数据的权属结构与确权
数据正日益成为基础性的生活资料与市场要素,然而围绕数据的纷争也开始不断增多。为适应大数据和数字经济飞跃繁荣发展的时代趋势,数据资源要素的确权,以及进行相关的体系和机制设计的紧迫性已愈加凸显。可是,数据确权问题非常复杂,数据权属构成也还存在着较大的分歧。数据的虚拟性、多样性使得其在经济价值、法律关系、权利主体各方面的体系和机制设计都极为困难。
数据大战 谁与争锋——各层面数据权属纠纷
同时打开某打车APP,呼叫起终点相同的快车(平价车),平时常呼专车(高端车)的用户,其账号所显示的价格就比平时只用快车的用户高;通过某旅行服务网站订特定酒店,相同的房间,价格却不同,一位用户的账号显示只需 300元,另一位的账号则要380元……
在经济学上,这种对不同人要求不同价格的价格歧视被称为“第一类价格歧视”。通过深挖消费者过往消费甚至浏览记录,让算法洞悉消费者的喜好和习惯,不少互联网平台可以清晰地知道消费者的“底牌”,通过赚取更多“消费者剩余”来获得超额收益。
从技术的角度来看,眼下,互联网公司基于数据的应用已经发展到关系识别、行为预测等阶段。对方通过数据采集不仅可以知道你是谁,了解你的亲人和社群关系,还可以基于你的情感偏好、经济水平等因素,进行多样化推介以及差异化“服务”。
可是,对于普通用户而言,欢天喜地拥抱新经济,却反而深受其害。就个人享受互联网平台和数据公司所提供的数据产品和服务而言,尽管它们应依法取得被收集个人数据的自然人的同意,但作为消费者的自然人并没有很大的协商空间,消费者同互联网平台的数据博弈也几无胜算之可能。
除了消费者最为关注的个人数据,还有企业数据、公共数据,也面临着类似的问题。在大数据时代,数据成为一种颇为重要的生产要素和资源,在生产产品和提供服务的过程中,企业获取并积累了丰富的大量的数据。通过挖掘数据,企业可以获得很多有用信息,帮助做出决策、产生价值。
与个人数据一样,企业数据涉及商业秘密,亦是各企业的核心竞争力之所在,需要被保护。伴随着数据资源商业价值的日益凸显,围绕数据的纷争却也在不断增多:顺丰与菜鸟对于物流数据的争夺、华为和微信之间的数据搜集之争、LinkedIn同HiQ之间的诉讼……
阿里巴巴的菜鸟致力于整合多个快递公司的资源,形成一个物流数据平台,这是阿里电商产业链中的一环。菜鸟竭力地将物流信息“聚合”到自己的“大数据池”内。一般快递公司担心业务流失,且并没有能力对抗阿里对数据的索求,于是只能接受这种强制性的合作条款,是一种“拿数据换市场”的行为。
而作为市值2000亿元的行业龙头,顺丰并不完全依赖于阿里系的流量,并且在近年的实践中已经逐步掌握了相对话语权。对顺丰而言,这些数据既涉及消费者和用户的信息,又涉及企业自身的核心竞争力,相当于自己的血液,无偿输血给另一个公司,是难以接受的。另据透露,菜鸟还希望顺丰由腾讯云切换至阿里云,这更让顺丰倍感“人为刀俎”。于是,双方的矛盾日益加深,最终爆发了“丰鸟大战”。
公共数据方面,在互联网企业相继从传统行业、第三方和个人手中获取信息/数据之后,政府又向它们开启了资源门户。借由“互联网+”的国家政策,国务院开始推动各级政府开放特定公共数据,允许第三方企业进行挖掘,以期提升公共服务质量。但相关专家表示,由于对公共数据挖掘的私人实践并没有受到有效的约束,最终很可能是将传统公共资源再次引入私人控制的数据池。
同时,特别需要注意的是,过去往往只有政府部门掌握的数据,才有可能影响到整体层面的利益。但在大数据时代,数据收集、汇聚、流转等大量地发生在公共部门之外,许多企业掌握着海量的数据资源。这些数据,已经具备了影响国家、公共利益的可能性。如阿里巴巴掌握的海量用户信息,其规模和颗粒度均可比肩公安部的国家人口基础信息库,准确性甚至更胜一筹。
无论是国家掌握的还是公共部门之外产生的能够影响一国整体利益的海量数据,一旦涉及到“数据跨境”,则还很可能对国家安全造成影响和威胁。数据不仅能跨越国界传输和处理,即使没有跨越国界,也能被其他国的主体访问。跨国传输、他国浏览,这是数据跨境的两种基本形式。
“棱镜门”等重大信息安全事件的爆发充分表明,数据跨境流动对国家安全造成冲击是现实存在的。跨境的数据收集、处理和分析很有可能对国家安全造成重大威胁,即便不是影响一国整体利益的海量的数据,企业数据、个人数据也时刻经受着考验。
美 国 根 据该 国《 爱 国 者 法 案》(USA PATRIOT Act)认定,不管是不是美国公民,只要在美国互联网公司提供的“云”中存储数据,那么美国就有权对该数据进行搜集和处理。要知道,随着工业互联网的推进,越来越多的企业将走上云端,涉及设计、制造等众多的商业机密都将汇集到云上。而当前,全球实力最强的云处理服务都是由美国互联网公司,例如谷歌、微软、亚马逊和脸谱等提供的。
数据资源跨境问题不可避免地触发了各国对个人隐私、经济前途和国家安全的风险的担忧,“数据主权”的概念被提了出来,越来越多的国家基于国家利益对跨境数据进行管控。一些国家将互联网公司在境内建立数据中心作为允许其开展服务的条件;一些国家除了有数据在境内存储的要求以外,还有数据中心本地化的要求。
所有的这些围绕数据资源的纷争,都指向了一个核心的问题——即应该如何界定数据的权属。大数据信息资源应该归谁所有?在产生数据的用户和搜集数据的企业之间,谁有权决定这些数据如何使用?谁应该获得这些数据所产生的收益? 
“数据权”这一提法,很好地区分了狭义的数据权利和广义的数据权利。数据权属构成的共识与分歧
数据确权问题非常复杂,数据权属构成也存在着较大的分歧。一方面,数据的来源具有多样性,个人、企业和政府对数据权属的认识和关注重点有明显的差异;另一方面,信息技术水平、数据控制能力、数据分析能力、跨国公司数量、国家外交环境等因素都对数据确权有一定的影响。
英国前首相卡梅伦较早地正式提出了“数据权利”(Right to Data)的概念。卡梅伦认为这是信息社会一项基本的公民权利,承诺要继续在全社会推向深入。由此,数据权利在许多学者看来等同于:相对应公民数据采集义务而形成的对数据利用的权力,即用户对其数据的自决权和自我控制权。
数据权利有着丰富的内涵和外延,亦有着广义和狭义之分。笔者认为,数据权利狭义地讲,仅指用户的数据权利,而从广义看,数据权利不仅包括用户的数据权利,还包括国家数据主权。
国内一些学者还提出了“数据权”的概念,不管是不是基于汉语言文字的独特艺术,这一提法着实很好地区分了广义的数据权利和狭义的数据权利。较早提出数据权概念的学者曹磊(2013)认为,从实施主体看,数据权包括数据主权、数据权利两个部分,其中国家是行使数据主权的主体,公民是行使数据权利的主体。对数据权属问题进行过系统研究的学者肖冬梅和文禹衡(2015)提出,数据权有以国家为中心的国家数据主权和以个人为中心的数据权利两个维度的含义。
在笔者看来,数据主权和数据权利共同构成了数据权,因此,数据权相当于广义数据权利。不过,上述学者的观点中,数据权利主体没有明显区分层级。数据权利与数据主权也不应该对立起来,二者不应该分属两个部分或两个维度,而应该是“一枚硬币的两面”。主权国家可以独立自主地对本国数据行使占有和管辖的权利,这正在形成广泛共识。笔者认为,国家数 据主权是用户数据权利得以实现的基础和 前提,而国家数据主权又依赖于用户数据权利的支撑和体现。
同时,有观点认为,作为无形物的数据,不可能被某一特定主体独占,具有非独占性或共享性的特点,其本身不具有独立的经济价值,进而否认其作为民事权利客体的必然。
然而,在大数据时代,无法将数据与信息加以分离而抽象地讨论数据上的权利,并且,并非无法将之作为民事权利的客体而加以支配和控制。数据依然具有民事权利客体所要求的独立性与财产性,应当作为民事权利的客体。
众多法学专家皆表示,作为资源的数据应当形成产权,并且受到保护。一般来说,数据的记录和采集都需要成本,所以也须遵从经济关系上谁投资谁拥有谁受益的原则。不过,有关专家也指出:数据同一般财产不同,数据具有通用性,同样的数据采集者众多,同样的信息因不同的认知,数据的构成不同,效用也不一样,产权的形成依据也不一样。
除了对价与认知来源不同,许多数据具有共享性,因此同实物产权不同的是,数据产权的排它性是有限制的。无法否认,法律主体收集的数据在产权归属上如何判定确实是一件复杂的事情,此问题有待进一步深入研究讨论。
而对于个人数据,法学专家和学者们目前已形成较广泛的一个共识是,其不仅具有财产权还具有人格权。肖冬梅和文禹衡认为,以个人为中心的数据权利兼具财产权、人格权双重属性。齐爱民和盘佳也有类似的观点,他们认为,数据权属包括数据主权和数据权两部分,其中数据权则由个人数据权和数据财产权构成。上海交通大学凯原法学院副教授何渊也认为,个人数据权具有双重属性,即数据财产权和数据人格权。
何渊还明确提出,数据人格权主要包括数据知情同意权、数据修改删除权、数据被遗忘权,其所承担的主要功能是保障隐私空间,让人们享受大数据时代的“美好生活”。
数据权利和数据主权的行使
数据,如果被滥用有可能会伤及社会伦理、市场规则,甚至公共安全,然而,如果不能被利用就是废物。为适应大数据和数字经济大发展的时代趋势,数据资源要素的确权,以及进行相关的体系和机制设计的紧迫性已愈加凸显。
毫无疑问,对数据权利的设定和相应的保护,要建立在准确的数据性质判定和分类的基础上。对此,湖南大学兼职教授、中国行为法学会金融法律行为研究会会长朱小黄提出,不同类型的数据其权利结构差异很大,关键是找到合适的维度进行分类分析并进行合适的权利设计。
眼下,大量的研究、开发、营销的依据主要源于行为端数据和人身端数据,导致个人信息安全成为大数据业务风起云涌的牺牲品。然而,在互联网和大数据时代,人们用信息可以换取的经济利益日渐增多,被视为不可侵犯的隐私的范围同时亦可能会变得愈来愈小。
实际中,正如纽约大学教授艾宁德亚·高斯在其畅销书《点击》中所讲的那样,越来越多的人正在习惯于将个人信息当成货币——向企业出让自己的信息,以换取其更好的服务。当然,一些“货币”的拥有者似乎对它们的估价并不高,然而一些敏感的人则把隐私的边界扩得较大,将很多别人乐于公开的信息都视为神圣不可侵犯。
理想的状况应该是,市场上存在多类相关企业和业务,分别满足不同人的需求——更重视隐私的人,被搜集较少的信息,获得更少的个性化服务;相对不重视隐私的人,会被搜集更多信息,但可以获得更丰富、更多样的个性化服务。但遗憾的是,这种美好的情况可能会被“信息不对称”所破坏。
同时,由于个人数据可以识别出特定自然人,利用个人数据不仅可能侵害自然人隐私权等人格权益,还可能出现侵害自然人财产权的恶果。
清华大学法学院党委副书记程啸教授提出,在大数据时代,法律上赋予自然人对个人数据的权利,应是保护自然人对其个人数据被他人收集、存储、转让和使用的过程中的自主决定的利益,此种利益具体表现在多方面。
大数据时代的数据资源要素,无论其来源如何,都可被分为两类:个人数据与非个人数据。数据的“可识别性”(identifiable)是区分个人数据与非个人数据的关键标准,那些无法识别出特定自然人的数据即非个人数据。一些法律专业人士认为,非个人数据因不涉及自然人权益的保护,故法律上没有必要给予过多限制。
对于商业化数据,如果其有明确的产权归属,而所有者愿意出让时,应该令使用者可以通过付出对价,而取得这些数据的产权或使用权。朱小黄教授就提出,从本质上考量,个人隐私的保护是法律要执守的边界,商业秘密的保护则主要是契约保护问题,要通过追偿对价解决,使商业数据机密通过契约而成为流转数据。
而公共数据与其它社会产品相比,带有显著的公共资源特征。政府有责任向公众提供属于公共资源的数据,凡是政府在运用的,本质上公众都可以运用,包括互联网平台和数据公司。
数据经济的特征决定了数据必须在更多的维度和更广的领域实现流动与融合才能产生更高的价值。限制数据跨境将会对经济健康成长和发展造成影响,过于寻求对本国数据资源的绝对控制,会导致数据流动停滞和其与网络空间分裂,最终反使得本国数据主权受损。
因此,各国的数据主权管辖无法避免要与其他国家和行为体之间形成权利交换与权力妥协。目前,数据跨境流通机制的总体原则是,数据在国外主体处受到的保护程度,不低于在国内保护的程度。但就跨境数据流动安全管理总体框架而言,目前世界各国尚无统一制度安排。同时,国际社会并未对各国的数据主权管控范围进行划定,数据主权在国际法制定方面尚处空白。
必须强调的是,既然是主权,就应该坚持独立自主地处理相关事务。但是,涉及数据的主权和数据跨境的问题,目前来讲,一方面要通过努力提升技术水平以捍卫本国数据主权与数据权益,一方面确实需要通过协商谈判来解决有关分歧。同时,可以考虑积极推动建立联合国框架下的数据主权的网络空间治理体系,主张任何主权国家不论大小地位平等,反对数据霸权,强调数据治理的公平与开放。
