論數據的法律規制模式選擇

寧立志 傅顯揚

內容提要：數據權利化與非權利化之爭莫衷一是，兩類主張的論說通常從權利和法益保護理論展開，鮮有立足于我國大數據發展現狀的實證分析。當前關于數據規制模式的主張包括立法賦權模式和行為規制模式兩種。選擇數據規制模式屬于立法范疇的問題，應當依據立法活動自身的方法和原則作出選擇。無論是作為立法方法的歸納法，還是作為立法價值考量的效益原則和適配原則，都以立法規制對象自身的實證分析為起點。回歸大數據自身所處的發展階段，考證數據規制與自律的發展狀況，總結數據失范與救濟選擇的傾向，應是我們選定數據規制模式的根基所在。當前采用立法賦權模式不符合科技立法的適配原則和效益原則。立法賦權模式設想的以數據賦權為基礎的私權保護無法成為、也不應當成為數據權益救濟的主要渠道。

針對數據領域的行為失范現象，學界已形成應該對數據進行法律規制的共識，但因為研究視角和進路不同，在規制模式的選擇上出現了明顯差異。當前，數據權利化與非權利化之爭莫衷一是，兩類主張的論說通常從權利和法益保護理論展開，鮮有立足于我國大數據發展現狀的實證分析，一定程度上暴露出法學研究對技術本身關注不足的問題，相關學說略顯本土資源和現實基礎的匱乏。大數據時代，數據規制模式的選擇是數據立法的頂層設計問題，事關我國數據法律體系的整體走向，影響著我國數字經濟的興盛繁榮。最理性、最恰當的選擇路徑應當是以我國大數據產業與技術、立法和司法現狀為基礎，通過實證研究回答數據制度之問。

一、數據規制模式的不同學說

在國際國內立法中，并不直接將“大數據”作為法律的規制對象，而是采用“數據”或“數據集”的概念，在對數據進行立法規制后，作為其下位概念的“大數據”“數據集”“數據集合”自然得以適用。規制是指一個公共機構針對具有社會價值的活動進行持續、集中控制。①尹口著：《健康權及其行政法保護》，中國社會科學出版社2015 年版，第184 頁。為了回應大數據時代數字經濟的制度需求，學者們從不同角度提出了數據規制的方案設想，總體可分為兩種模式：立法賦權模式和行為規制模式。

（一）立法賦權模式

大數據戰略重點實驗室試圖提出一個“數據人”的理論假設，把基于“數據人”而衍生的權利，稱為“數權”，并提出“這種新權益包括數據主權、個人數據權和數據共享權。數權與人權、物權構成人類未來生活的三項基本權利。”②參見大數據戰略重點實驗室著：《數權法——1.0 數權的理論基礎》，社會科學文獻出版社2018 年版，第3 頁。齊愛民教授主張“構建數據主權和數據權法律制度。數據主權主要包括數據管理權和數據控制權，對數據跨國流通的管理和控制是其中最為重要的內容。數據權包括個人數據權和數據財產權。”③齊愛民、盤佳：《數據權、數據主權的確立與大數據保護的基本原則》，載《蘇州大學學報（哲學社會科學版）》2015 年第1 期，第64 頁。龍衛球教授提出“從體系上說，應該在區分個人信息和數據資產的基礎上，進行兩個階段的權利建構：首先對于用戶，應在個人信息或者說初始數據的層面，同時配置人格權益和財產權益；其次對于數據經營者（企業），基于數據經營和利益驅動的機制需求，應分別配置數據經營權和數據資產權。”④龍衛球：《數據新型財產權構建及其體系研究》，載《政法論壇》2017 年第4 期，第63 頁。亦有學者認為“不同數據權益類型應作不同路徑的類型化區分保護，權利與新型利益二元化保護方式不失為一種合理保護的過度方式。”⑤李曉宇：《權利與利益區分視點下數據權益的類型化保護》，載《知識產權》2019 年第3 期，第50 頁。立法賦權模式著眼的問題主要在于數據流通和權利救濟層面，數據涉及數據提供者、數據控制者、數據使用者等多個主體，現有立法未明確數據權屬，給數據交易流通造成阻礙，而且立法沒有賦予數據主體民事權利，針對數據亂象的私權救濟渠道不暢。現實情況中，侵犯個人信息的違法犯罪高發與居民權利意識快速提升形成尖銳矛盾，通過立法創設數據權利的呼聲越來越高，立法賦權模式幾乎成為數據規制研究的主流。

（二）行為規制模式

這種模式肯定數據上存在利益，但反對為數據立法賦權。該模式在揭示數據權利化理論缺陷的基礎上，認為對數據創設一項新型權利不可行且存在制約數據產業發展的弊端，倡導設定數據治理的基本原則和相關主體的行為規范以實現數據規制目的。在行為規制的具體方式上，現有研究主要提出以下幾種進路。

1.合同法規制

在數據采集、存儲、分析、服務等活動中，但凡涉及兩個以上主體之間的權利義務關系，均可置于合同法框架內進行討論。數據提供者與收集者之間，基于意思自治、契約自由原則，可自由設定數據收集、使用、披露的行為方式以及權益分配機制。在數據控制者、使用者、服務者之間，數據的存儲、交易、共享、分析、服務等活動更離不開合同法的規制，合同法在數據的行為規制方面具有不可或缺的地位。當前，學界對數據合同法規制問題已有研究，只是在數據類合同的性質上存在不同認識。有學者認為，計算機信息的銷售或在線服務在不同情形下可能構成買賣合同、承攬合同或租賃合同，標準的計算機信息銷售與有形產品買賣在性質上是一致的⑥齊愛民、周偉萌：《論計算機信息交易的法律性質》，載《法律科學（西北政法大學學報）》2010 年第3 期，第122 頁。，定制的計算機信息銷售從本質上講是一種以計算機信息為客體的承攬，計算機信息在線服務從本質上講是一種轉讓計算機信息使用權的租賃。⑦同注釋⑥。還有學者認為大數據交易合同本質上不是民法上的買賣合同，而是一種數據服務合同。⑧梅夏英：《數據的法律屬性及其民法定位》，載《中國社會科學》2016 年第9 期，第174 頁。

2.侵權法規制

我國《侵權責任法》第2條第1款、第6條第1款是一般條款，明確了侵權法的保護對象是“民事權益”，既包含民事權利，也包含民事利益。在這種權利和利益平等保護的框架下，數據的侵權法規制又可分為兩種思路。其一，權利保護思路。這一思路從探究數據與數據主體的關系、數據包含的利益類型出發，進而厘定數據的權利屬性并將其對應到現有民事權利中的一種，依托傳統民事權利體系對其實施保護。代表性的觀點主要有：人格權保護⑨王利明著：《我國民法典重大疑難問題之研究》，法律出版社2016 年版，第181 頁。、隱私權保護⑩湯嘯天：《網絡空間的個人數據與隱私權保護》，載《政法論壇（中國政法大學學報）》2000 年第1 期，第10 頁。、物權保護?方印、魏維：《數據信息權利的物權法保護研究》，載《西部法學評論》2018 年第3 期，第23 頁。、知識產權保護?郝思洋：《知識產權視角下數據財產的制度選項》，載《知識產權》2019 年第9 期，第45-60 頁。。其二，法益保護思路。民事法益是在價值上應受民法保護，在法保護層次上處于實體權利之外的利益。?張芳：《論民事法益與權利的混同保護》，載《法制與社會》2014 年第33 期，第12 頁。法益保護的立論基礎在于數據包含人格利益和財產利益，法益保護不需要以明文規定的權利為前提，由此成為一些新興（新型）利益訴求尋求保護的常用路徑。有學者提出，侵權法對個人信息提供兩種保護路徑，即《侵權責任法》第36條的網絡信息侵權責任條款及其司法解釋，以及《侵權責任法》第6條過錯責任條款配合《民法總則》第111條。?葉名怡：《個人信息的侵權法保護》，載《法學研究》2018 年第4 期，第83 頁。還有學者提出，在明確保護范圍的前提下，通過在民法之外篩選相關的保護性規范并將其納入到侵權法的保護范圍，是目前最為穩妥與有效的保護路徑。?王鐳：《電子數據財產利益的侵權法保護——以侵害數據完整性為視角》，載《法律科學（西北政法大學學報）》2019 年第1 期，第38 頁。

3.競爭法規制

作為數據集合的大數據以競爭資源的一種形態出現，其重要性快速獲得市場認可；與此同時，作為信息處理技術的大數據技術也被經營者作為競爭工具使用，其對市場的反饋預測功能廣受追捧，利用數據干預競爭、壟斷資源的現象初現端倪，大數據與競爭可謂相生相伴、交匯融合。為此，有學者提出，大數據及其規制應該具有競爭法屬性。大數據作為技術與資源的集合，理應歸入競爭法規制的范疇，并由此前展競爭法規制的基本邏輯。?陳兵：《大數據的競爭法屬性及規制意義》，載《法學》2018 年第8 期，第118 頁。關于競爭法規制的實施路徑，有學者提出，對數據信息不享有法定權利并不意味著其無法獲得法律的保護，若事實上造成市場競爭秩序損害的后果時，可以考慮適用反不正當競爭法一般條款。?芮文彪、李國泉、楊馥宇：《數據信息的知識產權保護模式探析》，載《電子知識產權》2015 年第4 期，第95 頁。還有學者認為，《反不正當競爭法》為數據保護提供了三種路徑，即商業秘密條款、兜底條款和一般條款規制路徑，需區分不同情形，差別化分析。?劉繼峰、曾曉梅：《論用戶數據的競爭法保護路徑》，載《價格理論與實踐》2018 年第3 期，第26 頁。

二、數據規制模式的選擇路徑

（一）立法活動的底層邏輯：自下而上的歸納法

選擇數據規制模式屬于立法范疇的問題，應當依據立法活動自身的方法和原則作出選擇。立法權并不是創立法律，它只是披露和表述法律。?《馬克思恩格斯全集》（第3 卷），人民出版社2002 年版，第74 頁。法律規則根植于社會與經濟實踐，循環往復的經濟行為逐漸形成較為固定的行為模式，這種行為模式往往構成法律的規則胚胎，成為法律規范的原始資源。立法者就是要深入社會進行調查，發現來自生活交往中，通過長期經驗和試錯而來的民間規則并予以表達，以對人們反復進行的“類行為”進行規則調整。?蔣傳光：《馬克思主義法學的基本原理及其科學意義》，載《法律科學（西北政法大學學報）》2018 年第6 期，第21 頁。

確立數據規制模式，推進數據立法，目的在于為數據提供者、控制者、使用者等相關主體設定行為規范，制定出具有普適性的數據治理一般制度。在民商法之中，探尋一般制度的方法應當是歸納法。?陳醇：《作為民商法立法原理的公因式與一般式》，載《法治研究》2018 年第6 期，第101 頁。歸納法是通過對個別事物的研究考察以認識普遍規律或一般原理的方法，其目的在于通過特殊揭示一般。?陳光主編：《科學技術哲學——理論與方法》，西南交通大學出版社2003 年版，第331 頁。歸納法要求立法活動依托社會生活和市場經濟實踐，遵循自下而上的正向路徑，而非自上而下的逆向路徑。歸納的前提和基礎是材料搜集，我國數據立法所需的材料，蘊藏于我國大數據技術與產業的發展現狀，存在于國內數據立法與自律的現實資源，植根于大數據執法與司法的實踐反饋。歸納法中所收集的資料越全面，就越接近于完全歸納，其結論的可靠性越強。?同注釋?，第103 頁。歸納法要求我們以實證為基礎，從技術和產業角度總結我國大數據發展所處的階段，發現它已經或即將成型的行為模式與規則胚胎。

（二）科技立法的基本規律：效益與適配

大數據是信息化發展的新階段。大數據立法歸屬于科技立法領域，科技立法具有突出的專門性、技術性、知識性特征。科技法是為了應對科技危機而出現的，目的在于解決科技開發活動中出現的諸多問題，自然要尊重科技本身的規律。?孟俊紅：《科技倫理、科技立法與科技發展》，載《河南教育學院學報（哲學社會科學版）》2014 年第5 期，第60 頁。因此，選擇數據的規制模式，應當在技術法的語境下，以科技立法基本原則為依據判斷兩種模式的優劣，進而作出科學選擇。

科技立法的效益原則。效益既應是立法的出發點，也應是它的歸宿。?趙震江主編：《科技法學》，北京大學出版社1997 年版，第128 頁；曹昌植：《中國科技法學》，復旦大學出版社1999 年版，第8 頁。我國《科學技術進步法》第1條開宗明義確立了該法的宗旨，即促進科學技術進步，發揮科學技術第一生產力的作用，促進科學技術成果向現實生產力轉化，推動科學技術為經濟建設和社會發展服務。“為經濟建設和社會發展服務”的總要求決定了效益原則是科技立法重要的價值取向和利益訴求。具體到數據規制模式的選擇問題，同樣需要運用科技立法效益原則進行判斷和佐證，主要從兩個方面展開：一是社會經濟效益考量，即哪種規制模式更能促進科技進步，更有利于創造更大的經濟和社會效益；二是法的經濟效益考量，即哪種模式的規制成本更低，更符合立法、執法、司法的經濟性原則。

科技立法的適配原則。法律就從來沒有作為人類科技活動的旁觀者，相反，它總是積極主動而又不乏謹慎地介入到人類科技活動之中。?劉長秋：《從生命倫理到生命法》，載《生命科學》2012 年第11 期，第1354 頁。科學技術有其自身發展規律，技術經歷萌芽期、發展期走向成熟期，是一個循序漸進、由量變到質變的過程。科技立法的適配原則，就是要求立法活動與科技發展的階段性特征相匹配，審慎適度地介入科技發展過程，在技術萌芽期寬松規制甚至善意忽視，在技術發展期適度引導，在技術成熟期強化規制。對應技術發展的萌芽期、發展期、成熟期，法律規范分別以無約束、弱約束和強約束的姿態出現，最能滿足科技發展與法律規制的二者平衡。相對于技術成熟期而言，技術萌芽期和發展期的科技立法更為復雜和困難，需要解決的利益平衡困境更多。早期規制一般都會落后于日新月異的技術進步，過嚴、過早的規制會極大提高創新和新興產業的成本，也不利于今后建立統一監管標準。27陳志、張亮亮：《新時代顛覆性創新規制研究》，載《現代管理科學》2018 年第10 期，第7 頁。

三、數據規制的實證基礎與模式選定

無論是作為立法方法的歸納法，還是作為立法價值考量的效益原則和適配原則，都以立法規制對象自身的實證分析為起點。關于數據立法的研究，權利理論的闡釋、具體權能的設計固然需要，但是回歸大數據自身所處的發展階段，考證數據規制與自律的發展狀況，總結數據失范與救濟選擇的傾向，更應是我們選定數據規制模式的根基所在。

（一）大數據產業與技術的實證分析：初級抑或成熟的判斷

第一，大數據產業環境不斷優化，但全局性的數據治理體系尚未形成。在國家頂層設計上，黨的十八屆五中全會提出“實施國家大數據戰略”。2015年8月，國務院發布《促進大數據發展行動綱要》，明確“加快建設數據強國”的總體目標。2017年10月，黨的十九大報告強調“推動互聯網、大數據、人工智能和實體經濟深度融合”。截至2018年4月，國務院及各部委共出臺23項綜合及單項大數據發展政策。28參見李愛君主編：《中國大數據法制發展報告》，法律出版社2018 年版，第57 頁。國家層面的戰略規劃，為我國大數據發展提供了綱領性指引，創造了良好的外部環境。隨著大數據戰略的推進，政府和企業逐步重視數據治理的重要性，但自上而下、協調一致的全局性數據治理體系還未建立。較為突出的問題是數據發展的區域協同、行業協同、企業協同不足。在區域協同方面，各地政府規章制度不一，大數據管理與共享規則存在區域局限。在行業協同方面，受行政壟斷和商業利益所限，條塊分割、以鄰為壑的問題突出，跨行業的數據鴻溝、信息孤島依然存在，數據共享的擔憂和顧慮較多。在企業協同方面，企業的信息系統建設烙印著企業規模和信息技術的發展軌跡，普遍存在各系統間數據標準和規范不同、信息相互不通等問題，致使系統的協同性等問題越來越顯著。29甘似禹等：《大數據治理體系》，載《計算機應用與軟件》2018 年第6 期，第2 頁。

第二，大數據融合應用日漸豐富，但核心技術與支撐能力不具優勢。大數據的核心價值不在于對海量數據的持有，而是通過大數據分析挖掘技術進行融合應用，發揮市場需求分析、生產流程優化、供應鏈與物流管理、智能客服等功能。2018年我國大數據產業結構中，從事大數據分析挖掘業務的企業最為集中，所占比例高達63.7%30參見賽迪智庫：《開源仍是大數據技術創新重要模式》，載《軟件和集成電路》2018 年第12 期，第64 頁。，居于產業份額首位。與行業應用拓維增效形成對比的是，我國大數據關鍵技術的國際競爭力卻不盡如人意。從布局實力分析，國內外差距明顯：國外領先企業掌握核心重要專利，布局全面；國內專利持有情況分散，多數企業對底層平臺技術關注度低。31沈瀅、張倩：《大數據關鍵技術專利態勢研究》，載《電信網技術》2017 年第3 期，第46 頁。技術創新與支撐能力依然不夠，我國無論是新型計算平臺、分布式計算架構，還是大數據處理、分析和呈現方面與國外均存在較大差距，總體上難以滿足各行各業大數據應用需求。32中國信息通信研究院：《大數據白皮書（2018 年）》，第4 頁，載http://www.cac.gov.cn/2018-04/25/c_1122741894.htm，最后訪問日期：2019 年8 月18 日。

第三，大數據交易勇開歷史先河，但確立規范與走向成熟仍需積累。2014年12月31日，貴陽大數據交易所設立，成為我國乃至全球第一家大數據交易所。數據交易沒有國際先例可循，該所首創“十大標準及規范”“八大交易規則”，發布了《貴陽大數據交易所702公約》（以下簡稱“702公約”）等成果33參見貴陽大數據交易所官網，載http://www.gbdex.com/website/，最后訪問日期：2019 年2 月22 日。，完成了數據交易從0到1的過程。然而，為了解決隱私保護及數據權益問題，貴陽大數據交易所“交易的數據不是底層數據，而是基于底層數據，通過數據的清洗、分析、建模、可視化出來的結果”34貴陽大數據交易所推出《數據確權暫行管理辦法》及《數據交易結算制度》，載http://www.cbdio.com/BigData/2016-10/08/content_5312280.htm，最后訪問日期：2019 年2 月21 日。，“劃定絕不交易國家機密、商業秘密、個人隱私的數據，涉敏底層數據必須清洗脫敏方可交易的底線”。35《歷經三年多探索，貴陽大數據交易所創新數據交易模式》，載http://baijiahao.baidu.com/s?id=1605043677210341008&wfr=spider&for=pc，最后訪問日期：2019 年1 月20 日。從交易額度和交易內容看，截至2015年底，貴陽大數據交易所交易金額已突破6000萬元人民幣；36貴陽大數據交易所：《2016 年中國大數據交易產業白皮書》，載http://www.cbdio.com/BigData/2016-06/02/content_4965656.htm，最后訪問日期：2019 年3 月25 日。2018年5月，225家數據源已經接入貴陽大數據交易所，可以交易的數據產品超過了4000個。37大數據戰略重點實驗室編：《數化萬物：2018 中國國際大數據產業博覽會全記錄》，當代中國出版社2018 年版，第462 頁。本文認為，將交易內容限定為非底層數據只能是發展初期的權宜之計，這一限定忽視了底層數據中大量非個人數據（如工業大數據、農業大數據中的非個人數據）的存在和價值，將所有底層數據排除在交易內容之外明顯欠合理。2018年10月4日，歐洲議會正式通過歐盟《非個人數據自由流動條例》38吳沈括：《歐盟〈非個人數據自由流動條例〉研判》，載《網信軍民融合》2018 年第10 期，第43 頁。，標志著國際數據治理對象逐漸從個人數據延伸到非個人數據，我國對非個人數據的認知、研究和流通探索亟待加強。此外，現有數據交易劃定絕不交易個人隱私的底線，明確個人隱私保護規則，但個人隱私并不等同于個人信息。是否可以交易具有識別性但不涉及個人隱私的非敏感數據，我國的交易實踐均未涉及，需要在平衡經濟和社會成本的基礎上確立更為靈活的數據交易規范。

總體而言，在全球范圍內大數據技術經過萌芽期已進入應用發展期，但還未到達成熟期。從實證分析情況看，我國大數據產業和技術整體仍處于初級發展水平。按照科技立法適配原則的要求，當前我國大數據的規制應當突出引導鼓勵和弱約束的主基調。具體到數據的規制模式而言，立法賦權模式必然需要明確的權利邊界和精密細致的權能體系，而權利一旦設定即具有天然的防御功能，對數據相關行為具有強約束的特征，與我國當前大數據的發展階段并不適配。從基礎條件看，立法賦權模式呼吁的個人數據權、數據資產權等賦權主張，只有在大數據產業發展成熟完善、數據行為規范形成普遍共識、數據權利的類型化程度較高時才具備實施條件（屆時如仍然有賦權必要的話），當前在數據自身運行規則尚不完備的情況下，立法賦權難免僵化、固化數據產業的發展路徑，制約技術的發展增效，顯然與立法效益原則相悖。

（二）大數據立法與自律的實證分析：保護不等于權利化

首先，我國借鑒國際社會數據保護主要原則，但對其立法目的的理解存在偏差。國際范圍內，關于數據保護的研究主要圍繞個人數據展開，具有重要影響的個人數據保護立法或國際規則主要包括：世界經濟合作與發展組織（OECD）《隱私保護和個人數據跨境流通指南》（以下簡稱《指南》），歐洲委員會《個人數據自動化處理中的個人保護公約》（以下簡稱《個人數據公約》），歐盟《數據保護指令》和《一般數據保護條例》。縱觀國際社會個人數據保護規則，立法目的都包括個人數據保護與促進數據流通兩個方面。OECD《指南》在第二部分確立個人數據保護“八項原則”的同時，在第四部分確立了“數據自由流通和合法限制原則”。《個人數據公約》在前言部分開宗明義地提出“協調尊重隱私與保障信息自由流通兩者的基本價值”。《數據保護指令》則是在第1條同時強調了保護權利與數據自由流通的目標，《一般數據保護條例》也在第1條作出類似規定。目前，我國已形成多層次、多領域、內容分散的個人數據保護法規體系。比較有代表性的法律文本包括：2012年12月28日《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《網絡安全法》《民法總則》第111條、《刑法》第253條之一“侵犯公民個人信息罪”。雖然我國個人數據保護主要原則與上述國際規則趨同，但在立法目的和價值取向上卻存在較大差異。現階段，各種討論的側重點都放在了保護上，比如網絡安全、個人信息保護、隱私的尊重、數據利益的歸屬等都是立足于保護。39寧立志：《大數據的性質及其知識產權因應》，載大數據戰略重點實驗室編：《數化萬物：2018 中國國際大數據產業博覽會全記錄》，當代中國出版社2018 年版，第469 頁。我國幾乎所有涉及個人信息的法律均規定，非經個人同意不得收集和使用個人信息，這意味著個人信息成為個人可排他支配的對象，一切未經同意的使用均構成侵權甚至犯罪。40高富平主編：《個人數據保護和利用國際規則：源流與趨勢》，法律出版社2016 年版，第142 頁。在對國際規則的借鑒移植過程中，我國對其立法目的和價值定位研究不足，導致我國個人數據立法突出強調了個人數據的嚴格保護，卻忽視了數據流通的價值目標，現有立法對數據流通只字未提，這顯然與大數據時代和數字經濟的發展要求不協調。

其次，我國采取基本原則與具體規范相結合的立法模式，沒有將數據確立為一項權利。從立法架構看，OECD《指南》在確立八項基本原則的基礎上，用專章明確了數據控制者的實施責任；歐洲委員會《個人數據公約》在第二章確立“數據處理合法性和數據質量”等幾項原則，然后分別規定數據主體權利、數據控制者義務等內容，設定相關主體的行為規范；《數據保護指令》與《一般數據保護條例》采取類似架構。以上文本的結構都是首先確立個人數據保護基本原則，然后明確數據主體的“可為”與數據控制者的“不可為”情形，確立相關主體行為規范。雖然這些法律文本在具體行為規范中賦予了數據主體（個人）一定的權利，但是個人并沒有因此取得可以排他控制其個人信息的權利。個人數據保護沒有被上升為一種權利。41同注釋40，第3 頁。我國現有個人數據保護立法與以上立法的架構一脈相承。我國《全國人民代表大會常務委員會關于加強網絡信息保護的決定》（以下簡稱《決定》）規定了收集使用公民個人電子信息應當遵循“合法、正當、必要”的總原則，同時要求明示收集使用信息的目的、方式和范圍，賦予被收集者知情同意權和信息刪除權，規定了信息收集者安全保障等義務。此后，《消費者權益保護法》《網絡安全法》以及征信、電信、郵政等領域法規、規章基本采納該《決定》的相關內容，規定了不同領域的行為規范，由此構建了“基本原則+具體規范”的個人數據保護體系。作為民事基本法的《民法總則》第111條明確了依法保護個人信息的總原則，同時采取行為排除式立法設定了具體行為規則，但沒有確立個人信息權。2018年9月，《個人信息保護法》《數據安全法》被列入第十三屆全國人大常委會立法規劃，法律名稱并未采取“個人信息權法”“數據權法”等表述，突出的仍然是“保護”和“安全”而非設權、賦權，一定程度上也反映了立法機關在賦權方面的審慎。

最后，大數據自律機制探索成效明顯，展現出充分的靈活性和強大的生命力。大數據自律機制是一種立足于市場機制、依賴市場主體自發自覺、自下而上形成的旨在約束數據收集、處理、交易等行為的機制。團體或行業的自律規范、各類技術標準是自律機制的重要表現形式。自律規范方面，我國主要的大數據服務機構都進行了有益探索。上海數據交易中心發布了《數據互聯規則》《個人數據保護原則》《數據流通禁止清單》等五個交易準則與標準。42上海數據交易中心交易相關準則與標準，載https://www.chinadep.com/standard.html，最后訪問日期：2019 年2 月24 日。貴陽大數據交易所出臺了“十大標準及規范”“八大交易規則”“702公約”等規范，倡導發起“大數據不作惡同盟”。技術標準方面，與大數據有關的國家標準、地方標準陸續出臺，行業和團體標準也在積極探索推出。2014年12月2日，全國信息技術標準化技術委員會大數據標準工作組正式成立。截至2018年3月，該工作組已發布6項國家標準，3項國家標準正在報批階段，15項國家標準正在研制。上海、廣東、湖北等地方形成三十余項地方標準，主要集中于資源開放共享、政務大數據領域、重點行業等。43中國電子技術標準化研究院、全國信息技術標準化技術委員會大數據標準工作組：《大數據標準化白皮書（2018 版）》。已發布的國家標準包括：2017 年11 月1 日發布的《信息安全技術 移動智能終端個人信息保護技術要求》（GB/T 34978-2017），2017 年12 月29 日發布的《信息安全技術 個人信息安全規范》（GB/T 35273-2017），2017 年12 月29 日發布的《信息安全技術 大數據服務安全能力要求》（GB/T 35274-2017）。

總體而言，我國已經初步形成立法規制和行業規制并存、他律與自律相結合的大數據規制架構，但當前立法片面強調數據保護、忽視數據流通的時代要求，折射出數據立法理念較為滯后的問題。保護只是事物的一方面，將來數據的分享、共有可能是更重要的另一方面。44同注釋39。立法賦權模式以“保護”為出發點和落腳點，制定一部權利保護法是其立論目標。權利保護法通常以設定權利、明確權能為主體內容，即使涉及數據共享、流通、合理使用等內容往往只能通過例外規定加以解決，由此決定其立法架構仍可能以保護為主、開放共享為輔，這與數字經濟的發展趨勢不相協調。經過國際國內數據立法的實證考察，立法賦權模式沒有國際先例可循，我國學界關于數據權利化的主張對國際規則存在一定誤讀，其重保護、輕流通的價值取向與大數據的開放利用要求難以匹配。此外，大數據所涉主體復雜，客體具有不確定性。產權界定非常困難，既不經濟，也不切實際。45同注釋39，第471 頁。近現代社會，隨著公民權利意識不斷增強，權利本位觀念導致有些本應作為法益存在的利益被人為地上升到了權利的地位，德國將營業利益上升為營業權的做法正是一個遭受詬病的例子。由于營業權表現為企業經營活動中有形財產和無形利益的集合體，它是一個內涵復雜的動態概念，難以被民法上靜態的權利概念涵蓋。為此，德國學者Larenz主張放棄這項“權利”，盡管它已受到了習慣法的保護。46王澤鑒著：《侵權行為法（一）》，中國政法大學出版社2001 年版，第181 頁。作為數據集合的大數據，其動態性特征與營業利益如出一轍，缺乏民事客體應有的確定性、特定性和獨立性，對數據賦權的邏輯風險難以消除。反觀之，在行為規制模式下，通過確立必要保護與開放共享并重的總原則，劃出個人敏感數據保護的行為紅線，設置數據收集利用的行為底線，構建數據行為規范體系，不僅立法成本更為經濟，也更符合促進大數據產業發展的效益原則。在行為規制的立法探索方面，已有值得我國關注和借鑒的例證。2018年5月30日，《日本反不正當競爭法》增設的“限定提供數據”條款以及相關條款正式公布，并于2019年7月1日起正式實施。47劉影、眭紀剛：《日本大數據立法增設“限定提供數據”條款及其對我國的啟示》，載《知識產權》2019 年第4 期，第95 頁。日本在此次大數據立法過程中，面臨著多種利益平衡、基本立場設定和規制路徑選擇等問題，其取舍思路和最終選擇彰顯了行為規制模式在數據保護方面的適恰性。全球各國關于數據交易、流通開放的規則都在探索之中，在沒有充足市場經驗積累的情況下，把大數據的約束問題交給更具靈活性的自律機制，通過探索、試錯、反饋形成普適性的行為規范之后，再上升為法律規范，更符合科學立法原則。

（三）大數據執法與司法的實證分析：救濟的失衡與再平衡

刑事保護方面。我國《刑法》設置了多個與數據相關的罪名，主要包括非法獲取計算機信息系統數據罪（第285條第2款）、破壞計算機信息系統罪（第286條）、幫助信息網絡犯罪活動罪（第287條之二）。此外，專門針對個人數據（信息）保護設定了侵犯公民個人信息罪（第253條之一），針對符合商業秘密特征的大數據實施的犯罪行為，還可援引侵犯商業秘密罪（第291條）進行制裁。從發案情況看，侵犯公民個人信息的犯罪比較猖獗，被竊取的公民個人信息經過加工、轉賣，又被用于詐騙、敲詐勒索、暴力追債等下游犯罪活動，社會危害嚴重。為了遏制侵犯公民個人信息的犯罪勢頭，2017年5月，最高人民法院、最高人民檢察院頒布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，先后兩次發布典型案例。2017年，全國公安機關當年累計偵破侵犯公民個人信息案件4900余起，抓獲犯罪嫌疑人15,463名，打掉涉案公司164個。公安機關連續兩年開展專項打擊整治，國內大數據行業違法違規獲取數據的行為有所收斂。48《2017 年公安機關偵破侵犯公民個人信息案件4900 余起》，載https://baijiahao.baidu.com/s?id=1589192130172380252&wfr=spider&f or=pc，最后訪問日期：2019 年2 月25 日。此外，以侵犯商業秘密罪、破壞計算機信息系統罪保護數據權益的刑事案例也較為常見。不論從案件數量還是實際效果上看，刑事制裁在我國個人信息保護、數據保護方面發揮著舉足輕重的作用。

民事司法方面。關于個人數據保護，我國現有立法已經提供了一定的民事救濟途徑。《決定》第9條規定“被侵權人可以依法提起訴訟”。第11條規定“侵害他人民事權益的，依法承擔民事責任”。司法實踐中，已有法院依據《決定》第11條判決侵權行為人承擔民事賠償責任。49參見河南省安陽市滑縣人民法院（2014）滑民一初字第265 號民事判決書。《民法總則》第111條對個人信息保護作出專條規定，在“王某某等與他人隱私權糾紛案”中50參見北京市門頭溝區人民法院（2017）京0109 民初4481 號民事判決書、北京市門頭溝區人民法院（2017）京0109 民初4482 號民事判決書、北京市門頭溝區人民法院（2017）京0109 民初4610 號民事判決書。，法院直接使用了“個人信息權”的概念，指出“個人信息權是自然人的個人信息不受侵犯的權利”，認定“身份證號碼在日常民事交往中發揮著身份識別的重要作用，屬于自然人的個人信息”，最終依據《民法總則》第110條、第111條判決擅自公開自然人姓名、身份證號碼和銀行卡號的行為人承擔賠禮道歉的侵權責任。除上述幾起案例外，通過私權救濟途徑保護個人數據的案例再難覓其蹤，可謂十分罕見。關于數據保護，《民法總則》第127條已對數據保護作出原則性規定，目前尚未發現援引該條對數據權益進行救濟的案例。在市場競爭領域，適用《反不正當競爭法》對數據權益進行保護的案例頻見報端。有的糾紛是圍繞原始數據的爭奪，比如“大眾點評訴百度抄襲復制點評信息案”51參見上海知識產權法院（2016）滬73 民終242 號民事判決書。“脈脈非法抓取使用新浪微博用戶信息案”52參見北京知識產權法院（2016）京73 民終588 號民事判決書。，有的則是圍繞衍生數據產品展開，比如“淘寶訴美景大數據產品糾紛案”。53《全國首例大數據產品不正當競爭案公開宣判》，載https://www.chinacourt.org/article/detail/2018/08/id/3462143.shtml，最后訪問日期：2019 年2 月27 日。

行政處罰方面。我國《治安管理處罰法》第29條第1款第（三）項對計算機信息系統中存儲、處理、傳輸的數據和應用程序進行刪除、修改、增加的行為規定了拘留的行政處罰措施。從文意解釋和體系解釋角度看，該款規定旨在處罰破壞計算機信息系統的違法行為，數據作為個人數據、大數據的上位概念，該款規定的“計算機信息系統中存儲、處理、傳輸的數據”自然包括本文討論的個人數據以及作為數據集存在的大數據，因此，該款可以作為涉數據違法行為的行政處罰依據。但是，鑒于行政處罰奉行嚴格的法定主義，該款規定的違法行為僅限于“刪除、修改、增加”三種，對于針對個人數據慣常實施的非法提供、獲取、買賣、公開等違法行為卻不能適用，導致我國在個人數據保護上行政處罰缺位。公安部網絡安全保衛局有關負責人指出，嚴重侵犯公民個人信息行為納入刑罰處罰，但是沒有行政處罰的前置性程序，從民事責任直接跨入到刑事責任，跨度太大，出現只有刑法單打獨斗的局面，不利于形成合力。54同注釋48。

大數據執法與司法實踐反映出，我國個人數據保護具有刑事打擊為主、行政處罰缺位、私權救濟罕見的特征，市場領域的大數據糾紛普遍通過反不正當競爭法尋求救濟。在現有研究中，主張立法賦權的理由之一是數據權屬不明導致私權救濟渠道不暢。但對現有救濟途徑考察發現，我國數據保護的民事救濟渠道自始有之，法律雖未確立數據權利但并不影響權益保護的實施，數據主體的私權救濟并無障礙，只是極少選擇這一途徑。本文認為，數據權益私權救濟罕見的現狀并非立法所致，而是私權救濟在數據保護領域根本不具備廣泛實施的基礎，主要原因在于個人數據主體提起民事訴訟維權的個人成本和社會成本太大。就個人成本而言，數據主體在耗費時間、精力、金錢進行取證和訴訟之后，法院可能判決的結果是停止侵權和賠償損失，但數據主體無法獲得實質性的“訴訟回報”。在大數據世界，只有知曉與否，沒有歸屬所有。55同注釋39，第470 頁。在數據已經被披露、被他人感知之后，停止侵權的判決不再具有實際意義；而何為損失、損失大小無從界定，法院要么不支持賠償損失的訴求，要么在填平原則下判決一個十分保守的賠償額度，難以匹配數據主體的維權成本。就社會成本而言，個人數據違法涉及的數據量動輒幾千上萬，甚至百萬千萬，即使數據主體的私權救濟無礙且有維權積極性，社會卻可能為此付出超乎想象的司法成本。因此，立法賦權模式設想的以數據賦權為基礎的私權保護無法成為、也不應當成為數據權益救濟的主要渠道。歐洲、我國香港特別行政區設立專門的數據監管機構，并且不斷強化監管機構的職能職權，正是推進數據行為規制、凸顯公權擔當的有力例證。改變我國個人數據權益救濟的失衡狀態，方向和出路應當是盡快明確數據監管機構和職能，彌補行政執法缺位的制度漏洞，以此實現救濟途徑的再平衡。

結語：法益與權利各得其所

在法學界圍繞大數據的權屬、數據規制模式進行研究的同時，技術領域仍然延續著快速更新的迭代之路。塊數據（block data）、秩序互聯網（order Internet）等大數據新名詞陸續誕生，當前的數據短缺可能很快不再是問題。相反，數據爆炸帶來垃圾數據泛濫和數據擁堵困境轉而成為新問題，“海量數據悖論”即將成為技術界和法律界必須面對的新課題。隨著科技飛速發展和社會的進步，新的民事法益將會不斷生成。大陸法系成文法相對僵化封閉，能夠上升為權利的法益只能是經過實踐證成、類型化程度較高的部分法益。在此情形下，期望在民法中通過民事權利的形式將應當受到保障的民事法益盡數列舉的愿望是不現實的。56宗志翔：《論未上升為民事權利的法益》，載《江西社會科學》2012 年第6 期，第156 頁。雖然法益可以通過立法者的意志上升為權利，但有的法益適合或者只能長期以法益形式存在，依托行為規制模式并不斷充實行為規制制度和行為規范內容才是其理想的保護路徑。