葛江虬：论数据立法权的央地分配

　　数据法治是近年来法学研究与实践的热点。与之相关的数据安全、公共数据授权运营、产权运行与流通交易、资产入表、处理者与来源者的权益平衡、跨境数据流动等议题，亦成为理论与实务的关注焦点。虽然目前尚无涵盖上述全部事项的全国性、综合性数据法律法规，但是国务院相关部委已经出台了一些影响较大的部门规章，地方人大和地方政府也制定了大量的地方性法规、政府规章和其他规范性文件。然而，这些文本的形式、位阶和包含的内容各不相同，对具体问题所作出的规定也可谓“南辕北辙”，给市场主体带来了不少困扰，客观上反而阻碍了数据要素的全国性流通和数字经济的蓬勃发展。数据立法究竟应当采用何种形式、规定哪些内容，成为当下亟待解决的新问题。

　　从立法层级来看，我国既有以数据命名的法律仅有《数据安全法》一部。虽然《民法典》与《个人信息保护法》（以下简称“《个保法》”）实质上规定了数据来源者的在先权益，也属于数据立法范畴，但是涉及事项的条线较为单一。大量对于市场主体来说影响重大的管理规则都被规定在部门规章中。2022年实施的《数据出境安全评估办法》和2024年实施的《促进和规范数据跨境流动规定》即属此类。总的来看，我国当下中央层面的数据立法仍主要以“安全”为主轴，对于数据要素的权属问题和流通利用鲜有关注。虽然2022年《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）在数据权属、收益分配等问题上作了大胆尝试，但是“数据二十条”的本质是中央政策文件。它在效力位阶上并不能够被认为是国家立法，只能间接影响后续数据立法实践，以及法官裁判具体数据案件时的说理。

　　相较之下，数据立法在地方上反而呈现出多姿多彩的样貌。正因如此，本章将重点考察数据立法的地方性展开，首先呈现其繁荣景象、探究数据立法实践“地方化”的源动力，接着阐述其面临的困境，指出当前立法理论与实践对数据事项对应立法效力位阶的关注不足是引起困境的重要原因。

　　（一）地方数据立法的繁荣面貌及其阐释

　　截至2024年5月底，地方性法规标题中含有“数据”的有33件，主要包括三类：第一类是省级地方性法规，如《吉林省大数据条例》《江西省数据应用条例》《四川省数据条例》《辽宁省大数据发展条例》《上海市数据条例》《山东省大数据发展促进条例》《广西壮族自治区大数据发展条例》等；第二类是设区的市的地方性法规，如《太原市大数据发展促进条例》《苏州市数据条例》等；第三类是经济特区法规，如《厦门经济特区数据条例》《深圳经济特区数据条例》等。如果将地方立法活动的范畴拓展到“地方政府规章”，这个数字将进一步增加到83件。

　　不难看出，早期各地的数据立法事项范围较窄，主要与公共数据或政务数据的界定、共享、开放与授权运营有关。也有一些省份出于发展数据相关产业的需要，就相关事项专门立法。比如，贵州在2016年就制定并通过了《贵州省大数据发展应用促进条例》——这与其当时结合自身地理位置、气候环境等特点，选择发展大数据产业密不可分。时至今日，在立法名称中直接且单独使用“数据”的地方性法规越来越多。相当一部分地方性法规涉及的数据事项已经较为综合，其内容不仅局限于早期立法强调的数据安全、数据上承载的个人信息保护、公共数据的界定与开放利用，也包括数据基础设施建设、数据生态治理、数据交易，乃至数据权益等多元内容。

　　究其原因，首先，从市场主体的角度来看，数据对于数字经济与相关产业而言被认为具有与电力、石油类似的基石性作用，故企业对其保护与流通利用存在标准化需求。尤其是在当前蓬勃发展的人工智能领域，数据被认为是与算法、算力并列的核心要素。掌握数据的企业即掌握了核心竞争力。由此产生了数据的利益分配问题。而且，正是由于数据的重要意义，数据交易开始涌现，这一方面引起了数据交易法律规制的需求，另一方面也产生了中心化的数据交易场所以及相关规范配置问题。如此种种，需要通过立法形式对既已形成的规则加以确认。

　　其次，从地方政府的角度来看，数据经济可能带来财政收入的增加，故而政府有强烈的动机推动地方人大跟进数据立法。这不仅仅指向相关企业因为数据流通交易不断成长而增加缴纳的税款，也包括公共数据授权运营与开发利用过程中能够直接向市场主体收取的对价。在“土地财政”渐趋式微的语境下，“数据财政”开始进入人们的视野。无论政府将其掌握的公共数据投入市场时其对象、形式究竟如何，都需要立法为其背书。更何况，在一些地区，地方政府的信息化部门与数据交易平台、数据企业关联紧密，这更加强了地方政府“发球”立法的动机。

　　再次，从中央支持的角度来看，地方数据立法始终具有重要的制度和政策支持。《立法法》赋予了数据立法权限，地方上也有落实国务院及各部委重点工作推进阶段性成果的现实需求。从法理上说，虽然从中央层面构建个人信息保护、数据产权、数据交易、数据竞争等规则可能是最为有效的，“但由于数据治理尚缺乏足够共识，有选择的地方试点可以为中央立法提供先行先试的经验”。

　　（二）当前立法引起的困境及其成因

　　然而，如此之多的地方数据立法引发了数据规则的“碎片化”问题，目前还没有得到学界的足够关注。这种碎片化首先体现在基本定义上——典型的例如“数据行为”或者“数据处理行为”，既有中央法律法规的规定本就不完全一致，而各地的规定又加剧了这种不一致，“呈现出概念繁杂、内涵不清、外延不一的特征，概念所揭示的数据行为边界和相互之间的关系难以界定”。碎片化的现象还广泛存在于地方数据立法涉及的各类事项中，本文第三章对此有专门描述。

　　显而易见，这种碎片化的立法既不符合科学立法的要求，也不能满足实用主义的现实需要。企业实施的数据持有、使用、经营行为并不以省为边界，数据流通更是天然具有跨地域的性质。加之地方性法规不仅在本行政区域内适用、同时还具有一定的“区外效力”，需要“根据具体情形来确定在不同情况下地方性法规所具有的具体的空间效力”，这更加剧了企业需要遵从的数据规则的复杂性。数据立法的碎片化无疑将增加市场主体的管理成本，对我国建设统一大市场亦将产生负面作用。

　　引起上述问题的首要原因在于诸多问题在理论上本就没有形成共识。例如，何种数据规则能够真正保护相关权益主体、促进数据开发利用、推动数字经济发展，各地只是根据自己的实践经验给出阶段性的方案，其妥当性存在一定疑问。但当前研究往往忽视了一个重要的前置性问题，即当前地方数据立法实践究竟是否符合立法权央地分配的基本法理和制度要求？正如前述，数据事项本就五花八门，显然并非所有的数据事项都属于地方性法规能够规定的内容。从既有数据法学和立法学研究来看，对该问题缺乏深入探讨。

　　本文认为，对于数据立法权配置的研究具有重要意义。“地方性法规的制定权限究竟有多大，能规定什么、不能规定什么，是一个难以回答却又必须回答的问题”。正是因为一些数据事项本就不属于地方立法权范畴，而地方纷纷予以规定，以至于引起了碎片化的问题。因此，相较于既有研究普遍关注数据立法中的实质性问题（如数据是否应当赋权、如何赋权），本文重点分析哪些数据事项地方性法规可以干预，哪些则不应当规定，以避免立法的碎片化对数据相关产业与经济发展带来的掣肘。

　　根据我国《立法法》第82条第1、2款规定，地方性法规可以就三类事项作出规定：一是“为执行法律、行政法规的规定，需要根据本行政区域的实际情况作具体规定的事项”；二是“属于地方性事务需要制定地方性法规的事项”；三是在国家尚未制定法律或行政法规时可以先行制定的、不属于法律保留范围的事项。有学者将上述三类地方性法规分别概括为“执行法规”“自主法规”和“先行法规”。对应到数据立法则不难发现，实践中数据事项并不能被全数纳入前述三种地方性法规中的任何一种，而是应当根据具体事项的性质分属于不同类型。例如，由于《数据安全法》的存在，地方性法规中与数据安全、政务数据开放有关的事项属于执行法规的范畴。数据来源者权益保护则因受到《民法典》与《个保法》的规制，也属于此类。相较之下，对于政务数据以外的公共数据的共享、开放与授权运营，以及数据处理者权益界定等事项的规定显然无法被归入执行法规，只有可能被评价为先行法规。各地基于政府组织架构的差异而对数据事项作出的不同事权安排则可能属于自主法规。

　　正因如此，在具体评价各类事项的分类与立法受到的限制之前，有必要先行考察上述三类法规在理论和实践中受到的限制。只有这样，才能够明确地方数据立法的边界。对此，本章将区分“地方性事务”“中央立法权专属”“不抵触与不重复”三个方面予以阐述。

　　（一）“地方性事务”的界定与评价

　　根据《立法法》第82条第1款的规定，如果相关数据事项属于“地方性事务”，则地方立法具有一定的能动空间。问题是，何谓地方性事务？

　　首先，可以通过“影响范围”“重要程度”等标准判定地方性事务的范畴。影响范围或是受益范围标准，指向“立法所调整事务的影响是涉及到全国范围、多个区域还是某个特定区域，以及因该立法而实际获益的民众是全国人民、多个区域的居民还是某个特定区域的居民”。立法的影响范围越广、强度越大、涉及的利益主体越多，立法的可能收益也就越高。某事项具有重要性（重要程度标准），则意味着某事项在全国范围内统一相比分散而言具有更大的价值，应避免地方侵夺中央的立法权。有学者认为，应当对重要程度、影响范围等标准作“梯度适用”，即首先根据“重要程度”明确相关立法事项是否属于关乎全国的重大立法事项，或是难以明确划定由某一地方拥有的跨区事项——如是，则属于中央立法权专属。继而将“影响范围”作为“重要程度”的补充标准，并辅以相对具象的“地方特色”标准，以抑制前述两重标准在提炼过程中必然导致的抽象性问题。

　　其次，地方性事务的范畴是动态的，且应包括不属于中央立法权专属的央地共同事务。即便采用同样的划分标准，由于不同时代往往存在着不同的实践要求，同样的公共事务很可能在央地立法权范围的划定上产生完全不同的结论——这带来了划定地方性事务的复杂性和困难性。央地共同事务与地方性事务之间并没有完全清晰的边界，“两者之间是动态的、相互转化的，当下认为属地方性事务的立法事项，随着时间的推移也许会上升成为央地共同事务。……而现在认为属于央地共同事务的立法事项，随着时间的推移也可能会逐步收缩为地方性事务”。正因如此，事务的性质与立法的效力位阶并不存在严格的对应关系，地方性事务本身并不排斥中央立法，我国也没有必要设置专门的“央地共同事务”——“凡不属于只能由中央立法的事项，都应归类为地方性事务”。或是干脆将地方性事务解释为“非国家专属事务”，以保障地方立法的安全空间。

　　基于以上观察，本文认为，倘若某一具体数据事项的“影响范围”“重要程度”均主要限于特定省份，且具有地方特色，那么地方立法机关享有立法权，可以就其制定地方性法规。即便某一数据事项属于央地共同事务，那么该事项只要不属于中央立法权专属、内容不与上位法抵触，地方立法机关同样可以在地方性法规中予以规定。

　　（二）来自中央立法权专属的限制

　　由于数据领域全国性立法较少，地方性法规中规定的数据事项大多没有上位法，故除了“地方性事务”的影响，需要进一步考察的主要是判断相关数据事项是否属于中央立法权专属事务的范畴。如是，则地方立法不得规定。

　　中央立法权专属，在本文语境下亦可谓纵向立法权专属的法律保留，指向《宪法》《立法法》明确规定或列举的中央专属立法事项，以及法律规定必须制定法律或行政法规的其他事项。根据我国《立法法》第11条的规定，国家主权、各级权力机关的组织和职权、犯罪和刑罚、税收基本制度、对非国有财产的征收征用、民事基本制度、基本经济制度、诉讼制度和仲裁基本制度等事项均属于中央立法权专属范畴。不过，上述被第11条列举的事项在立法实践中仍有较大的解释空间。例如，地方数据立法中往往规定有部门事权和数据权属，它们是否属于“权力机关职权”和“民事基本制度”便需要进一步推敲。

　　就前者而言，我国许多地方性法规事实上都会规定政府管理专项事务的职权。这是因为，“中国幅员辽阔，各地方自然地理条件、经济和社会发展差异大，不同区域的地方政府所面临和需要管理的经济和社会事务千差万别，所需要配置的管理权力也应各有侧重，地方性事务管理所需要的职权主要依赖地方立法主要是地方性法规进行配置。如果地方各级政府的所有职权都必须由法律配置，在法律没有规定的情形下必会形成地方管理的权力真空”。例如，地方非银行业金融业务发展比较快的江苏、浙江、广东、上海等省市专门制定了相应的地方金融管理法规，赋予地方政府监管这类金融业务所需要的监管权力。

　　就后者而言，立法实践中哪些民事制度属于“民事基本制度”并不清楚。“法工委的答复和审查都表现出审慎的态度。”有学者曾作类型化尝试，认为明显和市场交易有关的制度应属于中央立法保留范畴。例如，“合同制度本身是商事制度的核心，各地合同制度若不相同，则交易将难以进行。物权制度的统一有助于维护当事人对物的信赖，减少检索物上负担的成本，从而降低交易成本；物权法定也有利于司法裁判标准的统一，否则同一名称的物权在不同法官处的含义是不一样的，司法审判将无法进行”。相较之下，与合同制度、物权制度处于同一层次的婚姻家庭制度、侵权责任制度则不应属于中央立法权专属，因为它们与市场交易并不直接相关。

　　值得一提的是，《民法典》第116条关于物权法定的表述可以被认为是一种中央立法权专属规定。所谓“物权的种类和内容，由法律规定”，即指向地方性法规不得规定物权的种类和内容。全国人大在备案审查工作中曾指出，进行水力发电需要通过招标、拍卖等方式从政府取得权利并缴纳出让金的“水能资源开发利用权”具有明显的用益物权性质，“不符合民法典确立的物权法定原则”，以及“不加区分地将业主拒付物业服务费、物业维修资金等不履行业主义务行为同业主行使共同管理权挂钩，进而限制业主的建筑物区分所有权，与民法典有关规定不符合”。由此可见，无论是创设物权，还是对物权的行使设置额外的限制，均属于物权法定范畴，地方性法规不得越俎代庖。这对地方数据立法具有重要启示作用。

　　基于以上论述，本文认为，某数据事项是否属于中央立法权专属而不得由地方立法规定，实践中应主要考虑是否属于《立法法》第11条所规定的“权力机关职权”“民事基本制度”等。不过，考虑到相关概念的模糊性和立法实践中的复杂情况，实际上来自于立法权专属的限制并非铁板一块，而是需要结合具体数据事项评价其是否只能由中央立法予以规定。

　　（三）“不抵触”与“不重复”

　　除了地方性事务与中央立法权专属的约束外，我国《立法法》第80条对于地方性法规还有“不同宪法、法律、行政法规相抵触”的要求。这对地方数据立法的规范内容同样具有影响——由于数据领域的上位法不足，大部分地方数据立法属于自主法规或先行法规范畴，但是，这不意味着地方数据立法不会在某些具体内容上碰到上位法。此种情形与无人驾驶地方性法规类似——虽然法律、行政法规没有规定，地方可以先行立法，但是，有关规定必须与《道路交通安全法》《刑法》《民法典》等不抵触。

　　就“抵触”与否而言，我国学者曾指出，执行法规不仅不得直接违反上位法规定，而且不得逸出上位法设定的范围、不得违反相关法律设置的界限，而自主法规和先行法规则不得违反相关法律的目的。有学者将上下位规则的直接矛盾描述为“逻辑抵触”，将违反抽象的目的或立法精神的情况描述为“非逻辑抵触”，认为应当区分情形予以讨论，而自主法规和以地方性事务为对象的执行法规应有别于其他执行法规与先行法规，于存在非逻辑抵触时可以采用更加宽松的判断标准。本文认同这些观点。

　　此外，《立法法》第82条第4款强调，“制定地方性法规，对上位法已经明确规定的内容，一般不作重复性规定”。不过，实践中仍有大量地方性法规基于体系完整性等考虑，会重复上位法的内容。虽然《立法法》条文的表述也是“一般不作”，而非完全的禁止，在全国人大备案审查工作中，因重复性规定而要求地方性法规修改的情形也较为少见，但是，对于数据地方立法来说，本文仍然认为，应当避免篇幅较大的重复性内容。只有在重复规定有其必要性，例如不规定则体系不完整时，才应当允许适当重复。

　　评价地方数据立法中能规定何种事项及内容，应首先考察其是否属于地方性事务或央地共同事务。如是，则进一步考察其是否属于中央立法权专属；如不是，则地方性法规中可以规定。在规定时，应保证规定内容不与上位法抵触，且不存在无意义的重复性规定。本文认为，该评价路径与分析框架可用于评估地方立法中“政府职能与事权分配”“公共数据界定与共享利用”“数据权属与流通交易”“数据来源主体权益的法律保护”“实施数据违法行为的法律责任”等数据规定类型的正当性。

　　（一）政府职能与事权分配

　　政府职能与事权分配是地方数据立法中的常见内容。例如，有的地方性法规规定，统筹规划、综合协调数据发展和管理工作由政府办公厅负责，新型基础设施建设和数字经济发展工作由发展改革部门负责，公共数据开放、社会经济各领域数据开发应用和产业发展工作由经济信息化部门负责，个人信息保护和网络数据安全工作由网信部门负责。在中央机构改革之后，各省市的数据相关事务被越来越多地归集到数据主管部门（数据局），但在具体安排上，各省仍有差异。例如，有的省只是笼统地规定，“省大数据主管部门负责指导协调全省大数据工作，统筹全省数据资源整合共享和开发利用”。“其他有关部门和单位应当按照各自职责，依法做好大数据相关工作”。也有的省在明确数据主管部门“负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用”的同时，仍然规定由省政府办公厅统筹数字政府建设，“指导、协调、监督政务数据共享和应用工作”。工业和信息化主管部门“负责统筹推进大数据产业发展、工业数字化、工业和信息化领域数据安全管理等工作”。数据安全的监督管理，则仍在网信、公安、国安机关的职责范围内。

　　在本文看来，数据相关的政府职能与事权分配无疑属于地方性法规能够规定的内容。不同于适宜由中央立法立法机关掌握的经济制度，具体的社会管理类规定本就呈现出高度分散化的特征。地方政府本就有权根据工作需要和优化协同高效以及精干的原则，设立必要的工作部门；其就数据事项作出分工安排的影响范围主要局限于所在省市，并不具有需要中央予以安排的重要性，故完全可以被评价为地方性事务。与此同时，此类职能设计也不属于中央立法权专属中所谓的“权力机关职权”。除了管理事项与管理权力的差异性所赋予地方立法的正当性外，我国学者还曾注意到权力配置规范本身在类型上的差别：与行政组织职权有关的规范可以分为“将行政事务分配给不同行政机关”的“组织规范”和“在组织规范规定的所辖事务范围内，立法机关事前承认行政机关的具体活动并规定其实体要件和效果”的“根据规范”。其中，“组织规范事实上并未直接影响外部相对人，这类规范可比照组织内部机构的设置规范，由行政机关自行规定”。同理，地方政府的事权配置同样并未直接影响外部相对人，完全可以由地方性法规予以规定。数据事项中的职权分配基本都是这一类组织规范，故由相对行政法规更具民主基础的地方性法规予以规定，理应没有任何障碍。

　　在厘清部门职能与事权的基础上，地方性法规中往往还有大量关于产业促进与数据生态建设的规定。这些条文虽然内容五花八门，但实质上都是在部署政府的下一步工作，意义在于为政府深入推进处理数据相关事务提供行动纲领和规范依据。这些规则同样不属于“根据规范”，约束的对象也主要是地方政府，故属于地方性事务范畴，可以在地方性法规中规定。

　　（二）公共数据界定与共享利用

　　地方数据立法中有关公共数据的规则可以区分为两种类型：一是公共数据的界定；二是公共数据的共享开放与授权运营。就公共数据的界定而言，一些省市将其区分为“政务数据”与“公共服务数据”，前者指向“国家机关和法律、法规授权的具有管理公共事务职能的组织为履行法定职责收集、产生的各类数据”。后者则是指向公益事业单位、公用企业在提供公共服务过程中收集、产生的涉及社会公共利益的各类数据。就公共服务数据涉及的领域而言，各省市规定的内容各不相同。有的省明文列举的是“供水、供电、供气、公共交通”；有的市规定的范围更大一些，还包括“医疗、教育”；还有的省将“文旅、体育、环境保护”也包括在内。

　　就公共数据的共享开放与授权运营而言，大部分省市都会规定公共数据以共享为原则、不共享为例外。一些省市会就无条件共享、有条件共享、不予共享的情形作出特别说明，也有一些省市会授权出台更为细致的地方政府规章处理相关问题。在处理公共数据的开放问题时，各省市的做法与共享问题类似。地方性法规的差异性有时体现在开放范围上，例如，大部分省市规定的不予开放类公共数据主要包括“涉及国家秘密、商业秘密、个人隐私”；有的省市会加上“保密商务信息”；还有的省市则将之表述为“开放后可能危及国家安全、危害公共利益、损害民事权益”。值得注意的是，“损害民事权益”的范围显著大于“商业秘密+个人隐私”。可以看出，两者指向的开放范围存在一定差异。对于公共数据的授权运营来说，各地往往将具体办法的制定权交由人民政府制定地方政府规章。但是，即便在地方性法规层面，各地同样规定了不同的探索路线和不同程度的要求。例如，一些地方性法规明确规定，授权运营主体可以对授权运营的公共数据进行加工，形成数据产品和服务，并依法获得收益，但是“不得向用户提供授权运营的原始公共数据”。

　　本文认为，在公共数据界定问题上的立法差异是可以被接受的，并不会引起碎片化的问题。首先，从数据类型上看，各地掌握的政务数据和公共服务数据本身差异性就比较大，影响范围上也具有显著的地域性。例如，一些北方省份在界定公共服务数据时加入的“供热”，在南方的地方性法规中就较少被规定。其次，公共数据开放与授权运营在一定程度上可以被认为是“服务供给类事务”，这一类事务被认为属于地方性事务：“即便某项服务的范围具有全国性或跨地域性，也应认定为地方立法事务。因为地方政府完全可以在中央政府所提供的服务的基础上，增加新的内容、提高服务水平”。再次，公共数据的共享开放与授权运营不仅是各地增加财政收入、推进数据立法的核心驱动之一，对国家治理水平提升与推动经济发展也具有重要意义。因此，在各类数据事项中无疑具有较大的先行先试需求，完全符合立法效力位阶设计对地方性法规的期待。最后，公共数据界定与共享利用并不涉及中央立法权专属问题。尽管其开放与授权运营在一定程度上具有交易的性质，但是其交易主体与标的具有明显的特殊性。各地不同的制度安排并不会对全国性的数据流通形成掣肘。

　　不过，对公共数据的权利归属作出界定和限制可能产生合法性风险，这一点值得特别关注。虽然这样的内容在地方性法规中并不常见，但是一些地方政府规章有时会明确规定国家享有公共数据的所有权，抑或“公共数据作为新型公共资源，任何单位和个人不得将其视为私有财产，或者擅自增设条件、阻碍，影响其共享、开放和开发利用”。本文认为，公共数据的归属问题不同于其开发利用方式，其具有全国性，不再属于地方性事务范围。原始数据是否应当归于国家所有，值得进一步推敲。即使要将公共数据中的政务数据规定为国家所有，“也不应属于地方立法权限的事项”。更何况，各地对公共数据的界定各不相同，文旅、体育行业的公共服务数据在一些省市也被纳入公共数据范畴，它们是否排斥市场主体享有财产性权益，需要审慎评判。

　　（三）数据权属与流通交易

　　非公共数据的权属及流通交易制度与数据的市场化应用密切相关。确权与否、如何确权、权利内容如何、交易时使用何种规则，在理论上本就是争议极大的问题。在立法权限方面更是时常面临是否突破地方性事务、属于中央立法权专属的诘问。

　　就数据权益的界定与内容而言，各地方性法规在立法表述上往往较为谨慎，一般不会明确规定数据权益是否属于“权利”，而只是模糊地称之为“权益”。例如，“本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益”。在“数据二十条”出台之后，一些省市重复“数据二十条”的表达，将数据权益描述为资源持有权、加工使用权和产品经营权的三权分置体系。就权益内容来说，一些省市规定了数据处理者可以对“通过实质性加工和创新性劳动形成数据产品和服务”享有“依法使用，自主处分，获取收益”的权能。也有省市明确规定，数据流通交易市场主体享有“使用数据资源、转让数据权益、经营数据产品获得收益的权利”。

　　本文认为，首先，数据权属不属于地方性事务或者央地共同事务。这是因为，数据本身是全国性乃至世界性的要素。企业在收集、处理原始数据时并不会拘泥于某一个具体的地区。全国性以及与之相关的海量性和高速流通性是数据要素的核心特征，使其区别于位置固定的土地要素，也是其具有经济价值的重要前提。假如不同省市对于数据要素的权益内容有不同规定，势必会为企业带来巨大的管理成本，不利于全国统一大市场的构建。此外，与数据权属相关的问题，既有企业能够就其数据权益客体实施何种作为或不作为、共同生产数据的权益在不同企业之间应当如何分配等问题，也有其他企业是否对其负有法定义务，该权益是否受到限制，甚至还有个人作为数据来源者能否分享数据收益等问题。无论从影响范围抑或重要程度角度观察，它们均具有全国性，不应允许地方性法规作出五花八门的规定。

　　其次，数据权属应为中央立法权专属，地方性法规不得规定。学者认为，根据“侵害保留学说”，与基本权利对应的民事权利的限制就应当解释为“民事基本制度”而排斥行政法规的介入。例如，对财产所有权本身的创设和限制应属于法律保留的范围，不宜由行政法规进行规定。横向立法权专属如此，纵向亦然。即便不认为数据权益是一种所有权，而是多元主体针对数据要素享有的多元主张所构成的权利束，由于其涉及的权能与所有权的占有、使用、收益、处分高度近似，故应当认为也属于中央立法权专属的范围。正如学者所指出的，“像新兴的数据权利则既具有政治上的重要性，也具有市场流通的价值，也应当由法律保留”。

　　再次，即便就数据二十条而言，它对于三权分置的表达其实并不十分明确且具体，地方性法规中对三权分置的重复并不值得提倡。申言之，不同于草案稿中的“持有权”“使用权”“收益权”的表达，数据二十条最终稿使用了“资源持有权”“加工使用权”与“产品收益权”的表述，实则犯了“一次分类、两个标准”的逻辑谬误，势必产生“使用是否以加工为前提”“产品能否持有”“资源能否收益”的问题——尤其是最后一项。当前诸多地方性法规因此将数据流通交易的客体限定在数据产品或服务，而不包括数据资源或是原始数据，但实际上“数据二十条”本身并没有限制原始数据的交易，只是需要“审慎对待”而已。

　　就数据的交易规则而言，一些省市将建立数据交易管理制度、规范交易行为的权限赋予数据管理机构。在设有数据交易所的情况下，一些省市在地方性法规中的表述是“省和设区的市级人民政府应当引导市场主体通过数据交易平台交易数据”，另一些省市则直接要求“政务部门、财政资金保障运行的公共服务组织应当通过依法设立的数据交易场所开展数据交易”，也有省市同时规定了以上两部分内容。关于交易标的的适法性，一些省市规定如有“危害国家安全、公共利益，侵害个人隐私”“未经合法权利人授权同意”等情形，不得交易。有省市补充，“交易的数据产品和服务包含未依法公开的数据”也属于“可以依法交易”的除外情形。

　　在本文看来，数据的交易规则与权属规则类似，也属于全国性事务。而且，数据交易属于“涉流通交易类事务”，相关规定很容易影响全国市场的统一性，以及能否更大程度上释放市场活力，故应为中央立法权专属。当前地方立法中诸多对于交易的约束和限制并不符合《立法法》的要求。例如，在没有充分论证进场交易的必要性与合理性的情况下，强制性规定一些类型的数据必须进场交易，可能并不利于数据的流通，徒增相关企业的成本。各地对交易标的的不同规定也可能为企业带来额外的违法风险。在全国性法律没有明确规定，且侵害既有在先权利的法律责任已为《民法典》《个保法》等法律所规定的情况下，地方性法规不应任意扩大禁止交易数据的范围。

　　（四）数据来源主体权益保护及实施数据违法行为的法律责任

　　除上文提及的各类数据事项外，各个省市的地方数据立法中往往还有关于数据来源主体的在先权益保护、实施数据违法行为的法律责任等内容。虽然相较于前述几类数据事项，它们的条目数量可能不是很多，但考虑到内容上的特殊性，仍然值得单独予以讨论。

　　关于数据来源主体在先权益的保护，有的省市在数据地方立法中只是笼统规定了“本市依法保护自然人对其个人信息享有的人格权益”。有的省市则零星规定了作为数据来源者的个人信息权利，例如依法查阅、转移、删除。还有的省市不仅规定了“自然人对个人数据享有法律、行政法规及本条例规定的人格权益”，“处理个人数据应当具有明确、合理的目的，并遵循最小必要和合理期限原则”，还设专章规定处理个人数据的一般要求（最小必要原则等）、告知同意规则，以及个人数据处理过程中处理者需要履行的其他义务，例如及时删除、匿名化等。

　　在本文看来，出于体系完整性的考虑，地方性法规在数据权益相关章节强调在先人格权益保护无可厚非。不难看出，其中相当一部分都是对《个保法》规定的复述。因此，即便这些在先权益属于中央立法权专属事项，也不存在合法性问题。然而，考虑到《立法法》上的“不重复”要求，相关规定不宜过细，地方性法规不宜大量重复《民法典》与《个保法》的规定内容。事实上，上位法付之阙如，在实践中对数据来源者和处理者而言又至关重要的问题，是如何协调它们之间多元主张的优先劣后关系，例如数据来源者的在先人格权益是否构成对数据处理者财产权益的限制，以及如何限制。本文认为，这些内容并不适合在地方性法规中予以规定。理由在于，对人格权益与财产权益互动关系的界定并不属于地方性事务。如各地标定尺度不同，民事主体对自身权益的边界缺乏可预期性，不利于法秩序的统一。更何况，与自然人人格尊严、人身自由紧密相关的人格权显然属于脱胎于公民基本权利的民事基本制度，应属于中央立法权专属事项。

　　关于实施数据违法行为的法律责任，大多地方性法规规定的是“国家机关、履行公共管理和服务职责的事业单位及其工作人员”违反地方数据立法相关规定的行政责任，“由本级人民政府或者上级主管部门责令改正；情节严重的，由有权机关对直接负责的主管人员和其他直接责任人员依法给予处分”。对于违法事项而言，各地的共性规定主要是未按规定处理数据；未按规定开放、共享数据；未按规定汇聚数据至指定平台；未履行数据安全监管职责；在落实数据事项的过程中存在玩忽职守、滥用职权、徇私舞弊行为等。对于篡改、破坏、泄露这一类违法行为的实施对象，有的省市规定的是“数据”，而有的省市规定的是“公共数据”。个别地区规定了数据交易标的不适法的行政处罚后果，例如，“由市市场监督管理部门或者相关行业主管部门按照职责责令改正，没收违法所得，交易金额不足一万元的，处五万元以上二十万元以下罚款；交易金额一万元以上的，处二十万元以上一百万元以下罚款；并可以依法给予法律、行政法规规定的其他行政处罚”。

　　本文认为，目前地方数据立法中将法律责任形式规定为“责令改正”与“处分”的条文并无问题。理由在于，对《监察法》第15条规定的公职人员和有关人员来说，《政务处分法》第39条规定了他们“不履行或者不正确履行职责，玩忽职守，贻误工作”时的处分责任，故地方数据立法中的规定可以认为是对该条的细化规定，属于执行法规。换言之，准确、及时地处理、推动前述数据事务属于相关公职人员和有关人员的职责范围，履责不力需承担后果，相关规定可以被评价为“在上位法规定基本制度的情况下根据实际需要补充规定必要的、有助于实现上位法目的的具体制度和要求，相应违法行为及处理”，属于地方立法可以发挥能动性的情形。

　　个别地区规定的数据交易违法行为的行政处罚则需要仔细斟酌。我国《行政处罚法》第12条第3款赋予地方性法规一定的行政处罚补充设定权，主要适用于法律、行政法规对违法行为未作出行政处罚规定的情形。有学者认为，在补充设定行政处罚之外，地方性法规也可以补充设定违法行为，即“上位法已经规定了某一种类的违法行为，但地方性法规基于现实的复杂，在该项下设定其他的违法行为的情形”。不过，地方性法规的补充设定权一般被认为需要受到严格限制，且地方立法机关设定行政处罚的空间大小与法律法规所调整的事务共性呈反比：共性越多，地方差异性就越小、地方立法机关设定行政处罚的立法空间也就越小。数据交易不同于特定地区的环境保护、城市管理等事务，而是具有显著的全国性，且我国《数据安全法》《个保法》对数据处理危害国家安全、违反个人信息保护义务、侵害个人合法权益行为的行政处罚已经作出了较为详细的规定，加之“处理”的内涵已经包括了交易所涉及的使用、传输、提供，地方数据立法是否需要额外规定数据交易违法行为的行政处罚，本文持怀疑态度。

　　基于前文论述，不难发现，当前地方数据立法中规定的一些事项并不符合我国央地立法权的分配规则。一些地方立法国家专属数据事项抑或非国家专属却应由中央保留立法权的数据事项所作出的规定，应接受备案审查，亦值得未来的地方立法慎重对待。由此引出的问题是，如果某一数据事项并不适合由地方立法，但实际上又有显著的立法需求，那是否就应当推进全国性数据立法？全国性数据立法中又应当规定哪些数据事项？

　　（一）进一步推进数据领域全国性立法的必要性

　　本文认为，即便当下时机可能尚不成熟，未来推进全国性数据立法确有必要。理由如下：

　　首先，对于权力机关来说，全国性数据立法可以疏解现实的规则供给压力。从如火如荼的地方数据立法实践来看，当前我国对于数据立法本身的需求十分强烈。行政机关需要更加明确的授权规范以确保“师出有名”、推进数据相关工作。在获得系统性政策和制度支撑，以及中央政府从整体上推动的语境下，方能通过数据要素带动其他类型要素的开发利用。司法机关也需要更加清晰的裁判规则，避免市场主体的权益边界在审判实践中总是处于游移不定的位置，避免损害司法的公正性和可预期性。

　　其次，对于市场主体来说，全国性数据立法可以提供更加明确的适法指引，从而降低成本、提高效率。如前所述，数据本身是全国性的要素，地方立法的碎片化会显著提升企业的管理成本。从这个意义上说，全国性数据立法将通过约束地方性法规和地方政府规章中的数据事项，为企业“松绑”。此外，全国性立法可以采用一些中央专属的立法技术进一步明确当事人的行为边界、充实数据活动的权利义务内容。例如，通过效力性强制性规范排除不合理的格式条款约定、通过合同解释规范填补当事人合意的空白，以帮助市场主体更好地投入数据流通活动。

　　再次，对于国家来说，全国性数据立法可以促进我国数字治理的国际参与。如今，一些司法辖区在数据与数字经济方面的立法已经走到了世界前沿，对全球各地的政府和企业都产生了辐射作用。假如我国迟迟不推进全国性的数据立法，我国在数据治理等方面的观念、价值、目标和手段就会渐渐被国外立法所形塑。如果我国始终不通过提出制度化的立法文本以参与全球的法律竞争，全世界对数据治理的认识也会被国外立法所框定。因此，推进全国性的数据立法也是在有意识地回避其他法域的法律输出，坚持符合中国本土的治理路径。对世界而言，持续发出数据立法的中国声音，能够充实既有的法律工具箱，使其更加多元化，亦能为尚未就数据事项作出规定的法域提供有益参考。

　　（二）全国性数据立法的规范内容初探

　　在眼下关于全国性数据立法的讨论中，有的学者认为应当制定一部综合的《数据法》或《数据财产法》，以囊括所有的数据事项；也有学者指出，可以在中央层面“制定《数据财产保护法》《数据交易法》《政府数据开放法》”等聚焦于具体事项的立法。在本文看来，全国性数据立法应就如下事宜作出回应。

　　第一，全国性数据立法可以就政府职能与事权分配问题作出规定。虽然当前各地就数据事权作出的规定并不存在合法性问题，但这不意味着在中央层面就没有优化余地。例如，中央机构改革之后数据局主管数据事项，本属于题中之义——一些省市已经将原本政府办公厅、经信委有关数据治理的职能划归数据局。但是，由于国家知识产权局授权试点“数据知识产权”，数据权属的界定和登记这一重大数据事项的归口，还没有明确。事实上，这也给市场主体带来了困惑和参与市场交易的障碍：有省市的不同政府部门分别出台了意见不一的规范性文件，都将自己规定为数据财产性权益登记的主管部门。虽然这一问题从根本上说并不是法律问题，但若能由全国性数据立法加以明确规定，无疑将向市场主体传递积极信号。

　　第二，全国性数据立法可以就个人分享数据收益作出规定。对此，有学者主张应当按照“人财两分”的思路，在对个人信息数据作出权利配置时，将人格利益配置给个人，同时将财产利益配置给数据处理者。有学者提出，应当以数据信任、数据共享和数据汇聚为目标，构建一种程序性、非绝对性、举报建议性的数据来源者权。这里的问题是，立法在配置数据权利时，是否仅将财产性利益配置给数据处理者，而由数字税等方式返还来源者，在理论上尚有争议。有学者认为，应当赋予数据来源者所有权，通过个人数据资产账户和集体管理组织机制，让数据使用者向所有权人支付合理的使用费用，使全体网民参与数据红利的分配。也有学者指出，个人信息权益足以保护自然人的经济利益，通过同意与许可即可实现个人数据经济利益。考虑到个人分享数据收益问题的复杂性和政治性，该问题只能由全国性数据立法作出规定。

　　第三，全国性数据立法可以就数据权属问题作出适当规定。本文无意讨论数据是否需要确权、如何确权，但至少在权益层面上，多元主体享有的财产性主张能在多大程度上获得认可、合作生成数据相关权益在多元主体之间应当如何分配、垄断主体或是平台主体在多大程度上需要向其他市场主体开放数据、是否需要适度减轻企业的爬虫责任、是否需要规定平台企业的强制缔约义务、如何在规模化利用的前提下评估、定价、使用数据资产等等，这些问题都需要全国性的数据立法予以回应。正如有学者提到的，现下学术探讨中的模式差异（行为规制模式与确权模式）其实具有一定的共通性，只是在标准化程度上存在差别。全国性数据立法无疑将通过明确的利益分配规则为市场注入确定性。不过，考虑到数据权属立法可能带来的深远影响，即便是全国性数据立法，规定的内容也应当以回应性立法为主，牢牢扎根于实践，由当下典型争议场景出发，满足政府部门与市场主体的紧迫需要。

　　第四，全国性数据立法可以就数据的流通交易作出适当规定。正如有学者所论，“商品和要素的自由流动在整体上最有利于经济效率，因此，市场经济天然地呼唤统一”。因此，如果要就数据交易作出规定，应当在全国性数据立法中予以规定。当然，与数据权属问题类似，即便是全国性立法也不宜对交易作过多干预。以数据交易是否必须进场的问题为例，在法律对数据安全和来源者在先权益已经提供充分保护的情况下，要求某些数据类型或交易类型必须进场的规定可能并不妥当。交易所之间通过提供更优质的服务，或是“增加有效的公共数据供给带动社会数据进入场内，提供合适的安全港规则，并逐步提升撮合匹配的能力”等更加市场化的方式展开竞争、吸引更多市场主体进场交易，方为正途。

　　其他关于公共数据共享、开放、授权与运营，以及基础设施建设、数据产业促进、国际合作等当前属于地方性法规先行先试的事项，在条件成熟时可由中央总结有益经验，由全国性数据立法予以规定，在全国范围予以推广。考虑到数据法属于领域法范畴，涉及私法和公法的多元规制，无法适用传统部门法或法学二级学科的界定方法划定疆域，在规划全国性数据立法内容时，应考虑面对安全风险因素、市场分配机制、创新必备条件的不同治理范式，设计不同类别的法律规范。我国《人工智能法（学者建议稿）》规定了“总则”“发展与促进”“使用者权益保护”“义务规范”“监督管理”“特殊应用场景”“国际合作”“法律责任”八部分内容，对于数据立法而言可资参考。

　　对于市场主体来说，数据领域的“立法先行”可能是一个伪概念。无论是公共数据的有效利用还是非公共数据便捷通畅的流通交易，市场早在立法之前就已经给出了自己的答案。目前为止的成功案例，如气象数据和市场主体数据的市场化应用，都不是立法所促成，而是市场基于适合的应用场景而自发生成的。相反，过早、过多的立法反而会压抑市场自身的主观能动性，值得立法者慎重对待。需要认真对待数据立法的，其实不仅仅是地方立法者——如何准确识别什么是政府部门、市场主体和消费者真正需要的法律规则，值得我国数据法学者的进一步研究。