取衍生的基因数据所享有的商业利益或者财产利益。数据处理者处理个人基因信息的，应遵循《个人信息保护法》确立的个人信息处理原则，在合法的前提下，遵守个人信息处理规则，保障个人在个人信息处理活动中的权利，履行法定义务。在满足前述法律要求的前提下，数据处理者可以充分合理利用生物样本及基因信息，开展数据合理使用、数据交易等商业活动，对所获取的衍生数据享有合法财产权益，受法律保护。

第五，人类共同体对于基因数据的共同利益，或表现为科学利益。

第六，人类遗传资源的处理涉及国家利益，即维护国家主权、安全和发展利益，其属于全体人民，由国家行使相应权力。

综上，基于“利益光谱”的存在，以基因数据为例，其承载的利益往往涉及多方主体。

认清多方利益的存在以及确定相应的权利主体，仅是对数据处理规制的开始，接下来的问题是数据及数据处理的规制进路整理，例如，在数据上存在的利益有无优先次序？如何取得多方利益的衡平而实现正义？数据规制的法律价值判断有无位阶？制定什么样的规制框架？进而采取哪些措施、如何制定数据处理规则等。

3 数据规制

3.1 原生数据的规制

原生数据所承载的利益较为单一，权属较易明确，可参照物权、人格权等法律制度设计相应规制制度，用于保护国家或集体的数据财产权与自然人的个人信息权益。

有学者提出数据用益权观点[10]，涉及原生数据的权属及相应规制：“未来应根据数据要素市场对数据积极利用的巨大需求,借助自物权—他物权和著作权—邻接权的权利分割思想，容纳作为现代新兴权利客体的数据。根据不同主体对数据形成的贡献来源和程度的不同,应当设定数据原发者拥有数据所有权与数据处理者拥有数据用益权的二元权利结构，以实现数据财产权益分配的均衡。”这一思路颇具启发意义。在考量国家安全利益等之后，基本上可以参照财产权之自物权-他物权制度，设计国家或集体“数据所有权”与数据处理者拥有数据用益权的二元权利结构。换言之，国家或集体享有的原生数据为国家所有或集体所有；对此进行处理获得衍生数据的，取得相应的数据用益权。下一步则讨论是否可以参照土地用益物权制度，由政府或集体收取“数据出让金”，从而推动数据的充分合理利用。

但是，该学说认为原发者拥有的权利一律是“数据所有权”欠妥。自然人的原生数据不宜认定为财产权之客体，否则与人格权益属性冲突。如果将人格权益作为物权客体，无疑与“人是目的，不是手段”相悖。对于原发者为自然人的原生数据，应纳入人格权法律体系，我国现行法律基本能够充分提供个人信息人格权益保护的法律资源。本段对原生数据中个人信息的论述，适用下文的衍生数据。

3.2 衍生数据规制中的“两头强化，多方平衡”

张新宝[11]首次提出《个人信息保护法》应体现“两头强化，三方平衡”，殊值赞同。但是，鉴于个人信息处理活动不限定于个人、个人信息处理者、国家三方利益，尚可能涉及其他主体的合法权益，如社会公共利益、人格权益准共有利益[9]37、科学利益乃至全人类利益，呈“利益光谱”，故笔者认为，用“两头强化，多方平衡”似更为精当。“两头强化”是指法律强化对位于“利益光谱”两端的国家利益与个人权益的保护，“多方平衡”指的是多方主体数据权益的平衡。

权利存在位阶，法律价值存在优先次序。故在利益排序方面，一般而言，国家利益至上；个人信息权益是人格权益，受法律保护；公共利益高于个人信息权益，但应遵循法律保留原则、最小必要原则、比例原则等；在保障国家利益与个人信息权益的前提下，数据处理者的合法财产权益受法律保护。

3.2.1 立法强化对国家利益的维护

我国数据处理相关法律强化对国家利益的维护。例如，《数据安全法》《个人信息保护法》《生物安全法》《人类遗传资源管理条例》等，均宣示对国家安全的维护。一般而言，进行数据处理、其他利益与国家利益发生冲突的，国家利益优先。比较法上大多如此。

3.2.2 强化个人信息人格权益保护

个人信息人格权益体现人格尊严，个人信息的处理不当往往危及人身安全、财产安全等个人重大权益，故个人信息权益处于法律价值与权利位阶高点。依照权利位阶规则，当发生权益冲突时，个人对个人信息的权益高于个人信息处理者的财产利益，这也是个人信息处理者之所以必须取得个人同意或法律授权方可处理个人信息的法理基础。同理，处理个人信息涉及个人信息权益准共有者的，其人格权益亦高于个人信息处理者财产利益，受到优先保护。衍生数据中的个人信息保护法律措施同上文“原生数据的规制”。

3.2.3 数据处理者的财产权益保护

数据处理者对其处理的数据拥有财产权益，应无争议，但需要针对不同问题的解答，探讨相对应的规制安排。

第一个问题是，这种数据财产权益是什么性质的权益？观点一，数据既不是物，也不是智力成果或权利，不同于现行法上的任何一种民事权利客体。《民法典》第一百二十七条规定，法律对数据、网络虚拟财产的保护有规定的,依照其规定。显然，立法者在紧接着人格权、物权、债权和知识产权之后规定对数据的保护，实际上等于认同了数据的权利是一种新型的财产权利，受到法律的保护[12]。观点二，衍生数据的性质属于智力成果，与一般数据不同。在数据市场交易和需要民法规制的数据是衍生数据，以衍生数据为客体建立的权利是数据专有权。数据专有权是一种财产权，性质属于新型的知识产权。数据专有权具备传统知识产权无形性、专有性、可复制性的特点，但不具备传统知识产权的地域性、时间性的特点，因此是新型的权利类型[5]。观点三，数据权利的具体内容和行使方式，应围绕特定信息的自身特点进行重构[13]。综上，尽管学者观点有所差异，但存在共同之处：一是均认为数据权利属于新型财产权利，但在该新型财产性质上是否为智力成果方面存在分歧；二是该新型财产权利人为数据处理者；三是该新型财产权利应受法律保护。本文认为，应区分原生数据、衍生数据以确定数据权利性质。其一，原生数据不属于智力成果，不能按照知识产权法律确定权利，其非著作权客体；原发者对原生数据享有管领权利，或为国家、集体的权利(主要为财产权，可视为一种物权)，或为自然人的人格权益，数据处理者对原生数据一般无管领权利。其二，衍生数据则往往因数据处理者的智力活动而表现为智力成果或商业秘密等，但因所处理的数据是原生还是衍生而权利性质不同。基于原生数据处理而来的，数据处理者取得数据用益权，是否可参照数据用益权学说设计“数据出让金”制度，有待进一步探讨；基于衍生数据而来的，则可参照“次级用益物权”制度或合同债权制度设计数据流转制度。同时，权利人应依照“两头强化，多方平衡”原则对衍生数据行使数据权利。尽管学理上存在共识，但现有法律对数据权属仍处于“留白”状态，存在法律漏洞，对数据处理、执法监督、司法审判等不能提供充足的法律资源。但是，法官不能拒绝裁判，故出现数据权属或权利行使纠纷的，仍应在现有法律中寻找依据，并借此推进立法的完善。例如，对于承载着智力成果的数据，法律可以通过对数据复制行为的限制实现对权利人的保护；而对于承载着商业秘密的数据，则可通过数据可访问性的限制，为权利人的权利边界进行划定[13]。立法条件成熟的，应及时针对特定场景专门立法。

第二个问题是，公权力机构、民事主体等数据主体是否均可进行数据交易并获取经济利益？本文认为，民事主体中的营利法人享有的此种权益主要为财产权益，在数据要素市场依法交易应无法律障碍，上海等地的数据交易实践也证明了其可行性。但是，公权力机构等数据处理者基于公共利益，履行法定职责、公共管理、公共服务等形成政务数据，《数据安全法》第四十一条规定“国家机关应当遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据。依法不予公开的除外”。故目前的公开是不应收取民事主体费用的。问题是，民事主体基于商业目的欲进一步处理政务数据、公共数据的，作为国有资产的政务数据无疑拥有巨大财产价值，有关机构能否与商业主体进行数据交易？能否采数据用益权学说，参照国有土地的“招、拍、挂”收取土地转让金制度，设计数据出让制度，并收取“数据出让金”，按照国家非税收入纳入预算法管理，用于国家建设或公共利益维护？笔者认为，应具有一定的合理性与可行性。当然，此涉及因素庞杂，有待于全社会进一步广泛深入探讨。

第三个问题是，个人信息处理者的财产权益是否应最末考虑？依照民法权利位阶规则，人格权益高于财产权益[14]，处理个人信息的，首先应遵守《个人信息保护法》等相关规定，保护个人信息权益以及注意防范或消除个人信息处理活动对个人权益的重大不利影响。处理个人信息涉及国家利益、社会公共利益、他人合法权益的，原则上国家利益至上，社会公共利益优先，他人合法权益如为人格权益则具有优先于个人信息处理者财产权益的地位。简言之，在“两头强化、多方平衡”的前提下，数据处理者合法财产权益受法律保护。

实践中，司法审判呼应了学者的观点，或者说学理与司法审判形成了互动。对于结构化的数据即数据库，司法机关往往通过著作权制度给予保护，如依据《著作权法》第十四条，数据库可以作为汇编作品而得到著作权制度的保护。数据企业收集的非结构化数据则主要是通过《反不正当竞争法》加以保护，即将侵害数据企业数据的行为认定为不正当竞争行为，如新浪公司与淘友技术公司、淘友科技公司侵害数据纠纷案件中，淘友技术公司、淘友科技公司被认定构成了《反不正当竞争法》的不正当竞争行为，属于一种民事侵权行为。

3.2.4 公共利益优先

公共利益，为个人利益的对称，属于社会公众共同所有的利益，受益人为不特定多数人。基于公共利益处理个人信息的，例如，为应对突发公共卫生事件，个人信息处理者可不取得个人同意而处理个人信息，体现了社会公共利益优于个人利益。但是，认定为公共利益、限制民事主体个人权益的，应遵循法律保留原则、最小必要原则、比例原则等[14]。对于政府合法行使权力强制公民的程度，有着严格的限制，应遵循正当程序原则。正如纳菲尔德生物伦理委员会发布的公共卫生伦理报告所指出的，通常将这项权力限制在保护生命、自由和财产所需的国家强制范围之内[15]。

3.2.5 法律责任：事后救济

数据处理导致损害的事后救济主要体现为法律责任。法律责任轻重程度与侵害利益性质以及情节等应成比例。依据《数据安全法》《生物安全法》《人类遗传资源管理条例》等，数据处理危害国家利益、公共利益的，有着严厉的行政责任；情节严重的，可能构成非法采集人类遗传资源、走私人类遗传资源材料等犯罪。依照《个人信息保护法》，侵害个人信息权益构成行政违法的，追究个人信息处理者的行政责任；依据《个人信息保护法》第六十九条规定，侵害个人信息权益造成他人损害的，采过错推定责任，由个人信息处理者证明自己没有过错，即过错要件“举证责任倒置”； 侵害个人信息权益，情节严重的，可能构成侵犯公民个人信息罪。侵害个人信息处理者财产权益的，一般为民事纠纷，以追究民事责任为主。

4 结语

通过对现行法律的梳理、对相关理论学说的学习、对司法实践以及数据交易实践的观察，可以发现，数据上承载的利益呈光谱状辐射至利益相关者，利益存在位阶，故应“两头强化，多方平衡”，这是我国数据权属及数据处理规制的立法指导思想。在此指导思想下，我国已经初步形成数据处理规制的法律框架，包括但不限于《民法典》《个人信息保护法》《数据安全法》《人类遗传资源管理条例》等刚性的“硬法”，这些“硬法”遵循强化国家利益维护、个人信息权益保护、多方利益平衡的立法宗旨，完善个人信息处理的规则，使我国事前、事中、事后的个人信息保护与救济规制趋于完善。但是，虽然《民法典》将数据定位于财产范畴，但数据权属具体性质、内容、行使方式等仍未被法律所明定，适合各行各业的数据处理具体规则亦未完全落地，对算法的规制更是刚刚起步，这些导致数据处理法律资源处于严重供给不足状态，不能适应时代的要求，难以促进数据自由、有序流转，阻滞创新与发展。故本文认为，应秉持“两头强化，多方平衡”的数据治理指导思想，在法治框架内进一步推进全社会深入广泛讨论，尽快对数据的权属以及规制完善立法，并结合其他规制手段，如政策、伦理以及业界自我规制等“软法”，促进形成“综合治理、软硬兼施、利益均衡”的完善数据治理体系。