大数据时代企业数据权益保护论
2022-11-23周樨平
●周樨平
一、问题的提出
我国高度重视数据经济的发展,明确提出了“国家实施大数据战略”“鼓励和支持数据在各行业、各领域的创新应用”。〔1〕我国《数据安全法》第14条第1款规定:“国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。”数据作为新型的生产要素,在推动传统产业转型升级、培育新兴产业和商业模式以及推动高效精准决策上的作用愈发重要。依据收集和控制的主体来分,数据主要有政府数据和企业数据两类。政府等公共部门在履行公共职能过程中获取的数据,产生于国家财政资金,具有社会共享的公共属性,开放政府数据已为普遍共识;而企业等私营部门在生产经营过程中收集的数据,产生于私人投资,与个人信息有着千丝万缕的联系,其权属和利用规则具有复杂性。我国《民法典》虽将数据纳入保护范围,但对具体规定作了留白处理,《数据安全法》也仅指出国家保护与数据有关的权益,给权属规则留下了探索空间。
从近年的实践看,频发的数据权属争议已经对法律制度供给提出了更高的要求。例如,在菜鸟网络与顺丰快递的物流数据之争中,菜鸟网络在几个快递公司上搭建数据系统,菜鸟的快递柜、顺丰的物流快递、淘宝的购物平台共同促成了物流数据的生成,这些数据究竟应该属于谁?又如,蚁坊公司作为一家从事互联网大数据分析的企业,未经微梦公司的许可采集、使用了该公司的新浪微博数据进行数据分析,微梦公司认为蚁坊公司的行为构成了不正当竞争,而蚁坊公司则认为微梦公司拒绝数据许可构成垄断,请求法院判令微梦公司以合理条件允许其使用微博数据,其中所涉的数据抓取争议虽看似反不正当竞争和反垄断问题,实则反映的是企业数据权益的范围和边界问题,凸显出企业数据控制和共享之间的紧张关系。
在对企业数据权属的理论讨论中,观点分歧亦十分明显。一类观点主张赋予数据业者对合法收集的数据享有绝对性和排他性权利;〔2〕参见程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期,第102页;龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017年第4期,第63-76页。或者是兼顾后续利用者的利益,为大数据集合设置有限排他权。〔3〕参见崔国斌:《大数据有限排他权的基础理论》,载《法学研究》2019年第5期,第6页。一类观点依据数据本身的特点,认为不宜进行绝对化与排他性的财产权设计,而应通过行为规制的方法,如商业秘密、竞争法、〔4〕参见丁晓东:《论企业数据权益的法律保护——基于数据法律性质的分析》,载《法律科学》2020年第2期,第90-99页。侵权法、〔5〕参见王镭:《电子数据财产利益的侵权法保护》,载《法律科学》2019年第1期,第38-47页。管制性法律〔6〕参见梅夏英:《在分享与控制之间——数据保护的私法局限和公共秩序构建》,载《中外法学》2019年第4期,第863-864页。或数据利用和分享的准则〔7〕参见姚佳:《企业数据的利用准则》,载《清华法学》2019年第3期,第114页。等,进行反向保护。一类观点基于企业数据上存在的多元利益主体,认为应创建数据原发者拥有所有权,数据处理者拥有用益权的二元结构;〔8〕参见申卫星:《论数据用益权》,载《中国社会科学》2020年第11期,第120页。或者是数据主体拥有名义所有权,数据控制人拥有实质所有权的数据信托关系。〔9〕参见冯果、薛亦飒:《从“权利规范模式”走向“行为控制模式”的数据信托》,载《法学评论》2020年第3期,第76页。可以看出,企业数据“权利”抑或“权益”之争仍是理论争鸣的主旋律,即便是主张通过行为规制的方法进行反向保护的学者,对行为规制的方法及强度也依然莫衷一是。
数据权属的明确是数据广泛应用和数据市场建立的前提,只有解决这一前提问题,才能展开后续相关利用规则的构建工作。2021年深圳市和上海市相继出台了数据立法,对数据权属进行了有益的开创性探索,即明确表明市场主体对合法取得的数据享有“财产权益”,〔10〕《深圳经济特区数据条例》第4条规定:“自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。但是,不得危害国家安全和公共利益,不得损害他人的合法权益。”《上海市数据条例》第12条规定:“本市依法保护自然人对其个人信息享有的人格权益。本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益。”采用“权益”而非“权利”的表述说明立法以法益保护的进路替代了权利创设,〔11〕在《深圳经济特区数据条例》制定过程中,征求意见稿曾规定了“数据权”,其中对“自然人、法人和非法人组织依据法律、法规和本条例的规定享有数据权,任何组织或者个人不得侵犯”的规定引起了争议,最终出台的条例改为了“财产权益”。参与条例的立法者指出,以法益保护而非确定权属体现了深圳在数据立法上的务实态度。参见刘雪妮:《深圳数据立法若干问题述评》,载《深圳法治评论》2021年第3期,第19页。体现出对数据流通价值的追求,避免了绝对化权利对数据流通和利用的阻碍。法规通过确认市场主体对数据使用、收益等权益,为数据要素的有效流动奠定了法律基础,但存在权益保护的范围和边界不清晰、数据利用规则未能进一步明确等不足,仍难以有效回应实践中发生的数据争议。〔12〕例如,《深圳经济特区数据条例》规定“不得使用非法手段获取其他市场主体的数据”,“非法”的涵义过于宽泛,对其理解不同,既有可能造成保护过度,也有可能造成保护不足。又如,《上海市数据条例》则将数据利用规则交由“反垄断、反不正当竞争、消费者权益保护等法律、法规”进行调整,而未给予直接规定。参见《深圳经济特区数据条例》第68条、《上海市数据条例》第52条第2款。
在地方性立法对企业数据采用法益保护的趋势下,我们需要进一步论证和探究的工作便是为何要采用法益保护?法益保护与权利保护有何区别?企业的数据权益如何体现、排他性范围又该如何?基于此,本文拟从大数据时代企业数据的特点出发,分析企业数据的权利化困境,尝试对企业数据权益保护的相关理论作进一步的论证,以期为构建保护和共享相平衡的制度提供建议。
二、大数据时代企业数据的权利化困境
进入大数据时代后,企业数据的全新样态对传统法律制度提出了挑战。大数据是一种规模大到在获取、存储、管理、分析方面远远超出传统数据库软件工具能力范围的数据集合。〔13〕[美]詹姆斯· R.卡利瓦斯、迈克尔· R.奥弗利:《大数据商业应用:风险规避与法律指南》,陈婷译,人民邮电出版社2016年版,第4页。人的行为、机器的运行、环境产生的数据都可以成为数据分析的对象,通过对这些原始数据的分析和挖掘,可让我们洞察以前无法查知的现象,从而成为商业创新和公共决策的基础和源泉。
传统的知识产权只是在创新过程中起作用,在创新之前是否应该对原始数据进行排他性保护则是大数据时代出现的新问题,而且随着数据作为关键性生产要素的争夺,这一问题也成了数字经济的核心问题。关于数据权利,最具代表性的观点是由Herbert Zech教授提出的数据生产者权,他认为为了防止数据持有者通过机器以一种难以读出的方式设计,或者创建其他机制来维持事实上的排他性,应赋予产生数据的设备运营商排他性专有权,以此提高数据的可交易性。〔14〕See Herbert Zech, A Legal Framework for a Data Economy in the European Digital Single Market: Rights to Use Data, 11 J.Intell. Prop. L. & Prac. 460, 470 (2016).欧盟委员会也将数据生产者权作为解决数据权属及数据可用性和流通性问题的方案,并就此提出了公众咨询。〔15〕See European Commission, Builing a European Data Economy, COM(2017) 9 final, https://ec.europa.eu/newsroom/just/itemdetail.cfm?item_id=34617, last visit on August 14, 2021.但是,“数据权利化”观点还是遭到了质疑,即便是数据行业的利益相关者也不赞成一种新的“数据所有权”类型的权利,认为企业数据的关键问题不在所有权,而在如何组织数据的访问。〔16〕See European Commission,Towards a Commom European Data Space, COM(2018) 232 final, https://ec.europa.eu/jrc/sites/jrcsh/files/23112...ial_intelligence-rizzi_en.pdf, last visit on August 14, 2021.所有权甚至被认为是一种不符合数据经济需要的概念。〔17〕2016年,在卢森堡举办的一个工业4.0部门代表的听证会上,代表们一致强调,他们能够依靠合同法实现数据共享的商业模式,所有权甚至被认为是一种不符合数字经济需要的概念。See Josef Drexl, Designing Competitive Markets for Industrial Data-Between Propertisation and Access, 8 JIPITEC 257, 2017, para. 1.“数据权利化”观点之所以遭遇困境,与大数据特点及数字经济对数据共享的需求有着密切关系,总结起来主要基于以下原因。
(一)大数据通常是副产品,无法为权利化找到正当性依据
企业数据的形态随着互联网的发展而不断发展。在以信息静态、单向传输为主的网络时代,企业数据主要表现为企业自行收集创建的数据库,数据量较为有限,充其量只算是“小数据”而不能称之为大数据。当以分享为特征的实时网络出现,用户可以参与互联网内容的生成时,才带来了数据生产的极大繁荣。
大数据时代的企业数据从其构成和来源看,大体可分为以下几种:(1)“用户提交的网页数据”,互联网内容服务提供者将内容生产向用户开放,用户将各种数字资源上传至互联网企业搭建的服务平台,直接展示在网页上成为网站内容的组成部分,如新浪微博数据、大众点评数据、抖音短视频数据等。(2)“平台生成的个人数据”,当平台经济商业模式发展起来后,平台经营者向用户提供搜索、社交、电子商务等服务,用户则在使用平台服务过程中产生了大量的数据,包括系统自动记录的消费、搜索、行动轨迹等用户各种行为信息,也包括用户提供的姓名、年龄、职业等身份信息,这些信息成为平台数据的组成部分,如网络购物平台交易数据、网约车平台出行数据等。(3)“机器生成的非个人数据”,随着信息传感器等装置与技术在工农业机器设备、汽车和家电等电子产品中的广泛应用,被动采集数据融入生产经营和日常活动,传感器采集的数据可通过物联网进行连接,越来越多的数据可远程访问。随着工业4.0时代的到来,机器生成的数据(machine-generated data)日益成为数字经济的核心生产要素,如智慧工厂大数据、智慧农场大数据、智慧交通大数据等。
由企业数据的构成可见,大量的数据不是有意识生产的,而是工商业活动或人们进行日常活动时产生的数字尾气或副产品。〔18〕参见[美]拉塞尔·沃克:《从大数据到巨额利润》,王正林译,南方出版传媒股份有限公司2019年版,第83页。申言之,“平台生成的个人数据”和“机器生成的非个人数据”是大数据的主要形态,这些数据是通过计算机程序、应用或服务,或通过传感器从设备、软件或机器接收的人的行为、物体移动、环境改变等信息,由于未经人力加工,是“没有直接干预的数据”。而企业获取的数据只是生产经营活动的痕迹和记录,是其经营活动的副产品,大数据的价值更像是企业额外获得的财富。“用户提交的网页数据”虽然与痕迹和记录等原始数据有差别,更多地与传统数据库保护的对象相似,但对获得数据的互联网企业而言,数据的收集和经营仍不是其主营业务,如微博是“分享简短实时信息的广播式社交媒体”,大众点评是“提供商户信息、消费点评及消费优惠等信息服务,与团购、订餐、外卖等交易服务”的第三方消费点评网站,数据对其而言仍是经营活动的副产品。数据是副产品的事实使传统的知识产权,甚至是产生于小数据时代的数据库权利都难以将其视为保护的对象。
激励理论是知识产权正当化的主要依据,但是作为副产品的大数据并不需要知识产权的激励。机器产生的数据几乎是自动发生的,生成这些数据是企业商业模式的重要组成部分,没有证据表明数字经济中生产和分析数据的动机不足,他们有足够的动力生产数据。〔19〕See Josef Drexl, Designing Competitive Markets for Industrial Data- Between Propertisation and Access, 8 JIPITEC 257, 2017,para. 1.数据商业化也不需要产权的激励,数据受到技术措施的保护,不会透露给贸易伙伴,即使直接交易,其价值也存在于实时供应中,这涉及反复的交互,几无免费“搭便车”的空间。〔20〕See W. Kerber, A New (Intellectual) Property Right for Non-Personal Data? An Economic Analysis, (2016)GRUR Int. 989, 997.民法学者往往采用劳动财产理论(或自然权利理论)来论证数据权利化的正当性,认为企业投入了大量的技术、资金和人力成本,理应获得相应的数据财产权利,〔21〕参见龙卫球:《再论企业数据保护的财产权化路径》,载《东方法学》2018年第3期,第50-51页。但在大数据为副产品的情形下,企业劳动和资金的投入并不是直接用于生产数据,而是用于企业的主营业务,这些投入已经通过生产经营的利润获得了回报,企业数据难言是企业一方劳动的成果,多数情况下大数据的生成都有用户的参与,是用户参与和算法互动的结果,所以其最多只能算是企业与用户共同“劳动”之结果。在数据是机器自动收集的情形下,就更难言是数据企业投入了“大量”的劳动。欧盟为了保护“额头上的汗水”(劳动和资金投入)的数据库特别权利,也认为并不能为机器生成的数据提供保护,〔22〕See Hugenholtz, P. B., Data Property in the System of Intellectual Property Law: Welcome Guest or Misfit?, In S. Lohsse, R.Schulze & D. Staudenmayer (Eds.), Trading Data in the Digital Economy: Legal Concepts and Tools: Münster Colloquia on EU Law and the Digital Economy III, Baden-Baden: Nomos, 2017, p. 75-99,其数据库权利旨在保护数据库企业在“获取、校验、展现”数据库上的投资,这种投资是指用于“寻找现有材料并将其收集到数据库中”的资源投入,不包括用于创建构成数据库内容的材料的投入,因此若投资是用于产生数据的经营活动,是不能满足数据库保护要求的。〔23〕See Bundesgerichtshof (Federal Supreme Court), 1 December 2010, Case I ZR 196/08.
但不可否认的是,大数据虽为副产品,企业仍然为收集数据以及使原始数据能够被利用做了一定的投入,尽管这种投入不足以使其获得一种具有强大排他性的财产权利,但给予一定程度的保护仍属必要,这便是采用法益保护路径的依据(容后详述)。
(二)大数据通常由多方贡献生成,难以确定所有权主体
若对企业大数据进行权利保护,就必须由法律确定权利主体,这无疑难度颇大,因为大数据的生成可能涉及多个主体的贡献,数据的所有权无论分配给谁都不合适。
用户参与生成的企业数据集至少涉及用户与企业两个参与者。在大数据时代,作为数据主体的个人从根本上缺乏占有支配数据的能力,因此由个人拥有所有权不具现实性。而一个大数据集若由无数个个人享有所有权,难免导致权利的碎片化,使大数据无法被正常利用。所以当今主流观点也认为,个人对数据并不享有全面绝对的支配权,而是个人信息保护权。〔24〕参见高富平:《个人信息保护:个人控制到社会控制》,载《法学研究》2018年第3期,第85-101页。个人信息保护权主要是人格权益,包括隐私利益不受侵犯,以及对其个人信息处理的知情决定、删除、更正等权利。由企业对来自个人的数据集享有绝对化的所有权同样不合适,因为企业利用数据须受到数据保护制度的制约,要尊重数据主体的权利和利益,对数据的利用要取得数据主体的同意,所以不可能享有完全的支配权。
机器生成的非个人数据也常常会涉及不同环节相关者的贡献,分配数据的权属亦非常困难。设备制造商将传感器内建在机器中,设备使用人的使用行为会触发数据的生成,而被收集数据的环境物体可能属于另一个主体。例如,对于农场主租用农机设备收割农场的庄稼所产生的数据,主张权利的可能有设备制造商、设备所有人、农场主三个主体。若多个参与者都要求分配数据所有权,则从概念上几乎不可能确定一个或多个所有者,如果大家都同意对每个可以分配特定数据的人都拥有所有权,那么结果将是相同数据的多重所有权。〔25〕See OECD, Data-Driven Innovation: Big Data for Growth and Well-Being (2015), https://www.oecd.org/sti/data-driveninnovation-9789264229358-en.htm, last visit on August 14, 2021.面对如此复杂之情形,即便是支持数据所有权的学者也认为通常很难确定是谁在数据的创建和分析方面进行了投资,也很难评估谁是数据的最有效使用者。〔26〕See Wiebe, A., Protection of Industrial Data-A New Property Right for the Digital Economy?, 12 Journal of Intellectual Property Law & Practice 1, 2016, p. 62-71.
对立法者来说,还需要充分虑及数字经济中高度多样化部门的大量潜在利益相关者的利益,界定权利主体的基本权利和具体权利将是一个相当大的挑战。故此,明智之举在于立法机构应从一开始就避免创造这样一种权利。
(三)数据具有非竞争、非排他特性,不宜作绝对化的权利保护
个人占有数据并不会影响其他人的占有,同时个人使用数据也不会影响另一个人使用的效用,这就是数据的非竞争和非排他性,也就是说,数据是可以多方共享的,其本身具有公共属性。同样的数据可由不同的人通过各自的途径收集,例如,智能汽车装置的传感器收集路面信息,凡是行使过相同路面的汽车都会产生同样的数据。如果在数据上设定绝对权,那么意味着只能有一个所有者,这势必会造成信息垄断。
有学者认为,应仅在数据文件上设定绝对权,而不是对数据文件蕴含的信息设定绝对权,这样可避免信息垄断。〔27〕参见纪海龙:《数据的私法定位与保护》,载《法学研究》2018年第6期,第72页。Zech教授和欧盟委员会在提出数据生产者权时,也认为该权利只应该涵盖语法,即数据、代码级别,而不包括语义(编码所代表的思想或信息)。如此区分看似有意义,但语义与语法是否真的可以分割呢?数据的价值存在于语义层面,如果抽离了语义信息,那么语法数据将变得毫无意义,而对语法数据的保护也必然及于语义信息。例如,假设A拥有一份数据文件,如果其只在语法层面享有所有权而不在语义层面享有所有权,那么意味着若B盗取数据文件后将该文件转换成另一种代码方式再利用,则不会侵犯A对原数据文件的所有权。因此,仅在语法层面设置数据所有权似无太大意义。
如要在非竞争、非排他的数据上设定绝对权,那就是类似于专利权的制度。专利制度的设计是以申请人公开其发明创造为代价,换取对该项发明创造的垄断性权利。专利制度是促进成果产生和共享的精密的制度安排,但在数据上设定专有权无法达到同样的效果:数据的收集不同于智力成果的创造,数据通常是自动产生的,不需要通过专有权促进数据的收集;数据可通过不同的渠道收集,设定权利反而不利于数据的采集和利用,而且专有权也无法促进数据的共享。与其设置专有权,不如承认并且保护数据收集者对其收集的数据享有一定的权益,可以禁止他人对数据的非法盗取,这正是一种权益保护的模式。
(四)数字经济时代对数据共享的需求,与数据权利化存在矛盾
由人的行为痕迹、位置、机器运行、环境数据等聚合而成原始数据的最初形态可能并无价值,价值在于其未来的潜在用途。大数据是进行分析的原材料,并不是被直接利用,其价值难被估量。不同使用者能使数据产生不同的价值,对有些人来说数据是黄金,对另一些人来说数据可能只是无用的数据垃圾,所以对其我们并不能以传统物品的价值观念来理解。
大数据的价值需要通过提炼和萃取来显现,对数据的分析和挖掘才是最需要保护的部分,对数据分析来说,原始数据越多越好。为了某个特定目的而生成的数据,还可以重新用于另一个目的,使其从基本用途移动到二级用途,并随着与其他数据源的连接和聚合变得更有价值。两个具有互补数据的数据集合会比将它们分开产生更多的见解,这就是数据分析中的范围经济。〔28〕联合学习比单独学习会产生更多的见解,如研究微观经济学和宏观经济学会比单独研究产生更多的见解,经济学家将这一特征称为“范围经济”。See Rosen, S., Specialization and Human Capital, Journal of Labor Economics, 1983 (1), p. 43-49.例如,手机数据可与地图、商店等叠加在一起,产生更有洞察力的见解。由数据分析的这些特征可知,保护原始数据的所有权并不利于数据的利用,共享才是发挥数据价值的最有效途径。
数据权利化会导致私人锁定数据的价值,反对数据权利化的学者因此担心这种保护会造成不利于竞争的环境,使增值产品和服务更难进入市场,导致信息产品更加昂贵,从而损害消费者和整个社会。〔29〕See Peter K. Yu , Data Producer’s Right and the Protection of Machine-Generated Data, 93 Tul. L. Rev. 859.数据是数字经济增长的主要驱动力,需要采取措施来促进数据的访问和数据挖掘,而不是通过建立数据产权来实现数据的商品化。除非具备广泛的例外和安全阀门,否则引入一种新的数据产权可能会造成不受欢迎的数据垄断。〔30〕See Max Planck Institute for Innovation and Competition, ‘Data Ownership and Access to Data’, Position Statement of the Max Planck Institute for Innovation and Competition, Max Planck Institute for Innovation & Competition Research Paper, 2016(2).
三、企业数据的权益保护模式
(一)为什么是“权益”?
大数据不宜设置绝对权,数字经济时代对数据有共享的需求,这是否意味着企业数据可成为任人取用的“公共资源”,甚至如一些学者提出的“数据资源应归国家所有”呢?〔31〕参见张玉洁:《国家所有:数据资源权属的中国方案与制度展开》,载《政治与法律》2020年第8期,第15页。答案是否定的。在数字经济时代,对企业数据采取保护和共享相平衡的权益模式,其实更有利于促进数据的利用和流通。
首先,数据虽是副产品,但对数据的收集和利用仍需一定的投入,恰当的保护对数据经济的发展是必要的。大数据时代的企业数据虽主要来自用户的活动、机器的自动收集,但要将其汇集起来变成可供利用的数据形式,仍需要数据控制企业付出相应的人力和资本,若完全不提供保护,则可能发生“公地悲剧”的后果,导致大家都无法得到共享数据的好处。同理,若数据被强制无偿共享,企业很可能只提供低质量的数据,这样的数据几乎总是会导致低质量的数据分析和结果。作为数据共享和再利用的最关键参与者之一,若无数据控制者的积极贡献,则无可用之数据。
共享数据需要对元数据、数据模型和用于数据存储和处理的算法进行补充投资,以保护用于共享数据存储、处理和访问的信息技术基础设施,总的前期成本和支出可能会非常高,当数据控制人不能对其投入获得足额回报时,数据访问和共享便不会发生。故此,适当调整针对数据控制者的激励机制,同时又不妨碍其进行与数据相关的投资,对于一个运转良好的数据共享生态系统而言至关重要。〔32〕See OECD, Enhancing Access to and Sharing of Data -Reconciling Risks and Benefits for Data Re-use Across Societies, 2019,http://doi.org/10.1787/276aaca8-en, last visit on August 15, 2020.
保护数据控制者的权益也是维护正当交易和竞争秩序的需要。对来源于私人投资,由企业合法取得并置于其控制之下的数据,不能任由他人侵夺,这是维护诚实信用的商业道德、建立公平合理的市场秩序的需要。因此,对企业数据而言,采用“权益”模式,既能满足一定的激励需要,又不至于让企业攫取数据的全部商业价值,可谓是一种更为适当的机制。
其次,有限保护的权益模式能为企业数据的利用提供更为广阔的公共空间。“权利”具有归属效能和排除效能,所有权人原则上对其物可以任意处分并排除他人的任何干涉,〔33〕参见于飞:《侵权法中权利和利益的区分方法》,载《法学研究》2011年第4期,第108页。因此,权利模式会给企业数据带来宽泛而强大的保护。也有学者认为,财产权模式本身具有弹性和适应性,可通过设置例外保留相当程度的公共空间,从而避免限制公共领域的行动自由。〔34〕参见崔国斌:《大数据有限排他权的基础理论》,载《法学研究》2019年第5期,第6页。但不容忽视的一点是,“权利”模式遵循“例外之外皆禁止”,提供的仍然是有限的自由空间,而“权益”模式提供的是一种防御性保护方式,仅在违反“保护性法规”或“故意违反善良风俗”的条件下才给予保护。〔35〕参见于飞:《侵权法中权利和利益的区分方法》,载《法学研究》2011年第4期,第113页。通过禁止某些特定行为的方式反向保护企业数据权益,遵循的是“禁止之外皆自由”,能为数据的自由利用提供更广阔的空间。这一方法相当于保护事实上的“拥有”,而不是所有权概念。〔36〕See Commission Staあ Working Document, On the Free Flow of Data and Emerging Issues of the European Data Economy Accompanying the Document Communication Building a European Data Economy, Brussels, 10.1.2017,COM(2017) 9 final, https://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=34617, last visit on August 14, 2021.譬如,如果有人将未经许可盗取的数据转售给不知情的第三人,那么基于“权利”可制止该善意第三人使用数据,如果依据的是防御性权利,那么并不一定可行(要看是否有禁止性规定),这犹如商业秘密保护,一旦商业秘密泄露,持有人无法阻止他人基于善意取得的使用。大数据时代企业数据的特有属性以及数据利用中的范围经济,必然要求为大数据保留相当的公共空间,故而只能对企业数据提供有限之保护。
再次,“权益”模式的灵活性能够更好地应对企业数据保护的复杂情况。权利的根本功能在于将某项确定的利益内容归属于特定主体,归属内容须客体确定且界限清晰。〔37〕参见于飞:《侵权法中权利和利益的区分方法》,载《法学研究》2011年第4期,第108页。而企业大数据的复杂性使权利主体和权利范围无法具有明确而稳定的边界。不同形态的企业数据,如“用户提交的网页数据”“平台生成的个人数据”和“机器生成的非个人数据”的保护程度会有所差别,不同数据的利用行为对数据企业造成的不同影响也应区别对待,所以对数据的保护无法一概而论。他人利用数据的行为是否构成侵害,只能由法官在个案中根据企业劳动和资本投入的实际情况,结合利用者行为的具体表现来权衡受害人利益与加害人行为自由谁更值得保护后再作决定,所以,企业数据并不具备权利保护的条件,只能是一种利益。
最后,数据库保护的历史经验证明,权益模式更加适合数据的保护。在小数据时代,欧盟和美国对数据库就采用了特别权利保护和盗用侵权两种不同的进路。欧盟的数据库特别权利采用了“权利+例外”的方式,提供了类似财产权的保护,这种过于宽泛的保护方式遭到学界的批评。美国采用的盗用侵权保护方式在许多州是更大范围反不正当竞争法的组成部分,其正当化依据建立在经济考量的基础上,更加重视劳动投入和获取信息需要之间的平衡。〔38〕参见[澳]马克·戴维森:《数据库的法律保护》,朱理译,北京大学出版社2007年版,第168、180页。经验表明,欧盟所采取的特别权利保护并未能给其数据库产业带来多少好处,反而在与美国数据库生产商的同行竞争中处于下风,以至于人们提议欧盟委员会废除《数据库指令》,或者至少对其进行修订。〔39〕2006年,欧盟委员会对《数据库指令》进行了一次全面评估,结果显示其成员国将指令转化为各自的国内法后,2002年和2004年,欧洲数据库产业的份额从33%下降到24%,而美国的份额从62%上升到72%,因此指令被认为甚至可能会损害欧盟的出版和数据库产业。See Peter K. Yu, Data Producer’s Right and the Protection of Machine-Generated Data, 93 Tul. L. Rev. 859(2019).基于这一历史经验,很多人认为现在对于大数据同样不需要类似数据生产者权的权利保护。
(二)企业数据权益的利益相关者共享
将企业数据定位于一种权益保护,同样需要回答“谁享有数据上的何种权益”这个问题。大数据权属的复杂性就在于数据上可能存在多个利益相关者都要求享有数据上的权益,在此情况下,建立以数据控制者为中心的制度化的共享数据机制,便成为解决数据权属问题的替代方案。
数据控制者是企业数据权益的主要享有者和数据保护义务的承担者。当下即便没有所有权,数据也已成为日常交易的客体,持有数据的企业可利用技术手段来实现对数据的事实控制,成为事实上的所有者。承认并保护数据控制人的事实控制,而不是由法律规定谁可以成为数据所有权人,可避免立法强行干预产生的不当后果。当一个数据集是由多人贡献产生,既无法衡量谁对数据的生成投入的贡献最多,也无法衡量数据权利分配给谁最有效率时,如果通过法律将权利硬性分配给具体的一方,那么可能会导致所有人皆不满意这样的权利安排,较为妥当的方法是利益相关者可通过合同约定权益的分配。一般而言,数据控制人对数据的控制是利益相关者谈判和自主分配的结果,这种市场决定的方法只需要在出现市场失灵时,如出现垄断、谈判力量不对称等,才有外部干预之必要。
数据控制者对其收集的数据享有怎样的财产权益存在不同的认识。《深圳经济特区数据条例》第58条规定:“市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,取得收益,进行处分。”而《上海市数据条例》第14条规定:“自然人、法人和非法人组织对其合法取得的数据,可以依法使用、加工。”可以看出,上海条例对于权益内容的规定较深圳条例要窄,缺少了“收益、处分”的内容,这可能是由于深圳条例规定的保护对象是经过处理的“数据产品”,较之原始数据的权益范围要宽一些。〔40〕《深圳经济特区数据条例》第58条保护的仅是经过加工处理的数据产品,还是也保护直接收集的原始数据,并不太清楚。因为该法第2条规定“数据处理,是指数据的收集、存储、使用、加工、传输、提供、开放等活动”,依此解释,经收集的原始数据似也可理解为“合法处理数据形成的数据产品和服务”。上海条例在草案起草过程中也曾规定了“管理、收益和转让”的权益,但最终稿仅作了“使用、加工”的规定,说明对于数据企业是否有权进行收益和转让(处分)是存有争议的。
笔者认为,“转让”或“处分”更适合对独占性权利之表达,数据无法被企业独占因而不宜将“转让”或“处分”作为企业数据权益的内容。企业数据的权益内容应该是“利用”“再利用”并“获得收益”,而“加工”是实现利用和再利用的方法,“管理”则是一种事实状态,不应该被表述为一种权益。由于企业享有财产权益的前提是获得了数据主体的同意且不损害数据主体的人格权益,所以企业数据权益上附加了个人信息保护义务,可被视为是一种新型权利和义务的结合体。企业对其合法收集并经匿名化处理的数据,既能许可他人利用,也可进一步再利用,从而成为数据交易的客体。总体而言,这种权益并不是完全的支配权,不仅要受到个人信息保护义务的约束,而且数据控制者要与数据上的其他利益相关者共享数据上的利益,负有根据他们的请求提供数据之义务。
当一个数据集由多人的贡献产生,那么其他利益相关者应该能够共享数据上的利益。我们不能用“一物一权”的物权思维来理解大数据,数据是一种非竞争和非排他的无形财产,能够支持多人共享,大数据可由多人利用、收益,实现数据利益的共享。关于企业数据上利益相关者的利益分配和数据利用关系,有学者提出了一些颇具建设性的观点,如“数据主体享有所有权,数据企业享有用益权”,〔41〕申卫星:《论数据用益权》,载《中国社会科学》2020年第11期,第120页。或者“数据主体拥有名义的所有权,数据控制人拥有实质所有权”,〔42〕冯果、薛亦飒:《从“权利规范模式”走向“行为控制模式”的数据信托》,载《法学评论》2020年第3期,第76页。这些方案有助于我们理解数据上存在着复杂的利益关系,但无论是用益权还是信托理论都受限于原有的理论框架,在面对大数据这样一种全新的法律客体时,缺乏足够的解释力和规范效能。
大数据时代的数据主体从根本上缺乏占有支配数据的能力,告知同意形同虚设,〔43〕参见范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期,第94页。这说明数据主体难以享有所有权,也无法将其视为数据上的其他主体权利的权源。数据上的利益相关者的权益并不是从其他人那里派生或继受取得的,而是基于各自的贡献原始取得。在数据控制者占有数据的情况下,其他利益相关者分享数据利益的方式就是访问权和携带权。数据访问权是检索和存储受数据持有者控制的电子数据的权利;数据携带权是从数据控制者处获得结构化、通用化和机器可读的数据,并将这些数据转移给其他数据利用者的权利。数据访问权和携带权可让其他利益相关者实现对数据的利用和收益。企业数据是由个人数据形成的,个人享有知情同意权、删除权、撤回权等人格权益已较少有争议,但是否享有数据上的财产权益还有争论。我国颁布的《个人信息保护法》已经纳入数据访问权和携带权的相关规定,〔44〕参见我国《个人信息保护法》第45条规定:“个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”数据主体对来源于自己的数据有权要求查阅和复制,并可将这些数据转移给其他数据企业进行利用并获取由此带来的收益,这既是个人实现“信息自决”的手段,也是将数据转化为财产利益的方式。可见,由个人数据形成的企业数据,个人和企业各自拥有相应的财产权益。
对于机器生成的非个人数据而言,其他共同参与了数据生产但又无法控制数据的人也应被授予数据访问权和携带权以实现数据利益的共享。数据只有更广泛地共享才能实现其价值,作为副产品的机器生成的数据应尽可能地被需要之人利用,但在数据利用过程中应注意保护他人的商业秘密,对可能涉及商业秘密的数据经脱密处理后才可被使用。有关机器生成的非个人数据的访问权和携带权目前尚未见到相关立法,但在国外已有非立法的实践措施。例如,美国农业局联合会、农场组织与主要的农业技术提供商一起建立了《农场数据的隐私和安全原则》,根据该原则,对农民使用农机设备耕作产生的数据,农民与其他利益相关者,如租户、土地所有者、合作社、精准农业系统硬件所有者和农业技术提供商共享数据。对于非匿名或非汇总的数据,农民可根据他们的衡量而收回,并享有数据访问权和携带权。〔45〕See OECD, Enhancing Access to And sharing of data -Reconciling Risks and Benefits for Data Re-use across Societies, 2019,http://doi.org/10.1787/276aaca8-en, last visit on August 15, 2021.
由此可见,数据控制者和其他利益相关者共享企业数据上的权益,这种共享既不是共同所有,也不是按份共有,而是根据各自的角色拥有不同的权益,有人称之为“半公有的混合所有权”。〔46〕See Heverly, R. A., The Information Semicommons, 18 Berkeley Technology Law Journal, 1128-1189(2003).企业享有权益的前提是履行相应的数据保护义务,因此企业数据权益也可以看作是由多个权利义务组合而成的权义束。
(三)企业数据权益的有限保护:在“控制和共享”之间
以权益形态表现的企业数据,其排他性范围表现为有限性、弱稳定及基于场景的利益衡量。基于企业数据的不同形态,如原始数据与加工数据、公开数据与不公开数据,保护的程度会有所不同;基于数据利用行为的不同状态,如竞争者的利用与非竞争者的利用,对其的正当性评价也会不同。总体而言,数据集的形态、数据利用行为的表现以及利用的后果都会给企业数据的排他性判断带来程度不同的影响。如果将数据的完全控制与完全共享视为两个端点,那么企业数据的排他性状态就是在这两个端点之间滑动,滑尺会在靠近控制端还是靠近共享端停留,取决于具体场景中基于数据集以及数据利用行为的具体状况而作出的衡量和判断。
数据持有者在数据集形成上的投入不同,排他性程度就有差别。经过加工的数据产品,企业在数据上的劳动、资金甚至智力的投入使其能获得较高程度的保护,包括类似欧盟数据库权利的保护,符合独创性标准的甚至可获得著作权的保护。而未经加工的原始数据,作为机器或程序产生的副产品,企业的投入相对较少,可以更加开放。例如,欧盟《数据库指令》就对可以获得特别权利保护的数据库作出了“能够证明在获取、校验或展现数据库内容的过程中实施了品质上或数量上的实质性投入”的规定,〔47〕欧盟《数据库指令》第7(1)条。“实质性投入”是获得保护的门槛。对企业数据集的保护要进行经济考量,较高程度的保护会使权利人受益,但可能减少下游创新和互补产品的生产,因此要找寻到最优程度的保护,即当数据集的生产因成本高而需要更强的经济激励时,更高的保护是必要的;如若数据集的生产成本较低,更广泛地访问数据不会对数据的生产造成损害,就可以有更高程度的数据开放。
数据利用者与数据持有者是否存在竞争关系也是影响企业数据排他性判断的因素。如果数据利用者与数据持有者不存在竞争关系,其利用数据生成另外一个功能上不同的数据集,从而成为原始数据集的补充而不是替代,那么两者将不会在同一市场上竞争,原数据持有人的收入也不会受到影响,此际就不应一概禁止这种使用行为。如果生成新的数据集在功能上与原始数据集相重叠,二者就可能产生竞争,数据持有人的收入可能会受到影响,那么不禁止这种使用行为就会影响原始数据集产出的激励。美国数据信息保护所采用的盗用侵权规则,就是基于不正当竞争的立场,将原告、被告之间存在直接竞争关系作为信息盗用行为成立的关键因素。“摩托罗拉案”是美国信息盗用制度现代化的典型判例,该案的判决认为:“重点不在于被告是否从使用原告的产品中获利,而在于是否给原告造成了损害,只有被告与原告提供的产品或服务存在直接竞争,并且被告的行为减损了原告生产产品或服务的动力,以至于他的生存将受到严重威胁时,盗用侵权才成立。”〔48〕National Basketball Association v. MotorolaInc., 105 F3d 841( 2d Cir. 1997).
此外,企业数据的保护还需结合数据利用行为的具体表现来判断。首先,获取数据的手段是否具有不正当性是重要的衡量因素,如规避robots.txt文件的设置而抓取大量数据信息会被认为具有不正当性;〔49〕参见四川省成都市中级人民法院(2019)川01民初5468号民事判决书。未经许可利用网络爬虫技术进入他人服务器获取信息数据也会被认为具有不正当性。〔50〕参见广东省深圳市中级人民法院(2017)粤03民初822号民事判决书。其次,数据的公开与否也会影响利用行为的正当性判断,公开数据的开放程度较之不公开数据要更高一些,如在“蚁坊公司与微梦公司数据不正当竞争案”中,法院认为微博平台中已经开放的公开数据应允许他人合法获取和使用,而破坏或绕开对非公开数据采取的保护措施而抓取非公开数据是不正当竞争行为。〔51〕参见北京知识产权法院(2019)京73民终3789号民事判决书。再次,被利用的数据是否包含个人信息,若包含个人信息,则其利用要比非个人数据遵循更严格的限制性条件,如在“微博诉脉脉信息抓取案”中,法院认为第三方通过OpenAPI获取用户信息时应坚持“用户授权+平台授权+用户授权”的三重授权原则。〔52〕参见北京知识产权法院(2016)京73民终588号判决书。最后,涉及数据权益保护的范围还有一个问题:在数据被盗取后,第三方再利用数据的行为是否不正当?如果一概禁止第三方的利用,那么会使数据权利绝对化,为了不进一步限制数据资源的开发,若第三方不明知数据是不正当取得的,则再利用行为不应当被禁止。〔53〕See Mattioli, Michael, Disclosing Big Data, Minnesota Law Review, 2014, p. 243.
利用数据的数量及后果也会对数据利用行为的正当性判断产生影响。企业数据是以集合方式表现的,他人利用数据往往不是全部,而是抓取其中的一部分。在不存在合作关系的前提下,少量抓取和利用他人数据并不会构成不正当,只有数量达到一定程度时才会被判断为非法。美国信息盗用判例中采用的是“实质损害”标准,体现为被告的利用行为严重减损了原告生产相同或更高质量信息产品的动力。〔54〕See Fred Wehrenberge Circuit of Theatres Inc. v. Moviefone Inc.在我国平台之间抓取数据的案例中也确立了“实质性替代”的损害标准,认为利用他人信息应遵循“最少、必要”原则,超过必要限度从而实质替代了原数据提供者的服务则构成不正当竞争。〔55〕参见“北京百度网讯科技有限公司与上海汉涛信息咨询有限公司抓取点评信息案”,上海知识产权法院(2016)沪73民终242号民事判决书。最高人民法院在2021年8月发布的《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释(征求意见稿)》第26条对数据竞争的相关规定也采取了实质性替代标准。“实质损害”的要求可以将原告的权益限制在保障其对数据获得合理收益的能力上。
在衡量企业数据权益是否应当保护以及保护范围时,以上因素皆会被纳入考量,但每一个因素都不是孤立的,而是遵循动态系统论的原理被综合考虑。〔56〕动态系统论摒弃“全有或全无”的构成要件论,提出调整特定法律关系的法律规范包含诸多构成要素,且各要素是动态的系统。法律规范或法律效果由各个要素的数量和强度相对应地协作来确定。参见[日]山本敬三:《民法中的动态系统论》,解亘译,载梁慧星主编:《民商法论丛》第23卷,金桥文化出版有限公司2003 年版,第172 页。例如,企业在数据上的投入高的,对数据利用行为的不正当性或损害程度的要求就会低一些;如果数据利用行为的不正当性非常明显,相应地对其他因素的要求也会降低;数据如果是公开的,非竞争者的利用可能并不会被判定为不正当,但数据如果是不公开的,即便是非竞争者,其采用侵入计算机系统的方式获取数据也很可能会被判定为不正当。总之,基于特定的场景进行利益衡量是必要的,这也使企业数据无法呈现明确、稳定的保护范围,只能停留在权益保护层面。
(四)企业数据权益保护的路径
企业数据的控制者可通过数据市场,依靠合同法实现数据的财产价值,当出现未经许可的不正当利用行为时,保护性规范的路径该如何选择?我国的司法实践普遍将反不正当竞争法作为企业数据保护的法律依据。在美国,盗用侵权规则也是反不正当竞争法的组成部分。反不正当竞争法是市场行为规制法,其对认定不正当竞争行为的考量是基于维护市场竞争秩序的整体主义视角,而不是基于维护经营者个体利益的静态视角。将企业数据保护置于市场竞争的视角下,对不正当利用行为的判断纳入竞争者、消费者(用户)、其他市场参与者的多重利益考量,能够更好地平衡数据保护与公众利用之间的关系,因此反不正当竞争法是可选的较优路径。
反不正当竞争法中的商业秘密条款对企业数据权益能够提供一定的保护,但商业秘密保护对象有秘密性、价值性和实用性要求,相当一部分大数据集可能并不符合这些条件。首先是秘密性,公开的数据难以达到秘密性要求,而数据集上经常采用的技术保护措施与商业秘密的秘密性也存在一定的距离。例如,对下载采取了限制措施的网页数据,公众可以浏览,难以达到秘密的要求。又如,采用ID加密的数据,只要是会员便可获得的数据,受众较为广泛也难以达到秘密性要求。再如,一些数据是可以通过多种渠道收集的,如公路上智能汽车收集的数据可存在于不同的车辆中,这样的数据已不能被认为处于秘密状态,即便采取了保密措施也不一定能获得商业秘密保护。其次是价值性,机器产生的数据是否具有价值性颇值怀疑。商业秘密所保护的价值来自于形成智力成果或经营成果的投入,而作为副产品的数据并无这种受保护的价值。原始数据本身是杂乱无章的,并无显而易见的价值,其价值来自于后续的分析和挖掘。可见,就现代数据产业而言,商业秘密的保护在技术上已经过时了。〔57〕See Nestor Duch-Brown, Bertin Martens and Frank Mueller-Langer, The Economics of Ownership, Access and Trade in Digital Data; Digital Economy Working Paper 2016-10; JRC Technical Reports.因此,一些国家(如日本)在应对新兴的大数据问题时,会虑及商业秘密保护的局限性,在反不正当竞争法中增设“限定提供数据”条款,对通过电磁方法(电子方法、电磁方法及其他不被人知觉的方法)管理,并以营利为目的提供给特定对象的信息进行保护,〔58〕参见刘影、眭纪刚:《日本大数据立法增设“限定提供数据”条款及其对我国的启示》,载《知识产权》2019年第4期,第93-94页。这也反映出技术的发展对法律提出的与时俱进的要求。
在我国现有的法律制度条件下,反不正当竞争法一般条款是保护企业数据的主要法律依据。一般条款是概括性的原则条款,其所具有的灵活性与企业数据保护所要求的高度利益衡量空间具有天然的契合性,但也可能因缺乏具体的构成要件而使裁判者无所适从。为了避免适用一般条款的随意性,应强调法律适用的原则和技术:(1)避免企业数据“权利化”保护,贯彻有限保护理念,将判断数据不正当利用行为建立在经济考量的基础上,考虑对数据控制人激励的需要与自由利用信息的平衡,研究自由利用数据对社会进步的重要性。(2)建立类型化案例群,确立认定数据不正当利用行为的要件框架。可以针对不同形态的数据建立类型,例如“用户提交的网页数据”“平台生成的个人数据”“机器生成的非个人数据”,从数据控制人对数据的投入、被告行为的不正当性、原被告之间的竞争关系以及被告行为给原告造成的损害等方面构建法律适用要件。
“用户提交的网页数据”类型,典型案件如大众点评诉爱帮网案、〔59〕参见北京市第一中级人民法院(2011)一中民终字第7512号民事判决书。大众点评诉百度案、〔60〕参见上海知识产权法院(2016)沪73民终242号民事判决书。百度诉奇虎案,〔61〕参见北京市高级人民法院(2017)京民终487号民事判决书。这些案件的特点是:原告的网站数据由用户提交的文字、图片等数字资源构成,数据是公开的;抓取数据的被告与原告网站之间存在直接竞争关系;被告抓取数据后直接作为自己的网站内容呈现给大众,可能造成代替原告网站的后果。在这些案件中,网站经营者对用户提交的数据虽然不享有著作权等知识产权,但原告为数据的收集、整理付出了人力、财力、物力和时间等经营成本,因此产生的竞争性利益应当受到法律保护。在竞争法的视角下,利用他人的劳动成果并非必然是不正当的,而是要考虑数据利用者、数据收集者以及公众利益的平衡,考虑行为对市场竞争秩序的影响。司法实践中发展出了“实质性替代标准”,作为合法与非法抓取数据的行为边界。法院认为,利用他人网站的数据应当遵循“最少、必要”的原则,控制在合理的范围内,不得对该网站造成市场替代的后果。〔62〕参见上海知识产权法院(2016)沪73民终242号民事判决书、北京市第一中级人民法院(2011)一中民终字第7512号民事判决书。该标准可以成为判断此类型数据不正当竞争行为的准则。
“平台生成的个人数据”类型,典型案件如新浪微博诉脉脉案、〔63〕参见北京知识产权法院(2016)京73民终588号民事判决书。腾讯诉搜道案、〔64〕参见杭州铁路运输法院(2019)浙8601民初1987号民事判决书。前程无忧诉e成案〔65〕参见上海知识产权法院(2019)沪73民终263号民事判决书。等,这些案件的特点是:原告的平台数据与个人信息相关,是用户在使用平台服务过程中生成的数据,如用户的注册信息、关系链数据、用户操作数据等,这些数据可能是公开的,也可能是不公开的;被告抓取原告平台数据的目的是进行衍生性利用而不是原样使用,因此原被告之间不一定是直接(同业)的竞争关系。例如,在新浪微博诉脉脉案中,被告开发的脉脉软件是一款人脉社交应用,通过爬取和分析原告新浪微博用户的数据,帮助用户建立与新朋友的联系。对于衍生性数据利用行为,实质性替代规则不再能够适用,是否构成不正当竞争的判断更为复杂。司法实践中更倾向于考察获取数据的手段及利用数据的行为是否具有不正当性,以及因此给原告带来的损害。由于此类数据利用行为涉及用户的个人信息,因此是否损害了用户(消费者)利益也是判断不正当竞争的关键因素。
“机器生成的非个人数据”类型,典型案件如“酷米客”诉“车来了”案。〔66〕参见广东省深圳市中级人民法院(2017)粤03民初822号民事判决书。通过传感器接收物体运行的信息而产生的数据,很可能被数据收集者控制而处于非公开状态,第三人如果要获取该数据一般需要采取突破技术保护措施的手段,这种行为很容易被认定为不正当竞争。此类数据在共享方面会遇到更多的障碍,故而需要特别的数据访问制度(容后详述)。
对于数据不正当竞争而言,以上类型并未穷尽所有。虑及不同数据的利用情况和复杂的利益平衡,在判断数据不正当竞争行为时,法官拥有自由裁量权是必要和有益的。
四、企业数据的分享路径
大数据是数字经济时代最重要的生产要素,促进数据的共享和利用成为各国普遍的政策目标。作为副产品的企业数据应开放更多的共享空间而只作有限保护,但数据控制者能够依靠技术手段实现对数据的控制,其可以通过合同来分享数据,也可能为了保持竞争优势而阻止他人利用数据,如此一来便产生了是否需要法律措施来破除对数据的控制,以促进数据共享的问题。反垄断法作为破除垄断的法律制度最先被考虑作为数据开放的可能路径,但因其适用的不确定性,故而所起的作用有限,而访问权制度的构建则被认为是促进数据共享的未来方向。
(一)反垄断法
反垄断法用于开放数据的主要依据是必要设施原则,但该原则的适用一直伴有争议。必要设施原则传统上用于铁路、港口、桥梁、电讯设备等基础设施的开放,一旦某个设施被认定为“必要”之后,设施的拥有者就必须承担以合理条件开放使用该设施的义务。有学者认为,在大数据领域应用必要设施原则,争议会变少,因为数据是非竞争的,一个数据集可以提供给无限个人使用,数据垄断者面临的共享成本可能接近于零,而法院也可以通过允许数据垄断者收回必要的成本来保持其投资动机。〔67〕See Zachary Abrahamson, Essential Data, 124 Yale L. J. 867 (2014).对此,欧盟委员会也认为,必要设施原则强制开放数据的效果能够满足确保数字化市场有效竞争之需求,可以成为平衡保护市场投资和促进市场竞争的手段。〔68〕See Heike Schweitzer & Robert Welker Acques Crémer, Heike Schweitzer, etal., Competition Policy for the Digital Era. 转引自王健、吴宗泽:《论数据作为反垄断法中的必要设施》,载《法治研究》2021年第2期,第107页。但同时也认为,该原则存在高度不确定性,以此判断请求访问数据的合理性对反垄断执法机构而言是一个沉重负担。
依照必要设施原则开放数据需要符合两方面的条件:一是数据是“必不可少”的;二是拒绝提供数据的行为构成滥用。然而,这两方面的认定都存在一定的难度。其一,要求具有市场支配地位的企业开放大数据,至少需要证明在相关市场内找不到合适的大数据替代品。而数据是具有多归属性的,相同的数据可从不同的数据集中找到,导致在该问题的判断上分歧很大,数据是否构成反垄断法意义上的必要设施较难认定。其二,只有当大数据垄断者拒绝大数据交易能够排除相关(二级)市场的有效竞争,阻止了一种有消费需求的新产品出现,且这种拒绝客观上为不合理时,才能适用必要设施原则。〔69〕See Microsoft v. Commission, T-201/04, ECLI:EU:T:2007:289, [2007] ECR II3601.必要设施原则的适用以杠杆原理为基础,旨在防止拥有必要设施的企业通过杠杆将一个市场的垄断力量传递到另一个市场,从而排除该相关市场的竞争。那么,拒绝交易的企业是否在一级市场上具有市场支配地位,其拒绝交易的行为是否具有反竞争意图,能否在二级市场上起到排除、限制竞争的效果,是必须要进行证明的,这就会涉及繁重的经济评估,从而增加适用该原则的不确定性。
考虑到必要设施原则适用的不确定性,有学者认为,我国当前并不适宜直接明确将数据作为反垄断法中的必要设施,而应在个案分析的基础上审慎考虑该原则的适用。〔70〕参见王健、吴宗泽:《论数据作为反垄断法中的必要设施》,载《法治研究》2021年第2期,第102页。也有学者认为,由于数据具有价值上的不确定性,将数据界定为必要设施要遵循严格限定的基本思路。〔71〕参见孙晋、钟原:《大数据时代下数据构成必要设施的反垄断法分析》,载《电子知识产权》2018年第5期,第38页。总体而言,仅从反垄断法意义上分享数据的效果非常有限。在数据持有者没有与请求访问者在下游相关市场上存在竞争的情况下,通常难以适用反垄断法,因为如果原被告在该相关市场不存在竞争,那么垄断者拒绝交易很可能不是为了排除、限制竞争,其拒绝交易行为也就不应受反垄断法的规制。因此,要建立完备的企业数据分享制度还需要进一步的立法措施。
(二)数据访问权制度
数据访问权是作为数据权属的反向解决方案被提出来的,在数据权利的拥有者及范围不容易确定的情况下,确定谁有权访问数据,能够划定数据权益的边界,建立数据利用的秩序。一些学者认为,与其建立一套新的财产权体系,更好的解决办法是确认一个有针对性的、不可放弃的数据访问权。〔72〕参见Josef Drexl等:《马克斯·普朗克创新与竞争研究所就欧盟委员会“关于构建欧洲数据经济征求意见书”的立场声明》,载《电子知识产权》2017年第7期,第97页。数据访问权可视为企业数据权益的限制,它能够明确数据控制者权益的边界,也是促进数据利用和共享的手段。
访问权可从两个方面实现数据共享:一是通过访问权和携带权制度实现企业数据权益在利益相关者群体内的共享(此观点前文已述);二是通过法律规定第三方可在一定情况下访问数据,实现数据控制人与社会共享数据利益,这可以分为“为公共利益而设的访问权”和“基于公平、合理、非歧视性(FRAND)原则的数据访问”。
1.为公共利益而设的访问权
政府或研究机构为了公共利益和科学用途可被授予访问企业数据的权利。数据分析在指导政府决策或改善公共服务方面具有巨大潜力,如利用电信运营商、网络交易平台、汽车制造商或社交媒体等公司持有的数据,可以更加有效地进行城市规划、应对流行病、改善城市交通、保护环境、进行市场监测等。获取不同来源的数据并进行分析对于医学、社会和环境科学等领域的科学研究同样至关重要。
还有一种涉及由私营部门控制的“公共利益数据”的情况。由于公共部门私有化,私营部门越来越多地提供传统上由政府提供的公共服务,尤其是数据密集型行业(包括电信服务、金融服务、交通运输和公用事业),使这部分数据难以作为政府数据被开放利用。随着“智能”城市和“智能”交通等应用程序的部署,此问题日显突出。为此,一些国家已经开始定义和规范“公共利益数据”的获取,将私营部门控制的涉及公共利益数据纳入强制获取范围,如法国对来自公共设施或交通服务等委托提供公共服务的私营部门数据、接受补贴的私营部门数据、国家统计所需的私营部门数据纳入“公共利益数据”的范畴。而我国上海市、深圳市颁布的数据条例,也将数据开放的范围从政府数据扩大到公共数据,将经依法授权具有管理公共事务职能的组织,以及供水、供电、供气、公共交通等提供公共服务的组织,在履行公共管理和服务职责过程中收集和产生的数据,纳入共享、开放和利用范围。
为公共利益而设置访问权虽前景广阔,但也存在实施上的问题。比如,如何定义“公共利益数据”?将符合公共利益的信息和仅具有商业利益的信息加以区分是比较困难的,有的商业信息仍可能有助于国家为公共利益作出决定。又如,为了公共利益而利用数据是否需要补偿?如果需要补偿的话,那么应以能收回为收集数据所作的投资为限,至于如何具体实施还需要作进一步的研究。
2.基于FRAND原则的数据访问
基于数字经济当前的发展形势,企业间若能开放数据访问将会是数据利用的重大机遇。从理论上说,自动化方式生成的非个人数据集以及经过匿名化处理的个人数据集从性质上是支持更广泛的数据共享的:数据的非竞争性使各方可在无质量损失的情况下利用数据;原始数据集通过数据挖掘可用来支持或改善完全不同的产品或服务,多数情况下数据的利用并不会导致原始数据持有人丧失竞争优势,因而并不存在限制数据访问的动机,而且允许他人利用数据并不意味着数据是免费的,在不损害数据持有人利益的情况下,数据可以促进福利的效果提供给第三方。〔73〕See Mayer-Schonberger, V. and T. Ramge, A Big Choice for Big Tech: Share Data or Suあer the Consequences, Foreign Aあairs September/October 2018 Issue.
欧盟委员会提出可考虑以FRAND原则为基础,在付费的基础上提供对匿名化数据的访问。〔74〕See European Commission, Towards a Commom European Data Space, COM(2018) 232 final, https://ec.europa.eu/jrc/sites/jrcsh/files/23112...ial_intelligence-rizzi_en.pdf, last visit on August 14, 2021.基于FRAND原则的数据访问之灵感来自于标准必要专利许可。〔75〕See Commission Staあ Working Document, On the Free Flow of Data and Emerging Issues of the European Data Economy Accompanying the Document Communication Building a European Data Economy, Brussels, 10.1.2017,COM(2017) 9 final, https://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=34617, last visit on August 14, 2021.当一个专利成为“标准必要专利”,为了使标准尽可能得到广泛使用,专利权人通常被要求基于公平、合理、非歧视的条件提供许可。第三方基于FRAND原则请求数据控制者提供数据,也需要符合一定的条件,并建立在支付合理报酬的基础上。
但是,基于FRAND原则的数据访问也存在诸多问题:(1)请求访问的条件如何设定?支持访问权的观点认为,可将数据无法通过其他来源得到,抑或独立创建的成本过高,作为第三方请求数据访问的条件;出于公共利益考量而避免产生重复的数据,也可以考虑作为请求分享数据的条件。例如,欧盟化学品注册、评估、授权条例为了限制重复进行动物化学试验,规定潜在的注册人有权要求以前的注册人在提供公平补偿的条件下分享研究数据。〔76〕See Josef Drexl, Designing Competitive Markets for Industrial Data- Between Propertisation and Access, 8 JIPITEC 257, 2017,para. 1.但是,类似数据“无法通过其他来源得到”这样的条件也存在相当程度的模糊性,标准该如何掌握?笔者认为,既然数据访问权的目的在于开放数据,而且又是建立在支付报酬的基础上,那么这一条件就无需过于严格。(2)如何确定数据访问的合理报酬?这也是操作中的难题。确定访问的报酬要考虑数据是副产品的特征,不同于知识产权的许可费用,基本原则是收回数据企业为收集数据所作的投资,同时也要考虑数据是可以重复授权、重复利用的,每一项授权都会有摊薄投资的效应这一情况。
也有反对设置强制的数据共享义务的观点,认为有可能会对市场竞争产生不利影响,此一担心主要来自可能损害数据持有人的竞争能力及削弱数据投资的动力。也有人担心,强制的数据共享可能会将初创企业和中小企业置于投资于数据可移植性的沉重义务之下,结果可能更有利于大型数据密集型企业。〔77〕See Swire, P. and Y. Lagos, Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique,Maryland Law Review, Vol. 72, p. 335.对于数据访问权向第三方开放,应区分不同的情况:如果数据集只是一个副产品,请求访问的是不同市场上的非竞争者,数据访问不会侵占数据持有人的利益,也不会减少数据投资的动机,原则上可赋予访问权;如果请求访问的是数据持有人的竞争者,此时数据构成了关键的竞争因素,访问制度不应强制数据持有人向竞争对手提供竞争资源,原则上不宜规定数据访问权。有一种情况是竞争者可能依靠其拥有的数据资源排挤对手,扩大其垄断力量,那么是否有必要规定竞争者之间在一定情况下也应享有数据访问权,以防止出现数据垄断?笔者认为,目前的立法时机尚不成熟,较为妥当的方法是将竞争者之间的数据访问交由反垄断法处理,随着数字经济的深入,反垄断法对数据垄断的认识会不断深化,竞争者访问权的轮廓也会不断明晰。相较于强制性共享的立法,以市场为基础的方法对于鼓励数据访问和共享更加重要。企业之间数据共享最好的方法还是以契约自由为基石,自行发展,政府可从规范化数据交易规则,促进数据市场建设以及提供可信的数据共享平台等方面来促进数据共享和商业化。
五、结语
数据本身具有公共品特征,而大数据时代的企业数据更多以副产品面目出现,其价值有赖于后续挖掘,因此数据法律秩序中需要更多公共空间的建构。企业数据的权益保护模式有利于实现激励与利用的平衡,但也因权益保护的模糊性及利益衡量的复杂性使其呈现捉摸不定的表象,实践中更应当贯彻有限保护理念,妥善把握企业数据保护的边界。谈及企业数据的赋权,不可忽视的现实是企业可通过技术手段实现对数据的控制,即便不对其赋予所有权,数据仍能依靠市场完成交易和利用,因此创设财产权并不是关键性问题,而如何在数据控制的情况下促进访问和获取,使更多的人从中获益,才是制度建设的未来方向。在此意义上,反垄断法开放数据的条件及数据访问权的制度设计,值得作更进一步的深入研究。