数据权利之法律性质与分段保护

□李德恩

（九江学院 政法学院，江西 九江 332005）

一、大数据时代的挑战与中国应对

（一）大数据的时代定位

人类文明的显著进步总是与科学技术的重大突破如影随形。伴随计算机和互联网技术的飞速发展与普遍运用，人类社会进入了大数据时代，一个信息产生价值甚至信息自身就代表价值的时代。人类活动的场域得以从物理空间向虚拟空间拓展延伸，信息的数据化表达成为最佳选择，强调数据交互和通信的数联网概念应运而生。信息化的本质是将现实世界中的事物转化为数据并存储到网络空间中，即信息化是一个生产数据的过程[1]（p1）。公共管理部门、互联网公司在提供服务过程中产生的用户网络行为数据爆发增长，汇集而成无数海量的数据集成。依靠这些数据集成，人们可以对特定事物或行为方式进行全采样挖掘分析，与基于成本、效率考量而不得已采取的随机采样方式相比，自然愈加精准。借助大数据，交通管理部门能够分析交通路况、有效打击交通违法行为、查缉违法车辆；借助大数据，用人单位可以轻松查询到应聘者的学历、个人征信等信息，招聘心仪人才；借助大数据，企业能查询获知交易方的资质、资信，预测消费者的行为以及产品需求量，实施精准营销；借助大数据，投资者可以更加便捷地获取信息，对产业前景、利润与风险进行评估，做出投资决策。大数据已经渗透进入每一行业的每一业务领域，与每个人的工作和生活交汇融合，改变着人类的生活方式、工作方式和社交方式。

大数据有力验证了科学技术是第一生产力的论断。在发达国家，科学技术对国民经济总产值增长速度的贡献率已经超过资本和劳动力之和，达到了60%—80%，其中大数据的贡献居功至伟。数据流引领技术流、资金流、人才流，大数据对生产力的诸要素具有乘法效应，对于提高劳动者素质、改善生产方式、提升管理水平等均能发挥显著作用，在现代产业体系中占据举足轻重的地位。数据的挖掘与运用，包括数据的获取、储存、检索、共享、分析、交易等业已成为产业的发展方向，在现在和未来相当长一段时间内都是新工业革命的首要驱动力，不仅有效支撑人工智能、万物互联等新兴产业的发展，亦能助力机械、制造等传统产业的转型升级。

21世纪的大数据已经成为比肩19世纪的蒸汽机、20世纪的石油和电力的重要战略资源。未来国家、企业之间的竞争将主要围绕“大数据资源”进行角逐[2]（p1），需要未雨绸缪，提前规划。对于企业而言，不仅要力争获取足够丰富的数据资源，奠定参与数据资源竞争的坚实基础，而且要不断提高数据处理能力，展现数据的经济价值。阿里巴巴董事局主席马云曾说，“我们是通过卖东西收集数据，数据是阿里最值钱的财富。”马云直白地道出了阿里巴巴为代表的诸多大数据公司进入网络购物领域的初衷，谋求网络购物的利润还在其次，更重要的是借此获取数据资源——网络购物需实名注册并与个人银行卡账户产生关联，在获取具有商业开发价值的个人数据方面具有独特优势。对于国家而言，大数据对原本封闭的国家之间的物理疆域带来前所未有的冲击，国家主权覆盖的空间从物理疆域延伸至网络领域，大数据成为继边防、海防、空防之后的又一个大国博弈的空间。进入21世纪后，美国在海陆空三军建立了网络部队，先后对利比亚、伊朗、委内瑞拉、俄罗斯等国发动了网络攻击，对中国的网络攻击也越来越多。大数据国际竞争体现在维护国家网络空间主权、保障信息安全之上，这就要求国家将大数据核心技术掌握在自己手中，将影响国家政治安全、经济发展、社会稳定的重要数据资源置于自身控制之下。国家一旦丧失网络主权，国将不国的历史悲剧可能重新上演[3]。由于对大数据资源的掌控程度与国家的发展和前途息息相关，大数据的发展必定离不开国家层面的统筹规划。世界上主要的发达国家，如亚洲的日本、韩国、新加坡，欧洲的英国、法国、德国，大洋洲的澳大利亚，北美洲的美国等，都先后将大数据上升至国家战略的高度加以推进，形成了比较完整的产业政策体系。

（二）大数据国家战略的实施

以大数据、人工智能为代表的信息技术迅猛发展对中国而言既是前所未有的挑战——落后就要挨打之殷鉴不远，也堪称千载难逢的机遇——迎难而上则有可能实现赶超发展，后来居上。十八大之后，中国开始部署实施大数据国家战略，着力消除数据烟囱、信息孤岛现象，推动政府、行业、企业之间数据资源的整合和开放共享，在制定并推行大数据的战略规划、规则建设、组织保障等产业政策方面都取得了进展。2014年2月27日，中央网络安全和信息化领导小组宣告成立，习近平总书记亲自担任组长。在领导小组第一次工作会议上，习总书记提出了建设网络强国的战略目标，强调要加强核心技术自主创新和基础设施建设，提升信息采集、处理、传播、利用、安全能力。2015年八月国务院公布了《促进大数据发展行动纲要》，提出加快政府数据的开放共享，推动产业的创新发展，建设数据强国。2015年10月，十八届五中全会明确提出“实施国家大数据战略”。2016年，中共中央办公厅、国务院办公厅联合印发了《国家信息化战略发展纲要》，成为之后十年国家信息化发展的纲领性文件。最高人民法院高度重视人民法院的信息化建设工作。2016年，周强院长在一次工作会议上首次提出建设立足于时代发展前沿的“智慧法院”。经过短短三年时间，中国法院系统的信息化建设已经走在全球前列——信息化广泛应用于立案、生成法律文书、推送相关法律法规、评估胜诉率、在线申请非讼纠纷解决等方面。智慧法院初步形成，开始向全面建设迈进，人民法院解决纠纷的能力得到巨大提高。最高人民检察院2017年印发了《检察大数据行动指南（2017—2020年）》，2018年印发了《全国检察机关智慧检务行动指南（2018—2020年）》，致力于打造“智慧检务”，为检察信息化工作指明了方向。以此为契机，各级检察机关统筹规划大数据、人工智能在检务工作中的应用，在智能辅助办案系统的研发应用、检务大数据资源库建设、数据资源共享等方面取得了令人瞩目的进展。

得益于国家的高度重视，大数据产业链，包括数据服务、基础支撑和融合应用等，在信息化进程中突飞猛进，引领了中国整个产业体系的进步与发展。腾讯、阿里巴巴等巨型大数据公司不仅在中国赫赫有名，在世界范围内同样享有盛誉。在这些公司的推动下，中国的网络购物、移动支付、共享经济走在了世界前列。与大数据生产、收集、储存、利用有关的大数据产业发展势头强劲。2017年，中国的大数据市场规模为4700亿元，2018年为6200亿元，预计2019年将突破8000亿元。在其他各类企业的营运和转型发展过程中，数据仍然发挥了基础资源的作用和创新引擎作用，企业办公的数据化趋势越来越明显。以数据为关键要素的中国数字经济的规模则日益壮大。根据国家网信办2019年5月6日发布的《数字中国建设发展报告（2018年）》，2018年我国数字经济规模达到31.3万亿元，占GDP比重达到34.8%。

大数据时代的价值追求是实现、保障和促进数据的开放和共享，即要使得数据流通起来，从而充分应用和挖掘数据的内涵价值，最终产生数据红利[4]（p25-34）。信息技术朝数据融合的方向发展，更加凸显大数据巨大的管理价值和经济价值，使得大数据具备了成为市场交易客体的基本条件。贵阳大数据交易所、东湖大数据交易中心、中关村数海大数据交易平台、上海大数据交易中心等大数据交易机构相继成立。大数据交易业务呈现急剧增长的态势，大数据市场交易方兴未艾，发展前景看好。

（三）数据纠纷与规则需求

不言而喻，大数据国家战略的实施有助于促进经济转型升级，有助于提高国家治理能力，有助于实现美好生活。然而，正是由于大数据隐含的巨大价值，以及大数据产业各方利益诉求的多元与交叉，数据纠纷日益呈现高发态势。2017年，中国著名大数据公司之间、大数据公司与硬件公司之间爆发了两起数据权属纠纷，影响巨大而深远。6月1日凌晨，顺丰与菜鸟假借信息安全的理由，互相指责对方，关闭了互通数据接口。6月3日12时，在国家邮政局的介入下纠纷得以暂时平息，双方恢复了业务合作和数据对接。顺丰与菜鸟纠纷的实质是对用户数据的争夺，掌握数据就获得了数据加工分析的机会，在竞争中就拥有了更大的话语权。顺丰与菜鸟之争余烟未尽，华为与腾讯之间的数据争夺战旋即接踵而至。纠纷的起因是华为荣耀Magic手机读取并分析微信聊天记录以向用户提供智能服务。腾讯认为华为此举夺取了腾讯的数据，侵犯了手机用户隐私；华为则宣称用户数据专属于用户自己，华为得到用户授权后读取分析微信聊天记录，为其提供智能服务是合法行为。双方争议的焦点在于微信聊天记录的权利主体是谁、权利内容包括哪些、用户授权能否使得华为利用微信聊天记录的行为合法化等。这两起纠纷凸显了大数据迅猛发展过程中法律规范的缺失，提醒人们思考如何打通企业之间的数据孤岛、数据开放共享中的法律关系以及数据流通过程中自然人个体权利的保护等问题。当前数据纠纷主要存在三种类型，即与数据生成、转译、传输、存储相关的内在纠纷，第三人侵入、复制、传播、删除数据所引发的侵权纠纷，以及数据权属交割不明导致的交易纠纷[5](p1096-1119)。这三类纠纷集中体现了个体人格权保护与数据商业开发之间的博弈，以及数据分析、利用、流通过程中各方利益诉求的冲突。

数据纠纷的解决需要以相关规则体系的建立与完善为前提。第一，构建保护个体权利的规则，保证数据来源的合法性。当大数据无孔不入，也要谨防数据规则远远落后于数字生活，尤其要避免一些“数据王国”滥用数据权力[6]。2018年3月26日百度董事长李彦宏在中国发展高层论坛上表达了“中国人愿意用隐私换取便利、安全或者效率”的观点，引起舆论一片哗然。诚然，由于规则滞后于技术的发展，中国大数据公司在过去很长一段时期几乎不受限制，呈现野蛮增长的态势。但中国人提供数据并非意味着愿意为生活的便捷而牺牲个人隐私，也不意味着企业社会责任的免除。恰恰相反，这种状况提醒我们在建构大数据规则体系的过程中要更加注重个体权利的保护，处理好数据开放共享与个人隐私保护的关系，做到既不能因为产业发展的需要而放弃对个人隐私的关注和保护，也不能矫枉过正地强调保护个人隐私而阻碍产业的发展。欧盟各国虽然很重视大数据的开发，但至今没有出现具有显著影响力的大数据公司，数字经济也远远落后于中国，与这些国家对个人隐私的保护异常严苛，基于商业目的收集、分析和管理个人信息受到严格监管以及由此带来的数据管理成本高昂、数据创新空间受限不无关系。

第二，构建大数据从业者的权利义务规则，保障大数据产业的健康发展。建构国家数据、商业数据规则的侧重点应有所不同。国家有关机构针对个人数据的收集一般具有连续性、普遍性、公益性的特点，公民个体对此负有配合的义务。基于国家数据收集和利用而产生纠纷的情形并不多见。国家数据原则上应开放共享，保障普通民众的知情权和访问权。当然，开放共享并非意味着可以公开个人隐私，必要时应先行对数据进行脱敏处理。最高人民法院于2016年8月29日发布了《关于人民法院在互联网公开裁判文书的规定》，其中第十条就要求人民法院在公布裁判文书时，应删除个人信息、涉及商业秘密的信息、涉及个人隐私的信息等，以保护相关主体的合法权益。数据的商业利用不仅牵涉隐私权的保护，也直接影响数据收集者、分析者、购买者、使用者等相关主体合法权利的保护以及海量经济利益分配。与国家数据相比，商业数据更加需要建构界定各方权利、平衡各方利益的规则体系，这也是本文关注的焦点所在。

二、数据权利的法理分析

（一）数据权利性质的争议

数据的法律属性、分类、使用规则以及法律保护等都难以在现有民商法理论与规则中获得有力解释[7](p50-63)。法学界对于数据权性质的界定未有定论，相关理论研究有待加强。法学界对于数据权的性质存在两种观点，第一种观点认为数据权是物权，第二种观点认为数据权是知识产权。

有学者认为，“数据权是企业、公民拥有的对依附于自身的数据和自己获取数据的所有权。”[8](p81-88)贵阳大数据交易中心等大数据交易机构、阿里云等大数据公司也经常使用数据所有权的概念。与此种观点近似的是，有学者主张将大数据界定为物权[9]。但是，将数据权视为所有权或物权的观点缺乏理论支撑，值得商榷。作为物权客体的“物”必须具备物权的权利特征，即具备基本“物格”，满足特定性、支配性及排他性特点[10]（P44-48）。与之相比，数据的特征与权利行使方式明显不同。第一，数据具有无形性，而物权客体具有有形性。典型的物权，其客体为有体物，即占据一定空间且得为人力所控制和利用的物质资料[11]（P35），其物理形态可以为固态、液态或者气态。将某些有形财产权之外的支配权利纳入物权范围，则主要是由于法律规范安排的便利所致，并非通常做法。第二，数据具有可共享性，而物权客体具有排他性。数据的使用非常特别，可以不限次数复制、传播且不会导致自身价值的降低。第三，数据具有可传输性，而物权客体具有支配性。数据在互联网络出现之后可以脱离具体的物理载体，以比特的形式迅速传输并在其他终端重现。这些区别决定了数据不宜适用物权相关规定进行保护。

数据权可否归入知识产权体系同样存在争议。作为知识产权权利客体的智力成果有相应的条件要求，即需要具备无形性、可复制性和非排他性等特征。权利对象的无形性使得知识产权人无法像管理有形财产那样去有效控制自己的知识产品，而只能借助于法律的保护去享有和行使自己的权利[12]（p8）。数据呈现的特征与此极其相似，法学界主张将数据权纳入知识产权的范畴进行保护的呼声日渐高涨。不过，也有学者对数据权是知识产权的定性表示反对。其理由是，“数据本身具有原始性特征，经过数据公司收集就能形成的原始资料，并且，无须法定程序就能够予以体现。”[13](p18-23)笔者认为，并非所有数据都具有原始性的特征，也并非所有的知识产权都需要经过法定程序才能获得，以此为理由否定数据权的知识产权性质是一种以偏概全的观点。如果数据收集是针对原始信息而进行，缺乏智力投入以及对数据的选择和编排，由此汇集而成的数据库自然不能作为知识产权的客体。但数据的内容、编排经过选择或数据经过加工、分析之后就可能成为智力成果，这种数据被称为衍生数据，满足一定条件是可以成为知识产权客体的。只是这种智力成果大部分不能归入作品、发明创造、商标等类型的知识产权客体，需要通过立法予以认可。

在立法对数据权利的性质没有明确界定的情况下，司法实践中往往适用《反不正当竞争法》的相关规定对权利人进行保护。在汉涛公司诉百度不正当竞争一案中，上海知识产权法院终审判决（（2016）沪73民终242号）认定，百度公司与汉涛公司之间存在竞争关系，百度公司通过搜索导致用户不用访问汉涛公司的大众点评网，直接在百度地图、百度知道上即可看到点评信息，实际上等同于剥夺或者部分截取了公众访问大众点评的流量，构成了不正当竞争行为。法院最终判决百度公司停止不正当竞争行为，赔偿汉涛公司经济损失300万元以及为制止不正当竞争行为所支付的合理费用23万元。毋庸置疑，《反不正当竞争法》对规范互联网领域的不正当竞争行为具有一定作用。但是，我们不能因为针对此类案件人民法院已经确立了数据具有竞争法意义上的财产权而迟滞乃至放弃数据权利的立法。其原因在于，只有以数据权利的立法确认为前提，《反不正当竞争法》的适用才具有“正当性”。并且，由于《反不正当竞争法》相关规定过于原则，导致法院解释权限过大，同案不同判的情形时有发生，给数据权利的保护带来很大的不确定性。

从理论上说，数据乃是权利客体而并非权利本身，数据收集、加工的各相关主体付出的成本、劳动各不相同，当然对数据享有权利的性质、大小也有差异。基于这种理解，同一数据或数据集合之上就可能存在相互制约、相互协调的多种权利。数据权的性质也不能一概而论，它实际上就是一个由不同权利主体享有的权利组合——既包括个人信息权，也包括知识产权；既包括财产权，也包括人身权；既包括已经得到法律认可的传统权利，也包括亟待法律调整规范的新兴权利。

（二）数据权利立法现状

中国数据权利的立法现状可以从个体权利以及从业者权利两方面进行概括。在大数据时代，对于个人信息的挖掘和使用已然司空见惯。公安、检察等刑事侦查机关可以依照法定程序强制挖掘个人信息；金融机构、网络公司、交通运输部门在保护用户权利的前提下均可以对用户信息进行收集；甚至自然人在进行学术研究时，经过信息权利人的同意，也可以对个人信息进行挖掘与使用。普通民众对于普遍存在的个人信息的挖掘和使用则保持一种矛盾的心态。人们期待个人信息处理能提高公共管理能力、管理水平，从而增进国民的福祉，但是又唯恐国家进行过度的个人信息处理从而损害到自己的利益[14]（p21）。人们在享受网络带来便捷的同时，又对泄露个人信息以及利用个人信息从事套路贷、网络诈骗的违法行为深恶痛绝。数据立法要回应这种矛盾的期待，反映民众的心声。倚重个人数据保护的基本权利维度抑或使用价值会导致不同的进路选择和体系架构，两者的适度平衡是我国目前立法应秉持的基本方向[15](169-176)。言之，立法应以保障个体权利、促进产业发展为目标导向。

自然人只要在互联网服务平台上活动就会生产个人数据，这些个人数据权利具有人格权与财产权的双重属性[16](p24-28)。近年来，中国通过不同层次的立法不断加大对个人信息的保护力度，明确规定了网络服务提供者和其他相关企事业单位的权利和义务，并对违法收集、使用、提供、泄露个人信息的行为加大了惩戒力度。2012年《关于加强网络信息保护的决定》及2013年《电信与互联网用户个人信息保护规定》初步建构了个人信息保护的指导原则。2013年实施的《信息安全技术公共及商用服务系统个人信息保护指南》确定了我国首个个人信息保护的国家标准，该标准规定了个人敏感信息在收集和利用之前，必须首先获得个人信息主体明确授权。2014年出台的《刑法修正案（九）》对窃取或者以其他方法非法获取公民个人信息以及违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的行为进行处罚。2013年修订的《消费者权益保护法》、2016年制定的《网络安全法》针对个人信息的收集、使用以及个人信息的安全保障等进行了规定，使得个人信息的保护更加有法可依。2017年《民法总则》第一百一十一条对个人信息的保护做出了规定。互联网行业机构也通过推行自律标准等方式不断加强对个人信息的保护。

概言之，中国关于个人信息、隐私权保护的相关规定零散分布于法律、行政法规、部门规章等各层级的立法中，但立法层级不高，缺乏整体规划和系统性。突出表现为在民法、行政法还没有确立个人信息的保护规则之前，刑法就先画出红线，对侵犯个人信息的行为进行定罪处罚，有悖于通常的立法顺序。当前，加快《个人信息保护法》的制定工作已经成为学术界的共识。2018年9月10日，十三届全国人大常委会将《个人信息保护法》法律草案列入立法规划的第一类项目，《个人信息保护法》的立法工作进入了快车道，有望打破群龙治水的局面。

与个人信息保护的立法现状相比，我国针对数据加工过程中的大数据从业者的权利界定和保护的规则体系远未形成。个人数据被合法收集、开发之后，以数据集成的形式、以规模效应获得增值，此时对数据享有权利的就不仅仅是作为数据信息来源者的个人，还应包括收集者、开发者。如果收集者、加工者的权利得不到法律认可和保护，无疑会阻碍大数据产业的技术创新。大数据的采集、加工、处理、储存和使用的产业链涉及众多市场主体的权益，相关各方都希望将自己利益最大化，以占据竞争的有利地位。这就会产生一系列法律问题：比如数据采集与隐私权保护的关系，国家机关是否有义务以及如何公开大数据，大数据商业利用中相关主体的权利义务关系，基于公益使用大数据的边界等。正视这些问题、平衡各方利益、为利益相关方有序利用数据提供保障是大数据产业发展的需要。2017年《民法总则》第127条规定，法律对数据、网络虚拟财产的保护有规定的，依照其规定。由于未能形成足够共识，《民法总则》并没有明确数据和网络虚拟财产的性质和保护规则。但该规定对于建构我国数据权利体系的价值依然值得肯定，主要体现在以下三点：其一是肯定了数据权的存在，其二是认可了既有法律比如著作权法对数据、网络虚拟财产保护的效力，其三是为条件成熟时进一步立法预留了空间，展现了对数据权利保护的开放态度。

大数据发展的走向是开放共享而非封闭限制，构建数据权利体系应确立如下目标：在加强个人信息保护的基础上，鼓励数据共享，鼓励数据的开发与利用，实现自然人、数据从业者以及国家三方利益的平衡。除了关注数据来源者的个体权利保护以外，数据开发者的权利义务、数据开发者和使用者的关系等应该引起足够重视。当前应该重点做好两方面的工作，其一是加强既有法律在网络空间的适用，其二是有序推进数据权利的立法进程，并注意新旧法律的衔接和协调。不过，我们也应该认识到，立法不能急于求成。在大数据的发展走向存在很大不确定性，数据权利的性质、主体、内容等没有形成共识的情况下，仓促地进行数据权利立法弊大于利，将损害法律的权威与确定性，损害数据挖掘、运用与交易秩序的建立。下文笔者将分三个阶段对数据权利的保护及其规则建构展开分析，以期对我国的数据权利体系的构建有所裨益。

三、分段保护：数据权利体系的建构

（一）收集阶段的数据权利

在数据的收集阶段，主要涉及个人信息权以及数据收集者权利的保护。数据是针对个体活动轨迹的记录。作为个人数据主体的自然人、作为商业秘密权利主体的企业、作为著作权主体的作者等，他们都可以成为数据原权利人[17](p36-40)。大数据的价值是在提取并利用大量个人信息的基础上体现的，对于个人信息的处理必然深刻影响自然人的生活，个人信息遭到侵犯的可能性日益加大。一些大数据公司在为用户提供服务时，往往违反收集信息的合法、正当、必要原则，通过格式化的隐私协议要求获得与该服务无关的诸多授权，并且将用户同意作为获得服务的前提条件，以方便其收集信息、获取利益①鉴于我国违法违规收集个人信息问题日益突出的现状，2019年1月23日，中共中央网信办、工信部、公安部、市场监管总局四部委发布了《关于开展App违法违规收集使用个人信息专项治理的公告》，指导成立了App违法违规收集使用个人信息专项治理工作组。2019年7月11日，工作组通报了中国银行手机银行等10款App无隐私政策，以及铃声多多等20款App要求开启多个个人信息权限、不同意则无法安装的问题，并限期进行整改。。这样，用户为了获取服务而违心授权的现象就不可避免，部分权利意识较差的用户甚至不愿花费时间阅读隐私协议就直接同意授权。大数据公司得以通过对个人数据或个人数据与其他数据结合的分析识别出用户身份，并且获取用户的其他个人信息。由于自然人的姓名、社交账号、活动轨迹、交易信息等信息能够通过电子方式予以记录储存，一些专业人士、数据公司可以通过信息抽取和集成技术，在有效识别自然人的基础上，将个人留存在网络中零散的、碎片化的信息还原、组合、分析而成较为完整的个人社交网络、个人性格特征、个人消费习惯等，并在商业活动中加以利用。个人对数据知情权与所有权，在数据搜集环节连同数据本身被数据拥有者抢占甚至强占[18](p45-50)。大数据开发必须以保护数据原权利人亦即数据主体为前提，并将这种保护贯穿于收集、分析、利用、交易的各个环节。

2016年4月27日，欧洲议会通过了《一般数据保护条例》，第15条至第22条规定了数据主体对个人数据的访问权、更正权、擦除权（“被遗忘权”）、限制处理权、数据携带权、一般反对权和反对自动化处理的权利[19](p39-53)。《一般数据保护条例》同时规定了数据主体行使权利的限制，比如科学研究、公共利益以及历史统计的限制等。我国对数据主体权利进行立法时可以借鉴这些规定中有价值的部分，同时注意处理好保护个体权利与激励产业发展之间的关系，两者不可偏废。自然人对于个人信息利用的知情同意是平衡保护个人权利和行业利益的很好工具，换言之，自然人应该享有个人信息权即资讯自决权，即“个人依照法律控制自己的个人信息并决定是否被收集和利用的权利”[20](p62-72)。自然人有权自主决定是否同意收集储存个人数据。个人数据的收集者转让数据时，自然人还有权拒绝同意。这是因为，网络化时代的数据风险是一个系统化复杂化的问题，个人已经很难对风险做出一次性的合理判断，要求其在数据收集时即对是否同意数据转让做出决定实在有些勉为其难。自然人的个人信息权要求数据收集者要履行告知义务，该义务已经规定于《网络安全法》第四十一条之中。告知的内容应该包括，数据收集者的信息、收集个人信息的用途以及使用范围、信息主体的权利、拒绝提供个人信息的后果等。此外，作为资讯自决权的延伸，自然人还享有数据可携权、被遗忘权两种相互联系的权利，前者可以保障个人对自己信息的支配使用，后者则使得权利人得以限制他人对自己信息的使用。

数据可携权这一概念首次提出于2012年欧洲委员会颁布的《数据保护指令草案》，该草案的第18条对数据可携权进行了详细的定义，规定数据主体拥有获得个人数据副本并传输给另一个数据控制者的权利，以电子或其他通用的形式为传输方式。数据可携权允许用户进行个人信息的复制和传递，从而可以自由选择最适合其需求的服务，不再因数据存储的“沉没成本”而被动选择[21](p25-33)。2019年3月5日，李克强总理在《政府工作报告》中提出移动通信“在全国实行携号转网”。此举有利于保护用户权利、节约号码资源、促进移动通信领域的市场竞争。赋予用户数据可携权，也就是赋予权利人获取和转移数据的权利，在内容上类似于所有权人基于自由意志占有支配标的物的过程，不仅可以增强用户对于个人信息的控制能力，也可以促进公平竞争，促使平台为用户提供更好的服务。但是，数据可携权与知识产权和商业秘密存在冲突[22](p157-168)，给数据的应用带来很大的不确定性。立法应该在个人权利保护与数据产业从业者权利保护之间寻找到适当的平衡点。

被遗忘权是欧盟2012年1月25日发布的个人数据保护立法提案中正式提出的概念，后来在《一般数据保护条例》中也得到了规定。被遗忘权是请求个人信息控制者对已经发布在网络上的不恰当的、过时的、会导致其社会评价降低的信息进行删除的权利。区别于其他形式的信息记录，数字化信息非经人工干预会一直存在。“一些信息的长久保存则有可能使得主体由于以往生活信息被揭露而被困于过去生活的阴影之中，有悖于人格利益之保护。”[23](p81-88)这就是赋予数据主体请求数据控制者删除相关信息权利的理由。然而，对数据主体权利的保护不可避免会对他人的权利形成制约，对产业发展产生影响。不加控制的被遗忘权不仅影响公众言论自由权、知情权的行使，而且“与数据控制者、处理者利用信息的数据利益发生冲突”[24]（p57-67），导致互联网信息企业“放慢甚至停止技术创新的步伐”[25](p27-39)，消减我国大数据产业的后发优势。虽然中国是否需要全面引入被遗忘权存在不同意见，但其保护个体权利的精神是应该得到提倡和重视的。我国《侵权责任法》第三十六条规定了“通知—删除规则”，即权利人在自身权利受到侵犯之时，可以要求网络服务提供者删除、屏蔽相关信息。该规定的适用有严格的限制条件，权利人只有在自身权利受到侵犯之时才得以要求网站删除屏蔽相关信息，属于一种事后补救措施。《网络安全法》第四十三条同样规定了一种事后补救措施，个人发现网络营运者违法或违约收集使用个人信息，或收集、存储的个人信息错误的，有权要求网络经营者予以删除或更正。我国应该给予自然人删除网络上的个人信息更大范围的自主权，而不仅仅局限于事后提供救济。此外，被遗忘权的精神在隐私权、青少年犯罪档案封存等制度中也得到了一定程度的体现。

在数据收集阶段，除了强调个人信息权外，数据收集者权利的确认与保护是立法必须面对的问题。在不侵犯个体权利的条件下，数据挖掘主体通常享有深入挖掘权、制作数据库权、数据维护权、数据开发使用权、数据财产权等[26](p3-8)。对于数据收集者而言，如果仅仅是单纯的收集数据而形成数据库，是不能适用知识产权的相关规定进行保护的。比如部分期刊全文数据库是以数字化的形式原汁原味地再现期刊上发表的文章，没有包含汇编者任何思想表达的内容，不具有独创性，因而并非是《著作权法》规定的汇编作品。这种情况下，期刊全文数据库的权利人可以依据《反不正当竞争法》《合同法》等相关法律来保护自身权利。如果在汇编数据时，汇编者对其内容的选择或者编排体现独创性的作品，为汇编作品，可以依照《著作权法》第十四条的规定进行保护。

数据收集者可以就他人未经许可擅自使用其经过用户同意收集并使用的用户数据信息主张权利。数据收集者亦有权将数据进行交易，获取经济利益。数据收集方的专有使用权在司法判决中已经得到支持。2017年2月，新浪诉脉脉非法抓取微博用户数据案在北京知识产权法院终审判决（（2016）京73民终588号），法院认定脉脉经营的两家公司（北京淘友天下技术有限公司以及北京淘友天下科技发展有限公司）构成不正当竞争，判决两被告赔偿原告经济损失200万万元及合理费用208 998元。其理由在于企业对数据的收集和利用能够为企业创造更多的经济效益，对于数据的控制已经成为企业竞争优势的来源和重要的商业资源。法院通过该判决确认了企业对于其收集积累的数据享有竞争法意义上的财产权利，第三方应用通过开放平台获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则[27](p37-39)。

对于前文提及的华为与腾讯之间的数据争夺纠纷，从反不正当竞争法或侵权法的角度而言，如果认可手机用户对微信聊天记录享有个人信息权，腾讯对微信聊天记录享有知识产权的话，华为分析读取微信聊天记录也需要获得三重授权，即手机用户对腾讯的授权、腾讯对华为的授权以及手机用户对华为的授权，缺任何一项授权即构成不正当竞争行为或侵权行为；从合同法的角度而言，根据手机用户与腾讯达成的《腾讯微信软件许可及服务协议》，用户不得“通过非腾讯开发、授权的第三方软件、插件、外挂、系统，登陆或使用腾讯软件及服务，或制作、发布、传播上述工具”。在没有腾讯授权华为的条件下，手机用户单独授权华为手机使用微信聊天内容可能构成违约行为。

（二）加工阶段的数据权利

大数据不仅是数据海量汇集形成的数据库，而且是一种发现新知识、创造新价值、提高新能力的服务业态；大数据的战略意义也不仅在于“大”，即掌握数据的数量，更重要的是在于数据的分析应用，即对数据进行专业化处理的水平。以数据内容的产生方式为标准，数据可以分为原生数据和衍生数据两种类型。收集、记录和储存个人原始信息形成原生数据，在此基础上进行清洗、脱敏、匿名、加工、计算、聚合等处理则将原生数据转化为衍生数据。原生数据原则上不能作为知识产权的客体。数据库在内容选择和编排上体现了独创性，就变成了衍生数据。衍生数据往往使用了独创性的加工方法，成为创造性智慧劳动的产物，也就是知识产品，再加上衍生数据具有无形、可复制、非消耗的物理特征，以及其本身的财产属性，就完全成就了作为知识产权客体的基本条件。

《著作权法》第十四条规定，汇编若干作品、作品的片段或者不构成作品的数据或者其他材料，对其内容的选择或者编排体现独创性的作品，为汇编作品，其著作权由汇编人享有，但行使著作权时，不得侵犯原作品的著作权。依照该规定，如果汇编数据对其内容选择或者编排上体现了独创性的作品，就可以作为汇编作品而受到著作权法的保护。但是，该规定对于大数据收集者的著作权保护是受到很大限制的，极不充分。首先，大数据强调的是数据的数量和完整性，著作权法强调的是作品的独创性，两者的追求存在一定偏差。也就是说，基于大数据理念的数据集合很难满足独创性要求，因而不能成为著作权法所保护的客体[28](p29-33)。其次，数据的收集行为可能形成汇编作品，但更能展现数据价值的加工行为却被排除在外。收集数据之后，再对数据进行深度加工的清洗、脱敏、分析等，很难再以“对其内容选择或者编排上体现了独创性”的理由，依照著作权法的规定进行保护。

不论是从理论还是从现实需求的角度来看，数据都可以成为一种新型知识产权客体，并在条件成熟时进行相应立法。数据的知识产权立法需要面对两个问题。第一，合理设置新知识产权客体的资格条件，以判定何种衍生数据能够被当作知识产权加以保护。成为知识产权客体均须满足特定条件。作为著作权客体的“作品”应当是思想的表达，具备独创性；作为专利权客体的“发明创造”需要具备新颖性、创造性和实用性；作为商标权客体的“商标”需要具备合法性、显著性和新颖性。作为一种新的知识产权客体，数据需要具备客观性、脱敏性、实用性的实质要件。对数据进行加工并获得知识产权保护，还要以数据加工者获得信息主体、数据收集者的授权为前提条件。对于权利名称，有学者建议，应独立建立数据专有权，与著作权、商标权和专利权等传统知识产权并列[29]。其实，将这种新型知识产权称为数据信息产权或者数据权也并无不可。第二，正确处理知识产权保护和个人权利保护的关系。2016年7月《民法总则（草案）》将数据信息纳入了知识产权的客体，但之后在正式立法中被删除，其中一个非常重要的原因就是担心用户的个人信息被网络服务提供者以知识产权的名义加以控制，对个人信息权的保护产生不利影响。笔者认为，立法将数据信息作为新的知识产权客体进行确认时，可以预先或同时对数据收集、处理、使用的个人授权以及数据的匿名、脱敏程度做出强制性规定，增强自然人对于个人信息的控制能力。此外，获得数据权的程序、数据权的保护期限等也是值得深入研究的问题。

（三）交易阶段的数据权利

数据在收集以及加工阶段都显示出财产权的特征，意味着数据可以成为交易的对象。反过来说，数据权利的财产性也只有通过交易才能得以体现。如果数据是由用户支付费用为代价进行使用，数据的使用者可能会受到激励，采取措施保护数据，避免外泄。从这个角度而言，对数据财产权的保护同时有利于保护个人隐私。当前，我国针对数据交易主体、交易对象、交易模式等方面的法律规制尚付阙如，数据黑市交易的泛滥成灾与此有关。同时，现有大数据交易中心制定的交易规则仍存在颇多漏洞，甚至连大数据交易的一些基本法律问题，如“数据权利是否存在”“数据权利主体、客体、内容”等都未明确，严重制约了大数据交易的发展[30](p83-93)。产权明晰是大数据交易的基础，前文已经对数据产生者、收集者、使用者各方的权利义务进行了大致分析。完善的交易制度是交易顺畅进行和维护交易方合法权益的保障，中国应积极引领大数据交易的世界潮流，围绕交易主体、交易客体、交易内容以及交易监管等构建交易模式和法律制度，占据未来竞争的制高点，从现在的数据大国向数据强国的目标迈进。

首先，数据交易制度要规定交易主体的资格条件，并为处理交易主体之间的法律关系提供相应规则。数据交易一般发生在数据收集者、加工者与使用者之间，作为信息来源的自然人极少参与交易。这是因为，单个自然人的信息微乎其微，数据几乎没有交易价值，同时，单个自然人参与交易也会导致交易成本变得难于承受。只有在通过数据收集者的劳动，数据规模达到一定程度之后，其财产价值、交易价值才逐渐显露出来，并经过数据的加工分析得到进一步增强。数据交易制度能够为数据安全流通提供法律保障。就交易方式而言，除少数不适合在线传送的数据以外，数据的交易一般都需要借助数据交易机构提供的平台才能完成。因此，数据交易除了形成买卖双方之间的买卖法律关系或数据许可的法律关系之外，数据交易机构与买卖双方之间可能还存在委托、保管、居间等多种法律关系。大数据交易平台发挥着市场中介的作用，“应当提供公开、公平、公正的市场环境，保证数据交易市场的正常运行。”[31](p60-70)大数据交易机构还是数据市场的组织者，承担核实买卖双方真实身份、监管数据的来源与质量、审核交易数据真实性合法性的义务。贵阳大数据交易中心实行会员交易制，会员资格必须通过中心的审核才能获得，对交易的真实性、合法性提供了保障。

其次，作为交易客体的数据需要满足一定的质量要求。贵阳大数据交易中心的交易客体不是底层数据，而是数据清洗、建模、分析的数据结果。数据未经脱敏就进行交易侵犯了个人信息权，情节严重的甚至可能构成犯罪，《刑法》就规定了出售、非法提供公民个人信息罪，其犯罪主体为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。数据脱敏与数据利用价值是负相关的关系，即数据脱敏程度越高，再现个人信息的可能性就越小，但利用价值越低。数据如何脱敏、脱敏需达到何种程度等就必须有明确的要求，这种要求体现的是个人权利保护与数据开发利用之间的制约和平衡关系。

再次，大数据交易制度还应包括禁止数据交易的情况。国家数据具有公益性，原则上不允许交易获取报酬。大数据中国家数据的占比达到80%左右，其中的社保数据、纳税数据、公积金数据、房地产数据、司法数据等都具有很高的利用价值。国家数据的规模和价值远远高于商业数据，弃之不用是对资源的巨大浪费。如果企业或自然人针对国家数据进行加工，产生了知识产权，其独占使用权就应该受到保护并且有权将这种加工之后的数据上市交易。国家数据的交易有所限制，商业数据的交易也并非能够完全放开。对于企业开展数据交易进行限制的原因主要来自对用户隐私及信息安全风险的担忧，限制性措施的核心是使企业的数据交易活动不以侵犯隐私为代价，并且能够实现一定的透明度。比如，2013年发布的《电信和互联网用户个人信息保护规定》第十条就对电信业务经营者、互联网信息服务提供者及其工作人员出售其收集、使用的用户个人信息做出了禁止性规定。此外，民航、铁路等交通企业因为实名制购票而获取的旅客个人信息，商业银行、保险公司因办理业务获取的客户个人信息等在交易上也应有所限制。原因有两点：第一是这些信息是客户出于特定目的而提供，用于其他用途有违客户初衷。第二是这些信息还与客户重要隐私相关联，极易被用于实施违法犯罪行为，收集者对此负有高度的保密义务。

四、结语

数据权利乃是不同权利主体享有的以数据为权利客体的权利体系。基于这种理解，对于数据权利的保护就不可一概而论。在数据收集、加工、交易的各个阶段，都需要通过完善立法对相关主体享有权利的性质、内容进行界定，并通过法律程序妥善处理权利冲突，平衡保护各方利益。个人隐私保护与大数据产业发展的需要如何平衡、数据开发者与利用者之间的法律关系如何界定、数据交易各方的权利义务以及交易规则体系等，都是法律应该加以回应的课题。以上课题非常重大，笔者并不奢望一劳永逸加以解决，而是想通过本文抛砖引玉，引发学界更多思考，共同为大数据时代的规则体系建构出谋划策。