Você não quer que eles sejam de propriedade da www-data. Inicialmente, o Apache é executado como root e, em seguida, descarta privilégios para www-data. Você não quer que o conteúdo da web seja gravável pelo usuário que possui os processos do apache. Isso cria uma vulnerabilidade de segurança.
No caso em que o Apache é atacado, o ideal é que o usuário do www-data não tenha acesso a nenhum sistema. Esta é a configuração mais segura. Se o conteúdo da Web for de propriedade da www-data, se o Apache for atacado, o invasor poderá sobrescrever qualquer conteúdo da Web.
Seu conteúdo da web deve pertencer a um usuário normal (isso exclui nobody
, www-data
e root
). Somente as coisas que precisam para serem graváveis pelo Apache devem ser de propriedade da www-data.