论数据的法律规制模式选择

宁立志 傅显扬

内容提要：数据权利化与非权利化之争莫衷一是，两类主张的论说通常从权利和法益保护理论展开，鲜有立足于我国大数据发展现状的实证分析。当前关于数据规制模式的主张包括立法赋权模式和行为规制模式两种。选择数据规制模式属于立法范畴的问题，应当依据立法活动自身的方法和原则作出选择。无论是作为立法方法的归纳法，还是作为立法价值考量的效益原则和适配原则，都以立法规制对象自身的实证分析为起点。回归大数据自身所处的发展阶段，考证数据规制与自律的发展状况，总结数据失范与救济选择的倾向，应是我们选定数据规制模式的根基所在。当前采用立法赋权模式不符合科技立法的适配原则和效益原则。立法赋权模式设想的以数据赋权为基础的私权保护无法成为、也不应当成为数据权益救济的主要渠道。

针对数据领域的行为失范现象，学界已形成应该对数据进行法律规制的共识，但因为研究视角和进路不同，在规制模式的选择上出现了明显差异。当前，数据权利化与非权利化之争莫衷一是，两类主张的论说通常从权利和法益保护理论展开，鲜有立足于我国大数据发展现状的实证分析，一定程度上暴露出法学研究对技术本身关注不足的问题，相关学说略显本土资源和现实基础的匮乏。大数据时代，数据规制模式的选择是数据立法的顶层设计问题，事关我国数据法律体系的整体走向，影响着我国数字经济的兴盛繁荣。最理性、最恰当的选择路径应当是以我国大数据产业与技术、立法和司法现状为基础，通过实证研究回答数据制度之问。

一、数据规制模式的不同学说

在国际国内立法中，并不直接将“大数据”作为法律的规制对象，而是采用“数据”或“数据集”的概念，在对数据进行立法规制后，作为其下位概念的“大数据”“数据集”“数据集合”自然得以适用。规制是指一个公共机构针对具有社会价值的活动进行持续、集中控制。①尹口著：《健康权及其行政法保护》，中国社会科学出版社2015 年版，第184 页。为了回应大数据时代数字经济的制度需求，学者们从不同角度提出了数据规制的方案设想，总体可分为两种模式：立法赋权模式和行为规制模式。

（一）立法赋权模式

大数据战略重点实验室试图提出一个“数据人”的理论假设，把基于“数据人”而衍生的权利，称为“数权”，并提出“这种新权益包括数据主权、个人数据权和数据共享权。数权与人权、物权构成人类未来生活的三项基本权利。”②参见大数据战略重点实验室著：《数权法——1.0 数权的理论基础》，社会科学文献出版社2018 年版，第3 页。齐爱民教授主张“构建数据主权和数据权法律制度。数据主权主要包括数据管理权和数据控制权，对数据跨国流通的管理和控制是其中最为重要的内容。数据权包括个人数据权和数据财产权。”③齐爱民、盘佳：《数据权、数据主权的确立与大数据保护的基本原则》，载《苏州大学学报（哲学社会科学版）》2015 年第1 期，第64 页。龙卫球教授提出“从体系上说，应该在区分个人信息和数据资产的基础上，进行两个阶段的权利建构：首先对于用户，应在个人信息或者说初始数据的层面，同时配置人格权益和财产权益；其次对于数据经营者（企业），基于数据经营和利益驱动的机制需求，应分别配置数据经营权和数据资产权。”④龙卫球：《数据新型财产权构建及其体系研究》，载《政法论坛》2017 年第4 期，第63 页。亦有学者认为“不同数据权益类型应作不同路径的类型化区分保护，权利与新型利益二元化保护方式不失为一种合理保护的过度方式。”⑤李晓宇：《权利与利益区分视点下数据权益的类型化保护》，载《知识产权》2019 年第3 期，第50 页。立法赋权模式着眼的问题主要在于数据流通和权利救济层面，数据涉及数据提供者、数据控制者、数据使用者等多个主体，现有立法未明确数据权属，给数据交易流通造成阻碍，而且立法没有赋予数据主体民事权利，针对数据乱象的私权救济渠道不畅。现实情况中，侵犯个人信息的违法犯罪高发与居民权利意识快速提升形成尖锐矛盾，通过立法创设数据权利的呼声越来越高，立法赋权模式几乎成为数据规制研究的主流。

（二）行为规制模式

这种模式肯定数据上存在利益，但反对为数据立法赋权。该模式在揭示数据权利化理论缺陷的基础上，认为对数据创设一项新型权利不可行且存在制约数据产业发展的弊端，倡导设定数据治理的基本原则和相关主体的行为规范以实现数据规制目的。在行为规制的具体方式上，现有研究主要提出以下几种进路。

1.合同法规制

在数据采集、存储、分析、服务等活动中，但凡涉及两个以上主体之间的权利义务关系，均可置于合同法框架内进行讨论。数据提供者与收集者之间，基于意思自治、契约自由原则，可自由设定数据收集、使用、披露的行为方式以及权益分配机制。在数据控制者、使用者、服务者之间，数据的存储、交易、共享、分析、服务等活动更离不开合同法的规制，合同法在数据的行为规制方面具有不可或缺的地位。当前，学界对数据合同法规制问题已有研究，只是在数据类合同的性质上存在不同认识。有学者认为，计算机信息的销售或在线服务在不同情形下可能构成买卖合同、承揽合同或租赁合同，标准的计算机信息销售与有形产品买卖在性质上是一致的⑥齐爱民、周伟萌：《论计算机信息交易的法律性质》，载《法律科学（西北政法大学学报）》2010 年第3 期，第122 页。，定制的计算机信息销售从本质上讲是一种以计算机信息为客体的承揽，计算机信息在线服务从本质上讲是一种转让计算机信息使用权的租赁。⑦同注释⑥。还有学者认为大数据交易合同本质上不是民法上的买卖合同，而是一种数据服务合同。⑧梅夏英：《数据的法律属性及其民法定位》，载《中国社会科学》2016 年第9 期，第174 页。

2.侵权法规制

我国《侵权责任法》第2条第1款、第6条第1款是一般条款，明确了侵权法的保护对象是“民事权益”，既包含民事权利，也包含民事利益。在这种权利和利益平等保护的框架下，数据的侵权法规制又可分为两种思路。其一，权利保护思路。这一思路从探究数据与数据主体的关系、数据包含的利益类型出发，进而厘定数据的权利属性并将其对应到现有民事权利中的一种，依托传统民事权利体系对其实施保护。代表性的观点主要有：人格权保护⑨王利明著：《我国民法典重大疑难问题之研究》，法律出版社2016 年版，第181 页。、隐私权保护⑩汤啸天：《网络空间的个人数据与隐私权保护》，载《政法论坛（中国政法大学学报）》2000 年第1 期，第10 页。、物权保护⑪方印、魏维：《数据信息权利的物权法保护研究》，载《西部法学评论》2018 年第3 期，第23 页。、知识产权保护⑫郝思洋：《知识产权视角下数据财产的制度选项》，载《知识产权》2019 年第9 期，第45-60 页。。其二，法益保护思路。民事法益是在价值上应受民法保护，在法保护层次上处于实体权利之外的利益。⑬张芳：《论民事法益与权利的混同保护》，载《法制与社会》2014 年第33 期，第12 页。法益保护的立论基础在于数据包含人格利益和财产利益，法益保护不需要以明文规定的权利为前提，由此成为一些新兴（新型）利益诉求寻求保护的常用路径。有学者提出，侵权法对个人信息提供两种保护路径，即《侵权责任法》第36条的网络信息侵权责任条款及其司法解释，以及《侵权责任法》第6条过错责任条款配合《民法总则》第111条。⑭叶名怡：《个人信息的侵权法保护》，载《法学研究》2018 年第4 期，第83 页。还有学者提出，在明确保护范围的前提下，通过在民法之外筛选相关的保护性规范并将其纳入到侵权法的保护范围，是目前最为稳妥与有效的保护路径。⑮王镭：《电子数据财产利益的侵权法保护——以侵害数据完整性为视角》，载《法律科学（西北政法大学学报）》2019 年第1 期，第38 页。

3.竞争法规制

作为数据集合的大数据以竞争资源的一种形态出现，其重要性快速获得市场认可；与此同时，作为信息处理技术的大数据技术也被经营者作为竞争工具使用，其对市场的反馈预测功能广受追捧，利用数据干预竞争、垄断资源的现象初现端倪，大数据与竞争可谓相生相伴、交汇融合。为此，有学者提出，大数据及其规制应该具有竞争法属性。大数据作为技术与资源的集合，理应归入竞争法规制的范畴，并由此前展竞争法规制的基本逻辑。⑯陈兵：《大数据的竞争法属性及规制意义》，载《法学》2018 年第8 期，第118 页。关于竞争法规制的实施路径，有学者提出，对数据信息不享有法定权利并不意味着其无法获得法律的保护，若事实上造成市场竞争秩序损害的后果时，可以考虑适用反不正当竞争法一般条款。⑰芮文彪、李国泉、杨馥宇：《数据信息的知识产权保护模式探析》，载《电子知识产权》2015 年第4 期，第95 页。还有学者认为，《反不正当竞争法》为数据保护提供了三种路径，即商业秘密条款、兜底条款和一般条款规制路径，需区分不同情形，差别化分析。⑱刘继峰、曾晓梅：《论用户数据的竞争法保护路径》，载《价格理论与实践》2018 年第3 期，第26 页。

二、数据规制模式的选择路径

（一）立法活动的底层逻辑：自下而上的归纳法

选择数据规制模式属于立法范畴的问题，应当依据立法活动自身的方法和原则作出选择。立法权并不是创立法律，它只是披露和表述法律。⑲《马克思恩格斯全集》（第3 卷），人民出版社2002 年版，第74 页。法律规则根植于社会与经济实践，循环往复的经济行为逐渐形成较为固定的行为模式，这种行为模式往往构成法律的规则胚胎，成为法律规范的原始资源。立法者就是要深入社会进行调查，发现来自生活交往中，通过长期经验和试错而来的民间规则并予以表达，以对人们反复进行的“类行为”进行规则调整。⑳蒋传光：《马克思主义法学的基本原理及其科学意义》，载《法律科学（西北政法大学学报）》2018 年第6 期，第21 页。

确立数据规制模式，推进数据立法，目的在于为数据提供者、控制者、使用者等相关主体设定行为规范，制定出具有普适性的数据治理一般制度。在民商法之中，探寻一般制度的方法应当是归纳法。㉑陈醇：《作为民商法立法原理的公因式与一般式》，载《法治研究》2018 年第6 期，第101 页。归纳法是通过对个别事物的研究考察以认识普遍规律或一般原理的方法，其目的在于通过特殊揭示一般。㉒陈光主编：《科学技术哲学——理论与方法》，西南交通大学出版社2003 年版，第331 页。归纳法要求立法活动依托社会生活和市场经济实践，遵循自下而上的正向路径，而非自上而下的逆向路径。归纳的前提和基础是材料搜集，我国数据立法所需的材料，蕴藏于我国大数据技术与产业的发展现状，存在于国内数据立法与自律的现实资源，植根于大数据执法与司法的实践反馈。归纳法中所收集的资料越全面，就越接近于完全归纳，其结论的可靠性越强。㉓同注释㉑，第103 页。归纳法要求我们以实证为基础，从技术和产业角度总结我国大数据发展所处的阶段，发现它已经或即将成型的行为模式与规则胚胎。

（二）科技立法的基本规律：效益与适配

大数据是信息化发展的新阶段。大数据立法归属于科技立法领域，科技立法具有突出的专门性、技术性、知识性特征。科技法是为了应对科技危机而出现的，目的在于解决科技开发活动中出现的诸多问题，自然要尊重科技本身的规律。㉔孟俊红：《科技伦理、科技立法与科技发展》，载《河南教育学院学报（哲学社会科学版）》2014 年第5 期，第60 页。因此，选择数据的规制模式，应当在技术法的语境下，以科技立法基本原则为依据判断两种模式的优劣，进而作出科学选择。

科技立法的效益原则。效益既应是立法的出发点，也应是它的归宿。㉕赵震江主编：《科技法学》，北京大学出版社1997 年版，第128 页；曹昌植：《中国科技法学》，复旦大学出版社1999 年版，第8 页。我国《科学技术进步法》第1条开宗明义确立了该法的宗旨，即促进科学技术进步，发挥科学技术第一生产力的作用，促进科学技术成果向现实生产力转化，推动科学技术为经济建设和社会发展服务。“为经济建设和社会发展服务”的总要求决定了效益原则是科技立法重要的价值取向和利益诉求。具体到数据规制模式的选择问题，同样需要运用科技立法效益原则进行判断和佐证，主要从两个方面展开：一是社会经济效益考量，即哪种规制模式更能促进科技进步，更有利于创造更大的经济和社会效益；二是法的经济效益考量，即哪种模式的规制成本更低，更符合立法、执法、司法的经济性原则。

科技立法的适配原则。法律就从来没有作为人类科技活动的旁观者，相反，它总是积极主动而又不乏谨慎地介入到人类科技活动之中。㉖刘长秋：《从生命伦理到生命法》，载《生命科学》2012 年第11 期，第1354 页。科学技术有其自身发展规律，技术经历萌芽期、发展期走向成熟期，是一个循序渐进、由量变到质变的过程。科技立法的适配原则，就是要求立法活动与科技发展的阶段性特征相匹配，审慎适度地介入科技发展过程，在技术萌芽期宽松规制甚至善意忽视，在技术发展期适度引导，在技术成熟期强化规制。对应技术发展的萌芽期、发展期、成熟期，法律规范分别以无约束、弱约束和强约束的姿态出现，最能满足科技发展与法律规制的二者平衡。相对于技术成熟期而言，技术萌芽期和发展期的科技立法更为复杂和困难，需要解决的利益平衡困境更多。早期规制一般都会落后于日新月异的技术进步，过严、过早的规制会极大提高创新和新兴产业的成本，也不利于今后建立统一监管标准。27陈志、张亮亮：《新时代颠覆性创新规制研究》，载《现代管理科学》2018 年第10 期，第7 页。

三、数据规制的实证基础与模式选定

无论是作为立法方法的归纳法，还是作为立法价值考量的效益原则和适配原则，都以立法规制对象自身的实证分析为起点。关于数据立法的研究，权利理论的阐释、具体权能的设计固然需要，但是回归大数据自身所处的发展阶段，考证数据规制与自律的发展状况，总结数据失范与救济选择的倾向，更应是我们选定数据规制模式的根基所在。

（一）大数据产业与技术的实证分析：初级抑或成熟的判断

第一，大数据产业环境不断优化，但全局性的数据治理体系尚未形成。在国家顶层设计上，党的十八届五中全会提出“实施国家大数据战略”。2015年8月，国务院发布《促进大数据发展行动纲要》，明确“加快建设数据强国”的总体目标。2017年10月，党的十九大报告强调“推动互联网、大数据、人工智能和实体经济深度融合”。截至2018年4月，国务院及各部委共出台23项综合及单项大数据发展政策。28参见李爱君主编：《中国大数据法制发展报告》，法律出版社2018 年版，第57 页。国家层面的战略规划，为我国大数据发展提供了纲领性指引，创造了良好的外部环境。随着大数据战略的推进，政府和企业逐步重视数据治理的重要性，但自上而下、协调一致的全局性数据治理体系还未建立。较为突出的问题是数据发展的区域协同、行业协同、企业协同不足。在区域协同方面，各地政府规章制度不一，大数据管理与共享规则存在区域局限。在行业协同方面，受行政垄断和商业利益所限，条块分割、以邻为壑的问题突出，跨行业的数据鸿沟、信息孤岛依然存在，数据共享的担忧和顾虑较多。在企业协同方面，企业的信息系统建设烙印着企业规模和信息技术的发展轨迹，普遍存在各系统间数据标准和规范不同、信息相互不通等问题，致使系统的协同性等问题越来越显著。29甘似禹等：《大数据治理体系》，载《计算机应用与软件》2018 年第6 期，第2 页。

第二，大数据融合应用日渐丰富，但核心技术与支撑能力不具优势。大数据的核心价值不在于对海量数据的持有，而是通过大数据分析挖掘技术进行融合应用，发挥市场需求分析、生产流程优化、供应链与物流管理、智能客服等功能。2018年我国大数据产业结构中，从事大数据分析挖掘业务的企业最为集中，所占比例高达63.7%30参见赛迪智库：《开源仍是大数据技术创新重要模式》，载《软件和集成电路》2018 年第12 期，第64 页。，居于产业份额首位。与行业应用拓维增效形成对比的是，我国大数据关键技术的国际竞争力却不尽如人意。从布局实力分析，国内外差距明显：国外领先企业掌握核心重要专利，布局全面；国内专利持有情况分散，多数企业对底层平台技术关注度低。31沈滢、张倩：《大数据关键技术专利态势研究》，载《电信网技术》2017 年第3 期，第46 页。技术创新与支撑能力依然不够，我国无论是新型计算平台、分布式计算架构，还是大数据处理、分析和呈现方面与国外均存在较大差距，总体上难以满足各行各业大数据应用需求。32中国信息通信研究院：《大数据白皮书（2018 年）》，第4 页，载http://www.cac.gov.cn/2018-04/25/c_1122741894.htm，最后访问日期：2019 年8 月18 日。

第三，大数据交易勇开历史先河，但确立规范与走向成熟仍需积累。2014年12月31日，贵阳大数据交易所设立，成为我国乃至全球第一家大数据交易所。数据交易没有国际先例可循，该所首创“十大标准及规范”“八大交易规则”，发布了《贵阳大数据交易所702公约》（以下简称“702公约”）等成果33参见贵阳大数据交易所官网，载http://www.gbdex.com/website/，最后访问日期：2019 年2 月22 日。，完成了数据交易从0到1的过程。然而，为了解决隐私保护及数据权益问题，贵阳大数据交易所“交易的数据不是底层数据，而是基于底层数据，通过数据的清洗、分析、建模、可视化出来的结果”34贵阳大数据交易所推出《数据确权暂行管理办法》及《数据交易结算制度》，载http://www.cbdio.com/BigData/2016-10/08/content_5312280.htm，最后访问日期：2019 年2 月21 日。，“划定绝不交易国家机密、商业秘密、个人隐私的数据，涉敏底层数据必须清洗脱敏方可交易的底线”。35《历经三年多探索，贵阳大数据交易所创新数据交易模式》，载http://baijiahao.baidu.com/s?id=1605043677210341008&wfr=spider&for=pc，最后访问日期：2019 年1 月20 日。从交易额度和交易内容看，截至2015年底，贵阳大数据交易所交易金额已突破6000万元人民币；36贵阳大数据交易所：《2016 年中国大数据交易产业白皮书》，载http://www.cbdio.com/BigData/2016-06/02/content_4965656.htm，最后访问日期：2019 年3 月25 日。2018年5月，225家数据源已经接入贵阳大数据交易所，可以交易的数据产品超过了4000个。37大数据战略重点实验室编：《数化万物：2018 中国国际大数据产业博览会全记录》，当代中国出版社2018 年版，第462 页。本文认为，将交易内容限定为非底层数据只能是发展初期的权宜之计，这一限定忽视了底层数据中大量非个人数据（如工业大数据、农业大数据中的非个人数据）的存在和价值，将所有底层数据排除在交易内容之外明显欠合理。2018年10月4日，欧洲议会正式通过欧盟《非个人数据自由流动条例》38吴沈括：《欧盟〈非个人数据自由流动条例〉研判》，载《网信军民融合》2018 年第10 期，第43 页。，标志着国际数据治理对象逐渐从个人数据延伸到非个人数据，我国对非个人数据的认知、研究和流通探索亟待加强。此外，现有数据交易划定绝不交易个人隐私的底线，明确个人隐私保护规则，但个人隐私并不等同于个人信息。是否可以交易具有识别性但不涉及个人隐私的非敏感数据，我国的交易实践均未涉及，需要在平衡经济和社会成本的基础上确立更为灵活的数据交易规范。

总体而言，在全球范围内大数据技术经过萌芽期已进入应用发展期，但还未到达成熟期。从实证分析情况看，我国大数据产业和技术整体仍处于初级发展水平。按照科技立法适配原则的要求，当前我国大数据的规制应当突出引导鼓励和弱约束的主基调。具体到数据的规制模式而言，立法赋权模式必然需要明确的权利边界和精密细致的权能体系，而权利一旦设定即具有天然的防御功能，对数据相关行为具有强约束的特征，与我国当前大数据的发展阶段并不适配。从基础条件看，立法赋权模式呼吁的个人数据权、数据资产权等赋权主张，只有在大数据产业发展成熟完善、数据行为规范形成普遍共识、数据权利的类型化程度较高时才具备实施条件（届时如仍然有赋权必要的话），当前在数据自身运行规则尚不完备的情况下，立法赋权难免僵化、固化数据产业的发展路径，制约技术的发展增效，显然与立法效益原则相悖。

（二）大数据立法与自律的实证分析：保护不等于权利化

首先，我国借鉴国际社会数据保护主要原则，但对其立法目的的理解存在偏差。国际范围内，关于数据保护的研究主要围绕个人数据展开，具有重要影响的个人数据保护立法或国际规则主要包括：世界经济合作与发展组织（OECD）《隐私保护和个人数据跨境流通指南》（以下简称《指南》），欧洲委员会《个人数据自动化处理中的个人保护公约》（以下简称《个人数据公约》），欧盟《数据保护指令》和《一般数据保护条例》。纵观国际社会个人数据保护规则，立法目的都包括个人数据保护与促进数据流通两个方面。OECD《指南》在第二部分确立个人数据保护“八项原则”的同时，在第四部分确立了“数据自由流通和合法限制原则”。《个人数据公约》在前言部分开宗明义地提出“协调尊重隐私与保障信息自由流通两者的基本价值”。《数据保护指令》则是在第1条同时强调了保护权利与数据自由流通的目标，《一般数据保护条例》也在第1条作出类似规定。目前，我国已形成多层次、多领域、内容分散的个人数据保护法规体系。比较有代表性的法律文本包括：2012年12月28日《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《民法总则》第111条、《刑法》第253条之一“侵犯公民个人信息罪”。虽然我国个人数据保护主要原则与上述国际规则趋同，但在立法目的和价值取向上却存在较大差异。现阶段，各种讨论的侧重点都放在了保护上，比如网络安全、个人信息保护、隐私的尊重、数据利益的归属等都是立足于保护。39宁立志：《大数据的性质及其知识产权因应》，载大数据战略重点实验室编：《数化万物：2018 中国国际大数据产业博览会全记录》，当代中国出版社2018 年版，第469 页。我国几乎所有涉及个人信息的法律均规定，非经个人同意不得收集和使用个人信息，这意味着个人信息成为个人可排他支配的对象，一切未经同意的使用均构成侵权甚至犯罪。40高富平主编：《个人数据保护和利用国际规则：源流与趋势》，法律出版社2016 年版，第142 页。在对国际规则的借鉴移植过程中，我国对其立法目的和价值定位研究不足，导致我国个人数据立法突出强调了个人数据的严格保护，却忽视了数据流通的价值目标，现有立法对数据流通只字未提，这显然与大数据时代和数字经济的发展要求不协调。

其次，我国采取基本原则与具体规范相结合的立法模式，没有将数据确立为一项权利。从立法架构看，OECD《指南》在确立八项基本原则的基础上，用专章明确了数据控制者的实施责任；欧洲委员会《个人数据公约》在第二章确立“数据处理合法性和数据质量”等几项原则，然后分别规定数据主体权利、数据控制者义务等内容，设定相关主体的行为规范；《数据保护指令》与《一般数据保护条例》采取类似架构。以上文本的结构都是首先确立个人数据保护基本原则，然后明确数据主体的“可为”与数据控制者的“不可为”情形，确立相关主体行为规范。虽然这些法律文本在具体行为规范中赋予了数据主体（个人）一定的权利，但是个人并没有因此取得可以排他控制其个人信息的权利。个人数据保护没有被上升为一种权利。41同注释40，第3 页。我国现有个人数据保护立法与以上立法的架构一脉相承。我国《全国人民代表大会常务委员会关于加强网络信息保护的决定》（以下简称《决定》）规定了收集使用公民个人电子信息应当遵循“合法、正当、必要”的总原则，同时要求明示收集使用信息的目的、方式和范围，赋予被收集者知情同意权和信息删除权，规定了信息收集者安全保障等义务。此后，《消费者权益保护法》《网络安全法》以及征信、电信、邮政等领域法规、规章基本采纳该《决定》的相关内容，规定了不同领域的行为规范，由此构建了“基本原则+具体规范”的个人数据保护体系。作为民事基本法的《民法总则》第111条明确了依法保护个人信息的总原则，同时采取行为排除式立法设定了具体行为规则，但没有确立个人信息权。2018年9月，《个人信息保护法》《数据安全法》被列入第十三届全国人大常委会立法规划，法律名称并未采取“个人信息权法”“数据权法”等表述，突出的仍然是“保护”和“安全”而非设权、赋权，一定程度上也反映了立法机关在赋权方面的审慎。

最后，大数据自律机制探索成效明显，展现出充分的灵活性和强大的生命力。大数据自律机制是一种立足于市场机制、依赖市场主体自发自觉、自下而上形成的旨在约束数据收集、处理、交易等行为的机制。团体或行业的自律规范、各类技术标准是自律机制的重要表现形式。自律规范方面，我国主要的大数据服务机构都进行了有益探索。上海数据交易中心发布了《数据互联规则》《个人数据保护原则》《数据流通禁止清单》等五个交易准则与标准。42上海数据交易中心交易相关准则与标准，载https://www.chinadep.com/standard.html，最后访问日期：2019 年2 月24 日。贵阳大数据交易所出台了“十大标准及规范”“八大交易规则”“702公约”等规范，倡导发起“大数据不作恶同盟”。技术标准方面，与大数据有关的国家标准、地方标准陆续出台，行业和团体标准也在积极探索推出。2014年12月2日，全国信息技术标准化技术委员会大数据标准工作组正式成立。截至2018年3月，该工作组已发布6项国家标准，3项国家标准正在报批阶段，15项国家标准正在研制。上海、广东、湖北等地方形成三十余项地方标准，主要集中于资源开放共享、政务大数据领域、重点行业等。43中国电子技术标准化研究院、全国信息技术标准化技术委员会大数据标准工作组：《大数据标准化白皮书（2018 版）》。已发布的国家标准包括：2017 年11 月1 日发布的《信息安全技术 移动智能终端个人信息保护技术要求》（GB/T 34978-2017），2017 年12 月29 日发布的《信息安全技术 个人信息安全规范》（GB/T 35273-2017），2017 年12 月29 日发布的《信息安全技术 大数据服务安全能力要求》（GB/T 35274-2017）。

总体而言，我国已经初步形成立法规制和行业规制并存、他律与自律相结合的大数据规制架构，但当前立法片面强调数据保护、忽视数据流通的时代要求，折射出数据立法理念较为滞后的问题。保护只是事物的一方面，将来数据的分享、共有可能是更重要的另一方面。44同注释39。立法赋权模式以“保护”为出发点和落脚点，制定一部权利保护法是其立论目标。权利保护法通常以设定权利、明确权能为主体内容，即使涉及数据共享、流通、合理使用等内容往往只能通过例外规定加以解决，由此决定其立法架构仍可能以保护为主、开放共享为辅，这与数字经济的发展趋势不相协调。经过国际国内数据立法的实证考察，立法赋权模式没有国际先例可循，我国学界关于数据权利化的主张对国际规则存在一定误读，其重保护、轻流通的价值取向与大数据的开放利用要求难以匹配。此外，大数据所涉主体复杂，客体具有不确定性。产权界定非常困难，既不经济，也不切实际。45同注释39，第471 页。近现代社会，随着公民权利意识不断增强，权利本位观念导致有些本应作为法益存在的利益被人为地上升到了权利的地位，德国将营业利益上升为营业权的做法正是一个遭受诟病的例子。由于营业权表现为企业经营活动中有形财产和无形利益的集合体，它是一个内涵复杂的动态概念，难以被民法上静态的权利概念涵盖。为此，德国学者Larenz主张放弃这项“权利”，尽管它已受到了习惯法的保护。46王泽鉴著：《侵权行为法（一）》，中国政法大学出版社2001 年版，第181 页。作为数据集合的大数据，其动态性特征与营业利益如出一辙，缺乏民事客体应有的确定性、特定性和独立性，对数据赋权的逻辑风险难以消除。反观之，在行为规制模式下，通过确立必要保护与开放共享并重的总原则，划出个人敏感数据保护的行为红线，设置数据收集利用的行为底线，构建数据行为规范体系，不仅立法成本更为经济，也更符合促进大数据产业发展的效益原则。在行为规制的立法探索方面，已有值得我国关注和借鉴的例证。2018年5月30日，《日本反不正当竞争法》增设的“限定提供数据”条款以及相关条款正式公布，并于2019年7月1日起正式实施。47刘影、眭纪刚：《日本大数据立法增设“限定提供数据”条款及其对我国的启示》，载《知识产权》2019 年第4 期，第95 页。日本在此次大数据立法过程中，面临着多种利益平衡、基本立场设定和规制路径选择等问题，其取舍思路和最终选择彰显了行为规制模式在数据保护方面的适恰性。全球各国关于数据交易、流通开放的规则都在探索之中，在没有充足市场经验积累的情况下，把大数据的约束问题交给更具灵活性的自律机制，通过探索、试错、反馈形成普适性的行为规范之后，再上升为法律规范，更符合科学立法原则。

（三）大数据执法与司法的实证分析：救济的失衡与再平衡

刑事保护方面。我国《刑法》设置了多个与数据相关的罪名，主要包括非法获取计算机信息系统数据罪（第285条第2款）、破坏计算机信息系统罪（第286条）、帮助信息网络犯罪活动罪（第287条之二）。此外，专门针对个人数据（信息）保护设定了侵犯公民个人信息罪（第253条之一），针对符合商业秘密特征的大数据实施的犯罪行为，还可援引侵犯商业秘密罪（第291条）进行制裁。从发案情况看，侵犯公民个人信息的犯罪比较猖獗，被窃取的公民个人信息经过加工、转卖，又被用于诈骗、敲诈勒索、暴力追债等下游犯罪活动，社会危害严重。为了遏制侵犯公民个人信息的犯罪势头，2017年5月，最高人民法院、最高人民检察院颁布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，先后两次发布典型案例。2017年，全国公安机关当年累计侦破侵犯公民个人信息案件4900余起，抓获犯罪嫌疑人15,463名，打掉涉案公司164个。公安机关连续两年开展专项打击整治，国内大数据行业违法违规获取数据的行为有所收敛。48《2017 年公安机关侦破侵犯公民个人信息案件4900 余起》，载https://baijiahao.baidu.com/s?id=1589192130172380252&wfr=spider&f or=pc，最后访问日期：2019 年2 月25 日。此外，以侵犯商业秘密罪、破坏计算机信息系统罪保护数据权益的刑事案例也较为常见。不论从案件数量还是实际效果上看，刑事制裁在我国个人信息保护、数据保护方面发挥着举足轻重的作用。

民事司法方面。关于个人数据保护，我国现有立法已经提供了一定的民事救济途径。《决定》第9条规定“被侵权人可以依法提起诉讼”。第11条规定“侵害他人民事权益的，依法承担民事责任”。司法实践中，已有法院依据《决定》第11条判决侵权行为人承担民事赔偿责任。49参见河南省安阳市滑县人民法院（2014）滑民一初字第265 号民事判决书。《民法总则》第111条对个人信息保护作出专条规定，在“王某某等与他人隐私权纠纷案”中50参见北京市门头沟区人民法院（2017）京0109 民初4481 号民事判决书、北京市门头沟区人民法院（2017）京0109 民初4482 号民事判决书、北京市门头沟区人民法院（2017）京0109 民初4610 号民事判决书。，法院直接使用了“个人信息权”的概念，指出“个人信息权是自然人的个人信息不受侵犯的权利”，认定“身份证号码在日常民事交往中发挥着身份识别的重要作用，属于自然人的个人信息”，最终依据《民法总则》第110条、第111条判决擅自公开自然人姓名、身份证号码和银行卡号的行为人承担赔礼道歉的侵权责任。除上述几起案例外，通过私权救济途径保护个人数据的案例再难觅其踪，可谓十分罕见。关于数据保护，《民法总则》第127条已对数据保护作出原则性规定，目前尚未发现援引该条对数据权益进行救济的案例。在市场竞争领域，适用《反不正当竞争法》对数据权益进行保护的案例频见报端。有的纠纷是围绕原始数据的争夺，比如“大众点评诉百度抄袭复制点评信息案”51参见上海知识产权法院（2016）沪73 民终242 号民事判决书。“脉脉非法抓取使用新浪微博用户信息案”52参见北京知识产权法院（2016）京73 民终588 号民事判决书。，有的则是围绕衍生数据产品展开，比如“淘宝诉美景大数据产品纠纷案”。53《全国首例大数据产品不正当竞争案公开宣判》，载https://www.chinacourt.org/article/detail/2018/08/id/3462143.shtml，最后访问日期：2019 年2 月27 日。

行政处罚方面。我国《治安管理处罚法》第29条第1款第（三）项对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的行为规定了拘留的行政处罚措施。从文意解释和体系解释角度看，该款规定旨在处罚破坏计算机信息系统的违法行为，数据作为个人数据、大数据的上位概念，该款规定的“计算机信息系统中存储、处理、传输的数据”自然包括本文讨论的个人数据以及作为数据集存在的大数据，因此，该款可以作为涉数据违法行为的行政处罚依据。但是，鉴于行政处罚奉行严格的法定主义，该款规定的违法行为仅限于“删除、修改、增加”三种，对于针对个人数据惯常实施的非法提供、获取、买卖、公开等违法行为却不能适用，导致我国在个人数据保护上行政处罚缺位。公安部网络安全保卫局有关负责人指出，严重侵犯公民个人信息行为纳入刑罚处罚，但是没有行政处罚的前置性程序，从民事责任直接跨入到刑事责任，跨度太大，出现只有刑法单打独斗的局面，不利于形成合力。54同注释48。

大数据执法与司法实践反映出，我国个人数据保护具有刑事打击为主、行政处罚缺位、私权救济罕见的特征，市场领域的大数据纠纷普遍通过反不正当竞争法寻求救济。在现有研究中，主张立法赋权的理由之一是数据权属不明导致私权救济渠道不畅。但对现有救济途径考察发现，我国数据保护的民事救济渠道自始有之，法律虽未确立数据权利但并不影响权益保护的实施，数据主体的私权救济并无障碍，只是极少选择这一途径。本文认为，数据权益私权救济罕见的现状并非立法所致，而是私权救济在数据保护领域根本不具备广泛实施的基础，主要原因在于个人数据主体提起民事诉讼维权的个人成本和社会成本太大。就个人成本而言，数据主体在耗费时间、精力、金钱进行取证和诉讼之后，法院可能判决的结果是停止侵权和赔偿损失，但数据主体无法获得实质性的“诉讼回报”。在大数据世界，只有知晓与否，没有归属所有。55同注释39，第470 页。在数据已经被披露、被他人感知之后，停止侵权的判决不再具有实际意义；而何为损失、损失大小无从界定，法院要么不支持赔偿损失的诉求，要么在填平原则下判决一个十分保守的赔偿额度，难以匹配数据主体的维权成本。就社会成本而言，个人数据违法涉及的数据量动辄几千上万，甚至百万千万，即使数据主体的私权救济无碍且有维权积极性，社会却可能为此付出超乎想象的司法成本。因此，立法赋权模式设想的以数据赋权为基础的私权保护无法成为、也不应当成为数据权益救济的主要渠道。欧洲、我国香港特别行政区设立专门的数据监管机构，并且不断强化监管机构的职能职权，正是推进数据行为规制、凸显公权担当的有力例证。改变我国个人数据权益救济的失衡状态，方向和出路应当是尽快明确数据监管机构和职能，弥补行政执法缺位的制度漏洞，以此实现救济途径的再平衡。

结语：法益与权利各得其所

在法学界围绕大数据的权属、数据规制模式进行研究的同时，技术领域仍然延续着快速更新的迭代之路。块数据（block data）、秩序互联网（order Internet）等大数据新名词陆续诞生，当前的数据短缺可能很快不再是问题。相反，数据爆炸带来垃圾数据泛滥和数据拥堵困境转而成为新问题，“海量数据悖论”即将成为技术界和法律界必须面对的新课题。随着科技飞速发展和社会的进步，新的民事法益将会不断生成。大陆法系成文法相对僵化封闭，能够上升为权利的法益只能是经过实践证成、类型化程度较高的部分法益。在此情形下，期望在民法中通过民事权利的形式将应当受到保障的民事法益尽数列举的愿望是不现实的。56宗志翔：《论未上升为民事权利的法益》，载《江西社会科学》2012 年第6 期，第156 页。虽然法益可以通过立法者的意志上升为权利，但有的法益适合或者只能长期以法益形式存在，依托行为规制模式并不断充实行为规制制度和行为规范内容才是其理想的保护路径。