数据要素治理 | 数据所有权:问题盘点与总结(下)
编者按:
一直关注数据安全,公号君决定新开一个系列的研究笔记,关注数据要素治理。此前,本公号发表过的关于数据要素治理的相关文章包括:
近日公号君学习了另一篇很不错的学术文章——《数据科学前沿》(Frontiers in Data Science)第四章Data ownership: Taking stock and mapping the issues,并对此摘译与大家分享。摘译首发于公号君参与运营的另外一个公众号:数据信任与治理。【 数据所有权:问题盘点与总结(下)】本篇为摘译的下篇。
3.3 保护范围
本文采用两种方法评估潜在数据的保护范围,一方面研究权利归属的现有概念并评估是否可行,另一方面关注权利所赋予的权能及其可能的限制。
3.3.1 数据所有权的路径
在设计数据所有权时可以参考现有法律制度,如物权、知识产权以及邻接权这类专有权和对世权。虽然数据上不存在物权,但也可参考侵权法规定和双方当事人之间的合同约定来确定归属。
3.3.1.1 财产权
有形物之上的财产权赋予了所有者对该物体的完全控制权。所有权人的权利能够对抗所有人,并可以在法律允许范围内任意占有、使用、转让该物品。如果他人占有该物,权利人有权请求返还。权利人还可以要求所有物不受他人干扰。
虽然民法未明确界定财产权的客体,但财产权通常只适用于有形物。数据不具备有形物的特征(数据是非竞争性、非排他性的)是反对设立数据所有权的主要观点,但一些学者仍建议借鉴财产权的模式构建数据所有权。
3.3.1.2 知识产权
知识产权提供了具有普遍意义的专属权利,知识产权的权利内容法定,可保护权利人免受有关无形物的使用,权利人可决定转让权利或授予许可。
无形物需满足标准才能受到保护(如发明的新颖性)。由于知识产权的保护对象是无形物,需要在权利人和公共利益之间取得平衡。因此知识产权允许特殊情况下的使用,并对一些保护设定了期限(如专利权的保护期限)。
部分支持数据所有权的学者将版权作为处理俱乐部产品和公共产品的可能方式。还有人认为数据所有权应该有时间限制,但不会限制数据的质量。
3.3.1.3 邻接权
邻接权赋予权利人普遍意义的排他性权利,但对保护的客体没有要求。技术进步使复制作品的成本变低,邻接权应运而生。虽然邻接权是版权法的一部分,但其实它与反不正当竞争法的关系更密切。版权法对权利的限制同样适用于邻接权。
欧洲法律还为数据库投资提供了保护,以确保获取、验证或展示数据库内容的投资收到保护。
一些人认为邻接权会阻止第三方自由活动,他们将数据视为商品式资产,因此,其保护范围不会延伸到第三方对相同或类似数据的独立创建、提取或收集。
3.3.1.4 侵权行为
很多具有普遍适用性的法律条款在不设立物权的前提下限制特定行为,违反这些限制会面临法律责任。这些规定与与限制第三方访问和使用数据的技术措施相结合,可以供一种有效的数据控制。有学者建议以这些法律为基础建立数据所有权。基本的侵权条款可以为个人数据的权利人提供权利救济。
3.3.1.5 合同权利
如今,越来越多的合同涉及数据的转让和使用,这些协议通常将数据视为物权。尽管此类条款在法律上是不正确的,但也不会改变协议的有效性,反而提供了关于合同双方意图的明确信息。
由于合同可以实现很多目标,一些学者主张保持现状,并认为这些合同解决方案与有关数据的当事方之间的关系是适当的。
但问题是这不适用于B2C关系:合同双方不在一个公平的竞争环境中,较弱一方(用户)的境况更糟糕。对此,有观点提出要审查与格式条款有关的法律规定并加以修正。
3.3.2 数据所有权的要素
数据所有权的范围不仅可通过借鉴现有法律概念来确定,也是赋予权利人的所有权能减去权利的限制的总和。
3.3.2.1 核心权能和限制
A. 对数据访问的控制
对个人数据的访问取决于数据保护法。这些法律授予有关个人对其个人数据的处理的知情权,从而至少在理论上赋予了个人对访问其个人数据的控制。
法律对非个人数据或通过大数据分析获得的数据集的访问尚无明确规定。这类数据大多价值更高,对市场参与者的吸引力更大。原始数据生产者倾向于保留数据并自行分析,无论这些数据是存储在内部还是云端,第三方通常都被拒绝访问,数据的再利用很难发生。目前,数据市场发育缓慢,数据交换仍十分有限。
欧盟委员会认为,对原始数据的访问以及对机器生成的数据的访问对于数据经济至关重要,并认为应该限制原始生产者对访问的控制。委员会强调改善对机器生成的匿名数据的检索、促进和激励此类数据的共享以及最大限度地减少锁定效应等目标的重要性。
综上,对数据访问的控制是数据所有权的一个基础权能。但这种控制可以通过现有对数据进行保密和拒绝访问、商业秘密法和针对数据盗窃的刑法行使。那么是否有必要引入新的数据所有权就值得怀疑。
B. 对数据复制的控制
控制对数据的复制也是数据所有权的基础之一。在数据所有权中,该权利将归属于原权利人。原权利人可以禁止其他人复制数据,并通过许可(转让)的方式允许他人复制数据。同时,他人也可能在复制权中拥有合法权益。这可以通过对复制权和数据可携带权的讨论说明。
瑞士联邦委员会近期在评估在联邦宪法中引入复制权。复制权旨在通过重复使用发掘个人数据的价值,个人享有将个人数据商业化的权利。
复制权重点在于个人数据,而且即使复制了数据,数据控制者也会保留数据。此外,个人根据数据保护法可以向数据控制者提出提供信息的请求,这与复制权的效果基本相同。
在价值链中,特定个体的数据价值较低,且仅在不考虑个人数据保护情况下的大量数据的聚合才可能产生。因此,应该通过合作利益模式来实现数据商业化,而不是引入新的复制权。
数据可携带权是指个人和企业有权利将他们的数据从一个系统转移到另一个系统。从经济学的角度看,如果转换成本低,数据携带就可实现,个人则可从其数据的价值中获益。可携带权最早是个竞争法问题,但竞争法仅适用于数据控制者具有市场支配地位的情形。因此,但如果数据可携权仅通过竞争法执行会存在一些问题。
为解决竞争法适用的问题,GDPR引入了数据可携带权。数据可携带性取决于复制数据的能力,是否承认数据所有权并非必要。数据所有权一般不会比规定数据转换条件和后果的监管制度更强大有效。
可携带权还不适用于非个人数据,也不适用于广泛使用的在线服务。因此,值得考虑引入类似于数据可携带权的规定。数据治理必须包括对用户的透明度、管理访问和互操作性,并需要通过刺激创新将不同平台连接在一起。
C. 对使用和完整性的控制
为特定目使用数据是数据所有权的另一基本权能。数据所有权可以单独授予非使用性访问的权利。大数据分析通常以分散的方式进行,在处理数据之前不会将数据复制到中央存储器。因此,数据控制者必须有权控制数据在其范围内使用。
对完整性的控制也是数据所有权的基本权能,即保证数据在未经所有者同意的情况下不会被修改或销毁。数据保护法已规定了个人数据的完整性,刑法也有相关条款。
3.3.2.2 其他权能
把数据所有权类比为财产权的作者认为,数据所有者享有(a)
从任何扣留数据的人那里收回数据和(b)保护数据不受任何无理干扰的权利。但即使通过类财产权的方式适用,此类权利并不适合非竞争性的数据。如果可以控制数据的访问、复制、使用和完整性,那么这两项权能的必要性值得怀疑。
3.3.2.3 其他限制
如前所述,控制数据的访问、复制和使用的权利可能需要受到限制。本文还讨论了其他限制。
A. 公共利益访问
关于为公共目的访问数据以促进数据的自由流动,欧盟委员会建议,如果公共机构访问数据符合 "一般公共利益",并能 "极大地改善公共部门的运作", 则应允许其获取数据。
B. 私人使用
有学者认为,数据所有权不应限制私人目的的使用。但私人目的与商业目的难以区分。一方面,个人创建和分享数据是出于私人目的,而存储和提供这些数据的平台则是出于商业目的。另一方面,共享经济商业模式模糊了私人和商业的界限。
C. 科研使用
有学者认为,数据所有权不应禁止以科学研究为目的的使用。欧盟委员会认同此观点。
D. 时间限制
有学者提议限制数据所有权的期限。对于一些人而言,只有竞争性的商品才值得无限期的保护。
3.3.2.4 公示
大多数绝对权都可识别到权利人。在数字时代,公示制度是建立数据所有权亟待解决的问题。难以查明权利人会导致高昂的搜索费用,进而提高交易成本。虽然有学者主张对权利进行电子注册,但公示问题尚未得到深入研究。
4.权利实施
如果确立数据所有权,则将面临如何实施权利的问题。除了超出本章探讨范围的以及具有国别性的问题外,都必须处理数据所有权与现有数据保护法如何结合的问题。就此问题有两种立场:(1)数据所有权为数据保护法提供额外保护,或者(2)在某种程度取代数据保护法。此外,本文还提出了一个合同性的解决方案。
4.1 数据所有权“共存”
目前还未就数据所有权对现有数据保护法的影响进行深入探讨。主流观点认为,数据保护法进行部分修正后可与数据所有权共存。部分观点认为,数据所有权将加强隐私保护,但不会取而代之。
其他学者倾向于将数据所有权限制在句法层面。数据所有者对数据的语义不享有何权利。数据所有权范围仅延伸到实际确定的数据权利(即0和1的字符串),数据将作为商品资产受到保护。
本文认为,在不废除现有数据保护法的情况下实施数据所有权的影响将因数据所有权的范围不同而不同。
就个人数据而言,数据所有权的权利与数据保护法提供的保护在语义层面上相重叠。由此产生的问题是数据所有者和数据主体可以相互禁止使用数据。复杂的权利状况可能不利于对抗市场失灵。将所有权限制在句法层面来解决这个问题尽管听起来可行,但由于数据的句法和语义层面的不可分割性,仍然会面临类似的问题。
就非个人数据而言,数据所有权不会与现有的数据保护法相重合。但由于个人和非个人数据之间的界限模糊不清,要得出二者是否会重合的结论也并不容易。
4.2 数据所有权“取代”
如前文所述,数据所有权将带来权利冲突。因此可以通过取代部分数据保护法的方式实施数据所有权。此种方法可以减少合规成本,提高个人数据的可转移性。然而,数据保护法不仅涉及权属问题,也涵盖数据处理、数据质量及安全标准等数据所有权无法解决的问题。因此,数据保护法的存在仍然合理。
由于数据所有权的实现不再受制于数据保护法,这将赋予利益相关者强有力的法律地位。此外,数据所有权不能简单地凌驾于数据所依托的物的所有权之上,需要对相互冲突的权利进行平衡。
4.3. 合同替代
有学者认为,合同是促进数据经济的可行方案。然而有关个人数据的义务仍未完善。根据现行数据保护法,数据主体对此类交易的同意在任何情况下都是可撤销的。个人数据的交易需要解决同意在任何时候都可以撤回的法律原则。但就数据保护法而言,这似乎是不可能的。
5.总结
本文总结了之前关于数据所有权的讨论,并试图通过讨论潜在的数据所有权的理论依据、特征和实施来解决相关问题。
对于潜在的数据所有权的理论依据问题,本文认为没有明确的证据表明存在狭义上的市场失灵。因此,没有必要通过引入数据所有权激励数据生产或收集。数据所有权会降低交易成本的观点这缺乏实证依据,且交易成本也可能随着新权利的引入而增加。此外,没有必要通过全面引入数据所有权来解决现有的特定问题,全面引入数据所有权会导致一些尚未预见的新问题。因此,所发现的问题应该由特定的法规来解决。
在审视潜在的数据所有权的特征时,大多数因素仍然不明确。学术界刚刚开始思考可能的保护对象以及数据或信息是否应该作为单一资产或作为商品资产来保护。对于权利如何归属给最初权利人的标准也没有达成共识,也无法明确数据所有权的归属标准。本文认为,必须制定关于集体所有权的具体规则。
本文观察到,数据所有权并不完全符合现有财产权和侵权责任类别。在研究数据所有权的权利和限制时,控制对数据的访问和对数据的复制被认为是核心权利。此外,对数据的使用和完整性的控制也将发挥重要作用,许多学者要求对该权利进行一般和具体的限制。
数据所有权与现有的数据保护法的关系是实施该权利的核心问题。数据所有权可以取代现有的数据保护法,也可在数据保护法基础上实施。但在如何推进实施方面仍存在分歧。第三种选择是改变对个人数据处理的同意在任何时候都是不可撤销的这一原则。
本文的总结表明,虽然已经有大量关于数据所有权的研究,但数据所有权问题仍是复杂的且未完成的—几乎所有方面都需要进一步研究。
(完)
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
网络空间的国际法适用问题系列文章:
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
关于保护网络和信息系统安全的相关文章包括:
中国个人信息保护立法的相关文章包括:
《网络数据安全管理条例(征求意见稿)》系列文章:
个性化广告系列文章包括:
业务场景中的数据跨境流动文章如下:
《数据安全法》的相关文章包括:
关于数据执法跨境调取的相关文章:
赴美上市的中国公司在网络、数据安全的文章如下:
关于健康医疗数据方面的文章有:
关于人工智能安全和监管,本公号发布过以下文章:
数字贸易协定系列文章:
关于中美与国家安全相关的审查机制,本公号发布过以下文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
数据的安全、个人信息保护、不正当竞争等方面的重大案例: