其他
时明涛|作为新型财产权客体的数据及其法律保护
数据如何保护是长期以来困扰我国理论研究与司法实践的重大难题之一。这一方面是因为数据之上的多元利益属性,使得数据权益保护需要平衡多方面的利益。另一方面则是由于数据无形财产的本质特征,使得其权益保护需要综合考虑多种因素。数据的多元利益属性决定了单一路径的保护方式难以满足数据流通、保护与利用的多种需求。数据作为无形财产的客体特征,决定了数据的类型与价值属性将对其权益保护规则产生重要影响。我国现行法律体系中数据可以作为一类民事权益而单独存在,但数据的权益内容、行使条件与权利限制等,只能通过单独立法的方式加以实现。
(一)作为财产权客体的“数据”
1.作为财产权客体的数据应当具备一定的“量”
无论是“数据资源”还是“数据资产”都是数据汇聚所产生的结果。本质上,无论是何种类型的数据,在到达一定的量之前都难以具有明显的经济价值。有学者指出,单一数据之上的财产价值是极其微弱的,甚至可以忽略不计。对数据控制者而言,仅取得个人数据并不会带来直接的经济收益,反而可能会因此受到个人信息保护法的拘束。有价值的,实际上是数据汇聚之后所反映出来的事实或者联系,如个人偏好、信用信息、消费习惯等。对于此类数据的收集与利用往往需要经由信息主体的同意,数据控制者也难以因为简单的收集行为而取得数据所有权。既然如此,那么数据控制者对其合法收集的数据是否应当享有一定的权益呢?答案应当是肯定的。一方面,只有赋予数据控制企业一定的数据处理权限才能正当化其个人数据的保护职责。作为数据利用最主要的私法主体,企业数据的收集、储存、分类将成为大数据来源的重要基础。另一方面,赋予企业对个人数据的控制者权益有利于激励企业为保护和利用个人数据而努力。大数据时代,数据收集和利用已无处不在。对此,有的学者以数据界权会影响数据流通为由,主张数据应为公共产品。但事实可能恰恰相反。在缺乏权益归属的清晰界定时,数据利用的公地悲剧将无处不在。2.作为财产权客体的数据应当具备一定的“质”
对数据“质”的要求是大数据时代的必然。首先,对数据质的要求是数据产生价值的前提。在企业的数据生产实践中,困扰数据加工者的难题已并非数据的获取问题,而是数据收集过程中因大量的“冗余”而产生的成本。从资产意义上讲,对企业而言数据资产应当是指可读取、可计量、有价值的数据集合。从价值意义上看,数据质量和数据数量同等重要。从错误的数据中,只能导出错误的分析结果,不仅可能使整个数据集变得毫无价值,还有可能造成新的损失。在数据分析中百分之八十的时间都被用来收集、清洗和组织数据。其次,对数据质的要求是数据流通与共享的保障。价值性是数据保护之本。数据是否具有价值主要是由其记录的真实性所决定的。无论是原始数据,还是衍生数据,数据所反映的客观情况是数据关联性分析的前提,也是通过数据获取新知,进行决策和预测未来的关键所在。3.作为财产权客体的“数据”应当具有清晰的权利边界
财产权的赋予具有重要的社会意义。一方面财产权的界定可以防止整个社会为了争夺无主财产而陷入无意义的纠纷,徒增社会成本;另一方面赋予财产权能够使财产得到及时地维护、高效地利用和流转,以利于社会整体财富的增加。与有体财产不同,无形财产的权利边界主要是依靠法律规则来构建的。比如,著作权、专利权、商标权中的专有权利内容及其限制等。以数据作为财产权客体意味着权利主体对数据享有哪些权利必须由立法者加以决定。这主要是因为,司法实践中由裁判者在个案中广泛地进行利益衡量只能是一种过渡性的选择:一方面个案中的利益衡量不利于建立稳定的行为预期和行动边界,另一方面个案衡量容易受到众多因素的干扰,难以形成成熟、稳定和有序的数据市场秩序。4.数据财产权保护的特殊性
与有体物的保护不同,无形财产权的保护几乎完全依赖于法律规则的建构。这一点在知识产权的保护中已体现得十分明显,比如著作权人所享有的复制权、改编权、保护作品完整权等权利内容及其行使界限无一不是由立法规则加以确立的。与知识产权保护创造性的智力成果有所不同,数据之上的价值附加通常并不明显,其内容也不具有实质意义上的创新性,因此无法建立起一般意义上的排他性垄断权。这也是数据通常无法获得知识产权保护的主要原因。数据之上虽然可能具有人格属性,但却不是数据控制者的人格利益,而是数据所反映或者揭示的他人的隐私内容,因此数据财产权的行使有可能会侵害他人的隐私权。数据具有累积效应,并可能反映出信息主体的人格特质,因而数据控制者可以据此进行针对性的营销,由此可能影响信息主体的自我决定。以上两点共同决定了数据财产权行使需要遵守相应的行为规范,否则可能侵害信息主体的人格权益。数据财产权的保护还需要满足特定的条件,比如数据来源的合法性要件,数据利益构成中质和量的要求等。数据的有用性同时取决于数据的真实性、数据量的大小、数据分析的目的与手段,因此数据的流通与汇聚、数据质量、分析工具等就显得尤为重要。错误的数据和错误的分析工具同样会导向错误的分析结果。
(二)数据财产权的特征
数据财产与数据财产权分属不同层次的领域。数据的财产是指数据具有一定的经济和社会价值,可以直接或者间接地为社会的经济发展带来益处,即数据具有生产要素的基本功能。但数据财产权则是从法律的角度界定何为数据财产权及其保护方式。一方面数据财产权受制于数据的客体特征;另一方面数据财产权与数据的保护需求息息相关。1.数据财产权的层次性
数据之上具有复杂的利益构成,因此过于简单化地提出“数据权”或“数据财产权”的概念,并不符合数据利用的现实情况。事实上,数据原本应当自由流通和利用,以最大限度地发挥其经济社会价值。但为了避免公地悲剧和劣币驱逐良币,赋予数据控制者一定程度的排他性权益就显得尤为必要。但值得注意的是,排他性本身具有程度的差别。因此,在不区分排他性强弱的基础上批评赋权保护会严重阻碍数据流通的观点是不严谨的。比如在公开数据的情形下,数据财产权益的排他性可能只是排除他人的非法利用,而在数据集合的语境下,排他性就意味着想要获取数据就要取得数据控制者的授权许可。从本质上讲,排他性的强弱意味着法律对数据权益的保护强度。这就需要考虑到保护的必要性以及提供何种程度的保护。以数据价值形成的视角观察,从数据的收集、加工、汇集到数据产品的形成,各阶段需要付出的成本和保护的必要性均有所不同。由此产生了不同类型数据在保护程度上的差别。简单来说,原始数据的收集成本最低,数据控制者的利益附加最不明显,因此仅需提供有限度的排他性保护。加工数据(包括匿名数据和假名数据)体现了数据控制者的劳动与价值附加,但因二者对数据主体的隐私风险有所不同(通常情形下匿名数据更优),因此数据控制者对匿名数据应享有更为完整的财产性权益,比如可以长期储存、使用、收益和处分。而假名数据虽已消除部分风险(去除了直接标识符),但本质上仍属个人信息的范畴,因此数据控制者仅享有比原始数据更多的数据权益,如可以长期储存、内部使用,但应限制其提供给第三人,并须承担风险评估与危险报告义务等。数据控制者对每一类型数据所享有的不同权益,从义务相对人的角度,则是其他市场主体必须予以尊重的利益。由此可以逐渐明晰数据利用的外部秩序。每一阶段的排他性程度应如何确定?如何才能在激励与保护之间取得平衡?这一问题虽然至今无法达成共识。但借助于传统民法中的权益区分保护方法,可以构建出内容完整和层次清晰的保护体系。首先,数据财产权益的取得应当具有正当性。数据财产权益的取得,既要符合财产性权益取得的一般性要件(合法收集),也要具有一定的价值附加(有用性),如此才能正当化权益取得。其次,数据财产权的层次性就是依据数据控制者对数据价值的贡献而区分其数据权益。依此可将数据权益根据客体之不同而区分为数据产品、数据集合、匿名数据和假名数据。最后,权利和权益保护程度和方法之不同可以对应数据控制者的贡献程度。2.数据财产权内容上的多元性
对于数据财产权的多元性,有学者将其形容为“权利束”,其主要理由在于数据之上权利内容具有多元性,比如既有可能具有人格权益,也有可能包含财产权益,还有可能是两者的混合。然而,这种观点显然没有区分“个人数据”和“非个人数据”,由此导致其所主张的“数据权”可能是一个大杂烩。若再对比知识产权研究中的“权利束”观念,对数据权是一个权利束的观点大可不必太过惊奇。因为著作权就是由复制、改编、保护作品完整、信息网络传播等多种权利组成的“权利束”。想要清晰地了解著作权究竟是什么,就必须从著作权的各项具体权能入手,但想要从整体上观察著作权,又会发现除了模糊地将其形容为各类权利组成的“束”之外,似乎并没有更好的办法。事实上,“权利束”不过是观察综合性权利的一种视角,未尝不能用来形容诸如所有权、用益物权、担保物权等传统大陆法系的权利类型。但除此之外,其功能恐怕也就仅限于观察而已。将数据权形容为“权利束”还有可能使人误认为“数据权”不过是类似于“所有权”的一种权利类型,其下甚至可以派生出诸如占有权、用益权和担保权等权利体系。事实上,权利束的观念容易使“数据财产权”陷入不必要的复杂争论之中,令原本可能多元的数据权利腹背受敌。从上文有关数据财产权层次性的论述中可以看出,数据财产权的具体内容是由其数据的具体类型所决定的,此种保护方法可以形象地称之为“依据客体特点的权益保护路径”。其最大的特点是客体不同,则权利内容不同,客体有所变化,则权利内容发生相应的变化。现行权利类型中最具相似性的比如数据库权利,数据库中本身可能包含有作品、不构成作品的资料或者其他类型的数据,但这并不妨碍数据库在整体上获得保护。数据库既有可能构成著作权法意义上的作品(汇编作品),也有可能因其内容的属性而构成商业秘密,或者是因所有者的持续性投入而获得特别权利的保护。上述几类权利保护方法在权利内容上均有所不同,但并不妨碍对数据库的多种保护形式。本质上,数据库受法律保护的主要原因在其保护的必要性,而非在客观上能够符合已有权利谱系中的某种类型。3.数据财产权保护的限定性
与有形财产的使用有所不同,无形财产最大的特征在于利用方式上的非竞争性,即数据可以同时为多人使用而不会发生有形的损耗。就此而言,在数据之上设立财产权似乎是非效率的,由此产生了赋权保护说与行为规制说的理论争议。与著作权、专利权、商标权等专有性财产权有所不同,数据财产权的保护有必要考虑数据流通与汇聚的需要。这是由数据价值的发生机制所决定的。数据之所以能够产生价值,并不是因为其内容本身的创造性,而是因为数据背后所反映的客观事实或者潜在联系,如通过个人数据的汇聚可以发现信息主体的偏好,通过对大量数据之间的关联性分析可以为商业决策提供参考。由此,在单一数据之上设立财产权显然是非效率的,也不符合数据的价值规律。知识产权制度的保护对象为创造性的智力成果,其本身属于垄断性质的专有权利。只有赋予知识创造者一定期限的排他性权利,才能使知识的创造者获取预期收益,从而鼓励知识创新行为。数据权益保护的对象为记录信息的客观数据,与知识的创造者具有明显差异,数据发挥价值的前提是数据的汇聚,二者的保护对象有所差异。数据汇聚是数据价值发挥的前提条件,数据分析是数据利用的主要途径。三、数据财产权的保护方式对于数据财产权保护而言,行为规制与赋权保护各有其优势与局限。行为规制主要依赖于行政执法机关的主动执法,由此可能比司法救济更具效率性和有威慑效果。但完全依赖于行政执法也可能使权益损害不能获得及时有效的救济,或者因行政执法资源有限而难以取得良好的执法效果。对此赋权保护的路径具有重要的补充作用。此外,行政裁量的空间过大也是行为规制备受争议的原因之一。相比之下,赋权保护的作用在于确立私法主体对数据合法权益的同时,一方面有利于划定权利边界与自由行动的范围,另一方面有利于私法权益的有效救济。但赋权保护也有一定的局限,即可能同时限制或者阻碍有价值数据的自由流通。
(一)数据财产权保护的特殊性
数据财产权的保护实际上是将数据之上的合法利益划归特定的主体,至于财产权的实际内容则应根据保护客体的需要由特别立法予以建构。从上文的分类可知,数据权益保护已经呈现出有别于传统民事权利的新特征。首先,数据财产权的保护方式有别于传统的物权和债权。物权的保护对象是物的使用与支配,债权的保护对象是债务人的给付,二者均属于财产性质的权利,差异主要体现在义务人的范围有所不同,即物权是绝对性质的权利,其义务人为权利人之外的一切人,而债权具有相对性,仅对相对人产生拘束力。与之相比,数据财产权的内容取决于立法者的规定(区别于债权),并且其立法目的具有多元性。数据财产权的保护对象不仅是数据的占有与利用,更为重要的是鼓励数据的合理流通。正因为数据具有非消耗性的特点,因此可以说流通和利用是数据财产权保护的核心要义。其次,数据财产权保护有别于知识产权。知识产权的保护对象主要是创造性的智力成果,虽然知识产权本质上也是信息,但却具有垄断和排他的特质。数据权益保护的内容不仅包括数据的存在形式,更主要的是数据的流通和利用的价值。换言之,知识产权的立法目的在于控制信息内容的获取和保障利益的归属,从而鼓励创造性的智力劳动。但数据权益保护的立法宗旨除了维护数据控制者的合法权益外,更重要的是鼓励数据的流通和分享,从而最大限度地发挥数据的社会价值。现阶段,国内对数据权益保护的争议焦点也多集中于此,赋权保护说强调数据权益的保护,行为规制说强调数据的自由流通。但事实上,单一视角下的数据权益保护都可能走向数据利益维护的反面。究其原因在于,数据之上具有非常复杂的利益构成,无论是赋权保护还是行为规制都有其难以克服的自身局限。因此本文尝试在赋权保护的基础上,引入行为规制的合理内容,即为数据控制者设置相应的行为义务,并从数据权益限制的角度防止过度阻碍数据的流通。其基本方法主要是在民法典的规范体系内嫁接数据特别立法的分支,以期形成以民法典为主干、特别法为枝叶的数据权益保护体系。再次,数据财产权区别于数据库权利。数据库的保护困境与数据财产权的保护具有诸多相似之处。由于数据库本质上是对作品、数据以及其他材料的汇编。因而除了在编辑和排列方面具有独创性之外,通常意义上的数据库难以获得著作权法的保护。事实上,数据库的价值也并非体现为编辑或者排列方式上的独创性。相反,越是有价值的数据库越难以在编辑或者排列方式上表现出独创性。这是因为,数据库的价值在于包含作品、资料和数据的广度与深度。对于数据库而言,持续而大量的投入是必要的。数据资料收集的全面性要求数据库在编辑时践行“最少选择”原则,由此造成了一个悖论:“越是有商业价值的数据库越难得到版权法的保护,越是没有商业价值的数据库反而越有可能成为版权法保护的对象”。这与保护创作性智力成果的知识产权具有根本性的不同。为了适应数据库保护的特殊需要,《欧盟数据库保护指令》创设了有别于传统著作权的“特别保护权”(Sui Generis Right)对其进行专门保护。相较而言,数据财产权的保护也面临类似的问题,即通常意义上的数据不过是对事实的数据化,难以体现为创造性的智力成果。尽管现代数据分析技术可以从数据中发现商业价值,但数据本身却难以满足任何独创性的要求。与数据库权利不同的是,数据还具有明显的共享性特征。这意味着任何人为设定的排他性权利,都有可能实质地阻碍数据的流通与共享,从而产生数据孤岛现象。
(二)数据财产权的保护方式与责任规制
与传统有体物的保护有所不同,数据财产权的保护更加复杂,需要兼顾利用与保护等多种利益之间的平衡。由此决定了数据财产权的保护方式与有体物的保护方式有所不同。数据的收集、使用、分析都需要投入相应的成本,因此需要给予控制者一定的财产性利益,比如占有权、使用权和有限排他权。数据无形财产的特质决定了法律赋权保护的必要性,但数据财产权益的配置是否会影响其他数据相关者的利益?又如何防止数据财产权的保护走向数据垄断与数据孤岛?对此需要从财产权的取得以及设置相应义务的角度,对数据财产权的内容加以限定。其一,数据财产权内部具有层次性。对于原始数据、匿名加工数据、数据集合、数据产品等不同类型的数据,有必要构建不同的权利内容及其行使方式。比如对于原始数据而言,由于数据控制者的价值附加有限,数据又以流通为其价值发挥的主要途径,因此其收集者仅享有限制性的排他权(如对抗恶意数据爬取等),而不享有其他的积极权能。对于匿名加工数据,因其已经消灭了数据的隐私风险,消除了数据之上的人格属性,因此数据控制者对其应当享有较为完整的财产性权利,如可以授权使用、买卖、加工、传输等。其二,数据财产权的保护具有限制性。在数据权益保护研究的早期,学者们多寄希望于用所有权的方式来解决数据保护问题。但由于所有权的完整排他形象,使其理论主张多受诟病。事实上,财产权与所有权之不同,可以从权利限制的角度加以理解。所有权是最完整和限制程度最少的财产权类型。数据财产权之所以具有限制性,主要是因为数据之上的多元利益属性,使得所有权的保护模式会严重阻碍数据的流通和利益相关者的权益救济。数据财产权的限制性还体现在数据财产的保护方式上。由于个人数据与非个人数据很难区分,大多数情况下二者都混合存在于某类数据集合之中。对此类数据集合的利用需要受到个人信息保护法的规制当无疑问。但如果认为数据控制者对此类数据集合不享有任何财产权益,则不但与事实情况完全相悖,也会使得数据的价值无从发挥作用。应当考虑的路径是,承认企业对此类数据集合的财产性权益,但同时需要给予一定的行为限制。限制的方法应当以公法为主,比如现阶段主要依据个人信息保护法、数据安全法进行规制。数据还具有非竞争性和非消耗性的特点,由此决定了完全排他性的保护可能会阻碍数据的合理流通,因此数据财产权的限制还体现在数据权益排他性的强度与范围之上。其三,数据财产权的行使需要负担主体责任。数据控制者并非单纯意义上的财产所有人,这是由数据财产的特殊性所决定的。数据控制者的财产权益也与通常意义上的所有权相区别。这主要是因为所有权是一项较为完整的权利,而数据财产权因客体不同而表现出一定的差异。数据财产权的行使还需要负担一定的主体责任,这是由数据之上的多元利益属性决定的,也与数据财产价值的发生机制密切相关。数据财产权的特殊性决定了数据权益主体承担义务的正当性。
(三)时数据财产权的行为规制及其限度
1.对个人数据利用的行为规制
多数对数据财产权的担忧都指向财产权的排他属性会侵害个人数据权益,这种担忧的起点是将数据财产权理解为具有绝对性质的权利。数据还具有累积效应,掌握越多的数据就意味着数据控制者将拥有更为强大的力量。这其中就包括算法工具的运用所产生的分选与歧视问题。平台还具有规模效应,要么接受要么退出的服务条款意味着用户难以获得与平台相抗衡的能力。从平台所公布的隐私政策来看,大多是一种冗长繁复、又缺乏执行力度的空白条款。这些担心虽不无道理,却忽视了财产权的限制性。对数据财产权的限制,可以从法律规制的内在和外在两个层面加以理解。从上文的论述不难看出,数据财产权的形成需要考虑到数据来源的合法性,由此形成了数据财产权的内在限制。另外,个人数据处理的合规要求可以理解为个人信息权益对数据财产权的外部限制。从个人数据权益保护的角度,对数据控制者利用行为的外在限制主要是通过私人协议与行为规制相结合的方式。2.对公开数据利用的行为规制
在讨论赋权保护与行为规制优缺点的时候,不少学者有意或者无意地忽略了公开数据与非公开数据之间的保护区别。事实上,若不区分数据是否已公开而一律认为“数据确权会阻碍数据流通”,则未能正确理解数据流通秩序与数据权益保护之间的关系。允许数据控制者对已公开的数据行使控制权,当然会影响数据的流通与利用。但没有理由反过来认为数据控制者对其正常经营过程中所产生的数据均负有公开的义务。这就如同没有人会强迫企业公开其商业秘密或者客户信息,道理是一样的。至于公开数据或称“可自由获取的数据”则有所不同,这是因为公开数据可获取是基于互联网开放与共享的基本原则,获取此类数据与获取布告栏中的公示信息并无本质不同。关键在于获取的方式是否遵守信息利用的基本规则,是否侵害了信息发布者的利益,否者数据控制者便无权禁止他人获取已公开信息。正如学者所言,公开数据本质上属于竞争性的财产权益,应适用反不正当竞争法的行为规制路径。但需要补充的是,公开数据的利用规制并不仅限于竞争法,其他法律规范甚至技术规范在行为正当性的判断方面都具有重要的作用。比如利用已公开的数据需要遵循个人信息保护法的规定,避免对个人信息权益造成损害;利用政府公开数据需要遵循数据安全原则,并保护数据利益相关者的权益等。3.数据利用行为的竞争法规制
数据财产权本质是私权,其目标在于维护私法主体的合法权益。而竞争法具有公法的属性,其主要致力于维护社会公共利益。由此似乎意味着二者保护的法益有所不同,难以在同一法律体系中共存。事实上,从无形财产的发展历程可以得知,在法律尚未作出制度安排之时,通常都是由竞争法来发挥兜底保护功能的。这与竞争法所保护法益的二元属性有关,即竞争秩序虽然主要是一种公共利益,但在其被违反的情形下总是同时存在着私益受损的情形。从法律属性的角度,数据财产权的功能在于明确数据权益的归属与交换利益的可预期,而竞争法主要调整数据利用的外部秩序,即自由竞争秩序的保障。从行为规制的角度,竞争法对数据利用外部秩序的规制主要体现在以下方面:其一,数据的收集与利用不得扰乱正常的市场竞争秩序。这在一些司法案例中已有充分体现。其二,数据控制者不得利用数据的规模效应限制或者排除竞争。数据的大规模收集与利用会产生强大的网状效应,从而导致赢者通吃的局面。具有市场垄断地位的控制者还有可能通过收购的方式来消灭潜在的竞争对手,从而达到事实上排除或限制竞争的目的。此类行为显然已经超越了私益保护的界限,有赖于法律授权专门的执法机构对此类行为的正当性进行界定。其三,数据财产权的取得与行使应当具有正当性。数据的收集、利用、共享等行为应当遵循目的合法性、方式公开性与规则透明性三项准则。
往期精彩回顾
池梓源|生成式人工智能背景下著作权的刑法保护研究——以ChatGPT为例娄卫阳|中国对接DEPA数字产品规则的挑战和应对策略李佳 王斌|网络知识产权犯罪刑附民的必要性与正当性——以被害人的损失填补为视角郭轩扬|物格与权利束双重视角下的基因权利保护研究
袁秀挺 梁勋|植物新品种权保护范围的界定与扩张——兼评最高人民法院指导案例160号
赵拥军|论数据资源持有权的刑法面相
上海市法学会官网
http://www.sls.org.cn