周 灵,林 旸
(1.深圳大学 中国经济特区研究中心,广东 深圳 518000;2.香港大学 法律学院,香港 999077)
大数据背景下,数据作为各类信息的载体拥有潜在的经济价值。数据在不断被使用和流动的情境中,其价值不但没有被消耗,反而通过积累结合和演算分析产生新的价值。数据日益成为关键生产要素,也成为国家基础型战略资源。“十四五”国家信息化规划中指出:要加强数据治理,加快建立数据资源产权在内的数据要素市场培育工程,建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范。过去数年,数字经济在我国迅速发展,数字权属已成为数字时代产业发展需要解决的核心问题之一。截至2021 年12 月,我国还未有专门的数据确权机构,但拥有诸多数据交易公司和机构。在这一大背景下,数据权属界定不清晰以及数据财产权保护不完善,将限制个人、政府、企业对数据资源的正常交易使用。在区分数据人格权和财产权的前提下,数据权属立法需要区分对个人数据之上个人信息的保护,以及对非个人数据之上企业数据财产权的保护。如何配置数据权属和使用规则,确保个人信息不被滥用,保护企业合法收集的非个人数据,进而释放数据的价值,成为了数字经济时代亟待解决的问题。本文从比较法的角度,探讨国内外关于数据权属立法实践以及立法困难,针对我国数据立法现状,提出相对应的完善数据权属的立法建议,从而有助于我国信息化建设和数据领域的法治进步。
数据是关于世界万物的数字化,是用来记录人类活动的电子化载体。由于人是数据的重要主体,关于人的数据的流通和利用具有重要价值。在我国法律语境下,个人数据为含有“个人信息”的数据①,即可被直接或间接“识别”出来的信息,为个人信息(个人数据)。个人数据包含着双重属性:一是关涉他人和社会利益的人格属性;二是个人数据可流通的财产属性。围绕个人数据双重属性引申出的是个人数据流动性和个人数据人格权利隐匿性之间的冲突。数据的使用意味着数据的流动,数据一旦被数据主体或数据控制者独占和独享将无法流动,数据也将无法实现社会化的分析利用价值[1]。另一方面,个人数据上的“人格权利”关系到数据主体(自然人)的人格尊严,需要赋予数据主体对个人数据一定的控制力,以保障其人格尊严不受到非法侵害。自然人如果不能够有效控制个人数据,将造成自然人对数据被滥用的恐慌和不安,自然人只能选少量提供数据或提供虚假数据,进而达到隐匿的效果,致使数据的流动性下降。
针对个人数据的人格属性,国际通行的主要实践,是将其归入个人信息或个人隐私的保护之列,通过赋予自然人对于个人数据上的控制性权利。具体来说,首先,个人数据保护作为一种宪法性权利,在许多国家或地区取得共识,32 个国家将“个人信息保护”或与其相关的表述写入宪法的基本权利部分[2]。其次,个人数据保护作为一种一般人格权得到保护。例如,德国将个人数据保护纳入到一般人格权的保护体系当中,以私法保障个人信息自决权不受其他私人的侵害[3]。美国将个人数据保护归入到隐私权保护的范畴中,将侵犯个人隐私作为一般侵权行为来认定。我国在这一议题的做法,主要体现在《民法典》上,后者创设性地将“人格权篇”独立成章,通过设立独立人格权为个人信息保护的发展提供空间,以便日后能不断丰富个人信息保护的内涵[4]。
针对个人数据的财产属性,无论是欧盟还是美国,对于个人数据的财产权属都并无作明确规定。国际上对个人数据的立法,大多是从保护自然人人格权利的角度出发。同理,我国对于个人数据权属的立法也相当谨慎,至今为止仍未有对于个人数据财产权属的明确规定②。这背后有着对数据流动性的考量,若对个人数据赋予排他性财产权利,将会给数据流动和数据价值之实现带来负面效应。也正是由于数据的高流动性,立法者面临着现实操作的难题,往往难以从数据流动的各个环节对个人数据的财产权益加以赋权和进行利益分配。尽管如此,不同团体对于数据的需求,无疑加剧了各方对数据权属的争夺,对数据的占有、处理、处分的财产权属安排是各国立法的难点和重点。
用户提供的数据中,一部分为可识别的个人信息,如个人姓名、电话、住址等信息,这部分“个人数据”由于具有可识别性,各国立法上多强调对其人格权利的保护,赋予个人知情权、访问权、更正权等数据主体权利。另一部分为与用户活动相关的网页访问、浏览、搜索记录等,这部分数据经过企业的清洗、脱敏处理之后,已不具有可识别的个人信息,形成具有分析价值的“非个人数据”。企业通过劳动投入,收集、分析、处理得到的这两类数据集合,具有日益重要的经济价值。对于基于机器生成的“非个人数据”以及经过机器非人格化处理的用户数据,如果仅赋予个人数据主体权利,而忽略了企业对数据处理的投入,则无法调动企业机构采集、加工、处理、利用数据的积极性,不利于数字经济的发展。
对于非个人数据,由于其不具有个人信息的敏感性,立法更强调对其财产属性的保护,这一点与个人数据的立法有所不同。企业通过对数据的收集处理,可以提升数据使用率和提高使用数据的质量,从而显著提高企业绩效,产生巨大的经济价值。企业之间围绕数据财产性权利产生的争端,主要表现为对企业投入大量人力物力,经合法加工处理形成的数据集合(数据产品)的权利之争夺。数据作为新型生产资料,其单个存在的利用分析价值可能不高,但经过收集、聚合的数据池则能蕴含巨大的分析价值。确定企业所拥有的数据集合的法律地位,给与法律层面的认可和规范,能更好地发挥企业收集整合数据的能动性和积极性,对保障数据的经济价值起到重要作用,推动数据经济的发展。
对企业经过加工处理后、形成不具有可识别性数据的财产化,是学术界一直所关注的问题,包括我国在内的各国都在试图推动企业数据权属的立法[5]。数据流动性决定了立法难以直接赋予数据控制者对数据的排他性所有权。实践中,立法多从对不同主体的数据权益保护入手来解决“数据权属”问题。针对数据的人格属性和财产属性,应将个人信息保护(个人数据保护)与企业数据保护统一起来,平衡数据双重属性之下个人数据人格性权利与企业数据财产性权利的保护。
欧盟与美国的数据立法相对更早,尤其是欧盟的《通用数据保护条例》(以下简称“GDPR”)以及美国加州法典化数据保护法案《加州消费者隐私法案》(以下简称“CCPA”),作为现今世界上较为完备的数据隐私保护立法,值得探讨借鉴。在立法观念的倾向选择上,欧盟GDPR 采取了更偏向数据权利保护一方的立法观念,以数据基本权利为基础的数据法典,美国加州的CCPA 更偏向数据自由流动一方,意在促进数字经济发展。但两种立法模式从本质上来看,都试图兼顾个人数据权利保护和数据自由流动的平衡。欧盟的GDPR 赋予“数据主体”(自然人)八大权利:知情权、访问权、更正权、被遗忘权、限制处理权、数据可携带权、一般反对权和反对自动化处理的权利,并通过这些权利,强化了个人数据人格权利部分,使其能被掌握在个人的手中。美国加州的CCPA 亦赋予了消费者知情权、删除权、选择权、公平交易权等,并提供明确且具备可执行性的救济措施。
个人数据的处理原则之比较上,欧盟立法模式遵循“以禁止为原则,以合法授权为例外”,而美国加州立法则更倾向“以允许为原则,以附条件禁止为例外”,最明显的区别在于对用户“同意规则”的立法上。欧盟GDPR采用“选择加入”的机制,处理数据必须基于数据主体的同意。GDPR 规定,数据主体通过书面声明做出同意,并且有权随时撤回其同意。我国的个人信息保护法立法也与GDPR 类似,企业处理数据需要告知并获取数据主体的同意,且数据主体有权随时撤回同意。而美国加州CCPA 授予消费者“选择退出”的权利,即企业通常可销售普通消费者个人信息,消费者有权在任何时间指示企业不得出售该消费者的个人信息,并且禁止企业在消费者选择退出之后的12 个月内,再次要求消费者授权出售其个人信息,而年龄小于16 岁的自然人(消费者)例外适用“选择加入”的规则。三个地区的立法也有一些共性,对目的原则和最小必要原则都作出了规定,限制了数据的任意收集和处理。
个人数据具有可识别性,立法更强调对其“人格权利”保护,而不作财产化的安排。个人数据的双重属性决定其拥有一定的社会属性,需要在个人的控制之下,但若赋予个人拥有完全的数据财产权,可能导致不同个人主张权利之间的冲突,不仅难以确保数据的确切归属,更忽视了用户与平台之间的利益分配,不利于数据的自由流动。欧美数据立法中的“数据可携带权”,是对个人数据权属确权的一次尝试,其实质上是在个人信息保护的框架下,进行了有限的突破,使得个人拥有对数据的“部分”所有权,让个人得以掌控个人数据的流向。数据携带权使得用户可以自由获取或者转移个人数据到另一网络平台,使得用户在多个企业平台之间获得一定的议价能力,新的平台为了吸引用户将相关数据转移到其平台,或者原始平台为了让用户继续将其数据保留在该平台,就会向用户提供某些利益,从而使得附着于该个人数据之上的数据携带权具有了财产所有权的性质。
以欧盟GDPR 为例,GDPR 第二十条规定,数据主体(自然人)有权从数据控制者处获得与其相关的个人数据,并且可无障碍地将此类数据传输给另一控制者的权利。数据可携带权极大地提升了自然人对于个人数据的控制程度,然而理论上仍未能澄清这一权利的属性问题,引来了支持者和反对者两种声音。支持者认为,数据可携带权消除了数据的锁定效应,促进互联网产业间的竞争,可以促进网络服务商与个人用户之间的互信,提高用户对个人数据的控制,从而使用户获得更好的服务和用户体验。反对者认为,实践中将可能出现他人冒充用户本人非法获取个人数据的情形,数据可携带权则使得非法获得者瞬间获取和转移用户个人的所有隐私信息,增加了个人数据泄露的风险。同时,数据可携带权将增加中小企业的合规压力,用户可能更倾向将个人数据从中小企业转移到大型企业,从而阻碍了中小企业的发展,并且这种数据的迁移和互操作性难度较大,成本较高[6]。
美国CCPA 第1789.100 条第四款赋予消费者相对有限的“数据可携带权”,“可通过信件或电子方式提供个人信息,如果以电子方式提供,信息应以编写方式提供并且在技术可行限度内采用易于使用的形式,以允许消费者无障碍地将此信息传输给其他单位。” CCPA 第1798.125 条允许企业使用奖励措施,包括向消费者支付赔偿金的形式,进行对消费者个人信息的收集、出售或者删除。对比欧盟立法,美国的数据可携带权更多是从竞争效应的角度出发,通过提升用户对个人数据的控制程度,促进网络空间中网络服务商与用户之间的信任,而并无上升至一种个人拥有的基本权利。
针对不具有可识别个人信息的“非个人数据”,欧美立法将这一数据资源视为一种集合性资源,强调数据的财产属性,并对企业的数据财产权进行保护。虽然数据与作品、技术方案等知识产权一样属于无形资产,但在现有知识产权保护框架无法得到充分保护。首先,数据难以落入著作权保护范畴。著作权保护对象是具有独创性的作品,如文学、艺术、科学作品等,并不包括抽象的、非人类创作的数据。一般而言,大部分的数据是通过计算机系统和数字化设备收集汇聚产生,即便这些系统设备内部设定了具体的筛选机制,甚至有时还采用了人工智能手段,其结果仍只是对自然客观事实进行的全面记录。因此,大部分的数据都难以满足著作权对于独创性的高要求,无法获得著作权的保护[7]31。其次,“数据库特殊权利”制度对数据财产权保护效果并不理想。为促进欧盟内部数据库的投资,1996 年欧盟通过《欧盟数据库指令》创设了“数据库特殊权利”,希望通过这一制度来弥补著作权保护的不足,即通过“数据库特殊权利”来保护未能达到著作权“独创性”标准的“数据库”。然而,《欧盟数据库指令》对其保护的“数据库”设置了较高门槛,即只有满足高投资标准的“数据库”,才能受到该权利的保护。由于“数据库特殊权利”保护范围过窄,大部分数据库的开发利用者转而选择其他手段来保护自己的投资,包括限制对数据库的访问、加密处理数据或通过数据使用许可合同等,导致“数据库特殊权利”制度的实践效果并不理想[7]32。再者,数据难以通过“商业秘密”获得充分保护。尽管一些数据可作为“机密信息”受到商业秘密制度的保护,但并非所有数据都能满足这一条件,尤其对于机器生成的数据,它们在产生之时就不属于秘密。若将数据认定为商业秘密,同时对企业的技术保护措施不设任何限制,数据将失去了流动性,不再具有数据交换分析的价值[8]。
由于知识产权保护模式的不足,非个人数据保护依然缺乏有效制度安排,欧盟委员会呼吁设立数据产权,规范市场和交易。2017 年,欧盟发布的《构建欧盟数据经济》报告,针对非个人数据提出了“数据生产者权利”的概念,即“赋予数据生产者使用和授权他人使用非个人数据的权利”。欧盟将数据生产者权利视为一种物权,包含一系列的权利,例如对访问和使用未经授权的数据进行索赔的权利,权利人拥有使用非个人数据的专有权及其许可他人使用的权利。通过设定数据生产者权利,欧盟鼓励数据控制者授权第三方访问其数据,促进数据的流通与增值,并规范市场和交易③。相对而言,权利人需要对数据泄露和数据侵权等事件承担责任,需要在日常数据收集和处理等工作中,履行相应的附随义务。
与欧盟试图设立“数据生产者权利”不同,美国更侧重在不当使用原则基础上,采纳反不正当竞争模式保护企业数据财产权[9]。1986 年美国《计算机欺诈与滥用法》(CFAA)首次对违法抓取网络数据的行为进行规制,规定任何未经授权故意访问计算机或者超过授权访问权限,从任何受保护的计算机获取信息的人,将承担民事和刑事责任。美国法院通过司法判例,逐步完善了未经授权、超过授权的访问以及受保护的计算机等概念的定义。美国法院结合美国普通法中信息盗用制度,对他人不正当抓取网络平台数据的行为进行认定,包括满足收集信息一方投入成本,另一方通过搭便车方式使用数据信息,双方存在竞争关系,另一方的搭便车行为会对数据信息收集一方造成业务损害,数据信息具有一定时效性等条件[10]。除了设置如反不正竞争的被动防御权,美国立法在某些特殊领域,进行了主动确权认定,允许个人拥有对基因信息、医疗信息、测谎记录等享有财产性权利[11]。目前,美国已有阿拉斯加、克罗多拉、佛罗里达等州的立法明确承认个人对基因信息的财产权,俄勒冈州1995 年通过《基因信息保护法》,承认个人对其基因信息和DNA 样本享有财产权[12]。
2021 年,我国正式通过《个人信息保护法》(以下简称《个信法》),首次对个人信息的保护提供了立法支持。《个信法》采取了综合立法模式,赋予自然人对于个人数据的知情权、决定权、限制处理权、拒绝权、访问权、删除权等。《个信法》与《民法典》人格权篇“隐私权和个人信息保护”章节及《个人信息安全规范》等有关规定相衔接,借鉴欧盟GDPR以及美国CCPA 相关规定,明确了在个人信息处理活动中个人的各项权利。其中,《个信法》第四十五条第二款首次引入了GDPR 和CCPA项下的数据可携带权,即“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。《个信法》一审、二审稿中均未见数据可携带权相关规定,这一条款能在最终公布的法律文件里出现实属不易。然而,现阶段我国对数据可携带权的立法仅限于《个信法》中第四十五条第二款,暂未有任何其他法律法规对数据可携带权的实现进行细化规定。相比欧美立法,我国《个信法》中对数据可携带权的规定过于笼统,法条对于数据可携带权适用的数据范围,以及数据可携带权下传输的数据形式没有作进一步规定,数据可携带权仍未能实质落地。
个人数据可携带权实现了自然人对于个人数据的部分财产性权能,而这一权利无法得到落实,也使得个人数据权属变得更为模糊。数据可携带权的缺失,已成为用户维权路上的巨大障碍,尤其对新型智能汽车的维权,如特斯拉刹车失灵事件,能否获得汽车行驶中的“数据”证据,成为了消费者维权的关键[13]。虽然,我国消费者权益保护法第二十三条规定了举证责任倒置,但前提是“自接受商品或者服务之日起六个月内发现瑕疵,发生争议的”,这一时限对于购买机动车商品来说远远不够。即便是六个月内发生了交通事故,消费者仍需要提供最基本的行车数据作为证据,才足以立案。相比较之下,在美国,特斯拉车主可登录相关网站自行下载后台数据,获取第一手行车“数据”证据,待遇与中国消费者差别巨大[13]。数据可携带权的确立大大缩小了美国消费者的维权成本,通过消费选择倒逼美国智能汽车行业提高商品以及服务质量,对于促进行业的发展有着重要作用。
在个人数据的双重属性下,我国立法框架中的企业对于集合性数据拥有何种数据权利也并不明确。考虑到数据产业生态的复杂性和数据权利的多样性,赋予企业专属排他性的数据权利并不可行。我国未从立法层面对数据池的财产性权利进行定位,然而司法实践表明,法院现阶段倾向将数据池认定为一种竞争性财产权益,如淘宝诉美景公司涉“生意参谋”一案。2019 年7 月,法院判决美景公司“咕咕互助平台”构成不正当竞争。法院认为,美景公司未付出劳动创造,将涉案产品当作获取商业利益的工具,违反了诚信原则和商业道德,属于搭便车行为,损害了同行业竞争者淘宝公司的合法利益,构成不正当竞争⑤。通过此案,法院初步划分了各相关主体对于数据资源的财产权边界,确认数据产品开发者享有以“竞争性财产权益”为基础的反不正当竞争法保护[14]。虽然这种做法能在一定程度上维护了企业正当利益,但是也有较大的局限性。在我国“反不正当竞争”保护模式下,企业无法阻止非竞争关系的市场主体,造成数据产品经营者利益受损的行为。企业的数据产品权益无法获得事前的救济,即只有当企业的权益受到侵害时,才通过事后能获得法律救济,与一般侵犯财产权的保护模式相比,企业处于被动地位。
《个信法》中的同意规则过于简单,也将影响企业数据财产权的实现。企业收集到的数据,无论是可识别个人数据,或是经企业清洗处理后不可识别的非个人数据,只有在同意规则下,经个人同意后收集到的数据才能受到保护。企业数据财产性权利的实现,必须建立在企业合法收集个人数据的基础之上,如果企业的收集行为违法,则企业获取数据本身的行为不成立,企业的数据权属无从谈起。在同意规则上,我国立法与欧盟立法均采用了“选择进入”模式,即数据控制者收集、处理个人数据之前必须获得消费者的同意。然而欧盟GDPR的同意规则更为细致,要求同意必须是自由做出的、明确特定的、充分告知且不含糊的意思表示④。相比较之下,我国的同意规则更为简单,并没有考虑在权力失衡情况下,消费者或用户是否能自由做出同意的情形。我国亟需配套法律法规对“同意”进行认定和解读,确保在企业不侵犯个人信息人格性权利的基础上,保护企业的数据财产性权利。
个人数据的双重属性,决定了我国数据权属立法需要平衡个人数据的隐私性和数据的流通价值。《个信法》的出台为个人数据的人格性权利提供了法律保障,然而立法却仍未有对企业数据财产性权利的定义和保护框架。现有的部分学术文献以及政府政策文件,对于“数据权属”的概念定义含糊,多从数据实际停留过的地方,如个人、企业、政府的角度进行区分[15]。这种表述和区分,容易使读者误以为这些主体可以拥有对数据的排他性所有权,如个人拥有个人数据权,企业拥有企业数据权,政府拥有公共数据权等,不利于我们理解数据的流动性和隐私性之间的矛盾。事实上,从比较法的角度可知,立法上从未对任何主体赋予对数据的排他性所有权。因此,数据权属立法上需要区分“个人信息(数据)”和“非个人数据”,对这两种数据进行不同侧重的保护,而非笼统地一概而论。
从上述角度出发,对我国数据权属立法提出以下建议:
首先,应尽快细化数据可携带权的立法,让数据可携带权切实落地,实现个人数据有限度的财产化。可借鉴欧美立法经验,确定可携带数据的类型,如个人不仅能访问无检索功能的数据副本,更可以电子形式获取可供机读的、结构化的数据,以增加用户消费者的选择权,塑造更加公平透明的数据处理市场。另一方面,立法还应对数据可携带做一定的限定,如可携带的仅为个人提供的原始数据,排除企业加工后产生的数据为可携带的对象,确保权利行使不损害企业商业秘密和其他知识产权等,以保护企业的数据财产性权利。
其次,加快对企业数据财产性权利的确认,通过立法的形式,增设企业数据库权利,完善企业侵犯数据竞争性权益的认定条件,实现数据确权和反不正当竞争双轨并行的企业数据权益保护机制。借鉴美国经验,完善我国司法实践中对数据产品“竞争性权益”的定义,明确不正当竞争的构成要件,包括双方存在竞争关系、收集方投入劳动成本、盗用者通过搭便车方式使用数据信息或对数据信息收集方造成业务损害、数据信息具有一定时效性等。此外,在反不正当竞争模式下,对于明显依靠智力成果的数据产品,应通过单独立法增设“数据库权利”,加入到知识产权的体系中。对于可直接认定为“数据库”智力成果的产品,应直接赋予近似物权所有权的数据库权利,弥补反不正当竞争模式下,只有当侵权行为发生时,才能进行防御性保护的弊端。对于具有强烈个人信息特征、私密性极强的个人基因信息、医疗信息、测谎记录等,同样应通过立法设立具有排他性的财产权,将信息数据所有权归属于个人,以确保可能对人类健康产生影响的个人信息不被滥用,规范医疗商业行为。
最后,为确保企业行使数据权利的合法性,应加强对企业收集用户数据的监管和规范,完善个人信息保护法中个人数据收集的“同意规则”。企业对个人数据进行商业化利用,须充分尊重和保证个人的知情同意权,法律应明确真实同意的规则,禁止欺诈或胁迫,否则视为未获取同意。借鉴欧盟立法经验,规定企业应采取简明、透明、易于理解和获得的形式,使用清晰平实的语言履行告知义务。为解决用户收集证据的困难,法律可确立举证责任倒置,要求多个企业对其未履行同意规则规定,违法收集个人数据的行为承担连带责任。由于隐私声明普遍适用格式条款,需要结合我国法律体系中的其他部门法,如《民法典》《网络安全法》《消费者权益保护法》等,对隐私声明的格式条款进行规制,确保隐私声明符合同意规则,企业不会滥用强势地位侵害用户权益。通过同意规则的设计,可构建个人数据的财产变现机制,如针对个人基因信息、医疗信息和测谎记录等,允许信息主体有偿许可他人使用此类个人信息,赋予企业商业化利用权利的同时保证个人隐私不被滥用。
注释:
①“个人数据”与“个人信息”产生在不同的法律传统和语境下,但两个概念只是表述方式上的差异,在实践中可以相互替代使用。“个人数据”这一称谓多被欧洲国家认可,而我国以及东亚国家更倾向于用“个人信息”的称谓。本文为作比较分析,“个人数据”与“个人信息”相互替代使用,不做区分。
②2020 年12 月提请审议的《深圳经济特区数据条例(草案)》曾做过一次为数据确权的尝试,然而在批判声中“数据权”“个人数据权”等表述已被删除,二审稿和已公布的《深圳经济特区数据条例》中已被修改为“数据权益”。
③详见2017 年1 月10 日欧盟委员会发布的政策文件《构建欧盟数据经济》。为了促进数据访问和共享,欧盟委员会考虑基于“公平、合理、无歧视”(FRAND)条款建立数据许可框架,以为中小企业和初创公司提供更公平的数据利用机会。
④欧盟第29 条工作组(WP29)发布《对第2016/679 号条例(GDPR)下同意的解释指南》,对欧盟《一般数据保护条例》(GDPR)中的同意机制做出了具体指导。
⑤详见淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争案(2017)浙8601 民初4034 号;(2018)浙01 民终7312 号。