跳至正文

数据产权完整详细规则(以《数据二十条》为核心 + 配套法规 + 登记实操)

数据产权

一、顶层法律与政策依据

  1. 基础法律 《民法典》第 127 条:法律对数据、网络虚拟财产保护有规定的,依照其规定; 《个人信息保护法》《数据安全法》《网络安全法》:划分个人、公共、企业数据基础边界;
  2. 核心政策(数据产权根本规则) 《关于构建数据基础制度更好发挥数据要素作用的意见》(俗称数据二十条,2022):首创数据三权分置、三类数据分类确权;
  3. 实操落地文件 《数据产权登记工作指引(试行)》(国家数据局 2026 年 4 月):统一登记、确权、举证、变更、注销全流程规则; 《关于促进企业数据资源开发利用的意见》:细化企业数据权益、资产入表、授权流通规则中国政府网。

二、核心创新:数据产权「三权分置」完整定义(结构性分置规则)

我国不照搬传统动产 / 不动产单一所有权模式,把数据权利拆分为三项可分离、可独立流转的权利,同一套数据三项权利可分属不同主体。

1. 数据资源持有权

权利主体:合法存储、控制原始数据集的主体(政府、企业、机构)

完整权利内容

  • 物理控制:存储、备份、安全防护、访问权限管控;
  • 来源合规担保:保证数据采集合法、取得对应授权;
  • 禁止他人非法窃取、爬取、侵入数据库;
  • 限制原始数据对外批量交易(政策明确:审慎流转原始数据); 限制规则 含个人信息 / 涉密数据的持有权,不得脱离用户授权、保密义务单独转让。

2. 数据加工使用权

权利主体:获得合法授权、投入算力 / 人力做清洗、脱敏、建模、分析的加工方

完整权利内容

  • 数据处理:去标识、脱敏、聚合、特征提取、AI 训练、统计分析;
  • 内部自用:本企业经营、研发、生产场景使用;
  • 对外许可使用权:授权第三方可用不可见方式调用;
  • 衍生数据产出:基于原始数据生成统计报表、特征库、模型权重; 核心约束
  • 不得超出授权范围使用;
  • 严禁反向还原原始个人信息;
  • 加工行为不得损害持有方、个人主体合法权益。

3. 数据产品经营权

权利主体:将加工后脱敏、不可识别原始主体的数据产品市场化运营的主体

完整权利内容

  • 打包生成标准化数据产品、数据服务、数据 API;
  • 在数据交易所场内交易、对外售卖、订阅授权;
  • 获取数据产品经营收益、定价、分成;
  • 数据资产登记、质押、融资入表; 红线规则脱敏后、无法定位自然人的衍生数据产品才可经营;原始个人信息、未脱敏数据集禁止作为商品流通。

三权分置典型场景示例

电商平台:持有权(存储用户订单原始数据);

AI 服务商:加工使用权(平台授权脱敏数据训练大模型);

数据交易所数据商:经营权(将聚合脱敏消费数据打包行业报告售卖)。

三、三类数据分类确权完整规则(最核心权属划分)

(一)个人数据(个人信息)权属规则

  1. 基础人格权属永久归自然人本人(不可转让、不可买断) 依据《个人信息保护法》,个人享有:知情权、同意权、访问复制权、更正删除权、撤回授权权、限制处理权;
  2. 财产性使用权益:按授权范围有限授予企业
  • 企业仅获得临时、场景限定的加工使用权,不拥有数据所有权;
  • 授权必须遵循:最小必要、单独同意、可随时撤回;
  • 禁止 “一次性永久授权”“捆绑服务强制授权”;
  1. 衍生数据边界 企业对完全脱敏、无法关联到特定个人的聚合统计数据,享有加工使用、经营收益权;但只要能复原自然人,全部权益仍归个人。
  2. 侵权判定规则 未经同意爬取、售卖用户原始信息、超范围 AI 训练,直接侵犯个人数据产权与人格权。

(二)公共数据权属规则(政务 / 公共服务数据)

  1. 整体产权归属:国家所有,公共管理机构代为持有 党政机关、事业单位履职产生的交通、气象、工商、医保、不动产、政务审批数据,属于公共资源,所有权归国家;
  2. 持有权主体:对应政务主管部门、公共事业单位;
  3. 分层使用授权机制
  • 无条件开放类(气象、宏观统计):全社会免费使用;
  • 有条件授权运营类(企业登记、交通客流):企业走公共数据授权运营通道,签订协议获得加工使用权,经营收益按比例上缴财政;
  • 涉密 / 隐私类公共数据:仅内部履职使用,禁止商业化;
  1. 流通限制 公共原始数据不得私自交易;仅可通过官方授权平台产出脱敏数据产品市场化运营。

(三)企业数据权属规则(经营活动自主采集生成)

  1. 纯企业自有数据(无个人信息、无公共数据) 企业完整享有持有权 + 加工使用权 + 经营权,可自主登记、交易、质押、授权; 例:工厂设备生产参数、企业自研业务台账、内部供应链统计。
  2. 混合数据(企业采集 + 含个人信息)
  • 原始用户信息人格权归个人;
  • 企业仅在用户授权范围内持有、加工;
  • 脱敏聚合后的衍生数据产品经营权归企业;
  1. 委托加工数据权属划分(合同优先)
  • 无合同约定:原始数据持有权归委托方;受托方仅拥有限定加工使用权,不得留存、商用;
  • 合同明确约定:可约定加工衍生模型、特征数据的经营权归属;
  1. 投入确权原则:谁投入、谁贡献、谁受益 企业投入服务器、人力、算法清洗加工形成高价值数据集,优先享有对应经营收益。

四、数据产权变动与流通交易规则

1. 权利流转区分:原始数据 vs 数据产品

1)原始数据:严格限制整体转让,仅可授予有限加工使用权

2)脱敏衍生数据产品:三权可单独转让、许可、质押;

2. 两种产权变更法定路径

1)约定变更(市场主流):交易合同、授权协议、委托加工协议,明确三权分割、使用期限、收益分成;

2)法定变更:企业合并 / 分立、司法判决、破产清算、政府征收;

3. 场内交易强制规则

数据产品交易优先通过全国统一数据交易所场内完成;场外私下交易需完整留存授权、脱敏、合规证明;

4. 流通底线(可用不可见)

推行 “原始数据不出域、数据可用不可见”:隐私计算、联邦学习、API 调用,不交付完整原始数据库,仅开放使用权。

五、数据产权登记完整规则(2026 登记指引实操)

1. 登记法律效力

登记凭证是数据产权归属、来源合规的初步司法证据,用于交易、融资、维权、资产入表;

2. 五大登记类型

初次登记、转让登记、变更登记、续期登记、注销登记;

3. 不予登记红线(存在以下不能确权发证)

1)数据来源非法:爬虫窃取、未经个人同意采集、违规获取公共数据;

2)未脱敏、可直接识别自然人的原始个人数据集;

3)涉密、危害国家安全、侵犯商业秘密的数据;

4)权属存在未解决争议的数据;

5)违反数据分类分级保护要求的数据;

4. 全登记流程

申请提交资质 + 数据来源证明 + 脱敏报告→受理初审→实质审查(5 大维度合规校验)→公示 7 日→异议处理→区块链存证→发放产权登记凭证。

六、数据产权收益分配规则

  1. 初次市场分配(市场化) 按三权贡献分成:持有方收取存储 / 数据源授权费;加工方收取算力、建模服务费;经营方享有产品销售利润;混合数据场景,个人可通过授权分成、平台权益分享获得收益;
  2. 二次调节(公共均衡) 公共数据授权运营收益按规定上缴财政,用于公共服务;监管规制平台垄断、强制低价授权、数据掠夺;
  3. 三次分配 鼓励企业开放公共价值数据、公益数据产品,降低中小微企业数据使用成本。

七、数据产权保护与侵权责任规则

1. 侵权行为界定

  • 非法爬取、侵入系统窃取数据(侵犯持有权);
  • 超授权范围加工、训练 AI、反向复原个人信息(侵犯加工使用权边界);
  • 私自售卖他人原始数据、盗用脱敏数据产品商用(侵犯经营权);
  • 未经许可转让、质押他人数据产权;

2. 维权举证规则

1)数据产权登记证书为核心权属证据;

2)合同、用户授权书、脱敏日志、访问审计记录为辅证;

3)区块链存证、访问日志可证明侵权行为;

3. 法律责任梯度

民事:停止侵害、删除数据、赔偿经济损失;

行政:责令整改、没收违法所得、高额罚款、吊销经营资质;

刑事:非法获取计算机信息系统数据罪、侵犯公民个人信息罪(情节严重)。

八、特殊场景补充规则

  1. AI 训练数据产权 训练用原始数据不得永久留存;仅脱敏特征、模型权重可归训练方享有经营权;训练前必须取得数据源完整授权;禁止使用爬取侵权数据训练大模型;
  2. 开源数据 / 行业共享数据 共享协议优先,明确使用期限、禁止二次转售;公共开源数据不得打包单独高价售卖;
  3. 跨境数据产权 出境数据必须完成安全评估;境外主体仅可获得限定使用权,数据持有权仍归境内机构;禁止向境外转移重要原始政务、核心产业数据。

九、数据产权通用底层原则(所有规则基础)

  1. 安全优先:数据产权行使不得危害国家安全、公共利益;
  2. 人格权优先:个人信息财产权益不能凌驾自然人隐私权益;
  3. 分类分级:公共 / 个人 / 企业数据差异化确权,不统一套用一套规则;
  4. 结构性分置:不追求单一完整所有权,权利拆分流通激活价值;
  5. 合规前置:来源合法是享有一切数据产权的前提;
  6. 可控可计量:数据使用全程留痕、用量可控、授权可撤回。

企业数据产权合规自查完整清单(适配网站 / AI 助手 / 数据经营项目)

一、数据来源确权自查(享有数据产权的前置硬性条件)

1. 个人用户数据(网站访客、注册用户、AI 对话记录)

□ 采集前完成单独、清晰知情同意,无捆绑服务强制授权

□ 明确告知采集用途、存储期限、共享对象、AI 训练使用范围

□ 提供一键撤回授权、删除个人数据、导出数据通道

□ 仅采集最小必要信息,不超额收集手机号、地址、身份信息

□ AI 对话内容不用于模型训练时,单独告知用户;用于训练必须二次授权

□ 禁止爬虫抓取第三方平台用户信息、评论、隐私内容

2. 自有经营数据(订单、后台业务、设备日志、自研统计)

□ 数据由企业自主业务产生,无窃取、盗用第三方数据集

□ 内部留存生产、采集、存储日志,证明原始持有权归属

□ 未混入未授权外部个人信息、第三方商业数据

3. 第三方采购 / 合作数据

□ 提供方出具完整数据来源合规证明、用户授权文件

□ 书面协议明确三权划分:持有权、加工使用权、经营权边界

□ 约定禁止二次转售、禁止用于 AI 对外商用训练、数据出境限制

□ 留存交易合同、发票、脱敏报告、授权回执

4. 公共政务数据

□ 通过官方公共数据授权运营平台获取,无私下倒卖原始政务数据

□ 严格按照授权场景使用,不超范围商业化

□ 脱敏后才可制作数据产品,原始政务数据不对外交付

否决项(任意一条即来源非法,无合法数据产权)

  • 未经授权爬取、破解数据库、撞库获取数据
  • 购买黑市用户信息、企业客户资料
  • 强制捆绑授权、隐瞒数据商用 / AI 训练用途

二、数据三权分置权属划分自查(对照《数据二十条》)

1. 数据资源持有权(企业是否合法持有原始数据)

□ 自有服务器 / 合规云存储,具备完整访问权限管控、备份、安全防护

□ 建立数据分级目录,区分普通业务数据、敏感个人信息、核心经营数据

□ 内部人员访问权限最小化,操作全程日志留痕

□ 含个人信息原始数据不随意对外传输、批量交付第三方

2. 数据加工使用权(清洗、脱敏、AI 训练、分析行为)

□ 所有数据加工行为在用户 / 合作方授权范围内

□ 对外 AI 训练仅使用脱敏、去标识数据,禁止输入可识别自然人原始信息

□ 具备脱敏流程文档、脱敏日志,无法通过加工结果反向复原用户身份

□ 受托加工场景:合同约定受托方不得留存原始数据、不得私自商用

□ 不超出约定场景使用(如仅用于网站客服 AI,不卖给广告行业)

3. 数据产品经营权(对外售卖 API、行业报告、统计数据集)

□ 对外经营的数据产品已完全脱敏,无法定位任何自然人

□ 原始用户信息、未脱敏数据集不对外售卖、开放接口

□ 场内交易优先走数据交易所,场外交易留存全套合规材料

□ 经营收益分配、数据源分成在合同中书面约定

三、AI 助手 / 大模型场景专项产权自查(你 WordPress 网站 AI 适用)

□ AI 对话用户提问、历史聊天记录仅在授权期限内保存,可删除

□ 若使用用户对话数据微调模型:单独弹窗获取用户二次授权

□ 训练数据集无侵权爬虫文本、无盗用第三方版权内容、隐私数据

□ 原始对话数据不出企业自有存储域,采用 “可用不可见” 调用大模型接口

□ 不将包含个人信息的对话原始记录打包出售、共享给第三方

□ AI 输出内容衍生数据权属在后台协议中明确归平台,不侵犯他人著作权与数据权益

四、数据脱敏与衍生数据合规自查

□ 区分原始数据、中间加工数据、商用衍生数据三层管理

□ 脱敏规则:手机号隐藏中间 4 位、姓名模糊、地址去除精确定位

□ 聚合统计数据满足:无法单条定位用户,无样本还原风险

□ 脱敏操作留存时间、操作人员、处理内容日志,可追溯

五、数据合同与授权文件自查(产权举证核心证据)

□ 用户隐私政策完整公示,明确数据三权使用规则

□ 第三方数据采购 / AI 服务商合作协议写明:

  1. 数据使用边界
  2. 是否允许二次加工、模型训练
  3. 禁止转售、出境条款
  4. 侵权追责、数据返还销毁条款 □ 委托开发、代运营协议约定 AI 对话数据所有权归属 □ 所有授权文件、合同至少留存 3 年以上

六、数据产权登记、资产入表自查(增值、维权凭证)

□ 高价值数据集完成数据产权初次登记(可选,司法优先证据)

□ 数据资产入表具备完整合规材料:来源证明、脱敏报告、登记凭证

□ 发生数据转让、授权、质押,同步完成变更登记或补充协议

□ 数据停用、过期后执行注销登记或批量销毁流程

七、流通、对外共享与出境自查

□ 原始数据不直接对外交付,优先 API、隐私计算、联邦学习等可用不可见方式

□ 向境外传输数据完成数据出境安全评估 / 个人信息出境备案

□ 对外共享数据限定使用期限,到期要求对方彻底删除数据

□ 禁止向境外提供国内重要行业、用户敏感原始数据

八、安全与侵权防控自查

□ 数据存储加密,防止非法窃取(侵犯持有权)

□ 限制第三方超授权调用 AI 接口,设置调用频次、额度风控

□ 建立侵权监测机制,排查第三方盗用自有数据产品

□ 发生数据泄露、爬取侵权,留存日志、存证用于维权

九、收益分配自查

□ 自有纯企业数据:全部持有、使用、经营收益归本企业

□ 含个人信息混合数据:不利用用户隐私数据单方面攫取超额收益

□ 公共数据授权运营:收益按规定上缴财政,不私分

□ 多方合作数据集:合同明确数据源方、加工方、运营方收益分成比例

十、法律风险兜底自查

□ 符合《数据二十条》《数据安全法》《个人信息保护法》《民法典》数据产权相关规定

□ 无非法获取、出售公民个人信息行为,规避刑事风险

□ 数据产权争议有完整合同、登记、日志证据支撑民事诉讼

□ 定期更新隐私协议,适配最新数据产权监管规则

使用说明

  1. 落地流程:逐项勾选,未达标项形成整改清单,限定完成时间;
  2. 网站 AI 项目重点关注:第一部分(用户数据来源)、第三部分(AI 专项)、第四部分(脱敏);
  3. 证据归档:所有自查材料、合同、脱敏日志、登记凭证统一存档,监管抽查、诉讼均可作为产权证明。
👀 阅读量:125

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

分享
扫码分享

扫码分享本文