胡 玲

（安徽财经大学 法学院，安徽 蚌埠 233000）

随着云计算、物联网、无人驾驶和人工智能等先进技术的发展，数据已成为赋能全球数字经济高速发展的基础。全球产生的数据量正在迅速增长，有望从2018年的33兆字节增长到2025年的175兆字节[1]。2016年，麦肯锡全球研究院发布了《数字全球化：全球流动的新时代》报告。该报告指出，20世纪全球经济的标志是实物商品和资金流动，而如今这些要素的流动已经减缓甚至停止了，数据流动正主导着21世纪的全球化[2]。总之，数据提升了全球经济各部门的生产力和资源利用效率，助力各国政府更好地制定政策和升级服务；数据更是成为了企业开发产品和服务的重要资源，重构着人们的生产、消费和生活方式。同时，数据跨境流动使商品贸易迈入了全球化的新征程，与传统的商品贸易相比，创造着更多的经济价值，全球化的主角也变成了更具包容性的数字化平台。在此背景下，数据治理成为了网络空间治理的重要议题，但是大多数现有的数据治理框架以及有关数据治理的全球争议都在关注对数据访问的控制而非数据的使用上；很多争议都围绕数据主体的权利和自由展开，而忽视甚至损害了其他相关利益者和社会整体利益。由此，急需对数据使用背后的价值进行提炼与抽象，并提出可操作性的制度建设思路或方案。

一、数据使用保护国际法律制度的基本内涵

厘定数据使用保护国际法律制度的相关概念、基本内涵和内容是进行理论探讨的前提和基础，而这离不开对数据范围和数据使用者进行界定。数据范围是一切单独或集合在一起能产生经济效益的信息。数据使用者/经营者则是指以数据为驱动，向市场/消费者提供产品或服务并以盈利为目的商业实体（主要为企业/公司）。

（一）数据使用保护的相关概念

数据使用是指开展数据收集、存储、分析和创新等活动；保护往往是指通过尽力照顾，使得自身（或他人/其他事物）的权益免受损害；而法律保护一般是指保护人们权利和自由的法律和其他官方措施。数据是数据使用的核心，保护数据使用就是保护数据的各种外在呈现形式。单个数据价值很有限，聚合在一起的数据才具备开发利用的潜能。因此，数据集合是数据保护的主要外在形式，这也直接关乎数据使用主体（主要为数据经营者）的开发、挖掘动力。因为数据集合所有人对数据集合投入了金钱、人力等，为了避免发生数据集合短缺或者减损现有数据集合质量的后果，势必要对数据集合提供相应的法律保护。一旦发生不适当的数据使用，搭便车者将不会对数据集合按市场价格支付相应费用，这就需要法律干预以推动市场。在市场上，买方和卖方的信息集合起来，供给和需求的力量决定了信息的价格。也就是说，它们作为商品的经济价值很大程度上取决于法律的规定，法律规定的权利越大，该商品的经济价值就越大，相反，权利越小，该商品的经济价值就越小。此外，个人数据的经济价值日益凸显，不仅已成为当前在线活动的推动力，很多时候也是数据集合的重要组成部分。探讨数据集合的国际法律保护离不开对跨境数据流动中个人数据隐私规制的关注。

（二）数据使用保护国际法律制度的基本内涵及其所涉内容

国际法律制度是各国发展国际关系的基础，是规范国家行为的国际法规范。它是国家间交往中普遍接受的一套规则、规范和标准。它通过建立规范性的指导方针和共同的概念框架，指导各国在包括战争、外交、贸易和人权等在内的广泛领域的关系。数据使用保护的国际法律制度就是指为数据使用提供国际法律制度保障的多边、区域及双边条约、协定等。

数据使用保护国际法律制度的具体制度分为以下两类：第一类是数据使用保护的国际知识产权制度。国际知识产权制度是相互交织的多边和双边协定，与其所产生的国家法律协调统一。数据使用保护的国际知识产权制度保护主要包含两个层次：由伯尔尼公约、TRIPS、WCT等形成的多边保护层和由以欧盟为代表形成的区域保护层。第二类是数据使用保护的其他相关国际法律制度。数据在全球的自由流动使得数据可使用的体量急剧上升，也成为了数据使用保护国际法律制度进一步完善的助推器。跨境数据流动国际法律制度为参与信息经济的所有利益相关者创造了更可预测的环境，促进了全球数据经济发展，同时也有利于线上信任机制的构建。联合国、WTO电子商务规则、国际电信联盟等多边规则都强调全球互联，消除跨境流通障碍；OECD、APEC、CPTTP、RCEP、欧盟等区域国际组织都强调，保护个人数据的目的是为了消除跨境数据流通障碍，推动数据在全球的进一步流通使用和保护。

二、数据使用保护国际法律制度的缘起及演进

我们生活在信息时代，信息蕴涵着重要价值。数据集合作为信息的载体，它们是按以下方式排列的信息集合：任何人只要可以访问其中包含一个或多个信息的集合，就可以检索其中一个或多个信息。数据集合之所以重要，是因为数据集合包含重要且大量的信息，减少了访问信息所花费的时间成本。数据集合不仅蕴含巨大的经济价值，而且对科学、法律、教育及生活都有着深远影响。因此，在对数据集合的访问和使用进行监管时，需要考虑相关的政策问题。总之，数据集合的商业和社会政治角色之间存在紧张关系，这导致在探寻适当的法律保护模型时也会产生复杂的问题。随着技术的发展，数据在经济和社会中扮演着越来越重要的作用，与此同时，数据的流通和使用也引起了国际社会的关注，因而探究数据使用保护在国际法上的发展历程有着重要意义。

（一）数据使用保护在国际法上的起源（1980年之前）

在19世纪就已缔结并生效的《保护文学和艺术作品伯尔尼公约》（以下简称《伯尔尼公约》）的第2条第5款是可以适用数据库保护的。该条款明确了凡是构成智力创作的文学或艺术作品的汇编，诸如百科全书和选集，应得到相应的但不损害汇编原作品的版权保护[3]。始于19世纪60年代的北欧国家版权法的“目录规则”（The Nordic Catalogue Rule）被认为是最早的对不具独创性的公开数据集合进行保护的法律尝试[4]。这些规则禁止整体或部分复制目录、表格等类似汇编物。该规则保护的是投资和付出而非创造力，这在某种程度上缓解了当时无法受版权法保护的部分数据库的压力，有利于数据库产业的发展。

这一时期，数据的体量、形式及使用场景都还不发达，数据库的保护主要集中在少许国际规则中。

（二）数据使用保护在国际法上的发展（1980—2000年）

在这一时期，不仅数据库得到了进一步的法律保护，个人数据跨境流动所引发的隐私问题也受到了极大关注。

1.促进数据跨境流动的尝试。19世纪70年代末期，随着互联网和个人计算机的发明，美国和欧盟的监管机构被迫考虑如何在庞大的全球通信网络中保护在线个人隐私，以及如何应对强大的个人信息市场的崛起。1981年，欧洲理事会（Council of Europe）发布了《关于个人数据自动化处理的个人保护公约》（Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data）。该公约在国际上被公认是最重要的关于个人信息保护的国际公约性法律文件。同时，该公约明确了在保护个人隐私的同时应致力于信息跨国界的自由流动[5]。OECD于1980年制定了《关于隐私保护与个人数据跨境流动的指南》（以下简称《隐私指南》），该指南首次从全球视角对跨境数据流动进行了规制。《隐私指南》明确了八项基本原则，以协调各成员国尽可能消弭限制跨境数据流通的因素[6]。国际电信联盟于1988年颁布了《国际电信规则》（ITR），并于1990年生效。ITR作为一项具有法律约束力的国际规则，旨在提升通信和信息的互联互通和互操作性，共有178个缔约国[7]。2012年通过了新《国际电信规则》，其目的是为国际相关服务提供统一标准，以确保网络之间互联互通[8]。

2.数据库保护进一步发展。欧共体于1988年在公开的政策文件中讨论了此类数据库的知识产权保护立场，于1992年发布了数据库保护的建议草案[9]，并于1996年通过了《欧盟数据库法律保护指令》（以下简称《指令》），确立了版权和特殊权利并行的立法模式[10]。1996年，世界知识产权组织也组织外交会议讨论了《数据库条约草案》（The WIPO Draft Database Treaty of 1996）。该草案在吸取欧盟特殊权利保护和美国数据库立法进程中的经验和教训的基础上，对特殊权利进行了细化和完善[11]。形成于1994年的世界贸易组织的TRIPS协议第10条第2款规定，数据或其他材料的汇编都应得到保护，只要其内容的选择或编排构成智力创作，而不论采用机器可读形式还是其他形式[12]。《世界知识产权组织版权条约》（WCT）于1996年12月在世界知识产权组织的外交会议上签署，该条约力图将《伯尔尼公约》带入数字时代。其第5条规定了不论何种形式的数据或其他材料的汇编，只要其内容的选择或编排构成智力创作，即受到保护[13]。综上，只需满足对数据材料的选择或编排构成智力创造，且数据或资料本身未受保护的条件，由作品汇编的数据库和非由作品汇编的数据库都受到TRIPS和WCT的保护。

这一时期的数据使用保护的国际法规则一方面体现在数据库保护的进一步完善和发展上，另一方面着眼于个人数据跨境流动面临的隐私保护问题。但是，不可忽视的是，对隐私的保护是为了应对互联网的“无边界性”以及数据在全球的无障碍流通，以使各国能平等享受互联网对本国经济发展带来的便利。

（三）大数据保护在国际法上的探索（2000年以后）

2008年《自然》杂志专刊提出了Big Data（大数据）概念[14]。2003—2006年，开始出现大量非结构化的数据，传统的数据库难以处理。2006—2009年，大数据研究的焦点是性能、元计算、大规模的数据集并行运算算法以及开源分布式架构。2009年至今，大数据技术趋于成熟，学术界及实务界也纷纷转向应用研究。自2013年起，大数据逐渐向商业、医疗、科技、政务、交通、物流、教育及社会各领域渗透，因此，2013年也被称为大数据元年。联合国“全球脉动”在其报告《大数据促进发展：挑战与机遇》中采用了传统方法，将大数据定义为“大量的结构化和非结构化数据，它们太大，以至于很难使用传统的数据库和软件技术进行处理”[15]。麦肯锡将大数据定义为“数据集的大小超出了典型数据库软件工具捕获、存储、管理和分析的能力”[16]。人们界定大数据时，通常从数量、速度、多元化和准确性这四个维度进行。

国际层面对大数据的关注主要有：联合国为实现可持续发展目标积极鼓励数据利用实践；欧洲联盟对现存数据库保护进行了反思及新探索；APEC和OECD等区域国际组织进一步规制数据跨境流动中的隐私保护问题。

1.联合国积极鼓励数据利用实践。一方面，联合国世界数据论坛（UN World Data Forum）汇集了来自政府、民间社团、私营部门、捐助者和慈善机构、国际和区域机构、媒体、学术界和专业机构的数据专家及用户，动员高层予以政治和财政的支持，以促进数据创新，获取更好的数据，为促进数据的可持续发展建立有效途径[17]。另一方面，全球脉动（Global Pulse）通过其数据科学创新中心网络或其Pulse Labs网络，为联合国和政府合作伙伴开发大数据寻找解决方案，以提高人们对大数据为可持续发展和人道主义行动带来的机会的认知，并努力减少获取和扩展大数据的障碍。为了确保广泛获取来自许多行业的大数据，Global Pulse一直在与私营部门合作以实施“数据慈善”（data philanthropy），将公司数据安全、负责地用于可持续发展和人道主义行动。例如，2016年，Global Pulse与社交媒体网络Twitter建立了合作伙伴关系[18]。

2.欧洲联盟不断探索着数据库保护的新举措。第一，形成《数据库保护法律指令》评估报告。自1996年欧盟颁布《数据库法律保护指令》以来，共对该《指令》开展了两次评估，即2005年评估和2018年评估[19]。两次评估都从各个维度对《指令》做了调研和分析，以确保《指令》提供的法律支持能有积极效果。评估报告指出2004年欧洲法院的判决澄清了特殊权利保护的范围。法院的判例对满足数据库保护标准的投资设定了较高的限制，即该投资必须是为开发或创建数据库而进行的投资，而非对创造数据的投资[20]。这意味着特殊权利无法广泛适用于数据经济（如机器生成的数据、物联网、大数据、AI等）。第二，提出数据生产者权利。欧盟提出的数据生产者权利（data producer's right）是为了解决政策问题，从而刺激数字经济的增长并促进贸易便利化。该权利主要为了促使机器产生的非个人数据或匿名化数据的流通和交易。欧盟委员会设想的该种权利实际上是授予某些数据表现形式以财产权，避免信息垄断和权利的过度延伸[21]。关于该权利的范围，有两种可能性：视为一项物权或视为一系列防御权。

3.APEC和OECD对数据跨境流动中的隐私保护做了进一步的规制。一方面，2013年，APEC电子商务指导组成立了数据隐私分组，随后数据隐私分组先后制定了“隐私框架”（privacy framework）和“跨境隐私规则”（cross-border privacy rules,CPBRS）[22]；另一方面，在过去几十年中，OECD在促进隐私保护和数据流动中起了重要作用，例如2013年7月11日，OECD理事会通过了修订版的《关于隐私保护与个人数据跨境流动的指南》[23]。《美墨加协定》明确提及了APEC的相关原则和隐私指南文件，为缔约方采取或维持相关的政策指明了方向[24]。大数据和数字经济在全球范围内的持续发展离不开个人数据的使用，为个人数据提供保护是为了促进数据流通，以更好地发展数字经济。

综上，随着技术的进步和数据体量的不断加大，数据的经济价值被不断挖掘，围绕数据相关权利的探讨也在进一步深入。目前争议的焦点在于现有的法律制度如知识产权制度是否已经为使用数据提供了足够保护，需不需要为数据单独创设权利如财产权。此外，大量公开且不具有独创性的数据集合缺乏统一的有效保护机制，在一定程度上不利于数据的挖掘和数字经济的发展。数据集合中个人数据的重要性日益凸显，如何促进个人数据的跨境流动迫在眉睫。在现实中，系统和设备自动收集了大量数据，哪怕是系统内设了特定选择机制或通过人工智能收集，其结果只是对自然发生的事实进行全面而客观的记录，无法满足独创性要求。为促进数据在全球范围赋能经济和社会发展，从国际法层面研究数据使用保护的相关理论问题显得意义重大且迫切。

三、数据使用保护国际法律制度涉及的相关理论

数据已成为助力创新和推动全球经济增长的重要资源，自由的数据流动和交换为世界各地的人们带来了前所未有的选择和机会，更是创造了大量新的行业和就业机会，提高了全世界人民的生产生活水平。数字经济的全球性和综合性要求进行理论上的探索，以建立共同的数据治理准则，并以此为基础建立各国国内数据治理制度。

（一）数据使用保护国际法律制度的现有理论支撑

在分析借鉴信息经济理论（Infonomics）和知识产权利益平衡理论的基础上，提出蕴含效率、安全和共享三元价值的数据使用保护有限排他理念，将为数据使用保护国际法律制度的完善和数据经营者开发利用数据以促进数字经济的可持续发展奠定一定的理论基础。

1.信息经济理论（Infonomics）。现存的经济学理论能很好地阐释数据使用国际法律保护的必要性。波斯纳和兰德斯认为，当不授予防止复制版权材料权利的时候，便会发生市场失灵，于是他们提出了以规定财产权为基础来解决这一问题的方案[25]。也有经济学理论认为，为数据集合提供财产权保护不仅可以促成数据库的生产，而且会促成对数据集合的访问。这是因为防止复制和传播数据集合的强财产权保护将会为制作数据集合提供强大动力，且一旦数据集合被制作出来，向用户提供访问的边际成本相对会小很多。目前国内外学者对数据理论的探讨成果主要体现在数据财产权理论上。该理论将数据视为财产权的一种新客体，尝试为该权利创建一种排他权，这是一种积极的权利。目前该理论最大的争议在于数据财产权归谁所有。数据财产权理论虽然主张为数据创建财产权，在一定程度上缓解了数据归属待定的尴尬局面，解决了法律稳定性问题，但却始终难逃个人数据财产权的归属问题，进而忽视了数据只有在使用中才能发挥价值这一基本前提。此外，数据财产权理论也很难解决数字经济中的各方利益平衡问题。既然数据有着如此巨大的经济价值，就应充分利用、挖掘数据价值，赋能经济、社会发展。而实践中，数据价值远未被充分开发。数据的收集、开发和创新往往都需要投入大量的技术、人力和资金等，那些尚未挖掘数据价值的组织若想更好地利用数据以创造价值，就不应忽视Doug Laney（道格·莱尼）①提出的信息经济学理论（Infonomics）。

道格·莱尼先生提出的“信息经济理论”（Infonomics）主张将信息作为企业资产进行衡量、监管及货币化，努力将经济和资产管理的原则和实践应用于信息资产的评估、处理和部署②。信息经济理论是为应对一种新的资产类别而出现的理论，该理论认为信息应与其他企业资产一样进行计量、管理和部署。信息经济理论的核心理念是“你无法管理自己无法衡量的事物，也无法从自己无法管理的事物中获利”③。在该理念基础上，道格·莱尼进一步提出了如下原则：信息是一种实际资产；信息应进行会计衡量；信息具有潜在价值和现实价值；信息的价值可以量化；信息的净实现价值应最大化；信息的价值应作为评估IT的优先级和预算；信息应作为资产进行管理[26]。该理论中使用的“信息”与“数据”在本质上是一致的。该理论将信息作为企业的一种资产，指出可以按照会计准则为资产定义：被某一实体所拥有和控制，可以为某一实体带来预期收益的资源。信息价值无限，评估和优化信息（数据）的货币价值应远超现有的认知。可以说，该理论主张将数据（信息）视为与企业其他资产一样为企业创造财富的资产。该理念的提出回应了数据时代各种利益博弈的复杂性，并尝试提出了一种相对完整的理论制度。

总体来看，数据可以为企业创造巨大的价值。第一，带动企业经济增长。数据的开发利用帮助企业更直接、更合理地利用和整合资源。第二，支撑企业全球营运。企业是全球数据流动的主要载体，数据成了企业经营的“血液”。企业的跨境数据流动促使企业面向全球进行商业拓展，它在支持其自身全球化运营的同时，也在支撑其他各类企业尤其是中小企业的全球化发展。第三，降低企业经营成本。数据的跨境流动和创新使用使得企业能在全球范围内对数据资源进行优化配置，从而极大地提升了数据利用效率，同时节约了企业经营成本。第四，提高企业创新能力。企业的数据运用有助于信息、知识的传播与共享，进而实现国家创新能力的提升。此外，数字经济时代，跨国服务和贸易的便利化因跨境数据的流动而大大增强，推动着全球和各国经济的发展。因此，应充分认识并认可数据对于商业组织的资产价值，并鼓励企业更积极主动地挖掘数据价值，建立以数据为驱动的商业模式。信息经济理论是数据时代尤其大数据背景下关乎数据使用的重要理论成果，为企业基于产品/功能的组织发展到不仅以数据为驱动，还可以基于数据资产进行竞争奠定了坚实的理论基础。该理论也为下文数据使用保护有限排他理念的提出奠定了重要基础。

2.知识产权利益平衡理论。劳动论、人格权论、契约论等理论都被用来阐释知识产权是如何从封建的垄断特权嬗变为资本主义财产权，直到今天仍然有许多学术流派在各自支持的理论基础上说明知识产权的制度设计。知识产权制度被国家用来激励那些有创造性的人为国家经济、文化发展做贡献。这是因为如果人的智力创造成果受到法律保护，将激励这些创造行为，从而社会整体将从中受益。知识产权利益平衡理论注重协调信息的生产、专有与信息的接近之间的冲突问题。知识产权在本质上属于“信息”，因此也可以被视为是一定的信息财产或信息产权。但在一个特定时期内，信息的总量是有限的，因此信息的专有和公有之间存在此消彼长的关系。一旦专有信息过多，将造成信息接近者的障碍，妨碍公众的信息获取以及信息的流通，难以实现知识产权制度的目标。在知识产权法律制度中，平衡主要体现为对知识产权所有人的权利限制、合理使用、强制许可、时间期限和地域限制等规定。可以说，知识产权制度的根本目的决定了其立法设计必须围绕专有权的分配和公有领域的设定、专有权和公众权利的合理公平配置等问题展开[27]。实现公共利益是确立知识产权专有性的重要理由。概括起来，知识产权上的平衡论主要平衡以下几种关系：平衡激励创造者的智力创造和其创造物的传播，平衡激励创造者的智力创造和使用者接近智力创造物的需求，平衡公共利益与私人利益[27]。国际知识产权法律制度的制定者及其执行者已经意识到，在知识产权领域制定平衡规则具有重大意义。对平衡规则的需求反映在越来越多地使用“平衡”一词上，也隐含在相关法律和政策措施中。知识产权法律、知识产权执法和知识产权政策中越来越多地诉诸“平衡”一词的使用，这种现象也蔓延到法律和经济研究中。在那些关注知识产权保护、贸易与发展相互关系的研究里，“平衡”一词的出现尤其频繁。当前知识产权制度上的“平衡”多是从整体、系统层面上进行关注；为了可持续发展的利益，必须努力实现经济发展、环境保护和社会公平的各种知识产权平衡。

知识产权在本质上是一种“信息”，而数据通常被认为是“信息”的载体，数据和知识产权有着千丝万缕的关系。数字经济的发展需要平衡各方利益，数据使用法律保护不能一味强调数据的经济价值和使用需求，也需要平衡数据使用法律保护和相关利益方的关系，即数据使用保护与个人数据保护之间的关系、数据使用保护与数据主权和安全之间的关系、数据使用保护与数据开放共享之间的关系、数据使用保护与公众信息获取自由之间的关系。知识产权源于法律赋予相关主体“排他性占有”某些信息的权利，但是知识产权制度的目的并非在于保护权利人的“信息独占”，而是以此为桥梁，鼓励知识产权的创造与创新，并通过制度设计实现原本被“独占”的信息的“公开”，并通过合理的制度安排平衡二者利益，最终促进社会整体福利的提升。这是因为数据具有公共性、负载人格利益以及无限复制等特征。

3.数据使用保护有限排他理念的提出。现存的理论对数据使用保护的“不适应”将引发社会对数据使用保护法律制度需求的落空，进而导致社会整体利益受损。法律制度的构建往往蕴含多元价值目标，如自由、公平、效率、安全等，对这些目标的侧重会因具体立法目的和功能的区别而有所不同。为数据使用保护奠定理论基础是数字经济向纵深发展的理论基石，而现存的理论都偏重某一面，难以适用数字经济发展及其相关利益方关系的复杂性。数据使用保护有限排他理念的提出，可以为数字经济中交错复杂的关系找到理论支撑，为数据使用保护国际法律制度的构建与完善提供理论基础。

数据使用保护有限排他理念在为数据使用主体即数据经营者（主要为企业）提供保护的同时，不妨碍他人、社会和国家利益。让数据发挥更大的价值离不开数据使用主体的投入和创新，更需要对这些投入和创新提供保护。这是因为数据实践（将原始数据转化为有使用价值的数据集的方式）往往离不开主观判断，且这些判断通常都是以特定的方式开展的，这就使得数据实践很容易被保密，且难以通过反向工程破解，久而久之，就会为自己蒙上一层神秘的面纱。出于对竞争的担忧，企业倾向于对数据集合及其相关方法施行严格的保密措施，并将其作为能够为其带来竞争优势的商业机密。因此，在为数据使用提供保护的同时应平衡多方利益，防止数据使用主体形成数据垄断，最终不利于公平的市场竞争。

数据使用保护有限排他理念蕴涵以下基本法律价值：第一，效率。效率是当代法律最基本的价值追求之一，与自由、安全、正义、秩序等并驾齐驱。尤其自20世纪60年代经济分析法学产生以后，经济学上的效率概念被引入了法学领域，并且对整个法律制度产生了重大影响。以交易成本为基础，制度经济学的主要奠基者科斯得出了两条基本定律：在零交易成本的情况下，法律权利的初始配置对效率最大化并不产生影响；在有交易成本的情况下，法律应当以效率最大化原则配置初始权利。在科斯之后，波斯纳将效率最大化的理论发挥到了极致。在波斯纳看来，效率最大化几乎成了对现行法律制度进行批判和改良的最佳武器。经济分析法学认为，一旦法律价值之间发生冲突，效率应胜出，而这在数据使用保护中得到了很好体现。无论是欧盟还是WIPO国际局在推进数据库特殊权利保护时都明确指出，现存的其他法律保护模式无法充分保护和激励数据库制作者，而只有特殊权利才能为数据库制作者提供足够的经济激励。为数据集合设定一定的专有权正是为了弥补不受版权法保护的数据集合内容。同时，为数据集合提供法律保护也有利于资源配置效率的提升。此外，各国出于国家安全等原因，纷纷出台相应政策措施限制数据跨境流动，并将相关政策引入国际法律制度，这显然忽视了数据流动的效率价值。

第二，安全。安全通常是指保护资产（如建筑物、设备、货物、存货，在某些情况下还包括人员等）不受威胁。安全是人的基本需要，也是社会存在和发展的基本保障。从法律价值视角看，安全是指通过法律力争实现的、社会系统基于其要素的合理结构而形成的安定状态，以及主体对该状态的主观感受、认知和评价[28]。数据安全（信息安全）通常是指“保护（数据）信息免受各种威胁以确保业务的持续开展、风险最小化以及投资回报和商业机会的最大化”[29]及“组织或机构维护对其运营至关重要的信息的系统、媒体和设施的过程”[30]。数据安全也指数据的机密性、可用性和完整性，即依靠各种流程和措施防止未经授权的个人或组织使用或访问数据。数据安全必须确保数据准确可靠，并且在具有访问权限的人员需要时确保数据可用。赋予数据集合一定专有权，意味着在一定程度上对个人数据（隐私）甚至数据主权提出了新的挑战，因此，在保护数据集合所有人的权利同时必须注重数据的安全问题。同时，在促进数据跨境流通时也不能忽视流通中的数据安全问题。

第三，共享。共享是指与他人共同拥有一件物品或者信息的使用权或知情权，有时也包括产权。数据共享是指通过应用程序编程接口实现数据流在不同系统之间的实时流动和功能的无缝集成。数据作为经济发展的新动能与社会发展的新引擎，其跨领域、跨行业交互共享的需求非常强烈。与此同时，数据共享也产生了诸多问题：数据类型多元、标准多样、交换信赖源缺乏、安全难以保障、控制权缺失等。总之，数据的交换共享面临着不易、不敢、不愿等问题。传统数据共享存在多方利益不协调、安全性得不到保障、数据的控制确权等突出问题，而这正是由于数据主体角色缺失，数据的生产者、使用者、管理者及受益者等不明确所致，而这严重影响了数据的开放共享程度。人们通过数据共享能更充分地使用已有数据资源，减少资料收集、数据采集等重复劳动，并降低相应费用。一旦私人主体在知识产权体系下获得对“信息”的专有权，相关的市场经营者必将支配更多、更高价值的信息，并且受到财产权制度的保护，从而难以进入公有领域。欧盟调研报告指出，数据集合大多为私人所掌控，共享存在诸多障碍[31]。虽然数据信息具有一定的私权属性，赋予相关权利人对信息的适当的支配权也是合理的，但是共享仍然是其应有之义，能缓解公众对数据的获取压力。

数据使用保护国际法律制度包含数据使用保护的国际知识产权制度和数据使用保护的个人数据跨境流动国际法律制度。前者聚焦在知识产权体系下，为数据使用提供法律保护；后者则侧重于跨境数据流动规制层面，以促进数据（尤其是个人数据）流通为首要目标。数据使用保护的国际法律制度牵涉利益众多且复杂，需要平衡多元价值目标。因此，应以蕴含效率、安全、共享三元价值的数据使用保护有限排他理念为基础，完善数据使用保护的国际法律制度。

四、数据使用保护国际法律制度基本理论问题研究的现实意义

为使数据价值得到充分释放，需要数据经营者持续投入和创新，并对其投入和创新的成果进行保护。但是这样的保护并非仅赋予数据使用者独占的权利，还需要平衡其他合法权益（数据安全、公共数据获取等）。尤其随着大数据的产生和发展，基于大数据量大、速度快、种类繁多等特点，安全性和隐私成为了大数据中的头等问题[32]。因此，应将蕴含效率、安全和共享三元价值的数据使用保护有限排他理念作为指导数据使用保护国际法律制度构建和数据使用保护实践的理论基础。同时，考虑到数据经营者是数据使用的主要市场主体，将数据安全和个人数据保护责任落实到数据经营者身上，也是数据使用规制的应有之义。

（一）指导数据使用相关制度建设

私营部门的逐利是数据挖掘和全球数字经济发展的动力，不保障其权益必然会导致其数据使用激情削减，最终不利于公共福利。理论界和实务界对此形成共识后，纷纷投入到对数据行业利用规则的研究之中，并取得了一定的研究成果[33]。目前，数据使用保护领域最为重要且相对成熟的方式和实践主要是通过商业秘密、著作权法、反不正当竞争法进行保护。大量非独创性的数据库已成为数字经济时代最为常见的数据财产形态，大量具有高度商业价值的事实信息类数据库都在以非独创性数据库的形式出现，而编排与结构并非其真正的价值[34]。而传统版权保护方法、反不正当竞争保护方法、技术措施保护方法等都不足以给处在公共领域的不具有独创性的数据集合以保护。同时，数据库特殊权利保护法律制度也存在其自身缺陷。在为非独创性数据集合提供国际法律保护时，应在重视效率价值的同时平衡安全、共享价值，既为数据集合投资者的投入和创新提供保障和推动力，也保证数据集合中重要数据和个人数据的安全，以及公众对数据集合的合理使用和获取。在维护国家安全和利益的基础上，全球跨境数据流动和使用规则的制定和发展，不仅需要依赖庞大的经济体量，也需要开放的经济体制和明确的国内规则。各国需要在坚持效率、安全和共享三元价值的基础上，根据数据管理目的，明确具体的数据管理范围、分级和分类，制定足够细分的数据跨境流动和使用的管理策略，最终形成有效的国际合作机制。

（二）指导数据使用实践

数据是数字时代的基石。当今世界，可以说，没有数据，就没有人工智能和机器学习；对很多公司来说，没有数据就没有业务。随着数据不断增长，为了成功利用数据，企业需要将其视为最有价值的资产之一，就如人员、财务、产品、工厂、设备和知识产权一样。此外，随着数据交易的广泛开展，也需要对交易客体提供制度保障，以确保市场交易行为的有序开展。数据使企业发现新趋势和新模式，并对可能的未来事件做出预测。数据可以使成熟的公司更快、成本更低、更准确地将新产品和服务推向市场，从而取得与新兴创业公司的竞争优势。由此可见，数据的价值主要体现在两个方面：一是提高现有经济运行体系中要素的价值转化效率，二是数据本身创造新价值的潜能巨大。国际数据公司（IDC）在2019年4月份发布的大数据市场分析表明，数据的重要性正在不断增长。该公司预计，2019年全球数据解决方案（例如数据分析和AI软件）收入将达到1 891亿美元，比2018年增长12%[35]。但作为无形资产的数据，存在很大的管理难度，数据安全隐患不断凸现。企业在对数据价值感到兴奋的同时也担忧着其安全隐患和意想不到的后果[36]。企业无论是用数据驱动业务或变革商业模式，还是开展数据交易，都不能忽视其安全、共享价值的实现。医疗保健就是一个快速数字化的领域，使用最先进的技术动态处理患者的大量信息，以新颖的方式预防、诊断和治疗疾病[37]。

数据使用保护有限排他理念的提出能在一定程度上缓解数字经济发展中各方利益的冲突，无论是在为数据使用提供现实保护的知识产权制度中，还是在和数据使用保护密切相关的个人数据跨境流动规制中，都离不开对效率、安全和共享三元价值的追寻和平衡。实践中，掌握着海量数据的私营部门通过挖掘、分析、探索新的产品和服务模式形成竞争优势，它们在追逐利益最大化的同时，难免会引发数据安全隐患和垄断等不良后果，这需要公共部门的干预以及私营部门安全使用数据，不给公众获取数据造成阻碍。

（三）数据经营者使用数据的责任规制

随着数据收集和数据使用的愈加频繁，建立有关保护数据隐私的进化系统成为必要。该系统应当将保护数据的责任从个人转移到数据经营者身上，而数据经营者应当对其管理数据的行为负责而非对其是否获得个人的同意负责。OECD的《2013指南》将“隐私管理规划义务”纳入其中，这意味着“收集限制原则”和“使用限制原则”所衍生出来的通过“告知与同意”模式来保护隐私安全的理念正在被人们抛弃。现如今，人们要求数据控制者通过结构性的隐私管理规制对其服务与产品所包含的个人数据与隐私进行事前、事中和事后全过程保护[38]。因此，将数据安全和个人数据保护责任转嫁到数据企业身上并建立相应机制，可以有效保障个人数据。具体应做到以下几个方面。

1.建立“风险、危害和利益”评估机制。私营部门数据使用需要排除（不可复原地进行匿名化）个人敏感信息，任何“风险、危害和利益”评估都应考虑数据使用的具体环境，包括社会、地理、政治和宗教因素。此类评估应考虑受影响的个人的身体、情感或经济的潜在伤害，以及由于侵犯个人权利而可能造成的其他伤害。任何“风险、危害和利益”评估都应考虑数据使用可能对个人和/或群体中个人的影响，而不论是否由法律明确规定，以及数据使用时是否知晓。危害评估应考虑以下关键因素：危害发生的可能性；潜在的危害程度；潜在危害的严重性。在可能的情况下，评估应由多元化的专家团队（例如法律、道德和安全专家）完成，并且在合理可行的情况下，应由可能受影响的个人代表参与。

2.实施数据安全技术措施。数据安全性对于确保数据安全和个人数据保护至关重要。考虑到可用的技术和实施成本，应实施强有力的技术，组织保障措施和程序（包括对数据访问和数据泄露通知程序的有效监控），以确保在整个数据生命周期中进行适当的数据管理并防止未经授权的使用、披露个人数据。在适当情况下，数据经营者应使用聚合、假名化或屏蔽等方法来取消识别个人数据，以最大程度地降低任何潜在的隐私风险，并综合考虑具体的潜在危害后果。在适当情况下，应尽量使用已去身份化处理的数据。取消身份识别是指使用所有合理的手段将个人数据转换为匿名数据的过程，这可能会去除所有个人身份信息（例如姓名、出生日期、确切位置等）。然而，如《联合国全球脉动数据创新风险评估工具指南》所述，哪怕该数据不能直接或明确地识别或挑选出一个或多个个人，但使用适当技术仍可以与一个或多个个人连接，因此仍然需要采用与保护个人数据相同级别的技术保护[39]，但是要确保采取的保护隐私和确保数据安全的措施不会不成比例地损害数据的用途。使用云服务时应特别注意，尤其是在数据安全设置和存储数据的物理位置方面，对于敏感数据，则应考虑使用非云存储。使用第三方云存储提供商时，应同时考虑与使用此类云存储相关的潜在风险和危害。

3.确保数据可信度。所有与数据有关的活动都应在设计、执行、报告和记录文件时，确保其质量和透明度。更具体地说，应在合理、可能的范围内验证数据的准确性、相关性、科学性、完整性、可用性、有效性和一致性，并保持数据处于最新状态，这样才能降低数据因使用问题而发生不利后果的风险。

纵观当前各国法律框架，尚无有效的双边制的保护路径，即既保护自然人个人权益，又保护数据经营者利益以促进数据使用。过度关注个人信息保护和数据安全并不能回应数字经济发展的需要，而在数据使用时忽视安全和公众信息获取问题也不利于数字经济的健康持续发展，效率、安全和共享价值的冲突将日益显现。鉴于数据的天然流通性和各国发展的依存度，在厘清和探讨基本理论问题的基础上，构建相对统一的数据使用保护的国际法律制度势在必行。

结 语

近年来，经济和社会因数字技术而发生了翻天覆地的变化，几乎所有活动领域和所有人的日常生活都受到了影响，而数据正是这一转变的核心。数据驱动的创新为人们带来了巨大利益。全球经济联系越来越紧密，越来越广泛，越来越复杂。数据是当今网络空间治理的重要内容，中国作为世界第二大经济体，也是事实上的“世界数据中心”，理应引领全球数字治理。数据在全球的充分流动和使用是数字经济向纵深发展的前提，而构建有效多边数据使用保护法律机制无疑可以筑牢制度基石。需要明确的是，数据使用保护的国际法律制度包含了数据使用保护的国际知识产权制度和个人数据跨境流动国际法律制度。在信息经济理论和知识产权利益平衡理论的基础上提出的数据使用保护有限排他理念，崇尚效率、安全和共享三元价值，重视数据经营者经济利益的同时也关注他人和社会的利益。因此，数据使用法律保护并非旨在为数据经营者创设一项绝对的权利，而是为了构建平衡个人、数据经营者和社会公共利益的法律制度。在数据跨境流动的立法中，要将社会公共利益和个人数据保护都列为其目标。数据使用国际法律保护应以数据使用有限排他理念为指导，平衡好个人数据保护、数据主权、数据开放共享及公众信息获取自由之间的关系。

注 释：

①Doug Laney是Gartner首席数据官（CDO）研究和咨询团队的副总裁兼杰出分析师。2001年，他提出的大数据3v特征，现在几乎成为了大数据的通用定义及特征；大约在20多年前，Laney先生开启了Infonomics的研究，致力于开发量化信息的经济价值并将资产管理实践应用于信息资产的管理。

②“信息资产”概念的提出是在“9·11”恐怖袭击之后。在那次恐怖袭击中，许多组织不仅失去了人员和财产，而且丢失了数据。当时发现的只是他们的财产和伤亡保险单，却未涵盖此类无形电子资产。显然，那时还没有任何机制可以将数据计入资产负债表中，也不存在数据评估的方法。因此，莱尼为了说明他的理论，2017年出版了一本关于该主题的专著，不过他承认这仍然是一个“新兴的行业概念”，尚未得到广泛接受。

③资产的可衡量和可管理是企业对其进行获利的前提，在该理念的基础上，莱尼先生将信息视为企业的一种新兴资产类别，进一步阐述了他的信息经济理论。