王利明:数据何以确权
《法学研究》为中国社会科学院主管、法学研究所主办的法律学术双月刊。本刊坚持学术性、理论性的办刊宗旨,着重于探讨中国法治建设进程中的重大理论和实践问题,致力于反映我国法学研究的最新成果和最高学术水平。本刊曾获中国社会科学院优秀期刊、全国百强社科期刊、中国政府出版奖提名奖、法学类顶级期刊等荣誉称号。
投稿、全文阅读或下载过刊,均请登录本刊网站:www.faxueyanjiu.com。
内容提要:我国民法典已经确认了数据的民事权益客体属性,为数据确权提供了民事基本法层面的依据。虽然有关数据政策和地方性立法确认了数据权益,但在全国性立法层面并没有对数据确权作出回应。数据确权是数据立法需要解决的关键问题,数据确权有利于保护劳动,可激励数据生产,促进数据流通,强化数据保护。由于现有法律制度如反不正当竞争法、知识产权法、个人信息保护法等无法实现对数据的全面保护,因此数据确权立法势在必行。数据立法要在区分数据来源者和数据处理者权利的基础上,构建数据确权的双重权益结构,尊重和保护数据来源者的在先权益,确认和保护数据处理者的财产权益,包括持有权、使用权、收益权、处置权以及数据财产权遭受侵害或者妨碍时的停止侵害、排除妨碍和消除危险请求权。
关键词:数据确权;数据流通;双重权益结构;合理使用
目录
引言
一、为何确权:数据确权可有效激励数据生产和流通
二、依法确权:现有法律制度不能充分保护数据权益
三、如何确权:构建数据的双重权益结构
结语
引 言
我们已经进入数字经济时代。数据是重要的新型财富,被称为“最有价值的资源”。数字经济在一国的国民生产总值或者国家财富中的比重不断上升,未来世界经济的竞争很大程度上是数字经济的竞争。数据的保护和利用也因此成为各国普遍关注的重大问题。我国民法典第127条对数据权益的民法保护作出了宣示性规定,宣告了数据权益本身就是一种民事权益类型,数据权益作为民事权益体系的重要组成部分,应当受到民法典关于民事权益保护规则的调整。
然而,从立法层面看,我国目前尚无全国性的法律、行政法规对数据权益作出具体界定,一些地方性立法在数据保护方面进行了相关探索。2022年12月2日公布的中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》(以下称“数据二十条”)就建立数据产权制度、数据要素流通与交易、数据要素收益分配以及数据要素治理等基础制度提出了非常全面系统的意见,对于规范数据的保护和利用具有非常重要的指导作用。但是,地方立法和中央政策文件尚不能取代全国性的立法,从国家层面推动数据产权或数据权益保护相关立法,势在必行。数据保护立法需要研究解决的基本问题是数据是否需要确权以及如何确权。有鉴于此,本文拟就数据确权的必要性和路径加以讨论,以供理论界与实务界参考。
一、为何确权:数据确权可有效激励数据生产和流通
所谓数据确权,是通过对数据处理者等赋权,使其对数据享有相应的法律控制手段,从而在一定程度或范围内针对数据具有排除他人侵害的效力。数据的特性是可复制性、非竞争性、非排他性、非耗竭性,这就使得对于数据的取得和利用难以通过物理方式加以阻隔,而必须依靠对数据进行确权等法律手段,否则很难保护相关主体的数据权益。尤其应当看到,数据权益和知识产权等权益的不同之处在于,在数据中存在的各种权益通常并不是归属于某一主体,而是可能分别归属于不同主体。在此情形下,很容易发生各种权益之间的冲突,数据处理者的权利难以得到保护,尤其是不能形成对数据生产和流通的有效激励机制。
经济学认为,激励是一个人对惩罚或奖励产生预期从而作出相应的反应。数据确权旨在建立促进数据生产的激励机制,进而更好地开发和利用数据,更好地发挥数据作为新型生产要素的作用。
(一)数据确权有利于激励数据生产
激励数据生产必须尊重和保护劳动。在数据的开发过程中,数据处理者投入大量的资金、人力和物力,需要通过法律赋权使其产生合理预期,从中获得回报、获取收益,否则将极大地挫伤人们创新的动力和积极性。正因如此,“数据二十条”指出要“保障其投入的劳动和其他要素贡献获得合理回报”,并提出建立保障权益、合规使用的数据产权制度,其目的就在于建立激励机制,激励相关主体投入数据的生产和流通,充分实现数据要素价值,激活数据要素潜能,做强做优做大数字经济。
数据是一种新型财产,它蕴藏着难以估量和评价的巨大价值。自然资源具有稀缺性、消耗性和不可再生性,其利用潜能是有限的,而数据资源具有不可消耗性、无限再生性,其利用价值是无限的。数据可以每天数以亿计地产生,例如,日常网络购物、网络约车等过程中会自动产生大量的信息,其通常不会留痕,这些信息若要形成数据,需要由平台经营者收集和加工,才能形成有价值的数据。数据价值的形成、创造都需要相关主体投入一定的资金、技术和劳动。否则,每天大量自动产生的成千上万的信息难以生成可供利用的数据,甚至会自动消失,这也意味着数据财富被白白浪费。因此,数据财产是一种投入劳动才能形成的财产。
数据生产包括数据收集、数据整理和数据挖掘等活动,都依赖劳动。劳动可以创造数据的价值,或者使数据增值,相应地,这种创造价值的劳动应当得到法律的尊重与保护,并需要在法律上构建相应的权利保护机制。从这一意义上说,数据确权是尊重劳动的应然结论。洛克在其著名的《政府论》中指出:“既然劳动是劳动者的无可争议的所有物,那么对于这一有所增益的东西,除他以外就没有人能够享有权利”,这就揭示了劳动不仅创造价值,而且也是财产权的源泉。在马克思“劳动价值论”的观念下,劳动成为产权的来源。这一原理同样可以适用于数据确权问题。“数据二十条”指出,“尊重数据采集、加工等数据处理者的劳动和其他要素贡献”,也意在强调尊重与保护相关主体在数据生产中的劳动和贡献。我国司法实践也采纳了这一原理。例如,在“淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争纠纷案”中,法院肯定了淘宝对数据产品形成投入的劳动应当受到保护。但该案并没有回答在法律上是否应当承认其对形成的数据产品享有权益。数据处理者合法实施的数据处理行为需要付出相应的成本,理应享有相应的民事权利。
数据确权有利于激励数据生产。具体而言:一是保护预期。有恒产者有恒心。这里的“产”,不限于在农业社会存在的动产和不动产,也不限于在工业社会产生的知识产权,还应当包括大数据时代的新型财产即数据。只有保护数据财产,才能使人们产生未来取得利益的合理预期,从而产生投资、生产数据的意愿,产权的激励效应由此得以发挥。这种期待包括数据处理者能够享有相关权利的期待,能够持有、加工、使用数据资源的期待,能够将数据投入流通并充分利用的期待,能够将数据用于融资担保、投资入股的期待等。二是“逐数兴业”,即通过便利计算数据投资及其合理回报,鼓励企业大力生产数据,投资创业。对数据确权后,相关主体进行数据投资时,就可以对成本与收益进行更为精确的计算。赋予数据处理者相应的权利,实际上是保障数据处理者相应的收益,只有在收益大于成本时,数据处理者才会有生产数据的动力,如此才能激励人们积极投入数据生产。三是定分止争。数据确权是数据保护的前提,也是数据保护的基础。如果法律没有对于数据处理者及其他主体针对数据享有的权益作出公正、高效与合理的界定,那么围绕数据归属和利用的纷争将难以从根本上解决,从而不利于数据生产。
(二)数据确权有利于促进数据流通
从经济学角度看,确认产权不仅为交易和流通提供了前提,也有助于提高交易和流通的效率,降低交易和流通的成本。科斯定理认为,只有在初始权利确定后,才能产生交易,一旦交易成本大于零,产权就是重要的,不同的产权界定所隐含的交易成本是不同的。只有合理界定产权,才能降低交易成本,从而鼓励交易。问题在于,如何降低交易成本。这就必须寻求交易成本相对较低的产权制度安排。虽然上述观点主要适用于有形财产,但其基本原理同样能够适用于数据等无形财产。有学者指出,从历史上看,知识产权的保护促进了作品、商标、专利的披露与流通。类似地,如果不承认数据处理者对数据享有权益,通过合作实现的数据再生产乃至数据的培育和开发利用等就会难以进行。数据确权有利于促进数据流通,具有以下几方面的理由:
第一,数据确权为数据流通提供了确定性和可预见性,从而减少了相应的法律风险。“数据二十条”指出,“探索建立数据产权制度,推动数据产权结构性分置和有序流通”,这就解释了数据确权与数据流通的相互依存关系。从法律上看,数据确权也是数据流通的前提和基础,二者密切联系、不可分割。正如产权学派的代表学者登姆塞茨所言,“当一种交易在市场中议定时,就发生了两束权利的交换。......正是权利的价值决定了所交换的物品的价值”。数据产权安排既是数据合规流通的前提,也是数据合规流通的重要内容。一方面,只有存在明晰的产权,数据交易才具有确定性。随着我国数据市场的蓬勃发展,数据许可利用、融资担保、投资入股等经营方式纷纷涌现,但因为缺乏对数据的确权,相关交易的确定性存疑,这也导致数据流通受阻。如果相关主体对所交易的数据并不享有产权,则当事人能否如愿实现缔约目的,存在不确定性,这也可能危及交易安全和秩序。另一方面,只有对数据进行确权,相关主体才能确信交易具有合法性。反之,数据交易本身可能面临极大的法律风险,当事人对交易缺乏信心,这也是目前影响数据流通的重要障碍。
第二,数据确权有利于减少数据流通的障碍。数据类型具有多样性,数据之上可能存在多种权利,不对数据进行确权,可能会极大地增加权属信息检索成本和其他交易成本,从而妨碍数据交易与流通。一方面,数据处理者不知道其对数据究竟享有哪些权利。在缺乏明确的权利内容规定时,数据处理者自身也许可以对数据进行事实上的利用,但无法通过合法自愿的交易让他人利用数据,因为处理者不知道其是否有权以及在多大范围内有权允许他人使用这些数据,而他人要了解数据的权属状况,也需要付出极高的成本。另一方面,数据的产生还可能是多个主体分工协作的结果,如果缺乏对数据的确权,则在进行数据交易时,相对人可能难以确定该数据的权利主体,不知道该与谁进行数据交易谈判。为了明确数据的权利主体,相对人要么付出较高的成本核验出让人的财产权利,要么采取各种防范交易风险的措施如担保等,甚至可能因为不清楚交易的法律风险而放弃潜在的交易机会,这些都构成数据流通的重大障碍。还应当看到,数据产权不明晰也会诱发各种数据非法复制和盗取行为,导致数据权益被随意侵害。数据处理者可能需要通过各种方式防范大规模的数据“爬取”,通过各种相应的技术措施保障自己的数据安全,这也会极大地增加数据生产和持有成本,尤其是会因此导致公众无法正常利用数据,反而限制数据的供给和流通。
第三,数据确权有利于降低数据流通的成本。数据主要是在利用中产生价值,数据利用则需要借助“合同网”进行。但在数据确权之前,当事人为了降低数据流通的风险尤其是法律风险,可能需要对数据流通的方式、内容等作出事无巨细的约定,从而会大大增加谈判成本,影响数据流通。在数据确权之后,权利人享有对合同未约定内容的控制权,有权决定在何种范围内、以何种方式流通数据,这就可能降低数据流通的风险和成本。如果法律没有赋予出让方以明确的财产权,则交易相对人会担忧出让人在拟让渡的数据上是否还面临外部权利负担或者其他人的财产权主张,并因此面临交易后的不确定性,也会使数据交易的谈判受阻。
总之,数据合规、高效地流通依赖于数据确权。“数据二十条”明确提出要“建立合规高效、场内外结合的数据要素流通和交易制度”。只有对数据进行确权,才能明确数据产权的主体,奠定数据交易的基础。
(三)数据确权有利于解决“数据孤岛”困境
对数据进行确权之后,是否会形成“数据孤岛”?“信息孤岛”或“数据孤岛”描述的是一种数据相互割裂的状况。反对数据确权的学者认为,如果各方都对数据主张权利,就会形成“数据孤岛”。在这些学者看来,数据确权将使数据上存在更多权利,反而增加了数据流通的障碍。笔者认为,此种观点值得商榷。如前述,数据确权不仅不会妨碍数据流通,反而更有助于数据流通。在承认数据处理者对数据的权利后,数据处理者可以自己利用或者许可他人利用相关数据,既保障了数据处理者的权益,也有利于通过市场手段促进数据的流通与利用。如果否定数据处理者对数据享有的权益,数据处理者为了维持其对数据的控制和支配,维持其竞争优势,则可能需要采取更多的数据保护措施,这既会增加数据持有的成本,也可能产生更多的数据壁垒和“数据孤岛”现象。此外,数据确权后,相关主体也可以通过数据合理使用等制度实现对数据的利用。
“数据孤岛”的提法也来自于另一方面的担忧,即确认众多的数据来源者的权利,会妨碍数据流通。诚然,数据来源多元,如果相关主体都要求确权,则会妨碍数据流通。尤其是,成千上万的用户每天上网购物、网络约车、浏览社交平台等,都会留下大量信息,成为数据的组成部分,如果这些用户都要求享有数据财产权,就会导致数据处理者的权利与用户的权利发生冲突,进而妨碍数据的流通和利用。对此,有学者提出了数据确权的新思路,即数据确权不应当是对数据处理者确权,而应当是对用户财产权进行确权,因为大量的数据是由用户产生的。例如,德国学者费泽认为,“在资产阶级社会的历史上,知识产权的正当性是个人的智力创造。在21世纪的数字信息社会,数据所有权的正当性基础是数据由公民个人行为生成。由此显现出了一条清晰的历史脉络:从物上所有权到知识产权,再到行为产生的信息数据所有权”。这也反映了为数据生产贡献信息的主体可以对因其而生的数据提出合理的权益主张。美国学者莱斯格认为,如果将数据财产权绝对排他地授予数据收集者即经营者,那么数据来源主体即用户就要花费大量的成本才能发现其信息是否被收集以及正在被如何使用,而数据收集者将不需要支付任何成本,因为其已经占据并使用着数据。
上述观点值得商榷。数据确权实际上是确认对数据投入一定资金和劳动的人的权益,对成千上万的用户而言,信息是在日常生活中自动形成的,他们对信息并未投入额外的劳动。因此,普通用户或数据来源者留下的非个人信息的数据,并不属于我们所说的数据财产权确权的范畴。数据确权应当是对数据处理者确权,而不是确认每个用户或数据来源者对其非个人信息的数据享有财产权,因为在数据中包含用户个人信息的情形下,通过个人信息保护规则已经足以保护作为自然人的用户的权利,特别是个人信息保护规则既注重保护个人的人格权益,又通过民法典、个人信息保护法所规定的损害赔偿制度实现了对个人信息财产权益的保护,而没有必要再额外通过确认用户对非个人信息的数据享有数据财产权益的方式对其提供保护。当然,当事人可以通过合同约定,用户对非个人信息的数据享有查询、复制和更正自己数据的权益。
还应看到,即便相关数据不属于个人信息,也不应当确认用户享有相关的数据财产权益。一方面,某些数据集合中可能包含海量用户的非个人信息的数据,如果确认用户享有相应的数据权益,则可能导致该数据难以利用。数据处理者在处理用户的个人信息时,已经通过用户协议等方式取得了用户的授权,如果再赋予用户对相关的非个人信息的数据享有财产权,则会增加交易成本并阻碍数据的流通。另一方面,法律在保护数据财产权时,保护的主要是数据集合,而非单个数据,数据资源只有集合才具有价值增量,因此,不需要赋予用户个人对数据集合享有财产权。尤其是,数据处理者所处理的相关数据虽然与用户的行为相关,但是除用户个人数据外,其他数据并没有身份识别的特点,如果赋予用户对相关的非个人信息的数据也享有财产权,则其在整个数据权利中的权利份额客观上是无法确定的,这反而会产生权利行使的冲突和困境。如果用户也能对其非个人信息的数据主张确权,确实会形成权利壁垒,妨碍数据的流通和利用。
二、依法确权:现有法律制度不能充分保护数据权益
反对数据确权的学者所持的一个重要理由是,现有法律制度已经足以实现对数据上各种权益的保护,从而没有必要单独创设数据产权制度。笔者认为,由于数据本身是一种新型财产,现有法律规则难以全面保护数据权益。
(一)反不正当竞争法保护不能替代数据确权
有观点认为,可以通过反不正当竞争法对数据进行保护,即通过反不正当竞争法第2条的兜底性保护规则,以承担反不正当竞争法上的责任为手段,从反面对数据权益进行保护。然而,通过竞争法调整数据纠纷并设定数据财产权的边界,实际上是在缺乏数据产权立法的情形下,不得已而为之的现象。通过竞争法规则保护数据,存在明显缺陷。
第一,反不正当竞争法的立法目的在于维护竞争秩序,而非确认民事权益,其无法从正面规定数据权利的内容、数据权利的限制以及数据许可使用、数据转让等规则。通过竞争法规则保护数据,回避了是否存在数据财产权这样一个重大前置问题。这一规则重点处理的是具有竞争性利用关系且构成不正当竞争的情形,但并不能考虑此外大量情形中的财产权问题,特别是没有系统考虑受害方的诸多其他权益侵害救济问题。对于竞争法调整方式而言,法院只是通过这种口袋式理由解决了个案,却无法通过确认权利形成一种持久而稳定的经济激励机制以保护和促进数据持有人的创新活动。
第二,对数据进行确权有利于准确判断不正当竞争行为。认定是否构成不正当竞争,仍要以所侵害的权益是否为法律所保护的权益为基础。缺乏对数据的确权,将导致数据合理使用与不正当竞争的界限难以区分。从实践来看,最为典型的侵害数据的行为是所谓“搭便车”行为,该行为是一种不正当利用他人权益甚至侵害他人权益的行为。判断行为人是否“搭便车”,即以对方是否享有权益为前提。如果相关主体的权益本身不受法律保护,那么他人为什么不能“搭便车”?因此,“搭便车”与合理利用的界限,就在于是否不正当利用他人的权益,合理利用并不构成所谓的“搭便车”行为。
第三,反不正当竞争法规则只能解决具有竞争关系的经营者之间的数据纠纷(反不正当竞争法第2条第2款)。然而在实践中,一方面,当事人可能并非经营者,自然人和数据权益主体之间也可能产生纠纷,此时反不正当竞争法将难以作为纠纷解决依据。另一方面,在侵害数据权益的案件中,当事人双方可能并不存在竞争关系,此时一概通过反不正当竞争法进行保护,将使得缺乏竞争关系的纠纷在法律适用层面出现向反不正当竞争法逃逸的现象。
此外,由于反不正当竞争法并未为数据财产权提供系统的基础性保护规则,目前法官只能通过反不正当竞争法第12条第2款第4项网络不正当竞争行为兜底条款及同法第2条的一般条款对数据权益进行保护。但这两个条款都是兜底性、开放性的规定,因此赋予了法官过大的自由裁量权。一概适用这些条款为数据权益提供保护,无异于适用公平原则解决数据纠纷,构成向一般条款逃逸。因此,竞争法规则无法规范数据利用的具体行为,也无法对数据侵权作出具体认定并进行救济。
(二)知识产权保护不能替代数据确权
在满足特定条件时,有些数据可以受到知识产权规则的保护。例如,当数据以数据产品的形式出现时,如果该数据产品具有一定的独创性(如构成汇编作品的数据库),那么其应当受到著作权法规则的保护。再如,当数据符合反不正竞争法所规定的商业秘密的构成要件时,则可以通过商业秘密的规则加以保护。正是由于某些数据可以成为知识产权的客体,加之数据和知识产权客体一样均是无形财产,交易流通的主要方式均是许可利用,知识产权中有关许可利用的规则也可以适用于数据交易。因此,有观点主张,借助知识产权的规则完全可以实现对数据的有效保护。
上述观点有一定道理。应当看到,数据与知识产品确有一定的相似之处,如果数据确实具有独创性,可受到知识产权的保护;同时,知识产权的不少规则如合理利用规则,对数据确权和流转具有一定的借鉴意义。此外,从权利内容层面看,数据权益和著作权一样,都包括各种不同的权益,如著作权包括署名权、发表权、信息网络传播权等多项权利。尽管如此,认为知识产权规则可以完全实现对数据权益的保护,显然是片面的,主要理由在于:
第一,权益结构不同。数据权益不是归属于一个主体,而是归属于不同的主体,需要区分数据来源者与数据处理者的权益分别予以保护。针对数据来源者权益,又要区分自然人主体的来源者权益以及非自然人主体的来源者在先权益,分别予以保护。但是,知识产权的权利大多归属于同一主体,在确权阶段常常将权利赋予某个单一主体,因此较少发生在多个主体之间的权属分配问题。例如,除一些特殊的作品(如电影作品)外,著作权大多归属于同一主体。因此,数据权利保护又不同于知识产权保护。
第二,是否有期限限制不同。知识产权属于法定垄断权,因此不能长期垄断,否则将阻碍技术创新和进步。超过一定期限后,知识产品就会进入公共领域。但是,数据权利通常没有期限限制,也难以发生自然灭失。数据可以永久保存,且可以同时被多人使用、收益,并且可以突破地域限制,通过网络迅速传递、收集。因此,对数据权益的保护,不宜机械地设置保护期限。
第三,保护理念不同。知识产权保护的基本理念是赋予创作者垄断权利,从而激励创作者投入更多的时间和成本进行创作。但是,保护数据权利并不意味着赋予数据处理者对数据的垄断性权利,否则将不当限制数据在市场中的流通。
第四,是否涉及个人信息保护不同。知识产权通常不涉及他人的个人信息,往往不存在与个人信息权益之间的冲突,只在少数情况下涉及与个人信息权益或其他人格权之间的冲突。相比之下,数据上经常承载着个人信息权益,数据权利与个人信息权益之间的协调问题,是数据确权的关键。“数据二十条”第7条提出数据来源者的合法权益和数据处理者对数据的控制权限之间的冲突协调,也体现了数据权利和个人信息权益之间的冲突。
第五,权利客体要件不同。知识产权的客体通常具有独创性或原创性,并不是所有的数据都可以成为知识产权的客体。在美国“费斯特诉乡村电话服务公司案”中,美国联邦最高法院认为,单纯收集的电话数据并不具有独创性,无法得到版权法的保护。我国民法典制定过程中,围绕“数据信息”是否属于知识产权的客体,曾产生过一定的争议,最终意见认为,“数据信息”不宜一概作为知识产权的客体。与知识产权相比,数据权利并不一定以独创性或者原创性等特殊要求为前提条件,只要是数据处理者收集的数据,均可以成为数据权利的客体。
基于上述数据权益与知识产权的差异,如果以知识产权保护替代数据确权,一方面无法准确地确定数据权益,将知识产权的相关规则照搬到数据确权中,会给数据确权带来有害影响。例如,知识产权的客体通常具有一定的特殊条件,如独创性、新颖性等方面的要求,这意味着当数据无法达到这些要求时,就难以得到知识产权的保护。另一方面,通过知识产权保护替代数据确权,难以解决数据确权中涉及的公共利益、国家利益等方面的问题。知识产权的侵权构成要件和数据权利的侵权构成要件并不完全相同,倘若通过知识产权规则保护数据,将会引发一系列体系性问题。
实践中,企业数据可能获得商业秘密规则的保护。但是,商业秘密的构成条件较为严格,完全通过商业秘密规则保护数据,也存在一定的问题,因为数据可能是公开的,而不是秘密的,如平台上的用户评价等数据,都是公开的数据。因此,并非所有的数据都构成商业秘密,部分数据并没有被经营者采取相应的保密措施,同时,相关数据也不一定是反不正当竞争法第9条规定的技术信息、经营信息等。总之,现有的知识产权规则无法解决数据保护问题。
(三)个人信息保护不足以替代数据确权
在数据处理者通过处理个人信息生成数据的情形下,个人信息是数据的主要来源,但这并不意味着个人信息保护规则可以替代数据确权。数据确权与个人信息保护涉及两个互不相同、彼此独立的法律关系。两者的区别主要表现在:
第一,调整对象不同。数据确权主要调整数据处理者与其他市场主体关于数据利用的法律关系,而个人信息保护调整的是任一数据处理者与信息主体之间的法律关系。
第二,权益性质不同。个人信息保护是为了保护作为数据来源之一的个人信息,性质上属于对人格权益保护,重在对信息主体的消极保护。而数据确权是为了确立对数据本身的权益,是对数据处理者的财产权保护,重在调整数据的生产和流通。当然,不论数据处理者是否享有数据权利,也不论数据处理者是自己收集数据还是从他人处取得数据,都应当遵守个人信息保护规则的要求。
第三,内涵不同。个人信息是能够直接或者间接识别特定自然人的信息,而数据则是通过收集、加工等方式所形成的信息的记录。没有数据处理者的处理行为,个人信息无法形成数据。一方面,如果仅仅保护个人信息而不保护数据权益,处理者将丧失加工处理数据的动力,数据要素的生产将停滞不前。另一方面,个人信息保护法与数据确权也并非同一层面的问题,法律保护个人信息不等于保护数据,个人信息权益的主体即信息主体,与数据产品的权益主体,完全可能是分离的。个人信息权益与数据权益可以分别享有,为个人信息权益主体提供的保护,不能直接作用于数据权益主体。
当然,个人信息保护和数据权益保护可能会发生一定的冲突。例如,如果对个人信息未采取匿名化处理即生成数据,可能影响个人信息保护,对此,数据处理者应当尊重作为在先权利的个人信息权益,尊重个人信息主体的访问权、查询权、删除权、携带权等。但如果数据处理者对采集的个人信息已经予以匿名化处理,则生成的数据与个人信息不再有关联。
总之,数据保护涉及多个法律部门,需要进行多维度的保护,其保护方法也具有综合性,但民法上的确权应当在其中发挥至关重要的作用,因为民法典第127条已经宣示数据为民事权益的客体,受到民法保护,民法对数据的确权也是通过其他方式对数据进行保护的重要前提。
三、如何确权:构建数据的双重权益结构
(一)双重权益结构是数据确权的重要思路
所谓双重权益结构,是指在同一数据之上,区分数据来源者和数据处理者而确认不同的权利。数据权益的特点就在于,数据之上各种权益相互交织且权益主体多样化,这的确给数据确权带来了较大困难。例如,就“大众点评”这类平台服务而言,其所包括的数据权益就呈现出多样性特点。具体表现为:“大众点评”平台上记载的关于各类网店的点评数据是一项无体财产,作为一宗整体数据,其财产权可以归属于作为数据处理者的“大众点评”平台。“大众点评”上消费者的账户信息、消费记录、地理位置等个人信息,虽然也属于数据中承载的重要内容,但是消费者等个人数据来源主体对这些可以识别特定自然人的个人信息享有法定的个人信息权益,且应当优先于数据处理主体的财产权益予以保护。而“大众点评”用于处理数据的算法可能构成商业秘密,应当归属于算法的设计者或平台。类似地,“大众点评”这款应用软件的外观、符号设计等元素可能构成独创性作品,属于著作权法的保护范围;“大众点评”的名称及其商标本身也受名称权、商标法的保护。“大众点评”涉及的餐饮店的介绍、其发布的各类信息以及优惠券等,也是“大众点评”上生成的数据的重要内容,经营者作为此类数据的来源主体,也应当依法享有各种法定的在先权益,以及依据法律规定和合同约定享有的登录、查询、复制、更正等信息类权益。可见,数据上承载的权益类型不仅具有多样化的特点,而且各项权益之间相互交织与并存。这也是某些观点反对数据确权的一个重要理由,即数据上涉及的权益类型众多,建立数据产权可能影响其他权益的实现。但事实上,如前述分析表明,各种并存的权利的法律属性存在差异,且都可以归入相应的法律保护框架下予以定性和保护,各种权利的行使也存在较为明晰的优先顺位关系,因此不存在因数据确权而导致权利冲突或者失序的问题。
恰恰相反,数据确权的重要意义就在于厘清各种权益主张的属性和优先顺位,更有效地协调数据上的多元权益主张,从而形成更优的数据权益行使秩序。关键问题在于,如何建构数据上的财产权益的归属主体与权利内容。在这方面,“数据二十条”实际上提供了很好的思路,即双重权利结构。“数据二十条”区分数据来源者与数据处理者权益,在具体确权思路上放弃了所有权的思维定式,转而采用了一种基于数据持有权、数据使用权和数据经营权的权利分置方案。这种在数据确权过程中区分数据来源者与数据处理者的双重权益架构,为立法上对数据进行确权提供了可行的思路。
以前述“大众点评”为例,其平台经营者即为数据处理者,而在该平台上发布信息的用户等主体即为数据来源者。在数据确权方面,区分数据处理者与数据来源者的权利主要具有如下意义:第一,区分了数据来源和数据产品。“数据二十条”中的数据产品,是数据处理者对数据进行处理所形成的集合,而数据具有多种来源,包括个人信息和非个人信息。各类数据来源中又可能涉及知识产权、个人信息等各种法定在先权益。这些权益可以在数据来源者权利中进行归类。第二,区分了数据处理者和数据来源者的权益。数据处理者对数据和数据产品享有财产权益,数据处理者之外的主体不能主张分享数据和数据产品的财产权益,包括持有权、使用权、收益权、处置权等。而数据来源者如果本身不能成为数据处理者,其只是享有在先权利以及对其所提供数据的访问权等权利。就个人数据而言,个人作为数据来源者,依法对其所提供的个人信息享有查阅、复制、更正甚至删除等权利。第三,区分了数据处理者和数据来源者的权利范围。数据处理者对整体数据以及相关的数据产品等,依法享有财产权,其可以对整体数据以及数据产品进行各种形式的商业化利用。数据来源者虽然也提供了部分数据,但其并不能主张对整体数据享有权利,只能依法对其所提供的部分数据享有权利。例如,就个人数据而言,个人仅能对其个人信息依法行使各项权利,而无权主张对整体数据享有权利。第四,区分了人格权益和财产权益。由于大量数据是以自然人信息为内容的,因此,从数据来源者的层面,主要涉及人格性权益的保护,而数据处理者所享有的权益主要是财产性权益。虽然此种财产权益的行使需要尊重个人信息等法定在先权益,但数据处理者的权益受到侵害的,则受财产权规则的保护。
(二)数据来源者权益的确认和保护
2023年欧盟通过的《数据法案》(Data Act)第2条将提供信息内容的主体称为“用户”,我国“数据二十条”从信息来源的视角将其称为“数据来源者”,并强调要“充分保护数据来源者合法权益”。数据确权当然包括明确和保护数据来源者的权益,从而明确数据之上各权利主体所享有的权利内容,以及他人行为自由的边界。
数据的来源错综复杂,我们每天都会自动生成海量数据,但概括而言,可以将数据来源者分为两类。一类是自然人作为数据来源主体,自然人的相关活动会被记录或采集成相关数据。特别是在数据处理者处理个人信息时,个人信息成为数据的重要来源。另一类为非自然人数据来源主体,特别是中小型网络店铺,其只是在大型电子商务平台提供的网络应用界面从事简单的信息输入操作,本身并不处理数据。对于这些非自然人数据来源主体,法律应当充分保障其查询、复制、更正以及在有正当事由时从此数据处理主体向其他场合移转其数据的权利。但是,如果其在大型网络平台上从事生产经营活动时,也同步自建了数据处理系统,或者是以自动化处理的方式参与大型网络平台的数据处理活动(如大型网络店铺),在此情形下,数据来源主体同时成为数据处理主体,且与网络平台持有高度同质化的数据。可以说,此类数据来源主体与网络平台一样,都有在生产要素意义上取得相应数据上的财产权的正当性。依法确认和保护数据来源者的权利,主要体现在如下几点:
首先,要区分不同的数据来源,并明确各类数据来源主体的法定在先权益的属性与内容,从而更好地保护数据来源者的权益。上述两类数据来源主体都享有相应的法定在先权益。原则上,数据来源主体的前述权益应当处于更高的权利位阶,相较于数据处理主体的财产权而言优先受到保护。数据处理者行使数据财产权利时,有权排除任何第三人对数据权利的侵害,但对于数据来源者的各项在先权利,都应当予以尊重。不过,就第一类而言,因为信息内容主要事关相应主体的隐私与个人信息权益,因此,数据处理主体在生成数据和行使数据财产权的过程中,不仅有必要遵守与数据来源主体的约定义务,而且要履行告知同意、更正、删除和携带等法定义务,以满足民法典和个人信息保护法等法律优先配置给个人的人格性权益。就第二类而言,数据处理主体同样要尊重合同约定与法定的数据来源者权益,但法律优先保护的在先权益属性和内容有所差异,主要表现为著作权、商业秘密等权益和依据格式条款规则等享有的合同债权。
其次,要明确非个人信息的数据来源者的权益范围。与个人信息的数据来源主体类似,非个人信息的数据来源主体同样享有信息查询、复制和更正的权益。但是,与对个人信息的保护规则不同,我国目前尚没有一部专门的“非个人信息保护法”,因此,非个人信息的数据来源者的权益保护在法律上主要通过合同来解决。但实践中,非个人信息的数据来源主体与数据处理主体之间没有明确的合同约定或者约定不公平的,一定程度上会影响对这类数据来源主体的权益保护。尤其需要指出的是,在权益范围上,此类数据来源主体与个人信息的数据来源主体有明显差异。例如,关于此类来源主体是否享有请求删除相关数据的权益或者携带数据的权益,是否需要与个人信息保护法规定的个人信息删除权、携带权作同等处理,存在较大争议。欧盟《数据法案》赋予数据来源者以用户访问、请求共享和利用数据的权利。笔者认为,个人信息保护法主要立足于个人人格性权益的保护,存在诸多不可约定排除的强制性权利规则。与此不同,非个人信息的数据来源主体与数据处理主体之间的约定在属性上不涉及人格权益的保护问题,而主要涉及合同的公平性问题。如果合同约定不公平,例如限制非个人信息的数据来源主体查询、复制和更正自己信息的权益,可能违反民法典第496条、第497条关于对格式条款提请注意或作出解释的规定,也可能因为显失公平而被撤销。而在缺乏合同约定的情况下,原则上应当通过合同解释明确保障此类数据来源主体的查询、复制和更正的权益,以保障这类主体正常的商业活动以及合同目的的实现。但是,非个人信息的数据来源主体一般不得主张保护个人信息的删除权、携带权等具有浓厚的人格性色彩的权益,以防止对数据处理者权益的过度妨害。
第三,要区分数据来源者权益与数据处理者权益。“数据二十条”要求重点处理“公共数据、企业数据、个人数据”这三类数据的确权,但此种分类过于复杂,在法律层面有必要按照数据来源者权益和数据处理者权益的分类,分别确权。个人数据是就数据的信息内容而言的,相对应的是非个人数据,关注的重点应该是数据来源者的法定在先权益。而“公共数据、企业数据”是另一层次的概念,即从数据的财产权归属主体和分配机制来考虑。公共数据是具有明显公共属性的数据,典型如政府在开展政务活动过程中收集的政务数据和具有公共服务职能的企事业单位在提供公共服务过程中收集的数据。尽管这类数据也可能需要明确授权利用或者法定公开的问题,但其更强调开放、共享,相关主体对特定的公共数据应当负有开放和共享的义务。与公共数据相对应的概念是非公共数据,典型为企业数据,即企业作为数据处理主体所采集的数据。原则上,这些数据的财产权具有私权属性,企业在尊重数据来源主体的法定在先权益的前提下,可以对此类数据依法享有数据财产权。当然,如果企业利用相关企业数据的行为违反了反垄断法规则,则要受到合理利用规则或者反垄断规制的约束。
(三)数据处理者财产权益的确认和保护
数据处理者对其处理的数据享有财产权。根据“数据二十条”,数据处理者享有“数据产权”,但“产权”是一个经济学概念,不是严谨的法律术语。我国法律体系通常不采用“产权”的概念,如民法典没有规定“产权”,而是使用“财产权利”或“财产”的概念。
“财产”一词不仅指财产权,还指财产对象。因此,界定财产权也需要从主体、客体、内容三方面确定。就数据处理者的财产权益而言,权利主体应当是数据处理者。例如,“大众点评”平台上积累的数据的财产权,应当属于该平台经营者。该平台上的网店,其主要角色是数据来源者,但如前所述,如果网店自身也同步建构了数据处理设施并同步掌握了相应的数据,其就可能具有数据来源主体与数据处理主体的双重角色。在此情形下,应当依据法律和合同约定调整不同数据处理者之间的关系。“数据二十条”第7条明确规定,要“建立健全基于法律规定或合同约定流转数据相关财产性权益的机制”。对于特定数据处理者享有财产权益的数据,除法律规定的情形外,其他主体应当通过合同的方式对该数据进行利用,除法律规定和合同约定的情形外,行为人擅自通过大规模“爬取”、复制等方式侵害他人数据的,构成对他人数据财产权的侵害,数据权利人有权依法主张损害赔偿等请求权。
数据财产权的客体是已经形成集合的数据。财产权实质上是针对物的、对抗世上一切他人的权利,这就是德国学者泽奇(Zech)所说的,财产权客体具有“边界功能”(Abgrenzungsfunktion)。有形财产的客体边界是清晰的,可以确定其权利客体范围,但数据作为无体财产,难以明确其物理边界,这一特殊属性决定了其作为财产权的客体可能会面临一定的困难。不过,其作为权利客体的特定化是可以实现的,尽管数据本身处于不断变化之中,但特定主体在特定范围内处理的数据是可以特定化的。一个企业可以通过数据的来源、数量、内容和类型等标准描述一个数据集合状态,从而使得一宗数据(a set of data)不同于另一宗数据,实现数据财产权客体的特定化;同时,数据处理者也可以通过一定的技术手段(如保密措施)等方式,控制相关数据,这同样可以实现数据的特定化。“数据二十条”在界定数据财产权的内容方面,提供了几项未来立法值得借鉴的经验:
第一,表述数据处理者财产权益时,避开了所有权这一概念。这一处理方式是合理的。一方面,所有权是针对有形财产形成的概念,难以解释数据这种无形财产现象。数据处理者对数据不享有如同所有权一样排除他人一切干涉的权利。另一方面,所有权具有完备的四项权能,且具有严格的排他性。但数据不是在有形财产上产生的权利,很难用所有权的四项权能简单概括。同时,在数据利用过程中,数据财产权也不具有严格的排他性,数据财产权在确权之后,也应当通过数据的合理利用规则,对该权利进行必要的限制,以防止数据垄断。因此,不宜照搬以有体物为原型的财产所有权概念来解释数据财产权。
第二,“数据二十条”在放弃了所有权的确权方式的基础上,转而采用了一种三权分置方案,具体而言,数据财产权包括以下三种不同层次上的权利:数据资源持有权、加工使用权、数据产品经营权,这一方案为在法律上构建数据财产权体系提供了思路。三权分置也蕴含着数据财产权的标准化思想,与有体物财产权规则体系中的物权法定原则具有功能相通性。为了实现数据财产权的标准化,数据财产权的类型及其内容不应交由当事人通过合同创设,而应当交由将来的数据财产权立法予以明确,从而降低各方当事人与该财产权人进行交易时的信息成本。
但是,应当看到,“数据二十条”主要采用的还是一种经济学的话语表达,仍需转化为法律层面的规范表达,满足立法技术上的概念周延性要求。具体而言:一是加工使用权的提法不够准确。关于加工和使用的关系,从原始数据到可以进一步利用的数据,常常需要经过加工处理。但是,随着数据处理技术的快速发展,之前需要付出巨大成本进行前期加工才能进一步利用的数据,在新的数据分析技术应用的情况下,可以跳过传统的前期加工环节直接进行分析、训练或者其他形式的利用。因此,加工并非使用的前提,没有加工也不意味着不能对数据进行利用。二是没有系统确立收益权的概念。“数据二十条”只是规定“充分保障数据处理者使用数据和获得收益的权利”,因而仅是在规定使用权时顺带提及了收益权。但严格地说,使用或者经营并不当然能够获得收益。例如,将数据融资担保、投资入股等,未必能够获得收益。收益权能可以理解为使用权能和经营等处置权能的自然延伸和应有之义。此外,“数据二十条”仅提到了数据产品经营权,而没有规定对数据的经营权,这也可能不当限制数据处理者对数据享有的权利。三是没有系统地规定数据主体所享有的完整的处置权(与有体财产所有权中的处分权能具有相似性)。“数据二十条”似乎将对数据财产的处分纳入经营权之内,但从民法典的规定来看,经营与处分属于不同的概念,处分权无法被经营权所涵盖。毕竟,数据处理者作为数据财产权人,只要不侵害数据来源主体的法定在先权益且不违反国家的数据安全管理规范,原则上就享有较为广泛的处置权能。数据财产权人既可以在事实上对数据作物理性处置,如作匿名化处理或者销毁处理,或者根据自己的商业经营需要予以长期保存;也可以在法律上对他人进行许可使用,或者转让相关数据,包括但不限于经营性处置。例如,数据财产权人可以向公众免费开放数据。总之,如果仅从文义上理解上述三项权利的政策表达,可能无法涵盖数据权利的全部内容。因此,需要结合民法典的规定,找到更为准确的法律表达,用以解释数据财产权的完整内容。
我们所说的数据确权,并不是要像有体物所有权那样赋予数据处理者绝对独占和排他的权利。相反,数据处理者对其数据财产权的享有,既要尊重数据来源主体的法定在先权益,又要依法受到合理使用规则和开放利用规则的约束,其应当是一种在法定范围内对数据进行支配和排他的权利。但是,我们仍然可以借鉴所有权的经验,构建数据财产权的体系,有体物上的所有权权能体系为数据财产权的内容提供了可供参照的架构。针对数据财产权的特殊性,对所有权的占有、使用、收益、处分等权能进行适当的调整,是较为高效和实用的做法。
1.持有权。“数据二十条”明确保护数据处理主体对所持有的数据进行“自主管控”的权利。因此,在法律层面,首先需要承认和保护数据财产权人对数据的持有权,即权利人有权依照法律规定或合同约定的方式自主管控所取得的数据资源。对数据的持有权,是从积极权能的角度进行描述的,强调的是数据财产权人对数据的稳定持有权能。为了实现数据财产权人对数据的稳定持有,应当要求不特定第三人不得擅自获取或者干扰财产权人对数据的稳定持有秩序和管控状态,除非存在合理使用等法定例外事由。数据处理者为了维护其对数据的持有权,可以采取一定的防护措施,也可以不采取相关的保护措施,但即便数据处理者没有采取相关的防护措施,行为人也不得擅自侵害他人的数据持有权。也就是说,在既没有法定事由也未经数据处理主体同意时,他人原则上应当尊重数据持有人对数据的自主持有状态,不得随意侵扰;同时,权利人享有持有权也意味着数据财产权具有一定程度的排他性,即数据处理者对其生产的数据享有有限的排他权。排他权有限的原因在于绝对的、全面的排他权可能构成对数据流通的限制,应当允许其他市场主体对该数据进行合理利用。
2.使用权。使用权即权利人享有的在不损及数据来源主体的法定在先权益的前提下,根据自身需要在各个生产经营环节自主使用数据,包括对数据进行开发利用的权利。使用可以由数据处理者自己使用,也可以许可他人使用,包括许可他人访问、复制等。在尊重数据来源主体法定在先权益的前提下,数据持有人可以根据自己的商业生产经营需要使用数据,包括利用数据分析生产经营规律、训练人工智能模型、加工数据产品等诸多使用方式。无论是数据来源主体还是其他主体,都不得干扰数据财产权人使用数据的行为。使用权可以分为两类:一是原始数据处理主体享有的最为广泛的使用权,即包括前述分析性使用、训练性使用和加工性使用等;二是受让人基于合同约定或者法律规定从原始数据处理主体处取得的数据使用权。这些都是使用权的重要表现形式。
3.收益权。确认和保护数据处理主体的使用权、处置权,也就自然保护了数据财产权人的收益权。承认数据权利人的收益权,是国家政策和法律层面保障数据使用权和处置权的应有之义。无论是基于自我使用数据还是基于法律上的处分,权利人都有权据此获得各种经济收益,包括通过数据产品获得收益、许可他人使用获取金钱对价等。“数据二十条”提及的数据产品经营权中的对数据产品和服务享有的收益权,以及对数据资源价值增值享有的权利等,均可涵盖于收益权之内。
4.处置权。除自我使用外,数据财产权人还可以对数据进行自主处置,包括物理性处置与交易性处置,或者说事实上的处置与法律上的处置。就事实上的处置而言,只要不违反法律规定的保存义务或者销毁义务,数据处理主体就可以根据自己的意愿销毁数据或者长期保存。为了鼓励流通,应当尽量鼓励数据财产权人将其取得的数据财产权进行流转,这都需要承认数据权利人对数据的处置权。具体而言,数据财产权人可以通过整体转让、许可经营、数据融合、融资担保、投资入股等方式,整体或者部分让渡所持有数据的使用价值或者交换价值。在这些处置方式中,相对人经常面临如何确保受让权利的确定性和来源正当性问题,尤其是在独家许可、融资担保和投资入股等情形,受让人如何避免出让一方违背约定再次向他人出让的风险,是当前制约数据要素市场发展的一大难题。避免产生此类风险的有效措施,就是落实“数据二十条”明确强调的数据登记制度建设,通过登记和披露相应交易来实现相应的权利保护和交易安全。采取此种举措,恰恰需要依靠数据确权才能够完成。
此外,数据财产权还应当蕴含消极权能,即在数据财产权遭受侵害或妨碍,或者面临危险时,数据处理者可以主张停止侵害、排除妨碍或消除危险请求权。停止侵害、排除妨碍和消除危险请求权无法被“持有权”所涵盖。因为持有权是静态层面的权利,其重点在于要求不特定第三人不得随意利用归属于数据处理者的数据,而不是数据处理者提出具体的权利主张。停止侵害、排除妨碍和消除危险请求权则是动态层面的权利,即在数据财产权遭受侵害或者妨碍这一新的法律事实发生后,数据处理者针对特定的加害人或者妨害人提出的停止侵害或者排除妨碍的请求权。这种请求权虽然具有一定的相对性,但本质上是绝对权的保护方式。如果说持有权规定的是他人不得擅自利用数据的义务,那么停止侵害、排除妨碍和消除危险请求权则有利于保障上述义务的履行。需要指出的是,数据财产权给不特定第三人施加的不得侵害的义务,不同于物权或者人格权给第三人施加的义务,因此在判定停止侵害、排除妨碍和消除危险请求权是否成立时,不能简单地遵循物权请求权或者人格权请求权的判定方法。此外,也应当区分数据财产权保护规则与商业秘密保护规则,商业秘密一旦被公开,就不再构成商业秘密,受害人通常只能请求损害赔偿,但数据被公开的,则仍然可以通过断开链接等更多元的方式获得救济。
(四)对数据财产权的限制
反对数据确权的另一个重要理由在于,数据确权会导致数据垄断,影响数据的流通和利用。此种观点具有一定的合理性,因为对数据财产权进行确权后,他人利用相关数据的自由将因此受到一定的限制,如果权利人滥用权利,将可能形成数据垄断。为了防止数据垄断造成的数据流通障碍,有必要在法律层面对数据处理主体的财产权作出必要的限制,明确数据财产权的行使规则,以确保数据资源能够最大限度地满足社会公众的福祉。尤其是公共数据和自行公开的数据,应当受到比其他类型的数据更高程度的限制,以体现这类数据财产的公共性。在这方面可以借鉴知识产权的相关规则。与数据财产权一样,知识产权也需要妥当平衡权利人对知识的垄断与社会公众对知识的接触之间的关系,因此,知识产权一方面赋予权利人对智力成果的垄断性权利,另一方面也通过合理使用、强制许可等相关制度对权利人的权利进行限制。同样,数据也面临着权利人的控制权限和其他主体对数据的利用需求的协调问题,在这个意义上,数据确权和知识产权具有一定的相似之处。具体来看,对数据财产权的限制应当主要包括以下两个方面:
一是通过在法律上确立数据的合理使用制度进行限制。合理使用制度作为对数据财产权的限制措施,可以使基于个人的生产生活需要、科学研究需要等对数据的小规模利用需求得到便捷的满足。虽然我国民法典人格权编对人格利益的合理使用规则作出了规定,但由于数据权益在性质上属于财产权益而非人格权益,因此其无法直接适用人格利益合理使用的相关规则。为了确保数据的广泛和高效流通,将来立法需要规定数据合理使用制度,即规定出于某些私益及各类公益等的需要,相关主体在使用相关数据时可以不经数据处理者的同意。如此可以在发挥数据要素市场流通机制作用的同时,满足那些难以通过市场机制实现的数据利用需求。
二是通过反垄断机制进行限制。有学者认为,数据确权将导致其他主体丧失获取和利用数据的机会,从而影响数据的公平利用。事实上,这一问题可以通过反垄断机制得到解决。在特定数据处理主体的数据财产权利行使行为构成滥用市场支配地位等情形时,应当通过反垄断法上的措施对相应行为予以矫正,包括在必要时对数据处理主体与潜在需求方之间的合同交易予以强制缔约,以此减少垄断行为给数据利用造成的负面影响。
需要强调的是,无论是合理使用的限制还是反垄断法的限制,都应当坚持基本的法治原则,即需要通过法律明确规定对数据财产权的限制事由、限制方式与限制程度,避免在限制规则不明确的情况下造成数据获取和利用秩序的混乱。特别是要区分大众话语体系中的“垄断”与法律层面的“垄断”,对于后者需要严格遵循法定要件来判断。
结 语
数据确权最终必须获得立法表达。数据保护立法的缺位,在一定程度上制约了数据产业的发展。虽然现行法对个人信息权益、数据安全等问题作出了规定,但是对数据权利仍然存在保护不周的问题。“数据二十条”在一定程度上发挥了指导性作用,但它毕竟不是法律而是政策文件,需要转化为数据确权和保护的相关立法。
诚然,数据保护是世界性难题,各国目前的确尚不存在统一的数据立法。以欧盟为例,其在20世纪就对投入实质性投资的数据库提供数据库特殊权利保护,确立了数据库的财产性权益保护。不过,这一法律要求被保护数据库“在质量和/或数量上进行了重大投资”;此外,这一法律保护数据库的“整体性或实质性”部分,允许对数据的“非实质性部分”进行零星利用。这些做法都与本文提到的数据确权与数据合理利用具有一定的相似性。2023年欧盟又通过了《数据法案》,赋予数据来源者一定的权利。这些法律可以为我国制定专门的数据保护立法提供一定的参考。我国要制定的数据立法不仅要为裁判提供依据,更要为数据保护提供完整的制度,通过权益保障机制形成一种激励机制,从而更好地发挥数据的经济效用。尤其是,通过立法对数据进行确权,并且对数据交易的法律规则作出规定,可以实现数据流转的制度化和秩序化,为我国数字经济行稳致远提供坚实的法律保障。
*作者:王利明,中国人民大学法学院教授。
*本文原载《法学研究》2023年第4期第56-73页。转载时烦请注明“转自《法学研究》公众号”字样。
银行汇款
户名:社会科学文献出版社
开户行:工行北京北太平庄支行
账号:0200010019200365434
订阅热线:010-59366555
征订邮箱:qikanzhengding@ssap.cn
订阅零售:全国各地邮局
★备注:请在汇款留言栏注明刊名、订期、数量,并写明收件人姓名、详细地址、邮编、联系方式,或者可以致电我们进行信息登记。