许 可
(对外经济贸易大学 法学院,北京 100029)
2020年以来,《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》《关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》相继出台,“数据交易流通与开发利用”已成为我国激活数据要素潜能,推动数字经济、数字社会和数字政府发展,驱动生产方式、生活方式和治理方式变革的关键力量。《数据安全法》亦将“建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”作为重要的立法任务。数据交易流通的蓝图已经绘制,但困难在于如何落实?为此,本文首先梳理数据交易流通的概念与类型,进而诊断其窒碍难行的症结,最后提出“技术、标准、法律”三位一体的治理体系,以期为我国数据交易流通奠定制度之基。
“数据交易流通”迄今无明确含义。从正面观察,本文将其界定为“双方或多方之间对数据控制权的自愿转移与分享”。这里的“控制权”,即自主决定数据处理目的和方式的权利。据此,数据交易流通可分为“数据转让”(data transfer)和“数据分享”(data sharing)。其中,“数据转让”意指一方将数据控制权转移给另一方享有,而自身丧失控制权。“数据分享”意指一方将数据提供给另一方,最终形成对数据的联合控制或彼此独立控制。数据“联合控制”可称为“数据共享”,即各方共同决定数据处理的目的和方式,各方对外承担连带责任或按份责任,对内承担约定责任。数据“独立控制”可称为“数据再利用(data reuse)”,即一方在另一方授权的范围内处理数据,各方各自承担数据利用引发的风险与责任。从反面观察,“数据交易流通”首先排除了“数据爬取”,即在缺乏一方同意的情形下,单方面访问、处理他方的数据。其次,它排除了“数据公开”,即权利人抛弃数据控制权,使数据处于可公开处理的公共领域。最后,“数据交易流通”也不包括“数据委托处理”,即一方委托另一方按照约定的目的、方式处理数据。在该场景下,受托方不得超出约定来处理数据,在合同履行完毕或委托关系解除后,数据应返还或删除,因而并不享有数据控制权。
在上述数据交易流通的类型中,“数据转让”远不如“数据分享”有意义。一方面,与有体物不同,数据价值在于数据的多次利用,其有限排他性或弱竞争性使一方对数据的利用不会当然剥夺他方利用的权利。从最大化数据价值的角度出发,原权利人一般不会放弃数据控制权。另一方面,数据是典型的时效品,老数据不如新数据值钱,而且随着时间推移,前者越来越没有价值。经济学研究者已证明,相比于新数据,过往数据集在训练算法、改善服务与提升安全方面的效果显著下降[1]。因此,大数据与其说是“大”的数据,不如说是实时在线的“活”的数据,只有可信的数据信任源不断运行,才能避免数据的静态化和僵尸化。因而,与一次性数据转让不同,数据流通更加依赖于各方长期的数据共享。实践中,数据分享主要表现为三种法律形式:
首先是一对一或一对多的“数据共有”,即一方将部分数据控制权让与他方,由此形成对数据的共同控制。这里,“共同控制”可表现为多个主体共同参与关于数据处理的目的和方式的决定,其既可体现为“共同作出决定”(common decision),也可体现为“合并作出决定”(converging decision)。前者强调各方通过一致决或多数决的形式一起决定,后者强调任何一方的决定均不可分离,须相互补充且对数据处理的目的和方式产生实际性影响[2]。举例而言,X公司为帮助Y公司招聘员工,需要在Y公司直接收到的简历和自身简历数据库中寻找合适的候选人。尽管他们并未一起决定,但X公司和Y公司为了同一个目的,共同参与数据处理,每一个决定均不可或缺且相辅相成,由此构成了共同控制。为划定权利义务,各方可拟定数据分管协议,就数据处理的目的、方式、收益、处分达成一致。该数据分管协议对第三人一般不生效力,但在第三人知情或完成公示后可产生对第三人之效力[3]。
其次是一对一的数据“单方许可”(data license),即一方通过开放应用端口(open API)界面接口与特定第三方共享数据[4]。发源于不动产使用的许可制度,其在知识产权中获得广泛运用。而在数据领域,不论是美国《统一计算机信息交易法》(UICTA)下的“计算机信息交易合同”,还是欧盟《关于提供数字内容和数字服务的合同部分问题的指令》中的“提供数字内容合同”,其本质上皆是对于数据的许可使用,即数据许可人对其控制数据的有限授权使用[5]。从许可的内容观察,数据许可因关涉数据的范围、使用的场景与方式、时间期限以及能否再许可而有所不同;从许可的对象观察,可分为“一对一”和“一对众”许可[6]。后者系数据许可人通过标准化格式合同向多方提供数据,其实质仍然是一对一的数据许可,只是在形式上表现为众多许可合同的集合而已。
最后是多对多的数据“交叉许可”(data Cross-licensing),即各方加入相对封闭的数据平台(Data Platform),遵循一致的交换规则共享彼此数据。德国国际数据空间(International Data Spaces,IDS)便是其典型。作为一个P2P生态网络,IDS建构了安全可靠多边平台(MSP),由不同利益相关者共同参与,组织并维护其中心的数据共享架构[7]。
表1 数据交易流通体系
表1显示了数据交易流通的概念体系。以此观之,我国的数据交易流通制度亟待跳出有体物的想象,立足于数据特性,以“数据分享”,而非“数据买卖”为流通形式,并在此基础上推动“一对一”的“数据共享”向“多对多”的“数据再利用”转变,以化解数据需求恰好匹配的“需求双重一致性”(double coincidence of wants)难题,从而提升数据利用的规模效益。
尽管数据交易流通已成为政府与企业的共同目标,但理想和现实之间,依然存在难以逾越的鸿沟。本文以欧盟[8]74、日本[9]3和中国[10]的数据研究为基础,展现当前数据交易流通面临的技术、标准、法律三方面困境。
数据安全是数据交易流通首要的问题。《欧盟企业间数据共享报告》表明,73%的受访者认为技术问题是数据交易流通的主要障碍。这是因为,数据提供者对其他企业的技术处理方案并不信任。日本《AI和数据利用相关合同指南》亦指出:数据特性决定了其传播利用存在风险,如果没有适当的技术保障,数据很可能泄露或滥用。在中国350家金融企业中,88.9%的机构表达数据安全防护技术能较大提升数据交易流通的意愿,但由于资源投入不足、新技术应用不成熟等原因,多方安全计算、联邦学习等技术在调研机构中应用率低于25%。同时,数据质量是数据交易流通的重要关注问题。Enedis公司的报告说明,数据颗粒度往往不能满足数据用户的需求,因为用户多要求更精细的数据。
此外,基础设施和技术能力的缺乏是数据共享的又一窒碍。安全高效的传输、存储设施是数据共享的硬件要求,而在企业必须提前为此支付成本,可又无法快速获得经济回报的情况下,企业共享数据的意愿显著降低[11]。同时,不同企业之间技术互操作性不足、架构不统一、数据高度复杂等问题,不但给各方的专业能力提出了较高要求,也增加了数据交易流通的成本。既有成功经验亦从反面证明了这一点,例如,云平台服务达成企业节约费用(按使用付费)和数据安全的双重目标,从而推动了数据交易流通。
数据的非电子形式及其电子格式不一致是阻碍数据交易流通的典型困境[12]。由于不同企业的数据集和信息系统间缺乏可识别性和兼容性,事后对数据的编码、清洗和逻辑排序令企业难以聚合数据和提取价值[13]。在中国350家金融企业中,33.3%的机构表示没有普遍适用的数据交换标准和数据格式规范,是影响数据共享的重要原因。调研表明,如果缺乏明确、可执行的数据获取和共享的标准,仅仅依靠私营部门驱动数据交易流通事倍功半。正如高速公路、铁路等基础设施是私营物流公司顺利运作的必要条件一样,要实现大规模数据流通,标准化的基础设施不可或缺[14]。
1.数据权属不明
在欧洲,54%的受访者认为数据权属的不确定性是数据共享的主要阻力。在中国,81.5%的机构亦持类似观点,这验证了科斯“清楚产权的界定是市场交易前提”的论断。与有体物不同,数据的可复制性使其难以通过传统物权法保护。我国《民法典》第127条首次将数据纳入其中,但并未解答数据是权利还是法益,是物权性权利还是一种特别权利,数据权属依然悬而未决。正如经济学家阿尔钦所言:“所有定价问题都是产权问题。”数据权属模糊使得数据资产价格难以确定,而只能在个案中对数据综合判断后作出个性化定价。
界权并非只能通过立法,诉诸社会规范、商业惯例与合同约定的权利定分,亦是数据界权的可能方式[15]。然而,这种柔性的确权进路在数据交易流通中困难重重。其一,数据交易流通的非标准化,使得合同的撰写、谈判和签署过程繁琐。不仅如此,由于相关合同需要约定的细节日益复杂精密,即使花费了人力物力,企业也无法知悉最终是否采用了合适的数据合同,以及能否达成符合其预期的数据流通利用商业关系。其二,数据交易流通合同无法约束第三人的行为。根据合同相对性原则,当事人不能针对第三人主张合同权利,这意味着若数据泄露给第三方,数据提供者或接受者难以获得合同保障,这削弱了数据流通的动力。另一方面,在缺乏法定权利的情况下,数据权益由对数据事实排他控制的主体享有。在静态使用的情景下,数据持有者可利用技术保护措施确保数据使用权,而在数据交易流通的场景下,数据不可避免地从他们的控制中脱离,理性的数据控制者自然不愿提供数据。其三,数据交易流通合同是“不完全合同”(incomplete contract)。因数据缺乏既定法律保护,各方不得不拟定包含穷尽一切可能情形的合同条款,可在当事人的有限理性和机会主义的作用下,数据合同必然是不完全的,其无法包含所有的事后事件,更不用说无法预见的事件。这将导致部分条款无法执行、无法监督或缺乏承诺手段。因此,数据合同可能被搁置。当未预见或无法承诺的损失或收益发生时,当事人将不得不重新协商。传统合同中,当出现合同漏洞时,交易标的物的所有权人承担剩余的风险。而在法律上没有界权的情形下,该解决方案显然不适用。正是预见到这一点,当事人被迫在合同监督与执行上花费更多,这在非竞争数据市场尤为突出[16]。其四,“信息悖论”在根本上限制了合同的适用空间。如诺贝尔经济学奖得主肯尼斯·阿罗在《不确定性与医疗保健经济学》所述,信息与一般商品迥然有异,它有着难以捉摸的性质,买方在购买前因为不了解该信息无法确定的价值,而买方一旦了解该信息,就可以复制,从而不会购买,故而信息是无法完全市场化的[17]。这一问题在数据合同中同样存在:接受者难以判断数据的质量和价值,提供者则对数据安全充满疑虑。如何克服信息悖论导致的“双边信任困境”,成为关系数据市场的根本问题。欧盟《关于欧洲企业间数据共享的研究》发现,数据流通的症结在于当事人的信任,若信任缺乏,数据合同将难以真正达成。
2.潜在法律责任
如果说“数据权属不清”系从积极层面入手揭示数据交易流通的掣肘,那么“潜在法律责任”则从消极层面说明其困难。对中国金融企业的调查发现,81.5%的被调研机构担忧数据交易流通中普遍的权责不对等。其可能因违反法律而滋生下述风险。
其一,数据交易流通可能与个人信息保护规范产生冲突。个人信息的处理应当遵循知情同意、目的明确和目的限制原则。这意味着当数据交易流通涉及个人信息时,其流通应当获得信息主体的同意,并且,除非用户另外授权,数据利用限制在原始数据收集的目的和用途的范围内。可以预见,信息主体往往拒绝数据流通,这一方面是出于个人隐私的保护,另一方面也是避免后续不可控风险[18]。在欧盟《一般数据条例》(GDPR)的架构下,无论数据在何人手中,用户可以更加主动地行使“被遗忘权”,令数据被“擦除”,这增加了数据交易流通的不确定性[19]。此外,为了避免损害个人信息权益,企业不得不通过数据假名化或匿名化实现数据流通。这既增加了企业额外成本,也降低了数据价值。更重要的是,由于法律标准的模糊,该处理行为是否合规依然存在争议。
其二,数据交易流通可能与数据安全保护规范产生冲突。2019年中央网信办《数据安全管理办法》(征求意见稿)第三十条规定:“第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。”由此,无论始作俑者是谁,数据提供者都须承担连带责任。出于对数据交易流通后数据安全的忧虑,数据提供者往往倾向于“数据不出域”的共享方式,这极大制约了数据流动。
其三,数据交易流通可能与市场秩序保护规范产生冲突。首先,数据交易流通或削弱有效竞争,从而违反《欧盟运作条约》(TFEU)第101条,同时经营者集中的规则也会因数据融合而触发[20];其次,数据交易流通对消费者权益的潜在损害,提升了反垄断规则适用的几率;最后,企业与用户的合同中,存在企业强迫或诱导用户与第三方共享数据的条款。依据欧盟《不公平合同条款指令》(UnfairContractTermsDirective),该条款可能被视为不公平条款而无效。2018年,意大利竞争与市场管理局以Facebook违反意大利《消费者法》第21条和22条,未告知用户其数据的商业用途、误导消费者注册以及违法向第三方提供数据为由,做出两笔共计1 000万欧元的罚款。
为实现数据交易流通的目标,亟待直面法律、标准和技术三大挑战。为此,本文尝试提出技术、标准与法律的复合机制,以建构社会利益最大化的数据交易流通生态系统。正如《数据安全法》第九条所揭示,数据交易流通有赖于政府部门、行业组织、企业共同参与的协同治理体系,这也是践行习近平总书记在2018年“全国网络安全和信息化工作会议”上提出“多方参与安全治理”的必要举措。放宽视野看,数据交易流通制度只是复杂数据治理的一环,在数据治理从私人治理面向公共治理的过程中,数据交易流通制度必然随之迈向公共化,以容纳更多元的行动主体和更多样的约束工具,从而打破私营部门和公共机构的二元对峙,在各个数据利益相关者之间建立相互依赖关系并发掘数据自身价值[21]。
尽管“技术治理”可追溯至弗朗西斯·培根的《新大西岛》和圣西门的《论实业体系》[22],但只有在信息时代,以计算机代码为代表的技术治理才真正成为国家治理的关键一环,其背后是物理世界和虚拟空间深度融合后所形成的网络社会的来临。网络空间在硬件上依托于大型服务器、存储器以及无数个人电脑而存在,在软件上则被程序、指令和数据所塑造。就此而言,技术规范确立了网络空间的基本运行规则,而其表现形式——代码则构成了社会生活的“预设环境”和“架构”,并在网络社会中发挥着真正规制者的作用[23]136-140。这是因为,网络空间的任何事件都是“0”和“1”的集合体,必须通过代码来呈现,任何行为也只有遵循相应的技术规则才有意义,否则只能沦为一团“乱码”。当然,代码不可能自在自为,其始终由开发者和编码者所创造,服从人类指令,满足人类要求。尽管如此,一旦代码设定完毕,某些具体后果却因为随机性或混沌理论而无法被我们所预测,深度学习算法便是典型例证。基于此,通过直接干预技术实现治理目标,就成为优先选择。必须指出,技术治理绝非技术主义至上的乌托邦,恰恰相反,其治理应当以公共利益和个体权利为根本目标。
数据交易流通的制度建构中,应采取技术优先的思路。这不仅因为技术治理是对数据安全和质量等技术困境的直接回应,更重要的是,数据交易流通中的法律风险同样是由数据的流动性、可复制性、弱竞争性等技术特征所引发的。从“自创生复杂理论”视角观察,风险是一种自我指涉的循环结构,这意味着技术发展内在的风险首先应由技术自身的发展化解。然则,技术如何化解?
技术治理优先思路在数据交易流通场景下主要体现为“经由设计的规制”(Design-based Regulation)及“经由设计的隐私保护”(Privacy by Design)[24],其秉承代码之法的精神,通过装置、系统、技术或服务的物理设计、技术设定、代码架构,将数据和个人信息保护嵌入系统之中,成为系统运行的默认规则,从而将“硬法”刻进系统软件之中。在计算机主宰的世界里,要违反或规避嵌入在系统代码之内的规则,比违反写在纸上的法律更加困难[25]。经由设计的规制与保护最早由加拿大安大略省前信息和隐私专员 Ann Cavoukian提出。2012年,美国在消费者隐私报告中将“经由设计的隐私保护”列为消费者隐私保护三大核心原则之一,而另外两项原则,即“简化消费者选项”(simplified consumer choice)与“强化程序透明度”(greater transparency)亦为其涵盖。欧盟GDPR第25条“经由设计和默认的数据保护”(Data protection by design and by default)进一步实现了上述理念的法律化:数据控制者在确定处理手段时以及在处理本身时,应实施适当的技术和组织措施,并且在处理中整合必要的保障措施,以保障在默认的情况下只有特定处理目的所必要的个人数据被处理,特别是确保在默认情况下,如果没有个体介入,个人数据不能为不特定的自然人访问。
“经由设计的规制与保护”以科技与法律结合为基础,为数据交易流通各方确定了一系列的技术准则[26]。其一,积极主动防御。各方不应在侵权事实发生后才进行事后救济,而要主动预见并提前阻止风险发生。这意味着各方要有前瞻性,承诺采取不低于法律规定的数据和个人信息安全保护标准,并且不断改进承诺,确保该承诺为用户和相关主体所知悉。同时,定期进行指标检查,及时发现不足并改进。其二,将数据和个人信息保护作为默认设置。由于信息不对称和企业所拥有的框架设计权力,关于个人信息收集、使用、转让、共享的条款设计一般应采取“选择同意”模式。在此情形下,即使个人没有做出任何行为,他们的个人信息依然不会受到侵害。其三,寓数据和个人信息保护于设计之中,将其作为信息技术系统、物理硬件和商业结构不可或缺的一部分,并且该部分的功能实现并不会削弱其他功能。其四,遍及全程的保护。数据和个人信息保护应在数据生命周期的全过程中加以体现,并在各个环节明确具体责任人,以确保安全标准的实施。其五,保持透明和开放。透明是建立信任的捷径。各方有关个人信息处理的政策、进程和控制方式的信息应当及时披露,并且相关信息须以通俗易懂的方式呈现。
“隐私增强技术”(Privacy Enhancing Technology),是落实“经由设计的规制与保护”理念的重要技术[27]。其凭借数据处于加密状态或者模糊状态下的计算,实现数据保护与数据价值挖掘的双重目标。按照技术原理,隐私增强技术可划分为三个流派:一是基于密码学的隐私计算技术,典型的是多方安全计算(Multi-party Computation);二是明文算法增强技术,如数据脱敏(Data Masking)、差分隐私(Differential Privacy)和联邦学习(Federated Learning);三是基于硬件的可信执行环境(Trusted Execution Environment,TEE),如ARM公司开发的TrustZone和Intel公司开发的SGX。鉴于不同技术在保密性、可控性、准确性、高效性、通用性、适用性方面均有所差异,数据交易流通的场景可综合运用以扬长避短,从而在数据保密性和不可连结性基础上,兼顾数据正确性、可用性和可介入性,助力多方数据共享融合,有效实现数据利用与数据安全双重目标。
如同其他信息技术,隐私增强技术投资大、周期长,可也具有正向网络效应、乘数效应、边际收益递增性优势。为此,激励相容的制度设计越发重要。在技术研发者层,可建立技术应用及适配验证案例库与知识库,丰富数据应用场景,提升成果转换效率;在技术使用者层,可确立统一规范的综合评价验证准则,评估技术的适配性、成熟度、投入产出比等指标,发布公信、权威的评估报告,发挥优秀隐私增强技术产品示范效应;在政府层,可完善相关技术财税扶持政策、科技投融资体系与研发投入引导机制,推动隐私增强技术发展完善。
所谓“标准”,即通过标准化活动,按照规定的程序,为各种活动或其结果提供规则、指南或特性,以及共同使用和重复使用的文件。作为以市场和社会影响为基础,约束个体认知、行为和决策的社会控制措施,标准是由多利益相关方按规定程序经协商一致制定的“软法”,“本身具有严肃的法规性和统一性,是各项经济技术活动中有关方面共同遵守的准则和依据”[28]。正因为标准要求“有关方面共同遵守”,其才对行政机关和私主体产生了事实上的拘束力[29]37-38。
对于法律而言,标准发挥着重要的支撑作用。国务院办公厅《国家标准化体系建设发展规划(2016—2020)》明确提出:“加强标准与法律法规政策措施的衔接配套,发挥标准对法律法规的技术支撑和必要补充作用。”在环境保护、医药卫生、产品质量、安全生产、食品安全、工程建设、能源等领域,法律援引标准已成为十分醒目的法律现象[30]。这是因为,标准与法律均具有“假定条件”和“行为模式”的构造,标准的具体性和更新及时性,亦有助于将抽象的法律规范转换为充满细节的技术要求和技术方案,使之成为反时回应且可操作的行为指引。在数据领域,标准治理已获得我国法律明确认可。《网络安全法》第15条、《数据安全法》第16条、《个人信息保护法(草案)》第58条,从不同维度确立了国家建立网络安全、数据安全、个人信息保护标准体系的立法目标。
对于技术而言,标准发挥着重要的“效力增强”作用。尽管标准不属于我国正式法源,不具有形式上的约束力,但由于其鲜明的行为导向功能和信号功能,它不仅能经由法院和行政机关援引产生规范效果[31],还能够构成行政机关判断事实认定构成要件的基准,从而拘束行政机关的决定[29]40,42。据此,标准一方面通过“专业性术语体系部分”统一纷繁多样的技术表达和方案,另一方面通过“含有技术要求的法律文本部分”强制或指导相关领域的产品或行为,成为参照系数,以符合社会普遍期望[32]。
在数据领域,数据安全和个人信息保护已发展出庞大的标准架构。国际上,国际电工委员会下的“大数据工作组”“人工智能分技术委员会”和“信息安全分技术委员会”以及国际电信联盟电信标准分局等已制定《大数据参考架构 第4 部分:安全与隐私保护》《大数据安全与隐私保护过程》等标准[33]。国内也逐步形成以《个人信息安全规范》为基础,以《个人信息安全影响评估指南》《个人信息去标识化指南》《政务信息共享数据安全技术要求》《数据安全能力成熟度模型》《移动智能终端个人信息保护技术要求》《网络安全等级保护安全》等标准为主干的标准体系。
作为衔接法律和技术的治理工具,标准有着公私兼容特性,即将法律要求分解成客观的、描述性和程序性要素,以便交易各方理解和遵守,又秉持技术性、透明性、可达性和相容性要求。为此,数据交易流通标准的实施可从如下两方面入手。
一方面,建构交易流通友好型的技术标准。一致性和兼容性的标准是数据交易流通的基础,一项普遍使用的标准将大幅提升数据质量,进而发掘数据的市场价值。当前的数据标准侧重于安全性,亟待以降低市场交易成本为目标,在数据流通周期中提供全面标准。在此基础上,通过企业、学界和政府机构的参与,努力就以下内容达成行业标准或国家推荐标准,并在合适时机出台国家强制标准:(1)数据交易的技术架构标准:(2)数据分级分类标准;(3)数据交易类别目录标准;(4)数据格式标准;(5)数据质量评价标准;(6)交易数据描述标准;(7)数据安全技术标准。为筑牢标准“一致同意”的共识基础,政府可从“助推而非强制”原则出发,举办项目研究和专题讨论等论坛,激励各方充分交流案例经验,形成基于市场的“最佳实践”标准。
另一方面,建构“标准—认证—认可”三位一体制度。徒标准不足以自行,“标准化的效果只有在标准被实行时才能表现出来。”[34]8在这一意义上,“认证”恰恰是标准自我驱动的当然之意。根据我国《认证认可条例》第2条,所谓“认证”是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。认证并非一次性,认证机构应对其认证开展跟踪调查,如认证的产品、服务、管理体系不能持续符合认证要求的,认证机构应暂停其使用直至撤销认证证书。认证亦非“自给自足”,究其实质,认证的效力来自人们对认证机构即第三方机构的信任[35],而第三方机构的权威进一步源于国家的“认可”,由此形成“标准—认证—认可”的立体结构。在此结构中,企业、行业组织、监管机构推动技术标准制定,将其作为数据交易流通的基本规则,再借助独立、专业第三方认证机构加以落实,最后通过国家认可,确保其合法性和威慑力。
作为国家运用强制力予以实施的正式规则,法律不但能给予正向激励,还能赋予负面惩罚,发挥着直接调整行为模式的功能。与技术相比,法律规范更具普适性,不会拘泥于特定场景和技术类型。与标准相比,法律不但是事前规范,更是事后规范,可通过多种方式实现立法者和监管者目标。此外,法律通过民主决策程序制定,超脱于行业利益和技术专家,能最大程度反映多数人的利益诉求。凭借自上而下效力,法律避免了标准达成过程中的协商困境。基于此,法律可为数据交易流通设定红线,明确各方的权利、义务和责任,消解潜在的法律风险。
数据如水流,其价值在于流动而不在于静止,更重要的是,其边界不易确定,其使用也不排他。法理上,此种资源被称为“流动性资源”(fugitive resource),在长期制度实践中,“捕获规则”(capture rule)和“关联规则”(tied rule)成为确定流动性资源权属中相互颉颃的规则[36]。捕获规则要求只有实际取得控制流动性资源的人,才能取得相应权利。这意味着对于其合法收集的数据集合,数据业者享有排他性财产权益。但捕获规则在鼓励数据生产同时,也在加剧竞争,因为它只奖励最后的“获胜者”。一旦激烈的竞争缺乏约束,就会引发数据过度收集、泄露或滥用的不正当恶性竞争,因此,捕获规则有必要和关联规则相平衡。“关联规则”主张从特定物延伸而生的新财产也应归属于原有物的权利人。这意味着与特定自然人密切相关的数据,特别是“对人格尊严和人身自由可能造成重大影响的敏感数据”应当归属于个人。
在“捕获规则”和“关联规则”的二分法下,对于与特定自然人无关的数据和匿名化之后的个人数据,数据生产者有权自行决定数据是否交易流通。对于“个人非敏感数据”或假名化之后的“敏感个人数据”,数据生产者有权在与原有处理目的兼容的范围内,自行决定数据交易流通的范围、方式和数据接受者。此时,企业应以清楚、明确、简洁的语言告知用户相关个人信息的类型、数据接收者的具体身份、数据安全能力等,用户有权随时拒绝该相关数据的交易。对于“敏感个人数据”或超出原有处理目的的“个人非敏感数据”或假名化后“敏感个人数据”,数据生产者应当取得用户单独同意,并在用户授权的数据范围、处理方式、存储时间内与特定第三方交易流通。基于促进数据流通的目的,不妨考虑对《个人信息保护法》下的“个人同意”作出宽泛解释,使之包括“事前同意”(opt in)和“事后同意”(opt out)。同时,有必要赋予“假名化信息”暨“去标识化信息”的法律效果,以期实现数据安全与数据流通的双赢。
我们处于一个风险无时不有、无处不在的社会。中国传统观念强调“无危则安,无缺则全”,安全往往意味着没有危险且尽善尽美。但在当今社会,这种希冀消除一切风险的法律目标早已不合时宜。风险容忍的数据安全并非零风险的数据安全日益成为人们共识[37]。习近平总书记在全国网络安全和信息化工作会议上亦强调:“网络的安全是动态的而不是静态的”,“是相对的而不是绝对的。”既然数据事故不可避免,那么试图通过严苛的结果责任来消除违法行为,必然不合理地增加各方成本,阻碍数据共享发展。职是之故,在数据交易流通的场景下,我们有必要从“数据静的安全”,即对数据固有形态及其权益的保护,转向“动的安全”,即对数据流动过程及其权益的保护[38]。如何增进“数据可信”由此成为数据交易流通法律责任分担的基础原则。
一方面,数据提供者应对数据承担瑕疵担保责任。该等责任所指向的瑕疵包括:(1)数据效用性瑕疵,即因技术、主观过错等原因导致数据在质量、数量、类型上与通用标准或当事人约定不符的瑕疵;(2)数据交易性瑕疵,即因时效性、完整性、连接性等原因导致减少或灭失数据交换价值的瑕疵[39]206;(3)数据权利性瑕疵,即数据提供者无权或超越权限提供数据,或者数据交易流通导致第三人权益受损的瑕疵;(4)数据服务性瑕疵。鉴于数据交易流通以“数据分享”为主要类型,其具有“物的交易的衍生”之服务型合同特色,数据提供者应对交易的构造(人员、设备、软件)、过程(方法、方式)和产出(效果)等承担服务瑕疵担保责任[40]。
另一方面,数据提供者和接受者应按照数据交易流通类型和过错原则向第三方承担责任。就类型而言,各方责任因数据转让、数据共享和数据再利用的不同而大相径庭。就过错原则而言,其体现为:(1)在数据提供者违反权利性瑕疵担保责任,且数据接受者不知道且不应知道对第三人权益侵害之时,数据接受者应当单独向第三人承担责任。但当数据接受者知道或不可能不知道上述情形时,双方应承担连带责任;(2)对于数据交易流通中发生的数据侵害,数据提供者和数据接收者根据自身过错向用户独立承担责任,但在数据提供者自行决定数据接受者的情形下,其应当承担选任责任,即在数据接受者侵害用户权益之时,承担相应的补充责任,在数据提供者承担责任后,可向数据接受者追偿。这首先因为,数据提供者系个人信息的直接收集者,用户亦是基于对数据提供者的信任而做出的授权同意,后者承担着直接的合同义务与诚信义务。其次,数据接受者由数据提供者选择、在其认可的权限内行为并在技术上受其监督,根据“控制力理论”,数据提供者应防止数据接收者发生损害他人的行为[41]。最后,数据交易流通拓展了数据使用,使数据提供者获得更高收益,对潜在责任应遵循“利益风险一致性”原理。(3)对于数据交易流通中发生的数据侵害,在双方存在意思联络(共同的故意、共同的过失、故意过失混合)的场合,数据提供者和接收者构成故意侵权,承担连带责任。(4)对于数据交易流通中发生的数据侵害,尽管双方无意思联络,但同一侵害事实是由各方分别实施侵权行为所导致,且每人的侵权行为都足以造成全部损害的,数据提供者和接收者承担连带责任,但若任何一方的行为不足以造成全部损害,各方承担按份责任[42]424。
数据交易流通事关数据要素市场培育的大局。放眼未来,我国可立足于国家战略规划和市场导向,通过“亲市场”(pro-market)的政策法规,为数据交易流通建立稳定、可预期的法律架构,以“非必要不干涉”作为政府强制性介入的前提条件。但是,这绝不意味着“无监管”或“去监管”,而是由“数据监管”(data regulation)向“数据治理”(data governance)转变。以此论之,“技术、标准、法律”的三元治理架构,契合了数据协同治理理念,为数据交易流通编织出刚性与韧性兼具的无缝之网。究其根本,在数字化的世界,数据要素市场不只是一个复杂系统的微观场域,它自身就是一个复杂系统。只有在理解并尊重复杂系统中多样化、涌现性和自组织的规律,才能实现市场的勃兴。