大数据时代数据权属分析及其体系构建

刘 新 宇

(上海交通大学 凯原法学院， 上海 200030)

一、问题的提出：数据保护与利用的再平衡

“大数据”(Big Data)概念，最先出现在天文学和基因学领域，后成为互联网信息技术行业的流行词汇。早期，数据是直接产生于被记录者的原始数值，包括个人数据、国家数据和一部分企业数据及公共数据，静态且相对单一，尚不具有巨大的经济价值。随着大数据技术的发展，通过对数据进行收集、存储、关联分析、形成和利用，数据价值实现增值并逐渐使其演变为一种新型资产。有关大数据的定义有很多，但大多数定义均侧重于其对大规模、多样化数据的快速分析与处理应用的技术能力。2012年是大数据技术发展的重要一年，互联网技术的高速发展使得对数据的应用渗透到各行各业，数据的收集、存储、整理与使用已逐步产业化。国务院于2015年通过的《促进大数据发展行动纲要》更是从国家大数据发展战略全局的高度，提出了我国数据产业未来走向的顶层设计。随着大数据的迅猛发展，市场参与者通过创新数据技术掌握了庞大的数据信息，在数据收集、存储、分析与利用的每一环节中，均可通过“加工”实现数据的巨大增值。基于此，大数据演化为一种新型资源与方法，而数据信息也成为被赋予巨大商业价值的新型资产，因此，附着在用户个人数据上的经济价值亦逐渐凸显。

在数据财产化与资源化的背景下，数据经济本身呈现出一种复杂的利益关系：一方面，在用户与经营者之间，用户对于个人信息有保护的需要，经营者对于用户的个人信息亦有数据化利用的需要，即通过对用户个人信息的收集和加工来形成某种数据资产。[1]64另一方面，在数据经营者之间，对用户数据的收集与争夺也是愈演愈烈。

以我国首例大数据不正当竞争纠纷案(1)北京市知识产权法院民事判决书(2016)京73民终588号。为例，该案即可充分体现出这两种冲突关系。新浪微博和脉脉根据新浪微博开放平台的《开发者协议》，通过微博平台开放应用编程接口(OpenAPI)进行合作。双方合作期间，脉脉超出协议内容抓取了新浪微博用户的教育信息、职业信息并进行使用；双方合作结束后，脉脉不仅未删除合作期间获取的新浪微博用户信息，还抓取并使用了新浪微博用户的头像、名称、教育信息、职业信息、标签信息以及用户手机号等。法院认为：首先，在OpenAPI开发合作模式中，第三方获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。脉脉在合作期间超出协议内容获取新浪微博用户信息，在合作结束后，未按协议要求及时删除相关用户信息，且仍将相关信息用于脉脉软件，该行为不符合《开发者协议》的约定。其次，用户信息是互联网经营者重要的经营资源，用户信息不仅是支撑新浪微博作为庞大社交媒体平台开展经营活动的基础，也是其向不同第三方应用软件提供平台资源的重要内容，规范、有序、安全地使用这些用户信息，是新浪微博维持并提升用户活跃度、开展正常经营活动、保持竞争优势的必要条件，故法院认定脉脉的行为违反了诚实信用原则，违背了公认的商业道德，危害到了新浪微博平台用户的信息安全，损害了新浪的合法竞争利益，对新浪构成不正当竞争。虽然本案是通过《反不正当竞争法》来解决用户个人信息数据的使用规范问题，并未明确提及数据权利及其归属，但从其案件案情来看，至少可以发现存在两大问题亟待解决：一方面，是用户对自身信息数据的保护问题，即用户信息是消费者个人合法权益的重要组成部分，用户有权在充分表达自由意志的情况下向他人提供自己的信息或不提供信息，也有权充分了解他人使用自己信息的方式、范围，并对不合理的用户信息使用行为予以拒绝，在用户不知情的前提下，对其信息数据的收集与使用是否符合法律规范；另一方面，是企业之间对信息数据的规范与运用问题，即用户信息是互联网经营者重大竞争利益的体现，掌握更多用户信息，通常意味着拥有更大的用户规模，用户信息是经营者分析整理用户需求，开发特色产品和服务的重要来源，具有巨大商业利益的用户信息数据，如何在企业中合理规范地使用亦是难点。此时，明确用户个人信息数据的权利主体、权利属性及权利内容，便是解决该类问题的突破点与关键点。尽管不少国家的法律对个人数据的保护有相应的规定，但在数据交易中，数据的权利属性和内容尚未明确，各方对于自身应享有的权利、应履行的义务和具体的权利救济措施尚未形成统一的认识。在司法实践中，对数据资源的认识与保护也不尽完善，如在国内cookie技术与隐私权纠纷第一案即“百度隐私侵权案”(2)南京市中级人民法院二审民事判决书(2014)宁民终字第5028号。中，法院认为，网络服务商或数据从业者的抓取收集行为不符合利用网络公开个人信息侵害个人隐私的行为特征，这在某种程度上明确了这类市场参与者在收集利用个人信息方面有相当大的自由空间。在立法层面，2012年全国人民代表大会常务委员会通过的《关于加强网络信息保护的决定》明确了公民个人身份和涉及公民个人隐私的电子信息受保护，赋予用户自己的个人信息一种类似具体人格权的地位，其中最重要的是具有排除他人非法获取、非法提供的权能。这实际上是将个人信息视为用户的一种绝对利益，并以此简单立场来处理用户和经营者之间关于个人信息保护及利用的问题。2016年颁布的《网络安全法》明确了网络运营者、网络运营商收集、使用个人信息须遵循的原则以及删除权等制度，这在某种程度上重塑了个人信息保护关系，并破除了个人信息人格权保护的绝对格局，但仍未涉及数据的定位以及利益关系等问题。在《民法总则》的制定过程中，立法虽意识到数据资产的特殊性，但在对数据资产和网络虚拟财产的法律属性及定位存在较大分歧，几易其稿，并未形成立法定论，仅在第111条(3)《民法总则》第111条：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”中明确自然人的个人信息受法律保护，并在第127条(4)《民法总则》第127条：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”对数据与网络虚拟财产的保护进行开放式授权。

基于市场利益驱动，数据的稀缺性和价值属性不断显现，数据产业链中的主体因对数据开发利用而纷争不断，亟须法律对数据规则加以调整，以便适应大数据时代的需求。[2]79大数据时代数据权属分析和保护问题研究已经成为亟待解决的基础性理论问题，现阶段对个人信息不完整、较零散的研究体系，导致其权利构建无法满足数据流通层面的要求，这将严重制约数据产业的发展以及数据的流通与利用。本文拟从数据权利证成出发，结合大数据时代对数据流通与保护的需求，针对不同类型的数据设定不同的权属安排和保护规则，从而探讨出较为合理的、适应市场的数据保护与利用方式，在数据的利用与保护之间寻求平衡点。

二、数据权利赋予之法律证成

解决涉及数据的争议性问题，首先应当从现有法律框架出发，探究其是否能在现有权利框架下得到解释与解决。若此方式并非合理的问题解决路径，便只能从数据本身出发，分析其是否能够成为一种新型权利且应当得到保护，此为数据权利证成之不二法门。下文将通过对数据权利与知识产权、物权的比较，排除其被涵盖在现有权利框架下的可能性，并基于对数据的客体属性进行分析，完成对数据权利在法律层面上的证成。

(一)数据权利非现有权利框架下的产物

1．数据权利不是知识产权

有观点认为，可以将数据纳入知识产权的保护范围，即数据信息作为一种特殊的权利客体，有可能成为著作权和商业秘密保护的对象，对于具有独创性的数据，可以依据《著作权法》第14条规定的汇编作品进行保护；对于无独创性的数据信息，可以适用《反不正当竞争法》有关商业秘密的条款进行保护。[3]然而，特定情形下的数据信息由于既不具备《著作权法》所要求的作品的“独创性”，又不具备商业秘密所要求的“秘密性”，难以通过著作权或商业秘密的条款进行保护。[4]

根据《民法总则(草案)》第108条规定，数据信息被划分为知识产权的客体，数据信息权利人可以依据知识产权对自己的合法权利加以保护。但是该款规定在《民法总则》的审议中最终被删除，并未将数据信息纳入知识产权范畴，而是进行概括性、宣示性的规定，具体规制交由其他法律进一步细化。

笔者认为，基于以下两个方面的考虑，不能将数据权利纳入知识产权领域：一方面，我国《著作权法》严格要求作品的独创性或原创性，而大数据企业从用户处获取或者通过爬虫技术等抓取、汇集的数据，如购物偏好、信用记录等，很难被认定具有这方面的特性。即便某些“数据库”作品是因为内容选择或编排而具有独创性，但其权利仅能涉及汇编作品所享有的对于信息的“选择”和“编排”方面的权利，而难以延伸到数据本身。另一方面，运用商业秘密保护数据与大数据时代数据开放共享相冲突，其不利于大数据产业的发展，因此若将数据纳入知识产权范畴保护，无法准确、全面地界定数据的权利属性。

2．数据权利不是物权

有观点认为，根据“物质构成要素两分法”理论，即对社会物质构成要素采用人与物两分法，[5]主张将数据纳入物权领域，认为数据是存放于物理设施中能呈现信息的电磁记录，且能被物理设施所固化，可被物理设施和软件搜寻、识别和呈现，加之传统民法中物必有形的观点，会随着信息时代所产生的数据而得到拓展，因此，对数据所享有的权利即属于物权。[6]

数据作为一种兼具无形性与共享性的数字符号，不同于传统社会中“物”所具有的有形性、可支配性和排他性的特点。数据不同于“有形物”，对其排他性占有的成本过大，也不能纳入到以对特定的物享有直接支配和排他为特征的物权的保护范围之中，[7]且现行法律规范尚未对无体物进行明确规定。此外，数据本身的性质决定了数据的交易并不必然转移数据的所有权，与传统物经销售必然转移所有权具有明显差异，因此将数据纳入物权范畴无法合理、准确、全面地界定数据的权利属性。

目前，在大数据交易实践中，数据收集、加工、分析和交易环节所产生的纠纷，其处理方式主要是将数据作为债权的客体，比如数据进行汇集处理后产生的大数据集合，或者数据加工后产生的结果信息，是通过协议的方式进行自由交易和流动。[8]但在大数据迅猛发展的时代，受限于合同的相对性和债权的相对性，仅仅依据债权来规制与数据相关的法律关系是远远不够的。作为一种极具经济价值的新型资源，现有的法律规定、民法理论体系都无法全面准确地界定数据的法律属性，因此有必要针对数据本身完善权利框架和相关理论研究。

(二)数据权利证成之关键：客体属性

法律上的权利义务必有其主体，亦必有其客体。主体为权利义务之所属，客体为权利义务之所附；主体非人莫属，客体则依权利的种类不同而不同。[9]数据权利是否成立，应根据其客体是否具有权利客体的特征来判断，即研究数据民事权利的关键在于数据是否具有民法上客体的特征。数据权利的客体是指数据权利中的权利义务所指向的对象，即“数据”，即应探讨数据作为一种客观存在是否能类似于“物”而成为民法上的客体。[10]

数据是用户因自身或其他网络行为所形成的以符号为载体的记录，数据通常呈现出非物质性且形式多样的特点。实践中，数据与信息经常混淆使用，比如我国现行立法多称之为信息，严格来讲，数据是对事物、状态等的记录，所承载的内容有信息和非信息，数据与信息应是包含关系，信息是数据经过加工处理后得到的另一种形式的数据，其内涵和外延均要小于个人数据。[11]信息的载体也可以是数据的载体，其表现形式可以是图形或者其他符号。

对数据的全面理解可由以下几个方面组成。首先，数据作为一种新型的非物质性的资源，存在于人体之外，具有独立性。其次，数据的媒介特性决定了数据是无体的，“体”是自然界固有的，是物质的，必须依赖于一定的载体为存在条件，而数据没有特定的实体，且无色无味无质量，[12]仅需通过数字化系统工具而非物质载体即可以多种形式呈现，故数据权利属于无体财产权。复次，类似于知识产权中的独占性，数据作为无体物，其数据主体无法实际占有、控制和利用，其独占性主要是通过法律来实现，比如欧盟数据可携带权的权利主体有权就其收集处理的个人数据获得对应的副本，并在技术可行时要求控制者将个人数据传输。[13]又次，数据能够与形式媒介实现观念和制度上的分离，并具有独立的利益指向。最后，数据是现代社会的战略资源，在实践中具体的数据应用所对应的事实行为成为权利客体，数据以其所含内容来界定权利义务关系，具有民法上“无体物”作为权利客体的特征。数据的内容确定且相对稳定，作为一种有市场需求的新型资源，需要通过法律规范进一步赋予其权利地位。

全面、完整、相关的数据来源是进行大数据分析的前提，是发展大数据产业的基础，而数据权利的界定与明确则是数据获取、交易制度的核心，对数据权利地位的确定无论对于交易事前的搜寻成本、议价成本和缔约成本，还是对于事后的监督、执行成本，都有可观的效用，即明确数据权利是对其进行保护与利用的必经之路。

三、新型数据资产调整模式之域外考察

数据权利的本质内容是，在数据经济时代下，如何确定数据保护和利用的调整思路，如何分配数据这一新型资产所带来的巨大经济利益并促进数据的流通。通过上述对数据权利属性的分析可以看到，国内现行法律框架对数据权利体系的构建存在偏差，尚未足够重视数据权利客体的财产属性，并且，在具体的数据收集、加工与利用过程中，用户与数据经营者之间的利益难以平衡。在对数据资产的研究上，最具代表性的是美国与欧盟，两者采取不同的模式来调整数据的保护与利用，以此平衡用户与数据经营者之间的关系，并基于此形成对应的权利体系。

(一)美国模式：以分散式规定为主的宽泛保护模式

美国作为互联网起源之国，早在1973年就发布了一份名为《电脑、记录和公民权利》的政府报告，明确提出所有数据系统应遵守《正当信息规则》。在个人信息立法方面，美国对涉及个人信息的私主体关系和公权力关系分别采取“分散式立法”与“行业自律”的方式。尤其是在公权力领域，“棱镜门”事件促使人们对个人数据背后隐藏的巨大商业价值与政治利益有了更清晰的认识。在立法上，从政府机构行为、特定主体的隐私权保护以及特定领域或事项的隐私对信息保护进行细节化规定，[14]具体表现为：在公共范畴内制定《信息自由法》和《隐私法案》来限制政府等公权力对个人信息权利的侵犯；在金融、电信、医疗等行业领域的市场管理规则中针对不同情况规定了不同的个人信息保护条款。一旦实践中涉及具体的数据纠纷，美国通常采取的做法是，原则上援引现有判例法中关于隐私侵权的规定，来处理互联网上用户个人信息的规范定位和法律地位问题，借此保护用户个人信息和规范数据经营者的行为界限，但同时也会根据市场对数据流通与利用的实际需要进行一定的变通，从而更加务实地调整用户与数据经营者之间基于个人信息产生的利益关系，从而在数据保护与利用之间达到再平衡。

随着互联网产业的愈加成熟，美国司法实践更加重视数据经营者在数据产业中的推动作用，对隐私权的绝对保护模式尽可能地进行变通。如美国法院在认定数据经营者的行为是否侵犯用户的个人隐私时，通常要求涉案信息是“极为重要”的隐私信息，但对于哪些网络个人信息非属“公开”以及哪些属于极为重要的隐私的认定，法院采取的是愈加放宽的态度。[15]这为市场留出较大的行为空间，从而确保既能保护用户信息，又可支持数据经营者的加工与二次利用行为。数据经营者为了不断突破一般隐私权的消极性，积极采取多种方法取得用户协议同意，以便尽早获取数据资源从而抢占市场优势地位。

现阶段，美国对于数据保护与利用的司法实践通常都是个案规范解决，很难形成指引性和规范性的解决路径，但同时对将数据纳入某个权利体系也很难达成共识，在《记录、计算机和公民权利》报告中，美国健康、教育和福利委员会曾基于绝对保护思维提出制定《公平信息操作法》并提交了相应草案，主张不能秘密储存，必须保障用户知情、同意、修改、删减以及安全的利益，但因美国立法权与立法机制的有限以及网络服务商的集体抵制，该草案最终未能生效。现阶段全球已有90多个国家制定了个人信息保护法，其中以欧盟的《通用数据保护条例》为典型，而美国联邦始终未能出台统一的个人信息保护立法，也未能设立统一的相关独立监督机构。

(二)欧盟模式：确权式独立立法的严格保护模式

1995年，欧盟制定的《数据保护指令》已确立了数据保护基本框架和规则，此后又制定实施了《隐私保护指令》《Cookie指令》等，进一步强化对个人数据的保护。但一直以来，欧盟内部并未形成统一的数据保护制度体系。[16]成员国内部的历史文化与法律基础不同，从而形成不同的数据保护制度，后又因法律实施过程也不同，造成各成员国的数据保护水平差异较大，导致数据流通存在障碍。随着大数据的发展，维护数据主权成为国家主权的重要内容。为了打破数字经济壁垒和建设内部单一数字市场，欧盟制定了个人数据保护法，即《通用数据保护条例》。因此，欧盟个人数据的保护立法经历了以个别国家为先导，如1970年德国通过了世界上第一部数据保护法，到国际和国内立法并行，再到国际立法融合国内立法，在欧盟层面构建统一的数据保护体系的发展过程。[17]

与美国相比，欧盟通过或颁布的立法或指令，显得更加积极，它是站在确立个人信息人格权并予以较为严格保护的立场来解决问题的。在司法实践中，其具体的做法是赋予个人信息以人格权地位，重点赋予了查阅权、拒绝权等具体权利，将其提升至基本权利的高度，同时适用消费者特殊权益保护，并推导设立严格的数据行为规范，建立专门保护监督机构，[1]74这往往会使互联网企业活动范围有限，忽视数据经营者对数据的现实需求。随着企业和数据经营者使用个人信息需求的增长，欧盟逐渐认识到数据的市场价值，并呈现要求放宽的趋势，比如将个人信息权中消极人格权向积极人格权加以调整，同时鼓励并允许用户通过合同方式与数据经营者就数据收集利用问题达成合意，但在立法中，仍然体现出强大的法律传统保守力量，即便是最新制定的《通用数据保护条例》，也因出于美国对数据主权的威胁等考虑而持有自保的考量。

(三)以用户为中心的单边保护框架之弊端

在个人信息保护与数据利用的平衡方面，无论是美国的分散立法式数据保护模式，还是欧盟综合立法确立个人信息人格权保护的方式，均是将用户认定为数据的唯一主体，并基于此构建权利体系，更多地关注数据背后传递的公共价值与个体关切的意义，而不是其背后巨大的市场价值，这也正是以用户为中心构建个人信息单边保护框架存在且具有一定影响力的原因。

在国内传统法律框架下，尚未制定统一的信息或数据法，与信息相关的政策法规更多地体现在对个人信息和隐私的保护上，所设计的权利体系是多层面的、多类型的，缺乏统一整合性，同时也缺乏可操作性。实践中若是产生纠纷，通常做法是将个人信息纳入隐私权或某一种独立人格权加以保护，同时考察用户与数据经营者之间是否通过协商建立有关数据的债权债务关系，并以此认定数据经营者的行为是否侵权。然而，基于此种以用户为中心的单边保护框架，即用户为数据权利的唯一主体思考路径，亦存在以下三方面问题难以得到论证及解决。

首先，此种单边保护框架以“知情同意”为核心，然而，这一核心机制已在大数据时代遭遇严峻挑战。原因有三：一是用户的同意通常为被迫同意，用户并无实际的控制权，且权利的行使日益困难，为使用产品或服务，用户往往除点击同意之外并无其他选择。[18]二是用户的同意大多也为敷衍同意,信息创新利用的目的往往难以在收集时所预知，为遵循法律要求，机构往往列出冗长艰涩的隐私声明，在现实中，用户往往越过隐私声明直接点击同意，隐私声明沦为一纸空文，“以用户为中心”名存实亡。[19]三是该种方式实为一种效率低下的选择，个人数据信息所包含的隐私利益的琐细性、模糊性和双重性，使得数据信息的个人主体很难针对每一次个人数据信息的收集、传播或者使用做出及时精确的判断，因此，以个人意愿来决定该数据信息使用的合法性往往使得数据信息所有人处于要么全部拒绝要么全部同意其使用的两难选择之中。而如果拒绝服务方有关个人数据信息使用的协议，则意味着无法接受服务方的相关服务，因此，个人一般都是不得不简单地接受这种协议。[20]

其次，仅仅赋予用户以数据权利主体资格已不能满足数据经济时代发展的需要。单边保护框架强调保障用户对其个人信息的控制，然而在大数据时代中，用户信息自离开用户的那一刻起，用户便不能也无法控制其信息，此时规范对用户信息的使用才是问题的关键，否则，其只能限制个人信息的流通开发及创新应用，因此，以“知情同意”为核心的单边保护框架作为保障个人信息的基础性机制已经走向穷途末路。[21]

最后，从数据权利的特点来看，其包含了多元主体与多样权利。个人、集体用户对于底层数据有着绝对权利，这是人格权赋予的权利，是法律所规定的基本权利，任何人、组织不得侵犯；国家对数据行使国家主权也是受到法律所规制的，并不是任何时候都可以行使，必须在涉及国家安全、公共利益时才能启动该程序，这是受限制的权利；[22]企业在获得底层数据使用权的同时也受到了限制，必须尽到看管义务。故而从权利主体来看，数据权利基于数据这一客体，涉及了多个主体的权利集合，绝不仅仅停留于用户这一个层面。自然人对个人数据的权利并非物权等可以积极利用的绝对权，只有在侵害该权利而导致其他民事权利被侵害时，才能受到侵权法的保护。而数据企业对个人数据的数据权来自于其合法收集、存储并支付了对价这一事实行为。[23]174故而，从用户和数据经营者两个层面来考虑构架数据权利的保护框架，既是权利本身的应有之义，也是大数据时代数据运用创新的大势所趋。

四、数据权利体系的双边构建及展开

以用户为中心的单边保护框架所存在的种种弊端，使我们不得不将视线转移到用户和数据经营者两个层面进行考量，即构建双边保护框架，以应对单方保护框架的漏洞和弊端。下文将通过对双边保护框架现实基础与理论基础的夯实，奠定双边保护框架的法律支撑，并基于此路径，分别对用户与数据经营者所享有的数据权利的具体内容进行分析与明确，从而进一步搭建数据权利双边保护之框架，达到平衡数据保护与利用之初衷。

(一)数据权利双边保护框架之构造基础

1. 现实基础：数据权利的双向性

大数据时代背景下，数据作为一种新型资源发展迅速，以用户为中心的个人信息单边保护框架已无法有效地调整数据保护与利用之间的复杂利益关系，因此，新型数据权利体系的构建显得尤为必要。数据经济是一种双向动态结构，且在产生重要经济价值的数据收集、存储、加工、利用等环节中，用户授权或协议同意数据经营者进行数据采集，数据经营者则通过开展集合加工等活动实现数据的资产化，因此，在构建数据权利体系过程中，应注意同时兼顾双方主体的市场价值与利益驱动。

对于数据权利而言，其保护对象可分为个人信息和数据资产。个人信息对应的是因用户自身或是基于其他网络活动所产生的个性化初始数据，用户作为数据的实际生发者，应享有具体且确定的人格利益和财产权益。而数据资产，是由专门的数据商或者是其他依法从事此类活动的市场主体通过合同或授权的方式获得用户的初始数据，并通过数据的集合、加工、利用或交易形成的各类具有效益或收益的数据资产，如形成分门别类的数据库、数据平台等。[1]74在数据经济的全部环节中，大数据时代使原本不相关的信息通过数据挖掘、商业智能等技术实现有价值的信息关联，并可追溯从而掌握个人隐私信息，若缺乏必要的法律规范，将会产生严重后果。鉴于此，在构建数据权利体系过程中，注意其所呈现出的双向动态的特点，并着重考虑数据经营者的行为自由，为市场活动的开展留出足够的空间。

2. 理论基础：数据财产化理论

在传统法律架构中，主要是从用户角度出发，个人信息被简单纳入隐私权或者人格权中，并且强调只能基于用户的“知情同意”才可允许数据经营者收集、加工与处理数据，从而形成一种“绝对保护”模式。[2]79但在当前数据经济背景下，数据资源越来越体现出巨大的经济价值，单纯人格权或隐私权保护的简单立场不能适应互联网日益发展的需要，数据交易过程中的权利保护和利益驱动很脆弱。因此，数据权属问题进一步成为关注焦点，其中以数据财产权益作为平衡个人信息保护与数据产业发展的新方式，有助于激发市场的活力。

数据财产化理论最早是由莱斯格在1999年出版的《代码和网络中的其他法律》一书提出的。莱斯格认为，应认识到数据的财产属性，通过赋予数据以财产权的方式，来强化数据本身的经济驱动功能，以打破传统法律思维下依据单纯隐私权或信息绝对化过度保护用户，而限制、阻碍数据收集、流通等活动的僵化格局。对于数据财产权的赋予对象是用户还是数据经营者，在这一问题上，莱斯格认为应将数据财产权赋予用户，这更符合市场效率和提升数据产业的交易秩序。试想，若是赋予数据经营者以数据财产权，那么用户需花费大量成本才能掌握其个人信息被收集和利用的行为且只能采取事后救济的方式，同时还会陷入集体行为的困境，这在某种程度上提升了企业的监控成本。一旦通过法律确定了用户对自身数据的财产权利，那么，数据经营者在收集、使用数据前需主动与数据主体直接或间接进行协商并达成合意，这不仅能促进个人信息的保护，同时也能改变用户在数据市场中的地位，使其获得一定的议价能力。

另外，现代社会越来越倾向于事前预防机制，用户拥有数据财产权能够预防大规模损害公民个人数据现象的发生，更有助于应对新环境中产生的数据纠纷。但莱斯格的数据财产权理论的产生背景是处于初始阶段的数据经济，过分强调用户与数据经营者之间的界限，是立足于用户的一种单边构建框架，将限制数据产业活动的需求。[24]随着数据产业的进一步发展与成熟，数据经济逐渐体现出一种围绕数据经营和利用而展开的复杂关系，从而衍生出一种以数据经营者为重心的双向动态结构。数据财产权并非单向静态权利，不能单纯强调用户角度的财产权利，而是在数据保护与利用之间寻求用户与数据经营者之间的再平衡，并适当放宽对于数据从业者的行为限制，满足数据经济作为整体上的财产利益机制的建构要求。

(二)数据权利双边保护框架之具体内容

数据的发展可分为两个阶段：其一是基于用户自身或网络行为所产生的、可被后期加工为数据资产的用户个人信息；其二是在数据资产化的背景下，数据经营者为了满足市场需求、促进数据的利用与流通所具有的数据资产权和数据经营权。基于类型的划分，对数据权利进行双边保护框架的建构，更符合数据这一新型资产的特性。

1.用户：基于个人信息产生的数据权利

在实践中，个人信息的表现形式通常包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。(5)参见《网络安全法》第76条第5项：“本法下列用语的含义：(五)个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”针对个人信息的保护，美国和欧盟的进路囿于理念与体制等因素无法在我国适用，但其以用户为中心的考量角度仍对我国个人信息保护具有重要借鉴意义，如根据欧盟法律规定，本人被允许以个人信息权作为向信息处理者主张的请求权基础以达到保护的目的。[25]我国在通过立法完善数据权利体系的过程中，针对用户基于个人信息所产生的数据权利应包括数据人身权和数据财产权，两者在配置上相互分立，同时扮演着不同的角色。

(1)数据人身权之内涵

我国《宪法》第38条：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”这可被视为数据人格权的法律基础。在上文对美国、欧盟的相关制度分析中，从人权或基本权利保护的角度来规范个人数据处理行为以保护个人利益成为大方向。伴随着大数据技术的发展，需进一步保护用户的人格利益，而数据人身权又具体包括数据知情同意权、数据保密权、数据修正权、数据删除权。

一是数据知情同意权，(6)数据知情同意权，包括数据知情权和数据同意权，知情是同意的基础，同意是知情的可能结果，两者联系紧密，因此一般组合出现。指数据源主体有权知悉与同意数据经营者收集、处理和使用自己数据的目的、方式和范围。需注意此处的同意应为明示同意，从默示同意到明示同意也是近年来不同国家和地区的立法趋势，(7)我国台湾地区2010年公布的新版《个人资料保护法》规定了严格的书面同意；欧盟数据保护1995 年《数据保护指令》规定的是消极同意，在2014年欧洲议会公布的《通用数据保护条例》中已被修改为积极同意，即任何数据主体在被通知的情况下，自由做出的明确表示同意处理与其有关的个人数据的意思表示，具体方式包括通过声明或者做出清楚的积极行为以及签署个人数据处理协议，并进一步规定数据控制者需要证明数据主体同意的行为。参见肖冬梅，文禹衡：《数据权谱系论纲》，《湘潭大学学报(哲学社会科学版)》2015年第6期。反映了在大数据时代对于数据源主体利益的保护和重视。二是数据保密权，指数据源主体要求数据经营者保护其敏感信息不被泄露而采取相应保密措施的权利。一旦数据被泄露，数据经营者必须及时履行通知义务，立即提供补救措施以最大程度降低数据泄露所带来的损失。三是数据修正权，是指数据源主体要求数据经营者依据客观情况及时补充、修改、完善其个体数据，以维护其个体数据真实性、完整性和全面性的权利。需指出的是，数据的脱敏处理以实现去个体化是为了数据的保密，不涉及对个体数据的修正，所以不在数据修正权的规制范围。四是数据删除权，指数据源主体要求违反规定或约定收集、处理、使用其个体数据的数据经营者删除其个体数据的权利。数据删除权并非意味着数据个体有权任意要求数据收集者删除其个体数据，特别是反映个体负面信息的数据和基于国家法规政策要求公开的企业信用信息，而是针对未对数据进行脱敏处理或者虽然进行脱敏处理但是脱敏不彻底的数据。基于上述分析，需要保护数据主体依法享有对数据控制和排除他人非法干涉的权利，在数据经济中需重点保护数据主体的人格利益。

(2)数据财产权之内涵

权利主体对产生于其自身或与其本人有关的数据不仅享有人格权利益，而且也享有财产权，权利主体能够对其拥有的数据进行占有、使用、收益和处分。用户享有的权利因数据类型和来源不同而存在较大差异，同时也因法律规定和有效协议的存在而受到一定的限制。用户基于个人信息所享有的财产权主要是指数据所有权，即用户基于对个人信息的所有而享有的对数据进行处分和收益的权利。有学者指出，数据财产权近似于一种所有权地位的财产利益，用户对其个人信息可享有占有、收益甚至处分的权能。[1]74但与传统民法所有权具有绝对排他性不同，数据所有权基于数据自身特性而具有相对排他性，具体表现为数据所有者可以将数据授权给不同的数据买方同时使用，个体数据可以为数据源主体和数据控制利用者同时控制等。

2.数据经营者：基于数据资产产生的数据权利

数据经营者将收集的信息进行加工处理后，形成了具有巨大经济价值的数据资产。基于数据经营者在市场需求与利益驱动中的重要作用，同时又考虑到数据保护与利用过程中的双向动态性，因此要对数据经营者进行相应的权利配置。区别于一般的静态的权利配置，应根据数据活动规律和价值需求，达成对动态中的数据利益的合理配置功能，更好地界定数据的地位和利益关系，而数据经营者基于数据资产产生的数据权利，又可以分为数据经营权和数据资产权。

一是数据经营权，是体现数据产业参与主体的经营地位的一种权利。主要出于维护市场安全以及数据产业秩序的考虑，需要从法律上对数据经营者的经营权进行确认，业务范围具体涉及收集、分析、整理和加工等，即数据经营权包括数据收集权与数据处理权等内容。学术界对数据经营权是否必须设立存在争议，主要是看国家对于数据产业发展的管理立场，即采取经营自由还是经营限制的态度。二是数据资产权，该权利的客体为数据集合或数据产品，需达到一定的价值创造程度，才可成为数据资产权的客体并获得独立性。这是法律对数据经营者的一种绝对化赋权，也是对数据资产的利益归属确认，近似于所有权的法律地位，体现其对所集合或加工的产品的一种财产权。基于数据资产权，数据经营者可以处分其合法收集的数据，比如转让给其他民事主体或授权给其他民事主体进行使用，[23]174或对数据收集加工后所形成的数据集合或数据产品进行占有、使用、收益。数据资产权的确立，除了进一步完善数据交易市场，同时还直接鼓励了数据经营和数据资产的创造，对于数据经营者而言，可对其加工形成的数据产品持有绝对权并获取财产利益。

综上所述，数据资产权与数据经营权虽是从保护数据经营者的利益出发，但基于数据经济中的双向性特点，通过对数据经营者的权利构建促进数据产业的秩序发展，维护市场的合理竞争，最终维护用户和消费者的利益。同时数据经营者在数据交易中也负有诸多义务，比如维护数据安全以及保护个人数据等，从而与数据经营权、数据资产权之间形成一种动态依存的体系关系。

五、结语

“技术为人类带来了福祉，但同时，人类也从未停止过对技术的理性批判。”[26]新的社会经济方式出现或形成时，因法律固有的滞后性常囿于传统法律框架的限制，耶林曾言，法律应是通过国家权力作为外在强制保障的社会存在条件的总和，因此需对新出现的事物或情况进行合理且及时的调整和规范。

数据的稀缺性和价值属性日益凸显，用户与数据经营者之间的权利冲突，以及数据经营者之间的权利冲突，都亟须法律对此作出规范与调整，以适应大数据时代数据利用与保护并存的需求。首先，通过对数据权利与知识产权、物权的比较，排除其为现有权利束之可能，从而基于对数据客体属性的分析，明确数据的权利地位及属性。其次，通过对域外单边保护模式的考察，分析其具有保障用户信息安全的优点，同时也存在无法适应数据创新应用发展的劣势，从而提出从用户与数据经营者两个层面，以财产权为理论基础，建构不同类型的数据权利并明确其具体内容。大数据时代已经来临，数据共享共通成为时代的旋律，大数据的快速发展深刻改变着现有的生产和生活方式，引发思维方式和社会形态的变革。置身于大数据时代，互联网与数据技术飞速发展，如何平衡数据的保护和利用并促进数据的流通成为新的关注点。传统法律框架中以用户为中心的单边保护模式无法适应数据经济中对数据流通与保护有效平衡的合理需求。因此，应结合数据经济中的双向动态性复杂结构，从个人信息与数据资产角度分别进行用户与数据经营者的权利配置，从而在法律设计上处理好数据流通和数据安全的关系，在数据的保护和利用之间实现有效平衡。