大数据权属的类型化分析
2016-03-26陈筱贞
陈筱贞
[摘要]资本市场对大数据产业的追逐升温迅速,在中央鼓励发展大数据产业的态度中,地方政府积极布局大数据园区和交易所。同时业内人士不断提出警示,大数据权属未有规范,在权属未定的前提下,对大数据进行分析、挖掘、交易,会使其生态系统进入侵权、失控,甚至犯罪的黑洞。随着产业生态系统的辐射和发展,这个源头性的危险会不断地被放大。文章试图剥离政策、国家利益、产业利益等诱发但非决定性因素,从法律角度,考察大数据的权属,厘清大数据应属于谁的应然。
[关键词]数据红利;信息数据;法律属性;类型化
作为大数据产业的逻辑起点,大数据权属一直在学界、商界及政府相关部门的探讨中,直至2015年4月贵阳大数据交易平台第一笔交易完成,接踵而来的上千笔交易陆续达成,大数据权属归属这个问题仍是未决问题。承载着交易价值的大数据被赋予了产权,而产权归谁还未知,带着逻辑起点问题还模糊不清的产权运作,会有什么样的后果?用一句通俗的话来说,会是“也许他们很晚才发现,他们侵了很多权、浪费了很多钱”。
数据采集开发方和买受方都紧锣密鼓地吸取着权属未定的大数据红利,红利建立在大数据产权法律未醒之时,而这种“未醒”,不是未觉察,而是在民事立法体系的上位法框架未定、政策产业推进导向激进及国外立法各取所需的纷繁状况中还未厘清思路,还未达成共识并定格下来。
2015年世界互联网大会上吴晓灵强调,“明晰产权是建立数据流通规则和秩序的前提条件。”大数据时代,数据的确权成为产业关注的核心问题。2016年1月15日《贵州省大数据发展应用促进条例(草案)》正式出炉,这是中国首部大数据地方法规,但对大数据权属仍未能明确。为突破大数据交易和商业化的瓶颈,使数据红利交易成本早日清晰化,也从而促使交易规则更严谨制衡,笔者立足于法律视角,兼顾当下国情及大数据产业发展趋势,对大数据权属力图作一梳理。
一、与无关因素的剥离
(一)无关于产业政策、市场、交易
尽管数据权属的讨论,因数据产业、数据交易而起,并日益成为不可绕开的核心问题,但对数据权属的确认,应无关于市场和交易。对数据权属归属的分析和认定,既不应受政府公共数据平台开发、数据开放共享政策的影响,也不应受互联网大型企业的社会影响力和市场占有力的利益遮蔽,从而失去其应有的内在机理。
(二)无关于大数据收集、处理、运用等规则设计
大数据权属是产业天然内生的,只是需要我们拨开复杂现象去找到它,而不是为了现有和未来一定时期的大数据收集、运用、交易而去定位大数据属于谁,也不能因为其中的利益博弈驱使我们去创设一个数据权属的特别安排。尽管数据抓取、收集、交易是数据价值实现的重要和生动环节,但都是数据权属起点问题的后续逻辑。
(三)无关于数据的巨量与脱敏
产业意义上的数据,本质上是信息,是关于社会特定主体的有价值的信息。当然这种特定,在海量大数据中显得不特定,同时这种价值在不同的开发商眼里,会有不同呈现,但作为有价值的产业数据,一定是针对有某类特征的群体,或是年龄上,或是性别上,或是职业上,或是履历、兴趣爱好或活动区域、行为习惯及模式等,在信息产生时其本身就天生附有特定主体的标签,与人格权相连。数据量再大,也无法否认信息最初采集环节是数据产业的第一环,无法否认最初被记录人的人格特性。通常说的数据清洗(Data cleansing)不能实现数据与人格的分离功能,数据清洗的任务是过滤那些不符合要求的数据,它是数据进行重新审查和校验的过程,目的在于删除重复信息、纠正存在的错误,并提供数据一致性。那么,数据脱敏呢?对某些敏感信息通过脱敏规则进行数据的变形,这样就可以在开发、测试和其他非生产环境以及外包环境中安全地使用脱敏后的真实数据集。但是,在大数据的处理和分析阶段,企业一直致力于身份识别,匿名化技术与大数据身份识别技术在相互较量中不断发展。例如,美国在线曾公布了3个月间65.7万用户的2000万条搜索记录,整个数据库做过精心的匿名化处理,将用户名称和地址等个人信息代之以数字符号。但《纽约时报》还是在几天内通过几个关键词准确定位到了某个人。美国白宫大数据研究报告《大数据:抓住机遇、坚守价值》中也提出,“数据的模糊化处理作为保护个人隐私的一种手段,其作用也是有限的。事实上,收集数据并进行模糊化处理是基于相关公司不回复数据的承诺与相对应安保措施之上的解决方案。但有目的的模糊化处理可能使数据丧失其实用性并确保其出处及相应责任的能力,此外,也很难预测再识别技术将如何演变以应对看似匿名的数据。”笔者认为,大数据企业目前规避风险的底线,是“不触碰和销售底层数据”,但后期结果的风险规避不应对前期的侵权行为风险产生豁免效应。
(四)与国家主权、公共安全无关
大数据发展上升到国家战略资源高度,直至成为国家商贸、能源、环境、国防等领域的直接竞争力,我们对大数据主权的呼声日益强烈。但这是一个信息主权问题,而非国内法视野中的数据信息权。信息主权指一个国家对其政权管辖地域范围内任何信息的制造、传播和交易活动以及相关的组织和制度拥有的最高权力,是国家主权的一方面表现。大数据权属于国家主权的关联性主要体现在,个人、企业和相关组织拥有数据权利的前提下,当牵涉到国家利益、国家安全时,国家是否拥有保护和处理这些数据的权力?至于公共安全,也如同此理。当数据信息权涉及公共安全或秩序时,数据权利人的权利是否有必要让位于公共安全与公共利益,这是大数据权属行使中的延伸问题。我们不能以国际交易、国防安全中的国家利益保护意图移换所讨论的大数据权益归属焦点。至多属于压力下的倒逼机制而已,不能影响大数据权属原本应有的判认。个人数据权属的法律认定,应在权源上私法先行,在公共安全、公共利益等公法情境下考虑许可(主动或被动)使用,却不先前相关所有权。
二、大数据的法律属性
(一)数据的信息属性
数据是世界客观事物性质、状态的反映,是客观信息的记录,不是物。数据的价值也是其记录的内容,所以数据应首先是归属于被记录方。被记录方可以是个人、法人和其他组织。出于公共行政管理需要而纳入公权力系统的政务、法务等相关信息,是有条件的无偿采集和共享,并非数据所有权就属于政府。政府也不应成为无偿采集数据的代言人。政府采集信息的附条件是指不侵犯个人隐私、不侵犯商业秘密和国家机密,无偿采集但应是经被记录人同意,程序上应完备明示或默示方式,至于共享是否无偿还不能一概而论,目前政府开放共享数据的政策和规则仍在探索阶段。我们不能认为,数据客观存在,就是“谁收集就属于谁”。因为,以任何形式收集数据,都只是信息的载体,如同无形的知识产权,载体可以多样和变换,核心内容只有一个。如果多个公司都来对同一信息作采集,都有享有数据所有权,就丧失了所有权的唯一性,在行使当中,丧失了独占性的所有权,有也等于没有,因为没有丝毫权属对抗力。因此,数据所有权归收集人是没有大格局上的产权意义的。
(二)个人数据的人格权属性
个人信息权应属于独立的人格权,这与隐私权有所不同。一直有观点认为,个人信息大数据,一旦隐私脱敏,就不存在侵权问题,但我们可以且不谈隐私标准的把控是在权利人手中而非采集交易人手中,仅就不侵犯隐私就不侵权来看,就不能成立。个人信息权是存在的,它是一种积极的权利,它的行使方式应在事前,在未经许可收集、利用其个人信息时,权利人有权请求行为人更改或者删除,以排除他人非法利用行为或者使其个人信息恢复到正确的状态。当然,如果允许使用,信息权人也还有事后的撤回权。
当然有个非常微妙的前提,是对于个人信息权,尽管目前民法并没有给予设立。但我国个人信息保护目前已形成多部门监管状态,如工业和信息化部的《电信和互联网用户个人信息保护规定》《信息安全技术公共及商用服务信息系统个人信息保护指南》,工商总局的《网络交易管理办法》等。此外,公安部、商务部、中国人民银行、银监会、保监会、证监会等都有相应个人信息监管及保护的法律规范。不少地方基于本地实际情况还出台了相关地方性法律条例,如《深圳经济特区互联网信息服务安全条例》等。我国已出台了《民法典草案》,其中对个人信息的保护已有具体规定,在未来的民法典人格权编中确定个人信息权将更有利于尽快建立个人信息保护体系。个人信息不仅仅关系到个人利益,还有可能涉及公共利益、公共安全,与更多地涉及个人的隐私相比,对个人信息的保护势必超越私法保护。
(三)大数据的创作行为
数据的分析挖掘服务是大数据产业的核心,是最具商业价值的部分,是大数据产业的产品,这样的产品是在原生态数据上附加了创作性知识产权的。因为从数据的生命周期来看,可以将大数据产业分为数据的采集、整理、存储、分析挖掘和数据应用这几个部分,应用中还包括数据的可视化。在这样的生命周期里,每个方面都会涉及相应拥有著作权或专利权的软件、硬件开发和创新服务。所以,大数据产业在原始信息记录的基础上还有创作行为,也正是这些创作行为使数据信息具有了产业价值。在数据财产利益链条上,首先是信息被记录者的所有权利益,然后才是大数据企业创作性利益,这种利益建立在原始数据权利人的所有权之上。
三、大数据权属的类型化分析
数据根据信息内容参与方不同,可以分为单方数据和交互性数据,有些情形下,数据抓取平台作为交互的一方,有时作为第三方。根据大数据企业抓取平台参与信息的角色不同,我们可以把大数据所有权权属分为两类作考察。
(一)被记录方单方信息数据,所有权归数据被记录者
个人数据兼有人身权与财产权属性,是大数据价值的基础和素材。个人信息未经权利人同意,不允许非法交易。信息产业部于2000年发布的《互联网电子公告服务管理规定》中提及“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意,不得向他人泄露”,给上网用户造成损害或者损失的,依法承担法律责任。这项规定将有偿交易包括其中。2009年通过的刑法修正案(七)也明确规定,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或提供服务过程中获得的公民个人信息,出售或非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或单处罚金。单位也可以成立犯罪主体。
可见,个人信息权属于个人,不允许窃取或以其他方法非法获取,但目前我国法律环境下,并不禁止个人售卖自己的信息。在美国,有个人将自己信息在网站成功拍卖的实例。个人信息的市场价值可以货币化,那么,建立在个人信息抓取上的大数据,势必是应为抓取这类素材支付成本,而且这种支付应是指向被记录者的。至于支付成本的方式,可以在意思表示和对价两个层面进一步探索。
个人数据抓取的方式有很多,除人工收集外,大量数据是通过互联网使用平台抓取的。如个人身份信息、住址、医疗记录、个人日程安排、电子邮件内容、社交网络上交流的信息等,以及我们使用AWS、阿里云、百度云盘、手机助手等来储存和备份自己的数据,也不能避免这些信息在互联网中被检测到,进而被采集、利用。随着测量设备和软件的改善,信息还可以通过生物识别和生理测量抓取,如可以利用眼球追踪技术获取及生成有用的诊断信息,以帮助理解一个项目、网站或广告有没有成功引起用户注意或注册某些消息或图像。用皮肤电反应、眼睛的瞳孔扩张、心脏率、脑电波测量、面部情绪识别等记录人们的反应和情绪,如有趣或令人兴奋等,这些都可能成为进入人的灵魂的门户,并发挥干预效能。③那么,被记录方对之应有知悉和同意权。
在欧美,“通知+同意”规则是数据保护立法的核心性规则,是对所有权归属于数据信息被记录者的社会认可及法律认同,是指数据控制者和处理者在收集、处理数据时须事先告知用户,并得到用户的明示或者默示的许可。在我国,个人隐私保护呼声日益高涨,采“通知+同意”模式,是权利人行使隐私权的有效操作,因为只有权利人才有权利决定信息使用是否涉及个案隐私,同时也是其他与数据相关的人格权被允许商业使用的有效形式。当然,通知的内容需真实和全面,否则视为欺诈或未通知。同意可以视具体情形选择明示或默示,但在法律没有明确规定之前,必须是双方认可的形式。只是需要避免“用户同意”与“平台使用权”捆绑条款。
(二)数据抓取平台参与的合同行为信息数据,所有权归参与方共享
人们会提出这么一个问题:用户使用网络服务产生的行为数据,属于用户还是网络服务提供者?用户使用网络服务,这种使用行为是以用户与网络平台缔结服务合同关系为基础,网络购物、移动支付、邮件使用、点击流量、智慧医疗、网络教育、互联网保险等用户与网络服务平台交互作用产生的数据,都是合同履行行为的记录,合同参与方有时是双方,有时是多方,这类行为信息数据应属于合同参与方共同共有。作为合同一方的数据平台,为提升自身业务管理和拓展市场潜力,抓取用户的消费行为数据,进而作后期整合、建模、处理,这种信息使用意图和路径应告知并经用户同意,用户作为信息共有人,可以同意,也可以拒绝,但目前会存在隐私数据(身份信息、指纹等)及隐私信息使用与平台消费方式捆绑的常态,其性质应属消费格式条款,作有利于用户一方利益的解释和效力认定。至于数据服务平台收集交易数据,加以分析处理,以便向用户提供更好的服务或用以提高公司内部管理,都是数据应用效益层面的问题,并不能改变信息取得环节的所有权归属。
随着大数据市场的发展,出现专业第三方大数据平台,纯粹处于互联网消费服务合同当事人之外,为专业数据分析者和数据经纪人。他们收集多处信息源数据,将数据汇总、建模、分析,并共享这些信息以及派生出来的信息。这样的第三方平台,不享有数据所有权,只拥有在数据信息源基础上再创的数据作品的所有权,亦即数据产品的所有权,但对数据源权利的取得和使用,还是需要作出合法性解释,履行相应的法律程序,承担相应的法律义务和法律责任的。
四、结语
无论是数据信息用于商业、公益或政府管理,信息被记录人都拥有最原始信息的所有权。数据所有权的行使形式,应包括提供、处理(整合与脱敏、撤回)、利用,涵盖所有权的占有、使用、收益、处分几项权能。程序上,首先是应由权利人知悉,经权利人同意,收益问题,笔者倾向的方案是,除了有书面协议约定收益外,可参照著作权使用费的模式,由平台主办方简单地按固定比例或固定金额,把使用费划拨政府指定的部门或基金,这部分经费用于政府公共服务项目及数据侵权赔偿基金。