杨洋｜数据确权之证成及权利关系进路分析

原创 杨洋 上海市法学会 东方法学 收录于合集 #智慧法治 13个

数据确权是一个基础性的问题，该问题的前提是需要明确数据作为一项权利，兼具财产权和人格权的双重权利属性。数据确权问题的复杂性根源于数据之上承载不同权利主体的不同权利诉求，且多元的利益往往产生冲突。权利应该是一种关系而非是可以占用的物品，数据确权应该超越传统的财产所有权或者隐私权的思维，而采用一种主体间相互关系的思维去分析数据权利，选择从数据背后的权利义务关系和利益关系层面推进确权。在数据之上确立一种较弱的排他性权利，采取适当的保护措施，可以实现数据之上多元利益的相互兼容。一、问题的提出

谁应该拥有数据？近些年来，伴随着大数据技术的迅速发展，这个问题受到了广泛的关注，似乎所有生产数据的公民都有资格成为数据的潜在所有权人。但目前，企业收集和使用用户的数据获取巨额利润，用户却没有权利分享这些利润，法律也并未明确规定用户拥有这些数据的所有权，甚至连数据是否为“财产”这一问题也并未明确。

数据的法律保护和治理问题已经成为学术研究的重点话题，梳理和分析国内外数据研究的相关成果，可以发现，目前学界的争论，主要集中于如何更加有力地保障数据主体的人格自由以及维护数据主体的人格尊严，以及如何更好地平衡数据利用和保护之间的关系。但是既有的研究忽略了关键：关于数据确权的研究不足制约了数据经济的有效、健康、可持续发展。确定数据的权属是开展数据收集、数据处理、数据共享、数据流通、数据保护和数据治理等一系列问题研究的前提和基础。只有清晰地界定数据权属，我们才能够去讨论后续的一系列问题，才能够定分止争。正如有学者指出，数据的经济价值意味着必须明确数据权属关系，合理公正地进行利益分配,并且考虑制度设计方案与权利认定程序,平衡数字经济发展与个人权利保障，为数据的利用确定伦理底线。然而，鉴于数据本身的无形性、复制性、非竞争性和数据权利保护的法益的多元性，其中既包括数据主体享有的人格自由、人格尊

严和财产利益，也包括了信息业者（主要是指企业）对数据享有的合法权益和社会的公共利益，如何对

数据定性、设定权利绝非简单。

那么，目前我国学界关于数据确权模式的观点主要有物权说、债权说、有限产权说、新型数据财产权说（数据资产说）、权利束等不同观点。例如，申卫星教授主张“所有权—用益权”权能分离的物权说，数据原发者（个人或国家）拥有数据所有权，数据处理者（主要是企业）享有数据用益权，数据用益权则包括数据控制权、数据开发权、数据许可权、数据转让权等。崔国斌教授认为，应该在现有知识产权法的框架下，为花费实质性投入并达到实质规模的大数据集合设置有限排他权，为处于公开状态但是不具备独创性的数据设定有限产权保护机制。龙卫球教授主张新型财产权说，认为应该在区分个人信息和数据资产的基础上，构建财产权化的双阶段权利，对用户配置人格权益和财产权益，对企业配置数据经营权和数据资产权。王利民教授主张以“权利束”理论分析数据权益，认为数据权益与个人信息不可分割，数据权益是信息上产生的多项集合的“权利束”。也有学者认为，由于数据关系到企业利益、公共利益和国家利益，所以数据的所有权应当归属于收集者。

目前学界对于数据确权这一问题的理解和分析显然是不够充分的，现有的研究无法清晰准确地回应上述现实问题和客观需要，我国现行法同样未就此提出一个解决方案。如果讨论内容只是局限于数据或者传统的财产所有权本身，无疑是一种过于狭隘的视角和思路。数据本身的特点也不适合以传统的所有权确定权属，权利也不能同化为可以分割或者占有的物品。应该更进一步，选择从数据背后隐藏的权利关系和利益层面去具体地确定数据的权属，为数据确立一种较弱的排他性权利。例如，确立企业对数据享有集中有限的共同财产权，企业享有在个人数据基础上对开发的数据衍生产品以及数据平台等财产权益。

数据权利保护的法益基础具有多元性，既有主张人格自由和人格尊严的信息主体对个人信息保护的利益，有从事经营活动的企业对个人数据利用的利益，也有国家管理社会的公共利益，在这些法益之间必须取得适当平衡。有鉴于此，本文试图回答三个问题：第一，为何需要对数据进行确权？数据流通和数据保护的前提性或者基础性的问题就在于如何确定数据的权益归属。第二，从法律层面切入，数据应该是一个权利问题。应该明确数据作为一项权利，兼具财产权和人格权的双重权利属性，但是又与传统的有形财产和知识产权相区别，其中约翰·洛克的劳动价值理论为数据主体享有财产性权利提供了正当性基础。第三，数据确权问题的复杂性根源于数据之上多元的利益冲突形态。应该超越传统的财产所有权或者隐私权的思维，采用一种主体间相互关系的视角去理解数据各方主体的权利，在主体间的权利或者利益互动关系层面进推进确权。其本质涉及特定的数据主体相对于彼此可以做什么或者不可以做什么，使得诸如收集、使用、共享、公开等行为成为可能或者对非法下载、复制、窃取、破坏等行为施加某些限制。那么在数据之上确立一种较弱的排他性权利，采取适当的保护措施，可以实现数据之上多元利益的相互兼容。

二、数据确权之证立

（一）

数据确权的回应缺失

事实上，国内外学术界对于是否有必要确定数据权属这一问题有着不小的争议。当下仍然有学者

都持有这样的一种观点：在当下的实践中，数据确权被认为是没有必要讨论的话题。无需确定数据权属，就可以规范数据的收集、使用、处理等行为，保护数据主体的合法权益，促进数据要素的流动，最大限度地推动数据经济发展。更有学者指出，数据保护的核心应该在于如何协同多方数据主体可能冲突的合法权益，而并非在于数据确权或者数据赋权方面。

欧洲国家在数据确权和数据赋权话题上的态度是保守乃至于消极的。在2016年欧盟委员会的通信网络、网络数据和技术总司的听证会上（A Hearing of DG CONNECT），参会的众多代表一致强调，数据确权是一个不符合数据经济需求的话题，数据赋权则被视为一种需要避免的政府干预模式，实践中凭借合同法就足以实现数据保护和数据共享的目标。2018年4月25日，欧盟发布《迈向共同的欧洲数据空间》通讯，对数据领域的利益相关者进行的调查表明，在数据经济发展的现阶段，现有的法律监管框架是合适的，目前对企业之间的数据共享进行横向立法还为时过早，出发点应该是以合同自由为基石，确保数据市场能够自行良好发育。值得一提的是，利益相关者同样反对创设“数据所有权”。欧盟通用数据保护条例（GDPR）尽管强化了数据主体对数据的控制权，但是未赋予任何数据主体对数据享有的所有权，也没有明确规定财产权益的归属。

在数据权益应该归属于何者的话题上，美国一直以来采取传统财产权的模式，以合同法或者竞争法确认和保护双方在商业活动中各自所享有的数据权益。事实上，相对于是否要为数据要素设定所有权的话题，美国更加关注数据的控制权和个人数据的保护问题。2018年3月，美国出台的澄清合法海外使用境外数据法（CLOUD法案）确立了“数据控制者模式”，彻底改变了以往的“数据存储地模式”，深刻地反映了美国对数据控制权的重视。美国曾试图以统一的立法来规范个人数据的使用和交易行为，但是由于联邦立法权限的局限性和网络服务企业的抵制，最终统一立法蓝图以失败告终。于是，美国选择另一条径路，区分个人数据的私主体和公权力主体，以强力推进行业自律规范的方式约束私主体之间的数据交易和使用行为，以制定单行法的方式规范公权力使用个人数据的行为。2018年6月美国加州颁布CCPA法案，这是美国首个关于个人数据隐私的专门立法，而联邦层面的数据隐私保护立法也提上议程。自从进入大数据时代以来，一方面，美国注重保持其在数据领域的领先地位，特别关注数据主体享有的财产性利益；另一方面，美国也开始逐步加强对个人隐私数据的保护，最终形成了国家数据安全与个人数据安全并重的政策模式。

国内也有不少学者认为数据确权的思维不可取。例如，胡凌老师认为，在法律层面明确数据产权规则无助于整体的价值生产，应该跳出数据确权的思维，主张从经验层面出发，讨论确权的社会功能和后果，更加关注已经实际形成的财产权利边界及其效果，并且尝试提出“架构财产权”的认知框架。其主张有一定的合理性，其问题在于是否对数据要素进行确权或者赋权可能不影响现实数据市场的形成，但是可能会影响数据市场的发育程度。更重要的一点在于，法律更为强调的是规范性层面，而单纯从经验性层面出发提出的“架构财产权”则是一个描述性的概念，可能无法完全回应实践中的数据交易、数据利益分配等一系列的难题。例如，数据的流通方式、初始权利人的确定和流通中孳息的归属等问题都会引发数据确权的问题。

由于分歧过大和难度过大，我国立法也有意对数据权属这一问题采取回避态度。民法典和数据安

全法均未触及数据要素的权益归属的问题，而是选择了留白处理。地方性立法大多也延续上位法的规定，为上位法的重述和细化。即使是数字化经济发展领先的上海、深圳所制定的地方性法规，也没有明确规定数据产权的归属。虽然上海市数据条例和深圳经济特区数据条例均肯定了自然人对个人数据享有人格权益，自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有财产权益，但是均未确认个人和企业对其合法数据享有排他性的财产权。在上位法未明确规定数据产权制度的情况下，深圳积极探索数据要素的产权配置的制度空间。深圳经济特区数据条例第58条具体规定了市场主体对合法处理数据形成的数据产品和服务所享有的使用、收益和处分等财产性利益。但是相比于一审稿中提出的“数据权”概念和二审稿中提出的“数据权益”概念，正式稿又删除了“数据权”和“数据权益”的表述。此项行为表明仍然未确认或者赋予数据财产权。由此可见，我国立法对数据确权和数据赋权的总体论调仍然是偏保守的，数据所涉及的所有、使用、收益、开发、交易等一系列权利仍然处于法律的模糊化地带。

（二）

数据确权的政治基础和实践需求

1.数据确权的政治基础

数据确权的重要性不言而喻。进入21世纪以来，数据被比喻为石油，虽然这个比喻并不是那么恰当，但是毫无疑问，数据具有重要的经济价值。事实上，数据已经被认为是重要的生产要素。2020年3月30日，中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》正式把数据与土地、劳动、资本、技术一并列为五大生产要素，并且提出加快培育数据要素市场，根据数据性质完善产权性质的要求。2022年3月21日，国家发展改革委创新和高技术发展司发布了《关于对“数据基础制度观点”征集意见的公告》，探索建立现代数据产权制度，推动数据持有权、使用权等相关权利有序分离与流通，满足数据流通使用需求。2022年12月，中共中央、国务院出台的最新文件《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）已经明确了应该对数据采取一种确权的保护模式，并且进一步提出建立公共数据、企业数据、个人数据的分类分级确权授权制度，建立数据资源持有权、数据加工使用权、数据产品经营权等三权分置的产权运行机制。那么，“数据二十条”为数据确权指引了方向，这也是政策上关于建立数据产权的最新设计方案。

2.数据确权的实践需求：生产、交易、安全

笔者认为数据流通和数据保护的前提性或者基础性的问题就在于如何确定数据的权益归属或者赋予数据何种权益，至于厘清各方的权利义务关系以及如何更好地保护和平衡多方法益的难题在确权之后自然也能迎刃而解。合同法可能在对数据进行权属配置、数据权益保护上发挥重要作用，但是在缺乏明确的法律规则的情况下，把数据权属配置留给当事人自主谈判决定是存在缺陷的。因为企业之间、企业和用户之间地位并非是平等的，甚至在大部分情况下，企业相对于用户处于优势地位。推动数字经济的高质量发展，有必要以法律的形式边界清晰地界定不同来源的数据的产权归属，否则难以有效激励数据生产，难以开展相关数据交易活动，阻碍数据流通和共享，难以完全发挥数据要素的价值。

首先，数据确权关系到数据生产问题。有学者把数据生产定义为数据与所描述对象的分离过程，从而表明数据并非是天然存在的，而是通过各种网络设施和设备记录加以生成的。因此，我们必须承认数据生产环节，如果缺少生产环节，一切都将无从谈起。数据生产是整个数据资源社会化利用的基础，在此基础之上才能建立起后续的诸如数据加工处理、流通交易等秩序，如果我们否认数据生产

环节，那么就无法建立起数据加工处理、数据的流通利用等秩序的起点。另外，数据的制作、收集、整理行为不是没有成本的，甚至在大多数情况下，有着不少的固定成本，例如，就个人数据而言，企业必须征得消费者同意，妥善保存个人数据并且对个人数据进行匿名化或者脱敏化处理。因此，只有数据生产者的收益大于成本，企业才会有持续不断的动力生产数据。而收益大于成本的一个重要前提在于数据的生产者或者数据持有人能够有效排除他人使用其数据，自己有权决定是否与其他人交易或者共享数据。在数据权属逐渐明确之后，会起到有效的激励作用，将会有助于提高数据的生产力，激励作为关键生产要素的数据不断产出并且有序流通。

其次，数据确权关系到数据交易问题。罗纳德·哈里·科斯（Ronald Harry Coase）在其《The Problem of Social Cost》论文中指出，在交易成本为零的情况下，最终结果（产值最大化）不受法律影响，资源会自动流向其最高价值的状态，而不论其初始配置。但是，现实世界并不存在交易成本为零的情形。因此，科斯定理表明法律对权利的界定才是市场交易的前提，也就是说，只要产权的界定是明晰的，并且交易成本很小，那么不论赋予何者以财产权，市场均衡的最终结果都是导向效率性。科斯认为，如果市场交易成本大于零，法律应该尽可能减少交易成本，例如采取诸如确定权利归属或者为违约行为创造有效的救济等方式来尽可能地减少交易成本。而实践的现状是，数据权属及其分配规则不清，已经成为数字经济发展的最大制度障碍。数据权属不清，相关的法律关系处于混乱之中，一方面可能会导致所有的关联方想尽办法以自己的方式去界定数据权利，而这种方式往往是不经济的和过于保守的，不利于数据社会性利用；另一方面，鉴于隐私安全、维持竞争优势等因素的考虑，一家企业可能不愿意与其他市场参与者共享其所拥有的个人数据，进而形成数据孤岛，降低数据流通的有效性，阻碍数据交易活动，影响数据市场的发育程度。如果无法破除数据确权的困境，数据交易机构恐怕最多只能提供诸如数据登记、衔接交易、流通渠道等基础性的功能，但是仍然无法解决涉及交易数据是否合法、交易安全如何维护等一系列核心问题。数据作为一种新型重要的资源，其开放利用一定是建立在承认数据拥有者享有控制权的基础上的。赋予数据主体一定的财产权可以改变在传统的法律思维下所形成的依靠保护用户隐私或者对信息绝对化的保护而妨碍数据要素的流通的僵化局面，从而显著地提高数据的经济驱动力。在数据权属逐渐明确之后，数据也会从数据资源逐渐转化为数据资产，扩大数据交易规模，规范数据交易行为，推动数据交易产业发展。从根本上说，考虑创设一项数据财产权的目的在于努力实现数据在经济运营者之间尽可能自由流动的政策目标，同时也考虑到数据持有者的利益，也就是说要让创造技术条件和投入资源收集数据的市场参与者能够获得公平的回报。

再次，数据确权关系到数据安全问题。数据安全关乎公共安全、数据的隐私安全和财产安全等重大事项，不可能仅仅凭借单一的产权界定数据权属或者以一个简单的规则进行规范。如果数据权属未定，一方面可能会出现数据滥用、误用等行为，包括数据泄露、数据窃取、数据贩卖、数据垄断等。例如，实践中，为了追求利益最大化，企业往往会认为经由企业加工的数据的使用权和所有权应当归属于企业本身，导致企业之间频繁争夺数据，擅自使用个人数据和公共数据，泄露个人隐私和侵害公共安全，引发数据垄断的风险。近些年来，数据的非法获取、非法倒卖行为更是层出不穷，严重侵害了个人隐私安全、公私财产安全，甚至威胁到国家安全。另一方面，数据权属不清可能会出现权责不明、利益分配

不明、侵权处罚不清、难以追责的现实困境。例如，一旦出现数据泄露的情况，究竟应该由谁承担责任？如果无法明确责任主体，势必无法保障数据相关方的合法权益，较低的违法成本导致数据违法乃至于犯罪行为猖獗，从而阻碍数据要素的流通和共享。因此，明确数据权属关系，能够有效降低数据因权属不清而引发的风险，更好地保障数据相关利益方的合法权益，保护个人隐私安全，引导企业合法使用数据，促进数据经济安全、健康、可持续发展。

三、数据的多重权利属性

在现有的数据权属的讨论中，大多数讨论集中于如何改善现有的法律制度以制定数据治理的规则，但是很少有人会去思考进路的前提条件：数据是财产吗？数据是否可以类比财产而适用或者改变既有的财产规则？从法律层面看，数据其实涉及权利问题。

对于数据的法律属性问题，学界存在分歧，一派对数据本身是否存在权利或权益提出质疑。代表性观点是梅夏英的客体否定说，否认数据属于民事权利的客体，认为数据也没有独立的经济价值，数据不具备财产权性质，自然也不涉及确权问题。另一方阵营虽然承认数据权利，但是对数据具体是何种权利属性同样存在着分歧，目前主要有财产权、知识产权、人格权、特许权说、新型复合权利等观点。例如，王利明认为，数据中包含了大量个人信息，而个人信息属于人格权益的范畴，应该是人格权的客体。也有学者从数据所涉及的利益出发，把数据权利界定为一种兼具财产权、人格权和国家主权特征的新型民事权利。无论将数据理解为单一的财产属性或者人格属性，均不是可取的行为。笔者认为，数据作为一项权利，既具有财产权属性，但是又与传统的有形财产和知识产权相区别，无法类比于电、热能等，也无法仅仅依靠绝对权加以保护，同时数据又具有人格权属性，特别是个人数据具有极强的人格权色彩。

（一）

数据具有财产权属性

首先，数据具有财产权的属性，约翰·洛克的劳动财产权理论为数据主体享有数据的财产性权利提供了一种正当性基础。根据约翰·洛克的观点，财产权的核心是劳动，人天然地拥有自身和劳动，通过施加劳动，人们最早获得了一项财产权，把曾经的共有物转化成劳动个体的私有财产。首先，洛克认为每个人的人身是私有的，以人身中介，每个人对自己人身享有排他性的财产权。由此推理，每个人身体所进行的劳动以及相应的劳动成果都是正当归属于本人的。在《政府论》下篇中，他指出“土地和一切低等动物为一切人所共有，但是每人对他自己的人身享有一种所有权，除他以外任何人都没有这种权利。他的身体所从事的劳动和他的双手所进行的工作，我们可以说，是正当地属于他的。所以只要他使任何东西脱离自然所提供的和那个东西所处的状态，他就已经掺进他的劳动，在这上面参加他自己所有的某些东西，因而使它成为他的财产。”也就是说，劳动使得劳动者的产品脱离了原本的共同自然状态，劳动使其同共有之物相区别，劳动在万物之母的自然所已完成的作业上面加上一些东西，这样它们就成为劳动者的私有权利。财产权是劳动的直接产物，财产权作为劳动的副产品自然而然出现。那么，现实生活中数据也是人们付出了劳动而产生的，虽然在某些情况下，数据可能是由人们无意识地生产出来，但是只要人们付出了劳动，数据就具备一定的价值，数据的生产者或者数据的处理者也就拥有数据的财产权。

在民法物权的概念中，财产权是以财产为客体的权利。在传统理念中，财产权意味着一种独占权

或者所有权，独占权或所有权以使用“财产”作为基础，将财产的控制权“独占性地”赋予某人，使其能够获得全面的法律保护并且足以对抗任何人。数据作为一种独占性资源，可以通过对数据施加限制而排除对数据的自动获取，例如，可以采取对数据加密、使用防火墙等技术排除他人的使用。那么，主张该种路径的基本理念是赋予非个人数据或者匿名化数据一种权利，并且该种权利会使得数据生产者可以对相应的数据进行独占性的使用和通过平台交易数据，并且该理念也得到了相关立法的支持。我国民法典第127条为空白条款，在涉及数据的权利性质、权益界定、具体形式和适用规则等方面均未作出规定，但是第127条把“数据”和“网络虚拟财产”并列，实际上隐含着立法者对数据财产属性的肯定。由于第127条在民法典的位置处于民事主体享有的各类民事权利之后和民事权利的行使和保护之前，可推测出立法者并未将其确定为一项法定的民事权利。

司法实践也开始在个案中承认数据主体享有数据的财产性权利，在“某浪某博诉某脉案”“某众某点评网诉某度案”“某宝诉某景不正当竞争案件”等经典的案件中，法院均肯定了数据的财产权属性。例如在某宝诉某景不正当竞争案件中，法院一方面肯定了企业对其投入智力劳动的收集、加工、开发的数据享有独立的财产性权益，另一方面则驳回了企业对数据产品享有财产所有权的诉讼主张。司法裁判也建立起以“三重授权原则”为典型代表的授权规则。但是问题在于，法院适用的反不正当竞争法只能禁止特定的行为，且属于事后规制，无法起到在事前就提供一揽子的确权方案的作用。

由于数据是一个可复制的虚拟实体，既不是有形的，也不是绝对排他性的，因此数据与传统的财产权又有着显著的区别。第一，数据具有鲜明的非对立性和非竞争性的特征。数据的虚拟特性，使得其可以很容易地被复制无数次且成本相对很低，而原来的数据所有者也不会因此而丧失复制、使用和传输数据的能力。这也就意味着一个市场参与者使用数据并不会限制或者排斥其他的市场参与者使用相同的数据。也就是说一个人以某种方式使用特定数据，既不会影响到其他人使用该数据，也不会影响到该数据继续被使用的价值，甚至可以认为对相同数据进行多主体、多层次的开发是数据价值实现的基本理念之一。但是传统的有形财产权的特点则是对立性和排他性，因为物的稀缺而引发竞争性使用，例如，一个人吃完了苹果，其他人就不能再享用这个苹果，这是绝对的排他性；可以设想，如果每个人都可以免费取得你在土地上耕种的农作物，那么不会有人再去劳动耕作。为了避免这些冲突，法律以财产权的形式规定了所有权。但是一旦赋予某人以数据的所有权，他有权禁止任何人使用该数据，可能会不必要地排斥其他人的使用，甚至形成垄断，阻碍数据价值的充分实现。第二，数据作为权利客体并不够稳定，无法类比传统财产权的客体。如果把数据视为非竞争性质的无形物，就不能类比有形财产，那么就会引申出另一个问题，是否可以类比于知识产权的客体？这个答案也是否定的。人们因为自己的创新性的成果而受到知识产权的保护，但是很难认定企业生产、收集数据的行为能够等同于独创性的作品和创新性的成果。另外，即使数据权利还没有完全概念化，但是很难认为其权利客体、范围和归属足够明确。如果赋予机器运作过程中产生的数据以权利，数据的内涵和范围其实是不确定的，会产生如下的疑问：法律究竟应该保护哪些数据？是机器在一定时间范围内产生的所有数据吗？尤其工业数据的生成大多是实时的，动态性和多变性也很难使其成为一个相对稳定的保护对象。第三，立法期望通过数据要素的自由有序流通来达到促进经济增长、鼓励创新、提高竞争力、创造就业机会等目标。因此，在这一原则下，如果需要在法律的层面上为数据创设一种排他性的财产权利，那就需要有充足的理由。例如，为了解决无形财产的激励问题，鼓励创造、创新以及促进经济增长，避免由于复

制、使用、共享等行为造成所有权人无法得到合理的回报，几乎所有国家均为独创性的作品和创新性的成果创设了知识产权。相同的逻辑也适用于数据领域，如果某些类型的数据生产、数据交易的成本非常低，设定排他性的数据权利似乎也无法起到激励作用，以及考虑到数据的复杂性、数据主体的多样性以及现有的法律制度，目前似乎缺乏强有力且令人信服的理由赋予企业排他性的甚至是垄断性的数据权利。因此，数据与传统财产权的显著区别意味着运用传统的单一的财产确权的思路并不一定能够妥善解决数据界权问题。

（二）

数据具有人格权属性

数据具备人格权的属性。大量数据包含了个人信息，一般而言，依据数据是否与自然人相关联，数据分为个人数据与非个人数据两种类型。马俊驹指出，个人数据体现的人格利益远远超出了具体人格利益的范围，个人数据体现了人格尊严、人性自由、人身完整等基本利益。王利明认为，个人信息权是一种独立的、具体的人格权，个人对其信息数据享有平等和自主支配的权利。依据欧盟一般数据保护条例对个人数据的定义，个人数据是指任何已识别或可识别的自然人（“数据主体”）相关的信息。个人数据作为数据的重要组成部分，通常以个人属性作为内容来源，以可识别性为其重要特征，关涉到个人的某一方面特征，例如，姓名、性别、年龄、职业、知识、财产状况、生活习惯等等，具有显著的人身权色彩。个人数据体现数据主体的人格尊严，其人格性应该得到法律的全面保护。依据传统理论，人身权的不可让与性和财产权的可让与性之间存在着矛盾，但是随着技术的进步，数据的商业价值不断增加，例如，企业可以挖掘出消费者个人数据背后的行为偏好，实现精准营销。人格权商品化使得数据的人格属性延伸出经济价值，又为个人数据财产权依据奠定了理论支持。虽然个人数据兼具人格性和财产性，但是人格性仍然为财产性的基础。美国学者Paul M. Schwartz支持个人数据商品化，他认为，每个人都有权自由地处理个人数据，自然也有权出售自己的个人数据获得利润，在此基础上他提出一种个人数据财产化的理想模型，该模型包含了限制个人转让个人信息的权利，强制披露交易条款的默认规则，市场参与者的退出权，确定损害赔偿以阻止市场滥用行为和机构监管个人数据市场并处罚侵犯隐私的行为这五个要素，这将有助于塑造一个既尊重个人隐私又维护民主秩序的数据交易市场。

四、数据确权的思维：超越传统所有权

事实上，如何确定数据权属是困扰学术界已久的难题。由于数据的特征是虚拟非竞争性、可复制性、流动性，传统的物债二分法难以确定数据各方主体的权利或者利益。正如欧盟试图以一种指令构建统一数据库模式的失败昭示了以单一或者绝对的方式去界定数据权属的模式并不可取，数据不能受制于单一的、绝对的法律制度。再加上数据之上承载着不同权利主体的多种权利主张，各种利益诉求甚至相互交织在一起，因此，如何确定数据权利归属并非易事。

（一）

超越传统所有权

一条错误的路径是习惯使用传统财产所有权的思路来界定数据权属。相比于传统的有形财产，权利人对数据的物理排他性是较弱的，数据本身的性质实际上决定了数据并不适合如同有体物一样被

直接分配给某个权利人，也不适合直接赋予权利人以绝对的排他性权利。更为关键的错误在于传统财产所有权的思路把权利同化为可以分割或者占有的物品，但是权利并不是物品。Julie Cohen教授指出，在讨论数据权属问题时，人们往往会依赖传统的财产所有权的思维，但是塑造数据治理规则和模式需要想象力和新的概念，重点是确定一种“被拥有的状态”，而不是简单地将数据“物化”或者视为财产。Paul M. Schwartz认为应该把财产权理解为利益，而不是某种排他权。美国学者托马斯·C·格雷则进一步解构了传统财产权的概念，他指出，在现代社会，起源于物品所有权概念的法律上的传统财产权概念已经瓦解，所有权概念已经被权利束概念所取代。事实上，传统的所有权路径目前鲜少有支持者，在欧盟委员会组织的公众咨询和结构性对话中，几乎没有人支持所有权路径，在欧盟的数字单一市场战略的中期审查通信中，甚至都没有再提到这一路径。

除此之外，在我国“数据二十条”的起草过程中，起草者也已经提出淡化所有权、强调使用权的确权思路。因为数据往往涉及多方利益相关者，多方数据主体均有不同的权利主张或者利益诉求，各项权益甚至交织在一起，一旦赋予某一个数据主体唯一的所有权可能会架空其他的利益相关者，甚至出现封闭与垄断，导致高昂的交易成本，不利于促进数据交易与共享，抑制数字经济的活力。因此，我们是时候要放弃所有数据必须遵循相同所有权的想法，转为更加灵活的方式或者制度。

（二）

权利的关系进路

数据确权虽然并非易事，但是也并非不可行，一种可行的思路是摒弃传统财产所有权和隐私权的思维，选择从数据背后隐藏的各方主体之间的利益关系的角度切入，平衡兼容各方数据主体之间的权利或者利益，也就是说，我们应该采用一种关系进路去理解和分析数据权利。权利指向的是“有”而非是“做”，是使得人们的行为成为可能或者给行为加以限制的社会关系。正如有学者指出数据关系到各方主体的财产权和数据安全，数据确权的思路不应该只局限于确立财产所有权，而应以开放利用的价值逻辑为基础，关注各方数据主体的利益互动关系。另外，我国“数据二十条”在起草过程中，起草者显然已经关注到个人、企业、国家等相关主体对数据有着不同的利益诉求，关注到数据背后的主体间存在着合作或者冲突关系，并且呈现出复杂共生、相互依存、动态变化等特点。因此，相比较于传统所有权的观点，有学者认为数据权益是信息上产生的多项集合的“权利束”，“权利束（bundle of rights）”理论显然更加符合当下数据权利的复杂性和多样性的特点。该理论认为，在同一资源之上可以承载着不同权利主体的不同权利主张，并且认为只要能够明确界定各种权利主张，那么各个权利人就可以并行不悖地行使各自的权利。但是权利束进路同样存在着缺陷，由于权利束观点下的各项权利各自独立、相互平等，不具有排他性，也不存在核心的权利，因此无法通过预先确定的位阶来确立优先保护的对象，权利束理论只能对各个数据权利人提供一种较弱的保护，可能无法充分保障数据主体合法的利益。因此，笔者更倾向于采用一种主体间相互关系的视角去理解和分析数据权利，其中的核心问题在于如何在主体间承认的规则的背景之下以一种可能形成共识的方式加以解决主体间权利或者利益冲突问题，从而兼容数据各方主体的权利主张或者利益诉求。

权利应该是一种关系而非是可以占用的物品，且这种关系是主体之间的互相合作和承认。“权利毕竟既不是一支枪，也不是一台独角戏，它本质上应该是一种关系、一种社会惯例，而涉及两者的根本，它则是关联性的一种表达。权利是一些公共的主张，既包含针对他人的资格要求，也包括对他人所负有的种种义务。从表面上，它们至少是一种形式的社会合作。”政治哲学家尤尔根·哈贝马斯对此也认为，权利应该是关系而不是物品，是关于人们可以彼此通过商谈“做”什么的可能，而不是关于人们可以“有”什么的期盼；权利是在建制上所确立的规则，明确规定什么人可以相对于彼此做什么，是使得行动成为可能或者给行动施加限制的社会关系。因此，权利必须存在于主体之间，是法律主体通过沟通而互相承认的关系，权利对于不和他人产生关系的原子式的单个主体而言没有任何意义。

哈贝马斯的论述没有结束，他进一步指出，无论是形式法范式还是福利法范式（实质法范式）对于权利的理解都存在致命的缺陷。形式法范式的问题在于由单个主体的个人去理解或者自我充值何为权利，而福利法范式则由政府去界定和安排权利。这两种法范式的共同盲点在于，它们都把权利同化为可以占有和分割的物品，也就是说，要么选择由单个主体的个人通过市场竞争去占有权利，要么通过政府的家长主义式的分配去赐予公民权利。但是，公民的各种权利，既不应该由单个主体来获得，也不应该由政府家长主义式地分配给公民，而是平等自由的公民通过合理商谈而相互承认。因此，权利赋予的过程首先应该由平等自由的公民在非正式的、非建制化的公共领域中进行充分的讨论，讨论者们就权利要求和权利保护机制达成基本的共识，最终在正式的、建制化的公共领域，然后通过民主的立法的程序，在法律上对这些共识加以确认，使之成为具有可塑性的权利。另一位学者霍菲尔德（Wesley Hohfeld）坚持认为，财产权的本质就是人与人之间的关系，甚至提出“一切对物权皆系对人”的观点。菲利克斯·科恩(Felix S. Cohen)同样主张权利不一定涉及外部物理对象，但是一定涉及人与人之间的关系，财产制度的本质应该是一系列人与人关系的集合。而且由于存在无价值的财产，那么经济价值就不是合法财产存在的必要条件。

因此，对数据权利的理解也应该如此，更为合适的方式是采取一种关系的思维去理解数据各方主体的权利，只有相关的数据主体自己才能明确知道数据权利的相关方面是什么，故而应该从数据主体间的权利或者利益互动关系层面推进确权。其本质涉及特定的数据主体相对于彼此可以做什么或者不可以做什么，使得诸如收集、使用、共享、公开等行为成为可能，或者对非法下载、非法复制、窃取、破坏等行为施加某些限制。针对存在冲突的数据权利，尽可能地在相关的数据主体之间通过沟通协商的方式达成基本共识，协调数据主体之间相互冲突的权利或者利益。然后通过立法的程序，在法律上加以确认这些合理正当的数据权利。既能够促进数据要素依法有序流动，也能够充分保护数据权利主体对数据享有合法的权利或者利益。

在承认在数据之上可以拥有多种形式的权利，并且这些权利在持续时间和范围上可以不一致的基础上，平衡数据各方主体之间的利益的一种合理方法是确立一种较弱的排他性权利。由于数据权利保护的法益基础具有多元性和复杂性，既有用户对个人数据主张的隐私权、人格权，也有企业对企业数据主张的使用权、收益权、处分权，也有国家基于社会管理目的对公共数据主张的公共利益，而且这些利益之间往往会存在分歧和冲突。以企业数据为例，虽然数据本身是非竞争性的，理论上同一数据集可以被多方主体同时使用，但是鉴于隐私安全、维持竞争优势等因素的考虑，一家企业可能不愿意共享其所拥有的个人数据，但是如果这些数据能够被更广泛地获取，公众则有可能会显著受益。那么，在企业的私人利益和公共利益之间取得平衡的一种方法是确立企业享有数据集中有限的共同财产权，并且需要具体说明一家企业有义务提供访问其所拥有的数据的条件和情况，例如，访问权限只能授予把数据用于公共利益的其他数据主体。虽然企业在个人数据基础上对开发的数据衍生产品享有财产权益，但是由于个人对其个人数据享有人格利益，享有诸如知情、同意、查阅、删除等一系列权利，因此企业享有的数据财产权必然会受到一定程度的限制。除此此外，将会保留企业在其他情况下所拥有的一系列的数据权利。因此，可以在数据之上确立一种较弱的排他性权利，采取适当的保护措施，从而实现数据背后各方主体之间不同权利诉求或者利益的相互兼容。

结语

数据已经成为重要的生产要素，数字经济健康可持续发展亟待解决数据确权问题。传统的物权理论在解释和分析数据权利时捉襟见肘，应该关注数据背后的具体主体的权利义务关系和利益关系，其中的核心问题在于如何在主体间承认的规则的背景之下以一种可能形成共识的方式加以解决主体间权利或者利益冲突问题，从而兼容数据各方主体的权利主张或者利益诉求。在数据之上确立一种较弱的排他性权利，采取适当的保护措施，可以实现数据之上多元利益的相互兼容。

原标题：《杨洋｜数据确权之证成及权利关系进路分析》

阅读原文