陈 兵, 马贤茹

(南开大学 法学院, 天津 300350)

一、 问题的提出

随着互联网技术的革新和移动智能终端设备的发展与普及,以个性化、精细化、智能化为特征的互联网Web(1)Web是World Wide Web的缩写形式,其中文名为万维网,是依托于互联网技术和设施发展起来的基于客户机/服务器方式的信息发现技术和超文本技术的综合体,与互联网是线路、协议以及通过TCP/IP协议实现数据电子传输的硬件和软件的集合体不同。万维网是存储在Internet计算机中、数量巨大的文档的集合,在很大程度上依赖于互联网软硬件的不断发展创新而予以拓展和优化,是与互联网本身相区别的一个存在。3.0时代已然到来,渗透影响着人类经济社会生产生活的各个领域。从互联网Web 1.0时代下为用户提供单向度的信息搜索与聚合门户网站,到Web 2.0时代下为用户提供用户深度参与、信息双向共享的仿真平台,至Web 3.0时代下的信息积聚与共享流通综合服务体的构建,以移动互联网、大数据、物联网为代表的新一代信息通信技术和数字数据科技的创新应用与融合发展引发了全球数字经济发展热潮,其中数据构成了数字经济高质量发展的关键资源和核心动能。解读中共十九届四中全会通过的《中共中央关于坚持和完善中国特色社会主义制度,推进国家治理体系和治理能力现代化若干重大问题的决定》(以下简称《决定》),其中三次提及“数据”一词[1],明确提出“将数据作为生产要素纳入分配机制”,结合“建设高标准市场体系……优化经济治理基础数据库”,肯定了我国鼓励将数据作为重要资源要素纳入市场交易与竞争环节,促进数字经济新业态蓬勃发展,推动数字经济高质量发展的积极态度。

梅特卡夫定律表明:网络的价值与联网的用户数的平方成正比,即一个网络的用户数目越多,那么整个网络和该网络内的每台计算机的价值也就越大[2]。这印证了在互联网技术快速革新的当下,海量的用户数据作为互联网企业开发商品和服务、革新商业模式、升级服务体验的基础,不断创造新的经济增长机会和社会价值,成为企业间的关键竞争资源。这里的用户不仅仅是作为受到高度重视的普通用户的个体消费者,还包括当前研究中较为忽视的作为商户用户的个体或其他组织经营者。故此,采用“用户数据”一语,寄望能全面地概括互联网经济运行下“企业用户”这类重要的市场主体。

数据在创造经济增长奇迹的同时,也因不断涌现的数据纠纷引发了诸多法律问题,特别是互联网企业围绕数据获取与封锁、保护与共享的角力日益激烈,甚至出现了具有优势地位的数字超级平台非法收集用户数据和滥用用户数据(隐私)的行为。譬如,近年来脸书、谷歌、亚马逊、苹果等数字科技巨头的数据滥用和隐私泄露风险事件数量呈现指数型增长[3],引发全球竞争执法的广泛关注。在我国互联网领域有关数据纠纷的案件,虽然更多集中在数据企业之间的适度保护与合规分享的冲突上,譬如华为与腾讯的数据之争,大众点评诉百度数据不正当抓取案,新浪诉脉脉数据不正当竞争,淘宝诉美景案,微信诉抖音、多闪不正当竞争案,抖音与刷宝数据抓取案等,但是其中也不乏涉及到对用户数据及隐私信息的侵害或滥用行为。实践中,随着互联网数字技术的不断创新,数据保护问题更加复杂,规范数据流通中的数据保护已迫在眉睫。

目前,我国法学界对数据保护问题的探讨主要围绕“个人数据”[4]、“个人信息”[5]、“个人隐私”[6]、“数据隐私”[7]等关键词展开,对数据保护问题的研究集中在对数据权属的证成和规范上,譬如有关个人数据的人格权与财产权等权利属性,进而尝试构造“个人信息权”[8]或“个人信息保护制度”[9]等规范性的论题。同时,考察分析司法实践对上述数据纠纷特别是数据不正当竞争案件的审理思路和审判标准,通常着眼于厘清与数据相关的各类型权利(益)及其归属的问题,落脚于对具体权益保护的正当性与保护方式的适当性上,在很大程度上带有私法逻辑下大民事审判思维在数据保护问题上的循证印迹。然而,无论将用户数据的权属定性为人格权(益)还是财产权(益),赋予个人或企业的绝对排他性权益,都难以适应场景多元瞬时转换的互联网时代,亦不能在数据保护和数据流通共享之间形成有效正当的解释力[10]。综上,现有研究成果表明,虽然数据保护与数据共享间的平衡关系和具体进路可以依循当前普遍适用的私法理路展开,包括通过确立各类型数据权属,依据侵权责任法、知识产权法以及反不正当竞争法等项下的“行为—法益”判断基准的私权逻辑予以实践,但是随着数据流通和共享需求不断增强,如仍坚持用户或企业对其实际控制和占有的数据以排他性权益,那么将导致数据固化,加剧数据信息孤岛的出现和恶化,更难以实现数据流通与共享之于数据增值和创新的重要意义。

鉴于此,从现有数据治理研究的相关理论成果和司法实践的效果看,单纯依靠私法体系,依循私权逻辑在一定程度上忽略了互联网场景下数据多属性与私权保护理路间的不协同的现实,尚未充分关照到数据保护在平台与用户,包括企业用户和个人用户之间的多元价值动态平衡之需求。故此,亟待澄清互联网时代数据保护问题的基本理路,从表象步入本相,解析互联网多场景下数据的定位及保护方式的演化,重视“场景化保护规则”在互联网多场景变换中的重要价值,厘清与数据相关行为发展过程中各数据主体间多重权益的交合,动态平衡各类数据主体在数据收集、存储、分析、流通及使用全周期中的保护和共享的关系,尽快构建科学合理的多元共治的数据保护理路。

二、 互联网多场景下数据的定位及保护现状述评

作为当下互联网上运行的核心内容,万维网(Web)是建立在互联网之上的信息共享模型。万维网技术和服务自20世纪90年代出现以来, 经历了从Web 1.0到Web 3.0的渐进式交互发展,这一进程能够很好地概括互联网运行方式和商业模式的演化升级。从Web 1.0下单向静态的信息输出模式进阶为Web 2.0下双向互动的信息传导模式,到如今发展为Web 3.0下移动互联技术与数字数据技术全面融合的数字数据产业与平台经济生态体,促使数据的流通从单向线性运行升级为多维度多场景下的交互运行,数据定位从作为单向线性信息的消费结果向作为多维交互形成的融合生产消费信息[11]为一体的资源要素的转向,这一演化发展直接推动了数据保护方式的变化。

1. 数据流通从单向线性到交互联通

在互联网发展初期,Web 1.0呈现“只读网页”模式,其典型应用为网址导航、门户网站。譬如,国内早期出现的新浪、腾讯、搜狐等集成式门户网站,由站点负责收集网址并发布和更新各类信息,用户通过浏览网页中编辑好的内容,搜集整合所需信息。在Web 1.0时代数据信息以“门户网站”为基点单向线性传播,与之匹配的信息交互方式主要表现为封闭性、单向性的特征,数据信息交互程度处于低频阶段。步入互联网Web 2.0时期,信息技术革命赋予每个用户生产内容的能力,譬如人人网、博客、知乎等平台和应用应运而生,最为显著的表现即为自媒体的大量出现,鼓励用户分享内容、交流意见并实时互动,用户在一定程度上成长为互联网数据信息的“产消者”----互联网数据(信息)的消费者、生产者及传播者的融合体。此阶段强调以分享为特征、以用户为中心,数据信息传递模式实现即时的自主交互。Web 3.0时代基于万维网和物联网技术的发展和适用场景的无限衍生,人、机、物的时刻连接,“连一切”成为这一时期典型的数据(信息)生产和消费的方式和动能。超级平台的崛起为大数据的创新适用提供了不可或缺的关键支持和现实需要,网络效应在平台经济的高速发展中日益凸显,这些既为Web 3.0时代的数据(信息)流通提供了关键设施基础,也为数据(信息)的交互联通提出了现实需求,在可能与必需之间构造了这一时期数据流通和共享的现实场景。

首先,Web 3.0时代的数据信息的交互联通得益于信息通信技术和数字数据技术的深度融合。如果说互联网发展的前两个阶段是从信息的单向线性传递向双向互动发展,其直接体现着互联网的“连接技术”对数据信息交互方式的转变----通过连接实现数据信息提供和匹配,那么Web 3.0场景下更多地强调运用和扩张互联网的“连接能力”,提升与数据相关行为过程中各类新兴技术的创新适用,提高数据价值的挖掘能力和创新能力,实现数据在互联网时代的核心价值。其次,Web 3.0时代的数据信息呈现为精细化、聚合化及智能化的特征。其中最重要的是通过对海量用户数据的收集和分析,以实现精准定位与个性化智能服务,由此涌现了各类新型智能化生产、网络化协同、个性化定制等商业模式和业态。同时,基于Web 3.0时代“连一切”的特征,超强的“连接能力”,使海量用户数据聚合力量的形成及其影响力的扩张较以前更加快速和高效,数据流通与共享的水平和需求达到前所未有的高度。

需要注意的是,离散的碎片数据和封锁隔离的数据并不能发挥其应有的数据信息价值,必须以实时高效的数据采集为起点,以基于高精度算法模型的数据分析为核心,优化数据服务与应用流程体系[12],形成大数据在产业价值链中的流动与共享,方能实现数据价值与功能的最大化。然而,数据在高速流通与开发共享的过程中,时刻面临着各类潜在的安全风险,特别是Web 3.0场景下数字数据化和人工智能技术的创新发展对数据效用具有明显的放大功能,由此加剧了各大互联网企业之间围绕数据获取与封锁、数据保护与共享展开的激烈博弈,在这一过程中客观上造成用户信息被过度收集、数据滥用、隐私安全服务降级等危害或潜在风险,给用户数据安全、企业信息安全乃至社会公共安全和国家安定带来巨大挑战。换言之,进入数据交互联通的Web 3.0时代,科学合规的数据保护机制构成了规范和促进数据高效流通和创新利用的前提和基石,具有十分重要的基础性地位。

2. 从消费轨迹的客观记录到作为产消信息的资源要素

在Web 1.0时代下,用户通过互联网访问站点内容获取信息,或者搜索与交易相关的商家和广告信息,寻求交易机会。在Web 1.0场景下呈现“生产者—消费者”的单向线性的数据传输模式,尽管站点可能收集到用户浏览踪迹的相关数据,但互联网网站囿于当时的技术水平和商业模式,与用户间的互动很难做到即时和高效,所收集到的通常为静态离散而不具关联性的数据,难以实现规模数据的分享和流动,故此阶段数据的深度挖掘和复次利用的价值并不显著。进入Web 2.0时代,随着信息通讯技术的开发创新和移动互联技术和终端的发展,以互联网、物联网、万维网为基础设施的平台企业与用户间的交互联动的频次和程度大大提升,客观上推动了“以用户为中心”和“以消费为重心”的双边或多边商业模式的不断扩展,进一步助力互联网产业化在个性化和精细化层面的有效实现。在这一过程中,海量数据的积聚有效推动了算法优化和算力提升,用户在体验个性化服务之时亦产生了更具个性特征的聚焦数据,由此促使数据从用户消费轨迹的客观记录演化为聚合消费信息和生产信息为一体的市场要素信息,并在这一过程中产生了新的数据的生态闭环,实现了数据价值的挖掘与创新。正如麦肯锡咨询公司于2011年首次提出“大数据”概念之时就肯定了数据作为重要的生产要素的价值:“对海量数据的挖掘和运用,预示着新一波生产率增长和消费者盈余浪潮的到来。”[13]

步入Web 3.0时代,数据兼具消费和生产要素双重属性的价值伴随物联网、大数据、云计算等关键技术的普遍商业化得以进一步增进。通过对互联网运行中数据的持续收集和循环使用,加速数据流动、共享并形成数据链条,再经过数字数据技术加工使用户数据得以反复多次、交叉使用,数据价值得到了最大限度地发挥。数据作为新型生产要素,打破了传统要素有限供给对增长的制约,为经济持续增长提供了基础与可能。正如大数据时代的预言家维克托·迈尔-舍恩伯格在《大数据时代》中写道,“数据就像一个神奇的钻石矿,当它的首要价值被挖掘后仍能不断给予。它的真实价值就像漂浮在海洋中的冰山,第一眼只能看到一角,绝大部分都隐藏在表面之下”[14]。 在Web 3.0时代,经由网络信息技术和数字数据技术所收集和挖掘的海量多元化数据产生了大量的有用信息,正在成为经营者开发创新的重要参考,给经济社会的发展带来了颠覆式影响。正是在此意义上讲,数据被认为是继劳动力、土地、资本、技术之后的尤为关键的生产要素。

一般来说,土地、劳动力、资本等生产要素的产权明晰,“使用即需付费”的原则使得对这些生产要素的使用具有很强的排他性和竞争性,相应的保护模式也比较清楚。然而,数据随时产生、多点储存、实时访问、来源广泛、多归属性等特征[15],使得其权益归属不再那么明晰,在实践中某一主体对数据的使用并不减少其他主体对它的使用价值,相反数据正因为其不断被使用而不断增值,正所谓数据是“越用越有用”,由此对数据的定位及保护方式的设定与选择带来有别于传统生产要素的思考。

3. 对现行保护方式的述评

当前各国对数据问题的讨论,基本上从个人与数据的关系开始,许多国家和地区已出台与数据相关的立法或者增订现有法律法规中相关内容以对互联网场景下的“个人数据”“个人信息”“个人隐私”予以明确[16]。从各国对个人数据(个人信息)的相关立法来看,“可识别”构成了用户数据保护范围的判断标准[17],譬如,欧盟《一般数据保护条例》(GeneralDataProtectionRegulation,简称“GDPR”)第一章第4条第1款规定“个人数据”是指与被识别或者身份可被识别的自然人(“数据主体”)相关的任何信息;在美国,《2018加州消费者隐私法案》亦以“直接或间接可识别性”为标准对个人信息的概念予以明确。事实上,当人类社会步入Web 3.0时代,随着物联网信息技术和数字数据技术的深度发展,移动互联网、大数据及云计算等人工智能技术的创新开发和普遍适用,与数据相关行为的多样化和精细化,经由数据收集行为、分析行为、计算行为及挖掘行为形塑了越来越精准的“用户画像”。这是对用户数据分析形成的高度精炼的特征标识,它间接产生了更多可识别的个人信息,如何定位和处理这类经过分析加工,甚至是去名化和脱敏化之后的数据----事实上,从技术层面完全的去名化是难以实现的----仍然有待法律进一步明确。换言之,在多大程度上用户对这类已经过加工分析后形成的且仍可能具有技术上的“可识别性”的数据享有权益,这些间接信息是否均应纳入用户数据保护范畴并由用户所有和支配?这是一个亟待澄清和回应的问题。在实践中,通过司法裁决已经对这类问题有了较为明晰的回答,即用户数据与经过分析加工后的商业数据之间的权属理应做分离处理,数据的实际控制者、开发利用者享受自身通过合法程序获得和开发的数据的相关权益。事实上,个人数据与个人的关联在于识别和联系到特定的个人,然而这并不当然意味着数据应完全由个人所有或控制,即"可识别性"只是个人进入社会和在社会交往中识别个体特征的必要工具,而非数据控制层面的绝对权基础,更不能作为控制数据流动的根本理由。

囿于我国现行法律尚未明确数据的法律定位及保护方式,学界和实务界针对用户和企业数据的法律属性及其保护仍处于探索阶段,集中体现为以下几类观点。第一,赋予用户数据在民法上的新型人格属性,导入个人信息权保护模式,强调对个人用户享有的数据信息提供民法体系下的私权保护。第二,建立数据的财产权类保护模式。有学者主张赋予个人数据信息以传统意义上的私人财产权,也有学者开始主张为由企业掌握和经营的数据信息建立数据经营权和数据资产权[18]。第三,主张数据的知识产权保护模式,主要为商业数据适用著作权保护或将数据定位为商业秘密予以保护[19]。在实践中商业秘密成为数据纠纷中数据控制者或经营者的重要诉求和主张。譬如,在“新浪诉脉脉”案中,微梦公司主张新浪微博开放平台《开发者协议》中明确“用户数据”为微博的商业秘密,理应受到保护。然而,法院对此并未表态,最终适用《反不正当竞争法》“一般条款”处理该案(2)参见(2015)海民(知)初字第12602号判决。。实践中,许多关涉数据纠纷案件的司法审理都倾向通过激活和适用《反不正当竞争法》“一般条款”对争议竞争行为的违法性进行判断。然而,单一地适用原则性的《反不正当竞争法》“一般条款”提供数据保护可能面临规则的不确定性和适用的不稳定性,也引发了诸多争议[20]。

综上可以发现,各界对于数据保护问题给予了高度关注,从不同角度为数据保护方式提供了见解。总体而言,上述有关数据保护的不同观点,在很大程度上都受到私法理路和私权逻辑的影响,仍缺乏对数据保护法理与实践的多维度整体性考量。首先,若仅将视角限于通过构建私法语境下的排他性数据权以保护用户或企业的特定权益,客观上难以完全契合互联网多元场景和数据多维属性的特征,不利于数据的合理开发和有效流通。其次,对用户数据不加区分地赋予人格权或财产权,或将企业数据不加区分地定义为财产权类、著作权或商业秘密,都不能适应Web 3.0下数据经济关系和法律关系复杂多变的现实。无论是用户的原始数据抑或经过分析加工后的商业数据,往往具有多种类型和成分,对其保护方式的规定不应“一刀切”,即便是同一类型的数据在不同场景下也很可能具有多种权利(益)属性。故此,亟须对现有数据保护方式特别是以数据“权利化”为主的私权保护方式予以拓展与优化。

事实上,Web 3.0下用户数据信息安全的风险已呈几何级数增加,各类滥用或(和)侵害数据的行为频发,数据安全已超越传统的安全范畴,强化数据保护已上升至国家战略。正如习近平总书记在2019年对国家网络安全宣传周(2019年9月16日至22日)所作出的重要指示中强调“坚持促进发展和依法管理相统一”“积极利用法律法规和标准规范引导新技术应用”“坚持安全可控和开放创新并重”等内容,体现数据安全作为互联网安全的重要组成部分,必然要求更为科学和严格的数据保护机制的设立与实施。然而,数据保护不等于“数据壁垒”或“数据孤岛”,否则将极大地损害数据的复用价值和创新效率。同时,数据价值的彰显和实现不仅限于私人领域,其价值和功能越来越凸显于国家总体安全利益、社会公共利益以及行业整体创新利益等多元价值领域。故此,对数据保护的理解和实践有待进一步深化和扩展。针对此问题,已有学者注意到现有数据私权保护的局限性,主张应当将个人数据的保护从私法逻辑转移到公法逻辑,探索论证用户数据的公共性、社会性及其公益保护路径[21],建立“自由开放”与“受控开放”的全面的数据开放制度[22]。

三、 互联网场景演化下用户数据保护理路的再造

伴随信息通信技术和数字数据技术的演进,数据不仅包括经由用户同意采集到的数据,还包含企业在数据加工、分析、应用等多场景下整合、生成、开发的各类数据,且源于后者所产生的数据量和数据价值越来越多,特别是在各项人工智能底层技术的广泛适用下,基于海量多样化数据的机器自主学习无疑会产生更多有价值的数据。在此场景下,现行以私法为主的数据保护理路及模式面对数据的复用性、多归属性、准公共性等特征明显乏力,亟须突破私法理路下数据保护的局限性,建构与数据行为实施之具体场景相结合的动态平衡的数据保护理路,在赋予用户选择权能的基础上激励用户数据的安全使用与合理开发,将现行的以数据“权利化”或“权益化”为主的保护方式转向数据利益保护与分享融合的发展方向。在此基础上,注重多部门法律规范间的协同合作与综合治理,执法部门与司法机构间的有效沟通与联动释法,以及企业权益与用户权益间的公平高效的分享与增进,最终以政府为主导,联动企业、用户以及第三方组织合作构造数据保护与分享的多元共治体系。

1. 确立以场景化为基础的数据保护理路

美国学者海伦·尼森鲍姆(Helen Nissenbaum)提出的“场景化公正”(contextual integrity)理论,强调将“场景化公正”作为判断隐私是否受到损害的基准,其核心原则在于数据(信息)的收集和流通应当契合具体场景[23]。用户数据的收集和使用与场景高度相关,不同场景下用户数据的收集和使用的方式和程度取决于该场景下用户偏好或期望,即用户数据的收集和使用是否合理(表现为得到用户的信任)取决于相应场景下数据行为的可接受性或者说是否为用户的“合理预期”[24]。具体而言,用户对其数据的同意授权并非简单的“是与否”,而应当在具体场景中动态平衡数据收集、存储、分析、计算、分享等行为中可能存在的风险,用户对企业披露的数据用途的理解,用户年龄及对互联网技术的熟悉程度等诸多因素的复杂性和差异性,甚至在数据的区域性收集和流动过程中,地理因素、文化因素等因素都会影响用户对数据处理行为的可接受程度。数据企业需根据具体场景中对用户数据利用的合理程度来制定更有效的数据保护规则,避免脱离具体场景下的严格保护甚至过度保护带来的数据冻结乃至数据封锁。

当前,海量数据以移动设备端为主要流量入口呈现多场景、多应用的发展局面,侵害用户数据的行为呈现多类型、多环节、难以估量等特征,强化数据保护已经成为Web 3.0场景下的时代任务和发展趋态。譬如,欧盟《一般数据保护条例》(GeneralDataProtectionRegulation,简称“GDPR”)在第35条“数据保护影响评估”中提出,当新技术的处理可能对用户的权利与自由带来高风险时,数据控制者应当在数据处理前考虑处理行为的性质、范围、场景和目的以及可能对数据主体权利和自由产生的风险。GDPR第6条第4款(a)项和(b)项规定,当数据主体没有明确表示同意,判断数据处理是否合法,应当考虑“个人数据收集时的场景,特别是数据主体和数据控制者之间的关系”。可见,虽然欧盟在GDPR中规定了结合具体场景评估数据控制者行为的合法性和适当性,但是并没有明确给出“场景公正”理论在评估与数据相关行为时的具体适用进路,缺乏独立于现行私权模式下以“用户知情同意”为基准的多元利益平衡的数据保护模式。

相比之下,美国对用户数据的保护更强调对具体场景的尊重。譬如,在奥巴马政府时期起草的《消费者隐私权利法案(草案)》(AdministrationDiscussionDraft:ConsumerPrivacyBillofRightsActof2015,以下简称《草案》)提出,消费者有期望企业收集、利用和披露个人信息的方式与用户提供信息时的场景相一致的权利。虽然赋予了消费者以选择权,但是该类选择权的行使应与所收集数据的数量、范围和敏感程度相匹配,在充分尊重用户在数据收集中的合理预期外,也对选择权的行使设定了相应的约束情形。譬如,在《草案》中也规定了当企业在相应场景中的处理数据行为合理时,可无需经过用户同意或满足其他要件而自动获得合法性授权[25],这一规定突破了现行以“用户知情同意”为基准的数据收集和处理方式,很大程度上缓解了现行授权模式的适用困难。综上可见,推行“场景化授权”与“用户知情同意”相结合的数据保护模式将在很大程度上平衡数据保护与数据分享之间关系。

具体而言,企业应结合具体场景的现实需要,将数据使用行为限定在用户对其数据披露与分享的合理预期之内。 随着数据使用场景的多元化,用户提供的数据已经过分析处理衍生出不同内容和形态。 譬如,企业通过在线记录消费者行为获取的“观察数据”, 及通过分析“自愿数据”和“观察数据”得出的“推断数据”[26],客观上已脱离用户的控制,成为企业能够实际开发利用的商业资源,如果对这些商业数据的处理仍坚持一对一的用户同意授权方式,将极大地限制数据的流通分享效率,也将为企业带来巨大的合规成本。 故此,在企业收集用户数据后的处理行为中,若对用户数据的使用未超出收集用户数据时的合理预期,则可免于用户的再次同意,以减少企业的合规成本。 如果企业将用户数据用于其他不属于合理预期的目的或使用行为且存在中等风险、中等敏感度时,应当以有效通知的方式向用户告知可能存在的风险,并提供用户方便操作的选择退出机制,特别是如果企业处理数据的行为超出最初收集用户数据的合理预期,存在高风险和高敏感度时,企业应当为用户提供即时显著的强化通知机制。 当用户在高风险和高敏感度的场景下选择披露数据时, 企业应当主动帮助用户降低风险, 譬如针对无需关联到特定个人的数据使用行为,企业应当主动采取数据分类脱敏或“去标识化”处理。 据此可见,赋予用户在参与数据相关行为中自主决定的权益[4], 评估数据在具体场景下的运行风险,实现用户在数据之上的个体权益与企业权益的平衡, 能够有效降低企业使用数据的合规成本, 有利于促进数据安全保护与高效利用之间的协同与融合。

2. 从数据保护的强化到与数据分享的融合发展

伴随Web 3.0时代的到来,万维网、物联网、大数据、云计算、区块链、人工智能算法等信息技术和数字技术的深度融合,数据的价值被提升到人类社会发展进程中无以复加的高度,被誉为“新世纪发展的石油”,这意味着对于数据的态度,不仅是强调给予科学合理的保护,更重要的是安全高效地创新型利用数据,使数据在流动中增值。必须承认,数据保护不是数字经济发展的最终目的,更重要的是,实现数据价值的深度挖掘与数据技术的创新发展,以高效安全的数据利用效能促进数字经济高质量发展,实现企业、用户及第三方在参与数据相关行为过程中个体权益与整体利益的多元动态平衡。故此,亟须对私法逻辑下数据保护的绝对性和排他性理路予以矫正,从数据本身的瞬时性、复用性、准公共性出发,充分考虑数据运行的具体场景,推动从数据保护到与数据分享的融合的方向发展。

然而,现实的司法实践尚未意识到这一点,仍然将数据的定位及其保护方式的选择放置于私法理路的镜像下予以观察和处理。譬如,在“大众点评诉百度数据抓取”案(3)参见(2016)沪73民终242号判决。中,二审法院认为百度公司抓取来自大众点评网用户的评论信息的行为损害了汉涛公司的利益,违反公认的商业道德,构成不正当竞争。再如,在“新浪诉脉脉”案(4)参见(2016)京73民终588号判决。中,二审法院认为新浪的用户信息是新浪的经营性资源,属于新浪的重要竞争利益,脉脉未取得用户许可和新浪微博平台的授权违法抓取数据,侵犯其他平台的合法商业利益,违反诚信原则和公认的商业道德,属于不正当竞争行为。与我国司法裁判的思路和结果不同,美国法院在具有相似案情的“hi Q诉LinkedIn案”中作出了截然相反的裁定,支持hiQ公司向法院申请的临时禁令,判决LinkedIn公司不得采取法律或技术措施限制第三方爬取其网站上的公开数据。在判决中明确提出,hiQ公司获取的是用户在LinkedIn平台上公开给所有人可见的数据,可视为用户已经同意了他人对此类数据的收集和使用(5)参见HiQ Labs, Inc. v. LinkedIn Corp., 273 F. Supp. 3d 1099 (N.D. Cal. 2017)。。虽然,中美两国司法系统和法律体系不尽相同,但是从全球数字数据发展的共性以及两国作为数字经济大国的现实出发,引起了我国学界对数据保护与分享理路的再思考。事实上,在数字经济向纵深发展的当下,数据保护的目的主要是对数据行为引发风险的防治与救济,而非妨碍或迟滞数据的合理分享和高效流动,片面和过度强调数据的私权属性,将导致用户、企业以及第三方很难在数据运行中获得共赢。

故此,要真正实现数据对经济增长与技术创新的驱动作用,亟需合理规范数据主体的“与数据相关行为”的界限,厘清用户数据在多大程度上能够为企业所用,以及企业如何合理使用。结合场景化的数据保护理路,建议评估“与数据相关行为”各个环节的数据使用风险,及相应场景下的用户合理预期,明确数据主体的使用行为应当被控制在收集用户数据时的可接受程度范围内,并为用户提供选择机制,以更好地防御与数据相关行为运行的各类潜在风险。在此基础上,激励企业尽快建立适合自身的数据合规体系,完善数据合规业务流程,在科学合理、安全高效地采取数据保护措施之时,激励和支持企业有效有序开展数据流通与分享,提升数据挖掘和数据创新的效能,以实现数据保护与数据分享在具体场景下的动态平衡。

3. 搭建用户数据保护与分享的多元共治体系

如前所述,当人类社会步入互联网Web 3.0时代,数据作为最重要的生产生活要素,其价值和功能的彰显和实现不仅限于私人领域,而是越来越凸显于国家总体安全利益、社会公共利益以及行业整体创新利益实现等领域。故此,应尽快突破单一私法理路保护的局限,引入数据动态场景化保护原则,科学搭建数据保护与数据分享的动态多元平衡的共建共享共治体系。

为此,尽快树立“共建共享共治”的数据保护理念,搭建多元数据主体利益动态平衡架构。在我国政府作为最重要的治理主体和改革力量,强政府的治理结构和治理模式在成就四十余年改革开放巨大成绩的同时,也暗埋了对政府权力及行为过于依赖的思维惯性和行为短板,致使现阶段对数据保护与分享治理仍有赖于政府的主导。当然,这种现象并非不可取,也并非不可行,恰恰相反,在海量多样化数据呈现井喷式增长和数据功能不断创新的当下,缺乏政府作为核心设置和中台架构来统筹和协同数据保护与分享任务的情形下,难以达成安全高效、可信可行的数据保护与分享治理架构。故此,应积极肯定政府在数据保护与分享治理中的基础性和主导性作用。同时,在坚持包容审慎监管的前提下,依法对用户、企业及第三方参与数据保护与分享的行为予以科学合理的治理,鼓励和支持政府主导下的各类数据主体共同合作搭建的数据保护机制。譬如,在企业层面,建立问责机制与“透明度”自查机制,促使企业能够在风险发生早期识别和化解问题,有效地保护数据主体利益;在用户维度,加强用户对自身数据披露的风险防范能力,鼓励用户学习必要的互联网知识和网络安全技能;在第三方参与时,倡导建立第三方数据保护影响评估和监督机构,尽快形成多方联动、协同联动、有序运行的数据保护与分享的共治架构。

此外,鉴于我国尚缺乏统一的数据治理基本法,仅依靠现行一般民事立法、互联网行业规范以及用户、企业或(和)第三方与彼此间签订的合作协议等尚无法从根本上有效地解决复杂多变的数据保护与分享治理难题,故有待在充分调研和反复论证的基础上,科学制定符合我国数据多元共治架构的高位阶的法律,以科学立法为先导,推动和落实数据保护与分享的共建共享共治架构与机制。

四、 结 语

互联网技术的革新和移动智能终端设备的发展与普及标志着Web 3.0时代的到来,互联网从Web 1.0下单向静态的只读网页转向Web 2.0下用户深度参与、信息双向分享的社群服务,到如今Web 3.0时代下形塑为数字数据技术全面应用、海量数据聚合与个性化、精准化数据信息匹配的数字生态系统,为人类经济社会发展带来了颠覆性变革。这些颠覆性的变革引发了数据定位及保护方式的变化,呈现为数据从单向静态转向动态互联共通,数据在产业运行中的定位由消费结果转向兼具消费和生产要素双重属性的融合体,这直接推动了数据保护方式从私权保护模式向数据保护与分享的动态平衡的场景化多元共治模式的转变。具体而言,基于互联网场景的多元瞬时变换,以及数据的复用性、动态性、准公共性等特征,亟须突破现行私法逻辑下数据保护的局限性,考虑和尊重具体场景中用户的合理预期,构造“场景化授权”与“用户选择”相结合的数据保护模式。在这一过程中,强调将数据保护的重点从数据收集环节向数据使用环节扩展,关注数据价值的深度挖掘和数据技术的创新适用,实现数据保护与分享的融合发展。为此,建议尽快制定并出台高位阶的数据治理法律规范,统筹和协同由政府主导的多元数据主体共同参与的涵盖私法、公法及社会法等多法域规则在内的数据治理基本法,切实有效推动数据保护与分享治理行为公平高效的展开。