【摘要】数据具有客观实在性、可确定性和作为劳动成果的财产属性，可以作为独立的交易客体进入市场流通，设立财产权性质的数据权因而具有正当性。为数据生产与交易提供充分激励，维系围绕数据生产加工所形成的社会分工合作和按劳分配格局，亦需要法定权利的设置。综合来看，将数据权初始配置给数据生产者最为合适。原始取得的数据权应为一种总括性权利而非分散性的权利束。国家政策文件中列举的数据产权类型重在揭示经济生活中数据生产和利用的不同形态，其在法律属性上则为数据权或从数据权中派生的权利。结合数据的电子形态和传播特性以及数据利用的方式特点，对数据权内容较为贴切的区分是访问权、复制权、使用权和处分权，并以访问权为数据权的首要权项。相应地，数据侵权规范的构建宜以保护权利人对数据访问的控制为中心。

【关键词】数据权；数据生产者；数据来源者；访问权；合理使用

一个不争的事实是，数据在当今社会已经成为生产要素和交易对象。然而，围绕数据产权的理论纷争依然分歧明显。截至目前，有关数据保护与限制的观点各异，包括数据财产权观点、反不正当竞争法（一般条款）调整观点以及合同法调整观点等。各方论证均对数据产权研究的推进作出了实质性贡献。归纳起来，数据利益界分问题可分为两个层面：首先是确权问题，这不是指如何通过技术手段（如区块链、时间戳等）证明数据权利的存续状态，而是指数据之上得否存在某种支配权性质的财产权。先有权利，才有如何记录和证明权利的问题，反之则否。其次，若果真对数据像对传统生产要素如土地、金钱资本、技术那样给予财产权，则要考虑如何将经济学上的产权概念转化为法律语言，即数据产权的法律表达问题。经济政策中的产权概念并不等同于法律规则中的权利概念，两者之间需要有一个转化的过程。不应忽略的是，法律不仅是价值体系，也是逻辑体系，逻辑自洽性同样是法律的生命。所谓数据产权的法律表达问题，可以概括为在肯定或否定数据财产权立场之基础上寻求相对逻辑自洽的数据保护制度设计。

民事权利体系中，多种类型的财产权基本上可二分为支配权属性和请求权属性的财产权。由于请求权的客体是人的行为，认为数据流转应交由当事人以合同方式安排者，也就否定了对数据设立支配权的可能。在法学语境中谈论数据财产权，实质上是谈论应否为数据设立支配权，即市场主体就其采集、整理乃至深度加工而得的数据应否享有独占排他之法律保障的问题。

无论在交易场景还是侵权场景下，数据均具备可确定性。交易场景下，数据能够与其他客体相分离并可为主体识别，从而独立地成为交易客体。对于数据范围，当事人可以从内容维度加以划定，例如某一航空公司某日的全部航班数据乃至进一步细分的乘客数据、起降准时或延误数据、机组人员数据等，或是由特定人群处采集的人脸数据、特定平台上某一具体时间段针对特定商品的用户点评数据等。数据范围还可以通过“地址+计量单位”的方法得以划定，例如特定文件夹中的10兆或500兆数据，或是通过“地址+内容类型”的方法划定，例如特定一件优盘中的全部商品价格数据等。至于侵权场景下的侵害对象也就是侵权行为所获取或毁损的数据，其范围更是具体而确定的。

数据在当下经济和社会发展中所具有的独特价值更是有目共睹。无论在认识还是改造客观世界方面，数据之于人类已变得不可或缺，被称为21世纪的“石油”甚至“黄金”。在生产领域，数据作为生产要素而投入产品、服务的制造流程，取得与传统生产要素并列的地位。数据挖掘已经成为蓬勃发展的朝阳产业。数据和算法、算力构成人工智能三要素，使用大量（标注好的）数据进行训练，覆盖尽可能多的场景，机器将变得越来越聪明，乃至成长为优秀的驾驶员、医生、管家、设计师、曲作者、画匠等各行各业中的能手，造福人类。在日常生活领域，数据消费不断渗透到个体生活中，诸如自我健康监测等数据消费方式日益流行。总体而言，将数字经济描绘为数据驱动的经济并非夸张。

最后，数据构成生产要素，而其自身也要通过生产来获得。数据作为对客观世界的反映，并非天然存在，更不是如空气一般予取予求，而是需要有人进行信息采集、生产以及将所获信息加以适当数字化。数据因而属于生产劳动成果之列。这一结论同样适用于机器自动生成的数据。一台代替人类进入危险区域作业的测量设备本身就凝聚着人力、物力和财力的前期投入，而其测量作业同样会产生材料和能源消耗。生产者需要通过数据交易收回成本，赚取利润，以实现再投资。至此，数据财产权之正当与必要获得逻辑证成。

（二）以实际控制代替法定权利的可行与否

有一种观点认为，数据交易不需要以财产权作为支撑，而是可以诉诸对数据的实际控制。这一实际控制说包含两项基本主张：一是借助技术手段对数据实施的控制足以保障市场主体在数据之上的支配利益，财产权制度并无必要；二是对数据的实际控制足以推动数据交易的开展，即“企业通常使用技术手段防止其认为值得保护的数据被第三方获取，这种事实上的排他性迫使相对人通过合同取得数据访问权限”。简言之，企业能够通过物理与合同控制数据，再赋予财产权反而可能增加企业负担。实际控制说与数据设权说的分歧可以归纳为对如下问题的不同回答：数据生产者就其占有的数据是否可以要求排除他人干涉的法律保障。数据设权说的答案为“是”，理由是此时数据生产者就其数据拥有具有排他效力的财产权。实际控制说的答案为“否”，理由是数据生产者应当通过技术手段排除他人干涉，法律不应介入。

可以看出，实际控制说对技术的威力寄予信赖，然而其关于“技术在帮助当事人实现对数据的控制上总是有效”的判断并不符合事实。现实中，突破技术保护措施窃取数据的事例比比皆是。被实际控制说视为样板的大型平台企业同样不能幸免。一旦将对数据利益的享有委诸当事人自我防护，不能实际控制的数据可得共享，则数据需求方会想方设法突破技术控制，数据持有者则将纷纷筑高技术屏障，一场无休止的突破与反突破的“军备竞赛”由此展开。这不但导致大型数据企业耗费更多成本，更使无力开发或布置尖端防护技术的中小型数据企业陷于无助境地。与实际控制说相反，数据设权说以法律制裁之震慑力阻却意图抢夺数据者，俾使企业免于将精力、金钱集中在“防盗门”的升级迭代上。

实际控制说的另一个版本即技术保障说认为，数据可以获得计算机系统秘密性保护的荫庇。具体而言，如果发生突破技术措施而攫取数据的情况，数据持有方得以侵入计算机系统为由，主张行为人承担责任。然而，技术措施属于工具与手段之列，数据利益才是目的和本体。不是数据依附于技术措施而有权益，恰恰相反，依附于数据权利的技术措施才具备合法性基础。就此，不妨拿著作权法上的技术保护措施制度来作比较，规避技术保护措施构成违法侵权的前提是作品著作权之存在，无著作权，则技术保护措施无以立足。数据权之存续以占有数据为条件，但不以采取保密措施为条件。权利人有权对数据采取限制访问的技术措施，也有权不采取技术措施。为应对接入网络时的黑客入侵风险而采取技术措施，并非权利人的义务。为了防止盗窃，户主会给房门上锁，但没有上锁或忘记上锁，他人同样不得取走屋内物品。存放在企业设备上的数据，即便没有设置访问密码，外人也无权访问，或者说企业亦有权禁止外人接触。再由法律效果角度观之，如果不承认数据权而停留在计算机系统保护层次，那么法律救济也就只限于恢复计算机系统的秘密性，令行为人停止对系统的侵入，对于行为人侵入系统后转移数据等行为，原告并无请求赔偿的法律依据，数据保护终将沦为空谈。

（三）权利之设是否阻碍数据交易

数据权利否定论者还主张，承认数据权将导致不可预测的交易成本，催生反竞争的市场进入壁垒，阻碍其他依赖数据的市场主体开展经营活动，对下游数据市场的发展产生负面影响，而没有实际专有权的数据已经成为日常交易的客体。简言之，社会现实教导人们慎谈数据财产权。

以科斯为代表的制度经济学派认为，如果交易成本为零，则将产权配置给交易中的任何一方，都能实现资源的最佳配置。换言之，法律可以通过制度设计尽可能地减少交易成本，如通过妥当配置产权提高经济效率。一个不证自明的道理是，若要实现数据利用，先要有人生产和提供数据，否则一切数据交易与利用都无从谈起。否定数据权利，意味着数据生产活动难以在市场上获得回报，其结果虽不必然是一切数据生产加工的停滞（尤其是企业经营业务附带的数据生产），但数据生产者参与数据市场流通的动力难免不足。数据权利配置可以迫使企图搭便车者通过合同支付对价，从而激励数据生产，促进数据流通，推动数据市场及经营组织的发育，不明确产权的初始配置则不易达致这一效果。

还有观点认为，没有财产权并不影响机器自动生成数据，设立财产权反而阻滞此类数据流动。这一观点值得商榷。即便数据可由机器自动生成，在无利可图的情况下，企业会选择自行利用而不对外提供。数据财产权否定论者强调数据自由利用（也就是免费利用）的好处，但有偿交换才是市场经济的本质。通过价格机制，资源方能实现有效配置。事实上，不仅交易中的卖方会对自己的财产宣示权利，买方同样期盼卖方拥有权利，因为只有这样买方所获利益才是安全有保障的。通常也只有在有偿交换场合，买方才能就标的品质提出要求。拒绝数据权利，表面上人人可以利用数据，但却无人保证数据的品质，不是令人满意的结果。

至于“没有实际专有权的数据已经成为日常交易的客体”，不如说是“数据已经基于人们对事实专有权的认同而成为日常交易的客体”。数据交易的发生，意味着需方对供方数据支配权的认可，说明数据财产权的观念已经扎根于市场土壤之中。即便在数据在线公开（即允许用户访问接入网络的服务器）的情况下，数据利用者也不会在复制数据的同时将其从原载体上删除，或者干脆进行剪切操作，这是因为利用者相信，载体上的数据即便公开，也专属于原数据方。不过，以商业道德为支撑的、依赖当事人自觉尊重的“权利秩序”具有不稳定性和模糊性，容易遭到破坏。

为使当事人就交易内容达成一致和安全的预期，主体就某一类型客体的支配地位还应该是“标准化”的，也就是需要以权利的形式出现。于数据之上设立支配权，缘由即在于此。反不正当竞争法一般条款意义上的“竞争法益”并无确定的边界，而是需要在个案中经过对竞争者、消费者和其他市场参与者以及公共利益的整体权衡来认定，这与数据交易关于客体内容（不依赖于个案）的确定要求无法协调，不能作为数据财产权的替代方案。在以合同方式展开数据交易的场合，说当事人双方交易的是一种“竞争法益”，恐非恰当。

质疑数据财产权合理性者认为，数据权的归属难以确定，假如对数据的生成、保存和传输有所投入即可拥有财产权，那么一组数据之上可能存在多个内容相近、相互抵触的财产权，最终任何一方的权利都无法实现。对于以上质疑，确有严肃对待的必要，毕竟很难说一种无法确定归属的财产具备财产权客体资格。

（一）数据归属的一般原则

有关数据的归属，首先需要讨论的是“载体所有权吸收数据权利”的方案，即是否可以将数据视为其物理载体的一部分，将数据保护纳入载体所有权保护框架中加以解决？答案恐怕是否定的。载体与所载数据并非主仆关系，无论在生产还是生活领域，数据价值往往远超过作为标准化工业产品的载体。载体只是服务于数据价值实现的工具，而不是相反。以载体形式转移数据时，当事人不会认为让渡的只是一个物，其中的数据才是交易价值所在。在当事人眼中，只要数据得以保全，载体毁损与否往往无足轻重。反过来讲，数据是否毁损也不必然影响载体所有权的完整性。例如，在2003年的英特尔案中，美国加州最高法院认为，动产侵害以实际损害为条件，只有当被告的行为损害了原告的计算机系统或减缓、破坏其运行，才构成动产侵害，申请禁令的前提也必须是已经发生实际损害或被诉行为将要造成实际损害。这一表态符合美国《第二次侵权法重述》关于动产侵害规则的界定。

让价值较小的载体吸收价值较大的数据，难免弊端重重。他人完全可以删除、修改或转移数据而不对载体造成任何破坏，此种情形下，数据利益遭到侵害，却很难说载体所有权受到侵害。他人还可以通过复制获得数据，同时维持载体及其中数据的完好无损，这种情况下，生产者的数据利益已经遭受侵害，但无论如何都不能说载体所有权受到侵犯。尤其在当代技术条件下，“自行生产+自行存储+自行保护”的做法常常不符合经济原则，数据与存储设备分属不同主体的情况十分常见，数据权利独立于载体所有权正是这一专业分工赖以存在和发展的基础。

独立地看，数据不属于土地、矿产之类的自然资源，而是经由生产劳动收获的一种无体财产。综合有关财产归属的理论和制度实践，可以认为，将数据财产权初始配置给其生产者最为合适。依劳动财产权论的观点，一个人所从事的劳动是正当地属于其本人的，当他通过劳动使任何东西脱离其自然状态，这样东西也就顺理成章地成为他的财产。而在功利主义学派看来，能够推动人们加强生产活动、提升社会总体福利水平的经济制度方具有正当性。由数据生产者初始取得数据权，既符合洛克的劳动财产权观点，也符合经济学上的效率原则，即最小化产权界定成本，同时最大限度保障财产利用效率。就此，“数据二十条”亦强调，按照“谁投入、谁贡献、谁受益”原则，“对各类市场主体在生产经营活动中采集加工的不涉及个人信息和公共利益的数据，市场主体享有依法依规持有、使用、获取收益的权益，保障其投入的劳动和其他要素贡献获得合理回报”。

数据归属于其生产者，即那些投入资本并在从无到有产出数据或者依一定目的、用途对他处数据加以收集、整理、加工过程中起决策作用的市场主体，例如对数据进行整理和标注以用于算法训练的人工智能研发机构、利用专业设备采集天气数据的气象单位、研判市场走势并制作相关图表的金融分析机构等。数据生产者类似于著作权法上的视听作品制作者，其特征是就数据生产进行投资和作出决策，并就此承担相应的市场风险。针对机器自动生成的数据，德国有学者认为，数据权利最初应归属于“对生成数据的设备负经济责任的使用者（数据生产者）”，亦即在维护和经营设备上作了实质投资者，与笔者观点相近。从他人处借用人力和设备从事数据生产和采集，不影响数据生产者身份的认定。参照我国著作权法第18条第2款、专利法第6条规定之精神，员工虽然不是完成本职工作，但主要是利用单位的资金和其他物质技术条件制作、采集、加工数据，亦由单位取得数据权。还应指出的是，数据生产可能呈现为一个长的链条，其中出现多方主体，例如原始数据的生产者，对原始数据进行整理（清洗）、加工的衍生数据生产者，对数据进行分析、挖掘的数据（产品）生产者等，这些主体对其独立劳动产生的数据成果各自拥有权利。

另一方面，并非数据生产链条上的所有参与者都是数据生产者。有观点认为，数据权益的归属应以创造数据经济价值的贡献率为主要判断依据。这一“客观贡献”标准可能使人误以为“只要提供技术设备就能取得（部分）数据权利”，但实际并非如此。仅仅为数据生产者提供技术、设备条件乃至存储介质，并未实际决定数据制作或采集、加工操作者，不能自始取得数据权利。如上文所言，为他人提供数据存储、处理设备，毋宁说是现代生活的常态。就个人而言，将生活经历诸如照片、视频、文本等加以数字化上传于“网盘”，已十分普遍。越来越多的企业将自己的业务数据或其备份放在“云端”，以实现“轻资产运营”。在此类云存储语境中，数据生产者并非存储服务商，而是相关个人和企业。近年来，智能设备在生产生活中日益普及。此类设备会生成和记录有关设备状态或其工作对象的观测数据，相关数据理应属于设备所有人或实际使用人。制造商如出于产品研发、市场推广以及售后服务等考虑，需远程调取设备生成数据，应取得设备所有人或实际使用人的许可。

（二）互联网平台上的数据归属

简单来说，平台上各类数据的归属同样服从上述“决策控制”标准。此处之所以作单独考察，原因在于围绕平台上数据归属所生争议较为突出。回答这一问题也有助于准确认识其他语境中的类似问题。

首先，不区分各主体所扮演之角色，对平台上数据一体定其权属，不能成立。“平台”一词仅仅指涉“平台—用户”场景，即用户利用网络服务商提供的环境发布、寻找信息并进行可能的互动。在这一场景中，数据生产决策可以存在多种类型，充任数据生产者的既可能是平台，也可能是用户。简单地将数据归于平台或用户，或者笼统地说成双方共有，均非妥适。

一般而言，平台构成数据生产者出现在纯粹的内容分享（content sharing）场合。这一场景下，用户通过上传内容的方式将信息提供给平台，形成数据并呈现于平台设定的空间，以达到公众分享的效果。发布在这些“网络广场”上的分享内容包括用户消费体验、评价、投诉等，平台在其中主导着信息的积聚，存储并控制数据的呈现，故数据归属于平台而非发布内容的用户。有研究主张，那些“经由网络用户写入，而由网络平台控制”的非隐私类公共集合数据“应为个人与平台共有”，但笔者认为更合理的结论是该等数据由平台独有。

平台为用户提供封闭性社交空间，则属于另一种情况。此时，数据的生成、修改、删除等操作均由用户决定，因而用户是数据生产者，账号下数据由其原始取得，平台只是技术服务提供者。有判决认可微信账号下的数据（“单一原始数据”）不属于平台，同时又认为，这些数据汇总起来的“数据资源整体”能够给网络平台方带来开发衍生产品获取增值利润和竞争优势的机会，平台方应当就此享有“竞争权益”。这一思路在逻辑上难以成立。作为封闭性社交平台，微信用户账号下生成的一切数据均在本人控制之下，平台无干预权限，甚至也无访问权限，遑论拥有这些数据。既非数据生产者，平台也就不能原始取得用户生成的数据或就这些数据享有“竞争权益”。

还有的平台商业模式属于混合形态，此际仍依“决策控制”标准各定数据之归属。以微博平台为例，具体账号下的数据由每个用户生成并自主管理，其有权保留、亦有权删除直至清空全部内容，平台无权干预。另一方面，用户打开微博所看到的本人账号之外的内容，则是平台加以自动或人工整理的。这些内容分列在平台设置的“关注”和“推荐”栏目之下，两个栏目又细分为多个频道，如“推荐”栏目下又分为“热门”“同城”“榜单”“明星”“社会”“美食”“国际”等频道。各频道的内容虽来自微博账号发布，但其呈现却是由平台完成的，故平台为数据生产者。当然，平台对公开数据进行处理通常基于其从用户处获得的授权。电子商务平台的情况与之类似，平台内经营者（网店）账户内的商品信息、交易记录乃至用户评论等数据均初始归属于该经营者，而平台则对其独立整理或处理的数据（集合）拥有权利。 

（三）数据来源者与数据生产者之关系

在讨论数据之保护与利用时，公共数据、企业数据与个人数据三分法常被提及。这一划分并非基于统一标准，个人数据概念重在强调数据内容构成个人信息，企业数据概念强调持有主体的营利属性，而公共数据概念则强调持有主体的公共管理、公共服务属性以及数据的特殊产生方式。提出三分法的意义在于揭示个人数据（个人信息）有其特殊的保护规则，公共数据之上一般附有无偿或有偿对外提供义务（参见“数据二十条”之（四）），而企业数据则作为财产由企业自主支配。本文讨论侧重民事生活领域中企业或个人对其所生产数据的财产权问题，与三分法中的公共数据利用问题相距较远，与企业数据问题交集最大，与个人数据问题则存在一定的交叉。

在讨论数据归属问题时，容易出现数据来源者与数据生产者（“数据二十条”称为“数据处理者”）不分的情况，尤其是忽视内容意义上的个人信息（又常被称为“个人数据”）与作为特定信息形态的数据之分野，从而得出以个人信息权取代数据权或数据来源者与数据生产者共有数据的结论。由企业制作的数据在内容上可以构成个人信息，例如个人就医过程中生成的电子病历、数字形态的检查结果、企业收集并加以数字化存储的人脸信息等，信息主体在这里不是数据生产者，而是数据（内容）来源者，不能原始取得或与数据生产者共有数据权利。质言之，个人信息被收集乃至被处理的自然人并无权利像处置自己的财产那样处置企业制作和占有的数据，例如许可他人使用。企业在获得合法有效授权的情况下，则可以在财产利用的意义上交易个人信息数据，认为数据权的客体限于“仅具有财产权属性”的非个人信息数据，乃是一种误解。

同时，就其生产的数据，数据生产者相对于第三人虽有独占排他权，但其权利的行使也会受到数据来源者的不同程度的限制。例如，当数据内容构成个人信息时，数据生产企业必须遵守个人信息保护法律的相关规定，信息主体依法享有包括知情同意、查询、复制、修改、删除等方面的权利，数据生产企业则须按照授权范围依法依规制作、持有、处理和使用此类数据。再如，数据内容可能构成受著作权法保护的作品，在欧盟法院审理的一个案件中，报刊文章不是作为作品提供给读者，而是转化为电子形态的数据库供计算机进行数据挖掘。在美国，也发生了针对将作品数字化供作数据挖掘或算法训练素材行为的合法性争议。此时，数据生产企业的采集与利用行为可能受到著作权法的限制。其他情形下的数据采集、生成，如进入室内场所测量、拍摄、录制，或者在动物、设备上安装传感器以获得生理变化、活动规律、运行状态等方面的数据，也可能需要数据来源方的同意。

数据来源者能否分享数据生产者制作的数据内容，构成一个独立的问题。现实中，由于服务提供者（尤其是应用软件服务商）或设备生产商与包括数据来源者在内的用户在地位上具有结构性不平衡，可能存在数据来源者被排除在数据分享之外的情况。以智能汽车为例，制造商独家控制汽车行驶数据的模式可能将独立的数据分析服务提供商排除在市场之外，导致消费者寻求预测性维护和安全相关服务时只能依赖制造商。在这一领域，利益相关者除车主外，还包括驾驶员、汽车制造商、汽车零部件供应商、保险公司、独立维修服务提供商和零件生产商、愿意向汽车乘客提供服务（例如媒体内容等）的各种公司乃至公共机构等。为此，可以考虑禁止数据生产者以协议排除数据来源者分享数据内容的可能性。

除了明确权属，数据产权制度的另一要务是明确作为财产权的数据权的内容。数据权采用何种内部构造，需要结合数据作为无体财产的特点，遵从民事权利体系的基本逻辑。

（一）数据权：一个权利还是一组权利

构造数据权利，首当其冲的问题是，数据权的设计应采统一模式抑或分立模式。所谓统一模式，是将主体原始取得的数据权利规定为一个数据权，该财产权包含占有、用益、处分等权项（权能），各权项可回溯到同一“母体”，这是一种“伞形方案”。分立模式则是分别设置多个相互独立的数据权利，例如占有权、使用权、加工权、经营权等，各权利如一束鲜花，各花枝互不隶属，彼此平行，构成“权利束方案”。

相比而言，“权利束方案”似乎更为自由灵活，但细究之则会发现其并不合乎实际。按此方案，同样从事数据生产，不同主体原始取得的权利只能是占有权、加工权、收益权等“权利束”中之一种，这不但违反平等保护原则，也不具备可操作性。即便认可市场主体因数据生产自始取得权利束之全部，即一次取得互不隶属的各项数据权利如占有权、使用权、收益权、处分权，该方案亦不能成立。既然组成数据“权利束”的各权利间相互独立，当数据权利人让与占有权即不再控制数据亦无权访问时，其手中握有的使用权、收益权岂不沦为空谈？如权利人将占有权、使用权分别出让，则使用权受让人无从使用数据，而占有权受让人也只能占有而不能利用数据，“权利束”方案的内在矛盾由此可见一斑。

对于独立生产数据的市场主体，授予其对所生产数据的全面支配权，符合数据生产者的合理期待，且能达致逻辑内洽。数据权是一种全面的总括性的权利，其本质是权利主体依其意志对数据进行事实上或法律上处分的自由。其既包括自行利用及许可他人利用数据之积极权能，也包括排斥他人侵夺占有、利用等消极权能。权利人既可以自由利用数据之使用价值，也可以利用数据之交换价值，例如以数据对外设定担保。所谓占有、使用、收益、处分，均是权利的作用效果或功能即权能，其派生于数据权这一本体。换言之，数据权不是占有、使用、收益、处分四种权能的简单相加，这些权能亦非彼此独立，井水不犯河水。数据权是全面的诸权能有机结合的支配权，即便他人从权利人处获得相对权或绝对权性质的内容限定的授权，数据权亦不会丧失，相反，它恰恰是期限过后权利人从相对人处收回授权的依据。

在“数据二十条”中，出现了数据资源持有权、数据加工使用权、数据产品经营权的表述，这是否体现了一种权利束的思路？结合“数据二十条”具体规定可以看出，这三个概念重在描述经济生活中的不同数据生产形态，尤其是数据利用的产业上下游关系。其中，数据资源持有权着眼于数据生产者对原始数据（相对于数据产品而言）的权利，故有“数据资源”（类似于原材料）之说。从“数据二十条”之（七）来看，数据资源持有权的提出，旨在明确数据来源者（即数据内容提供者）和数据处理者（即数据生产者）之间的利益划分，尤其是明确“合理保护数据处理者对依法依规持有的数据进行自主管控的权益”。因此，数据资源持有权实际指向原始数据采集、整理者的数据权。

数据加工使用权则面向对既有信息、数据的加工或使用，兼有“加工成数据”和“对数据进行加工”之义。“数据二十条”要求，“在保护公共利益、数据安全、数据来源者合法权益的前提下，承认和保护依照法律规定或合同约定获取的数据加工使用权”。将这一政策表述转换为法律语言，则数据加工使用权指向数据权中的使用权能，此外还可以指向下游加工者、使用者通常以合同形式从数据权人处获得的数据加工、使用许可，以及从数据来源者处取得的将其信息内容加工为数据乃至使用这些数据的许可。

数据产品经营权则聚焦于数据生产者对（原始）数据进行加工形成数据产品的阶段。由“数据二十条”关于“保护经加工、分析等形成数据或数据衍生产品的经营权，依法依规规范数据处理者许可他人使用数据或数据衍生产品的权利，促进数据要素流通复用”之表述可以看出，数据产品经营权其实是数据生产者就其数据产品的支配权，在性质上同样是数据权。这一数据权的内容当然也不限于自己使用，而是包括许可他人利用或加以处分。

需要指出的是，为保障自身能够普遍适用于交易场合，避免成为一次性用品或特定人专享品，财产权规范必然具有超越具体场景的属性，其内容只能是高度抽象的。对世权关系中的相对人是“一切他人”，权利内容是“一切他人不得干涉绝对权人对客体之支配”，因此，定义对世权原则上并不提及“相对人”，也并不描述具体场景下的主体利益关系。事实上，即便持“在主体间利益互动关系层面进行具体界权”之观点者，也不主张对数据再区分电子商务、智能制造、智能能源、智能健康、智能汽车、智能农业等具体场景数据而各定其数据权利。此说所倡导的“在不同场景下为数据处理者和控制者就数据获取行为提供具体界权方案”，毋宁说更适于各类合同（交易）关系场景，自然难以从中推演出作为绝对权的数据权。

（二）数据权的权利内容

作为一种绝对权性质的财产权，数据权的内容可以概括为“权利主体排他地自主作用于权利客体”，即权利人可按自己的意愿使用财产，也可按自己的意愿在法律上处分财产而不再拥有权利。对于数据权中的自用权内容，无需过多着墨，无论修改、加工或销毁，悉决于数据权人。另一方面，在数据权人与他人开展数据交易场合，移植物权法中的占有、使用、收益、处分概念来描述数据交易所涉权能，固然不能说是错误，但没有充分体现数据的无体财产特征。数据的价值体现在提供信息内容，帮助人类和机器实现感知，实现上述价值并不需要剥夺数据权人手中的数据，数据交易可以体现为占有的转移（例如通过交付光盘、硬盘等载体），也可以体现为提供访问数据的可能性。因此，满足相对方需求的数据利用方式适宜确立为数据权利的内容。作为参照，欧盟1995年《关于数据库法律保护的指令》（96/9/EC）所确立的数据库权正是以对数据库内容的提取和/或利用作为权利内容。基于以上分析，数据权的相关内容更适合表述为访问权、复制权、使用权和处分权。处分权（将数据权让与他人）较易理解，对其他三项权利则需要加以进一步阐释。

所谓访问权，是指许可他人访问数据、接触数据内容的权利。数据权以访问权为首要权项，是源于数据的电子形态和传播特性。与实物不同，利用数据并不必然以转移数据为前提，需求方往往只要获得访问许可，即可满足其数据利用的需要，而不必将数据复制到自己支配的载体上。不保留数据复制件还可以让需求方节省数据存储方面的不必要支出。当代的数据库服务就是以授予访问权限而非整体转移数据库为典型交易样态。凭借访问权，数据权人可以实现不同层次、不同程度的数据开放，在保有对数据的控制的同时，满足不同主体对数据的利用需求。此外，对数据的复制和传输（以及后续利用）也常常以访问可能为前提。在网络场景下，数据权利人只需向他方提供访问接口并设定权限，对方即可以自行完成“访问—复制”并将数据传输到自己的设备上。在这个意义上，访问权对于当下云存储和云计算服务的开展可以起到支撑作用。

所谓复制权，是指许可他人将数据复制到其他载体上的权利。基于了解数据内容、使用数据于生产实践或展示等需要，很多场合下的数据利用者需要占有数据，复制则是取得占有的基本方式，故复制权同样是数据权的核心权能。作为一种电子形态存在的数据无需实物交付，数据在网络上的由此及彼可以在瞬间完成而不丢失其内容，因此电子（加密）传输或提供下载通道即为已足。需要指出的是，社会分工规律于数据生产利用领域亦不缺席。即便许可他人下载数据，也不意味着数据权利人只能做“一锤子买卖”。获取数据的使用人乃为满足特定之需，数据经营者的优势通常不会因此受到撼动。以数据库为例，用户分散和反复下载并不影响数据库的存在价值。数据权人甚至可以就因复制而保有数据进行限制，例如在数据品质、数据保存期限等方面加以限制，乃至通过技术措施使传输给相对人的数据在经过一定期限后自动销毁。

所谓使用权，是指许可他人对数据加以利用（如用于算法训练、数据挖掘等）的权利。同一组数据可以授予一人独占使用，也可以授予多人非独占使用。数据在当下的利用方式多种多样，不仅能够提供内容，还可以作为分析研究乃至机器学习的原材料。脱敏后的个人信息、作品均可以其数字形态成为经济生产要素。尤其在人工智能与大数据时代，使用权具有独立的价值。由于数据可能涉及商业机密，企业间就对外披露相互存有戒心，如何做到让市场主体相互利用对方数据而又不曝光数据内容，一直是数据领域的关注焦点。联邦学习（federated learning）模式应运而生。利用这种分布式机器学习技术，参与方可以在获得使用许可的情况下让自己开发的算法模型在数据拥有者本地得到训练，各参与方互不知晓他方的数据，实现了“数据可用不可见”“数据不动模型动”的效果。联邦学习模式既打破了“数据孤岛”效应，使数据价值得到充分发挥，又能防止数据泄露乃至隐私侵害情况的发生。再以当下得到广泛应用的论文查重服务为例，用户获得一项数据使用许可（将自己提交的论文与数据库中的文献进行比对），得到一份比对报告，但并没有实际了解对比文献，事实上也不需要。

有一种观点认为，数据产权将导致无法解决的阿罗信息悖论问题。简单而言，数据交易的开展以当事人了解数据内容为前提，而当事人一旦了解数据内容，也就不再需要交易，因此数据权之设很可能是“竹篮打水”。这种观点实际上将数据交易市场类比于“柠檬市场”。经济学研究认为，在买卖双方信息不对称的情况下，会出现好的商品被淘汰、劣等商品占领市场的后果，即所谓“柠檬市场效应”。不过，这一效应主要限于缺乏统一品质标准且买家对卖方产品无法判断品质高下的交易环境，尤其出现在卖家做“一锤子买卖”的场合，如阿克尔罗夫经典论文中所举的二手车市场。然而，市场经济机制中的很多因素都具有消除柠檬市场效应的作用。卖家可以向买家证明其产品的品质，如试用、第三方推荐或担保、用户口碑等。致力于持续经营的卖家会认识到一次性欺诈的成本过大，因而具有保障商品品质的内在动力。数据交易越是具有持续、反复和竞争性的特点，数据提供方诚信经营的动力就越充分，柠檬市场效应的发生机率就越小。因此，合同缔结之时数据尚不存在、需求方事先不了解甚至始终不了解数据内容，都不是数据交易的严重障碍，事实上这些情况在交易场景中也屡见不鲜，联邦学习模式的兴起即为例证。

另需指出的是，“数据二十条”专门列举的数据资源持有权、数据产品经营权分别指向原生态数据和加工态数据之上的数据权，二者只是在客体的经济属性上有所不同，权利内容并无差异，即都包含访问、复制、使用和处分权能。与这两种权利不同，政策文件中列举的数据加工使用权顾名思义不包含对数据的处分权能，现实中视具体情况可以指向访问、复制、使用三项权能中的一项或多项，有别于其在经济生活中可能具有的重要价值，在法律层面单独强调这一“权利”的必要性并不明显。

与作品因其独创性而通常具有单源性不同，同样内容的数据可以由不同的人相互独立地生产、采集或者合成。对于其他市场主体支配、利用、传播自行生产或由第三方处获得的相同数据，数据权利人无权干涉。换言之，为保障他人的数据生产、利用自由，数据权应以权利人对数据之占有为条件。因此，数据权不同于著作权，原则上不是一种公开传播控制权，而是一种访问控制权。数据权的这一特征使之与商业秘密保护有相似之处，但二者并不雷同。就客体而言，商业秘密是以内容特征即“信息的秘密性”来定义的，而数据则以信息的存在（储）形态为其属性。构成商业秘密的信息可以数据形态存在，也可以其他形态存在。特别地，不是所有数据内容都构成商业秘密，相反，大量数据的内容非但不是秘密，甚至存在于多处供人获取，数据的这一特点导致数据保护与商业秘密保护存在重大差异：商业秘密一旦公之于众，或者竞争者通过反向工程等合法方式得以获知，法律保护即告终结，而数据只要还在权利人占有之下，数据权即不消灭。因此，数据保护与商业秘密保护是两套并行不悖的财产权制度。 

（一）数据侵权规范的设置

构建侵害数据权利的行为类型，既要考虑数据生产者等权利人的利益，也要考虑到数据大量生产、易于流动、难于溯源的特点，防止社会公众及市场主体因数据获取和利用而动辄得咎。为保障正常交往、交易不受干扰，数据权利的行使通常表现为对数据访问的控制，数据侵权类型的构造应当围绕捍卫权利人的访问控制展开。

韩国法同样以访问控制为中心设计数据侵权规范，其新修订的反不正当竞争法第2条第1款列举了四种数据侵权行为，分别是：没有访问权限者窃取、欺骗、不正当连接或以其他不正当手段取得数据，或使用、公开以上述方法取得的数据；依据与数据持有人的合同关系等获得数据访问权限者以获得不正当利益或损害数据持有人利益为目的而使用、公开数据或将数据提供给第三者；知道上述不法行为事实仍从行为人处取得数据或使用、公开上述行为人取得的数据；提供、进口、出口、制造、转让、出借或传送主要用于规避、消除或变更数据技术保护措施的技术、服务、装置或其装置的零部件等行为。从规范内容来看，上述四种行为基本上以故意为主观要件。不过，该项条款将数据界定为“通过电子方式积累和管理的相当数量的信息”，更趋向于指代“大数据”。笔者认为，虽然数据侵权常常指向较大的数据集合，但以访问控制为中心的侵权事实构成不应限于大数据，其原因既在于大数据与小数据难以区分，也在于数据小并不意味着生产者的投入也小，更不意味着价值也小，故一体保护方式更合乎公平原则。

基于上述，我国未来如拟定数据侵权规范，可以考虑纳入如下行为类型：一是未获权利人许可而访问、处理数据，包括实施修改、复制、使用、删除、对外披露等操作；二是为上述窃取、篡改、利用数据等行为明知地提供技术支持、传输介质等实质性帮助；三是明知数据系窃取而得却仍然与窃取方进行数据交易，扩大其传播。由于访问控制通常是他人可以明确辨识的，侵权人的主观方面通常表现为故意（至少是重大过失）。此外，如上文所指出的，即便对于公开数据，权利人仍有权加以管理并实施合理的技术控制。对侵害数据权利的情形无法做到举无所遗，因此，可以考虑附加“其他干扰、破坏数据占有或其维护的不当行为”作为兜底。需要指出的是，通过对数据侵权行为类型作出规定，实际上定义了数据权。这种立法模式既明确了数据权的独占排他性，又将其限制在以访问控制为中心的范围内。

（二）数据的合理使用及其边界

行使数据权的场景不能泛化。现实生活中，数据传输和交换每时每刻都在发生，其中相当一部分不具有交易属性或不涉及支付对价问题。无论是在交往和交易中发挥信息沟通功能，还是作为义务履行的一部分，数据在大量场合下都是主动和无偿提供的。主动向他人发送数据，除非双方已有合同约定，发送方一般不得再行主张数据财产权。例如，某企业向客户发送新产品介绍，不得主张客户对收到的数据加以保密，亦无权限制客户对外传播。

而当数据处在公开状态尤其是在互联网上公之于众时，权利人通常不得主张公众的访问以及正常复制构成侵犯数据权。将数据加以公开，本身向外界传递了“可以自由访问和复制”的意思，或者说，公众有权作此理解。将数据置于人人可以浏览的状态，又主张他人未经许可不得浏览，构成矛盾表示，其与公众合理认识相矛盾者应属无效。我国法律中渗透着对“公开信息可以获取”的认可。即便是日趋严格的个人信息保护制度，也对获取公开的个人信息持较为宽松的态度。例如，我国民法典第1036条规定，原则上可以在合理范围内处理自然人自行公开或者其他已经合法公开的个人信息；个人信息保护法第13条规定，可在合理范围内处理个人自行公开或者其他已经合法公开的个人信息，此时不需要再征得本人同意。

使用爬虫程序获取网站数据在国内外均引发不少争议。基于上文所述，如果抓取的是网站公开数据，且在抓取过程中（实际上是向目标网站发送自动化数据调取请求）并未破坏网站的技术措施，那么抓取就不具有违法性。德国联邦最高法院在判决中表示，如果网站没有设置限制访问的技术措施，而是可为公众访问，从互联网正常运行这一公共利益出发，网站必须容忍他人抓取公开信息，即便网站预先以使用协议规定“禁止自动化获取数据”，且抓取者勾选了“同意”，也是如此。在美国，网站同样希冀以“禁止使用爬虫程序”声明阻止来自外部的爬虫程序，相关争议的焦点在于无视此种警告而仍然爬取数据是否构成美国联邦计算机欺诈和滥用法（CFAA）所禁止的侵入计算机系统的行为。在著名的hiQ公司诉领英公司案审理期间，美国联邦最高法院作出范布伦案判决，对计算机欺诈和滥用法条文内容予以解释。该院表示，该法案确立的是一种“门开或门关标准”（a gates-up-or-down inquiry），计算机系统或系统内特定区域可以访问为“门开”，不可访问为“门关”，法律意欲禁止的是外部或内部人员以黑客手段侵入保密区域。基于范布伦案判决，重审hiQ公司诉领英公司案的美国联邦第九上诉法院坚持此前的立场，即网站单方声明不能阻止他人的自动化抓取。我国法院同样指出，只要是无需访问权限即可访问的平台公开数据，无论是通过用户浏览还是网络爬虫获取，其行为本质均相同，对用户浏览和遵守通用技术规则的网络爬虫等自动化程序获取数据的行为不应区别对待。

当然，公开数据可得访问只是对数据权的一种限制，并不意味着这一权利的消灭。网站有权使其数据重新归于访问受限状态，也有权采取限制复制的技术措施。否定“禁止机器爬取”单方声明的法律效力，是指网站不得要求他人在面对可自由访问的数据时自我约束，但不意味着网站必须对来自外部的数据调取请求来者不拒。是否以及如何公开数据，或者对数据采取何种防护措施，属于数据生产者的固有权利。网站固然不能强制用户放弃爬虫程序，用户一般也无权要求网站为数据抓取积极提供便利。

（三）数据搭便车行为的规范定位

实践中抓取网站公开数据引发争议者较为常见，法院往往以“搭便车”为由认定被告侵权。在这些案件中，有一部分是被告突破原告的技术措施，“潜入原告后台”获取数据，显然构成侵害数据权。另一些案件则表现为抓取原告公开数据，法院认为，抓取行为并无不当，但“使用方式超出合理范围”，具体表现为被告对信息没有进行实质性处理，而是系统性直接挪用，以提供同质信息服务，实质上挤占了原告网站得到用户访问（即所谓“流量”）的机会。放任这种挪用行为会导致示范效应，即越来越多的从业者坐等同行费时费力地采集数据并公开，再轻松地搭便车，使数据生产遭遇反向激励。不过，是否超出合理使用范围，需要加以细致衡量，考量因素包括争议行为的性质、后果，尤其是行为对市场供给产生的整体影响等。这种面向竞争效果评判的衡量方式，更具有反不正当竞争法思维的色彩。

民法典第127条规定，法律对数据、网络虚拟财产的保护有规定的，依照其规定。依体系解释，该条确立了将数据作为可供交易的财产加以保护的基本原则，但具体如何保护，则语焉不详。截至目前，围绕数据资源的利用与保护，国家层面相继出台多个指导文件。这些文件对数据在经济与社会发展中所发挥的重要作用予以充分肯定，显示出对时代脉搏的准确把握。将政策文件精神落实到制度层面，需要有一个转化的过程，即用法律语言合乎体系逻辑地进行规则表达。在这一过程中，不能不加检视地直接照搬其他财产保护制度，更不能将实际控制数据的事实状态等同于基于法律权利的支配。

本文即旨在探索数据保护的具体途径，并试图阐明以下基本观点：基于数据作为生产劳动成果和交易客体的属性，应在数据之上设立支配权性质的财产权，可名之曰“数据权”；基于数据的无体财产属性，数据权概括而言是排他地自主作用于数据的权利，具体而言包括访问、复制、使用、处分等权能；数据权之内容与传统的知识产权有相似之处，但权利之享有以占有数据为条件。设定此项条件，乃是市场经济环境下利益平衡原则的要求，即在尊重数据生产者利益的同时合理顾及其他市场主体独立生产和利用数据的自由。同时，这一条件也使得数据权不存在知识产权制度中的保护期问题。

需要指出的是，数据权利人与其他市场主体一样享有经营自由，有权决定与何人及以何种方式缔结数据交易。仅仅在开发、改进产品和服务方面存在数据使用需求，不构成强制要求他人提供数据的法律理由，更不能以信息自由为口号强制数据权利人开放其数据。当然，如果数据经营者处于市场支配地位，可以在满足反垄断法等相关法律规定的条件下，要求其对外发放公平、合理和无歧视（FRAND）的数据使用许可。