杨张博 王新雷:大数据交易中的数据所有权研究
B D A I L C
欢 迎 关 注
文章研究大数据交易中的数据所有权问题。大数据交易的核心问题之一是数据所有权的归属,特别是作为数据源的个体所拥有的隐私权与作为数据控制者的组织所拥有的数据控制权之间存在冲突。我国法律对数据交易权属未做明确规定。
[方法/过程] 文章首先回顾国外法律对数据源和数据控制者的法律保护制度,并依据大数据交易的特点和我国大数据交易现状,提出我国大数据交易中急需解决的3个重要的所有权法律问题:技术进步造成权利边界难以确定;侵权责任难以追究;对交易中的所有权问题无系统规定。
[结果/结论] 文章提出了相应的解决方案和法律建议。
Frederick Childe Hassam
文 / 西安交通大学人文学院社会学系
西安交通大学实证社会科学研究所 杨张博
西安交通大学法学院 王新雷
大数据(BigData)是具有增长速度快、多样性、价值稀疏和真实性等本质特征的大规模复杂数据[1- 2]。相比于传统数据,大数据在储存方式、分析方法和价值回报上存在显著不同。大数据具有巨大的商业价值,麦肯锡咨询公司认为,大数据应用能给经销商增加60%的利润,降低制造业约50%的成本,为全球经济带来3万亿到5万亿美元的增值[3]。
大数据交易是指以大数据为交易标的商事交换行为,属于大数据产业链的关键环节,能够提升大数据的流通率,增加大数据价值[4-6]。大数据的交易涉及数据的权利问题,如所有权、使用权和获益权等[7]。
国内外大数据交易产业正在兴起并迅速成长。2008年左右,国外涌现了一批专门的数据交易市场(DataMarket Place),如DataMarket、data.com、qDatum等交易平台。我国也在积极推动数据资源开放共享的国家大数据战略,在“十三五”规划中提出:“实施国家大数据战略,推进数据资源开放共享”。2015年,国务院印发《促进大数据发展行动纲要》,认为要引导培育大数据交易市场,规范交易行为,促进数据资源流通,释放数据红利。国内也出现了多家大数据交易平台,如贵阳大数据交易所、京东万象、数据堂等。
现阶段,数据聚合已经取得了规模化的成果,但依然缺乏跨行业、跨领域流动,呈现“孤岛”效应;实现大数据的规模效应和战略价值,需要冲破“数据孤岛”,促进数据的自由流通。数据流通是数据生产和应用的关键环节,促进数据流通,一方面需要开放共享政府数据和公共数据,另一方面需要通过数据交易充分发挥个人、组织的数据价值[6]。
但是,大数据技术和产业的发展,受困于数据所有权的难题。由于“原本中立的技术开始形成了某种自主性”[8],面对大数据技术的发展,国内外有关法律法规呈现出滞后性,对大数据技术带来的数据权属等一系列伦理或法律问题缺乏有效应对[9-11]。大数据产业涉及多个不同性质的法律主体,因数据权属不明带来的有关主体间的权利冲突,严重制约了数据自由有序的流动。大数据交易顺利、安全进行的基础保障是明确的数据权属及交易规则,当前有关数据权属的法律法规滞后,一方面导致了合规的数据供应不足,另一方面也导致了个人敏感数据等非法数据黑市大肆扩张[12]。近期发生的“顺丰菜鸟之争”等案例(2017年上半年,顺丰和菜鸟公司就快递数据访问权限爆发冲突,互相停止了对对方的数据传输,这背后体现的是企业间对数据的控制之争),再次印证了加快大数据产业中数据所有权等研究和立法的紧迫性和必要性。2016年《我国数据流通市场调查报告》和2017年《中国大数据发展调查报告》都表明,企业最关注的政策需求是健全法律法规,特别是数据权属方面的法律。
本文以大数据中的数据权属为研究对象,分析中外对大数据交易的基本权利——所有权的法律制度,随后根据大数据及其产业特点讨论现有交易制度的不足之处,并提出相应建议。
目次
1
域外大数据所有权法律制度概要
2
我国大数据交易中存在的所有权问题
3
完善大数据所有权制度,
保障我国大数据交易顺利进行的法律建议
4
结束语
大数据兼具人身(如隐私等)和财产属性,其中数据主体对数据享有的占有、使用、收益和处分的所有权,是大数据交易的根本法律依据,大数据所蕴含的技术、经济效应是数据作为法律保护的财产之基础,也是数据交易的根本价值所在[11, 13]。明确的大数据权属是交易合规、安全、高效进行的前提。大数据所有权的争议主要体现在作为数据源的个体和作为数据控制者的组织对同一数据集在控制权上的顺序。因此,域外关于大数据所有权的法律制度主要围绕个体和组织两个层面发展。
1.个体对数据的所有权
现有的大数据主要来自对个体产生的信息的搜集,这类数据主要来自互联网,搜集过程多为被动。这些信息包括个人的身份识别(账号、IP、地理位置等)、身份资料(性别、年龄、工作等)和偏好(消费行为、消费习惯、兴趣等)。个人数据的整合被称为数字身份或数字人格,其关键在于识别性,即是否能通过数据正确识别出特定的人[14]。只有将个体信息整合在一起形成整体层面的数据,才会产生经济价值。因此,个人数据既涉及人格权益,又涉及经济权益。相应地,权利边界成为个体对数据所有权的首要问题,即个体在多大程度上对其个人数据享有控制权和支配权。
当前世界主要国家的法律实践中,对个人数据的保护主要有两种思路:一是基于对传统的隐私权进行调整和扩大,使其可以保护个人数据,其客体是信息背后的人格权益;二是将个人数据作为独立的财产权利进行保护,其客体是信息背后的财产权益。国外法律对个体数据的保护主要基于人格权的思路,存在两种保护方式:一是基于传统的隐私权保护的美国模式,随着技术的发展不断扩大隐私权的范围,其基础在于保护公民的人格尊严;二是基于新设立的被遗忘权(theRight to be Forgotten)进行保护的欧盟模式。
各国数据保护体系的构建多基于隐私权的司法实践。隐私权是“自然人享有的对其个人的与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权”[15]。隐私权意味着个体不希望把自己的身份信息和行为信息透露给公众。早在1983年,德国联邦宪法法院就认为在自动化数据处理情境下,个人有权反对个体资料被无限制地搜集和使用,提出了个人信息自主的概念和权利保护理论[16]。欧盟亦提出了被遗忘权这一互联网和大数据时代的新型权利,该权利本质上是一种删除权利,享有权利的数据来源主体能够要求搜集者或第三方删除其相关信息。该条规定起始于欧盟1995年《个人数据保护指令》(Directive No. 95/46/EC),在2016年颁布的《一般数据保护条例》(The EU General Data Protection Regulation, GDPR)(以下简称《条例》)中得到进一步扩展[17]。该《条例》取代了1995年欧盟《个人数据保护指令》,将于2018年施行。《条例》基于保护个体数据的目的,限制数据搜集范围,数据控制者和数据搜集者需要承担较重的义务,违反《条例》面临最高全年营业额4%的罚款数额。这一权利延展到个体所有的相关数据上,作为数据源的主体享有知情权、进入权、修改权、反对权、删除权等多项积极权能。Pentland认为个体对数据有“拥有、使用、贡献或摧毁”的权利。被遗忘权即类似于其中的摧毁权[18]。司法实践中,2014年,欧盟法院在一项判决中认为谷歌公司应尊重信息主体的被遗忘权,要求谷歌删除原告未缴纳社会保险的信息,并且这一义务应延伸至谷歌的全球业务。
被遗忘权的技术背景在于互联网时代个体数据在不知情或疏忽的情况下被机器自动匿名化地收集并保存于数据库。同时,因为数据搜集的廉价性和便捷性,许多组织存在过度搜集数据的情况[19]。对于个人来说,这些数据是碎片化和无价值的,甚至是难以记起的。通常情况下,数据的搜集多是基于匿名或去识别化的方式进行的,对众多匿名数据的整合并不涉及对个体隐私权的侵害。但通过比对多个数据库,进行等值连接,可以准确定位已经被匿名化处理的个体数据[20],重新赋予数据的可识别性,推断出个体的私生活。正如纳拉亚南(ArvindNarayanan)所说,大数据时代,任何形式的隐私都是“算法上不可能的”[21]。作为数据源的个体会在不知情的情况下陷于隐私泄露的风险之中。被遗忘权背后的法理基础认为人格权大于财产性权利,当两者冲突时,财产性权利需要有所妥协;但亦有学者认为被遗忘权可能会增加企业运行成本,阻碍创新和产业发展[22]。
为保护个人隐私,“知情并同意”是数据搜集时的一个被普遍认可的权利,非经合法许可搜集数据会使数据丧失合法性基础。但即使数据是合法收集的,绝大部分个体并不清楚他们的数据被用来做什么,这就又涉及个体是否应该具有对数据的使用享有知情权甚至控制权的问题。2000年12月,美国商务部和欧盟签订了名为安全港的数据隐私保护框架,超过4000家的美国企业签署了这一协议[7]。其规定,企业必须得到个人的允许才能将信息传递给第三方。在安全港框架被欧盟法院于2015年认定无效后,2016年美欧达成了新的“隐私盾”协议,对美国企业提出了更严格的数据保护责任。同样,欧盟《一般数据保护条例》中规定了数据源个体具有异议权,即有权拒绝以营销为目的个人数据分析[23]。
但在数据交易中,数据源的知情同意权往往难以实现,特别是大数据往往存在多次利用,多次通知上百万数据源数据的使用目的成本过高。需要注意的是,正是个人数据所具有的人格权保护使大数据的搜集和交易成本提高,也提高了其价值,产生了全球范围内的数据交易市场,这是一个从微观权利设立到宏观市场建立的过程。实践中,绝大部分的数据再交易并没有得到数据源个体的知情同意[24]。一旦立法规定个体对数据的知情和控制权,大数据搜集、使用和交易的成本将会大幅提高。
2.组织对数据的所有权
个体信息只有被特定个人或组织按照特定目标、方式搜集并整理,构成的数据集或数据库才具有明显的经济价值,这是一个价值增值的过程。换句话说,个体数据整合后的数据集或数据库具有财产属性,主要表现为可复制性和可产生价值两个方面。这类数据对于大数据企业来说是关键资产,也是交易的主要标的物。
现有法律对数据搜集者的保护属于知识产权范畴,多基于汇编权[25],即付出额外劳动,对已有资料和信息进行整理以体现出独创性,从而获取法律上相应的经济权利。但汇编权要求编排体例具有独创性;不含独创性的汇编则是欧盟《数据库指令》中所指的数据库,其经济权利来自于对数据的搜集和整理。两者的差异在于适用法律不同,前者适用版权法体系,后者适用反不正当竞争法体系;此外,前者的保护客体在于数据结构,而后者在于数据本身[25]。德国则以版权邻接权对不具有独创性的数据库内容给予保护。无论如何,数据从人身权属性汇集而变为财产权属性的关键正在于搜集整理者在此过程中所付出的特定投资、劳动或成本。
数据搜集过程合规是数据交易合法的前提条件。对此过程一般采取合同约定的形式,受合同法保护,实践中多为格式合同。但传统的知情同意制度在大数据时代存在不少限制,用户的同意可以视为同意数据搜集和利用的意思表示,但数据可能存在多次利用,而意思表示同意的授权往往仅为一次,这无疑扩大了意思表示的范围。现有的互联网环境很难使个体或组织对格式合同尽应有的注意。针对该问题,国外司法实践是在数据搜集过程对搜集者规定一定的限制,如欧盟1995年《数据保护指令》规定,数据收集需要遵循目的特定和使用限制[17]。特别是,搜集者必须征得个体的同意,必须对数据个体以明示的方式作出说明,包括详细的使用范围和目的。1995年美国的《个人隐私与国家信息基础结构》白皮书规定了互联网时代对个体数据搜集的基本原则:告知和许可。告知指必须告诉个体数据搜集的范围,许可指必须得到个体同意后才能利用数据,并提供个体要求禁止使用相关数据的方法和途径[26]。关于数据搜集者对数据的处理,美国《网络用户个人隐私保护法案》规定网络服务提供商(ISP)未经用户同意,不得买卖用户的个人数据信息。但该法案于2017年3月被废止。数据的搜集范围往往受到如“禁止交易含有个人信息的数据”等法律限制,因此市场上流通的大数据一般经过匿名化处理。有学者认为匿名化处理切断了数据和数据源之间的联系,企业因此应享有对数据的有限所有权和相应的处分权[12]。
对于大数据企业来说,数据的所有权和数据硬件所有权可能并不属于同一主体,这会增加交易中的风险。因为其租用的机房或云空间在物权上并不归其所有。云计算的侵权责任具有侵权主体多元化、侵权跨地域化等特征[27]。美国司法实践往往将用户通过云计算方式侵犯第三者专利权的行为认定为分离侵权、帮助侵权或引诱侵权,我国司法系统则没有采用这个较新的概念,依然认定为共同侵权[28],这会加重云计算提供商的风险。
1.大数据交易特点及分类
大数据交易本质上是数据内部蕴含的信息与货币的交换[4]。因为数据的无形性、非独占性,大数据的复制成本几近为零,其可以被多次出售而不损害其价值。所以大数据交易需要法律上拟制权利的保护。大数据交易在民法上难以归类到买卖合同中[11],更类似于知识产权法中的许可合同。现阶段,我国大数据交易的交易标的多为原始数据和粗数据,成熟数据产品和数据分析结果在市场上较为少见。此外,各个大数据交易机构的成交率和成交额都有待提高。
按照产品的成熟程度,数据交易可以分为原始数据交易、数据产品交易和数据API(ApplicationProgramming Interface,应用程序编程接口)交易等形式。去身份信息的原始数据交易、API交易对买方的技术实力有较高的要求,对这类数据的分析更多的是为决策提供依据。原始数据交易的代表是数据堂公司,但其主页上所列出的绝大部分数据产品都未经脱敏处理,存在一定的隐私风险。数据产品交易的代表是贵阳大数据交易所,其不进行基础数据交易,而是根据需求对数据进行分析处理,交易的是处理之后的结果。中关村树海大数据交易平台是API交易的代表,属于中介机构,不储存和分析数据,而是通过API接口形式提供数据使用权限。这其中,数据产品交易可以顺利地纳入知识产权制度内进行规制,暂时规避了数据的隐私保护问题和数据所有权问题。真正会产生合法性问题的主要是原始数据交易和数据API交易。
2.我国大数据所有权法律制度概况
我国对数据所有权和控制权缺乏明确系统的规定,散见于不同的法律法规中,多以公法中的原则性或禁止性条款出现,没有明确的规定数据的权属问题。相关司法实践多援引肖像权、名誉权和隐私权等相关规定进行裁决[14]。从人大常委会2012年出台的《关于加强网络信息保护的决定》(以下简称《决定》)开始,我国开始试图以个人信息权来保护个人信息。《决定》首次以法律形式明确保护个人信息,将个人电子信息这一概念定义为能够识别公民个人身份和涉及公民个人隐私的电子信息,出售个人信息的行为属于非法行为。《刑法修正案(九)》亦设立了“侵犯公民个人信息罪”,规定非法向他人出售或者提供公民个人信息的行为要承担刑事责任。2013年《消费者权益保护法》进行修改,确定保护消费者个人信息作为消费者权益。2014年出台的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》将基因信息、病例、健康检查资料、犯罪记录、家庭住址等都视为个人的隐私。2016年出台的《网络安全法》确立了个人信息搜集的原则义务和责任,同时也明确,若数据经过处理,无法识别作为数据源的个人,则可以进行交易。2017年10月实施的《民法总则》将数据信息纳入知识产权保护的范围之内,其规定经营者对消费者信息的收集必须明示其目的、方式和范围,并经消费者同意。实践中,大数据交易的主要问题在于交易主体资格不明确、交易范围不明确以及数据质量标准不规范[5]。
对数据保护的另外一种思路是将其作为财产进行保护,通过类似于知识产权的保护方式,对数据在法律上创制一种新的权利[29]。这种权利以人格权为基础,但重点在其上所衍生的财产权利。齐爱民和盘佳(2015)将数据的人格权和财产权统称为数据权[29]。在此思路下,个人对自身数据进行处分以获取相应利益得以具有法律上的依据。基于个人数据财产权,组织搜集和交易个人数据的行为应当向数据源支付相应对价。但也有学者认为数据依赖于载体,不能直接产生利益,具有经济价值的是数据中所蕴涵的信息,因此数据具有非财产性,不能以财产权的方式进行保护[11]。
大数据交易的行业自律制度,也是当前我国大数据所有权问题的制度来源之一。近两年,我国大数据交易平台进入井喷期。截至2016年底,全国已建立24家大数据交易中心和交易所。这些交易平台可以大致分为三类:交易所平台、产业联盟平台和互联网在线交易平台。国家层面的数据交易安全标准正在制定草案阶段,现阶段各个交易平台的交易规则多为自己制定,彼此有着很高的相似性。主要有《贵阳大数据交易所702公约》《2016数据流动行业自律公约》《中关村树海大数据交易平台规则(征求意见稿)》《上海数据交易中心互联规则》等。其内容一般都涉及交易主体、交易程序和交易范围。例如,中关村树海大数据的交易规则中要求交易的数据来源合法,权利无争议。各个交易所的交易规则都将涉及个人信息的数据排除在交易范围外,多采用禁止交易清单的形式。上海交易中心发布的《数据流通禁止清单》禁止可以识别特定个人的身份数据、敏感数据和财产数据进行交易。更是直接规定,即使经个人同意的敏感数据也禁止交易。
除行业公约外,有些企业也出台了自身的数据权属规范,多采用合同约定形式。如阿里云于2015年发布数据保护协议,承诺云计算客户对自身数据拥有绝对所有权,包括任意时间访问、转移、分享和删除相关数据。
3. 我国大数据交易中的所有权难题
第一,数据所有权边界的动态性。 正如上文所述,我国未规定单独的数据权和信息财产权。个体主要依据隐私权等法定权利对数据享有控制等权利,组织主要依据汇编权、版权、商业秘密等对数据享有相应权利。这导致了一套数据集上可能会存在多种权利。权利共存并不是问题,问题是这些权利之间可能存在冲突,即各项权利的优先程度法律无明文规定,这势必会增加数据交易风险,甚至导致数据交易难以进行。个人信息的人格权属性使得其权利在数据数次转手后依然可能得以保留,数据买家要承担较高的交易风险。
因此,在大数据交易的实践中急需厘清各项权利的边界。而权利边界难以界定最根本的原因在于技术的飞快发展使得现有匿名化处理技术无法保证不会追溯到数据源,个体的隐私无法得到有效保护。在大数据市场中,对于缺乏大数据分析技术的买家来说,高质量数据集往往是敏感信息含量较多的数据。技术的进步性和法律的滞后性导致权利边界一直处于动态变化中,这实际上反映了法律对技术的规制存在边界,任何法律都难以应对技术本身的问题,代码和算法才是规制数据的最底层规则[11]。
第二,难以确定侵权责任,导致数据交易成本较高。 在互联网和大数据背景下,因为技术原因,相应的权利难以得到有效和及时的救济,这提高了交易风险和成本。大数据交易中,相关权利难以得到充分保护。从数据售卖者角度来说,数据源和数据搜集主体呈现多元化,难以监控和规制,私人领域和公共领域的界限开始模糊。从数据买受方来说,大数据挖掘极有可能侵犯个人的隐私,甚至被侵权人自身都不知道隐私被侵犯,比如根据大数据进行预测性广告,主体可能并不知道广告商根据其相应数据给其推送相应广告。即使采取反向身份识别技术,也难以完全保护个人的隐私[30]。此外,因为数据的无形性,数据非常容易被复制并在互联网上传播,侵权行为难以完全杜绝,权属保护较为困难,这会有损于数据交易的价值。最后,现有大数据储存和分析多是在云端进行,云服务或网络提供者可以适用“避风港”原则,以不知情为由而不承担责任。
第三,系统性法律规定缺位。 我国在国家层面和部门立法层级上都对大数据交易中的所有权问题无系统性规定。实践中,主要靠数据交易平台的规定和行业自律保障交易的进行。当前法律对数据交易方面的限制主要有以下两方面的原因:其一,现有法律体制下,物权、知识产权和债权都难以作为大数据交易的基础权利。正如上一节所分析的,汇编权或者版权邻接权才是数据交易的基础,但这些拟制的权利需要做出调整和扩展才能更好地保护现有的大数据交易。其二,数据具有无形性、复制成本低等特点,其交易与一般商品交易方式有所不同[4]。对于这一新的交易方式,法律未对交易平台的主体资格、交易过程做出明确规定。客观上造成了平台门槛设立过低、交易过程没有程序化等现象。
首先,通过行业、部门等层面建立灵活性制度规范,满足当前大数据产业发展的迫切需求。应当尽快出台相应的司法解释和部门规章,在现行法律框架内及时解决数据交易中出现的所有权问题。同时尽快引导建立行业惯例,依据行业惯例解决问题,避免因所有权规定不完备导致大数据交易和产业发展停滞。
其次,制定基础性法律法规,建立大数据产业发展的长远法律基础。在国家层面出台相应的数据基本法和交易条例,确定数据交易的基本原则、交易过程、交易主体规则、救济方式、数据权属、以及不同主体对数据控制权利的先后顺序。并与《网络安全法》和正在起草的《个人信息保护法》相结合,构建并完善我国的数据法律体系。具体来说,应从以下几方面着手:
一是尽快制定数据权属相关法律,明确大数据所有权边界。大数据交易行为的法律规制的法益平衡应是在充分利用数据和防止滥用数据间的平衡,也是充分保障个人信息安全和降低交易成本间的平衡。根据法经济学理论中的霍布斯定理,法律权利在主体间的分配应遵循“建立法律以使私人协议失败造成的损害达到最小”的原则[31]。财产权或所有权的分配应该是符合效率的,私法上的权利应该赋予能够以最大效率执行这些权利的主体。因此大数据权利边界的划分应主要遵循效率原则,兼顾公平原则。结合隐私权和财产权的保护视角,一个折衷也较为平衡的做法是,对于不同性质的数据、不同的交易主体、不同的交易程序等给予不同的保护方法和保护范围[12, 32]。对个体身份等敏感信息,应采取强保护,规定严格的匿名化程序和追责措施;对已经去个性化的个体信息,则应采取较弱的保护,赋予数据控制者较多的权利。
二是对侵犯个体隐私的大数据交易提供司法和行政上可行的救济手段,以充分保障所有权的实现。现实中,垃圾邮件、广告、数据非法交易屡禁不止的重要原因在于对违法者的溯源、举证等存在不小困难,而违法数据交易的进行却非常容易。国外实践中,对个体数据权利的保护,往往采取禁令等衡平补偿而不是法律赔偿。现有的保护方式主要是从个体权利的角度施行的,但大规模数据处理过程的实际客体往往是对个体数据的整合,即群体(Group)层面的数据[33]。所以交易中对数据源的保护应该从群体层面着手,这也能减轻数据搜集者和利用者需要承担的告知成本,利于相关产业的发展。
数据所有权明晰是大数据交易顺利进行的基础。本文从数据所有权视角出发,评鉴了域外大数据所有权法律制度的最新成果,分析了我国大数据交易中的相关法律问题:权利边界不确定、侵权行为难以得到救济、相关立法不完善。为促进大数据产业健康发展,保障大数据交易的顺利进行,有必要借鉴国外经验,在国家层面系统地对数据交易进行立法,明确规定大数据的权利属性和权利范围,提供有效的司法和行政救济手段,在保护个人数据隐私和保护数据控制者权利间达到良好的平衡点。
参考文献
(请向下滑动)
感谢作者对本公众号的授权!
本文仅作学习交流之用。
© 章愳
讲 座 信 息
往 期 荐 读
欢迎点击“阅读原文”