企業數據權與個人信息權的權益衡量與發展路徑

摘" "要：作為新型財產權的權益客體——企業數據，以用戶個人數據作為主要的數據來源，具有公共利益與非公共利益，數據權益呈現非排他性、非競爭性和自由流通性的特征。在我國《關于構建數據基礎制度更好發揮數據要素作用的意見》中，將數據財產權根據來源主體分為個人數據、企業數據、公共數據，但不論是哪類模塊的數據，都可能關涉個人信息。可以說，個人信息權與企業數據財產權之間的權益平衡是大數據時代個保法治的關鍵，也是數字經濟社會發展的應有之義。企業數據權的權利屬性為對世權，是可轉讓的經濟價值的法律關系集合體。結合個人信息權與企業數據財產權中存在的權益沖突，將其分解成為數據來源方面的人格權利益與數據聚合、流通中經濟利益之間的問題，以期在人格權益和企業財產利益之間取得最大的平衡。

關鍵詞：數據產權；個人信息權；《數據二十條》

中圖分類號：D923" " " 文獻標志碼：A" " " 文章編號：1673-291X（2023）21-0159-03

2022年12月，中共中央、國務院《關于構建數據基礎制度更好發揮數據要素作用的意見》（以下稱《數據二十條》）首次提出建立“數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制”。以《數據二十條》中規定的數據經營權為例，系借鑒《農村土地承包法》中的“土地經營權”而來。由于企業數據是通過大量個人數據的匯總、加工、整理、分析等所得，作為數據來源方——個人，我國亦通過《中華人民共和國個人信息保護法》（以下稱《個保法》）進行了強有力的保護，個體權益保障是個人信息保護機構的首要功能。從規范目的觀察，《個保法》第1條前半段闡述了立法總目的在于“保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用”[1]。從個人信息權利保護的制度手段及立法機關對于提升數據流通效率的數據市場治理的目的中可以看出，以個人數據為核心來源的企業數據被分解為：信息技術為主的“數據板塊”和信息來源為主的“個人信息板塊”。本文在已有研究基礎上，主要反映了實現企業數據權益的目的在于促進數據的流通與運用，現有數據權益實現的重心應當從數據保護轉換到數據運用，這一目的也同樣作為平衡企業與個人信息數據權益的實現進路，能夠有效彌補現有以保護為中心制度之不足。

一、權利沖突的具體表現

（一）個人與專業性處理者存在不平等的信息關系

從信息關系上來說，個人和信息收集者與處理者之間構成了一種持續性的信息不平等關系[2]。此類關系表現為例如消費者與生廠商、雇傭勞動者與雇傭單位的社會關系。我國數據政策的重要概念在社會法的關系中，個人信息權利保護中的關系亦是如此，以持續性的不平等關系作為用戶個人使用權被侵犯的前提。基于此類不平等的信息關系，在立法初期，數據保護就作為研究的重點，尤其是對個人數據的相關保護。我國《個保法》第5—9條也都集中體現了這些原則。但根據數據交易平臺交易的效率及頻率而言，一系列對數據的法律制度卻未達到理想的效果，反而在現今的數據市場發展中阻礙了數據流通，折損了數據在流通中應有的價值[3]。

經過數據要素化市場的發展，現行制度設計邏輯與數據權益實現的目的相悖的問題日益顯現，最為典型的是知情同意原則的失效。沖突產生的主要原因在于個人信息的范圍為能夠識別到自然人的數據信息，“可識別性”作為劃定個人信息范圍的主要特征。但在司法實踐中，直接或間接標識個體的信息并不稀缺，就2020—2023年司法部發布的審判文書公開數據來看，以“個人信息”為關鍵詞的案件呈現顯著提升的趨勢，這也意味著被定義為個人信息的數據范圍存在擴大化。特別強調，通過自身技術手段（勞動價值）才能得到的具有市場價值的數據，它們不太可能因法律賦權的激勵而大幅增加。相反，企業生產數據的主要環節為每個用戶逐一創建具有標識性的用戶信息，并且在對原始數據進行清洗、匿名化的過程中將數據加工為標識性信息。在對這些聚合數據進行搜集、記錄、存儲和分析后最終形成具有市場價值的數據產品。這些都需要勞務成本、時間成本、技術成本等龐大的成本支出。目前，有關于數據的法律體系大量集中于對于個人信息及數據安全的特別保護，針對生產數據的企業而言，在流通中的第三方或將通過不正當手段進行商業競爭，這必然降低企業對數據的投資，進而阻礙數字經濟的發展[4]。

（二）傳統產權制度在企業數據中的適用限制

企業數據權益的客體是由企業通過加工原始數據所生成的數據庫，其形態表現為以二進制信息單元表示的電磁記錄，通俗來說，其載體作為電磁記錄是無形的。隨著經濟活動內容范圍的擴大，且在非實體金融市場的帶動下，無物化的無形權利也被人們所熟知并運用。例如知識產權、電子匯票等無形權利的出現和流轉，“無形物”和“無形財產”的意義和運用也對經濟社會構造出了另一幅藍圖。就目前國內關于數據產權的立法體系而言，在最初將數據納入物權法的范疇失敗后，又以與該權利性質近似的知識產權作為藍本，立法者試圖通過著作權法、反不正當競爭法進行規制，仍未實現突破性的效果。最后將其定位為接近于財產權的制度規制，以期企業數據權益在知識產權體系下獲得比一般條款更強的保護，并且以排他的方式阻止他人以任何方式進行的數據利用或數據竊取。數據權利人能夠以有限的轉讓或授權的方式形成數據使用許可權，促進數據市場發展，實現數據資源的有效配置，從而也能避免數據孤島[5]。

綜上，對于企業數據此類新型財產而言，繞開“權屬”等物化理論，基于數據的及時性、流通性的運用才是更好地推動企業技術創新、經濟發展的動能。所以這些財產法律制度制定的根本目標不應是保護，而應是利用，強化數據的運用功能，在流通中提升數據的價值。

（三）企業數據中個人信息與專業化收集者權益混淆

通過企業數據財產權保護的是數據本身的完整，數據中所要保護的個人信息是否一定屬于人格要素，還是保護數據所載信息內容的歸屬，其兩者的區別常常不被重視。企業數據庫中包含了大量的具有人格權益的個人信息，這其中又被分為《中華人民共和國民法典》人格權編、《個保法》等不同法域，基于非公共數據中個人數據與企業數據的區分，不具有人格權的其他企業數據則被置于另一領域獨立討論。雖然作為保護模式的優點之一的數據財產權保護能夠實現“降低信息費用”“財產保護模塊化”。但其保護的前提條件是具有明確的權屬邊界，以至于第三方使用該數據時可以掌握該權利的保護范圍及侵權邊界。在司法實踐中由于個人信息與企業數據收集的利益混淆，導致企業作為被告的普遍侵權現象。例如在張某訴某商家因公布個人信息網絡侵權一案，商家作為被告從法院公開網站上下載包含了較大數量帶有個人信息的判決書，并在經過整理、集合后通過其自身經營的平臺向其他用戶共享，被告認為其提取數據具有正當性基礎，但原告張某認為，其僅授權了文書網對其判決信息進行公開，從來沒有授權給其他網站，被告在未經許可的情形下向共享網站上傳。如果在本案中未將承載技術載體的數據模塊與個人信息內容的信息模塊進行區分，導致個人信息在企業數據庫產生權益混淆，則此類制度安排將導致大量違法情形的出現。

二、企業數據財產權的保護進路

（一）首要條件：保障數據安全

1.權利位階。個人數據收集與處理應具有正當性，體現為《個保法》中的“用戶同意”原則，企業收集個人數據前應當出示告知書并取得個人用戶同意。個人信息權的權益背景來源于憲法，通常憲法所規定的基本權利具有高于普通法規定的普通權利的權利位階。也即所說的身體權和健康權優于財產權。據此，作為人格權的個人信息權在受到司法保護的過程中，理應獲得更高的權重。根據我國《網絡安全法》第41條、第42條的規定，收集者在數據集合涉及用戶個人信息時應遵循以下規則：數據正當性前提為明示收集范圍并履行告知義務，建立渠道便于平臺用戶知曉并同意收集內容、用戶及第三方的數據使用規則，對搜集、使用信息的目的進行明示，方式和范圍并經用戶同意；其次，在技術收集方面，應當按照平臺與用戶雙方的有效協議進行合規使用。最后，除非用戶同意，數據收集者不得任意買賣、提供或公開用戶數據。

2.細化責任。如前所述，數據權的權利主體是依法開展數據收集、存儲、加工、傳輸活動的商事組織及特定條件下的自然人。在個人信息權處于高位階的模式下，數據收集的正當性在于能否獲得用戶的同意。對個人信息不得采取“一攬子授權”、強制同意等方式來過度收集。綜上，數據在形成過程中的首要條件為數據安全，企業在此過程中也要承擔起個人信息的保護責任。作為數字經濟的重要主體，企業因用戶使用需求與現實依賴，在其平臺共享獲得授權的個人數據系推動數字經濟繁榮的體現，但同時亦應當承擔起個人信息安全“守門人”的義務，在源頭保障個人信息權利的實現[6]。

（二）價值體現：企業許可使用權的制度構建

《數據二十條》的公布確立了數字經濟中數據要素化的“新三權”，同時也為企業數據權提供了權能藍本。

企業數據權主要包括以下權能：第一，數據資源持有權。數據的無形屬性意味著無法被真正占有，數據控制者所擁有的持有權與占有權具有因客體不相似性所導致的權利本質上的區別，意味著對權利客體具有觀念上的限制。第二，數據許可使用權。組合該部分權利的內容在于兩個部分：首先，依照著作權的保護原則——鼓勵實質性投入或創新性勞動產生，也作為行使使用權的主體必要條件。就客體部分進行論證，使用權的權能在于“自用權”與“準用權”，在經營范圍內使用自己的數據并不需要法律的額外賦權，同時通過協議一致可轉讓該權利或共用該權利。數據自用權也是排他許可方式的必要條件。最后，數據經營權。《中華人民共和國民法典》對經營權的描述主要體現在第十一章土地承包經營權的內容中，規定經營權由合同生效時設立，具有占有、使用和收益的三種權能。根據已有的土地經營權的良好經驗，對數據經營權的建立應在數據經營權范圍內通過轉移數據的占用為方式準許第三方進行使用，并以數據服務合同確保各方的權利設立與權力行使范圍，實現推廣數據服務這一經濟目的。

（三）保護模式：行為主義的構建

《數據二十條》以“共享、流通”作為數據運行原則，肯定了數據的權利性，同時也強調了數據權利的有限性。數據的行為規制模式將數據利益的保護從事前轉移到數據行為過程中和侵權發生之后，期望為數據利用、交易和數據侵權確定法律規則。

1.首要方式——侵權法保護機制。賠償損失是一種“債權之訴”，是指行為人對受害人造成的損害進行賠償的一種民事責任，分為違約損害賠償與侵權損害賠償，二者既可以單獨適用，又可以與其他責任形式同時適用。過錯責任中損害賠償的功能旨在合法利益受損后以填補實際損害恢復其原狀，由法律將這種實際損害配置給過錯方承擔。因為對企業數據的侵害主要表現為企業在財產性利益上的損失，并且競爭性利益的丟失也將間接表現在財產性利益損失上，故而損害賠償應作為數據侵權責任之首要擔責方式。

2.常態方式——合同法保護機制。通過雙方協商一致的方式構建民事法律關系是民事法律行為的主要部分，也是避免事后侵權糾紛的主要方式。從全球數字經濟發展來看，數據分享協議主要通過應用程序編程接口得以實現數據分享，通過預先定義的函數，目的是提供應用程序與開發人員基于某軟件或硬件得以訪問一組例程的能力，而又無須訪問源碼，或理解內部工作機制的細節。通過API進行的數據共享也是當前企業之間數據交易的主要方式。

3.補充方式——競爭法保護機制。競爭法的保護分別體現為反壟斷和反不正當競爭兩種方式，對經營者擾亂市場競爭秩序，損害其他經營者或者消費者的合法權益的行為的規制可以有效地為數據聚合、流通環節的違法行為確定法律的依據和損害的范圍。運用合同法與侵權法對企業行為的適法問題和不法行為的責任進行追究后，競爭法著重判斷企業的競爭利益是否受到損害，故在競爭利益受到侵害時，競爭法具有不可替代的作用。

三、結束語

企業是進行數據處理的重要主體，在個人信息權已具備體系化保護的同時平衡作為技術供給的收集方的權益，由于目前對數據收集方的企業在如何將數據更為安全的流通并未在司法領域得到完善地落實，故本文欲將企業數據庫中占比最大的個人數據進行權益性分析。通過對《數據二十條》數據“三權分置”的制度解讀，可以發現我國的數據產權已經完全區別于傳統產權，企業利用自身商業性、專業性起到了推動數據創新及活躍數據市場的作用。通過《數據二十條》的立法背景及目的呈現了數據產權是一種針對不同主體的非排他性權利，從社會可用資源出發構建數據流通利用秩序是數據產權或數據基礎制度設計的基本出發點。

參考文獻：

[1]" "梅夏英.企業數據權益原論：從財產到控制[J].中外法學，2021（5）：1195-1198.

[2]" "丁曉東.個人信息權利的反思與重塑：論個人信息保護的適用前提與法益基礎[J].中外法學，2020（2）：339-356.

[3]" "商建剛，馬忠法.數據權益的實現：從保護到運用[J].社會科學輯刊，2023（3）：46-57.

[4]" "許娟，黎浩田.企業數據產權與個人信息權利的再平衡：結合“數據二十條”的解讀[J].上海大學學報（社會科學版），2023（2）：1-19.

[5]" "王利明.數據何以確權[J].法學研究，2023（4）：56-73.

[6]" "王利明.論個人信息權的法律保護：以個人信息權與隱私權的界分為中心[J].現代法學，2013（4）：62-72.

[責任編輯" "文" "欣]