黄东东 陈雅欣

摘要：现实的权利不可能在法律文本中被完全界定，无论作为社会契约性质的法律抑或作为当事人之间交易性质的合同都存在空白、模糊甚至冲突之处，但在法律的执行和合同的履行中，最终会由不完全契约中拥有剩余控制权的一方（不仅仅是当事人）确定，因此权利的实现程度是由剩余控制权决定的。为降低数据流通的交易成本，《民法典》明确将数据权益作为民事权利的客体予以保护，但却选择性地搁置了对数据进一步确权的问题。当数据权益无法清晰界定或者清晰界定的成本过高，依据机制设计的要求，通过对数据流通过程中重要环节、关键辅助环节或主要运用场景中的剩余控制权进行合理配置，可以在一定程度上弥补法定权利界定模糊的问题。由于决策信息成本的约束和政府激励手段的有限性，不可能通过正式制度将剩余控制权配置得完美无缺；而明确将某一剩余控制权配置给当事人、第三方专业机构等，依然是希望市场机制发挥基础性作用的一种配置。中国目前关于数据权益保护和促进数据流通的规则选择已经走向“责任规则+管制规则”的组合模式，可以运用诸如标准合同、企业数据保护信誉机制、技术标准、数据资产和数据侵权赔偿定价机制等，对某些重要的剩余控制权配置予以明确，以支撑相应法律规则的执行或弥补其不足。譬如：标准合同可以采取“通用条款+专用条款”的组合配置；企业数据隐私保护信誉机制可以设定分等级的披露机制，具体确定披露内容、披露方式和披露范围；技术标准的制定和完善应当明确标准的目标定位、粗疏与细密以及作为软法如何与硬法协同的问题；第三方评估机构做出的数据资产和数据侵权赔偿估价应当为交易双方议价或法院裁判的基础，但不宜强制性地规定为交易价格。这种类似分散立法的功能，不仅可以积累经验，而且可以降低立法成本和立法失败的社会成本。因此，面对数据流通如何治理的制度构建问题，一条现实而可行的路径是：通过对有效机制设计的不断积累，逐步完善与数据相关的法律制度及其配套措施建设。

关键词：数据流通；剩余控制权；机制设计；不完全契约；激励相容

中图分类号：D923;D922.16

文献标志码：A

文章编号：1008-5831（2023）04-0179-12

一、问题的提出

在数字技术的推动下，基于海量数据挖掘和分析而产生的预测和新知正在促进人工智能的不断发展，数据的经济价值不断凸显。数据作为重要生产要素不仅已成为共识，而且数据在数字经济发展中的引领作用亦不断被获得认可。虽然数据、信息、隐私三者的概念与边界在当下中国权利话语体系的学术研究中处于混乱无序的状态，但数据承载着信息、信息包含着隐私的逻辑关系正逐渐清晰，申言之，数据应当作为数字时代新的法学基础性范畴进行理论与制度的构建^［1］。因此，不仅网络空间治理的重点已转化为数据治理，而且只有治理好数据才有可能赢得未来。但是，数据有着不同于传统生产要素的独有特点，数字经济亦呈现出诸多不同于工业经济运行的变革性特征，传统治理模式面临着前所未有的挑战。首先，数据的获取相对于传統生产要素而言更为便利，但具有经济价值的大数据依然呈现出一定的稀缺性。具体而言，单个数据几乎没有任何价值，过时的数据总是加速贬值，没处理的大数据经济价值依然不高，初步处理的结构化大数据受呈现方式和用户搜索能力的影响依然具有稀缺性^［2］。其次，与传统生产要素不断折旧且规模报酬递减不同，数据具有规模报酬递增和边际成本为零的特性。换言之，数据流通越顺畅以及使用次数越多则数据的边际效用越高，数据的流通和使用是实现其经济价值的唯一途径。最后，数据活动具有很强的负外部性。虽然单个数据的价值不高，但个人数据和信息保护不力或非法获取他人数据，则可能产生侵犯个人权益以及扰乱市场竞争秩序等一系列社会风险。

党的二十大报告提出，要“加快发展数字经济，促进数字经济和实体经济深度融合，打造具有国际竞争力的数字产业集群”。当数据作为资源的稀缺性以及数据活动的外部性日益凸显，不仅个人、企业和国家在数据上的利益需要获得法律制度的认可与保护，而且产生了对数据流通秩序进行法律规制的必要。从经济运行的视角进行观察，不同主体间的相互依赖性是有效利用稀缺性资源的基本形态，因此需要利用合作与互惠的制度解决数据活动中的秩序问题，而合作与互惠同样促使了利益主体对数据权益的诉求。我国对数据作出规定的基本法律是《中华人民共和国民法典》（简称《民法典》），其在“民事权利”章明确将数据权益作为民事权利的客体予以保护，但第127条却选择性地搁置了对数据进一步确权的问题。不仅如此，《中华人民共和国数据安全法》（简称《数据安全法》）第7条也只是原则性地规定“国家保护个人、组织与数据有关的权益”。与数据密切相关的《中华人民共和国个人信息保护法》（简称《个人信息法》）存在类似表达，其第2条规定“任何组织和个人不得侵犯自然人的个人信息权益”。原因是，不同于工业时代的交易以所有权转移为前提，由于数据具有非排他性使用、规模报酬递增、边际成本为零等特性，在“不求所有、但求所用”的数字时代交易中，数据所有权的主导性事实上已经被弱化。由于数据活动中对数据的占有、使用和收益与传统生产要素具有不同的特点，任何期望通过“一刀切”的方式，套用工业时代的权利框架体系清晰界定数据权属的立法方案，几乎都存在难以协调多元而复杂的数据利益冲突的困难。2022年12月发布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（简称《数据二十条》），已经体现出“淡化所有权、强调使用权”的数据产权构建思路。质言之，依靠传统的权利控制机制难以实现保护个人数据权益与促进数据开发利用之间的平衡：一方面，由于信息不对称和数据处理活动的复杂性，数据主体的权利面临被架空的危险；另一方面，权利控制机制与数据的规模价值和利用的非排他性之间存在着深刻的张力，过分强调数据主体的私权利保护可能增加数据流通的交易成本从而影响社会整体福利的提升^［3］。正因为如此，2021年以来，深圳和上海等地方数据立法讨论中，争议最大的正是数据作为生产要素如何进行流通。虽然正式法层面的制度安排明显不足，但司法实践中涉及数据权属与数据流通的纠纷却逐渐增多。从案由分类看，包括知识产权合同纠纷、不正当竞争纠纷、垄断纠纷以及其他知识产权与竞争类纠纷^［4］。从相关判例分析看，司法界大多倾向于赞成保护实质性投资，主张在现行法体系下通过《中华人民共和国反不正当竞争法》来保护诚实经营和公平竞争的市场经济秩序参见：北京知识产权法院（2016）京73民终588号民事判决书；广东省深圳市中级人民法院（2017）粤03民初822号民事判决书；杭州市中级人民法院（2018）浙01民终7312号民事判决书；上海知识产权法院（2016）沪73民终242号民事判决书。。从学术界的研究看，不少学者认为，在成文法体例下，数据权属的界定是交易的基础，因此数据和个人信息权益的构建以及数据隐私保护及其立法等问题已然成为热点^［5］。基于数据要素市场的实践进行观察则会发现，虽然法定的数据权利存在模糊性，但不可能因此停止大数据产业发展的步伐，由于数据流通是数字经济的基石^［6］，对数据权属进行界定的目的依然在于构建公平高效的数据流通秩序，所以完善数据流通秩序才是当务之急。

本文以不完全契约理论框架下剩余控制权的合理配置为视角展开讨论，依据机制设计的要求，为完善数据流通法治秩序提出相应的建议。机制设计是由2007年诺贝尔经济学奖获得者莱昂尼德·赫维茨等学者提出的，实质是博弈论和社会选择理论的综合运用，是在信息不对称、决策分散化和自愿交换等约束条件下，通过设计一套博弈规则为行为主体提供合理的激励，通过促进当事人之间的信任来实现个人利益和公共利益的激励相容^［7］。质言之，数据流通中剩余控制权配置的机制设计是在正式法律对数据权属界定不清的情况下，通过对数据流通中的重要环节、关键辅助环节或主要运用场景中剩余控制权的合理配置，运用诸如标准合同、企业数据保护信誉机制、技术标准、数据资产和数据侵权赔偿定价机制等，在一定程度上弥补正式法律的不足，从而为数据流通秩序的构建提供公正而有效的制度安排。

二、剩余控制权的合理配置是完善数据流通秩序法律治理的切入点

数据流通的法律治理不仅需要规制数据流通主体之间的法律关系，而且需要规制数据主体与数据处理者之间的法律关系。由于数据确权不清晰、数据估值标准尚未确定以及个人信息隐私保护不健全等问题，实践中的数据流通秩序呈现出典型的“不完全契约”的特点^［8］。即在现有法律框架下，数据流通主体之间的权利义务关系存在诸多模糊、空白甚至冲突之处。

（一）权利界定的相对性

科斯定理表明，市场的真谛不是价格而是产权，因为产权的清晰界定是降低交易成本的基础和关键。产权并非法教义学意义上的权利，而是经济学上的概念，通常被视为“一束权利”关系，所以并非所有产权（包括剩余控制权）都属于制定法上的权利范畴。科斯定理的法学意义在于，数据权利界定以及数据处理活动中剩余控制权的配置对于降低数据流通的交易成本具有同等重要的规范意义。

从理论上而言，个人、企业和国家数据权利的法教义学来源殊有不同。首先，个人数据权利源于人格权保护。无论是将个人数据作为隐私权的分支脱胎而来的美国法，抑或是凭借“信息自决理论”将个人数据从一般人格权中发展而来的德国法，人格权及其人格权中的财产利益保护是个人数据权利的核心。其次，企业数据权利的诉求来源于劳动价值论。由于企业的劳动性数据处理活动创造了价值，所以通常认为企业数据权利属于财产权。最后，国家的数据权利源于公共职能的需求和主权保护原则。只有国家享有公共数据上的权利，政府才可能在数字时代提供优质高效的公共服务；国家基于主權享有数据主权，才有权控制数据流通行为中可能危害国家安全的行为。虽然任何主体的数据权利都有在法教义学上的正当性来源，但一种权利如果没有经验来源与实证检验，只能是一种安慰剂。因为，当某一主体声称其有拥有相应的数据权利时，只有在实践中获得别人的承认才是现实的权利，即真正的权利是交换来的。譬如，当个人主张其拥有数据权利时，是因为他出让了一些有利于他人的数据利益；如果他人不能在数据上享有相应的利益就不会产生真正的个人数据权利，交换而来的则是企业和国家保护个人人格权益及其隐含其中的财产利益的承诺，以及个性化商业服务和公共服务的便利。在制定法时代，国家立法行为代替或掩盖了这一协商过程和交换的实质。因此，不是因为个人作为数据主体获得“天赋”的数据权利，而是因为国家和企业的数据活动能够增进社会总体福利而有必要给予个人、企业和国家相应的权利。所以，数据权利及其相关流通规则只能在回应数据流通秩序构建的需要中，在对数字经济效率与公平关切的结果中逐渐产生^［9］。

关于数据权利构建的观点见仁见智，既有主张数据有限自我控制的非界权观点^［10］，也有主张暂不赋权而强调数据利用制度构建的观点^［11］，更有人格权说^［12］、财产权说^［13］和用益权说^［14］等主张赋权的观点。问题是，即使法律上明确界定了个人、企业和国家的数据权利，这样的权利在实践中依然是模糊的。由于人的有限理性、语言的模糊性、信息不对称和信息不完备等，特别是获取数据所有属性的信息交易成本的限制，现实世界里的权利不可能在法律文本中被完全地界定^［15］。换言之，清晰界定权利的信息交易成本有多高，界定权利的成本就有多高，所以权利界定一定有一个临界点。在这个点上，界定数据属性的权利归属及其边界对立法者而言净价值为零，而比这个价值更低的、面向一些具体应用场景的属性不会被制定法所界定。质言之，权利的清晰界定永远是一个相对概念^［16］。所以，作为制度重要组成部分的法律、法规和规章一定会存在空白、冲突和模糊的表达，因此总有部分关于数据权属的分配处于公共领域之中，成为交易市场中人们博弈的空间或成为政府依据政策进行管制的对象^［17］。

（二）权利的实现程度取决于剩余控制权

不完全契约理论指出，无论作为社会契约性质的法律抑或作为当事人之间交易性质的合同一定存在空白、模糊甚至冲突之处，但在法律的执行和合同的履行中，最终会由不完全契约中拥有剩余控制权的一方（不仅仅是当事人）予以确定。剩余控制权理论有助于我们深刻理解法律与市场的关系以及法律实施的本质：虽然契约关系是法律和市场的共性，但法律是一个不完全契约，而市场是一个完全契约。所以，市场中剩余控制权的实际享有状况以及剩余控制权在法律上的配置状况，一定会影响当事人事前行为的选择^［18］。正如福柯所言，“要真切地理解权力的实现过程，必须关注权力运作的末梢”^［19］。所以，一项法定权利的真实实现程度只能在法律的实施中去体现，在法律界定的空白、模糊或冲突之处去观察。可以说，权利的实现程度是由剩余控制权确定的。

针对《民法典》《数据安全法》和《个人信息法》的规定，不少学者认为，虽然名义上没有赋予数据主体“数据权利”或“个人信息权”，事实上已经具有了权利的实质。任何法律文本上的界定都只是名义上的权利，不完全契约理论中的剩余控制权意味着，权利的真正边界和实现程度取决于交易双方的博弈能力^［20］，法律对权利的界定只是提供了一个模糊的博弈边界。以个人信息处理的“告知—同意”原则为例，取得个人同意是处理个人信息最重要的合法性前提，或者说个人享有“同意权”。通常认为，交易双方在不违反自愿原则或遵循同意规则的前提下，会达到帕累托有效率的轨道上，但具体停留在这段轨道的哪一点，却不是理论决定的，它取决于社会学意义上的权利安排：越拥有市场权势和政治影响力的人，越有能力把这个契约的均衡点向外推到对方能够自愿接受的底线。由于“自愿同意”是一个难以实证检验的概念，当某人表达“自愿”或“同意”时，其只是理性地考虑到所有约束条件之后的决策，是为了避免其生存状况在“不同意”时进一步恶化才“同意”的。这是“信息自决”理论更深层面的问题或另一个面向。在这一意义上，甚至可以说任何“自愿原则”或“同意规则”都只是为了降低制度执行的交易成本的立法工具。“自愿同意”仅仅意味着立法者对此前状态的承认，但绝不意味着对既成事实和既得利益格局所做的道德判断^［21］。正因为如此，虽然多数国家在个人信息保护方面仍强调同意原则，但总体上已转向公共规制模式^［22］。

所以，法律上明确规定的权利在现实中只能部分被实现甚至被架空，这并不罕见。之所以有学者讨论个人信息权或数据权是私法上的权利还是公法上的權利，不仅在于厘清相关权利的性质，亦在于明确剩余控制权的主要归属。如果是一项私法上的权利，剩余控制权主要属于私法上的民商事主体所有；如果是一项公法上的权利，剩余控制权主要属于国家或者国家有权力对剩余控制权予以进一步配置。由于个人、企业和国家在数据利益和数据流通秩序上的偏好不同，不同的剩余控制权归属及其配置对于数据流通秩序的作用显然不同。质言之，剩余控制权的合理配置可以成为数据流通秩序机制设计的切入点。具体而言，由于企业的数据活动并非一定以数据所有权或排他性占有权为基础，因此在数据权属正式法律界定不清的情况下，通过将数据流通过程中的重要环节、关键辅助环节或主要运用场景中的剩余控制权合理配置给政府部门、法院、当事人、第三方专业机构或行业协会等，可以在一定程度上弥补模糊的法律权利界定对数据流通带来的不确定性障碍，从而构建起一个相对合理而有序的数据流通秩序。但是，不完全契约理论提示我们，不可能通过制度安排构建起一个完全由国家或政府掌握剩余控制权的数据流通秩序：一方面，由于决策信息成本的约束和政府激励手段的有限性，不可能通过正式制度将剩余控制权配置得完美无缺；另一方面，没有必要由国家或政府掌握所有剩余控制权的配置，不仅与发挥市场在资源配置中的基础性作用的市场经济规律不符，而且市场是一个隐含各方行为规则和大量信息的集合，所以市场本身是获得决策信息成本最低的手段；即使明确将某一剩余控制权配置给当事人、第三方专业机构等，但其依然是一种希望市场机制发挥基础性作用的配置。

三、数据流通立法的路径与剩余控制权的配置策略

虽然法律层面的数据权属界定不清，但并不妨碍各种规范数据流通的规定和技术标准等相继出台，数据领域公私法交错和制度机制整合既是现状亦是趋势^［23］。但是，任何制度选择都会产生路径依赖，在现有法律框架下，中国的数据立法应当如何完善依然需要有一个清晰的思路与规划。

（一）数据流通立法的路径

数据上权益的配置一方面需要有效保护个人隐私和个人信息，另一方面需要通过法律制度的安排发挥市场在数据资源配置方面的基础性作用。因此，防止侵犯个人隐私、促进企业对数据产业进行投资和保护国家数据安全已经成为共识。正如《数据安全法》第13条所确定的原则性规定：“国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。”质言之，数据权益配置的制度目标，应当是促进数据主体、数据控制者和数据使用者之间互惠与合作并降低数据资源利用的交易成本。然而，个人或组织选择某种行为不仅涉及个体的成本与收益，而且可能给他人或其他组织施加成本或者带来收益，因此对个体行为的外部性产生了激励的需要^［24］。就行为人的选择而言，资源配置的最优状态与既定的经济社会激励结构密不可分，而基于制度的激励是一个社会的激励结构中最为重要的方面。

但在数字经济发展的当下，数据立法似乎遭遇到20世纪中国市场化改革初期的类似难题：由于制度体系与市场体系均不完善，究竟应该立法先行还是市场先行？历史已经给了我们答案：在基本立法做出框架性规定后，通过对市场化改革实践经验的总结逐步完善制度体系。正因为如此，关于数据立法的顶层设计文件并没有使用法律上的权利表述，而是提出“加快建立数据资源产权等基础制度和标准规范”^［25］。不仅产权是一组权利关系，而且标准规范亦非正式法律规范。正如机制设计是通过一套博弈规则的安排实现个人利益与公共利益的激励相容一样，顶层设计的基本思路是，数据领域制度的构建既包括正式的法律制度亦包括其他非法律的制度性规范，即构建一套数据领域的博弈规则。如前所述，经济学意义上的剩余控制权实质上是一项基于博弈能力之上的决定权，在数据法定权利界定不清前提下的数据流通过程中，数据流通合同条款的议定环节、个人信息保护条款的设定环节、数据侵权是否成立的确定环节、数据侵权损害赔偿额的决定环节都存在剩余控制权的空白或模糊等问题。因此，除了法律、法规、规章等《中华人民共和国立法法》（简称《立法法》）意义上的正式法对数据权益进行界定之外，可以运用诸如标准合同、企业数据保护信誉机制、技术标准、数据资产和数据侵权赔偿定价机制等手段，将一些重要环节、关键辅助环节或主要运用场景中的剩余控制权配置给不同应用场景的行政主管部门、技术标准制定部门或机构、数据资产估价机构，在制定法上表现为行政管理权、标准制定权和数据资产评估资质，从而矫正数据流通过程中完全依靠博弈能力形成剩余控制权配置的市场失灵，在现阶段构建起一个相对合理的数据流通秩序。在数字经济的发展模式还没有完全定型的现阶段，是否一定需要通过正式法律、法规和规章对数据权益进行明确而清晰地界定，或对数据流通秩序主要通过法律予以构建值得商榷。从目前来看，《民法典》《数据安全法》《个人信息保护法》和《中华人民共和国网络安全法》（简称《网络安全法》）已经确定了一个大致的权益框架，而上述标准合同、企业数据保护信誉机制、技术标准、数据资产和数据侵权赔偿定价机制等并非《立法法》意义上的“法”，不仅修改容易而且影响面相对于立法的普遍适用性小。这种类似分散立法的功能，不仅可以积累经验，而且可以降低立法成本和立法失败的社会成本。因此，面对数据流通如何治理的制度构建问题，一条现实而可行的路径是：通过对有效机制设计的不断积累，逐步完善与数据相关的法律制度及其配套措施建设。

（二）剩余控制权的配置策略

面对数据流通秩序构建与完善的问题，中国的立法策略遵从一种实用主义的思路。从实用主义的视角看，法律不仅具有工具性，而且是由实践所构成的，因此具有语境性与社会嵌入性。从《数据二十条》关于“探索数据产权结构性分置制度”的顶层设计思路可见一斑。如果法律规则只是简单地赋予权益或施加各种禁止性或强制性规定，势必因激励不相容而影响规则的有效实施^［26］。所以，实用主义的制度安排一定会考虑不同法律规范之间的效率比较，即在现有法律框架下，剩余控制权的不同配置如何降低维护制度目标的交易成本。基于机制设计的要求，数据流通秩序一定是由一套规则体系或混合规则所构成的，而剩余控制权的不同配置对应着不同的规则类型。依据卡—梅框架关于规则选择的基本原则，当交易成本较低时采取财产规则，即剩余控制权主要配置给双方当事人，实质是在当事人主导下由市场机制发挥配置剩余控制权的作用；当交易成本较高时采取责任规则或管制规则，即将部分重要的剩余控制权配置给法院或政府等机构^［27］。

首先，如果为保护数据主体的隐私和个人信息权益明确规定个人数据权，即采取卡—梅框架下的财产规则设计，将剩余决策权主要交由数据流通合同一方的数据主体控制，很可能产生不少学者所担心的数据主体“敲竹杠”的策略性行为，导致数据流通的交易成本畸高，从而阻碍数字经济的发展。要避免这种情况，一个可能的替代选择是采取责任规则来保护数据主体的权益，即不赋予数据主体权利而是保护其数据上的合法利益不受侵犯，通过侵权损害赔偿的方式激励数据企业保护数据主体的数据隐私，相当于依据法院的侵权损害赔偿定价，数据企业可以一次性“买断”数据主体的权益，即法院对数据的价值及其侵犯数据权益的价值享有定价的主导权。其次，责任规则虽然可能减少数据流通的交易成本，却增加了法院对侵犯数据权益损害赔偿的估价成本，以及估价不准确、不合理所导致的可能伤害数据主体或数据企业的风险，同样会阻碍数字经济的健康发展。这意味着，不仅责任规则的适用有一个临界点，即超过这个临界点可能被政府主导的管制规则所取代，而且意味着侵犯数据权益的损害赔偿估价机制如何设计相当重要。最后，管制规则同样具有类似的优势与不足。政府管制替代了交易主体之间基于市场机制进行的剩余控制权配置，即政府管制行为的交易成本替代了市场交易的交易成本，两种交易成本的高低需要在一定的经济社会环境与基础性的制度框架中去衡量。

换言之，立法者不仅需要在当事人自由交易的市场交易成本、法院主导侵犯数据权益损害赔偿估价的交易成本、政府管制行为的交易成本之间进行比较，而且需要通过法治化的总量交易成本去降低每一笔数据流通的交易成本。具体而言，由于权属界定不清以及流通秩序混乱，当事人的机会主义行为可能导致每一笔数据流通的交易成本很高。不仅剩余控制权的合理配置对机制设计的要求愈来愈精细和复杂，而且这些精细的机制设计亦需要依靠具体的组织予以贯彻和落实，这会导致一个法治国家的总量交易成本的上升。所谓“总量交易成本”是各种为交易服务的制度和组织的“物化”，表现为交易服务部门的职业化、专业化、规模化和法治化。譬如数据交易平台、数据资产评估机构、技术标准制定机构、数据行业协会以及数据流通主管部门等。换言之，总量交易成本是整个社会法治化的交易成本，在一个运行良好的社会中总量交易成本的增加是必然的^［28］。由于交易服务部门的职业化、专业化、规模化和法治化运行带来的公开性、公正性与公平性，会极大地增强数据流通各方基于法治的信任，而信任歷来“是一种允许人们以很低的交易成本交往的社会黏合剂”^［29］，从而极大地降低每一笔数据流通的交易成本。总之，不管是采用“权利立法”的欧盟模式，还是采取“责任立法”的美国模式，只要支撑这一模式的一整套剩余控制权配置的规则体系及其组织建设能够到达机制设计的目标，最终都可能殊途同归，实现个人利益与公共利益的激励相容。

四、完善数据流通秩序法律治理机制的几点建议

中国目前关于数据权益的保护和促进数据流通的规则选择模式基本已经走向“责任规则+管制规则”组合的道路。《数据二十条》关于“在数据产权结构性分置框架下建立公共数据、企业数据、个人数据分类分级确权授权制度”的表述，意味着数据权利绝非具有独占性和排他性的物权，使用权的强调必将进一步强化“责任规则+管制规则”保护模式，这就要求关于数据流通秩序的法律规制应当对执行责任规则和管制规则的剩余控制权进行合理的配置，根据机制设计的要求予以完善。虽然机制设计理论复杂而精深，但剩余控制权机制设计的核心依然是信息与激励问题。譬如：管制规则下不同应用场景中的标准合同机制和企业数据保护信誉机制，责任规则下的数据资产和数据侵权赔偿定价机制，而技术标准治理机制则对责任规则和管制规则都具有重要的支撑作用。对这些数据流通中的重要环节、关键辅助环节或主要运用场景中剩余控制权的配置，目的在于为数据流通各方提供必要的信息，以及为正式法上“责任规则”和“管制规则”的执行提供可靠依据，通过提供足够的激励以惩罚违约，达到诱致一种可信承诺的目的，从而促进数据流通各方进行合作。

（一）标准合同治理机制

无论从企业还是从个人角度探讨数据权益及其流通规则都是非常复杂的。一项共识是，要结合运用场景或在特定商业模式下来讨论，而不是抽象地谈论数据权益保护问题。海伦·尼森鲍姆率先在个人数据的收集问题上提出“场景公正理论”^［30］，但是面向具体运用场景对数据权益进行正式立法的成本太高，因此为有效平衡数据主体、数据控制者和政府之间的利益关系，可以采取由政府相关行业主管部门出台类似建筑工程承包合同一样的“通用条款+专用条款”的标准化合同方式，对数据流通中重要环节予以合理配置，从而达到规制数据流通秩序的目的。

譬如，《民法典》要求处理个人信息必须征得数据主体的同意，公开处理信息的规则，明示处理信息的目的、方式和范围。但在医疗数据、金融数据、电商数据、社交数据等不同的应用场景中，在数据主体、数据企业和公共利益平衡的前提下，“告知—同意”原则具体需要包含的条款之丰富且琐碎，既非理性的个人所愿意为之付出，亦会导致行业主管部门产生大量监管成本。如果一律由数据企业采用格式合同的方式进行“告知”，事实上将剩余决策权赋予了企业，必然产生通过格式合同限制数据主体合法权益的问题^［31］。其中“通用条款”由政府相关行业主管部门制定，实质是将部分剩余决策权配置交给政府相关行业主管部门，其中包括重要信息的披露条款、告知同意的程序条款等；而“专用条款”则可以由数据企业运用“格式条款”的方式与数据主体签订，实质是将部分剩余决策权配置给数据企业由市场机制来决定。通过“通用条款+专用条款”的剩余决策权组合配置，有助于阻却数据流通中的数据企业作为强者对剩余控制权的滥用，明确数据流通中不同运用场景中当事人之间某些具体的权利和义务关系内容，有利于整合数据主体和数据企业的福利，而且还可能降低行业主管部门的监管成本。

（二）企业数据隐私保护信誉机制

侥幸心理的存在，仅仅依靠侵权赔偿、行政罚款等事后救济手段并不一定能够产生促使企业保护个人信息或数据隐私的足够激励。在数据成为数字经济中的主要资源和生产要素的情形下，数据隐私、个人信息保护等问题已充分扩展至企业竞争维度。已有研究证实，信誉在网络交易中的价值不仅体现在提高销售概率上，同时也能够在拍卖中产生“信誉溢价”^［32］。所以，“隐私和个人信息保护可能成为市场主体的核心竞争力”^［33］。因此，构建数据企业泄露个人信息或侵犯个人隐私的信息披露机制，基于市场信誉的惩罚机制或许更具激励性。企业数据隐私保护信誉机制实质是一种监管信息的披露，是执行管制规则的重要辅助措施。当数据交易当事人之间获取对方真实信息的交易成本很高从而可能阻碍交易时，通过管制规则的设定将一定的剩余决策权配置给政府，政府运用信誉机制可以激励信息优势者提供真实信息以及信守合同，从而降低数据流通的交易成本。

但是，企业数据隐私保护的监管信息的披露规则需要相当精细的机制设计安排。首先，过于严厉的管制措施可能会引发受益人的道德风险问题——策略性敲诈行为。譬如，一项可以观察到的经验事实是，在消费性电子商务法律规定了无条件退货的规定后，很多消费者可能一次性购买很多类似的服装，选择结束后将不需要的服装再退货给电商。为降低这一规则给自己带来过高的交易成本，电商采取的一项机制设计是无条件退货需要购买人自己支付邮寄费。但确有极少数消费者采取不撕扯商标的方法，穿过一次甚至几次后再退回给电商，这是典型的过度管制或权利过度保护所导致的受益人道德风险问题。其次，企业数据隐私保护监管信息的披露是一柄双刃剑。一方面，不披露显然没有激励性，但是过于严厉或缺乏边际威慑的“一刀切”披露方式亦可能产生逆向选择效应，并不能实现激励相容的制度目标；另一方面，随意披露相应信息可能导致社会恐慌进而影响对政府管制不力的负面评价。因此，可以考虑依据数据企业故意、重大过失或一般过失的不同，设定分等级的披露制度，具体确定披露内容、披露方式和披露范围。

（三）技术标准治理机制

技术标准和法律规范从来都是维护社会秩序的重要行为准则，而数据服务和数据产品及其直接相关的算法和人工智能的技术标准已然成为影响责任规则和管制规则具体落实的基础。首先，技术标准聚焦数据服务和数据产品的源头环节，可以对服务和产品的安全性、合法性和伦理性提出要求。与法律规则倾向于通过事后治理提供必要的行为引导不同，技术标准旨在通过事前治理形塑数据流通及其大数据产业的发展方向。其次，技术标准可以作为数据服务和数据产品损害和缺陷认定的依据，有助于數据产品责任制度的构建^［34］。

当然，技术标准的制定和完善还存在标准的目标定位、标准的粗疏与细密，以及技术标准作为软法如何与硬法协同的问题。首先，应当根据法益保护的不同场景需求确立标准的目标定位。在法益保护需求更高之处，技术标准的目标定位应当更高。如涉及生命权、健康权等公民重大权益或国家安全、司法公正等重大法益的，数据服务和数据产品的技术标准可以“行业最佳标准”为基础进行制定。反之，如果只是一般性的数据服务和数据产品的流通和应用，则无需设置过高的标准。其次，技术标准的粗疏与细密问题。比例原则是对实现目的的手段具有必要性考量的基本原则，如果数据服务和数据产品的使用具有较强的法益要求，或者相关技术的使用已经形成共识，则技术标准应当更加细密一些；如果预计相关技术标准修订可能较为频繁，则技术标准可以相对粗疏一些。最后，准用性规范是作为软法的技术标准和作为硬法的法律规范在正式法律制度上的连接点。譬如《网络安全法》第10条的规定：“建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求……”换言之，在法律规则中引入针对特定主体或特定事项的准用性规范，可以转介技术标准的要求，从而实现对数据流通中数据服务与数据产品的精准治理。尤其在无人驾驶、人脸识别、智慧医疗、智慧基础设施等关系重大的应用场景，可以通过组合性地配置准用性规范，构筑“基础性立法＋技术标准”的“软硬法综合治理”体系^［35］。

（四）数据资产和数据侵权赔偿定价机制

目前存在两种常见的数据定价机制：一种是数据服务商或数据平台采取单位时间计价或持续折扣定价的方式提供数据服务或数据产品；另一种是数据交易平台根据数据质量、完整性、稀缺性等对数据集进行定价。由于对数据的了解和利用过程是重叠的，当事人对数据效用的大小事先无法完全知悉，数据价值对流通双方而言均存在不确定性。不仅如此，相对于传统要素资产的定价，数据资产还存在信息透明度低以及交易标的权属界定难、标准化程度低、场景依附性强等特点，数据的定价的确存在很大难度。正因为如此，由于数据价格披露机制尚未形成导致交易双方难以进行比价竞争，以及市场竞争不充分和信息不对称普遍存在，不仅常见的“报价—议价”方式无法充分发挥作用，而且“报价—议价”可能导致“价格失灵”。因此，引入客观、独立的第三方评估机构，为交易双方确定数据的公允市场价值成为促进数据流通的关键^［36］。

但任由第三机构完全自主定价依然存在上述评估定价的难题，而且第三方机构的加入还可能增加数据流通的交易成本，有必要由相关政府部门出台数据资产评估定价指导性规则。具体而言，可以规定估价机构应当充分考虑数据服务或数据产品类型和价格影响因素设计估价模型，同时明确估价应当遵循动态反馈机制，并要求数据评估作价模型及其详细说明应当上报相关政府部门审批或备案。不仅如此，社会数据应当进一步细分为原始数据集、脱敏数据集等数据集产品和模型化数据、AI化数据等数据服务产品；对前者的估价应当侧重评估数据集的完整性、一致性等质量指标以及隐私保护水平，对于后者则应当结合具体场景评估数据服务产品对于数据买方的效用和价值。

故，不宜强制性规定第三方评估机构做出的评估价格为数据交易价格，但该评估价格可为交易双方议价的基础。“一刀切”地要求数据交易中数据价格必须遵循第三方机构的评估价进行交易显然不利于充分展现市场机制在要素市场中的基础性地位，因此数据资产第三方评估价格的使用需要更加精细的机制设计。譬如：基本公共数据的流通免费，而非基本公共数据的流通则要求按照评估价执行；社会数据交易应当完善“报价—估价—议价”机制，可以以第三方评估机构的估价为基础，明确规定一定的价格浮动区间作为有效价格区间，由交易双方最后议定数据交易的成交价格。这样，可以在一定程度上制约第三方机构定价上的剩余决策权，从而形成政府指导性规则原则性控制结合第三方机构评估价和买卖双方议价的方式具体确定数据交易价格的定价机制。

参考文献：

［1］申卫星.数字权利体系再造：迈向隐私、信息与数据的差序格局［J］.政法论坛，2022（3）：89-102.

［2］王芳.关于数据要素市场化配置的十个问题［J］.图书与情报，2020（3）：9-13.

［3］周汉华.个人信息保护的法律定位［J］.法商研究，2020（3）：44-56.

［4］张莉.数据治理与数据安全［M］.北京：人民邮电出版社，2019：72-74.

［5］程啸.区块链技术视野下的数据权属问题［J］.现代法学，2020（2）：121-132.

［6］高富平.数据流通理论 数据资源权利配置的基础［J］.中外法学，2019（6）：1405-1424.

［7］祖强.机制设计理论与最优资源配置的实现：2007年诺贝尔经济学奖评析［J］.世界经济与政治论坛，2008（2）：83-87.

［8］杨力.论数据交易的立法倾斜性［J］.政治与法律，2021（12）：2-11.

［9］崔国斌.大数据有限排他权的基础理论［J］.法学研究，2019（5）：3-24.

［10］梅夏英.在分享和控制之间 数据保护的私法局限和公共秩序构建［J］.中外法学，2019（4）：845-870.

［11］王利明.论数据权益：以“权利束”为视角［J］.政治与法律，2022（7）：99-113.

［12］周斯佳.个人数据权与个人信息权关系的厘清［J］.华东政法大学学报，2020（2）：88-97.

［13］丁晓东.论企业数据权益的法律保护：基于数据法律性质的分析［J］.法律科学（西北政法大学学报），2020（2）：90-99.

［14］申卫星.论数据用益权［J］.中国社会科学，2020（11）：110-131，207.

［15］黄东东.征地补偿、制度变迁与交易成本［M］.北京：法律出版社，2016：147.

［16］袁庆明.新制度经济学的产权界定理论述评［J］.中南财经政法大学学报，2008（6）：25-30，142-143.

［17］约拉姆·巴泽尔.产权的经济分析［M］.费方域，段毅才，译.上海：格致出版社，1997：17.

［18］傅绍文，邓秋云.剩余控制权理论综述［J］.经济学动态，2004（11）：91-96.

［19］南希·弗雷泽.福柯论现代权力［M］//李静韬，译.汪民安.福柯的面孔.北京：文化艺术出版社，2001：141.

［20］凌斌.界权成本问题：科斯定理及其推论的澄清与反思［J］.中外法学，2010（1）：104-121.

［21］詹姆斯·布坎南.财产与自由［M］.韩旭，译.北京中国社会科学出版社，2002：2-3.

［22］戴昕.数据界权的关系进路［J］.中外法学，2021（6）：1561-1580.

［23］王锡锌.个人信息国家保护义务及展开［J］.中国法学，2021（1）：145-166.

［24］张维迎.信息、信任与法律［M］.北京：生活读书新知三联书店，2006：83.

［25］中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要［EB/OL］.（2021-03-13）. http：//www.gov.cn/xinwen/2021-03/13/content_5592681.htm.

［26］托马斯·格雷.美国法的形式主义与实用主义［M］.田雷，译.北京：法律出版社，2014：1-2.

［27］凌斌.法律救济的规则选择：财产规则、责任规则与卡梅框架的法律经济学重构［J］.中国法学，2012（6）：5-25.

［28］道格拉斯.C.诺斯.制度、制度变迁与经济绩效［M］.杭行，译.上海：格致出版社，上海三联书店，上海人民出版社，2008：8.

［29］汤姆·金斯伯格，汤姆·尤伦，李增刚.法律与经济发展：我们知道什么？我们不知道什么？［J］.制度經济学研究，2006（4）：1-18.

［30］丁晓东.论算法的法律规制［J］.中国社会科学，2020（12）：138-159，203.

［31］戴昕.数据隐私问题的维度扩展与议题转换：法律经济学视角［J］.交大法学，2019（1）：35-50.

［32］杨居正，张维迎，周黎安.信誉与管制的互补与替代：基于网上交易数据的实证研究［J］.管理世界，2008（7）：18-26.

［33］周汉华.探索激励相容的个人数据治理之道：中国个人信息保护法的立法方向［J］.法学研究，2018（2）： 3-23.

［34］张欣.我国人工智能技术标准的治理效能、路径反思与因应之道［J］.中国法律评论，2021（5）：79-93.

［35］蔡星月.人工智能的“标准之治”［J］.中国法律评论，2021（5）：94-103.

［36］黄倩倩，王建冬，陈东，等.超大规模数据要素市场体系下数据价格生成机制研究［J］.电子政务，2022（2）：21-30.

Residual control rights， mechanism design and

legal governance of data flow order

HUANG Dongdong， CHEN Yaxin

（School of Cyber Security and Information Law， Chongqing University of

Posts and Telecommunications， Chongqing 400065， P. R. China）

Abstract： Realistic rights cannot be defined completely in legal texts. There must be blanks， vagueness and even conflicts in the law as a social contract or a contract as a transaction between the parties. However， in the implementation of the law and the performance of the contract， will ultimately be determined by the party （not just the parties） who has the remaining control rights in the incomplete contract， so the degree of realization of the right is determined by the remaining control rights. Although the Civil Code clearly protects data rights as the object of civil rights to reduce the transaction cost of data circulation， it selectively sets aside the issue of further confirmation of data rights. When rights and interests of data cannot be clearly defined， or the cost of definition is too high， according to the requirements of mechanism design， the vague definition of legal rights can be made up to a certain extent through reasonable allocation of the remaining control rights in important links， key auxiliary links， or main application scenarios in the process of data circulation. Due to the constraints of decision-making information costs and the limitations of government incentives， it is impossible to allocate residual control rights perfectly through a formal system; and to clearly allocate a certain residual control rights to parties， third-party professional institutions， etc.， it is still hope that the market mechanism is a configuration that plays a fundamental role. Chinas current selection of rules on rights and interests of data protection and promotion of data flow has moved towards the combined mode of “liability rules + control rules”. Such as standard contract， enterprise data protection reputation mechanism， technical standards， data assets and data infringement compensation pricing mechanism， etc.， can be used to clarify some important allocation of residual control rights， support the implementation of relevant legal rules or making up for their deficiency. Here are some concrete examples related to the above. A standard contract can adopt a combination of “general terms + special terms”; the enterprise data privacy protection reputation mechanism can set up a hierarchical disclosure mechanism to specifically determine the disclosure content， disclosure method and disclosure scope; the formulation and improvement of technical standards should clarify the target positioning， roughness and detail of the standard， and how to coordinate with the hard law as a soft law; and the data assets and data infringement compensation evaluation made by a third-party evaluation agency should be the basis for bargaining between the transaction parties or court judgment， but it is not suitable to be compulsorily stipulated as the transaction price. This function similar to decentralized legislation can not only accumulate experience， but also reduce the cost of legislation and the social cost of legislative failure. Consequently， in the face of the system construction problem of how to manage the data flow， a realistic and feasible approach is to continuously improve the construction of data-related legal systems and supporting measures through the continuous accumulation of effective mechanism designs.

Key words：the data flow; residual control rights; mechanism design; incomplete contract; incentive compatibility

（責任编辑 胡志平）