個人數據安全的法律保護模式
——從數據確權的視角切入

安柯穎

(北京外國語大學 法學院，北京 100089)

當前，在強化數據安全、數據要素賦能之際，國務院在2020年5月18日頒布的《關于構建更加完善的要素市場化配置體制機制的意見》(以下簡稱“構建要素市場意見”)和同年5月發布的《2020年國務院政府工作報告》中都將“完善數據權屬的界定”納入到國家頂層制度設計中，體現了數據確權對完善我國市場經濟體制的重要性。無論是科技創新企業、互聯網企業以及參與市場經濟管理的主體，在數據資源化場景中都無法回避數據權屬的界定，由此引發了學界對數據權屬背后隱藏的法律屬性之爭(1)參見楊永凱：《互聯網大數據的法律治理研究——以大數據的財產屬性為中心》，載《石河子大學學報(哲學社會科學版)》2018年第2期；王玉林、高富平：《大數據的財產屬性研究》，載《圖書與情報》2016年第1期；劉德良：《個人信息的財產權保護》，載《法學研究》2007年第3期。、數據權益分配之論(2)參見葉名怡：《論個人信息權的基本范疇》，載《清華法學》2018年第5期；楊立新：《個人信息：法益抑或民事權利》，載《法學論壇》2018年第1期；程嘯：《論大數據時代的個人數據權利》，載《中國社會科學》2018年第3期；彭禮堂、饒傳平：《網絡隱私權的屬性：從傳統人格權到資訊自決權》，載《法學評論》2006年第1期；梅夏英：《在分享和控制之間：數據保護的司法局限和公共秩序構建》，載《中外法學》2019年第4期。和法律保護模式之辯(3)于志剛：《“大數據”時代計算機數據的財產化與刑法保護》，載《青海社會科學》2013 年第3期；冀洋：《法益自決權與侵犯公民個人信息罪的司法邊界》，載《中國法學》2019年第4期；劉艷紅：《侵犯公民個人信息罪法益:個人法益及新型權利之確證》，載《中國刑事法雜志》2019年第5期。，同時也引起了實務界對數據確權的高度關注，充分意識到數據安全的法律保護模式應“根據數據性質完善產權性質”(4)在《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》中，明確提出加快對“數據開放共享”“數據資源價值和法律安全保護”“研究根據數據性質完善產權性質”的研究。，以此“制定數據安全的法律保護制度”。本文堅持“數據保護不是終極目標，數據賦能才是社會發展的重心”這一理念，在實現數字正義進程中探討數據權屬及其法律保護模式，從司法判例和地方立法中循證數據確權的制度支持和法律保護模式。

一、個人數據利益(權屬)分配的合法性邊界之爭

無論是從數字經濟角度重申數據要素的市場化貢獻(5)繼2017年12月8日，習近平總書記在主持中共中央政治局第二次集體學習時就強調：“在互聯網經濟時代，數據是新的生產要素，是基礎性資源和戰略性資源，也是重要生產力。”2019年10月31日，中共十九屆四中全會通過《中共中央關于堅持和完善中國特色社會主義制度推進國家治理體系和治理能力現代化若干重大問題的決定》，提出要“健全勞動、資本、土地、知識、技術、管理、數據等生產要素由市場評價貢獻、按貢獻決定報酬的機制”，正式將“數據”賦予了生產要素的合法地位。在2020年3月30日，中共中央、國務院印發的《關于構建更加完善的要素市場化配置體制機制的意見》中，再次確認了數據作為與土地、勞動力、資本等并列的新型生產要素，并且提出要“加快培育數據要素市場”。至此，數據流通和利用擁有了明確的法律地位和發展方向。、還是從網絡社會治理角度闡釋數據流通和利用反噬公共治理，數據權屬是公眾關注的焦點，也是數據立法留白的地方。在數字社會，我們每一個人都是數據產生者。我們在移動應用軟件上產生的個人數據(目前是體量最龐大的)，也在悄無聲息地同時完成了個人數據的收集和監控，包括網頁瀏覽、購物痕跡、朋友圈通訊錄、地理位置信息等數據都被收集在冊(6)南都記者曾在2015年至2019年期間，對工信部公布的有問題的應用軟件名單進行統計：有695款應用軟件存在違規收集使用用戶個人信息、捆綁應用軟件推廣廣告信息等行為。2018年北京市消費者協會發布《手機App個人信息安全調查報告》顯示，有86.92%的用戶認為手機 App存在過度采集個人信息的行為。，甚至連美國總統競選的廣告都會被定向投送至總統候選人所在的黨派成員郵件系統中。如此一來，由APP收集的數據屬于誰？其本質是網絡服務提供者通過技術手段獲取網絡用戶數據的合法性邊界如何劃定。數據利益(權屬)之所以備受關注，不是因為它被數據立法“留白”了，而是因為在數據身上承載了人格權、財產權以及由人格權和財產權引起的產權流轉關系，這是實現數字產業化的起點，也是實現數據合規的關鍵環節。這一時代之問在眾多司法判例中得以凸顯，例如“脈脈擅自搜集、使用新浪微博注冊用戶的個人信息”“數據特洛伊之戰的頭騰案”“大眾點評訴百度案與HiQ訴LinkedIn案”“生意參謀案”，都涉及數據權屬的認定，本質上依然延續了如何合理分配網絡用戶與網絡服務提供者的數據利益(數據權屬)這一爭論。從上述案例中我們可以發現，我國對數據利益(權屬)的司法認定態度繼承了私法保護思維，重視數據的財產屬性，支持數據分類法律保護模式。至于數據利益(權屬)歸誰所有，理論界至今也爭論不休，(7)關于數據權屬的劃分爭議不斷，歸納起來有四類：數據屬于個人、數據屬于平臺、數據屬于個人與平臺共有、數據屬于公眾。仍無法確定數據權屬配置給誰最合理。但是，隨著數字社會轉型的推進，數據價值和功能從私人領域擴大到公共領域，從個人信息安全上升至數據安全、國家安全。這意味著，在科技進步的同時，法律應當與科技同行。數字化社會帶來的不僅是人們對安全的隱憂，也對公眾權利(數據利益)設置帶來了時代之問。因此，對個人數據安全的法律保護需要平衡數據利益的多元性，從社會治理的邏輯下構建多元的個人數據安全的法律保護模式。

我國在推進和拓寬數據資本化利用的渠道中，與之配套的政策法規也在不斷更新和完善，其中數據權屬的法律定位是核心。針對目前數據權屬的學理之爭與司法實踐存在錯位認識，只有區分了“數據屬于誰？”這個原論之后，關于數據安全法律保護的討論才有意義，即以“數據確權”為圓心，展開對數據安全法律保護模式的討論。首先，在回答這個問題之前需要明確線上數據與線下數據是有共性特征的，即數據主體與線下社會活動密切相關，離開了承載數據的實體，數據便是無源之水，一切都是淪為空談。對此，我國在即將通過的《 數據安全法(草案)》中作出了積極的回應，制定了數據安全法律保護的框架性結構(重點保護企業數據安全)，對個人數據安全的保護在該草案的第29條雖有所涉及，但過于模糊，無法與個人信息保護相關的罪刑條款對接，我們對此寄期望于已列入立法計劃的《個人信息保護法》能予以明確與個人數據安全以及個人數據權屬界定相關的概念。基于此，梳理我國對個人數據安全的法律保護模式，并在此基礎上反思立法疏漏，進行司法補遺，是本文的寫作目的。其次，本文使用的“數據”，是指個人數據，并非“信息”，主要基于以下兩點考慮：第一，從“數據”與“信息”的涵射來看，多數學者承認二者是載體和內容的關系，(8)參見齊愛民:《論個人信息的法律保護》，載《蘇州大學學報(哲學社會科學版)》2005 年第 2 期；紀海龍：《數據的私法定位與保護》，載《法學研究》2018年第6期。但也有學者把數據表達為經過提取處理過的信息(9)參見郭瑜：《個人數據保護法研究》，北京大學出版社2012年版，第128頁。，無論數據具有工具性(10)參見梅夏英：《在分享和控制之間：數據保護的司法局限和公共秩序構建》，載《中外法學》2019年第4期。、抑或介質性，都呈現出數字化技術對數據的影響。當然，二者之間法律界限并非涇渭分明，在“陽光數據訴霸財數據案”“新浪訴脈脈案”和“頭騰大戰”的判決中都采用了“數據信息”的文字表述，其實這也符合公眾對語言文字的樸素理解。但從專業技術的角度究其二者區別，需要放在具體的場景中討論。例如，個人信息是數據的基點，與人身財產相關的才能被表達為數據，因為只有數據才能產生競爭優勢，才能產生數據利益。第二，從“數據”與“信息”的外延來看，數據所涵蓋的范圍要比信息更廣。例如個人信息是從個人數據中提取。其中，個人數據可以包括個人本體數據和個人附屬數據。個人本體數據可以是個人生物數據，個人附屬數據可以包括消費偏好、地理位置信息、瀏覽記錄、手機通訊錄等附著在個人身上的數據。在這個意義上，對“數據”的理解，超過了公眾對數據本身語義的理解和預測范圍。基于對數據具有財產性、工具性、排他性的認可，本文采用的“數據”概念，是與“信息”有差別對待的，不可互換使用。

二、數據確權的法律循證及保護模式的理論巡檢

關于數據權屬的認定，盡管受制于數據立法空白，(11)關于數據權利與數據交易，《數據安全法(草案)》第17條規定了“國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場。”但該草案并沒有對數據權利進行確認。《數據安全法(草案)》第30條首次在國家立法層面正式提出“數據交易”與“數據交易中介服務”的概念，數據交易中介服務提出了相關要求，實質上是形式審查的要求，為回應第43條而存在的，表明是數據交易合法的要件之一，不能直接視為數據交易合法，更不能由此推定承認數據權利。就個人信息保護而言，《數據安全法(草案)》第29條對此進行了概括式回應，與《網絡安全法》第41條和《民法典》第1035條的個人信息原則形成了形式上的延續，但無法與個人信息保護的現實需求進行有效對接。但這并不影響我們從司法層面尋求對數據確權的法律支持，面對我國已經發生的多起數據權屬糾紛，以“脈脈擅自搜集、使用新浪微博注冊用戶的個人信息”“數據特洛伊之戰的頭騰案”“大眾點評訴百度案”“HiQ訴LinkedIn案”與“生意參謀產品的不正當競爭案”較為典型，它們都涉及數據權屬的認定及數據安全法律保護模式的選擇。本文從立法論和司法論層面尋求我國對數據確權的立法態度和司法評價，并以5個案例展開分析，探索對個人數據權益(權屬)的最佳法律保護模式，以回應數據安全立法背后的焦點問題。

(一)數據確權的法律循證

從數據確權的案例和地方立法層面，尋求關于數據確權的法律印證，旨在為創新個人數據安全的保護模式提供理論依據。

1.淘寶“生意參謀案”實現了我國首次對數據權益的司法確權。關于數據確權，討論最激烈的是個人數據權益(權利)與網絡平臺數據權利沖突的情形。就“淘寶生意參謀案”而言，涉案的數據產品經過淘寶公司的長期“研發”，成為了能帶來經濟利益的、具有競爭優勢的“商品”。對平臺經營者而言，數據產品已擁有了財產屬性，即具備了商品的交換價值，為平臺經營者帶來了經濟收益。在某種程度上，數據產品被視為網絡平臺經營者的核心競爭優勢，成為互聯網行業的主要商業模式。對于美景公司通過不正當競爭手段非法獲取淘寶公司研發的“商品”，淘寶公司對其侵犯數據產品的財產性權益提起了訴訟，認為美景公司通過“搭便車”的不正當競爭行為非法牟利，顯失商業道德，阻礙數據產業的發展。對于此類案件，要解決數據產品資產化的前提，必須先明確相關行為是否侵犯用戶隱私、數據權益的歸屬和涉案數據產品的性質，再厘清網絡運營者(淘寶公司)與網絡用戶對網絡用戶的數據、原始網絡數據、數據產品的權利邊界。如果不涉及用戶隱私，就應該在促進數據合法流通共享的前提下判斷數據權益的合法性邊界。“生意參謀案”的判決在我國法律尚未對數據產品的權利屬性及保護作出明確規定的背景下，承認了數據產品權屬，即“生意參謀”是淘寶公司的勞動成果歸淘寶公司享有，實現了我國首次對數據權益的司法確權。根據《中華人民共和國網絡安全法》第22條的規定：對網絡產品、服務具有收集用戶信息功能的，提供者應當向網絡用戶明示并取得同意許可。從取得用戶許可層面來判斷，淘寶公司在用戶注冊賬號時通過“服務協議和隱私權政策”就取得了授權許可。從行為的正當性來看，淘寶公司經網絡用戶授權后收集、使用的原始數據均來自于淘寶用戶的默認提供或平臺自動獲取，不能認定淘寶公司通過非法手段獲取用戶信息。就涉案數據性質而言，數據內容雖來源于網絡用戶的原始數據，但經過淘寶公司的智力加工后，與普通意義層面的網絡數據發生了質的變化，具備了“產品”的商業特征。鑒于網絡用戶信息與原始網絡數據是“生意參謀”案中數據產品的構成要素，在網絡運營者(淘寶公司)與網絡用戶之間存在服務合同關系之下，此時網絡用戶信息喪失了財產屬性，原始網絡數據本質上依舊是網絡用戶信息的數字化表達。因此，淘寶公司收集、使用網絡用戶信息的行為符合法律規定，具有正當性。不得不承認，該判決對數據權益進行司法確權具有“判例”的司法指引效果，與《深圳經濟特區數據條例(征求意見稿)》對個人數據進行立法確權遙相呼應，豐富了對數據權益保護的法律實踐。

2.《深圳經濟特區數據條例(征求意見稿)》首次對個人數據進行立法確權。在數據生態鏈中，數據生產者、控制者、收集者和使用者肩負著數據化實體的功能，他們之間的共生關系要求立法者將數據生態鏈上的每個環節的數據化實體視為平等主體，并要求給予平等保護和尊重。正是基于這樣的法理基礎，深圳于2020年7月公布了《深圳經濟特區數據條例(征求意見稿)》(以下簡稱《數據條例》)第4條規定：“自然人、法人和非法人組織依據法律、法規和本條例的規定享有數據權，任何組織或者個人不得侵犯。數據權是權利人依法對特定數據的自主決定、控制、處理、收益、利益損害受償的權利。”這是國內地方立法首次對個人信息進行確權，并對“數據權”作出了界定。這是地方立法首次對個人信息進行確權，在制度創新層面實現了對新型生產要素賦權的制度安排，該《數據條例》在自然人、法人及非法人的數據主體上賦權，目的是與公共數據開放進行理論對接。從法規范的邏輯性和體系性來看，因為只有明確數據主體的權利，才能對數據控制者和使用者設定相應的義務。進一步而言，包括法人、政府在內的所有社會主體都有尊重和保護個人數據安全的義務。繼淘寶“生意參謀案”實現了我國對數據權益進行司法確權之后，《數據條例(征求意見稿)》對個人數據進行確權，它們從方法論上劃定了數據權益的邊界，在立法論層面對個人數據進行確權，為我國個人數據安全保護模式進行制度創新提供了良好的示范。

(二)數據安全法律保護模式的理論巡檢

面對我國發生的多起數據權屬糾紛，本文選取了以“脈脈擅自搜集、使用新浪微博注冊用戶的個人信息”“數據特洛伊之戰的頭騰案”“大眾點評訴百度案與HiQ訴LinkedIn案”“生意參謀案”為代表的案件，從數據權屬的分類保護、場景化區分及平臺保護三個維度，分析個人數據安全法律保護模式的。雖然選取的樣本數據有限，但基本上可以總結出我國司法審判的態度，用以反補理論研究的不足。

1.財產權保護模式。個人數據在“體量”和具體場景實踐中改變了數據的原始樣態，這是數據糾紛案件中的一個共性，在“誰的數據，誰的財富”背景下，“數據石油”已成為市場經濟爭奪的首要目標，本文選取了五個案例作為分析對象，旨在呈現個人數據的財產權屬性是導致案件糾紛的根本原因，即個人對其數據具有支配性的財產權，可以通過自己的意志決定數據交易來獲利。該模式的爭論在于個人數據能否作為財產權的客體，(12)參見張新寶：《民法總則個人信息保護條文研究》，載《中外法學》2019年第1期；紀海龍：《數據的私法定位與保護》，載《法學研究》2018年第6期。并主張基于數據的財產性價值，個人數據的財產性價值也應當得到保護。五個案例表明，它們都是以不正當競爭為由被起訴，這意味著數據的財產屬性是公眾所關注的(詳見表一)，即便是數據糾紛也無法否定數據具有財產價值的本質，司法機關對個人數據的保護首先考慮的是個人數據的財產價值，通過經濟法和刑法手段對其提供保護。對個人數據的人格權保護，是在繼財產權保護之后才啟動。這里要說明的是，不是個人數據的人格權屬性不重要，而是我國現有法律框架是以“利益衡量”(13)對該原則的類似表達，也有學者采取了“兩頭強化，三方平衡”的觀點，即對個人敏感信息和隱私信息進行強化保護，對個人一般信息進行商業利用、公共管理利用的評估，實現個人、信息業者和國家三方利益平衡。參見張新寶：《從隱私到個人信息:利益再衡量的理論與制度安排》，載《中國法學》2015 年第 3 期。為構建原則，國家對數據保護同樣采取的是優先保護國家利益、公共利益。針對個人數據的法益衡量，必須讓位于國家安全和公共安全，該原則在《數據安全法(草案)》中可以得到印證，包括我國刑法對個人數據的保護，也是以不影響國家安全、公共安全和數據安全為前提的，由此可以看出，我國對數據安全的法律保護更強調對經濟利益和市場秩序(14)通過歸納，理論界有觀點集中認為：我國在使用《反不正當競爭法》處理數據確權的做法，應當慎重對待。從世界范圍來看，只要不侵害法定權利，一般不會被認定為不正當競爭。尤其是在商業運用場景中，搭便車是企業尋求商業機會的普遍行為，與此同時，企業也為此付出了“搭車成本”。的考量。

表一：數據權屬的司法認定

2.人格權保護模式。該模式主張保護個人隱私權和個人信息權。個人數據具有隱私性質，是基于世界各國采用保護個人數據的方式實現對個人隱私的保護。例如，美國對個人數據的法律保護采用的是“隱私”的表達，體現在1974年的《隱私權法》和大多數草案中。歐盟沒有直接采用“隱私”冠名，但在《個人數據自動化處理保護公約》和《歐盟數據保護指令》中對個人數據的保護均采用“隱私”的概念。隨著公眾對個人信息保護的逐漸重視和了解，認為當代個人信息的范疇已經超越了對傳統隱私的認知，在《歐盟一般數據保護條例》(以下簡稱為“GDPR”)中已沒有出現“隱私”一詞，我國鮮有學者支持該表達。關于將個人數據采取人格利益的保護模式，學界至今尚無定論，爭論的焦點在于人格權的屬性之分，(15)人格利益之爭的焦點集中在“權利”與“利益”之爭，盡管學術界已經認為個人信息已成為新型人格要素的客觀存在，我國《民法總則》第111條也明確給予了對個人信息(數據)進行法律保護的合法地位，但對個人信息權沒有明確的界定，這也導致對個人信息(數據)的范圍理解不一致。在大多數法律文本中，對“數據”和“信息”的混用，已成為一種普遍現象。現已有學者對此進行了關注和澄清，參見韓旭至：《信息權利范疇的模糊使用及其后果——基于對數據/信息混用的分析》，載《華東政法大學學報》2020年第1期。多數學者認為，在實踐中個人信息難以作為獨立人格利益，(16)個人信息無法作為獨立人格利益主要存在：個人信息和隱私無法區分，個人信息的范圍過于廣泛，難以認定為人格利益。參見梅夏英：《在分享和控制之間：數據保護的司法局限和公共秩序構建》，載《中外法學》2019年第4期。但不能否認“人格利益說”的確為個人數據的法律保護提供了一種法律保護的思路。于是，個人信息自決權的提出，為個人對數據的支配提供了防御性的權利架構模式，彌補了人格利益說的不足，這也是西方國家對個人數據(信息)的保護從隱私權保護、人格利益保護過度到對個人信息自決權的觀念轉變。該權利重視個人對自身信息具有獨立的決定權、控制權和支配權，能夠防止個人信息免遭他人的非法獲取、傳播和利用，通過自我決定實現數據交易。總體而言，個人信息自決權的完美設想在理論上為防止個人數據濫用提供了一種解決方案，但就“自決”本身而言，個人對自身信息的控制，往往是無法(不能)控制的。現實情況是，個人數據通常是在不知情的背景下被收集，在被收集后又喪失了對數據控制的權限。從適用空間來看，信息自決權僅適用于網絡空間的個人數據控制，不適用于“線下”空間。從信息自決權的權利設置目的來看，該權利只保護個人數據(信息)不被濫用。從實踐層面來看，GDPR設置了30多種禁止收集的情形，這在很大程度上限制了信息自決權的行使。當然，我們不否認信息自決權對個人數據保護的積極作用，但對于個人附屬信息，它卻無法提供有效保護。筆者認為個人附屬信息也屬于個人信息的范疇，例如個人通訊錄信息是在線下環境中產生的數據，但它的確依附于個人而存在，它的附屬價值同樣與數據價值一樣，具有隱私性、獨占性和財產性，非法販賣手機號碼就是典型例證。值得注意的是，在“脈脈擅自搜集、使用新浪微博注冊用戶的個人信息”和“大眾點評訴百度案”中，對數據人格權的法律保護力度的確低于對數據財產權的保護力度，即便是平臺之間不正當競爭糾紛，也沒有出現公民維護數據人格權的訴求出現。這是因為，數據流動本身就會帶來利益期許，現實中對個人數據愿意采取支付注意義務的保護措施，這就意味著個人數據是具有財產價值屬性的，無論是新浪，還是百度，用戶的注冊信息本身就具有商業價值，都可以成為定向投送廣告的對象。但是個人在換取數據服務的同時，讓渡個人數據信息權是交換條件，即數據服務協議改變了數據保護模式，從而影響了數據權益配置，公民對個人數據安全保護的訴求自然降次于數據財產權之后。

3.平臺保護模式。在數據資產化背景下，網絡平臺通常會基于自身數據的體量優勢支付更大的管理成本和技術成本保護公民個人數據(信息)。這是平臺企業競爭力和社會影響力的決定的，相比有形財產，公民數據信息是作為平臺企業數據財富實現的來源，沒有個人數據(信息)的貢獻，就沒有數據財富。在此意義上的網絡平臺，具有三個層次的法律定位。其一，網絡平臺肩負著數據匯聚的功能，也由此拓展出數據創新的功能。作為科技創新和數據產品的商業推廣實體，網絡平臺為數據用戶提供了數據服務的場所，承載者對數據服務的利益期望。其二，網絡平臺對數據產品的技術升級、安全保護模式具有不可替代的作用。盡管眾多案例是以網絡平臺的侵權形象出現，案件糾紛集中在網絡平臺對公開數據的不當獲取和使用，法律否定的是網絡平臺基于技術優勢的不正當競爭，即背離數據創新方式的坐收漁利，但國家始終強調“避免對正當技術造成誤傷”作為鼓勵網絡平臺企業發展的“紅線標準”。其三，網絡平臺的防御功能。作為數據聚集地，網絡平臺更重視對原始數據的二次加工和提煉，在“脈脈擅自搜集、使用新浪微博注冊用戶的個人信息”“數據特洛伊之戰的頭騰案”“大眾點評訴百度案與HiQ訴LinkedIn案”“生意參謀案”中，網絡平臺以數據控制者的身份防御數據免受他人(法人)的非法入侵。該模式在我國《網絡安全法》和《刑法》中已經踐行，在《數據安全法(草案)》第7條關于數據安全管理主體的設置方面，還留有調整配置的空間，即將網絡平臺納入數據管理的輔助位置，以數據市場參與者身份參加數據的治理，或許更能體現數據安全保護的時效性特征。

三、個人數據安全法律保護模式的配置方案

在數據時代，數據安全的法律保護面臨巨大的沖擊。無論是在私法層面、抑或公法層面，都莫不如此。個人數據權保護模式面臨作出規范性調整的現實需求。數據法治，路在何方？這個問題既不能在單一部門法中回應，也不能在公法或私法層面回答，需要立足數據存在的具體場景，突破私法或公法的思維局限，在數據安全法律保護模式上查遺補漏，作出有針對性的調整方案。

(一)商業秘密保護模式可以拓寬數據財產權保護模式的路徑

數據的經濟價值在于使用數據，而不是占有數據(17)參見[英]維克托·邁爾—舍恩伯格、肯尼斯·庫克耶：《大數據時代：生活、工作與思維的大變革》，盛楊燕、周濤譯，浙江人民出版社2013年版，第156 頁。。個人數據區別于智慧財產，在知識產權保護范疇中，商標、專利和版權在權利設置上具有排他性、獨創性和使用價值性。個人數據顯然缺乏獨創性，獨創的過程實質上是創新和創造的復合程序。相反，個人數據具有數據的原始屬性，沒有智慧財產的二次創造過程，即使擴大到面部整容范疇，依附于個體之上的面部數據也被視為生物數據。這意味著，個人數據不宜視為智慧財產對其進行知識產權類的法律保護。盡管數據的本質是代碼，在今天已被視為新型生產要素，在將來被法律認定為新型財產也具有現實可能。就數據的虛擬屬性而言，數據控制者抑或使用者只擁有對數據的線上使用權和控制權，沒有線下的占有和控制權。因此，數據流動和使用受到了算法的控制與數據架構的控制，這就意味著一旦數據被非法控制，對數據用戶產生的損失在于喪失對數據的使用限權。鑒于數據所蘊含的財產性價值在特定場景中會體現出商業秘密所特有的屬性，即秘密性、排他性和財產性，因此，借鑒商業秘密的保護模式對數據財產權保護模式進行改造，可以拓寬數據保護的路徑，也能強化數據所有者對數據的合法使用的效率。具體而言，在數據流動或商業化場景中，數據被收集、儲存和使用過程中通常會與經濟利益附著相關，與此同時，數據會出現被盜竊、泄露和濫用風險。在涉及個人數據安全保護機制和數據產品使用場景中，“知情同意”條款成為了數據控制者的免責事由，一旦數據風險及其實害后果出現，數據主體需要承擔的相應的法律責任。如此形式主義的歸責方式既無法保護數據安全，又徒增顯示公平的弱勢感。鑒于數據的財產屬性，可以考慮使用刑法中“侵犯商業秘密罪”的罪刑規范，對數據使用者通過非法手段獲取數據、非法使用或公開數據的，只要數據控制者采取了數據保護態度的，數據本身也達到成立商業秘密的標準，即可成立本罪。本罪的對象可以是普通數據，也可以是個人數據；在數據保護語境下，該罪名所保護的法益是數據控制者與處理者基于數據附著的經濟利益，維護的是數據公平交易的市場秩序，一切通過不正當競爭手段的數據獲取和數據使用行為，均在本罪的打擊范圍內。總體而言，在數據資產化背景下，數據商業化利用已成常態，數據交易每時每刻都在發生，只有通過刑法手段(對數據提供刑法保護)規范數據市場交易秩序的合法化、健康化，才能對數據安全、網絡安全、國家安全的實現提供切實保護。

(二)數據場景化保護模式可以彌補人格權保護模式的虛置

不同場景中的個人數據，承載的數據權益不同，保護模式也不同。在網絡社交場景中，個人數據在朋友圈的流動與傳播不具有隱私性，可納入公共數據的范疇；在公共衛生場景中，個人數據用于疾病防治和健康醫療，由于其中的個人數據包含了生物可識別信息或敏感個人信息，屬于數據隱私保護的對象；在商業應用場景中，個人數據的商品價值屬性顯現，屬于法律應該重視保護程度的范疇。由此可以看出，在考慮個人數據的類型化劃分之外，需要對數據存在的具體場景作出不同的數據保護方案。鑒于同類數據在不同場景中代表的數據權益不同，而數據保護和流通是需要在具體場景中才能實現，將抽象的人格權數據場景化，有利于幫助我們厘清數據的權利邊界。歐盟的GDPR和美國的《消費者隱私權利法案》將個人數據權利放置于特定環境中來對待數據保護，是典型例證(18)參見丁曉東：《什么是數據權利？——從歐洲〈通用數據保護條例〉看數據隱私的保護》，載《華東政法大學學報》2018年第4期。。今天，世界各國都面臨數據人格權保護模式的虛置，特別是身處監控無處不在的時代，我們的網絡活動軌跡被記錄在案的多于我們希望共享的(19)參見[美]布拉德·史密斯、卡羅爾·安·布朗：《工具，還是武器?》，楊靜嫻、趙磊譯，中信出版集團2020年版，第27頁。，并且大多是在不知情的情況下被記錄，在數據被收集記錄之后就已完全喪失對數據的控制權限。類似地，我國刑法中關于侵犯公民個人信息罪的立法初衷是保障個人信息自決權，適用權限僅限于處于數據收集環節的權利。值得注意的是，數據收集是具有時間鏈條性，只有在數據收集環節的權利才得以保護，那么數據被收集之后的權利怎么保護，什么法律法規可以提供保護？我國刑法沒有回答，這就意味著數據權利主體的人格權正遭受侵犯。若延續利益衡量的數據保護模式，勢必造成對個人數據安全法律保護的供給不足。為有效防范不可預見的風險出現，個人數據場景化保護模式的提出，在一定程度上可以彌補人格權保護模式的虛置。從方法論進路來看，個人數據場景化保護模式可以細化數據分類、分級保護方案。就數據分類保護方案而言，針對個人一般數據，可以采取利益衡量原則選擇保護模式；針對個人隱私數據或敏感數據，可以采取權益分配原則，即根據不同數據主體的權益分類，采取不同的權益保護模式。無論是利益衡量原則抑或權益分配原則，無法評價孰優孰劣，在強調數據主體權利保護的場景中，利益衡量原則或許可以成為數據保護的合理選擇，但會在一定程度上限制數據流動和使用；在需要對科技產業、公共利益進行特別保護的場景中，權益分配原則是首選，數據獨裁的現象自然也不可避免。從數據流動分級保護的進路來看，對敏感數據、隱私數據、身份數據和生物數據的流動限制是不一樣的。與人格權關系越緊密的隱私數據、敏感數據和生物數據，應不允許流動；其中，個人生物數據在醫療場景中可以考慮附條件的流動；但對于與財產權關系緊密的身份數據，可以考慮有限制的流動。由此可見，對個人數據采取分類分級保護模式，重心在于強化數據控制者和數據處理者的合規義務，在數據安全保護全鏈條中，除數據收集環節的權利得以保護之外，數據被收集之后的保管、儲存、交易等環節，數據控制者和數據處理者都要以實現數據合規為數據保護的最終目標。

(三)平臺保護模式可以優化數據安全法律保護的制度設計

平臺保護模式需要配置兩個層次的制度設計，第一 在平臺商業模式中，將個人數據人格權保護轉化為財產權保護是數據用戶對數據產品使用的妥協，正如上述判例顯示，數據用戶無法從網絡平臺中獲得實質性補償。基于網絡平臺對個人數據(信息)負有保護義務，我們亦有權要求網絡平臺履行“合理使用原則”的數據保護義務，在數據用戶遭遇法律糾紛時，可以籍此原則主張救濟權利。該義務的設置，可以優化數據要素市場的法制化環境，還能及時地保護個人數據安全。該義務設置的初衷在于，個人數據(信息)受到侵害，與環境受到破壞、污染類似，一旦形成實害后果，所有的救濟途徑都于事無補。因此，前置數據安全法律保護的防線，是切實保護數據安全最有效的手段，設置個人數據分級分類保護制度，是根據數據性質本身、根據及時就近原則啟動保護措施。眾所周知，不同的數據類型承載著不同的數據權益。個人數據是個廣義概念，其中包括敏感數據、隱私數據、身份數據和生物數據。具體而言，以人臉、聲音、瞳孔、指紋和基因為代表的生物數據；顯示民族、性別、黨派、出生地為代表的身份數據；以政治觀點、宗教信仰等為代表敏感數據；顯示婚姻狀態、征信狀態、通訊信息、地理位置和與財產相關的個人隱私數據，這些數據在不同程度上反映了個人社會生活痕跡。既然網絡平臺是具體執行數據安全保護的實體，根據個人數據類型配置不同程度的數據安全法律保護措施，這樣的保護方案是最直接、也是最具時效性的。盡管理論界對個人數據分類標準尚存爭議，但上文對個人數據的劃分，為網絡平臺執行數據安全保護確實提供了一種具體的執行方案。

結語

數字社會的治理需要法制與自治的功能互洽，即將頒布的《數據安全法》旨在維護企業間的數據控制利益，不涉及數據確權。但在推進數據安全保護的深度和廣度的同時，數據確權是一個難以回避的問題。公眾和理論界對數據權屬的認識一直圍繞著財產權、知識產權和人格權展開，即便如此，數據立法對本文提及的、應當進行專門保護的數據，也沒能在數據確權上作出制度安排，只能轉由司法層面尋求判例支持。可以說，這是數字社會特有的治理方式，即間接的介入數據安全保護，通過司法論上的判例支撐和地方立法的先行入手，在社會治理主體多方的努力下形成完善的保護個人數據安全的法律框架。從眾多數據糾紛案例中可以看出，當前對數據安全的保護大多以不正當競爭來規范數據市場秩序，該思路存在一定的局限性：由于數據確權的制度安排沒有完成，數據的人格權保護沒有得到社會的關注，數據利益的損害賠償無法實現。盡管司法實踐證明，過度重視數據的財產權屬性，會弱化人格權保護的力度，助長數據濫用、破壞數據市場的公平交易秩序。究其本質，這是技術發展與法律滯后的原生矛盾。在社會治理規則(制度安排)出現之前，人們只能根據經驗主義(司法審判)來尋求此問題的解決方案。因此，本文立足于數據確權的視角，分析個人數據安全的法律保護模式及制度設計，這既是我國處理數據糾紛的回顧性總結，又為將來數據安全法律保護模式的配置提供了備選方案。