一、引言

十九届四中全会已明确数据的生产要素地位，数据的经济意义与战略价值已不言而喻。大数据已渗透到社会生活的各个角落，深刻改变着人们的生产、生活方式以及社会的运行模式。硅谷战略领袖杰弗里·莫尔曾言：“在这个新世界中，信息为王。你拥有的信息越多，你的分析能力越好，速度越快，你的投资回报将会更高。”多明戈指出：“控制好数据，控制好算法掌握的模型所有权，这就是21世纪战争的内容。”大数据时代的来临，不仅为企业带来了前所未有的发展机遇，也使其面临诸多法律挑战。企业作为市场经济的重要主体，在大数据的收集、存储、使用、传输等过程中，不可避免地涉及各种法律行为。数据一跃成为重要的社会经济资源，也成为最有价值的公司资产，乃至成为一个企业创新型商业模式的基石。如何规范企业大数据行为，保障企业合法权益，维护社会公共利益和个人权利，成为亟待解决的问题。

目前，关于企业大数据的研究主要集中在技术应用、商业价值挖掘等方面，在法律角度的研究相对较少。因此，探讨民法典视野下的企业大数据法律行为，填补这一研究空白，不仅有助于丰富和完善大数据法律理论体系，也为企业在大数据实践中提供全面、系统的法律指引，促进大数据产业的健康、有序发展。

二、民法典与企业大数据法律行为基础理论

（一）民法典的基本原理与核心价值

民法典是我国法律体系中的重要组成部分，它是一部系统整合了我国长期实践形成的民事法律规范，借鉴了法治文明有益成果的法典。民法典以平等、自愿、公平、诚信、守法和公序良俗、绿色等原则为基石，致力于保障民事主体的合法权益。它对公民的人身权、财产权、人格权等作出了明确规定，对合同的订立、履行、变更、终止等各环节作出了详细规定，确保民事主体的财产权益得到妥善保护，促进了市场交易的安全和高效进行。

（二）企业大数据的概念与特征

企业大数据是指企业在生产经营、市场拓展、客户服务等活动过程中所收集、积累和产生的海量数据集合，具有海量性、高速性、价值性等显著特征。大数据对企业运营和决策有着至关重要的作用，可以帮助企业优化生产流程、提高生产效率、降低成本。通过对生产过程中产生的数据进行实时监测和分析，企业能够及时发现生产环节中的问题和瓶颈，采取针对性的措施进行改进，实现生产的精细化管理。基于大数据的分析结论更加科学、准确，能够帮助企业制定更加合理的战略规划、市场定位和产品策略。

（三）企业大数据法律行为的界定与分类

根据中国通信研究院发布的《大数据白皮书》(2016)，对于大数据的定义，大数据产业应分为两个层次界定，狭义的大数据产业主要围绕大数据采集、存储、管理和挖掘而形成的"小生态"，广义的大数据产业是由数据驱动经济发展的"大生态"，狭义上的大数据产业是大数据核心产业。企业大数据法律行为是指企业在大数据的收集、存储、使用、传输、交易等过程中，所实施的能够产生法律效果、引起法律关系变动的行为。

数据收集环节，企业大数据法律行为表现为合法合规地获取数据。企业需明确数据收集目的、范围和方式，遵循合法、正当、必要的原则。数据存储环节，企业的法律行为主要涉及保障数据的安全存储。与传统信息载体可以凭借其自身的物理属性独立存在不同，数据作为信息的载体，自身也需要物理载体的支撑方可持续存在并保持其有用性。^[1]企业有责任采取必要的技术和管理措施，防止数据泄露、丢失、损坏等情况的发生。数据使用环节，关键在于确保数据的使用符合授权范围和法律规定，不得侵犯他人的知识产权、商业秘密等权利。数据传输环节，企业需保证数据在传输过程中的安全性和合法性，在跨境传输时，企业应当遵守相关规定，并采取加密等安全的传输方式。数据交易环节，企业需明确数据的权属关系，遵守相关规定，确保交易的合法性和有效性。

三、民法典视野下企业大数据法律行为的分析

（一）数据产权问题

（1）数据所有权归属争议

确权是权益保障的基础。^[2]民法对数据权益的确权，是所有法律对其提供保护的前提和基础，也是数据交易展开的前提和基础。^[3]司法实务中，企业数据所有权归属存在多种不同观点，每种观点都有其实践影响。

企业原始取得观点认为，企业在数据收集、整理、存储和分析等过程中投入了大量的人力、物力和财力，通过自身的经营活动合法获取数据，理应原始取得数据的所有权。

与用户共有观点主张，数据的产生离不开用户的参与，如果涉及个人信息，其本质上是财产权与人格权的关系。用户在使用企业产品或服务的过程中提供了个人信息等数据，而企业则对这些数据进行了收集和处理，因此数据所有权应由企业和用户共同享有。通过赋予数据以财产权的方式，来强化数据本身经济驱动功能，以打破传统法律思维之下依据单纯隐私过度保护用户而限制数据收集、流通等活动的僵化格局。

用户原始取得观点强调，数据本质上来源于用户的个人信息，用户对自己的个人信息拥有天然的所有权。个人是数据的生产者，且个人数据可以成为民事权利的客体，自然人对其个人数据享有自主决定权。^[4]企业只是在获得用户授权的情况下对用户数据进行收集和处理，用户始终是数据的原始所有者。

不同观点之间的争议核心在于如何平衡企业和用户的利益关系，以及如何在保障个人信息安全的前提下促进数据的合理利用和流通。企业原始取得观点侧重于激励企业的创新和发展，但可能会忽视用户的个人信息权益；与用户共有观点试图在两者之间寻求平衡，但在实际操作中如何界定双方的权利义务存在一定难度；用户原始取得观点虽然充分保护了用户的权益，但可能会对企业的数据利用产生一定的阻碍。解决这些争议需综合考虑数据的性质和来源等多方因素，通过立法和司法实践逐步明确数据所有权的归属规则。

（2）数据使用权的行使与限制

企业数据使用权是指企业对合法获取的数据进行使用、加工、分析等操作，以实现数据价值的权利。企业运用各种数据分析工具和技术，对数据进行挖掘和处理，提取有价值的信息，将数据用于自身的生产经营决策和市场营销等。

然而，企业数据使用权并非毫无限制，基于隐私保护和公共利益等因素，其受到多方面的约束。企业在使用数据时必须严格遵守相关法律法规，保护用户的个人隐私。“权利本位”是近现代法哲学的基石。用户对数据企业提供的隐私政策的同意是首要的合法性基础，在功能上构成对数据企业利用个人信息的法定限制，其理论基础源于个人信息自决权理论或信息隐私权理论。^[5]

（3）数据处分权的行使规则

企业对数据的处分包括出售、销毁等多种方式。企业在行使数据处分权时，必须遵循一系列严格的法律规则和程序。首先，企业要确保数据来源合法，在数据处分过程中，需要充分尊重数据主体的权利。其次，数据处分还需遵守相关合同约定和行业规范。

（二）数据隐私保护问题

（1）个人信息保护

自然人对个人数据的权利旨在保护他们对这些数据的自决权，从而防止由于非法收集和使用个人数据而侵犯他人合法权利。企业在处理个人信息时，需严格遵循合法、正当、必要等一系列原则，这些原则是保障个人信息安全的基石。

传统个人信息保护制度以"告知一同意"机制为核心。在美国大数据产业中，美国联邦贸易委员会(FTC)将其作为线上隐私保护的"最为重要的原则"和首选的保护消费者线上隐私的机制。在数据控制者对数据进行使用和处理时，该机制已成为适用最广的保护个人信息的手段。我国对数据收集和处理的规制也遵循此机制，要求数据控制者在收集和使用个人数据时，告知数据主体数据使用用途及采集个人信息的种类、后续处理等事项。^[6]

（2）数据匿名化处理

数据匿名化是指通过对数据进行技术处理，使得数据中所包含的个人信息无法被识别或者关联到特定个人的过程。数据匿名化在平衡数据利用和隐私保护中发挥着至关重要的作用。

但是，随着计算机软硬件技术的发展，我们拥有更加强大的数据挖掘和分析软件。在此背景下，数据的匿名化成为一个可逆的过程，很多时候只需将某些公开的数据与被匿名化的数据集进行简单的匹配就可恢复出用户的身份信息数据。因此，企业应定期对匿名化技术进行评估和更新，建立完善的数据管理系统，对匿名化数据进行标识、存储和管理，确保匿名化数据在后续使用过程中的可追溯性和安全性，以适应不断变化的安全威胁和技术发展。

（3）数据跨境传输

数据跨境传输是指数据从一个国家或地区传输到另一个国家或地区的过程，在全球化的数字经济时代，这一现象日益普遍。《民法典》和《数据安全法》虽然没有直接针对数据跨境传输的具体条款，但其中关于个人信息保护、隐私权等相关规定，为数据跨境传输提供了基本原则和价值导向，要求数据跨境传输必须保障个人信息的安全和合法权益。《个人信息保护法》规定了跨境传输条件和程序等要求。

四、完善建议

（一）立法完善建议

“立法权并不创立法律，它只是揭示和表述法律。”法律的任务在于，能以最小代价努力实现和保障各种相互冲突的利益。当前，我国在企业大数据相关的法律法规方面仍存在一定的不足。

在数据产权界定方面，虽然民法典对数据的保护有所提及，但缺乏具体的数据产权归属规则，导致在实践中对于企业数据的所有权、使用权和处分权的界定存在诸多争议。建议明确企业数据的产权归属规则，明确企业在合法收集、加工的基础上，对数据产品享有经营权，可依法进行交易和流转；同时，保障用户对其个人信息的数据资源持有权，企业在使用用户数据时需获得明确授权，并遵循相关规定。

在隐私保护方面，虽有《个人信息保护法》，但在与民法典的衔接上还不够紧密，“最小必要原则”等部分条款的规定不够具体，建议进一步细化民法典与个人信息保护相关条款的衔接，明确个人信息保护的具体标准和操作流程，明确“最小必要原则”的具体判断因素。

在安全保障方面，现有规定对于企业数据安全保障措施的要求不够具体，对于企业在数据存储、传输、处理等环节规定不够细致，缺乏相应的技术标准和规范，建议进一步完善相关标准和规范。

（二）企业合规建议

在数据治理架构方面，企业应设立专门的数据管理部门或岗位，比如设立数据安全官、隐私保护官等岗位，负责数据安全和隐私保护工作，确保企业的数据活动符合法律法规。

企业还应建立完善的数据风险评估及审计机制，定期对企业的数据活动进行风险评估，制定风险应对措施；定期对企业的数据活动进行审计，及时发现和纠正数据违规行为。

（三）监管优化建议

监管部门在企业大数据法律行为监管中承担着重要职责，对于维护市场秩序、保护个人信息安全和社会公共利益等方面起着关键作用。监管部门应加强协同监管，打破部门之间的信息壁垒和职责分割，运用大数据分析、人工智能、区块链等技术，建立协同监管机制，加强信息共享和沟通协作，形成监管合力。

五、结论

在数字经济时代，大数据已成为企业发展的重要资源和核心竞争力，作为数字技术核心载体的数据，日益成为重要财富，是经济增长和价值创造的重要源泉，甚至有学者称其为“新石油”。

本文在民法典视野下对企业大数据法律行为进行了剖析，揭示了数据产权、隐私保护以及网络安全等方面存在的复杂问题，从立法、企业合规和监管优化三个方面提出了针对性的完善建议。这不仅是促进企业健康发展的内在需求，也是保护个人信息安全、维护公共利益的必然要求。

未来，企业大数据法律行为的发展将呈现出更加复杂和多元的趋势。随着信息技术的不断创新和应用，大数据的规模、类型和应用场景将不断丰富，这将给企业大数据法律行为带来新的机遇和挑战。我们需进一步深入探讨数据产权细化规则、隐私保护技术、跨境传输以及区块链等新兴技术的应用问题，为企业大数据法律行为的规范发展提供更加全面的理论支持和实践指导。只有不断适应时代需求，持续完善法律法规和企业合规管理，才能实现企业发展与法律保障的良性互动，推动数字经济的高质量发展。

参考文献

[1] 纪海龙：《数据的私法定位与保护》，载《法学研究》2018年第6期。

[2] 申卫星：《论数据用益权》，载《中国社会科学》2021年第11期。

[3] 王利明：《数据的民法保护》，载《数字法治》2023年第一期。

[4] 程啸：《论大数据时代的个人数据权利》，载《中国社会科学》2018年第3期。

[5] 王利明：《数据共享与个人信息保护》，载《现代法学》2019年第1期，第45-57页。

[6] 闫海，韩旭：《互联网定向广告中个人信息安全风险及其法律防范》，载《科技与法律》2019年第1

期，第55页。