數據確權協商機制的構建

摘 " "要：作為新型生產要素，數據的重要性不言而喻，但權屬不清或產權不明影響數據效能發揮，阻礙數字經濟發展。就概念界定而言，數據是信息的載體和表現形式，二者通過數字技術相互聯結、相互貫通。現行規則下，無論是物權法模式，還是知識產權法模式，抑或是競爭法模式，都存在明顯弊端，實不足取。究其根本，數據是一種生成品，其生成場景表現出多元化特征。鑒于此，數據產權應當歸數據來源者和處理者等參與數據生成的主體所有，并且可以通過構建分散式、低成本的協商機制加以確定。與此同時，為保證確權協議格式條款的協商屬性，宜對數據進行分類分級。一方面，以數據來源者為標準，將數據分為個人數據、企業數據以及公共數據；另一方面，以數據安全風險為標準，將數據分為由低風險至高風險的五級數據。

關鍵詞：數據要素；數據確權；協商機制；多元生成場景；分類分級

中圖分類號：D 913 " " "文獻標志碼：A " " " " 文章編號：2096-9783（2024）02?0031?10

2019年10月，中共中央出臺文件，首次將數據列為與土地、勞動力等并行的生產要素。半年后，中共中央、國務院又相繼發布《關于構建更加完善的要素市場化配置體制機制的意見》《關于新時代加快完善社會主義市場經濟體制的意見》，兩份文件均提出要加快培育數據要素市場。數字經濟時代，數據的稀缺性和價值屬性日益凸顯，被譽為“21世紀的石油和鉆石礦”。然而，權屬不清或產權不明卻讓數據交易受限，極大影響著數據效能的發揮，成為阻礙數字經濟高質量發展的“攔路虎”。例如，企業之間因利益導向不同而引發的數據爭奪愈發激烈，通過非法手段抓取對方數據的不正當競爭行為甚為普遍；又如，相較于企業，個人通常處于弱勢地位。一旦個人數據被企業掌握，便難以與企業分享數據處理所產生的增值收益。實踐中，數據泄露、破壞、濫用等侵害個人數據權益的情形屢見不鮮，由此引發確定產權歸屬、強化數據控制的強烈訴求。2022年12月20日，《關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱《數據二十條》）正式發布，明確提出要建立“保障權益、合規使用的數據產權制度”，并在此基礎上創造性地構建起結構性分置制度。可見，完善數據權屬分配規則已經在中央層面形成高度共識，成為整個數據基礎制度體系構建的邏輯起點[1]。不過，確權雖是數據市場化配置的基礎，但也是難題。當前世界各國法律都未完全明確數據的產權歸屬，我國亦如此[2]。一方面，立法層面暫無全國性的法律、行政法規對數據權屬作出專門規定，上海、重慶、深圳等地的地方性法規也只是進行了初步探索；另一方面，置于現行規則下進行考察，既有確權模式多有不周之處，難以滿足實際需要。正因如此，本文致力于為數據確權提供可行性解決方案，希望能為理論界和實務界提供有益參考。

一、必要前提：數據概念的厘清

概念乃是解決法律問題所必不可少的工具，沒有限定嚴格的專門概念，我們便不能清楚地、理性地思考法律問題[3]。鑒于此，在對數據進行確權之前，有必要厘清數據概念，明晰內涵和外延。唯有如此，方能深入推進數據確權研究，助力數據權屬制度的構建。

數據，英文為“Data”，來源于拉丁文“Dare”，本意為某種現象所能“給予”的東西。在漢語語境下，受個體認知差異、考察角度不同、數據本身的抽象性等多種因素影響，對“數據”概念的闡釋百家爭鳴，并無一致認可的定義。首先，在數學領域，數據有“以數為據”之意，也就是由各類數字組成的集合；其次，著眼于經濟學視角，數據具有非競爭性和部分可排他性，唯有與其他資源協同方能促進生產力發展[4]；最后，作為計算機術語，數據又是所有能輸入計算機并被計算機程序處理的符號介質的總稱，是在二進制基礎上以“0”和“1”表現出來的比特形式[5]。作為數字經濟的關鍵生產要素，數據同樣受到法學界的廣泛關注。然學者們對于數據概念的理解大多遵循理工科的定義、邊界與范式，至多在理工科概念框架內增添一點法學學科的特色語詞，進行某種嫁接式的“二次開發”[6]。實際上，數據概念的多樣性和差異性僅具形式意義，各定義之間仍保持著內在一致性和共同性。究其根本，數據是對不同來源信息的記錄，是信息得以存儲、傳播和利用的載體。正如《中華人民共和國數據安全法》（以下簡稱《數據安全法》）第三條第一款所規定，“數據是指任何以電子或者其他方式對信息的記錄。”數據與信息具有天然的聯系性，也正因如此，數據和信息常被模糊性通用，這不僅會對法律論證造成困擾，還會引發權利設定偏差。例如，2016年《中華人民共和國民法總則草案》（一審稿）第一百零八條便將“數據信息”認定為知識產權客體。又如，2022年《最高人民法院關于適用〈中華人民共和國民事訴訟法〉的解釋》第一百一十六條亦將電子數據界定為“通過電子郵件等形成或存儲在電子介質中的信息”。另外，包括德國、英國、法國在內的歐盟成員國也多以“Data Protection”指代“個人信息保護”[7]。

根據2023年3月17日由國家市場監督管理總局、國家標準化管理委員會聯合發布的《數據質量 第8部分：信息和數據質量：概念和測量》，信息是“關于客體的知識，在一定的場合中具有特定的意義”，而數據則是“信息的可解釋形式化表示，以適用于通信、解釋或處理”。應當說，信息是內容、知識等，其功用在于解決不確定性[8]；而數據是信息數字化過程中的主要承載方式，信息內容以數據形式加以呈現，二者構成本體和載體、內容和形式的關系[9]。無論是信息的產生和傳播，還是信息的處理和保護，都無法脫離數據而獨立為之。當然，基于計算機技術特性，數據本身又可直接成為信息本體而呈現出一定的獨立性，二者構成直接對應關系。以此為基礎，數據與信息在產生時間上并無絕對的先后之分，故而有別于傳統信息理論所提出的“信息先于媒介而存在”的論述。在某些特定情形下，數據亦可先于信息而存在。進而言之，信息是數據的來源，但數據又可產生新的信息。例如，海量儲存在Cookie里的網絡行為數據即體現為用戶的網絡行為信息，這種網絡行為數據正是大數據的基礎形式，也是網絡數據具有市場價值和潛力的來源[10]。另外，有信息一定有數據，而有數據卻不一定有信息，因為數據本身可能只是無意義的字符或代碼。

有別于紙張、磁帶、磁盤等傳統信息載體，數據與信息的區隔和關聯以數字化為背景。2021年3月11日，《國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》正式對外發布。該文件首次提出“數字中國”概念，并在第五篇中詳細闡述了數字中國內涵，包含數字經濟、數字社會、數字政府以及數字生態等諸多方面。另外，為加快推進數字中國建設，中共中央、國務院于2023年2月27日印發《數字中國建設整體布局規劃》（以下簡稱《規劃》）。《規劃》明確提出了一系列新的目標任務和戰略部署，保證了數字中國建設的整體性、系統性和協同性。不同于通常理解的阿拉伯數字，數字化背景下的“數字”更確切地說應該是一種基于二進制編碼的數字技術（Digital Technology），涵蓋數字通信、數字交通、數字金融、數字醫療等各領域。一方面，借助數字技術，包括圖、文、聲、像在內的各類信息被解構為以二進制數字“0”和“1”形式呈現的電子數據，進而能被電子計算機所識別；另一方面，利用數字技術，電子數據又能被計算機深度加工、處理和傳送。總體而言，數字技術精準、高效、可靠，但僅具有工具屬性。與之不同，數據內涵則更為豐富，其上承載著一定利益，需要法律規制。以數據為基礎，數據權利、數據行為、數據權益等概念應運而生，并共同構成一個完整的數據制度體系。

二、現行規則：既有模式的考察

在現行規則下，以法律部門為視角來對數據確權模式進行考察，主要存在物權法模式、知識產權法模式以及競爭法模式。倘若利用現行規則即可解決數據確權難題，那么數據確權便不再是一個問題。然遺憾的是，現行規則緣起于工商業時代，滯后性和遲效性使其無力解決數字經濟時代的問題。進而言之，既有確權模式只能非常有限地回應數據權利的實質性訴求，但無法全面涵蓋新興的數據確權需要[11]。

（一）物權法模式

適用物權法，對數據屬性的判斷尤為重要。倘若數據非物權客體，難以成為物權法上的“物”，則顯然無法采行物權法模式。對于這一問題，自2003年“李宏晨訴北京北極冰科技發展有限公司娛樂服務合同糾紛案”1開始，便引發理論和實務界熱議。但正如前文所述，立法層面始終未對數據屬性作出明確規定。通說認為，物權法上的物緣起于羅馬法，是除人之身體外，能為人力所支配，獨立滿足人類社會生活需要的有體物及自然力[12]。至于專利、商標、著作等無體物，則由專門法律加以規定，不屬于物權法的調整范圍，一般也不視為物權法上的物。一方面，物具有特定性，能為民事主體所獨占；另一方面，物具有獨立性，能在物理、觀念、法律上與他物區隔開來[13]。然數據并不符合上述物之特性。首先，數據天然具有可復制性、易流通性、多共享性等特點，其價值亦在共享和流動中得到彰顯和提升。基于此，多個不同主體常享有同一數據，而這顯然有悖于物的特定性；其次，前已述及，數據是信息數字化過程中的主要承載方式，信息內容以數據形式加以呈現。然數據在形式上也不過是以“0”和“1”的組合表現出來的比特流，只能依附于電腦終端、服務器、存儲設備等通訊介質進行生成、流動和存儲，一旦脫離相關載體，數據將無法顯現[14]。準此以言，數據亦不具有物之獨立性。數據確權難以適用物權法模式，會陷入兩難困境。就數據的公私屬性而言，既可具有公共性，亦可具有私有性，還可公私兼有。一方面，數據的公共性并不意味著數據公有，而只是相對于他種性質的數據，在處理方面設置條件，從而區別于國家所有的財產。正如赫拉利所言，若將所有數據公有化，則可能面臨公權力過大的問題，故有必要予以限制[15]。另一方面，數據的私有性實際上便是上文所提及的數據所有權，特別是個人對個人數據的所有權[16]。顯然，數據所有權的絕對排他性與“多個不同主體常享有同一數據”的實際不相適應。另外，根據物權法“一物一權”原則，一物之上不能同時設立兩個或者兩個以上在性質上相互排斥的物權。由此可見，一旦同一數據上并存多個數據所有權，將有違物權法上的基本原則。

（二）知識產權法模式

由《中華人民共和國民法典》（以下簡稱《民法典》）第一百二十三條可知，知識產權客體包括作品、發明、商標等智力成果。兩相比較，數據與知識產權客體具有相似性。一方面，數據與知識產權客體都具有無形性、可復制等特征，也都不被視為物權法上的物；另一方面，數據與知識產權客體都以社會勞動為基礎，具有鮮明的勞動本源性[17]。鑒于此，實踐中適用知識產權法對數據加以保護的情形較為常見。除此之外，《知識產權強國建設綱要（2021—2035年）》《“十四五”國家知識產權保護和運用規劃》等文件都提出要構建數據知識產權保護規則，上海、浙江、深圳等地也都率先探索建立數據知識產權制度[18]。遺憾的是，現階段知識產權法模式難以實現對數據的全方位保護。首先，數據和知識產權客體尚且存在本質區別。例如，數據可同時由多個主體開發利用，而知識產權客體作為獨創性的智力成果，主體較為單一、特定。再如，權利人對知識產權客體的獨占使用具有一定期限，而數據則可以由數據主體永久使用，也難以發生自然滅失[19]。其次，知識產權法模式的適用條件較為嚴苛，并非任何數據都符合條件。例如，在現行知識產權法律體系內，著作權法主要對匯編數據進行保護。但匯編數據既要滿足匯編作品的形式要求，只能為數據集合而非數據個體；又要滿足匯編作品的獨創性要求，缺乏獨創性的數據集合則不予保護[20]。最后，知識產權法模式的適用范圍相對有限。除著作權法保護匯編數據外，只有可歸為商業秘密的數據才受商業秘密保護以及結構化數據受數據庫保護。根據《中華人民共和國反不正當競爭法》（以下簡稱《反不正當競爭法》）第九條規定，商業秘密具有秘密性、價值性、實用性、管理性等特征，實踐中，具備以上特征的數據實為有限。與此同時，數據庫緣起于域外立法實踐，而我國的數據庫法律制度尚付之闕如。無論是數據庫的概念界定，還是數據庫制作者的權益保障都不甚明朗，顯然無法滿足數據確權的實際需求。

（三）競爭法模式

實踐中，對于數據爭議，不少案例都援引《反不正當競爭法》第二條進行裁判。該條系認定不正當競爭行為的一般條款，除了混淆行為、商業賄賂行為、虛假宣傳行為等明文規定的不正當競爭行為，只要經營者行為符合一般條款之規定，即認為構成不正當競爭。對此，在“新浪訴脈脈案2”中，法院將一般條款予以細化，認為不正當競爭行為須違反誠實信用原則和商業道德，不屬于行業慣例，并且有損公平的市場競爭秩序和競爭利益。基于此，在“淘寶訴美景案3”中，法院徑直認為案涉數據產品能帶來商業利益與市場競爭優勢，故數據產品開發者所享有的財產權益應為競爭性財產權益。然而，《反不正當競爭法》第二條本身具有較大的解釋空間，即便司法實務中已總結出認定要件，但不確定性依然存在。此種情況下，法官享有很大的自由裁量權，而這無異于適用公平原則解決數據爭議，某些數據的合理使用行為很可能會被視為不正當競爭行為[21]。從域外立法實踐來看，數據之上的競爭性法益非但未獲得普遍認可，阻礙他人獲取數據反而可能構成不正當競爭。另外，適用競爭法的前提是數據主體須為具有競爭關系的經營者，而在實踐中，數據主體可能并非經營者或者不具有競爭關系。倘若不當擴大競爭法的適用范圍，不僅無法規范數據利用的具體行為，亦無法對數據侵權作出具體認定并救濟，競爭法的立法目的也將無法實現。

三、另辟蹊徑：多元生成場景下的協商機制構建

（一）數據是一種生成品

在經濟學上，生產要素是進行生產活動所投入的各種社會資源，現階段主要包括上文提及的土地、勞動力、資本、技術和數據。從生產要素的來源看，其可能是天然形成，本身具有一定自然稟賦，土地、礦藏、水流等自然資源即屬此類。與此同時，作為投入品的生產要素也可能是另外一個生產過程的生成品，資本、知識、信息便屬于生成品的范疇。此種情況下，生產要素不同，確權方式亦有所區別。一方面，自然稟賦的權屬配置依賴于特定的歷史文化條件和經濟發展水平，社會制度和傳統往往起著決定性作用。例如，根據《中華人民共和國土地管理法》第二條之規定，當前我國實行土地的社會主義公有制，土地由國家或集體所有。而回顧我國的土地制度歷史演變過程，除公有制外，尚且存在共有制、井田制、私有制、均田制等多種形態；另一方面，出于利益衡量的考慮，生成品上負載的初始權利理應根據產前協議加以確定，并歸屬于參與生產的各方主體。

就數據而言，有論者將數據視為經濟活動的“副產品”，是在開展主營業務過程中附帶形成的。例如，網頁瀏覽記錄雖源自于瀏覽網頁的行為，但瀏覽網頁顯然不是為了獲得網頁瀏覽記錄，該類數據非由個人控制或發揮主觀能動性所創造[22]。然筆者認為，數據是一種生成品，是資金、技術和勞動力投入的結果。前已述及，信息和數據之間構成本體和載體、內容和形式的關系，盡管每天都會產生數以億計的信息，但并不是所有信息都能轉化為可利用、可流通的數據，需要對信息予以處理。否則，海量信息難被利用。再以網頁瀏覽記錄為例進行說明，瀏覽網頁本質上并不會留下痕跡，之所以存有記錄，也主要依靠平臺經營者對行為信息的收集。當然，收集和處理信息是一個成本投入的過程，不僅需要較為完備的數據基礎設施，還需要大量數據開發人員，亦需要充足的資金支持。通說認為，數據質量的評判標準包括準確、有效、完整、一致、可靠以及可理解等六個方面，而投入的成本越高，便越可能達標。從信息到數據，信息是生產要素，數據則是經過一系列轉化處理后得到的生成品。

數據生成通常涉及兩類主體，一是產生并提供信息的數據來源者，以自然人為主，但也包括企業、黨政機關等非自然人；二是數據處理者，也就是在數據處理活動中自主決定處理目的和處理方式的企業、科研機構或者政府部門。實踐中，數據來源者發揮主觀能動性生成數據的情形甚為普遍，例如自行編輯并發布朋友圈、在各種軟件上評論留言、在短視頻平臺上創作視頻等。這類數據往往凝結著數據來源者的智力勞動，理應受到財產權保護。美國紐約的Datacoup公司便推出信息采集會員制服務，注冊用戶通過提供自己的社交媒體賬戶和在線支付數據，可以獲得每月8美元的報酬。不過，亦有學者認為數據處理者在處理以上數據時已通過用戶協議取得有效授權，倘若再賦予財產權，將會增加交易成本并阻礙數據流通。然而實際上，多數用戶協議不但繁雜冗長，更是存在不平等條款。倘若數據來源者不同意此類用戶協議，便無法享受各項服務。很多情況下，用戶協議都是“非自愿同意或確認”。可見，單純依靠用戶協議并不足以為數據來源者提供充分保護，需要另外確認其享有相關的數據財產權益。

總的來說，無論是數據來源者，還是數據處理者，都付出一定勞動，參與數據生成。此種情況下，數據產權理應歸數據生成參與者所有，并按照貢獻率確定權利范圍。一方面，早在啟蒙運動時期，洛克就提出了勞動賦權理論，其認為勞動為人所特有，是財產權賦權最本質的原因。也就是說，人可以通過勞動獲得物的排他性權益。數字經濟時代，勞動賦權理論也在不斷地發展和修正，以適應實際需求；另一方面，貢獻率是貢獻量和投入量的比值，但在數據生成過程中，很難對各參與方的貢獻量和投入量進行統一衡量。有鑒于此，宜根據特定生成場景進行數據確權，此所謂勞動賦權理論基礎上的場景賦權。

（二）數據生成場景的多元化

各參與方對數據生成的貢獻大小依賴于具體場景，即多元利益主體在特定的社會時空下交互并形成數據的過程[23]。數據處理者相對固定，而數據來源者則較為多樣。盡管總體上分為自然人和非自然人，但信息產生于事物的運動變化之中，且可能是無意識狀態下的自動生成。也就是說，任何客觀存在的事物都能在一定程度上產生并提供信息，進而成為數據來源者。不過即便如此，也總是可以根據事物屬性對其中的利益相關者予以明確。立足于數據來源者的復雜多樣，數據生成場景呈現出明顯的多元化特征，主要包括個人數據、企業數據以及公共數據的生成。生成場景不同，數據確權的關注重點亦有所區別。首先，個人數據具有較強的人身依附性，對個人數據進行確權，應注意隱私權和個人信息保護。其次，根據《反不正當競爭法》第九條之規定，商業秘密系具有秘密性、價值性、實用性和管理性的商業信息，而企業數據往往會涉及商業秘密。正因如此，對企業數據進行確權，應注重商業秘密保護。最后，公共數據與國家安全、公共利益緊密相關，也在一定程度上關乎個人、組織的合法權益。對公共數據進行確權，應注意防范化解數據安全風險。

生成場景的多元化引發公正性思考。紐約大學的海倫·尼森鮑姆在論證個人信息的動態保護時首次提出場景公正理論（Contextual Integrity Theory），其認為保護個人信息就是保護場景脈絡的完整性不被破壞，以及個人信息在相關情境中的合理流動。個人信息在不同場景下有著不同的內涵和價值，尚且需要根據具體場景實行動態保護。就數據確權而言，預先確定的單一化、統一化和標準化的權利配置方案與多元化的生成場景不相適應，難以實現數據權益在各參與方之間的公平分配，亦與場景公正理論相背離。況且，現階段數據權利分配在范圍和程度上都備受爭議，無法達成共識。正因如此，分散式和低成本的協商機制應運而生。

（三）分散式和低成本的協商機制

協商，簡言之就是為取得一致意見而共同商議，是一種快速、經濟且有效的爭端解決方式。協商體現意思自治原則，其結果通常以合同或協議的形式加以固定。數據之上權利交錯且場景多元，數據確權正是為了合理劃分數據權利，明確權利歸屬，協調數據之上的多元權益主張，進而形成更優的權利行使秩序。由此可見，確權本身就是協商的過程。另外，多主體協商而非“一刀切”的規則設計亦符合現代國家“精準施策”的要求。

通說認為，若對一項內含若干子權利的權利進行劃分，既可以選擇整體上按比例切割，各主體獲得種類相同但程度不一的子權利，也可以將整體具體化，就子權利進行分配，各主體獲得種類不同但程度完全的子權利。兩相比較，后一種方案更為妥適。一方面，若整體上按比例切割，那么每項權利都將受制于既定比例而得不到充分行使，難以實現數據之上的多元權益主張；另一方面，數據權利實為可對數據施加收集、存儲、利用、交易等處理措施的權利，而整體框架下的子權利再分配，實際上就是各參與方通過協商對某一方就上述權利進行“授權”的過程。例如，各參與方可以達成共識，允許某一方利用數據進行研發，但不擁有轉讓數據的權利。由此可見，后一種方案更加契合數據權利的概念界定和本質特征，既兼顧各參與方數據權益，又有助于數據確權目的的實現。

1.分散式協商

分散式協商與集中式協商相對，是有針對性地對協商主體進行分類和選擇后的分別商議。相比于集中式協商，分散式協商充分考慮協商主體的類型化、協商環境的差異化以及協商條件的多樣化，能夠盡可能滿足不同群體的利益訴求，協商結果也更為公平合理。前已述及，數據生成場景相對多元，不同場景下的確權重點有所區別。此種情況下，采取分散式協商無疑更為妥適，更能實現數據權利在各參與方之間的合理分配。

一方面，分散式協商須遵循以下原則：一是知情同意原則。數據處理者須向數據來源者履行告知義務并取得同意，方能開展相應的數據處理活動。倘若經評估，數據來源者參與成本大于所獲收益，其有權拒絕參與數據生成。二是權益最大化原則。通過分散式協商，各參與方的數據權利得到確認，既能在總體上實現數據權益最大化，又能保證各參與方的凈收益大于零，也就是數據權利為各參與方帶來的收益能始終大于為數據生成所付出的成本，還能參與剩余收益分配。三是完整性原則。正如前文所述，協商結果通常以合同或協議的形式加以固定，數據確權亦是如此。進而言之，數據確權協議應盡可能對所有可能生成的數據及其權利歸屬予以完整而詳細約定，從而減少后續數據處理和交易過程中的糾紛與摩擦。當然，根據《民法典》第五百一十條之規定，各參與方也可在協議生效后對未盡事宜進行補充，不過該行為仍屬于分散式協商的范疇。

另一方面，分散式協商應考慮以下要素：一是各參與方對數據生成所做貢獻的大小，然而貢獻值難以量化，多數情況下仍著眼于數據生成成本。例如，當數據來源者為自然人時，其可能提供部分私密信息以生成數據，由此產生隱私成本。對于隱私成本，可以借助重置成本法、現行市值法和收益現值法等予以量化。二是各參與方利用數據獲得的預期收益。例如，銷售型企業通過歷史數據預測消費者未來需求，從而及時調整銷售結構和業務模式以促進銷售額的增長；再如，投資型企業通過大數據獲取豐富、準確和實時的市場信息和投資機會，從而更好地理解市場趨勢和風險，優化投資組合，獲得更高收益。三是各參與方在協商中所處的地位。實踐中，數據來源者主要是自然人，而數據處理者則包括企業、科研機構和政府部門。相比之下，數據處理者在協商中更具優勢，倘若不加以干預，協商結果可能有失公平。為確保平等協商，宜強化政府監管，通過協議審查以排除不合理條款。

2.低成本協商

大數據以量取勝，單個數據價值有限。一方面，數據處理者需對不同數據來源者的信息予以收集和處理，進行“一對多”協商；另一方面，面對數以億計的信息，在單個數據處理者能力有限的情況下，需要由多個數據處理者進行“多對多”協商。而為促成協商，數據來源者和處理者通常都需要投入一定成本，一旦協商成本過高，那么相對優化的權利配置將難以實現。除此之外，平等協商有賴于政府部門的有效監管，故而又會產生一定的監管成本。除上文提及的協議審查成本外，亦包括對協議履行情況進行調查的成本。監管成本一旦過高，便容易出現“監管死角”，引發監管不到位的問題，進而影響數據確權協商的實際效果。有鑒于此，如何降低協商和監管成本亟待考慮。

根據契約理論，對于大眾市場交易量大且低價值的交易而言，格式化的協議或條款能夠極大地降低交易過程中的協商成本。對此，《民法典》在合同編專門規定了格式條款。一方面，格式條款減少磋商時間，節省締約成本，提升交易效率；另一方面，格式條款格式固定，便于監管。正因如此，格式條款應用廣泛，尤其是在數字經濟時代，各類網絡服務合同、用戶協議、隱私政策等都更加依賴于格式化的條款設計。為降低成本，鑒于數據同樣具有交易量大而價值密度低的顯著特征，故而也可以采用格式條款達成數據確權協議。不過，格式條款也存在明顯弊端，常為人所詬病。對用戶而言，格式條款僅發揮“知情”作用并充當使用對方功能服務的“入場券”，至于相關數據權利是否以及能否歸其所有并不在意。究其原因，格式條款“無從拒絕”的不可協商性應為關鍵因素，加上內容繁雜冗長以及缺乏報酬或補償機制，更進一步導致“用戶利益剝離”。盡管《民法典》明確規定提供格式條款的一方應當就格式條款的內容，尤其是與對方有重大利害關系的內容進行提示說明，提請對方注意[24]，但用戶常會無視其存在。有鑒于此，如何在弊端化解的前提下訂立專屬于數據確權協議的格式條款實值思考。就這一問題，《數據安全法》或許提供了很好的思路，也就是類型化思維下的數據分類分級。首先，數據分類分級盡可能保證格式條款的協商性。在數據確權協商機制下，數據處理者不僅需要向數據來源者說明不同類型和級別下數據處理的范圍、權限以及相應報酬，亦允許數據來源者拒絕達成協議。此種情況下，除非為了保障基本功能服務的正常運行，否則數據處理者不能拒絕。而正因為各項選擇都能夠得到相應的回應，數據來源者也就更為認真地對待格式條款，從而避免流于形式。其次，不同于一般格式條款的“全文字”，數據分類分級基礎上的格式條款多以清晰直觀的圖表形式呈現，數據來源者只需在權益最大化原則的指導下進行框選即可。如此一來，既排除“一對一”協商可能，又盡可能減少審閱條款所耗費的時間和精力，簡化“一對多”“多對多”協商流程。最后，充分發揮價格調節作用。通過在格式條款中引入報酬或補償機制，調動數據來源者和數據處理者參與協商的積極性，帶來明顯的效率優勢。應當說，數據權利的復雜性和多樣性使得完全個性化的協商既無必要也不可行。相反，數據分類分級基礎上的“不充分而有限”協商更加經濟實用，既保證了意思自治，又降低了協商成本，還提高了協商成功率。

（四）協商機制下的數據分類分級

所謂數據分類，簡言之就是聚同去異，根據某種標準和邏輯對數據進行區分、歸類，而數據分級，則是依據數據的重要程度和影響程度進行等級劃分。盡管數據分類分級是一項基礎性制度，但以《數據安全法》為代表的上位法并未對如何分類分級作出回應。現階段，關于數據分類分級的細化規定多見于各種技術標準，包括《網絡安全標準實踐指南 "網絡數據分類分級指引》（以下簡稱《網絡數據分類分級指引》）、《信息技術—大數據—數據分類指南》等綜合性技術標準和《證券期貨業數據分類分級指引》《基礎電信企業數據分類分級方法》等行業性技術標準。盡管上述技術標準并非法律法規或政策，但專業性強、實用性高，頗具指導和借鑒意義。

1.數據分類

毫無疑問，數據分類具有多種標準，但目的都是為了數據管理和使用的便利化、規范化、高效化。例如，《網絡數據分類分級指引》秉持分類多維原則，采用面分類法，從公民個人、公共管理、信息傳播、行業領域等多個維度給出了參考框架；又如，《證券期貨業數據分類分級指引》立足于交易、監管、信息披露等業務線條，先對業務細分，再對數據細分，進而形成從總到分的樹形邏輯體系結構。相比之下，以數據來源者為標準更為妥適，既有利于數據確權協商機制的構建，亦與數據生成場景的多元化特性相契合。首先，權利取得方式包括原始取得和繼受取得，數據權利亦是如此。數據是一種生成品，而數據確權協商是一種事前協商，側重于數據權利的原始取得，遵循誰“產生”數據誰享有權利的原則[25]。此種情況下，明確數據來源就顯得尤為重要。其次，數據確權協商亦是一種初始協商，是后續數據處理活動的前提和基礎。進言之，數據確權能否協商成功，關鍵在于數據來源者是否積極參與和配合。況且，協商就是多主體共同參與的議事行為，強調主體能動性，以主體為標準的數據分類自然更加契合協商實質。再次，數據分類理應秉持“相互獨立、完全窮盡（Mutually Exclusive Collectively Exhaustive，MECE）”原則，而數據來源者的分類標準更接近對數據價值的分配，也基本涵蓋了社會經濟關系的主體。同時，主體分類也能夠在一定程度上厘清爭議。最后，作為推動數據基礎制度體系構建的戰略性和關鍵性舉措，《數據二十條》 的出臺具有里程碑意義。而《數據二十條》在構建數據產權結構性分置制度時，就明確將數據分為公共數據、企業數據和個人數據，這無疑為以數據來源者為標準的數據分類奠定了現實基礎。

如表1所示，數據來源者總體上包括自然人、企業以及黨政機關、企事業單位等三種類型，相應地，數據也就被區分為個人數據、企業數據和公共數據。對于個人數據，現行法上未有明確的概念界定，《民法典》《中華人民共和國個人信息保護法》等法律多指向“個人信息”，突出“可識別性”。但正如前文所述，信息與數據實為不同概念，可識別性亦難以體現數據來源。此種情況下，宜引入相關性分析，數據內含信息需與某一自然人有關，或數據使用時會影響他人的行為、地位以及權益[26]。基于此，個人數據可被定義為基于以電子或者其他方式記錄的與自然人有關的任何信息而生成的數據。實踐中，個人基本身份信息、通訊地址、行蹤軌跡、財務狀況、教育背景、社交媒體賬號等皆屬此類。就企業數據而言，通說認為其指的是企業在生產經營活動中以信息化手段制作或獲取的各類數據及其衍生數據，但不涉及個人信息和公共利益的數據。具體而言，企業數據包括企業名稱、通訊地址、注冊資金、經營范圍等基本數據和銷售量、銷售額、原材料成本、研發成本等經營數據。至于公共數據，根據《數據二十條》之規定，指的是各級黨政機關、企事業單位在依法履職或提供公共服務過程中產生的數據。公共數據常與社會公共信息和自然信息密切有關，既包括政務數據，又包括教育醫療、水電煤氣、交通通信、民航鐵路等民生數據，還包括基礎科學研究數據。

2.數據分級

數據分級亦存在多種方案，例如“從一般到核心”“從不敏感到敏感”“從秘密到絕密”等。盡管表述不一，但本質上都著眼于數據安全風險，體現風險意識。數據安全風險等級越高，就越需要審慎對待有關的數據處理活動，適用更為嚴苛的處理規則。實際上，數據確權協商也主要就是為了防范和化解后續數據處理活動所可能產生的負面效應。以風險定級凸顯數據確權協商的實質和目的，能夠最大程度實現數據保護和利用的雙向平衡。正因如此，本文在參照《網絡數據分類分級指引》的分級框架基礎上，將數據分為低風險級數據（L1）、中低風險級數據（L2）、中風險級數據（L3）、中高風險級數據（L4）、高風險級數據（L5）等五個級別，并遵循“就高不就低”原則。倘若數據集包含多個級別數據，則按照最高級別對數據集進行定級。

如表2所示，數據級別不同，相應的處理權限亦有所區別。第一，低風險級數據是后續處理活動不會對參與數據生成的各方主體造成危害的數據，具有一定的公共性和開放性。數據處理者既可自我收集、存儲、使用和加工，也可對外傳輸、提供甚至公開。與此同時，數據處理者無需向數據來源者支付報酬，但須保障基本功能服務的正常運行。第二，中低風險級數據所可能造成的危害相對輕微，盡管仍可對外傳輸、提供或公開，但須進行匿名化和脫敏處理。相應地，數據處理者負有報酬給付義務。第三，倘若對中風險級數據處理不當，則可能會對數據生成參與方造成一般危害。基于此，數據處理者并不能對外傳輸、提供或公開該級別數據，但允許外部主體的本地訪問。第四，中高風險級別數據所可能造成的危害程度介于中風險級數據和高風險級數據之間，數據處理者僅可進行“本地化處理”，包括利用數據開展產品或服務的研發工作，但絕對禁止數據流出。第五，高風險級數據即是后續處理活動可能會對數據生成參與方造成嚴重危害的數據。對于該級別數據，數據處理者應遵循“最小必要”原則，以提供基本功能服務為限。除此之外，并無任何其他的處理權限。但即便如此，數據處理者也需要向數據來源者支付報酬，畢竟后者承擔著嚴重風險。

基于上文所述，數據安全風險實際上就是篡改、破壞、泄露或者非法獲取、非法利用數據而可能給相關主體造成危害的可能性與程度。盡管以風險定級，但該語境下的危害實為潛在危害，對于以自然人為主的數據來源者而言過于抽象，較難識別和區分出具體層級。對此，較為妥適之法應是引入數據安全風險評估機制，《數據安全法》第二十二條亦作出了原則性規定。第一，鑒于實力差異，數據安全風險評估主體宜是以企業、科研機構、政府等為代表的數據處理者。第二，對擬處理數據進行識別梳理，包括數據類型、所在位置、量級、保存方式以及在具體應用場景中涉及的處理活動等。第三，依據相關法律法規進行保護現狀分析，在此基礎上明確擬處理數據的脆弱程度以及風險事件的發生概率，并分別賦值L1-L5級。第四，綜合以上兩方面結果得出某一具體應用場景下的風險值，進而對每個應用場景下的風險值以加權平均的方法進行計算，得出數據安全風險等級。第五，在協商之前，數據處理者通過彈窗等方式明確告知數據來源者擬處理數據的安全風險等級。

四、結語

數字經濟時代，與數據有關問題頻發，但數據確權實為前提和基礎，理應首先作出回應。在立法缺位的情況下，依托現行規則而提出的確權方案尚有不足：一是忽視數據的生成品特性，多作為經濟活動的“副產品”；二是忽視數據來源者的參與度和貢獻率，常主張數據處理者的數據產權。實際上，數據生成是成本投入的結果，數據來源者和處理者在此過程中都有所貢獻。正因如此，基于生成場景的多元化而構建的協商機制具有高效性和可行性，理應成為妥適的確權方案。一方面，數據確權協商是一種分散式協商，更能實現數據權利在數據來源者和處理者之間的合理分配；另一方面，數據確權協商是一種低成本協商，依托格式條款提升效率便于監管。與此同時，通過對數據進行分類分級保留協商屬性，消弭確權協議格式條款的弊端。

參考文獻：

[1] 申衛星.論數據產權制度的層級性：“三三制”數據確權法[J].中國法學，2023（4）：27.

[2] 張寶山.數據確權的中國方案： 要素市場語境下分類分級產權制度研究[J].北方法學，2023（5）：147?153.

[3] 博登海默.法理學：法律哲學與法律方法[M].鄧正來，譯.北京：中國政法大學出版社，1998：486.

[4] 李勇堅.數據要素的經濟學含義及相關政策建議[J].江西社會科學，2022（3）：52.

[5] 維克托·邁爾—舍恩伯格，肯尼思·庫克耶.大數據時代：生活、工作與思維的大變革[M].盛楊燕，等譯.杭州：浙江人民出版社，2013：104.

[6] 吳哲，丁海斌. “數據”概念史考略及“檔案數據”概念解析[J]. 檔案與建設， 2023（1）：11.

[7] 齊愛民. 拯救信息社會中的人格：個人信息保護法總論[M].北京：北京大學出版社，2009：77.

[8] 申衛星.論個人信息權的構建及其體系化[J].比較法研究，2021（5）：3.

[9] 劉瑛，高正.數據與信息概念二分之下商業數據的立法保護[J].科技與法律（中英文），2022（4）：2.

[10] 梅夏英.數據的法律屬性及其民法定位[J].中國社會科學，2016（9）：168?169.

[11] 彭輝.數據權屬的邏輯結構與賦權邊界——基于“公地悲劇”和“反公地悲劇”的視角[J].比較法研究，2022（1）：104.

[12] 王澤鑒.民法總則[M].北京：北京大學出版社，2009：199.

[13] 房紹坤.論用益物權的法律屬性[J].現代法學，2003（6）：10.

[14] 張陽.數據的權利化困境與契約式規制[J].科技與法律，2016（6）：1100.

[15] YUVAL N H. Why technology favors tyranny[J]. The Atlantic， 2018（10）： 68.

[16] VACLAV J. Ownership of personal data in the internet of things[J]. Computer Law amp; Security Review， 2018（34）：1052.

[17] 侯志強.環境權知識產權法保護的理論證成與規范構造[J]. 法學，2022（8）：181.

[18] 任文岱.跳出所有權思維定式 探索構建數據知識產權制度[N].民主與法制時報，2023-03-29（3）.

[19] 張欽昱. 數據立法范式的轉型： 從確權賦權到社會本位[J]. 經貿法律評論，2023（1）：9.

[20] 田小楚、高山行. 論大數據在著作權法保護中的沖突與協調[J].重慶大學學報（社會科學版），2021（1）：147.

[21] 王利明. 數據何以確權[J]. 法學研究，2023（4）：62.

[22] 邢會強. 大數據交易背景下個人信息財產權的分配與實現機制[J]. 法學評論，2019（6）：106.

[23] 劉濤雄，李若菲，戎珂. 基于生成場景的數據確權理論與分級授權[J].管理世界，2023（2）：24.

[24] 夏慶峰. 在線訂立格式條款的效力分析[J]. 環球法律評論，2023（3）：46.

[25] 趙磊. 數據產權類型化的法律意義[J]. 中國政法大學學報，2021（3）：75.

[26] 瑪農·奧斯特芬.數據的邊界：隱私與個人數據保護[M].曹博，譯.上海：上海人民出版社，2020：130.

Construction of Data Right Confirmation Negotiation mechanism

—Based on the Diversity of Generation Scenarios

Bi Jinping， Zhao Chichi

（Law School， Anhui University， Hefei 230601， China）

Abstract： As a new production factor， the importance of data is self-evident， but unclear ownership or property rights affect the performance of data， hinder the development of digital economy. As far as the concept is concerned， data is the carrier of information and the form of expression， and the two are connected and connected through digital technology. Under the existing rules， whether it is the property law model， the intellectual property law model or the competition law model， there are obvious drawbacks and they are not sufficient. Fundamentally， data is a kind of raw product， and its generation scene shows diversified characteristics. For this reason， data property rights should be owned by the entities involved in data generation， such as the source and processor， and can be determined through decentralized， low-cost negotiation mechanisms. At the same time， in order to ensure the negotiation attributes of the format clauses of the right confirmation agreement， it is appropriate to classify the data. On the one hand， according to the data source as the standard， data is divided into personal data， enterprise data and public data; on the other hand， according to the standard of data security risk， data is divided into five levels from low risk to high risk.

Keywords： data elements; data validation; consultation mechanism; multiple generation scene; classification and grading