贸大副校长梅夏英：数据的法律属性及其民法定位 | 中国社会科学

计算机数据是不是财产以及其与民法客体的关系问题在民法理论上缺乏基础性研究，既有的网络民事纠纷裁判及理论研究倾向于单独将数据进行客体化和财产化的处理。数据没有特定性、独立性，亦不属于无形物，不能归入表彰民事权利的客体；数据无独立经济价值，其交易性受制于信息的内容，且其价值实现依赖于数据安全和自我控制保护，因此也不宜将其独立视作财产。基于数据的非客体性，大数据交易的合同性质宜界定为数据服务合同；基于主体不确定、外部性问题和垄断性的缺乏，数据权利化也难以实现。数据具有工具中立性的本质特征，法律能够对其实现的规制功能有限。网络民事纠纷可以区分为工具性和虚拟性两类，分别适用一般侵权救济和违反保护他人法律的侵权救济。

关键词：数据；法律属性；财产；客体

在我们所处的互联网和大数据时代，数据作为现代生活的基础媒介和重要资源，其价值已被社会充分肯定，并日益深刻地改变了人们的生活方式和思维观念。大数据时代也给民法带来了新的挑战，其中数据的财产化成为一个日益普遍且不可回避的问题。随着我国互联网尤其移动互联网的日益普及，用户附着在数据上的经济价值(包括网店、邮箱、游戏装备、虚拟货币、个人信息数据、电子账号等)日益突显。数据的财产化和资源化使关于数据的民事纠纷日益增多，主要体现在网店的分割、个人邮箱的继承、网络游戏装备的失窃和交易、企业大数据的交易等方面。相关案例一度为审判人员带来困扰，同时也为我们提出了一个民法学的基本问题：数据是财产吗？能构成民法意义上的财产权吗？换言之，数据能构成民事权利的客体吗？对这一问题的解答涉及民法对数据的基本态度和定位，并会直接影响民事立法和裁判。本文拟就数据、客体与财产之间的关系从民法学角度进行梳理，探讨数据的民法学意义，进而建立数据的民法学分析框架，在此基础上，探讨数据纠纷的解决和救济方式，以供商榷。

关于数据的客体性问题，始于网络游戏装备的失窃案件，即2003年游戏玩家李宏晨网络游戏装备失窃案。此案引发了游戏装备是否适用于物权法保护，或游戏装备是否构成民法上的“物”这一核心问题的争论。该案最终判令网络游戏公司将游戏装备恢复原状，这一判决实际上确认了网络数据归属于“物”的客体地位。相似结论也见于其他国家和地区的立法，如韩国、日本及我国台湾地区。当然，基于侧重点的不同，关于虚拟财产的定性，除了物权说以外，还有债权说、知识产权说等。尽管债权说强调网络服务提供者与用户之间的合同关系，提倡用合同法来保护虚拟财产，但在数据本身的认定上，要么将其作为一种特定的客体看待，要么就忽略不论，数据的法律地位并没有得到解决。

继网络游戏数据纠纷之后，又出现了许多其他类型的网络民事纠纷，如电子邮箱和网店的继承纠纷，2011年，王女士因丈夫突然离世，向腾讯公司请求获得丈夫的QQ密码以取得邮箱中的信件和照片的请求，腾讯公司以QQ号码的所有权属于腾讯，其丈夫仅享有使用权为由，拒绝了王女士的请求。在美国首例电子邮箱继承案“John Ellsworth诉Yahoo”中，起诉人John Ellsworth向雅虎公司索取在伊拉克战争中阵亡的儿子的邮箱账号及邮件，雅虎公司以涉及用户隐私为由拒绝了其要求，法官最后判决，支持雅虎公司以隐私政策为由不提供邮箱登录名和密码，但应制作一张包含邮箱内所有邮件的CD交付给起诉人John Ellsworth。关于网店继承问题，源于2012年两位淘宝店主猝死所引发的纠纷。为此，淘宝网于2013年4月推出网店“过世过户”规定，将网店视为一种财产同意继承人进行过户。

从上述各案例的判决或解决途径中，可以看出中国实务界倾向于将网游装备、邮箱、电子账号或网店当作客体性的物或财产看待，而美国倾向于将电子邮箱当作隐私权的客体予以保护。同样的电子邮箱继承问题，两国实务界却作出了迥乎不同的判断，横跨了财产权和人身权客体的界限。这也反映出为解决网络数据纠纷，各国力图在自有传统私法体系下，采取各自认为最方便、最直观和最接近传统的法律定性来解决相关问题。但上述案例也反映出了法官判决时的矛盾心态，如在雅虎邮箱案中，既然美国法院将电子邮箱适用隐私保护规则，就不应当将邮箱内容复制给请求人，因为邮箱内容比邮箱账号更具有隐私的意义，更值得法律保护。又如淘宝网的过户规定中似乎将网店与实体店等同而看作同样的法律性质，但须知通常所谓的“网店”只是现实店铺经营的电子平台，它只是现实店铺的经营要素，根本不能代表店铺的全部利益。另外，网店的“过户”在电子操作上也只不过是将用户资料、登录名和密码进行更改而已，与电子邮箱或网络游戏电子账号及密码的更改没有根本区别，这种“过户”纯粹属于网络服务的常规操作，是电子账号操作权限的变动，至于是否产生财产或利益变动，则与“过户”与否没有直接的因果关系。即便如此，上述案例的裁判尝试仍然是值得肯定的，在数据的定位及数据秩序被立法者系统掌握之前，不能过分追求新型数据纠纷的理论自洽，但是案件中对于数据、隐私、财产和客体等概念界定的模糊不清需要理论上的提炼和澄清。

数据是否具有财产性这一问题同样复杂。数据的财产性和客体性正如民法中的财产和客体关系一样，既相互联系又相互区别。大体来讲，客体问题较为清晰，因为客体本身是一个严格的民法建构性概念，而财产问题则模糊得多，它在法律表述中具有三种不同的含义：第一种含义，是将财产等同于物权法上的物，即“物即财产”；第二种情况是，财产在民法中成为财产权的代名词，它涵盖人身权以外的所有财产权，自《德国民法典》确立权利体系并始终坚持用权利来表达利益之后，财产的内涵便随之权利化了，即无权利即无财产(当然法益除外)；财产的第三种含义最为抽象，它将与经济利益相关或带来经济后果(尤其是金钱)的法律关系也评价为财产，这种含义时常脱离了“物”或“财产权”这些法律概念的语境，理论上难以把握。数据的财产定性主要是在第三种意义上使用，即因数据最终与经济价值相关而具有财产性。在数据是否具有“客体性”这一问题解决之前，“虚拟财产”的概念早已经被广泛使用了。将数据归为虚拟财产有一定的积极意义，即在数据立法规律还未被系统探知之前，涉及经济利益的数据纠纷可顺理成章地通过财产法来解决，尽管是适用物权法、债法还是侵权法，能否达到完美的目的，仍是未知数。另外，在数据成为现代社会重要的商业资源，通过互联网商业模式的创新即能产生很大经济利益的情形下，将数据作为一种重要财产或资源看待有一定的合理性。但是，数据本身是否属于财产这一问题仍值得斟酌，尤其在传统民法严谨的概念体系中如何归类和调整目前尚不明确，其中数据因受制于信息的内容而难以抽象界定和评价，都是理论上需要厘清的问题。

本文所研究的“数据”(electronic data)，限于在计算机及网络上流通的在二进制的基础上以0和1的组合而表现出来的比特形式，以此区分于日常生活中各种纸面统计数据，也区别于以文学、图像或视频等形式显示的信息(information)。数据具有两个重要的特点：一是它依赖载体而存在，即它只能依附于通信设备(包括服务器、终端和移动储存设备等)，无上述载体，数据无法存在；二是它通过应用代码或程序自然显示出信息，但信息的生成、传输和储存均体现为通过原始的物理数据来完成。目前各国理论和立法出现了“信息”与“数据”交互使用的现象。这种正式法律文本用语的不一致并非简单的措辞上或语义选择上的问题，而是涉及法律调整对象及调整方法的界定问题，因此在理论上需要厘清信息和数据概念的异同，并确定这种区分的法律意义。

作为信息数字化的形式，电子数据通常与电子信息具有共同的意义，即信息通过数据形式生成、传输和储存，控制数据即掌握了相关信息，在这个意义上数据和信息具有天然的共生性和一致性。目前，各国(地区)理论和立法中“数据”与“信息”两个概念交互使用。具体而言，在个人信息保护立法中，欧盟及其成员国大多以“数据”来表述其立法保护对象；在加拿大和韩国法上，则直接使用“个人信息”作为其立法名称；而在我国香港和澳门特别行政区的相关立法中，虽然使用了“Data”这一英文词汇，但其对应的中文词汇却是“资料”，而从两法对于“资料”的定义来看，其更多指向的是具有实质内容的“信息”。数据和信息主要具有以下几点区别：

首先，信息的外延大于数据。数据只是信息表达的一种方式，除电子数据外，信息还可以通过传统媒体来表达(如纸张、音像等)。亦即信息因其内容而具有意义，但这些具有特定意义的信息并不仅仅由电子数据来传播，数据作为信息技术媒介为其首要特征。

其次，数据兼具信息本体和信息媒介的双重属性，从而有别于必须与传送媒介相分离的信息。数据本身既是信息的数字化媒介同时又可直接显现为信息本身，这是由现当代计算机技术的特性决定的。正是基于数字化技术的特点，数据除作为媒介以外，同时又因其与信息直接对应，而带有信息本体性的特点。数据这种双重性质使数据相对于传统媒介的信息流通而言，具有自身独特的信息传播属性。它易于流通、复制、删除和存储，它在封闭的计算机和网络技术体系中流动，天然依赖于数据系统，并对信息的分享和保护呈现出自身的特性和运行规律。信息数字化的意义就在于信息脱离了传统媒介而由单一的数字媒介所取代，并形成一个封闭的系统空间，我们无法脱离数据来独立地享有和处理任何信息。

再次，互联网技术系统打破了传统的信息先于媒介存在的状态，而体现为网络具有通过数据产生信息的功能。如海量储存在Cookie里的网络行为数据即体现为用户的网络行为信息，这种网络行为数据正是大数据的基础形式，也是网络数据具有市场价值和潜力的来源；又如网络游戏中的虚拟设备、电子邮箱和网店等电子信息都是由网络通过代码产生的，它基于数据而显示为信息，但这些数据及其显示的信息只能在网络中存在，在现实生活中并没有对应的表达形式和操作意义。质言之，没有网络服务提供者的技术支持，数据以及其所承载的信息都将随之消失。基于此，本文前述案例所争议的焦点也只能是仅仅存在于网络中的相应数据，而非脱离数据系统之外的信息。

基于此种前提，在互联网世界中，信息秩序的建立无法脱离数据媒介而独立完成，信息的分享、交易通过数据分享、交易来完成，对信息的侵害和保护亦是通过数据操作行为来实施或实现。研究互联网体系中数据本身的法律问题并不意味着忽视信息的价值，它是研究互联网技术背景下信息利用和保护问题的起点和落脚点，正是立足于数字化技术的特殊性，网络信息的规制依赖于数字化技术平台中数据基础秩序的建立和数据操作行为的规范。值得注意的是，传统法律对信息的调整着眼于信息的意义，对于个人信息、隐私或智力成果等法律基于特定内容而保护的信息，民法理论和实务部门仍应适用既定法律规则，将信息本身作为直接对象予以保护，网络数字化平台在此仅作为权利行使或者侵权的工具存在。本文主要着眼于脱离了传统法律所明确保护以外的具有信息内容的数据，对于这些数据所显示的信息的内容判断并不能推断出现实的法律保护意义，但却具有重要的理论探讨意义。

如前所述，传统私法倾向于将数据作为民法上的客体或财产纳入到既有体系予以调整，对此理论界不乏各种质疑，但诸种质疑仅限于对数据救济的请求权基础的选择上，对数据本身的特性和定位缺乏正面的研究和回答。

民法中的客体概念源于《德国民法典》，它是为界定民事权利而创设的制度，通过客体概念，《德国民法典》使“权利”这一核心概念具有了一个价值宣示和形式构建的坚实基础，从而使建立在权利概念上的人和行为制度得以系统展开。客体在近代德国民法的这种体系价值是我们探讨数据客体性的前提，由此应该探讨数据作为一种客观存在是否能类似于“物”而成为民法上的客体。数据与传统德国民法中客体物的不同体现在如下几个方面：第一，数据缺乏民事客体须有确定性或特定性这一基本要求。数据从表面上看虽然具有特定的组合形式，但这种特定性并不能构成客体的特定性，主要体现为它无法为民事主体所独占和控制。现代通信技术下的数据服从信息的生成和流通规律，天然具有流通和分享的特性，亦即复制、删除、上传和发送为其固有功能。若赋予数据以民事客体地位，则基于其复制和删除的特性，会造成多个主体同时享有数据或客体随机灭失的情况发生，从而使客体处于变动不居的状况，这直接与客体确定性的要求相违背。

第二，数据缺乏民事客体所要求的独立性。在现实物理世界中，民事客体是民事权利的附着对象，它必须是能实际控制的并能划分与他人利益范围的独立载体，而数据无法脱离载体而存在的特性，决定了民事主体无法直接控制数据，即便同时控制了诸如电脑终端或储存设备等数据载体，也无法控制基于复制、网络流通或不当行为为他人所分享，加之数据需要通过代码加以显现的特性，民事主体即使控制了数据，没有合适的代码也无法享有数据所包含的信息。在此意义上，网络数据对隐私权或知识产权的侵犯与通过报纸、电视、书籍出版侵权一样，均属于以媒介为工具的侵权，如果报纸、电视节目或书籍本身不能作为人格权或知识产权客体的话，那么数据作为媒介工具也同样不能作为信息权的客体看待。

第三，数据也不构成民法中作为客体的“无形物”。除了有体物以外，民法尚有以“无形物”作为权利客体的(如智力成果)，数据能否类似智力成果作为无形物而成为权利的客体？数据作为以比特形式存在的物理介质，确实具有无形性的表征，但却不能构成客体意义上的无形物，因为作为无形物的智力成果是以其信息内容的专属性和垄断性来表彰知识产权的，而数据并非以其所含信息内容来界定权利义务关系，而是以作为存储在网络的比特形式来加以讨论的，故数据本身并不具有类似知识产权所具有的信息垄断性的内在特征。物权法上也存在以电、热、声、光甚至空间等无形物作为物权客体的，可本质上仍为有体财产的延伸，属于有体财产的范畴。数据虽然与上述物理性的客观存在一样具有无形性，但已与有体财产完全脱离，且两者分属信息(或媒介)和能量(或物质)范畴，并且服从不同的法律调整规律，数据的价值在于实际控制，而无形物的价值在于稀缺，且数据不具有上述无形物所具有的独立性和特定性的客体性要求，故数据也不能类比电、热、声、光等成为物权法上的无形物客体。

第四，数据作为客体与民法中客体的实体权利表彰功能不相契合。民法之所以强调客体并将客体作为总则的一部分，源于德国民法典的“主体—权利—客体”结构，客体作为界定权利内容和界限的附着对象，由此获得了实体法上的权利表彰意义。

数据作为现代通信工具的产物，因依赖于互联网系统且变动不居，而缺乏稳定性这一利益表彰功能的现实基础，它是为民事主体的相关民事行为服务的，其结果是协助民事主体取得或转让某种民事权利，而自身并不能创造新的民事权利关系。换言之，数据本身并不具有任何意义，只有在被人们赋予内容后，其才能找到自己的定位。当然，针对互联网领域数据操作失范现象，如网络攻击、人肉搜索等违法行为，在依照传统民法从结果上予以性质认定的同时，需要根据网络信息流通规律通过保护性的法律来予以解决，将数据纳入“权利—客体”体系予以解释并不能解决问题。

数据的非财产性与数据的非客体性有很大的理论牵连关系，既然数据在逻辑上不构成民事客体，也就不可能形成任何民事权利，没有民事权利的依托，何来数据的财产性？本文并不否认数据时代数据与经济活动的关系，也不否认数据活动会带来一定的经济价值，而是着眼于数据的工具性和非独立性，在理论上澄清数据本身并不是财产价值之源，它依赖于一个庞大的工具和行为系统才能产生经济价值，甚至数据在其中并不是决定性的因素。具体理由如下：

首先，数据本身不具有独立的经济价值，它依赖于载体、代码和其他诸种要素才能发挥工具性作用。详言之，数据从来是作为系统要素而存在的，不能单独发挥作用，也不能直接产生经济利益。数据的交易必须依附于平台、代码、服务协议、交易合同这些技术和法律关系的整体性交易过程，不可能独立完成，从而其自身并无固定的性质和功能，是否进入财产关系领域，完全依赖于载体、代码和外部法律关系的设定等条件，抽象地认为数据是财产是没有意义的。

其次，抽象强调数据的财产性会忽视信息层面上的交易性和人格权保护的理论冲突，并导致过分商业化的恶果。但数据的实际价值是由其所显示的信息决定的，只是在网络系统中信息的分享和交易必须通过数据操作才能完成。数据是否具有财产性并不是由数据本身来定义，而是由信息内容来定义的。换言之，信息的财产性即直接体现为信息的可交易性。事实上在相同的数据形式下，显示的信息内容不同会导致不同的性质判断。承载隐私信息的数据会显示出隐私信息，承载网络游戏的数据会显示出虚拟财产信息，承载网络行为的数据会显示出网络行为信息等。当然即便是上述不同性质的信息，只要数据控制者不违反法律的强制规定或征得用户的同意，也可以具有交易的价值，从而带有一定的财产性，但这种信息层面上的判断却无法在数据层面上笼统地冠以“财产性”。因为数据所表达的信息并不一定具有交易性，它时常受到隐私、个人信息或知识产权等保护制度的阻却而无法正常交易。在互联网迅猛发展的当代社会，对于网络个人信息保护的范围和方式仍在理论探索过程中，包括对于电子邮箱、网店等个人信息是属于个人隐私抑或个人财产尚存在理论分歧，在此情形下，信息的交易显现出变动不居的不确定性。在信息本身是否具有统一的交易性尚不能予以断言的情形下，抽象谈论数据的财产性便失去了必要的基础。

最后，在缺乏信息保护法律外衣的情形下，数据依赖于操作主体的控制而实现自身利益。在法律对于数据所包含信息内容没有明确保护的情形下，数据事实上由相关主体自身控制来实现其利用价值。这里面隐含着一个基本判断，即该类数据的财产价值并不由数据自身来彰显，而是由当事人的控制行为来实现，一旦数据由他人通过某种途径获取，其很大程度上便失去了商业价值。即使在违法获得数据的情形下，不法行为人所承担的责任并非财产权侵害责任，而是违反保护性法律的行政或刑事责任。数据天生所具有的流动性使法律对数据的保护异常脆弱，且大多通过公法来实现。对于上文所介绍的关于虚拟装备、电子邮箱和网店的案例中，实际上我们并不能就数据本身予以客体性或财产性的定位，因为所谓的虚拟财产重在“虚拟”，它在现实生活中并不存在，上述游戏装备、电子邮箱或网店等都是相关数据显示的电子信息，这些信息的基础就是通过代码生成的数据。由此，对于这些虚拟财产的保护只能通过自身的数据安全控制来完成，一旦网络游戏被人盗号或通过木马侵入服务器而致游戏装备被盗，当事人面临的法律问题并非数据所显示的虚拟财产被盗本身，而是当事人(包括用户和网络服务提供者)对数据安全操作的失控问题。遵循这一逻辑，电子邮箱和网店的归属也是一个数据控制领域的问题，它由网络服务提供者和用户共同掌控。当用户死亡时，电子邮箱仍在服务提供商的控制之下，而死者的操作权限自行消失，其亲属主张继承电子邮箱及其内容实则是要求获得邮箱数据的操作权限问题，而不是“财产”继承问题；同样，法官对于网店的分割也能认定为网店的账户操作权限的分配或转移问题，而不能判定为店铺的财产分割问题。因操作或控制而使数据具有利用价值，很大程度上说明了数据本身并不是财产价值的直接来源，其价值之源在于数据的控制和自我保护。

对数据非客体性和非财产性的阐述，在理论上会出现如下疑问，即在静态下理解单一数据的非客体性和非财产性较为容易，而在大数据成为交易对象从而产生巨大经济利益的情形下，大数据如何具有非财产的性质？如果大数据不具有财产性，数据经济如何建立自身的法律基础，又如何通过财产法予以保护？

大数据是随着网络技术和电商的发展而必然产生的现象，2009年以后它的重要性及战略价值已在全球范围内获得广泛的认同，而在国家战略层面，将大数据时代的网络空间称为与传统的海、陆、空、天并列的“第五空间”也已经成为共识。各国政府在意识到大数据在国家安全战略方面重要地位的同时，更加关注大数据在提升经济结构及占据经济前沿地位方面的重要意义。大数据所特有的基于数据分析、挖掘、获取和交易所产生的经济利用广阔前景和巨大的辐射力，让大数据成为新的经济资源而受到高度关注。据统计，2014年我国大数据交易的经济规模已达到767亿元，同比增长27.83％。

不可否认，大数据能带来巨大的经济价值，但反过来说能带来经济价值的事物是否就构成法律上的财产，则是令人怀疑的。大数据的利用过程主要体现为两个方面，一是网络运营商自身对所掌握数据的分析、挖掘，产生有效的统计结果或个人偏好结论，通过数据的再利用、重组和扩展，从而指导网络运营商进行产品或服务筛选、个人广告精准投放等；二是通过大数据交易直接获得经济利益。对前者而言，大数据本身只是作为经营或生产要素被利用，通过有效的管理优化、降低成本和扩大客户群来达到营利的目的。在这一利用过程中，大数据作为经营要素同企业的人力资源、市场调研或系统平台一样，没有独立的财产意义，其产生的经济价值是企业整体协作运行的结果，况且大数据本身还需要通过分析、挖掘才能产生实际利用价值。

对于第二种利用方式即大数据交易而言，数据是否可作为买卖合同的标的从而获得财产的意义，仍值得探讨。企业之间的数据交易合同属于民事合同当无疑义，但在合同类型上将其认定为买卖合同并不恰当，其理由如下：

首先，民法上的买卖合同是以特定标的物为对象的，交易对象体现为动产、不动产，同时具有唯一性、排他性的特点，这决定了在“一物二卖”的情况下，法律只能满足一个买方的请求。而大数据交易合同中数据并不符合买卖合同标的的上述要求，它的对象是无形的数据，基于数据的可复制、可删除和可传送的特点，它不具有唯一性和排他性，由此大数据控制人可以同时与多个相对人交易，由多个相对人分享数据而不产生任何矛盾。

其次，大数据交易中的数据分享行为不具有买卖合同中物的交付的特点。买卖合同中物的交付遵循动产转移占有和不动产过户登记的基本公示方式，由此获得了对抗第三人的效力。而大数据交易中，数据作为无形的比特流，不可能由数据控制者直接交付给对方，它必须依赖储存设备或网络通讯系统才能完成传递过程。数据本身不具有排他性决定了大数据交易合同中，数据无须公示，无须对抗第三人，数据交易的核心内容在于数据控制者的数据传送行为，而非数据公示。这就如传统的情报交易，当事人支付价款获得对方的情报信息即为交易完成。大数据交易中数据控制人的主要义务同样体现在通过各种方式告知数据内容，至于所采取的方式(拷贝、即时通讯传输、电邮或在云端提供账户和密码等)则在所不论。

最后，大数据交易合同无效与买卖合同也有本质区别。买卖合同无效后，除了善意取得以外，买方应返还原物于卖方。而大数据交易合同在履行完毕后确认无效，则无法产生返还数据的效果。数据一俟相对人掌握，即无法恢复到数据交易前的状态，交易相对人掌握数据已是难以改变的事实，数据控制人只能通过损失赔偿、禁止使用等方法获得救济。这就如同储户将纸币存入银行后，即使储蓄合同因法定原因被撤销，其也只能要求银行返还等值的货币，而不能针对当时存入银行的特定货币提出返还要求。

可见，大数据交易合同本质上不是民法上的买卖合同，而是一种数据服务合同，数据控制者为对方提供数据成为数据交易的核心内容。数据本身的无形性、可复制性使数据不可能成为某种权利独占的标的，在数据世界中，只有知晓与否的问题，没有归属甲或归属乙的问题。数据的交易价值完全依赖于数据控制方的自我控制措施，在数据泄露或数据被窃取的情形下，数据服务的价值便会全部或部分丧失。

将大数据交易定性为数据服务合同，很难在我国合同法上找到有名合同与之对应。基于服务的特性，只有劳务合同与其最为接近，但是劳务合同以劳务提供过程为交易对象，而大数据交易则并不着眼于劳务过程，而是以结果意义上的数据提供服务，这种服务是以服务方控制某方面的大数据为前提的。从法理上看，大数据交易合同应属于合同法上的无名合同，受合同法总则部分调整。

对网络侵权中人格权的保护是当今世界所有网络信息立法的主线，这构成了数字化生活中的主要民事问题，这种状态目前仍未有大的改变。但人格权的保护楔入数据利用秩序，并未真正触及数据本身利用的问题，因为网络上的人格保护是现实人格权保护的延伸，人格要素或人格权是数字世界之外的既定法律存在，网络并不能对人格权本身有所影响，也不能影响人格权侵权归责体系，由此网络只不过成为侵犯人格权的新型工具形式而已。至于个人信息的保护问题，则较人格权更接近信息世界本身。非隐私的个人信息也需要一定的保护，这已成为各国的共识，由此个人信息保护法成为目前网络立法的重点。但个人信息保护的理论基础仍不充分，在失去隐私保护的正当性基础之外，私法上的个人信息保护依据尚有待进一步论证。而且个人信息的保护常常涉及公法对公共安全和网络社会秩序等方面的价值考量，其正当性似乎也存在于公法之上。

在个人信息保护的基础上，针对个人信息的自我利用，有学者提倡个人信息财产权，即将个人对信息的处分取得利益的可能性予以权利化，以此与人身权相区分，并纳入民法财产权利体系予以调整。这种理论主张实际上确认了信息的客体地位，并将个人信息财产权塑造成具有明确边界和排他性的绝对权，反映了目前普遍存在的“权利泛化”思维，即将某一能带来经济利益的行为当作权利看待，与“人格权财产化”的主张遵循同样的逻辑。财产权未必能带来经济利益，反之经济利益未必来自财产权，权利和经济利益从来就没有必然的对应关系。另外，从客体角度看，个人信息的可传播、可复制性决定了它不能取得类似物权中的“物”的客体地位，它不具备唯一性、特定性和公示性等客体所固有的基本特征。实际上，通过个人信息的利用产生经济利益，完全可以通过合同关系来得到充分的解释，无须设立个人信息财产权来解决。以上从人格权的保护、个人信息保护和个人信息财产权角度进行的理论梳理，仍只停留在信息的层面上，对数据问题并未直接涉及。因为上述信息并不一定表现为当代网络中的数据形式，也可能存在于其他媒介之上(如书籍、音像和报刊等)，信息关注的是媒介所携带的内容。而当代网络数据法律研究关注的是数据本身，且仅限于计算机和网络技术下的数据形式。当然在物理层面上的数据与应用层面上的信息具有共生关系，但显然物理层面上的数据是信息的母体，并且在信息流转中数据的流转是首要的、不可或缺的。

随着大数据的利用日益普及，脱离人格权或个人信息保护语境下的数据权概念逐渐受到重视。数据权意欲解决的是数据控制和利用的行为秩序问题，并由此建立民法调整数据关系的权利基础。但这种抽象的表述无助于我们建立真正民法意义上的权利类型，数据权利在权利诸要素方面都缺乏稳固的基础。除了前面所阐述的数据非客体性的理由之外，数据权利化的理论困境体现在以下三个方面：

1.权利主体的不确定。数据在网络系统中以比特流的形式交互流通，沉淀在网商服务器或个人终端的储存设备上，同时由多个主体分享，此时赋予何者享有数据权便成为首要问题。现有对个人信息数据保护的法律规则并不能解决这一问题，它只是限制网络运营商在未经用户同意的情况下非法使用个人信息，且仅限于个人信息，而不能对个人信息数据的归属有所指涉。除了用户的个人信息，网络上存有天量的各种公开数据，这些数据在开放的网络空间跨国界流动，对这些数据进行权利界定完全不可能，也因此有人主张网络公开流通的数据为集体财产(collective property)的观点。实际上，当代网络数据的价值体现在基于运营商平台天然优势而形成的大数据上，而不是单个数据的价值集合，且大数据中的任何数据都不可能为单一主体独占，因此主体的分散化问题仍然不能得到解决。

2.数据的外部性问题(externality)。外部性是经济学的术语，指的是某个经济主体对另一个经济主体产生一种外部影响，而这种外部影响又不能通过市场价格进行买卖所产生的溢出效应。大数据目前被置于一种数据拥有者自我控制的领域，很容易因他人“搭便车”的行为而产生外部性问题。如因数据被泄露或失窃造成的数据公开而为他人分享；又如运营商免费使用海量用户的网络数据等。外部性的问题在经济学上主要通过产权界定和国家管制(如税收、补贴或行政许可等)来解决，对于产权界定而言，科斯定理主张在产权明晰的前提下由权利人自由协商，以消除外部性。但对于数据而言，产权界定并不一定适用，因为科斯定理本身也受到界定成本和参与人数的限制。就成本而言，大数据体量之大已超出了常规的合理计算范围，界定大数据的成本以及监督和强制执行成本大大超出了大数据控制者受他人侵犯而承受的损失，况且数据本身的流动性使对数据及数据使用行为的界定不可能。就人数而言，科斯定理仅仅局限于人数较少的情形，即少数人可以通过协商达成一致消除外部性。但对天量的网络用户而言，在信息不完全和不对称的情形下，即使界定了数据产权，其外部性将呈现多重性和复杂交织的局面，协商过程因成本和难度的增加而很难达成一致。就外部性而言，界定数据权利既不经济也不切实际。

3.数据的垄断性问题。对于无形的信息或数据进行权利界定在法律上并非完全空白，其中最直接的体现就是知识产权。知识产权的规制对象智力成果(著作、专利和商标)均属于无形的信息范畴，智力成果同样具有无形性、可复制性、非排他性等有别于物的特征，但并不影响在其上设立知识产权，那么在数据上是否也可以建立类似知识产权的权利呢？这种设想存在两个方面的理论障碍：一方面，知识产权除了人身权内容部分之外，其财产权部分主要体现为一种流通垄断权，亦即知识产权本身并不着眼于信息本身的控制，如不让人知晓或分享等，而是对于智力成果经济利用或流通的一种独占和垄断。这种垄断之所以在法律上可行，是因为对于智力成果的非法利用或流通是可操作、可识别的，也是可救济的。但对于数据而言，由于其本身的利用价值不在于其所具有的创造性、新颖性等特点，而在于其所蕴含的通过分析和挖掘方能发现的潜在价值，因此，缺少智力成果内容的数据无法被置于垄断领域，纯粹数据本身的流通也很难由数据控制人识别，他人只要获取数据便达到目的。因此，缺少智力成果内容的数据无法被置于垄断领域；另一方面，知识产权保护的对象智力成果与数据有本质的区别。前者属于信息领域，后者属于技术范畴，因属于信息范畴而使智力成果获得特定化的效果，而数据虽然承载了信息，但它本身只遵循数据流通的技术规范，在数据流通平台上数据无法特定化，除非其显示的信息涉及智力成果或个人信息，而进入知识产权和个人信息法律保护视野，在绝大多数情况下，数据不论其显示的信息如何，只是受代码和技术规则的控制。正是在物理层面上，数据因不必然涉及信息识别而使法律在其上建立垄断性权利变得不可能。从某种程度来说，数据之于智力成果，就犹如元素之于化合物，元素本身并不具有独立的价值与身份。

数据的权利化困境为大数据的法律保护提出了一个重要的课题，即如何在法定权利缺位的情况下，保护数据控制人的利益，以规范大数据的合理利用和流通秩序。应当认为，大数据控制人应当享有某种利益，不受他人恶意泄露或窃取等非法侵害。面对这一问题，传统民法采取的解决方案，通常是制定针对特殊利益群体的保护性法律和对背俗侵权行为进行追究，如对于纯粹经济损失的赔偿即属此类，而在我国法律体系中，此种作法亦不鲜见。由此可见，随着数据市场化的不断发展，关于数据利用和保护方面的法律法规理应逐渐成型，届时数据控制人将获得一定程度的法律救济，但数据自身的物理属性决定了对其的保护，仍有赖于控制人自身的技术和制度防护。

网络的普及为现代社会带来了诸多失范行为和商业纠纷，现有法律在这些问题面前往往束手无策。从物理层面上讲，网络传输TCP/IP协议保证了世界范围内网络的互联互通，数据流动得到了极大的解放，但通过层层代码所编译的信息内容或代码本身都给用户和社会造成了不同程度的威胁和侵害，这种应用层面上的信息传递才应该是法律关注的对象。美国学者劳伦斯·莱斯格(Lawrence Lessig)有效地区分了互联网和网络空间，他认为，互联网只是一种技术，互联网数字传输则仅服从于技术规则存在，而网络空间是一种虚拟社区，具有虚拟体验真实生活的价值，亦即只有虚拟社区才值得通过代码和法律来调整。数据通过代码转化为信息，并且代码呈现一个立体化的层次结构，因此代码在网络规制中起着非常重要的作用。莱斯格在考察互联网的自由和控制问题上，提出了网络治理的四种方式，即市场、架构、行为规范和法律，这四种方式构成了一个整体的规制体，其中架构(即代码)起着核心的作用。也就是说，网络的纠纷主要通过制定代码这种技术规则来加以引导和预防。在莱斯格所倡导的四种治理方式中，市场和行为规范与传统领域相类似，而代码与法律的关系是需要关注的重点。

在代码世界中，面对飞速运转的数据流，法律显得手足无措，犹如一个人环绕着一个封闭的城堡，不得其门而入。法律对数据世界调整的局限性在于，数据天然地受代码的控制，不服从任何脱离代码的人为干预，即使法律宣布数据的归属权，权利人也无法脱离代码将之置于可能的控制之下，这就如一个人不能从电脑屏幕上将苹果拿出来一样。所有法律对数据秩序的权利设计或利益分配，都需要合适的代码来实现。这实际上揭示出了法律对技术体系调整的边界，即任何法律不可能调整技术本身的问题，它可以规定技术的标准、技术的归属和技术风险的规避等，但对技术的运转本身却无法干涉。然而，法律虽然不能从自然规律的层面对技术产生影响，但却可以从人的行为角度对技术的具体展现形态发生影响。毕竟，作为网络技术具体表现形式的代码，在本质上是人机交互的结果，人的主观意志依然是决定代码内容的关键因素。在此前提下，法律对网络世界可能调整的方式必须着眼于可控的人类行为，以达到建立良性数据秩序的目的。其中可以实现的行为控制种类可初步总结为：代码的设定行为，网络非法操作行为的预防，身份的确定和跟踪，网络安全审计，网络数据备份和安全信息过滤等。这些行为控制方式基本上脱离了民法的语境，所有的问题都融入了代码的整体系统中。

继美国信息法学者约耳·芮登博格首次提出“代码就是法律”这一命题，莱斯格在《代码2.0：网络空间中的法律》一书中就此进行了系统、深入的阐释。他认为，虚拟空间由法律直接规制已不合时宜，因为法律无法介入到互联网信息传输的技术过程中，决定虚拟空间生成和运作的应该是代码。代码构筑了网络空间，“对代码的选择实际上就是对成就谁或不成就谁，成就什么或不成就什么，以及最为重要的，成就何种生活方式或不成就何种生活方式的选择”。这种代码不再是政府法律中“禁止进入”的命令，而是对某人进入某空间的技术限制。正是因为虚拟空间的这种性质，虚拟空间的失范行为通过代码来矫正便成为首选。事实上，虚拟空间的大多数问题都是通过代码来解决的。比如随着P2P技术的发展，针对P2P平台提供者和用户大规模下载音乐侵犯音乐著作权的问题，美国唱片业与网络服务提供商合作，由网络服务提供商对用户非法分享音乐文件的行为通过电子警告、降低网速，甚至切断其网络服务(“逐渐响应”或“三振出局” )做法，一度遏制了非法分享音乐的行为。又如为了保证信息传输的安全性，网站大多采取数字证书的方式来获得其保密性。以代码来规制网络虚拟空间的优势在于，首先，代码的约束力蕴含于人们的行为之中，无需依赖外部力量即可实现对人们行为的规制效果。其次，代码的约束效果具有极强的确定性。与法律不同，除非存在外部力量的干预，否则代码将排除一切人工干预，为人们提供最为明确且可预见的行为指引。最后，代码的约束效果不会因被规制者主观上是否知道代码规制存在而受到任何影响，因为其不仅是一种观念上的限制，更是一种客观规律的存在。

当然，如果代码就是法律，那就意味着对代码的控制就是权力，代码作者就是立法者，他们可以决定隐私是否会被保护、用户匿名的程度和言论自由的尺度。放任代码的统治也意味着存在合法权利被侵犯的风险，莱斯格认为：“如果说在19世纪中期是准则威胁着自由，在20世纪初期是国家强权威胁着自由，在20世纪中期的大部分时间是市场威胁着自由，那么我要说的是，在进入21世纪时，另一个值得我们关注的规制者——代码，威胁着自由。”为了追求自身利益的最大化，代码控制者会利用代码损害他人的利益，这就需要法律对代码本身进行规制，其途径表现为国家基于利益衡量，对相关代码作出强制采用或禁止使用的法律要求。例如，国家行政机关强制规定所有在国内运营的网络游戏必须实行实名认证并安装防沉迷系统，该系统的使用有效降低了青少年沉迷网游的风险。又如同样为保护音乐著作权，美国法院认定最早的P2P应用程序Napster构成间接侵权，要求Napster对作品进行屏蔽而导致Napster因无法完成任务而破产。当然，为了打破代码的垄断，以开放源代码为目的的开源运动能有效地实现这一目的，如linux操作系统即为打破垄断的成功案例。国家对代码的干预同样也会造成限制公民自由的新的可能性，因此在未来的时间内，法律和代码之间会进行博弈，形成一个动态的平衡。

除了对代码的引导和控制以外，法律对于网络能有所建树的领域体现在网络安全和个人信息保护上，换言之，网络安全和个人信息保护是网络立法的核心，除却网络安全的因素(如黑客攻击、病毒感染等)，大多数民事纠纷均可通过传统法律来处理，此时网络成为了民事违法行为的工具，并不影响传统法律定性的判断。在这个意义上，企图在网络上建立新型的物权、合同、人格权等制度是不可行的。

对于网络立法规律的探讨有助于明确本文的主题，即数据无法进入私法领域获得确切的定位，数据的工具中立性决定了其只服从于代码，它与物权无涉，与合同无涉，与人格无涉，与知识产权无涉，当然在违反网络安全法和个人信息保护法等保护性的法律下，它与侵权有间接关系，但并不能作为侵权的对象，所带来的后果也仅是纯粹经济损失而已。

本文认为，基于网络的工具性和虚拟空间特性，应将网络纠纷区分为工具性和虚拟性两类。工具性的网络纠纷是现实纠纷的一种表现形式，网络在此仅充当不法行为的工具，行为的定性和后果仍依传统法律来判定。如网络隐私侵权、知识产权侵权或电子合同的订立与违反，均适用民法的相关规则来调整，只是不法行为的表现形式具有一定的特殊性；而虚拟性的网络纠纷则是新型的纠纷类型，即它仅存于网络，在现实生活中没有对应物，它完全属于代码的世界，虽然也会造成现实生活的影响甚至财产利益损失，但在传统私权体系当中找不到依据。这类纠纷主要体现在诸如游戏装备或网币(如Q币和比特币)交易或被盗、电子账号(电子邮箱账号、QQ账号等)的继承、网店的继承和分割等等。这些纠纷不能通过民法的行为规范进行定性，但可以通过民法的侵权救济得到解决。

上述两种类型的网络纠纷，决定了在私法救济上的不同路径，这要求实务工作者针对不同的类型选择不同的请求权基础。对工具意义上的网络纠纷而言，我们可以在对行为性质予以认定的基础上，选择合理的请求权基础。比如对于利用网络散布他人隐私的行为而言，裁判者可依照侵权法上隐私权侵害的构成要件来予以认定，对于知识产权侵权、电子合同的效力认定，以及网络不正当竞争行为，亦可通过现行法律中相应的请求权基础来予以解决。值得一提的是，尽管依据传统的法律能够解决网络不法行为的定性问题，但是在具体救济方式上仍有其特殊性，比如《侵权责任法》第36条所规定的“通知—取下规则”和“知道规则”，便是基于网络传播特性对网络侵权救济方式的特殊安排。

对于网络本身衍生的虚拟性网络纠纷，选择合理的请求权基础以获得民法救济是主要问题所在。数据的非财产性和非客体性、虚拟空间要素无现实对应性并不能否认诸多虚拟性网络纠纷的民事性质，因为即便当事人的行为依赖和产生于网络，有些不法行为的后果会间接地映射到现实生活当中，导致用户某些实际利益的变化，如虚拟游戏装备的失窃导致用户操作权限受限甚或导致金钱损失等。在这些纠纷中，受害人只能通过向法院提起侵权之诉来寻求救济。但由于虚拟数据具有非客体性的特点，不能构成权利的标的，因而如果按照一般侵权行为的构成要件来衡量，该侵权行为将因没有受侵害的权利对象而难以具备客观的“违法性”要件。尽管我国侵权法一般条款没有将以权利对象被侵害为内容的客观违法性纳入构成要件，但是在司法实践中还是要将此纳入考虑范围，如若不然，没有权利基础的侵权所导致的纯粹经济损失范围过大，将会导致诉讼泛滥。由于我国侵权法一般条款没有对纯粹经济损失进行限制的有效机制，因而可借鉴《德国民法典》第823条第2款的规定，“违反以保护他人为目的的法律”而导致的经济损失可由侵权法获得救济赔偿。随着我国《网络安全法》和《个人信息保护法》起草和未来实施，将上述“违反以保护他人为目的的法律”作为虚拟数据违法行为所导致的损失救济的请求权基础，便有了法律依据。这需要在上述两部保护性法律颁布实施的前提下，对我国《侵权责任法》进行立法解释、司法解释或立法修订来解决。

除了上述侵权性的虚拟网络纠纷，对于类似于电子账号、网店继承等数据纠纷，我们无法在民法上找到合理的请求权基础。这类纠纷不能理解为表面上的数据确权问题，这是因为数据本身没有客体性，也无所谓民法上的确权，它的实质是对上述争讼的账户的一种网络操作权限，解决了操作权限问题即解决了问题本身。至于申请人对账户操作的诉求是否合理，则不是现行民法所能解决的问题。因为网络具有公共性，数据的流动、分享、储存和操作应遵循一个共同的基本规则，不能由某一平台商或服务商来自行决定，应由立法进行统一的规定。在大数据时代，数据成为国家或商业的战略资源，同时也是个人的生活资源，天量的数据如何分享，立法者要考虑到网络发展规律、网络技术和商业的进步、网络安全及公民的自由和发展等诸多要素来合理安排。这种公法上的安排带有强制性的色彩，它将重新整理现有网络服务提供商单方制定的关于数据使用、流通和继承的网络服务协议内容，以获得一个通行的数据流通和分享规则。