數據以內容產生的不同，可以分為原生數據和衍生數據；站在數據場景的角度，與數據有關的主體又可以分為數據主體、數據控制者和數據處理者。在具體的商業場景中，由于數據采集者、處理者、運營者、交易者等多個主體混雜在各個交易流程中，背后隱藏著多種商業訴求，很容易發生爭議。本文結合實踐經驗，淺析不同主體對數據享有的權益及各主體間的數據權益邊界，為企業提供些許數據合規參考。

一、中國現有法律法規、規范對數據權益的規定

從以上表格可以看出，現有的針對數據權益歸屬的規定，散見于多部法律及規范性文件中，在法律層面，以指導性為主，或針對某一行為進行規制，缺少更為細化或完整的法律體系。這意味著，在數據權益的劃分上，針對除個人敏感信息、國家安全信息等特殊數據以外的其他數據，商業合作者之間有非常大的空間，通過條款約定來設定數據權益邊界，劃分數據權益的歸屬。 

二、案例辨析

通過對現有法律、法規、規范和近幾年司法實務中的案例進行分析和梳理，可以看到，《民法典》對個人信息和隱私權賦予了人格權屬；《數據安全法》對數據權益進行了原則性規定，但并未明確數據的權益屬性；僅有《深圳經濟特區數據條例》直接賦予了數據產品和服務以財產性權益；而《禁止網絡不正當競爭行為規定》（征求意見稿）和《反不正當競爭法司法解釋》（征求意見稿）則是以法律為企業對合法擁有的數據提供法律保護的規定，側面肯定了企業享有數據權益。

而通過對近幾年司法實務中的案例梳理，可以看到，數據權益糾紛主要發生主體為企業和企業之間、個人和企業之間；企業和企業之間的數據權益糾紛可概括為數據抓取糾紛、數據占有糾紛和數據產品權益糾紛，其案由主要為不正當競爭糾紛；個人和企業之間的糾紛可概括為隱私權糾紛、違規收集個人信息糾紛等，其案由主要為侵權責任糾紛。

此外，司法裁判并未明確企業主體或個人主體對數據的財產歸屬，而是以企業或個人主體對原生數據和衍生數據享有競爭性利益、人格利益、財產性權益等進行保護。具體而言，有以下幾種情況：（1）經用戶授權而收集并進行商業利用的數據可以為該企業創造經濟效益，是企業重要且受法律保護的商業資源；（2）企業對記錄網絡用戶信息的原始網絡數據只能依雙方約定享有使用權，但企業大數據產品的數據內容是經過網絡運營者的分析過濾、提煉整合等大量勞動投入和匿名化處理的結果，企業對此享有獨立于用戶的財產性權益；（3）經企業收集、加工、分析、編輯、整合的數據具有實用性并能夠為權利人帶來經濟利益，企業對此享有財產性權益；（4）企業對數據產品付出了人力、物力、財力，經過長期經營積累而形成，企業對數據產品享有競爭性財產權益。

三、衍生數據的權益邊界

（一）與衍生數據有關的幾類特殊商業主體

1、平臺經營者

《電子商務法》將電子商務經營者分為三類，包括電子商務平臺經營者、平臺內經營者以及通過自建網站、其他網絡服務銷售商品或者提供服務的電子商務經營者。電子商務平臺經營者，是指“在電子商務中為交易雙方或者多方提供網絡經營場所、交易撮合、信息發布等服務，供交易雙方或者多方獨立開展交易活動的法人或者非法人組織”，簡而言之，就是搭建平臺、吸引商家和客戶在平臺上完成交易或商業信息流通的“莊家”。

平臺經營者同時觸碰交易各方的原生數據，同時，在各方交易過程中有條件通過數據訓練算法、建立模型，形成銷售戰略、市場分析等衍生數據，在數據生態鏈中處于優勢地位。很多平臺經營者在平臺成熟以后，把商業賦能的相關業務作為另一塊核心主業進行拓展，這與平臺經營者在商業模式上的天然優勢是有直接關系的。

2、外包服務商

在電子商務的生態中，外包服務商是一個重要的群體，他們在市場拓展、平臺搭建、信息處理等方面擁有技術研發和服務能力，能夠為電子商務經營者提供支持。外包服務商在提供服務的過程中，一定會觸碰到電子商務經營者的數據，并開展數據處理的相關活動。外包服務商不是原生數據的權益人，但在提供外包服務的過程中，會形成衍生數據。這里面產生了兩個問題：第一，如何界定衍生數據在原生數據擁有者與外包服務商之間的權益邊界和歸屬，第二，如何防止外包服務商超過合法性、正當性和必要性采集和使用原生數據。針對這兩個問題，各方可以結合各自商業訴求和合同地位，在博弈的過程中，通過協議的約定來明確各自的權責義務。

3、數據供應商

企業為了實現商業目的，除了聘請外包服務商提供專業技術支持以外，還會向數據供應商購買數據。數據供應商的數據來源比較復雜，其中包含平臺經營者等自身掌握海量數據的原始權益人，也有通過爬蟲技術從多個平臺采集數據再進行整合轉售的淘金者。在現有法律框架下，對于數據供應商的資質許可和行業規范沒有具體規定，市場處于魚龍混雜的狀態，基于數據流通的去標識化和匿名化的處理原則，購買者無法對購買的數據進行溯源，如果數據供應商提供的數據來自于不合法或有瑕疵的渠道，而雙方又未在合同中對此進行約定，則購買者可能因未盡到審查義務，而產生因選擇數據供應商不當而被追訴數據侵權責任的風險。

（二）衍生數據的權益邊界探究

1、關于數據來源

衍生數據的產生，依賴于原生數據，源頭的清潔是衍生數據權益合法性的前提和基礎。以提供算法的外包服務商為例，在算法研究和測試過程中，會涉及個人信息和數據的采集和運用，如何保障數據來源的合法合規性，是非常重要的一個核心問題。常見的數據采集方式，主要包括委托第三方供應商（受托方）采集和自行采集兩種。針對第一種，委托方需要針對供應商數據來源的合法合規性提出明確要求，包括要求供應商提供與被采集方之間簽訂的授權文件等，以確保供應商就所采集數據獲得被采集方的有效授權。授權文件應當明確被采集信息的使用目的、方式、范圍及被授權人/數據使用方情況等內容，并獲得被采集人的明示同意。此外，委托方也可以通過在與供應商的委托采集協議中設定供應商承諾和委托方免責條款，由供應商保證數據來源的合法合規性，并承擔數據違規時的法律責任。

有一些從事數據算法研究的企業，會使用本企業員工的生物信息，用于驗證算法精度和效果，這種做法在一定程度上能夠降低授權的成本和數據合規風險。但，即使針對本企業員工，必要的授權文件仍然需要，書面明確告知個人信息收集、 使用的目的、方式和范圍，經被采集人同意后進行采集，并按照被采集人授權個人信息的使用目的、方式和范圍進行使用和處理，這是針對個人信息處理的底線原則。

除此之外，涉及到個人信息收集，脫敏處理也是一個重要的合規保障。通過制定編號規則、以編號代替個人標識，針對住址等敏感屬性信息進行省略或簡化處理等方式去除個性化特征，并在后續傳送和保存的過程中采用加密機制，都可以有效降低數據來源層面的合規風險。

以下是曠視科技在其補充法律意見書中，針對發審委關于數據合規的問詢，以業務場景作為切入點的回復表格，可以參考：

2、關于數據歸屬

在數據歸屬層面，有些數據處理企業的商業模式是“來料加工”型，通過接受數據主體的委托，針對數據主體的具體商業場景進行數據采集和處理，并向數據主體交付成果。在這種服務模式下，數據處理企業不存在超出定向服務目的而使用衍生數據的需求，一般會在雙方的委托協議中把衍生數據的所有權歸屬于數據主體。這樣的方式可以降低數據處理企業在數據合規上的成本，既然對數據權益沒有訴求，也就不需要額外承擔數據合規的風險。

但，對于多數以數據處理為主營業務的企業，在衍生數據的權益歸屬上是有商業訴求的，通過協議來設定權益邊界，是獲取衍生數據權益的最直接手段。針對數據采集對象，通過事前告知被采集人或其監護人采集內容以及采集目的、方式等規則，征得被采集人或其監護人同意后，由被采集人按發行人具體要求主動提供，在被采集人或其監護人授權許可范圍內，采集的業務數據的知識產權和由此研發的產品歸屬采集人，能夠實現采集人對于衍生數據的所有權益。類似的設置，在外包服務商與委托方、數據采購方與數據供應商等法律關系中同樣適用，落實到具體的數據權益歸屬，最終取決于各方的行業地位、市場優勢和價值取向，這種通過約定方式劃定數據邊界的方式，在現有法律框架下并非強制。

3、關于數據共享

有一些集團型的巨無霸企業，會成立專門的數據處理企業來開展細分領域的業務，甚至具備了上市的條件，此時對于數據是否在關聯企業間存在共享的質疑，將成為這類企業數據合規的一個非常大的挑戰。從已有的上市問詢（如京東科技和螞蟻金服等）來看，針對數據池的分享問題，是監管部門關注的一個重點。數據池的數據組成，包含了原生數據和衍生數據，涉及到衍生數據的共享，在完成去標識化等脫敏處理后，通過協議約定是能夠最大限度實現數據分享的合規要求的。但，涉及到數據池中的原生數據，則需要建立隔離制度，否則會影響到衍生數據的合法性。需要在數據源頭、即原生數據上設置隔離。一方面，關聯企業需要各自建立彼此獨立的數據平臺，在數據采集、處理、存儲等環節均進行獨立操作，避免發生交集和混同，在數據邊界上劃分清楚；另一方面，關聯企業之間、以及關聯企業與各自的用戶之間，需要進行整體統籌的數據安排，關聯企業通過簽署合作協議，遵守各自的數據使用和管理相關制度，同時在進行數據共享時需要符合各自與數據主體的約定，不存在侵害數據主體合法利益的情況。 

四、強監管態勢下企業數據合規建議

筆者認為，從立法趨勢和司法案例來看，在未來相當長的一段時間內，數據所有權的定義都將處于現在這樣一種狀態，立法可能不會界定數據的絕對權利及其歸屬，更有可能是從競爭法、知識產權法的層面來對數據使用者或控制者進行相關保護。由此，對于企業數據合規，筆者提出以下建議：

第一，設置適合企業技術特征、市場定位的商業模式。企業處于數據流通的不同環節，合規成本和風險側重點是不同的，由此配置的數據合規文件也會有所不同。企業需要在推出產品以前，即對數據合規問題進行預先評估，否則在商業模式成熟、市場客戶穩定以后如果再進行數據合規的整改，不僅成本高昂，企業也可能因為合規的缺陷直接喪失持續經營能力，為時晚矣。

第二，企業收集、使用數據應獲得用戶的授權。合法獲得用戶授權收集的數據是企業合法享有原生數據資源、衍生數據和數據產品等數據權益的基礎，無論是《民法典》《個人信息保護法》還是尚處于征求意見中的《禁止網絡不正當競爭行為規定》（征求意見稿）和《反不正當競爭法司法解釋》（征求意見稿），都強調了獲得用戶授權在數據全生命周期管理中的重要性。

第三，企業抓取第三方開放數據應注意用戶授權、平臺授權，應審慎考慮是否與其存在競爭關系并遵循“最少、必要”原則，不應超過必要限度，不應對競爭秩序造成破壞。

第四，企業使用公共數據應避免對原生數據主體的名譽或商譽等合法權益造成損害。

第五，以數據為核心競爭力的企業，應當注重內部數據合規體系的建設，對數據進行分級管理，針對不同的崗位和職級設置數據權限，對于業務數據的調取形成可追溯的流程化管理，針對數據供應商、外包服務商等商業合作伙伴，建立白名單和準入制度，在業務合同中設置數據保護條款，通過全方位立體的保障性措施，最大限度維護企業數據的安全性。

數據的流動性和商業屬性，讓數據成為一種新型財富，在競爭與合作的過程中，如何劃分數據權益的邊界、如何確定數據權益歸屬，是企業數據合規的一個基礎性問題。企業需要及早布局，設置護城河和防火墻，通過商業模式設計、內部制度建設、外部協議安排等多種方式，搶占數據高地，方能在大數據時代保持競爭優勢，最大限度實現信息交互過程中的商業價值。 

[作者金代文、趙越來自北京煒衡（上海）律師事務所，本文選自江天驕、姚旭主編的《復旦-煒衡數據安全聯合報告》，課題組其他成員還有：王蕾、陸濱、金代文、 趙越等。該報告由復旦發展研究院開設的咨政實踐類課程研究成果轉化而來，調研過程中得到北京煒衡(上海)律師事務所的大力支持。復旦大學網絡空間國際治理研究基地主任、發展研究院教授沈逸與北京煒衡（上海）律師事務所高級合伙人顧靖擔任課題研究顧問。]