文/戴昕
(作者系北京大学法学院副教授;摘自《中外法学》2021年第6期)
近年来,论者常将“数据权属不清”称为数字经济持续发展面临的最大障碍。这种思路预设了以所有权为原型确认数据财产权的经济必要性。然而数据的价值以大规模聚合为前提,其利用则具有非对立性,这意味着科斯寓言中农民和牧民在地上“修篱笆划界”的意象,并不适用于理解数据的生产效率与配置效率如何实现。鉴于企业通过平台架构控制数据获取和流动的现实,创制或确认财产权的法律方案与促进数据流动、共享、开放的目标之间,即使不是南辕北辙,也相隔遥远。
本文认为,数据法应超越传统的财产权属思维,以开放利用的价值逻辑为基础,用“搭积木”而非“套模具”的方式,在主体间利益互动关系层面进行具体界权,逐步建成容纳多维度、多层次规范的领域规则网络。此即所谓数据界权的“关系进路”。在进入比特世界后,法律人应更加自觉、明确地采用关系而非实体性的方式去理解法律中的各类“权利”“义务”概念。建构性的法律界权则不应被既有概念形式体系过度束缚。不能指望任何“体系化”“一揽子”的界权方案可以毕其功于一役。当前决策者需要就数据权益提供权宜性的法律安排,并保持对规则变化的开放心态,注重对有效机制设计作逐步积累。
不少学者都曾提出,法律与其只在出现损失时追究赔偿责任,不如赋予用户对个人信息的财产权,使用户和处理者在交易成本较低的网络环境中自愿交易,既实现个人信息经济价值,又使价值分配更有利于用户。但当互联网进入平台企业主导的格局后,用户与企业间存在明显信息不对称,有限理性对用户决策的负面影响则被进一步放大,这导致了自愿交易无法克服的市场失灵,也使个人信息保护的理论和实践全面转向规制范式。但在信息隐私担忧之外,数字经济发展一直以来面临的更深刻质疑,在于新的技术和商业模式是否真能为社会带来其所承诺的价值愿景。目前看来,数据经济价值实现的最大挑战,莫过于各类数据控制者与利用者能否形成开放性的合作网络。
数据常被比作石油,但石油可细切单位计价,而数据价值却以大规模汇聚为基本前提,且在算力不断提高、算法不断改进的前提下,数据规模的边际收益还可能递增。不仅如此,石油作为资源,其利用有对立性,但数据则完全不同。一人以某种方式对特定数据的使用,并不影响他人使用相同数据的价值。甚至,在相同数据上进行多主体、多层次、多元化开发,是数据价值实现的基本逻辑。
以保护排他诉求为基本功能的传统财产权体制,与数据的规模价值和非对立性之间存在深刻张力。最基本且看来最正当合理的排他主张来自个人,但赋予并保护用户对个人信息的产权控制,不足以使企业内化信息处理活动的负外部性。与个人相比,企业有更强的确认排他甚至独占性数据财产权的诉求,其依据是洛克以降证成私人产权时常用的为要素投入提供激励的逻辑。但从趋势上看,物联网和云服务的普及不断降低着企业在数据收集和存储方面需要投入的固定成本和可变成本。对于难以通过消费互联网等廉价数据源收集到的高价值生产力数据,因其往往是企业核心运营活动的副产品,所以需要的额外生产激励往往也有限。更重要的是,以大型平台企业为代表的数据处理者,之所以要投资于数据资源的形成和积累,并不为倒卖数据赚取中间差价,而是要通过处理数据生产基于算法的预测力。这种预测力服务于平台企业对接入其架构的资源、交易活动和交易主体形成越来越强的控制。这至少可部分解释为什么在一直没有明确法定财产权的情况下,企业毫不缺乏动力,源源不断地投入可控数据资源的生产。因此,以财产权为原型寻求建构数据权利,并非数据价值获得有效生产和充分开发的必要前提,也不足以应对数据处理产生的负外部性问题和结构性不平等问题。
在《社会成本问题》一文中,科斯提出的最有启发性的洞见是“损害相互性”。科斯所谓“界权”,不是判定谁对谁错,而只是“定分”,即就主体之间的利益冲突给个说法;允许交易的情况下,这种“说法”直接对应何种权益配置不重要,重要的是界权存在且足够清楚,以为此后基于交易的重新配置提供起点。由于创造价值的数据处理活动不以对数据排他所有为前提,数据资源获得有效配置、充分利用不必回答“谁拥有数据”的大问题,但需要在不同场景下为数据处理者和控制者就数据获取(access)行为提供具体界权方案。具体界权问题的答案,都无法从对财产权的笼统确认逻辑推演得出。数据权利说到底还是要在类似“权利束”的框架中,结合围绕数据开发利用产生的互动关系,累积界权规则,“一根一根”增减,以求务实,也更加灵活。
作为一种批判理论,霍菲尔德框架早先被用于对“财产”等法律权利概念作解析乃至解构。霍菲尔德不认为法律概念对应任何“超验”实在;法律中的大量权利、义务、责任等概念,都不对应各自独立的“客观事物”,必须被置于法律在人与人之间设定的关系,即霍菲尔德所谓“法律关系”(jural relations)之中才能作有效理解。
在此基础上,霍菲尔德搭建了以八个概念、四对关系为核心内容的那个著名框架,其中人与人之间可在法律上存在的二元(dyadic)关系有四种:
①“请求权”(claim)—“义务”(duty);
②“自由”(privilege)—“无请求权”(noright);
③“权力”(power)—“负担”(liability);
④“豁免”(immunity)—“无能力”(disability)。
上述概念框架中,八个概念是自成一体的最小概念,且必须在两方主体的法律关系中相互定义。霍菲尔德框架中的四对关系并不直接对应法律规范通常呈现出的形式,而是用于分析理解法律规定实质内容的“最小公约数”。这一框架具有“创生性”,可帮助法律人反向搭建更为灵活、丰富的法律规则。数据的持有、控制和处理,在不同主体间对应的关系形态及其组合多样、多变,不能指望借任何有形载体或“本质属性”实现一般性明确。霍菲尔德框架有助于我们下沉到更具体的关系层面理解数据法需要完成的界权工作。
个人信息保护制度的基础规范是处理个人信息原则上以“告知同意”为前提。但个人与信息处理者之间围绕是否同意而可能产生的相互影响关系,是可以也需要作具体界权的。借助霍菲尔德框架,可以更清楚地看到成文法规则在何处留出了仍待填补的界权空间。例如,个人信息保护法》第13条提供了信息处理者不需取得同意即可处理个人信息的例外情形。但基于霍菲尔德框架,不同例外情形中,信息处理者享有的权益恐怕要有所区别。例如,为公共利益实施新闻报道、舆论监督而“在合理的范围内”处理个人信息时,处理者针对个人或许只有收集信息的自由,而未必有要求对方采取配合行为的请求权;但若为应对突发公共卫生事件,则处理者享有的应是要求个人配合提供真实信息的请求权。
尽管霍菲尔德生前文论以讨论私法问题为主,但其理论抱负实为用统一的法律关系概念打通公私部门。数据领域公私法规范交织、制度机制整合既是现状,也是趋势。个人信息保护制度设定的是由私主体间及公私主体间霍菲尔德法律关系构成的法律关系网络,其中同时包含在关系意义上相互界定的私人权益、私人负担、国家权益和国家负担。而基于这种视角,公共机关对个人信息保护的介入虽然直观上是范式变革性的,但落到实处也仍是边际性的。
互联网平台企业在发展早期便清晰意识到数据要素化的有利前景,呼吁法律对企业持有数据确认财产权。官方也强调要“加快建立数据资源产权”等基础性制度。而从数字经济现状出发,关系界权的进路有助于让我们更为聚焦地思考“权属不明”所指为何。企业数据权界定并不在“科斯世界”中发生,而要以企业控制并持续积累有价值数据资源的现实作为起点。企业数据界权,要回答的问题其实是法律还应为企业对数据获取的实际控制建构何种额外法律关系。数字经济中,一个企业客观上控制特定数据资源,可以但不必然要求其与其他主体间存在财产权通常对应的一系列法律关系,例如持有企业享有要求其他企业非经授权不得获取的请求权。法律是否应当建立此类或其他法律关系,需要考虑如此界权是否符合数据价值逻辑和分配公正的要求。
若论者有关数据流转的想象以“中间商赚差价”为原型,即企业处理原始数据形成大数据集,将其通过打包分发或授权访问等方式提供给用户,则企业收回成本甚至营利的预期确实与其对大数据集获取的控制有无财产权保护紧密挂钩。但即便承认此种数据中介活动的社会价值,赋予其排除第三方传播的请求权,仍可能导致中介市场缺乏竞争、数据后续利用成本过高等问题。
确实,若法律不能界定持有企业与获取企业之间的“权力—负担”关系,令前者有权力设置后者与前者之间有关数据获取和使用的“自由—无请求权”,则获取企业会缺乏动力寻求与持有企业交易。但在此之外,更强的财产权益,未必为交易发生所必要,主要影响交易价格——或持有企业在数据流转增值中分配到的份额。
此外,我国法院对企业持有用户个人数据的基本界权安排被描述为“三重授权”:最初收集用户数据的企业需要先获用户授权,而后续企业为获取上述数据,既要得到当前控制数据的企业授权,还要再次获得用户授权。与初始收集授权相比,在数据持续流动的过程中,用户为有效完成每一次后续授权付出的边际认知成本只会不断攀升。因此,“三重授权”为个体设定的请求权,其保护个体利益的效果恐怕有限。现实中,“三重授权”更常被适用于获取企业无法得到持有企业授权一类纠纷。持有企业意识到“企业授权不足”之说未必足够有力,便搬出“用户授权不足”以额外支持其恢复数据控制。由此可见,“三重授权”的界权方案不但未必加强个人信息保护,也难以促进数据流动。另一种制度思路是当前流行的“可携权”。可携权看似是为用户赋权,但当持有企业意识到自身针对用户的负担加重时,其寻求与获取企业达成合作性数据共享安排的意愿也会越强。而企业间更多以合作形式处理数据,可能意味着用户个体对其数据的事实控制能力反而下降;但基于服务改善,用户可以部分分享合作数据开发带来的新增价值。
自政务信息化改革以来,公共数据规模日渐庞大,一个看上去更有希望坚持开放性的数据资源池呼之欲出。公共数据体制应致力于建设、维护并扩大这一公共数据资源池,而政府对公共数字基础设施建设和运营的持续投入则是实现这一目标的基本前提。国家和地方立法都在为此提供规范依据。明确公共数据权属,同样被视为开放的前提,因此颇受关注。但无论国有还是基于信托的产权方案,都有局限性。即使公共数据明确国有,其价值生产各环节仍有私人参与,相关法律关系还是要包含为私人设定法律权益的内容。这一层面如何具体界权,仅凭“国有”二字无法回答。甚至,在政务数据共享和开放仍存阻力的局面下,公共数据宣示为“国有资产”,还有被部门利益劫持以反对共享和开放之忧。
当前西方学界提出了基于公共信托(public trust)规则建构数据资源公共权属的方案。数据公共信托的设想是将数字经济各角落产生的个人数据都在法律层面归到公共信托之下,从而使其处理受控于作为受托人的国家设定的各类消极和积极用途要求。公共数据信托在理念上符合数据资源公共化的追求,但公共信托在中国语境里是陌生的概念,其要害不在于是否确认国家所有者地位,而在于公共部门应被设定何种权益和责任,以维护并推进数据利用公共性。
公共数据不是国有土地,不能用“出让变现”“回收资金”的狭隘思路理解数据资源的价值所在。政府建设数字基础设施、开发公共数据资源,首要追求是提高治理效能和公共服务效率。实践中,政府主导的数字基建和政务电子化工程,在建设和运营阶段通常引入企业参与。政府可采用定向或有条件开放模式,允许合作企业接入获取公共数据,以此作为后者投入资金和技术的部分对价。公共数据资源在政务场景外没能更广泛地被市场和社会主体获取并利用。数据安全之外,公共数据开放的关键考量是开放对价是否符合分配正义要求:公共数据获得私人利用越多,产生社会价值总量越大,但新增价值在私人主体和社会公众之间如何分配,是公共数据体制必须思考的问题。“免费”开放作为原则是合理的,因为“收费”并非实现数据公共价值的最佳机制。不应狭隘地将“公共数据开放”想象为仅有公共数据被私人主体获取的单向流动。近年来,欧美一些城市尝试要求获得授权参与城市交通系统运营的服务商将运营产生的用户数据提供给公共数据平台。以相关经验为参照,公共数据开放未来完全可以探索在“不收取费用”的前提下,以企业向公共数据资源池回传自身运营数据,作为其获取公共数据的对价或“开放条件”。与当前较常见的有条件开放模式相比,以“数据换数据”为核心交易条件的公共数据开放,也有利于简化有关开放条件的界权。公共机关借助企业运营数据回流的要求,既可提高实际安全监管和追责能力,还可借此推动数据标准化,并实现公共数据资源池不断扩大这一基础性公共利益。相比于受困垄断与定价难题的私人数据市场,公共数据体制借此可能形成流动性优势,或至少提供一种额外的数据流动渠道,以“增量”撬动“存量”。