上政学报 | 王年：数据资源持有权的法律功能与规范构造

文摘 2024-06-20 19:30 上海

点击蓝字

关注我们

初创学者佳作

数据资源持有权的法律功能与规范构造

本文刊登于《上海政法学院学报》2024年第3期

摘要

数据产权“三权分置”政策法律化的首要问题是探明数据资源持有权在数据“三权分置”中的功能定位，完成数据资源持有权规范构造。由数据产权“三权分置”协调与平衡数据来源者、数据持有者和数据使用者之间利益的根本目标所决定，数据资源持有权既非一项“权能”，亦非单纯的“数据使用权”，而是在数据产权“三权分置”中居于核心地位，具有客体转化、合法性确证、目的性控制和利用终止功能的归属性产权。数据资源持有权的客体应是以数字化形式存在的、依法依规可用于流通使用的公共数据和企业数据集合。数据资源持有权的主体为合法、安全地生产和控制数据付出了劳动和其他成本，并对数据利用的目的和方式具有决定性作用的自然人、法人和非法人组织。数据资源持有权人可通过行使持有权、管理权、使用权、取回权、收益权等权能实现对数据资源的自主管控和收益。

关键词

数据产权“三权分置”；数据资源持有权；权利功能；权利构造；《数据二十条》

作者

王年，武汉大学法学院博士研究生，武汉大学网络治理研究院数据法治研究中心研究人员。

引用格式

王年：《数据资源持有权的法律功能与规范构造》，《上海政法学院学报》(法治论丛)2024年第3期。

目次

一、数据资源持有权的功能定位

（一）数据资源持有权的法律地位

（二）数据资源持有权的法律功能

二、数据资源持有权的性质辨析

（一）持有（权）的语义分析

（二）数据资源持有权的概念界定

（三）数据资源持有权与相关权利的关系

三、数据资源持有权的规范构造

（一）数据资源持有权的客体

（二）数据资源持有权的主体

（三）数据资源持有权的内容

四、结语

《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“《数据二十条》”）首次提出：“根据数据来源和数据生成特征，分别界定数据生产、流通、使用过程中各参与方享有的合法权利，建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制。”这一数据产权结构性分置的制度安排也被称为数据产权“三权分置”，是我国在数据产权制度探索和构建过程中形成的最新思路，也被誉为中国特色的数据产权建构方案。

对数据产权“三权分置”政策进行初步检视可以发现，“数据资源持有权”因在称谓上既非“占有权”，亦不同于“所有权”，而无法在现行法律体系中得到准确定位。在结构上，数据资源持有权与数据加工使用权、数据产品经营权之间构成何种关系、相互之间如何运行等难以从现有政策中获得当然结论；在客体上，“数据资源”概念的内涵与外延尚需进一步理清；在内容上，数据资源持有权人享有何种权益而对依法依规持有的数据进行自主管控尚不明确。因此，探明数据资源持有权在数据产权“三权分置”中的功能定位，完成数据资源持有权规范构造，就成为实现数据产权“三权分置”政策目标法律化的首要和关键问题。

循此，本文以数据资源持有权在数据产权“三权分置”结构下体系定位与规范表达为核心论题，就数据资源持有权的功能定位、权利性质和法权构造展开研究，以求获得数据资源持有权这一政策性权利在法律层面的规范表达。

一、数据资源持有权的功能定位

（一）数据资源持有权的法律地位

当前，虽有学者围绕数据资源持有权展开研究，但对数据资源持有权的法律定位存在较大的认知差异。有学者认为，数据产权“三权分置”并非法律制度，而是一种理念或探索，是对数据持有权体系化的设想，应根据数据价值创造贡献在数据要素化阶段为不同社会主体配置独立的持有权。但也有学者认为，数据产权“三权分置”主要描述了经济生活中的不同数据生产形态，“三权”之间呈现上下游关系。其中，数据资源持有权着眼于数据生产者对原始数据的权利，旨在明确数据来源者和数据生产者之间的利益划分。可见，前述对数据资源持有权理解分歧形成的根本原因是不同研究者对数据产权“三权分置”政策存在不同的认识，进而导致对数据资源持有权的理解亦存在不同。就此而言，对数据资源持有权法律地位的探讨，应置于数据“三权分置”的整体框架下进行。

从《数据二十条》对数据“三权分置”的政策安排来看，数据产权分置的运行机制应当基于数据来源者（权）、数据持有者（权）、数据使用者（权）相互之间围绕数据价值或利益所产生的法律关系予以构建。在数据生产阶段，主要形成作为数据描述对象的来源者与作为收集/采集数据的生产者之间围绕数据价值创造归属所产生的初始利益分配法律关系。在数据流通阶段，主要形成对数据进行自主管控的数据持有者采取何种方式流通和使用数据，进而与其他数据使用者之间围绕数据使用所产生的增值利益分配法律关系。由此，便可基于数据（利益）从生产（归属）到流通（利用）的两大阶段形成阐释和实现数据产权“三权分置”的“数据来源者权+数据持有权”和“数据持有权+数据使用权”的“双阶二元结构”。

在“双阶二元结构”中，数据资源持有权处于核心和枢纽地位。其一，赋予数据生产者一般性的数据持有权，是基于数据被数据生产者所实际控制和支配的客观事实。既然数据生产者在事实上已经能够控制和利用数据，那么法律就有必要对这种事实状态予以承认并加以保护。只要数据生产者合法地收集并存储数据，就可以基于这种生产行为取得对数据的财产权。因此，在数据生产和流通的过程中，应首先承认并保障数据初始生产者对其采集、加工所形成数据的持有权。其二，数据持有权在数据利益的聚合和分散过程中处于核心和枢纽地位，是开启数据要素化和市场化的关键。一方面，数据生产者通过数据生产行为对不同来源的数据进行收集汇聚，从而形成“数据集合”。相应地，在数据来源者和数据生产者之间就形成了一种将各个不同数据来源者稀薄、分散的利益向单一、集中的数据生产者的利益汇聚关系。另一方面，数据生产者在生产数据并加工处理形成数据集合后，又将这种集合性的数据财产对外流通，使之分散到不同的数据使用者手中，使得同一数据财产在多个数据使用者中并存和分享。其三，确立数据持有权的法律地位，承认数据生产者对初始生产的数据享有排除他人干涉的效力的目的在于防止他人对数据持有权人对数据持有状态的干涉。当数据持有者采取措施控制了一定范围的数据，其因实施控制行为而获得的稳定状态就应当得到法律的保护，以防止他人在未经其许可的情况下访问、篡改、泄露和删除。但数据持有权人享有的这种排除效力，不等于其可以排除他人采取其他合法的方式对相同来源的数据进行采集和加工。易言之，数据持有权并非对数据的独占，其并不排斥他人生产与之相同内容数据的权利。即使他人经由合法方式生产了与数据持有权人相同的数据，只要并未干涉数据持有权人此前的合法持有状态，仍然可以取得对该数据的持有权。就此而言，数据持有权并非知识产权式的专有权，而仅是法律确认和保护的免受他人对数据控制和使用干涉的权利。

（二）数据资源持有权的法律功能

1. 客体转化功能。通过确立数据资源持有权，可激励数据处理者将数据从公法主权意义上的“数据资源”向私法客体意义上的“数据财产”转化。数据作为生产要素，可在两种意义上存在。从最广义上看，数据以规模化、集合化的形式存在，具有整体性和单一性，必须毫无遗漏地将现存以及未来所有可能为人们所使用的数据进行抽象性、前瞻性涵括。这就如同水资源或土地资源一样，在原初意义上是作为整体而存在的，其范围具有广泛性、形式具有整体性、功能具有非排他性，并非独立的权利客体。从狭义上看，它仅指从数据资源整体中分离具化而形成的一定时空条件下可为私主体控制和使用的特定数据资源“单元”。以“单元”形式存在的数据资源相较于整体性的数据资源而言，是经由数据处理者合法收集或采集形成的，可通过数据登记制度公示其控制状态，成立相应私法上排他性权利的客体。而数据资源持有权则是通过赋权方式来确认和保障数据处理者在数据产权客体转化上的劳动贡献和合法权益的制度工具。根据“谁投入、谁贡献、谁受益”的原则，可明确原始数据资源的归属，激励数据生产者实现数据从自然状态向社会状态的转变、从公法客体向私法客体转变、从抽象的整体性的数据资源向范围和边界清晰明确的数据资源转变，推动高质量数据要素供给目标的实现。

2. 合法性确证功能。享有数据资源持有权意味着权利人对相应范围数据资源的持有和控制状态受到法律保护，可在法律规定的范围内自主管理和使用而不受他人干涉，这使得数据资源持有人持有和控制数据资源的合法性得以证成。从数据资源的生产过程来看，数据资源持有权合法性主要取决于数据资源的来源合法，即数据资源持有人数据收集或采集的行为合法。数据生产者通过授权或收集等方式获取原始数据资源，从而使该数据资源成为法律上可交易和可流通利用的合法数据。相反，利用非法手段收集和控制的数据，即使被数据处理者事实控制，但因缺乏合法性基础而非受法律保护之权利客体，其上所成立的权利也因客体的非法性而不能成立。因此，数据资源持有权是依赖合法的事实控制和管理来彰显和实现的一种利益保护方式，其借助围绕数据生产而形成的规制数据采集和收集行为的法律规范来证明其生产和控制数据资源的合法性，并经由数据登记制度来公示其合法性，为实现数据资源的持续流通利用奠定基础。

3. 目的性控制功能。尽管流通和利用是数据价值实现的主要方式，但这不意味着数据的流通利用不需要任何前提和限制。《数据二十条》虽然旨在推动数据要素的市场化、数据流通和利用的效率化，但其始终将安全、合规作为数据流通利用的基础和主线，提出建立数据可信流通体系的目标，明确在合规流通使用中激活数据价值。而促进数据合规流通利用，除了依靠政府等外部监管机构的行政干预外，在产权体系上亦应采取相应的制度设计来实现内部约束。对此，《数据二十条》在产权制度部分有相应要求。例如：要求数据处理者在保障安全前提下依法依规对原始数据进行开发利用；政府部门履职获取相关企业和机构数据时应约定并严格遵守使用限制要求；重申并强化个人信息数据收集、处理和流通过程中的安全保障义务并提出“探索由受托者代表个人利益，监督市场主体对个人信息进行采集、加工、使用的机制”；等等。而实现这些目标和任务的私法手段，应是通过法定或约定方式赋予数据持有者对数据流通利用范围和方式的目的性约束和校正机制，来传达和落实数据来源者的数据安全利益关切，从而妥善平衡数据安全保护与流通利用之间的内在冲突。当数据使用者超越法定或意定限制而滥用数据，并造成数据来源者人身与财产利益损害时，数据持有权人可基于数据持有权的目的性限制功能而直接干预和限制数据使用者的行为。相较于由分散的数据来源者的个别行动，数据持有者因代表了数据来源者的集体意志，无论是在信息获取上还是在维权成本上，均优于分散的数据来源者。这种目的性限制功能本质上乃是数据持有者负有的维护数据来源者利益的义务，在数据持有权人怠于履行该义务时，数据来源者不仅可直接向数据利用者主张权利，还可基于法定或约定条件向数据持有者主张相应的权利。

4. 利用终止功能。数据资源是开启整个数据价值链的源头和基础，影响着数据价值创造和实现的全过程。无论是加工形成的数据集合还是体现创造性成果的数据产品，均衍生自原始数据资源。基于“双阶二元结构论”，既然数据使用权是由数据资源持有权人行使权利的结果，那么一旦数据使用权人的权利终止或消灭，其就应当将持有的数据资源返还给数据资源持有权人，从而保障数据资源持有权人的合法权益。《数据二十条》也规定：“在数据处理者发生合并、分立、解散、被宣告破产时，推动相关权利和义务依法依规同步转移。”但是，由于当前数据产权制度尚未确立，导致实践和理论上存在诸多不确定性，影响甚至阻碍了数据要素的交易流通。而数据资源持有权则可为数据生产者终止后相关权利义务的转移提供产权基础，实现数据资源交易环节的闭合。同时，基于数据全生命周期，数据不仅可被收集、存储、加工、传输、提供、公开，还可被销毁。这决定了应当赋予数据资源持有者销毁数据资源使数据“死亡”的权利，从而实现数据产权从生成到终止的逻辑闭环。通过行使包含数据销毁权在内的数据资源持有权，数据持有权人可防止数据资源被滥用或误用，使数据资源处于安全可控的范围之内，保障数据安全。数据资源销毁权的行使，不仅可依数据资源持有权人的自主意愿而主动行使，还应当依照数据安全管理的要求而强制实行，因而数据销毁不仅是数据资源持有权人的一项权利，更是基于数据安全保障目的而应当履行的一项义务。同时，这种基于法定事由的销毁又在一定程度上构成了对数据资源持有权的限制。

二、数据资源持有权的性质辨析

（一）持有（权）的语义分析

《数据二十条》为何采用“持有”这一概念来表述数据处理者对其生产的数据享有管理和控制的权利，从既有政策来看，尚不能得出准确的答案。在比较法上，欧盟《数据法》和《数据治理法》均提出了“数据持有者（Data Holder）”的概念，认为数据持有者是“有权授予访问或共享其控制下的某些个人或非个人数据的法人或数据主体”。在我国法律中，“持有”最普遍的用法是指“占有、携带、藏有、存放或者留存国家法律规定的特定物品的行为”。

从词源上看，英美法中“持有（者）”的翻译是“Holding（er）”, 最早渊源于英国封建土地制度中的土地保有（Tenure），其本身含义是“持有（Holding）”，在中世纪的原本意思是租赁（Tenancy）或租客（Tenant），而当今的含义却是“所有（Own）”和“所有人（Owner）”。尽管封建土地保有制已经消亡，但保有或持有作为英美法上独有的概念，至今仍在使用，且始终具有确定土地实际控制主体的含义与功能。在大陆法上，“持有”通常伴随“占有”一起出现。“通常而言，今天人们理解的占有，指的是以所有的意思而对某物进行的事实上的管领。与占有不同的是纯粹的持有，后者指的是，没有所有的意思而对物进行的事实上的管领。”这种仅对物进行的事实上的管领状态也被罗马法学家称为自然“占有”（naturalis possessio），或者称为保有（tenere）、持有（detinere）。由此，就在罗马法共同法上形成了与占有不同的“持有”（Detention）的技术性表达。萨维尼认为，占有的构成要件包括两个方面：其一，具有管理和控制物的事实；其二，具有所有的意思。如果某人仅事实上管理某物却没有所有的意思，那么就只能是持有。相应地，持有人若要转化为占有人，其就必须有持有的意图，即占有心素。

由于占有和持有在本质上均为对物的事实控制和管理，因而有学者认为，数据持有权中的“持有”与占有同质，可准用占有规范来构建数据持有权。从词义上看，持有和占有均具有对物事实上管领和支配的意思，即占有和持有都可以指称对物的实际控制。但是，这并不代表能准用占有的规范来构建数据持有权。一方面，根据我国《民法典》的规定，占有本身并非独立的权利，而仅为一种事实状态。法律保护占有状态的原因与占有人对占有物是否享有一项使其占有正当化的权利无关。而判断数据资源持有权成立的根本依据在于该人是否通过自身意志（特别是自主决定）而有效控制该数据的使用。持有人是否物理上管理或控制该数据并非决定要件。另一方面，占有人一旦转移物的占有，即不再享有法律上对其占有事实或状态的保护。但持有人持有数据的目的在于流通利用，无论是根据欧盟《数据法》或《数据治理法》，还是《数据二十条》，数据持有者不仅可对数据自主管控，还享有或负有许可他人访问或使用由其持有数据的权利或义务。如果仅参照占有的规范来保护数据持有者的权益，则难以为数据持有者提供周延和全面的法律保护，也不符合法律上赋予数据持有者权利的目的。因此，“持有（权）”的语义应当是对数据事实上的管理或控制的权利，其虽在语义上与民法上的“占有”具有重叠之处，但并非同质，难以完全准用占有制度来构建。

（二）数据资源持有权的概念界定

根据持有或控制数据的原因，可将数据持有区分为基于数据生产行为的数据持有和非基于数据生产行为的数据持有。基于数据生产行为的持有是指取得对该数据的控制是基于数据处理者的初始性数据生产行为。非基于数据生产行为的持有则是指该种持有状态的获得是基于生产行为以外的其他原因，如通过他人的共享、市场的交易等方式。区分这两种持有状态的根本标准是持有者是否为持有该数据付出了生产性劳动，即投入生产资料等其他要素而使数据初始性地从信息状态转化为电子化的数据要素。从持有状态上判断，只要该数据处于特定主体的支配控制范围，该主体即可享有数据持有权。但从该主体对数据的价值贡献来看，基于生产行为的数据持有和非基于生产行为的数据持有存在本质区别，只有基于生产行为的数据持有才能获得权利归属意义上的法律保护。

因此，本文所称的数据资源持有权仅指基于生产行为的数据持有权。其一，如果我们不考虑数据持有的原因，无论是数据的最初持有者，还是流通阶段的持有者，则均可以称其为数据持有权人。但是，这样一个含括两类不同主体的概念存在模糊性，难以区分生产阶段的持有者和流通阶段持有者各自对数据价值的贡献以及建立在这种贡献上的权利。数据产权建构的一项基本原则是“谁投入、谁贡献、谁受益”。如果我们不能清晰地区分不同主体对数据价值的贡献程度，就很难从产权界定的角度去划定不同主体各自的利益边界，从而实现产权建构的目的。因此，为了更好地指称不同主体，本文将生产阶段的数据持有者称为数据生产者，将数据流通阶段的数据持有者称为数据使用者，从而为其分别赋权。其二，基于生产行为的数据持有权在取得原因上必然与在先的数据来源者发生法律关系。如果没有数据来源者的同意或授权，数据生产者便丧失了持有或控制数据的合法性基础。因此，将数据持有权限定为基于生产的数据持有，有利于说明这一权利的取得原因，并由此构建数据来源者与数据生产者之间的权利义务关系。其三，数据生产者在生产数据后，还可以通过数据流通取得对他人生产数据的使用权，并将基于两种不同情形所持有的数据进行汇聚和加工，从而形成对新形态数据的持有。在这种情况下，持有数据的主体实际上存在多重身份，其既是由其生产的数据的生产者和持有者，也是他人生产数据的使用者，还是衍生数据的使用者。但是，数据持有权人的身份如何变化，都不能脱离其作为原始数据的生产者这一身份。而只有原始数据的生产者，才能基于数据生产行为取得数据财产权。如果仅通过流通而取得对他人数据的持有，虽然也可称其为持有权人，但为了与在先数据生产者区分，将其称为数据使用者更为合理。因此，本文所称的数据持有权是指数据生产者基于收集、采集或加工等数据生产行为而享有的对数据的控制和利用，并排除他人干涉的财产权利。

（三）数据资源持有权与相关权利的关系

在对数据持有权性质的理解上，有观点认为，数据持有权本质上属于对数据的使用权。但也有学者认为，数据持有权旨在明确数据来源者和数据生产者之间的利益划分，尤其是明确“合理保护数据处理者对依法依规持有的数据进行自主管控的权益”，其实际指向是原始数据采集、整理者享有的绝对支配权。笔者认为，数据持有权作为沟通数据生产和流通利用的枢纽性权利，并非纯粹的使用权，而是与所有权具有功能相通性的表征财产归属的权利。

如果我们将数据资源持有权理解为单纯的数据使用权，则不仅误解了“数据资源持有权”这一表述的真实含义，还难以实现数据资源持有权所承载的功能。加藤雅信认为，就非生产资料来讲，所有权的功能在于使用权能的私人独占；而就生产资料而言，所有权的功能不仅在于使用权能的私人独占，还在于通过保护对生产资料的资本投入，赋予资本投入者以积极性，从而达到保护投资者个人和增强社会整体生产力的目的。数据作为信息载体，是人类认知工具和认识的来源，本身应处于公共领域而不得为任何人所独有或排他性支配。但随着数字技术与经济活动的不断融合交织，作为信息载体的数据逐渐从人类活动的“副产品”角色中独立演化形成了支撑经济主体实现高质量发展的关键生产要素。创设数据资源持有权，目的就在于激励数据生产者投入劳动或其他要素进行数据生产，并对其基于数据生产而获取和控制数据资源的事实状态予以确认和保障。因此，数据资源持有权人对数据资源支配的合法性来源于其合法的数据生产行为。既然我们承认数据上存在财产利益，那么“无论是有形资产（有体物）之所有权，或是无形资产（权利等无体物）之债权或其他财产利益，必然立即呈现归属关系之问题”，而这种“归属关系之基本原型（所有权），财产法之秩序几乎可谓完全建构于此原型上，或于此原型上微调或变化”。可见，即使我们淡化甚至否认“数据所有权”这一形式意义上的表达，但在功能层面数据资源持有权与所有权均具有通过确认财产归属与支配关系来进行经济激励的功能。

有观点认为，数据往往从一开始就并非单一主体，在生产环节便存在数据来源者与数据生产者之间围绕数据利益归属形成的冲突。而这种冲突又因数据的动态变化而持续存在于数据价值创造和利用的全生命周期，故而应放弃在归属层面确认数据权利主体的努力。但实际上，由于数据来源者并未对数据的生成付出资金和劳动成本，且其产生的数据往往是其参与数据经济和社会构建而形成的“副产品”，而“那些投入资本并在从无到有产出数据或者依一定目的、用途对他处数据加以收集、整理、加工过程中起决策作用的市场主体”则往往对数据价值的归属具有重大的利益期待。《数据二十条》明确提出：“市场主体享有依法依规持有、使用、获取收益的权益，保障其投入的劳动和其他要素贡献获得合理回报，加强数据要素供给激励。”尽管数据只有在不断的流通使用中才能产生更大的价值，但确认数据的归属是实现这一目的的必经阶段，只有在数据生产阶段赋予数据生产者对数据资源的归属性权利，承认其对数据资源生产的正当性并通过赋权来予以激励，才能使其生产出更多可用于流通利用的数据，并将这些数据开放和分享，从而实现数据更大范围的流通和利用。因此，将数据资源持有权定性为归属性数据产权，乃是出于对“数据是被生产出来的”这一基本事实的尊重，并将其限定于数据生产阶段的产权类型。

数据乃是客观实物的数字化映射，随着客观世界的不断变化而变化。但数据的此种动态变化在技术上仍然是可描述、可确定的，在法律上也可通过当事人的约定而予以明确。基于数据本身可被重复利用的属性，在数据初始生产阶段，其可被不同的主体按照不同的方式予以收集和采集，形成数量、体积和内容各异的数据资源集合。详言之，数据来源者及其行为所产生的信息本身是唯一的，经由数字技术转化而形成的描述这些信息的数据本身亦是独立的。但由于数据的可复制性、可重用性，这些反映或描述信息的数据可被多个主体同时加以利用，即具有使用上的非排他性。但是，这种使用上的非排他性并不意味着任何人可对数据资源自由使用。相反，正是由于数据生产者承担法律上对其数据采集或收集行为的各类规制风险，付出劳动和其他要素贡献，并以其数据生产行为实现了数据的要素化转化，才产生了大量可用于流通利用的大数据集合。如果我们不尊重数据生产者对原始数据资源的生产行为，那么不仅难以激发数据生产者持续不断地生产数据资源，还罔顾了数据资源与其反映的对象以及与数据产品之间的事实区分。在形态上，数据资源集合本身并不同于来源者的数据，而是数据生产者基于自身应用场景有目的、有计划地进行收集和处理形成的个别化的数据资源集合。在这一收集和处理过程中，单一来源者的多个数据和多个来源者的单一数据条目均可被不同的数据生产者独立收集使用，但其本身并不能等同于数据资源。尽管构成这一数据资源集合的部分数据来源相同，但作为整体的数据资源集合本身却相互区别。在这个意义上，由于客体的不同，决定了成立于其上的各数据资源持有权亦存在不同，不会产生多个相同的数据资源持有权独立平行的局面。当然，由于数据资源持有权人可将其持有的数据资源流通给他人使用，从而在数据利用层面形成基于数据产品的多个相同的使用权或经营权独立平行的情形，但其取得权利的依据并非基于数据生产行为。

承认数据资源持有权的归属权属性，不仅意味着数据实现了自然意义上的“信息载体”向法律意义上的“数据财产”的客体转化，也意味着在法律上形成了这样一种判断：此数据被特定主体所控制，其他任何人应当认可、尊重此种状态，并在受到侵害时受到法律的保护。在数据交易的场合下，确认数据资源持有权的归属权属性，还可以区分数据合法性风险，降低数据使用权人的交易风险，促进数据的流通交易。如果数据资源持有权仅为使用权，那么在数据交易的链条上，多个使用权人权利平等并存。在发生侵害数据来源者利益且难以确认何者为侵害主体的情况下，数据来源者只能将所有的数据使用权人列为被告而寻求最大化救济，但由此将导致数据使用权人极高的风险规避成本，使数据使用权人在通过交易受让数据时会花费巨大的成本审查数据持有人持有和转让该数据的合法性。从交易效率的角度考量，这将极大抑制数据交易相对人的交易积极性，反而阻碍数据的流通交易。而在确认数据资源持有权人归属性产权的情况下，数据来源者可直接以数据资源持有权人未尽到数据安全保护义务为由向其主张权益救济，而无须向每一数据使用权人主张权益。由此产生的结果是，由于数据资源持有权的非使用权性及其所负有的保障数据来源者安全和信赖利益的义务，而实质性地阻断数据来源者向数据使用者主张权利的链条，由数据资源持有者先向数据来源者承担责任，而后再基于其数据流通合约向造成损害结果的实际使用人主张。此种权利救济路径与不真正连带责任的构造类似，可实现数据来源者、数据持有者和数据使用者之间的利益均衡，兼顾数据安全与流通利用。

需强调的是，将数据资源归属于特定主体，并不意味着其对其他主体的数据资源获取和利用机会与方式的干涉。相反，为防止类似“数据垄断”等情形的出现，在区分权利确认与权利行使的前提下对数据资源持有权的行使施加限制已成为学界的普遍共识。因此，确认数据资源持有权的归属权性质，亦不会导致数据持有者对数据资源绝对排他、长久持有等阻碍数据分享和流通的情形。

三、数据资源持有权的规范构造

（一）数据资源持有权的客体

客体是法律关系的核心要素之一，是权利的基础，任何一种权利必须有明确的客体。尽管此前有学者认为数据并非权利客体而否认数据赋权，但更多的学者认为，数据可作为权利客体。作为数据产权的子类型之一，数据资源持有权亦具有权利客体。从文义上看，数据资源持有权的客体显然是数据资源。但也有学者认为，数据赋权的基础不是对数据的拥有，而是对数据上产生价值的享有，进而认为应从利益界定权利，而非从权利界定权利。但是，从权利公示的角度看，所谓“数据上的利益”也难以被登记机关登记，即使被登记，也并非与事实状态符合。因为利益本身是一种主观价值判断，不同的主体、不同的场景、不同的交易场合中，主体对该利益的价值判断常常是因人而异的，难以被确定。即使此种利益可以确定，也违背了权利与利益的关系原理。依据“利益说”，权利本身就是法律所保护的利益。将数据资源持有权客体界定为利益，看似把握了数据的特性，但若根据“利益说”，权利本身就是法律所保护的利益。那么，就会形成这样一种判断：数据资源持有权的客体是数据资源持有权（利益）。这显然不符合逻辑。此外，在我国《民法典》第127条明确将“数据”作为法律保护客体的事实下，将数据资源持有权的客体界定为“利益”也不符合《民法典》对数据法律地位的一般规定。

与之相反，数据资源虽时刻处于变动状态，但无论是从技术维度对其物理状态的确定，还是从市场纬度对其经济价值的评估，都具有可欲性和可能性。因此，笔者认为，数据资源持有权的客体应当是“数据资源”。但由于法律和政策上并未明确何为“数据资源”，故仍需在规范层面定义数据资源的概念，界定数据资源的范围，厘清数据资源的类型。《深圳市数据产权登记管理暂行办法》将数据资源定义为：“自然人、法人或非法人组织在依法履职或经营活动中制作或获取的，以电子或其他方式记录、保存的原始数据集合。”该定义虽然指明了数据资源的原始性、集合性，但其采取的“以电子或其他方式记录”的表述泛化了数据资源的存在形式。尽管包括《数据安全法》在内的法律均认为，数据应当是“以电子或其他形式”存在的对信息的记录，但从技术的角度看，作为生产要素的数据只能是以0和1数字形式存在的电子数据。原因在于，数字化的底层逻辑是以二进制的0和1的数字性质来进行运转的“二值逻辑”，对信息的加工和传输仅需要以计算机和网络作为唯一工具，而比特则成为承载信息对象的唯一载体。数据之所以成为生产要素，就是因为其可被作为计算符号而在算法、算力等数字技术的发展下产生经济价值。因此，作为生产要素存在的数据只能是电子形式。但仅仅是电子形式还不足以使数据为计算机等设备自由读取和分析，其还必须具有可机读性，具备一定的格式。只有按照一定语言结构排列组合，成为计算机可读取的特定格式的机读数据，才能够支撑当前算法、机器学习等人工智能技术的发展，才能增加和促进信息与知识的流动。因此，作为数据资源持有权客体的“数据资源”应当具有如下特征：第一，原始性。即指数据生产者合法收集的尚未进行数据标注、数据清洗、数据加工、数据脱敏和匿名化的初始数据。第二，集合性。即有价值且可产生法律保护需求的数据形态应当是具有质量的数据集合。第三，电子性。即数据资源应当是以电子形式存在的、结构化的可由机器读取的形式存在。进而，可形成“数据资源”的定义：数据资源是指自然人、法人和非法人组织在数据生产活动中收集或采集形成的，以电子化形式记录信息的数据集合。

基于数据分级分类的原则，《数据二十条》将数据按照该数据所属的身份区分为个人数据、企业数据和公共数据。由此引申出的问题便是：这三类数据是否属于产权框架下的数据资源？而解决这一问题的关键则在于澄清个人数据是否属于数据产权的客体进而被纳入数据资源之中。根据《数据二十条》的表述，所谓的个人数据，实质上是以电子化形式呈现的个人信息，即“个人信息数据”，并以实名制的个人信息数据、去标识化的个人信息数据以及匿名化的个人信息数据三种形态存在。即使处理者将个人信息进行数字化处理，但个人信息权益保护的核心仍是自然人的人格尊严和人身自由等人格利益，自然人就其个人信息数据享有的人格利益和经济利益都可以通过人格权益的个人信息权益予以涵盖并保护，无需再确认作为财产权的个人信息权益。从法律调整的目的看，法律所调整的个人信息数据和企业或公共数据的目的也不同，前者在于通过保护个人信息保障个人在各种社会关系中身份建构的自主性和完整性，而后者则在于通过释放数据要素的经济价值来实现数据的市场化、社会化利用。《数据二十条》也规定：“对承载个人信息的数据，推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据。”这表明，有权“持有”个人信息数据并进行使用、创造和享受其经济价值的主体应为掌握数据收集和分析技术，具备市场决策和经营能力的“数据处理者”。因此，笔者认为，从数据所表彰的身份维度进行分类，作为财产权的数据资源持有权的客体仅包括公共数据资源和企业数据资源。

基于“维护国家数据安全、保护个人信息和商业秘密”的数据合规流通要求，数据资源可区分为可流通数据与不可流通数据。所谓可流通数据，是指可通过开放、共享、交易或访问等方式实现市场化流通使用的数据；不可流通数据则与之相反。区分两者的标准在于其是否涉及国家秘密、个人信息或商业秘密等不得进入数据流通领域而需严格管控的内容。此种区分在当前的公共数据开放共享实践上表现得尤为突出。各省市发布的规范和调整公共数据开放利用的地方性法规或规章均将公共数据的开发或共享区分为无条件开放、有条件开放和禁止开放三类。例如，《浙江省公共数据条例》第27条明确规定，“公共数据按照开放属性分为无条件开放、受限开放和禁止开放数据”，并在第30条明确了禁止开放类公共数据、受限开放类公共数据和无条件开放类公共数据的具体类型。其中，受限开放类公共数据与无条件开放类公共数据之间并非以数据所承载的信息内容为标准进行区分，而是根据获取主体的资格来予以区分，即受限开放类公共数据的获取主体“应当具备相应的数据存储、处理和安全保护能力，并符合申请时信用档案中无因违反本条例规定记入的不良信息等要求”，并由有权机关公布具体的条件。与此同时，《数据二十条》（四）部分也提出“依法依规予以保密的公共数据不予开放，严格管控未依法依规公开的原始公共数据直接进入市场”。在企业数据上，《数据二十条》亦明确提出只有“不涉及个人信息和公共利益的数据”，市场主体才享有“持有、使用、获取收益的权益”。由此可知，无论是公共数据还是企业数据，均存在不得上市流通的数据，亦即在数据资源内部存在着可上市流通的数据和不可上市流通的数据两类。此种分类亦符合罗马法上可有物（可交易物）与不可有物（不可交易物）的分类。彭梵得认为，私法上的物首先“应当区分易产生法律关系的物（财产物，或罗马法学者常说的交易物）和不易产生法律关系的物（非交易物）”，而只有可交易物或可有物才能作为民事权利客体。因此，数据资源持有权作为数据产权类型之一，其客体只能是可用于市场流通的数据资源，即可流通数据资源。

（二）数据资源持有权的主体

数据资源持有权的主体指的是基于对数据资源的事实控制而享有权利、承担义务的人。数据资源持有权的取得主要来源于主体的数据生产行为（数据采集、收集等）。数据生产行为属于事实行为，而非法律行为，只要自然人、法人和非法人组织以自己的数据生产行为取得对数据资源的持有和管控，便可以基于数据生产者的身份依法取得数据资源持有权。因此，数据资源持有权的主体应是为合法、安全地生产和控制数据付出了劳动和其他成本，并对数据利用的目的和方式具有决定性作用的自然人、法人和非法人组织。

尽管当前学界尚未对数据资源持有权的主体问题展开深入讨论，但在主体的构成要件上已经达成了基本一致，即数据产权的主体应当是具有资金和技术条件，并能够保障数据处理活动安全的人。但在范围上是否仅包括市场主体，还是任何自然人、法人或非法人组织乃至国家均可作为数据资源持有权的主体仍存在不同的认识。例如，有学者认为，数据财产权的权利主体是指在数据处理活动中自主决定处理目的、处理方式的自然人、法人和非法人组织，但不包括国家。a 但也有观点认为，数据的归属主体应当是“那些投入资本并在从无到有产出数据或者依一定目的、用途对他处数据加以收集、整理、加工过程中起决策作用的市场主体”。

数据作为客观事物的数字化表达，应当作为任何人可自由获取和利用的资源，这也是开放共享等数字社会基本理念所要求的。但是，数据不仅自身存在巨大的安全风险，而且对数据资源的加工、处理和利用均需要仰仗数字技术的支撑，由此决定了并非所有人均有能力或有实力对数据予以加工处理。即使是有能力或有条件取得数据并使用，但其取得或使用数据的行为若因违法而不具有合法性，则无法取得合法的数据资源持有权，也就无法通过登记程序被登记为数据资源持有权的权利主体。因此，基于数据资源本身的技术依赖性以及在流通使用过程中的安全风险，应当对数据资源持有权的主体资格进行严格限制，即只有符合法律规定条件的主体才享有数据资源持有权。

据此，应当在资格条件上对数据资源持有权的主体进行限定。凡符合法律法规规定的资格准入条件的主体，可取得数据资源持有权；若不符合，则即使实际持有数据资源，也不能据此取得数据资源权人的身份。在条件设定上，可采取负面清单的方式，明确规定不符合数据资源持有权主体资格的情形。例如，可根据数据安全保障义务的程度、资金和技术水平、应用目的和场景等因素来界分不同主体取得数据资源持有权的资格或条件。同时，由于数据资源的生产和流通利用出于动态变化过程，主体资格条件亦会随之变动，故应当构建数据资源持有权主体失权制度，在数据资源持有主体不符合法律法规规定的主体资格条件时，强制性剥夺其数据资源持有权人的身份。

就自然人能否作为数据资源持有权的主体而言，应当区分不同的情况予以认定。首先，若自然人收集和利用数据的目的仅为个人或家庭事务，则因其目的非经济性而不能作为数据资源持有权的主体。其次，若自然人出于经济目的而收集和利用数据，对数据有财产利益期待，则需进一步考量其是否具备数据处理的基本技术条件，包括收集条件、存储条件、安全保障条件等。只有具备法定的数据处理技术条件，才具备实际控制和利用数据资源的能力，也才能依据其对数据资源的持有和控制而获得法律承认。在此基础上，自然人主体持有和控制数据的事实状态还必须符合法律法规规定的条件，包括数据来源合法、数据内容合法等。在符合上述条件时，自然人主体方能成为数据资源持有权的主体，进而通过数据登记制度予以公示。

就国家能否作为数据资源持有权的主体，亦应区分不同情况。首先，在数据流通交易的情形下，国家可作为民事主体，通过数据资源的交易受让数据资源持有权。此时，国家与其他市场主体一样，均属于平等的民事主体，其获取数据资源持有权的性质是通过他人转让数据资源持有权而继受取得。其次，在非数据流通的情形下，即国家作为数据生产者初始性地生产数据时，其所生产的主要是公共管理和服务机构在履行职责或提供服务过程中收集和产生的公共数据。此时，应承认国家基于事实控制而享有数据资源持有权，并可通过开放共享、授权运营等方式实现公共数据资源的市场化、社会化流通利用。国家作为公共数据资源持有权的主体，不仅有利于激励机关法人、事业单位法人积极对外开放所持有的公共数据资源，实现公共数据开放利用的目标，还有利于建构统一的公共数据与企业数据流通和使用法律规则，充分保障各类主体访问获取和使用各类数据资源的平等机会。同时，在我国社会主义市场经济体制之下，赋予国家以数据资源持有权人主体地位，还能更好地发挥我国政府与市场在数字经济创新发展中的地位与角色，统筹协调数据资源的公共性与私益性，建立公有制下实现数据市场化流通利用的数据产权制度。

（三）数据资源持有权的内容

1. 持有权。数据资源持有权的内容是数据持有者享有的全部数据权益，是数据资源持有权的核心。由数据资源持有权功能及其性质所决定，数据资源持有权的首要内容便是对数据资源的持有，即借助数字技术对生产的数据予以持有的权利。数据资源的持有是数据资源持有权得以产生和行使的基础，没有对数据资源的持有，便不存在产生数据资源持有权的基础。作为数据资源持有权内容（权能）之一的持有权，与作为权利本身的数据资源持有权是存在区别的。持有权能意在表明特定范围和种类的数据资源被主体的实际控制状态，亦是包括数据资源持有权在内的任何类型数据产权得以存在和实现的前提。确立数据资源持有权的持有权能，实际上乃是赋予数据资源持有权以合法性基础，进而可基于合法持有状态而排除他人未经其许可或同意而访问、复制、篡改、破坏或删除数据资源的权利。基于持有权能，数据资源持有权人还可以在自身对数据资源持有状态被他人破坏或消灭时，有权请求他人恢复其对数据资源的圆满持有状态，包括恢复数据的原有内容、格式或存储载体，修复或提供为保持持有状态而使用的技术措施等，并可在有损失的情况下请求侵害人赔偿损失。

2. 管理权。所谓管理权能，是指数据资源持有权人通过数据管理行为来实现自身对数据资源的管控力，具体包括数据资源的质量管理、共享管理和安全管理。质量管理是指数据资源持有权人在数据资源生产过程中通过采取适当的措施确保数据的准确性、可用性、完整性和失效性，并通过定期检查数据质量的机制来纠正数据错误，进而为数据流通利用供给高质量的数据资源。共享管理是指数据资源持有权人为实现在其组织内部（包括企业内部、公共机构内部）的数据共享，而在共享数据归集、数据分级分类后采取目录式管理、动态化更新和失效后召回等措施保障数据共享的实现。安全管理则是指数据资源持有权人应当采取必要的技术措施和管理手段，保障自身控制和管理的数据资源的安全风险可控。需要明确的是，此处的“管理”并未公法意义上的行政管理，而仅指私主体对自身所持有数据资源的状态和价值进行的自主管理。因此，此处的管理指向的乃是私法上财产权的权能，目的在于通过管理权的行使来实现财产权人保护自主权益的功能。

3. 使用权。数据资源的使用是数据资源持有权最核心的内容。数据作为生产要素，其功用的发挥取决于对其的使用。数据资源的使用可分为两类：一类是数据资源持有人对数据资源的自主使用；另一类则是数据资源持有权人通过授权或许可等约定方式将其所持有的数据资源全部或部分转让给他人使用。基于数据资源可交易与不可交易的区分，数据资源持有权人通过约定方式使用数据资源的客体应限定在可交易数据资源之上，即对数据进行匿名化处理使之不涉及个人信息和公共利益。这也符合《数据二十条》所明确强调的“审慎对待原始数据的流转交易行为”“严格管控未依法依规公开的原始公共数据直接进入市场”。

4. 取回权。基于数据资源持有权的利用终止功能，数据资源持有权人还应当享有数据资源取回权。所谓取回权，是指在发生约定或法定的事由时，数据资源持有权人可取回他人控制的数据资源，终结他人对数据资源的使用。取回权得以产生和行使的条件应当包括：数据资源使用人违反合同约定或法律规定的目的和方式使用数据；数据资源使用人滥用数据资源侵害他人合法权益或社会公共利益；数据资源使用人未履行或未适当履行数据安全保障义务致使数据资源安全风险发生或可能发生；作为数据资源使用人的企业合并、分立、解散或宣告破产而无权继续使用数据资源；等等。数据资源持有权人行使取回权的法律后果是数据资源使用人永久性丧失持有和使用数据资源的合法性基础。即使通过技术难以完全销毁或可能复原，但从法律上评价，该主体若继续使用已被取回的数据资源，不仅不具有合法性基础，还将构成对数据资源持有权人合法权益的侵害，应当承担法律责任。

5. 收益权。数据资源持有权的收益权是指数据资源持有权人有权基于对数据资源生产和流通的价值贡献而获取相应收益的权利。对此，《数据二十条》在第（七）“建立健全数据要素各参与方合法权益保护制度”中明确提出，要“充分保障数据处理者使用数据和获得收益的权利”，并将“建立体现效率、促进公平的数据要素收益分配制度”作为数据基础制度四大重点制度之一予以全面规定。在收益权构建上，应当注重企业数据和公共数据各自在收益取得和分配目的与方式上的差异。对于企业数据而言，应当按照“谁投入、谁贡献、谁受益”的原则，倾斜保护数据资源生产者对数据资源的收益，从而强化其对数据价值创造和实现的经济激励。对于公共数据而言，则应当合理限制公共数据资源持有权人的收益权能，防止其提高数据资源的交易价格而与民争利，损及公共数据资源的公益目的。同时，应通过构建公共数据资源开放收益合理分享机制，确保公共数据资源收益“取之于民、用之于民”。

四、结语

数字时代的法律议题伴随技术的发展而不断变化，具有动态发展性。因此，应对数字时代的法律变革，尤其是数据产权问题，应采取问题导向式的功能主义进路，面向数据产权建构所欲实现的目的和所遭遇的困境展开理论分析与制度构建。从《数据二十条》的政策意旨来看，数据产权“三权分置”应当是在平衡数据来源者、数据持有者和数据使用者之间围绕数据价值创造所生之利益期待和诉求基础上展开构建。其中，数据持有权作为沟通和联系数据来源者和数据使用者的权利，在数据产权“三权分置”中居于枢纽地位。

围绕数据资源持有权的枢纽地位，笔者认为，数据资源持有权的法律功能包括客体转化、合法确立、目的规制和利用终止四项。由于具备上述四项功能，决定了数据资源持有权应当是一项独立的主观权利，在性质上属于归属性产权。数据资源持有权人可基于持有权、管理权、使用权、收益权和取回权等各项权能行使数据资源持有权。当然，在动态变化的数据要素市场化实践中，包括数据资源持有权在内的数据产权仍需在不断的实践中形成稳固成熟的模式，并经由理论的完善方可最终完成法律表达。就此而言，本文仅是对数据资源持有权法律表达所作的初步理论探索，其中所面临的更为细致和深入的问题仍需在实践和理论的齐头并进中得到进一步发展与跃升。

往期目录

关于本刊

《上海政法学院学报》创刊于1986年，原名《法治论丛》（2003年更名为《上海政法学院学报》）。《上海政法学院学报》是我国最早以“法治”命名的法学专业学术期刊之一。

我们立足一流期刊建设目标，坚持 “高质量”“特色化”“专题化”办刊思路，在法学期刊建设上努力探索，学术影响力稳步提升。据中国知网年报显示，《上海政法学院学报》（法治论丛）“复合影响因子”从2022年的3.19提高到2023年的5.26，“综合影响因子”从2022年的1.50提高到2023年的2.97，CI指数排名也从2022年的第33位提升到2023年的30位。此外，据中南财经政法大学2023年信息检索报告统计，《上海政法学院学报》共有42篇次（2022年31篇次）被《新华文摘》《中国社会科学文摘》《高等学校文科学术文摘》《社会科学文摘》和“人大复印资料”等二次文献全文转载或论点摘编，在全国法律类院校学报排名第4位（2022年排第7位）。

我们以“问题意识”为导向，以做好选题策划为根本，在持续推进“党内法规”“数字经济法治”“国家安全法治”等特色栏目建设的基础上，继续追踪学术前沿热点，新增设了“新兴权利法律问题研究”“经典译介”和“初创学者佳作”等专栏。2024年，本刊将新开设“交叉学科研究”“涉外法治研究”专栏及“民法典合同编解释”“新公司法解读”专题，持续对相关领域重大问题进行深入探讨。

我们将以开放姿态拥抱新技术。全面升级网站建设，完善投审稿系统，实现全流程数字化出版；提升微信公众号运营策略，同步推出作者音频视频解读，开通视频号；积极完善网络首发，同步上传作者音频视频，增强学术出版。

我们诚挚地欢迎广大海内外科研工作者关注和支持上政学报并惠赐大作，也欢迎各界朋友积极建言献策、批评指正，以期共同办好《上海政法学院学报》（法治论丛）。来稿请通过《上海政法学院学报》编辑部网站(http://www.shupl.edu.cn/xbbjb/)投审稿系统进行投稿。本刊对来稿严格遵守三审（二审外审）定稿制度，以确保稿件选用公开公平公正。

编辑：汤仙月

审核：康敬奎

以法为基，寻社会治理之策

○

以文为器，求兴国安邦之道

投稿邮箱：xuebao@shupl.edu.cn

微信公众号：law-review1986

网址：http://www.shupl.edu.cn/html/xbbjb

电话：021-39227617 39227619

更多内容请点击下方“阅读原文”进入学报官网查看

上海政法学院学报

law-review1986,汇稿件信息、法学快报、学术资讯等内容，聚纸媒、网媒、活动与服务四位一体，贴近读者、作者、专家的信息需求，做一个有耐心、有速度、有品格、可持续的法学期刊公众号。

上政学报 | 王 年：数据资源持有权的法律功能与规范构造

上政学报 | 王年：数据资源持有权的法律功能与规范构造