數字經濟背景下數據流通的概念界定

[摘" " 要] 數字經濟的發展與數據經濟效益的提升離不開數據的流通，以及對數據的聚合與利用。數據流通的前提與基礎在于界定數據的權利與權屬。然而，目前我國對數據流通的法律屬性與概念尚未形成明晰界定?；诖耍梢允紫葟臄祿a權制度的構建出發，在內部架構上明確數據控制權、數據管理權，并對數據交易和交換進行概念界定。其次，在數據產權的外部架構上，構建“看別人”的數據訪問權，由此對數據的開放與共享進行概念界定。再次，在數據權利與權屬界定的基礎上，數據流通的法律屬性應被界定為數據權屬的變動，數據流通的法律概念應當被界定為數據權利的取得，即對數據控制權、數據管理權和數據訪問權三項權利的取得。最后，與數據權利的原始取得相比，數據權利的繼受取得更能體現數據從一法律主體轉移到另一法律主體的過程，即數據流通的法律概念應被界定為數據權利的繼受取得。

[關鍵詞] 數據流通；數據要素市場；數據產權；數據二十條；數字立法

[中圖分類號] D922.294" [文獻標識碼] A" [文章編號] 1002-8129（2025）08-0041-15

一、問題的提出

自黨的十九屆四中全會通過《中共中央關于堅持和完善中國特色社會主義制度 推進國家治理體系和治理能力現代化若干重大問題的決定》以來，數據便列為與勞動、資本、土地、知識、技術、管理并列的主要生產要素之一。因此，亟須構建以數據流通為導向的數據產權制度，以界定不同數據的流通場景并規范相關要求。2022年，中共中央、國務院發布《關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱《數據二十條》）明確指出，要“構建適應數據特征、符合數字經濟發展規律、保障國家數據安全、彰顯創新引領的數據基礎制度”。

2024年，國家數據局發布《數據領域名詞解釋（公開征求意見）》（以下簡稱《數據名詞解釋》）。該文件通過有限列舉的方式，對數據流通進行了定義，即數據流通主要指數據在不同主體之間流動的過程，包括數據開放、共享、交易、交換等。然而，《數據名詞解釋》僅將數據交易簡單界定為“以數據作為標的的交易行為”，未對數據的交換、開放與共享作進一步的解釋說明。同時，《數據名詞解釋》也未清晰界定數據交易的主體及其權限范圍，僅從供需角度對相關主體進行了基礎性描述。

在《數據名詞解釋》中，數據流通的法律概念、數據權屬以及相關主體的法律關系同樣未被明確。從實踐來看，數據流通不暢無法被有效界定以及相關概念缺失的根本原因在于數據產權的缺失與數據權屬的不明晰。比如，因數據產權的缺失，無從認定能對數據實施交易和交換行為的主體。這也意味著，在權屬不明的情況下，任何對數據的交易或交換行為均會被界定為無權處分[1]，進而無法受到法律的有效保護。據此，本文擬在《數據二十條》的基礎上，構建以主體相關性和行為相關性為主導的數據產權與相應權屬的判斷模式，以期對數據流通的法律屬性和法律概念進行界定。

本文認為，明確數據流通的起點是明確誰對何種數據享有何種權利的依據，而數據產權制度的構建就是提供邏輯起點的基礎。若權利界定不清，則無法有效提供數據流通的邏輯起點[2]。以有形之物為例，動產與不動產的流通方式以所有權的變動為主要表現形式，具體表現為，流通的法律屬性與取得的法律效果就是財產權屬的變動。與之相反，若自然人單純將其享有所有權的動產從A地轉移至B地，雖在物理上實現了財產的位置轉移，但并不存在權利主體的變動，因為財產的權屬沒有發生任何改變，權利主體依然是既存的法律主體。據此，數據流通的法律概念應指不同法律主體取得數據權利的過程，即視為數據權利的取得。相應的，數據流通的法律屬性與取得的法律效果應為數據權屬的變動。換言之，數據流通的核心在于數據權屬是否發生變動，而非數據是否被轉移或傳輸。

基于此，數據流通的研究應以數據權利及其權屬為核心，承認并保護不同類別的數據利益[3]。故本文擬通過對數據產權的構建，對數據流通的法律屬性和法律概念進行解構。同時，本文將圍繞數據產權的構建、數據權屬的界定、數據權利的取得和數據權屬的變化，對數據流通進行分析。區別于僅通過有限列舉的方式，將數據流通解釋為數據的交易、交換、開放與共享，本文將以更為凝練的方式對數據流通的法律概念進行界定。

二、數據交易與數據交換的界定——基于數據的控制與管理

現階段，數據已然無法成為所有權等傳統物權的客體[4]。其一，數據具有無形性、可復制性、非競爭性與非排他性，無法像有形物一樣被權利人排他性支配[5]。其二，所有權的強排他性保護模式在本質上阻礙了數據的加工、使用與流通[6]。其三，大部分數據雖不具備獨創性，但數據所承載的信息本身具有關聯性、針對性，所有權或專有權已無法滿足數據的聚合與整合等需求[7]。通常，所有權與數據的沖突并不影響數據成為產權的客體，因為財產法本身就是一個較為開放的體系[8] 35，財產權的功能更是具有定分止爭的效果。數據雖具有無形性、可復制性、非競爭性與非排他性，但因其本身是“以電子或者其他方式對信息的記錄”1，故數據仍具有可控制性，因而其能夠作為產權的客體。因此，對于數據產權的構建，須充分考量數據的四種特性，平衡好數據的保護與流通?；诖耍疚膶⒁詳祿魍閷颍瑢祿a權進行內部構建，進而對數據交易與數據交換進行概念界定。同時，本文將以數據控制權為切入點，從數據處分視角出發，對數據可攜帶權的功能與作用進行辨析，進一步將其界定為對數據的一種特殊處分權能，以實現將“零散”的數據權利進行有效的整合與統一。在對數據產權進行內部構建后，本文擬從權利取得的角度對數據交易和交換進行概念界定。

（一）以控制與管理為主導的數據產權構建

本文采用權能分離的視角，將數據產權解構為數據控制權與數據管理權。同時，為確保數據在多元主體間的有效流通，所構建的數據產權架構須與數據訪問權、數據可攜帶權相銜接?；诖?，數據產權的構建需引入必要的排他性以保障基礎財產權益與市場秩序，但這種排他性應區別于傳統所有權項下的絕對排他性。此外，通過引入主體相關性與行為相關性，對數據權屬加以界定，數據產權內部結構如圖1所示。

首先，在客體方面，數據產權的客體應包含所有類型的數據。其次，在主體方面，數據產權對應的主體具有雙重性，即數據承載的信息所針對的主體，以及實施收集、存儲等行為的數據行為主體。最后，在權益上，數據產權包含數據控制權與數據管理權。通常情況下，上述兩項權利并不會分離，其分離多由技術要求等客觀因素所致，表現為數據產權主體在保留數據控制權的同時，將數據管理權對外授權。如微信用戶作為其個人數據的產權主體，在保留數據控制權的同時，將數據的管理權授權由企業行使。企業獲得授權后，即有權依據《中華人民共和國數據安全法》（以下簡稱《數據安全法》）的規定，對數據實施除公開與提供行為外的其他相關行為，如收集、存儲、使用、加工、傳輸等。從管控分離的角度講，上述情形可被解構為以下幾個部分：

第一，用戶與提供服務的企業簽訂用戶授權協議。此時，企業有權對相關信息進行收集。

第二，企業將收集的信息置于數據（載體）之上，使作為載體的數據與作為內容的信息融合，生產出承載信息的數據。此時，該數據具有相應的數據產權并由用戶取得該數據的完整產權。

第三，按照用戶與企業之間的授權許可協議，該數據產權實現管控分離，即用戶保留數據控制權，企業依據用戶授權協議取得該數據的管理權。

第四，按照當下的數字經濟模式，用戶通常會將數據控制權中的收益權能作為對價一并轉讓給企業，以換取零價格服務。值得一提的是，上述環節僅是通過法學理論來解構。實踐中，這些環節均由用戶在點擊授權許可時一并完成。

從國際經驗來看，歐盟《通用數據保護條例》（以下簡稱GDPR）將數據控制者界定為對數據具有實際管理能力的主體。從實踐來看，對于數據控制權與數據控制主體，應當按照主體相關性與行為相關性的雙重標準進行判定，而并非以實際管控能力來界定。以個人數據為例，用戶作為數據的擁有者，享有對其個人數據的控制權。數據控制權的核心功能在于對數據最終的處置權能及相關能力，如轉讓、提供、公開、刪除等。收集用戶個人信息的企業僅享有對承載該個人信息的數據實施加工、使用、存儲的權限，即企業僅對個人數據享有管理權，且應當被認定為數據管理主體。與此同時，歐盟《數據法》將數據持有者表述為實際控制數據的主體。然而，數據持有者概念本身較為模糊，主要指相關主體通過基礎設施，形成對數據及數據副本的事實控制[9]，但并不等同于其獲得了相關數據的權利。此外，對數據的持有本質上應當被視為數據的存儲行為，屬于管理權的一種行使方式，不能僅憑存儲行為就推斷其對數據擁有所有權或其他權屬。從國內現有的法律條文看，《數據名詞解釋》沿用了《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）中的定義，將數據處理界定為對數據進行收集、存儲、使用、加工、傳輸、提供、公開、刪除等行為。本文構建的數據管理權，其權限范圍僅包含對數據的存儲、使用、加工、傳輸行為。相應的，數據的提供、公開、刪除等行為，則屬于數據控制權下的具體處分形式。為明確區分這兩種權利內涵及其對應的行為，本文選擇使用數據管理而非數據處理來表述相關概念。

（二）數據可攜帶權——對數據的一種特殊處分權能

在構建以管控分離為核心的數據產權體系時，有必要對數據可攜帶權進行必要的概念明晰。數據的攜帶與轉移作為數據流通的一種表現形式，具有促進數據流通的功能與作用[10]。為此，需要將數據可攜帶權與數據控制權、數據管理權相結合，以系統性地完善數據產權的內部構造。在歐洲，GDPR確立了個人用戶數據可攜帶權，并要求該條例語境下的數據控制者為個人用戶提供數據互操作性，以促進其轉移數據。

數據可攜帶權主要指用戶轉移其個人數據的權利，該權利具有雙重意義：既保障用戶對其個人數據的傳輸自由，也有助于防止不公平競爭[11]。其本質在于數據的可攜帶性，即數據控制者有權要求當前的數據管理者以結構化、通用化、可機讀的格式將數據轉移至其他數據管理者。GDPR將數據可攜帶權嚴格規定為個人用戶的一項重要權利。通常個人用戶在更換產品或服務時，原產品或服務提供者應當輔助或協助個人用戶轉移其數據給其他產品或服務的提供者。但歐盟《數據法》在數據共享章節中將數據可攜帶權的權利主體擴大至非自然人（如企業）。整體而言，無論是GDPR還是歐盟《數據法》，數據可攜帶權的核心本質均是允許主體將其自身相關數據轉移至其他主體。相較之下，我國《個人信息保護法》第45條規定了個人信息轉移權，但該權利主體范圍嚴格受限，僅限于自然人享有。

無論是數據可攜帶權還是個人信息轉移權，二者的核心都是加強用戶對其個人數據的控制，以實現數據自決。在本文架構的數據產權模型下，數據可攜帶權與個人信息轉移權均被數據控制權下的處分權能所涵蓋，無須以獨立的形式存在。實際上，數據控制者轉移其控制的數據，本身就是對數據進行處分的一種形式。具體而言，數據控制主體在使用其數據的過程中有權決定是否對相關數據進行轉移，或變更數據管理主體。據此，在管控分離的數據產權架構下，數據可攜帶權所針對的權利主體就是數據控制主體。而數據可攜帶權所對應的輔助攜帶義務的承擔主體則是數據管理主體。具體表現為，當數據控制者更換同類服務或享受其他生產經營者提供的產品服務時，既存的數據管理者需協助數據控制者遷移數據至其他產品或服務。

雖然數據可攜帶權可被納入數據控制權的處分權能范疇，但要想更為準確地描述數據流通的類別與場景，仍需采用數據可攜帶權的概念來描述數據控制主體在行使數據可攜帶權的過程中所創設的法律關系，并最終實現數據的流通效果。同時，此處的數據處分主要指狹義的處分，即針對數據控制權的轉讓。廣義的數據處分不僅包括數據控制權的轉讓，還包括數據的轉移、公開以及以協議的方式將管理權與訪問權對外授權。本質上，數據可攜帶權的行使就是數據流通的一種具體變現形式。因為在法律屬性上，其行使過程涉及數據權屬的變動，使得其他生產經營者依法取得了相應的數據管理權。實踐中，行使數據可攜帶權的主要場景為應用程序的一鍵登錄。類似場景中，用戶與新的經營者之間的法律關系為保留控制權，將管理權對外授權，但該過程的實現需要既存的經營者（數據管理主體）協助用戶轉移數據。

（三）數據權屬的界定

數據的流通以數據權屬的界定為前提。這是因為數據流通的法律本質體現為數據權屬的變動，其核心的法律概念表現為其他法律主體對數據權利的取得。因此，數據權屬的界定是構建數據流通制度的前提條件，而權屬變動則是數據流通的法律效果。在管控分離模式下，數據權屬的界定遵循雙重遞進邏輯，即數據控制權在靜態層面界定數據的權屬，而數據管理權則是在動態層面為實施相關數據行為提供權利基礎。二者共同構成數據流通制度的邏輯支撐。其中，數據控制權的歸屬判斷主要依據數據與主體的相關性。然而，當數據所承載的信息缺乏主體相關性時，其控制權歸屬則需依據行為相關性進行判斷。具體如下：

第一，對于自始即不具備主體相關性的原始數據（如自然人或企業生產的科研數據），其權屬的判斷邏輯應主要基于行為相關性，即誰生產誰享有。

第二，對于經匿名化等數據加工行為切斷了主體相關性的衍生數據，如企業對個人數據進行匿名化并進行加工整合后而形成的群像數據，其權屬判斷邏輯主要基于行為相關性，即誰實施了匿名化等切斷主體相關性的行為，誰便享有該數據[12]。

在價值位階上，主體相關性優先于行為相關性。當數據所承載的信息不具備主體相關性時，行為相關性方可被用來判斷數據控制權的權屬，具體權屬判斷邏輯如圖2所示。

事實上，上述所論及的場景屬于較簡化的模式，而《數據名詞解釋》對數據處理者與委托數據處理者作了嚴格區分。數據處理者主要指對數據實施收集、存儲、使用的主體，委托數據處理者則主要指受他人委托對數據進行收集、存儲、使用的主體。二者的本質區別在于，在實施具體的數據處理行為時，數據處理者享有決定處理目的和方式的自主權，而委托數據處理者則無此自主權，其行為受委托關系的約束。換言之，二者的區別源于引發數據處理的法律行為不同。 鑒于數據流通以數據權屬界定為前提，本文將從事實行為和法律行為的雙重視角，系統界定數據權屬、辨析數據權利主體，為數據流通的概念奠定理論基礎。

如企業A委托企業B生產一個不具備主體相關性的數據a，或作為數據管理主體的企業A委托企業B對其所管理的具備主體相關性的數據加以匿名化處理。此時，需要對相應的行為進行分析。從法律性質上看，數據管理行為如對數據的加工、使用等，應當被界定為事實行為[13]。然而，該種事實行為的實施并不意味著行為主體取得了相關數據的控制權或管理權，也不意味著行為主體成了權利主體。

本質上，辨析數據權屬需對事實行為的誘因進行分析。如在自然人用戶與企業的雙方法律關系中，企業A實施的事實行為之誘因為自然人用戶和企業A之間的民事法律行為，即授權許可協議。相應地，在管控分離的數據產權模式下，企業僅能依據授權許可協議和其所實施的事實行為取得數據a的數據管理權，而自然人用戶基于其實施的法律行為取得數據控制權。在此基礎上，若企業A2委托企業B對自然人的個人信息加以收集并形成個人數據，此時，雖然企業B在客觀上實施了數據管理這一事實行為，但企業B實施相關行為的誘因是基于企業A所做出的法律行為，企業B僅是受托數據管理者，其不享有任何數據權利。與授權許可協議不同，委托協議僅是將具體的事務交由受托方完成，并不存在權利授予，故企業B不享有任何數據權利（控制權與管理權），因為企業B僅是代企業A實施相關事實行為。此時，數據控制權依然由自然人用戶享有，而數據管理權則由企業A享有。換言之，單純的委托協議并不會產生數據流通的效果。

相應的，對于不存在主體相關性的數據，可以分兩種情形討論其權屬：一是數據自始即無主體相關性；二是數據經匿名化處理而喪失主體相關性。具體而言，首先，若企業A委托企業B生產自始不具備主體相關性的數據a，除非協議另有約定，企業A取得數據a的完整產權，企業B既不取得數據控制權也不取得數據管理權。因為引發相關事實行為的誘因為委托合同而非授權許可協議，企業B并不能單純基于其實施的事實行為而取得相關數據權利。其次，若企業A委托企業B對數據a實施匿名化行為。若非協議另有約定，經匿名化后不具備主體相關性的數據a之完整產權依然由企業A享有，企業B同樣不能獲得任何數據權利。由此可見，能否擁有數據權利的核心在于法律行為的實施。換言之，授權許可協議既是數據管理行為的合法性基礎，也是權利取得的基礎；委托協議只是數據管理行為的合法性基礎。上述分析與我國《數據名詞解釋》的相關規定一致。

綜上，數據權屬的界定與歸屬的判斷方式是以主體相關性與行為相關性為基礎。同時，在行為相關性的判斷上，需以法律行為而非事實行為為核心。質言之，數據產權的歸屬主要是判斷數據控制權的歸屬，存在對數據主體相關性與數據行為相關性的雙重判斷。首先，數據承載的信息所針對的主體對該數據享有控制權。其次，若數據所承載的信息不具備主體相關性，則根據法律行為與事實行為對數據控制權的權屬加以判斷。此外，實施切斷主體相關性的主體不得排斥其他主體實施同樣的行為。由此可見，通過對數據權屬的界定，能夠有效明確實施數據轉讓、公開、提供、攜帶的主體，即數據控制主體。而數據管理主體無權對數據進行轉讓、公開與提供?？傊?，數據權屬的界定是數據流通的基礎，唯有在數據權屬明晰的情況下，才能對數據的交易、交換、開放與共享進行法律權屬判斷。同時，明確數據權屬是確定數據交易、交換等行為權利主體的前提。

（四）數據交易與交換的法律概念界定

在管控分離的數據產權模型和權屬界定架構下，本文對《數據名詞解釋》中數據流通的定義進行限定性解釋，聚焦于數據的交易與交換行為。本文主張，數據的交易與交換本質上是數據控制主體轉讓數據控制權的行為。其中，以金錢給付為對價的控制權轉讓應被界定為數據交易；以數據給付為對價的控制權轉讓應被界定為數據交換。二者的核心區別為給付標的的不同。具言之：

數據交易是指數據控制主體與交易相對人之間，以數據或數據各類形態為標的，并以金錢給付作為對價的交易行為。交易相對人自數據控制主體處取得數據控制權或完整的數據產權。

數據交換是指數據控制主體與交易相對人之間，以數據或數據各類形態為標的，并以數據給付作為對價的交易行為。交易相對人自數據控制主體處取得了數據控制權或完整的數據產權。

此外，要明確數據共享與數據開放的概念，需依托數據產權制度的外部構建。在管控分離的數據產權架構下，數據流通不僅表現為交易、交換、開放和共享，還有其他形式。如對外授權數據管理權就是一種重要的數據流通方式。數據可攜帶權的實施則是另一種表現形式，它允許數據主體將數據轉移到新的管理者處。二者的共性在于，其均是通過保留控制權將管理權對外授權；二者的區別在于，數據控制主體是否主動提供數據，以及在具體的授權過程中是否需要既有的數據管理主體加以協助，將數據轉移至新的數據管理主體處。

三、數據開放與共享的界定——基于數據的訪問

前文已通過管理權與控制權分離的方式，構建了數據產權的內部結構。誠然，管控分離本身就是數據流通的主要表現形式。如個人通過保留數據控制權對數據管理權進行對外授權，就是數據流通的一種。此外，數據控制權主體直接將數據控制權進行轉讓也可被界定為數據的交易與交換。然而，數據產權的內部構建并不能精準描述數據的開放與共享，以及其各自的法律屬性和權屬狀態。因此，本文擬以數據訪問權為切入點，通過界定“看別人”的數據訪問的權利屬性和權利內容，對數據產權進行外部構建，并明確數據開放與數據共享的概念，從整體上對數據流通進行有效解構。通過對“看別人”數據訪問權的構建，數據開放可被界定為數據控制主體通過公開數據的方式，授權不特定第三方主體對已公開的數據進行訪問。數據共享可被界定為數據控制主體以簽訂授權訪問協議的方式，來授權特定的第三方對相關數據進行訪問。因此，對數據的開放與共享的界定，在于對“看別人”數據訪問權的構建，故本文將圍繞數據訪問權的重新定義、數據訪問權的取得方式和權利屬性，以及數據的開放與共享等問題進行論證。

（一）數據訪問權的重新定義

和界定權屬為主要功能的數據控制權與數據管理權不同，數據訪問權的主要功能為不具備數據控制權與管理權的第三方主體對相關數據進行訪問的權利，從而達到數據流通的效果。需要說明的是，與GDPR和歐盟《數據法》所確立的數據訪問權不同，本文所論述的數據訪問權更偏向于競爭法的維度，主要指“看別人”的數據訪問權。

首先，GDPR第15條確立的數據訪問權為個人用戶查閱自身數據的權利。其次，歐盟《數據法》雖然擴大了數據訪問權的權利主體，即自然人用戶與企業用戶，并為數據持有主體（Data holder）構筑了相應的義務，以幫助用戶訪問與其相關的數據，但該種數據訪問權依然屬于“看自己”的范疇。本文中的數據訪問權與我國《個人信息保護法》規定的個人信息查閱權也存在本質區別?！秱€人信息保護法》所規定的個人信息查閱權實為“看自己”數據的權利。從個人信息保護的維度上講，該種權利滿足了保護個人信息的基本需要，但在促進數據流通上卻存在局限。

本文認為，《個人信息保護法》已經架構了個人信息查閱權，滿足了自然人用戶的知情需求，并不需要再次創立權利內容幾乎一致的“看自己”的數據訪問權。與偏向于知情權的個人信息查閱權相比[14]，“看別人”的數據訪問權更有助于數據的流通與信息的傳播和使用。相應的，從數據流通的角度看，數據訪問權更應當被界定為“看別人”的權利，即對其不享有的數據進行訪問的權利。同時，數據訪問權的權利主體并非要局限于自然人，企業也應該同樣享有“訪問他人數據的權利”。

（二）“看別人”的數據訪問權的理論基礎

事實上，“看別人”的數據訪問權之理論基礎更多出于對經濟學的回應與考量，即某一法律主體從某一事物中受益的權利[15]，以及市場競爭的考量。由此，“看別人”的數據訪問權可被界定為：第三方主體對他人數據進行訪問并了解其所承載信息的權利。雖然目前我國尚未有直接確認該權利的法規，但通過對國際競爭執法案例的分析可見，這種訪問權已成為數據流通的重要方式。

在意大利國家電力公司訴谷歌案中，谷歌拒絕第三方公司（Enel X）開發的應用程序“JuicePass”在谷歌開發的應用程序“Android Auto”上運行[16]。該案中，意大利競爭和市場管理局（AGCM）表示，谷歌實施的拒絕提供訪問權限的行為不公平地限制了用戶使用“JuicePass”的可能，損害了用戶的應用程序選擇自由。據此，AGCM責令谷歌為第三方公司提供必要且適配的工具和數據訪問權限[17]。

2020年，英國競爭生產管理局強調，谷歌應當許可第三方商家對其點擊與查詢（Click amp; Query）數據進行訪問，以實現數據的流通[18]。

2021年，歐盟競爭委員會要求愛爾蘭保險公司不得實施減損第三方商家介入其數據共享系統與訪問其數據的行為，并認為限制訪問數據的行為會造成市場結構損害、市場競爭減損、減少消費者選擇等不利后果[19]。

通過對上述案件的梳理，可得出域外執法機構對數據訪問權權利內容的界定取向，即其更加關注第三方主體對其尚未取得的數據進行訪問，并了解數據所承載的信息內容，而非對承載關于自身信息的數據進行查閱。綜上，數據流通的實現依賴于第三方主體對數據訪問權的行使。誠然，“看別人”的數據訪問權的理論基礎來源于競爭法，但數據訪問權并非自然取得，第三方主體是否能夠對數據進行訪問依然要先判斷其是否存在相應的權利基礎。

除域外執法案例外，經濟合作與發展組織（以下簡稱OECD）也將數據訪問界定為促進數據流通的主要方式之一。2019年，OECD在《提高數據訪問和分享：平衡跨域數據流通利用的風險和好處》中系統闡述了數據的訪問與數據開放程度的關系，并將向不特定第三方主體公開數據以提供訪問界定為最大限度的數據開放形式。與其相對，若僅有數據管理主體3能夠對數據進行訪問，則該數據屬于封閉狀態。同時，該報告把數據訪問分為“看自己”和“看別人”的兩個維度，并直接將自然人用戶（對應本文所構建的數據控制主體）行使“看自己”的數據訪問權（對應我國《個人信息保護法》下的個人信息查閱權）界定為不公正的（discriminatory）的數據開放與流通。此外，許可特定的第三方主體進行數據訪問則是受制約的（controlled）數據開放與流通[20]。

2021年，OECD再次發布《關于促進數據訪問和分享的建議》，這表明數據的訪問與分享（access and sharing）對推動全球公私領域中的數據驅動型創新至關重要。該文件提出，應當最大限度地提升數據的訪問權限，促進數據在不同主體之間的流動，并平衡好各方主體的利益[21]。2022年，OECD發布的《跨境數據流動：盤點關鍵政策和舉措》更是直接表明：數據的訪問是數據流通的基礎與前提，唯有數據能夠被訪問，數據才能得以流通。具有突破性的是，該報告并未將數據訪問局限在個人信息查閱的范疇中，而是以更廣義的角度認定數據訪問是檢索并獲取數據的能力[22]。2024年，OECD發布的《G20公共部門及與私營部門的數據訪問和共享手冊》再次明確數據的訪問是數據流通的前提與基礎[23]。

上述報告對“看別人”的數據訪問的討論多停留于原則層面，即僅將數據訪問作為一種行為對待，而沒有闡述實施該行為的權利基礎以及何種法律主體享有該權利?；诖?，本文擬從私法的維度對數據訪問權的取得方式與數據訪問權的權利屬性加以界定，為數據流通在不同環節與場景中的實踐提供理論基礎。

（三）數據訪問權的權利取得方式與權利屬性界定

雖然域外競爭執法機構與OECD均將“看別人”的數據訪問權界定為能夠促進數據流通的關鍵權利，但都未能從私法維度清晰界定該權利的取得方式與權利屬性。為此，本文擬從私法的視角出發，論證“看別人”的數據訪問權的權利取得方式及其權利屬性。

對于數據訪問權的取得方式，本文認為應當以數據是否公開為臨界點進行分析。首先，對于公開的數據，數據控制者實施的公開行為本身就可被視為授權不特定第三方主體對相關數據進行訪問。在此情況下，以公開行為引發的數據訪問權授予，實質上是數據控制主體對其數據產權的部分讓渡。而數據訪問權與數據產權的邏輯關系，是所有權下的強排他性所不具備的特性。相應的，對于以公開方式取得的數據訪問權的權利屬性也應當被界定為財產權的一種，且該權利的內容就是數據訪問主體對數據所承載的信息進行訪問與使用。在權利內容上，數據訪問權可無限接近于數據管理權，即數據訪問主體可對其訪問的數據進行收集、存儲、使用、加工、傳輸等。然而，訪問權與管理權的本質區別在于數據訪問主體如未經管理主體的同意，不得從事與管理主體產生實質性替代效果的生產經營活動。此外，與管理權一致，享有數據訪問權的主體也不能對數據實施轉讓、公開、提供等處分行為。

其次，非公開的數據依然存在被訪問的可能。當數據未被公開時，第三方主體不能直接對相關數據進行訪問，否則相關訪問行為應當被界定為非法[24]。但第三方主體可對數據控制主體提出請求訪問要約，即第三方主體依然具有請求訪問相關數據的權利，而數據控制主體則可對此做出肯定性或否定性的承諾。若數據控制主體做出肯定性承諾，則數據控制主體與請求訪問數據的主體將直接形成數據訪問協議，此時相關主體就能對該數據進行訪問。同時，當數據控制主體拒絕相關主體訪問數據（或拒絕其繼續訪問）時，數據訪問權主體有權實施“數據訪問請求權”，請求數據控制主體允許其繼續訪問。本文認為，此項請求繼續訪問數據的權利在性質上屬于履約請求權。

與基于公開行為而產生的數據訪問權相比，基于訪問協議而產生的數據訪問權只在權利取得方式上與前者存在不同。在權利屬性上，基于數據訪問協議而產生的數據訪問權依然是數據控制主體以授權許可的方式將數據產權的內部性權利進行讓渡，以使數據訪問主體能夠訪問數據并了解數據所承載的信息，并對訪問的數據進行收集、存儲、使用、加工、傳輸等。

整體來看，數據訪問權的權利基礎在于數據控制者的授權許可。就公開數據而言，公開行為本身就意味著數據控制者授權許可不特定的第三方主體訪問其數據。就非公開數據而言，當雙方主體就訪問相關數據做出要約與承諾并形成協議后，特定的第三方主體實施的數據訪問行為依然由數據控制者通過授權許可的方式產生。

綜上，數據訪問權是一個較為復雜的權利，其以公開和非公開為臨界點，展現出不同的法律屬性以及相應的法律關系。在管控分離的數據產權視角下，受訪問義務主體是數據控制主體，數據訪問權的主體是第三方。與前文對數據訪問權的權利屬性論證一致，受訪問義務也以公開與非公開為臨界點，具有不同的法律屬性。首先，對于已經公開的數據，數據控制者通過其公開行為即已授權不特定第三方主體進行訪問，在此情形下，數據控制主體負有受訪問的義務。其次，對于非公開數據，數據控制主體原則上不承擔受訪問的義務。僅在特定主體（被請求訪問方）作出明示同意后，該數據控制主體方負有受訪問義務。

（四）數據訪問權與數據可攜帶權的橫向比較

現階段，大部分關于數據訪問權的研究均聚焦于數據主體訪問“自身數據”的維度（即“看自己”），而非訪問并了解“他人數據”中所承載的信息。相應的，現有研究通常將這種“訪問自身數據”的權利視為數據可攜帶權的前提，而將數據可攜帶權界定為其延伸[25]。然而，本文所構建的“訪問他人數據的權利”，與數據可攜帶權實則是一組平行的概念。二者在權利主體、權利屬性、價值目標與核心功能上均存在本質區別。因此，有必要對“訪問他人數據的權利”與數據可攜帶權進行橫向比較，以厘清各自的功能定位與作用邊界，并闡明其對既有理論的突破。

在權利主體層面，數據訪問權的權利主體是無法直接接觸相關數據的第三方主體，而數據可攜帶權的權利主體則是數據控制主體。在權利屬性層面，數據訪問權更多體現為一種“由外向內”的過程，即權利主體（第三方）主動向數據控制主體發起請求，以獲取其原本無法接觸的數據。誠然，數據訪問權的權利屬性較為復雜，且以公開與非公開為臨界點具有不同的權利屬性，但都依賴于數據控制主體的授權許可。數據可攜帶權更多體現為一種“由內向外”的過程，即數據控制主體將數據轉移給其他產品或服務提供者。在權利屬性上，數據可攜帶權更加偏向于對物權，即數據控制主體以其單方面的意志來控制或支配數據的權利，原則上數據管理主體不得妨礙數據控制主體行使數據可攜帶權。在價值上，“看別人”的數據訪問權所體現的價值更多為競爭法所追求的價值，即保障市場結構、維護競爭秩序、促進市場公開透明等。而數據可攜帶權所體現的價值更多體現為維護數據控制主體的自決權，即數據控制主體有權自行決定或變更相關產品或服務提供者的權利[26]。在功能上，數據訪問權更多偏向于對數據的了解與知情。數據訪問權的行使有利于提高相關市場的透明度并防止數據壟斷[27]。數據可攜帶權則是數據控制主體對其數據行使控制權的重要體現，即向其他數據管理主體轉移該數據的權利。當然，數據可攜帶權也具備打破數據壟斷的功能[28]，因為數據控制主體將其數據由現有的數據管理主體遷移到其他主體之上，這一機制本身即帶有削弱壟斷的作用。然而，與“由外向內”的數據訪問權相比，數據可攜帶權更凸顯其“由內向外”的特性，二者在整體上體現為平行結構。

整體而言，相較于內部的數據控制權與管理權，數據訪問權實質上是數據產權的部分讓渡。在這一架構下，數據控制主體成為數據訪問主體的授權許可方，而該種邏輯模式也突破了所有權與傳統物權，除對數據的內部控制外，數據控制權還可延伸到對外部訪問行為的控制，即控制者亦須承擔允許合法訪問的相應義務。同時，數據管理主體無權阻礙第三方主體取得數據訪問權。由此可見，數據流通的關鍵在于數據控制主體對其權利的轉讓與授予，從而使其他主體獲得特定的數據權利。

（五）數據開放與共享的法律概念界定

通過以“看別人”的數據訪問權為切入點，可以對數據產權進行外部構建。在此基礎上，繼續對《數據名詞解釋》中數據的開放和共享進行概念界定。

第一，數據開放主要指數據控制主體通過公開數據的形式，授權不特定第三方主體對已公開的數據進行訪問。其中，不特定第三方主體自數據控制主體處取得了已公開數據的訪問權。

第二，數據共享則主要指數據控制主體通過簽訂授權訪問協議的形式，授權特定的第三方主體對相關數據進行訪問。其中，特定第三方主體自數據控制主體處取得了協議所指向的數據訪問權。

誠然，《數據名詞解釋》通過有限列舉的形式將數據流通界定為數據的交易、交換、開放與共享。然而，該文件對數據權利的基礎架構及權利歸屬缺乏明確規定，導致相關法律概念與屬性難以清晰界定?；跀祿嗬暯牵瑪祿魍ǖ膶嵸|可定義為：數據權利的轉讓與授予。具體而言，數據控制者通過權利轉讓或授權許可這兩種基本方式，實現前述各種流通形式（交易、交換、開放、共享）。如在數據的交易和交換中，數據流通就是數據控制主體的變動。同理，數據的開放與共享，則主要以授權訪問的形式實現，其核心在于法律主體對數據訪問權的取得，進而成為新的數據權利主體。綜上，數據流通所取得的法律效果就是數據權屬的變動，數據流通的過程既是數據權利取得的過程，也是數據權屬發生變動的過程。

由此可見，無論是數據的交易、交換、開放與共享，實施上述行為的權利主體均為數據控制主體，而非數據管理主體。據此，數據權屬的界定實為確定“誰有權實施數據權利的轉讓與授予”。正是通過對權利的轉讓與授予，其他主體得以取得數據權利，引發數據權屬變動，進而實現數據流通。

四、數據流通的法律概念界定：數據權利的繼受取得

前文通過對數據產權內、外部的構建，在明確數據權屬的情形下，對數據的交易、交換、開放與共享概念進行了界定。其中，數據交易與數據交換的核心為數據控制權的轉讓，數據開放與數據共享的核心為數據訪問權的授予。然而，有限列舉的方式依然欠缺對數據流通的法律屬性和概念的界定與凝練。無論是數據控制權的轉讓還是數據訪問權的授予，二者的共性都為其他法律主體取得數據權利，并引發了數據權屬變動的過程，故數據流通的法律概念應被界定為數據權利的取得?；诖耍疚倪M一步對數據權利的取得加以分析，并論證數據流通應當專指數據權利的繼受取得而非數據權利的原始取得，進而對數據流通賦予法律意義上的概念與屬性。其中，數據流通的法律屬性為數據權屬的變動，數據流通的法律概念為數據權利的繼受取得。

與虛擬財產的產權變動方式存在原始取得與繼受取得類似[29]，數據權利的變動也分為原始取得和繼受取得兩種。其中，原始取得主要指“非依據他人既存的權利而獨立取得”，繼受取得則指“基于他人既存的權利而取得”[30] 42。前文已述，數據交易、交換、開放與共享的法律屬性可被分別界定為數據權利的轉讓與授予，且兩者最終取得的法律效果為數據權屬的變動，即數據流通的法律屬性就是數據權屬的變動。由此可見，無論是數據權利的轉讓還是授予，在客觀結果上均屬于數據權利的繼受取得。據此，如下先結合前文所構建的數據產權，對數據權利的原始取得和繼受取得進行辨析，以論證數據流通的法律概念實為數據權利的繼受取得，以及為何數據權利的原始取得不宜被界定為數據流通。

現階段，數據產權的取得存在一定的爭議。如存在信息主體可以基于作為載體的數據對其信息的承載而天然地享有對應的數據權利的觀點[31]，亦存在企業進行生產數據的事實行為本身就是對數據及其對應的產權進行原始取得的觀點[32]。此外，還存在企業收集個人信息以生產個人數據的權利基礎在于用戶授權許可，故相關數據權利實為繼受取得的觀點[33]。因此，本文擬從基于事實行為的原始取得與基于法律行為的繼受取得之雙重視角，對管控分離模式下的數據產權之權利取得的過程，以及數據的權屬加以論證。

首先，在管控分離模式的數據產權架構下，數據權利的原始取得存在以下情形：

第一，相關法律主體生產的數據，自始即不關聯任何主體（即不具備主體相關性）。此時，該主體基于原始的取得方式，獲得完整的數據產權。

第二，相關法律主體通過匿名化處理切斷數據中的主體相關性，從而形成無法關聯到特定主體的匿名數據。此時，該主體對不具備主體相關性的數據享有完整的數據產權。其中，對于匿名化行為之實施，應符合我國《個人信息保護法》相關規定，即在對個人數據實施匿名化之前應當取得個人用戶的授權。若在未經授權的情形下實施了匿名化行為，則該行為應當被界定為無效且非法，但行為的無效并不影響數據權利的原始取得。不過，用戶可要求實施匿名化行為的主體對相關數據予以銷毀，以保障其個人信息的安全。上述兩種原始取得的方式，均只存在一個權利主體，不存在數據權利從某一法律主體轉移至另一法律主體的過程與效果。

第三，在相關法律主體生產的具備主體相關性的數據場景中，數據權利取得的過程相對復雜。在自然人用戶與企業的雙方法律關系中，企業行為的合法性基礎來源于個人用戶的授權許可。但在生產數據的過程中，企業并未取得數據控制權與數據管理權，反而是用戶先取得了完整的數據產權，再依據授權許可協議將數據管理權授予企業。該過程既存在原始取得，又存在繼受取得。其中，用戶基于企業實施的事實行為原始取得了數據產權，因用戶對該數據產權的取得是獨立的，不以他人既存的權利為基礎，且授權許可協議本身也不是將其個人信息轉讓給企業，而是讓企業的收集行為具備合法性。這一過程就是企業繼受取得數據管理權的過程。由此可見，在數據權利原始取得的情形下，僅發生權屬的初始確認（歸屬判定），并不涉及數據權屬的變動。換言之，數據權利的原始取得僅是法律主體取得新的權利，而非法律主體對既存的權利進行取得，并不涉及數據的交易、交換、開放與共享等，故數據權利的原始取得不宜被界定為數據流通。

其次，在管控分離模式的數據產權架構下，數據權利的繼受取得存在以下情形：

第一，數據產權主體通過保留數據控制權，對數據管理權進行對外授權。如用戶通過授權許可協議，將數據管理權授權給企業。

第二，數據產權主體對數據產權進行轉讓，如有償交易與無償贈予，以使其他法律主體取得數據產權。

第三，數據控制主體通過協議或公開的方式，授予特定與不特定的第三方主體訪問數據的權利。其中，以公開方式授權訪問的為數據開放，以協議形式授權訪問的為數據共享。

第四，數據控制主體通過行使數據可攜帶權，將數據所承載的信息轉移至新的生產經營者處。這種形式在實踐中主要表現形式為應用程序的一鍵登錄。從數據流通的法律屬性和取得的法律效果上看，數據可攜帶權的行使僅是以另一種方式實現管控分離的過程，且需既存的數據管理主體幫助數據控制主體，協助遷移至其他數據管理主體。

需要說明的是，個人或企業通過收集具有主體相關性的信息生產相應的數據，并不意味著自動獲得該數據的產權或特定權限。雖然收集信息并形成數據本身是一種事實行為，但該行為的合法性基礎（如用戶的明確同意）至關重要。若缺乏有效的合法性基礎（如未經用戶授權），企業對個人信息進行收集和處理的行為即構成違法，其處理活動不具有合法性。如前所述，用戶與企業之間對數據產權的管控安排呈現分階段特征，企業將其所收集的信息生產出對應的數據后，先由用戶享有完整的數據產權，再依據授權許可協議將管理權授予企業。由此，管控分離的過程應當被界定為繼受取得，而非原始取得。同理，若相關主體生產了不具備主體相關性的數據，在其保留控制權將管理權授權給他人的過程中，數據管理權的取得依然應當被界定為繼受取得。

總之，上述數據權利取得方式均基于原數據權利人的意志，對數據加以流通并實現權利轉移。需要明確的是，單純的原始取得并不具備數據流通的效果，因為自始至終只有實施事實行為的主體取得了數據的權利，并不存在數據由某一法律主體轉移至另一法律主體的過程。與之相對，繼受取得則更能體現數據流通的意義，且數據流通的法律屬性及其取得的法律效果就是數據權屬的變動，即數據流通的法律概念是數據權利的繼受取得。

整體而言，從法律屬性和法律概念的雙重角度對數據流通進行解構，明確了相關法律屬性和概念，具有理論意義上的突破。其中，數據流通的法律屬性指數據權屬的變動，數據流通的法律概念則為數據權利的繼受取得，不僅包含了《數據名詞解釋》所列舉的四種形式，還明確了數據流通的本質為數據控制主體對數據控制權的轉讓與對數據管理權、數據訪問權的授予。

五、結語

隨著數字化時代的到來，數據的價值不斷地顯化在社會發展的各個方面，愈發關系著人民群眾的切身利益[34]。數據流通的有效開展，依賴于數據產權制度的構建及其權屬的清晰界定，這為數據流通提供了必要的邏輯起點與制度基礎。首先，本文通過構建“數據控制權與管理權分離”的運行模式，將數據產權在內部解構為控制權與管理權；并基于主體相關性和行為相關性雙重邏輯，確立數據權屬的界定原則。其次，本文以數據訪問權為切入點，對數據產權的外部性權利加以構建。其中，數據訪問權并非我國《個人信息保護法》規定的個人信息查閱權，而是“看別人”的數據訪問權，即第三方主體對其不享有的數據加以訪問并了解數據所承載的信息的權利。同時，本文以公開和非公開為臨界點，界定了數據訪問權的取得方式與權利屬性。再次，本文通過對數據產權的內、外部構建，明確了數據交易、交換、開放與共享的相關概念。最后，本文以原始取得和繼受取得為分界點，對數據控制權、數據管理權與數據訪問權的權利取得方式進行論證，并將數據流通界定為數據權利的繼受取得而非原始取得，在《數據名詞解釋》采取的有限列舉基礎上，明確了數據流通的法律屬性與法律概念。其中，數據流通的法律屬性指數據權屬的變動，數據流通的法律概念則為數據權利的繼受取得。

[參考文獻]

[1]" 周清華，萬豐閣.數據產權的解碼與構建——以控制與管理定位[J].中國海商法研究，2023，（4）.

[2]" 申衛星.數據確權之辯[J].比較法研究，2023，（3）.

[3]" 時建中.數據概念的解構與數據法律制度的構建兼論數據法學的學科內涵與體系[J].中外法學，2023，（1）.

[4]" 梅夏英.數據的法律屬性及其民法定位[J].中國社會科學，2016，（9）.

[5]" 李愛君. 數據權利屬性與法律特征[J].東方法學，2018，（3）.

[6]" BRADSHAW A. Data ownership， rights and controls： Reaching a common understanding - Discussions at a British Academy[EB/OL].2018-10-03.https：//policycommons.net/artifacts/3446884/data-ownership-rights-and-controls/4247021.

[7]" DREXL J， HILTY R， Desaunettes-Barbero L， et al. Data ownership and access to data-position statement of the Max Planck Institute for Innovation and Competition of 16 August 2016 on the current European debate[EB/OL].2016-09-09. https：//www.researchgate.net/publication/318000556_Data_Ownership_and_Access_to_Data_-_Position_Statement_of_the_Max_Planck_Institute_for_Innovation_and_Competition_of_16_August_2016_on_the_Current_European_Debate.

[8]" 周小明.信托制度比較法研究[M].北京：法律出版社，1996.

[9]" 衣俊霖.論作為法律關系的數據持有[J].法學論壇，2024，（4）.

[10]" 趙澤宇.數據可攜帶與互操作機制在反壟斷法下的結合適用[J].經濟法學評論，2021，（1）.

[11]" Zanfir G. The right to Data portability in the context of the EU data protection reform[J]. International data privacy law， 2012， （3）.

[12]" 萬豐閣.基于“數據有絲分裂”的公共數據的確權與授權[J].大連理工大學學報（社會科學版），2024，（4）.

[13]" 曹相見.個人數據的財產權歸屬[J].法律科學（西北政法大學學報），2024，（5）.

[14]" 葉名怡.論個人信息權的基本范疇[J].清華法學，2018，（5）.

[15]" Ribot J C， Peluso N L. A Theory of Access[J]. Rural Sociology， 2003， （2）.

[16]" Martens B， Mueller-Langer F. Access to Digital Car Data and Competition in Aftermarket Maintenance Services[J]. Journal of Competition Law amp; Economics， 2020， （1）.

[17]" A529-ICA： Google Fined over 100 Million for Abuse of Dominant Position[EB/OL].AGCM，2021-05-13.https：//en.agcm.it/en/media/press-releases/2021/5/a529.

[18]" Online Platforms and Digital Advertising Market Study Final Report （2020）[EB/OL].CMA，2020-07-01.https：//assets.publishing.service.gov.uk/media/5fa557668fa8f5788db46efc/Final_report_Digital_ALT_TEXT.pdf.

[19]" Antitrust： Commission Sends Statement of Objections to Insurance Ireland for Restricting Access to a Data Sharing Platform[EB/OL].European Commission，2021-07-18. https：//ireland.representation.ec.europa.eu/news-and-events/news/commission-sends-statement-objections-insurance-ireland-2021-06-18_en.

[20]" Enhancing Access to and Sharing of Data： Reconciling Risks and Benefits for Data Re-use Across Societies [EB/OL].OECD，2019-11-26.https：//www.oecd-ilibrary.org/docserver/276aaca8-en.pdf？expires=1729145806amp;id=idamp;accname=guestamp;checksum=D414B618DCA1CDF12458C52490CF6312.

[21]" Recommendation of the Council on Enhancing Access to and Sharing of Data [EB/OL].OECD，2021-10-06.https：//www.ospi.es/export/sites/ospi/documents/documentos/OECD-Recomendacion_Acceso_y_Mejora_Comparticion_Datos_202110.pdf.

[22]" Cross-border Data Flows Taking Stock of Key Policies and Initiatives[EB/OL]. OECD，2022-10-12.https：//www.oecd-ilibrary.org/docserver/5031dd97-en.pdf？expires=1729147517amp;id=idamp;accname=guestamp;checksum=2897E502F8886D19B47454675AAA412B.

[23]" G20 Compendium on Data Access and Sharing Across the Public Sector and with the Private Sector for Public Interest [EB/OL].OECD，2024-09-13. https：//www.oecd.org/en/publications/g20-compendium-on-data-access-and-sharing-across-the-public-sector-and-with-the-private-sector-for-public-interest_df1031a4-en.html.

[24]" 寧立志，王德夫.“爬蟲協議”的定性及其競爭法分析[J].江西社會科學，2016，（1）.

[25]" 李蕾.數據可攜帶權：結構、歸類與屬性[J].中國科技論壇，2018，（6）.

[26]" 宋歌.數據可攜帶權的解讀與踐行路徑研究[J].大連理工大學學報（社會科學版），2024，（2）.

[27]" 楊志航.跨越企業數據財產權的藩籬：數據訪問權[J].江西財經大學學報，2023，（5）.

[28]" 李伯軒.數據攜帶權的反壟斷效用：機理、反思與策略[J].社會科學，2021，（12）.

[29]" 李巖.“虛擬財產權”的證立與體系安排——兼評《民法總則》第127條[J].法學，2017，（9）.

[30]" 崔建遠.物權法[M].北京：中國人民大學出版社，2017.

[31]" 李愛君.論數據權利歸屬與取得[J].西北工業大學學報（社會科學版），2020，（1）.

[32]" 錢子瑜.論數據財產權的構建[J].法學家，2021，（6）.

[33]" 齊愛民，盤佳.數據權、數據主權的確立與大數據保護的基本原則[J].蘇州大學學報（哲學社會科學版），2015，（1）.

[34]" 曾琳慧.數據要素納入分配制度的價值向度與實現路徑[J].決策與信息，2023，（11）.

[責任編輯：汪智力]