财报显示小米2021年售出1.9亿台

早期各国对电子数据保护的立法如美国1974年的《隐私权法》、欧盟1981年的《个人数据自动化处理保护公约》和1995年的《欧盟数据保护指令》，都是为防止个人隐私被非法公开和泄露而制定的。

提出法权中心说，推动实践法理学话语体系的形成，就是于语义分析法理学之外，添加一种可供法学消费者选择的理论产品。法学论著中的义务，有时指义务概念，有时指各种义务现象的完整表象，而后者又可区分为包含法外义务和不包含法外义务的完整表象两类，相应的义务概念也是如此。

当然，中国并没有统一的法理学，不同法理学家的法学思想之间有这样那样的差别，但我们也没有理由据此否定改革开放以来中国法理学有主流理论。法权之所以处在中心位置，既是因为它指代的对象重要，包含的利益内容和财产内容重要，也是因为它的学科功能重要。在中国的历史上和社会现实中，权力现象的地位一直比欧美相应的时期重要得多。但西方语言，从拉丁文到英文，都没有一个内容与权相对应的名词。在法律的范围内，我们说‘权利和义务，而非‘义务和权利，正如在道德领域重点放在义务上一样。

每个人及其所属的机构都有自己的特殊利益，看问题时难免会选择最符合自己利益的角度和距离。此处提取的共性，是被提取的对象都包含的法律上的公共利益和公共财产。第二，企业数据权理论很难合理解释企业数据权与其他数据控制人的关系。

[38]我国2017年的《个人信息安全规范》则在同意机制的基础上，根据风险产生的可能性，区分不同的内容和告知方式来对同意机制进行细化，体现出实际风险防范的面向。[24]在早期的传统社会中，信息的互惠利他是当然之理，同时互惠利他也会延伸至人们生活上的物质馈赠和扶危济困之帮助，现代经济学则用礼物经济来定义这种社会状态。[19]这些理论尝试体现了民法学者对于企业数据民法保护的关注和努力，但数据权利化理论仍共同面对如下问题的挑战： 第一，企业数据权理论面临数据的隐私性和财产性的关系问题。事实上，完全控制数据的收集和流动在技术上和经济成本上都不是最优方案，欧盟各国依据GDPR的严格条件越来越多地出现对世界大型平台(包括Google和Facebook)课以巨额罚款的执法案例，但导致相关投资减少也是必须面对的事实。

信息的公共互惠原理则颠覆了上述工业社会的基本法则，因为就像传真机或电话的普及会增加传真机和电话的价值一样，网络的价值来源于数据的充足和普及。信息具有充裕性和分享性的一面并非理论上的想象，在法律上也有其客体特性上的必然性。

换句话说，对数据的实际控制，使公司能够签订关于数据访问的合同。[55]在此基础上，对于企业数据的保护更适合通过非法行为的负面清单列举的方式，在数据安全法中对不法行为予以阻却和预防。对于通过市场交易获利而言，其价值来源于数据鸿沟的存在和企业对于数据的现实控制这两个条件，没有数据鸿沟的数据实质上是处于公共领域的数据，因多种替代获得方式的存在而没有稳定的价值。针对此种二元界定主张，就个人信息是否成为人格利益，上文已有评论，问题在于个人信息是否能够成为财产权的客体 这种理论主张主要是基于大数据财产价值日益显现的社会现实，力图使作为信息之源的个人数据的财产价值得到保护。

本文中所使用的数据概念是基于其与信息在内容上的一致性角度使用的，基本上与信息概念互换使用。在最近生效的《欧盟一般数据保护条例》(以下简称GDPR)序言的中文译本目录中，已没有任何隐私的用语出现。对此《德国著作权法》第87条规定了用邻接权来保护通过实质性投资而建成的大型数据库，以此补充汇编作品保护的不足。例如，时间、地点、参与人等中性的信息是否构成个人信息，纯粹取决于它们可否对识别他人有所贡献。

但是，经过处理无法识别特定个人且不能复原的除外。二、数据的公共性价值与法律保护思维模式的转换 从个人对信息的控制延伸到企业对数据的控制，通过迭加式的私法赋权以实现数据主体的不同利益，这属于典型的私法保护进路。

但数据和信息的基本区别仍然存在，并在不同的场合显示出来，一旦现实问题涉及到数据的工具层面，数据问题就有可能与信息问题本身区分开来，而适用工具本身的规制方式，比如虚拟财产和数据运行安全问题即属此列。比如早先的个人数据保护基于信息泄露或滥用的防范，倾向于强力控制数据流动，但当今个人数据处理技术的发展使个人面临的风险发生了变化，即被个人画像技术所监视、操控或歧视。

对于这种法律规定内容的重复，不能理解为是应当避免或消除的现象，这一点与私法教义学上的科学规范体系的要求不同。目前规制数据跨境流动的争议主要在于，数据跨境对于国家安全的影响以及个人隐私域外保护的风险。但个人信息保护的公共目的并不意味着其受保护程度的不受制约，现今理论和立法对于个人信息保护的限度明显失之过宽。(二)数据控制和救济的立法逻辑 数据分享的途径不在于创造，而在于挖掘和释放。但随着现实网络数据分享和应用的进一步复杂化和理论探讨的逐渐深入，法学界在传统法律尤其是私法理论背景下解释和发展数据法律现象和规则，会呈现出一定程度的理论上的不适应和应对迟缓的状态。[7]对于第一种理解方式，其面临的理论难题与具体人格利益主张一样，且将个人信息人格权化并不能消除上述两种障碍，在此不重复论述。

实际上对于数据属于何种权利客体这一问题的探讨，目前并不能对解决数据问题有实质帮助，我们可以为数据的某种特性着色, 但其结果最终会回归到回答如何平衡数据分享和控制这一根本问题上来。三、分享前提下数据法律控制的理由体系 基于数据的公共性原理而适时进行法律调整思维模式的转换，在理论上要求建立分享前提下的数据控制体系。

无论是人格权还是财产权，个人权利还是企业权利，都不能很好地解释数据的流动和控制问题。该说大多借助人格财产化现象或美国法上的公开权或形象权来进行论证。

[41]该案存在的问题，被告确实存在规避反抓取措施的不当行为，但行为人抓取的是可由被授权用户正当访问的开放数据，亦即这些信息可由一般用户合法获得，从行为不法和结果不法的后果看是否构成犯罪，尚有斟酌余地。有关数据法律问题的探讨，近年来法学界主要是在依循和回应现实问题的基础上，开辟了个人信息保护、虚拟财产、大数据交易和数据安全等问题领域，并取得了积极的理论进步和现实效果。

此说主张个人对其个人信息享有两种权利，即防御性的人格权和支配性的财产权，以此实现如下可能：个人在保护自己人格利益的情形下，可以自主决定是否通过信息许可或交易来获利。比如当公共机关强制企业提交企业数据，或者企业通过各种API(Application Programming Interface，应用程序编程接口)无偿向特定用户分享自身数据时，在数据为第三人所获取的情形下，企业数据权是否被剥夺或部分放弃？此时企业数据权是否还完整存在？在企业将数据通过交易许可另一方有偿使用后，同样的问题仍然存在。如目前立法都通行以可识别性作为个人信息的范围，这就有可能引发一个问题，即由于当代数字处理技术中个人画像的出现，通过间接个人信息的分析来识别个人身份的机率大大增加，那么是否这些间接信息都属于个人信息，从而属于人格利益呢？如果通过一个未知的人某种行为的时间、地点和活动场景等能推断出其真实身份，是否这些时间、地点和场景等就成为法律保护的个人信息呢？上述两个理论障碍决定了个人信息被作为独立人格利益来认定的理由并不充分。由此整个数据法律体系就可以在此基础上尝试展开，且不似已往的研究中将数据问题通过个人信息、知识产权、不正当竞争和企业数据权保护等分割开来，因为这种分割状态常常导致同一数据在不同领域难分轩轾且相互冲突。

另外，用户的同意也是在风险规避意义上使用的，法律通过此种方式让用户有机会知晓自己的信息被利用的方式，并以此来评估自身是否愿意承担相应风险，这也可理解为是用户对个人信息滥用的合理的自我防护。这部法律与《网络安全法》和《个人信息保护法》的关系如何，以及如何定位数据安全法无疑会成为首要问题。

目前就数据现象所做的理论研究存在着离散化和碎片化的特征，对同一研究对象数据在不同的问题场域所作的界定和理论判断，存在着相互矛盾和不能通约的状况，无法形成一个稳固和统一的理论基础。即表明个人享有的并非独立的私权，而仅仅是获得个人数据保护的权利。

这种状况揭示了各种立法倾向于将个人数据的保护作为一个预设的前提条件。除了纯粹的机器、传感器和天气数据外，再也没有非个人的数据了。

具体而言，法律之所以对企业数据进行保护，仅是因为企业目前已合法控制数据的这一事实，这有点类似于物权法上的占有保护方式，它不涉及保护对象的权利归属，但承认主体对对象控制的合法状态，这种保护主要是对抗他人未经本人许可而现有控制状态的干涉和破坏。[37]又如美国联邦贸易委员会(FTC)则对于个人信息保护提出设计原则、选择原则和透明原则，在强化对数据收集和利用风险评估的基础上，采取全方位的控制，甚至对企业内部的例行工作和日常事项也提出了严格的要求。GDPR主要是通过高额罚款来预防和阻吓，并没有涉及任何私法救济方式。现有的《反正当竞争法》对于数据行业并没有多少针对性的规则，只在第12条和第6条有一定的涉及，且集中在网络应用合法状态的维护上，几乎不涉及数据的无序竞争问题。

它处理的主要是企业与其他企业、个人之间的关系，主要保护企业对于数据的正当商业利益，同时也兼顾企业对外分享数据时保证数据的完整性和可用性，以此间接保护企业在数据交易或互享方面的利益。[32] 其三，个人信息保护主要适用于个人与网络平台的关系，并不能普遍适用于其他场景下的个人信息使用和分享领域，且其立法目标一直不甚清晰。

[53]亦即实现数据自由流通的不是所有权规则，而是对数据访问规则的设计。在以分享为前提的信息法秩序中，想要对于当前现实生活中的个人信息、知识产权和企业数据财产提供保护，就应当减少对于信息本身权利化的努力，而将重点放在规制互联网用户的操作行为上，同时强化规则的预防功能，以保障特定目的的实现。

而关于信息，除了晚近的知识产权和人格要素外，人类没有成熟的认识和实践去系统地把握、运用数据化信息流动的充裕性原理。二是个人数据保护应关注社会风险类型及其发展变化而与时俱进。