实践中经常有委托他人处理数据的情况,如企业委托云平台存储数据,政府部门委托软件企业开发电子政务系统、进行数据处理等。对于委托他人处理数据的情形,数据产权应当如何配置?受托人能否未经授权将委托人的数据用于流通交易?受托人经营困难时,能否将数据用于债务清偿或破产清算?
在数字化转型不断深化的背景下,委托他人处理数据已成为常见业务安排。比如,企业将数据委托云平台存储、备份和计算处理,政府部门委托软件企业建设电子政务系统并开展数据加工分析,医疗机构、金融机构、工业企业也经常将部分数据处理活动外包给专业服务商。国家数据局近期发布的政策解读明确指出,在委托处理场景下,受托人原则上不能自主决定数据处理目的和方式,因此不属于严格意义上的数据处理者;除法律另有规定或合同另有约定外,受托人对委托处理形成的原始数据、过程数据、结果数据等,不享有持有权、使用权、经营权,也不能将委托人的数据用于债务清偿或者破产清算。
一、这类场景的核心特征是什么?
委托处理场景的本质是:委托方决定“为什么处理、怎么处理”,受托方按照委托要求提供技术或服务支持。
也就是说,数据虽然进入了受托方的系统、平台或项目流程,但受托方处理这些数据的合法基础,来源于委托合同和委托方授权,而不是来源于其自身对数据的独立控制。国家数据局的解读明确强调,受托人需要按数据处理者的要求处理数据,不能自主决定处理目的和处理方式,因此不是严格意义上的数据处理者。
这一定性非常关键。它意味着,在委托处理关系中,不能因为受托方“接触了数据”“存储了数据”或者“参与了加工”,就当然推导出其对数据拥有独立产权或自由处置权。受托方的权利边界,首先受制于委托目的、合同约定和法律规则。
二、产权配置的基本原则:有约定按约定,无约定原则上归委托方
国家数据局在相关解读中给出的制度逻辑非常清晰:
有明确约定的,按照合同约定配置;没有约定或者约定不清晰的,原则上由委托方享有相关数据权利,受托方不当然享有持有权、使用权、经营权。 这一口径与《民法典》合同编关于委托合同的规则相衔接:受托人处理委托事务取得的财产,应当转交给委托人。
换句话说,在委托处理关系中,默认规则不是“谁拿着数据谁有权”,而是“谁委托、谁决定处理目的和方式,谁原则上享有产权基础”。这也是为了避免实践中出现“以服务之名,将委托方数据据为己有”的风险。
三、受托人对原始数据、过程数据、结果数据是否当然享有权利?
答案是否定的。
国家数据局的政策解读已经明确:在数据处理者委托他人处理数据的情形下,受托人对委托处理的原始数据、过程数据、结果数据等,除法律另有规定或合同另有约定外,不享有持有权、使用权、经营权。 这意味着,不能因为受托方完成了存储、清洗、计算、建模、分析等技术工作,就当然取得相应数据产权。
这里尤其要注意三类数据:
一是原始数据。这通常是委托方交付给受托方处理的数据资源,本身进入受托方系统,并不改变其权利基础。
二是过程数据。例如日志、处理中间文件、结构化转换结果、特征提取结果等。若这些数据系因履行委托事务而形成,原则上也仍处于委托处理链条之内,不因其“新生成”就自动归受托方。
三是结果数据。例如报表、模型输出、清洗成果、统计分析结果。若系受托方依委托目的所生成,通常也应交付委托方,除非双方明确约定结果数据或衍生权益可由受托方另行使用或经营。
四、受托人能否未经授权将委托人的数据用于流通交易?
原则上不能。
国家数据局的解读明确指出,受托方不得基于自身判断任意扩大处理范围,更无权超越合同约定,将数据用于处理目的之外的内部使用,或者对外转让、许可、质押相关数据。也就是说,未经授权,受托人不能把委托人的数据拿去流通交易、对外授权或开展其他商业化利用。
如果涉及个人信息,这一限制还会更严格。《个人信息保护法》第二十一条规定,受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;未经个人信息处理者同意,受托人不得转委托他人处理个人信息。合同不生效、无效、被撤销或者终止的,受托人还应将个人信息返还个人信息处理者或者予以删除,不得保留。
因此,从一般数据制度与个人信息保护制度两条线看,结论是一致的:
受托人只有处理权限,没有当然经营权限;只有受委托处理资格,没有当然流通交易资格。
五、受托人经营困难时,能否将相关数据用于债务清偿或破产清算?
原则上也不能。
国家数据局在政策解读中已明确写明:除法律另有规定或合同另有约定外,受托人不能将委托人的数据用于债务清偿或者破产清算。相关专家解读进一步指出,委托处理合同因服务期限届满或受托人解散、破产等原因终止后,受托方继续持有和处理相关数据的合法性基础随之消失,应当返还数据,不得将数据用于债务清偿或破产清算。
其法理基础在于:这些数据并不是受托方自有财产,也不是其可自由处分的经营资产。受托方只是基于合同关系暂时接触、存储、加工相关数据,并不因此取得可对抗委托方的独立处分权。既然没有独立产权基础,就不能将相关数据纳入自身债务清偿资源池,也不能在破产程序中将其当作可自由变现的财产。
如果是个人信息场景,《个人信息保护法》也对主体解散、被宣告破产后的个人信息转移作出专门要求:个人信息处理者因解散、被宣告破产等原因需要转移个人信息的,应向个人告知接收方信息,接收方应继续履行原有义务;变更处理目的、处理方式的,还应依法重新取得同意。
六、这项规则的政策信号是什么?
这项规则传递出至少三层明确信号。
第一,委托处理不等于产权转移。
把数据交给云平台存储、交给软件公司加工、交给服务商分析,并不意味着数据产权随之转移给受托方。受托方接触数据,是为了履行服务,而不是为了当然取得数据资产。
第二,服务权限必须从属于委托目的。
受托方能做什么,原则上取决于合同约定、法律规则和委托方授权,不能因为技术上“做得到”就法律上“可以做”。这一点对于云服务、算法外包、系统建设、数据运营托管等行业都具有直接约束意义。
第三,制度重点在于防止“数据被服务商锁定”或“被服务商资产化”。
规则通过确立“默认归委托方”的产权安排,降低委托方在外包处理中的控制风险,也为市场主体提供更稳定的制度预期。
七、实务中应如何通过合同把边界写清楚?
从落地角度看,企业和政府部门在签署数据委托处理合同时,最好把以下事项明确下来:
首先,要写清委托处理目的、范围、期限和方式,避免受托方以后以“系统优化”“行业研究”“内部训练”为名扩大处理边界。这个要求也与《个人信息保护法》关于委托处理需明确目的、方式、种类、保护措施和双方权利义务的规定一致。
其次,要写清原始数据、过程数据、结果数据的归属与交付规则。尤其要明确:日志、中间文件、分析结果、模型输出、备份副本、缓存数据等是否都应返还、删除或留存多久。国家数据局相关解读强调,受托方应按委托方指示处理原始数据,并交付结果数据与过程数据。
再次,要写清是否允许受托方开展脱敏利用、模型训练、产品优化或统计研究。这类权利如果不明确,不宜默认存在;如果确有商业需要,也应约定边界、用途、合规要求、收益分配和退出机制。国家数据局的默认规则恰恰是:不约定,就不当然享有。
最后,要写清合同终止、系统迁移、受托方解散或破产时的数据返还、删除和交接机制。这是避免数据被“卡住”或在服务商风险事件中失控的关键。国家数据局的解读已明确,受托方解散、破产时继续持有数据的合法基础消失,应按委托方要求返还,不得用于清偿或清算。
八、结语
总体来看,数据委托处理情形中的产权配置,可以概括为一句话:
委托处理是服务关系,不是产权让渡;受托处理是权限安排,不是当然取得持有权、使用权和经营权。
因此,在没有特别约定或法律另有规定的情况下,受托人对委托处理的原始数据、过程数据、结果数据原则上都不享有独立的数据产权,也不得未经授权将相关数据用于流通交易,更不得在自身经营困难、债务清偿或破产清算中擅自处分这些数据。国家数据局于2026年3月16日发布的政策解读已将这一规则明确化,并与《民法典》委托合同规则及《个人信息保护法》的受托处理制度形成了衔接。