丁晓东:数据公平利用的法理反思与制度重构
丁晓东【摘要】在当前的数据交易与利用实践中,数据作为关键性生产要素,主要为少数企业所控制,作为用户的个人与中小商家则难以利用数据。为实现数据的公平利用,欧盟试图赋予用户以数据访问与利用权,美国注重个人信息数据的市场交易,我国则强调对企业数据进行确权。然而,数据具有聚合性、关联性、场景依附性、非竞争性与非排他性等特征,确权无助于解决数据利用过程中的争议,将数据视为权益混同的聚合型财产,通过行为规制与数据治理实现数据公平利用,是更为合理可行的路径。对于商业主体数据的利用,应强调市场自治与竞争秩序公平。对于个人数据的利用,应从“个人—企业”“个人集合—企业”两个关系维度构建和完善数据治理规则。对于公开数据的利用,应克减平台企业的数据控制权,赋予平台内商家以有限的数据访问与利用权,保障平台内个人用户的个人信息携带权,以有效平衡各方主体间的利益关系。
【关键字】数据利用;数据确权;数据访问与利用权;数据治理;数字经济
在当前的数据交易与利用实践中,数据作为关键性生产要素,主要为少数企业所控制,作为用户的个人与中小商家则难以利用数据。为实现数据的公平利用,欧盟试图赋予用户以数据访问与利用权,美国注重个人信息数据的市场交易,我国则强调对企业数据进行确权。然而,数据具有聚合性、关联性、场景依附性、非竞争性与非排他性等特征,确权无助于解决数据利用过程中的争议,将数据视为权益混同的聚合型财产,通过行为规制与数据治理实现数据公平利用,是更为合理可行的路径。对于商业主体数据的利用,应强调市场自治与竞争秩序公平。对于个人数据的利用,应从“个人—企业”“个人集合—企业”两个关系维度构建和完善数据治理规则。对于公开数据的利用,应克减平台企业的数据控制权,赋予平台内商家以有限的数据访问与利用权,保障平台内个人用户的个人信息携带权,以有效平衡各方主体间的利益关系。
一、问题的提出
数字经济时代,数据已成为数据企业的关键生产要素。在对数据进行系统性收集、价值挖掘和商业化利用的过程中,数据企业掌握了数据利用权,个人和中小商家用户则很难利用数据。[1]这一现象引发了学界对于数据公平利用问题的关注和探讨。美国学者祖博夫提出了“网络监控资本主义”的概念,他认为互联网公司等数据企业通过收集人们网络行为产生的数据,独占了数据利用权。[2]科恩指出,数据企业对用户数据的免费获取与独占利用,是一种制度建构的不公平行为,应在法理层面加以反思,并对相关制度予以重构。[3]我国也有学者认为,有必要“更鲜明地提出‘数据公平使用’的立法原则”,“在个人基本权利保护、数字经济发展以及数据利润共享之间达成适当的平衡”。[4]
实现数据的公平利用,也是当前各国立法者关注的焦点。美国尝试通过个人数据的财产权化和发挥市场机制的作用推动数据的公平利用。欧盟委员会于2022年公布了《数据法:关于公平访问和利用数据的统一规则的法规提案》(简称“欧盟数据法提案”),提出用户应当拥有访问和使用数据的一般性权利。[5]我国紧随欧盟立法趋势。2022年12月,中共中央、国务院联合印发了《关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”),提出“建立健全数据要素各参与方合法权益保护制度”,既要“合理保护数据处理者对依法依规持有的数据进行自主管控的权益”,又要“保障数据来源者享有获取或复制转移由其促成产生数据的权益”。在上述背景下,有几个理论问题值得深入探讨:其一,数据企业对用户数据(包括个人数据与商家数据)的独占利用,是否构成数据的不公平利用,是否需要赋予用户以数据访问与利用权;其二,我国现有法律制度是否有助于实现数据的公平利用;其三,我国是否有必要借鉴欧盟立法,针对数据的公平利用问题制定专门的法律法规。
由于美国和欧盟先后提出了数据公平利用的制度方案,我国也在政策层面接纳了欧盟的立法思路,准备在法律制度层面引入数据来源者“获取或复制转移”数据的权利,对上述问题的解答不仅必要,也具有紧迫性。结合欧盟、美国和我国的相关立法,并考虑数据的基本特征,本文认为,通过赋予各方主体以数据权利,无法有效实现数据的公平利用,应将数据视为权益混同的财产,采取行为规制与数据治理相结合的进路,分类构建相关制度。
二、实现数据公平利用的现有制度方案
对于公平价值的追求内嵌于各国的数据法律制度之中。为解决数据利用引发的各种争议,欧盟与美国选择了不同的制度路径。欧盟在个人数据保护立法之外,积极探索新型赋权方案,美国则致力于完善个人信息数据市场,希冀借助自由市场的力量推动实现数据交易公平。我国采取了对个人信息和企业数据进行双重保护的立法进路,尚未专门针对数据的公平利用问题制定法律法规。
(一)欧盟立法中的数据访问与利用权
2016年4月,欧盟通过了《一般数据保护条例》(简称GDPR),确立了个人数据受保护权。GDPR虽然并不直接处理数据公平问题,但赋予个人以数据访问权、携带权等,能间接促进个人数据的公平利用。2017年10月,欧盟委员会发布“构建欧洲数据经济”倡议。[6]该倡议主张,为实现数据利用与交易的公平性,数据生产者应被赋予排他性的财产权。例如,若某车辆为某人所有或长期租用,该人驾驶该车辆所产生的数据应为该人所有;智慧家居、智慧农业、智慧医疗等各种物联网收集的数据,应归数据的生产者所有,而不归数据的持有者或控制者所有。2022年,欧盟委员会公布“欧盟数据法提案”,进一步提出了公平访问和使用数据的统一规则,该提案摒弃了数据生产者的概念,引入了“数据用户”“数据持有者”“数据接收者”等概念,[7]试图区分数据交易与利用过程中的不同参与者,并对各类参与者分别赋予权利与施加义务,以实现数据公平利用的制度效果。
首先,为使用户能够便利地访问数据,“欧盟数据法提案”规定,数据企业在设计和制造产品以及提供相关服务时,应确保“在默认情况下用户能够轻松安全地访问其产生的数据,并且在相关和适当的情况下,用户可以直接访问这些数据”。同时,企业应当向用户告知“数据的性质和数量”“数据是否可能连续、实时生成”“用户如何访问这些数据”等信息,以便用户可以有效地行使其权利。如果受到技术与场景等限制,用户无法从产品中直接获取数据,则数据持有者应及时地向用户免费提供使用产品或相关服务所产生的数据,在可行的情况下,这种提供还应当是连续的、实时的。[8]
其次,为使用户能够公平地利用数据,“欧盟数据法提案”明确,用户具有直接向第三方提供或与第三方共享数据的权利。在很多情形下,用户需要借助第三方来利用或开发数据,如利用第三方开展售后服务或进行数据分析。根据该提案,如果用户提出请求,数据持有者应向第三方免费提供因用户使用产品或相关服务而产生的数据,不得无故拖延,且应当分享质量相同、实时生成的数据。此外,数据持有者应“以公平、合理、非歧视性的条件和透明的方式”向数据接收者提供数据,“对相似类别的数据接收者不得有歧视”。如果数据接收者认为数据持有者向其提供数据的条件带有歧视性,则数据持有者对不存在歧视负有证明责任。[9]
最后,根据“欧盟数据法提案”,数据接收者对于用户也负有一定义务。数据接收者应“仅出于与用户商定的目的并在与用户商定的条件下”处理其所收到的数据,“在涉及个人数据的情形下受数据主体的权利约束,并应删除对于商定目的不再必要的数据”。数据接收者不应“胁迫、欺骗或操纵用户,破坏或损害用户的自主权、决策或选择”,也不能未经用户同意将收到的数据转移给其他第三方。[10]
(二)美国的个人信息市场交易模式
美国将数据的公平利用视为市场经济中的公平问题。美国联邦层面在征信、医疗、教育、金融等领域制定了一系列保护个人信息的立法,不少州在消费者保护领域出台了相关立法。[11]在缺少相关立法的领域,美国联邦贸易委员会通过对“欺诈和不公平”的市场行为进行监管来维护个人信息市场秩序。例如,若企业在其隐私政策中承诺不收集个人信息,实际上却收集个人信息并向第三方出售,此种行为就属于具有欺诈性的或不公平的市场行为,将受到美国联邦贸易委员会的监管。
美国的立法并没有将个人信息受保护权视为一项基本权利,也没有全面采用欧盟GDPR中的“目的限制原则”和“数据最小化原则”,这使个人有机会在信息市场中交易和利用其个人信息。例如,美国有不少电信企业针对个人信息采取差异化的定价收费方法,对愿意提供更多个人信息的用户收取较低费用,而对不愿意提供个人信息的用户收取较高收费。此类个人信息交易模式,在欧盟会被认定为非法收集个人信息,但在美国,只要相关交易不违反美国联邦与州层面的立法,不存在欺诈与不公平的情形,就是合法的。[12]美国的个人信息市场交易在实践中也存在不少障碍。很多学者指出,个人往往难以恰当并准确地理解隐私政策,对其个人信息的价值也缺乏有效认知。由于个人通常不具有实质性的谈判能力,企业对个人信息的收集与利用也就很难成为一种公平交易,而最多只能算是“以隐私换便利”。[13]在更多的情形下,这类交易的实际效果,只是给企业提供“自由通行证”,[14]使企业可以轻易获取并独占个人信息的使用权。
为进一步促进个人信息市场的公平交易,美国学者提出了个人信息财产权方案。[15]20世纪90年代,美国经济学家肯尼斯·劳顿提出,应建立管制化的“国家信息市场”。在这个市场中,个人可以把他们的数据卖给银行,由银行把数据汇集起来,在全国性的交易所中出售。[16]个人信息财产权的方案获得了不少法学家的认同。莱西格借用卡拉布雷西的财产规则与责任规则理论,论证了财产规则比责任规则更有助于实现交易公平。他提出,可以利用技术与法律手段增强个人的信息谈判权,为个人参与信息市场交易提供更多的谈判筹码。[17]保罗·施瓦茨等人主张赋予信息主体以有限财产权,强化个人信息流转过程中的个人信息保护,以实现更为公平的个人信息商业化利用。[18]
(三)我国的个人信息保护与企业数据确权方案
我国采取了个人信息保护与企业数据确权的双重立法进路。在个人信息保护方面,经过多年的学术争论与制度实践,我国制定了以个人信息保护法为核心的一系列法律法规。个人信息保护法采取统一立法模式,将个人信息受保护权视作基本权利。根据该法,信息处理者处理个人信息时,必须遵循“目的限制”“信息最小化”等原则,对信息的处理不得超过提供服务所需要的必要限度。[19]在这种模式下,个人信息虽然得到了最大限度的保护,但个人信息的财产化利用也受到了限制。[20]若企业以提供价格优惠为对价,超出提供服务的必要范围收集个人信息,即使获得了个人的明确同意,也可能会因为违反了最小必要原则而被认定为违法。[21]
我国的政策与法律实践也积极强化对企业数据的保护。2020年,中共中央、国务院联合发布《关于构建更加完善的要素市场化配置体制机制的意见》,该意见指出,数据是类似土地、劳动的生产要素,要“根据数据性质完善产权性质”。“数据二十条”提出,应“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”。在司法实践中,我国法院主要适用反不正当竞争法等对企业数据进行保护。例如,在新浪微博诉脉脉不正当竞争纠纷案、大众点评诉百度数据爬虫案、淘宝公司诉美景公司不正当竞争案等近年来社会影响力较大的案件中,法院都判定原告胜诉,并认定互联网企业利用爬虫技术获取对方数据的行为违反了反不正当竞争法。[22]
在对个人信息与企业数据同时予以保护的法律制度下,数据的公平利用难题愈加突出。首先,个人与数据企业难免会就数据的利用问题产生争议。例如,微博平台上的数据既可被视为企业数据,也可被视为个人信息。若将其视为企业数据,则数据控制权应为平台拥有,若将其视为个人信息,则数据控制权属于个人。那么,平台企业可否通过签订用户协议等方式,限制个人对其平台数据进行利用,或者限制个人与其他平台签订数据转移的商业化协议?要解决此类问题,显然不能仅从个人信息保护或企业数据确权的角度分析。[23]其次,非个人主体的数据来源者与数据企业之间也会就数据的利用问题产生争议。“数据二十条”借鉴了“欧盟数据法提案”,提出要赋予数据来源者以数据获取与复制转移权。该权利一旦经立法确认,数据来源者就可将自身数据转移给第三方,这势必影响数据企业的利益,进而引发争议。
三、现有制度方案存在的问题
欧盟与美国的制度探索,为实现数据的公平利用提供了富有启发性的思路。不过,这些制度方案的实际效果还有待实践检验。我国的个人信息保护法侧重保护个人信息和防范风险,[24]对于发生在用户与企业间的数据利用争议,能否诉诸企业数据财产化确权方案解决,还需要在理论层面反思推敲。
(一)数据访问与利用权的困境
在欧盟,数据生产者的概念一经提出,质疑便纷至沓来。在欧盟委员会的公众咨询期间,很多数据企业都不认同将用户定义为数据生产者的做法。在企业看来,数据的产生是企业投资与搭建数据设备的直接结果,将用户认定为数据生产者,并不公平。[25]如果确认用户对数据拥有财产性权利,大量数据企业将很难对数据进行开发利用。学界也提出了类似批评。沃尔夫冈·科伯指出,数据的生产往往是由多个主体共同完成的,赋予数据生产者以权利“不能解决与数据相关的‘不平等议价能力’问题,也不能解决存在多方利益相关者情形下的访问问题”,反而会带来更为不公平的结果。[26]
“欧盟数据法提案”所规定的数据访问与利用权,也同样存在问题。其一,数据并非仅仅来源于用户,用户对在其参与下形成的数据,不应提出类似所有权的权利主张。早在19世纪,美国已有司法案例明确,游客可以自由地对私人房屋拍照,但拍照所形成的房屋信息(数据)不受法律保护。[27]在现代数据生产的例子中,情形更是如此。很多数据的生产平台或架构都是由数据企业搭建完成的,个人用户或商家用户虽然在这类平台上留下了痕迹,但很难说个人或商家就是这类数据的唯一生产者或数据来源者。其二,用户在数据生产过程中发挥的作用,很难被认定为“劳动”,也难以基于数字劳动理论而获得权利。数字劳动理论认为,社交、电商、共享经济等平台创造的是一类大型工厂,用户在使用这些平台时会生产数据,这种生产也是一种劳动。[28]埃里克·波斯纳和格伦·韦尔指出,用户数据可以成为一种劳动产品,用户也可以成立“数据劳动工会”并与企业谈判。[29]但是,整体来看,数字劳动的概念与人们对于劳动的通常认识有较大差别,也不符合马克思主义劳动学说对于劳动的界定。按照社会的一般认知,只在极少情形下,如用户有意识地进行创造和写作,才能认为数据是用户的劳动创造的。在大多数情形中,数据都不过是用户在娱乐、交易等过程中无意识产生的,是一种附带的产物。相比之下,平台等数据企业所进行的架构搭建活动,才更接近于劳动。既然数据是由多方主体共同生产出来的,且企业在此过程中投入了大量资源,特别赋予用户以数据访问与利用权就不具有正当性。
数据访问与利用权还可能对数据市场产生负面影响。欧盟创设该权利的目的,既在于实现数据的公平利用,也在于促进数据流通。欧盟立法者的设想是,数据访问与利用权可以使用户和第三方都有机会参与数据市场的交易。但是,这种设想过于理想化,也会给各方带来不必要的成本负担。在现实场景下,企业收集的数据会与企业的已有数据体系相结合,构成企业决策机制的一部分。用户和第三方接收者往往不拥有此类数据体系,即使用户有权访问和利用企业收集的数据,或者将企业收集的数据转移给数据接收者,用户和数据接收者也很难对这些数据进行有效利用。[30]可以设想,如果用户和数据接收者能够轻易开发和利用这些数据,那么市场中的各类主体自然会通过开放应用程序编程接口(API)等方式进行合作。用户、数据企业与第三方企业之所以没有自发地进行数据共享与合作,主要是因为此类数据无法有效嵌入彼此的数据生态系统,或者开放此类接口的成本过高。“欧盟数据法提案”创设了数据访问与利用权,希望打造数据无缝对接、高效流通的市场,但忽视了数据共享与流通的先决条件。
(二)个人信息财产权的困境
在美国,个人信息财产权的概念提出后,曾涌现一批代理个人信息交易的企业,但这些企业无一例外都没有顺利地经营下去。[31]个人信息财产权理论的提出者设想了一个蓬勃发展的个人信息交易市场,试图通过鼓励个人参与市场交易促进数据的公平利用,但这种设想并未成为现实。现实情况是,企业仍然可以较为轻易地获取个人数据并独享对数据的利用,个人则难以对数据进行访问和利用。近年来,美国加州等多个州在个人信息立法中将个人信息视为“准财产”,[32]要求企业在收集个人信息前必须告知个人并获得个人同意,但此类立法也没有推动个人有效参与数据交易。
个人信息数据市场失败的根本原因在于,大数据是由海量个人信息汇聚而成的,而单条个人信息的价值非常有限,个人没有参与此类市场交易的积极性。即使是非常详细的个人信息,“普通人的数据零售价通常也不到1美元”,而“关于一个人的一般信息,如年龄、性别和位置,每人仅值0.0005美元”。[33]面对如此微薄的收益,理性个体很难有动力把个人信息当作财产进行交易。[34]通过个人信息财产化实现数据公平利用的制度设想,也因此无法落地。
个人信息财产化与市场化最为成功的实现方式当属“非同质化通证”(NFT)。非同质化通证的实质是利用区块链技术所形成的可信数字权益凭证。[35]通常认为,非同质化通证具有唯一性、不可复制性等特征,因而可信度较高,有助于对个人信息、数字藏品等数据产品进行资产化利用,且这种利用不受平台企业的中心化控制。但是,事实证明,非同质化通证最广泛的应用场景,仍然是各类艺术藏品或名人信息的交易,只有当个人信息或数据具有很高的资产价值,具备金融属性时,个人信息才有可能成为一种交易品。[36]非同质化通证应用场景的局限性说明,个人信息的财产化与市场化难以适用于普通个体,个人信息财产化方案无力解决普遍意义上的数据公平利用问题。
(三)企业数据财产化确权的困境
在企业数据财产化确权理论看来,先占或“捕获规则”本身就是一种公平的制度安排。例如,谁射杀了一头野生动物,谁就应当拥有对该野生动物的控制权。在企业收集数据的过程中,企业进行了大量的投资和劳动。如果缺少对企业数据的财产权保护,任由其他主体免费利用企业数据,不仅构成对企业劳动的不公平对待,也会间接鼓励“搭便车”、不劳而获等不公平行为。但是,此类论证无法成立。企业数据的财产化保护不仅无助于实现数据的公平利用,反而会带来更多问题。[37]
首先,以企业付出了劳动为由对企业数据进行财产权保护,将导致对数据先占者的过度保护。数据确权理论可以追溯到洛克甚至更早的理论家所提出的劳动财产权理论,但这一理论只能适用于具有排他性特征的资源。数据是一种非竞争性、非排他性资源,[38]如果先占者可以获取排他性的保护,后来者就会丧失获取数据的机会,这将不利于数据的公平利用。正是基于这一原因,知识产权制度对数据保护提出了额外要求。例如,在加工利用数据的过程中,只有当数据产品具有原创性时,该数据产品才能获得著作权保护;只有当数据产品具有新颖性、创造性和实用性,该数据产品才能获得专利保护;当数据具有商业价值且企业已对其采取了保密措施时,法律才对该数据进行商业秘密保护。各国都没有将劳动的存在作为数据获得知识产权保护的充分条件。例如,美国最高法院在费斯特案中指出,“额头汗水”并不必然要受著作权保护。虽然电话簿的信息收集与制作需要投入大量劳动,但如果电话簿不具有原创性,它就不受知识产权保护。此外,欧盟为数据库提供特殊权利保护是出于激励投资的考虑,而非建立在劳动理论基础之上,且欧盟对数据库的权利保护,也与传统财产权或知识产权的保护存在较大区别。[39]
其次,通过赋予企业数据财产权禁止所有的搭便车行为,可能会对数据的合理与公平利用带来消极影响。由于数据具有非竞争性、非排他性,法律对数据进行有限度的、非排他性保护,允许社会主体在不损害他人权益的基础上搭便车,可能是最为合理的制度设计。信息流通与分享中的搭便车现象十分常见。例如,房屋外观、院子里的花草树木等美观信息被路人分享,只要路人不侵犯房屋或院子主人的隐私,就不必向对方支付费用。如果此类信息获取行为被认定为违法,则社会中人人皆是违法者。在知识产权保护制度中,个人与商业主体在很多情形下可以对知识产权的客体进行合理利用,法律对版权和专利等设置保护年限,也是意图在激励创新的同时,确保公众能够免费地合理利用知识与数据。事实上,大数据时代的数据具有聚合性特征,法律不仅不应禁止搭便车,还应鼓励这种行为。欧盟2022年通过的《数据治理法》就引入了“数据利他主义”制度,鼓励人们为实现公共利益捐赠自己的数据,以形成具有研究价值的数据池。[40]
四、数据公平利用的原理重构
既有的数据公平利用制度或理论主张之所以行不通,根本原因在于不适应数据的特征、不符合数字经济发展规律。与传统的生产要素不同,数据具有聚合性、关联性、场景依附性、非竞争性、非排他性等特征,宜将数据视为权益混同的财产。数据的交易、流通和利用,是由多方主体参与的、高度场景化的实践活动。要实现数据的公平利用,应当针对不同类型的数据设计不同的制度方案,致力于实现市场竞争秩序公平与数据公共治理公平。
(一)数据的基本特征
1.数据的聚合性特征
数据的聚合性主要是指数据能够聚少成多,从而发挥叠加效应。孤立分散的信息或数据自古便存在,但它们并没有产生如今之影响。随着信息科技特别是互联网技术的发展,数据的海量汇集成为可能,数据才成为重要的生产要素。大数据的价值之所以得到普遍认可,一个重要原因就是数据的聚合产生了规模效应。大数据产业利用的是“全体数据”,而非“随机样本”。[41]通过纷繁数据的聚合,大数据可以针对具体问题提供更为准确的分析。例如,2009年谷歌通过汇聚用户的搜索记录、行踪轨迹等各类信息,对季节性流感进行预测,比美国公共卫生部门更准确地预测了H1N1流感爆发的范围与传播的趋势。[42]
2.数据的关联性特征
数据具有关联性,指的是数据间纵横交错的关系会影响数据的价值。例如,某人的行踪轨迹可能会暴露其同行人的行踪轨迹,某人的基因信息可能有助于识别其他人的身份信息等。非个人信息数据亦是如此,网络平台内某商家的销售数据与浏览数据,既可能与消费者相关,也可能与平台相关,数据的产生往往是多方共同作用的结果。正是由于数据具有关联性特征,欧盟对用户单方面赋权的方案受到了社会各界的普遍质疑。数据并非个人或商业用户单独“生产”出来的,无论将个人或商业用户界定为“数据生产者”,还是“数据来源者”,都不能真实地反映数据生成的实际情况。
3.数据价值的场景依附性
数据的价值高度依赖使用数据的具体场景。[43]例如,反映着某小区老年人健康状况与财务状况的数据,对保险公司具有重要价值,对推销保健品的广告公司也有意义,但对于其他商家来说,可能价值不大。数据要实现其价值,必须有效融入公司的经营策略和决策体系中。如果广告公司投放商业广告采取的是随机模式,而非个性化推荐模式,那么上述老年人数据对于广告公司来说就没有意义。传统意义上的标准化商品,如石油、黄金等,可以形成商品流通的“厚市场”,甚至可以借助交易所等实现高频交易。但是,数据具有比较典型的“信用品”特征,围绕数据进行的交易更多是一种合作,即一方利用其数据为另一方提供服务。数据很难脱离具体场景而形成类似商品流通的标准化流通,合作双方很少直接将数据作为买卖对象。
4.数据的非竞争性、非排他性
之所以认为数据具有非竞争性、非排他性,是因为数据可以被重复利用,特定数据被某一主体使用,不影响其他主体对该数据进行开发。[44]数据的这一特征意味着,传统财产权或物权原理大多无法直接适用于数据客体。哈丁提出的“公地悲剧”假设主要适用于消耗性与竞争性资源,[45]而无法有效解释或指导数据的利用行为。公共草场的过度放牧可能导致草场的退化,但数据的公共利用并不会造成数据的“退化”,反倒能使数据的价值得到更大程度的发掘。相反,如果使数据私有化,数据作为公共物品的效用就要受到抑制,甚至出现“反公地悲剧”的结果。[46]
(二)对数据法律属性的重构
由于数据具有聚合性、关联性、场景依附性等特征,将数据视为权益混同的聚合型财产可能更为合理。民法上传统的物具有可分割性,即使是无法进行物理分割的物,也可按“出资额”或“等额”的方式进行权益分割。数据则不同,数据的价值来自信息的杂糅混同,无法分辨出哪些数据更有价值或哪些数据没有价值。并且,数据也不宜被分割。从最有利于发挥数据要素作用、实现数据利用价值的角度出发,应将数据视为整体物。[47]对于非整体物(如金钱、谷物、石油)而言,分割不会导致其价值消灭,而整体物则并非如此。在日常生活中,桥梁、水库等都属于典型的整体物。一旦桥被拆解,桥的价值就会消失;如果水库被分散为水滴,水库也就无法发电。同理,一旦将数据拆分为离散的用户信息,数据的整体价值也将基本消失。正因如此,对于数据利用的制度规范,应以数据分享制度的构建为重心,而不能过于依赖传统产权制度。[48]
基于数据的非竞争性和非排他性,应将网络平台上的公开数据视为具有公有物特征的特殊财产。公有物指的是“属于公众并通过法律机制向公众开放的物品”,[49]其不同于私有财产和集体财产,也并非国有财产。[50]自然资源归国家所有,意味着国家对自然资源拥有排他性权利。在排他性的意义上,国家所有与私人所有具有相似性。[51]数据公有意味着数据处于公共领域,其所有权不属于任何人(包括国家和集体)。将某些数据视为公有物,意味着企业可以控制这些数据的利用,但无法主张对数据进行绝对权意义上的财产权保护。在传统法律制度中,公共财产并不鲜见。卡罗·罗斯研究发现,罗马法将道路、水道、淹没土地等视为“公共财产”,目的是使这些资源实现价值最大化。21世纪后,随着互联网的兴起,罗斯的公有物理论在网络与数据法学领域被广泛应用。公开数据具有公有物的特征,已成为美国数据法学界的主流认识。[52]近年来,我国也有不少学者认识到公开数据具有公有物特征。有学者指出,将政府公开数据规定为国家所有,将影响这类数据的流通与利用;[53]也有学者指出,对于网络平台上的公开数据,法律可以为其提供适当的法律保护,但不能将其视为某个企业的私有财产。[54]
(三)从权利路径到行为规制
从数据特征出发,试图通过对各方主体赋权来实现数据公平利用,将面临重重困境。因数据具有聚合性、关联性特征,孤立的用户数据价值难以确定;因数据具有价值依附性,孤立的用户数据难以像标准化商品那样自由流通。尤其是,企业数据由海量用户数据汇聚而成,其中单个用户的数据价值往往非常微小,脱离了数据汇聚、关联的具体场景,数据的价值将难以发挥,也就无法通过对数据进行一般性确权来实现数据公平利用。此外,鉴于公开数据具有非竞争性与非排他性,对此类数据进行一般性确权也必将带来种种问题。
数据的基本特征和数据产业的发展规律决定了,要实现数据的公平利用,应以行为规制与数据治理为主要路径,在公私法融合的视角下设计相关规则。[55]对于纯粹商业性的数据处理活动,应利用市场机制调整,并适用竞争法监管,致力于维护市场竞争秩序的公平。对于由海量个体数据汇集而成的数据,除了应当适用竞争法监管,还可从民主治理的角度,探索构建公共参与、公共信托等创新型制度。[56]网络平台上的公开数据虽然存在于公共空间,但其底层架构常常为企业所控制,因而公开数据的公有性并不绝对。针对各类公开数据,应采行为规制的路径,建构兼顾平台利益与公共利益的数据利用制度。
需要强调的是,不对数据确权,并不会影响数据市场的交易。支持数据确权的理由之一是,缺乏产权保障,数据的供给方会担心其数据遭到第三方盗用,数据购买方则不能保证其购买的数据之上存在完整的产权,而确权能够减少数据供需方的交易费用,保障交易顺利进行。但是,实际上,绝大部分的数据交易活动采取了高度场景化的合同模式,而非高度标准化、产权化的商品流通模式。[57]仿照证券交易所或商场建构的数据交易场所,往往交易额非常有限。从数据的利用方式来看,数据交易实质上只是市场主体利用数据为彼此提供服务或合作的方式。例如,互联网平台通过为企业提供流量入口,将支付更高价格的商家推送到用户浏览与点击量更高的页面,此类活动都是利用数据为企业提供服务,相关协议具有服务合同而非物权交易合同的性质。正因如此,在证券交易所或商场中交易,需要对证券或商品进行确权,而在合作型数据交易模式中,并不需要对数据确权。[58]
五、数据公平利用制度的分类建构
数据依据其来源可区分为商户(非个人主体)数据、个人信息数据;依据公开程度,可区分为公开数据和非公开数据。按行为规制的思路构建数据公平利用制度,需要针对不同类型的数据分别设计利用规则。
(一)商户数据的利用应强调市场自治与竞争公平
对于商业(非个人主体)用户数据的利用,应在尊重私法自治与市场调节的基础上,适用竞争法规范。商业主体对数据的价值通常有足够的认知,可以作出较为理性的决策。例如,在某商家与某中小互联网企业的合作中,商家会充分考虑数据的价值,就销售数据供谁使用、是否可以共享数据等问题,与作为数据控制者的互联网企业进行协商谈判。如果商家在谈判的过程中未能充分考虑数据的价值,那可能是因为相关数据的价值不大,没有必要予以考虑,也可能是因为商家缺乏商业意识,没有认识到数据的价值。但是,不论何种情形,都无需干预商家的选择,而应由商家为自己的决策负责。
在不存在市场支配力量的背景下,数据公平利用的良好秩序通常能够自发形成。数据企业会愿意就数据的利用问题进行协商谈判,并根据数据的价值为商家提供相应的对价。如果数据企业无视商家的合理诉求,商家完全可以与其他数据企业合作。由于数据具有非竞争性和非排他性,数据企业也有动力共享数据,甚至会与商家免费共享某些数据。实践中,不少平台都会向平台中的商家免费提供销售数据、公众号的运行数据,或者向商家开放其API端口。数据企业向尽可能多的合作者开放其数据生态系统,既能帮助合作商家盈利,也有利于数据企业自身的发展。通过数据开放与共享,数据企业可以帮助其下游商家更好地了解经营情况,也可以吸引更多合作伙伴的入驻和停留,形成具有规模效应的数据生态。在经济学理论中,企业采取的这类策略也被称为“互补效率内部化”。[59]
当然,数据市场离不开竞争法的监管。但是,无论适用反不正当竞争法,还是适用反垄断法,监管都应是事后的行为监管。[60]在此意义上,“欧盟数据法提案”所建构的数据公平利用制度显然并不合理。该提案并未对个人信息数据与商家数据作出区分,不仅主张对商业用户赋予数据访问与利用权,还对数据持有者、数据接收者分别施加了各种义务。此外,该提案还对企业间的数据共享合同、涉及中小微企业的各类数据合同进行了限制,规定在合同条款中、合同履行期间或合同终止后的合理期限内,数据企业限制中小微企业访问与利用权的行为,都属于“单方面强加给微型、小型或中型企业的不公平合同条款”。[61]这类规定将严重损害数据市场的公平与效率。一旦将数据访问与利用权上升为不可放弃、不可交易的法定权利,数据企业为确保其行为合规,就不得不采取更多措施、花费更多成本。同时,数据企业之间基于自愿原则和互惠原则的数据合作,也可能被认定为违法。
目前,我国立法注重利用反不正当竞争法维护数据企业的利益,政策文件则强调要同时保护多方主体的不同权益。例如,“数据二十条”提出,既要“建立健全数据要素各参与方合法权益保护制度”,“推动基于知情同意或存在法定事由的数据流通使用模式,保障数据来源者享有获取或复制转移由其促成产生数据的权益”,也要“合理保护数据处理者对依法依规持有的数据进行自主管控的权益”,“充分保障数据处理者使用数据和获得收益的权利”,“保护经加工、分析等形成数据或数据衍生产品的经营权,依法依规规范数据处理者许可他人使用数据或数据衍生产品的权利,促进数据要素流通复用”。未来在将政策文件转化为法律制度时,需要按照行为规制的思路设计相关规则。在行为规制方面,应以反垄断为重点,审慎借助反不正当竞争法对违反竞争秩序的行为进行规制。[62]假如大型数据企业滥用其市场支配地位,中小商家可能会在谈判过程中丧失选择权,导致数据市场的竞争秩序被严重扭曲。[63]反垄断法适时适度的介入,有利于数据市场的健康运行。
(二)个人数据利用应追求实现治理公平
对于来源于个人的数据,应从“个人—数据企业”“个人集合—数据企业”两个维度设计相关规则。在“个人—数据企业”维度,个人与数据企业在信息获取与认知决策方面处于不平等状态,不能期望基于个人信息所有权的市场交易方案能够实现数据公平利用。作为替代,可以考虑引入信息信义义务原则,构建以维护个体利益为核心的信息处理者责任。信息信义义务不同于一般信义义务,也与财产法领域的信托存在巨大差异。[64]信息信义义务成立的逻辑前提,是信息个体与信息处理者在信息能力上不平等。为此,该义务强调的不是个人的意思自治或信息自决权,而是信息处理者应谨慎处理个人信息并承担勤勉义务。[65]在各国的个人信息保护理论与制度实践中,信息信义义务获得了广泛的认可,[66]对《美国数据隐私和保护法》和我国立法都产生过重大影响。[67]以往学界在探讨信息信义义务时,强调的是信息处理者应对个体负有保护责任,以确保个人在授权后免受各类侵害。[68]从信息信义义务原则的理论前提和价值取向来看,该义务也可以扩展应用到个人信息的公平利用维度。在信息信义义务原则下,应在一定程度上允许数据企业收集个人信息,但必须严格审查企业对于个人信息的处理是否有益于个人,以保证个人能够更多分享数据利用活动所带来的福利。
在“个人集合—数据企业”的关系维度中,应结合数据的聚合性特征设计相关制度。由海量个人信息汇聚而来的数据,在法律上宜被定性为一种权益混同的财产,即包含了海量微型权益的汇聚型财产。此类数据发挥作用的方式,决定了不宜赋予相关个体以绝对的权利。特别是在收集端,赋权不仅无助于个体基于风险与收益作出理性决策,还可能妨碍数据整体价值的实现。数据的汇聚一旦失败,数据的整体性价值就无法发挥,个人集合和数据企业的利益都会相应受损。[69]例如,人工智能的技术提升高度依赖训练数据,离开了个人信息的汇聚与大数据产业的发展,人工智能的发展将无从谈起,也就无法给人类生活创造更多便利。[70]因此,法律不宜过于强调个人对其信息的控制权,也不宜严格限制信息处理者收集个人信息,而应重视数据的整体治理,禁止信息处理者滥用个人信息。[71]对此,有两种制度方案可选。
第一种方案是为公众参与数据治理提供途径和便利。奥斯特罗姆提出,对于知识等具有公共属性的资源,应通过集体自治来实现资源的共享和公平利用,而不宜将资源的所有权赋予任何一方主体。[72]数据资源的共享与利用,可以借鉴此种模式。只不过,由公众直接参与数据治理,可能无法发挥理想效果。个体所享有的数据权益往往都是微型权益,且绝大部分公众对于直接参与数据治理可能并无兴趣。2012年,“脸书”曾经邀请其用户针对其数据治理与隐私政策进行投票,但拥有10亿多用户的“脸书”最终只收到了50多万张投票。[73]事实上,以集体投票的方式开展数据治理,难以得到绝大多数用户的响应,却有可能吸引少数具有极端偏好的用户参加,导致投票结果仅能反映少数用户的利益需求。因此,公众间接参与数据治理的模式相对而言更加可行,未来可以考虑在数据企业的决策层中引入一定比例的、代表普通用户利益的专业人员,以强化企业数据治理的代表性与公共性。
第二种方案是数据公共信托。胡克指出,因个人信息汇聚所产生的丰富的收益“流向了那些最能利用这些信息集合的公司”,造成了“隐私侵害、经济剥削、结构性不平等”等问题;仅仅通过个体对自身信息的控制,或者仅仅通过对数据企业的治理,难以有效解决数据公平利用问题,而引入公共信托理论,可以对数据进行更为公平和有效的管理。[74]在数据公共信托中,数据企业对数据拥有部分控制权,可以进入数据市场从事交易等商业活动,但数据的所有权和最终管理权为国家所有,国家应对数据滥用等行为进行管理,确保数据得到有效利用。[75]公共信托最初应用在自然资源管理领域,[76]如今也在诸多数据治理场景中发挥作用。例如,美国纽约市强制要求“优步”和“来福车”等共享出行公司向纽约市公共机构披露接送乘客的具体时间、起始地、目的地、行程里程、行程费用明细、具体路线等运营数据。这些数据将被纽约市公共机构用于解决道路拥堵、乘车安全、红绿灯设置等关系到公众利益的问题。[77]西班牙的巴塞罗那市创建了一个名为“我们决定”的平台。该市要求收集和利用个人定位数据的服务公司将其数据共享给“我们决定”平台,以建立“新型区域性数据公地,让人们有权收集和分享数据,以应对区域性问题”。[78]
无论采用上述哪种方案,在“个人集合—数据企业”的关系维度中实现数据的公平利用,关键都在于强化个人信息集合对于用户集体利益的整体代表性。对于私人建造的水库而言,要实现水库的公平利用,就应当增强水库的普惠性与公共服务能力,[79]由个人信息汇聚而成的数据池亦是如此。掌握着海量个人信息的超大型数据企业,能够在利用数据的过程中产生巨大的社会效益,对公共利益发挥举足轻重的影响。要实现数据的公平利用,立法者不能仅考虑个人集合与数据企业的纵向利益关系,也不能依赖权益分割或确权,而是应在允许和促进数据合理汇聚的同时,对企业的数据利用行为施加社会公平维度的责任。
(三)公开数据的公平利用
网络平台不仅具有公开性,还具有互联互通的特征。任何人只要接通了互联网,就等于默认进入了一个公共领域,在这个公共领域中,数据或信息具有一定的公有物特征。[80]对于这类公开数据,在适用上文建构的利用规则之余,还需额外设计有针对性的制度方案。
首先,应避免在公开数据之上设置排他性权利,同时需要克减平台企业对于公开数据的控制权。为私人所控制但向公众开放的资源,即使是有形财产,私人也不应享有绝对的控制权。例如,商场内的开放商铺不得歧视特定的消费群体,不得阻止某些顾客进入商铺消费。对于具有非排他性与非竞争性的公开数据,数据企业的控制权更应受到限制,因为对于公开数据的常规访问,并不会妨碍数据价值的实现。控制公开数据的企业,虽然不能主张对位于公有领域的数据享有类似财产权的权利,但可以在后台对数据进行保护,如通过设置机器人协议来防止某些恶意爬虫行为。
其次,在技术可行的条件下,应当赋予平台内商家以数据访问与利用权。不过,此种数据访问与利用权与“欧盟数据法提案”中的数据访问与利用权有所不同。对于网络平台上的公开数据,商家本来就可以无障碍地访问与利用,这相当于商家已经在事实上拥有了数据访问与利用权。在制度层面明确赋予商家此类权利,并不需要平台企业开发额外技术或承担额外成本,却能有利于平台企业连接更多商家,打造更具规模与更有活力的数据生态系统。需要讨论的是,平台可能出于竞争目的与商家签订协议,阻止平台内商家将数据迁移到与其有竞争关系的平台上。此时,商家的数据访问与利用权能否对抗协议,是存在争议的。本文认为,在不存在垄断力量的前提下,商家应有权访问与利用平台上的公开数据,但如果商家违背协议迁移数据,则应允许平台追究商家的违约责任。商家对于数据的访问与迁移,虽然符合网络平台的互联互通特征,也有利于促进网络平台间的竞争,但鉴于商家与平台已经签订协议,双方亦都具有理性决策的能力,允许平台向商家追偿,并不违背公平的市场原则。正是在此意义上,本文主张赋予平台内商家的数据访问与利用权,有别于“欧盟数据法提案”所设想的数据访问与利用权。根据“欧盟数据法提案”,限制商户迁移数据的所有协议都将被认定为无效,商家可以自由迁移数据而无需对平台进行补偿。该提案虽然允许数据持有者索取合理的补偿,但将补偿限于“提供数据访问所产生的费用”,且明确要求此类补偿应“由第三方而不是用户来支付”。[81]
再次,有必要确保个人信息携带权的落地实施。目前,我国个人信息保护法规定了个人信息携带权(转移权),“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。[82]与商家对平台数据的访问与利用类似,个人访问其位于公开网络平台上的数据,不会给平台带来额外负担。但是,与商家的数据访问与利用权相比,个人信息携带权的赋权程度更高。个人不但可以访问与利用其个人信息,还有权要求第三方平台接收其信息,并且平台无法通过用户协议排除此种权利。即使个人违反用户协议,平台也无权向个体追究违约责任。原因在于,商家可以就其数据的利用问题与平台进行协商,而个人往往不具有与平台协商谈判的能力。保障平台上个人用户的个人信息携带权,能在一定程度上矫正个人与平台在信息利用能力上的不平等,促进数据公平利用。[83]
最后,应确立反思性、动态性的数据治理机制,为实现数据收益的分配公平奠定基础。关于如何实现数据收益的公平分配,“数据二十条”提出了原则性意见,包括但不限于充分发挥市场在资源配置中的决定性作用,健全数据要素由市场评价贡献、按贡献决定报酬机制;建立健全更加合理的市场评价机制,促进劳动者的贡献和劳动报酬相匹配;推动数据要素收益向数据价值和使用价值的创造者合理倾斜。这些意见显然都局限于分配环节,没有充分考虑数据利用环节对于收益分配环节的影响。数据收益的公平分配与数据的公平利用,并非相互割裂的两个问题,前一问题在某种意义上可视为后一问题的逻辑延伸,后一问题的妥善处理也有助于前一问题的解决。数据收益的公平分配极为复杂,尤其是在公开数据的利用领域,不仅利益相关主体众多,[84]它们各自在数据利用过程中发挥的作用亦难以定性和量化。因此,数据分配公平的实现,不仅需要建立体现效率、促进公平的收益分配制度,还需在数据利用各环节引入反思性、动态性的数据治理机制,为多方主体之间及时、充分沟通提供制度平台,以有效协调商户、个人、数据企业间的复杂利益关系。[85]
注释略。
丁晓东,中国人民大学法学院教授,法学博士。