個人數據權利保護的雙重價值及立法規范

摘要：我國法律尚未明確定義個人數據，其與個人信息只在應用場景中略有區別。作為一種新型生產要素，個人數據本身蘊含著巨大的商業價值。數據權利既是一項新型權利，也是一項越來越重要的權利，涉及多元權利主體，包含人格性的個人數據和財產性的數據資產。個人數據權利的保護，不僅要保證用戶個人的數據安全，也要注重數據經營者的賦權與保護。當下，個人數據保護立法層面仍存在不足，如個人數據產權界定不清晰、個人數據市場交易缺乏有效規制、以知情權和選擇權為代表的用戶自主權在實踐中被削弱等問題。對此，需要從立法規范層面對數據產權進行類別化規制，構建開放和公正的數據交易市場，完善不同場景下數據權利的保護舉措，以達到個人數據保護與利用的平衡。

關鍵詞：數據權利；數據產權；數據權益；數據交易

中圖分類號：D923; D922.16" " " " 文獻標識碼：A" "文章編號：1003-8477（2024）06-0113-08

個人數據已成為影響社會進步、經濟建設和個人權利的重要資源。大數據不僅涉及隱私保護和信息安全，更是民主權利和數字主權的重要體現。個人數據的合理處理和使用是實現數字環境下個體自主權的基礎，也是國家數字基礎設施的重要組成部分。確認和保護個人數據權利是構建公平、自由數字世界的前提，也是國際數字經濟協作的核心。

一、個人數據權利的基本屬性

我國法律尚未明確定義個人數據，其含義通常與個人信息相同，只是應用場景略有區別。個人數據包括能識別個人身份的各類信息，具有專有性、敏感性、可追溯性和跨界性等特征。[1]（p21）在互聯網時代早期，民法僅將數據視為侵犯人格權的工具，但隨著數據分析技術的進步，數據的商業價值得到認可，成為極具潛力的新資源。

（一）數據的個體屬性

在信息科學和數據法學領域，個人數據通常指由觀察或研究獲得的事實和數字。在數字主權觀念下，這一定義擴展到任何與個體直接或間接相關的信息，如姓名、住址、郵箱、電話、身份證號，以及位置、購物和社交媒體活動等個人行為數據。個體數據的屬性與個人直接相關，主要包括：一是個人數據的識別性，它關系到隱私和身份安全，涉及姓名、社保號等可識別身份的信息。[2]（p35）二是個人數據的關聯性，它能反映一個人的特點、喜好和行為，[3]（p92）如購物和社交數據顯示的消費習慣有助于個性化服務和風險評估。三是數據的敏感性，涉及健康、性取向等私密信息。[4]（p246）四是數據的自主性，個人對自己數據擁有控制權，包括收集、使用和分享的同意，[5]（p82）體現了對個人隱私權的尊重。五是數據的流動性，指在法律和安全的允許下，個人信息的自由傳播，[6]（p176）其中數據的價值和敏感度會隨著時間和環境而變化。因此，數據保護不能只依靠固定規則，而應考慮數據的流動和動態特性。保護措施需考慮數據類型、處理者的角色、個人合理預期等多方面因素，同時隨著技術的發展不斷更新。[7]（p133）數據保護是一個持續的過程，需要管理數據的整個生命周期，包括定期檢查數據和更新隱私政策。同時，個人對數據的控制權也應隨著需求的變化而靈活調整。

（二）“權利束”視角下的數據權利

“權利束”意味著所有權不是單一的，而是包括使用權、收益權、處分權和防止侵權等多項權利的組合。考慮到個人數據權利包含人格權和衍生自數據的財產權等新型權利，“權利束”理論有助于對數據權利進行全面研究，其要求不僅要確認個人對數據的所有權，也需要明確數據的社會價值及其法律保護和限制。個人數據權利相當于一種特殊的權利束，涉及若干相互關聯的關鍵權利：一是訪問權，它保障人們能夠檢查個人數據的存儲和使用情況，不僅有助于提升數據處理的透明度和信任度，也保證了合法性，且并不妨礙數據的商業利用和合理分享。[8]（p77）二是決定權，基于個人最適合保護自身利益這一前提賦予個人對數據的自我管理權，要求在數據使用前獲得明確同意，并允許隨時撤回或反對。三是更正權，個人有權要求更正不準確的數據，以保護自己的聲譽和尊嚴。[9]（p150）四是刪除權，個人有基于特定條件請求刪除個人信息的權利，這一權利也被稱作“被遺忘權”，其目的在于解決大量信息被互聯網永久儲存使人們逐漸失去對個人信息控制的問題，體現了對隱私和個人信息權的尊重。[10]（p140）五是限制處理權。在某些特定狀況下，數據主體可要求管理者停止或限制對其信息的處理，適用情況包括數據主體對信息準確性有疑問、不同意處理但不想刪除數據或直接反對處理。六是數據攜帶權。它允許個人將其信息以標準格式從一個服務轉移到另一個服務，此權利增強了人們對自己數據的控制力度，并支持他們自由更換服務，增進了數字市場中的自主性和選擇自由性。

在個人數據權利領域，“權利束”概念強調了權利結構的復雜性，并提供了處理數據權利多樣性的框架。[11]（p90）這種思考方式有助于在特定情境下界定數據性質，為數據使用者明確如訪問、更正和刪除信息的權益。它還能讓人們根據需求，選擇性地利用這些權利，比如查看數據使用詳情或阻止信息被進一步處理。同時，“權利束”還強調在不同權利間尋找平衡，如個人隱私與公共安全的權衡。在大數據和人工智能時代，這一方法提升了個人對數據的控制力和法律保護效力，確保技術變革中個人數據權利能獲得實質性保障。但是，“權利束”理論的應用也面臨著多種限制。首先，權利束中的各種權利不是孤立存在的，它們之間可能會產生沖突，從而削弱規范的穩定性和可預期性。[12]（p30）例如，個人隱私權的保護與言論自由的權利就可能發生沖突。此時，就需要進行細致地權衡和調整，以保證二者間能夠達到合理的平衡。這就要求法律政策的制定者和執行者要有較高的判斷能力和調整能力。其次，實踐中較難的執行問題也不可忽視。技術限制、成本問題和法律執行力度不足，都有可能阻礙實際操作。比如，數據格式的標準化、系統間的互操作性等技術問題都會影響數據攜帶權的實現。再次，法律與技術的脫節也一直未被妥善解決。隨著技術的快速發展，現有的法律框架往往難以及時適應新出現的數據處理方式，導致在新的數據環境中，個人數據權利束中的權利難以得到有效的應用和實施。因此，法律和技術標準的更新需要保持快速反應，并在適當的時候做出調整。最后，跨境數據流動帶來的挑戰。不同國家和地區對個人數據權利的認識和保護水平存在差異，導致個人數據權利的保護在跨境數據流動中變得更為復雜。在全球化背景下，國際合作與協調變得尤為重要，須確保個人數據的權利在不同司法管轄區都得到有效保護。

（三）數據權利和數據權益的關系辨析

個人數據保護通常由國家法律或者地區性的法律所規范，并根據不同法律法規的具體規定，個人數據保護可以分為不同的保護等級和程度。權益和權利的受保護程度存在一定差異。通常情況下，權益的內涵比權利更加廣泛和模糊。在權利與利益的區分上，同時具備歸屬效能、排除效能和社會典型公開性的，為一種侵權法上的權利，反之則只能歸于一種利益。[13]（p111）權利通常與具體法律或者合同相關聯。個人數據保護不僅是一種權利，從《憲法》第38條“人格尊嚴不受侵犯”可抽象凝練出個人信息受保護權，并將其視為一項基本權利，需要得到高度保護。[14]（p17）個人數據保護是建立在保護個人基本權利基礎之上的，以防范個人尊嚴、自由和平等利益因信息處理而受到侵犯。[15]（p113）

在權益方面，數據中的知識產權屬于擁有者的權益范疇。個人數據保護涉及個人隱私權等方面的權益，而知識產權的運用則牽涉持有人的創造性、發明性等方面的權益。在權利方面，個人對于自己的個人數據享有控制權和決策權，有權決定是否分享個人數據及如何運用這些數據，以及禁止他人對自身隱私信息的非法訪問。當然，也有學者提出，個人信息權益并非個人信息權或個人信息支配權，個人并沒有個人信息的使用決定權，《個人信息保護法》也未建立非經同意不得使用個人數據的財產規則。數據知識產權的持有者，擁有對其知識產權的掌控權和經濟利益的決策權，可以合法地對外出售或授權他人使用。因此，個人數據法律性質的界定，應充分兼顧個人數據保護與利用等法益的均衡發展，確保個人數據擁有廣泛的內涵，具有更強的包容性，不僅考慮個人數據的保護，還需要考慮個人數據流動為促進數字經濟發展帶來的經濟效益、社會效益等公共利益。

二、個人數據權利的價值重構

個人數據的經濟價值在逐漸增長，并被積極開發。保護隱私的相關方法已不足以保障個人數據的財產權。在確保數據保護的同時，也應考慮數據經營者對個人數據合理使用的權益。

（一）個人數據權利配置的底層邏輯

制定個人數據權利法律的目標是確保數字經濟的發展不侵犯個人權益，尤其是隱私權。法律應當平衡隱私權和公共利益，并確保數據處理與保護遵循必要性和比例性原則。同時，法律應保障個人對其數據的完全控制權，包括但不限于數據的訪問、修改、刪除和轉移。當前，我國在個人數據財產保護方面的法律規范不夠完善，用戶與數據經營者的權益往往難以均衡。[16]（p156）用戶應有權決定個人數據的收集與使用，并拒絕不當的數據處理。為了利用大數據分析預測未來趨勢并促進社會福利，數據經營者也需要擁有適當的數據使用權，即在保護個人數據權利的同時，為數據處理機構確立財產權益的標準，[17]（p100）并平衡用戶、數據經營者及公共利益。在分配數據權利時，應提升個人數據的使用效率，使社會財富最大化。在科學配置個人數據權利時，應考慮數據經營者的激勵與用戶隱私風險之間，以及數據使用最大化與生產激勵之間的關系。有學者以競爭準則理論提出了科學配置個人數據權利應當考慮的兩組關系：第一，數據經營者的生產激勵與用戶個人數據侵權風險之間的緊張關系；第二，數據經營者的生產激勵與個人數據集束利用最大化之間的緊張關系。[18]（p103）此外，數據保護立法應提高透明度和問責機制，確保數據處理者提供明確信息并對處理行為負責。

個人數據既有隱私性也有財產價值，前者涉及個人獨有的隱私權益，后者關聯數據產出者的經濟利益。數字時代下，數據不僅是保護個人隱私的關鍵，也是經濟增長的重要資源。[19]（p89）因此，法律和政策應在維護隱私與促進數據流通之間找到平衡。這意味著既要確立嚴格的數據管理法規以保護個人隱私不被侵犯，同時也要鼓勵數據的合理共享以支持科技和公共服務的進步。目前的數據保護法律過分強調了公共利益，卻忽略了數據經營者的經濟權益和個人數據的商業價值。在大數據時代，需要重新思考如何平衡用戶的數據安全和數據經營者的利益，而不僅僅提供表面的數據“所有權”。在討論數據所有權時，應該考慮如何在數字經濟中合理分配資源，并重視個人的數據權利。在分配個人數據權利時，不能只關注最初的權利分配，而應考慮整個財產權的流轉過程。要平衡數據使用者和數據經營者之間的關系，確保用戶作為數據的原生產者享有適當的授權或交易權利，而數據經營者只有在獲取初始數據后，才擁有對數據庫和數據產品的授權使用權。

（二）個人數據人格化和財產化的雙重價值

在管理個人數據時，必須平衡其身份價值和經濟價值，確保個人對其數據擁有控制權，同時合理規范其商業用途。

數據初始權利配置就是為了構建數據流通利用秩序。[20]（p1416）傳統觀點認為，數據權利存在于數據之上，數據權利的主體應當歸屬于數據主體，即數據服務的用戶。但是，積累起來的海量用戶數據，也是社會財富的重要資源，將數據權利大幅偏向用戶，可能會陷入單邊保護的陷阱。由于數據權利是一種權利束，包含了人格性的個人數據和財產性的數據資產。用戶作為初始數據的主體，具有人格化和財產化的雙重價值，應當賦予用戶人格權和財產權的雙重權利。有學者對此作出細化，將其劃分為個體對數據的自主決定權益（知情、拒絕、更正、刪除）、信息安全與人格權益、[21]（p114）財產權益等。數據人格權類似于隱私權，需區分敏感個人信息和一般個人信息，在法律保護的嚴格程度上前者應嚴于后者。數據財產權則類似于所有權，用戶可對其數據進行占有、使用、收益和處分。用戶享有的數據財產權利因數據的類型與來源不同而存在較大的差異，并且受法律和有效協議的限制。用戶所擁有的數據財產權與傳統意義上的所有權相比，并沒有所有權的絕對性，個人數據主體可授權數據處理者利用數據。在相關協議有效的前提下，用戶和數據經營者在個人數據的財產權上并不互相排斥。

數據在流通與使用中體現其價值，國家政策通過“數據產權”理念來保障其安全。但在將個人數據商業化時，需遵循法律以保護隱私和個人權利。具體來說，合法、合理、透明的數據收集和使用是必需的，需征得數據擁有者的同意或有合法理由。企業須明確告知數據使用的方式和目的，并確保目標明確。同時，在數據商用時，企業要考慮數據擁有者的權益，采取措施防止數據泄露和濫用。[22]（p96）數據擁有者有權修改、刪除或限制其數據的處理，甚至在某些情況下反對使用。跨境數據傳輸時，要確保數據在他國受到原產國同等的保護，并遵守國際協議及各地數據保護法規。在分配個人數據權利時，則應平衡個人與商業利益，保護不同參與方的合法權益，促進合規流通和高效使用，以實現最大化的價值和最小化的風險。

（三）個人數據的價值再創造

個人數據的重新利用能直接產生經濟價值。數據所有權實際上是一種調節數據使用權益的機制，其價值在于使用而非擁有。[23]（p90）數據管理者通過收集和分析用戶數據，生成有經濟意義的信息資產，這是技術加工后的成果，也使得他們成為數據的生產者。[24]（p119）然而，如果這些經營者所依賴的數據權益僅源于用戶授權，那么對他們的法律保護相對薄弱。為了保護數據經營者的權益并推動數據產業的發展，應建立對其有利的財產權制度。理論上，數據管理者的財產權可以分為數據經營權和數據資產權。國家已出臺政策建立了數據資源持有、加工使用和產品經營等分離的產權機制，其重點在于使用權的流通而非所有權。[25]（p32）即為避免數據經營的過度競爭并確保數據安全，國家特別賦予了數據管理者經營數據產品的權利。

當數據管理者通過對數據的再加工創造出價值后，這些數據產品就具有了獨立性，并形成了一種新的財產權——數據資產權。這種權利屬于數據管理者，使其擁有對數據產品的完全控制，包括擁有、使用、加工、盈利和處理的權利，但這些權利不應超出用戶授權的范圍。數據資產權具有排他性，能讓企業的數據財產有別于普通數據使用權，并保護其免受第三方的非法使用或竊取。[26]（p57）這種權利是促進數據產業發展的關鍵保障。然而，企業如果濫用這種獨占權來最大化利益，而不是優化數據資源的使用，則可能會損害社會的整體福祉。因此，建議為數據管理者的獨占使用設定時限，期限過后數據則進入公共領域。在設計數據資產權時，可適當引入工業產權的規則，鼓勵數據流動、公共使用與再創造。[27]（p68）

三、個人數據權利保護的立法實踐與困境

個人數據的快速增長和應用的擴展迫切要求立法來保護數據權利。法律旨在協調數據流通和個人隱私安全，從而既支持數字經濟的發展也保護公民的信息權益。但實踐中，相關立法遇到了多方面的挑戰。

（一）個人數據權利保護的二元格局

我國數據安全法律體系由《數據安全法》《民法典》《網絡安全法》和《個人信息保護法》構成，涵蓋了數據安全的多個方面。《數據安全法》主要規范數據處理，旨在保護數據安全及促進其合理利用，同時保障個人和組織的權益，并維護國家利益。《民法典》則將個人數據權益分為人格權和財產權，在避免數據保護影響工作開展的同時，為數據保護提供法律依據。[28]（p8）《網絡安全法》要求網絡運營者確保網絡安全，避免數據泄露和丟失，并明確數據安全包括數據的完整性、保密性和可用性。《個人信息保護法》強調數據處理活動的合法性、透明性和公正性，并增強個人對其數據的控制權，如在電商交易中，需要獲得用戶明確同意才能使用其個人信息。除此之外，還有一些細化了個人數據權利的具體規范性文件，如《互聯網信息服務算法推薦管理規定》《網絡安全審查辦法》等。

地方的數據立法呈現出各自的特色和發展差異，不僅表現在法律內容和關注重點上，也體現在實際操作和創新方向的選擇上。地方數據立法不僅是地方對中央政策的落實，也是地方政府在數據管理領域的嘗試，有助于解決國家法律對地方特殊需求處理不足的問題。例如，《數據安全法》要求各地制定本地區和行業的關鍵數據目錄并細化法律實施，對目錄中的數據加強保護。地方在立法上有一定自主權，國家允許地方對某些法律條文進行試點。《浙江省數字經濟促進條例》就是我國首部旨在推動數字經濟發展的地方性法規，其明確了數字經濟的定義，強調了數字技術在社會管理和公共服務提升中的作用，展現了地方立法的前瞻性和適應性，并推動了地方政府在數據管理領域的創新。自《數據安全法》實施后，山東、上海、深圳等地先后出臺了相關地方條例，既規范了數據治理，又為數字化轉型創立了包括數據開放和交易在內的創新機制。這些條例在總結本地經驗的同時，也為國家層面的數據立法提供了經驗。

（二）個人數據權利保護的立法難題

1.個人數據產權難以清晰界定

個人數據有著巨大的商業潛力，但我國的數據產權法律發展遠落后于數據產業的增長。合理的所有權授予可解決市場失效問題，數據屬于用戶這一觀點賦予了數據生產者合法權利。然而，過分偏向用戶權益可能造成單邊保護。從勞動價值的角度看，數據生產者理應擁有數據權。因此，需要將數據視為一種新型財產，確保數據生產者的權益優先。另一種觀點認為，應將產權給予能最大化利用的一方以提升經濟效率，即將數據產權劃分給收集數據的企業，才能最大程度地提高數據利用效率，故應賦予數據控制者對數據的絕對所有權。但如果數據的主體和控制者分享數據權，則會因產權不明而導致法律關系混亂等問題。況且，基于企業為采集和管理數據而投入的巨大成本，其合法權利應當得到法律的認可，以激勵其有效發揮數據的規模經濟和范圍經濟。不清晰的數據產權界定，會導致掌握大量平臺用戶數據實際控制權的互聯網企業野蠻生長。當前，憑借巨大的數據流量資源，我國互聯網企業信息壟斷現象愈演愈烈，引發了所謂“大數據殺熟”、威脅式收購和惡性競爭問題。部分互聯網企業基于商業秘密和消費者保護的考量，限制數據流出，在一定程度上造成了數據對接與管理障礙。

2.個人數據市場交易缺乏有效規制

數據資源已成為重要的戰略資源和生產要素，數據信息具有天然的流通需求。隨著個人數據商業價值的不斷攀升，越來越多的企業開始收集和使用個人數據，并通過交易獲得收益。然而，我國個人數據交易和流通的法律規則不夠完善，缺少明確的法律界定、權益歸屬以及交易過程中的合法性審核機制。當前關于數據市場的探索，也只是將數據產品與數據本身加以區別，只針對數據處理者研發的數據產品的定價、交易等市場機制進行探索。[29]（p27）雖然《個人信息保護法》《數據安全法》等法律對個人信息的收集、存儲、使用等環節有相應規定，但是在數據交易層面，尚缺乏專門且細化的法律條款來規范市場行為，尤其是在數據交易中介機構的資質認證、交易行為的透明度、數據交易后的責任追究等方面的法律規制是不足的。由于缺乏有效的市場規制和監督機制，數據的買賣過程往往缺少必要的透明度和可追溯性，給數據的安全帶來極大風險。市場主體在數據交易中往往過于追求經濟利益，忽視了對個人數據權利的尊重和保護。此外，數據交易的復雜性和跨境性使得監管難度加大，相關的法律法規跟不上技術的發展和市場的需求，難以對數據買賣中可能出現的新型違法行為進行有效地法律制裁和道德約束。實踐中，這些問題已經引發了一系列的社會問題和法律糾紛。數據交易市場的不透明和監管的缺失，不僅使得個人信息容易被濫用和泄露，也為不法分子提供了可乘之機，增加了數據安全事故的發生概率。Uber數據泄露事件就是個人數據交易缺乏有效規制的一個縮影。這類事件不僅損害了個人的隱私權和其他相關權益，也破壞了企業的品牌信譽，擾亂了市場秩序。

3.用戶自主權的削弱：知情權與選擇權的空洞化

我國個人數據保護制度雖已有一定的法律框架，但在具體實施和操作層面上仍存在明顯缺陷。首先，個人數據的私密性、多樣性和價值性提出了更高的法律要求。在數據收集過程中，法律規定的“告知—同意”程序很容易形式化，用戶在實際操作中往往處于信息不對稱的弱勢地位，無法完全理解自己數據被收集、使用的后果，因此“脅迫同意”現象普遍存在。這種狀況在各種在線和離線的應用場景中都很常見，用戶的知情權和選擇權被架空，個人數據的去向和使用目的缺乏足夠的透明度。其次，隨著互聯網技術的飛速發展，個人數據跨境傳輸變得日益頻繁，這就需要有共同的法律規則和協調機制，但目前國際上相關的專門性立法不足，有效的國際規則缺失，使得個人數據在全球范圍內的保護面臨巨大挑戰。跨境數據流動的安全性、合法性和監管的可行性問題尚未得到妥善解決。再次，在大數據和算法驅動的商業模式下，網絡平臺對用戶進行的“個性化推薦或營銷”活動背后依賴的是對用戶個人數據的深度挖掘和分析。這種精準畫像可能帶來侵犯個人隱私權和自主權的風險。盡管這種商業實踐可以提升用戶體驗，但在缺乏有效監管的情況下，數據經營者可能超出了用戶的預期和同意范圍，進行過度收集、濫用甚至未經授權使用個人數據。最后，數據利益的驅動使得一些企業在用戶不知情的情況下，對其個人數據進行整合、歸納和分析，以達到用戶精準畫像的效果，[30]（p90）這種做法是否侵犯了個人權益，當前法律尚無明確界定。用戶對于自己的數據被用于何種程度的商業利用缺乏必要的知情權和控制權，數據保護法律的漏洞使得個人難以對自己的數據進行有效的自主管理。

四、個人數據權利保護的立法規范進路

（一）對數據產權進行類別化規制

1.明確數據產權的界定與分類

信息時代，數據是寶貴的資產，需要明確產權歸屬和分類，為立法提供依據。[31]（p10）個人數據既關系到隱私權，也具有經濟價值。因此，數據產權的制定要平衡隱私保護和經濟利用之間的關系。筆者認為，可將個人數據產權劃分為三類：一是核心數據產權，保護個人敏感信息，如生物識別和醫療數據；二是基礎數據產權，涉及姓名和聯系方式等基本信息；三是衍生數據產權，包括購物習慣等加工信息。立法者應為這些類別制定不同保護措施，確保數據被合理使用，同時保護個人隱私。對于核心數據產權，法律應限定其處理的條件和范圍，強調個人同意的必要性；對于基礎數據產權和衍生數據產權，則可以通過制定明確的處理和使用規則，以及對使用權限的限制來實現保護。在制定相關立法時，還需考慮數據的動態性和隨技術進步可能發生的變化，確保數據產權的界定與分類具備適應性和時效性。

2.明晰不同數據類別的權利界限

對數據產權進行類別化規制的具體措施應當依據數據的不同類別來建立相應的法律規范和實施細則，這需要從立法層面明確不同數據類別對應的權利界限和保護標準。

為確保對核心數據產權的保護，我們需設定嚴格的數據訪問條件。這包括獲取數據時必須得到數據所有者明確的同意，并確保他們完全了解數據的使用目的、范圍及潛在風險。使用核心數據應限于必要且明確的目標，并進行詳細界定。除非重新獲得所有者的許可，否則使用數據不得超出原定目的。推崇采用最少必要原則，即僅處理達成目標所需的最少量數據。同時，需要配套實施高水平的安全措施，如使用加密技術來保護數據安全，并采取嚴格的訪問控制，確保只有被授權人員能夠訪問數據，且違反數據權益的行為必須承擔法律責任。在基礎數據產權的保護方面，由于商業數據中含有大量用戶信息，企業在利用數據創造經濟價值時，不應損害用戶的個人權益。[32]（p37）數據處理者要確保收集的個人數據準確無誤，并負責對錯誤或過期信息進行更正，即數據處理者須在數據生命周期內設定清晰規則，比如確定數據保留期限，并在期限結束后自動刪除數據，或在數據主體撤回同意時清除數據。此外，數據處理者在收集數據前需明確告知數據的收集、使用及共享目的、方式和范圍，并通過隱私政策和用戶協議讓數據主體在提供個人信息前充分知悉數據的用途。對于衍生數據產權，應采用匿名化技術去除數據中的個人身份信息。同時，通過數據使用報告，讓個人了解其數據的收集目的、使用情況和共享對象。此外，還可考慮使用區塊鏈等技術追蹤數據的使用情況，以及完善知情同意機制，讓個人可根據不同場景選擇是否同意使用數據，并可定期修改選擇。

（二）構建開放和公正的數據交易市場

搭建數據交易市場的法律架構首先要確立數據交易的基本原則和規范。這包括數據所有權的歸屬、交易雙方的權利和義務、數據的分類與分級管理，以及數據交易的透明度和公平性。在這些原則的指導下，法律架構應包括以下關鍵要素：第一，數據主權及歸屬認定。立法應界定個人數據的產權歸屬，保障數據主體對其個人數據具有基本控制權，確保數據主體在數據市場中的權利能得到認可和保護。第二，數據交易許可體系。即建立一套數據交易許可的制度，規定哪些數據可以交易以及如何交易。比如敏感數據的交易可能需要更嚴格的審查和更高的交易條件，而非敏感數據的交易則可適用較為寬松的規則。第三，交易雙方的責任與義務。交易雙方的責任與義務規定需包括數據提供者必須保證數據的真實性、合法性，數據買家應遵守數據使用范圍、目的等限制，并對數據的進一步使用負責。第四，數據隱私保護和安全保障。應當建立數據源頭收集的許可制度，構建以數據生命周期為核心的制度。[33]（p1170）法律架構中還應包含強制性的隱私保護措施，如數據處理前的匿名化處理等，以確保數據在傳輸和存儲過程中的安全性。第五，違約和糾紛解決機制。通過建立明確的違約責任規定和糾紛解決機制來處理數據交易可能出現的違規行為和糾紛，保護交易各方的合法權益。

（三）完善不同場景下數據權利的保護舉措

數字化時代，個人數據的收集和使用見諸生活的各個領域，其中一些特定場景由于其數據敏感性或使用方式的特殊性，需要采取嚴格的數據權利保護措施。[34]（p59）結合我國現實國情，針對特定場景中的個人數據權利保護，可采取如下措施：第一，在醫療領域，患者的健康數據是極其敏感的個人信息，法律必須明確這些數據只能用于改進醫療服務，嚴禁用于未授權的商業利益、數據挖掘等無關活動。違規使用者將受到法律制裁。同時，醫療信息需通過高級別安全系統加以保護，嚴格控制數據訪問權限，確保僅醫療人員在必要時才能查看。訪問健康數據時，需要嚴格的身份驗證和明確記錄以便審查。存儲和傳輸時，應使用高強度加密手段保證數據安全。同時，建立完善的數據生命周期管理，確保從生成到銷毀的每個階段都有嚴格規范。第二，在金融領域，法律應確立，強制金融機構對客戶資料實行頂級保密措施，包括高級端到端加密和多重身份驗證。同時，定期由獨立第三方進行安全審計，以保持安全措施的更新和有效性。在推動技術創新服務的同時，金融機構要注意保護用戶隱私，防止數據誤用。第三，在社交媒體領域，立法應強制社交平臺公開透明地說明數據收集的細節，包括目的、使用方式、存儲期限和方法。同時，用戶應能便捷地管理自己的數據，包括訪問、編輯、刪除或導出，以及設置信息共享偏好等。法律須確保平臺提供必要工具讓用戶控制隱私，如定期隱私設置提醒和提供易懂的隱私保護指引。社交媒體要采用數據最小化原則，僅收集必需數據，并采取措施保護數據安全，如違反數據協議，社交媒體需承擔法律責任。

五、結語

隨著數字化進程的加速，個體對數據的自主管理和數據在全球的自由流通變得尤為重要。數據不僅是經濟增長的重要資源，其全球流通性也對價值實現有顯著影響。[35]（p140）個人數據既是資產也涉及權利，若僅關注其經濟性，可能會忽視公平分配和尊嚴保護等核心價值。[36]（p121）因此，確立數據權屬并規范各方行為至關重要。然而，若單方面強調過嚴的保護措施或忽視信息處理者的責任，則會導致高昂的治理成本和效率低下。正確的做法是平衡二者之間的關系。在法律層面，《數據安全法》《民法典》《網絡安全法》《個人信息保護法》等法規為保護個人數據提供了依據，地方也陸續通過立法的形式對個人數據加以保護。盡管立法進行了跟進，數字化依舊帶來了新挑戰，仍需更精細的法規和倫理指導原則來確保決策的公正、透明和可追溯。中國愿與各國共享信息革命的機遇，共創數字合作新局面，因此在國際層面，個人數據權利的合作與立法將是關鍵，尤其在處理跨境數據流動時，需協調各國法律以保障個人數據的安全流通。

參考文獻：

[1]王利明.和而不同：隱私權與個人信息的規則界分和適用[J].法學評論，2021，（2）.

[2]管榮齊.論數據保護的法律邊界[J].知識產權，2023，（11）.

[3]周斯佳.個人數據權與個人信息權關系的厘清[J].華東政法大學學報，2020，（2）.

[4]胡文濤.我國個人敏感信息界定之構想[J].中國法學，2018，（5）.

[5]程嘯.個人數據授權機制的民法闡釋[J].政法論壇，2023，（6）.

[6]夏志強，閆星宇.作為漂流資源的個人數據權屬分置設計[J].中國社會科學，2023，（4）.

[7]許可.論個人數據權利的堆疊規范[J].法學評論，2023，（5）.

[8]王洪亮，葉翔.數據訪問權的構造——數據流通實現路徑的再思考[J].社會科學研究，2023，（1）.

[9]葉名怡.論個人信息權的基本范疇[J].清華法學，2018，（5）.

[10]陳娜，王璇.被遺忘權法律保護研究[J].湖北社會科學，2016，（12）.

[11]許可.數據權利：范式統合與規范分殊[J].政法論壇，2021，（4）.

[12]許可.從權利束邁向權利塊：數據三權分置的反思與重構[J].中國法律評論，2023，（2）.

[13]于飛.侵權法中權利與利益的區分方法[J].法學研究，2011，（4）.

[14]王錫鋅，彭錞.個人信息保護法律體系的憲法基礎[J].清華法學，2021，（3）.

[15]劉權.個人信息保護的權利化分歧及其化解[J].中國法律評論，2022，（6）.

[16]張新寶.論作為新型財產權的數據財產權[J].中國社會科學，2023，（4）.

[17]袁文全，程海玲.企業數據財產權益規則研究[J].社會科學，2021，（10）.

[18]黃锫.大數據時代個人數據權屬的配置規則[J].法學雜志，2021，（1）.

[19]彭誠信.論個人信息的雙重法律屬性[J].清華法學，2021，（6）.

[20]高富平.數據流通理論" 數據資源權利配置的基礎[J].中外法學，2019，（6）.

[21]程嘯.論大數據時代的個人數據權利[J].中國社會科學，2018，（3）.

[22]張倩雯.數據跨境流動之國際投資協定例外條款的規制[J].法學，2021，（5）.

[23]于施洋，王建東，黃倩倩.論數據要素市場[M].北京：人民出版社，2023.

[24]姚佳.企業數據的利用準則[J].清華法學，2019，（3）.

[25]高富平.數據持有者的權利配置——數據產權結構性分置的法律實現[J].比較法研究，2023，（3）.

[26]龍衛球.再論企業數據保護的財產權化路徑[J].東方法學，2018，（3）.

[27]龍衛球.數據新型財產權構建及其體系研究[J].政法論壇，2017，（4）.

[28]季衛東.數據保護權的多維視角[J].政治與法律，2021，（10）.

[29]黃倩倩，王建冬，陳東，等.超大規模數據要素市場體系下數據價格生成機制研究[J].電子政務，2022，（2）.

[30]丁曉東.用戶畫像、個性化推薦與個人信息保護[J].環球法律評論，2019，（5）.

[31]王軼.民法典編纂爭議問題的類型區分[J].清華法學，2020，（3）.

[32]馮曉青.知識產權視野下商業數據保護研究[J].比較法研究，2022，（5）.

[33]范江波.以個人數據權益保護為核心的大數據權益保護研究[J].信息安全研究，2021，（12）.

[34]張濤.個人信息保護的整體性治理：立法、行政與司法的協同[J].電子政務，2023，（6）.

[35]梅傲，張涵鑫.從SCCs到IDTA：歐洲個人數據跨境傳輸規則調整及中國應對[J].中國行政管理，2023，（2）.

[36]申衛星，李夏旭.個人數據所有權的賦權邏輯與制度展開[J].法學評論，2023，（5）.

責任編輯" "王" "京