欧盟《数据法》看似是为了数据保护，实则可能隐藏着经济战的意图。在其华丽外衣下，欧盟试图通过严格的数据规则，限制他国企业在欧盟的数据获取和使用，以此保护本土数据产业。这无疑是一种数字保护主义的新表现，相当于给其他国家的科技企业套上了枷锁。其背后折射出欧盟在经济领域的博弈与竞争，试图在数据经济时代占据主导地位。这种做法不仅会阻碍全球数据的自由流动，也可能引发国际贸易摩擦，对全球经济秩序产生深远影响，我们需警惕这种经济战的伪装。

欧盟《数据法》的落地，标志着全球数据治理进入“规则竞合”新阶段。这部法案以“破除数据垄断”为名，通过重构数据持有者义务、重塑数据流通规则，正在深刻改变欧洲乃至全球数据市场的权力格局。金晶教授的《数据持有者何以塑造数据市场？》（原标题）一文，以穿透式研究揭示欧盟立法背后的策略逻辑与制度风险，为中国政策制定者和参与全球数据竞争的企业提供了关键性警示。

欧盟《数据法》的激进实验，既暴露了法律强制干预市场的制度局限，也为我国优化数据基础制度提供了鲜活样本。建议企业将本文作为欧洲市场合规的“预警路线图”，政策部门则可从中提炼规则博弈的攻守策略——在数据主权的底线之上，以更具弹性的制度设计参与全球数字秩序重构。

本文是司法部法治建设与法学理论研究部级课题“数据交易的民法规制”（21SFB3017）的阶段性成果，原载于《欧洲研究》2025年第2期。经作者金晶教授的授权，现于本平台转载全文，但囿于篇幅和排版原因，本平台将该文分为2个部分（上下）分别刊载，并删除了原文的索引部分，修改了标题和小标题。

引言：《数据法》的范式转换：立法路径和规制方法

数据价值化作为数据流通的第一性原理，是数据立法的科学前提，也是数据市场的理论基础。作为国家竞争的新命题，数据流通的经济促进意义巨大。正如2024年德拉吉（Mario Draghi）在《欧洲竞争力的未来》中指出，“欧盟竞争力将愈发依赖于全行业的数字化和在先进技术领域建立优势……物联网、远程传感器、增材制造和预测性维护等先进技术的连接对于促进循环经济潜力巨大。”

数据流通秩序之建立，有赖于数据市场基础制度之确立。中国和欧盟在数据市场的规模结构上虽有不同，但均关注数据经济促进、数据市场发展。《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）将数据产权、流通交易作为构建数据基础制度体系的首要任务，数据政策密集制定，学术研究方兴未艾，在中国政策制定的攻坚阶段，以欧盟为代表的域外立法绝非中国构建数据基础制度的单纯立法参照或对比项，在国际格局不断发展变化的大背景下，中国相关的政策立法既要考虑国际贸易背景下数据流通在概念层面的制度对接，又要考虑到中国制度与欧美规则的风险“对冲”问题。因此，研判欧盟数据市场立法的策略与风险，既有制度竞争的战略意义，也是建构中国自主知识体系的内在要求。

2023年欧盟《关于公平访问和使用数据的统一规则及修订（欧盟）2017/2394号条例和（欧盟）2020/1828号指令的（欧盟）条例》（以下简称《数据法》）作为一套新的法律框架，被誉为数据法的范式转换，规制重点从数据保护转向数据共享，这种范式转换主要表现在两个维度：

一是改变立法路径，这是根本性、实质性的变化。《数据法》的立法者扬弃了曾一度纳入考量的排他性使用权的立法方案，转而采取非排他性访问权的反向工具(Anti-Instrument)。在如何确定数据权利归属和利益分配这一数据立法的首要命题上，欧盟采取了对数据生态系统相关方进行全面“合同化”安排的规制方案。作为一种对数据（权益）的事实分配方案，它从根本上改变了数据经济的既有法律框架，对数据生产者（Datanproduzenten）、数据持有者（Dateninhavern）和数据利益方（Dateninteressenten）的三方关系进行重新平衡。这种从排他性使用权到非排他性访问权的结构性转换，意义重大。

二是调整规制方法，以横向规则推进多维度监管，以强制性规则调整商业数据流通方向。首先，《数据法》与《数据治理法》(DGA)均采取横向立法的对称监管思路，《数据法》以数据访问和使用为特定问题域，设定数据流通的跨行业监管框架。在立法策略上，这是一种先确立数据流通跨行业一般规则，再针对具体行业“量体裁衣”确立纵向特殊规则的务实安排。其次，《数据法》在数据流通问题上采取较激进的规制模式，以强制性规则引入数据提供法定义务。但这一方案并非初始立法选择，曾有三种方案被纳入考量：方案一强度最低，在尽量减少法律干预的设想下，设置无拘束力的法律举措，例如仅设置先合同信息义务；方案二强度居中，以有限的立法措施来提高数据使用确定性，例如对商事合同内容的预先设定和审查；方案三强度最高，就数据使用设定特定主体的法定义务，例如确立数据访问和使用的法定权利。尽管欧盟委员会倾向于方案二，其有助于提高数据流通的确定性和数据复用率，赋予消费者和企业更大的数据控制权，鼓励数据持有者生成数据的积极性。但《数据法》更接近于方案三，德国知名数据研究机构魏岑鲍姆研究所认为其是一种“通过促进欧盟立法公平性，来消除合同主体力量结构失衡”的方案。

在数据法范式转换的宏观背景之下，本文以数据市场塑造为线索，围绕数据持有者的概念构造与义务构成，从市场结构、市场主体和市场流通三个维度，研究欧盟《数据法》矫正数据市场结构失衡的规制方法、创设数据持有者概念的政策考量，以及数据持有者法定义务的正当性基础与市场影响。

一、矫正市场结构失衡：破除数据持有者依赖

（一）数据持有者对数据市场的结构性影响

市场设计理论认为，市场制度的设计构成市场设计的重点，数据特性则是数据

市场制度设计的事实起点。

数据具有非竞争性、事实垄断两大特性，这是数据市场塑造的事实基础。

首先，数据的非竞争性是数据利用过程中发挥“乘数效应”的基础。《数据法》鉴于条款第１条第４句开宗明义：“相同数据可用于各种目的，可以无限重复使用，而不会造成质量损耗或数量减损”。非竞争性决定了数据使用不导致数据消耗，其他用户访问的数据也不会随之减少，数据使用效率亦不会有所下降，这是数据区别于传统生产要素的一大特性。其次，数据的事实垄断，导致数据利用过程中存在“绊脚石”。持有数据的主体通常对数据拥有事实上的控制和管理能力，使得数据利用受制于特定主体。数据持有者对数据事实的控制也意味着，其很容易能够阻止甚至排除其他经济主体访问或使用数据。《数据法》鉴于条款第2条将这种数据事实垄断描述为“给数据共享制造障碍，阻碍了为社会利益而需要进行的数据分配优化”。

数据的非竞争性、事实垄断特性给数据市场带来了结构性影响。欧盟委员会指出，“欧盟内部市场的大多数数据未被使用，或者价值集中于相对少数的大公司手中。”主导《数据法》立法的欧盟委员会官员迪尔克•施陶登迈尔（Dirk Staudenmayer）也提出，“当下欧盟数据经济立法的重点在于数据经济产生的依赖性”。欧盟数据市场的结构性失衡表现为大“数”之下，“寸草不生”，数据经济对数据持有者有较强依赖。数据经济对数据持有者的依赖性源于如下市场发展：快速发展的物联网使网联设备能够收集数据，海量数据的出现与汇聚引发生产、销售流程的数字化，催生了纯粹基于数据的商业模式。作为新型生产要素，数据的重要性与日俱增，一旦企业要以其他企业的数据来开发或运营其商业模式，但又无其他数据源可用之时，对数据及其持有者的依赖随之出现，这种市场力量失衡会进一步加剧数据市场机制失灵，这是《数据法》要解决的结构性问题。

数据流通的逻辑前提是市场主体能掌控（访问）数据。数据无法访问或使用，数据就难以有效利用，商业模式也无从创新。《数据法》遵循数据流通基本逻辑，以矫正数字经济产生的依赖性为目标，旨在打破市场主体对数据持有者的依赖。

（二）经济动机：数据持有者对欧盟市场的战略价值

《数据法》是欧盟基于“建立真正数据内部市场”愿景所推出的基础制度，构成2020年《欧洲数据战略》中数据立法议程“四大支柱”的第一支柱。欧盟将《数据法》的远期目标锚定为“使欧洲在全球数据经济中发挥主导作用”，将近期目标定位为“通过改善数据的访问和促进负责任的数据使用，发挥日益增多的可用数据在促进社会和经济福祉方面的潜力……通过制度设计，为数据敏捷型欧洲经济构建适当框架，从而更主动地掌控欧洲市场的海量数据。”上述宏大目标背后的真实意图或在于以法律的方式“掌控”欧洲市场的工业数据。

《数据法》的经济动机至为明显，甚至可称为一项内部市场经济刺激工具，将为欧盟内部市场带来蔚为可观的经济刺激。可资佐证的是，在《‹数据法›影响评估报告》中，欧盟委员会将欧盟数据经济的主要问题归结于“内部市场可用数据不足，进而影响到一系列经济行业，导致欧盟层面数据利用不足，给消费者选择、创新和公共服务提供带来负面影响”。欧盟委员会甚至从“经济账”的角度，预测《数据法》的经济促进效果。欧盟委员会预估，在整体市场影响层面，到2028年，《数据法》将使27个成员国国内生产总值增长1.98%，其中2024年至2028年四年间，将使政府收入和投资活动各增加968亿和304亿欧元，并额外创造220万个工作岗位。在市场赋能和行政降本层面，到2028年，一方面，通过提高数据在商业用途和企业创新中的可用性，《数据法》每年产生的收益将达1.96亿欧元，另一方面，通过促进为公共利益目的使用商业数据，《数据法》每年减少的行政负担将达1.55亿元，其中仅数据访问请求一项的年营业额将接近2000亿欧元。

《数据法》立法时间表的一系列关键节点，体现了欧洲对这部法案的急切期待。2022年2月23日，欧盟委员会公布《数据法（草案）》，启动正式立法程序。草案一经公布即引发激烈争论，相关争论聚焦于法案的概念清晰度、立法目标、规制工具、结构性路径（structural roads）等议题。草案一读过程中通过多项修正，2023年3月14日，欧洲议会向理事会提交修订后的《数据法（草案）》。尽管争论激烈，但仅8个月后，即2023年11月27日，草案就获得理事会一致通过，并在同年12月就条例最终版本达成一致，12月22日欧盟官方公报发布正式文本，法案自2024年1月11日，即发布正式文本的20天后正式生效，从2025年9月12日起适用。此时距草案最初公布仅22个月。《数据法》立法进程如此迅速，以至于有学者评价法案通过“未产生重大政治摩擦……这与当时相关行业人员和利益集团忙于实施监督GDPR、《数字服务法》和当时尚未通过的《人工智能法（草案）》有关”。利益相关方无暇顾及固然是原因之一，但《数据法》迅速通过的根源，仍在于欧盟的政治决心以及预期的经济效果。

（三）规制数据持有者的方法：数据访问制度

访问设计(access by design)构成《数据法》对数据市场力量结构性干预的核心制度，旨在打破欧盟内部市场的数据孤岛。这一制度与欧盟《一般数据保护条例》（GDPR）的隐私设计一脉相承，首要目标是更好利用欧盟内部市场产生的工业数据，通过加强商业和非商业数据生态系统中不同主体间的数据共享，为网联产品及关联服务用户提供基于产品或服务生成数据的访问途径。

数据访问制度具有双重功能，既能用数据访问促进创新，也能维持一套有利于数据生产的激励机制。

为使数据访问更易实现，《数据法》第1条第1款引入了相互关联的规制工具，据此确立了四类基础制度：

一是用户的数据访问权；

二是数据持有者的数据提供义务；

三是数据持有者向政府机构提供数据的义务；

四是数据访问、传输和使用的互操作标准。

上述四类制度表现为权利与义务、原则与例外、主要与补充的组合关系。首先，用户的数据访问权与数据持有者的数据提供义务一体两面；其次，将数据提供义务设计为原则与例外关系，数据持有者原则上负有对用户提供数据的法定义务，仅例外情形下才对政府机构负有提供数据的义务；再次，促进数据处理服务的互操作、切换等技术规则的发展，作为数据访问权、数据提供义务等主要制度的辅助与补充。

（四）工具评估：规制数据持有者的“隐藏”目标与“限度”

1、作为规制对象的数据持有者

破除数据持有者依赖、提高数据可用性是《数据法》的规范目标，欧盟委员会在《‹数据法›影响评估报告》中，将这一目标描述为“通过立法矫正数据流通的结构失衡，保持对数据生成进行投资的激励机制，最大限度地提高数据在经济和社会中的价值……《数据法》旨在通过确保更广泛的利益相关者获得对其数据的控制权，确保更多的数据可供使用。”

本文认为，《数据法》的目标不止于此，或“隐藏”了更深层的竞争和产业政策意涵：通过规范力量（法律制度），以法定义务形式，让有市场竞争优势、掌握数据的特定主体向潜在竞争对手提供数据。

例如，欧盟委员会《‹数据法›影响评估报告》对法案目标的上述描述更接近于产业政策，即通过物联网领域的数据访问规则，重新分配内部市场工业数据，改变特定主体（第三方）获得和使用数据的能力，其事实效果是释放更多数据供欧洲中小型企业使用，数据持有者的市场优势可能受到削弱。具体来说，在欧盟市场运营的数据富集型的数据持有者（跨国科技公司、数字平台、物联网巨头）依法提供（“交出”）数据，由此干预数据商业流向，让处于数据资源劣势的经济主体（欧盟中小型、初创企业）能基于访问权和数据提供义务依法使用/访问（“获得”）数据。这种法律干预的结果是重塑数据流向，其目标或在于形成有利于欧洲的数据市场结构，提高欧洲数据市场乃至欧洲产业的竞争力。

上述“隐藏”目标是以经济数据为支撑的。根据《‹数据法›影响评估报告》的预测，对第三方而言，单是旨在解决合同失衡的不公平合同条款的法律规则，就将为（欧洲）中小企业带来每年约52亿欧元的利润；对数据持有者而言，《数据法》的成本将分摊到持有数据的企业，其中大多为制造商，基于数据共享义务，数据持有者不得不向消费者、第三方开放访问数据，与数据访问相关的技术基础设施的一次性成本和经常性成本将分别达到4.1亿和8800万欧元，数据持有者向政府机构提供数据的一次性费用和经常性费用将分别达到5.525亿和7810万欧元，为满足互操作性要求，数据持有者就每项标准的成本将花费100万欧元。而上述经济营收与成本支出，实质上是以牺牲数据持有者的经济利益为代价的。由此可见，数据持有者面对第三方、政府机构的“数据牺牲”代价，表现为第三方的利润增加、数据持有者的成本支出、数据持有者提供数据的法定义务，是一种数据市场的“利他”安排。

2、横向规制数据持有者的限度

横向规则的适用及其限度尚需进一步考量。德国马克斯·普朗克创新与竞争研究所指出，“欧盟在数据市场立法上引入横向规则确有必要，尤其在特定问题上采用横向规则恰逢其时……但横向规则无法取代对具体行业的特殊监管，单凭横向规则无法成为未来行业规则的优良模板。”

本文认同上述立场，横向规则应有一定限度。尽管欧盟委员会主张“未来的行业立法原则上应与《数据法》的横向规则保持一致”，但基于《数据法》的适用范围，法案将影响到所有可能与欧洲市场产生联系的工业行业。然而，横向规则并非数据经济“一劳永逸”的立法方案，各行业数据持有者的特征不同，针对具体部门的特殊规则更具针对性，更能灵活应对技术发展。横向规则虽然符合立法统一性的形式美感追求，但易滞后于行业技术的迭代发展。立法者若盲目追求横向规则，恐与数据市场、数据技术、物联网产业的复杂性相悖。

二、创设数据市场主体：引入数据持有者概念

（一）数据持有者的概念确立

从概念史回溯，数据持有者并非既定法律概念，而是欧盟新创的主体概念。数据持有者也非GDPR所用概念，GDPR确立了个人数据处理者、个人数据控制者概念，但未引入数据持有者概念。

1、数据持有者的政策表达

数据持有者的概念使用可回溯至2020年《欧洲数据战略》，其中两处提及数据持有者。一是正文中，欧盟委员会在解决数据可用性问题的语境下提出“可以根据谁是数据持有者、谁是数据使用者/用户来进行分类”；二是脚注中，欧盟委员会提出“数据访问权的范围应当考虑数据持有者的合法利益”。由此可见，《欧洲数据战略》虽然从政策角度提出数据持有者概念，但其仅是政策用语，概念语境与数据流通利用密切相关，政策制定者更多的是将数据持有者与数据使用者作为一组概念区分使用，侧重数据持有者与数据使用者的区分，将数据持有者与数据访问权关联使用，但并未明确数据持有者的法律意涵。

2、数据持有者的法律定义

数据持有者的法律概念的界定和采用可回溯至《数据法》和《数据治理法》。例如，《数据法》在第2条的定义条款中单列一项，界定了数据持有者的积极要件和消极要件。

《数据法》第2条第13项将数据持有者正面界定为，“根据《数据法》以及适用的欧盟法律或为转化欧盟法律所通过的成员国立法，有权力或有义务使用和在提供关联服务过程中访问或生成的数据的自然人或法人”。数据持有者的原型指向事实上、技术上掌握数据的主体，通常是有能力生成数据的网联产品制造商或关联服务提供商。当然，数据持有者并不限于这两类主体。不过，并非持有数据的所有法律主体，都构成《数据法》意义上的数据持有者，网联产品制造商与数据持有者概念不等同，数据持有者的主体范围仅限于产品制造商提供数据访问的情形。

《数据法》在鉴于条款排除了不构成数据持有者的两类情形。一是《数据法》鉴于条款第25条最后一句以及第63条规定，数据持有者概念通常不包括公共部门，但可能涵盖公共企业；二是依据《数据法》鉴于条款第22条，GDOR第4条第8项意义上的处理者（为控制者处理个人数据的自然人、法人等实体）不构成《数据法》意义上的数据持有者。

适格的数据持有者应同时满足（1）存在基础法律关系和（2）对网联产品及关联服务有事实控制两项隐含前提。首先，并非所有持有数据的主体都有义务提供数据访问，必须存在用户与数据持有者之间的基础法律关系，例如产品或关联服务的合同；对数据缺乏实际技术控制权而无法提供数据的制造商，对产品技术设计缺乏控制权的制造商，不落入《数据法》上数据持有者的概念射程。换言之，委托处理个人数据情形下的数据处理者不构成数据持有者，但其可按照GDPR 第 4条第7项所定义的数据控制者的特别委托来提供数据。

3、数据持有者的概念界分

如前所述，数据持有者并非GDPR的概念，但作为新的主体概念，数据持有者与GDPR的个人数据处理者和控制者之间有概念重叠，这种重叠仅限于个人数据，非个人数据的数据持有者与GDPR无关。

首先，能决定个人数据处理目的和方式的数据持有者构成数据控制者。在处理个人数据情形下，数据持有者也构成数据保护法意义上的数据控制者，但这须以数据持有者单独或与他人共同决定数据处理的目的和方式为前提。但如果数据未存储于数据持有者的技术和事实控制之下，而是其他主体依据其指示存储并处理，例如网联汽车的传感器数据，或是第三方应用程序数据仅存储于汽车制造商控制范围内且第三方按汽车制造商指示处理数据，此时，《数据法》鉴于条款第24条仍适用，只有第三方应（用户之）请求提供给汽车制造商的数据，才属于针对汽车制造商的数据访问请求的范围。

其次，数据持有者和用户可能构成GDPR意义上的共同控制者。基于《数据法》鉴于条款第34条，如果数据持有者和用户构成GDPR第26条意义上的共同控制者，其必须通过合同安排确定各自在GDPR意义上的责任。换言之，一旦数据被提供，如果用户符合《数据法》上数据持有者的标准，并因此负有提供数据的义务，该用户可以反过来成为数据持有者。

（二）数据持有者未被赋予数据持有权

需指出的是，数据持有者概念并未衍生出与中国“数据二十条”中数据持有权类似的权利形式。《数据法》未确立数据持有权，数据持有者亦未因其法律主体地位获得新权利。

数据持有者与数据持有权之间的不相关性，在规范文义和关联解释中均有体现。

从规范文义观察，《数据法》规则正文虽未提及，但其鉴于条款中有两处明确确认：

一是《数据法》鉴于条款第25条首句明确，“本条例不应被理解为赋予数据持有者使用产品数据或关联服务数据的任何新的权利，如果网联产品的制造商是持有者，那么制造商使用数据的法律基础应是制造商与用户之间的合同。”

二是《数据法》鉴于条款第24条最后两句亦佐证，“在订立提供网联产品的合同之前，数据持有者有义务提供相关产品能够生成的产品数据的信息，这与数据持有者和用户订立的是网联产品的买卖合同抑或租赁合同无关。如果相关信息在网联产品的有效期内或关联服务的合同期内发生变化，包括数据使用目的与最初预期目的发生变化，数据持有者也应向用户提供相关信息。”

由此可见，《数据法》中的数据持有者是对数据使用主体的描述，其使用数据的法律基础仍为合同约定。关联解释表明，尽管《数据法》第11条第1款及鉴于条款第57条允许数据持有者采取技术保护措施（如智能合约和加密措施）以防止数据非法披露或访问，但此间接承认并非确认其享有法律上的财产权。立法确立数据持有者概念的真正目的，在于构建以其为中心的制度框架，即明确其法定义务与使用限制，后文将进一步阐述。

（三）概念评估：数据持有者的概念疑点

正如德国马克斯·普朗克创新与竞争研究所在《数据法（草案）》的立场意见中指出：“《数据法》第２条第６款的数据持有者定义条款并未引起任何关注，该概念虽贯穿法案，但本身存在问题”。作为《数据法》规则体系的概念基础，数据持有者概念的正当性及其内涵亟待深入探讨，目前存在若干疑问。

数据持有者的预设主体有待明确。在规范文义上，除了《数据法》第２条的定义条款，第3条第1款设置了数据持有者的实质要求，要求数据持有者“在设计和制造网联产品以及在设计和提供关联服务时，应使数据以全面、结构化、常用和机器可读的格式……并在技术可行的情况下直接提供给用户。”此外，《数据法》鉴于条款第22条从设计能力的角度，要求“网联产品的设计，可以使某些数据直接从设备的数据存储器或远程服务器访问，并将数据传输到远程服务器。”由此可见，数据持有者向用户提供数据的前提，是要满足第３条第１款意义上对网联产品和关联服务设计、制造的控制能力。本文将其定义为数据持有者的“供数能力”法定要求，即确保用户访问数据的能力，这一要求以生产和设计能力为前提。虽然《数据法》第2条第13项将数据持有者界定为包括但不限于生成数据的产品制造商和关联服务提供商，但前述规定强调其需具备实质性“供数能力”，而能满足此要求的主体主要为控制生产制造流程和设计能力的网联产品的制造商，换言之，落入《数据法》第3条第1款文义范畴并承担数据提供义务的主体，主要为制造商。德国马克斯•普朗克创新与竞争研究所亦指出，若以制造商为预设数据持有者，则鉴于条款应明确说明。

《数据法》对数据持有者这一关键概念的表述不够明晰。例如，当多个经济主体共同参与网联产品制造时，难以明确谁是适格的数据持有者。若严格依据《数据法》的数据持有者概念，网联产品价值链中的所有相关方都可能被视为数据持有者，进而承担提供数据的法定义务。这对于全球价值链中的制造商而言似有失合理性。鉴于数据持有者以基础法律关系为前提，应依据用户与制造商或服务提供商的合同判定其构成，这一问题尚待实践检验。

《数据法》虽明确数据持有者不衍生数据持有权，且鉴于条款指出其概念不赋予任何新型权利，但德国学者梅茨格(Axel Metzger)和施瓦策（Heike Schweitzer）指出，《数据法》未创设新的知识产权，也不承认数据持有者对用户或第三方享有强制执行的财产权或排他性权利，然而从经济角度看，《数据法》间接承认主要数据持有者享有事实和技术上的“所有权”，因其在不符合访问权法定要求时，仍可从技术上阻止他人访问机器生成的数据。因此，从访问权的实际效果看，《数据法》仅对数据持有者进行概念性界定，未完全阐明其事实上的“所有权”地位，而这仍是数据权利法定分配的关键。

本文来自微信公众号：Internet Law Review，作者：金晶（《互联网法律评论》特约专家、中国政法大学教授）