华政学报 | 陈越峰 超越数据界权:数据处理的双重公法构造
超越数据界权:数据处理的双重公法构造
作者简介
陈越峰 华东政法大学教授,法学博士
目 次
一、引言:超越数据界权的问题意识
二、数据界权的内外视角
三、数据处理的公法审视
四、数据处理的双重公法构造
五、结语:促进数据要素的有序流动
本文载于《华东政法大学学报》2022年第1期,因篇幅较长,已略去原文注释。如需了解更多,请查阅原文。
摘 要
数据财产权益如何界定是一个备受关注的立法难题。关于数据界权的讨论,在其权益构造上歧见丛生,在其权益基础上又含混不清或似是而非。贸然推动数据要素确权立法,可能不利于数据的公平获取使用。基于控制的数据处理,是数字经济和公共管理服务运行的实然状态,它受到合同法、侵权责任法、反不正当竞争法等法律规范的有效调整。无论是否能够妥当进行数据确权,都需要确立一个数据处理秩序,而公法构造不可或缺。这个公法构造是双重的,第一重是数据处理的规制体系,第二重是公共数据的开放利用。数据处理的双重公法构造能够超越数据确权,形成促进数据要素流动和价值分配的秩序构造,提供数字经济和数字政务服务持续发展的法律框架。
关键词
数据确权 数据财产权
数据处理 公共数据 数据处理规制
一、引言:超越数据界权的问题意识
如今,数据作为数字经济要素的关键地位和重要价值已毫无疑义,数据财产权也日益成为立法和学术讨论的关注焦点。在立法上,我国《民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定”;《数据安全法》第7条则规定:“国家保护个人、组织与数据有关的权益。”从中可以看出立法者的审慎。有学者认为,完善数据财产权的实体规范,进而将之提升至基本权利的高度、强调数字人权的保障,是一项很重要并具有迫切性的立法课题。
然而,数据财产权益如何界定的确是一个难题。2021年先后颁布并均于2022年1月1日施行的《深圳经济特区数据条例》和《上海市数据条例》,都没有采用直接对数据进行确权的规定。前者在第4条第一句规定:“自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。”后者在第12条第2款规定:“本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益。”
有学者指出,个人信息权是随着社会的发展而演化出来的一项新型公法权利,它超出了传统的民事权利范畴,横跨公私法边界,不宜简单套用传统的权利构造进行剪裁。实际上,民法上所有权的绝对性在工业时代也有了一定程度的相对化。前瞻和前沿研究为我们提供了关于数据和数字经济的重要基础共识,平台企业以提供产品或服务的方式支付数据成本,同时利用双边经济或其他新经济的特有属性整体实现权益。我们确实也不宜简单套用民法上物权的权利构造来进行数据界权,特别是就数据进行确权。
本文试图做一个框架性论述。为了促进数据要素流动,实现数据的公平获取使用和利益分享,在进行数据界权之外,存在一种超越数据界权的制度选择,即在现有的合同法、侵权责任法和反不正当竞争法的制度基础上,形成关于数据处理的公法秩序。如果进行数据界权,特别是就数据进行确权,那么可能会不利于数据的公平获取使用。数据要素的流动始终需要一种公法构造。
二、数据界权的内外视角
在美国,关于个人信息财产权范式的五个关键要素,包括限制转让个人信息的权利、强制披露交易条款的默认规则、市场参与者的退出权、建立损害赔偿以阻止市场滥用、机构监管个人信息市场并处罚侵犯隐私的行为等,这些都与数据要素确权没有关系。美国的制度发展,在以上五个方面都有很大进展。但是,在数据要素确权方面,似乎并没有出现颠覆性的议题与主张。
在欧盟,尽管有较为广泛的讨论,但总的论调非常审慎。在2016年欧盟网络暨科技总署听证会上,众多参会代表表示,无须确定数据权属,经由合同就足以保护数据。欧盟委员会则认为,大部分数字经济中生成的数据没有得到充分共享和使用,因此在《打造欧洲数据经济》报告中提出,有待解决的主要问题是“数据获取和传输”。即与数据确权相比,解决数据获取和传输的制度需求更为迫切。在我国,建立高效利用的数据要素资源体系,是纳入国家规划的重大任务。显然,数据要素资源的高效利用是各主要国家高度关注的战略问题。
在我国,几乎与个人信息保护立法同步,在对个人信息权益进行讨论的同时,关于数据财产权益的讨论,就已从内外两个视角充分展开,就如何界权和为何界权,有着多角度、多层次的研究成果与学术主张。
(一)数据界权的内部视角:权益构造
从数据财产权益本体展开的讨论,提出的似乎是一种毋庸置疑的权利。论证的起点在个人信息,那自然应当对个人信息中蕴含的商业价值给予财产权保护;为用户配置基于个人信息的人格权和财产权的双重性权利,建构以信息自决为核心内容的主体权利制度。当然,也有学者认为,个人对其个人信息不具有财产利益,处理者对个人信息数据的财产权益并非从个人处继受取得,而是基于合法的处理行为而原始取得。一旦认为数据权属及其分配规则不清是数字经济发展的最大制度障碍,对内部构造的研究就自然走向深入。其中有代表性的主张是以对数据形成的贡献来源和程度,将数据主体二分为数据原发者和数据处理者,为两者分别配置数据所有权和数据用益权。
内部视角的讨论,也很自然地延展到法律体系。研究者指出,合同约束、技术措施在没有产权保护的情况下存在明显的局限性;竞争法对企业数据的保护不足,因其将降格为受法律保护的纯粹经济利益,无法充分地鼓励数据企业更多地收集、存储、转让和使用数据,不利于数据的流动和分享。此外,还有占有法、破产法、强制执行法等方面的理由,以支持在数据文件上设定绝对权即数据文件所有权的主张,而不是仅限于保护实际控制数据的利益状态。因此,研究者从完善数据财产权益保护法律体系的角度,提出有必要考虑在法律上提供额外的财产权保护。
显然,很多网络数据是众多网民通过平台共同参与形成的,因此不能配置简单的财产权构造,而应当进行有极强外部协同性的复杂财产权设计。但是,在构造方式上,是否需要以物权机制作为模板来制定大数据集合的产权保护规则,有学者认为那不过是将知识产权法重新发明一遍,很容易陷入过度保护的泥潭,不值得认真对待。
如果充分认识和认同平台、场景、架构的意义,关于数据界权的主张就会发生立场迁移。有学者基于平台的多重属性与高度的场景依赖性,提出类型化和场景化的规制制定方式。其中,对于企业数据,并不认为应采用财产权保护的方式,而是根据公开与否,采取分类的保护形式:对于非公开的企业数据提供商业秘密保护;对于半公开的数据库数据提供类似欧盟的数据库特殊权利保护;对于公开的网络平台数据则采取竞争法保护。因此,果断地搁置企业数据产权争议,设立企业数据的利用与分享准则,似乎就成为了一种理性的可能选择。
实际上,也有研究指出,以数据确权为代表的生产要素权属主张是“要素财产权”,它不完全符合数据特性,实现起来不但不能带来积极影响,反而可能增加社会成本。平台企业以制定和执行在线规则的方式,承担发展数字经济和一定意义上的公共管理职能,保护其通过大量投入而构建出的虚拟空间利益。这构成了“架构财产权”的主体性和规范性基础,不需要法律介入特定要素产权,同样可以实现要素的自主有序生产。这种分析将视域放大,从规范的内部构造扩展到规范和事实的整体结构,对数字经济的运作机制有解释力。当然,“架构财产权”尽管有规范基础,但它总体上不是一个规范性概念,而是描述性概念。这个概念启发我们将视角放大乃至移转至外部。
(二)数据界权的外部视角:权益基础
为何界权是一个更为基本的问题。需要对数据界权进行外部视角的观察与分析,厘定数据财产的权益基础。是否在数据上设权,应当从经济和法律的双重视角考察它是否更有利于促进经济社会发展。研究和讨论的应当是必要性,而不是可行性。不是数据或数据文件可以被特定化、可以形成事实上的排他性,因此可以成为民事权利的客体,就足以成就新的财产类型,就有这样去做的必要。创设数据财产权的正当性的经济学论据主要在于通过经济激励数据生成、促进数据使用与交易。关于前者,德国著名经济学家科贝尔教授认为“没有证据表明,在数字经济中,人们生产和分析数据的激励普遍不足”。在大量机器数据作为工业生产或公共服务的副产品(几乎)自动生成时,数据财产权作为法律上的激励如何能起到增强的作用并不明确。至于后者,科贝尔教授认为:“到目前为止,数据生成者和持有者似乎有数据商业化的充分潜力。”
我国关于要素市场化配置体制机制的政策,其目的指向在于促进要素自主有序流动,提高要素配置效率和公平性。美国和欧盟有着类似的问题意识,即需要考量创设一项数据财产权对数据自由和公平获取的影响,乃至对经济、科学和整个社会发展的影响。
讨论数据是否应当财产权化,外部分析视角,特别是经济分析视角不可或缺。然而,呈现出来的同样是类似于光谱的多维结论。已有研究从数据主体或数据控制者的角度,分别对个人数据、企业数据、公共数据的数据界权问题进行讨论。
就个人数据而言,对它采取财产权保护在制度上是低效率的。相反,个人数据信息无须激励也会源源不断产生,不会因为没有财产权保护而出现产出不足的情况。个人数据信息价值的低密度性也使得相关个人无法就单独的个人数据信息进行财产权的交易,因为单独的个人数据信息几乎没有市场价值。当然,平台经济的运作实际是个人以个人信息为对价获得免费服务。但是,服务换取信息的对价化交易模式,毫无疑问是以个人的信息权利主体地位为前提的。
就企业数据主张财产权化似乎赢得了更多认同,认为这是对企业的最佳激励方式。有的认为,明确规定数据企业的数据权利,即数据企业对合法收集的包括个人数据在内的全部数据享有支配的权利——性质上独立于人格权、物权、债权、知识产权的新型财产权,可以更好地鼓励数据企业收集、存储和利用数据,促进数据的流动。不过,从平台经济和数字经济的强劲发展来看,在直观上很难得出激励不足的估计。因此,需要看到数据市场本身能否提供有效的替代性激励机制,例如,如果数据收集者凭借巨大的品牌优势、市场支配力或网络效应,甚至具有跨行业的交叉补贴的能力,从而取得的领先时间足以保证领先者获得合理的投资回报,那么就无须提供额外的产权保护。
至于公共数据,似乎在另一个方向上有更大的共识,既不应也无须为国家机关配置数据上的财产利益。国家机关对个人信息数据不享有财产利益,并且应当依法依规向社会积极开放其控制的数据资源。这种公共数据开放是一种公共服务,不涉及财产权益的让与。国家机关处理个人信息、收集并使用数据的目的是“为履行法定职责”或公共利益,而非获得或者增加财产,因此不需要为国家机关提供经济上的激励。如果配置财产利益,则有可能会阻碍社会公众对此等数据的充分利用。
有学者认为,问题不在于界权本身,而是要有清晰的界权思路,数据界权不应受确立财产所有权思路的局限,而应致力于调整社会主体间围绕数据价值开发利用而形成的具体利益互动关系。然而,我们也可以看到,采用数据界权的思路,看起来必然使规则走向碎片化,即引入个人数据、企业数据、公共数据的分类,在数据的类型化和场景考量中妥当配置财产权益。
三、数据处理的公法审视
关于数据界权的讨论歧见丛生,其问题意识含混不清或似是而非,因此似乎不宜特别着急推动数据要素确权立法。从实然角度观察,数字经济和公共管理服务运行的实际状态是大量的数据处理。根据《数据安全法》第3条第2款的规定,数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。其后,《上海市数据条例》第2条第2项沿用了这一规定;《深圳经济特区数据条例》第2条第6项则只是将“公开”替换为“开放”。因此,本文以此界定数据处理活动。
从主体的角度观察,个人数据、企业数据和公共数据形成了基本类型。在讨论数据处理问题时,也需要考虑到存在大量非个人属性的机器生成数据,特别是原始数据,例如通过传感器生成的数据。就数据处理活动而言,我们可以看到的是基于控制的数据处理。
(一)基于控制的数据处理
研究者认识到,与无形物的价值在于稀缺不同,数据的价值在于实际控制,它的财产价值并不由数据自身来彰显,而是由当事人的控制行为来实现,而数据的交易必须依附于平台、代码、服务协议、交易合同组成的技术和法律关系的整体性交易过程才能完成。当然,这并不意味着一旦数据被他人通过某种途径获取,数据的商业价值就失去了。因为,凭借超强的计算能力、有洞见的算法,在特定应用场景中展开大数据分析,引导自动化商业决策,才能真正挖掘出数据的商业价值。数据的交易也不是不能独立进行,只不过这种静态、割裂的数据交易并不是真正有竞争力的数字经济本质形态。
我们看到,企业一直通过物理、技术、商业模式甚至社会规范等手段对数据及其流动实施有效管控;企业间数据合作也可以持有企业对数据获取的实际控制为起点,通过契约、技术措施甚至企业兼并等方式完成。在没有法律确认或赋权的情形下,数据控制者对所控制的数据享有事实上的使用权,这种使用权是基于其合法获取并控制而产生的。国家机关等公共管理和服务机构在履行公共管理和服务职责过程中收集和产生的公共数据,也普遍存在基于数据控制的处理活动。
也有研究者指出,企业数据在利益形态上表现为对数据的有限自我控制,其本质是信息自由;企业数据受到的保护是在承认和维护数据控制的基础上,以侵权责任法、合同法和竞争法调整数据控制、处理活动和利益分配。如果从平台的整体架构观察,可以看到生产要素(物理的、虚拟的以及数据集合等)调配权与无所不包的合同化。作为格式合同的用户协议能够帮助数字平台获取形式上的合法性,平台的主体责任规定使得它在架构内展开了自主管理。它们是以平台控制为基础的数据处理活动的核心机制。
这种数据处理活动的实然规范,是国际通行的。在欧盟,目前适用的法律中没有关于数据的具体“财产权”规则,但是公司可以通过协议保护自己的利益。正如德雷克斯尔教授等所言,现有的商业秘密保护、合同和技术保护措施等法律工具为数据生产者提供了充分手段,来确保法律上或事实上的排他性。也因为如此,欧盟区域的专家认为,关于数据财产权假设可能会给竞争带来新的障碍,目前的法律状况虽然在某些方面比较模糊,有待进一步改进,但总体上仍相当平衡。
我们对基于控制的数据处理有一个基本假定,那就是数据的合法获取。在没有任何公法规范调整的情况下,遵循法无禁止即自由的原则,数据获取的合法性是默认事实。仅在侵权、违反合同、构成不正当竞争的意义上,使数据的获取产生合法性问题。然而,随着数字经济的发展,法律规范很快显现出不相适应的状态。数据的流动性和数据处理的“丛林状态”使得法律的保护机制显得笨拙而无用。于是,规范数据处理活动的公法构造兴起。这样,在违法获得数据的情形下,不法行为人所承担的责任就是违反保护性法律的行政或刑事责任。
(二)不可或缺的公法构造
基于控制的数据处理,在既有的法律框架内发生,推动数字经济借助平台的架构高速发展。因此,也就有了对这个结构和状态的乐观评价。虽然“不能认为缺失财产权利的企业数据市场就处于‘无法无天’的‘自然状态’”,但我们显然应该还清楚地记得互联网的“非法兴起”和平台企业的“野蛮生长”。我们也很难那么自信地认同:只要法律承认和保护数据控制者对数据的事实上的控制,就能构筑数据利用秩序,基于事实控制即享有数据使用权。无论是否就数据要素进行确权,进而确立数据财产权,市场的有效运作都需要通过公法构造的支撑和规制加以实现。
数据虽然有非竞争性,即市场参与者使用数据并不会妨碍其他市场参与者使用同样的数据,但是它也是一种独占性资源,基于控制的数据处理会很自然地排除对数据的自动获取。有研究认为,最主要的潜在市场失灵问题是一手买家可能转售数据,但这似乎可以通过合同和技术限制或者相关数据服务的销售策略来解决。
然而,前已述及,合同约束、技术措施存在有效性边界。正如科贝尔教授所言,无法排除数据交易和许可市场出现市场失灵的可能,从实践上看,数据市场仍在发展,需要更多的监管。数据界权不能解决有效性问题,真正能够形成支撑的是公法机制。公法对平衡私主体间不对称的关系、有效治理数据处理风险、保障数据公平获取和使用、促进数据价值分享等有着不可或缺性。
1. 不对称关系的平衡
互联网行业经过二十余年的发展,平台企业不断通过技术、竞争法和商业实践在赛博空间中塑造出了“架构财产权”,并成为了数字基础设施。这就使得个人、一般企业的选择权在实质上被压缩。政府的管理和公共服务活动,同样不存在可以“讨价还价”的余地。由于数据处理活动越来越复杂,信息也愈发不对称。这使得个人基于主体地位的支配和自决面临严峻挑战,也不利于企业之间的公平竞争。
就个人信息保护而言,以“知情同意”为核心的保护架构,无法提供实质性保障。由信息主体控制极有可能流于形式,信息主体只能选择“同意”,导致设立控制权的立法目的在实质上无法实现,个人无法真正保护信息不被违法处理。仅仅依靠个人同意权等传统隐私权保护机制,无法应对大数据快速发展背景下的个人信息保护问题。网络时代个人信息面临的重大挑战,根源在于公法制度缺位,个人信息保护法通过设定信息处理者的公法义务为判断合法性提供了明确的标准。
以“知情同意”为核心的传统个人信息保护架构,虽然确实有流于形式的表象,但是不会严重制约数据价值的开发,其原因也正在于其流于形式。在这样的关系结构中,即使就个人数据配置财产权,也难以改变这种不对称。有学者指出,数据要素确权本身的功能有限,在实现过程中仍然依赖于外部制度设计和供给,需要跳出确权思维而看到更为基础的市场机制的运作逻辑。其实,也需要跳出确权思维看到更为基础的政府规制的运作逻辑。
平台作为数据控制者与数据主体之间形成了不对等的关系,每个平台因封闭而成为数据孤岛。显然,不对称的关系也不利于数据的流动和公平获取使用。
2. 数据处理风险规制
在大数据时代,由于数据本身的特性,信息控制者有很强的利用激励而缺乏同等程度的保护激励,有时甚至只顾着利用而忽视了保护,对个人数据保护也远不如对其他私有财产保护重视。因此,网络和数据安全事宜需要导入政府规制。由于数据安全的系统性,即使是看似不涉及个人数据的企业数据和公共数据,也有着风险规制的必要性。
当然,若全部都加以保护,技术、经济上有很大难度,会产生很高的保护成本。因此,我国《个人信息保护法》对不同类别的个人信息,从最内核的个人隐私信息,到个人敏感信息,再到最外围的大数据意义上的非敏感个人信息,采取不同的保护标准,将重点放在信息安全风险管理上。《数据安全法》也设定了分级分类的数据安全管理措施。数据处理风险规制也使得个人信息保护的目的得以换一个角度实现,即着眼于规制个人信息处理风险,而不是保护个人对其个人信息的控制性权益。
3. 数据自由有序流动
在大数据时代,权利控制机制可能导致程序的过度复杂化,不合理地增加信息控制者的成本,影响数据自由流动,最终损害社会的公共利益。在个人信息保护制度上,应当充分考虑个人信息保护与社会利用的平衡,将新闻报道、学术研究、档案管理、统计分析、艺术表达和文学创作等纳入合理使用范围,以充分实现促进信息流动与利用的目的。《个人信息保护法》第13条第1款所规定的个人信息处理者处理个人信息的合法性基础,已对此有一定程度的体现。
平台经济在运行中会形成某种数字“虹吸效应”,即数据等要素的单向流动。大型平台的封闭,以及与其他平台的互操作性降低,使得数据垄断等问题引发人们的担忧。国际上也普遍对此问题极为关切。如果对特定数据配置独占性使用权,将不必要地排斥他人使用,限制公司之间的竞争,从而可能减少社会福利。数据锁定效应和数据垄断结构对于数据公平获取使用极为不利。因此,在制度设计上,需要考虑打破数据锁定和避免数据垄断。如果在数据上设置物权法上的财产结构,就很可能加强资源锁定效应,不利于数据的流动和共享。因此,有学者认为,即使设定财产权,也应当在期限、权能等方面采取更为严格的限制。数据分享存在各种现实因素的制约,尤其是当政府或网络企业的利益与数据开放形成冲突时,数据分享就不再是自然而然的了,它需要法律予以促进和保障。因此,需要在公法上作出规定,保障数据公平获取使用,促进数据自由、公平竞争和创新。
4. 数据价值公平分享
分配意义上的利益公平分享是一个社会公正问题。市场机制固然应当在资源配置和利益分配上起决定性作用,但是在市场机制不能有效调节的方面,政府规制有其正当性和必要性。
数据之上的重叠利益和多元价值须在商业实践中相互协调。研究者认为,应当充分考虑平台企业在产业发展中的贡献,对企业的合法利益加以保护,建立有效的数据共享和交易机制,形成规范不正当竞争的商业秩序。企业在经营活动中获取数据,根据其贡献度分配产权。但是,在初始意义上分析贡献度,进而相应分配产权,这很困难。因此,平台价值分享公平性确实是一个终极追问。进一步而言,在数字经济时代,对基于控制的数据处理所形成的一种利益关系,是否在法律上建立财产权法律关系,需要考虑其是否符合数据价值逻辑和分配公正。
因此,需要考虑多元利益和价值,在个人基本权利保护、数字经济发展以及数据利润共享之间达成适当的平衡。来自个人数据主体合法权益、公共利益和社会福祉、信息社会和数据经济发展、国家数据安全等的不同特性,也会要求分类保护与多层限制。
总之,市场逻辑无法完全解决要素获得合理分配的机制,特别是当市场可以被数字平台系统地创设和控制的时候,如果不对相应的社会机制进行反哺和加强,数字经济将是不可持续的。从另一个角度来说,除了要借助市场竞争机制和传统私法规范约束平台,还有必要引入公法原理及其价值要求,对平台进行适度干预。至于公共数据的处理活动,那就更不是市场机制可以单独有效调节的了。
四、数据处理的双重公法构造
中央网络安全和信息化委员会于2021年12月印发的《“十四五”国家信息化规划》明确提出,聚焦数据管理、共享开放、数据应用、授权许可、安全和隐私保护、风险管控等方面,探索多主体协同治理机制。我国的互联网立法不断完善,数据处理的双重公法构造逐渐形成。其中,第一重构造是数据处理的规制体系,这是个人数据、企业数据、公共数据的处理都被纳入的规制体系;第二重构造是公共数据的开放利用。
(一)数据处理的规制体系
针对互联网失范行为的多样性,立法机关应当针对相关领域法律介入的必要性有选择地进行立法。数据处理的规制体系,至少应当包括数据处理风险规制和数据处理行为规制。这实际上是建构一个数据控制和处理秩序,在现有的法律框架内相应保护数据利用权益。
1. 数据处理风险规制
数据处理风险规制是保持和促进数据自由流动的基础机制,也是数据处理秩序的基本组成部分。目前,我国《网络安全法》《数据安全法》《个人信息保护法》建构了数据处理风险规制的基本架构。法律保护个人信息的目的在于防范相关风险,促进个人信息在具体场景中的合理流通。这需要采取公法框架进行风险规制,以保护个人信息。由于存在信息和风险防控能力的不对称,个人很难自行判断个人数据信息是否用于正当目的,因此也需要导入政府规制。
与作为具体人格权的隐私权受到侵害相比,侵害个人信息可能造成的是一种综合侵害,前者主要是精神损害,是无法与后者等量齐观的。因此,需要基于系统治理原则,更多发挥政府执法与监管的作用,通过公法执法机制弥补私法执法的不足,并从合规与风险预防角度设计制度,从根源上预防风险发生。
因此,在数字时代,国家不仅应履行尊重私人生活、避免干预个人安宁的消极义务,还应通过积极保护措施,防范、削减数据处理风险。知情、决定、查询、复制、更正、携带、删除等工具性权利的配置,有助于数据处理风险规制。实际上,私法角度的研究也认同自然人对个人信息只享有应受法律保护的利益,即自然人享有的防止因个人信息被非法收集、泄露、买卖或利用进而导致人身财产权益遭受侵害或人格尊严、个人自由受到损害的利益。
我国《数据安全法》则建立了数据分类分级保护制度,数据安全风险评估、报告、信息共享、监测预警机制,数据安全应急处置机制和数据安全审查制度等重要制度。《数据安全法》还进一步规定了数据处理者的数据安全保护义务,具体包括:采取措施保障数据安全,重要数据处理者明确数据安全负责人和管理机构;实施风险监测,发现数据安全缺陷、漏洞等风险后采取补救措施;数据安全事件处置及告知用户与报告主管部门;重要数据处理者的数据处理活动风险评估与报告;重要数据出境安全管理等。《上海市数据条例》等地方性法规则根据对数据安全风险认识的深化作了进一步的具体规定,为防范风险,公共数据授权运营应当基于平台进行可控开发。
2. 数据处理行为规制
为促进数字平台的公平竞争,需要通过公共机构的外部力量重新规制市场各类核心机制(如定价、流通、信用、支付等)。例如,国家部委要求即时通信软件解除屏蔽,要求平台企业不得利用技术手段实施系统封闭,其目的就在于促进数据流通和公平竞争,着眼点为流量和数据。
《上海市数据条例》第52条第2款规定,市场主体对数据的使用应当遵守反垄断、反不正当竞争、消费者权益保护等法律、法规的规定。《深圳经济特区数据条例》更是以三个条文对公平竞争作出了系统规定,包括不得以非法获取数据等行为侵害其他市场主体合法权益;不得利用数据分析,对交易条件相同的交易相对人实施差别待遇;不得通过达成垄断协议、滥用在数据要素市场的支配地位、违法实施经营者集中等方式,排除、限制竞争等。
前文述及的个人信息主体的工具性权利,尤其是个人数据可携带权,在促进公平竞争上也有重要意义,有学者指出它可能是重新连接起互联互通的互联网世界的“一叶扁舟”。
当然,数据处理活动中的具体行为是否属于不正当竞争行为,需要在解释论上作具体分析。比如数据爬取行为的合法性问题,有的研究者认为,爬取方有基于数据自由流通的数据访问权,爬取企业数据的正当性边界需要权衡规范:爬取方未侵害计算机信息系统安全、数据安全、著作权、商业秘密、数据收益(竞争性财产收益),且并未实质性地取代被爬取方的数据业务的,则允许爬取;过度爬取、用于与被爬取方竞争的目的,则需要进行个案权衡。这涉及数字经济领域特定市场参与者,特别是初创企业、供应商等,公平获取使用数据的问题,是不可忽视的促进公平竞争和创新的另一个重要价值维度。
对数据处理行为的规制,与算法规制也紧密关联。个人数据滥用在数据服务场景中体现为通过算法不当分析数据主体的行为。因此,也有研究认为,通过对数据权利生产机制的考察发现,算法在数据价值与数据权利的形成中处于核心地位,因此可通过算法规制反向实现数据确权。
值得充分关注的还有作为要素市场化配置机制的数据交易所。《上海市数据条例》第53条第1款规定,数据交易服务机构为数据交易提供数据资产、数据合规性、数据质量等第三方评估以及交易撮合、交易代理、专业咨询、数据经纪、数据交付等专业服务。条例坚持了市场原则,规定数据交易市场主体可以通过依法设立的数据交易所进行数据交易,也可以依法自行交易;从事数据交易活动的市场主体可以依法自主定价。有研究者认为,大数据交易合同本质上不是民法上的买卖合同,而是一种数据服务合同,数据控制者为对方提供数据是数据交易的核心内容。在数字经济运行的商业实践中,围绕数据展开的交易丰富而复杂,例如,采取数据共享的形式以数据换数据、数据与流量的交换等。进入数据交易所进行交易,提供一种新的交易平台,有助于数据要素市场的形成和丰富,也有利于促进数据合规。
条例关于浦东新区数据改革的特别规定,鼓励和引导市场主体依法通过数据交易所进行交易,要求数据交易所依法组织和监管数据交易,制定数据交易规则和其他有关业务规则,探索建立分类分层的新型数据综合交易机制,组织对数据交易进行合规性审查、登记清算、信息披露,确保数据交易公平有序、安全可控、全程可追溯。数据交易所的机制有利于形成公平的标准合同。这有助于引导、规范和调整关于数据处理和交易的各种格式合同,逐渐形成通行的数据交易规则。数据交易所的创制,是试图通过独立的、中立的、可信任的第三方机构、平台或者交换机制以及相应的法律制度安排,确保数据交易安全,促进数据交易和流通。
(二)公共数据的开放利用
随着互联网政府服务的广泛应用,数字政府建设走向深入,政府不再只是数据处理的规制者,政府乃至国家机关也成为最大的个人信息控制和处理者。因此,在数据处理的公法构造中,公共数据的共享开放和开发利用成为另一重调整对象。
1. 公共数据的共享开放
公共数据开放的本质是政府提供的一项公共服务,其目的在于促进社会对数据的自由利用。2017年中央全面深化改革领导小组第三十二次会议提出要“推进公共信息资源开放”,为此中央网信办、国家发改委和工信部联合印发了《公共信息资源开放试点工作方案》,确定在多个城市开展公共信息资源开放试点。其后,政府数据开放采取了专门立法的模式。
在《贵阳市政府数据共享开放条例》等地方立法中,“数据共享”是在政府内部进行的,即“行政机关因履行职责需要使用其他行政机关的政府数据或者为其他行政机关提供政府数据的行为”;“数据开放”则是政府面向外部社会进行的,即“行政机关面向公民、法人和其他组织提供政府数据的行为”。公共数据共享,属于内部行政,公法对其调整有助于打破公共数据“烟囱”,促进公共数据的流通和利用,提升公共管理和公共服务的水平。
公共数据开放是一项具有普惠意义的数据利用制度。《上海市公共数据开放暂行办法》等诸多政府规章进一步将公共数据开放明确为:公共管理和服务机构在公共数据范围内,面向社会提供具备原始性、可机器读取、可供社会化再利用的数据集的公共服务。《深圳经济特区数据条例》等地方性法规、规章都明文规定,依照法律、法规规定开放公共数据,不得收取任何费用。
无论是否进行公共数据界权,无论政府是否就数据直接享有财产权益,政府等公共管理和服务机构都通过收集、归集、共享等数据处理活动成为了数据控制者,从而基于控制而进行公共数据开放。公共数据开放的目的在于保障每一个市场主体对公共数据的平等、公平和普惠的获取和利用,有着制度上的正当性。
但是,作为政府义务的公共数据开放的实施情况并不十分乐观。研究者在2015年的研究显示,公共数据开放实践存在六个方面的问题,包括数据量少、价值低、可机读比例低;开放的多为静态数据;数据授权协议条款含糊;缺乏便捷的数据获取渠道;缺乏高质量的数据应用;缺乏便捷、及时、有效、公开的互动交流等。有学者以“云上贵州”为例分析认为,政务数据平台建设过程中存在的共性问题由多因素交织而成:一是历史遗留与技术现状交织而成的标准化困境;二是部门差异和数字红利交织而成的共享困境;三是商业化和公共性交织而成的发展困境;四是对内职能和外部治理交织而成的流程再造困境。
目前来看,问题突出表现为以下三点:(1)政府部门因只承担责任、没有收益,因而没有推动开放的充分动力;(2)数据很专业,公众使用有专业门槛,由于缺少数据服务商,中间链条断裂,因此申请开放并不十分活跃;(3)公共数据开放需要成本,需要大量的资金投入。有学者认为,数据开放是代价高昂的劳动密集型活动。公共数据开放经历了从政府部门间流通到数据对外开放的跃迁,与此同时产生的新问题也亟待解决。
2. 公共数据的开发利用
总体来看,公共数据开发利用与公共数据开放,应当属于并行不悖的制度体系。公共数据开放为社会利用“原始数据”打开通道,但“原始数据”形态大大限制了可开放的数据范围,而开发利用可将“原始数据”形态转化为数据产品、数据服务形态,再被社会直接或者间接利用,降低了数据利用方式的敏感性,能够极大提升数据要素的价值空间。公共数据的授权运营,既可以被理解为一种数据开发利用活动,也应当是一种特殊的公共数据开放活动。它的提出目的在于解决公共数据开放制度存在的问题,也是为了促进公共数据价值的实现。
尽管单独来看,公共数据授权运营制度的正当性和合法性能够证成,但是,在实际运作中,公共数据开放和授权运营容易产生角色冲突。有学者认为,为了避免政府角色混同和职能交错可能给公共利益带来的损害,防止公共数据商业化运营对公共数据开放造成弱化,这两种职能应分开,由不同主体负责,适用不同的考核机制。因此,即使作为公共数据开放的一种特殊形式,公共数据开放和授权运营的职能也应当分开。
各地的地方性法规和规章对公共数据开发利用进行了探索性的规定,特别是在政府和社会资本合作开发利用的方式上。例如,《上海市数据条例》专章规定了公共数据的授权运营制度。在公共数据授权运营制度的设计中,市场主体通过授权运营取得的并不是公共数据开发活动的资质、资格,而是特定公共资源的使用权。因此,其性质不是一般许可。由于数据不具有竞争性和排他性,授权运营也不属于有限资源的分配活动,其性质也不属于必须设定特许的活动。
公共数据的授权运营,应当在授权范围、方式、程序、绩效评估、退出等方面形成完整的机制。其范围则不应限于“有条件开放”数据。政府部门基于授权运营协议,可以对履行情况、运营绩效、运营行为实施持续的事中监管和阶段性评估、评价,适时动态调整权利义务设施,采取限期整改、撤回授权等必要手段以达成良好的授权运营绩效,也可以适时引入新的公共数据授权运营服务商,有效避免“数据垄断”,促进数据产品和服务的市场竞争,提升供给水平。
公共数据开放和利用,以提供数据公共服务的方式推动了数据的自由有序流动和数据价值的公平分享,是一种有益的数据财产权益价值发现、分配和促进的公法机制。
五、结语:促进数据要素的有序流动
数据界权的内部构造呈现出类似光谱的多维分析与结论,数据界权的外部基础并不坚实,从是否更有利于促进经济社会发展的角度进行分析,很难得出数据确权可以通过经济激励促进数据生成、促进数据使用与交易的结论。数字经济运作的实际情形是平台基于控制的数据处理,调整数据处理利益关系的基本法律规范是侵权责任法、合同法和反不正当竞争法。
然而,无论是否就数据要素进行确权,进而确立数据财产权,市场的有效运作都需要通过公法构造的支撑和规制加以实现,其目的在于平衡平台、其他市场主体和个人之间的不对称关系,规制数据处理风险,促进数据自由有序流动,以及推动数据价值公平分享。
数据处理有着双重公法构造。第一重构造是数据处理的规制体系,具体包括数据处理风险规制和数据处理行为规制。前者在《网络安全法》《数据安全法》和《个人信息保护法》上系统建构,后者则包括公平竞争规制、算法规制和数据交易规制等。第二重构造是公共数据的开放利用。公共数据开放的本质是公共服务,其目的在于促进社会对数据的平等、公平、普惠的获取和利用。公共数据授权运营的性质不是一般许可,也不属于必须设定特许的活动。政府部门需要基于授权运营协议对运营行为进行事中事后监管、对运营绩效进行评估评价。尽管单独来看,公共数据授权运营制度的正当性和合法性能够证成,但也需要避免政府角色混同和职能交错可能给公共利益带来的损害,防止公共数据商业化运营弱化公共数据开放。
数据处理的双重公法构造或许可以帮助我们在法政策上超越数据界权,保障和推动数字经济、数字政府持续发展。随着数字经济、数字政府的深入发展,商业实践、公共管理与服务的模式在探索和竞争中逐渐定型,数据财产权益的构造或许可以逐步得到厘定。
(责任编辑:肖崇俊)
(推送编辑:郑 敏)
本文载于《华东政法大学学报》2022年第1期。阅读和下载全文pdf请点击下方“阅读原文”或登陆本刊官网xuebao.ecupl.edu.cn。编辑部在线投稿系统已更新,欢迎学界同仁登录journal.ecupl.edu.cn惠赐大作!
推荐阅读
金鸿浩 | 互联网时代传播淫秽物品罪的实务反思与规则重塑——基于对368份传播淫秽物品罪判决书的分析
王 苑 | 个人信息保护在民法中的表达——兼论民法与个人信息保护法之关系
订阅方式
【向编辑部订阅】
1.银行汇款
户名:华东政法大学
账号:1001223609026407097
开户支行:中国工商银行愚园路支行
2.邮局汇款
地址:上海市长宁区万航渡路1575号《华东政法大学学报》编辑部
邮编:200042
订阅电话:021-62071670
【邮局订阅】
国内读者可到全国各地邮政公司办理
邮局发行代号:4-618