摘要: 在数字时代要推动数据要素市场化离不开对数据财产权益的保护,而我国现在建立了以多部法律和行政法规为核心的数据保护法律体系,但没有专门的数据保护立法。我国的数据财产权益保护制度仍需进一步整合规则、强化操作性,同时平衡数据流通与权益保障双重目标。本文围绕这些问题,首先对我国当前数据保护立法展开研究,并与域外法进行比较分析,总结了各个模式的优缺点。其次讨论了我国目前数据财产权益保护制度存在的矛盾,主要包括当前法律制度局限性明显、数据权益归属不明确以及因技术和立法双重原因导致数据的非排他性影响过大。最后本文为我国数据财产权益保护提出几点建议,如采取“渐进式立法改良”方法采用保护性规范或转介其他法律保护数据财产权益,在立法中明确数据财产权益主体和权能内容,并辅以隐私计算、区块链存证、数字水印等技术,通过法律加强监督,多措并举激活数据要素潜能,为数字经济发展提供有力支撑。
Abstract: In the digital age, the protection of data property rights and interests is inseparable from promoting the marketization of data elements, and China has now established a data protection legal system with multiple laws and administrative regulations as the core, but there is no special data protection legislation. China’s data property rights and interests protection system still needs to further integrate rules, strengthen operability, and balance the dual goals of data circulation and rights and interests protection. Focusing on these issues, this paper first conducts a study on China’s current data protection legislation, compares and analyzes it with foreign laws, and summarizes the advantages and disadvantages of each model. Secondly, the contradictions existing in the current data property rights protection system in China are discussed, mainly including the obvious limitations of the current legal system, the unclear ownership of data rights and interests, and the excessive impact of non-exclusivity of data due to both technology and laws. Finally, this paper puts forward several suggestions for the protection of data property rights and interests in China, such as adopting the method of “progressive legislative improvement”, adopting protective norms or referring to other laws to protect data property rights and interests, clarifying the subject and power content of data property rights and interests in legislation, supplemented by technologies such as privacy computing, blockchain evidence storage, and digital watermarking, strengthening supervision through laws, and taking multiple measures to activate the potential of data elements, so as to provide strong support for the development of the digital economy.
1. 引言
随着世界进入大数据时代,数据利用正日益广泛,数据价值也渐趋凸显,其价值通过可复制性、关联性、时效性等特性持续释放。然而随着数据资产属性的凸显,现行法律制度却难以为数据权益提供完善保护,现有法律制度下借用传统民法保护策略对数据财产权益进行保护存在较大局限。“信息财产权”、“虚拟财产权”、“数据权”等新型权利理念层出不穷。为此急需构建数据财产权益保护与法定化的整合框架,弥合确权保护与流通效率的冲突,为立法提供兼顾效率与正义的解决方案,平衡数据生产激励与流通需求。
2. 数据财产权益保护法律框架
2.1. 数据财产权益概述
数据是指对客观事件进行记录并可以鉴别的符号,数据以多种形式存在,包括文字、声音、图像、视频等。数据具有预测和决策价值,通过对数据的分析和挖掘,我们可以预测未来的趋势和可能性,从而作出更加科学的决策。例如通过研究用户行为、市场趋势,企业可实时调整库存,并制定更加合理的生产计划;通过研究用户数据,更可以了解用户的需求和行为习惯,从而使产品更加符合用户实际需求。2020年中共中央、国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》)中,将数据与土地、劳动力、资本、技术并列为五大生产要素,足以彰显我国对数据要素巨大潜能与价值的肯定。
数据权益是数字经济时代衍生的新型概念,它基于数据而生,它的客体数据具有相当的特殊性,以电子形式存在,可无限复制且不因使用损耗,价值随处理、组合与应用场景动态变化。数据权益又包括两个方面,其一是强调个人对其数据所享有的与人格尊严、自由和隐私相关的数据人格权益,旨在防止数据滥用对个人尊严和自由的侵害;其二是个人、企业或公共机构对数据进行合法获取或加工而享有的经济性权益即数据财产权益,强调数据作为资产的可支配性、可交易性及收益性。
数据财产权益是数据要素持有者或控制者在数据生产、处理、流通、使用等环节中享有的经济利益及相关权益,其核心在于将数据从资源转化为资产,作为一种特殊财产进行法律确权与利益分配。保护数据财产权益,就是保护数据要素的经济潜能,更关乎技术创新、国家安全和社会公平。
2.2. 我国数据保护立法
虽然我国已明确数据的地位举足轻重,但目前仍没有数据保护的专门立法,在我国现阶段的数据保护实践中,数据受到多项法律制度的保护,如《数据安全法》《著作权法》《个人信息保护法》《网络安全法》等。另外在《民法典》第127条对数据保护作出了原则性规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”而在部分企业数据保护实践案件中,还会援引《反不正当竞争法》以支持自身诉求。2025年颁布的《网络数据安全管理条例》作为我国首部综合性数据安全行政法规,细化个人信息保护规则,优化数据跨境流动机制,并明确重要数据目录制定、风险评估等义务,一定程度上填补了上位法的操作性空白。
当现行法律未对数据保护作出直接规定时,司法机关通过扩张解释现有法律制度确实能在特定案件中实现权利救济。通过扩大隐私权的外延保护个人信息,或者运用反不正当竞争法规制数据抓取行为,这种司法能动主义在填补法律空白期发挥了过渡性作用。但若过度依赖法律解释手段处理本质上的立法缺失问题,将会引发多重法治风险,司法机关应当恪守“禁止司法造法”的底线,对于数据保护这一新兴领域,更根本的解决之道在于加快专项立法进程,构建层级分明的规范体系,而非长期依赖具有权宜性质的法律解释。
2.3. 域外数据保护立法
欧盟的数据保护立法体系以严格性和全面性著称,旨在平衡技术创新与个人隐私保护,同时推动数字市场的公平竞争。1995年颁布的《数据保护指令》首次确立欧盟数据保护框架,对个人数据作出界定并提供了救济途径。2018年欧盟为解决互联网时代用户数据的收集与使用问题,又在《数据保护指令》的基础上出台了《一般数据保护条例》(GDPR)。GDPR是全球目前在数据隐私保护领域规定最严格,处罚最严厉的法律之一,它进一步强化了用户权利,要求企业处理个人数据必须以“用户明确同意”为前提,并且用户可以随时撤回以上“同意”,赋予了用户要求企业删除其个人数据的“被遗忘权”,该条例适用于所有在欧盟市场提供服务的企业,无论其总部所在地[1]。此后欧盟又颁布了针对数字平台垄断问题的《数字市场法》(DMA)与《数字服务法》(DSA),以及关注物联网设备和数据共享的《数据法案》(Data Act),进一步扩展了数据权益的治理范围。欧盟通过多层次的数据保护立法构建了覆盖个人隐私、企业竞争和技术创新的数据权益保护体系,既保护用户权益,又试图在数字经济中抢占主导权,但欧盟立法模式的严格也导致其面临着执行复杂和跨国企业合规成本高的挑战。
美国的数据保护立法体系呈现出显著的分散化特征,主要依赖各州立法及特定领域的联邦法规,尚未形成统一的国家级框架[2]。2018年《加州消费者隐私法》(CCPA)成为美国第一部涵盖全面隐私保护领域的州级法律,随后其他州也相继出台了一系列综合性隐私立法,例如2024年马里兰州通过的《在线数据隐私法案》和2019年内华达州实施的《内华达州数据隐私法案》。这些法案对个人数据与公共数据作出界定,并坚持数据收集的必要性和最小化,严格限制数据收集范围。此外美国还有如TikTok禁令和对华数据出口限制等与政治挂钩的数据保护制度。可见美国数据立法注重保护个人隐私和国家安全,但其效能因缺乏系统性而受到制约,且与其他国家在数据跨境流动规则上易产生冲突。
日本2003年颁布的《个人信息保护法》,是亚洲最早的个人信息保护法之一,并在2015年对该法进行修订,规定设立个人信息保护委员会监督该法施行。日本《个人信息法》的该修正案中还明确了个人信息和匿名加工信息的定义,规定第三方数据持有人在获得和提供数据时有义务制作并保存记录,并限制向外国第三方提供个人数据。在2020年修订中,新增了经营者在存在数据泄露风险时有义务通知数据权益人和信息保护委员会,以及向第三方提供个人相关信息时应当获得本人同意等规定。日本的数据权益保护立法相对欧盟和美国而言起步较晚,有着类似欧盟的统一立法模式和类似美国的保护国家安全相关规定,注重执行效率考虑了数据权益保护与企业负担的平衡问题[3]。
3. 数据财产权益保护矛盾解析
3.1. 法律局限性
《民法典》第127条虽规定“数据”作为民事权益客体应当予以保护,但未对数据财产权益的保护作出具体规定,这一立法空白给数据权益保护带来的局限性在数字经济深化发展的背景下日益凸显。而通过《数据安全法》《著作权法》《个人信息保护法》《网络安全法》等法律扩张解释进行调整,其模糊性不仅会导致裁判标准难以统一,难以有力打击对数据财产权益滥用和侵害行为,更可能抑制企业数据开发利用的积极性。
此外司法实践中还时常将数据权益归入隐私权、个人信息权益(如微信数据继承案判决),种裁判逻辑混淆了数据的双重法律属性,隐私权和个人信息权益保护侧重人格权益的消极防御,而数据要素价值则体现为可流通、可交易的积极财产权益。这种司法认知偏差实质上阻碍了数据要素市场的规范化交易,阻碍了数据的共享,大型平台企业可能倾向于通过技术手段避免数据流通,强化市场支配地位,导致数据孤岛与垄断加剧。
数据财产权益不仅不同于人格权益,也不同于传统财产权益,其客体具有可复制性、非排他性和衍生价值动态性等特征,因此数据财产权益保护需突破传统物权“一物一权”或知识产权“独创性”的法律框架。而我国现有的法律存在较大局限性,亟需通过系统性制度设计,在保障权益的同时释放数据潜能,为数字中国建设提供法治支撑。
3.2. 数据权益归属不明
数据天然具备跨时空流通、多主体复用等性质,使得权益归属呈现动态复合特征,这种权属交织状态导致司法实践中争议频频。我国目前用于数据财产权益保护的法律制度侧重安全监管而轻视了数据的可流通可交易性,因而未解决数据财产权益的归属问题,这种立法滞后性已制约数据要素市场化的进程。
例如在“菜鸟顺丰之争”中双方就共享物流数据(包括用户隐私信息)这一问题陷入争执,但法律未明确数据权益归属,未明确用户生成的物流数据究竟属于用户、快递企业还是平台方,导致最终只得依赖《反不正当竞争法》兜底条款处理纠纷,暴露了企业间数据共享中的权责模糊[4]。我国亟需在《数据二十条》“数据资源持有权、加工使用权、产品经营权”三权分置框架下,平衡各方利益,建立健全法律制度以明确数据财产权益的归属,如此方能为数字经济蓬勃发展保驾护航。
3.3. 数据可复制性导致的排他失效
数据能够被无限次复制、传播且不损耗原始数据,数据的这一特性与传统物权客体存在本质区别,也即数据具有非排他性,同一数据可被多个主体同时持有和使用。这导致数据侵权行为隐蔽性强,数据复制难以追溯源头,易被非法窃取或滥用,数据权益主体难以对数据财产权益实现有效地控制,因此对法律规则设计也提出了新的挑战。数据的可复制性使得传统物权法的“一物一权”原则失效,如用户、平台、第三方均可能对同一数据主张权益,而现有法律制度并未明确数据财产权益的控制规则或持有规则,往往只能通过合同约定或者事实状态来认定数据资源的利用和支配者。
4. 我国数据财产权益法律保护的建议
4.1. 明确数据财产权益保护制度
随着数字经济的深度发展,数据作为新型生产要素的价值日益凸显,其保护需求催生出多元化的理论学说,如物权说、债权说、知识产权说、新型权利说等。这些学说都有一定的合理性,也有一定的不足。
物权说主张将数据纳入物权客体,通过所有权、用益物权等制度实现排他性保护。其合理性在于,数据作为劳动成果具有财产属性,例如企业通过算法加工形成的用户画像可类比“添附”获得物权。但缺陷在于数据可无限复制的特性与物权“一物一权”原则冲突,且难以解释公共数据的非排他性使用问题。债券说强调通过合同关系确立数据控制权,但无法对抗第三方侵权行为,且过度依赖意思自治可能导致格式条款滥用。知识产权说将数据视为数据库作品或商业秘密保护,将数据类比作品保护的优势在于可覆盖具有独创性的数据内容,但多数原始数据缺乏独创性,而将数据类比商业秘密保护要求保密措施,与数据共享需求存在本质矛盾。新型权利说则主张创设独立的数据财产权,包含控制、收益、处分等权能[5]。该理论适应数据的价值衍生特性,但仍因数据的非排他性面临着权利边界模糊的挑战,且盲目创设一项具体规则尚未细化的新型权利制度可能加剧司法不确定性。
本文认为现阶段在数据财产权益保护的路径选择上,应采取“渐进式立法改良”模式,即通过制定相应的保护性规范或转介其他法律,形成多层次的数据财产权益保护体系,而非急于创设独立的“数据财产权”。若仓促创设数据财产权,可能引发以下问题:一是过度保护,易导致数据流通成本激增,抑制中小企业的创新参与;二是适用竞合,数据财产权可能与既有知识产权、个人信息权等制度竞合,增加司法裁判复杂度;三是与国际脱节,目前全球尚未形成统一的数据财产权范式,激进立法可能导致跨境合规成本提高。数据财产权益保护应遵循问题导向,通过激活现有法律渐进式回应数据流通中的权益分配诉求。例如颁布司法解释细化民法的“数据保护”规则,在侵权责任编中规定对于数据财产权益侵权的保护,明确责任承担方式。同时还要通过指导性案例明确数据权益纠纷的法律适用规则,对于个人数据纠纷可优先适用《个人信息保护法》,企业数据争议适用《反不正当竞争法》或《商业秘密保护规定》,公共数据相关争议则援引《行政许可法》,并通过综合运用法律组合处罚的方式避免单一部门法规制盲区,平衡个人隐私保护与数据利用需求,待相关技术与商业模式更为成熟后,再编纂整合分散法律规则。
我国也应当考虑具体国情,积极探索数据财产确权的立法模式。例如《深圳经济特区数据条例》中首次明确数据权益归属,无锡、安徽等地试点数据资产作价出资,如无锡筋斗云公司将文化数据产品入股企业,徽投科技以数据资产增资,标志着数据从“资源”向“资本”转化。这些地方立法的先行先试可以给我国未来制定关于数据财产权保护的专项立法奠定基础。我国立法还可参考欧盟的GDPR模式严格规制,结合本土实践构建数据治理体系的中国方案。
4.2. 明确数据财产权益的主体和权能内容
构建数据财产权益保护制度必然要合理界定权益主体与权能内容:本文认为数据权益根据主体不同可分为个人数据权益、企业数据权益和公共数据权益,这三类数据根据权能内容又可以分为持有者数据权益、使用者数据权益和经营者权益。此种二元分类法既体现了数据权益的多元主体特性,又回应了《数据二十条》提出的“三权分置”机制,破解数据权益归属不明导致的流通阻滞问题。
个人数据是指含有个人信息的数据,具有敏感性和私密性,其主体应享有控制权、知情同意权等,并可参考欧盟模式规定其享有收益分享权。但需限制其绝对排他性避免影响数据的合理使用。
企业数据权益往往通过企业的实质性投入而产生,企业对掌握的大量数据进行加工处理,以此获得更多的交易机会,创造更多的财产价值。但是要区分企业数据与加工前的个人数据,强制企业对个人数据处理时进行匿名化以规避“再识别”风险;要求企业建立数据分类分级保护制度,防止数据泄露与滥用,全面保护个人隐私;同时还可制定“可用不可见”的数据分享规则,例如在无需共享原始数据的加密状态下联合训练AI模型,以避免数据被垄断性封锁。
公共数据是指由政府机关、公共机构或受委托主体在履行公共管理职责、提供公共服务过程中产生的数据,它不涉及个人隐私、商业秘密或国家秘密,具有公共性和开放性,其核心在于服务公共利益,通过开放共享促进社会创新与治理效能提升。在安全可控前提下,可根据《数据二十条》内容制定兼顾公益性与可持续性的“公共数据有偿使用”模式,驱动社会治理与经济发展。
在明确了数据财产权益的权属之后,还应完善配套的法律保护制度和法律救济制度,保证权益人可以通过合同或协议的方式,由数据所有者向其他方授予使用其数据的权利。这样可以在保护数据所有者权益的前提下,允许数据被合法地使用。可参考日本的信息保护委员会建立相应的监管机制,保障各方的合法权益,同时也防止滥用行为的发生。
4.3. 减少数据非排他性影响
减少数据非排他性影响并非追求绝对封闭,而是追求在保证数据隐私安全的前提下实现数据价值流通。为此需通过法律约束、技术赋能等多维度手段相互配合。法律规定应界定“必需数据”标准,并强制推行隐私计算,在满足数据最小化原则的前提下实现数据的“可用不可见”,对于通过实质性投入产生的非个人数据,可类比商业秘密允许加工人采用保密措施加强保护,维护主体的数据财产权益。
同时还要努力推广区块链存证、数字水印等技术,构建全流程可追溯、防篡改的数据流通监管体系,从源头遏制非法复制与滥用行为。唯有通过制度赋能与技术创新的深度融合,方能破解数据非排他性产生的治理难题,为数据要素市场建设奠定良好的基础。