冯哲 胡海洋|新技术带来的传统生产要素权利保护与数据权利构建问题
中国信息通信研究院研究员
胡海洋中国移动集团公司发展战略部项目经理
要目
一、新技术对传统生产要素的改造及带来的权利保护问题二、数据与传统生产要素的区别三、新技术带来的数据权利构建问题四、数据生产要素流通视角下数据权利构建的反思结语新技术的颠覆式创新对传统生产要素和数据生产要素的权利保护提出挑战。新业态对传统生产要素所形成的生产关系认定标准产生巨大冲击,权利主体对信息的从属性增强。而研究新技术语境下的权利构建问题,需遵循法律的基本逻辑,从主体、客体、权利属性和权利保护路径等方面进行论证。具体而言,一是要厘清隐私、个人信息和数据的区别。二是要厘清权利与权益的区别,数据生成主体即个人拥有独立于隐私权的人格权益,数据处理主体对非个人信息的数据拥有一定的数据支配权和财产权益。三是针对不同的数据类型,采取“对个人信息的赋权保护+对企业数据权益使用行为的规制保护”的双重进路。
一、新技术对传统生产要素的改造及带来的权利保护问题
生产要素指用于生产产品与服务的投入。在不同的时代、不同的生产力条件下,生产要素所包含的内容有很大不同。总结历史发展规律,每一轮重大科技革命和产业变革都会催生新的生产要素,形成新的生产力,继而推动全社会高度关注新生产要素权利的构建方式,探索形成与之相匹配的权利保护体系。
第一次工业革命之前,人类长期处于农业经济时代,土地和劳动是当时最为重要的生产要素。英国经济学家威廉·配第指出,“土地为财富之母,而劳动则为财富之父”,精确概况了农业经济时代土地和劳动在生产力发展和价值创造中的关键作用。这一时期,土地和劳动两大生产要素具有很强的竞争性,即在权属上呈现非此即彼、难以复用的特点。在有限的土地和劳动要素的驱动下,人类社会发展存在难以逾越的“天花板”,这一现象被英国人口学家和政治经济学家马尔萨斯首次发现提出,因而被称为“马尔萨斯陷阱”。
进入18世纪60年代,随着珍妮纺纱机、瓦特蒸汽机等技术的发明,人类社会从农业经济时代进入第一次工业革命时期。以纺纱机、蒸汽机等为代表的机械化工具大规模应用,加速了社会生产方式从农业经济时代的个体手工业向机械化大生产转变,推动产业工人及银行、证券交易所等现代金融业的兴起,劳动分工和有形资本积累是驱动经济增长的关键所在。因此,劳动和资本成为关键生产要素。通过现代金融业的纽带作用,劳动和资本两大生产要素的通用性显著增强,推动人类社会生产力的显著增强。在这一时期,虽然对工人阶级的压榨和金融乱象频发,但也导致全社会更加关注劳动工人最低限度的权利和金融产业稳定运行的规则。
第二次工业革命时期,电气化技术广泛应用于生产生活,进一步推动社会生产力的提升,催生电气化技术全流程贯通的大规模流水线新型生产方式。在流水线生产方式的推动下,劳动和资本要素高度集中、快速流转,这时候谁能快速引入电气化新型技术,谁就能在发展中赢得先机、占据优势。一批跨国垄断型商业组织快速涌现,如专注于电机业务的西门子公司、电灯业务起家的通用电气公司。此时,外生技术成为与劳动、资本并列的新型关键生产要素。之所以称之为外生技术,是因为当时核心技术的“拿来主义”“改良主义”比原始积累和突破往往更容易形成发展的优势,例如电力、汽车等技术几乎均诞生于欧洲大陆,但是美国快速引入相关技术并加以改良,形成了一批巨头企业。这一时期,知识产权制度的雏形开始出现,在技术要素流转过程强化对技术发明的充分保护。为避免劳动、资本等传统要素的过渡集中,各国陆续出台反垄断法案,如1890年出台的世界上第一部反垄断法谢尔曼法。
第三次工业革命时期,计算机和通信等科学技术不断进步,加速了经济、贸易和产业分工的全球化,促进大型跨国集团成为经济发展的主要力量。美国大力发展计算机和通信等科学技术,逐步占据世界领先地位。1948年,美国国内生产总值全球占比50%,对外贸易额全球占比25%,并维持了长达数十年的以其为中心的全球经济发展格局。在这一阶段,内生技术知识是推动经济持续增长的关键生产要素。与之前外生技术不同,内生技术强调通过研发投入、学习教育等能够增加知识积累,而知识积累又将促进技术进步,进而驱动持续增长。正是在这一时期,知识产权制度在全球广泛确立,强化对内生技术要素的排他属性,实现对科技创新的价值保护。
当前,人类社会进入以新一代信息技术为引领,数字化、网络化和智能化为核心的第四次工业革命时代。第四次工业革命最为突出的特点是新一代信息技术的深度融入和引发的融合聚变。因此,新一代信息技术的广泛运用也引发了对劳动、资本等传统要素的改造,具体体现在两个方面。
一是新一代信息技术推动传统要素向数字空间转移,现有权利保护和治理规则难以直接作用于传统要素之上。当前新一代信息技术加速劳动、资本等传统要素的流通运行从物理空间向数字空间转移,导致现有传统要素的保护和治理规则失效。例如,5G、人工智能、大数据、云计算等新一代信息技术在金融领域的广泛应用,形成以在线化、云化、智能化为核心的金融科技产业,并催生出以蚂蚁金服为代表的金融科技巨头。蚂蚁金服利用数字化技术,实现远超传统银行的快速资产证券化循环,通过30多亿元资本金发放贷款超3000亿,形成了上百倍的高杠杆。早在1988年,全球主要国家就签署了旨在限制银行放贷杠杆率、降低银行金融风险的《巴塞尔协议》,但因蚂蚁金服处于“金融+互联网”模糊地带,通过数字化手段开展信贷业务具有高度隐蔽性,其贷款业务未能受到事实性有效监管。
二是新技术引发传统生产要素形态的革新裂变,现有权利保护和治理规则难以完全适应新业态、新模式的发展。新一代信息技术与传统要素深度融合,引发置换反应和融合聚变,催生新业态、新模式、新服务,加速重构劳动、资本等传统要素的存在形态。例如,随着网络技术和数字平台的快速发展和广泛应用,催生了以外卖骑手、网约车司机、直播销售员等为代表的平台用工新族群,并逐渐成为就业群体中的重要力量。据统计,2019年我国新型平台用工从业者人数约为7800万,占就业人数总量的10.1%。但平台用工蓬勃发展的同时,也需看到互联网平台的商业模式和技术特点决定了新型平台用工模式具有特殊的管理考核方式、任务分配方式及非连续性的用工周期,使劳动者与用人单位之间的法律身份关系变得复杂,而我国现有劳动法律制度未对这种身份关系变化做出明确判断,导致双方权利义务无法明确等一系列后续问题。
从总体来看,上述两方面问题分别为数据要素引入引发的传统要素运行机制变化和存在形态变革。因此,新技术引发传统要素权利保护问题根源在于数据要素的引入,解决这一问题的关键在于建立与数据要素相匹配的权利构建和保护体系。
二、数据与传统生产要素的区别
当前,以新一代信息技术为标志的第四次工业革命深入发展,数据成为驱动经济社会发展的关键生产要素。党的十九届四中全会明确指出,“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”,首次将数据增列为生产要素。
需要说明的是,数据是指对客观事物进行记录的可识别符号,不仅包括狭义上的数字,还包括文字、字母、字符等的组合。由于计算机科学的发展,数字化时代的数据概念特指可被计算机程序处理的符号的集合,在存储介质中以二进制0和1的形式存在,并且可以度量,其基本单位是比特。因此当前数据要素中的“数据”,其实就是指数字比特的集合。数据与信息、知识、技术这些概念既有密切联系又有明显区别,其中,数据是生产和消费等经济活动中自动产生的机器可读代码,它既不包括更高级别的语义内容(例如媒体内容或软件),也不包括更低级别的数据物理载体(例如硬盘);信息是从原始数据中加工提炼后形成的语义内容,从数据中提取信息的行为构成了对数据的解释;知识是人类对于客观规律的认识,这些规律可用于预测和指导行为,信息可以改变已有知识并创造新的知识;技术是知识应用的体现,往往表现为以人为载体的知识技能和机器设备体现的技术先进性,并以技术专利或知识产权的形式固化下来。因此,数据与信息、知识、技术处于生产链条的不同环节,数据作为基础输入和原材料,只有通过一系列处理分析转换为信息才能创造价值。
国内外学者的研究表明,与劳动、资本等传统要素相比,数据具有可再生、易流通、外部性、非竞争性等基本属性,主要表现在以下几方面:
一是数据具有使用上的非竞争性。从技术层面而言,数据是无限可用的。一些人对数据的使用并不影响其他人的使用,即数据可以被多个主体同时使用而不会被耗尽,能够持续产生、无限积累。同时,信息技术的进步和通信网络的普及大幅降低了数据复制传输的成本,使得数据易于传播和广泛共享,从而进一步强化数据的非竞争性。非竞争性是数据区别于劳动、资本等传统生产要素的最显著经济特征。
二是数据具有很强的正反馈循环效应。借助数据的广泛全面渗透,企业可以进入一个良性的正反馈循环:生产消费过程中的数据价值挖掘可以帮助企业提高生产率、提升产品服务质量,改进的产品服务又可以吸引更多用户,进而获取更多可用数据,如此形成正反馈循环,迅速扩大数据量并层层放大数据价值。这种正反馈效应也表现为数据网络效应,当越来越多用户使用某产品或服务时,该产品服务对每个用户的价值就越大;特别是对于多边市场平台而言,平台一侧的用户越多、产生的数据量越大,平台对市场另一侧的用户就越有价值和吸引力。
三是数据具有一定的社会公共属性。从单个用户获取的数据不仅涉及关于该特定个人的信息,同时还涉及与该用户类似的用户群体的信息,即采集、处理、共享一部分人的数据会影响到其他更大范围人群的经济福利。例如一个司机与交通应用程序分享他的出行信息,就为附近的其他司机提供了有关路况的信息并帮助找到最佳导航路线;一个人在社交网络中的“赞”可能也表达了网络中其他人的一种情绪。因此,聚合多个人提供的数据可以获得反映社会群体行为信息的“集合”数据,进而产生显著的经济外部性。数据的这种社会公共属性导致无人可以独占数据,至少不完全属于数字平台所有。
三、新技术带来的数据权利构建问题
基于培育发展数据要素市场,充分释放数据要素价值的时代需求,一些学者呼吁通过立法确定数据权属规则,破除数据交易流通的核心障碍。实践中,我国部分示范区开始探索数据权属的新规则。2020年7月,深圳发布《深圳经济特区数据条例(征求意见稿)》,首次提出“数据权”的概念,并根据不同数据类型将数据分别归属为个人、国家和数据要素市场主体。该条例为数据权利建构提供了一种思路,但并未规定不同主体数据权发生冲突时采用的原则,其实践效果有待验证。本文将从权利客体、权利性质和权利保护路径的选择上,探讨数据权利构建问题。
在探讨数据权利构建时,无论是学界还是司法实践,易将隐私、个人信息和除此以外的数据统称为“数据”,进行混同使用,不区分数据类型将所有数据赋以数据权、数据主权,并给予同样的法律保护,造成对数据权利客体界定的混乱,进而影响数据权利体系的建构。本文赞同部分学者的观点,即厘清数据、个人信息与隐私在法律上的概念,对数据权利、个人信息权和隐私权构建不同的使用规则。原因如下:
第一,从法律概念来说,隐私、个人信息和数据关注的重点不同。民法典第1032条第2款将隐私界定为:“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”隐私重在私密性,一旦公开就不再属于隐私。而个人信息重在可识别性,无论是欧盟、美国,还是我国的民法典、个人信息保护法,对个人信息的认识基本达成共识,即已识别或可识别的辨认特定自然人的各种信息,包括姓名、出生日期、身份证件号码、住址、电话号码、电子邮箱地址、行迹信息等。除此以外的数据,应当是匿名化的不具可识别特征的数据信息,切断了与信息主体的关联,即本文所探讨的狭义上的数据。就属性而言,隐私、个人信息和数据三者之间的关系如图1所示:数据的范围最宽泛,基本不具有人格属性,是一种纯粹的财产权益,因而流通性最强;个人信息既包含人格利益也包含一定的财产属性;隐私不包含任何财产属性,具有强烈的人身属性和人格利益。
第二,就理论背景和价值而言,隐私诞生于第一次工业革命与第二次工业革命相交时期,源于对人格权的关注。个人信息则是第三次工业革命的产物,在价值基础上,更关注静态的权利保护。而数据则是伴随着大数据、云计算、移动互联网、人工智能为代表的新一代信息技术的广泛应用而生,数字经济时代对数据要素的流动性提出更高要求。
第三,就立法实践而言,我国现有法律对隐私和个人信息的保护已经比较完备。民法典第1032条第1款规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。”并在第1033条明确指出隐私权侵害行为。侵权责任法第2条将隐私作为一种独立的人格利益。作为一种消极的、防御性的权利,隐私权的侵权责任以权利受侵害为前提。民法典对个人信息的内涵及外延作出明确界定,并在1037条明确了个人信息主体享有的权利:查询权、复制权、更正权和删除权。网络安全法规定了网络运营者收集个人信息的规则和处罚规则。此外,反恐怖主义法、《征信业管理规定》《个人信息和重要数据出境安全评估办法》等规范文件中也涉及对个人信息保护的相关规定,侵害个人信息权可能会涉及民事、行政甚至刑事责任。除隐私和个人信息以外的大量企业数据和工业数据,目前学界对其权利属性和规制模式的界定争议较大,民法典对此采取谨慎和开放式态度,承认数据保护但并不具体规定。
第四,从实际效果来看,单条的隐私或个人信息对个体的人格权益较为重要,但对于促进数字经济的发展而言,脱离了规模化使用的个人数据价值甚微。对单条个人信息过度强调保护或授予绝对财产权,不仅无法破解所有权与使用权无法分离的难题,还会引发数据收集成本高昂,导致数据无法有效汇集的“反公地悲剧”。
综上所述,隐私、个人信息和数据在法律概念、属性、价值和立法实践上都不可一概而论,厘清三者之间的区别,是构建数据权利体系和保护模式的逻辑起点。鉴于数据要素市场化是充分释放数字生产力的关键因素,本文将重点探讨可流通的个人信息和数据的权利构建问题。
目前,学界对数据权利属性尚未达成共识,主要观点有四种:新型人格权说、知识产权说、商业秘密说和财产权说。究其原因,主要是分析对象不同导致的认识差异:以个人数据或个人信息为研究对象容易得出人格权的结论,而以企业数据为研究对象则会倾向财产权或知识产权的认定。不区分主体、范围、种类就直接赋予数据权或数据权利,一方面脱离了大数据产业发展中以及数据主体的不同需求;另一方面也超越了民法典的立法本意,实践中易造成“权利泛化”和数据纠纷滥诉引发的司法成本上升。在民法体系中,权利与权益、绝对权与相对权、人格权与财产权的属性和保护方式都有明显区别,基于个人信息和企业数据的不同属性,本文就两者的权利体系构建和保护进路分别探讨。
从立法结构来看,民法典将“自然人的个人信息受法律保护”置于民事权利一章,紧接于一般人格权和具体人格权之后。在分则中,个人信息保护位列民法典人格权编,并在第1034条至第1039条中,分别规定了个人信息的含义、处理原则与合理使用,并规定了民事主体享有的权利内容。虽未明确赋予“权”的表述,但在权利主体、内容、范围等方面与隐私权等其他人格权明确界分。从立法上来看,个人信息保护法已经审议通过,其立法进路与隐私权的发展路径较为相似。因此有学者认为,将个人信息作为“独立于隐私权的具体人格权进行保护”符合立法趋势。本文认同该观点,并认为应当对“个人数据”和“个人信息”的概念和法律属性作进一步区分。从正当性来源来看,民事主体的个人数据是自我生成的,洛克的财产权劳动理论认为,每一个人对他自己的人身拥有所有权。因此个人数据一旦纳入人格权体系下就具有绝对权属性,生成主体拥有个人数据自决权,即民法典第1037条所规定的查阅或复制权、更正权以及删除权。个人信息不应当具备财产属性,一方面,个人信息中的数据对生成主体来说并无经济价值,生成主体并没有动力和能力将其转化为数据;另一方面,个人数据要想转化为具有财产权属性的信息,必须依赖于海量的、专业的数据处理。因此,个人信息是一种区别于隐私权的新型人格权益。
与个人信息较为清晰的立法结构不同,民法典第127条规定,“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,标志着数据正式进入私法体系调整和保护范围,同时也为数据权利的构建和产业发展留下了探讨空间。笔者认为,基于数据要素流通的需求和数据的特性,企业对数据应当拥有财产性权益,理由如下:
第一,数据是非竞争性物品,同一批数据可以同时被多人挖掘和分析,其价值在共享中不断增长,产生叠加效应和衍生价值,且不会损害数据本身。传统的物权法律体系中,通过对物的私人占有而产生的激励机制在数据这种新型生产要素上无法实现。因此,在数据作为生产资料主导的生产关系变革中,占有和使用可以相分离,不符合“排他性”和“一物一权”的传统物权体系。司法实践中,基于“物权法定原则”,法院也否定了网络运营者享有大数据产品的财产所有权。
第二,数据具有稀缺性。尽管数据具有“使用非损耗”的特性,但企业通过投入大量的劳动成本采集并处理的数据集合蕴藏着经济利益,可以为企业带来竞争优势。从洛克的劳动权理论出发,使“任何东西脱离自然所提供的和那个东西所处的状态”即掺杂了劳动,是获得财产权的基础。企业为整合数据资源、生产数据产品所付出的增值性劳动是一种生产资料,具有稀缺性。而相较于庞大的数据量,真正能创造价值的数据也是稀缺的。因此,企业应当对数据具有一定的财产权益。法院在淘宝诉美景大数据产品案的审理中指出,淘宝对原始数据经过收集、脱敏化处理、提炼整合的衍生数据现有竞争性财产权益。但劳动者只能得到其中劳动增值的部分,企业对数据的财产权益也仅限于脱离了数据原始状态、实际增值劳动的部分。
基于数据的属性,不具备所有权“恒久的、绝对的、排他的权利特征”,如果将其认定为一种新型的财产所有权,传统民法物权体系的根基就要受到动摇。实践中,将数据权界定为绝对权,也容易引发头部企业的数据垄断问题,难以实现数据要素的市场化配置。从实际效果来看,基于数据的共享性,企业也很难对数据进行物理上的占有或登记。另一方面,企业通过算力和算法的技术积累对原始数据进行加工提炼,推动精细化专业分工,提升社会财富的创造水平,具备经济价值。因此,数据虽然难以归于类型化的法定财产权,但其受法律保护、实践中也得到司法裁判的认可,应当被认定为财产权益,正如学者李晓宇所述,“企业数据利益本质上是一种支配属性的控制权,其呈现的排他性效力是一种弱于所有权,但强于相对权的支配权”。
世界范围内,欧盟对个人数据的保护是赋权保护的代表。被誉为数据领域“哥白尼革命”欧盟一般数据保护条例(GDPR)是世界上第一部体系化的数据法典,它赋予数据主体广泛的自决权和对自身数据绝对的控制权,并设计了严苛的监管手段和处罚机制,确保为个人数据提供充分的保护。为了促进大数据的开发利用,欧盟引入公法机制平衡权利保护与自由流通,并建立新规则,允许企业获取公共和个人数据。
美国秉持网络自治的数据价值观,联邦范围内未建立统一的数据法典,对数据实行以“自由市场+行业强监管”为基础的行为规制模式,在金融、儿童、医疗等特殊行业制定专门法律保护数据,实施分类监管。如金融领域的金融服务法现代化法案,儿童信息领域的儿童在线隐私保护法和家庭教育权和隐私权法、医疗健康领域的健康保险流通和责任法。而各州建立起以加州消费者隐私法案为代表的数据保护法,通过扩张的隐私权保护个人信息。作为判例法国家,无论是爬虫纠纷、行业准入还是数据交易判决中,法官都倾向于回避数据权属的问题(表1),而是基于反不正当竞争法禁止他人不当盗用。总体上,美国的自由市场经济基因否认数据主体对数据的排他性、支配性权利,而是给予市场主体充分自由,仅在企业的数据处理行为有侵犯个人隐私之虞时提供保护。
尽管美欧的数据保护和运用模式大相径庭,但在实践中不断吸收彼此的优势,在数据权属的认定上达成以下共识:第一,对数据类型进行区分,并实行不同的保护标准。对于个人数据,欧盟以信息自决权为核心,实施严格的积极保护;美国以隐私权为中心,并在司法实践中对隐私信息的认定采取放宽态度。对于企业数据,欧盟对其采用“数据库财产权和数据生产者权并存的保护机制”;美国采用合同法与竞争法对企业不当利用数据的行为进行规制,皆未直接承认企业的数据权利。第二,引入私法和公法相结合的规制模式,来平衡数据多元客体的多维权益。
司法实践中,涉及数据权益的案件主要有两类:一类是个人与企业之间关于个人信息与隐私的纠纷;另一类是企业之间关于数据使用和竞争权益的纠纷。前者以“微信读书案”为典型,该类案件中,法院对原告主张个人信息保护的诉求给予支持,但对隐私的认定较为严格,要“结合信息内容、处理场景、处理方式等进行符合社会一般合理认知的判断”。这一点与美国加州消费者隐私权法案的立法要旨接近,即根据个案中的具体场景进行风险评估,强调隐私的动态性。另一方面也说明,通过隐私权对个人信息进行救济的证明难度较大,维权案例以败诉居多。
随着平台经济与大数据产业的发展,企业之间围绕数据使用产生的争议屡见报端(见表1),法院在多样化的实践样本中探索出更为精细的裁判规则,企业间数据权益的使用边界和流通规则也不断明晰。就企业对个人数据的使用方面,“新浪诉脉脉案”确立了“用户授权+平台授权+用户授权”的三重授权原则。就企业公共数据采集方面,“蚂蚁金服诉企查查案”确立了来源合法、注重时效、保障质量、敏感信息校验等基本原则。就企业数据性质和归属方面,“微信群控案”对数据进行分层分类,认定数据资源整体与单一数据个体享有不同的数据权益。就企业数据权益方面,“淘宝诉美景案”确认企业对其数据产品享有独立的财产权益。总体来说,为充分释放数据要素价值,多数法院认为企业对投入劳动而得的数据产品能够带来商业利益和竞争优势,应当享有财产性权益。法院普遍使用反不正当竞争法第2条和第12条第4款作为判定的法律依据。
四、数据生产要素流通视角下数据权利构建的反思
尽管现有法律体系尚未明确界定数据权属问题,但根据立法趋势与司法实践可大致窥见我国的数据权利构建框架:对数据权益进行界分,并根据不同的权利属性进行相对应的保护模式,采取“对个人信息的赋权保护+对企业数据权益使用行为规制保护”的双重进路。本文认为,我国对数据权利的分类、定性与保护提供了一条切实可行的路径,原因如下:
第一,借鉴吸收了欧美数据权属界定及保护的有益启示。在个人信息保护方面,同为大陆法系国家,欧盟GDPR对我国数据立法影响深刻,从民法典的人格权编,到个人信息保护法和国家标准《个人信息安全规范》,在个人信息的定义、主体权利、处理原则、个人信息泄露时的告知义务等方面几乎全盘借鉴GDPR的精髓。而在非个人数据方面,我国虽将数据纳入民法调整范围,却并未明确界定该类数据的性质权属。实践中,除了落入知识产权法规制范围的类型化数据(如具有独创性的数据库、计算机程序等),企业可基于“法无禁止即自由”的原则,对数据进行自由处理,法院一般通过竞争法解决纠纷,规制企业数据的使用行为。这一点与推崇“以促进数据自由流动和便捷交易为价值取向”的美国模式较为接近。
第二,符合科技立法的底层逻辑和基本规律。立法活动是将社会生活“类行为”上升为法律规范的过程。大数据具有较高的技术性,属于科技立法的范畴,需要依托产业发展实际和经济发展需求,自下而上的归纳出数据治理的一般规律。近年来,我国在互联网相关领域一直秉持审慎包容的立法精神,为互联网产业的健康有序发展提供了优越的制度空间。数据权属在世界范围内尚未达成共识,在我国类型化程度并不高,更应当根据大数据发展所处的阶段进行审慎的本土化设计。
第三,符合产业发展实际和经济发展需求。目前,我国数据产业规模持续扩张,进入应用发展阶段,但总体上来说数据质量、数据技术和标准与国外仍有差距。立法赋权是一道“护城河”,为数据设立明确的权利边界,其“强约束”的特征也会束缚技术发展和产业创新,可能加剧和强化数据资源优势企业的“数据垄断”。党的十九届四中全会将数据纳入生产要素,对数据权益归属的界定应当回归数据社会资源属性,需兼顾多元主体的利益平衡基础上,对社会经济效益及法律规制成本综合考量。
尽管我国数据权利构建的基本框架初见雏形,但实践中,一些规则的适用和权属界定依然处于探索状态,由此衍生出个人用户与企业二元对立、企业之间数据不当利用等问题。
平台经济下,个人信息是企业数据的重要来源。个人信息在被收集和利用的过程中,如果过于强调其人格权益,信息收集者将面临巨量的时间精力成本,不利于数据价值的释放;如果不重视人格权益的保护,则导致个人信息违规收集和信息泄露。据统计,几乎所有的APP都存在超范围索要权限的情况,平均每个APP申请收集个人信息相关权限有10项,而用户不同意开启则无法安装App或运行的权限数平均仅为3项。违规收集的个人信息具有泄露风险,目前数据泄露的平均成本高达392万美元。目前,以“知情—同意”为核心的个人信息保护规则已纳入民法典,但依然面临着实施困境和内在悖论:如果个人信息主体不接受声明,则无法获得信息收集者提供的产品或者服务,陷入全有或全无的状态中。而企业为了规避法律风险,设置了冗长晦涩的知情同意文件,用户阅读知晓的时间成本高昂,通过浏览授权须知达到“知情—同意”的做法收效甚微。我国网络安全法和《个人信息安全规范》,对个人信息全生命周期都作出“明示同意”的制度安排,该标准甚至严于GDPR,排除了民法典第140条对意思表示“默示同意”的适用空间。本文认为,在个人信息收集过程中,针对不涉及人格尊严等具有强烈人身属性的个人信息,有必要引入默示同意规则,即“opt-out”模式,建立个人信息退出机制,将个人信息自决权扩张到数据收集、加工、使用全生命周期,在任何阶段其合法权益受到侵害时,可以否决已作出的“同意”表示。也有学者提出利用“卡—梅框架”的财产规则,将“同意”作为企业与个人建立契约关系的意思表示,企业为个人提供数字化服务,个人提供数据并接受企业对数据的处理作为对价。
数据被誉为第四次科技革命的“石油”,是企业开展商业竞争的关键生产要素。近年来,企业围绕数据争夺愈加激烈,国内外接连发生数据使用争议,包括腾讯华为之争、hiQLabs诉LinkedIn案、新浪诉脉脉案等。头部平台用户规模巨大且横跨多个商业领域,“使用者反馈”强化其数据收集能力,基于先进算法和强大算力提升产品服务质量,获得竞争优势,导致“数据垄断”和数据不正当竞争频发。也有企业依据收集到的用户购买习惯相关数据,针对用户进行“大数据杀熟”和价格歧视,侵害消费者福利。目前,针对企业间的数据纠纷,法院一般认定数据控制者对其大数据产品享有的财产权益是相对的、防御性的,即通过反不正当竞争法的一般条款,认定其他数据利用者构成竞争关系,侵害数据控制者的竞争利益,并在实践中不断细化、完善裁判规则。而关于数据垄断纠纷大多无疾而终,缺乏相关的数据反垄断规则。对于企业数据来说,更重要的是建立畅通的交易和流通机制。本文认为,尽管数据与知识产权性质上有差异,但同属于具备共享性的无形生产要素,数据可借鉴知识产权许可制度,建立财产规则。通过合同条款约定数据开放范围,在合同约定的基础上实现数据使用权的灵活交易。部分学者提出引入“数据信托”机制,即建立第三方数据管理机构作为受托人,赋予其更大的权限,并承担更严格的信义义务以确保数据交易的安全互利。相比于传统模式,信托机制以信义义务实现了数据控制人与数据主体之间权利义务的不均衡配置,因此被应用于美欧等地的数据治理实践中,较为典型的是英国人工智能实验室与开放数据研究所(ODI)合作建立的“数据信托”实验点。
结语
新技术的颠覆式创新对传统生产要素和数据生产要素的权利保护提出挑战,新技术引发的新业态对传统生产要素所形成的生产关系认定标准产生巨大冲击,权利主体对信息的从属性增强。对于此类问题,根据国务院办公厅发布《关于促进平台经济规范健康发展的指导意见》,应当“避免用老办法管理新业态”,通过司法实践和政策调整形成个案示范效应。而研究新技术语境下的权利构建问题,需遵循法律的基本逻辑,从主体、客体、权利属性和权利保护路径等方面进行论证。具体而言,一是要厘清隐私、个人信息和数据的区别。二是要厘清权利与权益的区别,数据生成主体即个人拥有独立于隐私权的人格权益,数据处理主体对非个人信息的数据拥有一定的数据支配权和财产权益。三是针对不同的数据类型,采取“对个人信息的赋权保护+对企业数据权益使用行为规制保护”的双重进路。当然,数据治理是全局性、系统性工程,数据权利构建是前提而非目的,还需要结合利益的多元化诉求和社会经济发展需求,依托监管、经济、技术、司法等多种手段综合治理。
往期精彩回顾
郭子訸:个人信息跨境流动中的保护与监管——以总体国家安全观为视角
上海市法学会官网
http://www.sls.org.cn