项定宜，毕 莹

(1.东北林业大学 文法学院， 黑龙江 哈尔滨 150040; 2.华东政法大学 互联网法治研究院， 上海 200042)

在大数据时代，数据的运用对社会结构、人们的生活方式以及思维方式都起到了巨大的变革作用，数据的价值也日渐地被社会大众所认可。但是，数据的广泛利用不可避免地产生了一些负面影响，例如，数据安全问题经常威胁着人们的正常生活以及社会秩序稳定。目前，学术界对于数据保护的关注度持续升温，但是我国的立法对数据的属性与定位尚未明确。将不同学者在数据的内涵与外延的研究过程中产生的不同观点进行分析，会为我们今后制定数据保护相关法律、保障数据用户权益、规范数据从业行为以及促进数据产业发展提供理论支撑。

一、数据的界定

被誉为“大数据时代的预言家”的学者维克托·迈尔-舍恩伯格以及学者肯尼斯·库克耶对数据做出了如下的定义，“数据”(electronic data)是限于在计算机及网络上流通的在二进制的基础上以0和1的组合表现出来的比特形式[1]。可以看出，作为对事实活动的数字化记录，数据是随着计算机、互联网时代的到来而产生的，是第三次技术革命的成果。

(一)数据与信息的辨析

“数据”这一概念产生的时间较短，无论是罗马法还是近代传统法律体系对该新兴事物都没有留下太多可借鉴的法学理论。因此，在数据产业发展初期，各国家的立法中存在着将数据与信息混同表述的情况。以欧盟的《通用数据保护条例》(以下简称为《条例》)为例，整体内容虽然以“数据”一词进行表述，但是结合全文语境以及相关的法条解释，我们会发现《条例》中的个人数据大多与我们所说的个人信息并无本质不同。同时，各国学者在数据保护研究上也都更多地偏向于个人信息中所涉及到的人格利益的保护，进一步混淆了数据与信息。但是，随着研究的深入，我国学者逐渐将信息与数据进行区分，笔者总结为以下几种观点：

第一，数字媒介说。数据是信息的一种新型表现形式。李谦认为信息指的是具有内容含义的知识，而数据是在计算机时代信息的一种新型表现形式，也可以说是一种新型的数字媒介[2]。如果没有数据，信息依旧可以通过传统的媒介形式向外表达所包含的内容，比如纸张、音像等。

第二，双重属性说。该观点主张数据本身包含信息，数据兼具信息体和信息媒介双重属性。数据本身既是信息的数字媒介，同时又可以直接显现为信息本身，与信息直接对应。纪海龙将数据分为符号层面的数据文件和内容层面的数据信息，而个人信息一般就是指数据内容层的信息[3]。数据的信息本体化特点，才使其具有双重属性。

第三，相互依存说。信息因网络技术的发展而与数据共存。梅夏英提出在大数据时代，部分信息与以往是不同的，其不再先于媒介存在，而是依靠网络服务提供者在技术上的支持，运用网络来产生数据和存储信息[4]。互联网时代对信息的法律保护难以离开对数据的保护而独立完成。网络信息法律规制的建构依赖于数据基础法律秩序的建立和针对数据操作行为的法律规范的建立。

笔者对将数据与信息放入不同体系中去保护的研究趋势持肯定的态度。除了上述所说的数据自身属性与信息并不相同之外，随着技术的发展，数据产业的兴盛态势也愈发不可逆转，在新的时代数据被赋予了新的重要意义，各行各业与数据产业都存在着密切联系。自2012年以来，数据已然成为一种重要的经济投入、一种商业资本，其作为一种具有价值的新型事物理应与传统民法客体信息相区别。同时，2020年5月28日颁布的《中华人民共和国民法典》(以下简称《民法典》)总则第一百一十一条和第四编第六章“隐私权和个人信息保护”对个人信息侧重人格权益保护，总则第一百二十七条对数据侧重财产保护，用立法的方式承认了两者的区别。

(二)数据能否成为民法保护的客体

数据是否为民法保护的客体在我国曾出现争议，这一问题直接决定了数据权属性研究的可行性与必要性。梅夏英结合《德国民法典》中规定的民法客体物的特点，主张数据不具有民法客体性，因为数据自身的流通性以及需要依赖载体存在的特征使得数据从表面上来看难以具备传统民法客体应有的专属性与独立性，此外，他认为数据本身并不具有任何意义，只有被人们赋予了具体内容之后才能找到自己的应属定位，从而提出了数据不具有实体法中应有的权利表彰意义[4]。

另外一些学者则对此持不同的观点。他们认为数据作为当代社会的一种重要资源，具有民法上客体的特征，理由如下：第一，数据存在于人体之外，是对于现实活动的记录，正好符合民事客体不能为人体本身这一要求；第二，数据具有确定性。数据虽然需要一定的载体才能存在，不具有实体性，但是，对于特定载体之上的数据的数量及其所包含的内容，我们是可以对其进行独占和控制的。需要注意的是，数据独占性的实现与有体物的实际占有不同，其应与知识产权所保护的无体物相同，需法律的特别授权；第三，数据具有独立性。一方面，数据的独立性体现在数据能够与特定的物质载体相区分，如硬盘，两者无论在观念还是制度上都有独立的利益导向[5]。另一方面，数据与其所表现的事实内容的主体也可以相分离。在一定条件下，数据可仅仅以数字化的形式存在，且鉴于数据的物理性质特征，数据所承载的信息内容的主体并不一定是数据文件的主体。

目前，《民法典》将数据置于总则“民事权利”一章中进行保护。数据之上的利益随着信息技术的爆炸式发展而产生，同时在我国的司法实践中也越来越被认可，必然使其成为民法所保护的新型权利所指向的客体。笔者赞同数据作为民法客体的正当性。

(三)数据的法律属性

大数据开启了一次重大的时代转型，现存数据规模空前巨大，数据生产以及数据处理的时效性也显著增强，并且经过挖掘分析之后的数据的财产价值逐渐凸显。近年来，数据产业的快速发展及在流通中产生的数据红利使数据的开放共享成为大数据时代真正意义上的价值追求。因此，数据的法律权属研究成为法学界在大数据时代的热点问题，学者们从不同角度对数据权益属性进行了较为全面的分析。

第一，人格权角度。那些涉及生命健康、名誉隐私等方面内容的，并与数据主体的人格利益密切相关的数据成为数据人格权研究的基础[6]。肖冬梅认为数据人格权是一种新型的人格权益，其与传统隐私权相似，但是并不完全相同[7]。在涉及人格权益的个人数据中既包含隐私数据也包含非隐私数据，而隐私权的传统保护方式不能够涵盖应保护的所有数据。互联网技术发展使以往不易被泄露的个人信息很容易被存储到数据媒介中，并暴露在大众的视野范围内，大多数的数据主体为自然人，其产生的数据包含了与个人身份紧密相关的信息，诸如姓名、身份证号、日常行动地点以及信誉等，这些体现了人格权中的人格尊严与自由。若不加以干预，很容易使这种与人格权密切相关的数据泄露，从而使人格权受到侵害。

第二，新型财产权益角度。国内外法学领域中的部分数据法研究学者已经从数据的人格权研究逐渐向数据的财产权益研究上转移。最先提出数据财产化理论的是学者劳伦斯·莱斯格，他希望通过赋予数据财产权益来突破数据人格权保护的局限性，促进数据的大规模流通和交易。从法律经济学的角度分析，具有财产属性的数据需同时具备使用价值与交换价值。目前，数据的使用价值主要体现在各企业对数据的收集与利用上，而各大数据交易中心的出现则印证了数据及其衍生产品本身的交换价值。王玉林等提出了大数据时代下数据成为资产的流程构想图，包括数据在经过定义、脱敏、积累后，随即会处于数据控制人占有的记录载体之下，最终转化成具有交换价值的交易标的过程[8]。传统对数据这种新生事物的保护囿于上述所涉及的人格权益的单边框架，即使目前有一定的变通，但仍然不能适应数据经济发展的合理需求。未来我们不能忽视数据从业者的地位和诉求，有必要将个人信息和数据资产加以区分，新型的财产权益制度构建正当其时。

第三，知识产权客体角度。基于数据的无体性特点和数据库在选择和编排上具有的独创性特点，一些学者提出将数据纳入到汇编作品著作权保护体系的观点。在大数据时代，数据开发者通过分析、加工等一系列的活动对于取得的共有或者专有的数据进行处理，使数据集合在编排形式上凝聚开发者智慧的结晶，所以才具备了知识产权中独创性的特点，数据库持有者也因此应被赋予传播数据的权利[9]。我国《民法典》制定过程中，也曾将数据定义为一种新型的知识产权保护客体。

此外，数据中蕴含的商业价值在特定的情况下会体现出商业秘密所具有的非公开性和排他性的特点，不易被他人随意利用，所以商业秘密的保护模式拓宽了数据从业者数据控制权的路径。

在信息爆炸的社会背景下，数据在不同领域发挥着独特的作用。在消费领域中，数据的利用既可以提升用户的购物体验，又可以减少企业的产品库存，促进供给侧改革的实现；在金融领域中，对海量金融数据的分析利用可以预防系统性的金融风险，提高资金的利用效率。以“个人电子数据”形式存在的个人信息通过网络渠道，实现了十分隐蔽又迅速的转移，整个交易过程从沟通到支付都实现了网络化形式[10]。如今数据要实现其自身价值的不二法门就是开放共享。数据不仅包括人格利益，还包括新型财产利益以及经过二次利用的数据上存在的应由知识产权体系保护的权益。学术界中现存的单一的数据法律权属界定具有一定的片面性，而且《民法典》总则第一百二十七条也仅是肯定了数据可以作为民法客体，却回避了学术界中对于数据权属的争议。

传统民法侧重于保护数据主体的人格权益，忽视了个人数据中潜在的经济价值。但是，伴随科技的高速发展以及人们对于信息自主控制观念的转变，如果对人格利益保护过于严格，企业就无法对数据进行全面利用，更不会达到二次利用的阶段，最终也就无法实现经济效率提升的目标。同理，一味地重视数据中蕴含的经济价值，忽略其中与个人人格相关的利益，则会因过度的交易行为和数据的商品化，产生信息安全等一系列的问题，甚至企业在利用数据时将不再慎重考虑来源的正当性以及主体权益保护。再者，智力成果作为知识产权保护客体的一个必要充分条件，对独创性的要求很高。但实际上，我们所研究的数据有很多是来源于对自然人在日常生活中的行为或痕迹的记录，并不具有独创性的特点。数据经济时代，每一环节中的数据产业相关主体都会在利益的驱动下，不断提出保护自己权益的诉求。未来我们要建立起一套体系化的数据保护制度，保护因数据而产生的各类新型民事法律关系。

二、常见的数据分类

数据在流通以及被利用的过程中会经历不同的阶段，所涉及的主体、产生的方式以及存在的价值都是有差异的。因此，对数据进行类型化区分，是目前学术研究领域的一个趋势，以便达到个人人格权益与数据产业发展之间的关系平衡。我国目前针对数据的立法规范过于分散，因此，对数据进行类型化的保护研究具有重要意义：一方面，可以在一定程度上厘清不同阶段的数据相关主体与数据权益属性之间的复杂关系，为体系化立法提供理论支撑；另一方面，在数据争夺案例日趋增多的司法实践背景下，为作为企业竞争要素的数据提供保护规则的指引。目前常见的分类方式包括三元划分和二元划分两种方式。

(一)三元划分

依照产生主体的不同进行划分是目前学术界中大多数学者所持的观点，即将数据分成个人数据、企业数据以及政府数据。

我国学者普遍将个人数据认定为单独地可以识别或者与其他数据结合之后能够识别出特定自然人身份的数据。目前，个人数据的产生有以下几种来源：第一，作为数据主体的个人主动提供个人数据；第二，网络服务商通过cookies等技术手段抓取后，拥有管理职能的数据控制者们主动收集个人数据或者通过非法手段获取个人数据。研究个人数据的学者们对其法律属性存在着较大的分歧，主要有人格权客体说、隐私权客体说、所有权客体说以及人格权客体兼财产权客体说。现在的主流观点为刘德良提出的人格权客体兼财产权客体说。他认为大数据时代的个人数据除了具有人格利益外，在财产权益方面也不能受到忽视，无论是企业还是政府都应该在以个人权益为核心的前提下收集使用我们的个人数据[11]。

企业数据既包括企业建立之初就存在的企业名称、经营范围等信息的企业概况数据，也包括企业收集的或者在经营过程中产生的数据。龙卫球提出企业数据化的过程就是通过信息聚变的方式使企业原来收集到的数据变成具有经济价值和商品属性的企业数据，他认为企业数据的存在既解决了企业自身的发展问题，同时又可以为其他有需求的企业提供潜在的客户服务渠道，从而带动中小企业的发展，为客户们提供更好的服务体验[12]。

政府数据是政府机关在依法履行职责的过程中制作或获取的，以一定的形式记录或者保存的数据。此类数据的主体是公权力机关。目前对于政府数据的保护更多适用的是公法体系，但政府对于公民权益的保护仍然是私权社会的制度基石，也是民主法治社会的基础[13]。

(二)二元划分

关于数据的二元划分，学术界存在着两种不同的观点，分别是按照数据的产生方式和数据价值的不同进行划分。

首先，陈俊华认为按照产生方式的不同可以将数据分为原始数据和衍生数据两种[14]。原始数据是通过收集、记录等合法手段产生的数据。此类数据直接产生于被记录者，比如在日常生活中人们产生的购物数据、账户数据等。而衍生数据是基于特定的目的，利用算法或者一些技术手段对原始数据进行清理、脱敏、匿名等处理活动之后形成的数据。作为在原始数据基础之上产生的新类型的数据，其财产属性更为明确[14]。杨立新等支持这种分类方式，他们认为研究两种数据类型的性质对探讨数据权利化这一复杂的问题有着积极的意义[15]。

其次，丁道勤建议按数据的价值将数据分成基础数据和增值数据两种不同的类型来建立数据的二元划分制度，他认为基础数据是最本源的数据，“合理识别”是界定此类数据的基本原则[16]。通俗来讲，企业收集的那些能够以大众意识内最普通的方式识别出特定人身份的数据即可被认为是基础数据。增值数据是指基础数据经历了一系列为客户增加附加值的活动之后形成的新的包含了更多价值的数据。该类型的数据要求数据处理者在获得数据主体授权的前提下，遵循“合理匿名化”原则对数据进行匿名化处理和挖掘分析，为数据增添了更多的财产性价值，更能够保证增值数据的自由流通性[16]。

学者们目前对分类标准并没有形成统一的观点，在类型化数据保护制度的理论构建上也没有提出一套切实可行的方案。依据产生主体的不同对数据进行三元划分在实践中很容易出现各数据类型混同的情况。例如企业和政府收集、使用个人数据后，此时数据应该被纳入哪一主体类型范围内保护是很难明确的。此外，三元划分更适合于公法领域，有利于规制不同类别主体对数据的使用行为，对于私法领域中保护平等主体之间利益关系的意义并不大。二元学说下的两种不同的划分标准也有需要我们继续探讨其可行性的必要。数据自身的复杂性使其本身存在着不同性质的法律价值，我们也正是要依据不同权益所体现的不同价值对数据进行区分保护。若按照产生方式的不同将数据分为原始数据和衍生数据，其并没有完全体现出数据分类的意义，我们仍然需要在此后继续从价值层面去考虑数据中蕴含的人身价值和财产价值，通过两者的差异比较后，再对数据采取不同的保护路径。此外，单纯的从名称上来分析基础数据与增值数据，我们也同样会认为他们最大的区分点在于价值的不同。目前学者们将基础数据与个人数据界定为同一性质，然而实践中基础数据的范围远大于个人数据。

综上，从现有的数据划分标准以及研究成果来看，个人数据、原始数据以及基础数据的共同特点是它们都未经过相应的技术处理，很容易使数据主体的相关信息遭到泄露或是被滥用。对于企业数据、增值数据、衍生数据来说，除了那些承载企业自身概况的数据外，它们大多已经通过了各种类型的技术手段的处理。已有的几种数据分类标准除了自身的可行性有待探讨外，互相之间还存在着混同，导致难以进一步设计数据类型化保护制度。

三、合理确定数据的类型

合理确定数据类型可以保障良好的数据流通秩序，促进数据产业的发展。个人信息的保护研究在大数据时代已经开始向数据保护的方向延伸，未来应对数据进行类型化、综合性的考量，寻求最适合其发展的保护方式。

(一)数据类型化标准的价值基础

数据的利用以及保护之间的利益平衡是目前数据产业中需要解决的核心矛盾。本文认为数据的类型化保护研究的价值基础有以下两个方面。

一是保护人格尊严。从事数据分析的数据从业者们可以清楚地看到大数据的价值潜力，这极大地增强了他们进一步收集、存储、循环使用个人数据的动力，使数据中蕴含的个人隐私更容易受到安全性威胁。随着大数据变得更为普遍，此种情况将更加地严重，造成的后果可能不堪设想。虽然大数据时代的到来为人们的生活带来了便利，但是我们不能容忍大数据带来的无限度的个人信息披露以及对人们正常交往中亲密关系造成的负面影响。个人隐私必然涉及个人尊严，克里斯托弗·麦克拉登(Christopher McCrudden)曾经说到：“尊严经常是人权讨论‘达不成一致意见时的一根救命稻草’。”[17]无论社会发展到什么程度，人格尊严都应该作为人权的一个重要依据，尤其数据自身的人格权属性，更是要求我们要对其承载的人格尊严进行保护。

二是促进数据流通。大数据的价值不仅仅单纯来源于它的基本用途，更多是源于对它们的二次利用，这也就要求我们保证数据的流通。企业在对个人数据进行处理之后，通过一系列的技术措施对数据进行处理分析，形成拥有独特价值的数据集合，企业也可以因此实现用户画像、精准广告推送，从而为人们提供服务的特定功能。数据利用是一个动态的过程，正是因为流通才使数据的财产权益得以显现，使数据成为新时代的新资源。因此，促进数据流通不仅是国家发展的需要，也是人们实现未来美好生活的重要支撑。

(二)个人数据与非个人数据的划分

我国目前在数据保护领域的主要矛盾集中于在个人数据中所体现的人格权益的保护与数据作为资源在利用时所体现的经济价值的平衡。若过于强调数据主体的数据人格权则会给数据运营者增加巨大的成本。同理，如果我们将数据中的人格利益束之高阁，个人数据中存在的人格权益就无法得到保障。目前，类型化数据的保护已经被学术界认同，所以找出一种合适的划分方式和统一分类标准是我们目前需要研究的问题。对此，在上述学者的分类标准基础上，笔者主张将数据分成个人数据与非个人数据。个人数据与非个人数据的划分关键就在于是否能通过该数据直接或者间接地识别出具体的特定人身份。

此外，个人数据是指广义上的个人数据，包括我们上面所提到的由个人产生的以及与个人有关的原始数据、基础数据等。简而言之，凡是能够识别到具体的个人信息的数据，就应当将其纳入到个人数据的范围之内，赋予严格的人格权加以保护[18]。非个人数据最主要的特点是在数据本身的基础上无法利用各种手段识别到特定人的身份信息，此类数据中人格权益不再存在，包括我们上述的衍生数据、增值数据以及在技术利用阶段存在的与它们具有相同性质的数据等。

总的来看，提出这种分类的意义表现在理论和实际两个方面。首先，理论上总结了以往学者们提出的不同的数据分类标准，解决不同分类标准的重合混淆的问题，将分类的焦点仅仅集中在能否识别出个人身份以平衡数据之上个人权益与数据产业发展的关系。其次，实践中在该分类标准的基础上进行数据保护的制度设计，明确各个阶段的数据权益人的权利与义务，调动他们的积极性，保障数据利用的良好秩序。

四、个人数据与非个人数据的区分保护

基于个人数据与非个人数据的划分，二者应当被区分保护。个人数据主体对自己的数据享有收集时的知情同意权、收集后的修改权、删除权、可携权以及特定情况下的财产收益权等[19]。个人数据保护更应该倾向于对数据主体人格权益的严密保护，对数据从业者进行严格限制。用户个人数据的使用应该保证不受个人信息泄露或是隐私侵权风险的威胁，并且数据使用者要保证使用过程的安全透明性以及使用目的的正当性[20]。在收集之初，企业就应该以明显的提示性语句来征得数据主体的同意，并确定使用的权限与范围。数据主体与数据收集者之间的协议内容用于维护数据主体的权利并督促数据收集者承担义务。同时，数据主体在自己的个人数据被利用的过程中，也可以与数据收集者达成因数据利用而产生的财产收益的协议。若个人数据主体的权益被侵犯或是数据收集者没有履行自己的义务，数据主体可以在人格权益的基础上以侵权责任法的途径维护自己的权益，或者基于双方之间的自愿协议，采用合同法的途径获取相应的违约赔偿。

非个人数据更多体现的是新型的数据财产权益，包括数据经营和数据资产两种权益。数据经营权是一种和数据控制者的经营地位或者经营资格有关的数据。数据控制者可以依据此项权益对自己所掌握的非个人数据以经营为目的从事各种活动。由于我国目前数据产业还处于持续稳步上升的发展阶段，在该权益中应该设立私权上的限制。立法要为数据企业制定符合市场经济需求的限制性规定，包括设定合理的许可规则和监管规则。数据资产权是指数据控制者对数据集合或者加工产品享有归属的一种财产性权益。数据控制者可以依据此项权益，对自己依合法途径进行的数据分析而形成的数据集合或产品，比如数据库、数据平台等享有占有、使用、收益、处分的权益，由此为数据的资产化交易提供安全保障与便利。这一权益与物权有相似之处，但又不同于物权，所以仍需要我们继续研究。鉴于非个人数据是以数据控制者的价值添附及创造为基础的，法律赋予其的各项权益可能导致数据控制者产生垄断数据的行为。数据资产权行使应当受到诸多限制，除反不正当竞争法与垄断法的保护外，企业对经过技术处理而得到的数据产品应负有去识别化的义务，保障数据不会还原成具有识别性的数据，避免侵犯到数据主体的人格权益。此外，还要借鉴知识产权法中的某些规则，比如著作权中的许可使用制度为数据利用提供制度设计的平衡[21]。在必要的时间和领域内可以设立强制性数据流通制度，最大限度内维护数据市场的合理竞争关系，鼓励数据企业的创造，促进数据的流通与发展。

五、结语

法律要努力地适应不断发展的社会环境，从而调和相应的社会关系。在大数据时代，各个国家已经提出了数据治国的政策。复杂的数据法益不能简单地归结到单一的类别中，而传统的数据保护理论及立法理念仍然是人格权益单边保护的框架。在数据经济高速发展的今天，应对数据进行类型化保护，赋予不同主体不同的权益内容。个人数据与非个人数据的类型化区分保护，既保护了人格尊严，又促进了数据流通，以及个人信息安全与数据经济发展之间的平衡关系，更好地实现社会的公平、效率与安全的价值理念。