网络数据产权化发展及其争议

（上海社会科学院信息研究所，上海 200235）

近年来，hiQ v.LinkedIn、新浪诉脉脉、顺丰与菜鸟的物流数据争夺、华为与微信的数据争夺等事件，都凸显出大数据时代，数据资产化过程中，数据主体与数据产业者，数据产业者之间对数据权利归属和数据权益分配存在的激烈争议。①McKinsey & Company, Car Data: Paving the Way to Value-Creating Mobility 7-9 (2016)Facebook数据泄露事件中暴露出用户隐私利益、平台方及其开发者之间的数据共享和利用的权益划分，成为数据经济时代典型的利益冲突案例。人们试图用现有的各种法律机制和规则，比如隐私权/人格权、财产权、合同法、知识产权法、竞争法来解决这些争议，然而，目前的各种机制似乎都难以有效应对上述冲突。

1 网络数据的基本概念

当前，网络数据的概念界定中未能体现数据的权属性质。不管是《网络安全法》还是《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》中，将“网络数据”、“电子数据”的界定往往是从技术角度强调数据的载体和形态及其来源的广泛性。在欧盟，GDPR和《非个人数据自由流动条例（提案）》（Regulation on the Free Flow of Non-Personal Data）以“可识别性”为标准，将数据分为个人数据与非个人数据，适用两种不同的制度。个人数据和非个人数据在保护价值、适用规则、涉及主体、权益分配等多方面都存在差异。

2 网络数据共享交易的形式与主要利益相关方

虽然信息交易已经持续了数百年，但是信息以数字形式存储使数据的流动和交易得以急剧增长。当前，网络数据利用、共享和交易包括以下几种形式：一是“数据经纪商”（Data Broker）收集数据并转让、共享的交易形式。二是通过投资、并购、合资等方式实现数据交易。三是通过互联网平台API接口共享数据。四是由第三方承包商根据企业的指示,或依据特定目的和合同范围内实施数据共享和分析。五是与生态伙伴合作分享数据。六是根据法律法规的程序要求或强制性政府要求共享数据。此外，为了保护企业、用户、公众的权利、财产或安全、为了科学研究或公共利益共享数据，也允许企业向外披露数据。

在各种形式的数据流转和交易中，重要的角色包括互联网服务提供商（ISP）、IT基础设施服务商、数据提供者（数据经纪商、个人用户以及公共部门）、数据分析服务提供商、数据驱动型企业等。上述数据流通中的利益相关者依据在数据产业中的角色，可以分为数据主体和数据产业者。数据产业者又可以分为数据控制者、数据处理者、数据使用者等角色。数据权利的争议存在于数据主体与数据产业者之间权益的分配，同时也存在数据产业者之间的竞争。数据产业者之间的竞争不仅存在于同类的数据产业者之间、也包括上下游数据产业者之间。

3 当前数据权属管理的实践

当前的数据权属管理实施可以分为个人数据和非个人数据两个方面来讨论。

个人数据的权属管理呈现以下三个特点：一是企业通过市场模式获取数据使用权。观察互联网企业的隐私政策和服务协议可以发现，互联网企业并不要求用户让渡个人信息的所有权，而仅仅要求获得使用权，或者说永久使用权。尤其是GDPR实施之后，大型互联网企业在隐私协议中，普遍都强调保护用户对个人信息的控制权。二是隐私法/个人数据保护法赋予数据主体名义上的排他性权利。从隐私法和数据保护法的一般原则来看，数据控制者获取个人数据需要遵循最小够用原则，并不鼓励数据的创造和生产。因此，隐私法通常与产权法处于两种话语和价值体系。当前，各国的隐私法和数据保护法一般都赋予数据主体禁止他人获取或使用某些个人数据的权利，形成了类似于物权法赋予的排他权。比如数据主体有资格在某种程度上限制企业和政府对其数据的使用，以及包括知情权、选择权、更正权、删除权、求偿权等一系列权利。三是欧盟加强数据主体控制权的改革趋势。GDPR创设了数据可携权和数据删除权这类类似于产权的新权利。但是，欧盟目前并没有承认数据主体享有数据所有权或产权，仅仅是承认对可能凌驾于隐私利益之上的反对权利。许多学者认为，数据可携权对于数据保护的产权化路径是有利的。数据可携的主要目标是加强个人的控制权，确保数据主体在数据生态中扮演积极的角色，尤其是要防止服务锁定。但是也有观点认为，GDPR所提出的数据可携权的适用范围非常有限，只适用于建立在“用户同意”基础上的数据处理活动，并且处理是通过自动化方式完成的，“技术可行”的前提也显示出立法者并没有将“可携权”上升为一种强制性的互兼容、互操作技术标准的程度。

针对非个人数据的权利管理主要分为两种取向。一是数据权利的排他性保护取向，主要通过知识产权保护、商业秘密保护、合同保护、刑事保护等形式实现，但是目前的法律机制在适用上存在问题。以“商业秘密保护”为例，一方面，秘密性的证成并非易事，另一方面，秘密性很难保持，大数据场景下，大部分数据可以被多个拥有相应资源和技术的数据控制者收集，那么其秘密性和特殊性就会丧失。因此，基于数据可被重复、多次、多主体获取的特点，商业秘密的保护框架存在不足。此外，通过订立合同，可以在数据的整个生命周期内都为权利主体提供相对应的救济和保护，但是，数据价值链中主体多样且关系复杂，双方的数据协议容易忽视潜在的第三者，造成不可期的纠纷甚至侵权。合同法的相对性也不足以应对数据产权的非专有性和可获取性。二是推动数据共享与利用的管理取向，主要通过反垄断、开放共享的法律政策推动。比如，2017年，在hiQv.LinkedIn一案中，美国联邦地区法院判决禁止LinkedIn公司采取法律或技术措施，限制第三方企业爬取其网站上用户公开的数据。该判决中，法院的立场是维护公共利益，保护中小企业创新，对LinkedIn的数据权利进行限制。

4 网络数据产权化发展面临的主要争议

从各界对数据权的讨论来看，数据权是一个综合性的权利集合，包括了隐私与人格权、财产权、债权、国家主权等一系列权利。各项权利各有归属，就数据产权化的视角来看，质疑和争议源于两个方面。

一是对数据产权化问题本身的质疑。对个人信息财产权的检讨源自三个方面：人格权理论的批判，财产权无法解决个人信息“客体化”后的人格尊严问题；财产权本身的反思，个人信息不同于传统财产权中的“财产”，比如非排他性；实践理性的诘责，财产权理论在实践操作中困难重重，比如数据财产的定价难题。

二是对个人数据共享和流通中存在的权益归属的争议。个人数据权利归属存在两种主张，一是将数据权利归属于数据产业者。该主张承认了资本和劳动在数据价值链中的地位。二是将数据权利归属于数据主体。目前，理论界对上述两种数据权利归属方式都存在不同的意见。反对将数据权利归属于数据产业者的理由是，个人数据权是一项人权，数据权利转移的核心是数据主体不能放弃人权保护。另一个反对数据权利完全归属于数据产业者的观点是，数据主体应当在数据生成的财富分配中占有一席之地。而反对将数据权利完全归属于个人的理由是，将财产权集中于个人，数据产业者的资本和劳动得不到承认，在数据经济时代是不可行也不可能实现的。此外，个人对个人数据的控制权以及个人数据财产权的有效实现也非常困难。一方面，数据处理导致个人的决定不可避免地对他人产生溢出效应，另一方面，当前立法对个人数据定义广泛可以实现对其全面有效的保护，但是却使实现个人数据的产权化成为一个难题。其困难在于，在与个人的相关性的哪种程度上可以足够建立财产权，以及如何追踪这种联系的状态。

5 网络数据产权化讨论的启示

网络数据的产权化的讨论还在刚刚开始，对于是否需要以及如何构建数据的排他性权利需要解决诸多问题，最为主要的是确立以下的基本思路。

一是网络数据权利是一项复杂权利，不仅具有人格权属性，也有财产权特征，甚至具有国家主权属性；网络数据的非排他性特征，决定了其不同于传统的物权；而当前债权、知识产权等现有的法律机制无法充分保护数据权益；

二是数据产权化规则应当着重于数据流通共享环节的规则构建，为各利益相关方有序利用数据提供保障。当前数据产业者在数据开发利用和共享合作中发生利益分配和权利归属的争议，需要构建平衡各方利益的竞争规则，特别是需要考虑如何促进整体数据创新环境的形成。

三是数据产权化规则需要构建平衡共赢的数据权益分配机制。大数据开发和流通的产业链条中，存在复杂的数据利益相关方。不管是提供基础个人数据的数据主体，还是参与数据开发利用的产业者，其权益的分配必须要考虑各相关方的利益平衡，保护参与者成本投入的合理回报。

四是数据产权化的前提是构建安全信任的个人数据保护生态。数据主体应当是数据开发利用的最终获益者，在保证个人数据安全的前提下推动数据流通才是大数据时代个人数据共享利用的方向。