许可:从权利束迈向权利块:数据三权分置的反思与重构
许可“没有任何东西像财产权这样,能如此广泛地激发人类的想象力并吸引人类的激情。”英国法学家威廉·布莱克斯通(William Blackstone)这句名言历久弥新。在数字时代,如何在制度上回应作为数字经济关键生产要素的“数据财产”,早已成为各方关注的焦点问题。2022年12月19日,中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》(以下称《数据二十条》)提出的“数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”,可谓富有想象力和创造性的最新方案。然而,政策上的权利并非法律上的权利,在《立法法》对民事基本制度和基本经济制度予以法律保留的前提下,数据三权分置仍有待财产权话语体系和法律自身逻辑的检验与转化。
基于此,本文旨在从财产法的基本原理出发,探寻数据三权分置背后的法律观念,借此阐释其规则意蕴并发现其不足,进而与我国既有数据制度相互勾连,以期构造出植根法律理论、熨帖数据特征、顺应社会需求、融贯法律秩序的中国数据财产权体系。
一、数据三权分置的内在理路:探寻权利束
(一)权利球、权利束与《数据二十条》
比较法学家梅利曼(John Henry Merryman)曾用一个精巧比喻来刻画大陆法系和英美法系财产的差异:大陆法系财产权可以看作是一个盒子,所有人可以打开盒子,取出占有、使用、收益和处分权能中的一项或几项转让给他人,但只要盒子还是他的,即使盒子已完全空了,他也仍然享有所有权;与之相反,英美法系中没有盒子,其财产权只有占有、使用、开发、改善、消费、消耗、破坏、出售、捐赠、遗赠、抵押、出租等不同类型的法定权益。当他将其中一项或几项权利转让给他人,“权利束”的一部分就丧失了。 在学理上,我们可将大陆法系财产权称为“权利球”,即权利人对财产享有完整、单一、绝对、自治性的权利。只有在例外情形下和一定期限内,初始的源权利才能被限制,由此产生“限制性权利”,而在这些限制性权利消失的一瞬间,源权利人又重新获得其全部地位,恰如回复到圆满的球形状态。英美法系的财产权可理解为“权利束”(a bundle of rights),它由一个个权利木棍扎成,包含了权利人对其拥有的资源可以做什么、不可以做什么的诸多行为性权利,即便是完整地享有一宗财产上各项权利的“非限嗣继承地产权”(fee simple absolute),有的也只不过是最大一部分权利而已。
我们发现,“权利球”结构过于强调静态的“财产所有”,相应弱化了动态的“财产利用”,难以满足财产权价值化的时代需求。由此,从初始源权利切分并创设一系列限制性权利的“权能分离”理论成为大陆法系不得不为的制度改进。质言之,源权利人可将所有权中的使用权能与变价权能分离,创设出用益物权与担保物权,充分发挥物之利用与交易的双重价值。为了维系权利球结构,人们将源权利视为“母权”,将限制性权利视为“子权”,母权必蕴含着子权的基因,母权的权能要遗传给子权;母权是本源的、永久的、混合为一的权利,子权则是派生的、有期限的、特定目的性的权利。
我国学者创造性地将上述理论引入到数据权利中,提出数据所有权和数据用益权的二元结构:原发者(个人或国家)享有数据所有权,采集者(企业)享有数据用益权,包括数据控制权、数据开发权、数据许可权、数据转让权等。在《数据二十条》起草过程中,是否引入“数据所有权”及基于权利球权能分离的“数据所有权—用益权”,曾引发了激烈争论。最终,起草者从数据无形性、非消耗性、几乎零成本无限复制的自身特征出发,充分认识到数据各方权益复杂共生、相互依存、动态变化的特性,提出淡化所有权、强调使用权,突破传统大陆法系财产权架构,形成了数据三权分置制度。
故此,数据三权分置未采纳权利球的进路,而是选择了权利束结构。
首先,《数据二十条》不设立总括性母权。一方面,数据来源者并不享有原发者的源权利与数据三权,其权利只限于“获取或复制转移由其促成产生数据”的“数据可携权”。另一方面,数据三权分置亦非依循由数据资源持有权派生数据加工使用权、数据加工使用权派生数据产品经营权的权能分离逻辑,而是呈现出相互分离、彼此独立的样态。其次,《数据二十条》不再将各项权利都建立在“数据客体归属”的基础上,相反,其充分认识到数据权利的多样性、相对性和可分割性,甚至于数据三权所指向的对象也存在“数据”“数据资源”“数据产品”的微妙差异。最后,《数据二十条》认可了数据之上的多元主体、多元利益并存,并相信在权利界定明晰的前提下可以和谐共处,并行不悖地行使各自权利,公共数据、企业数据、个人数据分类分级可作佐证。事实上,此三类数据彼此杂糅:大量企业数据来自个人数据,企业数据又可通过政府的依法调取成为公共数据,公共数据也包含了大量个人数据。因此,上述分类与其说是根据数据反映信息内容的划分,毋宁是立足于数据之上利益主体(国家、企业、个人)的不同。
尽管权利束已经成为《数据二十条》的底层逻辑,但其理论研究依然欠缺。我们有必要追根溯源,以期在辨明权利束来龙去脉的基础上,阐发数据三权分置的微言大义并洞悉其不足。
(二)权利束的兴起、发展与确立
1860年代,英国法学家约翰·奥斯丁(John Austin)在遗著《法学讲演录》中指出:财产与其说是一个人所拥有的物,毋宁是一个人对物所拥有的权利集合。严格地说,土地不是财产,使用土地、排除他人使用土地等诸如此类的权利才是财产。1873年,乔治·斯威特(George Sweet)在关于商法的论著中首次运用“a bundle of rights”这一短语来定义财产。到19世纪末,英美法律人的思维中已经扎下了“财产系对物权利集合”的观念。
权利束对财产的界定固然简单明了,但由于缺乏清晰的内容,总被批评者视为一种“隐喻”。1913年,霍菲尔德(Wesley Newcomb Hohfeld)发表《司法推理中应用的基本法律概念》一文,为权利束提供了逻辑证明和分析语言。在该文中,霍菲尔德明确指出权利系人与人之间的法律关系,并将其分为“权利—特权”“权力—豁免”“无权—义务”“无资格—责任”八个关联性的公约数。霍菲尔德揭示了财产权并非如布莱克斯通所认为的“人与物”之间的关系,而是一套在人际发生、相互依存的复杂关系。他进一步指出:正是因为财产权是关系型的,没有人可以享有使用、占有、收益和转让其资产的完全自由,权利的冲突和妨碍不可避免。
尽管霍菲尔德没有使用“权利束”去描述财产权,但是其权利义务相对且关联的理论为“权利束”提供了支持。1936年,美国法律协会在《财产法重述》中采纳了这一概念——“一个人与物相关的权利、权力、特权与豁免就是对物的完整权利”,同时所有人在单个权利上有所减损并不影响其所有人的资格。这与霍菲尔德的财产权分割理论合若符契。
但对权利束的质疑并未平复:权利束中究竟有哪些权利?
1961年,霍诺(A.H. Honore)试图列出其中的若干权利:(1)占有权:对于有体物,意指对其拥有之物的排他物理控制;对于无体物,意指排除他人使用或从中获利的权利。(2)使用权:对物的个人享有或使用。(3)管理权:决定如何或由何人使用该物。(4)收益权,享有因个人对物的使用或允许他人使用而产生的收益。(5)资本权:转让、消费、浪费、改造会毁坏该物的权利。(6)保障权:免于被侵夺的权利。(7)遗赠权:有权将该物遗留或赠与的权利。(8)无期限限制:对该物的所有权不应有时间上的限制。(9)禁止有害使用:有权制止以有害他人方式使用该物的权利。(10)履行义务:使用该物偿还债务的义务。(11)剩余性:在某项权利消灭之后回复所有权。具备上述全部内容的权利被称为完整的自由财产权,可在特定环境下,部分权利组合亦足以构成。
霍诺的清单充实了霍费尔德将财产视为“各种不同权利及其相关物”的理论,增进了权利束的适用性。同一时期,菲利克斯·科恩(Felix S. Cohen)写就的《私有财产的对话》进一步巩固了权利束的地位。他在该文中不容置疑地指出,财产系人与物之间关系的观点是混乱的,因为财产关系中完全可以没有“物”,其实质恰恰是人与人的关系。进而,科恩对财产做出了著名总结:它是一封由政府背书、对世界出具的公函;上载:请远离X,除非获得我的许可,并且,我可以授予和撤销该等许可。如果说科恩彻底解构了传统财产权,那么格雷(Thomas Grey)则是权利束理论的集大成者。在《财产权的解体》中,他首先指出布莱克斯通“独占和专断的支配权”内在不融贯,又通过社会经济的探究,将权利束成功整合到法律理论和经济学的普遍学说框架之中,最终,布莱克斯通式的财产死亡了,可它并非自然死亡,而是被权利束谋杀了。1979年,美国联邦最高法院盖棺论定:“通常认为,财产就是权利束。”
(三)权利束背后的经济、政治与意识形态
“权利束”的支配性地位固然离不开财产法学者的努力,但究其本源则来自当代经济、社会、政治的深刻变化。
20世纪以来西方经济模式革新是权利束的推动力。以美国为例,从1880年到1920年,国民生产总值从91.1亿美元增长到625亿美元,几乎同一时期,农业劳动力占美国总劳动力的比例从50%下滑到30%。在从小业主为主的经济向工业经济发展中,人们将财产权细分和重组为一束权利,用私人合同创造出复杂抽象的经济制度与具有工业资本主义(特别是金融制度和工业公司)特征的权利综合体。一些新的无形财产陆续被创设出来:股票、债券、商业票据、银行账户、保单、商标、专利、版权……可谓蔚为大观。
面对纷繁的财产形式,财产制度必须因时而变,从有形的、以物为中心的、简单所有权的观念中解放出来,扩展财产边界,以期最大限度发挥提升财产价值、促进交易和强化投资保障等经济功能。据此,财产分割便成为效用最大化的有力手段。经济学家阿尔钦(Armen Alchian)就曾以土地为例来说明:“A可能拥有种小麦的权利,B的权利是穿行,C的权利是倾倒垃圾,D的权利是驾机飞越,E拥有的是不允许邻里使用工具时发生震动的权利。每一种权利都是可以转让的。按各种用途分开的土地私有产权归不同的人所有。”
经济并不是权利束理论风行的全部,在法律史学者斯图尔特·班纳(Stuart Banner)看来,潜藏于后的是政府职能与政治环境。20世纪初,在进步主义者推动下,美国监管机构接管了对竞争、反托拉斯政策、铁路定价、食品与药品安全、城市化的控制权。到了20世纪30年代,经济大萧条以及对复苏的追求,使得政府日益关注更公平的财富分配、对城市贫民和失业人群的救济、市政规划以及国家资源分配,一种与传统自由主义迥异的意识形态贯穿了整个罗斯福新政时期。
上述力量铸就了规制型国家和福利型国家的兴起,并通过共振作用扩张了政府权力,特别是介入私人财产的权力。例如,基于禁止歧视规则,一栋房屋的所有权人不得仅仅因为买受人的族裔而拒绝出售。再如,对于拥有一块海边土地的所有人,其将不得不承担环保义务,甚至毗邻海岸线的土地都会被剥夺。面对国家使用规制或再分配的方式限制财产这一新常态,财产法迫切需要找到新的理论资源予以解释,这就是法律现实主义下的权利束。
1920年代,卢埃林(Karl N. Llewellyn)等人从庞德的法社会学出发,发起了法律现实主义运动,主张法律是国家实现公共福利的工具,法官应摒弃形式主义路径,公开运用经济、道德、哲学的新理论指导司法裁判。
基于此,法律现实主义对权利束进行了如下改造。首先,财产是以国家为后盾的权利,并非一种自然权利。早在1893年,约翰·康芒斯(John R. Commons)就在《财富的分配》中指出:“组成财产的不同权利可以在个人和社会之间分配——有些是公共的,有些是私人的。”尽管他并未说明分配权利束的主体,但法律现实主义者却认定国家是合适的配置者。这是因为,当思考财产时,我们所关切的是“什么是社会可以为A(所有者)对抗B所能做的?”易言之,财产权需要社会为了A的利益,对其他人施加强制力。因此,所谓自然权利的财产是没有意义的,除非国家法律承认并保护它。以此观之,财产关系始终包含了政府的主动干预。
其次,既然财产权由国家塑造,它没有什么固有的核心含义,只是一个由社会传统形成的可变利益集合。借用菲利克斯·科恩的话来说,公用财产的实际价值仅是法院判决的函数,而非相反。在法院判决之前,所谓的财产并无经济价值或伦理价值,在根本上它是由社会福利和公共政策所决定,由依法向其顾客收取费用的多寡所决定。职是之故,政府为推行重要政策,完全可以压缩或扩张财产权内容,又不损害其完整性。
法律现实主义对权利束的诠释得到了实践的肯认。在“Penn Central Transportation Co.v. New York City”(宾夕法尼亚中央铁路公司诉纽约市)案中,法院指出,《国家历史保护法案》对中央火车站所有人空间权的剥夺不构成征收。法院进一步认为,裁判的基准应落在政府所允许的用途,亦即业主尚存的权利之上,而不是政府禁止的用途,亦即业主丧失的权利之上。在“Andrus v. Allard”(安德鲁诉阿拉德)案中,大法官布伦南(Brennan)一锤定音:“所有人仍拥有整个的一束财产权,摧毁权利束的一股不是征收,因为其判断必须着眼于整体。”“财产是可塑的”这一观点,最终成为美国最高法院的普遍认识。
对权利束理论的深入梳理,为下文剖析和反思权利束下的数据三权分置提供了有力工具。
二、数据三权分置的规则检视:超越权利束
(一)数据三权分置的权利束解释
1.数据资源持有权
透过权利束的棱镜,“数据资源持有权”即权利人就其合法持有的数据集合排除他人侵害之权利。详言之,首先,“数据资源”并非暗指国务院2015年《促进大数据发展行动纲要》中的“基础性战略资源”,亦不与我国《宪法》第9条项下“矿藏、水流、森林、山岭、草原、荒地、滩涂等自然资源”类似。事实上,这一概念基于权利束的理解——“一组法律所认可的、与某物或者其他物品有关的、与他人有关系的、被人拥有的权利所组成”。“资源”一词泛指经济学上一切可被人类开发和利用的物质、能量和信息,“数据资源”指可供人类利用并产生效益的“数据集合”,即通过信息技术形成的种类和来源丰富、价值密度低、高速、巨量的电磁记录。因此,“数据资源”并非表征国家主体拥有“公权”或“公产”,而是对数据经济价值的申明。
与《数据安全法》第3条从安全角度界定数据不同,数据资源不包括少量、零散、非电子形式的数据,并指向了如下类型:(1)原始数据:直接源自观测、实验或采集等活动中生成的原始记录,其尚未经过编码、格式化、加工、分析以获取有用信息;(2)合成数据:通过统计模型、计算机模拟或其他技术创建的人工数据,常用于模拟运营、测试、训练机器学习(Machine Learning, ML)模型;(3)衍生数据:出于数据分析目的,对原始数据、合成数据进行清理、整理、标注、比对、转换、挖掘所形成的标签数据、统计数据、融合数据等;(4)数据产品:广义上“数据产品”包括了任何能在市场合法销售的原始数据、衍生数据、合成数据等各种数据,狭义上的“数据产品”限于通过聚合数据、算法、服务,满足适用性、安全性、可靠性、经济性等适销性要求的标准化数据产品,其直接且主要用于辅助客户决策或实现自动化决策。
依大陆法系的经典解释,“持有权”意味着权利人在物理上能自己支配数据,而且能够阻止其他人支配。不过,这一界定将“对物支配”与“对人排他”并列,与权利束的主张截然不同。相较于大陆法系“对物权”与“对人权”的二分,霍菲尔德直截了当地指出:“一切对物权皆系对人。”据此,权利束将人的行为以及引发的人与人的纷繁关系放在了核心位置。基于这一洞见,“持有权”即针对任何人得主张排除妨害、消除危险、返还原物和损害赔偿,任何人则均须负尊重义务,以保护数据免受任何不法之侵害。循此,持有权为对世的消极防御权,而非对数据的积极支配权。最后,持有权的行使以存在或曾经存在对数据的管领为前提。鉴于数据的无体特征,“管领”可细化为占有数据的存储载体、托管数据的存储和传输,或者控制数据的访问与处理权限。考虑到数据的可复制性,依法或依约定有权且事实上管领数据原件或副本一方,均有权主张相应持有权。
2.数据加工使用权
“数据加工使用权”可分为“数据加工权”和“数据使用权”,前者即通过数据清洗、抽取、转换、分析以及其他模型化处理,改变原数据集合的性质、内容,生成新数据集合的权利;后者即在不实质改变数据集合的前提下,对数据进行访问、复制、研究、审查、分析、评估、计算的权利。尽管数据加工使用权是数据要素价值发挥的关键环节,但从权利束的角度观察,其难谓必要。这是因为,权利束下的财产权旨在当资源使用冲突时,界定边界以定分止争。至于权利人如何利用其财产,不管其动机是自利或他利,只要无涉他人,均非法律所能规范。这正是经济学家巴泽尔(Yoram Barzel)所谓“法律的财产权”与“经济的财产权”之分野。
然则,是否法律就无须介入数据加工使用?事实上,加工使用数据关键在于接触数据,其不以对数据享有事实管领力为前提,数据加工使用者与源权利人分离的情形比比皆是,由此衍生出第三人加工使用问题。因此,数据加工使用权与其界定为数据支配权,毋宁转型为“许可他人加工使用权”,即权利人就其数据集合有限授权他人使用。这种“有限性”体现为加工利用形式、目的的限定性、期限的限定性、被许可人的限定性、许可方式的限定性(独占、非独占、排他)。当前,一对一、一对众、多对多的数据许可已成为数据流通再利用的主要途径。就如所有权可创设用益物权,许可他人加工使用权也可以进一步创设出新的数据权利:就“许可他人使用权”论之,被许可人在许可范围内享有数据持有权和使用权,就“许可他人加工权”论之,被许可人依约定或法定还能对新数据集合享有数据三权。
3.数据产品经营权
数据产品经营权并非典型的财产权形态,对该权利的把握不妨先从《数据二十条》中找答案。《数据二十条》第7条“建立健全数据要素各参与方合法权益保护制度”明确指出:“保护经加工、分析等形成数据或数据衍生产品的经营权”,其客体远比狭义数据产品宽泛。因而,此处的“数据产品”应采广义理解,除原始数据外,凡经过合法处理、具有市场价值的数据均属之,并不以“投入实质性加工和创新性劳动”为要件。这也与该条的制定意图相符——经营权之创设旨在保障“数据处理者使用数据和获得收益,促进数据要素流通复用”,其范围显然不宜过窄。
此外,“投入实质性加工和创新性劳动”的表述还容易深陷进退维谷的困境:如认定门槛太高,则可能落入著作权或专利的领域,数据权利形如虚设;如认定门槛太低,则可能无法实现有效筛选的目的。正是出于这样的考虑,欧盟《数据库指令》仅将“实质性投资”作为数据库权的保护条件,而不使用“创造性”一词,避免了评估智力投入以及与知识产权重叠的难题。
与欧盟意图激励投资,推动数据库产业发展的愿景不同,《数据二十条》旨在激励数据开发、挖掘和增值,因此其将门槛设定在原始数据以上,这也与第4条中“原始数据不出域、数据可用不可见”要求相互印证。不过,这种“原始数据(收集)—衍生数据(处理)”的二分法,也可能带来意料不到的问题。首当其冲的是区分标准。针对实况足球数据保护的案件,英国法院认定为构成从独立的原始资料中“收集数据”,欧盟法院却视为一种对既有资料的“加工创造”。随着物联网、人工智能和工业智能化时代的来临,这一分类越发困难。
例如,合成数据既是原始的,也是由其他数据所衍生。再如,在智慧城市和相关数据孪生应用中,交通、污染、路况等各种分布式传感器在设计、安装、收集时就蕴含了处理者实质投入和创新,从激励数据生产和数据市场供给的角度,不宜将原始数据排斥在外。
与权利对象相比,《数据二十条》对何为“经营权”,却惜墨如金。仔细考察制度渊源和起草过程,经营权系借鉴“土地经营权”而来,并非一种“公共资源的特许经营权”,与之前学者提出的“基于数据经营的效率和安全特殊考虑的数据专营权”判然有别。参照《民法典》第340条,“经营权”可理解为占有、托管、控制数据,自主经营并取得收益的权利。
但是,这种土地向数据的法律移植并不成功。一方面,土地与数据的性质迥然有异,土地是客观上“无法流动”的不动产,数据则为一种“流动性”财产,流动性不但是其存在方式,还是其生成数据洞察和数据智能的关键。另一方面,土地经营权有着特殊的政治、社会和经济背景。作为稳定、公正、团结、效率等多种价值的承载者,土地在市场性外,独具公共性、政治性和人文性。土地经营权既要坚持集体土地所有权和土地承包经营权的特有伦理,又要弥补两权无法自由流转和无法担保融资的不足,其自身法律性质存在理论认识上的分歧,“物权说”“债权说”“二元说”的争议迄今尚未止歇。
一旦将经营权应用于数据,首先面对的就是与土地经营权类似的理论诘责:同一财产上为何设立加工使用权和经营权两个重合交叠的使用权?用权利束理论看,“经营权”的致命缺陷还在于它本质主义地理解权利。其实,财产权并非实际存在的形态,它能够也应被还原为一系列单独和不可再细分的权利单位原子。以此观之,经营权只是各种权利的混合物,其内涵和外延远未清晰,因此有必要依循奥卡姆剃刀定律(如无必要,勿增实体),用一般性的财产权而非特设理论来解释。
再次回到规范目的,既然经营权之设定旨在数据流通,那么作为前提的“处分权”必然不可或缺。处分权是财产权的本质性要素。在数据要素市场的背景下,数据流动性之确保,处分权更居于核心地位。制度经济学研究早已表明:财产权自由转让是市场经济的基石,对转让的限制将导致财产权残缺,并降低市场效率。职是之故,经营权应解释为处分权,即通过出售、设定担保、投资入股等方式,就数据予以转让、变更、设置负担或抛弃的权利。这一理解亦与《民法典》339条项下经营权流转的思路一脉相承。总之,如果说加工使用权着眼于数据利用价值,那么经营权就以数据交换价值为目的,两者相辅相成,共同构成了数据权利中的积极权利,进而与数据持有权这一消极权利,构成了数据三权分置的体系架构(见图1)。
(二)数据三权分置规范的不足与弥补
尽管数据三权分置架构已初步搭建,但不论从《数据二十条》所宣示的政策目标,还是从权利束理论自身来看,其均难言完备。
其一,数据三权分置未能充分回应多元利益。《数据二十条》正确认识到数据类型及其负载权益的复杂性,根据数据来源和数据生成特征,分别界定数据生产、流通、使用过程中各参与方享有的权利,进而提出公共数据、企业数据、个人数据的分类分级确权授权制度的构想。遗憾的是,数据三权分置以“数据处理者”和“企业数据”为中心,既未考量个人数据和公共数据的特殊性,也没有平衡兼顾数据来源者以及数据流通、应用等不同环节相关主体的主张。
其二,数据三权分置未能有效容纳国家管制。数据流通与控制是数据要素市场的核心矛盾之一,基于数据安全、网络安全、国家安全对数据流通实施限制,正体现了《数据安全法》下数据安全、自由流通原则。《数据二十条》亦延续这一观念,“把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线”,以期建立安全可控、弹性包容的数据要素治理制度。然而,数据三权分置仅聚焦于数据利用,并没有给数据安全的国家规制预留空间。
面对数据三权分置的既有不足,首先可凭借权利束理论予以补救。多元主体的多元利益安排,本是权利束的题中之义。权利束的可塑性为数据上的权利变化与分割提供了无限可能,无论是内容还是形式,每一束权利都能随需赋形、因人而异,兼容并包个人数据、企业数据、公共数据中的人格权益、财产权利、公共利益和国家主权。另一方面,权利束的发生学告诉我们,它与国家干预共存不悖。“说司法保护财产权是不正确的,应该说把符合司法保护的称为财产权。”
既然如此,权利束下的财产权便不得不服从于社会公益或整体福祉的要求,而该等要求最直接的体现正是“管制”。作为应对私人秩序失灵和矫正私人自治的工具,管制系国家主动实现特定目的之手段,令负有管制功能的权利优于自治功能的权利。例如,船上工作人员工资请求权等船舶优先权优于船舶留置权,承租人的一般留置权又优于出租人的特殊留置权。基于国家安全和公共利益的特别权利得以嵌入数据权利之中,构成国家管制和私人自治的和谐拼图。
不过,权利束之优势所在,也是其劣势所在。权利束的灵活性使它能尽可能吸纳各种权利主张,但却不可避免地引发财产权效力竞合与冲突。传统物权法在面对“线性结构”下权利平行分化、前仆后继的情势时,通常诉诸“先后定序、先位优先”的解决原则,将时间之维引入,令先发生的物权优先于后发生的物权。
可是,“伞型结构”的权利束下,每一束权利相互独立、互不隶属,相对平等关系使其无法通过先定的、绝对位阶高低来确立优先保护对象,而只能在实际场景中对各方加以具体比较后才能确定。无疑,这极大削弱了规范的稳定性和可预期性。更严重的是,数据权利束并非静止不变。可以想见,随着数据量积累、利用方式丰富和技术进步,权利束将不断增长,从现在数据三权分置迈向未来的数据N权分置,因应“一生二,二生三,三生万物”的先哲预言。这种开放的权利束固然实现了数据财产权的与时俱进,但也将逐步空洞化和形骸化,最终丧失了对数据权利数量、种类、内容正当性的解释力。另一方面,权利束为国家管制大开方便之门,同时也带来了新的危险:如果财产权没有固有含义,那么公权力就可能以公共利益为由,恣意扩张或压缩一部分人的数据权利。权利束在这些问题上的捉襟见肘,究其实质,皆因其是描述性和分析性的,难以在规范层面化解数据权利冲突、系统化数据权利和抵御国家不当干涉。
那么,有没有一种理论,既可以保留权利束的优势,又不至于滑向过犹不及的窘境?对此,本世纪最重要的财产法学者之一亨利·史密斯(Henry E. Smith)首创的“权利块”(right as modularity)理论,成功动摇了权利束的主导地位,为我们提供了完善数据三权的新思路。
三、数据三权分置的制度再造:筑基权利块
(一)权利块理论的革新与启示
正如一座仅横跨峡谷四分之三的桥毫无作用,日常生活的财产基本上都是整块的、非连续性的有机形态。就此而言,权利块比权利束更符合人类直观,并在根本上革新了权利束的预设。
首先,财产权并不能随意创设和拆分。因为存在着界定、描述和估量权利的信息成本,财产权总以标准化的模块形式出现,这意味着它不仅包含普遍性的权利内容(如排他权),还有着抵御国家过分干预的稳固内核。其次,为了降低信息成本,财产权每个模块的详细信息被封装和隐藏在内,只有和其他模块发生互动时,才考虑交接的界面。最后,财产权模块不是一成不变的,作为功能的承载者,它回应着社会变迁,随着人际关系类型的演进而演进,并通过不同模块的组合、互补而发明更新。
从上述认识出发,笔者曾借鉴美国管理学者鲍德温(Carliss Baldwin)和克拉克(Kim Clark)“可见系统规则”和“不可见系统规则”的二分法,将财产权进一步分为所有模块都应遵循的“整体设计规则”和反映模块个性化场景的“个别设计规则”,从而形成模块架构规则、界面规则、标准规则为主干,各模块个别规则为枝叶的规范体系。
权利块不但肯认了数据三权分置的合理性,还为其发展提供了指引。就前者论,经理论转译的数据排他权、许可权、处分权等“新三权”构成了数据财产权的基础内容,用财产法学者彭纳(Penner)的术语,即“基本财产规范”(Basic Property Norm, BPrN)。新三权三位一体,其外在功能性和内在道德性使之成为社会的法律而不只是国家的权威命令。就后者论,针对标准化结构缺失和多元权利冲突的痼疾,权利块立基于人际关系的标准化,将新三权在真实场景下展开,推动从简单权利到复杂制度的转型,因应瞬息万变的数字经济。
(二)数据权利块的标准化模块
根据公共财产权和私人财产权的标准分类,数据财产权可分为“公共数据”模块和“私人数据”模块,在《数据二十条》中,后者又被称为“非公共数据”模块。所谓“公共数据”,意指国家机关以及履行公共管理和服务职能的机构在依法履职过程中,采集和产生的各类数据资源。作为行政法上直接服务于公用目的的“公物”,公共数据以“社会公众基于公用目的而共同使用”为锚点,以“确保公众平等享有使用权”为导向。“非公共数据”意指个人、企业或其他组织出于非公共利益目的,记录、清洗、整理、汇集、演算、分析所得的数据。通过为权利人提供享有使用、收益的保证,以及赋予其对抗掠夺者、侵占者和偷窃者的排他权,非公共数据权利充分促进了数据效率的提升。在外延上,“非公共数据”包括了《数据二十条》中的企业数据,但在内涵上迥异于承载个人信息的“个人数据”。
这首先因为,不论是企业数据,还是公共数据,都可能关涉个人信息,所以公共数据、企业数据、个人数据并非相互排斥的子项。相反,公共数据和非公共数据才构成了数据的全集。其次,根据“整体设计规则”中“数据权利取得的捕获规则”,识别或关联自然人的数据只能标识出“作为来源者的特定个人”,无法表明该个体是数据的创造者,自然不能直接成为数据三权的主体。最后且最重要的是,在“整体设计规则”中“数据和信息的区分规则”下,个人数据可分解为信息载体的“数据模块”和信息内容“个人信息模块”。
个人数据的核心问题毋宁是:如何协调“数据模块”和“个人信息模块”的权利堆叠?我国《数据安全法》第53条设定的“数据规则优先、个人信息规则补充”的设计不失为遵循模块化原理的解决方案。质言之,当法律统一考虑个人数据时,数据和个人信息的相互依赖与嵌套使得处理结果或者不可预测或者过于僵化,而只有将二者相互隔离,将内部规则密封在各自模块中,只在必须交互时,才通过界面规则实现,是化约这一复杂性局面的最佳操作。
公共数据模块和非公共数据模块的区分只是第一步,为更清楚地说明数据三权分置的运作方式,还需要引入如下四种标准化的人际关系,逐一剖析各权利模块个别规则:(1)数据控制者与其他任何人的关系;(2)数据控制者与数据流通相对方的关系;(3)数据控制者与法定第三方的关系;(4)数据控制者与国家的关系。
(三)公共数据模块的个别规则
1.数据控制者与其他任何人的权利模块
这里的“数据控制者”意指有权提供或分享其持有的公共数据的组织。在该关系中,出于最大程度节省交易成本的目的,控制者得主张排他权,其他任何人只要知悉数据不属于其私人所持有,即负有避免侵害义务。通过外接《国家安全法》《网络安全法》《数据安全法》,公共数据排他权一方面从“数据自身安全”,具体化为“数据安全权”,即禁止他人破坏、篡改、删除或未经授权访问数据,以维护数据的保密性、完整性、可用性;另一方面从“数据自主可控”出发,进一步拓展为“重要数据/核心数据支配权”,即对于“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的公共数据”,控制者有权按照其意思予以直接支配。
2.数据控制者与数据流通相对方的权利模块
鉴于公共数据的公物属性,控制者无法处分公共数据,但在特定情形下,其可行使许可权,依其意思在公共数据上为他人设立加工使用权,这就是公共数据授权运营。2021年《上海市数据条例》首次提出:为提高公共数据社会化开发利用水平,被授权运营主体应当在授权范围内,实施数据开发利用,并提供数据产品和服务。
此后,《浙江省公共数据授权运营管理暂行办法》《青岛市公共数据运营试点管理暂行办法》《杭州市公共数据开放管理暂行办法》相继对公众征求意见,类似规定也见于欧盟2019年《开放数据和公共部门信息再利用的指令》、2022年《数据治理法》、英国2015年《公共部门信息再利用条例》中。综合国内外立法,所谓“公共数据授权运营”,即针对不宜普遍公开、但确有社会价值的“有条件开放类”公共数据,控制者为公共利益之必需,在明确数据利用条件、用途、期限的前提下,和特定人签署加工使用协议,授予其在一定期限内加工使用数据的权利。
公共数据许可权的行使,一般应遵循如下规则:(1)许可数据限定:如对数据安全和处理能力要求较高的数据;具有特别显著的经济社会效益,但现阶段安全风险难以评估的数据;涉及商业秘密、个人信息但所指向的公民、法人和其他组织同意共享的数据。(2)许可期限限定:政府机关应定期(不得超过三年)开展事后复核,以判断加工使用权的存续是否正当、合法、必要。(3)许可用途限定。(4)许可方式限定于“非独占、非排他”,公共数据许可的目的是最大化数据价值,而非获得许可收益,独占、排他式许可固然可能提高短期许可收入,但会妨碍数据产品的多样化,导致“开放但垄断”的困境。(5)程序限定:控制者应对专有权的授予进行安全评估,采取透明、合理、相称、无歧视的原则,公开遴选方式、资质要求、合同条款和获得专有使用权的组织或个人名单。(6)再许可禁止:被许可人一般无权向第三方转让其权利。(7)数据加工后新数据归属明确。考虑到公共数据授权运营是面向不特定人的特定许可,“数据许可人与被许可人”的权利模块有着相当程度标准化,双方权利义务应依公开的示范协议文本划定。另一方面,鉴于交通数据、天气数据、税务数据等各种不同公共数据类型的特殊性,法律亦应允许由控制者在示范协议文本基础上做出相对灵活的设定。
3.数据控制者与法定第三方的权利模块
如果说上一模块处理的是意定的公共数据流通,那么此模块则属法定的公共数据流通。“法定第三方”即依据法律规定有权加工使用数据的主体。依主体性质,这一模块可再分为“公共数据开放”和“公共数据共享”。
随着数字政府的兴起,公共数据开放已成为全球潮流,我国上海、贵州、安徽、宁夏、浙江、重庆、天津等地纷纷制定地方法规,《数据安全法》亦单辟一章,规定数据开放事宜,我国“政府数据开放条例”出台的时机也日益成熟。基于“最大限度释放数据潜能,实现经济社会方面的治理目标,提升政府数据治理能力”的制度目标,控制者应向公众免费、无须授权地、无差别地提供可机器读取、可供社会化再利用的公共数据。据此,任何个体或组织均享有法定的数据加工使用权,有权要求控制者完整、全面、及时、平等地提供公共数据。除已公开数据外,公众还可就“虽在开放目录范围内、但未按法定程序开放的公共数据有权提出开放主张”。相应地,控制者不但负有积极回应请求的具体作为义务,而且还有创造有利于公共数据开放的公平环境。
近年来,“政府作为平台”和整体性政府的观念,打破了国家机关间的孤立,以实现跨边界的横向连接、中央和地方政府间的纵向连接以及有关互操作性议题上的基础设施连接。在此背景下,《国务院关于印发政务信息资源共享管理暂行办法的通知》明确提出,公共数据在政府机关之间以共享为原则,以不共享为例外。疫情防控期间,不同级别、不同地区之间及时、准确、充分的公共数据共享问题越发迫切而重大。综合既有立法,政府机关有权依法向控制者提出数据共享要求,后者应通过共享数据入口(Gateway)及时提供。为避免数据共享形成大型中央数据库的风险,政府机关无权将共享数据挪作他用或对外转让或公开,并在共享目的实现后及时删除。
4.数据控制者与国家的权利模块
公共数据的公益性质,令其最终服务于人民福祉。就此而言,国家系受人民之托,以具体数据控制者为中介,开展收集、归集、处理、开放、共享。故此,公共数据控制者和国家本质上一体,二者间关系仰赖立法权、行政权塑造,已超越了财产权规则的范围,此处不作赘述。
(四)非公共数据的个别规则
1.数据控制者与其他任何人的权利模块
“数据控制者”即有权提供或分享其持有的私人数据的法人、组织和个人。与公共数据类似,非公共数据控制者的排他权首先表现为“数据安全权”。与有体物不同,在其他人未侵害数据安全的情形下,控制者不能仅凭其意思排斥他人对数据的利用。但这也并不意味着,对于公开可见的数据,任何人均可不受限制地爬取复制。此时应基于权利相对性原则,综合衡量数据爬取协议、数据来源是否唯一、爬取是否过度、爬取数据是否用于相互竞争目的等因素,做出能否爬取的判断。其次,为充分保障非公共数据,控制者排他权还将衍生出“追及力”,有权针对无权持有数据或其副本之人主张返还或删除,并有权禁止该等无权持有人以发行、出租、传输或其他形式向公众提供该等数据或其副本,由此区别于商业秘密的保护。还要说明的是,受制于“数据权利行使的比例规则”,较诸所有权,控制者追及权在期限和范围上有所限缩,可称之为“有限的追及权”。
2.数据控制者与数据流通相对方的权利模块
与公共数据的处分权受限不同,非公共数据控制者不但有权许可他人加工使用,还有权直接处分,包括在数据上设定限制性数据权利。详言之,控制者得行使如下权利:(1)将数据控制权转移给他人,丧失排他权和追及权;(2)将数据与他人共享,各方作为数据的共同控制者享有同等权利,对外承担连带责任;(3)向他人授予数据许可,各方根据许可协议享有权利,承担义务和责任;(4)在数据上设定担保,担保权人在债权无法实现时拍卖、变卖数据,并优先受偿。
鉴于数据价值在于实时流动和更新,数据担保不宜采取转移控制权的质押形式,而应尽量采取控制者保留控制权的抵押形式。意定的数据权利必须公之于众,但是,一方面数据的物理特质使其难以适用传统的占有或登记;另一方面,数据也非自在自为之物,它始终依托于特定硬件设施、技术架构和操作系统。因而不妨借鉴域外管理无形财产的公示方式,将“持有”作为数据权利的形式基础。随着区块链技术的应用,不可篡改、分布式共识的机制进一步强化了每个节点(各意定数据权人)的控制力,可追溯、公开透明的特征又带来了社会信任,基于区块链的控制由此成为最佳的数据权利公示途径。从人际关系标准化的程度观察,由于权利公示的成本,处分权模块化程度显然高于无须公示的许可权模块。
3.数据控制者与法定第三方的权利模块
除法律行为的合意外,第三方对数据的加工使用权也可依法自动获得,这主要基于“数据权利行使的比例规则”,避免控制者独占数据所有价值,强制性赋予特定或不特定人对数据访问、复制、转移的权利,控制者应当容忍。这里的“特定人”首先是《数据二十条》中的“数据来源者”,包括但不限于提供个人信息的自然人、物联网的设备提供者、网络平台内经营者。为保护数据要素各参与方的投入产出收益,《数据二十条》特别赋予数据来源“获取或复制转移由其促成产生数据的权益”,这与欧盟《数据法案》(Data Act)中的“数据可携权”异曲同工。此外,“不特定人”的法定情形主要参照我国知识产权法的法定许可、合理使用以及《关于平台经济领域的反垄断指南》中“必要设施”制度。
详言之,(1)如数据公开可见,且不能被独立生成、收集或从任何其他来源获得,则第三方有权在通知控制者的前提下,以公允价格和非歧视性条件将数据集的实质部分用于商业目的。为此,控制者和第三方应就使用费率和支付条件达成合意,否则,相关政府机构或法院有权依其职权作出市价补偿的决定。(2)如数据公开可见,且不能被独立生成、收集或从任何其他来源获得,则第三方有权在通知控制者的前提下,以法定价格和非歧视性条件将数据集的实质部分用于教育、科研、文化传播等非商业目的。此时的使用费率和支付程序由法律直接规定,并可通过特定机制予以定期调整。(3)对于公开不可见的数据,若控制者在数据驱动型市场中占据支配地位,数据无法从其他途径获取,拒绝开放数据没有正当理由且数据共享可行。更重要的是,数据闭锁“阻碍下游市场有效竞争”和“阻止新产品的产生”的,第三方可以该等数据构成“必需设施”为由主张数据使用权,控制者应按照“公平、合理、非歧视”(FRAND)原则进行有偿许可。(4)除上列明定情形外,可以通过更具弹性的司法适用,将不与数据的正常使用相冲突、不会不合理地损害控制者合法利益的特殊情形纳入数据合理使用范畴,以回应日新月异的数据利用场景。
4.数据控制者与国家的权利模块
尽管国家在数据法秩序中有着多种角色,但从财产权的角度,国家显示出两个截然相反的面相:一是数据权利的特许者,二是数据权利的管制者。就前者论,国家根据私主体的申请,直接授予其从事特定类型的数据经营权,该等经营权具有竞争性、排他性和营利性,属于能够产生私法效果的“新财产”。我国《数据安全法》第34条“法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可”,初步确立了数据经营权法律基础。
鉴于行业特许的正当性建立在公共风险控制的基础上,建议将数据经营权限定于医疗数据、金融数据、能源数据等高风险数据,至于其他一般数据的经营权,私主体可自动取得。就后者论,国家为维护国家安全、公共利益可对数据许可权、处分权进行限制。其中,对许可权的限制,主要体现为国家机关为刑事侦查、行政执法以及社会管理、经济调控等履行职责的需要访问、调取控制者数据。在此过程中,国家机关应坚持正当、合法、合比例的基本原则,明确调取或者访问的范围、类型、用途、依据,并不得将相关数据用于履行法定职责之外的目的,并应向控制者提供异议申诉和救济渠道。对处分权的限制,主要体现为管控“重要/核心数据”和“数据出境”。
《数据安全法》《网络数据安全管理条例(征求意见稿)》对重要/核心数据增设了一系列特别负担,包括但不限于数据收集、使用应在法律、行政法规规定的目的和范围内,对外提供、委托处理、共同处理时应通过省级以上行政主管部门的安全评估。另一方面,数据跨境流动不但是经济全球化的一部分,也是全球数据经济博弈的焦点,还是网络空间犯罪、恐怖活动和执法冲突的风暴之眼。基于国家安全、公共秩序、基本权利和经济发展管控数据跨境流动已经成为常态。《数据安全法》也确立了以重要数据出境安全评估为管制措施的基本框架。
因此,问题的关键不在于是否管制,而在于如何在不过分损害数据权利的前提下,实现安全与自由的平衡。2022年《数据出境安全评估办法》将“累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”列入出境安全评估的门槛之一,混淆了个人信息和重要数据的边界。更重要的是,该办法将数据出境安全评估结论定位于“最终结论”,过分压缩控制者的数据权利,亟待增设司法途径加以救济。
结语
如果说数据三权分置是对数据财产权正当性之宣示,那么本文就是对这一新型财产权之规范性论证。法律权利不仅仅是伦理性和政治性的,更是技术性的。恰如斯堪的纳维亚现实主义法学所洞见的:权利是法律条件与法律效果相结合的离合器之轴。因此,无论是数据财产权还是其三权分置,都应由法学理论生发,置于“权利—规则—制度”的架构下,才能得到妥当阐释与建构。
《数据二十条》正确拒绝了权利球的财产权设计,采纳了权利束进路,但囿于理论运用的不彻底和理论自身的缺陷,使其尚未完全兑现政策目标。为此,基于类型化人际关系的权利块理论成为完善数据三权分置的新基础。
如表1所示,新数据三权(排他权、许可权、处分权)经由公共数据权利模块和非公共数据权利模块,衍生出涵盖数据控制者、数据来源者、交易方、不特定第三方、法定第三方、国家等多元主体的多元权利形态,进而演化成数据安全、重要/核心数据、公共数据授权运营、公共数据开放、公共数据共享、数据交易合同、数据法定利用、数据合理使用、数据行业准入制度、政府数据调取、数据出境等多元制度安排。不仅如此,这些数据权利模块还能与数据所承载信息的相关权利模块(个人信息权益、知识产权、商业秘密、国家秘密等其他在先权利)在相互独立和区隔的前提下彼此互动,使数据权利行使以及数据流通利用时仅遵循数据权利模块的规则,而只有涉及相关在先权利时,才考虑后者限制,由此简化了数据上多元主体的复杂权利纠葛,大幅降低了数据权利行使以及数据流通利用的制度成本。
作为21世纪的新财产,人们对数据的认识才刚刚开始。那种试图套用有体物规则摹画数据权利,甚至于通过简单的权利列举毕其功于一役的构想,是天真的幻想。在权利块理论看来,一个可能成功的路径毋宁是以标准化的人际关系为基,逐步累积权利模块的个别设计规则,总结探索整体设计规则,在个性与共性、个别与一般的循环往复中,最终建立真正属于数字时代的数据制度。