“数据二十条”提出“数据加工使用权”概念,旨在通过抽象的“使用权”对数据使用者的正当利益进行承认和保护。数据加工使用权的本质是一项财产性法益,由于数据具有天然的可用性并且不易受到可用性损害,数据加工使用权的权益归属判断主要集中在“已用财产法益”的分配正义。数据加工使用权划出的法益边界,消极的一面聚焦于是否存在责任承担,积极的一面聚焦于保有利益的正当性基础。在数据加工使用权的具体适用方面,需要通过界定“不法”从而明确“适法”的范围,并建立不同层次的权益归属规则。
如何构建数据使用规则,已成为全球数字社会发展面临的重大命题。针对具有识别性、关联性的个人数据,社会已经普遍意识到不能片面追求个人数据保护而忽视发展利益,开始积极寻求一种激励相容的个人数据治理方式,并产生了数据所有权、数据用益权、数据知识产权,以及一般性的数据财产权等解释路径。“数据二十条”正式提出了数据资源持有权、数据加工使用权、数据产品经营权的“三权分置”概念,如何将“激活数据要素潜能”的政治意愿融入法学话语体系,是法学工作者的重要任务。考虑到数据要素的价值在于汇集和满足不同计算分析目的的使用行为,对数据加工使用权的界定是明确权益归属判断的关键,并承接了从“持有”到“经营”的逻辑枢纽。如何理解私法视角下的“使用”,对数据的使用如何影响法律意义上的权益归属判断,如何理解数据加工使用权的法律属性?这些问题直接影响到政策层面的“三权分置”如何在法学层面落地,并决定了在具体案件中的利益平衡工具应当如何设计,从而妥适缓和数据来源者权益、数据资源持有者权益与数据使用者权益之间的内在张力。“数据二十条”提出“数据加工使用权”概念的实质,旨在通过抽象的“使用权”对数据使用者的权益进行承认和保护。具体在法学层面,应当采取绝对化的保护,还是仅仅作为一种财产性权益的宣示性保护,抑或是折衷地认为这种“使用权”在经过侵权法的冶炼后存在“法定化”的可能?为了建立数据要素收益分配制度,有效激励数据市场发展,一个基本的共识是明确数据财产权益边界,以及提高数据权益的标准化程度。然而,在将数据财产权益纳入实定法的过程中,需要解决三个主要问题:第一,数据具有可无限复制性,并具备无形财产权的一般特征,如使用过程中不会产生物理损耗。数据可以通过技术手段恢复,也可以通过区块链的不可篡改特性实现固定。这些特征与传统社会的财产客体存在本质差异,因此难以沿用传统所有权中心主义下的权利规则。第二,数据存在关系性特征,数据处理不仅不会减损其价值,反而可能通过关联更多知识产出活动增加其财产价值。然而,也存在特例情况,部分数据因稀缺性而产生额外的垄断价值。例如,对罕见病数据的研究存在使用价值减损的特征,使用频率越高、医疗手段越丰富,其价值密度就越低。因此,数据财产权利的法律构造需要兼顾数据的关系性和稀缺性特征,并注意到其具有依托使用场景决定财产价值的特性。第三,对数据的法律评价,是基于相关关系进行权益归属判断,存在无限蔓延的可能。来源者是数据所描述、映射或关联的对象,由于个人数据具有识别性特征,其依赖于对相关关系的判断,而相关关系是一个广泛的概念,理论上存在无限的可能性,因此个人信息权益往往与数据权益相伴而生,任何数据都可能与个人产生联系,法律问题常常集中在判断这种联系是否过于遥远。正因如此,本文主要讨论的是数据确权议题中最具争议的个人数据加工使用问题。数据确权问题所引发的困境在于财产权规则的不明确性。这使得所有潜在的交易方在处理数据时,必须对数据所承载的利益和法律关系进行准确认知。然而,这种准确认知不仅涉及正确评估数据权益内容的成本,还涉及预防错误责任的成本。因此,这导致了较高的“估量成本”。具体而言,由于合规难度较大和交易不确定性较高,数据交易只有在边际估量成本低于边际交易利益的情况下才能达成。然而,估量成本会内化于交易并逐步转嫁,这不利于终端消费者的整体福祉,并导致估量成本外部性问题。与估量成本相伴的还有挫折成本问题,由于数据权益与个人信息权益紧密相连,社会对人格权益的重视程度日益提高,这导致潜在的数据交易者在面对潜在的规制压力和监管不确定性时产生担忧。这种担忧不仅表现在交易难以达成,还涉及交易过程中的诸多限制因素,以及可能错失的交易机会。这些因素共同导致了数据交易的“挫折成本”居高不下,进而影响到整体社会的经济活力和价值创造能力。在此背景下,“数据二十条”提出的数据“三权分置”本质上是探索一种制度安排,旨在调整私主体之间关于数据使用的利益关系。在确认数据作为社会可用资源的前提下,社会中的每个主体都可能扮演数据来源者、使用者和生产者的三重角色,并依托场景实现身份自由转换。为了建立稳定的数据流通与利用秩序,需要在三者中选择一个作为初始权利配置的主体,同时确保其他两方的权益不受损害。基于数据使用创造价值的理念,理当优先保护价值创造者,即赋予那些通过加工数据创造价值的加工使用者以初始权利,并且既要保障数据来源者的合法权益,又要确保后续使用者能够获取和使用数据。从本质上看,数据加工使用权是一项财产性法益,并未构成、也无需构造成法定权利,这与鼓励数据自由流动、灵活调整利益关系的价值导向是完全吻合的。“数据二十条”中的“使用”概念,本质上是对已经发生的使用行为进行价值判断,而不是强调面向未来的控制和支配,笔者将其称为“已用财产法益”。这一点与以所有权中的“使用权能”不同,使用权能本质上是面向未来的,更准确的表达是“可用权能”。例如一个无权占有并用益所引发的法律后果,包括了“已用部分的状态差+可用部分的恢复原状”两部分权益,对已用部分的财产性权益保护应当独立于可用部分的固有利益保护。换言之,对“使用权能”的恢复原状无法覆盖对“已用财产法益”的保护,这一点在数据法领域表现得尤为明显,因为数据具有天然的可用性并且不易受到损害,因此数据权益的归属判断主要集中在“已用(genutzten)”部分的财产价值。对数据财产价值的认定需要增加时间维度的判断,正如格哈特·胡塞尔在1933年所说的那样,财产的实质“在其使用中被时间化了”。数据加工使用权划出的边界,消极的一面是使用者使用行为所造成的责任承担范围,积极的一面是使用者具有合法理由保有使用数据所获得的利益。
(一)数据使用存在权益侵害的表征,体现出事实上的管领力,法律评价聚焦于是否存在责任承担
如前所述的数据相关关系理论,任何对数据的加工使用都存在权益侵害的可能性,因为数据关联了众多绝对权,并且以具体人格权为代表的权利集合,其边界非常模糊,法律评价的本质往往是利益冲突的妥协方案。权益侵害产生的结果根据构成要件的不同,可以具体化为权益侵害不当得利的返还、侵权损害赔偿以及特殊情形下的获利返还,可统称为责任承担。根据比较法的经验,依照《德国民法典》第823条第2款,可归责性地违反了某项保护性规范将使得行为人负有赔偿义务。这在第823条第1款所明定的私权保护基础上,显著扩展了受法律保护的对象。在侵权法语境下,该款超越了第1款对私权范围的严格限制,将大量民法、公法及刑法的规定引入侵权法领域,违反这些规定将产生私法下的损害赔偿责任。相较于第1款之责任成立须以受保护之法益受到侵害为要件,第2款之适用至少在抽象的危险事实构成之时即会引发一定的“责任前置”效果。也就是说,不一定要在事实上产生危害的结果才可以证成侵权责任,而是只要构成抽象的危险事实,就会出现违反保护性规范的侵权责任前置于侵害绝对权的侵权责任。因为第2款的适用不需要等到事实上法益受侵害产生损害结果,而是在违反了法律禁令(禁止某些特定的危险行为)的时候就已经产生了责任。此时,对侵权人过错的判断就仅涉及保护性规范的违反而不必然涉及侵害法益的后果。当然,基于第2款而产生的实际上的赔偿请求权,仍需要满足“造成损害”这一要件。在个人数据的语境下,对损害的判断将影响到责任延伸的程度。在公法、领域法等保护性规范的帮助下,直接赔偿因过失行为造成的纯粹经济损失具有较大的不确定性。为了避免破坏“责任法的体系性”,德国联邦最高法院指出,立法者有意识地限制对原始的财产损害承担一般侵权责任,原则上仅依第826条以故意悖俗为“代价”而提供对一般财产的直接保护,因此第823条所保护的合法利益不能过快地延伸太远。从法经济学的角度来看,如果保护性规范已经为受害方提供了规范本身或其他方式的充分保护,那么再通过侵权法对相同利益的额外保护似乎是可有可无的。
在处理侵犯法益类案件时,传统的目的性限缩解释论无法容纳更多的支持因素来填充起点与终点之间的巨大缺口,过于简单直接。在解释论上,应当分多步、迂回地实现目的,因此有学者提出了“限制解释+目的性扩张”的解释方法,减少一步到位的突兀感。限缩解释将利益根据拉伦茨“客观的目的论的标准”,按照“法律的客观目的或法律伦理性原则”以及规范范围内“事物的结构”,将“民事权益”划分出“绝对权”“与绝对权相类似的利益”,再根据社会典型公开性将其他利益溢出于调整范围构成开放漏洞,最后根据违法性要件进行目的性扩张解释。是否区分绝对权与相似法益,则影响到对“责任前置”效果的判断,并决定是否有必要进行损害赔偿上的二次保护。这就使得权利与法益区分保护的解释方法兼顾了权益保护(对不法行为进行扩张解释)和行为自由(对绝对权的性质以及损害结果进行限缩解释)的侵权法价值导向。这样既能在权益侵害范围上容纳更多元素的判断,同时又对《民法典》第1165条采取统一协调的解释论方法,有效降低法官的论证负担。根据我国《个人信息保护法》第69条,个人信息处理侵权案件基于一般过错原则,进行了过错推定的举证责任法定安排;并且在文义上区分了“侵害个人信息权益”和“造成损害”。合法性基础主要侧重对行为目的的法律限制,单纯违反合法性基础规范只能证成法益受到行为目的不法的侵害,虽有风险但不必然产生损害。对损害的证明还需要对行为方式不法进行判断。行为方式不法的判断主要涉及侵害行为的样态、受影响的法益类型以及影响的程度。然而,实践中由于个人信息涉及多种类型权益,彼此之间存在交叉和重叠,因而同一个侵害行为可能触及多种类型的权益。有学者开始汇总和梳理不法行为可能侵害的权益类型,例如可以区分为信息安全利益、信息权利(隐私利益与自决利益)。通过法益来区分不法行为,面临概念困境,即个人信息是一个广泛的概念,包括但不限于思想自由、控制自己的身体、独处、控制自身信息、不受监视、保护自己名誉、免受搜查和审讯等,缺乏有用的、独特的和连贯的法益概念。判断一个行为是否侵害个人信息相关权利,在界定本质和范围方面存在困难,迫切需要一种新的分类法来理解侵犯个人信息的行为。法官通常很难对各种个人信息保护问题以及侵害行为的危害作出一致的评估,不同场合(例如私人场所或公共场所)、不同人群(例如公众人物或特殊职业)、不同手段(例如物理性侵入或技术性侵入)等不同情境下的行为具有较大差异性。因此,对个人信息的法律属性判断依赖语境并具有动态性,应采取一种“自下而上”的方法从司法实践中归纳,而不是自上而下的简单的逻辑推演,相关问题的解决需要进行特定的情境判断,不能停留在抽象层面。数据法领域的法律评价往往会预设正当的财产秩序为何,然后按照理想的财产状况对现状进行纠正,虽然具有“矫正正义”的外观,但预设正当秩序的实质是“分配正义”,这就需要大量借助财产法的视角予以审视。只要财产秩序一直未被纠正,财产的“价值存在”就会在无权利人手中“自行实现”。通过财产移转的请求权,权利人可以在未来重新获得与财产相关的使用可能性。但是,这并不能改变无权利人在过去使用财产时已经获得的好处。对已用财产权益归属的法律判断,往往需要借助法经济学的价值衡量工具。企业数据财产权保护论者主张,应依据经济学上的财产规则理论,赋予企业数据财产权正当性。然而,为提高效率并契合数字经济的特性,我们应以经济学上的产权保护责任规则为基础,构建企业数据使用规则。责任规则允许使用者不经产权持有者同意先行使用物品,随后支付合理对价,也称为强制交易规则。法律经济学大师卡拉布雷西认为,在市场交易成本较低的情况下,财产规则效率更高;若交易成本较高,责任规则则更具效率。考虑到现实情境,自愿的数据交易成本较高,经营者之间平等协商较难进行。互联网巨头公司往往垄断数据资源,限制其他企业访问其数据。然而,数据资源的重新配置本身是有效率的。在此背景下,依据责任规则,允许数据使用者先行使用数据,再根据第三方估价支付合理价格,将更为高效。在基本权利层面,数据加工使用权与数据受保护权存在并立的状态,因为人类具有社会性,使用他人数据是人与外界建立联系的基本方式。人作为社群一员具有联结偏好,“隐私悖论”即为典型,一方面恐惧信息泄露和滥用,另一方面却积极提供信息与外界建立联系。原因在于人类既渴望联结,又担心遭受伤害。理性的本性是追求经验知识并追溯无限延伸的“更遥远的条件”,但个体的理性是有限的,因此在历史的长河中,人类文明本身就有互惠合作的倾向,通过个体与个体之间形成联结,从而形成经验知识的互通和互惠,指导着人们克服短期欲望而去追求长久的、更上位的利益。在人类文明进步的进程中,数据作为客观世界的映射,是认知和探索未知的媒介,因此应当受到宪法的优先保护。从基本权利层面来看,为了保障社会主体能够自由获取和使用数据,以开展各项社会活动、探索客观规律和认识交往对象,每个社会主体均应享有数据使用权。这一权利旨在保护社会主体的认知、探索自由,推动各项社会活动的开展,最终实现社会进步和福祉的目标。事实上,人类社会一直保持开放的态度来对待数据的使用行为,允许各社会主体获取公开数据,同时也没有赋予来源者绝对性地控制数据、制止他人使用的权利。因此,构建数据加工使用权的基本出发点是保护数据使用权,平衡来源者、持有者与使用者三者之间的利益。
(二)使用者具有合法理由保有使用数据所获得的“使用利益”
数据与数据要素收益在性质上存在显著差异,数据具有非排他性和非竞争性特点,而数据要素收益则具备排他性和竞争性。这一特性与“水权”颇为相似。水权的实质在于用水人依法使用水资源并从中获利的权利,主要包括取水权和用水权。然而,由于水资源承载着经济价值以及不具有排他性和竞争性的生态环境功能和社会公共利益,因此需要公权力的介入以提供必要的保护。从这个角度来看,水权可以被视为一种“具有公权性质之私权”。尽管水资源不具备排他性和竞争性,但水权的有权方在合法用水过程中所获得的利益却是排他性和竞争性的。从主观权利的角度出发,数据使用者和水资源使用者都直接追求的是“法律地位”,并希望通过正当性保有相关利益以实现使用目的及其产生的经济价值。他们对“法律之力”的诉求是间接的,主要用于转移损失或获取补偿。从流水中获得的水力也可以理解为水权的“使用利益”。根据《德国民法典》第100条,非有体物、权利所产生的利益也可以算作使用利益,这尤其适用于无形资产的使用,例如商业秘密。获得的货币也可以带来使用利益,尽管严格来说现金并没有被“使用”,而是作为交换手段被消费,以获得对价财产。在这种情况下,使用利益的客体是与所获得的货币捆绑在一起的“资本”,即为抽象的使用利益。为了区别于孳息和损耗,界定使用利益概念的前提,是假定对财产的使用本身就是一种独立存在的利益。至于广泛受到讨论的数据占有问题,则并不是问题的核心。我们需要引入“财产持有”这一概念,并将其与占有进行区分。在罗马法中,占有最初仅表示对物的单纯事实状态,与真实权利无涉。占有本身无法体现本权,也不以本权为基础。即便不存在本权,占有依然得以成立。此外,虽可对物进行实际上的管领,但不符合市民法上的占有或裁判官法上的令状占有的条件者,为持有人,比如保管人、借用人、承租人等,在这些情形中只有占有人可以享有令状保护。在法学理论的发展过程中,占有更侧重描述权利状态,而持有更侧重描述对财产的事实控制。根据数据实际使用者对数据的事实控制以及保有利益的正当性,可以对数据加工使用权作出阶层式的区分,并形成配套的获利返还制度。在民法的实定法框架内,可以构建起依据行为人主观过错的不同程度以及不法行为的样态,划分不同层次的返还责任。根据《民法典》第1182条的立法沿革和立法资料,可以将第1182条作为一般性规则予以提炼并解释如下:“损人但不利己”情形属于固有利益损害,权利人可选择损害赔偿请求权;“不损人也不利己”情形属于机会利益的补偿,使用开支由使用人自行承担,并基于预防功能而存在惩罚性赔偿的可能;“不损人但利己”情形属于机会利益与额外利益的补偿,此时基于保有利益的正当性不同,可赋予权利人以多种请求权基础的选择自由;“损人也利己”情形属于固有利益损害和补偿请求权的聚合,在数额计算上应当实现最重的责任承担。使用利益可以分为具体使用利益和抽象使用利益,具体使用利益往往因法律上特别联系而产生损害赔偿请求权、不当得利请求权等情形下的返还责任,应无争议。而抽象使用利益则基于实际使用财产的视角,本质上是正当财产秩序的法律评价工具,存在争论。笔者认为,抽象使用利益具有提取公因式的必要,尤其适于解决数据权益等新型财产权益的归属判断问题,并对现有民法体系的冲击最小。经过一系列数据处理流程,包括数据清洗、标注、完善、组合、集成,以及深入的剖析分析和挖掘分析等融合计算分析,最终形成具有特定价值的知识或数据产品。这种处理行为是对数据的深度处理,旨在改进或创造价值。数据加工使用权不属于资产性权益,仅仅是依附于数据的财产性法益,企业具有“数据加工使用权”并不意味着可以自由支配数据,而是具有消极性质的保有利益正当性基础。财产性法益的正当性基础建立在合法性基础之上,合法性基础是处理活动满足合法原则的必要而非充分条件,包括意定基础和法定基础。意定基础系《个人信息保护法》第13条第1款第1项,通过“取得个人同意”,使得处理目的得到信息主体的确认。信息主体在作出同意时,理应结合具体场景对处理目的进行审慎判断,不同意处理目的则不应作出同意。当然,同意机制的有效性受到事实状态的限制,此为另外的话题。在数据来源者同意的情况下,数据加工使用权往往依托合同来实现。具有利益关系的主体间通过合同确立了权利义务关系,并通过企业的技术措施得以实现对企业数据的控制。合同涵盖了数据的各项使用权限,包括允许或限制他人使用数据,以及防止数据被非法获取或访问,其产生、界定和分配均依赖于合同关系中各方的约定。同时,数据加工使用权还要受到个人信息权益和隐私权等具体人格权的限制。意定基础下的数据加工使用权的权益归属并非固定不变,合同中具有利益关系的各方需综合考虑数据的生成、存储和使用等环节,适应不同情境下的实际需求。相对比较特殊的情况是数据来源者撤回同意的情况,由于存在任意撤回的可能性,必须分割数据已使用和未使用两部分状态,数据加工使用权主要面向过去的已用财产权益,数据来源者权利则主要面向未来的可用财产权益。法定基础系《个人信息保护法》第13条第1款第2项至第7项,是一种基于法定理由的行为规范。法定基础的存在使得处理者能够在满足法定情形时,无需意定基础即可对个人信息进行处理。如果既不符合法定许可情形,又未取得个人同意,则隐含着对处理目的不合法的推定。法律为了在不同情形下实现周延保护,避免保护不足或保护过度,需要具备一定的灵活性,往往选择在一组对立的“法律之力”或“法律地位”之间实现动态平衡。正如同欧盟早期立法中与权利宣示性规定相对抗的“合法限制基本权利的一般规则”,周延考察利益相关方并作出动态平衡。个人信息保护立法的主要目标是在信息社会中妥善处理技术进步与基本权利保护之间的关系,以风险规制为核心。当涉及公共安全、公共利益以及第三人正当利益时,信息主体的“知情同意权”必须有条件地受制于其他利益的追求。在具体个案中究竟是公益优先还是私权优先,如何平衡各方利益,需要进行个案利益衡量。个人信息保护制度的规制对象是个人信息的处理行为,而合法性基础规范树立了正当行为准则,具有独特的立法目的与体系功能。虽然使用行为具有权益侵害的广泛可能性,但也受制于责任承担范围的构成而避免过度蔓延,合法性基础规范无疑是数据使用者行为归责的核心规范,与合理使用制度的结果归责模式相得益彰。如前所述,数据加工使用权的本质是财产性法益保护。其本质是处理活动的财产利益,是具有不确定性的财产价值。“数据加工使用权”不能作为数据使用者的完整性利益,不能脱离使用行为加以判断。数据加工使用权具有三个方面的权益归属判断规则:首先,对于数据使用者而言,他们在进行数据处理活动时必然会涉及某些财产权利的运用,例如基于算法的知识产权、收集信息的传感器等。这些权利的使用利益应当被纳入数据要素收益的分配体系中,以确保数据的合理利用和分配。其次,数据使用者为了获得数据处理的结果,必须投入生产要素并开展劳动创造。这部分劳动经营利益是数据使用者应得的,历史上有些国家甚至将其确定为“孳息”的一种类型。为了鼓励生产活动并保护其劳动成果,可以根据孳息产生的原因力将其分为加工孳息和自然孳息,并承认劳动及经营的财产性利益。最后,数据使用的情形还应当考虑到社会交往的基本原理以及公共利益。对数据的使用应当满足社会对数据的最低限度利用需求,并且不侵害其他权益、符合善良风俗。这也被称为反射利益,它是基于保有利益的正当性基础而存在的。信息交互是人类社会正常运转的基石,失去这一基石,人类将难以互助存续。同时,这也是数据的社会控制论、国家控制论等理论的核心原理。各国普遍兴起的个人信息保护制度,旨在通过明确个人在数据处理中的权利来捍卫个人尊严、自由或平等利益,不因数据处理活动而受到侵犯。个人数据保护的“欧盟标准”明确地将数据来源者权益摆在了基本权利层面,要求相比使用者具有更加优位的保护地位,并在立法模式上产生了广泛深远的影响。因此在数据产权相关的论证过程中,数据来源者权利往往被视为数据使用层面的前提性、基础性条件。在现行的法律规范体系框架内,数据使用者必须妥善解决与数据来源者的利益冲突问题,以确保满足我国网络安全法、个人信息保护法、反不正当竞争法、著作权法等法律对数据相关合法权益的保护要求。只有满足这些合法性要求,后续的数据使用行为才不会受到数据来源者权益的阻碍。因此,数据产权配置的最核心问题,是调和数据来源者与数据使用者之间潜在的利益冲突。数据来源于人类社会生产生活,当数据所描述的对象涉及需要保护的主体利益时,便存在需要保护的利益。每个社会主体在参与各类社会活动时,都会主动生成或参与生成各种数据,同时,这些主体的行为也可能被各种传感设备记录下来形成数据。因此,在协调来源者与使用者的利益关系时,我们需要重点考虑的是,来源者是否具备需要保护的利益,涉及个人数据权益的最核心特征。国外有学者从概念以及语言哲学的角度,探索法律中个人数据的“基本”或“核心”特征,并发现个人信息依赖语境,具备动态性质的属性,建议采取一种“自下而上”的方法从司法实践中归纳,而不是自上而下的简单的逻辑推演,相关问题的解决需要进行特定的情境判断,而不能停留在抽象层面。数据上的权利并非传统意义上的专有权,而是基于知情同意或法定事由的数据流通使用模式。当来源者的合法权益需要得到保护时,法律将起到规范数据使用行为的作用,确保数据使用者承担起保护数据上合法利益的义务。除此之外,数据的获取和使用应当是自由且不受限制的。这一制度安排的目的是在保障各社会主体获取数据的同时,规范其使用行为,避免对来源者利益造成侵害。它既保护了来源者的权益,又确保了数据使用不会完全受来源者控制,从而避免妨碍知识的探索和社会活动的开展。这一平衡原则旨在促进数据成为社会可用的资源,推动社会共同利益的实现,是当前社会最合理的制度安排。在数据来源者与数据使用者之间的权益归属判断规则,主要涉及人格权的商业化利用。没有得到权利人同意而将其姓名或肖像等人格要素用于经济活动的行为,本质上就是窃取了应由权利人获得的财产利益。《民法典》第993条明确列举了“姓名、名称、肖像”等个人数据典型形态,其后的“等”应作等外解释,包括其他一般性的个人数据。关于人的数据流成为一类重要的生产要素,技术公司利用禀赋优势进行征服和开采以获取利润,并产生了新型社会损害,根据“数据二十条”的规定,我们必须防止并依法规制数据领域的资本无序扩张和形成市场垄断等各类风险挑战。个人数据的重要性在于其能够揭示主体的特征、偏好等具有经济价值的要素,从而提高商业效率。然而,数据主体的姓名、身份证号码等直接标识符并不是信息产业追求的目标。这些信息在社会治理方面可能更加有价值。从商业利用的角度看,数据产业通常关注的是与个体相关的“标签”,并据此作出符合群体特征的商业决策。然而,如果标签足够精细,它也能够用来“定位”个体。如果我们仅从数据主体的人格权益保护角度出发去进行判断,显然与数据产业的内在需求存在偏差。更恰当的方式是从数据使用行为的合法性和数据保有利益的正当性进行综合判断,将人格权益保护作为其中一个重要组成部分,而非唯一的价值判断标准。数据来源者与数据使用者之间权益归属的规范依据,主要存在于积极利用和消极保护两个方面。在积极利用方面,应主要关注《民法典》第993条、第1012-1013条、第1017-1018条中关于人格要素许可使用范围的规定,以及第1021-1023条中关于意定行为方式的条款。在消极防御方面,需注意《民法典》第1182条关于侵害人格要素的损害赔偿责任的规定,以及《个人信息保护法》第69条关于侵害个人数据的损害赔偿责任的规定。此外,还应关注《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定(2020修正)》中关于50万元以下酌定赔偿范围的规定。值得注意的是,《民法典》宣示的个人信息权益包含双重意涵,数据主体的人格权附属财产利益可以为第111条所涵摄而非第1034条。《民法典》第111条与第1034条的第一句都规定了“个人信息受法律保护”,体现出了开放性,给予数据主体获得使用补偿的解释空间。2.数据加工使用者与数据资源持有者之间的权益归属规则
数据资源持有者的权利保护旨在维护其创造的价值以及在数据上的利益,而非单纯地强调对数据的控制,权利范围应局限于保护其通过改进和完善数据所创造的价值,而非长期控制数据。允许数据的流通既有助于实现这一价值,又能满足后续使用者对数据获取和使用的需求。对于数据持有者的权利,我们不能简单理解为物权法原理下的占有,而是应当回溯到“持有”的财产法概念,突出其事实上的管领力与价值实现方式。第一,应当区分“数据”和“数据要素收益”两个层次去理解数据活动所产生的利益分配问题。在数据层面的非竞争性和非排他性,并不会影响到数据要素收益层面的竞争性和排他性。财产利益通常以排他性为表征,否则将遁入公共领域而任人采撷。数据要素收益应当具备排他性,否则无法得以正常分配。“当权利是占有性的,排除效能似乎总是与财产权相伴,排除效能的范围界定了权利的范围,对现存的但非占有性的财产利益,例如役权、取水权、利润权等等,虽然利益持有人没有权利将他人排除在范围以外,但其被赋予了一整套法律权利以保护他们拥有的有限利益不受他人干扰。”鉴于数据承载利益的复杂性,我们可以否认数据的排他性,但不能否认数据要素收益的排他性。数据的非竞争性主要源于其无形财产特征,事实上,很多无形财产都具有非竞争性,但经济规律下的非竞争性,可以通过意定或法定方式所形成的特别联系,衍生出竞争性的财产利益,例如数据作为对价在合同中的履行利益、数据要素使用的不当得利、与其他生产要素共同投入后的劳动成果等。因此,数据本身承载了多元利益,属于非竞争性资源,但数据使用利益可以是竞争性的,其竞争性建立在法律上的特别联系,尤其是债法上的特别联系,并产生合同与准合同之债、侵权之债等具体法效果。从财产法以及人格权商品化路径来看,应当区别看待对财产的使用和财产本身,并且认识到对财产的使用,既体现出使用者的管领力,也体现了财产权益存在的经济价值,并通过财产权益内在的目的和规律进行判断。第二,要尊重数据的多元利益格局,根据数据生产流通理论,避免承认数据上绝对化、排他性的支配权或控制权,避免数据被单一主体所垄断。应当否定“先占取得所有权”和“劳动取得劳动成果的所有权”等绝对化的权利配置基础,因为这种做法可能会对其他潜在的数据使用者造成妨碍,不利于数据的流通利用。在数据处理过程中,数据在流通中由不同的主体所持有,彼此不相妨害并存在“价值累进”的特征。如果先获取数据或具备强大获取能力的主体能够长期控制或排他性支配数据,这将阻碍其他社会主体获取数据,造成市场主体滥用获取数据的能力和社会性权力。因此,在初始配置数据权利时,必须充分考虑数据资源持有者对其他主体获取和使用数据的潜在阻力,尊重数据的高效流转以及数据产生利益的公平分配。在数据立法中,平衡个人权益与信息自由是一项至关重要的任务。欧盟《通用数据保护条例》等立法例彰显了个人数据应在“高保护水平下”自由流通,在实际的数据流通场景中,一般性的数据使用者通常会成为具体的数据资源持有者来实现其利益,从而使得权益归属判断与数据资源持有者趋同。在判断数据使用者之间的权益归属时,应主要考察竞争法以及知识产权、商业秘密等传统财产权保护规范。数据使用者在进行数据处理时付出了大量的劳动和资金,因此,这些数据处理所得的数据产品,如果具备独创性或构成商业秘密,应当受到相应的法律保护。即使数据产品并不具备独创性,数据处理者的劳动和资金投入同样应当受到财产法的保护,以促进数据的有效利用和优化配置。除了《著作权法》和《民法典》等传统财产权保护法规,对于未能形成财产权利的权益归属问题,主要的规范依据为《反不正当竞争法》中的第6条禁止仿冒义务和第17条获利返还规则。此外,还存在500万元以下的酌定赔偿范围。对于数据交易平台、数据流转平台、委托加工者等相关主体,可以根据其经营行为的性质,将其视为辅助人或数据使用者,并纳入分配关系的分析之中。数据加工使用权是一项财产性法益,“数据二十条”中的“使用”是对已经发生的使用行为进行价值判断,而不是强调面向未来的控制和支配,可总结为数据的“已用财产法益”,从而与所有权的“使用权能”相互区分。由于数据具有天然的可用性并且不易受到可用性损害,因此数据权益的归属判断主要集中在“已用财产法益”的分配正义。数据加工使用权划出的边界,消极的一面是使用者使用行为所造成的责任承担范围,即数据使用存在权益侵害的表征,体现出事实上的管领力,法律评价聚焦于是否存在责任承担;积极的一面是使用者具有合法理由保有使用数据所获得的利益,即使用者具有合法理由保有使用数据所获得的“使用利益”。数据使用者直接追求的是“法律地位”,并通过正当性基础保有相关利益以实现使用目的及其产生的经济价值,其对“法律之力”的诉求是间接的,主要用于转移损失或获取补偿。杨猛 桑珊|城市数字化转型发展中的刑事风险与规制——以无人驾驶交通运输系统的数字化转型为切入点
庄语滋|论数字化转型中的民事证据真实性标准——以基础融贯论与诠释学循环为进路
许丽|平台经济中轴辐共谋的违法性认定与责任承担
奚哲涵|信息网络犯罪案件涉案虚拟货币的处置研究
汪伟|算法演绎下的数据隐私侵害及ESG防治——从TikTok数据隐私风波谈起
张素华 尹晓坤|未成年人个人信息保护中监护人同意规则适用失范之规制
上海市法学会官网
http://www.sls.org.cn