李爱君:数据权属与应用法律问题
数据权属与应用法律问题
报告:李爱君
中国政法大学教授、互联网金融法律研究院院长
各位嘉宾,各位青年才俊,上午好!感谢主办方给我这么一个机会,在这里我把我自己的一些看法和观点跟大家交流一下,有不对的地方给予指正。现在就讲一下数据权属与应用的法律问题。
第一个问题,数据信息以及大数据的界定。首先,讲一下数据信息的界定,到底数据和信息他有什么样的不同?实质上在法学文献当中信息和数据的研究对象和内容并没有一个本质的区别,比如说欧盟的《个人数据保护指令》、《一般数据保护规则》等这些立法采用了数据的用法,美国在《统一计算机信息交易法》当中采用“信息”一词。
第二个就是大数据的界定,经常我们提到大数据,自然科学和社会科学对大数据的界定是不同的,社会科学在海量的数据基础上经过加工处理之后产生有质量的数据。就意味着说,这个大数据是数据的一种衍生品,大数据一定是在数据的基础上产生的一个有价值的数据。另外,真正的在利用大数据这个层面是对我们用传统的方式和方法来处理这些数据是无法处理的,这些数据本身是无价值甚至价值很小,但是经过现代的一种技术去处理之后会产生有价值的数据,大数据是数据的一个衍生品。
第二个大问题,我们看一下数据的分类。以数据主体进行分类我们分个人数据、企业数据、政府数据、其他组织数据,从主体分,每个主体的数据根据对主体影响的不同,或权利属性不同来分,比如从个人数据来说,是隐私数据、敏感数据、一般数据,在个人数据里边还有一个国家主权性质的数据,虽然是你个人数据,但是你可能这个数据涉及到我们国家主权。下面就是以保护的角度进行分类,比如说隐私数据、敏感数据、重要数据、一般数据,商业秘密数据,还有国家安全数据,具体的定义我就不再说了,因为时间有限。
第三个大问题,数据的权利属性。所有的数据我们从实践的层面来看,这些数据到底有什么样的权属,这是大家争议最多的,以及我们国家目前各地方在数据交易过程当中所出台的地方的管理办法以及平台的协议,他对数据的权属的定义也是不同的,比如说贵阳的地方管理办法把数据定义为知识产权,北京的数据交易平台协议中把数据定义为所有权。还有一些在讨论数据权属的时候会把数据定义为知识产权等等,还有债权说、隐私权说、人格权说这些观点。我们学校在2015年就以学校专项的课题对数据应用的法律问题进行了研究,到现在已经近3年了,11月26日我校开“中国大数据法治论坛”,在座的嘉宾和在座的青年才俊都是我们诚挚邀请的对象。我们这个团队研究学术观点数据权利的属性有人格权的属性、财产权的属性、国家主权的属性,昨天在中国政法大学中欧法学院也刚刚开过“个人信息保护论坛”,国内外专家也没有共识。
首先看数据权,数据权是由数据人格权、数据财产权和国家主权构成的综合性权利集合,其中数据人格权、数据财产权和国家主权分别涉及多项权利,就是说数据本身,实际上应该作为独立的权利,数据权,这种数据权的保护和我们以往的传统的权利保护应当有所区别。这里面有一个例子比如股权,当时股权权利属性就有争论,目前《民法总则》出台以后把股权作为独立的一个权利,股权既不是所有权,也不是物权, 48 31642 48 15287 0 0 3335 0 0:00:09 0:00:04 0:00:05 3386它是一个独立的权利,这种权利保护是赋予这个权利当中有公益权、私益权、最后剩余财产的索取权,股权的权利属性的争议发展到今天,我们可以借鉴到大数据时代应用里面,数据财产权有财产权的属性,而且这种财产权是一个新型的财产权,和我们以往的财产权有不同。
《民法总则》第127条,对数据、网络虚拟财产的保护有规定的,而且依照其规定。在《民法总则》里是有意想把数据的属性做一个确定,但是可能对它的认识还不够,留有空间,在第127条,和虚拟财产放在一个条款里边,那就意味着他想把数据作为一种财产来进行看待。
第一,不同于物权,这里面括号写了“所有权”,物权是权利人直接支配并排他性地享受期利益的权利。其实看我们的实践,数据首先是无形的,但是它和我们《物权法》里的无形物又不同,对物权的直接排他性不具备,数据非排他。个人的数据,无论你的电话号码、身份证号码,你在不同机构存储,而且不同的机构可能同时运用,他没有排性,而且数据应用过程中没有损耗,我们看到原有的物权动产、不动产使用过程当中是有损耗的,而且数据可以无限的复制,我们原来物权的物是无法复制的。另外还有人格的属性,数据本身又有人格的属性,我们原来物权的物是没有人格属性的。刚才齐教授一直在强调,个人信息的保护就是人格权,不能是财产权,也就是说数据本身确实有人格的属性。
第二个,不同于债权,债权是对人权。就是说它的效率范围是相对的,是权利主体对特定主体的请求权,请求特定主体为或者不为某种行为如合同之债、侵权之债,但数据权不是相对的,因为是对世权,比如说我的人格权并不是说我针对一个特定的主体需要保护,任何人不能侵犯我的人格权,只有在相对比如《网络安全法》、《消费者权益保护法》,只能在我同意的情况下你才能收集、才能使用,而且你在收集和使用的前提下要向我明示你的用途,而且你收集的方式方法都要正当、合法而且要必要,这是不同于债权。
第三个,不同于知识产权。在谈数据是知识产权这个观点的时候,更多的把它列入著作权,如果是著作权的话就有独创性,我们看看在数据应用过程当中是有一部分是具有独创性的,但是还有一部分是不具有独创性的,不具有独创性的是否去用知识产权来调整呢?如果用知识产权调整,对数据权就无法得到保护。
数据权人格权属性。实质上欧盟面对这种个人数据和数据的应用就采取一个人格数据人格权的严格保护,昨天在政法大学的中欧法学院论坛中,德国专家学者一直在强调人格权,欧盟是以个人数据人格权严格的保护模式,在一般的数据保护法案里面强调了个人数据权利的保护和数据的安全保障。而且在欧盟他为了发展数据的应用,如果把个人数据作为一个人格权的严格的保护,可能会阻碍数据的应用,所以在2017年对非个人数据出台了条例《非个人数据自由流动条例》,这是欧盟。美国,他是典型的特定类型特殊保护加上自由流通的保护模式。俄罗斯是规定数据的物理载体是用物权制度,我看一些文章对俄罗斯的保护是误解的,有些人说俄罗斯对数据的保护是所有权,实质上他是对物理载体的适用物权制度,只是载体适用物权制度,并不是说这个载体内所储存的数据适用物权制度。
我们国家在《网络安全法》里边第41条是表述,网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。所以刚才我问了齐教授,你明示一下你收集的信息用途么?这是刚才我问的目的。网络运营者不得收集与其服务无关的个人信息,齐教授你收集我们的信息是不是你要提供什么服务呢?你收集信息和你提供的服务是否有相关性呢?不得违法法律行政法规的规定和双方的约定收集使用个人信息,并应当依照法律、行政法规的规定与用户的约定处理器保护个人信息。《网络安全法》里边是对我们个人信息的保护,而个人信息和隐私信息是不同的,隐私信息是包括到我们的个人信息之内,所以这里边就是说我们个人信息分隐私,当侵犯你隐私的话,你列入《侵权法》保护自己,所以这里面要区分个人信息和隐私范围的不同。
《网络安全法》第76条对个人信息有一个定义从定义我们看出它具有人格属性,也就是说个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,这里边是个人身份,尤其后边和我们的《民法总则》、侵权法里边对人格权保护里边的比如说姓名等等,像住址,大家都知道这是非常敏感的个人隐私,所以这是在我们现有的制度层面有的人格权的部分。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,以及刑法第253条规定,对这个定义比《网络安全法》多了一个行踪轨迹,这就是齐教授说位置和你的轨迹是对个人来说非常敏感的,都不是敏感信息了,就是隐私信息,这是目前很多服务供应商,尤其是打车软件,经常你没有告诉这个地址是家庭地址,但是你一点击就会出现某一个地址注明了是你的家,有一个朋友说,就是因为这样一个软件导致了一个家庭的破裂,因为他的妻子发现他住的家并不是他家的地址,是另外一个地址,所以这也是刚才齐教授说了,他说经常住几天。这是刑法里边行踪轨迹。
我们国家互联网信息办公室关于《个人信息和重要数据处境安全评估办法(征求意见稿)》,他对个人信息也有定义,带有人格权的属性。《民法总则》第110条自然人享有生命、姓名权,姓名权和我们的《网络安全法》还有我们的刑法等等规定都属于人格权里边的一部分。第43条,是在说明个人对信息主体有删除个人信息的权利,有更正个人信息的权利,这种删除和更正更是赋予了个人信息这种人格权,想证明数据里面有人格权的属性。
《民法总则》里面第110条写的收集、使用、加工、传输,为什么标出来呢?数据在使用过程当中会形成不同的法律关系,就是数据在应用里面有收集、使用、加工、传输,有处理、有传播、有监管,这些行为都会形成不同的法律关系,在不同的法律关系当中各主体的权利、义务应当以什么样的原则去匹配,就是说第一,要充分对我们个人的这种信息的保护,人格权的保护的前提下促进信息在经济发展当中的应用。
数据国家主权属性。实质上在实践层面大家也有认知,在我们的法律层面、制度层面,比如刚刚说的《数据跨境评估办法》里边说重要数据是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。在我们国家这个征求意见稿里边,他说有50万人的数据出境的话必须经过相关行业部门的评估,相关行业评估之后还要到网信部门进行评估,也就是说虽然是个人数据,个人信息要跨境的话必须经过个人信息主体的同意,即使你信息主体同意跨境的情况下,我们也要评估,因为这里边有一个国家主权的问题,就是你个人信息并不是说你个人同意就可以,在跨境上有国家主权。另外,不跨境其实个人信息也会有主权的这种属性。
总结一下我刚才讲的数据权的属性,我的结论是说,数据权应该独立出来,数据不仅个人信息的保护、隐私权的保护,往往包括多种权属,并不赋予主体所有权,而赋予数据收集、存储、使用、传播等权利为主体的义务。所以数据权应该是在这个权利里边赋予查询权、产出权、更正权、异议权、锁定权、投诉权、损害赔偿权、禁止抛弃权。
时间的关系,我就讲到这里。谢谢大家!
本文经授权转自网络法前沿