大数据背景下数据权利属性及其保护

大数据背景下数据权利属性及其保护

作者：商宝君 张博

来源：《智富时代》2019年第06期

【摘 要】数据作为现代生活的基础媒介和重要资源，其价值已被社会充分肯定，其法律保护也成为近年来社会关注的热点问题。*在中共中央政治局第二次集体学习时强调指出“要制定数据资源确权、开放、流通、交易相关制度，完善数据产权保护制度”，数据保护相关立法不但是对公民个人信息隐私的有力保障，也为大数据产业的蓬勃发展提供了法律支持。作为一种新兴的信息科技产物，单纯通过对传统民法框架内权利体系的调整适用，显然不能满足大数据交易实践中对权利保护和风险防控的需要，应着手构建数据权法律制度，明确数据的人身属性与财产属性，承认个人数据主体享有人身权益的同时，对企业数据主体享有的数据资产权予以充分肯定，在个人隐私与社会技术发展二者之间寻求利益的平衡，以推进大数据产业的稳健发展和社会经济建设的有序进行。 【关键词】大数据；权利属性；保护机制

随着互联网技术的发展，云计算已经渗透到生活的方方面面，数据量从曾经的TB级别跃升到PB、EB乃至ZB级别，传统的常规工具已经无法对如此庞大的数据量进行捕捉和处理，而大数据凭借其5V i的特征，在社会生产和生活中发挥出举足轻重的作用，我们已经处于一个崭新的大数据时代。在这样一个时代，从交通出行到电子商务，从实时通讯到医疗金融，我们在享受其带来的高效便利的同时，信息与数据的法律保护也成为近年来备受关注的问题。《民法总则》第111条新增了法律对获取他人信息的规定；2017年实施的《中华人民共和国网络安全法》进一步确定了法律对网络安全及个人信息的保护。尽管如此，由于大数据时代的数据使用规则尚未成熟，加之我国对个人信息的保護起步较晚，导致现有的法律法规不能充分满足大数据下对于数据权益及其带来的相关利益保障的需求，围绕数据权利形成相对完善的法律规范成为此背景下的当务之急。数据相关权利究竟是依托在传统民法语境的权利框架之下还是另起炉灶增设新型权力，权利的人格属性和财产属性之争孰是孰非，以及在错综复杂的数据链条中如何有效得给予保护，都是必须直面并展开探讨的重要问题。 一、数据权利模式正当性分析

（一）数据能否在传统民法语境下寻求一席之地

对数据权益的保护，首先应以数据主体是否具有民事权利诉求为考察起点，而作为一种新兴事物的数据，其能否成为民事权利客体，则是探讨该权益能否成为民事权利的基础。传统语境下的民事权利客体，包含物、权力、利益以及无财产价值的作为或不作为。数据作为一项新兴事物能否在既有框架下找到出路，尚需与传统客体进行对比论证。

龙源期刊网 http://www.qikan.com.cn

首先，数据不是物。这体现在数据不具备民法上的物的有体性与权利行使方式上。作为互联网科技的产物，数据不同于物的现实存在性，而是以依托各类传输与存储介质的虚拟形式存在。尽管随着科技的发展，德国民法体系下的物逐渐扩展到自然力如能够被人们所控制的风、电，但数据由于其特殊的比特形式，学界一般认为其不能适用民法有关物的规定。数据除了不具备有体性外，还因其不具备民法上物的支配性，这不但表现在对数据本身的控制只是一种依附于对存储设备的间接控制，也表现在数据流通中的转让、复制行为的控制不能。ii对于数据能否视为民法上的物权，还有学者从权利请求方式的视角予以否定，由于数据本身无限复制的特点使得实践中难以照搬适用物权请求权，继而可以得出数据权利不属于严格意义上物权的结论。iii

其次，大数据相关权利不属于知识产权。知识产权所保护的内容概括起来有两大特征，即“创造性的智力成果”和“思想的表达方式而非思想本身”。数据作为信息依托的数值符号，是对客观事实的数字化反映。数据对于人们的意义在于通过对其承载的信息的管理和挖掘所得到的价值，而数据本身并不具有知识产权客体所要求的独创性因素。

最后，数据权利不等同于隐私权。正如王利明所说，隐私权是自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权。就产生原始数据的个人而言，我们可以认为对数据权利的保护可以视为围绕隐私权的人格权益的保护。但当权利主体是大数据背景下对数据进行合理处理、管理与交易的组织和企业时，就突破了隐私权对于主体需为自然人的限制，对于企业数据的保护则应侧重其带来的财产利益，就此笔者将在下文具体论述。

（二）赋予数据民事权利客体地位的合理性

数据无法被既有概念和保护体系所涵盖，那么是否应将其视为一种全新的民事客体并增设数据权成为目前学界争议的焦点问题。梅夏英教授认为，由于数据缺乏民事客体所要求的确定性、独立性和实体权利表彰功能而具有非客体性；也有学者认为创设新型权利应以规则正当性论证为逻辑前提，而当前大数据发展对于其中所产生的各类主体及数据类型无法明确区分，这就导致无法有力论证数据权利属性及其独立于传统权利客体的新颖性，因此应暂时对数据权利模式的规定予以搁置，转而选择行为模式进行规制。iv

上述两种反对意见从数据本身的客体性和立法的稳定性对数据权提出质疑，笔者对此并不赞同。大数据的价值并不在于简单的数字代码，而是通过对数据承载的信息的收集处理，使使用主体获得更为全面的洞察力及预判力。对于数据的法律保护，其实是对数据所呈现出的信息的保护，脱离信息的数据毫无价值，而脱离数据这一载体的信息保护也无从谈起，不能认为数据因与信息财产完全分离而否认数据为民法客体中的无形物。v对于数据的无形性，可以比照知识产权与信息权，三者相对于“物”而言，均不具有实体特征，都是通过介质（数据、独创性外部表现形式）体现其实际价值，因此我们应承认数据的法律意义在其展现的信息的无形性中。对于数据的所有及支配性问题，考虑到数据持有者身份的多重性，有学者主张从实务角度

龙源期刊网 http://www.qikan.com.cn

出发依个案进行保护，在大数据模式经济发展成熟前暂且搁置其权属问题。这种观点看似可以平衡大数据与现有法律体系不配套的问题，但在互联网作用膨胀式增长的社会无异于杯水车薪，“在大数据时代，对原有规范的修修补补已满足不了需要，也不足以抑制大数据带来的风险，我们需要全新的制度而不是修改原有规范的适用范围。” vi

综上，我们应该对数据作为民事权利客体的地位予以充分肯定，并通过立法就数据权这一新兴权利的界定和保障进行规制，这不仅是推动数据交易和社会经济稳健发展的基础，更是安全合理得利用数据的保障。 二、数据权的权属揭示

基于不同立法依据，人身权和财产权分别强调“人的不可侵犯性”和财产权利人的力量向外扩展以达到物尽其用，两者价值诉求的不同导致最终权利行使方式的差别，vii而数据权权属问题应以权利主体追求的应然价值的不同区分对待。通常所说的大数据技术所包含的数据类型主要可以分为含底层数据、匿名化数据和衍生数据，其中底層数据为可单独识别出特定自然人的数据，匿名化数据与衍生数据是企业通过对底层数据的处理、加工得到的无法单独识别特定自然人的数据。根据数据的这一分类标准，对于数据的权利属性可以从自然人主体角度与数据企业角度分别进行探讨。

（一）自然人主体数据权利的人格权属性与财产权属性

就底层数据的生产者自然人而言，数据权属首先体现在其人格权属性。自然人个人数据的产生，来源于互联网产生的新型生活方式，无论是社交软件、网上购物，还是医疗保险、信息征集，人们每天都会在在网络上留下大量痕迹，这些数据碎片无论敏感程度如何，都是带有个人特征的可识别信息。对于这些带有个人隐私色彩的数据，一旦被不正当得收集和使用，势必造成对包含隐私权在内的人格权的侵害。正如王利明教授所说，个人数据权就其主要内容和特征而言，应当属于人格权的范畴，这是个人对于自身信息资料享有防御性控制权的基础与前提。

自然人对个人数据的权利除了其人格权属性，也享有对作为大数据形成基础的底层数据的所有权与财产权利。个人数据的产生不应简单视为对大数据产业的让渡，现如今人们对于个人信息的观念已经从绝对的隐私保护逐渐转变为一定程度上获取财产利益的可出售信息，王泽鉴认为，“一些人格权已经进入市场、出现大量商品化现象，具有一定经济利益的内涵，应肯定此种情况下的人格权兼具有财产权的性质”。viii实践中，这种财产利益的获得方式多种多样，可以是通过拍卖获得的直接经济利益，也可以是用户与商家之间个人信息与服务体验的等价交换。无论是人格权商品化的侧面论证，还是实践中的信息出售，我们都可以理解为个人对底层数据的行为选择并非绝对的防御性保护和无偿让与，自然人对其个人数据权利享有的财产价值应被充分肯定。

龙源期刊网 http://www.qikan.com.cn

（二）企业数据权利的财产权属性

网络运营平台与企业通过对海量底层数据的收集、加工和整理，得到的大数据的商业价值绝非碎片式数据的简单相加，而是深入挖掘后巨大的经济效益，正如马云所说，“数据是阿里最值钱的财富”。实际上，企业数据权的财产权属性在实践交易和政策文件中均有所体现。如2015年4月14日挂牌运营的贵阳大数据交易所就以其“一个交易所加多个服务中心”的全新产业形式成为大数据发展的领路者和主力军，截止到2018年3月，其经过脱敏的可交易数据总量超过150PB，可交易数据产品4000余个ix，这正是大数据财产性的有力证明。通过对我国相关政策文件的解读也对其性质可窥一斑。2015年7月国务院出台的《关于积极推进互联网+行动的指导意见》中，对企业“互联网+平台”的运营模式充分倡导和鼓励。同年出台的《促进大数据发展行动纲要》正式提出数据资源一词，并提出推动积极发展新兴产业大数据、完善大数据产业链，这也从一个侧面揭示了大数据的财产属性。 三、数据权的权利保护

（一）数据权保护的价值导向探析

数据权的人身性与财产性的双重属性，决定了其权利保护的重点是如何在二者之间寻求平衡。如果不明确数据权保护立法的经济性而停留在已有的信息保护框架，无疑会错过以数据带动发展的历史机遇，而以牺牲人身权益为前提只求经济效益的的社会势必会造成混乱与无序。因此，就数据权保护而言，绝对的“个人本位”或“社会本位”的做法均会导致法律目的与效果的偏差。基于此种分析，数据权益保护应以大数据的形成阶段为切入点，结合个人和数据企业两类主体进行多维度的探讨。

首先，就自然人而言，其保护重点应是其底层可识别性数据的人身性权益，对这种个人数据自然人应享有绝对的控制权。当底层数据被数据企业所收集时，自然人应享有知情权、选择权与被遗忘权。对于立法是否应保护个人数据的财产利益，有学者认为，真正代表大数据价值利益的是经过政府或企业收集整理后的海量数据，而由于个人数据的产生涉及生活的方方面面，人们很难在每次产生数据的行为中都对该数据包含的价值利益有清晰认知及准确衡量，这就导致对个人数据财产价值的保护在实践中难以操作。x尽管财产利益的取得因难以具体衡量而难以管理，但这并不能成为对个人数据财产利益保护妥协的借口，对此可以采取对部分个人信息通过技术手段分类量化与个人自主选择其财产利益的形式与否予以逐步解决。

其次，对于数据企业而言，数据企业对底层数据进行脱敏得到匿名数据，而后再对匿名数据进行专业分析得到衍生收据，此时的数据仅仅是被作为一个样本而存在，并不包含任何个人隐私性的信息，不具备个人数据的个体性和可识别性，因而不宜考虑其人身属性，而应视为数据企业的一种原始取得，享有专有权xi，表现在对衍生数据支配、经营、获得财产利益得权益。

龙源期刊网 http://www.qikan.com.cn

最后，关于对底层数据脱敏后得到的匿名数据，因其并不能代表个人信息能够有效隐藏，实践中通过对多组匿名数据的提取匹配，完全有可能将其还原到带有识别特征的数据状态，xii因此应考虑到自然人人身性权利的保护。另一方面，匿名数据是数据企业合法获得个人数据后，通过脱敏的技术手段等成本的付出得到的数据集合，是一种个人碎片数据到大数据的质变的飞跃。就匿名数据的权利保护而言，肯定数据企业享有稳定的权利内容，有利于减轻数据企业的顾虑，促进数据产业的高效运行。所以对于这种数据，应以为自然人提供防御性人身权保护为前提，数据企业应该在不违反自然人知悉的数据收集目的的情况下，享有限制的支配与控制权，着重对匿名数据产生的财产利益予以保护。 （二）数据权保护的几点制度构想 1、保护个人知情权 1.1信息收集时的知情权

数据主体对个人数据的知情权，首先体现在信息收集时的知情权。数据的收集应在个人数据主体处于一种明确的认知状态下，继而根据民事行为自愿自决的原则判断是否可以提供个人信息。具体来说，告知内容应包括：（1）、被收集的数据范围；（2）、数据被收集后的加工整理方式；（3）、数据收集的目的；（4）、数据收集行为主体的基本信息。 1.2设立个人数据泄露通知制度

个人数据权的知情权还应该包括对数据收集后管理的安全情况的知情。合法的数据收集主体和收集目的只是对数据企业获得和利用数据的保护，但即使数据收集主体具有主觀善意，也并不能保证其对数据的管理处于一个绝对安全的环境，个人数据主体仍要对个人信息的安全承担一定的风险，如员工泄露用户信息、黑客恶意攻击及数据撞库行为。2018年9月中国消费者协会发布的《APP个人信息泄露情况》显示，遇到过个人信息泄露情况的受访者占85.2%，其中不乏因信息泄露导致诈骗的情况。在这种信息安全风险下，如果个人数据的权利主体可以以一种明确的安全与否的方式对信息状态知悉，那么在信息泄露状态下，个人信息主体可以对即将发生的风险隐患有明确的预判，提高应对不法行为的警惕性，从而把数据泄露的损失降到最低。

2、赋予个人对数据收集的选择权

传统“同意/不同意”模式中，一旦用户做出“不同意”的选择，平台就视为用户拒绝接受该平台提出的服务并自动退出运行。在这种看似给予用户自主选择权的模式中，运营商的强势与主导地位是显而易见的；同时我们也必须承认，面对庞大的用户群体，实践中无法要求平台运营商根据单独个人的需求调整信息的具体收集，所以格式条款似乎是唯一现实的方式。对于这种选择权实现的困境，笔者认为，当前我们可以通过对格式协议的具体细化进行解决。如尝试通

龙源期刊网 http://www.qikan.com.cn

过限制软件内部分功能的方式为用户提供选择，具体表现为“同意数据收集—开放正常软件功能”/“不同意数据收集—开放少部分软件功能”的模式，并以明示的方式对两种选项的后果向用户告知。在这种模式下，用户可以根据自己对软件的需求情况，在服务与数据让渡之间得到更大的限度的自主选择权，同时也符合平台高效运行的利益要求。 3、确立企业的数据资产权

数据资产权首先应是一种由数据控制者专有的排他性权利。数据权利应以确权的形式明确权利人对大数据的控制与支配，并参照所有权权能分为以下几点：数据占有权；数据使用权，是指数据企业的对内自我使用，即通过对原始数据的分析挖掘提高服务针对性，帮助企业更加高效得运转。有学者认为，数据使用权还应包括数据的对外使用，具体指数据主体可以将经过技术处理后的脱敏数据和衍生数据提供给他人使用。xiii本文认为，数据使用权保护的应是主体对数据的使用的权利，而非数据的被使用性，因此不可将外部第三人视为使用权的权利主体，而是应将其归为数据权的处分权中更为妥当；数据收益权，通过所占有的数据获取的经济利益，一种是企业内部使用数据后带来的收益，另一种是对外通过信息增值方式获取的收益，如对股票指数信息的合作与研究xiv；数据处分权，是指权利人对于数据在法律允许的范围内进行最终处理的权利，包括对数据的变更、传输、出售、许可他人使用、封锁和删除的权利。需要注意的是，由于权利人在收集底层数据时应以明示的方式告知个人数据主体其收集行为的基本信息，因此，当控制大数据的主体发生变动或大数据使用目的发生改变时，如何处理二者之间的关系，还需要法律上进一步的探讨和实践中大数据行业的系统化完善。 四、结语

正如法学家庞德所说：“法律应该是稳定的，但不能停止不前”，当前我国正面对信息技术带动下的经济转型的重大机遇，委曲求全的保守态度势必无法跟上现代经济发展的大趋势，打破现有法律规范与大数据实践需求无法完全匹配的困境、明确数据权法律制度正当其时。通过对大数据形成的各个阶段和双重主体的多角度考察，未来数据权制度一方面应以尊重人权为出发点，加强对个人信息体现的人身权益的保护，另一方面应顺应市场化自由的理念，配置数据企业的数据资产权，二者相辅相成，共同推进大数据产业的健康发展。 注释：

i IBM提出，即：Volume、Velocity、Variety、Value、Veracity。

ii梅夏英：《数据的法律属性及其民法定位》，《中国社会科学》2016年第9期。 iii董子衿：《论大数据权利是否属于物权》，《法制博览》2017年12。

iv张素华，李雅男：《数据保护的路径选择》，《学术界》总期242期，2018，7。

龙源期刊网 http://www.qikan.com.cn

v梅夏英：《数据的法律属性及其民法定位》，《中国社会科学》2016年第9期。 vi （英）维克多.迈尔.舍恩伯格、肯尼斯.库克耶《大数据时代：生活、工作与思维的大变革》，浙江人民出版社2013年版。

vii冯源：《《民法总则》中新兴权利客体“个人信息”与“数据”的区分》，《华中科技大学学报》2018年第32卷第3期。

viii王泽鉴；《人格权法：法释义学、比较法、案例研究》，北京：北京大学出版社2013年版。

ix贵阳大数据交易所官网，http：//www.gbdex.com/website/view/aboutGbdex.jsp。 x程啸：《论大数据时代的个人数据权利》，《中国社会科学》2018年第3期。 xi武长海，常铮：《论我国数据权法律制度得构建与完善》，《河北法学》，2018年2月，第36卷第2期。

xii如麻省理工大学Sweeney通过对脱敏数据中的性别、出生日期和邮编等信息进行数据匹配，成功破解了州保险委员会发布的匿名政府雇员医疗数据。

xiii龙卫球：《再论企业数据保护的财产权化路径》，《东方法学》，2018年第3期。 xiv王肃之：《大数据环境下法人信息权的法律保护—以脱敏数据权利为切入点》，《当代经济管理》，2018年8月，第40卷第8期。 【参考文献】

[1]李国杰，程学旗.大数据研究：未来科技及经济社会发展的重大战略领域：大数据的研究现状与科学思考[J].中国科学院院刊，2012（6）.

[2]王融.关于大数据交易核心法律问题——数据所有权的探讨及建议[J].大数据，2015（2）.

[3]吴世忠.大数据时代安全风险及政策选择[EB/OL][2013-08-14]. http：//www.71.cn/2013/0814/727984.shtml.

[4]惠志斌.大数据时代个人信息安全保护[N].社会科学报，2013-04-11（003版）.

龙源期刊网 http://www.qikan.com.cn

[5]齐爱民，盘佳. 数据权、数据主权的确立与大数据保护的基本原则[J].苏州大学学报：哲学社会科学版，2015（1）.

[6]冯伟，梅越.大数据时代，数据主权主沉浮[J].信息安全与通信保密，2015（6）. [7]沈逸.网络时代的数据主权与国家安全：理解大数据背景下的 全球网络空间安全新态势[J].中国信息安全，2015（5）.