数据要素治理 | 没有人拥有数据(下)
编者按:
一直关注数据安全,公号君决定新开一个系列的研究笔记,关注数据要素治理。此前,本公号发表过的关于数据要素治理的相关文章包括:
近日公号君学习了一篇很不错的学术文章——《黑斯廷大学法学杂志》(Hastings Law Journal)2019年第70卷第1期 No One Owns Data。
原文作者:Lothar Determann。在此对此摘译与大家分享。摘译首发于公号君参与运营的另外一个公众号:数据信任与治理。【没有人拥有数据?(下) 】本篇为摘译的下篇。
✦✦
4
当前数据访问权限和限制
本部分总结了立法机构和法院创造的数据访问权和限制的复杂局面,以解决数据产权是必要的、有用的还是有害的问题。
4.1 数据访问、删除、可携带性和使用限制的权利✦
数据主体通常不拥有自己的数据,但有权限制公司或政府使用数据。此外,根据欧盟和其他司法管辖区的数据保护法,数据主体还有权访问、删除和携带由公司处理的个人数据。
4.2 计算机干涉法✦
数据生成设备的所有者受计算机干扰法保护,制造商不得擅自访问存储在其设备上的数据和信息。计算机和软件制造商在回收错误报告或访问设备进行维护之前,必须获得最终用户的授权。计算机和软件制造商必须获得终端用户授权,才能回收错误报告或访问需要维修的设备。这同样适用于联网汽车的制造商,制造商只有在车主授权的情况下才能让汽车发送信息。
4.3有权修改法律、环境和竞争法✦
汽车制造商在设计汽车时需要考虑维修权相关法规、环保法中的独立排放测试及竞争法。根据反垄断法,任何设备、软件或在线服务提供商在设计上偏袒自己的产品都会受到制裁。
4.4 有关消费者保护、产品安全、默示保证和可持续性的法律✦
产品安全法、产品责任法和合同法要求制造商、分销商和附加服务提供商确保连接设备和服务的功能安全。考虑到安全因素,接口和访问必须足够“开放”,允许设备所有者在一段时间内更新、升级和保护产品。根据消费者对汽车开放性的期望和法律的发展,未来,互操性或可升级性不足的联网汽车可能会在法律上被认定为缺陷产品,并与环境可持续性要求相冲突。
✦✦
5
数据利益和现行法律下的法律保护
数据可为不同主体带来不同的利益。本部分以物联网涉及的个人和实体的生态系统为背景,同时考虑相关方的利益并与现行法律,以确定数据所有权中可能存在的漏洞。
5.1 车主✦
大多数的车主在购买汽车时看重数据可访问性、安全功能和可操作性。车主需要开放的汽车端口满足自己不同需求。如果制造商对数据访问或互操作性的技术限制过于严格,车主可能会向消费者协会和竞争监管机构投诉。
在数据隐私方面,消费者和企业的需求略有不同。消费者购买汽车后,汽车生成的大部分数据都符合“个人数据”,消费者可依据数据隐私法、消费者保护法和计算机干扰法律来反对他人对数据的非必要访问和使用。企业主可采取“设计数据隐私”措施,将司机姓名从远程通信系统中除去,切断车辆与个人之间的关系。大型车队的所有者需要品牌竞争和互操作数据访问以优化车队管理、操作和维护,这些车主会想要各种各样的信息。
5.2 司机和乘客✦
司机和乘客通常对隐私和安全最感兴趣。根据现行法,他们有权获得车主、制造商或他人关于位置跟踪和监控的通知和选择。根据法律,可将雇主的数据处理活动告知司机。汽车租赁客户和出租车乘客可以通过汽车中的弹窗决定是否允许某些功能,如导航系统、位置跟踪等。
5.3 其他交通参与者✦
出于安全原因,联网的汽车需与其他交通参与者交流。但恰当的数据访问通知及选择所起到的作用是有限的,需要通过立法实现标准化。同时,汽车制造商和车主需要确保联网汽车的建造遵循“数据隐私设计”原则,防止非法收集或使用数据。
5.4 制造商✦
制造商可以使用联网汽车生成的数据监控维护状态、预测和预防故障、改进产品、开发新产品,提供附加服务、更新和升级。在不损害车主利益的前提下,制造商的利益很大程度上与车主利益一致。
制造商无权从其售出的汽车中接收任何数据,但如果获得车主的授权并履行了告知义务,制造商将可以收集相关个人数据。。
限制数据访问也能为制造商带来利益,这是因为(1)保护汽车安装制造工艺及技术相关商业秘密;(2)减少的操作(包括网络安全原因)及售后零部件造成的的产品责任和声誉损害;(3)减少备件、附件、更新和升级的竞争,以支持制造商自己的产品。这可能与竞争法和车主的利益相冲突,车主可以根据商业秘密法对产品进行逆向工程,从而自由修改和升级产品。基于此,制造商可能在数据访问方面做出妥协,以不同的价格点提供更开放的产品。
5.5 附加服务提供商✦
附加组件或“售后”服务、零部件和功能的供应商在收集和处理相关数据时,与制造商有相似的需求和利益。附加服务提供商仅在车主授权的情况下才能合法访问数据。根据反垄断法,提供与制造商竞争的产品或服务的公司有权平等地获取汽车数据。附加服务提供商需要数据提供服务,因服务产生的数据也将吸引不同的主体。
5.6 汽车经销商及分销商✦
汽车零配件等的经销商和分销商可利用客户数据推销产品。他们可以在初次销售时取得客户同意进而使用交易信息数据,也可以在征得车主同意并向其他数据主体提供通知和选择后获得相关数据主体的信息。
5.7 保险公司✦
保险公司能够通过驾驶模式的信息评估和减少风险。保险公司同样可以在征得车主同意并向其他数据主体提供通知和选择后获得相关数据。如果保险公司为征得同意提供个人保险费率折扣,同意的自愿性就值得怀疑。
5.8 执法和政府机构✦
执法机构和民事诉讼当事人会对交通事故和违反交通法规的相关数据感兴趣。根据法律,他们需要法院命令或车主同意才能访问此类数据。但是他们能够在不影响车主所有权的前提下在观察公共场所行驶的汽车。鉴于执法机构和民事诉讼当事人可以试图迫使有数据托管权的实体公布必要的数据,但有数据托管权的实体也有自己的利益考量。
✦✦
6
应该在数据中创造新的产权吗
究竟是否应该为数据创造新的产权?我们可以通过权衡“为什么信息应该由所有者控制(锁定)”和“为什么信息不应该由所有者控制(开放给其他人使用)”回答此问题。
本部分分析了数据财产化对保护创造力和技术进步以及个人隐私的影响,这些影响通常被视为“锁定”信息以及实现言论自由和竞争自由基本原理和保持信息“公开”的基础。
6.1 创新及科技进步✦
德国联邦交通和数字基础设施部在2017年8月发布了一份研究报告,认为如果数据没有产权,企业就不愿意授权或共享数据,呼吁创建“数据所有权”,以创建“数据市场”和实现“数据价值收获”。
数据已经并将继续高速增长,公司正在竞相创造数据,而没有通过数据资产化进行“激励”。近年来,公司开发了各种不依赖于财产权(例如共享经济)和知识产权的开放性数据商业模式。似乎并不需要激励,企业会主动继续囤积数据,似乎并不需要激励。
数据产权的建立不一定会鼓励企业分享和交易数据。在隐私和数据保护法基础上处理个人财产权会使合规和合作复杂化。数据产权化会限制并复杂化信息的自由流动。“数据所有者”对信息具有的权利将变得模糊,这会为德国政府提出的“数据市场”的管理带来负担企业。可以预见的是,数据流氓会排队把他们拥有的数据纳入研究和数据库,然后根据数据中潜在的产权收取“赎金”。
数据产权化可能会阻碍创新和技术进步,因此现行财产法通常从可保护的标的物定义中划出数据。美国法院认为,数据不是“创新、进步和有用的知识”,也不会促进艺术的进步,不应限制对已经存在的知识的免费获取。数据是事实,最多可被视为现有知识,授予数据类似专利或版权的权利不会促进创新、有用知识的进步或公众获取信息。
6.2 保护个人隐私✦
个人隐私保护也无需通过数据财产化实现。数据隐私法已为个人提供了排他权,要求通知和同意、被遗忘权利等各种部分或完全排他权,数据主体不能从物权法下的额外数据收集或使用除外权中受益。
但是,从数据主体获得个人数据所有权的公司可以禁止之前的所有者使用其所有的个人数据。这种排他权与数据隐私法的政策目标截然相反,数据隐私法寻求保护人的尊严和个人隐私。
除了排他性权利外,物权还授予占有、使用和自由处置的权利。授予个人数据这种权利会违反隐私法的政策目标。如果数据主体可以像出售其他财产一样出售和转移个人数据,那么买家可以在他们认为合适的时候使用和转售数据。
欧洲政策制定者认为“免费”服务和应用程序没有为个人数据提供足够的补偿,他们希望通过强制要求企业为个人数据向个人支付报酬增强个人数据主权,但这将产生更多的官僚主义需求。如果立法者要求向数据主体支付最低工资,那么企业不得不对以前免费的服务收费,而个人不太可能从不出售数据的选择中受益。财产所有人可能被迫放弃其财产(和隐私),以换取外部设定的补偿。
如果数据可以像商品一样出售、许可和交易,将会影响个人隐私的保护。拥有和交易个人数据可能与其他有关所有权的政策和法律相冲突。个人数据可以让公司、个人和算法预测一个人的行为。个人人格核心数据产权的支持者鼓励贸易,他们援引了反对人的财产化的政策,围绕人体组织所有权的判例以及人权和国际人道主义法进行讨论。
数据隐私法能够充分保护个人隐私。GDPR要求公司最大限度地减少个人数据的收集、使用和保留,并通过宽泛地定义“个人数据”加强个人信息自决权。同时要求数据最小化、删除和保护的数据隐私法能够更好地保护个人隐私。
6.3 信息和言论自由✦
数据财产权会损害言论自由。美国最高法院的一个判决认为信息即为言论。数据产权化将限制数据收集,阻碍信息的自由流动。控制信息的使用方式,会危害言论自由。
6.4 政府对数据的使用✦
限制信息流通也会严重阻碍公共治理和执法。美国一些州要求警察执勤时佩戴随身相机,作为公共记录以供查阅,增加执法透明度,确定警察责任。如果警察和市民对随身相机拍摄的影像拥有财产权,情况变得将十分复杂。个体可排除公众排对这些数据的访问,这妨碍了透明度和问责制基本原则。
6.5 竞争✦
“信息财产化的目的是限制竞争”。数据所有权意味着该数据的潜在用户必须从所有者处购买访问权限,或者自己收集所需信息。如果自己收集的数据是“单一来源的数据”,所有者不会受到价格上限的限制,这可能会阻止他人独立收集数据,进而导致数据垄断。
6.6 社会正义与公平✦
数据资产化的一些支持者认为,个人应该能够从他们的数据中获得经济利益。隐私法和公共性法律中的同意要求已经创造了将法定选择货币化的机会,这导致个人不愿意数据所有权转让给公开市场。
企业需要寻求资金来支付数据主体,这可能使消费者处于不利地位。如果企业因为无法运行服务换数据的模式而不得不转向付费模式,可能会有大部分用户因无法负担或不能从个人数据货币化模式中获得利益而放弃使用。
德国关于数据属性化的讨论为数据所有权问题提供了有价值的见解。欧洲国家有意保护个人数据,将其作为欧洲企业的“数字经济燃料”。在这种模式下,数据所有权并非针对数据主体,而是从一开始就针对公司。德国学者指出,目前数据产权化的行动几乎是为了保护德国汽车制造业免受美国科技公司干扰。2013年,德国议会通过了一项针对搜索引擎聚合商的附属版权法。根据该法律,新闻和杂志出版商被赋予公众提供新闻产品的独家产权。搜索软件只得发布放弃独家产权出版商提供的新闻,这最终造成了德国市场的混乱。
在确定数据是否应有财产权时,应该考虑任何有关数据所有权的立法都可能被规避并产生负面影响。
6.7 规范实现的障碍✦
除了缺乏令人信服的理由和对创造产权的重大政策担忧外,任何新的数据产权制度都将面临不可逾越的实施障碍。为了言论自由、信息自由、安全和保障的利益,政府、企业和个人需要对广泛的数据产权提出大量的例外要求,法院需要不断地权衡财产和言论权利,审查言论和信息流。出售资料的当事人必须为所得收入保留帐户,并缴付税款。新的集体权利社团可能会出现,并创造新的官僚机构和文书工作。每个数据交易商都必须不断向数据主体发出隐私通知,或获得更新的同意,提供个人访问,同意可移植性,尊重其反对意见,并遵守欧盟GDPR规定的遗忘请求。为了避免各种各样的问题问题,数据应该留给公共领域。
✦✦
7
总结
没有人拥有或应该拥有数据所有权。
数据在概念上独立于作品和数据库、信息的物理表现形式和与信息相关的实物或无形物品。为了激励投资和改进,立法者授予了不同的人关于著作、数据库、动产、土地和其他项目的产权,而数据本身不存在这样的目的。
各方在数据和访问限制方面有着不同的利益。这些利益受到的现有法律的保护,这些法律并没有授予数据财产权。物权法有意将数据排除在范围之外。数据相关法律和财产法基于公共政策考虑平衡了数据利益和访问限制,这些公共政策考虑会因数据产权的创建而受到损害。
数据产权非但不能保护隐私或促进技术进步与创新,还可能扼杀言论自由、信息自由、科学和技术进步。支持数据产权化的理由不具有说服力,而且被支持数据“开放”的理由驳斥。因此,不需要为数据创建新的产权。
(完)
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
网络空间的国际法适用问题系列文章:
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
关于保护网络和信息系统安全的相关文章包括:
中国个人信息保护立法的相关文章包括:
《网络数据安全管理条例(征求意见稿)》系列文章:
个性化广告系列文章包括:
业务场景中的数据跨境流动文章如下:
《数据安全法》的相关文章包括:
关于数据执法跨境调取的相关文章:
赴美上市的中国公司在网络、数据安全的文章如下:
关于健康医疗数据方面的文章有:
关于人工智能安全和监管,本公号发布过以下文章:
数字贸易协定系列文章:
关于中美与国家安全相关的审查机制,本公号发布过以下文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
数据的安全、个人信息保护、不正当竞争等方面的重大案例: