通过网络平台专有权实现对企业数据权益的保护

吴伟光

（清华大学法学院，北京 100084）

中共中央、国务院2022 年12 月2 日发布的《关于构建数据基础制度更好发挥数据要素作用的意见》要求推动企业数据的确权授权机制。因为没有明确的财产权保护，围绕着数据产生、维护和利用的相关各方就无法形成确定的法律关系，就会损害各方利用数据的积极性，所以对数据正确赋权已是重要的产业政策要求。〔1〕国务院发布的《“十四五”数字经济发展规划》（国发〔2021〕29 号）所确立的发展目标之一是：“数据要素市场化建设成效显现，数据确权、定价、交易有序开展，探索建立与数据要素价值和贡献相适应的收入分配机制，激发市场主体创新活力。”目前有关研究对信息与数据属于不同的权利客体以及两者承载着不同法益这一点基本达成共识，〔2〕参见纪海龙：《数据的私法定位与保护》，载《法学研究》2018 年第6 期；钱子瑜：《论数据财产权的构建》，载《法学家》2021 年第6 期。但对数据应以何种财产权进行保护争议很大。有以所有权来保护的主张，〔3〕参见纪海龙：《数据的私法定位与保护》，载《法学研究》2018 年第6 期。有以知识产权来保护的主张，〔4〕参见崔国斌：《大数据有限排他权的基础理论》，载《法学研究》2019 年第5 期。有设置数据使用权的主张，〔5〕参见高富平：《数据流通理论——数据资源权利配置的基础》，载《中外法学》2019 年第6 期。也有些学者提出对数据的保护应该有复杂的财产权设计，〔6〕参见龙卫球：《再论企业数据保护的财产权化路径》，载《东方法学》2018 年第3 期。如数据经营权、数据资产权、数据用益权或以“权利束”保护数据法益等。〔7〕参见申卫星：《论数据用益权》，载《中国社会科学》2020 年第11 期；龙卫球：《数据新型财产权构建及其体系研究》，载《政法论坛》2017 年第4 期；王利明：《论数据权益：以“权利束”为视角》，载《政治与法律》2022 年第7 期。

企业数据赋权主要有三方面的问题：一是数据权利主体是谁？二是数据权利的客体是什么？三是数据权利的内容是什么？其中确定数据权利的客体是最为关键和困难的问题，因为权利客体是权利关系中所竞争的利益所在，也是区分不同种类权利性质的关键。目前所有支持向数据赋权的研究都明示或默示地将数据或者数据集合作为数据权利的客体，这是计算机时代以Cd-ROM 为数据载体的数据观，在网络与大数据技术环境中，数据不再是存在于某一个介质中的静止和固定化的数据集合，而是分散化、实时产生和不断累积与变化的数据。在这种新的技术环境中，数据的抽象性、变动性、隐蔽性、无法公示性、无法识别性以及无法控制性等特征，使学者们设计的这些权利构想无法落实。

笔者反对网络用户对其在网络平台中的数据享有权利的主张，主张在网络与大数据技术环境中，数据权利的主体应该是产生和控制数据的网络平台的所有人即网络企业，数据权利的客体是产生、存储、控制和管理数据的网络平台，针对数据的专有权是以网络平台为客体的财产性支配权即网络平台专有权，网络平台专有权的内容包括对网络平台和其内部数据的控制、使用、收益和处分四项权能。网络企业作为网络平台专有权人通过网络平台专有权实现对网络平台内的数据的占有、使用、收益和处分的目的，并对数据中所包含的其他法益承担相应的保护义务。

一、将数据直接作为权利客体的困难

（一）将数据直接作为所有权客体的困难

有学者主张对数据直接赋予类似所有权这样的绝对权，〔8〕参见纪海龙：《数据的私法定位与保护》，载《法学研究》2018 年第6 期。有学者指出当数据控制者对数据实际处于控制状态时便对数据产生了合法使用的权利，〔9〕参见高富平：《数据流通理论——数据资源权利配置的基础》，载《中外法学》2019 年第6 期。有学者进一步提出数据财产权的客体是客观存在的数据，权利的取得依据是数据的合法收集行为，权利主体应该是数据的合法收集者，权利内容包括控制、使用、收益和处分等四项。〔10〕参见钱子瑜：《论数据财产权的构建》，载《法学家》2021 年第6 期。这些主张有其合理的一面，但主要缺陷是将数据直接作为权利的客体，仍然是Cd-ROM 技术背景下的数据权利观，在网络与大数据技术环境下，数据的抽象性、分散性、动态性、不可识别和不可控制等特征使数据本身无法提供较为精确的权利信息，无法满足数据所有权的客体和权利内容应准确和公开的要求，而“权利有清楚的界定是市场交易的先决条件”。〔11〕［美］科斯：《联邦传播委员会》，转引自张五常：《经济解释（2014 年增订本）》，中信出版社2015 年版，第240 页。

大数据技术下的数据是以代码形式存在于网络中的，因此才能够被计算机处理、存储和在网络中传输，如果这些数据都存储于Cd-ROM 这样的固定媒介中，通过版权或者数据库权益就可以保护，就不会出现今天所要讨论的问题。在业界所称的web1.0 时期，由于个人终端和网络能力的限制，网络企业的数据主要存在于企业的服务器上，网络用户通过登录其服务器来接触和使用这些数据。但到了以“p2p”商业模式为标志的web2.0 时期，数据便不再只存储于企业的服务器上，而是可以分散在各个网络用户的终端上，这些数据从物理意义上看是存储于个人计算机硬盘上，但从网络技术意义上看是被网络企业的应用程序所控制。〔12〕Web1.0 是个人电脑时代的互联网，用户利用web 浏览器通过门户网站，单向获取内容，主要进行浏览、搜索等操作。用户只是被动接受内容，没有互动体验。Web2.0 指的是一个利用Web 的平台，由用户主导而生成的内容互联网产品模式，为了区别传统由网站雇员主导生成的内容而被定义为第二代互联网。Web2.0 对应的是移动互联网，用户不再只是内容接收方，可以在线阅读、点评、制造内容，成为内容的提供方，还可以与其他用户进行交流沟通。提供服务的网络平台成为中心和主导，聚集起海量网络数据。以这种状态的数据作为权利客体时，如何确定这些数据的存在和对外公示这些数据是目前学界各种主张的共同困难。为此，有学者不支持将数据作为民事权利的客体，因为数据没有确定性或者特定性特征，缺乏独立性，也不是民事法律客体中的无形物，并且有数据作为客体与民法中客体的实体权表彰功能不相契合等理由；〔13〕参见梅夏英：《数据的法律属性及其民法定位》，载《中国社会科学》2016 年第9 期；韩旭至：《数据确权的困境及破解之道》，载《东方法学》2020 年第1 期。也有学者主张对于数据只能适用责任原则，而不需要直接赋权，尤其应淡化所有权而强调使用权。〔14〕参见周汉华：《数据确权的误区》，载《法学研究》2023 年第2 期。这说明，向数据直接赋权的弊端和不切实际，已被学者们发现，但如果对数据权益没有明确的权利保护，则会进一步加大对反不正当竞争法中的一般条款的依赖来保护与数据相关的法益，且无法有效构建出“数据权利—数据义务—数据责任”的法律体系，因为数据中包含多重法益，这些法益的直接义务主体和责任主体是数据权利人。〔15〕参见申卫星：《数据确权之辩》，载《比较法研究》2023 年第3 期。

另外，这些数据在大多数情况下都是动态变化的，其内容是动态变化的，其所存储的物理媒介也是动态变化的，因此网络中的数据在内容上和边界上都是动态变化的。财产权制度是一套规范人的行为的信息，他人能够尊重某财产权的条件是他们能够清晰识别权利的客体以及理解财产权的内容。由于他人无法直接接触和读取数据，对数据直接赋权的制度就无法转变成行为人可以识别和理解的规范信息，通过数据赋权来促进数据交易和使用的目的也就无法实现。正如科斯所指出的，“市场交易不是物品交换那么简单，而是权利的买卖，而如果这些权利没有界定，物品或资产不能在市场成交”。〔16〕参见张五常：《经济解释（2014 年增订本）》，中信出版社2015 年版，第748 页。因此必须在数据和行为人之间找到一个信息媒介，能够将处于网络应用层的机器阅读的数据和作为行为信息的权利规范连接起来，被自然人理解，这就是笔者所主张的以网络平台代替数据作为数据权利客体的理由。

（二）将数据作为知识产权客体的困难

数据的存在形式类似于无形财产，且一些国家曾将数据汇编或者数据库作为版权保护的客体，〔17〕欧盟《数据库保护指令》（dIRECTIVE 96/9/EC OF THE EUROPEAN PARLIAMENT ANd OF THE COUNCIL of 11 March 1996 on the legal protection of databases）第1 条第2 项规定：“数据库是以某种系统或者方式组合在一起的作品、数据或者其他资料的集合，它们能够独立地以电子或者其他方式被接触。”《德国著作权法》第87 条a 项亦有类似规定。因此继续通过知识产权路径来保护数据是比较容易想到的方案。〔18〕参见吕炳斌：《个人信息权作为民事权利之证成：以知识产权为参照》，载《中国法学》2019 年第4 期；崔国斌：《大数据有限排他权的基础理论》，载《法学研究》2019 年第5 期。以数据汇编或者Cd-ROM为载体形式的数据，因为载体是有形的，数据内容是固定的，所以还是可以作为知识产权客体来保护的，尽管在识别侵权行为是否发生时已有一定的困难。〔19〕例如，在美国的Feist Publications, Inc.v.Rural Tel.Serv.Co., 499 U.S.340 （1991） 案中，原告在其电话簿数据中埋设了一些虚假数据，以此证明被告实施了对其数据的复制行为。然而，通过知识产权保护网络中的数据有着难以克服的困难。

首先，知识产权是一种法定财产权，需要向公众公示其权利客体的准确信息，否则他人无法自觉尊重相应的知识产权。因此，获得专利保护的技术方案的内容需要通过专利文件加以准确的表述、固定并全国性公示；获得注册商标专用权的标识需要有显著性和稳定的表达，并且公示，权利人不得对注册标识进行随意改动；获得版权保护的作品也是在完成后且表达出来时才能获得保护，有些国家的法律例如历史上的《美国版权法》第102 条（a）项和第408 条对作品还有固定和登记的要求。如果将数据作为知识产权客体来保护，那么如何将网络中处于网络应用层而非内容层的动态和分散的数据加以固定和公示，是无法解决的问题。

其次，如果通过知识产权来保护数据，那么只有使用人对知识产权客体的使用行为是公开的并能够被发现和识别，权利人才可能追究侵权人的责任。例如，商标侵权中的所谓“双相同”或者“相似”侵权判断标准，版权侵权判断中的作品实质性相同原则以及专利侵权判断中的包含全部技术特征原则，都需要自然人来发现、识别和判断这些侵权信息。当知识产权客体被不公开使用时，对其是否侵权加以辨别和禁止的成本太高了，因而往往以版权法中的个人使用是合理使用，以及专利法将非生产经营目的的个人制造与使用专利权客体的行为排除在专利侵权之外等制度安排，加以合法化。然而，对网络中数据的使用是在网络应用层通过应用程序进行的，数据所有人很难直接发现侵权人在市场上或者公开场合使用自己的数据，目前所发生的有关数据侵权的诉讼中，很少进行过所谓数据对比的举证过程，而是以被告是否存在未经允许进入原告的网络平台的行为来主张其构成不正当竞争。另外，网络中的数据是通过机器对信息代码化处理后自动产生的，并没有所谓的具有个人特征，数据一旦离开数据产生者的物理控制就很难识别其来源和归属了。因此采纳知识产权的路径来保护数据是很难走得通的，这会带来巨大的制度成本和对权利保护的不确定性，应该注意到，即使是对传统版权的保护，在今天的网络环境中也遇到了很大困难。〔20〕“复制非常昂贵，这种技术特征保护了作者的权利。但随着复制逐渐变得廉价便利，作者的权利受到了越来越大的威胁。科学技术不断发展，作者的版权不断削弱。”［美］劳伦斯•莱斯格：《代码2.0：网络空间中的法律》，李旭、沈伟伟译，清华大学出版社2009 年版，第172 页。

最后，知识产权客体是不具有独占性的信息性法益，与物权客体的根本区别造成了知识产权体系和物权体系的分离，〔21〕“现行民法典把所有权的概念仅仅局限于有体物上，物权的相关规定之所以不能类推适用于无形物权，是因为人们不能从事实上排除第三人对同一智力成果的使用。”［德］ M.雷炳德：《著作权法》（2004 年第13 版），张恩民译，法律出版社2005 年版，第74 页。知识产权主要是禁止他人使用某些信息的“禁”的权利。〔22〕参见郑成思：《知识产权法》（第二版），法律出版社2003 年版，第28-29 页。然而，信息不具有独占性和排他性，权利人的私力救济能力很小，主要依赖公力救济来保护知识产权，因此制度成本很高。知识产权制度需要权衡制度成本与收益之间的关系，对保护的客体都有一定的品质要求，如版权作品的独创性、商标的显著性和具有一定影响力的要求或者专利的实用性、新颖性和创造性要求等。如果将数据作为知识产权客体来保护，为了应对其公力救济的成本而需要设定保护门槛，那么是在数据的数量上还是在数据的市场价值上设定门槛？是否需要成立专门审查机构进行事先审查？如果像版权作品的独创性那样设定一个抽象的标准，然后由司法机关在相关案件中自由裁量，则这样的抽象标准是否能找得到？是否会对市场造成很大的不确定性？版权作品的独创性标准已经给版权制度造成了很大困难，被形容为版权法中的幽灵。〔23〕See Gervais, daniel J.& Feist Goes Global: A Comparative Analysis Of The Notion Of Originality in Copyright Law, 49 Journal of the Copyright Society of the U.S.A.949, 949 （2002）.另外，网络中的数据是动态和连续产生的，没有所谓的完成时间，也就无法确定保护期计算的起点。并且，数据产业的具体情形非常复杂，即使能够计算保护期的起点，也无法回答赋予多长的保护期。如有欧洲学者指出过通过知识产权保护数据的困难：“尽管数据权利还没有完全概念化，但很难想象其权利客体、范围和归属足够确定并被纳入知识产权的行列。就客体而言，如果权利被赋予机器运行过程产生的数据，它会保护哪些数据？是机器在一定时间范围内（如一小时、一分钟或一秒钟）产生的所有数据？或者是由有限的机器运行过程产生的所有数据（如地球检测卫星收集的所有数据）？”〔24〕［荷］ P.伯恩特•胡根霍尔茨：《知识产权体系下的数据财产权：契合还是错置?》，载［德］塞巴斯蒂安•络塞等编：《数据交易：法律•政策•工具》，曹博译，上海人民出版社2021 年版，第73 页。总之，将数据纳入知识产权体系加以保护会很困难。

（三）通过用益权保护数据的困难

有学者设计出包括数据经营权和数据财产权的结构复杂的数据权利体系，体现一种以私益结构为核心的、多层限制为包裹的复杂法律秩序构造。〔25〕参见龙卫球：《数据新型财产权构建及其体系研究》，载《政法论坛》2017 年第4 期；龙卫球：《再论企业数据保护的财产化权路径》，载《东方法学》2018 年第3 期。其中以“所有权+用益权”主张为代表，主张在数据上有多个权利主体存在，对网络用户赋权应该成为数据权利配置的起点，数据处理企业同样付出了大量的劳动和资金，然而，如果使数据处理企业享有数据所有权，则违背数据是由用户引发产生这一逻辑起点，也不利于构建共建共享的互联网，因此可借鉴“自物权—他物权”和“著作权—邻接权”的权利分割模式，在数据权利体系设计上根据不同主体对数据形成的贡献来源和程度的不同，设定数据原发者拥有数据所有权与数据处理者拥有数据用益权的二元权利结构，以实现用户与企业之间数据财产权益的均衡配置。〔26〕参见申卫星：《论数据用益权》，载《中国社会科学》2020 年第11 期。这类多主体和多权利的数据赋权学说，以下笔者统称为数据用益权主张。

数据用益权主张有如下缺陷。第一，这类学说将数据上权属的分配进行了复杂设计，但是仍然将数据直接作为权利客体，前面所讨论的问题和缺陷在这类主张上也都存在。第二，网络用户对其在网络平台中所产生的数据享有所有权的主张不符合技术事实，也与市场中的现实情形相冲突（详后）。第三，在数据上设计多主体多权利的主张在实践中很难落实。依照这些主张，数据用益权的产生是基于网络用户数据所有权的实现，但是网络用户的数据所有权在实践中会落空，因为网络用户很难对网络平台中的数据进行识别、跟踪和控制，这使得对数据所有权的私力救济和公力救济都无法实现。在用户对数据所有权无法落实的情况下，用益权也就没有了所有权根基，而依赖数据交易中心等中介商来试图解决这些问题只是转移和掩盖了矛盾，因为数据中介商没有能力和动机来解决问题，网络用户很难对中介商的“代理人背叛”问题加以认定和追责。因此这种复杂的权利设计是空中楼阁，导致权利人之间相互掣肘的“反公地悲剧”问题，增加了数据保护和利用的制度成本。

还有学者提出了混合性的数据权利保护措施，将数据分为非公开的数据、半公开的数据和公开数据，并分别通过商业秘密、数据库特殊权利以及不正当竞争法加以保护。〔27〕参见丁晓东：《论企业数据权益的法律保护——基于数据法律性质的分析》，载《法律科学》2020 年第2 期。这种解决方案造成了更多麻烦。其一，数据是否公开和如何公开是由数据权利人的商业模型决定的，会因为人、场景和时间不同而不断变化，对这种不确定状态的数据给予不同的法律待遇会造成巨大的制度成本，使各方莫衷一是。其二，数据因为处于不同的开放状态便有不同的法律待遇也很难有说服力，例如在民事法律中建筑物的开放程度并不影响它的所有权地位，同理，数据是否应该共享以及如何共享应在反垄断法语境中解决，而不应影响到数据初始赋权等基本问题。

（四）网络用户对网络平台中所产生的数据不应享有权利

有一些学者主张网络用户对于其在网络中产生的数据享有财产权或者个人数据自决权。〔28〕参见程啸：《论大数据时代的个人数据权利》，载《中国社会科学》2018 年第3 期；申卫星：《数据确权之辩》，载《比较法研究》2023年第3 期。这类主张的根本缺陷是将网络用户的信息权益与数据权益混为一谈，将网络用户对个人信息的权益直接延伸到数据层面。这类主张凭直觉认为这些数据是网络用户产生的，所以他们应该对数据享有权利，〔29〕“从数据的全生命周期来看，数据起源于用户的网络接入行为，对用户进行赋权应该成为数据权利配置的起点。”申卫星：《论数据用益权》，载《中国社会科学》2020 年第11 期。但这一直觉是错误的，产生数据的主体并不是网络用户而是运行网络平台的网络企业，网络用户的行为并不直接产生数据而只是产生了信息，数据的产生是通过计算机程序对网络用户通过交互界面所输入的信息进行代码化的记录、识别和处理的结果，网络用户在网络平台中产生数据是应用程序运行的结果，而应用程序是网络企业所控制和运行的。例如，特斯拉公司的电动汽车Model S 用户手册就表明，特斯拉公司可以将用户驾驶汽车中产生的数据用于一系列目的，并且不向车主披露记录的数据，除非它与非保修期内的维修服务有关——即使是在这种情形下也只是披露与维修有关的数据。〔30〕参见［德］ 露丝•贾纳尔：《谋求协议：数据获取和合同概念》，载［德］ 塞巴斯蒂安•络塞等编：《数据交易：法律•政策•工具》，曹博译，上海人民出版社2021 年版，第242 页。因此对网络用户的行为进行识别和判断并产生相应数据的主体应该是网络企业，运营该网络平台的网络企业对这些数据享有权利。网络用户可能对这些数据所承载的信息享有某些权利，例如人身性权利或者财产性权利，但是对含有这些信息的数据没有直接权利。这类似于我们在观看一场舞台演出时，表演者的表演通过声、光等媒介在我们的大脑中产生了相应的数据（记忆），显然这些记忆是我们自己产生的，表演者不可能对这些记忆主张任何权利（例如要求我们消除记忆）。表演者就类似于使用网络平台的网络用户，而产生记忆的主体类似于运营网络平台的网络企业。另外，根据《中华人民共和国个人信息保护法》（以下简称：《个人信息保护法》）第4 条的规定，当将数据中的个人信息内容去掉之后，个人便对这些数据没有了任何权利，这也是网络用户对个人信息而不是数据享有权利的立法佐证。例如微博用户在微博平台上发布信息，微博用户可能对这些信息内容享有版权，微博平台的运营者却对这些数据享有专有权利，这一观点已经在司法裁判中被多次认可。〔31〕例如，在北京微梦创科公司诉上海复娱文化公司数据抓取不正当竞争案中，法院认定是原告微梦公司而不是微博用户对微博数据享有专有权益。参见北京知识产权法院（2019）京73 民终2799 号民事判决书。又如，在汉涛公司诉百度关于数据抓取的不正当竞争纠纷案中，法院也持相同态度，参见上海知识产权法院（2016）沪73 民终242 号民事判决书。中国三大电信运营商宣布自2022 年12 月13 日0 时起同步删除“通信行程卡”数据，〔32〕《中国三大电信运营商同步删除“通信行程卡”数据》，https://baijiahao.baidu.com/s?id=1752076213710290614&wfr=spider&for=pc，2023 年9 月10 日访问。这是网络企业处理自己平台内的数据的明显例证，被收集和产生信息的网络用户对此没有任何权利诉求。正如笔者之前所讨论的，因为网络用户对网络平台内的数据没有财产性权利，所以网络企业可以依据自己的意愿来决定这些数据的保留时间，除非法律有明确的例外规定（如《互联网信息服务管理办法》第14 条第2 款规定的60 日）。对数据采纳多权利主体的复杂产权设计的主张在这些问题上都会遇到难题，因为根据这些主张，网络平台所有人不能自由处分网络平台中的数据，而需要网络用户的同意，但这种主张在实践中是行不通的，网络企业之间合作、分离或者兼并是经常发生的事情，不可能得到所有网络用户的同意，《个人信息保护法》第22 条也仅仅规定了通知义务。

至于所谓的网络用户对网络平台内数据的携带权问题，这里的携带权并不是针对数据的支配权，而是基于契约关系所产生的请求权，是网络用户是否可以依据协议将网络企业所控制的数据中承载的个人信息进行数据化并转移的问题。就如同在纸质档案馆中，访问者并没有权利将载有自己信息的纸质档案直接带走，因为访问者对该档案没有所有权，而访问者能否复制该档案中自己的信息部分，是其与档案馆之间的服务合同问题。

二、大数据技术时代网络平台成为数据的载体

（一）网络平台的特征与财产权客体属性

1.网络平台的技术与逻辑特征

网络平台是网络企业在网络应用层通过应用程序所形成和控制的网络空间。根据TCP/IP 协议模型，互联网络可以分为物理层、传输层、应用层和内容层四个逻辑层次，且各层之间是透明的，所以应用层和内容层内功能的实现不需要顾及物理层和传输层。〔33〕应用层是网络应用程序及它们的应用层协议存留的地方，应用层协议分布在多个端系统上，而一个端系统中的应用程序使用协议与另一个端系统中的应用程序交换信息分组。参见［美］赞姆斯• F.库罗斯、基思•W.罗斯：《计算机网络：自顶向下方法》，陈鸣译，机械工业出版社2021 年版，第34 页。“分组交换（packet switch）与数据封装，尤其是通过TCP/IP 协议，表明信息可以通过自我封闭的路径进行传输，而与底层的物理网络、设备或者应用相独立。”〔34〕Carsten Ullrich, Unlawful Content Online: Towards a New Regulatory Framework for Online Platform, Nomos, 2021, p.64.在网络物理层之间传递的是光能或者电能，这些光能或者电能在网络传输层的表现形式是被代码控制而传输的数据包，这些数据包在网络应用层的表现就是网络平台中的数据，在网络内容层这些数据是以信息形式表现的。网络中物理层、应用层和内容层的逻辑关系如表1 所示，在网络中，物理层、应用层和内容层中的权益是分离的，物理层是针对硬件的所有权，应用层是针对网络平台的专有权，内容层则是针对信息的相关权利，例如人格权、个人信息权和版权。

表1 网络中物理层、应用层和内容层的逻辑关系

在网络技术上，某一个网络平台并不局限在某一个或者几个具体的服务器或者网络终端之上，只要有新的服务器或者个人终端下载该网络平台的应用程序而加入该平台，网络平台就扩展到了这些硬件之上。这些服务器或者网络终端可以属于不同的所有人，但通过应用程序所形成的网络平台属于控制、管理和运行该应用程序的网络企业。例如用户手机的所有权是属于用户的，但当手机下载并运行某应用程序时，该手机的部分存储空间便被该应用程序所专有，其他应用程序不能访问。〔35〕Android 系统为在其上运行的应用程序预留空间，Android 10 及更高版本的系统会对内部存储中存放的应用程序专属文件进行加密，这使得这个位置非常适合存储只有本应用程序才能访问的敏感数据，应用程序无法访问属于其他应用程序的应用专属目录。Google 提出了分区存储（Scoped Storage）机制，也称沙盒存储机制，可以有效防止应用程序读取其他应用程序的数据，每个应用程序都有自己的存储空间，应用程序不能跳过自己的目录而去访问其他应用程序的目录。因此，尽管手机的所有权属于网络用户，但被用户手机中的应用程序所控制的存储空间中的数据是网络企业的。例如亚马逊公司曾经在没有任何通知的情况下就删除了挪威人林•尼加德的亚马逊电子阅读器账户中她在亚马逊公司购买的数十本电子书，理由是“滥用（他们的）许可政策”。这些电子书虽然存储在尼加德的电子阅读器上，但是也在亚马逊公司的网络平台中，亚马逊公司有删除网络用户的电子书的技术能力和法律授权。〔36〕参见［美］亚伦•普赞诺斯基、杰森•舒尔茨：《所有权的终结：数字时代的财产保护》，赵精武译，北京大学出版社2022年版，第4-5页。网络中物理设施所有权与网络平台专有权的分离现象被学者称为网络社会中所有权的终结。〔37〕参见［美］亚伦•普赞诺斯基、杰森•舒尔茨：《所有权的终结：数字时代的财产保护》，赵精武译，北京大学出版社2022年版，第282页。

2.网络平台已经具有财产权客体的特征

在互联网络刚刚兴起的1996 年，美国学者莱斯格便准确预测到网络空间的结构会越来越复杂，将在不同的网络空间之间形成边界（boundaries），即将网络空间区间化（zoning）的趋势，因为“商业是构建在财产之上，而财产依赖于边界（boundaries）”。〔38〕Lawrence Lessig, The Zones of Cyberspace, 48 Stanford Law Review 1403, 1410 （1996）.正如莱斯格所预测的，网络平台越来越具有专有性和排他性的财产权客体特征，在本世纪初，美国司法裁判就已开始从不动产所有权的视角来理解网站与网络用户之间协议的效力问题。根据莱姆利的介绍，“事实是几乎所有执行浏览包装协议（browsewrap）的与网络相关的案件都接受了‘财产权/侵入场景’（property/trespass context）理论，将不动产的规则适用到了合同法领域。在物理世界中，我设立的‘禁止进入’的告示并不需要第三人同意：我只需要告知他们我要实现法律已经赋予我对财产享有的权利即可。所以，可能不令人惊讶的是，法院在这种情景中迈出了一小步，即对于合同法也同样适用。如果我已经告诉你对我的网站能做什么或者不能做什么，而你却背道而驰，那么你一定是违反了允许你登录该网站的协议”。〔39〕Lemley, Mark A., Terms of Use, 91 Minnesota Law Review 459, 470 （2006）.将网站上的协议视为许可证的做法表明一些美国法院已将网站视为网络企业的财产权客体。“将许可证作为财产法的方法比将其视为合同的方法更可取。这样做取消了本就不存在的承诺，使许可人更容易维护自己的意愿，也可以避免因坚持将终端用户许可协议视为可执行合同而给合同法带来的损害。”〔40〕［美］亚伦•普赞诺斯基、杰森•舒尔茨：《所有权的终结：数字时代的财产保护》，赵精武译，北京大学出版社2022 年版，第106 页。许可证具有法律上的约束力的前提是发布许可证的一方具有财产权，“假设你在一个公园里张贴了一个‘禁止闯入’的标志，它就没有法律效力，因为公园首先就不是你的财产。如果你不拥有它，你就不能为它颁发许可证”。〔41〕［美］亚伦•普赞诺斯基、杰森•舒尔茨：《所有权的终结：数字时代的财产保护》，赵精武译，北京大学出版社2022 年版，第107 页。网络平台被视为网络企业的财产权客体的趋势，对于笔者所主张的通过网络平台专有权来保护数据的设想是一种理论与实践上的支持。

（二）通过网络平台专有权保护数据的理由

1.大数据技术中网络平台是数据的载体

计算机时代数据的载体主要是电脑硬盘或者Cd-ROM，这些载体上所存在的数据库是稳定的、固定的、数量有限和可表达的，因此可以将这些有形载体中的数据集合直接作为权利客体保护，例如欧盟《数据库保护指令》便是这种立法例。然而，在web2.0 时期之后的网络与大数据技术时代，数据产生、存储和表现形式发生了很大变化。首先，数据在内容上从稳定和固定形式变成了随时产生和不断变化的形式，例如导航平台中的数据、智能汽车中的数据、电子商务平台中的数据等都是随时产生和变化的。数据即服务，数据提供已不是一份份静止的数据库而是实时服务。〔42〕“这种数据库云平台拥有关系型数据库产品和服务，并将关系模型的好处带到分布式架构上，开发人员使用它能够方便地在云中运行应用，同时自动向上或向下扩展，同时还能保证出现故障或数据库结构变更时不影响可用性。”马献章：《数据库云平台理论与实践》，清华大学出版社2016 年版，第37 页。这些实时产生和变化的数据不可能存储于固定和静止的硬盘或者Cd-ROM 中，而是处于被应用程序控制的网络平台中。其次，为了数据安全，数据也不会存储在一个服务器或硬盘上，而是会故意“打散”，通过对数据分片，每个分片以多个副本的形式分散存储在不同的服务器上。〔43〕参见王良明：《云计算通俗讲义》（第3 版），电子工业出版社2015 年版，第216 页。在5G 时代，大量物联网产生的数据可能不再集中于dCI 而是就近存储和计算，此即所谓的“边缘计算+存储”模式。〔44〕参见郭亮等：《数据中心热点技术剖析》，中国电信出版集团2019 年版，第296 页。这些事例都说明数据存储的硬件是变化的、不固定的，但它们都被应用程序所形成的网络平台所控制。数据存储硬件的权利主体和控制数据的网络平台的主体是不同的，基于这一原因，在涉及云服务中的平台内容侵犯版权的案件中，我国法院判定被告云服务商不应该对这些数据中的侵权内容承担责任。〔45〕阿里云计算有限公司与北京乐动卓越科技有限公司侵害作品信息网络传播权纠纷上诉案，参见北京知识产权法院（2017）京73 民终1194 号民事判决书。

2.数据因为其所存在的网络平台而可以被识别和公示

在web2.0 之后，由于在网络中的物理层和内容层之间逐渐被更加复杂和组织化的应用层所隔离，网络平台中数据的产生和存储越来越分散和复杂，成为很难被外部人所理解的黑箱，探究网络平台的内部结构既不应该也不现实。

为了避免对数据无法直接识别所造成的确权和维权困难，可以通过对数据载体即网络平台的识别来代替对数据的识别，这在一系列有关数据争议所引发的不正当竞争案件中已经有所体现。法院在司法裁判中都不是通过举证证明原告、被告数据的相同或者相似性来确定是否存在侵权行为，而是通过被告未经许可对原告的网络平台侵入行为来判断是否存在侵权行为。〔46〕深圳市谷米科技有限公司与武汉元光科技有限公司、邵凌霜等不正当竞争纠纷，参见广东省深圳市中级人民法院（2017）粤03 民初822 号民事判决书；北京微梦创科网络技术有限公司诉上海复娱文化传播股份有限公司数据抓取不正当竞争案，参见北京知识产权法院（2019）京73 民终2799 号民事判决书；深圳市腾讯计算机系统有限公司、腾讯科技（深圳）有限公司与斯氏（杭州）新媒体科技有限公司不正当竞争纠纷案，参见杭州铁路运输法院（2021）浙 8601 民初 309 号民事判决书。他人获得和使用数据必然要使用相关应用程序，例如网络爬虫软件或者各种黑客软件等，因此对数据的占有和公示是通过向这些数据抓取程序公示网络平台的存在和访问权限来实现的。例如，robots 协议就可以作为对数据权属宣示的技术协议，通过robots 协议的黑白名单制度，向来访问的网络爬虫表明该网络平台中的数据是否向来访问者开放。〔47〕Robots 协议的作用在于标示该网站是否准许、准许哪些搜索引擎爬虫机器人访问，法院认为Robots 协议应当被认定为搜索引擎行业内公认的、应当被遵守的商业道德，被告不遵守Robots 协议，其行为明显不当，构成不正当竞争。百度公司诉360 公司不正当竞争纠纷案，参见北京市第一中级人民法院（2013）一中民初字第2668 号民事判决书；北京微梦创科网络技术有限公司与北京字节跳动科技有限公司不正当竞争纠纷上诉案，参见北京市高级人民法院（2021）京民终281 号民事判决书；腾讯公司诉斯氏公司数据爬取不正当竞争案，参见杭州铁路运输法院（2021）浙8601 民初309 号民事判决书。

数据除了具有财产利益之外往往还有公共利益和国家安全利益，《中华人民共和国数据安全法》（以下简称：《数据安全法》）第1 条在立法目的中即表明了数据的多重法益特征，对于不同性质的数据需要加以识别、分类并区别保护。但如何公示不同性质的数据是一个难题，而网络平台可以解决数据公示和保密之间的难题。具体来说，网络平台内数据性质可以由两个特殊性因素来表示。一是网络平台所有人身份的特殊性，身份特殊性决定了网络平台内数据的特殊性，因而需要得到特别的保护。例如金融企业、国防机构以及医疗单位等主体的网络平台便视为具有特殊性的网络平台，这些网络平台所有人依据《中华人民共和国网络安全法》（以下简称：《网络安全法》）第31 条承担对数据的特别保护义务，其他义务主体依据该法第75 条也要承担相应的法律责任。二是对网络平台保护措施的特殊性。网络平台内数据的重要性或者敏感性应该反映在对网络平台的技术保护措施上，这类似于翻越一个半米高的矮墙和一个装有电网的高墙来实施违法行为，违法程度不同。在司法实践中，《中华人民共和国刑法》（以下简称：《刑法》）第285 条将非法获取计算机信息系统数据的行为一并归属于妨害公共管理秩序类的犯罪行为，如果通过网络平台以及运营该网络平台的主体公示了其中数据的不同法益性质，那么对于非法获取数据的行为便可以根据法益不同而分别定罪。

3.通过对网络平台的控制实现对数据控制目的

对财产的实际控制往往是产生财产权利的物质基础，例如物权的初始产生是先占，即对实际控制状态的认可，否则不适当的赋权就会引起纷争而不是定纷止争。类似的道理，向数据的实际控制者赋权是最有效率和符合市场事实的法律选择，〔48〕参见姚佳：《企业数据权益：控制、排他性与可转让性》，载《法学评论》2023 年第4 期。而网络企业是通过网络平台来实现对其中数据的控制的。对数据能够实际控制是实现私力救济的前提条件，以避免像知识产权那样主要依赖公力救济所带来的诸多不便。通过对网络平台的技术控制便可以控制其中的数据，网络平台的可控制性是通过代码技术的访问控制来实现的，〔49〕“大多数系统都使用某种形式的‘访问控制’来确定谁可以做什么。最简单的访问控制提供了读、写和执行代码能力的控制。”［美］P.W.辛格、艾伦•弗里德曼：《网络安全：输不起的互联网战争》，中国信息通信研究院译，中国工信出版集团2015 年版，第40 页。例如通过IP 地址控制可以将来自某些IP 的网络访问排除在外，〔50〕“通过接收方IP 地址、发送方IP 地址、接收方端口号、发送方端口号、TCP 控制位这些条件，我们可以判断出通信的起点和终点、应用程序种类，以及访问的方向。通过对这些条件进行组合，我们就可以对包进行筛选。这里也可以添加多个规则，直到能够将允许的访问和不允许的访问完全区分开为止。这样，我们就可以通过设置规则，让允许访问的包通过防火墙，其他的包则不能通过防火墙。”［日］户根勤：《网络是怎样连接的》，周自恒译，人民邮电出版社2017 年版，第261 页。通过身份管理可以决定是否允许访问者进入网络平台获得相关数据，通过网络安全措施例如防火墙可以将恶意访问排除在外。〔51〕防火墙的作用类似于海关，它只允许发往指定服务器的指定应用程序的网络包通过，而屏蔽其他不允许通过的网络包。参见［日］户根勤：《网络是怎样连接的》，周自恒译，人民邮电出版社2017 年版，第253 页。

在传统法律中，为了保护信件或者电话通话中的信息内容，法律并不是直接将信件内容或者某一电话通话内容作为权利客体来保护，尽管这些信息内容中的隐私或者通信秘密需要保护，但保护的直接客体是物理形式的信件和通信信号，只要行为人故意盗拆他人信件或窃听他人电话通话，便已构成违法行为，而无须判断他们所阅读或者窃听的信息是不是某种隐私或秘密。例如在美国直到1872 年对抢劫邮件行为都可以判处死刑，〔52〕参见［美］丹•席勒：《信息资本主义的兴起与扩张：网络与尼克松时代》，翟秀凤译，北京大学出版社2018 年版，第20 页。《刑法》第265 条对盗接他人通信线路的犯罪行为的认定不以侵害通信线路中的具体信息内容为条件。同理，网络平台内数据的重要性或敏感性应反映在对网络平台技术保护措施上，司法实践中，有些破坏技术保护措施而获得数据的行为已构成刑事犯罪。〔53〕上海晟品使用伪造device-id 绕过服务器的身份校验、使用伪造UA 及IP 绕过服务器访问频率限制等破解防抓取措施对今日头条非法抓取视频数据的行为，成为其构成犯罪的重要证据。参见上海晟品网络科技有限公司等非法获取计算机信息系统数据案，参见北京市海淀区人民法院（2017）京0108 刑初2384 号刑事判决书。

三、网络平台专有权的主体、性质与权利内容

（一）网络平台专有权人是控制和运营网络平台的网络企业

网络企业对网络平台中的数据享有专有权的理由主要有两点，一是这些数据是网络企业通过运营网络平台的应用程序所产生的，二是网络企业实际控制着这些数据，因此这些数据是网络企业经营、劳动和投资的结果，网络企业也就自然应该对其平台中的数据享有权利。将网络企业作为网络平台专有权的主体符合人的认知规律、市场经验以及目前的司法裁决态度，也与网络企业对数据的控制、管理、运营和收益的实际身份一致，避免了权利赋予不当所造成的市场关系扭曲和权利运行落空的后果。有一种直觉认为，是网络用户在网络平台中产生了这些数据，因此应该对这些数据享有权利，有学者也据此构建了网络用户和网络企业之间的“所有权+用益权”权利模式。〔54〕参见申卫星：《论数据用益权》，载《中国社会科学》2020 年第11 期。然而，正如笔者已经在本文相关部分中讨论过的，这种直觉是不准确的，因为网络用户作为自然人，其行为只能产生信息而无法直接产生数据，网络用户在网络平台中所形成的数据实际上是网络平台的应用程序产生的，是该程序对网络用户的行为信息加以数据化的结果。例如网络用户利用微信中的拍摄功能拍摄照片，该照片的数据是微信APP 所产生的，并存储在其网络平台中，因此是腾讯公司而不是网络用户对这一照片的数据享有权利，网络用户对该数据中的信息即照片内容可能享有相关信息性权利，例如人格权或者版权。从技术上也可以发现，承载该照片的数据是否可以被分享、被传播以及被使用是由微信的技术规范和行为规章来决定的，网络用户并没有决定权，因为腾讯公司实际控制着该数据的容量、存在时间以及是否可以转发等。

（二）网络平台专有权的性质与内容

网络平台专有权应该是一种财产性的支配权，权利内容包括对网络平台内数据的控制、使用、收益和处分的权利。

1.对网络平台的控制权

对网络平台的控制权表现为网络企业通过代码技术对网络平台进行标识、准入控制以及对内部网络用户行为的代码规范能力。根据洛克的观点，雇主的产权便产生了自主权（Employers enjoy sovereignty through property rights），〔55〕Thomas H.Koenig & Michael L.Rustad, Global Information Technology: Ethics and the Law, West Academic Publishing, 2018.p.242.网络平台如同房屋，房屋所有权人通过对房屋的控制便实现了对其中人的行为的控制。同样，网络企业由于实际控制着网络平台和其中的数据，且网络平台已被视为网络企业的财产权客体，因此不论是从技术上还是从法律上看，网络企业对网络平台和其中的数据都享有控制权，它可以决定数据被接触和使用的条件。利用技术手段破解或者避开网络平台所有人所设置的技术保护措施进入网络平台获取内部数据的行为构成对网络平台专有权的侵犯，由于还没有明确的财产权来保护，目前我国司法实践中往往依据反不正当竞争法来裁判这种行为的违法性。〔56〕例如，酷米客公司诉车来了公司破坏加密措施、不正当爬取APP 数据案，参见广东省深圳市中级人民法院（2017）粤03 民初822 号民事判决书；大众点评公司诉百度公司抓取用户点评信息案，参见北京市第一中级人民法院（2011）一中民终字第7512 号民事判决书；百度公司诉360 公司违反robots 协议案，参见北京市第一中级人民法院（2013）一中民初字第2668 号民事判决书；北京网聘咨询有限公司与魔方网聘（北京）科技有限公司不正当竞争纠纷案，参见北京知识产权法院（2021）京73 民终1092 号民事判决书。

促进数据共享是一项重要数据产业政策，一种担心认为将数据财产权赋予企业会损害这一政策。然而，这种担心是多余的，因为网络平台内的数据对外开放和共享程度是由其商业模式决定的，如果商业模式需要，网络企业是愿意共享数据的，相反，如果与它们的商业模式相矛盾，强迫数据共享也是无法实现的。例如，商场的排他性相对较弱，私人住宅则有严格的排他性，但是它们在所有权上没有区别。同理，对网络平台的控制权并不会损害数据共享政策，相反可以消除“公地悲剧”而促进数据高质量和高效率的共享。

2.网络平台专有权中的使用和收益权

网络平台专有权中的使用和收益权是指网络平台所有人准许他人使用网络平台中的数据并获得收益的权利。实践中，在网络时代，对数据的使用在绝大多数情况下并不是将数据通过某种有形载体例如Cd-ROM 交付给使用方，或者通过某个中介平台来转移数据，而是授权使用方登录其网络平台的方式来接触、使用或者转移其中的数据。〔57〕网络用户通过流媒体形式获得内容而不是将数据下载到自己的终端中已经是版权领域的主要消费方式，2016 年在美国，用户流媒体付费形式获得内容的收益已经是购买数字下载的收益的三倍。See Aaron Perzanowski & Jason Schultz, The End of Ownership:Personal Property in the digital Economy, The MIT Press, 2016, p48.网络平台所有人通过对使用者的身份识别和认证来决定他们使用数据的权限和方式，有些用户只能在网络平台内使用数据获得相应的结果，但是不能转移数据，例如有很多部门在使用公安系统的身份证数据，但是大都是以授权登录身份证系统的方式来使用，而不是将身份证数据转移出去。在特殊情况下，有些使用方需要将数据转移到自己的网络平台使用，显然对于这种使用方式，网络平台所有人对后者要有更高的信任要求，包括身份、使用目的以及对数据中的其他法益能够给予足够保护的信义义务等。〔58〕参见吴伟光：《平台组织内网络企业对个人信息保护的信义义务》，载《中国法学》2021 年第6 期。目前基于抽象意义上的数据进行赋权和交易的理论和制度设计在实践中都遇到了很大障碍，这些学者设想数据会通过某种载体在中介平台上进行公示、竞价和交易，但是现实中几乎没有优质的和重要的数据经过这种途径进行交易，对此已有学者给予揭示。〔59〕参见周汉华：《数据确权的误区》，载《法学研究》2023 年第2 期。因为在现实中，对于数据的交易和利用主要是通过数据提供方和数据使用方的网络平台直接对接来实现的，在市场关系非常透明的情况下，各方都清楚知道自己所需要的数据是在哪一个网络企业所控制的网络平台之中，只要对方给予了授权接口，就可以接触和利用对方网络平台中的数据，而掌握数据的网络企业便是基于网络平台专有权来获得与对方竞价的资格。

3.对网络平台内数据的处分权

网络企业对其平台内数据的自由处理包括存储、转移、备份、清洗、脱敏以及销毁等，网络企业可以对网络平台进行升级、改造、转移或者关闭，可以将数据从一个网络平台转移到其他网络平台中。网络企业也有销毁其网络平台中的数据的权利，例如当公司关闭或者业务转型不再需要这些数据时，网络平台所有人可以对这些数据进行销毁，关闭其平台，禁止他人访问等。

网络企业在处分其平台内的数据时一般不受数据所包含的网络用户的信息权益的直接约束。例如，经营电子商务平台的网络企业销毁了其平台中的数据，网络用户的购物记录或者照片就一同被销毁了，这时运营电子商务平台的网络企业可能要承担违约责任，但根据信息权益与数据权益相独立原则，该网络企业一般不应该承担对数据中信息权益的侵权责任。又如，版权人将其摄影作品存储在某云服务商的云盘中，该云服务商为了公司架构调整，对数据存储进行重新安排，这一过程必然有数据的复制或者转移行为发生，但版权人没有权利加以禁止。如果版权人想要将其摄影作品转移给第三方，他希望直接通过云服务商的网络平台将这些数据转移出去，则云服务商有权拒绝，因为这些数据所有权是云服务商的。这些都表明在商业实践中，有关数据是被网络企业所控制的，因此它们有处分权。

4.对侵害网络平台专有权的私力救济

因为网络平台专有权的客体是实际存在的网络平台而不是抽象的数据或者数据集合，所以私力救济而非公力救济是网络平台专有权的主要救济措施。网络平台所有人通过私力救济来保护平台中的数据可以极大降低制度成本，避免依赖第三方救济时所导致的“代理人背叛”等问题。〔60〕如莱斯格所指出的，“我们的财产受到法律、社会规范、市场以及现实空间的‘代码’的保护……从政府的角度来看，当后面三种保护方式效果不佳时，就唯有求助于法律。从公民的角度来看，当法律和社会规范提供的保护不够时，就需要现实空间的‘代码’（如车锁）来参与保护”。参见［美］劳伦斯•莱斯格：《代码2.0：网络空间中的法律》，李旭、沈伟伟译，清华大学出版社2009 年版，第187 页。

物权的私力救济主要依赖权利人对物的控制来实现，与此相似，网络企业的私力救济主要依赖代码技术对网络平台的保护来实现。不同的网络平台的排他性要求不同，对用户的身份识别有不同的要求。然而，总体来看，网络平台内数据的价值越大，功能越强，安全性要求也越高，它的排他性也越强，对网络用户的身份认证要求也越高。网络可以被划分为组织内部的安全区、隔离区和不可信任区（互联网），并且可以在边界防火墙设备上配置特定的规则，规定不同区域之间允许或者禁止哪种类型的网络流量通过，例如，NAC（网络准入控制）是一种边界安全技术，其目的是在终端设备访问敏感网络时对其进行强认证。〔61〕参见［美］埃文•吉尔曼、道格•巴斯：《零信任网络：在不可信网络中构建安全系统》，中国人民邮电出版社2019 年版，第8-16 页。

当网络企业的私力救济无法保护其权利时，权利人再通过行政与司法途径寻求公力救济，这对应着相应民事侵权责任以及当侵权情节严重时依据《网络安全法》《数据安全法》和《刑法》等相关法律所产生的行政责任或者刑事责任。这形成了对数据法益保护的从权利设定、私力救济到公力救济的整个流程，与我国目前已经颁布实施的相关法律有很好的匹配性。

四、对网络平台专有权的限制

对网络平台专有权的限制有两种，一是一般性限制，二是特殊性限制。对网络平台专有权的一般性限制是指像权利不得滥用原则以及反垄断法等对财产权使用的这些限制也当然适用于网络平台专有权，网络平台专有权人在控制、使用、收益和处分其网络平台中的数据时不能滥用其权利，也不能违反反垄断法。对网络平台专有权的特殊性限制是指由于数据上存在着多重法益，出于对其他法益保护的目的需要对网络平台专有权进行限制，主要的法律依据是网络安全法、数据安全法、个人信息保护法和知识产权法等，可分为公共利益的限制以及民事权益的限制两种。

（一）数据中的公共利益对网络平台专有权的限制

数据中可能包含着国家安全利益和公共利益，例如个人的dNA 数据可能包含着个人隐私利益，但是几百万公民的dNA 数据便包含很大的国家安全利益。网络平台专有权人在占有、使用、收益和处分这些数据时需要受到国家安全利益的限制，网络平台专有权人在处分数据时有义务尊重针对数据的强制性法律，例如《数据安全法》第25 条和第26 条禁止将数据出口，将这一条款落实的方式便是禁止将数据从属于中国企业的网络平台中转移到属于外国企业的网络平台中。以美国“CLOUd法案”为代表的关于数据处分导致不同国家之间的司法冲突回应之道便是一个典型例子，尽管数据存储于网络企业自己的网络平台之中，但是当网络企业所在国家法律禁止将该法域内的数据转移到法域之外的其他网络平台或者硬件上时，该网络企业对自己数据的跨境处分的权利便受到了限制。《网络安全法》第37 条规定了关键信息基础设施运营中所收集和产生的个人信息和重要数据的存储必须在我国境内的要求，对向境外转移数据有特殊限制。这一问题也涉及网络企业的网络平台是否需要为政府相关部门留有“后门”，以便为了国家安全利益可以接触到这些数据的问题，〔62〕例如，1993 年美国政府推出了加密芯片“剪刀芯片”计划，将网络加密系统列为工业标准，这意味着美国安全局将掌握互联网的所有密钥。参见［英］杰米•巴特利特：《暗网》，刘丹丹译，北京时代华文书局2018 版，第90 页。这反映在应该对网络平台采取何种加密技术的问题，涉及强加密制度（strong encryption systems）或者密钥恢复制度（key recovery systems），〔63〕强加密制度是指文件的加密技术和过程完全由个人或独立的团体来决定和确定而没有第三方介入。这种加密方式对于当事人是最安全的，但引起政府方面的焦虑。密钥恢复制度或者钥匙保管制度（key escrow systems）要求将私人密匙或者有关信息储存在作为受托第三方政府机关或者一个独立的机构中。这些机构在得到法院的强制令状后有义务将密匙交给法律执行机关。参见［美］玛丽莲•格林斯坦、托德•M.法因曼：《电子商务——安全、风险管理与控制（英文版）》，机械工业出版社2000 年版，第228-256 页。甚至反映在是否采购外国IT 公司的技术设备问题上。不同国家有不同的安全观，在这一问题上会有不同的政策选择。〔64〕参见［英］约翰•帕克：《全民监控：大数据时代的安全与隐私困境》，关立深译，金城出版社2015 年版，第10-44 页。

（二）信息中的民事权益对网络平台专有权的限制

由于数据是信息的一种载体，这些信息中可能存在着其他人的民事权益，主要包括隐私、名誉和个人信息权益，以及版权、商业秘密等财产性权益。网络企业在控制、使用、收益和处分其数据时应该依法保护这些信息中的民事权益不受侵犯和损害。关于网络企业对网络平台内的网络用户的个人信息保护问题，笔者曾主张网络企业应该承担相应的信义义务，〔65〕参见吴伟光：《平台组织内网络企业对个人信息保护的信义义务》，载《中国法学》2021 年第6 期。根据信义义务，网络企业在使用和处分网络平台中的数据时，应该对网络用户的个人信息保护承担忠诚与勤勉的义务。根据媒体的相关报道，侵犯个人信息权利的最大群体往往是这些网络平台内的工作人员，〔66〕《个人信息泄露，公安部抓获行业“内鬼”2300 余名》，https://baijiahao.baidu.com/s?id=1773808723912901494&wfr=spider&for=pc，2023 年9 月10 日访问。对此，经营网络平台的网络企业应该首先承担相应的法律责任，因为他们违反了对网络用户个人信息保护的信义义务。

网络技术中，版权的载体已经从有体物转变为数据，因此数据中经常包含有大量的版权权益，作为信息产权的版权也是对网络企业的数据权益的主要限制之一。一般情形下，网络企业行使数据权益不得侵犯版权权益。但也有一些例外情形，例如，当网络企业销毁其网络平台中的数据时是否可以将他人的版权作品同时销毁？这类似于物权与版权的关系问题，由于对物的所有权处于权利架构的底层，而对信息的权利是权利架构的上层，底层的权利往往具有优先性，因为物的所有人实际控制着物本身，版权人很难对其行使权利。所有权的优先性在版权法中的表现是，当作品载体的所有人将载体损坏时，载体之上的版权人一般无法向其主张版权中的保护作品完整权。〔67〕司法实践中，建筑物所有人拆毁建筑物不被认为是对建筑物上他人作品的侵害。蔡迪安等与湖北晴川饭店有限公司等著作权侵权纠纷上诉案，参见湖北省高级人民法院〔2003〕鄂民三终字第18 号民事判决书。同理，网络企业对平台内的数据权益具有优先性，销毁数据时如果一并销毁了网络用户的作品（例如照片），也不应该构成对网络用户版权的侵害，但网络企业可能会承担违约责任。关于网络平台专有权的限制问题，由于不是本文的重点，并且受到篇幅限制，这里笔者不再赘述。

五、结 语

目前所讨论的数据赋权问题的技术背景是网络与大数据技术，而不是计算机与Cd-ROM 为载体的小数据时代，因此对大数据技术中的数据状态有准确和清晰的认识是解决数据权利保护问题的前提。国内既有的学术研究往往忽视这一技术背景，仅从抽象意义上讨论数据的权利保护问题，从而使得这些研究脱离技术实际，在产业实践中无法落地实施。

网络中的数据是计算机所读取和处理的标的，自然人只能读取和理解经过应用程序处理之后所产生的信息，而财产权制度本质上是为自然人或者法人提供行为信息，将数据直接作为财产权标的将使得权利客体的内容和边界等这些重要信息无法传递给市场相关主体，这种财产权设计是无法实现的。因此，将数据直接作为权利客体的数据所有权主张、对数据予以知识产权保护主张、对数据采纳用益权的主张以及网络用户对数据享有原始权利的主张都有无法克服的缺陷，不能解决对数据初始赋权的问题。应当将承载数据的网络平台作为权利的直接客体，网络企业对网络平台享有专有权，网络平台专有权的权利内容包括对网络平台和网络平台内数据的控制、使用、收益和处分的权利。数据所承载的信息中包含的国家安全利益、公共利益和民事主体的私权法益应该属于不同的法益主体，这些法益对网络企业利用数据有相应的限制。以网络平台作为数据权利保护的直接客体使得个人信息保护法、网络安全法和数据安全法等相关法律有机地联系在一起，形成对数据保护和使用的切实可行和逻辑自洽的法律体系。