数据权谱系论纲*

肖冬梅，文禹衡

(湘潭大学法学院， 湖南湘潭411105)

摘 要:大数据的三大悖论在社会现实中正被一一应验,大数据在造福人类社会的同时亦导致种种乱象。大数据悖论的破解和社会新秩序的维持亟待我们审慎地构建数据权谱系。数据权基本谱系可分为数据主权和数据权利两大框架。数据主权包括数据管理权和数据控制权,其主要功能是在新技术环境中巩固国家主权的地位。数据权利兼具人格权和财产权双重属性:数据人格权主要包括数据知情同意权、数据修改权、数据被遗忘权,其所承担的主要功能是保障隐私空间,让人们享受大数据时代的“美好生活”;数据财产权主要包括数据采集权、数据可携权、数据使用权和数据收益权,其功能是引导数据资源被合理高效地利用,让人们分享大数据价值增益的红利。

关键词:数据权;数据主权;数据权利;权利(力)谱系

中图分类号:DF523;DF0 文献标识码:A

收稿日期：*2015-09-21

作者简介：肖冬梅(1970-)，女，湖南洞口人，博士， 湘潭大学法学院教授、博士生导师，法治湖南建设与区域社会治理协同创新中心子平台首席专家。

基金项目：国家社科基金重点项目“云环境下学术资源信息安全的法律保障研究”(14AZD076)阶段性成果。

1.数据权缘起：大数据悖论

大数据本身及其相关技术(下文统称为“大数据”)浪潮正席卷全球，数据及其分析正在取代经验和直觉，引导人们量化自我、精准决策。已经渗透到各行各业的大数据，被美国政府视为“未来的新石油”，带来了人类社会生活、工作与思维的巨变，并日益呈指数级增长，成为我们正在步入的知识经济社会的重要生产要素和社会财富。然而在我们历数大数据让诸多社会问题迎刃而解的同时，给我们带来便利的路由器、网络、软件系统和手机、电脑等终端，正在造就诈骗者、偷窃者和恶意攻击者的新乐园，数据正成为他们的利器，行恶与遁逃都悄无声息。“这是个最好的时代，也是个最坏的时代”，用狄更斯在《双城记》中的这句话来概括大数据时代或许最合适不过了。大数据让我们喜忧参半，Richards N.E.(2013)由此提出大数据三大悖轮[1]66：(1)透明化悖论，即信息透明化要求与搜集信息秘密进行之间的悖论。利用大数据有望让世界更加透明，但大数据的聚集是不可见的，并且其工具和技术是不透明的，被物理、法律、技术保密性设计层所笼罩。(2)身份悖论，即大数据的目标是致力于身份识别，但也威胁着数据主体的个体身份。虽然大数据传道者们谈论着奇迹般的成果，但是这种说辞忽略了一个事实，即大数据旨在识别个体或集体的身份。(3)权力悖论，即大数据是改造社会的强大力量，但这种力量的发挥是以牺牲个人权利为代价，而让各大权力实体(服务商或政府)独享特权，大数据利益的天平倾向于对个人数据拥有控制权的机构。因此，只有认清了大数据悖论及其潜在的威胁，我们才能全面理解大数据带来的这场大变革。

大数据悖论在我们的社会生活中正在一一应验。大数据的精准分析和预测取决于大样本乃至全样本数据，实践中的服务商乃至有权力的政府部门普遍以所有可能的方式“不动声色”地收集数据：我们的行踪不仅可以被大街小巷的监控器记录下来，也可能被我们这个时代须臾不可分离的“另类器官”——手机，以及日益流行的可穿戴设备、车载导航等移动装置的定位系统收集。大数据正在照亮人类的黑匣子，而我们会逐渐变成一部部会行走的“事件”记录器，用生物传感器去捕捉数据，用算法去处理数据，形形色色的诈骗者、利欲熏心的运营商和有权力的政府部门，正在用各种主机、路由器、网络、软件系统、终端所构成的“第五空间”联手把我们变成透明人。目前数据非法交易和利用十分猖獗，蕴含我们的行为模式、习惯偏好和隐私等的数据若为不法分子所利用，轻则生活安宁被骚扰，重则财产被诈骗、窃取，甚至人身安全遭到威胁和侵害。2013-2015年，CCTV连续三年在“3.15”晚会报道个人数据被秘密收集、滥用，揭示大数据时代我们置身其中的这个新生态系统的种种乱象：从数字行迹被跟踪受骚扰，到因泄露、倒卖个人身份信息引起的“被办电话卡”、“被办信用卡”等造成财产损失，我们面临日益严重的隐私危机和财产安全威胁。2013年斯诺登披露“棱镜门”事件，举世哗然，美国监测范围之广超乎世人想象，微软、雅虎、Google、Facebook、Paltalk、YouTube、Skype、美国在线以及苹果公司均曾向美国国安局提供过网络用户的个人数据，甚至连德国总理默克尔等美国盟友国的政要也被监控，大数据时代各国国家安全面临“信息霸主”美国的威胁。我们已然步入的这个新生态系统尚处丛林规则时代，如今我们能感受到的是规则缺失之下的无序和无奈。

毋庸置疑，大数据悖论需要破解，大数据时代的秩序需要构建相应规则去维持。上述大数据悖论至少客观剖析出了两个方面的现实：一是数据主体的权利被忽略导致的无序；二是社会新秩序尤其是数据主体、数据控制者(处理者)和政府等各方参与者的利益平衡机制亟待构建。

2.数据权基本谱系的构建维度

“正如印刷机的发明引发了社会自我管理的变革，大数据也是如此。”[2]232大数据不仅引发了一场新的社会自我管理的变革，而且在权利(力)谱系中也将引发新的变革——以数据为中心的权利(力)谱系将被审慎地构建。“技术无好坏，亦非中立。”[3]544-560大数据正在重塑我们的周围世界——经济、政治、军事等领域内的行为、秩序等都已经在不知不觉中发生了变化，大数据改变了人们生活和工作的方式与习惯，也改变了政府、企业家和消费者之间的关系。同时，我们不得不面临大数据带来的一些新问题，如被不法分子利用大数据给国家安全、社会稳定和个人隐私、财产、人身利益等带来威胁。如何在将大数据的价值最大化的同时，将公共领域和私人领域的风险最小化？当然，技术本身是解决问题的一种路径，但技术也有“无能为力”的时候。那么，是否考虑采用另一种解决方法呢？

按迈克尔·曼的说法：“人类是在无休止地、有目的地并且是有理性地为增进他们对生活中美好事物的享用而斗争，为此，他们有能力选择和追求适当手段。”[4]5-6无疑，人类为了享受生活中的“美好事物”，审慎地构建权利(力)也是人们选择和追求的一种“适当的手段”。比如，财产权不是自然权利，而是社会审慎的建构。[5]229可以预见，人们为了享受大数据时代带来的“美好事物”，也会审慎地构建大数据生态系统中的各项相关权利(力)，并以数据权力和数据权利为基础形成数据权制度体系。

如何构建数据权制度体系是个巨大的挑战。目前，不管是学术界近几年的研究，还是各国政府关于数据保护的立法实践，似乎都在有意无意地应验《大数据时代》中的一个观点：在大数据时代，对原有规范的修修补补已满足不了需要，也不足以抑制大数据带来的风险，我们需要全新的制度规范，而不是修改原有规范的适用范围[2]219。因此我们结合现有研究和各国探索中的数据保护立法实践，尝试用素描手法勾勒出数据权的基本谱系(见图1)。

图1 数据权的基本谱系

上图表明，数据权有两个维度的含义：其一，指向公权力以国家为中心构建的数据权力，即国家数据主权，其核心内容是数据管理权和数据控制权；其二，指向私权利，以个人为中心构建的数据权利，包括数据人格权和数据财产权。数据人格权主要包括数据知情同意权、数据修改权、数据被遗忘权，数据财产权主要包括数据采集权、数据可携权、数据使用权和数据收益权。

在此，需要特别强调：“权力是由人的各种天赋权利集合而成的”[6]143，表面上看“公权力”和“私权利”是一组对称概念，但实际上“权力”仍然是由“权利”集合而成。另外，我们主张在构建数据权利之外，还要构建数据权力，是为了确保数据被合理地使用，以防因“权力天然扩张性”的禁锢而导致数据无法被高效利用的情形，因此需要正视权力乃是权利的一种衍生形态，国家权力的存在是以维护人们的权利为前提的[7]560，至少在数据权力的构建中需要沿循这个思路。

然而，任何权利(力)谱系的形成并非“一蹴而就”，数据权谱系也不例外，它也会像其他基本权利谱系一样，经历从“应有权利”到“法定权利”再到“实然权利”的历史转变[8]75-85。显然，本文是从“应有权利”的角度试图描绘出大数据生态系统中的数据权基本谱系，以期为构建数据权制度体系做些铺垫。有理由相信，随着大数据对社会治理的变革式影响，国家对数据权力会有更多的需求，人们对数据权利的主张也会日益迫切，更多的数据权力或权利将会被审慎构建起来，它们可能与这些基本权利(力)位阶并列(横向发展)，也可能在这些基本权利(力)位阶之下(纵向发展)，可以预见数据权谱系将会日益丰满和完整。然而，必须注意到“进行法律哲学思考，并非必须对全部的——或大多数的——法律哲学题目——重要的是，要针对典型的题目思考。”[9]4因此，本文对于数据权的思考，并不打算“面面俱到”，而是更关注社会现实的典型问题，并做纲要式论述。

3.数据权基本谱系初解

数据权谱系分为数据权力和数据权利两个维度，在数据权力框架中以数据主权为起点，在数据权利框架中以数据人格权和数据财产权为起点。数据权谱系中的内容可能会随着社会变化而发展，但其两个维度和三个起点是相对稳定的。

3.1数据主权

主权国家发展进程表明，国家主权的内容呈渐进式发展态势，其管领的空间随着人类活动空间的拓展而扩张到领地、领海、领空，直至当前的网络空间。目前，全球网络空间基本处于事实上的无政府状态。[10]147美国在“9·11”事件之后出台的《爱国者法案》赋权美国执法机关搜索电话、电子邮件、医疗、财务和其他各种记录，并利用该法案先后要求包括微软、谷歌在内的9家公司将客户数据交给美国情报机构。基于网络空间形成的大数据场域也处于“治理真空”之中。没有管领力约束的空间，是最为“混乱”的地方。在大数据场域中，数据产生者、使用者、存储者大多都是分离的，网络空间中的不同行为主体以不同的目的为导向，不仅仅依赖传统路径来获取更多的网络资源，而且还利用大数据来扩展自己的行为范围。由于大数据客观地提供了新的资源和技术支持，我们将更容易面临有组织的网络犯罪和网络恐怖主义等所带来的威胁：一方面，威胁国家的政治外交、军事冲突、内政事务、经济发展等；另一方面，威胁个人隐私、财产和人身利益等。不能在数据强国以“自由、开放、共享”的理念“忽悠”下而忽视“安全、发展”，须知“自由、开放、共享”只是网络空间价值观的个人属性，“安全、发展、机会均等”则是更重要的社会属性。[11]39

大数据时代，数据主权应该是国家主权在网络空间的核心表现。数据主权是指国家享有对其政权管辖地域内的数据生成、传播、管理、控制、利用和保护的权力。对数据跨国流动的管理和控制是数据主权的重要内容，数据主权主要包括数据管理权和数据控制权。从目前欧盟及其成员国的立法来看，重点也是通过加强数据跨国流动的管控，来保护其数据主权。数据管理权，指对本国数据的传出、传入和对数据的生成、处理、传播、利用、交易、储存等的管理权，以及就数据领域发生纠纷所享有的司法管辖权。数据控制权，指主权国家对本国数据采取保护措施，使本国数据免遭被监视、篡改、伪造、毁损、窃取、泄露等危险的权力，其目标是保障数据的安全性、真实性、完整性和保密性。[12]68数据控制权是国家主权在大数据时代的一种新的重要表现形式。

近些年来的棱镜门、“量子”间谍软件、美英窃取全球数十亿手机SIM卡信息等事件，说明绝大多数国家已经陷入了大数据跨境流动所带来的国家安全威胁之中。信息安全“黑洞门”不仅暴露了个人隐私、财产等私权益被侵害，同时也揭示了重要数据流向他国而导致的国家安全问题。大数据外流对国家安全的威胁是隐形、柔性和间接的，它不像对领土、领海、领空入侵时那么明显、刚性和直接。数据主权不仅仅是指向国家安全，而且直接指向公民整体的隐私、财产和人身利益等。国家主权归根到底是个人权利以“社会契约”的形式让渡出去集合而成的，正如卢梭所言“被认为是主权各个部分的那些权利都只是从属于主权的，并且要以至高无上的意志为前提。”[13]34因而没有国家数据主权的保障，当个人数据权利被他国侵犯时，很难得到有效的救济。

虽说数据本身不等于信息，信息本身也不等于情报。但数据化意味着我们要从一切太阳底下的事物中汲取信息，甚至包括很多我们以前认为和“信息”根本搭不上边的事情。[2]20在大数据时代，能通过对海量数据进行挖掘而获得更有价值的有效数据，并将有效数据整合为信息，进而提炼为情报。与本国公司在境外的云服务器和他国公司在本国境内的云服务器所带来的信息安全威胁不同，对大数据的利用本身是合法的，任何政府并没有理由禁止本国或他国公民对所掌握的数据进行挖掘的合法行为。除了政府开放的数据资源以外，各公司也掌握着其他海量的数据资源，这些数据资源跨境自由流动尚未有相关的限制，这是大数据时代对国家安全带来的最大挑战。

西方国家似乎对新技术变革给国家主权产生的威胁更为敏感。1974年成立的政府间信息局(Intergovernmental Bureau for Informatics)曾就跨界数据流动提出了建议，并讨论了国家主权原则和信息自由原则的协调。[14]46-48此后，政府间信息局在1978年的国际会议报告认为跨界数据流动将国家至于危险的境地[15]56。近年来，法国对云时代的数据主权、英国对欧盟数据主权、德国对数据主权的用户控制策略、美国对数据主权范畴展开了研究。[16]58-59一些国家虽已意识到大数据对国家主权的冲击，但应对国外大数据霸权时几乎都沿用着比较温和的传统的行政、法律等手段。比如，面对美国的数据霸权“侵袭”，欧盟国家通常采用反垄断、反侵权、反避税等私权益保护措施来遏制美国科技公司的扩张：如法国数据保护监管机构对谷歌处以15万欧元罚款；欧洲法院裁定谷歌应保护用户的“被遗忘权”；西班牙立法规定，对谷歌引用媒体内容链接收费；欧洲议会呼吁监管机构考虑将谷歌搜索引擎和其他商业服务相分离；荷兰数据保护局警告谷歌停止侵犯该国互联网用户隐私权。[17]21这些手段在一定程度上对抗了数据霸权的“侵袭”。然而从长远来看，仅仅按传统思路来加大信息安全规则的制定，力度仍然不够，而应当构建国家数据主权，启用公权力应对模式。毕竟，国家在网络空间的数据主权安全已经成为继陆权、海权、空权、天权安全之后另一个国家安全不可分割的组成部分。[18]38

我国目前对数据主权的相关研究主要涉及四个方面：其一，云时代数据主权概念及其运用前景；其二，政府公共云服务中的数据主权及其保障策略；其三，大数据时代的数据主权和国家数据战略；其四，数据权、数据主权的确立与大数据保护的基本原则。这些研究已经论及了数据主权的概念、保障策略、国家数据战略及相关保护原则，在一定程度上推动了数据主权的学理构建[12]64-70+191[16]58-65[19]157-162[20]113-119+127。然而，这些研究尚未注意到非传统安全与传统安全之间的区别。数据主权指向的是非传统安全，它不同于传统的领土、领海、领空主权所指向的传统安全，而且它的特殊之处在于没有物理空间地理边界。在大数据生态系统中，人民安全、政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全中的任何一个方面都离不开数据的支撑与表达，这些领域的大数据足以威胁总体国家安全。在将来的研究和实践中，应该在总体国家安全观*中共中央总书记、国家主席、中央军委主席、中央国家安全委员会主席习近平于2014年4月15日主持召开中央国家安全委员会第一次会议上提出了总体国家安全观。其内容包含人民安全、政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。之中来研究、构建数据主权，即构建“总体国家安全观中的国家数据主权”，它的主要功能是保护总体国家安全，在新环境中巩固国家主权的地位。

3.2数据权利

艾伦·德肖维茨认为，权利是经验与历史——尤其是极端的邪恶——所教会我们的更好选择，而这些选择是如此重要，以致于应该教导公民将它们确立为权利，同时别让权利屈从于善变的多数决之下。[21]69权利往往不是亘古便有，也并非永恒存在，而是随着时空变化此消彼长。权利演变的步伐并不固定，有时会在历史的某个阶段为了回应最严重的恶行而突然急速发展。大数据时代出现的大规模“监听”背后的数据非法收集、黑市交易和不当利用，数据窃取、泄露背后的骚扰、诈骗和盗窃等种种恶行，亟待赋予数据主体数据权利来应对。按照信息链理论，信息是有意义的数据，知识是可解释的信息。由于数据与知识这种天然的密切关联，数据权利与知识产权在权利属性上比较接近，数据权利跟知识产权一样，是一种兼具人格权和财产权双重属性的权利，但却与知识产权具体的权利内容迥异。

3.2.1数据人格权

我国《宪法》第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”这可被视为数据人格权的法律基础。数据人格权是一种与隐私权很接近的新型权利，在我国《民法典》三个版本的草案中都将关于个人数据的规定放在“隐私权”章。但数据人格权又不同于隐私权，因为传统的“隐私权”概念涵盖不了所有个人数据，个人数据既包含隐私数据也包含非隐私数据。数据人格权的产生背景、权利内容、保护措施都不同于传统隐私权。

数据人格权是一种新型的人格权。个人数据处理可能侵害隐私，也可能导致财产减损，甚至可能导致违法犯罪，但这些都只是可能性。法律不能因为可能性的存在就直接将个人数据处理当作侵犯隐私、侵犯财产权或者违法犯罪。但是当个人数据处理导致这些不利后果的危险性已经足够大，大到需要让这种危险发生的人需要为危险本身负责任，个人数据权就产生了。[22]211个人可以拒绝提供个人数据，也可以监督个人数据处理者对个人数据的处理情况，甚至可以制止对个人数据的深度分析和处理。个人对个人数据有知情同意权，在个人数据因不准确、不完整、滞后等原因可能对个人带来负面影响时有修改和被遗忘(删除)的权利。

(1)数据知情同意权

数据知情同意权由数据知情权和数据同意权组成，二者关联甚密，知情是同意的前提，同意是知情的“后续”，知情权是同意权的基础。在已有的数据保护立法中，二者基本是同时出现。在欧盟《一般数据保护条例》和台湾地区《个人资料保护法》中，都是通过对数据收集者或控制者课以告知和证明告知的义务，来保障数据主体的数据知情同意权。

数据知情同意权是指服务提供商(或政府)在采集或处理个人数据前均须先告知数据主体并征得数据主体同意。数据知情同意权不止是规范采集、处理行为本身，还应该包括采集数据的目的、用途及其后续的变化等，以及处理数据的方式、程度等及其后续的变化都需要告知数据主体并获得其同意。同意有积极同意(明确表示同意)和消极同意(沉默或不作为推定为同意)两种。从立法趋势来看，近年来有消极同意向积极同意转变的趋向：如台湾地区2010年公布的新版《个人资料保护法》规定了严格的书面同意；欧盟数据保护1995年《数据保护指令》规定的是消极同意，在2014年欧洲议会公布的《一般数据保护条例》中已被修改为积极同意，即任何数据主体在被通知的情况下，自由做出的明确表示同意处理与其有关的个人数据的意思表示，具体方式包括通过声明或者做出清楚的积极行为以及签署个人数据处理协议，并进一步规定数据控制者需要证明数据主体同意的行为，而且数据主体可以随时撤销同意，而且当数据主体与数据控制者之间地位不平等时，数据主体的同意并不能作为数据处理合法性的基础。

(2)数据修改权

数据修改权是指数据主体享有或授权他人修改其数据的权利。换言之，数据主体有权禁止他人未经其授权而擅自修改其数据。该项权利旨在维护个人数据的准确性、真实性、完整性。个人数据是对数据主体各种属性的描述和数据主体行为活动的记载和外在表达，数据失真、滞后或残缺有可能误传信息及其旨意，从而导致对数据主体的描述失实，乃至声誉受损。可以通过给数据主体赋权，也可以通过对相对方设定义务，来保障数据主体的数据修改权。在大数据时代，数据往往不由数据主体掌控，服务商或政府机构管控着大量数据，适用责任规则可能更能保障数据主体的修改权。通过禁止包括数据收集者、控制者和处理者在内的相对方对个人数据的篡改、歪曲，旨在保护个人数据尤其是与个人身份密切相关数据的准确、真实和完整。

一般情况下，他人未经授权而擅自修改数据，是侵犯数据主体修改权的行为。但数据控制者和处理者为数据免遭泄密所做的匿名化处理是业内惯例，不属于数据主体修改权保护的范围。

(3)数据被遗忘权

大数据时代，很多我们想忘却的记忆，却永远也不会忘记。数字技术已经让人类社会丧失了遗忘的能力，被遗忘权应运而生。1995年的欧盟《数据保护指令》中就规定了被遗忘权。2012年欧盟《一般数据保护条例》(草案)提出了专门的“被遗忘权或删除权”。Ambrose Meg Leta 等认为欧盟《数据保护条例》(草案)的被遗忘权包括了传统的遗忘权和删除权，前者指将某些公开数据完全删除的权利，其针对搜索引擎带来的问题，源自于对名誉、身份和人格的保护；后者指将用于自动化处理的个人数据删除的权利，旨在赋予个人对其数据更有效的控制权。[23]1-23美国民主和技术中心认为必须清楚区分两种数据共享：一个是被动的或者事务性的数据共享——服务商在商业事务中收集和使用个人数据，另一个是积极的和表达性的数据共享——内容被用户自己传播，如社交网络的情况。遗忘权对应前者，而删除权对应后者。Hans Graux、Jef Ausloos 和 Peggy Valcke认为相对于通过给别人强加忘记的义务来努力地重建一个自然现象，欧盟《一般数据保护条例》最好是使用更为精确的删除权，将重心放在数据主体，旨在使数据主体更加有效地控制他们的个人数据[24]1-20。显然这种观点很有说服力，欧盟官网上最新版的《一般数据保护条例》已然将该项权利改为删除权。我们认为，在数据人格权项下的数据被遗忘权应该包含上述两个方面的内涵。

支撑数据人格权的主要是责任规则，即“只要愿意支付一个客观确定的价值，就可以消灭(destroy)一个初始法益。”[25]11也就是说，在责任规则下的法益在法定情形下可以被他人以法定赔偿强行剥夺。在法律明确规定下，为了数据主体整体权益、社会公益或国家安全而未经数据主体知情同意的情况下，进行的数据处理、修改或不作“被遗忘”等数据行为给数据主体造成数据人格法益损害的，给予相应的法定赔偿便可将数据主体受损的那部分数据人格法益“买断”。

3.2.2数据财产权

财产最初是习俗的产物，司法与立法不过是在数千年里对它做了发展而已，因此没有理由认为，它在当代世界采取的具体形式就是最后的形式。近人已经认识到，传统的财产观是一个内容多变而极为复杂的包裹，至今仍未发现它在所有领域最有效的组合方式。[25]36当前，数据交易伴随着云计算和大数据发展而兴起并成为一种趋势。数据作为信息时代核心的价值载体，大数据必然具有朝向价值本体转化的趋势。[26]数据是信息时代的一种新资源，像资本一样能够产生增值效应，人们逐渐意识到“数据成为资产”。这些为数据法权化——数据成为法律意义上的财产并确立数据财产权提供了基础。

在讨论数据财产权之前，首先要厘清一个误区，即将财产权等同于所有权。实际上，所有权只是物权的一个下位概念，表现为对物的占有、使用、收益、处分四项权能。所有权是物权中最重要的一种权利，物权是财产权中的一种权利，这意味着所有权只是财产权项下的一种表现形式，而不能将二者等同视之。因而，在构建数据财产权时并不需要比照所有权的四项权能配置其权利内容。数据财产权是统属于财产权的一种新型财产权，它是与知识产权、物权、债权等并列的一项财产权。知识产权包括专利权、商标权、著作权(版权)等，物权包括所有权和他物权，这两种财产权项下的内容可以继续细分，而债权并未细分出其他权利类型，可见不同财产权的内容结构并不是“一成不变”的，数据财产权的内容当然也有其独特性。

(1)数据采集权

数据财产与其他的任何财产不同，用户数据从产生那一刻起并不是直接在具体的某个“用户”控制或占有之下，而是由真正的数据控制者或处理者——服务商、运营商等事实上掌握的，普通用户只是数据提供者或产生者。这是由于业已形成的通讯、网络等基础设施和技术形态造成了“寡头格局”，普通用户并没有接近或采集其数据的技术能力，故普通用户并不能实际控制自己的个人数据，甚至连个人数据被谁控制都无法确知，因而有必要赋予普通用户采集自己数据的权利。数据采集权是数据主体有权同意或禁止对其数据进行采集的权利。它是数据权利束中最基础、最核心的权利。另外，数据采集权中的“同意或禁止”指向财产规则意义上的“许可”，是建立在“自愿交易”的基础之上，而前文“数据知情同意权”中的“同意”指向责任规则意义上的“允许”，除了“自愿交易”之外，还包括“支付法定价格的强制交易”，这两者是不同的。数据采集权能规范服务商、运营商、政府等初始收集者的数据收集活动，能有效防止数据过于集中而形成数据权力实体(服务商、运营商、政府等)“寡头”。数据采集权并未纳入“数据主体自主采集数据的权利”，这是因为数据主体自己采集自己的数据无需赋权，就好像著作权人的复制权不用特地强调“自我复制”的内容。

(2)数据可携权

数据可携权是指数据主体有权要求掌握其数据的相对方(如服务商、运营商政府等)协助其将个人数据在不同系统或设备等载体之间进行迁移、保存。在该权利的保障下，即便是在上述的“寡头格局”中，用户也有公平接近其个人数据的机会。设置该权利考量的因素有二：其一，在当前及以后的“寡头格局”中，用户自行采集数据并不太现实；其二，即便用户能够凭借其掌握的技术或工具直接在网络环境中自行采集其所产生的数据，但从成本与收益上分析，并不是最有效率的。给数据主体配置数据可携权能够保障其低成本地获取其个人数据，这符合“权利带来便利”的逻辑，让用户使用其数据成为了可能。

(3)数据使用权

数据使用权是指数据主体使用其数据的权利。虽然普通用户没有直接控制或占有其数据，但并不能因此而忽略用户的数据使用权。王泽鉴先生认为，所有权的“使用”指“依物的用法，不毁损其物或变更其性质，以供生活上需要而言，例如居住房屋、耕作土地，乘用车马，穿着衣服，弹奏乐器。”[27]154可见，此意义上的“使用”侧重于消费性使用，且不毁损其物或变更其性质。数据使用权与所有权的使用权能的“使用”是不同的，数据的使用无论是指向消费性使用，还是指向生产性使用，被使用的数据依然保持“原貌”。人们有权利用“数据呈现事实”的客观规律为自己带来便利或收益。比如用户使用自己的月度、季度或年度金融消费数据可以分析出其金融消费的情况而制定理财计划，也可以通过使用数据(个人数据或经合法途径获得的数据)在市场经济活动中获得收益。数据挖掘主要涉及数据的二次开发和利用，当使用数据的权利掌握在极少数人、公司或机构手中，那么掌握数据就等于拥有某种“权力”，甚至是“极权”，通过赋予数据主体使用数据的权利，可以在一定程度上“对冲”大数据开发和利用所带来的负外部性。

(4)数据收益权

数据收益权是指数据主体基于其数据获得收益的权利。数据财产属于增量财产范畴，它能够给个人带来财产性收益。在大数据时代，数据持有人倾向于从被提取的数据价位中抽取一定比例作为报酬支付，而不是敲定一个固定的数额。[2]154也就是说，个人在其有意或无意“贡献”的个体数据集合而成的大数据所创造增量利益的总和之中占有一个相对合理比例的收益。因此，当个人数据被其他主体使用时，有权要求使用主体支付“对价”。数据财产不应该划归为公共资源或公共资产，凡是将非自有的数据用于商业目的，都应当支付“对价”给数据财产权主体，而不能无偿使用。当然，当“你”的数据交易给“我”之后，“我”仍然不得将“你”的原始数据公之于众，这样一方面是保障“你”的隐私，另一方面让“你”有机会将该部分数据再次交易出去(法律能让它们变得稀缺)，毕竟“我”的目的不在于独占“你”的数据。

支撑数据财产权的主要是财产规则，这意味着“要想从拥有者那里得到法益，必须通过自愿交易”。[28]5-25如此一来，数据财产权主体在任何时间因特殊情况有权对基于保护数据主体的重要利益、为了公共利益或官方授权的任务以及数据控制者对合法利益的追求而进行的数据采集表示拒绝。私人财产制度保护稀缺产品，意图引导“高效利用”。[29]36而且产品的稀缺有两种：一种是天然的稀缺，另一种是规则或制度制造的稀缺[25]36-37。通过数据财产权的配置维持数据资源的稀缺性，能够在大数据时代的“数据滥用”趋势中引导数据资源被高效地利用。此外，从权利本位角度思考，配置数据财产权还在于衡平数据控制权或数据管理权。对于这一点，或许查尔斯的“财产权制度捍卫着个人与国家间的微妙边界”[5]194能够给让我们保持一些“警醒”。

4.结语：大数据利用的边界

数据的收集、分析和使用等活动由来已久，但传统的数据活动并不曾给社会生活带来如此大的变革和不安，而基于网络、云计算等现代技术手段而出现的大数据在改良社会自我管理的同时，也确实给社会生活带来前所未有的威胁。我们现有的法律体系、伦理道德和社会规范并没有足够的力度来保护我们的隐私、安全等社会价值。数据控制者对于大数据的控制和普通个人无法控制自己的数据之间已经形成了一种强大的非对称力量。在大数据已经普遍化利用之时，应当考虑如何在大数据利用与社会伦理、个人权利之间平衡的问题。在倡导数据开放和利用的同时，是时候注意数据利用的边界问题了。

数据权的审慎构建是必然的。之所以给国家(政府)赋予“数据权力”，而给个人(自然人或法人等)赋予“数据权利”，是考虑到“权利”与“义务”对等，而“权力”与“责任”对应。国家的权力对外时，它承担的是主权国家的“大国责任”，而无须受法律规定的“义务”束缚，毕竟一个国家也主张其“主权”用来逃避一个国际法上的义务[30]14，这样更有利于加强本国的“主权”力量；国家权力对内时，它承担的是保护国民的天然责任，在“非常”之时能迅速地、有效地进行管理、控制。公民享有法律赋予的权利时，应当承担起对社会、国家的“义务”，有所“作为”或“不作为”。在宏观治理环境中应当从整体上考虑到国家的“机动性、灵活性”，在微观治理环境中应当从整体上考虑到强制力的作用。需要明确的是：数据权的审慎构建实际上是在为大数据场域构筑“边疆”，划定各相关主体间的权利边界。

以数据为中心的相关新型权利或权力正在不断地兴起，我们应当坚持以包容的态度对待大数据，并努力推动数据权的理论化、类型化和法定化、制度化，倡导数据权谱系的构建。大数据在全世界范围内掀起了一股社会自我管理变革的浪潮，而我国社会恰好处在全面转型和法治建设之中。道格拉斯·C·诺斯提醒我们，制度是一个社会的游戏规则，它们是为决定人们的相互关系而人为设定的一些制约。[31]3我国正处在社会转型时期，面对时代的“节点”，应该加快步伐，迎面走过去！

参考文献：

[1] Richards, Neil M. and King, Jonathan H., Three Paradoxes of Big Data (September 3, 2013). Stanford Law Review Online (2013). Available at SSRN: http://ssrn.com/abstract=2325537.

[2] [英]维克多·迈尔-舍恩伯格、肯尼思·库克耶.大数据时代:生活、工作与思维的大变革[M].盛杨燕、周涛译.杭州:浙江人民出版社,2013.

[3] Melvin Kranzberg, Technology and History: Kranzberg's Laws, 27.3 Technology and Culture, (1986) .

[4] [英]迈克尔·曼.社会权力的来源(第1卷)[M].李少军、刘北成译,上海：上海人民出版社2002.

[5] [美]查尔斯·A·赖希.新财产权[J].翟小波译. 私法,2006,02.

[6] 潘恩选集[M].马清槐等译.北京:商务印书馆,1981.

[7] 吕世伦,文正邦.法哲学论[M].北京:中国人民大学出版社,1999.

[8] 施鹏鹏. 基本权利谱系与法国刑事诉讼的新发展——以《欧洲人权公约》及欧洲人权法院判例对法国刑事诉讼的影响为中心[J]. 暨南学报(哲学社会科学版),2013,07.

[9] [德]考夫曼.法律哲学[M].刘幸义译,北京:法律出版社,2003,8.

[10]沈逸. 后斯诺登时代的全球网络空间治理[J]. 世界经济与政治,2014,05.

[11]温柏华.网络空间治理的政治选择[J].中国信息安全,2013,09.

[12]齐爱民,盘佳. 数据权、数据主权的确立与大数据保护的基本原则[J]. 苏州大学学报(哲学社会科学版),2015,01.

[13][法]卢梭.社会契约论(第3版)[M].何兆武译.北京：商务印书馆,2003.

[14] 常景龙. 跨界数据流动对发展中国家管辖权的影响和法律对策[J]. 江苏商论,2007,04.

[15] 任孟山.全球化背景下的信息传播与国家主权[J].中国传媒报告.2007,03.

[16] 蔡翠红. 云时代数据主权概念及其运用前景[J]. 现代国际关系,2013,12.

[17] 任彦. 捍卫“数据主权”[N]. 人民日报,2015-01-14.

[18] 王文超,石海明. 捍卫大数据时代的“信息边疆”[J]. 铁军,2014,07.

[19] 胡水晶,李伟. 政府公共云服务中的数据主权及其保障策略探讨[J]. 情报杂志,2013,09.

[20] 沈国麟. 大数据时代的数据主权和国家数据战略[J]. 南京社会科学,2014,06.

[21] [美]艾伦·德肖维茨著,你的权利从哪里来?[M].黄煜文译.北京:北京大学出版,2014.

[22] 郭瑜.个人数据保护法研究[M].北京:北京大学出版社,2012.03.

[23](Ambrose)Jones, Meg Leta and Ausloos, Jef. The Right to Be Forgotten Across the Pond (September 21, 2012). 2012 TRPC, Journal of Information Policy, Volume 3 (2013). Available at SSRN: http://ssrn.com/abstract=2032325 or http://dx.doi.org/10.2139/ssrn.2032325.

[24] Graux, Hans and Ausloos, Jef and Valcke, Peggy. The Right to Be Forgotten in the Internet Era (November 12, 2012). ICRI Research Paper No. 11. Available at SSRN: http://ssrn.com/abstract=2174896.

[25] [英]哈耶克. 致命的自负[M].冯克利等译,北京:中国社会科学出版社,2000.9.

[26] 波成.未来大数据核心趋势："数据即资产"[EB/OL].http://www.enet.com.cn/article/2014/0126/A20140126346644.shtml.

[27] 王泽鉴.物权法(第1册)通则·所有权[M].北京:中国政法大学出版社,2001.

[28] Guido Calabresi and Douglas Melamed, Property Rules, Liability Rules, and Inalienability: One View of the Cathedral, 85 Harvard Law Review 1092(1972).转引自凌斌. 法律救济的规则选择:财产规则、责任规则与卡梅框架的法律经济学重构[J].中国法学,2012.

[29] Arnold Plant, The Economic Theory concerning Patents for Inventions，Selected Economic Essays and Addresses. 1974.

[30] [奥]阿尔弗雷德·菲德罗斯、斯特凡·菲罗斯塔、卡尔·策马内克.国际法[M].李浩培译,北京:商务印书馆,1981.

[31][美]道格拉斯·C·诺斯.制度、制度变迁与经济绩效[M].刘守英译,上海:上海三联书店,1994.

责任编辑：饶娣清

An Outline of Right and Power to Data Pedigree

XIAO Dong-mei,WEN Yu-heng

(FacultyofLaw,XiangtanUniversity,Xiangtan，Hunan411105,China)

Abstract：Three paradoxes of big data are being fulfilled in reality one by one,big data has benefited the human society and also caused a lot of chaos at the same time. We are urgent to build the right and power to data pedigree judiciously to crack the paradoxes of big data and construct a new social order. The basic pedigree of right and power can be divided into two major frames: data sovereignty, and data rights. Data sovereignty includes the right of data management and data control, whose main function is to consolidate the status of national sovereignty in the new technological environment.Data rights has dual attributes of personality rights and property rights. Data personality rights mainly includes the right informed consent, the right of dato modification and the right to be forgotten, whose main function is to protect the privacy and make people enjoy the “beautiful life” of big data era. Data property rights mainly includes the right of date collection, the right of data migration, the right to data used and the right to data profit, which endows people with right to pursue wealth and share the gained value of big data.

Keywords：right and power to data；data sovereignty；data right；right and power pedigree