观点:互联网司法与数据产权

摘要
数据权属及其分配规则不清，已成为数字经济发展的最大制度障碍。要正确讨论数据权属问题，首先需要对隐私、信息与数据三个概念进行清晰界定。个人信息与隐私最大的区别在于个人信息强调自我决定权，隐私保护个人安宁不被破坏；而信息与数据的区别在于信息属于内容，数据是存储信息的载体。基于上述差异，应采用相应的保护路径：第一，应当明确个人信息的性质，承认个人信息权，主要强调信息保护的是人格法益，而不是保护个人信息不被破坏，主张以单独同意作为个人信息处理的平衡；第二，数据产权的界定是保护数据安全的关键，倡导数据所有权与用益权相区分的二元模式，用户作为数据原发者拥有数据所有权，平台作为数据处理者拥有数据用益权。
随着现今数字经济和信息社会的显著变革，互联网行业的建设与发展离不开互联网司法和数据产权的协助。在数据已成为第五大生产要素的当下，数据的权属在立法上仍缺乏一个清晰的界定，学者之间围绕数据的性质和数据权属的分配众说纷纭。在这一方面，互联网司法，特别是杭州互联网法院的审查工作，对数据确权起到非常重要的推动作用。

一、隐私与数据的差序格局

数据、信息和隐私这三个基本概念虽然在数字经济发展过程中经常出现，但这三个概念之间相互纠缠，并呈现出混序的状态，以至于三者在立法上是否可以相互替代还需要进一步研究。因此，对这三个概念进行清晰界定是数据顶层设计的一个重要前提。

在立法上，《民法典》第1032条不仅把隐私作为法律权利类型，而且将隐私构建成为一个自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。除此之外，《民法典》还增加了第1034条作为保护个人信息的一般条款，目的在于保证自然人的私人生活的安宁。个人信息中属于私密信息的，也受到隐私权的保护。这确立了现代网络时代隐私权保护的具体加抽象的一个基本格局。

在实践中，无论是人民群众的认知、媒体的报道还是学者的研究，只要提到了信息，就自然会关注信息的内容，尤其是敏感信息。而信息的内容涉及范围很广，其中的私密性内容则涉及隐私。因此，若数据、信息、隐私这三个概念不清晰，显然会阻碍社会经济发展。

（一）信息与隐私的区分

信息和隐私是否能以一定的标准区分呢？根据《民法典》第1034条，相关信息如果构成私密信息，则适用有关隐私权的规定。个人信息中是否存在不属于私密信息的内容，从而适用《民法典》第1034条到第1039条中关于个人信息的规定呢？在隐私的保护程度高于个人信息的情况下，是否还有必要讨论关于个人信息的保护？例如，电子邮箱、手机号码、家庭住址、出生日期是否属于隐私？身份证号码涉及的生物识别信息、健康信息中的内容是否均属于私密信息？针对一般个人信息的保护和私密的隐私权保护的把握度、区分度在哪里，是目前待解决的第一个难点。

欧盟《通用数据保护条例》第4条提到了“个人数据”（personal data），且其中的 “个人数据”（personal data）和 “个人信息”（personal Information）是互相证成的同一概念，二者不做区分。个人信息、个人数据、隐私三者界限模糊、存在交叉，出现一种混序的状态。若想让处于混序状态的三个概念形成一个有序的状态，首先应设法使三者形成一个差序的格局。

个人信息和隐私的概念不同，不能单纯地将个人信息与隐私混同。私密信息属于隐私，但个人信息中亦包含一些不具备私密性的信息，这类信息虽不应以隐私的标准去保护，但仍然应受到个人信息层面的保护。以电话号码为例，很多人认为电话号码、姓名不是隐私，因为电话号码的主要目的是用来进行社会交往。电话号码便于相互联系，便于为包括美团外卖APP等在内的第三方服务业提供服务等等。因此，个人信息作为传递信息、支持正常社会交往的基础，既要加强个人信息权益的保护，也要促进个人信息的利用。个人信息和隐私最大的区别在于隐私要保护私人的生活安宁，而个人信息是既要加强保护，又要加强运用。在保护上，个人信息的重点是强调所谓的自我决定的权利。例如，在“微信读书”案中，法官谈到了机器可读和人可读的差别，人可读属于隐私，机器可读则属于个人信息。

个人信息与隐私受法律保护的程度有所不同。个人信息主要侧重于社会交往的可识别性，使用个人信息前需要得到个人的知情同意。而隐私侧重保护个人生活的安宁，法律保护私人生活不被打扰。对于个人信息中具有私密性的私密信息，则同时受到法律对于隐私的保护与个人信息利用规则的调整，可见法律对于私密信息的保护介于两者之间。

（二）信息与数据的区分

基于概念的比较可以发现，欧洲地区流行的“数据保护”，与在美国所使用的“隐私”或者“个人信息保护”指代了基本相同的内涵。从概念发展史看，个人数据是从隐私权中发展而来，20世纪70年代在欧洲召开的多次人权会议就已经认识到计算机技术大规模处理数据带来的隐私风险，但数据不等于隐私或个人信息本身。在经济合作与发展组织（OECD）于1980年发布的《跨境数据流动与隐私保护指南》中，个人数据被定义为已经或者能够识别到特定个人的任何信息，然而其适用对象仅限于自动化处理的个人数据，其保护的目标是隐私和个人自由。据此，数据强调的是客观存储在计算机系统中的事物，而隐私和个人信息则是数据或者其他载体所揭示的人格内容。换言之，电子数据是人类发明的一种符号，不因人的认识不同而不同，因此客观性强；而信息则是符号所反映的内容，强调的是人对于数据的认识，因而具有一定的主观性。作为人格权客体的个人信息，其保护的内容是其所反映的与特定个人有关的人格利益；而作为财产权客体的（个人）数据所保护的，则是经过电子化设备采集而形成的客观存在物。
欧盟《通用数据保护条例》中的 “个人数据”和“个人信息”是互相证成的同一概念，二者不做区分，故而其规定中存在个人数据可携带权这类财产权能。但是，对于个人信息和个人数据的混用，会导致数据财产权制度的构建困难，已经引发了一些欧洲学者的批评。我国《民法典》构建了个人信息与数据相区分的差序体系，其中个人信息位于《民法典》第111条，处于第110条各种具体人格权和第112条身份权之间，《民法典》第四编人格权编第1034条至第1039条6个条文中对个人信息进行了较为详尽的人格法益保护体系构建；而数据则是在《民法典》第127条中与虚拟财产并列作为一种财产权确立下来，这一思想需要在《数据安全法》《个人信息保护法》等相关法律法规中进一步落实。

个人信息、个人数据、隐私这三个概念经常纠缠，以至于在立法的时候顾此失彼。故而，必须打破三者之间的混序状态，构建一种差序的格局以便正确对三者进行区分和界定，并针对性地建构保护规范，从而保障个体人格自由、维护个体生活安宁、促进数据的流通与利用。

二、保护路径与立法建议

（一）明确个人信息的性质

明确个人信息的性质，则须承认个人信息权，并细化关于个人信息保护的条款规定。企业认为授予个体个人信息权将会影响数字经济发展，特别是企业的数据产业的发展。但事实并非如此，个人信息不需要被定位为与隐私权一样高位置上的人格权，个人信息确权反而有助于确定企业与个人双方的权利义务。

（二）数据产权的界定

个人数据能否成为财产权的客体是数据财产权构建的关键问题。隐私权倡导者认为，企业对数据的控制与使用可能会导致个人信息泄露，如果企业可以通过财产权来控制这些个人数据，则几乎不可能保护个人的隐私权。这种推理就会得出非常激进的结论：信息与数据是一体两面，以至于企业不能控制个人数据，控制数据就控制了隐私，个人数据不应该进行交易，交易个人数据就是交易个人信息。

新一代信息技术成果的落地主要是服务于人，所以与个人有关的数据利用、共享和交易普遍且必要。国际市场中数据交易中间商所处理的主流数据也大多是与个人有关的数据，美国联邦贸易委员会定义的“数据经纪人”（data broker）则专指收集消费者个人数据并转售或与他人共享该数据的公司。欧盟消费者保护专员梅格丽娜·库列娃也曾宣称，个人数据将成为新的“石油”，是21世纪的宝贵资源，它将作为一种新的资产类别出现。与此同时，个人数据和非个人数据之间的界线并不清晰，现在被视为非个人数据的数据可能会由于技术预判错误而可追溯为个人数据。随着数据处理技术的进步和可用于分析的数据量增加，绝对和不可逆的匿名化将不再可能，大数据分析技术会使得可识别数据和不可识别数据之间非此即彼的区别变得毫无意义。因此，将个人数据排除在财产权的客体之外，不符合数据要素市场发展需求的实际情况。

显然，对个人数据和个人信息进行区别处理才是厘清数字权利体系的关键：个人信息属于人格权益的范畴，以人格属性的内容作为保护对象；而个人数据则是将个人信息以电子化形式记录的客观存在作为保护对象，属于财产权范畴。这一区分可以避免人格权和财产权之上不同价值的直接冲突，其中个人数据财产权侧重于静态固定下来的电子记录，而不是动态反映个人特征的信息内容。我国《民法典》的立法者明确区分了个人信息和数据，将二者分置于第111条和第127条，从而将个人信息作为人格权益的客体加以保护，而数据则被划入了财产权的范畴。《民法典》在“人格权编”对个人信息进行了专章规定，但是“物权编”对数据财产的保护却付之阙如。《民法总则》之前的立法并未区分“数据”和“个人信息”，早期的数据财产经常被纳入个人信息加以保护，但随着数字经济的迅猛发展，数据必然要与信息相分离并成为法律所关注的独立权利客体，类似载体与作品的区分。在数据之上构建科学的权利体系，将个人信息列入人格权益保护，不仅具有逻辑基础，而且可以使两种权益在各自的轨道上都能得到充分保障，从而满足数字经济发展对个人信息和数据在不同层面的需求。

（三）数据用益权的二元权利结构

《数据安全法》与《个人信息保护法》的立法重点有所不同。2019年10月31日党的十九届四中全会通过《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》，首次明确数据与劳动、资本、土地、知识、技术、管理并列作为生产要素按贡献参与分配。2020年3月30日发布的《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》，明确把数据和土地、劳动力、资本、技术并列为五大生产要素。

《民法典》第127条规定：法律对数据、网络虚拟财产的保护有规定的，依照其规定。实际上，这是立法有意的留白，以便以一个宽容审慎的环境促进发展。对数据权属的分配，司法界曾提出行为规制（外部）和赋权（内部）两种模式。外部规制的行为模式是以刑法、反不正当竞争法对侵害数据的行为进行规制。随着数据系统安全和数字经济秩序重要程度的提升，刑法和反不正当竞争法确实发挥了一定的保护数据财产安全的功能，但行为规制模式主要以公共秩序为着眼点，并不直接关注数据本身的财产权地位。这种补救性治理通过被动应对的方式，实现经济秩序的矫正。其不足之处在于，无法积极主动地促进数据要素市场的发展，无法满足数据流转的独立权利机能之需要。因此，确认数据财产权性质与权属尤显必要而急迫。有些学者采用著作权或者合同权利来对数据进行保护，但是著作权强调创造性，其不保护未经加工创造的原始数据，数据库的著作权保护模式是基于静态的数据库加工技术，并不适应物联网时代的原始数据动态利用情况。而合同权利保护模式，亦存在不足之处。非财产制度不会创造普遍的权利，合同上的债权并不能完全取代数据的财产利益，因为合同的相对性导致其效力范围只能及于特定对象，而作为关系规范（Beziehungsnorm）的合同债权无法实现普遍的权利自由流转。这样的规制模式存在两个缺点：第一，无法积极主动地促进要素市场的发展；第二，无法满足数据流转的独立权利机能之需要，要进行分组项的授权模式。

在新浪诉脉脉一案中，新浪认为脉脉非法抓取了新浪微博用户的一些数据，但是脉脉认为其未非法抓取，用户和微博平台之间就用户数据的归属权产生了争议。同样的案情在不同国度，结果不一样。实际上，这不仅仅是国度的问题，也是网站定位与产业发展目标的问题。

淘宝诉美景案是中国司法判例中确认数据具有财产性权益的第一案。从判决中可以看出，在企业进行投入之后，其所收集的数据形成了所谓的衍生数据。换言之，当公司对数据处理付出许多劳动与资本获取优势地位、资源后，他人不当的获取自然形成不当的利益。这种获取的利益，存在一种产权。该案确认了平台运营者对其收集的原始数据有权依照其与网络用户的约定进行使用，并对其研发的大数据产品享有独立的财产性权益，具有开创性的意义。

数据的形成，除去自然资源数据外，都是由人类的网络活动所引发，再加上平台企业和数据公司的贡献和投入，方能使数据得以获取、存储以及再呈现。但是围绕着诸多数据形成的参与者进行数据权属的分配，需要考量劳动、资本、授权、制度设计以及有关权益平衡与激励机制等因素。不能因为付出了劳动或者资本投入就直接赋予数据处理者数据产权，用户是真正的数据研发者。从数据的全生命周期来看，数据起源于用户的网络接入行为，对用户进行赋权应该成为数据权利配置的起点。数据处理企业，同样付出了大量的劳动和资金投入，赋予其相对稳定的财产权有利于数据资源的优化配置与激励机制的形成。但若赋予处理者以数据所有权，却违背了数据是由用户引发产生这一逻辑起点，也不利于构建共建共享的互联网。

不论是劳动还是资本的投入，确实形成了利益，这个利益的分配需要借鉴二分法，实现所有权和使用权的二分。可以借鉴自物权—他物权和著作权—邻接权的权利分割模式，在数据权利体系设计上，根据不同主体对数据形成的贡献来源和程度的不同，设定数据原发者拥有数据所有权与数据处理者拥有数据用益权的二元权利结构，以实现用户与企业之间数据财产权益的均衡配置。

在权利分割模式下，数据所有权归属于作为数据原发者的用户，符合数据财产权缘起的客观事实。同时，对于如何给为数据形成做出巨大投入和贡献的平台企业赋权这一难题，则可以类比著作权和邻接权。如一部小说的写作自然是作品以及对作品进行演绎产生一系列作品权利最主要的缘起。其后以小说为基础而进行的再创作，如评书表演、电影和电视剧的拍摄，都会使小说的影响力提升，甚至有时还会比小说更有名气，即使如此，也不足以赋予评书的表演者或者导演以著作权，而只能赋予其邻接权，因为作品的原创是一切后续财产权产生的源泉（无论价值大小）。这样的思路同样适用于数据权属的分配问题。不论平台企业或数据公司对数据的采集、存储、加工投入多少，都不足以使其超越数据的原发者——用户而成为数据所有权人，只能取得类似于邻接权的他物权。总之，对数据原发的用户赋予数据所有权是尊重数据权利源泉的表现，同时也要充分尊重对数据进行采集、加工的数据平台企业，赋予其数据用益权。这符合数据产生的实际情况，也客观呈现了各方参与者对于数据形成所发挥的不同作用。

在数据要素市场发展中，不仅存在企业和个人的数据权利冲突，不同数据企业之间也存在数据竞争、数据壁垒、数据劫持、数据爬取等问题。引入用益权制度解决数据权属问题，不仅能够实现用户和企业之间的权限分配，而且能够调和不同数据企业之间的利益冲突，从而为数字经济的发展搭建清晰的权属框架。更重要的是，目前国内外均已出现数据交易市场和共享平台，为促进数据权益的通畅流转，确保各方交易安全，构建数据用益权以及相关的配套制度就变得更加重要。

数据用益权初次取得的事由包括数据采集、加工等行为。其中，采集主要是通过手机、电脑、摄像机等设备或者其他传感器对个人、企业、社会和大自然等广泛的物理社会进行数据的采集。于此情形，数据采集为物联网时代数据来源的首要方式。加工包括对原始采集所获得的数据进行计算机处理，也包括通过网络爬虫等方式进行网络数据收集，此类数据处理行为往往需要满足一系列合法性要件才可以成为取得数据用益权的基础。此外，数据用益权也可以通过共享、交易等方式取得，这是数据要素市场繁荣发展的重要基础。

数据用益权属于一项新兴财产权，根据物权法定原则必须由法律予以明定。然而，现行的《民法典》和过去的《物权法》都未对其进行规定。根据《民法典》可以看出，未来可能把数据用益权作为法定的物权类型写入法律。在未来修订《民法典》时，可以在《民法典》物权编这一部分分别规定数据所有权和数据用益权，以明确自然人、法人、非法人组织和国家取得数据所有权和数据用益权的条件，并建立以数据用益权登记为核心的配套制度，形成完整的数据权利体系。确立“数据所有权＋数据用益权”的二元权利结构，并在此基础上设置数据财产流转制度，体现数据的安全与发展并重的原则，将有助于促进数据的利用。

三、结语

平衡数据主体、处理者和社会公共利益的关系在数据财产权体系构建中至关重要，需要用民法思维对信息、隐私、数据这三者之间的关系做系统的思考。只有在法律上对数据财产权进行精准界定，才会产生积极的价值，才能够有助于保护数据的安全。数据财产权益的分配不应当是博弈，而应当采取共赢机制，实现对数据的利用激励和安全保护激励的双重目标。个人信息保护不仅应该保护个人信息，更应该保护个人信息的利用。