企业数据确权与授权机制研究.pdf

企业数据确权与授权机制研究孙摘莹* 要：面对企业数据新型法益，以责任规则为主的传统保护模式捉襟见肘，财产规则逐渐成为符合政策导向和市场发展现状的选择。洛克劳动赋权理论和马克思劳动价值理论为财产规则的建构提供了学理基础。以劳动程度为依据，可将企业数据的客体类型区分为原始数据、数据资源和数据产品，还可依据数据来源、匿名脱敏与否和数据产品形态对三者进一步细分，由此确定企业数据权利的客体框架，进而将权能差异化配置的思路应用于该框架之下，构建起完全支配绝对排他、完全支配无排他性、有限支配有限排他的分级分类确权规则。以确权规则为基础，可以根据不同的场景为企业数据的流通设计一重或二重授权原则，并由数据登记、数据经纪、数据信托、数据交易所等配套制度提供外部助力，构建出可信的流通环境。关键词：企业数据；数据确权；数据授权；劳动理论当今时代，数字化转型关乎产业升级和企业发展。企业在完成“数字蝶变”的过程中，既可对数据进行内部使用，通过数据辅助决策、数据精准营销等方式实现“业务数据化”；也可将数据交由外部流通，通过数据交易、数据信托甚至是数据作价出资的方式实现“数据业务化” 。数据的价值在企业的创新性运用中被逐步释放。然而，与数字化转型的高歌猛进形成对比的是，关于企业数据的法律供给出现了一定空缺。其中最主要的是以下两个方面：其一，企业对其合法持有的数据是否享有权利，如果享有权利，该权利性质和效力如何；其二，企业数据进入市场流通之后，如何建构适应数据之上复杂利益格局的授权机制和配套制度？本文尝试对企业数据的确权和授权机制进行研究，以期为数字法治实践提供有益参考。一、企业数据的特征和法益保护困境针对企业数据的法益保护，首先应当在已有的法律制度框架中寻求保护路径。然而，基于企业数据的特点，传统法益保护模式显现困境，创设一种与物权、知识产权等权利并列的新型数据产权成为了适应市场需求和时代趋势的选择。〔1〕（一）企业数据的特征企业数据具有数据的一般特征，包括可复制性、非竞争性、可排他性等。其中，数据的可复制性和非竞争性特性并无争议。关于数据的可排他性，有学者认为，数据一旦被收集即可以轻松复制并迅速传〔2〕播，难以具有排他性；另有学者认为，数据绝不是自动的、必然的可供任何人使用，管理者完全可以利用 *西南政法大学民商法学院教授、法学博士后研究人员，法学博士。本文系国家社会科学基金重大项目“民法在建设职责明确、依法行政的政府治理体系中的作用研究” （项目编号： 21ZDA050）的阶段性研究成果。〔 1 〕参见张新宝：《论作为新型财产权的数据财产权》，载《中国社会科学》2023年第4期，第145页。〔 2 〕Filippo Lancieri, Narrowing Data Protection's Enforcement Gap, 74 (1) Maine Law Review 15-72 (2022). ·56· 《比较法研究》 2023 年第 3 期技术手段或者昂贵的访问费用将外部主体拒之门外。〔3〕应当认为， “可排他性”能够较为周全地概括数据的此种特征。首先，从自然属性上看，数据确因无形且可复制而不具有物理上的排他性，但是在实践中，通过对硬盘、服务器等物质载体的封存以及对数据的加密、追踪，可以人为地使某些数据成为“内部〔4〕数据”而排除他人使用；其次，法律也是人为制造排他性的重要途径，换言之，法律可确认某一主体在某一客体之上享有的绝对权，权利人有权排除他人未经同意使用该客体，否则应承担法律责任，传统的知识产权即为实证。〔5〕由此，数据的可排他性可区分为事实上的可排他性和法律上的可排他性，这使得其被排除于经济学上的公共品之外，在数据之上建构确权规则具有了理论上的可能。此外，企业数据还基于其价值实现规律而具备独有的特征，包括经济目的性、利益复杂性、价值释放的依附性和渐进性、价值实现的流动性以及显著的负外部性。首先是经济目的性，企业作为市场主体，其收集并使用数据的首要目的即在于追逐经济利益，企业数据确权与授权机制设立的宗旨之一即是充分保护企业对数据享有的合法利益诉求；但与此同时，企业数据具有利益复杂性，同一数据要素之上往往并存有个人信息权益、公共利益等多元主体的利益诉求，因此又需要针对性地调整企业数据权利规则的强度。其次是价值释放的依附性和渐进性，企业数据的使用价值需要与劳动力、资金等其他生产要素结合才能完成数据的资源化；而且，企业数据的使用价值难以在数据资源化之后就一劳永逸地完全释放，其后续价值的完全释放仍有赖于特定企业通过进一步投入劳动和资金完成价值挖掘。再次是企业数据的价值实现具有流动性，只有经由流通才能真正实现数据的价值，因为同一批数据在不同企业手里能够发挥的价值迥然不同，数据本身也需达到一定量级才能产生规模效应，这指向了建构企业数据授权规则的现实需求。最后，企业数据的价值释放过程具有显著的负外部性，数据泄露、数据垄断以及数据的不当使用都会给企业、个人、社会乃至国家造成不利影响，这意味着企业数据的确权与授权规则及其配套制度需要周全考虑，在数据价值实现和数据安全之间寻求平衡。（二）传统保护模式的困境在明确企业数据的特征之后，需要进一步探讨的是，当前的法律框架能否为企业数据法益提供完备的保护方案？学界基于既有的保护模式提出过以下观点：其一，所有权保护模式，即认为数据是民法上〔6〕的无体物，以光、电、磁等物理方式客观存在，因而可以成为所有权客体，该模式将企业数据权利认定为单一主体的绝对排他性权利；其二，合同法保护模式，理由有二，一是数据具有非客体性和非财产性，无〔7〕法被权利化，而应诉诸债法保护数据法益，二是企业对数据的处理以个人授权为前提，此时产生的是一〔8〕种基于合同取得的使用权，该模式下的企业数据权利实为一种相对权；其三，知识产权法保护模式，即〔9〕通过著作权或商业秘密等保护数据；其四，反不正当竞争法保护模式，即承认企业对数据享有竞争利益，并且将市场上的竞争对手未经允许获取、使用数据的行为认定为不正当竞争行为，依照一般条款予〔10〕以惩戒，该模式实际上是借由责任规则实现对企业数据法益的保护。然而，以上模式都存在着不可避免的弊端。首先，企业数据的非竞争性和可复制性使其不可能具备物的独立性和特定性，企业数据之上的多元主体利益格局也使得企业对数据所享有的权利难以排除个人信息主体、公共利益主体乃至于国家的干涉，以所有权模式令企业对数据行单一主体的绝对排他性支配已不复可能。其次，企业数据具有经济目的性，需要赋予企业足够实现经济利益的积极权能以及足以〔 3 〕参见武长海：《数据法学》，法律出版社2022年版，第26页。〔 4 〕Wolfgang Kerber, A New (Intellectual) Property Right for Nonpersonal Data? An Economic Analysis, GRUR Int. (Gewerblicher Rechtsschutz und Urheberrecht Internationaler Teil), Heft 11, 2016, S. 789-799. 〔 5 〕参见纪海龙：《数据的私法定位与保护》，载《法学研究》2018年第6期，第81页。〔 6 〕参见申卫星：《论数据用益权》，载《中国社会科学》2020年第11期，第122页。〔 7 〕参见梅夏英：《数据的法律属性及其民法定位》，载《中国社会科学》2016年第9期，第164—183页。〔 8 〕参见马宇飞：《企业数据权利与用户信息权利的冲突与协调》，载《法学杂志》2021年第7期，第167页。〔 9 〕参见芮文彪等：《数据信息的知识产权保护模式探析》，载《电子知识产权》2015年第4期，第95—100页。〔10〕参见许可：《数据保护的三重进路——评新浪微博诉脉脉不正当竞争案》，载《上海大学学报（社会科学版）》2017年第6期，第15—27页。 ·57· 企业数据确权与授权机制研究孙莹排除第三人侵害的绝对性权利，若仅通过合同机制或竞争法的责任机制保护企业数据，企业的合法经济诉求将难以得到充足保障，因为无本权即无从完成数据权利流通交易等经济活动，无绝对性权利而以合同法和竞争法进行保护就只能阻止有限的主体（合同相对方以及市场中的竞争对手）对数据实行的侵害，却对无合同关系和无竞争关系的第三人无排他效力。〔11〕最后，知识产权保护模式仅能填补企业数据法益保护的部分空白，对于不具备独创性或秘密性的数据则无能为力。可见，传统的保护模式在面对企业数据新型法益时已经捉襟见肘，我们需要另辟蹊径寻求更为适应企业数据特征的确权模式。二、企业数据确权的学理基础企业数据的经济目的性决定了应该对数据财产进行必要的确权，企业数据的负外部性及其价值释放的依附性和渐进性也要求在数据财产规则的构建中考虑多元主体的合法利益诉求以及所涉主体在劳动和资金方面的贡献。由此构建的企业数据确权规则必然需要承认一定的积极权能以实现经济利益，但又需要限制排他支配的效力以兼顾其他主体的利益。（一）卡梅框架下的规则选择：从责任规则到财产规则卡梅框架（C&M Framework）由卡拉布雷西和梅拉米德于20世纪70年代提出，至今仍具有广泛的影响力。在卡梅框架之下，法律规则被划分为禁易规则、财产规则以及责任规则。禁易规则意在禁止法益自由转移，即使双方当事人皆自愿也不得转移；财产规则意在允许且保护法益自由转移，强调权属确定和定价自由，即由国家确定法益的初始归属，而法益的交易价格交由当事人自由确定；责任规则又称强制交易规则，意在允许法益转移但以法定价格买断，即由法院、行政机关等第三方强制定价，通常表现为以损害赔偿金、征用补偿金等为价格的强制交易。〔12〕对于同一法益，法律可以结合现实需求选取最为恰当的规则种类，也应当意识到该既定选择背后还有其他几种潜在选项。如果将卡梅框架作为解决企业数据法益保护难题的理论工具，首要的便是需要在禁易规则、财产规则和责任规则之间作出选择。从企业数据法益保护的现状来看，我国当下主要采用责任规则。前文已述，适用竞争法是实践中保护企业数据的主要路径。近年来引发关注的大众点评诉百度地图案、新浪微博诉脉脉案、淘宝诉讼美景案、腾讯诉抖音案等，都选择激活反不正当竞争法的一般条款，以损害赔偿的方式保护企业数据法益。由此，一方面企业的经济损失得到了法律救济，另一方面损害赔偿金也成为了“买断”企业数据法益的法定价格。企业数据法益的转移即其对价的确定并未经由当事人的自由意志，而是由作为第三方的法院强制交易并强制定价。正是从此角度出发，有学者将责任规则的实际运行效果总结为“使用者可以不经产权持有者的同意，先使用产品，再支付对价”，此即强制交易，与法益转移必经法益主体同意并由交易双方行使定价权的财产规则形成鲜明对比。关于选择责任规则的理由，学界论证的方向主要有以下三个方面：其一，责任规则回避了企业数据确权的争议，即无需赋予企业财产权利，而只需保护数据之上的合法利益。其二，责任规则回避了企业数据事前交易成本过高的现实难题。数据市场呈现出互联网巨头和中小微企业议价地位不平等的局面，同时也面临着数据估值难度大、主观性强等问题，自愿交易难以达成， “先使用再支付法定价格”的模式可强制使数据资源重新配置。其三，采取财产规则赋予企业数据权利，将阻碍后来者创新利用，责任规则在支付适当补偿的同时，限制了企业对数据的绝对控制地位。〔13〕应当看到，规则种类的选择实为利弊衡量的过程，并且与市场条件和现实需求的变迁有着紧密联系。责任规则向来不是当然的、唯一的选择，甚至可以说，责任规则是面对企业数据权属争议和市场流转困顿而采取的权宜之计。随着政策导向的明确和数据要素市场的完备，财产规则逐渐从潜在选项跃升成为更优选〔11〕参见徐海燕、袁泉：《论数据产品的财产权保护》，载《法律适用》2018年第20期，第86页。〔12〕 Guido Calabresi & A. Douglas Melamed, Property Rules, Liability Rules, and Inalienability: One View of the Cathedral, 85 (6) Harvard Law Review 1089-1128 (1972). 〔13〕参见石丹：《大数据时代数据权属及其保护路径研究》，载《西安交通大学学报（社会科学版）》2018年第3期，第82页。 ·58· 《比较法研究》 2023 年第 3 期择。首先，中央政策已经明确指引我们直面数据确权难题，建立保障企业数据自由交易的市场机制。例如《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“ 《数据二十条》 ” ）要求“建立保障权益、合规使用的数据产权制度”“ 、建立合规高效、场内外结合的数据要素流通和交易制度”，同时更进一步要求“建立企业数据确权授权机制” 。确权与授权机制的要义即在于充分尊重市场主体的自由意志，有别于责任规则的强制交易模式。其次，全国各地已建立五十余所数据交易机构，数据要素定价机制也逐渐走向成熟，事前交易成本和议价权垄断风险将不断降低，数据要素流转交由市场自行调整已足。以上两点，意味着最初选择责任规则的前两个理由已被削弱。至于学者提出的赋权将助长企业对数据的绝对控制并建立数据行业的市场壁垒，并不能成为继续选择责任规则的充分根据——立法者完全可以在采取财产规则的前提下建构起有别于“绝对控制”的数据权利，并设置特殊规则来矫正不平等的市场地位。应当认为，全然选择责任规则已不合时宜，积极确权是必然之势。企业数据的强财产性使其具有天然的经济基因，将制度重心从责任规则转变为财产规则是最为自然且最为符合企业数据特征的选择。但是，也应认识到，责任规则和财产规则的选择并不是非此即彼，数据要素市场基础制度的建构并非要以财产规则完全替代责任规则。较为恰当的方案应是，持发挥市场在资源配置中的决定性作用的立场，以保障自由交易的规则为主，并在防止垄断、涉及公益等例外情形下规定法律买断式的责任规则。（二）财产规则的理论证成：劳动理论的数据法表达在卡梅框架选择财产规则之后便需要在一定理论基础之上明晰其权利主体、权利客体和权利内容。数据赋权最为经典的理论基础是洛克的劳动赋权理论，该理论构建了“人类共有—劳动—财产权” 的私有财产取得路径。洛克认为，在自然状态下物产由人类共有，而当个人通过劳动使人类共有的物产脱离自然状态时，个人就获得了财产权，财产权回报了个人劳动在物产之上附着的价值。〔14〕洛克的劳动赋权理论充分解释了人们对有体物享有私有财产权的正当性基础，后有学者将劳动价值理论的适用范围扩张至作品、发明等无体财产，将该理论作为证成知识产权的学理依据之一。〔15〕企业数据与知识产权的客体具有相当程度的相似性，两者同为无体财产，同样蕴含了劳动，同样具有非竞争性和需要法律人为地赋予规范意义上的排他性的非物理排他性，那么，企业数据确权是否能够沿袭这一可循路径得以证成呢？在过往的研究中，有学者直言企业数据确权面临着“劳动赋权的失败”，主要质疑有四：一是企业的劳动并未直接对应企业数据库的创建，企业数据往往只是在生产经营活动中作为副产品而产生，可称为〔16〕 “副产品论”；二是数据劳动本身并不能直接证成数据权利，劳动只是证明了数据被生产这一基础性事〔17〕实，换言之，并非只要有劳动事实即可使企业取得对信息的财产权，可称为“劳动不充分论”；三是企业数据之上蕴含了“谁的劳动”存在着巨大争议，同时数据的非竞争性和非排他性使得其占有主体并非唯一，可称为“多元主体论”；四是数据确权不同于洛克时代对有体物的确权，数据本具有公共属性，在其上设置排他性权利对社会影响的范围远超过在有体物上创设物权的本旨，将会导致企业对公共领域的侵占和垄断，可称为“侵占垄断论”。〔18〕尽管如上所述，企业数据的特征使得传统的劳动赋权出现了解释困难，但这远不能下结论为“劳动赋权的失败”。不妨结合洛克的经典论述和学者对数据劳动确权提出的质疑，重新梳理企业数据是如何通过劳动脱离公共领域的。洛克提出的财产权取得路径可归纳为三个要素：作为产生前提的“人类共有”、作为关键因素的“劳动”和作为劳动结果的“财产权”。在信息时代下，最初各类信息是由人类共有，此即多数学者强调的 “数据与信息的公共属性” 。但数据与信息的公共属性并非恒久不变，当被施加人类的劳动或与人类产生某种联系之时，部分数据与信息就将脱离公共领域。其中，投入智力劳动而创造出的信息，将被赋予〔14〕参见［英］洛克：《政府论》（下篇），叶启芳、瞿菊农译，商务印书馆1964年版，第21—31页。〔15〕参见吴汉东：《知识产权总论》，中国人民大学出版社2013年版，第137页。〔16〕参见梅夏英：《在分享和控制之间：数据保护的私法局限和公共秩序构建》，载《中外法学》2019年第4期，第1199页。〔17〕参见韩旭至：《数据确权的困境及破解之道》，载《东方法学》2020年第1期，第102页。〔18〕参见张浩然：《由传统数据库保护反思新型“数据财产权” 》，载《法学杂志》2022年第6期，第154页。 ·59· 企业数据确权与授权机制研究孙莹知识产权进行财产法保护；可识别特定自然人的信息则基于人格关联性可被赋予人格权保护。〔19〕与此同理，企业数据也完全可能经由某种程度的劳动或其自身的性质而成为私权的保护对象。鉴于企业数据权益与知识产权的相似性，劳动赋权仍然是最具可能的脱公理由。事实上，数据的收集、筛选、清洗、整合以及日后的维护和开发都需要投入大量的金钱和人力资源，蕴含了劳动的企业数据无疑可能被赋予数据产权。至此，企业数据完整地契合了洛克提出的“人类共有—劳动—财产权”的财产权取得路径，但仍然面临着学者对数据劳动赋权提出的尖锐质疑，逐一回应如下：首先， “副产品论”和“劳动不充分论”的内在逻辑是统一的，论者都提出了同一事实——对于某些企业数据，企业似乎并未投入足够的劳动。事实上，不仅是在数据领域，传统的有体物劳动赋权也面临着相同的问题，如诺齐克提出的经典反驳： “如果我们把一瓶番茄汁倒入大海，番茄汁的融入使大海的自然状态发生了变化，我们对大海添加了自己的劳动，难道就可以把大海占为己有？显然并不可能。 ”〔20〕不可否认，部分客体（如倒入番茄汁的大海）蕴含的劳动仍不充足，不可能进行赋权。但反过来讲，蕴含了充足劳动的客体则具备赋权可能（如洛克列举的土地、泉水、猎物等）。那么是否意味着，蕴含着“充足劳动”且区别于“副产品”的那部分企业数据，可以作为数据产权的确权客体呢？答案是肯定的，因此， “企业数据能否劳动确权”这一问题不能作全有或全无的回答，我们需要在构建数据产权之时充分识别企业劳动的有无和程度，进而为不同场景下的企业数据法益采取强度不同的产权保护。其次， “多元主体论”并非对“劳动是否足以确权”的质疑，而是聚焦于劳动赋权的现实困难。在企业数据释放价值的过程当中，个人、企业、社会和国家都可能做出一定的贡献，因而享有合理的利益诉求。这确实使得企业数据区别于传统有体物，难以为其确定单一的、最终的权利归属人。但这并非在确权问题上望而却步的理由，数据产权的构建完全可以去寻求一个容纳多元主体多元利益的制度框架，《数据二十条》初步提出的数据产权分置方案即提供了有益参考。最后， “侵占垄断论”能够在洛克提供的理论框架内部得到解决。洛克在提出财产权取得路径之后，补充了两方面限制条件：一是“腐坏规则”，即个人享有的所有权应以其需要为限，若不加使用放任物产败坏，那么应当认为个人超出其应得的界限获取了多余的财产权，无异于掠夺别人；二是劳动取得财产的同时需要〔21〕留有足够多且同样好的东西给其他共有人。洛克提出的上述限制，否定了数据侵占和垄断的正当性。流通是数据价值释放的唯一途径，企业超出其正当性需要阻碍数据的流通无疑是数据时代下的“放任物产腐坏”，留有足够多同样好的东西给其他共有人的要求也回归了数据的公共属性，为企业数据强制共享等制度提供了理论基础。因此，学者的上述质疑不仅没有撼动劳动赋权理论在企业数据确权问题上的适用，而且启发我们进一步以洛克补充的两大限制条件为依据，设置促进数据流通和防止数据垄断的特殊规则。如此，洛克的劳动赋权理论在企业数据确权问题上的适用性得到了验证，但我们仍需注意洛克式劳动赋权本身存在的弊端。马克思提出的劳动价值理论在继承劳动赋权思想的基础上，着眼于资本家对劳动者的剥削，对洛克式赋权进行了深刻的批判。〔22〕具体到数据确权之上，经由后人发展的马克思劳动价值理〔23〕论敏锐地识别出了企业对于个人“数字劳动”的无偿占有。数字劳动区别于传统劳动的显著特征在于 “生产和消费的界限逐渐模糊”——个人往往在企业数据的形成过程中扮演着“产消者”的身份，即在网〔24〕络阅读、社交甚至游戏的过程中源源不断为企业创造数据。这种创造数据的劳动被学者称为“玩劳动”，〔19〕参见齐爱民：《个人信息保护法研究》，载《河北法学》2008年第4期，第17页。〔20〕参见［美］罗伯特·诺齐克：《无政府、国家与乌托邦》，何怀宏等译，中国社会科学出版社1991年版，第179页。〔21〕参见［英］洛克：《政府论》（下篇），叶启芳、瞿菊农译，商务印书馆1964年版，第21—31页。〔22〕参见夏少光：《破解洛克悖论：马克思对资产阶级契约政府理论的超越》，载《哲学研究》2021年第7期，第78—88页。〔23〕参见乔晓楠、郗艳萍：《数字经济与资本主义生产方式的重塑——一个政治经济学的视角》，载《当代经济研究》2019年第5期，第5—15页。〔24〕参见周绍东、戴一帆：《数字劳动、平台租金与双边垄断——马克思地租理论视阈下的平台资本主义批判》，载《西部论坛》2022年第5 期，第4页。 ·60· 《比较法研究》 2023 年第 3 期其同样是一种名副其实的劳动。〔25〕但这种劳动因其隐蔽性，在现实中常被忽略。数据因此被企业独占，随后创造的经济价值也未曾与个人共享，这无疑是对数字劳动者剩余价值的剥削。由此可见，马克思劳动价值理论指导下的企业数据产权制度，不仅要重视因人格关联性而承载着自然人人格利益的个人信息，也要重视因个人的数字劳动而承载着数字劳动者财产利益的其他信息，必须体现出对个人数字劳动的肯认。综上所述，在卡梅框架当中确认了财产规则这一选择之后，洛克的劳动赋权理论和马克思的劳动价值理论共同构成了进一步构建数据产权制度的学理基础。劳动的有无和程度亦成为权利客体、权利主体和权利内容规则设计的具体依据，企业数据确权当中应当区分不同的劳动投入程度确定企业数据权利的客体种类，也应当识别并肯认所有在数据之上投入劳动的主体作为权利主体，权利内容的设计也受到数据之上多元主体贡献的影响，不可能如传统财产权一般设置单一主体的绝对支配性权利，而需要另寻符合多元主体多元利益诉求的内容设计方案。三、财产规则的具体构建：企业数据产权制度确权是自由交易的基础，《数据二十条》提出要建立数据分类分级确权机制，但当前仍未有统一的分类分级标准。主体在企业数据之上投入的劳动是原始权利产生的依据。通过前文的分析可知，劳动作为考量因素，不仅是有无之别，还存在程度之分。分类，是指对企业数据客体进行类型化界分；分级，则是对企业数据权利的权能效力进行差异化配置，在数据分级分类确权机制中，劳动的程度恰恰是可供采用的划分标准，详述如下。（一）权利客体——企业数据客体框架的构建过往关于企业数据确权的研究往往基于“原始数据—数据集合—数据产品”的三分法展开论述。〔26〕但此种分类方式杂糅了两种独立标准，造成了类型上的不周延。其中，原始数据侧重于表达数据是否经由加工，数据集合侧重于表达数据是否经过汇集。事实上，企业对原始数据进行初步加工与汇集的目的即在于化无用数据为有用数据，这一过程可统称为“数据的资源化” 。〔27〕数据资源化既要求将杂乱无章的数据整理为统一格式以便机器统一读取，又要求将价值低微的单一数据汇集到一定量级以期产生规模效益，由此形成的“数据资源”兼具可读取性和规模量级，并非“数据集合”之概念所能涵盖。有新近拟定中的地方性立法即采取了这一思路，以“数据资源”的概念替代“数据集合” 。其中《深圳市数据产权登记管理暂行办法（征求意见稿）》还明确对数据资源和数据产品进行了定义：数据资源，是指自然人、法人或非法人组织基于数据来源方授权，在生产经营活动中采集加工形成的数据；数据产品，是指自然人、法人或非法人组织通过对数据资源投入实质性加工和创新性劳动形成的数据和数据衍生产品。此种定义殊值借鉴，但仍有四点可完善之处：其一， “基于数据来源方授权”指代的是原始数据的收集活动，将其包含至数据资源的定义之中，实为遗漏和混淆。原始数据来源于企业的数据采集活动，而数据资源来源于企业的资源化加工活动。应当在数据资源和数据产品之前补充原始数据这一重要客体，并将采集环节抽离出数据资源的定义之外，归入原始数据的定义之中。其二，数据收集的方式不仅限于“基于数据来源方授权”，还包括“企业自主采集” 。其三， “数据来源方”宜进一步细分为个人、其他企业和公共管理机构，因为数据来源方的不同将对权利内容的配置产生直接影响。其四，数据产品的定义强调“实质性加工和创新性劳动”，但事实上企业对数据产品享有权利不以创新性劳动为必要；数据产品确权仅需确认企业有实质性加工，至于该加工是否有创新性不应是数据确权时考虑的问题，否则难以区分数据产权和知识产权的界限。基于此，本文对企业数据权利客体界定如下。企业数据权利的客体包括原始数据、数据资源和数据产品。原始数据，是指企业自主采集或基于个人、其他企业、公共管理机构授权获得的未加工数据。数据资源，是指企业对自身持有的原始数据进行资源化加工，或经由其他数据资源持有者授权取得的具有〔25〕 Julian Kücklich, Precarious Playbour: Modders and the Digital Games Industy, 5 Fibreculture Journal (Jan. 2005). 〔26〕参见姬蕾蕾：《企业数据保护的司法困境与破局之维：类型化确权之路》，载《法学研究》2022年第3期，第115页。〔27〕参见黄科满、杜小勇：《数据治理价值链模型与数据基础制度分析》，载《大数据》2022年第2期，第5页。 ·61· 企业数据确权与授权机制研究孙莹机器可读取性和一定规模量级的资源化数据。数据产品，是指对数据资源投入实质性加工形成的衍生数据和数据衍生产品，包括数据分析报告、数据可视化产品、数据API等。图1 企业数据权利客体界定不难发现， “原始数据—数据资源—数据产品”的演进过程，表面上是数量和形态的变化，实质上暗含着“劳动程度”的逐步深化。劳动程度为企业数据权利客体的分类提供了一以贯之的标准。处于起点的原始数据，若为企业通过机器监测或人工记录自主采集所获得，应识别出“捕获数据”的劳动。处于后续环节的数据资源和数据产品都以“经过企业加工”为特征，区别在于劳动程度的不同：从原始数据到数据资源，需要企业投入采集、清洗、整合等劳动完成数据的资源化，此种劳动程度较低，表现为形式上的归集和整理；从数据资源到数据产品，则需要企业充分挖掘数据资源的价值，以此开发出衍生数据或数据衍生产品。后两者经由企业实质性加工，在形态上已与原始数据没有直接对应关系，是为更高程度的劳动。还需补充的是，原始数据、数据资源和数据产品之上的数据产权除以劳动的方式原始取得外，尚有继受取得路径，包括基于个人同意取得个人原始数据；基于其他企业授权取得原始数据、数据资源和数据产品；基于公共管理机构授权取得原始数据、数据资源、数据产品三种情形，如图1所示。（二）权利内容——企业数据产权的结构性分置《数据二十条》对数据产权制度提出了两点要求。一是“根据数据来源和数据生成特征，分别界定数据生产、流通、使用过程中各参与方享有的合法权利”，这正是前文类型化界定企业数据权利客体的根本原因，客体的细分为分级分类确权提供了基础框架。二是“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制，推进非公共数据按市场化方式‘共同使用、共享收益’的新模式，为激活数据要素价值创造和价值实现提供基础性制度保障”，这要求我们在上述客体框架下深入分析各方主体享有的权利及其关系。 1.企业数据产权三权分置之要义与内部张力关于企业数据数据产权的权能配置，学界提出了各式颇具参考价值的方案，包括“数据控制权”〔28〕、 “数据资产权—数据经营权”二元赋权〔29〕“ 、数据有限排他权”〔30〕等方案。《数据二十条》充分吸收了上述意见，提出了持有权、加工使用权、产品经营权三权分置的思路。随之而来的疑问是，如何理解这三种权利的内涵，其中数据资源持有权与过往研究所称的数据所有权存在何种区别？如何认识三权之间的内部张力，是否可以直接沿用物权理论中所有权与用益物权之间的关系来理解持有权与其他权利的关系？数据产权的结构性分置以数据价值实现过程为内在线索。数据持有权，是指通过自主劳动生产或经由相关数据主体的授权同意，对原始数据、数据资源和数据产品享有的管理、使用、收益和依法处分的〔28〕参见李晓宇：《权利与利益区分视点下数据权益的类型化保护》，载《知识产权》2019年第3期，第50—63页。〔29〕参见龙卫球：《再论企业数据保护的财产权化路径》，载《东方法学》2018年第3期，第50—63页。〔30〕参见崔国斌：《大数据有限排他权的基础理论》，载《法学研究》2019年第5期，第3—24页。 ·62· 《比较法研究》 2023 年第 3 期权利；数据加工使用权，是指经由数据持有权人授权，对原始数据、数据资源享有的使用、分析、加工数据的权利；数据产品经营权，是指数据持有权人或经由授权的其他主体作为数据市场主体，对加工数据形成的数据产品享有的自主经营权和收益权。〔31〕理解上述概念时应注意的是，数据产权中的持有权不同于所有权，数据产权结构性分置后三权之间的关系亦不能用权能分离进行解释，详述如下：其一，所有权是一种绝对排他性权利，而数据持有权是一种支配和排他权能随客体形态变化而变化的权利。有学者以“游尺”来比喻数据持有权的该种特征——左端为无排他性的完全共享状态，右端则为完全支配、绝对排他的完全控制状态，企业数据持有权的权能配置即在这两个端点之间滑动，而游尺的落点取决于数据权利客体的形态。〔32〕排他性不确定的根本成因在于，大部分企业数据之上并存有多元主体的多元利益，而在价值位阶当中企业的财产利益相比人格权和公共利益处于劣后位置。〔33〕这意味着企业享有的数据持有权始终需以同一数据之上存在的个人信息权益、公共利益以及自然人和公共管理机构的授权范围为限，后者削弱着企业数据权利的支配和排他权能。因此，将数据持有权的权能配置问题代入前文梳理的企业数据权利客体类型化界分的框架，条分缕析确定不同客体形态下的企业数据之上存在着怎样的利益格局，进而确定该类企业数据之上持有权的支配和排他权能，是为企业数据确权的基本思路。其二，数据持有权与数据加工使用权、数据产品经营权之间并非如同所有权与用益物权之间的关系，而是呈现出并行不悖、各行其是的局面。传统大陆法系下的所有权可被比喻为完整无缺而弹力十足的“权〔34〕利球”，权能分离理论与弹力性理论解释了所有权人在其所有物上设定用益物权的微观过程但在企业数据权利之上，数据具有非竞争性而无需遵循一物一权原则，数据持有权人在数据要素上为他人设置数据加工使用权和数据产品经营权，并不会使其持有权虚化，数据权利之间的关系并非相互排斥的关系，而是多元并存的关系。学者往往引入权利束理论来为此种关系的精准认识提供观测模型——权利束理论认为，同一财产之上的权利主张具有多样性、并存性和可分割性，只要这些权利之间的边界是清楚的，各权利〔35〕人就可以和谐共处，并行不悖地行使自己的权利。在数据这一客体之上，同时存在着前文已述的多元主体多元利益，而即使在企业数据权利内部，亦同时存在着表征归属的数据持有权，表征利用的数据加工使用权和数据产品经营权，企业数据产权结构性分置的主要目的就在于将不同权利分配给最合适的主体，以平行利用的模式最大程度上实现数据价值。这意味着企业数据财产权的本质从来不是人对数据的单一稳定关系，而是围绕着企业数据这一客体展开的人与人之间的利益协调和价值实现关系。应进一步澄清的是，数据产权与知识产权之间存在着一定的交叉，但也有着明确的界限。在劳动赋权理论视角下，著作权和专利权的认定要求权利人投入智力劳动并满足独创性或创新性要件，但数据产权的取得并无此种要求，只要求投入区别于副产品的实质性劳动。不难发现，两者的交叉在于“劳动”，而界限在于“创新性劳动” 。因此，若企业对某一数据或数据产品投入的劳动符合了知识产权的取得要件，完全可以进一步寻求知识产权的绝对排他保护，甚至在著作权保护模式下获得人身权保护。综合上述分析，可以得出以下认识：企业数据产权分置着眼于共同使用、共享收益模式下数据价值的充分实现，因此，基于企业数据权利客体的类型化界分框架逐一分析不同场景中企业数据之上的利益分配格局，为企业享有的数据持有权确定不同级别的排他支配效力，是企业数据确权的基本思路。 2.原始数据产权的差异化配置差别化配置的思路在过往研究中已有学者采用，例如有学者认为，企业对原生数据不享有绝对权，〔36〕而对衍生数据享有绝对权；还有学者认为，应以绝对排他私有产权保护原始数据和数据产品，而以有〔31〕借鉴并修改了王春晖教授的定义。参见王春晖：《构建数据产权制度的核心要义》，载《南京邮电大学学报（社会科学版）》 2023年第1期，第25页。〔32〕参见周樨平：《大数据时代企业数据权益保护论》，载《法学》2022年第5期，第168页。〔33〕参见王利明：《民法上的利益位阶及其考量》，载《法学家》2014年第1期，第86页。〔34〕参见许可：《数据权利：范式统合与规范分殊》，载《政法论坛》2021年第4期，第89页。〔35〕参见王利明：《论数据权益：以“权利束”为视角》，载《政治与法律》2022年第7期，第101页。〔36〕参见杨立新：《衍生数据是数据专有权的客体》，载《中国社会科学报》2016年7月13日。 ·63· 企业数据确权与授权机制研究孙莹限排他私有产权保护数据集合。〔37〕但经由前述客体的类型化界分之后，我们发现原始数据内部也有差别，不能简单地采取全部绝对排他或全部有限排他的模式来界定企业享有的权利，而需进一步细分，更为精确地进行差异化配置。对于自主采集取得的数据，企业享有原始数据持有权，该权利具有完全支配、绝对排他的权能。在此种情形下，企业是通过自身的劳动即原始取得路径取得原始数据之上的数据产权。具体而言，企业或是组织人力进行人工采集，或是投入资金和研发资源部署数据监测硬件，进而将生产经营活动或公共空间中产生的数据固定化并予以存储。这一过程可被理解为“捕获”数据的过程——企业在奔涌向前的数据洪流中捕获了数据，而数据产权是对其付出捕获劳动的奖赏。〔38〕同时，考察数据的形成过程，企业的捕获劳动是该类原始数据脱离自然状态的全部原因，这意味着只要该数据不具有人格关联性和公共利益关联性，企业就能够独占该数据的利益，享有较高水平的支配权能和排他权能。基于个人同意取得的数据，企业享有原始数据持有权，但其排他支配权能受个人信息权益限制，以下从三方面予以论述：其一，企业享有个人原始数据的持有权，但其产生依据并非企业投入的劳动，而是个人信息主体的授权和法律的确认。具体而言，尽管企业向大量个人征求同意的数据收集劳动付出了相应的成本，但这仅仅意味〔39〕着企业对大量个人信息集聚而成的数据资源这一整体享有合法诉求。若仅考察企业与特定个人之间的关系，企业收集单条个人信息付出的劳动显然不足以使其原始取得对该信息的财产权。事实上，企业取得个人原始数据持有权的法理基础是个人的知情同意和法律对企业合法持有个人信息这一事实的确认，个人行使个人信息决定权使企业对个人信息的持有合法化，企业进而通过继受取得路径取得该类原始数据的持有权。其二，企业享有的个人原始数据持有权性质上为绝对权。在明确企业的个人原始数据持有权来源于个人授权而非来源于企业的劳动之后，疑问在于，持有权既然是依据授权产生，是否意味着该权利属于相对权？例如有学者就认为，企业享有的财产权利通过合同取得，范围由合同确定，并非是一种具有排他支配性的绝对权。〔40〕本文认为其实不然，一方面，通过合同取得的权利并不必然是相对权，例如居住权人可通过合同取得居住权，并且居住权的行使以合同约定的居住条件、要求、期限为限；另一方面，若仅将企业对其收集的个人原始数据享有的权利认定为相对权，那么当其他企业擅自使用其收集的原始信息时，企业将无本权支持排除第三人的干涉、妨碍、侵害。〔41〕因此，虽然企业的个人原始数据持有权是基于授权而来，但应明确企业对该原始数据享有的权利具有排他性效力。绝对权的赋予，实际上是法律对企业“依法取得并持有数据”这一事实状态的确认和保护。其三，企业享有的个人原始数据持有权仅具有有限的排他支配权能，受到个人信息权益的限制。首先，个人可依法行使撤回同意权、删除权、信息携带权等权利，企业不得拒绝；其次，企业的信息处理活动不能超出个人的同意范围或法律授权范围；最后，基于知情权和决定权的要求，企业数据持有权的处分权能亦受到限制，不得未经同意擅自向第三人提供个人原始数据。这意味着，企业的原始数据持有权始终处于个人信息权益的掣肘之下，并无享有绝对排他支配权的空间。基于公共数据开放取得的数据，企业享有数据持有权，但对于有条件开放的公共数据，持有权的排他支配权能受公共数据利用协议和公共利益的限制。公共数据开放与公共数据授权运营的区别在于，公共数据授权运营提供的是数据产品，公共数据开放提供的是原始数据。公共数据开放可分为无条件开放和有条件开放，企业持有不同类型的公共数据时将受到程度不同的限制。无条件开放的公共数据对应着完全授权模式，企业取得的数据资源持有权权能具有较高水平的支配性，但该类公共数据属于公共品，因此并无排他〔37〕参见钟晓雯：《数据界权：理论逻辑、总体思路与制度架构》，载《南方金融》2022年第1期，第84—98页。〔38〕参见许可：《数据权属：经济学与法学的双重视角》，载《电子知识产权》2018年第11期，第28页。〔39〕参见程啸：《论大数据时代的个人数据权利》，载《中国社会科学》2018年第3期，第118 页。〔40〕参见马宇飞：《企业数据权利与用户信息权利的冲突与协调》，载《法学杂志》2021年第7期，第167页。〔41〕龙卫球：《再论企业数据保护的财产权化路径》，载《东方法学》2018年第3期，第51页。 ·64· 《比较法研究》 2023 年第 3 期性。有条件开放的公共数据使用条件、目的〔42〕和处分权能〔43〕则受到一些限制。因此，对于有条件开放的公共数据，企业取得的数据资源持有权仅有持有、使用、收益的权能，而无处分权能，并且其使用权能也受到限制。基于其他企业授权取得的数据，企业并非都享有数据持有权，应分持有权转让和许可使用两种情况讨论。第一种情形是数据资源持有权的整体转让，企业将经由继受取得路径成为原始数据的新持有权人，但该持有权的支配性和排他性依原始数据来源的不同而有所不同：对于原始数据中的企业自采集数据，现持有人无疑能够享有如同原持有权人一般的绝对排他支配权；对于原始数据中的个人原始数据，企业取得该数据，不能仅有其他企业一方授权，还要求其他企业此前对数据的持有是经由个人同意的合法持有，并要求个人在持有权转让时对企业取得数据进行再次同意，此即实践中确立的“三重授权原则”，且据此取得的个人原始数据持有权，其支配和排他权能仍受个人信息权益的限制；对于原始数据中的公共数据，无条件开放的数据可依法取得所有权，而有条件开放的公共数据依法不得以转让的方式取得，企业只能自行向公共数据开放平台提出申请。第二种情形是企业数据的许可使用，此时持有权人并未发生变动，企业取得的是数据加工使用权。由于数据的非竞争性，加工使用权人和持有权人都可以并行不悖地直接支配特定数据，但加工使用权人并无对该数据进行处分的权利，同时其支配权能需受到前述个人原始数据、公共数据的特殊限制。 3.数据资源产权的差异化配置如前所述，企业对自身持有的原始数据进行资源化加工之后，将形成兼具“集合”与“预处理”特征的数据资源，与单条原始数据不同的是，企业在数据资源形成的过程中，既投入了“大量汇集原始数据” 的劳动，也投入“对原始数据进行筛选、清洗、整合等预处理的数据处理”的劳动。无数原始数据汇集加工形成的数据资源作为一个整体已然成为新的客体，企业依据其付出的劳动将原始取得对该客体享有的数据资源持有权。问题在于，企业对于数据资源享有的持有权是否具有完整的排他性和支配性呢？理想状态下，若能对数据资源库内部的数据进行来源统计，上述问题的判断在理论上是精准而清晰的。以数据资源的原材料——原始数据为线索，不难归纳出两条规律。其一， “起点绝对排他，终点即绝对排他” 。企业对自采集数据以及继受取得的其他企业自采集数据享有绝对排他权利，此种原始数据后续被开发为数据资源，企业仍享有绝对排他权利。具体而言，来源于企业自采集数据的数据资源，从原始数据采集到资源化生产，都有且仅有企业一方劳动作出贡献，企业得以独占该数据资源的财产利益；来源于其他企业自采集数据的数据资源，企业已支付对价独占或者说买断数据资源的原材料，基于此进一步加工汇集自然也将使企业后续原始取得的数据资源持有权免受其他主体的掣肘而具有较高水平的支配性和排他性。其二， “起点有限排他，若无经由特殊处理改变数据之上的复杂利益格局，终点即有限排他” 。企业对个人原始数据、公共数据、其他企业授权的个人原始数据和公共数据都不享有绝对排他性权利，究其原因，是因为这些原始数据之上共存着多元主体的多元利益，这种复杂利益格局并不会因形式上的汇集和资源化处理而发生改变。在后续形成的数据资源之上，既有企业资源化生产付出的劳动，也有其他主体的合法利益诉求，因此企业难以独占对数据资源之上的利益，而需要受到其他主体的限制。抹除或隔绝该类数据与其他主体之间的关系的唯一途径是个人信息匿名化处理和公共数据脱敏化处理，若能够执行此种举措，数据之上的人格关联性和公共利益关联性将不复存在，复杂利益格局将简化为单一的企业财产利益，此时才可由企业享有完全支配和绝对排他的权利。〔44〕然而在实际情况下，一方面，逐一排查数据资源的来源实不可能，真正应用于实践的数据资源往往集合了个人数据、公共数据和企业自采集数据，企业可绝对排他支配的数据与仅可有限排他支配的数据〔45〕将发生不可避免的重叠；另一方面，对于数据资源中的个人数据和公共数据，不可能全部都进行匿名化和脱敏化处理——因为并非所有数据都适合匿名化和脱敏化，无差别地对所有数据进行匿名脱敏处〔42〕例如《上海市公共数据开放暂行办法》要求企业与数据开放主体签订数据利用协议，明确数据利用的条件和具体要求，且不得损害国家利益、社会公共利益和第三方合法权益。〔43〕例如《苏州市数据条例》明确有条件开放的公共数据不得以任何形式提供给第三方。〔44〕参见徐玖玖：《利益均衡视角下数据产权的分类分层实现》，载《法律科学（西北政法大学学报）》2023年第2期，第75页。〔45〕 See Peter K. Yu, Data Producer's Right and the Protection of Machine-Generated Data, 93 Tulane Law Review 894 (2019). ·65· 企业数据确权与授权机制研究孙莹〔46〕理反而会使部分个人数据和公共数据损失经济价值，成为无用数据；而且即使进行了匿名脱敏处理，经由大规模数据的深度挖掘和反向追踪技术的运用，相关数据将重新与个人和公共利益建立联系，导致匿名脱敏处理失效。〔47〕这意味着在大多数情况下，数据资源之上的多元主体多元利益格局贯穿始终。因此，企业的数据资源持有权原则上只能是一种有限支配、有限排他的权利。从正面来看，承认其原始取得数据资源持有权，是对企业在原始数据之上付出的数据资源化生产劳动的肯认；从反面来看，限制该数据资源持有权的排他性和支配性，是对其他主体在数据资源的形成过程中作出的贡献或享有的合法利益予以尊重和保护。当然，如果在某一具体案件中，企业主张的数据资源持有权指向了纯由企业自采集原始数据加工而成的数据资源或数据资源当中可由企业独占全部利益的部分数据，应当承认此时企业享有完全的持有、使用、收益、处分权，不受任何其他主体意志的影响。由此给予我们的启发是：数据资源持有权的权能限制并非预先可作绝对化规定，需要结合具体数据资源的原始数据来源予以判断，而相应事实的举证责任由企业承担为宜。 4.数据产品产权的差异化配置企业对其持有的数据资源进行实质性加工从而产生数据产品。数据产品与数据资源具有质的不同，在产权配置上自然应将两者分而视之。数据产品可分为衍生数据和数据衍生产品，两者的共同特征有二：一是在形态上完全独立于其原材料即数据资源；二是企业的劳动在两者成为独立的新客体过程中起到决定性作用。前述的数据资源，仅仅是原始数据的资源化，虽承载着企业的初步劳动，但仍然与原始数据保持着强关联，企业与个人、公共服务机构等主体在数据资源的价值释放过程中起到的作用难分主次，因此从原始数据到数据资源的演进并未能改变数据之上的复杂利益格局。但数据产品与此不同：衍生数据是企业投入实质性加工形成的新数据，例如对用户的搜索内容和购买记录进行计算进而形成的市场走势数据，此种数据已经“与网〔48〕络用户信息、原始网络数据无直接对应关系”；数据衍生产品经由企业投入研发资源，已经挖掘出特定用途并且进行过产品化封装，以数据黑箱的形式整体上脱离了数据形态，数据需求者无需接触数据即可使用数据，实现了“可用不可见”。在数据产品的价值释放过程中，企业付出的实质性加工起到的作用是决定性的，部分情形下这种劳动甚至可以达到知识产权创新性劳动的要求。基于上述两种特征，将企业对数据产品的数据资源持有权确定为完全支配和绝对排他性权利应是符合现实需求和劳动原理的安排。企业对其生产的衍生数据和数据衍生产品享有的数据资源持有权具有完全支配、绝对排他的效力，可依据自己的意志持有、使用、收益、处分。《深圳经济特区数据条例》中规定“市场主体对合法处理数据形成的数据产品和服务，可以依法自主使用，取得收益，进行处分”，即采此思路。至此，本文逐一梳理了企业数据权利客体之上的多元主体多元利益格局，为每一类客体确定了持有权的支配和排他权能，归纳如下（见表1）。表1 企业数据产权确权规则企业数据权利客体类型原始数据企业数据持有权的权能企业自主采集取得的数据完全支配、绝对排他基于个人同意取得的数据有限支配（使用受限、处分受限）、有限排他（个人信息权益）无条件开放的公共数据：完全支配、无排他性基于公共数据开放取得的数据有条件开放的公共数据：有限支配（使用受限、禁止处分）、有限排他（公共管理机构的授权范围、公共利益）〔46〕参见徐玖玖：《利益均衡视角下数据产权的分类分层实现》，载《法律科学（西北政法大学学报）》2023年第2期，第75页。〔47〕参见王锡锌，黄智杰：《公平利用权：公共数据开放制度建构的权利基础》，载《华东政法大学学报》2022年第2期，第70页。〔48〕参见杭州铁路运输法院（2017）浙8601民初4034号民事判决书。 ·66· 《比较法研究》 2023 年第 3 期表1（续）企业数据权利客体类型企业数据持有权的权能其他企业自采集数据原始数据基于其他企业授权取得的数据持有权转让个人原始数据完全支配、绝对排他有限支配、有限排他、特殊取得规则（三重授权）无条件开放的公共数据许可使用完全支配、无排他性无数据持有权，有数据加工使用权企业自采集并加工的数据资源经匿名化处理的个人数据数据资源经脱敏化处理的公共数据未匿名化处理的个人数据未脱敏化处理的公共数据数据产品完全支配、绝对排他衍生数据数据衍生产品有限支配、有限排他完全支配、绝对排他四、企业数据授权的具体规则和配套制度企业数据的确权为数据要素流通提供了制度前提，而企业数据授权机制的构建是数据流通的关键。如果企业数据产权制度的建构仅仅是将企业数据权利化，而未提供完整的数据流通促进规则和垄断防止规则，非但数据闲置的问题未能得到解决，反而将进一步出现企业“拥权自重”、数据孤岛现象加剧等次生问题。因此，应当对数据流通凝滞的成因进行全面分析，建立与前述确权规则相配套的流通制度体系。（一）企业数据授权的制度目标：数据交易悖论的化解我国已然跻身数据大国行列，全社会数据量年增长率高达40%，但数据的流通利用情况却与不断增加的数据总量不相匹配，有效利用的数据年增长率只有5.4%。〔49〕企业通过劳动获取的数据权利逾越洛克所述之“财产权取得不得放任资源腐坏”的限度，将有违企业数据确权的初衷。但应当看到，企业出于竞争目的而不愿分享数据并非数据孤岛形成的唯一原因，数据悖论以及由此产生的信任壁垒亦是阻碍企业数据流通的主要因素。这意味着，数据悖论的识别和化解将成为授权机制构建的重要思路。数据流通和数据安全自难两全，此即为学者通常所称的“数据悖论” 。〔50〕数据悖论的存在使得数据持有人即使意识到数据流通的潜在价值，也往往不愿交易、不敢交易、不能交易。〔51〕企业对于数据安全的担忧大致有以下两方面：一方面，企业数据流通既关涉个人信息保护，又关涉公共利益和国家安全，企业数据流通过程中的合规负担不容忽视，具体授权规则的缺位也使得企业无所适从；另一方面，企业数据市场主体之间存在着相比传统有体物交易更甚的信任壁垒，企业即使有流通数据的意愿和需求，也只能在“无权处分” “质量瑕疵” “违约使用”等交易风险面前望而却步。企业数据之上并存的多元主体多元利益使得其市场流通受到多方掣肘，数据交易的三重风险也形成了市场主体之间的信任壁垒，因此，企业数据权利即使得到确认，权利主体也缺乏将数据投入市场流通的积极性。基于此，如何在促进数据流通的同时保护数据之上的个人信息权益和公共利益，如何加固数据要素市场主体之间易碎的信任关系，成为了企业数据授权机制构建的首要问题。企业数据授权机制的最终目标在于突破数据交易悖论，在保障数据安全的前提下使市场中的一座座数据孤岛重新得以联结。〔49〕参见赵文景、关乐宁：《加快培育数据要素市场主体》，载《中国信息界》2023年第1期，第32页。〔50〕参见龚强等：《数据交易之悖论与突破：不完全契约视角》，载《经济研究》2022年第7期，第172页。〔51〕参见刘辉、夏菁：《数据交易法律治理路径探析》，载《海峡法学》2022年第1期，第81页。 ·67· 企业数据确权与授权机制研究孙莹（二）企业数据授权的内部关系：三重授权原则的改造数据悖论中数据安全隐忧的其中一方面，即是如何保护数据之上存在的多元主体多元利益，此为企业数据授权的内部关系。现有的法律制度供给聚焦于个人与企业（信息处理者）之间授权机制，即知情同意规则，但对于企业与其他企业之间的关系，以及其他企业与个人之间的关系，则存在着制度的空缺。对于企业数据流通环节中的授权规则，实践中确立了“三重授权原则”，即“用户—企业”、 “用户— 其他企业”和“企业—其他企业”三次授权缺一不可。这一原则为企业数据的授权机制提供了制度框架。然而，三重授权原则建立在个人信息处理场景之下，并不能涵盖企业数据流通所涉的所有情形，其本身亦存在着内部缺陷。因此，尚需对三重授权原则进行必要的改造，以适用于企业数据授权机制。三重授权原则的第一重授权即是个人在企业收集数据时的知情同意。应当看到，此一重授权的发生时间并不是在数据的流通环节，而是追溯到企业收集原始数据之时。事实上，出于简化规则的考虑，我们完全可以将视角聚焦于数据的流通环节——毕竟，某一企业取得数据持有权是以收集行为合法为前提，那么当企业以数据持有权人的身份现身于流通环节之时，再行要求第一重授权实有叠床架屋之嫌。在完整建构起企业数据确权规则之后，我们应关注的是交易相对方的数据持有权人身份（尤其是在该持有权经由公示的情形下），而无需再向前回溯至数据持有权取得之始。概言之，第一重授权是数据持有权的前提，但在数据流通场合无需额外提及。在简化规则之后，我们仍需讨论后两重授权的必要性。实践中，企业数据的流通可分为两种情形，分别是企业向其他企业流转数据的“主动式流通”和其他企业利用爬虫软件等工具抓取企业数据的“被动式流通”。根据场景的不同，应明确不同的授权规则：第一种情形是企业向其他企业流转其合法持有的原始数据、数据资源和数据产品。此时，已确定有 “企业—其他企业”一重授权，但问题在于，是否还需要数据来源者即个人或公共管理机构的授权？根据企业对其持有的数据的支配和排他权能不同，此种情形下的授权机制有不同的安排：（1）对于原始数据中的企业自采集数据、无条件开放的公共数据，数据资源中企业自采集并加工的数据资源、经匿名化处理的个人数据和经脱敏化处理的有条件开放的公共数据，数据产品中的衍生数据和数据衍生产品，企业享有完全支配的权利，该权利要么具有绝对排他性效力，要么因客体为公共品而无排他性，无论数据资源持有权的排他性是全有还是全无，都指向了同一个结论——企业向其他企业流通该种数据无需经过其他任何主体授权，因此，此种情形下企业数据的授权纯为企业与其他企业之间的二方关系，仅需经由一重授权。（2）对于企业合法取得的个人原始数据、数据资源中未匿名化处理的个人数据，此时企业向其他企业流通数据，仅存在两方合意尚不足够，还需要经过个人对其他企业的再次授权，形成“企业—其他企业”、 “个人—其他企业”的二重授权。（3）对于有条件开放的公共数据，企业的数据持有权并无处分权能，不存在企业向其他企业流通该类数据的可能性，自无授权机制的设计问题。但如前文所述，当该类公共数据经由脱敏化处理，企业即可取得绝对排他性权利，对外流转可由企业一重授权自主决定。第二种情形是其他企业经由用户授权获取或在公共网络空间中抓取企业持有的数据。以经由企业授权获取为例，典型如“微博诉今日头条案”——今日头条经个人授权，定期将个人在微博发布的内容自动同步至进入头条，但该行为未经微博平台授权，由此引发今日头条的数据获取行为是否正当的争议。若要求企业和个人二重授权，结论将是，其他企业即便已得到用户的授权，也不能直接获取企业合法持有的数据，还需要经过企业的授权，否则将是不正当的数据获取行为。此种授权机制充分保护了企业的利益，但也可能导致其他企业获得授权的成本过高，抑制数据竞争与创新。〔52〕同时，已经有学者意识到，要求“个人和企业的双重授权”与立法已有规定的个人数据携带权衍生出的“个人一重授权原则”在价值理念和授权规则上存在冲突，前者保护企业的竞争利益，后者〔52〕参见张颖、黄廷航：《数据获取“三重授权原则”的适用困境与优化对策》，载《电子知识产权》2022年第8期，第84页。 ·68· 《比较法研究》 2023 年第 3 期保护个人的信息自决，若适用后者，则只需由个人对其他企业进行授权即可实现数据的转移，个人甚至可以直接请求企业向其他企业提供个人数据，并无征求企业授权的余地。〔53〕那么，我们应当如何在二重授权原则和一重授权原则之间作出选择？本文认为，仍需沿着客体类型化的思路来作区分对待。（1）对于原始数据中企业自采集的数据，数据资源中企业自采集并加工的数据资源和经匿名化处理的个人数据，数据产品中的衍生数据和数据衍生产品，这些数据要素与个人信息权益无涉，并不会产生此种情形所述的经个人授权但未经企业授权的问题，其他企业的数据获取行为应当且仅应当经由企业授权。（2）对于原始数据中的个人原始数据以及数据资源中未匿名化处理的个人数据，企业享有的持有权为有限排他权利，在价值位阶上劣后于个人享有的人格权益，当个人行使其个人信息可携权时，企业不得拒绝。 “不得拒绝”意味着此时数据的转移无需经过企业授权，有“个人—其他企业”一重授权即已足。（3）关于传统的三重授权原则的研究一般聚焦于个人信息处理场景，问题在于，在公共数据场合，是否存在“其他企业已取得公共管理机构授权但未取得企业授权的数据爬取行为”？对于无条件开放的公共数据，从其公共品的属性出发，可知其他企业在开放平台上抓取数据的行为无需经过企业授权，甚至无需经过公共管理机构授权；对于有条件开放的公共数据，企业基于“禁止向第三人提供”的处分权限制不可能向其他企业授权，而其他企业在公共数据平台之外爬取企业持有的公共数据，亦违反了公共数据获取需“统一通过大数据资源平台提出数据开放请求”的规定。因此，现实中并无在公共数据场合讨论授权规则的空间。唯独例外的是，若企业对有条件开放的公共数据进行脱敏化处理，则将能够产生具有绝对排他性的数据持有权，此时可适用与经匿名化处理的个人数据相同的规则，即“企业—其他企业”一重授权。表2 企业数据产权授权规则流通情形持有权效力数据要素类型原始数据完全支配、绝对排他或情形一：企业完全支配、无排他性向其他企业有限支配、有限排他禁止流转经匿名化处理的个人数据 “企业—其他企业”一重授权衍生数据数据衍生产品原始数据个人原始数据 “ 企业 — 其他企业 ”“ 个数据资源未匿名化处理的个人数据人—其他企业”双重授权原始数据原始数据有条件开放的公共数据（经脱敏化处理的除外）企业自采集的数据企业自采集并加工的数据资源情形二：其他企业获取企无条件开放的公共数据经脱敏化处理的公共数据数据产品流通数据企业自采集数据企业自采集并加工的数据资源数据资源授权机制完全支配、绝对排他数据资源业数据数据产品经匿名化处理的个人数据 “企业—其他企业”一重经脱敏化处理的公共数据授权衍生数据数据衍生产品〔53〕参见刘辉：《个人数据携带权与企业数据获取“三重授权原则”的冲突与调适》，载《政治与法律》2022年第7期，第120页。 ·69· 企业数据确权与授权机制研究孙莹表2（续）流通情形情形二：其他企业获取企业数据持有权效力限制支配、有限排他数据要素类型原始数据个人原始数据数据资源未匿名化处理的个人数据禁止流转原始数据完全支配、无排他性原始数据授权机制 “个人—其他企业”一重授权，企业不得拒绝有条件开放的公共数据（经脱敏化处理的除外）无条件开放的公共数据无需经过任何主体授权另需注意的是，上述授权规则不仅适用于企业数据持有权发生变动的情形，数据加工使用权和数据产品经营权的分置作为企业数据流通的重要方式，同样适用以上规则。此外，授权机制实际上是一种合同机制，本质上是通过法律行为创设或移转绝对权。在实践经验成熟之后，数据授权合同完全可以上升为有名合同。当前的零散立法大多要求数据使用权人和数据加工权人在合同之中与数据持有权人约定具体的利用条件，同时还规定了法定的数据安全保障义务，包括对数据处理全过程进行记录、采取必要的技术措施防止数据泄露、对核心数据进行备份等，由此规制企业数据授权的内部关系。（三）企业数据授权的外部助力：可信流通环境的形成在确立授权规则之后，企业对外流通数据有所遵循，但如若信任壁垒仍然存在，再完备的授权规则也将被束之高阁。而信任壁垒的消减是一项系统性工程，需要建构起包括但不限于数据登记、数据信托、数据经纪、数据交易所的配套制度。其中，数据登记制度提供了可信的权属状况，数据交易所制度提供了可信的交易平台，数据经纪商制度提供了可信的交易主体，数据信托制度提供了可信的交易模式。这些制度的共同目标是为数据流通营造可信环境，将市场主体的注意力从数据交易风险的防范转移至数据价值的充分实现之上。 1.数据登记制度数据交易中流转的企业数据持有权是具有一定对世性和排他效力的财产权利，而排他需以公示为前提。与此矛盾的是，企业数据流通过程难以像物理世界中的有体物一样被确切捕捉。这是数据交易中“无权处分”风险存在的核心原因。正因如此，学界开始了数据产权公示方式的探索。有学者提出建立数据准占有制度，认为持有硬盘、享有网盘密钥等控制数据的事实足以产生第三人信任的外观，进而可以产生权利推定、善意取得等效果。然而在当下，权属状况难以验证成为了数据交易中愈发突出的难题，准占有制度无法彻底解决供需双方的信息不对称问题，因此以登记的方式公示数据产权成为了更为普遍的观点。与学界的共识相一致，数据登记制度已在全国多地实践。目前大致存在两种模式，一是在数据交易所内建立数据登记系统，例如北京市国际大数据交易所率先在国内推出的数据资产凭证制度，首创在交易平台体系内完成数据确权；二是由行政机关作为数据产权的登记机构，例如《深圳市数据产权登记管理暂行办法（征求意见稿）》规定，深圳市发展改革委是数据产权登记工作的主管部门。应当认为，当下由地方性数据交易所和发展改革委主导的数据产权登记机制都仅是统一登记制度尚未建立之前的权宜之计，在实践经验充足之后，将数据产权登记业务统一交由国家数据局的下设机构负责应是合理的制度安排。数据产权登记制度中较为疑难的是登记的效力问题。首先，自动取得和自愿登记模式可予排除，事实上在知识产权领域也已经有不少学者指出著作权无需公示自动取得与著作权具有排他效力之间存在〔54〕着逻辑断裂，这一点在数据产权语境下同样适用。其次，数据产权的登记效力需区分首次登记和转移登记，依此作区分处理：首次登记不应采取登记生效主义而应采取登记对抗主义，因为数据世界瞬息万变，短时间内产生并由企业合法持有的数据成千上万，若要求逐一登记才能取得数据产权将给企业带来不可承受之负累；转移登记则应采取登记生效主义，因为进入数据市场流通环节的数据必须是边界明确且规模可控的，基于确定权属的现实需求应当要求企业进行登记。〔54〕参见杨明：《论著作权公示原则的确立及实践路径》，载《中国出版》2020年第1期，第22页。 ·70· 《比较法研究》 2023 年第 3 期进一步产生的疑问是，未经登记的数据产权效力如何？应当认为，此时该数据产权的效力类似于未经登记的土地经营权，其由于无公示外观而不具有排他性，但仍然与债权存在区别，即当第三人侵害未经登记的数据产权时，若该权利仅为债权，企业原则上无法要求第三人承担侵权责任；若该权利为绝对权，则企业可以提起侵权之诉。〔55〕这样，企业数据产权的登记效力规则才能明晰：在数据要素供给环节，企业自合法持有数据之时取得数据产权，但需经登记才能使该权利取得前述确权规则中规定的排他效力；在数据市场流通环节，受让企业取得数据产权需经过转移登记，若交易的数据未进行过首次登记，还需先完成首次登记审查〔56〕后再进行转移登记。 2.数据交易所制度自2015年我国建立贵阳大数据交易所之后，全国各地开始积极探索以数据交易所为依托的数据流通交易模式，武汉、西安、广州、青岛、上海、沈阳、成都、深圳等四十余地均建立起了数据交易所。区别于单纯的中介型数据交易平台，数据交易所不仅提供撮合交易服务，而且提供数据定价、数据交付、数据交易登记结算、数据清洗与增值、数据合规性与质量评估等服务。〔57〕随着实践经验的丰富和制度规则的完备，数据交易所正逐渐朝着可信交易平台的制度愿景迈进。然而也应看到，尚处于实验阶段的数据交易所制度仍然存在着平台定位不明、规则过于原则、缺乏统一定价标准等问题，亟需进一步研究。数据交易所的功能定位应确定为“国有控股、政府指导、企业参与、市场运营”的“提供准公共服务”的数据交易场所。公益性是数据交易所的本质属性，因为数据市场秩序的维护和企业之间信任壁垒的消解需要数据交易所成为公平的交易组织者和公正的合规监管者，若数据交易所不以公益为己任则难以承担可信交易平台之大任。事实上，数据交易所设立之初的宗旨就是通过建立独立、中立、可信任的第三方机构，防止大型网络平台企业或政府部门垄断数据，增进数据控制者与数据来源方之间的信任。〔58〕明确这一功能定位是完善数据交易所制度的前提。数据交易所可以提供相对完备的信任机制、交易机制和治理机制，既利用信息披露、数据来源审查、数据质量评估等机制尽可能增进交易双方的信任，又构建起标准化数据交易流程，为数据定价、数据交付以及数据登记结算等环节提供全周期的综合性服务，并且对交易的公平、相关主体合法权益的保障进行监督和保障。〔59〕完备的规则可以将数据要素市场的经验凝结成行为规范，为数据市场主体的交易行为提供具体指引和有益参考。数据交易所为企业数据的流通提供了可信的交易平台，但是以下两个方面有必要改进。首先，为化解当前地方性交易机构重复建设、各自为政的问题，在通过地方试点充分积累实践经验之后，建立全国性数据交易所势在必行。其次，数据交易所基于当下的数据治理环境，为了规避原始数据的确权难题和多元主体利益协调难题，往往将原始数据排除在交易范围之外，仅交易经由加工的数据资源和数据产品。在企业数据确权与授权难题得以化解之后，应当将原始数据重新归入数据交易所的交易范围。 3.数据经纪人制度数据交易所虽可搭建可信的交易平台，但仅有可信平台而无可信主体，数据要素市场的潜在力量仍难以充分实现。因此各地在积极探索数据交易所制度的同时也开始探索数据经纪人、数字经济中介、数商等数据要素市场主体制度，以期实现“所商分离”，即数据交易所等交易平台与数据经纪人等市场主体的错位互补和配合协同。〔60〕〔55〕参见李国强：《土地经营权登记对抗规则的解释论展开》，载《西南政法大学学报》2022年第4期，第112—124页。〔56〕首次登记时一般需由专业机构进行实质性审查以验证数据来源和合规性，例如《深圳市数据产权登记管理暂行办法（征求意见稿）》规定： “首次登记由第三方服务机构进行实质性审查，登记机构进行形式审查，登记申请时登记主体需提交第三方服务机构出具的真实性和合法性审核材料。 ” 〔57〕参见杨东、高清纯：《加快建设全国统一大市场背景下数据交易平台规制研究》，载《法治研究》2023年第2期，第102页。〔58〕参见季卫东：《数据保护权的多维视角》，载《政治与法律》2021年第10期，第11页。〔59〕参见王琎：《数据交易场所的机制构建与法律保障——以数据要素市场化配置为中心》，载《江汉论坛》2021年第9期，第129—137页。〔60〕参见赵文景、关乐宁：《加快培育数据要素市场主体》，载《中国信息界》2023年第1期，第31页。 ·71· 企业数据确权与授权机制研究孙莹在已有的数据要素市场主体中，数据经纪人备受瞩目，然而学界仍未对数据经纪人的定义达成共识。〔61〕有学者认为，数据经纪人类似于传统市场中的中介，主要业务是撮合数据交易，解决信息不对称问题；有〔62〕学者认为，数据经纪人是数据要素的聚合平台，专门从事收集处理原始数据、出售各类数据产品的业务；还有学者认为，数据经纪人区别于直接收集一手数据的数据企业，其为从事二手数据业务的企业。广州市海珠区正在推行的数据经纪人试点，该项目将数据经纪人划分为技术赋能型、数据赋能型、受托行权型三个类别，并将其定位为数据供需匹配的撮合者、数据流通交易的中介者、数据权益冲突的化解者，承担受托行权、风险控制、价值挖掘等作用。不难发现，这一定义将数据中介、数据信托和狭义数据经纪人等概念都涵盖在内，为国内数据经纪人的制度实践和探索提供了空间。但是，学理上的数据经纪人概念需要避免失之过广。前述第三种观点和美国立法例支持的狭义数据经纪人概念厘清了数据经纪人与其他市场主体之间的关系，现实中亦有Datalogix、Recorded Future等数据经纪公司提供观测模型，殊值参考。数据经纪人制度的引入为企业数据的流通市场提供了可信的交易主体。以美国已有的制度为例，数据经纪人需进行年度登记注册以提高数据经纪人行业的透明度，同时需提供书面安全计划并保证具备与数据处理能力相匹配的数据安全保障能力，由此降低其他市场主体与数据经纪人交易的成本和风险。我国也需要在未来的实践中积极探索数据经纪人资质认定、从业人员资格认定、数据经纪行为规范、数据安全保障监管等机制，使其在场内和场外交易中发挥积极作用。 4.数据信托制度数据信托是数据治理与信托制度的创新性结合，其在信息主体同意疲惫、企业数据确权困难、合同机制成本过高等数据流通现实困境面前开拓出了兼具安全和效率的可循路径。近年来，各国对数据信托制度进行过模式各异的探索，其中有两类典型模式：一是美国的“数据来源者—数据控制者”两方主体信托模式；二是英国的“个人—独立的数据信托机构—数据控制者”三方主体信托模式。国内学者提出的数据信托方案更接近于三方主体信托模式，但并未全然照搬英国式数据信托制度，而是突破了个人信息保护视角，提出了数据信托的新架构：首先，数据信托是一种委托人以自身持有的数据设立信托，受托人委托第三方机构对特定数据资产进行运用增值并产生收益，并基于信托合同进行〔63〕信托利益分配的数据流通制度，包含着三方主体和二重法律关系；其次，上述定义中的委托人并非英国传统理论认为的自然人，而应当是广泛收集或自行采集原始数据并完成数据资源化的企业，这与企业数据确权与授权机制的研究语境不谋而合。基于此种理解，数据信托无疑是企业与其他企业之间的数据流通关系中可供采用的交易模式。数据信托机制独有的风险隔离功能可以在很大程度上消解企业之间的信任壁垒以增进数据流通，与此同时，信托义务体系为流通市场中的数据安全提供了相对周全的制度保障。一方面，横亘于数据持有权人和数据使用人之间的数据信托机构，将数据流通关系拆分为数据持有权人和数据信托机构之间的信托关系以及数据信托机构与数据需求方之间的数据许可使用或数据产品开发合同关系，独立的法律关系使得风险得以隔离。另一方面，信托义务是相比一般注意义务标准更高、范围覆盖更广的义务体系，在委托人利益最大化等信托原则之下，数据信托机制提供了面向具体场景的弹性义务标准，而不完全依赖预先确定的法定义务和约定义务。〔64〕由此，数据供需双方可以在数据信托机构的介入之下消除对交易风险的顾虑，而数据信托机构本身也受到信托义务体系的严格限制和约束，是为可信的交易模式。〔61〕参见李振华、王同益：《数据中介的多元模式探析》，载《大数据》2022年第6期，第97页。〔62〕参见欧阳日辉、杜青青：《数据要素定价机制研究进展》，载《经济学动态》2022年第2期，第128页。〔63〕参见孙宏臣：《数据信托的困境与出路——权宜之计抑或制度创新》，载《经贸法律评论》2022年第3期，第115页。〔64〕参见冯果、薛亦飒：《从权利规范模式走向行为控制模式的数据信托》，载《法学评论》2020年第3期，第77页。 ·72· 《比较法研究》 2023 年第 3 期五、结语数据是人工智能时代的“锂矿” 。构建企业数据确权与授权机制，为数据的流通与利用提供完备的法律供给，意义重大。数据产权并不仅仅是一种竞争性利益，也并非仅是个人信息权益的派生，在可预见的未来，数据产权将成为与物权、知识产权并列的财产权利，拥有自足的规范体系。《数据二十条》为数据产权制度的建立提供了方向性指引，但具体规则的细化仍有待进一步的深入研究。数据产权的客体形态多样，以劳动程度的逐渐深化为线索，可以梳理出具有法学意义的客体类型化径路，进而构建起权能差异化配置的数据持有权效力体系。数据产权制度中的持有权不同于所有权，持有权是一种支配和排他权能随客体形态变化而变化的权利。企业对数据享有的财产利益与个人信息权益和公共利益之间的矛盾，造就了不同客体之上的多元主体多元利益格局，也成为了决定持有权排他支配性效力强弱的首要因素。持有权效力的差异也将相应地决定数据流通时适用的授权规则。在多数情况下，数据权利主体无法独立决定数据产权的移转，而需征询其他相关主体的授权，甚至在个人行使数据可携权等特殊情形下，数据流转不受数据产权主体意志左右，这正是数据产权有限排他性在数据流通场合的体现。可以看到，数据的确权机制与授权机制实际上有着一脉相承的逻辑联系，确权机制的构建是授权机制运行的基础，授权机制则将数据产权效力的差异化配置转化为数据流通规则。本文对企业数据的确权与授权机制进行了初步探索，但数据的要素化实践日新月异，新的客体类型和新的交易模式层出不穷，如何将我国在数据确权与流通尤其是数据交易所方面积累的实践经验抽象化为理念，如何将经过验证的理念现实化为数据产权法律规范，仍将是今后的重要课题。 Research on the Mechanism for the Ownership and Authorization of Corporate Data Rights Sun Ying Abstract: In the face of the new legal interests in corporate data, the traditional protection model based on responsibility rules has become inadequate, and property rules are gradually emerging as a more suitable option in line with policy guidance and market development. The theoretical basis for the construction of property rules can be found in Locke's labor empowerment theory and Marx's labor value theory. Based on the degree of labor, the object types of corporate data can be classified into raw data, data resources, and data products. Further subdivisions can be made based on data sources, anonymity, and data product forms, to determine the object framework of corporate data rights. This framework can then be used to apply differentiated allocation of rights, and a hierarchical classification and ownership rule can be constructed. This rule includes complete control with absolute exclusivity, complete control without exclusivity, and limited control with limited exclusivity. Based on the ownership rules, a single or double authorization principle can be designed for the circulation of corporate data according to different scenarios. Supporting systems such as data registration, data brokerage, data trust, and data exchanges can provide external assistance to create a trustworthy circulation environment. Keywords: corporate data; data rights ownership; authorization of data rights; theory of labor （责任编辑：丁洁琳） ·73·