个人数据产权归属的经济分析
2021-04-17张玉屏
张玉屏
(海南大学 法学院,海南 海口570228)
一、引言
近年来,随着信息技术的发展,数据已成为国家和企业的基础战略资源,国家治理和企业决策都离不开大数据的分析,个人已开始享受大数据下的便利。大数据在此次新冠肺炎疫情期间发挥了无可替代的作用,数据的重要性日益提升。2019 年中央文件首次将数据确定为和土地、资本、劳动一样的生产要素,数据的交易在政府的支持下如火如荼地开展。按照经济学原则,任何需要拿到市场上进行交易的产品和服务首先应该界定其产权(田杰棠和刘露瑶,2020)。[1]然而,数据产权的规定在中国仍比较模糊,新出台的《中华人民共和国民法典》 (以下简称《民法典》) 延续了之前《中华人民共和国民法总则》 (以下简称《民法总则》) 的规定,只做出了引致性式的规定。①《中华人民共和国民法典》第一百二十七条:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”党中央、国务院发文指出“根据数据性质完善产权性质,完善数据产权界定”。②具体参见2020 年3 月30 日中共中央、国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》和2020 年5 月18 日中共中央、国务院发布的《关于新时代加快完善社会主义市场经济体制的意见》中关于数据的相关表述。完善数据产权,除了确定产权属性明晰产权内容外,产权主体的确定同样至关重要。数据的产生、收集、交易、利用涉及多个不同类型的主体,不同类型的数据涉及的主体不同,不能就泛泛的数据分析数据产权的权利主体,而应根据不同的数据性质进行具体分析,本文将就个人数据的产权归属进行分析。
学术界对个人数据的研究成果丰富,法学学者对个人数据的研究,多数集中在权利属性、权利内容或权利的划分、利益的平衡,单就个人数据产权归属的确定,研究不够深入,多数仅在个人数据权利构建中提到从法理的角度分析,但并没有深入分析为何将产权界定给其中一方。本文将聚焦个人数据产权归属问题,从法经济学的角度出发,以产权界定的四个基本规则为逻辑起点,借鉴范围经济、规模经济的研究成果,运用成本收益的基本经济分析方法,以效率为主要价值考量,以社会福利最大化为目标,分析个人数据产权的归属问题。在确定个人数据产权归属后,针对数字经济时代社会普遍担忧的个人信息泄露和数据垄断问题,在梳理现行制度的基础上,提出本文的见解。
二、概念及问题的界定
对个人数据产权归属进行经济分析前,需对其客体个人数据有清晰的认识,界定出分歧较大的个人数据产权。数据、个人数据从不同的视角出发有不同的内涵和外延,不同的学者研究侧重点不同,对个人数据也会有不同的定义。从数据的概念出发,对个人数据进行定义,通过对个人数据进行分析,明晰产权归属之争的个人数据范围,以期后文针对性地进行分析。
(一) 概念的界定
2020 年7 月2 日公布的《中华人民共和国数据安全法(草案)》 (以下简称《数据安全法(草案)》) 第三条规定:“本法所称数据,是指任何以电子或者非电子形式对信息的记录。”国际标准化组织(ISO) 将数据定义为“可进行重复解读的信息表达形式,适宜于通讯、解释或者处理”,而Duden 词典则将数据定义为“电子化存储的符号、参数和信息”(王镭,2019)。[2]由此可以看出,对数据的定义都离不开信息,数据是对信息的表达、记录,狭义的数据指以0 或1 的二进制代码(比特) 形式储存和传输的电子数据,广义的数据指任何对信息的记录和表达,包括传统的以文字为符号、以纸张为介质的信息记录。本文采用狭义的数据概念,即本文的数据仅指电子数据,其与以往的信息记录、传达和处理过程有着截然不同的特征,因此才有重新进行产权界定的必要。
本文所称个人数据是以电子数字形式对个人信息的记录。个人数据是无形的,可以通过网络传输、计算机处理,必须存储在硬盘等物理载体中。个人信息既包括个体的自然信息,也包括社会信息,应对个人信息做最宽泛的外延界定,才符合民法典中的规定。①《民法典》第一千○三十四条:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”数据是对原始客观事实的记录,同一个事实可以同时、多次被不同的主体从不同的角度记录,个人数据同样如此。个人一个举动产生的个人信息,可以被多个系统从不同维度分别记录下个人数据,如个人使用移动网络在淘宝用信用卡支付进行购物,电信网络运营商在提供网络的过程中记录下设备所处地址、流量使用情况,淘宝平台记录下商品浏览记录、订单等,银行记录下消费记录。个人参加社会政治经济生活的过程中,大量的个人数据被采集,包括政府在公共管理过程中主动采集的个人数据,也包括除政府外的其他非营利性组织在提供社会服务过程中收集的个人数据,还包括企业在提供商品或服务时,个人主动提供或企业主动搜集的个人数据。
(二) 问题的提出与限定
个人是组成社会的细胞,个人数据是最重要的数据来源,个人数据被掌握在不同主体手中,有政府、各类社会组织、企业等等。个人数据和个人信息、个人隐私的纠缠不清,个人和企业的利益纠葛,使得个人数据的权利设计非常复杂。如何在法律层面对个人数据进行具体的权利设计,学术界争议颇大。首先,要不要对个人数据进行确权?部分学者不支持对数据进行确权,认为数据没有特定性、独立性,不能归入民事权利的客体(梅夏英,2016),[3]当前设立数据财产权会极大地限制信息自由流通和自由获取(王镭,2019),[2]现有的权利体系、法律框架内对数据进行保护已经足够了,应该放弃以私权观念来规制个人数据信息的立法意图,而将大数据下的个人数据信息作为公共物品加以治理(吴伟光,2016)。[4]①学者纪海龙也不支持在数据信息上设权,认为在数据信息上设定绝对权无助于促进数据信息的公开,也无助于交易中弱势群体的保护,应当对数据文件进行充分保护,具体可参见纪海龙著《数据的私法定位与保护》,刊于《法学研究》2018 年第6 期。建议对个人数据确权的学者们不能就如何在个人数据之上确权达成共识,部分学者认为数据既具有财产属性又具有人格权属性(李爱君,2018),个人数据之上既应该有自然人的权利,也有企业对数据的财产权利(程啸,2018)。[5-6]
对于上述学术界的观点,本文支持在个人数据之上进行财产确权,这也是本文进一步探讨的前提。不管学术界如何争论,现实中数据确实已经作为具有交换价值的商品在各数据交易中心交易,中国资产评估协会根据业务发展制定了《资产评估专家指引第9 号——数据资产评估》,指引资产评估机构及其资产评估专业人员对评估基准日特定目的下的数据资产价值进行评定和估算,并出具资产评估报告。据此可以看出,实践中企业确实把自身拥有或控制的数据当成了资产处理,对某些企业来说,数据甚至是十分重要的资产,马云早在2015 年就爆出金句:“我们是通过卖东西收集数据,数据是阿里最值钱的财富。”而对数据产权规定的滞后,可能是因为学术界对产权的探索还不够成熟,也可能因为抱着“让子弹再飞一会儿”的心态,害怕在不甚明朗的技术背景下过早对数据确权,特别是不科学的确权,桎梏数据产业的发展。因此,对数据确权是必然之举,只不过是时间早晚之分。
对于部分学者认为个人数据之上既有人格权也有财产权,本文不赞成。此种观点是将个人信息和个人数据混为一谈,个人信息和个人数据在法律层面应是不同的两个概念,②《民法典》分别就个人信息和数据做出了规定,中国的立法规划中既有《数据安全法》,也有《个人信息保护法》,由此可见二者属于不同的法律概念。个人信息属于人格权范畴,个人数据具有明显的资产属性。③学者龙卫球认为应在区分个人信息和数据资产的基础上,进行两个阶段的权利建构: 首先对于用户,应在个人信息或者说初始数据的层面,同时配置人格权益和财产权益; 其次对于数据经营者(企业) ,应分别配置数据经营权和数据资产权。具体参见参考文献[7]。个人数据之上的权利属性和内容本身是很复杂的议题,本文不去深究。需要明确的是,同意对数据确权的学者都承认个人数据之上有财产权,分歧在是不是仅有财产权而没有人格权。那本文仅就已经达成的共识即个人数据之上的财产权进行研究,探讨其中的个人数据产权归属问题。在个人数据产权归属之争中,争议最大的是个人在使用企业的商品或服务过程中,被记录上传存储在企业系统中的个人数据的产权归属问题,本文主要就此种情况下的个人数据产权归属进行分析。
企业控制的个人数据,有一类必须首先排除在外,不属于本文讨论的范围,那就是个体专门存储在云盘或者网盘上的数据,如个体存储在百度网盘上的各种文档、照片、音视频等。这一类数据准确地说应该是企业替个人保管的数据,企业仅仅提供的是云存储的服务,连访问数据的权限都没有,这类数据显然属于个人所有。本文讨论的是个人在使用企业的产品或服务的过程中,被企业系统主动抓取采集记录的个人数据,如网页搜索记录、商品浏览记录、地图导航记录等。此类数据被采集记录的过程中,个人只是在使用产品或服务,并没有额外付出劳动,甚至因为个人数据被企业系统即时分析的结果,个人还享受到了更加精准更加个性化的产品和服务。这一类个人数据,因个人使用企业产品或服务而产生,由企业系统进行记录或存储,离开任意一方个人数据都不会存在,加上企业的营利性质,使得个人和企业之间的个人数据权属之争最为激烈。有认为属于用户个体的,①美国学者莱斯格的数据财产化理论,具体参见参考文献[7]。也有认为属于企业的,②总体而言,龙卫球的观点是数据财产权应归属于企业,个人仅就个人信息之上的初始数据享有财产权益,具体参见参考文献[8]。单就个人数据之上的财产权利,学者程啸认为,应当属于企业,具体参见参考文献[6]。也有认为个人和企业共享,还有认为数据公众所有(丁晓东,2019)。[9]本文认为个人数据产权应归属企业,下文将对此进行详细分析论证。
三、个人数据产权主体之争的经济分析
企业是典型的营利性组织,国人传统的认知是商人重利、无商不奸,对企业有很强的戒备之心,认为企业最有动机最有可能侵犯个人信息,因此个人数据产权主体之争中,在情感方面,企业处于不利一面。并且,相对于个人,企业属于强势一方,公众总是倾向于弱势一方,认为把个人数据产权赋予个人方能保护弱者,彰显公平。法律的基础价值是公平,而经济的首要价值考量则是效率,抛开感性因素,理性的使用法经济学的研究方法,先就个人数据产权配置进行经济学分析,找出最有效率的产权配置,再分析此种配置的劣势或可能存在的风险,在法律设计上进行矫正或弥补,兼顾效率和公平,均衡多方利益,最大化社会福利。
(一) 根据产权赋予与获取的基本规则,应将个人数据产权赋予企业
法经济学从把产权界定给使用效率最高的主体这个原则出发,确立了财产法四个产权界定的基本规则:(1) 先占规则,即第一个占有产权客体的主体拥有所有权;(2) 附属规则,即产权主体对附属于其产权客体的财产拥有所有权;(3) 创造规则,即产权客体的创造者拥有所有权;(4) 公平规则,即基于公平的考虑对弱势群体给予特别保护(魏建和周林彬,2017)。[10]
根据先占规则,企业应拥有个人数据产权。个人数据的产生往往来自企业一方的服务或者管理系统,企业一方是第一个占有其系统所存储个人数据的主体,目前的现实状况也是数据大部分掌握在企业手中,将个人数据财产权赋予个人不符合财产法产权界定中的先占规则。个人信息因个体本身的存在或参与而生成,但很少有个人会主动记录自身的这些信息,而企业一方在个人使用服务或管理系统的同时就对由此产生的个人信息同步进行记录形成个人数据存储在系统中,企业作为系统的提供者,对系统具有控制权,是第一个占有系统收集存储的个人数据的主体。通常情况下,个人通过验证也可以在系统中访问相关个人数据,这并不能否定企业对个人数据的初次占有和之后的占有控制。先占规则的其中一个考量就是维持现状,因为对现状的改变都是要付出成本的。虽然实然不一定是应然,但存在的定然有其合理之处,在没有明确数据产权的规定下,客观现实是个人数据被企业先占,并且之后一直被企业占有、控制、使用和收益,民众并没有因此怨声载道,社会并没有因此动荡不安,表明将数据产权赋予企业具有一定的合理性和经济性,而逆转现状,将数据产权赋予个人不符合产权界定的先占规则,影响效率。根据先占规则,维持现状,应将企业运营过程中采集的个人数据确定为属于企业的财产。
从创造规则分析,同样应将个人数据财产权赋予企业。个人数据的产生,离不开企业一方的投入和创造性活动。信息是客观存在的事实,只要个人存在或曾经存在,就会有个人信息的产生,无论记录与否,但对个人信息的记录都需要额外付出资源。技术落后的时代,只有极少量的个人信息会被记录流传下来,主要的原因就在于当时对信息进行记录存储的技术落后、成本太高;技术进步的当代,电磁形式对个人信息记录的个人数据同样需要付出资源。个人并没有因为个人信息的记录而额外付出投入,如个人在平台浏览商品购物、网页搜索等都是个人主动选择进行的活动,对此的记录不需要个人额外付出代价,而服务提供者为了准确完整记录这些信息,则需要不断优化系统、设计更加完美的算法、提供记录数据的存储器和拥有庞大运算能力的计算机等等。创造规则是最基本的产权界定规则,在一定程度也是先占原则的体现,因为创造者通常也是先占者,往往第一个占有产权客体的主体也是对客体评价最高的主体,也正因为其评价高才投入资本、时间和其他资源去寻找、获取产权客体。企业对个人数据的先占,也是因为企业对个人数据的价值评价高,所以才愿意投入去获取。因此,个人数据是服务提供者主动进行创造性活动的结果,企业在此过程中额外付出了资本和劳动,应将记录个人信息的数据产权赋予企业而非个人。
依据附属规则,个人数据产权同样应赋予企业。系统记录的个人信息多数是个人利用系统的过程中产生的。个人数据是系统的附属还是个人或者个人信息的附属呢?附属规则的适用,在于判断两个财产之间是否存在适当的从属关系。个人的主体性决定了人肯定不是财产,中国《民法典》将个人信息保护和隐私权放在同一章,置于“人格权”一编,表明个人信息同样不属于财产,因此附属规则不能用于论证个人数据产权属于个人。系统是财产,并且对于很多网络企业来说,是核心资产,是软硬件的结合。通常情况下,企业对自身系统的软件和硬件都享有权利,个人数据被企业系统采集并记录在系统的服务器,可以看作是系统的附属,将其归属于企业。附属规则的优势在于主物和附属物在同一产权主体手中才能发挥最优用途,数据在分析利用过程中体现其价值,通过企业系统采集的数据往往也是和该系统最匹配的分析数据,并且当前技术下系统对数据的采集和分析几乎是同步的,以便及时快捷提供个性化的服务,因此根据附属规则,企业作为个人数据产权的主体符合附属规则的初衷。
虽然相对于企业,个人属于弱势群体,但根据公平规则,并不能当然得出应将个人数据产权赋予个人的结论。公平规则符合效率,主要是因为根据边际效益递减规律,弱势群体对赋予其的产权比非弱势群体有更高的评价。300 元人民币(下同) 发放给贫困人口作为最低生活保障金,对于贫困人口来说是一个月生活必需,甚至代表着生存的价值,而这300 元对于非贫困人口而言仅仅是一件衣服或一个饭局,可有可无,因此300 元根据公平规则赋予弱势群体,弱势群体对此有更高的评价,创造了更高的社会福利。相对于企业,个人属于弱势群体,那根据此规则个人数据产权是否当然赋予个人呢?答案是否定的,公平原则并不是简单地将产权赋予弱势一方,还需要看弱势一方是否对此产权有更高的评价。不能说个人对个人数据产权的评价不高,但至少不会比企业高,否则个人不会不主动记录个人数据,对现行企业控制个人数据态度不会不强硬。公平规则的另一个考量是对社会弱势群体进行特殊的照顾,有助于整个社会的和谐,前文已经提及,在个人数据被企业占有、使用、收益的现状下,个人和企业间的数据冲突鲜见,企业在大数据下不断根据需求更新技术改进供给,个人享受了越来越便捷、个性化的商品和服务,社会井然有序,个人数据产权归属企业,并没有影响社会的和谐。相反,个人数据产权归属个人,企业需要就个人数据的采集和利用额外付出更多的交易成本,企业和个人之间的沟通接触会更加频繁,摩擦相应也会增加,不利于社会的和谐稳定。综上,个人数据产权归属个人,既不能促进社会和谐也不能创造更高的社会福利,因此,对个人数据产权的赋予,公平规则不适用,不能简单当然地根据公平规则将个人数据产权赋予个人。
(二) 个人数据集合在企业手中,将实现范围经济和规模经济,发挥更大效用
最优的产权安排是将权利赋予最能有效利用它的主体的制度安排(魏建和周林彬,2017)。[10]显然,个人数据聚和在企业手中,将实现范围经济和规模经济,发挥最大效用,企业是最能有效利用个人数据的主体,应将个人数据产权赋予企业。范围经济由Panzar 和Willig1975 年提出概念以来,国内外学者对此的研究十分活跃,尽管范围经济的概念存在一些分歧,但学术界对范围经济的内涵已基本达成共识,第一,企业必须生产经营两种或两种以上的产品;第二,产品的单位成本由此而降低(刘梭和项德军,2011)。[11]范围经济发生于大量不同商品同时生产比单独生产更有效率的时候(保罗·萨缪尔森和威廉·诺德豪斯,2012)。[12]个人数据往往是企业经营产品或服务的副产品,个人数据的采集记录并没有过多增加企业经营产品或服务的成本,个人数据自身作为数据资产具有价值外,还可通过对个人数据的再分析帮助优化企业的产品和服务,提高产品和服务的价值。采集数据仅额外增加些许成本,但收获了个人数据本身和产品价值的提高,总体而言降低了单位成本,在经营产品或服务的同时大量生产个人数据,比只提供产品或服务更有效率,实现范围经济。而个人数据在个人手中纯粹就是个人信息的存在,不存在和其他产品共同经营的可能,谈何范围经济。
规模经济,也叫规模报酬递增,发生在所有投入的增加导致产出水平以更大比例增加的时候,信息技术往往具有很强的规模经济(保罗·萨缪尔森和威廉·诺德豪斯,2012)。[12]数据产业属于信息技术,同样具有很强的规模经济属性。个人数据的规模经济效应,和个人数据价值的非线性递增相一致,个人数据的数量越大,价值越高,并且价值将以更大比例增加。数据具有价值低密度性,只有大量的多维度个人数据聚和在一起才能凸显价值,个人数据赋权给个人,初始分散在个体手中,每个个体手中都是数量级微小的本人数据,价值不高,也不能进一步发挥作用。而这些个人数据都集中在企业手中,大数量级多维度的个人数据将充分发挥规模经济的效应,并且在当今技术水平下,记录、计算、分析大数据根本不在话下,越是完整多样的个人数据越具有效用。在中国大力推动数据产业发展的今天,个人数据在企业手中才能发挥最大效用,促进整个数据产业的发展,实现社会的进步,应将个人数据产权赋予企业。
(三) 个人数据产权赋予个人不符合成本收益原则
独立的单个个体数据所蕴含的财产价值很小,但交易成本依然存在,产权的实施不符合成本效益原则,个人数据产权将不能顺利实施。数据是基础性战略资源,具有重要价值,指的是作为数据集合的大数据,数据的价值在于数据的分析,只有个人数据集合才能被进一步加工、分析,单个个人数据的加工空间极其有限,当前中国的数据交易中心进行交易的也都是数据集合。大数据具有价值密度低的特征,平均在每个个体的每条数据上,价值微乎其微,更何况大数据的价值并非线性增长,单个个人数据的价值比平均值还要低,几乎不具有市场价值。如果将个人数据产权赋予个人,企业如需使用就要和个人进行交易,因为价值低企业必将使用统一的格式合同,绝大多数个人不会花费时间精力投入成本去深究协议内容,甚至都不会去浏览,此外为了使用企业的服务,多数情况下还是免费服务,个人一般都会直接同意。因此,个体拥有个人数据产权,不符合成本收益原则,形同虚设,数据的利用在企业,反而增加了交易环节,增加了数据利用的总成本。
支持个人数据产权归属个人的一个主要依据是个人作为产权的主体能够控制对个人数据的使用,从而实现对个人信息的更好保护,但通过上文的分析得知,个人数据产权归属个人后,其实施成本大于收益,个人拥有的权利不能得到实质实施,实现不了对个人信息的保护。另外,中国一直重视对个人信息的保护,从私法到公法,从民商法、经济法、行政法到刑法,均有相应规定,涵盖了电信、网络、旅游、邮政快递、电子商务、征信、金融和消费者保护等多个领域。特别是刚颁布的《民法典》对个人信息保护进行了更加详细的规定。在已存在大量立法的情况下,通过赋予个人个人数据财产权以期进行个人信息保护,属于重复立法,浪费法律资源,增加社会总成本。
四、个人数据产权界定给企业的社会成本分析
(一) 个人信息的泄露
个人数据产权界定给企业后,最大的担忧是企业对个人数据的滥用,进而泄露个人信息甚至侵犯个人隐私。此担忧并非杞人忧天,现实中个人数据被泄露,进而泄露相应的个人信息或侵犯个人隐私的事件确实存在。①信息安全与通信保密杂志社梳理了2020 年上半年度在世界各地发生的重大数据泄露事件。5.8 亿新浪用户数据在暗网被兜售,4.4 亿雅诗兰黛用户敏感数据被盗,数十亿条甲骨文公司网络记录遭泄露,青岛胶州中心人民医院6 千余人就诊信息泄露,高校学生信息泄露,银行、航空公司、酒店数据泄露等严重的个人数据泄露事件。来源于网络文章:盘点2020 年上半年国内外数据泄露大事件,https://www.sohu.com/a/402919735_120346043?_trans_=010001_grzy,最后访问日期:2021 年1 月7 日。个人数据产权配置给企业后,企业作为盈利性的组织,会不会更加为所欲为,个人信息遭泄露的风险是否会加大呢?这个问题的答案并不绝对。当前实践中个人数据之上的权利粘连没能避免个人数据的泄露(牛彬彬,2020),[13]前文已述,将个人数据产权赋予个人并不能实现对个人信息的更好保护,不容否认的是将个人数据产权归属企业,同样也不能避免个人信息的泄露,但也并不一定会加大泄露风险。当前的客观现实是企业作为个人数据的实际控制者本应肩负防止个人数据泄露的责任,但司法实践中个人数据权利的个人和企业共有,反而淡化了企业对个人数据保护的主体意识和责任意识,不利于个人信息的保护。相反,若个人数据产权明晰化,单一主体企业拥有个人数据产权,配套相应的制度安排,强化企业的主体意识和责任意识,降低个人信息泄露风险也不无可能,进而减少对整个社会的负外部性影响。
个人数据产权赋予企业后的个人信息保护制度设计,无须进行大量的解构性制度考量,通过梳理现有的个人信息保护机制,在当前基础上针对性进行建构性制度设计,实现对个人信息的进一步保护。虽然中国关于数据产权的规定模糊,但关于个人信息保护的立法和司法、行政实践却未缺位。私法层面,之前中国司法解释对个人信息保护采用了间接保护模式,《民法总则》采用法益保护模式(王成,2019),[14]新出台的《民法典》继续采取法益保护模式,专章对个人信息保护进行了规定。公法层面,《中华人民共和国网络安全法》中对个人信息的收集、使用有详细的规定,明确了网络企业对个人信息安全所负有的义务和承担的责任,中国刑法中有“侵犯公民个人信息罪”。中国其他各层级各部门的法律中散见个人信息保护的规定。此外,《数据安全法(草案)》于2020 年7 月2 日公布,专门的《个人信息保护法》已被提上立法日程。司法层面,中国已存在大量个人信息相关的司法判例;②参见中国法院网:侵犯公民个人信息犯罪典型案例,https://www.chinacourt.org/article/detail/2017/05/id/2852365.shtml,最后访问日期:2021 年1 月7 日。行政层面,中国政府一直重视个人信息保护,并采取相应的行政措施。③2019 年1 月25 日,中央网信办、工信部、公安部、市场监管总局等四部门联合发布《关于开展App 违法违规收集使用个人信息专项治理的公告》,自2019 年1 月至12 月,在全国范围组织开展了App 违法违规收集使用个人信息专项治理。实践中,中国现在的数据交易中心制定的交易规则都明确指出,数据买卖双方需保证数据不被滥用,交易的不是底层数据,而是数据清洗、建模、分析的数据结果,这些措施很大程度出于对个人信息保护的目的。
现行对个人信息的保护,立法层面虽然中国私法和公法都有规定,但对企业而言缺乏具体可执行的标准;行政层面没有专门的执法机构,由于个人数据已渗透到社会的方方面面,因此需要各部门联合执法检查,执法效率和效果必受影响;司法是维护社会公平正义的最后一道防线,不能将个人信息保护的重担压在司法之上,需将责任前置;数据交易中心虽然制定有数据交易规则,但只是针对数据交易过程中的相关事项,并没有包含个人数据使用中的其他方面,并且数据交易中心作为市场主体,仅依靠企业自律不能保证个人信息安全。
针对此,立法上将个人数据产权归属于企业的同时,应对企业课以确保个人数据安全的特殊义务,明确不能用于交易的个人数据的范围。鉴于个人数据资产的专业性、特殊性和战略重要性,政府可以考虑建立类似于银监会、证监会的专门数据监管机构,依法制定详细的可操作性的标准,进行常态化的全过程的个人数据监管治理,确保企业在占有、使用、收益、处分个人数据财产的过程中,必须按照规定的程序遵循特定的标准,如有必要,企业需按规定成立专门的数据安全部门,主动配合接受政府数据监管部门的监管。加大数据交易中心在个人信息保护中的作用,个人数据产权归属企业,产权清晰后,极大可能将促进个人数据财产的交易,数据交易中心在个人数据流转利用中的作用将凸显,数据监管机构应加强对数据交易中心的监管,保证数据交易的规范,降低个人信息泄露的风险。最后,从社会学视角看,隐私本身也是个历史的概念,随着数字技术的发展特别是区块链技术的成熟,世界变回乡土中国的熟人社会,也并非天方夜谭,彼时对个人信息保护的度也必将随之改变,是否存在隐私之说或者何为隐私不得而知。
综上,个人数据产权赋予企业,对个人信息泄露的负外部性依然存在,但没有增加泄露风险,也并非无解,政府、社会、市场共同努力通过相应的制度安排进行规制,将其影响降至最低。
(二) 数据垄断
“数据垄断”的概念并不十分明确,在一些语境下,“数据垄断”指的是平台企业对于数据资源的垄断; 在另一些语境下,“数据垄断”指的是平台企业依靠掌握的数据,增加了其在产品市场上的垄断力,从而可以更好地实施垄断行为(陈永伟,2018)。[15]这两种行为,对于掌握个人数据的企业来说确实可能发生,和个人信息泄露一样,个人数据产权归属企业不是数据垄断的原因,个人数据产权归属企业也不必然导致数据垄断的可能性增加。
(1) 出于成本收益考虑,理性的企业倾向于数据交易或共享,而不是对个人数据的垄断,企业独占数据获取的收益在大多数情况下不足以收回成本(费方域和闫自信,2018)。[16]虽然数据的收集存储成本特别是边际成本一般较低,但数据的价值在于再分析,对数据进一步分析利用不仅需要算力硬件支持,还需要算法软件支撑,这两者的成本均不菲,企业只靠自身数据带来的收益多数情况下应该不足以弥补成本。在个人数据产权明晰后,随着数据交易市场的成熟,若企业对外分享出售数据财产,既不影响自身的使用,又可获得额外的收入。交易分享数据的过程中,企业可能从数据市场获取更精准更全面的数据,寻求更专业更低廉的数据加工增值服务,企业之间也能在相互交流的过程中创新分析数据的方法,进而降低利用数据的成本。(2) 企业通过对数据的垄断不能保证企业的长期竞争优势。数据具有高度替代性的特点,决定了控制大量个人数据不能成为企业的不可替代竞争优势。不同的数据源可以实现同一目的,同样的数据源可以在不同的平台通过不同的途径获得。此外原始数据只是原材料,更重要的通过模型、算法再加上具有强大算力的硬件支持对数据的进一步加工分析利用才能实现数据的价值。单靠对个人数据的垄断,企业并不能实现市场的垄断。若企业确实存在垄断行为,损害了消费者利益,绝不单单是因为企业对个人数据的垄断,拥有数据并不是企业垄断的充分条件或必要条件,此时政府应出手干预,根据《中华人民共和国反垄断法》对其滥用市场地位的行为进行规制。(3) 即便将个人数据产权赋予个人,个人数据最终仍会转到最能有效利用数据的企业手中,仍然存在数据垄断的问题。因此,数据垄断不能成为反对将个人数据产权归属于企业的理由,而应将着重点放在市场环境下的数据产业的竞争规则,减少数据利用的囚徒困境,防止控制大量个人数据的企业滥用其市场地位。
五、结语
个人数据产权归属个人不符合产权界定的规则,不符合效率原则,也不符合成本收益原则,不能实现个人信息保护的目的,在法律已对个人信息保护做出规定的情况下,通过将个人数据产权赋予个人的方式保护个人信息,属于法律资源的浪费。相反,将个人数据产权配置给企业一方,符合产权界定的规则,有利于产权的稳定、顺利自我实施,并且个人数据集合在企业手中将实现规模经济、范围经济,发挥更大效用,促进中国数据产业的发展。完美的事物不存在,个人数据产权赋予企业有其劣势,个人信息泄露风险、数据垄断风险依然存在。中国早已思虑至此,相关立法已经到位或被纳入立法规划,政府已采取相应的司法或行政措施,学术界也有很多相关的研究成果,可在此基础上进一步进行制度完善。不能因为害怕污染环境而不进行工业化,不能因为害怕垄断而放弃公司制度,不能因为担心个人信息泄露而牺牲数字革命,因噎废食肯定不可取,通过制度安排减少不利影响,总体上仍然利大于弊,将个人数据产权赋予企业有利于实现社会福利最大化,增进人民福祉。
因学术界分歧太大,数据产权未能出现在刚颁布的《民法典》中,只是做出开放性的规定。一项新的权利创设,过程肯定是曲折的,涉及各方利益的均衡,学术界需在理论层面上进行充分的研究,一步一步来,一个问题一个问题来论证,争取早日设计出一套成熟的数据产权体系,在制度层面为中国数据产业的发展保驾护航。
