個人數據的產權化與流通

王明澤

關鍵詞：個人數據；數據交易；產權化；《個人信息保護法》；權利相對性

一、引言

隨著科學技術的發展和大數據時代的到來，數據已成為數字經濟不斷發展的驅動因素，也是如今市場經濟的重要引擎。數據產生出巨大的經濟價值使其成為重要的戰略資源，各國也愈加重視。黨的十九屆四中全會首次明確將數據與土地、勞動、資本和技術并列為五大生產要素。2020年3月，《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》進一步提出通過研究數據屬性和完善產權性質來加快培育數據要素市場。2022年6月，中央全面深化改革委員會在通過的《關于構建數據基礎制度更好發揮數據要素作用的意見》中提出，要建立合規高效的數據要素流通和交易制度，完善合規和監管體系，建設規范的數據交易市場，完善數據要素的市場化配置機制，建立效率和公平的數據要素收益分配制度。從中央的文件可以看出，在我國培育和建立數據要素流通、交易和收益分配市場已刻不容緩且亟須解決數據確權和流通的兩個關鍵問題。然而，數據不同于傳統的物，其具有自身獨特的屬性，導致其權屬的界定和流通的規則同樣具有獨特性。在這一過程中，需要探討個人數據的特點及其對目前數據交易模式的影響，以及對交易的影響為何？通過產權化如何解決市場失靈的問題？將個人數據的產權配置于個人是否具有法律依據？如何推動產權化的個人數據在市場中流通？本文試圖回答上述問題，對個人數據的權屬和流通進行探討，以期為我國數據要素市場的發展提供理論借鑒。

二、個人數據的特點及對塑造數據交易的影響

（一）個人數據的特點

1.聚合的必要性

數據如今已滲透到每一個行業和業務領域當中，成為重要的生產要素，個人同樣也處在數據的世界當中。容量大是數據的特征之一，也是數據區別于其他財產的重要表象。根據國外的一項估計，當今社會在兩天內創造的信息量相當于我們從人類的誕生到2003年所創造的信息量，其中增長的大部分來自用戶生產的內容，即以圖片、即時信息和社交媒體帖子等形式出現的個人數據。1甚至法院也認為數以億計的用戶信息是互聯網重要的經驗資源，是平臺開展經營活動的基礎，也是平臺向不同第三方應用軟件提供平臺資源的重要內容。2巨大的數量也使得數據不同于其他資產，例如土地、房屋或者動產，甚至不同于同為無體財產的知識產權，因為數據不需要具有獨創性、期限性、法定性等3，上述資產都不能像個人數據一樣被收集。由于大數據集可以實現預測性算法、訓練人工智能，且有助于其他大數據應用，因此個人數據只有在組合時才具有經濟價值。為此，有數據科學家解釋道，在許多情形下，只有當我們將個人數據與他人創造的數據比較時，我們創造數據的真正意義才會出現。從經濟學的角度來講，增加每一個額外數據點的邊際價值都是非線性的，即成百上千條數據的價值可能是一條數據的成百上千倍以上。4數據的價值就在于整體，個別數據的變化不影響數據集合的整體價值。5當數據管理者橫向匯總不同主體的同一數據或者同一主體的多種數據時，個人數據便會呈現寶貴的價值。6數據集合價值的發揮離不開數據所處的場景，為發揮數據的最大化價值，對數據的集合勢在必行。

2.復制的便捷性

通過數據生產理論可以得知，作為資源的數據并非是憑空而出的，是被生產且經過匯集處理得到數據的價值，其中的匯集處理也是數據分析生產的過程。7然而，數據的生產成本很高，但復制的成本則極為低廉。換言之，數據產品的生產具有高額的固定成本，但是邊際成本卻很低。這樣會導致分享信息容易、限制信息傳播困難的結果。接踵而至的是，當數據主體放棄其數據時，由于數據的非競爭性特點，其他主體使用數據而不能被數據主體所察覺。那么如果個人不了解數據潛在的可能用途，個人基本不可能權衡披露信息或者允許使用、轉讓信息的成本與收益。例如數據中介行業的存在，就是在個人不知情的情形下將數據進行復制或者轉讓。除去非公開數據之外，數據的復制可以推動數據要素的流動，增加數據的使用率，但是數據復制不能保證數據主體對數據流向的完全知情。

（二）個人數據交易的模式

目前，市場當中數據交易的模式主要有公司間交易、數據交易所和消費者合同三種類型，而上述個人數據的特點塑造了數據交易的模式。

1.公司間交易

公司間的合并與并購充分體現個人數據交易的兩個特點。首先，數據聚合的必要性推動諸多公司間的交易。在市場當中，公司為了加強關于數據的競爭優勢，花費大量的時間與金錢獲取并分析個人數據。尤其在數字經濟下這種趨勢更為明顯，數據已在高新技術行業當中成為最重要的戰略資產。例如，Facebook曾以10億美元收購Instagram，并購的動力就在于Instagram所擁有的用戶數據，換言之，Facebook是為3300萬的每一位Instagram用戶支付30美元。8數據聚合的情形也不僅限于科技公司，如美國零售藥店CVS和健康保險公司AETNA之間的合并，雙方都強調匯總個人數據的需求，從而激發二者的合并。通過數據的匯總使得雙方更好與患者進行互動，以更高效率服務患者。9為了數據的聚合，越來越多的公司開始實施合并或并購，這也充分證明數據的聚合可以充分實現數據的價值。

其次，復制便捷性存在的問題在公司間談判時也都無疑暴露出來。在實踐當中，公司合并、并購與破產都可能成為利用數據復制的便捷性來逃避消費者合同中的隱私承諾。例如在RadioShack公司破產案件當中，該公司當中的客戶名單與其他個人數據被認為是最具價值的資產，因此RadioShack公司試圖出售客戶數據來滿足債權人的要求便不足為奇。10除此之外，Barnes&Noble公司在購買Borders公司的消費者個人信息后受到聯邦貿易委員會的審查，因為Borders公司在過去承諾沒有經過客戶同意不會分享其擁有的客戶數據。11上述例子可以充分說明數據復制的便捷性可以在公司合并、并購甚至破產的形式下為數據需求方帶來數據產生的效益，但同時也暴露出一定的數據風險，即復制的便捷性使得公司輕松獲得數據的同時，卻可以逃避保護數據隱私或安全的合同義務，個人也不知數據的后續去向。

2.數據交易所

聚合的必要性與復制的便捷性同樣塑造了數據交易所的交易模式。經過從2014年“大數據”被首次寫入政府工作報告、2015年全國第一家數據公共交易所貴陽大數據交易所正式運營到2020年《關于構建更加完善的要素市場化配置體制機制的意見》將“數據”列為第五大生產要素、2022年《要素市場化配置綜合改革試點總體方案》中強調數據要素改革的實踐與指導，目前全國設立的數據交易所已經超過二十家。目前，各地數據交易所交易的標的并非原始數據，主要是通過清洗、分析、建模與可視化等方式對原始數據進行加工處理，即經過深度分析整合形成的衍生數據。例如上海數據交易所明確規定，交易對象是經過實質性加工和創新性勞動形成的數據產品與服務。12而在新型的數據交易模式當中，北京國際大數據交易所主打“數據可用不可見、用途可控可計量的”新模式，而上海數據交易所則構建“數商”新業態，通過“一數一碼”解決數據確權登記等難題。此外，在2022年5月23日，經廣東省政務服務數據管理局批準同意，廣州市海珠區在市政務服務數據管理局支持下，率先推出全國首批“數據經紀人”。其是在政府的監管下，具備開展數據經紀活動資質的機構。該機構要具備生態協同能力、數據運營能力、技術創新能力、數據安全能力和組織保障能力，圍繞重點領域開展數據要素市場中介服務，推動數據流通規范化。數據經紀人包括三方面的職責：一是受托行權，即數據擁有者可以授權數據經紀人行使權力；二是風險控制，在數據流通交易過程中起到中介擔保作用；三是價值挖掘，挖掘數據要素價值，充當數據價值發現者、數據交易組織者、交易公平保障者、交易主體權益維護者等多重角色。13在數據交易所的數據模式當中，數據交易所對收集的消費者數據進行分析、包裝和銷售，一般不需要消費者的許可與介入。數據經紀人同樣從各種各樣的來源收集數據，不與消費者直接互動，再將這些信息賣給信用卡公司、媒體等公司。多數情況下，復雜的數據轉讓鏈都是由合同進行管理。這可以充分說明數據聚合的必要性，數據集合的需求刺激數據交易平臺與數據經紀人對數據進行統合與分析，推動多式多樣的數據集交易。

在此交易模式下，數據交易所與數據經紀人之所以能夠快速且不引起消費者對合同承諾的注意，就在于復制的便捷性。正如美國聯邦貿易委員會認為，數據經紀人從其他經紀人手中獲得大部分數據，而非直接從源頭獲得，多重轉讓的轉移鏈條使得消費者幾乎不可能確定某些數據元素的來源。14在相對成熟的美國數據交易市場當中，為了排除消費者對數據轉移的掌握，許多數據經紀人通過合同的形式限制客戶披露數據來源。即便參議院強烈要求，其也是為了隱瞞數據來源拒絕得知數據的確切來源和購買數據的客戶。15因為如果不能得知數據經紀人如何獲得數據的來源，消費者便不能控制信息的傳播。因此，復制的便捷性可以幫助其逃脫必要的保密義務和相應的法律責任。

3.消費者合同

在數字經濟當中，用戶在使用開發商提供的應用軟件時，通常都需要在使用網絡服務之前，簽署格式化的用戶協議或隱私條款。隱私條款的公示包括注冊界面，登錄界面或商品瀏覽界面的網頁端或者移動端。這也意味著，消費者每時每刻在為享受服務甚至支付款項時交換自己的個人數據。正如谷歌和臉書等公司宣揚，“讓我們知道你的真實身份，數字世界將會免費搜索或者分享”。16單純數據換取服務交易的種類和數量也日益劇增。在實踐當中，包括從網購平臺淘寶、京東到社交平臺微信，甚至到醫療或者運動類平臺，作為用戶享受經營者提供平臺功能服務的交換，用戶都會提供個人的位置信息、消費信息，甚至生物識別等信息。

在消費者合同當中，商品或服務與數據的交易也充分說明了個人數據的兩個屬性。首先，推動雙方交易的一個重要動機是允許公司匯總用戶的數據。當公司拿到大量用戶數據，可以提升更好且具有針對性的服務，從而產生更大的規模效益，這也是個人數據聚合的必要性。其次，消費者個人數據的交易取決于復制的便捷性。在眾多軟件應用平臺當中，由于每個平臺具有自身的特殊性從而具有自己的隱私慣例，這也是合同的一部分。由于個人數據復制的便捷性，便沒有什么能夠阻止消費者每天簽訂幾十或上百份這樣的數據交易合同。但是數據轉移的便利也會帶來問題，消費者為了享受平臺的服務，不得不簽訂大量的交易合同，導致其難以對每項合同當中的條款進行有意義的評估。實踐中讓消費者同意交易條款是非常容易，因此，平臺往往處于制定隱私和數據收集規則的地位，消費者由于信息不對稱而不能有所回應，通常被迫簽訂合同。

（三）合同模式項下數據交易的市場失靈

目前市場當中，數據交易的模式主要包括上述的公司合并與并購、數據交易所與數據經紀人、消費者合同三種，而三種交易模式主要依靠合同完成相關數據的轉移。但同時，合同模式項下的數據交易也暴露出嚴重的不足，在以下方面存在市場失靈：信息成本高、執行成本高、提供與保護數據激勵不足。

1.信息成本高

債權和物權的權利體系會產生不同的信息成本模式，需要在不同的情況下使用，而使用的時候取決于其各自的優缺點。如果權利的界定和執行是沒有成本的，那么任何權利結構都可以存在，不需要區分對人的權利和對物的權利。但由于權利的界定和執行成本高昂，法律體系有必要采用兩種不同但互補的權利模式。17對于資源權力結構的分配，應當以效益高成本低的方式使用。當對少數身份不明的人施加相對較大的信息負擔且具有成本效益時，那么使用內部治理策略的合同權利；當對大量不確定的人施加較小的信息負擔且具有成本效益時，那么使用物權的方式更為推崇。然而在實踐當中，涉及個人數據交易的合同都將這些信息負擔強加給了大量的個人。從某種程度上來說，信息成本在所有的消費者合同當中都成為一個顯眼的問題，尤其涉及個人數據交易的合同。根據一項統計顯示，消費者如果試圖閱讀每一份隱私披露，那么每年在此事情上將花費八十天的時間。18而在通常情況下，消費者為了獲得商品或服務的享用進而選擇同意個人數據的交換，但如果消費者了解后續個人數據的轉移情況，那么或許就不會同意涉及個人數據的合同交易。例如Facebook在2018年爆出史上最大數據泄露事件，Facebook在用戶完全不知情的情況下，向其他公司提供了用戶和其朋友的信息，并且未經用戶同意的情況下對其發送定向的信息。如果用戶得知平臺會向第三方披露個人的數據，那么顯然會有用戶不同意這樣的選擇。當用戶感知其會面臨更多的風險信息時，數據主體可能會放棄產品或服務與個人數據的交換。

2.執行成本高

復制的便捷性使得數據交易成本接近于零，但當消費者發現企業的違法違約行為，對數據轉移者追究法律責任的成本顯然大于零，也就是說消費者維護個人數據的權益需要付出一定的成本。而數據處理主體卻能逃避合同義務，輕易地分享信息。尤其在數據經紀人行業當中，其所依據的合同網使得消費者難以確定某一特定數據元素的來源。當消費者越難以監視數據動向和行使數據權利，數據經紀人越容易出售個人數據。消費者本身很少研究每項交易當中的隱私條款和政策，同樣難以了解哪個特定的第三方可能會擁有其信息以及如何進一步使用或者披露個人信息。即使當其發現個人數據在沒有被允許的情況下使用，消費者也難以通過法律權利去追回或者獲得相應的賠償。即使《消費者權益保護法》賦予執法機關維護消費者合法權益的執法權限，但在具體執行過程當中也面臨較高的執法成本。

3.提供與保護個人數據的激勵不足

目前，數據主體并沒有獲得提供高質量數據的社會回報，并且數據主體不能保證他們的數據未經其允許而被轉讓給第三方，這也扭曲了他們提供個人數據的動機。19無論個人提供的數據質量如何，都能獲得同樣的在線網絡服務，因此數據主體本身沒有太多動力向數據收集者提供準確或者高質量的信息。數據主體起初似乎不需要激勵就可以提供個人信息，但事實上大多數消費者都拒絕提供與交易無關的信息，甚至有人提供了不準確或者具有誤導性的信息。因此，數據交易的三種途徑獲得的關于個人的信息可能并非總是正確的，甚至可能是過時的。20當數據主體沒有積極提供正確的個人信息，數據的收益勢必受到影響。而如果消費者積極提供準確的信息，以滿足日益增長的高質量數據需求，那么對于大數據技術的發展至關重要。

合同模式項下的數據交易同樣缺乏保護個人數據的激勵措施。數據處理者可以從收集的個人信息當中獲得利益，但當個人信息被泄露時，數據處理者卻并沒有承擔全部的風險。最后，受到重要損失的還是提供數據的主體，甚至面臨破產等嚴重后果。根據國外的一項估計，修復被盜竊的個人身份的平均成本為1769美元，中位數損失為300美元。21數據處理者缺乏保護信息的激勵措施可能會導致數據泄露事件的不斷發生，更多的個人信息將會面臨被復制或者被分享，不論是政府的監管還是消費者自身的維權都將面臨嚴峻的挑戰。

綜上，個人數據的聚合必要性與復制便捷性的屬性，塑造了個人數據交易市場的輪廓。數據交易的模式主要依靠合同維持，而基于合同模式的交易存在多種市場失靈的情形。合同的數量與種類，給個人帶來了過高的信息成本，導致其不能完全了解數據交易的后續內容。由于合同的相對性，數據主體難以向第三方主張其利益。由于過高的信息成本和執行成本，這也扼殺了數據主體提供高質量數據的動機，同時抑制了數據處理主體保護數據的動機。

三、解決市場失靈的工具：產權化模式

我國《民法典》將涉及個人數據的個人信息置于人格權編中規定，涉及財產權的物權和債權則與之相分離。我國物權體系以所有權為基礎的權能分離，即在確定所有權的前提下，衍生出他物權，相互分離且排他。但事實上，個人數據既具有人格屬性，也具有財產屬性，例如有觀點認為個人信息收集利用的過程就是數據財產進行流轉的過程22，或個人信息的財產屬性接近于所有權的財產權益23。兩種屬性難以割裂，這是我國民法體系難以解釋的。而在個人數據權屬討論中，還有學者運用民法典的體系進行分析。例如有觀點認為，數據雖然不同于民法中的有形物，但卻在物理上是存在的，應當通過絕對權的方式進行確權和保護。24有觀點直接對數據財產權下定義，認為其是權利人可以直接支配且排他的權利，具體權能包括傳統的對數據財產的占有、使用、收益和處分。25還有學者通過所有權和用益物權分析數據的權屬，并將二者分別配置于數據原發者和數據處理者。26上述分析思路都基于傳統物權的理論展開，但這都是通過有形的財產來觀測數據權屬，與現有法律體系格格不入，不能將個人與數據權利的關系進行厘清。

為此，我們需要借助英美法系當中“產權”這一概念實現對數據的保護和流動。“產權”一詞共用于經濟學和法學當中，法學領域當中的產權不僅包括所有權等物權，還包括債權、知識產權等具有財產權內容的權利。根據2016年《中共中央、國務院關于完善產權保護制度依法保護產權的意見》，產權的保護不僅包括物權、債權、股權的保護，還包括知識產權以及其他各種無形財產權的保護。可以看出，產權這一內涵不僅范圍廣，還具有不斷擴化的趨勢。在英美法系中，相較于“財產權”更多指向于完整的財產權，強調靜態的權利狀態27，“產權”則多強調人和財產之間的關系，多用于證明問題和轉讓機制當中。28不論是大陸法系當中完整的所有權、受限制的用益物權、抵押權或者質權等，都可視為完整的產權。29通過將個人數據納入到具有開放性質的產權概念中有利于實現對個人數據的保護和解決上述市場失靈的問題。

（一）降低信息成本

將歸屬不明的物予以產權化的主要優點之一是可以降低信息成本，尤其市場交易量很大的時候。30財產法定義了一套公認的產權形式，其規定的權利是標準化和不可改變的，并且集中于總代理上，易于被大量異質人口所觀察和掌握，即不同于合同權利針對少數人。當產權越是明晰和標準化，評估一項交易的信息成本就會越低。因為法律規定的權利義務可以被當成產權內容的標準，而這種標準可以保護信息，通過使交易各方義務自動適用于劃定的自愿當中，而不用考慮所有者的狀況。通過將統一的義務予以前置，并且將其限制在簡短的負面清單當中。

在數字經濟時代，消費者總是面臨艱難的抉擇，要么每年花費80天的時間閱讀涉及數據交易當中的每項隱私條款，要么忽視隱私條款，而對交易的內容一無所知。相反，倘若每個數據主體都擁有相同的權利束，權利束的內容至少包括排除、轉讓、使用和銷毀等傳統財產權利的內容。但從降低信息成本的角度而言，權利束的具體內容并不那么重要，相反只要同樣的權利捆綁在個人數據上即可。因為權利束的內容是同一標準的，當個體使用各種應用軟件或者網站時，就會明白數據轉移的財產利益，而不需要審查數以百計的隱私條款。31除去可以降低雙方交易即消費者合同交易模式下的信息成本，財產化同樣可以降低第三方購買數據的信息成本。當數據經紀人尋求購買數據、收購方為數據而收購被收購方時，他們可以不用再調查對每項數據所涉及的合同承諾。因為其已經明確每項數據主體都具有同樣的權利束，此時購買方在購買時就明確其將獲得何種權利。

誠然，對數據予以產權化也具有缺點。與合同法當中可以任意制定規則不同，產權化的權利義務內容較為固定，這種標準化規則阻礙了非標準的權利束的產生。有學者將其描述為“挫折成本”，是指市場參與者在無法定制資產所附加的權利束時所產生的費用。32解決此問題的辦法是，雖然合同并不能修改產權化的權利束，但是可以提供額外的承諾。并且關于涉及個人數據交易，相比于降低信息成本受到的效益而言，挫折成本可能很小。因為在市場當中充斥著大量的個人數據交易，而每一項數據本身的價值相對較低，也不太容易引起數據主體對定制化的重視，因此，與降低信息成本相比較，此時挫折成本就微乎其微了。

（二）降低執行成本

產權化將在兩個方面減少執行成本，增強數據主體維護自身的權利。首先，對物權可以對合同范圍以外的數據處理主體追究法律責任。無論數據處理者與數據主體的關系如何，產權化都可以使其承擔責任，也均可以允許消費者控制其敏感個人信息的傳播。33以數據經紀人交易數據為例，只要數據經紀人避免了相應的合同義務承諾，那么就不用擔心合同違約賠償問題。換言之，基于合同模式的數據交易可以幫助數據經紀人逃脫法律責任。相反，在產權制度下，數據主體可以向數據經紀人提出法律賠償的請求，而不論經紀人是否違反了合同義務承諾。當然在這一過程當中，數據主體不能隨意處置其轉讓的權利，否則數據處理者可以通過各種方式使其放棄權利，從而消滅財產制度。其次，產權提供了一種替代的執行機制，34甚至在某些情況下比違約索賠更有效力。產權提供了執行的靈活性，因為執行產權的訴訟費用可能比證明數據處理者違反合同義務所需要的費用低，合同通常會涉及昂貴的訴訟和不可預測的結果。另一方面，法院也更愿意發出禁令來保護被侵犯的財產，這是違反合同尋求補救所不能具有的優勢，某種程度上也是減少相關的訴訟費用。35當然，財產權也并不能完全取代違約索賠。36產權可以通過補充合同索賠，通過二者的結合可以提高執行的靈活性，同時也增加了整體成功執行的可能性，更有利于數據主體維護自己的權益，強化執法機關執法的正當性。

當然，財產化并不能保證解決所有的執法成本問題。例如數據主體難以發現數據處理者是否完全尊重了他們的產權權利。即使有較低的訴訟成本和廣泛的補救措施，產權化也難以完全解決執行成本問題。

（三）增加提供和保護數據的激勵

在個人數據交易過程當中，數據處理者希望數據主體能夠提供準確并且高質量的數據，而數據主體則希望數據處理者能夠保護他們的個人數據。37那么就需要尋求合理的法律制度來激勵二者實現彼此的愿景，而產權化恰好能滿足兩者的需求。目前市場當中，公司都在瘋狂地獲取數據，似乎不需要激勵機制，但事實上，高質量的數據仍是缺乏。解決這一問題的關鍵就在于市場交易雙方的信任，如果一個市場想要真正值得信賴，那么交易的對象必須是安全的，交易雙方都覺得彼此能夠相互依賴，這是成功市場的必要不充分條件。38然而，在實際交易當中，數據處理主體需要做的就是把數據賣給經紀人，以避免合同義務的承諾。這也導致不少數據主體對市場失去了信任，因此會提供不準確數據甚至破壞他們的個人數據。當公司可以做到根據承諾保護數據，消費者越不可能提供虛假和誤導的個人數據。因此，對數據進行產權化可以實現雙方的激勵。此外，產權化還可以鼓勵數據處理者保護他們所存儲的個人數據。因為數據主體在發現數據泄露后可以依據權利獲得賠償，數據處理者也會因此增加對網絡安全防御的投資，以減少面臨賠償的風險。此時，數據主體也可更加放心將高質量數據交于數據處理主體手中，數據的網絡安全也能得到進一步的保障。

四、個人數據產權化依據：《個人信息保護法》

對于是否應當對數據產權進行確權，學界出現反對或質疑的觀點。有學者認為數據并不需要或涉及不到確權，數據本身是一種網絡操作權限或者代碼，因此從立法上需要考慮網絡自身發展規律、技術的進步、網絡安全和公平自由等因素，強制明確數據流動、分享、存儲和操作的規則，即排除數據權屬這一問題的考量。39有觀點認為應當擱置關于數據產權的爭議，在公共利益需要的特定領域、消費者福利、數據企業的生態和標準化等場景下設立數據企業的利用和分享規則。40還有觀點認為擱置數據權屬和保護利益順位的爭議，將重心放在數據保護的路徑選擇問題上。41但顯然，這是一種悖論。如果不能明確數據的權屬，那么數據的流通顯然缺乏規則治理的起點，難有良好的秩序去維護。尤其當數據權益發生沖突或者侵害時，應當將法律的救濟分配給誰就會成為難題。如同一個無主物在不斷被流通后，進行權利回溯時，卻在源頭發現并沒有無主物上的權利人，難以判斷后續權利人誰更為值得保護。再者，沒有數據權屬者對權利的主張，可能會出現“公地悲劇”的現象。

事實上，在個人數據的保護和利用的過程中，只有賦予個人數據主體控制其個人數據的權屬，才能防止政府與他人的干預并獲得相應的賠償。42同時，個人數據在利用中常會出現外部成本負擔公平的問題，尤其是隱私被侵害問題。市場機制解決隱私問題往往具有局限性，此時就需要賦予個人數據主體權屬來尋求隱私的保護，并能更好實際解決外部成本的公平負擔問題。43此外，還可解決上文描述的市場失靈問題。通過賦予個人數據主體權屬，可以規避數據從業者非法收集、濫用個人數據和侵犯個人隱私等問題，使得數據從業者內部化利用個人數據的成本，同時還可有效防御公權力與第三人的非法干預或非法侵害。44個人數據的保護和利用需要產權化的路徑，并且需要將產權的歸屬配置給個人。面對學界的質疑和理論的證成，現行法律也提供了相應的依據和補充，下文將進一步展開論述。

（一）工具性權利“權利束”的運用

基于傳統物債二分理論難以解釋數據權益的現象，需要借助“權利束”這一分析范式。這有助于解釋諸如數據這類不具有物理排他性的各項權益，“權利束”具有開放性，可將各種無形資產和新型財產融入分析框架中，并且只要財產上權利人的權益邊界明晰就可同時使用。在此基礎上，該理論可以解釋多元主體間的復雜交織現象，在分析個人數據主體權利時，不需要拘泥于傳統的四項基本權能，可以根據法定或者約定更加準確理解主體的權益主張，從而促進數據的流通。45關于“權利束”的理論，具體而言，從十九世紀后半期開始，英美法系當中私有財產的理解從絕對性與對物性開始向物的一束權利集合轉變，“權利束”理論也開始不斷演變。例如在二十世紀初，霍菲爾德教授認為法律權利描述的是人與人之間的關系，其將財產權解構為特權、要求、權力、豁免四個基本要素，同時這也是“權利束”最主要、最基本的權能。46然而，事實上，“權利束”的理論最早可以追溯到英國實證法學家的學說理論當中，邊沁曾提出財產權擁有四項子權利，包括占有的權利、排除的權利、處置的權利和交易的權利。47另一位實證法學家約翰·奧斯丁也指出個人所擁有的不是外在的“物”，而是該物上的權利集。48美國對權利束理論經過學說演繹和司法實踐的發展，認為私有財產由三根最為重要的權利木條構成。第一，排除他人的權利。私有財產的產權人可以排除其他人對未經許可財產的干預與侵擾，既在理論中被普遍認為該權利具有定義性特征，也在司法實踐當中被評論為私有財產的基礎權利49。第二，轉讓的權利。私有財產的產權人可以將財產予以轉讓他人，當然轉讓也會受到一定程度的限制。第三，占有與使用的權利。產權人可以在法律規定的范圍內占有并且自由使用自己的財產。這意味著如果主體擁有一項私有私產的產權，那么勢必意味著擁有上述列舉的子權利，反之，當主體擁有上述子權利或權能時，那么意味著主體對該財產具有產權。事實上，在多數情況下，許多學者也將財產與一系列權利相聯系，包括排除、轉移、毀滅和使用等。50

（二）《個人信息保護法》賦予個人的權利

1.排除權

《個人信息保護法》第15條規定了個人有權撤回其已經的同意，而個人信息處理者也應當提供便捷的撤回同意方式。這表明個人有權處理自己的數據，排除他人對數據使用的干預。第41條賦予個人的刪除權進一步鞏固排除權的效能。排除權是作為信息主體個人享有的請求個人信息處理者刪除所處理的個人信息的權利，主張使用的情形包括處理的實現與無法實現、期限屆滿、個人撤回、違反法定或約定義務和其他情形。同時，《個人信息保護法》也對個人刪除權的使用做了一定的限制，如此既能更好保障個人對其個人信息處理所享有的決定權，也是對個人信息處理當中合法原則與目的限制原則的落實。51并且，權利的保護并非絕對的，附條件的使用能使各方主體的利益均能得到公平的保護。《個人信息保護法》通過賦予個人撤回同意、刪除權等權利，使得數據主體對個人數據具有排除的權利，也是權利束當中最重要的權利。

2.轉讓權

《個人信息保護法》第45條第3款規定了個人有權請求將個人信息轉移到指定的個人信息處理者，且個人信息處理者在符合的條件下應當提供轉移的途徑。歐盟在《通用數據保護條例》的第20條規定了數據主體在特定情形下要求通過特定的格式將之前提供給特定數據控制者的個人數據傳輸給其他控制者，且在技術允許的情況下可以要求數據控制者之間就個人數據直接傳輸，如此的規定既可以使消費者通過轉讓權利用數據尋找適宜的應用與服務，獲得更好的交易52，也可以強化個人對自身數據的控制、破除數據鎖定、促進流動、增進消費者福利53。此外，當出現《個人信息保護法》規定被迫轉讓的情形時，即第22條規定的個人信息處理者因合并、分立、解散和破產等特殊情形需要轉移個人信息的，應當向個人告知接收方的姓名、名稱或聯系方式，接收方需要繼續履行相關義務，而接收方如果更改原先目的或者使用方式的，需要重新獲得個人申請。而這種被動轉讓的方式也是不同于傳統財產的轉讓方式。

3.使用權

《個人信息保護法》多方面規定了信息主體使用個人信息的權利。第44條規定了個人對其信息享有決定權，即個人對于自己的信息可以自由使用和處置。同時，在具體使用方面還規定了查閱復制權和更正補充權。前者是指個人在信息處理活動中享有查閱、復制個人信息的權利，這對于維護和使用個人信息具有至關重要的作用，既是個人進行信息處理活動所享有知情權的具體表現和公開透明原則的具體落實，也是個人對其信息進行決定和使用的保障，因為只有當個人完全了解其信息的情況下，才能進一步決定如何處置和使用自己的個人信息。否則，當個人根本不知道其個人信息是否被處理以及如何被處理時，《個人信息保護法》所賦予的使用權將成為空談。54更正補充權是指個人在個人信息處理活動當中享有的對自己信息進行錯誤糾正和補充信息完整的權利，此權利發生的前提是個人發現其信息不準確或者不完整。當然，更正補充權需要以查閱復制權為前提條件，只有個人通過查閱和復制個人信息，才能知曉其被處理的個人信息是否準確完整，進而決定是否通過更正補充權來更正和完善自己的信息。此外，《個人信息保護法》第24條規定了當自動化決策如果對個人權益重大影響決定時，個人有權要求其說明，并且可以拒絕僅通過此種方式決定。即當數據處理者通過自動化決策分析個人信息并作出重大影響決定時，此時法律充分尊重和保障個人對其信息的使用權，允許個人獲得相關信息并決定是否僅按照自動化決策的方式實施。這一特殊的使用方式，也超越了傳統財產使用權的方式，給予數據主體不可剝奪的權利來監督個人數據處理者如何使用其個人信息。

此外，從《個人信息保護法》第23條也可看出該法賦予個人對世權。具體言之，個人信息處理者向其他個人信息處理者提供其處理的個人信息，應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。這表明當個人信息從一方處理者轉向另一方處理者時，不能由數據處理主體隨意處置，而應向個人說明并取得個人同意。這意味著當個人沒有同意將個人信息再行轉讓時，那么沒有主體可以對個人信息進行處置，并足以對抗任何人。當接收方改變個人信息的使用方式和目的等，需要重新取得個人的同意，這意味著一旦處理方式的改變，則需要個人重新予以授權，而非當事人之間合同可以改變，這更加佐證了個人信息具有的對世權或者具有絕對權的性質。顯然，這不同于有學者認為個人數據上的權利僅為保護自然人的防御性利益，不具有絕對權的積極效力，包括追及效力和絕對保護請求權等。55此外，歐盟的《通用數據保護條例》第82條規定如果有多個數據控制者或者處理者，其對數據處理造成的任何損害負責，每個控制者或處理者都應對全部損害負責。即控制者不能通過要求第三方處理數據主體來逃避責任，這意味著數據主體能夠對第三方直接行使其權利。這顯然不同于合同法當中權利的相對性，進一步論證數據權利具有對世權的性質。

通過對《個人信息保護法》賦予個人權利的解構與分析，可以發現該法賦予的權利包括排除權、轉讓權和使用權，同時還具有對世權的性質與特點，契合英美法系關于財產權利束三根最重要的權利木條的論述，因而《個人信息保護法》賦予的權利能夠反證個人數據可以產權化。雖然《個人信息保護法》初始并不是對其產權化，但通過對權利的解讀可以得此結論。

（三）個人數據與個人信息的關聯

關于個人數據與個人信息的關系為何，學界呈現出兩種截然不同的觀點。有學者認為法學規范視角下個人層面的數據就是信息，個人數據與個人信息沒有區分的必要。56持相反觀點的學者則認為數據強調客觀事物，信息是數據揭示的人格內容。57本文采用“個人數據”這一術語，而我國《個人信息保護法》采用“個人信息”這一術語，數據與信息的關系也涉及上文通過《個人信息保護法》推導出主體對個人數據產權的“權利束”，因此有必要進一步厘清。我國《民法典》將“個人信息”定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息”，《個人信息保護法》當中的“個人信息”涵義與之接近，并強調“不包括匿名化后處理的信息”，而《數據安全法》將“數據”定義為“任何以電子或者其他方式對信息的記錄”。從中可以看出，數據側重于形式與載體，信息則是數據的內容。數據的源頭在于信息，即沒有個人信息就沒有個人數據，實質內容上二者又是一體。在筆者看來，數據與信息既有區別也有聯系，需要在不同情形中分析和運用二者的關系。在本文的語境中，通過《個人信息保護法》推導出主體對個人數據所擁有的權利考察的是“個人信息”或者“個人數據”的實質內涵，從現有法律中分析產權人所實質擁有的權利，因此二者可以通用。并且在此處，并不會因為在信息的基礎上附上載體，權利人就會發生變化，因為個人信息依舊是其本人的。綜上，通過《個人信息保護法》分析出個人對個人信息擁有的權利，亦即個人對個人數據所擁有的權利。

五、個人數據最大化的流通：權利相對性理念的運用

將個人數據予以產權化，并將其配置于個人，有觀點擔心此舉會影響數據流動，出現“反公地悲劇”現象58，實則并非如此。一方面，通過權利束的理論分析本身可以促使數據的流通，另一方面，通過權利相對性理論和場景化工具的運用可進一步增強個人數據的流通。

（一）相對性理念的借鑒

在英美法系當中，“所有權”并不意味著是單一絕對的，需要進行權利的比較，即采用產權術語，在不同場景下進行動態衡量，對產權的最佳者確立和保護。有學者也稱之為“權利的相對性確定”。具體言之，從靜態的視角觀察財產，無論其權利是否完滿，均具有單獨和完整的產權。例如汽車上的所有權、抵押權和質權，三者在沒有沖突之前，都是完整的產權。但從動態的角度理解，由于每個權利都是完整的，因此受保護范圍在權利沖突之前是不確定的，事先無法確立哪一項產權更高或更低，需要在具體情形下對主體的產權進行比較。當然，當產權發生沖突時，需要根據產權鏈回溯源頭。在比較的過程中，即使產權上存在瑕疵，但哪一方相對更優，例如占用時間、成本收益更高，便足以作為依據被確立為有效的權利而獲得優先的保護。

數據只有被充分利用才具有價值，而權利相對性的理念可以很好實現數據的保護與交易，并可以實現二者的平衡。首先，當數據產權化后，意味著個人數據這項財產上可以擁有多項產權，不同的權利可能來源于不同的理由與根基。當個人將個人數據給予企業使用時，個人對個人數據所擁有的權利束依然存在，而企業對其使用的權利也可以在產權的概念下得到保護，從而實現多元保護。產權具有開放性，當數據的某些權益未被實在法加以包含，傳統司法難以尋找請求權基礎對其保護，而根據權利相對性理念，只要論述相對方當中的一方更應獲得此種情形下數據的確立和保護。當然此種確權并非一成不變，在不同情境下權利的確認與保護可能又再次發生變化，從而實現靈活的保護。有學者將數據分為個人數據、企業數據和政府數據，但實踐當中，個人數據和企業數據之間的界限往往并非是明晰的，出現個人和企業為個人數據這項資產都付出成本的情況。當二者產生產權沖突時，需要借助權利相對性理念，根據二者貢獻大小和成本收益等來判斷在具體情境下，誰更應該優先受到認可與保護。其次，相對性可以推動數據的大量交易。在大陸法系當中，以所有權為核心的物權體系強調人對物的控制，在以交易為核心的數據商業實踐中難以最大化推動物從“歸屬”到“利用”的轉變。但在權利相對性理論下，數據當中的每項權利人都擁有其獨立的財產，尤其擁有個人數據使用權的企業通過證券化等形式獲得更多交易的可能，符合數據被充分利用的目標。因此，在權利相對性框架下，可以更好維護數據權利上多主體的權益保護，同時也可以最大限度地推動數據的交易。

場景化理論可以成為落實權利相對性理念的一項工具。羅伯特·斯考伯和謝爾·伊斯雷爾是較早提出“場景”理論的學者，其主張互聯網未來的發展趨勢為場景時代，而場景時代獨有的技術將改變社會生活方式和商業形態。59海倫·尼森鮑姆教授將“場景”理論引申到個人數據使用當中，曾提出隱私的“場景公正理論”。60該理論強調保護隱私和個人信息的關鍵在于確保信息流動的“語境性公正”（contextualintegrity），即消費者的個人信息處理與場景相匹配，且不應在有違特定語境的背景中分享信息。涉及場景關聯的信息處理規范包括處理主體、信息類型和傳播原則三項要素。61雖然場景化理論起初應用于隱私保護，但該理論也可以應用于權利相對性框架下數據的交易。第一，數據的流動是有序的，且數據不能侵犯個人信息的隱私，同時還要促進數據得以最大化使用，面臨多種條件的要求，需要在具體場景中進行分析。第二，在數據流動中發生數據權利沖突時，需要結合具體場景中的因素和數據使用最大化的目的來評判數據的歸屬與利用，實現數據的合理使用與特殊保護。

有學者從“反省法”的視角認為權利束難以在開放與封閉之間進行平衡，并且在規范數據權利沖突時引入的“場景”理論是通過合理原則進行權衡判斷，有損于數據法體系的穩定。62顯然，此種觀點并沒有在權利相對性的理念下看待數據保護和流動的問題。一方面，數據衍生出的權利具有多樣性，可以通過權利束的方式觀察數據上出現和可能出現的權利，更能充分全面理解數據的歸屬與利用。另一方面，“場景”理論可以靈活在不同情形下認定數據的權屬和推動數據的流動，因為不同情形下個人數據產權的歸屬是不同的。在不侵犯個人權利的情形下，如何推動數據的最大化利用勢必需要借助“場景”這一項工具。如此，才能充分實現數據的價值，實現實質的公平，而非流于表層的穩定。

（二）相對性理念的運用——以大眾訴百度案為例

上述相對性理念和具體的場景化工具為我們提供了界定數據產權后促進數據流通的研究范式。對此，我們通過大眾訴百度一案來具體描述相對性理念的運用。

在該案當中，原告漢濤公司為大眾點評網的經營者，收集了大量商戶信息，并吸引消費者在其應用程序當中發布點評信息，已成為消費者選擇商家的重要參考。而百度公司未經過允許，在其應用軟件當中直接復制大眾點評網的點評信息，因此原告主張停止不正當競爭行為并賠償相應的損失。63本案中，雙方都主張商戶提供的信息即個人數據為己方所有，漢濤公司認為其對大眾點評網的點評信息享有合法權益，而百度公司則認為其根據網站Robots協議對各網站內容進行抓取，且抓取行為符合大眾網的Robots協議，此外，百度公司也設置了指向大眾點評網的連接，不會給漢濤公司造成損失。

在相對性理念的框架下，雙方都對個人數據即用戶提供的點評信息主張產權，當雙方權利發生沖突時，則需要在具體場景下進行考量。大眾點評網通過付出大量的時間成本和金錢成本來獲得用戶的點評信息。數據聚集才能產生經濟效應，而點評信息同樣需要達到一定規模才可以產生相應的效益，這需要一個漫長的積累過程。百度公司通過技術的手段獲取大眾點評網中的點評信息，用于自身的應用軟件，一定程度上可以替代大眾點評網服務于用戶的作用。當兩個主體均主張產權，且二者之間有不可避免的沖突時，此時需要評價兩個產權誰為更優的一方。顯然，在此場景當中，大眾點評網是更早一方付出成本獲得用戶的點評信息，并且根據與消費者的合同約定或者對點評信息的持有和使用，百度公司并沒有一個比其更高的產權，且大眾點評網可以根據眾多的點評信息來進一步發揮個人數據的作用，推動更高級別的數據流動，因此大眾點評網更應獲得用戶點評信息的產權。當然，這一產權也并非是固定不變的，需要在不同情境下進行考量。進一步再講，相對性理念促進數據流動更體現在本案的延伸之外：即使大眾點評網和用戶在使用方面有約定模糊的地方，大眾點評網對個人數據予以利用，數據也產生相應的規模效應，能夠在財產上不斷去衍生權利，這與用戶對個人數據產權的保護并不相沖突。這也是相對性理念的獨特優勢所在，不同于傳統物權債權二分法的保護，尤其物權受制于所有權的保護和重視。

六、結論

個人數據的保護和利用涉及兩個核心問題：數據的權屬和數據的流通。第一，現有的數據交易模式在信息成本、執行成本、提供個人數據和保護個人數據的激勵等方面存有市場失靈的問題，因此有必要通過產權化明確個人數據的權屬和個人在個人數據財產上擁有的“權利束”，以更好實現權利的保護。第二，將個人數據的權屬配屬給個人并不會影響數據的流通，通過在權利相對性框架下的分析，以及場景化理論的運用，可以最大可能促進數據的流通。通過明晰個人數據權屬、明確個人數據流通規則，才能更好發揮個人數據這一要素在市場經濟當中的作用。