“数据为王”时代，法律如何界定数据的权属？

“

《计算机软件服务合同》中能否约定：经由软件使用方（甲方）上传至软件提供方（乙方）软件系统里的一切数据信息所有权归甲乙双方共同所有？

这个实务问题，即包含了协议双方对已经收集信息的使用控制权的现实需求和主张，又包括了双方对数据信息到底是什么权属的认识。鉴于此，笔者想从该问题出发讨论一下《个人信息保护法》《数据安全法》《网络安全法》中，到底规定了哪些权利？这些权利到底是什么性质的权属？

”

文 | 许秀慧 杜欣宜 北京德恒(兰州)律师事务所

本文由作者向新则独家供稿

- 1 -

我国数据的分类

《数据安全法》规定的数据是指任何以电子或者其他方式对信息的记录。国家建立数据分类分级保护制度，且是从数据安全保护的角度进行分类保护即根据数据在经济社会发展中的重要程度，侵权后对国家安全、公共利益或者个人、组织合法权益造成的危害程度，进行分类分级保护。

从该规定中可以看出我们国家的数据分类即有安全程度、危害程度从上到下的分类，也有从权利主体的合法权益横向分类，笔者本文探讨横向类别即数据信息包括：国家安全数据、公共利益数据、组织数据、个人信息数据。

国家安全数据涉及到国家主权、安全及国家整体展利益保护；公共利益数据涉及公共安全、公共利益、社会秩序；组织数据涉及企事业单位合法权益。个人数据即个人信息涉及个人信息权益即财产权益和人身有关的人格生命有关的权益。

1. 个人信息的权属问题

《个人信息保护法》规定任何组织、个人不得侵害自然人的个人信息权益。在上述规定里可以找到的答案是：个人信息的权利主体的界定非常清楚，即自然人为个人信息的权利主体，且任何人除非法律规定情形外不得通过处理个人信息而侵害自然人的合法权益，包括财产权益和与人格生命有关相关权益。

《个人信息保护法》通过规定任何人（除法律规定情形外）在处理个人信息时都要在充分告知的前提下征得权利人同意，且保证信息权利人可以行使撤回同意权、可查询复制权、补充更正权、可携带权、请求删除权等等权利来保证自然人信息权益，从上述规定可以看出即便规定了个人信息的权利主体是个人主体，个人主体通过，《个人信息保护法》规定的同意权、同意撤回权等等来保护个人合法权益，但但对个人信息的合法权益到底是个什么性质的权利没有进行明确。

2. 国家安全数据信息的权属问题

国家安全数据是为保护国家主权、安全及国家整体展利益；公共利益数据涉及公共安全、公共利益、社会秩序，这些为了国家利益、公共利益的数据，从进行加工处理目的而言，当由国家政府机关控制和使用并严格按照分类分级进行保护，很显然这类数据虽由国家政府机关控制和使用，同样对该类数据的权利主体是谁？这类数据是个什么性质的权利同样也没有进行明确。

3. 企事业单位在生产经营过程中产生的数据权属问题

正如笔者文首提到的企业在收集加工处理过程中产生数据。包括基于个人信息为基础匿名化处理后的数据信息、企业生产经营过程中产生的其他数据信息到底属于谁，是什么性质的权属进行探讨非常具有现实意义。

笔者从数据的相关立法中并没有找到直接规定。在《数据安全法》开明宗义的立法宗旨：为了规范数据处理活动，保障数据安全，促进数据开发利用......。”从这些立法宗旨或者说立法原则可以看出，我国并非没有考虑到数据的权属问题，而是立法的目的在数字经济时代追求“利用”及“保护”的平衡，即对于数据的保护重点放在规范数据的处理行为，而非简单的通过确定权属以限制对数据的使用。

所以在立法过程中，我国的立法人员或有意或无意的不再定义数据的权属，而以“权益”一词予以替代。但这并不代表讨论这一类数据的权属问题就没有意义。相反其他要素市场主体如企业在生产经营过程中自行（或委托）收集产生的数据权属问题是比较复杂的问题，但基于数据价值要素探讨权属问题非常具有现实意义。

- 2 -

国外立法中的数据权属问题

我国立法中没有明确数据的权属，那么其他国家或地区是否就数据权属问题有过相关的立法呢？

首先，从目前全球范围内的数据立法来看，在已有接近1/3个国家通过数据保护专门法律，但对于数据的财产属性和权属同样未能予以明确。称的欧盟《通用数据保护条例》（General Data Protection Regulation, GDPR）来说，法律规则朝着强化数据主体权利、确保对个人数据使用控制的方向发展。

GDPR在进一步确认和完善个人的既有权利的基础上，通过第17条增加了删除权，通过第20条增加了可携带权等，以实现数据主体对其个人数据的更有效控制。但即便如此，条文本身并没有对个人数据的权属及财产权益分配在法律规则上进行明确[1]。换句话说，GDPR的规定虽然使得个人数据的主体对个人数据的控制权不断强化，但这并不等同于赋予了个人数据主体对个人数据的所有权，GDPR也没有明确赋予任何数据主体对数据完全的所有权。

其次，就鼓励企业数据流通和数据产业发展的立法规则而言，各国立法仍然在不断探索个人和企业之间就个人数据的权益分配和主张的可能空间。

以美国为例，一旦涉及数据权益纠纷，通常采用的做法是，援引现有判例法中关于隐私侵权的规定来处理互联网上用户个人信息的规范定位和法律问题，借此保护用户个人信息和规范数据经营者的行为界限，同时也会根据市场对数据流动与实际需要进行一定变通，更加务实地调整用户与数据经营者之间基于个人信息产生的利益关系，从而在数据保护与利用之间达到再平衡[2]。

日本《个人信息保护法》对个人数据的保护并不是通过为个人数据增设“所有权”等法定权利赋予个人对数据的拥有权或控制权，而是新设“匿名加工信息”制度，兼顾保护与开发利用、投资激励之间的平衡关系[3]。

- 3 -

我国立法对数据权属问题的触碰足迹

从地方立法来看，在国家培育数据要素市场的方针指引下，地方性数据立法接踵而至，但是对于数据的权属问题都予以了回避，代以“权益”二字。

首先，是依托贵阳大数据交易所的贵州，率先于2016年推出了全国首部关于数据开发应用的地方性法规《贵州省大数据发展应用促进条例》，但是受限于地方立法权及条例制定时的数据经济发展阶段，该条例仅规定“采集数据不得损害被采集人的合法权益”，并未直接触及数据权益问题。

其次，天津市在2020年发布的《天津市数据交易管理暂行办法（征求意见稿）》中已经意识到数据确权对数据交易的重要性，并明确规定“数据供方应确保交易数据获取渠道合法、权利清晰无争议，能够向数据交易服务机构提供拥有交易数据完整相关权益的承诺声明及交易数据采集渠道、个人信息保护政策、用户授权等证明材料。”但是该征求意见稿也未能触及数据确权的核心问题。而深圳走的更远，也获得了中央的强有力支持。

中共中央办公厅、国务院办公厅印发了《深圳建设中国特色社会主义先行示范区综合改革试点实施方案（2020－2025年）》，支持深圳率先“完善数据产权制度，探索数据产权保护和利用新机制，建立数据隐私保护制度。

试点推进政府数据开放共享。支持建设粤港澳大湾区数据平台，研究论证设立数据交易市场或依托现有交易场所开展数据交易。开展数据生产要素统计核算试点。”所以深圳曾在《深圳经济特区数据条例》征求意见稿中尝试定义数据权，并以此分类，即“自然人对个人数据依法享有数据权；公共数据属于新型国有资产，其数据权归国家所有；要素市场主体也有数据权，任何组织和个人不得侵犯。”

但在正式通过的《深圳经济特区数据条例》中修改为“自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。”该规定虽然未对数据信息的权属未进行最终明确，但是可以看出对数据信息也是从自然人、法人和非法人组织等各类主体角度出发进行了向财产权益方面的引导，也充分体现了数据信息的价值属性。

- 4 -

数据的法律属性如何归类——

物权、债权、知识产权、人身权？

从法律视角来审视数据，可以发现目前在法律中定义的“数据”包含了如下几个特点：

一是数据的外延无限广泛，可以包括任何与人自身、人的行为、心理、精神世界及智力活动及其所产生的成果、物质世界（包括除人之外的任何生物及物质存在）等所有范畴；二是数据规模和数据量巨大；三是数据具有财产价值及属性，具有使用价值和交换价值；四是具有与知识产权等类似的可复制、传播和重复利用性。

当我们在现有法律体系中将这四个特点一一对应时，发现竟没有一个权利的定义可以完全涵盖数据的全部特点，在现有的法律制度体系中没有它的容身之处，我们目前的民事法律制度中并无处安放这样一种特殊的存在。无论诉诸哪一种制度，仅仅只能覆盖到数据中的某一种类型或存在，而不能给予数据一个完整全面的规制和保护。

首先，数据显然不具备有形财产的特征。虽然数据的载体都属于受法律调整的有形财产范畴，但数据本身不具有有形物的特征，难以通过物权法的相关规定进行规范和调整。

其次，数据也不能很好地利用现有知识产权制度来进行规范和调整。知识产权只能覆盖数据中一些特定的类别，主要集中在以数字形式展现的具有独创性的智力成果，如电子书、电子照片、视频录像等，可以理解为是知识产权制度所保护的客体的电子化体现。

但对于一些具有高度创新性的数据发现，例如人类DNA信息是否能授予专利权保护，也因为其“发现”属性与专利制度天生设计初衷相违背而饱受争议与纠结。

此外，这些法律概念的出现都是根据大数据出现之前的环境和模式而进行规定的，在今天的社会背景下很难适用。例如，著作权体系下“数据库”作品，一般仅能享受到汇编作品所享有的对于信息的“选择”和“编排”方面的权利，而难以延及数据本身。

最后，数据当然也不能在人身权的范围内解决。根据《民法典》的相关规定，人身权的范畴内只能保护和调整那些属于个人隐私的信息。而作为与隐私信息相关却不完全重合的“个人信息”概念，根据《个人信息保护法》的规定，获得保护的范围仅限于“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”与“数据”的概念仍存在巨大差距。

目前，数据主流的得以纳入法律调整的方式是作为债权的客体。这也是目前数据在收集、加工、分析、交易环节中主要采取的法律规制方式。例如，《个人信息保护法》规定，在处理个人信息的时候，除非是法律规定的原因，否则需要征得个人的同意，一般理解为可以通过合同的方式获得该同意。

此外，大量数据在协议的约束下进行商业的传输、处理、加工和分析。而数据进行汇集处理后产生的大数据集合、或者数据加工后产生的结果信息，也通过协议的方式进行自由交易和流动。

然而仅在债权范畴对数据进行规制和调整显然并不能满足数据产业未来的发展。例如，债权的调整仅仅具有主体相对性，而缺乏对世权的绝对保护。因为没有确认数据的财产属性和地位以及相应的所有权制度，因此，如果发生数据财产被复制、窃取、截获等情形，将难以诉诸现行法律的保护。

而数据在被进行加工和处理后所产生的数据商品，由于没有确认数据在法律上的财产属性，其评估、交易、作价等方面都将缺少法律依据及相应的会计规则。争论已久的虚拟货币、虚拟财产问题，其实本质上也都可以归因于现行法律体系对于“数据”这一客观存在的缺位。

- 5 -

数据与大数据

“数据”与“大数据”看似只有一字之差，但是二者的定义完全不同。在王珊、萨师煊的《数据库系统概论》中，数据指的是指对客观事件进行记录并可以鉴别的符号，是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合。

而根据国务院2015年8月31日颁布的《促进大数据发展行动纲要》给出的概念，大数据是以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合。但是大数据并不意味着是单纯数据的总和，通常大数据会对大容量的数据进行归类整合。比方说，一个人单纯的身份信息、健康检查资料、消费记录是数据，但是大数据通常会通过对上述数据的整合得出一个人的行动轨迹、财产状况等。

从数据和大数据两个概念可以进一步衍生出另一个在大数据时代比较商业化的概念，即数据产品。广义上来说，数据产品指的是可用于利用数据价值帮助用户做出更优决策（甚至行动）的一种产品形式。

数据产品是数据经过识别、清洗、挖掘、建模分析等处理阶段过后，从大量的数据中筛选出有规律性且相关联的数据，经过分析且可视化操作后形成的。数据产品在用户做出决定和具体行动过程中既可作为信息分析展示也可作为价值体现，可以是经过处理的数据库，也可以是经过分析所得的数据报告等。

从上述含义中来看，像搜索引擎、个性化推荐引擎以及淘宝中的消费习惯推荐属于数据产品；阿里云所拥有的数据来自于阿里巴巴所记录的用户个人信息、消费记录等也是属于数据产品。

对数据进行大量采集，归类与整合，便形成了大数据。大数据经过匿名、清洁处理，成为数据产品。数据的权属在前文已进行了分析，在此不再赘述，而大数据与数据产品是否具有智力成果属性，需要进行个案分析确定。

比如某些金融科技公司采集个人信息后生成了类似个人征信的数据报告，应当说，这种数据报告是包含了一定的智力成果的，它是金融科技公司对数据进行整理以后形成的成果，整个数据整理的过程是金融科技公司投入智力活动的过程，这种智力成果应当受到知识产权法律制度的保护。“数据”与“大数据”虽然只有一字之差，但是我们可以说二者是完全不同的事物，在权属确定方面应当予以区别处理。

- 6 -

数据到底能不能从权利主体角度规定所有权？

本文一路探索到此，我们可以看出要对数据进行权属确定是一个身份复杂的问题。就以个人信息而言，个人的信息属于个人吗？那么，如果征得被收集者同意后进行收集的数据，数据收集者享有数据所有权吗？个人给予数据收集行为的同意，是否具有数据权转让或许可性质上的法律意义？

笔者认为，在数据中与个体主体相关的特定信息（例如遗传信息、个人信息、医疗信息、隐私信息等），仍然可以在人身权的范畴内进行保护和调整，这取决于社会总体价值取向中对于主体人权的保护。

而数据中的其它类型，例如关于客观物质世界的信息、人类行为的信息、人类智力劳动成果的信息，则可以考虑比照知识产权制度进行人为设计。既能够保障数据的收集者、处理者、分析者能够因为自己的投入和付出获得相应的财产权利保障，又能够保障社会公众利益及他人自主进行收集、处理、分析的自由权利。

此外，鉴于某些数据的产生和收集具有唯一性和不可重复性，随着数据产业的不断成熟发展，未来可能还需要对某些数据的所有权保护及许可、流转等设定相应的类似反垄断的规则，确保数据信息能够最大程度地被加以利用和开发，防止数据垄断的情形出现。

经过上述探讨，再回到开头的实务即《计算机软件服务合同》中能否约定：经由软件使用方（甲方）上传至软件提供方（乙方）软件系统里的一切数据信息所有权归甲乙双方共同所有的问题，当然不能一概而论的进行笼统约定：

首先，系统里的数据信息是否属于所有权在法律上没有定论。其次，数据信息中个人信息部分的权利主体只能是自然人当然不能共有。最后，数据信息中经由企业经营产生的数据（或经算法产生的数据）因其财产价值属性在不违反法律行政法法规、不损害国家利益、国家安全及其他权利主体的前提下可以协商约定。

结语

11月25日，上海数据交易所揭牌成立仪式在沪举行，并达成部分数据首单交易，为数据交易环境、交易流程、数据合规流通开创先河，同时彰显了数据价值属性。

小说《三体》中有这样一个情节，只携带了生物遗传信息的云天明大脑，能够被人类发射到未知的宇宙空间，并据此被外星生物以普通物质重新生成一个“云天明”复制人。这其实并非什么奇谈怪论。从另一个角度来审视我们世界，我们的世界构成除了基本的物理组分，也许就是“数据”或“信息”这样一个存在。它能够使相同的碳原子、氢原子、氧原子，在不同的遗传信息的指挥作用下变化生成为不同的物种、物质、人类。

而当你能够掌握的“数据”逼近无限时，你就能够逼近还原、重现一切历史及现实，包括所有的人、行为、思想、物质环境、一切的一切。一直潜藏在人类意识深处模糊不清的、我们奉为最高的所谓的“造物主”“神”或“罗格斯”，是否就是那个最终的数据集合的本源？

从数据到大数据，在这个数据为王的时代，数据第一次以一种独立存在的面目引起世人关注。我们世界的本质到底是什么？这是数据带给今天人类的哲学迷思。

# 推荐阅读 #