顾勤，周涛，钟书丽，秦之湄，张瑶瑶，陈祎

1. 成都市大数据集团股份有限公司，四川 成都 610095；

2. 成都市智慧蓉城研究院有限公司，四川 成都 610095；

3. 电子科技大学大数据研究中心，四川 成都 611731；

4. 福建省数据治理与数据流通工程研究院，福建 福州 350003；

5. 电子科技大学公共管理学院，四川 成都 611731

0 引言

2020年4月9日，中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，明确提出“加快培育数据要素市场”，指出要“研究根据数据性质完善产权性质”。2021年3月12日发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出“建立健全数据要素市场规则统筹数据开发利用、隐私保护和公共安全，加快建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范”，促进数字经济发展与构建数字规则体系并驾齐驱。具有巨大潜在经济价值与战略价值的大数据已经成为国家的重要战略资源、企业重要资产，影响并改变着经济发展、社会治理和人们的生产生活，甚至成为各国的核心竞争要素。当前，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）、《中华人民共和国网络安全法》（以下简称《网络安全法》）和《中华人民共和国数据安全法》（以下简称《数据安全法》）成为我国网络空间治理和数据保护的“三驾马车”，共同构建起个人信息保护、网络安全和数据安全的法律体系，呈现出前卫性的安全保障和空间开放的双重态势。

然而，数据权属界定不清、数据权益分配不明等问题使得相关实践存在多重困境，相关主体权益始终难以平衡，这直接或间接地打击了数据产业者的积极性，进而制约数据要素优化配置，不利于数据产业甚至数字经济的健康发展。本文试图在厘清信息、数据、数据产品概念的基础上，围绕现行法律规范与数据要素流通实践，以国家主权、信息人格权和数据财产性权益为切入点，分析国家、个人与组织不同信息产生主体和数据管理主体的权利与义务，试图构建一种新的数据权属体系，以求促进在各主体责权利对等前提下的数据要素高效流通。

1 相关研究述评

1.1 学术界观点述评

从国家主权视角来看，信息主权与数据主权都是国家坚决捍卫的权利。信息技术革命带来的信息自由流动将信息安全以及由此产生的信息主权问题摆到各国面前，信息主权范围主要从“属地管辖原则”和“保护管辖原则”[1]出发。从属地管辖原则来说，信息主权指一个国家对其政权管辖地域范围内任何信息的制造、传播 和交易活动以及相关的组织和制度拥有的最高权力。从保护管辖原则来说，境外数据承载的信息能够关联、识别到本国特定的信息主体，因此国家保有追究国外数据管理主体责任的权利[2]。与此同时，数据作为社会生产的基本要素已成为国家角力的对象，数据跨境流通规模的迅速增长与分布式计算、存储技术的发展使国家网络信息安全面临威胁，数据安全成为国家安全的重要组成部分，数据主权概念应运而生。曹磊[3]提出数据主权是网络空间中的国家主权，是国家能够对本国数据进行独立自主利用与管理的权利。蔡翠红[4]综合国内外的研究提出，广义的数据主权包括国家数据主权与个人数据主权，狭义的数据主权仅指国家数据主权，其中国家数据主权包括数据所有权和数据管辖权，数据主权的内涵由对本国数据进行管辖、利用的权利和对个人隐私、生命财产、企业资产、国家安全等相关数据进行保护的义务组成。沈国麟[5]将数据主权定义为一个国家对其政权管辖地域范围内个人、企业和相关组织所产生的数据拥有的最高权力，他认为实现数据主权需要具备相应的数据掌控分析能力，以确保国家安全与保持国家竞争力。尽管学者们对数据主权的定义表述有一定的差异，但对其作为国家主权组成部分的地位与内涵理解基本达成一致。

从人格权视角来看，个人信息权利与个人数据权利应该有所区别。个人在生命周期的各个阶段自然产生包括身份、生物识别、医疗健康等在内的各种信息，数据作为信息的载体，与信息存在一体两面的伴生关系[6]，部分学者从人格权视角对信息权利与数据权利进行界定。21世纪初，网民隐私泄露问题初显，信息保护呼声渐涨，信息权利概念产生。周毅[7]认为“个人信息权是本人对个人信息资料享有的权利”，也有学者称之为资料权、信息自决权或知情权，个人信息权的法律基础是人格尊严不受侵犯的权利。申卫星[8]通过分析《中华人民共和国民法典》（以下简称《民法典》）和《个人信息保护法》，认为信息是人格权的客体、数据是财产权的客体，个人信息权利具有人格权的属性，是由知情同意权能、获取权能、删除权能等核心权能构成的权利体系。“数据权利”概念共识源于2009年以来英美国家开展的“数据民主”运动，时任英国首相卡梅伦认为“数据权利是公民在信息社会享有的一项基本权利”[9]。齐爱民和盘佳[10]认为个人数据权虽与个人利益相关，但并非个人财产权，而是一种新型的人格权，他们提出个人数据权包括数据决定权、数据保密权、数据报酬请求权等。在人格权视角下，信息权利与数据权利的核心在于维护人格尊严，强调对个人信息主体的人格保护。

从财产权视角来看，数据蕴含的经济价值使数据权利尤其是数据所有权成为各主体争夺的对象。Lawrence Lessig[11]提出数据财产化（data propertization）理论，通过赋予数据财产权的方式，强化数据本身的经济驱动功能，以打破传统法律思维下由对隐私或信息的过度保护而导致的数据收集、流通等活动受限的僵化格局。齐爱民和盘佳[10]认为数据财产权是指权利人能够直接支配特定的数据财产并排除他人干涉的权利，是一种新型的财产权。龙卫球[12]提出应给数据经营者配置数据经营权和数据资产权。基于数据经营权，组织可以收集、加工、利用和交易数据；基于数据资产权，组织可以对其数据在特定范围内享有占有、使用、收益和处分的权利。持类似观点的还有任丹丽[13]，她认为应当构建一个以数据主体的财产利益为基础、以数据控制者对个人数据的占有利益为核心的财产法益体系。在数据财产权分配方面，石丹[14]认为个人数据应当坚持个人控制，企业可以通过匿名化处理获得部分数据权利，而政府数据应当作为公共产品处理，以达到数据权属分配的平衡。在财产权视角下，数据权利问题的核心在于促进数据价值挖掘，维护主体合法财产权益。

1.2 实践探索

顶层设计方面，十九届四中全会提出将数据作为生产要素参与分配，《关于构建更加完善的要素市场化配置体制机制的意见》和《建设高标准市场体系行动方案》明确提出，加快培育发展数据要素市场，研究根据数据性质完善产权性质，《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》对数据要素、数据资源产权制度、数据产权交易机制、数据市场运营体系做出战略部署。工业和信息化部发布的《“十四五”大数据产业规划》围绕数据要素价值具体部署数据要素价值体系、市场规则、配置作用，再次强调“按照数据性质完善产权性质”。

立法方面，2017年6月1日《网络安全法》正式实施，它是我国首部全面规范网络空间治理的法律，旨在维护网络空间主权和国家安全、社会公共利益，伴随2020年6月实施的《网络安全审查办法》和2021年7月发布的《网络安全审查办法（修订草案征求意见稿）》，进一步阐释了大数据时代的国家安全，彰显了国家“数据主权”。2021年9月1日生效的《数据安全法》明确了数据的定义与数据分类分级管理、数据安全审查、风险评估、监测预警等数据安全保护制度，其中第七条规定，国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。2021年11月1日正式生效的《个人信息保护法》明确将个人信息纳入法律保护，禁止任何权利/权力属性的主体以任何理由对自然人的个人信息权益实施不法侵害[15]。2021年7月发布的《深圳经济特区数据条例》，在其立法征求意见稿中曾试图对数据权属进行规定，但制度设计不成熟，最终通过的条例并未对数据确权问题进行正面回应；而该条例第三条规定自然人对个人数据享有法律、行政法规及本条例规定的人格权益，第九条规定处理个人数据应当充分尊重和保障自然人与个人数据相关的各项合法权益。2021年11月发布的《上海市数据条例》明确保护个人信息的人格权益与数据处理活动中形成的法定或约定的 财产权益，建立数据管理发展体系，强调数据权益保障。

司法实践方面，数据权益争端的案例层出不穷，由于数据权利归属和利益分配不明，司法审判标准尚不统一。例如“新浪微博诉脉脉不正当竞争案”中，法院判定北京淘友天下技术有限公司、北京淘友天下科技发展有限公司（脉脉）违规抓取、使用新浪微博在经营活动中付出努力、挖掘并积累的信息资源，明确了在OpenAPI开发合作模式中，第三方通过OpenAPI获取用户信息时应坚持“用户授权＋平台授权＋用户授权”的三重授权原则。此外，纵观“大众点评诉爱帮网”“大众点评诉百度地图”“淘宝诉安徽美景公司”“腾讯诉抖音多闪行为禁令”等典型数据不正当竞争纠纷案以及“菜鸟与顺丰的数据接口之争”“华为和腾讯的数据之争”等一系列司法实践，对于数据权利归属的争议问题，法院更多的是基于《中华人民共和国反不正当竞争法》第二条的一般原则性规定，考虑数据抓取、使用行为是否具有不正当性，这在一定程度上从侧面认可了相关企业的数据财产权益。

在数据要素市场化的地方实践中，大数据交易所“花开各地”。2015年4月贵阳大数据交易所正式挂牌成立并完成首批大数据交易，以清洗、分析、建模后的政府数据、金融数据、互联网数据为交易标的；2021年3月北京国际大数据交易所成立，推出全国首个区块链数字交易合约，建立包括数据产品所有权交易、使用权交易、收益权交易在内的数据产品交易服务体系；2021年11月上海数据交易所揭牌，全国首发数商体系、数字化数据交易系统、数据交易配套制度、数据产品登记凭证和数据产品说明书，尝试通过技术手段、凭证等解决交易确权难问题。但由于缺少法律法规、制度体系、标准规范的配套保障，仅凭技术手段难以破解数据定价、数据确权等难题。国内已经出现政府公共数据在可管可控的前提下进行开发利用的“星星之火”，例如成都市自2017年起探索公共数据授权运营服务新模式，授权市属全国资企业开展全市公共数据集中运营，并出台全国首个数据要素市场化配置改革政策《成都市公共数据运营服务管理办法》[16-17]。成都市已将公共数据应用于中小微企业信贷智能匹配、智慧审计等场景。在此实践基础上，国家“十四五”规划中也提出“开展政府数据授权运营试点”。上海市、广东省、天津市、山东省、福建省等地在国家政策的指导下，纷纷加快部署本地政府数据授权运营。此外，2020年4月广州市发布《广州市加快打造数字经济创新引领型城市的若干措施》，开展数据确权流通沙盒实验；2021年10月广东省提出“以凭证承载资产，以凭证声明权益，以凭证治理数据，以凭证保障合规”的数据资产凭证解决方案，发出首张公共数据资产凭证。各地政府通过不同方式积极响应，但数据确权问题仍未找到公认有效的解决路径。

1.3 目前研究和实践存在的问题

学术研究和实践活动都针对数据确权问题进行了积极探索，但还存在一些问题。首先，对于数据主权的观点基本达成一致，但从人格权与财产权视角对数据权属关系进行讨论时存在争议。一部分学者过度强调对个人信息人格权进行保护，这实际上会制约数据产业快速发展与数据资源优化配置；而另一部分学者从财产权视角切入时往往侧重于数据价值挖掘，认为数据管理主体投入大量生产成本，数据所有权应该归属于数据管理主体，忽视了实践中对数据的垄断与滥用，牺牲了信息主体的权益。其次，目前对数据权属问题的理论研究多侧重于数据权利的证成与保护分析，对权利归属与对应义务的讨论较少。最后，理论与实践存在一定脱节，理论研究时缺乏实践关切，存在可操作性不强的问题，而数据确权实践探索又缺乏理论指导和立法保障，并未形成明晰的数据确权和交易模式，致使数据交易停留在起步阶段，数据要素流通、发展受阻。

究其根本，笔者认为数据权属不清的原因在于数据权利与信息权利的混淆，将数据承载的信息主体认定为数据主体的方式，始终难以解决信息与数据及其对应权属关系区别划分的难题。因此，本文以“信息是人格权的客体、数据是财产权的客体”为出发点，对信息主体和数据管理主体及其对应的数据权属关系进行划分，进而明确对应主体在信息保护和数据管理方面的权责体系，以期为促进数据要素流通和数据价值发挥提供理论支持。

2 数据权属体系构建建议

2.1 信息与数据二维概念辨析

数据和信息两个概念在法律语义上有明显差异，但在谈论相关主体权利义务以及数据权属划分时，仍存在概念混淆或偷换概念的问题，从而加剧数据权属的争议。按照国际标准化组织（ISO）定义，信息是“关于在特定语境下具有特定含义之客体——例如事实、事件、东西、过程或思想包括理念——的知识”[18]。作为信息主体的属性，信息能够“识别”和“关联”到信息主体，承载了信息主体财产利益或人格利益[19]，是信息主体（作为权利客体）需要被保护的权利对象。以将个人作为信息主体为例，此前多部立法充分阐述了信息与信息主体间的“识别性”和“关联性”[14]。同时，《民法典》释义中将两者间的关系描述为“个人信息的处理直接关系到信息主体的人格尊严”[20]。《数据安全法》明确数据是“任何以电子或者其他方式对信息的记录”，区分了信息和数据两者的概念。数据以“信息+记录动作”产生，不具备物理独立性，故而会以电子或其他方式存在于某种具有物权的载体上。例如，个人的年龄、性别等信息记录在民政系统里，性别和年龄是对个人客观事实的描述且能够关联到特定主体，属于个人信息；而记录此信息的0/1代码则为数据。数据价值是信息价值的外显，单个信息和单个数据的价值微弱，需要在不同场景中采取一定措施进行价值凝练。

当前，原始数据（文章主要讨论的“数据”）和数据产品之间没有清晰的界定，亦有学者称其为原生数据和衍生数据[21]。对于原始数据，部分学者认为“原始数据属于不可再生数据”[22]，“原始数据与衍生数据以数据加工为界”[23]，“不依赖于现有数据产生的数据为原始数据”[18]，但是对“加工”的概念、方式、程度没有进行解释。对于数据产品，学术界普遍认为，基于特定目的对原始数据进行清洗、脱敏、加工、建模、分析等一系列处理后，形成的规模化、系统化、可读取、有使用价值的产品就是数据产品。数据产品通常需要对原始数据进行二次甚至多次加工处理，数据产品因凝结劳动投入而具有更高的经济价值与商业价值，呈现出有需求的有形物品和无形服务两种特征。以互联网出行平台企业为例，在经营活动中产生的海量车辆出行信息，以0/1代码的形式记录在系统中，未加工的数据为原始数据，经济价值较低；但进一步清洗、处理、建模、分析后形成的区域出行需求热力图等数据产品可为企业经营提供决策依据，具有较高的经济价值。

2.2 信息与数据的主体及分类

本文在对信息与数据的概念进行区分界定的基础上，根据信息自然产生和数据人为管理的特征将产生信息的自然人、组织或其他自然客体称为信息主体；将基于某种职能收集数据并管理数据存储载体的称为数据管理主体。数据承载的信息会对应“识别”“关联”到信息主体，同时，数据依托在有物权的载体上，由数据管理主体持有或管理，其分类关系如图1所示。

图1 信息与数据的主体分类

为了讨论主体权益，笔者首先对数据管理主体和信息主体的类型进行了划分。现有多部法律（《网络安全法》《个人信息保护法》《数据安全法》等）从权益保护的角度，将所保护权益的主体分为个人及组织。其次，组织作为一种社会实体，在法律层面上，若具有公共管理职能，则对应存在维护公共利益的使命义务；在实践层面上，政府和企业产生的信息性质不同，管理的数据、承载的社会价值和经济价值也不尽相同。因此，笔者将组织细分为法律、法规授权的具有管理公共事务职能的组织（后文以政府及公共企事业单位指代）以及无公共事务管理职能的组织（后文以企业指代，包括法人型企业及非法人型企业）。

个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。组织信息包括政府及公共企事业单位和企业信息。其中，政府及公共企事业单位信息是指在履行公共管理职能过程中产生的信息，如国民经济和社会发展统计信息、政府职能信息等。企业信息是企业在经营活动中自身产生的信息，如企业名称、社会信用代码、资产情况等。同时，存在一类无明确主体要求保护其信息权益的信息，例如自然资源信息（如河宽、风速、空气质量等）、天文信息（如近地小行星运行轨道）、历史遗产信息等，本文将其统称为“其他”。该类信息由国家出于维护国家安全或公共利益的角度进行保护，各主体均可合法合规地描述、记录并加以利用，不再讨论其权益。

个人和组织都有能力成为数据管理主体，实践和法律层面均未对其管理的各类数据进行统一规范命名。本文根据数据管理归属将政府及公共企事业单位管理的数据称为公共数据，将企业管理的数据称为企业数据，将个人管理的数据称为个人数据。各类数据管理主体均可能与不同信息主体交叉，各类数据均可能承载个人信息、组织信息或其他信息。

2.3 信息主体与数据管理主体的权属体系

在笔者提出的信息主体与数据管理主体的权属体系中，国家享有信息主权、数据主权和数据所有权，各信息主体拥有对自己信息的知情权、决定权、拒绝权、访问权、可携带权、更正权、删除权，数据管理主体拥有对数据有限的占有、使用、收益、处分的权利，并履行相应的义务，具体见表1。

表1 数据权属体系

2.3.1 国家享有信息主权、数据主权和数据所有权

数据主权和信息主权都是国家主权的重要组成部分[24-26]。信息主权与数据主权的核心是国家对外活动在信息管控、网络空间的具体体现。信息主权是指国家对政权管辖地域内任何信息的制造、传播和交易活动，以及相关的组织和制度拥有的最高权力[2]。数据主权是指国家行使对外和对内管理数据职能时，需要对其政权管辖地域内的数据享有管理控制、开发利用和安全保护的权力[27]。中国政府在《国家安全法》体系下通过多种途径宣告了网络主权和数据主权。2010年国务院新闻办公室发布《〈中国互联网状况〉白皮书》强调国家的网络主权；2017年《网络安全法》以立法的方式明确网络空间主权；2020年外交部发布的“全球数据安全倡议”以及2021年发布的《数据安全法》明确了国家的数据主权[28]。国际上，多个组织及国家通过立法明确国家数据主权和信息主权不容侵犯，例如欧盟《通用数据保护条例》（GDPR）、美国《澄清境外数据的合法使用法案》、俄罗斯《信息、信息技术和信息保护法》等，通过“属地管辖原则”和“保护管辖原则”等条款为维护本国数据主权和信息主权提供可靠的法律依据。

国家享有的数据所有权的核心是国家对内活动中的数据管控权利，是较为宏观的概念。在笔者提出的权属体系中，国家一般不作为数据所有权人参与市场经营活动，也不会对个人、组织合法合规行使相关数据权利进行更多干预，例如个人有权对存储于个人手机里的照片进行删除、传输等操作，除个人行为涉嫌侵害国家安全、社会集体利益、他人合法权益等情况例外，国家通常不会予以干预。学术界对于“数据归属国家所有”已有部分肯定的论证，从法理依据、立法效用和可操作性等角度提出数据主权应当包括数据所有权[3]；数据主权的基础和前提是一国享有对数据资源的所有权资格的确认，是数据权得以展开的法理依据[29]；数据“国家所有”能以行政与商业手段相结合的方式进行资源使用调节和资源安全维护，从而解决“资源垄断”和“低效使用”的问题[30]。

从实践角度来讲，若数据所有权归属信息主体，将对已存在的数据要素流通造成巨大影响，令日常公共事务管理工作无法有序开展，数据开发利用活动无法进行，数据交易、数据运营等的范围和形式大幅受限，无法发挥数据作为新型生产要素的价值，例如疫情防控部门将密接人员的个人行程轨迹数据共享至相关部门，以推动防疫工作有效开展；若数据所有权归属数据管理主体，与现行法律上以人格权为出发点的信息主体权益保护的立法本意相悖，且由于数据可复制等特性，将导致数据非法买卖、公开、截流等损害信息主体权益的问题扩大，例如“滴滴数据安全事件”，互联网平台企业大量存储的含有个人信息、企业经营信息或国家地理道路信息等数据，一旦泄露至国外就会有造成泄露国家秘密的严重危害的可能性；若所有权共有，那么实践中如何共有、为何如此共有的问题也无法解决。因此，目前而言，将数据所有权归于信息主体和数据管理主体对社会秩序和社会一般利益（国家利益、社会经济秩序和社会公共利益）将造成一定的冲击。因此，笔者认为，从平衡和保护各主体间权益的角度考虑，数据所有权归属于国家才能够实现数据作为重要生产要素和国家基础性战略资源的效用最大化。

2.3.2 信息主体的权利与义务

个人作为信息主体，法律从人格权益保护的角度提出对个人信息权益的保护。《民法典》规定了个人信息保护的保护方式，并明确自然人对个人信息具备查阅、复制、异议、更正的权益；《个人信息保护法》第四章明确个人拥有“知情权、决定权”，并在《民法典》的基础上将个人信息权益保护以“有权”的表述方式细化为拒绝、查阅、复制、转移、更正、补充、删除、请求说明等一系列权利[8]。

企业作为信息主体，实践中更多从商业秘密保护的角度对其权益进行保护。企业信息分为公开信息和不公开信息，国务院颁布的《企业信息公示暂行条例》已对企业的注册登记、行政处罚、通信地址等企业信用信息公示内容做出明确规定；另外企业不予公开的信息有相当部分本身即构成现行法律中的“商业秘密”，如交易记录、技术信息、经营信息等。在名称权、声誉权、荣誉权、知识产权和商业秘密等效力范畴下，企业对自身经营活动中产生的自有信息，享有拒绝、查阅、复制、转移、更正、补充、删除、请求说明等权利，法律法规另有规定的除外。

政府及公共企事业单位作为信息主体，不同于个人和企业，其信息内容本质上具有公共属性，信息保护主要从国家安全和公共利益保护的视角出发。根据2016年国务院发布的《政务信息资源共享管理暂行办法》以及2019年修订的《政府信息公开条例》，出于增强政府公信力、提高行政效率以及发挥公共信息对人民群众生产生活和经济社会活动的服务作用的目的，政府及公共企事业单位应该在不危及国家安全、公共安全、经济安全、社会稳定、商业秘密、个人隐私且非内部事务信息的前提下，做好信息公开，遵循公正、公平、合法、便民的原则，以公开为常态、不公开为例外；单位间的信息资源，以共享为原则、不共享为例外。此外，随着数字政府建设，大量融合性的数据平台应运而生，汇集政府及公共企事业单位多部门信息，作为信息主体的政府部门、公共企事业单位对其各自信息同样享有拒绝、查阅、复制、转移、更正、补充、删除、请求说明等权利，法律法规另有规定的除外。

信息主体的义务层面，个人及组织均有义务配合国家有权机关依法因履职而提出的与信息相关的要求，为国家公权力的履行提供便利条件，不得拒绝和阻挠。此外，企业有义务根据相关法律法规对企业信息进行真实和及时的公示，以强化企业信用约束，维护交易安全，提高政府监管效能，扩大社会监督功能。政府有义务建立并持续完善信息公开制度规范，主动公开涉及公众利益调整、需要公众广泛知晓或者需要公众参与决策的信息，依公民、法人或者其他组织申请公开相关信息，定期对自身信息公开工作进行考核、评议、整改等。

2.3.3 数据管理主体的权利与义务

我国《民法典》立法者明确区分了个人信息和数据，将二者分置于第111条和第127条，将个人信息作为人格权益的客体加以保护[31]，赋予了数据财产性的权利[32]。在不损害相关权利人的合法权益的情况下，财产性权利通过占有、使用、收益、处分得以实现。数据是一种客观存在物，其客观存在性足以使其成为物权的客体，《民法典》第114条规定“物权是权利人依法对特定的物享有直接支配和排他的权利”，但数据的可复制性等特征导致任何民事主体无法行使完整的所有权，因此个人、组织作为民事主体难以直接享有数据的所有权。作为存储载体的所有者，数据管理主体比信息主体更具备数据处理的现实可操作性，并且数据价值增值的过程需要投入不同程度的劳动成本，现实中往往数据管理主体更愿意投入成本。对于有信息主体保护要求的数据，数据管理主体虽然可以对其进行收集、存储、使用、加工、传输、提供、公开等操作，但这类数据涉及信息主体大量隐私、秘密等，其行为受到诸多法律限制，导致只能行使有限的占有、使用、收益、处分的权利。对于无明确信息主体保护要求的数据，数据管理者基于劳动、金钱、技术等投入可以获取并享受更大范围的占有、使用、收益、处分的权利。

不同数据管理主体具有不同特征，下面依次介绍政府及公共企事业单位、企业和个人3类管理主体。

政府及公共企事业单位管理的数据有“公共数据”“政务数据”“政府数据”等多种称呼，三者间常有混用，各地标准也不一致[33]。参考中央、地方文件和学术研究中的概念界定，本文的“公共数据”包含了常规所指的政务数据和政府数据。实践层面，国家“十四五”规划中明确“开展政府数据授权运营试点”，《要素市场化配置综合改革试点总体方案》强调“探索开展政府数据授权运营”，从国家层面肯定了政府对管理的数据享有授权第三方运营的权利，即政府对公共数据享有有限的占有、使用、收益和处分的权利。部分省市通过管理办法明确公共数据是国有资产或归政府所有，也有省市出台文件明确政府对公共数据授权运营的权利，例如《西安市政务数据资源共享管理办法》明确将公共数据纳入国有资产管理范畴，市政府委托机构行使管理权，政务部门依据职能有采集权、管理权和使用权；《广东省政务数据资源共享管理办法（试行）》明确公共数据归政府所有；《成都市公共数据运营服务管理办法》明确成都市由市政府授权国有企业开展公共数据市场化服务；《上海市数据条例》明确提出“公共数据授权运营”。以上举措可以被认为是政府依法代国家行使所有权[34]。

企业数据权属的核心问题是企业与信息主体间的权利和利益平衡。数据作为一种重要的资源和生产要素，其占有权、使用权、收益权和处分权等在个人、企业和政府等不同主体之间的不同配置会产生不同的使用效率。企业是数据要素价值挖掘、数据技术创新的驱动力，作为数字经济中最活跃的主体，承担着我国数字经济发展及数字中国建设的重要使命，承认、肯定并赋予企业对数据的合理合法权益，能够激励企业更好地利用数据要素，推动社会福利最大化。随着数据产业发展，企业之间的数据竞争行为日趋激烈，在当前数据权属不明确的情况下，可以从知识产权、竞争法、商业秘密等路径保护企业数据和数据产品。因此，企业在做好信息主体的信息保护的前提下，其行为规范应为“有限禁止+剩余自由”[35]，应支持其享有对数据有限的占有、使用、收益和处分的权利。

个人管理自己的单个数据价值不大，但个人管理者同样享受数据使用、收益和处分的权利。数据具有规模性，单个数据创造财富的能力极为有限[36]。在一般实践中，“普通人恐怕永远无法真正地靠出售个人数据赚钱……除非被收集后与其他来自相近社会经济类别的个人资料汇总在一起加以利用”[37]。若个人为实现某营利目的对数据进行加工处理，其本质与企业作为数据管理主体相当，也同样享有数据有限的占有、使用、收益和处分的权利。

数据管理主体的义务层面，个人及组织均有义务配合国家有权机关依法因履职而提出的与信息相关的要求，为国家公权力的履行提供便利条件，不得拒绝和阻挠。在参考GDPR等国外立法经验的同时，结合我国现行法规文件及数据产业的发展现状，建议形成以“问责制”[15]为核心的数据管理者义务体系，包括网络安全保护义务、个人信息保护义务及数据安全保护义务3类基础义务。

2.3.4 数据财产性权利：数据管理主体权利的延伸

在有限的占有、使用、处分和收益的权利支撑下，数据管理主体可以通过数据“可用不可见”的技术手段，在不泄露信息主体隐私的前提下，让渡数据使用权；或通过去标识化、匿名化方式、多次加工处理等方式处理数据，逐步剥离其承载的信息人格属性，形成统计分析报告、人工智能模型、脱敏数据包等数据产品。

大多数情况下数据呈现出碎片化、粗糙化等特征，难以直接产生价值。一方面，有价值的数据往往涵盖了大量隐私信息，需要获得信息主体的授权或者经由匿名化处理后加工形成数据产品，才能进一步流通；另一方面，隐私信息含量少的数据或者单个数据往往价值密度低，甚至难以在市场流通，需要进行数据聚合和挖掘后形成有经济价值的数据产品才能更好流通。当数据产品已经满足了具有非人格性、能够为人力所支配、对人类有价值且为独立物的基本要求时，就具备成为财产所有权保护之客体的条件[38]。数据产品财产性权益本质属性凸显，权限边界逐渐清晰。按照洛克的财产权劳动理论，数据管理者在数据处理行为中凝结了劳动投入形成数据产品，将共有状态下的物体转化为私有，数据权属已经发生转变，数据产品具有一定的私有排他性，数据管理者拥有对数据产品的占有、使用、处分和收益的合理权利。此外，从司法判决和司法解释来看，通过知识产权、竞争法、商业秘密等路径也可以证明数据产品能够成为物权客体。

2.4 基于二维权属体系的价值证成：案例分析

政府部门掌握的公共数据往往承载着关系国家安全、社会稳定、经济发展的重要信息与个人隐私信息，是政府治理现代化与公共服务提质增效的重要工具和手段，是引领企业生产经营与服务创新的重要要素资源，更是国家的重要资产和战略资源。但在实践中，数据作为资源和要素必然面临着权属界定问题，信息与数据交织致使权属关系难以明晰，政府部门对“可为、不可为”的边界尚不清晰，导致数据治理动力不足、数据价值挖掘与增值程度不高。而笔者提出的信息与数据二维视角下的数据权属体系为此提供了一种新的解题思路。

成都市政府授权市属全国资企业对公共数据进行集中运营，是对公共数据有限的占有、使用、收益和处分等权利的诠释。以成都市公共数据授权运营服务中的电子签名认证场景为例，《中华人民共和国电子签名法》和《电子认证服务管理办法》明确要求电子认证服务机构在收到用户的电子签名认证证书申请后，应对其基础身份（指法人身份和自然人身份）与不同业务场景中的律师身份、医师身份、护士身份、政府部门职位身份等资格身份采用“纸质材料+窗口审核”的证书办理模式进行核验，查验所需材料烦琐，流程复杂。个人作为信息主体，拥有对其个人身份资格信息的知情、访问、可携带等权利，而个人的信息又分散存储于不同主管部门，跨部门的数据壁垒不应成为个人合法行使其权利的阻碍。成都市公共数据运营服务平台通过对成都市政务云（即电子政务网）内的数据进行整理、清洗、脱敏、格式转换等处理，并基于数据沙箱环境开展模型计算，在确保数据安全和在获取信息主体查询请求授权情况下，为四川省数字证书认证管理中心提供全线上的公民、法人身份核验及司法、卫生等执业核验，将过去的证书办理模式升级为“电子材料+线上审核”，大幅改善了电子证书的办理效率和客户体验。

但是在实践中，由于数据与多主体关联，且存在不同的利益诉求交织，数据价值难以有效释放。以健康医疗领域为例，健康医疗数据可广泛应用于临床诊疗、药物研发、卫生监测等领域，依托数据分析、人工智能等技术与其他社会数据的融合应用后可为产业发展、服务创新带来创造性变革。健康医疗数据分散存储于各医疗机构、医联体信息平台以及医疗第三方服务机构中，所承载的信息隐私性过强，对数据安全与个人信息保护的合规性要求比其他行业更高，医疗机构难以深入挖掘数据价值，而从信息与数据二维视角切入理清不同主体的权利与义务关系则为解决此问题提供了可能。个人作为信息主体，其权利正当、合法，医疗机构作为数据管理者在充分保护个人信息安全与合法权利不受侵犯的基础上，有权对数据进行开发利用，一方面，通过隐私计算、沙箱等技术或法律许可的匿名化加工处理方式，在逐步剥离数据所承载的信息主体的个人隐私后，实现数据价值变现，推动数据增值，对数据治理、开发、利用全流程形成激励作用；另一方面，明确数据管理主体对数据的权利，使数据管理主体可通过授权运营等方式引入市场主体，充分发挥其技术、经验优势推动数据治理过程与效果优化，实现数据价值释放。

由此可见，从信息与数据的二维视角切入，明确信息主体与数据管理主体的相关权利与义务，可能为医疗、金融、交通等涉及多信息主体与多数据管理主体的高价值公共数据开发利用提供解决思路，也可能为公共数据有偿开放与公共数据授权运营等开发利用新形式提供理论支持。

3 结论与展望

明晰的数据权属可以有效提升数据价值，规范数据交易市场，推动数字经济健康发展。但数据要素的可复制性、非排他性等特征使得数据权利主体存在复杂性和多元性，数据确权在学术界与产业界争论不休，难以达成共识。本文试图从信息与数据二维视角出发，提出信息主体、数据管理主体的划分类别，进而分析国家、个人和组织不同主体在各自职能职责下的数据权属。笔者认为：①个人、组织（政府及公共企事业单位、企业）以及其他客体都可以是信息产生主体，其中个人和组织对各自信息拥有知情权、决定权、拒绝权、访问权、可携带权、更正权和删除权；②个人、组织对其所有载体上的数据行使管理权利，在依法合规情况下有对数据进行有限的占有、使用、收益和处分的权利，并履行相应义务，不得损害他人权益、公共利益与国家安全；③信息主权和数据主权都是国家主权的重要组成部分，从实践角度来讲，国家拥有数据所有权，可能实现数据作为重要生产要素和国家基础性战略资源的效用最大化。数据价值是在动态的流通和开发利用过程中得以实现的，要尽快完成数据确权立法，实现维护信息主体合法权益与保护数据管理主体数据活动的合理自由，形成不同利益主体之间的激励相容，推动我国数字经济发展及数字中国建设。

本文对数据权属体系的构想与思考还存在若干不足，尚需深入思考。本文是以相对宏观的框架结构讨论数据权属体系的，侧重于对权利和义务的阐释和区分，即“是什么”，试图为促进数据治理和开发利用提供新的权属划分视角，但对于实践应用中如何对相关主体确权，即“怎么办”，例如如何利用数字水印、签名、区块链等技术在数据流转过程中进行数据确权，以及如何健全法规体系及监管机制对数据权利进行约束和保障等还需进一步研究与完善。