作者简介：时明涛 浙江大学光华法学院

摘要：大数据时代企业数据权利的保护已经成为迫切需要解决的法律难题之一。既有立法例多以个人数据保护为中心，从中反向推导出企业的数据权利范围。这一立法模式因个人数据权利难以精确界定，导致企业数据权利边界模糊不清。现有解决方案中，行为规制说与分类保护说均无法提供恰当的规则指引。赋权保护说虽已明确意识到数据权属界定的积极意义，却没有考虑到企业数据来源的多样性而陷入了一体保护主义。我国未来数据权利保护立法宜采取正面界定的方法，明确企业对数据产品及非个人数据享有占有、使用、收益、处分等所有者权益；对企业数据中涉及个人数据的部分，借鉴数据控制者的立法设计，构建企业对个人数据的权限范围与义务内容。

关键词：大数据；数据权；个人数据；数据控制者；企业数据

大数据时代，数据犹如石油一般取得了基础战略资源的地位。相关统计数据表明，我国无论是在数据产业的发展规模、研发投入还是在发展速度、质量、先进程度等方面均居于世界领先地位。[1]然而，与之形成鲜明对比的是，现阶段我国有关数据权利保护的法律规范几乎处于缺失状态，企业数据权利的取得、边界与内容均不十分清晰，企业数据权利的保护方式仍然存在很大争议。这些问题在当前大数据交易实践中已经显得十分突出，必将对我国数据产业的健康发展造成不利影响。有鉴于此，本文将在分析数据权属争议与困境的基础之上，探寻我国企业数据权利保护的最佳路径。

一、企业数据权利保护的困境

（一）数据是否能够成为民事法律关系的客体

企业能否享有数据权利，首先取决于数据的法律性质。即，数据能否成为民事法律关系的客体？对此，有肯定说与否定说。肯定说认为，数据可以脱离于自然人主体而独立存在因而具有独立性；数据可以依据法律的规定而实现独占性；数据因其内容而具有财产性价值；是否为有体物并非民事法律关系客体的要件，因而数据是新型民事法律关系中的客体。[2]否定说则认为，数据因无法被民事主体所独占和控制而不具有民事客体的确定性；数据因无法脱离特定的载体单独存在而缺乏民事客体所要求的独立性；数据因缺乏专属性和垄断性特征因而不构成民法上的无形财产；数据因依赖于特定的代码或载体存在而不具有独立的经济价值，因此数据不能成为民事法律关系的客体。[3]

上述两种观点之中，否定说的理由不仅建立在数据的自然属性之上，更为重要的是其深受技术决定论的影响，认为“法律不可能调整技术本身，只能规定技术标准、技术归属和技术风险”。同样，美国学者劳伦斯·莱格斯在《代码2.0网络空间中的法律》一书中也阐明了几乎相同的观点——即“代码就是法律”。[4]事实上，即使身处网络时代这一论断是否能够成立，仍然值得怀疑。这是因为“代码就是法律”混淆了法律治理与技术治理之间的区别。作为实现特定目的的技术手段，代码在互联网领域具有十分重要的地位，然而法律治理主要依据价值判断，其标准乃是特定社会的通常价值观念，而技术治理则因循可能性的逻辑，即在特定的技术条件下能否达到特定的目的。“代码就是法律”显然是以技术合理性来论证法律合理性。这就好比克隆人的技术依据现有的科技水平能够做到，但根据现行法律却不能做到，其所依据的显然并非技术上的合理性。除此之外，上述肯定说的理由虽然主要建立在数据的客体属性之上，但却忽略了民事客体的性质不仅是事实判断，其在本质上仍然是法律判断，这从法律对虚拟财产权的确认过程基本可以得到印证。事实上，最新通过的《民法典》在“总则编”第五章“民事权利章”第111条和第127条对个人信息和数据保护分别作出规定，在“人格权编”又再次对隐私权和个人信息保护进行了细致区分，这就意味着我国《民法典》的立法者已经明确意识到个人信息与数据保护之不同，至少从二者区别的角度承认了数据的民事客体地位。

（二）数据权利的属性与内容模糊不清

企业数据权利的保护涉及到数据权利的属性问题。正如学者所言，数据权利的属性不仅是制定数据资源确权、开放、流通和交易相关制度的依据，还是数据权利保护的理论基础和逻辑起点。[5]但当前学界对于数据权利的属性可谓众说纷纭，人格权说、财产权说、知识产权说、商业秘密说等不一而足。事实上，不同观点之间虽然看似分歧明显，实则多数是由于分析对象不同所导致的认识差异。一般而言，以个人数据作为分析对象的学者较为倾向于人格权说，而以数据集或者大数据产品作为分析对象的学者更为倾向于财产权说，甚至有学者从国家数据主权和人权的高度论述数据权利的宪法属性。不同学说之间的争论本无可厚非，但从权利救济的角度观察，不同定性将会对权利的私法救济产生明显影响。这是因为，现代民法中绝对权和相对权的保护手段有较大差别，人格权与财产权的保护手段又有所不同，甚至连权利和利益的保护方式在侵权法中亦有程度之分。因此，数据权利的性质争论不仅只是学说分歧而已，更涉及到实体权利的救济问题。但遗憾的是，迄今为止我国学界对于数据权利的属性远未达成共识。

除权利属性之外，当前学界对于数据权利内容的分歧也十分明显。例如，有学者认为数据权包含数据人格权与数据财产权两个方面的内容，“数据人格权包括知情同意权、查阅权、更正权、删除权、可携权、封存权，数据财产权包括控制权、使用权、收益权、处分权。”[6]言下之意，似乎数据人格权与数据财产权是可以被截然分开的两个部分。还有学者指出，“由于人格权是从属于自然人主体的不可转移的权利，因而数据权属所讨论的问题主要是指数据财产权的归属。”[7]由此，似乎又可以得出数据权利内容中并不包含有人格权内容的结论。还有观点进一步的指出，“大数据时代赋予个人以数据财产存在事实上的控制力不足、收益的低价值性和成本的高昂等问题，因此不应当赋予个人以数据财产权。”[8]然而，事实上是否享有与是否应当享有是两个问题，以事实上控制力不足否认法律上是否应当享有，则是以事实存在否定价值判断，仍有可供商榷的余地。

从分歧的成因来看，上述认识不同程度地忽略了数据权属构成的复杂性。单纯将数据权理解为数据人格权或者数据财产权的观点，忽略了个人数据权与企业数据权利之间的差别。实际上，所谓的个人数据权本质上是个人信息保护在互联网领域的反映，其归根结底是信息主体对其个人信息所享有的排他性的支配权，如信息自决权、知情同意权等。而企业的数据权利则主要强调的是企业对合法收集的数据所享有的占有、使用、处分、收益等权利，主要表现为企业的数据资产，只不过，由于企业数据的构成中包含大量的个人数据，涉及到法律有关个人数据的保护要求，这才导致企业数据权利的问题趋于复杂。此外，个人数据也并非单纯表现为自然人的人格权利。当前有关个人数据对价化的法律实践至少表明，个人信息之上还存在一定的财产价值。企业对于个人服务的提供也并非免费，而是用户以其个人数据为对价所换取的。[9]因此，如何再平衡数据主体与数据控制者之间的关系，成为当前个人数据保护立法中难以绕开的理论命题。

从权利内容上看，数据人格权与数据财产权难以被截然分开。前述分类中的数据控制权就已经包含了数据人格权的内容，而数据财产权的行使又将明显对自然人的人格利益产生影响。从欧盟有关个人数据的立法来看，个人数据权主要是人格权内容，即特定自然人对其个人数据所享有的自我控制、自我决定的权利。而随着大数据技术的深入发展，企业针对海量数据的分析已经呈现出明显的财产价值，但这一财产价值主要是由于企业的资金、技术以及劳动投入所获得的价值增值，原始个人数据只在其中起着非常微小的作用，因此数据权从客观上来讲应当是指企业对其所拥有数据资产（数据产品、个人数据、非个人数据）的权利。我国《民法典》第111条规定了自然人的个人信息应受法律保护但并未明确个人信息的法律属性，第127条又单独规定数据与虚拟财产受法律保护，这就为数据权的独立建构预留了立法空间。因为从本质上，自然人对其个人数据的权利可以看成是个人信息保护在个人数据上的具体体现，而数据权主要表现为数据主体对其合法收集、占有、使用、加工的数据所享有的财产性权利。

（三）数据权利范围难以精确

从企业数据权利的构成来看，个人数据的权利范围对企业数据权利具有重要影响。一方面，个人数据构成企业数据的重要组成部分，个人是否享有以及享有哪些数据权利将直接影响到企业数据的权利范围。比如消费者在购物网站上所留下的购买记录和收货地址，既是企业数据的组成部分，又是消费者的个人数据，如果消费者行使删除权，则企业将失去该项数据内容。另一方面，企业对个人数据享有哪些权利又将直接影响到数据交易的内容。这是因为数据交易的基本价值在于数据所包含的信息内容，而个人数据常常构成其中最为核心与最具价值的部分，因此企业对个人数据享有的权限范围将直接影响到企业的数据权利内容，进而影响到数据产品的价值。

对于企业数据权利内容的确定，既有立法例无法提供完整的解决方案。对于数据权利的保护，比较法上呈现出两种不同的立法路径。一种是以美国为代表的隐私权保护模式，其主要特点在于否认个人对其数据享有所谓的“数据权利”，仅在企业的数据处理行为有侵犯个人隐私之虞时，方才提供保护。另一种是以欧盟为代表的赋权保护模式，主要表现为赋予自然人对其个人数据以积极权能，如知情同意权、删除权、可携带权等，以限制企业对个人数据所享有的权利范围。总体而言，这两种模式均未直接承认企业的数据权利，而是通过反向限制的方式实现企业的数据利益。即，对于企业而言其行为规范为“有限禁止+剩余自由”。

然而，这种从个人数据权利中推倒出企业数据权利的方式却存在着较为明显的弊端。首先，该模式下企业是否享有以及享有哪些数据权利一直暧昧不清。在隐私保护模式下，美国企业一直面临较为轻松的个人数据保护压力，但也由此引发了一系列的数据安全事件。[10]在欧盟模式下，数据企业一直面临较大的个人数据保护压力，致使欧洲互联网企业的发展备受煎熬。[11]究其原因在于，这两种模式均未明确个人数据权利范围，从而导致企业的数据权利模糊不清。[12]正如学者所言，既有的法律体系本身并非为企业数据问题而设，而是各自有着自己特定的立法语境和制度功能，用来解决企业数据权利问题难免会有某种距离感。[13]我国大数据产业发展的现实困境进一步印证了这一论断。在已经爆发的数据权利争夺案件中，受制于实体法律规范的缺失，法官只能求助于反不正当竞争法来保护企业的数据利益。但这种处理办法既模糊了争议焦点，也没有树立可资参照的裁判标准，难以为后续的争议解决提供明确的行为准则。其次，个人数据权利的边界不清导致企业数据权利趋于模糊。一般而言，个人数据是指能够直接或者间接识别特定自然人的数据信息，包括但不限于自然人的身份号码、电话号码、出生年月等信息。以“可识别”作为个人数据的判断依据，一定程度上使得个人数据的范围始终处于不稳定状态，进而影响到企业的数据权利范围。这种不稳定表现为，是否可识别首先取决于识别技术的发展。随着数据处理技术的进步，可间接识别自然人的数据范围越来越广，甚至理论上任何数据都有被识别的可能，这就导致企业数据权益时刻处于变动状态。因为根据个人数据保护的要求，某项数据一旦被认定为个人数据（具有识别的可能性），则必然触发相应的法律适用机制，而企业对于该项数据收集、使用和处理均会受到相应的限制，不但增加企业数据收集和处理的成本，而且还会影响数据交易本身的安全。另一方面，“可识别”缺乏明确的法律标准，致使个人数据的保护范围明显过大。数据是否可以识别到特定的主体，通常取决于数据技术的发展和行为人究竟愿意为识别所付出多少努力。因此，以“可识别”作为个人数据的判定标准，不但需要面对判断标准难以精确的难题，还会将以价值判断为主的法律带入技术判定的泥沼。

二、企业数据权利的保护方式：学说争议与评析

（一）既有数据保护理论与评析

当前有关企业数据权利保护存在三种不同的主张，即赋权保护说、行为规制说与分类保护说。

1.赋权保护说及其理由。该类观点主张由立法建构数据新型财产权，在区分个人数据和数据资产的基础之上，在个人数据的层面配置人格权益与财产权益，在企业数据的层面，赋予企业以数据经营权和数据资产权。[14]具体而言，数据经营权类似于对数据资产经营的专门限制，是从事数据资产经营的企业所需要获得的一种营业地位或者营业资格。而数据资产权是指专门从事数据经营的企业对数据集合或者数据产品加工所形成的数据产品享有的财产权。换言之，权利主体对自己合法的数据行为过程中所形成的数据集合或者数据产品享有占有、使用、收益、处分等所有者权益。

2.行为规制说及其理由。所谓行为规制，是指通过法律规定明确数据原生者、数据衍生者和数据使用者三者之间的权利义务关系，以确立数据自由获取和自由流通，数据共享和数据区分等数据交易的基本秩序。[15]具体而言，行为规制主要通过合同法、侵权法、反不正当竞争法、知识产权法等四种路径实现对数据收集、使用行为的调整。主张行为规制说的理由主要建立在数据交易的特殊性之上，因为在其看来，数据交易与传统有体物交易有所不同，数据交易的客体为无体物的数据，可以由多个主体同时所有而不影响数据本身的价值，数据没有特定性和独立性无法归入既有的民事权利客体范畴，数据具有公共性，不应视为私人物品而应当由全社会共同享有和使用等。[16]

3.分类保护说及其理由。还有学者指出，由于数据在本质上具有非竞争性和排他性的特点，给予企业数据权利以绝对性与排他性的财产权保护方式将会妨碍数据的流通与共享，对此应当采用类型化和场景化的方式加以保护。[17]具体而言，将企业数据分为公开数据、半公开数据和非公开数据三种类型，对公开数据采用反不正当竞争法予以保护，对半公开数据采取类似于数据库的特殊保护方式，对于不公开数据采用商业秘密的保护模式。

总体而言，上述三种主张均存在一定的合理性，但又均存有各自的不足之处。

首先，行为规制说未能充分考虑数据交易的特点。一是，行为规制说回避了数据权利归属这一核心问题，由此可能加剧非法数据的流通与交易。计算机的数据存储方式决定了数据交易具有较强的隐蔽性，加之数据违法复制的成本极低，交易过程无法进行权利查询，这使得数据窃取和销售的“黑色数据交易产业链”屡禁不止。[18]在数据到底属于谁都不甚清楚的情况下，一味地强调数据的流通和交易只能加剧对数据权利的侵害。二是，行为规制模式将使得个人数据权利的行使与救济均难以实现。行为规制模式企图通过私人约定的方式实现对数据利用的行为规制，这过于夸大了私法主体行为理性。国内爆发的“顺丰与菜鸟之争”、“新浪微博诉脉脉”等数据权利争夺案件已经充分表明数据控制者的数据争夺行为本质上是利己主义的，用户在企业数据权利争夺中明显处于弱势地位，极易成为企业之间利益交换的牺牲品。将数据收集和使用交由私法主体自由约定，一方面不可避免地出现强势企业以强凌弱的局面，另一方面又将难以规制企业之间因利益交换而牺牲用户的数据权利的情况。总体而言，将数据利用秩序交由私法主体自行约定过于夸大了私法主体的竞争理性，也对数据控制者的利他性抱有某种不切实际的幻想。三是，行为规制模式忽略了合同的有限理性。采纳合同方式保护企业数据权利的最大优点在于私法自治，因为当事人可以在相当程度上获得对数据的利用自由，但这也正是其缺陷之所在。合同总是有限理性的，以数据服务合同处理数据信息将面临主体之间谈判能力以及经济地位的实质差异。这种差异不仅会使得合同的权利义务失去平衡，还会加剧大数据企业的垄断地位和个人数据权益被侵害的可能性。在不断失去平衡的数据利益交换之中，最有可能沦为牺牲品的，只有作为自然人的个人数据权利。四是，从外部约束来看，合同之间的相对性也决定了数据利用者之间无法进行有效的约束。一是合同相对人缺乏有效的监督手段，二是由于相互之间的利益关系，相对方也很难有勇气纠正对方的数据违规行为，因为其中最有可能牺牲的并非数据价值，而是自然人的数据权利。综上可知，数据合同最多只能成为一种商业模式，而不能为数据财产的有效治理提供帮助。

其次，对不同的数据采取不同的保护措施缺乏正当性与合理性。分类保护模式之下乍看具有合理性，但仔细斟酌不难发现，将数据保护建立在数据分类的基础上难谓合理。这是因为，第一，不论何种数据均是建立在数据企业前期投入的基础之上，“数据并不是天然存在的，而是被生产出来的”，仅因数据存在的状态就赋予其不同的保护力度缺乏正当性。第二，对于公开数据适用反不正当竞争法予以保护具有明显的局限性。一方面反不正当竞争法的适用需要双方之间具有竞争关系，运用反不正当竞争法对企业数据加以保护显然无法适用于非竞争关系的第三方主体对企业数据进行不法侵害的情形。另一方面，反不正当竞争法的适用也具有明显的滞后性，即只能发生在不正当竞争行为存在之后，无法发挥损害预防等积极功能。第三，对半公开的企业数据给予数据库的保护方式不具有现实可行性。一方面，对于数据的存在状态难以准确界定，何为公开？何为半公开？半公开与非公开之间又有何种区别？另一方面，数据库其实就是数据产品，只不过其所加工的对象并非单纯的个人数据，而是可能附带有个人信息内容的数据。对数据库的赋权保护体现了法律对信息内容聚合式加工价值的法律确认，[19]但企业的半公开数据是否经过犹如数据库一般的资金投入和价值附加则不无疑问。其四，对于非公开企业数据采取商业秘密的保护方式将不利于企业数据权利的保护。商业秘密的典型特征在其秘密性，这意味着一旦企业数据被非法入侵，会因失去秘密性而无法获得任何保护，这种结论实在令人难以接受，也将对企业合法数据利益的保护带来不利影响。除此之外，将企业数据视为商业秘密还可能在客观上助长非法侵害他人数据权利的事件发生。因为网络具有天生技术性和隐秘性的特征，若企业所持有的私密数据仅因失去秘密性而不再受到法律保护，这等于是在变相鼓励盗取他人非公开数据的行为。

最后，赋权保护说的总体思路值得肯定，但在分类保护与规则设计方面仍存在较大的完善空间。一是，赋权保护说遗漏了数据产品之外的其它数据权益。当前有关数据交易的权属问题已经成为我国大数据产业中亟待解决的突出问题，而权属明晰又是大数据产品能够上市交易的前提条件。从鼓励数据产品研发的角度，赋权保护路径的确能够在客观上保证企业对数据产品的开发获得相应地回报，从而有利于激励企业对数据产品的研发投入。然而，企业数据的构成本身是复杂的，除数据产品之外，企业数据构成中还包括大量的用户个人数据，如果一律通过赋权保护的方式加以调整，恐怕难以平衡数据保护与利用之间的关系。这是因为，一方面企业对个人数据享有的权限范围需要受到个人信息权利的限制，不加任何区分地予以赋权保护将难以避免企业数据权益和个人信息权利之间的冲突；另一方面，赋予企业对个人数据享有专有权，难以有效地遏制企业的数据权利滥用行为，加剧个人数据与企业数据之间的紧张关系。二是，数据专营权的制度设计明显不利于中小企业数据权益的维护。数据专营权实际上是为数据产品的开发设置一定的准入门槛，以防止中小企业因资金、技术、管理等不足所导致的数据安全问题。然而，任何企业的数据权利都是该企业正当权益的体现，更何况当前数据资源已经成为企业的核心资产，人为设置企业数据产品开发的障碍，一方面可能不利于中小企业发展与创新能力的发挥，另一方面也可能造成数据资源的单向聚集，形成行业垄断的局面。从商业利用的角度而言，用户数据构成企业的核心资源，对用户在企业数据平台上留下的各类使用痕迹加以分析可以预测客户的实际需求，其中潜藏着未来的商业契机与提升用户体验的机会，鼓励企业对其进行积极开发也将在客观上促进社会的整体福祉。

（二）企业数据权利保护的基本思路

由上文的分析可知，企业数据权利由个人数据和非个人数据构成，对于前者因涉及到个人数据权利，企业的数据权利需要受到较大的限制。对于后者，因不涉及自然人的数据权利，企业当然享有完整的权利内容。对企业数据权利保护也可以因循这一思路展开。

其一，将企业数据区分为基础数据和数据产品。对于数据产品赋予数据企业享有完全所有权或者资产权，实际上是对大数据产品的赋权保护。无论是从数据企业的前期投入、数据开发的成本回收以及经济激励的角度而言，赋予特定数据产品开发者以所有者权益都值得肯定。但这种数据权利的取得需要遵循特定的条件，即数据来源的合法性要件和数据资产的形式性要件。对于前者而言，是指作为数据产品的基础数据来源应当符合法律的规定，履行特定的匿名化的义务，以消除数据产品中的隐私风险。对于后者，是指赋予特定数据产品以所有权需要满足特定的技术条件。比如，数据资产需要有一个能特定的数据权属，需要满足数据计量和可装盒的要求，需要进行特定的货币计价以及折旧和增值管理等。[20]从个人数据保护的角度而言，赋予特定企业对于数据产品的所有权非但不会对自然人的数据权利产生消极影响，反而可能会产生正面的激励效应。“只有对社会成员之间互相划分对特定资源之间的排他性权利，才会产生适当地激励。”[21]也正是因为赋予企业对数据产品的排他性权利，它才会通过努力使得数据资源合法化以最大限度地排除失去数据产权的风险。比较而言，数据产品的法律条件才是决定企业能否取得数据权的关键因素，而数据产品的技术要件仅在市场定价时会对数据产品产生一定的影响。

其二，对于基础数据的权属问题，应当区别不同的情形予以分别保护。有学者认为，只要是数据企业合法收集并储存数据，就可以依据这一行为取得对个人数据的权利，并且该权利既不依赖于被收集者的授权，也不依赖于先在的权利或许可，而是基于原始取得所获得的数据权利。[22]这种观点显然忽略了个人数据之上所承载的人格价值，也将难以体现企业对于个人数据权利取得的正当性。一方面，个人数据来源于自然人主体，企业的收集、利用、处理等行为将对自然人的人格利益产生重大影响，仅凭原始数据的收集行为显然不足以正当化企业的数据所有权。另一方面，对于粗放形态的个人数据配置所有权这种绝对权利，将会助长企业通过知情同意规则大量攥取用户个人信息的行为，从而对个人数据的保护产生消极影响。[23]换言之，企业对个人数据的初始收集并未付出与之相对应的对价，难以体现出权利义务的一致性。对于企业所收集的基础数据，由于涉及到用户的个人数据权利，不宜一律认定为企业的数据财产，而应当在进一步分类的基础之上实现数据的差异化保护。从数据的来源上看，企业的基础数据有可能来源于个人用户，也可以是与个人无关的其它数据，如企业内部的生产数据、政府和互联网上的公开数据等。对于非个人数据由于不涉及自然人的数据权利，企业当然可以取得其所有权，并且有权对其进行分析、处理等二次利用行为。对于用户个人数据而言，单纯的数据收集行为并不足以正当化企业的数据权利。因为很显然用户个人数据并非企业的私有财产，其上还进一步体现为自然人的人格利益和财产权益。因此，只有在数据主体同意的前提下，企业对个人数据分析、处理才是合法的。这在一定程度上体现为自然人对其个人数据的自我决定，是在大数据时代必须坚持的法律治理逻辑。即，现代数据保护立基之处在于平衡个人数据的保护与数据利用之间的关系。

其三，对于企业所收集的个人数据应当创设狭义的“数据控制者权”予以调整。根据“经济合作与发展组织”1980年发布的《关于管理隐私保护和个人数据跨疆界流动的指导原则》，“数据控制者”（Data Controller）是指有能力决定个人数据内容和使用的一方当事人。欧盟最新发布的《通用数据保护条例》中仍然延续了这一概念，并且对数据控制者的权利和义务进行了更大幅度的完善。日本2003年《个人信息保护法》创设了“个人信息处理业者”（個人情報取扱事業者）的概念，并将其界定为“除国家机关、地方公共团体、独立行政法人之外，将个人信息数据用于其业务的当事人。”相比欧盟广义“数据控制者”的概念，日本法更强调对“个人信息处理业者”的行为规制。这一点尤其值得借鉴。因为从本质上，个人数据的私法主体主要是以数据的商业利用为目的，其对个人数据的收集、利用和处理主要依据合同或准合同关系，本质上仍属于私人自治的领域，法律对其调整主要以配置适当的权利义务为主。而公务机关的个人数据处理行为显然与之有所不同，其常常依据公权力对个人数据进行强制或者半强制的收集、处理和利用，一旦数据泄漏或被非法收集、利用将对公民的基本权利造成严重侵害，因此公务机关的数据收集、利用行为理应受到更为严格的公法管制，而非笼统地将其纳入“数据控制者”的概念之下。也就是说，不宜在广义上采纳数据控制者的概念，而应将其限定为私法主体，即以盈利为目的的公司、法人或者其他组织。

从必要性的角度出发，创设数据控制者的概念主要是为了与数据主体的权利义务相区别。首先，数据控制者并非如数据所有者一样，其通常难以获得个人数据的处分、收益等所有者的权利内容。毫无疑问，个人数据的主体为特定的自然人，其本质上是以数据形式存在的个人信息。虽然当前单一个人数据的财产价值极其有限，但已有个人信息对价化的实践至少表明个人数据之上仍然存在一定的财产价值。企业对个人数据的收集虽然付出了一定的劳动和成本，但仍不足以正当化其权利主体的地位，因此由其享有一定的控制者权益可以较好地平衡二者之间的关系。其次，除人格性的权益之外，数据企业对于个人数据存在事实上占有和控制状态，法律不应忽略这一重要的事实，而应当赋予其一定的控制者权益，督促其在享有利益的同时履行相应的保障义务。例如，企业数据平台对于个人数据的占有显然属于有权占有，因此数据平台有权阻止其他竞争者或非竞争者对自己平台数据的非法抓取行为；企业为了保障用户个人数据的安全，有权对自己平台的用户个人数据采取加密、编码等安全保障措施；在获得用户授权的情况下，有权对自己平台的用户数据进行适当的加工和处理以提升数据的整体价值；在获得数据主体同意的前提下有权对个人数据进行适当的使用等等。最后，应当明确数据控制者对其收集的个人数据负有安全保障义务。权利和义务是对等的，没有无权利的义务也没有无义务的权利。应当看到，企业收集个人数据主要是为了其自身的商业利益，因而其在获益的同时理应承担相应的义务。这一点在域外立法中已是较为普遍和明显的趋势，如欧盟《通用数据保护条例》对数据控制者就规定了通知义务、安全保密义务、数据质量义务、合法处理义务和报告义务等五大类义务。我国《民法典》第1038条虽然规定了数据处理者的安全保障义务，但就其本质而言，安全保障义务应不限于数据处理阶段，还应当包括数据收集、占有和使用阶段。因此，对于我国当前的数据产业发展现状，至少应当确立数据控制者的安全保障义务、合法处理义务和数据质量义务。

三、企业数据的民法保护：分类保护与权益区分

（一）对数据产品以及非个人数据的权利

从数据的构成来看，企业数据中仅包含有个人数据与非个人数据两大类。对于后者，由于不涉及自然人的数据权利，其权利的边界相对稳定和清晰，一般情况下不会产生数据归属于谁的争议。因此，法律规制的重点应在于平衡个人数据与企业数据权益之间的关系上。

一方面，个人既是数据生产者又是数据权利主体，与企业数据权利呈现出一种复杂的交错关系。这主要体现在个人数据之上可以存在多重权利主体——数据所有者和数据控制者，个人数据虽然从属于自然人主体，但其同时又是企业数据的重要来源。企业数据权利行使的边界在于自然人享有哪些数据权利，因而自然人的数据权利和企业数据权利之间总是呈现出一种博弈关系，即一方的权利行使总要受到对方权利的制约。这种结构本身对企业数据权利的稳定极为不利，表现在企业对数据的开发和应用既要受到个人数据权利的制约，又要受到因“可识别”所导致个人数据范围不稳定的影响。

另一方面，大数据技术的时代特点决定了个人数据的使用范围总有超出授权范围的冲动。数据的价值在于流动，大数据分析的基础在于拥有足够数量和质量的数据来源，作为人工智能产品的“智力来源”，个人数据同样具有不可替代的重要地位。对此，不少学者主张引进“场景理论”以缓解企业对个人数据使用和转让等二次同意的成本。这种观点实则是以技术合理性来论证法律合理性，混淆了技术治理与法律治理之间的关系，由此可能导致技术主宰法律的危险后果。技术治理因循自我偏好的逻辑，由掌握技术的一方将自我利益根植于规则之中，以实现自我利益的最大化。而法律治理的基本逻辑则建立在社会共识的基础之上，是典型的以社会共同价值来塑造行为。例如，认为个人数据之上的人格权利应当优先于企业的数据利益受到保护，是典型的法律逻辑。但是由于企业对用户个人数据的二次使用需要再次获得数据主体的同意，从而在客观上增加了企业的数据使用成本，因之而主张放弃或者缓和知情同意的观点，实际上是以技术合理性代替法律合理性的技术思维。

从本质上而言，对于大数据时代的个人数据权利，应当遵循法律治理的基本逻辑，以他律来促进自律，以规则框定技术发展的基本路径。具体而言，一方面从数据来源合法性角度，对企业数据权利进行正面确权，以减少企业数据权利的模糊性。这不仅有利于企业对数据产品加大投入与保护力度，还能在客观上“有助于数据控制者协同规制第三方的数据处理行为”。[24]另一方面，从正面激励的角度，只要企业在数据产品的开发和应用中履行了法定义务，即使其中个人数据被再次反向识别，也不宜再影响企业已经取得的数据权益。

鉴于“识别可能性”只是一个相对的概念，企业数据权利的取得应当建立在更具有稳定性的“匿名化”义务之上。首先，明确界定个人数据处理的基本原则，违反个人数据处理原则的数据来源均为非法数据，不能成为企业数据权利的客体。合法性原则作为个人数据处理的基本原则，贯穿于欧盟及其成员国个人数据保护法的始终。如欧盟《通用数据保护条例》第6条将合法性原则作为数据处理的首要原则。[25]我国《网络安全法》第41条规定了网络经营者收集个人信息的合法性、合目的性、必要性原则，第42条规定了个人数据收集的安全保障原则、知情同意原则等，《民法典》第1035条规定了个人信息处理中的合法、正当、必要及适度原则。上述原则为个人数据处理的合法性奠定规范依据，即违反上述原则所获取的数据均为非法数据，不能成为企业数据权利的客体。

其次，对于非法数据权利的认定不宜一律采用场景化的模式，应当由法律预先设定判断标准，即利用“合法性”作为数据确权的基本依据，以明晰数据权利的合法性来源。有学者认为，知情同意在大数据时代作为个人数据处理的正当性基础已不复存在，建议以场景化的判断方法作为个人数据的处理是否符合数据主体授权目的之依据。[26]这一主张的主要意图在于缓解个人数据使用中知情同意的压力，即通过相同情景下的信息处理可不必再次经过“同意”程序，缓解企业信息处理中二次同意的成本。值得注意的是，场景化的判断方法最大的弊端在于，将其应用于数据处理可能严重侵害数据主体的个人数据权利。因为基于相同情境下的数据处理行为数据主体未必会表示同意，其对数据主体的信息自决权益的侵害至为明显。从数据权利的取得来看，应当以数据来源的合法性作为数据权利确权的判断依据，场景化的判断模式仅能在事后判断之时提供相应的辅助标准。根据我国《民法典》第1035条，个人数据处理应符合合法、正当、必要以及适度原则，即违反该原则所获得的数据均为非法数据，不能成为数据权利的合法性来源，企业也不能因此取得对个人数据的合法权益。在判断企业数据利用行为是否侵害了个人数据权利时，可以基于相同场景下无须获得数据主体再次授权而认定企业已经合法取得数据权利。但此时，是否是基于相同场景的数据利用行为仍需结合数据处理原则进行具体的判断，而非一律认为相同场景下的利用均为合法的数据使用行为。这种制度安排有利于保障和监督企业的数据利用行为，也有利于平衡企业与个人之间的数据权利。

最后，数据企业是否尽到合理注意义务应当由个案中进行具体的利益衡量，而非由法律预先作出详尽的规定。企业数据权利来源的合法性主要取决于企业数据收集、利用、分析的过程中是否尽到合理的注意义务。这种注意义务显然不能脱离数据收集和使用的具体场景抽象地加以判断。收集更多和更为私密的个人数据意味着企业需要承担更重的个人信息保护职责，这一定程度上体现为权利与义务对等原则。在数据使用的过程中，企业对个人数据的处理是否合法不仅取决于事前告知同意规则的合法性，还在一定程度上体现为数据处理过程中的正当性和合理性，即个人数据的使用不能超越用户可合理预见与可合理期待的范围。这在我国《民法典》中具体体现为第1035条个人信息处理中“合法、正当、必要”原则。

（二）对个人数据的权益内容

对于合法收集的个人数据，数据企业虽然享有一定程度占有和使用权，但并不享有处分、收益等所有者权益，仅能享有一定程度的控制者权益，比如排除他人的非法占有、合理范围内的使用等，并且应当承担相应的安全保障义务。个人数据本质上是有关自然人个人信息的数据，对其进行收集、使用和处理将会对自然人的人格权益造成较大影响。世界上大多数国家或地区都对个人数据保护予以专门立法，以限制任意收集、使用和处理个人数据的行为。从权利义务的对等性来看，企业对于自然人提供免费服务的目的在于收集和利用其个人信息数据，也就是说，个人数据的收集与使用并非完全无偿，而是作为企业免费服务的对价而存在。因此，作为个人数据收集者的企业，应当对其所收集的个人数据承担相应的安全保障义务。具体而言：

第一，数据控制者对于自己所收集的个人数据属于有权占有，可以排除其他数据的企业的非法占有和使用。数据具有非独占性的特点，一旦进入流通领域便很难控制，这意味着个人数据也可能因此遭受风险。目前，我国司法实践中已经出现多起利用爬虫软件非法抓取他人用户平台数据的案例。由于缺乏明确的法律依据，法院不得不通过《反不正当竞争法》第2条加以保护，但这一路径存在明显弊端。一方面适用《反不正当竞争法》需要二者之间存在明显的竞争关系，也就是说在非竞争关系的第三方非法侵害企业数据权利的场合该条无法适用；另一方面竞争法属于事后规范，即不能从损害预防与控制的角度对非法侵害行为予以规制。事实上，在瞬息万变的网络世界里，数据控制者是最有可能，甚至是唯一有可能在第一时间对非法侵害数据利益有所察觉的权利主体。因此，作为个人数据的合法占有者，赋予其对非法利用者以停止侵害、消除危险、损害赔偿等自主性权利，不但有利于防止恶意抓取他人数据的“搭便车”行为，也可以在客观上监控第三者对数据的利用是否合法。数据控制者虽然对其收集的个人数据难以享有所有权，但却具有明显的利益诉求，这主要表现在个人数据作为企业竞争力的来源，对于企业的营销策略、经营秘密、发展战略等具有非常重要的意义。因此，赋予企业对其合法收集的个人数据一定的数据权益也符合企业自身的发展利益。

第二，“知情同意”作为个人数据收集、占有、控制和利用的合法性前提。正如学者所言，设置同意规则的根本目的在于保护个人对其数据的自决利益，以最大限度地捍卫个人尊严和行动自由。[27]而在大数据时代，知情同意原则更加具有现实意义。这是因为“所有类型的个人数据处理和操作都可以在数据主体毫不知情的情况下进行，这使得互联网时代几乎不可能不遭遇隐私侵犯的问题。”[28]除此之外，大数据时代的个人数据处理还将遭遇数据主体“自我决定权”的危机。将知情同意作为个人数据收集的合法性前提，意味着未经数据主体同意的个人数据处理行为均系违法行为，数据主体或数据控制者均有权要求非法占有或使用者予以删除。从正当性角度而言，数据主体排除非法占有的权利基础在于个人数据的自决利益，而数据控制者的权利基础在于其合法占有利益。一定程度上数据控制者对于非法的个人数据占有和使用更加容易察觉和控制，也更具有维护的内在动力和可能性，这与大数据时代数据的利用价值直接相关。当前围绕用户数据权利的争夺表明，数据资源已经俨然成为了企业的核心竞争力，对于数据质量的保护也意味着对企业核心资产的维护。虽然把所有个人数据处理均建立在“知情同意”的框架之下，能够体现出对数据主体自我决定利益的最大尊重。但在大数据时代，随着数据处理技术的进步，数据处理呈现出高频次、自动化、专业化、场景化等显著特征，要求每一次都经过数据主体的知情同意程序，不仅会极大地增加企业的数据处理成本和使用效率，也难免对数据主体的正常生活造成侵扰。由此，匿名化技术成为缓和个人数据权利与企业数据权益之间冲突的关键。

第三，匿名化作为个人数据处理无需经由“知情同意”的例外。匿名化是指经过一定技术处理之后，个人数据已经不再具有识别或者可以识别特定个人的可能性。从理论上看，匿名化的个人数据已经不能再追溯到特定的自然人主体，不再具有个人数据的法律属性，因而对其利用也不再需要受到个人信息保护法的制约。但值得注意的是，匿名化只是一个相对的概念，随着信息处理技术的进步，已经被匿名化的数据均有再次被识别的可能。正因如此，《德国联邦数据保护条例》2017年修改时增设了匿名化的程度标准，即匿名化也包括识别“需要耗费不成比例的时间、费用和经历”的数据。与之不同的是，我国《网络安全法》并未采纳匿名化的程度标准，其第42条仅规定“网络经营者未经被收集者同意，不得向他人提供个人信息，但是经过处理无法识别特定个人且不能复原的除外。”这一立法例与日本《个人信息保护法》第2条第9项非常相似，同样采纳了“不能识别”+“不能复原”的双重标准。[29]但其中“无法识别”的标准因忽略了匿名的相对性而显得过于严苛，恐怕将导致能够认定为匿名化的数据少之又少。“不能复原”又属于技术标准，是否能够复原并非个人数据的本质属性，不应成为判断是否履行了匿名义务的判断标准。从合理性的角度而言，匿名化的标准应在于企业是否履行了法律意义上的匿名化义务，即在通常的条件下该数据已经不能再识别为特定的自然人主体。因此，我国《网络安全法》中的“无法识别”应当理解为通常技术条件下的无法识别，“不能复原”应当解释为不能复原为直接可识别的个人数据。