随着“大数据”应用范围的扩展,用户数据价值日益凸显,现已经成为各大企业争相收集的对象。因用户数据可以直接转化为商业利益,故而人们逐渐将其视为一种财产。在这一背景下,针对用户数据的侵权行为层出不穷,既包含从用户处违法获取数据的行为,也包括从其他持有用户数据的主体处违法获得数据的行为。其中,第一种情形因仅涉及两个法律主体,一旦发生纠纷并不存在寻找当事人困难的问题。但在第二种情况中,实际侵权人往往难以直接确认,从而导致用户在数据上的权益难以得到有效救济。因此,用户数据权益亟需一种一般性的保护方式。而《数据安全法》中的数据安全保护义务则成为了重要抓手。所谓企业数据安全保护义务,即企业应当对其所持有的用户数据尽到合理的安全保护义务,以防止用户数据权利在被其持有期间受到不法侵害。完善民事用户数据权益保护,首先需要明确数据安全保护义务的法理基础。用户数据权益基于数据表达的基础权利而产生,只要基础权利层面的人身、财产性权利不产生变动,那么依附于基础权利的数字权益则不可单独让与。换而言之,数据权益依托基础权利而存在,企业持有并处理用户数据的合法性来源在于用户的授权,而非用户数据权益的转让。依照注意义务相关理论,如果企业因其对数据的经营行为而对用户数据权益带来危险,就应当承担防止危害发生的义务。因此,持有用户数据的企业应当对用户数据权益承担民事数据安全保护义务。其次,需要明确民事数据安全保护义务的民法定位与履行要求。数据安全保护义务已在《数据安全法》中得到了明确规定,并与《网络安全法》、《个人信息保护法》和一系列国家标准中有关数据安全保护的规则一道构成了我国数据安全保护义务体系,但对其内容的解释与如何履行均需借助相应的国家标准进行。与纯粹的民事法律不同,《数据安全法》是一部综合性的法律,其中规定的内容并不完全属于民事规则。同时,《数据安全法》也并没有直接为民事主体提供主张其权益的请求权基础,因此尚需从民法中寻找。在《民法典》侵权责任编中,数据处理者违反数据安全保护义务的一般侵权行为由1165条进行调整,但在第三人数据侵权中数据处理者的责任并没有明确规定。在特殊主体的法律责任方面,我国《民法典》分别于第1197条与1198条对网络服务提供者与经营者两种特殊主体的责任进行了规定。数据处理者属于网络服务提供者的一种具体类型,只要数据处理者同时符合行为具有“经营性”这一条件,就可以藉由“网络服务提供者”与“经营者”的主体认定通过第1197条、1198条来调整其与用户的法律关系。在实践层面而言,无论是《民法典》第1197、1198条的适用关系,还是《民法典》第1197条、《数据安全法》第29条中“知道或应当知道”、“采取必要措施”与《民法典》第1198条第2款“尽到安全保障义务”在数据侵权中的认定标准,均有待明确。最后,需要明确企业违反数据安全保障义务的法律责任。企业违反数据安全保护义务体现在违约与侵权两个方面。在违约责任的判断上,主要依靠合同双方的约定判断,并依照约定内容的不同而产生的不同的救济方式;在判断数据处理者是否需要承担数据侵权责任的认定上,则较为复杂。首先,在归责方式上,基于数据侵权的专业性应当采用过错推定责任;其次,在过错的认定上,应当依照是否“知道或应当知道”、是否“采取必要措施”的规则进行判断。在损害赔偿方面,数据作为一种信息载体,其内含的权益较为复杂,包含数据层面的、由有限排他性统计学价值转化而来的财产价值,也包含于数据内的基础权益价值（如著作权、肖像权等）。对于进行数据处理行为的企业而言,其在意的往往仅是用户数据在数据层面的财产价值,而对于用户而言,则更关注基础价值层面的实体权益。《个人信息保护法》第69条对个人信息的救济采用了“完整救济+数据救济”的模式,对于用户数据权益的救济也可采纳这一模式。只是对于数据权益救济而言,“完整救济”与“数据救济”更多的体现为责任竞合问题。在用户数据权益受到侵害时,数据处理者的违约责任与侵权责任、数据侵权责任与基础权利侵权责任均需择一主张。