摘要：我国法律尚未明确定义个人数据，其与个人信息只在应用场景中略有区别。作为一种新型生产要素，个人数据本身蕴含着巨大的商业价值。数据权利既是一项新型权利，也是一项越来越重要的权利，涉及多元权利主体，包含人格性的个人数据和财产性的数据资产。个人数据权利的保护，不仅要保证用户个人的数据安全，也要注重数据经营者的赋权与保护。当下，个人数据保护立法层面仍存在不足，如个人数据产权界定不清晰、个人数据市场交易缺乏有效规制、以知情权和选择权为代表的用户自主权在实践中被削弱等问题。对此，需要从立法规范层面对数据产权进行类别化规制，构建开放和公正的数据交易市场，完善不同场景下数据权利的保护举措，以达到个人数据保护与利用的平衡。

关键词：数据权利；数据产权；数据权益；数据交易

中图分类号：D923; D922.16" " " " 文献标识码：A" "文章编号：1003-8477（2024）06-0113-08

个人数据已成为影响社会进步、经济建设和个人权利的重要资源。大数据不仅涉及隐私保护和信息安全，更是民主权利和数字主权的重要体现。个人数据的合理处理和使用是实现数字环境下个体自主权的基础，也是国家数字基础设施的重要组成部分。确认和保护个人数据权利是构建公平、自由数字世界的前提，也是国际数字经济协作的核心。

一、个人数据权利的基本属性

我国法律尚未明确定义个人数据，其含义通常与个人信息相同，只是应用场景略有区别。个人数据包括能识别个人身份的各类信息，具有专有性、敏感性、可追溯性和跨界性等特征。[1]（p21）在互联网时代早期，民法仅将数据视为侵犯人格权的工具，但随着数据分析技术的进步，数据的商业价值得到认可，成为极具潜力的新资源。

（一）数据的个体属性

在信息科学和数据法学领域，个人数据通常指由观察或研究获得的事实和数字。在数字主权观念下，这一定义扩展到任何与个体直接或间接相关的信息，如姓名、住址、邮箱、电话、身份证号，以及位置、购物和社交媒体活动等个人行为数据。个体数据的属性与个人直接相关，主要包括：一是个人数据的识别性，它关系到隐私和身份安全，涉及姓名、社保号等可识别身份的信息。[2]（p35）二是个人数据的关联性，它能反映一个人的特点、喜好和行为，[3]（p92）如购物和社交数据显示的消费习惯有助于个性化服务和风险评估。三是数据的敏感性，涉及健康、性取向等私密信息。[4]（p246）四是数据的自主性，个人对自己数据拥有控制权，包括收集、使用和分享的同意，[5]（p82）体现了对个人隐私权的尊重。五是数据的流动性，指在法律和安全的允许下，个人信息的自由传播，[6]（p176）其中数据的价值和敏感度会随着时间和环境而变化。因此，数据保护不能只依靠固定规则，而应考虑数据的流动和动态特性。保护措施需考虑数据类型、处理者的角色、个人合理预期等多方面因素，同时随着技术的发展不断更新。[7]（p133）数据保护是一个持续的过程，需要管理数据的整个生命周期，包括定期检查数据和更新隐私政策。同时，个人对数据的控制权也应随着需求的变化而灵活调整。

（二）“权利束”视角下的数据权利

“权利束”意味着所有权不是单一的，而是包括使用权、收益权、处分权和防止侵权等多项权利的组合。考虑到个人数据权利包含人格权和衍生自数据的财产权等新型权利，“权利束”理论有助于对数据权利进行全面研究，其要求不仅要确认个人对数据的所有权，也需要明确数据的社会价值及其法律保护和限制。个人数据权利相当于一种特殊的权利束，涉及若干相互关联的关键权利：一是访问权，它保障人们能够检查个人数据的存储和使用情况，不仅有助于提升数据处理的透明度和信任度，也保证了合法性，且并不妨碍数据的商业利用和合理分享。[8]（p77）二是决定权，基于个人最适合保护自身利益这一前提赋予个人对数据的自我管理权，要求在数据使用前获得明确同意，并允许随时撤回或反对。三是更正权，个人有权要求更正不准确的数据，以保护自己的声誉和尊严。[9]（p150）四是删除权，个人有基于特定条件请求删除个人信息的权利，这一权利也被称作“被遗忘权”，其目的在于解决大量信息被互联网永久储存使人们逐渐失去对个人信息控制的问题，体现了对隐私和个人信息权的尊重。[10]（p140）五是限制处理权。在某些特定状况下，数据主体可要求管理者停止或限制对其信息的处理，适用情况包括数据主体对信息准确性有疑问、不同意处理但不想删除数据或直接反对处理。六是数据携带权。它允许个人将其信息以标准格式从一个服务转移到另一个服务，此权利增强了人们对自己数据的控制力度，并支持他们自由更换服务，增进了数字市场中的自主性和选择自由性。

在个人数据权利领域，“权利束”概念强调了权利结构的复杂性，并提供了处理数据权利多样性的框架。[11]（p90）这种思考方式有助于在特定情境下界定数据性质，为数据使用者明确如访问、更正和删除信息的权益。它还能让人们根据需求，选择性地利用这些权利，比如查看数据使用详情或阻止信息被进一步处理。同时，“权利束”还强调在不同权利间寻找平衡，如个人隐私与公共安全的权衡。在大数据和人工智能时代，这一方法提升了个人对数据的控制力和法律保护效力，确保技术变革中个人数据权利能获得实质性保障。但是，“权利束”理论的应用也面临着多种限制。首先，权利束中的各种权利不是孤立存在的，它们之间可能会产生冲突，从而削弱规范的稳定性和可预期性。[12]（p30）例如，个人隐私权的保护与言论自由的权利就可能发生冲突。此时，就需要进行细致地权衡和调整，以保证二者间能够达到合理的平衡。这就要求法律政策的制定者和执行者要有较高的判断能力和调整能力。其次，实践中较难的执行问题也不可忽视。技术限制、成本问题和法律执行力度不足，都有可能阻碍实际操作。比如，数据格式的标准化、系统间的互操作性等技术问题都会影响数据携带权的实现。再次，法律与技术的脱节也一直未被妥善解决。随着技术的快速发展，现有的法律框架往往难以及时适应新出现的数据处理方式，导致在新的数据环境中，个人数据权利束中的权利难以得到有效的应用和实施。因此，法律和技术标准的更新需要保持快速反应，并在适当的时候做出调整。最后，跨境数据流动带来的挑战。不同国家和地区对个人数据权利的认识和保护水平存在差异，导致个人数据权利的保护在跨境数据流动中变得更为复杂。在全球化背景下，国际合作与协调变得尤为重要，须确保个人数据的权利在不同司法管辖区都得到有效保护。

（三）数据权利和数据权益的关系辨析

个人数据保护通常由国家法律或者地区性的法律所规范，并根据不同法律法规的具体规定，个人数据保护可以分为不同的保护等级和程度。权益和权利的受保护程度存在一定差异。通常情况下，权益的内涵比权利更加广泛和模糊。在权利与利益的区分上，同时具备归属效能、排除效能和社会典型公开性的，为一种侵权法上的权利，反之则只能归于一种利益。[13]（p111）权利通常与具体法律或者合同相关联。个人数据保护不仅是一种权利，从《宪法》第38条“人格尊严不受侵犯”可抽象凝练出个人信息受保护权，并将其视为一项基本权利，需要得到高度保护。[14]（p17）个人数据保护是建立在保护个人基本权利基础之上的，以防范个人尊严、自由和平等利益因信息处理而受到侵犯。[15]（p113）

在权益方面，数据中的知识产权属于拥有者的权益范畴。个人数据保护涉及个人隐私权等方面的权益，而知识产权的运用则牵涉持有人的创造性、发明性等方面的权益。在权利方面，个人对于自己的个人数据享有控制权和决策权，有权决定是否分享个人数据及如何运用这些数据，以及禁止他人对自身隐私信息的非法访问。当然，也有学者提出，个人信息权益并非个人信息权或个人信息支配权，个人并没有个人信息的使用决定权，《个人信息保护法》也未建立非经同意不得使用个人数据的财产规则。数据知识产权的持有者，拥有对其知识产权的掌控权和经济利益的决策权，可以合法地对外出售或授权他人使用。因此，个人数据法律性质的界定，应充分兼顾个人数据保护与利用等法益的均衡发展，确保个人数据拥有广泛的内涵，具有更强的包容性，不仅考虑个人数据的保护，还需要考虑个人数据流动为促进数字经济发展带来的经济效益、社会效益等公共利益。

二、个人数据权利的价值重构

个人数据的经济价值在逐渐增长，并被积极开发。保护隐私的相关方法已不足以保障个人数据的财产权。在确保数据保护的同时，也应考虑数据经营者对个人数据合理使用的权益。

（一）个人数据权利配置的底层逻辑

制定个人数据权利法律的目标是确保数字经济的发展不侵犯个人权益，尤其是隐私权。法律应当平衡隐私权和公共利益，并确保数据处理与保护遵循必要性和比例性原则。同时，法律应保障个人对其数据的完全控制权，包括但不限于数据的访问、修改、删除和转移。当前，我国在个人数据财产保护方面的法律规范不够完善，用户与数据经营者的权益往往难以均衡。[16]（p156）用户应有权决定个人数据的收集与使用，并拒绝不当的数据处理。为了利用大数据分析预测未来趋势并促进社会福利，数据经营者也需要拥有适当的数据使用权，即在保护个人数据权利的同时，为数据处理机构确立财产权益的标准，[17]（p100）并平衡用户、数据经营者及公共利益。在分配数据权利时，应提升个人数据的使用效率，使社会财富最大化。在科学配置个人数据权利时，应考虑数据经营者的激励与用户隐私风险之间，以及数据使用最大化与生产激励之间的关系。有学者以竞争准则理论提出了科学配置个人数据权利应当考虑的两组关系：第一，数据经营者的生产激励与用户个人数据侵权风险之间的紧张关系；第二，数据经营者的生产激励与个人数据集束利用最大化之间的紧张关系。[18]（p103）此外，数据保护立法应提高透明度和问责机制，确保数据处理者提供明确信息并对处理行为负责。

个人数据既有隐私性也有财产价值，前者涉及个人独有的隐私权益，后者关联数据产出者的经济利益。数字时代下，数据不仅是保护个人隐私的关键，也是经济增长的重要资源。[19]（p89）因此，法律和政策应在维护隐私与促进数据流通之间找到平衡。这意味着既要确立严格的数据管理法规以保护个人隐私不被侵犯，同时也要鼓励数据的合理共享以支持科技和公共服务的进步。目前的数据保护法律过分强调了公共利益，却忽略了数据经营者的经济权益和个人数据的商业价值。在大数据时代，需要重新思考如何平衡用户的数据安全和数据经营者的利益，而不仅仅提供表面的数据“所有权”。在讨论数据所有权时，应该考虑如何在数字经济中合理分配资源，并重视个人的数据权利。在分配个人数据权利时，不能只关注最初的权利分配，而应考虑整个财产权的流转过程。要平衡数据使用者和数据经营者之间的关系，确保用户作为数据的原生产者享有适当的授权或交易权利，而数据经营者只有在获取初始数据后，才拥有对数据库和数据产品的授权使用权。

（二）个人数据人格化和财产化的双重价值

在管理个人数据时，必须平衡其身份价值和经济价值，确保个人对其数据拥有控制权，同时合理规范其商业用途。

数据初始权利配置就是为了构建数据流通利用秩序。[20]（p1416）传统观点认为，数据权利存在于数据之上，数据权利的主体应当归属于数据主体，即数据服务的用户。但是，积累起来的海量用户数据，也是社会财富的重要资源，将数据权利大幅偏向用户，可能会陷入单边保护的陷阱。由于数据权利是一种权利束，包含了人格性的个人数据和财产性的数据资产。用户作为初始数据的主体，具有人格化和财产化的双重价值，应当赋予用户人格权和财产权的双重权利。有学者对此作出细化，将其划分为个体对数据的自主决定权益（知情、拒绝、更正、删除）、信息安全与人格权益、[21]（p114）财产权益等。数据人格权类似于隐私权，需区分敏感个人信息和一般个人信息，在法律保护的严格程度上前者应严于后者。数据财产权则类似于所有权，用户可对其数据进行占有、使用、收益和处分。用户享有的数据财产权利因数据的类型与来源不同而存在较大的差异，并且受法律和有效协议的限制。用户所拥有的数据财产权与传统意义上的所有权相比，并没有所有权的绝对性，个人数据主体可授权数据处理者利用数据。在相关协议有效的前提下，用户和数据经营者在个人数据的财产权上并不互相排斥。

数据在流通与使用中体现其价值，国家政策通过“数据产权”理念来保障其安全。但在将个人数据商业化时，需遵循法律以保护隐私和个人权利。具体来说，合法、合理、透明的数据收集和使用是必需的，需征得数据拥有者的同意或有合法理由。企业须明确告知数据使用的方式和目的，并确保目标明确。同时，在数据商用时，企业要考虑数据拥有者的权益，采取措施防止数据泄露和滥用。[22]（p96）数据拥有者有权修改、删除或限制其数据的处理，甚至在某些情况下反对使用。跨境数据传输时，要确保数据在他国受到原产国同等的保护，并遵守国际协议及各地数据保护法规。在分配个人数据权利时，则应平衡个人与商业利益，保护不同参与方的合法权益，促进合规流通和高效使用，以实现最大化的价值和最小化的风险。

（三）个人数据的价值再创造

个人数据的重新利用能直接产生经济价值。数据所有权实际上是一种调节数据使用权益的机制，其价值在于使用而非拥有。[23]（p90）数据管理者通过收集和分析用户数据，生成有经济意义的信息资产，这是技术加工后的成果，也使得他们成为数据的生产者。[24]（p119）然而，如果这些经营者所依赖的数据权益仅源于用户授权，那么对他们的法律保护相对薄弱。为了保护数据经营者的权益并推动数据产业的发展，应建立对其有利的财产权制度。理论上，数据管理者的财产权可以分为数据经营权和数据资产权。国家已出台政策建立了数据资源持有、加工使用和产品经营等分离的产权机制，其重点在于使用权的流通而非所有权。[25]（p32）即为避免数据经营的过度竞争并确保数据安全，国家特别赋予了数据管理者经营数据产品的权利。

当数据管理者通过对数据的再加工创造出价值后，这些数据产品就具有了独立性，并形成了一种新的财产权——数据资产权。这种权利属于数据管理者，使其拥有对数据产品的完全控制，包括拥有、使用、加工、盈利和处理的权利，但这些权利不应超出用户授权的范围。数据资产权具有排他性，能让企业的数据财产有别于普通数据使用权，并保护其免受第三方的非法使用或窃取。[26]（p57）这种权利是促进数据产业发展的关键保障。然而，企业如果滥用这种独占权来最大化利益，而不是优化数据资源的使用，则可能会损害社会的整体福祉。因此，建议为数据管理者的独占使用设定时限，期限过后数据则进入公共领域。在设计数据资产权时，可适当引入工业产权的规则，鼓励数据流动、公共使用与再创造。[27]（p68）

三、个人数据权利保护的立法实践与困境

个人数据的快速增长和应用的扩展迫切要求立法来保护数据权利。法律旨在协调数据流通和个人隐私安全，从而既支持数字经济的发展也保护公民的信息权益。但实践中，相关立法遇到了多方面的挑战。

（一）个人数据权利保护的二元格局

我国数据安全法律体系由《数据安全法》《民法典》《网络安全法》和《个人信息保护法》构成，涵盖了数据安全的多个方面。《数据安全法》主要规范数据处理，旨在保护数据安全及促进其合理利用，同时保障个人和组织的权益，并维护国家利益。《民法典》则将个人数据权益分为人格权和财产权，在避免数据保护影响工作开展的同时，为数据保护提供法律依据。[28]（p8）《网络安全法》要求网络运营者确保网络安全，避免数据泄露和丢失，并明确数据安全包括数据的完整性、保密性和可用性。《个人信息保护法》强调数据处理活动的合法性、透明性和公正性，并增强个人对其数据的控制权，如在电商交易中，需要获得用户明确同意才能使用其个人信息。除此之外，还有一些细化了个人数据权利的具体规范性文件，如《互联网信息服务算法推荐管理规定》《网络安全审查办法》等。

地方的数据立法呈现出各自的特色和发展差异，不仅表现在法律内容和关注重点上，也体现在实际操作和创新方向的选择上。地方数据立法不仅是地方对中央政策的落实，也是地方政府在数据管理领域的尝试，有助于解决国家法律对地方特殊需求处理不足的问题。例如，《数据安全法》要求各地制定本地区和行业的关键数据目录并细化法律实施，对目录中的数据加强保护。地方在立法上有一定自主权，国家允许地方对某些法律条文进行试点。《浙江省数字经济促进条例》就是我国首部旨在推动数字经济发展的地方性法规，其明确了数字经济的定义，强调了数字技术在社会管理和公共服务提升中的作用，展现了地方立法的前瞻性和适应性，并推动了地方政府在数据管理领域的创新。自《数据安全法》实施后，山东、上海、深圳等地先后出台了相关地方条例，既规范了数据治理，又为数字化转型创立了包括数据开放和交易在内的创新机制。这些条例在总结本地经验的同时，也为国家层面的数据立法提供了经验。

（二）个人数据权利保护的立法难题

1.个人数据产权难以清晰界定

个人数据有着巨大的商业潜力，但我国的数据产权法律发展远落后于数据产业的增长。合理的所有权授予可解决市场失效问题，数据属于用户这一观点赋予了数据生产者合法权利。然而，过分偏向用户权益可能造成单边保护。从劳动价值的角度看，数据生产者理应拥有数据权。因此，需要将数据视为一种新型财产，确保数据生产者的权益优先。另一种观点认为，应将产权给予能最大化利用的一方以提升经济效率，即将数据产权划分给收集数据的企业，才能最大程度地提高数据利用效率，故应赋予数据控制者对数据的绝对所有权。但如果数据的主体和控制者分享数据权，则会因产权不明而导致法律关系混乱等问题。况且，基于企业为采集和管理数据而投入的巨大成本，其合法权利应当得到法律的认可，以激励其有效发挥数据的规模经济和范围经济。不清晰的数据产权界定，会导致掌握大量平台用户数据实际控制权的互联网企业野蛮生长。当前，凭借巨大的数据流量资源，我国互联网企业信息垄断现象愈演愈烈，引发了所谓“大数据杀熟”、威胁式收购和恶性竞争问题。部分互联网企业基于商业秘密和消费者保护的考量，限制数据流出，在一定程度上造成了数据对接与管理障碍。

2.个人数据市场交易缺乏有效规制

数据资源已成为重要的战略资源和生产要素，数据信息具有天然的流通需求。随着个人数据商业价值的不断攀升，越来越多的企业开始收集和使用个人数据，并通过交易获得收益。然而，我国个人数据交易和流通的法律规则不够完善，缺少明确的法律界定、权益归属以及交易过程中的合法性审核机制。当前关于数据市场的探索，也只是将数据产品与数据本身加以区别，只针对数据处理者研发的数据产品的定价、交易等市场机制进行探索。[29]（p27）虽然《个人信息保护法》《数据安全法》等法律对个人信息的收集、存储、使用等环节有相应规定，但是在数据交易层面，尚缺乏专门且细化的法律条款来规范市场行为，尤其是在数据交易中介机构的资质认证、交易行为的透明度、数据交易后的责任追究等方面的法律规制是不足的。由于缺乏有效的市场规制和监督机制，数据的买卖过程往往缺少必要的透明度和可追溯性，给数据的安全带来极大风险。市场主体在数据交易中往往过于追求经济利益，忽视了对个人数据权利的尊重和保护。此外，数据交易的复杂性和跨境性使得监管难度加大，相关的法律法规跟不上技术的发展和市场的需求，难以对数据买卖中可能出现的新型违法行为进行有效地法律制裁和道德约束。实践中，这些问题已经引发了一系列的社会问题和法律纠纷。数据交易市场的不透明和监管的缺失，不仅使得个人信息容易被滥用和泄露，也为不法分子提供了可乘之机，增加了数据安全事故的发生概率。Uber数据泄露事件就是个人数据交易缺乏有效规制的一个缩影。这类事件不仅损害了个人的隐私权和其他相关权益，也破坏了企业的品牌信誉，扰乱了市场秩序。

3.用户自主权的削弱：知情权与选择权的空洞化

我国个人数据保护制度虽已有一定的法律框架，但在具体实施和操作层面上仍存在明显缺陷。首先，个人数据的私密性、多样性和价值性提出了更高的法律要求。在数据收集过程中，法律规定的“告知—同意”程序很容易形式化，用户在实际操作中往往处于信息不对称的弱势地位，无法完全理解自己数据被收集、使用的后果，因此“胁迫同意”现象普遍存在。这种状况在各种在线和离线的应用场景中都很常见，用户的知情权和选择权被架空，个人数据的去向和使用目的缺乏足够的透明度。其次，随着互联网技术的飞速发展，个人数据跨境传输变得日益频繁，这就需要有共同的法律规则和协调机制，但目前国际上相关的专门性立法不足，有效的国际规则缺失，使得个人数据在全球范围内的保护面临巨大挑战。跨境数据流动的安全性、合法性和监管的可行性问题尚未得到妥善解决。再次，在大数据和算法驱动的商业模式下，网络平台对用户进行的“个性化推荐或营销”活动背后依赖的是对用户个人数据的深度挖掘和分析。这种精准画像可能带来侵犯个人隐私权和自主权的风险。尽管这种商业实践可以提升用户体验，但在缺乏有效监管的情况下，数据经营者可能超出了用户的预期和同意范围，进行过度收集、滥用甚至未经授权使用个人数据。最后，数据利益的驱动使得一些企业在用户不知情的情况下，对其个人数据进行整合、归纳和分析，以达到用户精准画像的效果，[30]（p90）这种做法是否侵犯了个人权益，当前法律尚无明确界定。用户对于自己的数据被用于何种程度的商业利用缺乏必要的知情权和控制权，数据保护法律的漏洞使得个人难以对自己的数据进行有效的自主管理。

四、个人数据权利保护的立法规范进路

（一）对数据产权进行类别化规制

1.明确数据产权的界定与分类

信息时代，数据是宝贵的资产，需要明确产权归属和分类，为立法提供依据。[31]（p10）个人数据既关系到隐私权，也具有经济价值。因此，数据产权的制定要平衡隐私保护和经济利用之间的关系。笔者认为，可将个人数据产权划分为三类：一是核心数据产权，保护个人敏感信息，如生物识别和医疗数据；二是基础数据产权，涉及姓名和联系方式等基本信息；三是衍生数据产权，包括购物习惯等加工信息。立法者应为这些类别制定不同保护措施，确保数据被合理使用，同时保护个人隐私。对于核心数据产权，法律应限定其处理的条件和范围，强调个人同意的必要性；对于基础数据产权和衍生数据产权，则可以通过制定明确的处理和使用规则，以及对使用权限的限制来实现保护。在制定相关立法时，还需考虑数据的动态性和随技术进步可能发生的变化，确保数据产权的界定与分类具备适应性和时效性。

2.明晰不同数据类别的权利界限

对数据产权进行类别化规制的具体措施应当依据数据的不同类别来建立相应的法律规范和实施细则，这需要从立法层面明确不同数据类别对应的权利界限和保护标准。

为确保对核心数据产权的保护，我们需设定严格的数据访问条件。这包括获取数据时必须得到数据所有者明确的同意，并确保他们完全了解数据的使用目的、范围及潜在风险。使用核心数据应限于必要且明确的目标，并进行详细界定。除非重新获得所有者的许可，否则使用数据不得超出原定目的。推崇采用最少必要原则，即仅处理达成目标所需的最少量数据。同时，需要配套实施高水平的安全措施，如使用加密技术来保护数据安全，并采取严格的访问控制，确保只有被授权人员能够访问数据，且违反数据权益的行为必须承担法律责任。在基础数据产权的保护方面，由于商业数据中含有大量用户信息，企业在利用数据创造经济价值时，不应损害用户的个人权益。[32]（p37）数据处理者要确保收集的个人数据准确无误，并负责对错误或过期信息进行更正，即数据处理者须在数据生命周期内设定清晰规则，比如确定数据保留期限，并在期限结束后自动删除数据，或在数据主体撤回同意时清除数据。此外，数据处理者在收集数据前需明确告知数据的收集、使用及共享目的、方式和范围，并通过隐私政策和用户协议让数据主体在提供个人信息前充分知悉数据的用途。对于衍生数据产权，应采用匿名化技术去除数据中的个人身份信息。同时，通过数据使用报告，让个人了解其数据的收集目的、使用情况和共享对象。此外，还可考虑使用区块链等技术追踪数据的使用情况，以及完善知情同意机制，让个人可根据不同场景选择是否同意使用数据，并可定期修改选择。

（二）构建开放和公正的数据交易市场

搭建数据交易市场的法律架构首先要确立数据交易的基本原则和规范。这包括数据所有权的归属、交易双方的权利和义务、数据的分类与分级管理，以及数据交易的透明度和公平性。在这些原则的指导下，法律架构应包括以下关键要素：第一，数据主权及归属认定。立法应界定个人数据的产权归属，保障数据主体对其个人数据具有基本控制权，确保数据主体在数据市场中的权利能得到认可和保护。第二，数据交易许可体系。即建立一套数据交易许可的制度，规定哪些数据可以交易以及如何交易。比如敏感数据的交易可能需要更严格的审查和更高的交易条件，而非敏感数据的交易则可适用较为宽松的规则。第三，交易双方的责任与义务。交易双方的责任与义务规定需包括数据提供者必须保证数据的真实性、合法性，数据买家应遵守数据使用范围、目的等限制，并对数据的进一步使用负责。第四，数据隐私保护和安全保障。应当建立数据源头收集的许可制度，构建以数据生命周期为核心的制度。[33]（p1170）法律架构中还应包含强制性的隐私保护措施，如数据处理前的匿名化处理等，以确保数据在传输和存储过程中的安全性。第五，违约和纠纷解决机制。通过建立明确的违约责任规定和纠纷解决机制来处理数据交易可能出现的违规行为和纠纷，保护交易各方的合法权益。

（三）完善不同场景下数据权利的保护举措

数字化时代，个人数据的收集和使用见诸生活的各个领域，其中一些特定场景由于其数据敏感性或使用方式的特殊性，需要采取严格的数据权利保护措施。[34]（p59）结合我国现实国情，针对特定场景中的个人数据权利保护，可采取如下措施：第一，在医疗领域，患者的健康数据是极其敏感的个人信息，法律必须明确这些数据只能用于改进医疗服务，严禁用于未授权的商业利益、数据挖掘等无关活动。违规使用者将受到法律制裁。同时，医疗信息需通过高级别安全系统加以保护，严格控制数据访问权限，确保仅医疗人员在必要时才能查看。访问健康数据时，需要严格的身份验证和明确记录以便审查。存储和传输时，应使用高强度加密手段保证数据安全。同时，建立完善的数据生命周期管理，确保从生成到销毁的每个阶段都有严格规范。第二，在金融领域，法律应确立，强制金融机构对客户资料实行顶级保密措施，包括高级端到端加密和多重身份验证。同时，定期由独立第三方进行安全审计，以保持安全措施的更新和有效性。在推动技术创新服务的同时，金融机构要注意保护用户隐私，防止数据误用。第三，在社交媒体领域，立法应强制社交平台公开透明地说明数据收集的细节，包括目的、使用方式、存储期限和方法。同时，用户应能便捷地管理自己的数据，包括访问、编辑、删除或导出，以及设置信息共享偏好等。法律须确保平台提供必要工具让用户控制隐私，如定期隐私设置提醒和提供易懂的隐私保护指引。社交媒体要采用数据最小化原则，仅收集必需数据，并采取措施保护数据安全，如违反数据协议，社交媒体需承担法律责任。

五、结语

随着数字化进程的加速，个体对数据的自主管理和数据在全球的自由流通变得尤为重要。数据不仅是经济增长的重要资源，其全球流通性也对价值实现有显著影响。[35]（p140）个人数据既是资产也涉及权利，若仅关注其经济性，可能会忽视公平分配和尊严保护等核心价值。[36]（p121）因此，确立数据权属并规范各方行为至关重要。然而，若单方面强调过严的保护措施或忽视信息处理者的责任，则会导致高昂的治理成本和效率低下。正确的做法是平衡二者之间的关系。在法律层面，《数据安全法》《民法典》《网络安全法》《个人信息保护法》等法规为保护个人数据提供了依据，地方也陆续通过立法的形式对个人数据加以保护。尽管立法进行了跟进，数字化依旧带来了新挑战，仍需更精细的法规和伦理指导原则来确保决策的公正、透明和可追溯。中国愿与各国共享信息革命的机遇，共创数字合作新局面，因此在国际层面，个人数据权利的合作与立法将是关键，尤其在处理跨境数据流动时，需协调各国法律以保障个人数据的安全流通。

参考文献：

[1]王利明.和而不同：隐私权与个人信息的规则界分和适用[J].法学评论，2021，（2）.

[2]管荣齐.论数据保护的法律边界[J].知识产权，2023，（11）.

[3]周斯佳.个人数据权与个人信息权关系的厘清[J].华东政法大学学报，2020，（2）.

[4]胡文涛.我国个人敏感信息界定之构想[J].中国法学，2018，（5）.

[5]程啸.个人数据授权机制的民法阐释[J].政法论坛，2023，（6）.

[6]夏志强，闫星宇.作为漂流资源的个人数据权属分置设计[J].中国社会科学，2023，（4）.

[7]许可.论个人数据权利的堆叠规范[J].法学评论，2023，（5）.

[8]王洪亮，叶翔.数据访问权的构造——数据流通实现路径的再思考[J].社会科学研究，2023，（1）.

[9]叶名怡.论个人信息权的基本范畴[J].清华法学，2018，（5）.

[10]陈娜，王璇.被遗忘权法律保护研究[J].湖北社会科学，2016，（12）.

[11]许可.数据权利：范式统合与规范分殊[J].政法论坛，2021，（4）.

[12]许可.从权利束迈向权利块：数据三权分置的反思与重构[J].中国法律评论，2023，（2）.

[13]于飞.侵权法中权利与利益的区分方法[J].法学研究，2011，（4）.

[14]王锡锌，彭錞.个人信息保护法律体系的宪法基础[J].清华法学，2021，（3）.

[15]刘权.个人信息保护的权利化分歧及其化解[J].中国法律评论，2022，（6）.

[16]张新宝.论作为新型财产权的数据财产权[J].中国社会科学，2023，（4）.

[17]袁文全，程海玲.企业数据财产权益规则研究[J].社会科学，2021，（10）.

[18]黄锫.大数据时代个人数据权属的配置规则[J].法学杂志，2021，（1）.

[19]彭诚信.论个人信息的双重法律属性[J].清华法学，2021，（6）.

[20]高富平.数据流通理论" 数据资源权利配置的基础[J].中外法学，2019，（6）.

[21]程啸.论大数据时代的个人数据权利[J].中国社会科学，2018，（3）.

[22]张倩雯.数据跨境流动之国际投资协定例外条款的规制[J].法学，2021，（5）.

[23]于施洋，王建东，黄倩倩.论数据要素市场[M].北京：人民出版社，2023.

[24]姚佳.企业数据的利用准则[J].清华法学，2019，（3）.

[25]高富平.数据持有者的权利配置——数据产权结构性分置的法律实现[J].比较法研究，2023，（3）.

[26]龙卫球.再论企业数据保护的财产权化路径[J].东方法学，2018，（3）.

[27]龙卫球.数据新型财产权构建及其体系研究[J].政法论坛，2017，（4）.

[28]季卫东.数据保护权的多维视角[J].政治与法律，2021，（10）.

[29]黄倩倩，王建冬，陈东，等.超大规模数据要素市场体系下数据价格生成机制研究[J].电子政务，2022，（2）.

[30]丁晓东.用户画像、个性化推荐与个人信息保护[J].环球法律评论，2019，（5）.

[31]王轶.民法典编纂争议问题的类型区分[J].清华法学，2020，（3）.

[32]冯晓青.知识产权视野下商业数据保护研究[J].比较法研究，2022，（5）.

[33]范江波.以个人数据权益保护为核心的大数据权益保护研究[J].信息安全研究，2021，（12）.

[34]张涛.个人信息保护的整体性治理：立法、行政与司法的协同[J].电子政务，2023，（6）.

[35]梅傲，张涵鑫.从SCCs到IDTA：欧洲个人数据跨境传输规则调整及中国应对[J].中国行政管理，2023，（2）.

[36]申卫星，李夏旭.个人数据所有权的赋权逻辑与制度展开[J].法学评论，2023，（5）.

责任编辑" "王" "京