数据资产入表的核心前提是“合法拥有或控制”。然而，在实务操作中，企业面临的最大痛点并非技术处理能力，而是数据确权难。与传统不动产或动产不同，数据具有非竞争性、易复制性、多方参与性等特征，导致传统的“所有权”概念难以直接适用。若权属不清，数据资产入表将缺乏法理基础，融资、交易及IPO审核均将面临实质性障碍。2022年12月发布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（简称“数据二十条”）创造性地提出了数据产权“三权分置”运行机制，即数据资源持有权、数据加工使用权、数据产品经营权，在202５年７月国家数据局和市场监管总局颁布的数据流通交易示范文本（以下简称“示范文本”）中简要概括为数据持有权、数据使用权和数据经营权（以下统称为“三权”）。“数据产权结构性分置”打破了“数据所有权”的僵局，为数据要素流通奠定了产权基础。本文将从资本律师视角，深度解读“三权分置”的法律内涵，剖析其在商业场景中的落地路径，并提供一套可操作的确权合规实务指南，协助企业在数据资本化进程中构建坚实的产权护城河。

“三权分置”的“分置”，是指根据数据的利用场景和使用方式，明确持有权、使用权和经营权等的内涵和组合关系，并遵循“谁投入、谁贡献、谁受益”的原则，将数据产权合理配置给不同主体¹。理解每一权重的内涵、边界及相互关系，是构建数据资产合规体系的基础。我们需要从法理层面深入剖析这三项权利的本质，以及它们在现行法律体系中的定位。

（一）数据持有权：合法控制的基石

数据持有权，是指权利人自行持有或委托他人代为持有合法获取的数据的权利。旨在防范他人非法违规窃取、篡改、泄露或者破坏持有权人持有的数据。数据持有权它强调的是对数据资源的“事实控制”状态，而非绝对的“所有”。依据数据二十条“明确提出”保护数据处理者合法持有的数据资源，这一权利的性质更接近于物权中的“占有权”，但更侧重于合规持有。持有权的合法性来源于以下几个方面：用户授权，即通过隐私政策、用户协议获得个人信息主体的授权；公共授权，即通过政府授权运营协议获得公共数据持有权；合同约定，即通过商业合同从第三方采购或合作获取数据；以及自行生成，即企业生产经营过程中自行产生的数据，如日志、传感器数据等。

持有权并非无限权利，持有者必须履行数据安全保护义务。《数据安全法》第二十七条规定，开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度。《个人信息保护法》第五十一条要求个人信息处理者应当采取相应的加密、去标识化等安全技术措施，防止未经授权的访问或个人信息泄露、篡改、丢失。这意味着，持有权的行使伴随着相应的合规义务。若持有者未能履行安全保护义务，导致数据泄露，其持有权的合法性基础将受到动摇，甚至可能面临行政处罚。此外，持有者不得滥用持有权垄断数据，不得阻碍数据的合法流通，这受到《反垄断法》的约束。

在数据资产入表实务中，持有权是确权的起点。审计师会重点审查企业是否拥有稳定的数据来源渠道及控制能力。若企业仅能临时访问数据而无持久化存储或管理权限，则难以主张持有权，进而无法确认为资产。例如，某企业仅通过API接口临时调用第三方数据进行分析，并未存储原始数据，这种情况下企业很难主张对该数据资源拥有持有权，只能就其分析结果主张权益。因此，企业在构建数据资产时，必须确保对数据资源具有实质性的控制力，这种控制力既体现在技术上的存储和管理能力，也体现在法律上的授权链条完整性。

（二）数据使用权：价值创造的核心

数据使用权：是指权利人通过加工、聚合、分析等方式，将数据用于优化生产经营、提供社会服务、形成衍生数据等的权利。依据“数据二十条”鼓励“对数据进行深度加工使用”，这一权利的性质是一种类似物权中“使用权”及知识产权中“演绎权”的混合权利。其权利内容包括加工权，即有权改变数据的形式、结构或内容，如脱敏、聚合；使用权，即有权将加工后的数据用于内部决策、模型训练或业务优化；以及收益权，即有权享有因加工使用带来的效率提升或成本降低收益。

加工使用权的行使不得侵犯原始数据的合法权益。《个人信息保护法》第七十三条规定，处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。加工过程中必须确保个人信息去标识化，不得复原。涉及重要数据的加工需符合特定安全标准，不得危害国家安全。若原始数据包含他人著作权，如文本、图片，加工需获得授权或符合合理使用情形。对于AI企业而言，加工使用权是核心资产。大模型训练本质上就是行使加工使用权。法律审查的重点在于训练数据的来源是否支持“加工”目的。用户协议中是否包含了“用于算法训练”的授权条款？若授权仅限于“提供服务”，则用于模型训练可能构成违约或侵权。

在商业实践中，加工使用权的边界往往是最容易产生争议的地方。例如，平台基于用户数据生成的用户画像，平台是否有权将其用于精准营销？若用户撤回同意，平台是否必须删除画像？这些问题需要在用户协议中进行明确约定。同时，加工使用权也可以作为独立的交易标的。企业可以将加工使用权授权给第三方，允许第三方在特定场景下使用数据，但保留原始数据的持有权。这种分离模式既保护了数据源的安全，又实现了数据的价值流转。

（三）数据经营权：流通变现的关键

数据经营权：是指权利人通过转让、许可、出资或者设立担保等有偿或无偿的方式对外提供数据的权利。权利主体将加工后的数据产品，如数据集、API、报告等，推向市场，进行交易、许可、质押等经营活动都是数据经营权的体现。依据“数据二十条”提出“培育数据产品市场”，这一权利的性质是一种类似物权中“处分权”及商业经营权的权利。其权利内容包括交易权，即有权出售或许可他人使用数据产品；质押权，即有权将数据产品作为担保物进行融资；以及收益分配权，即有权获得交易产生的经济收益，并按约定分配给相关利益方。

经营权行使需符合流通交易规则。建议在各地数据交易所进行登记挂牌，获取合规凭证。不得交易涉及国家秘密、未脱敏个人信息、非法获取的数据。需建立数据产品溯源机制，确保交易后可追踪。经营权是数据资本化的终点。只有拥有清晰的经营权，数据才能成为可交易的商品。在融资场景中，银行会重点审查企业是否拥有数据产品的经营权，以确保质押物的可处置性。若经营权存在瑕疵，如未经共有人同意，质押合同可能无效。

在实务中，经营权的实现往往依赖于数据产品的形态。若数据产品是以API接口形式提供，经营权体现为调用次数的计费权；若数据产品是以数据集形式提供，经营权体现为复制件的许可权。无论何种形态，企业都需要通过合同明确约定买方的使用范围、禁止转售条款及违约责任。此外，经营权的行使还受到行业监管的限制。例如，金融数据产品的经营可能需要具备特定的金融牌照，医疗数据产品的经营可能需要符合医疗卫生行业的特殊规定。企业在设计数据产品时，必须充分考虑行业准入要求，避免无证经营的法律风险。

（四） 三权之间的关系与分离机制

各种数据产权之间“相互独立”，即权利人可以享有三种权利的一项，多项或全部，不同权利人也可以同时享有同一数据的同一权利，互不排斥。这一制度设计淡化了排他性和唯一性的所有权概念，契合数据具有易复制、非竞争性等特性与数据多方共同持有、共同生成的现实情况，既能搁置数据权属归属争议，又为市场主体界定数据权益、共同促进数据开发利用提供可信选择，同时还增加了制度的弹性和灵活性，为未来的实践探索预留了空间²。分离场景例如原始数据持有者，如医院，可以将加工使用权授权给科技公司，科技公司加工后将经营权授权给保险公司。医院保留持有权，科技公司获得加工费，保险公司获得应用收益。组合场景例如大型互联网平台往往同时拥有三权，形成闭环生态。分离机制使得数据要素可以在不同主体间高效配置，无需转移原始数据所有权，降低了流通风险。

这种分离机制的法律意义在于实现了风险与收益的匹配。原始数据持有者通常承担最大的安全合规风险，因此保留持有权以确保控制力；加工者承担技术投入风险，因此获得加工使用权以回收成本；经营者承担市场风险，因此获得经营权以获取市场收益。通过合同架构设计，企业可以根据自身在数据价值链中的位置，选择持有其中一项或多项权利。对于初创企业而言，可能仅拥有加工使用权，通过技术服务获利；对于平台型企业而言，可能拥有全部三权，通过生态运营获利。理解三权之间的分离与组合逻辑，是企业设计数据商业模式的基础。

不同数据资源类型、不同行业场景，其确权路径存在显著差异。企业需结合自身业务特点，选择合适的确权模式。我们将通过三种典型场景的分析，展示“三权分置”的具体应用。

（一）公共数据授权运营场景

公共数据授权运营场景的特征在于数据来源于政府及公共事业单位，如交通、医疗、水电。原始数据属于国家所有，企业无法主张所有权。确权路径在于通过政府签订的《公共数据授权运营协议》获得特定场景下的持有权。协议明确授权企业可进行加工、分析。企业可销售加工后的数据产品，如交通分析报告，但不得销售原始数据。需要关注授权协议的有效期，避免资产期限短于财务摊销期限。严格遵守协议约定的使用场景，不得超范围使用。公共数据安全责任重于商业数据，需建立专项安全管理制度。

如某市公交集团授权科技公司运营公交刷卡数据。科技公司不拥有原始刷卡记录，但拥有加工后的“客流分析模型”经营权。通过登记证书，该模型成功实现资产入表。这一案例表明，公共数据运营的核心在于获得政府的合法授权，并在授权范围内进行价值创造。企业不主张原始数据的所有权，而应聚焦于衍生产品的经营权。

（二）企业自有数据商业化场景

企业自有数据商业化场景的特征在于数据来源于企业生产经营，如工业传感器数据、电商交易数据。企业主导性强，权属相对清晰。确权路径在于基于自行生成事实，主张天然持有权。内部自由使用，无需额外授权。需审查是否包含第三方权益，如用户个人信息、供应商商业秘密。合规策略在于若涉及用户数据，必须完成匿名化处理，切断与特定个人的联系。对核心数据采取保密措施，防止被竞争对手反向工程。具有市场支配地位的企业，不得拒绝开放必要数据，避免违反《反垄断法》。

某工业互联网平台收集工厂设备数据。平台拥有数据持有权，工厂拥有数据使用权。平台将脱敏后的行业指数数据对外销售，实现经营权变现。企业自有数据的确权重点在于处理好与用户及合作伙伴的关系。通过合同约定明确数据归属，并通过技术措施保护数据安全，是企业实现数据商业化的关键。

（三）个人数据授权利用场景

个人数据授权利用场景的特征在于数据核心内容为个人信息，如健康数据、金融数据。个人权益优先，企业利用受限。确权路径受限于个人同意的范围和时间，且个人可随时撤回同意。因此企业对个人数据的使用受到严格的限制，严禁直接交易个人信息。仅可交易经深度加工、无法复原的衍生数据产品。对于涉及敏感个人信息的，企业需取得个人单独同意。提供便捷的撤回同意渠道，撤回后企业需要及时删除数据。

如某健康管理APP用户授权企业使用健康数据训练AI模型。企业不得出售原始健康记录，但可出售“疾病预测算法服务”。用户通过授权获得会员权益。这一案例表明，个人数据利用的核心在于尊重用户权益。企业必须建立完善的用户授权管理体系，确保每一次数据使用都有合法的依据。同时，通过利益共享机制，增强用户授权的意愿，实现企业与用户的双赢。

数据确权是数据资本化的基石。没有确权，入表是无源之水，交易是无本之木。“三权分置”制度为企业提供了灵活的权利配置工具，但也带来了复杂的合规挑战。作为企业决策者，应摒弃“数据归我所有”的传统思维，转向“数据为我所用、为我受益”的运营思维，通过合同、技术、登记等手段，将抽象的数据权利转化为具体的法律资产，充分挖掘数据资产的增值价值。