从保护到流通：我国数据治理范式反思

摘 要：“以保护促进流通”的策略仍然是当前数据治理的首要逻辑，在此策略基础上，形成了以数据权益保护为基础的数据治理范式。然而，以数据权益保护为核心的治理范式影响了数据库赋权、竞争法保护的司法实践，阻碍了数据流通利用，进而影响数据要素价值的实现，需重新进行数据治理范式选择。通过考察我国顶层设计与社会实践、欧盟的数据治理立法进程、美国数据治理制度的发展趋势发现，数据的价值实现有赖于数据流通。但是，目前尚未形成相应治理范式对数据流通予以支撑。证成数据流通治理范式，并以此为基础指导建构我国数据基础法律制度，已成为当务之急。我国数据治理范式应以数据分类分级为工具，以有利于数据流通为前提，以数据权益保护为保障，结合不同应用场景赋予数据主体相应的数据权益，才能呼应数据“三权分置”的顶层设计。

关键词：数据流通理论；数据权益保护；数据三权分置；数据基础法律制度；数据治理范式

中图分类号：D922.16 文献标识码：A 文章编号：1001-4403（2024）01-0100-11

DOI：10.19563/j.cnki.sdzs.2024.01.010

一、问题的提出

数据治理基础范式的选择关乎国家竞争、企业权益、私权利等多元利益，决定了构建我国数据基础制度的方向。①①2022年12月2日《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（简称《数据二十条》）提出要“完善数据要素市场化配置机制，扩大数据要素市场化配置范围和按价值贡献参与分配渠道”。诚然，以数据权益保护为核心的治理范式能够对重要数据、敏感数据及个人信息进行较强的保护，一定程度上维护了个人信息安全和人格尊严。但现有数据治理范式过度强调对数据权益的保护，②②参见梅夏英：《在分享和控制之间 数据保护的私法局限和公共秩序构建》，《中外法学》2019年第4期，第845-870页；丁晓东：《数据到底属于谁？——从网络爬虫看平台数据权属与数据保护》，《华东政法大学学报》2019年第5期，第69-83页；冯晓青：《知识产权视野下商业数据保护研究》，《比较法研究》2022年第5期，第31-45页。仅寻求数据与特定主体之间的关系以及由此形成的权利，实质上落入了传统产权治理的范式。③③参见高富平：《论数据持有者权 构建数据流通利用秩序的新范式》，《中外法学》2023年第2期，第307-327页。这与我国数据治理制度的顶层设计和实践需求不相符，阻碍了数据要素市场的发展。究其原因，该制度设计忽视了数据治理的另一核心：数据的价值来源于且产生于数据流通利用。

现有研究将数据流通广泛视为数据应用方式或数据治理场景，尚未形成一个独立的理论框架。数据将在不断地交换、整合和关联过程中持续产生新的价值，而孤立、单一或分散的数据只具有有限的价值。这一现象进一步强调了数据的价值源自其流通过程。①①根据世界经合组织的研究，当数据持有者的数据被其他数据用户共享和使用时，其经济价值是未使用数据的20～50倍。参见夏义堃、管茜、李纲：《数据信托的内涵、生成逻辑与实现路径——基于数据流通视角的分析》，《图书情报知识》2022年第5期，第109-119页。因此，在数据治理领域，需要超越传统的社会治理范式，以更为理性的方式来处理数据权益保护与促进数据流通之间的权衡。具体而言，应该将数据流通视为分配数据权益的核心基础，而不再坚守传统的“以保护促进运用”的理论逻辑。②②“以保护促进应用”是当前知识产权国家战略，2021年10月9日《国务院关于印发“十四五”国家知识产权保护和运用规划的通知》明确提出，“全面加强知识产权保护，高效促进知识产权运用”。该文件专栏2将数据纳入知识产权范畴。参见https：//www.gov.cn/zhengce/content/2021-10/28/content_5647274.htm，2023年2月19日访问。这样的转变将有助于更好地应对现代数据治理的挑战。高富平教授曾于2019年提出数据流通理论，呼吁对数据进行赋权以促进数据流通。③③参见高富平：《数据流通理论 数据资源权利配置的基础》，《中外法学》2019年第6期，第307-327页。而在此之后，学界对数据流通的研究多集中于数据流通之场景设计，侧重于数据权益本身和维权目的，例如医疗数据流通④④参见张玉洁：《公共卫生风险下的医疗数据流通及其治理变革》，《河北法学》2020年第6期，第51-60页。、企业数据流通⑤⑤参见李依怡：《论企业数据流通制度的体系构建》，《环球法律评论》2023年第2期，第146-159页。等，同时对数据流通语境下的数据确权激励⑥⑥参见杨琴：《数字经济时代数据流通利用的数权激励》，《政治与法律》2021年第12期，第12-25页。、数据治理及制度⑦⑦参见赵正、郭明军、马骁、林景：《数据流通情景下数据要素治理体系及配套制度研究》，《电子政务》2022年第2期，第40-49页。进行了一定分析。可以看到，现有研究缺乏数据流通的整体视角和一般思路，研究相对分散且不协调。⑧⑧参见何金海：《企业数据流通的实践困境与破解路径》，《西南金融》2022年第11期，第43-56页。

现有数据立法未能达到制度设计预期效果，需要更深层次的反思。截至目前，我国已成立超40家数据交易所，各地纷纷出台“数据条例”“数据应用促进条例”以配合数据交易实践落地。相较于地方层面大量促进数据流通的地方性法规、条例的出台，在国家整体层面仍缺乏对数据流通和交易的有效法律规则。⑨⑨参见《全国人民代表大会财政经济委员会关于第十三届全国人民代表大会第四次会议主席团交付审议的代表提出的议案审议结果的报告》，http：//www.npc.gov.cn/npc/c30834/202210/f0ef690eb7d84b1ba74418b2ba7945cc.shtml，2023年7月15日访问。国家层面的数据流通制度缺失是造成多数交易所呈现“市场多、交易少”，或者“场外交易远大于场内交易”的情况的主要原因之一。为此，认识到数据流通重要性的学者呼吁构建统一的法律以促进数字经济发展。⑩⑩参见席月民：《我国需要制定统一的〈数字经济促进法〉》，《法学杂志》2022年第5期，第34-48页。数字经济的发展离不开数据的支撑，而如何在保障个人信息不被侵犯的同时充分发挥数据的效用，数据经营者之间如何安排数据的共享或专享，如何划分数据信息的控制权和使用权，是数字经济发展的核心问题。B11B11参见顾全：《数字化转型背景下对互联网案件审判理念的几点反思与建议》，《法律适用》2022年第1期，第99-105页。面对数字经济发展的窘境，进一步探究数据流通并将其上升至基本理论层次对于推动数据治理实践的发展至关重要。本文旨在证明数据流通治理范式相较于数据权益保护范式更有利于数据权益的实现，应作为数据治理的基础范式。

二、建立数据流通治理范式的必要性

数据权益保护范式深刻地影响了我国数据立法，但该理论逐渐暴露了数据保护不周延、司法裁判标准不确定的弊端，为此需要确立数据流通治理范式。欧盟GDPR在对个人信息处理进行强有力保护的同时，出台《数据治理法案》（DGA）及《数据法案》（DA），平衡了数据流通与数据保护的关系。欧盟GDPR亦强调个人信息应当在“高保护水平之下，在欧盟范围内以及与第三方国家、国际组织之间自由流通”。与之相比，我国在数据权益保护方面完成了《个人信息保护法》等相关立法后，并未在数据流通领域出台相关法律法规，甚至并未关注到数据流通治理范式的缺失。

（一）现行数据保护范式不利于数据的流通利用

以数据库、反不正当竞争法为代表的数据保护范式，只能作为促进数据流通的前提，并不能促进数据流通利用。以数据库保护为例，其保护的客体不是数据的利用价值，而是对于数据库的建设投入。数据库保护范式源于20世纪90年代，考虑到构建数据库需要大量的人力、技术和财务投入，为维护数据库作者的权益，欧洲议会和欧洲联盟理事会于1996年3月11日正式颁布了《欧洲议会和理事会关于数据库法律保护的指令》（以下简称《指令》），为数据库作者提供了版权和特殊权利两种数据库保护模式。根据《指令》第3条关于保护客体的规定，对数据库的选择和编排是数据库作者获得版权保护的唯一原因，该版权保护不得扩张至数据库的内容及其所享有的权利。①①②See Directive 96/9/EC of the European Parliament and of the Council of 11 March 1996 on the legal protection of databases，Article 3，Article 7.版权保护范式着重于表达方式，而非思想（即表达的内容），无法对“数据”提供有效保护。欧盟《指令》除了提供版权保护范式外，还为数据库作者提供了特殊权利保护范式。在特殊权利保护范式下，《指令》将数据库分为实质性部分（substantial part）和非实质性部分（insubstantial part）。《指令》第7条第1款规定，数据库作者对数据库内容的获取、核验或选用方面做出了定性或定量的实质性投入的部分，享有保护权利，即数据库作者自然地拥有实质性部分的权利。同时，第5款规定，“若连续且系统地提取或反复利用数据库非实质部分的内容，且这种行为违反了数据库的正常使用或不合理地损害了制作者的合法权益”是不被允许的，即数据库作者对非实质性部分享有附条件的权利。②然而，特殊权利保护范式无法有效地平衡数据库作者的利益和公共利益之间的关系。上述分析说明，数据库保护范式并未将焦点放在“为了数据流通而保护数据”的视角上，其设计主要基于“额头流汗原则”，这种过于强硬的保护遭到了社会公众的强烈反对。③③受欧盟《指令》的影响，美国国会于1996年5月23日讨论了编号为H.R.3531的“1996年数据库投资及反知识产权侵权法案”，该法案对数据库的保护水平较欧盟更高，且设置了强大的民事救济与刑事制裁，导致合理使用制度不能适用，且给予数据库作者以绝对垄断的权利，遭到社会各界的反对，因而未在美国第104届国会上获得表决通过。见陈明利：《论数据库特别权利的法律保护》，《新世纪图书馆》2008年第3期，第63-66页。该法案被否决也说明了数据权益保护立法应平衡数据库作者利益与公共利益之间的关系，否则无法获得民众基础。与数据库保护的事前授权范式相比，竞争法保护范式更强调事后救济机制。竞争法保护范式包括一般条款、互联网专条以及商业秘密保护等多种救济措施，在实践中存在诸多问题。④④参见商建刚、马忠法：《数据权益的实现：从保护到运用》，《社会科学辑刊》2023年第3期，第46-57页。

（二）现行数据保护范式带来司法的不确定性

以数据库、反不正当竞争法为代表的数据保护范式，由于相关制度的不完善，产生了司法不确定性的风险。《指令》作为形成时间较早的具有影响力的立法，一定程度上为我国早期的数据相关诉讼案件提供了裁判思路，但版权保护范式带来的问题是，如何界定选择和编排的独创性会给法官带来较大的裁量空间。“北京阳光数据公司与上海霸才数据公司”案中，法院认为将信息流通过一定的手段进行汇集和编排不符合作品的独创性要求，不能认定为汇编作品。⑤⑤参见北京市第一中级人民法院（1996）一中知初字第54号民事判决书。然而在“大众点评诉爱帮网”案中，法院认为大众点评网通过商业运营使用户评价达到一定规模，并进行了汇编，大众点评网是评论集的汇编权著作权人。⑥⑥参见北京市海淀区人民法院（2008）海民初字第16204号民事判决书。两法院对汇编作品的认定给出截然相反的裁判准则，足以反映出认定汇编作品选择和编排是否具有独创性难度较大。同时，尽管《指令》进行了实质性保护和非实质性保护的划分，但是《指令》并没有明确区分实质性部分和非实质性部分，这也为司法带来了裁判标准无法统一的困扰。2005年12月12日，欧盟委员会发布了关于《指令》实施效果的评估报告，该报告显示，欧盟各国对《指令》第7条提到的“实质性投入”标准存在广泛的争议。例如，在荷兰地方法院的NVM v.De Telegraaf案中，将收集和保存实时信息所花费的数千欧元认定为“实质性投入”；而在德国最高法院的Hit Bilanz案中，收集和核实德国每周“十大”热门歌曲的名称被认定为“实质性投入”。这两个案例的裁判标准显然不一致。①①参见叶秀明：《数据库特殊权利保护制度对欧盟的影响》，《图书情报知识》2011年第3期，第115-121页。之后，在British Horseracing Board v.William Hill（2004）案中，英国上诉法院则认为，只有用于获取数据以组成数据库内容的投资才能享受特殊权利的保护。②②See British Horseracing Board v.William Hill（2004） EU Case C-203/02.在同时期的美国立法中，对非实质性部分给出了定义，认为数据库的非实质性部分即为对其提取、使用或再利用，不会削弱数据库的价值，不会与数据库的正常使用冲突，也不会对数据库的实际或潜在市场产生不利影响的部分。③③See Congress.gov.Actions - H.R.3531 - 104th Congress （1995—1996）：Database Investment and Intellectual Property Antipiracy Act of 1996.这表明欧盟立法者试图在数据流通与数据权益保护之间达成平衡，数据库的特殊保护范式并未取得理想的效果。④④参见郭建：《数据库特殊权利保护的检视与反思》，《数字图书馆论坛》2006年第3期，第52-54页。

除数据库保护范式存在较多司法争议外，我国《反不正当竞争法》也带来了司法的不确定性。以“上海钢联公司诉上海纵横今日公司等”一案为例，法院认为涉案信息是原告通过大量投资、承担风险和长期经营得来的，相比单一的、分散的涉案信息，经过整理的信息具有更高的价值。被告的行为违反了商业道德，被认定为“彻底的搭便车行为”。⑤⑤参见李国泉、杨馥宇：《反不正当竞争法一般条款对数据信息的保护》，《电子知识产权》2014年第4期，第97-99页。然而，尽管“搭便车”在道德层面上具有一定的可责性，但道德上的可责性与“搭便车”行为在法律上是否具有可责性并无直接关系。新产品本就基于旧产品进行创新，特别是在日新月异的数据要素市场，新的经营者进入新领域致力于开发新产品、新服务时，一定会基于现有成果进行再开发或再创造。简言之，在数据要素市场，模仿是竞争的前提。因此，若直接引入现有道德标准来规制非极端的“搭便车”行为，可能导致裁判结果受不确定的法外因素影响而脱离市场规律和竞争机制，造成裁判标准的不确定性及裁判结果的碎片化，从而阻碍数据流通。

（三）现行数据保护范式产生了阻碍数据流通利用的不利后果

通过对当前主要的数据保护范式分析发现，数据库保护范式由于只保护表达而非肯定数据的流通价值，无法全面保护数据，同时裁量空间较大，阻碍了数据的流通。对司法实践的考察发现，对数据进行保护限制了数据流通，而非促进数据流通。例如在数据侵权案件中，有些法院会根据“三重授权原则”来判断被告是否侵权。该原则确立于“微博诉脉脉不正当竞争案”。审理此案的法院认为，互联网中第三方应用通过开放平台例如Open API范式获取用户信息时，应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则，第三方应用未经用户同意且未经开放平台授权，获取并使用平台用户信息的行为，构成不正当竞争行为。⑥⑥参见北京知识产权法院（2016）京73民终588号民事判决书；陈兵：《法治视阈下数字经济发展与规制系统创新》，《上海大学学报（社会科学版）》2019年第4期，第100-115页。自此案后，该原则被广泛适用于采用Open API端口进行数据抓取的纠纷中。例如在“腾讯诉抖音多闪案”中，法院认为“该原则已经成为开放平台领域网络经营者应当遵守的商业道德”。⑦⑦参见天津市滨海新区人民法院（2019）津0116民初2091号民事裁定书。三重授权原则在认可了用户和企业对于数据在某种程度上有限的控制权的同时，增加了数据下游企业的数据合规成本，阻碍了数据的流通。从这个角度看，竞争法并不能保护数据，现有依据竞争法裁判的案例本质上并不是在保护数据的权益，而是在保护企业基于数据而享有的竞争利益。

综上，从当前的数据权益保护范式来看，任何与数据权益保护相关的范式或制度由于不符合数据要素的特性，在数据流通中不断凸显其缺陷。因此，应当以数据流通治理为前提，以数据权益保护为保障，平衡各个权益主体之间的关系，尽可能地释放数据元素的增长潜能，以促进数字经济的繁荣发展。

三、建立数据流通治理范式的可行性

迈克尔·桑德尔在《公正：该如何做是好？》一书中讨论了正义的三种逻辑，即追求福利最大化的功利主义、尊重个体权利的自由至上主义以及提倡公民德性和共同善的政治观，其中提到了“应得”原则。亚里士多德认为，为了决定某物品的正当分配方式，需要研究被分配之物的目的或者意图。①①参见迈克尔·桑德尔：《公正：该如何做是好？》，朱慧玲译，中信出版社2012年版。流通是实现数据社会化利用的方式，以流通构建数据治理范式符合数据价值实现的内在逻辑。对数据权益保护范式或者数据流通治理范式的价值选择，体现了“应得”原则。20世纪60年代，诺贝尔经济学奖得主乔治·斯图尔特·班纳德和乔治·约瑟夫·斯图尔特·班纳德等人提出信息经济学概念，认为信息具有价值，信息的获取、传递和处理信息都需要成本，这些成本被称为信息交易成本，信息交易成本的高低会影响市场的运作和效率。②②See Stigler，George J.The economics of information.Journal of political economy，1961，69，3，pp.213-225.亚里士多德将“应得”作为正义分配原则的法哲学思想，信息经济学原理可以作为数据流通治理范式的理论基础。按照信息经济学的观点，数据的价值取决于数据流通，而不在于数据本身。数据是信息的载体，信息通过数据流通实现信息流通，以“数据流通”为逻辑原点构建数据治理体系，既贴合数据的内在属性，也符合数据价值最大化的社会经济目标。因此，促进数据流通是释放数据要素价值、赋能数字经济建设的重要举措。③③参见曾彩霞、朱雪忠：《欧盟企业数据共享制度新动向与中国镜鉴——基于欧盟〈数据法〉提案的解析》，《德国研究》2022年第6期，第83-98页。

（一）我国的数据治理实践在于鼓励数据流通

首先，国家政策层面，若干指导意见鼓励数据交易和流通。2020年3月30日，中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》，开宗明义“促进要素自主有序流动”，第一次将数据和土地、资本、技术、劳动力一起并列为“五大生产要素”。④④参见《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》，http：//www.gov.cn/zhengce/2020-04/09/content_5500622.htm，2023年2月9日访问；赵阿琼：《数据跨域流动安全保护的比较研究》，《宁夏大学学报（人文社会科学版）》2023年第2期，第154-160页。该意见提及的数据权益保护主要是指隐私、数据安全，服务于数据流通的政策目的。⑤⑤此前也有若干意见鼓励数据流通，如2015年《国务院办公厅关于运用大数据加强对市场主体服务和监管的若干意见》要求政府向社会力量购买数据资源。同年国务院《促进大数据发展行动纲要》要求培育大数据交易市场，开展大数据衍生产品交易，鼓励数据交换和交易，建立数据交易标准。2020年《工业和信息化部关于工业大数据发展的指导意见》规定推动相关单位通过流通、交换、交易的方式进行数据资源开放流动，并制定大数据资产价值评估体系，制定交易规则，开展数据资产交易试点。2022年12月19日，《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（“数据二十条”）对外发布，该意见布局了数据产权、流通交易、收益分配、安全治理等维度的数据基础制度构建，旨在激活数据要素潜能，赋能数字经济。立法层面，我国法律将数据视为财产以鼓励流通。《中华人民共和国民法典》第127条“法律对数据、网络虚拟财产的保护有规定的，依照其规定”，确立了数据的财产属性。⑥⑥参见刘伟：《政府与平台共治：数字经济统一立法的逻辑展开》，《现代经济探讨》2022年第2期，第122-131页。《数据安全法》将数据发展列为单独章节。《电子商务法》第69条第1款规定要鼓励电子商务数据的开发，保障电子商务数据的有序自由流通。另外，一些地方条例也鼓励数据交易和流通。如《浙江省数字经济促进条例》第26条第4款规定“县级以上人民政府及其科技等部门应当培育和发展数字产业技术交易市场”。⑦⑦除此之外还有《天津市促进大数据发展应用条例》要求培育数据交易市场，鼓励在依法设立的数据交易服务机构进行数据交易。《深圳经济特区数据条例》《上海市数据条例》《山西省大数据发展应用促进条例》《吉林省促进大数据发展应用条例》等都做出了类似规定以培育交易市场，鼓励数据交易。实践层面，在尚未形成数据流通制度的情况下，我国近几年已围绕数据要素流通进行了较为充分的探索。2020年10月，深圳作为中国特色社会主义先行示范区，率先加快培育数据要素市场，进行了数据产权制度、数据产权保护和利用新机制、数据隐私保护制度的探索。①①参见《深圳建设中国特色社会主义先行示范区综合改革试点实施方案（2020—2025年）》，http：//www.gov.cn/zhengce/2020-10/11/content_5550408.htm，2022年2月9日访问。2021年，北京国际大数据交易所和上海数据交易所相继成立。北京国际大数据交易所采用“数据可用不可见、用途可控可计量”的新型交易范式，成立了全国首个国际数据交易联盟，涵盖交易主体、交易客体、相关服务单位等全要素市场参与方。上海数据交易所则首提“数商”新业态，涵盖数据交易主体、数据合规咨询、质量评估、资产评估、交付等多个领域，培育和规范新主体。②②参见吴蔚：《数据基础制度建设筑基数字时代》，《经济参考报》2022年7月4日，第8版。2023年4月4日，广东省政务服务数据管理局对外发布《广东省数据流通交易管理办法（试行）（征求意见稿）》。③③广东省政务服务数据管理局关于《广东省数据流通交易管理办法（试行）》系列文件公开征求意见的公告，http：//zfsg.gd.gov.cn/hdjlpt/yjzj/answer/27595，2023年7月15日访问。无论是我国政策、立法抑或实践层面，均体现了促进“数据流通”的核心目的，数据流通治理范式成为国家数据要素市场顶层设计的理论基石。因而，在此框架下提出的数据治理范式也应符合国家的价值取向，以数据流通治理范式作为设计原点。

（二）域外的数据治理内在逻辑在于促进数据流通

欧美的数据立法及实践路径已从数据保护转至数据流通。早在20世纪60年代，美国和欧洲便开始关注数据保护问题。考察美国的数据立法进程，美国的数据立法体现为两大特点。其一，数据立法围绕数据流通利用和隐私保护之间的平衡展开，美国的数据法律通常鼓励企业自我监管和合规，采取措施保护个人数据并遵守法律要求。这与其他一些国家的监管模式形成了鲜明对比。其二，数据立法体现为零散性和碎片化、行业性和部门性特点，尚未形成全国一致性立法。例如，美国国会在1966年通过了《信息自由法案》（FOIA），使个人能够获得联邦机构文件的访问权。与此同时，FOIA通过将个人信息排除在政府必须披露的材料之外来保护个人隐私。④④See the United States Department of Justice：FOIA，https：//www.foia.gov/about.html，last visited on 2023-09-07.1976年，美国国会还通过了《隐私法》，以规定联邦机构如何处理个人信息。⑤⑤See the Office of Privacy and Civil Liberties：Privacy Act of 1974，https：//www.justice.gov/opcl/privacy-act-1974，last visited on 2023-09-07.到20世纪80年代，美国继续采取行业性和部门性的立法措施。例如，为了应对20世纪70年代末和80年代初数据匹配技术的广泛使用，美国国会于1988年通过了《计算机匹配和隐私保护法》来限制联邦政府的数据匹配程序。⑥⑥See the United States Congress：CMPPA，https：//www.congress.gov/bill/100th-congress/senate-bill/496/text，last visited on 2023-09-07.相比于美国，许多欧洲国家在国家层面上采取了综合性的数据保护措施。1968年，欧洲理事会（COE）的议会大会要求其部长委员会确定《欧洲人权公约》（ECHR）和COE成员国的国内法是否涵盖了个人数据的处理。⑦⑦See the Council of Europe：ECHR，https：//www.echr.coe.int/documents/d/echr/Convention_ENG，last visited on 2023-09-07.然而，不同欧盟国家内部存在不同的数据保护标准，为打通不同国家的数据壁垒，1981年COE通过了《关于个人数据自动化处理的个人保护公约》，该公约也被称为“108号公约”，对各成员国个人数据跨境流动进行了统一规定。⑧⑧See the Council of Europe：Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data，https：//rm.coe.int/1680078b37，last visited on 2023-09-07.在此之后，欧盟逐步建立以通用数据保护法规（GDPR）为核心的高标准数据保护立法。

而近几年，欧盟采取立法主导下的强数据共享范式，美国采取判例主导下的强数据开放范式，两者都体现了促进数据流通的数据治理思路。美国《联邦数据战略》阐明了美国政府数据方面的10年计划。⑨⑨See United States GovernmentO.Federal Data Strategy，https：//strategy.data.gov/.，last visited on 2023-02-19.美国未来的数据权益保护制度将围绕最大化数据价值展开，重在数据流通。与欧盟相比，美国没有诸如GDPR这样单一完整的顶层设计，相反，美国采用联邦和各州的法律法规共同管理数据的分散立法范式，增加了数据流通的可能性。司法实践中，美国“数据治理”制度以数据自由为基础，其数据治理仍以促进数据使用和流通为原点。如Spokeo，Inc.v.Robins （2016）一案，美国最高法院裁定，原告必须证明遭受了“具体和特定”的伤害，才能根据FCRA提起诉讼。①①See Spokeo，Inc.v.Robins，578 U.S.（2016），https：//supreme.justia.com/cases/federal/us/578/13-1339/，last visited on 2023-02-20.这项裁决让个人更难以起诉公司违反FCRA和其他隐私法。在Target Corp.Customer Data Security Breach Litigation（2015）案中，联邦法院驳回了一起个人诉讼，因为法院认为原告没有因个人数据泄漏遭受任何实际损害。②②See Target Corporation Customer Data Security Breach Litigation，MDL No.14-2522（PAM）（2015），file：///C：/Users/15382/Downloads/Target_Case_Update_072214.pdf，last visited on 2023-02-23.可见美国司法实践在个人数据泄漏未造成实质损害时不会对企业追责，该裁判思路扩大了数据流通的范围，印证了尽可能促进数据流通的数据治理思路。

除美国外，欧盟的数据立法进程也体现了从数据保护到数据流通的思路转变。GDPR规定，欧盟在数据流通中强调以人为本，并以此为基础在数字世界中促进欧洲的价值观与权利的发展。③③See A European Strategy for Data，https：//digital-strategy.ec.europa.eu/en/policies/strategy-data，last visited on 2023-02-19.以GDPR为顶层设计，欧盟建立了以个人权利为中心的数据权益保护框架，旨在“确立欧盟在数据驱动社会中的领导地位，构建数据可在欧盟内部不同行业自由流通，有利于商业、研究和公共管理的单一市场”。④④See European Commission.European data Strategy，https：//commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_en，last visited on 2023-02-19.然而，这种过强的数据保护策略致使2023年福布斯全球科技公司排名中前10名已经没有欧洲的企业。⑤⑤参见福布斯中国网，https：//www.forbeschina.com/lists/1807，2023年2月19日访问。事实证明，过强的数据保护不利于数字经济的发展。故此，欧盟以个人数据权益保护为前提，全面推进公共领域与私人领域的数据流通。⑥⑥参见林梓瀚：《基于数据治理的欧盟法律体系建构研究》，《信息安全研究》2021年第4期，第335-341页。实际上，从108号公约到GDPR，欧盟内部不断统一各国数据处理标准已实现欧盟内部数据共享，体现了其促进数据流通的思想。在《欧盟数据战略》的统领下，欧盟于2022年先后颁布《数据治理法案》及《数据法案》，增加数据共享互信，加强数据可用性，克服数据再利用方面的技术障碍，并形成公平获取和使用数据的统一规则。⑦⑦See European Commission.Data Act，https：//digital-strategy.ec.europa.eu/en/policies/data-act，last visited on 2023-02-19.总之，欧盟数据立法的落脚点逐渐向增加数据可用性、促进数据的公平获取和流通转移。在裁判过程中，欧盟法院一直致力于平衡数据主体私权利、数据自由以及公共利益之间的关系，避免因过度保护个人权利而阻碍数据的使用与流通。欧盟法院的司法裁判表现出限缩数据权益范围、支持数据流通的倾向性。如Breyer v.Germany（2016）案中，法院裁定网站运营商持有的动态IP地址一般情况下不构成个人数据，只有在运营商可使用合法手段通过IP地址识别相关用户时才构成个人数据。⑧⑧See Breyer v.Germany（2016） CJEU- C-582/14-Patrick Breyer，https：//gdprhub.eu/index.php/CJEU_-_C%E2%80%91582/14_-_Patrick_Breyer，last visited on 2023-02-19.在EDate Advertising GmbH v.X（2011）案中，法院认为数据主体的被遗忘权不延及由第三方准确和合法发布的信息。该判决强调了在数据主体权益与公众获取信息利益之间取得平衡的重要性。⑨⑨See EDate Advertising GmbH v.X（2011） C-509/09 and C-161/10，https：//www.5rb.com/wp-content/uploads/2013/10/Martinez-Judgment.pdf，last visited on 2023-02-19.由此可见，欧盟的数据权益保护制度虽强调个人权利的地位，但最终以促进数据流通为目的，避免因过度保护造成数据价值流失。

欧盟和美国的数据立法及司法裁判思路均在个人权益保护的基础之上强调数据的使用和流通，在未对个人隐私权益产生实质影响时，数据泄漏行为不具可诉性，可以说欧盟和美国正致力于平衡个人权利和公共权益之间的关系，力图寻求数据价值最大化的流通路径。该裁判思路符合数字社会的价值取向，能促进数据要素的高效利用和合理开发，有助于驱动数字经济发展，体现了数据流通治理范式的要义及其合理性。国内有学者通过经济学分析表明，宽松的个人数据保护法有利于社会总福利的增加，有利于发挥数据跨境流动与劳动力迁移的替代效应，降低社会费用；有利于发挥社会有序和无序的双义作用，提升信息技术创新水平。①①参见王秀秀：《个人数据保护立法的经济分析与路径选择》，《上海师范大学学报（哲学社会科学版）》2017年第3期，第48-59页。因此，在构建我国数据治理范式的过程中可吸收欧盟和美国有益的裁判思路，将数据流通置于优先于数据权益保护的核心地位。

四、数据流通治理范式的内部构成

虽然现有制度设计已将数据流通纳入核心考量范围，但数据权益保护仍然是数据治理的单一理论，如何对数据权益进行保护是考量的重点，而数据流通的重要性则被忽视。信息不是为了保护而存在；相反，恰恰是为了利用。②②参见申卫星：《论个人信息权的构建及其体系化》，《比较法研究》2021年第5期，第1-13页。在数据权益保护、数据赋权、数据流通利用三者之间的关系方面，数据权益保护并不是数据流通的基础，进行数据确权只是进行数据流通的前提。③③参见杨琴：《数字经济时代数据流通利用的数权激励》，《政治与法律》2021年第12期，第12-25页。如果数据不流通，进行确权或数据权益保护的意义又何在？因此，数据流通治理范式优于数据权益保护范式，应作为数据治理的基础理论。正如上文分析，任何数据治理范式都应尽可能平衡数据权益保护与数据流通，在我国尚未形成数据流通治理范式共识的当下，促进数据的合规、高效流通应该是数据立法的主要目标，基于此可以形成符合数据特质的数据治理思路。

（一）数据流通治理范式的价值内涵：以“数据二十条”三权分置为视角

以数据流通为核心构建数据治理范式，能淡化数据所有权，进一步促进数据的自由有序流通。2022年出台的“数据二十条”构建了我国数据基础制度指导框架。在“数据二十条”体现数据流通治理范式的同时，数据流通治理范式反过来也可以作为数据三权分置的理论基础。目前尚未从国家层面以立法形成对数据资源持有权、数据加工使用权、数据产品经营权进行定义，现有实践与研究缺乏对“数据二十条”精神实质的把握。④④参见姜奇平：《数据要素市场化向何处去》，《互联网周刊》2023年第6期，第6页。近期部分地方立法尝试对三权进行定义，为明确三权含义提供良好镜鉴。⑤⑤例如《深圳市数据产权登记管理暂行办法（征求意见稿）》对“三权”做出了定义。本文尝试对三者概念进行厘清，进一步明确数据流通治理范式的价值内涵。

基于数据流通治理范式，三权应以最大限度地促进数据流通为目标进行权利设计。第一，数据资源持有权应至少包括两方面权能：其一，对数据合法持有、管理和防止侵害的自主管理权；其二，同意他人获取数据或转移所持有数据的数据流转权。⑥⑥参见初萌：《数据产权“三权分置”是什么》，《学习时报》2023年1月18日，第3版。持有权不等同于所有权，所有权是绝对排他权，而数据却具备有限排他性。⑦⑦参见吴汉东：《数据财产赋权的立法选择》，《法律科学》2023年第4期，第44-57页。数据资源持有权的提出，意味着我国数据治理范式放弃了所有权的立法思路，催生出一种“准占有”的新型权利样态，旨在为数据权利主体“依法持有”数据提供法律依据，以防止其他主体对数据的非法获取和利用。⑧⑧参见邓辉：《数据“三权分置”的新路径》，《中国社会科学报》2022年9月28日，第4版。但应注意，数据的价值在于流通，持有权人也应负有促进数据流通之义务，而非通过排他的方式禁止他人进行数据开发活动。第二，数据加工使用权应包括两方面权能：其一，对数据进行实质性加工和创新性劳动的权利；其二，在经营活动中有权使用自己收集的数据。出于个人信息保护之目的，实践中数据处理者往往不能自由处理在经营活动中收集到的数据，从而阻碍了数据产生新的价值。实质性加工是指提高数据可用性的过程，而在此过程中企业往往会进行人力、资金等投入，从而形成更高价值的数据集合。创新性劳动则是指通过个性化选择、创新添附等，使数据集合价值进一步提高。允许数据处理者使用自己在经营活动中收集的数据，并对之进行实质性加工和创新性劳动，可以避免复杂的授权要求，进而创造新的价值，同时为用户提供更好的服务，实现合规成本节约和社会效益的最大化。第三，数据产品经营权应至少包括两方面权能：其一，合法经营数据产品的权益；其二，对第三方的限制性权益。通过数据资源持有权及数据加工使用权形成数据产品，仍然不能完全实现数据流通，还需一权利允许数据产品进入市场，例如通过数据交易所进行交易，这也是数据产品经营权的最重要的权能。①①孙莹：《企业数据确权与授权机制研究》，《比较法研究》2023年第3期，第56-73页。

“数据二十条”淡化数据所有权，针对不同主体需求确立了数据产权生成的全新路径，通过推动数据不同权利的有序分离，承认和保护各权益主体的合法权益，符合数据流通的使用需求，该意见为我国以数据流通治理范式为核心构建全新的数据治理范式奠定了良好且全面的政策基础。

（二）数据治理以数据分类分级为工具

试图以简单方式一劳永逸地解决数据治理问题不可取，因为数据具有多维属性，导致权益体系难以厘清，且数据涉及多元主体，致使各方权益难以平衡。数据具有复用性、共享性、多归属性、高动态性等多重特征，②②参见中国信通院：《数据治理研究报告——数据要素权益配置路径（2022年）》，http：//www.caict.ac.cn/kxyj/qwfb/ztbg/202207/P020220715499261607181.pdf，2023年2月23日访问。承载着人格利益、财产利益等多重利益属性，若通过类似所有权的简单范式将数据权利归于单一主体，会极大地降低数据的正外部效应，限制数据的经济潜能。③③参见殷仍、惠志斌：《论数据要素市场下数据权益配置》，《信息安全与通信保》2022年第3期，第2-9页。同时，数据涉及政府、企业、个人等多方主体，面对复杂的权利义务关系，不同主体权益诉求不同，进而产生权利冲突。数据的上述特质决定了数据治理需要综合考虑，由此才符合数据经济潜能最大化的目的和各数据主体的利益诉求。不同种类的数据无法被单一安排统摄，因此对数据进行分类分级是实现差异化数据权益的必要工具。数据分类分级不仅能对数据进行差异化管控，打破“全闭”或“全开”的二元对立局面，还能应对数据大规模流通产生的安全风险。分类分级的差异化进路主要体现为数据、主体以及场景的分类分级。为顺应数字经济发展要求，除探索数据分类分级及其场景化规则外，还应考量个人信息保护。④④参见孙晋、冯涛：《数字时代数据抓取类不正当竞争纠纷的司法裁判检视》，《法律适用》2022年第6期，第112-120页。

从既有实践看，现有数据分类分级制度采取了静态判断标准。欧盟采取了二元分类方法，将数据分为个人数据与非个人数据。例如GDPR为个人数据的保护、流通、处理做出了系统性规定，《非个人数据自由流通框架条例》则概括规定了非个人数据的流通规则。美国根据涉密数据可能造成的危害，制定了《国家安全信息分类》，将信息分为秘密、机密、绝密三类。对不属于上述分类的信息，美国颁布了第13556号行政命令《受控非密信息》，已包含关键基础设施、国防、出口管制、国际协议、法律等20个大类及项下共计124个子类别。⑤⑤参见陈兵，郭光坤：《数据分类分级制度的定位与定则——以〈数据安全法〉为中心的展开》，《中国特色社会主义研究》2022年第3期，第50-60页。由于数据兼具个人数据与非个人数据的特征，静态的二分法与实践需求割裂，美国与欧盟采取的静态数据分类分级制度在实践中可能遭遇挑战，导致规则适用的冲突。

我国逐步走出了数据分类分级动态判断标准的新进路，应在此基础上考虑不同主体的数据法律关系。《网络安全标准实践指南——网络数据分类分级指引》中规定了数据分级的具体方法，将数据分为一般数据、重要数据、核心数据三个级别，并在此基础上引入了场景化治理方法，如面对数据量级、精度、关联、是否披露等情况，对数据做出升级或降级处理。⑥⑥参见全国信息安全标准化技术委员会秘书处：《网络安全标准实践指南—网络数据分类分级指引》，https：//www.tc260.org.cn/upload/2021-12-31/1640948142376022576.pdf，2023年2月23日访问。这种数据动态分类分级标准和结合具体数据处理措施赋予主体不同的权益。通常情况下，一种数据会符合多种分类分级方式，并可能被赋予不同标签，从而生成相应的权利义务关系，在保障个人、企业合法利益以及国家安全的基石之上实现数据分类分级动态管理。法律关系方面，个人与其他主体之间的数据法律关系主要以个人信息权益保障为主。企业与其他主体之间的数据法律关系则包括数据收集、数据交易、数据共享等。企业收集个人信息的行为是企业与个人之间主要的数据法律关系，企业之间的数据活动则较为丰富。政府与企业之间可通过签订数据整合、处理委托协议等进行数据开放，政府与政府之间则主要通过国际协定或双边协定等进行数据共享。

（三）数据治理以促进数据的价值实现为核心

数据流通的价值实现进路主要体现为让数据自由流通于各主体之间，充分释放价值。数据治理不能因过度强调权益保护而忽略数据作为生产要素的属性，要鼓励数据利用与创造价值的行为。数据应当最大限度地进行流通。可考虑建立动态的数据治理范式，以便在不同数据处理和应用场景中动态平衡数据权益保护与数据流通的需求。建构数据流通治理范式并不意味着与数据权益保护范式产生对立，事实上，仍然需要数据权益保护范式起到维护数据权益的关键作用。动态治理范式要考虑到数据在不同主体之间流通的环节，包括收集、交易、共享等，分别赋予各数据主体权益不同权重，根据不同的数据权益主体，赋予其不同的权益与责任。同时要考虑不同处理环节数据的转变，如个人信息匿名化处理后可能转变为企业经营管理数据。此外，还要考虑到不同环节的数据主体权责分配，如企业接受政府委托处理公共数据，开发利用后的公共数据是否因此享有竞争或排他性权利等问题需进一步考量。综合考虑不同场景的数据权益变化，设置动态可变的数据治理标准，能更好地平衡各数据主体交织的权益诉求，最大限度地发挥数据要素价值。

个人数据需在提供权益保护的基础上尽可能促进数据流通。鉴于GDPR第4条“数据保护与其他基本权利之间的平衡”规定：个人数据的处理应当为人类服务。保护个人数据的权利不是一项绝对权，必须结合其社会价值加以考量，并根据比例原则与其他基本权利相平衡。个人数据控制权某种程度上与信息的自由获取权存在冲突，但即便是与个人密切相关的个人信息，也是其社会生活的写照，不能排他地为个人所有。①①参见高富平：《个人信息保护：从个人控制到社会控制》，《法学研究》2018年第3期，第84-101页。换言之，任何个人数据都具备公共属性，最终需要发挥其社会价值，保护个人数据的目的在于保护个人的基本权利不因个人数据的使用而受到侵犯，而非让个人完全控制其个人数据。

企业/商业数据则是为创造经济价值而生，商业数据的经济价值必然通过转让、处理和交易产生，因此其核心是在不损害他人权益的基础上实现最大限度的流通，释放数据经济价值。商业数据根据其收集和处理的不同阶段可分为原始数据、数据集合与数据产品，基于不同阶段的价值形态又生成不同的权益。如原始数据阶段，个人权益占据主导地位，数据治理应以保护个人人格权益为主。数据集合阶段，企业仅对数据收集投入了劳动，尚未改变原始数据结构，因此数据集合应同时承载着个人人格权益与企业权益，此时的数据治理应以两种权益互不干扰为设计原点。数据产品阶段，企业对数据集投入了大量智力劳动，进行了深度开发与归纳，改变了数据结构。此时，数据的人格权益不复存在，仅包含企业财产权益，因此，该阶段的数据权益的实现应围绕数据产品的持有、使用、交易展开。

公共数据属于公共资源，我国社会主义公有制的社会制度决定了公共数据权益应归属于政府，但其最终收益归属于全体人民。②②参见中国信通院：《数据治理研究报告——数据要素权益配置路径（2022年）》，http：//www.caict.ac.cn/kxyj/qwfb/ztbg/202207/P020220715499261607181.pdf，2023年2月23日访问。公共数据作为数据要素的重要组成部分同样需要不断流转以发挥价值，因此数据开放是释放公共数据价值的关键手段。美国对于联邦政府数据和非联邦政府数据均采取了授权许可协议的使用范式，③③参见徐成：《论政府数据开放安全风险及其法律治理》，2021年湘潭大学硕士论文。我国可借鉴该思路，针对不同种类的公共数据设置不同级别的授权许可：低风险数据完全开放，中风险数据针对满足要求的用户开放，较高风险数据在严格监控下针对满足要求的用户开放，高风险数据不开放。如此可提高监管能力，保障公共数据安全开放。

相应地，我们现行的司法裁判思路应从“重数据保护”转移到“重数据流通利用”上来，司法裁判不能禁止数据获取行为，不能限制数据流通。数据资源持有权、数据加工使用权、数据产品经营权所保护的法益是基于对数据利用而形成的权益，诸如权利人基于数据而形成的创新产品或者服务能力。

五、结论

中国数据要素市场的建立与运营面临诸多障碍，数据要素权益配置是亟待解决的基础性问题。①①参见商建刚：《数据要素权益配置的中国方案》，《上海师范大学学报（哲学社会科学版）》2023年第3期，第82-94页。促进数据流通是充分释放数据要素价值的必然选择。长期以来，我国数据法治研究受数据权益保护理论桎梏，未能有所突破，其原因在于数据法研究与实践接轨不足。②②参见袁曾：《数字法学研究现状的再反思——法学理论向何处去？》，《上海政法学院学报》2023年第3期，第116-125页。为建构符合实践需求的数据治理范式，应从现实着手考量。制度层面，从我国国家顶层设计和社会实践来看，在还未形成理论共识的情况下，立法和政策已着手鼓励数据的交易和流通。实践层面，由于数据权益保护范式与数据流通特性相矛盾，数据库保护范式、竞争法保护范式在促进数据流通方面存在弊端。促进数据流通的新型数据治理思路不仅是制度安排，也是实践之需，数据流通治理范式应运而生。因此，数据治理不应只选择以“控制”为核心的数据权益保护范式，还应建构数据流通作为数据治理的基础范式。数据治理的路径应以分类分级为工具，以数据流通为前提，以数据权益保护为保障，合理分配各类数据主体在不同场景中的动态数据权益，寻求数据权益保护和数据流通之间的最大公约数。基于数据流通治理范式构建我国基础数据法律制度，能够打破传统的数据权益保护思维，迈向数据流通。

From Protection to Circulation：Rethinking China’s Data Governance Paradigm

Abstract：The strategy of “promoting data circulation through data protection” remains the primary logic of current data governance，forming a data governance paradigm based on the protection of data rights and interests.However，the data rights protection theory has affected the judicial practice of database empowerment and competition law protection，hindering the flow and use of data and thus affecting the realization of the value of data elements，which requires the establishment of a new paradigm choice.By analyzing China’s top-level design and social practice，the EU’s data governance legislative process and the development trend of the U.S.data governance，it can be found that the value of data based on data circulation.However，the corresponding governance paradigm to support data circulation has not yet been established，and it has become an urgent task to prove the data circulation governance paradigm and guide the construction of China’s data-based legal system.China’s data governance paradigm should use classification as a tool to facilitate the circulation of data as a prerequisite，and the protection of data rights and interests as a guarantee，combined with various application scenarios to give the data subject the corresponding data rights and interests.

Key words：data flow theory;protection of data rights and interests;separation of three rights of data;data legislation;data governance paradigm