數據確權的困境與解決路徑

常 欣 郭 宏

（1.北京大成（太原）律師事務所，山西 太原 030012；2.北京愛申律師事務所，北京 100089）

一、問題的緣起

如經濟學家哈羅德·?德姆塞茨所言，產權的產生，本質上是一個成本收益權衡的過程，只有當通過界定產權，將外部性內部化的收益大于從事這一行為的成本時，產權才會產生。當面對數據確權這一問題時，則只有當確定數據產權的收益大于確定數據產權的成本時，數據才會有確權的經濟基礎。中國已明確將數據列為與勞動、資本、技術并列的生產要素，由此可見，在我國數據確權已經具有了一定的經濟基礎。此外，數據經濟正蓬勃發展，伴隨而來的便是如何利用數據，以及如何平衡數據利用與權利保護之間關系的問題。要解決這類問題，首先需要解決數據確權的問題，即界定數據權屬。《中華人民共和國數據安全法》（以下簡稱《數據安全法》）的出臺，為解決數據安全和權屬問題提供了一些重要遵循，但是在實施過程中，仍有一些具體問題待進一步確認，特別是數據確權問題亟待解決。根據《數據安全法》的界定，“數據處理”覆蓋了數據的全生命周期，包括數據的確權、收集、存儲、使用、加工、傳輸、提供、公開等環節，不過對各個環節尚未有深入的處理細則。而在所有環節之中，數據確權可能是任務最艱巨的一環。

二、數據確權面臨的困境

（一）數據確權需要在多方利益中權衡

數據確權主要用于處理以下三個基本問題：一是數據權利屬性，給予數據哪種權利保護；二是數據權利主體，即享有數據上附著的利益的主體是誰；三是數據權利內容，數據主體享有哪些明確且具體的權能。數據權利屬性、主體、內容的建設和配置，需從個體、社會以及國家多主體的角度進行權衡。在國家層面，數據確權應利于提升維護國家網絡安全空間主權、提升大數據安全管控能力并強化國家關鍵數據資源保護能力；社會層面，數據確權應能有效引導、規范、提升大數據活動、推進大數據產業和數字經濟發展且保障社會公共福利和社會公平正義；個體層面，數據確權能保障數據活動相關個體的合法權益及其數據隱私的安全性。故數據確權既需要保障國家網絡空間主權的控制，也需保護社會企業的數據產業經濟發展，還需保護個人的權益以及隱私安全。另外，在數據權利配置過程中，目前技術和法律制度很難解決“數據商業化利用與個人隱私保護之間的直接沖突”，因此數據確權在多方權益存在部分矛盾的情形下，如何既全面保障各主體權益，又不會貿然地損害一方利益，同時得以實現數據要素整體價值的最大化，這是目前數據確權需考慮的問題。［1］

（二）數據復雜屬性致使其權利屬性不明確

數據復雜的屬性體現在特殊的自然屬性和復雜的社會屬性。數據具備無形性特征，其本質是一串符號，不以自然物質的形態呈現，與有形的物有本質區別。因此數據特殊的自然屬性主要體現在其與傳統法律客體的物不同，它的價值主要體現在其所攜帶信息的價值或者將信息進行處理加工后的價值而非其本身。數據的可復制性和復制成本極低，因而數據可進行無限復制的操作，但復制的操作不會減損數據所攜帶的信息與價值，也難以導致數據被原數據控制者控制的風險，這導致數據無法具備稀缺性和可控性的特性，因此數據與傳統財產權客體具有本質的區別，難以適用傳統的財產權制度對其予以合法保護。

數據同樣具有復雜的社會屬性，在兩個方面得以體現。第一，數據法律屬性不明確。我國《民法典》《反不當競爭法》等法律中均未明文規定數據的法律屬性。所以數據規范層面的財產屬性與權利屬性均未得到釋明，數據既不屬于《民法典》中“物”的范疇，也無法尋求知識產權、債權等的保護。［2］第二，數據的社會屬性較為復雜。數據的生產方式和生產關系導致了社會屬性的復雜性。數據采集的主體是公共部門還是私有部門決定了數據具備公有性還是公共性；所收集的數據資料是否包含個人信息決定了其是否屬于民法人格權保護的范圍；數據為原始數據還是加工后形成的數據，決定了其在歸屬界定時是否需要考慮加工者在數據加工過程中所投入的必要勞動時間（價值）和生產資料的貢獻，這些復雜的社會關系增加了數據權利的復雜性。

三、數據確權之路徑構建

（一）明確數據財產屬性和數據權利屬性

明確數據財產屬性與數據權利屬性是數據確權的先決條件和基本內容。數據確權首先要做到明確數據到底具備哪種權利，如何建立數據保護的法律體系？如果存在數據權，應當以何種財產權制度對數據權進行保障？數據到底是物權，還是債權，又或者是知識產權等其他權利呢？［3］

目前，數據并未在我國財產權制度保護的范疇內。從我國財產權制度發展的角度來分析，財產權的范疇并未是僵化的，而是根據社會的發展需要進行不斷更新豐富與調整。舉例來說，知識產權與股權等權利的出現，使得國家制定相應的法律制度來對其進行調整，標志著我國以傳統物權與債權為核心的財產權的范疇得以擴張。那么是否可以如法炮制，將數據歸入至無形物的范疇，明確承認數據財產權，并建立完善與之相配套的一系列法律規范進行保護？

（二）確立數據確權劃分機制

一是以數據主體分類為基準探索數據權屬劃分準則，推動解決企業無序競爭和用戶個人信息保護問題。結合已有實踐經驗和各界共識情況，可以按照主體將數據劃分為個人數據、企業數據和政務數據，在明確其概念范圍的基礎上嘗試對數據權屬作出規定。［4］例如對于個人數據，在《網絡安全法》和《個人信息保護法（草案二次審議稿）》等立法中已有相關界定，其概念范圍相對比較明確，因此，可以在立法中規定將個人數據的基本權利歸屬于個人。所謂政務數據是指國家政務部門在行使權力、履行職責的過程中獲取的、制作的，并以特定形式記載、保存的一些數據、文件、資料、圖表等多種類信息資源。相比個人數據和企業數據，其主要利用國家資源進行采集管理，具有明顯的公共產品屬性，因此可以考慮將其權屬歸為國家或集體所有。

二是賦予用戶個人更多的數據控制權利。數據確權要解決企業、用戶、國家等主體之間的權利關系，最核心的目的還是要實現對“人”的保護以及對“人”的權利的維護。因此，要在法律中賦予用戶個人更多的數據權利，提升個人在數據產權中的地位和話語權，例如，可在相關立法中進一步規定個人的“數據可攜帶權”。

三是按照數據分類結合主體分類對數據權屬進行界定，即底層直接數據產權屬于個人，集合數據中的使用權屬于數據收集企業，脫敏建模數據產權數據屬于數據處理平臺。

（三）借助監管路徑完善數據確權

要全面解決數據權屬界定面臨的問題和挑戰，在完善相關法律制度的同時，還需積極發揮行政監管作用。

一是提高企業處理數據的透明度，尤其是在數據共享過程中的透明度。強化對企業數據收集活動的監督檢查，要求企業以公開、透明的方式進行數據處理活動，不得以默認、強制等方式對用戶個人信息進行確權，充分保障用戶的知情權、選擇權；同時要求企業在相關協議中明確告知用戶其數據共享的主體和范圍，并且不得超出用戶授權范圍。二是嚴格防控大型企業的數據合并處理，預防數據集中行為。目前，越來越多的平臺利用數據體量優勢和算法技術強化競爭，進行數據共享合并，形成數據集中甚至壟斷。在監管實踐中，需要強化對企業數據集中的實質審查，避免企業通過收購、合并等方式集中大量數據。三是要加強數據安全監管，提升個人信息保護力度。違法違規處理用戶的個人信息不但有損用戶的數據權益，也嚴重破壞了數字經濟市場的合法秩序，雖然我國的個人信息保護專項整治工作取得了階段性的明顯成效，但行業發展變化快，新情況、新問題不斷出現，需要堅持系統謀劃、長遠打算，從“運動式”執法有效轉向“專項整治和長效治理相結合”的監管模式，從“局部監管、突出問題”轉為“全流程、全鏈條、全主體”監管模式，通過這些措施有效提升對公民個人信息保護的監管水平與監管力度。