数中有术、术中有数——数据权益理论与司法实践探析(上篇)
前
言
数据在当前时代的重要性无需赘述,其不仅是数字经济时代的生产要素,也关系到国家安全,甚至是人类迈向智能时代的基础。但由于数据本身可复制性、创造速度、历史性等不同的特征,对比传统资产而言,数据基于怎样的前提能被定义为数据资产,以及是否应当创设新的社会和法律规制来定义和保护数据资产一直是学术界和实务界试图解开的难题。定义数据资产首要的任务是明确不同主体对于数据的权益边界,具体而言如何区分和界定“个人、企业及社会组织、国家、全人类”群体对于数据的权益将关系到公民权利、企业竞争、国家竞争和全人类福祉等多个方面。
中共中央 国务院在2020年5月发布的《关于新时代加快完善社会主义市场经济体制的意见》中明确指出,要加快培育发展数据要素市场,完善数据权益界定、开放共享、交易流通等标准和措施,是站在时代新高度上对于数据/数据权益重要性的总结。其他国家尽管没有明确指明数据权益的基础作用,但都不约而同的部署数据战略,可以预见国家之间对于数据权益的竞争无疑也将愈演愈烈。比如美国发布《联邦数据战略与2020年行动计划》,[1]聚焦于联邦层面的数据管理、共享治理以及战略愿景;欧盟发布了包括《欧洲数据战略》在内的一系列关于“塑造欧洲数字化未来”的战略规划,涵盖了数据利用、人工智能、平台治理等领域的发展和立法框架,始终努力向“单一数字市场”稳步迈进。[2]
与各国数据战略保持齐头并进、一路迅猛发展的是基于数据驱动的新兴科技产业。据国际数据公司(IDC)数据预测,预计到2025年,全球数据量将比2016年的16.1ZB增加十倍,达到163ZB。然而,成熟的行业市场有赖于清晰、明确和稳定的权益架构和交易规则,但纵观国内外现有法律规范,总体而言在数据权益问题上还少见有明确规定,理论界关于数据权益主张的边界与利益平衡关系处在充分的观点表达与论证阶段。
在前述背景下,本文拟通过对国内外数据权益理论和判例实践进行梳理,尝试对“个人-企业”以及“企业-企业”两类常见的数据争议关系探析,以期指引企业数据资产管理实践。
一、数据权益的现有法律规则
(一)国际立法规则整理
从目前范围内的数据法律来看,在各国纷纷推进展开数据立法进程,在已有接近1/3个国家通过数据保护专门法律的现实情况下,对于数据确权、数据的财产属性和归属,在法律条文上体现得可能并不充分。归总而言,在现有的数据立法框架内,存在以下几种立法规则的特征:
首先,各国个人数据立法保护趋势加强,但实则尚未确立个人数据主体的所有权规则。从素有全球个人信息保护立法样板之称的欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR)来说,法律规则朝着强化数据主体权利、确保对个人数据使用控制的方向发展。GDPR在进一步确认和完善个人的既有权利的基础上,通过第17条增加了清除权(被遗忘权),通过第20条增加了持续控制权(可携带权)等,以实现数据主体对其个人数据的更有效控制。但即便如此,条文本身未见对于其个人数据的所有权和财产权益分配在法律规则上的安排。换句话说,即便对个人数据的控制权不断强化,但这不等同于对个人数据的所有权,GDPR也没有赋予数据主体对数据的完全的所有权。[3]
其次,就鼓励企业数据流通和数据产业发展的立法规则而言,各国立法仍然在不断探索个人和企业之间就个人数据的权益分配和主张的可能空间。以美国为例,一旦涉及数据权益纠纷,通常采用的做法是,援引现有判例法中关于隐私侵权的规定来处理互联网上用户个人信息的规范定位和法律问题,借此保护用户个人信息和规范数据经营者的行为界限,同时也会根据市场对数据流动与实际需要进行一定变通,更加务实地调整用户与数据经营者之间基于个人信息产生的利益关系,从容在数据保护与利用之间达到再平衡。[4]日本《个人信息保护法》对个人数据的保护并不是通过为个人数据增设“所有权”等法定权利赋予个人对数据的拥有权或控制权,而是新设“匿名加工信息”制度,兼顾保护与开发利用、投资激励之间的平衡关系。[5]
(二)国内立法脉络梳理
1.《民法典》定义的个人信息性质
相较于欧洲、美国等国家地区将个人数据保护作为基本人权的内容,或通过隐私体制对个人信息主体的权益予以保障,《民法典》并未明确个人信息的定位。虽然个人信息保护条款本身并未对“个人信息”是否构成法律意义下的民事权利进行明确,但从条款编排来看,无论是此前的《民法总则》还是当下的《民法典》,均将其置于“民事权利”章节之下,这一编排一定程度上反映了立法者从民事权利视角对个人信息保护进行法律定位的意图。
此外将个人信息保护纳入《民法典》人格权编,尽管尚未具化为独立权利的“人格权益”受到保护,但已经为产业释放了重大信号,即个人信息的人格权属性得到立法肯定。(关于《民法典》个人信息的解读请见文章:变化纵横出新意——民法典中个人信息的定位及影响)
2. 数据安全法明确原则
新颁布的《数据安全法》作为数据领域的基本法,对数据权益问题进行了原则性规定:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”
3. 地方政策及立法摸索前行
在国家培育数据要素市场的方针指引下,各地对数据立法的探索不断深入,地方性数据立法接踵而至。依托贵阳大数据交易所,贵州率先于2016年推出了全国首部关于数据开发应用的地方性法规《贵州省大数据发展应用促进条例》,受限于地方立法权及条例制定时的数据经济发展阶段,该条例仅规定“采集数据不得损害被采集人的合法权益”,并未直接触及数据权益问题。天津市在2020年发布的《天津市数据交易管理暂行办法(征求意见稿)》中已经意识到数据确权对数据交易的重要性,并明确规定“数据供方应确保交易数据获取渠道合法、权利清晰无争议,能够向数据交易服务机构提供拥有交易数据完整相关权益的承诺声明及交易数据采集渠道、个人信息保护政策、用户授权等证明材料。”但是该征求意见稿也未能触及数据确权的核心问题。
深圳走的更远,也获得了中央的强有力支持。中共中央办公厅、国务院办公厅印发了《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020-2025年)》,支持深圳率先 “完善数据产权制度,探索数据产权保护和利用新机制,建立数据隐私保护制度。试点推进政府数据开放共享。支持建设粤港澳大湾区数据平台,研究论证设立数据交易市场或依托现有交易场所开展数据交易。开展数据生产要素统计核算试点。”(关于深圳特区培育数据要素市场的解读请见文章:敢为天下先——特区培育数据要素市场的契机与合规要点)
深圳曾在《深圳经济特区数据条例》征求意见稿中尝试定义数据权,并以此分类,即“自然人对个人数据依法享有数据权;公共数据属于新型国有资产,其数据权归国家所有;要素市场主体也有数据权,任何组织和个人不得侵犯。”尽管该分类和权益归属最终未被确立,但今年7月6日正式通过的《深圳经济特区数据条例》中依然明确了“自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。”
4. 行业规范百花齐放
除法律法规外,我国还存在众多数据交易的行业自律性规范,例如贵州大数据交易所推出的《贵阳大数据交易所702公约》、中国信息通信研究院等联合发布的《数据流通行业自律公约(2.0)版本》、上海数据交易中心发布的《数据互联规则》等等,也对数据交易、数据权益等问题或有涉及,但是这些行业自律性规范并不具有法律效力,缺乏可执行性。
由于数据具有无形性和非排他性的特征,区别于传统民法意义上的“物”,且数据流转过程中会涉及多方主体,数据权益不明晰将会影响数据交易规则的确定,导致数据纠纷频发,有碍数据要素市场高效、健康发展。数据权益是当前亟待研究和立法解决的问题,其规则构建应当审慎。
二、数据权益的主要理念和理论
(一)国外数据确权与数据权益观点概览
对自始以来秉持开放互联网倾向的美国来说,实现数据确权无疑存在客观阻碍。如美国教授奥林·科尔(Orin Kerr)认为:“互联网的一般原则是开放性,这种开放性允许世界上任何人发布信息或数据。”[6]简单来说,数据权益纷争和阻碍来源于数据共享流通的经济价值。此外,美国还有将“数据视作言论”的理论观点,以宪法保护和自由流通的价值。在欧洲大陆,个人数据一贯被视作数据主体的人格权的一部分而作为数据主体的基本人权来加以保护,但劳伦斯·莱斯格(Lawrence Lessig)教授也尝试提出“数据财产化理论”,主张应该认识到数据的财产属性,通过赋予数据以财产权的方式, 来强化数据本身经济驱动功能,以打破传统法律思维之下依据单纯隐私或信息绝对化过度保护用户而限制、阻碍数据收集、流通等活动的僵化格局。[7]与此相类似,著名隐私学者波斯纳认为,隐私权应被视为财产权法的分支,信息主体对他们的信息拥有产权。[8]
但诚如Richard Hill教授所言,数据可以自由流动并不能逻辑地推出数据是商品。“数据本身不是财产价值之源,而是依赖一个庞大的工具和行为系统才能产生经济价值。”[9]从本质上来看,可以借鉴法经济学上经典的“卡·梅框架”来理解数据权益理论之争的根本矛盾:如果简单通过财产规则确定数据归属主体,便带来了交易成本的无限扩大,这与数据经济发展规律是背道而驰的;而如果采取责任规则,即“只要付出相应的补偿,即使没有信息主体的同意,平台也可以占有信息和数据”[10]的规则,对于隐私、人格等权益的保护自然是无法周全顾及的。两难的境地导致数据权益理论的发展,向数据权益主张边界的探讨方向发展。
(二)国内数据权益理论发展与共识
随着《数据安全法》的正式出台与《个人信息保护法(草案)》的多次修订,为了呼应数据产学研各界的切实需求,数据权益的多种保护路径与主张观点实则在理论上获得了深入和长足的研讨。虽然仍存在许多开放性讨论的空间,但其中不少合理观点经反复商榷后已被提炼并逐渐成为可以被人们接纳的“共识”。我们充分理解,“数据的多重属性和复杂权利义务关系使得难以笼统地对数据作出权属上的单一安排”、“数据权益问题的界定并不排斥对个人数据保护的合规遵从”[11],但毋庸置疑的是,此前多种解释路径下构建企业数据权益保护框架的理论尝试,将起到多维度保护企业数据资产和发展利益的积极效应。
1. 基础的数据分类方法
数据依其不同属性、特征可以划分不同种类,讨论数据权益不能对数据一概而论。廓清数据类别将有助于我们对数据权益问题的认识和理解。根据不同维度,从公权力与私权利划分的角度来看,关于数据权存在国家层面的“数据主权”与“数据权利”的划分;从数据持有主体的分类来看,可以将数据划分为个人数据、企业数据及公共数据;从数据来源分类角度来看,还可以将数据分为“原始数据”和“衍生数据”[12]。从“个人-企业”二元论角度来说,这是一对讨论数据权益问题时所无法规避的矛盾,也即需要各界付出努力寻找和论证“权益边界”所在的地方。用户对原始数据享有权利,企业因对衍生数据的形成投入了物力、财力因而可以对衍生数据享有财产性权益。
2. 可能的数据权益主张路径
从数据生命周期来看,由于数据生产使用存在诸多参与者,特别是在作为数据原发者的用户和数据处理者的企业之间,如何设定不同的权益,并依据何种逻辑在这些数据形成的参与者之间分配权益,成为当下数据权益体系构建的焦点和难点。结合众多的学界理论和商业实践,一般认为数据权益的财产属性方面,在目前的法律框架下可能至少包括以下三种可能路径:数据用益权、数据竞争性权益和数据知识产权。
数据用益物权
国内有学者为了解决数据流动与共享需求,同时应对物权法定的固有困境,借助上述数据基础分类的方法,提出了“数据用益权”的解释思路,即根据不同主体对数据形成的贡献来源和程度的不同,应当设定数据原发者拥有数据所有权与数据处理者拥有数据用益权的二元权利结构,以实现数据财产权益分配的均衡。数据用益权既可以基于数据所有权人授权和数据采集、加工等事实行为取得,也可以通过共享、交易等方式继受取得。数据需要依托具有公信力的公共数据平台、数据中间商进行交易与共享。[13]引入数据用益权概念,有助于实现用户和企业之间的权限分配、调和不同数据企业之间的利益冲突,从而为数字经济的发展搭建清晰的利益分配框架。更重要的是,目前国内外均已出现数据交易市场和共享平台,为促进数据权益的通畅流转,并确保各方的交易安全,构建数据用益权以及相关的配套制度就变得更为必要。
数据竞争性财产权益
从交易成本理论、劳动财产权理论以及激励理论的角度,数据收集企业对于收集的数据集,数据增值企业对于增值数据,应该享有一定的财产性权益。在业界和司法实践认定中,该观点可以说得到了较大范围内的认同(以下详述)。一般认为,企业可以通过对原始数据进行整合、算法过滤、匿名化处理等一系列加工、处理行为,可以主张其对增值数据具有《反不正当竞争法》下的、对第三方的排他竞争性权益。
满足特定条件下的数据知识产权
由于竞争法特有的事后救济属性或者说固有特点,无法满足人们构建实现事前保护的数据权益主张框架需求。因为我国《反不正当竞争法》适用的局限性,知识产权保护制度仍是目前企业建立数据产权的主要途径。实践中,企业通常利用多项知识产权对数据进行保护。例如,对于数据的编排和选择,企业可以主张著作权下的权益;对于数据本身,企业可以主张商业秘密下的权益。但不可避免的是,因为既有的知识产权制度并不完全匹配、贴合企业保护数据的需求,使用知识产权的法律体系保护企业数据仍然存在着一定的局限性。
小
结
囿于篇幅限制,本篇重点介绍了国内外数据权益的现有法律规则和主要理论。司法实践中法院对于数据权益纠纷持有何种态度并将如何处理?企业如何在网络安全及数据合规的大环境下保护数据资产价值?我们将在下篇中进行详解。
向下滑动阅览
脚注:
[1] Office of Management and Budget (OMB):federal data strategy 2020 action plan, https://strategy.data.gov/action-plan/ 最后访问日期:2021年7月28日。
[2] 腾讯研究院 朱开鑫:《<欧洲数据战略>解读:距离单一数据市场还有多远?》,https://www.tisi.org/14048,最后访问日期:2021年7月28日。
[3] Nestor Duch-Brown, Bertin Martens, Frank Mueller-Langer, The Economics of Ownership, Access and Trade in Digital Data, p.17 (European Comm'n JRC Digital Economy Working Paper 2017-01), https://ec.europa.eu/jrc/sites/jrcsh/files/jrc104756.pdf,最后访问时间:2021年7月28日。
[4] 刘新宇:《大数据时代数据权属分析及其体系构建》,载《上海大学学报(社会科学版)》,2019年第6期。
[5] 李慧敏,王忠,《日本对个人数据权属的处理方式及其启示》,载《科技与法律》2019年底4期。
[6] 丁晓东,《数据到底属于谁?——从网络爬虫看平台数据权属与数据保护》,载《华东政法大学学报》2019年第5期。
[7] 龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017年7月第4期。
[8] 杨立新,陶盈:《公民个人电子信息保护的法理基础》,载《法律适用》2013年第8期。
[9] 梅夏英:《数据的法律属性及其民法定位》,载《中国社会科学》2016年第9期。
[10] 帕特里克·博尔顿:“同意”按钮真的能保护个人隐私吗?https://www.luohanacademy.com/cn/insights/38a8466eb62c844a,最后访问日期:2021年7月28日。
[11] 腾讯研究院 王融,易泓清:《数据权属大讨论中的共识凝聚》,https://www.tisi.org/18958,最后访问日期:2021年7月28日。
[12] 参见王渊、黄道丽、杨松儒:《数据权的权利性质及其归属研究》,载《科学管理研究》,2017年10月第35卷第5期;高完成:《数据确权与交易规则研究》,载《西安交通大学学报(社会科学版)》,2018年第3期。
[13] 申卫星:《论数据用益权》,载《中国社会科学》2020年第11期。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
刘迎
合伙人
知识产权部
liuying3@cn.kwm.com
业务领域:体育、知识产权以及商事争议解决
刘律师为中国法学会体育法学研究会理事,曾参与2008年奥运法律服务以及国家体育总局冬季运动管理中心法律顾问等工作。刘律师对体育赛事运营和商务开发、运动员训练及管理、电子竞技等方面有较为深入的研究和丰富的经验。同时,刘迎律师也擅于处理各类商事纠纷,曾协助众多知名企业参与处理上百件重大复杂商事诉讼、仲裁案件。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
孙乐怡
律师
知识产权部
姚敏侣
律师助理
合规业务部
感谢甘雨丰、徐晓妍对本文的贡献。
责任编辑:贾肖男
编辑:魏雪婷
人工智能:
算法治理系列之——智能时代的算法治理 2021-06
算无遗策,画无失理?——算法合规在平台经济反垄断中的应用 2020-11
AI与大数据的“理想城”:智慧城市合规的基础要点 2020-02
2020年“AI”应有大爱 2020-01
人工智能系列之人脸识别信息的内涵与合规难题 2019-11
数据合规:
个人信息保护立法效果、理念及价值平衡 ——欧盟GDPR生效实施三周年比较与前瞻 2021-5
数字征信时代的重要信号——征信业务新规草案解读 2021-1
成年人要看的利弊——互联网数据商业化的模式变局 2020-12
Personal Information Protection Law (Draft): A New Data Regime 2020-11
“道阻且长,行则将至” --从《个人信息保护法(草案)》看中国个人信息保护的思路和数字经济发展策略 2020-10
六个月倒计时!《生物安全法》中的数据合规赛道 2020-10
敢为天下先——特区培育数据要素市场的契机与合规要点 2020-10
“以人为本”——聚焦央行消费者金融信息保护新规 2020-09
变化纵横出新意——民法典中个人信息的定位及影响 2020-06
问答精选-解读《个人金融信息技术保护规范》2020-02
解读《信息安全技术 个人信息告知同意指南(征求意见稿)》2020-02
疫情防控 | 数据资源流转与公开 2020-02
疫情防控|同舟共济——不同场景下健康医疗数据流转的合规路径 2020-02
宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01
“数”年快乐——万字长文说“数据融合” 2020-01
平安夜里说平安——“数据资产”的误区与合规条件 2019-12
按图索骥——图示移动APP个人信息保护的重点 2019-11
大一统而慎始也——新型信用监管机制问答 2019-10
竹杖芒鞋轻胜马:医疗大数据发展和合规管理并重 2019-09
星光奉献给长夜——儿童个人信息保护的亮点和启示 2019-08
投资出行领域,数据是金矿还是烫手山芋?2019-07
Development Of PrcRegulations On Cross Border Data Transfer 2019-06
数据监管新要求,电子商务法时代跨境电商将走向何方? 2018-11
你的“饼干”安全吗?——Cookie 与个人信息保护 2018-08
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 2018-02
谨于言而慎于行:互联网信息内容服务管理新规出台 2017-08
No “Data”, No “Internet of Vehicles” 2017-07
布局“自动驾驶”:此时不为,更待何时?2017-07
Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry 2017-07
图解“车联网” 2017-06
无“数据”,怎“车联”?——“车联网”数据类核心业务法律监管刍议 2017-05
为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去 2017-05
欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》 2017-05
你的数据,能不能走出国门? 2017-04
中国推进个人信息保护 2017-04
2017年,大数据合规离我们有多远? 2017-01
隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势 2016-12
个人信息保护的百万罚单时代来了? 2016-11
网络安全:
利刃出鞘:《数据安全法》下中国数据保护路径解读 2021-06
Innovations & New Developments of Cybersecurity Review Measures 2020-05
“柳暗花明又一村”——金融产业链的困局及破局思路 2020-03
“云深不知处”——企业远程办公的网络安全常见问题及建议 2020-02
“管中窥豹”——《生物安全法》前瞻及现行生物安全相关监管体系回顾 2020-02
博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径 2019-11
亡羊补牢未为迟:如何应对网络安全勒索事件 2019-06
“欲穷千里目,更上一层楼”——国际新形势下的等保2.0 2019-05
叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较 2018-09
《网安法》生效后不得不知的N件大事 2017-08
“新”电信业务办法:更简、更活、更规范 2017-07
必将婴城固守,皆为金城汤池——看《关键信息基础设施安全保护条例(征求意见稿)》 2017-07
Petya来袭,网络安全事件应急预案正当其时 2017-07
图解安全评估流程——互联网业务安全不可因“新”而废“管” 2017-06
《网络安全法》及其部分配套规定今起实施 2017-06
“一带一路”背景下中国企业境外并购的网络安全和数据合规问题 2017-06
十三五“新常态”下企业营商的合规挑战 2017-05
开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评 2017-05
画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》 2017-05
热点解读:网信办连续颁布三项重磅新规 2017-05
我知道你 在看 哦