数据要素治理 | 没有人拥有数据(上)
编者按:
一直关注数据安全,公号君决定新开一个系列的研究笔记,关注数据要素治理。此前,本公号发表过的关于数据要素治理的相关文章包括:
近日公号君学习了一篇很不错的学术文章——《黑斯廷大学法学杂志》(Hastings Law Journal)2019年第70卷第1期 No One Owns Data。
原文作者:Lothar Determann。在此对此摘译与大家分享。摘译首发于公号君参与运营的另外一个公众号:数据信任与治理。【没有人拥有数据(上) 】本篇为摘译的上篇。
在挖掘数字经济燃料的过程中,各方都在积极地提出对数据的要求。车联网、工业机器、人工智能、玩具和物联网上的其他设备正在产生大量数据,这些数据对于与连接设备相关的许多人来说都是私人的,而且还有许多其他人也对这些数据感兴趣。
数字市场的利益相关者将数据访问视为所有权的一部分。企业和个人都认为自己拥有数据。政策制定者和学者则侧重研究数据所有权分配问题。然而,数据是否具有产权值得怀疑,本文对此持鲜明否定态度。
数据独立于作品和受知识产权法保护的数据库,信息的物理表现形式及物理对象。立法者设立产权是为了激励投资和改进,而数据并不需要达成此项目的
数据的访问和限制能够为不同主体带来不同利益。现有的法律框架并未授予数据产权。数据产权非但不能促进隐私保护和科技进步,还可能带来相反的效果。因此,保持数据开放比创设数据产权更为合理。
✦✦
1
引言
数据的爆炸式增长得益于物联网的高速发展。因数据所具有的独特价值,各方都宣称拥有数据所有权。尽管各界人士认为数据存在或应该存在所有权,但是,关于“数据”、“信息”和“所有权”的含义仍不明晰;关于现有物权法是否应该保护数据的全面分析很少;关于授予数据产权的法律和政策原因的考虑相对较少。
本文全面分析并否认了数据所有权存在及政策的假设,并认为数据(1)可独立于作者、数据库与媒体;(2)基本不受财产权限制;(3)受复杂的访问和限制权限制约;(4)现有法律已为利益相关方提供了各种法律立场、利益和选择。然后审查当前讨论建立数据所有权的政策,最后得出结论:没有人能拥有自己的结论
本文从美国和欧洲的角度讨论了法律标准和框架,以解决跨大西洋数据隐私和数据库保护法律的显著差异问题,并提到了物联网设备产生和处理的数据。
✦✦
2
数据和信息
本文将“数据”与“信息”作为同义词替换使用。信息可以是或与不同的事物有关,并以物理形式存储或表示,通过介质相互交流,但数据作为信息的内容却能够独立存在。
因此,不同的人可在以下方面主张不同的权利和利益:(1)信息内容,(2)以文字、符号、绘画或其他作品的形式表达信息,或以创造性或功能性组织信息的汇编或数据库,(3)信息的物理表现形式(如墙上挂的画),以及(4)与信息相关的物体(如故障的自动驾驶汽车或其他机器)。下文将在不同的物权法制度下探讨数据或信息的这些不同方面和实施中的所有权和财产权。
✦✦
3
数据产权
3.1 所有权和财产权✦
“所有权”一般指“对资产的独占使用权”或“随意处置某物的全部权利”。所有权将一件物品转让给一个人或法律实体,并表示该物品属于那个人。在日常用语中,我们用“所有权”指拥有某种能力或责任,在这种能力或责任下,一个人可以“承认”自己做了某事。
在美国法中,所有权指财产权利,即“允许一个人使用、管理和享受财产的一系列权利,包括将其转让给他人的权利”,以及“对所拥有财产的独家使用或垄断”的权利。德国法对“所有权”的定义是:只要不与“法规或第三方权利”发生冲突,所有者就有能力“酌情处理(一件)事,并将其他人排除在外”。
“财产”指“所有的东西”或“可能是所有权的主体”。财产主要有三大类:不动产、动产(不动产以外的有形财产)、知识产权(基于思想的无形财产)。
产权包含了一套规则来管理人们对财产的访问和控制,和所有者可以对抗他人的“权利束”,包括(1)占有权,(2)排他权,和(3)转让权。其中,排他权被描述为“财产权利束中最重要的一个”。
合同法、侵权法、竞争法和刑法也可设计排他性权利,但并不是构成所有权的一整套权利。合同可通过在合同双方和指定受益人之间创设权利和义务,模仿物权法赋予的所有权利。侵权法、竞争法和刑法可以通过禁止对数据访问或使用产生事实上的排他权。但是,侵权法、竞争法和刑法仅限于禁止,法律旨在禁止有害于社会、商业诚信或个人自由的行为。
政府为了激励财产的创造或改进而授予所有权和财产权,但在扩大产权范围奖励投资创新时需要考虑公众的各种利益冲突。物权法需要随着社会和技术的变化而发展,但授予新的权利需要以不与现有法律和第三方权利冲突为前提。如土地所有者的权利受到相邻权的限制,他们的使用权进一步受到土地开发法、枪支管制法和交通规等的限制。
知识产权法也需建立适当的限制。虽然知识产权法旨在刺激为更大利益的投资,但授予无期限无范围的专有权会适得其反,因此要在知识产权上设定限制和例外。目前还没有国家设立数据产权法,数据通常被视为知识产权的一部分。
第三部分的最后讨论了:尽管现有物权法并没有授予数据所有权或财产权,但它在不同的方面、形式和场景都中涉及数据和信息;以及每个物权法制度下的普遍理由和产权法律框架,为评估创造数据产权的潜在政策原因提供了分析框架。
3.2 不动产✦
不动产法可赋予附在不动产上的信息的物理表现形式所有权,但不赋予基础信息本身任何所有权。不动产法的目的是保护土地及土地附着物,业主有权进入、使用、占有、享受、处置和排斥他人(侵入者),以及收割庄稼、水果、野味、水和矿物。然而,这些所有权在不同方面受到限制(如业主必须遵守建筑法规并获得所需的许可证和批准)。
不动产的所有权人对物理表现的信息附加到不动产受限。这样的物理表现信息的所有者与不动产本身具有相同的权利,包括拥有的权利和排除他人非法侵入。但是,不动产法并未授予拥有或控制不动产数据的权利。土地所有者不能主张财产权,不延伸到信息内容。因此,根据不动产法律,数据本身不产生所有权。
因此,数据不受物权法的保护,不动产所有者没有任何权利禁止其他人访问、使用、复制或分发存在于其不动产上的实体项目中的信息内容。
3.3 个人财产✦
个人财产法可赋予信息物理表现形式以所有权,但不赋予基础信息的所有权。例如加州物权法将个人财产定义为“每一种不是真实财产的财产”。所有者对于含有信息的物理载体能够强制执行财产权,但不能排除他人理解,使用、复制、披露、或者显示物理载体中包含的信息。
3.4 商业秘密✦
商业秘密法也无法有效地授予数据财产权。美国的商业秘密法起源于普通法,现已被编纂成州法规。如果技术诀窍、客户名单和其他信息(1)通常不为人所知或不易获取,(2)从保密中获得经济价值,(3)经过合理的保密步骤,那么企业可以要求作为商业秘密保护这些信息。
商业秘密保护是否属于物权仍存在争议。2016年美国国会在《捍卫商业秘密法》中表示,该法案“不应被解释为与知识产权有关的法律”。商业秘密法是为了防止秘密因间谍活动或违反合同而被盗用,进而保护商业诚信。此外,商业秘密并不提供“排他性”权利,对商业秘密的法律保护不如对真实的、个人的和其他无形财产的法律保护那么具体。
商业秘密法的局限性在车联网和物联网设备数据生产方面尤为明显。设备制造商不能在未经所有者同意的情况下获取数据,消费者不能通过保密数据来证明竞争优势,二者通常都不能对设备产生的数据主张商业秘密权。同时,汽车和其他联网设备产生的许多数据和信息是公开的,不具有保密性。因此,商业秘密法仅可为防止不公平的信息滥用提供一定保护,不能赋予数据所有权。
3.5 专利✦
专利法规定了创造性使用、存储或应用数据的系统或方法的财产权。但是,专利法并没有对基础数据规定任何形式的所有权。
发明者可以获得方法、机器、制造品或物质成分及改进的专利权,但自然法则、自然现象和抽象概念这些 “科学和技术工作的基本工具”一旦被垄断将阻碍创新。据此,尽管数据的使用、存储或应用可以申请专利,但基础数据不符合专利保护的条件。因此,专利法并非保护数据权利的有效法律框架。
3.6 商标✦
商标法也没有为数据提供适当的财产权。为防止消费者混淆,商标法保护商品和服务上使用的品牌名称和徽标。商标法是为了“确定商品的制造商或赞助者或服务提供者”,但使用者可以“禁止商标注册人为其专用使用描述性术语,从而阻止他人准确描述其商品的特性。”为由抗辩。
信息性内容可以被标记为商标,但这并不是授予数据或信息本身所有权,它只赋予持有人权利,防止他人在销售类似产品或服务时以混淆的方式使用该名称。
3.7 版权✦
版权法赋予包含信息的原创作品(包括创造性的数据汇编)以产权,但并不赋予基础数据本身产权。美国版权法的框架是功利主义的:“版权法的直接效果是为作者的创造性劳动获得公平的回报”,最终目的是激发为公众利益而创作的艺术。
只要作品具有创造性,就受到版权法的保护。尽管版权法的保护范围广泛,但只保护信息的创造性表达,而不保护信息本身,也不保护事实。某些情况下,版权法授予创造性数据汇编的版权所有权。但即便如此,事实数据本身也没有版权。
汽车等设备生成和记录数据的设备所进行的数据汇编往往缺乏创造力。企业编写软件代码,让联网的汽车或其他设备生成和编译数据时,人类的创造力可以在编译后的数据之外单独表现出来,但很难将结果作品或汇编的创造性与不可保护的事实信息分开。
此外,对汇编给予保护只能禁止少数行为。版权法仅限于事实的特定选择或安排,而不会扩展到汇编中所包含的事实。这将导致只要竞品具有不同的选择和安排,后续的编译器就可以自由地使用前一个编译中包含的事实。
版权法并未对汇编或数据库中的数据赋予所有权。相反,版权法明确将事实信息排除在可受版权保护的客体之外。
3.8 美国各州关于数据盗用的法律和欧盟数据库指令✦
创建数据库的公司可根据欧洲数据库法和美国各州关于数据盗用的法律受到保护。
为保护商业诚信和公平竞争,美国各州关于数据盗用的法律和欧洲数据库法对需要大量投资的信息库提供有限的专属保护。这种有限保护并非基于物权法,只是构成了事实应普遍获取、不受个人排他性权利限制的一般规则的狭隘例外
欧盟数据库保护法防止他人提取或重新利用大量数据库内容,进而保护数据库制作者。但欧洲的数据库保护法类似于版权的财产保护,只适用于对事实信息的创造性选择或安排。如此一来,个人数据就不属于受保护的范畴。
如果设备制造商、软件公司或在线服务提供商为了创建数据库故意将设备配置为收集和报告数据,并从设备购买者处获得同意和授权,那么该公司可以根据美国关于数据盗用的法律和欧盟数据库保护法获得有限的所有权。此外,公司可以开发、购买、部署和配置连接设备,创建一个有价值的数据库,并要求数据库保护权利。
由于缺乏数据库创建计划和投资,欧盟的数据库保护法和美国的州法律都没有授予联网汽车或其他设备产生的数据财产权。即使提供有限的专有权,可用的补救措施的范围也十分有限。
3.9 数据隐私✦
数据隐私法旨在保护个人自由和尊严,并非为了激励创造或生产,因而也不属于物权法的范畴。
隐私法赋予数据主体排除他人获取或使用特定个人数据的权利。欧盟GDPR并未承认数据主体的所有权或财产权,提及“所有权”和“财产”只是为了承认可能超过隐私利益的相互冲突的权利。数据可携带权也仅适用于数据主体根据同意或合同提供的个人数据,并且不授予任何排除、使用或转让权利。
美国的联邦和州数据隐私法规在侵权法和行业特定法规下保护合理的隐私。《健康保险便携和责任法案》(HIPAA)保护医疗数据中个人身份信息的隐私,但并未赋予记录中的个人任何所有权。《加州消费者隐私法》(CCPA)通过禁止个人信息交易削弱个人信息的商业利益。消费者享有要求数据访问、删除和移植以及禁止销售其数据权利。企业不得因消费者行使权利而收取或处罚消费者,这同时也减少了消费者出售个人信息的潜在利润。
另一方面,法律学者提出了信息产权法保护隐私的观点。欧盟的数据保护机构认为个人拥有与其相关的数据。但除排除权外,数据保护和隐私法与财产法存在分歧。隐私法不鼓励或奖励创造或投资,不规范所有权的获取或转让,也不适用于所有人。
3.10 总结✦
不动产和个人财产法可以保护信息的物理承载方式,但不保护信息内容。知识产权法倾向于从受保护的主题内容中划分出事实内容,以保护公众获得此类事实信息。具有创造性的信息收集计划和需要大量投资的有价值的数据库在防止复制和搭便车方面享有一些有限的保护,但个别信息要素仍然没有受到保护。商业秘密法可以保护具有经济价值的秘密信息。美国数据隐私和欧盟数据保护法律,授予了数据主体排除权。
至此,对“谁拥有连接的汽车和其他物联网设备生成的数据?”的回答是,没有人。
本文下篇将讨论当前数据访问权限和限制、数据利益等问题,敬请期待。
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
网络空间的国际法适用问题系列文章:
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
关于保护网络和信息系统安全的相关文章包括:
中国个人信息保护立法的相关文章包括:
《网络数据安全管理条例(征求意见稿)》系列文章:
个性化广告系列文章包括:
业务场景中的数据跨境流动文章如下:
《数据安全法》的相关文章包括:
关于数据执法跨境调取的相关文章:
赴美上市的中国公司在网络、数据安全的文章如下:
关于健康医疗数据方面的文章有:
关于人工智能安全和监管,本公号发布过以下文章:
数字贸易协定系列文章:
关于中美与国家安全相关的审查机制,本公号发布过以下文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
数据的安全、个人信息保护、不正当竞争等方面的重大案例: