时建中 | 重构数据行为及数据主体的概念体系

在数字化时代，数据成为现代信息社会的重要资源。数据是构建数据法律制度的基础概念，数据基础制度事关国家发展和安全大局，同时也是数据法律制度的核心和主体。然而，在理论和实践中，对于一些数据概念的界定尚不明晰，围绕相关概念展开的数据法治研究迫在眉睫。

数据行为即数据处理或数据处理行为，在法律层面，《中华人民共和国数据安全法》（以下简称“数据安全法”）、《中华人民共和国个人信息保护法》（以下简称“个人信息保护法”）、《中华人民共和国网络安全法》（以下简称“网络安全法”）均有列举式规定。数据安全法第三条第二款规定，“数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等”。个人信息保护法第四条第二款规定，“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”。在承袭数据安全法列举的7种数据处理行为的基础上，个人信息保护法增加规定了“删除”行为。此外，早在2016年通过的网络安全法第七十六条第四项规定，“网络数据，是指通过网络收集、存储、传输处理和产生的各种电子数据”。在数据安全法和个人信息保护法中，“处理”是一个上位概念；在网络安全法中，“处理”则是一个与其他行为并行的概念。

在地方数据立法层面，关于数据处理行为的外延的规定有较大差异，可以归纳为以下几种情形。

第一，将数据安全法和个人信息保护法的数据处理行为和个人信息处理行为整合为一体。例如，《厦门经济特区数据条例》第二条第一款第二项规定，“数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开、删除等”。第二，在全面整合引用数据安全法和个人信息保护法相关行为的基础上，增设其他行为。例如，《苏州市数据条例》第三条规定，“数据处理，包括数据的收集存储、使用、加工、传输、提供、公开、删除、销毁等”。在数据安全法和个人信息保护法相关规定的基础上，创设了“销毁”行为。然而，对于电子形式的数据，“销毁”与“删除”差别不大。第三，只引用数据安全法第三条第二款规定，没有整合个人信息保护法中的“删除”。例如，《上海市数据条例》第二条第一款第二项规定，“数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等”。第四，没有完全引用数据安全法的相应规定，并且创设了新的数据行为概念。例如，《深圳经济特区数据条例》第二条规定，“数据处理，是指数据的收集、存储、使用、加工、传输、提供、开放等活动”。没有引用数据安全法和个人信息保护法中的“公开”，而是创设了“开放”行为。第五，在对数据处理作概况规定的基础上，创设了其他数据处理行为。例如，《上海市数据条例》第二十七条规定，“市大数据资源平合和区大数据资源分平台是本市依托电子政务云实施全市公共数据归集、整合、共享、开放、运营的统一基础设施，由市大数据中心负责统一规划”。创设了“归集、整合、共享、开放、运营”等概念。再如，《四川省数据条例》第二十六条第二款规定，“公共数据开放，是指政务部门和公共服务组织向社会依法提供公共数据的行为”。《重庆市数据条例》第三条第六、七项分别规定，“公共数据共享，是指政务部门、公共服务组织因履行法定职责或者提供公共服务需要，依法获取其他政务部门、公共服务组织公共数据的行为”“公共数据开放，是指向自然人、法人或者非法人组织依法提供公共数据的公共服务行为”。针对公共数据创设并界定了“共享、开放”等概念。

为了更好发挥数据要素的作用，中共中央、国务院印发了《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称《意见》），从不同维度对不同环节的数据处理行为做了非常深入的解构，亦引入了一些数据处理概念。例如，数据来源、生成、生产、采集、持有、托管、加工、流通、交易、应用、治理、供给、跨境流动等。这些概念与数据安全法和个人信息保护法规定的“收集、存储、使用、加工、传输、提供、公开、删除等”处理行为的关系需要进一步研究。例如，《意见》中的“采集”与前述两部法律的“收集”在规则和后果等方面的区别。再如，“数据采集”与“数据收集”、“数据应用”与“数据使用”、“数据供给”与“数据提供”、“数据交易”与“数据流通”存在的差异等。

综上，关于数据行为或数据处理行为，三部法律规定不完全一致；各地规定也不完全一致；各地规定与法律规定更是不完全一致，概念所揭示的数据行为边界及相互之间的关系难以界定。为此，有必要在尊重技术规律、经济规律、法治规律的基础上对数据行为的概念进行系统化的再造，予以明确界定，从而构建数据行为体系。

随着数字技术的蓬勃发展和广泛运用，数据量呈几何级数增长，数据存储和计算的技术、能力突飞猛进，数据的价值开始衍变，嵌入并赋能生产过程进而成为生产要素。作为信息载体，数据成为人类社会前所未有且取之不尽、用之不竭的新兴生产要素，并为经济发展、社会进步、科技创新赋能。作为信息载体，数据一旦要素化和市场化，就由信息利益载体衍生为资源利益载体。从数据赋能的机理分析，数据处理是数据要素化的前提和过程。没有数据处理行为就不可能实现数据的要素化。数据要素市场化必然推动数据处理服务的专门化、产业化。

鉴于数据作为信息载体和资源的双重属性，数据内容相关利益亦是双重的，即信息相关的利益和资源相关的利益。资源相关的数据利益源于但不同于信息相关的利益。数据行为相关利益源于数据因处理而增质和增值。简而言之，数据因收集而获得且不至于流失并得以保存；数据因存储而汇聚为资源；数据因加工而成为生产要素；数据因传输而弘扬其非竞争性、可复制性、非排他性等资源特征；数据因公开而赋能更多运用场景；数据因使用而彰显其独特的要素价值。

数据处理是数据要素化、资源化、市场化的前提，数据资源的价值基础和增值过程离不开数据处理，数据的合法处理者应当享有正当的数据利益。因此，数据利益可以解构为数据内容相关利益和数据行为相关利益。相应地，数据利益相关者包括数据内容利益相关者和数据行为利益相关者两大类数据主体，前者可被称为数据内容主体，后者可被称为数据行为主体。数据内容利益相关者（即数据内容主体）主要解决“关于谁的数据”这一问题，也就是与数据内容相关的数据利益相关者，包括自然人、法人和其他非法人组织。与之对应，可以将数据分为关于自然人的数据、关于法人的数据、关于非法人组织的数据，等等。基于自然人、法人和非法人组织的分类，与内容相关的数据利益相关者还可以继续进行更为深入细致的分类。例如，关于自然人的数据，还可以分为身份数据、行为数据、关系数据等；关于法人和非法人组织的数据，还可以分为诸如组织状态数据、产品或者服务的生产经营数据等。

数据行为利益相关者（即数据行为主体）主要解决“数据怎么处理以及由谁处理”这一问题，也就是与数据行为相关的数据利益相关者，根据数据安全法和个人信息保护法有关数据处理和个人信息处理的相关规定，包括数据收集行为及收集者、数据存储行为及存储者、数据加工行为及加工者、数据使用行为及使用者、数据传输行为及传输者、数据提供行为及提供者、数据公开行为及公开者、数据删除行为及删除者，等等。

我们注意到，在借鉴欧盟相关制度的过程中，我们引入了“数据主体”（Data subject）这一表述。“数据主体”概念最早见于欧盟《数据保护指令》（Data Protection Directive）（又称95/46/EC指令）。《数据保护指令》的第二条提到了数据主体，即个人数据是指与已识别或可识别的自然人（“数据主体”）有关的任何信息；可识别的自然人是指可以直接或间接识别的人，特别是通过参考识别号码或与其身体、生理、精神、经济、文化、社会身份有关的一个或多个具体因素来识别的人。《数据保护指令》还界定了数据主体的权利，包括对收集和使用其数据的知情权、访问权和反对处理其数据的权利等。《数据保护指令》于2018年被《通用数据保护条例》（GDPR）取代，但“数据主体”概念被沿用。此概念只用于与个人数据相关的情形，指代的就是可被数据识别的自然人。在欧盟法律语境，“数据主体”的构造前提是严格区别个人数据与非个人数据，并且是为了给予个人数据和个人隐私权特别保护。

虽然我国应该借鉴“个人数据与非个人数据”的区别，但却没有引入“数据主体”的必要。原因之一就是，在我国法理学或部门法学中，“主体”多指法律关系的主体，可以解构为权利主体、义务主体、责任主体等。彼“主体”非此“主体”，引入“数据主体”之后可能会产生更多混乱。