我国大数据法律定位的学说论争、司法立场与立法规范*

张玉洁 胡振吉

（广州大学公法研究中心，广东广州510006；上海财经大学法学院，上海200433）

随着网络虚拟空间的深度开发，物理空间内的人际关系正在通过“网络空间”进行重构。人们借助虚拟身份享受着互联网带来的交往便利与自由，同时也依托于各种网络平台实现了人际关系的扩张与整合。网络空间发展过程中的大数据权益归属与大数据安全保护严重困扰着各国的法律实践，并在一定程度上影响了正常的网络秩序。近期发生的“剑桥分析”（Cambridge Analytica）公司肆意抓取“脸书”（Facebook）公司的用户信息事件，成为当下大数据法治难题的导火索。该事件表面上看似属于脸书公司泄露用户个人信息的行为，而其背后反映出的乃是大数据的法律权益分配与保护问题，例如，网络平台能否获取他人已公开的个人网络信息，经由网络平台“脸书”整合后的大数据究竟具有何种法律属性，①英法德等国将“个人信息”同“数据”混同使用，并以“数据”概念代之。参见齐爱民：《拯救信息社会中的人格：个人信息保护法总论》，北京大学出版社2009年版，第77页。大数据权益应当归属于公民个人还是网络平台，现行法又应当如何给予大数据有效保护，等等。或许脸书事件对我国网络用户的影响较小，但“脉脉非法抓取使用新浪微博用户信息案”“百度诉奇虎360违反‘Robots协议’爬取数据纠纷案”“大众点评网诉爱帮网不正当竞争纠纷案”“实时公交查询软件‘酷米客’诉‘车来了’盗取后台数据纠纷案”等案件，则将大数据保护全面引入中国公众的视野，并引发了我国社会公众对网络平台的信任危机。

缘何数据保护与大数据保护在法律层面“分道扬镳”，经由网络平台整合后的大数据（包含信息和技术）是否改变了大数据权利的权益构成，我国又应当采取何种法律保护措施？这些问题急需我国法学界与实务界做出解答。

一、大数据法律定位的理论论争

一直以来，数据安全与个人信息保护都是我国网络安全法律领域的研究重点，特别是在大数据得到开发与应用之后，国内学术界对数据安全法律问题的著述颇多。大数据不同于数据，大数据是指“容量大小超出一般数据软件所能采集、存储和分析的数据集”。②［美］麦肯锡公司：《大数据：下一个创新、竞争和生产力的前沿》，安晖等译，载《赛迪译丛》2012年第25期。它具有大量、多样、快速、价值密度低、复杂度高的特征；③参见刘鹏等：《大数据——正在发生的深刻变革》，《中兴通讯技术》2013年第4期。数据是指在互联网及其计算机载体上以二进制为基础，通过0和1的组合方式加以表现的信息形式。④参见程啸：《论大数据时代的个人数据权利》，《中国社会科学》2018年第3期。鉴于大数据与数据的显著区别，占据“大量”要素但缺乏“技术分析”要素的侵犯他人信息数据案件，不在本文探讨范围之内。为了更为清晰地展现我国大数据研究的基本情况，笔者以“中国知网”数据库为检索源，采用精确度递增的方式，对“大数据”“大数据保护”“网络平台”三个关键词进行交叉检索，并在排除非法学数据的基础上，分别获得“1552”“386”“17”个有效检索结果。从检索结果的具体构成来看，我国法学界对大数据法律问题的研究始于2013年，并呈现出数量递增、领域渐宽的趋势。目前来看，关于大数据的理论争点主要集聚于以下几个方面。

一是大数据的法律属性论争。作为数据集和信息分析技术的结合体，大数据本身既包含了互联网空间中的初始信息，也包含着信息分析技术加工后的商业附加值。也就是说，大数据不再是个人意志的网络表达集合，而是裹挟着人格属性、财产属性的混合体。这也导致法学界对大数据的法律属性形成四种学说，即人格权说、汇编作品说、财产权说和综合权利说。人格权说认为，大数据既属于网络信息的媒介，同时也兼具信息本体功能，因此，对于涉及公民个人信息（如网络购物记录、搜索记录等）的大数据而言，它具有较强的人格权属性。⑤参见杨永凯：《互联网大数据的法律治理研究——以大数据的财产属性为中心》，《石河子大学学报（哲学社会科学版）》2018年第2期。有学者从大数据的数据集合功能出发，认为大数据是不特定网络人群所留存的网络信息（如网络平台留言、购物评价等），因此，大数据中所涉及的个体人格权属性较弱，而汇编作品属性更为强烈。⑥参见涂燕辉：《大数据的法律确权研究》，《佛山科学技术学院学报（社会科学版）》2016年第5期。然而，互联网的飞速发展，使得大数据附带一定的交易价值，因此，有学者提出，大数据体现出一定的信息财产权属性，“大数据是具有‘非物质性、可复制性和不可绝对交割性’等信息财产权客体基本特征的信息集合，是信息财产法保护的对象，是信息财产权的客体”。⑦参见王玉林、高富平：《大数据的财产属性研究》，《图书与情报》2016年第1期。有学者认为，当大数据本身涉及公民个人信息时，其来源与载体往往引发数据人格权与数据财产权的冲突，由此导致大数据的法律属性徘徊于人格权财产化与财产权人格化的中间地带。⑧参见姜福晓：《对人格权财产化和财产权人格化统一解释的初步思考》，《理论月刊》2013年第9期。综合上述大数据法律属性的不同认识可以发现，这四种学说均注意到个人信息与大数据法律属性的紧密关系，却未停留在相同的权利诉求上。可见，理论的阐释仍有待接受实践的检验。

二是大数据的权益分配论争。受“大数据法律属性”界定难题的影响，作为网络参与人的公民、作为网络运营商的网络平台正在合力塑造着大数据的内在结构。这也导致法学界形成了三种不同的大数据权益分配理论，即个人权益论、平台权益论以及综合权益论。主张个人权益论者从数据来源的视角进行判断，将大数据视为社会公众网络行为的集合，认为大数据权益分配应当独属于数据的产出者——公民个人或公民集体，与公民个人或公民集体相对的网络平台，仅仅是公民个人数据的载体与管理者，而非所有权人，因此，在大数据权益分配上，公民个人成为唯一的适格主体。如刘德良认为，个人信息数据的权益应当依据公民的基本主张来分析：涉及人格尊严的给予人格权保护，涉及主体财产权益的应给予财产权保护。双重保护无碍于人格权保护，并给予个人更多选择自由。⑨参见刘德良：《个人信息的财产权保护》，《法学研究》2007年第3期。主张平台权益论者从大数据的价值构成上加以审视，主张网络平台才是大数据权益的主要贡献者。在他们看来，大数据产出的权益肇始于公民个人数据，其价值核定基准却是数据叠加状态下网络平台的统计分析，并且，人们很难从不特定大数据中分离出具体的个人数据，大数据的外部性影响也改变了个人数据的实际作用方式，因此，大数据的权益分配应当归属于大数据的实际控制者——网络平台。⑩参见前注⑦，王玉林、高富平文。主张综合权益论者认为，网络数据产出者与网络平台共同构成大数据权益的所有人，“在大数据应用的环境下，由于数据流通链条复杂以及因此带来的数据内容和数据载体二元结构更加凸显的影响……从大数据交易实践出发，数据财产权的权利主体应包括数据财产创造者、数据财产控制者和数据财产使用者”。就其权益归属而言仅包括数据财产创造者、数据财产控制者，即公民个人和网络平台。高完成：《数据财产创造者、数据财产控制者》，《重庆邮电大学学报（社会科学版）》2018年第1期。由这些分歧可见，大数据权益分配上的不统一，实际上构成了大数据法律保护的最大难题。无论我国采用何种权益分配方式，都将直接改变国家立法的趋向。

三是大数据的法律保护机制论争。大数据的法律保护之所以成为法学界竞相关注的话题，主要原因在于我国目前尚未出台专门性的法律法规，以保障大数据的合法使用。有学者认为，我国《网络安全法》是围绕“数据”本体展开的制度保障与责任追究，其内容仅规定了公民数据安全权益与网络服务提供者的安全维护义务，却未针对大数据的“应用”“预测”“分析”等功能做出明文规定。参见曹兴：《〈网络安全法〉监管下的网络安全管理合规及法律对策研究》，《法制博览》2018年第6期。同时，我国《刑法》也未对大数据的法律保护预留足够的空间。以《刑法修正案（九）》中的“侵犯公民信息罪”为例，该罪旨在惩处企业法人（或公民）非法提供或获取公民个人（不包括企业）信息的行为，尽管其中所涉公民个人信息数量较大，但远未达到大数据所要求之“不可计量”的程度。另外，从司法实践看，邵保明等侵犯公民个人信息案、周滨城等侵犯公民个人信息案的裁判结果也证明，侵犯公民个人信息案中的信息数量与大数据之间并无必然性联系。参见最高人民法院：《邵保明等侵犯公民个人信息案》，https://www.chinacourt.org/article/detail/2017/05/id/2852390.shtml，2018年6月8日访问；最高人民法院：《周滨城等侵犯公民个人信息案》，https://www.chinacourt.org/article/detail/2017/05/id/2852395.shtml，2018年6月8日访问。可见，我国《网络安全法》与我国《刑法》对公民个人信息的保障机制，并不适用于大数据的法律保障与救济。这也从一个侧面说明了我国大数据保障机制的脆弱与缺位。还有一些学者认为，我国《刑法》并未做好包括大数据在内的虚拟财产型犯罪的定罪量刑准备，参见吴伟光：《构建网络经济中的民事新权利：代码空间权》，《政治与法律》第4期。而我国《网络安全法》等法律又未设定明确的大数据权利，因此，很多网络经济案件只能依赖我国《反不正当竞争法》来处理。参见张钦坤：《中国互联网不正当竞争案件发展实证分析》，《电子知识产权》2014年第10期。法学界对大数据法律保护机制的理论论争，实际上是在反思新时代大数据保护法治化的缺位。

以上三个方面的理论论争表明，我国大数据法律问题之争尚未形成一致的观点。为了进一步探明大数据的法律属性，厘清网络平台视域下大数据的法律定位路径和方向，笔者将运用实证分析方法对我国已发生的大数据司法案件加以总结、归纳，以期回应前述理论论争，并指导我国的司法实践和立法发展。

二、大数据法律定位的司法检视

虽然受制于大数据专门性立法的空白，现行法无法直接回应大数据法律保护的要求，但这并不影响人们从司法层面获得对大数据法律保护的内在认知。自2013年以来，我国已经发生了多起大数据权属纠纷，其中以“脉脉非法抓取使用新浪微博用户信息案”“百度起诉奇虎360违反‘Robots协议’爬取数据纠纷案”“大众点评网诉爱帮网不正当竞争纠纷案”“实时公交查询软件‘酷米客’诉‘车来了’盗取后台数据纠纷案”等较为典型。上述案件无论是在大数据的权属认定、大数据的权益分配，还是在最终的裁判结果上，均对前述理论论争给予了强有力地回应。同时，围绕上述4个案件开展的实证分析，将为人们展现司法机关对待大数据法律问题的具体态度。受制于大数据案例样本的稀少，本研究所得出的分析结果未必全面，但基本上能够反映出我国大数据纠纷司法审理的倾向。这种司法经验可以指导立法实践的发展，弥补理论研究的缺失。

（一）大数据法律属性的司法认定

大数据在“数量”和“作用方式”上改变了传统电子数据的存在样态。这也导致多数的大数据纠纷，首先凸显为一种数据资源的竞争，其次才考虑到公民个人信息的权属问题。为了更为直观地反映大数据的作用机理与司法认定，笔者以上述四个案例为分析对象，对不同案件中大数据法律属性的司法认定加以对比分析（见表1）。

表1 大数据法律属性司法认定分析“脉脉非法抓取使用新浪微博用户信息案”，参见（2016）京73民终588号民事判决书；“百度起诉奇虎360违反‘Robots协议’爬取数据纠纷案”，参见（2014）民三终字第11号民事判决书；“大众点评网诉爱帮网不正当竞争纠纷案”，参见（2011）一中民终字第7512号民事判决书；“实时公交查询软件‘酷米客’诉‘车来了’盗取后台数据纠纷案”，参见（2017）粤03民初822号民事判决书。

表1 大数据法律属性司法认定分析“脉脉非法抓取使用新浪微博用户信息案”，参见（2016）京73民终588号民事判决书；“百度起诉奇虎360违反‘Robots协议’爬取数据纠纷案”，参见（2014）民三终字第11号民事判决书；“大众点评网诉爱帮网不正当竞争纠纷案”，参见（2011）一中民终字第7512号民事判决书；“实时公交查询软件‘酷米客’诉‘车来了’盗取后台数据纠纷案”，参见（2017）粤03民初822号民事判决书。

案件审理法院案由大数据的运作机制大数据法律属性的认定脉脉非法抓取使用新浪微博用户信息案北京知识产权法院不正当竞争纠纷通过网络平台合作协议与用户授权的方式，实现数据的转移。大数据属于网络平台的竞争优势；网络平台应当妥善保护他人数据。百度诉奇虎360违反“Robots协议”爬取数据纠纷案最高人民法院不正当竞争纠纷行业惯例保护大数据的专有性，却无法解决暗中获取大数据结果的行为。大数据保护依赖于法律和行业惯例。后者可以视为某种强制性规范。

大众点评网诉爱帮网不正当竞争纠纷案北京市第一中级人民法院不正当竞争纠纷大数据的形成应当付出了相应的经营成本，而以技术手段复制他人数据的行为构成不正当竞争。大数据排斥“搭便车”行为，因此技术优势应当得到适度限制。实时公交查询软件“酷米客”诉“车来了”盗取后台数据纠纷案深圳市南山区人民法院非法获取计算机信息系统数据经由原始数据积累而形成的大数据，被他人以非法手段入侵其后台来抓取数据。非法侵入计算机系统，获取他人数据，情节严重。

对表1分析后可以发现，司法审判大多以数据数量、数据来源、数据功能来考察大数据的运作机制，与此同时，司法机关对于网络平台之间的大数据纠纷，不仅未特别虑及公民个人信息保护的重要性，而且摒弃了人格权保护的一贯策略，转而向经济法（主要是我国《反不正当竞争法》）和刑法寻求法律保护依据。这说明，大数据来源和功能上的特征，导致人格权在大数据纠纷中的作用在下降，并最终为其他法律（如“不正当竞争法”）所替代。笔者认为，其原因在于以下两方面。其一，人格权法律保护的启动依赖于他人人身属性信息的精确查明，而在大数据影响下，整体数据中的个体信息被技术和数据量整合了，个体信息呈现被淹没状态。其二，实践经验证明，大数据的作用场域总是同市场经济相关联的，即便大数据纠纷无法彻底否定个体信息的人身权意义，但在市场经济条件下，大数据的财产权属性才是决定纠纷的直接起因，因此，由大数据纠纷的司法裁判，可以提炼出裁判标准I：在大数据纠纷中，大数据的财产权属性会极大地削弱个体信息的人格权属性。

在裁判标准I的影响下，上述四个大数据纠纷可以清晰地划分为两种类型：“数据型纠纷”和“工具型纠纷”。所谓“数据型纠纷”，是指以数据源为基础，经由算法、分析软件等方式改良或分离出派生数据的纠纷。其核心目的就是“挖掘出庞大数据库独有的价值”。参见［英］维克多·迈尔·舍恩伯格、［英］肯尼斯·库克耶：《大数据时代：生活、工作与思维的大变革》，盛杨燕、周涛译，浙江人民出版社2013年版，第102页。“脉脉非法抓取使用新浪微博用户信息案”即属于此种类型。在该案中，“脉脉”软件通过网络平台合作协议与用户授权的方式，完成新浪微博用户数据的转移，进而凭借大数据分析与算法建立起“用户职业关系”的网络平台。这种类型的案件对数据源的依赖性远高于大数据技术本身。由此可以对裁判标准I进行以下补充：用户授权构成大数据纠纷中人格权保护的阻却事由（此补充标准可以命名为裁判标准IA）。“工具性纠纷”多仰仗大数据分析、程序算法上的技术优势，利用技术性优势非法获取他人受保护之数据。梅夏英认为，工具性纠纷是指将网络作为不法工具所引发的纠纷。参见梅夏英：《数据的法律属性及其民法定位》，《中国社会科学》2012年第10期。笔者于本文中对“工具性纠纷”的解释，是在梅夏英前述认识的基础上，对具体网络工具（大数据技术）做出的专门性界定。在这类纠纷中，数据的“资源性”价值不再成为案件的主要影响因素，对案件产生实质影响的是以技术性优势（如数据的整合、分析和开放）获得市场竞争优势的不当行为。参见涂子沛：《数据之巅》，中信出版社2014年版，第258页。从“百度诉奇虎360违反‘Robots协议’爬取数据纠纷案”来看，非法获取大数据的结果并没有改变大数据的原初表现方式，但获取数据的技术性手段违反了法律或行业惯例，甚至因为技术优势造就了商业竞争力的较大提升。由此观之，大数据纠纷的“数量”因素不再是司法裁判的重心所在，是否通过大数据技术来非法获得不正当竞争优势，才是司法机关审理大数据案件时的裁判要点。由此，可以得出裁判标准IB：在相互竞争的市场领域，大数据的财产权属性可以阻却不正当技术性优势的二次开发。

（二）大数据权益分配的司法认定

大数据的产生，很大程度上来自于社会公众的网络参与，那么，大数据本身的财产权益以及大数据背后所带来的潜在经济利益，究竟应当属于社会公众，还是应当属于网络平台，抑或分属于两者呢？对此问题，我国法学界与立法机关尚未给予明确的解答，我国司法机关迫于履行裁判职责的要求，在大数据纠纷案件中已经展现出一定的规范主义倾向（见表2）。

表2 大数据纠纷案件中权益分配构成

从表2可以发现，大数据引发的不正当竞争纠纷往往涉及公民的个体数据权益和网络平台的大数据权益两类权益。其中，公民数据权益指向公民使用网络平台过程中产生的数据价值，网络平台大数据权益则是对数据的合法保存以及竞争性使用而形成的大数据收益。然而，表2中的三个案例的裁判结果仅局限于网络平台之间的商业纠纷，并未出现公民维护个人数据权益的现象。深思其中的法律逻辑，可以发现有两种因素影响了大数据的权益分配。

一是网络服务协议影响了大数据权益的分配。人们无法从自身数据中获得利益期许，却对他人数据信息颇感兴趣。这是一种社会现象。当数据本身开始在商业领域内部进行流动时，人们因阻止个人数据泄露而愿意支付的注意成本或保护措施，在一定程度上就可以视为个人数据的基本价值。有学者提出，数据的价值来源于人们对数据的控制与保护。See Anita L.Allen.Privacy-As-Data Control:Conceptual,Practical,and Moral Limits of the Paradigm.32 connecticut Law Riview,2000,pp.865-879.并且，根据数据类型在商业领域的需求度，部分数据的信息价值将转换为财产性价值，如手机号码、搜索记录、购物记录等。“一旦承认了用户具有数据财产权，那么就会迫使数据使用者主动与数据主体进行商议，如此改变了用户在数据市场被忽视的境地，使得用户获得了一定的议价能力。”龙卫球：《数据新型财产权构建及其体系研究》，《政法论坛》2017年第4期。然而，在现实的互联网活动中，“网络服务协议”在公民与网络平台之间建立了一个数据使用合同，使得公民以数据专有权换取网络服务，用户出于使用网络服务的便利考虑，主动放弃此种数据的专有权——其内容包括身份信息的专有权和财产性权益的专有权。如《脉脉服务协议》关于“第三方平台记录信息”部分规定：“用户通过新浪微博账号、QQ账号等第三方平台账号注册、登录、使用脉脉服务的，将被视为用户完全了解、同意并接受淘友公司已包括但不限于收集、统计、分析等方式使用其在新浪微博、QQ等第三方平台上填写、登记、公布、记录的全部信息。用户一旦使用第三方平台账号注册、登录、使用脉脉服务，淘友公司对该等第三方平台记录的信息的任何使用，均将被视为已经获得了用户本人的完全同意并接受。”由此，可以获得裁判标准II：网络服务协议实质性地造就了“公民数据权益”和“网络平台数据权益”的大数据二元权益配置模式。

二是大数据的成本分担影响了大数据权益的分配。大数据的产生是由数量较少（甚至是单一）的网络平台和数量大得难以统计的公民共同参与形成的。数据提供者（公民个人）的超大数量稀释了单个公民信息的价值，由此导致大数据权益分配常常忽略单个公民的数据贡献力。并且，人们阻止数据泄露的努力远远落后于数据购销市场的诱惑力。为此，相对于公民付出的适度注意义务，网络平台会花费更高的管理成本来实现公民信息的严格保护。基于上述数据价值的核算方式，阻止数据泄露的管理成本应当平摊到每一项数据的价值中。这样，社会公众基于单一信息所主张的财产权益，将在网络平台更高的保护成本中处于劣势，甚至远低于公民个人起诉所花费的时间成本。更重要的是，大数据权益纠纷往往涉及是不特定用户的网络数据，因此，大数据权益的配比往往聚焦于网络平台之间的整体性大数据竞争，无法引入公民个人作为利益第三人。由此，可以对裁判标准II加以修正：在大数据纠纷中，“公民数据权益”无法从“网络平台大数据权益”中获得有效补偿（此修正的裁判标准II可以命名为裁判规则II）。

综上所述，基于“网络服务协议”与“大数据成本分担”的考量，网络平台往往就大数据的合法控制归结为一种“竞争优势”。企业竞争能力是企业成功经营的重要条件，其虽然不是有形财产，却蕴含着一种排他性特殊利益，因此，当其他网络平台侵犯企业大数据时，该侵权行为当然构成不正当竞争。或许网络平台无法据此否认社会公众的“公民数据权益”，但至少能够凭借司法体系来保障自身的竞争优势。由此，可以得出裁判标准III：在大数据纠纷中，公民数据权益只是隐性影响因素，而网络平台大数据优势的维持才是法律保护的对象。

（三）大数据法律责任的司法认定

我国现行法对于公民、网络平台、政府数据的保护机制，主要散见于我国《侵权责任法》《网络安全法》《反不正当竞争法》《刑法》以及其他数据信息保护法律法规中，这样，司法机关在审理各类大数据纠纷时常常需要斟酌案件的不同性质，以做出相应的法律保护或救济措施。为此，笔者分别选取具有代表性的民事数据纠纷、经济类数据纠纷、刑事类数据案件，以观察司法机关对不同类型的数据纠纷的具体裁判倾向（见表3）。

表3 各类数据纠纷中的责任差异与司法认定

表3以四种不同类型的数据纠纷阐明了我国司法机关对待数据纠纷的不同态度。在不区分数据性质的前提下，数据纠纷可以分化出三层法律保护模式，即人格权的法律保护、经济权益的法律保护、数据信息的刑法保护。其中，按照数据性质的不同，我国《刑法》内部又可细分出公民信息安全的刑法保护以及计算机系统安全的刑法保护。上述司法实践表明，根据数据数量的不同，数据纠纷会导向不同的法律保护机制，例如，侵犯少量个人信息数据只会由公民个人启动法律救济机制（如深圳市腾讯计算机系统有限公司与王屎花、韩永军等名誉权纠纷）；倘若他人（或企业）以非法手段侵犯大量公民个人信息，尽管数量很大，但仍然能够以常规计量方式来计算数据数量的，则由检察机关提起刑事诉讼，如张某某侵犯公民个人信息案；一旦侵犯他人（或企业）合法数据的行为超过常规计量方式的计算范围（即大数据），那么，基于诉讼成本和利益相关度的考量，公民个人会主动退出司法诉讼领域，改由网络平台启动不正当竞争的法律保护机制（如脉脉非法抓取使用新浪微博用户信息纠纷）或刑法救济机制（如“酷米客”诉“车来了”盗取后台数据纠纷）。由此，可以得出裁判标准IV：受到大数据整体性应用的影响，网络平台的经济法保护模式、刑法保护模式比社会公众的自我保护模式更有效率。

值得注意的是，在大数据纠纷中，公民个人的权利救济机制将隐匿不见，企业之间的利益竞争乃至依托公权力的救济机制将成为主流。从前述案例可以发现，在排除社会公众的自我保护之后，网络平台的经济法保护模式、刑法保护模式的分野在很大程度上受制于大数据的具体来源。例如，在“脉脉非法抓取使用新浪微博用户信息案”中，北京淘友天下技术有限公司利用协同过滤算法大量抓取新浪微博用户信息，但新浪微博并不享有数据的所有权，北京微梦创科网络技术有限公司（新浪微博）只能采用“不正当竞争”之名起诉北京淘友天下技术有限公司。在“实时公交查询软件‘酷米客’诉‘车来了’盗取后台数据纠纷案”中，原告深圳市谷米科技有限公司通过安装GPS的方式获得公交车的一手出行数据，并享有该数据的所有权，因此，其可以以我国《刑法》规定的“非法获取计算机信息系统数据罪”为依据来保护自身的数据所有权。综合以上情形，可以得出裁判标准V：网络平台的大数据保护力度受到数据量的深刻影响，同时，大数据的具体来源则会决定诉讼的具体方向。

三、法治视域下大数据的立法规范策略

从前述案例样本的实证分析可以发现，司法机关对大数据纠纷的裁判分别适用了我国《反不正当竞争法》和我国《刑法》，并且，每一个案件背后都裹挟着纷繁复杂的大数据应用差异。虽然前述裁判标准无法直接用于大数据立法，但在立法机关获得足够的数据与调研结果之前，上述裁判标准不失为一种谨慎、保守的规范策略。有鉴于此，上述司法裁判标准应成为我国大数据立法的一项重要参考，从中提取的规范性要素（如权利属性、权益归属以及责任分配等）也将为大数据立法提供规范性支撑。

（一）“大数据”权利属性的立法规范

严格地讲，大数据的法律定位难题肇始于大数据与数据的分立。有学者认为：“大数据，是收集大型和复杂数据，以及有关数据分析的术语……这些数据量阻碍了传统分析方法的有效性。大数据不是专注个别数据之间的精确关系，而是使用各种算法和技术，来推断整个数据的总趋势。”陈思进：《隐私vs.大数据分析之浅析》，http://finance.qq.com/original/caijingzhiku/csj1.html，2018年4月14日访问。上述论断得到世界各国法律实践的认可。在美国的hiQ Labs，Inc.v.LinkedIn Corporation案中，法院最终认定Linked In公司不得阻止hiQ公司进入、复制并使用其网站中已公开的用户信息，亦不得采取法律或技术措施进行阻碍，从而肯定了网络平台收集公民已公开数据的合法性。Mo.3:17-cv-03301 （M.D.Cal.2017）.奥地利《2018年数据保护修正法案》（DSG 2018）将“企业数据”纳入“个人数据”的保护范围，进而破除了数据信息与人格权保护之间的封闭性关系，并将经营性数据纳入法律保障中。小琼蚂蚁：《奥地利出台〈2018年数据保护修正法案〉（DSG2018）》,https://baijiahao.baidu.com/s?id=1597135249596347009&w fr=spider&for=pc，2018年9月9日访问。欧洲议会《一般数据保护法案》（General Data Protection Regulation）第6条规定，数据控制者或第三方可以基于合法利益之诉求，使用自己掌握的公民信息，但应当妥善保护公民（尤其是未成年人）信息免受侵犯。See European Parliament and Councilof the European Union.GeneralData Protection Regulation （EU）2016/679.available at https://gdpr-info.eu/art-6-gdpr/,last accessed 2018.9.9.这样处理，能够在总体上实现公民数据权益与企业数据权益的平衡。这些立法例或司法案例或许不能完全适用于我国的法治实践，但至少可以为我国大数据的法律定位提供某些标准。

结合前述裁判标准I和裁判标准II可知，我国大数据的法律定位不仅来自于公民个人信息的市场化运用，而且更多地承载着网络平台的经济性追求。所以，我国大数据的法律定位既拥有人格权保护的内涵，又实质性地嵌入了网络平台利益的财产权结构。由此可以发现，我国大数据的法律定位应当做出如下三层次的规范。其一，肯定网络平台大数据的强财产权属性和弱人格权属性。在财产权客体理论中，无论是有形财产还是无形财产，均为“独立于主体意志而实际存在的客观财产”。吴汉东：《财产权的类型化、体系化与法典化——以〈民法典（草案）〉为研究对象》，《现代法学》2017年第3期。大数据作为网络平台的一种累积性、经营性成果，不但客观地展现着网络平台对大数据的利益诉求，而且愈加体现为企业无形财产的可视化增长。进一步而言，裁判标准I和裁判标准IA已经证明，大数据具有强烈的财产权属性。在此意义上，大数据作为一种财产性权利的法律意义，完全优先于公民个人信息集合的人格权意义。其二，确立基于数据或技术创新的网络服务规范。裁判标准IA和裁判标准IB已经表明，“数据型纠纷”与“工具型纠纷”产生的核心问题分别在于公开数据的简单复制、分析，以及基于技术优势恶意获取数据。这就意味着，司法裁判否定的是网络平台对其他网络平台大数据的“不劳而获”，即一种完全背离于服务创新的路径。张钦坤：《反不正当竞争法一般条款适用的逻辑分析——以新型互联网不正当竞争案件为例》，《知识产权》2015年第3期。这是我国在建立创新型国家过程中严厉抵制的行为，而且该行为难以实质性地推动网络经济的整体发展。有学者通过案例分析发现，“在互联网的新型不正当竞争案件中，由于软件干扰形式各异……法院在分析过程中颇为强调对技术以及商业模式的分析和探讨，以避免造成对正当技术发展的误伤”。为此，我国大数据立法应当把“基于原始数据的网络服务创新”作为大数据应用规范化的基本框架，其中包括大数据的合理获取、算法技术创新、商业模式创新等规范措施。其三，明确大数据整体性应用的规范。大数据的运作机制完全不同于个体数据的“可识别性”运用，前者主要依据数据的数量优势分析出网络世界的整体状态，经由原始数据分析而获得网络行为的变化规律。可以说，在大数据的法律定位上，基于大数据综合价值及创新性成果的整体性应用，应当成为大数据立法区别于我国《网络安全法》的重大制度创新。

（二）大数据权益归属的立法规范

作为一种兼具财产权属性与人格权属性的新兴科技产物，大数据不仅模糊了人格权和财产权的固有界限，而且加剧了人格权财产化、财产权人格化的过程。受此影响，大数据也在数据产出者与数据控制者之间形成了一种利益分化。对于数据产出者（网络用户）而言，大数据是经由人们无数网络活动所汇集而成的信息集合、动态轨迹以及初始数据。当这些数据集合承载着大量的个人信息时，人们一方面运用传统人格权来保障自身的合法权益，另一方面又在积极主张财产性权益，将个人网络数据视为某种可供交易的资产。与此同时，对于数据控制者（网络平台）来说，提供网络活动的虚拟场域以及高昂的信息存储成本，已经改变了数据本身的资产结构。洛克认为，如果一个人通过劳动的方式改变了原生事物的自然状态，那么该事物就属于他的财产。See John Lock.Two treatises of government.Book II,Ch.V,Cambridge:Cambridge University Press,1988,pp.287-288.在此种意义上，网络平台基于创造性劳动与成本支出的合理依据，能够与数据产出者共享大数据的财产性权益。在大数据资产化背景下，我国立法机关应当基于保护等级递减的方式，对大数据法律权益做出以下三等级保护规范。

第一，严格等级保护规范，即网络用户基于个人信息保护，有权要求网络平台尽到大数据合理使用义务。个体层次的大数据合理使用权是依照现代所有权理论，将个体人格权保护转化为财产权保护的无奈选择，正如裁判规则II所断言的，网络用户无法从网络平台大数据中获得实质性补偿。网络平台大数据合理使用的义务性规定，既从一个侧面保护了网络用户的数据权益，又能够更好地适应市场化网络数据的运作机制。然而，当上述网络用户的大数据权益分配形式真正遭遇大数据纠纷时，这种个体意义上的合理使用权主张又陷入救济乏力和动力不足的难题。因此，我国立法机关应当同时引入网络用户大数据权益分配形式的配套制度，即大数据侵权公益诉讼机制，来改善网络用户个体性法律救济乏力的难题。

第二，数据流动等级保护规范，即网络平台可以基于大数据的收集与经营而获得财产性收益。当个人信息的人格权保护、刑法保护仍然难以遏制大量的公民个人信息非法转让、交易或泄露等情况时，人格权财产化的趋势就已经无法阻止了。在网络时代，网络用户往往通过签订“网络服务协议”来享受网络平台的便利服务（裁判标准I）。此时，个人信息的财产价值已经作为“服务对价”让渡于网络平台。参见任丹丽：《从“丰菜之争”看个人信息上的权利构造》，《政治与法律》2018年第6期。因此，网络用户的人格权并非不受保护，只是《网络服务协议》实现了人格权的财产性转化（裁判标准IA）。既然数据可以成为一种稀缺的市场资源，而个人信息又能够衍生额外价值，那么以合法方式（如“用户授权”）收集、分析网络大数据的网络平台，自然就能够成为大数据财产权益的享有主体。基于此，网络平台可以从事大数据交易、互换行为。只不过在涉及个人信息时，网络平台大数据的交易、公开等处置行为应当优先遵守大数据的严格等级保护规范。

第三，竞争等级保护规范，即公民、法人、社会组织可以合理使用网络公开数据，但不得据此获得不正当竞争优势。从司法实践来看，大数据的应用首先体现为一种数据处理技术，其次才是关注个体数据本身的内容。因此，对于已经公开的个人信息，大数据的应用只是加快数据的获取速度，而不影响数据的存在状态（我国的“脉脉非法抓取使用新浪微博用户信息纠纷”与美国的HiQ Labs，Inc.v.Linked In Corporation案均支持了这一主张），因此，对于已公开的数据（包括个人数据）而言，所有社会主体均可以正当使用，数据产出者与数据控制者不得因大数据抓取技术的应用来追究他人的侵权责任。不过，根据裁判标准III的内在逻辑，法律应当保障网络平台之间的数据独立性，进而保证大数据的财产性价值不因复制而贬值。因此，倘若公民、法人、社会组织同大数据控制方之间存在商业竞争关系，那么，无论前者通过何种途径获得该公开数据，都违反竞争等级保护规范，构成不正当竞争。

（三）大数据法律责任的立法规范

目前来看，使用大数据主要存在两种方式。其一，作为原始数据直接使用。它主要体现为数据量上的巨大。其二，作为一种数据分析技术加以使用。相对于数据的原本价值，该使用方式更注重数据二次加工后的分析结果。在前述案例中，侵害大数据权益行为以大数据具体使用方式为区分标准，形成两个复杂的“侵权类型”，即侵犯数据所有权的行为和侵犯数据控制权的行为。前者往往是由数据所有权人基于人格权保护而提起的侵权之诉，因此该类诉讼致力于保护个人的人身权益。后者是基于网络平台的数据积累成本，防止数据控制状态受到他人（或企业）非法侵扰。根据上述侵权类型的差异，大数据法律责任的立法也不再限缩于人身权保障的范围之内，而是覆盖了企业之间的不正当竞争法保护、国家网络秩序的刑法保障。这表明，立法机关对待大数据法律责任的态度除了尊重与保障公民权利之外，还隐藏着另一层重大意义，即鼓励社会以高效率的手段去解决数量多、危害小的侵权行为，甚至还鼓励诉讼双方自行和解（符合裁判标准III的要求）。在此，大数据法律责任的立法设定应当呈现为一个社会危害性逐渐加重的责任序列：侵权责任⇀经济处罚⇀刑事责任。因此，在大数据法律责任机制的立法设定上，应当综合大数据的具体使用方式以及社会危害序列来加以判断。

在具体责任条款的设定上，立法者应当明晰违法行为究竟指向“大数据所有权”还是“大数据使用权”。裁判标准IV表明，法院往往通过分析数据权利的具体来源来确认纠纷双方的主体地位与法律责任，并且不自觉地忽略大数据违法行为背后所带来的个体损失；另外，我国《刑法》中“侵犯公民个人信息罪”“非法获取计算机信息系统数据罪”的引入，使得我国在大数据违法责任追究上必须设定三重规范。第一，侵犯大数据中公民信息权益的行为，可以视行为严重程度来适用我国《侵权责任法》或我国《刑法》来追究法律责任。裁判标准II和裁判规则II表明，公民人格权及其财产权益很难在大数据纠纷中获得实质性利益，但这并不能否认大数据包含公民个人信息的事实。在不考虑公民私力救济的成本和收益比率的情况下，立法机关应当保留大数据侵权行为的公民私力追责机制。当大数据侵权行为所涉及的个人信息数量巨大，影响特别严重时，大数据侵权责任的追究应当与我国《刑法》第253条“侵犯公民个人信息罪”相对接。第二，侵犯数据使用（控制）权的行为应依据我国《反不正当竞争法》加以处罚。这种责任旨在解决大数据的诉权分散问题，加强大数据市场秩序的保护效率。因此，在大数据不正当竞争行为的处罚上，立法机关应当对大数据不正当使用者的主体资格、不正当竞争行为、大数据权益损失情况以及不正当竞争行为实施主体的主观过错等方面加以规范，以明确大数据不正当竞争行为的法律责任。第三，应在我国《刑法》中增设“侵犯数据资产罪”。目前，我国对侵犯大数据的刑法责任追究主要依据“侵犯公民个人信息罪”和“非法获取计算机信息系统数据罪”。前者属于我国《刑法》第四章“侵犯公民人身权利、民主权利罪”的规范对象。后者属于我国《刑法》第六章“妨害社会管理秩序罪”的规范对象。鉴于大数据的财产权属性，大数据更应当作为“数据资产”纳入我国《刑法》第五章“侵犯财产罪”的刑法规范对象之内。于志刚：《“大数据”时代计算机数据的财产化与刑法保护》，《青海社会科学》2013年第3期。涉及大数据的犯罪行为主要涉及网络使用记录、用户网络使用偏好等非计算机内部数据信息，因此，我国立法机关应当针对大数据犯罪行为特征增设一个专门的罪名，即“侵犯数据资产罪”。

四、结 论

我国司法实践中有限的大数据案例只能为未来的立法提供一种较为粗浅的经验和启示：在大数据的法律保护上，财产权保护要优于人格权保护，网络平台的反不正当竞争救济模式比社会公众的自我救济模式更有效率。并且，从大数据案例所反映出来的纠纷产生的原因以及大数据动作路径来看，坚持以不正当竞争来规范大数据市场秩序也存在一定的局限性，例如，大数据的人格权保护尚未形成公益救济机制、大数据利益的损害对象与赔偿对象不一致、专门性罪名的缺位等。尽管司法实践证明，社会公众在大数据案件中的利益主体地位将退居于网络平台之后，但从规范主义的视角来看，过分强调大数据的财产权属性，会无意识地遮蔽数据交易与人格权保护的冲突，并助长大数据的商业化滥用。See Jessica Litman.Information Privacy/Information Property.52 Stanford Law Review,2000,（5）:pp.1295-1301.这是科技飞速发展与法律滞后性的固有矛盾，但“在规则、原则和教义出现之前，人们只能根据问题本身的经验要素来寻求解决问题的方案”，桑本谦：《利他主义救助的法律干预》，《中国社会科学》2012年第10期。因此，笔者于本文中提出的大数据法律定位、权益归属以及责任体制构建的立法设计，既是我国解决大数据纠纷的阶段性总结，又为未来的大数据立法提供了备选方案。