李子豪

随着国家大数据战略的推行以及互联网、云存储、云计算等技术的发展，大数据技术和思维逐步渗透至不同行业，个人对于自身个人信息的保护观念逐步提升，企业商业模式也随着创新，数据在人们心中的重要性逐步提升。第47次《中国互联网络发展状况统计报告》显示，我国网民规模较2020年3月增长8 540万，总额达9.89亿，互联网普及率超过了70%，这一数据统计截止于同年12月。在大数据时代，数据已然不是一段单纯的“零一”数字，而是社会中重要的资源。社会管理中，政府越发重视数据的管理以及数据获取；企业发展中，企业也更加重视数据分析、数据挖掘，几乎每个企业都直接涉及大数据技术的运用，更有以数据处理、分析为主营业务的企业。在个人生活中，享有大数据时代带来便利和快捷的同时，网上频频发生的数据泄露事件也使人们逐步意识到自身个人信息数据暴露的危险性。新型的社会关系需要构建新的权利规则，进而定纷止争，维持社会秩序[1]。

为了应对大数据时代技术给人们带来的挑战，我国陆续出台了《网络安全法》《个人信息安全规范》《电子商务法》，2017年10月生效的《民法总则》和2021年1月生效的《民法典》也都从私法领域正式确定了个人信息作为一项私法权益。同时，《个人信息保护法》(草案)已于2021年3月3日提请全国人大常委会审议，该法律构建了较为完善的个人信息保护规则。然而，大数据时代社会的发展和需要迎接的挑战诸多，仅构建人格权意义上的个人信息权存在保护不周延的情况。另一方面，企业作为大数据时代数据经济发展的中坚力量，仅有个人信息权而无“企业数据权”不利于鼓励企业发展数据技术，更容易打压企业的积极性，不利于数据经济的持续发展。因此，为“数据”构建财产权体系对于大数据技术的衍化和人类数据经济时代的发展有着重要意义[2]。

一、区分数据和信息是构建数据私权的前提

随着大数据技术的发展，个人信息的商业价值逐渐显露，个人信息泄露的事件也频频发生，因此世界各国首先加强的立法保护的对象主要是“个人信息”。从比较法的角度分析，在个人信息保护法律对于“个人信息”的概念上，我国和美国、欧盟均有不同：美国加州《加利福尼亚隐私权和执法法案》(以下简称“CPRA”)在概念上使用“隐私”或“数据隐私”，欧盟《通用数据保护条例》(以下简称“GDPR”)则称“个人数据”，中国《民法典》《个人信息保护法》(草案)均称为“个人信息”，因此在个人信息保护相关法律中，我国的信息、GDPR的数据、CPRA的隐私有着类似的含义。大多法学研究者甚至认为信息与数据的区分无意义，或“仅在于不同的表述角度”，因此“约定俗成即可”[3]。以上缘由，是因为传统私法领域构建个人信息法更多是对于个人人格尊严及利益的保护，并不以赋予个人信息财产权为主要内容，个人信息权财产权化并非主流观点。

信息、数据、隐私三词含义混同的情形在个人信息保护的研究中或许并无太大影响，但倘若构建私法意义上的数据财产权，则会引起不小的混乱。数据是指通过计算机或者其他信息终端及相关设备组成的系统收集、存储、传输、处理和产生的各种电子化的信息。《数据安全法》(草案)第三条对数据的表述为“任何以电子或者非电子形式对信息的记录”。而对比《个人信息法》(草案)第四条个人信息的定义则为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”。不难得出，数据更倾向于信息的存储形式；而信息更倾向于计算机数据存储中的内容，两者并不相同。倘若构建私法意义上的数据法，确认个人数据以及企业数据的财产权[4]，信息和数据的混淆不利于对于“数据”这一客体的保护。在构建数据财产权的背景下，以对于个人数据的保护为例，此时保护更强调的是“形式”，而非个人信息保护中对于人身权益、人格尊严这一“内容”的保护。

正如我国《数据安全法》(草案)第三条和《个人信息保护法》(草案)第四条对于数据和信息的概念的划分，立法层面其实也注意到了“数据”和“信息”的不同。但《数据安全法》(草案)的立法重点并未落脚在“数据”之上，而在于“安全”，并未确认私法意义上的“数据权”，我国数据财产权的私法保护仍处在无法可用的尴尬境地。但不得不说的是《数据安全法》(草案)对于“数据”和“信息”的区分对于后续数据财产权的构建起着重要作用，从立法层面上确认了两概念的不同。

二、数据私权不同于现有私权体系的各类权益

数据的特性决定了数据权不能直接适用现有私法体系各类财产权的法律制度，以下分述之：

(一)数据私权与物权存在差异

数据所具有的不同于物的特性决定了物权理论不能涵盖数据权的所有功能。首先，数据具有无限复制的特性，因此在虚拟世界中对于数据进行复制后能够得到包含相同内容的数据，这些数据可谓完全相同，仍然蕴含着原数据复制功能。对比之下有体物则不同。处于现实世界有体物不具备可复制的特性，对有体物进行划分或切割，结果可能会损害原有体物的形体以及功能。其次，数据在大数据时代以共享为背景。确立数据财产权的目的并非为了阻遏数据流动，而是为了保证权利主体的合法权益受保护的基础上促进数据流通。对比之下，物权中动产的占有公示方法，物权权属占有推定都预示着物权权利主体主要依据对物的排他占有彰显其对物的权利，这与数据的流动性完全不同。当然仍有学者在区分了数据权和物权不同后，对数据权保有“所有权”这一称谓，如对于包含个人信息、个人在网络上的习惯，个体应该享有“所有权”；企业匿名化处理后的个人信息，经过企业的分析、挖掘、加工后产生的衍生信息，应有企业享有“所有权”。此时“所有权”的称呼更倾向于对于数据权归属的认定，而非特指物权[5]。

(二)数据私权与知识产权存在差异

数据权在某些程度上确实与知识产权有着类似的特点：知识产权这一财产权具有专有性、地域性、无形性等特点，而数据权也符合专有性和无形性的特点。甚至在《民法总则》(一审稿草案)中就曾将“数据信息”作为一种知识产权加以保护，但最终因“数据信息”不属于人的智慧成果而被否决。知识作为人类在实践中认识客观世界的成果，其价值密度高于具有一定传输内容的信息；而信息则也因为自身具有内容而价值密度高于作为传输介质的数据。知识产权蕴含着人类智力劳动成果，对比之下，数据权更多是对于大量数据的分析、挖掘、排列、组合。数据权其中可能也蕴含了人类的智力，但是通过间接的方式。毕竟数据处理软件等早已被纳入著作权的保护范围，有数据处理软件产生的“数据”并非直接作为人类的智力劳动成果，但可以直接认为是“软件”的劳动成果，其中关系仍可争论。“大数据”背景之下，数据的动态性、实时更新等性质很难构成独创性或艺术性内容。大量数据本身即具备财产性质，而并非一定体现于数据的排列组合优化分析。综上，数据权和知识产权确实存在着许多类似的部分，但数据权与知识产权仍存在着不同的属性和特征，倘若构建数据权体系，在具体制度规定中仍可以借鉴知识产权的相关制度规定。

(三)数据私权与个人信息权存在差异

正如上文所述，“数据”和“信息”两者在概念上存在着区别：数据具有工具的性质，作为一种数据编码技术，数据能够生成并传输信息，具体体现为计算机中二进制的数据流。两者是内容和形式的关系。对于个人信息权所保护的利益存在不同学说，大体可以分为隐私权说、具体人格权说、人格权兼财产权说三种。其中隐私权说，主要是根据美国以及欧盟对于电子数据的保护立法，二者均是为了防止个人隐私被非法公开和泄露。同时，美国一直遵循以隐私权保护人格权益的做法，直至今日仍采此种保护方法。欧盟则随着制度发展和对数据的认识，以“个人数据”(“personal data”)代指个人信息。隐私权的观点在我国的人格权构建背景下已经鲜有人支持，是因为个人信息的公共性和流动性使其和我国传统的隐私权有着显著的差别。具体人格权说则基于《民法典》1034条对于个人信息的具体规定，认为《民法典》建立了区别于其他具体人格权且不属于一般人格权的新型人格权益，此观点为现阶段的主流学说。人格权兼财产权说则是在第二种具体人格权说的基础上增加了财产权的内容，认为个人信息权无需区分人格和财产。此种学说下，个人信息权享有防御性的人格权和支配性的财产权。与以上三种学说对比，第一种和第二种学说依然将个人信息权的内容限定于人格权益的大范围之内，而数据权更多强调的是财产权的因素。第三种学说即人格权兼财产权说则使得数据权与个人信息权存在一定的关联，因为数据权包含对于个人数据的保护、企业数据的保护乃至对政府数据的保护，而个人数据的保护中就涉及对于个人信息的保护，因此两者存在一定的交叉。但是对主流的具体人格权说而言，个人信息权并未落脚于财产权的构建，且个人信息权的主体与数据权的主体存在显著的范围差别。

三、确认数据私权具有现实必要性

大数据背景下，数据作为“新石油”愈发受到社会各界的重视。美国的劳伦斯·莱斯格(Lawrence Lessig)教授就数据财产化提出了系统的理论思路。莱斯格教授支持赋予用户数据财产权，一旦构建了数据财产权并赋予用户个人数据权，数据使用者就不得不主动地与数据主体商议，由此用户在数据市场上被忽略的尴尬境地便能得到显著的改善，进而提升用户的议价能力。现阶段，APP服务提供企业往往借助数据法律制度的空缺，通过“不同意”便不能使用的方法诱导用户同意该企业对于用户个人信息的收集、存储、分析等协议。出现该现象的原因，是由于大多数人在使用APP之时对于个人数据是否具有财产权益并无直接认识，在企业的诱导之下，往往草率同意，丧失主动性。另一方面，在大数据技术爆发的背景下，企业也投入了大量的财力、物力、人力以维护并构建自身的企业数据库。一味地考虑对于个人信息的人格权保护，不利于网络平台和数据服务企业的发展。数据活动本质上即要求数据的大规模的手机处理甚至报告交易，倘若简单地站在用户的立场上分析，盲目地保护个人信息，对数据活动和数据发展将会造成极大的阻碍。不得不说的是，现在社会中各项网络平台和数据服务企业提供的各项服务给我们带来了极大的便利，因此，维持企业的数据权也存在一定的必要性和正当性。

(一)确认数据私权有助于保护个人信息

我国现有的个人信息保护规则不够科学，由于个人信息和个人数据的交叉性，确立数据私权在保护个人数据的同时有助于保护个人信息。就我国个人信息保护立法而言，《民法典》个人信息权侧重保护人格尊严和利益，《个人信息保护法》(草案)构建了详细的保护体系，但法律责任承担方面更倾向于行政责任，即主要由履行个人信息保护职责的部门责令改正、没收违法所得、予以罚款等；就民事赔偿方面，则需要参考个人因此遭受的损失或信息处理者由此产生的利益，在利益难以确定之时则需根据实际情况确认赔偿数额。侵害个人信息的侵权数额以及获利数额往往难以确认，此种被动保护的方法难以给予个人就其个人信息充足的保护。依据《个人信息保护法》(草案)对于大型企业施以巨额的罚款可以遏制企业不规范的收集个人信息，但对于中小企业适用小额罚款不能遏制其违法行为，适用巨额罚款又容易影响中小企业的存续。对于个人数据保护时应当考虑发挥数据的公共性价值，应当加强对中小企业的不当信息收集的监管，但不能仅依靠行政手段。倘若能够确认数据财产权，对于企业的违法行为则无需完全依靠行政处罚这一手段。个人可以在与企业交易个人“数据”之时设置违约责任等具体规定，待企业存在违法违约行为之时，个人可以行使自身的请求权规制企业的违法行为。同时，确立个人数据财产权将有助于提升个人信息违法的可诉性。单独从个人信息而非个人数据的保护角度来看，个人信息保护案件侵权链条较长，个人信息的泄露或者收集往往只是侵权链条中的一条，不仅不易证明个人信息泄露与损害后果的因果关系，还难以认定个人信息被侵害所造成实际损失，这给诉讼带来了极大的困难。而确认个人数据的财产权则注重于数据这一载体的保护，数据交易和流通的“明码化”有助于衡量数据财产的价值，便于计算侵权所造成的损失，有助于对个人信息的保护。

(二)确认数据私权有助于保护企业数据

个人数据保护问题尚且可以依附于《民法典》以及未来的《个人信息保护法》，企业数据的保护则不存在直接关联的法律。现阶段对于企业数据的法律保护主要依靠反不正当竞争规则和商业秘密保护。反不正当竞争规则的设置即要求存在不正当竞争行为，为保护经营者的合法权益方能适用，该规则保护的“权益”是泛化的“权益”，且需要根据具体情况具体分析。而商业秘密的保护规则，则需要企业保证其控制的数据“不被公众所知悉”且具有“商业价值”并采取“保密措施”，亦即如需通过商业秘密保护企业的相关数据，对相关数据的保密是前提。但随着大数据时代的发展[6]，商业运营模式不断创新的情况下催生了许多专营的信息业务，仅保护保密的数据无法满足社会的需求，如此不完善的保护方式很容易对企业的经营利益产生损害。

微梦公司诉淘友公司非法抓取微博用户信息不正当竞争纠纷案(以下简称“微博诉脉脉案”)中，淘友公司的脉脉软件上线之初与微梦公司的微博合作并建立了开放API，脉脉借此接口未经新浪公司许可获取了用户大量的信息。生效判决中，法院认为互联网中第三方应用通过开放平台获取用户信息，应当遵循三重授权原则，即“用户授权”后“平台授权”再加上“用户授权”，而淘友公司并未获取微博用户以及微博(微梦)公司的同意，侵犯了微梦公司的竞争优势，构成不正当竞争[7]。本案并未直接回应是否侵害了微梦公司合法获取并分析管理的数据权益，而是侧面以“不正当竞争”的表述认可了微梦公司对其拥有的企业数据所享有的财产权益。原告直接在诉请中要求确定衍生数据具有财产权的案例也发生过，即淘宝公司诉美景公司不正当竞争纠纷案(以下简称“淘宝诉美景案”)。在淘宝诉美景案中，淘宝公司开发“生意参谋”数据产品经用户授权后利用用户提供的原始数据分析处理产生具有价值的衍生数据，并以此经营。而美景公司未经淘宝公司同意，采用远程登录订购该数据产品的电脑的手段，以营利为目的，协助他人获取淘宝公司数据产品的内容。法院不仅支持了淘宝公司的诉求，而且在说理过程中认可了淘宝对其开发的数据产品的“独立的财产权益”，并认可了衍生数据能够为其带来“经济利益”。如果说“微博诉脉脉案”侧面印证了司法实践对于企业数据财产权的认定，那么“淘宝诉美景案”则正面回应了企业对于衍生数据应当享有财产权益[8]。从上述两案也可以看出，倘若不在私法领域确定数据财产权，对于企业数据的保护仍然要依附于反不正当竞争规则，企业面临数据被侵害的危机之时无法积极主张权利，仅能在损害发生后请求赔偿，反不正当竞争规则较之于私法权利保护偏弱，不利于基于企业数据财产权益充足的保护。

正如龙卫球教授所言，数据财产权的构建应当立足数据经济的合理本质，重新平衡用户和数据从业者以及其他关系人复杂利益关系，确立更加复杂的数据新型财产权体系。不得不说的是，个人数据往往是企业数据构建的基础。对于个人数据的权利构建应当在促进市场流通的基础上构建，以“知情——同意”原则为基础给予个人数据“定价”的可能；对于企业数据的财产权赋权的同时，应当注重政府监管，防止企业实施数据垄断，危害数字经济社会的整体发展。在科学的体系设置和有效的政府监管下，确认数据具有财产权内容有利于促进数据流动，发挥数据的公共利益。个人和企业的数据财产权益得到充分保护的前提下，有利于刺激企业投入资源，促进数据分析、数据挖掘技术的创新发展，进而为全社会提供更好的数据服务。