數據法與民法的制度基礎比勘

摘要：對照考察數據法和民法的制度基礎可見，二者雖然在形式上因《民法典》的宣示性規定可以合為一體，在精神實質上卻存在明顯的分離。數據法之數據客體不同于民法上的物、知識產品、網絡虛擬財產，偏離了民法的邏輯起點；數據權利無法歸類于單一民事權利，是多主體分享的權利束；數據關系時常突破合同相對性，偏離傳統合同構造，其中的“同意”并非意思表示，數據侵權不適用傳統侵權的歸責原則、構成要件與責任方式。

關鍵詞：數據法；民法；數據客體；數據權利；數據關系

DOI： 10.20066/j.cnki.37-1535/G4.2023.01.06

基金項目：本文系山東大學人文社會科學創新團隊資助建設項目“全面依法治國戰略實施中的數據運用與數據治理”的階段性成果。

數據并非虛幻的事物，因而離不開法律治理。法律治理既可以使數據的歸屬、傳輸、競爭更加有序，也可以直觀展示、證實其客觀實在性和經濟效能。數據法以調整數據關系為己任，需要各法律部門的通力協作，其中民法無疑居于最為核心的地位。《民法典》形式上調整數據關系，并于第127條宣示：“法律對數據、網絡虛擬財產的保護有規定的，依照其規定”；除外再無直接涉及數據的條文。因此，滋生了“數據法和民法關系如何”這一值得認真對待的問題。為回答這一問題，我們需要緊扣民法的精神實質，對照考察二者在客體、權利與關系三個方面的制度基礎：數據客體和傳統民事客體有何不同？數據權利能否單純歸于個人信息權、物權、知識產權？數據之債的關系能否適用合同法及侵權法？

一、作為客體的數據

客體是構建民事權利、法律關系的邏輯起點，數據客體和傳統民事客體的明顯差別將從根本上決定數據法與民法之不同。《民法典》并無關于客體的專門編章；不過，總則編第五章全面構建了民事權利類型體系，間接承認了民事權利客體。數據成為法律關系的客體，既可以搭建成權利，也應當被保護。鑒此，須厘清以下三組關系：

（一）數據和信息

數據并非自然事物，而是以電子或者其他方式對信息的記錄①。信息記錄古已有之，但在前數據時代，人們僅對信息記錄載體進行保護足矣，因為彼時信息記錄方式尚未電子化，數據偏于靜態和分散，難以借助網絡匯聚成大數據以實現快速傳播，亦不易動輒出現被大規模侵害之情形。數據時代之法律則須對數據和數據載體分別立法，歐盟《通用數據保護條例》（簡稱GDPR）和美國《開放政府數據法案》將調整對象區分為內容和載體，前者僅調整個人數據內容，后者還調整數據載體①；我國《數據安全法》和歐盟《數據治理法》亦將數據區分為物理層面和內容層面并予以分別界定。數據由按照一定規則排列的符碼組成，本質上具有無形性②，而有形的數字文件、電子載體將有助于數據的存儲、共享、傳播和效益發揮。在這一意義上，“數據”類似于票據、股票，信息則相當于票據、股票所表征的法律關系；只不過，后兩者自身可以是有形的，而表征關系一定是無形的。

數據通常涉及個人信息，但也可以基于非個人信息生成，還可以通過脫敏排除與個人信息的密切關聯。因此，《民法典》對個人信息、數據分別置于第111條、第127條規制，以示區別。數據具有財產價值，可以超越個人信息而具有極高的可讓與性。個人信息屬于人格利益，不宜以經濟價值來衡量，具有人身專屬性，并不具有可讓與性③。即便主體同意數據控制者對其個人信息進行收集和共享，也不等同于個人信息權利的全部轉讓。數據不等于個人信息權的財產化，后者是單一主體許可其個人信息權益歸他人使用，從而產生了財產化收益或結果——不過是在維持人格權益特質不變前提下的財產化。數據財產化反映了其游離于個人信息之上的物化特征，很大程度上并不依賴于單一數據，而是數據集合利用形成大數據的結果。在這一意義上，數據成為技術創新和經濟增長的重要生產要素，具有較高的經濟價值。例如，貴陽數據投行有限公司早在2017年即完成了中國第一筆數據資產投資，并獲得價值200萬元的涉質量類數據使用權④；武漢達夢數據庫股份有限公司申請科創板IPO獲上海證券交易所問詢⑤，表明大數據已作為一種資本形式可公開發行證券進行交易。

（二）數據和物

數據既然是無形符碼，就不屬于民法上的有體物，數據客體也不能徑直套用依托有體物形成的物化思維。通常情形下，信息記錄匯集起來形成大數據在整體上發揮效能，大數據也不屬于合成物、集合物及加工物。若認可經處理后數個數據在整體上成為一個合成物，承認其法律上的獨立物的地位，則為發揮合成物的整體利用價值，法律自應設定各成分失去法律上之物的地位。實際上，單個數據并未因結合而喪失其原有的物之資格，例如單個個人信息仍能作為人格權的客體，仍然可被識別，可被單獨許可使用與處理，當然也可被單獨侵害。因此，數據并非單純的合成物。數據也不同于集合物，因其往往圍繞特定的目的進行加工處理，具有較高的整體性，體現了一定的合成物之特點。然而，各個數據并非簡單集合形成大數據，而是運用技術手段處理形成了不同于原始單個數據的新物，單個數據之間的連接由符碼組成，甚至形成了新的數據鏈。相較于民法上的集合物，大數據的各個組成部分具有緊密的連接性。同時，也不應承認數據中單個信息的完全獨立性。以個人信息數據為例，個人信息屬于人格權益，不特定個人信息匯集形成數據內容。如果承認單個個人信息的獨立性，進而承認數據的可交易性，將違背傳統人格權的不可交易性原則。

（三）數據和知識產品、網絡虛擬財產

類似于知識產品，數據具有無形性而不具有物理排他性，可以被反復復制，被多數主體同時控制、支配；數據也具有信息壟斷性或稀缺性①，能夠通過交易產生經濟效益。然而，與知識產品的核心要素是內容的專屬性和壟斷性不同，作為信息電子記錄的數據更具有形式化特點②。從這一角度而言，知識產權是“自內向外”的實質化權利，數據權是“自外向內”的形式化權利。《民法典》第123條列舉了典型知識產權類型，并以兜底的方式強調“法律規定的其他客體”也可以是知識產品，體現了知識產權的開放性。這里的“其他客體”自然也須滿足專有性、獨創性等知識產品的本質要求。由此而論，滿足獨創性要求的數據也可以屬于知識產品，但不能說一切數據都屬于知識產品。此外，知識產品的獨創性以及與之相關的利益空間相對確定，表現在法律規定的年限和許可使用范圍；而數據的獨創性是動態發展的，隨著時代變化其所反映的利益也必將倍增。因此，試圖窮盡所有的數據利益，注定是不可能完成的任務③。在利益衡量上，數據之上的利益更具公共性，其不受版權保護的主要考量是避免出現數據壟斷。我國最近有關數據知識產權質押的交易創新，很大程度上是為了回避物權法定主義，并不意味著數據脫敏加密后可成立知識產權④。

《民法典》第127條從民事基本法的角度確認了數據客體，宣示了對數據的管轄或調整，豐富了民法客體的類型，但所對應的是何等性質的權利并不明確⑤。本條屬于引致條款，明確數據保護適用法律的特別規定，《民法典》有意對數據權利的確認、行使、保護規則留下空白。本條也有意識地區分了數據與虛擬財產，反映了兩者在立法上的牽連互動和性質上的差異。中國法學會《民法典草案建議稿》將信息規定在知識產權客體中，將網絡虛擬財產單獨規定“受法律保護”。《民法總則（草案）》一審稿第104條規定網絡虛擬財產為物權客體，第108條規定數據信息為知識產權客體。在審議中，有的專家提出不同意見，認為將數據信息和網絡虛擬財產規定為知識產權和物權的客體，還缺少充分的論證。因此，應當慎重對待。隨后，立法機關按照審議意見進行修改，曾經打算將數據規定為衍生數據，規定在知識產權的條文（第108條）中，刪除“網絡虛擬財產”這種權利客體。在討論中，與會專家堅決不同意這種做法。最終二審稿把數據和網絡虛擬財產分別從知識產權客體和物權客體的規定中拿出來，單獨規定了第124條⑥，即“法律對數據、網絡虛擬財產的保護有特別規定的，依照其規定”。網絡虛擬財產的定位和保護相對比較清楚。截至2019年5月20日，直接以《民法總則》第127條作為裁判依據的民事判決共37份，除部分法條引用錯誤或文字錯誤外，其他均為關于游戲角色、比特幣等“網絡虛擬財產”的判決，并采“網絡虛擬財產屬于民事權利客體”之表述，而未涉及“數據”的法律屬性①。

可見，作為邏輯起點，數據不同于信息、物、知識產品及網絡虛擬財產，由此邏輯起點衍生的權利與關系也應有所不同。這意味著數據權不能直接適用物權、知識產權、人格權等傳統權利類型。接下來展開的數據權利、數據之債的研究，將進一步驗證這一推論。

二、數據權的“權利束”和“義務群”

對數據賦權以保護各方主體的權益已成為緊迫的制度需求。一般地說，人們需要先明確界定數據權益之屬性，給出民法定位，再展開規范設計。然而，由于數據權利具有多元屬性，且各種屬性相互雜糅，無法醇化為一元事物，在民法上也無法給出完整的體系設計。

（一）數據的財產權化

1.政策導向和數據的財產化。一定意義上，將數據權益界定為人格權還是財產權，將會使權益主體獲得不同的保護力度。其中的“人格權說”無疑強化原始數據者的地位，“財產權說”則更有利于數據使用和流通。相異的界定也反映了一國（或共同體）對數字經濟之不同的政策導向。美國相關法律更注重個人信息的利用，試圖隔離網絡中間商，使其免于對用戶的不當行為擔責，以促進數據產業的發展；歐盟則采行了比美國更加嚴格的人格權保護路徑。具體來講，一是尤為強調個人信息作為基本權利和自由的崇高定位，使得互聯網企業活動空間十分有限；二是為網絡服務商創立了特別責任，平臺在歐洲遭遇訴訟的風險極高，簡單一條禁令就可以要求企業對現有體系進行重構，導致其無法有效運行，涉身其中的程序員則甚至因此入獄②。目前一些國家通過采取源代碼加密、跨境數據流量限制、數據中心本地化等措施，加強數據流動監管，但是這些措施不可避免地形成了數字經濟時代的新型數字貿易壁壘，而且并未有效地阻止個人數據泄露、盜用等問題。歐盟通過制定《一般數據保護條例》，試圖實現數字貿易和個人信息保護的協調發展，在世界范圍內具有創設規則的典范意義。我國數字經濟近年來雖然獲得較快發展，但在個人隱私保護方面仍然有很大的改進空間。長遠來看，我國需要推動統一的個人信息保護立法，積極參與相關國際規則的制定，增強企業隱私保護責任和公民維權意識，實現數字貿易和個人隱私保護的平衡發展③。

2.數據財產化的一般原理。就一般原理而言，個人信息權益無疑是人格權，是和人格密不可分的基礎性權利。在終極意義上，自然人個體可以按照數據的實質內容進行救濟，如果信息構成隱私的可以進一步適用與之相關的規定④。但是，標示性人格權又在本質上具有無形性，其權能極其豐富，并承擔著識別、交流的公共職責。因此，個人信息可以也必須和人格相分離而為他人使用、傳輸、共享甚至轉讓⑤。這一分離進程實際上構成人格權益的財產化利用⑥，并具有下列特殊之處：其一，不是權利主體主動追求而通常是被動形成的財產化；其二，不是單一的信息授權使用而往往是集合化利用。后者所指的利用使個人信息權從客體到內容與原人格權有了較大的差別，要求我們區分個人信息和數據資產，進行兩個階段的權利建構：首先對于用戶，應在個人信息或者說初始數據層面，同時配置人格權益和財產權益；其次對于數據經營者（企業），基于數據經營和利益驅動的機制需求，應分別配置數據經營權和數據資產權①。在此基礎上，數據已成為繼土地、勞動力、資本、技術之后最重要的生產要素，存在數據資源化-產品化-資本化的遷躍進程②。數據處理者運用技術手段把分散于各個業務信息系統或不同渠道采集的數據經過清洗等手段歸集起來，形成具有一定規模的數據，匯集、分析和處理數據亦能帶來客觀的規模化的經濟利益。原始數據已然轉變為具有使用價值的數據要素資源，數據資源還可以進入流通領域，成為數據商品，被其他企業利用、使用、共享，也可能被設置質押。數據還可以成為企業資產，進行IPO或作為企業并購時資產估值的對象等等。

在上述三階段式的遷躍進程中，最具有決定意義的是數據產品化，即將數據匯聚、資源化之事實經過法律處理而實現價值；至于數據資產化，無非是產品化的高級表現形式。由于可交易可變現是財產權的本質特征，我們需要在此考察數據權是否為民法上的財產權。財產權有廣狹義之區分，狹義財產權限于物權、債權，中等含義的財產權可以擴及知識產權，廣義財產權包括人身權之外的一切具有財產價值的權利。數據權利只能屬于廣義財產權。《民法典》確認數據權利的第127條位于財產權的相關規定（第113-125條）之后。結合法典上下文來觀察，立法者否定其屬于財產權的意思至為明顯③。

3.數據權和容易混淆權利的關系。關于數據權是否屬于物權的問題，《民法典》第114條將物權定義為對特定物“直接支配和排他的權利”。而如前所述，數據客體不同于物，數據權也并非物權。結合物權編第205條，物權的支配性集中體現于物的歸屬和利用，數據權利作為無形權利，難以形成排他性的支配，并且在數據權利利用過程中數據共享具有重要地位，不同主體對數據權益具有相互性④，平臺企業等可以依照信托架構享有一定的財產權⑤。正是因此，在“美景科技與淘寶案”中，法院支持了原告淘寶公司對其加工后的數據產品享有競爭性財產權益的主張，但拒絕承認其對數據享有財產所有權，并認為我國目前立法對于數據產品（衍生數據）的權利保護尚無法律依據。

關于數據權是否屬于知識產權的問題，數據客體的無形性使之近似于智力成果、知識產品。就數據來源看，數據權的確可能同時混雜人格權、財產權，其中的財產權又包括著作權、商標權、專利權、商業秘密等知識產權。由企業匯集形成的大數據也完全可因存在新穎獨創性而構成知識產權。也有學者考慮到知識產權法具有完整的法律體系和確權、保護機制，建議將《民法典》第127條涵蓋的企業衍生數據引至《民法典》第123條的知識產權權益保護范圍，采用知識產權方法構建企業衍生數據基本權能的內容①。然而，數據的無形性立基于符碼體系，源自于形式的無形；而智力成果、知識產品產生于勞動創造，源自于內容的無形。數據的新穎獨創性離不開集合機制，但經集合衍生形成的數據未必具有創新性進而都構成知識產權。實務上，人們往往認為衍生數據可構成商業秘密的客體，但當其構成商業秘密時旨在維護市場秩序而不是賦予邊界清晰的專屬權利②。構成知識產權的數據權可以適用《民法典》第123條，第123條可以構成127條的特別法，屬于“法律對數據、網絡虛擬財產的保護有規定的”情形。

（二）數據權利束

1.數據權利束的基本特征。雖然數據權明顯實現了個人信息的財產化，但其呈現出多種權利屬性同時并存的特征，無法簡單歸類到任何一種傳統財產權之中。這就要求我們超越傳統的財產權思維，承認同一客體可以同時并存多元主體、多種權益。數據權利是多主體、多層級的權利束③。這一權利束并非平面展開，而是具有立體性結構。其本質是以數據形式呈現的實則為個人信息和非個人信息（例如氣象、地貌等信息）的固有利益，其外圍則是超越固有利益的衍生利益④。衍生數據利益與固有利益可以不屬于同一主體，源自于其他主體的積極行為，例如數據企業收集數據并創造不同于原始數據的“數據產品”。在流通中的數據也有“三權分置”問題，需要進一步明確所有權、收益權和使用權；數據資源持有權、數據加工使用權與數據產品經營權；數據供應方擁有數據持有權，該權利強度不如一般物權，但可以在合同授權范圍內享有支配權⑤。供應方持有該項權利進入流通交易市場，數據需求方通過合法流通渠道，獲得了數據使用權；通過使用權的轉授來建立數據要素流通共享機制，最終用戶享有數據經營權。固有利益又和衍生利益密切結合為一體，被同時傳輸、使用、共享，乃至于同時被侵害。固有利益相對固化與靜止，衍生利益則隨著時代發展而擴張。數據新型利用方式不斷增加，數據價值衡量標準不斷地被刷新，數據權利束的數量呈現持續增長態勢⑥。

2.數據權利束的具體構造。數據權益包含了多元主體的多樣性需求，可將數據權利束歸納為三類：

（1）基點權利。基點權利是個人用戶享有的信息權、隱私權、知識產權、名稱權等等，是人格權、財產權的集合，而最為典型的是個人信息權。比較法將基點權利稱為原始數據，個人用戶對于原始數據有著絕對權利，非經個人用戶同意，平臺企業等數據從業者不得對個人信息進行收集處理。即便同意數據從業者收集處理個人信息，權利人或其近親屬也有權要求從業者盡到保密及合理使用等義務，有權要求查詢、更正錯誤信息，刪除不當或不良個人信息；有權請求將個人信息轉移至指定的個人信息處理者①。個人信息權益還區分為敏感和非敏感信息人格權，敏感信息則根據其是否關涉個人隱私核心領域、是否具有高度私密性、對其公開或利用是否對個人造成重大影響可再行按照敏感程度劃分，包括敏感信息和非敏感信息、高敏感信息和低敏感信息，法律對前者的保護力度要大于后者②。即便原始數據已經發展生成衍生數據，也不影響民事主體的救濟。基點權利被侵害的，民事主體享有廣泛的救濟手段，既可以依據個人用戶和平臺企業之間的合同主張違約責任，也可以適用侵權責任、依據人格權請求權等進行救濟。多數基點權利人被侵害的，可以發動代表人訴訟或者公益訴訟。

（2）平臺權利。平臺權利是指數據從業者對數據及其衍生產品的權利。原始數據的權利人可以授權多個平臺同時對數據享有收集、使用等權利，同一單個數據、同一數據的集合可以同時存在多個權利主體，即多個平臺的共同權利。按照權利生成機理的不同，平臺權利分為兩種類型：平臺對原始數據收集、處理等用益型財產權和基于原始數據開發生成的產品、數據集等資產型權利。之于前者，平臺權利的處置權限特定、范圍較窄，平臺經授權收集并利用原始數據，但不能直接利用所收集的原始數據進行交易。由于數據資產型權利存在數據被整合、加工并創造出可單獨交易的物的情況，其權利邊界可以清晰劃定，性質上接近物權；如果單獨交易的物滿足了獨創性新穎性的特征，還可以構成知識產權。資產型權利又可以分為對外輸出和對內使用兩種類型。對外輸出類型的企業衍生數據如淘寶公司的“生意參謀”數據產品、阿里巴巴旗下的芝麻信用、產品經理常用的百度指數、淘寶魔方等；對內使用的企業衍生數據如公司內部使用的CRM系統、營銷系統、風控決策系統等。這類企業衍生數據因為具有經濟利用價值，經過算法技術脫敏之后，進入了財產性利益的視野③。雖然平臺權利的起點是意思自治（包括協議、單方授權同意等），平臺權利的實施卻有賴于人工智能與機器算法。算法看似價值中立，區隔開了平臺企業和用戶，實質上仍然是雙方當事人的關系④。平臺權利被進一步授權他人使用、共享、傳輸，進而帶來收益回報的，如果當事人之間存在有效約定，還需要向原始權利人進行適當返還；平臺權利被侵害的，既可以立足于私法自治適用侵權法，又可以基于經濟秩序調控或維護之需，適用反不正當競爭法；平臺權利被侵害可能同時導致個人用戶遭受損失，如果平臺怠于行使權利并將有礙于原始權利之行使，或以平臺行使權利為停止損害、獲得損失賠償為必要的，原始權利人可以代行相關權利。

（3）國家權利。數據權利并非純粹的私權，而是具有明顯的公共性。如果說私權屬性使數據或信息趨向于保守秘密、獨占支配，公共屬性則推動數據不同程度地公開、共享，也意味著需要通過包括刑法在內的公法措施加以保護。其一，國家擁有數據主權，要面對他國立法與司法管轄權、國內企業數據控制權的挑戰。據此，在個人信息保護方面要求兼顧權利保護與經濟、安全利益①，增強國際規則制定話語權，推動數據安全及數據交易秩序的全球化。其二，為保護數據安全或信息秩序，《刑法》《網絡安全法》《個人信息保護法》《數據安全法》都規定或確認了數據犯罪的罪名，可概括為四類：針對計算機信息系統數據實施的犯罪行為，包括非法獲取計算機信息系統數據罪和破壞計算機信息系統罪；針對屬于商業秘密的網絡數據實施的犯罪行為，即侵犯商業秘密罪；針對公民個人信息數據實施的犯罪行為，即侵犯公民個人信息罪；針對財產性數據權益的犯罪行為，即盜竊罪、詐騙罪。不論是以數據本體為對象的犯罪、利用數據實施的犯罪還是關聯犯罪，都可能伴隨著對國家安全的威脅、對信息系統的危害、對社會秩序的損害、對個人權益的侵害、對企業權益的侵害，甚至多種侵害并存②，在刑事附帶民事訴訟程序中對于個人損失也須進行賠償。其三，對公共數據堅持公共信息公開原則。按照《政府信息公開條例》，除涉及國家秘密或者可能危害國家安全，以及涉及商業秘密或者他人隱私的信息外，原則上需要信息公開。信息公開是優化營商環境的基礎性條件，按照《優化營商環境條例》第37條的規定，國家加快建設一體化在線平臺，推動政務服務事項“一網通辦”。依托一體化在線平臺，能夠推動政務信息系統整合，優化政務流程，促進政務服務跨地區、跨部門、跨層級數據共享和業務協同，加強共享數據使用全過程管理，確保共享數據安全。不僅如此，涉及公權力監管，也要充分運用互聯網、大數據等技術手段，依托國家統一建立的在線監管系統，加強監管信息歸集共享和關聯整合，提升監管的精準化與智能化水平③。其四，緊急情形下的數據強制許可制度。緊急情形下，涉及國家安全和公共利益時，可適用強制使用許可制度，依法實行數據識別系統，共享公共醫療信息，以實現數據資源的公平分配、資源的參與性管理和高效使用。值得關注的是，美國早已開始研發名為“信息全面感知”（TIA）的反恐怖主義信息監控系統，主要運用數據挖掘技術，搜集全球各地計算機使用者傳遞的信息，綜合情報單位搜集能力，篩檢可疑的線索與實證，及時發出預警信息。TIA系統將能提供諸如特定地區的旅行記錄、可疑電子郵件來往、不尋常的資金轉移、罕見的醫療行為（如炭疽熱治療）等信息。這套系統極為龐大復雜，完成后將是人類有史以來最大規模的信息監控系統④。

總之，數據權利束不僅直觀地呈現出圍繞數據的多主體分享利益的格局，也折射出數據問題橫跨私法、公法等多個法律領域的事實。

（三）數據義務群

盡管存在多主體共享的數據權利束，但這并不意味著數據權利的結構完整、規范效力強大到不需要義務之協作。相反，基于數據權利束存在下列問題，法律更加需要明確或強化義務設置予以應對：一是權利的屬性并不清晰，無法直接適用民法既有的物權、知識產權、人格權規范體系，從而導致諸多規范缺失或漏洞。如果不明確相對方的義務，將無法界定當事人的關系，數據安全和交易秩序也將無法保證。二是數據具有易復制性和非排他性，權利稟賦脆弱易受侵害。由于規范缺失又導致較高的界定權利、保護權利成本，有必要從界定權利、行使權利為主線的“財產法”向救濟權利、設定責任為主線的“責任法”變遷①，構建針對個人用戶、平臺企業數據的違約或侵權責任體系。三是權利束中基點權利、平臺權利、國家權利可能發生權利沖突。例如，為了平臺用工而收集信息、依據算法處理信息，在此進程中出現信息泄露；為了管理便利，濫用人臉識別而侵害個人信息權益。為化解權利沖突，可確立多項權利位階原則，個人用戶的人格權優位于平臺的財產權、公共利益優越于私人權益。按照權利位階原則可以限制個人用戶、平臺企業的權利，使之承擔法定義務。例如，平臺企業對個人信息的保護義務。其四，個人面對平臺和國家明顯處于弱勢地位，在技術、經濟、社會資源方面的能力無法和平臺、國家實現相對地對等，平臺企業經常依托格式條款、電子框架合同、壟斷地位等侵害個人用戶的數據權利，用戶的權利需要得到優越保護，在處理信息數據前須盡到合理的告知義務。

圍繞數據的義務具有多樣的法律淵源，也發揮著不同的作用，存在主給付義務、從給付義務、附隨義務之分。其中，主給付義務、從給付義務取決于當事人之間的約定，這種約定可以成立委托合同或信托合同等。為界定當事人的關系，保護個人用戶的權益，即便沒有明確成立，也應該于事實上認定平臺企業和個人用戶之間存在委托合同。基于委托，平臺企業應該盡到善良管理義務，以妥善保管和處理數據。附隨義務則主要包括：

1.在處理數據前的告知義務。所謂“告知—同意”，之于個人用戶指的是對個人信息的同意處置權；之于平臺企業則對應告知義務，以為合法處置他人個人信息的前提（《民法典》第111條）。告知的目的是讓個人用戶充分知情，避免所做同意背離其真實意愿。其內容包括：信息處理者的名稱或者姓名和聯系方式；處理目的、方式，處理的個人信息種類、保存期限（《民法典》第1035條、《個人信息保護法》第17條）；個人行使信息處理權利的方式和程序；法律、行政法規規定應當告知的其他事項（《個人信息保護法》第17條）；經個人用戶提示應合理告知的內容，可能給人格權或財產權造成的侵害風險等。告知的內容發生變更的，應當將變更部分告知個人。處理規則應當公開，并且便于查閱和保存。經告知同意后，在同意的范圍內合理實施的行為免除責任（《民法典》第1036條）。告知的時間是處理個人信息之前；告知的方式應當顯著，采用清晰易懂的語言真實、準確、完整地向個人告知。

2.數據保護義務。數據平臺企業、應用程序提供者是保護義務的主體②。即便經過用戶授權，也不能免除平臺企業等主體對個人信息的保護義務。數據保護義務是整個數據處理過程中平臺的持續性義務。《民法典》第1038條規定了平臺作為信息處理者在收集、存儲階段保障個人信息安全的義務，但缺少共享階段的規定。由于信息共享中個人信息流動頻繁，民法在信息共享階段義務規范的缺失，更易引發泄露、篡改、丟失的問題。因此，也應彌補這一法律漏洞，承認此時的保護義務。保護義務包括組織義務、行為義務與結果義務。

所謂組織義務是指保護義務要求平臺企業建立全流程數據安全管理制度和操作規程，組織開展安全培訓，承擔合規義務（《數據安全法》第27條、《個人信息保護法》第51條）。與此同時，合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓，制定并組織實施個人信息安全事件應急預案。

行為義務指數據平臺企業、應用程序提供者負有采取保障數據安全的加密、去標識化等技術措施和其他安全措施①，對數據信息進行分類管理，加強風險監測。

結果義務指防止未經授權的訪問以及泄漏、篡改與丟失。

3.管理義務。這里的管理義務不是針對原始數據的管理義務，而是基于保護義務所派生出來的義務。具體所指，即邀請平臺企業對其他用戶的行為進行監督管理、維持平臺正常運行的義務，以防止出現其他用戶侵害數據權利的行為。一旦出現侵害行為，有必要采取措施降低損失。

4.保密義務。數據處理者不得泄露數據信息，以及非法提供給他人（《民法典》第1038條）。

5.協助義務。平臺企業在用戶要求轉移信息時負有設定轉移路徑的義務，以保障個人信息攜帶權的實現。用戶查詢相關信息時，平臺企業有義務提供資料予以解釋說明（《個人信息保護法》第45條）。

三、數據之債的關系

在數據無法絕對歸屬于個人和平臺企業的前提下，為穩定數據秩序，須依靠合同關系約束當事各方的行為，通過侵權責任關系維護交易秩序。數據之債是以數據給付為標的的債權債務關系之統稱，主要分為數據合同關系、數據侵權關系。數據合同不同于表現為電子數據形式的合同。對于電子數據合同，《合同法》和 《民法典》均已經明確承認②，其給付標的物可以是數據也可以不是數據。

（一）數據合同關系

1.數據合同行為的類型和特點。數據的收集、存儲、使用、加工、傳輸、提供、公開、共享行為，既可以是法律行為也可以是事實行為，當是法律行為時主要指合同。所謂數據收集行為，指相關主體獲取個人信息的行為。隨著現代科學技術的發展，個人信息的收集變得越來越容易、越有效率，通過特定的算法甚至通過機器深度學習，可以從信息中不斷挖掘出新的信息。數據傳輸是在特定主體之間進行信息開放與披露。數據共享指數據控制者將自己所收集的信息與他人進行分享而形成的合同。

數據合同涉及個人信息權、隱私權的保護，并非單純的財產法問題，不能直接適用合同編①。且即便按照財產合同對待，最為典型的數據合同并非買賣合同，而是許可使用合同。《民法典》合同編關于技術許可合同的規定，可以參照適用于數據許可合同②。只不過，在著作權法中存在“權利用盡原則”，即消費者對書籍的所有權不再受到著作權人的控制，而在數據交易中內含個人信息等人格權益，受讓人對數據財產的利用仍應當符合人格權主體的意愿。

數據合同關系經常打破合同相對性而具有涉他性，數據合同關系構造與傳統合同關系發生偏離。一方面是合同相對性的突破，例如，數字產品的買方不僅與賣方建立買賣合同關系，還通過最終用戶協議（ENV）與第三方建立了合同關系。《脈脈服務協議》規定：“用戶通過新浪微博賬號、QQ賬號等第三方平臺賬號注冊、登錄、使用脈脈服務的……淘友公司對該等第三方平臺記錄的信息的任何使用，均將被視為已經獲得了用戶本人的完全同意并接受。”③另一方面是數據合同突破了傳統合同構造而具有“非平面性”，導致實踐中常出現數據合同認定的準確性不足。例如，北京互聯網法院認為用戶之同意即為與平臺簽訂了網絡服務合同，平臺新隱私政策的發布構成“變更合同條款的要約”，顯然混淆了個人信息處理關系與數據合同關系的區別，若將前者認定為合同關系，則導致平臺經營者未經協商所做出的用戶協議、應用程序更新構成單方合同變更④，阻礙依托數據的經濟之發展。

2.數據合同中的意思表示。告知同意是相關法律對合法處理他人數據的共通要求（《民法典》《網絡安全法》第41條），不限于個人信息的初次收集行為，該要求適用于所有信息數據處理行為。知情方能同意，而個人用戶實際上難以做到完全知情，尤其是對于繁雜冗長的授權合同，難以在較短時間內掌握其內容，夾雜著“爬蟲”、cookie等專業術語的條款更超出多數用戶的認知范圍⑤。

所謂同意須明確、具體⑥，對于敏感信息，原則上需要明示同意；不承認概括性、“一攬子式”同意，處理信息數據的前提條件變化，則須另行同意，同意你“收集”數據不意味著同意你“傳輸”“共享”與“轉讓” ⑦。例如，在“北京淘友天下技術有限公司等與北京微夢創科網絡技術有限公司不正當競爭糾紛案”中，北京知識產權法院提出了三重授權規則，即“用戶授權 + 平臺授權 +用戶授權”。從信息權利人角度，實際上是雙重授權，第一重授權為數據的收集者在收集信息的時候必須獲得的授權；第二重授權是指把收集到的信息進行分享的時候還要獲得的另一次授權，也就是數據的分享必須再一次獲得個人信息權利人的同意。“同意”之作出與傳統合同磋商過程不同。用戶迫于使用需求加之帶有引導性和傾向性的提示而不得不同意協議，從而使同意通常不能滿足意思表示自由、真實的要求。同意可否采取默示的方式？對此，法律上區分敏感和非敏感信息并給出不同的回答。敏感信息適用明示同意，而對于非敏感信息，《個人信息保護法》《民法典》并未規定排除默示同意之方式。實務上常見用戶欲使用APP的全部功能、訪問網站必須接受其設立的“隱私條款”。繼續使用或訪問能否表明用戶同意有關收集個人信息的內容？對此，學界存在三種觀點：一是認為即便用戶具有同意意思，也不構成有效同意①；二是認定默示的同意，除非明確表示反對，否則推定同意②；三是認為屬于沉默，但被法律擬制為意思表示③。

個性化推薦算法會影響用戶的自主決定自由。在大數據時代，平臺企業通過對個人信息的分析，評估個人的健康、收入、喜好等個人特征，進而精準化地影響個人的“選擇”。算法影響下的同意機制一方面在事實上使得企業享有更大的權力擴張自由，另一方面卻在侵蝕私法自治。《民法典》規定的意思表示瑕疵制度無力救濟被操縱的用戶。以欺詐與重大誤解制度為例，其一，個性化推薦未必具備欺詐制度要求的違法性。若個性化推薦活動并不具備違法性，則難以被認定為民事欺詐。其二，重大誤解制度并不規范因個性化推薦產生的動機錯誤，私法自治因而有被侵蝕的危險。此外，算法對我們的行為、習慣和觀點的影響可能在青少年階段就已經開始。然而，現存的相關法律均忽視了未成年人特殊的算法保護需求④。

3.數字合同的履行。在數字社會，人與人之間并不需要發生現實的接觸，而是可以在網絡環境下以一種虛擬的方式發生關系；同時，數字財產、數據等財產的移轉，也并不需要在現實世界中進行運輸，而是在一瞬間便可以完成傳輸、移動、交易，這也使得合同的履行方式發生了重大變化，從原來的物理控制移轉這種單一的交付形式轉變為包括許可使用、接口利用等新型的履行方式，而且一般不需要完成財產的現實交付。有學者認為，數字發行技術和許可協議的快速興起與普遍運用，甚至導致了所有權的終結⑤。

（二）數據侵權關系

1.歸責原則的背離。民法以過錯責任作為侵權責任的一般歸責原則，而數據侵權的對象實質上指的是內容層面的信息。個人信息權益屬于人格權的內容，侵犯人格權并不屬于特殊侵權，應依據《民法典》侵權編的一般規定適用過錯原則。而《個人信息保護法》第69條將個人信息侵權責任的歸責原則設定為過錯推定。誠然，法律可以在特殊情形下不適用過錯責任而適用過錯推定，但這需要滿足通過過錯推定責任優越保護受害人的條件。過錯推定主要適用于物件致害、建筑物上的物件致害，目的是強化物件管理，防止物件致害影響人們生活，無疑合乎經濟理性；否則，要求受害人知悉他人物件管理情況并完成舉證，不符合生活實際。將過錯推定適用于個人信息一類權益的保護，不論其適用于何種情形，都是對傳統過錯推定責任適用范圍的突破。過錯責任要求受害人對過錯承擔舉證責任，從而達到優越保護行為自由的目的。過錯推定責任改變當事人之間的結構，是例外情形下對受害人的優越保護。如果濫用過錯推定責任可能會帶來副作用。例如，相關法律曾經將醫療損害責任改為過錯推定責任，加重了責任風險，助推醫院的過度檢查，反而不利于對患者的保護。對于個人信息保護適用過錯推定責任，并非是對降低物件致害風險的單獨考慮，而是對于整體一類權益適用過錯推定，這顯然突破了民法的基本價值立場。侵害個人信息廣泛發生于網絡侵權，而網絡侵權堅持過錯責任原則。據此，將過錯推定責任普遍適用于個人信息侵權，從體系上背離了民法典對網絡侵權的規制。

2.要件認定的模糊。一般而言，損害具有確定性。而在大數據時代，個人信息侵權構成要件的認定大多具有較高難度。其中，損害的認定最為疑難，因為它具有無形性、不確定性、難以定量等特征。尤其在大規模個人信息泄露時，裁判者往往會全面斟酌集體訴訟的難度、高額賠償對信息處理者生存利益的影響、社會穩定的現實需要等因素，使損害認定及其賠償都變得困難重重。在此背景下，有必要承認預期侵權制度，肯定未來被侵權的風險構成法律上的損害①，從而提供廣泛適用推定損害的合理制度基礎。

在行為的違法性上，由于數據權利的屬性不定、范圍不明，難以直接按照權利侵害認定行為違法。基于此，傳統侵權責任構成要件理論及規則難以從容應對數據侵權關系的問題。近年來互聯網法院受理的多起企業之間數據市場競爭案件，司法實務界多運用反不正當競爭法的條款解決②。在數據侵權關系中，不僅考慮侵權責任的構成要件，在衡量過錯、侵權行為時還注入對數字整體事業促進、從業者與用戶之間利益平衡的思考。以美國數據立法和實踐為例，其司法實踐逐漸注重網絡從業者對于網絡整體事業促進的重要性，必要時還引入憲法以擴展從業者“法不禁止即自由”的行為空間，平衡網絡從業者與用戶的利益關系③。

在因果關系認定上，有的學者認為，從現行法可以推導出受害人對因果關系承擔舉證責任，而由信息控制者承擔因果關系舉證責任更為合理④。有學者認為，受害人證明因果關系面臨證明能力不足和證明標準失范的困境。基于此，應在堅持相當因果關系說的基礎上配置證明責任，區分條件關系和相當性的證明責任，即受害人承擔條件關系的證明責任，侵害人承擔不存在相當性的證明責任。以具體場景確定條件關系的證明標準，在一般場景中采高度蓋然性標準認定條件關系；在出現信息誤用跡象、公務機關作為信息處理者、信息處理使用大數據及自動化技術、存在多個信息處理人等要素時，法院應考慮將場景認定為特殊場景，以合理蓋然性標準認定條件關系，以高度蓋然性標準認定相當性⑤。

3.責任承擔的突破。在責任承擔上，數據侵權責任的承擔方式全然不同于傳統侵權責任。數據權利的無形性使共權利的存在變得普遍，權利行使具有同時性、非排他性等新特點，傳統的占有理論不能圓滿解釋數據之“占有”。在發生數據侵權時，持有人不可能要求返還財產，數據泄露中財產返還也全然失去意義。因此，侵權責任承擔的方式也具有特殊性，例如恢復數據、刪除和斷開鏈接等，既不屬于傳統侵權救濟措施，也不能被《民法典》責任承擔方式中停止侵害、恢復原狀、消除影響所容納①。在侵害形態方面，經常發生大規模侵權，責任承擔請求便可訴諸公益訴訟制度。

綜上可見，基于《民法典》的宣示性規定，在形式上數據法和民法可以合為一體，在精神實質上二者卻存在明顯的分離：從邏輯起點到權利、關系體系的展開，數據問題都表現為民法的例外。隨著技術的發展變遷，這一例外性將愈發明顯。路徑依賴式的調整破壞了民法自身的純潔，也不利于數據法的完善和發展。因此，更為妥當的做法是承認數據法為獨立的法律領域。

（本文由張平華提出寫作思路、完成初稿并最終定稿，董媛媛參與討論并進行了部分修改。）

[責任編輯 向哲]

① 參見《數據安全法》第3條、《個人信息保護法》第4條。

① 姜程瀟：《論數據雙層結構的私權定位》，《法學論壇》2022年第4期。

② 紀海龍：《數據的私法定位與保護》，《法學研究》2018年第6期；申衛星：《數字權利體系再造：邁向隱私、信息與數據的差序格局》，《政法論壇》2022年第3期。

③ 王利明：《數據共享與個人信息保護》，《現代法學》2019年第1期。

④ 錢麗：《貴陽首創數據投行模式 讓數據在流動中創造價值》，《貴陽日報》2017年2月13日，第3版。

⑤ 武漢達夢數據庫股份有限公司已于2022年6月29日遞交招股說明書。該公司主要提供數據庫產品及其技術服務，面向黨政機關、大中型企事業單位為主的客戶市場，若IPO成功則成為“國產數據第一股”。2022年7月19日其科創板IPO進入“已問詢”狀態。參見上海證券交易所：《科創板股票審核：武漢達夢數據庫股份有限公司》， 2022年7月19日http：//kcb.sse.com.cn/renewal/ xmxq/index.shtml？auditId=1268anchor_type=0%E3%80%82，2022年9月10日。

① 李愛君：《數據權利屬性與法律特征》，《東方法學》2018年第3期。

② 梅夏英：《數據的法律屬性及其民法定位》，《中國社會科學》2016年第9期。

③ 許可：《數據權利：范式統合與規范分殊》，《政法論壇》2021第4期。

④ 謝鴻飛：《財產權的公共性》，《上海政法學院學報（法治論叢）》2022年第5期。

⑤ 數據和網絡虛擬財產肯定不是民事權利，而是民事權利客體，但究竟是何種民事權利的客體，并無明確規定。參見楊立新：《民事權利客體：民法典規定的時隱時現與理論完善》，《清華法學》2022年第3期。

⑥ 楊立新：《民事權利客體：民法典規定的時隱時現與理論完善》，《清華法學》2022年第3期。

① 彭誠信、向秦：《“信息”與“數據”的私法界定》，《河南社會科學》2019年第11期。

② 龍衛球：《數據新型財產權構建及其體系研究》，《政法論壇》2017年第4期。

③ 戴龍：《論數字貿易背景下的個人隱私權保護》，《當代法學》2020年第1期。

④ 江蘇省南京市中級人民法院“朱燁與北京百度網訊科技公司隱私權糾紛上訴案”民事判決書，（2014）寧民終字第5028號。

⑤ 張平華：《人格權的利益結構與人格權法定》，《中國法學》2013年第2期。

⑥ 《民法典》第993條規定：民事主體可以將自己的姓名、名稱、肖像等許可他人使用，但是依照法律規定或者根據其性質不得許可的除外。

① 龍衛球：《數據新型財產權構建及其體系研究》，《政法論壇》2017年第4期。

② 數據要素化要經歷“數據資源化-數據產品化-數據資產化”三個階段。參見王俊：《專訪黃麗華：今年是數據要素市場建設正式探索元年》，《21世紀經濟報道》，2022年7月27日。數據要素化該如何實現？梅宏提出三個遞進層次的途徑：資源化―資產化―資本化。參見《數據如何要素化？中科院院士梅宏：資源化，資產化，資本化》，《21世紀經濟報道》2022年8月3日。

③ 《民法典》對單行法的修正、制定也具有一定的約束作用。《民法典》作為基礎性規范，在某些規則的設計上較為原則與抽象，尚沒有提供非常具體明確的規范。之所以如此，在于社會生活的發展變遷以及待調整對象的復雜性。例如，《民法典》第127條規定，法律對數據、網絡虛擬財產的保護有規定的，依照其規定。這就為立法機關提出了制定單行法的立法任務，同時在單行法中應當將數據和網絡虛擬財產等作為一項財產權益加以保護，這就為單行法形成了一個約束性的框架。換言之，民商事單行法的修正、制定不能違反或者突破《民法典》的價值體系和規則體系，要時刻觀照《民法典》的基礎性、典范性作用。參見王利明：《論〈民法典〉實施中的思維轉化——從單行法思維到法典化思維》，《中國社會科學》2022年第3期。

④ 康紀田、嚴旭：《構建物權二元結構：排他性與相互性的對稱——基于〈民法典〉第114條規定的殘缺與補正》，《河北法學》2022年第7期。

⑤ 基于所有權與控制權分離的設計，數據信托在實現數據安全管理、有效保護隱私和個人信息方面應該有所作為。參見席月民：《數據安全：數據信托目的及其實現機制》，《法學雜志》2021年第9期。

① 許娟：《企業衍生數據的法律保護路徑》，《法學家》2022年第3期。

② 許可：《數據保護的三重進路——評新浪微博訴脈脈不正當競爭案》，《上海大學學報（社會科學版）》2017年第6期。

③ 王利明：《論數據權益：以“權利束”為視角》，《政治與法律》2022第7期。

④ 張平華：《人格權的利益結構與人格權法定》，《中國法學》2013年第2期。數據權利亦可稱為“權利樹”，主干是核心權利，分支是源于數據的其他主體的權利。參見謝鴻飛：《財產權的公共性》，《上海政法學院學報》2022年第5期。

⑤ 某些數據服務公司只有數據加工權，沒有持有權。比如，許多企業和政府機構在信息化、數字化建設過程中聘請外包服務公司來完成數據的清洗加工、存儲、維護等，但這些服務公司只有加工權，沒有持有權，不能擅自經營這些數據。參見謝鴻飛：《財產權的公共性》，《上海政法學院學報（法治論叢）》2022年第5期。

⑥ 許可：《數據權利：范式統合與規范分殊》，《政法論壇》2021第4期。

① 《個人信息保護法》第45條至第49條。

② 龍衛球：《數據新型財產權構建及其體系研究》，《政法論壇》2017年第4期；許可：《數據保護的三重進路——評新浪微博訴脈脈不正當競爭案》，《上海大學學報（社會科學版）》2017年第6期。

③ 許娟：《企業衍生數據的法律保護路徑》，《法學家》2022年第3期。

④ 田野：《平臺用工算法規制的勞動法進路》，《當代法學》2022年第5期。

① 趙海樂：《數據主權視角下的個人信息保護國際法治沖突與對策》，《當代法學》2022年第4期。

② 近年來更是衍生出“微網絡犯罪”形式，表現為“海量行為×微量損失”和“海量行為×低量損害”兩種新行為樣態。前者是利用互聯網應用的廣泛聯絡，對不特定的海量公眾進行嘗試性侵害，雖然犯罪成功率很低且只對個體造成微量損失，但實際被害人眾多，累積危害后果嚴重；后者為新型網絡犯罪所特有，單次危害行為的社會危險性低，通過利用信息網絡大量實施，累積危害達到嚴重程度。在巨大利益的催化下，這些犯罪模式的升級變化侵害著所有網絡用戶的權利。此類犯罪的本質就是“數據犯罪”，即針對數據安全實施的各類犯罪行為，包括使用計算機技術手段和未經授權故意，獲取、刪除、修改、發布計算機數據，侵害數據本身的保密性、完整性和可用性的行為。參見顧偉：《數據犯罪的刑事規制》，《上海法學研究》（集刊）2022年第5卷。

③ 《優化營商環境條例》第37條、第56條。

④ 王光宏、蔣平：《數據挖掘綜述》，《同濟大學學報（自然科學版）》2004年第2期。

① 張平華：《無權處分的侵權救濟》，《清華法學》2022年第5期。

② 《移動互聯網應用程序信息服務管理規定》（2022年8月1日）第11條。

① 廣州警方公布了廣東省公安機關首例適用《中華人民共和國數據安全法》的案件：廣州一公司未履行數據安全保護義務，被警方處罰5萬元。廣州警方檢查發現，該公司開發的“駕培平臺”存儲了駕校培訓學員的姓名、身份證號、手機號、個人照片等信息1070萬余條，但沒有建立數據安全管理制度和操作規程，對于日常經營活動采集到的駕校學員個人信息未采取去標識化和加密措施，系統存在未授權訪問漏洞等嚴重數據安全隱患。參見全知科技：《案例警示！企業如何切實履行“數據安全保護義務”？》，2022年8月9日，https：//baijiahao.baidu.com/s？id=1740650124424161637wfr=spiderfor=pc，2022年9月28日。

② 《合同法》將數據電文（包括電報、電傳、傳真、電子數據交換和電子郵件）形式的合同歸入書面合同形式當中。該法第11條規定：“書面形式是指合同書、信件和數據電文（包括電報、電傳、傳真、電子數據交換和電子郵件）等可以有形地表現所載內容的形式。” 《民法典》新增了電子合同的合同成立地點及標的交付時間的新規定。該法第492條第2款規定：“采用數據電文形式訂立合同的，收件人的主營業地為合同成立的地點；沒有主營業地的，其住所地為合同成立的地點。當事人另有約定的，按照其約定。”第512條規定：“通過互聯網等信息網絡訂立的電子合同的標的為交付商品并采用快遞物流方式交付的，收貨人的簽收時間為交付時間。電子合同的標的為提供服務的，生成的電子憑證或者實物憑證中載明的時間為提供服務時間；前述憑證沒有載明時間或者載明時間與實際提供服務時間不一致的，以實際提供服務的時間為準。電子合同的標的物為采用在線傳輸方式交付的，合同標的物進入對方當事人指定的特定系統且能夠檢索識別的時間為交付時間。電子合同當事人對交付商品或者提供服務的方式、時間另有約定的，按照其約定。”

① 《民法典》第464條。

② 王利明：《邁進數字時代的民法》，《比較法研究》2022年第4期。

③ 張玉潔、胡振吉：《我國大數據法律定位的學說論爭、司法立場與立法規范》，《政治與法律》2018年第10期。

④ “杜某訴北京智者天下科技有限公司網絡服務合同糾紛案”，北京互聯網法院民事判決書（2019）京0491民初23942號；林洹民：《個人數據交易的雙重法律構造》，《法學研究》2022年第5期。

⑤ 孫奇茹、夏驊：《手機應用程序萬字協議堪比碩士論文，晦澀難懂還藏著不少套路》，《北京晚報》2022年8月8日，第10版。

⑥ 《個人信息保護法》第14條。

⑦ 《網絡交易監督管理辦法》第13條第2款規定：“網絡交易經營者收集、使用個人生物特征、醫療健康、金融賬戶、個人行蹤等敏感信息的，應當逐項取得消費者同意。”

① 于海防：《個人信息處理同意的性質與有效條件》，《法學》2022年第8期。

② 王玉林認為除非明確地表示反對，否則推定為對收集、使用、處理個人信息的授權許可。參見王玉林：《“默示同意”在數據收集中的適用問題研究》，《情報資料工作》2017年第2期。

③ 蔡星月認為沉默被擬制為意思表示是對私人自治的一種強平衡，不必推測用戶使用行為背后的意思。參見蔡星月：《數據主體的“弱同意”及其規范結構》，《比較法研究》2019第4期。

④ 林洹民：《個性化推薦算法的多維治理》，《法制與社會發展》2022年第4期。

⑤ 王利明：《邁進數字時代的民法》，《比較法研究》2022年第4期。

① 謝鴻飛：《個人信息泄露侵權責任構成中的“損害”——兼論風險社會中損害的觀念化》，《國家檢察官學院學報》2021年第5期。

② 許娟：《企業衍生數據的法律保護路徑》，《法學家》2022年第3期。

③ 龍衛球：《數據新型財產權構建及其體系研究》，《政法論壇》2017年第4期。

④ 劉海安：《個人信息泄露因果關系的證明責任——評龐某某與東航、趣拿公司人格權糾紛案》，《交大法學》2019年第1期。

⑤ 田野、張耀文：《個人信息侵權因果關系的證明困境及其破解——以相當因果關系理論為進路》，《中南大學學報（社會科學版）》2022年第1期。

① 梅夏英：《〈民法典〉對信息數據的保護及其解讀》，《山西大學學報（哲學社會科學版）》2020年第6期。