在目前的民事立法中，对于用户信息权益的保护规则尚无明确的规定。同时碍于用户请求权基础不明确、诉讼成本较高等问题，用户信息权益救济的案例亦不常见。并且学界所讨论的企业数据权的保护仍与用户数据权益的保护存在一定冲突。对此，对外经济贸易大学法学院马宇飞博士研究生在《企业数据权利与用户信息权利的冲突与协调——以数据安全保护为背景》一文中，从数据与信息的基本概念区分出发，指出了我国立法中因术语界定不清导致的数据权益与信息权益关系不明的问题，并通过对用户信息权益与企业数据权益的关系梳理，提出了以《民法典》第1198条安全保障义务调整用户信息权益与企业数据权益边界的方案。

一、我国立法中的数据、信息二元结构规制困境

（一）“数据”与“信息”概念溯源

在境外立法与国际公约中信息与数据两个概念仅为词汇选择不同，并无本质差别。在我国专门针对网络安全、数据安全的法律规范中，虽然这两个概念也存在一定程度上的混用，但严格来讲“信息”的含义要大于“数据”的含义。前者更加贴近于对事物本身的描述，后者则侧重于表达信息的数字状态。这两个术语使用的混淆客观上导致了当前用户信息权利与企业数据权利需求的冲突，成为信息、数据权利法律适用的困境所在。

（二）企业数据权利与用户信息权利关系不明

目前，我国企业数据权利主要由《反不正当竞争法》调整。判断标准体现为是否违反“三重授权原则”，即合法的企业数据二次使用需要有用户授权企业采集与存储、用户授权企业向第三方共享、企业同意向第三方数据共享三个授权同意的意思表示，第三方才能合法获取数据，并基于授权使用。

竞争法保护企业数据交易的优点在于法条的可扩展性较强，但由于竞争法具有很强的模糊性，用户举证能力有限，用户在合同签订时一般处于不利地位和诉讼成本过高等，仅通过竞争法调整企业数据安全问题并不能满足保护用户信息、数据权利的需求。需从厘清企业数据权利与用户信息权利的关系入手解决这一问题。

二、数据安全视野下企业数据权利与用户信息权利的关系认定

企业数据赋权说有利于规范数据市场，但对企业数据进行财产权赋权会直接与用户信息权利产生冲突。梳理企业数据权利和用户信息权利之间的关系，方能判断企业数据权利是否具备成为支配性财产权的基础。

（一）企业数据财产权赋权说的沿革与评述

“数据赋权说”从时间上有数据库赋权讨论与企业数据赋权讨论两个阶段。前者始于1996年欧盟颁布的《关于数据库法律保护的指令》，倾向于保护企业利益。但是当前用户逐渐成为数据安全事件的受害者，数据库权的制度参考价值不强。在企业数据赋权的讨论中，绝大部分观点均采用“数据财产权”这一表述方式。结合文献来看，财产权属于一种支配权。由于企业的数据财产属于劳动产品，具有有用性和稀缺性，设立企业数据财产权有利于降低交易成本，实现数据资源最大化利用，因此有人主张设立企业数据财产权。然而，一方面无法证明其负面影响可控，另一方面会与保护信息基础权利的法律冲突，故非最佳选择。对此，有学者提出“数据所有权+用益权”的制度安排，从权利配置的角度论述对企业数据权利的限制方式。

（二）企业数据权利与用户信息权利的区分

对企业数据权利与用户数据权利的讨论应包含个人信息、商业秘密、隐私权、知识产权的广义数据权利配置问题。用户信息权利属于用户的基础权利在信息层面的请求权集合。对用户而言，主要关注信息内涵的基础权利；对企业而言，其对数据所代表的基础权利并无任何权利，而是通过用户基础权利数据化获得生产力。数据权利与信息基础权利应当属于同一不可分割客体的两种价值层面，不能等同。

（三）企业数据权利作为财产权的独立性研判

企业数据财产权不是一种具有支配性、排他性的所有权，而是一种通过合同取得的，基于用户信息数据权利的授权下的使用权。在民事规则的制定上，应当采用责任规则的方法，对数据流动设置以企业数据安全保护义务为主的规则，兼顾企业数据的生产价值与作为用户信息内容的用户基础权利的财产价值。

三、从财产规则设计向责任规则设计转变

企业对所持有数据的安全保护义务在《网络安全法》与《数据安全法》中已有规定，但尚需解决其在私法中适用的问题。

（一）企业数据安全保护公法义务的范围

我国对用户信息权利与企业数据权利的规范性法律文件的制定呈现出行政责任为主、民事责任为辅的特点，相应的民事规则没有专门规定，在《数据安全法》生效前需通过《网络安全法》实现。《数据安全法》基本承袭了《网络安全法》对数据安全保护义务的设计，并增加了数据来源确认义务，核心在于防止企业数据泄露以及数据泄露的事后补救，但无法直接通过这两部法律对数据泄露导致的用户损害进行民事救济。《民法典》第1038条规定了信息处理者对个人信息的安全保障义务，亦无法对数据安全保护提供完整的制度参考。因此，尚需寻找可以普遍适用的民事规则，在私法层面将《网络安全法》《数据安全法》的具体规则作为特定民事法律条文的解释依据。

（二）企业对用户信息权利承担安全保护义务的民法适用依据

在《网络安全法》与《数据安全法》中，企业数据安全保护义务框架已较为清晰。在当前民事立法背景下，有两种援引其他法律规定的情形：其一，《网络安全法》与《数据安全法》中的具体规定可以作为相关合同条款的解释依据，基于合同法律关系被援引；其二，企业数据安全保护义务可以作为判断企业是否违反《民法典》第1198条的具体标准，在侵权法律关系中被援引。

安全保障义务的义务主体范围被定义为“经营场所、公共场所的经营者、组织者”。网络环境作为公共、经营场所的认定不存在体系障碍，在企业违反安保义务的认定上，实践中应当依照用户数据信息的基础权利不同而采用不同的过错认定标准，实现个案公正。

四、

企业数据权利与用户信息权利的协调

（一）明确企业数据权利与用户信息权利的关系

企业通过合同收集用户信息，实现信息权利中的数据价值，对于信息的实体价值并不关心。若用户仅基于数据层面而非信息基础权利层面的价值交换而与企业签订数据流转合同，则应将企业数据权利视为用户基于其信息权利对企业数据应用层面的授权，而非独立的、具有支配性的财产权。由于信息基于数据整体而转移，企业对其管理、控制空间内占有的用户信息应当负有安全保护义务。

（二）明确企业对用户的民事数据安全保护义务与法律责任

企业数据安全保护义务可以在不阻碍企业数据正常流动的前提下保护用户的合法权益。企业并没有对用户的信息权利的所有权，仅在对用户的所有权产生侵害的时候承担责任。在违反该义务的责任承担上，应当依照《民法典》第1198条承担侵权责任。在责任的承担方式上，应当以赔偿损失与消除危险为主。在损害赔偿责任的确定上，个保法第68条第2款给出了“依照个人所受损害”与“信息处理者获益”两种确定方式，可以推而广之。前者为对实际侵权损害的计算，是主要的，而后者仅为对数据权利损害的计算，是兜底。信息处理者的获益，可以采用“特定产品销售额÷用户数量”等与案件实际情况契合的方式计算。

（三）完善企业违反数据安全保护义务的认定标准

在企业是否违反数据安全保障义务的具体认定标准上，是否取得行业技术、管理标准的认证可以作为认定标准：已取得管理标准(如ISO27001、GB/T22080)、技术标准(如GB/T20273)认证，且满足法律对去标识化、信息留存时间等其他要求的，应视为尽到数据安全保护义务；未取得或未完全取得认证的，则可依照汉德公式(B＞PL)确定企业是否违反数据安全保护义务。

五、

结语

信息、数据并不严格等同，通过“三重授权原则”仅能有效保护企业数据权益而无法有效保护用户信息权益。企业数据安全保护义务可以在不阻碍企业数据正常流动的前提下保护用户的合法权益。企业并没有对用户的信息权利的所有权，仅在对用户的所有权产生侵害的时候承担责任。《民法典》第1198条可以适用于数据泄露、授权外共享等情形。依照个保法与汉德公式，可以协调企业数据权益与用户信息权益，解决未来可能出现的数据纠纷。