（申衛星 清華大學法學院教授）

　　數據的廣泛采集和利用促生了一大批新技術新業態新模式的發展，國內外的各行各業在繼續深挖數據利用能力，數據已經成為驅動經濟發展、社會治理和技術創新的寶貴資源。然而在數據獲取和利用過程中存在灰色發展的困境：數據之上的權利主體、權利內容和利用方式均缺乏界定，數據權利糾紛、數據安全處罰乃至數據犯罪是懸在數據利用業態頭頂的一把達摩克利斯之劍。近日，中共中央、國務院印發《關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱《數據二十條》），承認和保護數據要素各參與方的合法權益，合理界定數據要素市場各參與方的權利和義務，通過權利分割的方法實現數據分類確權與授權，充分凝聚了當前最大共識，也為未來國家立法機關出臺數據產權的法律制度開拓了道路、營造了社會基礎。

　　一、數據確權授權具有必要性和可能性

　　新一代信息技術創新和各行各業的數字化轉型高度依賴數據，構建數據財產權規則是匹配中國數據要素市場發展的必然要求，只有確立明確的數據產權分配才能確保數據在公平、透明的規則下可持續的發展。在沒有明確數據財產權規則的環境下，各類數據融合融通缺乏信任，政府數據對外共享缺乏遵循，企業數據開發利用淪為灰色產業，個人數據則成為濫用的對象。數據控制者在沒有財產權依據的情況下不敢開展數據共享、交易，數據要素市場陷入一個缺乏信任、缺乏預期的死循環之中，數據獲取和利用的需求和難度均日益增加，需要及時的財產權規則來破解迷局。

　　我國現行法律缺乏數據財產的規定，數據要素市場在此背景之下只能借用傳統法律解決新問題。在刑法、反不正當競爭法中，可以保護數據不被破壞和竊取，但是無法界定數據積極利用的權利主體和權利能力。市場主體可以通過合同自治方式對數據財產達成權利分配安排，但往往無法在多方參與的混合數據中達成協議或者只能由締約能力強的一方當事人取得實際的控制權。現行知識產權保護可以保護具有創造性的數據集合、數據模型、數據產品，但是客觀記錄的原始數據在數字經濟下具有巨大價值無法通過現行知識產權進行保護。為此，有必要改革既有法律或者創設新的法律制度來明確數據財產權規則，對數據的權利內容做精細化規定。

　　《數據二十條》確立了數據資源持有權、數據加工使用權、數據產品經營權分置的產權運行機制，充分運用了權利分割的法律思想來協調社會中存在的多方利益訴求，能夠豐富數據要素市場的流通利用方式。質疑數據確權的觀點從理論上提出了數據確權可能帶來的問題，例如造成數據被大企業壟斷、阻礙數據自由流動、個人數據控制權被削弱或者個人為了短期利益而濫售自己的數據。《數據二十條》此次發布可以讓我們明確，數據財產制度是包括確權、授權、權利限制等規則在內的綜合體系設計，數據確權方式和內容可能造成的不利后果都可以在制度設計中得到解決。對數據進行確權，不意味著放任孤島式的數據煙囪林立，也不意味放任壟斷式的數據霸權橫行，數據確權需要“放管服”相結合的制度體系促進數據要素健康可持續發展。

　　二、明確公共數據確權授權機制

　　公共數據是在政務數據基礎上的擴張，在中國、歐盟等國家和地區已經逐步形成的普遍性概念。《數據二十條》明確各級政府部門、企事業單位依法行政履職或提供公共服務過程中產生的數據屬于公共數據。在此之前,《網絡數據安全管理條例（征求意見稿）》對于公共數據做了較為寬泛的界定，除了政務數據，將各類組織在提供公共服務中收集、產生的涉及公共利益的各類數據也納入公共數據的范疇。此次意見沒有將此類數據都認定為公共數據，有助于繼續確認企業對于這些數據擁有基礎權利，但是需要參照公共數據的流通利用需求向特別范圍或者公眾開放使用。在尊重企業創造價值的基礎上，有助于促進數據的公共屬性和賦能效應。

　　公共數據的運營方式一直存在如何從政務信息公開向公共數據開放的轉型困境，此次《數據二十條》明確公共數據應當開放共享和統籌授權使用，用于公共治理、公益事業的公共數據有條件無償使用，探索用于產業發展、行業發展的公共數據有條件有償使用。按照《政府信息公開條例》，行政機關在履行行政管理職能過程中制作或者獲取的，以一定形式記錄、保存的信息均為政府信息，應當由制作該政府信息的行政機關負責公開，且行政機關依申請提供政府信息，不收取費用；依據申請公開政府信息的數量、頻次明顯超過合理范圍的，行政機關才可以收取信息處理費。近年來，不少地方政府在開發公共數據資源時，面臨缺技術、缺經費、缺人員等問題，能否將公共數據委托其他主體運營，能否對申請使用公共數據的主體收取費用，均是長期沒有解決的難題。2020年4月發布的《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》也僅僅指出“推進政府數據開放共享”。2022年1月發布的《國務院辦公廳關于印發要素市場化配置綜合改革試點總體方案的通知》首次提出“探索開展政府數據授權運營”。根據此次《數據二十條》，具有自主運營能力或者尚未開展授權運營的部門要繼續加強對公共數據的開放，按照《政府信息公開條例》和公共數據開放的有關規定執行；此外，明確政府部門可以委托具有相應能力的第三方企事業單位對公共數據進行開發運營，既可以集中授予一家單位集中運營，也可以授予多家單位分別運營。

　　公共數據流通利用中如何確保個人信息安全和其他數據安全也是數據要素市場中的難題，此次《數據二十條》鼓勵以模型、核驗等產品和服務等形式向社會提供公共數據服務，推動按用途加大供給不涉及個人信息、無涉及公共安全的公共數據。公共數據的采集往往是履行法定職責而具有特定的使用范圍和使用目的，開發公共數據超出原始范圍、目的時就會出現潛在的風險；此次《數據二十條》鼓勵原始數據不出域、數據可用不可見，可以在最終開發利用之前通過技術和管理措施在可信的數據平臺進行數據歸集和加工處理，從而在安全、目的兼容的條件下打通數據高速公路。最終利用者可以根據具體使用情況，獲取匿名化或者安全化的數據服務；也可以獲取個人信息主體同意或者有關部門批準后使用數據。通過解耦數據服務、產品與原始數據的流動，有助于在風險可控的環境下實現公共數據利用，也可以形成安全的數據加工過程和數據最終授權利用之間的兩個分類治理階段。

　　三、探索企業數據確權授權機制

　　國家、地方對于個人數據和政務數據都有較多的專門立法，但是對于企業數據往往不做單獨規定。立法者默認的態度是，純粹的企業數據由市場主體通過合同自治處理而無需國家干預。然而，從司法糾紛案例來看，數據要素市場中大量的不正當競爭案件都是企業之間的數據爭奪糾紛，本次《數據二十條》專門將企業數據作為單獨一類數據列出確權授權規則有助于企業數據流通利用制度的完善。

　　企業數據主要是指各類市場主體在生產經營活動中采集加工的不涉及個人信息和公共利益的各類數據，如企業日常工作中記錄產生的數據、農業組織器械設備運行記錄而產生的數據、網絡平臺上記錄的統計類、匿名化數據。對于不涉及個人信息和公共利益的企業數據，《數據二十條》確定由市場主體享有數據資產依法持有、使用和收益的權利，保障其投入的勞動和其他要素貢獻獲得合理回報。此次《數據二十條》中也進一步明確了企業數據的范圍，將涉及個人信息和公共利益的企業數據排除在企業數據權利范圍之外，實質上是將剝離了個人數據、公共數據之外的數據才視為企業數據。對于實踐中存在的大量混合數據，企業只能區分之后才能獨立的享有數據權利，否則會導致混合數據需要相應受到個人數據、公共數據相關規則的調整。

　　企業數據的發展需要一個多元、公平的流通利用市場，《數據二十條》特別提出了企業數據市場的發展方向和公平利用規則。在市場方面，《數據二十條》聚焦當下數據要素市場急需的內容，支持第三方機構、中介服務組織加強數據采集和質量評估標準制定，推動數據產品標準化，發展數據分析、數據服務等產業。在公平規則方面，《數據二十條》特別強調對中小企業的保護，引導行業龍頭企業、互聯網平臺企業發揮帶動作用，促進與中小微企業雙向公平授權，共同合理使用數據，賦能中小企業數字化轉型。雙向公平授權的規則具有法律和產業政策的雙重價值，從法律意義而言，公平授權規則將會對企業之間的合同進行公平性評價。《歐洲數據法案》也提出：為防止大企業濫用競爭優勢地位，提高中小企業在數據共享談判中的議價能力，《歐洲數據法案》規定，單方面強加給微型企業或中小型企業的合同條款必須是公平、合理且無歧視的，否則將被視為無效。如果對合同條款的理解出現分歧，合同主體可以提交由成員國認證的爭議解決機構。從產業政策而言，企業數據相互流通利用才能產生更大的網絡外部性效益，積極為數據互聯互通創造技術標準等條件并引導數據在不同企業間的共享，將有助于數據要素市場的可持續發展。

　　四、構建個人信息數據確權授權機制

　　科技發展以服務人為中心，承載個人信息的數據在訓練人工智能新技術、開發個人服務新業態、形成社會治理新模式等方面均具有不可替代的作用。然而，根據《民法典》和《個人信息保護法》的要求，個人信息納入人格權保護，個人信息能否視為財產、個人信息能否進行商業化交易、個人信息權利能否委托他人代為行使等一直存在爭議。《深圳經濟特區數據條例》就明確設立了“個人數據”專章，但是有關規定依然限于個人信息的傳統規則，缺乏個人數據流通利用模式下的制度設計。即將頒布的《歐洲數據治理法案》和《歐洲數據法案》明確將個人數據納入流通要素的范疇，通過設立利他主義組織、第三方服務商及相關配套規則促進個人數據的財產化利用。在此次發布的《數據二十條》中，旗幟鮮明的承認個人數據作為市場要素的地位，為個人數據的流通利用打開了空間。

　　我們每天使用各類互聯網服務會上傳、產生大量的個人數據，在面對個人信息海量產生和個人信息權利多種多樣的情況下，用戶面臨如何有效、便捷管理個人信息的難題，此次《數據二十條》明確探索由受托者代表個人利益，監督市場主體對個人信息數據進行采集、加工和使用的機制，推動數據處理者按照個人授權范圍依法采集、持有、托管和使用數據。國內外個人數據管理行業開始誕生一批可以根據委托而代理大量用戶進行個人數據集中管理的數據經紀人，他們宣稱能夠以忠誠的態度和專業能力代替個人行使個人信息權利，能夠基于用戶事前授權乃至結合用戶畫像技術來高效地管理個人信息權利。《歐洲數據治理法案》中指出，“數據中介服務”是指旨在通過技術、法律或其他方式，包括為行使數據主體和個人數據相關權利的目的，在數量不明的數據主體和數據持有者與數據用戶之間建立起數據共享關系，從而確立商業關系的服務。《歐洲數據法案》中也明確，個人數據訪問權允許用戶訪問由其產生的數據并可向第三方分享這些數據，以便（第三方）提供售后或其他數據驅動的創新服務；數據持有者有義務按照用戶的請求而向第三方提供因使用產品或相關服務而產生的數據。《數據二十條》提出了個人數據的“受托人”角色和相應的個人數據“托管”服務，將進一步為中國的個人數據市場探索新模式創造空間。

　　個人數據流通利用的合法性基礎長期面臨《個人信息保護法》的沿革限制，從《數據二十條》來看，個人數據流通利用并不能豁免個人信息保護義務。根據此次《數據二十條》，個人數據流通利用中的合規要點有三項：其一取得個人授權，意見明確要求市場主體按照個人授權范圍依法采集、持有、托管和使用數據；其二取得主管部門授權，意見明確要求對于涉及國家安全的特殊個人信息數據，可以由主管部門依法授權使用；其三對個人數據做匿名化處理，意見明確要求創新技術手段，推動公共服務個人信息匿名化處理，保障使用個人信息數據時的信息安全和個人隱私。結合個人數據托管服務，可以預見：高效且有效的獲取個人授權將在很大程度上決定個人數據的利用水平。目前，國內外已經出現了個人數據同意管理平臺，可以通過技術工具和具有忠誠義務的托管人高效率的通知個人并取得授權，從而為真正有前景且重視個人信息權益保護的個人數據利用模式創造空間。

　　五、結語

　　《數據二十條》是我國基于數據要素的歷史地位而提出的指導規則，為數據要素的發展提供指引，對于深化生產要素改革、激發市場創新活力具有重要的意義。《數據二十條》也有助于創新我國的立法模式，通過非強制性、指導性的政策文件在尚未成熟的領域先行先試，特別是為地方立法提供了重要的支撐。在政策指導產業發展和地方立法探索形成一定穩定經驗后，國家通過立法的形式將數據要素市場的規則法定化并補充政策和地方立法的不足，從而可以兼顧法律的穩定性和市場發展所需要的靈活性與確定性。