数据流通背景下的数据产权法律保护研究

傅真子， 李建霞

（华东理工大学，上海 200237）

随着我国加快培育数据要素市场，数据产业的潜能进一步凸显。无论是理论研究还是法律实践，都已经充分认识到数据流动所带来的经济价值。数据流动的实现在国内体现为开放共享，在国际层面则表现为跨境流动。要实现数据流动畅通无阻，数据安全问题无疑是重中之重。数据产权作为保障数据流通的基础性规则，对于数据要素市场化以及数据安全治理都至关重要［1］。目前，国内尚无明确数据产权划分的立法，2021 年新颁布实施的《数据安全法》作为数据领域的基础性法律，也仅从宏观层面确立了数据安全治理体系，数据的产权归属问题依然模糊不清。数据产权缺位成为阻碍数据流通的主要因素之一。由于产权专有性和数据共享存在冲突，使得数据持有者往往因顾虑是否侵权，或是担心丧失对数据的控制权而对数据分享望而却步，不少政府和企业的大数据资源因此被束之高阁，无法被有效利用。

本文通过梳理发现，数据归谁所有等一系列数据权属问题尚未在学界达成共识。关于是否要新设数据产权制度，学界基于不同视角存在较大差异：龙卫球等认为用户和数据经营者皆应享有数据财产权，数据产权具有市场化理念，能够实现市场的公平配置［2］；而马宇飞等则认为数据流通应以保护数据安全、促进数据开放为主要目的设置责任规则，创设数据产权等私权制度已无较大意义［3］。由于数据类型复杂，关于应如何构建数据产权权利体系，学者们依然看法不一：罗娇等建议将数据产权纳入传统知识产权法框架内，以合同为辅，通过权利归属条款、许可授权条款来保护数据产权安全［4］；叶敏等主张确立个人信息数据产权，同时通过人格权和公共利益保护角度对其加以必要限制［5］；丁晓东等表示，不同类型的数据（如平台数据） 的法律属性存在差异，应根据具体场景各方的合理预期判断数据的性质和类型，从而确定相关主体的数据权益［6］。以上研究从不同角度阐述数据权属保护措施，但对于每种措施的法律依据和可行性却少有涉及。

立法空白所带来的不确定性显然会对大数据经济产生负面影响。2020 年，在党的十九届五中全会通过的《中共中央关于制定国民经济和社会发展“十四五”规划和2035 年远景目标的建议》中明确指出，亟需建立数据资源产权等基础制度和标准规范，提高数据资源利用。由此可知数据产权在数据资源开发利用中的重要性和紧迫性。本文将从分析数据本身的特殊性着手，通过对国内外法律实践以及学术观点的思辨，对数据产权法律保护的路径选择问题展开讨论，探求数据产权司法保护的理想模式，从而为数据安全流动提供政策建议。

一、数据产权界定的难点

（一） 数据的特殊性

数据产权界定的难点首先在于数据的特殊性。与传统物权不同，数据不具有物质形态，无法被实际占有，使用数据并不会发生实际的损耗，数据可以被重复使用，具有非竞争性；与知识产权法保护创新成果的目的不同，数据的产生过程并不必然含有独创性，任何个体都可以随时通过日常的一次银行交易、一通电话、一次搜索引擎点击创造出数据；数据也无需通过注册、登记等法定程序确权，没有期限性。因此，数据产权的强度远不如针对私人物品的所有权，其目的不在于对数据的绝对排他和控制，而是向各参与主体提供合理的预期，并作为界定各方利益得失的依据［7］，其本质是促进数据的流通共享，鼓励更多主体参与以最大化数据资源利用。

另一方面，数据是多方利益集合体，其在市场配置环节中涉及数据生产者、数据收集处理者、数据使用者、数据控制者等利益相关方，呈现出复杂的利益关系［8］，个人、公共、市场主体皆牵涉其中，要建立一个能平衡三方的权利分配机制实为不易。其中，企业之间围绕数据产业链的白热化竞争、个人用户与企业之间信息收集与使用过程中产生的冲突是数据经济时代的核心问题［9］。一方面是用户出于保护个人信息的需要，另一方面则是企业将个人信息数据化利用的需要，即通过对个人信息加工汇总形成数据资产从中获益。如何从顶层设计上平衡个人主体与经营者之间的利益需求，是数字经济发展的基础和前提。

（二） 数据权属的构成

由于数据类型复杂多变，性质多样，数据权属的构成会因数据类型和视角不同而出现变化和差异。

根据是否含有个人信息，数据可分为个人数据和非个人数据。个人数据包含了能够识别出个人特征的信息，即涉及个人隐私，而隐私权是人格权的重要组成部分，故个人数据包含人格权益。目前，我国立法中尚未明确“个人数据”的概念，“个人信息”的定义和范围在《民法典》的人格权编中已有详细规定，并且明确了个人信息主体享有信息处理时的知情权，并对个人信息享有查阅权、复制权、更正权和删除权。另外，在刚刚通过的《个人信息保护法》 （下称“个保法”） 中，进一步赋予了个人在个人信息处理活动中包括知情权、决定权、限制和拒绝权、撤回同意权等在内的多项权利，但与《数据安全法》一样，《个保法》仍未对数据确权作出回应。由于个人数据具有人格属性，地位特殊，对于个人数据保护模式学界主要划分成两类观点：一是承认个人数据的财产权，主张人格——财产双重权利机制的保护路径；二是不承认个人数据适用财产法。反对者主要认为，个人信息是隐私权，无法转化成大数据［10］，赋予个人信息财产权有悖于人格权理论。另外，不少学者担心个人与企业在控制信息力量方面差距悬殊，将个人信息“定价”反而会导致企业的不当信息处理行为，且个人信息的估价标准也难以准确衡量。支持者则表示个人数据的可识别性形成了特定自然人的人格拼图，通过经营者的大量汇总加工就可以被商业化利用，能为产业带来经济价值［11］。大数据时代下，仅靠人格权商业化利用的许可制度已不能满足数据交易发展的需求，企业之间对于个人数据的交易转让，是传统民法人格权理论所无法解释的［12］。尽管个人数据财产化理论尚存在争议，国务院已在《关于构建更加完善的要素市场化配置体制机制的意见》中明确将数据作为一种新型生产要素，以加快推动数据要素市场化，这也意味着通过财产权保护个人数据是数字经济时代的大趋势。

如果按照内容归类，数据也可被笼统划分为个人数据、企业数据和公共数据。有学者根据具体场景中各方的合理预期，将公共数据产权归于国家，个人用户或企业经营者参与市场活动产生的数据归数据产生者所有，涉及多边参与产生的数据由用户和平台所共有［13］。这种观点虽然看似全面，但赋予不同主体的权利边界依旧模糊。也有学者从市场配置效率角度考虑，主张应将数据产权归属于效率最优的企业主体以最大化数据价值［14］［15］，但此举无疑会导致个人信息侵权风险和数据垄断。

在现有的法律框架下，部分数据类型可以被传统权利体系所覆盖：专利文件中的科学数据可以通过专利法来保护；赋予数据独创性表达或对数据进行独创性的选择和排列属于著作权法保护范畴；技术秘密类数据可选择商业秘密的保护路径等。然而遗憾的是，现有的每一种权利保护都无法覆盖所有的数据类型，比如人格权仅适用于个人数据，知识产权法要求受保护的数据客体具有独创性，商业秘密保护的数据应不为公众所知悉且采取了合理的保护措施。数据产权的权利体系构成与传统权利有所不同，它的生成过程涉及到个人、企业、政府等多个主体，不同主体的不同需求必然产生利益与权利冲突。因此，建立数据产权权利体系需要对现有权利框架进行扩展和完善，以应对复杂多样的数据类型。

二、数据产权现行规范与司法实践分析

（一） 知识产权法保护路径

数据产权作为一种无形财产权，具有“客体共享，利益排他”的特点［16］，与知识产权法的法律属性类似，不少观点认为法院可以通过现有的知识产权法规则对于部分数据纠纷进行保护。2017 年，金融信息服务企业万得起诉同花顺抄袭其金融数据终端，主张万得产品所涵盖的金融数据服务内容遭到对方原封不动的剽窃，两者出现了批量的数据重叠，最终法院通过著作权法对万得的数据终端软件给予救济。著作权对于数据的保护主要体现在汇编作品领域，即保护体现独创性的数据选择和排列，比如内容选编上具有独创性的数据库。但著作权法保护路径的局限在于，现实中普遍存在的非独创性数据库无法得到保护。很多数据往往只是对事实信息的记录，比如大量具有高度商业价值的金融数据库，其真正的价值在于数据本身而非选择编排，达不到著作权法中“作品”的要求，而其他竞争者对数据选编稍加变化就可轻易规避保护。

欧盟则在1998 年颁布的《数据库法律保护指令》 （下称“指令”） 中对非独创性数据库设置了特殊版权保护的权利（Sui Generis Right），规定任何为数据库内容的获取、校对、呈现有实质性投资（不限于智力投入，还包括时间、金钱等方式） 的数据库制作者是权利主体，其享有对于数据库使用的控制权。然而，各界对单纯付出劳动和金钱的数据收集者即可获得排他权的接受度不高。欧盟法院在实际判例中（British Horseracing Board v. William Hill），对于“实质性投资”的标准设置了较高的限制，即只有满足高投资标准的权利人才能受到保护，且权利人需承担投资的举证责任，这也使很多投资人转而选择通过数据使用许可合同来保护他们的投资［17］。在Feist v. Rural 案中，法院进一步缩小了数据库特殊权利，不承认对数据库的投资是获得著作权保护的有力依据，这也使得数据库特殊权利的立法效果形同鸡肋，不少学者甚至主张删除或替代这一制度，欧盟委员会已宣布未来会对《指令》进行重新评估和修改。

在《民法典》的审议过程中，曾一度将“数据信息”纳入到知识产权客体的范畴中，但因存在争议又在后续的版本中予以删除，将确定数据法律属性的工作留给了后续立法。就数据与知识的关系而言，数据更为基础，数据经过处理可以提炼出知识，知识比数据更高一个层次。知识产权的目的是鼓励创新和传播知识，而数据产权旨在使各利益相关方保有合理期待，鼓励企业参与以最大化数据资源价值，两者的立法目标存在一定的错位，这也导致实践中知识产权法保护面对性质多样的数据时显得捉襟见肘。

（二） 反不正当竞争法保护路径

由于目前数据产权立法尚不明晰，以中、美为代表的两国在司法实践中一般通过反不当竞争法（以下简称“反法”） 来规范市场竞争主体之间的数据纠纷，旨在维护和促进公平竞争的同时，对不合理使用经营者或消费者数据的行为进行规制。在中国既有的判例中，《反法》对于数据的保护途径主要分为两类：

一是作为商业秘密诉请《反法》 第九条保护。商业秘密的保护门槛较为严苛，需具有秘密性和价值性，且权利人应采取一定的保密措施防止竞争对手在公开渠道直接获取该信息。而使数据处于秘密状态的保护形式，无疑与数据开放共享的大趋势相冲突，现实中不少企业数据都来自于公共领域，不符合商业秘密保护所要求的数据形式。二是作为合法竞争权益诉请《反法》第二条保护，该条款为反法的一般性条款，适用于法律对该种竞争行为未作特别规定，该行为违反诚实信用原则且其他经营者的合法权益受到实际损害的情况，在面对新兴多变的数据商业纠纷时成为了法院首选的兜底条款。无论是2016 年被称为“大数据引发不正当竞争第一案”的“新浪微博诉脉脉案”，还是2017 年的“大众点评诉百度案”、2018 年的“酷米客诉车来了案”，法院均借助反法第二条作出判决，但过多依赖兜底条款也带来了裁判标准模糊、自由裁量空间过大等问题，甚至会直接阻碍新型商业模式的发展。长远来看，有必要对反法第二条的适用作适度限缩，为企业发展留有足够的空间。

在认定不正当竞争行为时，中美法院主要会考量两个因素：数据属性和授权模式。美国重视对公共利益的保护，认为公开的原始数据无需授权即可被爬取。在2017 年的hiQ Labs Inc v. LinkedIn Corporation 案中，法官认为hiQ 抓取的社交网站数据对所有来访者开放，因此判定对公开数据爬取不需要经过平台授权；而我国在“新浪微博诉脉脉案”中对公开的微博用户数据爬取提出了“用户授权+平台授权+用户授权”的三重授权原则，以此来严格保护用户隐私和企业自身的竞争优势。授权模式也是影响判决的关键点，在Craigslist v. 3Taps 案中，原告发现对方擅自复制网站数据后，向其发送了制止函并屏蔽了其IP，但被告仍然选择更换IP 地址继续爬取数据，法院据此认为原告的制止函已明确表示终止对被告访问网站的授权，被告选择无视继续访问的行为违反法律。而在我国，企业之间利用Open API（开放应用编程接口） 进行合作是最常用的形式，合作结束即视为撤销授权，新浪在最初也是通过Open Api 授权第三方平台脉脉抓取其网站数据。此外，我国法院还会将数据的商业价值、被告的行为是否违反商业道德等因素纳入考量范围，由于数据具有的价值今非昔比，作为新兴产业的数据市场也无法按照以往的商业道德标准衡量，因而最终判决的裁量往往会根据案情的不同出现变化，增加了司法的不确定性。

（三） 合同法保护路径

合同法救济途径则较为灵活，可以将数据或数据产品归为数据服务合同的对象，通过现有合同法律规则对数据交易关系进行约束，明确合同订立双方的经济利益。但在数据产权未明确的背景下，仅依靠合同法保护具有局限性。一方面，合同法救济的前提是合同已经订立，而面对互联网海量的用户与数据处理者，签署多方一致认可的合同基本无法实现，在技术层面也难以保证长期效力；另一方面，合同法的相对性使合同只能对合同双方产生约束力，不能够有效地向第三方传递约束，因而不足以应对数据的非专有性。更为重要的是，合同的债权不能替代具有普遍意义的数据产权，作用于特定对象的债权无法实现权利的自由流转［18］。

（四） 人格权保护路径

美国和欧盟的数据法律条款都显示出对个人数据隐私权的保护。美国目前尚没有针对个人数据保护的全国性法案，而是采取部门分散立法的形式对其进行保护，比如《儿童网上隐私保护法》 《消费者网上隐私法》 《电子通讯隐私法案》等，主要规制的是公权机构收集个人信息的特定领域行为，对于企业却没有过多的限制，因此也被人诟病为脱离特定场景便无法可依，并不能提供有效的保护。由于美国始终遵循市场自治原则，尊重企业自我选择以最大化数据商业化利用，过于严格的数据隐私保护立法无疑会遭到行业巨头的反对，面对脸书剑桥分析数据事件的持续发酵，美国在数据监管立法上陷入了两难的境地。

不同于美国，欧盟在数据保护方面立足于保护人格尊严和自由，实施更为严格的保护模式。2018年出台的《通用数据保护条例》 （General Data Protection Regulation，下称GDPR） 是目前世界上最为完备的大数据监管立法，赋予了个人数据主体对数据高度的控制权，涵盖了自决权、限制处理权（除存储外暂不处理其个人数据）、数据持续控制权（可携带权）、自动化决策权等多项权利。与美国对企业的宽容态度不同，GDPR 对于违法的数据处理者采取了严苛的惩罚措施：针对违反隐私保护设计、没有实施充分的技术安全保障措施、违反数据泄露通知要求等条款的企业处以1000 万欧元或上一年度全球营收的2%，两者取其高。

我国的个人数据隐私权保护立足于《民法典》第六章，首次为个人信息构建了人格权益保护体系，《个保法》在《民法典》的基础上进一步完善了个人信息认定，强调从信息到特定自然人双向的关联性，同时也借鉴了GDPR 的立法经验，增加了个人信息可携带权的规定，并且承继了欧盟立法严厉的惩罚机制。人格权路径在一定程度上为自然人数据主体提供更为宽泛的保护，但单纯依靠人格权保护数据显然是不够的，个人数据并不能简单和隐私或个人信息划等号。与个人信息呈现的人格内容不同，个人数据是将个人信息以电子化形式记录而形成的客观事物。GDPR 中个人信息和个人数据共用“personal information”一词，对两者概念的混用引发了欧洲学者的批评，认为这会不利于未来欧盟数据产权的构建。我国民法典已明确了个人信息与数据相区分的保护体系，在第一百二十七条中肯定了数据的财产权益，但对数据产权的具体规则做了留白处理。个人信息属于人格权的保护范畴，而经过企业二次加工演化成为的个人数据则具有财产属性。两者按不同法律轨道处理不仅可以避免人格权和财产权的法理冲突，也可以满足个人信息和数据在不同层面的需求。

三、数据产权法律规则的构建

（一） 数据产权建立的必要性和法律基础

基于对于我国司法实践的考察，针对数据保护及其所衍生出的利益冲突争议，目前尚未得出统一且合理的制度安排。而面对日益活跃的数据交易市场和数据共享需求，现有的法律规范多以被动的补救型制度为主，已无法适应数据要素市场的发展，通过产权来规范数据商业现象是大势所趋的。清晰的产权归属是保证数据交易顺利开展的法律基础，而讨论数据产权的前提是承认数据具有财产属性［19］，我国法律早已注意到了数据商品化的趋势，并为此发展趋势预留了空间。目前，我国在数据保护主要由三部法律支撑：《网络安全法》定位网络空间安全的整体治理、《数据安全法》负责数据处理安全以及开发利用、《个保法》着眼于个人信息保护。三部法律的主要任务在于调整数据安全的相关法律关系，对于涉及数据财产权益的纠纷仍然依靠《反法》的原则进行调整。2018 年，在“淘宝诉美景案”中，法院判定淘宝对其开发运营的数据平台享有“竞争性财产权益”，这是我国司法实践中首次承认企业享有数据财产权利。虽然判决中的财产权益仍限于《反法》保护框架，企业只能在受到侵害后才能得到保护，不等于独立的财产权，但这一表述意味着我国朝着承认数据产权的方向迈进了一步。此外，法院还强调了淘宝的数据产品虽源于用户原始信息，但其投入了人力、物力和财力，最终呈现的数据内容已是经过处理加工的衍生数据，具有合法权益，这种做法其实近乎于为企业加工形成的数据确立一种新型的排他财产权。《反法》虽然发挥了一定的保护数据财产权益的功能，但其以规制市场不正当竞争行为、维护公共秩序为立法目的，并不直接关注数据产权本身，这种事后防御的救济方式使数据主体无法积极行使权利，同时也无法应对数据流通共享所形成的新型经济利益关系。

（二） 数据产权界定规则

从数据价值的产生过程来看，数据可以被广义划分为原始数据、经过加工处理而产生经济价值的衍生数据、公共数据（见表1）。由此，数据权利主体可以在此基础上进行划分，即个人用户（数据产生者）、企业（数据收集处理者）、公权力机构（包括政府为代表的数据持有、控制主体）。

表1 数据权属类型对比与分析

对于个人用户而言，不少学者主张原始数据的所有权人即用户本人，将隐私权观念下的个人信息自决等同于绝对支配权。但本文认为，个人对源于自身的原始数据（即个人信息） 并不具备财产权，更不应上升为产权，而是享有人格利益。个人拥有主张个人信息上的个人利益不受侵害的权利，可以通过《民法典》和《个保法》中知情权、决定权等条款保护人权、尊严、隐私等方面的权益。由于个人信息能直接识别特定自然人身份，一旦赋予个人信息产权，将会直接导致个人信息买卖合法化，其是否违背法律伦理尚待探讨，这一权利配置会导致本就出于弱势地位的个人用户更加难以维护自身的隐私安全。此外，如果个人用户享有原始数据的产权，那么获得所有个人用户授权将会成为企业开展一切活动的必经程序。这与通过“知情-同意”方式来获取个人信息合法处理不同，获得个人信息的产权人的授权会使企业消耗巨额的合规成本，否则将面临侵权风险。因而，我们在考虑数据产权配置时不能作简单的切割，还需要考虑市场运营成本、可行性、社会公共利益，以及数据依靠流通才能创造价值的特性等因素，直接赋予个人信息产权或其他支配性权利显然是不合理的。

企业主体在原始数据基础上，投入人力物力，对收集汇总的个人信息进行算法分析、匿名化处理等操作最终形成衍生数据，没有企业的记录和存储，数据无法产生商业价值，根据马克思的劳动价值理论，企业对其劳动成果享有财产权益，应该享有对衍生数据的产权。此外，承认企业对于衍生数据的产权有利于规范数据交易市场，明确数据交易的法律基础，保障数据流通的有序进行。争议问题在于，衍生数据来源于用户的原始数据，衍生数据所产生的的财产权益是否应该与用户共有。本文认为，个人信息经过去身份化处理后，已去除了数据中的用户身份数据，切断了个人与数据之间的人格权联系，因此加工后的衍生数据与个人已经没有法律联系，更没有财产利益。这也是我国大数据交易中心所依托的合法基础，正如贵阳大数据交易所总裁王叁寿所认为的：“交易所交易的不是底层数据，而是清洗、分析、建模之后的数据结果。”但需要指出的是，数据清洗并不能保证完全去除个人身份信息，企业对于衍生数据的所有权必须建立在数据已完全实现匿名化之上。另外，企业所享有的数据产权是受到一定限制的。与物权概念中的所有权不同，数据权属的确定始终面临着经济价值与主体价值的冲突问题。数据的经济价值在于流通共享，但由于数据与个人有关，无法如同一般的物权客体能够随意流转，受到人格权的限制。即使经过匿名化处理后的数据使用仍然受限于《个保法》的目的限制原则和必要原则，企业在使用信息时的目的应与收集信息时获取用户知情同意的使用目的一致，一旦超出最初的目的须重新获取用户的许可，收集个人信息应采取对个人权益影响最小的方式，防止过度收集、滥用个人信息。从国内数据交易所的实践来看，数据产业尚缺乏对数据交易透明度的关注。交易双方的信息、数据类型等信息披露不足导致各方对于数据交易安全风险的忧虑，明确企业对于匿名化数据所有权以及相配套的限制性措施显得尤为紧迫。

政府在大数据时代掌握着众多数据资源，包含自然知识数据、经济民生数据等公共数据，同时也包含在履职过程中所掌握的个人和企业的相关数据，两类数据的权属和开放应有所区分。对于公共数据的权属，可以将其归属为国家所有，由政府以非盈利目的无偿开放，任何社会主体都能使用，满足公众对政府数据的需求；对于自然人数据（如身份、信用信息） 和企事业单位数据（如经营纳税信息），由政府控制管理，但不应该将这些数据向任何社会主体开放，针对一些特定社会主体（如商业机构、研究单位） 开发利用的需要，政府可以实施有偿有条件的开放政策，并取得相关当事人的知情同意。但必须预见到的是，政府数据开放随之带来的国家安全风险、数据安全风险、个人隐私风险不可避免，如何形成相对完善的政府数据开放模式，保障数据流通的可控性，尚待立法和数据行业的进一步探索。

（三） 公私法协同的多元数据保护机制

当前我国数据保护立法侧重于利用公法对数据行为进行规制，具体表现为：一是强调数据的国家控制，而非个人控制。《网络安全法》和《数据安全法》都是从国家整体安全观出发下的数据立法，《网络安全法》中提出的“重要数据”的概念只针对国家而非个人和企业；二是强化平台的责任追究，要求网络平台运营者承担网络安全保护义务；三是建立有效的外部监管机制，通过《反法》对市场行为进行规制，维护消费者的权益；四是健全个人信息人格权保护，通过行政手段介入和公益诉讼的方式保护人民群众的切身利益。而在私法层面，虽然司法裁判已明确数据具有财产性权益，我国在立法上对于数据产权的态度依旧谨慎。究其原因，在于赋予用户对数据绝对支配权会促使当事人将数据作为盈利的手段，而赋予企业数据产权无异于授权企业对数据进行定价，最终会导致交易成本增加，不利于数据的流通。

然而，个人信息的私法保护路径并不意味着授予用户对个人信息的绝对支配权。和单纯私人属性的物权不同，数据是包含公共利益、人格利益和财产利益的权利束。在数据权利保护的过程中，并非只能遵循一种保护路径，应该根据数据在具体行为场景中体现的不同利益，适用不同的法律规制。因此，以责任规则为主导的公法保障和以财产规则为代表的私法救济并不冲突，而是相辅相成的关系。公法立足于公共利益，通过规范数据使用行为为公众提供稳定、公平的数据流通环境；私法确立数据财产权的法律地位，明晰不同数据主体在数据财产权利体系中的权利内容，在保障个人信息安全的前提下，使企业能通过自由协商的方式约定数据权属与收益，实现数据自愿流通。

四、结语

建立数据产权制度是发展数据要素市场，健全数据交易平台的基础。数据的价值在于流动，其所具有的非排他性、非损耗性等特征使传统意义上的所有权不能完全适应数据财产，需要从社会整体利益出发，在满足不同主体的需求的同时，发展出促进数据共享流通的新型数据产权模式。一方面，要明确数据的归属权，为数据的交易流通提供稳定的法律基础；另一方面，也要着眼于数据共享所带来的个人信息安全风险，需要对企业的数据产权进行一定限制，防止数据滥用和数据垄断。●