李晓珊:数据产品的界定和法律保护
摘要:数据产品与原始数据、数据库特殊权利、著作权均不应被置于同一维度来考察。数据产品应属财产权,具有排他性和明确的权利内涵,具有占有、使用、收益和处分权能。在行为法保护路径下,反不正当竞争法对数据产品的“竞争主体”和“竞争范围”所作的扩张性解释存在泛化“一般条款”的趋势,弱化了司法的可预见性。因此,应通过赋权路径实现对数据产品的保护,但需要对以下问题保持关切:明确数据产品之财产权的内涵;数据控制者需被课以严格的再识别风险防范义务;基于数据流动、共享和增值的理念,网络平台作为数据的控制者,其限制访问的条款之正当性应受到质疑,且网络平台无权对访问者区别对待;数据产品的权利人可通过“可追溯日志”的方式来记录其对数据的增值过程;在面对公共利益的需要时,数据产品财产权应受到限制。关键词:数据产品;财产权;权利内涵;赋权路径
目次
引言
一、数据产品与类似概念之辨析
二、数据产品之财产权取得的理论基础和权利内涵
三、数据产品财产权的保护
余论
引言
我国工信部《大数据产业发展规划(2016-2020)》提出了五年中的七大任务,其中的首要任务是强化大数据技术产品的研发,培育安全可控的数据产品体系。近几年,国内学界对数据权益问题进行了较为广泛的讨论。然而目前,国内学界的研究更多地是将数据与数据产品置于同一维度来考察,仅有少数研究关注到“数据产品”与“数据”的区别、数据产品的权利属性、内涵以及法律保护问题:有学者对数据产品进行了单独的界定,认为数据产品具备财产所有权的四项权能,应赋予其财产权;也有学者认为目前关于数据产品的司法判决存在脱离反不正当竞争法,并将反不正当竞争法上明确规定的不正当竞争行为架空的风险;还有学者认为,数据产品必须满足权利授予的相关条件,方能适用权利保护模式,对于无法达到权利保护模式的数据产品,应采行为规制模式。数据产品的界定和法律保护应当对如下几点保持关切:其一,数据产品的形成条件和权利边界尚未厘清,立法将数据产品界定为财产权的现实和理论基础为何?其二,反不正当竞争法的保护路径意在对于原始数据、数据产品进行事后的救济和保护,那么如何回应对数据产品进行事前保护的现实需求?另外,《反不正当竞争法》第12条的“互联网专款”所规定的四种不正当竞争行为是否足够用于规制侵权方的行为?其三,赋权路径保护还需回应哪些现实困难?
一、数据产品与类似概念之辨析
(一)数据产品不是原始数据:以“淘宝诉美景案”和“大众点评诉百度案”为例
目前,在有关“数据权益”的研究中,学界通常将“淘宝诉美景案”和“大众点评诉百度案”置于同一维度中进行考察。有学者认为,在两个案件中,淘宝公司和大众点评公司的涉案标的均属“企业数据”。诚然,“生意参谋”与大众点评的网络用户的评论有诸多共同点,其一,两家公司的原始数据均是基于《网络安全法》中所提出的“合法、正当、必要原则”而合法获取的;其二,两家公司无论在开发数据产品还是获取用户点评信息的过程中都付出了较长的时间和较高的成本;其三,“生意参谋”和大众点评上的用户点评信息都具有市场价值,能够给公司带来可观的市场收益。但实际上,淘宝公司的“生意参谋”和大众点评的源自网络用户的评论数据在本质上迥异,前者属于数据产品,后者则属于原始数据,两者的区别在于:
1.是否经过算法等智力劳动的投入。数据产品是基于网络运营者对数据的开发权而产生的衍生数据。网络运营者通过一定的算法,对原始数据进行深度的分析过滤、提炼整合并进行脱敏处理,最终形成具有市场价值的数据产品。登录“生意参谋”的官方网站可见,海量的原始数据经过淘宝公司运用智能算法等科技手段,呈现出的数字化、图表化等可视化、类型化的内容,可以有效引导淘宝店铺在搜索某个关键词后,深度了解每项指标、结果的由来以及计算公式,从而得出如何优化店铺和产品的结论。这是具有较高价值的产品内容。原始数据是基于网络运营者对数据的控制权而存在的。大众点评网站上的用户评论信息是汉涛公司付出了大量的人力、物力和技术成本所获得的,也具有很高的市场价值。然而,这些点评信息仍然应当被认定为原始数据,尽管这些原始数据是网站付出劳动所得,但大众点评网站并没有通过一定的算法,对这些公开的信息进行筛选和深度分析,使用者也仅能通过对这些点评信息逐个阅读作出一定限度上的主观判断。
2.是否能够独立于网络用户对信息的控制。“生意参谋”所获得的原始数据属于网络用户非个人信息,尽管有些用户会在提供信息时公开自己的照片等个人资料,但淘宝公司在开发“生意参谋”时,对原始的网络用户数据进行了脱敏化处理,使用者无法通过这些信息来识别特定的用户个人身份。因此,“生意参谋”已经脱离了原始数据提供者即用户对于信息的控制。大众点评网站上的用户评论信息也具有很高的市场价值,满足的是使用者对于商业店铺的预判的需求,但这些原始数据还直接呈现出点评用户的网络昵称、照片、到店的时间、评论时间、甚至个人照片等信息,这些原始数据尚未经过网络运营者的脱敏处理,因此,也尚未脱离网络评论用户对信息的控制。
3.是否可以被其他市场主体有限度地无偿利用。“生意参谋”此类数据产品具有排他性,既排除市场竞争者的使用和占有,也排除非市场竞争者的侵害,另外,与淘宝公司签订购买协议的使用者也需要依照协议的规定来使用。对于大众点评网上的用户评论信息,网络运营者享有的是对于这些网络原始数据的使用权,并且使用权的范畴和限度应依照网络运营者与网络用户之间的约定。这些原始数据可以被其他市场主体遵循“最少、必要”原则来无偿利用。原始数据虽然也有排除他人侵害的消极权能,但用益权人应将寻求救济的权力限制在合理的原则之内,不得阻碍合法的、正常的市场竞争,也不得对网络公开数据的收集、访问主体实行差别对待,应当保障网络公开数据公平、自由获取,从而避免互联网的碎片化和数据孤岛。
4.是否能够被公开获取。“生意参谋”不能被公开获取,用户使用“生意参谋”,须向淘宝公司付费,除非淘宝公司同意商户免费使用;而想要获取大众点评上的用户评论信息,任何主体均能够以简便的方式从公开渠道来实现。
(二)数据产品不是“数据库特殊权利”
依照数据库的不同特质,可作以下三类划分(表1),欧盟立法者亦给出了不同的回应:
表1
欧盟对于企业数据的保护,往往是通过将企业数据视作一个整体,即数据库权的形式进行。因此,1996年,《关于数据库的法律保护的指令》(以下简称“《指令》”)应运而生。《指令》第10-1条规定:经过系统整合、有序安排,并可以通过各种方式单独加以访问的独立的作品、资料或其他材料形成的集合在完成之日后的1月1日起算,享受为期15年的保护期。
首先,数据产品与一般意义上的“数据库”是不同的,无法通过保护数据库的方式达到保护数据产品的目的。数据库本身可以被视为是电子化的文件柜,即存储电子文件的处所,用户可以对其中的文件进行新增、截取、更新、删除等操作,对数据库的保护无法延伸到数据或者资料本身,数据库的数据内容尚未经过“算法”等智力劳动的加工和生产;而数据产品是网络运营者通过一定的“算法”开发出来的,所呈现的方式是趋势图、排行榜、占比图等,提供的是可视化的数据内容。
其次,数据产品与《指令》中的“数据库特殊权利”也不同质。在“BHB诉William Hill案”中,欧洲法院的判决认为,数据库特殊权利的产生会涉及两方面的费用,一是创造数据的费用;另一个是创造数据库存的费用,如抓取数据,并把它汇聚到数据库中的费用,明确界定了“数据库特殊权利”的“实质性投入”,即制作数据库存的成本(并非制作数据的成本),比如构建一个电子数据库所需要的服务器成本,抓取数据所需要支付的成本,将数据导入到电子数据库存的成本,数据去重成本等。显然,数据产品是网络运营者基于一定的算法而产生的衍生数据,并非仅仅是“将数据汇聚到数据库”的产物。
(三)数据产品不是著作权
数据产品并不具有著作权所要求的独创性。随着科技的不断进步,算法从产品化的算法演变为工具化的算法,在人工智能时代,随着大数据和深度学习技术的发展,算法演化为本体化的算法,算法的自主决策甚至存在不被人类完全理解和解释的部分,但能够摆脱算法设计者制定的规则而进行自由创作的算法,目前暂未达到相关的技术发展水平。使用算法来开发数据产品,无异于将原材料投入到智能机器中去,所得到的结果具有唯一性,不存在数据开发者发挥想象或聪明才智,创作出个性化的产品的状况。即便算法本身带有随机性,不同素材、不同操作方式可能获得不同的生成物,也最终是通过算法或规则而得来的,无论何人使用,均可能出现这种随机的后果,并不具有独创性。
即便是具有“学习”能力的人工智能,也只是能够根据算法分析数据并找出最优策略,再采取该策略产生最佳结果,而不是仅仅应用算法直接获取结果。对最优策略的确定仍然是基于算法产生的,而且策略本身属于方法,属于思想的范畴,不可能作为作品受到著作权法的保护。
因此,数据产品归根结底是网络运营者利用算法、规则或模型等生产出来的衍生数据,提供的是网上店铺的行业分布、消费群体、产品的市场效果等服务,并不蕴含着网络运营者的灵感、个性、创作,也不存在网络运营者依靠个人的情感等主观感受创作数据产品的状况。那么,何谓“数据产品”?其财产权取得之理论基础是什么?如何描绘其权利边界?
二、数据产品之财产权取得的理论基础和权利内涵
数据产品可以考虑界定为:网络运营者通过合法手段获取到原始数据,对原始数据采用一定的算法,经过深度的分析过滤、提炼整合及脱敏处理后而形成的具有交换价值和技术可行性的衍生数据,数据产品具有一定的表达性,即能够通过衍生数据的内容为使用者提供预测、指数、统计等方面的服务。数据产品的特征表现为排他性、不公开性、无独创性、非可识别性,同时具有较高的市场价值。
(一)数据产品之财产权取得的理论基础
1.劳动赋权理论。洛克的劳动赋权理论认为,“个人只要使任何东西脱离自然所提供的以及该物所处的状态,这个人就已经付出了他的劳动,而劳动是当然的属于个人的。因此,他已经在该物之上添加了自己拥有的某些东西,从而使之成为他自己的财产。”劳动赋权理论解释数据产品的财产权的困难表现在,一是洛克所构建的以自然权利为基础的财产权理论建立在一个重要的前提之下,即劳动作用的对象须为公共品,即在个人投入劳动之前,该产品之上不存在任何所有权人,进而认为因为数据产品所依赖的原始数据属于用户提供,不属于无主的公共产品,即使企业对其付出劳动而使其变成数据产品也无法对其享有财产权;二是劳动赋权理论是以劳动者事实上占有财产为前提的,难以解释数据产品的权利主体与客体(数据)分离的情况。这是因为一则洛克生活的年代科技尚未如此发达,其理论受限于当时的经济和科技水平;二则洛克没有详细解释何谓“劳动”。因此,有必要对于洛克的劳动赋权理论予以修正,诺齐克从洛克的权利理论出发,认为制度设计的主要目的是保护个人权利。首先,数据时代的劳动不仅仅是在自然物上进行占有并附加劳动,更多的是通过高科技手段使得原始数据获得较高的增值;其次,数据时代追求效率优先,个人、企业私主体财产权的确认是鼓励数据产业进步和发展的重要动力。综上,洛克的劳动赋权理论尽管不可避免地受限于其所处的时代,但仍然具有理性价值。数据产品的财产权的确认应适用的是修正的劳动赋权理论。
2.功利主义理论。企业对于数据产品享有财产权的理论正当性还可以从功利主义理论得到论证。该理论认为,财产权的赋予应当以最大限度地提高社会福利作为终极目的。有学者指出,“与其沉醉于模糊的价值观念,不如将法律制度安排关切于人类社会福利的立场上。确认企业对数据产品享有财产权,无疑是更加符合权衡成本与收益,追求社会福利最大化的现代功利主义的理念。在人类全面迈入大数据时代,数字经济蓬勃发展的当下,数据已经成为一种新型的生产要素,对经济发展起到举足轻重的影响。以我国为例,根据《中国互联网发展报告2020》中所给出的数据显示,2019年中国数字经济的规模为35.8万亿元,占GDP比重达到36.2%。如果没有一套明确清晰的数据权属与利益分配机制,势必会导致数据市场的混乱,造成数据产品的开发者陷入“公地悲剧”,数据的开发与保护成本成指数增加,并严重打击企业对数据资源进行挖掘的积极性。若在法律层面上为付出大量成本及劳动的网络运营者赋权,不仅体现出对数据加工和开发技术的尊重,更体现了对网络运营者投入大量资本及技术资源开发大数据产品的认同和激励。
(二)数据产品之财产权的内涵
1.有明确的权利主体。数据产品是基于原始数据而产生的,那么首要的问题是,作为“原材料”的原始数据属于谁呢?对于原始数据的权利归属,学界尚无定论。有观点认为,数据属于个人所有,因而用户对个人数据的权利更多地表现为人格权而非财产权,但是单独赋予个人以数据财产权会对企业的财产性权益造成冲击,而且会影响企业在合同法上的权利;也有观点认为数据属于平台和个人共有,“新浪微博诉脉脉案”的三重授权原则要求企业在获取数据时,需要获得用户对数据持有企业、用户对数据获取企业,以及数据持有企业对数据获取企业的三重授权,尽管三重授权原则受到了学界质疑,但反映出司法判决的取向,即企业欲从数据持有企业获得数据时,应得到用户和数据持有企业的分别授权;还有观点认为,数据属于公共资源,美国的“hiQ诉Linkedln案”中,hiQ公司的商业模式完全建立在对LinkedIn用户的数据分析之上,hiQ公司为市场提供两类产品:一是为雇主分析哪类员工存在高离职风险的“监控者服务”,二是提供个体技能拥有者信息的技能地图。卡托研究认为,在hiQ案中,法院将Linkedln禁止hiQ访问其网站的行为类比为商店老板禁止公众在公共人行道上查看标识,因此,“数据属于个人所有”的观点具有一定的说服力,但现实情况是,数据具有高度的流动性,甚至没有国界,在不同场景下展现出不同的形式和内容,数据同时也具有公共属性的特点;当然,还有学者进行了更加细致的划分,认为单体或多边交易形成的数据原则上属于私有,基于平台产生的商业数据归参与方所共有。
无论如何,原始数据的权利归属的不确定性不应成为界定数据产品的主体的障碍。只要合法取得个人数据,就能进入个人数据的法益体系,实现数据的共享和互益。相较于传统财产法上对所有权的认定,数据产品强调的是对数据的实际控制和以算法为基础的开发利用。平台通过用户授权协议,获得了用户信息的控制权。无论数据的最终权属在哪里,只要法律制度能够认可企业对数据的占有和基于这种占有的创新价值,企业就可以基于用户协议获得的数据使用权不断地进行数据生产和开发,产生数据产品。互联网时代的信息所有权并不重要,重要的是谁有权使用各种信息和数据,能够产生何种价值。但也有学者提出以著作权和邻接权进行类比:对数据原发的用户赋予数据所有权是尊重数据权利源泉的表现,同时,要充分尊重对数据进行采集、加工的数据平台企业的投入,赋予其数据用益权,将对数据形成做出巨大投入和贡献的平台企业隐喻为基于小说(著作权)的表演、电影和电视剧的拍摄,应当获得邻接权。将衍生数据视为邻接权是不恰当的。邻接权人的定义是“作品传播者”。原始数据本身不能被认为是作品,其缺乏独创性,而且邻接权人希望作品传播,但是,数据产品并不以公开、传播为条件,如果公开反而失去价值。因此,数据产品不应属于邻接权,而是财产权,有明确的权利主体即网络运营者。
2.有明确的客体。数据产品的客体是衍生数据。当然,衍生数据本质上也可分为识别性衍生数据和非可识别性衍生数据。数据产品的客体应指非可识别性的衍生数据,而识别性衍生数据不能成为数据产品的客体,识别性的衍生数据所包含的信息是可识别性的信息,应指个人信息。目前,“识别性”有两类,一是“已识别”,即在特定的人群中,某个人可与该群组内的其他人区别开来;其二是“将可识别”,即虽然某个人现在还未被识别,但有可能做到。对“已识别”,学界基本达成共识,不应出现在数据产品中;但对于“将可识别”,是否能够出现在为可识别性的衍生数据中?对于一些可识别性非常弱的信息,例如年龄、性别、交易习惯等,很难追溯到某一个主体,而在与其他信息结合之后,存在识别到个人的可能性。不过,以淘宝公司的“生意参谋”为例,此类识别性较弱的信息对于使用“生意参谋”的客户来讲,通过结合其他信息的方式较难做到准确地定位于某一个体。当然对于淘宝公司来说,则不应是一件困难的事情。事实上,“生意参谋”中,有一项是帮助用户针对某产品进行“人群画像”,如针对“碎花连衣裙”进行人群画像后,会出现“职业占比”“性别占比”“年龄占比”“价格区间”等圆形数据图,如果将这类仅仅是描绘占比的数据图也从“数据产品的客体”中剔除出去的话,那么数据产品将缺失很大的价值。这类数据图的功能在于引导电商的店铺如何设计文案、重点突出商品的何种性能等,并不会锁定某一个确定的个体。因此本文认为,只要衍生数据的内容具备此类特点的,应容许其构成数据产品的客体。
3.有明确的义务主体和义务内容。数据产品是一种财产权,具有排他性,权利主体有权排除他人的非法干预,包括拒绝他人对其数据财产的非法访问,对抗他人对数据财产的非法调取、盗用,阻止他人对数据财产真实性和完整性的肆意破坏等。数据产品的义务主体应是除了权利主体以外的其他人,均不得未经权利人许可,占有、使用、收益和处分产品,如有上述行为,应承担相应的侵权责任。
4.数据产品财产权的权能。网络运营者对于数据产品享有财产性权益,包括了对数据产品的“占有、使用、收益和处分”。数据产品的占有是指网络运营者有权对数据产品储存并进行控制,并有权决定以何种方式来控制数据产品。使用权能指的是网络运营者对于数据产品有权自己使用,或许可他人使用并收取费用,另外,权利主体还有权在许可使用合同中约定被许可人的义务,如不得二次转让、传播和利用数据产品,也可以限制被许可人转让和利用数据产品的次数。收益权能是指权利主体得以出售产品或者许可他人使用产品而获取利益的权利,也包括权利主体通过自身使用产品为他人提供预测、分析等服务而获利的权利,收益权能的实现应当以权利主体遵守市场秩序、不违反公共利益、不构成恶性竞争、不侵害个人信息为前提。处分权决定了财产的属性,这也是所有权区别于他物权的一个重要特征。处分权是由物具有交换价值决定的,法律上的处分意味着物的转手。数据产品的处分权能指的是权利主体得依照自己的意愿,对数据产品进行转让、出售、有偿许可他人使用等。其中,许可他人使用体现了数据产品之财产权的处分权能的特殊之处,即数据产品不同于传统的“有体物”,传统上“有体物”的处分体现为物理层面的交割,而数据产品的处分则可以体现为权利主体反复将产品许可他人使用。社会进入人工智能、大数据时代,立法者为数据产品赋权即财产权利,是回应时代发展的重要举措。数据收集和控制者耗费了大量的心血和成本,通过智力劳动制作出具有市场价值的数据产品,其财产权理应得到确认,这是对数据产业的理性支持,也将激励着数据权利人积极地共享、转让、许可他人使用数据产品,进而为创造安全、高效、有序的数据行业竞争环境提供良好的基础。那么,对数据产品作为财产权的保护将面临何种困难?
三、数据产品财产权的保护
对于数据主体的权益保护,学界讨论过“赋权路径”和“行为控制路径”,数据产品的保护路径同样也可类比于上述两种模式。数据产品的“赋权路径”之保护仍然存在现实困境,需要立法的回应。
(一)反不正当竞争法保护数据产品的局限性
“反不正当竞争法最初源于民法中的侵权法”,其本质上是行为法。反不正当竞争法所宣布的竞争规则是:凡是超过合理界限的“搭便车”行为都是不正当的竞争。不正当的竞争行为可以解释为不正当模仿行为。反不正当竞争法制止不正当的模仿行为,因而容忍正当的模仿——以利于创新。在“淘宝诉美景案”中,法院适用反不正当竞争法时,对“竞争主体”和“竞争范围”进行了最大限度的扩张性解释,但仍反映出如下问题:
第一,法院认为,反不正当竞争法所规制的对象“不仅局限于同业间的竞争行为,也包括跨行业间的竞争行为”,“只要双方吸引争取的网络用户群体存在此长彼消的或然性对应关系,即可认定为双方存在竞争关系”,其保护路径较为狭窄,也很难处理不具有“竞争性”的主体的侵权问题,即其他并不具有竞争主体资格的人是否有权使用或者部分使用数据产品?反不正当竞争法未能予以回应。
第二,反不正当竞争法第二章对经营主体的不正当竞争行为的法定类型进行了描述,法院理应从中寻求对应于美景公司的不正当竞争行为。《反不正当竞争法》(2017年)第12条被称之为“互联网专款”,其所规定的四种行为均是围绕着“妨碍、破坏其他经营者合法提供的网络产品或者服务的行为”,体现为对网络产品或者服务器的“实质性伤害”;但在“淘宝诉美景案”中,美景公司的行为主观上具有故意,客观上对淘宝网站造成的并非实质性伤害,而是导致了“生意参谋”的客户的流失、利润的下滑等“软性伤害”,美景公司利用“搭便车”的行为获取了收益。法院适用了《反不正当竞争法》第2条的“一般条款”并进行了扩张性解释,此条款本身存在泛化的趋势,司法裁判取决于对个案的判断,因此弱化了司法的可预见性。
第三,根据《反不正当竞争法》,数据产品仅仅是一种财产性利益,并不是独立的财产权,只有数据产品之利益受到侵害时,才能获得法律上的救济,相较于侵犯财产权的一般侵权模式,此种侵权救济保护属于消极赋权,不利于数据产品的权利主体行使“我有权禁止你做某事”的正当权利。
(二)“赋权路径”之类比分析及检讨
1.欧盟数据库特殊权利的立法之再审视及类比分析。欧盟1996年通过的《关于数据库法律保护的指令》被各个欧盟成员国所实施。尽管数据库特殊权利不同于数据产品,但前者的“赋权路径”和立法效果评估,仍然在很大程度上对后者有着经验上的指引。
(1)数据库特殊权利的立法效果之评估。欧盟数据库指令的立法已有25年,旨在美国与欧盟之间创造一个公平竞争的数据库产业,是否如其所愿?2006年,在《指令》颁布10周年前夕,欧盟委员会对该指令进行了全面的评估。报告显示,《指令》似乎没有给欧盟带来很多好处。2001年,即欧盟15个成员国将该指令转变为国家法律之后的一年,欧盟数据库中有4085个条目;至2004年,这个数字迅速下降了近四分之一,为3095个条目;从2002年至2004年,欧洲在世界数据库的份额从33%下降至24%,而美国从62%上升至72%;欧洲与美国的数据库生产比例在1996年接近1:2,到2004年已变为1:3。不过,欧盟并未打算放弃对数据库特殊权利的保护,原因有二,一是欧盟委员会收到来自欧洲出版业的强烈声明,认为“独特的保护”对他们来说至关重要;二是废除“数据库特殊权利”,可能会重新开启关于“独创性”适当标准的讨论,因为在指令实施之前,当时一些欧盟国家——如爱尔兰和英国,为“非独创”数据库提供版权保护,这些数据库在收集和/或检查汇编时耗费了相当大的技能、劳动或者判断力。北欧也有一项“目录规则”,在“短时间内”保护表格和类似的汇编。在指令实施后,非独创性数据库只受到特殊的数据库的保护,而不再受版权保护。
(2)数据库特殊权利立法之检讨。欧盟数据库特殊权利在立法上的问题是,由于权利边界摇摆不定,最终结果是各成员国的主观标准不一,如在Ryanair诉PR Aviation一案中,法院最终认为,Ryanair公司网站提供的航班数据尚不能受到数据库特殊权利的保护,但Ryanair公司有权以合同或协议的方式禁止PR Aviation以自动化系统抓取网站数据后转为商业使用。由此,欧盟各国对该类数据库的规制诉诸于合同法和竞争法,但各成员国认定标准不一,导致数据的保护和单一数字市场目标的实现在欧盟各国似乎道阻且长。
综上,对数据产品赋权,应尽可能清晰地划清其权利边界,因数据产品具有很强的专业性,权利认定的标准和界限应能够在司法裁判中获得客观的、统一的认知。除此之外,数据产品之财产权需回应如下现实困难。
(三)现实困境之应对
1.个人信息的保护问题。数据来源合法是指数据的采集、汇聚的行为合法。数据产品的来源总体上来讲有两类,一是企业自身收集、汇集的数据;二是从其他企业获取的信息。对于第一类信息的搜集和汇聚,应遵守我国《民法典》《消费者权益保护法》《网络安全法》等法律的规定,尊重用户的个人隐私。越来越多的研究已经表明,看似匿名的数据可能私人化。例如,在导航应用程序上的汽车位置数据。应用程序上的绿色表示交通顺畅,橙色表示交通缓慢,红色表示交通堵塞。这些信息不是通过数百架直升机或无人机在上空飞行、向交通控制中心发送图片收集的。相反,这些信息是由经过相同位置的汽车司机的移动电话的运动产生的;苹果、安卓和所有其他应用程序都基于类似的技术。毫无疑问,单个司机可以被识别出来,例如,他们的数据可以与汽车本身产生的数据连接起来,或者可以向他们发送广告。因此,数据产品的权利人应保证产品信息的匿名化,在推送如占比数据、类型化数据时,应确保信息无法被精准地识别到个人。值得注意的是,随着科技的进步和发展,当前阶段的匿名化或许在今后就演变为非匿名化。欧盟《人权保护指引:大数据时代下个人数据处理》第6条要求,只要数据能够识别或重新识别个人,就应采用数据保护原则;控制者应根据数据的性质、使用环境、可用的重新识别技术和相关费用、考虑所需的时间、精力或资源,评估重新识别的风险(控制者应证明为匿名数据采取的措施是充分的,并确保去除识别的有效性);技术措施可与法律或合同义务相结合,以防止相关人员被重新识别的可能性;控制者应根据匿名技术的发展,定期审查重新识别风险的评估。目前,我国关于个人信息匿名化的规定较为简单,数据产品权利人在及时更新产品内容的同时,应遵循更加严格的再识别风险防范的义务标准。
2.保持数据的流动性与营造公平安全的竞争环境之间的平衡。对于第二类信息即从其他企业里获取的信息,获取信息的基本原则应是在合理的限度内允许数据的流动,同时塑造安全、公平的竞争环境。
数据产品具有排他性,但数据本身并不存在物权法意义上的绝对归属性。依照数据经济的发展规律,数据的获取、存储、控制、利用和生产都具有很强的流动性,在某一个场景下的数据,在另一个场景中可能存在不同的形态或者解读,数据的流动性是保证数据共享、促进数据产业发展的前提条件,数据产品的赋权不应建立在数据垄断的基础之上。以美国为代表的判例法鼓励分享数据,在企业的数据处理行为有侵犯个人隐私之虞时,方才提供保护。而事实上,有些数据产品并非仅仅基于企业自身所搜集的原始数据,而是从其他企业处抓取了有效的数据开发出来的。企业对于自身所搜集的数据是否能够以合同或者协议的形式来限制其他企业的适用?如何在数据共享、维护正当安全的市场竞争环境之间取得平衡?美国的做法给出了一些参考。美国的《计算机欺诈与滥用法》(下称CFAA)是旨在防止未经授权访问网站和服务器的反黑客法规,其对在未经授权或超越授权的情况下故意访问计算机,并且从受保护的计算机中获得信息施以民事和刑事处罚。在司法实践中,自21世纪初CFAA被用于针对于数据抓取的案件之中,法院对在数据抓取案件中适用CFAA的态度大致可以分为四个阶段:在第一阶段,法院对触犯CFAA的认定采取了一种宽泛的标准,任何网站不同意的信号都可以被视作为向数据抓取者提供了足够的通知,说明数据抓取者在随后的访问将是“未经授权的”,并且触犯CFAA。在第二阶段,美国法院开始缩小CFAA的适用范围,不再支持网站基于限制条款和协议而提起的诉求。若CFAA中“未经授权”的概念能够被认定为是基于合同的授权,将会授予网站所有者无限制地去定义“未经授权”的权力,这将会导致私人主体有确定刑事责任范围的权力。因此,在没有突破技术或代码上的障碍时,网站所有者无论是通过用户条款抑或向访问者发送终止信的方式阻止其行为而未果时,该访问者也不会触犯CFAA。在2013年开始的第三阶段中,法院用撤销理论拓宽了CFAA中“超越授权”的解释。撤销理论是指一个网站如果能够证明他们已经通过合理的方式通知第三方停止访问,即对第三方访问网站的同意权进行有选择性的撤销后,若第三方在明知该撤销的情况下仍然继续访问网站则可能会触犯CFAA。在2017年开始的第四阶段,法院开始拒绝适用基于撤销理论带来的广泛的访问限制。法院认为,CFAA不应当被适用于可以公开访问的网站,因为在制定本法时,互联网还不存在,这是一项旨在防止人们窃取私人信息或造成电脑损坏的黑客法规,它的目的并不是让企业挑选哪些人可以访问本来可以访问的信息,因此,一个网站拒绝访问设置在密码障碍背后的信息当然是合理的,但是,对任何人都可以通过谷歌搜索到或者用户个人选择公开的信息的将难以再适用CFAA。
综上,基于数据流动、共享和增值的理念,网络平台作为数据的控制者,即便以弹窗、协议等合同形式限制访问者抓取数据,其限制条款的正当性将受到法院质疑;另外,网络平台无权对访问者进行差异化对待。
3.数据产品权利人的举证问题。这主要是关于“生产开发行为”的举证。数据具有非排他性,这会导致数据价值链中的多个行为人能够对数据产品的增值均主张权利,因此使数据增值的举证责任非常重要。2017年1月,英国鸿皓律师事务所发布的《建立欧洲数据经济·数据所有权·白皮书》(以下简称“白皮书”)创设了一种“护栏”,来防止权利的滥用和确保法律的确定性,这种护栏即为可追溯义务(Traceability Obligation)。可追溯义务是行为人在任何时候都能够证明所主张权利的数据来源和处理行为的义务。据此,数据产品的权利人可通过“可追溯日志”的方式来记录其对数据的增值过程,即便日后共享数据时,也能够清晰地展示其生产开发的事实。
回看我国《民法典》对于数据的立法,其中第127条规定,法律对数据、网络虚拟财产的保护有规定的,依照其规定。数据产品本质上属于衍生数据,因此,民法典为相关数据立法预留了链接出口。民法典相对稳定,数据产业发展则日新月异,将数据及数据衍生产品的相关立法置于民法典之中,似有“更新”速度上的差异,因此,宜对数据及数据衍生产品单独进行立法。对于数据产品的保护,除需回应上述现实困境以外,还应考虑对其权利的限制。在国家和政府基于公共利益的需要,征用部分或全部数据产品时,例如在新冠肺炎疫情中,如需要某类数据产品的相关信息进行分析、定位或制定对策时,数据产品的权利主体有义务对国家和政府公开相关内容。
余论
我们所处的时代已经完全不同于法国和德国民法典开始颁行的年代。近几十年来,生物工程、人工智能、数据信息等科技迅猛发展,对财产的需求不再仅仅是为了物理上形成占有,而是更多地追求利用该财产、追求价值和价值的增值,人类已经由过去的依赖性利用资源与财富转向创造性利用。与以往的财产利用主要是财产原有价值的释放不同,现代社会的财产利用趋向于创造远高于财产原有价值的财富,在高科技领域,财产原值往往微不足道,但科技含量的不断提高使财产利用成为一个知识转化财富的过程,成为创造财富的过程。数据产品便是这样一种应时代而生的财产权。
END