魏远山

0 引言

自我国接入互联网后，信息权利和数据权利一直是学术热点。进入大数据时代，个人信息和数据价值日益凸显，对数据红利的角逐加速数据产业发展，使数据完成了向数据要素的跃迁。作为要素的数据需要流通，而流通的前提是权属清晰。但数据所涉主体众多、所含利益多元，数据和信息的“非物”属性一直是数据确权的“痛点”。一方面，个人以信息为载体的数字化存在是其在网络空间的自然延伸，个人信息不仅承载着人格价值，还具有财产属性，更与其作为社会人在智能时代作出行为和保护自己合法权益紧密相连[1]135。对以增强数据主体信息控制能力和保障个人信息安全的个人数据权利的构建，成为保障个人信息所含合法利益的关键。但个人信息多被数据控制者掌控，与其他数据一道掺杂着数据控制者的劳动和利益。因此，如何剥离各自利益以实现个人信息安全和数据利用的平衡，成为个人数据权构建的重点和难点。另一方面，数据控制者进行数据交易的前提是数据产权清晰，但其掌控的数据存在权利交叉情况，企业数据权与其他主体数据权利分庭抗礼，导致企业数据确权困难重重。为此，2020年4月9日发布的《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》要求“研究根据数据性质完善产权性质”“建立健全数据产权交易和行业自律机制”，并将数据与土地、资本和劳动力等传统生产要素并列；5月18日发布的《中共中央 国务院关于新时代加快完善社会主义市场经济体制的意见》指出“加快培育发展数据要素市场，建立数据资源清单管理机制，完善数据权属界定、开放共享、交易流通等标准和措施，发挥社会数据资源价值”，以打破数据权属界定与企业数据交易规则制定的僵局。

另外，跨境数据流动引起的“数据安全”“隐私保护”“数据自由流动”冲突问题[2]考验着我国数据法治的韧性和生命力，也倒逼国家数据管理和保护能力的转型升级，推进国家数据主权的贯彻落实。相比于欧美通过立法形式确立“长臂管辖原则”、印度和俄罗斯确立的严格数据本地化存储制度，我国数据立法尚处摸索阶段，尚未形成完善的数据保护法律制度。因此，选择何种跨境数据流动治理模式以建立适宜的数据管控制度，实现数据保护与利用、限制与流动的平衡，是亟待解决的问题。

由此可见，在数据安全威胁多元、数据产权界定不清、跨境数据流动“三难问题”林立的当下，对包含公权性质的国家数据主权和私权性质的数据权利(个人数据权利和企业数据权利）在内的数据权进行研究，重要性无需赘言。因此，本文对我国关于数据权的研究成果进行梳理与回顾，并对可能的演进趋势进行预测，以期对数据权研究有所裨益。

1 个人数据权利

早期我国个人数据权利发展缓慢。一是因为我国互联网技术发展缓慢，个人数据安全问题尚未完全暴露；二是在21世纪初期个人数据价值并未被充分挖掘，对个人信息和数据的重视程度不高。直到2009年《刑法修正案(七)》对侵害公民个人信息的行为予以规制，才迎来相关研究的高潮。总体来说，个人数据权利的发展经历了3个阶段。

1.1 沉睡阶段：个人数据保护萌芽(1994-2008)

(1)网络隐私保护问题初现。自我国接入互联网以来，人们了解认识世界的渠道和方式被无限拓宽，网民个人隐私被侵害的可能性也大大提高。20世纪末就有学者关注大众传媒领域的个人隐私问题[3]。21世纪初随着互联网和计算机技术的普及，公民网上隐私泄漏问题逐渐成为被关注的对象。

(2)个人信息保护呼声渐高。随着网民数量与网络隐私事件的增加，人们逐渐认识到个人网络信息成为隐私泄露的重要风险源，从而引发个人信息的法律保护问题。有学者或借鉴美国《隐私法》探讨网络环境下的隐私保护问题[4]，或从电子商务等场景探讨[5]。部分学者开始关注个人信息保护问题，如从个人数据和私人生活安宁角度对网络环境下的隐私问题进行探讨[6]，或呼吁对个人信息进行立法保护[7-8]。

(3)个人信息权利概念诞生。21世纪初期就有学者基于信息网络中的信息保护提出了个人数据权或个人信息权的基本构想，认为个人信息权是公民依法保护相关数据，实现应得利益，保障生活安定和人身不受侵犯的权利[9]。周毅[10]认为个人信息权是个人对资料所享有的权利，也有学者称之为资料权、信息自决权或知情权。曹玉平[11]主张在网络时代，个人隐私安全风险日益增大，为保护个人隐私，确立作为网络时代的“信息隐私权”的个人信息权至关重要。

(4)个人数据保护研究起步。在互联网隐私问题引起学者们重视的同时，有学者认为单纯对个人信息保护难以满足保护隐私的要求，只有将更为广泛的个人数据作为规制对象方可实现较好保护[12]。此时对个人数据保护的研究可分为以下类型：一是从不同场景分析个人数据保护问题。卢小宾等[13]、张德芬[14]分别从电子政务、网络环境和银行卡等不同场景分析个人数据保护问题，呼吁对个人数据进行充分保护以保障个人隐私和财产安全。二是主张确立个人数据权。汤啸天[15]认为数据能够识别个人，数据应归其生产主体所有，获得、使用个人数据应事先经过同意或批准，同时应在批准范围内使用个人数据；徐旭光[16]、汪全胜等[17]认为个人隐私权在网络空间表现为个人隐私不被侵害和寻求法律保护两项权能；杨宏玲等[18]、相丽玲等[19]从财产权角度论证个人数据权是一项财产权益，即数据主体对其数据享有所有权。

尽管通过赋权方式保护个人数据和隐私安全的思潮已出现。但随着互联网和通信技术的进一步发展和应用，人们逐渐发现在网络环境下，数据让渡或流动是使用互联网的必需环节，任何人都不可拒绝。此外，数据收集的隐秘性和非现象化，导致人们逐渐忽略个人数据安全和隐私泄漏问题，致使个人数据权利相关研究趋于停滞状态。

1.2 萌芽阶段：内涵于个人信息权(2009-2012)

尽管早期我国已出现数据权利化的观点，但对“数据权利”概念来源的共识聚焦于2009年以来的英美国家开展的，旨在将政府控制的公共数据向公民开放的“数据民主”运动。在此背景下，英国首相卡梅伦提出“数据权利”(right to data)概念，并认为其是公民在信息社会享有的一项基本权利[20]。尽管数据权利概念在国外被提出，但我国学者并未接受，而是以“个人信息权”谓之。刘修军[21]、刘宪权等[22]从《刑法修正案(七)》对公民个人信息的保护入手，认为个人信息权是对公民个人的情报、资料等信息自由支配并排除他人干涉的权利。甚至此时大部分学者并不对个人数据和个人信息进行区分，或是笼统解释为个人信息[23]，或仅以“个人信息”谓之[24]，进而将个人信息权视为一般人格权[25]。

此阶段“数据民主”运动倡议的数据权利概念逐渐被我国学者重视，但因当时我国学者并未对数据和信息有充分认识，转而将个人数据权视为个人隐私权在网络空间的延伸，并以个人信息权囊括之。不过，正因个人信息权利化观念的出现，随着学者们对数据和信息区别认知的加深，为数据权利化观点的萌芽和发展提供了理论土壤，也为后续个人数据权利研究奠定了基础。

1.3 发展阶段：数据权利独立发展(2013- )

1.3.1 个人数据权利的概念、性质及对象

(1)个人数据权利概念的提出。与个人数据权利相关的研究真正兴起于云计算时代。2013年前后，社会进入云计算、大数据时代，信息与数据的区分、数据价值的凸显使人们开始重视数据，在国家数据主权范畴之下的个人数据权利也随之出现。个人数据权被认为是对应于公民的数据采集义务而形成的对数据的使用权，是公民对其数据的自决权和自我控制权[26]。该权利以国家数据主权为背景，并受域外观点影响，在当时多与国家数据主权同时提及。不过，此后我国学者在欧盟1995年《个人数据保护指令》、2012年《一般数据保护条例(草案)》和2016年《一般数据保护条例》等文件的基础上开始关注数据权利问题，逐渐明确个人数据权利对个人信息或数据权益保护的重要意义，与之相关的研究成果也显著增加，并为数据权利的构造做了诸多尝试。

(2)个人数据权利的性质。对个人数据权利性质的研究可分为3类学说。一是“双重属性说”，又可分为“人身和财产双重属性说”与“公权和私权双重属性说”。前者是主流观点，如齐爱民等[27]、肖冬梅等[28]、李爱君[29]认为个人数据权具有人身和财产双重属性，并据此将其分为人身性质和财产属性的个人数据权。后者呼声小，如吕廷君[30]认为数据权是复合型权利(力)体系，其中数据主权、数据管理权、数据公民权属于宪法性权利(力)，数据社会权具有社会法性质，数据人格权、数据财产权、被遗忘权则属于私法性质；程同顺等[31]和张金平[32]认为个人数据权是一种参与原则下的知情权，具有私权和公权双重属性。二是“人格权说”。部分学者认为个人数据权就是数据主体对其数据的控制权，是一种人格权[33]。三是“其他观点”。相丽玲等[34]认为个人数据是一种所有权，即个人对其数据享有占有、使用、处分和收益的权利；龚子秋[35]认为个人数据权是一项基本人权。

(3)个人数据权利内容。对个人数据权具体权能的探讨基本达成共识，即认为个人数据权包括人身权和财产权，但对内涵有争议。肖冬梅等[28]、鲍静等[36]认为数据人身权包括数据知情同意权、修改权、被遗忘权；数据财产权包括数据采集权、可携权、使用权和收益权。温昱[37]认为数据人格权包括自决权、同意权、修改权和被遗忘权；财产权分为使用权、收益权和可携权。张黎[38]认为数据人格权包括知情同意权、查阅权、更正权、删除权、可携权和封存权；数据财产权包括控制权、使用权、收益权和处分权。

(4)个人数据权利的对象。对个人数据权利作用的对象①，学界有不同观点。一种观点认为个人数据权利的对象是个人信息，如邵国松[39]、邓刚宏[40]认为被遗忘权的对象是一切与个人相关的信息；武长海等[41]、石丹[42]认为个人数据权指向的是个人信息(与个人数据概念相同)。另一种观点认为个人数据权的对象是个人数据[27]。还有一种观点将个人信息权和数据权进行区分，认为个人信息权的对象是个人信息，数据权的对象是个人数据[43]。但也有学者认为个人数据权是一个错误的概念，只有个人信息权(信息性隐私权)作用的对象是个人信息，而数据权的对象是非个人数据[44]。不过，李勇坚[45]认为个人数据是一个复杂的多维对象，包括含有个人信息的底层数据、不含个人信息的匿名化数据，以及经数据清洗、算法加工后的衍生数据。

1.3.2 对数据可携权和被遗忘权的狂热推崇

数据可携权和数据被遗忘权是《一般数据保护条例》规定的个人数据权利，我国学者对这两项权利青睐有加。第一，对数据被遗忘权的研究。夏燕[46]认为被遗忘权一方面能够保障个人数据自决、平衡网民与互联网公司力量差异、突破技术的思维局限和摆脱“超级圆形监狱”的监控；另一方面，权利概念本身的模糊性和权利实现的技术障碍，以及对言论自由和网络监管的侵害也不容忽视。王茜茹等[47]、刘学涛等[48]均从被遗忘权着手，分析数据主体在一定情形下享有要求数据控制者删除其数据的权利，并对可能的质疑作出回应，最终提出数据被遗忘权本土化的建议。第二，对数据可携权的研究有两种声音。一是认为我国应引入该权利。丁晓东[49]、邢会强[50]从不同角度分析欧盟《一般数据保护条例》所规定的数据可携权，虽对我国应如何引入数据可携权有所争议，但均认为我国应赋予数据主权数据可携权。二是以卓力雄[51]为代表的学者认为数据可携权本身存在的问题和矛盾使其成为一个错误的承诺，我国暂时不应引入该权利。

1.3.3 个人数据权与个人信息权的剥离

随着个人数据保护相关研究的推进，学者们也认识到信息与数据的区别，在此基础上将个人数据权利与个人信息权利区分。李勇坚[45]认为不同数据识别个人的能力不同，进而主张原始数据、信息和隐私分别对应数据权、信息权和隐私权。也有学者认为个人信息权保护的是信息主体合法获得的，并转化为信息的个人数据；个人数据权保护的是数据主体的个人数据。前者是财产权，后者是人格权。丁晓东[52]则认为个人数据权与个人信息权不同，个人信息权指向的是信息性隐私，只能作用于具有持续性信息不平等的关系，即针对商业性或专业收集个人信息的主体。

也有观点不将数据主体拥有的权利称为个人数据权，而是主张数据主体对其数据享有一种有限排他权。吕炳斌[53]将数据主体享有的权利设定为一种强度适中的专有权(专有访问权和可转移权)；谢琳等[54]认为数据主体对其数据享有类似于知识产权的个人信息财产权，且该权利可转让，具有一定期限。

2 企业数据权利

相较于个人信息权的研究，对企业数据权利的研究起步相对较晚。虽然汤啸天早在2000年就对法人的信息权作出设想，但并未引起关注。直到2016年大数据交易产业起步后，基于数据交易对“数据界权”的需求，与企业数据权有关的研究得以兴起，不过当前对企业数据权的争议颇多。

2.1 以著作权保护企业数据利益

企业收集数据建立数据仓库，并在此基础上挖掘数据的价值。企业所收集的原始数据多为个人数据，而在原始数据基础上挖掘所得的是次生数据或衍生数据。就企业收集的原始数据而言，有学者认为可借用欧盟数据库保护制度保护企业的数据仓库利益[55]；甚至有学者主张，若原始数据集满足“独创性”要求，可以按照普通法系的版权理论进行保护[56]。就衍生数据而言，企业加工是其具有独立价值的关键，因此企业对其享有权利。若符合“独创性”要求，可以著作权法进行保护；反之，只能以邻接权进行保护[57]。当然，若企业对其掌控的数据采取了保密措施，则可视为商业秘密。

2.2 以有限排他权保护竞争利益

企业掌握的数据毕竟涉及多方利益，若认可企业对数据享有类似于所有权的绝对排他权，不仅难以划分各主体的利益，还会阻碍数据的自由流动。因此，有学者主张企业对其掌控数据享有的权利，应符合数据流动的基本要求，不宜设置过强的排他权[58]，即数据控制者享有的是有限排他权，且以反不正当竞争法调整[59]。不过，也有学者对企业收集数据的量和劳动投入提出要求，认为只可对付出实质性投入收集的实质规模的大数据集合设置有限排他权(公开传播权)，以保障企业的合法权益[60]。

2.3 按大数据工作原理分阶段保护

数据价值的挖掘依赖于大数据技术的运用。通常大数据技术可分为数据收集、数据存储、数据分析和应用几个阶段。通过“爬虫”抓取等方式收集和汇集得到的是原始数据；对原始数据的分析和处理是数据生产行为，由此得到的是衍生数据。大数据技术的不同阶段对应的数据不同，据此可完成企业数据权利和个人数据权利的分割，实现数据产权的良好配置[61]。也就是以个人敏感数据为核心的原始数据与人格密切相关，应以“关联规则”将数据权利赋予数据主体；衍生数据体现企业劳动等投入，理应以“捕获规则”由企业对其享有权利[62]。不过，也有学者从法律经济学角度进行分析，认为数据收集阶段的数据权利应归大数据挖掘者；存储、分析阶段的数据权利由委托人享有或依约定确权；在应用阶段的数据应被定性为公共数据[63]。

2.4 依数据类型或主体差异赋权

个人数据和企业数据的不同、数据主体与数据控制者的差异是影响数据界权的因素之一。因此，基于数据类型和主体差异的赋权模式在学界有着不弱的呼声。基于数据类型差异赋权的观点认为，以个人信息为核心的原始数据并非依靠数据控制者劳动生成，且因其具有人身属性而不可被剥夺，应归数据主体所有；数据控制者对合法取得的原始数据进行加工处理后所得的衍生数据[64]、脱敏数据[65]和匿名化数据享有财产性的权利[66]。此外，因不同主体对数据的作用不同，作为数据产生者的数据主体或用户是原始数据的来源，当然对数据享有控制权[67]；而只是对原始数据进行加工处理的数据生产者(数据控制者)，出于对数据利用的经济需求，应对衍生数据享有数据经营权和数据财产权[68]。

2.5 赋予企业数据财产权

产权明晰与否不仅影响交易成本的高低、权属纠纷的多寡，还会影响市场交易能否顺利进行。为增进经济效益，有学者认为应为企业而不是为个人设置数据财产权[69]，以明确数据产权，鼓励交易[70]。不过，关于企业数据财产权究竟是一种怎样的权利，尚无定论。有学者主张企业数据财产权类似于所有权，是数据控制者对数据集合的占有、使用、处分和收益的权利[71]；也有学者认为企业数据权是“一个抽象的集合性财产权利”[72]。不过，值得慎重考量的是，数据的无形性和非排他性必然使企业数据财产权与民法上的物权和所有权不同，以所有权为蓝本赋予企业数据权未必是良策。因此，有学者基于企业逐利的天性和数据经营的需求，主张为企业配置类似于知识产权结构的竞争利益保护权——企业数据权(数据经营权与数据资产权)。其中，数据经营权是一种资格权，数据资产权才是真正意义上的企业数据权(包括占有、处分、使用和收益权)[73-74]。

2.6 其他观点

就企业对数据享有的权利而言，还有学者认为数据是算法作用的对象，其权利也应通过创设代码空间权解决，即赋予“代码空间主体对代码空间的保持、利用、管理和控制的自由”[75]。但在“硬规则时代”，将数据权利依附于“代码权力”，无疑是将数据主体的利益过分让渡于算法使用者。为避免“算法霸权”[76]，数据权利应独立于“算法权力”。而且个人数据具有人格与财产双重属性，数据主体的权利应得到圆满保护，数据控制者只能对基于合法手段获取的数据进行加工后得到的衍生数据享有权利[77]，或允许数据主体与企业共有产权[78]。对此，有学者认为数据权利归属并不可采取“一刀切”的权利安排方式，应当依据场景化理论，以隐私保护为重，兼顾经济效益[79]。不过，也有学者认为数据生产者权与现有知识产权、数据库保护和商业秘密制度冲突，不利于数据市场的稳健发展[80]。

3 国家数据权力

进入互联网时代后，数据资源及其蕴含的价值成为各国角力的对象。就国家安全而言，数字化进程使国家安全利益的“数字化侵害”风险激增，尤其是“斯诺登事件”后，国家数据安全一直刺痛着各国神经；就经济利益而言，为促进数字经济发展，伴随数字贸易兴起的跨境数据流动是各国经济政策扶持和鼓励的对象，如何管控数据流动考验着国家权力的能动性；就个人利益而言，保障离境个人数据安全与降低隐私风险是主权国家保证本国公民合法权益的基本要求，也是保障“数字人权”[81]的应有之义。为协调数字时代“国家安全”“数字人权”和“经济效益”的冲突，由国家主权衍生出的国家数据主权(数据权力)是国家管控本国数据资源的基本工具。尽管数据主权是国家主权在数据领域的延伸，但并非直接从国家主权中衍生而来，而是经历了信息主权概念和数据主权概念两个时代。

3.1 信息主权概念时代(1994-2011)

(1)信息主权概念的提出。进入互联网时代后，网络空间成为继海陆空及太空之外的第五个空间。网络空间的秩序与安全问题为国家主权在网络空间的延伸提供了逻辑场域和理论根基，至此“网络主权”概念应运而生。在当时，因网络信息技术兴起于美国，为保证本国网络安全，“网络主权主要体现在国家对网络信息技术的监管上，包括网络物理设施运行安全的保障，以及采用技术手段对网络信息安全进行维护”[26]。相比于对网络信息技术的控制，对网络信息的控制更能直观作用于网络安全。而且，随着通信和互联网技术的发展，跨越主权国家地理边界的信息流动日益频繁，各国应在传播和信息领域拥有全部主权，从而衍生出“信息主权”原则[82]。有学者认为信息主权是国家主权在信息活动中的体现，即“国家对政权管辖地域内任何信息的制造、传播和交易活动，以及相关的组织和制度拥有最高权力”[83-85]。但对信息主权产生的原因，存在不同的看法。有学者认为随着跨境数据流动，各种有害信息的流入和秘密信息的泄漏会增加国家间的冲突，尤其会对“信息贫国”的主权产生严重的负面影响，进而提出“信息控制权是一国的信息主权”的论断[86]。也有学者认为信息网络化突破了传统主权的内涵，对国家主权安全、政治制度安全和意识形态造成挑战[87]。为应对信息技术快速发展带来的挑战，国家主权在网络空间的拓展是国家管理和控制网络安全与秩序的必然选择[88-89]，因此“信息主权”概念应时而生。

(2)信息主权的内涵。第一，信息主权与信息控制权之间的关系。一种观点认为信息主权与信息控制权等同。彭前卫认为信息控制权是一国信息主权，有两层含义：一是在网络上拥有相当数量的反映本民族传统文化、价值取向和社会意识的信息资源；二是确保本国所拥有的信息资源不被侵害[86]。另一种观点认为信息控制权与信息主权不同。狭义的信息控制权是“国家主权在信息时代的新的表现形式，是国家防止信息网络中的本国数据被窃取、篡改、毁坏和抵御有害信息对本国的侵蚀、破坏的权利”；广义的信息控制权还包括法人、非法人团体和公民对其依法占有的数据/信息进行保护和使用的权利[15，90]。也有观点认为信息控制权仅是信息主权的一项具体权能[91]。第二，信息主权的内容。关于信息主权的权力内容，争议较小。第一种观点认为信息主权包括保护开发利用权、自主确立信息规则权、信息输出和输入管理权[92-93]；第二种观点认为信息主权包括信息控制权、信息管理权和信息资源共享权[94]；第三种观点将信息主权分解为对内主权(信息立法权、信息管理权和信息管辖权)和对外主权(信息独立权、信息平等权、信息防卫权和信息管辖权)[95]。

3.2 数据主权概念时代(2013- )

云计算和大数据技术使数据可在全球范围内分布式存储，逐渐摆脱中央主机和存储器的束缚，间接拓宽了网络主权的内涵。同时大数据技术通过对数据的挖掘分析来提取价值，以及学界对“数据”与“信息”的区分，使学者认识到数据是信息的原生态或载体，单纯以“信息主权”调整信息和数据法律关系不再可取，因此“数据主权”概念逐渐被学者推崇。

(1)数据主权的概念。数据主权是一国独立自主对其掌控的数据进行管理和使用的权力，这些数据包括其辖区内的数据和本国公民在境外产生的数据。因此有学者认为数据主权是国家对其管辖范围内主体产生的数据享有的最高权力[96]，是国家主权在网络空间的延伸，是网络空间主权的下位概念[97]，且以独立性、自主性和排他性为特征，具体表现为对外的管辖权和对内的管理权，是一种经济主权。

(2)数据主权的权能。对数据主权内涵的解读有多种观点。从广度上看，狭义的数据主权是指国家数据主权，广义的还包括个人数据权和企业数据权利；就权力作用范围而言，对内主权是指对辖区内数据的最高管辖权，对外主权是指对外处理国家利益的权力[98]；从“权力-责任”角度看，数据主权最核心的目的是保障本国公民的数据权利、维护企业的数据权益，这具体表现为一种权责的对等，即主权国家在对本国数据享有管辖、使用、获取和消除权的同时，也需对涉及个人隐私和财产、企业数据资产以及国家安全的相关数据进行保护[99]。不过，主流观点认为数据主权是国家管理本国数据的最高权力，但对具体权能划分存在不同观点。有学者认为数据主权可分为数据所有权(排他占有)和数据管辖权(管理使用)[26]，而齐爱民等[96]认为数据主权的内涵主要体现在数据控制权、数据产业技术的自主发展权和数据立法权；鲍静等[36]认为数据主权包括数据管理权和数据控制权；史宇航[100]基于数字经济发展的角度认为数据主权包括数据拥有权、数据使用权和数据处置权。

4 数据权研究趋势展望

随着数据在社会生产生活中作用的凸显，数据确权的重要性日益得到重视。但囿于数据的特殊性和所涉利益多元，如何精准分割个人、企业和国家利益，实现个人隐私保护和信息安全、企业数据产权清晰和竞争利益维持、国家数据安全和数字经济的协调发展，成为未来数据权构造的重点。因此，后续数据权研究的方向可能集中在3个方面。

4.1 个人数据权利逐渐回归个人信息权

随着信息技术的发展，个人数据泄露成为隐私被侵害的主要情形，为了加强对个人隐私的保护，个人数据被纳入隐私保护范畴[101]。尽管隐私作为一个受地域、文化、习惯等多因素影响的概念，并没有放之四海而皆准的定义，但以自治性隐私和物理性隐私为规则核心的传统隐私权保护模式难以满足大数据时代的隐私保护需求，却是共识。质言之，在大数据时代，以个人信息或个人数据为载体的信息性隐私不仅具有人身属性，还具有财产属性，对其保护成为保障“数字人权”的关键。这也是以加强数据主体个人数据权利为目的的欧盟《一般数据保护条例》，在个人数据保护方面备受褒奖的原因。因此，在“GDPR(《一般数据保护条例》)时代”，人们对隐私保护和个人数据安全的需求，推动着个人数据权的研究进程，逐渐形成以下共识：个人数据权利的构建是个人隐私保护的重要内容[102]。

近年随着相关研究的细化和对事物认识的加深，对数据和信息分野的呼声渐高。在立法上，《民法典》第111条和127条分别对个人信息和数据进行规定；2019年人大法工委将《个人信息保护法》《数据安全法》列入本届全国人大常委会的立法规划，这种分别保护暗含着数据和信息的差异，为个人信息和个人数据的区分在立法上作了处理。在学术界，越来越多的学者主张数据和信息不同，前者是后者的原始形态且偏向于形式，后者是前者的核心且偏向于内容[103]。那么个人数据同个人隐私和个人信息是否存在不同？个人隐私是自然人不愿为他人所知、所干预、所了解的私事；个人信息是能够直接识别或间接识别个人的信息，如身份证编码等；个人数据则是指自然人产生的与其相关的数据，包括个人信息、匿名化信息等。这意味着个人数据和个人隐私、个人信息不同，三者类似于同心圆的关系：圆心是个人隐私；内圆是个人信息；外圆是与自然人相关但不可识别自然人的数据，谓之为“与个人相关的非个人信息数据”。由此可见，个人隐私的范围最小，个人信息范围略大，个人数据范围最大。

由此引申的疑问是，信息性隐私(或个人信息权利)究竟指向的是个人信息法律关系，还是个人数据法律关系？从个人隐私保护角度看，以更为广泛的个人数据法律关系为基础设置个人信息权利，对自然人更为有利；但从数字经济发展的角度看，若将个人信息权利范围不当扩大，并不利于数字产业的发展。为此，可将个人信息权利范围限定在个人信息法律关系中，以个人信息保护促进个人隐私安全，从而为数字经济发展提供必要的空间。因此，笔者大胆预测，基于数据和信息的区别，为实现个人信息权和企业数据权的分野，个人对其信息享有的权利不应以“个人数据权”谓之，而应回归“个人信息权”的基本框架。理由如下：

(1)信息性隐私的目的是对隐私进行保护。信息性隐私是个人隐私在数字时代的拓展和演化，其目的依然是依托于个人隐私来保证自然人的私生活宁静不被侵害。在数字时代，个人信息保护直接与个人隐私安全挂钩，并成为个人隐私保护的重要组成部分。因此，信息性隐私是为了修复自然人在“信息能力不平等的信息关系”中的不利地位，对抗的是商业性或专业信息收集行为。而对“与个人相关的数据”的控制已经超过了个人信息权控制的范畴，对数字经济的发展造成了不必要的局限。

(2)对他人收集的数据享有权利不符合基本法理。个人信息是自然人产生的，企业掌控的数据是企业收集的。若允许自然人对企业收集的数据拥有权利，这不符合基本法理。即自然人对个人信息的控制是基于对隐私的保护，但不可基于隐私保护而要求对他人拥有的数据进行控制。当然，此处并非是指数据主体无法对他人控制的自己的个人信息享有权利，而是指将个人信息权调整的范围扩展至个人数据，并据此对企业的劳动成果(如基于个人信息加工得到的衍生数据)主张权利，难以获得支持。

4.2 企业对非个人数据享有有限排他权

在数字经济时代，企业逐渐取缔政府成为最大的数据控制者。伴随着数据价值的凸显和其作为生产要素地位的明确，数据交易和流动需以明晰的产权分配为基础。因此，如何分配企业数据产权成为促进数字经济发展的关键。当前对企业数据保护的分歧较大，如“以著作权法保护企业数据”“以竞争法保护企业数据”“赋予企业数据权”等理论争议尤为激烈，莫衷一是。为促进数字经济发展，须明确数据产权，这不仅有利于规范数据交易市场，也有助于减少交易成本，避免纠纷。不过，对企业数据权的研究必须要回答以下问题：

(1)企业为何对其掌控的数据享有权利，解决的是企业数据权利的正当性问题。目前就企业为何对其所掌控的数据可主张权利并不是一个具有争议的问题，基本的逻辑共识是企业为数据收集、处理付出的劳动。在数据收集阶段，不论是利用“爬虫”抓取，还是通过其他方式收集数据，企业均付出了大量人力、物力和财力；在数据处理阶段，尽管大数据技术的发展使数据处理能力得到极大提高，但原始数据的收集、数据处理技术的引入和研发，及相关设备购置，均需巨大投入。因此，企业对其掌控的数据有合理的权利诉求或主张。

(2)企业数据权利的主体。与数据相关的主体有数据主体、数据处理者、数据控制者和数据生产者等。数据主体当然可以主张数据权利，但其多基于个人信息和隐私保护提出主张。而在企业数据权利视角下，数据处理者、数据控制者和数据生产者主张数据权利的能力并不相同。在上述三者身份不发生混同的情况下，数据处理者仅是企业数据的“经手人”，并非是数据的“制造者”，因此无足够的理由主张数据权利；企业作为数据控制者对其收集的数据进行处理，得到衍生数据的过程是“数据制造”或“数据生产”(此时企业是数据生产者)，这个过程体现了企业为衍生数据付出的劳动。因此，正是以企业为代表的数据生产者可对相关数据提出权利诉求。

(3)企业数据权利的客体。个人信息只是与其他数据共同构成了原始数据的原材料，通过企业的收集才成为原始数据。在原始数据中的个人信息只有被匿名化处理后，产生的非个人数据方为企业数据权利的对象。虽然个人信息保护制度约束着数据价值生成与利用的全过程，但当遵循相关规范，并合法地将个人信息转化为非个人数据后，数据便具有了独立的价值[104]。

(4)企业数据权利的内容。数据有别于民法上传统“物”的一般属性，具有无形性和非排他性特征，导致数据权利与传统物权存在区别，尤其是不同于所有权。企业对其所掌控数据的合理预期是数据所具有的经济价值和竞争优势。从上述角度看，企业数据权利与知识产权具有相似之处，即均是非排他性的无形财产，具有经济价值，能够带来竞争优势。因此，可借鉴知识产权的权利设置，对企业数据权进行构造，并最终定位为“有限排他权”。唯有如此，方可确保个人信息权和企业数据权相对独立地运行，并可在保证数据安全的同时鼓励数据有序流动，充分挖掘数据的经济价值。

4.3 数据主权兼顾数据安全和经济发展

在数字贸易时代，数据跨越国境的存储、流动成为商业常态，也成为拉动经济发展的重要力量。随着数字经济的发展，跨境数据流动与国家安全、网络安全、隐私保护、国际贸易和分工机制、本土产业发展等政策紧密挂钩，加剧了各国在网络空间的战略博弈与数据资源争夺，由此引发了数据流动和限制、数据安全和经济发展的平衡问题。一方面跨境数据流动威胁着数据安全。相比于国内数据安全隐患，跨境数据流动使数据传播范围、使用方式和场景更为不可控，当出现数据安全事件时，数据主体难以通过一般手段维护自己的合法权益。甚至域外势力会对离境数据进行监控或监听，威胁国家安全。另一方面，数字贸易发展必然伴随着跨境数据流动，若严格限制跨境数据流动，如采取本地化存储制度，将导致企业的合规成本陡增，且数据流动受阻会使数字贸易受到不利影响；甚至将阻碍本国企业走向国际市场，长此以往，将导致本国疏离全球数字经济网格。因此，在数据主权视角下，如何协调数据安全和数据经济发展之间的关系，是后续数据主权研究的重要内容。

作为数据大国，我国在践行“走出去”战略时，跨境数据流动的需求必然与日俱增。我国数据保护立法尚处于探索期，现行规定多散见于各部门法中，并未形成体系化的数据保护法律框架。这导致我国数据管理实践呈现出政府监管与大型科技公司强大数据控制能力相结合的模式，被欧盟评价为“未对个人提供充足保护”②。为抓住数字经济机遇，我国必须立足于当前数字经济发展现状，在安全与效益、限制与流动、宽松与严格、国际与本国间作出抉择，回应数据经济时代的“三难问题”。对此，我国应秉持数据保护与利用、数据限制与自由流动并重的原则确定跨境数据流动治理模式，通过完善数据分类分级管理和数据出境安全评估制度，实现“数据流动”“数据安全”和“数据主权”的协同。

(1)根据我国国情选择适宜的跨境数据流动政策。目前全球跨境数据流动政策从严至宽可分为4种模式：“以地理区域为基准的数据本地化存储模式”“以充分性原则为核心的严格保护模式”“以问责原则为核心的宽松保护模式”“以利益均衡为导向的折衷保护模式”。考虑到数据的质和量、保护和利用直接关系到数字经济的发展，如何在综合考量与数据相关的信息技术水平(决定数据的质和量)、数字产业规模(利用)和法律制度(保护)，及国际环境等因素的基础上，制定适宜我国国情的跨境数据流动政策，是数据主权在数字贸易时代需解决的主要难题之一。我国数字产业规模虽比日欧等国家或地区具有相对优势，但在信息技术水平和数据法律制度上却处于相对劣势地位③。因此，在各方角逐数字贸易红利的背景下，我国可选择相对有利的“严格保护模式”。同时，还可从国际法、数据保护法、进出口管制法等角度明确跨境数据流动的一般要求和例外规定，在保证安全的前提下鼓励数据自由流动。

(2)建立数据分类分级管控的数据管理制度。数据分类分级有助于数据管理部门根据数据的不同级别，明确数据的范围边界和使用方式，清理数据管理及共享开放的义务和权利，进而根据数据类别和级别差异确定数据跨境流动的限制条件，提高数据管理和安全防护水平。具体可分为以下步骤：首先，根据数据的属性或特征，按照一定的原则和方法进行区分和归类；其次，以数据分类为基础，采用规范、明确的方法区分数据的重要性和敏感度差异，并确定数据级别；最后，确定不同级别数据是否可离境及离境条件。如对涉及国家秘密的政府数据、企业非公开数据和个人敏感信息，原则上禁止跨境数据流动；若确有需要，需经严格的数据脱敏和数据离境安全评估程序后，方可离境。对政府内部数据、企业半公开数据和一般个人信息，实行附条件离境。对政府和企业公开数据、匿名化个人信息，允许自由流动。

(3)建立健全数据出境安全评估制度。我国《网络安全法》和正在制定的《数据安全法》及《个人信息出境安全评估办法(征求意见稿)》等在内的法律文件业已明确要求建立数据安全评估制度，但目前并未构建出一套完备的评估体系。在数字贸易时代，数据主权的贯彻和落实必然要求我国完善数据出境安全评估制度，以此确保出境数据的安全隐患不会过分危及国家数据安全和私主体的切身利益，在确保国家安全和数据安全的基础上，发展数字经济。因此，后续的研究应重视对数据出境安全评估制度的构建，尤其是要对数据分类分级的原则和标准、出境的条件，以及安全评估要素等进行深入研究。

5 结语

随着数据要素地位的确立，数据确权的迫切程度与日俱增：一方面，数字经济的发展需以清晰的产权为基础；另一方面，个人信息和企业数据利益的保护依赖明确的私权基础。但数据价值和利益的多元化、数据本身的无形性和非排他性特征等，导致数据确权困难重重。现有研究虽然初步构建了以数据主权为基础，以企业数据权和个人信息权为核心的“三线数据权”框架，但仍然无法有效协调个人信息保护、企业数据利益维持和国家数据安全同数字经济发展的紧张关系。面对纷繁复杂的数据利益，如何实现数据权利分割将是后续研究的重点。本文正是在此背景下对现有研究成果进行梳理，希望能够为了解数据权的前世和今生略有助力。

注释

①权利对象和客体是否有区别，存在不同观点，通说对二者不进行区分。本文认为在数据时代的数据权利客体是指数据所承载的财产利益和人格利益，其对象则是指数据这一虚拟的二进制代码。参见：刘德良.民法学上权利客体与权利对象的区分及其意义[J].暨南学报（哲学社会科学版），2014，36（9）：1-13.

②Communication from the Commission to the European Parliament，the Council，the European Economic and Social Committee and the Committee of the Rights，A European strategy for data，COM （2020） 66 final，p.3.（China has a combination of government surveillance with a strong control of Big Tech companies over massive amounts of data without sufficient safeguards for individuals.）

③世界经济组织发布的《2016年全球信息技术报告》显示，中国网络就绪指数得分为4.2，全球排名59位；美国得分为5.8，全球排名为第5位；日本得分为5.6，全球排名为第10位；欧盟地区平均分为5.0，全球排名为第29位，中位数分值为4.8，全球排名为第32位。可见，美国、日本和欧盟地区的信息技术水平总体上高于中国。