大数据时代数据的保护及其二次利用侵权的规则选择——基于“卡-梅框架”的分析*

刘铁光，吴玉宝

(湘潭大学法学院， 湖南湘潭411105)

摘 要:数据是大数据的核心要素,其潜在价值主要通过二次利用、整合利用以及充分利用扩展数据得以实现,即便是被匿名化处理的数据,在二次利用时亦可能侵犯他人诸如隐私的人格权。由于数据的重要性以及二次利用侵权的可能性,必须为其确立合适的保护或救济规则。“卡-梅框架”可作为检验现有规则与确立未来规则的标尺:应维持现行立法对于人格权、著作权、商业秘密等权利相关的数据所提供的财产规则保护,并将该种规则通过确立特别权利的方式适用于匿名化处理的数据集,而对于与人格权、著作权等不相关的原始数据,应坚持不予赋权的现状;对于二次利用侵权,则应建立责任规则,允许相关数据继续被利用,以保障大数据价值的充分实现。

关键词:大数据时代;数据保护;二次利用侵权;“卡-梅框架”

中图分类号:DF523 文献标识码:A

收稿日期：*2015-09-21

作者简介：刘铁光 (1973-)，男，湖南怀化人，博士， 湘潭大学法学院副教授，法治湖南建设与区域社会治理协同创新中心研究人员。

基金项目：国家社科基金重点项目“云环境下学术资源信息安全的法律保障研究”(14AZD076)阶段性成果。

如学者所言，我们正生活在大数据时代。大数据带来深刻的社会变革，并对人类所有活动和决定产生深刻影响，包括约会、购物、看病、教育、投票、法律执行、预防恐怖主义以及网络安全等等。[1]393大数据甚至被美国奥巴马政府誉为“未来的石油”。[2]65数据无疑是大数据最为核心的要素，是大数据实现其价值的基本前提和保障。因而，数据的保护显得尤为重要。不过，在一个全新的领域，立法在确立保护规则时，既要有效地保护相关权利，又要不致扼杀大数据本身功能的发挥与价值的实现。而且，数据的价值并不在于其本身的原始价值，而在于对其利用所产生的价值，其往往在二次利用中被寻找到新的价值。这种二次利用，即便是完全匿名化处理的数据，仍然存在侵犯他人诸如隐私等人格权的可能性，因而为这种侵权寻求合适的责任规则是未来立法必须直面的问题。本文是以大数据价值的实现以及相关合法权益的保护为出发点，试图以法律经济学中经典的“卡-梅框架”为检验理论，为大数据时代数据的保护和二次利用的侵权确立合适的保护或法律救济规则。

一、数据的价值及其二次利用侵权与“卡-梅框架”的应用

(一)数据的价值及其二次利用侵权

大数据的核心在于数据，数据是大数据发挥其功能的基础与前提。2012瑞士达沃斯世界经济论坛的与会者宣称：数据的威力无比强大，数据是一种新的经济资产，就像货币和黄金一样：这不仅是一次技术革命，从某种意义上说是一种社会革命，将对国家治理模式、企业决策、组织和业务流程、个人生活方式产生巨大的影响。[3]84数据的价值不仅限于其首要价值，它可以为了同一目的而被多次使用，也可用于其他目的，且仍然能够产生价值即数据的“潜在价值”。数据的潜在价值有三种常见的表现形式：基本再利用、数据集整合和寻找“一份钱两份货”。而数据的折旧值、数据废气和开放数据则是更为独特的方式。[4]136通过这些方式可能使二次利用后的数据价值比首要价值大数倍甚至数十倍。

大数据时代数据的价值具体体现在如下三个方面：[4]136-141首先，数据的价值体现在对数据的二次利用。一个典型的例子就是关键词的搜索，消费者在搜索引擎上留下的痕迹(数据)看似在搜索完成后变得分文不值，但是数据代理公司等可以通过采集消费者的数据流量来揭示消费者的喜好，从而发现数据潜在的巨大价值。当各种数据被精准广告服务和促销活动的公司再次利用时，就变得更加有价值。其次，通过数据重组往往也能够释放出数据的价值，即将两个或多个数据源以一种新的方式组合起来，重组后的数据价值可能比单个数据的价值总和更大。再次，充分利用可扩展数据。促进数据二次利用的方法之一就是在一开始就设计好它的可扩展性。当然，数据所有的这些价值必须要在大数据的环境中才能得到实现。

根据主权国家有关人格权的相关立法，一般禁止对于与人格权相关的数据被直接使用。大数据企业或相关经营者记录、存储或收集与人格权相关的数据，都会进行匿名化(去身份化)处理，当然，如果大数据经营者或利用人未对与人格权相关的数据进行去身份化处理，则需要承担相应的法律责任。但问题在于，即便是经过匿名化(去身份化)的数据，其二次利用同样可能会构成对隐私的侵权。因为有些数据在记录与收集时，并无其他用途，但其在二次利用时有可能产生一些创新性的用途，在这些创新性用途中，即可能侵犯他人的隐私。比如：2006年8月，美国在线(AOL)公布了大量的旧搜索查询数据，本意是希望研究人员能够从中得出有趣的见解。这个数据库是由从3月1日到5月31日之间的65.7万用户的2000万搜索查询记录组成的，整个数据库进行过精心的匿名化——用户名称和地址等个人信息都使用特殊的数字符号进行了代替。这样，研究人员可以把同一个人的所有搜索查询记录联系在一起来分析，而并不包含任何个人信息。尽管如此，《纽约时报》还是在几天之内通过把“60岁的单身男性”、“有益健康的茶叶”、“利尔本的园丁”等搜索记录综合分析考虑后，发现数据库中的4417749号代表的是佐治亚州利尔本的一个62岁寡妇塞尔玛·阿诺德(Thelma Arnold)。当记者找到她家的时候，这个老人惊叹道：“天呐！我真没想到一直有人在监视我的私人生活。”[4]199这便是一个典型数据二次利用侵犯他人隐私的案例。

大数据价值主要通过数据的二次利用、整合利用以及充分利用延展数据得以实现。既然大数据时代的数据如此重要，确立对大数据时代数据的保护则显得尤为重要；匿名化数据的二次利用可导致侵权，如何确立侵权的规则，对大数据潜在价值的实现亦非常重要。在确立保护规则和二次利用侵权规则时，必须要考虑相关规则所产生的成本与收益，“卡-梅框架”这种法律经济学的分析理论可为规则的成本与收益提供检验的标尺。

(二)“卡-梅框架”的解释及其在大数据环境中规则选择的适用

“卡—梅框架”是卡拉布雷西(Guido Calabresi)和梅拉米德(Douglas Melamed)于1972年在《财产规则、责任规则以及不可转让性：大教堂的一个景观》[5]1089一文中所提出的，学界简称之为“卡-梅框架”(C&M Framework)。据学者研究，“卡-梅框架”可作如下解释：(1)当一种产权被财产规则保护时，除非产权持有者自愿转让，否则不得强制转让。也即非产权持有者要想获得产权，必须获得持有者的许可，以买者的身份向产权持有者(卖方)支付双方协商确定的价格，才能获得产权；(2)当一种产权被责任规则保护时，非产权持有者可以不经产权持有者的同意而“使用”其产权(即侵权)，但必须向产权的持有者支付法院所规定的价款(即赔偿金)。(3)不可让与规则是指即使产权持有者自愿同意产权也不得转让、出售，如人格权。[6]133-134，“卡-梅框架”的独特性在于，其规则分类的着眼点不是传统上的行为模式，而是效果模式，是公民合法权益受到侵犯时所能得到的不同法律救济(亦即侵犯公民合法权益可能产生的不同法律责任)的保护力度。[7]6此后， 学者一般将“卡—梅框架”的三类规则简化为财产规则与责任规则，而将“不可转让规则”予以省略，即将“卡—梅框架”归结为：交易成本低时，法律应优先适用财产规则，交易成本高时法律应优先适用责任规则。[8]35“卡—梅框架”的精髓是以交易成本为基础选择规则，对于一个全新领域规则的选择具有重要价值。如果赋予主体权利导致交易成本较低，并且由主体自愿选择交易会产生较高的效益，那么立法就应该在这个新领域里进行赋权，即采用财产规则。如果赋予主体权利导致交易成本较高，甚至导致主体之间的自由交易根本不可能实现，那么显然不应该通过立法予以赋权，则不能选择财产规则。如果侵权性使用已经产生，对相关主体已经造成实际损失，除采取财产规则中的停止侵权外，还需要采取损害赔偿的责任规则。具体到大数据领域，更应该谨慎考察财产规则或者责任规则的选择对交易成本的影响，尤其应该考察的是，规则的选择是否会影响数据的利用，进而影响大数据价值的实现。因此，应该以“卡—梅框架”为基础考察大数据领域具体规则的选择。

二、基于“卡—梅框架”对数据保护规则的检验与选择

大数据环境中，构成大数据运行的基本元素都是数据，以及由此所构成的可以发挥大数据功能或实现其价值的数据。数据在不同层面上，具有不同的分类，不同类型的数据所关涉的权益不同，确立的保护规则自然应该不同。第一个层面，数据可以分为构成大数据基本元素的数据以及被收集并用于实现大数据功能(匿名化或模糊化)的数据集。前者为原始数据；后者为匿名化数据。第二个层面，是将第一个层面的两种数据根据不同的标准进行分类，根据数据是否与人格权相关为标准，可分为与人格权相关的数据和与人格权无关的数据；根据其是否获得现行立法保护为标准，数据可以分为受法律保护的数据与不受法律保护的数据。由于本文主要讨论数据保护规则的检验与选择问题，这两个层面上的分类，对数据保护规则的检验与选择具有重要意义。

(一)现行数据保护立法规则的检验

首先，对于原始数据中有关人格权的数据，现行立法实际上已经提供了相应的保护。《侵权责任法》第2条明确隐私权作为一种侵权行为的对象而应受到法律的保护。大数据时代相关的私人信息都可以纳入隐私权的保护。隐私权所保护的私人信息(数据)实际上允许权利人进行自由交易，在侵权后可以主张禁止他人继续使用，现行立法中的规则实质上属于“卡—梅框架”中的财产规则，而又因为《侵权责任法》明确隐私作为一种权利，由于其本身可以阻止他人侵权，在被他人强行使用后(侵权)，则可以通过强制定价的责任规则予以保护。因此，现行立法，对隐私权的保护实行的是财产规则与责任规则混合的保护模式。类似涉及到人格权的原始数据还有《民法通则》第99条所规定的姓名权、《民法通则》第100条所规定的肖像权等，现行立法都给予财产规则与责任规则的混合保护，即允许权利主体通过自由交易的方式实现权利， 又允许在其被侵权后，提供停止侵权(财产规则)和损害赔偿(责任规则)的保护。

其次，如果原始数据和匿名化数据能构成我国《著作权法》上的作品，符合我国《著作权法实施条例》第2条所规定作品受保护的条件，其自然可以获得我国《著作权法》的保护，而在以数据为基础所形成的数据汇编(匿名化后收集的数据)，如果能构成我国《著作权法》第22条所规定的汇编作品，则无论被汇编的数据是否具有独创性并受著作权法保护的作品，只要汇编作品在材料的选择、编排上具有独创性，其本身就是我国《著作权法》上的作品，自动获得我国《著作权法》所规定的著作权。因此，无论是原始数据，还是匿名化之后的数据(数据集)，如果符合《著作权法实施条例》第2条所规定的作品条件，其应该自动获得著作权。作为一种著作权，其自然可以获得著作权法中侵权责任的保护。如同人格权相关的数据一样，这种数据理论上同样可以获得财产规则与责任规则的混合保护。不过，由于《著作权法》本身具有非常典型的责任规则，在符合《著作权法》所规定的法定许可情形时， 这两种数据只能获得责任规则的保护。原始数据与匿名化数据中类似著作权的数据还有商业秘密，如果数据构成商业秘密，虽然理论上我国《反不正当竞争法》 提供的保护主要是一种侵权责任的保护，但这种侵权责任的保护中，包含“卡—梅框架”之财产规则中的停止侵权和责任规则中的损害赔偿。因此，我国立法对商业秘密的保护同样选择财产规则与责任规则的混合保护模式。

与人格权相关的数据和构成版权、商业秘密等知识产权的数据，现行立法赋予了财产规则与责任规则的混合保护，导致大数据企业或相关经营者使用该类数据必须进行特殊处理才不致侵犯该类数据之上的相关权利，或者通过取得许可以使用相关数据。不过，由于大数据对原始数据中与人格权相关数据都需要经过匿名化处理，而对于构成版权、商业秘密等知识产权的相关数据，并不一定都需要知识产权法意义上的侵权使用，所以大数据企业或相关经营者并不需要获得大规模授权，一般也不会产生侵权后被大规模禁止使用，导致大数据无法继续发挥其功用与实现其价值的情况。因此，现行立法所选择的规则，并不会提高大数据领域的交易成本，这巧合了“卡—梅框架”中规则选择原理。

(二)原始数据所有权观念的检验

对于原始数据与匿名化处理的数据既不属于人格权相关的数据，又不构成《著作权法》意义上的作品，也不构成《反不正当竞争法》中商业秘密或其他种类的知识产权，现行立法对该类数据并未提供任何保护。对该类数据，如果提供数据所有权，则明显存在如下问题：(1)这类原始数据获得所有权的保护缺乏正当性的基础。比如对于个人在电商交易平台上购买一个商品所留下的数据，如果该用户对数据要获得所有权，其正当性基础是什么？对于本来就不属于人格权相关的数据、不构成著作权、商业秘密等其他知识产权的数据，提供所有权的保护，缺乏一般财产权所必需的正当性基础。由于用户对该类数据没有任何投资，有人用洛克的“劳动理论”来解释，即只要他使任何东西脱离自然所提供的和那个东西所处的状态，他就已经掺进他的劳动，因而它成为他的财产。[9]19无可否认，用户个人在网络交易平台所留下的单个零散数据本身确实付出了劳动，但如果没有电商平台、卖方等提供交易机会，用户个人根本无法留下这种零散和单个的数据。因此，该种数据不但是用户提供了劳动，电商平台、卖家同样都提供了劳动，是多个主体提供劳动的结果。如果提供所有权的保护，那么所有权应该共有吗？其处分规则是按照共有的规则处理吗？而且，用户提供劳动的目的并不在于获得该种数据，该种数据对用户而言，实际上没有任何价值。(2)如果对所有原始数据都赋予所有权，并给予“卡—梅框架”中财产规则与责任规则混合保护，那么意味着大数据企业或相关经营者在利用这些数据时，都必须取得个人用户的许可，这实际上对于大数据企业或相关经营者是一个根本不可能完成的任务；而且如果通过赋予所有权使任何单个数据的个人用户，在大数据企业或相关经营者利用该类数据之后，都具有禁止使用的权利。那么意味着大数据根本无法运行，因为大数据最为根本的特点在于必须大规模利用数据。因此，如果赋予用户个体因为其使用网络所产生的副产品即所有数据以所有权，必然要求大数据企业或相关经营者获取海量用户的许可，这将导致高额的交易成本，最终导致这种交易根本无法实现，完全不符合“卡—梅框架”所界定的规则选择理论。因此，除非我们拒绝大数据及其所能带给人类的福利，否则，就不应该赋予所有原始数据中与人格权无关、不构成著作权、商业秘密等知识产权的数据以所有权。

(三)匿名化数据集保护的规则选择

在用户数据的基础上，大数据企业或相关经营者通过对收集海量数据进行匿名化处理(去身份化)之后的数据集(“匿名化数据集”)，对于该类数据而言，保护的正当性很容易得到论证。因为大数据企业对数据的记录、存储、类型化以及集成，投入巨大的技术、网络、人力与管理成本，无论是从洛克的“劳动理论”，还是从投资的保护，该类数据都可以获得保护。从“卡—梅框架”基于交易成本理论选择保护规则而言，主要考察法律所提供的保护规则是否会因为交易成本的高昂而导致大数据的功能无法实现。

如果对该类数据只提供“卡—梅框架”中责任规则的保护，而不提供财产权规则的保护，则意味着该类数据的收集者不能阻止他人使用，也不能在发生侵权的情况下，要求侵权人停止侵权，更无法实现自主交易定价。那么对于侵权人而言，在无法获得授权的前提下，便可以侵权性使用，并且在使用之后，也无需承担停止侵权的责任。那么，越来越多的需要利用大数据的企业便不再去收集与整理原始数据，最终有可能导致没有企业主动收集与整理原始数据，或采取更为严格的保密措施，拒绝分享数据。从而导致大数据本身的功能无法实现或大打折扣，对该类数据单纯责任规则的保护显然不够。为此，单纯的责任规则是失败的，对匿名化数据集应该提供财产规则保护。这样，匿名化数据的收集者或记录者，不但可以自由对这些数据进行交易，而且可以在遭遇侵权后，除却主张损害赔偿外，还可以主张停止侵权。由于匿名化后的数据不一定完全符合知识产权的要件，更为重要的是，未经许可的利用者不一定会在知识产权法所规定的侵权意义上使用， 即便具备知识产权法的保护，也不一定能实现财产规则的保护。但直接提供所有权的保护，不符合传统民法上所有权的客体必须是有体物的理论基础。因此，只能给予匿名化后的数据提供类似所有权的特殊权利，这种权利的内容应该根据大数据的运行规则进行赋权；允许权利人主动交易，未经许可的以大数据运行原理的使用都构成侵权，侵权后，权利人不但可以获得损害赔偿，而且可以禁止使用。这样，就需要有专门的单独立法对大数据环境中的该种数据赋予特别权利，明确可以获得该种权利的条件以及权利的具体内容。

三、基于“卡—梅框架”匿名化数据二次利用侵权的规则选择

如果大数据企业所收集的数据因为未进行匿名化处理或匿名化处理不成功，所导致对他人人格权的侵权，自然应该按照现行立法的财产规则承担相应责任；如果所收集或处理的数据侵犯了他人依法享有的著作权、商业秘密等知识产权，亦应依据相关知识产权法的规定承担相应责任。不过，如果大数据相关企业或经营者实际已经尽到最大义务并且使所收集或记录的数据本身已经成功匿名化处理，但该数据的二次利用却侵犯他人的隐私，如前已经提及的案例，那么这种情况下，大数据的企业或相关的经营者应该承担何种责任，该规则的确立亦需要考虑“卡—梅框架”中财产规则与责任规则的成本与效益，以确定最优选择。

如果确定以“卡—梅框架”中财产规则作为大数据企业或相关经营者所应承担的责任，那么，意味着被侵权人可以主张大数据企业或相关经营者除进行损害赔偿外，还可以主张停止侵权，并且这种停止侵权以停止利用相关数据或删除相关数据的方式予以实现，这意味着大数据企业或相关经营者不得继续使用实际上已经成功匿名化的数据。这就意味着，大数据的价值会遭遇难以实现的障碍，甚至会导致大数据会被立法所扼杀。如果大数据企业或经营者二次利用数据产生侵权选择“卡—梅框架”中的责任规则，即在大数据企业或相关经营者二次利用数据而产生的侵权，只需要承担赔偿责任，并停止这种侵权性使用，但无需停止使用该种数据，更无需彻底删除或销毁该类数据。因此，大数据企业或相关经营者二次利用数据而产生的侵权，未来的立法应该选择“卡—梅框架”中的责任规则。这样既保护了大数据企业或相关经营者二次利用数据被侵权主体的相关权利，同时又保护了大数据企业或相关经营者继续利用大数据，避免大数据被立法所扼杀。

参考文献：

[1] Neil M. Richards, Jonathan H. King, BIG DATA ETHICS, WAKE FOREST LAW REVIEW, Vol. 49, 2014.

[2] 齐爱民、盘佳.数据权、数据主权的确立与大数据保护的基本原则[J].苏州大学学报,2015(1).

[3] 李文莲、夏健明.基于“大数据”的商业模式创新[J].中国工业经济,2013(5).

[4][英]维克托·迈尔-舍恩伯格、肯尼斯·库克耶.大数据时代：生活、工作与思维的大变革[M].盛杨燕、周涛，译.杭州：浙江人民出版社，2013.

[5] Guido Calabresi and Douglas Melamed, Property Rules, Liability Rules, and Inalienability: One View of the Cathedral，85 Harvard Law Review 1089 ( 1972). 参考中译本为[美]吉多·卡拉布雷西、[美]道格拉斯·梅拉米德.财产规则、责任规则与不可让渡性：大教堂的一幅景观[M].凌斌,译,[美]威特曼主编.法律经济学文献精选[M].北京:法律出版社,2006.

[6] 魏建、宋微.财产规则与责任规则的选择——产权保护理论的法经济学进展[J].中国政法大学学报,2008(5).

[7] 凌斌.法律救济的规则选择：财产规则责任规则与卡梅框架的法律经济学重构[J].中国法学,2012(6).

[8] [美]威廉·M·兰德斯、理查德·A·波斯纳.侵权法的经济结构[M].王强等,译,北京:北京大学出版社,2005.

[9] [英]洛克.政府论(下篇)[M].叶企方,译,北京:商务印书馆,1964.

责任编辑：饶娣清

The Selection of Rules for the Data Protection and Torts of the Second Use of Data in the Big Data Era ——Based on the “C&M Framework”

LIU Tie-guang , WU Yu-bao

(FacultyofLaw,XiangtanUniversity,Xiangtan,Hunan411105,China)

Abstract：Data is the core element of big data, the potential value of which can be realized through the second use, integration and extended data by adequate use. Even if the data has been anonymized, it may infringe other people's right of personality such as privacy right in its second use. Because of the importance of the data and the possibility of torts in its second use, the proper rules of protection and relief rules must be established. The classical theory of the Economic Analysis of Law, named “C&M Framework”, should be set as the standard of checking the existing rules and establishing future rules: the Property Rules for the data related to the right of personality right, copyright, trade secrets, etc, in the existing law should be maintained, and such Rules should be extended to the anonymized data collection by stipulating a specific right in future legislation. The present situation in which the original data which is irrelevant with the right of personality, copyright, trade secret, etc, has not be granted right, should be maintained; as for the torts in the second use of data, Liability Rules should be established, ensuring the realization of the value of big data.

Keywords：big data era;data protection; torts in the second use of data ; “C&M Framework”