数据作为数字经济的核心生产要素,被视作数字时代的 “石油”,其合规采集、加工、流转与利用,已成为企业生存发展的底线要求与核心竞争力。但在实践中,数据权属界定模糊、数据流转链条复杂、数据权益冲突频发、跨境数据规则不明确等问题,让企业数字资产治理陷入多重困境。从中央企业到中小市场主体,多数已将数据合规纳入战略顶层设计,但仍有大量企业因数据处理行为不规范、数据边界认知不清,陷入侵权诉讼、行政处罚、商业秘密泄露等法律风险,核心矛盾集中在数据权益边界不清与跨境流动规则缺失两大层面。如何在风险防控与价值挖掘之间找到平衡,在数据保护与要素流通之间划定边界,成为当前数字经济治理的核心命题。
1、现实困境:数据合规的核心矛盾与治理痛点
数字经济场景下,数据从产生、采集、加工到交易、应用,形成多主体参与、多环节流转的复杂生态,传统产权规则与法律框架难以完全适配,引发三类突出痛点。
- 数据权益归属模糊,权利冲突常态化
企业原始数据、加工后数据产品、公共数据、个人信息交织并存,数据来源方、处理方、使用方的权利边界不清晰。原始数据持有者是否享有排他权?数据加工者能否就衍生数据产品获得独立权益?公开数据可否自由采集利用?这些问题在司法实践与企业经营中长期存在争议,直接导致数据合作、数据交易、数据商业化的合规风险居高不下。 - 数据处理行为失范,侵权风险高发
部分企业在未获授权、未做安全评估、未履行告知同意义务的前提下,擅自抓取、搬运、加工、售卖他人数据;部分企业以 “公开数据可自由使用” 为由,过度采集、滥用数据,侵犯企业商业秘密与竞争利益;还有企业数据安全管理缺位,引发数据泄露、篡改、损毁,触碰数据安全、个人信息保护的法律红线。 - 跨境数据流动规则不一,全球化经营合规成本高
不同法域对数据跨境传输、数据本地化、个人信息保护采取截然不同的监管路径。欧盟以严格的权利保护为核心,美国侧重行业自律与竞争监管,RCEP 等区域贸易协定推动数据流动便利化。企业开展跨境业务时,面临多重规则叠加适用的困境,一旦操作不当,可能面临巨额罚款与业务停滞。
2、司法破局:典型案例确立数据权益的裁判规则
在立法逐步完善的同时,司法实践已通过典型案例与指导性案例,为数据权益界定、数据合规利用提供了明确裁判指引,形成 “保护合法权益、鼓励要素流通、禁止非法攫取” 的司法导向。 - 电商平台数据:禁止非法“搬运”,保护数据竞争权益
全国首例涉电商平台商品大数据不正当竞争纠纷案(天猫、淘宝公司诉锐某公司不正当竞争案),为平台数据权益保护树立标杆。
该案中,锐某公司运营 “铺货易”“代销易” 软件,在未获天猫、淘宝平台及商家授权的情况下,帮助经营者将平台商品数据批量搬运至拼多多,形成 “无货源店铺” 模式,非法利用他人数据资源获取商业利益。法院明确认定:电商平台对其投入人力、技术、资金整理形成的商品大数据,享有反不正当竞争法意义上的合法权益;未经授权的数据抓取、搬运行为,破坏了市场竞争秩序,构成不正当竞争。
该案的核心意义在于,将数据权益纳入网络虚拟财产保护框架,明确数据并非无主资源,投入合法成本形成的数据集受法律保护,为企业数据资产的司法保护提供了关键依据。 - 企业公开数据:允许合规加工,平衡流通与保护
2025 年最高人民法院发布的指导性案例 264 号(某钢铁有限公司诉某电子商务股份有限公司侵权责任纠纷案),进一步厘清了公开数据的合规边界。
该案中,电子公司通过微信群、电话等公开渠道,采集钢铁公司已对外发布的钢材价格信息,经标准流程加工形成价格指数数据产品并对外提供服务。钢铁公司以侵权为由要求删除数据,法院最终驳回其诉请。
该案确立三项核心规则:
(1)企业对自身生产经营中产生的原始数据享有持有、使用权,但已公开的数据不具有排他性,他人可合法合理采集利用;
(2)数据处理者通过合法方式采集公开数据,经符合标准的方法加工形成数据产品,享有独立的经营性权益;
(3)数据利用行为未损害原始数据持有者合法权益、未窃取商业秘密的,不构成侵权。
这一案例明确了数据权益可分置、可并行的原则:原始数据权利与数据产品加工使用权可以共存,既防止企业以 “数据所有权” 为由设置数据壁垒,又保障数据处理者的合法收益,为数据要素市场化流通提供司法支撑。
3、国际借鉴:差异化规制路径与合规启示
全球主要经济体与区域组织,基于自身数字经济发展阶段与治理理念,形成了差异化的数据合规与跨境流动规则,为我国企业与立法提供重要参考。
欧盟:权利本位,严格保护
以 GDPR 为核心,构建以个人信息与数据权利为中心的严格保护体系,强调数据主体的知情权、决定权、删除权,对跨境数据流动设置 “充分性认定” 高门槛,违规企业最高可处全球年营业额 4% 的罚款,是全球最严格的数据监管框架。
美国:行为规制,自律为主
采取行业自律与重点领域监管结合模式,通过《平台责任法案》等规则,聚焦数据安全、市场竞争与消费者保护,不过度预设数据权属,更注重规制数据处理中的不正当竞争与滥用行为,兼顾数据产业创新与安全。
RCEP:区域协同,便利流动
在区域贸易框架下推动数据流动便利化,鼓励成员国消除不必要的数据壁垒,支持数据跨境自由传输,为跨境电商、数字服务贸易提供明确合规指引,降低区域内企业数据合规成本。
从国际实践可见,数据合规没有统一模式,核心是立足本国产业实际,平衡安全与发展、权利与流通。我国推进数据合规治理,应借鉴国际经验,立足数据产权结构性分置制度,明确原始数据、数据产品、公共数据的不同权利规则,让数据在安全可控的前提下自由流动、高效利用。
4、合规路径:企业数据治理的实操方案
结合司法规则与国际经验,企业应构建 “权属清晰、流程规范、风险可控、权益平衡” 的数据合规体系,重点落实四项举措。 - 厘清数据权属,分类分级管理
◆区分原始数据与数据产品:对自身生产经营产生的原始数据做好确权与保密;对投入成本加工形成的数据产品,明确商业权益并做好权利固定;
◆区分公开数据与非公开数据:公开数据可合规采集,但不得侵犯商业秘密与竞争利益;非公开数据必须取得明确授权,严禁非法抓取。 - 规范数据处理全流程,防控法律风险
◆采集环节:遵循合法、正当、必要原则,公开数据通过合法渠道获取,非公开数据签署书面授权协议;
◆加工环节:采用符合行业标准与技术规范的处理方式,保留加工记录,避免数据失真、编造;
◆使用环节:在授权范围内使用数据产品,不超出合理边界,不损害原始数据持有者利益。 - 完善数据安全保障,守住合规底线
建立数据安全管理制度,采取加密、访问控制、安全审计等技术措施,防范数据泄露、篡改、丢失;涉及个人信息的,严格履行告知同意、最小必要、定期公示等义务,符合个人信息保护法要求。 - 跨境数据合规,适配国际规则
开展跨境业务前,做好数据出境安全评估,区分不同法域监管要求,优先选择区域协同规则(如 RCEP)框架下的合规路径,避免触碰境外数据监管红线。
5、结语:以权益平衡实现数字资产价值最大化
数据合规的本质,不是限制数据利用,而是在保护权利与促进流通之间找到最优平衡点。从司法案例确立的裁判规则,到国际社会的治理实践,都指向同一方向:数据作为核心生产要素,必须在清晰的权益边界下安全流转;企业既要守住风险防控底线,不越权、不侵权、不滥用,也要主动挖掘数据价值,通过合规加工、合法交易释放数字资产潜力。
未来,随着数据产权制度、数据流通交易规则、跨境数据流动规范的逐步完善,企业数据治理将从 “被动合规” 转向 “主动治理”。唯有以合规为基、以平衡为要,才能破解数字资产治理难题,让数据真正成为驱动企业发展与数字经济增长的核心动力。
