“商业数据出境”的规则之治：权属分析、关系构成、实践面向*

张学文

(西南政法大学法学院 重庆 401120)

0 引 言

现代意义上的数据，兼具有主权、公权、私权三个维度的权益外观，其中数据主权、数据公权随着集中立法期内《网络安全法》《数据安全法》的陆续通过得到了权属结构意义上的规范回应。随着2021年8月20日《中华人民共和国个人信息保护法》的审议通过，数据私权中以个人数据为征表的“人格权规则”也得以纳入数据法治的规范建构下，进而映照出数据私权中“财产权规则”的巨大落差和内在贫困。在数据商业化利用业态不断丰富的今天，数据已然作为事实性的财产参与到数据的资产配置中，但却尚未得到规则层面的权属确认。在新技术奔腾、新应用爆炸的数字时代，单纯的个人分享信息的认知盈余时代已经淹没在数字洪流中，取而代之的是跨国境、跨区域的数据流动和共享[1]。财产权能缺失所造成的实践争议随着数据跨境的增多而愈发难以调和，具体表现为：财产权明显的商业数据仅存在于个人数据和重要数据现有禁忌性、限制性规定的反向推演中，尚不具有规范意义上的本体身份，亦无力对抗基于各种权益考量所设义务性规定的泛化。

数据自由流动与数据跨境限制之间的价值博弈，其在规范学上实质表现为安全责任视角下数据控制者的权利、义务分配。反观现有“数据出境”的实践运行和理论研究，却始终无法脱离以“个人权益”或“国家权益”的外部视角审视商事主体的数据跨境，即当论及特定对象的权利、义务分配时却始终忽视了主体视角下的有益探讨。据此，对商业数据的规则探讨首先应排除再次落入“人格权益”或“公共权益”的诉求纠缠中，应以“商业数据”为独立的规范对象作为逻辑切入，逾越技术和法律的学科门户之见，以“权利”和“义务”的互动关系为主线检视规范的实践面向。

1 “商业数据”的权属分析与概念廓清

当抽象和一般的概念和逻辑无法展现生活现象和意义脉络的多样表现时，便可采用补助思考形式——类型[2]。不同的法域对数据进行的类型化划分有着各自主权视野下的利益考量，随着2019年5月《欧盟非个人数据自由流动条例》的正式生效，标志着欧盟以“个人数据”为绝对轴心通过“概念排除”确立了数据的两个基本类型，即个人数据和非个人数据。反观我国的数据立法，则在数据类型的规范总结上呈现出摇摆和犹疑，其先以“数据主体”的分类角度提出“个人数据”，后以“数据性质”的分类角度提出“重要数据”。显然“数据主体”作为数据的控制者，其对于数据规则的建构而言具有本体性的价值，而“一般”“重要”“敏感”作为所有数据类型共有的“性质评价”则无力提供结构性的划分视角，而仅可作为额外的角度补充。据此，以“数据主体”为视角检视现行数据出境规则，应认为在个人数据和公共数据之外必然夹击着第三种数据类型——商业数据。

1.1权属来源：数据生产、数据劳动劳动价值理论认为，主体对特定对象是否享有权益，核心在于有多少劳动牵涉其中[3]。根据数据的流转过程和状态变化，前述过程又可细分为：数据生产、数据劳动。

a.数据生产。 信息是用来消除随机不确定性的东西[4]。除了由特定个体基于自身社会关系而生成的各项信息外，运动的世界本身也在不断地生发出各种各样的信息，而对抽象的商业主体而言，便可借由“信息采集”对此类信息进行捕获。当然，数据的形成并不止于此，“算法”的出现打破了前述由“信息”到“数据”的单向转换关系，“人工智能”逐步开始代替“人脑”，其可借由现有的“底层数据”便可不断地衍生和产出人类无法直接识别的信息，此时数据似乎又成为了信息的“原材料”，完成了由“数据”到“信息”的逆向转换。至此，商业主体通过“算法投入”的方式独立的完成了创造性的“数据生产”，其便无可争议的具有了相应的数据权利。

b.数据劳动。 “数据”概念最早从“信息”的蛰伏中跃迁而出时，仅表现为信息的技术性、介质性特征。自信息哲学开始对“数据”和“信息”进行解构和区分后，规范意义中数据概念的独立性开始突显，但其仍然保持典型的技术特征，即识别性。随着数据的垒叠，单纯以信息识别为支撑的“小数据”开始逐渐成为万物互通的“大数据”，最终在“去识别化”的技术加持下商业主体终于摘除了数据之上的“可识别性”特征，开始打破基于控制关系而形成的权利垄断。数据处理加工，不改变数据，但改变了数据质量、维度、数量等，相当于在数据原生固有价值基础上添附了新价值，形成了添附价值[5]。据此，根据劳动价值理论，“去识别化”这一数据劳动改变了个人信息的存在形态，完成了权属上的独立性斗争。

1.2权属表现：有限排他财产权数据的权属根基，根据理论归纳可大致分为：公共产品属性、财产权属性、人格权属性。显然，数据在剥离其人格属性、公共属性后，其自身的财产属性便愈发凸显，且在事实上也表露为商业竞争场景下的财产。同时，由于数据的“共享性本质”和“传播性存在”使其在对世效力上应保持自我克制。

1.2.1 商业事实中表露的完整财产属性 财产一般具有效用性、稀缺性、可控性[6]。作为非自然产物的数据，其本身必然凝结人类的“价值赋权”并借此成为具有交换效用的“实在物”。除了数据与信息的连结而具有的交换价值之外，数据本身的独占控制性、市场稀缺性也赋予了其财产属性。数据就像一个神奇的钻石矿，当它的首要价值被发掘后仍能不断给予[7]。据此可见，其对数据企业在市场中的竞争力提升具有巨大的作用，甚至一度成为了新兴商业领域内的主要交易要素被广泛用于商品出让，如北京大数据交易服务平台、贵阳大数据交易所、长江大数据交易所、上海数据交易中心等。

1.2.2 社会规范下确立的有限财产权利 权利毕竟不是一支枪，也不是一台独角戏，它是一种关系、一种社会惯例[8]。纯事实推演下，将会得出商业数据绝对财产性的结论。无可否认商业数据作为企业竞争力的累积来源，有其自身的财产属性，但若将这一财产属性置放到社会动态流转关系中却依稀能够发现其不同于传统意义上的商业资产，其财产权的排他性并不绝对。作为一种新兴的规范概念，在赋予其实体权利之前，需要对其同既有权利分配体系之间进行协调性的审视，即将商业数据置放“财产独占”领域后将会引发 “数据共享性”与“财产排他性”之间的直接对冲。

信息永远无法被某个特定的个体所独占，而商业数据的特别之处便在于，表面独立的财产属性背后是以无数个人信息作为生产资料贡献所得，即私权之下的公共底色。从个人数据到商业数据，便是从原生、底层数据到衍生、二次数据的过程，两者之间的交叉竞合无时无刻都在发生。赋予商业数据控制者以财产性的权利，是数据产业蓬勃发展的基础，但同时对其权能的约束和限制又是防止数据成为垄断资源的自我防护。《民法典》第127条明确“法律对数据的保护有规定的，依照其规定”。诚然，有限排他性的财产权在某种程度上冲击了传统的物权概念，但数据时代下无损性、分享性、衍生性等全新特性的出现又必然造成传统的财产结构无法保持原有的绝对性判断，如数据就无法遵循物权原则中“一物一权”的排他性判断，而是同时聚合了多个主体的权益诉求。正是私权与公益、独占与分享、自由与安全的多重拉扯共同造成了商业数据之上有限的财产权结构。

1.3概念廓清规范概念是一个不自足的语言系统，其并非是静态、封闭的存在而总是会从鲜活的社会变动中寻求素材，最终形成一个动态、开放的法律现象。如表1所示，商业数据的概念内涵便借由上述“权属来源”和“权属表现”所正式确立，即：商事主体所持有或控制的，在其商业经营活动中所形成的，除个人数据以外的数据。需要注意的是，“商业数据”不等于“商业主体控制的数据”，后者可能包含具有其他权属关系而仅为代处理、代存储的个人数据、公共数据。

表1 商业数据的类型对比与权属分析

2 “商业数据出境”规则之治的正当性基础

商业数据的权属厘定和概念廓清后，并不当然性意味着社会关系中的各方会自然地遵从这一应然性的推导结论，规范的确认和纠偏才是真正将应然权属转换为实质权利、义务的终极措施。数据的商业实践作为一种全新的社会图景，其必然需要与之相匹配的规范构造，其也并非简单的数据权利确认，而是新兴领域和传统规则之间长期纠缠的综合解决方案。

2.1独立的数据类别必然要求独立性的权利确认在这个权利的时代，假以权利是正当性的范式圭臬，数据权利便顺理成章地成为数权法的基石范畴[9]。以0和1为元素的数据王国，随着技术的迅猛发展而不断具象，商业数据作为其间规模最大的数据类型，却仍然无法找寻到自身的准确定位而委身于“个人数据”和“重要数据”间。就数据企业而言，现有的数据出境规则有着强烈的义务性色彩，其规则设计或将数据企业拟制为将数据泄露境外或境外泄露的非信任性群体，进而以诸多的风险假设和后果考量来约束其数据出境行为。显然，被忽视的数据类别使得商业数据难以获得规范的正式认可而身份迷思于诸多禁忌性、限制性规定，最终使“数据合规”成为了一种单方向、压迫性的权力强制。在个人权益和公共权益占据绝对“安全优势”时，规范理性则应将目光投向处于“自由导向”的商业利益，并赋予其对抗不正当干预的权利，否则便容易陷入“道德主义”陷阱而将数据企业形塑为单纯的“义务主体”。权利不自由，则义务不正当，有学者将此种未有数据权利对应的数据劳动称为“现代佃农制度”，可以此窥探现代数据业态中数据控制者、劳动者权利缺失所造成的社会性剥削[10]。显然，数据企业以技术投入为依据，产生独立于其他权益诉求的数据类型，由此理应产生全新的权利。

2.2反向的义务规定不能提供正向的权利指引古谚云，法无禁止皆可为。似乎反向的义务规定同样可以提供相对明晰的权利边界，但值得注意的是，数据往往并不是以疆域清晰、类型明确的理想状态运转，其多混同、垒叠、交叉于某个数据集合，这便导致数据企业对“适用何种规则”的判断失准。同时，无论是数据出境的基础性规范《个人信息保护法》和《数据安全法》，还是具体数据领域的补充性规范如《银行业金融机构数据治理指引》《汽车数据安全管理若干规定》都旨在明确“禁止出境”“限制出境”的情形，而忽视了对“准予出境”的提出。数据大流通时代的到来，“准予出境”情形将会逐渐日常化、常态化，而必然扭转当前的限制性氛围，数据作为未来经济的驱动力，其流通性的激活显然需要正向的权利指引为前提。

2.3硬性的管控责任下移无法形成积极的责任体系随着网络空间的“去中心化”和“扁平化”，在网络数据安全犯罪的防控方面，网络服务商较之政府具有更大的优势[11]。功利主义的评判中，赋予风险的实际控制者以最大的管控和防范的义务能够在最小成本的投入下取得最大的预防价值。数据安全的担保或义务机制实际上通过外在的强制规定将政府的数据管控责任部分下移至企业,看似实现了形式意义上“政府—企业”二元协同的管控体系，但其并没有实质激发商业主体积极承担社会责任的主动意愿。就监管场景而言，政府掌握了“权力话语”，而数据企业则掌握了“技术话语”，监管与自律都是追寻数据安全愿景中不可偏废的天平两端，故数据企业的责任承担应该双向互通于“权利—义务”的完整逻辑中。据此，只有数据企业所采取的“主动措施”服务于其权利行使，其才能从“被动接受监管”向“主动实现自律”转换，进而真正将企业纳入“政企合作”的共治体系中。

3 “商业数据”出境规则的法律关系构成

如果法律是一副绘画，那么它的底色一定是自由权[12]。理想的数据流通规则，应同时满足包含国家、个人、企业三方数据权益主体的诉求，即前两者关于安全保障的基本关注和后者关于自由流通的基本期待。据此，“商业数据出境”的法律关系构成必然围绕着以“商业权益”为根基的权利指引和“个人权益”“公共权益”为导向的义务约束。

3.1商业权益视角下的“应然性权利”虽然出自泉源的流水是人人应有份的, 但是谁能怀疑盛在水壶里的水是只属于汲水人呢?[13]尽管不同于传统的有体物财产，但不妨碍数据同水、电、热、气般因其主体的“价值添付”而可获得法律身份。同理，数据的资产化过程使得商业主体理应就其所实际取得的衍生数据享有应然权利，其可自由的享有包含占有、使用、支配、收益等在内的积极权能。权利对抗权力是现代法治理性的经典结论，财产权的确认，意味着社会不能以所谓的“高尚道德”来径行要求企业承担约束性责任。数据生产、处理、利用过程中，基于法律确证所形成的效果确信十分重要，其可以保证数据企业以充分的热情来投入数字经济建设中。据此，商业数据应具有可自由转让性，其可在商业主体的自主决定下实现跨境的流转，但该权利的独立行使需要以履行个人权益或公共权益的尊重义务为前提。

3.2其他权益视角下的“尊重性义务”义务在实质上不过是权利的引申和派生物[14]。权利的竞合意味着每一个权利主体都负有尊重他者权利的义务，数据权利亦然。数据类型的聚合和社会关系的竞合共同决定了不同的数据权益主体必然会对商业主体的数据利用提出不同的诉求，这意味着商业主体的“数据控制者”角色原生有回应前述诉求的角色性责任。“权利-义务观”的提出，意味着除了从公共权益的外部衡平视角外，真正找寻到了从商业主体内部限制其权利的实质逻辑。

3.2.1 公共权益视角下安全审查配合义务 公共权益视角下的数据类型根据其数据的自身属性和保护侧面两个维度细分为：a.基于国家“数据主权”整体安全的审查配合义务。b.国防科工、能源通信等行业信息“公共安全”的审查配合义务。数据主权是指国家对其政权管辖地域内的数据享有的生成、传播、管理、控制、利用和保护的权力[15]。由于“数据”的结构性特征使得数据储存的地理位置变化会引发信息处理、信息利用等数据伴生行为的同步变化，故而数据储存的地理位置便事关与“数据”相关行为的政策适用、司法管辖从而引发主权识别问题。复次，除了传统的领土主权延申外，特定行业及领域内的商事主体可能因跨境附随的信息披露义务而导致重要数据处于危险中。据此，商业主体理应配合国家完成关于重要数据、国家秘密的安全审查义务。当然，若数据企业采取“剥离技术”将商业数据从重要数据、国家秘密之间提取出来时，其便不再适用前述规则，但前提是该技术手段能够真实地实现相当程度的数据类型剥离。

3.2.2 个人权益视角下的知情授权确认义务 “现实—网络”双层社会的全新架构使得人类的生活场景开始部分性地移转到虚拟空间，而虚拟空间的“留痕特性”又决定了任何的操作行为都伴随着商用数据代码的生产、打包、解析、储存，这意味着大量的个人信息经由模糊的授权机制而逸散于网络空间。《刑法修正案九》通过对“侵犯公民个人信息罪”的合并调整，明确了个人信息的交易禁忌，即不得非法出售、泄露个人信息。与之相对，“知情—同意”作为个人数据权益主体授权商用的核心机制，数据企业有义务对拟出境的个人数据完成情况释明、授权取得、权限确认以充分尊重个人的信息支配权利，如以我国司法实践中提出的“三重授权原则”为具体指引。反之，商业主体在未获得个人数据出境授权的情况下，其便应通过“去识别”技术处理可能识别到特定自然人的直接标识符、间接标识符，以保证对于“人格权规则”的尊重。

4 “商业数据出境”规则之治的实践面向

技术和法律的实质隔阂决定了规范对于事实的抽象化摘录并不能妥当且直接地对应实践运行，这便可能造成法律在适用层面上的效能贬损。处于技术和法律双重统领下的数据出境规则，必然无法以法律或技术的单一视角来试图寻求“自由和安全”两全价值的最优解。商业数据的类型提出和权属确认显然是技术和法律关于数据实践所达成的某种共识，但技术治理和法律治理的视角区隔又要求我们须以实践中的现实图景为依托展开规则的现实检验，而不能止步于逻辑推导和价值衡平。

4.1新的数据流通原则：自由流通个人数据因其信息的人格属性而只可在知情授权后“附条件流动”，重要数据因其信息的公共属性而只可“有限流动”，但完成“数据剥离”程序的商业数据则因去除了其他权益的诉求纠缠而应纳入“自由流动”的范畴，亦即实现“市场的归市场”的理想状态。

4.1.1 商业数据自由流动的技术前提：数据剥离 企业数据集合的特殊之处在于原处数据集合和对于数据的挑选、计算及处理的二元复合性[16]。数据类型和规范权属的独立性探讨，预设了不同数据类型的出境规则，而实践中前述数据却以“数据库”或“数据集”的聚合形式存在，这意味着商业数据的规则启动需要以技术手段斩断权益连结为前提。

a.个人数据的去识别化。去识别化过程是指保留个体颗粒度的基础上，采用技术手段替代个人信息的标识性，以实现无法识别或关联特定自然人的过程[17]。人格完整的前提便是充分保持自身人格形象的自我控制，这意味着任何可能识别到特定个体的信息都理应归属于其个体本身。个人信息去身份实质上是一个隐私风险分析的过程，隐私风险的判断决定了去身份的具体内容以及方法[18]。我国《个人信息保护法》则根据“去识别化”的技术方式不同，进一步细分为：去标识化和匿名化。前者旨在基于某种算法创造特定的不可直接识别标识或随机标识来替代真实标识，如差分隐私、属性交换、哈希函数、噪音遮盖。后者则是直接乱序或加密信息内容，使其难以在借助其他信息辅助的前提下识别和复原，如数据聚合、K-匿名、L-多样性等技术[19]。

b.公共数据的脱敏化。数据中除了个人数据外，还可能存在牵涉公共领域安全的重要数据，此时便牵涉重要数据的脱敏化，而脱敏化是指通过算法变形、访问控制、行为授权、操作审计的方式降低数据的敏感程度或封闭访问可能。根据脱敏规则不同，脱敏可分为静态脱敏和动态脱敏。前者主要是利用特定的脱敏算法将数据进行扭曲和涂写以破坏数据的关联性，适用于整体性的数据出境储存。后者则是在应用服务器和数据库之间搭建统一安全管理平台、堡垒机、动态脱敏网关实现业务应用系统“展示层”的动态脱敏和运维后台数据库的查询访问脱敏，适用于数据库的境外访问[20]。

4.1.2 商业数据自由流动的规范前提：法律确权 商业数据获得正式法律指引的基础前提便是认可“去识别化技术”的法律效果，即认可商业数据可从个人数据和重要数据中剥离。

a.数据剥离的规范认可。法律确权，将会自现有的规则体系中重新建构一个未曾出现的法律子系统。技术场景下的数据剥离，已然可以形成一个全新的技术身份，但不意味着法律可径行以规范的名义认可此数据类型的法律身份,其应首先自传统的规则体系中排除。我国《个人信息保护法》第四条在对“个人信息”进行定义时，便明确指出“不包括匿名化处理后的信息”。据此，我国已初步在现有的规则体系中认可“数据剥离”具有特定规范效果，而可为后续的法律确权划定出规则设计的制度空间。具体建构而言，仍应建立健全包括行业监管机构、技术认证机构、标准制度机构等实现完整性的配套规则。

b.数据产权的正式确认。数据的无损复制，意味着实践流转中数据企业无法保持客观上的“独占”效果，此种事实上的效果缺憾便需要法律以明确的产权确认来补足。毫无疑问，数据产权的提出将会是贯穿技术、法律的宏大命题，但仅就商业数据而言，现有财产权的确认对于数据的高效、安全流转意义非凡。数据产权的正式确认，意味着商业数据不再以事实性、侧面性、推导性的蛰伏形象存在，而能够以自身权利为逻辑起点建构相应的规则体系。

4.2新的数据流通规则：备案管理由于个人数据、重要数据所关联权益的人格性、重大性使其在跨境流通时，遵循以“评估报告”为轴心的“审查许可”规则。而由于商业数据斩断了与其他主体的权益纠葛而单独归属于数据企业，故其应遵循以“生效合同”为轴心的“备案管理”规则。

a.形式性的合同备案。商业数据的市场导向是其数据流通规则无可避免的场景预设。不同于以“评估报告”为轴心的“审查许可”规则，商业数据的跨境流通在其完成数据剥离或授权取得后，理应不再负担任何非自主承诺性的约束义务，故其仅需就“生效合同”完成形式性备案即可。同时，形式性的“合同备案”需要以专门规范配置相应的“豁免”条款，如《个人信息告知同意指南(征求意见稿)》第6.3节第f款便明确指出“去标识化处理的个人信息”在特定情形下可免于“告知同意”义务。据此，商业数据的出境规则尽管应采用相对开放的“合同备案”作为出境的形式要件，但仍需进一步建立、健全以《信息安全技术、个人信息去标识化指南》《信息安全技术、个人信息去标识化效果分级评估规范》为代表的程序性、标准性的法律指引，以实现对于个人信息、重要数据出境审查的承托和衔接。

b.实质性的过程监督。去识别技术和脱敏技术在现实中真的能够如规范预设一般实现绝对化的数据剥离吗？显然，“一日千里”的技术发展决定了任何风险控制手段都无法实现“一劳永逸”，不完美的数据剥离技术仅能实现相对意义上的类型转换。风险控制的前提是风险识别，去识别技术和脱敏技术实现了事前可见风险的有效控制，使商业数据不必经受繁琐的出境限制，但技术的负外部性又使得数据剥离将生发出全新的风险形式——反推复原风险。数据关联、概率推理、撞库验证、消噪攻击等多种已然验证可行“反推复原”手段使商业数据存在被溯源、被重构、被解密的事后风险，这就要求商业数据的规则设计应将限制性干预的介入时间和视角置放到数据出境后的利用过程中，即实质性的过程监督。具体而言，在以最大的自由度回应商业数据的流动自主性时，理应保持对披露中或出境后商业数据独立性的关注，并明确禁止对商业数据进行单独识别、交叉识别、算法反推。

4.3新的规则适用情形：规则竞合新的数据类型、权属结构会造就新的数据规则，规范场景下其理应分别适用其相应的规则体系，但当数据纠缠、混杂于数据集而无法剥离时，便牵涉规则的“竞合”问题。

a.可剥离数据集的规则适用：分别适用。 规则与规则之间原则上应该保持分别适用，即个人数据因其人格属性而适用人格权规则，商业数据因其财产属性而适用财产权规则，重要数据因其公共属性而适用公共权益规则。据此，当数据集可经由数据剥离而形成不同数据类型后，其便可分别进入不同的规则体系，且由于数据权益主体的诉求不存在交集和冲突，故而应分别适用而不应有所重叠。

b.不可剥离数据集的规则适用：从严适用。 前文已揭，数据的分类型储存、分类型流通、分类型规制固然具有治理效能的优势，然而以结果输出为导向的数据利用场景往往并不在意数据的分类型储存。面对因数据聚集而造成规则竞合，显然应回归到数据治理的顶层设计中，解析其规则背后可供总结的权益位阶，并以此为标准进行价值衡平。当“数据集”无法剥离导致重要数据无法完整析出时，应将整个“数据集”视同重要数据，并严格参照重要数据的出境规则，个人信息亦然。据此，应认为商业数据的规则设计以充分尊重和保障个人数据和公共数据为前提，且公共数据和个人数据的出境规则显然严格于商业数据，故当发生规则竞合时，应适用于“数据集”内出境审查最为严格的数据规则。

5 余 论

数据人格权的终极价值在于维护“个人”作为数据主体的尊严，而数据财产权的终极价值在于维护“法人”作为数据主体的尊严。现代意义上的数据不仅是数据企业竞争力的核心，亦是国家数据话语权的基础，故在个人数据、重要数据得到“安全性”重视的同时，理应将视野转向商业数据的“自由性”。数据经济的发展，将会进一步突显数据的财产权属性，尽管商业数据的类型提出绝非数据产权立法的全部，但其人格属性和财产属性的实质剥离又使得商业数据无可替代地成为立法前瞻性的样本和素材，希冀商业数据的类型提出能在数据资本化、结构化的背景趋势下开启“数权立法”的大时代。