APP下载

大数据产品的权利属性及法律保护研究

2020-12-19李永明戴敏敏

关键词:运营者个人信息算法

李永明 戴敏敏

(1.浙江大学 光华法学院, 浙江 杭州 310008; 2.杭州互联网法院(杭州铁路运输法院), 浙江 杭州 310020)

一、 问题的提出: 大数据产品法律规制不明

在大数据技术迅猛发展的背景下,数据资源被称为“新石油”,甚至被称为“新的国家核心资产”[1]19。工业和信息化部印发的《大数据产业发展规划(2016—2020)》指出,我国信息化发展水平日益提高,对数据资源的采集、挖掘和应用水平不断提升,我国已成为产生和积累数据量最大、数据类型最丰富的国家之一。用户在网络上的一举一动所产生的数据都可能会被网络运营者收集、使用,经大数据技术的深入挖掘、分析和处理后形成具有巨大经济价值和商业价值的大数据产品。2018年8月16日,杭州铁路运输法院宣判全国首例大数据产品不正当竞争纠纷案,对大数据产品的权利属性进行了初步探索(1)参见杭州铁路运输法院(2017)浙8601民初4034号民事判决书。杭州铁路运输法院在审理全国首例大数据产品不正当竞争纠纷案时曾对大数据产品的法律属性进行分析,该院认为,网络运营者对大数据产品享有财产性权益,大数据产品可以被网络运营者实际占有、使用、收益、处分,但基于物权法定原则,在没有法律明确规定的前提下,不可在个案中赋予其财产所有权。。尽管目前已有论著及法律法规对大数据技术涉及的个人信息及数据权属加以讨论和规制,但是对于大数据产品这一新兴事物却罕有涉及。

大数据产品方兴未艾,对大数据产品的法律认知有三点值得讨论:其一,大数据产品的法律属性不明,对大数据产品界定不清晰,如大数据产品是否构成作品进而受到知识产权法保护,应否赋予其财产所有权抑或仅能构成竞争性权益;其二,网络运营者对大数据产品的权利行使边界不明,如当网络运营者在现有法律法规的规制下收集、处理数据产生大数据产品后,对大数据产品的转让、利用甚至公开等行为是否侵犯数据提供者的权益;其三,大数据产品的法律保护路径不明,如法律对大数据产品如何加以保护,如何避免市场行为肆意混乱、司法裁判不一致等现象以促进大数据产业健康发展。

二、 财产权保护的基础: 大数据产品的基本特征

本文所讨论的大数据产品,是指网络运营者在收集巨量用户数据的基础上,以特定的算法或人工处理、分析、整合后产生的衍生数据产品。经过对数据“精加工”而产生的大数据产品之所以能够被称为“产品”,是因为它具有极大的商业价值,可以实现精准化定制或预测功能。例如淘宝公司推出的“生意参谋”零售电商大数据产品,通过对合法采集的用户信息进行深度分析及匿名化处理,可以向淘宝、天猫商家提供可定制、个性化的数据分析服务,为商家提升店铺运营水平提供大数据参考。大数据产品有以下基本特征:

(一) 基于巨量的原始数据

巨量的原始数据是大数据技术的基石,也是大数据产品价值的基础。为了能够通过加工处理创造出超出数据的现实价值,实现精准化定制及预测功能,大数据产品必须具备围绕某特定个体或特定领域的巨量原始数据,否则即使使用相同的算法或方法对数据进行处理和分析整合,其结果仍是徒劳无益。需要明确的是,大数据产品与数据库截然不同,数据库的价值在于数据本身,而大数据产品的价值在于对数据的分析和利用。

(二) 经过匿名化处理

匿名化处理指的是对不能被直接作为大数据产品原始数据的敏感性数据进行必要且适当的匿名化、去标识化处理,进而使其能够合法合规地用于大数据产品开发。从主体维度进行拆解,数据可以分为个人数据、企业数据和政府数据。当网络运营者获取数据并意图将其作为大数据产品的原始数据时,都必须对其进行匿名化处理,否则将可能侵犯个人隐私、泄露企业商业秘密、危害政府及国家安全。全国信息安全标准化技术委员会2019年发布国家标准《信息安全技术 数据交易服务安全要求》,在该文件中列明了多项禁止交易的数据,要求将涉及他人商业秘密、知识产权及违反法律禁止性规定的数据列入禁止交易的数据目录,并要求“涉及个人信息的数据,除非获得了全部个人数据主体或未成年人的监护人的明示同意,或者进行了必要的去标识化处理以达到无法识别出个体的程度”,否则都应列入禁止交易的数据目录(2)《信息安全技术 数据交易服务安全要求》6.1禁止交易数据:“数据交易服务机构应根据我国相关法律法规,制定禁止交易的数据目录,目录至少应包括:(a)受法律保护的数据;(b)涉及个人信息的数据,除非获得了全部个人数据主体或未成年人的监护人的明示同意,或者进行了必要的去标识化处理以达到无法识别出个体的程度;(c)涉及他人知识产权和商业秘密等权利的数据,除非取得权利人明确许可;(d)从非法或违规渠道获取的数据;(e)与原供方所签订的合约要求禁止转售或公开的数据;(f)其它法律法规明确禁止交易的数据。”。我国《网络安全法》也明确规定,网络运营者仅可将经过处理无法识别特定个人或经过被收集者同意的个人信息提供给他人(3)《中华人民共和国网络安全法》第四十二条第一款:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”。

大数据产品兜售的并非个人信息,而是经过匿名化处理后的报告内容。个人数据可分为个人信息和非个人信息。对于个人信息的界定标准,目前学界的主流观点是识别说理论,即强调个人信息是可能借由其确定信息主体身份的个人数据,而涉及个人信息的数据应属禁止交易的数据范畴,在纳入大数据产品的“数据池”前必须进行去标识化处理。也有学者将数据市场中的个人数据分为敏感性个人数据与一般性个人数据[2],认为涉及个人隐私与个人安全的数据应属敏感性个人数据,而个人数据必须经过严格脱敏才可以进入市场交易。此外,个人信息在具有财产利益的同时还兼具人格利益,不应当被随意交易,因此,个人信息必须进行匿名化处理,去除附着的人格利益后,才得作为一种“财产”进入市场。换言之,经过匿名化处理的数据信息不再能够指向特定的个人,而是形成了“数据画像”,大数据产品即是对这些“数据画像”加以分析和整理后,形成的具有商业价值的某行业或领域内的分析、预测报告。

(三) 凝结着网络运营者的劳动创造

大数据技术的意义不在于创建体量巨大的“信息簿”“数据库”,而在于通过对巨量的原始数据进行专业的“精加工”,产出具有现实价值的大数据产品。“精加工”指的是通过算法对原始数据进行深度过滤、分析、整合,筛选出有价值的数据并形成数据图表、分析预测等,与数据库有本质区别,是赋予大数据产品商业价值的方式,也凝结着网络运营者付出的人力、物力、财力,是网络运营者劳动创造的成果体现。

(四) 具有特定功能

大数据产品需围绕用户需求,对原始数据进行处理并实现特定的功能,其中最重要的是精准化定制和预测。精准化定制即精准营销,指的是通过对用户一系列行为痕迹进行分析,向其推送符合其口味的产品,譬如邮箱页面的营销广告、电商平台首页的推荐功能、短视频APP的定向推送等。预测则是更为前瞻性的数据分析功能,包括行业分析、风险预警、实时定价等,这种功能的实现对处理原始数据的算法要求更高,是大数据产品智能化的表现。

三、 大数据产品的权利属性剖析

(一) 不应将大数据产品界定为著作权保护的客体

著作权保护的对象是作品,从外观上看,大数据产品体现了对大量数据的分析、整合和深度挖掘,似乎具有作品特性。但对于日益丰富多样的创作方法和创作过程,在甄别某客体是否具有可版权性时必须观察其创作过程,才能避免著作权保护的泛化与滥用。要判断大数据产品是否具有可版权性,可从两点切入分析:其一,大数据产品是否具有现行著作权法框架中的适格作者;其二,大数据产品是否具有独创性。

1.大数据产品不具有现行著作权法框架中的适格作者

首先从主体角度切入,对大数据产品的生成过程进行溯源分析。大数据产品并非由人去亲自完成每一个图表和分析,而是由一套经过精心设计的算法自动生成,这种自动生成的背后是由人提出问题、定义问题、确定解决方案并编写出算法,这种算法是大数据产品能够诞生的关键所在,编写这种算法的能力也被认为是目前为止人工智能暂不可模拟的属于人类的隐性智慧能力[3]。这样的精心设计带来的强大的深度分析和处理能力,使得这种算法与最初探讨的计算机作为辅助工具的作用有所不同。但这种算法在本质上仍是人创作大数据产品的辅助工具,因此,“算法”并非“作者”,对这种算法生成物的著作权人的探讨应聚焦在与算法有关的人身上。

从大数据产品的生成过程看,网络运营者在研发可以生产大数据产品的算法时需投入大量的时间和智力劳动,对该算法本身应享有著作权,但这与大数据产品的著作权问题不可混为一谈。大数据产品系由网络运营者开发的算法软件生成,这一产生方式使得对大数据产品的法律分析可以借鉴学界对计算机辅助设计的作品的可版权性问题、人工智能生成物的可版权性问题的讨论。早在20世纪六七十年代,美国新科技应用版权著作委员会的报告中就曾对计算机生成物的作者予以明确,认为使用计算机进行创作的人是计算机生成物的作者。在这种观点中,计算机被认为是使用者进行创作的辅助工具。这一理论是在当时的技术背景之下提出的,彼时计算机智能化水平远未达到现今的高度,更多的是被置于计算器、缝纫机一样的辅助工具的地位之上进行分析。而当学者们关注到新技术的不断迭代所产生的人工智能与著作权法的冲突时,在人工智能生成物的可版权性讨论中,各派观点莫衷一是,设计算法、使用算法、拥有算法、投资算法的人均被纳入权利人的“候选范围”。部分学者认为,人工智能生成物的作者是程序设计者[4];以英国为代表的部分国家和地区相关立法认为,为计算机生成的作品做出必要安排之人可以被视为计算机生成的作品的作者(4)Copyright, Designs and Patents Act 1998 (UK)c48 s9(3).;有学者提出,应当基于法人作品制度,将人工智能的所有者视为人工智能生成物的作者[5];也有学者提出,应当保护人工智能的投资人,将投资人作为人工智能生成物的权利主体,以增设邻接权的方式加以保护[6]。

本文认为,首先应当否定算法系大数据产品的作者,一是因为“算法”非“人类”。著作权对作品加以保护的目的是保护人类的创作,归根到底是属于“人类”的法律保护法,“算法”并非著作权法的适格主体。在全国首例计算机软件智能生成物著作权纠纷案(5)参见北京互联网法院(2018)京0491民初239号民事判决书。法院认为,在现行法律体系可以对计算机软件的智力、经济投入予以充分保护的前提下,不应当再对民法主体的基本法律规范进行突破。中,法院也认为“自然人创作”这一要素是文字作品受著作权保护的必要条件。二是算法对大数据产品的贡献难以称得上是“智力劳动”。大数据产品的构思与创作主要体现在算法的编写过程中,而非算法的运行与结果。其次,在与算法相关的权利人之中,也难以找到适格的大数据产品之作者。程序设计者及投资人均可能已享有该程序算法的著作权,再对该算法生成之物享有著作权则存在双重获利之嫌;使用算法的人仅仅是使算法按照既定的方式运行,投入的智力劳动过少,甚至连“额头出汗”与否都未可知,且没有具有独创性的表达,这样简单的智力劳动付出难以换来权利人的身份;为计算机生成的作品做出必要安排之人的定义较为模糊,事实上可以涵盖设计、使用、投资该算法之人,开放式的定义仍旧难以觅得恰当的权利人。综上所述,仅针对大数据产品的作者这一问题进行法律分析,结论是不存在现行著作权法意义上的适格作者。

2.大数据产品不具有独创性

在讨论算法生成之物的独创性时,算法本身的差异性不可忽略。综观现有的学术讨论,可将人工智能等算法划分为三类:(1)在算法完成时已经明确生成物为唯一的或有限的。智力劳动成果凝结于算法之中,算法完成之时,设计者已经通过自己的构思、创作等智力劳动将生成物予以固定化,后续使用该算法的人并不需要投入有价值的智力劳动。(2)算法本身带有随机性,不同素材、不同操作方式可能获得不同的生成物[7]。尽管存在不同的可能性,但这样的生成物始终是算法计算所得,而非使用算法的人的个性化创作。(3)能够摆脱算法设计者制定的规则而进行自由创作的算法,是目前暂未达到的技术发展水平[8]。在这种对未来人工智能发展的想象里,算法可以摆脱算法设计者的控制,真正具有自己的思想与情感。

大数据产品的算法多为前两类,但这两类算法尽管运行的结果有所不同,实质上都是预先设计的固定程式,尚属于人类辅助工具的范畴。使用该特定算法分析处理巨量数据的过程与工厂中工人将原料投入机器的过程类似,只需按部就班地操作,无论由何人去运行该算法,所得到的结果都是确定的,不存在操作人智力创作的空间,无法赋予其个性化特征,因而不具备独创性,不符合作品的构成要素[9]。对该问题的探讨可以延伸到对作品独创性之标准的界定。生产大数据产品的算法是著作权保护的客体,而该特定算法一经完成,大数据产品生产过程中的智力劳动即已结束,运行算法进而生产大数据产品的这一过程并非“创作”,不具有独创性。大数据产品作为运行该特定算法所生成的产物,是利用智力成果所产生的结果,并非智力成果,故不应将其界定为著作权保护的客体。

因此,从主体与独创性角度分析,都可以否定大数据产品的可版权性。虽同时讨论这两个问题易有逻辑混乱之感,但上述两个问题都具有探讨的必要性和意义,两者均是对大数据产品应否予以著作权保护的研究中不可忽视的重要问题。

(二) 网络运营者可对其大数据产品享有财产权益

其一,网络运营者对大数据产品是否享有财产权益的讨论不应与原始数据的权利归属问题混淆。大数据产品本质上是巨量原始数据的衍生品,源于对巨量原始数据的分析处理。对于原始的用户信息数据,网络运营者并不能享有所有权,仍受制于与用户之间对用户信息数据的约定,一般而言仅享有在法律法规及合同约定之下的数据使用权。但经过深度分析、处理及脱敏后,已成为独立于原始数据的匿名化的数据信息,与用户信息以及原始数据之间已无直接的一一对应关系。《数据安全管理办法(征求意见稿)》规定,网络运营者需评估安全风险并征得信息主体同意后才能向他人提供个人信息,但是经过匿名化处理后则无须履行本项义务(6)《数据安全管理办法(征求意见稿)》第二十七条:“网络运营者向他人提供个人信息前,应当评估可能带来的安全风险,并征得个人信息主体同意。下列情况除外:……(三)经过匿名化处理;……”,该规定已实质上认同了经匿名化处理后的数据信息可由网络运营者自行支配,与个人信息提供者无关。

其二,大数据产品是网络运营者的劳动成果。大数据产品的生产过程凝结着网络运营者大量的智力成果及人力、物力、财力,是网络运营者经过长期经营积累,将原本单一的、碎片化的、价值密度低的数据信息进行深度分析处理后的劳动成果。以淘宝公司的“生意参谋”为例,经用户同意后,淘宝公司记录、采集用户在电商平台上进行浏览、搜索、收藏、加购、交易等活动所留下的网络行为痕迹,在累积形成巨量原始数据的基础上,经过匿名化处理,过滤掉涉及用户个人隐私的信息或能够与用户直接形成一一对应关系的信息后,再使用算法对其进行深度分析和匿名化处理等操作,进而形成指数型、预测型、统计型的衍生数据。这并非简单的数据库,而是淘宝公司投入了大量成本与劳动的成果。再譬如,北京互联网法院认为计算机软件智能生成物具备传播价值,且凝结着所使用的计算机软件之研发者、使用者的投入,应当对投入者的合法权益给予一定的保护(7)参见北京互联网法院(2018)京0491民初239号民事判决书。。

其三,大数据产品是网络运营者的重要竞争权益。目前,大数据产品已成为市场交易对象,具备商品交换价值,可为网络运营者带来商业收益,甚至可成为大数据时代企业的核心竞争力。再以淘宝公司的“生意参谋”为例,该大数据产品为其淘宝、天猫商家在行业发展、店铺经营、品牌竞争等诸多方面提供数据分析及服务,并以此向商家收取一定的对价,已成为一种收益颇丰的商业模式,类似的大数据产品已成为淘宝公司等网络运营者非常重要的核心竞争权益。

综上所述,在资本角逐与技术竞争激烈的大数据行业,无论是从“劳有所获”的立法价值导向,还是从促进大数据行业健康发展的角度而言,在法律层面上为付出大量成本及劳动的网络运营者提供相对应的财产权益保护,不仅体现了对数据加工和开发技术的尊重,更体现了对网络运营者投入大量资本及技术资源开发大数据产品的认同和激励[10]。

(三) 应赋予大数据产品财产所有权

从物权客体的法律特征来看,大数据产品满足具有非人格性、能够为人力所支配、对人类有价值且为独立物的基本要求,具备成为财产所有权保护之客体的条件。其一,作为大数据产品原材料的原始数据虽来源于人,但并不具有人格性,是可与人自身相分离的。尽管原始数据包含着人格利益,但是经匿名化处理后,其数据之上的人格利益已被去除,经精加工后的大数据产品已与最初提供数据信息的人“划清界限”,更无人格性可言。其二,大数据产品处于网络运营者的支配之下,可被网络运营者所占有、使用、收益、处分。网络运营者架构算法进而生成大数据产品,因已对原始数据进行了匿名化处理,实际上已摆脱了与提供信息的用户之间的权利限制,对大数据产品享有完全的支配权。其三,大数据产品对人类具有巨大的价值。实际上此要求的内涵是经济性,即要求物应具备经济价值。大数据产品是基于巨量原始数据精加工而成,可精准地提供市场交易情报、行业预测信息等综合性分析、预测信息,蕴含极大的经济价值,市场潜力巨大。其四,大数据产品系独立物。大数据产品是大数据分析的结果,以图表、统计信息等形式表现出来,具备清晰的边界,网络运营者可界定、控制大数据产品的内容。

从大数据产品的基本特征来看,“凝结着网络运营者的劳动创造”和“具有特定功能”是支持赋予大数据产品财产权的重要依据。“基于巨量的原始数据”和“经过匿名化处理”是大数据产品与生俱来有别于普通产品的特点,但这两个特点是以数据作为产品原料的必然结果,并非大数据产品与普通产品本质属性的差异。洛克财产权理论认为,自然状态下的人对自己人身的劳动和所得物享有合法的所有权,这是构建私有财产权的基础。如前文所述,网络运营者为大数据产品付出了合法劳动,对其劳动成果应享有财产所有权,也是物权保护的题中应有之义。

从大数据产品的生产过程和外观表现来看,其一,大数据产品是经过特定算法产生的,该特定算法独立于大数据产品,不属于大数据产品的内容。实际上,算法之于大数据产品,等同于机器设备之于一般的工业产品,只需将大数据产品的原料——“巨量的原始数据”提供至算法中,算法即会按照设定的程序“生产”出符合算法设定要求的大数据产品,该过程与一般的工业产品生产流程并无本质上的不同,区别仅仅是原料、机器设备以及产品都以先进的数据化样态具体展现出来。其二,大数据产品是无形的,但无形并不直接导致对其财产权属性的一票否决,无形财产权的理论可以适用于大数据产品。大数据产品虽以无形的外观展现出来,但可被网络运营者所实际控制和使用,可被置于市场之中进行交易并获利。

然而,财产所有权作为最完整的一种物权形式,具有强烈的对世性和排他性,一旦将大数据产品的所有权赋予网络运营者,则意味着网络运营者可以此对抗除自身以外的所有主体。因此,尽管网络运营者对大数据产品已事实上享有了占有、使用、收益、处分四项基本权能,但在法律法规没有明确规定的情形下,由于物权法定原则的限制,法院也难以在司法实践中有所突破,很难在个案中赋予其财产所有权。

四、 大数据产品与个人信息数据的权利边界

实际上,探讨大数据产品的权利行使边界,归根结底是讨论网络运营者在生产大数据产品、处分大数据产品时处理所收集的用户个人信息数据的权利边界。普通物的所有权一般不会涉及原材料的权利归属问题,但是大数据产品系由巨量的用户个人信息数据加工而成,个人信息数据中包含了用户的人格利益与财产利益,故对大数据产品的权利行使需格外谨慎。

(一) 生产大数据产品

有学者认为,应当将个人信息主体对其个人信息数据的控制权界定为财产权。这种理论源于19世纪60年代,并受到大量经济学领域学者的支持。他们认为,通过法律和政府管控个人信息数据是滞后且死板的,赋予个人信息数据财产权可使其通过市场实现自由调节[11]。但在目前,尚无明确的法律规定用户对提供给网络运营者的个人信息数据享有财产所有权或财产权益。根据《数据安全管理办法(征求意见稿)》第二十七条与《中华人民共和国网络安全法》第四十二条的规定,网络运营者在征得用户同意的前提下才能将收集到的个人信息数据提供给他人,也就是说,用户对网络运营者已经收集到的个人信息数据仍享有一定的控制权,网络运营者仅可依照其与用户的约定享有受限制的使用权。

在收集、使用个人信息数据环节,根据《数据安全管理办法(征求意见稿)》与《中华人民共和国网络安全法》的相关规定,网络运营者需遵循合法、正当、必要原则,公开收集、使用规则,以明确具体、简单通俗的方式明示其收集、使用相关个人信息数据的目的、方式、范围等规则,并征得用户同意(8)《数据安全管理办法(征求意见稿)》第七条:“网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中,也可以其他形式提供给用户。”第八条:“收集使用规则应当明确具体、简单通俗、易于访问,突出以下内容:(一)网络运营者基本信息;(二)网络运营者主要负责人、数据安全责任人的姓名及联系方式;(三)收集使用个人信息的目的、种类、数量、频度、方式、范围等;(四)个人信息保存地点、期限及到期后的处理方式;(五)向他人提供个人信息的规则,如果向他人提供的;(六)个人信息安全保护策略等相关信息;(七)个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法;(八)投诉、举报渠道和方法等;(九)法律、行政法规规定的其他内容。”第九条:“如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读。另仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。”《中华人民共和国网络安全法》第四十一条:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”。因此,在平台所公示的规则不存在无效的情况下,网络运营者依照规则约定的目的、方式、范围收集、使用用户个人信息数据是合法的。需要注意的是,《数据安全管理办法(征求意见稿)》要求网络运营者利用所掌握的个人信息数据开发大数据产品时,不得影响国家安全、经济运行、社会稳定,也不得损害他人的合法权益(9)《数据安全管理办法(征求意见稿)》第三十二条:“网络运营者分析利用所掌握的数据资源,发布市场预测、统计信息、个人和企业信用等信息,不得影响国家安全、经济运行、社会稳定,不得损害他人合法权益。”。反向理解这项原则性的宣示条款,即在不危害国家安全、不影响经济运行与社会稳定、不损害他人合法权益的前提下,网络运营者可以在与用户约定的规则之下利用收集到的用户个人信息数据,开发预测型、统计型、信用指数型等大数据产品。

(二) 处分大数据产品

大数据产品是由用户个人信息数据加工而成的,因此,当网络运营者对大数据产品实施买卖交易等处分行为时,实际上是将用户个人信息数据的加工产品处分给他人。在这一过程中不可回避的问题是,网络运营者对大数据产品进行处分时,是否会侵害将个人信息数据提供、授权给网络运营者使用的用户之权益。

当用户在仔细阅读网络运营者收集、使用个人信息数据的规则并勾选同意后,即将其在规则明示范围内的个人信息数据使用权让渡给了网络运营者,供其按照规则明示的目的、方式、范围等使用个人信息数据。如若网络运营者意图将个人信息数据加工成的大数据产品处分给他人,则需确保以下两点:其一,在收集、使用用户个人信息数据时提供给用户的收集、使用规则中突出了“向他人提供个人信息的规则”,并征得用户的同意(10)《数据安全管理办法(征求意见稿)》第八条:“收集使用规则应当明确具体、简单通俗、易于访问,突出以下内容:……(五)向他人提供个人信息的规则,如果向他人提供的;……”。一方面,该规则条款是保护用户知情权的要求,确保用户对其个人信息数据将被如何处理的大致情况有所了解;另一方面也迫使网络运营者按约履行、按约经营,作为规则条款的制定方,如遇相关争议,不应以“规则未具体约定”为由进行抗辩,也不应违反或超出规则约定向他人提供个人信息数据。其二,提供给他人的个人信息数据经过匿名化处理,与用户不再具有一一对应关系、无法识别特定个人,并且无法复原(11)《数据安全管理办法(征求意见稿)》第二十七条:“网络运营者向他人提供个人信息前,应当评估可能带来的安全风险,并征得个人信息主体同意。下列情况除外:……(三)经过匿名化处理;……”《中华人民共和国网络安全法》第四十二条第一款:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”。这样的数据虽源于原始的个人信息数据,但经过匿名化处理后,其中蕴含的可识别信息已被剔除,不再涉及用户的人格利益而成为单纯的“信息”。以匿名化处理完成与提供个人信息数据的用户之间的权利“切割”后,则后续的处分行为与大数据产品上游提供个人信息数据的用户再无关联,只要不超出法律法规和规则约定的范围,即可自由处分大数据产品,再无侵犯用户相关权益之虞。

五、 大数据产品的法律保护路径

在大数据产品的商业价值为网络运营者带来巨大商业利益的同时,也出现了部分商业主体违反法律法规和市场规则,窃取他人的劳动成果以谋利,侵害了网络运营者的合法权益,干扰了大数据产品行业的竞争秩序。如何在现行法律法规的框架内找到一条适用于大数据产品的法律保护路径,是目前司法实践中亟待解决的现实需求。

(一) 适用反不正当竞争法保护

目前,大数据产品未被法律法规赋予财产权益或财产权,司法实践中正探索以反不正当竞争法保护大数据产品合法权益的路径。实践中《中华人民共和国反不正当竞争法》第二条的适用不在少数,以判断被诉行为是否扰乱市场竞争秩序、是否损害其他经营者或消费者合法权益(12)尽管《中华人民共和国反不正当竞争法》第十二条被称为“互联网条款”,但囿于其规制行为的局限性,大量的网络不正当竞争行为不能通过该条款加以规制,在此背景下,原则性条款的使用仍旧难以避免。。譬如,在淘宝诉美景不正当竞争纠纷一案(13)参见杭州铁路运输法院(2017)浙8601民初4034号民事判决书。中,认定美景公司的被诉行为系不正当竞争的要点是淘宝公司与美景公司存在竞争关系,美景公司被诉行为具有不正当性,以及淘宝公司因被诉不正当行为遭受损失。但依赖反不正当竞争法一般条款对大数据产品的合法权益进行保护,既存在滥用一般条款之嫌,也并非这一问题的最优解。

一方面,反不正当竞争法的保护具有主体上的局限性。反不正当竞争法调整的主要是不正当竞争行为,要求双方是具有竞争关系的市场主体。但当大数据产品被与网络运营者不存在竞争关系的其他主体擅自使用时,网络运营者便难以据此维护自身的合法权益。网络运营者开发大数据产品进而赢利的商业模式是面向所有人的,如若仅将法律保护的范围限缩在具有竞争关系的市场主体,则会在部分权益保护需求中缺位。另一方面,反不正当竞争法的保护实质上是一种针对侵害行为的消极保护。根据反不正当竞争法的相关规定,仅当市场主体因他人的不正当竞争行为遭受损失时才可请求法律予以救济。也就是说,反不正当竞争法不能给予网络运营者事前的积极的保护以防范其权益受侵害,仅能在因他人侵害行为造成后果时对其进行法律救济。有学者认为,这种法律保护不是依据权利而事先具有的,而是基于他人的不正当竞争行为产生的侵害出现的[12]。

(二) 适用侵权责任法保护

除反不正当竞争法外,网络运营者还可依据侵权责任法向法院提起诉讼,要求侵权人赔偿损失。较反不正当竞争法的保护而言,援引侵权责任法不要求存在竞争关系,使得法律保护在主体上扩大了范围。当双方不存在竞争关系而无法适用反不正当竞争法请求法律救济时,网络运营者可依据《中华人民共和国侵权责任法》第二条保护自身合法权益。值得注意的是,侵权责任法保护的是民事权益,不仅包括财产所有权,也包括财产权益。因此,在适用侵权责任法时不必纠结于大数据产品的法律属性,即使未被赋予财产所有权,也可主张财产权益的侵权保护[10]。

但适用侵权责任法对大数据产品进行保护也存在一定的弊端。根据侵权责任法的过错责任原则,在没有法律特别规定的情况下,仅当侵权人具有主观上的故意或过失时才可要求其承担侵权责任。这就意味着网络运营者在依据侵权责任法主张他人的行为侵害其对大数据产品的合法财产权益时,必须提供证据证明对方具有主观过错,与反不正当竞争法的保护相比,网络运营者需在证明对方的主观意图方面承担举证责任。

(三) 基于财产所有权保护

就目前的法律法规而言,通常网络运营者只能根据反不正当竞争法及侵权责任法的一般条款保护自身的合法权益,但过多地依赖法律的一般条款解决日益多发的法律纠纷并非可取之道。且反不正当竞争法与侵权责任法均为消极保护,仅当发生侵害行为并造成损失时才可启动相应的法律救济途径,无法最大限度给予具备所有权四项权能的大数据产品充分的法律保护。

如前所述,基于对大数据产品的权利属性分析,网络运营者应对大数据产品享有财产所有权。而这里所说的财产所有权有别于学界讨论已久的“网络虚拟财产权”。网络虚拟财产通常意指虚拟货币、网络账号、游戏道具等用户在虚拟的网络空间拥有占有(14)对网络虚拟财产是否可由用户占有的观点不一,有的学者认为只有平台或运营商才能占有网络虚拟财产,用户所享有的仅仅是使用该网络虚拟财产的权益。、使用、收益、处分等财产权权能的财产,其与物权的区分点在于用户对网络虚拟财产的支配权并不是完整的,在一定程度上受制于提供服务的特定运营平台[13]。需要明确的是,大数据产品与网络虚拟财产有本质区别。当网络运营者生产出大数据产品后,既可以以实体物的方式将大数据产品的所有权移交给买受人,也可以以电子文档的形式对其加以处分,“生产工具”虽是虚拟的计算机算法,但大数据产品的存在方式并不受限于虚拟网络,买受人使用大数据产品也并不受限于某一特定的运营平台,亦可以通过在大数据产品之上设定抵押权等方式实现所有权。因此,在网络虚拟财产中存在的受限条件并不适用于大数据产品。但根据物权法定原则,物权的种类和内容必须由法律直接规定,依据《中华人民共和国民法总则》第一百二十七条,对数据、网络虚拟财产等的保护应当遵从法律的规定,如若仅通过法律解释的方法赋予大数据产品财产权这一绝对权,则有悖于民法总则确立的法律原则,故而迟迟未能在司法实践中得以确认。以目前的法律架构来看,应当通过制定单行法对数据及数据衍生产品的法律属性及法律保护方式予以明确。

在大数据产业的发展过程中,法律的滞后性日益显现,迫切需要立法者明确数据以及数据衍生产品的法律属性,才能够给予大数据产业最恰当有效的法律保护。在财产权保护的理论假设前提下,可以更好地维护大数据产品网络运营者的合法权益,并为大数据产业的蓬勃发展注入更多活力。首先,网络运营者可基于财产所有权依法对抗除自身以外的任何人。通过财产所有权的保护路径对大数据产品进行保护时,基于财产所有权的对世性,在主体上将不再受限于竞争关系或主观过错,网络运营者的举证责任降低,更有利于救济其因合法权益受侵害而遭受的损失。其次,确立大数据产品的财产权属性后,网络运营者可以根据大数据产品的特性行使物上请求权,最大限度地扩展自己的请求权基础。最后,由于财产所有权带来的积极保护,网络运营者也可以进一步拓展大数据产品的商业价值,譬如可在评估大数据产品的价值后将其用以抵押、担保,为网络运营者带来更大的商业收益,从而促使网络运营者开发更有商业价值的大数据产品,营造良好的大数据产业生态环境。

综上所述,在未确立大数据产品具有财产所有权属性时,网络运营者可依据反不正当竞争法或侵权责任法要求司法救济,并不至于无法挽回被侵害所造成的损失。从目前来看,尚可在现行法律框架内寻求到较为稳妥的救济途径。但从长远来看,涉及数据权属、大数据产品权属的纠纷将会日益增多,其权利属性问题将成为司法实践中绕不开的争议焦点。因此,应尽早通过法律规定明确其财产所有权属性,统一司法裁判尺度,妥善维护大数据产品行业的健康发展。

猜你喜欢

运营者个人信息算法
个人信息保护进入“法时代”
哪种算法简便
公众号再增视频号入口
敏感个人信息保护:我国《个人信息保护法》的重要内容
主题语境九:个人信息(1)
警惕个人信息泄露
Travellng thg World Full—time for Rree
进位加法的两种算法
根据问题 确定算法
网络运营者不得泄露个人信息