文 / 何蓉
《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出加快数字化发展,激活数据要素潜能,建设数字中国。数据蕴含着丰富的开发价值与潜力,数据搜集、处理、输出和使用以及数据集合的构建将深刻改变社会的生产与生活方式,驱动竞争格局与治理体系变革。数据产业作为新兴产业,近年来发展势头迅猛,而我国法律制度就数据的保护和利用存有缺漏,导致法院在处理涉数据采集、爬取或运用的相关案件时,缺乏明确可适用的法律依据,尤其在权衡数据保护与运用过程中的个人利益和社会公共利益时缺乏统一的标准。我国要打造数字经济新优势,运用数字技术助力强国建设,需要全方位布局和筹备。基于此,关于数据法律保护的问题成为当下研究的热点议题。
此前,学界对数据法律保护的相关研究多聚焦于个人信息或个人数据。有学者认为个人信息与隐私权所保护的私人隐私信息有明确的界限,个人信息权可以构成独立的民事权利,1. 杨立新:《个人信息:法益抑或民事权利——对<民法总则>第111 条规定的“个人信息”之解读》,载《法学论坛》2018年第1 期,第34-45 页。个人数据可以成为民事权利的客体,并应当通过私权制度对其加以规范和保护。2. 程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3 期,第102-122+207-208 页。有学者认为个人信息权满足绝对权的特性,可以借鉴知识产权的构建路径,将个人信息权融入民事权利体系中的绝对权大家庭。3. 吕炳斌:《个人信息权作为民事权利之证成:以知识产权为参照》,载《中国法学》2019年第4 期,第44-65 页。但也有学者指出,数据因受制于信息的内容而难以抽象界定和评价,不宜将个人数据独立视作财产归入表彰民事权利的客体。4. 梅夏英:《数据的法律属性及其民法定位》,载《中国社会科学》2016年第9 期,第164-183+209 页。然而,数字技术的广泛应用和数字产业的快速发展衍生出数据主体、数据处理者、数据控制者和数据利用者等新的利益主体,大数据背景下数据的内涵早已突破“个人”的范畴。在数字产业的利益驱动下,不同利益主体会提出对数据权益保护的新诉求。数据来源的不同和应用场景的不同会产生不同类型的数据,其法律属性、保护规则和基础理念也会存在巨大差异。厘清数据的法律性质是建构数据保护规则的基础。
明确区分数据和信息在社会关系调整中所处的不同范畴,是厘定数据于法律层面所具有的价值的基础,是合理定位数据的判定依据。从已有研究来看,数据与信息、个人数据和个人信息是容易被混淆的两组术语,常被混杂使用。有学者将数据等同于信息,使用“个人数据信息”一词,将二者合为一体,5. 吴伟光:《大数据技术下个人数据信息私权保护论批判》,载《政治与法律》2016年第7 期,第116-132 页。还有学者将数据和信息的范围大小进行比较,得出“数据大于信息”或者“信息小于数据”的结论。6. 许可:《数据安全法:定位、立场与制度构造》,载《经贸法律评论》2019年第3 期,第52-66 页。数据和信息之间存在着紧密的联系,然而上述观点将数据和信息置于同一层面进行比较,认为数据和信息是包含与被包含的关系,造成数据和信息的概念纠缠不清,无法有效厘清有关数据性质界定的困惑。讨论数据的法律属性首先必须清晰界定数据的内涵,尤其是对数据与信息、个人信息进行明确的概念区分。
根据我国《数据安全法》第三条的规定,数据是指任何以电子或者其他方式对信息的记录。参照国际标准化组织的定义,我国国家技术监督局发布的国家标准指出,数据是指信息的可再解释的形式化表示,以适用于通信、解释或处理。7. 参见国家技术监督局:《GB/T5271.1-2000 信息技术词汇第1 部分:基本术语》.由此可见,数据是对已知或未知信息的数字化描述,在技术层面可以成为数字化处理、存储与传输的对象,是以可机读形式存在的电子化信息记录。信息通过数据形式生成、存储和传输,数据是信息的数字化形式,控制数据即掌握了信息。从这个意义上看,数据和信息具有天然的共生性和一致性。但数据不等于信息,数据与信息也不存在范围大小层面的比较,二者分属两个不同的层面,应当予以区分。倘若将数据与信息混同视之,则会导致否认数据可成为财产权客体的结果。
从比较法的角度来看,欧盟地区所使用的“数据保护”一词意指个人数据的保护,《欧盟通用数据保护条例(GDPR)》第1 条第1 款指出,条例制定的目标在于保护自然人的个人数据,促进数据的流动。8. Alinéa 1 article 1, Règlement général sur la protection des données.条例未对“个人数据”和“个人信息”作出区分,而个人信息和个人数据的混用导致了数据财产权制度的构建困难,由此也引发一些欧洲学者的批评。9. Vaclav Janeek. Ownership of Personal Data in the Internet of Things. Computer Law&Security Review,vol.34,no.5,2018,p1039-1052.欧盟地区采用的“数据保护”与美国所采用的“隐私”或“个人信息保护”基本指代相同的内涵。从历史发展来看,20 世纪70年代欧洲召开的多次人权会议上就已经提出,大规模的计算机技术处理数据会引发个人隐私风险,10. 申卫星:《论数据用益权》,载《中国社会科学》2020年第11 期,第110-131+207 页。因而个人数据通常与隐私权相关联。
虽然个人数据通常与隐私权相关联,但数据不等于隐私或者个人信息本身。《欧盟通用数据保护条例(GDPR》第2 条第1 款将适用范围限于完全或部分以自动方式对个人数据的处理,11. Alinéa 1 article 2, Règlement général sur la protection des données.该条例第4 条第1 款则对个人数据的定义作出界定,个人数据是指任何指向一个已识别或可识别的自然人(数据主体)的信息。该可识别的自然人能够被直接或间接的识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。12. Alinéa 1 article 4, Règlement général sur la protection des données.此外,2021年8 月由美国统一法律委员会投票通过的《统一个人数据保护法(UPDPA)》中也明确指出,个人数据不包括去识别化数据。13. Sec.2 (10) of Uniform Personal Data Protection Act.由此可见,数据和信息存在根本的区别,数据强调的是客观存在于计算机系统中、依托于以字节表示的0 和1 的数字流二进制代码,而隐私和个人信息则是数据这一新的载体或其他传统载体所传达、承载和揭示的人格内容。易言之,数据需要借助符号来构建,它是对人的认识进行的客观记录,是经过电子化设备采集、处理而形成的一种客观存在,因而可以作为财产权益的客体加以保护;而信息是符号所反映的内容,是人具有一定主观性的认识,其保护的内容是与特定个人紧密相关的人格利益,因而应作为人格权益的客体加以保护。
综上所述,数据与个人信息的根本区别在于,前者属于财产权益范畴,以对个人信息以电子化形式记录的客观存在为保护对象,后者属于人格权益的范畴,以人格属性的内容为保护对象。我国《民法典》明确区分了数据与个人信息,分别将二者列于第127 条和第111 条,从而将个人信息作为人格权益的客体加以保护,将数据划入财产权益的范畴。此外,《民法典》还构建了针对个人信息和数据相区分的保护体系。《民法典》在第四编人格权编对个人信息进行了专章规定,通过第1034 条至1039 条共6个条款构建了针对个人信息较为详细的人格法益保护体系,而将数据仅同虚拟财产并列作为一种财产权益确立下来,至于数据财产权益的具体规则未付之阙如。
伴随数字经济的兴起和大数据技术的广泛应用,数据逐渐演变为具有巨大价值的新型资产,数字经济和数据资产化趋势催生出数据的商业化利用现象,推动了数据财产化的发展。14. 龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017年第7 期,第63-77 页。数据的经济价值的产生不再仅依赖于其存在其中的庞大工具和行为系统,海量数据本身在某种程度也构成决定性因素。
事物的财产价值是以事物对人的生活的功用而定的,15. 【英】约翰·洛克:《政府论下篇》,商务印书馆1964年第2 版,第24 页。在信息时代,社会主体的专属信息都以数据的方式所呈现,数据以信息为其内容,是信息的表现形式与载体,故而数据的价值源于信息所具有的巨大价值。
1.数据具有经济价值
“效率”是经济活动主要的价值追求之一,数据对提高经济活动的效率发挥了明显作用,数据所具有的数据量大、类型多样、运算高效和高价值产出的特征将给经济增长助推强大动力、提供新的经济增长点。一方面,相关市场主体对数据掌握数量的多少、利用水平的高低直接影响到经济活动的活跃程度。在当今高度信息化的社会中,数据无论是在数量上、复杂程度上,还是广泛性上都得到极大提升,数据的产生和交换渠道被拓宽,使得交流成本下降、交流实效性提升,相关市场中的交易数量也随之增加,与此同时相关市场主体的交易积极性也显著增强。另一方面,数据的高水平流通与交易可以促进我国统一市场的形成与完善。我国幅员辽阔、地大物博,虽然具备较为完善的经济管理体系和法律制度架构,但由于各地区之间自然环境、人文风俗等差异较大,使地区间的社会和经济发展不平衡问题仍然较为突出,一些地区还存在市场准入机制和定价机制不公正、不透明的乱象,严重地抑制了相关市场的创新与产业升级。信息化浪潮可以有效破除区域间的信息流通渠道障碍,打破行政管理、自然地理和物理空间的限制,数据在精准营销、产品制造、商业智能等领域得到越来越广泛的应用,已经成为数字经济的重要组成部分,从而为全国统一市场的形成与完善夯实基础。
2.数据具有社会价值
数据的价值不仅在经济活动中,在医疗科研、社会治理以及改善民生方面同样显现出巨大的价值。
在医疗科研方面,电子化的医疗数据不仅方便了存储和传输,而且对健康数据进行专业化处理和再利用,对于身体状况监测,疾病预防和健康趋势分析都具有积极的意义。例如,精准医学为复杂疾病的防控和治疗提供了新思路,通过个人基因组和其他生物大数据的挖掘,为病人提供个体化的风险预测、诊断和治疗方案,从而优化医疗资源的配置。2020年,美国国立卫生研究院下属的人类基因组研究所表示,未来将启动一项精准健康计划,旨在利用现有基因组信息、存储有数十万人类DNA 序列和电子健康记录的大型基因组数据库和生物统计学技术来实现大范围的精准健康应用。16. 朱晓武、黄绍进:《数据权益资产化与监督》,中国工信出版集团2020年第9 版,第5 页。
在社会治理方面,数据从驱动整体性治理、精准化治理和参与式治理等方面对社会治理系统做出极大改进与提升。具体而言:其一,政府数据开放共享、建立数据交易机制可以解决“数据孤岛”的问题,进而促进治理主体的多元化;其二,数据匹配可以精准进行人群识别、需求识别和方式识别,从而对数量庞大的多样性利益个体实现差异化服务;其三,数据互动可以有效降低社区自治的参与成本,提升参与式自治的效能感,培育居民的公益精神,促进政府与社会之间的协同。在我国的新冠肺炎疫情防控工作中,数据在帮助判断人员动向,精准控制疫情传播,帮助判断疫情走势,建立全民预警机制以及帮助优化资源配置,辅助多方协助抗疫等方面都发挥了巨大的积极作用,充分展现了数据的驱动能力。例如,交通管理部门和疫情指挥部等可以利用数据分析个人近期地理位置信息和时间戳信息,从而绘制出确诊人员的行动轨迹,同时根据确诊人员在确诊日期前一段时间的密切接触人员的个人行动轨迹,更精确、更大范围地推断出所有密切接触者,从而为预测高危地区提供精确的数据支持,为抗击疫情的精准施治提供有效指导。
在改善民生方面,数据有利于消除“数据孤岛”,建立公开透明的数据服务平台,为解决人民健康、就业、教育、安全、收入等问题提供更好的技术保障。17. 中国共产党新闻网:《运用大数据改善民生》,http://theory.people.com.cn/n1/2016/0922/c49154-28731757.html,最后访问日期:2022年10 月1 日。在我国的扶贫工作中,各机构对贫困人口的个人信息进行广泛数据采集,通过数据分析实施精准扶贫。例如陕西省汉中市“互联网+”精准扶贫信息系统为全市67.1万贫困人口逐一建立专属云数据档案,通过117项指标,36 种分析,引入人工智能,行业部门数据纵向比对,给贫困人口精准画“像”。以前贫困户信息错误通过国扶办定期反馈,数据更新滞后,现在实施系统开放信息报错功能,可随时进行信息比对,及时核实修改,既保证了数据信息的真实性和逻辑性,避免了信息多次重复录入的误差和低效率,也更让贫困户的状况,包括家庭成员、致贫原因、帮扶计划、帮扶措施、收入台账等信息一目了然。18. 陕西省扶贫办:《“互联网+”精准扶贫信息系统上线,大数据给贫困人口精准画“像”》, http://www.shaanxitoday.com/,最后访问日期:2022年11 月12 日。
3.数据具有生产要素价值
在2020年4 月9 日的中央第一份关于要素市场化配置的文件《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》中,数据就已经作为一种新型“生产要素”被写入文件中,与土地、劳动力、资本、技术等传统要素并列。生产要素会随着经济社会的发展而不断演进,因而生产要素本身是一个历史范畴。在不同的经济形态下,它有着不同的构成和不同的运作机理,而新生产要素的产生会驱动人类社会迈向更高的发展阶段。在数字时代,人类掌握数据、处理数据的能力有了质的飞跃,数据才成了生产要素。物质资料生产是一个社会赖以存在和发展的基础,进行物质资料生产的一个基本前提就是必须具备一定有形或无形的投入,而这些投入就是生产要素。判断一项事物是否属于生产要素,主要标准是其是否为物质生产所必需。19. 于刃刚、戴宏伟:《生产要素论》,中国物价出版社1999年,第1-3 页。随着数字时代的到来,数字技术被应用到社会生活的方方面面,各类数据在生产经营活动中的作用日益凸显。数据作为生产要素的价值主要在于使用数据驱动的决策替代了经验决策,基于“数据+算法”对物理世界进行描述、原因分析、结果预测以及科学决策。数据要素能够使单一要素的价值倍增,提高了劳动、资本、技术、土地这些传统要素之间的资源配置效率,同时还可以激活其他要素,提高产品、商业模式的创新能力,以及个体和组织的创新活力,从而重新构建了一种人类对客观世界理解、分析、预测和掌控的新模式。根据腾讯研究院的统计数据,从总量来看,中国数字经济产业增加值在2005-2020年间实现高速增长。从2005年的10490.1亿元(或2006年的11066.1 亿元)增长到2020年的79246.9-85755.9 亿元,复合年均增长率为15.0%-15.1%,占GDP 的比重从5.0%-5.6%提高到7.8%-8.4%。20. 腾讯研究院:《数字经济产业的规模、增长与结构:基于2005-2020年数据的实证分析》,2021年7 月。
首先,数据是客观存在的具体事物。虽然从人们的普遍认识来看,数据是一种以比特形式所呈现的二进制代码,存在于互联网等信息系统中,往往被贴上“虚拟”的标签,“数字世界”与“现实世界”相对,也被称为“虚拟世界”。但随着数字技术的发展、普及,以及人们对其越来越深刻的认识,数据同样被认为是一种客观存在的具体事物,它与传统观念中的“物”的主要区别在于数据具有浓厚的无形物的属性。无形可以是客观存在的物质,可以是意识层面的非物质,也可以是以能量等形式存在的概念或意识形态等。而数据不是仅存在人们脑海中的概念、观念、意识形态等想象出来的事物,而是借助符号构建的对人的认识进行的客观记录,是经过电子化设备采集、处理而形成的可被感知和传播的一种客观存在物。虽然数据不能被人直接所感知,其存在和应用必须依赖于特定的技术设备,但这并不能成为否认此种可被机读的电子化记录具有现实性的依据,更加不会影响到数据本身的客观属性。数据虽然是无形的,但却是物理上的客观存在。21. 纪海龙:《数据的私法定位与保护》,载《法学研究》2018年第3 期,第72-91 页。
其次,数据的产生不是自然而生,而是依赖于特定主体的投入所产生。一方面,在数据基本处理流程的采集、存储、分析和结果输出等各环节,数据均与人类社会产生关联。数据内容或直接来源于特定主体,或其应用是为满足特定主体的需求,同时数据的采集、传输和处理需要耗费大量的财力、物力和人力的投入。无论从数据的处理流程还是数据本身的内容来看,它都是人类活动的产物,是因特定主体的投入而产生。另一方面,数据与人类社会的关联最终会追溯到特定的主体。虽然现代化的计算机系统十分复杂,其中存储和运行的各类数据种类庞杂、体量巨大,若要依靠人工操作追溯数据来源则十分困难,操作成本也十分高昂。然而,随着计算机系统数据自动化处理发展越来越成熟,对数据的精准识别和分析也被越来越广泛地应用。从法律层面而言,这就意味着数据不再当然地归属于相关系统的拥有者或操作者,因不同的来源方式和贡献程度大小,数据会归属于不同主体,因而对应产生更加细致的数据权益主体和数据权益内容。
再次,数据的应用可以带来利益以及利益的分配,并引发相应的权利义务关系。有学者认为,在数据时代,数据与经济活动有关系,数据活动会带来一定的经济价值,但这是因为数据具有工具性和非独立性,而非数据本身就是财产价值之源,数据依赖于一个庞大的工具和行为系统才能产生经济价值,甚至数据在其中并不是决定性的因素。22. 梅夏英:《数据的法律属性及其民法定位》,载《中国社会科学》2016年第9 期,第164-183+209 页。但不可否认的是,随着互联网技术和数字技术的广泛应用和数字经济的快速发展,社会主体的专属信息均以数据的形式所呈现和传播。人们依靠搜索引擎和评价数据节约搜寻成本,有效选择心仪的产品与服务;企业依靠数据分析消费者画像,识别市场需求,从而辅助销售和预测客户行为;政府依靠社会主体的个人数据应用到不同场景,提升社会治理体系与能力。数据产品和数据服务虽然存在于虚拟网络中,但体现在社会现实生活的方方面面,数据的商业价值和社会价值越来越大,其具有经济利益是不争的事实。
有利益必有归属,有权利必有保护。数据的经济利益属性必然产生新的利益主体和利益分配需求,由此引发相应的权利义务关系。数据本身不是法律意义上的客体,但是数据活动产生的经济利益使其具有了客体性,成为了数据权益的客体,并且归属于特定主体。
首先,数据不属于法律规定的不可以流转和交易的对象。数据不仅可以实现物理层面的高效流转,还具有法律层面流转的合理性。并非所有具有经济价值的对象都可以成为合法流转和交易的对象,法律对许多对象设置了限制或禁止性规定。从现有法律法规来看,数据并非被限制或禁止流转交易的对象。法律禁止流转的“敏感信息”或受保护的“秘密信息”本身不应该被介入数字环境中,数据采集、存储和分析也不会刻意去追求“敏感信息”,因而也不会因为数据所承载的信息内容可能存有法律风险而影响到数据作为整体成为流转对象的合法性。
其次,数据作为可流转的对象,具有明确的归属主体,并且可以进行明确地分割。法律所要求的物之流转需要有明确的主体、客体和权利义务关系。而数据的权益归属和利益分配问题十分复杂,主要原因在于如何权衡数据权益归属主体的私人利益和社会公共利益、如何在保护特定主体的数据权益同时又满足公众对知识共享的需求、如何实现数据保护与数据流动之间的平衡这一系列的难题。但从数据本身的可流转性和可交易性而言,数据权益的归属主体和与之交易的对象都是明确的,他们之间的权利义务关系也可以通过合同方式加以明确。知识共享、公共利益等语境下的数据权益归属难题不是影响数据流转操作层面的决定因素。
再次,现有的数据交易实践可以为数据流转提供参考。虽然有关数据流转和交易的规范性文件较为缺乏,但我国已在数据交易行为和立法方面展开实践探索。在数据交易行为实践方面,贵阳大数据交易所、武汉东湖大数据交易中心、上海数据交易中心,重庆、杭州、哈尔滨等地各类大数据交易机构不断涌现,为数据交易实践先行探路。在数据立法实践方面,中关村大数据交易平台发布的《中关村数海大数据交易平台规则》作为我国首个数据行业规范,从保护交易当事人的合法权益和公众利益出发,从交易平台、交易主体、交易对象三个方面规范交易市场行为,并对在线数据交易、离线数据交易、托管数据交易等三种数据交易模式进行了规范。23. 参见《中关村数海大数据交易平台规则》。
数字技术的广泛应用和数字产业的快速发展衍生出数据主体、数据处理者、数据控制者和数据利用者等新的利益主体。在数字产业的利益驱动下,不同利益主体会提出对数据权益保护的新诉求。数据来源的不同和应用场景的不同会产生不同类型的数据,其法律属性、保护规则和基础理念也会存在巨大差异。厘清数据是一种权利还是一种利益,关乎数据的法律性质界定和保护规则的建构。
人类在一定的社会生活中,因生存、生活资源的供给与消耗而产生各自需求,就有限的资源难免出现利益的冲突。为维护社会生活之秩序,须定其分际。冲突利益满足权利构成要素的,则可受到该层级的法律保护。法律根据重要程度、供给关系与分布情况等给予资源以不同程度的保护。在资源本位理论下,受有法律之完整保护的为权利资源,受到相对薄弱之保护的为法益资源,不受法律保护放任存在的为自由资源。24. 曾世雄:《民法总则之现在与未来》,中国政法大学出版社2001年版,第50-52 页。法律保护源自法律实力,根据利益之合理正当性,法律乃于一定要件下赋予个人某种力量,以保其享有利益。此为权利法力说之要义,即权利为得享有特定利益的法律之力。25. 王泽鉴:《民法总则》,北京大学出版社2009年版,第67-69 页。是故资源掌控受到干扰时,未必均以法律实力贯彻到位,唯法力担保其实现者,方为权利。申言之,权利之内涵至少包括两层内容——特定利益之享有及以法律实力担保其实现。当两层内容并不同时具备时,则权利内涵结构不完整,难以落入权利之范畴。针对法律未予力量担保其实现的特定利益,虽不可以权利视之,但仍可受到法律保护。法律对利益的保护除赋予权利的方式之外,还可以通过客观法规范的力量得以实现,例如通过保护某种权利而反射性地保护另外一种尚未上升为权利的利益,又或通过限制个人能力来实现保护个人利益之作用,此为法律以规范客观法秩序为目的并产生客观作用的反射效力。26. 王利明:《民法总则研究》,中国人民大学出版社2018年版,第397 页。
根据以上权利和利益的内涵区分,传统民法将利益分为三类:其一为未受法律保护的一般性利益,例如纯粹经济上的损失,非因加害人故意以有悖于善良风俗之方法致受损害的,故而不受法律的保护,不在赔偿之列。27. 于飞:《侵权法中权利与利益的区分方法》,载《法学研究》2011年第4 期,第104-119 页。其二为受法律保护但实在法上未作规定的利益(有学者称之为“新型权利”28. 李晓宇:《权利与利益区分视点下数据权益的类型化保护》,载《知识产权》2019年第3 期,第50-63 页。),通常由法院在司法实践中通过判例予以认可。并非所有受法律保护的利益都可以构成权利,基于权利的利益论,判断具体利益诉求是否构成权利的标准是“利益的相对重要性”,该利益判准经由个案利益衡量而具体化,被保护的利益只有比因此而受到限制的其他利益更重要时,才能构成权利。29. 于柏华:《权利认定的利益判准》,载《法学家》2017年第6 期,第1-14 页。其三为法定化的权利,即受制定法的命名且经过历史检验的法定权利。30. 张力:《权利、法益区分保护及其在民法总则中的体现——评<民法总则(草案)第五章》,载《河南社会科学》2016年第11 期,第1-12 页。概言之,权利的本质是利益,权利乃受法律实力担保其实现的利益,但并非所有利益都是权利,利益构成权利必须满足一定的判定标准。
对数据相关权益给予法律确认,有利于保护相关利益主体免受非法侵害,为各数据主体提供合理预期,从而彰显法律的预判性和救济性功能,为数据的安全有序流动提供法律依据。然而,在数据视阈下未作权利和利益的细分,将所有与数据有关的利益都赋予权利资格,会使数据权利泛化的缺陷凸显。不合理的数据权利泛化配置不仅会提高司法成本和司法操作难度,还会增加企业与个人之间以及企业与企业之间围绕数据利益引发冲突的概率。数据权益是一项复杂的复合型权利束,由不同的权利集合而成,其法益兼具财产性利益和人格性利益。数据相关利益主体涉及个人、企业、其他组织和国家,不同类型的数据承载着不同主体的权益主张,不同利益主体对数据权益的享有范畴存有差异。因此,对数据权益应当根据权利和利益的区分实施类型化区分保护。
针对个人数据,将“可识别性”作为主要的构成要件,是目前国际上的普遍做法,即其本身能够识别出或者结合其他数据可以识别出特定自然人的数据为个人数据。根据我国《网络安全法》第七十六条第(五)款的规定,个人数据包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。《欧盟通用数据保护条例(GDPR)》第4 条将个人数据定义为已识别到的或可被识别的自然人(“数据主体”)的所有信息,包括自然人的姓名、身份证号码、定位数据、在线身份、自然人的物理、生理、遗传、心理、经济、文化或社会身份的一项或多项要素等。从法律属性来看,个人数据具备人格性属性和财产性属性。一方面,单个的个人数据与人格尊严紧密相关,财产性价值较弱,呈现出强人格权弱财产权的属性,传统民法从法定化权利,尤其是隐私权为切入,衍生出个人数据权益的人格权保护路径。另一方面,当海量的个人数据被聚合,并成为数据分析的原料时,个人数据的财产性价值要远大于单个数据的财产价值,此时可从受法律保护的利益的角度,给予个人数据中的财产性利益以法律保护,保护对象是尚未被法律规定为权利,但被司法实践认可应当被保护的利益。
针对企业数据,从现行立法来看,并没有专门针对企业数据权利的立法规定,也不存在明确的法律定义。有学者以洛克的劳动财产理论和边沁的功利主义理论为分析工具,得出企业数据的构成要件包括“企业的实质性投资”和“企业数据的经济价值”,这是所有类型企业数据的基本构成要件。31. 李扬、李晓宇:《大数据时代企业数据边界的界定与澄清——兼谈不同类型数据之间的分野与勾连》,载《福建论坛·人文社会科学版》2019年第11 期,第35-45 页。进一步而言,对于符合“法定化权利”构成要件的企业数据,则可以成为既有法定权利的客体,符合知识产权客体的企业数据,可采用相应的法定化权利的保护路径。例如:对公共数据信息进行整理收集,进行具有独创性的选择或者编排,将公共数据信息加以汇编做成信息数据库,该数据库拥有自身特点、符合汇编作品特性,可以受到著作权法保护;针对不符合独创性标准,但是具备商业秘密的秘密性、实用性和措施管理性要素,满足“不为公众所知悉”“具有商业价值”“采取相应保密措施”的数据或数据集合,则可以作为商业秘密获得保护。对于无法纳入既有法定权利范畴的企业数据,可以从受法律保护之利益的角度,即新型权利的视角评价企业数据权益是否为受法律保护的利益。
针对公共数据,其本身是一种具有非竞争性、非排他性和社会属性的公共产品,公共数据与公共利益相联系,这不仅意味着我们每个主体都可以自由合理地使用公共数据,还表示着公共数据作为非竞争性消费财产,每一个主体对其进行使用都不会减少其他主体使用数据的数量。因此为防止公共数据被人为垄断,不宜采取财产权益保护的路径,而应当采用政府管理化路径予以保护和管理。
数据具有多元属性、复用性和瞬时性等特征,使得数据权益主体、数据的采集、生产、使用以及增益方式与土地、资本、劳动力等工业时代的市场要素有着明显不同。数据的来源、主体、特征、内容、敏感程度等因素的不同会导致数据的法律性质不同,进一步地造成数据在构成要件、权益内容、保护理念和保护程度的差异。对数据的法律性质不能进行一刀切的处理,应当进行细致区分,将个人数据、企业数据以及公共数据根据数据类型、应用场景的不同进行数据权利和数据利益的类型化区分,进而根据权利和利益的不同路径界定受保护内容的范围和保护限度。