第一节
数据权利

数据是一种权利抑或只是一种利益，关乎数据的法律性质界定、保护内容范围以及保护位阶次序等问题。马克思指出，“法律应该以社会为基础”。第二次工业革命（特别是新闻业的繁荣）催生了隐私权的概念，第三次工业革命（特别是计算机的发展）激发了个人信息保护的需求，而数字技术和数字经济的驱动催生了数字人权。数据赋权，必然而然。在这个权利的时代，假以权利似乎是正当性的范式圭臬，数据权利也就顺理成章地成为数权法的基石范畴。“立法是认识利益、表达利益的过程。要调整好各种不同的利益，首先要了解和认识利益。”

（一）资源、资产与资本

数据资源化、资产化、资本化是大数据发展的必然趋势。“我们正在进入数据资本的时代。” 总体来看，数据价值的发展主要分为三个阶段：第一阶段是数据资源阶段，数据是记录、反映现实世界的一种资源；第二阶段是数据资产阶段，数据不仅是一种资源，还是一种资产，是个人或企业资产的重要组成部分，是创造财富的基础；第三阶段是数据资本阶段，数据的资源和资产特性得到进一步发挥，通过交易等流动方式变为资本。

数据资源化：对处于“原料”状态的数据进行初步加工，形成可采集、可利用的高质量数据。与农业经济、工业经济不同，数字经济最鲜明的特点就是以数据作为关键生产要素。但是，与劳动、土地、资本等传统生产要素不同，数据具有可再生、无污染、无限性的特征。可再生是指数据资源不是从大自然获得的，而是人类生产出来的，通过加工处理后的数据还可以成为新的数据资源。无污染是指数据在获得与使用过程中不会污染环境。无限性是指数据在使用过程中不会变少，而是越变越多。传统资源越用越少，但数据资源是越用越多。

数据资产化：把数据资源与场景应用相结合，使数据被赋予现实价值、产生质变。随着数字经济的发展，人们发现数据不仅仅是资源，还具备资产的特质。所谓资产，是指由企业过去经营交易或各项事项形成的、被企业拥有或者控制的、预期会给企业带来经济利益的资源。从资产的界定来看，它具有现实性、可控性和经济性三个基本特征。现实性是指资产必须是现实已经存在的，还未发生的事物不能称为资产。可控性是指对企业的资产要有所有权或控制权。经济性是指资产预期能给企业带来经济效益。结合资产的特征，数据资产就是指企业在生产经营管理活动中形成的，可拥有或可控制其产生及应用全过程的、可量化的、预期能给企业带来经济效益的数据。实现数据可控制、可量化和可变现属性，体现数据价值的过程，就是数据资产化的过程。

数据资本化：通过数据交易、流通等实现数据要素社会化配置的过程。麻省理工科技评论与甲骨文公司联合发布的《数据资本的兴起》指出，数据已经成为一种资本，和金融资本一样，能够产生新的产品和服务。但是，与实务资本不同，数据资本有非竞争性、不可替代性等特性。非竞争性即实物资本不能多人同时使用，但是数据资本由于数据的可复制特点，其使用方可以无限多。不可替代性即实物资本是可以替换的，人们可以用一桶油替换另一桶油，而数据资本则不行，因为不同的数据包含不同的信息，其所包含的价值也是不同的。数据资本化的过程，就是将数据资产的价值和使用价值折算成股份或出资比例，通过数据交易变为资本的过程。换句话说，数据作为资本的价值要在数据流动中才能得到充分体现。也这引发了当前各界的一大难题，即数据产权问题。只有界定了数据产权问题，数据交易才具备顺利开展的前提基础。

当前这一波全球化被称为超级全球化（hyper-globalization），它与20世纪80年代以前的全球化不一样。第二次世界大战结束到80年代的全球化是基于主权经济体制的全球化，而这一波全球化是生产要素在全球范围的分配。世界范围内，数字技术和数字经济已经成为全球竞争的焦点领域。数字革命、智能变革正引发关键生产要素发生新变化，数据、算法、算力等数字资源正成为战略要素资源。“法与时转则治，治与世宜则有功。”当数据成为生产要素时，立法必须跟上，如同保护土地、劳动力、资本、技术和知识等一样，强化对数据的保护。数据作为生产要素的法律定位与依法保护成为当下最为迫切的问题。数据客观上具有全部生产要素参与分配的共性，个人应当依据其数据所有权配置相应处分权和收益权。而我们对于这一新型生产要素的市场化配置规律的认识尚处于探索阶段，数据的产权界定、市场配置、权益分配、保护模式等方面都存在诸多亟待探索的议题。

（二）隐私、信息与数据

1968年，联合国“国际人权会议”中提出了“资料保护”（data protection）的概念，这一年也被称为“资料革命”元年。随后，诸多国家的立法中采用了个人资料或个人数据的概念。学界通常认为，1970年的德国《黑森州数据法》是世界上第一部专门性个人数据保护法，1973年的瑞典《数据法》是世界上第一部全国性的个人数据保护法，2018年的欧盟《一般数据保护条例》是史上最严格的数据保护立法。这个萌发于德国黑森州的立法议题，在不到50年的时间里扩散至全球多个国家和地区。从20世纪70年代开始，经济合作与发展组织、亚太经济合作组织和欧盟等先后出台了个人信息保护相关准则、指导原则和法规，有140多个国家和地区制定了个人信息保护方面的法律。但各国立法中的称谓并不统一，总结而言，主要可以区分为三类：个人隐私（personal privacy）、个人信息（personal information）和个人数据（personal data） 。这几者之间的关系犹如“戈尔迪乌姆之结”，交织难辨，谁能解开此结谁就能成为“亚细亚之王”。国内外立法界、司法界、理论界在对这几个概念的使用上均呈现出一定的混乱性，尤其是理论界呈现出极大的随意性。因此，有必要对这些近似概念作清晰的界分，以确定不同的诉讼救济方式，否则无形中会增加合规成本。

个人信息与隐私的关系。隐私保护诞生于第二次工业革命，而个人信息保护是第三次工业革命的产物。二者既不是包含关系，也不是交叉关系，在内涵外延、价值基础、保护原则、权能体系、侵权责任等方面皆存在区别。在内涵外延上，我国民法典不仅把隐私权确认为一项独立的人格权，对公民的隐私权益进行了直接保护，而且对隐私和个人信息两者进行了区分。首先，在人格权编第六章标题中就明确区分了“隐私权”和“个人信息保护”是两个不同的概念。其次，对何为“隐私权”给出了明确的定义，清晰地界定了“隐私”是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息， 即个人信息中可能也含有不想为他人所知晓的隐私信息。最后，进一步为实践中对“个人信息”与“隐私”关系如何适用法律处理提供了清晰的指引，明确了“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”。但这并不意味着或不能简单地理解为个人信息包含隐私。个人信息重在识别 ^[1] ，而个人隐私重在隐匿。 在价值基础上，隐私关注的是私生活安宁的维持与保护，个人信息关注的则是信息控制与流动之间的利益平衡。与“隐私”更多归属于私人领域不同，“个人信息”兼具保护和利用两种属性，需要对个人利益和公共利益加以调和。因此在近现代立法中，个人信息保护逐步从私权领域的隐私权中分离出来，形成相对独立的公法体系 ，其立法目标也旨在于实现个体利益与信息自由流动之间的平衡。欧盟GDPR开篇即表明，“本条例制定关于处理个人数据中对自然人进行保护的规则，以及个人数据自由流动的规则”。在保护原则上，个人信息保护有其特有的原则，而隐私保护只关注信息的持有和保密。1980年，经合组织（OECD）的“资料保护指导原则”即规定了收集限制原则、数据质量原则、目的特定化原则、使用限制原则、安全保护原则、公开原则、个人参与原则、责任原则。《中华人民共和国网络安全法》（以下简称《网络安全法》）第41条规定：“收集、使用个人信息，应当遵循合法、正当、必要原则。”在权能范围上，个人信息权不仅具有消极权能，而且具有隐私权所没有的知情权、更正权、删除权等积极权能。在侵权判定上，隐私权侵权责任以权利受侵害为前提，而个人信息权则以违反个人信息保护规则为前提。在责任承担方式上，侵害个人信息权不仅需要承担民事责任，而且常常涉及行政责任和刑事责任。

个人信息与数据的关系。事实上，并不是所有的数据都具有信息价值，也并不是所有的信息都是数据。信息是数据反映的内容，数据是信息的表现形式。 在网络世界，个人数据与个人信息有很大的重合，个人数据一般就是个人信息，而个人信息一般就是个人数据。但是，在严谨的逻辑思维中，个人数据与个人信息的重合只能表述为“一般”而不是“全部” 。数据的权利与信息的权利不可等同，二者在主体、客体、性质、内容上均存在区别。近年来，数据相关的新型利益与权利诉求井喷式涌现，不同数据权益主体对数据保护的法律制度提出变革诉求。数据的法律属性，也是数据保护的法律权源，在数据保护制度设计中具有重要地位，关系数据保护制度设计的方方面面。对此学界历来众说纷纭、莫衷一是，其中有几种主流观点：“所有权客体说”“隐私权客体说”“人格权客体说”“财产权客体说”“新型权利说”。随着数字化、网络化、智能化深入发展，越来越多的学者主张确立数据权的独立地位，一种区别于人格权和财产权的新型权利类型，兼具财产利益和人格利益。所有权客体说认为个人数据是一种财产利益，数据主体可视为所有人，可以通过所有权模式保护个人数据。隐私权客体说主张个人数据属于隐私，是一种隐私利益，侵害个人数据本质上等同于侵害了隐私权，个人数据保护立法应采取隐私权保护模式，这种模式为美国所提倡。人格权客体说认为个人数据不属于隐私范畴，其所体现的人格利益属于人格尊严的一部分，因此可以作为一种一般人格权进行对待，个人数据保护应该采取人格权的保护模式，这种模式以德国为典型代表。新近有学者主张确立数据权的独立地位，它是一种不同于所有权和人格权的一种新型权利类型，兼具财产利益和人格利益，宜采用新型权利说来予以保护。无论如何，个人数据兼具财产利益和人格利益已成为学界共识。所有权客体说可以在保障个人数据的财产利益上发挥重要作用，但面对人格利益显然保护不足，与此相反的是，隐私权客体说和人格权客体说都可以较好地保护个人数据的人格利益，而无法兼顾财产利益保护。 因此，为了兼顾财产利益和人格利益的保护，我们赞同新型权利说的主张，并认为宜将个人数据权看成一种新型权利。但数据究竟是利益还是权利，这是极具争议性的话题。

（三）利益、法益与权利

利益、法益 和权利是民事权益体系的组成部分，在—定条件下三者之间可以相互转化。法益与权利都包含利益的因素，是利益实现的手段。利益是权利的本质与基石，是权利的出发点和落脚点。正当利益的制度化即权利。正义是权利的内核，亦是利益走向权利的桥梁。 数量上，利益最多，法益次之，权利最少。 在“亲吻权”一案中法院认为，“一切权利必有法律依据……利益不等于权利，利益并非都能得到司法救济……综观我国现有的法律、行政法规，均无亲吻权之规定，故亲吻权的提出于法无据。”

《民法总则》第111条规定，“自然人的个人信息受法律保护”，这是我国民法首次明确规定保护个人信息（见表1-3）。第127条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”首次明确将数据纳入民事权利保护范围，这是对数据作为一种法律权利的正式承认。若从字面上看该条也似乎回避了数据权利化问题，但由于该条处在“民事权利”一章，通过分析条排列逻辑和具体内容，可以得出数据是一种民事权利客体这一结论。《民法总则》对数据的法律属性、保护途径、利用模式等仍待探讨的问题的态度是包容审慎的，是一种概括性指引性规定，但正是因为这一规定，拉开了数据权利化立法实践的帷幕。《中华人民共和国民法典》（以下简称《民法典》）完整保留了《民法总则》关于隐私、个人信息与数据三个概念，这实际上已经搭建起隐私权、信息权和数据权并存的基本框架，为后续细化规定个人信息保护的单行法提供了立法依据，同时也为数据专项立法留下了空间。

当今世界正在进入数字时代，物理空间与数字空间逐渐融为一体。以互联网、大数据、物联网、区块链、人工智能等为代表的数字科技成为这个时代的主要标识，人类的生命、生存、生活高度依赖数字科技，人们对美好生活的需要最广泛地体现为对数字科技的需要。《中国互联网发展报告2020》显示，截至2019年底我国移动互联网用户规模达13.19亿，占全球网民总规模的32.17%。数据已经成为重要战略资源和关键生产要素，覆盖和书写了一个人从摇篮到坟墓的方方面面，成为新时代人权的新型载体和价值表达。2020年6月12日，联合国秘书长古特雷斯正式公布酝酿已久的“数字合作路线图”，其首要目标是“连接、尊重和保护数字时代的人们”，主要内容包括“保障数字领域尊重人权”等。 人权形态正在经历深刻的数字化重塑，“数字人权”应运而生。

2018年5月25日，欧盟《一般数据保护条例》正式生效，该条例第1条规定：“本条例保护自然人的基本权利与自由，特别是保护自然人享有的个人数据保护的权利”，赋予数据主体知情权、访问权、修正权、被遗忘权、限制处理权、可携带权、拒绝权等个人数据权利。2020年5月25日，数据作为一种权利首次出现在《最高人民法院工作报告》中。 2020年7月20日，最高法联合国家发改委共同发布的《关于为新时代加快完善社会主义市场经济体制提供司法服务和保障的意见》要求，“加强对数字货币、网络虚拟财产、数据等新型权益的保护”“加强数据权利和个人信息安全保护” 。2020年7月15日，《深圳经济特区数据条例（征求意见稿）》首次提出数据权。 目前，对数据的权利构造尚未形成基本的共识：一方面在于数据的多样性与复杂性，权利主体需求与权利客体的满足之间存在相当的张力关系；另一方面在于这个权利家庭的新成员自身诸多的特点，数权在权利谱系中异于其他权利的构造，因而很难被接受。有且只有在权利保持“正当”或“正当的”这一价值内涵下，我们所强调的利益、主张、资格、自由、选择才是权利，才可能成为受到法律保护的权利。 从亚里士多德在《政治学》中阐述法律观念时，就将“正义、正当”作为集体权益的核心，到罗马人使用律法维护正义，再到霍布斯认为的契约公平，可以说“正当”这一价值内涵贯穿了权利发展史。 从利益上升为权利，至少应满足三个条件：一是利益具有正当性和合法性；二是被现有法律体系所容纳；三是权利的成本效益分析。具体而言，在民法上，无论是通过成文法创设权利，还是通过为受侵害的利益提供救济来保护某种利益，都需要考虑以下因素：首先，该利益是否为一种合法的且有必要从法律上加以保护的利益；其次，即便该利益是合法的且法律有保护的必要性，也必须考虑其是否能够为现有的民事权益体系所涵盖；最后，必须考虑各种冲突价值之间的协调问题，尤其是要权衡权益的保护与合理行为自由的维护之间的冲突。