龙卫球
内容摘要:企业是推动支持当前数据经济发展的中坚力量。企业积极投入大量技术、资金和人力成本,是大数据得以形成和运营的关键前提。但是,企业投入数据经济的意愿和努力,最终取决于企业数据能否得到充分、合理和有效的法律保护。目前,从私法保护角度来说,企业数据保护走出借用传统法律的策略转向数据新型财产权化新机制,时所必然、事所必然。但是应该注意,企业数据保护在承载企业追求经济化的功能的同时,具有多重功能的聚合性和所涉利益关系的交织性,这些导致企业数据财产权保护路径的设计非常复杂。它形式上雖然采取私权形式,但与民法上典型的财产权不同,需要兼顾多种功能、多种利益协同的保障要求,因此无法采取简单意义的财产权构造,而是需要呈现为一种具有极强外部协同性的复杂财产权设计。在这个意义上,虽然具有权利之名,但实际包含了极为复杂的法律秩序安排;与采取私权形式的知识产权机制,以及没有采取私权形式的企业竞争保护机制有一定相似之处,但功能和结构更加繁复。
关键词:企业数据保护财产权化路径数据功能聚合数据财产权数据关联利益
随着科技产业不断变革特别是大数据技术的不断发展,数据经济由此日益兴盛,而数据资源化成为所谓的“新石油”。〔1 〕我国出台的大数据战略也提出要构建以数据为关键要素的数字经济。但是,数据本身不是自动生成的,而是靠政府、企业、社会、个人各方面合力形成的。其中,企业是推动支持数据发展的中坚力量。随着信息科技的日新月异,越来越多的企业具备了收集、处理、分析原始数据的能力,有的甚至发展了创造全新的具有价值的数据集合(比如数据库、大数据)的技术能力。日常生产生活中不断产生的各种信息被收集、记录并转为数据以各种形式存储下来并且不断转化成经济动能,以此推动实体经济与数字经济的融合。
企业支持数据发展的意愿和努力,最终取决于企业数据能否得到充分、合理和有效的法律保护,特别是私法保护。企业在数据利益的驱动下,投入了大量的资本和人力资源,不断开发和改进数据技术,不断改进数据生产、收集和分析方法,不断完善各项数据活动、理顺各种数据关系,从而达成数据繁荣和经济高效化。其中,有的企业是利用大数据技术解决企业自身问题,提高决策的准确性;还有一些企业则逐渐认识到大数据技术相关的数据集合中的交换价值,将数据集合作为交易对象。但是不论是何种情形,企业数据保护问题都显得越来越为重要和迫切。现实中,企业数据纠纷不断出现,近期甚至有喷涌之势,涉及复制、窃取、侵入甚至争夺等;有些甚至发生在超大公司之间。例如,2017年6月发生的顺丰宣布关停菜鸟数据事件、〔2 〕2017年8月间华为和腾讯之间因前者发布荣耀Magic手机而引发的关于用户数据之争。〔3 〕这些数据纠纷不仅对数据企业带来损害和挫伤,也对我国数据市场和社会秩序产生巨大动荡。
企业数据保护问题正在作为一个全新的具有独立意义的全新问题呈现出来,应该及时为之进行法律创制。遗憾的是,关于企业数据保护存在严重的法律瓶颈现象。一方面,企业数据保护新法尚未有效创制。目前相关数据纠纷和事件总的来说,主要还是从既有法律体系中寻求方案加以解决,最为经常的做法是通过合同法、知识产权法和反不正当竞争法的相关路径加以解决。另一方面,企业数据保护与既有法律保护制度所面向的问题存在根本差异。这些既有的法律体系本身并非为企业数据问题而设,有着自己特定的立法语境和功能,因此用其来处理企业数据问题不免具有某种间距性。这就导致企业数据保护问题通过现存法律保护秩序加以化解,难以令人满意。
例如,数据合同法路径救济的前提是相互之间存在预先的合同安排,但是我们发现这种合同安排无论如何周密也只是一种债的保护,本身不具有排他性,根本不能用来对付来自第三人的数据加害,而在现实中数据加害往往就是来自企业数据合同关系之外的第三人侵入或者非法利用。又例如,知识产权法和反不正当竞争法路径与合同法路径虽然有所不同,在对于相应利益的保护上具有排他效力,但是通过分析可以发现其在适用条件和效果上与日益发展中的数据保护要求仍然并不具有对应关系。〔4 〕结果,由于缺乏有效法律手段,一些企业在面对重大数据纷争时,往往只好采取自己私了或者求助主管部门的办法,前述顺丰菜鸟数据事件、华为和腾讯用户数据之争就是这样的例子。实践中,不少企业因此走向了通过提升技术和管理手段来保护数据的自救道路,但是这为企业数据经营带来巨大成本,同时也可能给数据开发和应用带来意想不到的障碍或陷阱。
当然,也有部分当事人和法院开始试图在现有法律体系里面寻求有所超越的方式。2017年以来,司法实践的一种新趋势就是试图激活《反不正当竞争法》第2条的一般条款中的“合法权益”,以抽象的不正当竞争行为名义,对于非法侵入、使用企业数据等行为加以排除和进行救济。在一些案件,甚至直接以企业对其数据是否存在投入作为给予保护与否的前提。例如,在北京阳光数据公司诉上海霸才数据信息有限公司技术合同纠纷案中,法院认定原告对于诉争金融数据库付出了大量投资,因此应获得保护;〔5 〕在上海钢联电子商务有限公司诉上海纵横今日钢铁电子商务有限公司、上海拓迪电子商务有限公司的不正当竞争纠纷案件中,上海市第二中级人民法院同样判定原告对其投入了大量人力、物力、财力和时间搜集编汇的钢铁价格数据信息具有合法权益。〔6 〕这种做法非常接近于为企业就其合法形成的数据确立一种新的排他性财产权。〔7 〕不过,这些案件名义上仍然限于反不正当竞争范畴,是借助一般条款对于《反不正当竞争法》的扩用,本质上未超出反不正当竞争的功能框架,并不具有完全有效的针对性,因此不足以回应企业数据如何获得充分保护的问题。
笔者在2015年年底开始,提出通过立法为企业确立数据新型财产权以此保护企业数据的思路。〔8 〕当今推动经济结构优化,促进数字经济发展目前最重要的手段,是将数据采集、传输、存储、处理等信息设备不断融入传统产业的生产、销售、流通、服务等各个环节。〔9 〕这些手段可以直观地分为两部分:原初数据和企业机构采集、加工、处理、利用数据。从整个社会经济发展角度出发,不但需要鼓励个人用户积极提供数据,还需要企业积极收集利用数据。如果仅赋予个人信息权(个人信息的财产权和人格权),比如欧盟GDPR中所列明的知情权、拒绝权、被遗忘权等,那么那些为准确利用数据投入了巨大资源的企业机构就会丧失积极性,不仅不符合劳动原理,〔10 〕更不符合数据经济规律。为此,笔者的初步构想是:数据经济发展时势所趋,数据保护应当顺应数据经济的规律性,不能静态地片面强调个人信息保护,而是应该将个人信息保护与企业数据保护统一起来进行合理平衡,既要保护个人信息,又要保护企业数据利益。因此,应当针对数据经济发展的动态过程性和包含的主要利益关系区分个人信息和数据资产,按照数据阶段分别构建自然人的关于个人信息的权利和企业的关于数据的权利,其中后者统称为企业新型数据财产权,具体包括数据资产权和数据经营权两种形态,两者之间形成一种过程平衡关系。从数据经济开展的规律来看,企业数据财产权在功能上可以为企业数据活动的投入和合理进行提供最基本的动力和保障。按照这种设计,企业的数据财产权成为企业对其数据的直接保护依据:企业通过法律对其数据产品的这种赋权,直接获得保护其数据的一种全新的独立的合法根据。〔11 〕
这种企业数据财产权设计与知识产权比较,有许多相似之处,都是权利形态,特别是在基于经济化而最终得以财产权化的形成条件这个点上极为相似。企业数据权主体在自身经济动力促动下制作了具有特定化的数据产品,知识产权主体也是在自身动力(不完全是经济动力,但经济动力非常关键)作用下促进了特殊智力成果的创造;企业数据财产权设计与企业竞争保护比较,相似但存在一些关键差别,相似在于企业也是基于自身经济动力不断提升竞争能力,但是差异在于企业竞争没有权利化,企业竞争能力没有形成所谓“竞争权”。因为它只是一种抽象的能力,没有定格为某种可特定化之物(例如数据、智力成果),而是体现为企业经营条件、环境和水平等的比较优势。不过,企业竞争能力作为企业成功经营的条件,可以视为企业广义财富的一部分,所以虽然不适合财产权化,但是仍然被设定为一种具有排他性的特殊利益架构——企业正当竞争利益或秩序。
欧盟学术界,自20世纪90年代就有人关注数据财产化问题。1999年,美国的莱斯格教授最早提出了数据财产化理论,认为应该授予数据主体(个人)数据所有权,确定个人对于自身数据的财产权利。〔12 〕美国企业界一直都有发展保护企业数据权的呼声,并且试图推动立法。遗憾的是,美国联邦立法权力有限,特别是以制定法方式创制财产权的机会几乎微乎其微,但是仍然数次提议立法赋予数据制作者以财产权,结果自然不免受挫。但是美国统一州法全国委员会于1999年7月通过一部《统一计算机信息交易法》,并向各州推荐采纳,成功地明确了信息财产是一种独立的民事法律关系的客体,遗憾的是目前只有两州采纳。〔13 〕2004年,斯瓦茨教授在莱斯格教授理论的基础上,对个人数据财产化理论进行了进一步的阐释。他认为,首先需要给予数据主体授权的权利,即数据主体有权同意企业利用处理其数据,同时对应还要有“退出”的权利,其次还需要给予数据主体反对其已授权处理的数据被第三方进一步利用的权利。〔14 〕欧盟2018年正式实施的《一般数据保护条例》,实质上将斯瓦茨教授的理论具现化。〔15 〕这些为企业数据活动便利打开关系平衡的大门,即允许企业通过数据主体的“同意”而收集和经营数据。遗憾的是,这些理论主张虽然都正视了数据的经济价值,但是都还没有正视企业数据本身的相对独立性和财产权化的重要意义。它们仅仅停留在考虑个人信息财产权化单向保护的层面,仅仅站在个人作为数据主体的财产地位角度予以配置,忽视了数据经营者(企业)应有的财产利益诉求,没有再向企业数据财产权的确立走出关键一步。〔16 〕我国学术界一个阶段以来也产生了数据权具有财产权属性的观点,但大都也是站在个人信息权利的角度作出构想。〔17 〕与此相应,到目前为止,包括我国在内的许多国家,针对信息技术发展导致的关于个人信息问题,出台了不少关于个人信息保护的法律法规(例如我国《网络安全法》第四章关于个人信息安全规定),形成了颇为严密的个人信息保护规则,对于个人信息包括财产利益在内进行了极大的确认和保护,但是都忽视了企业数据保护的相对独立需求,出现了一边重一边轻的情况。当然,这种失衡的法律状态到了实践中往往会荒腔走板,企业为了数据经营和数据利益的需要总会想方设法地规避法律,这就导致了实际中个人信息保护知情同意原则不断通过默示化等实践机制而流于形式,可谓是两头落空。〔18 〕
值得关注的是,我国2017年3月15日出台、10月1日生效的《民法总则》为数据保护财产权化思路提供了一个接近于笔者构思的规范架构。该法的民事权利一章第111条、第127条采取了个人信息和数据分置的做法。其中,第111條确立了自然人关于自己个人信息权益的基本内容;〔19 〕第127条规定了数据(含企业数据)和虚拟财产的保护问题。比较起来,第111条关于个人信息的规定较为实质、清晰;而第127条对于数据和虚拟财产的规定却较为模糊,该条表述为,“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。解释上可以认为,该条对法律要对数据(包括企业数据)和虚拟财产提供保护进行了表态,但对于具体如何保护却未予实质化明确,而是交给了法律的另行规定。
那么,该条所说的保护,会不会就是笔者所提出的财产权化路径呢?笔者认为,应该通过体系解释进行详细分析。该章整体上都是规定民事权利的,从这个角度来说,对于数据的保护属于权利保护或者类似权利的保护应为体系之义。但是,从具体布局来看是否为财产权有些模糊:从第113条(确立财产权保护平等)开始到第125条看(民事主体依法享有股权和其他投资性权利),都属于广义财产权的规定,包括物权、债权、知识产权、继承权和投资性权利;到了第126条,不再使用用财产权的表述,而是使用其他民事权益的说法(民事主体享有法律规定的其他民事权利和利益),紧接着就是我们讨论的第127条;之后,便是第128条,关于弱势群体的特殊权益保护规定(法律对未成年人、老年人、残疾人、妇女、消费者等的民事权利保护有特别规定的,依照其规定)。那么,第127条所谓“保护”可以理解为何种保护呢?是第125条之前明确的财产化权利,还是126条的其他权利,抑或是第128条特殊权益?笔者认为,这里应该有一些区分性:第127条的所谓数据,可以区分企业数据和非企业数据如公共数据等,两者在如何保护问题上有所差异。企业数据,鉴于其得以经济资源化的特点,对其应采取财产权的方式进行保护,这样合乎经济原理;非企业数据特别是公共数据,虽然也应当确立法律保护,但不宜采取财产权路径,根据其性质适于采取管理化路径。〔20 〕
欧盟早在1996年开始,提出了数据库特殊权利的概念,试图在知识产权框架外尝试引入某种财产权化机制,以保护企业数据。基于欧盟范围内各国对于著作权法保护的汇编作品之独创性判断标准不一,且目录规则对于事实汇编作品的保护已经不足以支撑飞速发展的电子数据库,为保护数据库产业,发展欧盟范围内的信息产业市场,欧盟于1996年提出了《关于数据库法律保护的指令》(以下简称《指令》),用以直接保护因不符合独创性标准无法受到著作权法保护的数据库。《指令》第1条规定,数据制作者对其经系统或有序的安排,并可通过电子或其他手段单独加以访问的独立的作品、数据或其他材料的集合,可以享有特殊权利的保护。〔21 〕具体而言,这是一种独立意义的专有财产权,为期15年。〔22 〕这种权利的获得无需以数据库被认定为汇编作品为前提,〔23 〕只要数据库制作人在内容收集、核准和提供等方面上有实质性投入,数据库制作人就可以获得这种特殊权利。其内容包括:权利人可以通过许可合同转移、转让、授予他人;权利人还可以防止任何第三方对数据库内容的全部或实质内容进行提取和再利用。〔24 〕在实践中,数据库的特殊权利不时被欧盟企业用来保护数据集合。
应该说,数据库的特殊权利这种方式接近于将企业数据保护独立权利化建构,至少摆脱了依据著作权的汇编作品保护路径,仅以数据制作人有实质性投入为条件,并且具有对第三人实质提取和再利用的排除效力。但是这仅仅是企业数据保护独立化路径的开始,或多或少存在与著作权比对的成分,且很多理论上的问题并没有在相关论证中明晰,基于数据库的相关权利设计基础仍然模糊,权利范围也较为单薄。此外,欧盟对于数据库权的适用范围和标准本身还存在比较大的争议。例如,《指令》明确规定了要获得特殊权利保护,数据库制作人应对与数据库有实质性投入,实质性投入可以从数量和质量两个方面来进行衡量,包括时间、金钱、人力等因素。但是在实践中,欧洲法院(EJC)采用了副产品原则来区分对于创造和获取数据的投入;为此,荷兰胡根赫茨教授认为,根据副产品原则,只有直接对数据库的产生进行投资才会产生数据库权。〔25 〕据此,欧洲法院在BHB案中裁定,数据库制作人的实质性的投资必须是针对在先存在的数据的收集与校正的,而不能是由数据库制作人通过自身活动创造的。因为对于这类信息数据的投资主要是用于创造、制作信息数据本身,而不是用于收集、矫正此类信息数据。〔26 〕同时,欧盟也并未对于实质程度进行了有操作性的定量分析。因此,即便位于欧盟法域中,数据库特殊权利也并非企业进行大数据保护的首选。
企业数据财产权化保护路径,尽管具有可行性和必要性,但是我们必须正视一个问题,企业数据保护问题作为信息科技发展和应用在今天所产生的新问题,具有自身独立的诉求,但是从问题属性上看非常复杂。从企业数据保护具有的功能和利益关系角度观察,可以发现它具有很不同于典型财产权的复杂性,具体体现为保护功能的多重聚合性以及利益关系的繁复交织性。在这个意义上,企业数据可以财产权化,又不能单纯财产权化。
(一)企业数据保护功能的多重聚合性
企业数据保护从功能上承载了数据企业对于数据的经济追求,这是企业数据保护的元功能或者说肇始功能所在。没有这种功能驱动,也就没有企业数据本身。数据经济的本质就是将信息发展为经济要素,对其进行生产、理由和交换。企业数据化过程,是一个追求通过信息聚变形成经济价值的过程,即将从简单态的原初信息(包括个人信息)通过收集、加工聚变成为充满经济价值或者可以具有商品属性的企业数据,进而再走向加以应用或交易的过程。可见,这种信息化转变过程来源于企业有意识的数据资产化、经济化的追求和努力。企业有意识制作数据,是为了利用或经营它而获取利益。数据产业自20世纪80年代起开始发展起来,此后不断迭代升级,其动力即在于此。这种数据对企业有意识的经济追求的功能承载,直接成为企业数据保护及财产权化的必要性基础。
但是企业数据保护的功能却又不能限于这种企业自身的这种经济追求。这是因为,企业数据保护在功能上具有多重聚合的特点。企业所能利用的数据,不止个人用户数据或个人信息,还包括企业自身业务生成的数据、其他可以社会化、经济化的公有领域数据,如矿产数据、天气数据等;企业数据的产业应用,不仅在企业决策、定位广告等企业生产、管理和商业领域,也在社会公共管理甚至承担公共职能的领域不断发展,如交通管控、风险预测、医疗保健、预防恐怖主义等。同时企业之间数据流通已经成为了全球化的产业,国际数据贸易、国内数据交易都已经成为了炙手可热的领域。企业数据依据其事物本质或者应用领域,不仅仅只具有对于企业自身的经济意义,它同时也承载着社会经济、信息社会、公共管理以及信息安全等方面的意义,这些功能属性不会因为企业数据个别财产化而消灭,相反它们始终聚合在一起不断提出强大的实现和保全要求。
首先,企业数据保护同时承载社会经济功能。随着信息科技发展的大数据业态的发展,大数据不断突显重要战略资源属性,比之土地、矿产、空域、海洋乃至无线电等资源有过之而不及,导致其不能仅仅从单个企业主体的经济功能去发挥效用,而是应当同时作为战略资源发挥应有作用或者说社会经济意义。在这个意义上而言,企业数据的私的经济意义的发挥,不能妨碍企业数据在大数据时代作为战略资源的社会经济功能的作用,相反应该形成一种作用互动。
其次,企业数据保护同时承载信息社会功能。企业数据本质上是可社会化信息,它是可社会化的这才可以进入社会经济利用。作为一条社会法则,我们对于那種可社会化的信息,原则上都有接触的社会权利,禁止任何人包括企业以任何方式消减这种社会权利或功能。这就是信息社会功能,明白地说就是社会知情利益。对于企业来说,对于企业数据看重的是其在可社会化条件下的经济功能。但是,企业数据不管怎么样为企业自身经济化,其作为可社会化信息的特点和意义不会消失,由此天然具有的信息社会功能也就必当如影附随。所以,企业可以基于经济意义在合法范围占有、加工甚至应用价值,但是存在一个固然前提的限制,这就是既有的信息社会必须依旧保证畅通。
再次,企业数据保护应当兼顾公共管理功能。许多企业数据兼具公共管理意义,这种信息数据化之后,可以成为数据经济的资源,同时也可以成为提升公共管理的资源。在这种情况下,企业数据保护应该兼顾公共管理功能。例如,交通信息数据产品,对于从事该产品开发的企业来说,这种产品是其营销对象,但是对于城市交通部门来说则具有改进交通管理的功能。很多时候,这两种功能是可以互通的不矛盾的甚至是相互促进的,但是有时候会存在不能兼容的情形或者环节。企业数据在发挥其自身经济功能的同时,应当兼顾公共管理功能,发生冲突时,必要时则以重大公共利益优于个别经济利益的原则处理两者的关系。
最后,企业数据保护必须承载信息安全功能。数据的信息属性告诉我们,其除了在社会经济、信息社会、公共管理方面等方面具有积极功能之外,也可能具有一种重大的消极功能,这就是信息安全功能。对于许多方面来说,信息公开、使用是一种积极利益,但是对于另外一些方面来说,信息公开、使用却可能是消极利益,对于个人、社会乃至国家的局部利益或者整体利益带来不利、威胁甚至是毁灭。这种情况提示我们,企业数据保护存在信息安全功能问题。企业数据经济功能发挥的同时,必须确保对于特定信息进行隐蔽、保密,使相关信息安全利益者处于安全状态。企业数据的经济化绝对不能以牺牲和妨碍这种信息安全为代价,必须每时每刻将这种安全放在经济功能之上,在不能兼容时必须以信息安全为绝对优先。
(二)企业数据保护利益关系的交织性
企业数据的生产、持有和经营,首先是建立在企业对于数据的自身经济利益的追求之上,因而企业自身数据经济利益的形成、享有和实现,是企业数据中最核心的利益关系。但是,企业数据本身存在来源、运行经济环境、保护功能聚合等复杂性,导致在企业作为制作者、加工者对于数据具有核心经济利益的同时,同时还产生了其他多种利益相关性,进而形成了一种复杂的利益交织状态。在这种利益交织状态中,各种利益依据其性质和地位得到安排;企业数据的核心利益在得到保障实现的同时,有时也不断被切割和限制,进而达成数据各种利益关系的平衡和合理化。
1.个人信息和隐私的利益
这是基于企业数据来源特殊性所形成的利益。数据经营者所处理利用的数据集合之主要构成部分就是可社会化的个人信息。鉴于企业为了追求自身经济利益,可能毫无限制地收集、加工或使用个人或用户信息,可能导致对于个人用户信息利益的侵犯或损害,各國立法都积极出台旨在企业数据化背景下保全个人信息和隐私利益的法律制度。其中,对于可以数据化的个人信息,给予了基本保护,对于其中涉及隐私利益的信息则是采用加强方式进行特别保护。
理论上,个人隐私信息中的绝对个人隐私也是个人信息的一部分,但是公法私法都将其隔离在可数据化之外,赋予其具有不可社会化的特点,来加以特别保护。立法上,甚至将个人隐私上升为宪法权利、基本人权。如美国1995年《关于隐私与信息高速公路建设的白皮书》,就将隐私区分为关于姓名和形象利益的隐私、关于私有财产的隐私、关于尊重他人不透露其个人信息的隐私等,前两种隐私被赋予绝对不可数据化的属性。我国《宪法》第40条规定了“中华人民共和国公民的通信自由和通信秘密受法律的保护”;有关司法解释和现在的《民法总则》规定了自然人享有隐私权。这些从整体上可以推测出我国也确立了禁止通信秘密、具有绝对私密性的隐私不得社会化包括企业数据化的原则和界限。但是我们一些机构和企业家在实践中似乎经常忽视绝对隐私的不可数据化的绝对保护问题。〔27 〕
我国2013年开始实施的首个个人信息保护国家标准——《信息安全技术公共与商用服务信息系统个人信息保护指南》,将个人信息分为一般信息与敏感信息,并规定对于个人一般信息的收集利用可以由主体默许同意,即信息主体不明确反对;而对敏感信息的收集利用则需要信息主体的明确授权。2016年11月出台的《网络安全法》第四章对于网络用户个人信息安全确立了保护原则和基本保护框架,但较为笼统,没有清晰区分一般个人信息和隐私信息。2017年3月出台的《民法总则》第117条关于个人信息的权利规定,确立了个人信息受法律保护的一般内容,但也同样没有细化区分一般个人信息和隐私信息。2018年,中央网络安全和信息化领导小组办公室等联合发布了《信息安全技术:个人信息安全规范》(GB/T 35273-2017,简称《安全规范》),进一步规定了个人敏感信息的概念、类型和传输存储的要求,按照约定目的、方法、范围处理使用个人数据的要求,以及“除目的所必需外,使用个人信息时营销处明确身份指向性,避免精确定位到特定个人”的要求。
我国以上法律法规和政策的要求,实际上可以理解为两点:其一,我国可以数据化的个人信息分为非敏感信息和敏感信息,这里理解上敏感信息包括隐私信息,但应该只限于可以数据化的隐私,必须排除绝对隐私。结合我国《宪法》、《刑法》和《民法总则》等重要法律规定,体系上应该排除其中的通信秘密和绝对隐私(如关于姓名和形象利益的隐私、关于私有财产的隐私),这些不属于可以数据化的隐私。〔28 〕其二,数据经营者在收集、使用个人信息时需要依照法律法规并经个人同意,但对于其中虽经个人同意可以数据化的敏感信息(非绝对私密的隐私),则应当采用数据脱敏、匿名化等技术才可以数据化。
我国司法实践在维护个人隐私信息特别是绝对隐私方面存在差距。举例来说,2013年5月,我国法院在国内首个关于cookie技术应用与隐私权保护的案例,即用户诉百度公司隐私权纠纷一案中,作出终审判决,认为百度公司在设置默认同意机制下利用cookie技术为用户提供个性化广告推荐服务的行为并不构成对用户隐私权的侵犯。〔29 〕网站会采用tracking cookies技术来采集用户信息包括浏览数据等,用户浏览该网站不同网页使将想要的商品放入“购物车”,结算时网站就可以从相关cookies提取信息。这些由cookies提取的信息由于指向个人隐私利益,实际属于敏感信息的范畴。欧美已经对cookies的使用进行限制,比如美国各大运营商均放弃用所谓不可删除代码技术来追踪移动用户的浏览习惯。不过,近期的“新浪微博诉脉脉反不正当竞争案”中,北京知识产权法院利用《反不正当竞争法》,在企业对第三人的关系上,间接维护了用户对于敏感个人信息的利益。〔30 〕
2.基于企业数据的社会经济利益
企业数据不仅是产生企业自身的数据经济利益,本身在其享有、应用、交易的语境下也会因为数据化活动本身而影响特定经济和社会秩序,从而涉及社会经济利益特别是市场经济秩序。
首先,基于数据的活动,可能影响市场经济秩序,特别是影响公平竞争、公平交易和公平消费利益。企业基于数据应用,可能产生数据垄断、数据滥用、数据歧视等问题,违反《反垄断法》《反不正当竞争法》和《消费者权益法》,导致企业和竞争者、企业和消费者之间的利益冲突,损害竞争利益和消费者权益。这种情况与一般意义的反垄断、反不正当竞争、消费者权益保护具有相当程度的重叠性。从规范角度来说,很多仅仅是适用问题,但是也存在不少特殊的地方,不能简单适用反垄断、反不正当竞争、消费者权益保护,而是需要针对数据场景加以具体化甚至特殊化规制。
最近国内外关于基于数据算法的垄断、隐藏、歧视的例子,频频发生,暴露出这一事项上特殊立法的急迫需要。例如,Google公司Pagerank的数据垄断事件。Google开设搜索引擎功能,其Pagerank算法使得用户通过搜索产生的数据,可以被用来提升搜索体验,还可以被用来判断市场趋势或者针对用户兴趣投放定位广告或者预测流感蔓延趋势等,从而提高用户对Google搜索引擎的忠诚度。Google对Pagerank算法申请了专利,并利用这种数据专利形成数据垄断,通过所产生的超大量数据来挖掘相关市场利益,即使该专利终止,也可凭借其对各类数据的多年的垄断获得比较利益,严重损害市场竞争和消费者利益,进而也损害大数据产业发展本身。〔31 〕又如,美国Step-Saver Data Sys., Inc. v. Wyse Tech.一案,被告滥用拆封许可协议而形成过度保护。这种拆封许可协议声明该许可协议属于合同的一部分,拆开包装即意味着接受了许可协议条款,放弃一切品质保证权。该案中,幸好法院以许可方未于订立物质载体的买卖合同之时向被许可方披露拆封许可协议为由,最终拒绝承认拆封许可协议的效力。〔32 〕此外,实践中不少数据合同交易的转让方往往以双重搭配手法破坏交易公平。这些转让者以法律对数据保护不足为名,将数据交易拆分为许可交易+技术措施保留的双重搭配方式,以备对许可协议风险进行自力救济。这些技术保护措施,表现为企业作为权利人的访问控制、识别作品、控制特定使用等。数据企业通过这种方式,往往可能获得过当保护。一方面,此类数据许可合同多由许可方单方拟定,所以容易导致对市场弱势地位的被许可方的压制;另一方面,被结合使用的技术措施往往存在巨大的隐蔽性,容易沦为数据黑洞,导致歧视、不公平交易、垄断等后果。
其次,基于数据的活动,可能影响其他社会经济利益,例如劳动者利益等。根据现在的劳动法、社会保障法等法律,劳动者等享有劳动保障利益,社会经济成员享有必要的社会保障利益,但是,企业数据经济化的发展,也有可能使得这些特殊利益陷入困境。企业数据权利人的自利追求,容易和这些社会经济利益发生不协调甚至冲突,因此需要注意平衡和维护。
最后,基于企业数据,可能影响社会经济管理利益。大数据作为当今经济战略资源,体现着社会经济资源利益的需求。对此,国家对于企业数据作为社会经济战略资源的一面,以战略管理和宏观调控的方式,建立了特殊的配置和限制要求,这些都是强制性的利益设定,对于企业数据的核心利益和其他利益关系构成限定。
3.基于企业数据的公共利益和安全利益
企业数据保护本身承载着功能的聚合性,其中公共功能都要体现为法律上的特殊公共利益保障。国家法律在相关法律体系格局中,面向这些功能的要求,设定了相应的更高层次的不同利益机制。例如,信息社会畅通、促进和改善公共管理、维护信息和数据安全功能、促进和保障国际协作等。它们成为企业数据利益交织关系中的组成部分,依据其功能地位不同发挥利益平衡或限制作用。
企业数据内部和外部关系中,必须明确这些公共利益的存在,并予以足够的考量。一方面,数据制作者依据其数据财产权,可以享有由此带来的经济利益;另一方面,上述公共利益的尊重必须使之内化或者外加为数据财产权取得、享有和行使的必要条件或限制,从而构成一种制约。数据经营者在促进企业数据经营高效的目标下,进行数据收集、处理和应用等行为时,应当接受相应的管理要求,包括技术管理方面的要求,同时负担与这些利益进行协同的义务,确保基于这些利益的保障要求,进而促进数字经济稳步提升,保障大数据的公共安全,不断提升国家信息社会建设和信息化管理能力。
五、企业数据财产权化的结构设计问题
(一)企业数据财产权化结构的复杂性
企业数据财产权保护路径的设计非常复杂。企业数据承载功能的多重聚合性以及所涉利益关系的交织性,导致它的财产权设计与民法上典型的财产权不同,即无法采取纯粹意义的财产权构造方式。它在形式上虽然采取私权形式,却需要兼顾与多种功能和利益进行协同,因此必须呈现为一种具有极强协同性的复杂财产权形态。在这个意义上,企业数据财产权虽然具有权利之名,但其结构实为一种极为复杂的法律秩序安排。在这一点上,与采取私权形式的知识产权机制,以及没有采取私权形式的企业竞争保护机制既相似,但更加复杂。
(二)企业数据财产权的私益结构
企业数据财产权采取权利名义,旨在安排一种鼓励企业数据经济化的私有结构,这种结构体现为企业自身的可支配性和排他占有性私益。有了这些数据私益,企业的数据动力得到有效支持,企业的付出和努力得到合理肯定,企业的经营机制和作用得到有效安排和促进。不过,这种私益结构本质上只是一种鼓励技术,企业数据财产权设计的最终意义,在于通过这种权利私益结构的鼓励作用,最终实现整体数据经济的繁荣和福利的增进。这一点与知识产权和企业竞争利益的设计相似。也就是说都是以私权私利之名,行公权公利之实。〔33 〕
笔者的数据财产权化思路,总体包含数据经营权和数据资产权两种赋权构想,其中数据资产权属于最狭义的数据财产权。数据经营权,是企业对于数据得以经营的一种主体资格。基于这种资格,企业可以收集、加工、利用和交易数据。数据经营权有一般经营权和特殊经营权之分:一般经营权属于普通领域,企业可自动取得;但特别经营权涉及数据经营管制问题,适用于特殊领域例如金融数据、医疗数据、司法数据、电信数据等,需要建立依法引入许可、特许制度。无论何种数据经营权的行使,本身都存在最低要求限制,这就是要合法经营及合法收集,在涉及收集作为数据来源的个人信息时,尤其存在诸多保护限制。数据经营者不能毫无限制地穷尽收集其所接触到的全部个人数据,也不能将个人数据存储任意期限,还需要在收到数据后进行去标识化的步骤。欧盟GDPR、我国相关法律(例如将于2018年5月1日开始正式实施全国信息安全标准化技术委员会归口的《信息安全技术个人信息安全规范》)都规定了数据经营者在获取个人用户数据时有目的合法性、取得需授权、数量最小化、存储最短化、内容去标识化的要求,实际就是从数据取得、目的、数量、期限、内容上对数据经营者的权利进行限制。2018年年初的“支付宝年度账单”事件中,国家网信办约谈支付宝、芝麻信用两家公司负责人,就指出其收集用户个人数据的方式不符合规范的要求。〔34 〕
数据资产权,作为一种专有排他权,比对所有权、知识产权来设计,其私益结构部分,体现为企业对其数据在特定范围享有占有、使用、收益和处分的权利。可以设定期限限制,例如15年左右。又可以区分支配方面的权能和排他方面的权能两个方面:
首先是专有支配方面。包括:(1)对于数据的占有权,是指数据制作者在合法获取数据后,可以對经过其处理的数据集合享有一定程度的实际控制的权利。但这里存在一个直接的限制结构,个人信息主体随时享有撤回同意、更正、删除的权利,这就使得企业数据主体的权利不是完整的,其不能够完整地控制其已经收集的数据。(2)对于数据的使用权,是指数据经营者对数据可以加以利用的权利,可以将之分为内部使用和外部使用两种模式。内部使用是指数据经营者收集数据之后,自行处理分析,制作出有价值的数据集合后,用以解决其预先设定的问题,比如风险预测,市场决策,广告投放等;外部使用则是数据经营者将其收集的数据传输给第三方,供其使用。内部使用不得超出其向用户收集数据时所说明的目的、使用方式、授权范围等,外部使用则另需用户授权同意并进行信息安全影响评估。(3)对于数据的收益权,是指数据经营者利用其数据集合获取的经济利益的权利。一般企业作为数据经营者可以依据法律法规,遵循市场机制,自由进行数据集合交易,获取正当利益。实践中的贵阳大数据交易所等正是这样进行资产化的数据集合交易。(4)对于数据的处分权,指数据经营者依法对数据集合进行“处理”的权利。英国《数据保护法》、德国《数据保护法》和欧盟的GDPR,对于这种“处理”的权利,采取了狭义定义,即包括存储、变更、传输、封锁和删除。〔35 〕然而,即使这样,狭义定义下的处分权也还有限制。比如对于存储的限制,不仅体现在存储的期限和模式(敏感数据加密等),还体现在对于存储地域的限制上。〔36 〕
其次是排他性的权能。上述数据资产的专有支配的内容同时具有排他性的效力,即可以排除任何第三人干涉(包括侵入、加害等)。正是这种排他性权能的赋予,企业数据财产权区别于一般的数据合同权利,可以对抗来自第三人的数据侵入、盗窃、非经授权使用等。
(三)企业数据财产权的限制结构
基于其他保护功能和利益关系的关联存在,数据财产权作为数据保护的一种复杂秩序安排,并非一种完全自在自为的绝缘化权利空间,除了私益部分建构之外,还应设计出许多限制结构,以使其具有足够的弹性和外接性,以便对接或协同各种功能和利益关系的实现。这种结构,或为保障数据经济秩序,或为促进数据公共利益,或为推进信息社会建设,或旨在保障数据安全等,不一而足。此外,数据经济具有巨大的潜在的应用场景,导致许多特殊的应用限制。
1.基于数据的市场经济秩序限制
数据财产权设计应当注意保障数据市场经济秩序的公平有序和交易安全,包括致力于有效抑制或消除数据垄断、数据欺诈、数据歧视等破坏竞争和公平交易、损害消费者利益的现象。
首先,避免大数据产业垄断。应以《反垄断法》为基础,及早构建周密且有针对性的规则,对数据经营者的数据垄断活动进行限制。大企业的数据垄断带来的后果巨大:妨碍数据流通,限制数据产业发展,不利于经济增长,甚至阻碍国家大数据的战略发展计划实施。〔37 〕现实中,基于雄厚的资产基础、技术条件,互联网巨头企业几乎百分之百会获得数据经营能力,会加剧巨头企业垄断数据的市场地位,导致对数据市场秩序的威胁和破坏。例如百度、阿里巴巴和腾讯等大数据企业凭借其占据的互联网优势,掌握了大量数据,可谓“拿走数据的多,贡献数据的少”,但是其自身构建的数据体系并不开放。〔38 〕
其次,避免基于数据的不正当竞争和损害消费者权益。数据财产权并不赋予数据权利人得以从事不正当竞争和交易的市场地位,应尽早参照《反不正当竞争法》《消费者权益保护法》等,建立具有针对性的制度,包括数据公平交易规则、算法公开和监管规则等,禁止企业利用数据破坏市场秩序、妨碍公平竞争、损害消费者权益。
2.基于数据的公共利益和福利限制
数据财产权设计应平衡好与数据相关的公共利益包括数据福利的关系,数据财产权不只是要鼓励企业自身的数据经济化,同时更要协同实现数据公共利益和福利,最终推动数据经济的繁荣。这里,既包括积极的协同,如建立数据共享、促进数据流通等;也包括消极的协同,例如为了维护数据公共利益,在特定的情况下合理限制数据财产权的排他性,使其不得对抗公共安全、科技进步等公共利益需要。这一点与知识产权很相似。
首先,建立数据强制公开制度。数据经营者基于其数据集合获得了与自然灾害、重大疫情、恐怖袭击、经济危机等危及国家安全、社会稳定的紧急状态相关的预测、结论、观点时,应明确数据经营者具有主动向国家相关机构及时公开其研究结果的义务。这种强制公开不意味着数据经营者就此抛弃其收益的权利,而是基于维护公共利益的考量,强调数据经营者应当主动承担的社会责任。
其次,建立数据强制许可制度。大数据的本质是要求数据的流动与开放,大数据增值的方式之一则是根据原有数据集合进行再创造。因此,可以参照专利法中的为实施从属专利需要的强制许可,当利益相关的第三方利用其合法购置的数据集合创造出有价值的新数据集合的时候,应当明确这种全新的数据集合是该第三方的数据资产,原数据集合的权利人在获得合理对价之后,无权向第三方“二次创作”的数据资产权主张权利。
最后,为了促进科学进步,技术发展,可以考虑借鉴著作权法下的“合理使用”的制度设计。当以科研为目的使用数据集合时,数据经营人应以合理价格向科研人员公开其持有的数据集合;科研人员则应当以非营利为目的,合理利用数据集合,并不得恶意向第三方公开。
3.基于数据的信息社会和数据安全限制
数据财产权设计还要注意信息社会畅通的需求问题和信息与数据安全的保障问题。必须对此作好设计。
信息社会要求,对应于数据财产权,就是要求赋予企业数据权时,必须继续保证数据的可流通以及可共享的渠道无障碍。信息公开不仅适用于公共数据,也适用于私有可社會化数据。当然,信息跨境问题具有特殊性,存在国家之间的博弈,但最终应该通过改进而促进跨境流通。
数据安全保障要求,实际上限制的是数据经营权,应明确具有数据安全实施能力的企业主体才可以享有数据经营权。根据目前数据安全保护的实践、国际和国内相关法律法规的规定和我国的《安全规范》中明确的标准,用以确保数据安全的手段基本有以下五类:第一是采用先进的技术措施,包括数据去标识化、数据脱敏、存取控制、数据加密、审计日志、安全协议等;第二是加强数据从业机构内部人员的管理与培训,比如签署保密协议,定期培训考核等;第三是构建个人信息安全影响评估制度并定期开展评估,妥善保管评估报告;第四是从业机构内部要设立专门进行个人信息保护部门和负责人,保障信息保护工作的投资;第五是建立个人信息安全事件应急预案,定期演练,及时报告。从这五类保护手段可以看出,数据安全需要数据经营者的大量人力、物力和财力的投入,不是所有数据经营者都有相当的技术、资本为其收集处理的数据提供符合标准的保护的。
4.基于大数据应用层面的特殊限制
大数据存在不断迭代的应用问题,像云计算、移动互联网、人工智能、物联网等。数据财产权像树根和树干,大数据的各种应用则像树枝或树叶,形成一种互动关系,后者指向各种独特的应用要求,形成新的业态和利益类型,引发新的问题,从而导致更加特殊的规制要求。
首先,商业应用层面。以电商平台为例,电商企业对于数据资产的利用模式主要是市场营销,具体如电商企业针对消费者的精准营销,电商企业通过收集、处理、分析大量消费者的消费数据,比如偏好购买产品类型、购买产品的周期、购买产品的平均消费、消费者的生活环境等,得出消费者的消费偏好和兴趣偏好,从而根据其兴趣和以往产品花费金额准确推荐相关产品、商家,采取有针对性的营销策略,刺激消费者消费欲望,最终促成消费行为。〔39 〕实践中,阿里巴巴已经可以通过消费者在支付宝中授权其获取的定位信息,比如走入了专卖某种商品的店铺,直接判断出消费者近期内想要购买的产品,继而通过其旗下的淘宝向该消费者精准推送相关产品的销售信息。电商企业对于数据资产的利用模式众多,涉及个人信息的数据体量巨大,所以在电商层面应更侧重于保护数据安全和个人用户的隐私利益。由于电商企业数量众多,且企业之间的安全技术保障能力、资本基础等相差极大。因此笔者认为,考虑到数据安全和用户隐私保护的重大性,应该将数据经营权集中给予有能力有技术的大型电商企业,但是同样应考虑中小电商企业对于大数据分析技术应用的需求。第一,从国家层面来讲,应当为电商企业数据经营权设置“高门槛”,尽量通过国家规制将数据经营权集中在有技术、能力、资本的大型电商企业或从事电商相关数据分析的企业机构中,由这些企业对数据进行各种技术化处理和保护。第二,要保证中小电商企业能够以合理对价获取大数据技术的使用渠道。第三,要建立电商行业内部监管体制、核查机制和问责机制,同时建立保护数据安全的规范体系,做到在保护数据的同时,保证被交易的数据分析结果是基于公平、诚实信用原则的基础所分析获得的。
其次,工业应用层面。这里可能涉及不同层次的信息化或自动化,也涉及不同方面如智能制造或智能服务。目前以无人驾驶、自动驾驶为例,这类技术的有两项重要的前提:第一是要有巨量数据作为基础支撑,第二则是要有处理巨量数据的能力。数据主要来源于两个方面:一是来自车载传感器获取的数据,主要用以判断车在路上的位置、速度、方向,障碍物避让,是否需要停车、减速等方面;二是来源于第三方的数据,比如与滴滴平台合作,获取其行车途中所得得路况信息、天气信息、道路情况、交通信号标志、路标信息等数据,进而利用这些数据来对无人或自动驾驶的汽车将要面对的路况作一个有效的精准预测。〔40 〕无人驾驶、自动驾驶技术的研发离不开前面提到的数据“量”的支持和“质”的保证。因此,为了推动此类技术进步、行业发展,最重要的就是相关企业进行数据共享,以最全面最详细的数据为基础再利用数据分析技术进行利用。在实践中,早在2013年,为加快无人驾驶技术实现,谷歌与Uber建立了合作进行数据共享。因此,笔者认为针对此种类型的工业应用模式,国家层面上可以采取鼓励、扶持的政策来促进相关企业之间进行数据流通、共享,但是不能够强制企业公开其数据;同时应该在行业内部建立有效的数据共享机制,并辅以合理的监管制度,同时对于潜在的数据垄断可能性保持警惕。
最后,工商业复杂基础设施应用层面。我国的工业互联网几乎与发达国家同步起步,为了使国家工业体系智能化升级转型顺利开展,促进实体经济发展,就必须采取发展工业大数据技术、促进工业互联网平台建设、建立工业大数据中心等方式,而这些手段则都离不开基本的数据的共享与技术创新。因此,首先在国家层面上,需要由国家确立促进工业互联网建设的政策扶持,我国政府高度重视工业互联网建设事务,已经提出了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》。在这个指导意见中,国务院提出的七项任务和六项保障支撑方案非常具体详细,可操作性极强。在企业层面上,在肯定数据财产权上的基础上,需要鼓励互联网企业、工业制造业企业和科技创新企業进行大数据矿行业联合,即互联网企业、制造业汇总数据并分析,制造企业据此开展相关生产经营活动,科技企业则为数据分析、数据安全等方面提供保障并不断开发新技术。当然,打造健康完善的“工业淘宝”体系也要兼顾相关中小企业利益,因此更要开展数据合理有偿共享,技术合理有偿共享,建立联合监督机制促进行业自律,从而提升效率、降低成本,增强整个行业在国际上的竞争力。
企业数据保护是当前涌现的重要而迫切的法律课题,也是现有法律资源窘迫应对的法律难题。目前,从私法保护角度来说,企业数据保护走向财产权化新机制,已经成为一种越来越清晰的趋势。这种方式对于企业具有最佳鼓励和刺激的作用,使其乐于积极投入技术、资金和人力成本,不断开发新数据技术和方法,不断推出和改进数据产品,进而繁荣数据经济,促进社会经济发展。但是,数据财产权化设计应该注意,企业数据保护本身不仅仅承载企业追求经济化的功能,同时还具有功能的多重聚合性和所涉利益关系的交织特点。因此其设计应与民法上典型的财产权不同,不能简单化,而应该建立一种具有极强协同性的结构系统,体现为一种以私益结构为核心、多层限制为包裹的复杂法律秩序构造。在功能上,既要有利于充分刺激数据制作者的积极性,又要维护数据相关的各种功能和利益关系;在构造上,不是简单赋予权利人一个完全自在自为的利益空间,而是在赋予权利人必要私益基础上,同时设定诸多条件和活动限制,从而达成数据关联利益的平衡。