数据权益的法律保护路径研究
2022-11-22锁福涛潘政皓
锁福涛,潘政皓
(南京理工大学 知识产权学院,江苏 南京 210094)
一、问题的提出
随着大数据、人工智能等新技术的兴起,数字经济的价值愈发凸显,数据的财产化已经成为数字经济时代的重要法律问题。世界银行发布的《2021世界发展报告》指出,要增加数据的使用和再利用,并且使各方更公平地从数据中获益。[1]然而目前企业之间的数据爬取、共享、使用行为标准混乱,由于数据权属引发的案例逐渐增多,如“奇虎公司诉百度案”等,(1)参见(2017)浙京终申第487号民事判决书。引发学术界广泛关注。究其原因,从立法层面而言,我国《民法典》仅对数据的保护作出原则性规定,(2)参见《中华人民共和国民法典》第127条。数据的法律属性尚未得到立法确认;从司法层面来看,法院大多适用《反不正当竞争法》第2条的一般条款(3)参见《中华人民共和国反不正当竞争法》第2条。来保护企业数据中的财产权益。然而,《反不正当竞争法》本身作为辅助性的法律,一般条款又是补充性的规定,完全依靠其解决数据纠纷显然是不合理的。[2]因此,亟需立法确定数据权的属性及权利配置,从而解决数字经济时代的数据法律纠纷。
二、数据的财产属性认定
民事权利的客体,即民事权利和民事义务指向的对象,具有独立性、有体性、有益性、可支配性等特点。数据既不是传统民法中的物,也不是智力成果或权利,而是依附于互联网的、由二进制代码组成的比特形式,数据的存储、流转都必须依赖于互联网实现。因此,数据具有不同于传统民事权利客体的特点。首先,数据具有非独占性,它不会因为被某一主体收集而排斥其他主体收集,在信息时代互联共享的背景下,数据能以不同形式为多方主体共有。其次,数据具有再利用价值,不会因为已经被分析处理而失去价值,个人数据信息作为原始数据一般可以为多种目的来使用和开发,从而产生出很多增值服务或者衍生应用。最后,数据的有益性难以认定,数据财产的价值并非靠自身实现,而是通过数据控制者的集成、分析、处理来实现。
1. 数据法律属性的相关争议
数据的法律属性争议,源自于2003年“李宏晨游戏装备丢失案”,(4)参见(2004)二中民终字第02877号民事判决书。至今立法尚未作出正面回应。由于数据蕴含巨大的经济价值,许多学者从数据财产赋权的角度出发,并结合数据的新型特点,提出不同的企业数据私法保护路径。有学者基于数据的非排他性,提出企业对自身数据应享有有限的排他权;[3][4]有学者将数据财产权进一步细化为数据经营权与数据资产权。[5]各种观点虽然权利体系不尽相同,但都肯定数据财产权构建的必要性。
相反,基于数据的特殊性,部分学者对新型权利的构建持批判的态度,其主张在现行法律框架下解决数据纠纷,主要有以下几种观点:一是“合同法说”,根据数据的无形性和非独占性,认为相同数据上可能存在多个权利,不符合民法中的一物一权原则,应结合数据的工具意义,从合同法的角度出发认定大数据交易的法律性质;[6]二是“知识产权说”,提出数据是知识产权客体的合理扩张;[7]三是“新兴权利批判说”,认为应对新的社会问题,更应重视既有权利的重要性,而不是创设新兴权利。[8]
综上所述,由于数据具有不同于传统权利客体的特点,同时学界对数据与大数据、信息等概念之间的关系不够清晰,根据既有权利框架难以将数据权利纳入其中,数据新型权利的构建存在困境。
2. 数据应当纳入财产权的客体范围
近年来,数据的重要价值已经在国家政策中得到体现。2019年,党的十九届四中全会最早提出将数据作为市场化生产要素之一。2020年,中共中央国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》,正式将数据与土地、劳动力、资本、技术等基础生产要素并列,强调要加快培育数据要素市场。正如著名学者施瓦布的“利益论”[9]认为,权利定义应着眼于利益保护和利益实现,而数据确权正是基于保护个人信息和企业财产权益的目的。因此,把数据确定为民事权利的客体,符合数字经济时代的国家需求。
在理论上,数据权利客体化的“肯定说”与“否定说”关于数据范畴的界定并不相同,因此两种学说的观点并不完全相悖。“否定说”是从静态片面的角度分析数据的特性,其认为数据仅是比特形式流通的单独个体,因此无法被特定民事主体控制,且数据价值难以独立体现。而“肯定说”则从动态宏观的角度展开研究,所称“数据”一般指某一个人或企业经过存储、分析、处理后形成的具有独立财产价值的数据池,从该角度分析,数据则符合民事权利客体的基本特征:首先,数据具有相对独占性,企业对于自身用户信息与经营信息衍生出的数据产品,能够独占并享有其权益,符合“一物一权”原则。在“淘宝诉美景公司案”中,(5)参见(2017)浙8601民初4034号民事判决书。淘宝公司根据隐私协议根据用户信息形成了数据产品“生意参谋”,而美景公司未经允许擅自使用其中的数据牟利,法院在判决中明确“大数据产品不同于网络原始数据”,认为淘宝对用户数据投入大量人力、物力,从而分析整合,形成独立于原始数据之外的数据产品,基于“额头出汗”原则应享有独立的财产权益。其次,数据的财产权益具有相对确定性,在独占性的基础上,企业对于自身用于特定市场经营领域的数据产品,可以通过市场交易将无形的数据价值转化为现实的物质财富,形成确定性的财产权益。[10]
综上,在界定了数据的宏观范畴的前提下,数据具有传统民事权利客体的相对独占性与相对确定性,我国立法应结合国情,顺应国内外理论与实务发展趋势,将已公开且具备财产价值的数据作为一种民事财产权利的客体,以此构建一种新型财产权——数据财产权。
三、数据权益的法律保护模式:数据财产权
1. 数据财产权的含义
基于数据的特性和多方利益诉求,应当将基于数据所形成的财产利益规定为一种独立的权利,即数据财产权。本文所称数据财产权,是指数据主体依照法律规定,在对数据进行生产、获取、分析、应用过程中产生的直接体现财产利益的有限排他性权利。
所谓有限排他性,即该权利可对抗特定主体在某些情况下的特定行为,但受到《数据安全法》《反不正当竞争法》和《个人信息保护法》的限制,当数据涉及个人信息或可能构成垄断时,则必须遵循相关立法规定。例如,企业对于自身数据池或数据产品具有直接支配并享受其利益的权利,但对于非竞争性的公开数据,不得过度妨碍其他企业的合法抓取行为。数据权利的有限排他性在International News Service v. Associated Press 案中有所体现,法院在该案中认为数据财产权利不是一种绝对排他的对物权,不能抽象地对抗整个世界,而应当根据具体事实确定其实际效力。
2. 数据财产权的权利内容
数据财产权具有相对确定性和相对独占性的特点,根据不同主体和数据利用阶段,可以将该权利分为个人信息财产权、数据用益权和数据获取权,以下是对三种权利的具体说明。
(1)个人信息财产权
个人信息数据中包含财产权和人格权双重属性,而其中具有商业价值易于流通交易的部分即为个人信息财产权。该权利并非美国学者莱斯格主张的用户具有绝对排他性的数据权利,[11]而是在保护个人信息的基础上对数据商业价值享有的财产权利。
(2)数据用益权
数据用益权,是指在个人信息财产权的基础上,对数据进行集成、分析以获得财产性利益的权利。该权利的前提是对个人数据去标识化处理,以保证数据生产者的隐私安全。在所有权上设立用益权的理论基础是权利分割思想,即财产权的(完全)权利人可以从其权利中分离出用益权能与变价权能,以所有权为例,其为物上最初的全面权利,限定物权则是从所有权派生而来,因此让所有权承受负担与分割。[12]
(3)数据获取权
借鉴知识产权的制度初衷和公开属性,专利权人通过公开发明创造而获得专利保护,在此基础上,欧盟有学者提出“数据获取权”,即第三方企业通过申请或者强制许可的方式获得获取数据的权利,代替授予某个特别主体专有的排他权。[13]
四、数据财产权归属的理论争议
在确定数据财产权权利内容的基础上,目前学术界的争议焦点在于数据财产权的归属问题。笔者将相关争议总结为以下三个方面:一是数据财产权归个人所有,认为数据应归属于个人,以保护个人信息和隐私权。[14]二是数据财产权归公共所有,认为数据具有公共属性,应将数据财产权利归社会公共所有,以促进全社会信息互通。三是数据财产权归个人和平台共有,认为随着信息共享能力的提高,网络平台数据存储量不断增加,网络平台投入了大量智力劳动,应当肯定数据的强产权属性和弱人格权属性以保护企业的数据利益。[15]
1. 数据财产权属于个人所有
有学者基于个人信息保护角度认为,数据保护与个人信息保护相通,数据属于网络用户私人所有,平台不享有数据权益,只能通过与用户签订协议而拥有数据使用权。主张用户作为数据的生产者,理应充分享有数据权益。该观点重在降低数据主体隐私权的侵害风险,从而避免大数据杀熟、数据精准营销等企业行为引起的寒蝉效应。该观点也在域外相关立法中得到体现,例如,欧盟2018年出台的《通用数据保护条例》(GeneralDataProtectionRegulation,以下简称“GDPR”)第20条的相关规定,也在一定程度上体现了对于数据财产权归属个人所有的肯定。(6)参见《通用数据保护条例》第20条。基于该观点,网络平台未经用户同意时,任何数据使用、分析、共享行为都是对用户数据权益的侵犯。
笔者认为,该观点借鉴了欧盟GDPR中的相关规则,反映了网络用户数据是个人信息的本质,具有一定的合理性。但制度移植过程中必须以本国国情和价值取向为基础。我国虽应重视数字时代下的“第四代人权”,但对个人单个数据的过度保护,违背了大数据时代互联与共享的特点,反而为每个数据主体设置了“数据囚笼”,会阻碍社会获取、分析信息的准确性和效率。隐私权是私权利社会特有的产物,私权利社会的制度正义性来自于社会成员具有足够的判断力,能够根据理性来判断自己的行为并且承担后果。但在大数据背景下,数据、隐私权、个人信息具有很大区别,[16]基于“额头出汗”原则,企业投入巨大成本对网络用户的个人数据进行了脱敏化处理和再加工,理应对新形成的不具有鲜明个人信息色彩的“数据池”享有利益。上述观点没有充分考虑到企业在数据财产权形成过程中的较大投入,忽视了企业数据财产利益的保护,不利于数字经济的发展。
2. 数据财产权属于公共所有
有学者认为数据具有公共性质,不属于任何平台或个人,数据的价值就在于被抓取、分析、利用,沉淀的数据毫无价值,其主张对于网络平台已公开的数据,所有主体均可挖掘使用。在网络法学者奥林· 科尔教授看来,任何人在任何网络平台发布的数据信息,可以被任何人访问而不受限制。[17]该观点侧重对网络数据的最大化利用,并避免形成个别企业的数据垄断。
互联网开放化的趋势无法逆转,但过于强调网络数据的公共性,该领域会失去法律秩序,导致数据黑产、数据泄露等野蛮行为的泛滥。例如,如果将网络用户的个人购票信息归属于公共所有,大量爬虫会恶意爬取“铁路12306”APP的车票信息,从而导致其崩溃,影响用户正常使用。同时,互联网巨头公司依托其海量的数据存储和强大的数据抓取、分析能力,在数据自由市场中会无限增强自己的数据垄断能力,形成数字霸权,不利于中小型企业健康发展。因此,如果将数据财产权完全归属于公共所有,将会破坏数字市场秩序,不利于个人信息保护,从而阻碍数字经济发展。
3. 数据财产权属于个人和平台共有
基于上述两种观点的局限性,有学者将数据定义为一种新型财产权益,并且将个人信息进行分类,平台通过与用户签订用户协议而与用户共有部分个人信息的数据财产权利。[18]该观点在司法实践中也得到承认,例如,在“淘宝诉美景公司案”中,法院认定网络大数据产品不同于原始网络数据,淘宝公司对大数据产品享有独立的财产权益。该观点同时兼顾了个人数据权益与平台的利益,有学者进一步将数据分为脱敏数据、一般数据和敏感数据,并区分原始数据和企业数据池,设置不同的权利归属,平衡数据主体与企业的利益。
平台服务协议实质上形成了企业数据权益与个人数据权的二元权利体系。在学界,该理论侧重于保护企业数据权益,从而形成生产激励机制,其实证基础是“新浪诉脉脉案”(7)参见(2016)京73民终588号民事判决书。中确立的“用户+平台+用户”三重授权原则,但该原则适用于所有数据类型并不妥当[19],数据劳动也并不一定对应数据权利。在大数据时代背景下,面对海量的数据和爬虫,多重授权模式显然不利于数据的互联互通,阻碍各类工作效率;其次,该理论虽然主张数据财产权的有限排他性,但个人与平台关于数据的权利划分难度很大,关于数据在使用过程中各种具体的权利,是否都要经过个人与平台的三重授权,存在很大的争议。[20]因此,这种观点在当前的制度体系下,无法兼顾“安全”与“效率”,不利于网络社会正常发展。
综上,针对数据财产权的归属问题,在确定其法律属性的基础上,各种传统的权利归属理论均存在局限性,必须建立新型权利归属机制,以平衡数据主体之间的紧张关系。
五、数据权益的归属认定路径:数据财产权“三元分配”模式
为了改变数据市场的混乱现状,必须建立新型数据财产权利分配机制,有学者从绝对权理论[21]、知识产权理论[22]和数据自治理论等角度寻求方法,也有学者从生产激励、演化博弈、算法规制、场景化规制等角度开展分析[23],还有学者将数据法律关系主体分为数据主体、数据控制者及数据处理者,进一步细化数据主体的权利义务关系。[24]但上述方法均是站在数据财产权单一主体的角度,难以有效实现不同数据主体的利益平衡,因此,笔者认为应当借鉴知识产权的权利归属机制,结合数据财产权的三个子权利内容,构建数据财产权的“三元分配”模式,将三项子权利分别归属于用户、数据平台和第三方主体。
1. “三元分配”模式的基本内容
数据财产权“三元分配”模式的核心在于合理平衡用户、数据平台以及第三方主体的数据利益。因此,可以将数据财产权中的个人信息财产权归属于用户,数据财产权中的数据用益权归属于数据平台,数据财产权中的数据获取权归属于第三方主体,从而实现数字经济时代个人信息保护、数据平台利益维护与数据信息自由流通之间的利益平衡。数据财产权“三元分配”模式的具体内容分为以下三个方面。
一是个人信息财产权应当归属于用户。信息财产权,是在信息社会出现的一种新型财产权形态,这种权利是区别于所有权的无体财产权,虽具有支配性、排他性特征,但其客体是非物质性信息财产。[25]将数据财产权中的个人信息财产权赋予用户的根本原因在于用户是原始数据的生产者。一方面,原始数据具有强烈的个人信息属性,蕴含着个人的经济、生活、文化、健康状况等多种隐私信息,将个人信息财产权归属于用户是保护用户个人隐私的体现。另一方面,用户对于原始数据具有可控性,能够实时控制和利用原始数据,将个人信息财产权归属于用户是比较可行的现实选择。虽然目前各国对于个人数据采取了不同的保护方式,例如,欧盟以隐私权的形式保护,美国则以财产权的形式保护,但都认可用户数据确权的必要性,即肯定用户对其个人数据的控制权。
二是数据用益权应当归属于数据平台。大数据背景下,基于原始数据的庞杂性与粗放性,原始数据更多体现为一种数据符号,其价值主要用于对某种结果或发展趋势的预测,而直接性财产价值较少。真正具有直接财产价值的数据是商业化的数据产品,而数据产品来自于网络平台对海量原始数据的筛选、加工、萃取、分析和处理。因此,将数据财产权中的数据用益权归属于网络平台符合数据财产价值的产生机理。该观点在最近的司法实践中也得到了验证。例如,在“淘宝诉美景公司案”中,法院借鉴知识产权法基本原理中的“额头出汗”原则,认为淘宝公司在数据存储、分析的过程中付出了努力,理应对衍生“数据池”享有使用并收益的权利。在“新浪微博诉脉脉案”二审判决中指出,“网络平台提供方可以就他人未经许可使用其经过用户同意收集并使用的用户信息的行为,主张权利”。新浪微博基于自身的运营行为而获得的数据信息,由此产生的数据用益权理当受到法律保护。数据用益权归属网络平台的分配规则能够保证网络平台充分利用网络用户的“认知剩余”,从而在原始数据主体和数据实际控制者之间达到利益平衡。
三是数据获取权应当归属于第三方主体。数据不同于其他财产权客体,其产生来源是多种的,权利主体也应该是多元的,不能把数据财产权简单等同于有形财产权。从社会公众的角度来看,数据财产权这种专有权利的设置不应当阻碍其能够通过合法途径接触、获取数据。从经济学的角度来看,数据具有再利用价值,属于经济学中的非竞争物,增加数据主体的边际成本为零,但数据的总体价值可以无限增加。因此,赋予第三方主体的数据获取权,一方面能够使数据资源被最大限度利用,另一方面也能够规制数据巨头公司的数据垄断行为。
2. “三元分配”模式的实现方式
(1)个人信息财产权与数据用益权的实现
我国《网络安全法》和最新出台的《个人信息保护法》中都明确了“知情同意规则”,(8)参见《中华人民共和国网络安全法》第20条。即网络平台原则上应当通过与用户签订协议的方式获取个人数据。为解决个人信息保护与数据共享之间的冲突,应通过“商品化权”先将数据中的财产属性转化为财产利益[26],仅转让数据中部分财产利益,而保留其中的人格权部分。具体而言,企业可通过去标识化处理,将包含个人信息的数据分为普通数据和敏感数据,敏感数据受到个人信息财产权的保护,而普通数据的财产权益受到数据用益权和个人信息财产权的共同保护。关于企业的去标识化等数据处理行为,《个人信息保护法》中规定了“守门人”制度,(9)参见《中华人民共和国个人信息保护法》第58条。即大型互联网平台有义务对平台内个人信息处理情况展开合规调查,但该制度具体实施缺乏规范,有被滥用的风险,因此应当出台专门针对“守门人”制度的规范,为个人与企业之间数据权益的分配提供保障。
(2)数据获取权的实现
结合数据财产权的有限排他性,数据获取权可通过个人申请和强制许可两种方式实现。在权利的积极方面,第三方企业有权获取并利用数据控制企业的公开数据,且在公共利益等特殊情况下可不经过许可;在权利的消极方面,数据获取及后续利用行为不得侵犯数据控制企业的合法权益。例如,在“新浪微博诉脉脉案”中法院确立了第三方平台获取数据必须遵循“用户授权+平台授权+用户授权”的三授权原则,这一判决既肯定了第三方主体获取数据的正当性,又确立了获取数据信息的严格程序。
3. “三元分配”模式的合理性分析
数据财产权“三元分配”模式有效地克服了专有权利归属于单一主体的弊端,在数据生产者、数据加工者和数据使用者之间形成了利益平衡。其实,基于权利客体的无形性,“三元分配”模式不仅仅是数据财产权独有的权利归属模式,在知识产权等无形财产权的权利分配方式上也有所体现。知识产权是近代商品经济和科学技术发展的产物,知识产品财产化与知识财产法律化带来了财产的“非物质化革命”。[27]知识产品作为知识产权的客体,具有非物质性,从而产生了若干个权利主体可以同时占有同一知识产品、同一知识产权被不同权利主体共享的情形。这与数据财产权非常类似,数据作为数据财产权的客体,也具有非物质性或者无形性,也可以被若干个权利主体同时占有,从而出现不同主体分享同一权利的情形。此外,与知识产品的产生方式相似,数据也是由多方主体产生的,数据的形成过程包含了多方的利益诉求,简单的财产权或隐私权构造已无法满足市场环境。正如有学者指出,将所有权与他物权区分的“大数据有限排他权理论”也为数据财产权“三元分配”模式的合理性提供了理论依据。[28]通过权利分割,使无数用户的个人数据汇集到可以无限开发利用的“数据池”,从而促进数据从私人终端到云端的流动。
数据财产权“三元分配”模式相对弱化单一主体的排他权,通过用益权和使用权构建一种新型社会合作关系。这种权利分配既保护用户的个人信息安全,又尊重平台对数据的资本投入,同时激励公众利用数据资源创造更大的社会价值。
结 语
面对数据量的飞速增加和数据价值的不断提高,数据分析处理和挖掘的技术也在不断革新,未来有关数据权益的法律纠纷肯定会层出不穷。数据权益的法律保护应当在着眼于数据这一特殊财产权利客体的基础之上,充分考虑到数据用户的个人信息财产权、数据平台的数据用益权以及第三方主体的数据获取权,从而实现数据财产利益保护与数据流通共享之间的平衡。