周汉华:数据确权的误区
周汉华内容提要:数据不同于其他生产要素,无论是否确权,都只适宜以责任规则保护。我国法律对个人数据与企业数据的保护水平已经比责任规则要高,数据确权因此没有实际意义。数据确权只能采取权利束解决方式,这必然导致反公地悲剧的结果,阻碍数据的利用与共享。推动数据利用与共享,本质是实现网络效应。在此方面,我们面临诸多现实挑战,需要制定“公共数据开放条例”促进公共数据开放,并通过不同部门法的体系性回应,构筑非公共数据利用与共享的制度基础。“数据二十条”肯定我国法治实践对数据权益保护的经验,创新数据产权观念,淡化所有权、强调使用权,聚焦数据使用权流通,其采用的“数据产权”概念,完全不同于传统的财产权或产权概念,需要在实践中科学理解并逐步完善相关制度。
关键词:数据确权;财产规则;责任规则;反公地悲剧;网络效应
2015年以来,伴随国家大数据战略的实施,数据成为与劳动力、资本、土地、技术等并列的生产要素,数据的产权配置、流通交易、收益分配和安全治理,被作为数据基础制度纳入顶层制度设计。在这一背景下,数据基础制度研究迅速成为学术热点,但这类研究也存在不少问题,常被批评缺少深度。一些学者将数据财产权权属不清视为数字经济发展的最大障碍,并提出了各种财产权确权方案,既包括赋予个人数据权,也包括赋予企业数据权,且以企业数据确权为主。数据确权理论希望既能加强对个人信息和企业数据的保护,也能促进数据利用、推动数字经济发展。对于各种数据确权观点,已经有学者从不同角度提出批评与商榷,双方观点截然对立。本文从财产权理论出发,结合国内外数据权属法律实践,试图回答数据确权的两个核心问题:数据确权是否能够加强数据保护,数据确权是否能够促进数据利用。本文希望通过对这两个核心问题的讨论,加深对数据规律的认识,澄清数据确权主张的种种观念误区,探索数据治理的正确方向。
一、数据确权与数据保护
财产权的重要性在启蒙思想家的著作中就已得到充分的体现,近代以来的法治实践更证明了财产权的核心地位。20世纪60年代之后,新制度经济学勃兴,财产权理论不断得到丰富与发展。美国生态学家加勒特·哈丁在1968年的一篇文章中给一个思想实验起名“公地悲剧”,该思想实验假设一片公共牧场无偿向所有牧羊人开放,每个牧羊人为追求利益最大化都会放养尽可能多的羊,最后导致草场沙化。要避免公地悲剧,一种方案是明晰财产权,把公地分配给每个牧民。这样,每个牧民在追求自身利益最大化的时候,会考虑长期效应,从而使牧场资源得到更好的保护和可持续利用。在此之前,1960年,经济学家科斯将交易成本嵌入到财产权理论中,提出如果市场交易成本为零,不管初始权利如何界定,市场机制会自动使资源配置达到最优;在交易成本大于零的现实世界,权利的初始界定会对资源配置效率产生影响。
(一)财产规则与责任规则的划分
在承认权利初始界定的重要性的前提下,1972年,耶鲁大学法学院的卡拉布雷西和米勒米德进一步提出财产规则与责任规则的区分理论,该理论后来成为分析财产权保护的经典范式。也就是说,确权之后,需要在法律上明确究竟应该为权利提供财产规则保护还是责任规则保护。财产规则之下,他人必须通过自愿交易从权利人那里购买权利,购买价格必须经过权利人同意。责任规则之下,他人只要愿意事后支付客观确定的价格,就可以随时破坏初始权利。易言之,财产规则是一种强保护、事前保护,最终可以适用行政法律责任与刑事法律责任保障权利;责任规则是一种弱保护、事后保护,最终只能依靠侵权赔偿机制保障权利。在交易成本很低的情况下,应该适用财产规则,当事人可以通过协商达到理想的结果。在交易成本很高、不可能协商或者协商非常困难的情况下,应该适用责任规则,拟制市场可能达成的结果。毫无疑问,财产规则比责任规则更有利于权利人。在此基础上,另外两位美国学者进一步对两种规则的适用领域进行了研究。他们发现,实际占有领域(如房屋、汽车等)受到财产规则的保护,目的是防止占有状态未经权利人同意而被改变;而有害外部性领域(如污染、汽车事故)因为相关当事人无法事先协商,通常只受到责任规则的保护。
我国农村集体土地制度改革可以很好地检验财产权保护理论。改革开放以前,农村土地名为集体所有,实际无人负责,由此开启了家庭联产承包责任制改革。改革后一个时期,农村土地产权边界不清晰,相关政策没有得到全面落实,限制了土地流转的规模和范围。这一时期的制度实践,可视为只适用责任规则保护承包经营权。2011年之后,国家开始对农户承包地进行确权登记颁证,确认和保障农民的土地物权。研究发现,土地确权必须彻底厘清土地的产权边界和权属关系,才能促进土地的流转和集中,提高土地资源的配置效率。也就是说,土地确权必须以明晰的权利边界为基础,否则不同主体之间无法进行协商和谈判。由于土地占有关系明确,明确土地“四至”和承包合同期限就可以明确权利边界,一旦确权颁证就相当于激活了财产规则,更有利于调动权利人的积极性。
(二)数据保护只能适用责任规则
数据作为生产要素,很多方面都不同于土地,不能简单照搬土地确权经验。对于个人而言,个人数据是数据控制者采集形成的可以识别特定个人具体信息的数据,并不由数据主体控制或者占有。在非经同意采集的情况下,个人甚至未必能够知道个人数据的存在,更不用说要去占有自己的个人数据。对于采集数据的企业而言,其采集的数据中既有用户提交的网页数据,也有平台生成的个人数据,还有机器生成的非个人数据,大量的数据都是用户在平台上的活动记录,很难清楚界定权属关系。美国政府在一份官方报告中指出:“数据的来源和格式的多样性和复杂性不断增加。部分来源目录包括公共网络,社交媒体,移动应用程序,联邦、州和地方档案与数据库,从商业交易和公共档案中汇集个人数据的商业数据库,地理空间数据,统计数据,以及通过光学字符识别扫描成电子形式的传统离线文件。互联网支持的设备和传感器的出现,扩大了从物理实体收集数据的能力......个人位置数据可以来自GPS芯片、移动设备的手机塔三角测量、无线网络的映射和当面支付。”并且,企业“收集信息固然至关重要,但还远远不够,因为大部分的数据价值在于它的使用,而不在于占有本身”。大数据并不是采集者数据库中的静态比特,而是开放生态体系中奔腾流淌的“数字音符”。数据驱动的创新通过“对海量交易、生产与沟通过程中产生的大量数据(大数据)近乎实时的分析,以从未预见过的水平加速全社会知识与价值的创造”。典型场景下,不同的主体通过采集者的应用程序编程接口(API)开发、使用、分享、综合、分析、加工数据,数据价值不断被提升,数据也反复被不同主体双向、多向使用,大数据的非独占性、非排他性特点得到鲜明体现。例如,一辆自动驾驶汽车每小时能够产生1TB到5TB的数据,然而,为了能在不同天气、能见度与路况下安全行使,它还需要更多的第三方数据。这样的场景下,各种边界变得模糊,精确度不再成为追求的目标。用传统的占有概念来描述数据的状态,必然会出现多重扭曲。当人们在网络上购买了一本电子书或者一件音乐作品,只是获得了用户协议规定的利用权。“我们所期待的那种财产权利,往好的方面说是不确定的,往坏的情况说就是压根不存在于数字市场。”
关于数据处理活动,欧盟《一般数据保护条例》中规定了数据控制者、数据处理者与第三人三大类主体。其中,数据控制者独立处理个人信息,数据处理者代表数据控制者处理个人信息,第三人得到授权后处理个人信息,而数据控制者与数据处理者几乎总是同时出现。这种多主体并存的规定,非常形象地描绘了多主体共同实时处理个人数据的场景。在数据边界模糊、占有关系退却、多主体协商面临巨大交易成本的大数据应用场景下,很难适用实际占有状态下的财产规则保护,而只能适用责任规则对侵害数据权益的行为事后追究侵权责任。美国网络法专家莱斯格虽然很早就提出过应对隐私权采取财产规则保护而不是责任规则保护,但二十多年的网络发展实践证明,个人数据与企业数据都只能得到责任规则的保护。无论是否确立数据财产权,都不会改变这种规则适用格局。如果像某些方面设想的一样,在不影响业务流程的前提下,将某些数据从其业务场景中分离出来,作为数据产品单独打包提供给数据交易所或数据中介商,实现二次盈利,这种情况下,确实存在适用财产规则的可能。然而,由于脱离业务场景和网络,上述交易活动已经与大数据无关。这样的数据产品交易(咨询服务)在大数据时代之前早已存在,过去不需要确权,现在依然没有必要确权。
需要指出的是,欧美国家的政界、学界与产业界近年来也不时有一些关于数据财产权的建议。然而,对于什么是数据、什么是财产权,各种观点往往非常模糊。除少数情况以外,主流建议完全不同于我国学者的数据确权主张。首先,他们所说的数据财产权,指的是个人对于自己个人信息的所有权,而不是企业的数据所有权。前者指向的是可以识别特定个人具体信息的数据,范围相对确定;后者指向的数据范围则难以确定,几乎无所不包。其次,主张财产权的目的,是为了使数据主体能够通过同意机制控制自己的个人信息,并分享数据控制者从个人信息使用中获得的收益。因此,当他们主张数据财产权或者主张将隐私作为财产时,并不是在建议设立新类型的权利,而是主张将财产规则(而非责任规则)作为个人信息转移规则。有学者将这种主张辨析为适用财产规则主张,而不是设立新型财产权主张。如果对财产权理论的背景缺乏清晰认识,就会在比较研究与借鉴中出现误解与误用。我国学者的数据确权主张,不但包括设立个人数据权与企业数据权,还包括要系统构建数据财产权规则体系,这远比国外的讨论复杂。
(三)我国对于数据的法律保护现状
考察我国实践可以发现,经过多年探索,我国刑法、民法、行政法三大部门法对于个人数据与企业数据的保护水平,已经远远高于财产权责任规则的保护水平。2009年刑法修正案(七)在第四章“侵犯公民人身权利、民主权利罪”中增设刑法第253条之一,将侵犯公民个人信息行为纳入刑事制裁。民法总则(已失效)第111条规定自然人的个人信息受法律保护,任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全。民法典将个人信息保护归入人格权编,并要求除法律、行政法规另有规定的外,处理个人信息应征得该自然人或者其监护人同意。2013年修订的消费者权益保护法,在第14条中规定消费者“享有个人信息依法得到保护的权利”,并在我国公法中首次构筑以知情同意为基础的个人信息保护基本制度。网络安全法、个人信息保护法进一步完善以知情同意为基础的个人信息保护制度,并以完备、严厉的法律责任作为个人信息权益的保障。尽管三大部门法对个人信息的保护在性质上究竟是权利保护还是权益保护,究竟是人身权保护、人格权保护还是国家安全保护,以及权利与权益究竟是什么关系等重大理论问题还存在许多争论,需要更为和谐、一致的法律解释,但三大部门法对个人信息的法律保护,已经完全达到财产规则的保护水平。这种情况下,即使赋予个人以数据产权,也只能适用责任规则,没有任何实际意义。
对于企业数据,尽管我国法律从未明确以权利加以界定,反不正当竞争法等法律甚至未规定“数据”概念,但不同法律均对数据权益提供着有效的保护。在最高人民法院公报案例北京中锐文化传播有限责任公司诉北京零点市场调查与分析公司不正当竞争纠纷案中,法院认定,“对特定行业从业者具有实用性,能给权利人带来经济利益的商业信息”属于企业的商业秘密,“如果受托人将调查中获得的相关商业信息予以公布,就是将委托人的商业秘密予以公开,属于侵犯商业秘密的不正当竞争行为,应当承担相应的民事责任”。法院在本案中适用的,明显是与责任规则相似的保护标准。
进入移动互联网时代后,随着竞争的加剧,企业间的数据权属争议案件越来越多。在新浪微博诉脉脉不正当竞争纠纷案中,法院采用“用户授权+新浪授权+用户授权”的三重授权原则,即被告方在爬取数据前,除要取得自己用户授权外,还应获得原告方和原告用户的授权同意,否则构成不正当竞争。这体现了权利规则加责任规则的双重特点。在大众点评诉百度不正当竞争案中,法院将被爬取的数据认定为原告的劳动成果,并补充解释,该劳动成果虽不属于法定权利,但被告未经许可而使用的行为仍然不符合商业道德,违反反不正当竞争法。在腾讯诉浙江搜道公司、杭州聚客通公司不正当竞争纠纷案中,两被告开发运营“聚客通群控软件”,利用外挂技术将该软件中的“个人号”功能模块嵌套于个人微信产品中运行,为购买该软件服务的微信用户在个人微信平台中开展商业营销、商业管理活动提供帮助。法院最后认定,对于单一原始数据聚合而成的数据资源整体,数据控制主体享有竞争性权益;未经许可规模化破坏性地使用他人所控制的数据资源的,可以认定为不正当竞争。在淘宝诉美景不正当竞争纠纷案中,法院认定,“开发者对合法采集的网络用户数据信息和网络原始数据,进行深度分析处理整合加工而形成的可为经营者实际控制和使用,并带来相应经济利益的大数据产品享有合法权益。其他经营者未付出创造性劳动,直接利用他人开发的大数据产品盈利的,既违反诚实信用原则及公认的商业道德,又损害了产品开发者的合法权益,同时扰乱相关行业市场竞争秩序。因此,上述经营者未付出创造性劳动,直接利用他人大数据产品盈利的行为构成不正当竞争,须承担相应的民事责任”。
归纳上述案件的共同特点可以发现,案件争议的均是各方面可以通过网络公开利用、获取的数据,属于典型的大数据。并且,这些数据基本都由数据控制者的用户行为所产生,由数据控制者所控制。尽管法院在判决中普遍不对数据主体还是数据控制者拥有这些数据作出判断,但均认可数据控制者对这些数据享有合法权益,第三方未经其许可使用这些数据构成不正当竞争,需要承担民事责任。据统计,2016年至2021年上半年,“浙江法院审结的14件数据权益知识产权案件中,判决结案10件,占比71.43%,其中判决认定构成不正当竞争的9件,胜诉率90%;调撤率仅为28.57%,远低于其他知识产权民事案件”。民法典第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”这等于确认了司法实践中对于数据权益的责任规则保护。
对于不能公开获取、利用的企业数据,我国的法律保护水平更高,分别依据行政法与刑法提供保护。在行政法保护方面,由于网络安全具有外部性,会对国家安全与社会公共利益产生重大影响,网络安全法第27条规定,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。数据安全法第32条规定,任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。因此,企业必须采取法律规定的安全保障措施,包括各种物理措施,维护数据安全。不履行网络与数据安全保护义务的,需要承担相应的法律责任。对于数据控制者而言,维护数据安全不仅是权利,也已经是一项法律义务,权利的行使要受到国家的干预。用财产权理论解释,这已经是保护水平远远超出财产规则与责任规则的第三类规则——不可剥夺性规则,该规则不仅“保护”权利,也限制或规范权利的授予。
在刑法保护方面,我国刑法在分则第六章“妨害社会管理秩序罪”第一节“扰乱公共秩序罪”中规定了非法获取计算机信息系统数据、非法控制计算机信息系统罪(第285条),破坏计算机信息系统罪(第286条)和拒不履行信息网络安全管理义务罪(第286条之一),体现了维护社会管理秩序的立法意图。另外,诸如危险作业罪(第134条之一)、妨害信用卡管理罪(第177条之一)、侵犯著作权罪(第217条)、侵犯商业秘密罪(第219条),也都可以用来保护企业的数据权益。有意思的是,我国刑法对于数据保护的规定,均不在“侵犯财产罪”一章中。这就说明,尽管数据没有被确定为财产权的客体,但这丝毫不影响刑法对数据权益的保护或者对数据保护义务的要求,并且,刑法的保护水平相当于或者高于财产规则的保护水平。浙江省高级人民法院课题组调查发现,2016年至2021年上半年,浙江法院共受理涉数据权益知识产权民事一审案件21件。同一时期,“浙江法院审理的涉数据权益刑事案件裁判文书共708份,其中非法侵入计算机信息系统罪8份,非法获取计算机信息系统数据罪137份,破坏计算机信息系统罪87份,侵犯公民个人信息罪464份,侵犯著作权罪8份,侵犯商业秘密罪4份”。这种情况下,认为我国法律对企业数据保护的强度与密度不足,并以此作为主张数据确权的主要理由,显然既不符合实际情况,也存在对财产权理论的误读。并不是所有产权都应该或适合以财产规则保护,也不是所有权利都需要动用国家力量或者刑法保护。
总之,我国法律对个人数据和企业数据的保护,比数据确权以后的责任规则保护水平更高、力度更大。这种情况下再确立数据财产权,并适用保护力度更弱的责任规则予以保护,没有任何实际意义。
二、数据确权与数据利用
认为数据确权有利于推动数据利用的基本逻辑是,权利人可以通过行使权利更有效地参与数据资源的配置、流通与收益分配,从而提高数据资源的利用效率。例如,确权后个人可以分享个人信息被使用的收益,会有更大的激励推动个人数据利用。这一逻辑隐含的基本前提是,权利人可以获得财产规则的保护。但是,数据只能得到责任规则保护的现实,决定了这一逻辑只是一种美好的愿望,不具有任何现实可行性。德国马克斯·普朗克研究所在反对数据所有权的“十问十答”中明确指出,“赋予那些数据被使用的个人参与利益分享的想法似乎是一种幻觉”,更不用说实施中还会遇到许多实际困难;引入企业数据产权,“交易成本可能会大幅增加,因为在就数据利用进行谈判时,缔约各方还需要澄清控制数据的合同方作为潜在的‘数据所有者’是否有权将数据授予第三方利用。并且,设立‘数据所有权’会导致合同各方之间谈判地位的不平衡,如果将‘数据产权’配置给已经处于强势地位的合同方,则更会如此”。
(一)数据确权的理论缺陷
数据确权理论的基本逻辑仍然源自公地悲剧理论,但这种推理存在前提性缺陷。数据处理活动背后都有具体的权益相关方或者控制者,并不存在发生公地悲剧的前提条件。并且,解决公地悲剧并不只有产权制度一种方式,政府监管或收税也都是可选择的方式,哈丁当时选择的就是政府监管方式。实际上,各国推进数据利用,也都没有采用给数据控制者赋权的方式。即使在产权制度框架下,“简单地界定和实施私有财产权并不一定能提供解决方案,只有在非常有限和理想的情况下,产权的设定或市场的建立才能通过调整私人激励来真正解决悲剧,以防止资源的过度利用和过度产生污染”。
数据确权理论的一个隐含结论是,权属不明确的不确定性会导致数据流通困难,财产权安排可以减少不确定性。这其实是另一个理论误区。哈佛大学法学院的两位学者曾经对产权的几个理论误区进行系统梳理,其中就包括产权安排可以减少不确定性的主张。他们假设存在自然状态、强制共享需求和私有财产权三种不同的制度安排场景。在自然状态下,没有任何所有权,也没有法律执行的合同制度,人们可以使用他们可用的任何方法并按照他们的意愿去做事,当然,其他人也是这样做的。私有财产权状态下,所有权被普遍地尊重,并受到绝对可靠和不可抗拒的国家力量的保护。强制共享需求状态,类似私有产权安排。不过,这种状态下的所有权受到一定限制,即任何“需要”一件东西但又不拥有它的人,可以从任何拥有它而不“需要”它的人那里拿走或征用它,但国家在必要时会对需要方的行为进行干预。两位学者最后得出的结论是,三种不同的制度安排之下,都呈现出“提高一个人的确定性就是损害另一个人的确定性”,私有产权安排并不能减少不确定性。因此,认为财产权能够减少不确定性,是一个错误的论点,“私有产权的效率不能从理性最大化行为的唯一事实假设中推导出来”。各国数字经济的发展实践也已证明,尽管法律未赋予任何主体数据产权,数据价值不能在平台企业的资产负债表中得到体现,但这丝毫不影响平台企业的估值与快速发展。只要守住个人权利保护、网络与数据安全等法律划定的底线与红线,新业态不同于传统业态的诸多特点,不仅不是缺陷,反而是其优势所在。很难设想,在数据像空气一样无所不在的信息时代,如果不同权利主体随时都能跳出来主张某些数据属于自己,会给数字经济的发展带来多么大的不确定性。
根据公地悲剧理论,在缺乏产权安排和外部管理的背景下,不同参与者均有使用资源的特权,但无人有权排除其他人的使用,其结果必然是资源被过度消耗。但是,如果产权安排划分过细,也会走入另一个极端,出现赫勒在1998年提出的“反公地悲剧”结果。“私有产权通常会增加财富,但是,私有产权太多会有相反效果:它会破坏市场、阻碍创新和牺牲生命。”最为典型的是专利丛林现象,很多专利交叉重叠,“几乎每个专利都阻挡着其他人的一些专利的利用”。大量划分过细的专利权“不仅仅阻碍了创新,有时甚至是以牺牲消费者的福利乃至整个人类社会的利益为代价”。发达国家在城市发展、新药研发、交通基础设施建设等众多不同领域,都有大量这样的反面案例,更不用说某些转型国家激进私有化造成的严重社会后果,与我国四十多年的经济高速增长经验形成鲜明的对比。有学者指出,我国国有企业过去存在的一个突出问题,是同一企业的所有权由不同的政府机构行使,每个机构都可以从某个侧面向企业发号施令,但谁都不对企业经营的整体结果负责,产权支离破碎,这属于典型的反公地悲剧。这种格局直到设立国有资产管理机构统一履行出资人职责后才得到解决。
在反公地悲剧背景下,不同参与者对于稀缺资源都有权排除他人使用,无人享有有效的使用特权,结果必然是资源利用不足,出现与公地悲剧正好相反的结果。只要政府设立新财产权,这种现象就可能会出现。反公地悲剧理论的提出,在法律经济学界引发巨大反响。公地悲剧的结果是资源被滥用,反公地悲剧的结果是产权人太多且相互制约,导致对于稀缺资源的利用不足,经济发展陷入僵局。“现代技术创新更强调的是一种群体性、集成性的活动”,需要产业链上不同环节分工合作,实现协同创新,尤其需要重视并避免出现反公地悲剧现象。“在大数据单个数据之间的互补性和涉及众多数据主体的情况下,赋予众多原始数据主体对个人数据拥有排他性所有权会出现产权碎片化。”数据确权的本意是促进数据利用,结果却正好相反,数据要素流动会面临更多的障碍。
(二)数据确权的实践后果
每一项权利的赋予都伴随相应的程序、责任与机制。在我国,对于数据主体而言,基于知情同意原则,个人信息已经被纳入民法典人格权编“隐私权和个人信息保护”一章中;同时,个人信息保护法、消费者权益保护法等又明确规定了对“个人信息权益”的法律保护。前者属于民法规定的人格权益,后者属于专门法规定的新型权利。如何区分两种权利(益)、如何适用不同的法律,在理论与实践上都还有很多挑战。在此背景下,再赋予数据主体一项个人信息所有权,不仅在理论与法解释层面难以自圆其说,也会给法律适用增添更多分歧。这种做法,不论对于个人信息的保护还是利用,都只会成为阻碍。针对类似主张,美国学者非常尖锐地指出:“个人健康信息财产化除了使可能的数据中介致富以外,对于个人或公共健康都没有任何好处。”
对于企业数据确权,我国学界目前考虑的均是“权利束”解决方案。按此种方案,不同的相关方可能拥有不同的一项或者多项权利。例如,有学者主张“设定数据原发者拥有数据所有权与数据处理者拥有数据用益权的二元权利结构,以实现用户与企业之间数据财产权益的均衡配置”。有学者提出,“首先对于用户,应在个人信息或者说初始数据的层面,同时配置人格权益和财产权益;其次对于数据经营者(企业),在数据资产化背景下,基于数据经营和利益驱动的机制需求,应分别配置数据经营权和数据资产权”。还有学者提出,建立“数据业者捕获所有权”为主、“数据主体关联所有权”为辅的二元权利结构。权利束解决方案,本质上是在所有权基础上进行权利的分解和分割配置,在每一数据上都同时确立多项权利、多个权利主体,这完美符合反公地悲剧设定的条件。结果,在众多权利交织的背景下,任何一项权利、任何一个权利主体都可以排除他人对于数据的使用,以致出现比专利丛林更为复杂的“数据沼泽”现象。
欧盟为实现数字单一市场战略,2017年一度考虑创设“数据生产者权利”,以减少法律权利的不确定性可能对创新投资带来的阻碍,促进数据交易与流通。数据生产者权利属于物权,包括使用和授权使用非个人数据的权利。该项权利与运行数据生成设备的运营商挂钩,设备的长期使用者是所有权人。然而,该动议向社会公开征询意见后,遭到包括业界在内的广泛反对。反对者提出,数据共享“与所有权不相关,而与如何组织数据利用相关”。由于数据涉及众多不同的主体,谁是所有权人难以确定。“如果每个人都可以对特定数据享有所有权,其结果将是同一数据上存在多重所有权,对该数据的利用会产生相当大的负面影响。”欧盟后来认识到,以数据确权的形式对非个人和机器生成数据的干预,难以识别特定的市场失灵现象,因此放弃了数据确权的设想,聚焦数据利用与交换。欧盟于2018年制定了《关于在欧盟实现非个人数据自由流动的框架规章》,确立了透明度与互操作两大原则,禁止成员国提出数据本地化要求。2022年2月23日,欧盟委员会发布《关于公平获取和使用数据的统一规则(数据法)提案》,推动数据跨领域利用。在该建议中,最重要的主体是数据持有人。该建议不但未赋予数据持有人以数据产权,反倒要求其承担义务,以便其用户能够利用使用其产品或服务所生成的信息,包括向用户指定的第三方提供信息。欧盟对于数据治理的整个路径设计,可谓实现了“从权利到义务”的根本性转变。
在美国,《健康保险可携带与责任法隐私规章》与《人类受试者联邦保护政策》历经28年探索于2002年得以制定,两部规章的目的均是保护个人健康信息隐私,同时便利健康信息的公共利用。两部规章的规制进路在临床研究中非常有效,但很难简单移植到信息研究中。随着对相关数据的研究越来越重要,问题愈发明显,需要对相关制度进行改革。一种改革思路聚焦于规制进路调整,另一种改革思路建议通过立法明晰数据所有权。在美国,临床数据库的数据所有权问题属于州法律的调整范围,而大部分州都没有清晰地对该问题进行界定。主张数据产权化的学者认为,明晰所有权非常重要,有利于保护患者隐私,也有利于数据得到更有效的利用。在此背景下,埃文斯通过研究发现,上述两部规章对病人的保护方式,与病人一旦拥有数据产权后享有的保护方式惊人相似,并且,通过研究两部规章可以发现,数据所有权既不能解决隐私保护问题,也不能解决数据利用问题。数据所有权不能解决隐私保护问题,是因为拥有数据产权并不能保证产权人得到财产规则保护,在很多情况下,产权人只能得到责任规则保护,会被迫放弃产权,接受法院、国会或者行政机关确定的补偿,这种补偿甚至有可能是零。数据所有权不能解决数据利用问题,是因为如果缺乏必要的服务,原始数据无法成为数据资源,而仅仅拥有原始数据无法保证充分的数据资源供给。埃文斯最后得出的结论是:“正确的问题不是谁拥有健康数据。相反,应该辩论的是私人数据如何得到适当的公共利用,以及如何在最好地促进这些利用的同时充分保护个人利益。”
(三)我国数据确权的实践探索
为推动大数据交易,我国于2015年设立了贵阳大数据交易所。自此之后,多家由政府主导、企业合作的大数据交易平台成立。目前,大数据交易平台的交易模式可分为交易中介模式、大数据分析结果交易模式、数据产品交易模式三种。一个数据交易平台通常不止采用一种交易模式。交易中介模式是指平台本身只作为交易渠道,而不存储和分析数据。大数据分析结果交易模式是指按照需求方的需求,通过清洗、分析、建模、可视化等方式形成处理结果再出售,而不进行基础数据交易。数据产品交易模式细分为两种:一是按照需求方的需求,借助网络爬虫、众包等合法渠道采集相应数据,再经整理、校对、打包等处理后出售;二是与其他数据拥有者展开合作,对数据进行整合、编辑、清洗和脱敏,形成数据产品后出售。尽管目前我国数据交易平台不断出现,但这些平台发展水平良莠不齐,暴露出数据要素流通困难、行业应用需求挖掘难、市场生态发育不良、相关技术支撑不足等问题。各地大数据交易所普遍呈现出大数据交易额度低、质量低、层次低、风险高的“三低一高”现象,交易所也因之陷入“数据安全”和“数据流通”难以两全的困境。
大数据交易所借鉴了传统生产要素交易市场的经验,希望分享大数据带来的红利。然而,由于大数据交易所不具备平台企业所具有的大数据业务场景,其整合的数据资源再多也属于孤立资源,并且还会带来数据安全、权利保护等方面的挑战。大数据交易所成效不彰,不是因为缺乏数据确权,而是因为脱离业务场景的数据交易模式本身是失败的。实践部门的同志已经认识到,“以往文献仍未脱离数据确权框架,实际上数据确权非常繁杂,难以形成统一的研究结论,亟待从新视角加以突破”。有学者指出,“谨慎推进大数据交易所模式。该模式理论不够清晰,国外无经验借鉴,过往经营不善,未来盈利不清晰,动用政府资源较多,在学术界和业界也有较大争议”。
财产权理论与中外的数据权属实践已经证明,数据确权只会增加数据利用的难度,而不会推进数据利用。因此,欧盟没有任何成员国确认数据产权,美国同样也没有确认数据产权。然而,不赋予数据产权并不意味着不保护数据权益,欧美国家普遍通过商业秘密保护法、知识产权法(保护版权与数据库权利)、合同法、竞争法、个人信息保护法、刑法等来保护数据权益,并推动数据利用。例如,在荷兰最高法院提交欧盟法院审理的“瑞安航空公司案”中,欧盟法院裁判明确,如果数据库不受数据库特别权利的保护,法律不限制数据库的许可人通过合同施加限制,只要不违反竞争法,权利人可以根据其面临的具体情况,通过合同来安排数据的持有或者第三方利用,以维护其数据权益。
我国自实施国家大数据战略之后,数据权属、数据产权、数据确权、数据资源利用等议题受到前所未有的重视。《“十三五”国家信息化规划》(2016)在重点任务分工中率先明确要建立数据产权保护、数据开放相关政策法规和标准体系;《中共中央、国务院关于支持深圳建设中国特色社会主义先行示范区的意见》(2019)要求深圳“探索完善数据产权和隐私保护机制”;《中共中央、国务院关于新时代加快完善社会主义市场经济体制的意见》(2020)提出“完善数据权属界定、开放共享、交易流通等标准和措施”。在这一背景下,中央与地方立法均将数据权属问题作为重要议题,进行各种探索。在中央立法层面,最为重要的法律规定除民法典第127条外,还有数据安全法第7条。该条规定:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用。”在地方立法层面,截至2022年12月中旬,已有二十多个省、市制定出台了与数据权属相关的地方性法规。
目前,与数据相关的中央与地方立法在数据权属的规定方面大致可以分为四种类型:一是不涉及数据权属问题。《贵州省大数据发展应用促进条例》《天津市促进大数据发展应用条例》《海南省大数据开发应用条例》《山西省大数据发展应用促进条例》《安徽省大数据发展条例》《福建省大数据发展条例》《重庆市数据条例》《陕西省大数据条例》等属于这一类,民法典第127条也可以归入这一类。二是将数据界定为“财产权益”。2021年7月颁布的《深圳经济特区数据条例》首次在地方性法规中提及数据权属问题,该条例第4条规定:“自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。但是,不得危害国家安全和公共利益,不得损害他人的合法权益。”其他一些地方立法受深圳特区立法的影响,也采用了类似的规定,包括《山东省大数据发展促进条例》《黑龙江省促进大数据发展应用条例》《广东省数字经济促进条例》《辽宁省大数据发展条例》《广西壮族自治区大数据发展条例》《四川省数据条例》都有类似规定。《江苏省数字经济促进条例》规定的是“与数据有关的权益”,《北京市数字经济促进条例》规定的是“数据产品和数据服务的相关权益”,也都可以归入本类。数据安全法第7条也属于这一类型。三是直接使用“数据权益”概念。2021年11月制定的《上海市数据条例》第12条第2款规定:“本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益。”在此基础上,该条例将这些权益明确提炼为“数据权益”概念。四是采用“数据权利”概念。2022年10月出台的《苏州市数据条例》首次在地方立法中对数据权益进行区分处理,规定“自然人、法人和非法人组织依法享有数据资源持有、数据加工使用、数据产品经营等权益,获取与其数据价值投入和贡献相匹配的合法收益”,并首次使用了“相关数据权利”的表述。
总结现行与数据权属相关的立法可以发现:(1)不同类型立法在关键概念的使用上存在差别,这些不同类型之间并不完全呈现时间线上的递进关系,表明各方面对于如何确定数据权属在认识上很不一致。因此,有必要澄清数据确权的相关问题,为未来立法提供指引。否则,随着不同立法的增多,法律的解释与适用会面临越来越多不必要的困难。(2)四类立法虽然在对关键概念的表述上存在较大差别,实质却大同小异。第二类立法与第三类立法在概念表述上只存在细微差别,其实可归为同一类。最为典型的如,《上海市数据条例》同时使用了财产权益与数据权益两个概念。第一类立法隐含的前提也是要依法保护数据的相关权益,这同第二类、第三类立法没有本质区别。前三类立法的共同特征是承认数据权益受法律保护,这等于再次确认了现行法律规定与法律实践,并将数据保护引致到相关法律。第四类立法尽管使用了“数据权利”概念,更为贴近相关政策文件的表述,但整个规定仍然只是关于“数据权益”保护的规定,与其他地方立法没有实质差别,并没有真正创设一项新的权利。当然,这类立法也不可能创设一项新的权利。《深圳经济特区数据条例(征求意见稿)》曾经率先提出数据权概念,规定权利人依法对特定数据享有自主决定、控制、处理、收益、利益损害受偿的权利,权利人不仅是自然人与法人、非法人组织,也包括政府管理服务机关。并且,相关解释将数据权明确定位为数据财产权。不过,最终通过的条例放弃了“数据权”概念,转而采用“权益”保护概念。我国数据权属立法始于确权探索,定型于法益保护,这充分印证了“中国数据立法应当从数据权利入法向数据法益保护转向”的观点。总的来看,四类立法均尊重大数据规律,没有创设新的权利,与我国现行司法实践、国际普遍经验保持一致。针对地方立法的这种状况,有论者指出,“采用‘权益’而非‘权利’的表述说明立法以法益保护的进路替代了权利创设”。(3)相当多的(第一类)立法可以根本不涉及数据权属问题,以及四类立法规定本质上的一致性,充分说明数据确权既不是推动数据利用与数字经济发展的充分条件,也不是必要条件。在数据权益保护范畴内,规定或者不规定权属问题,都不会对法律实践产生实际影响。
2022年12月,中共中央、国务院发布了《关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”),其中不少内容还有待明确,需要在实践中逐步完善相关制度。但是,“数据二十条”在数据确权问题上的立场已经很清晰,即“以解决市场主体遇到的实际问题为导向,创新数据产权观念,淡化所有权、强调使用权,聚焦数据使用权流通,创造性提出建立数据资源持有权、数据加工使用权和数据产品经营权‘三权分置’的数据产权制度框架,构建中国特色数据产权制度体系”。也就是说,“数据二十条”采用的“数据产权”概念,完全不同于传统的财产权或产权概念,并不需要界定数据属于谁所有,而是强调数据相关方均有权使用数据。数据资源持有权、数据加工使用权和数据产品经营权均属于使用权,数据使用权“三权分置”不同于农村集体土地所有权、承包权、经营权“三权分置”。前者淡化所有权,强调的是不同主体均有权使用数据,不同主体之间的使用权平等,以促进数据合规高效流通使用,这种“三权分置”可归纳为基于使用权的横切分置;后者以维护土地公有制为原则,根据物权法上所有权与用益物权划分为标准,设定不同权利主体不同层级的权利,不同权利之间存在决定与被决定的关系,而所有权是最根本的权利,这种“三权分置”可归纳为基于所有权的纵切分置。可见,“数据二十条”再次肯定了我国法治实践有关数据权益保护的经验,数据确权的理论争论到此应该可以完全停止。
三、我们面临的真实问题
数据不同于其他生产要素,数据不会耗尽,且能够为实现不同目的而被反复利用与共享,由此产生各种溢出效益。经合组织研究发现,数据的利用与共享除可以增加数据持有者的价值以外(直接影响),还能为数据使用者创造10倍到20倍的价值(间接影响),为整个经济创造20倍到50倍的价值(催生影响)。当然,数据利用与共享有时候也会减少数据持有者的生产者剩余。总的情况是,公共领域的数据利用与共享增加的社会与经济效益,可以达到GDP的0.1%至1.5%;如果再加上非公共领域的数据利用,社会与经济效益会增加GDP的1%至2.5%(在个别研究中,这一数值能够高达4%)。用梅特卡夫定律解释,一个网络的价值和这个网络节点数的平方成正比,网络节点属于线性增长,而节点增加带来的连接(网络价值)呈指数级增长。随着利用与共享数据主体的增加,网络与数据的价值均会呈现指数级增长,由此推动经济效益的大幅提升。数据利用与共享带来的网络效应,是新一轮科技革命与产业变革带来的革命性变化。2014年,美国政府有关大数据的权威研究报告提出了五条政策建议,其中的第一条就是“政策应更多地关注大数据的实际使用,而不是大数据的收集和分析”。2021年10月6日,经合组织理事会通过《关于加强数据利用与共享的建议》,这是国际上第一个数据利用方面的原则与政策指南。我国“数据二十条”要求“以促进数据合规高效流通使用、赋能实体经济为主线”,“构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度”。由此可见,利用与共享数据,让不同主体都能接入网络,是数字经济转型最大的现实机遇与挑战。当然,数据价值的突显以及万物互联,会使个人、企业与国家的数据安全与保护面临各种风险。在数据驱动创新的时代,数据利用与共享是创新的方向,数据安全与保护是创新的基石,这二者在本质上是一枚硬币的两面,不同国家需要根据本国实际确定数据治理的重点。
经过前几年的努力,我国制定并实施了网络安全法、数据安全法、个人信息保护法,数据安全与保护的基本制度框架已经搭建起来并开始发挥作用。当前,我们面临的现实挑战集中在推动公共数据与非公共数据的有效利用与共享方面。
在公共数据方面,2012年,上海市在全国率先上线“上海市政府数据服务网”,尝试向全社会开放部分政府数据。2015年,国务院印发《促进大数据发展行动纲要》,将加快政府数据开放共享列为促进大数据发展的重要任务。2017年,中央网信办、国家发改委、工信部联合发布《公共信息资源开放试点工作方案》,要求“针对开放数据数量不多、质量不高、更新不及时、开发利用不够以及开放体制机制和标准规范不完善等问题,积极探索,着力突破”。近年来,上海市、浙江省、山东省等地先后就公共数据开放制定专门的地方性法规,深圳市、北京市等地在相关地方立法中将数据开放作为重要部分予以规定。例如,2019年通过的《上海市公共数据开放暂行办法》规定,对列入无条件开放类的公共数据,自然人、法人和非法人组织可以通过开放平台以数据下载或者接口调用的方式直接获取;对列入有条件开放类的公共数据,数据开放主体应当与符合条件的自然人、法人和非法人组织签订数据利用协议,明确数据利用的条件和具体要求,并按照协议约定通过数据下载、接口访问、数据沙箱等方式开放公共数据。2020年通过的《浙江省公共数据开放与安全管理暂行办法》将公共数据分为禁止开放类、受限开放类、无条件开放类,并明确规定“公共数据开放主体应当向社会公平开放受限类公共数据,不得设定歧视性条件;公共数据开放主体应当向社会公开已获得受限类公共数据的名单信息”。截至2021年10月,我国已有193个地方政府上线数据开放平台,其中省级平台有20个,市级平台有173个。
有学者通过梳理近年来我国公共数据开放政策的演变发现,在政策准备期,政策数量相对较少,政策的总效力和平均效力逐渐增加;在政策发展期,政策数量快速增加,政策的总效力和平均效力处于较高水平;进入政策完善期后,“政策的数量、总效力和平均效力有所降低”。也有研究称:“并未发现中央政府信号对地市级政府的政策采纳有显著的正向影响。”有学者通过对上海市等八个城市在政府数据开放平台开放的公安数据研究后发现,平台上的数据“主要是警务公开阶段和执法信息化建设阶段的数据,没有社会治安状况类数据,更没有生效的法律文书类数据”。当前,“数据共享与数据市场建设等仍然处于分散探索阶段”。几年前就已经存在的数据量少、价值低、可机读比例低、开放的多为静态数据等问题,并未根本解决。
2019年,经合组织分析了37个国家200多项数据利用与共享行动计划后发现,大多数计划(几乎占65%)都聚焦于公共领域的政府数据开放。我国公共部门掌握了大量的有用数据,要推动数字经济发展、促进数据高效流通利用,有必要在各地实践的基础上,借鉴国际经验,推动制定“公共数据开放条例”,对公共数据的开放范围、开放标准、利用原则、利用方式、全生命周期安全管理、利用激励措施、开放考核评价标准、行政问责和保障机制等作出明确规定,以数据开放推动数据资源管理能力提升,以公共数据开放带动全社会数据利用与共享。非公共数据的开放,涉及多元主体的利益平衡和复杂的法律关系调整,相关制度设计在各国都比公共数据开放要困难和复杂得多。我国实践中已经出现不少数据利用争议,但缺乏相应的分析框架,数字经济的潜力远未得到发挥,亟需明确制度演进方向。根据网络化与大数据的基本特点,可以归纳的趋势性国际经验包括以下几点。
其一,为追求网络效应,不同市场主体均有开放数据(网络)、提升数据(网络)价值的内在激励。平台经济的实践已经表明,多数情况下,数据开放可以通过开放标准、市场机制、合同安排等实现,不需要人为干预。但是,对于数据持有者而言,数据开放有时候会降低其生产者剩余,或者说会培育竞争对手。这种情况下,数据持有者会选择不向某些第三方开放数据,或者采取技术措施维护自身利益。作为市场主体,数据持有者是否开放数据,属于自主决定事项,常态情况下数据持有者没有开放数据的强制义务(除非履行执法配合等公法义务),否则会影响其继续从事数据开发活动的积极性,所有其他的数据利用活动也都无从谈起。因此,法律必须保护数据持有者的合法权益,尤其要避免“一刀切”地强制数据持有者开放数据。
其二,为推动竞争与创新,实现公共利益,法律应确保所有数据使用者享有使用数据(网络)的权利,包括使用反向工程手段使其系统能够与数据持有者互操作,分享网络效应带来的机会。也就是说,法律在保护数据资源持有权的同时,也保护数据的使用权与网络接入权。但是,这种法律保护确立的只是公平竞争底线,数据使用者能否通过协商接入数据持有者的网络,以及在协商无效的情况下,是否有能力绕开数据持有者的技术措施或者其他措施,都要通过市场竞争决定。正是这样的市场竞争机制,能不断推动技术、业态与商业模式的创新,实现优胜劣汰,提高社会资源的配置效率。
其三,在数据持有者强大到成为数字“守门人”,竞争机制与事后反垄断执法机制均难以发挥作用的情况下,为创造公平竞争的制度环境,必须通过政府的事前监管明确数字“守门人”的行为规范,防止其利用数据优势阻碍公平竞争。当然,数字“守门人”的判断标准与确定程序均由法律规定,数字“守门人”在数据持有者中只占非常小的一部分。
其四,个人数据是最有价值的数据,是大数据的基础,个人信息权益是最为基础的权益。在整个数据治理体系中,必须尊重和保护数据主体对个人信息流动与利用的控制权益。数据持有者有义务合法采集与使用个人信息,也有义务按照数据主体的要求向(第三方)数据使用者提供数据主体的个人信息,以此推动数据的利用与共享。
非公共数据的利用与共享,涉及版权法、合同法、标准管理、政府监管制度、个人信息保护法、反不正当竞争法、反垄断法、刑法、数字平台法等不同法律部门的联动设计与体系性回应,以调动数据持有者、数据使用者、数据主体的积极性,充分实现网络效应。在这些方面,我国理论研究滞后,法律体系面临较为全面的挑战。这主要包括:版权保护过于向版权人倾斜,忽略了公众获取知识的权利,不利于数据使用者参与竞争与创新;刑法的规定与适用进一步加剧了版权保护存在的问题,使创新与竞争产生寒蝉效应;标准手段行政化,抑制开放标准与市场机制的生长空间;反不正当竞争法与反垄断法适用边界不清晰,缺乏执法能力与可操作标准,对数据持有者有时放任、有时“一刀切”严管,难以形成稳定的预期;个人信息保护法确立的数字“守门人”制度与个人信息可携权均缺乏标准与实施机制,存在较大制度空白;法律机制的不确定性与各种问题使依靠行政手段成为非常态情况下的必然选择,这进一步冲击了法律的可预期性,容易陷入“一抓就死、一放就乱”的恶性循环。
推动非公共数据的利用与共享,不可能通过制定一部法律毕其功于一役,而是需要针对不同问题,借鉴国际经验,形成科学的分析框架,并分别对症下药,以体系性变革推动数据治理体系的完善,实现国家的数字化转型。
作者:周汉华,中国社会科学院法学研究所副所长、研究员。
来源:《法学研究》2023年第2期。