民法典框架下個人數據財產法益的體系構建

任丹麗

(東南大學 法學院，江蘇南京 211189)

將個人信息和數據規定在總則編第五章“民事權利”，是《中華人民共和國民法典》(以下簡稱《民法典》)的主要創新之一。(1)參見張新寶：《〈中華人民共和國民法典·總則〉釋義》，中國人民大學出版社2020年版，第3頁。在此之前，相關法律和部門規章多采用“個人信息”的提法，包括2020年10月征求意見的《中華人民共和國個人信息保護法(草案)》(以下簡稱《個保法草案》)。不同的是，《中華人民共和國數據安全法 (草案)》(以下簡稱《數安法草案》)和《深圳經濟特區數據條例(征求意見稿)》(以下簡稱《深圳條例》)則對個人信息和數據進行了明確區分。綜合這些規范性文件，立法者對個人信息與數據的認識可歸納為三個方面：第一，從個人信息與數據所處的位置來看，《民法典》傾向于將個人信息歸入人格利益的范疇，將數據歸入財產利益的范疇。第二，數據的范圍比個人信息廣泛，既包括涉及個人信息的數據活動，也包括不涉及個人信息的數據活動。第三，個人數據是個人信息的外在表現形式，包括個人信息數據和隱私數據。這些特點基本反映了學界對個人信息與個人數據關系的認識。雖然世界范圍內個人信息立法與個人數據立法兼而有之，(2)僅亞洲立法就存在“個人信息”和“個人數據”兩種表述，如《日本個人信息保護法》(Personal Information Protection Commission of Japan)和新加坡《個人數據保護法案》(Personal Data Protection Act)。但是我國立法出現“個人數據”這一變化，說明個人信息與個人數據的法定屬性開始出現分離，個人數據的財產屬性逐漸受到重視，“促進數據開發利用”更是直接成為立法目的。(3)參見《數安法草案》第49條。

包含有個人信息的數據(本文稱為“個人數據”)被收集、使用和分享的現象普遍存在，相關主體在個人數據上的權利是人格權、財產權還是特殊類型的權利或利益，法學界爭議已久。與個人信息的人格屬性相比，個人數據更強調個人信息的物理存在形式，且常常處于公權力機關或經營性主體的控制之下。如果說個人信息的人格屬性決定其主體具有唯一性，個人數據的財產屬性則導致其主體的多元化，近年來出現的互聯網巨頭之間的“數據之爭”(如新浪與脈脈、大眾點評與百度、順豐與菜鳥和新浪與今日頭條等)正是互聯網巨頭之間數據權益訴求的體現。未經互聯網平臺同意(甚至平臺協議明確禁止)，第三方能否僅僅依據自己用戶的授權大批量、自動化抓取用戶已在該平臺發布的數據，不但涉及人格權與財產權相關規則的制定與協調，還涉及數據獨占與共享的價值衡量。

一、個人數據法益是一個多主體的財產法益體系

與個人信息相區分，個人數據是在形式層面上使用的概念，指的是個人信息在計算機網絡中的實際存儲和使用狀態。(4)歐盟立法中的“個人數據”沒有區分內容與形式，本文在引用時著重分析有關其形式意義上的相關規定，因此統一采用“個人數據”這一表述。歐盟的個人數據立法以保護數據主體的基本權利為目的，其基于個人數據上技術控制力的大小來界定權利主體及其權利義務的方法，也為私法領域構建民事主體的數據法律關系提供了方向。

(一)我國立法對個人數據以行為規制為主

互聯網平臺的數據之爭，法院多依據反不正當競爭法保護數據被抓取方的利益，同時也都承認互聯網用戶與平臺在個人數據上的利益存在主次關系。2016年新浪訴脈脈案中，法院認為新浪微博的用戶數據是“互聯網經營者重大的競爭利益”,在個人數據再利用時“應給予用戶、數據提供方保護及控制的權利”，并為數據抓取行為確立了“用戶授權+平臺授權+用戶授權”的三重授權原則。(5)參見“北京知識產權法院(2016)京73民終588號民事判決書”。2018年淘寶訴美景案中，法院認為淘寶公司的“生意參謀”是依托于淘寶用戶數據開發的大數據產品，淘寶公司享有“競爭法意義上的財產權益”。但是，淘寶公司對用戶行為產生的原始網絡數據的權利是依照網絡服務合同的約定產生的使用權，“受制于網絡用戶對于其所提供的用戶信息的控制，而不能享有獨立的權利”。(6)參見“浙江省杭州市中級人民法院(2018)浙01民終7312號民事判決書”。

在法無明文規定的情況下，法院將互聯網平臺控制個人數據的權利定性為競爭利益，固然是由案由決定。但是，競爭利益僅能概括競爭關系中當事人之間的爭議標的，無法解釋數據抓取法律關系中權利人之間的關系。換言之，互聯網平臺之間因數據抓取行為產生的法律關系至少包括平臺與用戶之間的服務合同關系、平臺與第三方平臺之間的競爭關系和用戶與第三方平臺之間的侵權關系。依照現行立法，如果將平臺對用戶個人數據的權利解釋為合同債權，則無法解釋該債權對第三方平臺的對抗效力；如果將其解釋為具有對世效力的競爭利益，又割裂了其來源于互聯網用戶這一基礎關系。權利性質的模糊性決定了此類案件由反不正當競爭法調整，體現出行為規制模式的優勢。但是，正如司法裁判所呈現，圍繞個人數據產生的權利或權益存在主次之分。理清主體之間的權利(益)關系，在私權救濟和公法保護兩個方面都有著重要意義。

按照歐盟的權利保護路徑，數據主體對個人數據享有個人數據保護權(the right to the protection of personal data)。這一概念最早出現在《歐盟基本權利憲章》(Charter of Fundamental Rights of the European Union)中，(7)參見《歐盟基本權利憲章》第8.1條。與“尊重私生活和家庭生活”(Respect for private and family life)相并列。(8)參見《歐盟基本權利憲章》第7條。雖然2000年《歐盟基本權利憲章》對個人數據保護權的規定僅為原則性規定，卻是歐盟就個人數據保護從隱私權向個人數據保護權轉變的重要節點，(9)參見項焱、陳曦：《大數據時代歐盟個人數據保護權初探》，載《華東理工大學學報(社會科學版)》2019年第2期。意味著個人數據的保護模式與隱私保護存在差異。到了2016年的《一般數據保護條例》(以下簡稱GDPR)，個人數據保護權依然被定位為基本人權之一，卻沒有規定《歐盟基本權利憲章》中與之并列的隱私保護，更沒有《數據保護指令》中隱私權(the right to privacy)的蹤影。這一變化被學者稱為個人數據保護權與隱私權的實質“分離”，全新的個人數據保護權體系全面形成，(10)同⑥。我國《民法典》對個人信息與隱私的區分與之相一致。

與“個人數據保護權”在歐盟是成熟的基本權利不同，個人信息在我國還是未被類型化的人格法益。雖然自然人可以請求查閱、復制、更正和刪除個人信息，個人信息保護更多依賴于法律對相關主體義務的直接規定，呈現出明顯的行為規制模式而非賦權模式。

(二)個人數據法益具有財產屬性

作為首創“數據權”概念的地方法規，《深圳條例》將數據權定義為“依法對特定數據的自主決定、控制、處理、收益、利益損害受償的權利”。數據權來源于自然人，由“數據要素市場主體”進行經營性數據活動，揭示出個人數據主體更多的可能性?！睹穹ǖ洹分械摹靶畔⑻幚碚摺焙汀秱€保法草案》中的“個人信息處理者”都以承擔義務為主，沒有強調其針對數據可以從事經營活動。

雖然學理和實踐都承認數據具有重要的經濟價值，但是對數據權益的定性和歸屬沒有形成一致意見。受個人信息人格屬性的影響，有關個人數據權益的定性多從數據主體的角度展開，其他主體對個人數據享有財產利益爭議不大。持財產權說的學者一般將個人數據權益定位為所有權。如“用戶是個人數據的基礎提供者，對個人數據擁有所有權”；(11)丁道勤：《基礎數據與增值數據的二元劃分》，載《財經法學》2017年第2期。自然人是行使數據權利的主體，數據權實施方式包括數據所有權和數據管轄權(12)參見曹磊：《網絡空間的數據權研究》，載《國際觀察》2013年第1期。等。有學者將個人數據權益分為個人數據權和數據財產權：個人數據權雖然有控制和支配的權利，但依然屬于新的人格權類型；數據財產權不包含個人數據，為純粹的財產權。(13)參見齊愛民、盤佳：《數據權、數據主權的確立與大數據保護的基本原則》，載《蘇州大學學報(哲學社會科學版)》2015年第1期。持綜合權利說的學者認為，個人數據權益“兼具人格權和財產權雙重屬性”(14)肖冬梅、文禹衡：《數據權譜系論綱》，載《湘潭大學學報(哲學社會科學版)》2015年第6期。，個人信息中的人格利益和財產利益分別是個人信息人格權和個人信息財產權的客體，(15)參見劉德良：《個人信息的財產權保護》，載《法學研究》2007年第3期。應強調個人對數據享有的優先財產權利，并以此對企業的數據利用、交易行為予以制約。(16)參見王利明：《人格權法研究(第二版)》，中國人民大學出版社2012年版，第608-638頁。有學者認為個人數據權益“是保護自然人對其個人數據被他人收集、存儲、轉讓和使用的過程中的自主決定的利益”，(17)程嘯：《論大數據時代的個人數據權利》，載《中國社會科學》2018年第3期。本質上是防御性或消極性的利益。還有學者所構想的數據新型財產權，是在區分個人信息和數據資產的基礎上將權利分別賦予用戶和數據經營者。(18)參見龍衛球：《數據新型財產權構建及其體系研究》，載《政法論壇》2017年第4期。刑法學界也有學者指出個人信息中的財產性利益，個人信息隱私化的觀點雖然能體現權利主體對個人信息高度的自主支配性，卻未能挖掘個人信息的社會價值或使用價值。(19)參見劉艷紅：《公共空間運用大規模監控的法理邏輯及限度——基于個人信息有序共享之視角》，載《法學論壇》2020年第2期。

(三)“個人數據所有權”的提法不符合個人數據的特征

2019年二審的hiQ訴LinkedIn經常被拿來與新浪訴脈脈案相類比。基于公共利益的考量，二審法院維持了一審法院的判決，認為hiQ公司可以使用爬蟲軟件取得LinkedIn網站上的數據。盡管LinkedIn后來采取了一定的技術措施阻止數據爬取，二審法院依然適用《加利福尼亞州反不正當競爭法》(California’s Unfair Competition Law)和《1986年計算機欺詐與濫用法》(Computer Fraud and Abuse Act of 1986)來試圖平衡二者的利益。二審法院特別對數據權利進行了闡述：“LinkedIn對其用戶提供的數據沒有受保護的財產權益，因為用戶保留了對其個人資料的所有權”，“hiQ試圖訪問的數據不歸LinkedIn所有，并且尚未被LinkedIn界定為可私用的授權系統”。(20)hiQ Labs, Inc. v. LinkedIn Corp., No. 17-16783 (9th Cir. 2019).二審法院的這一論述在一定程度上體現了近些年美國學者對數據權利財產化的討論。以Lessig為代表的部分學者認為，財產權制度將在數據保護上發揮比隱私權制度更好的作用。Lessig用“財產保護選擇，責任保護移轉”(21)Lessig, Code and Other Laws of Cyberspace. New York: Basic Books,122, 1999.來歸納個人數據權利財產化的優勢。Schwarz也認為，如果消費者在他們的數據中享有法律上可執行的財產利益，就能將“某些利益內置于個人數據中”(22)參見Paul M. Schwartz, Property, Privacy, and Personal Data, 117 Harv. L. Rev. 2098 , 2004.。Bergelson認為用隱私保護數據只能命令被告支付賠償金，用財產保護數據則可以使用禁令或懲罰性賠償。(23)Vera Bergelson, It’s Personal but Is It Mine? Toward Property Rights in Personal Information, 37 U.C. Davis L. Rev. 379, 403, 2003.

有中國學者認為GDPR實際上已對個人數據確立了支配性財產權地位，認為歐盟內部的數據保護部門對于賦予個人數據所有權的呼聲也很高。(24)參見王鐳：《“拷問”數據財產權——以信息與數據的層面劃分為視角》，載《華中科技大學學報(社會科學版)》2019年第4期。事實上，歐盟文本中出現的數據所有權(data ownership)主要針對非個人數據，學者的探討也大多集中在這些非個人數據的控制使用與數據主體隱私權之間的關系上。2016年歐盟發布《數據獲取和所有權的法律研究》(Legal Study on Ownership and Access to Data)(25)參見A study prepared for the European Commission DG Communications Networks, Content & Technology by Osborne Clarke LLP. https://publications.europa.eu/en/publication-detail/-/publication/05ad40c5-b609-11e6-9e3c-01aa75ed71a1/language-en. 2021年1月5日訪問。的調研報告顯示，歐盟國家中僅有西班牙明確立法規定數據所有權，(26)參見BBVA研究報告https://www.bbvaresearch.com/wpcontent/uploads/2016/02/Situacion_ED_feb16_Cap4.pdf，轉引自前述歐盟《數據獲取和所有權的法律研究》第75頁。其他國家雖有理論探討，但立法和裁判更傾向于在合同法、版權法、競爭法和刑法范圍內解決非個人數據歸屬的認定問題?！耙粩刀鄼唷钡臓顟B并沒有導致同一數據上不同主體支配力的沖突和排斥。數據可復制性、非消耗性等特點也使得在數據上設立不同種類物權的意義并不大。只要合法取得個人數據，就能進入個人數據的法益體系，實現數據的互聯共享。GDPR將這些主體分別規定為數據主體(data subject)、數據控制者(data controller)和數據處理者(data processor)，對數據主體以賦權為主，對后二者以施加義務為主。為論述方便并與個人信息相區分，下文借用這三個概念來分析個人數據上各主體的財產法益。

二、數據主體：個人數據法益來源于個人信息中的財產性利益

《民法典》為個人信息規定了不同于隱私權的人格法益保護路徑。作為個人信息存在形式的個人數據，是可商品化人格利益中分離出的財產性利益。與生命、健康、身體等物質型人格權客體不同，姓名、肖像、聲音、名稱等標表型人格權客體之所以具有經濟利益并且可以被商品化，正是因為這些要素能夠與自然人發生一定程度的分離，即通過復制存在于其他載體之上，并且可以通過多次許可使用由其他民事主體占有。個人信息雖然不是一種具體人格權，但是與標表型人格權的客體類似，符合無形財產的特點。數據是客觀事實經過獲取、存儲和表達后得到的結果，通常以文本、數字、圖像、圖形、聲音和視頻等表現形式存在。(27)參見張紹華等：《大數據治理與服務》，上海科學技術出版社2016年版，第3頁。在此意義上，人格利益商品化的過程就是人格利益數字化的過程，類似于知識產權，實現了人身權與財產權的分離。

基于隱私權理論發展出的個人信息保護，在美國稱為“信息控制權”，與歐盟的“信息自決權”沒有實質性差別，控制和自決都是指向個人對自己信息的自治。(28)參見劉艷紅：《民法編纂背景下侵犯公民個人信息罪的保護法益：信息自決權——以刑民一體化及〈民法總則〉第111條為視角》，載《浙江工商大學學報》2019年第6期。個人數據與個人信息的分離，既維持了個人信息自治的人格屬性，也是對個人數據經濟價值的確認。個人數據權益雖然是純粹的財產性利益，卻不能簡單適用民法中的財產規則。面對合同法、知識產權法、競爭法適用上的局限，美國和歐盟在基本權利框架內衡量公共利益與數據權利配置的司法實踐并不適合中國國情。解決類似案件除了寄希望于個人數據的特別立法外，對現行民事立法的原理和規則進行解釋適用也是一個可行的路徑。

(一)數據主體對個人數據享有財產法益而非權利

GDPR將數據主體與個人數據的定義規定在一起，指的是被識別或可識別的自然人(identified or identifiable natural person)，(29)參見GDPR第4(1)條。也就是個人數據的初始來源。作為人格利益，個人信息與自然人密不可分，其歸屬具有唯一性。個人數據則需要借助一定的載體而存在。記錄方式的數字化使得個人數據的可復制性和流動性日益增強，載體的多元化意味著個人數據控制主體的多元化。華為與騰訊的數據之爭就是典型例證。(30)據報道，華為公司某款手機可通過獲取用戶在微信中的聊天信息，實現為用戶提供智能化推薦等服務。騰訊公司則認為，華為手機這一功能侵害了騰訊的數據，也侵犯了微信用戶的隱私。參見劉春泉：《華為騰訊微信數據爭議的法律關系分析》，載《信息安全與通信保密》2017年第7期。使用華為某款手機的用戶在微信中的聊天數據，至少有三方主體享有相應的權益——手機用戶是數據生產者，騰訊作為微信的運營商控制數據，華為作為硬件的制造商控制數據。自然人生產出的數據可以分為個人數據和非個人數據，但數據來源、存在方式和控制主體并無差異。對于騰訊和華為而言，個人數據與非個人數據可能存在價值上的差異，卻都是必爭的財產性利益。

個人數據權益不是權利的理由主要有三：第一，個人數據是個人信息在數字化時代的存在形式，與個人信息是形式與實質的關系。個人信息被《民法典》定性為法益，個人數據相應地也為法益而非權利。第二，個人數據由數據主體主動或被動提供。基于提供目的和具體場景的不同，數據主體對個人數據的控制意愿存在較大差異，不宜簡單歸入任一權利類型。第三，個人數據的生產和存在方式取決于具體的存儲條件和交易關系。不同主體基于不同法律關系在數據上享有權益，用權益作為上位概念較為符合實際情況。

(二)財產法益是填補數據主體損害的有益補充

個人數據雖然直接或間接來源于個人信息，但是個人數據上的利益并非復合型法益，而是純粹的財產法益。這一方面是個人信息與個人數據逐漸分離的結果，另一方面也增加了數據主體救濟自身權益的途徑。

個人信息人格利益的典型表現是知情同意原則(informed consent)。該原則是隱私權保護理念的產物，在大數據技術廣泛運用的背景下開始顯現出弊端。一方面，數據主體僅憑一己之力根本無法發現數據被抓取、被利用、被轉移的時間和地點，不能也不愿去理解復雜的隱私協議，更不愿意事無巨細頻繁同意數據被收集和使用。另一方面，收集數據的主體無法完全預知將來數據的使用目的，數據收集的便利性極易導致其對數據主體權利的漠視和對個人數據的過度收集。知情同意原則在一定程度上緩解了隱私權保護的被動性，為個人數據保護提供了預防性措施，但是效果十分有限。強調數據主體對個人數據的財產權益，可以在以下幾個方面更好地實現對數據主體的保護：

1．矯正互聯網用戶在服務合同中的弱勢地位?；ヂ摼W用戶與網絡服務商爭議的解決思路之一是合同法，因為二者之間往往存在一個網絡服務合同，很多國家都非常重視對該合同的監管。網絡服務合同屬于格式合同，沒有協商的余地，條款冗長深奧，不接受意味著不能使用該服務，這些因素直接導致用戶處于弱勢地位。合同法對于合同可撤銷和無效的規定往往很難適用于此類電子合同。如果強化互聯網用戶對個人數據的財產利益，則只要證明個人數據被對方獲取且超出必要范圍，就可以主張侵權。

2．縮小人格侵權損害賠償數額的差距。按照人格權侵權損害賠償的計算方法，在其他要素基本相同的情況下，自然人的社會地位和影響決定了賠償數額存在較大差異。這種差異在個人數據侵權責任的計算上則相對較小，因為具有較高經濟價值的是可供分析的數據集，而非單個數據。主張個人數據侵權而非個人信息侵權，更有利于普通民事主體利益的保護。

3．自由處分個人數據是保護人格尊嚴的應有之義。正如隱私的范圍因人而異，不同主體對保護個人信息的意識也千差萬別?；诟鞣N原因，部分互聯網用戶會選擇出賣自己認為可以轉讓的數據，目前已出現Solid、Ocean Protocol等數據售賣平臺。(31)參見樂邦：《萬維網之父新使命：把互聯網數據控制權歸還給網民》，載網易科技報道，http://tech.163.com/18/1011/01/DTQ38G8H00097U7R.html，2021年1月5日訪問。這些平臺上單個數據的成交價格可能微乎其微，卻是一種對網絡用戶信息自決尤其是數據控制的尊重和彰顯。輔之以區塊鏈技術的應用，這些平臺還能在一定程度上發揮保護個人數據的作用。這種售賣自己數據的行為，其實質是財產利益的自由處分。

(三)個人數據的財產法益從屬于個人信息的人格法益

“人格利益說”是人格權客體的主流學說，并為多部民法典草案學者建議稿所采納。(32)參見王利明教授主持起草的《中國民法典學者建議稿及立法理由·總則編》第147條和梁慧星教授主持起草的《中國民法典草案建議稿》第95條。人格利益包含精神性人格利益與財產性人格利益。(33)參見張俊浩：《民法學原理》，中國政法大學出版社1997年版，第135-148頁。細分人格利益的意義在于，有些人格利益與人格相始終，如人的生命、健康和身體等；有些則會與人格發生一定程度的分離，如肖像、姓名和隱私等。美國的商品化人格權或稱公開權制度(34)參見王澤鑒：《人格權法：法釋義學、比較法、案例研究》，北京大學出版社2013年版，第264頁。即為這種分離的產物。

人格權制度應該如何回應人格要素的商業化利用，德國學者曾經作過一些探討。例如在一般人格權之外創設“人格利用權”，人格利益歸入人格自由、財產利益歸入“人格利用權”等等。(35)參見沈建峰：《一般人格權財產性內容的承認、論證及其限度——基于對德國理論和實踐的考察》，載《比較法研究》2013年第2期?！睹穹ǖ洹芬幎ǖ脑S可使用制度是對這種人格利益商品化現象的承認，體現出堅持人格權一元保護模式的立場。該模式的合理性在于：第一，部分人格要素可商品化的趨勢并不足以破壞人格權的人身屬性。人格利益與人密不可分，財產性人格利益不可能脫離人格而獨立存在。表面上具有絕對支配性的數據刪除權和可攜帶權，其權源是人格利益的支配性而非財產利益的支配性，是法律保護自然人尊嚴和自由的結果。第二，人格利益的侵權責任已然包含對財產利益損失的填補。從消極權利的角度來看，沒有必要另設一個與之并列的財產請求權。第三，變現人格要素中的財產法益，許可使用制度在知識產權領域已非常成熟，姓名權、肖像權的許可使用也日益普及。但是，人格權整體而言還是屬于消極的防御性權利，(36)參見溫世揚：《民法典人格權編草案評議》，載《政治與法律》2019年第3期。沒有強化財產性利益的實際需求。第四，將人格利益中的財產屬性分離至個人數據，能更好地維護人格利益的精神屬性，符合《民法典》的立法目的。

綜上所述，數據主體基于個人信息這一人格利益享有個人數據上的財產利益，這一分離過程維持了個人信息人格屬性的單一性和個人數據財產屬性的單一性。與個人數據上的其他主體相比，數據主體的財產利益是第一性的，是派生出其他財產利益的基礎。數據主體對這一財產利益支配力較弱的現狀，不能成為該利益歸屬于其他主體的理由，因為數據主體是個人數據的生產者，應該具有最終的支配權。法律完善的方向是個人數據管理系統的完善，使數據主體在許可他人使用后能夠更好地跟蹤使用情況和進行下一步的協商同意。這也是司法實踐總結出三重授權原則的初衷。相對于《數據保護指令》，GDPR增加了刪除權(right to erasure)和攜帶權(right to data portability)，還對用戶同意作了更為嚴格的規定，正是強化保護數據主體控制力這一趨勢的體現。(37)有學者認為，刪除權最具財產特征，因為它產生了與數據主體信息一起運行的負擔(This requirement is one of the most property-like features of the new regime in that it creates a burden that “runs with” the data subject’s information)。參見Jacob M Victor. The EU General Data Protection Regulation: Toward a Property Regime for Protecting Data Privacy. The Yale Law Journal,Vol.123, 466-529, 2013.

三、數據控制者：個人數據法益是對個人數據的占有利益

《民法典(征求意見稿)》中的“信息控制者”和“信息收集者”在《民法典》中統一規定為“信息處理者”，《人格權編(二審稿)》還使用過“信息收集者”和“信息持有者”等概念，說明在數據主體之外，其他主體對個人數據的控制力也存在差異，立法試圖結合技術上控制力的大小來設計相應的法定義務。(38)《深圳條例》將數據控制者和數據處理者分別表述為“數據要素市場主體”和“第三方服務機構”，參見《深圳條例》第101條第2款第8項和第9項?！秱€保法草案》對個人信息處理者的定義也為其他主體的存在留有空間。(39)參見《個保法草案》第69條第1項。

《數據保護指令》中的數據控制者(controller)指的是能單獨或共同確定個人數據處理的目的和方法的自然人或法人、公權力機關、代理機構等。GDPR沿用了這一定義。與控制者相關的另一個主體為處理者(processor)，指的是代表控制者處理個人數據的自然人或法人、公權力機關、代理機構或其他主體。(40)參見《數據保護指令》第2(e)條和GDPR第4(8)條。經過控制者或處理者的直接授權，第三方也有權處理數據。(41)參見《數據保護指令》第2(f)條和GDPR第4(10)條?？梢?，歐盟立法中直接處理數據的主體是數據處理者和經過授權的第三方，數據控制者并不直接處理數據，而是決定數據處理的目的和方法?！疤幚怼?processing)的行為非常具體，是“對個人數據進行的任何操作或一系列操作，無論是否以自動的方式，例如收集，記錄，組織，儲存，改編或更改，檢索，咨詢、使用、通過傳輸披露、傳播或者提供、協調或組合，阻止、擦除或破壞”，(42)參見《數據保護指令》第2(b)條。GDPR對“處理”的定義只在此基礎上增加了“架構”(structuring)這一種具體類型。(43)參見GDPR第4(2)條，原文為“‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction”。將數據控制者、數據處理者和第三方區分開來，有助于界定數據控制者在個人數據上享有的財產利益。

(一)數據控制者的財產利益來源于數據主體的授權

數據控制者對個人數據的控制來源于數據主體的許可使用。按照數據主體的意愿，同一個人數據上能產生若干數據控制者。數據控制者是否享有財產利益，取決于數據主體對自身的財產利益是否進行了處分。依據許可使用合同，數據控制者在個人數據上的債權能否產生類似絕對權的排他效力，理論上爭議較大，實踐中發生的數據之爭正是由此引發。

1．“控制”不是專屬于個人數據所有權的權能。數據控制者有公法主體和私法主體之分。公權力機關依職權獲取并控制個人數據更為便利，更需要在基本權利層面保護數據主體的權利。作為私權利主體，數據控制者獲取個人數據的主要途徑是提供互聯網服務。認為數據控制者取得的數據所有權是數據主體使用免費服務所支付的對價，這一觀點并不符合實際情況。

首先，有償接受網絡服務的數據主體同樣需要訂立網絡服務合同讓渡個人信息。例如收費電子郵箱與免費電子郵箱，除了收費郵箱用戶能夠享有更多種類的郵箱服務以外，其與免費郵箱用戶訂立的電子郵箱服務合同在內容上相差無幾。

其次，在與數據主體的法律關系中，數據控制者并不在意是否取得個人數據所有權。例如阿里云就曾在《數據保護倡議書》公開宣稱，“任何運行在云計算平臺上的開發者、公司、政府、社會機構的數據，所有權絕對屬于客戶，客戶可以自由安全地使用、分享、交換、轉移、刪除這些數據”。(44)《阿里云倡議：數據是客戶資產 平臺不得移作它用》，載新浪科技頻道，http://tech.sina.com.cn/it/2015-07-22/doc-ifxfaswm1009121.shtml.名義上的所有權沒有任何意義，基于網絡服務合同和相關立法，數據控制者對數據的實際控制和支配已毋庸置疑。

第三，數據主體對個人數據的財產利益并非所有權。根據物權法的基本原理，所有權是基礎性財產權利，有原始取得和繼受取得兩種取得方式。數據主體對于個人數據的財產利益來源于其對個人信息享有的人格利益，而非財產法意義上的所有權。數據控制者對個人數據的控制來源于數據主體的許可，屬于繼受取得。即使數據主體將財產利益許可給數據控制者使用，該財產利益的范圍也不能超出數據主體財產利益的范圍。

最后，數據控制者的財產利益不具有排他性。參照知識產權的許可使用，數據主體可以將個人數據許可給多個主體使用?；诰W絡服務的豐富性和高度可替代性，個人數據不太可能產生獨占的許可使用。即使取得獨占許可，數據控制者的財產利益也無法對抗數據主體。GDPR規定數據主體可以隨時撤銷對使用其數據的同意，這一貌似突破債法原理的規定也正是來源于人格利益。

2．“控制”具有財產利益的特征。盡管受到數據主體較多的限制，這種權能并不充分的狀態并沒有影響到數據控制者從中獲取巨大的利益，進而產生激烈的競爭。當數據主體授權多個數據控制者使用其個人數據，例如華為和騰訊都能控制華為手機上微信app里的聊天內容，兩個數據控制者是非此即彼還是法定共有，歐盟立法中的目的論和方法論提供了一個判斷標準。

目的論和方法論來自《數據保護指令》和GDPR在控制者定義中規定的“單獨或共同確定個人數據處理的目的和方法”，這兩個標準也為《個保法草案》所繼受。在對共同控制(joint controllers)下定義時，GDPR強調了目的和方法上的合意——“應以透明的方式確定各自對履行本條例規定義務的責任，特別是關于行使數據主體的權利及其各自的職責”。如果控制數據的主體之間欠缺這種合意，數據主體又沒有一次性授權給多個主體，如華為與騰訊的爭議，則需要進一步判斷控制權的歸屬。

華為對聊天數據的控制是通過手機這一硬件，騰訊對聊天數據的控制是通過微信這一軟件，二者控制力的區別在于數據存儲介質的歸屬上。騰訊在提供即時聊天服務的同時對聊天數據實施控制，是網絡服務或程序運行的必然結果。用戶購買華為手機即發生手機所有權的轉移，制造商對手機所有權的喪失應自手機出廠時起。鑒于移動終端對人類生活的重要作用，如果允許手機生產商隨意獲取所有手機上的數據，不但違背行業倫理，更是對生產者權利的濫用。手機生產商獲取用戶手機上的app信息及app內部產生的數據，對手機用戶是隱私權的侵犯，取得用戶許可、提高用戶體驗都不能成為偷窺私人生活的借口；對app軟件服務商而言，則是硬件服務商權利的濫用，因為軟件必須依賴硬件才能運行。實踐中已有法院基于數據存儲介質的所有權來判斷數據歸屬的判例。(45)在此案例中，法院認為獲取和使用雷達收集數據的法定權力屬于警方而不屬于相應雷達控制系統的制造者，生成數據的主體是被授權使用此類數據的主體。ECtHR, Satakunnan Markkinap?rssi Oy and Satamedia Oy v. Finland, No. 931/13, 27 June 2017. 轉引自歐盟《數據獲取和所有權的法律研究》第55-56頁。

在這個例子中，賦予數據控制者對個人數據的財產性利益具有重要意義。騰訊與華為沒有合同關系，其與用戶之間的債權不具有排他效力。微信中的數據不足以構成商業秘密或者數據庫，也無法直接證明華為存在不當得利，騰訊在現有法律框架下似乎無法主張自己的利益受到損害。如果承認騰訊對微信生成的數據(包括微信中出現的個人數據)享有財產利益，則可以防止此類爭議的產生。除了以上現實需求之外，以目的和方法為標準賦予數據控制權財產屬性的理由還有：第一，個人數據歸屬于存儲介質所有人的判斷方法已不適應新技術條件。(46)參見Herbert Zech. Information as Property，Journal of Intellectual Property, Information Technology and Electronic Commerce Law, 157, 2015(6).在云計算技術的應用場景中，數據的存儲位置具有不確定性，用目的和方法來判斷數據控制者比尋找存儲介質所有人更為直接和便利。第二，承認數據控制者的財產利益有助于鼓勵和促進企業提供更好的網絡服務。認為在數據上設立專有權會阻礙數據經濟發展的觀點，(47)參見曹建峰、祝林華：《歐洲數據產權初探》，載《信息安全與通信保密》2018年第4期。雖然有一定的合理性，卻忽略了數據產生和發揮價值背后的經濟投入。在經濟發展與企業利益之間尋找平衡，賦予數據控制者一定的財產利益而非財產權，是一個較為折中的方案。第三，認為賦權保護易引發信息壟斷的觀點有失偏頗。(48)參見Miriam B.A New Outlook on the Economic Dimension of the Database Protection Debate. The Intellectual Property Law Review, 93-170, 2006, 47(2).強化數據控制者的財產利益能否產生數據壟斷取決于立法規制，與財產制度沒有必然關聯。

(二)數據控制者對個人數據的占有具有一定的排他性

1．數據控制者依據合同債權占有個人數據?！睹穹ǖ洹返?27條將虛擬財產與數據并列規定為民事權利客體，揭示出數據作為虛擬財產物理存在方式的特殊性。虛擬財產與數據的關系，同個人信息與個人數據的關系略有不同。個人信息與個人數據是內容與形式的關系，虛擬財產和數據則都是形式——虛擬財產是客戶端呈現出的外在表現形式，數據則是虛擬財產在服務端呈現出的內在表現形式。在客戶端，虛擬財產由網絡用戶控制，具體表現為網絡用戶對賬號密碼的控制；在服務端，虛擬財產的各項數據由網絡服務商控制。虛擬財產的共性在于不能與網絡服務相分離，都是互聯網用戶接受網絡服務的產物，因此其實質是網絡服務合同債權。(52)參見任丹麗：《合同法框架下的虛擬財產——從網絡游戲糾紛的判決展開》，載《網絡法律評論》2006年版。

2．數據控制者的控制屬于他主占有。占有是事實還是權利，理論界一直爭論不休?！睹穹ǖ洹凡扇∈聦嵳f，與大陸法系主要國家的立法相一致。(53)《法國民法典》第2228條、《德國民法典》第845條和《瑞士民法典》第919條。民法占有制度保護占有人對物的事實支配，以實現對占有人利益以及社會秩序的維持功能。(54)參見趙曉鈞：《論占有效力》，法律出版社2010年版，第151頁。個人數據作為無形財產，也受到占有制度的調整。占有的法律效果是產生所有權，主要是時效取得和善意取得兩種，并不適用于數據占有的情形。數據控制者占有數據產生的排他性，來源于占有的自然效果。

(1)數據主體與數據控制者是間接占有與直接占有的關系。直接占有與間接占有的區分在于支配力的表現不同。直接占有人享有現實的支配力，間接占有人基于一定的法律關系對直接占有人享有物的返還請求權。個人數據雖然有很強的可復制性，但是對于數據主體而言，其在接受某一網絡服務時提供的個人數據，因為與人身分離且處于網絡服務商的控制之下，數據主體即喪失這組個人數據復制件的占有，只享有請求對方刪除個人數據的權利。對這組特定化的個人數據，數據主體是間接占有，數據控制者是直接占有?；跀祿再|的特殊性，數據主體只享有刪除權而非返還請求權，但本質都是最終的支配權。

數據控制者依據網絡服務合同取得個人數據，網絡上的個人數據存在于控制者的服務器上，這是典型的占有。云計算分散存儲數據的特性決定了實際控制者的確定存在難度。云計算服務提供商作為服務合同的一方當事人被定位為數據控制者，符合立法區分控制與處理的初衷。在云服務環境中，雖然實際控制或處理數據的主體并非云服務商，但是其對數據有整體管控的權利。數據控制者概念的首要作用在于分配責任，確定誰應負責遵守數據保護規則，以及數據主體如何在實踐中行使權利。數據處理者的概念則是在處理的機密性和安全性背景下發揮重要作用，有助于確定那些更直接參與處理個人數據的主體責任。例外情況是如果云服務提供商僅提供數據存儲服務或者提供一個外鏈，則只能被定性為數據處理者，因為它將根據數據控制者的指令處理個人數據。

資源和財富的利用越來越突破所有者意志的制約，是現代社會財產利用關系的基本特點。(55)孟勤國：《物權二元結構論——中國物權制度的理論重構(第二版)》，人民法院出版社2004年版，第30-31頁。這一特點使得物的利用關系突破所有權中心主義，越來越受到重視。有學者將這兩類主體對于數據產業的意義歸納為數據主體的“邊框性的基礎啟動功能”和數據控制者的“重心驅動功能”，(56)龍衛球：《數據新型財產權構建及其體系研究》，載《政法論壇》2017年第4期。也是二者對個人數據享有同等重要支配力的體現。

(2)數據控制者與數據處理者是自己占有與輔助占有的關系。數據控制者與數據處理者的分別規定，意圖是對脫離數據主體的個人數據的存在方式進行區分。數據控制者一般不處理數據，只是決定數據處理的目的和方法，包括實際控制自然人信息的各類主體。數據處理者只能按照數據控制者的要求進行數據處理，例如網絡服務商、數據應用商等。數據控制者對個人數據保護承擔主要責任，直接對數據主體負責；而數據處理者所承擔的責任要小得多，它們基于合同對數據控制者負責。第三方指的是這一合同之外、為數據處理提供技術服務的外包企業，如數據存儲企業和數據分析企業等。

數據控制者和數據處理者都在事實上占有數據，歐盟相關立法對此二者權利義務的不同規定，在物權法上可以用自己占有和輔助占有加以區分，區分標準是占有人是否親自占有標的物。當數據控制者自己占有個人數據或者親自進行數據處理時，只產生自己占有；當數據控制者委托他人處理數據時，數據處理者對個人數據的占有構成輔助占有。如果處理者的行為超出控制者的委托范圍，為其自身或其他的目的處理個人數據，則就該特定部分的數據處理而言，數據處理者將被視為數據控制者。

實踐中，數據控制者與數據處理者的界分并不清晰，最有名的相關案件是SWIFT案。(57)SWIFT公司全稱為Society for the Worldwide Interbank Financial Telecommunications(環球銀行金融電信協會)，它為超過8300家銀行機構、證券機構和企業客戶提供安全和加密的金融消息服務，每天處理數百萬條消息。因在美國調查反恐案件中為美國提供歐盟公民的數據而被調查。SWIFT主張自己是數據處理者，只是提供消息服務。比利時隱私委員會和《數據保護指令》第29條工作組(58)《數據保護指令》第29條工作組是根據《數據保護指令》第29條設立的、獨立的歐洲數據保護和隱私咨詢機構，其職責權限參見《數據保護指令》第30條。都認定SWIFT與其銀行客戶同樣都是“控制者”，就有關個人信息處理服務，它們須共同承擔責任。(59)參見石佳友：《網絡環境下的個人信息保護立法》，載《蘇州大學學報》2012年第6期。理由主要有：SWIFT承擔職責的性質和范圍超出數據處理者的職責范圍，SWIFT的管理層能夠通過開發、營銷和改變SWIFT的服務來確定處理的目的和方式，SWIFT為處理提供了額外的價值以及SWIFT的管理層擁有做出決策的自主權。(60)參見ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 1/2010 on the concepts of "controller" and "processor": 10-12，00264/10/EN WP 169.

從歐盟的立法到裁判都能看出，事實層面上控制者與處理者都占有個人數據，不占有則無法處理數據。用目的和方法區分二者，是從權利和義務層面進行的——對數據主體，控制者概括承擔所有保護數據的義務；對處理者，控制者享有法定和約定的權利。薩維尼闡述的占有“體素”(corpus)和“心素”(animus)，(61)參見[德]弗里德里?！た枴ゑT·薩維尼：《論占有》，朱虎、劉智慧譯，法律出版社2007年版，第190頁?？刂普叨季邆洹？刂普叩男乃刂饕菍€人數據的支配意思，作為輔助占有人的處理者則不具備心素這一要件。

四、小結：個人數據財產法益體系以數據控制者的義務為中心

《中華人民共和國網絡安全法》第44條規定不得非法出售或者非法向他人提供個人數據，《民法典》第1038條規定：未經自然人同意，不得向他人非法提供其個人數據，都間接承認了個人數據在一定條件下的自由處分，受到立法和數據主體的限制。即便數據主體允許數據控制者收集并共享相關個人信息，也不意味著其讓渡了所有個人信息權利。(62)參見王利明：《數據共享與個人信息保護》，載《現代法學》2019年第1期。在《民法典》框架內理順數據主體、數據控制者、數據處理者甚至第三方之間的法律關系，可以借用無形財產的許可使用和占有理論來解釋。個人信息是人格法益的客體，作為個人信息表現形式的個人數據是財產法益的客體。個人信息的主體具有唯一性，個人數據的主體具有多元性。數據主體對個人數據享有的財產利益來源于個人信息中蘊含的經濟利益，可以通過授權將財產利益許可給數據控制者占有。數據主體對個人數據許可使用后的控制力較弱。在財產權體系內強調其財產利益的基礎性地位，不但與個人數據立法的趨勢相一致，也能限制數據控制者濫用個人數據的控制權。

數據主體對個人數據的弱控制更無法輻射到數據處理者和第三方，有必要強化數據控制者作為中間環節的法定義務。個人數據的易復制性和非排他性是賦予數據控制者占有利益的主要原因，有利于平衡數據主體的利益保護和個人數據的商業化利用，推動數據資源高效配置。從財產規則到責任規則的變遷，實質是將財產法益從數據主體一端轉移至數據控制者一端，克服數據主體行權成本，取而代之以法律要求的補償。(63)參見馮果、薛亦颯：《從“權利規范模式”走向“行為控制模式”的數據信托——數據主體權利保護機制構建的另一種思路》，載《法學評論》2020年第3期。技術優勢賦予數據控制者更大的控制權，相應的，其應承擔更大的義務。以數據控制者的義務為中心串聯起數據主體、數據處理者與第三人，形成財產法益體系內的制約關系，是私法保護個人數據的方法。更多責任規則的確立，有賴于個人數據立法的完善。