数据资源的国家所有:权属反思与重构
2022-02-05□庞琳
□庞 琳
(西南政法大学人工智能法学院,重庆 401120)
习近平总书记在中共中央政治局集体学习时强调,要推动大数据技术产业创新发展,要构建以数据为关键要素的数字经济,要运用大数据提升国家治理现代化水平,要运用大数据促进保障和改善民生,要切实保障国家数据安全。善于获取数据、分析数据、运用数据,是领导干部做好工作的基本功[1]。2022 年3 月,国务院《关于加快建设全国统一大市场的意见》提出,建立全国统一大市场,加快培育数据要素市场,建立健全数据安全、权利保护、跨境传输管理、交易流通、开放共享、安全认证等基础制度和标准规范,深入开展数据资源调查,推动数据资源开发利用。数字经济治理的实现有赖于数据要素市场体系的建立,其核心在于数据权利体系的建构,清晰的权利归属是数据治理的前提与基础。关于数据权属问题,现有成果大多从传统私法层面展开,在物权、债权、知识产权之间寻找权利或利益定位,围绕数据权益保护、利用、共享、公开、控制以及数据安全、数据竞争等内容展开了一些有益的探讨。整体来看,聚焦于私法层面的理论探索有利于对个体所涉相关权益的保障与救济,但忽略了数据作为生产要素的社会效益与整体价值。目前,各界尚未对数据权属及利用的法律规制形成共识,中央与地方的重要法律文件往往也未明确涉及①据笔者调研,国家层面《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》及《中华人民共和国个人信息保护法》分别从不同的层面对数据所涉权益进行保护。2022 年6 月中央全面深化改革委员会审议通过的《关于构建数据基础制度更好发挥数据要素作用的意见》确立了推动建立现代数据产权规则体系,其中数据产权制度的重要特征是暂时搁置数据所有权的定位。而地方层面,截至2021 年底已有18个省市公布了相关数据条例,其中较为典型的有《深圳经济特区数据条例》《上海市数据条例》。两部法律文件为探索数据相关的权益范围和类型作出了努力,明确自然人对个人数据依法享有人格权益,培育数据要素市场,促进数据要素依法有序流动,却均未赋予任何主体的数据所有权。。
在数据权属的探讨中,学界曾从不同角度提出数据所有权[2]、类型化的数据产权[3]、数据知识产权[4]等称谓,目的在于设定专有性、排他性的数据权利。传统所有权理论的基本假设为权利客体的“稀缺性与排他性”,“占有与所有”成为财产权衍生的基础;而数据的“非竞争性与非排他性”使得“共享与利用”尤为重要,数据的利用成为赋能数字经济的关键。单个数据的确权往往并无实义,弱化“所有权”而强化“用益权”的数据权利体系的构建才能有利于数字经济发展与良善治理目标之实现。本文将前述关于设定专有性、排他性数据权利的观点统称为数据所有权理论,在对此进行反思的基础上探讨数据权利体系可能的框架;后文将在区分数据、数据资源、数据集合与数据产品的基础上,对数据权属的逻辑结构与确权规则问题展开讨论,试图解决关于数据权益生成的路径分歧、数据权属多重主体的困惑不解、数据权属表达的共识难成与模糊搁置等问题。
一、数据权属之反思:价值悖论与配置难题
传统所有权理论与数据流通和共享中的特质间存在价值上的悖论,现行法律法规司法实践中均面临着由主体多重性和场景复杂性带来的数据所有权配置难题。
(一)数据所有权与数据特征的价值悖论
数据所有权与数据本身的特征不符。传统所有权理论的建立以生产资料稀缺性为基础,以排他性占有和登记的表征方式作为权利外观要件,产生法律上定纷止争的效果。但数据的“非排他性与非竞争性”特征使其难以比照传统所有权理论框架自洽地解释数据利用与控制问题。数据的非排他性意味着某一主体无法排除其他主体对同一数据的利用,而非竞争性则意味着数据控制者对数据利用的边际成本为零[5]。学界早前较为流行的理论探讨是通过数据与信息层面的区分[6],沿着隐私、个人信息、衍生数据、独有数据、数据交易这一链条展开,充分认识到个人对数据的控制已经不可逆地延伸至政府、企业对数据的控制。有学者循此路径,探讨何种类型的数据属于个人或属于企业、政府,抑或分为多重权属,通过迭加赋权的思路实现政府、企业对不同类型数据的权益分配[7]。无论是物权法思路、知识产权法思路还是特殊数据库产权保护等路径的尝试,都无法消解在某一排他性绝对性财产上可能设置多重所有权的悖论[8]。其根源在于,如若从所有权的排他性出发,那么在划定权利边界的同时意味着为自由设定了界限,而数据时代的事实是:数据可重复利用,并且在使用中产生更大价值的聚合效应,这与传统物权或产权理论的排他性特征相悖。
数据所有权与数字经济利他共享的价值不符。数据经济发展创新,需要进行跨领域的数据合作,破除“数据孤岛”。利他共享作为数据发挥聚合效应的基本价值取向,不同主体收集处理的数据不仅对自己,同时对其他主体也具有重要价值。数据所有权一方面为企业创设了财产权,增加企业的竞争力,另一方面阻碍了数据下游的利用和创新。例如智慧城市建设需要数据资源整合共享,对于地理数据企业收集的城市底座数据,不仅政府部门、交通部门、水电燃气、导航地图等企业对这些数据具有极大的需求。因此在未对数据来源与数据性质进行区分的情况下,设立数据所有权不但无法解决数据流通与共享的问题,还将对数字经济发展带来负面效应。
(二)数据所有权的权利配置难题
赋予权利主体专有性排他性的数据所有权,需以权利归属清晰精确为前提。然而在数字经济多重复杂的数据系统与结构中,各类数据涉及多方利益主体,各方主体均可基于某种权利、利益向数据控制者提出主张。若将绝对性、排他性的权利赋予某一数据主体,数据相关各方的权利义务配置为何?数据所有权主体进行何种程度的权利让渡?当前难以通过统一标准解决这些问题。
1.权利主体的多重性
《中华人民共和国民法典》第127 条为数据的保护及利用作了留白处理,理论与实务尚未对数据权属形成妥当定位。学界对数据权属界定进行了有益尝试,主要体现为两种路径,第一种是将数据权属以国家、企业、个人为主体进行划分的“赋权模式”;第二种是结合数据权益的多重性特征,以“卡—梅分析框架”为主导范式,构建数据保护利用规则的“行为规制模式”,为各方利益相关主体提供法律救济。除民法典以外,网络安全法、数据安全法、个人信息保护法,以及各地条例与规定对数据的保护多有涉猎,但均对数据所有权归属问题予以留白。以《中华人民共和国数据安全法》为例,该法第7 条是保护个人、组织与数据有关权益的宣示性规定,后面的条文未曾体现数据权益的分配与界限的划分。在个人数据方面,立法与实践仅仅肯定个人数据具有人格属性,个人可行使积极利用与消极防御的权能。2021 年深圳市人大通过的地方性法规《深圳经济特区数据条例》更是直接回避了数据的权属问题,删除一审稿中关于“自然人对个人数据享有数据权”的创新性表述,改为“自然人对个人数据享有人格权益”的共识性表达。就企业与企业有关数据的纷争问题,立法对数据权属问题亦采取回避态度,未直接触及数据权益的性质与归属,而在司法裁判中多通过竞争法予以调整。如北京百度网讯科技有限公司与上海汉涛信息咨询有限公司不正当竞争纠纷案、淘宝(中国)软件有限公司与安徽美景信息科技有限公司不正当竞争纠纷案①分别参见:北京百度网讯科技有限公司与上海汉涛信息咨询有限公司不正当竞争案,上海知识产权法院(2016)沪73 民终242 号民事判决书;淘宝(中国)软件有限公司与安徽美景信息科技有限公司不正当竞争案,杭州铁路运输法院(2017)浙8601民初4034号民事判决书。,法院认为企业付出大量资源收集处理的数据应当属于该企业的劳动成果,企业利用劳动成果谋求商业利益的行为应受保护。在企业是否享有数据所有权的问题上,主流观点认为我国法律尚未对数据所有权作出具体规定,企业加工数据产生的劳动成果不能等同于财产所有权,不能达到作为一项绝对权的保护强度。
“赋权模式”根据不同主体对数据权属进行了划分[8]。从目前讨论来看,依据国家、企业、个人三元主体类型划分数据所有权的方式存在较大分歧。有学者尝试创设数据文件所有权并将其分配给数据文件制造者[7]。数据文件本质上属于物质属性,借鉴物权保护的原理划分所有权似乎并无不妥。所有权理论的主张观点及主张有:所有权人有能够占有的权利;经所有权人许可占有的人拥有同样的权利;此外任何人都无此权利[9]。物权上的占有具有唯一性,前占有与新的占有无法并存。然而,数据可以不断复制、分散、组合并且重复利用,当数据信息被拷贝至另一物理载体时,原物理载体与新物理载体的所有权人均为该数据信息的控制者,此时,该数据同时即存在两个或两个以上的“占有”状态,因而缺乏占有与占有移转的权利外观。
更为重要的是,同样的数据为政府、企业同时控制与利用,该数据的所有权能否对抗个人数据中的隐私权?各项权利之间的冲突如何消解?一方面,若将数据通过所有权这一排他性极强的方式赋予个人,会影响企业的财产性权益,也会最终阻碍数据经济发展;企业收集个人的碎片化数据,通过技术加工为数据集合,付出相应的劳动与成本,理应享有相应权益。另一方面,若企业拥有数据所有权这一项具有极强排他性的权利,相当于授予数据使用的专有垄断,可能妨碍数据的公平与自由利用。由此可见,依据不同主体类型划分数据所有权会产生权属的混乱,不能解决根本问题。换句话说,数据本身并不是绝对唯一状态,反而是数据通过不断聚集与组合,在不同状态、不同应用场景之下,根据利用的目的与行为,对映射的具体权利予以定性。所以,划分多重主体的数据所有权的本土化解释,终究会陷入窘境。
数据不同于有体物,集合的数据具有多重价值、多种利益并存的特点,权利主体具有多元性,权利内容具有多样性,涉及个人信息与隐私、企业竞争与财产利益、政府管理与责任、国家安全与数据主权等多重维度。数据集合涉及多方利益相关主体,难以判断对某一主体赋予所有权人的地位,进而界分其权利的内容与范围。立法留白与司法的避而不谈,充分表明数据权属问题本身的复杂性。为了解决多方权利主体交叠的问题,有学者借鉴域外信托财产“双重所有权”理论,认为数据主体作为委托人享有名义上的数据所有权,数据控制人作为受托人对数据享有实质上的控制权[10]。然而,双重所有权结构与我国财产法基本理论存在冲突,“数据信托”理论缺乏清晰的权利归属与实现路径,当多方利益主体产生权利冲突时,不得不在所有权体系下对数据的交易、流通与控制做例外限制,导致权利行使的边界不清晰。
2.应用场景的复杂性
鉴于数据所有权主体的多重性与权利配置的困难,有观点主张搁置数据权属争议,而是从“行为规制”出发,使用强制性的公法明确数据流动、分享、储存和操作的规则[11]。结合数据利益“相关主体”与“应用场景”的多元性与重叠性特征,向不同的主体赋予获取数据的权利,这种权利并不具有所有权性质的独占性,没有必要在法律上定义数据的“所有者”或“生产者”[12]。在数据采集、加工、利用的过程中,企业通过算法加工产生新的数据集合,形成新的权利形态,体现了“数据作为生产要素”的特性。大部分原始数据“原材料”来源于个人基于一定行为产生的“留痕”,即便是遵循关于数据收集范围、使用目的方面的要求,这些原始数据亦无法完全解释为归属于数据控制者或处理者。搁置数据权属争议,就数据本身特性、现实需求与场景化特征等方面而言,所谓数据的相应权利或权能,即对数据之控制、使用、加工、收益、处分(有限制)、共享等权能。有观点主张根据不同的使用目的与利用方式,形成不同的权能配置方式,在数据利用准则的范围与限度内,将数据的不同权能进行分拆、组合与配置,以充分实现物尽其用并创设可行规则与路径[13]。
从法律后果的角度对数据处理行为的规制思路在多元数据利益衡量与数据利益边界划定的应对中具有一定的灵活性,但这种基于“责任规则”的理论进路,天然存在形式理性与价值理性的分歧,只能将数据访问、收集、使用的问题留给竞争法、侵权法进行分配和调整,这就导致其难以发挥对数字经济、数字社会、数据政府建设的正面激励效应。事实上,每个具体的场景都存在对数据利用的不同目的,场景与主体之间相互交织重叠也具有太多不确定性。数据主体与数据权益并非简单的一一对应,不同场景可能因为主体的不同而彰显出不同的权利属性。抑或需引入“卡—梅框架”,从数据权益保护和利用的效果出发,对数据治理规则进行类型划分[14]。在“个人—企业”“企业—企业”“个人—政府”“企业—政府”多重法律关系中,通过法律限制性和管制性规范处理数据收集与利用的负外部性问题,亦无益纾解数据权属的僵局。将“行为规制”进路置诸大陆法系的语境,特别是已有的成文法规则中,如何进行自洽的解释;对数据衍生权利的权源追溯以及权源本身的正当性论证,究竟是束之高阁还是避而不答,是重新衔接还是另作体系。上述疑义都是不能绕过的问题——两套独立的规则体系(如果我们试图架构)在立法语言、文本解释、司法适用中一定会存在诸多混乱。
从立法层面来看,民法典第127 条的留白处理以及地方立法机构在数据赋权问题上秉持的审慎态度,恰好说明对数据的确权规则不能简单地适用所有权规则或知识产权规则,数据所涉之权益属于独占性权利还是对抗第三方滥用数据的防御性权利,以及是否应当区分例外情况等问题颇有争议。从司法实践来看,无论是大众点评诉百度地图案①参见大众点评诉百度不正当竞争案,上海市浦东新区人民法院(2015)浦民三(知)初字第528号民事判决书。,还是淘宝诉美景案,均未对数据所有权予以确认。数字经济中数据纠纷频发的现象告诉我们围绕数据这一非竞争性资源产生的占有、利用、收益等问题,后续的立法与解释还有探讨的空间。
二、数据权益保护的域外借鉴:共同倾向与规制路径
从世界范围来看,欧盟和美国作为世界重要的两大经济体,其数据立法范式形塑了多个国家或地区相关规律规范的制定和修改,甚至在理念上影响了整个后续的立法进程。分析二者数据权属保护法律规制,有助于寻求可资借鉴的思路。
(一)美国:对公共利益的扩大解释
在偏重数据自由流通和数字经济发展价值的逻辑下,美国立法与司法中均未对数据权属问题予以明确,而是秉持尊重数据市场和网络自治的数据价值观和治理理念,以产业利益为向导,适度弱化个人数据主体对其数据控制的权能,强调企业收集利用个人数据时应遵守的实体与程序规范。整体来看,美国系通过“自由市场+部分领域强监管”为基础的实用主义路径释放数据利用与流通的价值[15]。
第一,美国《隐私法》将未公开的个人数据置于隐私权框架内予以保护,针对特定领域制定更高标准的隐私保护规则,如金融、健康医疗、儿童隐私、教育、政府数据开放、数据跨境等特殊领域针对可识别的个人信息进行单独严格立法。美国法学界重视数据的开发流动与利用,鼓励商业机构对个人数据进行匿名化处理,企业享有一定范围的数据利用权益,而且这一处理对其他主体也都有利②比如,数据控制者可以在与第三方共享数据时保护数据主体的隐私;数据主体可以不用担心隐私泄露;立法者可以通过放松对匿名记录交易的管制来平衡隐私和其他利益;监管者可以将数据处理者分为两类,即负责任的(匿名的)和不负责任的(不匿名的)。参见Paul Ohm.Broken promises of privacy:responding to the surprising failure of anonymization,UCLA law review,2010(57):1701-1704.。在确立企业数据财产权的问题上,由财产权理论解释企业的非公开数据与半公开数据两种类型,合理保护非公开类型的企业数据[16]。但笔者经调研认为司法实践中逐渐认可个人数据的自决权能,但尚未达到绝对权意义上的对抗效力,各级法院为企业的半公开数据提供一定程度的法律保护,但这种保护更多地依赖于版权法、合同法等方式③这也同时说明了美国法律对互联网企业的规制较为宽松,有别于欧洲和亚洲。参见Anupam Chander. How law made Silicon Valley,Emory law journal,2014(63):639-694.。即便对于企业非公开数据或商业秘密类数据的保护,也与“排他性、绝对性”的财产权保护程度存在差异①在美国《保护商业秘密法》中,美国国会表示,该法“不应被解释为与知识产权有关的法律”。这种制度安排的法理基础在于,保护商业秘密的主要目的是保护商业诚信,防止利益相关方不正当地获取此类数据,并非为了保护企业数据本身,因为企业的数据具有流通性价值与公共性价值。参见Eric Goldman,The defend trade secrets act isn’t an“intellectual property”law,Santa Clara High Technology Law Journal,2017:541-551.。
第二,针对已经公开的个人数据以及数据集合(排除商业秘密、知识产权等数据集合),均不受隐私法的调整,进而将其纳入《计算机欺诈与滥用法》(以下简称CFAA)或竞争法的调整范畴。换言之,合理收集、使用这类“公众开放区域”的数据不为美国法律所禁止。例如HiQ Labs 数据分析公司诉领英(Linkedin)案(LinkedIn Corporation v. HiQ Labs,Inc.)中,第九巡回上诉法院否认了LinkedIn的数据所有权,认为领英(LinkedIn)对其平台用户提供的数据不享有受保护的财产权益,出于防止信息垄断,通过最大化互联网上的信息自由流动有利于维护公众利益的考虑,允许HiQ 访问领英(LinkedIn)用户已经公开的数据②美国对企业数据权属问题意见分歧,2021年6月14日,美国最高法院针对LinkedIn Corporation v.HiQ Labs,Inc.的上诉案件,裁决撤销判决,该案被发回美国第九巡回上诉法院重审。2022年4月19日,美国第九巡回上诉法院作出裁决,认为抓取已公开的数据并不违反《计算机欺诈与滥用法》(CFAA),数据抓取是一种常用的信息收集方法,被搜索引擎、学术研究人员和许多其他人使用,让已经积累了大量用户数据集的公司决定谁可以收集和使用数据(这些数据不属于这些公司所有),这些公司对这些数据的使用方式具有极大的控制权,可能造成损害公共利益的信息垄断。参见HiQ Labs.Inc.v.LinkedIn Corp.No.17-16783(2019).。当计算机网络通常允许公众访问其数据时,用户访问该公开数据将不构成未经CFAA 授权的访问。HiQ 寻求访问的数据不归领英(LinkedIn)所有,领英(LinkedIn)也没有使用此类授权系统将其划分为私有数据。
第三,非法收集数据的行为即使不适用CFAA,仍然可能参照侵犯动产的诉因请求损害赔偿,如侵犯版权、盗用、不当得利、违约或侵犯隐私等③例如,Associated Press v.Meltwater U.S.Holdings,Inc,931 F.Supp.2d 537,561(S.D.N.Y.2013).。由此可见,美国通过对公共利益的扩大解释,旨在促进公开数据的流通与利用,在是否赋予某一主体以绝对的、排他的数据所有权问题上,至少美国目前秉承谨慎判断与限缩适用的态度。
(二)欧盟:利他主义的数据共享
不同于美国实用主义的立法演进,欧盟意欲通过《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)的立法尝试实现数据主体、数据控制者、数据处理者以及国家多元主体数据保护的多重目标。一方面,根据数据处理程度制定数据保护与流动的一般原则;另一方面,从数据主体角度,构建了不同主体之间数据共享和流动的政策框架。该条例赋予数据主体个人数据自决权(包括知情权、访问权、修正权、被遗忘权、限制处理权等非绝对性权利),同时又设置了大量但书条款限制数据主体无限行使数据控制权[17]。该条例作为欧盟个人数据保护立法改革的产物,从个人数据处理的基本原则、数据主体的权利、数据控制者和处理者的义务、个人数据跨境转移等方面,为互联网时代建立了完备的个人数据保护制度,并对全球个人数据保护立法产生了涟漪效应。
就《通用数据保护条例》(GDPR)给数字经济带来的效果而言,有观点认为,欧盟错失数字经济发展机遇的原因是该条例等数据政策带来的强监管所导致[18]。为支持数据流动与价值创造,欧盟2020 年以来相继制订《数据治理法案》《数据法案》《数据市场法案》《数据服务法案》等,体现了欧盟在数据政策上持有的保护与流通并重的立场。在政策文件《建立欧盟数据经济》中,欧盟通过赋予“数据生产者权利”(这里并非数据所有权)、鼓励企业授权第三方访问其数据的规定,促进数据流通和增值。
从当前立法导向上看,欧盟更多地在认定,无论个人或是法人都应当基于公共利益自愿提供数据,并致力于促进形成基于数据利他主义的数据池,发挥数据在改善医疗条件、应对气候变化、发展基础研究等方面的潜力。为进一步促进数据共享与流通,2022 年4 月通过的《数据治理法案》第四章专章设置了“欧盟认可的数据利他主义组织”的基本制度,规定数据利他组织必须保留包括处理日期、处理目的、数据持有者等在内的完整准确信息,要求其向主管部门递交年度活动报告,其中包括实体活动信息、公共利益实现方式、数据持有人清单等内容,制定欧洲数据利他主义同意书,以降低成本并促进数据可移植性①参见欧盟《数据治理法案》第四章,北大法律信息网,https://article.chinalawinfo.com/ArticleFullText.aspx?ArticleId=121765,访问时间:2022年5月30日。。
(三)欧美共有的价值态度
从美国与欧盟就数据的系列法案内容来看,其面临的共同挑战是,数据链条包括多个参与者,每一个参与者都可能在某一环节赋予数据以新的价值,数据价值在不同场景下也会变化,并衍生出新的权利。在这种情况下,赋予某一方主体以数据所有权并清晰划分和界定权利边界,无疑是非常困难的。数据权属是全球难题,目前理论界及实践层面远未达成共识。
数据非竞争性、非排他性的特征决定了数据价值的实现以共享为常态,这一特征与财产权的属性相悖。某一主体对数据的利用不会减损数据总量,多个主体对数据利用产生的边际成本为零。“多重数据所有权主体”既缺少理论基础也缺少可操作性,更为数据的正常流通设定诸多交易成本,应弱化数据所有权概念。综观之,国内外的尝试无论以何视角,无论是倡导实用主义的美国还是秉承保护态度的欧盟,在赋予某一主体数据所有权问题上均采取了或回避或弱化的态度。“弱所有”并不否认数据的无主状态,而是在区分“数据—数据资源—数据利用—数据产品”的逻辑结构下,探讨数据资源的公共财产属性、数据权益的体系架构以及数据活动各方主体的权利义务配置。
三、数据权属的逻辑重构:数据资源国家所有的正当性论证
国内外的理论与实践发展均表明,数据资源作为一种“类自然资源”,只有在国家治理与数据安全的视野下才有探讨其归属,并论证“数据资源国家所有”的正当性与必要性。同时,在数据资源的利用层面构建“政府—企业—个人”三元主体框架,通过对数据的利用形成兼具财产与人格属性的数据产品,进而生成不同的权利类型。
(一)从数据到数据资源:区分数据资源的权利层次
数据作为信息的“载体”,与物质、能量共同成为社会必需的三大资源。数据渗透到整个社会系统的运行过程中,各行业根据需求对收集的数据进行处理分析,可有效利用数据资源提高全要素生产率。数据资源作为一种类自然资源,包含着丰富的内容,例如数据的管辖、利用、许可、赋权、交易等,这些权益的基础有赖于数据资源归属的澄清。探讨这一问题,需要回到中国语境下对“自然资源国家所有”的理解,也就是对我国宪法第9条“自然资源属于国家所有”的解读。在我国,自然资源之上存在四个权利层次,即宪法意义上的国家所有、民法意义上的国家所有权、民法中的用益权以及在特定情况下资源产品上的财产权,第一层次与第二个层次需要法律机制的桥梁进行连接。宪法上的“国家所有”并不等同于“国家所有权”,更不能以国家直接占有资源获得其中利益的私权观念进行理解。而是国家在充分发挥市场的决定作用基础下,通过使用负责任的规制手段,确保社会成员持续性共享资源。“自然资源属于国家所有”与国家所有权并非同义反复的语言修辞,“国家所有”的本质是全民所有制度,宪法第9条并不具有严格的规范性意义,主要是宣示和确认政治性的立法政策②学界这些年很关注宪法所有权与民法所有权的关系,各家看法不同,大多把宪法权利定位为“个人与国家”的关系,把民法权利定位于平等的私主体之间。。所以,第一层次需要通过第二层次的法律表达予以转化,我国民法典规定了国家所有权与自然资源使用权的基本框架,自然资源使用体系是国家所有权实现路径最为关键的核心。例如,个人依法对矿藏有开采权,但矿藏的所有权属于国家;集体或个人可以利用水流资源,但所有权不能属于集体或个人。
数据资源具有待开发性、未知性,数据资源国家所有作为规制的一种手段,应更多地被理解为公法意义上的分配与规制,而不是私法意义上的占有。进一步说,国家财产本质上是国家活动的一种形式即一种权力表现[19]。数据资源作为一种生产要素,具备“公共财产”的属性,由宪法上的国家所有权来体现全民所有,其具体内容需要通过法律进行具化,即有待于法律层面的进一步塑造。第一,全民作为无法界定清晰的权利主体,需要通过主权意义上的国家作为宪法意义上的主体替代之。第二,数据通过聚合产生社会影响,涉及公共利益以及政策调整,如个人的遗传基因数据、生物识别数据、金融数据等。需要国家代表全民对数据资源合理利用以保障全民利益,包括建立以维护数据安全为基础、防护数据垄断为核心的措施,确保社会成员持续共享数据资源。第三,正是因为由国家代表全民成为数据资源“公共财产”的主体,因而在数据资源的利用、流通、监管等方面,在很大程度上和很多情形下需要考虑通过法律制度保障数据资源的分配与利用,包括确立数据资源用益权、保护数据资源利用中形成的数据产品财产权等。
需要特别说明的是,数据资源国家所有属于宪法意义上的国家所有即“全民所有制”,并非等同于民法意义上的所有权,前者是主权国家对公民的关系,后者是平等主体之间的关系。因此,数据资源国家所有下的数据收集、利用、共享、流通以及由此生成的数据产品财产权之确权,均需要通过数据治理领域的专项法律规范予以形塑,开拓公法与私法的规制渠道,沟通民法内部的保护路径。从宪法意义上的数据资源国家所有到数据利用的具体转化,需通过数据分类分级的利用规则来表述有关数据资源使用的法律调整机制。数据利用的权利分类不存在“数据所有权”一说,只能是利用数据产生“数据产品财产权”。也就是说,民法上的“数据产品财产权”是具体的客体,可以归属于明确的权利主体;而“数据所有权”的客体是数据资源,而非具体的数据利用之权利,亦非明确的数据产品。数据资源与具体的数据利用权、数据产品财产权区分以后,便不存在多重所有权主体的问题。
(二)数据资源国家所有的解释例证:无线电频谱资源的延伸
宪法第9 条第1 款采用“列举+兜底”的立法模式确立了我国“自然资源”国家所有制度,是我国自然资源领域专项法律中自然资源权属的宪法法源①《中华人民共和国矿产资源法》《中华人民共和国森林法》《中华人民共和国草原法》等自然资源领域的法律均规定了该类自然资源归国家所有。。民法典(物权编)第252条将无线电频谱资源纳入民法意义上的国家所有权范畴,宪法第9条第1 款能否作为民法典第252 条的宪法依据,核心在于无线电频谱资源是否属于“等自然资源”的范畴。理解国家对无线电频谱资源行使安全保障、统筹规划、配置流通等管理职能,有助于对“数据资源国家所有”的理解。首先,学界对无线电频谱资源与自然资源的关联性存在争议,联合国环境规划署对自然资源下的定义是,在一定的时间和技术条件下,能够产生经济价值、提高人类当前和未来福利的自然环境因素的总称。也就是说,自然资源包括狭义概念与广义概念,后者包括有形与无形两种形态的自然资源。随着社会生产力水平的提高和科学技术的进步,之前尚未理解的不同形态的资源逐渐被人类发现利用,自然资源的种类将日益增多,概念也随之演变发展。其次,把握“国家所有”制度的含义,需要探求立法之目的,以当时的立法意图为标准置于法律体系中予以考察。正如拉伦茨所言,“解释规范时亦须考虑该规范之意义脉络、上下关系体系地位及其对该当规整的整个脉络之功能为何”[20]。民法典第252 条规定无线电频谱资源为国家所有,同时民法典第246条通过立法授权的方式确立了国务院代表国家行使所有权的原则性规定以及例外的引致性规定。无线电频谱资源国家所有权指向的对象是国家对无线电频谱资源的初始管理权或控制权,国家对无线电频谱资源实行统一规划、合理开发、有偿使用的原则。
理解无线电频谱资源的解释例证,还需要回到数据资源是否包含在“等自然资源”之本身。在对1982年《中华人民共和国宪法修改草案》讨论稿的立法讨论和修改中,宪法第9条的规定被认为是社会主义经济制度的重要组成部分,是“保证整个国民经济的发展符合劳动人民的整体利益和长远利益的决定性条件”[21]。而四十年前的立法无法穷尽“创造经济价值以提高人类当前与未来福利”[22]的生产资料,无法事先基于当时的行业经验对其类型进行周延的列举。随着数字化技术的发展,《中共中央办公厅关于构建更加完善的要素市场化配置体制机制的意见》(中发〔2020〕9 号)将数据与土地、资本、劳动力并列为关键生产要素,指出包括数据在内的五个要素领域改革的方向。因此,从生产资料社会性的角度对宪法第9 条作“等外等”的理解,将数据资源置入宪法第9 条的“等”进行解读,并不违背立法之目的。数据资源的公共性决定了数据只有在以分享利用为基础的场域中才能充分体现价值,并且基于数据汇聚释放出的巨大能量。进一步,除开国家安全、社会公共利益等方面的考虑,对数据所有权属的解释还要同时考虑数据通过收集、处理、共享与利用实现价值提高经济效率。数据作为生产要素成为社会公共资源,应当满足社会基本的生产生活需求,同时尽可能实现数据利用、共享的价值。
四、前置预设:数据资源国家所有的推定性原则
确立数据资源国家所有的核心在于围绕数据资源所有权项下,构建数据收集、数据利用、数据共享、数据安全保障等制度体系,为数字经济发展提供法律保障。梳理现有民事权利体系与数据资源利用中各主体权利义务配置的关系,确立数据资源国家所有的推定性原则。
(一)数据资源国家所有的推定性原则之意涵
1.推定国家所有的因循:维护数据安全正常流通
之所以确立数据资源国家所有的推定性原则,是因为遵循数据本身的特征。传统的自然资源国家所有与数据资源国家所有最为核心的区别在于:第一,物权的排他性特征源于物的明确归属,“一物一权”原则限定同一物上不得存在两个或两个以上的所有权,这是确定物的归属的逻辑基础。而数据具有无形性、可复制性、无限性等特征,这种天然的区别必然导致不能用传统的“一物一权”原则限定数据资源。第二,传统自然资源的功能具有单一性,例如,土地是人类赖以生存和发展的物质基础,为建筑、农业、林业等所利用。而数据则具有多重功能,客观存在的物理世界通过数据化转换为数据资源,数据使用的方式与功能在不同的维度下具有不同的属性,可在具体数据环境下实现经济价值、公共利益、国家安全等不同价值目标。由于极易被收集、传输、流通、利用,因而数据无法适用占有或登记的权利推定规则,对数据的规制依赖于数据控制者的自我控制,才能以防外泄[23]。
数据资源国家所有需要推定,以维护数据安全正常流通为一般原则,基于数据收集规制、数据跨境、公共利益、国家安全等限制为例外。
2.推定国家所有的目的:实现数据资源价值
确立数据资源国家所有的“推定性原则”,即在没有其他数据主体的人格权益与企业数据财产权(后文统称为“他项权益”)相反限制的情形下,推定数据资源为国家所有。这种限制主要包括两个方面:一方面,以数据为表现形式的人格权益与财产权益,例如财产权、隐私权、肖像权、知识产权、商业秘密等数据,明确地指向财产权或人格权客体,权益人对特定权益享有直接支配和相对排他的权利,排除在数据资源国家所有范围之外。这种限制表明数据资源国家所有不是绝对的、恒定的,在国家与公民内部关系的私法领域,国家本无独立的利益和法律地位[24]。另一方面,政府、企业基于管理、生产、经营之需要,基于个人信息保护法、数据安全法等法律法规之规定合法收集整理形成的数据集合,可限制或抗辩数据资源的国家所有。上述限制表明,数据资源国家所有的推定性原则并非将数据资源所涉之全部权益定格于“公有制范畴”,而是就其作为生产要素的重要性,合理充分利用,以实现数据资源价值为目的。
确立数据资源国家所有的推定性原则,也并非赋予国家垄断或独断之权利,国家不能作为数据资源主体直接参与数据产业市场经营活动,而是强调国家从公共利益出发,以合理开发使用与公共数据安全为基础,行使数据资源国家所有的管理、监督、分配职能,不能违背由市场发挥主导功能,根据各方利益主体的贡献度决定数据资源利用与经营的规律。根据数据控制主体、数据应用场景、数据内容、数据分类分级等情形,明确分野公私领域的规制与保护,实现保障公共利益、明晰私法权益的优化配置。欧盟的立法经验充分说明,当个人数据聚合形成数据资源池而具有公共属性时,赋予个体太强的控制力会阻碍公共资源的整体规制与利用。有必要在数据资源国家所有的推定性原则的基础上构建数据多维度保护利用规则,与既有民事权利体系以及程序法进行衔接。
(二)数据资源国家所有的推定性原则之价值目标实现
确立数据资源国家所有的推定性原则之价值目标体现为,国家作为主权代理人保障数据资源公平合理、有效利用,并负责规制数据控制者、处理者违法收集、滥用数据侵害其他主体的行为。数据资源国家所有推定性原则的价值目标包含公平分享、安全保障、有效利用三个层面。
1.数据资源的公平分享。第一,数据资源的公平分享是贯彻社会主义公有制的体现,为社会主义市场经济健康发展提供有力保障和制度基础,有利于推动建设全国统一大市场。第二,实现数据资源利益的公平分享是“国家所有即全民所有”最本质最直接的体现,是确保“全民”作为数据资源所有者主体地位的需要,使其真正成为享有和行使数据资源国家所有的主体,也是公共数据利用开放制度构建的理论基础与逻辑前提。
2.数据资源的安全保障。国家保障数据资源安全合理利用,体现为国家作为控制数据资源的主体地位。从权责内涵角度来看,国家对数据资源不只是权利,还代表对本国数据应尽的义务。明确数据资源国家所有需要确保数据资源安全与价值释放并重的效果,对于可能面临的数据安全、社会治理以及国家对数据规制、数据跨境等问题的调控提供正当性、合法性、技术性支撑。
3.数据资源的有效利用。数据资源作为天然的公共产品,具有重要的财产价值和战略意义。数据资源有别于传统自然资源的稀缺性,数据资源规制理念应从基于稀缺的法律到基于充裕的法律、从私益保护面向到公益保护面向和从数据控制强化到数据控制谦抑的观念转变,由此确立“利他共享”与“有效利用”的基本价值取向[25]。利他共享,意味着数据资源的规制理念从占有走向共享,遵循互惠分享的原理。有效利用,意味着对数据资源配置实现市场化,借助市场交易机制与价格形成功能使得财产价值最大化,避免资源浪费和低效使用。
数据资源国家所有的推定性原则的关键在于实现有效保护数据安全与促进利用之间的平衡兼顾,具体的权责利分配需要通过公法和数据领域专项法律进行规范层面的制度保障。特别在当前大数据时代,需要完善的数据领域专项法律构架对数据资源的保护利用进行管理调控、应用规划、用途规制、要素分配,使得数据资源国家所有不偏离全民所有的本质,实现数字经济发展目标。
五、数据资源国家所有的边界限制与利用规则
数据资源的国家所有,应设置合理边界,并在实施利用中予以规制。
(一)他项权益对数据资源国家所有的限制
确立数据资源国家所有是为了利用所有权机制实现数据资源的安全合理有效利用,但所有权机制本身的绝对性、排他性、利益驱动与权利范围等固有特性成为数据利用的“双刃剑”。因此,需要对数据资源国家所有的客体范围装载“过滤机制”,达到最小化,进而限制公权力的扩张。客体范围最小化体现在,推定数据资源为国家所有,须建立在未出现相反权利限制的基础之上,即是说,国家所有并非剥夺个人或企业对数据所涉的既有他项权益。因为,当他项权益处于单一个体数据的法律关系链条中时,主要体现为某项具体的人格权(益)或财产权(益)尚不具有公共性。尤其属于个人财产权符号意义上的数据、隐私权范畴的数据、商业秘密、知识产权等他项权益,应当排除在“数据资源国家所有”客体范围之外。他项权益对数据资源国家所有的推定性原则的限制主要表现为以下三种类型。第一,个人数据之上映射的数据人格权益。个人数据具有个体识别型,能够反映特定主体的身份信息、行为信息、私密信息以及财产信息,体现了特定主体的人格利益与财产利益。这一过程中,个人数据的使用价值是特定主体在人格展示,及个体发展过程中的社会性功能的体现。民法典构建了个人数据权益的二元保护框架,涉及个人隐私的数据通过具体人格权的消极静态保护模式予以救济,对于个人数据权益的保护则通过具体场景进行人格利益的识别[26]。例如,平台收集个人数据,需要通过“隐私协议”获得用户同意;平台与平台之间通过OpenAPI 服务合作共享个人数据,应符合“三重授权原则”,这是典型的个人信息权益优先于数据资源的收集利用①参见新浪微博诉脉脉不正当竞争案,北京知识产权法院(2016)京73民终588号民事判决书。。对网络虚拟财产的保护而言,司法实践中多通过债权路径予以保护②参见罗佳毅与雷浩、广州网易计算机系统有限公司确认合同无效案,广州互联网法院(2019)粵0192 民初23163号民事裁定书。。第二,数字化技术产生的财产权。数字科技对传统产业的数字化转型,大数据、云计算、人工智能、区块链等前沿技术领域通过技术、劳动与创造产生的智力成果(这里不涉及数字加密货币等),由此产生的不同类型的财产权有其对应的规制与救济路径,限制了数据资源国家所有的客体范围。第三,合法利用数据产生的数据产品财产权。数据处理者通过劳动、技术、算法,将碎片化数据汇聚成数据集合并加工整理形成数据池,经过加工数据的人格标识功能由此消失,经济价值与生产要素属性凸显,而利用数据池生成“数据产品(化)”的财产权益以排他的方式为权益人享有。
分析上述三类他项权益对数据资源国家所有的推定性原则之限制,可以看到,他项权益反映的是个体性权益,数据主体的利益通过单一个体的法律关系链进行传递,处于特定的具体规范之中。人格权益、财产权益(包括数据加工使用、数据产品等权益)等他项权益优先于数据资源国家所有。但是,随着数据资源池的形成,聚合的数据已经超越了单一个体利益的法律关系链条,进而脱离了单纯私法意义上人格权益或财产权益的范畴。数据资源国家所有的客体所对应的是“特定的数据集合”,这些数据集合来源于个体行为之产生,即“集合化的私有财产”[27]。为防止形成优先的“国家所有”,对“数据资源国家所有”的客体范围进行前提性预设显得尤为重要。
(二)数据资源国家所有的利用规则
数据资源国家所有具有整体性、抽象性、总括性,国家应基于规制保障义务,对数据资源设定开发和利用规则,保证相关利益得以公平分配,并通过公法与私法二元规制得以实现。
1.数据资源国家所有中利用的类型化
数据资源利用规则的设置逻辑与实现路径建立在数据分类分级的基础上,其本质是立足于国家数据安全与社会公共利益,保护数据集合所反映的重要价值。数据分类分级是确定数据保护与利用之间平衡点的重要依据,对重要数据的保护和对数据合理价值开发的两个目标进行平衡①《中华人民共和国数据安全法》第21 条规定了国家建立数据分类分级保护制度。国务院办公厅印发的《要素市场化配置综合改革试点总体方案》(国办发〔2021〕51 号)提出,探索建立数据要素流通规则,要探索“原始数据不出域、数据可用不可见”的交易范式,在保护个人隐私和确保数据安全的前提下,分级分类、分步有序推动部分领域数据流通应用;要强化网络安全等级保护,推动完善数据分级分类安全保护制度。。数据安全法提出由国家实施对数据分类分级的制度设计,从数据背后的重要价值保护出发,无论个人数据还是企业数据,只要有可能危及整体层面的利益,都被认定为“重要数据”②《中华人民共和国数据安全法》第21条规定,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。。大量数据的收集、流转发生在公共部门之外,许多大型互联网平台掌握海量的数据集合,这些数据集合的规模和颗粒度可比拟国家数据库③国家人口基础信息库是作为涉密系统来建设和管理的。。在“重要数据”之外,灵活使用数据分类分级和重要数据目录等政策工具。根据数据反映的信息,结合应用场景、安保级别、防护措施等因素,明晰某类数据资源的利用规则,为达到数据利用权益的特定,调整创造条件④如,《科学数据管理办法》第10条规定,科学数据中心负责科学数据的分级分类,第20条规定,法人单位要对科学数据进行分级分类,明确科学数据的密级和保密期限、开放条件、开放对象和审核程序等。《证券基金经营机构信息技术管理办法》第30条规定,证券基金经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排。《关于开展银行业和保险业网络安全专项治理工作的通知》规定,银行业和保险业机构应当强化客户信息保护,要制定数据安全分类分级标准,构建覆盖客户信息全生命周期的保护体系,防范数据被窃取。《电信和互联网行业提升网络数据安全保护能力专项行动方案》规定,电信和互联网行业应加快建立网络数据分类分级保护、数据安全风险评估、数据安全事件通报处置、数据对外提供使用报告等制度,及其他措施。。
具体而言,在“个人敏感数据”与“重要数据”⑤就重要数据的定义或标准而言,《中华人民共和国数据安全法》第21 条明确要求“加强对重要数据的保护”,提出重要数据目录的制定,给出“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据”的定义,但对“重要数据”的定义没有明确。2021 年,《网络数据安全管理条例(征求意见稿)》在数据分类分级的基础上依照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据三类,明确不同级别的数据采取不同标准的保护措施,对个人信息和重要数据进行“重点保护”,对核心数据实行“严格保护”。以外,可依据各行业的数据分类分级标准获得数据资源利用的权利。(1)基于对公开数据合理利用的合法性基础。例如,政府公开的司法裁判文书、企业工商登记信息、统计信息等数据,企业可以通过“合作协议+Robots 协议”、普通爬虫技术合法抓取公开数据⑥在“梁某与北京汇法正信科技有限公司网络侵权责任纠纷案”中,法院认为,因涉案文书属于法院依法向社会公开的司法数据,使用通用的爬虫技术即可收集。上述信息收集过程,并未采用裁判文书网上明确禁止的提供镜像等技术,目前亦不违反国家禁止性规定。参见梁某与北京汇法正信科技有限公司网络侵权责任纠纷案,北京市第四中级人民法院(2021)京04民终71号民事判决书。。至于企业对抓取的数据集合是否再次传播、利用以及加工的问题,并不在本文讨论的范围之内。(2)基于公法授权许可的方式。例如,地理数据是国家基础设施建设与信息科学研究的重要基础,是国民经济和国防建设中不可缺少的战略资源。涉及国家地理信息数据的直接使用、采集、处理等行为的企业必须获得测绘资质才可以合法进行数据采集,否则就属于违法测绘,将会受到主管部门的处罚。(3)通过同意规则自行采集数据。企业通过《用户协议》同意规则收取用户授权,采集个人数据形成数据集合,涉及企业与个人之间关于个人信息的权益保护。原始数据集合尚未改变数据源的初始状态,此类数据集合承载了人格权益、财产权益、公共利益。至于各方利益主体诉求各异而产生的冲突,需要通过公法、竞争法、侵权法予以调整。(4)通过数据共享、数据交易等方式继受取得。企业通过《开发者协议》或合作协议,可使用部分基础数据,例如用户、开发者在开放平台中产生的相关数据,包括但不限于用户或开发者提交的数据、操作行为形成的数据及各类交易数据等。
2.数据资源国家所有中利用规则的建构
个人或企业为满足生产生活需要对收集加工的数据集合加以利用,在未侵害他人权益、妨碍他人使用、损害公共利益的情形下,合法的数据采集者享有数据资源利用的权益。如果采集的数据来源于气候、交通等公共信息,与无线电频谱资源类似,数据利用权益仍旧归于合法的数据采集者,不因数据资源为国家所有而丧失利用收益的权利,只需数据采集者、处理者根据数据分类分级的要求履行备案登记或严格监管的义务。但是,当数据资源从单纯满足私人利益转向涉及公共利益,如收集处理传输地理数据、金融数据、基因遗传数据等数据滥用的情形,则数据资源国家所有应从被私权限制的消极状态转变为启动管理功能的积极状态。
社会实现数据互通和共享是数据权公共属性的必然要求,政府在提供公共服务的过程中收集的数据应当回馈社会大众,减少因部门利益不一致而形成的“数据孤岛”问题,将真正属于公众的共同数据财产由全体人民共享[28]。无论是他项权益的单一数据聚合造成数据滥用,还是数据利用超越有限范围,触发数据资源国家所有的公法调控功能对上述行为的否定性评价,实际上都立足于社会公共利益的维度来实现对数据资源的公平分配与有效利用。数据资源国家所有的推定性原则是完成数据资源国家所有私法路径的基础,也是构建多层次数据要素市场,促进数据资源、数据要素、数据产品流通配置机制的关键:一方面,使数据资源国家所有具有了现实性、解释性与包容性;另一方面,又为对数据资源国家所有的合理限制设定了正当性基础,即在公法规制层面进行积极状态与消极状态的区分,防止国家所有的客体范围过度扩张,同时又通过数据利用规则的建构为日常生活与市场行为留下解释的空间。
结语
传统产权理论的基本假设为权利客体的“稀缺性与排他性”,“占有与所有”成为财产权衍生的基础;而数据的“无尽性与聚合性”使得“共享与利用”变得尤为重要,“弱所有、强用益”通过数据的利用赋能赋权数据要素与数据产品,为“资源—资产—资本”的数字经济战略提供具体策略和可行路径。区分“数据、数据资源与数据产品”,形成“数据—数据资源国家所有—数据利用权益—数据产品财产权”的逻辑体系,明确数据利用权益的取得、行使与限制规范,为数据资源国家所有的公法与私法实现路径提供现实制度运作模式与思路。
本文的重点并不在于本体论意义上对数据资源国家所有进行终极探寻,而是以法权为机轴,从认识论、方法论上明确数据利用是私法实现路径,对由此衍生的数据产品进行有效识别并探讨可能的救济路径。确立数据资源国家所有的目的在于,公法层面对数据进行类型划分,国家能够对特定的重要数据、敏感数据行使规制保障权,对特定的数据集合存在排他性利用。实现数据资源国家所有的推定性原则之前提在于,他项权益与数据的合理利用规则对数据资源国家所有的限制。私法层面明确“政府—企业—个人”三元主体数据利用权益的取得方式,利用数据形成兼具财产与人格属性的数据产品,进而生成不同的权利类型,借助私法确权功能明晰数据集合的权利外观,提高数据资源的配置效率。当数据加工使用行为不具有正当性时,数据资源国家所有启动管理功能。
