牛梦倩｜企业数据确权的逻辑反思与规则重构——基于成本收益视角

一、问题的提出

2020年3月，中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，正式将数据纳入生产要素的范畴。截止2020年，全球数据库市场规模达到671亿美元，我国数据库市场规模约为241亿元。据估算，预计到2025年，我国数据库市场总规模将是2020年的近三倍。其中，由企业对数据进行处理并获得的企业数据，作为重要的生产要素，成为各国数据发展的新生领域。

企业数据不仅是企业重要的竞争资源，还是数字经济重要的生产要素。在企业数据规模呈爆炸性增势的同时，企业数据的泄露、垄断等问题在世界范围内凸显，多国掀起对企业数据治理的讨论，我国也不例外。在实务界，《关于构建数据基础制度更好发挥数据要素作用的意见》（简称“数据二十条”）提出“推动建立企业数据确权授权机制”，鼓励探索企业数据的授权使用模式。2023年3月，国家数据局组建，并负责统筹数字经济与实体经济发展，以破解“数字鸿沟”。在理论界，企业数据确权成为关注焦点。有学者主张，应对企业数据建构一种不同于民法上典型财产权的，以私益结构为核心多层限制为包裹的法律设计。这种新型财产权可参照知识产权制度的解释路径，并考虑到企业数据的特征，在克服知识产权制度保护缺陷的基础上建构一套契合企业数据特征的法律保护路径；另有观点提出，应修改反不正当竞争法，在反不正当竞争法的框架内既要赋予数据权的排他性，又要兼顾数据流通利用的弱权利保护机制。企业数据确权不适合数据这种流动性极强的对象，此举会增加社会成本，因而不需要法律介入其确权。

企业数据确权是企业数据发展中的必经之路，对企业数据的发展具有重要作用。然而，必须强调的是，企业数据不同于传统的“有体物”和“无体物”，其可复制性决定了企业数据可以在每一次利用下实现增值；企业数据之间的交易多是通过企业间的协议达成，企业数据之间的纠纷也往往得到了妥善处置。在当前阶段，我国是否适合对企业数据予以确权保护？换言之，我国企业数据发展的瓶颈何在？企业数据确权的可行性在哪里？上述问题的解答离不开对我国企业数据确权这一立法条件的探讨。本文试图通过运用法经济学意义上的成本收益分析理论对企业数据确权的“权利泛化思潮”作出反思，并提出“企业数据发展的当务之急不在确权而在流通利用与安全保护”的核心观点，并基于这一思路建构我国企业数据利用与保护的基础性规则。

二、成本收益视角下企业数据确权的反思

企业数据确权论者的制度设想是，通过赋予企业数据的利用主体相应权利，以实现数据的流通、利用和配置。故而，“商业秘密说”“知识产权说”“新型知识产权说”“财产权说”“新型财产权说”“用益物权说”“权利束说”应运而生，其背后的理论逻辑是公地悲剧理论。公地悲剧理论认为，不同参与者在缺乏产权安排和外部管理的情况下对资源的利用必然导致资源的过度损耗。但是，这一理论建立在企业数据的稀缺之上，并未考虑企业数据的特性，确权的适用语境以及确权背后的生产机制和社会基础。“离现实世界太远的理论容易沦为背景板”。法经济学者科斯指出，现有制度安排的改变很可能导致社会情况的诸多改变，而唯一能采取的行动是，“得到的收益比失去的更有价值”。基于法经济学的成本收益分析视角，企业数据确权与否有待进一步商榷。

学界当前对“企业数据”的概念不清，存在“企业数据”与其他名词相互交织使用，用语随意的现象。

有学者提出数据产品归属于企业，数据权利人如欲行使权利，必然要受制于个人信息主体的个人信息权益制约，其观点就隐含着将数据权利人与个人信息主体割裂开来，将“数据权益”与“企业数据权益”相等同；但是，有学者持不同主张，认为数据权益包含指向公权力主体的数据主权和指向私权利主体的数据权益。指向私权利主体的数据权益就包含数据人格权和数据财产权。这种观点就认为，数据权益的范围广于企业数据权益的范围，在此意义上，企业主要享有的就是数据财产权；此外，新生词汇的层出不穷。有学者提出“衍生数据”这一概念。并认为衍生数据就是对原始数据进行算法技术加工、整合、提炼形成的数据，具有较高的应用价值和商业价值。此外，还有学者援引2021年最高人民法院《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释（征求意见稿）》中的“商业数据”的概念，提出“衍生数据”概念，即，商业数据是指经营者对收集、获取的原始数据进行脱敏处理形成的数据总和。

大多数情况下可以从文章的语境中推知学者使用“数据权益”的内涵和外延，但是也存在极少数情况下难以推知的情况。这种用语的混乱导致看似形成了多个观点派别的对立，但仔细体会发现观点之间并无实质差异，反而有“新瓶装旧酒”之嫌。无论是“衍生数据”还是“商业数据”，都只是从不同的角度出发作出的界定：“衍生数据”是较之于原始数据而言，侧重企业数据的分离性，即数据的所有者和持有者的分离；“商业数据”侧重的是企业数据的财产性，即企业数据在加工处理后所具有的商业价值。但从本质上说，二者的内涵却又出奇的一致。在此，可以对“企业数据”作出如下定义：对数据进行处理并获得的产物称为“企业数据”。“企业数据”是企业重要的经营资源，是由企业掌握并控制的企业竞争的核心力量。

一方面，“企业数据”区别于“个人数据”。“企业数据”和“个人数据”之间是并列关系，如有学者指出，“根据数据掌握主体的不同分为个人数据、企业数据、国家数据及公共数据”。在此意义上，个人数据是个人掌握的能够将个人予以识别出来的数据以及个人在使用相关服务中产生的所有数据，企业数据则是关于企业概况以及生产、经营的信息资料；另一方面，“企业数据权益”是一种数据财产权。有学者提出数据产品归属于企业，数据权利人如欲行使权利，必然要受制于个人信息主体的个人信息权益制约，其观点就隐含着将数据权利人与个人信息主体割裂开来，将“数据权益”与“企业数据权益”相等同。但是，有学者持不同主张，认为数据权益包含指向公权力主体的数据主权和指向私权利主体的数据权益。指向私权利主体的数据权益就包含数据人格权和数据财产权。这种观点就认为，数据权益的范围广于企业数据权益的范围，在此意义上，企业主要享有的就是数据财产权。

目前，学界对企业数据确权的讨论主要集中在赋权论的视野，而对权利的建构则是各成一派，主要有“商业秘密说”“知识产权说”“新型知识产权说”“财产权说”“新型财产权说”“用益物权说”等等。事实上，赋权角度对企业数据确权的探讨固有必要，但这只是企业数据治理的一个侧面，停留在“应然”层面的权利建构，而把握“实然”层面，未抓住企业数据立法的核心要素。换言之，企业数据确权对企业数据实际功用的讨论亦殊为必要。成本收益分析理论是一种通过对法律决策可能导致的收益和可能耗费的成本进行综合评估，以作出科学决策的分析方法。这一理论广泛用作美国的立法评估。就企业数据确权而言，企业数据确权应考虑的可能收益是：企业数据交易的壮大以及“定分止争”带来的潜在收益。提出企业数据确权的学者倾向认为，企业数据发展过程中大量权属纠纷的存在呼吁制度层面权属关系的明定。似已认为，只要对企业数据予以确权，就可以根除企业数据发展的顽疾，为企业数据的发展扫除制度障碍，促进企业数据市场的数据交易。但真正的问题是，企业数据确权的潜在收益究竟有多少？下文将指出，企业数据确权恐不能或较少能增加数据市场的交易量，也很难带来预期的潜在收益。

虽然我国数据库规模庞大，但是数据市场的交易量却极少。截止2020年，我国数据库市场规模超200亿元。2021年，全球数据交易总规模达到2000亿元，我国占1/8。但是，数据交易所的交易量却远不及此，数据交易市场的交易占比不足5%，呈现出场内场外交易共同发展态势。有学者统计，2019年我国一半以上的数据交易平台年交易量低于50笔，场内交易额仅占整个数据交易市场的4%。据不完全统计，截止2022年8月，我国数据交易场所已超40家，但这些交易场所的发展并不顺利，有些甚至直接关门歇业。由此可见，大量数据都存在数据交易所外。

针对上述情况，有学者可能会提出，交易遇冷正是因为缺少企业数据确权的相关法律规范，交易主体不敢交易。事实上，法律规范的缺失只是一个因素，更主要的原因在于：企业将其拥有的企业数据视为自身的商业竞争优势而不愿在公开市场上交易。

有学者指出，数据巨头都是特定种类数据的垄断者，例如Facebook是全球社交网络数据的垄断者，Google则是搜索引擎数据的垄断者。率先加工处理数据并已形成竞争优势的企业，特别是在特定领域的“数据巨头”并不倾向于数据交易。为保持自身的竞争优势，个别企业为维系自身“数据垄断”的地位，甚至“钓鱼执法”：先通过数据交易引出潜在竞争对手，后在正式交易时拒绝竞争对手的交易。毕竟，在大数据时代，谁先占据了数据市场谁就具有核心竞争力。已经率先完成数据处理的企业为稳固自己竞争优势，势必要为自身已经建立的“数据王国”争取权益，并排除他人从“数据王国”中分一杯羹。具有“数据垄断”地位的企业不仅不愿意共享已经处理的企业数据，甚至还不愿意共享获取的原始数据。在此情况下，形成垄断地位的企业可以利用其在数据交易市场的支配性地位，操纵数据交易价格或者附加交易条件等剥削性滥用行为榨取高额利益。此时，企业数据确权恐为“数据垄断”的稳固披上合法外衣。根据经济学原理，数据巨头垄断地位的形成会在一定程度上增加企业数据的交易成本并减少企业数据的交易量。

边沁提出，立法应当是能够实现最大多数人的最大幸福，为最大多数人带来利益。企业数据确权倘若只是为了促进少数群体的“垄断”利益，这就无法实现利益的最大化。毕竟，企业数据的价格本身就难以界定，目前也未就企业数据的价格做出明确的指导。一般意义上，价格越高，需求越少。“数据垄断”的企业通过价格操控，会使参与数据交易的其他企业要支付远超正常竞争环境下的交易价格。在此意义上，企业数据确权不能或者说很少能带来企业数据交易量的增加。

一方面，企业数据确权的纠纷量少。民法是对社会中既存规范的“临摹”。在此意义上，规则不是凭空创制的，而是在大量案件中不断探索和发现的。企业数据的确权也不例外，理论的架构终究要反哺实践。法律层面的企业数据确权归根到底还是为了企业数据之间的纠纷解决。当前，我国企业数据权属纠纷案例不过百件，纠纷类型比较单一。企业数据权益的保护路径尚需更多案件的积累，以挖掘背后的“既存”规范。不仅仅在我国，2016年欧盟网络暨科技总署听证会上的多位参会人员就表示，经由合同就足以保护企业数据，而无需进行企业数据的确权。近年来，美国法院关于数据产权纠纷的判决亦大多适用合同法的规定。在此意义上，这种“定分止争”的收益何在？

另一方面，企业数据纠纷可以通过既有路径得到解决。目前，实务部门开始了对企业数据纠纷解决方案的探索，并逐渐发展形成以“典型案例”解决企业数据纠纷的路径。其中，最通常的做法是将企业数据纠纷纳入反不正当竞争法的框架中来。以2018年某宝诉某景公司不正当竞争案为例，某宝公司通过对用户信息进行处理，开发形成名为“生意参谋”的数据产品。后某景公司未经许可获取该产品，被某宝公司诉至法院。一审二审法院在没有就企业数据所属权益予以界定的情况下，在反不正当竞争法的框架内对本案作出分析：某宝公司加工处理其合法获取的原始数据的过程，凝结着自身的劳动智力成果，可作为某宝公司的竞争优势。某宝公司对这部分企业数据享有竞争性财产权益。本案还特意区分了原始数据和经过处理形成的企业数据：并非一切掌握在企业手中的数据都为企业数据。企业数据必须包含企业在加工处理中进行分析、排列等活动所带来的智力创造，而非简单的抓取行为。该案后被评为“2018年中国法院知识产权司法保护五十个典型案例”，之后法院就企业数据纠纷案件进行裁判时或多或少会考虑到本案的裁判要旨。此外，多个省市还积极发布相关裁判案例，例如，广东省深圳市中级人民法院发布10起2022年数字经济知识产权司法保护典型案例。在当前纠纷量较少的情况下，一系列典型案例已经发挥了保护企业数据权益的功能。企业数据确权的判断思路尚有赖于企业数据纠纷的新情况、新问题的出现和检验。

“法律中的成本，包括立法成本、执法成本和守法成本”。其中立法成本和执法成本主要涉及的是国家在立法评估时和执行时所耗费的人力、物力和财力，这种成本一般为国家财政所包含。这种成本支出在各个立法中无大差异，而守法成本才是法律成本的关键所在。企业数据确权的法律成本主要体现在守法成本上，具体而言：

第一，企业数据确权不符合企业数据的特性，会增加企业数据的利用成本。“商业秘密说”认为，属于反不正当竞争法第9条规定的非公开、具有商业价值并采取保密措施的企业数据属于商业秘密，受商业秘密条款的保护；“知识产权说”和“新型知识产权说”则是将企业数据归为具有独创性的智力成果。上述主张试图将企业数据的权属纳入到既有理论框架之中，但忽视了企业数据的特性。

有学者对企业数据的特性进行总结，其中提出企业数据具有“4V特性”，一是“Volumn”，即数据量非常庞大；二是“Variety”，种类繁杂，还包括视频、音频等多种形态；三是“Value”，价值低，很难区分哪些是真实数据；四是“Velocity”，海量数据的处理对计算机要求极高。企业数据的抓取和利用都是一个复杂的过程，其处理也是包含大量人力和物力成本的过程。由此可见，企业数据有别于有形物和一般的无形物。处理后的企业数据具有可复制性，每一次利用不仅不会减损其价值，还会使其增值。此外，海量的数据的处理和加工本身是一个复杂的过程，单个企业的能力终归有限。遗憾的是，当前学界对企业数据确权的探讨多是出于私有化的初衷，有学者对此作出总结，企业数据确权的探讨依旧建立在私有化的视角，建立在客体（特别是有形物）的稀缺之上，而未超出有形物的构造模式。应当看到，不是因为有价值就需要确权，而是因为稀缺才需要定分止争。企业数据不是因为稀缺才需要定分止争。企业数据的数据量非常庞大。倘若以有体物的思维方式对企业数据予以保护，势必会建构起企业数据流通的人为障碍，造成“信息孤岛”“数据壁垒”，增加企业数据的利用成本：一方面，企业需要大量重复处理同一批数据，耗费大量的人力、物力、财力，造成大量的资源浪费，增加数据重复处理的成本；另一方面，同一批数据并未实现多次利用，其自身价值增值亦十分有限。

第二，企业数据确权会增加执法时的“识别”成本。在企业数据中，全盘盗用他人企业数据的“搭顺风车”行为，其识别毫无争议。但是在很多场合，企业数据的“识别”本身就是难题。个人数据的归属容易认定，其“天然”归属于自然人这一数据主体，而企业数据却不能“天然”被享有。“处理者对个人信息数据的财产权益并非从个人处继受取得，而是基于合法的处理行为而原始取得”。企业数据包含企业处理加工时凝结的智力成果。问题在于，如何认定特定企业享有这种数据权益？有学者就提出，企业数据中有大量的事实性数据，对此等数据不宜通过权力化构造予以保护。换句话说，事实性企业数据与非事实性企业数据难以区分。除此之外，企业数据还具有伴生性和多方参与性，这使得权利主体更加多元。考虑到企业数据的上述特性，世界各国对数据保护的讨论似已达成共识：暂不对企业数据予以确权。企业处理完的数据本身就是对原始数据某种程度的“再现”，很难证明企业对哪些数据享有权益，亦很难证明企业数据的侵权行为。毕竟，两份完全相同的数据在认定侵权时可能不存在疑问，但是在部分相同的场合又该作何处理？这一侵权标准的判断只会比著作权侵权的判断更加复杂。

在尚未把握企业数据的本质之前，企业数据确权只会成为悬在企业头上的达摩克利斯之剑，使企业动辄面临侵权的巨额赔偿，导致企业在数据处理和利用上畏首畏尾。此举不仅徒增执法时的“识别”成本，还不利于鼓励企业对数据的处理和应用。

根据上文的分析可知，企业数据确权的论断受限于“有形财产”的思维定势，忽视了企业数据确权的成本收益衡量。基于成本收益视角，企业数据确权的可能成本包括企业数据的利用成本和执法时的“识别”成本，企业数据确权的可能收益包括数据市场的交易量的增加以及定分止争产生的潜在收益。就可能的成本而言：企业数据确权不符合企业数据的“4V特性”，会增加对企业数据的利用成本；企业数据“识别”困难还会增加执法时的“识别”成本；就可能的收益而言：企业数据确权在一定程度上会加剧“数据垄断”，不能或很少带来企业数据交易量的增加；企业数据确权的纠纷的妥善解决以及纠纷量的不足使得“定分止争”的潜在收益微薄。因此，从整体上看，在当前的背景下，我国企业数据确权的预期成本会小于其预期收益。也就是说，企业数据的确权并不能有效带来企业数据的发展和壮大。

三、成本收益视角下企业数据的利用和保护策略

基于成本收益视角，企业数据确权不仅会增加企业数据利用的成本和执法时的“识别”成本，还无法达到预期的数据市场的交易量的增加以及“定分止争”产生的潜在收益。企业数据的保护不能选择，或者说不能唯一选择企业数据确权之路。数据不同于其他生产要素，数据不会耗尽，且能够为实现不同目的而被反复利用与共享，由此产生各种溢出效益。在Web3.0时代，我国尚需通过数据赋能传统产业的发展，挖掘数据价值，做强做大做优我国数字经济。因此，在数据共享和流动时，若还没有出现大面积的社会危害，国家就不应当采取过于激进的措施予以干预，而应当采取及时引导和相对容忍的态度来促其发展。在当前形势下，企业数据的利用和安全更具紧迫性和时代意义。

企业数据互操作，指的是“数字经济经营者之间通过特定技术方法，以数据共享、共用为基础的协同工作机制”。如前所述，企业数据的垄断将增加数据的利用成本，企业数据流通利用的当务之急就是破除数据垄断。数据互操作可以通过数据主体间的对接，实现数据共享、流通，打破数据壁垒。目前，数据互操作成为多国打破数据垄断的关键举措。例如，欧盟理事会通过的数字市场法、数据法（草案），要求守门人平台遵守互操作义务；美国国家标准与技术研究院(NIST)构建了大数据互操作性框架，2021年还通过《2021年通过实现服务切换增强兼容与竞争法案》提出针对具有支配地位的平台实施强制性互操作政策。在我国，企业数据互操作尚未完全建立。

我国通过《关于促进平台经济规范健康发展的指导意见》《互联网平台落实主体责任指南（征求意见稿）》对数据平台的互联互通和互操作提出了原则性要求，但对数据互操作的落实尚未建构明确方案。为推动企业数据互操作制度的落实，应统一化的数据对接程序。一方面要建立统一化的授权访问权限的编程接口（APIs）。API是允许各种数据平台相互请求和发送信息的连接点。API的不同设计会影响第三方对信息的访问和接收，导致数据利用的不兼容。为更好使企业数据易于访问和转让，应标准化API的应用；另一方面，建立“数据互操作指令”。为了防止个别企业限制API的第三方访问，欧盟Commission Staff Working Document in 2013第114条提出强制披露数据接口信息的“数据互操作指令”。专利持有人不得对接口信息援引《统一专利法院协议》对专利的保护条款。当前，欧盟各国都建立起这一指令。该举措的目的就在于降低数据流通的成本，最大程度促进数据共享。我国可以通过建立“数据互操作指令”，以数据的流通为基础设立数据接口程序的强制许可。

企业数据的利用应做到流通基础上的安全，安全基础上的流通。这种数据安全的保护体现“数据主权”。互联网的无国界性质以及数据跨境流动的便利使得强国对弱国、霸权主义国家对民主国家政治经济的干涉更方便和频繁，一国甚至可以绕过另一国法律进行大规模监视。2021年我国数据安全法强调，要坚持总体国家安全观，将数据安全纳入国家安全的一环。

第一，数据设施“本土化”。即，建立本土化管理平台和设备。目前，多国建立起本土化的平台和设施。例如，法国政府于2021年推出“可信云”的云服务认证体系，为法国用户数据提供技术、法律的双重严格保护，以求“完全隔绝”他国获取法国数据的风险，维护法国的数字主权；俄罗斯更是将数据安全提到政治和国家安全问题的中心地位，严格限制数据的跨境流动，实施个人数据的本地化管理：要求本国经营的公司只能使用本土化设备（服务器）进行记录、存储、修改、更新和检索，只能利用本国境内的服务器传输数据。在我国，北京等多地采用本国公司的数字基础设施，今后还应当坚持将数据基础设施的主导权控制在自己手中，并根据个人信息保护法、《数据出境安全评估办法》《网络安全审查办法》限制企业数据的流动传输。

第二，数据传输“保密化”。在数据的跨境流动下，涉及大量个人信息的企业数据的隐私保护应予以重视。欧盟通用数据保护条例第24条第1款规定了处理者对数据安全负有的责任，要求数据处理要考虑到数据的性质、范围、个人数据权利人的权利，按照数据保护法规的规定采取适当的技术和措施处理数据。一是匿名化处理或者编码；二是根据不同企业数据的可识别度进行管理分级。我国应根据不同企业数据的可识别度和危险程度确定传输规则（包括数据传输的类型以及数据传输的通道）。对具有高度敏感性，可能造成潜在的隐私泄露、安全危机的企业数据可以禁止跨境运输；对于具有一般敏感性的企业数据，可以通过匿名处理或者编码以允许其二次使用。

企业数据的特点决定了企业数据的监管必定是“软”性的，即，根据不同区域企业数据治理的优先级和需求，适时调整监管举措。国务院2021年12月发布的《“十四五”数字经济发展规划》提出政府主导、多元参与、法治保障的数字经济治理格局基本形成，并要继续推进这一治理方式，提升治理水平。多数学者就数据治理提出协同治理等公私参与的治理理念。例如，有学者提出敏捷治理，强调以敏捷回应的治理理念、韧性容错的治理工具和开放包容的治理主体，实现治理过程的反向促进和动态适配。观之域外，欧盟在数据治理方面已形成从欧盟委员会、成员国、行业领域到企业的系统的垂直治理体制。可以说，公私治理理念在数据治理上已经心照不宣。

第一，探索行业自治。在企业内部，一些企业已经在数据利用上建立了一系列规则。正如有学者指出的，企业在数据使用方面制定了一系列规则，可以管理数据要素的有序生产，发展出了一定的“公共管理职能”。可以说，企业在数据治理上已经有了一定的规范意识和规范能力；我国数据市场交易占比少，而更多的企业数据交易都是在数据交易市场之外进行的。这就说明企业与企业之间并不需要过多的公开干预，一些企业之间就企业数据的利用已建立了合作机制。企业之间可以通过“沿着阻力最小的方向进行合作”，形成“能力互补、合作共赢的平等关系”。行业内部已有处理纠纷的前车之鉴，行业自治呼之欲出。行业自治可以建构数据行业的话语体系，与时俱进地学习数据行业内部的技术更迭；灵敏把握市场信息，以一种内部都听得懂的行业语言实现行业内部的管理。此外，行业在处理数据纠纷时更为娴熟。我国台湾地区学者詹镇荣提出，凡能够通过行业自主管理和解决的事项，都应交由行业自治，在消极层面上，它要求政府不得随意干涉私人主体能够自主决定和自律管理的事项；在积极层面上，它要求政府对于私人主体力不能及的事项，应主动担负起协助的责任。目前，我国数据行业的行业自治初具雏形，2021年我国互联网协会就批准发布了包括《面向网络内容的未成年人不适龄提醒测评指南》《网络游戏行业企业社会责任管理体系》《数据安全治理能力评估方法》《Web信息无障碍通用设计规范》《可信数据服务多方数据价值挖掘体系框架》等公告，对数据行业内部关于数据利用、处理、治理作出要求。除此之外，行业协会针对数据治理的新问题还积极组织讲座。可以说，行业自治具有优先性，在无法通过协议制约的场合，政府监管才存在适用的空间。

第二，政府为企业数据流动提供发展环境。2021年4月，欧盟委员会就针对数据保护问题，提出了创建人工智能“监管沙盒”，允许企业在降低监管要求的空间里测试新的人工智能系统，以避免一项不成熟的监管举措为产业发展带来的次生灾害。“监管沙盒”就是由监管部门设立一个“试验区”，为数字企业和其他参与者创造一个受控环境。在这一段时间和空间内监管部门对数字企业实行较为宽松的政策，鼓励创新、包容失败，以观察可能出现的风险，对监管者保持实时追踪，把握行业发展动态。依靠“监管沙盒”模式，监管部门可以预见性地针对企业在真实市场关系发展中可能存在的风险进行针对性政策性调整。这种调整所依赖的就是真实的市场关系中所存在的各种风险，以创新管理模式。利用“监管沙盒”模式探索我国企业数据的治理模式是应然之举。当前，我国在工业领域的数据安全管理上已经开始了“监管沙盒”的探索。据报道，截至2022年8月19日，我国工信部已经在工业领域组织15个省份逾300家工业企业开展数据安全管理试点工作，开始探索构建工业领域数据管理模式。在此，企业数据的管理应当在监管部门和受监管的市场参与主体之间进行治理合作：被监管的企业应当及时做好风险反馈和建议反馈，为监管部门提供最原始的信息；监管机关要注重创新技术发展和风险防范的平衡，通过和市场参与主体的合作，促进企业数据的安全、隐私、流通、开放和交易，促进对企业数据管理方式的迭代升级。

结语

企业数据确权已经成为企业数据治理的一般规则。本文从成本收益视角出发，对企业数据的确权路径进行反思，发现其论断受限于“有形财产”的思维定势，而忽视了企业数据确权的成本收益衡量。基于成本收益视角，企业数据确权一方面会增加企业数据的利用成本和执法时的“识别”成本，另一方面却不能或很少增加企业数据的交易量和“定分止争”的收益。这就是说，我国企业数据确权的预期成本会小于其预期收益。在当前的背景下，企业数据确权无法将企业数据的经济效益最大程度地发挥。从成本收益角度，企业数据治理应抛弃对企业数据确权的路径依赖，推动企业数据朝着流通、利用和安全的方向迈进，实现流通基础上的安全，安全基础上的流通。首先，建立和完善企业数据互操作框架，以破除数据垄断，实现数据流通、共享；其次，把握企业数据跨境流动的安全红线，严防因企业数据跨境运输带来的危害国家、社会以及个人安全的活动；最后，推动企业数据治理的公私合作，以实现“软”性监管，敏捷回应企业数据发展的趋势和变化。