内容提要:数据来源者与数据处理者作为数据生成过程中最主要两类主体,二者之间的权利义务关系构成数据产权配置的逻辑起点。从权利维度观察,其数据权益配置呈现出对数权与对人权的双层结构。数据来源者对原创数据、操作数据等享有持有、使用、收益、处分的对数权,是数据来源者的一阶权利,同时配备向数据处理者主张获取或复制转移数据的对人权作为二阶权利。数据处理者通过持有权、使用权、经营权三权分置实现各类数据利用场景的权能组合配置,达至不同维度内对数据的利用支配,并以平行持有下的内部关系调和权能冲突。从义务维度观察,数据处理者对数据来源者负有协助义务及保障、克制义务,同时数据来源者对数据处理者、数据处理者之间互相负有不破坏和不恶意竞争的义务。
一、引言:议题的界定及其意义
数据作为现代数字经济的核心生产要素,其生成与流转涉及多方主体。其中,提供数据的来源者与对数据实施采集、存储、传输、加工、分析、融合等处理行为的各类数据处理者,构成数据生成过程中最为重要的两类主体。《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(下称“数据二十条”)第(七)条明确规定,要“充分保护数据来源者合法权益,推动基于知情同意或存在法定事由的数据流通使用模式,保障数据来源者享有获取或复制转移由其促成产生数据的权益。合理保护数据处理者对依法依规持有的数据进行自主管控的权益”。深入理解这段表述,并对数据来源者与数据处理者之间的权利义务合理界定,是数据产权配置的逻辑起点。
数据来源者与数据处理者在数据生成中的非对称性贡献,决定了数据权益价值分配的复杂性。一方面,数据来源者与数据处理者在贡献要素上存在异质特点。数据来源者作为数据生成链条的初始供给者,以信息提供、数字劳动、行为活动等方式开启了数据资源化、要素化过程。在此基础上,数据处理者作为数据生命周期的最主要赋能者,依托技术、资本、知识等实施数据处理活动,实现数据要素化、资产化与价值化。这种数据生成过程的共生共创突破了传统产权的“排他赋权”模式,使“关系要素”与“治理要素”成为产权配置中的重要特征。另一方面,数据来源者与数据处理者在贡献比例上存在动态性。伴随数据生命周期的动态延展,数据处理者的贡献量在数据衍生的进程中逐渐得以提升,而数据来源者的贡献量则相对稳定。为回应、激励数据处理者在数据增值与价值释放中的投入,适应数据在不同阶段的动态变化与价值增值,产权配置也相应存在动态性与层次性。
基于这种“非排他赋权”与“动态赋权”,数据来源者与数据处理者的权利呈现出“对数权—对人权”的双层构造。对数权乃是沿袭传统财产权的支配权内核,双方依贡献度分别享有对数据持有、使用、收益处分等自主管控的权能。同时,两方在数据产权内部还存在一定张力关系,进而形成对人权,“数据持有者在面对不同的相对方时,其享有的权利样态不尽相同”。这既体现为数据来源者与数据处理者行权的“非排他性”,两者针对同一数据平行享有特定的数据权能,互不干扰、互不排斥,也体现为二者对另一些数据权能的分配存在差异性与层次性。
对数据来源者与数据处理者权利义务关系的讨论,要充分重视其“对数性”与“对人性”并重的二象性。当前对数据来源者权的学术讨论仅关注其作为“对人权”的获取权与复制转移权,忽略了其“对数权”的内容;而对数据处理者权利的学术讨论只着眼于其“对数权”,从而引发了“赋予企业数据专有权还会造成干扰经营自由和竞争自由的,以及阻碍其他依赖存量数据的市场参与者进行经营活动的风险”等误解。为澄清争议,体系性构建数据来源者与数据处理者的权益边界,本文以数据来源者和数据处理者的权利义务关系为研究起点,剖析二者在数据采集生成阶段形成的对数权、对人权以及相应的义务体系,以期为构建我国数据产权制度提供规范基点与理论支撑。
二、数据来源者和数据处理者法律关系的确立
准确理解数据来源者和数据处理者的内涵,厘清二者法律关系的私权财产法属性,是判定两方产权配置逻辑与权利义务性质的前提。特别是界定“数据来源者”与“信息来源者”的内涵,直接关涉将数据来源者纳入数据产权配置体系的正当性,也是确定数据来源者利益分配比例的逻辑基点。
(一)“数据来源者/数据处理者”关系的财产法属性
规范术语不是对现实世界的简单描述,而是对现实世界中存在的不同社会关系的建构和抽象。“数据来源者/数据处理者”作为数据产权制度下设的主体概念,应当与个人信息保护法、著作权法等层面的“信息来源者/信息处理者”关系相区分,明确其财产权主体属性而非人格权主体属性。
首先,数据来源者与数据处理者法律关系的核心使命,在于确立数据作为生产要素在价值释放过程中的分配主体地位——这一制度定位根本区别于个人信息保护法、著作权法所确立的“信息来源者/信息处理者”之间的法律关系。数据与信息同源异质,数据是信息的物理载体,信息则是载体所承载的语义内容。二者恰如书本与作品之关系:书本承载作品,但非作品本身;数据负载信息,却不等同于信息。当前学界多有观点将数据与信息混淆,从而将数据来源者与信息来源者等同。这种论断完全忽视了数据独立于信息的生产要素价值:信息无法作为生产要素进行流转,数据却天然具有高效复用、多链条流转的优势。创设数据产权,目的在于明确数据独立处分的法律地位,通过赋权数据来源者与数据处理者鼓励数据创造与复用流通,打破数据孤岛,促进数据的复用共享与市场化配置,实现“以确权促保护,以保护促流通”。反之,如果数据保护局限于保护被采集者的信息自决权、知情权或是人格利益框架内,将“数据来源者/数据处理者”的概念等同于《个人信息保护法》中的“信息来源者/信息处理者”,就必然会使“生产导向”的数据权益配置与以“保护导向”的个人信息保护制度难以调和,两盘皆输。正是为了回应“信息—数据”一体化的误解,国家数据局2025年3月公布的《数据领域常用名词解释(第二批)》中明确数据产权“是指权利人对特定数据享有的财产性权利”,从而强化了我国《民法典》第127条的“数据财产权利”与第111条“信息人格权益”分立的立场。
其次,构成数据来源者与数据处理者法律关系的关键在于“主体贡献”而非“主体身份”。不同于信息来源者与信息处理者以“信息的可识别性”作为权利义务关系的基础,数据来源者与数据处理以数据生成过程的投入贡献作为认定权利义务关系的依据。申言之,信息的本质在于消除不确定性,个人信息权益受保护性建立在主体可识别基础之上:在人格权领域,个人信息的保护边界取决于其与特定主体的可识别可关联。一旦信息丧失识别性,就不再存在信息来源者与信息处理者这一对概念。
然而,数据规模性及机器可读性赋予了多源数据在清洗、标注、加工、分析、融合基础上产生新的经济价值与社会价值的动力。一方面,数据价值生成在于“规模”而非“精确”,数据价值释放注重“相关性”而非“因果性”,这意味着数据财产的价值性来源于海量数据的聚合分析而非单一信息的精准识别,原信息密度大幅降低,“可识别性”在数据赋权中不再居于重要地位。
另一方面,在区分被动观察对象与数据生成活动参与主体基础上,数据来源者与数据处理者均需对数据生成存在主动贡献。欧盟《数据法案》(Data Act)的立法者在序言第15条中强调,“使用互联产品或相关服务产生的数据应理解为包括有意记录的数据或用户行为间接产生的数据,如有关互联产品环境或交互的数据。”美国法学会—欧洲法学会《数据经济原则》(ALI-ELI Principles for a Data Economy)同样选择以贡献量作为数据权利的赋权逻辑,并具体设定了贡献类型。“贡献赋权”侧重主体基于技术、资本、信息、知识等对数据生成的实质性推动作用。基于此,数据来源者应被理解为:在数据生成过程中,未直接开展数据处理活动,但通过主动行为促成数据从无到有产生的主体。其通常通过数字劳动、行为活动或提供信息等方式,为数据的采集和生成提供必要的素材与资源。相反,如果某一主体仅作为被动观察对象或信息载体存在——例如在采集道路交通环境数据的过程中,涉及的建筑物、车辆、个人等——则可能被视为信息来源者,但不属于数据来源者的范畴。我国“数据二十条”第(七)条“保障数据来源者享有获取或复制转移由其促成产生数据的权益”,亦通过“促成”表达了数据来源者须具有行为主动性的含义。
典型的数据来源者包括三类主体。一是网络平台的个人用户,如电商购物平台用户在平台上的浏览记录、搜索记录、购买记录等形成的数据以及创作的评论、图片等数据,是基于用户的个体网络操作或创造而产生,平台用户即为数据来源者。二是入驻网络平台的店铺商户,如商户在平台上开展线上经营产生了店铺运营数据,这些数据因商户开展经营活动产生,由商户授权电商平台采集,商户则是运营数据的来源者。三是物联网设备的使用者,如用户购买了智能手表,并授权智能手表运营商采集和存储用户的位置记录、健康数据等,这些数据基于用户的个人活动和记录行为产生,用户是数据来源者;又如,制造企业购买了生产商的设备,并授权生产商远程采集设备运行数据,提供远程运维服务,这些数据因制造企业经营活动产生,制造企业即为数据来源者。
最后,在数字经济加速发展的当下,数据来源者与数据处理者是基于数据作为新型生产要素这一生产力革新建构的规范概念,无论从数据本身的价值生成机制、数据产权的调整对象还是从界定权利主体的价值导向来看,数据来源者与数据处理者的法律关系均需遵循“从身份到贡献”予以构建。数据处理者是指自主决定数据处理目的与方式,并通过持续投入劳动、资本与技术,将原始数据转化为数据资源、衍生数据、数据产品或数据服务的主体。凭借技术、资本与经营优势,数据处理者自动化采集多源数据,并将其结构化、标准化,从而拓展原始数据的应用场景。与数据来源者需“主动行为”相同,数据处理者通过“自主决定处理目的”表明其主动参与数据生成创造的意愿与能力。反之受托处理者既无意愿也无激励参与数据价值创造活动,不属于数据产权制度中的数据处理者。在数据生命周期中,数据处理者涵盖数据采集者、加工者与经营者等。因贡献阶段与程度各异,其产权配置的方式与强度亦相应有别。两者的主体地位以主动参与数据生成过程中的价值创造为基准,相应权利义务关系的形成也践行“有贡献必有回报”的原则。唯有明晰了这一基本前提,才能真正开启数据来源者与数据处理者产权的合理配置,具体架构两者的产权强度与行为限度。
(二)数据来源者/数据处理者的私法主体属性
学界有观点认为,公权力机关收集个人或企业数据也应评价为数据处理者从数据来源者处取得数据的行为。然而,数据产权的私法定性,决定了数据来源者与数据处理者之间的数据生成创造应发生于民事法律关系框架内。数据来源者与数据处理者共同生成数据,在性质上属于特殊的“融合共创”,其采集与被采集的交互行为须以民事授权为基础。我国《网络数据安全管理条例》第25条同样明确,数据来源者行使访问权和复制转移权利需基于采集的数据是本人同意提供的或者基于合同收集的个人数据。
相反,公共部门基于履行职责需求向自然人、法人或非法人组织采集数据的,性质上属于公法关系。在此情形下,公共部门并非数据产权意义上的数据处理者,相应被采集主体也不构成数据来源者。一方面,从公权力机关处理数据的合法性基础看,公权力机关因法律赋予的公共管理权力而采集数据,而非被采集方自愿加入数据采集活动、从而共同开展数据生成创造活动。正因为公权力机关基于公共利益享有数据处理“权力”,因此不论是我国《个人信息保护法》第33条至第35条还是《数据安全法》第37条至第43条,都对公权力机关的采集使用条件、程序作出特别规定,非授权同意规则所能涵盖。另一方面,公权力机关也无法“自行决定”数据处理目的与方式,是否采集数据、用于何种目的均需依赖于法律的在先授权。基于此,在基于公法要求的数据采集行为中,无法认定被采集者与采集者对数据生产具有主动贡献,也就无法以“有贡献必有回报”为由分配数据权益。公权力机关采集的数据是其在依法履职过程中产生的公共数据,公权机关不得依市场价格规律展开数据许可交易、融资担保等经营活动,而应当根据公共数据的性质依法开放或共享,以促进公共利益的实现,否则就违反了“取数于民,用数于民”的基本立场。
从比较法视角看,欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR)第2条第2项以及第20条“可携带权”的解释(Recital 68)中均强调,“该权利不应针对在履行公共职责时处理个人数据的控制者行使”。这一立场也在欧盟2023年通过的《数据法案》第1条中得以延续。2020年修订的新加坡《个人数据保护法》(Personal Data Protection Act)第4条第1款也规定,对访问权、可携带权的规定不对公共机关施加义务。由此可见,比较法也普遍支持将数据来源者和数据处理者之间的权利义务定义为私法权利义务的主张。
总而言之,法律关系的性质为私法上的财产权法律关系,因而排除公法上的数据处理引发的法律关系,也排除在私主体间基于(个人)信息产生的人格权法律关系。数据来源者/数据处理者的权利义务关系也基于此而建构。
三、数据来源者权利的二阶结构
数据来源者的权利配置既应包括指向数据本体的权利所呈现的“对数性”,亦应重视其基于交互关系产生的内部权利义务的“对人性”。特别于数据来源者而言,不能因其未直接存储、持有数据而削弱其产权主体地位;相反,更需通过强化其对数据处理者的“对人权”以补足其“对数权”的产权效力。因此,在确认数据来源者享有对数权,从而享有行使持有、使用、经营等权能前提下,特别考虑原始数据实际由处理者管控这一现实,应赋予其获取权与复制转移权作为二阶权利,以便向处理者主张实际持有或向第三人转移数据副本,补足对数权的“持有权能”缺口。概言之,数据来源者的一阶权利是对数权,也是真正意义上的数据产权,数据来源者的二阶权利是实现数据产权的对人权,本质是工具权利而非本体权利。
(一)数据来源者二阶权利的内涵及关系
就数据来源者是仅享有获取或复制转移权这一对人权,还是与数据处理者一样,享有数据产权意义上的持有权、使用权、经营权(收益、处分权能),学界存有分歧。有观点认为,数据处理者相比于数据来源者是数据的价值创造者,因此应当优先赋予数据处理者以初始权利,而数据来源者仅享有非排他性的数据复制与转移权。亦有学者进一步认为,数据处理者享有支配和控制所生成数据的权利,而数据来源者享有的则是防御权和请求权。
将数据来源者权简化为一种请求权,而数据处理者仅负有提供便利的义务,实有“矮化”数据来源者权之嫌。从法理看,请求权必有其基础的法律关系。在有体物世界中,物上请求权源于物权的支配本性,“即物权人于其物权被侵害或有被侵害之虞时,得请求恢复圆满状态的权利”。而在数据产权制度中,数据来源者之所以有权向数据处理者主张获取或复制转移数据,也须以数据来源者对数据享有本体权利作为请求权基础,否则获取权与复制转移权就会处于“悬浮”状态。
申言之,基于数据来源者未现实持有数据而否定数据来源者的对数权,实则是混淆了事实层面的“持有状态”与规范层面的“持有权能”。持有权能作为法律保障的应然权益,其存在根基在于数据来源者对数据生成的实质贡献,而非物理控制能力。持有权能不仅指向实际持有数据的合法状态,更包括基于自身意志使第三方持有数据的能力。因此,以“持有状态缺失”反推“持有权能缺失”,系典型的倒果为因的逻辑谬误。“数据二十条”第(七)条的规定即已表明,如果数据来源者不具有直接持有数据的技术优势,可以通过额外赋予获取或复制转移权的方式,由数据处理者协助其实现数据产权。
综上所述,数据来源者是否享有数据产权并不以数据来源者是否处于数据持有状态作为判断依据。在认定其对数据生成具有实质贡献前提下,数据来源者与数据处理者应等同视之,承认其享有持有、使用、收益、处分等财产性权能,这既是数据来源者的一阶权利,也是其本体权利。在此基础上,获取权或复制转移权作为数据来源者权的工具权利,具有辅助性、二阶性的特点。特别是在数据来源者仅期望“以数据换给付”时,可以直接行使对数权,而不需要获取权或复制转移权作为权利实现的前置要件。从这点而言,亦可辨明对数权的本体性、基础性地位。
(二)数据来源者的对数权
数据来源者的对数权是数据来源者权的核心,直接决定了对数据进行获取或复制转移权的内容和效力。然而,数据来源者对哪些数据享有何种权利,其与“数据二十条”提出的数据资源持有权、数据加工使用权、数据产品经营权是何关系,却一直存在规范模糊与认知混淆。
1.数据来源者对数权的性质
对于数据来源者权的性质,有观点将“数据二十条”中的数据资源持有权理解为数据来源者的数据产权,而将数据加工使用权与数据产品经营权作为数据处理者享有的数据产权。实践中也有类似判决,如在有的案件中,法院指出,宏某公司属于数据来源者,对出厂价享有数据资源持有权。针对此项数据,钢某公司进行了采集、加工、使用,属于数据处理者,行使了数据加工使用权。笔者认为,数据资源持有权不足以概括数据来源者对数据的全部权能。
欲理解数据产权的配置逻辑,必先实现数据来源者权与数据处理者权的两权分离,方能在此基础上展开“三权分置”。“两权分离”旨在确定来源者与处理者这两个最主要数据贡献方的权界基础,“三权分置”则在数据处理者权的框架内,通过对数据处理者的数上权能进行场景化切分,形成适应数据高效复用的结构性分置范式。从国家数据局公布的《数据领域常用名词解释(第二批)》来看,持有权、使用权、经营权的新结构性分置模式在承继“数据二十条”数据资源持有权、数据加工使用权与数据产品经营权的内核基础上,为响应数据处理者在不同处理环节的商业化利用需求,通过数据权利束分割实现“权能分离”,基于数据产业链、供应链运行需求,对“三权”进行模块化整合和结构性分置,从而遵循了平衡数据保护和利用的运行逻辑。概言之,所谓数据产权三权分置是结合不同数据应用场景将数据三权进行组合的配置。正因如此,数据来源者权应当单独建构,其既不应纳入三权中任一模块,亦无需机械叠加三权构成所谓“总和权利”。数据来源者的对数权应被定位为整体性数据产权——其权能无限趋近直至达到所有权模式,除典型持有、使用、收益、处分权能外,其主要价值在于授权处理者合法处理数据并获取合理对价,同时凡数据衍生的合法利益均属其对数权的辐射范围,且得对抗第三人侵害主张数据产权救济。
2.数据来源者对数权的范围
数据产权的分配以各方对数据生成的贡献度为基础。鉴于数据价值创造具有动态延展性,数据来源者的贡献主要集中于原始数据阶段;而进入数据要素化过程后,则由数据处理者实现数据增值并释放其价值。因此,数据来源者的对数权范围应主要限定于原始数据层面,其典型形态即为原创数据与操作数据。
依据是否具备价值创造潜力及可供社会化生产的标准,数据可区分为原始数据与要素数据。原始数据是指对输入信息的直接电子化记录,是由技术设备在源头采集、未经加工处理的初始形态。作为所有数据要素的起点,原始数据是信息存储的根基。若无原始数据,后续的加工处理便如“无源之水、无本之木”。然而,原始数据形态也存在杂乱、无序的情况,具有非结构化、非标准化的特征。因此,正如原油需经开采、清理和加工才能成为可用的石油,河流水源必须经过蒸馏和提纯才能装瓶销售,原始数据也只有在经过清洗、加工和聚合转化为数据资源(即数据要素的初级形态)之后,其价值和流通能力才能得到显著提升。
数据来源者主要参与原始数据生成阶段的价值创造,决定了在数据的动态价值链中,数据来源者更多参与原始数据的价值分配,而对以此为基础清洗、加工、基于算法技术形成的衍生数据、数据产品带来的收益不享有财产权。由此,“法律赋予个人数据主体收益权,意味着数据企业在处理数据并形成数据产品时,需要向海量的个人数据主体支付其应得之财产收益,从而阻碍数据流通利用活动的开展”等反对向个人赋予对数权的担忧也就能够迎刃而解。
现实生活中,原始数据与数据资源的界限并非绝对清晰。当数据来源者生成的原始数据本身就是半结构化乃至已经结构化的数据时,数据处理者只需要付出微量的劳动便可以形成数据资源。此时衡量双方的贡献程度,应当承认数据来源者对这些仅预处理的数据资源享有对数权。对此类数据,欧盟《数据法案》称之为“现成可用的数据”(readily available data),即数据持有者只需简单操作,无需付出不相称的努力即可获得的产品数据和相关服务数据,而高度丰富的数据或需要通过额外投入如复杂算法获得的数据不为“现成可用的数据”。具体而言,其主要包括两种数据类型:一是原创数据,二是操作数据。
所谓原创数据,即数据来源者完全提供了数据的信息来源,其信息直接被数据处理者转化为电子记录的数据类型,如平台用户在平台上创作的评论、图片等。这些原创性数据之所以具有使用价值和交换价值,本质上依赖于数据来源者向数据处理者主动提供信息的行为,而数据处理者只是依据通用的数据生成规则予以记录。从经济角度观察,应赋予数据来源者对原创数据以“对数权”,这符合促进数据价值充分释放的制度目标。
除数据来源者的原创数据外,数据来源者对由其促成产生的“操作数据”同样享有对数权。所谓操作数据,包括数据来源者因使用服务或设备而生成的搜索记录、浏览历史、位置数据等。一方面,操作数据以数据来源者的数字活动为基础,如果缺少了数据来源者的行为或状态,就会完全成为无效数据,丧失清洗和分析的价值。另一方面,操作数据的生成需要数据处理者的平台情境及技术支持,否则数据来源者的数字活动无从产生,也不能得以记录和保留。此类操作数据,构成了“数据二十条”第(七)条中的“数据来源者促成产生的数据”,数据来源者与数据处理者平行享有操作数据的对数权。这意味着,数据来源者和数据处理者各自对外部第三人享有独立产权,且有权排斥外来干涉或侵扰;但在数据来源者与数据处理者内部,则互不具有排他性,即任何一方都不享有排除另一方持有、使用、收益数据的特权和权利。
(三)数据来源者的对人权
当数据来源者享有对数权但未直接持有数据时,需赋予其获取权与复制转移权作为保障对数权实现的二阶权利。对人权以对数权为规范基础,其行使范围自然与数据来源者享有的对数权范围一致。
具体而言,所谓获取权是指数据来源者要求数据处理者直接向其提供数据的请求权。与此相对,复制转移权则是数据来源者不直接持有数据,而是基于其持有权能,转移数据为其直接持有的权利。基于复制转移权,数据处理者应以机器可读方式将数据转移给第三方。复制转移权的特殊价值在于其拓展了数据来源者对数据的管控维度,从而更好帮助居于弱势地位的数据来源者成为数据贡献和再利用的积极参与者和受益者。从宏观层面看,其也能够实现数据最大化复用,防止数据被锁定或垄断,从而防范数据孤岛,促进市场创新。
从比较法视角看,赋予数据来源者访问权与可携带权(即获取权与复制转移权)已成为全球主要法域的普遍实践。欧盟《通用数据保护条例》第15条规定了数据主体的访问权,其内容不仅包括数据主体了解并确认数据处理者正在如何处理其数据,还涵盖了向数据处理者请求提供数据副本的权利。该条例第20条进一步规定了数据主体的可携带权,明确数据主体有权将数据传输给另一个控制者,而不受向其提供个人数据的控制者的阻碍。类似地,美国《加州消费者隐私法案》(California Consumer Privacy Act, CCPA)、《加州隐私权利法案》(California Privacy Rights Act, CPRA)、《弗吉尼亚消费者数据保护法》(Consumer Data Protection Act of Virginia)、《康涅狄格州数据隐私法案》(Connecticut Data Privacy Act)以及新加坡《个人数据保护法》等也均承认了访问权和可携带权的合法性。
不过,从数据处理者视角观察,数据来源者是行使获取权还是行使复制转移权有一定效果差异。获取权仅涉及数据在来源者与处理者之间的内部转移,不产生外部溢出效应,也不会对外部第三方的权利义务产生影响。然而,复制转移权则涉及第三方数据处理者,改变了原有的数据持有结构,从数据来源者“间接持有”变为第三方“直接持有”。这种“指示交付”方式将外部第三方纳入数据权利义务网络,其操作复杂性和商业秘密泄露、竞争优势削弱等风险远高于获取权。因此,相较于获取权,复制转移权的行使通常受到更多限制。在欧盟法下,对数据来源者的复制转移权特别设置了“商业秘密手刹”规则(trade secret handbrake rule),以平衡数据来源者权利与数据处理者的商业利益。
四、数据处理者权的结构性分置
2022年“数据二十条”首创数据产权结构性分置制度,并将其阐述为“根据数据来源和数据生成特征,分别界定数据生产、流通、使用过程中各参与方享有的合法权利,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”。据此,彼时学界对数据产权结构性分置的理解是,根据数据形态及采集生成、加工利用、流通交易的价值链释放过程,对每个环节的数据处理行为分别设置权利,“三权分置”路径下的数据产权客体表现为从数据资源到数据集合再到数据产品的层级演进过程。
随着对数据作为生产要素释放价值方式的不断扩展以及对数据利用流通商业模式的探索,数据资源、数据集合和数据产品的层次边界逐渐模糊,特别是对数据资源的政策态度逐渐从最初的“审慎对待其流转交易”到逐渐承认乃至支持其安全有序流通,数据形态的差异在权利定性中被不断弱化,相反通过权利分置追求对数据不同利益实现的“精确度”和“灵活性”成为最新政策立场。在这一系列的观念发展背景下,《数据领域常用名词解释(第二批)》通过简化原有数据资源持有权、数据加工使用权和数据产品经营权,采用“数据持有权、数据使用权和数据经营权”,化整为零,通过界定持有管控、对内使用与对外处分三项基础数据场景,实现了从权利分置到权能分置的路径转化。
(一)数据产权结构性分置的制度选择
与我国土地所有权、土地承包经营权、土地经营权搭建了依主体不同而纵向派生的结构性分置模式不同,数据产权的“结构性分置”选择将数据产权作为整体横向剖开,并提炼出持有权、使用权、经营权这三个典型权能并列,从而塑造成以“三权”为核心的横向结构性分置。
从财产法演进历程观察,“权利”而非“权能”是人类社会财产交换的基本单位。权利作为数个权能打包形成的不可分整体,不仅便于人类理解、谈判和交易,而且往往能避免一项财产被过多不同的主体占有使用而形成权利人之间相互掣肘的局面,从而破坏物之效益。相比之下,分离流转单项权能则过于零散,不仅增加交易各方理解内容的难度,也显著抬高了外部第三方的查询与识别成本。因此,传统财产法要求权能组合必须标准化、有限且固定,并最终确立了物权法定(numerus clausus)这一普遍原则。
然则,数据的非消耗性和低成本复用特点动摇了财产利益必须打包的法理根基,使以基本权能与权项为数据财产的划分为更优选择。一方面,不同于有体物具有消耗性和稀缺性,数据可以极低成本衍生出多个副本,从而同步被多个数据主体平行持有。即使某一数据产权人分散转让或许可其数据副本的部分权能,其他平行持有者仍可不受约束地重复处分其副本。换言之,特定产权人对权能作出的个性化安排,通常不会对后续交易产生溢出效应。另一方面,数据商业利用形态的快速演进远超传统财产客体。若强制要求数据主体仅能“打包”享有预设权能组合的权利束,将严重限制权能组合的多样性,阻碍数据利用商业模式的创新空间。
故此,数据产权从传统财产权的“打包状态”转向“散包状态”,未来的数据产权三权分置可以将持有权、使用权、经营权三权“打散”而分置于不同主体,也可以是三权中的任何两权组合。如普通许可人享有持有权和使用权,但不享有经营权;爬取公开数据者对被爬取的数据仅享有持有权和使用权,在不与被爬取方构成实质性竞争的前提下,亦可享有经营权。这样,通过数据权能的分置与组合划分不同主体的利益范围,以此“更弹性地认识和描述各种不同的权益主张,从而更好地承载一宗数据之上的复杂权益网络”。
(二)“持有权、使用权、经营权”三权分置的法理逻辑
数据财产的基本单位从权利转化为权能,不意味着法律放弃标准化的努力而不再预设和定义数据权能的标准形态与效力。无论财产权利抑或财产权能,其形态均需稳定、确定,方能降低当事人交易中的谈判、磋商成本和认知偏差,同时增强数据多链条流转下的交易效率与动态交易安全。基于此考量,我国最终确立了“持有权”“使用权”“经营权”作为三项核心的数据权能,构成了数据结构性分置的基础架构。
之所以选取“持有权”“使用权”“经营权”开展三权分置,在于这三项权能各自代表一类数据利用场景,划分叠加映射数据处理者在数据价值实现过程中的核心诉求。从持有权到使用权再到经营权,数据权能所蕴含的“涉他性”与“市场化程度”呈现出显著的递进特征。具体而言,持有权聚焦于对数据的自主管控,体现了数据处理者对数据安全、完整和排他性管理的基础诉求,其利益边界主要限定在内部系统或授权范围内,持有权人不得在管控数据之外,以自有的生产经营目的使用数据,但可以通过海量积累、汇聚、管理多源数据从而发挥数据自有的规模效应和网络效应,进而吸引用户加入,增强市场竞争。可以说,持有权代表了数据处理者最底层的利益诉求。在此基础上,使用权则允许数据处理者在特定目的或授权范围内对数据进行内部处理、分析和应用,其目的在于深度挖掘数据的内在价值以优化自身运营或决策。从利用维度看,使用权严格限定于“原域”内部,无法直接对外流通,但其价值在于释放数据的“乘数效应”——即使数据本身不直接交易,作为生产要素也能衍生其他数据产品与服务,数据处理者可以将数据产品与服务进一步投入市场交易。从创新激励维度看,允许数据处理者利用合法获取的数据进行改良创新,是打破“数据锁定”效应、将现有生产力有效导入新产品设计的关键机制。特别是在数据合法爬取、人工智能模型训练等典型场景中,通过独立赋予数据处理者使用权,能够在保障数据产权人交换价值不受侵害的前提下,有效促进生产力迭代与技术革新,从长远意义看有利于激励创新、提升社会福祉。
与持有权、使用权相比,经营权代表着将数据本身作为商品对外交易、许可,直接实现数据的交换价值,这是数据处理者实现数据价值变现的最高形态。此时,数据彻底“出域”,其涉他性与市场化配置程度达到顶峰。正因经营权涉及数据控制权的实质转移,因此经营权获取与转让往往有更严格法律要求。一则,严格限定平行持有状态下一方排他性行使数据经营权,以防其他平行持有数据产权人的合作基础与安全、竞争利益丧失;二则,对数据富集主体滥用数据经营权抬高寻租利益,形成数据孤岛,通过强制缔约等机制限制经营权的实现方式;三则,经营权指向的数据侵害个人信息、商业秘密、知识产权等在先利益的,可能会实质性限制或排除数据经营权能,以维护数据所承载信息的权利。
综上所述,数据持有权、使用权与经营权的“三权分置”架构,既是对数据商业化实践需求的制度回应,也通过三项权能的递进式分割,平衡数据利用中确权与创新、效率与安全、企业利益与社会福祉等多重利益张力。
(三)数据处理者基于平行持有形成的内部关系
在处理不同主体的财产权冲突时,传统财产法主要通过排他规则与优先规则解决冲突。当两个不能并存的权利类型发生冲突时,此时仅有一个权利能够“胜出”,如基于所有权排他性,一物数卖下先交付或登记的优于其他买卖债权。而当两个可兼容权利间存在冲突时,法律则通过优先顺位规则明确哪一权利得以优先实现,如用益物权与担保物权和担保物权之间等。
然而,数据的非消耗性与非排他性“得以克服‘公私矛盾’,超越传统生产矛盾困局,聚焦于价值创造本身的共生性与生态化”。由此,数据产权在继续沿用排他规则与优先规则解决权利冲突之外,还可以各自抽离数据产权束中的“排他权”“优先权”的方式,使多项权利互不排斥,平行持有,各自行权。这就构成了数据产权的平行持有原则,基于此原则,各数据产权人之间互相负有不得干涉和排斥,互不减损对方数据权益价值的义务,进而在各自对数权之外具备了产权“关系要素”。
具体而言,当各数据产权人的行权范围限定在特定域内(内部持有、使用),各方可通过访问等方式平行操作而互不干扰,维持稳定的平行持有格局。然而,一旦涉及经营权的行使,则必然触及各方在合作基础与市场机会上的核心利益。若一方经营权人采取优先交易策略抢占买方资源、实施排他性处分或不当披露共有商业秘密,将实质瓦解平行持有制度的核心价值。因此,经营权的行使需要构建内部合意机制,由全体数据产权人决定方可开展排他性交易安排。
我国《民法典》第861条关于共同技术秘密“平行持有”与“互不破坏”的原则,为此提供了重要参考。该条规定:“委托开发或者合作开发完成的技术秘密成果的使用权、转让权以及收益的分配办法,由当事人约定;没有约定或者约定不明确,依据本法第五百一十条的规定仍不能确定的,在没有相同技术方案被授予专利权前,当事人均有使用和转让的权利。但是,委托开发的研究开发人不得在向委托人交付研究开发成果之前,将研究开发成果转让给第三人。”该条规定的“使用和转让的权利”,包括当事人不经对方同意而自己使用或者以普通使用许可的方式许可他人使用技术秘密,并独占由此所获利益的权利。当事人一方将技术秘密成果的转让权让与他人,或者以独占或排他使用许可的方式许可他人使用技术秘密,未经对方当事人同意或者追认的,应当认定该让与或者许可行为无效。由此类推适用于数据产权领域中,在平行持有框架下,若一方平行持有主体意图通过转让、排他性许可或独占授权等方式处分数据经营权,同样须事先取得其他平行权利人的同意。
五、数据来源者和数据处理者的义务
当数据产权的排他性被削弱时,以具体行为义务为核心的治理规范比重就会上升。不论数据来源者的数据产权,还是以数据结构性分置为核心的数据处理者权,都普遍存在数据融合共创的情形,进而需要平衡各方财产利益、人身利益和竞争利益。特别是在平行持有状态下,数据来源者和数据处理者的产权之间、同一数据的各数据处理者之间相互制约,如果不明确各方行权限制,两者对数权的行使便会互有重叠乃至形成张力,进而阻塞他人利益实现的渠道,最终陷入反公地悲剧。有鉴于此,数据参与方的义务规范尤显关键,具体体现为:数据处理者须对数据来源者负有协助义务和保障和克制义务,而数据来源者及平行数据处理者对数据处理者则负有不破坏和不恶意竞争义务。
(一)数据处理者对数据来源者的协助义务
所谓协助义务是指,当数据来源者享有对数权,但并未直接持有数据时,数据处理者有义务向数据来源者披露相关数据、并协助来源者行使获取或复制转移的权利,完整、准确地向数据来源者转移数据控制。协助义务的设立,不仅旨在保护数据来源者权益,也是实现数据流通与共享的重要制度保障。
结合我国《个人信息保护法》《数据安全法》《网络安全法》《网络数据安全管理条例》相关规定,以及欧盟、美国等域外访问权和可携带权的内容,协助义务主要有以下几方面要求。一是保障数据获取的完整性与准确性。数据处理者应向数据来源者提供完整、准确的数据副本,确保数据来源者能够全面了解并控制其数据。二是数据格式的通用性与互操作性。为便于数据来源者将数据转移至其他系统或平台,数据处理者应提供结构化、通用化且机器可读的数据格式。三是技术支持的及时性与有效性,即在数据转移过程中,数据处理者应提供清晰的指引和工具,帮助数据来源者完成数据复制和转移操作。四是履行协助义务的过程中,数据处理者应采取必要的安全措施,防止数据在转移过程中被泄露、篡改或丢失。
(二)数据处理者对数据来源者的保障义务和克制义务
所谓保障义务是指,在数据来源者与数据处理者平行享有原创数据、操作数据时,直接持有数据的数据处理者,应采取必要安全措施,避免数据来源者的数据被篡改、滥用、泄露和删除。从性质上看,数据处理者的保障义务兼有人格权法和数据产权法两项规范基础。当数据处理者持有的信息包含个人信息乃至隐私时,则数据处理者的保障义务乃是《民法典》第1036条至1039条以及《个人信息保护法》的题中之义。而当数据处理者持有的信息不包含人格信息,但数据处理者不履行保障义务可能对数据来源者的数据财产利益实现造成损害时,则此义务单独基于数据产权人之间的平行持有关系而成立。
克制义务的正当性基础在于矫正数据来源者与数据处理者实质不平等地位。数据处理者凭借其显著的技术优势,常能在用户不知情或未有效同意的情况下,以用户画像、个性化推荐等工具“隐性”扩张其“数据权力”。因此,必须为数据处理者配置对应的克制义务制约平台的“数据权力”,最终将其严格限定于法治框架与正当性边界之内。
(三)数据来源者与数据处理者的不破坏和不恶意竞争义务
所谓不破坏和不恶意竞争义务是指,数据来源者或平行数据处理者除非有正当理由或约定,否则不能将所持共同生成的数据以转让、许可等方式对外流转给与数据处理者具有直接竞争关系的数据处理者,从而稀释其他数据处理者的商业利益。
当数据不仅是经营服务的副产品,而且是关键生产要素时,数据就成为了同类市场主体之间争相抢占的竞争性资源。数据不仅能够直接改变平台企业的生产组织函数,还能利用网络效应促使用户数量持续增长,形成良性循环。因此“尽管数据的利用过程存在‘非对立性’或‘非排他性’,但数据的利用结果,即数据所带来的商业优势和利益,依然是稀缺且排他的”。实践中,为获得商业优势发生的争抢数据和数据爬取案件不胜枚举,为了保持此种竞争性利益,享有数据的数据处理者往往不愿意将数据任意出售或分享给其他数据处理者。因此,潜在竞争方为攫取这些竞争资源,就可能通过变相向数据来源者或其他平行数据处理者“索要”数据的方式达到商业竞争目的。
对此,2023年欧盟《数据法案》第4条和第5条特别创设了“商业秘密手刹”规则。当用户访问或携带的数据中承载商业秘密时,数据处理者有权要求用户以及第三方维护商业秘密的机密性,并要求其出于实现该目的而执行必要的安全措施。即如果数据控制者可以依据客观证据证明,假使对外披露商业秘密,将极有可能导致产生严重的经济损失,则可以拒绝共享商业秘密(第4条第8款与第5条第11款)。
不破坏和不恶意竞争义务的另一典型规制行为是数据爬取。是否承认数据爬取及如何认定爬取方对数据享有的财产利益,一直是备受学界讨论和实践争议的问题。如我国新浪微博诉脉脉案、大众点评诉百度案等均是围绕公开数据爬取的正当性引发矛盾。对此,一种观点认为“公开数据的控制者未对数据设置访问障碍,不具有事实上的排他性,对公开数据的保护不依赖技术控制而需要法律控制。公开数据的后续使用原则上应当不再受限”。“数据一经公开,便进入自由流动领域,即使是商业领域的同业竞争者,其未经过权利人授权,对自由流动的公开数据的爬取行为也不意味着当然违法。”遵循此种观点展开,则数据爬取公开数据就成为一项完全合法的数据劳动,数据爬取方也应当享有持有权、使用权和经营权。
本文认为,在使用权和经营权分置模式下,可以基于创新开发考虑赋予数据爬取方以使用权,同时对数据爬取方施加不破坏和不恶意竞争义务,避免其对原数据经营权人的侵害。具言之,宽松赋予数据爬取方以使用权有助于破除数据孤岛,鼓励复用创新。特别是“对于中小企业而言,数据爬取有助于它们接触到单凭一己之力难以获得的数据资源,从而越过规模效应的天花板”。因此,在爬取方将数据对内用于提质增效时,支持其享有使用权有利于数据的创新性使用,避免用户锁定效应和数据孤岛。
然而,数据爬取方仅能在现有数据的基础上进行内部使用或非商业性利用,而不能直接将爬取的数据用于和被爬取方实质相同的商业化经营。以“不实质损害竞争”为数据爬取方的义务旨在保护数据被爬取方利益,以避免被爬取方因此降低生产激励,或者防止公开数据方通过不必要的技术封锁将本愿意公开的数据非公开化,从而既无意义地提高数据保护成本,又整体性地降低对其他数据处理者的社会福祉。
综上所述,不破坏和不恶意竞争义务本质上是防止数据产权滥用、兼顾数据各利益相关方利益的平衡机制。通过引入不破坏和不恶意竞争义务,可以同时从数据产权内部限制与反不正当竞争行为规制两个视角确定数据保护与竞争的权益边界。其不仅是数据产权制度的重要组成部分,更是数据产权制度与反不正当竞争法衔接的规范接口。
