【编者按】2024年政府工作报告在部署新一年政府工作任务时，第一条就是“大力推进现代化产业体系建设、加快发展新质生产力”，而“深入推进数字经济创新发展”，是实现发展新质生产力的主要抓手。

中国数字经济创新的焦点问题之一，就是如何做好数据治理，以确保数字经济产业的健康有序发展。《互联网评论》特约专家、华东政法大学法律学院副教授韩旭至认为，整体而言，我国数据基础制度建设呈现出爆发式增长的趋势，数据治理的中国模式已经初步形成。

《互联网法律评论》获授权，转载特约专家韩旭至的一篇长文《数据治理年度观察报告（2023）》。该文分为四部分，以2023年度为观察周期，分别阐述数据基础制度改革进程、公共数据治理的焦点转换、企业数据确权的初步尝试、个人信息保护的实践拓展。3月22日，刊发了《数据治理年度观察（上）| 基础制度改革与公共数据利用》，今日刊发下篇。

本文原载于《数字法学评论》第2辑（2024年第1期），为方便读者阅读，《互联网法律评论》分两期刊发，今日刊发下篇。

三、从资源到资产：企业数据确权的初步尝试

数据要素价值被认为存在“资源化—资产化—资本化”的演进形态。随着国家数据入表的政策出台以及各地数据权益登记的实践，数据有望实现从资源到资产的跨越，数据权利的主体与内容边界也有望在其中得以明确。然而，这些措施尚未能直接实现数据确权，其实效亦有待实践检验。

“数据二十条”提出，“探索数据资产入表新模式”。对此，2023年8月1日，财政部《企业数据资源相关会计处理暂行规定》迈出了数据要素入表的第一步。该规定指出，“企业使用的数据资源，符合《企业会计准则第6号——无形资产》规定的定义和确认条件的，应当确认为无形资产……企业日常活动中持有、最终目的用于出售的数据资源，符合《企业会计准则第1号——存货》规定的定义和确认条件的，应当确认为存货。”2023年12月31日，财政部印发《关于加强数据资产管理的指导意见》（该规定2024年1月11日在财政部官网发布）提出，坚持确保安全与合规利用相结合、坚持权利分置与赋能增值相结合、坚持分类分级与平等保护相结合、坚持有效市场与有为政府相结合、坚持创新方式与试点先行相结合的基本原则。针对数据产权问题，该指导意见表示，“保护各类主体在依法收集、生成、存储、管理数据资产过程中的相关权益”；“落实数据资源持有权、数据加工使用权和数据产品经营权权利分置要求，加快构建分类科学的数据资产产权体系”。

通过数据要素入表的实践，数据要素实现了从资源到资产的升级。2023年9月8日，在财政部指导下，中国资产评估协会印发《数据资产评估指导意见》。该指导意见第2条对数据资产进行了定义指出，“数据资产，是指特定主体合法拥有或者控制的，能进行货币计量的，且能带来直接或者间接经济利益的数据资源”。此外，该指导意见对数据资产的评估对象、操作要求、评估方法和披露要求也进行了规定。2023年11月5日，浙江省《数据资产确认工作指南》推荐性地方标准发布。其中，第3.2条指出，数据资产是“组织过去的交易或事项形成的，由组织合法拥有或控制的，为组织带来经济价值的数据资源”。2023年11月26日，上海数据交易所发布《数据资产通证化上海路线图》，表示要“让数据资产像股票一样”，进一步实现数据资产到资本的升级。

数据要素入表是在会计上对数据经济价值的肯定，具有重要意义。有学者认为，数据要素入表意味着对从“数据管理”“数据治理”迈向“数据资产管理”。数据入表有利于数据要素市场培育和数据要素流动。在数字经济中，数据要素入表无疑又是数据交易的重要基础，是数据资产证券化、征收数字税的前提条件。

数据要素入表的首当其冲的就是要准确识别数据资产。财政部资产管理司有关负责人在印发《关于加强数据资产管理的指导意见》答记者问中指出，“当前，数据要素、数据资源、数据资产、数据产品等概念使用较为混乱，存在不规范、不统一问题”。数据要素指向的是数据对于社会经济生产所具有的核心价值。理论上一般认为，“数据资源指企业可接触到的一切数据，往往具有实时性、碎片化特征；而数据资产往往是在数据资源的基础上进行加工而形成的，其侧重于数据的可控制、可计量、可使用的特征”。借鉴国际财务报告准则（IFRS）概念框架，数据资产强调的是主体通过对数据资源的控制而可能获得的且能可靠计量的经济利益。数据产品则是指向数据资源加工后所形成的用于交易、流通的数据包、数据库、数据分析产品等。数据产品有可能是开放性的，其并不必然强调排他性，因此不一定能为企业带来他人所不能获得的收益，不能直接等同于成为数据资产。

值得注意的是，要素入表虽然与数据确权密不可分，但无法直接实现数据确权。2023年11月27日财政部会计司在《企业数据资源相关会计处理暂行规定》专题讲解中表示，“企业对于数据的直接交易以及会计量存货的判断一定程度上受限于数据权属规则”。我国数据入表仍遵循“数据二十条”的“三权分置”思路。《关于加强数据资产管理的指导意见》即要求，“明晰数据资产权责关系……落实数据资源持有权、数据加工使用权和数据产品经营权权利分置要求，加快构建分类科学的数据资产产权体系”。然而，“数据三权”作为政策语言无法直接转译为法律权利且存在一定的内在矛盾。一是“数据三权”的内涵并不清晰，其对应的客体似乎能够互换。即也可能存在数据资源使用权、数据产品持有权、数据资源加工使用权等。二是数据要素作为资本与土地并不相同，数据不能直接出让且可被复制，物权、债权、知识产权的传统权利体系难以直接被套用在数据之上。数据不是法律意义上的物，实际上难以借鉴农村土地“三权分置”模式。数据要素入表的政策走在了法律的前面，若无法或难以在法律上确认企业所持有数据的合法性，则入表的政策可能难以真正发挥作用。也正因如此，当前产业界对数据要素入表并没有表现出强烈的兴趣或回应。数据要素入表制度构建的同时应继续培育、活跃数据要素市场。

2023年在探索数据要素入表的同时，许多地方先后构建了数据权益登记制度、宣称完成了“首例数据权益登记”，其中至少包括数字要素登记、数据产权登记、数据信托登记、数据知识产权登记、数据公证登记等。

就据要素登记而言，2023年11月15日，贵州省大数据局印发《贵州省数据要素登记服务管理办法（试行）》。其中第13条规定，数据要素的具体登记内容包括：（1）数据要素名称；（2）数据要素类型；（3）数据要素适用场景；（4）数据要素实现方式；（5）其他应当予以登记的事项。

就数据产权登记而言，2023年2月20日，深圳市发展和改革委员会发布《深圳市数据产权登记管理暂行办法》（征求意见稿），2023年6月15日，该办法通过并印发。其中第13条指出，“数据产权登记以一项数据资源或数据产品为登记单位，每个登记单位拥有唯一的登记编号”。同时，根据该办法第7条，登记主体的权利为：（1）“对合法取得的数据资源或数据产品享有相应的数据资源持有、数据加工使用和数据产品经营等相关权利”；（2）“经登记机构审核后获取的数据资源或数据产品登记证书、数据资源许可凭证，可作为数据交易、融资抵押、数据资产入表、会计核算、争议仲裁的依据”。

就数据信托登记而言，2023年11月15日，《贵州省数据要素登记服务管理办法（试行）》指出，数据要素可办理信托登记。该办法第29条规定，“信托登记是指登记主体对参与数据信托活动的委托方、受托方、委托标的、委托场景等内容进行登记的行为……通过信托登记，信托双方获得数据信托登记凭证、数据用益凭证”。

就数据知识产权登记而言，2023年9月4日，广东知识产权保护中心根据《广东省数据知识产权登记服务指引（暂行）》，在“广东省数据知识产权登记平台”上，为广东联合电子服务股份有限公司的“广东省高速公路车流量短期预测数据”颁发首张“数据知识产权登记证书”。相关登记平台依托司法联盟链legalXchain建设，致力于有效实现数据知识产权的登记和存证。

就数据公证登记而言，2023年8月21日，江西省南昌市赣江公证处与浙江数秦科技有限公司合作，通过江西省数据资源登记平台完成全国首例数据资源公证登记。该登记平台同样使用了区块链技术，“为数据登记者、处理者提供审核、存证、确权、登记、出证全流程服务”。

由以上观察可见，我国已经出现了数据登记的“潮涌”现象。数据登记的核心功能在于提供了信任。登记具有公示公信力，通过登记确定数据权利的归属和内容，可有效降低数据交易的信息成本。然而，当前数据流通中数据登记的功能并不显著，登记机关、登记标的、登记效力等问题仍有待厘清。

第一，数据登记机关有待统一。各地区、各部门纷纷开展“锦标赛式”的数据登记实践，积极抢占“全国第一”的“政绩”。由此侧面展现了数据登记的“部门立法”雏形。数据登记不应也不能成为地区、部门的利益之争。地方性的数据登记制度既削弱了数据登记的公信力，亦不利于全国统一大市场建设。有学者即指出，各地区、各部门的数据登记“仅是统一登记制度尚未建立之前的权宜之计，在实践经验充足之后，将数据产权登记业务统一交由国家数据局的下设机构负责应是合理的制度安排”。

第二，数据登记标的有待明确。各地数据登记的标的并不统一，从原始数据到衍生数据再到数据产品都可能成为登记标的。简单将数据本身作为登记的标的并不恰当。企业对未经清洗处理的原始数据并不存在受法律保护的财产性权益，也不能因登记而产生权利。数据产品则可以通过知识产权制度保护，其包含的著作权、商业秘密也不适用数据登记。企业数据登记的标的应是企业所合法持有的、具有受法律保护的利益的、结构化的数据集。相应地，数据登记簿应当载明数据的名称、数量与结构。数据的数量与结构发生变动的，应当作变更登记。

第三，数据登记效力有待规定。数据登记的实际运行中，出现了不掌握数据的部门热衷于数据登记创新，掌握数据的企业往往却并不积极进行登记的悖论。悖论形成的根源即在于数据登记效力不明。有学者主张，数据产权应采取登记生效主义，“以登记作为生效要件，未经登记的，不发生权利变动的效果”。另有学者主张，对于首次登记应采取登记对抗主义，未经登记不等对抗善意第三人；对于转移登记则采取登记生效主义。然而，无论是在何种阶段，登记生效主义的引入实际上将大大压缩场外交易的空间，最终将使得数据交易只能在交易机构中进行，进而可能阻碍数据流通。登记生效主义的问题还在于其难以回答企业对于合法持有的数据为何一定要登记才能行使权利。实践中，企业的数据数量时刻处于变动之中，更适合采取登记对抗主义。无论未来数据登记制度采取何种主义，均应当通过法律的形式明确规定。

四、从控制到平衡：个人信息保护的实践拓展

虽然基于“告知—同意”的“信息自决权”强调个人对信息的控制，但个人信息保护的制度设计并不以实现个人控制为核心，而更为关切信息处理活动中的利益平衡。就此，《个人信息保护法》第13条构建了7项个人信息处理的合法性基础。在类型化、场景化的保护中，更是体现了利益平衡的理念。就特定信息类型而言，未成年人个人信息与公开个人信息保护引起了较多关注，2023年《未成年人网络保护条例》专章保护未成年人个人信息，公开个人信息利用出现了若干典型案件。就特定处理场景而言，亦产生了众多案例。例如，2023年11月17日，北京三中院针对扫码点餐获取个人信息案件作出终审判决；2023年10月11日，中消协发布2023年第三季度消费维权舆情热点关注“扫码”数据安全；2023年4月4日，最高检在第四十二批指导性案例中针对执法信息采集中的个人信息保护提出建议；2023年11月18日，WPS承诺用户文档不会被用于人工智能训练等。由于类型化与场景化不能简单割裂，特定信息类型的保护实际上也需要放置在具体场景之中讨论，且碍于篇幅，该部分仅针对儿童个人信息保护与公开个人信息处理的重要事件进行观察。

在2020年《未成年人保护法》修订所增加的“网络保护”专章的基础上，2023年10月24日，国务院发布了《未成年人网络保护条例》。该条例第四章为“个人信息网络保护”，对未成人身份信息核验机制（第31条）、必要个人信息范围限制（第32条）、教育引导未成年人增强个人信息保护意识和能力（第33条）、未成年人或者其监护人的查阅、复制、更正、补充、删除、请求转移的权利（第34条）、个人信息安全事件应急预案（第35条）、内部管理的最小授权原则（第36条）、个人信息合规审计报告制度（第37条）、未成年人私密信息保护措施（第38条）等内容进行了详细规定。

同时，在个人信息保护执法中，未成年人个人信息保护亦成为了部分地方的工作重点。例如，2023年8月，上海市委网信办会同行业主管部门面向从事少儿培训的130余家单位组织了个人信息保护普法培训。2023年9月，上海市委网信办、上海市市场监管局表示已“已依法约谈多家校外培训机构，要求运营主体全面整改，制定完善加强个人信息保护的内部管理制度，切实履行个人信息保护义务”；已立案处罚了一家违法情节严重的少儿外语培训企业。

观察可知，未成年人个人信息保护指向所有不满18周岁未成年的个人信息保护，并不局限于《个人信息保护法》中的儿童个人信息保护（未满14周岁未成年人的个人信息保护）。然而，《未成年人保护法》第72条、第73条依然是从儿童个人信息处理的监护人同意规则、未成年私密信息保护的角度对未成人个人信息保护进行规定。与之相比，《未成年人网络保护条例》并没有对儿童个人信息着墨过多，而是在整体上构建了未成年人个人信息保护的特殊规则。具体而言，未成年人个人信息保护必须从未成年人利益最大化原则出发，该原则为1989年联合国《儿童权利公约》第3条所规定；同时，要在重视未成年人脆弱性的同时尊重未成年人的自主性。

首先，身份信息核验机制的可靠性是未成年个人信息保护的首要问题。实践中，部分游戏平台仅通过身份证信息进行核验，未成年人使用公安部通缉令中的身份信息或失信被执行人身份信息进行登录游戏的现象层出不穷。部分平台使用人脸识别机制，未成年人通过让家长“拍个照”即可“破解”，不仅无效，且可能诱导未成年人做出不诚信行为。部分平台结合用户行为模式，通过智能算法，在监测到“异常活动”时启动双重或多重验证机制，一方面严重影响成年用户的体验，另一方面缺乏合法性基础的自动化决策本身又有违法处理个人信息的嫌疑。对此，可采取“形式的身份核验+实质的隐私设计”的路径，除司法、金融、医疗、教育等涉及个人重大权益的特殊事项外，放弃对身份核验的实质审查要求，仅要求平台作形式审查。与此同时，引入“自设计保护隐私”（Privacy by Design）的理念，要求平台在算法设计中充分体现未成年信息保护的要求。例如，有学者即主张“禁止商业性数字画像算法对未成年人的应用”。

其次，未成年人或其监护人的同意机制是未成年个人信息保护机制的核心。若对《个人信息保护法》第31条第1款作反对解释，则会得出未满14周岁未成年一律无法自行作出同意的结论。同时，对已满14周岁不满18周岁未成年是否均可独立作出同意，《个人信息保护法》并未直接给出答案。该问题又与同意是否意思表示，作出同意的行为是否法律行为的经典问题紧密相连。笔者认为，应将同意理解为一种特殊的民事行为能力，引入意思能力对未成年的同意进行判断。一是结合《民法典》第19条，已满8周岁不满14周岁的未成年可以针对与其年龄、智力相适应的信息处理行为作出同意。《儿童权利公约》第12条即指出，“缔约国应确保有主见能力的儿童有权对影响到其本人的一切事项自由发表自己的意见，对儿童的意见应按照其年龄和成熟程度给以适当的看待。”在“双层空间—虚实同构”的数字社会中，未成年人自幼年即有接入数字社会的需要，若一刀切地认为未满14周岁的未成年人无法作出同意，并不符合数字社会的生活逻辑。二是结合《民法典》第20条、第21条，已满14周岁但完全不能辨认自己行为或不能完全辨认自己行为的未成年人，无法单独作出同意。此外，若信息处理行为过于复杂，超出了未成年的理解能力，已满14周岁不满18周岁的未成年人亦不能单独作出同意。“超出了未成年的理解能力”的个人信息处理行为至少包括个性化服务场景、未成年人公开个人信息等。

最后，未成年个人信息保护的不能仅仅依赖民事诉讼，应采取“行政监督为主，诉讼监督为辅”的路径。虽然《个人信息保护法》第50条规定了个人的诉权，但个人维权能力有限，难以有效全面地监督个人信息处理者的行为。对此，需要在行政执法中继续加强未成年人个人信息保护。

“法学期刊刊载公开个人信息研究论文被诉违法处理公开个人信息事件”引起了法学界的广泛关注。2023年5月18日，《苏州大学学报（法学版）》收到了伊某的来电以及电子邮件称，《公开的个人信息的认定与处理规则》一文在引用判决书内容时，注释部分未将其姓名作匿名化处理，构成对其权利的侵犯，要求该刊对已刊登的文章进行删除处理。杂志对伊某诉求不予认可。随后，伊某向虎丘法院起诉刊物主办单位苏州大学，法院于10月10日立案。2023年11月16日，杂志称已收到民事裁定书，准许原告伊某撤回对被告苏州大学的起诉。

在个人信息保护的典型案例中，公开个人信息处理的纠纷较为常见。2023年10月31日广东高院发布个人信息保护典型案例、2023年11月1日北京互联网法院通报个人信息保护案件审理情况并发布个典型案例中，分别均涉及已公开个人信息处理的案件。其中，广东高院通过“案例二‘梁某等与某科技公司网络侵权责任纠纷案’”指出，“互联网平台可以利用算法技术在合理范围内处理已经合法公开的个人信息，但应保证个人信息准确；因算法运行错误导致个人信息不准确、不完整的，个人有权要求互联网平台承担相应侵权责任”。北京互联网法院在“案例六‘王某与北京某科技有限公司人格权纠纷案’”中指出，“利用已公开个人信息有误导致受众混淆构成侵权”。

这些案件一方面涉及《个人信息保护法》第13条第1款第6项与第27条的解释，即自行公开与其他已合法公开中的利益平衡、对个人权益有重大影响的范围、合理范围的认定、明确拒绝的限制等问题；另一方面又涉及回应我国个人信息处理的合法性基础中缺失正当利益条款的问题。

第一，《个人信息保护法》关于公开个人信息处理的规定充分体现了个人信息保护的利益平衡逻辑。公开信息不仅承载了信息主体的利益，还承载了公共利益、第三人利益。法律将依法在在合理的范围内处理公开信息规定为个人信息处理的合法性基础之一，同时采取了“选择—退出”为主、“告知—同意”为辅的机制，这表明信息主体对公开个人信息的处理负有一定的容忍义务。只有当处理公开个人信息对个人权益有重大影响时，才需要事前取得个人同意。此处的“重大影响”应与《个人信息保护法》第55条第5项、第24条第2款中的“重大影响”内涵一致，即“因信息处理行为而遭受权利损害，如合同撤销、福利丧失等财产或身份待遇损失以及遭遇霸凌、嘲笑、恐吓或骚扰等精神损害，或者与此类似的其他重大不利影响”。

第二，在合理范围的认定上，主要有四种观点：一是初次公开目的说，《个人信息保护法》一审和二审稿均指出，“个人信息处理者处理已公开的个人信息，应当符合该个人信息被公开时的用途”。虽然法律通过时被调整为“合理范围”的表述，但初次公开目的本身也可成为合理范围的判断标准。二是合理预期说，尤其强调对个人自行公开的信息应通过区分初次公开在限定范围内公开还是向不特定的人公开，以判断二次处理是否超越信息主体的合理期待。三是场景说表示，爬取与标签提取属于合理处理，画像与自动化决策不属于合理范围，关联分析应在个案中综合判断。四是结合说主张，“‘合理范围’的确立除了要考虑信息权人的合理预期和个人信息公开时的主要用途之外，还需要遵循合法性原则、比例原则和最小目的限定原则”。也有学者认为，应结合特定目的标准、场景标准、时间标准判定合理范围。笔者赞同结合说，单一标准无法在公开个人信息处理中实现动态的利益平衡。以裁判文书中的公开个人信息为例，若仅仅限于司法公开的目的或当事人的主观预期，则可能将大大阻碍裁判文书的二次合理利用。此外，为了进一步平衡已公开个人信息中的公共利益、第三人利益与个人权益，应对法律上规定的两类公开进行区分，结合初次公开与二次处理的具体情形分别判断处理个人自行公开与被他人合法公开其个人信息的合理范围。

第三，是否应基于利益平衡的理由，对公开个人信息处理的拒绝进行限制存在一定争议。有观点认为，“拒绝权制度适用于非自愿公开的个人信息时应予以适当限缩。”也有观点进一步指出，“事先拒绝应当理解为明确框定同意的范围，是否有效依意思表示解释规则为断；事后拒绝权不能被理解为任意撤回权；后续处理处于同意范围内的，信息主体无事后拒绝权。”然而，上述论断并不能完全让人信服。一是对拒绝权的限缩并不符合《个人信息保护法》的文义。二是从个人信息处理的合法性基础可见，同意与合理处理公开个人信息并列，不能简单将公开个人信息的拒绝与同意相对。《个人信息保护法》第14条之外并不存在一个宽泛的默示同意；即便将“选择—退出”解读为默示同意，也无法直接将之解读为意思表示。三是要求信息主体“向不特定人撤回同意”以反对任意撤回权并不现实，更为恰当的是要求信息处理者“提供有效的表意机制，未提供而个人未明示拒绝信息处理的，应视为默示拒绝。”四是，承认公开个人信息处理中的拒绝权并不会形成确立“被遗忘权”的后果，拒绝之后的删除仍然适用《个人信息保护法》第47条的限制。

第四，针对个人信息处理中正当利益条款缺失的问题，可引入《民法典》第998条以动态系统论的方法回应，也可依据《个人信息保护法》第5条诚信原则解决。前述“法学期刊刊载公开个人信息研究论文被诉违法处理公开个人信息事件”即涉及我国《个人信息保护法》第13条并未引入欧盟《通用数据保护条例》第6条的正当利益条款问题。对此，一方面，《民法典》第998 条要求侵害人格权的侵权责任应考虑行为人和受害人的职业、影响范围、过错程度，以及行为的目的、方式、后果等因素，可实现正当利益条款的功能；另一方面，法律原则具有填补法律漏洞的功能，诚信原则可以“提供一个灵活的平衡原则”。

结语

本文的观察仅仅是选取数据基础制度变革的角度，对公共数据、企业数据、个人信息的典型事件进行的分析，并无法涵盖数据治理的所有内容。数据治理所涉及问题极其广泛，不仅包括本文观察的公共数据授权运营、司法数据公开、数据资产入表、数据资源登记、儿童个人信息保护、公开个人信息处理，而且涵盖数据伦理、数据安全、数据交易、数据跨境等多个方面。其中，涉及的众多问题又与算法治理、平台治理关系密切，仍有待进一步研究。

整体而言，通过数据治理的典型事件梳理可知，我国数据基础制度建设呈现出爆发式增长的趋势，数据治理的中国模式已经初步形成。

在中国特色的数据治理蓝图的擘画中，应当兼顾发展与安全，既要重视数据赋能经济提质增效，也要聚焦数据安全与信息保护。

这就要求数据治理必须重视以下三个要素：

一是重视法治资源，制度创新以合法性为前提，实践运行中重视解释适用既有的制度资源；

二是保护个人权利，数据治理的最终目的应是为人服务，而非以数据为中心；

三是尊重市场规律，在自生自发的数据行为规律基础上规范数据流通秩序。

在此基础上，方可进一步完善中国特色的数据治理路径。

作者：韩旭至

《互联网法律评论》特约专家

华东政法大学法律学院副教授

【免责声明】此文仅代表作者个人观点，与本平台无关。本平台对文中陈述、观点判断保持中立，不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。