文/刘越
个人信息、数据的权属
文/刘越
随着云计算、物联网等发展,个人信息、数据的商业价值被发掘,各地相继建立数据交易中心。从法律上讲,由于我国现阶段尚没有针对大数据权属的法律规范,目前对于数据权属问题仍存在争议。需从司法实践中进一步总结、分析、探讨个人信息和数据的权属以及数据分类、处理等细节问题,以期对大数据权属作出界定。
随着云计算、物联网、传感网、移动互联网等蓬勃发展,催生了数据规模的爆炸式增长,人类已大步迈入大数据时代。通过对个人信息、数据的收集、分析与利用,更多的商业价值和社会效益被创造出来,以买卖共享数据为目的的数据交易中心也相继建立。2015年4月15日,我国首个专门提供数据交易共享的平台贵阳大数据交易中心成立。紧接着上海数据交易中心、浙江大数据交易中心、河南数据交易中心、数据宝、数据堂等纷纷成立。
但是数据交易的前提是权属,而这些数据的所有权问题,特别是涉及到相关个人信息,或与个人信息相关联的其他设备信息、系统信息,它的权属该如何界定?是不是谁收集掌握了这些信息,这些信息就理所当然的属于数据的掌控者,可以任意买卖和交易?大数据交易的信息有哪些类型,它们的法律性质,权属该如何界定?本文将针对这些问题作简要分析和阐述。
贵州数据交易所确立了9项交易原则,其中之一便是:“数据买卖双方要保证数据所有权、合法、可信、不被滥用。”虽然数据交易已经在进行,并且在实际中数据交易的授权和收益方都定位在了数据的实际控制者,但从法律上来讲,各方对于数据所有权问题依然存在着较大的争议。
如王利明教授认为,个人对个人数据享有优先的财产权,企业在交易个人数据的时候将对个人隐私产生极大伤害,并产生难以预计的信息安全问题,大范围失控的数据交易也将为违法活动提供温床。因此主张在法律上另设财产类别,或可称之为“数据财产”,与现有法律认可的无形财产分开。这一新型财产权利的设立应当重新定位价值顺序,权利的出发点是人而非物,数据主体(即产生数据的本人)应拥有优先的权利。
另一方面,阿里巴巴旗下的云计算公司阿里云发起数据保护倡议。这份公开倡议书明确:运行在云计算平台上的开发者、公司、政府、社会机构的数据,所有权绝对属于客户;云计算平台不得将这些数据移作他用。表面上看这份倡议是保护客户的利益,但实际上,它把个人数据的主体排除在外,也就是提倡了一种谁收集和掌控数据,谁就拥有数据所有权的观点。这一观点是从产业界的利益出发考虑的,在不涉及个人数据的情况下,其他数据更多地可以通过知识产权领域内的著作权、商业秘密、专利权、数据库、邻接权等来归类解读,但在设计个人信息的数据方面就显得有失偏颇,并且违反了我们国家关于个人信息保护的基本法律核心思想。
北京市海淀区人民法院中关村法庭和中国互联网协会调解中心联合发布的《大数据与知识产权司法保护的现状及展望调研报告》公布的数据显示,在国内,大数据与司法实践相关案件当中,涉及著作权的是23%。在2017中国互联网大会上,第二届中国互联网纠纷解决机制高峰论坛暨“互联网+”时代下的大数据法律问题论坛对大数据相关案件在司法实践中面临的困境等问题进行了探讨。
事实上对于数据权属的争议,首先应该解决的问题是数据的分类,我们可以首先把大数据中的数据分为两大类:个人信息和非个人信息。先谈谈非个人信息。非个人信息通常可以通过相应的IP(知识产权)来确定。在大数据领域相关数据有两个挑战:一是数据大多数情况是别人产生的,二是数据的价值因重复使用而增加数据公开和分享的诉求;数据的价值来自其流通性而非其源头。谁能使用这些数据?如何使用?着眼于数据的使用,如何使用比讨论数据所有权更具有实际意义。
著作权通常保护数据的表述方式,大数据作为整体很难被著作权保护。因大部分大数据并不具有原创性,而是一种自动产生收集加工的实时数据。但是对这种数据收集整理的数据整体,可以通过数据库邻接权来进行保护。但需要注意的是,数据查询权和数据的算法都不在邻接权保护之列。那么通过商业秘密或know how技术秘密来进行保护可以吗?理论上是可行的,但是问题在于其秘密性很难保持,并且大部分数据可以被多个拥有相应资源的技术的数据控制者收集,那么其秘密性,特殊性就会丧失。
那么是否可以通过专利对相关大数据的算法进行保护?在各种专利中采用技术发明还是实用新型来进行保护?也具有一定的难度。因为需要证明该数据的唯一性,对算法的理论构造,方式方法进行专利保护?此外专利申请的周期很长,算法需要不断修正完善,如果用专利来进行保护,新的算法不断修正,并不能适时获得保护。因此是否需要申请专利、如何申请都需要非常慎重。
另外大数据除了原始数据的收集,还有派生数据和演绎数据,这派生数据通常是通过对原始数据的积累分析而产生的,而演绎数据则是通常包含派生数据和一些新数据,或删除部分数据。云服务商通常希望拥有对用户使用信息收集监控分析的派生数据所有权(如果原始用户数据被分离,掩盖或匿名)。
现阶段对数据的交易更多并非所有权的转移,而是许可使用权。最常见的是通过NDA(保密协议)来完成。数据交易可授予对方一定范围时间内的使用许可,并需要对相应的派生数据,演绎数据的权属作出事先的约定。
大数据中较难以确定数据权属的信息是个人信息。理论上讲,个人信息源于个人,理应属于信息主体。但信息主体对此类信息并不具有相应的控制能力,也往往并不清楚相关主体具体收集了哪些自己的个人信息。这就导致了信息主体对信息的主权没有实际的控制,而信息收集者、加工者对相关个人信息具有了实际的使用、加工、分享、传输的事实上的掌控权。
讨论个人信息的权属,我们要首先确立个人信息的财产属性。对于个人信息的财产属性,学术界争论已久,承认数据的财产属性是讨论数据所有权的前提。在欧盟法律中个人信息的财产属性是被主流学界排斥的,欧盟更倾向通过承认个人信息与隐私权的关系,基于人权理论对个人信息进行保护。而美国和中国,虽然没有明确地承认个人信息的财产属性,但在许多现有的法律基础中对属于个人信息的肖像、声音、生物信息,网络虚拟财产的财产权都通过具体案例和法条予以了确定。依据元照法律词典解释,所有权是指:一个人享有的对某物独占性的支配权,是对物的占有、使用和以出租、出借、设定担保、转让、赠与、交换等方式予以处分等权利的集合,也是法律承认权利人对作为权利客体的物(包括有形财产与无形财产)所享有的最充分、最完整、最广泛的权利。从市场实践看,个人信息的商业价值和作为交易客体存在的事实也充分证明了个人信息具有不可否定的财产性质,并且这种财产性质在市场中早就通过交易得到了事实上的认可。因此顺应此发展,在个人信息的人格权上负载财产权益已具有相应的法律理论基础,只是进一步明确的制度化尚需要具体法律制度的制定和完善。
确立了个人信息的财产权益,我们来进一步探讨交易中个人信息的权属问题。首先,需要确认的是在没有获得信息主体自由意思表示的同意前,个人信息的交易是非法的,也为我国法律所禁止。2012年《全国人大常委会关于加强网络信息保护的决定》规定:任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。刑法修正案(七)也将出售个人信息的行为作为违法犯罪活动追究刑事责任。网络安全法第44条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。因此任何缺乏信息主体明确同意销售个人信息的行为都属于非法行为。其次,如果能够取得个人的同意,那么出售个人信息就属于合法的行为,那么此时个人信息的权属该如何界定?其实法律虽然没有明确指出,但将没有获得个人同意的销售行为定为非法,已经确立了个人信息的权属应属于信息主体个人,即使信息主体没有实际占有,收集,控制该信息,法律依然从人格权为基础出发确定了个人信息权。此权利是针对他人对个人信息的非法收集、使用、加工、传输。因此在取得信息主体同意的同时,应该通过一定形式将此类财产权益分享,返还给信息主体,这样才能切实保障个人信息主体的财产权益。但在现实中如何确定碎片化的个人信息的财产属性又是另一个需要研究和解决的法律和经济问题。因为个人信息的价值在于累积和海量,碎片化到个体的个人信息如果要保障其财产权益,其实现方式需要斟酌考量,此处不再赘述。
其次,有一种做法是将个人信息作清理和匿名化处理,那么经过匿名化处理的信息是否还属于个人信息?从技术上来说,从当前匿名化技术以及大数据发展趋势而看,数据的匿名化是一个较为相对的概念。在数据的叠加效应的背景下,数据的绝对匿名是很难保证的,即使匿名要恢复身份性也是可行的。因此,即使数据匿名后相对已经不具有个人信息定义中确定的个人信息的可识别身份的特征,不在相关法律规定的保护范围内,那么也需要相关主体通过技术,后续维护、监督、协议等方式保证这些数据持续的匿名。对于这样的信息在保持匿名的状态下,可以说已经切断了信息原主体和信息的关系,因此其所有权和使用权都被信息的实际收集者和加工者所有。
2014年,美国联邦贸易委员会(FTC)针对数据经纪行业发布报告《数据经纪行业,呼唤透明与问责》,提出数据交易行业缺乏透明性,并建议美国国会应当专门针对数据经纪行业立法,通过立法要求开展数据交易活动的企业对用户提供透明度。对数据交易透明性的要求其实也是在对数据交易行业中的违法出售个人信息的行为提出质疑。在此报告中要求数据销售者需要向用户公示其获得(包括购买、共享)数据的渠道、数据的类型,并为用户提供退出机制:要求数据交易者需要披露原始数据类型,大数据分析后对消费者特征标签化分类标准,并且针对健康信息等此类敏感信息,用户需要被充分告知明确同意。
我国现阶段尚没有针对大数据交易的法律规范,唯一遵循的原则即对个人信息禁止非法销售的规定,大数据交易中的非个人信息或匿名状态的加工后的非个人信息都可以通过数据库、商业秘密等知识产权来进行权属确定,而对个人信息则依然定位为属于信息主体个人。主体通过被告知和同意来实施对个人信息的控制权。虽然这一机制的执行力已经被学界普遍质疑,现阶段法律尚未找到更加适用的替代方式。
对数据的权属问题需要根据数据的特征进行分类讨论。现阶段主要类别是知识产权和个人信息权。由于大数据的特殊性,两类分类的权属在执行中都尚有如文中所述的细节问题需要更多的考量和探讨。
(作者系南京邮电大学信息产业发展战略研究院副院长、亚太网络法律研究中心执行主任、挪威SCHJODT律师事务所大中国区首席法律顾问)