“数据二十条”下探析数据资源持有权的内涵及框架构建

1、 问题提出

在数字经济时代，数据不仅是基础性、战略性资源，更已成为变革传统生产方式、催生新产业新业态、驱动社会经济发展的新型生产要素。数据基础制度建设事关国家发展和安 全 大 局， 已 经 在 国 家 战 略 中 得 到 确认。2022年12月19日，中共中央、国务院发布《关于构建数据基础制度 更好发挥数据要素 作 用 的 意 见》（以 下 简 称 “数 据 二 十条”），提出探索数据产权结构性分置制度，即数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制，推进非公共数据按市场化方式“共同使用、共享收益”的新模式。“数据二十条”创造性地提出了一种以数据流通激励为主旨的新型数据产权配置框架，突破了传统产权理论秉持的“排他性”特征，为数字经济的创新发展奠定了基础。

数据生产和价值生成是社会学家丹尼尔·贝尔所提出的后工业时代典型的知识化生产组织方式，即依靠知识和信息进行决策，专业细化，分工协作。当前，物联网（IoT）等新兴技术推动了数据的大规模生产和设备间的数据实时交换。特别是人工智能的开发与应 用 离 不 开 大 规 模 数 据 集 的 收 集、 利用。比如，智 能 网 联 汽 车 通 过 V2X(vehicletoeverything)通信技术实现了车辆与车辆、人、道路交通设施、云之间的实时交互。智能网络 汽 车 的 智 能 操 作 系 统、 自 动 驾 驶 算法、娱乐系统和连接到互联网的功能需要多个团队和公司的协作开发。同时，使用者在智能网联汽车使用（行驶）过程中生成大量与汽车本身的机械状态、驾驶者的驾驶习惯或天气与交通状况等有关的数据。汽车制造商、零部件和传感器供应商、汽车智能操作系统开发者、车内应用程序开发者、驾驶者等各方主体在数据生成中都各有贡献，并对数据的后续利用和保护皆有诉求。此外，并不处于数据价值生成链上的其他主体，比如交通管理部门、维修售后主体、保 险 机 构、广告营销业者等也有访问利用数据的需求。

在复杂的数据价值链中，谁有权持有数据、谁可以使用数据、谁可以从中受益，是数字经济政策中的关键问题。各方主体在数据社会化生产中发挥不同的角色和作用，共同推动了数据要素的价值创造。这也是“数据二十条”突破财产权绝对权权属观念的束缚，提出数据产权结构性分置制度的基本立足点。在“数据二十条”将数据流通激励作为战略目标明晰之后，当前的紧迫任务转变为将权利分配方案从政策设计转化为可实现的法律权利。本文将围绕数据共同生产者之间如何配置数据资源持有权这一基础性问题展开，在数据社会化生产背景下落实“共同使用、共享收益”这一政策目标，作为后续数据加工使用、数据产品经营等权利的前置性权利，为实现数据经济活动中各方参与者的权益提供法律确定性。

2、 从数据生产逻辑看数据资源持有权的产生

数据具有非竞争、非排他性等公共性特征。为了破 解 “公 地 悲 剧” 与 “反 公 地 悲剧”的困境，构建数据权利秩序应当与数据要素市 场 所 需 的 高 效 流 通 的 内 生 要 求 相 匹配。对数据资源的持有，是数据生产者从事后续数据加工使用、生成数据产品等活动的前提条件。因此，从法律上赋予特定数据生产者以“数据资源持有权”是对数据利益的再分配。在复杂的数据价值链上，厘清谁有权持有数据，需要理解和分析数据生产过程和数据生产者的行为特征，才能有效纾解数据权属困境。

一是数据生产的经济逻辑决定了数据资源处于数据价值链的中间状态，是数据再利用、发挥数据要素功能的起点。数据价值链建立在从数据到数据资源至数据产品的上下游关系之上。在数据生产的第一阶段，数据大多是在商品使用和服务提供过程中产生的附随品，数据生产以支持商品使用和服务提供为核心目的。比如智能网联汽车通过传感器收集路况和环境信息，以支持智能驾驶；电商平台记录用户的账户信息、支付信息、地址信息等以支持在线购物服务的完成。与此同时，虽然立法一般以“最小必要”为数据收集原则，商品生产者和服务提供者仍然收集了大量超出商品使用和服务提供核心目的的数据，比如为了优化驾驶体验收集驾驶者的行驶习惯，为了优化购物体验收集用户的浏览记录等。这些数据并不直接用于第一阶段的商品使用和服务提供，但伴随着这个过程同时产生。数字经济和信息经济理论的发展，推动了数据作为重要资源的认知。数据在共享再利用阶段转化为数据资源。数据资源通过多源融合和开发利用，可以优化决策、提升效率、创新产品和服务，在不同应用场景中发挥要素功能。因此，数据资源处于数据价值链的中间状态，只有持有数据资源，才能开启多场景应用、多主体复用，创造多样化的价值增量的可能。对数据资源持有权的配置决定了数据共享再利用的参与者权利。

二是数据生产的市场逻辑决定了数据生成凝聚了多方主体的协作和投入。无论消费互联网还是工业互联网，无论个人数据或非个人数据，数据生产往往是多方主体出于特定目的确、共同参与的结果。这些主体或是作为数据来源者的个人，或作为数据的所有者或运营者，或拥有或运营生成数据的设备，或 开 发 了 生 成 数 据 的 网 络 产 品 或 服务。比如消费互联网的数据生成包括了消费者使用特定服务时提交的个人数据、网络平台基于特定目的自动采集的数据，以及消费者在使用服务过程中与平台互动而记录的数据。另比如，智能网联汽车及其后台支持系统每时每刻都在处理海量数据，包括了智能网联汽车运行数据，驾驶者使用车载应用操作系统生成的信息量，汽车传感设备自动采集的路况 信 息、位 置 数 据、环 境 信 息 等。多方主体在数据生成过程中投入了技术、资本和人力等资源，这为他们成为数据共同生产者提供了逻辑基础。“数据二十条”提出了数据要素收益分配的“谁投入、谁贡献、谁受益”原则，因此，数据共同生产者在数据生产中的投入和贡献是他们在数据再利用的过程中获得数据资源持有权的前提。

三是数据生产的技术逻辑决定了平台或设备制造商通过技术控制实现数据生产的主导性和事实上的控制力，导致数据共享共用面临困境。数 据 生 产 过 程 虽 然 是 多 方 参 与的，但是生成数据往往依赖于特定平台或设备制造商的基础设施，并在其服务器上存储和管理。相对于个人和商业用户，平台主体或设备制造商在数据生产过程中占据主导地位，对数据具有事实上的控制力，表 现 在：其一，平台或设备制造者是数据生产的基础设施建设者，对数据收集和存储具有占先优势。平台或设备制造商掌握了管理数据的基础设施和技术手段，可以设定用户对其数据的访问权限，例如哪些数据用户可以访问、哪些数据受到限制、哪些数据只有平台自身可以访问等。这些权限通常由平台运营者管理，用户 通 常 无 法 干 预 这 些 技 术 方 面 的 决策。其二，平台或设备制造商一般与用户签订服务协议，通过协议约定数据收集使用规则。这些规则往往由平台运营者或设备制造商制定，用户可能会被迫放弃对其在平台或设备上生成的数据的访问、使用、共享、控制等权益。德国马普创新与竞争研究所曾在《关于数据所有权与数据访问的立场声明》中指出，企业通常使用技术手段防止其认为值得保护的数据被第三方获取，这种事实上的排他性迫使相对人通过合同取得数据访问权限。其三，平台或设备制造商往往建立了自身的数据湖，并拥有先进的数据分析工具和算法，可以聚合分析所有用户数据，获得具有商业价值的洞察结果或生成数据产品。用户通常只能依赖平台或设备制造商提供的分析结果。简而言之，平台或设备制造商通过物理与合同控制数据，取得了对数据的事实上的排他性控制力，以此获得强大的市场支配地位。同时，数据的规模效应推动企业的垂直整合，又进一步扩大了数据收集的范围。一些企业能够建立大型数据集，通过数据洞察，在相邻的细分市场建立强大的业务。数据价值链的间接网络效应可以使这些企业在不相关的服务中也能获得显著的竞争优势，而其他参与者难以复制。对数据共同生产者配置数据资源持有权，有利于打破数据垄断，防止平台或设备制造商利用技术优势获得比例失当的权利，更好地实现数据要素的共享性、普惠性，激励创新创业创造。

从经济、市场和技术逻辑分析数据生产过程可知，数据资源持有权是主体参与数据共享再利用的起点。数据生产过程的协同，决定了数据资源持有权的配置需要考虑多元主体的利益诉求。立法者可以在此基础上构建合理的“数据共同生产者”的识别标准，在有限范围内分配数据持有权。数据生产的经济特征决定了数据持有权的客体可以限定于“资源”形态的数据，避免因数据进一步加工处理而产生价值添附，增加利益配置的复杂性。平台主体或设备制造商对数据事实上的独占控制力，则是数据资源持有权多元配置需要破解的当前产业实践中面临的“数据垄断”和“数据壁垒”困境，只有破解这类困境，才能落实“数据二十条”所确定的“共同使用、共享收益”战略目标的根本出发点。

3、数据生产者排他性赋权模型及其困境

数据生产过程汇集了多方参与者，这些主体在数据生成和价值生产的不同阶段发挥作用，且对于生成的数据都有自身的诉求，包括个人主体的人格和隐私权益保护需求、设备制造商分析数据改进设备性能的需求、智能系统开发者分析数据改进服务的需求、机器使 用 者 转 换 商 品 和 服 务 提 供 者 的 需 求等。因此，如何选择适当的赋权方案，满足多元主体共享利用数据的诉求，成为充分发挥数据要素作用的核心政策问题。以智能网联汽车场景下的数据共同生产作为典型场景，本文分析了依据传统产权配置思路 的 三 种 数 据 资 源 持 有 权 模 式 （见 图1），即单一排他性持有权、合同治理和共同持有权，辨析不同赋权模式下对市场干预程度，各利益相关方数据共享利用诉求的实现程度，以及面临的困境。

3.1 模式一:单一排他性持有权模式

这类 赋 权 模 式 包 括 两 种 不 同 的 赋 权 主体，分别对智能网联汽车制造商和汽车使用者赋予排他性数据资源持有权。两种赋权对当前市场的干预度处于纵轴的两个端点。

一是对智能网联汽车制造商排他性赋予数据资源持有权，市场干预度f(p)=0。对智能网联汽车制造商赋予排他性数据资源持有权，是基于制造商在产品开发和数据生产中投入大量资源构建了数据生产和存储的基础设施以及对数据的实际控制，事实上是一种以“法定权利”进一步加强“实际控制”的做法。这种赋权方式是对当前智能网联汽车数据市场状态的确认，对市场行为者没有干预。制造商事实上控制着数据的处理和开发利用以及实施类似于传统产权者的数据处理行为（包括共享、出售、销毁等）。相对于其他主体，智能网联汽车制造商持有其投入市场的所有设备收集的全部数据集，在二次利用数据资源的活动中处于绝对优势地位，比如对智能网联汽车产业下游的修理维护商、汽车保 险 商 以 及 针 对 用 户 的 定 向 广 告 服 务等。对数据流通利用的潜在威胁是，在数据生产中本身即占据主导地位的制造商，将进一步加强其市场优势地位。完全由汽车制造商决定其他主体是否有权访问和使用智能网联汽车数据，或者给哪些主体授予访问和使用权，这将导致对下游市场的垄断 和 控 制。这种独占的数据资源持有权只能形成制造商主导的小范围数据共享生态，不利于开放性的、公平的数据共享利用生态的形成。

二是赋权于智能网联汽车的使用者独占数据资源持有权。该模式下对市场的干预度f(p)=100。市场干预的另一个极端是赋予智能网联汽车使用者就使用过程中生成的数据以独占数据资源持有权。智能网联汽车场景下，数据往往是使用汽车的附随产品。大部分数据并不存储在设备终端，使用者缺乏数据生产和存储的基础设施，难以实现对数据的存储控制。如果将数据资源持有权赋予智能网联汽车使用者，则需要立法强制干预。这种赋权模式下需要考虑的问题包括三个方面：一是智能网联汽车使用者获得排他性数据持有权，是否能够克服制造商优势地位造成的市场失灵；二是对使用者的排他性赋权是否会影响制造商对于数据生产投资的积极性，从而影响社会整体的数据生产规模；三是对使用者赋权是否会造成制造商在合同条款中强制要求授予免费排他的许可，反而损害使用者的合法权益和市场秩序。对使用者赋权，虽然加强了使用者对数据的控制力，但由于使用者在数据意识、技术、能力上的限制，反而可能无法有效利用数据，造成数据资源的巨大浪费。

3.2 模式二:市场轻度干预的合同治理模式

合同条款公平性干预的前提是契约自由原则，其基础仍然是对智能网联汽车制造商实际数据控制地位的尊重。按照契约自由原则，数据访问和利用的权利分配由数据共同生产者（智能网联汽车制造商、智能汽车操作系统开发者、传感器供应商、智能网联汽车所有者/使用者等参与者）通过协议完成。如前所述，智能网联汽车制造商利用在技术、平台和商业模式的优势地位，对数据实际控制的情况下，其他参与者往往无法获得有关生成数据的充分信息，也难以进行有效的议价。智能网联汽车制造商出于进入其他市场（比如下游市场）或保留日后开发数据的需要，往往并不情愿向其他参与者让渡数据的访问和使用的权利。针对契约自由的弊端，立法者可以通过不公平合同条款审查或者推出标准合同条款，对合同双方的权益实施平衡。比如合同规定数据生产和使用的透明度，数据授权使用的公平、合理和非歧视原则等。这种审查合同条款公平性对市场的干预相对有限，干预程度f(p)= 30。合同公平性干预模式在一定程度上可以推动数据资源开放利用，加强处于弱势的数据共同生产者的谈判能力，避免接受不合理或不公平的条款。但是合同签订的主导权仍掌握在制造商手中，数据访问的技术控制仍然由制造商主导。尤其值得注意的是，智能网联汽车的购买/租赁合同只适用于汽车制造商/代理商和购买/租赁者之间。如果购买者将汽车再转租给实际的使用者，则使用者因不是数据访问合同的一方当事人，基于合同相对性原则，相应的权益保障条款也无法适用于实际使用者。

3.3 模式三:市场中度干预的共同持有权模式

基于“劳动赋权”理论，智能网联汽车制造商、智能驾驶系统开发者、传感器制造商、使用者等可以作为数据共同生产者，共同持有和利用数据。制造商为数据生产投入了资本、劳动、技术等关键生产要素，控制了数据生产的业务模式和技术方法。使用者则对生成数据的设备负经济责任，并通过驾驶智能网联汽车生产了具体的数据，并且其使用方法也一定程度上影响了数据的生产。机器使用者的数据权是欧盟曾经考虑引入的“数据生产者权”，用以解决机器使用者数据获取问题的政策选项之一。共同持有权模式需要从立法上赋予各相关方以共同的数据资源持有权，对市场的干预大大增加，f(p)= 70。共同持有权为数据生产者各方共享利用数据资源确立了权利基础，尤其为技术和资源上处于弱势的数据生产者赋权，落实了“谁投入、谁贡献、谁受益”原则，可以保护数据生产者各方的投入产出收益。然而，“数据资源共同持有权”模式仍是建立在“共同独占”的逻辑框架之下。共同持有权的困境在于，所有人共同管理的情况下，如果共有人中只有一方同意为第三方提供访问数据的许可，而另一方认为这种许可与自身利益相悖时，这种共有关系很可能会因为利益不一致而限制数据的流动。比如，使用者要转换维修服务或保险服务提供商的场景下，提出转移数据的需求时，这种利益冲突将尤为明显。一方权利的行使必须依赖另一方的同意，当利益无法协调一致时，往往难以实现“数据二十条”所希望达到的“共同使用、共享收益”的目标。

综上，上述三种排他性数据赋权模式均存在着难以克服的困境。首先，单一主体的排他性赋权，有助于明确权利主体地位，但是如果赋予制造商，则将进一步巩固其数据市场的独占地位，有违政策目标期望实现的“数据共享共用”的目标；若为使用者单独赋权，则对市场干预过度，更可能影响制造者对数据生产的投入，进而影响全社会的数据生产规模。其次，对合同公平性的审查，比如实施标准合同、示范合同，对市场干预程度较小，可以指导合同场景下数据生产者遵循公平、合理和非歧视及透明原则（FRAND）。示范合同的限制在于基于合同相对性原则，无法保障不在合同关系中的第三方，比如智能网联汽车非购买者/租赁者的实际使用者。再次，赋予共同生产者以共同持有权似乎是最为接近多元主体利益配置的一种方案，但是数据产业链上参与者众多，共同持有数据的权利行使面 临 实 施 上 的 巨 大 协 商 成 本。总 而 言之，上述三种建立在“独占所有或使用权”基础上的数据资源持有权分配框架，皆存在加剧数据共同生产者之间利益冲突的可能性，结果只能达到一个零和博弈状态下的“囚徒困境”，无法实现数据的开放性、可获取和可利用性目标。

4、 数据生产者非排他性赋权模型

4.1 数据生产者赋权的考量因素

随着国家政策目标的进一步明朗，仅仅依靠合同和技术控制来建立数据基本秩序的观点渐 渐 式 微， 众 多 学 者 通 过 “公 地 悲剧” “反公地悲剧” “科斯定理”等诸多理论论证建立数据产权的必要性，并在国家政 策 “数 据 二 十 条” 中 得 到 彰 显。同时，如上所述，传统财产权主张的排他性赋权模型因为数据共同生产场景适用面临的诸多困境，在多元主体利益配置中无法兼顾效率与公平，难以实现非公共数据“共同使用、共享收益”的数据流通激励政策目标，也逐渐被摒弃。以非排他性为主要特征的新型数据权概念得以提出。

非排他性新型数据权并非仅限于财产权概念的创新，而是数据利益的多元配置概念，包括了财产权、人格权与个人信息保护、反不正当竞争、合同公平性等方面，对来自法律多个领域的数据权益进行整合与分配。我国学者提出了“权利束” “权利块”等理论框架，试图从学理上构建和解释保护多元主体数 据 加 工、 使 用 和 流 通 利 益 的 不 同 方案。“权利束”和“权 利 块”理 论 的 基 本假设是将数据权利进行多样性分割，权利“束体”可形成“模块化”，以便客体上的多位权利人和潜在的交易当事人能够较好地理解各自享有的权益或负担，有助于数据权利分割、流通和利用。

“权利束”“权利块”等理论围绕多元主体之间复杂权利配置提出了方案，是对数据生产协同性特征的回应，且兼容并包个人数据、企业数据、公共数据中的人格权益、财产权利、公共利益和国家主权等主张。但是，多元主体间的权利配置，最为困难的问题当属权利间的效力竞合与冲突。“权利束”等理论并未就参与数据价值生成的数据生产者之间的权利优先排序提出一般性规范，削弱了规范的可预期性，反而可能增加数据交易成本。

在数据权的财产性权利领域，“数据二十条”提出“数据资源持有权”“数据加工使用权”“数据产品经营权”等数据产权结构性分置框架，核心目的是突破传统产权专属性和排他性带来的利益分配困境。三权分置似乎是从数据产业链的角度分解不同数据处理活动者的权利，但是从数据非排他性特征来看，数据的持有、加工、使用、共享、交易等活动难以线性分割。数据的非排他性特征使其有别于传统工业产品，其“占有”的形式可以是物理上的“持有”，也可以是通过 API接口实现数据访问，以达成数据资源“持有”。以“持有”为基础才可投入技术、劳动、资本等对数据资源进行后续加工使用，乃至数据产品的经营。因此，在数据价值链上，数据资源持有权作为数据产权结构性分置制度的首要权利，是后续数据加工使用权、数据产品经营权的基础。

在设计非排他性数据资源持有权的配置方案时，需要考虑以下因素：

一是数据资源持有权是否能够促进数据高效流通。数据资源持有权创设了一项新的平行权利，通过对相对弱势的共同生产者赋权数据资源持有，推动数据资源的流动和使用，以重新塑造数据市场环境。数据资源持有权是对数据权利的直接分配。“数据二十条”提出要“完善数据要素收益的再分配调节机制”，比如对来自数据的过高收入征税，对相对弱势的群体进行补贴等。但是，这种再分配政策是间接的，并且难以从根本上促进数据的高效流通，激活数据要素功能。数据资源持有权不仅能直接满足权利方的数据利用需求，而且能够通过“渗透到社会”（throughthesociety）的权力运作，更直接、更有效地以“公平为原则”分配数据权利。

二是数据资源持有权是否能够促进数据权利公平配置。前述数据生产者排他性赋权模式中最为核心的困境是平台或制造商对数据资源的独占控制导致共同生产者难以公平合理地共享利用数据。存在高昂的交易成本以及信息和议价能力不对称的情况下，数据资源系统的开放程度只能依靠外部干预。数据资源持有权设立的目的之一是为了打破数据垄断，在多元主体之间公平配置数据权利。因此，一方面，数据共同生产者数据资源持有权的范围和大小应当与其在数据生产中的贡献和产生的价值比例相当；另一方面，数据资源持有权的行使需要平台或制造商等特定持有者在数据质量、技术支持和安全保障等方面的投入，因此，权利的行使也不应造成平台或制造商等特定持有者超过比例的负担。

三是数据共同生产者在数据价值链上的权利主张是否相容。数据资源持有权是对特定数据 资 源 持 有 者 权 利 的 克 减 和 义 务 的 增设，在一定程度上削弱了企业对数据资源的独占控制力。但从长远来看，这种权利的克减和义务的增设有可能推动数据的更广泛流通和应用，提高数据资源的利用效率。对于社会总体来说，这种更高效的数据流通和利用可以带来更大的社会福利。同时，数据资源持有权并不对特定数据资源持有者本身的使用数据的范围和能力造成限制。数据的非排他性决定了数据被一方主体使用时并不影响其他主体的使用。其他数据共同生产者对数据资源的访问和利用不得损害特定持有者的合法利益，包括尊重和保护特定持有者的知识产权和商业秘密，遵守数据保护和数据安全规定。数据资源持有者需要签署数据使用协议，明确约定数据资源的使用范围和方式，以及数据保护的责任和义务。此外，还需要建立和维护一套完善的数据保护系统，以防止数据泄露、篡改或丢失。

4.2 数据生产者的识别

洛克的“劳动赋权”理论为数据生产者赋权奠定了理论基础。数据生产者在数据生产过程中，投入了资本、劳动、技术等 生 产 要素，应当就其劳动创造的数据经济价值而分配收益。“劳动赋权”理论形成的数据财产权并不必然形成一项排他性的独占权利。基于数据生产的协同性特征，数据价值生成过程中，包括数据生成、收集、汇集、处理、分析等都可能凝聚了多方数据生产者的劳动和投入。数据 生 产 者 在 不 同 阶 段 加 入 数 据 产 业链，参与包括原始数据、衍生数据、数据产品等不同形态的数据上下游生产。同时需要明确的是，并非数据生产链上的所有参与者都是数据生产者。对于享有数据资源持有权的主体，数据共同生产者的识别有两种判断标准。

一是“贡献说”。美国法学会和欧盟法学会于2022年提出了 ALI-ELI原则，基于贡献理论来识别除数据控制者以外对数据生成作出贡 献 的 主 体。ALI-ELI原 则 从 四 个维度来评估数据生产者是否在数据价值生成中作出贡献：①数据与权利主体相关，比如个人数据与数据主体的相关性，非个人数据与该数据主题所涉资产的所有者或运营者的相关性。②数据来自于权利主体使用特定网络产品或服务而生成；③权利主体为数据价值提升作出了贡献；④权利主体开发了生产数据的应用程序等数据生产基础设施。

数据生产者在数据价值生成中的贡献有大有小，在数据处理的不同阶段发 挥 作 用。因此，数据共同生产者之间权利的优先级可以借鉴 ALI-ELI原则，依据贡献的高低和贡献的权重进行优先排序。贡献的高低可以理解为，比如当个人向数据控制者提供个人数据时，个人就这类数据所占份额非常高，但一旦数据被去标识或匿名化处理，其贡献份额将变得很小。贡献的权重程度可以理解为，例如数据可以存在多个来源时，其贡献的权重较小，如果同样的数据是独家来源时，则其权重较大。

“贡献说”突破了传统数据赋权于单一主体，获得绝对支配权的范式，为共存于数据之上的多元主体提供了一种评估模型，以合理确定有权持有和访问数据的主体范围。但是“贡献说”的局限性在于，并非所有对数据价值生成作出贡献的主体都必须通过立法强制赋予数据资源持有权。比如在个人数据保护法领域，欧盟提出的“数据处理者”概念，在我国可被称为“受托方”，即是指代表数据控制者处理个人数据的自然人、法人、公共权力机关、代理机构或其他机构。在此，数据处理者受控制者的委托实施加工处理，增加数据的价值。这种情况完全可以用合同方式，保障处理者的权益，而非赋予法律上的数据持有权。比如，越来越多的企业采购诸如平台即服务（PaaS）或软件即服务（SaaS）等云计算服务处理业务数据，在此场景下，云服务商虽然对数据实施了处理行为，但并非应赋予数据持有权的数据生产者。

二是“控制说”。“控制”的概念来源于欧盟《通用数据保护条例》（GDPR）提 出 的“数据 控 制 者”，并 形 成 了 围 绕“数 据 控 制者”的一整套个人数据保护权利义务规则。GDPR第四条将“数据控制者”定义为：单独或与他人共同确定个人数据处理的目的和方式的自然人、法人、公共权利机关、代理机构或其他机构。“数据控制者”识别的关键要素是主体“是否会决定数据处理的目的和方式，并 承 担 相 应 的 风 险 和 责 任”。与“数据控制者”相对应的概念是上文提到的“数据处理者”。根据 GDPR“数据处理者”指代表数据控制者处理个人数据的自然人、法人、 公 共 权 力 机 关、 代 理 机 构 或 其 他 机构。这意味着，数据控制者可以委托数据处理者持有并处理数据，自身并不直接物理或技术上“持有”数据。数据处理者持有数据可以实施的数据处理活动严格限制在与数据控制者约定的目的、方式、期限、种类等范围之内。此时，数据处理者虽持有数据，但这种“持有”是物理和技术意义上的，而不是法律意义上以“持有”进而实现控制。数据处理者对数据享有的权利范围受限于数据控制者的授权，无法自主处理数据。

将欧盟法上的“控制”概念引入数据生产者的识别，有助于克服“贡献说”仅仅从数据价值生 成 维 度 识 别 数 据 生 产 者 而 带 来 的 混淆。比如用户使用云计算服务存储和处理业务数据，虽然云服务商对数据进行了加工处理，增加了数据的价值，但决定数据处理目的和方式的是云计算用户。因此，数据权利应当归属于云计算用户。而对于使用电商平台开展经营活动的商户，其交易记录、用户信息等数据是基于其业务开展而生成，在此过程中，电商平台为数据的生成提供了基础设施和平台服务，由于两者在数据生成活动中都决定着数据处理的目的和方式，因此都可识别为数据生产者。

综上，数据共同生产者的识别标准需要从“贡 献 说”和“控 制 说”两 个 维 度 展 开。“贡献说”主要确定了一个事实，即基于特定的业务目的（如提供产品或服务）而投入资本、技术、人力等要素的企业，以及使用特定产品或服务的用户（消费者/商户），都在数据生成过程 中 作 出 了 贡 献。“控 制 说”则 在“贡献说”的基础上，进一步精细化地划定数据共同生产者的范围，尤其强调了业务目的主导和控制的重要性。根据“控制说”，只有那些在数据生成过程中主导业务目的，并基于该目的而收集和产生数据的主体，才能被认为是数据的共同生产者。这意味着，仅仅参与了数据生成，但并未对数据的收集、处理和使用有主导作用的实体，如仅仅提供硬件或网络支持的服务商，或者仅仅为数据收集提供便利条件但并未参与数据处理和使用的个体，将被“控制说”所剔除，不被认为是数据的共同生产者。

“贡献说”和“控制说”结合，可以更精确地识别出在数据资源生成过程中起到决定性作用的主体，从而有助于更公正、更精确地分配数据资源的利益，维护数据的公平使用和保护数据主体的权益。

4.3 数据生产者的数据持有权:1+N模式

如上文所述，数据生产者的数据权是对来自法律多个领域的数据权益进行整合。从财产权角度，数据生产者的首要权利是数据持有权，以此为基础可实施对数据的开发利用。对数据生产者赋权的核心是在数据生产者之间以“1+N”模式配置数据持有权，即“特定数据生产者的在先持有权+N个其他数据生产者的访问权”模式，以实现数据“共同使用、共享收益”的政策目标。

4.3.1 数据持有权的法律内涵

（1）数据在先者持有权

在数据生产过程中，机器制造商或服务提供者往往控制着数据生产的基础设施，以优先占有生成的数据。虽然缺乏法律确认，但在先持有者已经通过基础设施和技术措施实现了对数据事实上的控制。数据在先者持有权，是从数据要素收益分配角度，对数据在先持有者在数据生产基础设施、商业模式的开发以及技术和劳动等方面投入的承认，并从法律上保障其数据生产投资的合理回报，即优先持有数据，并对数据享有以持有权为基础 的 开 发 利 用 权 利。这 也 是 “数 据 二 十条”提出的按照“谁投入、谁贡献、谁受益”原则，建立效率与公平的数据要素收益分配制度的应有之义。

（2）其他数据生产者的访问权

在赋予机器制造商或服务提供者数据在先持有权的前提下，同时赋予其他数据生产者一般性访问权，以“访问”实现数据的“持有”。结合“贡献说”与“控制说”，数据生产者是为数据生成作出贡献，并决定数据处理的目的和方式的主体。其他数据生产者在数据价值和使用价值创造中同样作出了贡献，是数据价值生产中不可或缺的主体，理应得到合理的回报。通过赋予其他数据生产者以访问权，推动数据共享利用，防止机器制造商或服务提供者的数据垄断和服务锁定。

4.3.2 数据生产者的数据持有权特征

数据生产者的数据持有权具有非排他性特征。机器制造商和服务提供者的数据在先持有权和其他数据生产者的“访问权”是非排他性的。这一逻辑可以类比知识产权制度，通过限 制 和 例 外 来 防 止 智 慧 成 果 的 低 效 利用。数据生产者持有权的目标是通过创新性的赋权模式，推动数据要素的充分流通和利用。数据 生 产 者 的 持 有 权 是 一 项 一 般 性 权利，并非以数据在先持有者与其他数据生产者之间存在合同关系为前提。然而，合同确实在实施访问使用权方面发挥着重要作用。比如，合同双方可以通过合同约定数据访问的具体技术规范和实施形式，以方便数据生产者行使数据访问权的主张。

数据生产者的数据持有权具有事前性，有别于竞争法从防止数据垄断而提出事后救济的数据访问权。虽然数据生产者概念的提出，一定程度上是为了防止数据锁定和数据垄断，但是该项权利没有遵循传统的市场失灵逻辑，对市场失灵采取事后救济，而是采用更加积极的逻辑，将数据视为基础设施和市场要素，通过在数据生产者之间配置在先持有权和访问权，解决数据利用效率低下问题，加速向数据驱动的生态转型。

数据生产者的数据持有权具有独立性。数据生 产 者 的 持 有 权 是 一 项 多 方 共 享 的 权利，并且各方可以独立使用数据，但必须尊重其他主体的合法利益。数据在先持有者无需获得其他共同生产者的许可行使其独立的权利。其他数据生产者通过访问获得数据，也可以各自独立规划数据的使用目的和方式，不必获得在先持有者的许可。这种独立性是一项超越“共同所有权”的制度创新。“共同所有权”要求共同数据生产者分享所有权，但在使用数据时，特别是授权第三方访问和使用时，如果出现利益冲突的情况，将导致数据授权利用出现障碍。独立的“访问权”意味着无需获得在先持有者的许可，可以自己访问和使用数据，也可以授权第三方访问和使用数 据。但 是， 其 他 数 据 生 产 者 的 “访 问权”不得侵害在先持有者的合法利益，比如商业秘密、知识产权等。数据持有权的共享和各自独立使用，可以防止在数据创新和竞争中出现垄断和锁定。

数据生产者的持有权是对数据可携权的进一步扩展。可携权的概念来自于欧盟 GDPR，旨在 赋 予 数 据 主 体 对 个 人 数 据 的 控 制力，尤其是该项权利可用于转换服务提供商，防止 服 务 锁 定。但 是， 自 GDPR 实 施 以来，个人数据可携权并没有得到实际有效地实施。一方面是该项权利在立法上的强制力并不充分，立法仅要求在技术条件充分的情况下实施该项权利；另一方面，可携 权 的 实施，特别是直接转移至个人数据主体指定的第三方，需要在数据格式、接口、条件等技术标准上达成一致，并改造现有的基础设施，而网络运 营 者 并 没 有 太 大 的 技 术 改 造 的 积 极性。尽管如此个人数据可携权仍有望在欧盟规范大型在线平台（守门人）的新立法《数字市场法》（DMA）中得以落实。欧盟 DMA明确要求守门人承担“为最终用户提供对数据的实时访问和有效的数据可移植性服务”的义务。我国《个人信息保护法》第四十五条中也提出了个人信息可携权，但并未强制要求网络运营者立即实施该项权利，具体实施细则仍有待监管部门进一步明确。数据生产者的数据持有权进一步推进了个人信息可携权的落地，也是对该项权利的进一步扩展。从主体方面，从个人信息主体扩展至数据生成者。个人信息主体从个人信息来源者的视角，也可以认为是一类特殊的数据 生 产 者。在数据生产者持有权框架下，具体落地个人信息可携权，以实现立法所规定的“将个人信息转移至其指定的个人信息处理者，个人信息处理者应当提供转移的途径”。从对象方面，从个人信息扩展至产品或服务使用过程中生产的数据，不仅仅适用于 B2C（企业对消费者）也适用于 B2B（企业对企业），即一种不局限于特定领域的权利。

指定第三方的法律地位来自于数据生产者的授权。数据生产者有权持有并使用共同生成的数据，但是产品和服务的使用者可能并不具 备 后 续 访 问 和 使 用 数 据 的 能 力 或 兴趣。特别是用户是一般消费者的情况下尤其明显，甚至企业用户也可能如此。因此，产品或服务使用者授权第三方代表自己访问和使用相 关 数 据 成 为 数 据 流 通 利 用 的 必 然 选择。这也是欧盟 GDPR和我国《个人信息保护法》中设计的个人信息可携权实现路径，即个人信息主体可以要求个人信息处理者将数据传输给其指定的第三方。扩展至数据生产者的数据持有权，第三方应可以通过使用者的请求 直 接 从 数 据 在 先 持 有 者 那 里 访 问 数据。当然，第三方的访问权来自于数据生产者的授权，并应当根据数据生产者指定的目的和方式利用数据。

数据生产者的数据持有权一定程度上借鉴了欧盟《数据法》草案提出的横向数据访问权。欧盟《数据法》提出的数据访问权是一种旨在保证数据的公平使用，避免市场失灵的新型制度安排。根据数据访问权，使用产品或服务生成数据的用户，有权在必要范围内访问其数据。当存在信息不对称、谈判能力严重不对等市场失灵时，其他市场主体可以基于公平、合理和非歧视性的原则，在支付合理对价后，获得对企业数据的访问权。数据生产者的数据持有权一定程度上借鉴了欧盟《数据法》草案提出的横向数据访问权。欧盟《数据法》提出的数据访问权是一种旨在保证数据的公平使用，避免市场失灵的新型制度安排。根据数据访问权，使用产品或服务生成数据的用户，有权在必要范围内访问其数据。当存在信息不对称、谈判能力严重不对等市场失灵时，其他市场主体可以基于公平、合理和非歧视性的原则，在支付合理对价后，获得对企业数据的访问权。

两者的相似之处表现在：其一，在赋权目的方面，两者都旨在推动数据共享利用，防止数据锁定。欧盟《数据法》草案的序言和解释性备忘录提出，该法旨在确保产品或相关服务的用户能够获得他们通过使用该产品或服务而“共同生成”的数据，从而避免以数据为基础的“锁定”，促进市场创新。法律应当防止“小微型或中型企业公平数据访问和使用的合同失衡，确保在数据经济中更公平地分配 价 值”。其 二，两 者 都 通 过 设 计“访问 权”来 实 现 数 据 的 共 享 利 用。《数 据法》草案中，数据持有者被要求授予产品使用者访问“通过产品或相关服务使用而生成的数据”的权利，并且在产品使用者要求下，与代表用户的第三方共享这些数据。

但本文提出的数据生产者的数据持有权与欧盟《数据法》草案仍有 相 当 大 的 区 别。首先，权利主体不同。数据资源持有权的赋权主体是依据“贡献说”和“控制说”识别出的数据共同生产者，包括了数据资源在先持有者和其他数据持有者。数据资源持有权是在共同 数 据 生 产 者 之 间 的 重 新 配 置。欧 盟《数据法》规定的数据访问权主体则是相对于数据持有者的产品或服务的使用者。其次，数据生产者访问权的权利客体不同。《数据法》草案所提出的访问权的范围包括用户主动提供的数据和 OECD 所分类界定的观察数据，不适用于衍生或推断数据，并且仅限于那些由直接使用产品或由数字服务生成的“观察数据”。其他不以机器方式生成的数据，例如社交媒体提供商或其他缺乏物理产品组件的在线服务（如搜索引擎或交易平台）收集的数据不在其中。数据资源持有权的客体则涵盖了产品或服务使用过程中附随生成的数据，尚处于数据资源状态，未进一步分析和处理。其他共同生成者的数据资源持有权可访问的数据应当是与其“贡献”和“控制”相关的数据。再次，两者适用的范围不同。欧盟数据访问权是物联网场景下使用相关产品或服务的用户享有的一项权利，也可称为“物联网数据访问权”。当然，对于大型数字服务 提 供 者“数 据 守 门 人”，欧 盟 制 定 的《数据市场法》明确了相关访问权。而数据资源持有权则并不限定于物联网场景，也包括在线交易平台、社交媒体凭条、智能设备等多种领域。通过确立数据资源访问权，可以明确规定数据流通利用的一般规则，为各类主体提供明确的行为指引。

5、 数据生产者的数据资源持有权治理

数据生产者实现对数据资源的持有、访问和利用，其基础条件是建立开放和互操作的基础设施，通过治理、法律和技术工具，建立可信任的数据共享利用的环境。因此，除了在立法上明确数据生产者的权利边界，还需要在治理和技术工具方面加以支持。

5.1 技术治理

为了 实 现 数 据 生 产 者 的 数 据 资 源 持 有权，技术上的互操作性尤为关键，也可能是一个影响 深 远 且 负 担 沉 重 的 要 求。这 意 味着，在产品和服务的设计与制造阶段，数据的先占持有者就应当考虑实现数据的便捷和安全访问。

数据 在 先 持 有 者 应 满 足 必 要 的 技 术 要求，以便 其 他 数 据 生 产 者 实 现 访 问 权。首先，确保数据质量和数据完整性。其他数据生产者提出访问请求时，不得无理由对数据进行压缩或更改，数据在先持有者应确保元数据指标的完整性。其次，确保对数据集的充分说明，包括数据集的内容、收集方法、数据质量等信息，以方便他人查找、访问和使用数据。第三，遵 守 数 据 标 准。包 括 数 据 结构、数据格式、术语、分类、代码等应符合通用的技术标准，并应以公开可用和一致的方式进行描述。第四，应充分说明获取数据的技术手段，如应用程序编程接口及其使用条款和服务质量，以便各方能够自动获取和传输数据，包括以机器可读格式连续或实时传输数据。第五，提供多种形式的数据访问。对数据集的访问通常不应限于在数据持有者的服务器或其他技术基础设施上使用，也应当提供下载、转移等形式。

此外，数据资源持有权的实现，并不意味着数据实际的占有，即下载或传输数据。数据持有权的实现可以通过非占有的数据访问而实现。共同生产者可以借助先占持有者提供的数据分析工具，从不同的数据源中提取有用的信息，直接获得数据分析结果或数据产品。

5.2 透明度治理

透明度义务，是与 我 国《个 人 信 息 保 护法》赋予的个人信息主体的知情权的类似义务。信息透明度，对数据生产者数据资源持有权的实现至关重要。一般来说，（潜在的）使用者往往难以了解产品或服务使用过程中将会产生哪些数据，哪些数据可供数据共同生产者持有、访问和使用，数据持有和访问可以采取哪些方式等。

先占数据持有者需要承担向数据共同生成者提供充分、明确、可理解的信息的义务。一方面，在商品或服务合同或产品租赁合同订立之前，商品或服务提供者应向未来的使用者以可理解的方式提供有关如何访问共同生成的数据的充分信息，包括可共享持有的数据资源的范围、内容、数据访问方式，所采取的数据安全措施（比如匿名化），以为使用者勾 画 未 来 的 数 据 资 源 利 用 提 供 充 分 信息。另一方面，在商品或服务提供过程中，如果可共享持有的数据资源的范围、内容、访问方式、安全措施等发生变化，商品和服务提供者应当 及 时 告 知 用 户。此 外， 适 当 情 况下，商品和服务提供者还可以设计数据资源持有权操作界面，提供相关信息，为权利实现提供便利。

5.3 个人信息保护与数据生产者的访问权的竞合

我国《个人信息保护法》第十三条规定了包括个人信息主体同意在内的七项个人信息处理合法性基础。当前数据生产场景中，个人信息主体是最为重要的数据来源。同时，法律采取宽泛的“可识别性”标准定义“个人信息”，大大扩展了个人信息的范围。作为数据来源者的个人信息主体，可以请求个人信息可携权，授权第三方使用一定范围的个人数据。但是，其他数据生产者并非都是个人信息主体，大量商业用户或其他主体对生成的个人信息具有访问权。但是，当前我国《个人信息保护法》并不支持个人信息处理者以追求“合法利益”为目的而处理数据，而要获得个人信息主体的同意，则基本上难以实现或负担繁重。同时，数据在先持有者也可以遵循个人信息保护规则，而阻止数据访问请求，特别是其对个人共享数据没有兴趣的情况下，采取规避风险的方式将是商业上合理的选择。

因此，走出上述困境的务实办法可能是澄清个人数据集匿名化的要求，并要求数据生产者和第三方在共享数据集之前使用可用的、成本适当的手段实施数据匿名化，特别是在无法征得个人信息主体同意的情况下。这种匿名化的努力，不仅应适用于可以直接识别个人身份的数据集，还包括与产品用户或第三方持有的其他数据结合后可识别身份的数据集。此外，隐私增强技术（PET）的应用，不仅有助于实施隐私保护原则，也有助于实施数据治理政策，保障数据流通中的信任。

6、 结语

“数据二十条”为构建非排他性的数据财产权指明了政策方向。数据生产者数据资源持有权的提出，试图超越传统的财产权范式，构建一个新的基本法律基础设施，即为了促进数据要素的流通，推动数字经济的发展和产业创新，在数据生产者之间合理配置事前的、独立的、非排他的持有权。对数据资源持有权的合理配置影响到数据要素流通中各利益相关方的权益平衡，是数据利益的第一次分配，需要在实践中探索并校正，同时密切监测及评估对市场的影响，以探索符合数据经济发展规律的、公平的、高效的新型数据产权制度。

来源：信息资源管理学报