□文/邹雨汶
(江西理工大学法学院 江西·赣州)
[提要]当前,数据控制者对其收集、存储、加工、传输的数据拥有何种数据权利仍未明确,数据财产权保护的缺失会影响数据财产的合法利用,而数据财产利用规则的内容也有待商榷。数字经济背景下如何构建数据财产的利用规则?首先,获得数据主体的同意是数据利用行为的首要前提;其次,赋予并保护数据主体切实必要利益;再次,确保对数据利用行为的限制是必要的且在适当限度内;最后,建立并完善数据分级分类管理系统,根据分类标准划分数据,按照不同数据特性高效利用数据,并充分保障数据主体的合法权益。通过构建数据财产利用规则为数据共享流通保驾护航,推进数字经济繁荣发展。
大数据时代下,企业在收集大量数据并使用高效分析工具基础上,通过算法能对当下或未来事物做出相应的分析与预测,为人们的生活提供便利的同时创造不可估量的经济效益,提升数据资源价值。随着数字经济日益发展,讨论数据财产的法律内涵,对数据财产利用规则进行构建,明确合理的数据财产利用规则,已成为数字经济时代赋予我国民法学的紧迫任务。本文旨在通过对我国数据财产立法导向的探讨,构建数据财产利用规则,推进我国数据财产制度的建设和数字经济的发展。
我国现行立法中,企业等数据控制者对其收集、存储、加工的数据拥有何种数据权利仍未明确,数据财产权概念以及数据财产的利用规则均未明晰。考虑到数据的非排他性,不同数据之间可以共存,不具有冲突性,赋予数据控制者专属的排他性的数据权利不具有必要性,并且数据本就为非竞争性财产。初始数据一般情况下不具备竞争性。各大平台和网站上的公共数据都会进行公开,用户可以随时查询。例如,大众点评上顾客对各个商家进行的打分及相关排名,只要是平台用户登陆后都可以看到。目前,相关规定仅有《民法典》第127 条,“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。由此可知,数据存在财产属性,但对于数据财产的法律内涵和数据财产利用的相应规则并未说明。《网络安全法》和《个人信息保护法》则分别从不同角度对数据的收集和利用进行限制,但数据财产权利的概念、内涵、类型等方面均未涉及。此外,关于数据池的财产性权利在立法方面虽未界定,但在实践中法院将数据池判定为是一种竞争性财产权益。如,在淘宝诉美景公司不正当竞争纠纷案中,法院认为对于自行开发的数据产品淘宝可以享有独立的财产性权益。该判例首次确认数据产品开发者享有竞争性财产权益,为完善相关内容立法提供了值得借鉴的司法案例。
《个人信息保护法》第14 条明确规定,“该同意应当由个人在充分知情的前提下自愿、明确作出”。虽然对同意的质量提出“自愿、明确”的要求,但是同意规则仍然较为简单,并且不同个体对于“充分知情”的判断标准也可能不一样,这些不确定因素不仅可能损害数据主体的权利,使得知情带有瑕疵,还会影响数据财产权的实现。企业在收集数据时首先应当具备合法性基础,若收集行为未经个人同意,则最初的数据收集行为就缺失合法性基础,后续的数据财产权等问题更无需讨论。欧盟《通用数据保护条例》中的同意规则更加具体,要求同意必须是按照个人自由意愿做出的、明确特指的、充分告知且不含糊的意思表示。相比之下,我国的同意规则较为抽象,并非所有情形下双方都是处于平等地位上进行自由协商,在双方地位悬殊时,尤其是企业往往更加强势,那么消费者或用户此时做出的同意可能是被迫的,你情我愿只是表象。我国应当通过进一步立法来对“同意”进行更加细致的认定和解读,保证企业对数据财产是合法有效利用,尊重当事人的自由意志,强化对企业数据财产性权利的保护,从而促进数字经济的蓬勃发展。
大数据时代虽然存在着海量数据,但并非所有数据都当然能够成为法律上的财产。根据立法惯性,在考虑能否成为财产之时,价值性与稀缺性都是重要因素。由是观之,数据财产是不仅能够为人所利用,还兼具价值性和稀缺性的数据。
数字经济背景下,数据财产价值不可估量,财产立法应当做何相应调整来使其规范数据交易行为的同时又不会过度阻碍数据的流通与共享,对此,我国数据立法需作出积极回应。对于非个人数据,立法可以更侧重对其财产属性的保护。企业通过对数据的收集、传输、加工等一系列行为,提升数据利用率与匹配度,有助于研发出一系列能够产生不可限量经济价值的数据产品。通常而言,企业之间围绕数据财产性权利产生的纠纷主要表现为,对企业投入大量人力财力同时提供技术支持,经合法加工处理形成的数据产品的相关权利的争夺。因此,需通过立法的形式明确数据产品相关权利的归属、权利行使的边界及数据财产的利用规则,鼓励数据控制者在合法框架内积极利用数据,实现“物尽其用”,通过数据资源的流通和共享有效推动数字经济的发展。
个人数据与非个人数据在可识别性上的差异,使得二者的利用规则也迥然不同。对于非个人数据可以依据其自由意志对数据进行充分利用,发挥数据的最大效用,促进数字经济蓬勃发展。但是对于个人数据,必须以有效维护数据主体人格尊严为前提,并且不能侵犯特定自然人的合法利益尤其是人格利益。因此,数据财产利用规则确立的难点在于,如何明晰对个人数据的利用规则,需充分考虑数据利用过程中数据控制者的利用行为可能对数据主体产生的利益影响来进行设计。
(一)获得数据主体的同意是数据利用行为的首要前提。企业在利用个人数据之前一定要取得用户明确真实的同意,这不仅能够保障和尊重数据主体的人格权利,更是为企业的后续数据利用行为提供合法性,间接促进企业对数据财产的有效利用。在日常生活中企业的告知义务往往履行得不到位,例如手机应用App 上一开始告知用户的同意规则或协议往往过于冗长,在其给出的短短倒计时几秒时间内显然无法全部阅读完毕,大多数用户都是等时间到了就草草勾选,并未仔细阅读协议,同时这类协议一般专业术语较多,普通民众难以看懂也并不知晓协议中的条款将会怎样影响自己的权利。对此,相关企业应采取简明扼要的形式,使用平实的语言履行告知义务,降低用户的阅读门槛。保证企业行使数据权利的行为具有合法性基础,进一步细化我国个人信息保护法中的“同意规则”具有必要性,但也须认识到企业相对于个体往往处于优势地位,而一般用户被侵权案件中个人收集证据难度较大,建议立法可对这类情形设立举证责任倒置,数据控制者往往相对于用户拥有更多经济和技术方面的优势,因此由他们承担数据利用行为的合法性举证责任具有合理性,这样相比于由用户个人承担举证责任也能提高举证效率。保护数据主体的权利赋予企业数据利用权的同时也要保障用户个人的隐私权等人格权,在尊重和保障人格尊严的基础之上才能促进数据流通和数据市场健康发展。
(二)赋予并保护数据主体切实必要利益。个人信息收集的基本原则包括知情同意、合目的性、合法性、效率和最少使用五大原则。通过这五大原则保护个人信息和维护人格尊严,确立了个人信息利用的范围。其中,最少使用原则要求获取的信息量必须以满足使用目的为必要,不允许扩大信息收集和使用的范围,若对数据利用施以相同原则,不仅打击数据控制者对于数据财产利用的积极性,也与数字经济强调共享与流通的价值导向相悖。与其通过合目的性、最少使用、合法性等原则来约束数据利用行为以保护人格利益,不如考虑通过确立具体合理的规则,在数据利用行为中赋予并保护数据主体的切实必要利益。首先,赋予数据主体有要求数据控制者在收集、加工、处理等利用行为中始终保持数据客观真实的权利,严禁其随意篡改数据,并享有由于自身情况变化而随时申请调整或者删除数据的权利。其次,禁止数据控制者利用数据损害数据主体合法权利的行为,设定严格责任保护数据主体合法利益,也增加数据控制者的违法成本,使其望而却步。最后,赋予数据主体能够参与数据利用收益分配的权利。即数据主体可以参与数据利用行为中产生的收益分配,数据主体可以根据其贡献大小享有一定的收益分配权。但在实践中,单独的数据主体贡献的个人数据对于企业等数据控制者最终加工形成的巨大数据集合(数据产品)来说往往贡献较小,而将数据收益分配到数据主体个人的成本往往较高。因此,对于收益分配权可以根据具体现实情况由双方主体通过合同的方式自行协商,双方达成约定可按照具体约定分配,没有约定则视为数据主体自动放弃收益分配权。此外,可以尝试建立数据共享奖励机制,以鼓励更多的数据主体同意将自己的个人数据脱敏化处理后投入企业合法利用,这样能够提高数据的流动性,让企业产生巨大经济效益的同时兼具对个人数据的人格利益保护。
(三)确保对数据利用行为的限制是必要的且在适当限度内。对于个人数据而言,有观点倡导法律侧重于赋予数据主体更多的控制力,原因是认为个人数据主要来源于数据主体,并且个人数据与人格尊严密切相关,保护个人数据也是在维护社会的“文明规则”,因为其会影响“人的基本尊严和自主权”。参考个人信息收集中创设的知情同意、合目的性、合法性、效率和最少使用五大原则,其中知情同意原则是核心,因为其最能体现对个体人格尊严的尊重,即如果没有当事人的知情同意,除非法律的强制规定,则收集的信息都不具备合法性,希望以此强化个人信息主体对个人信息的控制,防止他人未经主体的同意擅自收集个人信息。合目的性原则要求只有出于特定目的才能收集,并且不能在此特定目的之外使用相关信息。然而,在大数据时代下,企业需要收集海量数据才可能挖掘出数据的潜在价值,若类比个人信息的收集原则对目的进行严格限制,不仅影响企业收集数据的行为,收集完数据之后的使用行为仍举步维艰。虽然如此能较好地保护人格利益,但基于五大原则,其他主体如数据控制者如果想要利用个人数据则受到诸多限制,只能处于被动位置,这显然不利于强调共享、交互与流通的数字经济的发展。对个人数据的人格利益保护情有可原,但应当设定合适的限度,而非甚至其他主体对个人数据的合理利用行为也被严格限制。
伴随着社会的变迁和数字经济的发展,如果设定狭窄的数据使用范围和严苛的利用标准,可能会排斥数据控制者的合理利用行为,这显然会矫枉过正,超过必要限度。故而,本文认为在对数据控制者的利用行为进行诸多限制的同时,也应当确保这些限制是必要的且在适当限度内,为数据控制者对个人数据的利用行为提供适当空间,对合理合法的数据财产利用行为予以尊重和保护。数字经济背景下,数据的收集、分析和处理等利用行为是为了发现数据中潜在的巨大价值,可能给企业和社会带来相当可观的经济效益,同时也能推动科技的发展,为人们创造更加便捷美好的生活。数据自由碰撞之后可能会暗含何种价值,已经突破了人类的计算能力和想象空间。概言之,为充分挖掘出数据中潜在的巨大价值和推动数字经济的发展,应确保对数据利用行为的限制是必要的且在适当限度内。
(四)建立并完善数据分级分类管理系统。除个人数据与非个人数据之外,本文认为公共数据的利用同样值得讨论。《浙江省公共数据条例》中将公共数据定义为浙江省国家机关、法律法规规章授权的具有管理公共事务职能的组织以及供水、供电、公共交通等公共服务运营单位,在依法履行职责或者提供公共服务过程中收集、产生的数据。从中可知,公共数据定义为政府在履职或者提供公共服务过程中采集和产生的数据。但在实践中还存在着一部分来源主体不明的数据,本文认为从广义角度这类数据也可以归入公共数据的范围,由全社会共享。数据利用者在使用这类数据的过程中,应当符合社会公共利益和公序良俗的要求。由于这类数据具有公共属性,数据利用者不享有排他的控制权和处分权,但考虑到实现数据充分利用的目标,可以对符合条件的数据进行一定的加工和经营等处理行为。
企业、政府等数据利用者可以根据数据的具体情况协同建立并完善数据分级分类管理机制,首先根据分类标准对数据进行一定的划分,其次将数据分为一级数据、二级数据和三级数据,从低到高的数字蕴含着数据的共享流通属性,数字越高意味着流通性越强。一级数据为禁止共享数据,如数据利用者未获取数据主体同意的个人数据不能自由流通共享。二级数据为限制共享数据,具有一定的流通性,在符合特定条件时或限定范围内可以共享,数据主体和数据利用者可针对特定条件或限定范围进行约定协商,双方或者多方达成一致即可。三级数据为无条件共享数据,主要是可以开放共享的公共数据,能够在不同数据利用主体之间自由流通。需要注意的是,数据的分级分类并不是固定不变的,尤其是个人数据,可以根据数据主体的意思表示不断更新类别,允许数据主体根据自身实际情况变化而申请调整。对禁止共享的数据绝不开放,并做好安全保护措施,防止数据泄露情况发生,充分保障数据主体的合法权益。