數(shù)據(jù)以內(nèi)容產(chǎn)生的不同，可以分為原生數(shù)據(jù)和衍生數(shù)據(jù)；站在數(shù)據(jù)場景的角度，與數(shù)據(jù)有關(guān)的主體又可以分為數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)處理者。在具體的商業(yè)場景中，由于數(shù)據(jù)采集者、處理者、運(yùn)營者、交易者等多個主體混雜在各個交易流程中，背后隱藏著多種商業(yè)訴求，很容易發(fā)生爭議。本文結(jié)合實踐經(jīng)驗，淺析不同主體對數(shù)據(jù)享有的權(quán)益及各主體間的數(shù)據(jù)權(quán)益邊界，為企業(yè)提供些許數(shù)據(jù)合規(guī)參考。

一、中國現(xiàn)有法律法規(guī)、規(guī)范對數(shù)據(jù)權(quán)益的規(guī)定

從以上表格可以看出，現(xiàn)有的針對數(shù)據(jù)權(quán)益歸屬的規(guī)定，散見于多部法律及規(guī)范性文件中，在法律層面，以指導(dǎo)性為主，或針對某一行為進(jìn)行規(guī)制，缺少更為細(xì)化或完整的法律體系。這意味著，在數(shù)據(jù)權(quán)益的劃分上，針對除個人敏感信息、國家安全信息等特殊數(shù)據(jù)以外的其他數(shù)據(jù)，商業(yè)合作者之間有非常大的空間，通過條款約定來設(shè)定數(shù)據(jù)權(quán)益邊界，劃分?jǐn)?shù)據(jù)權(quán)益的歸屬。 

二、案例辨析

通過對現(xiàn)有法律、法規(guī)、規(guī)范和近幾年司法實務(wù)中的案例進(jìn)行分析和梳理，可以看到，《民法典》對個人信息和隱私權(quán)賦予了人格權(quán)屬；《數(shù)據(jù)安全法》對數(shù)據(jù)權(quán)益進(jìn)行了原則性規(guī)定，但并未明確數(shù)據(jù)的權(quán)益屬性；僅有《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》直接賦予了數(shù)據(jù)產(chǎn)品和服務(wù)以財產(chǎn)性權(quán)益；而《禁止網(wǎng)絡(luò)不正當(dāng)競爭行為規(guī)定》（征求意見稿）和《反不正當(dāng)競爭法司法解釋》（征求意見稿）則是以法律為企業(yè)對合法擁有的數(shù)據(jù)提供法律保護(hù)的規(guī)定，側(cè)面肯定了企業(yè)享有數(shù)據(jù)權(quán)益。

而通過對近幾年司法實務(wù)中的案例梳理，可以看到，數(shù)據(jù)權(quán)益糾紛主要發(fā)生主體為企業(yè)和企業(yè)之間、個人和企業(yè)之間；企業(yè)和企業(yè)之間的數(shù)據(jù)權(quán)益糾紛可概括為數(shù)據(jù)抓取糾紛、數(shù)據(jù)占有糾紛和數(shù)據(jù)產(chǎn)品權(quán)益糾紛，其案由主要為不正當(dāng)競爭糾紛；個人和企業(yè)之間的糾紛可概括為隱私權(quán)糾紛、違規(guī)收集個人信息糾紛等，其案由主要為侵權(quán)責(zé)任糾紛。

此外，司法裁判并未明確企業(yè)主體或個人主體對數(shù)據(jù)的財產(chǎn)歸屬，而是以企業(yè)或個人主體對原生數(shù)據(jù)和衍生數(shù)據(jù)享有競爭性利益、人格利益、財產(chǎn)性權(quán)益等進(jìn)行保護(hù)。具體而言，有以下幾種情況：（1）經(jīng)用戶授權(quán)而收集并進(jìn)行商業(yè)利用的數(shù)據(jù)可以為該企業(yè)創(chuàng)造經(jīng)濟(jì)效益，是企業(yè)重要且受法律保護(hù)的商業(yè)資源；（2）企業(yè)對記錄網(wǎng)絡(luò)用戶信息的原始網(wǎng)絡(luò)數(shù)據(jù)只能依雙方約定享有使用權(quán)，但企業(yè)大數(shù)據(jù)產(chǎn)品的數(shù)據(jù)內(nèi)容是經(jīng)過網(wǎng)絡(luò)運(yùn)營者的分析過濾、提煉整合等大量勞動投入和匿名化處理的結(jié)果，企業(yè)對此享有獨(dú)立于用戶的財產(chǎn)性權(quán)益；（3）經(jīng)企業(yè)收集、加工、分析、編輯、整合的數(shù)據(jù)具有實用性并能夠為權(quán)利人帶來經(jīng)濟(jì)利益，企業(yè)對此享有財產(chǎn)性權(quán)益；（4）企業(yè)對數(shù)據(jù)產(chǎn)品付出了人力、物力、財力，經(jīng)過長期經(jīng)營積累而形成，企業(yè)對數(shù)據(jù)產(chǎn)品享有競爭性財產(chǎn)權(quán)益。

三、衍生數(shù)據(jù)的權(quán)益邊界

（一）與衍生數(shù)據(jù)有關(guān)的幾類特殊商業(yè)主體

1、平臺經(jīng)營者

《電子商務(wù)法》將電子商務(wù)經(jīng)營者分為三類，包括電子商務(wù)平臺經(jīng)營者、平臺內(nèi)經(jīng)營者以及通過自建網(wǎng)站、其他網(wǎng)絡(luò)服務(wù)銷售商品或者提供服務(wù)的電子商務(wù)經(jīng)營者。電子商務(wù)平臺經(jīng)營者，是指“在電子商務(wù)中為交易雙方或者多方提供網(wǎng)絡(luò)經(jīng)營場所、交易撮合、信息發(fā)布等服務(wù)，供交易雙方或者多方獨(dú)立開展交易活動的法人或者非法人組織”，簡而言之，就是搭建平臺、吸引商家和客戶在平臺上完成交易或商業(yè)信息流通的“莊家”。

平臺經(jīng)營者同時觸碰交易各方的原生數(shù)據(jù)，同時，在各方交易過程中有條件通過數(shù)據(jù)訓(xùn)練算法、建立模型，形成銷售戰(zhàn)略、市場分析等衍生數(shù)據(jù)，在數(shù)據(jù)生態(tài)鏈中處于優(yōu)勢地位。很多平臺經(jīng)營者在平臺成熟以后，把商業(yè)賦能的相關(guān)業(yè)務(wù)作為另一塊核心主業(yè)進(jìn)行拓展，這與平臺經(jīng)營者在商業(yè)模式上的天然優(yōu)勢是有直接關(guān)系的。

2、外包服務(wù)商

在電子商務(wù)的生態(tài)中，外包服務(wù)商是一個重要的群體，他們在市場拓展、平臺搭建、信息處理等方面擁有技術(shù)研發(fā)和服務(wù)能力，能夠為電子商務(wù)經(jīng)營者提供支持。外包服務(wù)商在提供服務(wù)的過程中，一定會觸碰到電子商務(wù)經(jīng)營者的數(shù)據(jù)，并開展數(shù)據(jù)處理的相關(guān)活動。外包服務(wù)商不是原生數(shù)據(jù)的權(quán)益人，但在提供外包服務(wù)的過程中，會形成衍生數(shù)據(jù)。這里面產(chǎn)生了兩個問題：第一，如何界定衍生數(shù)據(jù)在原生數(shù)據(jù)擁有者與外包服務(wù)商之間的權(quán)益邊界和歸屬，第二，如何防止外包服務(wù)商超過合法性、正當(dāng)性和必要性采集和使用原生數(shù)據(jù)。針對這兩個問題，各方可以結(jié)合各自商業(yè)訴求和合同地位，在博弈的過程中，通過協(xié)議的約定來明確各自的權(quán)責(zé)義務(wù)。

3、數(shù)據(jù)供應(yīng)商

企業(yè)為了實現(xiàn)商業(yè)目的，除了聘請外包服務(wù)商提供專業(yè)技術(shù)支持以外，還會向數(shù)據(jù)供應(yīng)商購買數(shù)據(jù)。數(shù)據(jù)供應(yīng)商的數(shù)據(jù)來源比較復(fù)雜，其中包含平臺經(jīng)營者等自身掌握海量數(shù)據(jù)的原始權(quán)益人，也有通過爬蟲技術(shù)從多個平臺采集數(shù)據(jù)再進(jìn)行整合轉(zhuǎn)售的淘金者。在現(xiàn)有法律框架下，對于數(shù)據(jù)供應(yīng)商的資質(zhì)許可和行業(yè)規(guī)范沒有具體規(guī)定，市場處于魚龍混雜的狀態(tài)，基于數(shù)據(jù)流通的去標(biāo)識化和匿名化的處理原則，購買者無法對購買的數(shù)據(jù)進(jìn)行溯源，如果數(shù)據(jù)供應(yīng)商提供的數(shù)據(jù)來自于不合法或有瑕疵的渠道，而雙方又未在合同中對此進(jìn)行約定，則購買者可能因未盡到審查義務(wù)，而產(chǎn)生因選擇數(shù)據(jù)供應(yīng)商不當(dāng)而被追訴數(shù)據(jù)侵權(quán)責(zé)任的風(fēng)險。

（二）衍生數(shù)據(jù)的權(quán)益邊界探究

1、關(guān)于數(shù)據(jù)來源

衍生數(shù)據(jù)的產(chǎn)生，依賴于原生數(shù)據(jù)，源頭的清潔是衍生數(shù)據(jù)權(quán)益合法性的前提和基礎(chǔ)。以提供算法的外包服務(wù)商為例，在算法研究和測試過程中，會涉及個人信息和數(shù)據(jù)的采集和運(yùn)用，如何保障數(shù)據(jù)來源的合法合規(guī)性，是非常重要的一個核心問題。常見的數(shù)據(jù)采集方式，主要包括委托第三方供應(yīng)商（受托方）采集和自行采集兩種。針對第一種，委托方需要針對供應(yīng)商數(shù)據(jù)來源的合法合規(guī)性提出明確要求，包括要求供應(yīng)商提供與被采集方之間簽訂的授權(quán)文件等，以確保供應(yīng)商就所采集數(shù)據(jù)獲得被采集方的有效授權(quán)。授權(quán)文件應(yīng)當(dāng)明確被采集信息的使用目的、方式、范圍及被授權(quán)人/數(shù)據(jù)使用方情況等內(nèi)容，并獲得被采集人的明示同意。此外，委托方也可以通過在與供應(yīng)商的委托采集協(xié)議中設(shè)定供應(yīng)商承諾和委托方免責(zé)條款，由供應(yīng)商保證數(shù)據(jù)來源的合法合規(guī)性，并承擔(dān)數(shù)據(jù)違規(guī)時的法律責(zé)任。

有一些從事數(shù)據(jù)算法研究的企業(yè)，會使用本企業(yè)員工的生物信息，用于驗證算法精度和效果，這種做法在一定程度上能夠降低授權(quán)的成本和數(shù)據(jù)合規(guī)風(fēng)險。但，即使針對本企業(yè)員工，必要的授權(quán)文件仍然需要，書面明確告知個人信息收集、 使用的目的、方式和范圍，經(jīng)被采集人同意后進(jìn)行采集，并按照被采集人授權(quán)個人信息的使用目的、方式和范圍進(jìn)行使用和處理，這是針對個人信息處理的底線原則。

除此之外，涉及到個人信息收集，脫敏處理也是一個重要的合規(guī)保障。通過制定編號規(guī)則、以編號代替?zhèn)€人標(biāo)識，針對住址等敏感屬性信息進(jìn)行省略或簡化處理等方式去除個性化特征，并在后續(xù)傳送和保存的過程中采用加密機(jī)制，都可以有效降低數(shù)據(jù)來源層面的合規(guī)風(fēng)險。

以下是曠視科技在其補(bǔ)充法律意見書中，針對發(fā)審委關(guān)于數(shù)據(jù)合規(guī)的問詢，以業(yè)務(wù)場景作為切入點(diǎn)的回復(fù)表格，可以參考：

2、關(guān)于數(shù)據(jù)歸屬

在數(shù)據(jù)歸屬層面，有些數(shù)據(jù)處理企業(yè)的商業(yè)模式是“來料加工”型，通過接受數(shù)據(jù)主體的委托，針對數(shù)據(jù)主體的具體商業(yè)場景進(jìn)行數(shù)據(jù)采集和處理，并向數(shù)據(jù)主體交付成果。在這種服務(wù)模式下，數(shù)據(jù)處理企業(yè)不存在超出定向服務(wù)目的而使用衍生數(shù)據(jù)的需求，一般會在雙方的委托協(xié)議中把衍生數(shù)據(jù)的所有權(quán)歸屬于數(shù)據(jù)主體。這樣的方式可以降低數(shù)據(jù)處理企業(yè)在數(shù)據(jù)合規(guī)上的成本，既然對數(shù)據(jù)權(quán)益沒有訴求，也就不需要額外承擔(dān)數(shù)據(jù)合規(guī)的風(fēng)險。

但，對于多數(shù)以數(shù)據(jù)處理為主營業(yè)務(wù)的企業(yè)，在衍生數(shù)據(jù)的權(quán)益歸屬上是有商業(yè)訴求的，通過協(xié)議來設(shè)定權(quán)益邊界，是獲取衍生數(shù)據(jù)權(quán)益的最直接手段。針對數(shù)據(jù)采集對象，通過事前告知被采集人或其監(jiān)護(hù)人采集內(nèi)容以及采集目的、方式等規(guī)則，征得被采集人或其監(jiān)護(hù)人同意后，由被采集人按發(fā)行人具體要求主動提供，在被采集人或其監(jiān)護(hù)人授權(quán)許可范圍內(nèi)，采集的業(yè)務(wù)數(shù)據(jù)的知識產(chǎn)權(quán)和由此研發(fā)的產(chǎn)品歸屬采集人，能夠?qū)崿F(xiàn)采集人對于衍生數(shù)據(jù)的所有權(quán)益。類似的設(shè)置，在外包服務(wù)商與委托方、數(shù)據(jù)采購方與數(shù)據(jù)供應(yīng)商等法律關(guān)系中同樣適用，落實到具體的數(shù)據(jù)權(quán)益歸屬，最終取決于各方的行業(yè)地位、市場優(yōu)勢和價值取向，這種通過約定方式劃定數(shù)據(jù)邊界的方式，在現(xiàn)有法律框架下并非強(qiáng)制。

3、關(guān)于數(shù)據(jù)共享

有一些集團(tuán)型的巨無霸企業(yè)，會成立專門的數(shù)據(jù)處理企業(yè)來開展細(xì)分領(lǐng)域的業(yè)務(wù)，甚至具備了上市的條件，此時對于數(shù)據(jù)是否在關(guān)聯(lián)企業(yè)間存在共享的質(zhì)疑，將成為這類企業(yè)數(shù)據(jù)合規(guī)的一個非常大的挑戰(zhàn)。從已有的上市問詢（如京東科技和螞蟻金服等）來看，針對數(shù)據(jù)池的分享問題，是監(jiān)管部門關(guān)注的一個重點(diǎn)。數(shù)據(jù)池的數(shù)據(jù)組成，包含了原生數(shù)據(jù)和衍生數(shù)據(jù)，涉及到衍生數(shù)據(jù)的共享，在完成去標(biāo)識化等脫敏處理后，通過協(xié)議約定是能夠最大限度實現(xiàn)數(shù)據(jù)分享的合規(guī)要求的。但，涉及到數(shù)據(jù)池中的原生數(shù)據(jù)，則需要建立隔離制度，否則會影響到衍生數(shù)據(jù)的合法性。需要在數(shù)據(jù)源頭、即原生數(shù)據(jù)上設(shè)置隔離。一方面，關(guān)聯(lián)企業(yè)需要各自建立彼此獨(dú)立的數(shù)據(jù)平臺，在數(shù)據(jù)采集、處理、存儲等環(huán)節(jié)均進(jìn)行獨(dú)立操作，避免發(fā)生交集和混同，在數(shù)據(jù)邊界上劃分清楚；另一方面，關(guān)聯(lián)企業(yè)之間、以及關(guān)聯(lián)企業(yè)與各自的用戶之間，需要進(jìn)行整體統(tǒng)籌的數(shù)據(jù)安排，關(guān)聯(lián)企業(yè)通過簽署合作協(xié)議，遵守各自的數(shù)據(jù)使用和管理相關(guān)制度，同時在進(jìn)行數(shù)據(jù)共享時需要符合各自與數(shù)據(jù)主體的約定，不存在侵害數(shù)據(jù)主體合法利益的情況。 

四、強(qiáng)監(jiān)管態(tài)勢下企業(yè)數(shù)據(jù)合規(guī)建議

筆者認(rèn)為，從立法趨勢和司法案例來看，在未來相當(dāng)長的一段時間內(nèi)，數(shù)據(jù)所有權(quán)的定義都將處于現(xiàn)在這樣一種狀態(tài)，立法可能不會界定數(shù)據(jù)的絕對權(quán)利及其歸屬，更有可能是從競爭法、知識產(chǎn)權(quán)法的層面來對數(shù)據(jù)使用者或控制者進(jìn)行相關(guān)保護(hù)。由此，對于企業(yè)數(shù)據(jù)合規(guī)，筆者提出以下建議：

第一，設(shè)置適合企業(yè)技術(shù)特征、市場定位的商業(yè)模式。企業(yè)處于數(shù)據(jù)流通的不同環(huán)節(jié)，合規(guī)成本和風(fēng)險側(cè)重點(diǎn)是不同的，由此配置的數(shù)據(jù)合規(guī)文件也會有所不同。企業(yè)需要在推出產(chǎn)品以前，即對數(shù)據(jù)合規(guī)問題進(jìn)行預(yù)先評估，否則在商業(yè)模式成熟、市場客戶穩(wěn)定以后如果再進(jìn)行數(shù)據(jù)合規(guī)的整改，不僅成本高昂，企業(yè)也可能因為合規(guī)的缺陷直接喪失持續(xù)經(jīng)營能力，為時晚矣。

第二，企業(yè)收集、使用數(shù)據(jù)應(yīng)獲得用戶的授權(quán)。合法獲得用戶授權(quán)收集的數(shù)據(jù)是企業(yè)合法享有原生數(shù)據(jù)資源、衍生數(shù)據(jù)和數(shù)據(jù)產(chǎn)品等數(shù)據(jù)權(quán)益的基礎(chǔ)，無論是《民法典》《個人信息保護(hù)法》還是尚處于征求意見中的《禁止網(wǎng)絡(luò)不正當(dāng)競爭行為規(guī)定》（征求意見稿）和《反不正當(dāng)競爭法司法解釋》（征求意見稿），都強(qiáng)調(diào)了獲得用戶授權(quán)在數(shù)據(jù)全生命周期管理中的重要性。

第三，企業(yè)抓取第三方開放數(shù)據(jù)應(yīng)注意用戶授權(quán)、平臺授權(quán)，應(yīng)審慎考慮是否與其存在競爭關(guān)系并遵循“最少、必要”原則，不應(yīng)超過必要限度，不應(yīng)對競爭秩序造成破壞。

第四，企業(yè)使用公共數(shù)據(jù)應(yīng)避免對原生數(shù)據(jù)主體的名譽(yù)或商譽(yù)等合法權(quán)益造成損害。

第五，以數(shù)據(jù)為核心競爭力的企業(yè)，應(yīng)當(dāng)注重內(nèi)部數(shù)據(jù)合規(guī)體系的建設(shè)，對數(shù)據(jù)進(jìn)行分級管理，針對不同的崗位和職級設(shè)置數(shù)據(jù)權(quán)限，對于業(yè)務(wù)數(shù)據(jù)的調(diào)取形成可追溯的流程化管理，針對數(shù)據(jù)供應(yīng)商、外包服務(wù)商等商業(yè)合作伙伴，建立白名單和準(zhǔn)入制度，在業(yè)務(wù)合同中設(shè)置數(shù)據(jù)保護(hù)條款，通過全方位立體的保障性措施，最大限度維護(hù)企業(yè)數(shù)據(jù)的安全性。

數(shù)據(jù)的流動性和商業(yè)屬性，讓數(shù)據(jù)成為一種新型財富，在競爭與合作的過程中，如何劃分?jǐn)?shù)據(jù)權(quán)益的邊界、如何確定數(shù)據(jù)權(quán)益歸屬，是企業(yè)數(shù)據(jù)合規(guī)的一個基礎(chǔ)性問題。企業(yè)需要及早布局，設(shè)置護(hù)城河和防火墻，通過商業(yè)模式設(shè)計、內(nèi)部制度建設(shè)、外部協(xié)議安排等多種方式，搶占數(shù)據(jù)高地，方能在大數(shù)據(jù)時代保持競爭優(yōu)勢，最大限度實現(xiàn)信息交互過程中的商業(yè)價值。 

[作者金代文、趙越來自北京煒衡（上海）律師事務(wù)所，本文選自江天驕、姚旭主編的《復(fù)旦-煒衡數(shù)據(jù)安全聯(lián)合報告》，課題組其他成員還有：王蕾、陸濱、金代文、 趙越等。該報告由復(fù)旦發(fā)展研究院開設(shè)的咨政實踐類課程研究成果轉(zhuǎn)化而來，調(diào)研過程中得到北京煒衡(上海)律師事務(wù)所的大力支持。復(fù)旦大學(xué)網(wǎng)絡(luò)空間國際治理研究基地主任、發(fā)展研究院教授沈逸與北京煒衡（上海）律師事務(wù)所高級合伙人顧靖擔(dān)任課題研究顧問。]