数据交易下权益边界的实践探索与调适

周澎

原文载于《电子知识产权》2020年第2期

摘要：数据作为区别于传统客体的新兴民事权利客体，依附数据交易而实现其特定价值，同时具有社会资源、人格利益和财产利益的法定属性。数据交易下，其权益边界成为民事权利主体资格探讨的必备要素，关乎着数据主体资格、法律关系和私权制度价值。我国司法实践认为数据权益应因其劳动增值而取得，美国则认为数据权益应当回归数据应用的价值。基于分析，对数据权益应严格数据人格利益与财产利益，同时基于数据交易而赋予数据控制者基于数据主体的衍生权利，并建立各类数据控制者之间进行数据流转的合规性标准，以求在总结司法实践和立论的基础上，为数据权益的边界界分提供参考性意见。

关键词：数据；产权边界；人格利益；财产利益

一、问题的提出

煤炭催生了工业革命，石油保障了电器时代，而数据则成为信息和智能时代的催生剂。 随着算法技术的提升，我们无时无刻创造数据并因数据产品而享受便利，但数据因技术操纵成为限制人类自由和权利的工具。 数据控制者与数据生产者的权益边界正慢慢模糊，人类不再隐藏在互联网这张虚拟面具的背后，互联网通过数据将面具剥离，将人类透明地呈现在现实世界里。 互联网商业巨头阿里巴巴公司曾在相关会议中坦言其公司本质在于获取零售和制造业的数据，这些数据是阿里最值钱的财富。 数据权益的合规性诱发了一场场无硝烟战争，人类为数据权利而斗争的同时，意味着要与数据权益的一决高下。 作为具有法律意义的民事客体，数据因其特殊性成为区别于传统物权的新兴财产权利的客体。

首 先 ，数据是社会资源的法定客体。 美国《统一计算机信息交易法》第102条规定，“信息是数据、文本、图像、声音、计算机集成电路布图或计算机程序，以及它们的集合”，由此可见，数据作为客观存在的信息，是一种法律意义的社会资源。 这种社会资源，通过行为来增强其法律性。 以网易云音乐为例，人们很乐意其通过数据采集，并利用技术处理进行个性 化 内容的推荐，从而得到性价比较高甚至免费的服务。 基于互惠性，企业也乐于通过数据分析，极大程度吻合受众的喜好，增强企业竞争实力。 在此过程中，数据外化为社会资源互动的基础，通过数据控制者与数据创造者的过渡使用，而表彰其数据控制权、个人信息权、隐私权等法定权益。

其 次，数据是民事权益的客体。 我国现行民法体系从三个方面规定了受法律保护的数据权益： 一是数据人格权益。 数据人格利益的基础是个人数据，这些与个人基本身份数据、行为数据等区别于隐私权存在，是作为民事主体的自然人独有的人格利益。 但具有人格利益的数据权益，在数据使用的实际状况下，对数据权益的确定帮助不大。 二是数据财产利益。 20 世纪，美国劳伦斯 莱斯格教授提出数据财产化的理论，认为强化数据本身经济驱动功能，既有助于打破传统法律思维之下数据绝对化保护而引发的“数据孤岛”的僵化格局，还吻合财产权“凡是想要取得某些东西的人，就必须在取得之前先进行协商”的制度价值。 三是数据的知识权益。 规制于知识产权体系下的数据利益主要可分为种： 一是基于数据交易的数据控制者进行数据处理时，针对数据模式的独创性表达或技术分析的创造性而享有著作权、专利权等。 二是基于大数据收集的整体数据在不符合独创性标准上采用汇编作品的保护标准。 三是从企业之间因商业竞争而形成的反不正当竞争的商业秘密权。 总体说来，数据权益在界分为财产利益和人格利益下，分属于不同民事权利所指向的对象。 但本文仅讨论数据交易这一背景的数据权益边界，因而在具体规制过程中将摘除人格利益的层面。

最后，数据权益通过合规转移而产生价值。 数据之所以要界分权益，在于数据静止状态下并不能为数据本身进行增值从而实现利益。 数据经济逐渐体现为一种围绕数据经营和利用而展开的复杂关系，于是一种以数据运营者为重心的双向动态结构显示出来，即数据经济的本质结构在于，数据经营者以数据资产化追求为中心，围绕数据收集、利用、开发甚至经营，展开活动，由此而形成复杂而动态的数据活动和利益关系。 以数据堂公司为例，其主营业务就是数据收集和交易，但随着数据保护的不断深入，数据收集和交易的合规风险源将其推向侵权的深渊。

但私权领域的数据，必须是有价值的数据权益。 基于价值的产生，数据权益的归属尤为重要。 数据控制者（企业）、数据主体（用户） 以及新数据控制者（政府），都尽最大可能抢夺数据归属权益。 前有国外谷歌“被遗忘权”一案挑起用户与企业之争，后有美国CLOUD 法案出台表明政府对数据掌控的态度。 而更为激烈的则是企业之间的剑拔弩张，新浪微博诉脉脉一案要求数据共享的实现，“头腾案”要求数据保护和数据流通平衡的实现。 但解决这些纠纷的落脚点都应当明确数据权益应当归谁。 自2017 年《民法总则》第127 条将数据纳入民事权利，数据这一权益归属一直处于“灰色地带”，数据权益作为诉讼主体资格的象征，是确保其能抓住司法最后一道救命稻草的前提。 一种观点认为，数据的人身权益并不产生权属的边界问题，需要确定数据权益边界的是那些基于数据产生的大数据产品的权属。 另一种观点认为，法不做无意义的编排，数据人格权益是平衡数据为商业和公共利益目的对的自由贸易标准。 基于此种争议，我们应当解决一些问题。 首先，在数据革命中，数据主体是否需要拥有数据权益； 其次，数据控制者在数据权益中的地位； 最后，基于制度价值应对数据权益边界作何种取舍。

二、我国数据权益界定边界的实践定位

数据并非单纯地只是受保护或未受保护的数据，数据同时具有自然属性和社会属性，这表现为数据既是算法计算和运行的对象，又是社会利益的载体。有学者将数据承载的信息视为权利的基础，一方主体通过占有信息的同时控制另一方主体获取信息的渠道和程度。

（一）“生意参谋”案：数据主体不具有独立的财产性权益

1948 年《人权宣言》、1966 年《联合国公民权利和政治权利国际公约》以及1980 年经济合作与发展组织（以下简称“经合组织”）发布《保护个人资料隐私和跨界流动准则》，其目的在于基本人权的保护，例如非法储存个人资料、储存不准确的个人资料、滥用或未经授权披露这些资料。数据人格权益凸显，美国法官沃伦和学者布兰迪斯认为，尽管受到政治、社会和经济变化的影响，保护个人信息就像保护个人所属城堡的花园一样，已成为法定权利的一部分，因此必须认识到数据人格权益的合法延伸。

我国显然对个人数据的保护有着特定的观点，在审理淘宝（中国）软件有限公司（以下简称淘宝公司）诉安徽美景信息科技有限公司（以下简称美景公司）“生意参谋”一案中，认定数据主体对其用户信息不具有独立的财产性权益。该案中，淘宝公司在收集网络用户浏览、搜索、收藏、加购、交易等行为痕迹信息所产生的巨量原始数据基础上，通过特定算法深度分析过滤、提炼整合而成的，以趋势图、排行榜、占比图等图形呈现的指数型、统计型、预测型衍生数据；美景公司作为“咕咕互助平台”的运营商，其以提供远程登录已订购涉案数据产品用户电脑技术服务的方式，招揽、组织、帮助他人获取涉案数据产品中的数据内容，从中牟利。

该案诉争的重要焦点在于淘宝公司对于该案中的数据产品是否享有法定权益。这不仅是淘宝公司在本案中是否具备主体资格的要件， 同时也是淘宝公司对本案数据的合规性获得的伊始。法院对此做出回应，认定这些该用户信息、原始数据和数据产品均为淘宝公司的无形财产。“首先，单个网上行为痕迹信息的经济价值十分有限，在无法律规定或合同特别约定的情况下，网络用户对此尚无独立的财产权或财产性权益可言。网络原始数据的内容未脱离原网络用户信息范围，故网络运营者对于此类数据应受制于网络用户对其所提供的用户信息的控制，不能享有独立的权利，网络运营者只能依其与网络用户的约定享有对网络原始数据的使用权。但网络数据产品不同于网络原始数据，数据内容经过网络运营者大量的智力劳动成果投入，通过深度开发与系统整合，最终呈现给消费者的是与网络用户信息、网络原始数据无直接对应关系的独立的衍生数据，可以为运营者所实际控制和使用，并带来经济利益，网络运营者对于其开发的数据产品享有独立的财产性权益。”

数据权益的立法导致相关主体（不仅与数据主体有利害关系）的权利义务处于不确定状态。“生意参谋”案的判决确定了数据控制者（包括网络服务运营者）对其收集的原始数据应依法享有使用权，并对其亲历研发劳动的数据产品享有独立性财产权益。这种结果的作出，相信法院是在保护数据控制者在智能化市场经济中的竞争优势及其商业利益的基础上，并以一定程度区分了用户数据与数据控制者所研发的数据产品的差异。

个人数据贸易与商业数据贸易一直以来不应当在实质性层面有任何不同，更何况在个人数据纳入人格权范畴的同时，商业数据也被纳入了规制市场经济的反不正当竞争法的保护范畴。可以说，现有对数据相关的保护法，在极力赋予数据控制者权益。简单地说，数据保护法不仅保护数据的可交易性，而且还在促进这种贸易方面发挥作用。但在此需要论证的是，在一个将商业价值附加于数据的市场中，将个人数据作为可交易商品，通过数据控制者的使用而产生的衍生权利的协调。有学者指出，个人数据中的商业使用会带来更多、而不是更少的交易，但会产生更少、而不是更多的用户数据。我们可以从风险理论的角度来阐明学者持有的观点，风险社会的内在风险，基于技术性风险和制度化风险而形成，且存在共生状态。因为商业使用的增加会将数据主体从数据人格权中剥离，数据主体会难以辨别他们是否应该继续创造数据，并且这些数据一旦用户商业使用，数据人格利益的风险加大。

个人数据和商业数据之间的交集是模糊的。个人数据既不应被视为个人的专有资产，也不应被视为排除个人从该财产中受益的数据控制者的财产。个人信息是一种视为的混合资源， 是价值创造和创新的基础。个人数据具有的内在价值，是通过数据交易来实现的，而商业交易部分的数据仅是存在用户个人数据的人格利益，而不涉及相应的财产利益，因为用户在授权数据控制者的同时，已经用数据换取了服务。

（二）“头腾案”：用户数据控制权的衍生合理性

个人数据是特殊规则的主题，其中包括对个人数据的属性设置限制。当保护个人数据符合公共利益时，该数据的财产可能在法律上受到限制。有学者认为，需要有专门的法规来控制信息的商品化，甚至是个人信息的商品化，以认识到个人数据的额外用途和可能的转移。实际上，若限制数据主体讲给数据行业产生阻力，若将这些个人数据的使用交于数据控制者， 将会使数据主体更好地了解其数据存在的价值，以及这些数据能带个他们什么。因此，若数据主体不真正拥有或控制其数据的整个使用周期， 那么用户数据控制权交于数据控制者是否具有正当性？

我国“头腾案”做出了时代性回答。该案中，天津滨海法院认定“微信／ QQ 产品拥有很高的品牌价值和庞大的用户群体，其积累的包括具有身份识别作用的头像昵称等用户信息，已经成为可以为其带来竞争优势的商业资源”。而对已有数据控制者权益的保护，并不会改变个人数据的权属，更不会否定数据主体的权益。事实上，数据主体应当被赋予更多的数据自决权，即有权自由地管理和控制自己的个人数据，具体表现为数据可携权，包括数据副本获取权和数据转移权。数据控制者和用户的自我监管只有在他们受到预先设定的监管要求的约束时才真正有效， 在不断变化的技术革命中，数据保护应强调商业化产生的不同社会经济和法律后果。就像多萝西教授声称的寻求保护个人权利不受经济剥削的人，个人信息在移动时处于危险之中，因为这些信息将从个人信息创建为FILES 和数据库而由他人操纵。因此，在对个人信息的爬取行为采取严格处罚措施之前，需要衡量有关个人信息的保护和社会经济价值之间的利益，以确保知识产权制度的规制是在同时保护社会经济的竞争以及个人数据。此外，法律规定不能涵盖所有软件系统，该软件系统爬取个人数据，经常将数据暴露并进行滥用。

据此，一方面，应当赋予数据主体从已有数据控制者处获得个人数据复制件的权利，并有权将其存储在云端并随时调用。如脸书公司已提供了个人数据的下载入口，供用户下载；另一方面，应当赋予数据主体有权将其个人数据无障碍地转移至新的控制者，并授权后者有偿或无偿使用，已有控制者不能拒绝。将传统的所有权理论适用于数据法领域已不合时宜。在已有数据控制者、新数据控制者及数据主体之间构建数据控制衍生权利的配置及平衡，最大程度实现数据共享和流通，并对数据权利保护进行平衡才是问题关键所在。

有学者质疑，财产规则将允许个人出于隐私原因决定披露哪些信息和保护哪些信息，数据人格利益将对个人信息提供更大的控制。而且随着各种数据立法的出台显然在支撑这一论证。但应当看到的是个人数据的这种属性将改变个人数据使用的基础架构，并将鼓励在开发法律支持的软件系统以保护这些数据方面进行更大的投资。

（三）hiQ 诉LinkedIn 案：网络爬虫具备合法性的要素

一般情况下，私权领域内的在数据保护方面过于严格，尤其是数据主体享有数据财产权的情况下，将在极大程度上决定他人能否自由使用其数据。现阶段，数据的获取主要可以通过数据爬取、数据众包、数据合作协议以及用户授权协议取得。在数据主体中主张一般财产权的设立，将导致数据无法自由交易。但是，如果数据主体适当开放数据使用程度，例如通过许可协议出售个人数据，或者法律将网络爬虫设定在一定程度的合规性标准，将满足数据作为法定社会资源这一价值体现。

在hiQ 诉LinkedIn案中， 核心问题在于hiQ的网络爬虫行为是否违反了美国《1986年计算机欺诈与滥用法》（简称“CFAA”）。该案中，hiQ 的商业模式是完全利用hiQ 的爬虫技术自动从LinkedIn 所收集个人信息中抓取，但hiQ 的网络爬虫只抓取用户在LinkedIn 平台上分享的完全公开的信息，并将这些数据作为原始数据进行分析形成数据结果进行出售。因此， LinkedIn 不再忍耐hiQ 的这种行为，因而对其采取技术屏蔽，双方商议无果的情况下，hiQ 将LinkedIn诉至法院，要求颁发临时禁令开放其数据资源。

该案中，单纯分析网络爬虫的行为需要考虑到两个部分，一是爬取行为本身是否合法， 二是爬取之后的数据利用行为是否合法。加州北区联邦地区法院在综合一系列因素之后，最终倾向性认为网络爬虫爬取公开信息的行为，并不构成CFAA 意义上的“未经授权”或“超出授权”行为。首先，“未经授权”就是未经允许访问了一个受保护的计算机信息系统， 问题是访问的权限已经被该网页的运营者撤销，这种继续访问“公开网站”的行为，能否构成CFAA 中规定的“未经授权”行为。联邦最高法院就曾指出：法律术语的含义是否明确，绝不仅是每个单词字典释义的简单相加， 而必须“取决于适用时的具体语境乃至该法规的整体背景”。法院结合CFAA 最初是为了保护政府的计算机系统免受黑客攻击而制定的背景，指出如果公开信息的访问权存在被私主体自行转化为启动刑事制裁的“武器”时，那么这种倾向是值得令人忧虑的。其次，法院认为LinkedIn 中的用户公开信息不同于CFAA 法条中阐明的“任何受保护的计算机（any protected computer）”，因为这种公开信息应当是自由流通的，显然LinkedIn 封闭这些资料已经违背了公共利益。法院指出，用户既然选择公开其信息， 就已经赋予数据控制者对个人数据进行收集、挖掘、分析的可期待性。如果赋予LinkedIn 以私权来组织他人访问其网站上公开的信息，那么这种数据流通的自由和公共利益将被扼杀。在法院援引加州宪法言论自由条款之下，认为“使用条款”将赋予网站服务管理者过大权力。

可见，LinkedIn有意封锁hiQ爬取公开数据的行为因对数据自由流动造成威胁从而不具备正当性，虽然该案目前还在上诉阶段，但法院立足于数据自由流动的公共利益视角阐明了数据竞争市场的重要性。与此不同的是，我国法院对网络爬虫的行为作出了截然相反的判决。在大众点评诉百度案中，针对百度爬取数据大众点评的公开用户点评信息的行为，认定其使用方式未超过合规性原则，不具备正当性。法院的逻辑在于，大众点评对网站平台数据的构建与累积过程中付出了辛勤劳动，因而这种公开数据虽具有一定公开性，但仍应当赋予其宝贵的财产权。

中美司法审判的差异各有千秋，无意进行两者的褒贬比较，且hiQ 诉LinkedIn 一案仍未完全得出结论，但是网络爬虫行为是否合规以及如果进行合规判定将影响数据流通和自由使用的未来。在一定程度上肯定网络爬虫的合规性，并赋予一定标准，将是数据控制者取得数据权益边界的一部分。数据作为社会资源，需要承担其带来的风险性，这种风险与时共生，完全避免是违背唯物主义辩证理论的，唯有在肯定其相互联系、相互影响，以此共存，追求平衡，才能在对数据权益边界进行探讨时做出一定的贡献。

三、数据权益归属的调适应答

数据场域中，数据生产者、使用者、价值增值者大多都是分离的，不同行为主体以不同的目的为导向，依赖传统路径来获取更多的数据资源并以此来拓展其行为范围。如果授予数据主体的法理基础和制度价值是正当的，那么如何处理数据控制者和数据主体之间的数据交易与保护平衡则是数据权益归属的重点问题。数据控制者所享有的替代权利如果得到承认，应当是通过一定的合法化和正当性进行处理。个人数据的强保护随着欧盟GDPR 的推动愈演愈烈，但面对社会背景、经济市场和政治需求的考量而言，个人数据的私权完整归位于数据主体是十分困难的。故对数据权益归属的界定应当是回归数据社会资源属性，区分数据人格权益与财产权益，同时在保证仅限于数据财产利益的衍生而形成的控制权，以及数据获取行为的合规性。

（一）严格区分数据人格权与数据财产权

在区分数据人格权益和数据财产权益之间存在着差异。数据是信息的来源，如果这些数据是个人的，则意味着原始数据也是个人的。有人认为，数据人格权和数据财产权的冲突看上去就像是鸡与蛋问题，目前还不清楚这两种观点中哪一种是第一位的：以人格为中心则是优先考虑数据作为鸡的问题，而以数据为中心则是突出蛋的财产论点。以数据为中心的财产蛋不需要在每一种情况下披露或包含以个人为中心的数据具有价值且值得保护。我们可以在不同的抽象层次上评估以数据为中心的财产，而不是个人信息，但实际情况是，以数据个人权和财产权在同一层次的分析中根本不能相互比较，因为它们在定性方面有根本的不同。数据财产的鸡和蛋无法调控人格与财产之间存在冲突。“在这种情况下，关键问题必须是某些数据是否从本质上包含人格。”

个人数据具有经济价值，特别是对数据收集者、数据挖掘者和数据商用者而言。20世纪70年代年代出现的新技术，使数据的收集和获取更为容易，而21 世纪的数据革命中，更为优质的算法将数据推向人工智能时代，这些技术使数据遭到更大的滥用。但技术永远能被无休止地进行攻克和破解，单纯保护个人数据，数据共享更为必要。回归数据本身的性质，将有助于挖掘数据财产利益和数据人格利益的区别。

前述所说，数据权益通过合规转移而产生价值。有学者认为是时候将基础数据和增值数据分开了，因为基础数据和增值数据，两者的厘定范围决定了数据对应的权属。基础数据是本源数据，其范围厘定于用户作为个人数据的提供者；而增值数据则是指数据控制者通过一系列行为，例如搜集整理网络用户各种活动，对其进行分析形成数据产品，进而成为可供交易的商业数据，这种情况下，数据控制者将享有增值数据所有权。

数据最好的发展应当是根据数据使用的原则性提供数据的挖掘。只要数据与实物资产没有区别，就不太可能以与保护有形财产相同的方式保护这些数据。个人数据的不确定和同意使用数据的概念加强了一种论点，即数据主体同意使用其个人数据，包括撤回这种同意—《欧盟通用数据保护条例》（以下简称“GDPR”） 中的被遗忘权，这使他们对该数据有了更大的控制。然而，对数据的控制与所有权有很大区别，正如同意使用个人数据与拥有该数据的财产权不同一样，尽管存在某种程度的个人数据在被诱使或欺骗而同意广泛获取和使用的这些障碍。因此，数据控制者的权利需要由法律强行为权利人划出一道无形的边界，这是一种纯粹的法律强力的产物，且这种财产权作为一种法律概念，很大程度上是由财产权利静定的成本和收益决定的。

赋予数据控制者对于匿名化数据的所有权， 有利于规范数据交易市场，遏制数据的非法黑市交易，让数据在有序可控的规则之下充分流动。当然，承认数据处理者享有增值数据所有权，并不否认数据主体享有的基础数据所有权，例如，《微博服务使用协议》第4.7.5 条就约定，“用户对微梦公司及其关联公司的前述授权并不改变用户发布内容的所有权及知识产权归属，也并不影响用户行使其对发布内容的合法权利”。

（二）数据控制者权利的赋予边界

从经济学的角度来看，数据控制者在享有一定权利下，即拥有用户数据来源后所享有的排他权，将有助于激励数据产业的发展。个人数据的财产价值较弱，但数据控制者经过大数据分析的应用挖掘出其潜在的价值，可在数据财产权中居于重心位置，以数据财产化为中心的数据经济本质结构，有助于围绕数据的收集、利用、开发和交易而展开经营活动，并形成复杂且动态的数据活动。

以数据交易为数据控制者提供的法律支持并不罕见，当下已有的法律规定，是数据交易行为的合法性基础。德国《联邦数据保护法》不仅规定了个人信息可供交易，并阐明这些环节包括收集、处理（含自动化处理、储存、修改、传输、隔离、删除）、使用等行为。而我国台湾地区在《个人资料保护法》中还在德国法律规定的基础上增添了利用传输行为，而且主要规范国际传输行为。此外，社会公众利用数据信息行为的条款也逐渐浮出水面。2015 年，美国颁布实施《第三份开放政府国家行动计划》，明确指出“要加强联邦政府与创新者之间的合作，开发出更多的高价值数据集和可视化工具，满足公众的需要”。而我国紧随其后，在技术环境的推动下，于2018 年8 月31 日颁布的《中华人民共和国电子商务法》中指明“保障电子商务数据依法有序自由流动”，这种自由流动应当被视为并且可推定包括商业交易行为。

而社会学角度也为数据控制者享有私权提供了理论基础。在智能化数据时代下，为社会生产生活所利用的数据的产生与创造是依赖于人的精神劳动和体力劳动，基于洛克的劳动价值理论，存在获取法定与保护的可能。此外，作为一种社会物质资源，数据交易过程中对数据的删除、操控都具备现实性。若所有权的转移伴随着数据主体资格的剥离，将违背数据使用所追求的高效益价值。因此，数据交易的行为是区别于一般有体物的交易。罗马法上的“有体物”的权利转移，具有完全排他性，数据交易的模式则更像是知识产权的普通授权许可模式，数据主体在保留数据权利的基础上，授予数据控制者因劳动创造的增值数据的数据控制权。因此，数据交易作为数据价值体现的特点，支撑了数据控制者享有一定剥离数据主体的衍生权利。

最后，数据作为民事权利的客体，应当符合民法的立法价值和宗旨。“保护民事主体的合法权益，调整民事关系，维护社会和经济秩序，适应中国特色社会主义发展要求，弘扬社会主义核心价值观”是数据控制者享有衍生权利的价值目标。数据涉及到的主体本就是多方的，如果单纯考量创造数据的用户权利，而将增值数据的控制者剥离开来，是无法完全调整民事法律关系的，更何况法律是基于物质社会生活形态而产生的工具。通过数据财产权的增值，赋予数据控制者在对数据增值过程中付出的劳动而对其赋予其激励下的法定权利，是对制度价值的正确回应，更是法律在满足社会需要之时，不断调整数据财产的法律秩序，回应创制私权利时的落后性，以求达到制度价值实现的效果。

（三）数据获取行为的合法性判断

数据获取行为的合法性可以判断数据权属的正当性，是判断数据权益边界的基础要素， 同时也是数据控制者在进行数据增值行为的必要衡量标准。数据包含的具体内容是对客观世界的数字化描述，它是现代社会构建和发展的基础，民法赋予了民事主体的权利，将其变为具有排他性私权的民事客体。但数据民事主体的多元化的特定条件，给数据财产权的厘定带来挑战，数据具有一定的公共属性，是否数据主体在公开数据后，数据获取的数据控制者（已有控制者和新控制者）都能基于数据增值漫无目的地享有衍生权利。保护数据财产权，并不意味着将数据控制权变为独占许可权，最大限度满足公共利益，是我们应回应数据交易下的一种现实问题。

现阶段，有学者提出以区分数据获取行为类别来遵循不同的数据流转原则：（1）搜索引擎方式获取的数据遵循“opt-out”原则，主要用以减少数据获取的商议成本；（2）OpenAPI 方式获取数据需遵循“三重授权原则”，这一原则加强了数据获取的授权许可标准，使得用户和自由数据控制者的权益控制更加强烈；（3） 破坏技术措施获取数据可能需要承担民、刑两种责任，这一路指明司法判定逐渐趋于灵活并有严肃打击数据不正当获取行为的倾向。这些数据流转原则均是我国司法实践现阶段采取的原则，实际上这些原则与当下所面临的情势确实较为吻合，且这些原则也在一定程度上解决了当下的数据权益的具体问题。但这绝不意味着，我们通过现代眼光所看到的的那种东西，可以超越时空条件，实际适用于各种案件的裁定。首先，“opt-out”原则起源于英美法系，与“opt-in”原则相对应。“opt-in”将数据许可的权益交于用户主体——数据原始主体， 而“opt-out”将数据授权许可交由数据控制者。但“opt-out”会在一定层度上增强数据控制者的控制权益，从而加剧市场竞争的激烈程度， 导致控制者对数据“合法垄断”。其次，“三重授权原则”在具体适用中的授权获取看似容易，实则存在一定的偏差。若要严格遵守“用户许可→平台许可→用户许可”的授权过程，那么OpenAPI 的原始运营模式就值得探讨了。Open API 的目的就是供第三方开发者使用数据，就是为了极大限度地拓展数据的经济价值，那么平台许可之后，需要再经历一轮授权许可是否将数据权益的天平过多倾向了用户权益而非对数据增值大有裨益的新数据控制者？而在美国，其用户数据的处理模式是参照opt 原则的，通过“opt-out”授予平台许可，并以“opt-in”赋予用户事后否认数据获取的机制来较为合理地平衡数据权益的取得。最后，技术措施作为防火墙的本质并非都是正当的。如果平台所展示的数据仅仅是用户原始数据，而平台仅作为一个数据分享，基于数据分享实现最大价值的目标，那么该平台的技术措施障碍是否就可以破解。

数据权益边界划分的重点与难点可能就存在在数据获取的合法性的判定，这不单纯是数据自身本质所决定的，而是社会技术的不断变化而需要制定新规则为数据权益的获取作出回应。基于科斯定理，如果市场自由调节的成本高于法律调整的成本，那么法律应当为其“买单”。现阶段，数据权益边界难以界定，想要找寻权益边界平衡压力和以及可能危及数据权属的案件频发，追溯现有司法案例中的可行点，延伸出较为合理的数据获取行为的合法性判断标准才是对科技进步最好的政策应答。

基于前述司法案例的探讨，其实我们不难发现数据控制者获取数据的正当性标准应当首先基于数据控制者做出区分，即已有数据控制者和新数据控制者。GDPR 于第20 条做出数据可携权的规定，数据主体可同时授权一个或多个处理其个人属于的实施主体，且在先授予数据使用权的控制者不得阻碍新的数据控制者的权利。因此，数据控制者之间将存在的现实问题是新数据控制者会攫取原有数据控制者的数据主体的公开信息，如前述网络爬虫的两个案件中所提到的那样。为了实现数据之间的合法流通与合规转移，首先应针对数据控制者的数据转移行为的规定作出架构性意见。在此可分为两个步骤。首先，数据控制者（包括已有和新数据控制者）通过“明示”或“默示”许可的方式从数据主体出获取数据。其次，基于已有数据控制者的权利，新数据控制者在无正当理由下通过网络爬虫等行为大量且一次或多次、完整性复制已有数据控制者的用户公开信息。此外，基于数据公共利益的考量，若数据用户的公开信息对于已有数据控制者来说，仅是滴一滴水在数据主体原有的海洋里，那么在《反不正当竞争法》与《著作权法》领域内，便可以开辟一种新数据控制者的法定许可使用制度。

此外，技术方式的支持将提供更多可行的方案。如英国宣布的Midata项目，代表了多个利益相关者的方法，以增强数据主体的权能，平衡多方数据权利的主体。Mydex 和HatDex还开发了一个社区平台模型来构建PDS(个人数据仓库)，使用户能够管理、共享和部署他们的数据。35 相信在未来司法实践和技术控制的方案中，数据获取的正当性会有更深层次的判断。

四、结语

数据交易能够极大刺激社会经济的发展，若罔顾数据权益的边界，将引发市场经济混乱，有悖于私权价值的实现，而过于强调数据利用， “公地悲剧”也会出现。纵观国际上对数据权益的国际变迁，无一不在强调数据权益与公共利益之间的平衡。数据权益的界定是民事法律关系的重要一环，它基于权益属性，主体资格适格以及私权制度的维系。通过对我国现有司法判例中具有指导性的“生意参谋”案、“头腾”案以及美国案例的分析，证明数据权益边界的定性具有重要意义。基于此，在保障数据主体的权人格权益基础上，将数据财产权的私权衍生出类似于数据可携权的数据控制者权，使数据控制者不仅拥有用户数据产品的排他权，还保证数据控制者的权益分配能在不同主体间实现，同时针对已有数据控制者和新数据控制者在适应市场需求的基础上以默示许可制度拓宽数据获取渠道的正当性，从而实现数据权益的界定划分。

（未经授权禁止转载、摘编、复制及建立镜像，违者将依法追求法律责任）