【数据法学】刘元兴 谭淑平:如何认定数据产品权属?
B D A I L C
欢 迎 关 注
André Brasilier
如何认定数据产品权属?
文 / 京东数字科技研究院法律与政策研究中心研究员
刘元兴
南京大学中德法学研究所经济法学硕士
德国哥廷根大学法学院LL.M 谭淑平
对数据产品的权属讨论,应该分为两个步骤:一是数据产品原始数据来源正当与否,二是数据产品主体权益正当性基础以及权属性质认定。
一、数据产品原始数据来源的正当性分析
根据《网络安全法》第四十四条和《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第四条的规定,获取个人信息要正当合法。在获取个人信息正当性存疑的情况下,由此产生的数据产品必然无法进一步讨论其权利或权益。
(一)数据收集的正当性
依据《网络安全法》第二十二条,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。网络运营平台网络运营者收集、使用个人信息应满足《网络安全法》第四十一条“合法、正当、必要”的原则以及“公开和透明度”、“必要与最少限度”等要求,明确宣示收集、使用用户信息的目的、方式、范围。《网络安全法》第四十一条第二款规定了“合法和正当性”的三种来源:法律、行政法规的规定和双方协议约定。
(二)数据共享的正当性
在进行数据业务创新和开发数据产品,不同网络运营商之间可以进行数据合作互补,即共享或交换。如果,数据产品使用其他网络运营者收集的用户信息,依照《网络安全法》第四十二条的规定,在一个三方的信息处理业务中,应当符合“用户授权网络运营者+网络运营者授权第三方+用户授权第三方”的三重授权许可使用规则。
(三)转让行为的正当性
《网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。《网络安全法》第四十二条确定了大数据产品高效转让的合法性基础,即,个人信息形成数据产品,经过匿名脱敏化处理后且不可复原,数据产品对外销售及其附着的信息对外公开,可以不经个人信息主体同意。
二、数据产品权益的正当性基础
以及权属性质认定
数据价值在于流动。在大数据背景下,数据流动不仅是数据的传输、共享、交易、转让过程,更是利用人工智能、大数据、云计算、区块链、物联网技术,通过收集、存储、分析、使用、处理、传输、共享、交易、备份、删除等一系列数据行为,将原本价值有限的单一碎片化和相对静止的个人信息数据变成集约化大数据(尤其是衍生数据产品,如数据画像)的活跃化的过程。对于网络经营者而言,其对在收集、使用个人信息及非个人信息合法合规的前提下形成的数据产品所享有的合法权益应该得到法律的认可和保护,即大数据产品的商业模式应当通过法律上的确权来肯定。但在数据产品财产权和财产权益的认定过程中,因为涉及网络用户、网路运营商等多方权益,所以无法简单认定权利或权益的归属。
首先,数据产品主体因数据行为劳动凝结享有财产性权益。数据产品,经过网络运营者大量的智力劳动成果投入,经过深度开发与系统整合,已成为独立于网络用户信息、原始网络数据之外的衍生数据产品,网络运营者对于其开发的大数据产品,应当享有自己独立的财产性权益。
其次,数据产品上附着的财产性权益不能等同于财产所有权。财产所有权是指所有人依法对自己的财产享有占有、使用、收益和处分的权利,包括占有权、使用权、收益权和处分权四项权能。所有权意味着人对物最充分、最完全的支配,是最完整的物权形式。由此可见财产所有权是一项绝对权利,数据财产权的设立将会导致不特定多数人因此而承担相应的义务;同时,基于数据分析、处理、加工后可形成的数据产品将会依据数据分析技术、数据收集方式等多种因素而产生诸多衍生数据产品或表现形式,不符合“物权法定”原则。在现有阶段,对于数据产品仅从财产性权益角度进行保护,而不是直接从财产所有权角度进行保护将更加有利于数据行业的创新发展。
再次,数据产品上附着的财产权益可以是一种竞争性财产权益。网络数据产品的开发与市场应用已成为当前互联网行业的主要商业模式,是网络运营者市场竞争优势的重要来源与核心竞争力所在,能为数据产品主体带来可观的商业利益与市场竞争优势。数据产品所带来的权益(商业利益与市场竞争优势),应当归数据产品主体所享有,数据主体对其享有竞争性财产权益。
三、关于数据权属的延伸与思考
(一)关于个人信息的判定
依据《网络安全法》七十六条第五项 “个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。个人信息不包括行为痕迹信息,但《信息安全技术个人信息安全规范》附表B.1将网页浏览记录直接定义为敏感信息。这是因为行为痕迹信息往往包含个人偏好或商户经营秘密等敏感信息,其 “结合和关联其他信息”能够识别和定向到个人,那么其不仅是个人信息,还是个人敏感信息。这符合个人信息认定的“可识别”这一本质标准。但是可识别性因为技术和场景的不同语境下,其外延具有浮动性,所以僵化地通过判别可识别性对个人信息进行界定的思路是不可取的,还需要在个案中进行具体衡量。
对个人信息的脱敏处理可以分为加密和去标识两种手段,去标识又分为假名化和匿名化处理。极端情况下,加密的两份身份证号码分别有前半段和后半段加密,两者合在一起就可以识别了。那么在上述情况下,按照《网络安全法》第七十六条第(五)项,加密后留有身份证号码任何一段也可能归为“与其他信息结合识别自然人个人身份”的一种情形,即属于个人信息。
依据《个人信息安全规范》术语和定义3.7,更广义上来说,“用户画像”是通过收集、汇聚、分析个人信息,对某特定自然人个人或某用户群体的特征,如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人或群体特征模型的过程。在这一过程中如果只是针对一个群体进行的画像,因为不会也不能直接识别到特定个人因此不属于个人信息。但是对于个体画像的生成过程中,需要有特定的标识信息对个体进行匹配、筛选,一般会使用手机号或设备号码。因此在个体画像过程中标识信息+标签信息相结合,则满足了“与其他信息结合识别”的条件,因此在此情况下个体画像也属于个人信息。
依据GB/T 35273 《信息安全技术个人信息安全规范》附录A的“个人到信息”的识别认定和“信息到个人”的关联认定,《网络安全法》对“个人信息”内涵的规定,不能单纯从字面上理解为单单是直接“识别”个人的信息,还应当包括“关联”个人的信息,即在已能识别出特定人的前提下,对于能够反映这个特定人相关活动的信息,都应当被视为个人信息。但“关联”个人的信息又要与仅仅“关联”设备或终端的信息作出适度区分,例如,某人在没有注册账户的情况下观看“抖音”视频并点赞某一段视频,这种点赞信息只能识别到手机终端,就不应当被视为个人信息。
(二)关于数据权属认定
1.个人信息主体的权属利益
就用户信息数据来说,在无法律规定或合同特别约定的情况下,网络用户对于其提供给网络运营者的单个用户信息尚无独立的财产权或财产性权益可言。然而,网络安全具有混合法功能,既规定了网络运营者对个人信息的网络安全保障义务,又尊重个人对其个人信息的自决利益(自主控制和自主选择),即给予其自决利益保障。所以个人信息主体对其个人信息既享有安全利益,又享有自决利益。
(1)针对所有用户信息的一般保障
《网络安全法》第二十二条第一段和第二段规定了一般安全保障,第三段前半段对包括非个人信息在内的用户信息收集,遵循了告知同意路径,给予用户一般自决利益保障。 《网络安全法》第四十条规定了针对包括个人信息在内的用户信息的保密和安全制度保障。
(2)针对用户个人信息的升级保障
依据《网络安全法》第二十二条第三段后半段,相比非个人信息,针对用户对其个人信息的安全利益和自决利益给予升级保护,应当遵守《网络安全法》和有关法律、行政法规关于个人信息保护的规定。《网络安全法》第四十一条和四十二条就是对这种升级保护的详细规定。针对自决利益保障,提出了“合法、正当、必要”的原则以及“公开和透明度”、“最少限度”等要求。针对安全利益保障,规定了四项安全保障义务:a.不得泄露、篡改、毁损个人信息;b.向他人提供个人信息需事先征得被收集人的同意;c.应当采取技术措施和其他必要措施等安全保障措施,确保安全,防止信息泄露、毁损、丢失;d.在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,履行向用户通知和向有关部门报告的义务。
此外,就安全利益来说,《网络安全法》第三十七条还规定了对关键信息基础设施处收集和产生的个人信息和重要数据进行“境内存储、出境安全评估”的安全保障要求;就自决利益来说,《网络安全法》第四十三条赋予了个人信息主体删除权和更正权。
依据《网络安全法》第四十一条第二款,对用户信息的安全利益保障和自决利益保障义务,不仅可以来自于法律法规(法定保障义务),还可以来自于协议约定(约定保障义务)。所以采取合同相对保障方式,也是对个人信息主体利益保护的一种选择或补充。
2.数据产品主体的权属利益
数据产品主体享有的财产性权益为什么是《反不正当竞争法》这一保护法上的财产权益,而不是其他保护法律法规,或退而求其次能否仅仅是违反善良风俗这一侵权模式下的财产权益呢?对这一问题的论证可能不会那么顺畅,也可能发现“通过竞争性财产权益保护数据产品主体”这一模式的缺陷和不周。
法学理论论证下,数据产品权属呈现一个定位反斥状态。于飞教授在其《侵权法中权利与利益的区分方法》一文中认为,侵权法上的权利按照归属功能和排除功能来说,仅仅指物权和知识产权等绝对权利(财产所有权),其他的是绝对权益(如竞争权益)或相对权益(如债权)(于飞,2011)。而按照绝对权利保护是不合时宜的,不符合从工业社会到信息或数字化社会的转型趋势。
而数据产品体现的是网络经营者的大量智力劳动投入以及由此形成的稳定客户、良好商誉等商业利益或市场竞争优势,所以按照绝对权益(竞争财产权益)为妥。但依据程啸教授在其文章《论大数据时代的个人数据权利》中的观点,网络经营者的数据产品,按照竞争性财产权益保护的路径稍微狭窄,只有在特定情形下(如违反《反不正当竞争法》)才可以诉求,因此仅仅以违反保护法或违背善良风俗保护模式来保护数据产品主体,则是将数据权利视为一种纯粹经济利益,保护强度相对较弱(程啸,2018,p.121)。
如果说原始数据在经过加密后类似竞争法上的商业秘密,可以通过竞争加以保护;而数据产品则是有网络运营者的智力成果在里面,所以更类似知识产权。但能否以知识产权来规制保护呢?按照梅夏英教授在其文章《数据的法律属性及其民法定位》中的观点,数据因缺少如智力成果流通垄断上的法律可行性以及两者在信息和技术属性上的分野,而不能以知识产权来保护(梅夏英,2016,p.177-178)。即便是有智力劳动凝结的衍生数据产品可能具有一定创新性,但也具有前述问题。
综上,既不能给予数据产品主体以绝对权利,又不能单一靠《反不正当竞争法》来保护,也不能按照知识产权的思路来规制。以上民商法或经济法上单个法律制度的缺陷性和不周性,客观要求转换规制保护路径。即,一方面,为数据产品主体的财产权益寻找和丰富《反不正当竞争法》之外更多的保护法或善良风俗原则的请求基础,进行综合补位保护;另一方面,对个人信息主体保护来说,在公法上寻求突破,犹如《网络安全法》的两个面向,一个是规定和落实风险路径中的安全保障义务,另一个是充分给予用户对其个人信息的自决保障权益。
转载自京东数字科技研究院公众号
本文仅作学习交流之用
André Brasilier
往期荐读
编辑:钟柳依
欢迎点击“阅读原文”