王利明|论数据来源者权利
点击蓝字关注本公众号,欢迎分享本文
作者:王利明,中国人民大学民商事法律科学研究中心研究员、中国人民大学法学院教授。
来源:《法制与社会发展》2023年第6期(第36-57页)。(责任编辑:苗炎、陈越瓯)
摘 要
《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》在构建数据财产权制度时,区分了数据处理者与数据来源者双重权利结构,提出了数据来源者权利保护的重要课题。数据来源者与数据处理者是数据内容贡献者与生产者之间的关系,两者形成共生、并存和互动的关系。数据确权的内容既包括确认数据处理者的权利,也应当包括确认数据来源者的权利。确定数据来源者权利的准则包括优先尊重人格权益、尊重在先权利、尊重当事人的约定,以及促进数据的高效生产与有效利用。在数据处理者与数据来源者没有特别约定的情形下,数据来源者应当享有公平访问权、合理利用权、可携带权和自然人个人数据大规模处理拒绝权等权利。对数据财产权的确权主要是指对数据处理者的确权,作为数据来源者的自然人原则上不应当享有数据财产权。作为民事权利,数据来源者的权利在受到侵害的情形下,也应当受到法律保护。
关键词:数据;数据来源者;数据处理者;在先权利
一、问题的提出
数据常常是多重主体相互作用的结果。相应地,数据上的权利具有“权利束”特点,往往同时承载了多元主体的多重权利主张,其中既包括提供信息原材料的数据来源者的权利主张,也包括将分散信息予以数字化记载并形成数据的数据处理者的权利主张。《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)在构建数据处理者与数据来源者双重权利结构的基础上,明确提出,“充分保护数据来源者合法权益,推动基于知情同意或存在法定事由的数据流通使用模式,保障数据来源者享有获取或复制转移由其促成产生数据的权益”。“数据二十条”在建立健全数据要素各参与方合法权益保护制度的前提下,强调保护个人信息权益等数据来源者的法定在先权利,这意味着法律不仅要确认数据处理者对数据享有的各项权利,还要保护数据来源者的权利。
在欧盟的《数据法:关于公平访问和利用数据的统一规则的法规提案》(以下简称《数据法案》)中,数据来源者被称为“用户”(user,Nutzer),是指向数据处理者提供数据来源的自然人、法人和非法人组织。欧盟《数据法案》第2章规定的用户权利主要就是访问、请求共享和利用数据的权利。数据来源者是指对数据的产生提供了一定的信息的主体。在数据形成之后,数据来源者对已经形成的数据究竟享有哪些权利,成为亟需解决的现实问题。一方面,明确数据来源者的法定在先权利范围,有助于数据处理者在开展数据处理活动、行使生产要素意义上的数据财产权时,充分理解和尊重数据来源者的权益,特别是做好相应的合规工作。反之,如果数据来源者的权益范围不明确,那么,数据处理者的数据财产权就容易与数据来源者的权益发生冲突,这将影响数据要素财产权的高效行使。另一方面,明确数据来源者的权益范围并予以充分保护,有助于解除广大信息来源主体的后顾之忧,让他们有更强的信心参与数字经济活动,并在相应活动中积极贡献信息原材料,从而最大限度地实现数据要素的生产与供给。有鉴于此,笔者将对数据来源者的权利保护问题进行探讨。
二、数据来源者与数据处理者的权利关系
严格来说,所谓“数据来源者”应当被称为“信息来源主体”。毕竟,信息是数据的内容,数据是信息的载体。无论是关于自然人的信息,还是关于非自然人的信息,在信息被他人作数字化处理之前,数据可能尚不存在,存在的只有可被数字化记载的信息内容和数据处理者的数字化工具。即便是在数字化过程中,信息来源主体提供的主要是信息,而不是形成为产品的数据。信息来源主体对数据的产生作出了一定程度的贡献,但是不能说信息来源主体提供了数据。例如,在通过网约车平台打车的过程中,乘客只是提供了信息,而没有直接提供数据。数据实则来源于网约车平台对该乘客的相关信息进行收集的过程:乘客并没有主动向平台提供数据,而是乘客的信息经由网约车平台的收集和存储形成了数据。当然,“数据二十条”在政策层面采用的“数据来源者”概念可以说已经约定俗成,继续采用并无不可。
数据权益纷繁复杂。以“大众点评”为例,“大众点评”本身可以被视作一个平台,其又是一个数据处理者;同时,“大众点评”还可以被看作完整的数据产品,在该数据产品中形成了各种权益的集合:个人在“大众点评”中形成的消费记录、浏览记录以及留存的手机号码、家庭住址等属于个人信息,各个网店发布的各种公告和信息属于企业数据,“大众点评”中的算法属于商业秘密,“大众点评”中的商标、标识等属于知识产权的范畴。甚至消费者对餐饮店的各种点评不仅涉及个人信息,还可能涉及知识产权。例如,如果相关点评具有独创性,那么,其可以受到著作权规则的保护。“大众点评”还可能发布政府的公告、通知等,这些公告、通知属于公共数据的范畴。可见,在“大众点评”中形成了各种权利的集合。针对数据权益保护,“数据二十条”在国家政策层面作了一个重大决定,即区分了数据处理者的权益和数据来源者的权益。数据处理者对数据和数据产品享有财产权益,数据处理者之外的主体不能主张分享对数据和数据产品的财产权益,这些财产权益包括数据资源持有权、数据加工使用权、数据产品经营权等。此种二元结构区分为每一种权利类型内部的进一步类型化提供了基础。
在这种二元区分结构的基础上,数据来源者的权益成为一种概括性的权利类型,并且与数据处理者权益相对应。从整个数据权利秩序的建构上看,这两种权利类型的区分意义重大,既构成后续层次的权利建构的基石,也为数据确权立法提供了政策依据和经验。所谓数据确权,其不仅仅是针对数据处理者的确权,还应当包括针对数据来源者的确权。只有在明确数据来源者权利的情况下,数据处理者才能知道自己的数据处理活动的边界何在,从而促进数据处理者对数据的利用和数据的流通。数据来源者与数据处理者之间的权利关系可以从如下几个方面展开:
第一是数据内容贡献者与生产者权利之间的关系。在数据生产过程中,数据来源者与数据处理者扮演的角色并不相同。由于数据来源者提供了原料,数据处理者通过加工形成了新的财产,因此,数据来源者与数据处理者之间的关系属于贡献者和生产者之间的关系。数据是数据处理者通过实质性劳动创造形成的财产。尽管数据来源于数据来源者,但是,数据处理者也投入了大量劳动,因此,法律不能将该财产划归数据来源者,并由数据来源者独占。有的学者认为,数据来源者权利和数据处理者权利之间是“母权与子权”的关系,数据处理者享有的权利乃是按照所有权权能分离的模式产生的。“权能分离”虽然在一定程度上描述了数据来源者与数据处理者之间的关系,但是,这一描述并不完全妥当。原因在于,一方面,虽然数据来源于数据来源者,但是,数据处理者在数据生成的过程中也投入了实质性的劳动。正是经由数据处理者的实质性劳动,数据权利才得以产生,数据处理者通过自己的劳动创造了财产。然而,在用益物权和所有权的关系中,用益物权人是通过订立合同的方式取得用益物权,而非通过投入实质性劳动获得用益物权。另一方面,数据来源者可能并不享有数据处理者享有的一些权利。例如,数据产品经营权并非来自数据来源者享有的权利,数据来源者权利也很难分离出内容更为丰富的数据处理者权利。这与所有权和用益物权的关系有所不同。具体而言,所有权乃是最为完备的权利,用益物权只是所有权的部分权能分离出来产生的。
第二是数据处理者的财产权与数据来源者的在先权利之间的关系。数据中交织着多元权利。数据处理者的权利和数据来源者的权利虽然交织在一起,但仍然是可以分开的。为了客观呈现和解释这种利益交织现象,“数据二十条”将数据“权利束”中的权利区分为两大类型:一是数据来源者的法定在先权利,二是数据处理者在生产要素意义上的数据财产权益。从权利性质看,数据处理者的权利较为单一,主要是财产权益。在数据产品中,各项权利交织,但这些权利整体上是财产权益。数据来源者的权利是一个“权利束”。依据数据来源者的身份和数据的类型,数据来源者分别享有人格权益或者知识产权等类型的权利。数据来源者的权利通常是人格权等在先权利,如个人信息权益、著作权等。数据处理者与数据来源者之间的此种权利区分也决定了权利的保护方法不同,即数据处理者的权利保护应当适用财产权利的保护规则,数据来源者的权利保护应当适用人格权利或者知识产权的相关规定。因此,数据处理者的权利和数据来源者的权利虽然交织在一起,但仍然是可以分开的。
第三,数据来源者权利与数据处理者权利之间存在共生、并存和互动的关系。一方面,数据来源者向网络服务提供方贡献了信息的商业化利用机会和价值。没有数据来源者的贡献,数据就不可能形成;没有数据,数据来源者的权利也不可能存在。因此,数据来源者权利与数据处理者权利是相互依存的。另一方面,两者又是并存和互动的关系。数据来源者权利过大,甚至无所不包,将会不当限制数据处理者的权利,反之亦然。尤其应当看到,数据来源者贡献数据的行为并不意味着其因此失去了数据来源者权利,这些权利将会继续延伸到数据产品上。与有体物的生产和交易过程不同,数据来源者与数据处理者之间的前述互动交往过程很难谈得上权属的完全交割或者让渡,更谈不上所有权的完全让渡。相反,数据来源者即信息来源主体即便在让渡了信息的商业化利用价值之后,还在相应信息上保留了大量非商业化权益,如与个人信息保护相关的各类人格性权益。即便个人的信息被记录在他人的数字化载体之上,这些人格性利益也不能被否认甚至剥夺。相反,正是因为法律充分承认和保护这些人格性信息权益,广大的数据来源者才有动力和信心积极参与数字化活动并贡献信息资源。因此,数据来源者与数据处理者在数据之上存在着利益共生关系,二者的利益并存于数据之上的“权利束”。
第四,数据来源者权利与数据处理者权利之间存在一定程度的顺位关系。一方面,在数据产品形成之后,数据来源者的在先权利仍然存在,法律应当尊重并保护数据来源者的在先权利。如果数据处理者的财产权益与数据来源者的在先权利发生冲突,法律应当优先保护在先权利。两种权利的具体配置要优先考虑信息来源主体的正当利益诉求。另一方面,数据来源者权利因权利主体是自然人还是非自然人而有所不同。数据来源者的权利通常更为复杂,因为权利性质不同,所以权利内容和权利构成均有所不同。在通常情况下,法律应当在区分自然人和非自然人的情况下,分别建构相应的数据来源者权利。依据《中华人民共和国民法典》(以下简称《民法典》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等的规定,与非自然人享有的知识产权等相比较,自然人的隐私权与个人信息权益应当受到优先保护,这符合《中华人民共和国宪法》确立的保护个人人格自由,维护人格尊严的目标。就非自然人的知识产权、商业秘密权利等权利而言,这些权利相对于数据处理者的财产权利是在先权利,也应当优先得到保护,非自然人的正当利益诉求需要得到满足。
之所以要在法律上承认数据来源者的权利,原因在于:一方面,承认数据来源者的权利有利于防止出现数据的封锁和垄断,防止出现“数据孤岛”现象。应当看到,法律在对数据处理者的权利进行确权后,如果不对数据来源者的权利予以保护,将可能逐渐导致数据处理者对数据的垄断现象发生。在此情形下,数据确权不仅难以实现数据的有效利用,反而还可能产生数据垄断、“数据孤岛”等副作用。在法律上承认数据来源者的权利,承认数据来源者对数据享有访问权、使用权等权利,可以在一定程度上打破数据处理者对数据的垄断,有利于保护数据各方参与者的合法权益,实现数据生产、流通中的公平。另一方面,承认数据来源者的权利有利于促进数据的流通。“数据二十条”提出区分数据来源者权利与数据处理者权利。如果二者没有被区分,那么,数据的有效利用将可能受到影响。在数据来源者权利被明确之后,法律就需要处理数据来源者的权利保护问题,以及如何协调数据处理者权利与数据来源者权利冲突的问题。这些问题如果没有得到解决,数据的流通与利用会遇到阻碍。正如《数据法案》的起草者在解释性备忘录中指出的:“在便于消费者和企业获取和使用数据的同时,保持对通过数据创造价值的方式进行投资的激励。这包括增加从产品或相关服务的使用中获得或产生的数据共享的法律确定性,以及确保数据共享合同公平的操作规则。”例如,如果消费者购买了某公司的车辆,那么,其应当有权访问车辆在使用中产生的数据。如果消费者无法访问相关数据,那么,车辆的售后服务势必完全依赖于厂家;如果消费者可以访问相关数据,那么,这将有利于厂家对售后服务作出必要的改进,并且可以使消费者和厂家及时发现产品在使用中出现的各种问题,避免发生相关的损害后果。
数据来源者与数据处理者之间也可能发生身份转化,并出现双重身份归集于一体的现象。例如,中小型网店只是在大型电子商务平台提供的网络应用界面上从事简单的信息输入操作,并不处理数据。然而,大型网店特别是大型生产经营商在网络平台上的经营活动常常处理数据。一些非自然人信息来源主体在以诸如网店等身份参与大型网络电商平台的经济活动的同时,自建了数据处理中心,与大型网络电商平台同步处理相关数据。与主要依赖网络平台的数字化技术的中小型网店不同,这类信息来源主体兼具数据来源者与数据处理者的双重角色。因此,在权利配置上,法律除了要考虑这类主体的著作权、商业秘密权利等法定在先权利保护的问题之外,还要特别考虑其作为数据处理主体与大型数据处理主体之间的数据财产权平行持有问题。
三、确定数据来源者权利的基本准则
以数据来源者权利与数据处理者权利的二元区分为基础,我们可以在法律层面分别构建两种权利内部的具体构成。不过,由于两类主体的权利共生于同一宗数据客体之上,对两类权利的主张和行使难免会发生不同程度的冲突。数据确权首先关注的重点内容是数据处理者的权利,这是培育和发展数据要素市场的关键所在。然而,法律如果要准确界定数据处理者的财产性权利,在生产要素意义上发挥数据的经济价值,当然就需要特别关注和考虑与数据处理者存在利益共生关系的数据来源者的权利的构成。如前所述,明确数据来源者的权利是促进数据要素生产与流通的前提条件。对于共生于数据客体之上的这两类权利而言,无论是权利内容,还是权利行使方式,都可能发生一定程度的冲突。因此,我们需要先确定数据来源者权利的配置准则,从而依据这些准则更好地确定数据来源者权利的具体内容构成。
有一种看法认为,法律在一个较为概括的意义上确认数据来源者对数据的合理使用原则即可,没有必要对数据来源者权利的配置准则作进一步区分讨论。具体而言,这种看法认为,对数据来源者权利的保护可以借鉴知识产权法特别是著作权法上的合理使用规则,即保障其他主体对作品的合理使用,从而打破著作权人的垄断。在欧盟,也有学者提出,借鉴商业秘密的保护模式,仅赋予相关主体防御性权利,以保障他人访问数据的权利。由于数据来源者类型复杂,数据来源者权利涉及的利益关切类型较多,而且不同类型的利益在属性和需要的保护强度上也存在区别,法律仅仅依据宽泛的合理使用规则或者单一的防御性规则,难以解决数据来源者权利的有效保护需求。同时,数据合理使用的边界难以被确定,在数据来源者利用某种数据的具体情形中,数据来源者的行为是否构成合理使用往往难以被界定,这也使得合理使用制度难以有效解决这一问题。因此,更为合理的做法是,通过具体列举的方式规定数据来源者的权利。具体而言,数据来源者权利的配置需要遵循以下四项基本准则:
(一)优先尊重人格权益
大量数据特别是消费互联网上的数据都是通过个人信息收集行为形成的,而个人信息是重要的人格性要素,涉及独立人格的维系问题和人格尊严的维护问题。数据产品涉及多方主体的权益,尤其是对于那些在收集他人个人信息的基础上形成的数据,数据处理者权益与个人信息权益之间的冲突很容易形成。一旦数据处理者的数据财产权得到确认,数据处理者就可以据此对数据资源行使财产性权利,当涉及自然人信息来源主体的隐私权和个人信息权益时,权利冲突就可能发生。因此,法律有必要明确权利之间的优先顺位。
数据处理者的财产权在得到确认之后,确实可能与个人信息权益等发生冲突。如果数据处理者是在收集个人信息的基础上形成数据,那么,当数据来源者在依法行使删除权、更正权、携带权、撤回同意权和对已公开个人信息处理的拒绝权等权利时,数据的完整性必然会受到影响。此时,法律究竟是应当优先保护数据处理者的数据财产权还是应当优先保护个人的隐私权、个人信息权益等,是一个值得探讨的问题。笔者认为,依据我国《民法典》《个人信息保护法》的相关规定,相较于数据处理者的财产权而言,信息来源主体(数据来源者)的人格权益应当处于更高的权利位阶,受到优先保护。一方面,毕竟数据处理者享有的权利是一种财产权利,人格权益是与人格尊严相关的权益。从尊重人、保护个人人格尊严出发,个人的人格尊严应当得到优先保护,我国《民法典》和其他法律充分体现了这一理念。另一方面,信息来源主体的人格权益应当处于更高的权利位阶,既是自然人信息来源主体的人格权权益属性的必然要求,也是确保信息来源主体积极参与数字经济活动并贡献信息的有效办法。如果这些权益难以得到优先保障,那么,信息来源主体很可能因为担忧参与数字经济活动遭受不利后果,而不敢轻易参与数字经济活动或者采取保守性参与态度,这将影响信息来源主体持续的、高质量的信息供给。可见,数据确权与个人信息保护之间并不存在不可调和的冲突,数据确权也不应当影响对个人信息的保护。在数据处理者处理的数据包含个人信息的情形下,数据处理者在行使数据权利时,如在对相关的数据进行加工,或者许可他人使用数据,或者转让相关的数据时,都应当以合法处理相关的个人信息为前提。换言之,如果数据处理者行使数据权利的行为侵害了个人的隐私权、个人信息权益,那么,数据处理行为就不再具有合法性,个人有权依法请求数据处理者承担民事责任。
(二)尊重在先权利
所谓在先权利,是指在数据权利形成之前,数据来源者对数据已经享有的权利,可能包括人格权、知识产权、商业秘密权利等权利。应当看到,数据来源者权利是一种概括性权利,除了包括隐私权、个人信息权益等人格权利之外,还包括知识产权、商业秘密权利等权益,这些在先权利需要被置于比数据处理者的数据财产权更加优越的保护地位。
数据来源者的在先权利之所以要受到保护,主要是因为以下四点:第一,这些权利是既有法律已经确定的权利,法律在确认数据处理者的数据财产权时不应忽视相关民事权利的保护。换言之,法律在对数据处理者进行确权时,如果忽视对相关主体在先权利的保护,将可能使相关的权利保护规则沦为具文,数据确权的正当性与合理性也将因此存疑。第二,法律在规定在先权利保护的规则时,通常也明确了权利保护的优先性规则。例如,《民法典》第1035条规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。”这实际上就是确定了数据处理者从事数据处理活动和行使数据财产权益的基本准则,即优先尊重和保护法律赋予数据来源者的权益的原则。第三,在某种意义上,数据来源者的在先权利是数据形成的基础,对在先权利的保护应当是数据依法处理和利用的基本前提。如果法律不对在先权利进行保护,很多纠纷可能将因此产生,这会影响对数据的有效利用。例如,数据处理者在利用数据时,应当尊重与保护数据来源者的商业秘密。如果数据处理者收集的信息中包含了其他企业的商业秘密(如某网店的营销数据),那么,数据处理者在行使数据财产权时,就不得侵害这些商业秘密。反过来说,关于商业秘密的权益构成非自然人数据来源者的法定在先权利。正是由于法律充分承认和保护这些权益,广泛的、分散的数据来源者才具有积极参与数字经济活动的信心。原因在于:一方面,在参与数字经济活动过程中,数据来源者对这些权益受到承认和保护有明确的期待;另一方面,法律充分承认和保护这些权益也有助于提升数据来源者参与数字经济活动的信心。无论是对自然人主体而言,还是对非自然人主体而言,如果参与数字经济活动会损害其已经存在的利益,那么,其很可能就会对参与数字经济活动采取保守性态度,这将影响数据的生产。第四,法律明确对数据来源者的法定在先权利予以优先保护还有助于划定数据处理者权利行使的边界,确保数据生产与流通活动依法展开,维护数据要素市场的运行秩序。反之,如果法律不对数据来源者的在先权利予以优先保护,那么,数据处理者在行使数据权利时,就可能会出现竞相侵犯数据来源者权利,甚至无底线攫取数据上的利益的现象,这反而不利于数据要素市场的健康和可持续发展。
(三)尊重当事人的约定
就性质而言,数据来源者权利是一种私权,当事人应当被允许按照私法自治精神对权利进行具体约定、作出安排。而且,因为我国对数据来源者权利的规定,尤其是关于自然人的非个人信息和某些非自然人主体的法定在先权利范围的规定尚不明确,所以当事人应当被允许通过合同安排数据来源者权利。从比较法来看,2017年,日本经济产业省和物联网加速联盟发布的《数据使用权合同指南》明确了利益相关方订立数据使用权合同的步骤,并说明了企业在协商合同的详细信息或条款时应当考虑的方面,其中涉及各方对数据创建的贡献水平,如出资水平、财务负担、设备所有权或使用权、经营实体、独创性等,具有可行性和借鉴意义。依据欧盟《数据法案》的规定,在用户有义务向数据处理者提供数据时,数据来源者和数据处理者应就此达成协议。新加坡《数据共享与开放框架》也有类似规定。这些规定值得借鉴。鼓励当事人通过合同安排相关数据来源者权利有利于弥补法律规定的不足。
对自然人主体而言,《民法典》《个人信息保护法》对自然人主体的各项权利作出了大量强制性规定,当事人不得通过协商放弃或者剥夺这些法定权利。然而,即使是对于自然人主体的各项权利及其行使,当事人也可以在法定的范围内通过约定作出限制。例如,《个人信息保护法》规定了信息主体的任意撤回权。在个人信息处理过程中,个人可以任意撤回同意,该权利是法律明确规定的权利。不过,当事人可以通过合同约定对该权利作出一定程度的限制,如约定在一段时间内不能撤回同意。该约定只要不违反法律、行政法规的强制性规定,不违背公序良俗,就应当具有法律效力。应当看到,个人数据不仅包括个人信息,还包括由个人生成的或者与个人相关的非个人信息(数据)。尤其是用户在互联网上发布的天气情况、心情、日常生活情况、实时情况等内容,或者上传的图片、音频、视频等,均属于非个人信息的个人数据。虽然这些数据不属于个人信息权益保护的范畴,但是,这些数据来源于个人,属于数据来源者权利应当保护的范围。如果数据处理者与自然人主体就这些非个人信息权益有明确的约定,那么,当事人之间的约定原则上应当得到尊重。与自然人主体不同,非自然人主体(如网络店铺等)主要从事生产经营活动,其在先权利主要是财产权而非人格权益,这些权利的内容与边界一般可以通过当事人的合同谈判得到安排。例如,当事人可以在合同中约定,数据来源者在向数据处理者提供相关数据时,数据处理者应当提供相应的补偿,这些约定当然具有法律效力。
当事人可以通过合同约定数据来源者权利的内容和行使方式。就公平访问权而言,当事人可以通过合同明确约定数据访问的时间、方式、规模等,这种约定是最有效的利用数据方式。当事人甚至可以通过合同约定,数据来源者不仅可以访问被收集的自己的信息,还可以访问与此相关的信息。就合理利用权而言,法律在判断数据来源者复制数据的行为是否超出合理范围时,不仅要考虑复制数据的数量,还要考虑复制数据的质量:在数量上要考虑复制的数据的规模占总数据的规模,在质量上要看数据来源者是否对数据处理者核心的观点、创新进行了利用等。当然,当事人完全可以就如何利用数据、数据处理者负有何种提供服务的义务等作出约定。
不过,数据处理者与数据来源者之间的约定常常是通过格式条款进行的。当事人之间的约定如果违反了《民法典》第497条关于合同条款公平性要求的规定,会受到法律的强制干预。就自然人数据来源者而言,法定在先权利旨在维护其人格的独立性和人格尊严,当事人可以通过合同约定适当限制这些权利的行使,但不能剥夺数据来源者依法享有的这些权利。与此类似,确立非自然人数据来源者的法定在先权利主要是为了维护其生产经营的独立自主性,使得非自然人数据来源者能够通过行使各类信息权益开展正常的生产经营活动。当事人不能通过合同完全剥夺非自然人数据来源者的法定在先权利。从实践来看,由于立法对数据来源者权利的规定不完善,某些平台通过用户协议、隐私政策等格式条款作出约定,往往会不当限制甚至排除相关主体的访问权,这就需要在立法层面确认相关主体的公平访问权等权利,并禁止当事人通过约定剥夺这些权利。
(四)促进数据的高效生产与有效利用
数据来源者权利的配置除了要坚持法定在先权利优先保护准则和意思自治原则外,还需要坚持经济效率观念,在生产要素层面进一步考虑数据的生产和利用效率问题,最大限度地发挥数据要素的经济效用。具体来说,法律在确认数据处理者对数据享有的财产权以后,有必要对数据来源者的权利同步予以确认和保护。如果法律仅仅是确认和保护数据处理者的权利,但对数据来源者的权利没有明文规定,那么,由于广大分散的数据来源者个体往往没有与数据处理者展开充分谈判和协商的机会,数据来源者对数据的合理利用需求很可能会得不到有效满足。此时,数据处理者有可能垄断数据,排斥数据来源者的访问、利用等行为,形成数据的“锁定效应”。德国学者Herbert Zech认为,法律应当在保障商业数据市场流通的基础上,限制数据处理者对数据绝对的、排他的要求,进而创设有利于市场竞争的、能相对控制数据使用权的权属。因此,法律在赋予数据处理者数据要素财产权的同时,要同步确保数据来源者能够自由地访问和使用与其参与数字经济活动相关的信息。法律确认数据来源者的权利,对于充分发挥数据同步满足多方主体多元利益诉求的功能,最大限度地发挥数据的社会福利促进功能具有重要的意义。
对数据来源者权利的安排既需要考虑数据来源者权利与数据处理者权利之间的平衡,避免过度赋权影响数据处理者的生产积极性,同时也需要避免保护不足而影响数据来源者的参与积极性和信心。如后文将要讨论的那样,对成千上万的分散个体留下的数量非常有限的信息确认和分配财产性权益,不但会带来巨大的分配成本,而且也不符合数据来源者的真实利益预期。法律一旦如此确权,将会在数据的生成环节和流通利用环节大幅增加数据处理者的征求同意成本或者购买成本。此时,无论是生产规模的扩大,还是流通效率的提升,都会遭遇实质性的阻碍。
就数据来源者权利的内容构成而言,法律应当兼顾鼓励数据生产与流通的目标。原因在于,数据来源者权利与数据处理者权利是相对应的,如果数据来源者权利范围过大甚至无所不包,那么,这些权利的行使必然会给数据处理者增添巨大的满足成本。如果法律认为数据属于数据来源者,数据来源者可以根据自己的意愿复制和任意处置自己的数据,包括向数据处理者的竞争对手提供数据,数据处理者的权利和生产动力将会受到明显侵害。毕竟,数据处理者需要在投入实质性的人力和技术后才能使信息数字化,上述不受约束的数据使用行为将很可能使数据处理者的经济投入得不到必要的回报,从而让数据要素的整个生产环节进入混乱状态,数据的高效流通就更难以谈起。
四、数据来源者权利的内容构成
(一)数据来源者权利的具体内容
按照数据来源者权利的确定准则,我们进一步讨论这类权利的具体内容。尽管我们可以从多个角度对数据来源者的权利作出类型区分,但是,就数据来源者的权利而言,我们可以进一步将之区分为自然人主体的权利与非自然人主体的权利。原因在于:一方面,由于这两类主体在伦理属性上存在明显区别,因此,在对这两类主体赋权时,法律致力于保护的目标存在重大差异。法律赋予自然人主体权利,主要是为了保护此类主体的人格尊严和人身自由。相对于网络店铺经营者等非自然人主体的权利而言,有很多自然人主体的权利需要通过法律得到强制承认和保护,有更多的权利内容需要受到优先保护,当事人甚至不能通过合同协商来约定排除甚至剥夺这些权利。另一方面,现行法律制度对这两类主体在先权利的规定的系统性与完备性存在明显不同。对于自然人作为数据来源者的权益,《民法典》人格权编与《个人信息保护法》已经结合数字经济的特点作出了系统性的规定,相关权利包括知情权、同意权、查询权、复制权、更正权、删除权和可携带权等多种具体类型的权益。不过,在数字化技术高速迭代和商业模式快速更新的过程中,自然人能否拒绝个人信息被规模化处理等争议开始出现,值得特别讨论。
1. 公平访问权
所谓公平访问权(Recht auf fairen Zugang, right of fair access),是指用户可以访问、查询相关数据内容和信息的权利。欧盟《通用数据保护条例》第15条就确认了数据主体的数据访问权。当然,该条实际上是从个人信息的角度,允许个人信息主体有权从数据控制者处获取其个人数据是否正在被处理、处理的目的、所涉个人信息的类别等信息。欧盟《数据法案》第8条第1款规定:“根据第5条和其他欧盟法律或实施欧盟法律的国家立法,数据持有者有义务向数据接收者提供数据,数据持有者应根据本章和第四章的规定,以公平、合理和非歧视性的条件和透明的方式提供数据。”此种经验值得借鉴。
公平访问权应当是一项广泛适用于自然人主体与非自然人主体的在先权利。一方面,就自然人而言,尽管《个人信息保护法》已经规定了个人对其个人信息的查阅权,但是,此种权利主要指个人信息主体对其自身信息进行查询的权利。然而,在自身个人信息之外,个人还应当享有访问更大范围的数据及其信息内容的权利。欧盟《数据法案》进一步确认了公平访问权,这也在一定程度上表明,查阅权还不能有效涵盖所有公平访问的权利。另一方面,非自然人主体也应当享有公平访问权。以网络平台内的大量网店为例,虽然这些网店为平台数据的生成贡献了有价值的信息内容,但是,这些网店也有通过广泛的数据访问权限实现其正常经营活动的利益预期:这些网店不仅可以访问自己网店的经销信息,还应当可以访问其他同业网店的经销信息,如通过访问和参考其他网店的店面设置来优化和改善自身的网店界面,以提升自身的经销能力。
公平访问权应当从数据来源者与数据处理者两方面理解。第一,就数据来源者而言,数据来源者权利强调的是访问的合理性与公平性。首先,访问的主体原则上应当限于数据来源者,其他主体不应当享有访问权。如前所述,自然人对自身的个人数据当然依法享有访问权。非自然人主体对于由其促成的数据和与其相关的数据也应当享有访问权。其次,访问的目的应当具有正当性。通常来说,数据访问权要求用户在访问数据时必须要有正当的事由,用户不能出于不正当竞争等商业目的访问和利用数据。最后,访问的范围应当受到合理限制。用户的访问权限应当被限制在一定范围内,访问的范围通常是与自己的业务相关联的数据。第三人在主张访问相关的数据时,应当证明自身具有相应的合法利益。例如,用户在购买一辆汽车后,应当有权访问与该车型相关的使用数据,而不包括其他数据。至于如何具体判断公平访问的范围,需要结合用户的商业活动信息来讨论。第二,就数据处理者而言,其有义务保障向数据来源者以公平的、合理的、非歧视性的条件和透明的方式提供数据,确保数据来源者直接地、轻松地、安全地获取相关数据。尤其是数据处理者不得与用户签订不公平合同条款来排除数据来源者访问数据的权利。
之所以要在法律上确认和保护公平访问权,主要原因在于:一方面,数据来源者对数据的形成作出了贡献。从实践来看,数据的形成通常是多个主体共同作用的结果,赋予用户等数据来源者对数据的公平访问权,可以被视作对其在数据形成过程中所作贡献的一种补偿。另一方面,在法律上确认和保护公平访问权,确保用户对使用产品或服务过程中产生的、涉及的数据享有公平的访问权和利用权,有利于构建一种良好的合作关系,从而鼓励用户积极参与数字经济活动。例如,已出售的智能汽车产生的传感器数据可被汽车制造者获取并用以维护汽车功能。该种数据在性质上并不属于商业秘密。允许用户访问此类数据,可以使用户及时了解智能汽车的使用状况,这不仅有利于保护消费者的权益,还使得用户能够及时向生产者、销售者反馈汽车的运行状况,从而有利于生产者提高生产质量。此外,在法律上确认和保护公平访问权有助于促进“数尽其用”。从实践来看,大量数据被掌握在少部分大型公司手中,这些大型公司不允许其他企业访问数据,这就使得这些数据不能得到有效利用。即便小型企业和消费者是产品的用户,即便相关数据系小型企业和消费者使用产品所产生,小型企业和消费者也很难访问和利用相关的数据,也很难将数据转移到第三方企业。这种数据利益分配情况通常被认为是不公平的。同时,对一些在下游或邻近市场提供服务的公司而言,其提供服务的前提是能够访问数据,获取数据困难成为这些公司进入市场进行自由竞争的障碍,这影响了数据潜在价值的发挥。因此,确认数据来源者对相关数据的公平访问权,对于促进数据流通和确保利益相关方对数据的使用来说是一种很好的制度安排。
2. 合理利用权
所谓合理利用权(eine faire Datennutzung,fair use of data),是指依据法律和合同约定,数据来源者可以根据自身需要在各个生产经营环节自主加工使用数据的权利,包括对数据进行合理利用。欧盟《数据法案》第2条要求产品的设计和制造,以及相关服务的提供应该确保用户可以便捷地、安全地获取产品使用过程中产生的数据,并且可以通过适当的方式直接获得相应数据。我国法律也应当承认此种权利。在实践中,一些平台经营者既收集平台内经营者的经营数据,也向平台内经营者提供平台基础服务。例如,淘宝平台向平台内经营者提供“生意参谋”的数据服务,允许平台内经营者合理利用其经营的店铺的经营数据,作出更优的商业决策。由于这些平台内经营者往往缺乏数据处理能力,因而由平台经营者收集和处理相关数据,平台内经营者则应当对这些数据享有合理利用权。
法律之所以承认数据来源者对数据的合理利用权,主要是考虑到数据来源者对数据的形成有贡献,对数据的合理利用权在某种意义上可以被看作数据来源者贡献的一种对价。法律虽然不一定赋予数据来源者财产权,但可以赋予数据来源者合理利用权,这对于促进数据有效利用具有重大意义。确认数据来源者的合理利用权,有利于促进数据的流通与数据的发展,有效释放数据的潜力。倘若数据处理者不允许数据来源者使用数据,将会造成更加严重的数据垄断。由于数据来源者技术能力的限制,其很难自己收集相关数据,但是,在平台已经收集相关数据的情况下,法律赋予数据来源者合理利用权,有利于数据来源者进一步开发利用相关数据,从而促进数字经济的发展;同时,法律赋予数据来源者合理利用权也有利于打破数据处理者对数据资源的垄断。数据不同于传统生产要素的重要特征在于其具有非竞争性:数据越用越有价值。即便对同一数据资源而言,数据处理者与数据来源者对其开发利用的方式也可能完全不同。例如,作为数据处理者,平台重视的是某一类商品的销售数额,从而决定赋予该类商品多少广告空间;作为数据来源者,平台内经营者关注的是销售数据展示出来的用户购买需求。因此,平台和平台内经营者对同一数据的开发利用思路和方案将会存在显著差异。在这样的背景下,法律赋予数据来源者合理利用权,可以最大限度地发挥数据的经济效用。在这个意义上,法律应当赋权数个主体通过多维度开发、挖掘数据价值,提升企业管理效率和决策质量,或者形成新的数据产品或服务,从而创造商业价值,提升企业商业竞争力。例如,在汽车的销售和使用过程中可能会产生相应的销售数据、保险数据、驾驶数据等多种类型的数据,允许数据来源者访问相关的数据,将有利于更好地发挥相关数据的经济效用。例如,汽车的销售者可以通过汽车的运行数据实时了解汽车的运行状况,从而提供更好的服务;汽车的保险人则可以通过了解汽车的运行数据,更为精准地确定保险费、赔付条件等,这显然更有利于发挥相关数据的经济效用。在商业实践中,一些平台的用户协议或者隐私政策没有正面赋予个人对这些个人数据的使用权,而是直接规定平台自身对用户发布的文字、图片、视频、音频等享有使用权。在笔者看来,这种做法不正当地限制了个人作为数据来源者的合理利用权。
合理利用权的具体内容应当包括:一是复制权,即数据来源者有权复制数据处理者收集的关于数据来源者的数据。就个人信息而言,《个人信息保护法》第45条规定了复制权。这一权利允许个人从个人信息处理者处复制和携带个人信息,但是,这一权利只针对个人信息。除了个人信息以外,在实践中还存在大量来自个人但并不属于个人信息的数据。例如,个人信息处理者大量收集的个人的著作、论文、评论等虽然来自个人,但并不属于个人信息。又如,个人在微博上发布的微博、在“大众点评”上发表的评论,以及在微信朋友圈中发布的照片等很难被评价为个人信息,但又来自个人,因此,个人对这些数据应当享有数据来源者权利。数据来源者对于自己的相关信息可能没有进行收集和整理,但是,数据处理者进行了收集和整理,此时,数据来源者有权利要求进行复制。二是对自己数据的加工整理和利用权。数据来源者的复制权是合理利用数据的基础和前提,只有当数据来源者有权复制自己的数据时,数据来源者才有可能对该数据作进一步的利用。合理利用权首先是指数据来源者可以自己利用相关数据,这里的利用不仅包括复制数据,还应当包括分析和挖掘数据。此外,合理利用权还应当包括对数据进行加工的权利,即数据来源者可以对数据进行进一步的加工,甚至按照一定的算法处理数据,从而形成衍生数据或者数据产品。那么,数据来源者能否开发与数据来源产品竞争的产品?欧盟《数据法案》第4条第4款规定,用户不得将根据第1款所述请求获得的数据用于开发与数据来源产品竞争的产品。这一观点值得商榷。毕竟,此类数据源于数据来源者自身的生产经营活动,无论数据来源者将数据用于特定商业活动,还是数据处理者将数据用于相应商业活动,原则上说两者都有参与生产经营竞争活动的机会,法律应当给予平等的保护。三是依据合同享有的其他权利,如数据来源者请求数据处理者提供类似于淘宝平台向平台内经营者提供的“生意参谋”的平台基础服务的权利。
在没有合同约定的情况下,是否可以允许数据来源者将其复制的数据处分给第三方?对此存在不同观点。笔者认为,合理利用原则上应当限于数据来源者自身的生产经营和生活需要,包括将数据用于一些与数据处理者具有商业竞争关系的自我生产经营活动。不过,一般来说,数据来源者不能将其数据向与数据处理者具有竞争关系的第三方平台企业提供。毕竟,第三方没有直接参与数据的生产活动,这很容易构成不正当的搭便车行为,破坏公平的生产经营竞争秩序。数据来源者擅自向第三方提供相关数据,超出了合理利用数据权利的范围,缺乏正当性基础;同时,第三方擅自利用相关数据也可能构成不正当竞争行为,涉嫌剥夺数据处理者(平台)的竞争利益。
3. 可携带权
所谓可携带权(right to data portability),是指数据来源者在符合法定条件和当事人约定的条件下,将其在一个平台上的数据携带到另一个平台。就个人信息而言,个人毫无疑问依法享有可携带权。可携带权和复制权的区别在于:复制权的行使意味着对数据的复制,数据处理者仍然可以保留这些数据;而可携带权的行使意味着对数据的转移,而不只是一种简单的复制。同时,数据来源者在行使复制权时,通常是自己进行数据的复制;而数据来源者在行使可携带权时,数据处理者应当予以配合,并提供便利。
欧盟《通用数据保护条例》在个人信息层面确认了个人对其个人数据的可携带权。该条例第20条明确规定,数据主体有权以结构化的、通用的、机器可读的格式接收其提供给数据控制者的个人数据,并有权将其传输给其他数据控制者,而不受提供该个人数据的数据控制者的妨碍。欧盟《数据法案》第5条第1款规定,应用户或代表用户的一方的要求,数据持有者应向第三方免费提供因使用产品或相关服务而产生的数据,不得无故拖延,数据质量应与数据持有者可获得的质量相同,并在适用的情况下连续实时提供。我国《个人信息保护法》同样规定了个人信息主体的可携带权。不过,在个人信息被处理为数据后,对于非个人信息,个人和企业是否享有可携带权,现行立法并未作出规定。
企业数据的可携带权涉及数据来源者与数据处理者之间的权利冲突问题。例如,一家牛奶经销企业在多个电商平台从事经销活动,在各个平台上都产生了相应的经销数据。该企业当然可以通过行使复制权,将各类信息汇集到一起,这有助于更系统地分析和优化其商业经销策略。问题在于,网络店铺等非自然人信息来源主体是否享有相应经销信息的可携带权?是否有权要求一家电商平台为其提供技术协助服务,协助其将数据从一家平台转移到另一家平台或者第三方平台进行汇聚和分析?例如,曾经在一家网络零售平台上持续经营的网店拟入驻新的网络零售平台,并希望将在原平台上的经销信息迁移至新的平台。然而,原平台常常以相关经销信息同时构成网络平台自身的经营信息为由,或者以原平台与网络店铺之间有平台规则或者协议关系为由拒绝此种数据迁移。“数据二十条”规定,“保障数据来源者享有获取或复制转移由其促成产生数据的权益”。从该规定来看,虽然“数据二十条”将可携带的数据严格限制在“由数据来源者促成产生数据”的范围之内,但是,“数据二十条”实际上确认了数据来源者对其数据享有可携带权。
可携带权的行使确实可能导致数据的完整性受到损害。需要讨论的是,在数据来源者行使可携带权之后,数据处理者是否有义务删除相关的数据?笔者认为,如果相关的数据涉及个人信息,数据来源者的意愿首先要得到尊重。虽然我国《个人信息保护法》没有明确规定,在信息主体行使可携带权后,个人信息处理者负有删除个人信息的义务,但是,一旦信息主体要求删除相关个人信息,那么,依据《个人信息保护法》第47条的规定,个人信息处理者应当负有删除相关个人信息的义务。如果个人在行使可携带权后没有要求删除个人信息,那么,个人信息处理者仍然可以将相关个人信息继续保留在原数据中。不过,对非个人信息而言,数据来源者在行使可携带权后能否请求数据处理者删除相关数据?笔者认为,在此种情形下,数据处理者并不负有删除义务。原因在于:一方面,对个人信息而言,法律之所以允许个人在行使可携带权之后有权主张删除相关的个人信息,主要是因为个人信息保护涉及个人人格尊严的保护,即法律为保护个人的人格尊严而单独赋予个人要求删除个人信息的权利。与此相对,非个人信息并不涉及个人人格尊严的保护,而且也没有法律规定数据处理者在此种情形下负有删除义务。另一方面,在数据来源者行使可携带权之后,如果允许数据来源者要求数据处理者删除相关的数据,数据的有效利用将可能受到影响,因为数据处理者通常对相关的数据进行一种集合性的、整体性的利用。虽然数据来源者行使可携带权通常并不会影响数据的整体性,但是,如果法律允许数据来源者要求数据处理者删除相关的数据,将会影响数据的整体性。这既会扰乱数据处理者的整体经营安排,影响数据处理者对利用数据的合理期待的实现,使数据处理者遭受一定的损失,也会影响数据的有效利用。
在企业作为数据来源者的情形下,如果相关数据确实涉及企业的商业秘密,企业在行使可携带权后能否主张删除相关数据?笔者认为,此种情形涉及在先权利优先保护规则的适用。在此情形下,数据来源者应当依据在先权利优先保护规则主张数据来源者删除相关的数据,而不是依据可携带权向数据来源者主张删除请求权。
4. 自然人个人数据大规模处理拒绝权
就自然人而言,我国《个人信息保护法》第27条对数据处理者处理已经公开的个人信息作了规定。依据该规定,对于已公开的个人信息,个人有权拒绝个人信息处理者处理该个人信息。当然,对于已公开的个人信息而言,即便未经个人同意,个人信息处理者也可以在合理范围内处理该个人信息。但是,此种规定主要还是以数据处理者处理单条个人公开信息的行为为规范原型的,尚未系统考虑对已公开的个人信息进行规模化处理的问题。个人信息的规模化处理可以表现为数据处理者将一个自然人的裁判文书信息、行政处罚信息、信用信息、作品发表信息乃至一般社会活动信息加以汇集,通过某个或者某些视角来呈现这个人的人格形象。同样是已经公开的信息,其在被汇集前后对个人人格形象的样貌形成和呈现度的影响存在重大差别。例如,在一个案件中,被告运营某款智能手机记账软件。该软件允许用户自行创设或添加“AI陪伴者”,设定“AI陪伴者”的名称、头像、与用户的关系、相互称谓等,并通过系统功能设置“AI陪伴者”与用户的互动内容,系统称这一过程为“调教”。法院认为,被告未经原告同意使用原告姓名、肖像,设定涉及原告人格自由和人格尊严的系统功能,构成对原告姓名权、肖像权、一般人格权的侵害,遂判决被告向原告赔礼道歉、赔偿损失。这意味着,当数据来源者为个人时,个人享有对个人数据大规模处理的拒绝权。
当然,即便是自然人的个人信息,如果个人信息处理者已经对之进行了匿名化处理,那么,相关的个人信息将被转化为无法从中识别出个人身份的数据。在此情形下,个人信息处理者享有广泛的处理权。换言之,即便个人信息处理者对此类数据进行大规模处理,也无须单独取得个人的同意,个人不享有拒绝权。
值得注意的是,对于非自然人而言,同样存在数据的大规模处理问题。例如,一家商业化的信用咨询平台将各大网络店铺的线上线下经销信息、生产物流信息、争议解决信息乃至融资信息加以汇集,形成企业生产经营画像并作为商业产品对外销售。一般来说,这种做法会影响相应店铺的市场形象和外部经营环境,对于店铺而言具有重大利害关系。关于非自然人数据的大规模处理问题,一方面,由于我国法律没有对非自然人主体的拒绝权作出规定,因此,非自然人主体的数据大规模处理拒绝权目前仍缺乏明确的法律依据;另一方面,非自然人数据的大规模处理问题可以交给当事人通过合同作出约定,也就是说,数据处理者可以与作为数据来源者的非自然人主体通过合同就数据的大规模处理作出约定。在当事人没有对此作出约定的情形下,笔者认为,不宜承认非自然人主体享有数据大规模处理的拒绝权,因为数据的大规模处理既是数据产业发展的重要条件,也是实践中数据处理的常见情形。如果我们承认非自然人主体享有数据大规模处理的拒绝权,将可能会影响数据经济效用的发挥,不利于保护数据处理者处理数据的合理预期,并从根本上影响数据产业的发展。同时,对非自然人主体而言,由于其数据权利的保护并不存在自然人个人数据保护中保障个人信息自决权利、维护个人人格尊严的制度需要,因此,法律不宜承认非自然人主体享有数据大规模处理的拒绝权。
此外,允许数据处理者对非自然人主体的数据进行大规模处理,也有利于对消费者权益的保护。例如,数据处理者汇集店铺的相关信息,并且在互联网上公开,有利于消费者知情权的实现,从而保护社会公共利益。尤其是,数据处理者将店铺直接向消费者提供产品或者服务的相关业务公之于众,可以保障消费者的合法权益。对非自然人主体而言,如果数据的大规模处理侵害了非自然人主体的商业声誉、商业秘密等在先权利,那么,其可以通过在先权利保护规则获得权利保护。例如,数据处理者如果将店铺的内部关系或者企业治理结构公之于众,不仅无益于消费者权益保护,还可能侵犯店铺的商业秘密,此时,店铺经营者应当有权予以拒绝。
除上述权利外,对于数据来源者究竟对数据享有哪些权利,当事人可以通过约定加以确定。例如,淘宝平台的“生意参谋”就为数据来源者提供了一些必要的服务,这实际上体现了当事人通过约定确定数据来源者享有请求数据处理者提供数据服务的权利。当然,在当事人没有约定的情形下,数据处理者应当没有义务向数据来源者提供相关的数据服务,否则法律就赋予了数据来源者过大的权利,这反而可能会影响数据的有效处理与流通。
(二)作为数据来源者的自然人是否享有数据财产权?
按照“数据二十条”,数据确权主要是确认数据处理者对数据享有财产权,并没有确认作为数据来源者的自然人享有数据财产权。在数据形成过程中,作为数据来源者的自然人对数据的形成也作出了一定程度的贡献,例如,其通过点击鼠标、取款、购买信用卡等对数据的形成作出了一定程度的贡献。据此,有学者主张,数据确权不应当仅是对数据处理者进行确权,还应当是对数据来源者进行确权。例如,德国学者费泽认为:“在资产阶级社会的历史上,知识产权的正当性是个人的智力创造。在21世纪的数字信息社会,数据所有权的正当性基础是数据由公民个人行为生成。由此显现出了一条清晰的历史脉络:从物上所有权到知识产权,再到行为产生的信息数据所有权。”这就提出了一种基于用户个人作为数据生产者的行为生成的个人数据的非物质财产权理论。该理论建议将基于用户个人行为生成的信息数据的原始非物质财产权(sui generis)法律规范化。与此相似,莱斯格(Lawrence Lessig)教授认为,如果将数据财产权授予数据收集者即经营者,那么,事实上的数据主体(data subjects)即用户就要花费大量的成本才能发现信息是否被收集和正在被如何使用,而数据收集者将不需要支付任何成本,因为其已经占据并使用着数据。这种观点认为,数据权益是多方共同参与形成的,法律应当按照对数据形成作出贡献的比例赋予各方主体权益。同时,法律承认个人对其个人数据享有财产权,有利于提高个人同公司等主体进行谈判的能力,更有利于保护个人的利益。我国也有学者认为,法律应当从保有利益的正当性和价值贡献因素出发,构建数据主体与数据使用者、数据使用者与数据使用者之间的用益补偿规则(Nutzungsausgleich)。也有学者认为,法律有必要确立个人数据权和企业数据权,承认对数据作出贡献的主体享有财产权。
上述观点不无道理。从比较法上来看,《欧盟数据库指令》第7条第1款在版权之外创设了特殊权利(sui generis right),为选择或编排不具有独创性但在“质”或“量”上具有实质性投入的数据库提供保护。实质性投入体现在对内容的获取、检验核实或呈现方面。可见,如果数据库具有独创性,其可以依法受到著作权法规则的保护;即使其不具有独创性,也可以受到财产权规则的保护。自然人的少量非个人信息(如个人在互联网上发布的天气情况、心情、日常生活情况、实时情况等内容)不能形成数据库,无法受到个人信息保护法律和著作权法规则的保护。从“数据二十条”的内容来看,“数据二十条”区分了数据处理者的权利与数据来源者的权利,这实际上已经注意到了对用户权利的保护。不过,笔者认为,除享有在先权利外,作为数据来源者的自然人对其少量数据不应当享有数据财产权,主要理由在于:
第一,如果个人对其数据享有在先权利,那么,这种在先权利应当优先于数据处理者对数据享有的财产权而受到法律保护,法律不必确认个人对其少量数据享有财产权。例如,个人在“大众点评”上发布的对某个菜品的点评如果具有独创性,可以受到著作权规则的保护;如果个人留下了住址、联系方式,甚至有关银行账户信息等,这些信息属于个人信息权益、隐私权的保护对象。从权利救济层面看,对数据处理者的数据权益进行确权并不影响对个人信息的保护。因此,即便法律不承认作为数据来源者的自然人对数据享有数据财产权,也不会影响其隐私权、个人信息权益受到保护。
第二,即便相关数据不属于个人信息,法律也不应当确认自然人对其少量数据享有财产权。原因在于:一方面,对于自然人的少量数据,我们很难计算或确定财产价值。另一方面,针对自然人的少量数据赋予自然人数据财产权会不当扩张自然人的权利范围,导致自然人对由其产生的数据之外的其他数据享有权利,这显然不妥当。例如,在“徐某婷诉苏州某公司个人信息保护纠纷案”中,法院认为:“鉴于苏州某公司违反法律规定,擅自收集、储存、使用徐某婷人脸信息构成侵权,故徐某婷有权要求苏州某公司删除其人脸信息并赔礼道歉。”虽然徐某婷同时主张苏州某公司赔偿其经济损失三万元,但是,法院认为,苏州某公司单独收集人脸信息的行为并没有给徐某婷造成财产损失,因此驳回徐某婷的诉讼请求。从该案来看,作为一种可以被商业化的人格要素,单个人的信息尽管具有经济价值,但是,就单个信息而言,在数据处理者进行规模化汇集处理之前,其经济价值是十分有限的,难以被计算。因此,法院在支持信息来源主体的其他个人信息权利主张的同时,并没有支持其关于财产损失赔偿的主张,判决结果具有合理性。当然,如果企业利用单个用户的个人信息给用户造成了现实的财产损失,或者企业违规对个人信息进行规模化处理等,那么,企业需要依法承担财产损害赔偿责任。
第三,虽然数据处理者处理的相关数据与用户的行为相关,但是,除了用户个人数据以外,其他的数据并没有身份识别的特点,因此,如果法律承认普通用户对相关数据的财产权利,由于数据缺乏身份识别的特点,权利的份额客观上无法被判定。尤其是对平台数据而言,平台数据通常包括海量用户的个人信息和基于用户个人信息产生的其他数据;而且除用户的个人信息、数据外,平台数据还可能同时包含企业数据与公共数据。这些数据共同构成了平台数据,并促成了平台数据整体价值的形成。在此情形下,单个用户的少量信息的价值在整个平台数据价值中的占比如何,难以得到精确的衡量。法律承认用户对平台数据享有数据财产权,显然会导致难以确定权利份额的问题。
第四,作为数据来源者的自然人通常没有获得数据财产权的利益期待。虽然自然人在从事网络活动时会产生一定数量的数据,但是,自然人的主要目的是获得相关的网络服务,而非取得相关的数据财产权。同时,个人在从事网络活动、产生数据的同时,也没有实施相关的数据收集、加工等数据处理活动,法律很难认定其具有取得生产要素意义上的数据财产权的利益期待。因此,法律不宜赋予作为数据来源者的自然人以数据财产权。
第五,如果法律赋予成千上万的分散数据来源者以财产权,那么,这不仅会产生巨大的权利分配成本,还会因为数据来源者行使此种权利,给数据处理者的数据利用活动造成巨大的经营成本,产生巨大的商业挫败成本,将更不利于数据的有效流通。的确,如有的学者关切的那样,数据“权利束”如果形成了“数据沼泽”,将不利于在数据上形成稳定的权利秩序,会阻碍数据权利边界的划分与数据的流通利用。
总之,作为数据来源者的自然人如果享有在先权利,其应当受到相应的在先权利规则的保护。除在先权利外,法律不宜再赋予作为数据来源者的自然人对其少量数据的数据财产权。当然,如果数据处理者与数据来源者之间明确约定了数据财产权的分配,此种约定应当得到尊重。
五、数据来源者权利的保护
数据是一种新财产,该新财产蕴藏着难以估计、评价和计算的巨大价值。在数据来源者权利得到明确之后,法律就需要解决数据来源者权利的保护问题。法律保护数据来源者的在先权利,有利于促进数据的生产和流通。无论是对自然人主体而言,还是对非自然人主体而言,如果这些权益得不到有效保障,广大数据来源者很可能趋于采取保守性网络活动策略,这将阻碍数据的生产,数据的高效流通和利用更无从谈起。也就是说,数据处理者的数据财产权能否得到有效行使,在很大程度上取决于法律对数据来源者前述权益的保障程度。如前所述,法律在数据保护中应当区分数据来源者的权利与数据处理者的权利,对数据来源者的权利予以尊重与保护应当成为数据处理者依法行使权利的前提和基础。因此,法律明确数据来源者的权利类型、权利边界,既有利于明确数据处理者对数据享有的权利类型和权利边界,也有利于数据处理者对数据的有效利用,如此才能真正有效地培育和发展数据要素市场。
法律保护数据来源者权利,首先要明确该项权利的性质。有学者认为,数据来源者权利是一种沟通治理型的权利。也有学者认为,数据来源者权利是一种程序性的、非绝对性的、举报建议性的权利,这实际上是认为数据来源者权利并非法定的民事权利。笔者认为,数据来源者的权利应当是一种法定的民事权利,它是当事人在没有特别约定的情形下应当享有的一项权利。一方面,《民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”该条既是一项宣示性条款,也是一项引致条款。该条规定了数据和网络虚拟财产的保护规则。从体系解释来看,该条规定于《民法典》总则编第五章“民事权利”中,这表明数据权益是民事权利体系的组成部分,是一项重要的民事权利。数据来源者对数据享有的权利在性质上是数据权利的重要类型,也应当是一项重要的民事权利。另一方面,数据来源者享有的各项在先权利(包括人格权、知识产权等)都属于民事权利的重要组成部分,尤其是数据来源者对数据享有的合理利用权、可携带权和自然人个人数据大规模处理拒绝权等也应当受到《民法典》人格权编、《个人信息保护法》等法律的保护。具体而言,对数据来源者权利的保护应当注意如下几点:
首先,从性质上看,数据来源者权利应当属于民事权利,而非一种行政性的权利。在遭受侵害时,数据来源者有权依法主张民事责任。如果法律仅仅将数据来源者权利界定为举报建议性的权利,那将会使数据来源者权利的效力大打折扣,同时也不利于对数据来源者的保护。例如,当数据来源者的权利受到数据处理者侵害时,如果数据来源者只能向行政机关投诉,那么,数据来源者权利的法律保护将会受到严重限制。“权利的存在和得到保护的程度,只有诉诸民法和刑法的一般规则才能得到保障。”倘若数据来源者只能向行政机关进行举报投诉,那么,数据来源者权利就不是真正意义上的权利,这是因为,只有当权利主体可以按照自己的意愿执行该权利对应的义务时,这一权利才是真正的权利。
其次,法律应当区分数据来源者权利的不同类型,分别认定权利效力。从数据来源者权利的类型来看,数据来源者权利可以分为如下两大类:一是数据来源者的在先权利,如隐私权、个人信息权益、著作权等;二是数据来源者对数据处理者享有的公平访问权、合理利用权、可携带权等权利。这两类权利的内容和效力存在一定程度的区别。数据来源者的在先权利无论属于人格权益还是属于财产权,原则上都是一种绝对权。无论是数据处理者,还是其他主体,都不得非法侵害此类权利,否则数据来源者有权依法请求行为人承担相应的民事责任。例如,就包含个人数据的平台数据而言,如果平台经营者在处理该类数据时侵害了个人信息权益,那么,个人有权依法请求平台经营者承担民事责任;同时,如果平台经营者之外的行为人非法抓取平台数据,而且被抓取的数据中包含个人数据,那么,个人有权依法请求行为人承担民事责任。
数据来源者对数据处理者享有的公平访问权、合理利用权等权利在性质上主要是一种相对权。也就是说,此类权利的实现需要数据处理者实施一定的行为。数据来源者在行使此类权利时,首先应当向数据处理者提出请求,数据处理者应当依法为数据来源者行使权利提供便利。在数据来源者主张行使权利时,只有数据处理者未依法提供便利,甚至拒绝数据来源者依法行使权利,数据来源者才能依法请求数据处理者承担民事责任。例如,如果数据处理者拒绝向数据来源者提供复制的数据,从而导致数据来源者无法行使合理利用权,那么,数据处理者就侵害了数据来源者的权利。此时,数据来源者可以要求数据处理者继续履行提供数据的义务,或者要求数据处理者承担损害赔偿的责任。因此,这种权利保护的特点在于,数据来源者必须先向数据处理者提出请求,倘若数据处理者加以拒绝,那么,数据来源者就可以要求数据处理者承担民事责任。在这一意义上说,数据来源者的此种权利具有相对性,这种权利只能向实际处理数据的数据处理者主张,不能向不特定的第三人主张。与传统的侵权法保护的权利不同,这种性质的权利不能对任何第三人产生绝对的、排他的效力,只有当数据来源者提出的请求不能实现的时候,其才能受到侵权法的保护。
结 语
自“数据二十条”颁布之后,学术界已经在数据应当确权的基础性问题上形成了初步共识,但仍需进一步深入研究如何确权的重大理论与实践问题。原因在于,这不仅涉及数据上各方利益相关者的利益期待的满足,更关涉数据的生产与流通活动能否高效展开和有序发展。迄今为止,学术界关于数据确权的讨论主要聚焦于数据处理者的权利属性与构成问题。这是必要的,但仍然是不够的。实际上,数据处理者的权利与数据来源者的权利之间具有复杂共生和相互依存的关系,它们均为数据权利的重要组成部分,需要法律予以系统协调和科学安排,以最大限度地提升各方主体参与数据生产和流通活动的积极性。在确认和保护数据处理者的权利的同时,未来我国立法应当明确承认数据来源者的权利,对数据来源者的权利进行列举规定,明确数据来源者权利的类型、范围和边界等问题。法律对数据来源者的权利予以确认和保护,有利于打破数据处理者对数据的垄断,并且有利于促进数据的流通和利用。当然,对数据来源者权利的保护既不应当不当影响数据处理者对数据权利的合法行使,也不应当不当妨碍数据的合理流通与利用。
点击二维码关注法制与社会发展微信公众平台