丁凤玲 彭建
摘 要: 为促进机器生成数据的流通,欧盟《数据法案》提出数据访问权,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》也规定了这一权利。该权利的原理是“谁贡献,谁有权”,但这一理论难以为第三方的访问需求提供依据,权利本身也有违背竞争公平的嫌疑。从利益衡量的角度来看,在社会利益最大化的标准下,用户和第三方均可在满足用户服务需求的范围内访问机器生成数据或数据集,同时应当遵守个人数据保护相关制度,这一利益逻辑比“谁贡献,谁有权”更契合数据访问权的制度本意。数据访问权的意义不限于访问,还能限制数据持有者权利、提供数据价值共享的权利依据以及为各参与方提供对话契机。在实现方式上,由于数据类型与访问场景众多,访问规则需要进行场景化设计,工业数据空间等技术架构可以作为实现手段。
关键词:机器生成数据;数据访问权;数据来源者;数据持有者
中图分类号:D923 文献标志码:A 文章编号:1009-055X(2024)03-0093-11
doi:10.19366/j.cnki.1009-055X.2024.03.009
一、问题的提出
随着物联网设备的广泛使用,因使用机器设备而产生的数据总量逐渐上升,新的法律问题开始浮现,我国立法却鲜有回应。例如,智能农业设备使用者是否有权获取、复制或与他人共享其使用智能农业设备产生的数据?自动驾驶汽车使用者能否获取汽车生成的非个人数据?第三方能否以提供售后服务为由访问设备制造者持有的机器生成数据?概言之:机器设备使用者能否访问因使用机器而产生的数据?第三方又是否可以向数据持有者申请访问这类数据?这些问题既关系到设备使用者的使用体验,又与其他主体的经济利益直接关联,亟待法律解答,而我国现行法律法规对此没有作出规定。
2022年12月,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称为《数据二十条》)的出台为解决上述问题提供了政策依据。根据《数据二十条》第七条,数据来源者“享有获取或复制转移由其促成产生数据的权益”。从文义出发,此处的“数据来源者”包括了个人、企业等主体,“促成产生数据”没有任何条件约束,机器生成数据仅是其中之一,故而有学者将该条文规定的权益称为数据来源者权利[1]。据此,上述问题得到了一定解答:设备使用者能够访问其参与生成的数据。不过,《数据二十条》只提供了政策导向,并未详细解释为什么“数据来源者”能够享有此权利。当前学界对机器生成数据的讨论还停留在法律属性、财产权建构等问题上[2]。部分研究虽然注意到了机器生成数据的访问问题[3],但没有结合这类数据的特点加以讨论,观点有待商榷。《数据二十条》一旦转为立法,势必要对上述问题作出回应。
《数据二十条》第七条的设计被认为借鉴了欧盟《数据法案》(data act,DA)中的数据访问权(data access rights)。欧盟《数据法案》中的数据访问权与机器紧密关联。在欧盟《数据法案》中,数据访问权是指用户(user)访问和利用因使用联网产品(connected product)或相关服务(related services)而产生的数据的权利。用户是指一切拥有、租赁产品或接受服务的自然人或法人,与我国“数据来源者”的含义大体相同。根据欧盟《数据法案》第二条,此处的“产品”是指主要功能不是处理数据,但能获取、生成或收集与其使用或环境有关数据的物品,“相关服务”是指包含在产品中或与产品相连接的服务,缺乏该服务会妨碍产品发挥某一功能,如软件。从文义上看,用户使用互联网平台产生的数据难以被纳入上述范畴。例如,电商平台上的商家在电脑上使用电商软件产生数据,电商软件不属有形物,缺乏电商软件也不会阻碍电脑发挥自身的任何功能。可见,《数据法案》针对的是机器生成数据(machine-generated data),即便是使用软件产生的数据,也要求该软件与其载体机器之基本功能存在强联系,如使用数字化工业设备、人体智能穿戴设备、智能家居等物联网机器所产生之数据。
不过,欧盟《数据法案》饱受争议,其中何种规定值得我国学习仍然需要甄别。一方面,欧盟《数据法案》的诸多条文存在争议,如用户可以访问作为商业秘密的机器生成数据这一规定就引发产业界集体反对。另一方面,借鉴域外法必须从国情实际出发。由于《数据二十条》的条文过于原则化,本文在《数据二十条》第七条的框架下,结合欧盟《数据法案》,从学理上分析数据访问权为统一表述,本文仍然采用“数据访问权”这一概念。的正当性、功能定位及该权利可能实现的方式,以期为用户以及第三方数据访问相关问题的解决提供一定参考。
二、数据访问权的法理反思
《数据二十条》第七条所指权益不是对个人数据可携权的简单重复,而是规定了一种以“数据来源者”为主体的新型数据权利,欧盟《数据法案》称之为数据访问权。数据访问权的提出意味着人们不再以所有权的视角看待数据权利,转而走向使用权视角,这是理解数据访问权的逻辑前提。对于数据访问权的设立,仅有比较法作为支撑是不够的,仍有许多问题需要我们认真对待,其中最具有法律意义的问题是数据访问权的法理基础。
(一)学理认识:从数据可携到数据访问
数据访问权虽然被认为是对数据生产者权利(data producers rights)的扬弃数据生产者权利是指欧盟委员会在2017年颁布的一项法案中提出的,数据生产者对其所生产的原始数据拥有的排他性权利。该权利一经提出,就遭到欧盟学界的一致反对。,但数据访问权与个人数据可携权在功能上更加相似。个人数据可携权的提出时间早于数据访问权,而数据访问权的主体和内容更加宽泛。从个人数据可携权到数据访问权,人们对数据权利(益)的认识正在逐渐深入。
根据《数据二十条》第七条,数据访问权可被归纳为数据来源者获取或转移复制由其参与生成的数据(机器生成数据)的权利。但这一表述过于抽象,有必要结合欧盟《数据法案》加以理解。在欧洲的实践中,广义上的数据访问权可以分为跨部门的横向数据访问权(horizontal data access)与在特定行业内才成立的纵向数据访问权(sectoral data access)[4]。欧盟《数据法案》规定的数据访问权属于横向数据访问权,也称为一般数据访问权。欧盟立法者认为,随着数字经济的发展,机器生成数据大幅增长,但这类数据集中于少数大公司之手而未得到充分利用。为打破这一局面,欧盟委员会提出创设数据访问权,以期公平分配数据价值。从现实来看,欧盟之所以创设数据访问权,是因为缺乏有竞争力的本土数字企业,用户生产的数据价值被外国企业占据,且欧盟各国也在避免由某一成员国独占欧盟整体数据的情况[1]。我国当前不存在数据价值外流的问题,却也面临数据要素流通困难、数据垄断等困境[5]。
数据访问权与个人数据可携权均具有获取、转移数据的功能。由于个人数据可携权提出在先,数据访问权因此被视为个人数据可携权的延伸,但与之不可完全等同。个人数据可携权是指个人将个人数据转移给自己或第三方处理者的权利,包括个人数据接受权与个人数据转移权[6]。个人数据可携权之设立虽然也有打破数据垄断等经济因素上的考量,但根本上是基于伦理因素,即个人数据具有身份性,与人格尊严高度关联,因此有必要赋予个人转移其个人数据的权利,转移主体也自然仅限于作为自然人的个人。与此不同,数据访问权针对的是机器生成数据,主要基于经济因素而创建,即促进数据流通、消除可操作性的构建阻碍,立法者也看重其商业价值,如用作售后服务。这就解释了为什么数据访问权的主体包括自然人与法人,且访问的数据不强调身份信息关联,仅以数据来源者是否参与数据生成作为唯一判断标准。当然,这是一种价值理念上的区分。如果我们更加宽泛地看,数据访问权与个人数据可携权都可归结为数据来源者转移数据的法定权利,当机器生成数据与数据来源者的个人信息高度相关时,二者权利客体发生重合。其实,按照欧盟立法者的构想,数据访问权是对个人数据可携权的补充,访问数据包括个人数据与非个人数据,为维护法秩序的统一,当用户不是数据主体时,访问个人数据须遵守欧盟《通用数据保护条例》关于个人数据处理的规定。
必须指出的是,数据访问权并非一种数据所有权。有学者认为数据访问权是一种“类似所有权的权利主张”[7],而数据生成不只是用户的贡献,因而赋予其数据访问权不具有正当性。这一观点有待商榷。因为从权利内容来看,数据访问权从始至终都只是转移、复制数据,不会排斥数据持有者对数据的加工使用或其他处理,更不会排斥其他主体的利用。相反,数据持有者享有最接近数据所有权的事实控制地位,数据访问权更像是知识产权中的许可使用或者合理使用。
(二)理论困境:不能满足应用的“谁贡献,谁有权”
无论是我国《数据二十条》,还是欧盟《数据法案》,中外立法者均以促进数据流通作为数据访问权的设立目的。然而,数据访问权面临访问逻辑不足、权利本身可能有悖公平原则等理论困境,影响了其正当性。
我国《数据二十条》与欧盟《数据法案》均认为用户享有数据访问权与其参与数据生成之间存在紧密联系。《数据二十条》第七条提出,数据来源有权“获取或复制转移由其促成产生数据”。欧盟《数据法案》的立法理由进一步指出,数据生成至少是产品设计者或制造者以及用户等两方主体参与的结果,这类数据是售后服务、辅助服务以及其他服务所必需的,为实现数据作为非排他产品的经济效益,应当设立访问和使用数据的权利。就理论而言,两份文件在一定程度上与数据劳动理论有相通之处,都将参与生成数据视为一定的劳动,参与生成者基于这一劳动贡献有权获取、复制其参与生成的数据,即“谁贡献,谁有权”(以下简称为贡献原则)。
贡献原则的论证逻辑简洁有力,具有一定合理性,但可能使立法者忽视真正需要数据访问权的主体。由于各类主体对数据的需求不一,数据价值在一定程度上具有相对性,即同样的数据在不同主体看来价值迥异。在数据访问权的语境下,这一相对性的表现形式之一是第三方可能比数据来源者有更强的数据访问需求。贡献原则的问题在于,参与数据生成的主体未必需要数据访问权,而第三方恰恰可能需要对此类数据进行访问。例如,独立的工业设备售后服务商为提供维修服务而向设备生产者请求访问有关工业数据,设备所有者使用设备而产生相关数据,但真正需要数据的是售后服务商,贡献原则的逻辑无法为其提供访问依据。
或有论者提出,第三方的访问需求也可以通过与数据持有者合作、数据访问权转让以及用户与第三方共享数据等方式得以满足。首先,数据访问权本用于强制性数据共享,在以机器生成数据作为要素的售后服务、辅助服务等服务市场中,数据持有者与第三方之间往往存在某种程度的竞争关系,缺乏与第三方合作的意愿。其次,基于平衡数据关系的考虑,贡献原则强调主体的特定性,在这一逻辑的作用下,数据访问权往往变成了专属于用户的、不可转让与放弃的权利。最后,欧盟《数据法案》虽然规定第三方可以数据共享形式访问数据,但在贡献原则的逻辑中,可访问的数据范围与“促成产生”挂钩,仅限于用户层面的单条原始数据,而二级市场的服务商往往需要的是衍生数据以及数据集合[8],过于狭窄的可访问数据范围减损了数据访问权的价值,无助于其促进数据流通目的之实现。
此外,数据访问权也有破坏市场秩序、违背竞争公平之嫌疑。在欧盟的实践中,确实有一类存在于汽车售后服务行业的特殊数据访问权:第三方服务商可以直接访问相关汽车数据。但这主要是因为汽车制造商高度垄断汽车数据致使独立的售后服务商难以进入市场,所以需要特殊数据访问权用于打破垄断。而在不存在市场失灵的情况下,法律理应尊重市场自发形成的资源配置格局与市场竞争秩序。数据访问权针对的是机器生成数据,一般情况下其数据持有者不具有市场支配地位,仅以合理访问需求为由引入数据访问权,要求数据持有者承担数据共享义务,可能损害其基于数据产生的竞争利益,甚至导致商业秘密泄露,引发不必要的矛盾作为持有数据的一方,数据持有者高度关心自己的竞争利益是否因数据访问权而受损。2023年2月1日,包括欧洲汽车制造商协会在内的30家行业协会发布一份联合声明,要求欧盟立法者调整《数据法案(草案)》,以保护企业的商业秘密,明确界定数据访问的边界,减少《数据法案(草案)》可能给欧洲数字经济带来的不确定性。参见
Joint Statement: The data act is a leap into the unknown. (2023-03-02)[2023-04-15].https://www.digitaleurope.org/news/joint-statement-the-data-act-is-a-leap-into-the-unknown/。
。这也是有学者认为数据访问权可以存在于具有市场失灵情况的特殊行业,但不能推广至所有行业的原因[9]。
(三)法理重构:利益衡量论下的数据访问法理
贡献原则作为数据访问权的法理基础,存在访问逻辑与权利设置的理论缺陷,因而有必要重新审视数据访问权。从利益衡量的角度来看,用户与第三方的数据访问权在满足用户服务需求的范围内成立,其均可访问机器生成数据或数据集,超过这一必要范畴就不再具有正当性,贡献原则只是这一逻辑的部分反映。
1.利益衡量论的引入
利益衡量作为一种“可操作的正义”[10]525,能够帮助我们洞察数据访问权概念背后的利益冲突,重新认识其法理基础。利益法学认为,权利是为了满足人的利益,利益之间会产生冲突,法律的实质就是对类型化了的利益冲突进行调整,规定哪一利益处于优先地位,其他利益居于其后[11]160。这一利益衡量的观点要求查明利益,并按照一定衡量标准决定何种利益优先得到保护。尽管利益衡量论常常因为衡量标准不够客观而为学者所诟病,但作为一种思维方式,它可以避开繁复的法律概念和模糊的道德说理,从利益视角评价权利的正当性。对基于经济因素而设立的数据访问权而言,这无疑是十分契合的理论分析工具。
识别利益是利益衡量的首要前提。对数据访问权而言,用户、数据持有者、第三方之间的典型关系是:用户从产品生产者或销售者处购买、租赁产品或服务,使用产品或服务产生的数据被数据持有者(一般是产品生产者或服务提供者)收集,第三方为了向用户提供与产品有关服务需要使用机器生成数据。以数据是否关涉个人信息为标准,围绕机器生成数据可能存在以下主要利益:其一,机器生成数据是个人数据,此时数据来源者(用户)对个人数据有保护需求,数据持有者、第三方以及政府部门对个人数据有利用需求[12]。由于《中华人民共和国个人信息保护法》(以下简称为《个人信息保护法》)已经规定了个人数据处理规则,无论各方利益需求如何,对数据进行处理时必须遵守上述规范,因而下面不再展开。其二,机器生成数据非个人数据。在此情况下,主要涉及用户、第三方的数据利用需求,涉及利益包括数据持有者因持有数据产生竞争利益和商业秘密等既有利益以及表现为市场竞争秩序的社会公共利益。用户与第三方之间一般是合作关系,不涉及主要利益冲突。数据访问权使得用户以及第三方可以获取数据持有者持有的机器生成数据,前者的数据利用需求可能会与后者的既有利益产生冲突,进而对市场竞争秩序产生积极或消极影响。
社会利益最大化可以作为衡量标准。为避免评价的恣意性,进行利益衡量之前须确立衡量标准。一般认为,不同利益之间存在优先保护顺序不过,在很多时候,难以对异质利益背后代表的价值进行抽象层面的排序,如自由与公正。一种可行的方式是在个案中进行具体评价。参见梁上上:《利益衡量论》(第二版),法律出版社2016年版,第112页。,如人身利益高于财产利益,基本权利高于非基本权利,以及法律规定的权利实现顺序(同一物上的不同担保权等)。但这种基于社会共识或法律规定的利益位阶在新兴的数据法律关系中尚未完全形成。一种可行的思路是,在不违背社会伦理共识的前提下,选择最有利于促进社会利益的利益顺序,即社会利益最大化标准。这是因为:一方面,数据访问权主要涉及数据市场中的竞争利益,竞争法关注的是市场竞争效率最大化[13],“保护竞争,而非竞争者”的理念依然适用;另一方面,个人数据的存在使得道德伦理继续发挥作用。下面将以社会利益最大化作为衡量标准,分析数据持有者的既有利益与用户、第三方的利用需求之间的冲突。
2.用户与数据持有者之间的利益冲突与平衡
从理论上看,数据持有者的既有利益主要在于机器生成数据带来的竞争利益以及可能涉及的商业秘密。数据虽然具有非竞争性,但对于在产业链中处于竞争位置的主体而言,当持有的数据已经形成某种竞争优势,如只有获得该数据才能对产品进行改造或有效提供其他服务时,他们必然不会主动将数据提供给其他主体。另外,某些机器生成数据确实可能涉及商业秘密,如通过该数据可以推测出某些技术参数。因此,数据持有者天然缺乏与他人共享数据的动力。
用户利用机器生成数据的需求与数据持有者的既有利益之间的矛盾,是数据访问权的一对基础矛盾。对用户来说,利用机器生成数据的主要目的是提升产品使用体验,包括了解运行情况、提升性能、维修产品等。企业作为用户时,还可能将机器生成数据用于研发、企业内部协作。在机器生成数据构成商业秘密时,用户可能通过数据反推出某些技术细节,商业秘密的价值性也增加了技术泄露风险(如竞争者通过购买设备获取商业秘密)。这既损害了数据持有者的竞争利益,又可能造成竞争者之间互相窃取商业秘密的恶性局面,破坏了正常的市场竞争秩序,不符合社会利益最大化的要求。这一点,对于第三方访问数据而言也是适用的。
在机器生成数据不构成商业秘密的情况下,允许用户获取机器生成数据,且不与第三方共享,这种访问能够实现社会利益最大化。一方面,数据获取提升了用户使用体验,而且没有损害数据持有者的竞争优势,至多只是带来数据共享成本负担;另一方面,数据共享也可以作为产品服务的一部分,有利于数据持有者推广自己的产品。在这一层面,用贡献原则来描述用户的数据访问权是十分恰当的。
3.第三方与数据持有者之间的利益冲突与平衡
问题在于,用户所需的服务很多时候由第三方有偿提供。无论是与第三方共享机器生成数据,还是由第三方代表自己获取机器生成数据,这些共享或获取数据的需求均直接与数据持有者的既有利益产生冲突。对于数据持有者而言,持有的机器生成数据可以用于自己开发或更新产品服务,或者作为交易筹码与利益相关方(很多时候可能是其子公司或与之深度绑定的服务商)合作,形成产业链。在机器生成数据不构成商业秘密的情况下,如果允许一个与数据持有者不存在利益往来的第三方获取该数据,可能产生的结果包括:其一,第三方可以借此开展业务,获取经济利益,新的竞争者加入市场,可以促进市场自由竞争;其二,数据持有者丧失竞争优势或潜在商业机会,有损其创新积极性,第三方之行为可能构成“搭便车”,损害公平竞争秩序。为此,欧盟《数据法案》特意强调第三方不得利用访问所得数据开发竞争产品或以此为目的再次分享数据。我们似乎发现,这一问题演变成了自由竞争与公平竞争之间的冲突,难以评判哪一价值会更有利于社会利益最大化,只能在个案中根据《中华人民共和国反垄断法》《中华人民共和国反不正当竞争法》等法律进行异质利益衡量。
实际上,依照社会利益最大化标准,在满足单个用户服务需求的目的下,第三方的数据访问需求高于数据持有者的竞争利益,其数据访问权依然成立。上述看似不可解的利益冲突只是假象,因为它的分析仍然以互联网平台数据作为蓝本,忽视了机器生成数据的特点。机器生成数据因使用机器设备而生,而用户已经为机器设备支付了对价,这决定了在法律保护方式上我们不能以互联网平台数据类比机器生成数据。
首先,数据持有者不能以提供免费服务为由要求法律对机器生成数据加以特殊保护。在互联网经济中,企业以免费基础服务换取用户偏好数据,基于数据产生的增值服务是互联网价值链中关键的一节,数据一方面因此成为平台企业的宝贵资产[14]18,另一方面与算法一起创造了平台企业的算法权力[15]。这一商业模式驱使互联网企业以各种名义要求法律保护其持有的平台数据,我国法院往往基于朴素的劳动财产观响应这一要求,即便这一保护请求有时可能缺乏规范依据[16]。对机器生成数据来说,用户以买卖或租赁等方式获得机器设备,已经支付对价。这种一次性交易的商业模式中并不存在“免费基础服务+增值服务”的流程,机器生成数据只是机器设备运行过程中产生的副产品。如果说司法者必须考虑不保护平台数据对当前互联网商业模式产生的负面影响,进而在实质上承认企业对平台数据一定的控制权,那么在作为生产者的数据持有者没有提供免费服务,用户已经为机器设备支付对价的情况下,法律没有理由对之加以特殊保护。这不是指数据持有者对机器生成数据没有任何权益,而是指其没有排除他人访问的控制权。
其次,公平竞争秩序没有受损,数据持有者的创新动力问题难以成立。数据持有者作为制造商,主要收入源自设备销售,真正激励其开发新产品的是用户需求[8],而不是控制数据所带来的收益,将数据控制作为对数据持有者的激励并不恰当。在此情况下,法律对机器生成数据的保护程度应当弱于对互联网平台数据的保护程度。因为,如果第三方能以合理使用为由使用爬虫抓取互联网平台数据(如搜索引擎抓取网页数据),那么没有理由认为第三方利用机器生成数据提供服务会损害公平竞争秩序。同时,允许第三方在满足用户需求的范围内使用机器生成数据还有利于打破锁定效应,促进数据服务多样化,提升消费者福利。
或有学者认为,这种访问会损害数据持有者的竞争利益,因而不具有正当性[17]。“损害即不正当”也是我国数据领域司法实践中经常出现的错误认识,其误区在于,竞争法从未认为损害竞争利益的行为一定具有违法性,因为竞争本身就伴随着损害。即便在爬虫抓取平台数据的分析框架下,判断抓取行为的正当性也是围绕该行为的可责性、抓取结果是否有利于创新、产出的数据产品价值等因素综合考虑,被抓取平台的竞争利益或优势是否受到损害本就不在考虑范围之内[18]。
因此,允许第三方访问机器生成数据,虽然可能损害了数据持有者的竞争利益,但并没有损害公平竞争秩序,总体上仍是促进了市场竞争,符合社会利益最大化的要求。应当注意,上述逻辑只在满足用户需求范围内成立。一方面,第三方的利用需求本质上源于用户,用户只为自己的机器设备支付对价。另一方面,数据持有者收集、加工的机器生成数据或数据产品不局限于单个用户产生的数据。对此,可以要求第三方按照服务单个用户之需求目的进行数据访问,如可以通过比例原则等法原则约束第三方的数据访问范围,这一点将在后面分析。
通过分析用户与数据持有者、第三方与数据持有者等两组关系中的利益矛盾,我们发现:允许用户和第三方在满足用户服务需求的范围内访问机器生成数据或数据集,尽管会对数据持有者的利益造成一定影响,但总体上可以有效促进数据使用,提升市场竞争效率,实现社会利益最大化,这一逻辑也有助于厘清数据访问权的边界。在这一意义上,贡献原则只反映了数据来源者(用户)与数据持有者之间的利益冲突,未能整体洞彻数据访问权背后的利益格局。
三、数据访问权的功能定位
作为一类新型数据权利,数据访问权的工具属性十分强烈,如果其在后续立法中得以落实,势必对数据市场产生深远影响。为此,有必要结合《数据二十条》以及我国相关数据立法、司法实践,厘清数据访问权与相关数据权利、行为之间的关系,明晰其在我国数据法律制度中的功能定位。
(一)限制数据持有者权利
数据访问权虽然使得数据来源者与第三人能够访问数据,但其也在很大程度上默认了数据持有者对数据的事实控制合法。数据来源者有权转移、复制相关数据,数据持有者有义务提供数据。这一法律关系的潜在含义是,数据持有者对数据的事实控制地位是合法的,法律基于利益衡量,准许数据来源者可以从数据持有者处获取、转移相关数据,至于这一事实控制地位是否具有正当性则不在数据访问权的考虑范围之内。有学者就此批评欧盟《数据法案》看似没有创设数据持有者权利,实际却变相承认数据持有者拥有类似于知识产权的权利,数据访问权的本质是法定许可[19]。而我国《数据二十条》规定的数据资源持有权、数据加工使用权、数据产品经营权(以下简称为“数据三权”)更接近于对事实的确认而非法律规范上的评价。
数据访问权可以限制数据持有者权利,促进数据有效流通。立法者默认数据持有者的控制地位,既是对现实的妥协,也是对数据持有者的限制。一方面,数据持有者通过技术控制产生事实上所有权,法律即便否认这一控制的正当性,也无法通过立法直接改变数据资源分布现状。如此立法既不现实,也可能遭到企业大规模的无声抵制,损害法律的权威性,得不偿失。另一方面,赋权亦是限权。这里包含两层含义:第一,数据访问权本身要求数据持有者在一定条件下负担数据共享义务,打破了其对数据的绝对控制。这一“权利-限制”的安排大量存在于法律之中,如著作权中的合理使用制度便是著作权人与其他主体之间利益衡平的结果[20]。具体到数据领域,个人数据可携权也有相同作用。个人数据可携权被认为可以打破锁定效应[21],降低中小企业从事相关业务的门槛。相似地,数据访问权也使得数据来源者可以获取转移数据,第三方也有机会使用此类数据,数据持有者不再独家控制数据。第二,《数据二十条》赋予的“数据三权”也是对数据持有者权利的限制。如前所述,数据持有者无须任何法律赋权也能控制数据流通,法律构建数据持有者权利,实际上也是明确其控制数据的边界。在这一点上,相较于欧盟《数据法案》默认数据持有者的控制地位,《数据二十条》选择直接构建数据产权制度,无论这一选择是否更优,至少就权利框架而言是更为清晰的。
数据访问权还可以作为“数据三权”的产生依据。根据《数据二十条》第七条,数据加工使用权可以依法取得或依当事人合意取得。如之前分析,无论是数据来源者还是第三方,访问数据的实质都是获取、使用数据,这意味着访问主体可以据此获得数据加工使用权,即依法取得数据加工使用权[22]。当前,我国正在以数据知识产权地方试点工作探索“数据三权”的具体实现方式数据知识产权试点先行先试.(2022-12-23)[2024-04-02].
https://www.cnipa.gov.cn/art/2022/12/23/art_55_180961.html。
。由此,一个现实问题是:如果数据持有者将数据进行数据知识产权登记,数据来源者或第三方能否主张数据访问?从数据访问权的原理来看,数据持有者如何加工、使用或登记其持有的数据,是其自由所在,不影响其负担的数据共享义务,这是两个方面的问题。只要数据来源者或第三方依法提出访问申请,即便数据已经被加工为数据产品,数据持有者也应当履行数据共享义务,根据访问需求提供原始的机器生成数据或者数据产品中对应的部分数据,否则数据访问权就有落空的可能。当然,数据来源者或第三方也不能访问超过必要限度的数据,但这一点本身已经为数据访问权的目的所强调,与登记无涉。同样,数据来源者或第三方访问所得数据经加工之后,只要符合登记条件,仍然可以进行数据知识产权登记。
(二)提供数据价值共享的权利依据
机器数据的产生牵涉多方主体,因此任何一方对之主张排他控制都难以得到法律承认,在尊重各方参与贡献的基础上,数据访问权提供了各方共享数据价值的权利依据。从数据来源者的角度来看,数据访问权并非排他性的财产权利,赋予数据来源者访问权并不会阻碍数据持有者继续加工使用数据,反而有利于促进数据利用,这也是尊重数据来源者参与数据生成的体现。进一步分析,如果认为数据来源者参与数据生成也不足以使得其获得访问权利,那么数据持有者没有参与数据生成,只是收集整理,也没有理由认为其就可对数据实施排他控制,因为先占原则在数据领域并不适用。在这一意义上,共享数据价值符合多方利益,数据访问权之设置也契合企业数据权益的权利束性质[23]。
从第三方的角度来看,尽管数据共享是充分挖掘数据价值的重要渠道,但仅仅依靠市场的自发力量,机器生成数据的共享难以充分实现。一方面,出于竞争优势的考虑,数据持有者缺乏与他人共享数据的动力。另一方面,第三方相较数据持有者可能处于弱势地位,谈判协商结果可能对其不利。数据访问权虽然不能直接增强第三方的谈判地位,但可以为其共享数据提供权利依据,在谈判无法形成共识的时候,也可以依法定权利进行数据访问。但也应指出,与通过当事人之间的合意来利用数据相比,数据访问权只提供了能够满足最低限度需求的数据共享渠道,这不能也无法替代正常的数据交易,正如个人数据可携权不能取代企业间的数据合作。
对于数据持有者来说,数据共享对竞争优势的削弱程度有限,毕竟访问数据范围始终可控,推行利益主体间的数据共享反而有可能扩大其影响力。数据访问权的落地离不开互操作性的设置,而构建不同平台间的互操作性对于数据持有者来说也具有重要意义。互操作性也称兼容性,是指通过一定的技术标准使不同设备、平台、系统之间可以兼容或互操作[24]。在构建数据访问权要求的互操作性环境的过程中,数据持有者可以推行自己的数据技术标准,扩大技术影响力,不同平台、设备之间的兼容性也可能使得其有机会获得更多的数据。不过,互操作性也可能导致技术标准垄断,阻碍新兴技术标准的产生。
(三)平衡相关主体的利益诉求
数据访问权不同于一般的民事实体权利,它并不侧重于保护单一主体的利益,而是试图平衡各方利益诉求,访问数据与各参与方的经济利益直接关联。就此而言,作为权利工具,数据访问权的治理功能远甚于个人数据可携权。
首先,数据访问规则可以作为一种事前监管规则。尽管数据能否作为竞争法上的必要设施在理论界还存在一定争议[25],但现实中由数据引发的反垄断问题已经开始出现,如国内首起公共数据反垄断诉讼案[26]。在该案件中,被告与全国车险平台合作,将获得的车险数据以付费查询的方式经营,且只有企业才能查询,作为车险数据来源者的自然人即便愿意付费也无法获取相应数据。被告之行为是否构成滥用市场支配地位或许有待确认,但仅以数据访问权视角观之,限制作为数据来源者的自然人查询车险数据这一做法不具有正当性。这也证明,设置合理的数据访问规则能够从事前减少争议行为。有学者认为除非存在不利的垄断行为,否则法律不应当提前介入数据市场[27]。但事实上,传统的竞争法之所以着重强调事后监管,很大程度上是因为缺乏事前监管与事中监管的手段[28]。如果监管者可以通过设置一套合理的数据访问规则进行预防性监管,那么也没有必要固守事后监管理念。对此,欧盟《数据法案》设置的数据访问权也被认为沿袭了欧盟竞争法精神,具有事前防止垄断的作用[29]。
其次,数据访问权也为各参与方提供了沟通对话的契机。法律史上可能从来没有任何权利像数据权利(益)一样错综复杂,又直接关系相关利益分配。数据访问权作为一种治理型权利,可以在不同主体之间起到对话协商的作用,完善数据治理体系。从数据治理的角度来看,对数据访问权的理解实质上包括了对创新与竞争的理解[30],也牵涉到数据公平利用,因而不能仅从数据持有者与数据接收者的双边关系来看待数据访问制度。无论是设计数据访问规则,还是构建数据访问环境,都离不开各方主体之间的沟通、协商乃至博弈,而非监管者一家之言下定论,也只有经过上述过程产生的数据访问权才有落实的可能。例如,互操作性的构建可能需要行业协会、头部企业牵头参与,监管者在这一过程中可以作为协商者、主导者,但不宜直接下场强行推广“一刀切”标准。这在个人数据可携权上也有所体现:《个人信息保护法》第四十五条第三款虽授权国家网信部门制定具体的个人数据转移条件,但这并不意味着网信部门可以忽视市场主体,自行制定标准。
四、数据访问权的现实进路
数据访问权如何从纸面走向实践将是一大难题,尤其是在该权利的理论基础仍饱受争议的当下。成熟的法律规则与技术手段是个人数据可携权落地的关键[31],对数据访问权来说也是如此。就法律制度而言,应当汲取欧盟《数据法案》的经验,我国未来的数据访问规则不宜规定过细,应当遵循从原则到规则的场景化立法路线,在尊重现有法律的基础上逐步推进数据访问权落地。从现实来看,工业数据空间可以作为实现数据访问权的技术手段。
(一)场景化访问规则设计的考量因素
《数据二十条》只对数据访问权作了概括式规定,如何将之从政策文件变成法律规定将是未来数据立法的重难点。欧盟《数据法案》对数据访问权的规定过于僵硬,并不是值得借鉴的对象,但可以作为经验教训,避免有关立法走向误区。就当前而言,数据访问权的立法设计宜粗不宜细,现实途径是根据访问场景设计访问规则。
法律规则的适用范围与具体程度成反比:规则越具有针对性,适用范围就越窄。作为新型权利,数据访问权的理论基础不够牢固,所应对的现实问题尚在变化之中,因此相关权利行使规则不宜过于详细。欧盟《数据法案》设计的数据访问规则十分精细,也因此引发了许多争议。数据访问权虽然是法定的非合同权利,但有关主体往往处于买卖、租赁等合同关系之中,数据访问权便可能被规定在合同中。据此,欧盟《数据法案》对合同内容、无效情形等作了详细规定。这种对数据来源者的特殊保护不一定具有正当性,因为数据来源者极可能是理性的商业主体而非个人,过度保护反而可能不利于其利益[1]。例如,数据来源者完全可以在合同中放弃数据访问权以换取数据持有者在其他方面的让步,但欧盟《数据法案》认为放弃该权利的合同条款无效,法律的刻意保护反而变成了一种束缚。
更重要的是,数据访问权涉及的数据类型、访问场景十分宽泛,试图制定一套放之四海而皆准的访问规则并不可行。首先,不同类型的机器生成数据对应的处理规则不同。例如,智能穿戴设备产生的健康数据与个人高度关联,对该类数据的处理应当严格遵循“知情—同意”或基于法定事由的个人信息或个人隐私保护的处理规则;而农业生产设备产生的机器数据不具有人格属性,对其利用更多地强调利益共享而非人格保护。其次,访问场景之间的差异性远大于共性。在欧盟已有的三类数据访问场景中,对共同生成数据集的个别访问场景与为创新目的进行的访问场景之间几乎不存在共通之处,强制不同场景适用同一套访问规则不具有实际意义。当然,这并不意味着一般意义上的数据访问权没有存在价值,而是需要结合访问对象、访问场景来具体化。
由于数据利用高度依赖场景,基于场景设计访问规则具有可行性。在界定访问场景时,应当考虑如下因素:第一,个人数据处理应当具备合法性,符合《个人信息保护法》等法律规定。在机器生成数据中,有相当部分数据可能与个人相关联,即个人(机器生成)数据,对这类数据的处理须遵循个人信息处理相关规则。如果这部分数据无法从技术上单独处理,那么对于混合数据也应当予以较高程度的重视,以体现对人格尊严的尊重。第二,访问范围与访问目的相适应。访问范围过窄或过宽都不符合数据访问权的要求。如果访问范围过于狭窄,仅包括参与生成的原始数据,数据访问权难以发挥应有作用;而如果访问范围过于宽泛,则可能使得数据持有者的数据权益形同虚设。无论是对数据来源者,还是对第三人,比例原则都可以平衡访问需求与数据持有者权益之间的冲突。具体而言,可以根据访问必要性、访问范围最小化、访问范围与访问目的相称等细则加以判断。在参与生成的基础上,结合访问目的来确定数据访问范围,可以兼顾双方利益。第三,原则上应当依照访问目的利用数据,当然,也可与数据持有者进行协商。一个原因在于,超出访问目的利用数据,不符合上文比例原则的要求。
(二)以技术架构作为实现手段
实现数据访问权离不开法律规范,但技术的作用也不容忽视。个人数据可携权的实现离不开数据格式、步骤、访问技术标准等互操作环境,而这一权利本身也在促进不同平台间的互操作性[32],数据访问权亦复如是。实现互操作性需要多个法律部门长期协作,绝非一日之功。仅就数据共享技术的选择来看,工业数据空间(industrial data spaces,IDS)可能提供了一条可行的数据访问技术实现路径。
工业数据空间是指通过一定技术建立的可信安全的数据共享环境,支持供需双方数据“可用不可见”共享开发的虚拟架构[33]。近年来,欧盟、英国、日本等国家或地区大力推动工业数据空间发展,先后出台多项支持政策;中华人民共和国工业和信息化部也将“在重点行业建立工业数据空间”列入工业互联网创新发展行动计划工业互联网创新发展行动计划.(2021-2023年) (2020-12-22)[2023-06-12].https://www.miit.gov.cn/zwgk/zcwj/wjfb/txy/art/2021/art_710b90df3c01495bb0429fa9ee781cdd.html。。该技术虽然用于制造业企业间的数据共享,但作为一种虚拟架构,其设计理念对于机器生成数据来说依然是适用的。首先,工业数据空间的技术特点是数据共享全流程安全可控,可以消弭数据持有者对于数据访问可控性的担忧。例如,如果数据持有者认为某些数据不可复制转移,但又确实为数据来源者所需要,便可要求数据来源者通过工业数据空间进行访问,在其使用一定时间或次数之后,将该数据删除,整个访问过程都处于数据持有者的控制之中。其次,从更为宏观的角度来看,这一技术架构也是一种约束。事物的架构可以作为约束行为的重要手段,架构与法律规则互相影响[34]134-135。例如,香烟的不同制作工艺可以让人更容易或难于上瘾,法律也可以规定制作工艺标准。在虚拟空间中,架构就是代码。当人们能够通过信息技术对行为进行有效规制时,技术与法律的边界开始模糊,产生“代码即法律”的现象。对数据访问权而言,选择数据共享技术,也是在选择行为约束框架。
或有观点认为,工业数据空间一般用于企业间自愿数据共享,而数据访问权属于强制共享,二者预设的使用场景不同,不能以工业数据空间实现数据访问权。这一见解过于强调技术目的,不免陷入认识误区。数据访问权虽以强制共享作为基础,但真正落地仍然离不开数据持有者的配合。所谓强制性是指共享数据作为数据持有者的义务,而具体如何实现需要数据持有者和需求方达成一致。再者,虽然工业数据空间预设的使用场景是工业数据交易,但技术是为目的服务的。要想将数据访问的场景嫁接到工业数据空间,只需按照数据访问权的要求对其框架进行调整即可,真正重要的是这一技术架构可能契合数据访问权的要求。从现实来看,没有道理认为工业数据空间与数据访问权完全不兼容。根据中国信息通信研究院发布的研究报告,我国现有的工业数据空间实践重视数据安全可信流通,可以保障数据持有者提供的数据不被发送给其他主体2022可信工业数据空间系统架构1.0白皮书.http://www.aii-alliance.org/index/c318/n3019.html。。这种技术设置完全可以应用于数据访问权。
五、结 语
作为一种新型数据权利,我国《数据二十条》借鉴欧盟《数据法案》的规定,认为数据访问权本质上是立法者对机器生成数据利益进行再分配的权利工具。如同其他新型权利,数据访问权存在法理基础不牢固、权利设置存疑等问题。运用利益衡量方法分析数据访问权背后的两组利益矛盾,我们发现,在总体利益最大化的衡量标准下,用户(数据来源者)以及第三方的数据访问权只在满足用户服务需求的范围内成立,超过这一范畴就不再具有正当性。我国《数据二十条》规定的“谁贡献,谁有权”只是这一逻辑的部分反映。围绕这一逻辑,可以运用比例原则等法律原则来限定访问数据范围。
数据访问权的意义不限于访问本身。在数据治理体系中,数据访问权还有限制数据持有者权利、提供数据共享的权利依据和沟通各方主体等功能,可以进一步完善数据治理体系。场景化设计访问规则是数据访问权实现的制度前提,而工业数据空间可以在技术层面辅助实现数据访问权。
但数据访问权要从理论走向实践,还有许多问题需要解决,如怎样从法律上保障数据访问权可实现,数据访问权是可诉的权利还是程序性的沟通权利,数据访问权的互操作性应当如何构建等。这些问题难以在短时间内找到答案,欧盟《数据法案》也未给出令人满意的安排。根本上,数据访问权谈不上是机器生成数据流通的最佳方案,只是解决了数据流通中的强制共享问题,或者更为准确地说,只解决了其中的部分法律问题。这也让我们明白,数据的法律之治仍然是动态、开放的,不存在一套法律方案可以一劳永逸地解决数据流通问题。
参考文献:
[1] 丁晓东.论数据来源者权利[J].比较法研究,2023(3):14-25.
[2] 李晓宇.智能数字化下机器生成数据权益的法律属性[J].北方法学,2021,15(2):44-53.
[3] 司马航.欧盟数据财产权的制度选择和经验借鉴——以欧盟《数据法》草案切入[J].德国研究,2022,37(3):107-124.
[4] DREXL J, FETZER T, GRUNBERGER M, et al. Data access, consumer interests and public welfare[M]. Baden-Baden: Nomos, 2021.
[5] 陈舟,郑强,吴智崧.我国数据交易平台建设的现实困境与破解之道[J].改革,2022(2):76-87.
[6] 蔡培如.个人信息可携带权的规范释义及制度建构[J].交大法学,2023(2):59-73.
[7] 丁晓东.数据公平利用的法理反思与制度重构[J].法学研究,2023,45(2):21-36.
[8] KERBER W.Governance of IoT data: why the EU data act will not fulfill its objectives[J].GRUR International, 2023, 72(2): 120-135.
[9] 李依怡.论企业数据流通制度的体系构建[J].环球法律评论,2023,45(2):146-159.
[10] 默勒斯.法学方法论[M].杜志浩,译.北京:北京大学出版社, 2022.
[11] 拉伦茨.法学方法论[M].黄家镇,译.北京:商务印书馆,2020.
[12] 张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3):38-59.
[13] 孔祥俊.《民法总则》新视域下的反不正当竞争法[J].比较法研究,2018(2):92-116.
[14] 胡凌.探寻网络法的政治经济起源[M].上海:上海财经大学出版社,2016.
[15] 刘颖.数字社会中算法消费者的个人信息保护体系构建[J].广东社会科学,2022(1):261-271.
[16] 杨芳.个人公开信息爬取中侵权法与竞争法的互动[J].中国法律评论,2022(6):143-157.
[17] 周樨平.大数据时代企业数据权益保护论[J].法学,2022(5):159-175.
[18] 蔡川子.数据抓取行为的竞争法规制[J].比较法研究,2021(4):174-186.
[19] ECKARDT M,KERBER W. Property rights theory, bundles of rights on IoT data, and the EU data act[J]. European Journal of Law and Economics, 2024: 1-31.
[20] 李杨.著作权合理使用制度的体系构造与司法互动[J].法学评论,2020,38(4):88-97.
[21] 王锡锌.个人信息可携权与数据治理的分配正义[J].环球法律评论,2021,43(6):5-22.
[22] 许可.从权利束迈向权利块:数据三权分置的反思与重构[J].中国法律评论,2023(2):22-37.
[23] 周樨平.大数据时代企业数据权益保护论[J].法学,2022(5):159-175.
[24] 周汉华.互操作的意义及法律构造[J].中外法学,2023,35(3):605-624.
[25] 陈永伟.数据是否应适用必需设施原则?——基于“两种错误”的分析[J].竞争政策研究,2021(4):5-17.
[26] 蔡晓仪,杜玉全.国内首例公共数据反垄断诉讼案:车险数据查询平台被诉滥用市场支配地位,法院已受理[EB/OL].(2022-09-21)[2023-06-10].http://k.sina.com.cn/article_6105713761_16bedcc6102001582s.html.
[27] 丁晓东.数据公平利用的法理反思与制度重构[J].法学研究,2023,45(2):21-36.
[28] 杨东.论反垄断法的重构:应对数字经济的挑战[J].中国法学,2020(3):206-222.
[29] RIIS N.Shaping the field of EU data law[J].Journal of Intellectual Property,Information Technology and Electronic Commerce Law,2023,14,(1):54-65.
[30] 王洪亮,叶翔.数据访问权的构造——数据流通实现路径的再思考[J].社会科学研究,2023(1):71-84.
[31] 丁凤玲,彭建.还数于民:实现个人数据自决的“新”数据中介[J].华中科技大学学报(社会科学版),2023,37(4):74-84.
[32] DE HERT P, PAPAKONSTANTINOU V, MALGIERI G, et al.The right to data portability in the GDPR: Towards user-centric interoperability of digital services[J].Computer Law & Security Review, 2018, 34(2): 193-203.
[33] 刘丽超,高婴劢,王宇霞.德国工业数据空间建设经验解析及启示[J].软件和集成电路,2023(5):76-79.
[34] 莱斯格.代码2.0:网络空间中的法律[M].李旭,沈伟伟,译.北京:清华大学出版社,2018.
Maximizing Data Use: Legal Reflection and Functional Positioning of the Data Access Rights
DING Fengling PENG Jian
(Law School, Fuzhou University, Fuzhou 350108, Fujian, China)
Abstract: In order to facilitate the circulation of machine-generated data, the European Unions The Data Act (draft) proposed the right of users to access and use data, which is also stipulated in “Opinions of the CPC Central Committee and The State Council on building a Data Basic System to better play the role of data elements”. The principle underlying this right is “who contributes, who has the right”, but this theory lacks a basis for accommodating the access needs of third parties, and the right itself also raises suspicions of undermining fair competition. From the perspective of balancing interests, under the standard of maximizing social interests, both users and third parties should have the right to access machine-generated data or data sets within the scope of meeting users service needs. At the same time, the relevant personal data protection system should be observed. This interest-based logic is more aligned with the original intention of the data access right than the “who contributes, who has the right” principle. The significance of the data access right extends beyond access itself; it also encompasses limiting the rights of data holders, providing a basis for value sharing of data, and creating opportunities for dialogue among all participants. In terms of implementation, due to the diversity of data types and access scenarios, access rules need to be scenario-designed, and technical architectures such as industrial data spaces can be used as a means of realization.
Key words:machine-generated data; data access right; data producer; data holder