数字化转型网数据专题将关注数据治理、数据质量管理、数据架构、主数据管理、数据仓库、元数据管理、数据备份、数据挖掘、数据分析、数据安全、大数据、数据合规、等数据相关全产业链相关环节。
姬蕾蕾 华东政法大学中国法治战略研究院讲师,法学博士。在《法学论坛》等核心期刊发表学术论文十余篇,参编《民法典与日常生活》《信息的限度:个人信息保护法中的同意规则》等多部著作,主持教育部、司法部等省部级项目3项,参与国家社会科学基金项目、省部级项目多项。在本刊发表的论文有:《从数据治理到数据界权:数据权利的动态构造方案》(2024年第10期)。
摘 要:数据权利构建困难的原因在于,理论上将赋权路径和治理路径置于相互排斥的立场,混淆了数据权利的内在本质与外部效力,过宽地认定数据权利范围。治理与利用的持续性是牵引数据权利演变的内在动力,这决定了“以治理促进利用,以利用界定权利”是数据权利的构造逻辑。在数据生产端,通过参与主体准入可信、数据生产合法可用、数据使用安全可控的数据治理规范构建可信流通秩序,维护数据秩序利益。在数据流通端,以数据价值生成机制为导向,形成以原始数据控制权为起点,动态配置数据集合利用权和数据产品经营权的产权运行结构,保护数据价值创造。在此基础上,运用现代权利理论验证数据权利的生成程序,并确立差异化的请求权基础,实现对数据利益的全方位保护。
关键词:数据治理;可信流通秩序;价值保护;数据权利构造;现代权利理论
基金项目:教育部人文社会科学研究青年基金项目“数据交易的规则构建研究”(23YJC820014)。
姬蕾蕾:《从数据治理到数据界权:数据权利的动态构造方案》,《学习与探索》2024年第10期,第83—93页。
2022年12月中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)指出,要探索数据资源持有权、数据加工使用权、数据产品经营权的结构性分置产权运行机制,建立公共数据、企业数据、个人数据的分类分级确权授权制度。“数据二十条”有关结构性分置的产权图景为数据权利构建提供了理论指引。由于该文件并非严格意义上的法律法规,如何从规范角度构建契合数据流通规律的数据确权规则需要进一步深入探索。数据的非竞争性和非排他性决定了不能适用传统“赋权+限权”的所有权模式,强行套用不仅会陷入削足适履的困境,而且会异化为限制公平竞争的手段,这偏离了“数据二十条”的初衷。数据权利是在利用中对价值创造的利益确认,数据利用则需以数据治理的安全秩序为前提。这表明“在治理中构建数据流通秩序,在秩序中划分数据权利边界”是数据权利制度的内在构造逻辑。如何设计数据权利规则,达到平衡数据来源者、持有者与使用者三方利益并实现数据价值最大化的目的,无疑是当下法学研究的一项紧迫任务。
一、数据权利法律构造的认知难题
数据权利构造困难在事实层面主要源于其上多种利益堆叠,虽然学界从不同角度提出了众多的解决数据权利问题的新方案,但仍存在诸多难题,直接影响着数据权利制度的构建与完善。
(一)未能厘清赋权路径与治理路径的关系
当前学界对数据赋权与数据治理理解为两种相互排斥的界权路径,未能厘清在不同的数据处理阶段数据权利成分以及价值目标并不相同。支持赋权路径的学者秉持民法权利理论,认为数据流通交易的困境在于权属不清,故应当为合法控制的数据提供排他性保护,以财产规则明晰权益归属。否定观点立足数据流通实践,认为数据的特征使确权缺乏可操作性,且过强的财产权会阻碍数据流通,故主张以治理路径构建权益秩序,采责任规则对数据之上的各方利益保护即可。两方观点将数据赋权与数据治理置于相互对立的价值立场:赋权路径以效率目标为导向,提倡在数据生产端确定初始产权,力图以契约制度促进数据与权利的相互转化并实现资源配置的最优解;而治理路径则以秩序目标为导向,倾向在数据流通端识别具体利益,拒绝赋权安排以清除前端控制者对数据利用的障碍。反思两种观点,其实各有偏重:赋权路径的误区在于仍以传统物权的初始权利思维提供数据确权方案,这种先验式的权利安排忽略了数据利用的非排他性和价值多样性的特征。在生产阶段,数据处于一种杂乱无序的自由状态,但因技术的采集和重组而具有了价值。而数据的获取以自由开放为前提,这必然需要在生产端通过数据治理保护数据生产安全的秩序利益,即保护来源者利益是数据产权化的前置条件。治理路径的误区在于忽视了数据价值生成的应然逻辑,即从生产、汇集到流通的处理进程,数据因价值形态的变动,其上的利益发生从非排他性、有限排他性再到排他性的效力变化,故数据权利是在数据流通中围绕价值生成规律进行的权利安排,以维护数据利用中的竞争利益。简言之,数据治理是数据流通的前置程序,重在维护数据生产端的安全秩序利益,而数据确权是对数据价值创造利益的确认,侧重保护数据流通端的公平竞争利益。
(二)混淆了数据权利的内在本质与外部效力
规范性数据权利体系的建立,依赖于对权利的内在本质和外部效力有着清晰的认知和区分。自原《民法总则》对数据作出专门性保护规定以来,我国数据纠纷案件逐渐增多,法院对数据权利的确认和维护成为数据权利生成的逻辑起点。数据企业主张确认其数据权利诉求,法院在裁判说理中一般借助反不正当竞争法的一般条款确定数据企业享有财产权益的正当性。
那么,数据权利究竟是否是一项财产权利?在数据权利立法空白的背景下,法院借助利益理论探寻规则的目的并进行漏洞补充,承认数据企业享有竞争性利益。对此,学界聚焦于对数据是否权利化的问题展开讨论,并以财产所有权逻辑否定竞争法路径形成的数据权利。由此引起法院过度解读竞争要素导致侵权法适用空间被架空,直接限定了数据损害赔偿的请求权基础,导致对数据的司法定价明显不公平。如在“腾讯公司等与上海某科技公司不正当竞争纠纷案”中,原被告之间很难被认定为竞争关系,其实质是混淆了数据权利的内核和外在规范效力,忽略了对权利内核——正当利益的理解,忽视了所有权利皆为正当的本质属性,而把权利理解为对某种利益或价值的保护。数据权利的本质涉及的是权利存在的理论基础和产生程序,而数据权利概念主要体现在规范意义上,涉及的是数据权利的外部效力。由于数据价值的生成恰是依赖数据非排他的特性,对于数据确权并不应囿于数据归属于谁的问题,而应该在不同法律关系中围绕数据利用提供界定权利义务规则的具体方案。
(三)过宽地认定数据财产权益范围
在“数据具有经济价值”的普遍理念中,个人信息作为主要的数据来源被整合到数据财产权益的构造中,扩大了数据财产权益的认定范围。典型观点认为,个人信息具有经济价值,数据企业使用个人信息是以服务作为对价换取数据的结果,同意因此被解读为个人承诺缔结合同的意思表示。典型案例如“知乎案”,法院认定个人与知乎平台存在债的关系,进而聚焦隐私政策内容的变更是否构成违约展开论证。遵循此逻辑,个人同意在事实上成为数据企业享有排他效力的依据。如在“新浪微博诉脉脉案”中,法院提出的“三重授权规则”折射的正是这种裁判思路。但在“微头条案”中,个人授权许可第三方利用者对其数据处理的效力却为法院所否定。基于实践中法院对个人同意效力的不同理解,学界围绕数据权属、数据携带权等命题各抒己见。这其实是未能厘清数据权利的法律构造,将数据治理与劳动价值创造混同作为数据财产的权利基础,导致过宽地认定数据权利范围。个人同意隐私政策,并不意味着其愿意承诺接受债之法锁的效果意思,规范意义上的同意仅具有保障数据来源合法的效力。在数字社会,数据本身的价值较小,只有经过一系列加工处理和分析应用才能产生经济价值,即数据需要在具体场景加以利用才能实现数据价值。
二、数据权利制度的法理主线:治理与使用的持续性契约
数据具有非排他性和非竞争性特性,这决定了数据的获取并不会消灭原有权益,而数据利用方应承接保护数据权益的治理义务。因此,数据治理是确保数据可流通性的逻辑前提,而数据利用的非排他性决定数据治理贯穿其全生命周期。
(一)数据治理的持续性:维护秩序利益
在数字社会,从数据产生到形成财产性的数据集合/数据产品,横亘着一系列数据治理义务。数据自诞生之始就是一种自然状态的发生,之所以对这种自由状态进行规制,是因为技术介入后其上显化的财产利益,由此产生利益冲突需要法律限制数据的自然流动,使数据流通借助法律达到协调。通常,法律限制自由的功能主要通过两种规则来实现:第一性规则是规定法律义务的法律规则,第二性规则通过授权某一法律主体,由它来规定人们必须做什么或不做什么。而数据治理义务显然是第一性规则。数据企业借助算法采集杂乱无序的数据并进行脱敏,完成与描述特定对象的分离进而打破各类数据之间孤立的局面。之后再进行汇集、分析,将数据转化为一种可用的数据集,这是数据进行流通的基础前提。也就是说,客体意义上的数据并非天然存在的,需要数据生产者通过技术存储于网络设备中形成可用数据集,数据此时具有初显性价值。由于数据可能包含个人信息、商业秘密甚至国家秘密,数据生产者就具有安全保护义务,这是其利用数据的应有之义,而后续数据接收者以合法获取数据并保护在先数据利益为逻辑前提。这决定了数据治理义务贯穿整个数据生产和流通环节,是一种动态的、持续的过程。此处并不是说数据治理一定能推导出数据财产权利,而是说安全控制数据是享有权利的前提,无论持有状态能否使用或带来利益,数据持有者履行数据安全义务是维护数据利用秩序的法定义务。
(二)数据利用的非排他性:实现效率价值
数据的价值运动具有特殊性,不因数据转移而丧失全部价值,其价值的实现在于数据来源者向数据持有者持续传输数据,因为后者需要随时更新和掌握实时数据,才能保证决策的正确性。故数据恰是在循环往复的利用中不断增值,将动态实时数据和已有数据在技术上整合,形成新的数据集合/数据产品。这种事实上的非排他性成就了数据自身价值的实现,形成数据驱动经济的数智时代。但数据非排他的内在特性导致数据权属不清,也成为数据纠纷频发的直接原因。究其根源在于数据承载多重复杂利益本就难以分割,而在数据流通中因叠加其他数据利益倍增问题的复杂性。基于鲜活案例对争议解决的迫切需要,学界围绕“数据到底属于谁”展开激烈论争,但因利益偏好不同至今未能达成一致,部分学者又提出淡化数据所有权方案。这其实是混淆了事实意义上排他与规范意义上排他的含义。事实上,数据价值的实现虽然以流通为基本条件,但这仅决定了数据利用的非排他性,而非数据利益的非排他性。数据价值变现一般具有不确定性,一般需要数据企业或经纪商对数据进行持续加工,使其能持续性地嵌入企业发展需求,由此形成具有经济价值的数据集合或数据产品。故在利用上的非排他性并不妨碍法律规范对数据财产权益独立性的确认,数据凝结成财产的过程主要包括算法技术以及创新劳动,这才是对数据赋权蕴含的基本原理而非对数据归属的确认。数据利用的非排他性决定权利主体的不断更新以及客体形态的循环衍化:其一,数据使用主体的动态性。在数据来源者和持有者的数据交换中,后者作为持有方来使用所需数据,以便随时掌握来源者的信用等级、健康状况等;在持有者与接收者的数据交换中,后者对获取的数据加以利用创新后成为新的数据集合(产品)持有主体,其使用者身份呈现动态性特征。其二,数据客体本身的动态性。在智能算法驱动下,数据的价值经历了从原始数据到数据集合再到数据产品的形态变化,不同的数据价值形态承载的利益类型也是向前向后迁移的,这就需要探寻数据在不同场景中的利益关系,从而能够有效确定数据权益层次。
(三)数据权利的动态构造进程
数据权利并非传统所有权模式的体系构造,数据治理与数据利用贯穿数据的全生命周期,这决定了数据确权规则设计应契合“以治理促进利用,以利用界定权利”的流通规律。
首先,数据治理的持续性决定了数据合规是确权的前置规则。数据治理是数据确权的逻辑起点,也是数据持有者受法律保护的权利依据。数据流通交易的前提是保护秩序利益,而秩序利益的正当基础源于法律对公共利益的保护。公共利益是不可分割的抽象整体,对其制度化的方式就是内化到法律具体的原则(如诚实信用)或规则(如善意取得)中,故公共利益包括了为解决利益冲突而由法律明确规定的某种必须优先的利益。当数据企业将无序的数据遵循一定的治理规则(如取得个人同意、数据脱敏)使其处于安全可流通的状态,那么其利益应该得到保护。此时并非说事实上持有数据就能享有数据权利,而是说数据的秩序利益被推定为被法律保护的救济性权利,这种救济性权利来源于对方的无权利。因此,当第三方主体实施侵权行为无权利时,便意味着数据持有者享有排除妨碍、请求赔偿等权利基础。详言之,通过数据治理义务的证成实现对秩序利益的保护,法院可依此找到依据补充法律漏洞,据此可以数据治理义务反推正当权利(利益)具有周延性。如在“新浪微博诉脉脉案”中,法院认为未经用户同意第三方平台超越权限收集用户数据有违合法性。在“淘宝诉美景案”中法院认定用户同意是数据来源合法的依据。
其次,数据利用的非排他性表明,数据权利是法律对数据利益规范性评价的结果。权利的核心在于解决利益冲突并实现利益,故将数据利益转化为权利和义务并确定数据权利的边界是数字法学的核心任务。数据价值的实现在于非排他利用,但数据利用产生的结果是排他性的,这种利益可能是基于劳动创造的竞争性利益(数据集合),或基于创新生成的智慧利益(数据产品)。在数据利用的过程中,一旦产生可衡量的数据价值即可被权利所覆盖,进而完成对新的数据权利识别,在权利边界清晰的状态下,新的数据集合/产品便可用于流通和交易。因此,利益的排他性规范决定数据利用并不会导致原数据持有者丧失对数据之上的合法利益,其可持续影响数据利用者。因数据价值实现依附特定数据类型、使用场景、使用方式等,数据持有者可授权决定数据使用者对数据的使用范围。详言之,数据权利边界并无确定的标准,需要由数据持有者和数据使用者在合同中动态确定,而动态确定数据权利的最大优点在于允许社会通过非标准化方式配置数据资源,数据权利的边界也更为精确。具体而言,数据持有者和数据使用者需要根据特定场景的法律规范来界定数据的使用权限,如使用方式、次数、时长等,而数据使用的类型、方式以及场景都会限制数据权利的行使和实现,即通过数据治理义务反向勾勒数据权利的边界。
数据价值的动态性是牵引数据权利演进的内在动力。数据治理的目的是促进数据流通,治理是确权的起点,而利用是数据价值的实现方式,故赋权是数据流通的法律认可。以数据利用为流转方式,借助持续性契约可在数据全生命周期对数据权利进行循环配置。在数据生产端,数据持有者通过数据治理培育可信流通秩序,据此获取原始数据控制权,实现秩序目标;在数据流通端,以数据价值生成机制为导向,在数据循环利用中依据价值形态动态,构建数据集合和数据产品的权利分置运行体系,实现效率目标。以下将展开数据权利的动态构造图景。
三、数据生产端:以治理培育可信流通秩序
在传统线下社会,信赖已成为重要秩序形成与维持的媒介,合理信赖的保护是法秩序的必然要求。而在高度复杂的数字社会,信任的维护更需要法律的介入。在数字社会,数据价值是在流通中确定和实现的,故首先要保证数据流通秩序的安全性和可信性,这就需要借助数据治理培育可信的数据流通利用秩序,构建数字空间中的信任机制。
(一)参与主体准入可信
如何保障数据流通中数据来源者、持有者和使用者身份可信是数据治理的关键。此时需要区分场内交易和场外交易确定参与主体的准入机制。场外数据交易在目前更多的是一种数据共享,属于多方数据企业形成的数据利益共同体。数据企业之间多以“数据换数据”“数据换服务”的方式促进数据流通,故数据交易双方在意思自治的范畴内审查相对方的资质并签订授权协议。在场内数据交易情境中,涉及数据交易平台的设立标准以及数据交易双方的准入条件。数据交易主体的准入条件,应该为根据《中华人民共和国公司法》设立的经营性法人组织,具有健全的公司治理结构,拥有一定数量的具有数据技术专业背景和管理经验的董事和高级管理人员等。从数据交易平台的组织结构看,其对内具有提供技术服务、交易平台、撮合交易等义务;对外具有制定平台规则、日常监督管理、确保平台安全的主体责任,属于公私兼具的权力(权利)主体的性质。因此,数据交易平台自身需要外部监管以消除交易双方对数据交易市场的不信任因素。对此,可借鉴欧盟《数据治理法》中对数据中介服务的监管机制,由数据交易平台向监管部门提交其成立所需的详细信息,经主管部门批准同意后可提供数据撮合及信息披露等服务。主管部门应进行公开登记并对数据交易平台的经营活动进行监督,确保数据交易安全可信。数据交易平台需要对交易双方的准入资格进行审核认证,其权力来源于《数据安全法》和各地数据交易条例的规定及数据交易所章程的规定等。
(二)数据生产合法可用
数据流通的逻辑前提是数据来源合法可用。数据本身是天然存在的,只是其价值源于劳动创造,而价值实现的前提是数据的合法取得。因数据来源主体的不同,分以下两种情况讨论。
其一,当数据来源者为个人时,需要遵循以《个人信息保护法》为基准的一系列数据保护规则,其核心是同意规则的有效性。隐私政策是同意规则在实践中的具体体现,但个人在App中点击同意不一定蕴含承诺的意思表示,其法律效力应放在具体法律关系中判断。当数据企业通过个人同意获取合法有效的数据,“同意”仅是个人信息处理活动,是企业处理个人信息的合法基础,此为第一个同意。当数据企业之间通过要约和承诺缔结有效的数据交易合同时,第三方企业需要经过个人的再次同意,此为第二个同意和一个承诺,这是隐私政策中数据合规义务对第三方数据使用者的约束后果。这就可以解决实践中过宽认定数据交易关系的问题,将数据价值的起算点从对个人的自然描述矫正到数据加工阶段。
其二,当数据来源者是数据企业时,需要以《数据安全法》《网络安全法》等规范为基准判断公开数据获取的合法性。与公开数据保护直接相关的是数据访问规则,而Robots协议是判断数据访问是否合法的重要判断标准,学界就其法律性质存在行业惯例说、技术标准说以及单方意思表示说。本文倾向于将Robots协议定性为单方意思表示,从形式意义上其“只是一种允许与不允许的访问清单,并非一种技术防护措施”;从规范意义上看,可给予数据持有企业不被第三方侵害的法益保护效果,一旦行为人违反该协议规定的访问权限或获取权限,即可认定为对数据企业意志自由的违反;从法律后果看,向不特定人发送的单方意思表示属于商业交易中的缄默,可以解释为“公布特定的法律后果意愿的手段,产生法律效力的基础在于信赖与交易安全”。基于此,可以将公开数据获取方式的判断从技术标准转向规范标准。美国法中以《1986年计算机欺诈与滥用法》(CFAA)中的未经授权侵入计算机,“使用条款中明确公布限制访问的声明”为判断标准。如在“Southwest Airlines Co. v. Farechase Inc.案”中,法院认定原告明确禁止他人对其网页数据爬取,Farechase公司明知而故意爬取的行为违法。在我国司法实践中,部分法院也持这一观点。但为防止数据企业对数据的垄断,不宜过于扩大Robots协议的对抗效力,应结合数据利用方的使用目的、应用领域等要素综合判断。同时,还要依据数据企业是否起到了应有的注意义务、数据是否属于非公开数据等,综合判断数据来源的合法性。
(三)数据使用安全可控
在数据来源合法的前提下,还需保障数据利用的正当性,才能实现数据处理合法性的闭环。因为数据处理活动所带来的风险既具有个体性,更具有公共性。例如,个人信息的社会属性、信息安全等因素,所指向的不仅仅是个体性利益,而具有极强的公共性色彩,涉及国家安全、公共利益等。这就需要数据企业遵循相关法律规范和行业规则,具体可以从两个维度铺陈展开:首先,确保数据使用范围正当。其一,从数据的敏感度划定禁止使用数据的范围,如个人敏感数据、商业秘密以及国家秘密数据等,从反向层面限定可使用数据的范围。如《信息安全技术 数据交易服务安全要求》(GB / T 37932-2019)列举11类禁止交易数据。其二,“公开即可使用”是互联网发展之初共享数据的默认规则,但智能算法带来的万物数联背景,仅以“公开性”作为合理使用的依据与数据经济发展相悖。实践中法院会对“公开性”进行场景化解读,故公开数据使用的合理性并不单独取决于公开性事实,还应结合后续使用行为的正当性作整体评价。其次,数据使用行为的正当性。实践中“技术创新”、“技术中立”是数据纠纷中常见的抗辩事由,但单从技术层面很难评价数据利用的不当性。在“新浪微博诉云智联案”中,法院认为算法技术也是人为参与的结果,被告公司结合自身产品经营作出的选择已非技术中立。因此,当算法技术异化为数据企业的侵权工具时,从技术层面评价自动化行为并不具有现实意义,而应转向规范评价标准,衡量算法主导的数据使用行为是否正当才是关键。由于数据之上不仅承载多重利益,还可能会涉及公共安全等,故数据治理义务对于数据持有者既是公法意义上的强制管理义务,又具有私法意义上的数据合规效果。
四、数据流通端:以界权反哺数据技术创新
数据价值源于聚合形成数据资源后在流通中形成的多元形态,因此,数据权利的界定不应再囿于传统财产权以占有排他为核心的权利逻辑,而是经治理(粗加工)形成初步可流通的数据,在此基础上,以持续性利用为媒介而逐步搭建的多元价值形态的权利分置运行结构。
(一)原始数据控制权:以治理义务为前提
不同于传统权利以财产权的先在性为假设并进行初始权利的配置,以实现财产交易的恒定与安全,原始数据的取得或持有则以履行数据治理义务为先决条件,由此形成初先性的安全利用秩序。这种治理在法律意义上是一种安全管理义务,管理的是数据利用秩序,这是数据持有者应该履行的一种义务,只有当数据上的利益相关者主张数据权益时,才需要讨论数据使用者获取数据的行为是否侵害其合法权益。简言之,数据治理是数据持有者将数据转化为可用数据资产的内在义务。原始数据控制者集权利与义务于一体,对其保护是数据之上防御性的利益确认,而对内治理是控制者应有的义务,是对数据安全秩序的维护。此时,原始数据控制者对数据的控制是一种法律事实,也是其对数据利用方式进行选择的事实基础。法律对这种控制状态予以尊重和保护,并非基于财产因素,而是对数据自由流动的一种承认和尊重。这种在事实上的控制状态是形成数据法律关系的前提基础。以原始数据控制权的配置为起点,以数据利用为流通的方式形成数据集合利用权和数据产品经营权的权利分置。这种权利配置并非固定不变的,而是在利用过程中,因数据呈现的价值形态而设置效力不同的排他性权利。而数据形态“原始数据—数据集合—数据产品”在不同的价值链上会相互转化,在A处属于数据产品,可能在B处就是原始数据的形式,故配置何种权利取决于特定场景下的价值形态。此处需要强调的是,数据生产者经用户同意后开启数据生产环节,而用户并未从事数据生产,也不参与数据控制权的配置。
(二)数据集合利用权:以加工利用为核心
在数据流通链上,因控制者或使用者加工利用形成可流通、可重用的数据集合,故可设置以加工利用为核心的数据集合使用权,其上因涉及多重利益,故在构建时需要厘清不同关系。
首先,需要判断数据集合利用权的权利主体。多元主体共存是数据集合主体确定困难的主要缘由,如何精准识别权利主体是学界重点探究的内容。原始数据控制者因加工利用形成数据集合,是依原始取得的方式获取利用权。而获取者则依权利主体授权继受取得数据集合的使用权,但此时其并无权利转让给第三方,原因在于在先权利主体的有限排他许可。因此,只有当数据获取者利用数据集合进行加工创造出实质性价值后,才可成为新的数据集合利用权者,将利用权进行再许可。
其次,界定权利客体。数据集合上错综交织的利益关系以及其本身的不确定性成为客体范围界定的困境所在。作为客体意义上的数据集合需满足以下特征:其一,算法性。数据的价值形态依赖算法激活代码层的数据,从而形成大量数据集合,故数据集合必须是可计算的,以确保数据的可移植和可流通。其二,价值性。数据集合作为资源是以流通使用来实现价值的,因此其必须具备最低限度的加工使用价值,这是对其上利益保护的基础。其三,合法性。数据集合需要同时满足获取合法和使用合法,这是保障数据集合可流通性的规范要件。
最后,数据集合利用权的内容。数据集合持有权的权利基础源于对各个独立持有者通过加工使用创造的数据价值的利益确认,其权利本质是数据使用权,内容包括自己使用和授权他人使用,即在规范意义上对权利的有限保护,但对数据使用本身是非排他的。具体包括数据集合的委托加工和许可使用,委托加工是权利主体将数据集合委托给具备专业技术能力的受托人,按照其要求形成新的数据集合或数据产品的过程。这种一般由双方自主约定数据使用的范围、方式、次数、时间以及最终形成的数据形态。许可使用是权利主体授权许可数据使用者使用其数据集合,这种许可使用主要是营利性的。另外,在公共数据许可使用中,政府机构不能直接参与营利性活动,一般会将数据集合授权给其他专业机构进行数据治理并对外使用,这种模式也称为公共数据的授权运营。需要阐明的是,数据是以利用实现其价值的,如果专业机构在政府授权的公共数据之上创新出数据产品,那么就会进入数据产品经营权的权利配置中,其内容仍然围绕使用展开。
(三)数据产品经营权:以授权经营为核心
数据产品经营权则聚焦于数据生产者对数据进行加工形成数据产品的阶段。数据产品是数据实现市场化流通的最终环节,是经过技术创新形成的具有清晰外观的可估值产品,在性质上已经成为一种纯粹的新型财产,故在其上设置排他性最强的数据产品经营权,其权利构建主要围绕授权经营展开。
首先,场景化判断数据产品经营权主体。确定经营权主体需在具体的生产关系中判断以下情形:其一,委托加工情境中的主体判断。委托者将数据集合委托给他人加工处理,受托方以提供服务为对价,故形成的数据产品属于委托方,双方另有约定除外。其二,许可使用情境中的主体判断。数据集合持有权者将其数据授权他人使用时,加工生成的数据产品应由加工者享有经营权。其三,在公共数据授权运营情境中的主体判断。因政府机构不能从事商业行为而由被授权的专业运营机构取得数据产品经营权。
其次,数据产品经营权客体的类型化识别。数据产品具备清晰的权利客体外观,具体可分两种场景确定其范围:其一,标准化数据产品的识别要件。数据企业使用算法技术对数据集合深入分析和建模,这种算法分析演绎为人工智能。得益于算法在数据集合中的质变,人工智能技术进入了自动化学习和深度学习阶段,本质上属于智慧成果,故数据产品需要满足技术创新性、市场增值性等要件。其二,个性化服务中的客体识别。数据产品也可能根据需求方要求提供的协助服务,表现形式为智能分析结果产出的知识或智能决策。
最后,数据产品经营权内容的多元化厘定。数据产品经营权的内容是权利主体对数据产品的经营权,数据产品授权经营中的具体模式主要有三种:其一,数据产品的许可使用。这主要是一种标准化付费许可模式,其面向的数据需求方一般具有普遍性特征。其二,数据产品的授权经营。该模式表现为权利主体将其数据产品授权他人经销或分销,自主决定数据产品的交易或服务。其三,数据产品经营权的转让。经营权主体因对数据产品的专有权,可将其经营权转让给他人,此时其经营权用尽。
五、数据权利构造的检视程序:区分内在本质与外部效力
数据权利是一个概括性概念,其上并没有固定的客体形态,而是在数据处理的过程中因数据价值形态的不同,承载的利益类型也有所差异,故其外部规范效力也随之改变。这就需要识别数据权利的内核,以此锁定可保护利益的范围,再根据数据价值形态确定其上效力的优先性,在此基础上确定差异化的请求权基础,以实现对数据权利的全方位救济。
(一)识别数据权利的内核:从自然利益到正当利益
如何识别数据权利的内核是权利分置的逻辑起点,也是权利存在的法理基础。学界一般将数据之上承载的多重利益作为数据确权困难的原因。这其实是将多重利益叠加,反而除掉了最核心的个体性价值,数据确权的实质是对个体利益的确认。传统权利理论的代表是意志理论和利益理论,这两个理论是分析数据权利重要的理论工具,但都可能招致诟病。利益理论可能会导致数据权益过于宽泛,难以确定实际权利人,其前提是以权利人能否获利为准则,但数据权利不一定能够给权利人带来利益,因为数据的价值是不确定的,其价值实现依附于特定场景。意志理论则可能因个人或数据企业伴随主观价值的意志选择而难以解决权利冲突的问题,因为谁是利益判断的主体?个人判断能否作为利益衡量的法理依据?问题的症结在于缺乏识别和适用数据权利的程序。基于此,现代权利理论识别权利的程序为数据权利的正当性提供了可行的分析路径,即先证成权利的内部正当(内容、本质),才能证成权利的外部效力。具体思路是将数据之上的利益经过正当评价程序(法律适用)上升为规范意义上的合法权利。
首先,数据在不同的处理阶段,其上利益的评价基准有所不同。第一阶段,从数据产生到数据生产,是数据从自然状态经技术与描述对象抽离、形成合法可流通的客观要素的过程。例如,个人在浏览网页的过程中会显示信息,但浏览行为本身并不会产生数据,当平台获取个人同意后将浏览信息进行脱敏并记录存储时,形成可用数据。也就是说,数据治理是生产阶段原始数据的取得依据,但此时数据仅具有利益初显性,并未形成可以变现的数据集合或产品,其核心在于借用治理形成对数据秩序利益的保护。第二阶段,从数据生产到数据流通是一个数据利用的过程,数据在此时经持续加工使用,其价值形态遵循数据集合到数据产品的循环演变。数据集合是经过对原始数据的深度加工使用形成可流通重用的数据资源。数据产品是在数据集合的基础上进行技术创新形成具有标准化、普适性的商品(如算法模型、智能产品)。简言之,价值创造是流通阶段数据权利的配置依据。在厘清不同阶段数据蕴含的核心利益后,需要找寻从利益上升到权利的实现程序。
其次,如果将数据利益上升为一项权利,需要以经过正当评价程序产生正义结果为标准。利益是权利存在的核心概念,而正义是权利的核心内容,又是利益走向权利的桥梁。因此,从自然利益上升到正当利益需要经过立法或法官的评价程序,而立法对数据权利保护的漏洞需要从司法层面发现数据权利的正当性。一旦经过法官的论证程序确认对数据利益的保护,该权利在本质上就与明定的权利无异。在司法实践中,基于数据企业对数据权益的现实诉求,法院完成了对数据权利的推定和确认。
从比较法上来看,美国法院早在“eBay, Inc. v. Bidder’s Edge, Inc.案”中就以不法侵入(Trespass)认定Bidder’s Edge公司抓取eBay公司行为不。之后法院采用相似解释路径,通过在个案中的具体司法考量,尤其是将各方当事人的具体竞争行为以及数据企业的投入和收益等予以综合考虑,来考量他人对数据的不法侵占和使用。因此,经过法官论证的正当利益与权利只是在表现形态上有所差异,虽然在裁判说理中,法官还会运用“诚实信用、商业道德”等道德性原则论证利益的正当性,但因论证程序内化为法律意义上的原则而使数据利益经推定可上升为正当权利。
(二)解析数据权利的效力:从有限排他到绝对排他
数据权利的排他效力是随着其内在利益的凸显而逐步增强的过程,即以数据生产为起点,以数据利用为驱动力,基于数据价值形态形成强弱不同的排他性产权。套用标准化的所有权模式很难具象化排他效力由弱到强的递进过程,此处可运用霍菲尔德的权利分析理论对数据权利进行解构,以厘清不同阶段数据权利规范的内涵和法律后果。霍菲尔德将所有的利益都建立在法律关系和法律概念的基础上分析,他认为法律关系都简化为权利义务增加了解决法律问题的难度,因为“权利”一词蕴含多种含义,而人与人之间的关系可在“关联关系”的矩阵中组成,据此提炼出八个法律概念并建构出四组关系:一是请求权(claim)—义务(duty):一方主张另一方作为或不作为,另一方根据一方请求履行作为或不作为的义务。这是通常理解的最狭义的权利内涵。二是自由(privilege)—无权利(no-right):一方有作为或不作为的自由,另一方没有要求一方作为或不作为的权利。三是权力(power)—责任(liability):一方根据自己的意志改变与另一方的法律关系,另一方有责任承担因一方行为而产生的法律关系。四是豁免(imumunity)—无能力(disability)。一方与他人存在的法律关系,并不会因不具有法律权力(无能力)的另一方行为发生改变。
在霍菲尔德的法律概念矩阵中,任何权利关系都可以进行描述。将该理论工具运用到数据权利中进行分析,可发现不同阶段对应权利的外部效力。在数据生产阶段,数据经治理而具备可用性,数据持有者依据事实控制取得有限数据控制权,其权利属性是一种秩序利益,是因对方的无权利而被推定为法律保护的救济性权利。原始数据持有者具有采取技术措施控制数据安全的自由(privilege),即原始数据持有者“没有不采取安全措施的义务”,而他人对其采取安全措施的行为无权利(no-right)阻止,此为“法不禁止即自由”“法不授权即无权”的逻辑推演。此时原始数据控制权处于最狭义层面的排他性。在数据流通阶段,数据因加工利用其价值形态递进呈现为数据集合和数据产品。在数据集合上因包含个人信息而法律关系最为复杂。在实践中主要是运用三重授权规则来确定数据集合的外部排他效力。其中,个人请求(claim)数据集合持有者非经同意不得处理其数据,以及数据利用者非因授权不得使用其数据,而且个人可随时撤销这种授权,这种权利源于法律明确规定。而数据集合持有者授权他人使用数据集合是数据价值实现的逻辑后果,这种授权是一种非排他性授权(privilege),且数据集合一经使用则不可再撤销,即持有者撤销许可的行为对使用者无效(immunity)。因数据集合之上蕴含持有者的财产利益,数据持有者可要求使用者不得再转让数据集合的权利(claim),这种权利仅仅是针对被许可人的,其排他性呈现为有限排他许可。而在数据产品上,因数据产品是通过算法创新的智能模型或决策信息,是一种具象化的产品,享有对世性的排他权(claim)。数据产品持有者可授权许可使用者使用产品(privilege),或授权使用者再许可(power),也可将其权利整体转让(claim)给使用者,使用者即可享有实质的排他性。需要注意的是,持有者许可使用者的privilege不必然引起使用者获得再转让的power,二者在逻辑上是独立的关系,即持有者行使power(1)产生使用者的使用权,而行使power(2)才会产生使用者的再许可权。由此可以发现,数据权利的排他性会伴随数据价值的递增而逐渐增强,其基础维度是数据持有者的使用权,其他权能因排他强度的不同可增或可减。
(三)鉴别侵害数据权利的请求权基础:从反不正当竞争到财产侵权
当数据权利的行使或实现遇到阻碍时,需要为权利主体确定恰当的请求权基础。实践中因数据保护立法空白,导致法院往往局限于反不正当竞争路径,但并非所有的数据纠纷都需要适用反不正当竞争规则,这只能为数据在初始生产阶段提供有限的救济。因数据权利效力的不同,贯穿于数据全生命周期的请求权基础也应是一种变动的存在,故确立请求权基础的核心是找寻数据处理的场景及其所呈现的价值形态。在数据生产阶段,数据企业是基于对数据秩序的维护而获取原始数据控制权,其核心利益是一种秩序利益,聚焦于保护网络应用合法状态。因此需要在具体场景中判断爬虫技术是否是不当抓取数据的工具进而破坏了安全秩序,其请求权基础应当是《反不正当竞争法》第12条第2款第4项。在数据流通阶段,数据的价值体现为依赖加工利用以及技术创新凝结的财产利益,这是数据权利的权利基础,这并非对数据本身的归属确认。只是基于数据价值形态的不同,需要在不同的数据之上附加限制规则,以确定权利主体行使权利的边界。除此之外,他人对数据不合理的获取和利用则落入数据排他性的效力范围。在《反不正当竞争法》中,立法者将侵权损害赔偿规则表述为“给他人造成损害的,应当依法承担民事责任”,在客观上达到了将反不正当竞争责任与民事责任相连接的功能。因此,反不正当竞争规则不应作为或者仅作为侵害数据权益的裁判规则,应回归《民法典·侵权责任编》确定请求权基础。此外,就解释论而言,在体系解释下,侵害数据权益的行为通过《民法典》第1165条第1款为数据权益提供保护,在实定法的解释中并不存在障碍。
六、余 论
数据确权需从源头上树立数据权利制度的价值宗旨,以对现有研究范式进行调整与转型。数据之上三方主体背后体现的社会利益价值包括:第一,保护数据来源者背后的社会利益——自由安全。数据开放是数据流通的必要条件,合法处理数据不仅是维护数据来源者自主利益的应有之义,亦是确保数据流通安全和秩序的社会利益。第二,保护数据持有者背后的社会利益——公平竞争。数据确权的正当性在于防止其他数据使用者不当获取数据资源或产品提升竞争优势,以维护社会的公平竞争利益。第三,保护数据使用者背后的社会利益——创新发展。数据重用承载着技术创新发展的社会利益,进而避免数据权利异化为持有者限制其他企业竞争的手段。数据权利主体作为数据的控制者,在前负有确保数据来源合法的安全治理义务,在后负有协同数据创新的公平开放义务。因此,数据权利是以数据治理构建数据要素市场化利用秩序的新型产权制度,数据确权是通过治理范式在数据增值化中动态界权的过程。以治理与赋权双重视角探索数据产权制度,契合“数据二十条”基础制度构建目标,并为立法、司法提供更多切实有效的理论共识。在司法实践中,权利主体可以依据数据价值形态,选择反不正当竞争规范或财产侵权规范作为请求权基础。在立法上,可从商业秘密、准财产权以及财产权制度三个层面构建较为系统完善的数据保护体系,形成制度合力促进数据经济持续健康发展。
声明:本文来自《学习与探索》2024年第10期,第83—93页,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网数据专题将关注数据治理、数据质量管理、数据架构、主数据管理、数据仓库、元数据管理、数据备份、数据挖掘、数据分析、数据安全、大数据、数据合规、等数据相关全产业链相关环节。
数字化转型网数据专题包含: 数字化转型网(www.szhzxw.cn)
1、数据相关外脑支持:100+数据相关专家、100+数据实践者、1000+相关资料
2、数据研习社:与全球数据相关专家、实践者共同探讨相关问题,推动产业发展!
3、国际认证培训:目前已引进DAMA国际认证CDMP,其他国内外认证也在逐步引进中
4、典型案例参考:与数字化转型网数据要素X研习社社员一起学习典型案例,共探企业数据落地应用
本文由数字化转型网(www.szhzxw.cn)转载而成,来源《学习与探索》2024年第10期,第83—93页;编辑/翻译:数字化转型网默然。
