數據權屬與規制探討

劉瑞爽

大數據經濟即將進入數據資本時代[1]。數據成為與土地、勞動力、資本、技術等傳統要素并列的生產要素，加快培育數據要素市場勢在必行。同時，在大數據技術推動下，個人信息的應用已經由商業和經濟領域，逐步擴大到政治、社會治理和公共政策等領域，并給公民的政治生活和國家的網絡安全與主權等帶來越來越大的影響[2]。目前，我國已經初步建立了與國際基本接軌的個人信息保護法律體系，有些行政區域業已開始了數據要素市場的實踐，意在形成系列創新安排。例如，2021年上海數據交易所成立，其面向全球開展大數據綜合交易，這“可能是第4次工業革命的變革性事件之一”[3]。但是，數據相關法律資源依然供給不足：個人信息權益保護方面，《個人信息保護法》尚需配套文件與落地執行；數據交易方面，存在數據確權難、定價難、互信難、入場難、監管難等關鍵共性難題，其中，數據產權不清晰，導致數據難以自由流轉、難以物盡其用，不能充分保護數據的相關權利人，不能實現 “每個人得到其應所得”(to each his due)之正義[4]。故盡快完善數據確權并予以相應規制，是時代的要求。本文認為，數據確權及數據規制的“硬法”進路為：明確法律概念、分析利益光譜、確定利益歸屬、權衡優先次序、平衡多方利益、搭建規制框架，制定具體規則。

1 原生數據與衍生數據：數據確權與規制的起點

對數據在法律層面概念的厘清和統一，是討論其權利歸屬及規制的起點；統一法律術語，亦為法律規制的題中之義。本文中，數據與信息同義，個人數據與個人信息同義。

1.1 原生數據、衍生數據及數據處理

數據可以分為原生數據和衍生數據。原生數據是指不依賴于現有數據而產生的數據。衍生數據是指原生數據被記錄、存儲后，經過算法加工、計算、融合而成的系統的、可讀取的、有使用價值的數據[5]，如健康醫療數據、生物識別數據、基因數據等。從來源上看原生數據主要有兩個來源：其一，本源于自然人，如生物樣本；其二，本源于自然界，如氣候數據。二者均不依賴于現有數據而產生。前者為“天賦人權”之范疇，人出生后隨即享有，體現為人格利益，屬個人信息，受法律保護；后者通常產生于自然界，當屬域內全體人民，即歸國家或集體所有。換言之，原生數據是未經數據處理的數據。衍生數據為原生數據之外的數據，乃基于對原生數據或其他衍生數據的數據處理而來。數據處理，為法律用語，依據《數據安全法》第二條，數據處理包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。

1.2 個人信息與個人數據

《民法典》對個人信息界定采“識別說”，但《個人信息保護法》為新法、特別法，效力優于《民法典》，故應采《個人信息保護法》的“關聯說”[6]57。本文所稱個人信息，是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。因此，實務中判斷數據是否為個人信息，應按照“關聯說”，遵循從“個人到信息”的路徑進行判斷，而非“識別說”的“從信息到特定人”之路徑。換言之，與個人相關的信息即為個人信息，經匿名化處理后不能識別特定人且完全不能復原的除外。本文所稱個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等，為數據處理的下位概念。需要說明的是，一方面，有的個人信息屬于原生數據，如生物樣本；有的個人信息屬于衍生數據，如個人健康數據。另一方面，原生數據可來自個人數據，如基因數據；衍生數據可能包含個人信息，如公共數據中的個人數據，也可能不包含個人信息，此時稱非個人數據。

1.3 公共數據與政務數據

參照《上海市數據條例》等地方法規，本文所稱公共數據，是指國家機關、事業單位，經依法授權具有管理公共事務職能的組織，以及供水、供電、供氣、公共交通等提供公共服務的組織，在履行公共管理和服務職責過程中收集和產生的數據。依據《數據安全法》，政務數據是“社會數據”的對稱，是指國家機關為履行法定職責而形成的數據。公共數據與政務數據應屬衍生數據。

2 數據的利益與權屬

不論原生還是衍生，數據不僅承載信息，而且承載著利益。大數據時代，只有法律結合數據利益之所在，確定數據權利主體，才談得上進一步的規制，即數據利益劃分與數據確權是進一步數據規制的前提。目前，學界對于界定數據權屬，存在用戶所有、平臺所有、用戶與平臺共有、國家所有這四種權屬分配模式[7]。但是，這些學說均未充分考慮原生數據與衍生數據的權屬區別，亦未全面認識到衍生數據中存在的“利益光譜”，更未客觀考量數據上利益價值的權重，從而或過于強調某一方權利，或權利過于分散，難以完全避免“公地悲劇”或“反公地悲劇”，進而導致數據價值混亂、利益失衡。本文認為，利益光譜的“兩頭強化，多方平衡”，是我國數據處理規制立法的指導思想，前述學說的缺陷，不符合這一指導思想。唯有在此指導思想下完善立法、綜合治理，方可在對數據權利人維護合理保護效度的前提下，促進數據有序流通和數據資產不斷迭代更新，維護數據權益體系中各方利益平衡。因此，本文區分原生數據與衍生數據，以數據所涉利益為出發點，探討利益相關者的權益確定問題。

2.1 原生數據的利益與權屬

本文認為，類似于《民法典》規定的國家所有權之客體，如城市的土地、礦藏、水流、海域、無線電頻譜等屬于國家所有，原生數據中的屬于國家的自然界數據，如氣象數據、地理數據等，應屬國家利益，權利主體為域內全體人民，即歸國家所有；同理，原生數據中源自集體所有的財產的，權利主體為集體；原生數據中的因人之為人而自然產生的個人數據，基于人格尊嚴，其承載個人信息權益，屬個人享有并受法律保護，如個人生物樣本及相關數據。概言之，原生數據屬于原發者，要么屬于國家或集體，要么屬于個人享有。

2.2 衍生數據上的“利益光譜”與權屬

對原生數據或其他衍生數據進行數據處理，產生衍生數據。例如，基于政務活動形成的政務數據、公共數據，基于商業活動產生的商業數據，基于醫療服務產生的健康醫療數據等，均屬于衍生數據。不同于原生數據利益的單一性，衍生數據往往涉及多方主體的合法權益，且這些權益往往重疊交織、漸變游移、難以分割，形同光之譜系，故本文將其喻為“利益光譜”。

數據上存在多方主體利益，已為我國法律所明定。例如，依據《數據安全法》《個人信息保護法》《民法典》《生物安全法》《人類遺傳資源管理條例》等，“利益光譜”包括但不限于國家利益、公共利益、個人信息處理者利益、人類共同利益、人格利益準共有者的利益、個人權益(包括個人信息權益)等。在“光譜”的兩頭，是國家利益與個人權益，中間為其他利益，如數據處理者的利益。

例如，對生物樣本進行數據處理后，產生基因信息等衍生數據，其承載多方利益，呈光譜狀，說明如下。

第一，基因信息承載個人的基因信息權益，為人格利益，歸個人享有，受法律保護。個人的基因信息屬于個人信息。有學者認為，個人信息是能夠識別特定自然人的信息，這種可識別性就體現了人格特征。個人享有個人信息權[8]。通說認為，個人信息權益為民事權益中的人格權益[6]31，而非類似隱私權那樣的絕對權。立法采通說，《民法典》《個人信息保護法》明確規定個人信息權益為人格利益，而非具體人格權，歸個人享有并受法律保護。人格利益包括精神利益和財產性利益，個人信息權益亦如此[9]27。個人信息權益不屬財產權范疇，但我國法上的對人格權保護一元化模式涵蓋了精神利益和財產利益[6]33，依據《民法典》第九百九十三條，民事主體可以將自己的姓名、名稱、肖像等許可他人使用。本文認為，本條的“等”涵攝個人信息，故個人主張基于個人基因信息處理請求補償的，尚有法律允許空間。尤其是基于商業目的合法處理個人信息對個人予以適當補償的，不違背法律強制性規定，符合公平原則，亦可避免剝削之嫌。例如，臨床試驗對受試者提供個人基因信息的適當補償。

值得注意的是，處理個人基因信息的，不僅涉及個人信息權益這一人格利益，還可能對其個人權益產生重大影響。因基因信息性質既屬于敏感個人信息，又屬于私密信息，對其處理不當的，對個人權益會產生重大影響。此處所指個人權益包括但不限于：憲法權利中的人權、人格尊嚴、通信秘密與自由、財產權利；公法上的權利，如《基本醫療衛生與健康促進法》確立的公民健康權；私法上的權利，即民事權利，包括人身權利、財產權利和其他人身財產權益。《信息安全技術——個人信息安全影響評估指南》從限制個人自主決定權、引發差別性待遇、個人名義受損或遭受精神壓力、人身財產受損四個維度指明了具體危害，并指出安全風險：對個人信息未經授權的訪問、泄露、篡改、丟失等。前述危害及風險即為對個人權益重大影響的典型表現。概言之，在個人基因信息利益光譜的一端，即為個人信息權益以及處理數據可能輻射的個人權益，其權利主體為自然人本人。

第二，基因信息承載人格利益準共有者的人格利益。處理基因信息的，有時會涉及人格利益準共有者的人格利益。共有原本是物權法所規定的所有權的概念；準共有則將其擴大到所有權之外的財產全領域，不僅包括物權法的他物權，還擴大到債權和知識產權領域權利共有。準共有現象也存在于人格利益的場合[9]35，如關聯之隱私、團體之榮譽、集體之照相、共同之聲音作品等。當然，也包括共有的個人基因信息，如同卵雙生者之共有的基因信息。簡言之，處理個人基因信息涉及血親的，血親與自然人享有共有的基因人格利益，未經其同意或法律許可，不得處理。

第三，基因信息還承載著個人所屬民族或社群的基因信息利益，應屬公共利益。例如，政府有關部門依照《生物安全法》《人類遺傳資源管理條例》等對人類遺傳資源進行行政管理，其目的之一在于公共利益的維護。又如，政府或者法律授權的組織等基于公共衛生目的、遵循正當程序，對生物樣本及遺傳信息進行收集、存儲、使用、加工、傳輸、共享等處理活動，形成政務數據或公共數據，此時可視為自然人對其個人信息權益的部分讓渡，體現的是公共利益，權利主體為全體公眾，由政府及其有關部門或者法律授權的組織或個人代為行使。

第四，數據處理者基于數據處理獲取衍生的基因數據所享有的商業利益或者財產利益。數據處理者處理個人基因信息的，應遵循《個人信息保護法》確立的個人信息處理原則，在合法的前提下，遵守個人信息處理規則，保障個人在個人信息處理活動中的權利，履行法定義務。在滿足前述法律要求的前提下，數據處理者可以充分合理利用生物樣本及基因信息，開展數據合理使用、數據交易等商業活動，對所獲取的衍生數據享有合法財產權益，受法律保護。

第五，人類共同體對于基因數據的共同利益，或表現為科學利益。

第六，人類遺傳資源的處理涉及國家利益，即維護國家主權、安全和發展利益，其屬于全體人民，由國家行使相應權力。

綜上，基于“利益光譜”的存在，以基因數據為例，其承載的利益往往涉及多方主體。

認清多方利益的存在以及確定相應的權利主體，僅是對數據處理規制的開始，接下來的問題是數據及數據處理的規制進路整理，例如，在數據上存在的利益有無優先次序？如何取得多方利益的衡平而實現正義？數據規制的法律價值判斷有無位階？制定什么樣的規制框架？進而采取哪些措施、如何制定數據處理規則等。

3 數據規制

3.1 原生數據的規制

原生數據所承載的利益較為單一，權屬較易明確，可參照物權、人格權等法律制度設計相應規制制度，用于保護國家或集體的數據財產權與自然人的個人信息權益。

有學者提出數據用益權觀點[10]，涉及原生數據的權屬及相應規制：“未來應根據數據要素市場對數據積極利用的巨大需求,借助自物權—他物權和著作權—鄰接權的權利分割思想，容納作為現代新興權利客體的數據。根據不同主體對數據形成的貢獻來源和程度的不同,應當設定數據原發者擁有數據所有權與數據處理者擁有數據用益權的二元權利結構，以實現數據財產權益分配的均衡。”這一思路頗具啟發意義。在考量國家安全利益等之后，基本上可以參照財產權之自物權-他物權制度，設計國家或集體“數據所有權”與數據處理者擁有數據用益權的二元權利結構。換言之，國家或集體享有的原生數據為國家所有或集體所有；對此進行處理獲得衍生數據的，取得相應的數據用益權。下一步則討論是否可以參照土地用益物權制度，由政府或集體收取“數據出讓金”，從而推動數據的充分合理利用。

但是，該學說認為原發者擁有的權利一律是“數據所有權”欠妥。自然人的原生數據不宜認定為財產權之客體，否則與人格權益屬性沖突。如果將人格權益作為物權客體，無疑與“人是目的，不是手段”相悖。對于原發者為自然人的原生數據，應納入人格權法律體系，我國現行法律基本能夠充分提供個人信息人格權益保護的法律資源。本段對原生數據中個人信息的論述，適用下文的衍生數據。

3.2 衍生數據規制中的“兩頭強化，多方平衡”

張新寶[11]首次提出《個人信息保護法》應體現“兩頭強化，三方平衡”，殊值贊同。但是，鑒于個人信息處理活動不限定于個人、個人信息處理者、國家三方利益，尚可能涉及其他主體的合法權益，如社會公共利益、人格權益準共有利益[9]37、科學利益乃至全人類利益，呈“利益光譜”，故筆者認為，用“兩頭強化，多方平衡”似更為精當。“兩頭強化”是指法律強化對位于“利益光譜”兩端的國家利益與個人權益的保護，“多方平衡”指的是多方主體數據權益的平衡。

權利存在位階，法律價值存在優先次序。故在利益排序方面，一般而言，國家利益至上；個人信息權益是人格權益，受法律保護；公共利益高于個人信息權益，但應遵循法律保留原則、最小必要原則、比例原則等；在保障國家利益與個人信息權益的前提下，數據處理者的合法財產權益受法律保護。

3.2.1 立法強化對國家利益的維護

我國數據處理相關法律強化對國家利益的維護。例如，《數據安全法》《個人信息保護法》《生物安全法》《人類遺傳資源管理條例》等，均宣示對國家安全的維護。一般而言，進行數據處理、其他利益與國家利益發生沖突的，國家利益優先。比較法上大多如此。

3.2.2 強化個人信息人格權益保護

個人信息人格權益體現人格尊嚴，個人信息的處理不當往往危及人身安全、財產安全等個人重大權益，故個人信息權益處于法律價值與權利位階高點。依照權利位階規則，當發生權益沖突時，個人對個人信息的權益高于個人信息處理者的財產利益，這也是個人信息處理者之所以必須取得個人同意或法律授權方可處理個人信息的法理基礎。同理，處理個人信息涉及個人信息權益準共有者的，其人格權益亦高于個人信息處理者財產利益，受到優先保護。衍生數據中的個人信息保護法律措施同上文“原生數據的規制”。

3.2.3 數據處理者的財產權益保護

數據處理者對其處理的數據擁有財產權益，應無爭議，但需要針對不同問題的解答，探討相對應的規制安排。

第一個問題是，這種數據財產權益是什么性質的權益？觀點一，數據既不是物，也不是智力成果或權利，不同于現行法上的任何一種民事權利客體。《民法典》第一百二十七條規定，法律對數據、網絡虛擬財產的保護有規定的,依照其規定。顯然，立法者在緊接著人格權、物權、債權和知識產權之后規定對數據的保護，實際上等于認同了數據的權利是一種新型的財產權利，受到法律的保護[12]。觀點二，衍生數據的性質屬于智力成果，與一般數據不同。在數據市場交易和需要民法規制的數據是衍生數據，以衍生數據為客體建立的權利是數據專有權。數據專有權是一種財產權，性質屬于新型的知識產權。數據專有權具備傳統知識產權無形性、專有性、可復制性的特點，但不具備傳統知識產權的地域性、時間性的特點，因此是新型的權利類型[5]。觀點三，數據權利的具體內容和行使方式，應圍繞特定信息的自身特點進行重構[13]。綜上，盡管學者觀點有所差異，但存在共同之處：一是均認為數據權利屬于新型財產權利，但在該新型財產性質上是否為智力成果方面存在分歧；二是該新型財產權利人為數據處理者；三是該新型財產權利應受法律保護。本文認為，應區分原生數據、衍生數據以確定數據權利性質。其一，原生數據不屬于智力成果，不能按照知識產權法律確定權利，其非著作權客體；原發者對原生數據享有管領權利，或為國家、集體的權利(主要為財產權，可視為一種物權)，或為自然人的人格權益，數據處理者對原生數據一般無管領權利。其二，衍生數據則往往因數據處理者的智力活動而表現為智力成果或商業秘密等，但因所處理的數據是原生還是衍生而權利性質不同。基于原生數據處理而來的，數據處理者取得數據用益權，是否可參照數據用益權學說設計“數據出讓金”制度，有待進一步探討；基于衍生數據而來的，則可參照“次級用益物權”制度或合同債權制度設計數據流轉制度。同時，權利人應依照“兩頭強化，多方平衡”原則對衍生數據行使數據權利。盡管學理上存在共識，但現有法律對數據權屬仍處于“留白”狀態，存在法律漏洞，對數據處理、執法監督、司法審判等不能提供充足的法律資源。但是，法官不能拒絕裁判，故出現數據權屬或權利行使糾紛的，仍應在現有法律中尋找依據，并借此推進立法的完善。例如，對于承載著智力成果的數據，法律可以通過對數據復制行為的限制實現對權利人的保護；而對于承載著商業秘密的數據，則可通過數據可訪問性的限制，為權利人的權利邊界進行劃定[13]。立法條件成熟的，應及時針對特定場景專門立法。

第二個問題是，公權力機構、民事主體等數據主體是否均可進行數據交易并獲取經濟利益？本文認為，民事主體中的營利法人享有的此種權益主要為財產權益，在數據要素市場依法交易應無法律障礙，上海等地的數據交易實踐也證明了其可行性。但是，公權力機構等數據處理者基于公共利益，履行法定職責、公共管理、公共服務等形成政務數據，《數據安全法》第四十一條規定“國家機關應當遵循公正、公平、便民的原則，按照規定及時、準確地公開政務數據。依法不予公開的除外”。故目前的公開是不應收取民事主體費用的。問題是，民事主體基于商業目的欲進一步處理政務數據、公共數據的，作為國有資產的政務數據無疑擁有巨大財產價值，有關機構能否與商業主體進行數據交易？能否采數據用益權學說，參照國有土地的“招、拍、掛”收取土地轉讓金制度，設計數據出讓制度，并收取“數據出讓金”，按照國家非稅收入納入預算法管理，用于國家建設或公共利益維護？筆者認為，應具有一定的合理性與可行性。當然，此涉及因素龐雜，有待于全社會進一步廣泛深入探討。

第三個問題是，個人信息處理者的財產權益是否應最末考慮？依照民法權利位階規則，人格權益高于財產權益[14]，處理個人信息的，首先應遵守《個人信息保護法》等相關規定，保護個人信息權益以及注意防范或消除個人信息處理活動對個人權益的重大不利影響。處理個人信息涉及國家利益、社會公共利益、他人合法權益的，原則上國家利益至上，社會公共利益優先，他人合法權益如為人格權益則具有優先于個人信息處理者財產權益的地位。簡言之，在“兩頭強化、多方平衡”的前提下，數據處理者合法財產權益受法律保護。

實踐中，司法審判呼應了學者的觀點，或者說學理與司法審判形成了互動。對于結構化的數據即數據庫，司法機關往往通過著作權制度給予保護，如依據《著作權法》第十四條，數據庫可以作為匯編作品而得到著作權制度的保護。數據企業收集的非結構化數據則主要是通過《反不正當競爭法》加以保護，即將侵害數據企業數據的行為認定為不正當競爭行為，如新浪公司與淘友技術公司、淘友科技公司侵害數據糾紛案件中，淘友技術公司、淘友科技公司被認定構成了《反不正當競爭法》的不正當競爭行為，屬于一種民事侵權行為。

3.2.4 公共利益優先

公共利益，為個人利益的對稱，屬于社會公眾共同所有的利益，受益人為不特定多數人。基于公共利益處理個人信息的，例如，為應對突發公共衛生事件，個人信息處理者可不取得個人同意而處理個人信息，體現了社會公共利益優于個人利益。但是，認定為公共利益、限制民事主體個人權益的，應遵循法律保留原則、最小必要原則、比例原則等[14]。對于政府合法行使權力強制公民的程度，有著嚴格的限制，應遵循正當程序原則。正如納菲爾德生物倫理委員會發布的公共衛生倫理報告所指出的，通常將這項權力限制在保護生命、自由和財產所需的國家強制范圍之內[15]。

3.2.5 法律責任：事后救濟

數據處理導致損害的事后救濟主要體現為法律責任。法律責任輕重程度與侵害利益性質以及情節等應成比例。依據《數據安全法》《生物安全法》《人類遺傳資源管理條例》等，數據處理危害國家利益、公共利益的，有著嚴厲的行政責任；情節嚴重的，可能構成非法采集人類遺傳資源、走私人類遺傳資源材料等犯罪。依照《個人信息保護法》，侵害個人信息權益構成行政違法的，追究個人信息處理者的行政責任；依據《個人信息保護法》第六十九條規定，侵害個人信息權益造成他人損害的，采過錯推定責任，由個人信息處理者證明自己沒有過錯，即過錯要件“舉證責任倒置”； 侵害個人信息權益，情節嚴重的，可能構成侵犯公民個人信息罪。侵害個人信息處理者財產權益的，一般為民事糾紛，以追究民事責任為主。

4 結語

通過對現行法律的梳理、對相關理論學說的學習、對司法實踐以及數據交易實踐的觀察，可以發現，數據上承載的利益呈光譜狀輻射至利益相關者，利益存在位階，故應“兩頭強化，多方平衡”，這是我國數據權屬及數據處理規制的立法指導思想。在此指導思想下，我國已經初步形成數據處理規制的法律框架，包括但不限于《民法典》《個人信息保護法》《數據安全法》《人類遺傳資源管理條例》等剛性的“硬法”，這些“硬法”遵循強化國家利益維護、個人信息權益保護、多方利益平衡的立法宗旨，完善個人信息處理的規則，使我國事前、事中、事后的個人信息保護與救濟規制趨于完善。但是，雖然《民法典》將數據定位于財產范疇，但數據權屬具體性質、內容、行使方式等仍未被法律所明定，適合各行各業的數據處理具體規則亦未完全落地，對算法的規制更是剛剛起步，這些導致數據處理法律資源處于嚴重供給不足狀態，不能適應時代的要求，難以促進數據自由、有序流轉，阻滯創新與發展。故本文認為，應秉持“兩頭強化，多方平衡”的數據治理指導思想，在法治框架內進一步推進全社會深入廣泛討論，盡快對數據的權屬以及規制完善立法，并結合其他規制手段，如政策、倫理以及業界自我規制等“軟法”，促進形成“綜合治理、軟硬兼施、利益均衡”的完善數據治理體系。