康宁:数据确权的技术路径、模式选择与规范建构
康宁摘 要:数据不具有特定的物理形态,因而催生借助技术手段确认数据权利的实践。根据技术应用的演进规律与功能差异,数据确权分为整体确权和进程确权两种模式。整体确权是传统“一物一权”理论在数据领域的延伸,有助于激励原创性数据产品的研发。进程确权则是借助特定技术手段,对数据的权利关系状态进行确认,这种权利关系最终呈现为数据处理进程中的合约,有利于数据价值的充分释放。从整体确权到进程确权,意味着数据确权逻辑由传统物权向动态数据合约关系的拓展,进程确权提供了兼容现实权利结构与在先权利保护的可行方案。两种模式的并存和选择,应当考虑数据确权的目标和效益,并明确技术手段的角色功能定位。在此基础上,确权模式的规范化建构需要梳理规范的不同层次,完善确权要素的技术支持,同时推动技术应用的监督审计,形成凝聚法理共识、丰富制度经验的有效指引。
关键词:技术路径整体确权;进程确权;物权;合约
一、引言:数据确权的技术路径
随着数据作为生产要素的价值得到普遍认可,数据确权的问题引起学界越来越多的关注。实践中,由于数据技术手段与数据相伴相生,参考数据技术认定数据权利的做法较为常见。借助网络日志、区块链等技术确认权利状态,甚至打造数据流转与交易的可信技术空间,已经成为数据确权的重要探索。然而,既有研究容易将技术应用视作一种默认的事实,而往往忽略技术应用所蕴含的内在逻辑,及其给确权理论带来的革命性影响。 传统财产理论和制度鲜有涉及技术维度的讨论,对数据确权存在解释力不足的问题。产业界最初以古典政治经济学的“流汗理论”界定数据所有权,这一路径激励了劳动要素大量进入数据市场,却客观上为数据垄断提供了合理性。有鉴于此,世界主要国家采取的做法是,从特定数据的采集和利用入手,对数据用益权、相邻权等做出规定,并普遍搁置数据财产权的一般性理论阐释。我国数据安全、个人信息保护相关立法,重点明确了个人信息数据、国家安全数据等重要数据的处理边界,但也未明确界定数据财产权。受此影响,两个方面的问题已经凸显:一是作为基础范畴的数据财产权缺少具体制度的支持,数据流动的便利性和规范性受到限制;二是数据本身与传统财产客体存在较大差异,以数据加工和利用为基础的数据财产权涉及复杂的权利分配关系,数据持有、使用、交易、处分的特定权利虽然理论上可以分别成立,实则容易产生争议。为此,2022年12月中共中央、国务院颁布的《关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”)提出数据流通各环节的产权制度,数据确权不再追问某个特定的所有权主体,而是在同一宗数据之上区分不同环节、不同主体的具体数据权利,确权政策开始直面流通数据的真实状态及属性。这一重要制度实践走到了理论研究的前面,同时也要求数据确权的学理建设朝着更加适应数据特征、符合数据确权基本规律的方向努力。技术应用的确权意义,最早在通信工程领域获得认可,相关研究成果以提高技术的可信度为前提,探索数据文件、网络日志、区块链存证等算法的改进。技术的可行性,推动西方产业界学者从数字版权、无人驾驶技术等实务数据的权利分配出发,认为技术视角下的立法更新是数据确权更加迫切的任务。我国经济学者关注数据的生命周期和生产环节,在数据主体、内容、用途与市场等场景化的视角下展开研究,为数据流通中的权利界分提供了经济效益的论证。法学界论者尤其关注到不同应用场景之下的数据主体多样性,主张数据确权实际是不同主体各负权利和义务的复杂关系网。在此基础上,有学者主张借助技术手段稳定权利形态,以技术生成的权利凭证作为有效权属依据。此类研究开始触及数据确权的技术手段,但尚未深入挖掘技术给确权逻辑带来的深刻变革。因此,数据技术如何支持数据权利的确认,特别是技术给确权理论带来什么样的范式转换,需要进行专门的探讨。
本文将梳理确权技术路径的产生与演进,然后根据技术应用对数据确权的支持方式,把数据确权区分为整体确权和进程确权两种模式。结合两种确权模式的结构功能和实际局限,本文认为两种确权模式并非简单的并列关系,而是呈现整体确权向进程确权嬗变的趋势。在此基础上,本文就确权模式的规范化给出相关建议,以期对当前数据确权的政策演进和实践发展有所助益。
二、技术路径的产生动因与主要模式
数据包含复杂多样的内容与组织形式,但技术却是数据状态的实际承载者。事实表明,即便缺少制度的直接引导,数据处分也能通过特定技术的执行来实现。这种技术应用对数据形态的承载或解释能力,就是数据确权模式产生的直接动因,而技术发展则为确权模式的更新变化提供了现实基础。
(一)产生动因:无体数据的权利探索
数据形态的界定存在难度。根据国际标准化组织(ISO)的定义,数据(data)是信息(information)的特定形式转化,以达到适合电子化交流、解释或处理的目的。这里的信息,通常对应物理世界的事实、事件、过程或者思想等,但形式上只是技术运作过程创建的二进制字节或莫尔斯点。这些代码构成的数据,可以通过电子方式存储、复制和传输,不会因使用而耗尽,也没有明显的边界,甚至不能以可感知、可触及的形式存在。正因如此,数据的观感往往是凌乱、碎片化的,电子信息是数据,计算机记录是数据,传感器测量结论是数据,图像音频也是数据。形式的多变性使数据缺乏可以界定的媒介,导致数据权利的范围难以直接加以明确。
由于时效与整合程度的不同,数据归属的判断更加困难。随着介入主体和操作行为的变化,数据的体量、质量会出现新的堆叠与排列,形态的流转和变化性较强。不同数据可以很容易地组合起来,且随着数据组合的增多,不同数据组合之间也相互结合产生更有价值的数据,新旧数据几乎叠加存在。与此同时,数据使用者的目的、知识和掌握数据内容的差异,会导致数据控制能力的差别。由于数据形态的不稳定,数据权利也具有即时性和变动性。为了掌握和控制数据,人们将数据存储于特定的有体介质中,比如计算机或者数据传感器等等。但存储介质不足以记录数据流动和处理的进程,且可能由权利主体之外的他者所掌握。
有鉴于此,立法与司法实践开展了“数据权利”的技术探索。这种探索来自一个基本的认知,即数据是技术操作的产物,数据的来源和归属能够通过技术观察与测量予以描述,作为测量方法的数据机器和算法能够解释特定场景下的数据状态,技术处理的痕迹也成为追溯数据操作行为的重要依据。即便是最为初级、简易的数据,也经历了从物理世界转化为数据的过程,需要以一定的技术处理手段为基础。自然界的事件、人物和行为能够转化为可呈现、可陈述的数据元素,由计算机语言处理、记载和储存。联合国国际贸易法委员会(United Nations Commission on International Trade Law)从技术路径上定义“电子数据”,规定“电子数据”系指以电子技术手段生成、传递、接收或存储的信息,电子数据包括“如何对数据进行分类,以及如何通过自动化手段管理记录这些信息”等重要内容。沿着这一思路,欧盟委员会联合研究中心(the Joint Research Centre of the European Commission, JRC)2017年发布了《关于所有权、准入和贸易的数据经济学报告》。该报告主要在数据产权方面补充《通用数据保护条例》(General Data Protection Regulation, GDPR)的不足,认为“ GDPR没有给予数据主体完全的所有权,……在很大一个领域,数据的所有权或剩余权利没有得到法律规定,或者规定不完全”,数据产权成为“de facto right”,即法律尚未明确规定却在事实上已经存在的权利。
面对电子数据的基本特征,司法实务回归“谁拥有数据”的基础财产法问题,同时在数据的创造、控制和处理技术应用中做出“技术性的拟制”。早在1985年,美国印第安纳州法院已经承认数字资产是计算机技术产生的信息,并且“构成盗窃财务的目标财产。”2003年,美国联邦第九巡回法院在克莱蒙诉科恩案(Kremen v. Cohen)中,赋予网络域名数据作为财产的法律属性并认为,登记系统中的技术手段“使域名术语相关的权利类似于‘一块土地’能够提出的权利主张。”不仅如此,联邦第九巡回法院以技术使用的材料为证据,进一步判定应当赔偿的数据价值。在我国,技术性手段在实践中的应用,已经为数字产品权属纠纷的解决提供了重要线索。目前,数字技术支持数字资产登记、授权、交易、使用和维权的服务体系,尤其应用到数据存证、版权授予、数字产品防伪追溯等领域,可以规范音乐、视频、图片、文字作品等数字产品市场。
(二)两种模式:整体确权与进程确权
根据技术应用的不同路径,实践中的数据确权可分为“整体确权”和“进程确权”两种模式。前者是通过数据集中论证完成概括性的权利确认。后者是在数据运作的进程中,以技术手段对进程痕迹进行跟踪、标记或者追溯,从而实现阶段性、局部性的确权。
确权模式中的“整体确权”,是对数据的产生、形态和内容进行概括性的技术认定。目前,整体性确权主要用于数据产品的权属确认,我国大数据交易所“提交权属证明+技术评审+认定”的确权模式,具有整体确权的实际效果。在这种确权模式下,数据拥有者提交权属证明,交易所组织专家进行评审并公布结果。可以看到,除了借助网络日志、操作痕迹等进行权利验证,整体性确权与传统物权的认定与登记并无较大差异。整体确权试图确认数据的“所有权”,即经过特定的验证流程获得“谁拥有数据”的凭证,再为进一步的数据使用奠定基础。这是一种激励性极强的确权方式,尤其在互联网发展的早期阶段,整体确权解决了计算机软件研发产品的权利保护问题,起到了积极的作用。
整体确权在互联网技术发展的初期就已经产生。在web1.0时代,互联网以门户网站为主体,普通用户和互联网的交互仅限于在个人电脑的浏览器输入网站链接,互联网的功能以网站信息的发布和阅读为主,网站信息对用户而言是“只读”的,并不存在大量用户数据的产出、收集和利用问题。因此,这一时期的“数据”,主要意指互联网公司发布的门户信息,此类网站信息的基础则是主体明确的技术创新和研发投入。网站数据与产品设计存在深度的耦合,“数据”基本等同于原创性产品的权利辐射范围。互联网公司对网站信息发布、技术发明、外观设计等拥有整体意义上的权利,数据权属也不具有特殊性,可以转化为软件著作权、专利权、商业秘密等专门的权利进行保护。
进程确权模式将权利的确认置于高速率、大体量的数据生命周期,确权目标并不限于权利内容的概括性认定,还需兼顾数据价值的释放。进程确权模式产生于海量数据流动的web2.0时代,用于确权的技术伴随关键性技术革新手段的兴起。这一时期,用户产生大量数据内容并上传到平台,换取相应的服务和利益。随着数据收集、传播、使用的范围及速度迅速提升,互联网不再局限于单纯的信息发布与阅读,而是以多主体参与的信息交互为主。技术平台成为数据产生以后的实际控制者,平台及其后续数据处理者成为与原初用户并存的多元主体,数据的占有、处理和加工能够产生新的收益,却也造成了权益分配的高难度。整体确权模式下的权利完整性无法实现,普通用户和技术平台都局限于附条件的数据使用权。这一时期,区块链、智能合约、可信时间戳等技术的应用,极大提高了存证溯源、数据控制、计算处理的效率,能够对数据处理进程中的权利关系予以确认和存储,容纳并证明参与数据处理的实际内容。数据权属的界定,从数据物权的技术证立,向数据关系变更、数据利益界定的动态进程转变。
三、整体确权模式:数据“物权”的证立与局限
整体确权模式是传统“一物一权”财产理论在数据确权领域的延伸。传统财产理论倾向于明确且易于实施的所有权制度,并认为这是组织经济的最有效方式,财产法中的物权、所有权概念正是立基于此。为数据创设尽可能完整的“物权”,是确保数据主体将足够的资源投入财富创造的有效方式,可以减少不确定性和讨价还价的余地。因此,界定数据的权属,容易转化为界定“数据属于谁”的问题,也就是“物权”归属问题。
(一)数据“物权”的技术证立
整体确权的逻辑假设,是数据生产需要投入一定成本,因此需要稳定的所有权激励机制。既然数据来自特定主体的加工投入,那么数据归属于这一特定的主体也具有合理性。如果数据的创造能够使人获利,那么人们会对奖励和报酬做出全力以赴的回应。这一基础的逻辑,决定了整体确权的对象是以思想性和原创性为支撑的概括数据产品。作为确权对象的数据具有法律意义上的完整性,无法做出要素、结构或者进程上的分割。确权只需凭借与数据相关的主体、行为和内容等证据资料,完成数据劳动关联性的技术建构。
整体确权的关键在于数据“物权”的证立。研发主体的劳动与数据之间存在直接的因果关联,这种因果关联的基础在于原创性的投入。为此,主张数据权利的主体应当提供数据产生与创立的证明资料,通常包括使数据从无到有的设计程序、标识数据内容的源代码以及记载完整操作信息的技术日志。这些“利用条件、环境、事件、交易、属性或过程描述为事实的任何数据……描述了信息系统中发生的事件或交易。”证明资料至少明确几个基本的要素,一是数据的内容相对集中,数据所包含的实质性信息通常能够组成特定的数据产品;二是实施数据加工的主体具有单一性,除了分工明确的合作研发场景之外,数据权利归属于投入劳动的最主要贡献者,较少关注多类主体介入数据处理的情形;三是数据支配的行为由数据主体产生,控制、约束、改变和交易数据的举动与这一主体直接相关,可以留作操作行为的记录。
整体确权使数据具有了物权的对世性,数据主体追求实现排他性占有、使用、收益、处分数据的物权权能。尽管事实上占有数据仍旧存在难度,但权利主体对数据存储载体或者介质的占有,至少在形式上实现了数据的占有。借力于制度设计的保护,未经授权的数据剽窃与“盗窃财产”十分相似,它将影响进一步投入研发的积极性。由于延续了传统物权的基本逻辑,整体确权与传统物权的确权方式并无本质差异,尤其可以通过申请、验证、登记、备案等具体形式,完成权利形态的稳定化。在这种概括性的确权路径中,谁是权利的申请者,谁就是数据的所有者,也就是整体确权的保护对象。由此可见,整体确权的模式旨在实现数据创造者“拥有数据”,这种权利的属性是物权,以及与物权相关的一切实质性权能。
(二)整体确权的局限
整体确权更加关注数据产生的最主要贡献者,容易忽略不同数据主体和数据类型的价值阐释。整体确权有利于认定以技术研发为依托的终端数据产品,数据的权利是一个要么全有,要么全无的命题。一旦进入大体量数据分析与挖掘的场景,整体确权很难区分“同一数据、多个主体”的整体性权利,对高频度的数据变迁、流转和交易也无从入手。实际上,介入数据的主体增加,直接导致权属关系的错综复杂。数据在用户的设备中被交出和处置,又在各类数据处理者的程序系统中存储并加工。不同主体之间不仅保有前后承继的时间顺序,更是彼此依赖的权属关联——用户是原初数据的来源,却并不全面掌握数据,实际控制能力通过数据处理者才能实现,数据处理者也必须依赖用户产生数据,才能期待进一步的数据利益。进入流通领域的数据就更加复杂,数据加工的众多操作环节可能在同一数据之上彼此覆盖,究竟某一数据处理行为的发出主体是谁,更难做出明确的区分。再者,高速的移动网络链接与平板电脑、智能手机等几乎无处不在的计算机终端设备,为数据产品的便捷传播提供了途径,数字下载和流媒体服务既是极为便捷的数据处理渠道,也提供了成本低廉的“数据盗窃”途径。如果不改变确权的基础逻辑,越来越多的“无权主体”将在实际上享有数据权利,整体确权模式所期待的稳定数据权利状态,在大数据处理时代很难维系。
整体确权以“限制应用”来鼓励创新,实际与大数据非竞争性、低交易成本属性相背离。经济学的研究成果认为,大数据的价值在于使用和流转,且这种使用和流转不因竞争关系的存在而受到影响。被分享和复制的数据与原使用者不构成竞争关系,使用者增多并不影响数据本身的价值。任何数量的公司、个人或机器算法可以同时使用这些数据,而不会减少其他主体可用的数据量。相反,小规模、单个数据的财富价值创造力极为有限,只有一定规模的数据能够产生持续积累的价值。如同古典音乐的社会价值,实际上在于数百年来人们的传唱和使用,这种重复使用不仅没有消耗音乐作品,反而增强了作品的生命力。从这个意义上讲,如果按照传统物权的规范性来约束数据,实际上是人为制造“数据稀缺”难题,限制数据价值的释放。正因如此,大量享有整体确权成果的数据主体主动放弃成果专有权,目的就在于实现大数据时代的快速普及与行业话语权,将数据以开放或者半开放方式推向市场。可以说,实现数据要素价值最大化的关键,正是促进数据开放共享和重复使用,这与整体确权的排他性占有大相径庭。
整体确权对传统人工操作具有较强依赖性,存在确权证明难保存、易篡改的困境。对整体确权模式而言,代表数据内容和边界的技术日志、程序代码成为产权证立的重要凭证。为此,整体确权依赖确权机构做出信用背书,以登记备案的方式概括数据产品的权利归属。这类登记的实现,离不开数据权利申请者向确权部门提交的文件,例如,申请者通常提交原初数据、权利请求书和相关说明。确权机构进行权利的审核,尤其强调原初数据与权利人技术投入的直接因果关系,即数据由权利人的“劳动”而产生。相关说明文件对数据的构成情况以及处理日志做进一步解释,以利于确权机构和后续主体理解并使用数据。然而,网络日志之类的痕迹数据很难得到即时保存,并且,数据信息的提取可能导致电子信息与原始存储介质的分离,电子数据的证明力会降低。权利明示需要将电子数据打印出来转化为书证,不仅容易破坏电子数据的内容,也提高了权利认定的成本;数据确权以专门机构的审核为基础,还存在权力寻租、篡改数据的风险。最根本的障碍在于,大数据时代的数据生成并非来自单一主体的“劳动”,且数据加工和利用的状态具有实时性,很多时候根本无须对即将迅速过时的数据予以概括性认定。因此,尽管我国当前省级以上的数据交易所达30余家,但受到整体确权逻辑的影响,数据确权更加倾向于明确权利的集中归属,对流通数据的价值释放无法起到积极的作用。多种问题的存在,表明整体确权的模式具有不充分性,亟待新型确权机制的补充。
四、进程确权模式:合约逻辑的引入
产权实践表明,越是坚持数据权利的完整性,越不一定能够产生效益。产权理论的谱系中,存在一种初始产权不明或难以确定的情形:在共同水资源、土地资源、油层资源的权利分配中,某一主体是否拥有初始产权并不重要,只要交易成本低于权利自身的价值,那么权利终将归属于有能力产生最高权利价值的市场主体。这种理论适用的场景,往往是同一宗财产之上存在多主体的利用和开发关系,且这些主体都无法主张传统所有权一般的初始权利。同理,对流动和交易进程中的数据而言,最重要的问题不是“谁拥有数据”,而是在无法确定“谁拥有数据”的前提下,基于怎样的权利配置分配了相应的数据权利,以及这些权利的形态是怎样的。
大数据时代的数据确权,必须应对不以初始权利归属为基础的权利配置问题。这一思路与整体确权的最大差异,在于整体确权假定了完整财产权的先在性,并在此基础上实现权利流转。整体确权无法阐释海量数据的权利配置问题,原因就在于初始数据的完整产权存在界定和识别的难度。诚然,整体确权的逻辑思路能够尊重数据从无到有的创建,实现数据创建者的权利最大化。但是,大数据时代的数据加工取代了数据原创,成为数据生产进程中的最大价值源泉。数据加工往往伴随多主体的介入,如果仍旧沿用整体确权模式,强制对数据产品的权利内容进行固化,则将面临各执一端的权利纠纷和高昂的确权成本。数据确权更是一个经验性的问题,取决于数据主体围绕实际利益的博弈。博弈不太可能将权利保留在一个人手中,结果呈现为双方甚至多方权利分配的合约。
权利配置的难题亟需确权逻辑的更新。在特定技术手段的支持下,进程确权模式回应了前述难题,确权重点向数据权利讨价还价的不同场景转移。进程确权没有推翻整体性确权的激励优势,而是在整体性确权的基础上,引入了权利状态的时间进程,并通过特定的技术优化存证记录。这种模式的确权内容,在于围绕数据而展开的具体合约关系,以及受到合约安排的数据权利归属。就确权效果而言,如果整体确权模式确认了物权、所有权的数据权利形态,那么进程确权中的合约则能够实现更为广泛的权利形态,可能包括依约定产生的数据物权,也可能包括持有、使用、交易、处分等系列用益性权利。实践中,进程确权模式对此类数据权利进行追踪和记录,其关键支撑技术包括区块链、智能合约、可信时间戳等。
在技术手段的支持下,进程确权更加关注数据关系的变更。确权的关键在于数据关系的追踪和记录,确权重点从概括性数据权利的认定,转向数据权利流转、变更的现实。海量数据存储与应用的时代,数据并不在个体用户手中,而在某个遥远未知的城市服务器里。大数据处理技术的复杂性限制了特定权利人的支配权能,数据权利的确认无法以整体归属的方式做出认定,而是根据权利构成与变更的实际状态,做出特定场景下的确权。一般财产法的理论认为,如果合约所创造的权利能够转让,那么合约本身就发挥着财产法的实际功能。这至少意味着,特定数据资源的使用或配置是由合约方共同议定的,缔约各方的权利分配按合约进行。这其实提出了更高的确权期待:当下数据权利的合约状态,不仅解释数据的权利归属,还要对未来数据关系的变更提供支持。目前,技术支持下的数据合约能够解释数据处分的流向和归属问题。复杂的合约关系取代了传统的物权逻辑,成为数据确权的新线索。
原初数据是确权进程的起点,它产生于委托开发数据的合约。数据产生的前提,是物理世界的实体权利人愿意获得数据化的产品与服务。原初数据的提供者因能力、时间、技术的限制,将其掌握的数据资源委托给处理者,由处理者回馈相应的数据生产服务,形成可以进一步开发利用的数据资源。正因如此,原初数据之上至少叠加两类不同的权利主体,一是作为原初数据来源的初始权利人(以下简称“原初权利人”),可能包括个体、企业组织、政府机构等数据提供者;二是具有数据加工和转化能力的技术平台。原初权利人是数据处理的委托人,而技术处理者只能是借用、转化或者复制数据的受托人,这应当是没有异议的。但是,为了使原初数据得到更好的积累和保存,权利人作为委托人,也有提交数据、允许受托人处理数据的义务。根据数据提供主体的不同,数据处理的合约包括各类平台隐私协议、企业数据服务合同、公共数据委托开发合同等。可以看到,数据处理进程中的不同主体,需要依照合约关系明确各自权利的限度。
随着数据处理进程的展开,数据权利其实是通过更多具体合约来实现的。数据产生以后,数据处理者基于加工数据所投入的劳动,必然追求获得合理的回报。数据处理者成为数据资源的实际占有人,能够获得基于占有的数据利益,具有进一步使用数据的权利能力,也为后续合约关系的产生奠定了基础。数据利用合同往往关注数据的进一步处分与加工,因此体现为广义上的数据委托处理合同,包括承揽加工、传输、中介、保管、仓储等交付数据工作成果、完成数据劳务的合同。各类数据本身所具有的市场价值,也使买卖、租赁、许可使用等涉及数据权利转让的合同相继涌现。诸如谷歌、脸书等公司与用户达成平台隐私数据协议,无不明示数据进一步利用和开发的可能性。脸书的数据处理服务条款规定了一系列的数据开发利益,包括“托管、使用、分发、修改、运行、复制、公开表演或展示、翻译和创作”用户所提供的数据。同样,谷歌公司可以使用用户的数据来运营和改进谷歌现有的服务,还可以开发新的技术和服务。这都表明,数据利用行为将不断出现,由数据利用而产生的合约关系也层出不穷。
数据处理进程中的合约,还体现为面向期待利益的数据信托。根据信赖契约关系理论,不同主体之于数据的利益,既包括当下的现实利益,也包括基于信赖而产生的期待利益。因此,数据处理者既要在授权范围内管理或利用数据,又要应对尚未发生的数据风险,对未经授权的访问和利用行为采取一定的防御措施。但是,受委托处理数据的平台掌握专业技术优势,用户难以直接监督数据处理者的活动,无法阻止其背叛自己的利益。应对前述问题,数据信托关系强调受托人与委托人之间的信任,这种信任来自委托处理数据的合约,又在两个方面有所超越:一是受托方可能因委托关系而得到好处,但受托方的活动必须以委托人的利益为根本出发点。二是委托人常常会将很多实际的权利赋予受托人,受托人对委托人的利益往往拥有自由裁量权,这导致其对委托人所委托的某些关键领域做出自行判断,且这种自行判断是在合同缔结时难以预见的,这也使受托人应当承担超越合同条款的风险责任。如此一来,数据委托方并不需要对专业条款有太多的了解,也不需要做太多选择,仍然可以享有合理的权利期待。实践中,这种数据信托关系已经体现为淡化数据提供者主体作用、直接给数据处理者施以信义义务的信托合约。
五、数据确权模式的规范化构建
数据确权模式的逻辑转变,意味着数据确权的总体思路已初步形成。但是,由于两种确权模式的结构功能存在较大差异,现行规制体系的框架结构尚不足以完成高效、精准的调整任务。“数据二十条”的出台标志着确权方向往数据流通的进程转移,这一确权方向还需结合数据的技术规律,整合当前的制度工具,围绕规范化建构的不同层次和要素展开具体探讨。有鉴于此,确权模式的规范化建构,需要关注不同确权模式的并存与选择,做出适当的制度引导。
(一)确权模式的并存与选择
整体确权与进程确权都借用了技术的力量,也各有发挥作用的实际场域。与整体确权模式相比,进程确权面向更为广泛的数据产物。前者注重支配和占有权能的实现,后者注重处分和收益等实际价值。相比之下,整体确权侧重数据整体的权利归属,并不擅长应对大体量动态数据的权利变更,进程确权则一定程度上弥补这一缺憾。还应当看到,由于整体确权模式与传统法律制度的适配度较高,即便回避传统财产法关于“所有权”问题的讨论,也不意味着整体确权观念与实践的退场。现阶段,整体与进程两大确权模式的并存与选择,已然成为确权技术应用必须面对的问题。
首先,确权模式的选择不应忽视不同逻辑的目标与效益。进程确权可以记录并追溯数据流动过程中的痕迹,数据的产生、处理、交易等行为成为不易变更的技术记载,实际可以免除数据流转的后顾之忧。整体确权则是以创作人为中心的保护措施,最终目的是建立知识产权保护一般的“铜墙铁壁”,限制了数据的流动。例如,《欧盟数据库指令》(EU Database Directive,1996)、《欧盟商业秘密保护指令》(EU Trade Secret Protection Directive,2016)以及美国《计算机欺诈与滥用法案》(The Computer Fraud and Abuse Act,2022),就是在知识产权和商业秘密保护的框架内设定数据权利的法律要点,保护数据占有、使用和转让的专属所有权。这种限制当然过于理想化,原因在于原创整体性权利一旦售卖,则未来的收益不可能追溯到原始数据的创作者,产权所有者的利益终将穷尽。为了预防侵权的发生,数据产品的流通限制在权利人能够控制的范围,数据产品的实际价值难以充分释放。与之相比,进程确权的技术手段提高了数据盗用的成本,通过智能合约、可信时间戳的技术记录了数据产品的流向,产品创作者与后续数据处理者的关系得以留痕且不易篡改。可以认为,整体确权的归宿是产权的固化,而进程确权突出了数据的可用性。
其次,数据流动的现实推动确权进程化的模式转变。选择不同的确权模式,需要区分确权对象的特征,究竟是不同主体之间的、处于流通状态的数据,还是专门主体集中创设并处置的特定数据产品。整体确权模式是传统物权逻辑的延伸,确权技术的应用更具有工具性色彩;进程确权模式贯穿数据运作的进程,技术的参与性更强。整体确权将数据成果的概括性权利指向特定、明确的权利人,这种认定能够在现实中产生激励数据成果创作的效果,确权手段实际是以“权利人激励”完成“成果的激励”。但是在数据流动的场景下,特定主体的利益很难得到个性化的认同,因为主体之间的利益不是非此即彼,而是共享和兼容之下的权利交叠状态。与之相比,进程确权技术允许数据来自不同的主体,这些主体可能包括数据供应方、数据需求方、交易平台运营方、各类第三方数据商等,他们都拥有数据写入和访问的权限,也只有认可这些并存的数据权利关系,才能明确成果激励的更多可能,鼓励更大范围的参与和贡献。在数据流动频仍、利益主体多元复杂的大数据时代,从整体确权向进程确权的模式转变意味着从物权到合约的逻辑嬗变,已成大势所趋。
再次,进程确权须以特定技术应用能力和基础设施条件为前提。为进程确权提供支持的技术手段,需要凭借防篡改性和准确性使数据流动有据可循,还要在数据安全方面具有防御能力。这些确权效果的实现离不开区块链、智能合约等特定技术手段的应用。诸如区块链技术验证和审计的高要求增加了技术适用和处理的巨大成本,限制了数据权利主体实际控制的能力,也容易影响到数据流通的速度,这需要高水平信息基础设施建设的支持。考虑到这些前置条件,欧盟区块链观察组织(the EU Blockchain Observatory)对区块链适用的经验做出论证并认为,区块链等技术手段的应用需要考虑数据价值的创造和使用需求,以及数据加密、数据共享的程度等。应当看到,整体性确权模式的起步较早,在实践中有较大范围的普及,中心化数据存储系统和载体的技术已经相对成熟。如果对数据权属没有较高的实时记录需求,也没有刻意的防篡改需求,中心化的数据库存储仍可支持概括性的整体确权模式。可见,受到技术条件的客观限制,确权进程化的模式转变无法排斥整体确权的适用。
最后,整体确权以特定权利保护的形式发挥基础性作用。实际上,整体确权不会退出历史舞台,特定权利的整体性确认可以为进程确权做好基础性的工作,这使整体确权的功能向专门权利保护的领域转移。各国当前数据流转与交易的实践,重在挖掘各类主体数据的商业价值,这使流通数据中所包含的个人信息、企业信息或者国家安全信息可能受到影响,因此需要审慎对待。已经有学者提出,在数据权利交易和流通的进程中,应当将法定在先的权利予以“剥离”。这类需要“剥离”的法定在先权利,主要包括自然人的个人信息、隐私数据,非自然人的特定经营信息、商业秘密信息、国家安全信息等,此类信息不得因为进入流通而遭到减损。数据处理者尊重法定在先权利的最好方式,就是以相对概括的形式对这类数据实施技术封存,以保护个人信息所包括的自然人人格权、企业信息所包含的商业秘密或知识产权、国家安全信息所包含的国家利益等。这意味着,先以整体确权的模式做好特定权利的保护,然后再进入数据流通的确权进程。如此一来,整体确权可以作为初始权利配置的部分内容,在源头意义上做好确权的基础性工作,进程确权则是应对权利状态变化的长周期确权,它兼容了初始权利配置和特定在先权利的保护。
(二)确权规范的不同层次
梳理不同层次的确权规范,可以为数据权利的合约配置提供有效的外部依据。在一般契约理论的框架中,合约本身可以完成具体权利义务的分配,而合约关系的维系则需要特定的法律规则作为保障。确权模式的规范化建构,本旨也是整合现有的制度资源,推动数据合约权利配置的实现。从整体确权到进程确权的模式选择表明,有效的确权规范应当兼顾两种模式,既要对合约的具体权利诉求进行个别性调整,又要为合约关系的维系提供稳定的连结机制。
1. 个别性规范
个别性规范将数据确权的决定性方案留给合约,体现了数据处分场景下的私法自治原则。合约是数据主体意思表示的结果,是对数据基本权利状态进行配置的个性化、具体化方案。已经有学者认为:“尽管目前尚无明确法律条文就数据权利作出规定,但各方当事人通过长期交易习惯与合同条款的约定,已经在事实上对数据经济权利的归属与内容达成了合意。”这意味着,具体化、个性化的数据合约,可以最大限度地实现当事人处分数据权利的一致意见。合约本身的约束力,具有“个别场景、个别调整”的针对性。实务界普遍参照数据授权与委托的不同需求,拟定个性化合约,成为数据权利界定的先行探索。
作为个别性规范的合约,可能混合立法或行政监管的强制性规定。例如,为满足个人信息保护、商业秘密和数据安全的要求,各国立法不得不对数据合约施加特殊的强制规定,这种强制会伴随实际情况进行不同程度的调整。数据处理不能与公民隐私、个人信息、国家安全、商业秘密等存在冲突。限制数据访问权限的隐私计算、加密算法等,实际是在技术层面上设定合约边界的努力,也是数据确权的特别依据。
合约的实施,需要警惕意思自治受到数据垄断的侵蚀。由于数据控制能力的差异,数据主体之间的合约关系,可能呈现为技术上的依赖关系,合约调整的可行性被弱化了。一方面,由于租赁云存储和超级计算机的成本仍旧过高,个体用户、中小企业很难与大型数据处理平台产生平等公正的数据合约。另一方面,数据的产生与加工掌握在强势数据控制者手中,但出于经营效率的考量,大型数据处理平台的技术运作目标并不是具体权利的确认,而是积累庞大的“数据自留地”。为此,各国通过反垄断法的规制手段予以调整,我国《反垄断法》第17至19条规定的“滥用市场支配地位”同样约束此种情形。当然,作为监管手段的垄断治理规则主要适用于合约失灵的场合,无法取代合约在权利分配场景下的规制力度。
2.连结性规范
与个别性规范相比,连结性规范主要解决权利合约的稳定可持续问题。如庞德(Roscoe Pound)所言,法律的价值在于“给出利益方案的最佳效果”,是故权利合约的稳定性与可持续性其实意味着:应当设计怎样的规范体系,使数据流通进程中的权利合约得以实现;如何修复合约义务的瑕疵,起到维系甚至更新权利内容的效果。为此,个别性的合约调整规范,需要补充合作激励、责任承担、风险预防等三个方面的制度支持。实践中,这三个方面的制度支持体现为数据合约中的优惠激励条款、责任承担条款和风险应对条款等。
共享激励规则推动各类数据主体参与并维持数据处分的进程。制度设计要想推动数据处理的进程持续进行,必须首先鼓励共享与协作的数据关系,推动基于数据权利的主体凝聚和合作。以共享激励的方式创造数据的价值,在网络技术的发展进程中并不稀奇。早在计算机网络技术发展的早期,已经出现了以合作意愿为基础的“自由软件运动”。这个运动的核心是一则公约性质的激励规则,“所有程序的编写者,作为社会群体的一部分,都有权使用适合于编写、修改和升级软件的运算法则”。这意味着,对于任意数据运算法则,其他程序编写者都可以自由地对其进行研究,从而产生新的运算法则,而新的运算法则也再度投入这样的自由研究之中。这是一种积极的、可持续的算法合作关系,同样可以解释数据时代的进程确权:数据产生于不同主体的合作意愿与实际贡献,当下的数据关系可以为新的合作意愿奠定基础,也正是多次合作与数据贡献的进程,推动了数据资源的丰富和成长。一般而言,共享激励规则体现为用户初次进入数据关系的优惠性条款,这些条款使用户认识到,数据利益需要通过参与数据关系的形式才能达成,用户愿意参与并维持这种数据关系且为之承担义务。
责任承担规则为数据合约的缔结免除后顾之忧。实践中,责任承担规则体现为数据合约中的责任承担条款,主要包括两种类型。一是基于意思自治的违约与侵权,此时责任的承担是对于数据权利约定的救济,目的是补偿守约方的利益损害,主要表现为物质给付,如支付赔偿金或违约金。二是对公民隐私、个人信息、国家安全、商业秘密等特定数据而言,违约行为同时也是违法行为,承担责任的目的在于恢复法律秩序、维护公共利益,表现为对违法行为的撤销和纠正,以及法律义务的强制履行。如此一来,责任承担规则使不同数据合约的关系得以存续。
风险预防规则为数据权利处分提供风险应对方案。数据合约的权利配置无法将每个能想到的偶然因素纳入计划,风险伴随数据交易的进程,使数据主体承担并不确定的交易后果。为此,风险预防规则必须贯穿数据合约的始末,并至少区分三个阶段。第一阶段是合约关系确立之前,要求数据处理者尽到充分的信息披露义务,在资质、能力和信誉等方面接受数据提供者的质疑。第二阶段是在合同履行期间,数据处理者依照约定处理数据,承担忠于数据关系、防范数据风险的信义义务等,个人信息保护法、数据安全法的知情同意规则是对此类义务的强化。第三阶段关于合约的终止,合同履行完毕或数据主体不同意继续维系特定的数据关系,数据处理者还应提供退出合约的便利。值得注意的是,即便对于已经依法完全公开的各类数据,数据处理者也要受到特定风险防范规则的制约。司法实务中有关数据爬虫案件的裁判表明,公开数据的处理者对数据提供方仍然负有一定的义务,此种义务的范围取决于数据处理者获得授权的“边界”,要求数据处理不能损害正常的竞争秩序,否则面临反不正当竞争法的追责。可见,风险预防规则应对数据合约关系的“未然状态”,可以消除或减缓权利风险发生。
(三)确权要素的技术支持
不同层次的确权规范,只为数据权利的配置提供了外部的依据。如果进入数据权利的内部视角,不难发现流通进程中的数据具有碎片化、大体量的特征,权利关系的实际把握存在难度,且数据“样本越大、维度越多、数据越复杂、定义越模糊,从原始数据产生出可以用做决策的结论所需要的加工深度就越大,工作量也就越大”。虽然区块链、智能合约、时间戳等技术手段,可以对部分数据主体、数据行为进行记录,但是,一般法律关系包括主体、客体和权利义务等基本要素,技术记录距离基本法律要素的提炼仍然存在差距。为了使数据权利的变化进程在法律意义上可呈现、可分析,还需把握权利分析的内部视角,借助技术手段完成基本确权要素的提炼。
1.主体
在权利归属不明确的情况下,确权技术应当首先明确主体的角色。广泛应用的身份识别与加密技术,基本可以确定数据关系参与者的主体角色:究竟是委托人还是受托人,是数据提供者还是处理者,是利益获得者还是责任承担者。但是,在提炼法律关系的层面上,主体角色的识别与保全不仅需要明确权利人是谁,还要区分不同主体所连接的数据关系,也就是数据主体之间的相对关系。
主体相对关系体现着数据权利义务的相对性,而相对性的强弱取决于数据自身的敏感度。技术手段所记录的数据主体,可能介入前后相继的数据处理合约,前手合约中的受托人,成为后手合约中的委托人。因此,确权技术手段的规制,必须关注不同主体之间的相对性是否得到了体现。对重要个人信息、商业秘密甚至政务数据而言,主体的相对性旨在实现数据保护的重要价值,这就需要严格限制主体相对性的范围,比如,数据来源主体可能允许某一数据平台使用数据,却拒绝平台转托第三方处理数据。与之相比,不敏感数据侧重挖掘数据流转和利用的直接价值,数据主体之间的相对性较为松弛,只要查询和使用不影响正常的市场竞争和公共管理秩序,这类数据的查询和使用受到法律的支持。
2.行为
技术应用为数据操作的行为提供支持,但对行为意志性的内容关注不足。诸如区块链、智能合约等技术措施,已经能够记载并追溯数据操作的行为内容,初步实现各方的权利和义务的区分。这表明,确权技术能够高效率支持数据处分行为的实现。但是,确权技术并不擅长行为意思表示的识别。尤其在智能合约的场景下,自动分配权利义务的符码运算,往往并不计较合约背后的主观意愿。
识别数据处分行为的意思表示,必须明确意思表示可能呈现的复杂面向。作为法律行为构成要件的内心意思,至少包括目的意思和效果意思两个层面。在数据确权的场景下,权利主体的内心意思应当体现在数据处分的技术程序之中,且应设置严格的审核条件。以常见的平台用户隐私协议为例,确权技术需要实现的意思表示要件一般包括如下内容:用户自愿履行提交数据的行为,能够认识到提交数据的行为会产生的意义与后果(目的意思),但仍旧意欲提交数据以享受平台服务(效果意思)。此外,确权技术还应面对意思表示错误,或者受到欺诈和胁迫的情形,对意思表示的反悔或撤回提供专门路径,比如实现技术上可操作的限制读取、修改、删除、转发、复制、存证等等。对确权技术而言,如何体现意思表示的复杂性,能否还原并梳理意思表示的本意,体现着确权技术的权利甄别能力,可以为数据权利的实现提供佐证。
3.客体
数据作为权利关系的客体,会在数据处分的不同时间产生变化。在技术应用的实务中,可信时间戳可以区分变化前后的数据。但是,时间标识可能只关乎数据表象,并不关注权利实质。可信时间戳只能记录数据的即时状态,但数据始终具有面向未来的可变性。时间戳对数据变化做出持续的记录,其实意味着不断给出权利状态支持,而不问权利状态的产生是否应当受到支持。尤其面对同一宗数据的持续加工利用,时间标记很可能为先后产生的数据权利分别提供支持。在不清楚数据加工投入的前提下,数据权属的争议容易出现。
提炼确权进程中的数据客体,必须进一步提高时间标识的密度,同时支持数据变化的续造空间。一方面,可信时间戳的运用必须关注权利的形式变化,围绕可能引起数据产生、变更的重要时间节点,把握瞬时、片段之内的数据状态。另一方面,时间标识还要贯通不同时段的实质变更,通过存放时长、使用时长、操作次数的记录,呈现动态进程中的初步权利判断。正因如此,确权技术的启动越早,确权实际效果也就越好。
(四)技术应用的监督审核
不同确权模式的实际效果,体现技术手段在数据确权场景中的积极作用。然而,技术本身并不能确权,技术只是确权理念的表达和实践。技术的支持能力也并不绝对,这种支持受到无所不在的主体意思制约。所以,并非是技术直接完成了确权,而是主体之间达成共识的内容充当了技术的指引,并借力技术载体获得权利分析的路径。
技术审核的首要目的,应当是核验技术手段是否实现了确权模式的安排。数据确权模式的讨论,可以转化为经验性的确权需求如何呈现为技术算法和数据组织方式的问题。确权规范的不同层次和确权要素的技术提炼,使得技术手段能够更加积极地实现确权效果,但这尚不意味着实现全部的确权方案。与场景极其复杂的确权需求相比,技术措施存在简化和机械化解读权利关系的可能,它是来自程序设计者的“书本智慧”(Book smarts),短期内很难与丰富的产权实践完全吻合,而产权实践更是集合主体心智与行为的“市井智慧”(Street smarts)。整体确权与进程确权的模式演变,本质上意味着数据权利分配方案的优化,这种优化可以弥合技术与实践的差距,也对技术应用支持确权的效果进行完善和检验。由此可见,技术可以提高数据确权的可论证性,但技术仍然不是确权的主体。
就目前的实际运作状况来看,用于确权的技术通常存在一定的问题。这种确权仅关注数据的交易进程、数据的流转去向等,并未对技术启动之前的数据关系予以追溯,或者直接默认了技术启动之前的数据状态。这样一来,技术措施无法伴随数据的整个生命周期,进程确权不过是在数据进入技术环境之后的一种辅助,仍需对技术介入之前的数据状态进行验证。并且,随着近些年技术应用的发展,较早进入数据领域的技术平台已经掌握了相对完整、成熟的算法设计规则。这种技术上的先手优势,当然可以为技术的良性发展奠定基础,却也可能导致确权领域的技术专断,确权结论的不公正风险也由此而生。
推动技术审核的良好效果,需要提升监管者的技术判断能力。用于确权的技术,一定程度上意味着人工确权对技术处理流程的“赋权”,传统确权机构的角色从确权执行者向确权监管者转变。受到人员能力和规范缺失的限制,监管机构或当事人可能无法对技术手段的运作进行直接检验或者监督。根据目前确权技术的运作模式,当事人、行政机关或审判者难以对确权结论进行实质性审核。中国裁判文书网显示,在区块链技术用于确认网络音视频权属争议的案例中,裁判论证的侧重点各不相同。仅在技术平台的资质认定方面,人民法院或者采取相对笼统的“利害关系排除”标准,或者严格遵照“国家级质量标准”进行审核,或者以平台获得行政许可证书为资质认定的标准。关于技术审核的结论表述,不同法院的判决书又繁简不一,有的利用较大篇幅阐述了技术核验过程,更多的则是一笔带过未做展开。不过,我国各类行业组织、企业、互联网法院制定技术标准的活跃度较高,能够裁定确权技术的具体标准正在陆续产生,如电子签名、可信时间戳、智能合约、区块链证据等现有技术标准,可以为确权技术的审核提供参考。此外,随着技术专家在诉讼程序中的作用不断得到重视,裁判者将技术语言转化为法律语言的能力也将增强。这是确权技术监督与审核的发展方向,也可为确权技术的应用提供良好的前景。
六、结语
数据不具有特定的物理形态,因而催生出借助技术手段确认数据权利的实践。根据技术应用的不同方式,数据确权路径分为整体确权和进程确权两种模式。整体确权是传统“一物一权”理论在数据领域的延伸,有助于激励原创性数据产品的研发。进程确权则是借助特定技术手段,对数据的权利关系状态进行确认,这种权利关系最终呈现为数据处理进程中的合约,有利于数据价值的充分释放。从整体确权到进程确权,意味着数据确权逻辑由传统物权向动态数据关系的拓展,进程确权提供了兼容现实权利结构与在先权利保护的可行方案。两种模式的并存和选择,应当考虑数据确权的目标和效益,同时赋予技术手段以更加精准的功能定位,最终形成凝聚法理共识、丰富制度经验的有效指引。
从整体确权到进程确权的模式转变表明,数据权利的配置早已超出了特定财产范畴的局限,而是体现为一系列主体之间的合约。当然,高度抽象的确权逻辑无法满足多场景之下的权利解读,数据主体之间的利益分配、风险分担、保护激励,仍旧需要不同层次的调整规则。为此,确权技术还应提炼关于权利主体、客体与行为的基础元素,引入合约、侵权和竞争秩序的调整规则。在此基础上,用于确权的技术设计,可以更加高效地协助确权逻辑的实现,尽管在当前情况下,这种“高效地协助”还要在技术监督与审核的层面不断完善。