数据权利的归集:逻辑与进路
2021-01-29张钦昱
张钦昱
《中国互联网发展报告2020》显示,2019年我国数字经济总量规模达到35.8 亿元,占GDP 比重为36.2%,数字经济迎来黄金发展期。①参见《中国互联网发展报告2020》,载中国互联网络信息中心https://www.isc.org.cn/hyjl/zghlwdh/listinfo-37990.html,2021年4月10日访问。数字经济的发展浪潮催生了侵犯数据权益问题,数据立法方兴未艾。面对数字时代丛生的大量立法,本就对新兴科技引发的复杂法律关系一头雾水的用户更加不知所措。可以预见,数字经济在未来必将出现“法规爆炸”的局面,随之产生数据权利不透明、不便利、分散化的“法规污染”或“规范危机”现象②参见[德]托马斯·莱塞尔:《法社会学导论》,高旭军等译,上海人民出版社2008年版,第312 页。,限制用户获取数据的自由,妨碍数字经济的创新。哈贝马斯将上述现象形象地称为法律对社会生活的“殖民化”。③参见彭峰:《法律进化与环境法法典化的未来》,《东方法学》2010年第6 期。以系统化为目的的数据权利整合运动呼之欲出。
“数字和信息已经全方位覆盖了从摇篮到坟墓的全部私人生活,慢慢地积累所有数据,直至在计算机数据库中形成一个‘人’。”④[英]约翰·帕克:《全民监控——大数据时代的安全与隐私困境》,关立深译,金城出版社2015年版,第14 页。数据权利对用户权益的实现意义重大。域外已然出现欧盟《一般数据保护条例》(General Data Protection Regulation)(以下简称“《条例》”)《数字基本权利宪章》等数据权利专门立法,可以为我国构建数据权利大厦提供镜鉴。我国既有的文献多从数据权利的本质、外延或单一数据权利入手,对数据权利形式与观念的整体反思寥若晨星①参见夏海波:《数据权利边界之廓清》,《上海法学研究》2020年第5 卷;龚子秋:《公民“数据权”:一项新兴的基本人权》,《江海学刊》2018年第6 期;黄锫:《大数据时代个人数据权属的配置规则》,《法学杂志》2021年第1 期;李爱君:《数据权利属性与法律特征》,《东方法学》2018年第3 期。,因此,构建我国自洽的数据权利体系刻不容缓。本文创新性地以生产要素作为数据权利的衡量标准,通过梳理数据权利类型,试图确立适合数据权利的识别标准,研讨数据权利的合理分列模式,为建构全方位、立体式、跨部门的数据权利体系建言献策。
一、数据权利归集的时代呼唤:数据权利的结构性嬗变
(一)数据权利保护运动的因应
随着数字化的革命性变革,数据服务使用者和数字服务提供者的鸿沟被不断拉大,特别是规模庞大的数字平台横空出世,数据使用者的弱势地位暴露无遗,数字社会的诸多问题集中爆发。资本主义早期,社会生产以家庭作坊模式为主,生产者和消费者实力大体相当,彼此地位近似相等。垄断资本主义时期的来临使得社会分工不断细化,资本和技术逐渐向大企业聚焦,出现了劳动者和用人单位的对抗、消费者受到经营者欺诈、环境保护等问题,竞争法、劳动法、环境法纷至沓来,以为弱势群体赋能的形式抗衡强势主体。数字时代令用户的处境雪上加霜,用户被压迫欺凌的问题日益凸显。仅2020年上半年,全国消费者协会共收到消费者投诉50 万余件,涉及互联网服务的投诉量就高达5 万余件。②参见《2020年上半年全国消协组织受理投诉情况的分析》,载中国消费者协会官网http://www.cca.org.cn/zxsd/detail/29728.html,2021年4月11日访问。随着公众对自身数据权益保护意识的不断深化,用户与数字服务提供者之间有关数据的矛盾和纷争将更为激化,赋予用户更多数据权利的呼声日益高涨。
数据用户受害的形态有别于传统的消费者受害类型。依据受害者人数与损害程度,传统消费领域最常出现的三种类型是低额少数被害、高额多数被害和高额少数被害,分别对应一般的消费者纠纷、以三聚氰胺毒奶粉案为代表的食品安全纠纷、以不动产买卖和医疗过失为代表的高额经济损失或人身健康受损等情形。③参见王天雁:《消费者运动的民法回应——理念、制度和立法技术》,中国社会科学出版社2017年版,第23-24 页。但是,在数据社会中最常出现的是低额多数被害的情形,即基于同一个原因使数量众多的用户利益受到损害。比如,大数据杀熟就是数据服务提供者利用一套算法对用户实施的不当“剥削”行为,每个用户的受损金额彼此差异不大。④参见郑智航、徐昭曦:《大数据时代算法歧视的法律规制与司法审查——以美国法律实践为例》,《比较法研究》2019年第4 期。在低额多数案件中,每个用户因受损数额较少,维权成本较高,向数据服务提供者追究责任的意愿不高。当前的数据服务具有隐蔽性、专业性,加剧了用户与数据服务提供者之间的信息不对称。用户在面对强势互联网平台时,谈判与举证能力的欠缺,更使得用户面临心有余而力不足的困境,无从下手,更无处申辩。
用户不满情绪的不断累积使得数据权利保护运动箭在弦上,推动数据权利的系统化成为当然选择。数据权利保护运动历经了两次高潮。第一次高潮是2013年《中华人民共和国消费者权益保护法》的修订。该法的修订突破了我国数字经济立法空白的困境,首次以立法形式展示了新型数据权利,比如,增设了消费者个人信息保护权与网络购物“七天无理由退货”的反悔权,发挥了有益的示范作用。诸法开始意识到数字立法的切实需要,纷纷予以立法回应。比如,2016年颁布的《中华人民共和国网络安全法》(以下简称“《网络安全法》”)要求网络服务提供者在收集用户信息时必须明示,并取得用户同意。同意原则构建了互联网个人信息保护的核心原则。①参见《网络安全法》第22 条。《中华人民共和国刑法修正案(七)》与《中华人民共和国刑法修正案(九)》也增设了侵害个人信息犯罪的规定。第二次高潮是《中华人民共和国民法典》(以下简称“《民法典》”)对数字经济的体系化回应。在人格权编中,专章规定了个人信息的保护规则,以对接《网络安全法》的有关规定。②参见安柯颖:《个人数据安全的法律保护模式——从数据确权的视角切入》,《法学论坛》2021年第2 期。如今,个人信息立法还在进行。
数据权利保护运动的前两次高潮彰显了用户权利,但这些新型权利集中于民事领域,难以全面回应互联网带来的新问题。③参见王苑:《个人信息保护在民法中的表达——兼论民法与个人信息保护法之关系》,《华东政法大学学报》2021年第2 期。数据权利保护运动的第三次高潮箭在弦上。比如,阿里巴巴、亚马逊等跨境电商平台借助互联网跨境传输与处理信息,虽然实现了商业版图的扩张和经济利益的增长,但也暗含着侵害个人信息和个人隐私的风险,用户成了潜在的受害者。④参见朱晓娟:《论跨境电商中个人信息保护的制度构建与完善》,《法学杂志》2021年第2 期。再如,社区团购这种本质上利用人际关系网络催动购买力的新型社交电商模式,以砍价链接的方式实现了个人数据的交换与交流,但为经营者滥用消费者数据留有可乘之机。如何保障用户的新型数据权利还有待强化。数据服务作为社会基础服务,人们无法或缺。倘若数据平台切断用户的某项数据服务,如腾讯公司无端禁止某用户传输、接收数据,将会使得该用户处于数据孤岛,并承受无法承受之重。在数据权利保护运动的第三次高潮中产生的权利类型将呈井喷式发展,从私法到公法,从消费者权益保护法到知识产权法、竞争法等,不一而足。为了便于用户便捷快速地寻找权源,有效对抗数据服务提供者的侵权行为,需要汇集归类迥异的数据权利类型,确立基本数据权利。
(二)集约化国际立法趋势的显扬
各国和各地区数据权利的汇集趋势明显,成为数据领域当前立法的显著特点之一。2016年,德国商业界、学界、民权和政治经营领域的27 名专家草拟了《欧盟数字基本权利宪章》(Charter of Digital Fundamental Rights of the European Union)(以下简称“《宪章》”),并于2018年历经了第2 次修订。除了第23条“最后条款”规定的适用范围、解释权等外,其他22个条款各规定数字时代的一项基本权利。《宪章》序言指出,不断加剧的数字化进程正在改变人类生活的方方面面,冲击着个人、国家与企业之间原本复杂的关系,必须坚决捍卫自由、正义与团结的价值观。该《宪章》类似于一个政治宣言,为欧盟各成员国保护数据权利设定了目标和任务,旨在推动数字时代的权利保障。与《宪章》的思路类似,欧洲数据权利协会(EDRI)之后又制定了《数据权利宪章》(Charters of Digital Rights)。该协会由遍及欧洲21 个国家的36 个民事及人权组织共同发起,目标是促进、保护和坚守数字环境中的基本人权和自由。《数据权利宪章》列举了参与权、数据隐私保护权等10 项数据权利。
与上述“软法”不同,一些国家和地区纷纷对数据权利予以立法规定。法定的数据权利可以直接被用户援引,具有法律约束力。截至2018年,已有110多个国家和地区制定了数字保护的相关法律。①参见连玉明:《数权法2.0:数权的制度建构》,社会科学文献出版社2020年版,第249 页。较为新近的立法包括2018年芬兰颁布的《个人数据保护法》、2016年法国颁布的《数字共和国法案》等。尤为重要的是,一些国家聚焦数据权利单独立法,如2014年巴西国家议会颁布、总统签署的《网络权利体系》(Marco Civil da Internet)。该法旨在确立互联网使用的原则、权利、义务和保障,并为互联网行为提供指引。《网络权利体系》指出,人们在使用互联网时应当尊重自由表达、人权、个性发展、多元性、公开性、合作、自由竞争、消费者保护,应当保护互联网接入权及获得参与文化生活和公共治理信息与知识的权利,促进创新及推动科技发展,明确标准,实现软件和数据库之间的互联互通。该法分为五章,分别是总则、网络用户的权利及保护、互联网连接及使用、政府监管、附则。其中,网络用户的权利分为两大类十五小类。前者包括互联网个人数据和通讯隐私的保护,后者又详细分为数据保护、侵权责任、司法保护等方面。
数字权利的系统化趋势也彰显在数字立法的特定章节中。2016年4月,欧盟通过了“史上最严数据保护”的《条例》。该法案细化了个人信息权,具体包括数据的访问权、纠正权、被遗忘权、限制处理权、反对权、携带权等,总体上平衡了经营者大数据使用权益和客户个人数据权益。②参见张玉洁、胡振吉:《我国大数据法律定位的学说论证、司法立场与立法规范》,《政治与法律》2018年第10 期。2020年12月,欧盟委员会公布《数字服务法》(Digital Service Act)与《数字市场法》(Digital Markets Act)。前者规定了“守门人”(Gatekeeper)的特别义务,确保互联网巨头公平公正地参与市场竞争,后者则将目光集中于数字市场一般违法行为的规制。《数字服务法》在各章分别规定了互联网服务提供者的义务,透明安全环境的尽调义务,以及实施、合作、处罚和执行等。《数字服务法》以对经营者倾斜性苛加义务的方式,矫正用户与经营者之间的地位不平衡,保护使用者的数据权益,对抗数据企业的霸权地位。《数字服务法》鲜明地体现出数据权利实体化的变迁。它是建立在2020年10月欧盟议会通过的《〈数字服务法〉和基本权利决议》基础之上。③See European Parliament,Resolution on the Digital Services Act and fundamental rights issues posted (2020/2022(INI)).该决议不具有法律强制力,更多地起参照和示范作用。决议认为,技术的迅猛发展使得尊重基本权利,为数据提供者建规立制成为必需。《数字服务法》的颁布,正是回应了决议“应当确立统一规则,应对数据不法行为”的呼吁。此外,各国立法暗含着权利、义务齐头并重的价值取向。比如,《条例》主要规定了数据主体的多项权能,而通过对数据服务提供者义务的规定,《数字服务法》对用户权利起到了间接保护的作用。
(三)领域法学思维的水到渠成
领域法学以问题为导向,融合多种研究范式于一体,是兼具交叉性、开放性、应用性的新型法学话语体系。④参见刘剑文:《论领域法学:一种立足新兴交叉领域的法学研究范式》,《政法论丛》2016年第5 期。法律部门的划分为构建完备的法律体系,促进法律科学的体系化发展提供了重要线索。但经济社会生活逐渐复杂,随着互联网的出现,传播方式的更新,公共利益的注重,新的社会现象互相交织杂糅,将这些复杂的社会问题简单纳入某一具体部门法范畴,已经无法实现其规制目的。⑤参见王桦宇:《论领域法学作为法学研究的新思维——兼论财税法学研究范式转型》,《政法论丛》2016年第6 期。传统部门法的划分和以权利构建话语分析的路径对于解决实际问题毫无用处,只有将现代社会的新问题纳入法律的框架体系才是法学发展的追求目标。①参见尹亚军:《“问题导向式立法”:一个经济法立法趋势》,《法制与社会发展》2017年第1 期。以领域法学的思维和综合性的分析视角代替原有部门法视域单一的逻辑思维,已经成为法学研究范式发展的出路。
部门法学的传统研究范式在面对数字经济时捉襟见肘。2011年国务院新闻办发表了《中国特色社会主义法律体系》白皮书,梳理了中国特色社会主义法律体系,将我国法律体系划分为宪法相关法、民法商法、行政法、经济法、社会法、刑法、诉讼与非诉讼程序法七大部门。部门法的分类自此得到官方文件的盖棺定论。限于时代背景,当时仅有作为民法、商法部门法下知识产权部分的“信息网络传播权保护条例”被提及,是数据权利立法的唯一代表。随着新经济的蓬勃发展,互联网及数字立法位于何种法域及法律部门,各个高校的做法见仁见智。中国政法大学直接将网络法学界定为刑法学科,在刑事司法学院设立“网络法学研究所”,主要从事互联网犯罪的研究;清华大学法学院采取交叉学科的发展思维,成立了智能法治研究院,招收“计算法学”方向的研究生,集结计算机系、软件学院的师资力量,专司法学与人工智能的融合研究;中国人民大学法学院设立未来法治研究院,聚焦互联网、大数据、人工智能、区块链、物联网等科技革命对法学领域的挑战。未来法治研究院的研究人员均为相关部门法学者,以研究中心的非在编机构搭建研究平台,更加贴近领域法学的思维。在15 个未来法治研究院的研究平台中,数据权利研究中心赫然在列,数据权利作为互联网领域法学不可或缺的组成部分不言而喻。不过,数据权利的疆域无须局限于隐私权保护,可做适度延展。②参见中国人民大学未来法治研究院研究中心课题目录,http://lti.ruc.edu.cn/sy/yjyjj/jgsz/yjzx/index.htm,2021年4月10日访问。
我国数据立法愈发体现出向领域法学转型的趋势,“大”格局的互联网领域立法观呼之欲出。有学者认为,互联网的立法集中在底层的关键设施、中间层的互联网平台商务发展、应用层的个人信息保护三个方面,并指出它们构成了各国网络法研究的基本范畴与重点领域。③参见周汉华:《论互联网法》,《中国法学》2015年第3 期。对互联网的研究作上述分类,乃是借鉴了互联网的技术构成。④参见[美]劳伦斯·莱斯格:《思想的未来:网络时代公共知识领域的警示喻言》,李旭译,中信出版社2004年版,第23 页。关键设施是互联网发挥作用的物质前提,安全性的保障是其发挥互通互联作用的基础。互联网行业技术的标准性和兼容性,使得平台、数据发展为左右竞争关键的决定性因素。⑤参见孙晋:《谦抑理念下互联网服务行业经营者集中救济调适》,《中国法学》2018年第6 期。中间层是代码层或逻辑层,是数据空间与现实社会的最大区别。由代码集合而成的互联网平台及由此产生的双边市场,在传播方式、影响传导等方面与传统的经营者及单边市场迥然不同。互联网平台因定位、责任承担及规制方式区别于传统经营模式,需要特别研究。网络时代的信息传播容易出现范式革命,虚假、误导、淫秽信息泛滥,应当予以特别对待。个人信息因具有集合性、规模性、自动处理性等特征,在自动化营利目的的推送过程中需要更多的行政介入,这是单一部门法无法完全实现的。⑥参见王利明:《和而不同:隐私权与个人信息的规则界分和适用》,《法学评论》2021年第2 期。近年来,我国立法紧密围绕上述三个方面,如《中华人民共和国网络安全法》《中华人民共和国电子商务法》《中华人民共和国个人信息保护法》等便是典型体现。遗憾的是,这些法律在应对纷繁复杂的互联网问题时,仍挂一漏万。这些法律仅针对用户使用互联网时的安全、交易、信息等局部问题,并未涉猎人权、数据主权等问题,对数据这一新型客体的特点关注不够。
二、数据权利归集的外在形象:围绕三个争议展开
(一)目的之争:整合型抑或汇编型
法律的系统化可避免立法碎片化带来的各自为政,能够减少立法矛盾和盲区。①参见章志远:《中国特色行政法法典化的模式选择》,《法学》2018年第9 期。以《民法典》为标志,我国进入法典化时代。我国商法、行政法、经济法、环境法、知识产权法等各个部门法学者以《民法典》编纂为契机,纷纷呼吁部门法的法典化。②参见夏小雄:《民法典编纂背景下商事规范的“法典化”表达》,《法学》2016年第12 期;钟瑞华、李洪雷:《论我国行政法法典化的意义与路径——以民法典编纂为参照》,《行政管理改革》2020年第12 期;张守文:《经济法的立法统合:需要与可能》,《现代法学》2016年第3 期;周骁然:《体系化与科学化:环境法法典化目的的二元塑造》,《法制与社会发展》2020年第6 期;何华:《〈民法总则〉第123 条的功能考察——兼论知识产权法典化的未来发展》,《社会科学》2017年第10 期。按照归集目的,规范性文件的系统化主要存在整合型与汇编型两种技术路线。③有学者还提出“构建集成式法典”的路线。参见瞿郑龙:《新时代法典化的法理——“法典化时代的法理研究”学术研讨会暨“法理研究行动计划”第十五次例会述评》,《法制与社会发展》2021年第2 期。整合型路线以法律的革故鼎新为目的,梳理提炼出各单行法、习惯法和判例法的“公因式”,整合为相关法律形式,与原则、理念等一并置入整合后立法的总则,起到统领指导分则的目的,使得所有相关主题的规定融合为体系自洽的有机整体。整合型路线下总则与分则的关系好似太阳与行星的关系,后者围绕前者公转,并依据前者投射的光芒予以阐释。④参见石佳友:《解码法典化:基于比较法的全景式观察》,《比较法研究》2020年第4 期。潘德克顿法学派指引下形成的《民法典》是整合型路线的代表。《民法典》为人津津称道的是其体系的严谨性,建筑在概念之上的地基牢固异常,并不断向上推衍,形成严丝合缝、金光闪闪的大厦。⑤参见温世扬:《中国民法典体系构造的“前世”与“今生”》,《东方法学》2020年第4 期。区别于精密模式的整合型路线,汇编型路线的方法较为粗糙。汇编型路线认为,法律的系统化是管理纷繁复杂信息的基本路径,是一种收集、汇聚和管理各路信息,并确保结构化的信息能够有效传导至不同的社会群体。⑥参见[荷]扬·斯密茨:《信息社会下的民法典——兼论法典化之时代使命》,罗浏虎译,《求是学刊》2015年第1 期。因此,汇编型路线的主要目的是将零散化、碎片化的规范性文件杂糅于法律体系中,统一概念术语,协同规范表达,调整规范结构,使得它们形成融会贯通的法律表达。汇编后的体系化文件类似于存储器。对大量反复出现的相似问题抽象说明,意味着标准化回答变为可能,这能够统一法律实施成本。⑦参见[德]施密特·阿斯曼:《行政法体系及其构建》,刘飞译,《环球法律评论》2009年第5 期。一些学者提出的经济法、金融法的立法统合可作为汇编型路线的注解。⑧参见薛克鹏:《法典化背景下的经济法体系构造——兼论经济法的法典化》,《北方法学》2016年第5 期;邢会强:《论金融法的法典化》,《首都师范大学学报(社会科学版)》2016年第1 期。
数据权利的整合型路线面临封闭僵化的梗阻,操作起来困难重重。作为立法者的理想期待,为了实现形式上的整全性与方法论上的系统性,整合型路线以封闭和稳定为其重要特征。⑨参见刘凯:《法典化背景下的经济法统合性立法》,《法学》2020年第7 期。整合型路线致力于对既有社会现象及规范性文件的抽象,其内在逻辑是通过形式上的封闭化,实现体系上的纯粹化。法律的整合颇为不易,立法者试图将其确立为永恒体系,保持其基本架构的静止状态,确保其安定有序的立法整合初衷。⑩参见[秘鲁]玛丽亚·路易莎·穆里约:《大陆法系法典编纂的演变:迈向解法典化与法典的重构》,许中缘、周林刚译,《清华法学》2006年第2 期。到数字化时代,故步自封的整合型路径将不得不遇到过时的风险。数据权利不仅涉及民法上的隐私权,还包括国际法上的数据主权等,对它们抽丝剥茧地寻找一般规律,本就颇费周章。随着数字化技术的不断演进,新技术产生新客体,代码空间权、算法解释权、大数据有限排他权等新权利层出不穷,使得整合型路线较为脆弱,容易过时,一面是新型数据权利的批量诞生,一面是旧权利在互联网模式下不断地产生新内涵。变动不居的整合型立法灵活性不足,过于抽象的规则将阻碍其及时回应数字时代的变化及价值观的转换,甚至钳制数据权利的创设与演化。此外,整合型立法启动修订模式较为困难,在数据权利范畴未有定论、新型数据权利类型大量涌现的背景下,整合型路线不得不成为被舍弃的对象。
汇编型路线在规避整合型路线弊端的基础上,引领我国数据权利的塑形与升级。德国学者耶林说:“为权利而斗争”①[德]鲁道夫·冯·耶林:《为权利而斗争》,胡宝海译,中国法制出版社2004年版,第23 页。。汇编路线就是要通过集中、明文的规定,宣示数据权利的存在。数据立法以规制数据市场乱象为目标,助力大数据行业健康有序的发展。通过数据汇编立法,将数据权利集中体现,有助于彰显经营者对用户的尊重。对经营者合理使用大数据权的鼓励,也表明了法律对数据权利保护的决心。②参见钟瑞华、李洪雷:《论我国行政法法典化的意义与路径——以民法典编纂为参照》,《行政管理改革》2020年第12 期。目前,学界对于数据内涵与外延的争论较广,对数据权属范围的划定、数据使用违法行为的认定、数据权与其他相邻权划分界限等问题在现行法上迟迟未有结论。③参见丁晓东:《数据到底属于谁?——从网络爬虫看平台数据权属与数据保护》,《华东政法大学学报》2019年第5 期。整合型路线不具有可行性。此外,零散分布的与数据相关的法律,使得用户和执法者在对权利的可接近程度上地位不平等,用户的权益难以得到精准维护。纵然较为粗犷,理性化不深,统合程度不强,但汇编型立法使得权利内涵和外延更加公开透明,有助于节约立法资源,限制执法机关的自由裁量权,保障用户和执法者有近乎相同的机会接近法律,有利于社会大众对执法的监督。④参见徐国栋:《民法典与权力控制》,《法学研究》1995年第1 期。
(二)效力之争:硬法抑或软法
依据是否由国家强制保护实施为标准,可将法律划分为软法和硬法。“软法”是指难以运用国家强制力保护实施的、具有公共规制性质的文件或惯例;“硬法”是指以国家强制力为后盾的法律规范。⑤参见沈宗灵主编:《法理学》,高等教育出版社2004年版,第42 页。与此相对应,数据市场领域下的监管手段也可分为两种:一种是以《数字基本权利宪章》为代表的、具有宣誓倡导性意义的软法;另一种是以欧盟《条例》为代表的、具有强制效力的硬法。在数据权利归集的文件效力形式中,硬法是上策,对捋顺数据市场的秩序效果显著且稳定。但是,硬法在应对变幻莫测的数据时代存在硬伤⑥参见王怀勇、钟颖:《论互联网金融的软法之治》,《现代法学》2017年第6 期。,时常规制效果不佳。⑦参见石佑启、陈可翔:《论互联网公共领域的软法治理》,《行政法学研究》2018年第4 期。数据使用行为伴随着技术运用,基于技术中立原则,数据滥用行为违法性难辨。“大数据杀熟”肆虐多年,却依旧无法以标准化、体系性的方式解决就是印证。在硬法实施重拳之下,还涉及市场与政府关系的讨论,政府过度介入市场,将有损经营者的积极性。⑧参见张钦昱:《公司市场退出法律制度的嬗变逻辑与进化路径》,《政治与法律》2021年第2 期。此外,我国已有多部数据相关立法,再进行相关部门立法,将浪费立法资源。独立章节立法将冲击现有法律体系,造成体系混乱,也不具有施行的可能性。
当今时代是“人人都有扬声器”的时代。①参见詹世友:《公共领域·公共利益·公共性》,《社会科学》2005年第7 期。大数据应用已成为法治中国建设的重要动力源,不仅推动了商业模式的革新,也推动了法律体系的更新。为了实现自身的有序发展,多数数据平台自带争议解决的机制,促发了行业自治的崛起。②参见张钦昱:《行业协会是创新社会治理的助推器》,《人民论坛》2020年第25 期。在“硬法”未能及时提供规制依据的情况下,“软法”先行予以引导方是上策。“软法之治”已经来临。“软法之治”被学者们寄予厚望,承担着重要的历史使命。③参见马长山:《互联网+时代“软法之治”的问题与对策》,《现代法学》2016年第5 期。例如,《安徽省大数据发展条例》《浙江省数字经济促进条例》等各省颁布的数字经济促进法规皆为软法。大企业一般是数据的实际控制者。数据或互联网行业协会代表行业利益难以保持中立,诸如数据权利宪章等的起草由居于弱势且能代表社会公共利益的消费者牵头较为适宜。“软法”宜有,但不宜过多。“软法”解决纠纷终究能力有限,对小额数据滥用行为规制效果显著,但对外部性较大的案件无能为力。软法之治对数据侵权的形式、结果认定、赔偿等规定不明,缺乏像硬法那样的稳定条文。④参见张祺好:《互联网新业态的“软法”兴起及其规制》,《法学》2018年第2 期。因此,软法只能是辅助,无法成为肃清数据侵权的主力。我国未来数据保护应在缓解硬法僵化的基础上,补充相应的软法。
(三)模式之争:形式主义抑或实质主义
权利表征可大致分为形式主义和实质主义两种。形式主义强调通过明确的法律规范对权利类型加以规定,以彰显权利价值。《条例》是数据立法形式主义的典型代表。该法案通过明文规定,界定数据权的具体类型,从正面宣示数据权利人的权能。实质主义是通过明晰和强化外部行为人的义务,实现对权利的有效尊重和反射保护。⑤参见张钦昱:《新型权利之检讨与义务之勃兴——群体性权利的视角》,《思想战线》2021年第1 期。实质主义权利范式通过设定义务、禁止性规范,为市场主体附加特殊义务并强制履行。⑥参见陈婉玲:《判断与甄别:经济法权利辨析——以市场主体权利为视角》,《政法论坛》2017年第4 期。实质主义认为,数据法应在“天平”一边增加“筹码”的同时,从另一边撤掉一些“筹码”,即一边增设义务一边撤掉权利。⑦参见陈婉玲:《经济法责任的归责原则》,《政法论坛》第2010年第6 期。以实质主义形式保护权利,其优点在于政府能够积极履行市场监管职能,用户免于举证,有效避免诉累。⑧参见冯果、薛亦飒:《从“权利规范模式”走向“行为控制模式”的数据信托——数据主体权利保护机制构建的另一种思路》,《法学评论》2020年第3 期。《欧洲数字服务法》采用的便是实质主义,其主要通过规定平台义务反射平台使用者权利,由政府监管实施。
数据权利保护应以形式主义为主,数据权利的归集模式应从实质主义的“无为”转向形式主义的“有为”。我国《民法典》没有如《条例》那样翔实、周全地列举数据权利,但在个人信息保护中明确了数据使用的权利界限,奠定了数据权利的形式主义保护基调。依据《民法典》第111 条规定⑨《民法典》第111 条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”,《民法典》治域下的数据权利至少包含信息安全、收集、使用、加工、传输、保密等几项权能。与此相适应,数据权在形式上至少也应包含上述几项权利。在信息化、智能化经济的驱动下,未来若以硬法的形式对数据权利内涵及其相关主体、相关行为加以规制,数据权是不可回避的话题。若仅以实质主义形式加以规定,人们对数据保护法将产生“义务本位”法的误解,不利于正面宣扬数据权利与权利保护。电商企业以用户数据为生存基础,大数据分析能力是其重要的核心竞争力。经营者数据权能否获得法律的认可关乎电子商务产业的未来发展前景。数据立法应当深刻意识到“权利不足”的后果,以形式主义模式明文规定数据权利,让流浪在外的数据权回家。①参见何锦前:《让流浪的权利回家——经济法学“权利缺失”现象反思》,《现代法学》2015年第2 期。
三、数据权利归集的内在逻辑:以作为生产要素的数据为线索
党的十九届四中全会首次提出,应当“健全……数据等生产要素按贡献参与分配的机制”。数据作为生产要素由此得到顶层设计的认可。作为创新和发展的重要引擎,数据要素代表了先进生产力的发展方向。如今,全社会步入了数据驱动时代。以数据的生产要素本质作为识别数据权利的范畴,具有创新性。将数据权利置于社会化大生产,意味着尚须考虑国家、行政机关在实现协调、稳定、有序的数据市场和数据经济方面的功效。数据权利不再局限于私权视阈的人格权与财产权,甚至商业秘密权或知识产权,还应当考虑行政机关分享应用数据权和国家的数据主权。
(一)数据权利归集的导向:数据要素生产的市场化
《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》明确指出,“完善要素市场化配置是建设统一开放、竞争有序市场体系的内在要求,是坚持和完善社会主义基本经济制度、加快完善社会主义市场经济体制的重要内容。”资源配置价值最大化是衡量一切法律乃至所有公共政策适当与否的根本标准。②参见张钦昱:《我国破产法的系统性反思与重构——以世界银行〈营商环境报告〉之“办理破产”指标为视角》,《法商研究》2020年第6期。法治是在法律完整性和社会现实开放性的两难抉择中寻找平衡,其进化过程可大致分为压制型法、自治型法和回应型法三个阶段。回应型法以负责任、有选择的适应能力,通过考虑社会所处环境中的各种新力量,将社会压力转变为自我矫正的机会。③参见[美] P.诺内特、P.塞尔兹尼克:《转变中的法律与社会:迈向回应型法》,张志铭译,中国政法大学出版社2004年版,第84-85 页。数据要素的市场化发展,应以数据生产价值最大化为目的,服务于数据的生产需要,建构相应的权利体系,回应数字经济发展的迫切需要。
数据权的设置应与数据生产过程相契合。数据由用户自主提供,这是数据的初次生产,创造者对此种数据享有人身和财产的权益。这类数据权具有鲜明的私人属性,在数据利用过程中应当尊重数据的私人属性,维护用户的人格尊严和隐私权。同时,在尊重大数据时代个体意愿和需要的前提下,个体可以个人隐私公开为代价,换取质量更高、更精准便捷的服务。④参见李勇坚:《个人数据权利体系的理论建构》,《中国社会科学院研究生院学报》2019年第5 期。数据的再生产集中在政府和企业的二次数据加工之中。政府在生产数据的过程中,应当遵循比例原则和侵害最小化原则,除维护社会公共利益外,不得干涉用户的数据自由和企业的数据利用活动。数据企业在用户数据的基础上,将数据来源者的本身状态和在线活动记录下来,整理生产成新的数据。⑤参见高富平:《数据生产理论——数据资源权利配置的基础理论》,《交大法学》2019年第4 期。在该过程中,应当充分尊重用户的数据初始权利与中小企业的竞争利益。在有序的数据市场中,公平竞争机制引导市场自主有效地配置数据权利,但此种机制有效性的发挥以数据权利的初始合理配置为前提,否则会产生数据市场失灵、数据霸权大行其道的问题。市场机制的失灵可以通过调整市场资源配置的方式,通过赋权为数据权利人的行为自由划定界限,为数据利用者提供合理的行为预期。①参见李晓宇:《大数据时代互联网平台公开数据赋权保护的反思与法律救济进路》,《知识产权》2021年第2 期。针对目前数据地位不均衡的问题,权利的天平应当向相对弱势的用户和中小企业倾斜②参见张钦昱:《破产法与反垄断法的异化与共生》,《法学评论》2021年第3 期。,让数据权利的决策权和主动权掌握在弱势方手中,由此才能保障弱势方有能力与数据强势方相抗衡,借助数据权利的二次分配,最终实现数据市场的均衡。
(二)数据权利归集的立场:数据要素生产中的博弈与平衡
数据权利背后是多种利益的杂糅和博弈。法律必须在各方利益之间进行协调平衡。③参见张钦昱:《重整计划制定权归属的多元论》,《社会科学》2020年第2 期。数据背后承载的用户权利和数据利用的社会价值应如何抉择?如何使数据在公平利用和创新促进之间达成平衡?上述问题亟待数据权利的归集作出回应。
1.数据权利的属性选择:封闭私权抑或开放公权
“数据权利的让渡与数据权力的衰退是数据权发展的必然趋势,是个体差异与群体共享的必然要求。”④连玉明:《数权法2.0:数权的制度建构》,社会科学文献出版社2020年版,第98 页。数据权的私权价值与公益促进相互依托,要求数据权的发展既回应私权保护问题,又适配数据的共享价值。个人信息并不是当然归属于个人,尚有一部分数据具有公共资源属性,当归属于社会。⑤参见高富平:《个人信息保护:从个人控制到社会控制》,《法学研究》2018年第3 期。在大数据背景下,数据的重要性不仅在于初始数据,更在于以大量数据为基础所实施的二次分析。⑥参见高莉:《大数据伦理与权利语境——美国数据保护论争的启示》,《江海学刊》2018年第6 期。数据生产理论揭示了数据的生产过程,着重强调获得用户授权和向用户支付对价过程中的企业成本,以及社会所提供的相应配套设置。社会实现数据互通和共享是数据权公共属性的必然要求。政府在提供公共服务的过程中收集的数据应当回馈社会大众,减少因部门利益不一致而形成的“数据孤岛”问题,将真正属于公众的共同数据财产由全体人民共享。经过汇集、脱敏、脱密处理的企业数据主要集中在数字巨头手中,因其享受众多社会福利和资源优势,应当承担起数据流通和利用的社会责任,共享重要的大数据,促进社会整体数据的创新和利用。
2.数据权利的价值选择:公平使用抑或效率优先
高集中度的数据归属形成了数据的规模效应,有效地促进了数据企业的创新和生产效率的提高,实现了数据价值的最大化。⑦参见何大安:《大数据、人工智能与厂商竞争路径》,《商业经济与管理》2020年第7 期。但是,真空状态的数据权利致使个人被互联网巨头、垄断企业所裹挟,陷入权利受到侵犯的担忧与恐惧之中。特别是数据巨头能够通过算法共谋等技术手段最大限度地攫取消费者的剩余价值。数据要素市场迫切需要数据产权、共益权与安全权的引导,压缩私权自由处置的法益范围,重构数据权利体系,削弱垄断者的数据霸权地位。权利配置应当向处于弱势地位的用户倾斜,矫正现有失衡的数据权利分配格局,充分保障用户主体相应的数据权利。我国2021年4月29日发布的《个人信息保护法(草案二审稿)》(以下简称“《草案二审稿》”)第57 条新增超大互联网平台特定的个人信息保护义务要求,首次从法律层面明确提出强化超大互联网平台个人信息保护义务,体现了向数据弱势方倾斜的价值选择。
(三)数据权利归集的标准:有利于数据要素生产
1.作为数据要素生产前提的产权
产权是一切权利的起始,清晰的产权界定是市场交易的先决条件,能够让交易双方在发挥各自优势的情况下降低交易成本,提高资源配置效率。①See Ronald H.Coase,“The Problem of Social Cost”,3 Journal of Law and Economics 1 (1960).2021年3月15日,中央财经委员会第九次会议强调要加强数据产权制度建设。无论是产业数字化抑或数据产业化,数据作为生产要素的前提是明确其产权归属。数据的产权清晰避免了数据易复制、易破解、易采集等风险,有利于实现数据安全,保障数据资源化、资产化、资本化的路径演进。
权利主体不同,数据的产权规则也有所差异。个人对原始数据拥有绝对控制权。我国一直强调个人数据的重要性,如宪法规定保护公民的人格尊严、通信秘密,民法规定个人数据保护制度,相关司法解释②参见最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年6月1日施行)第1 条。和法律规范③参见《信息安全技术个人信息安全规范》(2020年10月1日实施)第3 条。均对个人信息予以详细的界定。只有在法律有明确规定且不损害用户利益的情况下,其他需要使用数据的主体才可以有限地使用原始数据。企业对其加工的数据享有所有权。每个企业都有独属于自己的信息数据系统,该系统是通过对大量的庞大繁杂的原始数据进行加工、分类之后形成的,企业是数据生产者。④参见戚聿东、刘欢欢:《数字经济下数据的生产要素属性及其市场化配置机制研究》,《经济纵横》2020年第11 期。企业在加工数据过程中投入了大量的生产要素,这类数据权应当有特殊的保护机制。⑤参见龙卫球:《再论企业数据保护的财产权化路径》,《东方法学》2018年第3 期。该数据大体可以分为两类:一类是企业与他人互动交流过程中产生的,双方均拥有相应数据的所有权;另一类属于企业的商业秘密,是企业内部经营管理活动时所形成的敏感信息,属于企业的商业秘密,完全属于企业控制。⑥参见曹建民:《厘清数据权属问题,让新生产要素充分释放能量》,《中国电信业》2020年第6 期。政府享有所有权和处置权的数据具有公共性。公共数据的权属配置既关系公共数据资源的利用与保护,又关乎数字经济发展与经济转型。鉴于公共数据的构建主体是政府,该数据产权属于政府。但政府作为公共管理服务组织,利用公共权力采集、整理的数据也具有公共性,属于公共用品。收集该数据的目的是为了增进社会福祉,与国家和社会整体利益息息相关,属于全社会的全体公民所有,其产生的收益也应归属于全体公民,政府应将该数据共享。⑦参见肖泽晟:《论国家所有权与行政权的关系》,《中国法学》2016年第6 期。
2.作为数据要素生产目标的共益权
数据的生产旨在为终端的使用环节服务,但其作用绝不止于生产环节。经过生产、加工的数据能够帮助企业提升组织管理效率,推动企业推陈出新,帮助用户享受快捷便利的生活。在近现代社会之前,被公开的信息被理所应当地认为处于公共领域,可以为任何人自由利用。在信息大爆炸时代,人们直接获得信息的概率降低,数据处理技术蓬勃发展,经过梳理的有效数据逐步退出公共领域,人们获得信息的效率大打折扣。数据价值的最大化在于其能被更多人分享。但是,数据共享难、流通难掣肘数字经济的发展。数据剥削问题频繁发生,分享功能式微,制约数据自由化、平等化演进。
数据权利的设置应当有利于实现数据的高流动性。数据要素的本质是高流动性,流动性越强的生产要素越能实现乘数效应,提升社会生产效率。①参见刘玉奇、王强:《数字化视角下的数据生产要素与资源配置重构研究——新零售与数字化转型》,《商业经济研究》2019年第16 期。《关于构建更加完善的要素市场化配置体制机制的意见》也指出,应当“提升社会数据资源价值。培育数字经济新产业、新业态和新模式,支持……数据开发利用的场景”。数据是准公共物品,为避免产生悲剧,应对其强化开放共享。数据技术的自由发展不会诱发数据异化,但封闭的数据系统会产生“数据孤岛”问题。②参见操奇、孟子硕:《数据作为生产要素参与分配机制的几个问题》,《福建论坛(人文社会科学版)》2020年第11 期。因此,国家应坚持数据全球化战略,与他国互联互通。政府应将公开收集的公共数据回馈给社会公众。③参见刘权:《政府数据开放的立法路径》,《暨南学报(哲学社会科学版)》2021年第1 期。用户应享有强令数据服务提供者开放数据的权利,防止数据巨头数据不兼容、不互通情况的发生。此外,应当促进价格形成机制,建立数据交易市场,为数据的流转交易赋权,实现数据的共享价值。
3.作为数据要素生产保障的安全权
《关于构建更加完善的要素市场化配置体制机制的意见》指出,“加强对政务数据、企业商业秘密和个人数据的保护”。习近平总书记指出,“没有网络安全就没有国家安全”④参见习近平:《总体布局统筹各方创新发展努力把我国建设成为网络强国》,《人民日报》2014年2月28日。。数据安全就是网络安全的基础。数据安全日益成为保障经济发展、社会稳定和国家安全的重要基石。2021年4月29日发布的《中华人民共和国数据安全法(草案二次审议稿)》(以下简称“《草案二次审议稿》”)进一步明确国家建立数据分级分类保护制度,由国家确定重要数据目录,由各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录。数据分级分类保护制度将成为我国数据安全的基本制度,对于推进数据安全保护具有重大意义。当今世界,自“棱镜门”事件之后,国家数据主权受到数据霸权国家侵害、跨境数据流动国际规则不明导致数据主权纠纷频发等多方面的威胁。若要在世界数据丛林中屹立不倒,应从国家整体安全观出发,宣誓我国数据主权,保障国家主权能够覆盖数据市场领域,对管辖范围内的数据资源享有最高管辖权。⑤参见杨蓉:《从信息安全、数据安全到算法安全——总体国家安全观视角下的网络法律治理》,《法学评论》2021年第1 期。《草案二次审议稿》明显加强了对重要数据出境、向境外司法或执法机构提供存储于中国境内的数据监管,强化了国家数据主权保护。此外,不加限制地任由政府随意进入数据市场领域,极易引发政府不当侵夺企业数据,造成政府失灵问题。为了与政府权力形成有效对抗,防止政府权力的无限扩张,企业应享有维护数据安全的权利。维护企业数据安全,就是维护企业乃至数据行业生根发展的命脉。相较于有公权力保障的国家及集人力、财力于一身的企业,个人用户是最弱势的存在,用户的个人数据安全权理应得到充分保障。正如《条例》第1 条宣示:“本条例保护自然人的基本权利和自由,特别是自然人享有的个人数据保护的权利。”《条例》中所规定的大部分数据权利都关乎个人数据安全。例如,数据访问权保护个人数据的使用安全,被遗忘权保护个人数据的安全公开。⑥参见郑曦:《个人信息保护视角下的刑事被遗忘权对应义务研究》,《浙江工商大学学报》2019年第1 期。《草案二审稿》亦是从个人数据安全角度出发,以“告知-同意”为核心准则,确保重要信息必须告知用户并经用户同意,他人方可有限使用,并新增条款严格限制在合理的范围内处理已公开的个人信息,从而维护用户个人数据安全。
四、数据权利归集的具象图景:四维主体架构
数据权并非单一权利,而是包罗万象,涉域较“权利束”广。①参见闫立冬:《以“权利束”视角探究数据权利》,《东方法学》2019年第2 期。下文以数据要素的生产为视角,从国家、政府、企业和用户四个维度普查数据的权利图谱。
(一)国家的数据权:数据主权
国家数据主权是一个国家对其管辖下的数据享有的最高权力,即独立自主占有、处理和管理本国数据并排除他国和其他组织干预的国家最高权力。作为国家主权在大数据领域的延伸与扩展,国家数据主权既具有国家主权的基本特征,又具有基于数据本身的特殊性。对内,国家具有对数据的最高管辖权;对外,国家在网络数据上具有独立自主权与合作权。网络空间的数据具有虚拟性、流动性以及人工智能技术发展背景下重要的战略属性。②参见翟志勇:《数据主权的兴起及其双重属性》,《中国法律评论》2018年第6 期。国家数据主权具有维护国家安全和反对数据霸权的双重属性。
按照传统国家主权理论,主权是国家与生俱来的对内最高统治权和对外独立权,包含平等权、管辖权、独立权、自卫权等内容。作为国家主权在数据空间的延伸,数据主权相应具有如下四项基本内容。
1.数据平等权
作为数据主权的基本权项之一,数据平等权是指相互独立的主权国家彼此承认数据主权的平等性,各自独立管理国内数据和平等参与国际数据合作共享的权利。数据平等权主要体现在对外层面,即各主权国家相互独立和认同,不存在一国对其他主权国家主张数据管辖权,各国在国际数据分享与合作中是一种平等关系。数据平等权是指平等地享有数据资源,即各国在不损害其他国家主权的情况下都有自由使用数据的权利。各国在参与国际数据交流共享、进行平等数据交换时,应以平等的交换条件为基础,平等地制定数据规则;各国在制定本国数据规则时,应制定平等的数据规则,避免侵害对其数据服务有依赖的他国利益。
2.数据管辖权
数据管辖权,是指一国对其数据生成、存储和传输的物理设备及相关服务等享有维护、管理和利用的权利。③参见蔡翠红:《云时代数据主权概念及其运用前景》,《现代国际关系》2013年第12 期。数据具有无体性的特征,常常可以跨越国家领土的界限。数据管辖权可以划分为属地管辖权与域外管辖权。数据属地管辖权是主权国家独立管控本国领土之上数据及其主体和行为的最高权力。数据主权的构建将以属地管辖权为中心展开,逐步扩展至境外与其他法域相衔接,最终形成数据领域的新型国际法律制度。属人管辖权的行使以数据用户的国籍为基础。保护性管辖权适用于他国公民在境外所实施的数据行为侵犯本国利益的情形。普遍管辖权是由国际法确认的,各国均可以对危害人类的数据违法行为采取管辖措施。
3.数据自主发展权
主权国家享有选择数据技术和数据产业的自主发展权,数据自主发展权是一国内部事务,是一国主权的体现。①参见齐爱民、祝高峰:《论国家数据主权制度的确立与完善》,《苏州大学学报(哲学社会科学版)》2016年第1 期。由于发达国家在数据资源领域往往具有技术垄断优势,极易形成数据霸权和数据强权。数据自主发展权强调国家有权选择数据技术和数据产业的自主发展,只有在独立自主的发展基础上建立自主发展的数据产业,才能满足国家在信息基础设施建设、数据资源的开发利用、数据系统技术应用等方面的长远发展需求②参见张建文、贾章范:《法经济学视角下数据主权的解释逻辑与制度构建》,《重庆邮电大学学报(社会科学版)》2018年第6 期。,切实维护国家主权安全。
4.数据自卫权
根据国家主权原则,国家基于生存和安全享有为维护政治独立和领土完整而对外来侵略和威胁进行防卫的权力。信息时代,数据成为最重要的资产,国与国之间的斗争将围绕争夺数据展开,当国家的数据主权遭受外部数据窃取、监控或攻击时,主权国家享有基于维护国家利益而实施自卫的权利。现代战争运转机制对数据的依赖度越来越高,数据攻击能够轻易地破坏作战指挥系统,无异于传统战争中的有形军事打击手段,当数据攻击带来严重的有形打击威胁到国家安全时,主权国家以此为依据维护国家权益。
(二)政府的数据权:公共数据权
伴随治理能力和治理水平的不断提高,政府在履职过程中集聚了大量的数据资源。行政机关对这一部分公共数据资源享有的相关权利,即政府的公共数据权。行政机关是公共数据的最重要主体,明确政府公共数据权的权限及内容,有助于行政机关在大数据时代充分利用政府数据提供更好的服务,满足公民对公共数据的知情需求与使用需求,推进数字政府建设。③参见焦海洋:《中国政府数据开放共享的正当性辨析》,《电子政务》2017年第5 期。
1.数据共享权
数据共享权是对政府集聚的公共数据进行共享的权利,包括部门数据共享权与公共数据开放权。“部门数据共享权”形成于行政机关内部,行政机关聚集的公共数据被分割在不同的政府部门,由于限制流通和缺乏整理,存在大量政府数据严重浪费的情形。部门数据共享权促进了公共数据在行政机关内部的自由流通,打破了数据条块分割,增加了可共享的数据资源。④参见张亚楠:《政府数据共享:内在要义、法治壁垒及其破解之道》,《理论探索》2019年第5 期。“公共数据开放权”是行政机关对社会公众开放数据的权力。行政机关拥有对公共数据这种特殊公共资源的管理权限,行政机关可通过积极行使数据共享权实现公共数据开放,以回应公众政府数据获取和使用的需求。行政机关可借助新媒体技术提升政府数据开放能力,建立完善政府数据开放的利益表达机制,实现数据权益共享,包括公众请求分享政府数据资源的权利实现机制和公众有权平等获取政府数据资源的权利实现机制。
2.数据许可使用权
行政许可的前提是某种行为因具有潜在危险性应被法律限制或禁止,但这种被限制或禁止的行为又会给社会或个人带来好处,因此这种限制或禁止又在一定条件下予以解除。⑤参见张钦昱:《僵尸企业出清新解:强制注销的制度安排》,《法学杂志》2019年第12 期。政府公共数据的许可使用不仅涉及国家安全、公共利益,更关涉企业、社会组织和公民的权利。数据的许可使用权对应的是公民知情权,其核心问题在于政府进行数据开放的范围和边界。政府数据具有公有物品特质。行政机关在行使许可使用权时需要权衡国家安全和社会公共利益,做到“宽严相济”。“严”即对于依据相关法律规定应予以保密的数据应当严格管控;“宽”即其他数据应当作为开放数据处理由全体公众共享。公众在获取政府数据资源后,有权通过各种途径或方式对这些数据资源加以整理、分析和评价,以挖掘和发现政府数据的潜在价值。①参见朱峥:《政府数据开放的权利基础及其制度构建》,《电子政务》2020年第10 期。
3.数据获取权
数据获取权是指为了国家安全和社会公共利益,行政机关有权通过一定的技术手段,无偿或有偿地获取有关政治、经济、文化、社会和生态等领域的数据资源。②参见吕廷君:《数据权体系及其法治意义》,《中共中央党校学报》2017年第5 期。数据获取权的行使应当遵循比例原则。③参见汪全胜:《政府获取个人数据的权利及其限制》,《情报理论与实践》2006年第5 期。行政机关通过技术手段获取数据必须符合实现国家安全和社会公共利益的目的,必须选择对数据相关主体和公共利益损害最小的技术手段,行政机关采取技术手段获取数据资源的行为方式对数据主体造成的损害与社会获得的利益之间应当均衡。
(三)企业的数据权:数据控制权
企业数据权是指企业基于商业运营的需要,对其所控制的数据应享有的权利。因为企业资金雄厚,人力资源丰厚,技术处于优势地位,一般以数据控制者的面目出现。企业数据蕴含企业经营信息,可促进企业有效决策,为企业带来潜在的竞争优势。④参见魏远山:《我国数据权演进历程回顾与趋势展望》,《图书馆论坛》2021年第1 期。企业数据权有助于激励企业经营发展,帮助企业开发潜在的客户群,建立企业营销网络,增加企业利润。⑤参见周澍:《数据交易下权益边界的实践探索与调适》,《电子知识产权》2020年第2 期。企业数据的动态生产“链条”包含数据的收集、控制、使用和流转四个步骤。企业的数据来源于收集和分析活动,只有经过收集的数据才能视为由企业控制。⑥参见张钦昱、付中华:《区块链时代破产法的机遇与挑战》,《财经理论与实践》2020年第6 期。企业应严格控制数据的收集、分析、传播等环节,以免泄露危殆企业的商业机密。企业收集的原始数据要经过复杂的加工流程才能成为企业实质需要的“有效数据”。为实现数据价值的帕累托最优,数据流转成为必不可少的环节。
1.数据收集权
数据收集权作为数据的“源泉”,奠定了企业数据权发展的根基。企业数据权的权利客体为数据集合体,对大量的数据进行分析将会抽象出数据主体背后的普遍性特征。⑦参见高富平:《数据流通理论数据资源权利配置的基础》,《中外法学》2019年第6 期。若将原始数据比作矿石,企业就是矿工,企业通过其技术对数据进行收集并存储的过程就是“采矿”的过程。⑧参见黄震、蒋松成:《数据控制者的权利与限制》,《陕西师范大学学报(哲学与社会科学版)》2019年第6 期。按照数据收集方式的不同,数据收集权分为直接收集与间接收集两种权利,前者指企业从数据源头直接获取数据,后者指企业从其他企业获取数据或通过控制其他企业以获得对数据的控制。
2.数据控制权
数据控制权是指企业取得数据后享有的可直接加以支配并享受其利益,以及排斥他人干涉的权利。数据控制权具有“公示”效用,在数据权利转移、授权时发生效力。⑨参见陆小华:《信息财产权:民法视角中的新财富保护模式》,法律出版社2009年版,第364 页。若缺少核心的排他性保护权利,企业仅能选择通过设置技术壁垒以实现对专有数据的控制,对整体社会效益有害无利。
3.数据使用权
数据使用权是指企业对数据进行整理、加工、修改、分析、收益的权利。企业收集数据的目的是通过使用数据找到数据信息背后所蕴含的价值,将企业数据经济价值变现,助力企业获得竞争优势。企业使用数据获取商业利益的整体过程即是数据使用权的体现。
4.数据流转权
数据流转权是指企业通过交易、传播等形式获取商业利益,实现企业数据价值的权利。“大数据时代,数据犹如石油一般取得了基础战略资源的地位。”①时明涛:《大数据时代企业数据权利保护的困境与突破》,《电子知识产权》2020年第7 期。数据流转权是实现数据价值的基础。数据流转形式主要分为数据交易权与数据传播权。数据交易权指企业将其获取的数据权利与其他市场主体进行买卖的权利;数据传播权指企业为扩大自身影响力或以实现公共利益为目的将数据向社会和公众公开的权利。
(四)用户的数据权利:数据私权束
数据高度依赖于链条化的处理场景。互联网时代的数据多会经历原始数据生产(采集)和数据集的生产(汇集性处理)两个生产过程。②参见高富平:《数据生产理论——数据资源权利配置的基础理论》,《交大法学》2019年第4 期。据此,结合欧盟《条例》,可将用户数据权利细化为数据采集确认权、数据汇集介入权、数据处理保障权。
1.数据采集确认权
数据采集确认权是指用户对向控制者等提供的初始数据享有的知晓相关信息和交流、更正不完整或不完善数据、在个人信息被跨境转移时知晓相应保障措施的权利。其特征包括内容全面性、行权及时性、数据准确性。数据采集确认权又分为三项具体权利。
第一,一般知情权。用户的数据采集确认权体现为知情形式方面,控制者应当以一种容易获取和理解的途径,向数据主体提供与知情权等权利相关的所有信息或交流,包括书面形式为主口头形式为辅、电子化形式须机器可读等细化规定。在知情时限方面,采取了“1+2+n”的做法,即控制者应当在收到请求后1 个月内提供信息,必要时延长2 个月,再有需要时自收到请求的1 个月内将延长事项告知数据主体;在费用方面,控制者向用户提供的交流与行为应当免费,即使存在收费的例外规定也应对控制者有较为严苛的要求,即“证明数据主体的请求明显是毫无根据的或过分的”。③参见《条例》第12 条。
第二,对原始数据的更正权。控制者在收集用户信息后,用户有权要求及时更新或完善与其相关的不完整数据。④同注③,第16 条。
第三,特殊情形下的访问权。若用户的个人信息被跨境转移,用户有权获知和转移相关的保障措施。⑤同注③,第15 条。
2.数据汇集介入权
数据汇集介入权是指用户在控制者处理数据阶段中所享有的知晓处理目的和法律基础等信息、要求更正处理不当的信息或反对控制者处理信息、获取或传输处理后的数据副本等权利。其特征在于诉求合理性、方式恰当性和目的限制性。数据汇集介入权又分为四项具体权利。
第一,特殊知情权。控制者在收集用户数据后,需要向用户提供控制者的身份与详细联系方式、数据保护官的详细联系方式、处理将要涉及到的个人数据的目的,以及处理的法律基础等信息。针对未获得数据主体个人数据的情形,除上述信息之外,控制者还要受到不同情境下披露时间的限制。①参见《条例》第13 条、第14 条。
第二,对信息处理后的更正权。控制者在处理用户信息后,用户有权要求及时更新或完善与其相关的不完整数据。②同注①,第16 条。
第三,基于自身原因或数据不当处理的反对权。其一,用户基于自身原因可以拒绝相关情形下的数据处理。控制者须立即停止针对这部分个人数据的处理行为,除非控制者提出更具有压倒性的正当理由或为了提起、行使或辩护法律性主张。其二,若数据处理适用于直销的目的,则用户可以随时拒绝此类数据处理行为。其三,控制者需在和用户的第一次沟通中,让用户明确知晓前两个权利,且区分开来,清晰告知。其四,用户可以基于自身情况拒绝出于科学研究、历史研究或统计目的的个人数据处理,除非这些活动关乎公众利益的实现。③同注①,第21 条。
第四,数据携带权。在用电子化方式处理个人信息时,用户有权获得副本并使用该副本,副本应采用便于用户使用的格式,如普遍使用的电子格式。用户有权无障碍地将此类数据在不同数据控制者之间传递,并且这种权利受到保障。④同注①,第20 条。
3.数据处理保障权
数据处理保障权是指在控制者处理完数据后,用户有权通知控制者核实并纠正用户数据的不当流转,或要求控制者删除与其个人数据相关的链接、备份或复制的权利。其特征在于强制性和相对性。数据处理保障权又分为两项具体权利。
第一,限制处理权。限制处理权旨在通知控制者以核实的手段纠正用户数据的不当流转。在限制条件方面,当存在数据主体对个人数据的准确性有争议,非法处理,并且数据主体反对擦除个人数据,要求对使用其个人数据进行限制时,用户有权要求控制者对处理进行限制。继续处理个人数据的前提是:获得数据主体同意;提起、行使或辩护法律性主张;保护另一个自然人或法人的权利;保护欧盟或某个成员国的重要公共利益。在告知义务方面,如存在多个数据主体,则在限制被解除前,控制者应当告知其他数据主体。⑤同注①,第18 条。
第二,被遗忘权。在个人数据对于实现其被收集或处理的相关目的不再必要,数据主体反对处理,并且没有压倒性的正当理由可以进行处理,或者数据主体反对处理等特定情形下,用户有权要求控制者删除与其相关的个人数据。此外,在数据控制者之间,若控制者已经公开个人数据,并且负有擦除个人数据的义务,则应当采取合理措施告知正在处理个人数据的控制者,用户已经要求擦除相关链接、备份或复制。⑥同注①,第17 条。
五、结 语
数据权利的归集绝非一朝一夕之功。当今习以为常的消费者权利乃是伴随10 余年的消费者保护运动,在1962年美国总统肯尼迪提出的4 项消费者基本权利的基础上,集腋成裘的权利体系。①参见吴景明等:《〈中华人民共和国消费者权利保护法〉修改建议——第三法域之理论视角》,中国法制出版社2014年版,第95 页。我国当前对数字权利重视不够,《浙江省数字经济促进条例》《安徽省大数据发展条例》等数据保护单独立法几无数据权利的踪影,甚至作为标杆的欧盟《条例》中出现的部分权利在国内尚存争议,数据权利的落地障碍重重。作为数据权利的高阶形式及进化的必由之路,数据权利的归集仍应脚踏实地,渐进展开。此外,在整理建构数据权利的同时,不应忽视数据权利的保护机制。除了赋予权利人诉权和行政机关适度干预外,公益诉讼的崭新渠道也有利于疏解以低额多数被害为特质的数据权益纠纷。②参见张雯、李文超、武一帆:《从文本到实践:互联网民事公益诉讼的理论思辨与程序设计》,《法律适用》2021年第1 期。