用法律划定数据财产市场的监管边界

王佳颖

一、 导言

由于不同主体对于数据有着不同的利益诉求，对于数据权利类型以及数据权属的争议也就日益激烈。有学者认为，数据权是绝对的人格权，当然不能对其进行商业化利用，这样的观点已经随着互联网信息技术的发展，基本上被摈弃了。数据因使用而有价，大数据已经成为工业4.0时代下的“新石油”。1World Econ.Forum, Personal Data: The Emergence of A New Asset Class 5(2011), available at: https://www.weforum.org/reports/personal-data-emergence-new-asset-class/.因而有学者提出，除了对从人格权角度对用户信息的绝对保护之外，有必要为数据的使用构建财产性权利制度。2Paul M.Schwartz, Property, Privacy, and Personal Data, 117 Harv.L.Rev.2055(2004).

1999年，美国的劳伦斯·莱斯格（Lawrence Lessig）教授最早提出了数据财产化理论，认为应该授予数据主体数据所有权，确定对于自身数据的财产权利。3Lawrence Lessig, Code and Other Laws of Cyberspace, 122-35(1999); Lawrence Lessig, Privacy as Property, 69 Soc.Res.247, 261(2002).这一理论提出后引起了政策制定者的注意。美国的数据红利共享制度，就体现了对数据财产权的肯定。4龙卫球：《数据新型财产权构建及其体系研究》，《政法论坛》，2017年第35期。

欧盟同样表现出了对数据财产属性的关注。2015年，英国竞争与市场管理局（Competition and Market Authority）发布了题为《消费者数据的商业化利用》的报告，研究了消费者数据商业化利用的现况，并对未来的数据商业化利用规制进行了规划。5The Commercial Use of Customer Data: Call for Information, Competition and Market Authority.2017年，欧盟委员会（The European Council）通过了题为《建立欧盟数据经济》的政策文件6Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions "Building A European Data Economy".，呼吁针对非个人的机器生成数据（raw machine-generated data）设立数据产权，规范市场和交易。欧盟委员会希望通过这一“数据生产者权利”鼓励，某些特殊情况下强制企业授权第三方访问其数据，促进数据流通和增值。7腾讯研究院，《欧盟如何为繁荣数字经济打造统一的数据法律规则？》，https://new.qq.com/omn/20181023/20181023A1HAZH00。

在认可数据财产属性的前提下，为了实现对数据财产的充分和高效利用，数据权属的分离势在必行。对数据财产属性的确认与商业化利用可以说是大势所趋。

二、数据财产的特别属性

隐私泄露造成的危害显而易见。剑桥咨询公司未经授权获取美国社交媒体Facebook多达5000万用户的信息（最终数字达8700万）的数据泄露事件开始，到Facebook股价蒸发500亿，扎克伯格孤身一人上国会听证会公开道歉。目光回到国内，华住团旗下所有酒店的数据，涉及1.3亿人的个人信息和开房记录最近在网络上被叫卖。数据包含华住旗下汉庭、禧玥、桔子、宜必思等10余个品牌酒店的住客信息。新三板大数据公司数据堂被传因涉嫌给一家理财营销公司提供大量个人隐私数据，公司高管被带走调查。2016年雅虎10亿账户泄露事件，2014携程用户信用卡数据泄露事件。荷兰SIM卡制造商金雅拓公司于4月16日公布了一份调查报告，显示2017年全球失窃、丢失或泄露数据总量达到了26亿条，与前年相比同比增长了88%，几乎翻了一倍。

可以看出，数据财产不同于一般财产，它还蕴涵着无数的个人隐私信息，所以其作为商品的存储、变更、传输、封锁和删除均需要严格的控制与保护。8参见王玉林：《信息服务风险规避视角下的大数据控制人财产权利与限制研究》，《图书情报知识》，2016年第5期。这样的高强度保护通过企业的自律是难以达到的，必须通过立法予以明确，以公权力作为保障。

三、我国政策法律对于数据资产商业化利用的态度

欧美数据经济蓬勃发展，我国同样不遑多让。据中国信通院数据显示，2017年我国数字经济规模达到27.2亿，占当年GDP比重的32.9%，仅次于美国，居全球第二位。面对数字经济的极大繁荣，数据资产化及对数据资产的商业化利用在我国政策法律中是否有容身之处，也就成为了不可回避的问题。不同于其他国家例如欧盟《通用数据保护条例》（以下简称“GDPR”）中对于个人数据的处理列出多种不同的合法依据。

在我国，对于数据权属性的重要规定较早的可以追溯到2012年12月全国人大常委会通过的《关于加强网络信息保护的决定》。该决定实际将个人信息视为用户的一种类似于人格权的绝对利益，赋予了用户对自己的个人信息排除他人非法获取、非法提供的权能，但没有明确用户是否可以对个人信息享有积极自决权能，以允许他人使用，显然无法迎合大数据时代的需求。

对于互联网行业的数据从业者来说，要使得网络服务成为可能，不可避免地要对用户个人信息进行收集、加工和商业化利用。对此，他们往往采取设置用户协议的方式，引导用户对其个人信息的相关权利向企业授权。这种方式很快得到实践的广泛认同。2013年开始实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》，该指南对个人信息控制者处理个人信息的行为作出了规范。

司法实践上对数据商业化利用中使用个人数据权利的认定也有较大的突破。在北京百度网讯科技公司与朱烨隐私权纠纷一案9见朱烨与北京百度网讯科技有限公司隐私权纠纷民事裁定书，（2013）宁民辖终字第238号。中，原告朱烨在家中和单位上网浏览相关网站过程中，发现利用百度搜索引擎搜索相关关键词后，会在百度广告联盟的特定网站上出现与关键词相关的广告。朱烨认为，百度公司未经其知情和选择，利用网络技术记录和跟踪朱烨所搜索的关键词，将其兴趣爱好、个人需求等显露在相关网站上，并利用记录的关键词，对其浏览的网页进行广告投放，侵害了其隐私权，使其感到恐惧，精神高度紧张，影响了正常的工作和生活。在终审判决中，南京市中院认为，网络服务商或数据从业者对于用户浏览信息的自动抓取收集行为以及个性化推荐行为不构成隐私侵权。

此外，在微博诉脉脉案的终审判决中，北京知识产权法院指出，“对企业而言，数据已经成为一种商业资本，一项重要的经济投入，科学运用数据可以创造新的经济利益……数据的获取和使用，不仅能成为企业竞争优势的来源，更能为企业创造更多的经济效益，是经营者重要的竞争优势与商业资源”。10见北京淘友天下技术有限公司、北京淘友天下科技发展有限公司与北京微梦创科网络技术有限公司不正当竞争上诉案，（2016）京73民终588号。

仅仅从法律规定来看，我国法律中数据的财产属性及相关权利的划分，似乎还处于“妾身未分明”的状态，但实际上，我国政策及司法实践已经体现出肯定对数据资产的商业化利用，平衡个人和数据从业者双方利益，肯定数据从业者具有相关权利的态度。这些以规范数据控制者、处理者行为为着力点的法律文件以及司法实践，其实也体现了一个结论：在大数据时代，真正值得关注的不在于数据由谁产生，为谁所有，而在于数据为谁所控制，为谁所支配。

四、政府向企业分享数据资产

为了实现对数据的商业化利用，创造财富，企业必须以多种方式获取数据，包括在提供商品、服务的过程中自主地收集数据，其他企业自愿分享数据，通过数据抓取获取其他企业的数据，以及由政府提供数据并由企业进行商业化利用等等。最后一种无疑也是一种较新也较为罕见的模式，值得进一步的探讨。

从政府向企业提供数据的法律依据而言，针对政府能否将履职获得的数据提供给企业这一问题，目前尚缺乏法律层面的依据，正在制定中的《数据安全法》及其配套法律出台后或可提供具体指导。但从政策风向来看，国务院于2015年印发的《促进大数据发展行动纲要》（以下简称《行动纲要》）中就已指出：“推动大数据发展和应用是各级政府的一项重要任务；为了降低社会管理成本，鼓励政府与企业、社会机构开展合作，通过政府采购、服务外包、社会众包等多种方式，依托专业企业开展政府大数据应用。”2014年，李克强在视察山东浪潮集团时也指出：政府要与企业共享“大数据”。

针对《行动纲要》中的规定，地方上已有类似实践，贵州和上海都是其中较为突出的代表。2010年，九次方大数据集团有限公司在贵州成立，第一次作为企业提出了“数据资产运营”和“数据财政”的概念。2015年，九次方大数据联合贵阳市政府发起成立了全球第一家大数据交易所——贵阳大数据交易所。11见九次方大数据集团有限公司官网。并于2016年2月25日被批复建设第一个国家大数据综合试验区，此后，贵州省在政府与企业之间的数据经济合作上有了进一步的突破。同年，贵州省政府指定云上贵州大数据产业发展有限公司（“云上贵州”）建设云上贵州数据共享平台，作为全省统一的大数据平台，支撑全省政府数据开放。

当然，虽然已经有了政策导向和实践示范，但政府向企业提供数据资产这一领域仍处于“摸着石头过河”的阶段，仍然存在很多问题。例如，在企业的选择上，政府在为企业提供数据，指定企业搭建数据平台时，是否应当考虑到政府所收集的数据的重要性，以及数据平台在大数据时代的基础设施地位，选择兼顾经济效益和社会效益，兼具公信力和公益性的公司。除此之外，虽然目前已存在部分政策性文件，但政府向企业传输数据的明确法律规定仍有缺失。其次，政府在指定合作企业时，也应考虑程序上的正当性，避免构成行政垄断。此外，企业还应考虑接受政府数据传输、搭建数据平台需要具备哪些资质，据此也应参考《征信业管理条例》及《金融信息服务管理规定》等相关规定。

五、数据财产商品化的边界

《中华人民共和国民法总则（草案二次审议稿）》（“《二次审议稿》”）12“自然人的个人信息受法律保护。任何组织和个人应当确保依法取得的个人信息安全，不得非法收集、使用、加工、传输个人信息，不得非法买卖、提供或者公开个人信息。”中首次提出，意在遏制互联网时代猖獗的个人信息非法收集、加工和交易。相较于《二次审议稿》，2017年3月15日最终通过的《民法总则》第111条则进一步规定，“任何组织和个人应当确保依法取得的个人信息安全”，强调了信息获得者保护信息的法律责任。13“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息，不得非法提供、公开或者出售个人信息。”

新浪诉脉脉案中，法院在判决中指出，“数据的获取和使用，不仅能成为企业竞争优势的来源，更能为企业创造更多的经济效益，是经营者重要的竞争优势与商业资源”。尽管法院并没有进一步讨论个人信息的所有权属性，亦未明确社交网络平台对经营中合法取得的个人信息所享有的权利，判决仍然确立了一项原则，即信息可被视为经营活动中的一种重要竞争优势，这与近年来全球各司法辖区对数据或“大数据”将如何影响竞争政策的讨论是一致的。经营者应将按照合法隐私及数据处理政策收集并控制的个人信息，作为其重要商业资源予以保护。

因此，经营者在确保正当使用个人信息的同时，还应当防止其他竞争者不当“窃取”其所掌握的个人信息。建议公司建立内部数据保护机制，避免竞争者未经授权获取任何数据。此外，与第三方进行数据交易时，应确保拟定的合同明确约定拟交易数据的范围和数据保护义务。事前对第三方的网络环境安全进行尽职调查也十分重要。

六、政府与规范性文件对数据市场的影响

从去年开始《网络安全审查办法（征求意见稿）》、《数据安全管理办法（征求意见稿）》（“《管理办法》”）、《儿童个人信息网络保护规定（征求意见稿）》（“《儿童个人信息保护规定》”）以及《移动互联网应用基本业务功能必要信息规范》等规范性文件紧锣密鼓地被制定出台，不排除有多重考量因素的作用，尤其是在特定时期需要加快相应领域立法的需求。除了之前监管规则中不曾出现过网路爬虫抓取数据、定向推送、洗稿、数据出境审批以及平台运营者对第三方应用的过错推定责任等新规定而需要补充之外，另一个合理性解释，应该是按照《立法法》的规定，部门规章可以设定一定的行政处罚手段，通过将《规范》上升到部门规章层面，可以解决其作为推荐性国标并没有强制执行力的窘境，让那些已经实践验证确认行之有效的监管规则不再只是“纸老虎”。

《管理办法》赋予了执法机关广泛的数据获取权限，其中第二十七条规定“网络运营者向他人提供个人信息前，应当评估可能带来的安全风险，并征得个人信息主体同意”，但“执法机关依法履行职责所必需”属于例外情形之一；第三十六条进一步规定“国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要，依照法律、行政法规的规定，要求网络运营者提供掌握的相关数据的，网络运营者应当予以提供”。

与《规范》第5.4条“征得授权同意的例外”中列出的具体情形相比，《管理办法》的上述规定明显过于原则。“依法履行职责所必需”以及“履行维护国家安全、社会管理、经济调控等职责需要”，都是十分宽泛的表述。虽然说后者通过“国务院有关主管部门”进行了主体层级上的限定，但总体上仍赋予了监管部门相对广泛的执法裁量权。我们建议在后续定稿规范或在相关的法规规章中，对监管部门获取企业数据、个人信息的程序和权限加以规范，在实现国家安全和社会管理等利益的同时，维护程序正义，保护数据主体和收集数据企业的合法权益。

我国现阶段关于数据立法的重点是强调数据保护。《网络安全法》第42条是主要依据，规定企业未经被收集者同意，不得向他人提供个人信息。同时这个第42条还规定，经过处理无法识别特定个人且不能复原的不属于限制范围。也就是依照现有法律，经过匿名化处理的数据其实是可以交易的，因为这时已经是商业化的数据了，不再涉及个人信息。

但是随着大数据时代的来临，我们会发现无论是取得用户同意还是数据匿名化都越来越难。5G时代来临，所有电子产品都会不断生成数据，面对海量数据，全部取得用户同意需要极高的合规成本，企业是难以承受的。这是现在合法的数据交易很少，但黑市数据交易却不断的原因。因为如果要完全符合法律要求，成本将非常高。比如个人可以要求企业删除他的个人数据，但这是十分困难的，因为所有数据已经不断融合，要找出特定个人信息的成本会十分高昂。

在网络安全、个人信息保护和数据合规立法领域，根据业界的普遍反映，每出台一项新的制度文件，基本都会给相关行业的企业实体增添新的义务和要求，并导致企业合规成本的不断增加。野蛮生长的草莽英雄时代，很多产业实践的确需要通过建立新的规则体系予以规制，但其中创新与约束、发展与规制、私利和公益等一系列矛盾诉求的权衡和平衡，必定是立法中非常具有挑战性却又无法回避的现实。

与传统的监督检查、定期汇报和审查批准等执法和监管方式相对应，近些年在社会经济活动的行政规制领域逐渐形成了社会共治和政府与企业合作治理的共识，并已经体现在众多的立法和执法活动中。在数据经济时代，大数据凸显其巨大的潜在利用价值，但又囿于个人信息和隐私数据保护的高度合规要求，因此合作治理和激励相容14参见周汉华：《探索激励相容的个人数据治理之道》，《法学研究》，2018年第2期。的政策和监管模式，就尤其能体现其适用价值。值得欣慰的是，《规范》在其生效实施之后，在调动企业主体积极构建个人信息保护的内控合规制度、引导主动守法和降低执法成本等方面，都发挥了相当正向的作用。

七、结语

法律即规则，法律体系由法律基础理论和法律具体规则构成。欧洲以基本人权理论为出发点构建了GDPR为主导的严格的个人数据处理活动法律框架。美国也以Fair Information Practice Principles（FIPP）为基础理论支撑15Daniel J.Solove & Woodrow Hartzog, THE FTC AND THE NEW COMMON LAW OF PRIVACY, COLUMBIA LAW REVIEW, Vol.114.，形成了极具美国特色的部门化16Federal Family Educational Rights and Privacy Act (FERPA), Children's Online Privacy Protection Act (COPPA), Fair Credit Reporting Act (FCRA) and Gramm-Leach-Bliley Act(GLBA).立法模式。

与此相对应的，我国在个人信息和隐私数据保护方面的基础理论上却显得相对滞后——虽然2009年《侵权责任法》首次在法律中确立了隐私权的法律地位，以及2017年《网络安全法》出台以来陆续落地的一系列法规和规章文件，包括《管理办法》和《儿童个人信息保护规定》，立法和监管机构基本是以相对实用主义的路径设立了以现有互联网生态为主要规制对象的一套规则体系。

尽管如此，这不代表我国对比较法应当采取全盘接纳的态度，不论是美国的FIPP原则17Fred H.Cate, THE FAILURE OF FAIR INFORMATION PRACTICE PRINCIPLES forthcoming in Consumer Protection in the Age of the ‘Information Economy’.，还是欧盟的GDPR，虽然确认了数据的经济价值，但立法内容绝大部分内容是对个人信息财产权化的单向保护18Kevin Koerner, GDPR - boosting or choking Europe’s data economy?, https://www.dbresearch.com/servlet/reweb2.ReWEB?rwsite=RPS_EN-PROD&rwobj=ReDisplay.Start.class&document=PROD0000000000470381#.。立法者仅仅站在个人作为数据主体的财产地位角度予以配置，忽视了数据经营者（企业）应有的财产利益诉求，没有再向企业数据财产权的确立走出关键一步。19Jacob M.Victor, The EU General Data Protection Regulation: Toward A Property Regime for Protection Data Privacy, 123 Yale.L.Journal 523（2013）.

今年6月19日，法国最高行政法院Conseil d’État做出裁定，维持法国数据保护机构国家信息与自由委员会CNIL于2019年1月对谷歌违反GDPR做出的5000万欧元（约5600万美元）罚款。20参见CNIL调查报告英文版，https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-againstgoogle-llc本案中对于对谷歌的处罚依据，是欧盟对GDPR的严格执行结果。虽然谷歌是总部在美国的科技巨头企业，但鉴于其针对欧盟市场、对欧盟的居民提供服务、收集和处理欧盟居民的个人数据、在欧盟境内成员国设立营业地，因此毫无疑问地被纳入GDPR的监管范围。而对于监管的具体内容，也随着各种处罚案例的不断出现，越来越具象化和规范化。本案中，关于消费者个人隐私保护和科技发展的平衡难题显露无遗。21Allison Schiff, France Slaps Google With 50 Million Euro Fine - Largest Yet Under GDPR, https://www.adexchanger.com/privacy/france-slaps-google-with-50-million-euro-fine-largest-yet-under-gdpr/由于GDPR的严格性，一方面作为消费者或个人用户，从中取得了对个人隐私和信息安全的全面保护；但从推进科技进步的角度，谷歌的担忧也不无道理。虽然现在这一问题尚不明显，但GDPR细节化和全面化的监管内容，在某些情况下或会对企业造成比较大的合规成本和负担，难免落入可能僵化的窠臼。

与传统的监督检查、定期汇报和审查批准等执法和监管方式相对应，近些年在社会经济活动的行政规制领域逐渐形成了社会共治和政府与企业合作治理的共识，并已经体现在众多的立法和执法活动中。在数据经济时代，大数据凸显其巨大的潜在利用价值，但又囿于个人信息和隐私数据保护的高度合规要求，因此合作治理和激励相容的政策和监管模式，就尤其能体现其适用价值。

值得欣慰的是，《规范》在其生效实施之后，在调动企业主体积极构建个人信息保护的内控合规制度、引导主动守法和降低执法成本等方面，都发挥了相当正向的作用。随着《民法总则》人格权篇、《个人信息保护法》和《数据安全法》的陆续到位，个人信息、隐私权和数据资产等基本概念和理论框架的逐渐完备，相信我们国家可以建立一整套理论和规则协同配合的完整监管体系。数据的利用这不仅仅是百度、阿里巴巴、腾讯这些互联网巨头的事，更有千千万万的中小企业。这些企业除了立法的限制，更多需要的是政府的指导，帮助其有效地保护其掌握的公民数据信息。数据的开发利用不仅要聚焦公民个人隐私信息数据的安全，同时也应该通过适度监督、相对谦抑的立法为中国的企业提供利用数据的合理空间，不过分干预数据市场的成长，充分发挥我国在数据领域的红利与优势。