内容摘要： 本文主要探讨了与数据行为有关的主体、权利义务内容，以及各主体之间的关系。

关键词：数据行为主体 数据权利义务

前言

正文

一、数据主体

二、数据权利

三、数据义务

随着信息技术的迅速发展，各类数据库不断形成，数据规模不断扩大，数据应用模式不断创新，催生了一系列法律问题。数据的实际持有者拥有对数据进行分析、使用的实际能力，这种实际能力可以在不公开的情况下转化为现实行为。而一旦转化为现实行为，就必然牵涉到众多信息来源（权利主体）的潜在利益。因此，信息保护面临着越来越大的压力。这个问题不但涉及个人隐私权保护等基本法律秩序问题，而且涉及社会治安甚至国防安全问题。所以，应当在立法层面对数据行为进行规范，对相关权利进行界定。

在讨论之前，我们需要先澄清两个概念：“数据”与“信息”。在计算机、电子通信和信息技术领域，数据与信息的概念是不同的。通俗理解，可以认为信息是收集中的数据、传递中的数据，而数据则是信息收集、传递、处理、存储的结果。在社会应用领域，人们往往不关注这种专业上的区分。有些场合，人们喜欢用“信息”这个词，比如：个人信息、工商登记信息、不动产登记信息等等。而另一些场合，人们喜欢用“数据”这个词，比如全国身份证信息数据库、工商登记信息数据库、不动产登记信息数据库等等。可见，“数据”这个词一般用于指称很多信息汇集在一起构成的信息集合。本文中，以社会应用领域人们的习惯为准，对于信息和数据的概念不做严格区分。

讨论数据权利，必须先明确数据主体。所谓数据主体，指的是数据在采集、生产、存储、传递、汇集、编辑、分析、使用、修改、删除等过程中，所涉及到的权利主体。这些主体都是通过一定行为与数据发生联系，并因其行为而产生相应的权利与义务。数据主体包括：数据源、数据生产者、数据采集者、数据编辑者、数据分析者、数据存储者、数据持有者、数据传递者、数据使用者、数据修改者、数据删除者等。以下分别讨论：

在软件开发领域，程序员使用“数据源”一词表示应用程序所使用的数据库或者数据库服务器。比如：开发一个“工商查询网”，要求根据用户输入的公司名称关键词查询公司登记信息，程序应该去哪里查询呢？需要去全国工商登记信息数据库。那么，全国工商登记信息数据库就是“工商查询网”的数据源。本文中，我们也使用“数据源”这一词语，但我们所指的不是数据库或者数据库服务器，而是数据库中的每一条数据来源于（或采集于）哪一个权利主体，也即：“数据源”的“数据源”。比如，对于一条公司登记信息而言，公司就是数据源。又如：对于一个面部照片而言，相应的自然人就是数据源，而且是唯一来源。再如：对于一个手机号码而言，它属于公共资源，被国家统一分配给中国移动、中国电信、中国联通等通信公司，又被通信公司以电信服务合同的形式约定给个人使用，于是，当前合法持有并使用这个手机号码的自然人可以称为该手机号的数据源。由此可以看出，我们这里所说的数据源，指的是法律上的一种状态，而不是指客观物理状态。

对于每一条数据而言，数据源可以是唯一的，也可以是多个。比如：对于工商登记信息而言，数据源包括所有公司、股东、法定代表人等等。多数据源的情况下，数据源之间的权利义务也可能不同或不对等，特殊情况下可能需要区别对待。

数据生产者是指因创作行为而享有相应权利、履行相应义务的数据主体。例如：摄影师为客户拍摄个人写真，画家为客户创作肖像素描、肖像卡通，所产生的作品形成电子数据后，摄影师、画家就是数据生产者（客户是数据源）。又如：卡通设计师用电脑软件设计出一系列卡通图片，设计师就是数据生产者。又如：某人用手机自拍一张照片，上传到交友网站的账号上进行展示，此人既是数据生产者，又是数据源。

采集也可以称为收集、汇集。数据采集指的是把分散零散的单条信息汇合起来，形成一个或多个数据库。进行数据采集的人称之谓数据采集者。在法律意义上，数据采集者可能是两个以上的人。比如：A科技公司根据合同约定为B公司开发了一个APP软件，并负责该软件及相应数据库的日常运行维护。该APP运行过程中进行实名验证并采集客户个人信息，那么，在法律意义上，数据采集者首先是B公司。但从实际行为角度来看，A科技公司也参与实施了数据采集行为。所以，A、B两个公司可能都会成为法律意义上的数据采集者。采集者与生产者的不同之处是，采集者不进行创作。

数据编辑指的是对多个不同的数据库进行关联、整合，从而为下一步的数据分析提供更多的基础性支撑。进行数据编辑的人即为数据编辑者。比如：把工商登记信息数据库与自然人身份证信息数据库、法院失信黑名单数据库进行关联、整合，这三个数据库便同时为“企查查”这样的平台提供了强大的基础数据支撑。“企查查”平台的运营者即为数据编辑者，同时也是数据分析者。再如：把地图数据、机动车类型、号牌数据、各地限行数据、天气预报数据进行关联、整合，从而为导航软件提供了精准有力的基础数据支撑。那么，导航软件的运营者即为数据编辑者。编辑者并不修改数据，只是在数据合成展示方面进行编辑，而且要努力保持数据原貌，不做修改。

数据分析的含义更广泛一些，比如：对于气象卫星收集的气象数据进行分析，其目的是尽可能准确的预报天气。分析的结果是输出更为简单的数据：风、雨、雪、雷、阴、晴等，再如：对环境监测传感器收集的数据的分析，分析的目的是预防和控制环境污染。又如：对地图数据进行分析，得出两点之间最小道路距离，并把路线用于导航。这几种数据分析，都是对采集于客观世界的数据进行分析，不涉及其他个人数据权利，但其分析结果可能作为新的数据向社会输出，并作为社会应用软件的基础数据，然后又在应用过程中对使用者的行为进行统计和分析，从而掌握使用者的行为特征，如记录某人经常去的地方、经常搜索的地点、喜欢在什么天气外出、汽车经常停放在哪里，等等。这时，前面那种对客观世界数据进行分析的结果便不可避免的参与到对自然人行为特征分析中来。然而，我们在法律意义上探讨数据分析，更倾向于那些对他人权利有直接影响的数据分析，即：对自然人的行为特征进行的直接分析。实施这种直接分析的人可称之谓数据分析者。现实中的数据分析者往往是某种应用软件平台的经营者，也可能是国家、政府、军方组织。在其背后，往往会有多个第三方数据库对其提供基础数据支撑。

数据存储者可分为两类，一类是物理上的存储者；一类是法律意义上的存储者。所谓物理上的存储者，是指实际控制数据存储服务器硬件的人。任何数据，从物理意义上讲，都是存储在某种硬件中，如：计算机的硬盘、便携式硬盘、U盘、光盘等，在大数据应用场景下，数据一般都要求24小时不停止提供服务，所以一般都存储于运行中的计算机服务器硬盘上，这些运行中的计算机可称之为数据库服务器，建立并经营这些数据库服务器的人即为物理上的存储者。比如，阿里巴巴公司提供有“云存储服务”，至于具体的服务器硬件，可能公布在阿里巴巴公司自己建设的多个服务器机房中，阿里巴巴公司是存储器实际的控制人，是物理意义上的数据存储者。

物理上的存储者往往只提供存储服务，他关心的是如何把数据存储好，并提供稳定的查询、增加、修改、删除等操作服务，而不关心数据从哪里来，要做什么用。其他人购买了存储服务后，获得了数据存储权限，就可以在数据库服务器上建立数据库，并进行数据写入、修改、删除、查询等操作，从而成为法律意义上（或逻辑意义上）的数据存储者。比如，你开办了一个社交网站，网站上的注册用户信息资料需要存储，存储在哪呢？经过考察，你租用了阿里巴巴的数据云存储服务，这种情况下，你就是法律意义上的数据存储者。

数据经过生产、采集、存储后，形成一个数据库，持有该数据库的人称之为数据的持有者。数据持有者可能是数据采集者，也可能是按照合同约定的其他权利主体，可能是一人，也可能是多人。既可能与数据存储者属于同一个人，也可能是不同的人。数据持有者拥有公开发布数据、出售数据等实际利用数据的能力，但这些实际能力并不当然等同于合法权利，数据持有者如果要行使这些实际能力，必须确保不侵犯其他数据权利主体的权利，如：须事先得到数据源的明示许可、须遵守与数据存储者、数据传递者约定的各种条件，还须遵守国家法律法规的规定。

本文所讲的数据传递，仅指数据从一个存储器复制、粘贴到另一个存储器，或者通过网络上传、下载、点对点传输等方式从一个存储器复制到另一个存储器。这个概念与数据传播是不同的。数据传播指的是一条数据经过不断的数据传递，从而被公开化的一个过程。这是一种纯应用层面（或终端用户层面）的数据传递过程。数据传播依赖于数据传递，而且是多次重复的数据传递以后所形成的后果。

数据传递者可以分为两类：一类是经营数据传递业务的电信公司（比如：提供光纤接入宽带服务的中国移动公司、提供具有数据传递功能的微信APP的腾讯公司）；一类是终端用户。（当然，所谓终端用户也是一个相对概念。比如：相对于微信APP而言，注册用户就是终端用户。而相对于提供光纤接入宽带服务的移动公司而言，腾讯公司也是终端用户。）

之所以要把数据传递者分为以上两类，主要是出于区分法律责任的需要。具体而言，对于终端用户来说，他是数据传递的第一法律责任人。因为数据传播往往从他这里开始，当一条数据从他这里传递出去以后，他很可能会转变为一个数据传播者，所以，他应当对传播的法律后果有充分的考虑。而对于经营数据传递业务的公司而言，其有义务拒绝传递那些明知属于侵权或者有重大侵权嫌疑的数据，或者在被告知所传递的数据违法时立即停止传递行为。

按照数据使用目的，可将数据使用者可分为三类：

第一类是为满足公共管理需要而使用数据者；

第二类是以营利为目的向社会提供数据查询、复制等服务而使用数据的市场经营者；

第三类是接受数据服务的消费者。

其中，第一类使用者往往是公共管理机构或公益机构，应当考虑赋予其免费使用数据的权利。比如：公安机关对全国户籍信息、身份证信息数据的使用、疫情防控机构对自然人行程信息的收集与使用等。

第二类使用者由于以营利为目的，所以通常应当支付数据使用费，并且应当保证其向社会提供的查询服务不侵犯其他权利主体特别是数据源的合法权利。比如：银行前台、支付宝软件等为确保自身经营管理的安全，需要通过人脸识别来确定自然人实名信息，其数据验证过程实际上是一个先收集人脸数据、建立客户人脸数据库，然后再使用这个数据库的过程。这个过程在一开始就应该首先征求数据源的明确同意，否则就不应当被允许收集客户人脸信息。再如：某平台向社会公开提供信用查询服务，只要输入社会信用代码，就可以查询到相应公司的基本信息、股东信息、失信黑名单信息、关联公司信息等等。它之所以有如此强大的功能，是因为它同时查询了工商数据库、法院裁判文书数据库、法院执行信息数据库等多个数据库。它对这些数据库的使用应当是有偿的；第三类使用者属于最终端的用户，他们通常需要通过数据查询而获得自己需要的某种具体信息，比如：通过工商信息查询了解市场主体的基本情况、通过炒股软件获得A股市场行情等等。

数据服务者是指通过网络在线方式向他人提供数据查询、检索等功能的服务者。数据服务者一般是数据持有者，但也有例外，比如：数据持有者将所持有的数据授权给另一位平台开发者，由平台开发者向社会公开提供数据查询功能，平台实际上并不持有数据。社会公众的每一个查询点击，都是平台向数据持有者查询后，将查询结果反馈过去而已。这种情况下，数据持有者和平台开发者同时都是数据服务者。或者说，数据持有者是平台开发者的数据服务者，平台开发者又是社会公众的数据服务者。或者也可以说，数据持有者是真正的数据服务者、最终的数据服务者，而平台开发者只是表面上的数据服务者。

数据修改，指的是对数据的实质性内容进行修改（这与数据编辑是不同的，数据编辑是对多个不同的数据库进行关联、整合，并不修改数据的实质内容。）。数据修改的目的有的是为了纠错，有的是为了及时更新，有的是为了适应某种特殊的使用目的。比如：裁判文书网上公布的判决书很多都把自然人的人名修改成化名了，并删去了身份证号、详细住址等信息，这是为了公布数据的时候保护个人隐私权。再如：导航软件不断的更新路况信息，实际上就是对路况数据进行实时更新，以尽量确保导航服务的精准性。数据修改者往往是负责维护数据库的人。

数据删除者是指对数据负有删除义务的人，或者具体执行数据删除操作的人，或者发出数据删除操作指令的人。发生下列情形之一的一般应删除数据：一、数据收集方式违法或侵犯他人权利；二、未经权利人允许而复制、使用数据；三、数据权利人要求删除；四、数据被不合格的持有者持有，威胁到公共利益。

不应为数据设置所有权。理由有二：

一是从权利边界来看，传统所有权一旦确定，权利客体就脱离了原权利人，而专属于新的权利人。因此，传统所有权可以清楚的界定权利边界。

但数据不一样，数据的产生大多与数据源的权利紧密相关，而且无法分离。比如身份信息的采集，与自然人的隐私权紧密相关，无论身份信息掌握在谁手中，自然人都始终是基本的权利人。我们不能说个人信息一经采集就可以与被采集者脱离而成为采集者可任意处置的客体，也不能说自然人同意采集就等于默认数据采集者享有任意处置数据的权利。数据最基本的权利人永远都应该是数据源。而且，其他如数据生产者、编辑者、修改者、分析者等等都有可能成为与数据有关的权利主体，这又反过来侵蚀了其他数据主体的权利，使得权利的边界更为模糊，难以界定。如果使用所有权这一概念来界定数据权利，已不能适应数据应用的现实状况。

二是从权利客体来看，传统所有权所指向的权利客体是一般是特定的物，或者是很难替代的物，或者是不可轻易复制的物（即无法轻易复制出相同价值的物）。即便像银行存款那样作为账面数字存在的货币财产具有方便的可替代性，但也是不可复制的。而数据就不一样了，数据可以方便的、低成本的复制，而且复制件与原件具有同等的使用价值，复制件还可以再复制。如果数据被复制了N多次，那么，基于第一份数据的权利与基于其他复制件的权利应该如何界定？很明显，用传统的所有权概念是解决不了的。

既然无法使用传统所有权概念来界定数据权利，那么，完全可以用“持有权”来界定。持有权不像所有权那样是一种对世权、绝对权，持有权仅仅是一种比占有权更弱的权利，它可以清楚界定数据源与数据收集者、存储者之间的关系。（比如：银行在收集自然人的人脸信息时应当征得自然人明确同意。银行收集人脸信息后，有权持有该信息，但是，银行无权随意公开、提供给第三人查询、复制给他人等。银行只能为身份验证的目的使用人脸信息。所以，银行的权利不是一种对世权、绝对权，而是全部来源于与自然人的约定，来源于自然人的授权。）

首先，数据源同意数据收集者收集数据，即可以认为同意收集者持有数据，因为持有是收集的必然结果，如果不同意持有，也就不会同意收集。

其次，持有者仅仅拥有持有的权利，未经数据源同意，无权公开、许可他人查询、出售等等。因此，数据能不能公开、复制、传播、查询等等，都应当由数据源决定、由数据源授权。

再次，数据存储者（法律意义上的数据存储者）负有确保数据安全的义务，其与数据持有者是不同的权利主体，不享有持有者的权利。当然，数据存储者与数据持有者可能是同一人，但权利属于存储者还是持有者，还是应当界定清楚。

最后，当数据持有者丧失数据持有权时，其有义务删除数据。比如，当某位网友（数据源）要求删除注册信息时，某网站（数据持有者、法律意义上的数据存储者）即有义务删除该网友的注册信息，而为该网站提供数据存储服务的服务商（物理意义上的数据存储者）有义务按照某网站（数据持有者）的操作指令删除该条数据。

数据收集权有三类：一是法定收集权；二是约定收集权；三是自由收集权。举例说明：对于个人信息数据而言，个人在出生、户籍登记、身份证信息登记、入学登记、结婚登记等情形下，数据收集权直接依据法律规定而产生，可称之为法定收集权；当个人去银行办理业务，向银行出示身份证，并同意进行人脸验证时，属于个人明确同意或授权银行收集数据，即为约定收集权。当高速公路收费站统计车流量时，无须经任何人许可，属于自由收集权。自由收集权只有不侵犯他人权利且不违反法律时，才可以行使。

数据使用权的行使具体表现为数据的使用方式。数据的使用方式随着技术的发展变化而变化，处于不断创新之中。就现在已知的数据使用方式而言，主要有以下几种：信息管理、公开展示、查询、统计、分析等。

对某些领域的信息进行电子化管理是最初的数据产生、使用方式。在信息技术普及之前，所有的信息管理都是纯纸面化的，比如：户籍档案、车辆档案、房产档案等等。要想查询某一条信息，必须去档案存放地，由档案室工作人员翻查档案袋，然后一页一页翻找。速度慢、效率低。信息技术普及后，这些档案都建立起相应的数据库，极大提高了查询速度，又降低了数据保存和维护成本。所以，对信息进行电子化管理，是数据最初出现时的价值所在。

对于公共数据：2007年，我国制定了《政府信息公开条例》，根据第十九条规定，对涉及公众利益调整、需要公众广泛知晓或者需要公众参与决策的政府信息，行政机关应当主动公开。根据第二十条规定，应当主动公开的信息有15类。对这15类信息主动公开，既是政府的义务，也是政府的权力。按此规定，司法部在官网公布法律法规文本数据、统计局在官网公布国民经济和社会发展统计信息等。2016年，最高人民法院发布《关于人民法院在互联网公布裁判文书的规定》，然后建立了裁判文书网，公开展示判决书、裁定书等文本数据。这些公开数据的行为，都是以公共利益为目的，是合法的。

对于个人数据：《中华人民共和国个人信息保护法》第十条：“任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。”这里的关键是不得非法公开，言外之意，合法公开是可以的。那么，什么是合法公开？就是经过数据源同意而且不违反法律规定的公开。

数据查询，涉及到两类主体，一是查询者；二是提供查询服务的人。查询者作为权利主体，种类较多，情况复杂。他们出于各种规定、各种目的需要查询数据。而提供查询服务的人一般可以分为两类，一是掌握公共数据库的公共机构依法提供查询服务；二是市场经营主体以营利为目的向社会提供商业查询服务。

这里，我们需要重点讨论的是第二类提供查询服务的人，即商业查询服务。以众所周知的“企查查”平台为例，它向社会公开提供的查询服务主要包括工商登记信息、股东投资关系信息、行政处罚信息、裁判文书信息、法院执行信息等。这几类信息本来分属于几个不同的数据库，如果一般查询者想要同时得到这几类信息，需要到不同的平台上查询多次。而“企查查”平台整合了这几个数据库，当查询者输入查询关键字时，平台自动向几个数据库发出查询请求，然后把得到的查询结果进行关联、分析、整合，最终展示给用户。这就大大节省了用户查询的时间，降低了查询难度。这个例子中，用户是拥有数据查询权利的人，“企查查”平台的经营者是否拥有数据查询权是一个需要进一步探讨的问题。而且它的查询方式有点特殊，它需要通过后台程序以数据接口访问各个数据库，所以，它需要与数据持有者协商如何开放数据接口的问题，并有可能需要向数据持有者付费（当然，通过“抓取”方式间接查询的除外）。这里涉及的主要问题在于他们可能越过了数据源，在未取得数据源明确同意的情况下直接就数据使用权进行了交易。

在数据查询行为中，另一个问题在于如何平衡查询者的权利与数据源的权利。比如：对于全国户籍信息数据库而言，不应当允许社会公开查询，因为需要优先保护个人隐私权。而对于全国失信黑名单数据库，就需要优先保障公众查询权。再如：对于宾馆开房记录数据而言，不应当允许社会公开查询，但应当允许司法机关以执法为目的而为查询。所以，谁有查询权利，什么情况下有查询权利，需要根据不同情况而定。需要对涉及到的不同权利进行平衡。

对数据进行统计分析的场景很多，一般都是为了从宏观上掌握某些指标，以利于研究问题。然而，也有例外，比如在电子商务领域对消费者个人消费偏好的统计分析。这种统计分析的原理是对每一位消费者个人的搜索、浏览、消费额度等个人行为特点进行记录、分析，从而得出个人的偏好、消费层次等分析结果。然后有针对性的进行广告推送、设置不同价格，被称之为“精准营销”、“大数据杀熟”等。这种行为在某种程度上被认为是侵犯了消费者的自由及公平交易的权利，在道德层面上也被认为是不光彩的。因此，这种统计分析行为在《中华人民共和国个人信息保护法》中被法律条文所约束，如：第三条规定“分析、评估境内自然人的行为”应当适用本法。第七十三条规定“自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。”第二十四条规定：“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”其实，电子商务平台经营者既是数据收集者，又是数据存储者，还是数据分析者、使用者，其在一开始就侵犯了数据源的权利，即：在数据收集阶段没有取得消费者的明确授权同意就收集并存储了消费者的个人数据，然后又在消费者不知情的情况下对消费者的个人数据进行分析，最后又对分析结果加以利用去侵害消费者的权益。可以说，他们目前所存储、持有的数据，是不合法的。

前面说到，对数据进行统计分析的目标，一般都是为了从宏观上掌握某些指标，以利于研究问题。比如：对经济运行数据的统计分析、对人口数据的统计分析、对全国法院受理民事纠纷案件的统计分析、对某些路段的交通事故数据进行统计分析等等，都是宏观分析。这种分析不针对个别人，但可能针对某个特定群体。分析的结果也不直接涉及个人的特定信息。所以，对于分析结果予以公开展示和利用，以促进对某一领域的管理，一般是没有问题的。这实际上符合我国法律中“以公共利益为目的”的表述。反过来，如果统计分析的目的是为了牟取不正当利益，则应当予以禁止。或者对合法统计分析结果的利用是为了牟取不正当利益，则也应当予以禁止。

数据编辑指的是对多个不同的数据库进行关联、整合，从而提升数据价值。比如：企查查网站就是关联、整合了多个数据库以后才具备了“深度挖掘”的能力，其本质就是多个数据库关联以后，把原来没有联系起来的信息联系起来了，从而提升了数据价值。本文所称数据编辑，就是指这种关联，以及关联分析。它不包括对数据的修改、删除操作，相反，它要保持数据不被修改，要保持准确性。在编辑过程中可能会进行剪辑，但只是出于展示需要而进行剪辑，不会删除数据本身。要想获得数据编辑权，必须首先获得数据的查询权。对于已经通过网络公开的数据，默认情况下，公众具有查询权，但是否当然具有编辑权，要看编辑行为是否侵犯数据源的正当权利。比如，在社交网络上，注册用户上传了自己的视频，又被网友评论，其他网络平台采集了这个视频截图和这些评论截图，并与其他信息合并、编辑，再加入新的评论，以新的形式展示出来，未经原注册用户许可，是否侵犯了原用户的数据权利？ 特别是经过编辑以后改变了原视频所要表达的含义，颠倒了原来的褒贬意义，使人产生了完全不同的解读，这是否侵犯原作者的权利？当然，这个问题可能需要结合著作权、人格权法等来进行规范，但也越来越需要从数据法的角度进行规范。

数据复制主要关乎数据收集者、数据源的权利。但与数据收集者的利益最为紧密。因为数据收集者往往要收集到足够多的数据才能发挥出数据库的价值，而且现代的数据库有很多是动态收集的，数据处于不断更新之中，所以收集数据是需要付出成本代价的。如果数据被别人复制了，那么，别人就可以无成本、无代价的直接利用数据而建立起相同或类似的数据库，并提供数据服务，这就冲击了数据收集者的利益。所以，数据复制，应当经数据收集者许可。同时，由于数据复制可能影响到数据源的权利，也可能不影响，因此，数据复制时，如果是单纯的复制，不需要经数据源许可。但复制之后的使用方式如果涉及到数据源的权利，则应当征求数据源的同意。

数据出售涉及多方权利，其中最重要的是数据源的权利。笔者认为，未经数据源明示同意，不得买卖其信息，否则构成侵权。《中华人民共和国个人信息保护法》第十条：“任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。”这里使用了“非法买卖”的表述，但对于什么是非法买卖，没有进行界定。笔者认为，只要未经同意，就属于非法。实践中应当根据具体的情形判断，比如：通信公司把客户的姓名+手机号卖给搞电话营销的人，侵犯了手机号持有人的个人信息权；房地产中介把客户的手机号出售给其他中介，侵犯了客户的个人信息权，银行或网贷平台之间互相买卖客户的姓名+手机号+个人财务信息，侵犯了客户的个人信息权。这些信息的买卖都不是针对某一单条信息的，但却侵犯了每一条信息所对应的数据源的权利。

数据修改在实践中可能是一个比较复杂的问题。

1、对数据进行修改，可能涉及多方权利。比如：在公司股东申请变更股权登记信息时，就涉及到数据源（公司、股东、法定代表人）和公司债权人等多方权利。因此，数据修改之前，应当首先处理所涉各方之间的权利义务关系。又如：在房产登记信息修改时，涉及到所有权人、共有人、抵押权人、潜在继承人等多方权利人，在修改之前，应先处理所涉各方之间的关系。

2、数据修改可能涉及行政管理权力。如：公安机关在修改公民个人户籍信息时，是在行使行政管理权力；而当公安机关拒绝为公民个人办理户籍信息修改业务时，也涉及到行政管理权力。

3、公民个人作为注册用户在商业、社交、游戏等网站上注册（特别是实名认证）后又修改个人信息时，如果不涉及其他人的利益，则应当拥有自由修改的权利。

4、其他人修改数据应当征得数据源的明确同意，非经同意不得修改。

除因行政管理而删除数据外，数据删除应当由数据源自由决定。比如：公民个人作为注册用户在商业、社交、游戏等网站上注册后，如果不涉及其他人的利益，则应当拥有自由删除自己一切信息的权利。任何拥有注册用户的网站都应当提供方便的功能链接，以便注册用户自由删除自己的信息。删除应当是彻底的，不应仅做不显示处理。

数据源是数据权利的源头，是数据的基本权利人，无论针对数据实施哪一种行为，都应征得数据源的同意。但根据法律的规定实施行政管理、司法行为的除外。

比如：银行采集的储户个人信息不能由银行随意决定出售给其他银行、保险公司、证券公司等，而只能用于银行与储户之间履行存款合同的需要。银行在柜台业务中无权要求储户必须进行人脸验证，除非储户自己同意。即便储户自己同意，银行也应当告知储户有拒绝人脸验证的权利。

又如：当个人浏览淘宝网的时候，可能会遇到“推送”，这是淘宝网根据用户浏览喜好而进行的有针对性的精准商业广告行为，淘宝之所以能够自动判断用户喜好，是因为它事先收集了用户的浏览记录，然后对浏览记录进行分析，得出用户最多、最近、停留时间最长的浏览等。这种事先收集用户特征信息的行为，如果未征得用户同意，则构成侵权。即便征得了用户同意，也应当设置方便的链接，让用户可以随时关闭这种收集行为。

再如：对法院执行黑名单数据的采集、发布、删除，无需经数据源同意。对全国交通违章信息数据自动采集、发布、删除，直接依法律规定而为之，不经数据源同意。

这里需要特别讨论的是，对于政府机构依法采集的数据，是否可以进入商业应用？应当如何进入商业应用？

比如：企查查、天眼查之类网站，明显使用了全国工商登记数据库、法院裁判文书数据库、执行信息数据库等，这些数据库是市场监管机关（以前叫工商管理局）、法院等国家机关依法建立起来的，其收集、存储、发布的数据是不需要经数据源同意的，数据库的建立、维护所使用的经费是由国库开支，而这些数据库如何进入商业应用是没有法律规定的，进入商业应用后所产生的经济收入应当归入国库还是应当分给数据源，也是没有法律规定的。在缺乏法律规定的情况下，已经进入商业领域，其涉及到的数据源权利是没有得到尊重的。

除依法实施行政管理、司法行为外，无论是数据采集，还是数据存储、编辑、发布、使用、删除等等，都应经过数据源的明示同意。特别是在数据采集之前，不能以默认方式判定数据源是否同意，而必须以主动明示的方式征求数据源的意见。必须充分告知将要采集的数据都包括哪些内容、如何应用，特别是必须明确告知数据源有拒绝采集的权利，而且，不得以数据源拒绝采集为由给数据源制造任何麻烦。诸如在银行、不动产登记窗口、乘客安检、商场出入口、小区出入口等等场合，必须尊重公民权利，允许公民拒绝采集生物特征数据，在采集数据之前，必须明确提示公民有拒绝的权利。

数据保密有两个层次含义：

一是指数据作为一个整体数据库，不允许被复制。但数据库又是对社会开放查询的，其中的每一条数据都可以被检索出来并浏览。比如：工商登记数据是可以向社会公开提供检索的，但作为一个整体数据库，是不能被他人任意复制的。这里的保密，就是保护整体数据库不被复制。

二是指数据库中的每一条数据都应当保密，不能公开被他人查询。比如：全国身份证信息数据库，既不能向社会公开提供查询，也不能被整体复制数据库，其中的每一条信息都是一个公民的隐私信息，必须严格保密、严格依法查询。

由于数据的复制粘贴是一个十分简单而成本低廉的操作，所以，对任何有潜在商业价值的数据都应当优先考虑采取有效的技术保密措施。技术保密措施只能由数据采集者、存储者等从事技术类业务的机构和人员负责。任何在工作中有机会接触数据的技术人员都有保密义务。法律的作用主要是增加违法成本，即：规定对违法窃取、利用、泄露数据的处罚措施，以确保对违法行为的震慑力度。

数据保密是数据安全的一部分，但数据安全比数据保密的含义更广。如：数据安全除保密之外还包括了数据不被恶意攻击、破坏、删除等。

数据安全，是其他数据应用的基础。没有安全，数据就如空中楼阁，也就没有实际应用的价值。数据安全所面临的威胁是多方面的，主要的威胁有两类，一是不法攻击，如黑客、病毒、间谍行为等，二是基础设施、软件系统运行事故，如机房故障、硬盘故障、网络故障等。对于第一类威胁，主要靠网络安全技术，以及政府相关部门如公安、国家安全部门等。对于第二类威胁，主要靠各市场主体，特别是数据存储者的义务。前面说到，数据存储者，包括物理上的存储者和法律上的存储者，这两类存储者都应当在自己职责范围内采取有效技术措施，确保数据安全。