重磅｜《数字经济生产关系构建——数据要素三权分置理论范式及其实践路径研究》报告发布

随着数字经济的快速发展，数据作为生产要素的重要性日益凸显。2022年12月，中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》，成为我国数字中国和数据要素市场建设的纲领性文件，对释放数据要素的经济和社会价值具有根本性的意义。“三权分置”的数据产权制度框架如何在产业实践中落地成为广泛关注的问题。

在此背景下，上海社科院互联网研究中心、赛博研究院联合阿里巴巴法律研究中心以及瓴羊智能科技有限公司发布《数字经济生产关系构建——数据要素“三权分置”理论范式及其实践路径研究》报告。报告基于目前我国数据流通发展现状和数据流通普遍存在的问题，聚焦不同数据流通参与主体的权利、责任和收益的分配机制，深入研究了我国“三权分置”数据产权制度框架在产业实践中的实施路径。

报告核心内容如下：

数据流通形态安全要求

我国《个人信息保护法》规定，“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”，“匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程”。《数据二十条》在第（六）条中针对个人数据流通利用，提出要“创新技术手段，推动个人信息匿名化处理，保障使用个人信息数据时的信息安全和个人隐私”。虽然目前很多数据要素交易广泛使用数据匿名化技术，但目前实践中缺乏清晰的个人信息匿名化的合规判断标准。目前产业界迫切需要对法律上的“匿名化”给出具体的技术保护和组织管理的标准，指导企业在不侵害自然人个人信息权益的前提下，通过建立和落实合规管理、数据安全技术等手段，合法地实现数据要素的价值。

有人认为我国法律规定的“匿名化”是指通过使用匿名化技术实现“绝对的匿名化”，但在一些数据应用场景中，将原始个人数据完全匿名化处理，将可能大大降低数据本身的利用价值，甚至导致数据资源无法使用，这无疑违背了通过匿名化促进数据合规流通利用的目的，难以满足数字经济发展的现实需求。

报告认为，绝对的匿名化既不可能也不现实，法律意义上的匿名化并不等于绝对的匿名化，而是通过风险管理的方式实现“无法识别且不能复原”，并保留数据的使用价值。因此，结合具体业务对匿名化程度进行分类分级，从而实现数据利用、业务发展、用户体验和安全保障的平衡，是当下更适合数字经济发展的方案。

综上所述，报告认为，个人数据的高效流通利用应以重标识风险可控为前提，即应结合数据披露程度、预期接收者、拟采取的控制手段等，通过采用技术和管理手段相结合的风险管控方式，将重新识别个人信息主体的可能性降到足够低，实现个人信息的“无法识别特定自然人且不能复原”。而评估重标识风险的高低以及是否满足隐私保护的要求，需要结合业务目标、安全风险，综合考虑数据类型、使用目的及披露范围、接收者能力与动机等多种因素，在具体场景中开展个人信息保护影响评估，确认相应的技术和管理措施是否达到了“无法识别且不能复原”。

“三权分置”在产业实践中的实施路径

报告主要关注承载个人信息的企业数据的流通问题，并从公共数据流通利用的角度观察其与企业数据流通场景在模式上存在的异同。此外，由于当前各地数据交易所仍在建设过程中，国家对于数据交易所的管理机制尚不明确，因此本报告主要聚焦企业数据的场外流通。

如下图所示，报告结合当前的产业实践，将数据流通路径分为三种模式，分别为“数据流通模式Ⅰ”“数据流通模式Ⅱ”和“数据流通模式Ⅲ”。

2.1数据流通模式Ⅰ

2.1.1权利分配

报告对数据资源持有权、数据加工使用权以及数据产品经营权等权利的具体权能进行了界定。

数据资源持有权是指数据持有者对于通过合法途径获取的数据，无论是基于业务运营的需要采集以及产生的数据，还是通过采购、共享等方式获取的数据，有权依照法律规定或合同约定自主管控所取得的数据资源，并拥有排除他人对控制状态侵害的权利。如不存在法定正当事由，且未经持有者同意，他人不得侵扰权利人对数据的稳定持有状态。数据资源持有权是其他数据权利的基础。
数据加工使用权可以再细分为数据加工权和数据使用权，其中数据加工权是指对具有合法来源的数据，权利人在法律规定或合同约定的限制条件内，对数据开展加工、分析、计算等处理活动的权利；数据使用权是指基于数据共享、数据交易等方式，数据需求方（权利人）对合法获取的数据资源或数据产品在法定或合同约定范围内进行使用的权利。
数据产品经营权是指权利人对通过合法途径获取的数据资源，在法律规定或合同约定的范围内，对经过加工处理而形成的数据产品或服务，享有在合法范围内进行营销、销售和获取收益的权利。

数据流通模式Ⅰ中各方参与主体的数据权利分配如下图所示。

（1）数据资源提供方的权利

数据资源提供方具有数据资源持有权。在业务活动开展过程中由于业务需要而收集了用户数据的市场主体，这类市场主体在自身业务开展过程中产生了大量数据，这些数据不仅包含了原始数据主体的信息内容，更是融合了平台企业主体在其中所投入的资本和技术等因素，因此平台企业主体应具有这些数据的持有权，但数据持有权的权能边界应不同于欧盟于2017年提出的数据生产者权，其不应具有对数据开展自主处理的权利。

数据资源持有权的权能：如上所述，针对数据资源提供方因自身业务开展而产生的大量数据，数据持有权应包括一系列除合同关系以外对抗任何第三方侵害其稳定持有状态的权利，从而避免无权使用数据的第三方对数据进行持有和利用，还包括对未经授权获取和使用数据的行为请求损害赔偿的权利。但数据持有权并不代表可以采用任意方式对数据进行加工、处置等处理活动，而是需在法律规定或合同约定的范围内进行处置。

数据资源提供方享有以合法授权同意为基础的受限的数据加工使用权。数据资源提供方在持有用户数据的基础上，根据《个人信息保护法》的要求，需公开告知数据的处理目的、处理方式和处理的个人信息种类，并需在用户授权同意的前提下，才能对个人数据进行处理，其加工使用数据的范围必须保证不超出用户授权同意的范围。因此，数据资源提供方享有个人信息主体授权范围内的受限的数据加工使用权，而不具有完全自主的数据加工和使用权。

数据资源提供方对满足安全流通要求的数据产品享有自主经营权。如果按照要求，数据资源提供方经过加工处理形成的数据产品已经满足了数据流通的安全要求，并且已经通过合同协议等方式设置了风险管控的管理机制，那么数据资源提供方就可以拥有独立自主的数据产品经营权，即对数据产品享有在合法范围内进行营销、销售和获取收益的权利。

（2）数据技术提供商的权利

数据技术提供商仅享有合同约定范围内的受托加工权。数据技术提供商仅为数据资源供需双方之间的数据融合分析提供相应的技术服务，例如数据安全技术、安全多方计算、联邦学习、数据融合计算、区块链等技术，其并不能够自主地决定如何加工使用供需双方的数据资源，也不能自主地对数据提供方的数据资源或数据产品进行经营。据此，数据技术提供商作为第三方服务商，基于数据资源供需双方的委托，提供数据处理的安全计算环境，基于三方之间的合同约定，仅享有合同约定范围内的受托加工权。

（3）数据资源需求方的权利

数据资源需求方仅享有合同约定范围内的数据使用权。数据资源需求方作为数据流通的终点，基于自身需求通过数据技术提供商提供的技术能力与数据提供方进行数据融合计算，获取所需的数据计算结果，其可在合同约定的范围内使用获得的计算结果类数据。至于数据资源需求方对所获得的计算结果享有的加工处理、分析使用等权利的范围，要依据与数据资源提供方签订的合同来确定。

2.1.2责任分配

数据流通参与主体都应基于持有的数据和获取的授权承担法定责任。在三权分置框架下，需要匹配合理的数据安全责任分担机制，通过合同协议的方式明确数据链路中其他参与主体的数据安全保护责任。

（1）数据资源提供方的责任

数据资源提供方负有个人信息保护的法律义务。无论是直接收集还是间接收集个人数据，数据资源提供方作为个人信息处理者，即法律意义上的直接法律责任主体，在《个人信息保护法》法律体系下，应对个人信息保护负直接法律责任。

（2）数据技术提供商的责任

数据技术提供商应对提供的技术服务负数据安全保护责任。对于数据技术提供商提供的安全多方计算、数据融合计算、联邦学习等技术，数据技术提供商作为第三方提供商，应基于合同承担数据安全保护义务，采取管理和技术措施保护在其技术平台上存储、计算、流通的数据资源不会遭到篡改、破坏、泄露或者非法获取、非法利用。

（3）数据资源需求方的责任

为保障数据流通安全，数据资源需求方也应对获得的计算结果类数据承担相应的安全保护义务，即采取管理和技术措施保护从数据资源提供方获取的涉及个人信息的计算结果不会遭到篡改、破坏、泄露或者非法获取、非法利用。此外，数据资源需求方也应被约束通过获取的数据资源重标识个人信息主体的行为，因违反法律规定及合同约定而侵害个人信息主体权益的，应当对个人信息主体承担法律责任，并承担对数据资源提供方造成的损失。

2.1.3收益分配

数据资源提供方和数据技术提供商都应基于提供的相应服务获得收益。如下图所示，收益产生于需求方对数据资源的需求，收益从需求方流向数据资源提供方。数据资源提供方基于提供的数据标的的价值（包括数据的规模、属性、稀缺性和可替代性等数据质量、应用和成本因素），综合考虑成本和预期收益，从需求方处获得数据使用价值带来的收益。数据技术提供商由于提供算法、算力等技术服务，形成了有价值的结果数据，因此应按提供的具体技术服务内容，获得相应的收益。

2.2数据流通模式Ⅱ

2.2.1权利分配

数据服务提供商仅享有合同约定范围内的受托加工权和经营权。数据服务提供商基于数据资源提供方的委托开展相应的数据加工处理、数据融合计算并对外提供数据服务，因此其对数据资源提供方的数据资源仅能在合同约定范围内进行加工处理，仅享有受限的受托加工权；其仅能对外提供委托范围内的数据服务种类，不得未经数据资源提供方同意擅自增加额外的数据服务类型，且其对数据服务仅享有委托经营权，不享有独立自主的经营权。

2.2.2责任分配

数据服务提供商应对持有的供需双方数据负安全保护责任。数据服务提供商基于数据资源提供方的委托开展相应的数据加工处理、数据融合计算并对外提供数据服务，会存储数据供需双方的数据，作为受托方，应基于合同承担数据安全保护义务，采取管理和技术措施保护在其技术平台上存储、计算、流通的数据资源不会遭到篡改、破坏、泄露或者非法获取、非法利用。

2.2.3收益分配

数据服务提供商基于提供的数据服务从数据资源需求方处获得收益。如下图所示，数据服务提供商基于数据资源提供方的委托，对数据进行加工处理、数据融合计算并代其对外提供数据服务，收费模式由数据服务提供商基于服务类型进行确定。收益产生于需求方对数据服务的需求，由于数据服务提供商是直接提供数据服务的一方，因此收益从需求方首先流向数据服务提供商。数据服务提供商将服务收益按约定的模式分配给数据资源提供方。在具体的数据服务中，可能涉及一方或多方数据资源提供方的数据，数据服务提供商应基于数据的具体使用情况，以及具体数据资源的价值（包括数据的规模、属性、稀缺性和可替代性等因素），向涉及的数据资源提供方按双方约定的模式，进行服务收益分配。

2.3数据流通模式Ⅲ

2.3.1权利和责任分配

数据产品开发商基于合同授权拥有相对独立的数据加工权和产品经营权。为让数据产品开发商充分开发挖掘数据资源的价值，发挥数据产品开发商在数据加工和分析技术方面的专业性，数据资源提供方可基于合同授权数据产品开发商享有独立的数据加工权和数据产品经营权，但约定数据资源提供方对数据产品开发商的数据价值开发活动进行监督管理，并对数据开发和数据产品进行合规和安全风险评估。同时，基于隐私安全的考虑也应通过合同让其承担一定的数据隐私保护责任，包括：对于数据资源提供方提供的粗加工数据集，基于合同承担数据保护义务；开发形成的数据产品应满足数据流通安全要求；不可通过粗加工数据集或数据产品重标识个人信息主体；因违反合同而侵害个人信息主体权益的，应当对个人信息主体承担责任，并赔偿由此给数据资源提供方造成的全部损失。

2.3.2收益分配

数据资源提供方和数据产品开发商基于协商确定收益如何分配。在这种数据流通模式下，数据的收益分配机制应该主要基于各方主体对于最终的数据产品与服务所投入的要素的价值，推动数据要素收益向数据价值和使用价值的创造者合理倾斜，确保在开发挖掘数据价值各环节的投入有相应回报。如下图所示，数据资源提供方贡献了数据资源投入，数据产品开发商贡献了技术、人力和经营等方面的成本，并承担了一定的市场风险，因此，双方应基于流通的数据标的的价值（包括数据的规模、属性、稀缺性和可替代性等因素）和预期收益，数据产品开发商投入的技术、人力、经营等相关成本，以及数据产品开发商承担的收益风险，经过协商并通过合同约定数据产品经营获得的收益在双方之间如何分配。

关键结论

1.数据要素市场的生产关系构建需“技术+合同+管理”三管齐下。当前数据安全问题是阻碍数据要素流通的最痛点问题之一，数据价值得不到充分释放的症结在于个人数据权利扩张背景下带来的权利捆绑困局。解决隐私安全成为解绑数据权利的关键途径。因此，技术是最直接的解决方案。通过发展隐私计算等数据加工利用技术，实现“数据不动价值动”，在管控安全与合规风险的同时松绑数据的流通和利用。同时，技术不能解决全部问题，合同和合同之外的企业合规管理措施是明确权利和约束责任的重要手段。通过合同协议约定数据流通利用相关的权责利关系，并施加对外的事前、事中、事后的合规管理机制，是在技术之上有效管理风险、落实尽职履责的关键举措。

2.应落实所有数据流通参与主体的数据安全保护责任。报告提出个人数据的高效流通利用应以重标识风险可控为前提，即应结合数据披露程度、预期接收者、拟采取的控制手段等，通过采用技术和管理手段相结合的风险管控方式，将重新识别个人信息主体的可能性降到足够低，实现个人信息的“无法识别特定自然人且不能复原”。因此，数据安全风险管理涉及数据流通利用的每一环节和每一个参与主体。每个阶段的数据流通参与主体都应基于持有的数据和获得的授权承担相应的法定责任。在三权分置框架下，匹配合理的数据安全责任分担机制，是消除数据持有方顾虑、实现数据安全风险可控并最终激活数据要素市场的前提。

3.数据权利的范畴应以法律法规和合同约定为边界。从本报告对三种企业数据流通模式以及公共数据授权运营模式中数据权利分配机制的分析可以看出，数据资源持有权、数据加工使用权、数据产品经营权的权利职能范围都需在法律规定或合同约定的范围内行使。其中数据资源持有权代表数据的持有者有权依照法律规定或合同约定自主管控所取得的数据资源，并拥有排除他人对控制状态侵害的权利。但数据资源持有权并不代表可以采用任意方式对数据进行加工和处置，而是需在法律规定或合同约定的范围内。数据加工使用权和数据产品经营权的职能范围则更加受限，两者都来源于数据持有者的有条件的权利授予，因此都被限定在合同约定的范围内。

主要建议

1.产业界应积极探索，为国家政策法规制定提供更多实践参考。《数据二十条》明确提出，积极鼓励试验探索，坚持顶层设计与基层探索结合，支持浙江等地区和有条件的行业、企业在制度建设、技术路径、发展模式等方面先行先试。因此，在当前国家相关配套政策和法律法规尚未建立健全的阶段，产业界在技术和模式方面的实践路径探索将加速国家政策的出台，为其提供更多的实践案例参考。例如数据产权的分置，尤其是数据加工权和产品经营权的市场流通模式及其示范合同，作为数据流通的关键前提，可从市场实践中积累经验。产业界可以积极在实践中通过合同约定的方式探索数据的确权授权和权利的市场化流通，充分发挥市场在资源配置中的决定性作用，积累市场经验，并最终为我国相关法律法规的制定提供实践经验。

2.国家层面应尽快建立弹性包容的数据要素流通监管机制。当前，数据持有方对安全风险的担忧使得数据流通在起点处就失去了动力。国家层面应尽快制定数据流通和交易的负面清单，明确不能交易、限制交易、鼓励交易的不同类型数据项或场景，划定合规监管红线，为市场主体的责任判断提供更加稳定的预期。同时，加快建立健全鼓励创新、包容创新的容错纠错机制，在监管红线之上，建立弹性包容的数据要素流通监管合规机制。

3.建议加快推进数据要素流通试点示范。国家数据局可在全国范围内针对公共数据、企业数据和个人数据等不同类型数据的交易和流通，遴选流通模式创新高效、各方权益充分保障、数据利用价值高且安全合规的数据流通典型案例，开展试点示范工作。应采取措施激励试点地区和试点企业创新数据流通的新模式和新业态，并作为典型案例在各行业各地区推广。

4.加快数据流通安全技术创新发展和标准化建设。当前隐私计算、区块链、数据沙箱等数据流通安全技术的应用范围尚不够广泛，技术水平良莠不齐，技术标准尚未建立健全，技术实施的法律效果尚待明确，技术应用尚处于发展初期。因此，应加大对数据流通安全技术的研发投入，鼓励企业加强技术创新和融合应用，为数据高效、合规流通提供更多有效的解决方案。同时，应加快数据流通安全技术标准化建设，不仅可以规范技术市场化应用，还能降低数据需求方在交易中的安全性、合规性顾虑。

点击“阅读原文”获取完整报告