数据资产的法律定位与风险防范

刘佳宁

（山东大学（威海）法学院，山东 威海 264209）

大数据时代加速了以数据为中心的一系列观念、技术的变革，数据的传输与管理变得简易而普及，数据的价值得到越来越深入的挖掘，以深度学习为代表的的人工智能技术让数据的有用性和经济价值得以凸显，数据资产这一概念应运而生[1]。一方面，数据资产在人工智能迅猛趋势下能够得到更高程度的应用；另一方面，由于配套制度的不完善、和法律监管的缺位，数据资产在实践中面临着许多风险。在大数据立法尚未完全开展的情况下，数据交易很可能触及合法性的暗礁，这使得数据控制者陷入极大的法律风险境地，原始数据产生者的权益无法得到有效保护，从而影响到以数据资产为客体所形成的法律关系的调整。同时，由于我国并未采取类似欧盟的严格管制措施，在一定程度上也导致了大数据产业出现了“野蛮生长”的乱象。在立法层面，国家立法对于数据的界定也出现少有的谨慎态度。基于我国现有数据立法体制相对滞后的现状，如何给数据资产进行法律层面的定位并为其制定规则成为亟待解决的问题。

一、数据资产的法律定位

（一）数据资产之概念界定

数据资产化是将数据从资源转变为资产的过程，通俗理解是将数据的价值体现出来，实现“数据变现”。根据主流观点，数据从信息资源到资产过渡的三个基本前提条件是：所有权明确、稀缺性、经济效益[2]。然而，并非所有数据都可以成为具有经济价值的资产。对于未经处理针对个体的个人隐私数据和个人身份数据例如民族、出生年月、电话号码、个人账户信息等[3]，这两类数据信息因涉及个人的活动方式、活动空间、活动内容，与个人相联系而具有明显的可识别性，因此属于自己的人格权支配的范围，依照法律的规定进行支配，并不具有资产性质；公有数据由于其公开性与无偿性，，具有显著的公共资源特征，因此也不具有资产性质。对网络上留存的庞杂的、对身份信息已经进行了脱敏的个人数据才可以进行交易和处分[4]。

（二）数据资产的法律属性与所有权归属

数据资产的确权是数据资产化面临的第一个问题。目前，有关数据所有权研究的代表观点为新型人格说、知识产权说和数据财产权说。

新型人格说认为，个人数据目前并无法律对其予以明确保护和定义，因而需要从法律层面创设专门的新型人格权，即“个人信息数据权”。根据学者观点，个人信息数据权是指个人对于自己信息数据的控制和自决权，但并不是一种彻底、消极排除他人使用的权利，而更多情况下是一种自主控制数据能否适当传播的权利。在这种权利性质下，数据权人享有相当大程度的自由，如权利人可向数据控制者、持有者主张删除权、被遗忘权等，但是对于数据的财产属性并未赋予太多层面的保护，个人与企业的数据收益难以理清边界[5]。数据财产权说认为，应将数据界定为一种新型财产，这种财产权属于源数据的产生者即所有权人，同时数据持有、控制者也享有一定权利，数据产生者与数据持有者、控制者之间存在类似信托关系，其不能对其持有或控制的数据进行任意处置，即不能损害源数据所有人的权利，除非征得其同意不得泄露其隐私[6]。数据财产权说较大程度上保护了源数据所有权人的权益，但也过多限制了数据控制者的权利，在当前数据的产生主体与实际控制主体相分离的现实情况下很难具有可实践性。知识产权说将数据视为知识产权并且以在数据收集、加工过程中是否加入了有独创性意义的处理为标准，分别用著作权和邻接权制度对数据予以保护。第一种方式是通过汇编作品的形式从而用著作权制度加以保护，主要针对数据收集者将网络上庞大的数据进行加工处理后形成的、在数据排列上具有独创性意义的新的数据。第二种是针对仅仅是收集、整合数据从而堆积而成的、不具有独创性意义的数据库，可以考虑通过邻接权制度加以保护[7]。知识产权说未将原始数据所有权人的权利加以明确，对于数据收集者的权利保护过于宽泛。如果将个人数据信息所有权作为源数据的产生者和数据控制者共有，在现实中即表现为企业与个人共有，将可能导致收益权分配混乱，权利主体难以严格区分，数据交易法律关系的主体无法界定。

数据资产的权属应存在边界区分应该是毋庸置疑的，针对知识产权说的不足，笔者认为应分情况讨论：对于原始的、未经处理的数据诸如用户留下的上网痕迹、使用数据等归原始数据产生者所有[8]，主体对于这类数据具有收益权与可控权。收益权即网络运营商等可以征得用户同意并通过支付一定的对价，如提供资源或服务等取得对于原始网络数据产生者让渡的有限数据使用权。可控权即个人数据的披露或销毁应被数据实际控制者告知，由原始数据的产生者自行决定。网络运营商等数据收集者对于将收集到的数据采用独创性的加工方法予以处理后的商业化数据具有知识产权保护的可能性，因为其付出了一定的智力劳动数据使加工后的商业数据有了创新性，持有者随之享有类似于物权的权利，但不能影响到原数据所有人的合法权利，如隐私权、遗忘权等。对于加工方法并没有独创性，但企业投入了成本、资源获得的衍生数据，也具有一定的保护价值，对于整合数据而产生的“大数据产品”享有类似邻接权的权利和相应财产性权益，如在法定和约定条件下，对个人数据进行匿名化处理或者说去隐私化处理后可以进行利用。

二、数据资产在价值链过程面临的现实风险

数据资产的价值链从底层的原始数据收集获取到数据应用、运营的技术提供，沿着数据采集、整理、分析、应用逐层递进[9]。在数据的获取与应用阶段中，如何在合法的前提下促进数据价值的发掘利用，并且在规避滥用数据风险的同时保护源数据所有者的合法权益，使企业、个人等各方主体的利益达到最优的平衡点，成为数据资产化进程中必然面临的难题。

（一）数据资产获取阶段的风险

1.数据过度收集导致用户知情权与隐私权受损。

随着大数据技术对于个人数据的深度挖掘，在数据收集阶段进行隐私保护是面临的关键问题，数据的虚拟性和数据产生主体与实际控制主体的分离也加大了对数据进行隐私规制的难度。数据收集正处于这样一种“灰色地带”，大部分应用程序对收集数据的范围和程度并无明确规定或语焉不详，或者将“同意”选项放置于不易察觉的位置且已经预先勾选，导致部分消费者在未知情况下进行默认授权，因此企业肆意过度收集用户数据可能产生越过用户同意权获取数据的风险[10]。用户对于数据的收集并未获得拒绝的权利，其对自身数据被收集只得处于默认同意的状态。在对用户数据的整合分析下，企业甚至可以轻而易举地掌握用户的喜好及需求，从而进行精准营销，而用户也可以毫不费力地享受到个性化服务，这看似是一种双赢。问题是，并非所有人都愿意用自己的隐私来换取便捷。例如，当注册某一网站账号以获取服务商提供的更多服务时，多数运营商会要求用户在“用户协议”上选择阅读并接受，否则无法完成注册。在此情境下，用户要获得网络应用带来的便捷就必须按照企业的要求提供各种数据信息，同意企业在数据收集和利用上提出的各种格式条款，个人在此情形下的选择只能是全有或全无。用户数据的过度采集在大多数情况下也是非必要的，比如读取使用者的位置信息和访问联系人权限等。多数用户在注册时并不会浏览这些冗长协议而直接选择同意条款，很大程度上也是因为他们别无选择，这种强制性的“用户同意”显然不能被法律接受[11]。

2.数据的地下交易促进网络犯罪的精准化。

随着大数据产业的日益发展壮大，社会对于重要数据资源的需要量也越来越大，隐私数据由于其具有显著的可识别性成为个人数据交易炙手可热的对象。在强烈的需求驱动下，企业竭力通过各种渠道收集个人数据，这也使得数据的地下交易有了生存土壤，非法数据交易现象日益猖獗，这也促进了涉数据网络犯罪的精准化。中国消费者协会于2018年8月29日发布的《APP个人信息泄露情况调查报告》显示遭遇个人信息泄露情况的人数占比为85.2%，可见个人信息泄露情况严重，数据的地下交易作为数据泄露的主要流通渠道，将因各种原因泄露的用户数据肆意买卖。在大数据时代，犯罪分子已经利用数据实施有特定对象分析的犯罪，而这些数据的来源可能是我们平常并不十分关注的领域[12]。在目前或短期来看，法律所能做到的只有从表面规范数据交易过程乃至数据收集的合规性，也即程序的合法性，至于收集后的数据如何进行应用，法律无从管起，仅有靠企业的自律和事后的惩处。以数据的脱敏处理为例，尽管独立的脱敏数据不具有隐私性，但将大量的、指向某一人特征的数据进行整合和多重检验后，就难以确保整合后的数据是否还具有脱敏性。因此，即使交易方履行了保密义务，在数据的整合及应用也可能存在隐私泄露的风险。

3.数据垄断导致的不正当竞争风险。

在“数据为王”的时代，企业将数据视为一种差异化竞争的资本，纷纷竭力争取更多的数据资源而在竞争中处于优势地位。不容忽视的是，那些拥有较先进的数据分析和收集能力的企业同小微企业的差距也在逐渐加大，其搜集数据的能力远超其他小微企业，这更加剧了行业间的不平衡发展。拥有更多数据的企业不会平等地交换数据，他们更可能会利用廉价的资金购买同行看似不重要的数据，将大量的行业数据整理加工然后进行挖掘，从而产生更多的数据，并且利用互联网平台将优势巩固并逐渐确立垄断地位。而那些处于弱势地位的企业，首先他们没有进行大数据分析的能力，其次，他们在客户交易过程中产生的小数据被购买后已不具有太大价值，这使得他们在互联网浪潮下的激烈竞争中濒临倒闭破产的边缘。对于消费者而言，那些取得数据垄断地位的企业可以凭借自身的数据优势进行差异化定价，比如对消费者进行价格歧视，不同人征收不同价格，也就是大数据“杀熟”，这使得消费者在信息不对称的情况下处于一种不平等地位[13]。

（二）数据资产应用阶段的风险

1.数据跨界共享产生“灰色地带”。

数据的跨界共享是将有效的数据信息提供给合作方使用的方式，各行业数据交融整合可以形成“乘法效应”。然而，由于一些涉及用户大量隐私数据特殊行业尤其是金融行业数据的跨界由于法律尚未明确加以规定，这种“灰色地带”很可能存产生潜在的风险。比如当前热门的P2P信贷网络平台，虽然借贷模式方便快捷，能够有效解决小微企业融资难的问题，但其可信度因得不到有效的担保而遭到质疑，这时“P2P+保险”发展模式便随之产生。由于信贷行业掌握着用户大量的隐私数据，而法律却没有对这一网络平台加以明确规制，这很可能使得保险行业利用这些整合分析后的数据对客户进行推销，利用客户的求富心理推销风险程度极高的保险，这种类似捆绑营销的方式在数据共享后显得更加普遍。此外，由于用户数据边界界定的模糊性，在信贷平台和保险业合作过程中产生的新数据归属问题也难以确定，而这些数据的私密性又决定了其不能公开，因此新数据的归属与保存亟待解决，合作双方可能会在巨大利益的引诱下铤而走险。

2.数据“质押”存在现实困境。

即便人工智能强大的计算能力让数据价值得到更大程度的发挥，人工智能的发展从计算上升到实际应用还需时日，数据资产在民事领域的实践如利用数据质押贷款，仍存在现实困境。数据资产的抵押贷款作为变现的重要途径，也是企业应用数据资产的新方式。2016年4月，贵阳银行向东方科技发放了一笔100万元的贷款，贷款质押物是储存在该公司电脑里的水文数据。这是国内第一单数据资产质押贷款。数据质押与无形资产的质押类似，但我国法律尚未将数据纳入可质押的权利内，因此数据质押属于不受法律规制的空白地带。从长远来看，数据质押存在以下两种风险：第一，由于数据的低价值密度性与非替代性，一旦发生数据泄露，被质押数据将会立即贬值，失去质押物应有的价值；第二，由于数据的可复制性，作为无形的、可反复交易的商品，数据资产重复质押风险必然存在，如何在数据资产的登记、评估、保全阶段，给数据加以唯一的身份标识，以及利用这一标识对数据的泄露进行追责从而确保个人权益损失最小化，需要公安部及有关部门深入探讨。目前，数据贷款处于崭新的阶段，将数据借贷从吸引融资的噱头到真正发挥价值需要相当长的周期，数据资产的真正应用也需要一套较为完整的运行模式的建构加以保障，否则相关隐形的法律风险将会层出不穷。

三、数据资产的风险防范路径

（一）数据资产保护的立法体系构建

数据资产保护的立法体系建设为数据资产相关实践得以平稳开展提供法律层面的保障，为数据资产的收集和应用打下法律基础，使数据资产相关过程更具合理性与合法性。其中，对于用户数据的保护更是重中之重。我国目前立法也关注到这一问题：《信息安全技术公共及商用服务信息系统个人信息保护指南》为信息系统中的个人信息保护工作提供了首个国家标准，其明确要求除公权力机关外的各类组织与机构处理个人信息应遵循八项基本原则，并在个人信息主体知情的情况下获得个人信息主体的同意；《中华人民共和国民法总则》第一百一十一条初步明确了个人数据信息的法律可保护；《中华人民共和国电子商务法》第十七条也为消费者知情权和选择权的保护作出了原则性规定，体现了前瞻性与包容性。然而这些法律条文高度的不确定性与分散性也给司法实践中法律文本的适用性增加了一定难度，相对模糊的规定也会导致法律适用产生冲突。针对我国个人数据保护法律条款分散、缺乏体系化的现状，我国应在此基础上加快统一立法，尽快出台专门的个人数据保护法。与欧盟相比，欧盟则通过高标准的个人数据保护规范影响着全球个人数据的保护立法，如《欧盟统一数据保护条例》中规定了数据主体的数据可携权、删除权与被遗忘权，对数据主体的权利予以较为明确的规定。一种权利得以认可和实施，主要靠立法来确立其地位，我国数据资产保护的立法可以这一条例作为借鉴。在现阶段“告知——同意”原则在数据收集过程中被运营商严重忽视的情况下，数据的可携权具有一定的参考价值[14]。可携权规定，如果数据的控制者将收集的个人数据用于其他目的，那么控制者就应当将这一额外的收入与数据主体共享。由于对自身权利的重视程度不足以及对“用户数据利用协议”的忽视，数据主体通常并不了解他们为了获取服务而“强制”提供的个人数据的价值。通过对可携权的参考可以确立原始数据产生者的数据主权。同时，个人数据保护也不是仅靠民事法律手段就能实现的，传统的民事侵权法律体系并不能完全容纳数据安全问题，应加大惩处力度，完善以数据为独立犯罪对象的立法体系，从而对涉数据网络犯罪加以规制。

（二）个人数据隐私保护配套机制的完善

立法机制的构建能够为个人数据的保护与确权提供基本支撑，然而要充分发挥隐私保护机制的作用，还需其他的配套机制的完备以增强法律条文的可执行性与操作性，个人数据保护的法律架构也只能以配套制度为基础才能更稳固地进行建构。由于数据的虚拟性与庞杂性，预先对于网络数据加以身份标志的识别或对敏感数据通过关联规则进行隐藏虽然能够从源头上整治数据泄露，但就短期而言可能会面临巨额的技术成本与效率问题，也会相应限制数据价值的深入挖掘与相关数据产业的进一步发展[15]，并且我国现行的以法律责任前置为特征的提前预防模式已不能适应数据所具有的的多种法律属性与样态，可执行性甚微。通过数据泄露的事后追究机制提高隐私泄露的违法犯罪成本可能是目前切实可行的措施。比如建立并完善个人数据隐私泄露的举报与追责机制，针对个人数据收集、挖掘、整合等过程中侵害个人隐私的行为，赋予被侵害者或知情者主动权并提供一定的物质激励，鼓励对泄露方进行积极举报，并由相关监管机构对于数据泄露行为实施审查和处罚，使得社会监督有效发挥作用，健全数据隐私保护的全社会监督体制，降低行政部门的执法成本。同时，构建完备的数据治理体系也能够为数据资产的相关实践保驾护航，比如推进大数据交易平台建设，为数据资产的现实运作提供有效支撑；规范网络平台的数据资源管理与数据内控，出台相关管理制度；加强网络监管能力，促进数据安全网络保护的常态化等等。

（三）数据多方主体间的利益平衡

在为数据资产制定规则之后，如何使其在多方利益博弈中真正发挥价值，成为接下来需要探讨的问题。数据安全问题之严重，在于网络群体基数大、违法成本低廉，无论我们如何推崇数据资产的个人属性与立法体系保护，短期内数据泄露问题在现有条件下都无可避免（数据资产的价值需求与我国当前政策导向所决定），在实务中如何权衡数据控制者与数据主体之间的利益关系，应以个人数据的充分保护、社会秩序的合理维护、社会公共利益最大化等作为出发点，在数据保护与数据效用之间达成平衡。一种客观中立的观点认为，为推动我国数据产业的发展，在国际竞争中实现弯道超车，应该允许进行数据持有者或控制者获得部分权利，在个人自由与公共利益的天平中做到砝码的相对平衡。例如，对用户数据进行匿名处理和明确征得用户同意后，企业可以豁免个人数据保护法规定的相关的义务，但如果发生用户隐私泄露等情况，收集该用户数据的企业仍需要承担连带责任。这一观点一定程度上默认了突破用户的隐私权是实现数据资产化的必要路径，可能会加大隐私数据泄露的风险。或许在实践中秉持这样一种“搁置争议，共同受益”的原则可能会有利于公众的接受与数据资产的进一步发展，数据持有、控制者与数据产生者之间可以达成某种“协议”在一定限度内授权第三方有限利用其数据并付给其一定“好处”同时严格遵守数据的商业开发利用边界，包括但不限于提供优化服务、优惠政策或直接用货币交换等等，也即如果数据是由用户自愿共享的，则他们有权获得经济性的补偿。

结语

在获取数据资产相关文献过程中笔者发现，目前对于数据资产的研究大多是在大数据的整体框架下从网络趋势和数据应用的角度来解释说明数据价值和数据的应用，而对数据资产所面临的法律问题没有集中化分析。基于法律视角的文献对于大数据问题的研究又大多集中于隐私权的保护、信息财产权的规制和数据库的法律问题层面，对数据资产的涉猎相对零散，并且对于数据资产视为一个固有的概念，对其界定相对模糊而抽象。对于数据资产的定位及保护机制的建立是一个远比“理论探讨”“加强立法”更复杂的系统工程。基于种种限制，本文从初级层面对于数据资产的整体概念、大致框架与现实风险层面进行分析，涉猎较浅且宽泛，显然只是一个起点，数据资产的深度研究任重而道远。●