完善数据要素制度和数字经济强国是2023年国家战略规划要点。2022年12月《关于构建数据基础制度更好发挥数据要素作用的意见》（“《数据二十条》”）出台，数据要素确权框架基底已经搭建；今年3月伊始，根据国务院关于提请审议国务院机构改革方案的议案，组建国家数据局，更是从监管职能规划角度集中体现对整体数据资源保障和数据价值发展的坚定不移的贯彻。数据价值的激活离不开高效流通利用。然而，数据本身具有无形性、可复制性、非消耗性等超越传统物权及知识产权的特性，个人、企业、社会、国家等相关参与主体数据又有着不同利益诉求，在生产、流通、使用等过程数据呈现复杂共生、相互依存、动态变化等特点，从而导致数据在流通使用过程中长期面临确权难、互信难等问题，数据资源[1]难以在企业运营过程中发挥其最大价值。鉴此，作为数据流通利用的基础，厘清数据产权归属及保障数据产权权益是企业发挥数据资源价值的前提。

1. 《数据二十条》出台前的数据产权争议及司法保护路径

1.1 数据产权界定的争议

从数据生成来源角度划分，数据可分为公共数据、企业数据、个人信息数据。根据《数据二十条》，公共数据是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据；企业数据是指各类市场主体在生产经营活动中采集加工的不涉及个人信息和公共利益的数据；个人信息数据，是指承载个人信息的数据。其中，个人信息数据兼具人格权益和财产权益双重属性，数据的人格权益应归属于数据主体虽已在《民法典》《个人信息保护法》等相关法律中明确，但在《数据二十条》出台以前，对于个人信息数据财产权益即数据产权（所有权、收益权、使用权等）的归属与分配尚处于空白状态。

因此，社会各界围绕着个人信息数据的产权归属的认定问题亦是争论不休，主要观点可分为归属于数据主体、归属于数据处理者及数据主体享有所有权与数据处理者享有用益权三种，具体如下：

1.2 企业在数据资源保护中主要选择的司法保护路径

当前在实践中，对于企业在数据处理活动中形成的数据资源的保护，主要通过对数据资源主张商业秘密保护、知识产权保护及不正当竞争保护等传统司法保护路径来予以落实：

1.2.1 商业秘密保护

若数据资源符合秘密性、保密性、商业价值等商业秘密构成要件的，企业可以对其主张商业秘密保护。例如，杭州某公司诉汪某侵犯商业秘密案中，法院即认定杭州某公司旗下直播平台的实时打赏数据须在后台登录相应权限账号方能查看，并采取签订保密协议等一系列措施进行保护，且具有还原打赏场景、归纳中奖规律的现实价值，还具备预测用户行为、审视经营策略的深层潜在价值，构成商业秘密；汪某违反保密义务违规获取后台实时数据以择机刷奖获利的行为，干扰了打赏环节正常的运行机制，损害平台经营秩序和竞争优势，构成侵犯原告商业秘密。

1.2.2 知识产权保护

若数据经过选择或编排形成具有独创性的数据库时，企业可对其主张知识产权保护。例如，在佛山鼎容软件科技有限公司、济南白兔信息有限公司（“白兔公司”）著作权权属、侵权纠纷案中，法院认为白兔公司对国家商标总局《商标公告》所公告的信息进行拆分、提取、分类和整理，并对商标标志中所含的文字、数字等进行进一步提取和整理，同时还对商标信息后续的变更情况进行汇总，加入自定义的字段信息等，其对商标数据的编排和整理体现出独创性，白兔公司的涉案数据库构成汇编作品，可受著作权法保护，白兔公司对涉案数据库享有著作权。

但应注意，数据本身并不构成作品，简单集合的数据通常不具备独创性，因而无法对其主张知识产权保护。

1.2.3 反不正当竞争保护（竞争性权益的保障）

企业在发现第三方通过爬虫、“撞库”等不正当手段盗用企业数据资源或第三方未经授权或超过授权范围不当获取或使用企业数据资源或第三方非法利用企业研发的数据产品，并对企业相关产品或服务的正常运营造成妨碍、破坏或产生实质性替代时，即可选择反不正当竞争保护路径来维护其合法权益。其法律依据主要如下：

− 《反不正当竞争法》第二条第一款“经营者在生产经营活动中，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德。”

− 《反不正当竞争法》第十二条第二款第四项的兜底条款，即：经营者不得利用技术手段，通过影响用户选择或者其他方式，实施“其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。”

此外，市场监管总局于2022年11月发布的 《中华人民共和国反不正当竞争法（修订草案征求意见稿）》虽尚为征求意见，但其确立的 “实质性替代”原则（包括 “违反约定或者合理、正当的数据抓取协议，获取和使用他人商业数据，并足以实质性替代其他经营者提供的相关产品或者服务”或“披露、转让或者使用以不正当手段获取的其他经营者的商业数据，并足以实质性替代其他经营者提供的相关产品或者服务”等），在数据相关的不正当竞争诉讼司法实践中已被广泛运用。例如，上海汉涛信息咨询有限公司（大众点评网）诉爱帮聚信（北京）科技有限公司（爱帮网）不正当竞争纠纷案、淘宝（中国）软件有限公司与安徽美景信息科技有限公司不正当竞争纠纷案等，法院均肯定了原告方对涉案数据产品享有的竞争性财产权益，而被告方未付出劳动、成本利用技术手段获取涉案数据并据此获得商业利益的行为已对涉案数据产品构成实质性替代，恶意破坏了原告方的商业模式，构成不正当竞争行为。腾讯计算机公司、腾讯科技公司诉浙江搜道网络技术有限公司、杭州聚客通科技有限公司不正当竞争纠纷案，法院亦肯定了原告方对涉案数据产品的享有的竞争性财产权益，并认定被告擅自收集、存储或使用微信平台中作为经营性用户微信好友的其他微信用户的个人数据，将导致微信用户对微信产品丧失应有的安全感及基本信任，减损微信产品对于用户关注度及用户数据流量的吸引力，实质性损害了两原告对于微信数据资源享有的竞争权益，已构成不正当竞争行为。

虽然在司法实践中，法院认可企业对于其投入大量的智力劳动成果，通过深度开发与系统整合所研发运营的数据产品享有竞争性财产权益，对于依附用户信息存在的单一原始数据，法院认为企业作为数据控制主体只能依其与用户的许可享有有限使用权，但尚未形成对于个人信息数据财产权益归属与分配的统一规则。数据权属的界定与分配问题依然是企业实现对数据资源的高效合规利用和流通的最大困境。

2. 《数据二十条》关于数据产权“三权分置”制度的设计

为解决数据产权困境，更好的保障数据处理者对其合法获得的数据资源的相关财产权益，国家发改委在2022年3月发布的《关于对“数据基础制度观点”征集意见的公告》中提出“探索建立现代数据产权制度，推动数据持有权、使用权等相关权利有序分离与流通”。在2022年12月正式发布的《数据二十条》中则进一步明确了“淡化所有权、强调使用权”的原则，聚焦数据使用权流通，以数据处理者为主要保护主体，建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制（即数据产权“三权分置”制度）。深圳市发展和改革委员会在2023年2月发布的《深圳市数据产权登记管理暂行办法（征求意见稿）》亦在贯彻落实《数据二十条》有关数据产权“三权分置”制度的政策规定的基础上，领先明确了数据资源持有权、数据加工使用权及数据产权经营权的定义。

2.0.1 数据资源持有权

数据资源持有权是指数据处理者在相关数据主体的授权同意下，对数据资源管理、使用、收益和依法处分的权利。

实践中，数据资源及其对应的持有权益通常包括：

（1）数据处理者自身生产的企业数据：该等数据不涉及个人信息和公共利益，此时数据处理者对其所持有的企业数据享有绝对的自主管控权利，可以自主决定数据资源的持有期限、数据资源持有权的转让等。

（2）数据处理者在生产经营中按照数据主体授权依法依规获取的数据（含公共数据及个人信息数据）：此时数据处理者仅在数据主体授权的范围和期限内依法享有对该等数据资源的自主管控权利，且数据处理者对该等数据资源的持有权益一般不易认定为具备排他性。例如深圳市腾讯计算机系统有限公司（“腾讯公司”）诉杭州祺韵网络技术有限公司（“祺韵公司”）著作权侵权、不正当竞争纠纷案中，法院即认定对游戏用户的原始数据收集不是腾讯公司专属的权利，祺韵公司在获得用户授权、不破坏腾讯公司的技术保护措施、且未妨害腾讯公司收集和使用数据的情况下，收集平台上游戏用户的原始数据的行为，不具有可责性，不构成对腾讯公司的不正当竞争。

2.0.2 数据加工使用权

数据加工使用权是指数据采集、加工等数据处理者依照法律规定或合同约定获取的以各种方式、技术手段使用、分析、加工数据的权利。

企业对于数据的加工使用，首先应保障数据获取具备合法性基础（如基于相关数据主体的授权同意）；其次，应保障对于数据的加工使用应依法依约进行，不得侵害公共利益、数据安全或数据主体的合法权益，例如对于承载个人信息的数据需按照个人授权范围依法依规使用，不得利用“大数据杀熟”，不得利用数据、算法等优势和技术手段排除、限制竞争等。

2.0.3 数据产品经营权

数据产品经营权是指数据处理者许可他人使用经其加工、分析等形成数据或数据衍生产品（“数据产品”）并获得收益的权利。

《数据二十条》明确了“谁投入、谁贡献、谁收益”原则，对企业在依法开展的数据生产、流通、使用等活动中，投入劳动和其他要素贡献并获得合理回报的权益予以肯定。企业对其依法通过实质性加工或创新型劳动形成的数据或数据衍生产品享有财产权益，可以依法自主使用，进行处分并获取收益。但是该等数据产品经营权的保障依然以不得侵害公共利益、他人合法权益及不存在其他法定禁止情形为前提。

3. 《数据二十条》出台后，企业数据资源的保护及合规治理体系的完善

数据产权“三权分置”制度框架构筑了商事企业数据资源确权以及交易流通的价值评估的明确法定基础。除传统司法保护路径外，企业也应通过建立健全相关基础制度和数据合规治理体系充分做好事前防范。具体而言可参照《数据二十条》的规定构建数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制，包括建立健全数据分类分级管理、数据权利登记、数据评价及价值评估、流转交易等内控合规制度及管理措施，并夯实其他法定的企业数据合规治理责任：

3.1 建立健全数据分类分级管理制度

《数据二十条》提出要结合数据流通范围、影响程度、潜在风险，区分使用场景和用途用量，推动建立公共数据、企业数据、个人数据的分类分级确权授权制度。这也与《网络安全法》《数据安全法》等法律法规的要求保持一致。企业通过对数据进行分类分级，可以有效厘清企业所持有的各类数据资源，按照数据类别及级别采取相应保护措施及确权授权机制，例如，对于涉及公共安全、个人信息、商业秘密等的敏感性数据应进行重点加强保护。

企业在建立健全数据分类分级管理制度时，还应注意遵从其业务所属行业的特殊监管要求。例如，证券期货行业机构应遵从JR/T0158-2018《证券期货业数据分类分级指引》，工业企业应遵从《工业数据分类分级指南（试行）》，基础电信企业应遵从YD/T3813-2020《基础电信企业数据分类分级方法》、YD/T3867-2021《基础电信企业重要数据识别指南》、YD/T4244-2023《电信网和互联网数据分类分级技术要求与测试方法》等。

3.2 办理数据权属登记

参考知识产权登记惯例，企业通过向数据权益登记部门申请并完成数据权属登记，是一种非常有效且具备公信力的数据产权归属确认方式。企业可以通过办理数据权属登记来明晰数据资源持有权的归属情况、数据产品经营权的归属情况及数据加工使用权等权利许可的情况，作为其数据合规利用及流转交易的重要支撑，并可在数据财产权益纠纷中作为企业享有相关数据权益的有效证明，降低其应诉成本。

目前，我国部分省市地区已开展了数据知识产权登记及数据资源/数据产品登记相关服务的探索工作：

− 在数据知识产权登记方面，国家知识产权局将北京市、上海市、江苏省、浙江省、福建省、山东省、广东省、深圳市等8个地方作为数据知识产权工作的试点地方，各个试点地方已分别从数据知识产权制度构建、登记实践、权益保护、交易使用等方面积极开展实践探索。

− 在数据产品/数据资产登记方面，深圳市、山东省、北京市等地区亦已开展了相关实践探索：深圳市在2023年2月发布了《深圳市数据产权登记管理暂行办法（征求意见稿）》，从登记主体、登记机构、登记行为等多个方面对数据产权登记行为予以规范；山东省在2022年7月发布了数据登记团体标准《数据产品登记信息描述规范》《数据产品登记业务流程规范》，积极推进数据产品登记工作； 北京市于2022年7月设立了全国首个数据资产登记中心——北京国际大数据交易所数据资产登记中心，致力于打通数据资产登记平台和数据资产交易平台，建立数据资产登记相关政策和制度体系，为数据资产的登记提供规则依据和流程规范等。

遗憾的是，当前在全国范围内尚未形成统一的数据资产登记操作规则。但据国家发展改革委透露，未来将探索建设全国一体化数据要素登记存证平台。鉴此，在全国一体化数据要素登记存证平台建成前，企业可根据自身业务需求选择适宜的数据权益登记部门根据其具体操作要求及时为其符合确认产权归属条件的数据资源办理登记。

3.3 开展数据评价与价值评估

《数据二十条》明确了“谁投入、谁贡献、谁受益”原则，并提出推动数据要素收益向数据价值和使用价值的创造者合理倾斜，确保在开发挖掘数据价值各环节的投入有相应回报。近日，中共中央、国务院印发的《数字中国建设整体布局规划》中也强调要“开展数据资产[2]计价研究，建立数据要素按价值贡献参与分配机制。”因此，为保障企业在数据采集、加工、流通、应用等不同环节中获得合理的利益分配，企业可参照《数据资产评估指导意见（征求意见稿）》、《信息技术 大数据 数据资产价值评估（征求意见稿）》、《资产评估专家指引第9号——数据资产评估》等相关规定和指引开展数据评价和价值估算：

（1）分析数据资产的基本属性和基本特征：

了解数据资产的基本属性、基本特征等是明确评估对象，评价、估算数据资产价值的前提。数据资产评估可通过委托人或相关当事人提供及自主收集等方式获取数据资产资料，分析和明确数据资产的基本属性和基本特征：

-数据资产的资本属性：根据《信息技术 大数据 数据资产价值评估（征求意见稿）》，数据资产的基本属性包括通用属性（包括数据来源、数据类型、数据结构、时段、更新周期、元数据和存储形式等）、业务属性（包括业务描述、业务模型、业务规则和关联关系等）及管理属性（包括数据分类分级、安全信息、数据溯源、职责权限和应用场景等）

- 数据资产的基本特征：根据《信息技术 大数据 数据资产价值评估（征求意见稿）》，数据资产通常具有非实体性、依托性、多样性、可加工性、价值易变性等基本特征。与传统资产不同，数字资产非但不会因为使用频率的增加而磨损、消耗，反而会因为使用频率的增加而增加其价值。但同时，数据应用的不确定性及技术进步或同类数据库的发展等多种因素的影响也导致数据价值极易发生变化。

（2）数据评价

企业在提供评估保障和确保评估安全的前提下，基于对数据资产基本属性和基本特征的分析，对数据资产进行数据评价，获得可供价值评估使用的质量要素、成本要素和应用要素等参数。其中，质量要素是指数据资产在特定业务环境下符合和满足数据应用的程序，包括准确性、一致性、完整性、规范性、时效性和可访问性等；成本要素是指按照重置该项数据资产所发生的成本，主要包括前期费用、直接成本、间接成本、机会成本和相关税费等；应用要素主要包括使用范围、应用场景、商业模式、供求关系、数据关联性和应用风险等。

（3）数据价值评估

企业可基于对数据资产基本属性和基本特征的分析及质量要素、成本要素和应用要素等参数，选择适用的评估方法，对数据资产的价值进行评估。评估方法包括收益法、成本法或市场法。具体如下：

（4）形成结论

对同一数据资产采用多种评估方法时，应当对所获得的各种测算结果进行分析，形成评估结论。企业应将评估结果及时更新至数据资产目录，确保评估过程被记录、可追溯。

3.4 建立健全数据流转交易管理制度

企业应审慎对待数据（尤其是个人信息数据等原有数据）的流转交易行为。若企业拟向第三方提供的数据涉及个人信息和/或重要数据的，应事先按照相关法律规定开展数据安全风险评估，尤其需要关注对敏感类的数据流转交易的把控，例如：

（1）对于可能危害国家安全、公共安全、经济安全和社会稳定的数据，企业制度应严格禁止流转交易。

（2）个人生物识别信息原则上不应予以流转。

（3）共享、转让个人信息和/或重要数据的，应采取加密、脱敏等措施保障数据安全。

另外，企业在开展数据流转交易活动中，应根据数据流转交易合作的具体目的、内容、各方权责划分等因素审慎判断并选择数据流转交易的具体合作模式（包括委托处理、共同处理以及与对外提供数据等），进行交易和合作方管理，包括：

(1) 向第三方提供个人信息的，应通过合法的形式和适当的渠道向个人信息主体告知数据接收方的名称或姓名、联系方式、处理目的、处理方式和个人信息的种类，并合法取得个人信息主体的同意；

(2)应以合同等形式与合作方明确约定拟流转交易的数据的权属（包括数据资源持有权、数据产品经营权的归属及数据加工使用权的许可等）、范围、方式、时限、目的、各方的数据安全保护责任和义务、投入产出收益的分配等。

(3)企业在开展数据流转交易活动中，若发现第三方违反法律法规要求或违反各方约定处理数据的，企业应立即要求第三方停止相关行为，且采取或要求第三方采取有效补救措施（如更改口令、回收权限、断开网络连接等）控制或消除数据面临的安全风险；必要时，企业应终止与第三方的数据流转交易合作，并要求第三方及时返还或删除相关数据。

(4)若企业作为数据接收方开展数据流转交易时，应注意要求数据提供方通过数据权属登记证明、数据流通交易声明和承诺等确保数据来源合法；同时，企业应依法在各方约定的授权使用目的和范围内开展数据处理活动。

3.5 其他

企业在日常数据合规治理工作中，还应依法建立健全数据安全与数据合规管理组织架构，落实数据安全与数据合规管理工作；坚持“宽进严管”原则，牢固树立企业的责任意识和自律意识；定期开展培训，提升员工数据合规管理与安全保障意识；并宜建立实施数据安全管理认证制度，通过认证进一步提升企业数据安全管理水平。此外，反垄断法、反不正当竞争法等相关法律的规定也应引发企业的关注，避免触碰垄断、不正当竞争等市场红线。

4. 小结

国家数据局的成立及《数据二十条》等相关政策的发布，在国家层面为加快数据流动，充分释放数据要素的价值，推动数据经济快速发展提供了组织及基础制度保障。“数据二十条”从力图解决数据所有权和使用权的冲突出发，确保数据资源的合法权益的基础，将“三权分置”的基础框架进行了底层搭建。具体场景中的权属判定、相关方的权责界限、权益保障可行途径等制度的落地执行细节，从政策立法和维权司法程序的指导上仍待填补空缺。

在国家数据要素保障和数据价值挖掘的整体政策驱动下， 企业在锚定数字赛道的业务加速运营的同时，更应该做好自身的数字资产的梳理和保障，做好重点工作方向的把控，建议企业应从办理数据权属登记、开展数据评价与价值评估、加强数据分类分级管理及数据流转交易管理等各方面增强对企业数据资源的保护及合规治理，并以此促进企业数据的高效合规流转和使用，保障企业数据资源价值的充分发挥。

注释：

[1]根据《深圳市数据产权登记管理暂行办法（征求意见稿）》，数据资源，是指自然人、法人或非法人组织基于数据来源方授权，在生产经营活动中采集加工形成的数据。

[2]根据GB/T 40685-2021《信息技术服务 数据资产 管理要求》的规定，数据资产是指组织合法拥有或控制的，能进行计量的，为组织带来经济利益和社会价值的数据资源。

作者简介

袁  屹

北京德和衡（深圳）律师事务所高级顾问

袁屹，擅长政府公共安全、公司业务及治理、投融资及并购。

辛小天

北京德和衡（深圳）律师事务所合伙人

辛小天，数字经济与人工智能业务中心总监，网络空间安全战略与法律委员会委员，清华大学创业引导年度荣誉导师。

曾就职于MayerBrown JSM 律师事务所，美国美富律师事务所，通用电气及奇虎360 。擅长数据合规、互联网法律及合规风控、投融资以及并购法律、反垄断法、公司法及劳动相关法律、外商投资及外资公司设立相关法律。

手机：13911159437

邮箱：xinxiaotian@deheheng.com

江智茹

北京德和衡（深圳）律师事务所律师助理

江智茹，曾就职于微软亚太研发集团（实习）和奇虎360，擅长网络安全与数据合规、互联网产品合规风控及投资融等。

手机：13810669648

邮箱：jiangzhiru@deheheng.com