一、问题的提出

明确数据权属是数字经济持续健康发展的基石。在影响数字经济发展的诸多法律变量中，个人信息权益无疑是最具张力的一项变量。以个人信息为核心内容的大数据，是数据财产的主要存在形态。当数据内容关涉个人信息时，其所承载的数据权利谱系与权利结构呈现出显著的复杂性。学界普遍认同，应向数据来源者与数据处理者配置性质有别、内容差异的权利。当前，多数学者主张在数据上设立财产权，且数据财产权应初始配置给数据生产者或者数据处理者。数据财产权初始配置给数据处理者后，其行使难免受到个人信息权益的制约。无论数据财产权设计得如何精巧，在个人信息主体可以随时撤回同意的规则下，数据交易安全难以得到保障；无论数据交易双方的合同条款何等精细，若数据处理者未征得个人信息主体单独同意即行转让数据，数据交易合同难免落入效力待定状态，其效力未来走向充满不确定性。因此，对承载个人信息的数据赋予财产权时，需要系统协调数据财产权与个人信息权益的关系，实现法律层面的“切割”。

学界为厘清数据财产权与个人信息权益之间的关系展开了诸多探索，形成了三种主要进路：一是“人格权益优先”方案，主张数据财产权的行使须以合法处理个人信息为前提，即人格利益优先于财产利益。张新宝提出“人财两分法”，认为个人信息所承载的人格权益归属于个人，财产权利则配置给数据处理者，法律优先保护人格权益，数据财产权的行使受制于个人信息权益；刘文杰认为，数据财产权的行使应当受到数据来源者权利（个人信息权益）不同程度的限制。二是“权利顺位”方案，试图依据权利产生的先后顺序确定权利的行使顺位，即数据财产权与个人信息权益应按照权利/权益产生的顺序依法行使。王利明提出“人格权益、在先权利、当事人约定”优先原则，并依此协调个人信息权益与数据财产权的关系；申卫星提出“所有—用益”方案，即向数据来源者配置所有权，向数据处理者配置用益权，数据处理者的用益权为第二顺位。三是“弱化权益”方案，即通过弱化个人信息权益，将其定位为程序性、非绝对性权利，以减少对数据流通的阻碍。梅夏英认为，个人信息主体的知情同意权、删除权、可携带权等个人信息权益是否有必要存在及如何实现，殊值进一步研究和论证；丁晓东提出，应将个人信息权益定位为程序性、非绝对性、举报建议性权利，避免将其设置为实体性、绝对性、可诉性权利，以防影响数据的流通利用。

既有研究提出优先保护个人信息权益，科学界定个人信息权益属性、内容与体系，为完善现行个人信息权益制度、消除数据流通交易的制度障碍提供了重要参考。然而，现有研究未彻底厘清数据财产权与个人信息权益的边界——无论主张优先保护个人信息权益，还是主张弱化其保护，数据财产权的行使都难以摆脱知情同意、删除等规则的束缚。究其根源，在于现有研究未充分认识到：数据的本质是数据处理者对数据来源者的“感知与认知结果”，其属认识论范畴，而非可被绝对支配的客体。立足于此，本文将个人信息权益重新界定为数据来源者防控自身既有权益受侵害的“防御性利益”，主张以“剩余控制”替代“全生命周期控制”，限缩数据来源者对其个人信息所享有的可携带权、删除权、撤回同意权等工具性权利的适用范围，明确数据财产权与个人信息权益的边界，构建适应数据高速流通与复用需要、平衡个人信息安全与产业发展的新型权益体系，最终破解数据财产权与个人信息权益的冲突。

二、个人信息全周期控制与数据流通的制度性障碍

数据来源者的个人信息权益与数据处理者的数据财产权基于同一客体产生，由此形成个人信息权益与数据财产权的共生关系。无论是大陆法系的物债二分理论、物权的支配排他效力、所有权权能分离理论，还是英美法上的“对物权/对人权”理论，均难以有效界分数据财产权与个人信息权益，进而无法协调数据各主体的诉求与利益冲突。“全周期控制”的个人信息保护范式，与数据财产权所追求的流通利用目标，构成数据治理中的核心张力。这一张力失衡直接导致了数据流通不畅。如何破解此困境，构成本文立论的逻辑原点。

（一）数据财产利益需要在流通复用中实现

数据凭借其基础性地位，已从一般经济资源跃升为驱动数字经济的核心资产，其价值超越传统模式中的工厂与知识产权。数据挖掘与分析技术的进步“创生”出看似取之不尽的数据资源，推动各领域决策过程向智能化、自动化方向发展。然而，数据资源（尤其是高质量数据）在应用实践中正面临供给侧结构性稀缺。在人工智能等技术的强劲需求下，全球高质量数据存量预计于2026年耗尽，这为数据的可持续利用敲响警钟。从物理属性看，数据具有非排他性，其存续不因使用而减损，允许多个主体同时共享；从经济属性看，数据利用的收益却呈现显著竞争性——一方对数据价值的实现，可能直接导致其他方获取同类收益的机会减少乃至丧失。某些数据（如关键商业信息或交易机会）的价值具有瞬时性，一旦被率先使用，其核心价值便随之转移或耗尽。为化解这一内在矛盾，保障数据处理者的合理预期收益、防范因“公地悲剧”引发的市场失灵，法律亟待合理划定数据流通与利用的边界，其根本路径在于构建以清晰权属为基础的数据财产权制度。

深度挖掘与分析数据已成为数字时代的常态，而数据的价值必须通过交易与流通这一“中枢机制”才能实现。数字经济由此形成由数据处理者、中间商与来源者共同构建的互构共生体系。该体系的核心并非原始数据，而在于数据流动所催生的终极产物——机器智能。通过数据汇聚与挖掘，数据处理者得以产出算法模型、知识结论及预测工具等智能成果。在此意义上，数据流通已超越作为数据处理前置环节的单一角色，演变为价值创造与实现的核心环节。然而，数据利用在创造价值的同时，亦伴随侵害数据来源者合法权益的风险，这正是法律设立一系列数据处理规则予以防范和规制的根本原因。面对数字时代，数据权利体系须以动态安全观取代静态安全观，核心在于平衡数据处理者与数据来源者的利益。对数据来源者而言，其权利本质是旨在防御的工具性权利，而非新的实体权利。因此，法律制度设计应立足数据财产权的支配性（赋权性）与个人信息权益的防御性（制衡性）之间的辩证关系，构建双向规范，以实现公正的利益分配。

（二）个人信息全周期控制制约数据流通复用

数据保护的内涵与重心随时代变迁而演变。互联网发展初期，个人信息主要用于身份认证，尚未形成大规模数据挖掘与分析，由此催生以人格尊严保护为核心、强调个人完全控制与单向风险防范的法律范式。作为该范式的延续与发展，我国现行个人信息保护法律制度以“全周期控制”为核心理念，旨在通过贯穿数据处理全过程的同意与目的限制规则，为数据来源者构建持续性法律保障。此模式在应对早期规模化、自动化风险时成效显著，但随着数字经济的发展，其高昂的制度成本日益凸显，并在实践中衍生出三重困境：

1.行权可行性衰减

为防范个人信息处理风险，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）以“可识别性”为标准界定个人信息，并围绕个人信息全生命周期控制构建权利保护模式。全生命周期控制模式形成于网络社会发展初期，主要应对早期计算机单机环境下以身份认证为主、收集类型有限、处理方式简单的个人信息处理场景。在这一框架下，全生命周期控制理念主张个人对其个人信息从生成到删除的全过程享有控制权，包括自主使用与授权他人使用的权利。为应对自动化与规模化处理带来的安全挑战，《个人信息保护法》不仅扩展个人信息的概念范畴，还将各类处理行为纳入规范视野，确立以“告知—同意”为主线，覆盖收集、目的变更、对外提供、出境等数据处理环节的全周期同意规则体系。然而，这一植根于早期技术背景的范式，已难以适应当前数据全息采集、深度挖掘、广泛流通与高频交易的时代现实。随着大数据分析技术持续演进，“可识别”范围持续拓宽，而“匿名化”结果在理论上仍面临被重新识别的风险。法律界定与技术现实之间的张力，不断冲击着现有数据权利架构的合理性，加剧了法学理论共识与商业实践逻辑的脱节，长远来看，这可能制约数字经济的深化发展。

全周期控制致力于通过强化控制增强个人信息保护力度。在复杂多变、多主体参与的数据流通链条中，数据来源者难以准确识别具体行权对象与行权时机，导致其实际控制权被虚化。植根于前网络时代“用户提交+计算机单机处理”框架的个人控制模式，已难以适应数字环境下个人信息被泛在收集与多元利用的现实。高度复杂的数据处理流程，不仅削弱个人对风险与后果的认知能力，也限制其有效行使知情同意权与控制权的可能性。随着生成式人工智能、Web 3.0、可穿戴设备及脑机接口等新技术发展，个人信息的收集、分析与利用环境已被彻底重构。数字技术不仅重构社会场域，更深刻重塑社会关系。数据处理已演变为一种支配性权力，其作用机制从外部干预转向对内在心智与行为逻辑的深度塑造。在此背景下，仅依靠赋予数据来源者形式上的控制权，已难以有效制衡日益扩张的数据权力。此外，作为数字经济的基础性生产要素，包含个人信息的大数据唯有在流动与共享中才能释放价值。企业间数据共享日趋频繁且规模化，进一步凸显构建数据领域开放、灵活的利益平衡机制的重要性。因此，固守全生命周期控制理念已缺乏现实基础，制度创新势在必行。

2.合规负担过载

在泛在信息收集环境中，强调数据来源者对其个人信息实行全面控制，不仅难以切实保障其个人信息权益，更显著加重了数据处理者的合规负担。以个人信息为核心内容的大数据，其流通与再利用环节由此受到明显制约。知情同意规则以“支配”为核心利益与权能基础，衍生出查询、更正、复制、撤回同意、删除、可携带等《个人信息保护法》明确规定的一系列个人信息权益，构成横亘于数据流通过程中的强力支配链条。在精细化的“同意”要求下，个人信息收集、处理方式变更、对外提供、数据出境、转委托处理及敏感信息处理等环节，均需取得数据来源者的单独同意。为满足全周期控制的程序性要求，数据处理者不得不承担高昂的合规成本——这些成本最终转化为数据流通的制度性摩擦。更值得警惕的是，知情同意机制在实践中已发生严重异化：其原本作为风险防控“安全阀”的制度功能，在实践中常被扭曲为超范围收集个人信息、规避监管责任的操作工具。

僵化的全周期控制模式，在基因研究、药物开发等科研场景以及跨行业数据融合应用中，已呈现出阻碍科学合作与技术创新的风险。以保险行业的医疗数据应用为例，保险公司可基于患者就诊历史、医疗类别与费用等数据构建风险评估模型，以提升核保精度与服务水平。然而，医院若将患者数据提供给保险公司用于模型训练，不仅需就其提供行为获取患者的单独同意，更因该使用行为构成对原处理目的的变更，须依据《个人信息保护法》第23条重新征得患者同意。此类同意要求均发生于诊疗行为之后，医院与保险公司实际获取数据来源者同意的可能性极低，或需支付巨额合规成本，导致数据价值难以合法释放。由于个人信息处理的行为与方式始终处于高度动态演进中，任何预设的静态规则体系均难以完全适配实践发展。对依赖数据驱动技术创新的企业而言，往往不得不在合规约束与创新需求之间进行艰难权衡。

3.数据价值耗散

数据对经济增长的潜在驱动作用尚未完全释放，相当程度上源于当前个人信息权益体系对数据财产权行使与流通交易所形成的制度性约束。数据利用与个人信息保护的内在张力，正制约数据要素市场的健康发展。确权与赋权机制旨在为数据安全与自由流动划定合理边界，为数据的收集、利用与流通提供稳定的制度预期。数据具有非消耗性特征，其使用不会导致物理形态的减损，因此在完成权利初始配置后，法律制度应重点保障其流通与复用，以实现“数尽其用”。然而，在最小必要、目的限制与知情同意三大核心原则的共同约束下，数据财产权的行使空间被极大压缩，数据流通与再利用亦面临结构性障碍。

具体而言，必要原则以严格限制个人信息收集与使用边界为导向，虽有助于防范过度收集，却不可避免地造成数据资源的结构性稀缺，从而掣肘数字经济整体发展。目的限制原则要求个人信息处理必须基于特定目的，其初衷是防范高风险或者不符合数据来源者利益的后续利用行为，却在客观上对数据持续使用形成持续性限制：一方面，变更目的使用个人信息需重新获取数据来源者同意，显著推高数据交易与对外提供的制度成本；另一方面，当原定目的实现或者服务关系终止时，处理者即负有删除个人信息的义务，进一步限制数据的长期开发与价值留存。这些限制共同导致数据资源难以通过市场化机制实现有效配置。

数据价值的实现已逐步从重归属转向重利用。作为新质生产要素，数据的价值依赖高速流通与深度复用。然而，当前以全周期控制为核心的个人信息保护范式，仍以强化个人对数据处理过程的介入为路径控制系统性风险。在平台权力集中、算法决策普及的背景下，该模式已显现功能局限：个人的形式化控制权难以有效制衡数据处理者在技术、资本与市场地位的综合优势。随着个人信息外延不断拓展、处理行为界定日趋泛化，以知情同意、目的限制与必要原则为支柱的权益体系，在实践中已构成对数据财产权行使的强约束——不仅导致基础数据资源供给紧张，也限制数据流通与利用的深度与广度。

（三）全周期控制的反思与重构

个人全周期控制模式所依托的社会与技术基础已发生结构性变迁。互联网发展初期，数据处理尚未成为经济系统的核心环节，法律通过赋予数据来源者控制性与参与性权利，尚能有效制衡数据处理者行为，保护少数受数据滥用影响的个体。彼时，网络服务以新闻信息、邮件等基础功能为主，个人信息收集范围有限，用户仍保有是否提供个人信息乃至是否使用服务的实质选择权。然而，随着数字技术深度嵌入经济社会运行的各领域，数据处理体系已演变为支撑现代社会的关键基础设施。互联网平台普遍采用双边市场模式，依托个人信息实现精准推荐、身份验证、服务优化与风险控制等核心功能，使社会形成对数据处理的系统性依赖。在此结构下，个人若拒绝提供个人信息，不仅面临被隔离于主流数字生态之外的风险，还将制约技术迭代所依赖的数据积累。数据价值的规模效应持续驱动数据处理者扩大收集范围，而在技术能力与信息资源高度不对称的环境中，数据来源者已难以对个人信息实现实质控制。

数据财产权与个人信息权益的冲突，本质上是不同法律价值在数据这一新型权利客体上的集中体现。传统权利配置思路试图通过确立某一方的优先地位或者设定固定的权利位阶化解矛盾，却未能从根本上突破数据流通的制度瓶颈。问题的症结在于，现行制度框架未能充分契合数据的非排他性特征与数字经济的发展逻辑——数据价值在流动与整合中实现倍增，而全周期控制模式仍延续适用于有体物的排他性支配逻辑，通过复杂的程序规则在事实上构筑数据流通的隐性壁垒。破解这一困境，需要超越既有的理论范式，回归权利配置原点进行反思。应当认识到，个人信息保护的根本目标并非赋予个人对信息的绝对控制，而是防范数据处理过程中可能引发的人格权益与财产权益风险；相应地，数据财产权的确立也不应等同于赋予数据处理者无约束的利用自由。未来的制度重构，应着力构建与数据特性相适配、兼顾安全与效率的权益体系，将个人信息权益的功能定位从全周期控制转向风险防控，为数据财产权的规范运行与数据要素的高效流通提供制度保障。

三、调适冲突的理论准备：重塑个人信息保护理念

从利益衡量视角看，数据权利配置的实质是对数据来源者与数据处理者之间利益关系的结构性调整。在准确识别数据非排他性、复用性等本质特征基础上，引入“剩余控制权”理论以重构当前个人信息权益体系。剩余控制理念并非否定个人信息自决的价值，而是致力于消解全周期控制在实践层面的功能局限。据此，法律应适时调整个人控制权的行使方式与作用边界，构建与数据流通及价值复用需求相适配的新型权利配置模式。

（一）数据财产权与个人信息权益共生及其内在张力

数据生成作为法律事实，与传统工业生产的“物之所有权”的形成方式存在本质区别。传统产权结构相对单一，而数据生成则构建出以单一数据为客体、涵盖多元权益的网状权利体系。若将物权视为二维结构，数据权利则呈现多维属性。数据财产权与个人信息权益共同指向承载个人信息的数据客体，形成法律层面的共生结构。然而，这种共生关系在实践中逐渐演化为结构性失衡，根源在于两种权利在价值取向与作用机制上存在张力。

1.数据财产权与个人信息权益共生

数据财产权与个人信息权益存在天然共生关系。数据权利体系的萌芽，最初源于应对自动化数据处理技术对人格尊严的挑战，由此催生以个体保护为核心的个人信息权益。随着数据要素市场化发展，数据处理者基于数据生成行为逐渐被赋予数据财产权，进一步丰富了数据权利体系的内涵。数据生成的法律事实有别于传统工业生产：传统模式下创制的权利是单一的“物之所有权”，而数据生成则构建出基于单一客体的复合网状权利体系。现代性所蕴含的复杂利益布局，在数据生成过程中超越了传统工业时代公法与私法的传统界分，跨越人格与财产的二分逻辑，甚至延伸至代际利益分配等范畴，呈现出类似环境法的整体性保护理念。在此背景下，公共利益、期待利益乃至代际利益，不再仅作为数据权利的外部限制，而是逐步内化为数据权利结构的构成要素。因此，数据权利的制度建构亟需立足现代性视角，从法律规则、制度安排与规制逻辑层面展开与时俱进的顶层设计。

在网状的权利结构中，各项数据权益相互交叉、彼此联结，形成独特且复杂的权利配置形态。现代社会的有效组织与运行，高度依赖于对个人信息等数据资源的大规模收集与自动化处理。然而，实践中出现的强制索权、超范围收集等违背意思自治原则的行为，及由此引发的“公地悲剧”等问题，无法仅通过数据处理者自律或当事人之间博弈解决。数据处理者的自利倾向需要外部力量约束，而个人信息权益正是这种外部制度力量。为防范数据处理引发的人身与财产风险，《个人信息保护法》为数据来源者设置了相应的防御性权益。从数据处理者的角度看，数据本质是其对数据主体行为、状态、偏好等信息的感知与记录，属于认识论范畴。为推动数据生产与流通，法律有必要承认数据处理者对其所生成数据享有支配性财产权。然而，一旦将数据财产权赋予数据处理者，便形成个人信息权益与数据财产权在同一数据客体上交织并存的局面。二者既相互依存，又彼此制约，构成新质态经济资源权利结构的基本形态，也决定了数据治理中权利平衡与制度协调的内在逻辑。

2.数据财产权与个人信息权益的内在张力

数据来源者与数据处理者具有动态平衡利益消长关系。数据领域的冲突与合作始终是数据社会的核心议题——个人信息处理在增进包括数据来源者在内的社会福祉的同时，也潜藏着大规模数据泄露引发的个人安全风险。大量数据资源的开发利用恰恰建立在个人或群体身份隐私之上。同时，日常生活中人们日益依赖技术提供的便利，技术供给与需求的匹配过程不断塑造以技术为中心的生活方式。人们将更多本属于自身的决策权让渡给技术系统，一旦系统发生故障，整个社会都将共同承担相应风险。为防范数据处理可能引发的人格尊严受损与个体自主性危机，《个人信息保护法》为数据来源者设置了知情同意权、删除权与可携带权等法定权益。在数据收集、存储、挖掘分析和交易流通的全过程中，数据财产权的行使可能受制于上述个人信息权益。王利明将数据财产权与个人信息权益之间的关系形象比喻为“风筝与线”，即数据财产权的行使始终无法脱离“个人信息权益”的牵引与制约。

数字技术在提升社会数据处理效率、成为改造社会的强大工具的同时，也带来了个人信息安全风险。数据价值挖掘与安全保障之间的悖论，决定了法律必须在数据处理者与数据来源者之间寻求利益平衡：若数据来源者的合法权益得不到有效保护，将抑制其提供、分享个人信息的积极性，导致数据资源供给受限甚至枯竭；若数据处理行为受到过度限制，则会严重阻碍数据资源开发与价值实现。平衡双方利益的关键在于科学界定数据财产权与数据来源者权利的属性差异，进而确定二者的边界：个人信息保护立足于人权、人格权等以平等为基础的个人自由与利益，核心是维护人格尊严；数据财产权保护则侧重于激励创新、鼓励技术进步与推动价值变现的制度导向。前者强调底线思维与消极保护，体现价值理性；后者强调激励机制与积极赋能，体现工具理性。若将社会发展比作飞奔的骏马，前者如同驾驭方向的缰绳，后者则是驱动前行的皮鞭。简言之，数据权利的赋予与保护，是通过工具理性与价值理性的协同，为调节社会发展动力、推动技术创新与市场开拓作出的制度安排。

（二）破解个人信息权益与数据财产权冲突的理论尝试

为化解个人信息权益对数据流通的制度性限制，理论与实务界围绕个人信息权益与数据财产权界分展开多路径探索，主要有三种思路：其一，个人信息权益优先，主张数据处理者行使数据权利须以合法处理个人信息为前提，需在充分保护人格权益的基础上寻求与数据财产权的平衡；其二，通过限定数据财产权的客体范围实现权利界分，有观点主张其客体应限于不具备识别性的非个人信息数据，或经脱敏处理后无法关联至特定自然人的数据；其三，提出“相对控制”理论以调和安全与利用之矛盾，将个人信息权理解为数据处理实践中形成的有限控制权，具体表现为访问、删除、修改、拒绝等过程性权利。

单纯赋予某一方优先地位或对客体范围进行刚性界分，均难以实现二者在法理与制度层面的有效界分，亦无法根本消除数据流通的制度壁垒。其深层症结在于未能厘清数据与个人信息的“一体两面”关系，导致权利配置的体系性错位。本质上，个人信息与数据是从不同视角对同一对象的概念化界定：在认识层面，数据是处理者对数据来源者状态的感知与符号化呈现；在规范层面，个人信息则指可识别至特定自然人的信息内容。当个人行为、偏好等被捕捉并转化为数据后，对自然人而言构成其个人信息，对处理者而言则成为可资利用的资源载体。在此结构中，个人信息权益与数据财产权共同附着于同一客体，若不能就二者的权能内容与行使边界作出清晰界定，权益冲突的产生便不可避免。

数据在本质上是感知关系与交互实践的动态建构产物。数据来源者与数据处理者因数据生成而形成共生并存、动态制衡的关系格局：作为信息源头，数据来源者持续影响处理者可主张的权利内容，二者呈现此消彼长的博弈态势。由此，数据之上的“权利簇”具有鲜明的关系性特征。随着数据成为关键生产要素，个人对安全的诉求与产业对利用的需求之间张力日益凸显。与有体物不同，个人信息始终与特定自然人存在实质关联，即便主体已不直接控制数据，其使用与披露仍可能影响自身权益与福祉。在双方存在利益分歧的背景下，仅依赖技术手段或市场自发调节难以形成稳定的保护共识，必须借助法律机制确立合理利用标准、平衡多方诉求。最终，应在立法层面廓清数据主体的控制边界，协调利益冲突，设定适配数字经济实践的适度保护水准，从而兼顾个人信息安全与数据高效流通的双重目标。

（三）从“全周期控制”到“剩余控制”

个人信息权是数据来源者在数据处理过程中享有的有限自主权，内核为剩余控制权。剩余控制权的本质在于对个人信息使用的过程性决定与有限干预能力，而非对数据本体的排他占有或全周期控制支配。其核心法理在于：承认数据处理者基于资本、技术等数据生成投入而对数据进行事实支配的前提下，数据来源者仅保留一项“最低限度干预权”——该权利仅在特定风险触发时方可行使，以保障其人身、财产等固有权利不受侵害。这一概念借鉴了不完全契约理论中的产权思想，但在法律语境下需完成理论转化：从企业产权划分工具转向人格权益保障载体，实现权利功能的本质跃升。具体而言：首先，数据作为非排他、可复制的认知产物，其资产属性与物理实体存在根本差异，个人无法通过传统占有方式实现全周期控制；其次，剩余控制权并非产权性支配权，而是人格权益的延伸形态，表现为在数据处理行为威胁隐私、名誉或财产等固有权益时，数据来源者可依法启动干预程序；最后，该权利本质上源于对人格要素的不可让渡性，是国家为矫正数据处理者事实权力优势而设置的法定制衡工具。

从“全周期控制”转向“剩余控制”不仅具有理论突破性，更体现了法律制度的灵活性与实践智慧。尽管数据处理关系中存在事实力量不平等与利益冲突，但双方具有持续相互依赖的关系：数据来源者需通过提供信息获取便捷服务，数据处理者则依赖数据优化服务与推动创新。这种相互依赖性要求《个人信息保护法》超越僵化的事前同意机制，避免因规则过于刚性而限制个人意思自治，或者阻碍数据处理者合法合理地进行数据利用。由于数据处理风险多潜伏于后台算法运算及跨场景复用环节，事前同意的风险控制效能有限。因此，立法应逐步缩减事前同意的适用范围，转而依托行为导向的规制范式，通过规范数据处理行为本身，实现对个人信息利用的全流程约束，进而保障个人信息安全。个人信息权益不应被理解为对个人信息的全面控制，而应定位于对高风险处理行为的精准管控。这一转变与数据法治从“权利—义务”静态框架向“行为规范”动态范式的演进趋势相契合。

数据权利核心属性是关系性。数据保护权利进路的本质，是以个人与处理者的互动关系为基础构建的规范体系。这并非否定传统民事权利的关系属性，而是数据财产权与个人信息权益的共生性展现出更复杂的利益关联，既包括个体人格利益，也涵盖以国家发展战略为载体的公共发展利益，后者同样需纳入数据法治考量范畴。个人信息权益是数据来源者在个人信息处理过程中所享有的权利，这意味着个人信息权益不是支配性的绝对权，而是数据来源者在与数据处理者互动的过程中，在参与数据处理活动时所触发和享有的一系列权利。为实现上述目的，个人信息保护不能一味地强调控制、权利和安全，而应当通过具体的制度设计增加数据来源者的参与度，从而将个人信息处理风险控制在一定范围内，最终实现保护个人信息所承载的各种利益的目的。个人权利创生能力是权利适应复杂环境的自我进化力。数据生成意味着个人状态信息被数据处理者知悉并记录，通过支配性权利保护已无现实可能——数据来源者无法“擦除”他人认知中的数据痕迹，其对自身状态的支配性利益转化成风险防控导向的保护性（防御性）利益。因此，《个人信息保护法》应当严格限定撤回同意权、限制处理权和删除权等对抗性工具权利的适用条件，防止个人信息权益恣意行使阻碍数据高速流通复用。

剩余控制不仅支撑个人信息权益从“支配性”向“防御性”转型，更构建了数据流通利用与数据收益公平分配的双向赋能框架。剩余控制的内涵包括双重维度：一是风险与行为控制，二是收益参与控制。互联网发展的初期，个人信息利用以实名认证、定向推送为主。广告收益常被视为免费服务的对价，数据来源者的收益分配诉求尚不凸显；进入数据要素市场化阶段，个人信息的深度挖掘分析、高速流通复用产生了巨额“用益价值”，收益分配需求随之觉醒。《个人信息保护法》的任务应兼顾双重目标：一方面禁止过度挖掘、高风险流通等侵害隐私与自主判断权的行为；另一方面需要构建基于“用益补偿”的收益分配制度，使数据来源者能分享人格权附属财产价值带来的利益。剩余控制的提出，恰好回应了风险防控与收益公平的双重需求，既避免风险防控极端化阻碍数字经济发展，也防止收益独占化引发利益失衡。

四、迈向数据关系法：个人信息权利体系的反思与更新

数据治理的核心矛盾，在于以“全周期控制”为核心理念的个人信息权益体系，与数据财产权所承载的流通利用需求之间的内在张力。超越非此即彼的传统权利对抗思维，推动数据权利配置从对抗性控制转向协同性治理方能破局。主流范式以“知情—同意”为核心，其有效性依赖用户可理解、可控制、可拒绝的理想前提。然而，在数据处理高度复杂化、平台权力高度集中的现实下，这一前提已发生系统性失灵。继续强化同意机制的形式性完善，非但不能实现个人信息的实质保护，反而催生制度幻觉，遮蔽了数据安全制度本应承担的基础性风险防控职能。因此，我们主张的“弱化知情同意”，并非否定用户自主权，而是一次深刻的制度转轨：将风险防控重心从个人的“事前同意”转向系统的“行为规制与事后救济”，让数据安全制度成为风险防控的基础载体，同时使个人信息权益回归其“防御性利益”的本质定位。

（一）弱化知情同意：从“制度幻觉”到“制度转轨”

知情同意机制作为个人信息保护的基石，在互联网发展初期为防止个人信息滥用、捍卫个人自主与人格尊严作出历史性贡献。当下，面对超级平台利用其在技术、资本与市场支配力上构筑的绝对优势和支配地位对用户理性、意愿与行为进行直接或者间接控制，传统的“告知—同意”框架已在权力不对称的现实中逐步失灵。当数据处理从明确服务场景延伸至全息感知、智能预测等跨域场景时，固守形式化的同意不仅难以实现个人实质性控制，反而因其高昂合规成本与僵化程序要求，演变为制约数据要素流通与人工智能创新的制度瓶颈。

1.知情同意的“制度幻觉”

我国个人信息保护制度历经十年演进，形成“原则确立—义务细化—体系完善”的三阶路径：2012年《全国人大常委会关于加强网络信息保护的决定》首次确立“告知—同意”原则；2016年《中华人民共和国网络安全法》（以下简称《网络安全法》）将其明确为数据处理者的具体法律义务；2021年《个人信息保护法》，进一步构建“明示同意—单独同意—书面同意—重新同意”的多层次义务体系，使其成为个人信息保护领域的“帝王条款”，与欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）、《美国加州消费者隐私法》（California Consumer Privacy Act，CCPA）相呼应。学界主流视其为“不可逆的制度进步”，强调其作为个人信息自决权核心载体的价值。同意机制有效运行需同时满足三个基本前提：第一，用户可读，即用户能理解复杂的处理逻辑；第二，用户可决，即用户拥有真实的选择自由；第三，平台可证，即平台能够证明用户同意的真实性。然而，在生成式人工智能、大数据联合建模等技术广泛应用的背景下，同意机制赖以有效运行的前提假设已经系统性失灵。算法黑箱使理解成为空谈，平台垄断剥夺了选择自由，点击疲劳让同意流于形式。层层加码的同意规则已异化为“合规表演”，反而遮蔽了真正能够消化风险的加密、脱敏、访问控制等底层安全机制的核心作用。知情同意的制度幻觉及其消极影响日益严峻，制度转轨迫在眉睫，亟待构建以“风险防控”为内核的制度转轨路径，并构建以“唯一性”为基准的客观分类规制框架。

个人信息保护制度本质上是“数据安全法的消费者版”，需以安全技术为基座，权利救济为补充。一旦脱离加密、脱敏、访问控制、审计追踪、灾难备份等安全基座，再严密的同意规则也只是“沙滩城堡”，难以抵御数据泄露、滥用等实质性风险。因此，“弱化知情同意”并非削弱保护，而是推动制度功能重构：让数据安全制度接管基础性风险防控机制，个人信息权益回归“剩余控制权”的防御性本质——仅在安全机制失效或者特定高风险处理场景下触发删除、撤回、拒绝等救济性权利。2025年新修订的《网络安全法》已经为“安全法—权利法”联动提供规范接口。此外，《中华人民共和国密码法》《中华人民共和国数据安全法》已构建技术合规路径（如商用密码应用安全性评估），为风险防控换轨奠定制度基础。

2.知情同意的“制度转轨”

当前，个人信息处理所带来的风险水平因信息属性存在本质差异。现行法律框架以“敏感程度”为核心的分类标准存在显著局限性——“敏感性”本质上是价值判断范畴，具有主观性与场景相对性：同一个人信息在不同主体视角下可能呈现完全不同的敏感等级。例如，面部识别信息对普通用户属高度敏感信息，但在专业数据处理者视角中，其敏感程度低于基因、医疗健康等核心私密信息。这种认知差异直接导致保护标准混乱，削弱规制实效。为建立更具客观性、可操作性的分类体系，并推动跨境规则互认，建议引入“唯一性”作为个人信息分类的基础标准。唯一性信息指那些具有永久不变、不可替代且能稳定标识特定个人的信息，包括两类：一是生物特征数据，如面部识别、指纹、基因、虹膜、声纹、步态、静脉形状、肤色、掌纹等；二是由国家权威机关签发、用于身份管理的法定标识，如身份证号、护照号、社保号、驾驶证号等。相反，非唯一性信息则涵盖职业属性、浏览记录、消费行为等可随时间、场景变化而改变的动态数据。这种基于客观属性的二元分类框架，不仅有效克服了主观判断的随意性，更为构建统一、透明、可预期的数据流通复用机制奠定了规范基础。

基于风险差异的本质属性，需要构建与风险等级适配的分级保护体系，其核心是遵循“风险比例原则”：信息与特定个人身份的可关联度越高，身份暴露风险就越大，相应的保护措施也应越严格，以确保规制强度与潜在危害成正比。在此框架下，唯一性个人信息（如生物特征、法定身份标识）一旦泄露或滥用，往往对个人权益造成不可逆的严重损害。因此，其处理应遵循“原则禁止、例外允许”的严格标准，即仅在具有明确法律授权及充分必要性的特定情形下方可收集与使用。相反，对于非唯一性个人信息（如行为偏好、消费记录等），其单独泄露通常不直接导致身份暴露，故可采取相对灵活的规制路径，允许数据处理者在保障个体权益、不危及公共安全与国家安全的前提下，通过合同机制与数据来源者自主约定收集与利用的范围与方式。

知情同意机制在实践中常呈虚置状态，其根本症结在于制度设计基于“个人不愿参与数据处理”这一前提预设，要求数据来源者必须通过积极作为方能表达参与意愿。然而，在数据已成为社会交往基础媒介、数字技术深度嵌入经济社会运行底层的现实背景下，个人信息收集与利用不仅是用户获取数字服务的前提，也是推动技术创新、优化服务体验、提升社会运行效率的基础。若个人完全拒绝参与数据处理，实质上意味着自我放逐于数字社会之外。在此语境下，个人信息权益不宜被理解为一种绝对的自然权利，而更应被视为一种具有工具属性的“审慎权”，即知情同意制度的本质功能，并非赋予个人对信息的绝对控制，而是通过风险揭示与选择机制，使个人在了解数据处理可能带来的后果基础上，自主决定是否承担相应风险，从而形成一种针对个人信息滥用的自主性防御机制。

为在保障个人权益与促进数据流通之间求得平衡，对数据来源者知情权的实现路径主要有两种制度设计：其一为事前的“选择进入”模式，其二为事后的“选择退出”模式。二者在法理上并无绝对优劣之分，但从激励数据价值释放的政策目标出发，采纳“选择退出”机制更具现实优势。在此基础上，可构建分类型、差异化的同意规则体系：主动提供数据（如手机号、地址、职业信息）仍适用“事前明确同意”；行为轨迹数据（如浏览记录、搜索历史、位置信息）可纳入“选择退出”范畴，在合理告知的前提下允许默认收集，同时为用户提供便捷的拒绝通道；衍生及推断数据（如信用评分、健康评估、市场趋势分析等），因其凝结了数据处理者的智力投入且已脱离直接个人识别语境，只要不实质侵害用户合法权益，其流通与利用可豁免于用户同意约束，转而受数据安全与算法治理等规制措施的约束。

在确保数据安全的前提下，法律规制的核心应聚焦于防范个人信息被滥用，而非简单地限制数据的使用。除非特定个人信息的使用将直接导致数据来源者的人身或财产损害，否则制度设计的重点应置于建立安全、可控的使用框架上，以最大限度降低数据处理过程中的衍生风险。为提升数据共享效率，可在严格限定条件下适当限缩事前同意范围。具体而言，当对外提供、转让或者交易的数据不涉及个人隐私时，可探索构建以“安全保障能力对等+连带责任”的共享机制，若数据处理者对接收方的数据保护能力与诚信状况进行审慎评估，确认其安全水平不低于自身，且提供方承诺对接收方后续侵害个人信息权益的行为承担连带责任，则就唯一性个人信息的共享可豁免获取数据来源者的单独同意。

（二）数据可携权：从“防御”到“赋能”

数据法律制度的构建，应立足于捍卫基本权利、维护社会秩序与促进公共福祉等核心价值，审慎平衡个人信息保护与数据安全有序流动的关系，有效防范数据来源者遭受重大或者不可逆的损害。《个人信息保护法》的立法宗旨在于构建规范、可信的个人信息处理秩序，其制度目标并非否定个人权益的基础性与优先性，亦非削弱法律对个体的必要保护，而是通过系统优化兼具防御性与赋能性的权利工具，消解数据流通复用过程中的制度障碍，为数据要素的价值实现提供清晰、可行且具有操作性的法治路径。

1.数据可携权的制度定位与行权边界

欧盟《通用数据保护条例》确立的数据可携权，标志着个人数据保护理念从消极防御向积极利用的范式转型。该权利具有双重立法意图：一方面旨在增强个人对自身数据的控制能力，另一方面则致力于打破因数据锁定效应形成的市场竞争壁垒，从根本上推动数据安全有序流动与数字市场健康发展。正因如此，数据可携权的权利属性不应简单归入传统防御性权利的范畴，其本质是具有积极赋能功能的市场机制工具，即通过降低数据迁移的技术与制度成本，提升用户在数据关系中的议价能力与选择空间，进而对平台与用户之间固有的权力结构失衡实施制度性矫正。简言之，数据可携权的核心制度价值，在于通过强化用户的“退出与选择能力”，重塑其在数字服务市场的谈判地位，推动个人权利从被动接受向主动参与演进。

数据可携权作为平衡个人信息自主决定与数据财产利益自主支配的制度工具，其有效实施需依托清晰的权利边界，避免不当侵蚀数据处理者的合法财产权益。其适用范围原则上应限定于由用户主动提供或在其明确意图控制下形成的原始数据。具体而言，数据可携权的客体主要包括以下三类：①用户主动提供的静态信息，包括在注册表单、问卷调查、申请表格中主动填写的姓名、联系方式等个人信息；②用户主动创作的数字内容，如自主发布的文字、图片、音视频等原创性内容；③终端设备生成的基础行为数据。为履行合同之目的直接由用户侧设备生成且未经深度加工的原始数据，如智能设备采集的步数、心率等传感器读数。与之相对，以下数据应当被排除在可携权范围之外：①企业智力劳动成果，指数据处理者运用算法分析、专业知识与资本投入，对原始数据进行深度加工后形成的衍生数据，如用户画像、信用评分、行为预测模型等。这类数据的价值主要凝结了企业的智力劳动，已超越个人控制范畴，若纳入数据可携带权范围将构成对企业财产权的不当侵蚀。②涉及第三方权益的数据。当数据集包含其他用户的个人信息或者涉及共有权益的交易记录时，其移转可能侵害第三方合法权益。此类数据仅在进行充分的匿名化处理或者获得所有相关主体明确同意后，方可纳入转移范围。通过上述客体范围的清晰界定，能够在保障个人数据自主权的同时，有效维护数据处理者的投资回报预期与市场竞争秩序。

上述界分的法理基础，根植于对数据价值来源与财产权归属的基本尊重。衍生数据的生成过程已超越简单的数据收集与存储，凝结了数据处理者的算法智慧、专业知识与资本投入，本质上构成一种独立的价值创造活动。若将数据可携权无差别地适用于此类衍生数据，将模糊个人控制与企业创新的权利边界，不仅构成对数据处理者财产权益的不当侵蚀，更会实质削弱其对数据深度开发与技术创新的长期投入意愿。欧盟《通用数据保护条例》前言68段明确排除“涉及第三人权利或者企业商业秘密”的数据适用数据可携带权。因此，用户如确有转移特定衍生数据的实际需求，应优先寻求数据财产权框架下的市场化解决方案，例如通过与数据处理者协商达成数据许可协议，而非直接诉诸具有强制性的法定可携权。为更清晰地呈现数据可携权在典型场景下的适用逻辑，如下表所示：

表1 数据可携权典型适用场景分析

数据可携权是服务于“用户能力建构”与“市场竞争优化”双重目标的制度工具。其客体范围应精准锚定于用户主动提供或直接生成的原始数据——一是强化个人数据自主性，二是有效避免对数据处理者基于智力投入与资本贡献形成的衍生数据财产权的不当干预。这一界限划分，旨在数据保护、要素流通与产业创新之间寻求一种可持续的制度性平衡。

2.对抗性权利的限制适用

个人信息受保护权的实质内涵具有双重面向：其价值根基在于维系人格尊严与个体自由，而其在法律实践中的操作核心，则具体展现为对数据处理活动安全性、准确性与可靠性的技术性规范。当前立法实践与司法裁判的重心，更多落在后一层面，即通过构建一套行之有效的程序与技术规则，将抽象的人格权益保障转化为可执行、可问责的制度体系。因此，个人信息保护制度在运行中呈现出显著的工具性特征，其有效性直接体现为对数据处理风险的精准防控与对个体权益的实际救济。在此意义上，法律所构建的个人信息工具性权利，其功能在于为个体在数字环境中提供一种秩序建构的保障机制。为实现这一目标，立法需强化数据处理者的信息披露义务，以“充分知情”支持个人的理性决策；同时，法律也需审慎界定撤回同意、限制处理、删除等具有对抗性权利的行使边界。此类权利的核心价值在于制衡数据处理者的权力优势，缓解个体在数据关系中的结构性弱势，进而激励企业完善内部治理、优化数据安全体系，最终推动数据治理公共理性的实现。

数据要素经济价值要充分释放，核心挑战在于重塑数据处理者与数据来源者之间的关系模式——从固有的对抗博弈转向建设性的协同共生。从这一视角出发，个人信息权益不应被绝对化，而应被理解为旨在防范数据处理“次生风险”的审慎工具。这些风险包括：因数据错误或者算法偏见导致的歧视后果、机会减损，以及因个人信息滥用或泄露引发的人身与财产损害。对抗性权利的制度功能，既在于为数据来源者提供救济途径，也需为其设定明晰的行权边界。此类权利的行使应严格限定于两种情形：一是数据处理行为违反法律规定或双方明确约定；二是该行为实质增加了数据来源者的合法权益风险。具体而言，对“违法处理”应作类型化区分：违反保护型规则（如未取得有效同意即处理个人信息）可直接触发对抗性权利；而违反管理型规则（如未妥善保存影响评估报告），则需以产生实际损害或者实质性风险为前提，方得行使权利。此种区分有助于避免权利滥用，引导数据治理回归风险防控的源点。即使在数据共同处理等复杂场景中，数据处理者内部责任划分不明亦不构成数据来源者行使权利的障碍。依据法定连带责任原则，数据来源者仍可向任一共同处理者主张权利，这既保障了权益救济的有效性，也倒逼数据处理者完善内部治理结构。

（三）数据价值再分配请求权：责任规则的“寒蝉效应”与缓释机制

在当前的数据治理实践中，数据权利基础已从传统上聚焦于人格关联性的防御保护，逐步扩展至涵盖数据价值创造过程中的财产性利益确认与分配。前者旨在通过约束数据处理行为，防范个人在数字空间的人格尊严完整性受侵害；后者则要求法律必须回应个人作为数据价值源头，对其参与创造的数字财富享有的合理分享诉求。这一双重价值目标在数据生态中具体化为数据来源者、数据处理者及第三方机构之间“利益共生与制衡”的复杂网络。有地方立法探索已开始遵循“谁投入、谁贡献、谁受益”原则，尝试界定数据财产性权益的分配机制；司法实践同样认为需要在保护数据来源者权利与鼓励数据处理者创新投入之间取得平衡，并在裁判中逐步形成“贡献度”等关键考量因素。因此，构建面向未来的数据权益配置框架，必须在坚守人格尊严底线的前提下，超越单一的防御逻辑。核心在于通过制度设计，在法律上确认个人在数据价值链条中的基础性贡献，并为其创设可行的权利行使路径，使其从被动的保护对象，转变为主动分享数字经济发展红利的参与者。

1.数据价值分配的理论基础与现实争议

数据权利配置的核心，在于为数据处理者、数据来源者及使用者构建一套清晰、可预期的利益分配秩序。数据来源者是否应当以及如何在数据价值分配中享有权益，是构建数据价值再分配请求权必须直面的理论前提。学界存在如下争议：①“贡献论”强调数据来源的基础性价值，认为个人作为数据生成的源头，理应参与价值分配。该主张基于如下考量：一是数据生产的源头性。海量数据首先源于用户日常活动与持续的“数字劳动”，这构成整个数据价值链的根基；二是数据处理者角色的后续性。数据处理者主要通过技术手段进行数据的收集与汇聚，可被视为数据生产链条的后续环节。②“价值创造论”聚焦数据处理的价值增值，对个人参与数据价值分配持保留或否定态度，其主要理由为：一是数据规模化处理的增值效应。单一个体或单条信息的经济价值有限，数据的巨大商业价值主要来自于数据处理者投入的资本、算法、存储设施及专业人才等生产要素，通过规模化处理与加工形成；二是企业投入的关键性。个人提供的是“原材料”，而数据处理者通过技术、管理等要素投入，将碎片化、非结构化的原始数据转化为具有经济价值的数据产品，是价值创造的关键。更有学者指出，用户的数字劳动并未实质性参与数据生产，因此不应参与数据财产权的初始配置。上述理论分歧，凸显了数据价值分配核心问题在初始权益确认与价值创造激励之间的张力，这也正是构建数据价值再分配请求权制度需要审慎权衡与突破的核心难点。

若完全否认个人参与价值分配的权利，可能使数据来源者在其创造的基础价值中被体系性忽视，导致利益分配过度倾向于资本与技术方，最终动摇数字经济发展的公平性；反之，若将数据所有权绝对赋予个人，则可能因权利高度碎片化而极大推高数据流通与整合的制度成本，抑制企业对数据开发利用的投入意愿，阻碍数据要素规模化价值的实现。为此，有必要超越“全有或全无”的传统所有权思维，构建更具结构性的权利配置思路。一方面，应当承认数据处理者对其通过实质性投入所形成的数据产品享有支配性财产权益，以保障产业发展所必需的制度预期与激励基础；另一方面，亦应在法律上确立数据来源者享有以分享数据增值收益为核心内容的再分配请求权。该权利并非旨在争夺数据控制权或者否定数据处理者的数据财产权，而是基于个人在数据生成中的基础性贡献，赋予其在数据价值实现后主张合理经济回报的法律地位，从而在秩序稳定与分配正义之间建立起可持续的制度平衡。

2.数据价值再分配请求权的寒蝉效应及其克服

尽管数据价值再分配请求权有助于降低事前协商成本，但其作为“责任规则”在实施中仍面临三重制度挑战：一是定价机制的不确定性。由于数据资产缺乏成熟的交易市场，法院在裁定“合理对价”时可综合参考市场比较法、成本投入法与收益分成法等差异显著的评估方法，导致企业在事前难以形成稳定的成本预期，影响长期投资决策。二是救济程序的放大效应。尽管个体用户的单次请求金额有限，但消费者组织通过公益诉讼所聚合的请求数额可能极大，若再叠加惩罚性赔偿，将对数据处理者构成显著的诉讼压力，甚至异化为制度性负担。三是企业投入的抑制风险。对中小企业而言，潜在的事后赔偿责任可能削弱其数据开发的积极性，进而产生三类负向外溢效应：训练数据质量下降，制约人工智能模型性能；数据收集偏向高价值群体，加剧数字鸿沟；企业退出高附加值领域，市场集中度上升。为缓解上述效应，未来制度构建应注重三方面设计：设置合理的分配上限；推动形成行业基准定价；探索集体协商机制。在保障个体合理回报的同时维护数据产业的健康发展环境，进而避免寒蝉效应。

实现数据价值再分配请求权可操作性，必须对其法理内涵与法律性质进行清晰界定。从权利内涵来看，该请求权是指：当数据处理者通过对个人信息进行商业化利用而直接获得经济收益时，数据来源者依法或者依约向其主张合理补偿或收益分享的资格。其核心特征在于“再分配”机制——不介入数据收集、处理的初始环节，而是在数据价值经处理者投入与转化后，于最终收益分配阶段发挥调节作用。从法律性质辨析，明确权利性质是确定其行使方式、保护范围及救济路径的基础。对于数据价值再分配请求权的性质，宜从以下维度进行系统性审视：数据价值再分配请求权应明确界定为请求权，而非支配权或者形成权。支配权的本质在于对权利客体实施直接且排他的控制，而数据来源者显然无法对经数据处理者聚合、加工后的数据集实现此种支配。形成权的特征在于通过单方意思表示即可变动法律关系，而数据价值再分配请求权的行使并不具备此种终局性效力——其核心在于请求数据处理者履行支付合理对价的义务，本质上属于请求权范畴，法律效果体现为债的履行，而非法律关系的创设或者变更。进一步而言，该权利属于相对权（对人权），而非对世权。对世权的根本特征是可对抗不特定第三人，而数据价值再分配请求权的义务主体明确限定为实施数据处理行为的特定相对人，其效力范围仅限于特定当事人之间的法律关系框架，不产生超越此范围的绝对对抗效力。

数据价值再分配请求权应被界定为新型法定债权。传统债权通常基于合同、侵权等特定法律事实产生，而此项权利的生成逻辑与上述传统路径均有不同：其既不依赖于双方事先的对价合意（实践中平台用户协议往往排除了此项合意），也非源于侵权行为（合规数据处理本身不构成侵权）。该权利的确立基础是法律的特别创设，目的在于矫正数据处理关系中固有的结构性失衡与市场失灵现象。法律通过拟制方式，在数据处理者利用个人信息创造价值时，法律应当明确其与数据来源者之间建立一种法定的给付关系。此种权利生成机制，与劳动法等社会性立法中为保护弱势方而直接设定权利义务关系的逻辑一脉相承。因此，将数据价值再分配请求权界定为法定债权，不仅契合其法定性、相对性特征，更能为其提供稳固的法理根基与请求权基础。总之，此项权利在法理上应被定义为：以数据处理者为法定债务人，以数据来源者为法定债权人，以请求分享数据增值收益为内容的特殊法定债权。

3.数据价值再分配请求权的运行机制

数据价值再分配请求权的规范重点，在于厘清其触发条件与适用范围。该权利的行使应紧密围绕数据来源者在数据价值生成过程中的实际贡献程度，以及数据处理活动的收益性质。通过构建“主动贡献优先、被动参与限权、衍生价值让渡”的三层筛选机制，可有效划定数据价值再分配请求权的作用域，在保障个人权益的同时尊重企业的合法财产权益，为构建平衡的数据治理生态奠定基础。首先，以“积极数字劳动”为优先分配收益标准。当数据内容直接源于用户主动且有意识的创造行为时，其贡献度最高，应纳入分配范围。典型场景包括用户自主生成的社交内容（如发布的图文、视频、评论），主动提交的结构化信息（如填写的问卷、注册资料、偏好设置），具有明确意图的行为轨迹（如特定搜索记录、主动发起的交易信息），上述数据体现用户目的性投入，构成数据价值形成的原始基础，故应享有优先分配地位。其次，用户被动参与的场景限制获取收益。对于用户仅作为被观察、被记录对象的情形，应严格限制数据收益再分配请求权的适用范围。例如，数据处理者在公共场所通过传感器采集的影像、声纹等生物特征，系统自动记录的终端设备运行状态、环境参数等机器生成数据。再次，经聚合处理后无法关联至特定主体的统计数据，如行业趋势报告、匿名化处理后的统计数据集、用于训练人工智能模型的聚合数据包等。这类数据的价值主要凝结了数据处理者的智力劳动、算法和资本投入。此类数据中用户缺乏主动贡献意识，其法律地位更接近于被动的“数据客体”而非“数据主体”，原则上不产生数据收益分配再请求权。复次，确立衍生数据的权利排除机制。对于数据处理者运用算法分析、模型训练等技术手段对原始数据进行深度加工后形成的衍生数据，应遵循以下规则：一是价值归属重定原则，即当数据经深度加工形成用户画像、趋势预测模型、知识图谱等衍生形态时，其价值来源已从初始数据转向企业的技术投入与资本贡献；二是权利边界让渡原则，此类数据产品的财产权益应主要赋予投入智力劳动与创新资源的数据处理者，数据来源者的初始贡献因经历质变性转化而无权直接主张权益。

确立合理分配份额是数据收益分配制度建构的难点。僵化的固定比例模式难以适应复杂多样的数据处理实践，应代之以弹性化、多因素联动的评估框架。该框架可在立法确立基本原则的基础上，授权监管机构制定实施细则，或推动形成行业共识性指引。分配比例的确定应综合考量以下关键因素：第一，数据贡献维度，即评估特定个人信息在最终数据产品中的价值权重、不可替代性及稀缺程度；第二，企业投入要素，即核算数据处理者在技术研发、基础设施、人力资本及市场培育等方面的必要成本；第三，价值实现方式，即区分直接变现模式（如精准广告）与间接价值转化（如服务优化、模型训练）的收益差异；第四，参照行业惯例，即参照同类业务场景中通行的利益分配惯例与市场公允水平；第五，协商调节机制，即引入基于消费者组织代表的集体协商程序，为大型互联网平台与用户群体之间建立制度化的利益协调渠道。此种结构化评估方法，既避免了一刀切的弊端，又为不同场景下的合理分配提供了可操作的判断基准，能在保障数据来源者权益的同时充分尊重数据处理者的创新投入与经营自主。

数据价值再分配请求权需衔接现行法律框架。《个人信息保护法》以人格权保护为基础架构，确立以“告知—同意”为核心的程序保障体系。而数据价值再分配请求权旨在承认个人对其信息要素的财产性权益，二者分别从不同维度实现对个人信息的一体保护。前者赋予个人对数据处理活动的“准入决定权”，后者则保障个人在数据价值实现后的“利益分享权”，形成功能互补、层次分明的双重赋权结构。在立法路径上，可考虑通过修订《个人信息保护法》并增设专门章节，或在制定中的数字经济促进法中确立数据收益分配规则，系统构建兼顾人格尊严与财产利益的双重保护体系。这一制度安排既延续了现有法律对个人主体地位的尊重，又回应了数字时代对数据要素权益配置的新要求，为我国数据治理体系的完善提供规范基础。

五、结语

数据正深刻重塑着人类的生产、消费与生活方式。人工智能时代，数据被广泛用于智能系统训练，成为推动产品创新与服务优化的基础性要素。作为一种新型生产要素，数据不仅极大释放了人类社会的发展能量与创新活力，更日益成为驱动社会变革与增进公共福祉的核心力量。依托数据挖掘与分析形成的模式识别与预测技术，正显著增强人类决策能力。在此背景下，如何破除数据流通交易与深度复用的制度障碍，已成为数字时代亟待解决的理论和实践议题。数据权利的结构设计，应立足于多元主体之间的利益平衡：一方面，数据处理者作为数据价值转化方，应享有以支配、控制、收益和处分为内容的财产性权利；另一方面，数据来源者则应在数据处理过程中，享有防止人身和财产权益受侵害的防御性权利，以及依其贡献参与数据收益分配的请求权。个人信息权利体系迭代的核心，不在于“谁压倒谁”的零和博弈，而在于让数据安全制度、数据财产权制度与数据收益分配制度各归其位、协同发力。其中，数据安全制度依托技术标准与流程管控，系统性化解数据处理风险；数据财产权制度通过清晰权属与流通规则，持续激励数据价值创造；数据收益分配制度依托法定债权与集体协商机制，有效矫正贡献与收益失衡。唯有完成此番“制度转轨”，方能突破“同意疲劳—流通抑制—创新停滞”的恶性循环，在数字时代协调数据安全、要素流通与分配公平的三重目标。

（责任编辑：彭錞）

【注释】

[1] 参见王利明：“数据何以确权”，《法学研究》2023年第4期，第65页。

[2] 参见沈健州：“数据财产的权利架构与规则展开”，《中国法学》2022年第4期，第92页；刘文杰：“数据产权的法律表达”，《法学研究》2023年第3期，第36页；宁园：“从数据生产到数据流通：数据财产权益的双层配置方案”，《法学研究》2023年第3期，第73页；张新宝：“论作为新型财产权的数据财产权”，《中国社会科学》2023年第4期，第157页。

[3] 参见张新宝，见前注[2]，第158页。

[4] 参见刘文杰，见前注[2]，第44页。

[5] 参见王利明：“论数据来源者权利”，《法制与社会发展》2023年第6期，第36页。

[6] 参见申卫星：“论数据用益权”，《中国社会科学》2020年第11期，第118页。

[7] 参见梅夏英：“数据持有在法律上意味着什么？——一个基于信息流动元规则的分析”，《比较法研究》2023年第6期，第12页。

[8] 参见丁晓东：“论数据来源者权利”，《比较法研究》2023年第3期，第14页。

[9] 参见（立陶宛）伊格纳斯·卡尔波卡斯：《算法治理：后人类时代的政治与法律》，邱遥堃译，上海人民出版社2022年版，第24页。

[10] 参见常佳琦、王琨、柯晓燕：《高质量数据成为大模型“卡脖子”问题》，载数字经济观察网，https://www.szw.org.cn/20230614/61935.html，最后访问日期：2025年10月7日。

[11] 参见高富平：《数据经济讲义》，人民日报出版社2024年版，第11页。

[12] 参见刘泽刚：“欧盟个人数据保护的‘后隐私权’变革”，《华东政法大学学报》2018年第4期，第58页。

[13] 参见戴昕：《信息隐私：制度议题与多元理论》，北京大学出版社2024年版，第158页。

[14] 参见高富平：“个人信息处理：我国个人信息保护法的规范对象”，《法商研究》2021年第2期，第80页。

[15] 参见（德）莫尔·巴库姆等：《个人数据保护整体性进路：基于竞争法、消费者权益保护法与知识产权法的视角》，文学国、金枫梁等译，上海大学出版社2023年版，第49—50页。

[16] 参见丁晓强：“个人数据保护中同意规则的‘扬’与‘抑’——卡—梅框架视域下的规则配置研究”，《法学评论》2020年第4期，第134页。

[17] 参见高志宏：“大数据时代‘知情—同意’机制的实践困境与制度优化”，《法学评论》2023年第2期，第120页。

[18] 参见王成：“个人信息民法保护的模式选择”，《中国社会科学》2019年第6期，第143页。

[19] 参见冯晓青：“知识产权视野下商业数据保护研究”，《比较法研究》2022年第5期，第32页。

[20] 参见于浩：“我国个人数据的法律规制——域外经验及其借鉴”，《法商研究》2020年第6期，第140页。

[21] 参见赵鹏：“‘基于风险’的个人信息保护？”，《法学评论》2023年第4期，第125页。

[22] 参见王利明：“论数据权益：以‘权利束’为视角”，《政治与法律》2022年第7期，第104页。

[23] 参见鲁佑文、马亚鑫：“信息源与风险源：大数据时代个人信息安全困境及应对”，《现代传播》2019年第11期，第82页。

[24] 参见王利明，见前注[22]，第107—109页。

[25] 参见王叶刚：“企业数据权益与个人信息保护关系论纲”，《比较法研究》2022年第4期，第37页。

[26] 参见李爱君：“论数据权利归属与取得”，《西北工业大学学报（社会科学版）》2020年第1期，第95页。

[27] 参见彭诚信、杨思益：“论数据、信息与隐私的权利层次与体系建构”，《西北工业大学学报（社会科学版）》2020年第2期，第79页。

[28] 参见付新华：“个人信息权的权利证成”，《法制与社会发展》2021年第5期，第128—129页。

[29] 参见高富平：“数据资产化：数据资产入表的法理基础”，《东方法学》2025年第5期，第76页。

[30] 参见王锡锌：“国家保护视野中的个人信息权利束”，《中国社会科学》2021年第11期，第125页。

[31] 参见付新华，见前注[28]，第128页。

[32] 参见程关松：“个人信息保护的中国权利话语”，《法学家》2019年第5期，第20页。

[33] 2025年10月28日最新修订的《网络安全法》虽然未对告知同意规则做直接修改，但通过新增第42条第2款衔接《个人信息保护法》，实质强化了合规联动性。

[34] 参见张新宝，见前注[2]，第158页。

[35] 参见王锡锌，见前注[30]，第118页。

[36] 参见程啸：“民法典编纂视野下的个人信息保护”，《中国法学》2019年第4期，第41页。

[37] 参见许可：“论个人数据权利堆叠规范”，《法学评论》2023年第5期，第134页。

[38] 参见王怀勇、常宇豪：“个人信息保护的理念嬗变与制度变革”，《法制与社会发展》2020年第6期，第150页。

[39] 参见阮爽：“《欧盟个人数据保护通用条例》及其在德国的调适评析”，《德国研究》2018年第3期，第98页。

[40] 参见丁晓东：“论数据携带权的属性、影响与中国应用”，《法商研究》2020年第1期，第83页。

[41] 参见（波）马里厄斯·克里奇斯托弗克：《欧盟个人数据保护制度：<一般数据保护条例>》，张韬略译，商务印书馆2023年版，第243页。

[42] 参见金晶：《数据交易法：欧盟模式与中国规则》，中国民主法制出版社2023年版，第82页。

[43] 参见宁园，见前注[2]，第75页。

[44] 参见戴昕，见前注[13]，第136页。

[45] 参见周文、韩文龙：“数字财富的创造、分配与共同富裕”，《中国社会科学》2023年第10期，第4页。

[46] 参见龙卫球：“数据新型财产权构建及其体系研究”，《政法论坛》2017年第4期，第76页。

[47] 参见黄铭、何宛怿：“‘数字劳动’平台化的辩证分析”，《国外社会科学》2021年第2期，第56页。

[48] 参见武腾：《数据交易的合同法问题研究》，法律出版社2023年版，第126页。

[49] 参见梅夏英：“在分享和控制之间数据保护的私法局限和公共秩序构建”，《中外法学》2019年第4期，第863页。

[50] 参见张新宝，见前注[2]，第160页。

[51] 参见郭春镇、马磊：“大数据时代个人信息问题的回应型治理”，《法制与社会发展》2020年第2期，第186页。

[52] 参见宁园，见前注[2]，第82页。

[53] 参见申卫星：“论数据产权制度的层级性：‘三三制’数据确权法”，《中国法学》2023年第4期，第34页。

[54] 有学者提出应当依照劳动财产理论赋予个人对其数据享有所有权，从而矫正个人被数据处理者剥削的不公正局面。参见（英）克里斯蒂安·福克斯：《数字劳动与卡尔·马克思》，周延云译，人民出版社2020年版，第345页。

[55] 参见康宁：“数据确权的技术路径、模式选择与规范建构”，《清华法学》2023年第3期，第164页。

[56] 参见许娟：“企业衍生数据的法律保护路径”，《法学家》2022年第3期，第72—87页。

巩姗姗，北京邮电大学人工智能法律研究中心副教授