肩上担山知任重,志存云天砥砺行
关联律师:发布时间:2025-08-15
数据合规是数据要素市场化流通与价值实现的根本前提,也是数字经济健康发展的核心保障。在数据资源化、资产化到资本化的全生命周期中,数据来源的合规性构成了整个价值链的基础环节。若源头数据存在合规缺陷,将导致后续所有数据应用都面临系统性合规风险,使企业陷入“数据原罪”的困境。本文将结合实务案例,探讨在数据来源为个人信息和企业数据场景下的合规风险及确权难点,为构建安全、高效的数据要素流通体系提供经验性分析研究。
一
数据来源之个人信息
(一)核心原则:告知+同意
个人信息处理规则应以“告知+同意”为核心。那么对于企业而言就需要格外关注如何告知以及怎么获得个人同意。针对数据来源为个人信息的,“告知+同意”义务是基础,如果不具备这个基础,合规的来源就存在很大的问题,更遑论企业确权。
告知的要求:
同意的要求:
(二)对外提供/从第三方接收个人信息的合规问题
场景:某教育机构采购在线教育平台的教学产品,适用于学生观看在线课程以及在线答题等教学场景,教育机构直接将学生的姓名、学号、班级等个人信息提供给在线教育平台便于该平台直接为学生分配平台账号,账号分配完毕,学生可登录该在线教育平台,平台内展示了隐私政策,学生可阅读并勾选。
在该场景下,尽管学生在后续登录平台过程中也阅读了隐私政策,但是该教育机构对外向平台方提供以及平台方接收学生个人信息的行为都存在合规风险:
第一,根据《个人信息保护法》第23条的规定,向其他个人信息处理者提供个人信息的应向个人履行告知接收方相关信息的义务,并取得个人的单独同意。个人信息的对外提供也属于个人信息处理活动的一种,教育机构在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知。然而该教育机构向平台方提供学生信息既没有向学生履行告知义务,也没有获得学生的同意。
第二,作为个人信息的提供方,尽管对于教育机构而言,依据《个人信息保护法》第13条以及《教育法》第29条、第30条的相关规定,学校等教育机构具有组织实施教育教学活动以及招收学生或其他受教育者的相关权利以及贯彻国家的教育方针,执行国家教育教学标准,保证教育教学质量的义务,收集学生的姓名、学号等个人信息具备合法性基础,符合教育机构的法定职责所需。但是,个人信息处理者并不能因为此前的个人信息处理活动,如收集、存储和加工行为具有合法性基础,就可以认为自己能够不经个人同意将个人信息提供给他人。
第三,根据《个人信息保护法》第14条第2款的规定,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。即便教育机构基于法定职责免授权,但当时处理学生个人信息的目的也仅限于教学用途,且处理的方式也主要是学校自行存储和使用,一旦涉及需要对外提供,那么也可以理解为处理目的和处理方式都会发生改变,此时也应该重新取得个人同意。
第四,《个人信息保护法》第55条规定,向其他个人信息处理者提供个人信息的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。那么该教育机构除了基本的告知同意义务之外,还需履行个人信息保护影响评估的义务。
第五,作为个人信息的接受方,尽管平台方设置了隐私政策,但在向学生展示隐私政策并获取同意之前,就已经采集了一部分个人信息(如姓名、学号、班级等)。即便该部分内容在隐私政策的个人信息收集的具体内容中也进行披露,但该告知行为发生在实际处理行为之后,数据来源的合规性还是存在一定瑕疵。
(三)合法收集的个人信息是否必然可以确权
实践中,个人信息的经济价值受到市场的广泛认可,这也是缘何黑灰产业的非法个人信息买卖活动屡禁不止,且随着个人信息保护力度的加强,涉及到非法侵犯个人信息权益的犯罪活动也愈演愈烈。那么,如果是企业合法收集和处理的个人信息,是否必然可以确权呢?
《数据二十条》对我国企业数据权益的构建提出了三权分置的思路,即根据数据来源和数据生存特征,分别界定数据生产、流通、使用过程中各参与方享有的合法权利,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制。
2025年3月29日,国家数据局发布《数据领域常用名词解释(第二批)》,其中对数据持有权、数据使用权以及数据经营权作出明确定义:
首先,确权的前提是合规,根据《数据二十条》明确要求要保障数据来源者的合法权益,那么企业对所持有的个人数据进行确权的前提是保障个人信息主体的权益,履行《个人信息保护法》的合规要求,确保数据来源的合规性。
其次,根据目前三权的定义来看:
1. 数据持有权是指权利人自行持有或委托他人代为合法获取数据的权利,如果企业所持有的个人数据是合法授权取得的,并进行了加工汇总形成了数据集合,数据内容存储于企业的服务器内或合规第三方托管环境中,并实施加密、访问控制、容灾备份等安全措施,实现自行存储并控制,且可根据企业内部管理及业务开展需要设置对数据库及相关数据的访问控制权限,未经公司许可,其他的主体无法获取数据内容;此外,在发生侵权争议时,能够凭“合法来源+合规存储”证明自己是正当持有者,对非法抓取者主张排除或赔偿,那么可以认为企业对该个人数据享有持有权。
2. 数据使用权主要是将数据用于内部使用的权利。企业出于对客户服务的目的,合法收集个人数据后必然会对这些数据进行使用,比如在中国移动的《个人信息保护政策》中明确,企业将出于为客户提供服务的目的使用个人信息,包括基于服务目的的使用,如“用于身份验证、客户服务、安全防范、诈骗监测、存档和备份用途;通过信息数据分析,帮助设计新服务;满足客户个性化需求;评估广告效果等情形¹”;此外,还约定了对数据的加工使用方式,如“在收集您的个人信息后,我们将通过技术手段对数据进行去标识化处理,去标识化处理的信息将无法识别主体。请您了解并同意,在此情况下我们有权使用已经去标识化的信息;并在符合相关法律法规的前提下,我们有权对包括您的个人信息在内的用户数据库进行整体化分析和利用。”由此可见,在满足合规的前提下,企业可享有对个人数据的使用权。
“数据使用权”限定为在“不对外提供数据”前提下,进行加工、聚合、分析,从而“形成衍生数据”的权利,企业必须在获得个人授权或其他合法事由范围内使用,且不得改变既定目的,实践中,企业往往将算法模型、画像标签等内部成果诉诸商业秘密保护,并在数据作为相关性证据出现时主张权利。例如在杭州某科技公司与汪某商业秘密纠纷案中,法院经审理认为:“直播平台中奖数据反映经营者特定经营策略及经营效果,体现用户打赏习惯和消费习惯等深层信息,可为经营者提供用户画像、吸引流量、获得竞争优势,具有商业价值,可作为商业秘密予以保护。”²
3. 数据经营权主要是指权利人通过转让、许可、出资或者设立担保等有偿或无偿的方式对外提供数据的权利。
首先,企业数据经营权的“对外提供”,是否等同于《个人信息保护法》规定的对外提供。从《数据二十条》指出“审慎对待原始数据流转交易行为”来看,数据经营权所谓的“对外提供”更多的是出于经营和交易层面的(如转让、许可、出资或设立担保),企业可以由此获得经济利益的经营行为;而《个人信息保护法》所谓的对外提供,更多的是基于为个人提供服务和产品的场景,本质上是企业对个人的履约行为,并不属于企业的经营权范畴,因此,要区分个人信息的处理活动和交易活动,仅依据《个人信息保护法》满足合规授权的条件来确认企业享有对个人数据的经营权,依据是远远不充分的。
第二,无论企业是以经营为目的还是以提供服务和产品为目的,只要涉及到个人信息的对外提供,均需满足《个人信息保护法》中对外提供个人信息的合规前提。根据《个人信息保护法》第23条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。在实践中,如果企业是出于经营目的对外提供个人信息,数据的买方往往是不特定的(主体不特定、数量也不特定),每次对外提供前都需要告知个人并获得同意不具有可行性,也会大大降低了数据交易和流转的效率,影响商业价值的实现。
第三,个人的同意具有可撤回性,企业有义务便捷地响应这种撤回。《个人信息保护法》第15条明确赋予个人“随时撤回其同意”的权利,要求信息处理者必须提供“便捷的撤回同意方式”。第16条更进一步规定,信息处理者不得因个人撤回同意而“拒绝提供产品或者服务”,除非该信息处理是提供产品或服务所“必需”的。由此可见,在《个人信息保护法》的角度,即使企业取得了对外提供个人信息的授权许可,也因授权随时可能被撤回而缺乏持续稳定性,因此无法构成一种稳定、排他、可自由转让的“经营权”。
那么,个人数据到底能否交易,企业是否能基于个人数据确认经营权?
个人数据可交易的前提是个人数据具有财产性权益,从目前《民法典》和《个人信息保护法》的相关规定来看,都未否定个人数据的财产性利益。参考个人的姓名、肖像和声音,虽然也是个人人格权的体现,但也兼具财产利益,《民法典》也认可了肖像、姓名和声音的许可使用制度。这意味着自然人可以将个人数据的财产性权利授予他人使用并取得相应报酬³。也基于此,有研究认为,应当要确立个人数据所有权,以之为基础作为处理者的企业才能创设稳定的权利来源,基于个人数据所有权分离出企业数据用益权,企业才能真正拥有稳定的产权。⁴
实践中原始个人数据的交易非常普遍。比如在具身机器人产业中,企业模拟多种场景,通过传感器获取采集员在不同场景下的面部人脸信息、声纹信息、触觉数据和关节角度数据等,这类原始数据会直接交付给相关的数据买方用于进行AI模型或相关设备的训练调试。这种场景下,采集员的人脸、声纹、触觉和关节等数据都属于个人信息,且可能被认定为敏感个人信息。如果出于合规理由完全禁止此类交易,也会导致AI技术得不到高质量的训练数据,从而影响行业发展。
但是,合规的场内个人数据交易的实践案例并不多。参考贵阳大数据交易所的中国首例个人数据的场内交易。根据公开信息,该案例主要模式是,在征得个人用户同意后,贵州当地科技公司“好活”收集他们的简历并将信息处理成“数据产品”,通过加密计算等技术确保可用性和隐私。好活将数据产品上架贵阳数据交易所,用人单位可以在交易所购买数据,而个人用户可以通过平台获得其个人简历数据产品交易潜在的利润分成。好活设置了一个单独的“同意复选框”,以征求用户对好活收集个人简历的许可(包括由此产生的信息)。根据好活平台的《个人信息权属确定协议》,好活确定个人用户拥有以下权利:(1)财产权:用户对其个人资料和简历拥有财产权;(2)撤回权:用户可以随时撤回对好活的同意(如删除个人简历或关闭相关设备的功能)限制好活对其个人信息的进一步处理;(3)分享收益:承诺分享一部分基于用户个人简历的数据销售利润。
这个交易模式有以下几点值得参考:(1)满足了知情同意、单独同意、保障撤回权等个人信息保护相关的合规要求;(2)以协议约定的形式,将财产权赋予个人信息主体;(3)通过“授权+付费”的方式,使企业能够获得稳定的数据使用权,从而形成数据产品,企业和个人都可以获得数据产品带来的收益。
从理论上看,很多学者对个人数据交易也是持肯定态度。“只要是个人数据,无论是原始数据还是衍生数据,敏感数据、私密数据还是一般数据,均可以通过数据主体的授权来实现个人数据交易。⁵”主要模式是,企业应通过支付合理费用取得个人数据所有者授权,通过“授权+付费”的方式,企业可以获得具有稳固权利基础的数据用益权。这里的授权并非基于此前《隐私政策》的授权(《隐私政策》中双方并非基于数据交易达成合意,而是基于企业对个人数据的处理行为达成的合意),双方应订立《个人数据许可使用合同》,该合同由个人授予数据处理者针对个人数据的特定财产性权利,数据处理者向个人支付相应的对价,除了授权之外,双方的对价关系也是考虑交易行为的重要内容。如果双方的行为包含了数据交易的意思表示,则个人既需要对个人信息处理作出同意,也需要对个人数据交易的要约作出承诺,此时,需要考虑同时适用《个人信息保护法》与《民法典》合同编的相关规范⁶。在个人授权许可的情形下,个人与处理者通过协商建立了明确的债权债务关系(个人数据许可使用合同),故此,个人不再享有《个人信息保护法》第15条第1款规定的任意撤回权。个人要解除该合同需适用《民法典》第1022、1023条的规定⁷,从而解决了《个人信息保护法》关于个人信息主体撤回同意导致的企业经营权不稳定持续的问题。
尽管理论分析至此,但出于《个人信息保护法》的规定,以及相关机制安排的经验不充分,个人数据的合法交易和基于此的企业经营权确权实践问题仍有待进一步探索。
二
数据来源之企业数据
企业数据是指企业产生和处理的数据,如机器设备运行中产生并被记录的数据,企业在经营活动中合法收集的用户数据,或者企业从其他市场主体处合法取得的数据等,其中既包括个人数据也包括非个人数据⁸。
(一)企业数据资源中重要数据的识别
根据《数据安全技术数据分类分级规则(GB/T43697-2024)》3.2条,重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
《网络数据安全管理条例》第29条规定,网络数据处理者应当按照国家有关规定识别、申报重要数据。对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或者公开发布;根据《工业和信息化领域数据安全管理办法(试行)》规定,工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。由此可见,企业有义务识别自己在经营过程中收集的数据是否为重要数据。
场景:A公司的主营业务为地铁隧道的维护及保障,所处理的数据内容主要与地铁维护与保障工作相关,包括但不限于地铁隧道的结构健康日常监测与预警数据等。经盘点,A公司的数据资源包括,公司在为业主方提供地铁隧道维保服务过程中收集的工程地点管理数据、隧道巡检管理数据、病害分析与处理数据、结构健康监测数据、施工安全管理数据等。
在该场景下,企业所收集的数据是否应识别为重要数据呢?结合该场景可采取如下分析思路:
首先,应结合企业所在的行业,审查相关行业是否对数据类型有较为清晰的界定。依据《交通运输数据脱敏指南(JT/T 1480—2023)》中对交通运输数据的定义,交通运输数据是指交通运输建设、运营、服务及管理等单位在履行各级职责过程中直接或通过第三方依法采集、产生、获取的,以电子或者其他方式记录的各类信息。该场景中,A公司所收集的地铁隧道监测与维护数据是城市轨道交通运输服务企业在运营过程中收集的信息,属于交通运输数据的范畴。
其次,参照《交通运输数据安全分级和保护要求(JT/T 1522-2024)》中对交通运输数据进行分级的标准,可从以下几个方面对A公司处理的数据进行分析:(1)从数据规模层面:A公司所处理的数据涉及某几个城市的多条地铁线路,涉及的城市数量以及铁路线路较多;(2)从数据精度及数据深度层面:A公司所处理的数据精度涉及地铁线路的具体病害地点、病害情况以及病害详情图片、解决方案等,数据精度及数据深度相对较高;(3)从安全风险的层面:如相关数据遭到泄露、篡改或损毁,或者境外势力对A公司的数据或网络系统进行攻击,可能对相应轨道交通的安全性造成影响,轨道交通行业关系到国计民生,企业数据也关系到国际安全、经济安全。
综上,A公司所收集的数据是有可能被识别为重要数据的,但该识别是基于法律规范对企业内部合规管理的要求,最终应就识别结果向主管部门进行汇报,如果主管部门认为该类企业数据暂未被列入相关交通行业领域主管部门发布的重要数据识别目录,那么企业也应持续关注,履行好数据安全保护义务。
实践中企业对于如何识别重要数据以及进行重要数据申报的程序仍存在诸多困惑,参照国家网信办于2025年发布的数据出境安全管理政策问答,各部门正在制定相关行业、领域的数据分类分级标准规范和重要数据识别申报规则。部分行业、领域数据分类分级标准规范和重要数据识别申报规则已经公开发布,如工业领域的《工业领域重要数据识别指南》、电信领域的《电信领域重要数据识别指南》、自然资源领域的《地理信息数据分类分级工作指南(试行)》、统计领域的《统计数据安全管理办法》等,还有的通过召开会议、制发文件、一对一通知等形式告知到数据处理者。
对于未明确重要数据识别及申报规则的行业、领域,企业也无需担心因此承担责任,政策问答中明确回复:“没有发布行业、领域的数据分类分级标准规范和重要数据识别申报规则,数据处理者也没有被有关部门告知应当进行重要数据识别申报的,未识别申报重要数据,未对相关数据进行重点保护,不会被认定为违反重要数据保护相关规定,不会因此受到行政处罚”。
虽有关重要数据的识别申报规则仍未在各行业、领域予以明确,但出于数据安全保护的考虑,仍建议企业关注行业内的相关动态,及时开展重要数据的识别及申报工作。
(二)平台企业的数据确权
1. 平台企业数据确权考虑因素
随着互联网平台的发展,平台企业在为商家和用户的交易提供服务的过程中收集了大量的数据,近年来司法实践判例对于平台企业的数据权益的保护力度更强,对企业数据权益的认定标准也更加清晰。
在近日公布的全国首例全面分层保护数据权益的司法案例⁹(以下简称“淘天数据案”)中,案涉数据包括:1.淘天平台的数据集合及经营数据,从判决书中公布的相关协议内容以及鉴定意见可以看到,数据集合包括:(1)原始数据,包含卖家和买家双方的数据和交易数据;(2)汇总数据,是淘天平台对原始数据通过一定的算法,经深度分析过滤、提炼整合、匿名化脱敏处理、大模型加工,可形成预测型、指数型、统计型等各类形态的衍生数据。2.衍生数据产品“生意参谋”。
本案的关键意义在于,除了通过商业秘密对数据进行保护之外,还特别明确了淘天平台对公开数据集合及经营数据所享有的数据权益,可以从合规性、成本投入以及经济利益等三个方面来分析,主要依据和思路如下:
第一,涉案数据由淘天平台基于用户授权合法取得。这一点无疑是强调了数据确权的前提即合规问题,要以数据的合法持有和控制为前提;
第二,淘天平台为涉案数据的生产、收集、存储、保护、管理、加工投入了巨大成本,包括投入了大量的资源、系统、平台管理能力、平台服务等;以及设置了一系列数据管理规则,对数据的合法性和规范性进行了审核及监管;对案涉的数据也采取了大量的技术措施保障其安全性。
《民法典》第127条明确将数据纳入民事权益保护范围,司法实践中常通过企业投入的成本(如资金、技术、人力)来判定其是否形成“合法控制权益”。企业在数据管理方面投入的成本往往具有专用性,法律通过确权保护这类投资,避免他人“搭便车”。
第三,涉案数据属于淘天平台的稀缺性数据资源,能为其带来经营收益和竞争优势。同时,法院提出,尽管上述数据是平台为满足消费者购物需求的公开信息,但并不意味着公开数据必然处于自由流通的范畴,也不意味着其他经营者可以不正当手段不受任何限制的获取和使用。
2. 商家数据还是平台商业秘密
在淘天数据案中,法院在认定三原告主张的淘天平台非公开经营数据具有秘密性中,认可了三原告采取了合理的保密措施,其中依据包括“淘天平台同商家签署了《隐私权政策》《卖家服务协议》《消费者保障服务协议》《商户服务协议》等各类协议,约定上述数据归属于平台且是平台的商业秘密,用户不得违反约定提供给他人。”在原告所提供的淘天平台与卖家的相关服务协议中,条款约定如下“据使用及信息授权等”约定:“3.6.1一般要求 对于您在使用本服务过程中产生的数据,淘宝尊重并依法保护您及其他相关主体的数据权利。在此前提下,淘宝收集、记录的您在使用本服务过程中及其他淘宝运营过程中所产生的数据的相关权利归属于淘宝,且是淘宝的商业秘密,未经淘宝事先书面同意,你不得为本协议约定之外的目的使用前述数据或以任何形式将前述数据提供给他人。……”
认定该数据属于平台商业秘密,主要有以下几方面考虑:(1)非公开性,除负有保密义务的商家及合法授权的第三方外,其他主体无法从公开渠道获取;(2)具有较大商业价值;(3)采取了相应的保密措施,如分层管理的权限管控方式、保密协议、内部规章制度及员工保密协议、技术措施等。上述数据集需要投入平台大量人力物力财力经过多年积累才能获得,进而得以认定该数据集属于商业秘密。然而在本案中,淘天平台将商家使用平台产生的数据均以协议的形式认定为平台的商业秘密,是否合理呢?尽管在数据产生和采集的过程中,平台方对于网络系统搭建、技术架构、商业模式设计等等环节起到了关键性作用,通过投入享有财产性权益无可厚非,但对个体商家而言,平台收集的数据也是商家基于自己的经营活动所产生的,通过协议限制商家将数据提供给他人,是否也限制了商家使用自己数据的权利呢?这个问题并非本案重点,但依旧值得行业关注。
3. 单一原始数据VS数据资源整体
平台企业既服务商家也服务用户,在一些B2C平台上,平台收集的数据既包括商家数据也包括用户的个人数据,那么平台企业是否享有这类数据资源的权属?
案例¹ᴼ:深圳市腾讯计算机系统有限公司、腾讯科技(深圳)有限公司(以下简称两原告)共同开发运营个人微信产品,为消费者提供即时社交通讯服务。个人微信产品中的数据内容主要为个人微信用户的用户账号数据、好友关系链数据、用户操作数据等个人身份数据和个人行为数据。浙江搜道网络技术有限公司、杭州聚客通科技有限公司(以下简称两被告)开发运营“聚客通群控软件”,利用Xposed外挂技术将该软件中的“个人号”功能模块嵌套于个人微信产品中运行,为购买该软件服务的微信用户在个人微信平台中开展商业营销、商业管理活动提供帮助。两原告认为其对于自己所控制的微信平台数据享有数据权益,两被告擅自获取、使用涉案数据,已构成不正当竞争,遂诉至法院。两被告辩称:涉案数据的数据内容系网络用户提供的用户信息,微信用户信息所形成的涉案数据应当归用户所有,两原告并不享有任何数据权益,无权就此主张权利;被控侵权软件属于创新性竞争,不应被认定为不正当竞争。
在上述案件的判决中,法院认为,两原告主张数据权益的微信数据,可以分为两种数据形态:一是原始数据个体,二是数据资源整体。网络平台方对于原始数据个体与数据资源整体所享有的是不同的数据权益。就微信平台中单一原始数据而言,数据控制主体只能依附于用户信息权益,依其与用户的约定享有原始数据的有限使用权。未经许可使用他人控制的单一原始数据只要不违反“合法、必要、征得用户同意”原则,一般不应被认定为侵权行为。因此,两被告擅自收集、存储或使用单一微信用户数据仅涉嫌侵害该微信用户个人信息权,两原告不能因此而主张损失赔偿。就微信平台数据资源整体而言,微信数据资源系两原告,经过长期经营积累聚集而成的,能够给两原告带来竞争优势,两原告对于微信数据资源应当享有竞争权益。
在天猫公司诉绍兴某尚科技公司不正当竞争¹¹一案中,法院也有类似裁判观点,认为涉案商品数据非具体商品信息,亦非特定商家提供的单一原始信息,而是经天猫平台合法收集、处理、生产、加工而成的,包含了不特定商品的、规模化的电子数据集合,具有可集成、可交互的特点,还包括了商品销量等非商家提供的原始信息,是天猫平台投入大量成本进行数据收集、存储、维护、管理和保护后所形成的最终成果,构成天猫平台的基础经营资源。这类规模化的数据能够进一步为平台带来经济利益,挖掘数据价值。
从相关案例来看,司法实践中进一步认可了平台对数据资源整体享有权益,这将有利于平台投入大量成本收集、清洗、分析数据,司法确权保障其排他性权益,避免“搭便车”行为,激励企业持续投入数据开发。在确认权益的同时,也要求平台履行相应的合规、保密、安全等义务(如匿名化处理、用户授权),推动企业完善数据治理体系。作为从业者,我们也期待通过判例积累,可逐步形成行业数据确权规则,减少行业无序竞争。
CONCLUSION
结 语
在数字经济时代,数据已成为关键生产要素,而数据资产的合规确权问题直接影响企业的商业价值与法律责任。数据资产的权属认定不能脱离合规前提,企业应在数据生命周期各环节嵌入合规管理,避免因合规问题导致的权属争议、数据价值贬损或行政处罚。尽管当前司法判例已逐步认可平台对衍生数据、数据集合的整体权益,但原始数据与衍生数据的权属分割、用户、商家及平台间的利益分配仍需更细化的规则指引。总体来说,随着数据要素市场的发展,数据确权问题将面临更多挑战,如跨境数据流动的权属冲突、AI训练及生成数据的权益归属等。企业应持续关注立法与司法动态,构建“合规—确权—价值实现”的闭环管理体系,在合法框架下释放数据资产的最大潜能。
注释
1.中国移动《个人信息保护政策》,https://www.10086.cn/web_notice/privacy/
2.杭州互联网法院数据权益司法保护十大典型案例:案例五 直播数据构成商业秘密的认定标准——杭州某科技公司与汪某商业秘密纠纷案
3.程啸:《论人格权的商业化利用》,《中国法律评论》2023年第1期。
4.申卫星、陆志鹏著,《数据产权论》,商务印书馆,2024年9月,第150页。
5.程啸,《数据权益与数据交易》,中国人民大学出版社,2024年6月,第151页。
6.程啸,《数据权益与数据交易》,中国人民大学出版社,2024年6月,第161页。
7.程啸:《论个人数据经济利益的归属与法律保护》,载于《中国法学》2024年第3期。
8.程啸,《数据权益与数据交易》,中国人民大学出版社,2024年6月,第171页。
9.案号:(2023)苏01民初 4082号
10.2020年度浙江法院加强知识产权司法保护典型案例之二:深圳市腾讯计算机系统有限公司、腾讯科技(深圳)有限公司与浙江搜道网络技术有限公司、杭州聚客通科技有限公司不正当竞争纠纷案。案号:(2020)浙01民终5889号
11.案号:见浙江省高级人民法院(2023)浙民终 1126 号判决书
律师介绍
樊思琪律师
北京市京师(深圳)律师事务所高级合伙人、数字经济法律事务中心副主任、青年律师工作委员会 副主任。
业务领域:
企业合规、数据合规及个人信息保护、数据交易及入表、公共数据授权运营等数据要素市场化法律服务;人工智能行业及Web3.0相关行业;游戏行业法律服务;投融资并购及资产证券化业务等。
专业资质:
专业著作:
《金融消费者权益保护的法律实践及合规体系构建》法律出版社,2023年;
《数据合规全攻略:法规解析、实践应用及数据资产化探索》法律出版社,2025年
王岩飞律师
广东省律师协会数字经济法律专业委员会副秘书长
深圳市律师协会数据合规法律专业委员会副主任
北京市京师(深圳)律师事务所 联合创始人、数字经济法律事务中心主任
中南财经政法大学大湾区数字经济法律研究中心副主任
深圳市大数据研究与应用协会首席法律顾问、数据合规研究院执行院长
深圳数据交易所DEXCO(数据交易合规师)
国际认证TüV DPO(数据保护官)/ISO37301
研究领域:
网络安全与数据合规、数字经济、互联网犯罪辩护
教育背景:
中南财经政法大学
聂雯珺律师
北京市京师(深圳)律师事务所律师、法律研究院研究员
业务领域:
数据资源入表、数据交易及公共数据授权运营等数据要素市场化法律服务。
智能驾驶伦理困境与法理重构——技术中立语境下的权责界定
最新业绩
最新动态
