来源:天达共和法律观察
发布日期:2025年09月05日
引言
自2017年以来,我国数据要素的顶层立法框架逐步建立,并将“促进数据开发利用”提升至国家战略高度。然而,数据开发利用的实质就是数据权益主体对自身权益的利用,而数据权益的利用又必须建立在对数据权益的确认和保护基础之上。数据的权利边界模糊,数据确权难题如同一片迷雾,笼罩在数据要素市场的上空,这使得企业在发掘数据价值时举步维艰。
2025年8月,最高人民法院首次发布数据权益司法保护专题指导性案例,与一个月前国家数据局发布的数据服务合同示范文本遥相呼应,共同标志着发轫于《数据二十条》的数据“三权分置”产权框架,已获得监管与司法的双重确认,为数据要素作用发挥的实践提供了有力的保障。
本文将结合最高法公布首批数据权益指导性案例,系统回顾数据利用“中国模式”的来龙去脉,并基于促进数据利用和保护数据权益的双重要求,提示企业在实践中必须坚守的“合规红线”,旨在帮助企业在数据要素市场化的新征程中,既能大胆创新,又能稳健前行,真正实现数据的价值释放。
一
数据利用“中国模式”的摸索和形成
1. 数据利用模式的早期探索和困境
(1)数据治理的顶层立法框架向数据开发利用的倾斜
我国对数据利用的探索经历了一个漫长曲折的探索过程,通常认为,现代数据治理的起点可以追溯到2017年,彼时“互联网+”兴起,大数据和人工智能技术蓬勃发展,数字经济受到了前所未有的重视,在此背景下,2017-2021年间,中国数据治理顶层立法的三驾马车——《中华人民共和国网络安全法》(简称“《网络安全法》”)、《中华人民共和国数据安全法》(简称“《数据安全法》”)与《中华人民共和国个人信息保护法》(简称“《个人信息保护法》”)相继实施,正式确立了我国数据保护体系的法制框架。尤其是2021年颁布并实施的《个人信息保护法》和《数据安全法》,标志着我国对于数据的规制焦点从“网络”“系统”逐步转移至“数据”本身,并提出了“数据安全与发展”并重,旨在“促进数据开发利用”。其中,《数据安全法》明确规定:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。” [1] 从基础立法层面,从单纯强调“安全”过渡到“安全与发展”双轮驱动,不再将数据仅仅视为需要保护的对象,而是将其定位为驱动经济增长的战略性国家资产,必须在有效治理的前提下加以开发和利用。
(2)数据确权的必要性和现实困境
新制度经济学的产权理论(Property Rights Theory)指出:“清晰界定的产权是市场的前提”。根据科斯定理,只要交易成本等于零,法定权利(即产权)的初始配置并不影响效率 [2] ,换言之,如果不能清晰界定产权,将极大增加交易的成本,具体到数据要素市场,将直接抑制数据的有效流动,限制市场的有效运转。从法律功能上看,确立产权的目的在于“定分止争”, 在数据要素领域,通过明确数据权利边界来预防和解决纠纷,可以为数据流通、交易以及安全责任的划分提供稳定的法律基础 。没有确权的数据,无法保障利用数据的企业能够按照预期获得收益,就会极大制约企业自发创造和分享高质量数据的意愿。因此,在我国提出促进数据开发利用的背景下,如何为数据“确权”便成了无法回避的问题。
然而,由于数据存在非实体性(或称无形性)与依托性、非排他性的共享与可复制性等特征,为数据创设一项传统的、排他性的财产权(即所有权),并不具有现实性。 以数据集的共享使用场景为例,假设同一数据集中的多个利益相关方(如数据提供者、收集者、处理者)均享有排他性的数据所有权,意味着一旦无法取得数据流动链条上的任意相关方的授权,将导致链条下游的所有相关方无法使用数据,考虑到取得全部相关方的授权需要付出大量的交易成本,这无疑会严重阻碍数据的共享、利用与创新,与国家宏观政策以及顶层立法三驾马车提出的“数据安全与发展”和“促进数据开发利用”宗旨背道而驰。事实上,尽管我国包括《民法典》《数据安全法》等法律已对数据利用、个人信息保护作出了原则性规定 [3] ,为数据权益作为一种受法律保护的客体提供了顶层立法依据,但我国一直没有通过立法的方式为数据创设一项独立财产权;从国际实践来看,这一观点也获得了印证:包括欧盟和美国在内的主要法域,均审慎地避免创设一个普适性的数据所有权制度。综上所述, 我国追求的数据确权方案,一方面不能通过简单的立法创设排他性的数据财产权,另一方面需要在①最大化数据的利用效率、②确保数据相关的经济利益在各参与方之间公平分配、③保障数据的安全三者间取得精妙平衡,具有极高的挑战性。
(3)司法实践对于数据权益保护的初步探索
在数据确权问题困扰法律界之时,企业也逐渐在商业活动中发现并重视数据的经济价值,2015年起,商业实践中关于数据不正当竞争的纠纷开始频发,在数据确权的立法和制度设计尚不明确的背景下,人民法院就现实中出现的数据权益纠纷,率先进行了探索并作出了对后世影响深远的回应。2016年,“新浪微博”诉“脉脉”案在北京知识产权法院二审宣判,法院认为,新浪微博对其合法收集、处理并经过用户授权的数据信息,以及在此基础上形成的数据产品,享有独立的财产性权益。该案还确立了“三重授权”原则(用户授权、平台授权、用户在平台授权范围内使用)的雏形 [4] 。随后,自2016年起,各地法院在处理涉及数据抓取、使用相关纠纷时,多次借鉴了“新浪微博”诉“脉脉”案的思路,采取了一种变通的保护路径, 即以《反不正当竞争法》第二条 [5] 的原则性规定为依据,将数据权益视为一种“竞争性权益”进行个案保护 [6] 。法院这种保护路径的核心逻辑在于,数据产品或服务的提供方在数据的收集、整理、加工过程中投入了大量的劳动、资本和技术,形成了具有商业价值的数据产品,这种附着了创造性劳动的成果应当受到保护,他人未经许可的“不劳而获”行为构成不正当竞争—— 这一路径绕开了复杂的数据所有权归属问题,而试图通过侵权救济的方式保护数据权益。
虽然上述司法保护路径在很长一段时间内,对于数据权益的确认和保护仅限于个案,无法作为普适的数据权益治理规则,但应该认为它极有可能对后续我国数据利用治理“三权分置”模式的创设和确立起到了不可忽视的推动作用。
2. 数据利用“中国模式”的形成——数据“三权分置”的提出和实践
(1)“三权分置”模式的首次提出——《数据二十条》发布
2022年12月,中共中央、国务院发布了纲领性经济战略文件——《关于构建数据基础制度更好发挥数据要素作用的意见》(又称“《数据二十条》”)。它的出台是对2020年中央文件首次将数据与土地、劳动力、资本、技术并列为新型“生产要素”的直接回应与深化,标志着我国从宏观政策层面再次提高了数据要素利用的优先级和重要性。
在《数据二十条》中,为破解数据确权的困境,推动数据要素市场化,其创造性地提出了探索数据产权结构性分置制度的中国方案,其核心思想是淡化所有权、强调使用权,通过建立数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的数据产权制度框架,促进数据要素的流通和价值释放 [7] 。 “三权分置”的制度设计与我国在土地等特殊资源上将所有权与使用权分离的治理逻辑 [8] 高度相似,巧妙地绕开了“所有权”归属的理论争议,转而聚焦于数据在实际应用场景中的各项权能,创设功能清晰、权能明确、可市场化流转的“持有权”“使用权”和“经营权”,这体现了一种根植于中国自身改革经验的、独特的解决之道。
尽管《数据二十条》提出了“三权分置”,但其毕竟是政策性文件,不属于立法。虽然这项政策标志着一个长期、探索性的市场建设过程的开端,其后续发展仍需要大量的配套立法和监管细则来补充完善。市场仍在等待监管和司法对于“三权分置”模式的正式确认。
(2)“三权分置”模式的监管确认——《数据服务合同系列示范文本》发布
经过近三年的市场消化、摸索,国家数据局在2025年7月发布了数据服务合同系列示范文本,包括《数据提供合同》《数据融合开发合同》《数据委托处理服务合同》以及《数据中介服务合同》在内的合同示范文本,对数据“三权分置”中的“数据产权”以及三项具体数据权益作出了明确定义 [9] :
- 数据产权: 指权利人对特定数据享有的财产性权利,包括数据持有权、数据使用权、数据经营权等。
- 数据持有权: 指权利人自行持有或委托他人代为持有合法获取的数据的权利。旨在防范他人非法违规窃取、篡改、泄露或者破坏持有权人持有的数据。
- 数据使用权: 指权利人通过加工、聚合、分析等方式,将数据用于优化生产经营、提供社会服务、形成衍生数据等的权利。一般来说,使用权是权利人在不对外提供数据的前提下,将数据用于内部使用的权利。
- 数据经营权: 指权利人通过转让、许可、出资或者设立担保等有偿或无偿的方式对外提供数据的权利。
上述合同示范文本是数据流通领域的主管部门——国家数据局首次在公开发布的实务指南性文件中,系统性地援引了数据“三权分置”的核心观点,可以视为“三权分置”的配套实施细则,这标志着监管部门已正式确认“三权分置”模式。其中明确约定了数据提供方授予接收方具体包括哪一项或哪几项权利,并进一步约定了其权利范围、使用目的、期限和限制条件,以实现数据权能在法律层面的清晰分割与流转,为“三权分置”的框架逐步深入到数据要素市场实践的各个环节落地奠定了基础。
(3)“三权分置”模式的司法背书——最高法首批数据权益指导性案例发布
仅在《数据服务合同系列示范文本》发布一个月有余,最高法即发布了这一批数据权益指导性案例(共6件),其中262、263、264号指导性案例均属于法院在不同的不正当竞争和侵权纠纷场景下,对于数据经营性权益的承认和保护。我们认为,上述三个案例中法院对于数据“经营性权益”的认定精准对应了“三权分置”模式下的数据“三权”,标志着司法系统已正式认可并确认“三权分置”模式,具体而言:
①. 在263号案例中 ,法院认为,在取得用户明确授权的情况下,被告可以通过某一平台使用、管理在其他平台已合法收集并掌握的个人数据,而不构成不正当竞争,但该等使用、管理不应对其他平台的经营活动造成实质性替代或损害,也不应对相关个人的个人信息权益造成损害。 我们认为,该案例中使用被告平台管理简历的企业,已通过取得个人授权的方式,在收集求职者个人简历时即合法享有对简历中相关个人信息进行统一管理的“使用权”,该“使用权”可以不依赖于原告平台以及个人的“持有权”而独立存在,但需注意使用场景、目的、方式、数据类型应被严格限定于个人已授权的范围之内。
②. 在264号案例中 ,法院认定确认对于同类数据不同企业可以分别享用不同的数据权益。被告作为数据产品的加工方,采集在一定范围公开的数据,对其投入智力劳动和算法技术,加工生成具有价值的数据产品,对其享有独立的“经营性利益”。 我们认为,这里的经营性利益,对应了数据“三权”中的“使用权”和“经营权”,它的形成可以不依赖于对原始数据的“持有权”。
如前所述,在缺乏数据确权立法的背景下,我国法院出于解决现实纠纷的需要,成为了数据领域事实上的关键规则制定者。北京互联网法院创造性地适用了《反不正当竞争法》的原则性条款,该条款禁止经营者从事违反诚实信用原则和公认商业道德、扰乱市场竞争秩序的行为,为数据权益提供了间接但有效的保护。但,考虑到中国并非判例法国家,同案不同判的情况时有发生,即使“三权分置”模式已被提出,对于企业而言,仍然会就数据的使用权益是否最终可以得到司法保护而存在担忧。
而最高法本次公布数据权益保护指导性案例,系在“三权分置”模式提出近三年之际,经过内部的严密研讨之后确立的示范性案例,意义在于为下级法院审理类似案件提供权威的类案参照标准,在法院系统内部进行背书。最高人民法院研究室负责人在回答记者提问时也进一步强调:“本批数据权益司法保护专题指导性案例正是贯彻落实‘数据二十条’,立足司法审判职能为数据权益提供综合司法保护的集中体现。” [10] 可以预见,在未来法院审理数据权益纠纷时,此前对于数据权益保护不确定性的担忧将被极大消解,法院依据“三权分置”模式认定相关方的数据权益,并对此进行保护的概率将大幅提升。
至此,无论是国家数据局公示的《数据服务合同系列示范文本》,还是本次最高法颁发的数据权益指导性案例,都明确表明“三权分置”的理论框架已获得法院系统和监管系统的双重确认,换言之,“三权分置”不再仅停留在政策层面,而将正式成为我国数据利用治理实践中的确权模式。
二
企业在数据利用中应当把握的“合规红线”
随着“三权分置”模式正式成为我国数据利用治理实践中的确权模式,结合未来我国持续鼓励数据要素开发利用的时代背景,我们认为企业在数据要素利用方面的合规压力有所缓解,企业相较以往可以更加积极地开展数据利用的新业务模式探索,探索可利用的数据资源,并进行数据资源化、产品化、资产化等相关活动,以期发掘数据的价值。 然而,“三权分置”模式的确立并不意味着企业可以肆无忌惮地大开数据利用的绿灯,相反,企业应更加关注数据利用中监管和司法实践重点关注的“合规红线”。 以下我们将结合最高法本次公布的指导性案例,介绍企业在数据利用中应当把握的“合规红线”。
1. 数据来源的合法性
在数据要素流通领域,数据来源的合法性是首要红线,在实践中,对于数据来源合法性的审核也是重点需要开展的工作,旨在确保数据获取方式符合现行法律法规的要求,避免侵犯个人权益、第三方知识产权或触发不正当竞争风险等。以下将从自行生产、第三方协议获取和公开收集三类常见数据来源的渠道,分析合规审查的要点与实操路径。
(1)自行生产的数据
自行生产的数据是指企业通过自建系统、设备或技术独立生成的数据。此类数据的合法性核心在于生成过程的独立性与权属清晰性。首先,企业需明确数据的系统来源、传感器类型、智能设备数量及平均数据采集规模等基本系统信息。其次,对于自行生产的数据,数据收集行为需具备独立性,若涉及硬件供应商、云服务商等其他利益相关方,应通过协议明确各方的数据处理关系及数据处理细节,确保权责清晰且无侵权或权属争议。另外,数据收集和处理依赖的信息技术系统需说明建设运维主体,若涉及技术外包方等第三方,也需通过服务协议界定法律关系,确保系统建设、运维未侵犯第三方权益。根据本次指导案例262号,法院认为,作为原告的互联网UGC(User-Generated Content)平台,虽然不“拥有”平台用户上传数据(包括用户创作视频、用户评论、用户注册信息等)的著作权,但通过其经营活动投入大量的人力、物力、财力,将海量用户上传数据汇聚、整理,形成了一个具有巨大商业价值的“数据集合”,原告享有该等数据集合的“经营性利益”。 我们认为,法院承认了在商业场景下,UGC平台对于其投入一定人力、物力、财力产生的有价值数据集合,属于平台自行生产的数据资产,按照“谁投入、谁贡献、谁受益”原则,平台应合法享有“经营性利益”,这种利益对应了数据“三权”中的“持有权”“使用权”和“经营权”。
(2)从第三方协议获取的数据
从第三方通过获取数据时,往往需要签订数据处理协议或在相关业务协议中加入数据处理条款,此时需重点审查协议的完备性与数据提供方的资质,确保数据来源链条合法及核查数据质量。协议中需包含的核心条款包括:数据来源合法性承诺并要求提供方保证授权链完整,数据使用目的与安全保护要求,数据使用限制,数据对外提供的目的和期限限制,知识产权归属等。此外,作为协议相对方,数据提供方需取得相关资质、许可、认证或备案,企业还需从数据提供方的资质核查数据来源链条。
(3)公开收集的数据
通过爬虫等技术手段从公开渠道收集数据时,需严格遵循Robots协议并采用合法的技术手段,避免突破法律底线。企业在使用网络爬虫、API调用等技术手段公开收集数据时,需遵守Robots协议等行业规则,不采用破解加密、伪造身份、绕过反爬措施等技术手段,干扰目标网站运行,确保无非法访问情形。此外,对于收集的数据内容还需评估是否涉及个人信息、商业秘密或受著作权保护的作品。 本次指导案例262号也再次明确,抓取搬运其他平台具有经营性利益的数据,构成实质性替代,扰乱了市场竞争秩序,损害了其他经营者、消费者合法权益,属于不正当竞争行为。而在264号案例中,法院认为,对于不属于国家秘密、个人信息和商业秘密的数据信息,应允许自由流动,非因法定事由不应过度管控,以防止形成“数据壁垒”与“信息封闭”。若数据信息系从其他公开渠道可以获取,获取的方式合法,且后续对数据有实质性投入,则应当认为该采集行为具有正当性。
2. 数据内容的合规性
数据要素流通还需要将数据内容本身的合规性作为考察底线,从禁止性情形的排除以及特殊交易限制的考量进行合规审查。首先,企业需要对数据内容进行全面审核,确保其不包含危害国家安全、公共利益、违反公序良俗、侵犯商业秘密或侵害他人合法权益的违法信息,禁止采集法律明令禁止的数据类型,排除通过欺诈、诱骗、误导或从非法渠道获取的数据。本次指导案例第264号中也就数据产品的内容是否涉及商业秘密进行了辨析。根据《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(法释〔2020〕7号)第四条第一款第五项的规定,“所属领域的相关人员从其他公开渠道可以获得该信息的”,人民法院可以认定有关信息为公众所知悉。若企业未采取有效保密措施,且相关数据已在一定范围公开,不符合“不为公众所知悉”的商业秘密构成要件,案涉数据构成商业秘密的主张不能成立。该判决观点也与促进数据要素流动的总体方向保持了一致。
此外,企业还需要根据数据的类型及应用场景,判断其是否需满足特定资质。例如,若数据涉及个人征信信息,则需确保采购相对方持有中国人民银行颁发的《个人征信业务经营许可证》,并审查其资质有效期与业务范围;涉及到重要数据的,还需要履行重要数据处理者的相关义务等。
3. 数据主体权益保护
(1)个人信息保护
个人信息保护是数据流通中的安全底线和合规重点。《个人信息保护法》中对个人信息的处理活动进行了原则性的规定,并构建了处理规则的框架。该批指导性案例的发布,则是司法实践对“告知-同意”规则、“最小必要”原则、个人信息主体权益保护等法律规则进行的具象化诠释和操作性延伸,为企业在数据流通中履行合规义务提供了指引。
A. “告知-同意”的履行
“告知-同意”是个人信息处理的合法性基础之一,要求企业在处理个人信息前必须以显著方式、清晰易懂的语言向个人真实、准确、完整地告知处理者身份、处理目的、方式、个人信息种类、保存期限及权利行使方式等事项,数据主体在个人充分知情的前提下自愿、明确地作出同意。对于敏感个人信息、数据跨境、对外提供、公开个人信息等场景,还需取得单独同意。企业不得以用户不同意或撤回同意为由拒绝提供产品或服务,并应提供便捷的撤回同意方式。告知义务的履行需避免“一揽子授权”或强制同意,实践中可通过重点提示、弹窗确认等方式确保合规,且告知内容应便于用户访问和保存。
本次指导案例第262号中,法院认为,用户遵循平台规则、借助平台提供的技术支持,根据用户协议发布的注册信息(昵称及头像)、用户评论等,具有一定商业价值,企业可享有该等数据的经营性权益。具言之,在对个人信息进行商业使用的场景下,企业如希望合法享有个人信息的“持有权”“加工使用权”乃至后续的“经营权”,必须通过平台规则、用户协议、隐私政策等法律文件告知个人使用目的、方式、范围,并取得个人的授权同意。
此外, 本次指导案例第265号中明确,《个保法》第十三条第一款第二项将“为订立、履行个人作为一方当事人的合同所必需”规定为取得个人同意的法定例外情形。对于“合同所必需”的认定,可以结合有关法律法规及规章、规范性文件等对必要个人信息范围的规定,并考量合同的类型、内容等作出认定:如果信息处理的缺位将使合同约定的基本功能服务或者用户自主选择的附加功能服务无法实现的,可以认定为订立、履行合同所必需,反之则不予认定。以自动化决策推送信息为由收集用户画像信息,非案涉产品的基本功能服务,不属于应当取得个人同意的法定例外情形。
B. “最小必要”原则的适用
最小必要原则要求个人信息处理活动必须限于实现处理目的的最小范围,采取对个人权益影响最小的方式,不得过度收集个人信息,企业需在数据收集、存储、使用等各环节嵌入该原则。具体包括:处理个人信息的种类、范围应与处理目的直接关联;处理数量应为实现目的的最少数量;自动处理频率应为必需的最低频率;存储期限应为实现目的的最短时间,超出后需删除或匿名化;建立最小授权的访问控制策略等。 指导案例266号指出,某信用服务通过事先对用户进行信誉评估,向公交公司提供的仅是“准入与否”的结论性信息,属于实现“先享后付”功能所必需,符合最小必要原则。因此,对最小必要原则的适用,需要结合商业实践,考量所收集的个人信息是否为实现产品或服务的功能所必需,不过度收集用户个人信息。
C. 个人信息主体权益保障
个人对其个人信息处理享有知情权、决定权,以及查阅、复制、更正、补充、删除、限制处理、可携带权等具体权利。企业需建立便捷的行使权利机制,不得设置不合理条件拒绝请求,并需在拒绝时说明理由。另外,对于用户画像、个性化推荐等自动化决策行为,企业需保证决策透明和结果公平,不得实行“大数据杀熟”等不合理差别待遇,个人有权拒绝仅通过自动化决策作出的决定,并可以要求说明算法逻辑。企业在进行处理敏感信息、数据跨境、自动化决策等对个人权益有重大影响的数据处理活动时,需事前进行个人信息保护影响评估,并保存记录至少三年。
(2)反不正当竞争
在数据要素市场化配置进程中,数据流通的反不正当竞争已成为企业的核心关注点与引起商事纠纷的主要争议点。将于2025年10月15日起施行的新《反不正当竞争法》及2025年8月最高人民法院发布的首批数据权益司法保护专题指导性案例(第47批),为数据流通竞争秩序提供了新的监管方向与裁判规则。本次指导案例中法院的判决观点也与新《反不正当竞争法》的立法倾向形成呼应。本次指导案例以及《最高法就数据权益指导性案例答记者问》中,针对262号、263号涉及不正当竞争纠纷案例,明确指出“自2025年10月15日修订后的反不正当竞争法施行后,对相关行为是否构成不正当竞争行为,人民法院应当适用反不正当竞争法第十三条第三款及相关规定,依法准确认定。”
A. 平台对数据集合的经营性利益
新《反不正当竞争法》第十三条第三款规定,经营者不得以欺诈、胁迫、避开或者破坏技术管理措施等不正当方式,获取、使用其他经营者合法持有的数据,损害其他经营者的合法权益,扰乱市场竞争秩序。
本次指导案例262号明确,平台对合法收集、加工形成的数据集合享有受法律保护的经营性利益,即便其中包含用户生成内容,只要平台投入实质性资源(如技术处理、组织展示、质量审核等),即享有竞争性权益。 平台通过运营积累的短视频、用户评论等数据集合,虽未构成著作权法保护的作品,但仍因投入大量成本并形成竞争优势而享有合法权益;第三方未经许可批量获取并向公众提供相关数据,实质性替代原平台产品或服务,属于不正当竞争行为。如前所述,企业需审查数据获取手段的合法性,避免通过技术手段或人工方式抓取其他平台享有经营性利益的数据资源,以免构成不正当竞争。
B. 跨平台数据迁移利用的合规边界
本次指导案例263号就数据权益保护与促进数据流通之间的合规边界进行了进一步释明。在用户通过自己的操作,在不同平台进行数据迁移服务时,首先应当判断接收数据的平台提供的迁移服务是否符合商业实践。本案例再次肯定了企业对所采集生成的数据有实质性投入和贡献,则享有受法律保护的权益,但也明确指出其不得阻碍企业用户对所收集的数据进行迁移使用等合理处理。若数据迁移使用的行为系用户自身操作,且在接收平台仅供用户自身使用,不对原平台造成实质性替代,则不构成不正当竞争行为。
因此,在不同平台的业务有交叉的情况下,数据迁移使用的实现需以用户主动发起为前提,提供数据的平台不得阻碍用户合理的数据迁移使用请求,同时,接收平台还需通过技术隔离确保仅迁移使用用户申请的数据,且不得涉及其他平台整体数据库或商业秘密。
结语
最高法首批数据权益指导性案例的发布,是中国数据利用治理模式探索之路上的重要事件,它与监管层面的制度设计相互印证,宣告了以“三权分置”为核心的数据确权“中国模式”已正式落地。对于企业而言,这意味着在数据利用的实践中,数据权益保护的不确定性即将被清晰、统一的司法裁判标准所取代。
尽管国家鼓励数据利用是大势所趋,但需要关注的是,“合规红线”仍然贯穿于数据生命周期的始终:在源头,必须确保数据来源的绝对合法,坚决杜绝“不劳而获”式的寄生性数据抓取;在内容上,必须进行穿透式审查,确保不侵犯商业秘密与他人合法权益;在个人信息处理上,则必须将“告知-同意”与“最小必要”原则内化为产品和业务模式设计的基因,给予数据主体充分的尊重与保障。“合规红线”的明确,其目的并非束缚,而是为了更安全、更长远的发展,它为企业划定了创新的安全区,让合规经营者可以更放心地进行数据资源化、产品化的探索。
展望未来,人工智能等数据相关新兴技术的日新月异,抑或是商业实践中数据利用的新兴场景将不断涌现,都将持续为后续数据利用治理提出新的挑战。但无论如何,本次最高法发布的数据权益指导性案例所确立的利益平衡、比例原则与诚实信用等司法精神,无疑为应对未来挑战提供了坚实的法治基石。对于所有置身于数字经济浪潮中的企业而言,将数据合规从被动的风险防御,提升为主动的战略赋能,将是在这场时代变革中行稳致远、赢得先机的关键所在。
注释
(上下滑动查看更多)
[1] 《数据安全法》第7条
[2] 参见罗纳德·H·科斯(Ronald H. Coase)(1960). "The Problem of Social Cost". Journal of Law and Economics, 3, 1–44.
[3] 《民法典》第127条:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”;《民法典》第1034条第1款:“自然人的个人信息受法律保护。”
[4] (2016)京73民终588号
[5] 《反不正当竞争法(1993)》第2条第1款:经营者在市场交易中,应当遵循自愿、平等、公平、诚实信用的原则,遵守公认的商业道德。
[6] 例如,“大众点评”诉“爱点评”案的一审判决中,上海市浦东新区人民法院认为,大众点评网的用户点评信息,是其核心竞争资源。被告几乎全面、实时地抄袭这些信息,会使其网站对大众点评网产生实质性替代,严重损害了大众点评网的合法权益,构成不正当竞争。法院明确指出,即使信息是公开的,但经营者通过合法劳动和投入将这些分散的信息整合为具有商业价值的集合体,这种集合体就应受到保护。参见(2016)沪0115民初52331号。
[7] 《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》第二条第(三)款:探索数据产权结构性分置制度。建立公共数据、企业数据、个人数据的分类分级确权授权制度。根据数据来源和数据生成特征,分别界定数据生产、流通、使用过程中各参与方享有的合法权利,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,推进非公共数据按市场化方式“共同使用、共享收益”的新模式,为激活数据要素价值创造和价值实现提供基础性制度保障。研究数据产权登记新方式。在保障安全前提下,推动数据处理者依法依规对原始数据进行开发利用,支持数据处理者依法依规行使数据应用相关权利,促进数据使用价值复用与充分利用,促进数据使用权交换和市场化流通。审慎对待原始数据的流转交易行为。
[8] 在城市土地改革中,国家保留了土地的最终所有权,但创设了可长期流转、可抵押的“土地使用权”。这种所有权与使用权的分离,在不挑战基本政治原则的前提下,成功释放了土地的巨大经济价值。
[9] 参见《数据提供合同(示范文本)》《数据融合开发合同(示范文本)》《数据委托处理服务合同(示范文本)》以及《数据中介服务合同(示范文本)》中“使用说明”的“名词解释”部分。
[10] 中国新闻网:“最高法就数据权益指导性案例答记者问”,2025年9月1日,链接:https://mp.weixin.qq.com/s/UIYGZ1SfGQ5P76R14mc1ag。
叶 鹏
天达共和合伙人
北京办公室
yepeng @east-concord.com
+8610 6510 7032
叶律师曾就职于世界500强的跨国贸易型企业工作十余年,期间全面负责在华企业集团包括其投资公司在内的国际贸易和投资相关的法务事务及风险管理、劳动人事、政府公共关系等组织管理工作,对企业法务和内部管理具有丰富的经验。
叶律师现为天达共和律师事务所数据合规团队负责合伙人。叶律师曾经先后为国内外大、中型企业提供过包括网络安全和数据保护相关法律咨询、合规体系建立和合规调查、企业并购和重组、劳动人事纠纷解决、贸易环节行政调查对应等多项法律服务,深得企业客户的信任。叶律师曾在日本的《国际商事法务》《会社法务 A2Z》等知名杂志以日文发表多篇个人信息保护相关论文,以及在多个媒体发表多篇专业论文。
叶律师荣获LEGALBAND发布的“LEGALBAND 2022年度中国律师特别推荐榜15强:网络安全与数据合规”,荣登《亚太法律500强》(The Legal 500)2023中国榜单:数据保护业务领域推荐律师,并被评选为中国信通院云大所2022年度数安智库优秀专家。2024年,叶律师荣膺著名法律媒体《亚洲法律杂志》公布的“2024 ALB China十五佳网络安全和数据保护律师”,荣获“律新社2024年度数据合规领域品牌之星:领先律师”。
曾祥瑞
天达共和律师
北京办公室
曾祥瑞律师毕业于中南财经政法大学,获法学、管理学双学士学位以及法学硕士学位。
曾律师加入天达共和以来,主要参与数据合规团队为跨国企业、国内大中型企业提供的数据合规业务及其他公司业务,专长于网络安全与数据保护、企业运营与合规、电子商务等领域,曾作为项目主要人员参与某大型金融机构网络与数据安全全面合规评估服务项目、某跨国旅游集团数据合规综合服务项目、某世界五百强企业网络安全等级保护合规建设项目,并日常为某跨国奢侈品集团、某世界五百强食品生产企业等大型跨国公司的在华投资企业以及多家大型金融机构提供专业的法律支持,工作内容涵盖线上业务隐私政策和用户协议、公司内部制度以及合同等法律文件的起草、审查与修改,法律调研,尽职调查等。此外,曾律师还曾为某国际大型体育赛事的日常运营提供法律服务,并曾就数据资产的相关法律问题,为某大型国有企业提供专业的法律调研服务。
王璐萍
天达共和律师
北京办公室
王璐萍律师毕业于北京大学,获法律硕士学位,研究方向为电子商务法。
王律师主要从事网络安全与数据保护、电子商务法律事务、公司运营管理、公司合规审查,涉及零售、医药、金融、保险、TMT、人工智能等诸多行业和领域。自加入天达共和以来,王璐萍律师作为团队成员参与了某车联网企业数据合规、参与某保险集团健康大数据应用项目和数据合规顾问服务、某世界500强企业全球合规制度审查项目、某上市保险集团数据合规体系建设、某保险公司数据出境风险自评估、某国企融资增资项目、某信息通信集团数据合规建设参照标准分析等多个法律服务项目。
天达共和数据合规团队
ABOUT US
天达共和数据合规团队由多名在公司合规、数据和互联网领域具有丰富经验的合伙人/顾问、律师组成,人员以北京总部和上海为核心,业务范围覆盖全国。依托于天达共和一体化管理的综合优势,加之具有与数据合规相关的民事、刑事、公司并购/重组、反垄断/反不正当竞争、知识产权等法律专业服务能力及项目经验,我们可以为客户提供综合性、全方位、多领域的网络安全与数据保护服务,涵盖数据系统安全运营以及数据生命周期全过程和各个应用场景下的数据应用处理,具体包括数据合规审查综合项目、数据合规风控体系的建立与完善、与数据处理、数据交易等相关的数据合规专项服务、网络安全等级保护等网络安全运行合规咨询服务、行政检查应对、争议解决、合规培训等。建立在对中国国内外,包括欧洲、美国、日本等重点国家和地区,数据领域法律法规深度研究和持续关注的基础上,并结合多年公司合规业务领域的经验,数据合规团队已为包括国家机关、大中型企事业单位、跨国企业集团、外资企业和民营企业在内的大量客户提供了各项数据合规相关法律服务。
数据已经成为战略性资源,企业的运营和发展离不开数据的有效利用和保护。天达共和数据合规团队秉承“成功,始于助人成功”以及专业至精、尽心竭力的服务理念,力求助力客户,为客户提供高效、优质、专业的服务。
如您希望订阅天达共和数据合规资讯月报或需要相关法律服务,请发送邮件至ecdct@east-concord.com与我们联系。更多资讯信息,请关注本所官方微信公众号“天达共和法律观察”。
申晓雨
天达共和
合伙人
叶 鹏
天达共和
合伙人
阚 惠
天达共和
合伙人
王东方
天达共和
合伙人
朱向鸣
天达共和
合伙人
秦君毅
天达共和
合伙人
黄嘉洁
天达共和
合伙人
曾祥瑞
天达共和
律师
杨越文
天达共和
律师
张亚楠
天达共 和
律师
王璐萍
天达共和
律师
精彩推荐
声明 Disclaimer: