民商事纠纷中数据资产处置的法律边界

引言

随着数字技术的深度应用，数据从信息载体升级为可带来经济利益的资产形态，其在交易、共享、转让等处置环节中的法律问题愈发凸显。与传统有形资产相比，数据资产具有非竞争性、易复制性和价值叠加性等特征，导致其权利归属、处置范围和责任认定难以适用传统民法框架。在民商事纠纷中，数据资产的侵权认定、合同效力争议等案件频发，暴露出法律规制的滞后性。国内学者于晓兰指出，个人数据的处理过程中涉及自然人、个人数据处理者和监管者等多个利益相关者，如何协调这些利益相关者之间的利益冲突是数据治理的重要内容。欧盟的《通用数据保护条例》（GDPR）等法律法规则，强化了个人对其数据的控制权，包括数据可移植权和被遗忘权。

国有企业作为数据资产的重要持有方和处理者，既承担着维护数据安全的社会责任，又肩负着国有资产保值增值的监管义务，其数据处置行为面临更复杂的合规要求。在此背景下，厘清数据资产处置的法律边界，探索与国企合规管理的衔接路径，对于规范数据要素市场、防范法律风险具有重要现实意义。

、数据资产的法律属性解构

（一）权利束的复合性构成

数据资产的法律属性尚未形成统一界定，《民法典》第 127 条将数据与网络虚拟财产并列规定，为后续法律规制提供了开放性接口。从权利构成来看，数据资产呈现“权利束”特征，既包含自然人的个人信息权益，又涉及企业的财产性权益，还可能涉及公共数据的管理权能。个人信息权益具有人格权与财产权双重属性，《个人信息保护法》明确自然人对其个人信息享有知情权、更正权、删除权等，而企业通过投入人力、技术对原始数据加工形成的数据产品，则可主张经营性权益。对于国有企业而言，其在履职过程中形成的数据资产，还涉及国有资产所有权与使用权的分离问题，财政部《关于加强行政事业单位数据资产管理的通知》即明确行政事业单位数据资产需纳入国有资产管理体系，这使得国企数据资产的权利结构更为复杂。

（二）价值实现的阶段性特征

数据资产的价值实现贯穿采集、加工、使用、交易等全生命周期，不同阶段呈现不同的法律属性。原始数据因包含大量个人信息或公共信息，更多体现人格利益或公共利益属性，其处置需受到严格限制；经匿名化处理后的数据产品，则淡化人格属性而强化财产属性，可通过授权运营、交易等方式实现价值转化。国有企业的数据资产尤其如此，从初始采集的政务数据、用户数据，到加工形成的行业分析报告、数据模型，其价值形态不断演变，对应的处置规则也需随之调整。这种阶段性特征决定了数据资产处置边界的动态性，难以用单一权利模式进行规制。

二、民商事纠纷中的三重法律边界

（一）权利边界：权属划分的核心争议

民商事纠纷中数据资产处置的首要争议在于权利边界的界定。数据资产的权利归属呈现“多方共有”特征，自然人对个人信息享有基础性权利，数据处理者对加工形成的数据产品享有经营性权利，而国家对重要数据享有监管权。在司法实践中，权利冲突主要表现为个人信息权益与企业数据权益的对抗，例如用户要求删除个人信息与企业主张数据产品完整性的矛盾。根据《个人信息保护法》，个人信息的处理应遵循合法、正当、必要原则，处理目的变更或超出授权范围时，需重新取得个人同意，这构成了权利边界

的基本准则。

（二）行为边界：全生命周期的合规要求

数据资产处置的行为边界贯穿全生命周期，涵盖采集、存储、使用、传输、删除等各环节。《数据安全法》确立的数据分类分级制度，为行为边界提供了重要依据，关键信息基础设施运营者向境外提供重要数据需经安全评估，而一般数据处理者的跨境传输则需满足合同签订或认证要求。在民商事活动中，数据交易合同的效力认定常涉及行为边界审查，例如未经安全评估的重要数据交易可能因违反强制性规定而无效。

（三）责任边界：侵权与违约的认定标准

数据资产处置的责任边界主要区分违约责任与侵权责任。在合同纠纷中，责任认定需考察数据质量保证、安全保护义务的履行情况，例如数据提供方未如实告知数据来源瑕疵，导致接收方受损的，应承担违约责任。在侵权纠纷中，责任认定则需满足过错、损害、因果关系三要件，例如非法获取、泄露数据造成他人权益损害的，需承担停止侵害、赔偿损失等责任。《个人信息保护法》规定了数据处理者的安全保障义务，未采取必要措施导致数据泄露的，无论主观是否有过错，均需承担相应责任。

三、国企数据资产合规的实践机制与制度优化

国企数据资产合规需内外协同推进，内部聚焦框架构建与风险防控，外部着力制度环境优化。内部层面，需锚定数据安全与国资监管双重目标，构建“横向到边、纵向到底”的合规框架：既遵循《网络安全法》《数据安全法》建立分类分级、安全评估等制度，又落实国资要求完善确权、处置内控流程，同步推行“分类分级+三重审批”机制（一般数据由业务提案、法务审核后报资产部门审批，重要数据需决策层审议备案，跨境数据增设安全评估），并制定含禁止、限制、鼓励行为的动态合规清单。同时建立“事前-事中-事后”风控闭环，事前通过培训强化风险意识，事中技术监测数据流转，事后应急处置并上报，收益管理中严格区分使用与处置收入，杜绝违规操作。外部层面，立法上需在《民法典》框架下制定司法解释，明确个人、企业、公共数据权利划分及原始数据与数据产品属性，完善国企数据确权、评估等配套制度；司法上建立纠纷裁判指引，重点审查涉国企案件的程序合规性，通过类案检索统一裁判尺度，为市场提供稳定预期。

结语

数据资产处置的法律边界是数字经济时代民商事法律制度面临的新课题，其多元维度和动态特征对法律适用与国企管理均提出挑战。通过厘清权利、行为与责任三重边界，构建与国企合规管理的衔接机制，能够实现数据安全与价值利用的平衡。国有企业作为数据资产的重要管理者，其合规体系的完善不仅关乎自身风险防范，更对数据要素市场的健康发展具有示范意义。未来需在立法细化、司法统一、企业合规等多层面持续发力，为数据资产的依法有序处置提供制度保障。

参考文献

[1] 常敏.数据权益保护对民商事域外取证扩张的制约[D].中央财经大学，2023.

[2] 任愿达.《民法典》个人信息保护规定与数据资产治理观念的协调路径[J].西南民族大学学报（人文社会科学版），2022，43（06）：114-123.

[3] 陈 起 行 ， 张 俊 杰 . 国 有 企 业 数 据 资 产 特 征 及 合 规 管 理 改 进 [J]. 大 数据，2024，10（02）：68-79.