數盡其用：數據訪問權的法理反思與功能定位

丁鳳玲 彭建

摘 要：? 為促進機器生成數據的流通，歐盟《數據法案》提出數據訪問權，《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》也規定了這一權利。該權利的原理是“誰貢獻，誰有權”，但這一理論難以為第三方的訪問需求提供依據，權利本身也有違背競爭公平的嫌疑。從利益衡量的角度來看，在社會利益最大化的標準下，用戶和第三方均可在滿足用戶服務需求的范圍內訪問機器生成數據或數據集，同時應當遵守個人數據保護相關制度，這一利益邏輯比“誰貢獻，誰有權”更契合數據訪問權的制度本意。數據訪問權的意義不限于訪問，還能限制數據持有者權利、提供數據價值共享的權利依據以及為各參與方提供對話契機。在實現方式上，由于數據類型與訪問場景眾多，訪問規則需要進行場景化設計，工業數據空間等技術架構可以作為實現手段。

關鍵詞：機器生成數據；數據訪問權；數據來源者；數據持有者

中圖分類號：D923???? 文獻標志碼：A???? 文章編號：1009-055X（2024）03-0093-11

doi：10.19366/j.cnki.1009-055X.2024.03.009

一、問題的提出

隨著物聯網設備的廣泛使用，因使用機器設備而產生的數據總量逐漸上升，新的法律問題開始浮現，我國立法卻鮮有回應。例如，智能農業設備使用者是否有權獲取、復制或與他人共享其使用智能農業設備產生的數據？自動駕駛汽車使用者能否獲取汽車生成的非個人數據？第三方能否以提供售后服務為由訪問設備制造者持有的機器生成數據？概言之：機器設備使用者能否訪問因使用機器而產生的數據？第三方又是否可以向數據持有者申請訪問這類數據？這些問題既關系到設備使用者的使用體驗，又與其他主體的經濟利益直接關聯，亟待法律解答，而我國現行法律法規對此沒有作出規定。

2022年12月，《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱為《數據二十條》）的出臺為解決上述問題提供了政策依據。根據《數據二十條》第七條，數據來源者“享有獲取或復制轉移由其促成產生數據的權益”。從文義出發，此處的“數據來源者”包括了個人、企業等主體，“促成產生數據”沒有任何條件約束，機器生成數據僅是其中之一，故而有學者將該條文規定的權益稱為數據來源者權利［1］。據此，上述問題得到了一定解答：設備使用者能夠訪問其參與生成的數據。不過，《數據二十條》只提供了政策導向，并未詳細解釋為什么“數據來源者”能夠享有此權利。當前學界對機器生成數據的討論還停留在法律屬性、財產權建構等問題上［2］。部分研究雖然注意到了機器生成數據的訪問問題［3］，但沒有結合這類數據的特點加以討論，觀點有待商榷。《數據二十條》一旦轉為立法，勢必要對上述問題作出回應。

《數據二十條》第七條的設計被認為借鑒了歐盟《數據法案》（data act，DA）中的數據訪問權（data access rights）。歐盟《數據法案》中的數據訪問權與機器緊密關聯。在歐盟《數據法案》中，數據訪問權是指用戶（user）訪問和利用因使用聯網產品（connected product）或相關服務（related services）而產生的數據的權利。用戶是指一切擁有、租賃產品或接受服務的自然人或法人，與我國“數據來源者”的含義大體相同。根據歐盟《數據法案》第二條，此處的“產品”是指主要功能不是處理數據，但能獲取、生成或收集與其使用或環境有關數據的物品，“相關服務”是指包含在產品中或與產品相連接的服務，缺乏該服務會妨礙產品發揮某一功能，如軟件。從文義上看，用戶使用互聯網平臺產生的數據難以被納入上述范疇。例如，電商平臺上的商家在電腦上使用電商軟件產生數據，電商軟件不屬有形物，缺乏電商軟件也不會阻礙電腦發揮自身的任何功能。可見，《數據法案》針對的是機器生成數據（machine-generated data），即便是使用軟件產生的數據，也要求該軟件與其載體機器之基本功能存在強聯系，如使用數字化工業設備、人體智能穿戴設備、智能家居等物聯網機器所產生之數據。

不過，歐盟《數據法案》飽受爭議，其中何種規定值得我國學習仍然需要甄別。一方面，歐盟《數據法案》的諸多條文存在爭議，如用戶可以訪問作為商業秘密的機器生成數據這一規定就引發產業界集體反對。另一方面，借鑒域外法必須從國情實際出發。由于《數據二十條》的條文過于原則化，本文在《數據二十條》第七條的框架下，結合歐盟《數據法案》，從學理上分析數據訪問權為統一表述，本文仍然采用“數據訪問權”這一概念。的正當性、功能定位及該權利可能實現的方式，以期為用戶以及第三方數據訪問相關問題的解決提供一定參考。

二、數據訪問權的法理反思

《數據二十條》第七條所指權益不是對個人數據可攜權的簡單重復，而是規定了一種以“數據來源者”為主體的新型數據權利，歐盟《數據法案》稱之為數據訪問權。數據訪問權的提出意味著人們不再以所有權的視角看待數據權利，轉而走向使用權視角，這是理解數據訪問權的邏輯前提。對于數據訪問權的設立，僅有比較法作為支撐是不夠的，仍有許多問題需要我們認真對待，其中最具有法律意義的問題是數據訪問權的法理基礎。

（一）學理認識：從數據可攜到數據訪問

數據訪問權雖然被認為是對數據生產者權利（data producers rights）的揚棄數據生產者權利是指歐盟委員會在2017年頒布的一項法案中提出的，數據生產者對其所生產的原始數據擁有的排他性權利。該權利一經提出，就遭到歐盟學界的一致反對。，但數據訪問權與個人數據可攜權在功能上更加相似。個人數據可攜權的提出時間早于數據訪問權，而數據訪問權的主體和內容更加寬泛。從個人數據可攜權到數據訪問權，人們對數據權利（益）的認識正在逐漸深入。

根據《數據二十條》第七條，數據訪問權可被歸納為數據來源者獲取或轉移復制由其參與生成的數據（機器生成數據）的權利。但這一表述過于抽象，有必要結合歐盟《數據法案》加以理解。在歐洲的實踐中，廣義上的數據訪問權可以分為跨部門的橫向數據訪問權（horizontal data access）與在特定行業內才成立的縱向數據訪問權（sectoral data access）［4］。歐盟《數據法案》規定的數據訪問權屬于橫向數據訪問權，也稱為一般數據訪問權。歐盟立法者認為，隨著數字經濟的發展，機器生成數據大幅增長，但這類數據集中于少數大公司之手而未得到充分利用。為打破這一局面，歐盟委員會提出創設數據訪問權，以期公平分配數據價值。從現實來看，歐盟之所以創設數據訪問權，是因為缺乏有競爭力的本土數字企業，用戶生產的數據價值被外國企業占據，且歐盟各國也在避免由某一成員國獨占歐盟整體數據的情況［1］。我國當前不存在數據價值外流的問題，卻也面臨數據要素流通困難、數據壟斷等困境［5］。

數據訪問權與個人數據可攜權均具有獲取、轉移數據的功能。由于個人數據可攜權提出在先，數據訪問權因此被視為個人數據可攜權的延伸，但與之不可完全等同。個人數據可攜權是指個人將個人數據轉移給自己或第三方處理者的權利，包括個人數據接受權與個人數據轉移權［6］。個人數據可攜權之設立雖然也有打破數據壟斷等經濟因素上的考量，但根本上是基于倫理因素，即個人數據具有身份性，與人格尊嚴高度關聯，因此有必要賦予個人轉移其個人數據的權利，轉移主體也自然僅限于作為自然人的個人。與此不同，數據訪問權針對的是機器生成數據，主要基于經濟因素而創建，即促進數據流通、消除可操作性的構建阻礙，立法者也看重其商業價值，如用作售后服務。這就解釋了為什么數據訪問權的主體包括自然人與法人，且訪問的數據不強調身份信息關聯，僅以數據來源者是否參與數據生成作為唯一判斷標準。當然，這是一種價值理念上的區分。如果我們更加寬泛地看，數據訪問權與個人數據可攜權都可歸結為數據來源者轉移數據的法定權利，當機器生成數據與數據來源者的個人信息高度相關時，二者權利客體發生重合。其實，按照歐盟立法者的構想，數據訪問權是對個人數據可攜權的補充，訪問數據包括個人數據與非個人數據，為維護法秩序的統一，當用戶不是數據主體時，訪問個人數據須遵守歐盟《通用數據保護條例》關于個人數據處理的規定。

必須指出的是，數據訪問權并非一種數據所有權。有學者認為數據訪問權是一種“類似所有權的權利主張”［7］，而數據生成不只是用戶的貢獻，因而賦予其數據訪問權不具有正當性。這一觀點有待商榷。因為從權利內容來看，數據訪問權從始至終都只是轉移、復制數據，不會排斥數據持有者對數據的加工使用或其他處理，更不會排斥其他主體的利用。相反，數據持有者享有最接近數據所有權的事實控制地位，數據訪問權更像是知識產權中的許可使用或者合理使用。

（二）理論困境：不能滿足應用的“誰貢獻，誰有權”

無論是我國《數據二十條》，還是歐盟《數據法案》，中外立法者均以促進數據流通作為數據訪問權的設立目的。然而，數據訪問權面臨訪問邏輯不足、權利本身可能有悖公平原則等理論困境，影響了其正當性。

我國《數據二十條》與歐盟《數據法案》均認為用戶享有數據訪問權與其參與數據生成之間存在緊密聯系。《數據二十條》第七條提出，數據來源有權“獲取或復制轉移由其促成產生數據”。歐盟《數據法案》的立法理由進一步指出，數據生成至少是產品設計者或制造者以及用戶等兩方主體參與的結果，這類數據是售后服務、輔助服務以及其他服務所必需的，為實現數據作為非排他產品的經濟效益，應當設立訪問和使用數據的權利。就理論而言，兩份文件在一定程度上與數據勞動理論有相通之處，都將參與生成數據視為一定的勞動，參與生成者基于這一勞動貢獻有權獲取、復制其參與生成的數據，即“誰貢獻，誰有權”（以下簡稱為貢獻原則）。

貢獻原則的論證邏輯簡潔有力，具有一定合理性，但可能使立法者忽視真正需要數據訪問權的主體。由于各類主體對數據的需求不一，數據價值在一定程度上具有相對性，即同樣的數據在不同主體看來價值迥異。在數據訪問權的語境下，這一相對性的表現形式之一是第三方可能比數據來源者有更強的數據訪問需求。貢獻原則的問題在于，參與數據生成的主體未必需要數據訪問權，而第三方恰恰可能需要對此類數據進行訪問。例如，獨立的工業設備售后服務商為提供維修服務而向設備生產者請求訪問有關工業數據，設備所有者使用設備而產生相關數據，但真正需要數據的是售后服務商，貢獻原則的邏輯無法為其提供訪問依據。

或有論者提出，第三方的訪問需求也可以通過與數據持有者合作、數據訪問權轉讓以及用戶與第三方共享數據等方式得以滿足。首先，數據訪問權本用于強制性數據共享，在以機器生成數據作為要素的售后服務、輔助服務等服務市場中，數據持有者與第三方之間往往存在某種程度的競爭關系，缺乏與第三方合作的意愿。其次，基于平衡數據關系的考慮，貢獻原則強調主體的特定性，在這一邏輯的作用下，數據訪問權往往變成了專屬于用戶的、不可轉讓與放棄的權利。最后，歐盟《數據法案》雖然規定第三方可以數據共享形式訪問數據，但在貢獻原則的邏輯中，可訪問的數據范圍與“促成產生”掛鉤，僅限于用戶層面的單條原始數據，而二級市場的服務商往往需要的是衍生數據以及數據集合［8］，過于狹窄的可訪問數據范圍減損了數據訪問權的價值，無助于其促進數據流通目的之實現。

此外，數據訪問權也有破壞市場秩序、違背競爭公平之嫌疑。在歐盟的實踐中，確實有一類存在于汽車售后服務行業的特殊數據訪問權：第三方服務商可以直接訪問相關汽車數據。但這主要是因為汽車制造商高度壟斷汽車數據致使獨立的售后服務商難以進入市場，所以需要特殊數據訪問權用于打破壟斷。而在不存在市場失靈的情況下，法律理應尊重市場自發形成的資源配置格局與市場競爭秩序。數據訪問權針對的是機器生成數據，一般情況下其數據持有者不具有市場支配地位，僅以合理訪問需求為由引入數據訪問權，要求數據持有者承擔數據共享義務，可能損害其基于數據產生的競爭利益，甚至導致商業秘密泄露，引發不必要的矛盾作為持有數據的一方，數據持有者高度關心自己的競爭利益是否因數據訪問權而受損。2023年2月1日，包括歐洲汽車制造商協會在內的30家行業協會發布一份聯合聲明，要求歐盟立法者調整《數據法案（草案）》，以保護企業的商業秘密，明確界定數據訪問的邊界，減少《數據法案（草案）》可能給歐洲數字經濟帶來的不確定性。參見

Joint Statement： The data act is a leap into the unknown. （2023-03-02）［2023-04-15］.https：//www.digitaleurope.org/news/joint-statement-the-data-act-is-a-leap-into-the-unknown/。

。這也是有學者認為數據訪問權可以存在于具有市場失靈情況的特殊行業，但不能推廣至所有行業的原因［9］。

（三）法理重構：利益衡量論下的數據訪問法理

貢獻原則作為數據訪問權的法理基礎，存在訪問邏輯與權利設置的理論缺陷，因而有必要重新審視數據訪問權。從利益衡量的角度來看，用戶與第三方的數據訪問權在滿足用戶服務需求的范圍內成立，其均可訪問機器生成數據或數據集，超過這一必要范疇就不再具有正當性，貢獻原則只是這一邏輯的部分反映。

1.利益衡量論的引入

利益衡量作為一種“可操作的正義”［10］525，能夠幫助我們洞察數據訪問權概念背后的利益沖突，重新認識其法理基礎。利益法學認為，權利是為了滿足人的利益，利益之間會產生沖突，法律的實質就是對類型化了的利益沖突進行調整，規定哪一利益處于優先地位，其他利益居于其后［11］160。這一利益衡量的觀點要求查明利益，并按照一定衡量標準決定何種利益優先得到保護。盡管利益衡量論常常因為衡量標準不夠客觀而為學者所詬病，但作為一種思維方式，它可以避開繁復的法律概念和模糊的道德說理，從利益視角評價權利的正當性。對基于經濟因素而設立的數據訪問權而言，這無疑是十分契合的理論分析工具。

識別利益是利益衡量的首要前提。對數據訪問權而言，用戶、數據持有者、第三方之間的典型關系是：用戶從產品生產者或銷售者處購買、租賃產品或服務，使用產品或服務產生的數據被數據持有者（一般是產品生產者或服務提供者）收集，第三方為了向用戶提供與產品有關服務需要使用機器生成數據。以數據是否關涉個人信息為標準，圍繞機器生成數據可能存在以下主要利益：其一，機器生成數據是個人數據，此時數據來源者（用戶）對個人數據有保護需求，數據持有者、第三方以及政府部門對個人數據有利用需求［12］。由于《中華人民共和國個人信息保護法》（以下簡稱為《個人信息保護法》）已經規定了個人數據處理規則，無論各方利益需求如何，對數據進行處理時必須遵守上述規范，因而下面不再展開。其二，機器生成數據非個人數據。在此情況下，主要涉及用戶、第三方的數據利用需求，涉及利益包括數據持有者因持有數據產生競爭利益和商業秘密等既有利益以及表現為市場競爭秩序的社會公共利益。用戶與第三方之間一般是合作關系，不涉及主要利益沖突。數據訪問權使得用戶以及第三方可以獲取數據持有者持有的機器生成數據，前者的數據利用需求可能會與后者的既有利益產生沖突，進而對市場競爭秩序產生積極或消極影響。

社會利益最大化可以作為衡量標準。為避免評價的恣意性，進行利益衡量之前須確立衡量標準。一般認為，不同利益之間存在優先保護順序不過，在很多時候，難以對異質利益背后代表的價值進行抽象層面的排序，如自由與公正。一種可行的方式是在個案中進行具體評價。參見梁上上：《利益衡量論》（第二版），法律出版社2016年版，第112頁。，如人身利益高于財產利益，基本權利高于非基本權利，以及法律規定的權利實現順序（同一物上的不同擔保權等）。但這種基于社會共識或法律規定的利益位階在新興的數據法律關系中尚未完全形成。一種可行的思路是，在不違背社會倫理共識的前提下，選擇最有利于促進社會利益的利益順序，即社會利益最大化標準。這是因為：一方面，數據訪問權主要涉及數據市場中的競爭利益，競爭法關注的是市場競爭效率最大化［13］，“保護競爭，而非競爭者”的理念依然適用；另一方面，個人數據的存在使得道德倫理繼續發揮作用。下面將以社會利益最大化作為衡量標準，分析數據持有者的既有利益與用戶、第三方的利用需求之間的沖突。

2.用戶與數據持有者之間的利益沖突與平衡

從理論上看，數據持有者的既有利益主要在于機器生成數據帶來的競爭利益以及可能涉及的商業秘密。數據雖然具有非競爭性，但對于在產業鏈中處于競爭位置的主體而言，當持有的數據已經形成某種競爭優勢，如只有獲得該數據才能對產品進行改造或有效提供其他服務時，他們必然不會主動將數據提供給其他主體。另外，某些機器生成數據確實可能涉及商業秘密，如通過該數據可以推測出某些技術參數。因此，數據持有者天然缺乏與他人共享數據的動力。

用戶利用機器生成數據的需求與數據持有者的既有利益之間的矛盾，是數據訪問權的一對基礎矛盾。對用戶來說，利用機器生成數據的主要目的是提升產品使用體驗，包括了解運行情況、提升性能、維修產品等。企業作為用戶時，還可能將機器生成數據用于研發、企業內部協作。在機器生成數據構成商業秘密時，用戶可能通過數據反推出某些技術細節，商業秘密的價值性也增加了技術泄露風險（如競爭者通過購買設備獲取商業秘密）。這既損害了數據持有者的競爭利益，又可能造成競爭者之間互相竊取商業秘密的惡性局面，破壞了正常的市場競爭秩序，不符合社會利益最大化的要求。這一點，對于第三方訪問數據而言也是適用的。

在機器生成數據不構成商業秘密的情況下，允許用戶獲取機器生成數據，且不與第三方共享，這種訪問能夠實現社會利益最大化。一方面，數據獲取提升了用戶使用體驗，而且沒有損害數據持有者的競爭優勢，至多只是帶來數據共享成本負擔；另一方面，數據共享也可以作為產品服務的一部分，有利于數據持有者推廣自己的產品。在這一層面，用貢獻原則來描述用戶的數據訪問權是十分恰當的。

3.第三方與數據持有者之間的利益沖突與平衡

問題在于，用戶所需的服務很多時候由第三方有償提供。無論是與第三方共享機器生成數據，還是由第三方代表自己獲取機器生成數據，這些共享或獲取數據的需求均直接與數據持有者的既有利益產生沖突。對于數據持有者而言，持有的機器生成數據可以用于自己開發或更新產品服務，或者作為交易籌碼與利益相關方（很多時候可能是其子公司或與之深度綁定的服務商）合作，形成產業鏈。在機器生成數據不構成商業秘密的情況下，如果允許一個與數據持有者不存在利益往來的第三方獲取該數據，可能產生的結果包括：其一，第三方可以借此開展業務，獲取經濟利益，新的競爭者加入市場，可以促進市場自由競爭；其二，數據持有者喪失競爭優勢或潛在商業機會，有損其創新積極性，第三方之行為可能構成“搭便車”，損害公平競爭秩序。為此，歐盟《數據法案》特意強調第三方不得利用訪問所得數據開發競爭產品或以此為目的再次分享數據。我們似乎發現，這一問題演變成了自由競爭與公平競爭之間的沖突，難以評判哪一價值會更有利于社會利益最大化，只能在個案中根據《中華人民共和國反壟斷法》《中華人民共和國反不正當競爭法》等法律進行異質利益衡量。

實際上，依照社會利益最大化標準，在滿足單個用戶服務需求的目的下，第三方的數據訪問需求高于數據持有者的競爭利益，其數據訪問權依然成立。上述看似不可解的利益沖突只是假象，因為它的分析仍然以互聯網平臺數據作為藍本，忽視了機器生成數據的特點。機器生成數據因使用機器設備而生，而用戶已經為機器設備支付了對價，這決定了在法律保護方式上我們不能以互聯網平臺數據類比機器生成數據。

首先，數據持有者不能以提供免費服務為由要求法律對機器生成數據加以特殊保護。在互聯網經濟中，企業以免費基礎服務換取用戶偏好數據，基于數據產生的增值服務是互聯網價值鏈中關鍵的一節，數據一方面因此成為平臺企業的寶貴資產［14］18，另一方面與算法一起創造了平臺企業的算法權力［15］。這一商業模式驅使互聯網企業以各種名義要求法律保護其持有的平臺數據，我國法院往往基于樸素的勞動財產觀響應這一要求，即便這一保護請求有時可能缺乏規范依據［16］。對機器生成數據來說，用戶以買賣或租賃等方式獲得機器設備，已經支付對價。這種一次性交易的商業模式中并不存在“免費基礎服務＋增值服務”的流程，機器生成數據只是機器設備運行過程中產生的副產品。如果說司法者必須考慮不保護平臺數據對當前互聯網商業模式產生的負面影響，進而在實質上承認企業對平臺數據一定的控制權，那么在作為生產者的數據持有者沒有提供免費服務，用戶已經為機器設備支付對價的情況下，法律沒有理由對之加以特殊保護。這不是指數據持有者對機器生成數據沒有任何權益，而是指其沒有排除他人訪問的控制權。

其次，公平競爭秩序沒有受損，數據持有者的創新動力問題難以成立。數據持有者作為制造商，主要收入源自設備銷售，真正激勵其開發新產品的是用戶需求［8］，而不是控制數據所帶來的收益，將數據控制作為對數據持有者的激勵并不恰當。在此情況下，法律對機器生成數據的保護程度應當弱于對互聯網平臺數據的保護程度。因為，如果第三方能以合理使用為由使用爬蟲抓取互聯網平臺數據（如搜索引擎抓取網頁數據），那么沒有理由認為第三方利用機器生成數據提供服務會損害公平競爭秩序。同時，允許第三方在滿足用戶需求的范圍內使用機器生成數據還有利于打破鎖定效應，促進數據服務多樣化，提升消費者福利。

或有學者認為，這種訪問會損害數據持有者的競爭利益，因而不具有正當性［17］。“損害即不正當”也是我國數據領域司法實踐中經常出現的錯誤認識，其誤區在于，競爭法從未認為損害競爭利益的行為一定具有違法性，因為競爭本身就伴隨著損害。即便在爬蟲抓取平臺數據的分析框架下，判斷抓取行為的正當性也是圍繞該行為的可責性、抓取結果是否有利于創新、產出的數據產品價值等因素綜合考慮，被抓取平臺的競爭利益或優勢是否受到損害本就不在考慮范圍之內［18］。

因此，允許第三方訪問機器生成數據，雖然可能損害了數據持有者的競爭利益，但并沒有損害公平競爭秩序，總體上仍是促進了市場競爭，符合社會利益最大化的要求。應當注意，上述邏輯只在滿足用戶需求范圍內成立。一方面，第三方的利用需求本質上源于用戶，用戶只為自己的機器設備支付對價。另一方面，數據持有者收集、加工的機器生成數據或數據產品不局限于單個用戶產生的數據。對此，可以要求第三方按照服務單個用戶之需求目的進行數據訪問，如可以通過比例原則等法原則約束第三方的數據訪問范圍，這一點將在后面分析。

通過分析用戶與數據持有者、第三方與數據持有者等兩組關系中的利益矛盾，我們發現：允許用戶和第三方在滿足用戶服務需求的范圍內訪問機器生成數據或數據集，盡管會對數據持有者的利益造成一定影響，但總體上可以有效促進數據使用，提升市場競爭效率，實現社會利益最大化，這一邏輯也有助于厘清數據訪問權的邊界。在這一意義上，貢獻原則只反映了數據來源者（用戶）與數據持有者之間的利益沖突，未能整體洞徹數據訪問權背后的利益格局。

三、數據訪問權的功能定位

作為一類新型數據權利，數據訪問權的工具屬性十分強烈，如果其在后續立法中得以落實，勢必對數據市場產生深遠影響。為此，有必要結合《數據二十條》以及我國相關數據立法、司法實踐，厘清數據訪問權與相關數據權利、行為之間的關系，明晰其在我國數據法律制度中的功能定位。

（一）限制數據持有者權利

數據訪問權雖然使得數據來源者與第三人能夠訪問數據，但其也在很大程度上默認了數據持有者對數據的事實控制合法。數據來源者有權轉移、復制相關數據，數據持有者有義務提供數據。這一法律關系的潛在含義是，數據持有者對數據的事實控制地位是合法的，法律基于利益衡量，準許數據來源者可以從數據持有者處獲取、轉移相關數據，至于這一事實控制地位是否具有正當性則不在數據訪問權的考慮范圍之內。有學者就此批評歐盟《數據法案》看似沒有創設數據持有者權利，實際卻變相承認數據持有者擁有類似于知識產權的權利，數據訪問權的本質是法定許可［19］。而我國《數據二十條》規定的數據資源持有權、數據加工使用權、數據產品經營權（以下簡稱為“數據三權”）更接近于對事實的確認而非法律規范上的評價。

數據訪問權可以限制數據持有者權利，促進數據有效流通。立法者默認數據持有者的控制地位，既是對現實的妥協，也是對數據持有者的限制。一方面，數據持有者通過技術控制產生事實上所有權，法律即便否認這一控制的正當性，也無法通過立法直接改變數據資源分布現狀。如此立法既不現實，也可能遭到企業大規模的無聲抵制，損害法律的權威性，得不償失。另一方面，賦權亦是限權。這里包含兩層含義：第一，數據訪問權本身要求數據持有者在一定條件下負擔數據共享義務，打破了其對數據的絕對控制。這一“權利-限制”的安排大量存在于法律之中，如著作權中的合理使用制度便是著作權人與其他主體之間利益衡平的結果［20］。具體到數據領域，個人數據可攜權也有相同作用。個人數據可攜權被認為可以打破鎖定效應［21］，降低中小企業從事相關業務的門檻。相似地，數據訪問權也使得數據來源者可以獲取轉移數據，第三方也有機會使用此類數據，數據持有者不再獨家控制數據。第二，《數據二十條》賦予的“數據三權”也是對數據持有者權利的限制。如前所述，數據持有者無須任何法律賦權也能控制數據流通，法律構建數據持有者權利，實際上也是明確其控制數據的邊界。在這一點上，相較于歐盟《數據法案》默認數據持有者的控制地位，《數據二十條》選擇直接構建數據產權制度，無論這一選擇是否更優，至少就權利框架而言是更為清晰的。

數據訪問權還可以作為“數據三權”的產生依據。根據《數據二十條》第七條，數據加工使用權可以依法取得或依當事人合意取得。如之前分析，無論是數據來源者還是第三方，訪問數據的實質都是獲取、使用數據，這意味著訪問主體可以據此獲得數據加工使用權，即依法取得數據加工使用權［22］。當前，我國正在以數據知識產權地方試點工作探索“數據三權”的具體實現方式數據知識產權試點先行先試.（2022-12-23）［2024-04-02］.

https：//www.cnipa.gov.cn/art/2022/12/23/art_55_180961.html。

。由此，一個現實問題是：如果數據持有者將數據進行數據知識產權登記，數據來源者或第三方能否主張數據訪問？從數據訪問權的原理來看，數據持有者如何加工、使用或登記其持有的數據，是其自由所在，不影響其負擔的數據共享義務，這是兩個方面的問題。只要數據來源者或第三方依法提出訪問申請，即便數據已經被加工為數據產品，數據持有者也應當履行數據共享義務，根據訪問需求提供原始的機器生成數據或者數據產品中對應的部分數據，否則數據訪問權就有落空的可能。當然，數據來源者或第三方也不能訪問超過必要限度的數據，但這一點本身已經為數據訪問權的目的所強調，與登記無涉。同樣，數據來源者或第三方訪問所得數據經加工之后，只要符合登記條件，仍然可以進行數據知識產權登記。

（二）提供數據價值共享的權利依據

機器數據的產生牽涉多方主體，因此任何一方對之主張排他控制都難以得到法律承認，在尊重各方參與貢獻的基礎上，數據訪問權提供了各方共享數據價值的權利依據。從數據來源者的角度來看，數據訪問權并非排他性的財產權利，賦予數據來源者訪問權并不會阻礙數據持有者繼續加工使用數據，反而有利于促進數據利用，這也是尊重數據來源者參與數據生成的體現。進一步分析，如果認為數據來源者參與數據生成也不足以使得其獲得訪問權利，那么數據持有者沒有參與數據生成，只是收集整理，也沒有理由認為其就可對數據實施排他控制，因為先占原則在數據領域并不適用。在這一意義上，共享數據價值符合多方利益，數據訪問權之設置也契合企業數據權益的權利束性質［23］。

從第三方的角度來看，盡管數據共享是充分挖掘數據價值的重要渠道，但僅僅依靠市場的自發力量，機器生成數據的共享難以充分實現。一方面，出于競爭優勢的考慮，數據持有者缺乏與他人共享數據的動力。另一方面，第三方相較數據持有者可能處于弱勢地位，談判協商結果可能對其不利。數據訪問權雖然不能直接增強第三方的談判地位，但可以為其共享數據提供權利依據，在談判無法形成共識的時候，也可以依法定權利進行數據訪問。但也應指出，與通過當事人之間的合意來利用數據相比，數據訪問權只提供了能夠滿足最低限度需求的數據共享渠道，這不能也無法替代正常的數據交易，正如個人數據可攜權不能取代企業間的數據合作。

對于數據持有者來說，數據共享對競爭優勢的削弱程度有限，畢竟訪問數據范圍始終可控，推行利益主體間的數據共享反而有可能擴大其影響力。數據訪問權的落地離不開互操作性的設置，而構建不同平臺間的互操作性對于數據持有者來說也具有重要意義。互操作性也稱兼容性，是指通過一定的技術標準使不同設備、平臺、系統之間可以兼容或互操作［24］。在構建數據訪問權要求的互操作性環境的過程中，數據持有者可以推行自己的數據技術標準，擴大技術影響力，不同平臺、設備之間的兼容性也可能使得其有機會獲得更多的數據。不過，互操作性也可能導致技術標準壟斷，阻礙新興技術標準的產生。

（三）平衡相關主體的利益訴求

數據訪問權不同于一般的民事實體權利，它并不側重于保護單一主體的利益，而是試圖平衡各方利益訴求，訪問數據與各參與方的經濟利益直接關聯。就此而言，作為權利工具，數據訪問權的治理功能遠甚于個人數據可攜權。

首先，數據訪問規則可以作為一種事前監管規則。盡管數據能否作為競爭法上的必要設施在理論界還存在一定爭議［25］，但現實中由數據引發的反壟斷問題已經開始出現，如國內首起公共數據反壟斷訴訟案［26］。在該案件中，被告與全國車險平臺合作，將獲得的車險數據以付費查詢的方式經營，且只有企業才能查詢，作為車險數據來源者的自然人即便愿意付費也無法獲取相應數據。被告之行為是否構成濫用市場支配地位或許有待確認，但僅以數據訪問權視角觀之，限制作為數據來源者的自然人查詢車險數據這一做法不具有正當性。這也證明，設置合理的數據訪問規則能夠從事前減少爭議行為。有學者認為除非存在不利的壟斷行為，否則法律不應當提前介入數據市場［27］。但事實上，傳統的競爭法之所以著重強調事后監管，很大程度上是因為缺乏事前監管與事中監管的手段［28］。如果監管者可以通過設置一套合理的數據訪問規則進行預防性監管，那么也沒有必要固守事后監管理念。對此，歐盟《數據法案》設置的數據訪問權也被認為沿襲了歐盟競爭法精神，具有事前防止壟斷的作用［29］。

其次，數據訪問權也為各參與方提供了溝通對話的契機。法律史上可能從來沒有任何權利像數據權利（益）一樣錯綜復雜，又直接關系相關利益分配。數據訪問權作為一種治理型權利，可以在不同主體之間起到對話協商的作用，完善數據治理體系。從數據治理的角度來看，對數據訪問權的理解實質上包括了對創新與競爭的理解［30］，也牽涉到數據公平利用，因而不能僅從數據持有者與數據接收者的雙邊關系來看待數據訪問制度。無論是設計數據訪問規則，還是構建數據訪問環境，都離不開各方主體之間的溝通、協商乃至博弈，而非監管者一家之言下定論，也只有經過上述過程產生的數據訪問權才有落實的可能。例如，互操作性的構建可能需要行業協會、頭部企業牽頭參與，監管者在這一過程中可以作為協商者、主導者，但不宜直接下場強行推廣“一刀切”標準。這在個人數據可攜權上也有所體現：《個人信息保護法》第四十五條第三款雖授權國家網信部門制定具體的個人數據轉移條件，但這并不意味著網信部門可以忽視市場主體，自行制定標準。

四、數據訪問權的現實進路

數據訪問權如何從紙面走向實踐將是一大難題，尤其是在該權利的理論基礎仍飽受爭議的當下。成熟的法律規則與技術手段是個人數據可攜權落地的關鍵［31］，對數據訪問權來說也是如此。就法律制度而言，應當汲取歐盟《數據法案》的經驗，我國未來的數據訪問規則不宜規定過細，應當遵循從原則到規則的場景化立法路線，在尊重現有法律的基礎上逐步推進數據訪問權落地。從現實來看，工業數據空間可以作為實現數據訪問權的技術手段。

（一）場景化訪問規則設計的考量因素

《數據二十條》只對數據訪問權作了概括式規定，如何將之從政策文件變成法律規定將是未來數據立法的重難點。歐盟《數據法案》對數據訪問權的規定過于僵硬，并不是值得借鑒的對象，但可以作為經驗教訓，避免有關立法走向誤區。就當前而言，數據訪問權的立法設計宜粗不宜細，現實途徑是根據訪問場景設計訪問規則。

法律規則的適用范圍與具體程度成反比：規則越具有針對性，適用范圍就越窄。作為新型權利，數據訪問權的理論基礎不夠牢固，所應對的現實問題尚在變化之中，因此相關權利行使規則不宜過于詳細。歐盟《數據法案》設計的數據訪問規則十分精細，也因此引發了許多爭議。數據訪問權雖然是法定的非合同權利，但有關主體往往處于買賣、租賃等合同關系之中，數據訪問權便可能被規定在合同中。據此，歐盟《數據法案》對合同內容、無效情形等作了詳細規定。這種對數據來源者的特殊保護不一定具有正當性，因為數據來源者極可能是理性的商業主體而非個人，過度保護反而可能不利于其利益［1］。例如，數據來源者完全可以在合同中放棄數據訪問權以換取數據持有者在其他方面的讓步，但歐盟《數據法案》認為放棄該權利的合同條款無效，法律的刻意保護反而變成了一種束縛。

更重要的是，數據訪問權涉及的數據類型、訪問場景十分寬泛，試圖制定一套放之四海而皆準的訪問規則并不可行。首先，不同類型的機器生成數據對應的處理規則不同。例如，智能穿戴設備產生的健康數據與個人高度關聯，對該類數據的處理應當嚴格遵循“知情—同意”或基于法定事由的個人信息或個人隱私保護的處理規則；而農業生產設備產生的機器數據不具有人格屬性，對其利用更多地強調利益共享而非人格保護。其次，訪問場景之間的差異性遠大于共性。在歐盟已有的三類數據訪問場景中，對共同生成數據集的個別訪問場景與為創新目的進行的訪問場景之間幾乎不存在共通之處，強制不同場景適用同一套訪問規則不具有實際意義。當然，這并不意味著一般意義上的數據訪問權沒有存在價值，而是需要結合訪問對象、訪問場景來具體化。

由于數據利用高度依賴場景，基于場景設計訪問規則具有可行性。在界定訪問場景時，應當考慮如下因素：第一，個人數據處理應當具備合法性，符合《個人信息保護法》等法律規定。在機器生成數據中，有相當部分數據可能與個人相關聯，即個人（機器生成）數據，對這類數據的處理須遵循個人信息處理相關規則。如果這部分數據無法從技術上單獨處理，那么對于混合數據也應當予以較高程度的重視，以體現對人格尊嚴的尊重。第二，訪問范圍與訪問目的相適應。訪問范圍過窄或過寬都不符合數據訪問權的要求。如果訪問范圍過于狹窄，僅包括參與生成的原始數據，數據訪問權難以發揮應有作用；而如果訪問范圍過于寬泛，則可能使得數據持有者的數據權益形同虛設。無論是對數據來源者，還是對第三人，比例原則都可以平衡訪問需求與數據持有者權益之間的沖突。具體而言，可以根據訪問必要性、訪問范圍最小化、訪問范圍與訪問目的相稱等細則加以判斷。在參與生成的基礎上，結合訪問目的來確定數據訪問范圍，可以兼顧雙方利益。第三，原則上應當依照訪問目的利用數據，當然，也可與數據持有者進行協商。一個原因在于，超出訪問目的利用數據，不符合上文比例原則的要求。

（二）以技術架構作為實現手段

實現數據訪問權離不開法律規范，但技術的作用也不容忽視。個人數據可攜權的實現離不開數據格式、步驟、訪問技術標準等互操作環境，而這一權利本身也在促進不同平臺間的互操作性［32］，數據訪問權亦復如是。實現互操作性需要多個法律部門長期協作，絕非一日之功。僅就數據共享技術的選擇來看，工業數據空間（industrial data spaces，IDS）可能提供了一條可行的數據訪問技術實現路徑。

工業數據空間是指通過一定技術建立的可信安全的數據共享環境，支持供需雙方數據“可用不可見”共享開發的虛擬架構［33］。近年來，歐盟、英國、日本等國家或地區大力推動工業數據空間發展，先后出臺多項支持政策；中華人民共和國工業和信息化部也將“在重點行業建立工業數據空間”列入工業互聯網創新發展行動計劃工業互聯網創新發展行動計劃.（2021-2023年） （2020-12-22）［2023-06-12］.https：//www.miit.gov.cn/zwgk/zcwj/wjfb/txy/art/2021/art_710b90df3c01495bb0429fa9ee781cdd.html。。該技術雖然用于制造業企業間的數據共享，但作為一種虛擬架構，其設計理念對于機器生成數據來說依然是適用的。首先，工業數據空間的技術特點是數據共享全流程安全可控，可以消弭數據持有者對于數據訪問可控性的擔憂。例如，如果數據持有者認為某些數據不可復制轉移，但又確實為數據來源者所需要，便可要求數據來源者通過工業數據空間進行訪問，在其使用一定時間或次數之后，將該數據刪除，整個訪問過程都處于數據持有者的控制之中。其次，從更為宏觀的角度來看，這一技術架構也是一種約束。事物的架構可以作為約束行為的重要手段，架構與法律規則互相影響［34］134-135。例如，香煙的不同制作工藝可以讓人更容易或難于上癮，法律也可以規定制作工藝標準。在虛擬空間中，架構就是代碼。當人們能夠通過信息技術對行為進行有效規制時，技術與法律的邊界開始模糊，產生“代碼即法律”的現象。對數據訪問權而言，選擇數據共享技術，也是在選擇行為約束框架。

或有觀點認為，工業數據空間一般用于企業間自愿數據共享，而數據訪問權屬于強制共享，二者預設的使用場景不同，不能以工業數據空間實現數據訪問權。這一見解過于強調技術目的，不免陷入認識誤區。數據訪問權雖以強制共享作為基礎，但真正落地仍然離不開數據持有者的配合。所謂強制性是指共享數據作為數據持有者的義務，而具體如何實現需要數據持有者和需求方達成一致。再者，雖然工業數據空間預設的使用場景是工業數據交易，但技術是為目的服務的。要想將數據訪問的場景嫁接到工業數據空間，只需按照數據訪問權的要求對其框架進行調整即可，真正重要的是這一技術架構可能契合數據訪問權的要求。從現實來看，沒有道理認為工業數據空間與數據訪問權完全不兼容。根據中國信息通信研究院發布的研究報告，我國現有的工業數據空間實踐重視數據安全可信流通，可以保障數據持有者提供的數據不被發送給其他主體2022可信工業數據空間系統架構1.0白皮書.http：//www.aii-alliance.org/index/c318/n3019.html。。這種技術設置完全可以應用于數據訪問權。

五、結 語

作為一種新型數據權利，我國《數據二十條》借鑒歐盟《數據法案》的規定，認為數據訪問權本質上是立法者對機器生成數據利益進行再分配的權利工具。如同其他新型權利，數據訪問權存在法理基礎不牢固、權利設置存疑等問題。運用利益衡量方法分析數據訪問權背后的兩組利益矛盾，我們發現，在總體利益最大化的衡量標準下，用戶（數據來源者）以及第三方的數據訪問權只在滿足用戶服務需求的范圍內成立，超過這一范疇就不再具有正當性。我國《數據二十條》規定的“誰貢獻，誰有權”只是這一邏輯的部分反映。圍繞這一邏輯，可以運用比例原則等法律原則來限定訪問數據范圍。

數據訪問權的意義不限于訪問本身。在數據治理體系中，數據訪問權還有限制數據持有者權利、提供數據共享的權利依據和溝通各方主體等功能，可以進一步完善數據治理體系。場景化設計訪問規則是數據訪問權實現的制度前提，而工業數據空間可以在技術層面輔助實現數據訪問權。

但數據訪問權要從理論走向實踐，還有許多問題需要解決，如怎樣從法律上保障數據訪問權可實現，數據訪問權是可訴的權利還是程序性的溝通權利，數據訪問權的互操作性應當如何構建等。這些問題難以在短時間內找到答案，歐盟《數據法案》也未給出令人滿意的安排。根本上，數據訪問權談不上是機器生成數據流通的最佳方案，只是解決了數據流通中的強制共享問題，或者更為準確地說，只解決了其中的部分法律問題。這也讓我們明白，數據的法律之治仍然是動態、開放的，不存在一套法律方案可以一勞永逸地解決數據流通問題。

參考文獻：

［1］ 丁曉東.論數據來源者權利［J］.比較法研究，2023（3）：14-25.

［2］ 李曉宇.智能數字化下機器生成數據權益的法律屬性［J］.北方法學，2021，15（2）：44-53.

［3］ 司馬航.歐盟數據財產權的制度選擇和經驗借鑒——以歐盟《數據法》草案切入［J］.德國研究，2022，37（3）：107-124.

［4］ DREXL J， FETZER T， GRUNBERGER M， et al. Data access， consumer interests and public welfare［M］. Baden-Baden： Nomos， 2021.

［5］ 陳舟，鄭強，吳智崧.我國數據交易平臺建設的現實困境與破解之道［J］.改革，2022（2）：76-87.

［6］ 蔡培如.個人信息可攜帶權的規范釋義及制度建構［J］.交大法學，2023（2）：59-73.

［7］ 丁曉東.數據公平利用的法理反思與制度重構［J］.法學研究，2023，45（2）：21-36.

［8］ KERBER W.Governance of IoT data： why the EU data act will not fulfill its objectives［J］.GRUR International， 2023， 72（2）： 120-135.

［9］ 李依怡.論企業數據流通制度的體系構建［J］.環球法律評論，2023，45（2）：146-159.

［10］ 默勒斯.法學方法論［M］.杜志浩，譯.北京：北京大學出版社， 2022.

［11］ 拉倫茨.法學方法論［M］.黃家鎮，譯.北京：商務印書館，2020.

［12］ 張新寶.從隱私到個人信息：利益再衡量的理論與制度安排［J］.中國法學，2015（3）：38-59.

［13］ 孔祥俊.《民法總則》新視域下的反不正當競爭法［J］.比較法研究，2018（2）：92-116.

［14］ 胡凌.探尋網絡法的政治經濟起源［M］.上海：上海財經大學出版社，2016.

［15］ 劉穎.數字社會中算法消費者的個人信息保護體系構建［J］.廣東社會科學，2022（1）：261-271.

［16］ 楊芳.個人公開信息爬取中侵權法與競爭法的互動［J］.中國法律評論，2022（6）：143-157.

［17］ 周樨平.大數據時代企業數據權益保護論［J］.法學，2022（5）：159-175.

［18］ 蔡川子.數據抓取行為的競爭法規制［J］.比較法研究，2021（4）：174-186.

［19］ ECKARDT M，KERBER W. Property rights theory， bundles of rights on IoT data， and the EU data act［J］. European Journal of Law and Economics， 2024： 1-31.

［20］ 李楊.著作權合理使用制度的體系構造與司法互動［J］.法學評論，2020，38（4）：88-97.

［21］ 王錫鋅.個人信息可攜權與數據治理的分配正義［J］.環球法律評論，2021，43（6）：5-22.

［22］ 許可.從權利束邁向權利塊：數據三權分置的反思與重構［J］.中國法律評論，2023（2）：22-37.

［23］ 周樨平.大數據時代企業數據權益保護論［J］.法學，2022（5）：159-175.

［24］ 周漢華.互操作的意義及法律構造［J］.中外法學，2023，35（3）：605-624.

［25］ 陳永偉.數據是否應適用必需設施原則？——基于“兩種錯誤”的分析［J］.競爭政策研究，2021（4）：5-17.

［26］ 蔡曉儀，杜玉全.國內首例公共數據反壟斷訴訟案：車險數據查詢平臺被訴濫用市場支配地位，法院已受理［EB/OL］.（2022-09-21）［2023-06-10］.http：//k.sina.com.cn/article_6105713761_16bedcc6102001582s.html.

［27］ 丁曉東.數據公平利用的法理反思與制度重構［J］.法學研究，2023，45（2）：21-36.

［28］ 楊東.論反壟斷法的重構：應對數字經濟的挑戰［J］.中國法學，2020（3）：206-222.

［29］ RIIS N.Shaping the field of EU data law［J］.Journal of Intellectual Property，Information Technology and Electronic Commerce Law，2023，14，（1）：54-65.

［30］ 王洪亮，葉翔.數據訪問權的構造——數據流通實現路徑的再思考［J］.社會科學研究，2023（1）：71-84.

［31］ 丁鳳玲，彭建.還數于民：實現個人數據自決的“新”數據中介［J］.華中科技大學學報（社會科學版），2023，37（4）：74-84.

［32］ DE HERT P， PAPAKONSTANTINOU V， MALGIERI G， et al.The right to data portability in the GDPR： Towards user-centric interoperability of digital services［J］.Computer Law & Security Review， 2018， 34（2）： 193-203.

［33］ 劉麗超，高嬰勱，王宇霞.德國工業數據空間建設經驗解析及啟示［J］.軟件和集成電路，2023（5）：76-79.

［34］ 萊斯格.代碼2.0：網絡空間中的法律［M］.李旭，沈偉偉，譯.北京：清華大學出版社，2018.

Maximizing Data Use： Legal Reflection and Functional Positioning of the Data Access Rights

DING Fengling PENG Jian

（Law School， Fuzhou University， Fuzhou 350108， Fujian， China）

Abstract： In order to facilitate the circulation of machine-generated data， the European Unions The Data Act （draft） proposed the right of users to access and use data， which is also stipulated in “Opinions of the CPC Central Committee and The State Council on building a Data Basic System to better play the role of data elements”. The principle underlying this right is “who contributes， who has the right”， but this theory lacks a basis for accommodating the access needs of third parties， and the right itself also raises suspicions of undermining fair competition. From the perspective of balancing interests， under the standard of maximizing social interests， both users and third parties should have the right to access machine-generated data or data sets within the scope of meeting users service needs. At the same time， the relevant personal data protection system should be observed. This interest-based logic is more aligned with the original intention of the data access right than the “who contributes， who has the right” principle. The significance of the data access right extends beyond access itself; it also encompasses limiting the rights of data holders， providing a basis for value sharing of data， and creating opportunities for dialogue among all participants. In terms of implementation， due to the diversity of data types and access scenarios， access rules need to be scenario-designed， and technical architectures such as industrial data spaces can be used as a means of realization.

Key words：machine-generated data; data access right; data producer; data holder