大数据时代数据权属研究进展与评析*
2019-01-19姬蕾蕾
姬蕾蕾
(西南政法大学 重庆 401120)
造成数据权利复杂性的原因是数据主体与数据控制者的分离。例如App的用户日志,数据内容主体是用户,而用户日志的数据载体主体是App的服务商,一份数据承载两个主体的权利。不同的数据承载的权利、权利主体、归属原则不完全相同。学界、业界对数据权利多有讨论,目前尚未形成定论。数据主体的诉求在于数据的控制权,包括知情同意、数据更新、选择退出等;数据利用者的诉求在于数据的管理权,包括数据的收集、利用、存储、披露等。数据权利的核心问题在于理清数据主体的数据控制权和数据利用者的数据管理权的各自权能及边界。理清数据主体与数据利用者对数据的权利边界,有利于激励数据主体更多地生产数据,积累数据资源,激励数据产业者更好地挖掘数据价值,建立良性循环,只需实现两种权利的平衡,使数据资源更好地服务社会[1]。数据在人类生活中的特殊地位,决定了在关于数据财产权的讨论中,界定数据财产权客体的边界是不可回避的问题。
1 数据权属争议的源头
数据权属问题是大数据时代语境下,互联网和信息技术的发展中凸显的问题,其出现的根源是因为数据多方主体在数据挖掘技术应用的冲击下,不断被数据化、虚拟化,个人生活和意识形态更容易为网络所渗入和重塑。大数据浪潮的到来,给信息技术领域带来了一场重大革命,其中最重要的是对数据的占有、传播及其利用方式的变化,使得数据主体、数据控制者、数据处理者、企业之间、国家之间的数据失衡。其中在个人层面表现为,企业对数据的收集、利用和价值挖掘,使得个人信息的泄露、数据私权保护与数据安全遭受严重挑战;在企业层面,大数据技术的应用无疑引发了商业模式变革,为企业带来了巨大的财富价值。当前,个人和企业均对数据的权属提出诉求,数据保护和数据流通之间的利益关系平衡是数据利用的前提,解决数据权属问题需从这一问题的源头着手,以对症下药,合理确权,促进数据产业发展。就民事领域而言,数据权属问题主要源于以下两个方面:
一是大数据技术的应用使得数据产生的价值不断凸显,亟需立法对数据权属问题作出回应,以减少负外部性,保证交易安全,促进数据产业的发展。美国德克萨斯大学研究显示,企业提升数据使用率和提高使用数据的质量,能够显著提高企业绩效。企业数据使用率提高 10% 可使零售、咨询、航空等领域的人均产出分别提升 49%、39% 和21%[2]。企业、网络经营者、网络平台等通过挖掘原始数据进行精确分析和处理,从中挖掘有用数据,进而帮助企业进行专项定位、准确决策,掌握先机,为自身带来更多的利益。云计算和“大数据”分析技术使得企业可以在成本效率较高的情况下,实时地把这些数据连同交易行为的数据进行储存和分析。大数据技术的应用挖掘出数据潜在的巨大价值,但数据作为一种无形资源,其所有权并未被立法明确认可。在个人与企业之间、企业与企业之间,数据所有权归属成为现实经济中引发纠纷的一个主要方面。例如,大数据引发的不正当竞争第一案——新浪微博诉脉脉案,脉脉非法抓取新浪微博用户的数据,整个案件最关键的争议点是围绕着用户数据的利用展开的。新浪微博通过用户主动填写,获取了大量的职业、教育信息,这些信息结合微博用户的用户名等内容,具有高度的敏感性。法院认定脉脉构成不正当竞争,理由就是未经微博用户的同意而获取其信息,节省了经济投入,构成竞争优势。法院并未正面回应数据所有权归属,但这一判决表明对于数据,其上存在不同的主体,享有不同的权益。无独有偶,在美国加州有一则相似案例,但结局却并不相同。HiQ vs Linkedin案中,法院认为,LinkedIn公司不得采取法律或技术措施阻碍HiQ公司复制、使用其已经公开的数据,法院指明,由于用户已经在公共网站自愿发布这些数据,那么LinkedIn并不享有对用户数据的所有权,故无权屏蔽第三方使用该数据[3]。所有权不明会引起交易安全风险提高,引起数据纠纷,影响数据市场的发展,因此,数据权属问题是一个亟待解决的问题。
二是个人信息保护成为大数据时代隐私权保护的核心,增强信息自决权的呼声高涨。个人隐私权首先由美国学者萨缪尔·沃伦和路易斯·布兰代斯1890年提出,系统地描述了隐私权的内涵以及保护的必要,这时候的隐私权体现为一种消极的防御权能。后随着数据自动处理化的出现,对于隐私的讨论开始出现变化,在当今的信息社会中,隐私的焦点开始从个人信息消极卸防向个人信息自主控制的面向发展,呈现一种积极的控制权能,信息主体主张自身信息属于自己,由自己控制。但是,在大数据语境下,数据的收集与利用无处不在,淘宝、亚马逊等网络平台记录个人的购物偏好,百度、谷歌知悉用户的浏览习惯,个人隐私在网络环境下无处遁形。用户的浏览数据到底属于谁,数据主体对哪些数据可以自主控制,哪些能为企业作为“原材料”挖掘数据价值是我们面临的问题。这其实反映了数据保护和数据利用的边界应该怎样界分,数据利用的前提是保护数据主体的隐私安全,如何保护个人数据,加强数据主体对自身数据的控制为各国所重视。2015年我国出现首例Cookies隐私权纠纷——北京百度网讯科技公司与朱某隐私权纠纷案。南京市中级人民法院对该案作出终审判决,撤销原判,认定:被告侵害的对象并非信息网络传播权,百度的针对性推荐行为并不构成侵权,故驳回原告的诉讼请求。同一案件事实,一审与二审判决结果截然不同。正义的财产权制度,应当对财产权法律关系中的权利、义务作出合理的分配,并尽可能地平衡社会生活利益间的冲突。在大数据时代,应该构建何种数据确权规则来平衡数据主体与企业之间的利益亟需法律作出响应。
2 数据权属争议的研究视角及进展
2.1 人格权研究视角
从个人的角度而言,对数据的研究主要从人格权角度,其中包含对个人数据财产利益的认可,但核心仍是保护个人隐私。美国学者Paul Ohm认为隐私在大数据时代已经无所遁形,应该放弃从法律层面界定个人信息,从监管技术层面对所有信息进行成本效益分析处理,权衡隐私损害成本和信息流通的收益[4]。肖冬梅认为,数据人格权是一种与隐私权很接近的新型权利,但是数据人格权与隐私权又存在差异,隐私权并不能涵盖所有的个人数据,个人数据兼具人格利益和财产利益,对个人数据的侵害可能损害隐私,也可能造成权利人的财产损失[5]。齐爱民认为,个人数据权是自然人的一种所有权,可进行自主控制并排除他人干涉的权利,但并不认为个人数据承载财产利益[6]。余筱兰认为,数据权中的人格权是与主体相关的人格权益,如生命、肖像、隐私等有关个人信息权的基础,与人格权相关的信息应纳入人格权的保护范围。信息人格权与隐私权在内涵、价值取向方面都不相同,两者虽然呈交叉关系,但隐私权难以包含信息人格权[7]。事实上,不是所有的数据都包含个人信息。通常直接和个人相连的数据处理才会涉及对个人信息隐私的侵犯问题。但是,大数据处理带来了通过数据追溯到个人信息的便利。“大数据的价值不再单纯来源于它的基本用途,而更多源于它的二次利用。”[8]丁道勤认为,个人数据是用户资产的重要构成要素,属于基础数据,用户是个人数据的基础提供者,对个人数据拥有所有权,对基础数据的保护应该更多地从权利保护的角度,确认其被遗忘权、可携带权以及隐私权等基本人格权范畴,保护数据主体的合法利益[9]。各类数据基于数据主体的行为而产生,没有主体数据就没有价值,由此,数据自然归数据产生者所有。美国学者莱斯格认为,应对用户数据设立财产权利,强调对数据享有优先权,并制约交易使用等行为,否则交易行为产生的数据过度商品化会伤害个人隐私权,带来信息安全问题[10]。
我国目前就个人信息保护没有单独立法,但国外在个人数据保护上已有大量的立法实践,且对数据主体的权利在不断加强。例如,欧盟在1995年《数据保护指令》的基础上,顺应时势,对该法案进行修改,于2016年通过《一般数据保护条例》。条例对数据主体的数据修改、更正权的规定中,增加了被遗忘权及适用条件,即信息主体可以在任何时间根据信息收集的原始理由行使退出权,即删除权(或被遗忘权)、可携带权等。美国法对个人数据受侵害的救济一般以隐私权为请求权基础。对个人数据的保护一般以行业自律为主,相关个人数据立法一般规制公权力,仅对一般较为敏感的信息或者弱势主体单独立法,例如2013年美国联邦贸易委员会修订《儿童在线隐私保护法案》(COPPA)。随着大数据时代的到来,为应对数据日益严峻的安全挑战,美国的个人数据保护体系呈现出从严治理的趋向。2014年美国总统执行办公室发布《大数据:把握机遇,守护价值》白皮书,保障个人数据的采集必须通过合法途径,并强化构建数据利用过程中的安全管理规范。此外,美国重新定义个人数据,并尝试将地理位置数据、设备标识数据等纳入个人数据的保护范围[2]164。
2.2 财产权研究视角
从企业的角度而言,对数据的研究主要是从财产权的角度研究数据的权属问题,其核心是促进数据产业的发展。数据产权主要集中于所有权,重点关注对数据的占有、使用、收益和处分的权利配置,即“谁的数据,归谁所有”。早期人们没有认识到数据创造价值,数据所有权并没有受到广泛关注,数据产权保护非常弱。美国立法中,数据的价值通过数据库的形式呈现,对数据的保护一般是在知识产权中对最低创造性的数据库予以保护,但是对于事实内容并不保护。且在数据库权利受到侵害时,一般是以反不正当竞争法进行保护,但拒绝将财产权赋予给数据库,仅在司法实践中通过综合考量当事人之间的利益关系进行裁决,反映了对数据财产权的弱保护倾向[11]。
国内学者注重认可数据的财产权,但对数据的性质和权利性质观念并不一致。对于网络中的记录数据,很多数据企业认为,如果用户数据没有被采集,不以数字化的形式存在,根本就不存在数据权利一说,正是因为数据的流转利用才挖掘出数据的价值,用户使用网络服务商所产生的数据属于企业所有。而对于衍生数据,则认为自行投入巨大成本从各类渠道采集和管理数据,按照“谁投资谁所有”的原则,其合法权利应当得到法律认可,这些数据所有权应归企业。高富平认为,数据财产是控制人通过资本投入、或者与信息源权利人达成协议后取得的,属于数据控制人的数据资产,如果将数据资产共同为数据主体和数据控制人享有,将导致数据主体权利不明,相关数据法律关系不能成立,无法实现数据的价值[12]。吴江指出,数据交易的本质就是对数据产权的转让,数据产权是指数据的拥有权、使用权、收益权、让渡权等权利[13]。王玉林认为,个人数据控制者因资源投入、授权协议等控制个人数据,其对个人数据的控制是控制人利用个人数据创造财产的前提,故控制者应该享有使用权[14]。这一观点表明,其认为个人数据的所有权归属数据主体,数据控制者仅享有使用权,对个人数据加工后的衍生数据归属数据控制者所有。郑佳宁认为,信息财产权是一种新型财产权,企业信息具有典型的财产属性,信息制作者对其拥有的信息财产享有所有权,对企业信息财产的保护,是为了塑造信息产业的激励机制,挖掘更多、更高质量的信息,获取经济利益[15]。数据财产权具有动态、多重、复杂的特点,有些学者开始区分个人数据和数据财产,并进行两个阶段的权利建构。龙卫球认为,信息主体在数据生成的过程中起到边框性的基础启动功能,信息主体基础源地位的确认是对其个人信息利益的归属确认,为初始交易中信息主体的授权和数据产业者取得信息使用权提供合法性的法权保障基础;而数据产业者在此过程中发挥着重心驱动功能,对其数据价值开发核心者地位的承认是对数据利益的赋值获权,更是激励其进行数据交易化的一种内在制度保障[16]。丁道勤认为,当数据处理者对网络用户从事何种活动进行搜集整理等增值处理行为产生的各种数据,属于数据从业者。正是数据从业者对增值数据的加工处理等创造性行为,挖掘出了数据的潜在价值[9]。周林彬认为大数据的本质属性是财产性,并从法经济学的角度分析数据不同阶段应确定的权利归属,同时认为在数据利用的不同阶段,数据的归属有所不同[17]。汤琪对国内外数据交易的立法情况以及数据交易的实践进行调查,并对数据交易的相关问题进行分析,认为数据产权界定的前提是承认数据的财产属性,认为数据是一种资产,应纳入虚拟财产权和所有权保护的范畴内[18]。
3 评析与反思
从个人角度和企业角度考察国内外对数据权属相关问题的研究,发现相关研究对于数据的属性、数据的交易以及数据保护等基础问题方面都有涉及,然现有的研究成果并不全面,有些定论过于绝对,且关注的重点并不深入细致。
3.1 忽视个人数据的财产属性
首先,个人信息自决权理论过于绝对。个人信息自决权概念由德国学者施泰姆勒提出。施泰姆勒将个人信息自决权诠释为个人有权决定他人在何时何地获知自己的思想。该权利提出的背景是应对当时电脑自动化处理个人信息对个人人格利益的威胁[19]。为了进行全面人口普查,1983年德国制定了《人口普查法》,结果该法的制定引发了整个社会的抗议,并继而发生了宪法诉讼。该法后被联邦宪法法院判决违宪,并创设了个人信息自主权。后随着个人信息保护法的不断发展,成为时髦的隐私权的新理解,时至今日,个人信息自决权理论已成为个人信息保护的法理基础。根据个人信息自决权的观点,个人信息是对个人生活事实的记载,是对自然人的人格进行勾画,是个人尊严的一部分。信息当事人对其信息的交付和使用具有自由决定权,且法律应确定和保护该权利,即个人信息自决权。这种主张中,自决是核心观念,当事人应依照自己的意志决定自己的个人信息承载着各种价值,如若违反了权利人的意志,则构成侵权。因为自动化数据的处理,可以使得个人数据进行组合,进而可以产生部分抑或相当完整的人格图像,威胁个人权益。然而,个人信息自决权是否合理?卢梭曾说,人生而自由但无所不在枷锁中。个人信息自决权理论并不能成为法律意义上的绝对权利。虽然自动化数据处理会产生人格图像,但是这种人格图像不一定绝对地侵害个人的隐私,个人信息是人在社会交往、商业开展、公共服务开展的工具,工具性决定个人信息的社会性、公共性。个人是社会共同体中发展的人格,个人信息不仅具有个人属性,还具有社会属性。每个人都有独处不受干扰的权利,但是将这种权利推演至极致时将导致社会义务的毁灭[20]。杨芳认为,在价值取向上,个人信息自决权理论忽视了人类社会的存在和个人活动的展开所仰赖的信息交流这个前提[19]33。刘金瑞认为,个人数据隐私观是一种狭义的隐私观,并非所有的个人数据的权利基础均为隐私权。如果隐私类数据被披露之后损害个人人格尊严,就应该严格保护;但是如若该类信息并未涉及隐私,则数据并不为隐私权所容纳[21]。个人信息与隐私之所以存在藕合关系就在于,在侵害个人信息时,往往涉及到侵犯隐私的范畴,这种法律竞合不可避免,但是不能因此将两者混淆。个人信息保护与隐私权不同,它不只是为个人设定的一项权益,而更旨在构建一个平衡个人、信息使用者与社会整体利益的法律框架[22]。如果个人信息自决权理论仅强调个人信息的人格利益,法律则会对其信息流通予以禁止性规定,个人信息纠纷也就不会成为现今的制度难题。如果过于绝对地强调个人信息自决权,这种秘而不宣的观念会造成个人与外界的孤立状态,隔断了个人与外界识别的联系,最终造成信息禁止,因此,个人隐私的绝对化保护是不可取的。
其次,个人信息自决权理论在现实中缺乏可操作性。个人信息自决权理论具体到立法中即为信息主体的知情同意。建立在20世纪70年代计算机框架结构之上的传统个人信息保护方法,是在收集之前获得权利人的同意,收集人在目的限定的范围内使用该信息,当个人信息不再在目的限定的范围之内则删除该信息[23]。传统的个人信息保护建立在以“知情同意”为构架的基础上,即信息收集者收集个人信息时需取得信息主体的同意,否则就要承担侵权责任。在大数据时代的今天,数据产业者对信息进行大量收集,而信息利用一般技术性高、隐蔽性强,普通大众很难跟踪自己同意被收集后的信息。“知情同意”的表现形式一般为信息收集阶段信息收集者出具的“用户许可协议”,在协议中,信息收集者会列举对用户信息利用已取得其同意的免责条款。虽然大多数“用户许可协议”的条款并不会对用户造成实质损害,但是有些条款会对用户信息隐私造成潜在威胁。例如,Web应用程序在其“用户许可协议”中列举一个条款:授权软件制造商使用用户的设备计算能力生成比特币这种数字化形式,无需给予用户任何补偿。原则上,信息主体对于这种技术上的信息保护条款都会同意,大多数信息主体对社交网络等服务越发依赖,这些社交网络需要个人信息的收集才能其发挥功能。这种同意实质并无太大意义,信息主体并不了解其信息何时何地如何被利用[24]。“而且同意规定增加了个人信息处理的成本,信息主体对于个人信息处理一事的同意,并不代表对他事的同意,同样,一时的同意也不具有持续的有效性。”[25]知情同意机制逐渐失灵意味着信息主体对个人信息并无实际的控制权,故相关权利的行使也举步维艰[26]。
最后,忽视了个人数据的财产价值。从国内外的研究发现,对个人数据的关注主要从人格权角度保护数据主体的隐私利益,对数据财产权的关注重点在于企业的数据财产权,却忽视了作为企业数据中的原始材料——个人数据的财产价值从哲学中汲取法学生命的营养。经验告诉我们,个人信息具有精神和物质两个层面的价值。精神价值的法哲学基础在于人格论,个人信息内载外化所属者的人格。物质价值的法哲学基础在于劳动论,劳动创造财富,创造者拥有保有财富的权利。根据天赋人权理论,人理所当然地对记载自身特点的个人信息享有所有权[27]。在大数据时代,数据成为重要的生产力,成为各国综合实力比较的重要因素,个人信息中的财产利益越来越凸显。企业、政府对信息的掌握愈加重视。个人信息具有个人利益,兼具财产利益。
企业的数据财产实质仍是从个人信息中积聚、分析得出的有效商业价值的信息,如利用大数据分析消费者的喜爱、偏好、消费水准而进行定向广告,或者根据地理信息位置的定位分析相关数据作商业方案等等,无论何种形式的信息利用,都能表露出个人数据的财产性特征。并非所有的个人信息都和隐私相关,对个人信息的保护应该类型化保护。保护个人数据的隐私并不意味着个人数据不能被作为财产为商业化利用,大数据分析应用之前,对个人信息商业化利用主要集中于对公众人物的肖像、名称、声音等标识,彰显出个人信息的积极控制功能。故对此,美国采用公开权的方式加以保护,德国则通过一般人格权积极面向予以保护。伴随大数据时代到来,对个人信息的商业利用不再限于对公众人物人格标识的利用,而是对信息主体整体信息的利用,且着重于对信息的二次利用,即数据从业者运用大数据分析减少商业的不确定性以提高经济效率。因此,正如对个人数据不能绝对地由数据主体自己决定、绝对地以隐私权为请求权基础保护其全部数据,对个人数据的财产化利用也不能泛财产化。应该对个人数据进行类型化分析,对各类型化的个人数据进行区分商业化利用或保护。
3.2 数据财产理论研究不足
财产权是对现实经济关系的一种抽象,是以现实经济关系为基础的。数据财产权作为一种新型财产权,在我国法学界的相关制度研究较为浅显,立法仅作了一种引致性规定。相较于法学领域,在经济学领域,学者大部分将数据财产权与数据产权等同,对数据产权从经济学的角度进行分析。一般而言,一种新型的财产权的出现势必是因其在现实经济中占据重要位置,立法予以保护。大数据交易是近年出现的经济现象,在法律对其保护之前,人们通过契约性安排已经确立相关权利人究竟享有多少具体的权利,但相关权利对象的法律权属并不清晰。例如,贵州大数据交易所确立了 9 项交易原则,其中之一是:“数据买卖双方要保证数据所有权、合法、可信、不被滥用”。数据财产权的形成是通过交易、契约而形成权利的过程。产权和财产权虽然并不等同,但是数据产权发展为数据财产权需要一个过程,现今法学领域并未对数据财产权相关法律关系形成统一的体系构建,立法的缺位会导致数据权利归属不明,数据领域的投资缺乏激励机制,最终会导致市场失灵,成为数据发展的羁绊因素。从总体上来说,对于企业的数据财产权主要需要解决以下问题:首先,界定企业数据财产权的边界。数据包括个人数据、企业数据和政府数据,这三类数据的边界是数据财产权划分的前提,也是最具有争议的问题。数据财产权的界定之所以复杂,一是因为数据财产的边界并不是一目了然的,不像有形物一样清晰可见,数据财产的界定,像知识财产一样,“需要由法律强行为权利人划出一道无形的边界,是一种纯粹的法律强力的产物”;再是因为数据财产的界定成本与经济、技术发展水平本身的发展密切相关,“财产权作为一种法律概念,很大程度上是由财产权利静定的成本和收益决定的。”[28]因此,界定个人数据、企业数据和政府数据的边界是首先应该解决的问题。其次,对企业数据赋予一种绝对权,激励数据产业的发展。个人数据的财产价值微弱,但企业经过大数据分析的应用挖掘出其潜在的价值,在数据财产权中居于重心位置,因为数据经济的本质结构在于,企业以数据财产化为中心。围绕数据的收集、利用、开发和交易而展开经营活动,形成复杂且动态的数据活动[16]73。因此,在构建数据财产权时,应该重视数据经营者在数据产业发展中的重心驱动地位,在保障个人数据安全的前提下,确立以数据经营者为重心的财产利益的机制建构,实现数据加工投入与收益之间的均衡,从而激励企业投入更多的资源建设数据系统,也使得数据经济得以置身于一种安全稳定的交易环境之中。最后,划清数据财产与公共数据的界限。数据具有复制性和传播性的特定,这就给数据财产权保护带来挑战,而数据具有一定的公共属性,如何在保护数据财产权的情境下实现数据的公共利益,是我们应该面临的问题。数据交易成为大数据时代一种常见的现象。数据从业者将数据作为一种财产,是因为数据具有市场价值,也体现了数据的可交易性。法律应该满足社会的需要,建立调整数据财产的法律秩序,在创制私权利时,达到利益平衡的效果。
4 结语
数据权属问题中,目前争议最多的、亟需国家立法层面给予解决的当属企业收集的个人信息方面的数据交易问题。但是,由于数据权利的复杂性和权利主体的多元性,为数据确权增添了复杂性,这涉及技术、法律、安全、经济等多个层面。从上述综述而言,应该协调兼顾个人数据保护和大数据开发利用。就个人数据而言,不同的阶段体现个人数据或隐私概念的范围不同,保护观念也相异,具有鲜明的时代特征。这种演变启示我们,对个人数据的保护应该从关注前端、关注程序问题转向关注数据生命的周期、关注其实体价值,而不是过分的保护个人数据的隐私,个人信息的保护理念应该是从个体本位主义向社会本位主义转变。就企业角度而言,我国数据产业发展迅速,各大交易平台或机构相继建立,但相应的数据产业制度并未形成体系,最关键的是有关数据产权的理论研究和实践存在欠缺,这不仅成为数据资源有效供给的羁绊因素,也束缚了数据资源的优化配置。因此,加强数据产权的相关研究、合理配置数据资源成为数据权属配置的关键。
(来稿时间:2018年6月)
