[主题研讨：数据权利前沿问题]时建中：数据分层确权的法理构造——基于流通效率与利益平衡的视角 |《环球法律评论》2025年第4期

如需转载本文，请在文末留言转载时烦请注明转自“《环球法律评论》公众号”字样

当前，数字经济已成为全球经济增长的核心引擎。数据作为新型生产要素，其市场化配置效率直接关系到数字经济的深化发展与国家竞争优势的构建。我国高度重视数据要素的基础性作用，《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（下称“数据二十条”）提出，要完善和规范数据流通规则，构建促进使用和流通、场内场外相结合的交易制度体系。然而，在政策加速布局的背景下，数据要素市场仍面临结构性矛盾，数据产存转化率低，数据产得出却难流通，看起来海量用起来却不多。关键原因在于数据流通环节中存在风险成本过高与数据流通收益较低的矛盾，这也进一步加剧了市场主体的信任缺失与参与动力不足。这一困境背后，折射出制度供给与市场需求的双重错配——数据产权制度的模糊性，其既无法为流通风险划定清晰的责任边界，亦难以通过收益分配机制激活市场信心，最终制约数据要素高效流通。

现行法律框架下，《数据安全法》和《个人信息保护法》等法律均侧重风险管控，但对数据权益的界定仍停留于“防御性保护”层面；“数据二十条”虽提出“三权分置”的改革方向，但却未解决权能边界模糊、主体利益失衡等根本问题。由此导致三重困境凸显：在供给侧，企业因确权缺失陷入“合规即自缚”的保守策略，个人数据供给意愿低迷；在流通端，权属争议推高交易成本，合规风险抑制市场活力；在利用端，产权链条断裂引发“低质量供给—低价值应用”的恶性循环。在此背景下，如何通过产权创新破解数据流通难题，实现“安全可控”与“价值释放”的兼容，成为政策设计与学术研究的共同关切。本文立足数据分层确权的法理构造，提出以主体、客体、内容与权利强度的四维解构为核心的新型框架，旨在为平衡数据保护与流通效率提供一种理论方向与实践参考，助力破解数据要素市场化进程中的现实难题。

（一）供给侧困境：数据要素高质量供给激励不足

在数字经济时代，数据要素的高质量供给是驱动产业升级和经济增长的核心动力。然而，我国数据要素市场仍面临显著的供给侧结构性矛盾。目前，全国数据要素供给端存在“三低一高”特征：企业数据资产化率低、公共数据开放率低、个人数据有效供给率低，数据要素沉淀率高。这一问题的本质源于数据产权制度的模糊性与非稳定性，导致数据要素持有者缺乏持续投入和优化数据质量的制度性保障。清晰的产权界定是要素市场化配置的前提，而当前数据要素供给侧的阻滞恰是产权制度缺位的现实投射。

企业对数据要素的生产性投入需要以稳定的产权预期为前提。现行法律体系对数据产权归属的模糊界定，导致企业在数据收集、存储、使用、加工、传输、提供、公开等环节的投入难以获得可预期的保障。其结果是企业倾向于采取数据囤积策略，通过构筑“数据围墙”来维系竞争优势，而非通过市场流通实现要素价值。“数据二十条”提出的“数据资源持有权”概念，正是试图破解这一困境的制度创新。但现行法律框架下，持有权的法律属性、权能内容及保护路径尚未明确，无法为企业数据资产化提供稳定的制度预期。当数据资源无法转化为受法律保护的客体时，企业在数据质量管理、合规治理等方面的投入必然趋于保守，直接制约供给侧数据要素的质量提升。

个人数据要素的有效供给面临法律逻辑与经济逻辑的冲突。从法律维度观察，《个人信息保护法》构建的“个人信息权益”本质上属于防御性人格权范畴，其制度设计侧重风险防范而非经济价值实现。从经济维度观察，个人作为数据来源主体，既缺乏对数据要素财产价值的控制权能，也难以分享数据流通产生的经济收益。这种产权配置的失衡导致个人在数据供给中呈现“理性冷漠”：当数据控制者需要扩大数据采集范围或提高数据精度时，个人缺乏主动配合的经济激励，往往选择最小化数据供给以降低隐私风险。

公共数据供给的制度性障碍，本质上是因客体的模糊性与权利结构的复杂性所衍生的系统性矛盾，其困境根源可归结为以下层面。一是公共数据的内涵与外延模糊。在地方立法实践中，公共数据这一概念依然存在相当程度的混乱。概念是制度生成的基础，概念的泛滥、缺失界定、逻辑关系混乱，带来的必然是制度建设的不协调。二是开放标准的制度性虚置。权利客体的混杂性必然引致开放标准失序。虽然《关于加快公共数据资源开发利用的意见》强调要明确公共数据开放的权责和范围，编制公布开放目录并动态更新。但目前由于上位法的缺失，各省公共数据开放条例缺乏细化的数据分级分类标准，导致开放尺度不一。三是管理权与所有权的制度混淆。“数据二十条”提出要“加强汇聚共享和开放开发，强化统筹授权使用和管理”，并未明确“管理”的法律属性。实践中，政府部门常将“数据管理权”异化为事实上的排他性控制权以及所有权。数据的所有权安排应由基本法律予以规定，数据的国家所有则是一个宪法问题。四是在权利客体模糊的制度环境下，政府开放数据时面临“越界处分第三方权益”和“安全风险泛化”的双重约束，必然倾向于将数据管理置于数据服务之上。

（二）流通端困境：数据开放与流通动力不足

数据要素的流通效率是衡量市场化配置水平的核心指标，然而当前我国数据流通领域普遍面临动力不足的困境。这一问题的本质在于产权制度缺位导致的市场机制失灵，具体表现为交易成本畸高、合规风险不可控以及市场机制断裂等系统性矛盾。

在交易成本方面，数据流通需以清晰的产权界定为前提，但现行制度下数据权属的模糊性迫使交易双方投入大量资源进行权属确认与风险防范。以企业数据交易为例，买方需额外验证数据来源合法性、加工过程合规性以及第三方权益无争议性，此类非生产性成本显著削弱流通意愿。更为本质的矛盾在于，数据资源的可复制性、非排他性和非竞争性使得传统“所有权转移”模式难以适配，而“数据二十条”提出的“三权分置”框架尚未形成可操作的交易规则。其结果是，市场主体不得不依赖复杂的合约条款（如使用范围、收益分成、侵权责任）来替代产权保障，导致交易成本呈指数级增长。

在合规风险控制方面，数据流通涉及多维度法律规范的交叉适用，产权制度缺位放大了法律冲突的负面效应。如《个人信息保护法》侧重人格权益保障，《数据安全法》偏重安全管控。此类法律竞合实质是数据产权客体未类型化的必然结果——当数据权益的法律属性（人格权、财产权、公共管理权）未被清晰界分时，市场主体在流通数据过程中必然陷入“合规即自缚”的困境。

在市场机制衔接方面，产权模糊必然导致产权登记与定价体系的双重失效。健全的产权制度需配套登记公示与价值评估机制，但当前实践暴露出两个结构性缺陷。一是登记制度形式化。数据产权登记虽在多地试点，但其法律效力仍停留于“初步证据”层面。登记机构仅进行形式审查，无法解决实质权属争议，导致登记证书的市场认可度低。二是数据资产估值体系缺失。数据价值高度依赖应用场景，不同场景下的数据价值显著不同。而且，现行资产评估标准难以适配数据资源的可复制、非排他和非竞争特性，产权的模糊进一步加剧了定价的复杂性。在实践层面，尽管“一地一所”的市场格局即将形成，但因数据基础交易规则的缺失，场内数据供给和需求明显存在不足。

（三）利用端困境：数据价值释放效率受限

数据要素的最终价值需通过实际应用场景实现，但产权制度的系统性缺失使得供给端与流通端的矛盾传导至利用端，形成“低质量供给—低效流通—低价值应用”的恶性循环。这一困境的本质是数据要素的产权链条断裂，导致其经济价值无法在应用环节充分释放。

产权制度的模糊会导致高价值数据需求与低效供给体系的结构性错配。这种错配会产生以下负面效应。第一，产权模糊导致供给端数据质量失控，迫使应用端技术开发陷入“垃圾输入—垃圾输出”的困境。产权明晰是资源优化配置的前提，而数据要素的权属模糊使得生产方缺乏投入质量改进的激励。当此类劣质数据流入应用端，技术开发者则被迫承担超额治理成本，如额外投入算力资源进行数据清洗。即便如此，仍然存在大量低质量数据拉低应用质量。此类“垃圾输入—垃圾输出”的传导链条，本质上是由产权制度缺位引发的市场机制失灵。第二，产权缺失会拉升数据获取与治理的制度性成本，挤压应用场景的有效投入。数据权属模糊迫使企业将资源投入非生产性环节，如数据交易过程中的合规成本。合规风险泛化催生防御性技术方案，如为规避权属争议部署联邦学习技术，加大非应用性投入。产权交易标准缺失，导致技术性适配成本高，例如企业需投入额外成本开发多个异构数据接口。此类制度性成本挤占本应用于算法优化、模型迭代的创新预算，形成“高合规投入—低技术产出”的扭曲配置格局。第三，产权制度缺位会导致市场结构失衡，导致中小企业无法获得基础数据资源，应用场景的多样性创新被抑制。头部企业通过排他性行为构筑“数据围墙”，形成非竞争性资源壁垒。这种垄断格局无疑会挤压中小企业的数据获取空间。当新进入者因数据壁垒无法挑战在位者时，市场将陷入“创新停滞—场景同质化”的低水平均衡，最终削弱数据要素的整体社会价值。

（一）数据确权的基本内涵

所谓数据权利本质上处理的是人和人之间的关系，或者说是人和人之间围绕数据产生的关系。数据确权就是法律对于社会关系主体之间围绕数据所产生的社会关系的一种制度安排，目的就是要通过数据权利来保护正当的数据利益。其实，数据确权之所以成为一个难题，是因为数据利益以及数据利益产生的机制非常复杂。数据确权之所以成为一个命题，是因为数据权利是数据法律制度的内核。

数据确权要区别数据权利（data rights）和数字权利（digital rights）。区别数据权利和数字权利，需要正确认识和处理信息与数据、数字与数据、数字化和数据化之间的差异和关系。数据是信息的载体，数字是传输信息的技术方式，在不同的智能终端之间，信息是被传输的对象，数据是传输的载体，数字是传输的形式。在传输的过程当中，信息、数据、数字三者虽然合一，但不是同一个事物，三者有各自的制度需求。应在把握技术规律、市场规律和法治规律的前提下，讨论研究对象及其权利的配置。不仅数字、数字化、数据化、信息和数据有很大的差别。而且，数据权利与数字权利也有非常大的区别。数字权利是人权（human rights）在数字时代的一种表达，数据权利是数据在要素化资源化过程当中的一种权利配置。

数据确权的核心在于通过权利配置平衡数据控制、流通与利用中的多元主体利益。这需在价值释放与权益保护间建立动态均衡。目前，对于如何进行数据权利配置，学界存在诸多观点。部分学者认为，数据权属不清会阻碍数据要素的流通和利用，提出了包括个人数据所有权、数据文件所有权、数据新型财产权、数据用益物权、数据知识产权、数据双重权益结构等多种确权方案。另一部分学者则持截然相反的观点，反对理由主要集中于以下几个方面：一是数据确权与数字经济的运行规律相悖；二是数据自身的特征难以使其成为权利的客体；三是确权无助于解决数据利用过程的争议；四是数据确权会阻碍数据的流通和利用；五是我国数据保护水平已经足够高，数据确权无实际意义；六是数据因其非竞争性与非排他性而具有公共物品属性。

（二）数据资源特性下所有权模式的悖论

厘清数据的基本属性是探究数据权利构造的前提与基础。“数据二十条”强调要“遵循发展规律，创新制度安排”。数据产权的构建必须要顺应数字经济的规律、数据的规律、技术的规律和法治的规律。

党的十九届四中全会指出要“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”。这表明，我国已经将数据视为一种全新的生产要素。将数据定义为生产要素，就意味着数据具有了资源属性。数据资源的特征主要表现为两个方面。从生产要素的视角来看，数据资源具有非排他性、可复制性、非竞争性与数字技术不可分离性的特征。具体来说，数据的价值不会随着它的使用而减少，随着深度挖掘和分析技术的飞速发展，数据通过重组、再利用、扩展使用等方式不断产生出新的价值，从而决定了数据资源的非竞争性。数据因其电子化的独有记录方式而区别于有体物，从而具有可复制性和非排他性，可以同时被多个主体进行控、处理和利用，而且互不妨碍。数据要素化的过程，就是数据的处理过程。数据要素赋能生产经营活动和数据处理均离不开数字技术。只有经过数字技术处理的数据，才有可能从信息载体转化为具有生产要素属性和经济价值的实际资源。从产权视角来看，数据资源具有稀缺性、可支配性和经济价值。数据的可复制性和非排他性虽然使数据在应然状态上并不稀缺，但在实然状态下，数据控制者可以通过技术手段等方式打造数据孤岛，人为制造稀缺性。数据虽不同于有体物，但是其以电子形式被储存在计算机等设备上，数据控制者可以通过这些设备对数据进行访问、处理、修改、删除等操作，在效果上已经产生了与实际占有相同的控制效果，因而具备可支配性。

作为资源载体，充分开发利用数据资源是制度构建的核心目标之一。只有将数据作为生产要素最大程度地融入到生产、分配、流通、消费等多个经济环节，才能发挥其对经济的驱动作用和赋能作用。所以，作为生产要素的数据只有更大范围、更大程度、更高质量、更高效率地开发和利用，才能够充分发挥我国海量数据规模和丰富应用场景优势，激活数据要素潜能。数据的真实价值就像漂浮在海洋中的冰山，绝大部分隐藏在表面之下。发掘数据的价值在于推动数据要素的共享、流通和利用，如何通过科学的制度安排来实现这一目标成为了目前学界争论的焦点。“数据二十条”强调，要“构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度”。制度的安排必须围绕数据的基本属性展开。数据资源的特征决定了以“绝对权”为核心的权利安排体系无疑是不科学的。传统所有权模式的刚性排他性设计与数据的非排他性、非竞争性、可复制性特征产生根本冲突。此种冲突主要表现为三个方面：一是传统所有权的制度效能建立在资源稀缺性与使用排他性基础上，而数据要素的非竞争性颠覆了这一逻辑前提，过分强调排他性无疑会限制数据资源的充分开发和价值释放；二是所有权制度依赖权利客体的稳定性，而数据的可复制性所导致的权利客体泛化和权属追溯困境瓦解了这一基础；三是所有权要求权能体系的完整性（占有、使用、收益、处分），而多主体可同步控制和处理同一数据且产生独立价值的情况，会导致权能无法闭合。因此，盲目配置所有权会导致“过度排他—流通阻碍”的制度困境。应当从淡化所有权、强调数据相关权利的角度出发完善权利安排。具体需以如何平衡数据之上多元主体的信息利益和如何使数据资源可以被更多主体合法持有、加工、利用的角度出发，探索出一条有利于数据资源更大范围、更大程度、更高质量、更高效率开发利用的权利构建路径。

（三）数据权利分层构造的正当性

目前学界对于反对确权的呼声不断，但是单纯的行为保护模式并不足以为不同数据主体的相关权益提供全面保护，只有通过有效的数据权利配置，才能更好地明确数据行为边界，对数据正当利益给予承认和保护。具体来看，数据权利保护机制设立有以下两方面必要性。

一方面，建立数据权利机制能够避免“公地悲剧”。“公地悲剧”理论阐释了缺乏维护的免费公共资源容易被人们过度利用，导致最终出现公共资源枯竭的现象。有学者对该理论适用于数据确权提出了质疑，认为数据具有非损耗性与可重复利用性，这使得反复利用并不会对新型数据财产产生损耗，反而会带来一定益处。诚然，数据作为资源具有非竞争性、非排他性和可复制性的特点，这些特点也决定了数据资源的广泛利用不会带来资源枯竭，反而会呈现数据越用越多、越用价值越高的现象。但这仅关注到了数据的资源属性，忽略了数据的信息载体属性。数据上承载着个人信息、政府信息、国家秘密、公共信息、经营信息等信息安全和信息利益，大量的非法收集、不当利用、非法交易行为使得数据时常处于公地悲剧的风险之中。也有学者指出，“公地悲剧”理论适用于数据确权存在前提性缺陷，数据背后存在权益相关者。然而，缺乏权利制度的安排，即使是权益相关者也无法有效地维护自身的权益。权利机制的建立是为了承认和保护数据相关各方的正当利益，只有厘清数据信息利益和数据资源利益，构建数据信息权利和数据资源权利机制，才能既兼顾数据资源的开发利用，又兼顾数据安全的保障。

另一方面，建立数据权利机制能促进数据流通与利用。学界存在不少观点认为，数据确权不仅不会促进数据的流通与利用，反而会形成阻碍效果。形成这些观点的主要原因是反对以绝对权的方式对数据进行排他性保护。笔者对此也持赞同态度：首先，所有权的安排会便利既得利益者采取“广积数据，高筑围墙”的经营策略，固化“数据孤岛”格局；其次，数据所有权的安排与数据的资源属性相悖，与数字经济的基本规律不符。但是，这不意味着应直接否定数据权利机制的建立。目前数据交易的规模不大，且多集中于场外。缺乏具体权利制度的安排一方面导致数据安全风险不可控，数据交易各方无从判断数据来源的真实性与合法性，尤其在《数据安全法》和《个人信息保护法》的重压之下，形成不敢交易之局面；另一方面，数据多控制于互联网平台手中，强大的市场势力难免会影响数据的公平交易，中小企业的利益得不到保障，自然会阻碍其参与数据交易的积极性。因此，可以采取弱化排他性权利的中间道路，数据权利的非排他性安排有助于发挥数据资源的赋能价值。

数据权利的分层构造是破解传统所有权模式困境的制度创新，其正当性根植于对数据特性、法律逻辑与市场规律的回应。主体、客体、内容与强度的分层设计可实现权益配置的精准化与场景适配性，具有如下正当性。第一，数据要素的价值创造涉及多主体参与，权利主体分层旨在界定各方权责边界，避免“全有或全无”的排他性冲突。通过主体分层，既保障个人隐私与公共利益，又激活企业创新动力。第二，权利客体分层是根据数据性质与风险等级分类确权，避免“一刀切”管理导致的效率损失或安全失控。客体分层回应数据复杂性，个人数据侧重人格权保护，企业数据侧重产权激励，公共数据侧重公益价值释放，避免“混同管理”导致的权利冲突。第三，权利内容的分层在于权能解构与分层配置。将数据权利拆解为可分割、可组合的权能模块，适配数据流通链条中的多元需求。内容分层突破“全权控制”思维，控制权守住安全底线，使用权激活流通效率，收益权保障持续投入。第四，强度分层通过“分类施策”实现安全与发展的再平衡。高风险数据严控流通，中风险数据有条件利用，低风险数据充分流通。

总体来看，数据权利分层构造的正当性体现为“四维适配”：一是主体适配，有利于平衡个人、企业与公共利益；二是客体适配，有助于回应多元数据类型的不同利益诉求；三是权能适配，解构权能以实现精细治理；四是强度适配，通过梯度管控防范系统性风险。

（一）数据确权的基础：数据双重利益的承认与保护

法律并不创造利益，法律只是发现哪些利益迫切要求获得保障，就把它们加以分类并或多或少地加以承认。数据权利的配置是对正当数据利益给予承认和保护。基于数据资源的价值基础和增值过程，数据利益可以解构为数据内容相关利益和数据行为相关利益。

因数据同时具有信息载体和资源的双重属性，数据内容相关利益亦是双重的，即信息相关的利益和资源相关的利益。作为信息载体，维护数据之上的信息利益是制度构建的核心目标之一。数据的来源构成复杂，包括个人数据、政务数据、企业数据、公共数据等，这些数据之上分别承载着与个人信息、政府信息、国家秘密、公共信息、经营信息相关的信息安全和信息利益。易言之，数据之上承载着多元主体的利益，数据的利用自然会涉及国家、企业和个人利益冲突。因此，数据相关制度的安排必须考虑如何平衡多元主体之间的信息利益。

数据行为相关利益，源于数据因处理而增质和增值。基于数字经济的发展规律，数据权益的生成与增值遵循“要素化、资源化、市场化”的演进逻辑。在数据处理各环节中，数据价值呈现显著的梯度跃升特征：数据收集构成价值捕获的初始环节，通过技术手段实现离散信息的数字化留存与原始积累；数据存储通过对异构数据的结构化汇聚，将数据转化为资源；数据加工通过对数据资源的处理，进一步将其价值跃升为生产要素；数据传输阶段为数据流通提供安全可控机制，为数据要素的市场化筑牢基础；数据提供与公开服务于数据价值拓展；数据使用则通过多源数据融合与场景化应用，最终完成数据要素向生产力的转化。数据权益的正当性基础根植于处理者投入的创造性劳动与资本要素。数据价值的释放离不开上述处理环节，数据的合法处理者当然应享有正当的数据利益。

（二）权利主体分层：数据内容主体与数据行为主体

数据种类、状态、行为的多样性和复杂性，决定了数据赋权的复杂性。因此，构建以数据权属体系为核心的数据法律制度，必须关注不同数据主体的正当数据利益。数据利益可以解构为数据内容相关利益和数据行为相关利益。数据利益相关者，包括数据内容利益相关者和数据行为利益相关者两大类数据主体，即数据内容主体和数据行为主体。

1.数据内容主体

数据内容利益相关者主要解决“关于谁的数据”这一问题，即与数据内容相关的数据利益相关者。数据内容主体的界定遵循“数据记录内容—权益归属对象”的对应逻辑，其本质是数据内容在法律主体层面的投射。简言之，数据内容主体的划分是为了维护数据之上的多元信息利益相关者的权益。根据数据内容与主体间形成的原生性关联关系，可将数据内容主体类型化为以下三类：个人数据主体，即基于个人信息、隐私相关权益的原生性主体；企业数据主体，即基于劳动增值与财产权益相关的原生性主体；公共数据主体，即基于公共利益治理与维护相关的管理性主体。当然，从实践角度出发，个人数据、企业数据和公共数据的交叉是不可避免的，但这并不意味着数据所承载的内容利益不可划分，更不意味着内容利益相关者不能区分。例如，《个人信息保护法》能够为自然人提供个人信息利益方面的保护；《反不正当竞争法》能够保护企业数据中涉及的商业秘密或竞争利益；《数据安全法》规定，国家对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行严格管理制度。

2.数据行为主体

数据行为即数据处理行为，是数据法学的基础概念。在法律层面，《数据安全法》《个人信息保护法》《网络安全法》均有列举式规定。例如，《数据安全法》第3条第2款规定，“数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等”。《个人信息保护法》第4条第2款在延续《数据安全法》列举的七种数据处理行为的基础上，增加了“删除”行为。《网络安全法》第76条第4项规定，“网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据”。在《数据安全法》和《个人信息保护法》中，“处理”是一个上位概念；在《网络安全法》中，“处理”则是一个与其他行为并行的概念。从这些规定可见，相关规定的内涵与外延并不一致。

在地方数据立法层面，关于数据处理行为的外延，同样有较大差异。例如，《苏州市数据条例》创设了“销毁”行为，《深圳经济特区数据条例》创设了“开放”行为，《上海市数据条例》创设了“归集、整合、共享、开放、运营”等行为。不仅如此，作为我国数据基本政策的“数据二十条”亦引入了一些新的数据处理行为，例如，数据来源、生成、生产、采集、持有、托管、加工、流通、交易、应用、治理、供给、跨境流动等。这些数据处理行为与《数据安全法》和《个人信息保护法》规定的收集、存储、使用、加工、传输、提供、公开、删除等处理行为的关系有待进一步研究。又如，“数据二十条”引入的“采集”与前述两部法律规定的“收集”在规则和后果等方面有无区别？再如，数据采集与数据收集、数据应用与数据使用、数据供给与数据提供、数据交易与数据流通存在哪些差异？须知，数据行为不同，则数据利益不同、数据法律关系的内容亦不同。法律概念既是制度体系的支点，又是法学研究的起点。数据行为概念的确定性，直接影响数据行为规则的合理性、数据法律关系内容科学性。因此，无论引进或者自主创设与数据行为相关的概念，都应符合数据的特征、遵循数字经济的规律。

数据行为利益相关者主要解决“数据怎么处理以及由谁处理”这一问题，即与数据行为相关的数据利益相关者。如果仅根据《数据安全法》和《个人信息保护法》有关数据处理和个人信息处理相关规定，则包括数据收集行为及收集者、数据存储行为及存储者、数据加工行为及加工者、数据使用行为及使用者、数据传输行为及传输者、数据提供行为及提供者、数据公开行为及公开者、以及数据删除行为及删除者。数据收集者为收集数据需投入数据采集技术研发、合规审核人力及收集设施建设等成本。数据存储者为存储数据需投入存储设施建设与安全技术（如加密、灾备系统）等成本。数据加工者为处理数据需投入算法开发、算力资源及数据清洗工具等成本。数据使用者为利用数据需投入分析工具采购、场景适配开发及合规风险培训等成本。数据传输者为流通数据需投入传输协议研发、跨境合规团队及安全技术（如隐私增强计算）等成本。数据提供者为共享数据需投入数据标准化整理、法律风险咨询及共享平台搭建等成本。数据公开者为开放数据需投入脱敏技术开发、公共利益评估及合规审核机制等成本。数据删除者为销毁数据需投入删除工具研发、备份数据管理及合规流程设计等成本。因此，鉴于数据从业者在技术研发、人力投入及合规建设等维度的实质性成本，其通过数据处理行为形成的正当权益应获得法律的确认与保障。数据处理行为是释放数据要素价值的核心路径。若数据行为主体的正当权益无法得到充分保护，则数据要素的流通效率与价值转化能力将被严重抑制。唯有构建兼顾劳动回报与风险防范的权益保障机制，方能实现数据要素市场“保护有力度、流通有效率”的可持续发展目标。

目前，数据权利的配置难点在于，涵盖个人数据、企业数据、公共数据的数据集合在处理过程，如何通过精准的权利配置平衡数据内容相关利益和数据行为相关利益。如果过于强调数据内容相关利益，弱化对数据行为相关利益的保护，无疑会阻碍数据的流通和价值释放。因此，必须要同步承认数据行为利益，精准定位数据处理过程中的各个处理主体，并承认和保护其正当利益。

（三）权利客体分层：数据科学分类的双层标准

数据确权要区别不同数据类型、不同数据结构。研究数据权利，需要深入解剖数据的类型、数据内部的数据结构，以完成更为精准的数据权利配置。没有分类就无法进行深入的学术研究和科学的制度安排及其精准实施。虽然“数据二十条”将个人数据、企业数据和公共数据并列，但在逻辑上，三者并不是基于同一标准划分的结果。就个人数据而言，结合《个人信息保护法》对个人信息的定义和《数据安全法》对于数据的定义，可以认为个人数据就是与自然人相关的数据。此处对于个人数据的分类标准采用的是“主体相关性”。就公共数据而言，“数据二十条”指出，“各级党政机关、企事业单位依法履职或提供公共服务过程中产生的公共数据”。这实际上已经揭示了公共数据的内涵和外延。可以发现，此处对于公共数据的分类是基于“主体相关”和“行为相关”的标准进行划分的。就企业数据而言，根据国家数据局《数据领域常用名词解释（第二批）》，企业数据是指企业在生产过程中形成或合法获取、持有的数据。这里的企业数据分类是基于“行为相关性”。

数据的分类是确权的逻辑前提，当个人数据、企业数据、公共数据定义的维度都不同时，难免会导致数据之间因边界模糊而产生交叉重叠，使得数据权利配置的制度根基产生结构性缺陷。只有根据数据的双重利益，对数据作“关于”类和“控制或者处理”类的区分，才更具有科学性。具体来讲，“关于”类的数据，侧重主体与数据所承载的信息内容的相关性；“控制或者处理”类的数据，侧重主体与数据处理行为的相关性。

1.“控制或者处理”分类标准下权利客体的明晰

“数据二十条”对数据基础制度的建立提出了明确要求，指明了数据基础制度建立的主要使命是在统筹安全与发展的前提下，激活数据要素潜能，促进数据要素流转，释放数据价值。这一大前提意味着我们在对数据进行分类时，首先需要侧重于研究何种分类能够有利于数据要素的流转。“控制或者处理”类的数据，侧重主体与数据处理行为的相关性，此种分类目的更加关注数据的收集、存储、使用、加工、传输、提供、公开等。“控制或者处理”分类标准的核心内涵在于其聚焦数据处理行为的动态过程以及主体对数据施加的技术性控制和增值性劳动。它关注的是数据当前处于何种处理状态、由谁在处理、处理行为对数据形态和价值产生了何种改变。该标准强调数据的资源载体和要素属性，其核心价值在于识别和界定数据处理行为主体基于其投入（劳动、技术、资本）对特定形态的数据所享有的有限财产性权益，并为促进数据流通、释放数据价值提供制度框架。它回应的是“数据在由谁处理以及处于什么状态”的问题，旨在适配数据从原始状态到资源化、要素化、市场化应用的动态演进规律。该分类体系具有双重优势：一是流通适配性，即匹配数据要素化、资源化、市场化的基本规律；二是权能可分性，即契合数据产权分置改革的制度设计。后续研究如何平衡保护数据之上多元信息利益之时，“关于”类的数据分类标准将起到关键作用。

“控制或者处理”类的数据的外延是根据数据在生命周期中所处的不同处理阶段和形态特征进行分类。结合国家数据局《数据领域常用名词解释（第一批）》及相关理论和实践，具体有如下五类：（1）原始数据：指初次产生或源头收集的、未经加工处理的数据。（2）结构化存储数据：是指一种数据表示形式，按此种形式，由数据元素汇集而成的每个记录的结构都是一致的，并且可以使用关系模型予以有效描述。（3）衍生数据：是指数据处理者对其享有使用权的数据，在保护各方合法权益前提下，通过利用专业知识加工、建模分析、关键信息提取等方式实现数据内容、形式、结构等实质改变，从而显著提升数据价值，形成的数据。（4）传输流转数据：处于跨系统、跨主体交互过程中的动态数据，如API接口调用的实时数据。（5）开放数据：是指可以被任何人自由获取、使用和共享的数据。

简言之，“控制或者处理”类标准是基于数据的状态（处理阶段/形态）和行为主体进行确权分类，其目的是界定数据处理者基于其行为贡献对特定形态数据享有的有限财产性权利（持有、使用、经营）的范围和边界，为构建促进数据流通、激励数据处理投入、实现数据要素市场化配置的权利运行机制提供基础。

2.“关于”类的数据标准下权利客体的分级

“关于”类的数据，侧重主体与数据所承载的信息内容的相关性，此种分类目的更加关注数据之上信息利益和安全利益的平衡保护。“关于”类标准的核心内涵在于其聚焦数据内容本身与特定主体之间存在的原生性、描述性关联。它关注的是数据记录了什么信息、这些信息描述或指向的是哪一类特定主体。这种关联是内在的、固有的，不依赖于数据处理行为而改变。其核心价值在于识别和界定数据所承载的原生信息利益的归属主体，为平衡保护数据之上多元主体的核心权益（如个人隐私、商业秘密、国家安全、公共利益）奠定基础。该标准强调数据的信息载体属性，是构建数据权利体系中保护性规则（特别是限制性规则）的逻辑起点，旨在回应“数据是关于谁的”这一根本问题，确保数据之上承载的关键信息利益不被数据处理活动所侵害。

其外延覆盖了所有与特定主体具有原生关联的数据类型，主要依据数据内容描述的对象进行分类，具体有如下三类。（1）与个人相关的数据：描述或关联到特定自然人的信息（如身份信息、健康记录、行为轨迹），其信息利益核心在于隐私权、个人信息权等人格权益。（2）与企业相关的数据：描述或关联到特定企业运营、资产或经营活动等信息（如生产数据、客户名单、财务信息），其信息利益核心在于商业秘密、竞争优势、经营自主权等财产或竞争性权益。（3）与公共利益相关的数据：描述或关联到不特定多数人利益的信息（如医疗数据、社保数据、交通数据），其信息利益核心在于国家安全、社会管理、公共福祉等更广泛的公共利益。总之，“关于”类标准是界定原生信息利益的归属，为后续权利配置中设定保护强度、划定流通边界（如限制、禁止流通）提供依据。

依据“控制或者处理”分类标准对数据分类后，还需对各类数据之上的信息利益分级后进行平衡保护。数据分级和数据分类是两个不同的概念。数据分级主要从数据安全保护的角度，考虑影响对象、影响程度两个要素进行分级。以企业数据为例，我们必须要对企业数据之上承载的个人信息、国家秘密、经营信息给予相应的制度保护。因此，对企业数据进行分级是权利配置的前提，也是最大化保护企业数据之上信息利益和安全的事前手段。《网络安全标准实践指南——网络数据分类分级指引》第6.1条将“影响对象”定义为，数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后受到危害影响的对象，包括国家安全、公共利益、个人合法权益和组织合法权益四个对象；并在此基础上将所造成的“影响程度”从低到高分为轻微危害、一般危害和严重危害。个人数据和公共数据都是企业数据的来源与构成，如果仅在“控制或者处理”分类标准下对上述数据进行权利安排，无疑是忽视了数据的信息载体属性，并且将企业的经济利益摆在了国家安全利益、社会公共利益和人格权益之前。首先，就国家安全利益的保护而言，根据《数据安全法》，企业控制和处理的部分数据可能构成核心数据或者重要数据，涉及国家安全，企业对这部分数据的财产性权益的实现必须让步于国家安全。因此，在对涉及国家安全的企业数据进行权利配置时，必须施加一定限制。其次，就公共利益的保护而言，企业数据财产性权益的实现也必须让步于公共利益。例如，欧盟《数据法案》第五章规定，为维护公共利益，企业必须向公共部门机构和欧盟机构、机关或团体提供数据。因此，即便对企业数据进行了一定的权利配置，为了实现公共利益目的，也可以对相关权能进行限制。最后，就人格权益保护而言，企业在处理数据时，不能以侵害用户人格权益为代价。企业在收集和处理个人数据时要遵循合理目的、最小必要和合理预期原则，预先对数据集合进行集中授权、匿名化脱敏处理等。

（四）权利内容分层：基于“三权分置”的再思考

“数据二十条”提出“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”。从法学的角度审视，“三权分置”的数据产权运行机制存在较多具有争议的问题：第一，数据资源、数据、数据产品之间是什么关系？第二，持有权、加工使用权、经营权之间是什么关系？第三，数据资源、数据、数据产品与持有权、加工使用权、经营权之间仅仅限于一一对应关系吗？也就是说数据资源持有权、数据加工使用权、数据产品经营权之间有不可逾越的鸿沟吗？持有权的客体不能是数据或者数据产品吗？加工使用权的客体不能是数据资源或者数据产品吗？经营权的客体不能是数据资源或者数据吗？以经营权为例，如果数据不能是经营权的客体，数据交易的法理基础和制度依据是什么呢？国家机关或者党政机关是否应该享有“数据产品经营权”?

在“数据二十条”的基础上，《数据领域常用名词解释（第二批）》进一步将数据产权定义为，权利人对特定数据享有的财产性权利，包括数据持有权、数据使用权、数据经营权等。其中，数据持有权，是指权利人自行持有或委托他人代为持有合法获取的数据的权利，旨在防范他人非法违规窃取、篡改、泄露或者破坏持有权人持有的数据。数据使用权，是指权利人通过加工、聚合、分析等方式，将数据用于优化生产经营、形成衍生数据等的权利。一般来说，使用权是权利人在不对外提供数据的前提下，将数据用于内部使用的权利。数据经营权，是指权利人通过转让、许可、出资或者设立担保等有偿或无偿的方式对外提供数据的权利。由此可以看出，首先，从性质方面，数据产权被定义为财产性权利。其次，从客体方面，权利客体被统一为“数据”。数据产权，从数据处理阶段看，上述权利分置适配数据生命周期，持有权保障收集存储安全，使用权激励加工增值，经营权驱动流通交易，契合数据要素市场化需求。但以上界定仍然存在以下不足性：各权利对应主体不明晰；权利客体仍显模糊，需要进一步细分，避免因客体模糊导致权利冲突或价值抑制；权利配置上未能充分回应不同类型数据在权利内容上的特殊需求；利益分配向处理者倾斜，忽视数据内容主体与行为主体的利益平衡。

“数据二十条”强调，要“构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度”。因此，制度的安排必须围绕数据的双重利益展开。本文认为，在前述主体与客体的分层基础上，数据权利内容也需要分层构建。具体来看，以“关于”为分类标准的数据权利配置，侧重于保护数据内容利益，目的是为了平衡保护数据之上信息利益。以“控制或处理”为分类标准的数据权利配置，侧重于保护数据行为利益，目的是为了促进数据高效流通利用。数据行为相关权利的配置，需以有限财产性权利为核心，结合数据形态的动态演进与处理者的增值贡献，明确不同阶段、不同类型数据上“持有权、使用权、经营权”的归属与边界。

1.数据持有权的法理构造与规范阐释

数据持有权是权利人对数据客体的实际控制权利。数据持有权作为有限财产权利，其制度建构需根植于数据处理活动的合法性基础与数据控制力的规范边界。（1）权利取得的合法性基础。数据持有权的生成以合法性来源为根本前提，其取得路径包括但不限于：意定授权路径，基于数据内容主体的明示同意或合同约定；法定赋权路径，依据公共利益需要或法律特别规定（如《数据安全法》第35条规定的政府数据调取权）；劳动赋权路径，通过实质性加工处理行为使数据脱离原始形态，形成具有独立价值的数据集。此三重路径体现了数据权益的复合赋权逻辑，既尊重来源主体的信息自决权，亦承认处理者的劳动增值贡献。（2）核心权能。数据持有权的核心权能体现为事实控制力与防御性保护。其中，积极权能包括数据处理者依法收集数据后，即享有对相应数据的实际控制力。消极权能包括他人不得非法违规窃取、篡改、泄露或者破坏持有权人持有的数据。

2.数据使用权的法理构造与规范阐释

数据使用权是权利人对数据客体进行开发利用与价值挖掘的权利。数据使用权作为有限财产权利，其制度建构需根植于数据价值创造的合法性基础与利用行为的规范边界。（1）权利取得的合法性基础。数据使用权的获得以合法性利用授权为核心前提，其取得路径包括但不限于：意定授权路径，基于数据内容主体的明示同意或合同约定；法定赋权路径，依据公共利益目标或法律特别规定；劳动赋权路径，通过创造性加工行为使数据从原始资源转化为生产要素，形成具有经济价值的数据资产。（2）核心权能。数据使用权的核心权能体现为对所持有数据的开发利用与防御性保护。其中，积极权能包括使用者对数据进行聚合、结构化存储、加工和分析的权利，以及将数据用于优化生产经营、形成衍生数据的权利。消极权能包括禁止他人非法干扰合法使用行为（如通过技术手段破坏数据处理流程）。

3.数据经营权的法理构造与规范阐释

数据经营权是权利人对数据客体实施市场化流转与价值实现的权利。数据经营权作为有限财产权利，其制度建构需根植于数据要素流通的合法性基础与市场秩序的规范边界。（1）权利取得的合法性基础。数据经营权的生成以合法性流通授权为核心前提，其取得路径包括但不限于：意定授权路径，基于数据内容主体的明示同意或合同约定；法定赋权路径，依据公共利益目标或法律特别规定；劳动赋权路径，通过加工形成具有独立交易价值的数据产品。（2）核心权能。数据经营权的核心权能体现为流通支配权与防御性保护。积极权能包括数据许可权、数据转让权和数据担保权等。消极权能包括禁止他人非法截取、篡改或破坏数据流通链条。

（五）权利强度分层：权益保护与流通利用的梯度平衡

以“关于”为分类标准的数据权利配置，侧重于保护数据内容利益，目的是为了平衡保护数据之上的信息利益和安全利益，关注的是如何构建以人格权益（如隐私权、个人信息权益）和公共利益（如国家安全、社会福祉）为价值导向的复合型权益平衡保护机制。以下主要在“三权分置”基础上，嵌入“关于”类数据的内容利益保护规则，根据内容利益保护需求，对不同数据客体的权利保护强度与流通自由度进行梯度设计，实现“保护有力度，流通有效率”的动态平衡。

原始数据以保护隐私、商业秘密、国家安全等原生信息利益，防范数据泄露风险为主，同时平衡保护数据收集者因收集和脱敏化处理数据所产生的正当权益。从持有权限制而言，权利仅及于持有人实际控制的特定数据，持有人对数据的控制力不延伸至数据所承载的内容利益，同时具有非独占性，即允许数据内容主体向多个处理者平行授权或者转移授权。从使用权限制而言，使用行为不得超出授权范围或原始收集目的，不得不排斥他人通过合法途径对同一数据源的独立开发利用。从经营权限制而言，禁止交易涉及个人信息、商业秘密和国家安全利益的数据，仅限脱敏后的有限流通。

结构化存储数据以保护隐私、商业秘密、国家安全等原生信息利益为主，同时平衡保护数据存储者因投入创造性劳动与资本要素而产生的正当权益。就持有权而言，权利仅及于持有人实际控制的特定数据，持有人对数据的控制力不延伸至数据所承载的内容利益；同时持有权人对其所结构化处理过的数据享有独占性，但不得阻碍数据内容主体向多个处理者平行授权或者转移授权原始数据。就使用权而言，使用行为不得超出授权范围或原始收集目的；同时不排斥他人通过合法途径对同一数据源的独立开发利用。就经营权而言，禁止交易涉及个人信息、商业秘密和国家安全利益的数据，仅限脱敏后的有限流通。

衍生数据以推动数据流通利用为主，但需防范数据内容利益的回溯性侵害。从持有权限制而言，数据处理者享有排他性权利，但不得回溯原始数据。从使用权限制而言，在脱敏基础上，允许自由使用，但不得违反强制性规定。从经营权限制而言，在脱敏基础上，允许自由交易流通，但不得违反强制性规定。

开放数据则以开放流通为原则，安全为例外。从持有权限制而言，应开放数据自由持有，数据的持有需符合特定主体资格。从使用权限制而言，应开放数据自由使用，但需符合用途管制；数据需严格按照开放用途进行使用。从经营权限制而言，应开放数据自由使用，但需符合用途管制；数据需严格按照开放用途进行使用。

传输流转数据，根据传输流转的数据客体的不同，梯度平衡数据内容利益保护与流通效率促进。从持有权限制而言，根据所传输流转的数据类型（原始数据、结构化存储数据、衍生数据、公开数据）的不同进行持有权限制。从使用权限制和经营权限制而言，均是根据不同数据类型施加相关限制；同时根据传输流转协议进一步施加相关限制。

权利强度分层的核心目的在于平衡保护不同数据客体之上的内容利益与流通利益。如原始数据应当以隐私、商业秘密、国家安全等原生信息利益为主，严格防范数据泄露风险。结构化数据应当在原生信息利益基础上，强化对数据存储者创造性劳动与资本投入的保护。衍生数据应当以促进数据流通利用为主，但需防范对原始数据内容利益的回溯性侵害。开放数据侧重于流通利用。传输流转数据因可能涉及不同数据类型，需要根据数据类型具体调整保护强度。

总体来看，应通过差异化赋权与限制，构建复合型权益保护框架。在保障数据内容利益的前提下，结合数据内容利益的敏感程度，通过梯度机制，分场景释放数据流通潜力，最终形成“保护—流通”的良性循环。通过分层逻辑将抽象的数据权益转化为可操作的规则体系，既有助于筑牢安全底线，又能够释放数据要素的市场潜能，推动数据治理从“静态管控”向“动态平衡”演进。

数据要素市场的发展受制于产权制度的模糊性，由此衍生的供给侧激励不足、流通端动力匮乏与利用端价值受限三重困境，已成为制约数字经济高质量发展的主要障碍。数据应分层确权，通过主体、客体、内容与权利强度的四维解构，系统回应前述困境的核心矛盾，为平衡数据流通效率与多元利益保护提供可能的制度性解决方案。主体分层以“内容主体—行为主体”二元界分厘清数据权益的归属与边界，在保障隐私、安全等内容利益的同时，激励处理者创新，解决数据囤积与低效供给。客体分层基于“关于”与“控制或处理”的双重分类标准，实现数据治理的精准适配。权利内容分层依托“三权分置”（持有权、使用权、经营权）的权能解构，构建动态适配数据生命周期的权益配置机制。权利强度分层通过梯度化的保护与流通限制，在数据双重利益与流通效率之间建立动态平衡。

本文的探索在于对传统“所有权中心主义”的局限性提出反思，尝试以分层逻辑探索数据权益配置的优化路径。这一框架从数据的非竞争性、非排他性、可复制性等特性出发，关注其基本规律，通过分层确权与动态平衡设计，为调和数据保护与流通的矛盾提供可能的解决方案。未来研究需进一步结合实践需求，细化分层规则的适用场景与配套机制，推动数据治理在理论与实践的互动中不断完善。

《环球法律评论》公众号，敬请关注：