宁园:从数据生产到数据流通:数据财产权益的双层配置方案
宁园摘 要:数据财产权益的配置应以数据的“生产—流通”为分析框架,分别进行数据生产环节的数据控制权配置和数据流通环节的数据利用权配置,以统筹数据流通与利用中的秩序目标和效率目标。数据生产环节,数据控制权配置应以数据生产为依据,承认数据生产者对其生产的数据享有一般数据控制权。应明确数据生产的内涵,界分数据生产环节与其他投入性生产要素的生产环节,界分数据生产与数字劳动,避免数据控制权主体的泛化。数据流通环节,数据利用权配置可依意定和法定两种模式展开。数据利用权的意定配置包括数据控制者授权他人使用数据和公开数据两种形式。数据利用权的法定配置包括为保护特定利益所必需和为促进数据流通所必需两种典型情形。
关键词:数据生产;数据流通;数据控制权;数据利用权;“数据二十条”
为推动数据基础制度建设,中共中央、国务院2022年12月印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”),提出了建立数据资源持有权、数据加工使用权、数据产品经营权分置的产权运行机制。产权分置意在强调数据要素应当尽量通过权利分置的形式流动起来,并非对数据确权直接作出法律安排。因此,数据产权分置的落地,仍需解决数据确权问题。
笔者认为,数据产权分置的实现,是数据从生产到流通的过程;相应地,数据确权也需要一种贯穿数据生产和流通的数据财产权益配置方案,该方案必须解决两个环节的问题:一是数据产权分置前数据财产权益的初始配置,即数据产生后由哪一主体初始地控制数据;二是数据产权分置如何运行,即数据可以何种法律依据和权利形式分置给其他数据需求者。为此,本文以数据生产和数据流通为分析框架,分别解决上述两个环节的数据财产权益配置问题,提出有利于数据产权分置运行的数据确权方案。 一、论述的前提:数据财产权益配置问题的廓清
目前,学界有关数据界权的讨论乃基于对数据权益的两种不同理解展开。第一种在广义的数据权益范畴内展开,数据权益是“数据活动中应受保护的利益”,包括数据财产权益、个人信息权益、公共利益、国家安全等,数据界权的目的是如何有序实现多种正当利益主张的并行保护。此种界权的代表性学说为“权利束”理论,该理论将数据活动中各种权利主张并存的状态形象地描述为“权利束”,为多元数据权益保护提供了包容的分析框架。第二种在狭义的数据财产权益范畴内展开,数据界权的问题从“数据活动中哪些权益应受保护”限缩至“谁享有对数据的控制和利用权益”,个人信息权益保护等问题则通常被置于界权范畴的外围。显然,有必要廓清本文的研究范畴和界权安排,以避免讨论的失焦。
本文所讨论的数据权益,是数据之上直接承载的权益,主要体现为一种财产权益;相应地,数据界权仅解决数据财产权益的配置问题。具体而言,客体方面,作为数据财产权益客体的数据是有使用价值、能够产生经济效益和社会效益的数据,其具有可投入生产关系的资源属性和要素属性。内容方面,数据财产权益包括对数据的持有、加工、使用、经营等权能;权益实现方面,数据财产权益主体既可以直接控制和利用数据,也可以通过请求数据控制者提供数据或允许其访问数据实现权益。基于此,本文所述的数据财产权益配置问题,是狭义层面有关哪些主体、依何种法律依据、享有何种数据财产权益的法律安排。
在进一步展开研究前,还有必要厘清两种典型的权益保护与数据权益配置的关系:其一是个人信息权益,其二是其他人身、财产权益以及公共利益、国家利益(以下称“其他利益”)。这两种权益保护与数据权益配置可呈现两种关联。第一种是外部关联,即两种权益主张不影响数据权益配置本身,只影响数据处理者取得或行使数据权益的合法性,相关利益主体不参与数据权益的配置。这种情形不在本文的讨论范围内。就个人信息权益而言,其中的知情权、决定权、删除权、更正权、补充权以及个人信息受必要措施保护的权利,对应数据处理者的告知义务、取得同意义务、停止处理义务以及更正、补充、删除、销毁义务,而非向个人提供数据的义务。个人不依上述权益主张取得数据权益;上述权益主张未受保护,动摇的是处理者取得和行使数据权益的正当性,处理者面临的是删除、销毁数据以及丧失数据控制之结果,而非将数据权益归还给个人的义务。就其他利益而言,不受数据权益行使行为侵害的利益主张是一种消极权利,而非参与数据权益配置的积极权利,其属于数据权益的行使边界问题,不影响数据权益配置。第二种是内部关联,即两种权益主张影响数据权益的配置,因而应纳入数据权益配置问题的范畴内分析,在本文的讨论范围内。当个人信息权益或者其他利益指向数据处理者提供数据的义务时,上述权益保护构成数据权益配置的依据。就个人信息权益而言,其中的查阅权、复制权要求处理者提供个人数据,数据可携权要求处理者向个人指定的其他处理者提供个人数据转移路径,这些权益使个人或其指定的处理者可获取和利用数据,从而产生数据权益配置问题。就其他利益而言,若其保护以数据处理者提供数据、允许他人访问数据为必要,则也可能发生数据权益配置问题。
二、数据财产权益配置的“生产—流通”框架
有关数据界权,我国学界主要存在赋权进路和关系进路两种模式,但二者各偏重于数据要素生命周期的控制端与流通端,未能统筹好数据流通与利用中的秩序目标与效率目标。为此,本文提出数据财产权益配置的第三条进路,即以数据生产和流通为框架,同时展开数据生产环节的数据控制权配置和数据流通环节的数据利用权配置。
(一)数据界权的赋权进路与关系进路
学界围绕数据界权方案的争议总体存在赋权进路和关系进路两个阵营。前者主张在数据控制端进行初始的数据界权,对合法的数据控制事实提供较强的排他性保护;后者则反对就数据控制事实进行定型化确权,主张在主体间的不同利益互动关系中进行具体的界权安排,对数据控制事实提供弱保护。前者关注初始的数据控制秩序及其稳定性,而后者则退守至具体的数据利用关系中,仅对数据控制事实提供例外保护。两种界权进路的核心分歧在于,何种数据界权秩序更有利于数据流通和利用。赋权进路将确权不清视作数据流通受阻的主要原因,确信稳定的数据控制秩序可激励数据流通与利用;而关系进路则认为界权不清并非数据流通不足的症结所在,相反,型构确定的权益秩序、对数据权益提供类似传统财产权的排他性保护,还会增加数据流通障碍。
从既有的学术交锋来看,上述两种进路均存在偏颇。赋权进路侧重初始界权对数据流通效率的正效应,倾向于设计明确、简洁的数据控制秩序。然而,在应对数据控制和数据流通间的现实张力方面,赋权进路弹性不足,未能就如何打破数据流通僵化的局面提供有效规则。相反,关系进路强调初始界权对数据流通的负效应,倾向于通过弱化数据控制保护为数据需求者获取和利用数据争取更多的合法空间。然而,此种拒绝为数据控制提供稳定保护的界权安排,恐酿成失序的数据争夺,变相促使丛林规则成为数据流通中的首要规则。
数据界权的僵硬秩序和无秩序最终都会将数据流通和利用引入无效率的境地。因此,既不能将法律的形式秩序等同于有效率的秩序,误认为秩序愈简明则愈有效率;也不能视任何追求稳定秩序的努力为效率之枷锁。数据权益的配置必须在稳定与灵活、动态与静态之间寻求平衡。
(二)以数据“生产—流通”为框架的数据财产权益配置
数据权益配置的目标是促进数据以一种有序且有效的方式流动起来。数据流通和利用的有序,同时要求数据控制有序、数据流通有序;数据流通和利用的有效,则同时要求数据供给激励充分、合理的数据利用需求得到满足;有序与有效之间,互为条件,任一目标不能实现,均会导致另一目标的落空。单从控制端抑或流通端确权,均无法统筹数据流通和利用中的有序与有效目标,数据权益配置应采第三条进路,即以数据“生产—流通”为框架,构建双层的数据财产权益配置方案。
1.数据财产权益双层配置的必要性
首先,在数据控制端进行数据控制权配置具有必要性。数据作为一种排他性强、竞争性弱的资源,正陷入资源利用不足的反公地悲剧,表现为数据利用不充分,且难以相互整合以释放新的数据红利。反公地悲剧发生的原因之一,是数据控制端的确权规则缺位。由于数据控制的法律保护尚不具有确定性,数据流通缺乏互信机制和法律保障,数据控制者易对需求者采取防御姿态。确认和保护数据的事实控制状态,则可在一定程度上弥合信任鸿沟,激励数据控制者将数据投入流通。若法律疏于承认和保护数据控制,数据利用还可能陷入利用失序的公地悲剧并进一步抑制数据供给,引发更大的数据安全风险,失序的数据利用最终也将以无效率而告终。因此,数据控制端的界权可通过保障控制秩序、激励数据供给的方式促进数据流通与利用的有序与有效。
其次,在数据流通端进行数据利用权的配置亦有必要性。数据控制端的确权尚不足以应对数据流通效率偏低的问题。一方面,由于担忧数据泄露、数据价值降低、竞争优势丧失等风险,数据控制者仍倾向于将数据自留而非投入流通领域,单靠初始界权无法打破此种僵局。另一方面,初始界权不能为需求者利用数据提供制度空间。当需求者获取数据的正当需求无从满足时,其客观上更可能采取侵入性手段获取数据。可见,单有数据控制端的确权,不仅难以改善数据流通效率低迷之现状,且数据控制秩序本身也难以得到维系。在数据流通端进行数据权益配置,为需求者有条件地配置数据利用权,则可疏通数据流转的堵点,引导需求者合法获取数据,同样有利于促进数据流通和利用的有序与有效。
2.数据财产权益配置的“生产—流通”框架
整合控制端和流通端的数据权益配置,可以数据“生产—流通”作为理论与制度框架。该框架既可覆盖数据要素的全生命周期,也契合数据财产权益配置的制度目标。周延性方面,从数据价值产生到释放的整个过程,数据要素经历了生产、流通、利用三个阶段,这一分析框架可完整覆盖这一周期。数据生产、数据流通中均存在数据权益的配置问题。在数据生产环节,需确定产生的数据由谁初始控制;在数据流通环节,需确定其他需求者取得和利用数据的法律依据。若数据利用同时形成衍生数据或数据产品(以下统称“数据产品”),有关数据产品之权益配置,则可纳入数据生产环节的权益配置中解决。合目的性方面,这一分析框架可形成制度合力,实现数据流通与利用中有序与有效的互促。申言之,数据生产环节的确权有助于明确数据控制的基本秩序,并激励数据供给;数据流通环节的确权则可打破数据控制僵局、满足合理的数据利用需求,并引导数据利用行为有序开展。
数据“生产—流通”作为数据权益配置框架的科学性,还在于其契合“数据二十条”有关数据产权分置的制度构想。数据产权分置的实现既要保障相关数据处理者合法持有、加工使用和经营数据的权益,又要促进数据加工使用权和经营权以单独或者组合的形式分置给数据需求者。因此,数据产权分置运行同样面临双层的权益配置问题,并可在数据“生产—流通”框架中解决:在数据生产环节,解决数据控制权的确权问题,即明确数据产生后、分置前由谁控制和持有;在数据流通环节,解决数据加工使用权、数据产品经营权等数据权益如何分置的问题,即明确数据加工使用权、经营权的取得依据和条件。
三、数据生产环节的数据控制权配置
在数据生产环节确认数据的初始归属,以数据控制权的法律配置为实现形式。目前,学界在“谁享有初始的数据控制权”以及“享有何种属性的数据控制权”问题上,争议颇多。具体而言,数据控制权主体方面,存在国家所有说、公众所有说、用户所有说、数据生产者所有说、用户与数据生产者(平台企业或者政府)共有说等,也有学者在数据类型化基础上分别确定数据控制权主体。数据控制权属性方面,有观点仅认可有限的数据控制权,有观点则认为数据之上应当设置一般性的数据控制权。基于上述争论,有必要澄清数据控制权的配置依据及权利属性。
(一)数据控制权的配置依据:数据生产
数据控制权配置首先要确定控制权主体。前述有关数据控制者的争议,缘于配置依据的不同。具体而言,有以是否从事数据生产活动作为配置依据者,如数据生产者所有说。有径以促进数据流通与利用、防止私有权利过度扩张的利益衡量作为配置依据者,如公众所有说。还有以是否对数据价值形成作出“贡献”作为配置依据者。在以“贡献”作为配置依据的观点中,基于对“贡献”的不同理解,又有不同观点。有以个人作为信息来源的“贡献”、个人进行网络活动为数据提供原材料的“贡献”为依据,主张用户所有说;有以数据设备生产商向数据生产者提供(出卖或出租)设备的“贡献”为依据,主张将数据设备生产商纳入数据控制权主体范畴。上述观点中,以利益衡量作为数据控制权配置依据的公众所有说,既不符合“数据二十条”保护数据处理者劳动和要素贡献的政策指引,也缺乏严谨的法理支撑。而以各种“贡献”作为配置依据的主张,实则将有利于数据生产的因素一概混同为可作为数据控制权配置依据的要素贡献,导致配置依据的泛化,可能造成多个主体分割数据控制权、数据流通愈加受限的局面。应当认为,数据是数据生产的结果,数据生产是数据价值形成的核心机制,数据控制权配置应以数据生产活动为客观依据,即谁生产了数据,谁就享有数据控制权。具体理由分述如下。
首先,数据及其价值的形成,皆源于数据生产。从数据的形成来看,数据并非天然存在,其形成以数据生产为必要。在数据生产之前,诸多信息处于自然状态,是事物存在的自身显示,只有经数据生产,这些信息才得以具备客观的形式要素,成为数据。例如,个人消费时会自在地显示信息,但消费行为本身并不产生数据,只有这些信息被处理者记录,消费行为数据才得以产生。数据生产不仅使数据自身成为独立于信息的客观存在,也使数据成为生产要素。在前数据时代,大量信息未能得到认知和利用;直至数据技术取得突破,数据生产将信息转化为数据,大体量、多样化的数据聚集和基于人工智能算法的数据利用才得以实现,数据也才成为包含大量可用信息的重要资源。因此,表面上数据生产只是赋予信息以数据形式,但正是这种形式上的升级塑造了数据的资源属性。无数据生产,人类的信息挖掘和利用能力难以突破传统局限,数据也难以成为生产要素。这也解释了,为什么有关个人及其行为的信息、有关自然活动的信息在漫长历史中都与个人及其行为、自然界共存,但只有在数据时代,才成为价值堪比石油的经济资源。
其次,以数据生产活动为数据控制权的配置依据,兼具伦理和经济上的正当性。由数据生产者取得数据控制权,其理论依据为劳动赋权理论。该理论由洛克首创,主张以劳动作为个人取得财产权的正当基础,当个人通过劳动使某物脱离自然状态时,就依其劳动取得了对该物的财产权。洛克将个人对自身享有的所有权,延伸至个人对其自身的劳动和劳动所获得的财产,赋予个人财产权以人格尊严层面的伦理意义。
以劳动赋权理论作为数据生产者取得数据控制权的理论依据,其正当性包含伦理和经济两个方面。伦理正当性方面,劳动赋权理论可追溯至对人格尊严和自由的认可与保护。财产权是个人赖以生存的物质基础,而劳动赋权以人的劳动作为财产权的配置依据,是对人的价值的根本肯认。正因如此,劳动赋权获得普遍的道德认同,几乎成为不言自明的公理,也成为“许多人心中的一种深刻信仰”。经济正当性方面,一是劳动赋权有激励生产的作用。劳动是人类社会发展进步的基础性活动,肯定劳动的价值,允许个人通过劳动获得财产,是激励劳动生产、促进社会发展的必要途径。二是劳动赋权有快速明确财产秩序的作用。由生产者取得初始的财产权,通常既不需要他人同意,也不强行改变已经存在的财产控制秩序,可避免激化个人间的财产争夺,快速确定财产权利人,形成稳定的财产配置秩序。正因如此,劳动赋权理论在现代财产权配置上仍然占据主要地位。
需要澄清的是,个人能否以其作为数据来源者的“贡献”为依据,取得数据控制权。不可否认,个人信息内容是数据价值形成的重要基础,但数据控制权仍应归属于数据生产者。原因在于,在合法的数据生产中,数据生产者基于个人同意已取得了利用数据内容(个人信息)的权利,相应地,个人在同意数据处理时即已让渡了个人信息的利用价值。概言之,个人同意的效力射程及于为实现处理目的的全部处理活动,既包括记录信息(采集数据),也包括识别、分析和利用信息(分析和利用数据)。因此,数据生产者已经合法取得了数据内容的价值,除非另有约定(如个人作出同意时以参与数据控制权配置为条件),否则数据生产者享有全部的数据控制权。当然,否认个人作为个人信息主体享有数据控制权,不等于否认个人信息权益,数据生产者须始终遵循信息处理规则、履行保护义务。同时,相较于在数据控制权配置中基于公平理念赋予个人一定的数据控制权,通过科学的再分配制度确保个人以零成本或低成本的方式享受更多数字红利,更有利于同时实现促进数据流通和利用、保障社会公平正义这两项目标。
(二)数据生产的界分
有关数据生产的界定,并未受到充分关注。从既有研究来看,由于尚未厘清数据生产与其他数据处理、非数据处理(如生产数据终端设备、App开发等)之间的关系,尚未厘清数据生产环节与其他投入性生产要素的生产环节(如数据设备的生产过程)之间的界限,尚未厘清数据生产者与其他产品的生产者、销售者、原权利人之间的界限,学界存在泛化数据生产及数据生产者的现象,数据生产作为控制权的配置依据依然缺乏可操作性。为此,有必要澄清数据生产的界定标准,为控制权主体的确定提供依据。
1.数据生产的内涵
同其他生产一样,数据生产同样也是对投入的各种生产要素进行组合以生产出产品的过程。数据生产包含过程和结果两个部分。从过程来看,数据生产是指数据生产者投入生产要素以获得数据的生产环节;从结果来看,数据生产则是产出数据的生产活动。因此,数据生产可以界定为,数据生产者投入生产要素、产出数据的活动。为方便论述,后文将数据生产活动中投入的一切生产要素称为“投入性生产要素”。有关数据生产的具体界定分述如下。
首先,产出数据的活动,是数据生产。数据生产的本质是将自然状态的信息转化为数据形式的信息的过程。因此,从结果观察,数据生产必须是产生了新的数据形式。直接产生数据的数据生产,通常表现为数据记录、汇聚、加工、分析等。数据记录将信息转化为数据,数据汇聚产生独立于单体数据的数据集合(抑或大数据),数据加工和分析则产生不同于原始数据的数据产品。数据处理中,仅从事数据存储、数据传输但不产生新数据的,不属于数据生产。
其次,为生产数据投入生产要素的活动,亦属数据生产。数据生产环节描述的是从投入到产出的整个过程,产出数据产品仅仅是数据生产的结果形态。数据生产者在产出数据之前,需投入充足的资本、土地、劳动、技术等生产要素,以确保数据生产顺利开展。例如,企业在数据生产中,需购买或租用办公场所、雇佣员工、购买数据存储设备和防火墙技术、开发应用软件、通过推广吸引用户和流量等。这些活动是数据生产环节的必要阶段,亦属数据生产。
最后,数据生产者需对投入的生产要素享有所有权或者用益权,即只有投入性生产要素的所有权人或用益权人才具有数据生产者地位,进而成为数据控制权主体。未经原权利人同意将他人财产投入数据生产的,构成对他人财产权的侵犯。所有权和用益权的具体取得方式包括原始取得和基于法律行为的继受取得,前者如数据生产者自行生产所需设备、自行开发和铺设应用终端;后者如与办公大楼所有者签订租赁合同、与硬件存储设备生产商签订买卖合同、与数据处理服务提供者签订技术服务合同等。
2.数据生产与基于取得投入性生产要素发生的法律关系之区分
若数据生产者需先从原权利人处取得投入性生产要素的所有权或用益权,再将其投入数据生产,则在数据生产环节之外,还存在两个环节:投入性生产要素的生产、数据生产者为取得投入性生产要素与原权利人发生的法律关系。三者存在时空伴随,容易引发数据生产、数据生产者认定的混乱,需注意区分。
为简化论述,此处将投入性生产要素的生产环节设为A,投入性生产要素设为a;将数据生产者为获取生产要素与原权利人发生的法律关系设为B;将数据生产环节设为C,数据生产产出的数据为c。A(a)、B、C(c)的关联为:A产出a,数据生产者经B合法取得a的所有权或用益权,再投入C,产出c,即A(a)→B→C(c)。显然,尽管A、B、C存在一定的外部关联,但A、B并非C的组成部分,亦不能将A、B和C视为同一法律关系。亦即,不应将数据生产与投入性生产要素的生产环节、数据生产者为获取投入性生产要素与原权利人发生的法律关系混为一谈;更不应将投入性生产要素的生产者、原权利人视为数据生产者。原因在于,当数据生产者经由买卖、租赁或者其他法律关系获得生产要素的所有权或用益权时,投入性生产要素的生产者、原权利人已经通过转让所有权、用益权获得收益,投入性生产要素转入新的数据生产环节产生的收益应由数据生产者作为投入性生产要素的现权利人取得。当然,投入性生产要素的原权利人与数据生产者另有约定的除外。
区分数据生产环节与投入性生产要素的生产环节、基于取得投入性生产要素与原权利人发生的法律关系,有助于厘清数据生产和非数据生产,避免对数据控制权主体的泛化认定。具体而言,硬件设备的生产商、销售商、租赁商等向数据生产者提供设备,以及数据服务提供者基于技术服务合同为数据生产者提供数据采集、分析、存储服务,均非数据生产,不能依此取得数据控制权。设备、技术服务提供者即使因提供设备、技术服务之必要而在事实上持有数据,也不享有数据控制权,其对数据的处理以履行合同义务为限。
3.不同数据生产环节之间的区分
在复杂的数据经济生态中,还要区分不同数据的生产环节,避免混同此数据生产环节与彼数据生产环节。数据生产者各自独立进行数据生产,相互之间不发生法律关系时,各数据生产环节间界限明确,如各平台企业在平台经营过程中进行的数据生产,依平台经营活动的独立外观而有清晰界分。然而,数据交易情形下,当交易双方都从事数据生产活动时,不同数据的生产环节易发生关联,需注意区分。具体而言,在买卖型数据交易中,数据生产环节的区分较为简单。卖方将其生产的数据提供给买方,买方将取得的数据投入自身生产活动中并产生衍生数据。此时,卖方是原始数据的生产者,而交易相对人是衍生数据的生产者,卖方将原始数据控制权转让给买方后,并未参与衍生数据的生产,不享有对衍生数据的控制权。在服务提供型数据交易中,提供者和接受者的数据生产环节则易发生混淆。以云服务商与开发者达成的开发者协议为例,云服务商为开发者提供信息推送服务,开发者则嵌入云服务平台向其用户推送应用通知和消息。在开发者协议履行过程中,存在两个并行的数据生产活动:云服务商生产的是平台运营数据、用户在平台上的行为数据;开发者则在推送消息、吸引用户时生产了用户使用其应用的行为数据。云服务商与开发者的数据生产环节虽并行发生,但二者仅就各自生产的数据享有数据控制权。云服务商为提供服务使用开发者的用户数据,需获得开发者的授权;同样,开发者使用云服务平台的用户数据和运营数据,也以取得云服务商授权为前提。
4.数据生产与用户数字劳动的区分
还需要探讨的是,网络用户浏览网页、观看视频、在网络平台发布信息等行为,是否属于数据生产,数据是否可以作为用户和数据生产者“合作生产”的成果?肯定观点的依据可追溯至传播政治经济学的受众劳动理论和数字劳动理论。梳理这两种理论的意涵,有助于判定用户网络行为是否为数据生产活动。
有关受众劳动的研究,起源于传播政治经济学代表人物达拉斯·斯麦兹。斯麦兹在其《传播:西方马克思主义的盲点》一文中,概括了受众(即媒介用户)、媒介和广告商之间的经济关系,并揭示了受众商品化的过程。受众商品理论认为,受众观看媒介内容的行为是一种生产性劳动,产生受众注意力和购买需求,受众注意力是媒介和受众之间流通的商品,受众的购买需求则是受众与广告商之间流通的商品,而受众本身又是媒介与广告商之间流通的商品,即媒介将受众集合打包出售给广告商。随着数字媒介取代传统媒介,数字劳动理论逐渐兴起,其扩展了受众劳动理论的视野,进一步关注受众劳动与媒体资本积累之间的关系。数字劳动理论认为,受众的网络行为、社交媒体活动是一种数字劳动,受众在数字媒介时代从消费者变成产销一体的“数字劳工”,同时是内容的生产者和消费者。媒体资本主要是由数字劳动的剩余价值积累形成。
数字劳动理论是传播政治经济学者对媒体经济新景观的深刻洞察,其将媒介和受众一并纳入生产环节,主张媒介介入生活的过程就是受众被迫从事数字劳动的过程。然而,其所持的被动受众观和对劳动概念的泛化,也饱受争议。一方面,由于强调对数字媒介经济形态的批判,数字劳动理论始终将受众置于被迫劳动的地位,忽视受众的主观能动性和媒介在维系社交关系、参与文化建设、表达诉求等方面给受众带来的积极作用。另一方面,数字劳动理论泛化了劳动概念,将受众的不少休闲、娱乐等消费活动混同为生产性劳动。
我国学界通常在多种意义上探讨数字劳动。第一种是将数字劳动理解为网络用户进行内容生产的活动;第二种是将数字劳动理解为网络用户使用互联网平台所提供的商品和服务的行为。除此之外,数字经济发展中还出现了一种新的劳动形态,即零工劳动。上述三种围绕数字经济产生的劳动形态中,零工劳动是劳动者在零工经济下提供的临时性的、任务化的劳动,其特殊性体现在用工关系的非继续性、非从属性以及由此产生的劳动者权益保护问题。前两种理解则与传播政治经济学语境中的数字劳动含义基本一致,也是本文要与数据生产相区分的劳动形态。
应当认为,无论是网络用户使用互联网产品或服务的活动,还是用户进行内容生产的活动,均不属于数据生产。首先,用户进行的非内容生产的网络活动,实际上是一种消费活动,不属于生产活动,更不属于数据生产。网络活动本身只显现信息,而网络活动信息转变为数据,是网络平台通过记录、采集、汇聚等一系列数据生产活动实现的。其次,用户进行内容生产的网络活动也不属于数据生产。此种数字劳动产生的内容还需经过数据生产,才能转化为数据。数字劳动产生的信息内容是作为生产资料进入数据生产领域的。生产内容的数字劳动只产生数据生产的对象,不产生数据,其并非数据生产本身。因此,数字劳动和数据生产的关系应当为,数字劳动呈现信息或者生产了信息内容,数据生产者经用户同意后开启数据生产环节,而用户并未从事数据生产,也不参与数据控制权的配置。
(三)一般性的数据控制权
就数据控制权的属性而言,学界不少观点认为,为兼顾其他利益保护、防止数据流通受阻,仅能赋予数据生产者有限的数据控制权。有限的数据控制权主张,否认数据生产者对其数据享有一般性的控制权益,仅认可特殊数据之上的数据控制权。数据生产者是否享有受保护的数据控制权,取决于数据是否落入商业秘密保护、反不正当竞争保护、合同保护、知识产权保护、数据库权利保护的范畴。我国司法实践对数据控制权的保护,也多采有限控制权模式,仅在涉案数据以及非法获取数据的行为满足相应要件时,采取商业秘密、反不正当竞争等保护模式。
1.一般性的数据控制权的正当性
本文认为,应当赋予数据生产者一般性的数据控制权。此处的“一般”,是指以数据生产为一般性依据,承认数据生产者就其生产的所有数据享有控制权,不论该数据为个人数据抑或非个人数据、原始数据抑或衍生数据、公开数据抑或非公开数据,理由包括以下几个方面。一是,理论依据方面,数据生产作为数据控制权的配置依据具有正当性,数据处理者从事数据生产应依其劳动和投入的要素对其生产的数据享有控制权。二是,制度效益方面,确立一般性的数据控制权,可以形成明确的数据初始权益配置格局,确保数据控制和利用秩序具有安定的秩序基点,防止数据控制和利用秩序在一开始就受到数据类型、处理场景等动态因素的过度干扰。同时,生产环节的一般数据控制权可与流通环节的数据利用权形成制度合力,防止数据控制权刚性过甚、阻碍数据流通。概言之,在确立初始权益配置的一般秩序基础上,将与数据类型、处理场景有关的动态利益衡量以及打破数据控制僵局的价值考量置于流通环节的数据利用权配置之中,可形成兼顾动态与静态、安全与效率的权益配置体系。
2.数据控制权的内容
权利主体方面,数据控制权主体为数据生产者或其受让者(下文统称为数据控制者)。权利分类方面,依据数据生产者的不同,数据控制权主要包括企业数据控制权和公共数据控制权。前者是指企业对其生产的数据享有的控制权;后者则指国家对国家机关、公共部门在履行职责、提供公共服务过程中产生的数据享有的控制权。除此之外,个人具备数据生产能力的,同样可作为数据生产者对其生产的数据享有控制权。由于个人数据是基于数据内容的可识别性特征而非数据生产者的特征对数据进行的分类,因此个人数据控制权由其生产者而非来源者取得。当然,就个人数据而言,数据生产者行使数据控制权,须尊重和保护个人信息权益。
从权能角度分析,数据控制权既包括消极权能,即数据控制者可排除他人非法干涉、破坏数据控制,排除他人非法侵入数据控制系统等;还包括积极权能,即数据控制者可通过加工、使用、经营等方式,积极实现对数据的控制。数据控制权的具体内容包括对数据的持有、使用、收益和处分。持有,即数据控制者可自主持有其生产的数据,其强调控制权主体可在事实上自主控制其数据而不受非法干涉和破坏的权益。采用“持有”而非“占有”,意在遵循“数据二十条”的政策意旨,淡化数据所有权观念,强调对数据控制秩序的保护。对数据的持有有别于对有体物的直接占有,数据持有需借助媒介完成,如控制数据的存储硬盘、数据接口、数据所处的系统架构等,相应地,侵害数据的持有也具体表现为侵占硬盘、盗用数据接口、侵入数据控制系统、破坏数据架构等。使用,即数据控制者可自行使用其数据的权能,使用方式既可以是数据控制者直接分析、加工和使用数据,也可以是数据控制者为满足自己的使用利益委托他人分析、加工和使用数据。处分,即数据控制者处分其数据的权能,具体的处分方式包括转让数据控制权,许可数据需求者加工使用、经营其数据,以及删除或销毁数据等。收益,即数据控制者有权享有加工使用、经营数据产生的收益。
从权利属性分析,一方面,数据控制权为数据控制者的数据控制提供确定的法律保护,其保护力相比有限控制权而言,具有在先的确定性和范围上的普遍性,即数据控制权确定地保护数据控制者对其数据的合法控制,不享有数据利用权的主体不能破坏此种控制状态,对控制权的保护也不以其落入商业秘密保护、反不正当竞争等已有规制路径为必要。另一方面,数据控制权尽管包含前述四种权能,但其在排他性特征上,与所有权和知识产权不同。数据控制权的排他性弱于所有权,数据控制权受限于数据利用权,而数据利用权既包括约定的数据利用权,也包括法定的数据利用权。当需求者行使法定数据利用权时,数据控制者有义务提供数据或允许需求者访问和利用数据。此外,数据控制权对数据控制的保护也不同于知识产权。知识产权以激励创新为目的,其为权利人提供针对信息的排他保护,是一种内容控制(或者说信息控制)。而数据控制权不保护控制者对信息内容的控制,控制者无权阻止他人自行生产并控制与其数据内容相同的数据;不享有数据利用权的数据需求者只是不能以侵害数据控制状态的方式获取数据及其包含的信息,但可通过自行生产数据等方式获取和利用内容相同的数据。例如,不同的数据生产者均可通过数据生产活动获取以用户身份信息、消费偏好信息为内容的数据。因此,尽管知识产权存在合理使用、法定许可等弱化其内容排他控制的制度设计,但此种内容控制式保护的强度仍然远甚于数据控制式保护,一旦套用至数据控制权保护之上,则不仅有碍数据流通,还为内容相同的数据生产制造了法律障碍。
此外,还有必要从法律视角解读“数据二十条”中的数据资源持有权与数据加工使用权、数据产品经营权以及三者与数据控制权的关系。首先,数据资源持有权、数据加工使用权和数据产品经营权并非基于客体区分建立的权利体系。上述三种权利是政策制定者基于数据在生产关系中从数据资源到数据要素再到数据产品的形态演变提出的产权分置运行结构,其完整地描绘了数据要素市场化所追求的数据价值链:数据控制者持有数据资源数据作为要素供其他需求者加工使用将加工使用形成的数据产品用于经营活动。然而,数据资源、数据要素和数据产品在多个接续互联的数据价值链中可以相互转化,数据资源可能是上一数据价值链的数据产品,数据产品又可以作为下一价值链的数据资源和数据要素,数据资源和数据产品则均可作为数据要素供其他需求者加工使用。因此,从更广泛的数据实践观察,某一数据可能同时处在不同价值链上,分别以数据资源、数据要素、数据产品的形式存在,并承载不同主体的持有权、加工使用权和经营权。若将持有权、加工使用权和经营权理解为不同客体之上的权利,则此种基于数据形态区分构建的权利体系无益于数据实践的法律分析。其次,在数据产权尚未发生分置时,数据资源持有权、数据加工使用权和数据产品经营权是数据控制权的具体权能。数据资源持有权是数据控制者对其数据进行自主控制而不受非法干涉和破坏的权益,属于数据控制权的持有权能。数据加工使用权则是数据控制者自行加工使用数据的权益,属于数据控制权的使用权能。数据经营权则是数据控制者许可其他数据需求者加工使用、经营其数据的权利,属于数据控制权的处分权能。就三项权能的关系来看,持有权、加工使用权、经营权并立,持有权是“数据处理者对依法依规持有的数据进行自主管控的权益”,加工使用权和经营权则分别保护数据控制者自行加工使用数据和许可他人利用数据的权益。三项权能分别着力于维护数据控制秩序、保护数据的使用价值、保护数据的交换价值,是并立的关系。最后,数据产权分置实现时,数据加工使用权和数据经营权还可分置给数据需求者。在数据控制和持有仍受保护的前提下,数据控制者可授予数据需求者加工使用和经营其数据的权益,数据需求者依数据控制者的授权,取得加工使用权或经营权。此时,加工使用权和经营权都属于数据利用权,但在利用方式上存在一定区别。数据需求者的加工使用权是对数据直接进行加工和使用,其既可能产生新的数据产品,也可能仅仅是对数据的消费(如将数据直接用于商业决策)。数据需求者的经营权则是基于授权范围内的数据开展连续的、有计划的经营性活动,如进行买卖型数据交易、服务型数据交易等。数据经营活动往往以数据的加工使用为前提,但数据的加工使用则不一定包含数据经营。因此,数据需求者仅依授权取得加工使用权的,通常不享有数据经营权,无权展开数据经营活动。
四、数据流通环节的数据利用权配置
从数据价值释放的全过程和数据产权分置的政策目的来看,数据不会也不应只停留在“原地”,控制权配置只是数据流通的起点。数据流通的具体方式有两种:一是数据控制权的转让,二是数据利用权(包括但不限于以加工使用、经营等方式利用数据)的分置。数据控制权转让发生于数据流通领域,数据受让者取得数据控制者的法律地位,继而可以成为新的数据流通和利用链的起点。数据利用权主体则享有依约定或者法律规定取得、利用数据的权利,在利用目的、方式、范围、期限以及数据处分等方面受到约定或者法定的限制。
(一)数据利用权的意定配置
数据利用权的配置依据之一是数据控制者依其意思为数据需求者创设数据利用权,此即意定的数据利用权。基于数据的可复制性和非消耗性,数据控制者为数据需求者创设数据利用权,并不妨碍其继续享有数据控制权,除非二者之间存在有关数据控制者利用数据的限制性约定。利用权的内容由双方约定,包括但不限于利用形式(加工、使用、经营等)、利用的数据范围、利用目的、利用对价等。
数据利用权的意定创设要求数据控制者作出允许数据需求者利用其数据的意思表示。以此为判定标准,数据利用权意定配置的常见形式为授权他人利用数据和公开数据。前者指数据控制者授予特定的数据需求者数据利用权,后者指数据控制者直接向公众公开其数据,不特定第三人均可依此取得公开数据的利用权。
1.授权形式的利用权配置
数据需求者依数据控制者的授权可取得加工使用数据、经营数据或以其他方式利用数据的权利,数据利用的范围、方式、目的、场景等以具体授权为依据。从实践来看,数据控制者通常经以下方式授予数据需求者利用权:一是数据控制者与数据需求者直接签订授权协议,如数据控制者授权需求者访问其API接口;二是以数据交易平台为中介的授权,即数据交易平台作为中介,促成数据利用协议的达成,并为数据流通提供场所。
2.公开形式的利用权配置
数据控制者自主公开数据的,应推定含有允许他人访问、获取和利用数据的意思。“公开”描述的是不特定的第三人均可获取数据的状态,由此区别于针对特定需求者的授权形式。
公开数据不同于公开信息。公开信息的客体仅限于信息,不涉及作为信息载体的数据,不导致数据的公开。例如,用户在社交平台发布其个人信息,平台即时记录生产出对应的数据,用户发布信息产生个人信息公开的法律效果,但记录该信息的数据则不因信息公开而公开,数据仍处于平台控制之下。原因在于,个人信息主体不享有数据控制权,数据公开只以数据控制者公开数据为依据。在信息公开、数据不公开的场景下,其他处理者可依个人信息保护法第13条对公开信息进行新的数据生产(记录和收集等),并可豁免个人同意,但不能以数据公开为由侵入数据控制者的数据控制系统获取数据。
数据公开的判定,以数据控制权主体明确公开数据的访问和获取路径为必要。相应地,公开数据可通过公开路径直接获取,无需再向控制者申请。权利限制方面,数据访问和获取只能依公开路径进行,若数据控制权主体在公开数据时对数据利用的目的、方式等作出限制,数据利用权的行使亦应以此为限。
实践中,公共数据和企业数据公开均有所发展。就公共数据而言,我国大部分省市已通过数据开放平台向社会公众提供无条件开放的公共数据。就企业数据而言,也有企业公开数据的访问和获取路径,将数据上传至不特定第三人均可登录的数据平台。如阿里集团打造的“天池数据集”,即是对外开放的科研数据平台。公开的数据既包括阿里巴巴在商业经营活动中取得的企业数据,如淘宝用户购物行为数据集、淘宝母婴购物数据集,又包括阿里巴巴在组织数据比赛中获取的训练数据和分析数据,如FashionAI—服饰属性标签识别数据集、O2O优惠券使用预测数据集。
为促进数据利用权的意定配置,推动数据要素的市场化配置,学界和实务界均已作出诸多有益探索,包括统一数据标准、完善数据定价机制;完善数据交易的合同法规则、建立数据产品登记制度;普及联邦学习、隐私计算、区块链和智能合约在数据共享和交易中的应用,以确保合同执行、减少交易欺诈、规范合同履行行为、控制安全风险等。此外,有关企业数据利用权的意定配置还可从以下三方面进行制度探索:一是创新激励机制,如在涉企奖励、补助政策及评优评先时,加大对企业数据开放、共享和交易积极性的考量权重,以鼓励企业数据的共享和交易。二是借鉴欧盟《数据管理法案》中的数据利他主义原则,引导企业主动共享数据。三是借鉴专利开放许可制度,建立数据开放许可制度。数据控制者在取得数据控制权并进行合规审查和登记后,可向国家相关主管部门提交开放数据许可声明,明确数据开放的费用及其计算标准、数据范围、使用期限等开放许可条件,并由主管部门在官方数据平台发布开放许可信息,以加快数据供需匹配,促成数据共享和交易。
(二)数据利用权的法定配置
数据利用权的法定配置,是指数据利用权的配置不依数据控制权主体的意思进行,而由法律强制配置的情形。数据利用权的法定配置,尽管在法律依据上独立于数据控制权,但其权利创设直接构成对数据控制者的限制;若法定利用权的创设无章可循,则数据控制权确权本身亦失去意义。因此,数据利用权的法定配置同样必须明确法律依据。
法定的数据利用权,即数据需求者有权在符合法定条件时获取和利用数据,数据控制者必需提供数据或者允许需求者访问数据。数据利用权的法定配置契合“数据二十条”的政策倾向。“数据二十条”明确提出,“建立健全基于法律规定或合同约定流转数据相关财产性权益的机制”,“承认和保护依照法律规定或合同约定获取的数据加工使用权”,“法律规定”被明确列为数据流转的依据。数据利用权的法定配置包括两种典型情形:一是在发生利益冲突时,为优先保护其他特定的利益,应允许需求者访问、获取和利用数据;二是为促进数据流通和利用,数据权益的配置也应适当向数据需求者倾斜。两种情形虽均涉及利益衡量,但有显著区别,不可一概而论。为保护特定利益的法定配置发生于数据控制权与特定利益存在冲突、特定利益应优先保护的情形中,利益衡量的客体是相互冲突的具体利益;为促进数据流通利用则是一种主动的、长远的利益衡量,不以具体的利益冲突为必要,利益衡量的客体是数据控制权与促进数据流通相关的公共福利,二者具有异质性,呈现具体利益与抽象利益、私主体利益与公共利益、现实利益与未来利益的关系。两种情形下的数据利用权法定配置存在差别,需区分讨论。
1.为保护特定利益所必需
为保护特定利益的法定配置以存在特定的利益冲突为前提。利益冲突是指,若数据控制者拒绝数据利用行为,则数据需求者的利益或公共利益、国家利益将遭到损害。此种利益冲突是确定的利益冲突,即两种利益存在现实的此消彼长的对立。基于此,有两种不属于特定利益冲突的情形需予以排除。一是,数据控制权与某种未来的、抽象的利益之间不存在现实的利益冲突,不满足为保护特定利益进行数据利用权法定配置的条件。二是,保护数据控制权将导致他人利益无法增加的,亦不属于利益冲突,原因在于,除法律明确规定外,私人无主动限制自己权利、增进他人利益之义务,数据控制权主体没有为其他企业经营发展而提供数据的义务。正因如此,为特定利益的法定数据利用权配置,不会产生以营利为目的的数据加工使用权、经营权的法定配置,数据控制权与他人的营利之间不构成满足法定条件的特定利益冲突。
发生利益冲突时,创设法定利用权应具有必要性与合比例性。必要性即利用数据必须是保护特定利益不受侵害的必要条件。判定时,需要考虑是否存在其他相同或相似的保护特定利益的方法。相同或相似的判断是指其他手段与获取数据在投入成本、保护效果上的相同或相似。若不存在其他保护手段,或其他保护手段成本更大,则赋予数据需求者数据利用权具有必要性。此外,法定利用权的创设必然构成对控制权的限制,因此还需确保优先保护的特定利益与数据控制者因此遭受的利益减损、数据安全风险等合比例。数据控制者的利益减损是指因数据利用行为而遭受的控制利益减损,其并非数据的物质性消耗,而是体现为数据控制失序风险、数据外泄风险、数据管理成本增加以及数据经济价值降低等。数据安全风险则是法定数据利用一旦引起数据泄露、滥用,可能造成的其他权益受侵害的风险。在合比例性的判定中,推翻合比例性不以数据控制者利益减损和数据安全风险增加同时发生为必要,只需二者之一处于高水平并足以消解保护特定利益的合理性时,即可认定不合比例。当然,数据需求者可通过支付一定费用、增强数据安全保障能力、控制所需数据范围等方式降低数据控制者的利益减损和数据安全风险,以满足合比例性要件。随着数据技术日臻成熟,数据“可用不可见”“可用不可得”成为现实,法定数据利用权配置的合比例性要件将更容易得到满足。
当需受保护的特定利益足够重要(如生命健康安全、较大数额的财产安全、公共卫生安全等),而数据利用造成的数据控制者利益减损和数据安全风险较小;或者需受保护的利益轻微,而数据利用却过分加重数据控制者的负担、加剧数据安全风险时,合比例性的判定较为简单。但由于需受保护的利益以及所利用的数据多种多样,合比例性的判定难以形成统一确定的规则,笔者就合比例性的判定提出以下具体的考量要素:于受保护的特定利益方面,需考量特定利益的类型、若不予保护将产生的损害后果;于数据控制权主体利益减损和数据安全风险方面,需具体考量所需数据的类型、范畴及敏感程度,利用次数、利用方式,数据需求者的安全保障能力等,以评估数据外泄风险、数据管理成本和数据安全风险。
2.为促进数据流通和利用所必需
促进数据流通和利用的目的包括但不限于促进经济发展和创新、建设数字政府和智慧城市、增加社会福利、争取国际竞争优势等,为论述简便,本文将其概括为增进公共福利。促进数据流通和利用可否作为设置法定数据利用权的正当依据,取决于数据控制者是否有义务增进与数据流通相关的公共福利。由于国家机关、公共管理和服务机构(以下简称“公共部门”)与企业等私主体在是否承担以及如何承担增进公共福利的义务方面存在显著差异,下文就公共数据和企业数据作区分探讨。
就公共数据而言,公共部门可代表国家行使数据控制权,有权通过意定方式授予其他主体数据利用权。与此同时,公共部门也负有向社会公众提供公共数据的法定义务。一方面,基于数据流通对国家和社会发展的积极作用,国家有义务以促进公共数据利用、实现公共福利最大化为目标,适当向社会公众开放公共数据。另一方面,公众亦享有获取和利用公共数据而免受公权力不当干预的权利,国家应尊重和保护公众取得和利用公共数据的权利,并为其实现创造必要条件。当然,并非所有公共数据均应向公众开放,公共部门需在保障国家安全、公共安全和个人安全的前提下,列明可开放(包括无条件开放和有条件开放)的公共数据清单。
公众法定公共数据利用权的创设和保护,涉及可获取和利用的数据范围、利用方式、利用条件等,具体应注重从以下方面建构规则。一是,公共部门应当明确可开放的公共数据范围,并尽可能积极运用脱敏、隐私计算等技术降低和消除数据开放风险,扩大可开放的公共数据范围,确保有价值的公共数据得到充分利用。二是,公共部门应以数据开放平台为支撑,实现可开放数据目录公开、开放条件公开、开放行为可追溯,为获取和利用公共数据提供便捷透明、安全可信的途径。三是,公共数据开放条件设置应遵循非歧视原则,平等地保护公众的公共数据利用权。获取公共数据的法定条件应公平地适用于数据需求者,公共部门不得拒绝其他数据需求者相同或相似的数据开放申请。四是,公共数据利用权法定配置应遵循禁止排他原则,对于应当向公众开放的公共数据,公共部门在通常情况下不得与任何数据需求者签订数据利用的排他性条款,以保护所有数据需求者的数据公平利用权,避免出现公共数据垄断。当然,为维护数据安全、公共利益、国家利益所必需的排他性授权除外。
就企业数据而言,企业数据利用权的法定创设构成对私人财产权的限制,但作为私主体的企业通常无增进公共福利的积极义务。创设法定的企业数据利用权,还需考虑其对数据要素供给的抑制作用。企业的数据生产多是受利益驱动的市场行为,其目的是在市场竞争中占据先发地位。一旦广泛赋予其他数据需求者法定的利用权,则数据生产无异于为人作嫁,企业生产数据资源的市场激励不复存在。因此,长远来看,对企业数据控制权提供适当的排他保护,有利于促进数据生产;相反,广泛创设企业数据法定利用权,反而会破坏数据要素生产、流通与利用的可持续性。
基于上述理由,企业数据利用权的法定创设须满足以下条件。第一,必需符合公共福利。立法者应判断企业数据利用权法定配置的社会效益,并将限制控制权产生的抑制效应纳入考量范围。第二,企业数据法定利用权必须通过法律创设。对私人财产权的积极限制属于法律保留领域,此处的“法律”仅指全国人大及其常委会制定颁布的法律。法院则无创设法定利用权的权力,不能仅基于“为促进数据流通”的考量,认可数据需求者的法定利用权。第三,企业数据法定利用权的创设应尽可能审慎克制,不应过度限制企业数据控制权。否则,不仅违背以数据控制权配置构建数据流通秩序基点的初衷,而且易产生额外的社会成本,或抑制数据供给,或诱使企业降低数据质量、给数据“加噪”。
从我国现有立法来看,可产生企业数据法定利用权的法律依据主要为个人信息保护法第45条为个人信息主体规定的个人信息查阅、复制权以及数据可携权。个人行使查阅、复制权,可获得相应的数据从而对其进行再利用,数据控制者则应当履行提供数据的义务。然而,由于个人依查阅、复制权获得的个人数据有限、资源属性很弱,加之个人在数据利用能力方面存在不足,查阅、复制权对数据利用的促进作用十分有限,其设权目的实质上与知情权、决定权等个人信息权益无异。此外,我国借鉴欧盟《通用数据保护条例》,赋予个人数据可携权,规定个人有权请求处理者将其个人信息转移至个人指定的其他处理者,数据控制者则有提供转移途径之义务。一方面,可携权强化个人对其信息的控制,以制衡不平等的信息处理关系,另一方面,可携权还可强化个人对其数据转移的控制,以促进个人数据的流通和利用,从而在功能上不同于其他个人信息权益。权利效力方面,对于数据控制者而言,若数据移转请求符合法定条件,处理者有义务向个人指定的处理者提供数据转移途径;对于个人信息主体而言,其不直接取得个人数据,而是指定个人数据的接收者;对于数据接收者而言,其是数据可携权的实际受益者,但不享有直接请求数据控制者移转数据的权利。由于数据可携权的落地可能引发诸多利益冲突,数据可携权在适用范围、行使条件、处理者义务设置等方面将受到各种利益衡量的制约,恐难成为促进个人数据流通的主要推动力。
从社会发展对企业数据再利用的现实需要来看,未来立法仍有必要增加企业数据利用权的法定配置情形。对于与公共福利密切相关、对企业数据利用需求极高的情形,未来立法可明确将其列举为企业数据法定利用权的取得事由,并辅以有关利用价格、利用限制等方面的规定。如可将保障国家安全、开展科学技术研究等公共目的和事业增加为企业数据利用权的法定配置事由。企业数据法定利用权的取得,应采申请审核制。法律应设置或指定专门审查机构,数据需求者向审查机构提交利用申请和符合法定条件的证明材料,审查机构审核并作出是否批准申请的决定。法定数据利用的申请、审核以及数据利用行为应在法定的数据平台进行,以确保企业数据法定利用权取得和行使的公平、透明、可追溯。数据需求者取得法定数据利用权的,通常应向数据控制者支付合理价款,并履行相应的数据安全保障义务。
除基于保护特定利益和促进数据流通两种利益考量外,法定数据利用权还可基于数据利用者主张数据利用权之外的其他权利或履行法定职责而产生。此时,取得和利用数据是数据利用者实现权利或履行职责的必要条件,提供数据、允许数据访问则成为数据控制者的义务。例如,公安机关为侦查经济犯罪,依法享有调取网络服务提供者数据的权利。
余论:基于数据权益双层配置的数据权益保护体系
本文提出的数据权益配置体系,不仅可全面清晰地安排数据生产环节和流通环节的权益配置格局,而且为数据权益法律保护模式的体系化建构提供了制度基础。在以往的数据权益配置中,数据权益保护多依托于行为规制模式,以数据利用行为是否满足具体规制路径的适用条件为前提,并最终依赖法官的利益衡量,具有保护上的不确定性和不周延性。而在本文提出的数据权益配置框架下,数据权益保护可形成权利保护模式和行为规制模式有序并行的保护体系。数据控制权保护方面,若数据需求者无利用权,则直接采权利保护模式保护数据控制权。具体保护路径上,数据控制权主体可依数据形态不同,选择商业秘密保护、知识产权保护或一般的财产权侵权保护等。若数据需求者享有利用权,则其取得、利用数据的行为通常并不违法,只有当其数据利用行为构成不正当竞争或存在违约情形时,才通过反不正当竞争、违约责任等行为规制模式对数据控制权进行保护。数据利用权保护方面,若数据控制者违反法律规定或者约定,拒绝数据需求者的数据利用请求,则数据需求者有权请求数据控制者提供数据或允许其访问数据;若数据需求者因数据控制者拒绝其取得和利用数据而遭受损害的,还有权请求数据控制者承担损害赔偿责任。