数据的确权、流通、入表与监管研究（一）：数据与确权（下）

??

关注WX公众号： commindtech77， 获得数据资产相关白皮书下载地址

1. 回复关键字：数据资源入表白皮书
下载 《2023数据资源入表白皮书》
2. 回复关键字：光大银行
下载 光大银行-《商业银行数据资产会计核算研究报告》
3. 回复关键字：数据资产估值
下载 《商业银行数据资产估值白皮书》
4. 回复关键字：上海银行
下载 上海银行《商业银行数据资产体系白皮书》
5. 回复关键字：商业银行数据资产管理
下载 《商业银行数据资产管理体系建设实践报告》

二、数据确权规则

数据所有权是数据其他相关权利的基础，因此本节重点描述数据所有权的确权规则。

数据分为指令类数据和非指令类数据。

对指令类数据而言，其主要的形式就是“计算机程序”，又被称为“软件”，在知识产权相关的法律中，相关权利的保护有明确规定。本文不再做讨论。

对非指令数据而言，针对第一节中描述的不同种类数据，提出如下所有权确权规则：

确权规则一：原始数据中(次原始数据）完全取决于实体本身的属性、状态，逻辑上不依赖特定数值化活动的数据属于对应的主体（被数值化的主体，或物的拥有者）；原始数据中依赖于特定数值化活动的数据，属于对应主体和实施数值化活动的主体，数据可以去关联后分属相关主体。

数值化活动是现实空间与赛博空间交互的重要环节之一，原始数据是数值化活动的结果。数值化活动涉及三类主体，即：实施数值化活动的主体、被数值化的主体（人或机构）、被数值化的物的所有者。

原始数据和次原始数据与现实实体有着固有和不可分割的关联关系，因此原始数据和次原始数据中完全取决于实体本身的属性、状态，逻辑上不依赖特定数值化活动的数据属于对应的主体（或客体的拥有者）。比如：人的姓名、年龄、性别，物的重量、体积等。这些属性、状态可能会被不同的主体多次数字化，这些属性、状态也可能会随时间变化，但无论被如何数值化、如何变化，这些属性、状态与对应实体的关联关系是无法改变的，如果关联关系一旦被改变，数据就失去了价值。所以，此类数据天生决定了属于对应主体，即：被数值化的主体或被数值化的物的所有者。

原始数据还包括大量的与数值化活动相关的数据。数值化活动会发生在两种场景下，即：业务活动和专门数据采集活动。这些活动的数据与实施数值化活动的主体和被数值化主体之间有着固有的关联关系，因此这些数据属于实施数字化活动的主体和对应主体共有。例如：在网站平台上的原始访问记录属于访问者和网站所共有。对于共有的原始数据，如果将其与某一主体去关联后，则该数据属于剩下所关联的主体。（关于数据去关联的规则，另文讨论）。

确权规则二：主体（人或机构）的原始数据（及次原始数据）的所有权无法改变，但可以设置类似“用益物权”的权利；物的原始数据（次原始数据）的所有权随物的所有权变化而变化；数据集按照“按份共有”的原理确定权属。

主体固有属性、状态所形成的原始数据（即：主体固有原始数据），因其与特定主体（人/机构）特有的不可改变的关联关系，其所有权是无法改变的。即使这些数据被去标识后，这种关联关系也是无法改变的，因此其所有权也是无法改变的。

物的原始数据根据物的归属关系，属于物的所有主体。如果物的所有主体发生变化，物的原始数据所有权也相应改变。

对于不同权属的具有相同或类似结构数据汇聚成的“数据集”，可以按照“按份共有”的原理确定该“数据集“权属比例。

对于无法改变所有权的原始数据和次原始数据，可以通过法律、合同等手段设置类似“用益物权”的权利。通过类似“用益物权”的权利设置，不仅可以解决主体消失（如：人死亡后）后，其固有原始数据和次原始数据开发利用的问题，也可以为物的权属转移导致的数据权属变化提供一种解决的方法。

确权规则三：结果数据的归属在遵守规则一、二的前提下，可依照《民法典》“添附”规定确定权属（或权益）的归属，默认属于输入数据所有者和处理者共同。

结果数据是指对输入数据进行处理所所生成的数据，结果数据的确权涉及输入数据的所有者和数据处理者两类主体。

次原始数据是对原始数据综合处理（如：清洗、纠正、去重等）后形成的结果数据，但次原始数据处理的目的是更为准确反应现实实体的属性、状态及其历史变迁，因此需要按照规则一、二对次原始数据归属进行确权。

除次原始数据外，其他的结果数据，在没有法律规定、主体之间也没有协议约定的情况下，《民法典》中“添附“是可以适用的规则。如果按照添附规则仍无法确定权属的，结果数据默认由数据所有者和处理者共同拥有。

《民法典》中将“添附”分为了三种情况，即：加工、附合和混合。《民法典》中的”加工”，非常类似于简单的数据收集、汇集工作，结果数据往往是输入数据的简单“合并”和简单变换，或者结果数据只是输入数据的子集和简单变换；“附合”则非常类似结果数据中“嵌入了”部分（或全部）的输入数据，一旦将所嵌入的输入数据剔除掉，结果数据就失去了使用价值；“加工“对应于结果数据中不包括任何的输入数据的情况。

确权规则四：新产生的模型数据、统计/推测/预测结论、研判/决策结论、自动执行数据按照规则三确权，后续可以改变。

模型类数据、各种统计类/分析类/决策类/结论类数据、自动执行数据都是基于一定的输入数据，经处理后生成的，可以根据规则三进行确权。这些数据的所有权可被改变，即：这些数据的所有权可以转让。

三、数据的所有权与其他权利

所有权是数据的基本属性，也是数据其他权利的基础。辨析数据相关的其他权利与所有权之间的关系，则是数据合理流通、合理利用的基础。

从第一节的模型可以看到，非指令类数据相关的基本权利可以分为三个，即：数值化的权利、处理的权利和现实化的权利。赛博空间的数据只有两个用途：被处理以产生新的数据，被现实化以影响现实世界。

另外和数据相关的还有一个权利就是，数据的持有权。这是由数据的特点所决定的。数据是存在于赛博空间的，因此数据都需要依附一定的载体而存在。在现代网络化的信息系统中，这些物理载体的所有者和数据的所有者可能并不是同一个主体，从而产生了数据的持有者与数据的所有者并不是同一个主体的情况——数据持有权。数据在载体上的存在可能有两种情况：密文态和明文态。

另外，持有权和处理权之间有着非常微妙的关系：处理者必须持有数据才可能对数据进行处理，这是现代信息技术特点所决定的。在同态计算技术没有成熟之前，处理者还必须明文持有数据。

本节讨论这四项权利数据所有者对这四项权利授权情况。

（1）数值化的权利

数值化的权利决定了现实世界实体能否被赛博空间的数据所描述和反应，因此该权利属于现实空间的主体和物的所有者，即：“现实主体“。

现实主体在业务交互场景中，为保证业务的完成，在业务交互的过程中隐含将数值化的权利授予了业务运营者，从而能够实现业务的交互，共同完成相关的业务活动。在这种场景下，现实主体的隐含授权仅仅是业务完成所需的最少量数据，这就是很多法律、法规中提出“最小必要原则”的根本原因。除业务的“最小必要原则”外，现实主体还会根据相关法律规定的监管要求，隐含授权采集一些额外的信息。换另一句话说就是：现实主体对数字化权利的授权仅仅限于业务“最小必须“和”法律监管”两个方面。

现实主体在专门的数据采集场景中，则是根据与数据采集者达成的协议，授权数据采集者数值化的权利。

在实际社会活动中，存在业务运营者（或数据采集者）超授权进行数值化活动的情况（即：超范围采集数据）。另外，对一些特殊的数值化活动（如：摄像、录音等）则存在直接和间接侵犯现实主体数值化权利的情况（即：未经授权的数字录音、录像）。

（2）处理的权利

对原始数据和次原始数据而言，数据所有者的授权往往是基于业务交互隐含完成的，换另一个角度来说，原始数据和次原始数据的所有者是基于业务交互的必须，授权业务提供者对原始数据和次原始数据进行处理的。从严格的意义上来说，数据主体并未授权业务提供者对这些原始数据和次原始数据进行业务活动不直接相关的处理，更没有授权进行无关的处理。至于何为业务相关的处理，需要在实践中给出更为清晰和明确的界定。这对于现实主体和业务提供者才是公允的。

对模型类数据和其他数据而言，只需其所有者授权，相关处理者即可进行进一步的处理，生成新的数据。

（3）现实化的权利

现实化是一个非常特殊的环节，是赛博空间数据作用于现实空间的关键环节，因此其授权需要更为细致，才有利于保护数据所有者的权益，同时也有利于防止数据被滥用。

对可现实化的数据而言，数据拥有者首先应考虑被授权者的身份，并将实施现实化的手段、方式、时间、物理和逻辑地域（或位置）、过程、对现实空间的作用范围等因素作为授权的内容。

（4）持有的权利

前面提到了持有权利和处理权利之间的微妙关系，因此，当数据所有者授予处理权的时候，就意味着授予了明文持有的权利。

常见的单独数据持有权利授权发生在存储的委托数据传输、数据存储、数据备份、数据恢复等服务场景中。在这些场景中，被授权者只是持有数据，不会对数据做任何处理。

在明文数据持有的场景，数据所有人与授权持有人可能只有合同和协议的约束，并没有更加有效的技术保护手段，因此数据存在被非授权复制的风险，从而损害数据所有者的权益。

在密文持有数据的场景中，如果相关技术手段（尤其是密码技术）得到了有效和正确的使用，可以有效降低数据非授权复制的风险，有效保护所有者权益。

在实际社会活动中，存在利用免费明文数据持有服务（如：各类免费网盘服务）换取数据处理授权的商业模式。在此类商业模式中，并没有对数据处理范围清晰和明确界定，因此此模式存在对数据所有者权益侵害的风险。

四、一些场景案例

下面提供两个场景中数据权属的确定案例。这两个案例描述了按照前面所述规则，场景中所产生的主体原始数据和次原始数据的归属。

（1）网站购物的原始数据和次原始数据归属

人们在一个购物网站浏览时，与购物网站进行了很多的互动，这些互动会产生大量的原始数据，这些数据一般可以分为两类：记录购物者与网站交互行为的数据，比如：登录网站的时间、浏览的货品记录等；以及购物者提供的自身特有的数据，以便网站完成相关服务，常见的有：个人的身份信息、身体尺寸信息、物流地址等信息。

按照前面的确权规则，“记录购物者与网站交互行为的数据“应属于网站和购物者共同拥有。网站可以在去除购物者标识后，将这些数据转化为网站自己拥有。对购物者也是一样，购物者可以将自己的网上购物记录，去掉网站标识后，转化为自己的数据。

至于购物者特有的信息，则属于购物者所有。

举例来说：

比如网站的一条记录“某时间段、某IP地址、某账号用户、浏览了A、B、C……等商品“，就是属于网站和用户共有的数据。网站可以在去除”某IP地址“和”某账号用户“后，将该数据转化为自己所拥有的数据。

对用户而言，有一条记录“某个时间段、在某网站、浏览了A、B、C……等商品“，也是属于用户和网站共同拥有。用户可以在去除”在某网站“信息后，将该条数据转化成自己所有。

（2）病人医院就诊的数据归属

随着医院信息化覆盖的范围原来越广，病人在医院就医越来越方便，整个就诊过程在医院的信息系统中留下了大量的数据。这些数基本可以分为两类，一类是病人与医院设施、医生交互所产生的数据，比如：挂号的记录、医生的诊断、处方等，这些数据应该是属于医院和病人共有的；另外一类是病人症状、身体状态等的记录，这些数据一些来自与医生的询问、观察，一些来自于各种医疗检查设备、仪器的检测，如：X光片子、血检的各项结果等，这些数据应属于病人，而非医院，根据本文前面的确权规则，这些数据完全取决于病人，而非医院的检测手段，病人为诊断和治疗而允许医院对这些数据的采集（数值化）和处理，但这些数据仅仅与病人相关，病人在任何一家规范的医院进行检测都会得到同样的数据。这也是很多地方进行的检测信息跨医院互通使用的基础。