今天和大家分享的是公号君对三权分置的第二篇学习笔记
引言:从持有权转向使用权
这是关于数据产权结构性分置的第二篇札记。前一篇讨论数据持有权【数据持有权的两条路径:三权完全切割 vs. 持有权母权化】:在官方三权切割的立场下,狭义持有权主要指向合法控制状态及其防御性保护。它的边界与救济机制,很大程度上需要通过个人信息保护、数据安全、反不正当竞争、合同和技术措施来具体化。因此,狭义持有权并非没有功能,但它作为独立产权所能增加的规则内容有限。
本篇转向数据使用权。相比持有权,使用权的内容更实在。它不仅允许权利人加工、聚合、分析数据,还允许权利人形成衍生数据。也正因如此,使用权一旦对外许可,问题会比持有权更突出:下游取得自主加工、分析、建模和形成衍生数据的能力之后,上游还能否控制数据价值的后续流向?
对这个疑问的考量,很大程度上会决定上游是否愿意向下游开放使用权。
按照【图解 | 数据产权制度】,数据使用权可以对外提供,但它不是内部使用权的简单外移。一旦对外化,它会进入一个复合结构:从上游看,是上游行使经营权许可;从下游看,是下游取得使用权。在个人信息场景中,这可能构成个人信息保护法上的提供或共同处理;在数据价值层面,下游也可能通过衍生数据吸收并保留一部分数据价值。
因此,真正的问题不是使用权是否存在,而是它被对外提供之后,边界如何划定。
一、使用权的官方定位:对内自主利用
国家数据局《数据领域常用名词解释(第二批)》将数据使用权界定为:权利人通过加工、聚合、分析等方式,将数据用于优化生产经营、提供社会服务、形成衍生数据等的权利;并强调一般而言,使用权是在“不对外提供数据”的前提下,将数据用于内部使用的权利。与之相对,数据经营权是权利人通过转让、许可、出资或者设立担保等方式对外提供数据的权利。
由此可见,使用权的典型形态是内部自主利用。权利人自己加工、分析、聚合数据,用以优化经营、改进服务、形成衍生数据。它的基本结构是“我用我的数据”,而不是“我把数据给别人用”。
因此,“上游对外提供使用权”并不是上游单纯行使使用权。严格说,它是上游行使数据经营权,通过许可、转让或者其他安排,把数据使用机会提供给下游。对上游而言,这是经营行为;对下游而言,则是取得使用权。
这一动作有双重面向:既是上游的经营,也是下游的使用。使用权的纯粹形态落脚于内部利用;一旦对外,它便进入“上游经营权许可 + 下游取得使用权”的安排。个人信息保护、数据安全、衍生数据归属和上游控制问题,正是在这个环节集中出现。
二、对外授予使用权:从委托处理到提供关系
对外授予使用权,首先会改变下游的法律位置。
如果下游只是按照上游的指令、为上游的目的处理数据,它更接近受托处理人。个人信息保护法上的委托处理,要求受托人按照约定的目的和方式处理个人信息,不得超出约定处理;委托关系终止后,受托人应当返还或者删除个人信息,不得保留。在这种关系中,受托人不是为自己的目的独立使用数据,而是为委托人提供处理服务。
使用权则不同。使用权的核心在于下游可以基于自身目的加工、聚合、分析和利用数据。下游取得这种使用权后,不再只是为上游提供处理服务,而是在自己的业务场景中决定如何处理数据。若对象是个人信息,下游便可能成为独立的个人信息处理者;上游将个人信息交由其自主使用,通常会落入“向其他个人信息处理者提供”的结构。若上游和下游共同决定处理目的和方式,也可能构成共同处理。
这一区分很重要。委托处理的特点是下游服务于上游目的;使用权的特点是下游服务于自身目的。使用权越是被理解为“为己、自主”的使用,就越难被放入委托处理的框架,而更接近提供或者共同处理。
在个人信息场景中,向其他个人信息处理者提供个人信息,需要告知接收方名称、联系方式、处理目的、处理方式和个人信息种类,并取得个人的单独同意;接收方也应在告知范围内处理。因此,使用权的对外许可不只是产权配置问题,同时也是个人信息合规问题。
这一层合规负担主要适用于个人信息。若对象是非个人数据,《数据安全法》仍然适用。数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等活动;收集数据也应当采取合法、正当方式,不得窃取或者以其他非法方式获取数据。但《数据安全法》没有“向其他处理者提供须取得个人单独同意”这样的一般规则。对非个人数据而言,对外提供的重点更多在来源合法、数据安全、分类分级、重要数据、数据出境和交易合规。
所以,对外授予使用权在不同数据类型中后果不同:个人信息场景下,可能触发较重的提供或共同处理义务;非个人数据场景下,更多进入数据安全与交易合规结构。
三、使用权的产出能力:衍生数据与价值留存
使用权最值得注意的地方,不只在“提供”,更在于它能够生成衍生数据。
官方定义明确,数据使用权包括通过加工、聚合、分析等方式形成衍生数据。衍生数据是指数据处理者对其享有使用权的数据,经专业加工、建模分析、关键信息提取等方式,使数据内容、形式、结构发生实质改变并显著提升价值后形成的数据。
这说明,使用权不是简单阅览权、查询权或者保管权,而是一种可以创造新价值的权能。下游取得较强的使用权后,可能凭借算法、模型、业务场景、清洗加工和分析能力,把上游数据转化为新的标签体系、评分系统、风险指数、客户画像、市场预测、模型参数、训练结果、行业报告或者数据接口服务。
在没有约定或者约定不明时,这些衍生数据通常会由实际加工创造者主张相应权益。原因在于,它们并不是原始数据的简单复制,而是下游知识、算法、模型、场景和清洗加工能力共同作用的产物。由此可能形成一种局面:上游仍持有原始数据,但数据价值的一部分已经通过衍生数据、模型参数、评分体系、标签体系、指数产品或者预测能力留在下游。
衍生数据的权益安排并非只能如此。当事人可以约定衍生数据归属、回授许可、收益分配、禁止外部经营、禁止模型训练、不得与第三方数据融合、删除义务、审计权和输出审核。
“衍生数据与前手继受关系切断”也不是成文法上的绝对规则,而是从“处理者对其加工产出物享有相应支配利益”推导出来的学理判断,仍然要受合同、个人信息保护、商业秘密、知识产权、数据安全、反不正当竞争和公共利益的限制。
但这些限制并不能完全消除上游的价值控制压力。合同可以写明边界,却不一定能降低发现、举证、追踪和回收的成本。衍生结果一旦进一步聚合化、模型化、去标识化,甚至达到真正匿名化的标准,上游要证明它来源于特定原始数据并主张控制,难度会明显上升。
上游真正担心的,不是下游“看见”数据,而是下游通过加工、聚合、分析、建模吸收数据价值,并把它固化为自己的衍生数据、模型能力、数据产品或业务系统。原始数据仍在上游手中,但一部分价值已经进入下游体系。
因此,对外授予较强的自主使用权,会通过“提供关系”和“衍生数据机制”共同削弱上游的有效控制。这是使用权对外许可时需要面对的基本问题。
四、上游的分化:受控使用与变现交易
是否提供较强使用权,关键不只在数据价值高低,更在上游的商业模式:它是依赖数据维持持续竞争关系,还是以数据产品出售、许可变现为业。
一类是依赖数据维持竞争优势的上游。平台企业、掌握核心用户数据的企业、拥有高价值工业数据或不可替代训练数据的主体,通常不愿把完整、自主、可形成并经营衍生数据的强使用权授予他人。它们更可能采用接口调用、数据沙箱、可信执行环境、隐私计算、结果交付、联合建模、共同开发等受控方式。下游可以“使用”数据,但这种使用会受到技术措施和合同条款的严格限制。
对这类上游而言,问题不在于数据能不能产生交易价值,而在于交易是否会削弱其持续竞争优势。使用权越开放,下游越可能吸收数据价值;下游越可能吸收数据价值,上游越倾向于压缩使用权的自主性。
另一类是出售变现型上游。它们的商业模式不是长期保留控制,而是把数据产品化、许可化、交易化,通过一次性或周期性对价实现变现。数据经纪、数据集许可、行业数据产品销售、部分人工智能训练数据许可,都可能属于此类。这里的“变现”未必是传统所有权意义上的转移,而是上游以相对固定的对价,授予下游较宽范围的使用许可或交付数据产品,不再持续控制下游每一次内部利用。
对这类上游而言,提供较强使用权往往是常态。它关注的不是持续控制每一次使用,而是价格、许可范围、责任限制、合规保证、违约救济、可否转授权、可否对外经营、是否独占、是否限期、是否限场景。只要价格和合同结构能够覆盖控制弱化的风险,提供强使用权就是理性的选择。
同一个问题,两类上游给出不同解法:依赖数据维持竞争优势的上游偏向控制,把强使用权改造成受控使用;出售变现型上游偏向定价,把控制弱化折算为交易对价和许可边界。
合规风险和价值控制风险是两层问题。“提供”关系主要带来合规问题:个人信息一旦向其他处理者提供,就要履行告知、单独同意和接收方处理范围控制等要求;涉及个人信息和重要数据的,《网络数据安全管理条例》还要求网络数据处理者在向其他处理者提供或委托处理时,以合同约定处理目的、方式、范围和安全保护义务,并监督接收方履行。
价值控制风险来自另一层:下游通过使用权形成衍生数据、模型参数、业务标签和预测能力。二者可以分离。可以有正式的“提供”关系,但合同和技术把后续使用控制得很紧;也可以不存在个人信息意义上的“提供”重负,例如处理非个人数据,却仍然发生价值外流。
匿名化的效果也不能被简单夸大。真正的匿名化可能使数据脱离个人信息范畴,因为它要求处理后无法识别特定自然人且不能复原;但实践中大量所谓“匿名处理”只是去标识化。去标识化后的信息仍可能属于个人信息,并不当然脱离个人信息保护法。因此,匿名化不能被简单理解为下游摆脱上游与个人信息主体控制的稳定通道。
五、使用权是真实标的,但边界需要另行确定
前述的受控访问安排,恰恰说明使用权正在被交易。合同分配并限定使用权,沙箱在技术上执行使用权边界,接口限制使用方式,隐私计算控制数据可见性,输出审核决定使用结果能否带离。能被许可、被限定、被执行的,正是“使用数据”这一利益。
问题在于它本身不自带完整边界。使用目的、期限、范围、可否下载保存、可否训练模型、可否融合第三方数据、可否导出中间结果、衍生数据归属、可否转授权、可否对外经营,都要由合同、技术措施、合规规则和收益分配安排进一步确定。
一项权利的边界与执行力来自外部,并不意味着它是空的。几乎一切权利都依赖外部机制划界与执行。所有权也要靠侵权法、合同法、行政监管、法院和执行制度维护,其行使也受登记、用途管制、交通规则、环境规制的限制,但没有人因此说所有权是名义性的。权利需要外部规则具体化,是财产权和合同制度的常态。
使用权也是如此。它回答的是“这是什么权益”——即对数据加工、聚合、分析、内部利用的利益。至于“能用到什么程度、能输出什么、产出归谁、能否再利用、能否对外经营、违约如何发现与救济”,则由外部规则回答。权利类型提供交易语言,外部规则供给具体边界。
六、使用权对外提供的两种路径
官方希望使用权同时承担三项功能:它是自主、为己的内部利用;它能通过加工、聚合、分析形成衍生数据;它又能经上游经营权许可而由外部主体取得,以促进数据流通。
三项单独看都合理,合在一起便会彼此牵制。
使用权越自主、越能形成衍生数据,对下游越有价值;而它越有价值,上游越担心价值外流,也就越不愿以完整开放的形态授予。为了让数据流通,下游需要足够强的使用权;但下游使用权越强,上游越担心失控。这是“促流通”在使用权一环上遇到的内在阻力。
实践中主要有两种处理方式。
第一种是受控使用。上游不放弃持续控制,而是通过沙箱、隐私计算、可信执行环境、联邦学习、接口调用、结果审核、用途限制、禁止转授权、禁止模型训练、衍生数据回授等方式,把对外使用改造成“在特定边界内使用”。这一路径削弱的是使用权的自主性,保留的是上游控制。
第二种是变现交易。上游不追求持续控制,而是通过数据产品出售、数据集许可、宽范围使用授权,以对价换取价值实现。这一路径允许下游取得较强使用权,但前提是上游接受控制弱化,并将这种弱化反映在价格、责任限制、合规保证和许可范围之中。
因此,数据使用权并非不能对外提供。它可以对外提供,但提供后的形态取决于上游商业模式、数据类型、合规负担、竞争关系和技术控制能力。所谓“使用权对外提供的困境”,是它的外部化必须在自主性和控制性之间作出安排。
结语
数据使用权的对外流通并不简单。上游对外许可使用,在个人信息场景中可能触发“提供”关系;下游取得使用权后,可能通过加工、聚合、分析形成衍生数据;衍生数据又可能使原始数据价值留在下游,削弱上游控制。官方三权切割在概念上清楚,落到流通中却需要面对这一连串变化。
使用权是真实的权利类型,但不是一个边界自明的权利类型。它回答“这是一种使用数据的权益”,却不能单独回答“可以怎样用、用到什么程度、产出归谁、能否再利用、能否对外经营、违约如何发现与救济”。这些问题要由合同、技术措施、个人信息保护、数据安全、反不正当竞争、会计规则、收益分配和交易场所规则共同回答。
这一点对整个三权分置都成立。对数据产权模块,它们均不自带完整边界:它们提供分类框架和交易语言,真正决定边界、强度与执行效果的,却是围绕它们展开的外部制度。持有权如此,使用权亦然。权利是真的,边界需要安排。
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
