周清华,万丰阁

(1.大连海事大学法学院,辽宁大连 116026;2.中国政法大学数据法治研究院,北京 100088)

随着近几年数字经济的全面发展,人工智能、区块链、云计算、5G等数字技术应用呈现井喷式爆发性增长,呈现出跨行业的泛式应用现象,并与传统的实体经济高度融合,使得一切事物变得可视化、流程化、数据化。随着数据产业不断升级,数据的价值不断凸显,数据财产已然成为重要的生产要素。自党的十九届四中全会通过《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》以来,数据便作为与劳动、资本、土地、知识、技术、管理并列的主要生产要素之一,在整个经济过程中发挥着必不可少的作用。2020年,《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》发布,该意见明确指出要对包括数据在内的生产要素改革并完善要素市场化配置体系。

数据的流通可大致分为三个阶段,分别为:从终端用户到企业以及企业与企业间进行数据流通的第一阶段;数据从终端用户与企业流通到公职部门的第二阶段;公职部门将数据加以必要整合后形成公共数据并再次流通回市场的第三阶段。上述三大阶段的法律关系彼此独立存在,权利义务并不能有效衔接。现行法律体系主要以部门法对数据法律问题进行规制,存在彼此隔离且未有效整合的现象。据此,笔者以现有制度为基础,以问题为导向,从控制与管理的视角构建以行为规制为主导兼具产权基本框架的数据产权。

一、中国数据立法(1)此处的数据立法仅指《中华人民共和国数据安全法》(简称《数据安全法》)与《中华人民共和国个人信息保护法》(简称《个人信息保护法》)。诚然,《中华人民共和国反不正当竞争法》(简称《反不正当竞争法》)也存在“网络专条”对扰乱市场秩序、破坏市场结构的不正当竞争行为加以规制,然而,其属于在现有部门法的基础上向网络与数据问题进行延伸,并不属于本部分所讨论的数据立法。对数据财产权益保护的缺失

现阶段,中国直接对数据加以规制的的立法是《数据安全法》与《个人信息保护法》。值得肯定的是,《数据安全法》为数据的开发利用提供了基础的安全保障。然而,该法以一种较为宏观的视角对数据的开发利用进行必要的规制,其关注的重点仍是数据安全。对于数据权利与数据权益等问题,该法以较为原则的方式,在第7条加以规定,即在数据的开发利用活动中,该法保障各个数据主体的合法权益。《个人信息保护法》是中国第一部以个人信息权益为主要保护对象的法律。该法在一定程度上对个人数据的保护有一定的借鉴意义,但对于数据的具体开发与利用等方面的规制,该法仍然具有其自身的局限性。

《数据安全法》与《个人信息保护法》均是以义务范式的行为规制为主,通过对数据与信息处理者附加一定的义务与责任来对数据与个人信息加以保护。以个人信息的处理为例,《个人信息保护法》在处理原则上要求信息处理主体在处理个人信息时需遵循合法、正当、必要与诚信原则,且《个人信息保护法》在第五章以专章的形式规定了包括安全管理、合规审计、信息泄露补救以及个人信息保护等义务。在整体调节上,上述两部法律偏向于对数据人格权益的保护,缺少一定的赋权模式,无法对各个数据与信息主体的权利进行平衡。此外,在数据的开发利用等方面,上述两部法律也缺少权利范式的调节与规制。

《数据安全法》与《个人信息保护法》虽然为数据的开发与利用提供了安全保障,但并没有对数据的权利以及相关数据主体所应享有的权利进行明确规定。在数据财产权益方面,虽然《中华人民共和国民法典》(简称《民法典》)在总则部分第127条设立了要对数据与网络虚拟财产进行保护的基本原则,但数据与网络虚拟财产之间具有较大的差别,且《民法典》仅表达了对数据与虚拟财产的保护态度,然而对具体以何种方式保护,是否通过赋权模式对数据及相关主体的数据权利进行保护等问题均未提及。

现阶段中国数据相关立法对于数据财产权益的保护力度十分有限,无法实际解决数据在具体的开发利用中所涉及的数据与数据权利归属等问题。作为新型生产要素,数据产权需要被法律明确界定,并明确相关数据权利,更为有效地保护各个数据主体,促进数据的开发利用,进而提升数据经济的高质量发展。

二、产权规制法与行为规制法下数据保护的片面性

现阶段,各国普遍选取产权规制法与行为规制法对数据加以保护。在产权规制法方面,主要通过现存产权制度向数据不断延伸,如利用知识产权对数据加以保护。在行为规制法方面,通常利用《反不正当竞争法》对数据及相关行为加以规制。无论是产权规制法还是行为规制法,其均属于传统部门法对数据问题的有限延伸,并不直接涉及数据及相关权利义务。具体而言,产权规制法所保护的客体并不是数据,其所保护的是以数据为载体并通过数字化进行传输和处理的著作、专利等知识产权。就行为规制法而言,以《反不正当竞争法》为例,该法所针对的客体也不是数据,其真正保护的仍是以数据为载体并通过数字化加以表现的商业秘密。

据此,一个不可回避的问题是,信息、数据与数字之间的关系到底为何。首先,数据是信息的载体;其次,数字是数据的传输和处理的方式。从信息到数据以及经历整个数字化的进程后,作为载体的数据在相关性与关联性的聚合上发生了更为关键的作用。随着数据量呈几何式增长,经过数字化的数据的价值开始演变。“承载信息的数据作为生产要素融入并赋能生产、分配、流通、消费各个经济环节,并提升经济效率。”(2)时建中:《数据概念的解构与数据法律制度的构建——兼论数据法学的学科内涵与体系》,载《中外法学》2023年第1期,第27页。数据的意义在于流通与使用,并非单纯作为信息的载体而进行静态的存储与放置。传统的产权形式从根本上阻碍了数据价值提升与衍化。若不考虑数据流通与价值衍化等因素,产权制度的最大弊端便是无法有效地对具有无形性、非竞争性与非排他性的数据加以规制。

(一)产权规制法(3)本部分所提及的产权规制法是中国法律语境下的产权而非西方经济学语境下的产权。下的数据保护

产权在经济学与法学语境下具有不同的含义。在经济学语境下,产权的概念来源于西方新制度经济学学派中的“property rights”。产权的核心功能也是对资源加以有效配置并以可预期的方式调整产出。(4)参见童楠楠、窦悦、刘钊因:《中国特色数据要素产权制度体系构建研究》,载《电子政务》2022年第2期,第12-13页。产权的本意并不等同于所有权,其更加类似于一种涵盖权利与义务并对社会关系加以规制与调整的集合。本质上讲,产权其实是自然人或法人及其他组织所具有的能力,该种能力也是调整社会关系的主要工具。西方经济学语境下的产权也可用一个较为抽象的概念加以概括,即减少个人或社会成本的偏差机制。整体而言,西方经济学下的产权更加体现为一种以控制与管理为核心的行为主导模式,对相关资源加以配置与优化。

在法学语境下,产权的概念较为清晰。中国法学界直接认为产权的本质是物权或者所有权。(5)参见程承坪:《所有权、财产权及产权概念辨析——兼论马克思所有制理论与现代产权理论的异同》,载《社会科学辑刊》2007年第1期,第90-91页。此外仍有部分学者认为产权是以所有权为主导的权利总和,其包含了物权、债权以及基于物权与债权所衍生的权利。中国经济学界对产权的定义也局限于财产权或所有权。中国法学界与经济学界对产权的定义和理解与西方经济学语境下的产权概念存在本质区别。(6)参见冉昊:《法经济学中的“财产权”怎么了?——一个民法学人的困惑》,载《华东政法大学学报》2015年第2期,第62-64页。无论是在经济学语境下还是法学语境下,中国均将产权局限于物权或所有权,而物权与所有权的特别之处便是强排他性,这与通过流通、共享等方式进行价值衍化的数据经济并不相容。

现今,国内外利用产权对数据加以保护主要集中于知识产权领域。诚然,知识产权所针对的客体在无形性方面与数据形成表面契合。在法律制度的构建上,知识产权是一种典型的不以有体物为媒介,通过独立于物权与债权的形式让相关权利人对其经济利益加以主张的权利。(7)参见梅夏英:《两大法系财产权理论和立法构造的历史考察及比较》,载《私法》2001年第1期,第181页。然而实践中,知识产权与对数据的保护在实质上无法契合。大部分数据难以满足受著作权所保护的客体独创性要求,对于数据汇编作品的独创性认定也较为困难。与较为依赖人工编排的早期汇编作品相比,现今数据与数据集合的收集与编排大多依靠于已形成高度自动化指令的算法,故大部分数据难以满足在内容选择和编排上的高独创性要求。就专利权而言,与数据相关的专利包括且不限于《专利审查指南》第九章中所认定的数字计算机设备、数字处理设备或方法、专门适用特定经营的系统或方法、程序控制系统等。《专利审查指南》主要针对的仍是经由数字化后与计算机程序密切相关的专利发明,与作为生产要素的数据或是大数据之间存在本质区别。相关数据若想成为专利权的保护对象仍需较高的创造性。由此可见,知识产权所保护的客体的内涵与外延并没有发生本质变化,只不过是将保护范围延伸至以数据为载体,并通过数字化加工的具有一定独创性或创造性的智力成果。

国际上,较为典型的以知识产权对数据加以保护的法律文件是欧盟的《数据库指令》。除了对具有原创性的数据选择与汇编提供保护之外,《数据库指令》还规定了数据库的特殊权利保护。该指令采纳了排他性制度框架,通过著作权与特殊权利并行的模式对数据库加以保护。其中著作权保护模式针对的是具有原创性的数据库,而特殊权利针对的是为期15年的财产独占权并对非原创性数据库进行保护。(8)Jens L. Gaster, The New EU Directive Concerning the Legal Protection of Databases, Fordham International Law Journal, Vol.20:1129, p.1147(1996).《数据库指令》所保护的并不是数据本身,其保护的是对相关数据库的投资,进而对投资行为达到激励效果。(9)参见龙卫球:《再论企业数据保护的财产权化路径》,载《东方法学》2018年第3期,第54-55页。在《数据库指令》被不断泛化应用后,该指令所提供的保护模式转变为只要不是无关紧要的,且不会被任意人做到的投资,则相关数据库的投资可以受到保护。在保护模式上,该指令具有典型的“排他权赋予”和“排他权限制”的二元结构。权利人可以主动通过合同对相关权利进行转让与授予。同时,权利人可以拒绝第三人对数据库的全部或主要部分进行提取或利用。《数据库指令》自1996年颁布至今,其著作权与特殊权利并行的保护模式并没有产生较为良好的效果,(10)参见孙远钊:《美国与欧盟对数据保护的梳理与参考》,载《政法论丛》2021年第4期,第100页。甚至引发了不利于数据流通与共享的后果,损害了欧盟成员国的出版和数据库产业。(11)Peter K. Yu, Data Producer’s Right and the Protection of Machine-generated Data, Tulane Law Review, Vol.93:859, p.880(2019).欧盟于2019年又颁布了《单一数字版权指令》,但并没有对1996年的《数据库指令》加以更正,反而更多地体现了对先前指令的支持。(12)Directive (EU) 2019/790 of the European Parliament and of the Council of 17 April 2019 on Copyright and Related Rights in the Digital Single Market and Amending Directives 96/9 /EC and 2001/29/EC, EUR-Lex(17 May 2019), https://eur-lex.europa.eu/eli/dir/2019/790/oj.

在用既存产权制度对数据加以保护方面,无论是中国还是欧盟情况都不容乐观。产权的僵硬制度致使数据无法被有效利用。目前数据已然成为不容忽视的生产要素,与通过数字化技术手段而兴起的数字经济相比,当下更是以数据生产要素为主导的数据经济时代。现阶段,欧盟的《数据法》(DataAct)与《数据治理法》(DataGovernanceAct)中提及了数据经济这一概念,上述两部法案也是欧盟继《数字市场法》(DigitalMarketAct)后对数据加以直接规制的最新法律文件。在《数据治理法》中共出现11次数据经济,在《数据法》中分别出现15次数据经济与5次数字经济。可见数字经济与数据经济的内涵与外延并不统一。其中《数据法》明确表示,数字资产是指顾客有权使用的数字形式的要素,包括数据、应用程序、虚拟机等虚拟化技术的其他表现形式。数据经济衡量的是数据市场对经济的整体影响,即数据作为从原始数据衍生的产品或服务在市场上进行交换,它涉及由数字技术实现数据的生成、收集、存储、处理、分发、分析、细化、交付和开发。

(二)行为规制法下的数据保护

现阶段各国均倾向于使用行为规制法对数据加以必要保护,且以产权规制法为代表的知识产权学者也存在向行为规制法转向的迹象,即赋予数据收集者限制第三方主体利用其所收集的数据的有限排他权利。(13)参见崔国斌:《公开数据集合法律保护的客体要件》,载《知识产权》2022年第4期,第20页。

与产权规制法相比,行为规制法并不过度在意数据权利的归属。但与产权规制法类似,其也是基于现有的部门法框架对数据加以保护。在立法层面上,中国没有专门规制数据行为的立法文件。现阶段国内的大部分行为规制还是要依托于《民法典》(14)主要是合同规制法与侵权规制法。与《反不正当竞争法》。

首先,以合同规制法为例,合同保护属于典型的行为主义保护模式。然而,在数据权利及权属并不明晰的情况下,合同规制法所提供的保护模式具有其自身的局限性,如无法有效判断相关数据授权行为是否真实有效。《民法典》下的合同规制法需要依托于较为健全的市场机制。无论是终端用户向企业的数据流通,还是企业与企业间的数据交易或流转,均没有一个合理有效的交易机制。对于前者,基于网络效应,既存的生产经营者随着其收集数据的积累,市场力量越来越强。市场力量和终端用户对数据的处理能力等均造成了企业与个人间的实质不对等。传统合同法理论下的允诺换允诺,以及一些基础且必要的议价能力在数据经济下正不断流失。此外,合同发挥作用的基本原理是在产权制度相对完善的基础上对交易行为提供正当且必要的保护机制。在整体调控上,既存的合同法原理并不能完全适合当下的数据经济与相关市场。合同制度可以辅助数据权的行使,但在数据权利并不明晰的情况下,其所能发挥的作用十分有限。(15)参见钱子瑜:《论数据财产权的构建》,载《法学家》2021年第6期,第77页。对于后者,在数据权利缺失及权属不明的情况下,任何交易或授权行为均会在某种程度上被认定为“无权处理”或“无权处分”。(16)造成“无权处分”的原因是目前中国依然没有相关立法文件对数据的权属进行必要说明。

其次,以侵权规制法为例,其不受合同相对性的影响,可对合同之外的第三方主体的行为加以有效规制。然而,就网络安全、数据安全以及个人信息的保护,中国均通过专门立法的形式对上述问题加以规制,故侵权规制法本身的发挥空间十分有限。当前,《民法典》对数据所采取的是财产利益保护主义(17)具体而言,《民法典》通过第127条对数据与网络虚拟财产进行保护,然而该条仅在宏观层面确立了数据具有财产属性并独立于物权与知识产权等既有产权体系。而非财产权利保护主义,(18)参见王利民:《数据的民法保护》,载中国人民大学未来法治研究院网站2023年3月16日,http://lti.ruc.edu.cn/sy/xsgd/sjygrys_/6ff19725538f42d9b572f7ca7c9393b9.htm。其中财产利益保护模式在私法上属于“法益保护”,而财产权利保护主义属于“权利保护”。与“权利保护”相比,“权益保护”所针对的不是法定的及类型化后的权利,且在法律适用与损害界定上均存在差别。(19)参见朱虎:《侵权法中的法益区分保护:思想与技术》,载《比较法研究》2015年第5期,第44-48页。据此,合同规制法与侵权规制法均对数据权利具有较强的依赖性。然而现阶段,并没有任何法律规范对数据产权及数据权利进行界定。

最后,就反不正当竞争而言,反不正当竞争的规制路径并不以产权为必要前提。在无法基于明确的权利归属而得到合同规制法与侵权规制法的保护时,反不正当竞争可以提供渐进且场景化的保护。(20)参见孙晋、冯涛:《数字时代数据抓取类不正当竞争纠纷的司法裁判检视》,载《法律适用》2022年第6期,第112-120页。以《反不正当竞争法》适用范围最大且最具灵活性的一般条款(第2条)为例,其调控范围仍局限于市场竞争方面,将维护市场秩序与保护市场结构作为第一顺位,其所规制的行为局限于对相关生产经营者造成实质性阻碍的情况。《反不正当竞争法》在适用范围上具有局限性,在发生实际损害后方能启动救济。除了一般条款部分,对于尚未公开且具有一定商业价值的数据还可通过商业秘密加以保护。(21)参见《反不正当竞争法》第9条。然而,商业秘密保护的逻辑是基于秘密性、保密性和价值性三个要件。对于数据而言,以商业秘密进行保护的充分必要条件,是相关数据未被其所涉领域的人员普遍知悉、该数据已被采取相当的保护措施、该数据能够为其权利人带来优势。据此,商业秘密保护理论的适用基础是数据需要符合商业秘密三性。若数据的收集来源较为广泛,那么大部分数据是无法满足秘密性要件的。单就价值性而言,目前并没有较为健全的评估数据价值的方法,在具体的司法裁判上缺乏稳定性。

国际上,美国倾向于利用行为规制法对数据及相关权益加以保护。美国在其1986年出台的《计算机欺诈与滥用法》(ComputerFrandandAbuseAct,简称CFAA)中通过侵权规制法的形式对未经授权或超过权限访问计算机等不当行为加以规制。(22)参见丁晓东:《论企业数据权益的法律保护——基于数据法律性质的分析》,载《法律科学(西北政法大学学报)》2020年第2期,第92页。CFAA早期将未经授权或超过权限访问计算机等行为认定为犯罪行为。然而,在后续的“Craigslistv.Taps案”(23)Craigslist, Inc. v. 3Taps, Inc., 942 F. Supp. 2d 962 (N.D. Cal. 2013).与“Facebookv.PowerVentures案”(24)Facebook, Inc. v. Power Ventures, Inc., et al., 844 F.3d 1058 (9th Cir. 2016).中,法院又否定了当事人通过“使用条款”来援引CFAA下的未经授权条款,认为在有禁令或技术手段的情况下才能构成CFAA下所说明的未经授权。2017年,在“hiQv.LinkedIn案”(25)hiQLabs, Inc. v. LinkedIn Corp., 273 F. Supp.3d 1099 (N.D. Cal. 2017).中,美国法院再次确认利用爬虫软件对公开信息的爬取并不违反CFAA。现今美国法院更是认为违反爬虫协议(robots协议)的行为并不必然属于违法行为,仅当不当行为违反了相关的行业规则或造成了具体的公共危害时才属于CFAA所禁止的行为。纵观近几年美国的司法判例可以得出,CFAA在具体的司法适用上被不断地推翻。

德国相关学者也主张,应在保证数据流通的基础上,通过限制数据权利人行使绝对排他性要求来间接规制数据权利的行使与权利归属,(26)现阶段,德国的司法实践是将公开数据与个人数据区分开来,并将商业数据置于《德国著作权法》第19条与第97条下进行保护。该种保护模式也不是严格意义上的著作权保护,而是以网络传播权的形式对相关数据加以保护,并对相关不当行为进行侵权认定。并促进整个数据经济的市场竞争。(27)参见吴桂德:《商业数据作为知识产权客体的考察与保护》,载《知识产权》2022年第7期,第96页。日本主要利用《日本反不正当竞争法》以商业秘密理论对数据的利用与使用加以行为规制。(28)参见刘影、眭纪刚:《日本大数据立法增设“限定提供数据”条款及其对我国的启示》,载《知识产权》2019年第4期,第93-95页。欧盟在历经近30年的“数据保护”实践后,也逐步从产权规制法转变为以《数据法》为代表的行为规制法。具体而言,《数据法》通过构建数据访问权,以既非商业秘密也非传统产权的角度对非公开的数据加以保护与规制。(29)参见司马航:《欧盟数据财产权的制度选择和经验借鉴——以欧盟〈数据法〉草案切入》,载《德国研究》2022年第3期,第114-117页。

与产权规制法相比,行为规制法类似于一种现行有效的法律集合,其更加注重效率,具有较强的功利主义色彩。但与产权规制法一样,行为规制法同样存在是保护数据还是保护以数据为载体、经数字化后的商业秘密等问题。现今大部分的行为规制法均属于义务规范模式,且几乎均以损害结果发生为实质性要件。如《反不正当竞争法》是以阻碍市场竞争为实质性判断要件,且具体的损害赔偿问题仍需要转承至《民法典》中侵权责任编的相关规定。(30)参见潘重阳:《解释论视角下的侵害企业数据权益损害赔偿》,载《比较法研究》2022年第4期,第48页。就不当行为而言,也因商业秘密保护本身所存在的秘密性、保密性与价值性要件而无法有效针对数据问题。即使在《反不正当竞争法》中增设“商业数据专条”来加强数据化财产的竞争保护,(31)参见孔祥俊:《论反不正当竞争法“商业数据专条”的建构——落实中央关于数据产权制度顶层设计的一种方案》,载《东方法学》2022年第5期,第27页。其也无法直接解决现阶段的数据问题。该种专条的核心仍是解决通过数字化并以数据作为载体加工的商业秘密所引发的法律纠纷。将上述问题置于具体的司法实践中,便会转变为因对自由裁量权的过度依赖而导致的个案个判现象,这对司法稳定性与维护长期正义是十分不利的。

三、以控制与管理为主导的数据产权构建

无论是产权规制法还是行为规制法,其均是对各个既有领域的数据问题进行分段式研究,并不能对数据领域及数据流通三大阶段进行有机统一的调节与规制。据此,数据产权亟需被确立以便适应数据经济的高质量发展需求。构建数据产权的目的也是为了更好地规制数据行为,确定行为起点与行为边界,并明晰数据行为所引发的法律关系。

(一)数据产权的界定

数据作为新型生产要素的特性体现为:首先,数据具有无形性,即无法通过实体占有而进行支配是其区别于传统的有形财产最为重要的特征。其次,数据的可复制性是其区别于有形财产的第二大特征。在可复制性的加持下,数据的开发与利用效率远大于有形财产,这加大了数据的保护难度。再次,数据的非竞争性主要指与传统资源或生产要素相比,数据与使用次数之间不存在反比例关系,即数据不会如传统财产一般随着使用次数的增加而损耗自身产能。相反,随着使用次数增加,数据之间的相关性会被更多地挖掘并增加数据自身的经济价值。最后,数据的非排他性主要是指同一数据可被多个主体同时开发利用。上述四性共同成就了数据作为一个新生产要素在市场中的经济价值。

基于数据所具有的特性,对于数据产权的构建需从可被多主体同时开发利用这一特点出发,以构建一种具有“最低限度的必要排他性”权利。之所以保留一定的排他性,是出于维护经济秩序与促进良性竞争等因素的考量。若完全摒弃排他性,则会导致市场上的生产经营者对数据无序掠夺并造成市场结构的损毁。

理论上讲,产权规制法与行为规制法并不是一个非此即彼的关系。行为的实施依赖于权利,权利的获取又一定程度上依赖于产权制度。因此,不能因为数据所特有的无形性、可复制性、非竞争性、非排他性等特点而直接抹杀产权在规制数据方面的作用。同时,行为规制的方式仍需要以产权的框架为基础,若无任何权利基础则无法对相应行为进行合理有效的规制。故构建新型数据产权便是重点研究的对象。

诚然,目前中国的产权规制法并不能适配于数据的开发与利用,然而数据的发展仍离不开产权这一基本框架。现阶段中国大部分产权规制法均集中于对“物”的规制而忽略了行为上的考量,故笔者以数据本身与数据行为作为切入点,通过引入数据控制权与数据管理权对现阶段的产权制度进行改良,即以行为规制为主导并以产权为基本框架来构筑数据产权。引入数据控制权与数据管理权主要基于数据的使用、开发与利用等需求。

现阶段所有权的四项权能无法完美适配于数据这一无形之物,而强行将所有权这一强排他性的权利安置于数据之上也无法有效调整数据行为。究其原因,具体如下。

其一,基于数据自身的特性,数据及数据产权在客观上不存在且不应该具有传统所有权具有的排他性。具体而言,与所有权中的占有权能相比,数据在物理层面上无法以对有形物的方式进行排他性支配。(32)参见李爱君:《数据权利属性与法律特征》,载《东方法学》2018年第3期,第72页。数据基于非排他性可以同时被多个主体开发利用,且其自身的经济价值并没有因被无限制性使用而降低。与之相反,数据的价值反而因聚合与整合的过程而不断增加,而聚合与整合的过程就是数据被不断使用的过程。据此,数据无法通过占有的模式被套用于既有的所有权体系下。

其二,通过所有权对数据进行确权与保护无法满足数据开发利用以及价值提升的切实需求。数据虽然不具备独创性和创新性,但其(尤其是数据集合)却具有关联性、针对性与聚合性,而这些特性均需要通过非排他性的重复使用才能获得。如英国科学院2018年在有关数据所有权与控制的研讨中提出,数据并不像传统的有形财产可通过排他性占有进行保护,“数据所有权”会给数据的流通、开发与使用带来较大的困难与挑战。(33)Anna Bradshaw, Data Ownership, Rights and Controls: Reaching a Common Understanding—Discussions at a British Academy,Policy Commons(11 December 2018), https://policycommons.net/artifacts/3446884/data-ownership-rights-and-controls/4247021.相应地,德国也同样不支持以现有的所有权制度对数据加以保护。(34)Josef Drexl &Reto M. Hilty, et al., Data Ownership and Access to Data-Position Statement of the Max Planck Institute for Innovation and Competition of 16 August 2016 on the Current European Debate, SSRN(9 September 2016), https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2833165.基于此,数据产权的构建需要尽可能降低排他性使用的限度。但是,重复利用对经济价值的有效提升并不代表可以完全不考虑排他性抑或是限制性所独具的功能,因为维持市场运行的稳定、保障市场结构以及维持有效竞争均需要一定的排他与限制。

在控制与管理双重权利架构模式下能够有效解决数据归属问题,即数据归属于控制权主体,相应的管理权主体只负责对数据实施相关管理行为。其中,数据控制权与所有权较为相似,对数据控制权的构建是以所有权为逻辑起点。因数据本身具有无形性、可复制性、非竞争性、非排他性等特征,笔者在构建数据控制权的过程中有意降低了具有强排他性的占有权能,但同时保留“最低限度的必要排他性”以保障正常的经济秩序,尤其是在同一数据被多主体同时利用的情况下。

笔者以终端用户到企业这一阶段为切入点对数据产权进行架构。(35)因大部分的法律逻辑与相关权利授予均主要发生在第一阶段,而第二、三阶段更加关注公共利益等因素,故以此为切入点。在架构上通过控制与管理二分法(36)《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称《数据二十条》)通过三权分置的方式呈现了数据资源持有权、数据加工使用权与数据产品经营权。控制与管理二分法能够包含上述三权。对数据的流通进行模型建设,来初步论证在以控制与管理主导的模式下,数据控制权与数据管理权如何在多主体间进行配置以保障数据经济的有序与高效发展。

(二)数据产权的主体、客体与内容

笔者所构建的数据产权主要基于现实生产经营的需求,从控制与管理的角度出发进行架构。数据产权具体架构模型如图1所示。

图1 数据产权架构

1.数据产权客体

数据产权的客体是数据,虽然数据具有无形性、可复制性、非竞争性、非排他性,但其仍具有一定的可控制性。以《数据安全法》为例,该法将数据定义为通过电子或其他技术手段对信息加以记录的方式。(37)参见《数据安全法》第3条。据此,无论是自然人、法人、公共部门或是其他组织机构,均可通过技术手段对数据实现包括存储、加工在内的必要控制。不同于对传统有形财产的支配,对具有生产要素与经济价值的数据的控制更类似于对一种“资源”的控制。同时基于数据经济的独特增值方式,该种控制不能具有强排他性。

数据控制权被创制出来的意义具有双重性。其一便是最大化地减少传统所有权所具有的强排他性。其二,出于对经济秩序与市场结构的保护,从交易安全的角度出发,通过控制权的形式对数据与相关数据主体以及权利内容加以明确,通过保留必要的排他性以保障有序的数据流通及平衡数据资源的利用与享有,进而带动社会财富的整体增长。(38)参见冉昊:《财产权的历史变迁》,载《中外法学》2018年第2期,第382页。

2.数据产权主体

现阶段并没有相关的立法文件对数据主体进行明确有效的分类。学理上,存在以数据内容与数据行为为主导的多种数据主体分类方法。

其一,对于以数据内容为基础的数据主体可以理解为“关于谁的数据”,即相关数据所展示的信息主要的针对主体。对于该种数据主体,因数据的主要内容与其自身的信息具有十分强烈的相关性,相关数据主体对自身的信息同样具有较强的控制力。以数据内容为基础的数据主体应是数据控制主体,就数据内容相关性而言,不会有任何主体更有权利对该数据加以控制。同时,单纯通过事实上的控制与管理等情况来确定数据控制主体,进而决定数据控制权的归属并不合理。(39)本质上讲,数据控制主体与数据控制权的归属不能混为一谈。然而,现阶段的一个较为普遍的现象是谁对数据进行了实际的管领与控制,谁便是该数据的控制者。法律上虽然没有明确数据控制权的内涵与外延,但实际上数据控制者却实施了相关权利。这种现象不应被认可。诚然,事实上的控制与管理,在一定程度上是较为良好的判断数据控制主体的参考。

其二,对于以数据行为为基础的数据主体可以理解为“由谁管理的数据”,即通过对数据的加工、存储、传输等行为活动,在数据主体层面产生了数据加工者、数据存储者、数据传输者等。上述行为活动均可以通过一种更为宽泛的概念加以描述,即数据管理行为。实施数据管理行为的主体便是数据管理主体。从本质上讲,享有数据控制权的主体与享有数据管理权的主体(40)此处所指的管理是一个较为宽泛的概念,涉及数据的收集、存储、使用、加工、传输、提供、公开。之间并不是非此即彼的二元对立关系。在某一主体管理与自身相关的数据时,其同时享有数据控制权与数据管理权。

3.以控制与管理为主导的数据产权内容

正如在数据权利主体部分所述,以内容与行为为分界,存在着控制与管理的界分。因此,在数据产权内容上,将数据产权细分为数据控制权与数据管理权。

数据管理权属于一种较为宽泛的概念,即只要不是法律所禁止的,任何对数据实施开发利用的权利均可被涵盖于数据管理权内。具体而言,其主要包括实施《数据安全法》所列明的收集、存储、使用、加工、传输、提供、公开数据等权利。数据的使用是提升数据价值的主要方式,且该种价值的创造或提升大体基于具体的劳动行为,其背后的逻辑是马克思主义政治经济学。

数据控制权的逻辑基础虽然来源于主体层面的数据控制者,但是并不能完全依据主体身份对数据控制权进行权属判定,因为不具有主体相关性的数据同样面临着数据控制权归属问题。数据控制权在具体的表现形式上与传统的所有权有一定的相似之处,只不过出于数据经济发展的需要而移除了所有权下的占有权能。同时,基于经济秩序与市场结构的需求,必要的排他性仍需被保留。对某个数据进行开发利用并不能直接表明实施开发利用行为的主体对某一数据具有控制权。原因在于:其一,基于数据自身的特性,同一数据可在同一时间段被不同主体加以开发利用。其二,根据前述权利逻辑,开发利用行为仅是管理行为,相关主体不能仅通过实施管理行为来证明自身对某一数据具有控制权。

对于无法显示内容主体的数据,仍需要运用法律拟制的手段确保数据控制权的归属。现阶段,不具有主体相关性的数据主要是经过匿名化(41)此处所指的匿名化并不局限于《个人信息保护法》所列明的针对个人信息的匿名化,消除企业、其他组织机构的主体相关性同样属于此处提及的匿名化。后的衍生数据,以及本身不具有主体相关性的原始数据。经匿名化处理的衍生数据,可以理解为数据管理主体实施了切断主体相关性行为。对于该种数据,应采取法律拟制的方法将数据控制权交予实施匿名化或其他切断主体相关性的数据管理主体。对于本身不具有主体相关性的原始数据,应当将该种数据的控制权赋予生产或创造该数据的主体。对于前者,将数据控制权如此分配的理论依据属于先占理论。相关数据被切断主体相关性后,便属于无主物的范畴。在传统民法理论体系下,对于无主物的原始获取可以取得该物的所有权。诚然《民法典》并没有采纳先占理论,但在数据权利不清且数据权属不明的情况下,可适当借鉴该理论。(42)参见丁晓东:《新型数据财产的行为主义保护:基于财产权理论的分析》,载《法学杂志》2023年第2期,第57页。将先占理论应用于切断主体相关性的数据上能够较为有效地确定数据控制权的归属,并以此保障经济秩序、市场结构以及产能配置。对于后者,其理论逻辑源于洛克的劳动价值理论,该理论认为劳动可以为具有排他性的权利提供正当性的基础,即生产无主体相关性的原始数据本身就是取得该数据控制权最好的证明。

据此,判断数据控制权的归属存在一个二重递进的逻辑过程,涉及主体相关性与行为相关性的双重判断。首先,判断数据是否具有主体相关性,即对相关数据是关于谁的数据进行判定。若相关数据能够体现出其所记载的信息主体,则数据控制权的归属便能被直接判定。其次,若相关数据不具有主体相关性,则需先初步判断该种数据的类型。若其属于经匿名化等处理行为而被切断了主体相关性的衍生数据,则该数据控制权的归属判定应当按照先占理论,即谁先实施了匿名化行为,谁便具有对该数据的控制权。若相关数据本身不具备主体相关性,则数据控制权的归属判定应当依据劳动价值理论,(43)参见冯晓青:《知识产权法哲学》,中国人民公安大学出版社2003年版,第3-5页。即谁生产了该数据,谁便享有该数据的控制权。劳动理论与先占理论仅是在数据内容相关主体不清晰的情况下,通过事实上对相关数据的管理与控制等外在表现来判断数据控制权归属的方式。同时,数据控制权的归属不能完全依赖于先占理论或劳动价值理论,否则会造成经济秩序的崩塌与市场结构的损毁。不宜以实际控制与管理情况来判断数据控制权的归属,因为该种判断方式不仅损害了数据内容相关主体的合法权利,还刺激了市场中的生产经营者抢夺数据资源,即通过将数据划归于自身实际管理控制之下而获得数据控制权,并最终导致市场竞争扭曲。

无论是先占理论还是劳动价值理论,均不能完全体现数据控制权的外部公示性。在数据经济下,数据控制权的创设既是为了减少所有权所具有的强排他性,也是为了保留必要的排他性以保障经济秩序。在能够体现数据所针对的主体时,主体身份的公示性自然而然产生了足以保障经济秩序的必要排他性。然而,当数据无法表明其所记载的内容或信息所针对的主体时,该种公示性便随之消失。据此,对经匿名化处理的数据与本身不具备主体相关性的数据进行登记,进而产生外部效力,是保留必要排他性的充分必要手段。在数据经济下,匿名化行为与不具有主体相关性的原始数据生产行为均因数字自动化技术的提升而愈发趋于同质化。故数据控制权所体现的最低必要排他性仅是针对无权爬取、秘密窃取等不当行为,不能针对在取得相关数据控制权后而排除他人对相关数据实施同样的匿名化行为,或是限制他人生产或创造不具有主体相关性的原始数据。

(三)数据控制权与数据管理权之间的关系

笔者对数据产权的构建是以行为规制为主导,以产权制度为框架,并聚焦于治理数据与解决数据所涉及的法律问题。其中数据管理权主要针对《数据安全法》所提及的七种行为,数据控制权主要提供“最低限度的必要排他性”,以保障市场秩序与经济发展。数据控制权是数据管理权的基础,数据管理主体实施《数据安全法》所明确的七种行为均需被具有数据控制权的主体授权。若无数据控制权,则数据管理权无法合法实施。在未取得数据控制主体授权的情况下,即使相关主体事实上实施了数据管理行为,其行为的合法性与有效性也是存疑的。

在内部性上,数据控制权是数据管理权得以实施的基础。数据管理权所对应的七种行为,是数据及数据控制权能够实现其价值的外部表现。(44)数据的价值在于使用,若不行使《数据安全法》所规定的七种行为则无法对数据加以聚合,不具有聚合性的数据很大程度上不会存在较高的经济价值。数据控制权更多体现于数据在静态上的实质归属,而数据管理权更多体现于动态上数据行为的具体实施,二者共同构成了一个有机统一的数据产权。在外部性上,以控制与管理为主导的数据产权能够有效调整前文所述的产权规制法与行为规制法的隔阂,即行为的规制需要以一定的权利为基础。这种以管理权为主要外在表现形式,通过控制权提供一定的权利公示性,进而达到“最低限度的必要排他性”,是一种能够维护经济秩序、保护市场结构,并促进数据经济高质量发展的数据产权。

笔者主要基于现实的市场情况,将数据产权分为数据控制权与数据管理权。以终端用户到企业的数据流通为例,大部分终端用户无法凭借自身能力在具有数据控制权的基础上直接实施数据管理行为,其仅能通过授权的形式将数据管理权授权给提供数据服务的主体,其中数据控制权便是实施对外授权的基石。在企业与企业之间,大部分企业基于生产经营的需要,均会通过保留数据控制权的形式,将数据管理权授权给他人使用,并基于合同向实施数据管理行为的主体支付一定的服务费用。简而言之,造成数据控制权与数据管理权分离的原因主要有两点:其一,数据控制主体与数据管理主体之间存在技术能力的差异,需要通过授权的形式来对数据进行利用。其二,现阶段数据已然成为不可多得的生产要素,具有巨大的经济价值。所有生产经营者均想以所有权的形式对其所收集的数据加以绝对排他性保护。据此,在数据流通方面,大部分生产经营者均会采取保留数据控制权的形式对数据管理权进行对外授权,而非直接对数据进行转让或交易。

诚然,数据控制权更加偏向于静态的主体归属,但其本质是对数据资源的使用与控制。数据控制权是为了实施数据管理行为,实现数据利用、数据处分以及数据经济价值开发的前提与基础。数据管理权更加偏向于动态的行为实施,且在实际的生产经营活动中,该权利通常由具有较高技术能力的主体代为实施。(45)尤其是针对个人数据,终端用户的数据管理行为能力普遍低于具有成熟的数据管理能力的企业或其他组织机构。二者之间的本质区别便是数据的管理权需完全在既有的法律框架下以及相关主体的授权范围内行使,而数据控制权并不依赖于以意思表示为主的法律行为。

数据控制权与数据管理权之间存在部分交叉,最为直接的体现是在数据的使用方面。数据控制权与数据管理权其实并不一定会分离,只有数据控制主体主动通过对外授权的形式将数据管理权授予他人时,(46)主要发生于相关数据控制主体无法对关于自身的数据加以管理或需要降低管理成本等情况下。才会出现数据控制权与数据管理权的分离。但是,将数据管理权进行对外授权的数据控制主体并没有丧失其数据控制权下对同一数据的使用权能。数据控制权本身便具有对数据的使用权能,其不以数据管理权的转移而丧失。此外,共同使用的现象不仅符合作为生产要素的数据的自身特性,也符合数据经济高质量发展的需求,更是数据所独具的非排他性的体现。对于数据控制者与数据管理者之间的使用方式、使用权限与使用边界等问题,需要以具体的授权协议或合同加以明晰,因合同而引发的纠纷自然地受到《民法典》合同编的调整。无论是数据控制主体对外授权数据管理权,还是数据管理主体实施相应的开发利用行为,均主要受到行为规制法的调整。

(四)数据的处分、收益与访问

在数据经济下,数据已然成为了不可忽视的生产要素,针对数据的处分、收益与访问问题,有必要进行明确。现有学者认为,应通过设立数据处分权与数据收益权对数据的处分与收益问题加以规制。(47)参见李爱君、夏菲:《论数据产权保护的制度路径》,载《法学杂志》2022年第5期,第20页。其中,数据处分权是对数据进行让渡的权利。数据收益权是基于对数据的处分或对数据实施《数据安全法》所提及的七种行为而产生的获取价值增益的权利。

数据的处分、基于处分或开发利用而产生收益均是数据控制权本身所具有的功能,应属于数据控制权下的权能而非独立于数据控制权的其他数据权利。首先,数据的处分仅能通过具有控制权的数据控制者加以实施,故数据的处分应当是数据控制权下所应有的功能。现阶段数据的收益一般是通过数据交易(转让)或者对数据进行加工而产生的经济效益。就数据交易而言,其属于数据处分的一种。该种情形下,数据的收益对数据的处分具有较强的依赖性,故其仍属于数据控制权下的一项权能。针对数据管理行为产生的收益,应当综合考虑经济秩序与市场结构等多个问题。若直接将数据收益建立在劳动价值理论上,则会引起无序的数据争夺,且变相架空了数据控制者对数据的控制力度。(48)尤其是在实施匿名化或其他切断主体相关性的情况下。数据的收益应当是数据控制权下的一项权能,具体的收益分配问题应当由数据控制者进行判断。如数据控制主体在将管理权对外授权时,通过协议的方式与数据管理主体协商约定数据收益分配的问题或直接支付数据管理费用,而不对数据收益进行分配。不应当直接通过劳动价值理论来默许实施数据管理行为的主体对其所管理的数据具有收益权。在数据经济下,劳动价值理论绝对不能在判断相关数据权利以及具体权能的归属中占据主导地位。

现今,大部分国家通过数据访问权的构建来促进数据的开发利用与流通共享。本质上讲,数据访问权的权利性质较为特殊,其不是对某个数据享有控制权或管理权的主体所享有的权利。相反,其是数据控制主体与数据管理主体之外的第三方主体所应享有的权利,即对不受其控制或管理的数据加以访问或接触的权利。其实,数据访问权便是对“最低限度的必要排他性”的最好解释。首先,在必要排他性上,通过对数据控制权的构建以及具体的归属判定逻辑确立了数据控制主体,并依据未经授权许可不得使用的逻辑来确保了基本的经济秩序与数据安全。其次,排他性的最低限度就是通过数据访问权加以体现的,即控制主体若无正当理由不得拒绝其他第三方主体对该数据的访问。当然,具体的正当性标准主要依据《数据安全法》《个人信息保护法》的规定,以及现行包括《民法典》《反不正当竞争法》《中华人民共和国著作权法》《中华人民共和国专利法》在内的具体要求和相应的司法实践。数据访问权并不是以控制与管理为主导的数据产权下的权利或权能,其更倾向于数据控制权这一具有“最低限度的必要排他性”权利所对应的义务,即访问权是非数据控制主体所享有的访问相关数据的权利,而该种权利同时对应于数据控制主体,并产生了非基于正当理由不得排除或妨碍第三方访问相关数据的义务。以所有权为例,所有权的义务主体是所有权人以外的其他第三方主体,这就是强排他性最为重要的表现形式之一。而数据访问权可以被认定为数据控制主体与数据管理主体所承担的不得以无正当性理由拒绝第三方主体访问其数据的义务。同时,数据管理权也具有相应的义务,即按照《数据安全法》与《个人信息保护法》所列明的义务与责任对数据实施开发利用等管理行为。

整体而言,数据控制权是数据管理权的基础,数据管理权是数据控制权的外在表现形式。对于数据产能的最大释放需要通过管理行为的实施方能达成。虽然实施切断主体相关性的数据管理行为可以在一定程度上改变数据控制权的归属,但是数据管理行为绝对不是断定数据控制权归属的充分必要条件。此外,数据控制权与数据管理权在权利内容上存在一定的交叉关系,但该种交叉关系并没有实质性冲突,均可通过现行的行为规制法进行调整。综上所述,笔者所构建的数据产权主要由数据控制权与数据管理权组成,其中数据控制权下又存在使用、处分与收益权能。数据管理权则是能够实施《数据安全法》所列明的七种数据行为的权利。

四、结语

笔者通过结合产权规制法与行为规制法,以行为规制法为主导,以产权为框架,以数据及其所涉问题为中心,对数据产权及数据控制权与数据管理权进行初步构建。与传统的所有权相比,数据控制权削弱了所有权中的占有权能,但保留了“最低限度的必要排他性”,以保障经济秩序的稳定与市场结构的完好。该种必要排他性主要表现在对相关权利的授权上,即非经数据控制主体的明确授权许可,任何其他第三方主体不得对数据实施开发利用等行为。最低排他性的体现需借助于数据访问权,即数据控制主体无正当理由不得拒绝其他第三方主体对其所控制的数据进行访问与接触。数据控制权是一种静态的权利归属状态表征,对于数据的开发利用更加依赖于《数据安全法》中所列明的七种数据行为,而能够实施七种数据行为的权利便是数据管理权。

从完整的数据产权上看,控制权的主要外在表现大部分要依赖于数据管理权的行使。基于技术能力差与实际的商事需求,数据产权主体均习惯于将数据管理权进行对外授权。在对外授权的规制上,主要依据赖于行为规制法下的合同规制。就整个数据管理权而言,该种权利的创设本就是依赖于数据行为的实施,故对于该权利的具体规制更需要依据现行的行为规制法。行为的逻辑起点是权利,任何无明确权利起点的行为在某种意义上均属于“无权处理”或“无权处分”。数据控制权的创设便是为数据管理权与具体的数据开发利用行为提供逻辑起点,这便是以产权为基本框架的意义所在。

综上所述,数据控制权是数据管理权的基础,数据管理权是数据控制权的外在表现形式,二者彼此依附,共同形成有机完整的数据产权。当然,对于具体问题的分析,仍然需要借助较为充实的行为规制法,即利用笔者所构建的数据产权对数据权利的性质与数据权属进行界定与判断,同时利用既有行为规制法对相关行为加以规制,这样既能够平衡数据经济下多主体的利益,又能够保障法律的稳定性与可预见性。