大数据时代数据权属及其保护路径研究

石 丹

(北京大学 法学院, 北京 100871)

信息时代,数据已经渗透到各行各业,成为必不可少的生产要素。随着互联网技术快速发展,数据的搜集、整合、分析、处理已经逐步产业化,而2015年出台的《促进大数据发展行动纲要》更是将大数据产业化提升至国家战略层面[1]。大数据发展为企业创造巨大财富的同时,也对数据安全和隐私保护构成严重的威胁。对此,法学家们不断呼吁隐私保护的重要性,期骥于设立合理的个人信息保护制度,减少数据利用带来的负面效应[2]。随着《网络安全法》的正式出台,个人信息保护得到部分回应,但是数据的法律定位及其保护方式并未得到全面解答,数据行业仍然缺乏清晰的保护和利用边界,数据的社会治理面临巨大挑战。

然而,市场竞争等不及法律的成长,顺丰与菜鸟大数据之争,腾讯与华为数据纠纷,已经暴露出数据产业竞争乱象。虽然最后由于国家政府部门及时介入,上述数据大战戛然而止,但是如果不对数据所有权、保护机制、流通权限等做出创新性安排,未来数据争夺只会愈演愈烈。数据权属和保护法律问题研究,已经成为大数据时代亟待解决的基础性理论问题。目前,相关的学术研究较为零散,国外学者已经开始从产权理论研究数据所有权问题,国内学者仍停留在个人信息人格权保护单边框架体系中,对于数据流通层面的权利构建方面的研究明显不足,严重制约数据产业健康发展和数据资源的优化配置[3]。本文拟从数据权属产生的问题出发,针对不同类型的数据设定不同权属安排,具体分析不同的数据保护规则,探讨合理的、兼顾效率和公平的数据保护和利用方式,在促进数据产业发展和保障网络信息安全间寻求平衡。

一、数据权属的产生与构建

实现数据保护与利用的平衡,必须清晰数据权属,数据究竟归属于收集者与存储者,还是产生数据的个人或组织,或是其他主体,需要考虑数据属性以及各方在收集数据中付出的劳动给予综合认定。数据权属的合理安排,必须实现为数据生产者和所有者创造价值,同时不给社会增加外部性风险。

(一)数据权属问题的产生

早期,静态的、单一的数据主要作为科研工具,没有经济价值,也不存在数据权属、数据保护的讨论,数据可以被作为公共产品处理,数据开发者可以自由挖掘、利用。但随着大数据技术的发展,经过加工处理的数据已然成为重要的价值源泉,对个人、企业以及政府都具有深远意义。比如个人利用数据,可以享受智能化和个性化服务;企业利用数据,可以显著提升自身的决策、创新和运营水平;政府利用数据,可以加强对经济增长和人口流动的监控。随着数据积累量增加,从数据的搜集、加工,再到数据的分析、交易,每一个环节都将产生巨大市场利益。基于市场利益驱动,数据稀缺性和价值属性不断显现,数据产业链中每一个主体都有对数据开发利用的冲动而纷争不断,亟需法律对数据利用规则加以调整,以便适应大数据时代的需求。上述问题产生也可以类比版权制度诞生,版权制度最初并非是为作者人格权或者创新激励服务,而是现代印刷技术出现促成高度发达的版权市场,版权市场带来的巨大经济价值需要重新构建法律体系。

(二)数据权属的根基:数据财产化

传统法律构架中,关于个人信息保护和数据利用的问题,主要是从用户角度出发,将个人信息限制于隐私权或者人格权之中,立法政策倾向于对个人信息提供“绝对”的保护。只在“知情同意”基础上,允许数据业者收集、加工和处理有限的用户数据。但上述法律范式无法适应大数据时代的社会治理格局,随着越来越多的数据资源直接或间接体现出经济价值,人格权下的保护模式限制数据产业经营活动的需求,新型权利保障问题成为学术关注焦点[4]。与此同时,数据财产权益作为一种平衡数据产业发展和个人信息保护的新方案,逐步得到各方的认可。

数据财产化相关理论最先由莱斯格提出,其主张通过赋予数据一种财产化权利,突破个人信息人格权保护的阻碍,解决个人隐私存在差异偏好的问题,促进数据大规模流通和交易[5]。与其不断调整个人数据人格权保护相关规范,不如直接通过财产化法律路径回应个人数据上的利益分配问题。回到国内,吴晓灵[6]指出数据是一种重要资产,明晰数据所有权体系是建立数据流通规则和秩序的前提条件。龙卫球[3]赞同用户数据财产权体系,同时强调重视数据经营者(企业)应有的财产地位和利益诉求。构建新时代的数据财产权事实上是在数据保护和利用之间的再平衡,传统用户角度的数据财产权体系无法解决企业数据二次利用和政府数据共享等问题,应当结合数据特征将“个人—企业—政府”放入动态框架下讨论数据财产权问题。数据财产权并非单向静态权利,而是一组占有、使用、收益和处分的所有权体系。只有肯定数据财产化利益,承认数据的交换价值,才能开始进一步研究数据权属的相关问题。

(三)数据权属的构建

数据财产权体系最重要的是数据权利归属,即数据所有权属于谁。本文按照产生或持有主体将数据分为个人数据、企业数据和政府数据分别进行讨论。

1.个人数据

个人数据,又称个人信息和个人资料*个人数据存在着不同称谓,如“个人资料”“个人信息”等等,但概念的不同主要是源于不同的法律传统和使用习惯,并无本质区别。在大数据技术下信息多以数据形式存在,本文除法条中既有表述外,一般使用“个人数据”概念,不再区分“个人数据”和“个人信息”。。个人信息按照《网络安全法》第76条定义,“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”上述定义借鉴其他国家立法经验,从内涵和外延两个层面实现对个人数据的全面覆盖。内涵上,借鉴《欧盟数据保护条例》的立法模式,将“可识别性”作为判断“个人数据”的重要标准。外延上,对典型的个人数据从不同层面加以列举。然而,上述看似周延的定义并不能削减个人数据存在的天然模糊性。具体回答某类数据是否具有可识别性,必须综合其他数据予以认定。比如,单一的网页浏览记录(cookies)无法直接对应到自然人,不属于个人数据;但结合地理位置、行为习惯等等却可能追溯到个人,构成个人数据。因此,尼森鲍姆[7]认为个人数据的保护边界并非僵化的,而是主观动态的,受制于多种因素影响,个人数据认定需要结合具体场景进行考察。

本文在数据商业应用基础上讨论个人数据财产所有权配置问题,并不排斥在个人数据存在的人格利益*参考欧盟《通用数据保护条例》,数据主体的权利包括访问权、修正权、删除权被遗忘权、异议权和拒绝权等。也有学者总结为:数据决定权、查询权、更正权、封锁权、删除权和报酬请求权等。但是数据权利界定基本都考虑到数据财产和人格双重属性,个人对数据修正、删除等人格权利并不影响数据的财产利益。一定程度上类似著作权体系,作者人身权与财产权同时附着于作品之上,并不冲突。。相反,正是个人数据人格化的特征决定个人数据权属安排应当以个人控制为核心。企业、政府在收集、使用个人数据之时,必须明示收集、使用信息的目的、方式和范围,并经由用户同意。从比较法视角观察,关于数据主体的权利内容,不同国家地区规定之间存在一定分歧,但均强调个人用户对于个人数据享有初始支配地位[8]。这种权利配置优势主要在两方面:

第一,个人数据的差异化特征。按照沃伦和布兰代斯[9]的观点,隐私权作为人格权一部分,保护个人作品及其他智力产品和情感产品不受外界干涉或侵害,是一种“独处的权利”。但事实上,不同用户对于其隐私价值判断存在严重偏差,有些用户会主动将个人数据分享出售,而有些用户无法忍受任何个人数据分布于网络。因此只有将用户数据财产权赋予个人,才能实现差异化安排,要求数据从业者在对个人数据收集、流转时征得个人用户同意,以确保数据来源的合法性。

第二,个人数据交易成本高昂。“个人数据”具有可识别性,此类数据交易可能危及用户人身财产安全,导致社会风险持续扩大。假设个人数据初始赋权交由数据收集者,个人失去对可识别性数据的控制,必将投入大量成本用于防范企业对其个人数据的收集使用,造成额外社会负担。相反,将个人数据的初始权利赋予个人,可确保数据从业者在收集、利用数据等环节征得数据主体的同意,形成高效安全的数据产业链条。

当然,个人享有初始的数据财产所有权,但个人可以通过用户协议,将占有、使用权利让渡于企业或政府,由其开发出更高效用的数据产品。这种让渡有助于实现数据高效利用,增加社会福利,符合卡尔多-希克斯效率原则*如果一种变革使受益者所得足以补偿受损者的所失就符合卡尔多-希克斯效率。卡尔多-希克斯效率由约翰·希克斯1939年提出,是福利经济学的重要原则,其哲学基础仍然是边沁的功利主义——追求最大多数人的最大幸福。与帕累托标准相比,卡尔多-希克斯效率改进的条件更宽。按照前者的标准,只要有任何一个人受损,整个社会变革就无法进行;但是按照后者的标准,虽然一方受损,但如果能使整个社会的收益增大,这样改进仍然具有意义。。需注意的是,个人将数据授权给企业,其仅授予财产性利益,个人数据中人格性利益并未转让。可以类比于肖像权,公众人物可以将个人肖像占有和使用权转让给商业机构,并从中获得财产性利益,但是个人仍然对肖像享有绝对人格性权益。正如《网络安全法》第43条规定,“个人有权在任何时候要求网络运营者删除部分或全部个人信息”,这种删除权即是基于个人数据的人格性利益保护。而企业对于个人数据使用权限是基于用户授权协议产生的财产性利益,上述次生利益不可以对抗原生个人数据的人格属性*限于篇幅所限,本文研究主要限于数据产权角度的数据权属和保护,并不重点探讨个人数据人格权、隐私权等人格利益相关问题。。

2.企业数据

企业数据既包括反映企业基本状况的数据,主要是指企业财务数据、运营数据(研发、采购、生产、销售等)以及人力资源数据,也包括企业通过合同授权直接或间接采集的个人数据集合。企业作为数据主体,对企业生产经营的相关数据享有绝对数据所有权。其他机构试图收集使用该数据,必须经过权利人同意,比如菜鸟平台向用户提供顺丰包裹回传物流数据必须得到顺丰公司的授权。企业对于其采集利用的相关数据是否拥有相应所有权,主要看数据是否经过“匿名化”处理。匿名化是通行去除可识别性特征的手段,保障企业能够对数据进行开发利用,防止数据黑客的窃取。当前,我国不管是在立法上还是司法上都将“匿名化”作为一种数据权属划分的标准*《网络安全法》第42条对“经过处理无法识别特定个人且不能复原的除外”适用特别规定,赋予网络运营者对匿名化后数据相应的操作空间。司法层面参见朱烨诉百度案,法院通过判决形式认可数据从业者抓取和利用行为。。对于匿名化数据集,企业(即数据从业者,经用户授权取得个人数据并做匿名化加工的主体)对该信息产品享有所有权。而对于未经过充分匿名化处理的数据,企业并不能享有相应所有权,个人作为数据主体的特征并未发生改变。上述规则配置的正当性应当从以下几个层面阐释:

第一,交易成本。从科斯定律出发,初始权利应当界定给能以相对较低交易费用解决外部性问题的一方,即交易成本最低的一方。在认定数据作为交易对象前提后,企业明显相较于个人对于匿名化数据具有交易成本优势。因为匿名化数据是企业挖掘、开发后形成的信息产品,是数据二次利用后的结果,赋予其相应财产权利,不再需要进行额外交易谈判。反之,如果将权利赋予个人或者政府,真正具有分析、利用数据能力的企业就必须要与个人或者政府进行谈判,造成额外交易成本负担,损害市场运营的效率。

第二,财产权劳动理论。洛克在《政府论》中提出劳动财产权理论,指出“我的劳动使它们脱离原来所处的共同状态,确定了我对于它们的财产权”。其理论核心在于确立劳动使某些自然共有物变为私人财产,但必须留下足够多且同样好的东西给其他人[10]。基于此,企业获得匿名化数据的财产权需要满足两个条件:一是“脱离原始状态的劳动”,即匿名化处理,切断个人数据的可识别性,使得个人数据脱离原有自然状态;二是“足够多且同样好”,即不能从中取出超出其能够充分利用的部分,保证其他数据从业者的收集利用,这也是数据收集正当且必要原则的体现。因此,匿名化数据权属分配核心在于“去识别化”的劳动,这才是数据交易合法性的逻辑基础。当然,数据去识别化劳动只能保证获得基本权利保护,如果企业试图获得专利权或者版权保护,仍需要满足相关特别法的规定。

其三,激励理论。企业对于个人数据的记录、存储投入了大量技术、人力成本。如果没有对“匿名化数据”设置相应法律安排,企业可能没有动力实施数据去识别化工作及后续数据开发、建模。从促进数据交易与利用的角度,法律上承认企业对于匿名化数据的权利,有助于激励企业投入人力物力进行数据处理,推动企业研发先进大数据产品,促进社会经济的发展。

3.政府数据

政府数据是指人民政府及其行政机关在依法履行职责过程中制作或者获取的,以一定形式记录、保存的各类数据资源。一般而言,政府各个部门持有构成社会基础的大量原始数据,包括气象数据、道路交通数据、电力数据、司法案件数据、海关数据、出入境数据等等。不同于个人数据和企业数据,由于政府作为公权力机关,并非市场主体,政府数据应当保留公有物品特质。除了依据相关法律规定应当予以保密的数据,政府数据应当由全体公众共享,并作为开放数据处理,供数据业者开发利用。当前,《贵阳市政府数据共享开放条例》已经出台,政府数据共享观念已经得到政府和学界的普遍认可[11]。政府数据作为公共物品开放共享主要是基于以下原因:

其一,政府数据具有非竞争性与非排他性的公共品特点。非竞争性指的是某个个体使用数据资源,并不妨碍其他个体的使用;非排他性指的是某个个体使用数据资源,无法排斥其他个人的使用。部分政府数据非常重要,关系百姓民生,但是前期收集和分析成本较高,比如气象数据、道路交通数据等等,其本身的性质决定了不适合由企业提供,交由市场配置可能会导致能够带来社会利益的数据供给不足,引发市场失灵现象[12]。相反,政府可以通过财政税收进行转移支付,以保证此类数据能够稳定地免费提供,提升稀缺资源配置效率,同时履行其公共服务的职能,这是一种符合公平和效率的法律安排。

其二,政府数据共享有助于提升政府治理能力。政府数据开放共享可以鼓励企业利用自身技术优势进行有效数据融合,通过市场制度极大提升政府数据分析能力,为有效处理复杂社会问题提供新的手段,实现基于数据的科学决策,这也是建设法治政府、创新政府、廉洁政府和服务型政府的必然要求[13]。

需要注意的是,政府数据的开放共享不等于政府数据的彻底公开,也并不意味着要对已经存在的个人数据、企业数据财产化的权属安排作出根本性改变。政府对公民权益保护仍是私权利社会的制度基石,也是民主法治社会的基础,这一总体制度特征并没有改变[14]。如果政府共享数据的方式方法侵犯了个人数据、企业数据的相关权利,仍应承担相应法律责任。因此,政府必须在确保国家安全、社会稳定和个人隐私保护等前提下,妥善处理数据安全和数据开放之间的关系,有序实现政府数据在政府、企业和个人之间共享。

二、数据保护路径

数据权属关系确定之后,并不意味数据市场进入到一个安全、高效的状态。数据流通经常会被非法获取或受到利用困扰,法律必须确保数据静态权利归属和动态交易安全。最新的《民法总则》第127条规定,“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”上述规定明确数据的利益属性,这是对数据进行法律保护的第一步,数据的具体保护规则仍然处于零散状态,尚未形成体系。具体而言,个人数据遭受不法侵害,主要通过《网络安全法》《消费者权益保护法》和《民法总则》等寻求救济;政府和企业数据泄露,主要通过刑事和行政手段处理违法行为人而获得相应保障。对于企业从用户、政府处抓取利用的数据,法院在实践中往往依据《反不正当竞争法》第2条,着重于判断数据抓取行为是否违法诚实信用原则和公认的商业道德,提供一种权益类型救济方式。这种保护路径主要是让全社会尤其是开发者的竞争对手尊重企业实质性投资,确保数据采集者、保管者能够收回相应的成本并有所盈利。但是,上述不同保护方式之间存在内生冲突与竞合,个案处理存在不同价值取向时,往往导致法律纠纷以及难以调和的学术纷争。因此,本文试图打破法律部门的间隔,以功利主义视角为基准,从提高社会效率角度重新梳理和评价现有数据保护规则。

本文运用“卡-梅框架”(财产规则、责任规则和禁易规则)[15]讨论数据保护体系,对合理配置数据保护规则提供了新的分析思路,有助于进一步完善我国数据保护规则。“卡-梅框架”作为科斯定律的延伸,被广泛应用于法经济学的分析之中,属于相对成熟的法学分析范式。运用“卡-梅框架”的意义主要在于两个方面:第一,打破单一部门法对于权利保护和救济的视域,将前文提到公法和私法层面的多种救济规则放入统一分析框架中予以评价,有助于厘清不同规制手段间的价值导向和功能差异,并且明确经济效率是大数据时代数据保护规则配置最直接的根据;第二,有助于将数据保护规则类型化,结合数据权属差异,为不同情形下数据保护规则的配置提供解释力。

(一)财产规则

财产规则指的是未经权利人授权,他人不得侵犯权利人财产。财产规则意味着最小外部干预,法律界定初始权利之后,当事人之间可以自由协商并确定交易价格。一般而言,财产规则是数据保护的通行法则,这也是数据财产化的根本要求,未经许可不得抓取和使用他人的数据,保障数据信息能够基于权利人意愿自由流转而不受外界的干预或者限制,否则可能遭受惩罚性措施。现行立法下,我国对于个人数据以及部分加工处理后匿名化的数据产品均体现财产规则。

比如个人数据,按照《网络安全法》第41条规定,法律允许权利人通过自愿方式提供数据,实现个人数据重新配置,促使数据权利流向对它评价较高者的手中。当然,个人数据流转并不一定能够按照公平自愿的方式进行,数据采集者可能会凭借自身数据开发的优势而破坏知情同意的原则,非法获取个人数据,侵害数据主体的权利。当违法行为发生后,立法机构往往会在公法视角下通过刑事制裁与行政规章对违法采集者施以额外的、高昂的惩戒,减少未来再次发生此行为的可能性。如《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对于非法获取个人信息的相关规定。这种严格的惩戒措施在“卡-梅框架”中也能得到启示,侵害财产权利的行为不可能被全部发现,考量救济措施之时需要计算未被抓获的可能性,必要之时通过惩罚性措施阻止行为人将财产规则转换为责任规则。由此,惩罚性立法和严格执法应当是数据财产规则保护之根本。

企业将收集到的用户数据进行匿名化加工制作后产生的数据产品也可以适用财产规则。经过收集、加工和匿名化处理之后的数据产品权属已经发生转变,数据中的人格属性逐步剥离,数据财产性价值突显,对于智力成果予以财产规则保护也顺应数据产业发展趋势,适应大数据时代数据保护规则建构的要求。从现有法律体系关照,这种制度设计类似于《版权法》第14条中对数据库的保护。企业对数据开发处理之后形成具有独创性的数据产品可以获得版权法保护。但如果企业对于数据加工处理未达到最低创造性要求,则无法获得财产规则下赋权模式的保护。比如在上海汉涛信息咨询有限公司诉爱帮聚信科技有限公司侵犯著作权纠纷案中,法院认为,大众点评网对于网友点评信息系按照时间顺序排列,排列方式是常见的排列方式,并不具有独创性。大众点评网中餐馆的介绍及网友点评文字整体上不构成汇编作品。从比较法上观察,欧盟的“欧洲数据库指令”是通过特殊立法方式对部分加工处理后的数据产品提供赋权式保护,并对保护期限、合理使用和强制许可均设有特殊规定,这样的立法方式值得我国借鉴。事实上,确立财产规则保护是第一步,具体规则样态设定是一个立法博弈规则。

总之,对于数据以财产规则为核心更有利于体现权利人对数据控制以及数据交易价值。数据主体可以对数据产品的提供和流通进行全面控制,并对侵害权利人意思自治的行为加以严厉惩处,保障数据主体的控制权以及企业数据开发中的获益可能性,维护数据流转的公平和效率,鼓励社会创新和发展。

(二)责任规则

“卡-梅框架”下的责任规则是指“只要愿意支付一个客观确定的价值,就可以消灭一个初始法益”。责任规则意味着更多的外部干预,通过由第三方定价强制促成当事人之间的交易,实现社会效率的最大化。理论上,当事前的交易成本过高导致自由交易无法实现之时应当适用责任规则,典型例子包括过失侵权、法定许可、无因管理等等[16]。数据保护中的责任规则核心意义在于由第三方事后补偿数据权人的受损利益,这在我国现行立法中并没有相应规定。但在法院裁判第三方抓取用户数据的相关案件中体现上述思路。从“卡-梅框架”出发,法院的认定思路有利于实现数据保护和商业利用之间的平衡,这种平衡价值体现在:

其一,如果企业对数据开发处理无法达到法律规定的最低创造性水平,但立法机构又需要对其前期投入加以肯定,只能设置一种相对较弱的保护规则,保障数据商业利用的市场秩序。当前,越来越多的市场主体投入巨资存储大量用户数据,如果不加节制放任其他市场主体使用,可能打击企业数据从业者的信心,耗费企业存储成本。但是如果采取财产规则保护思路,则会阻碍后续数据从业者的创新利用。相比之下,“弱化”的责任规则是更合理的保护路径。一方面要求后续的数据从业者对于存储数据一方支付适当补偿,另一方面也限制数据主体对于数据的绝对控制地位。

其二,“未匿名化”个人数据事前无法形成自由交易。比如腾讯和华为数据之争,腾讯指控华为收集微信应用中的个人数据,而华为并不认可腾讯对于用户数据享有的权利。由于用户数据非竞争性特点以及高昂交易成本,企业之间数据流通协议可能会面临巨大困难*按照新浪微博诉脉脉软件不正当竞争案裁判,平台收集数据的再次使用应当遵守“用户授权”+“平台授权”+“用户授权”三重授权的原则,即用户要授权平台同意收集信息,平台收集信息之后的再续利用,这个利用应当再次征得用户同意。数据共享和应用的成本不可忽视。。当然,在用户数据收集问题上,第三方客观定价补偿的方式也存在风险,法院乃至其他机构并不清楚企业为收集数据付出了多大存储成本,数据客观价值难以评估。比如在现有司法案件中,本文对判决诉求金额与赔偿金额整理分析结论如表1所示。可见,不同案件之间判赔差异很大,法院基本上是基于涉案数据的大体数量酌情认定,缺乏清晰说理论证思路,建议法院在相关案件裁判中增加量化分析,考量数据权属和特诊,提升司法定价说服力。

表1 企业抓取数据相关司法案件损害赔偿情况

(三)禁易规则

禁易规则指的是禁止私主体之间对于某些特定客体的交易。禁易规则意味着一种最强级别的国家干预,禁止任何自愿和非自愿数据流转。设置禁易规则主要是考虑社会道德风险和数据安全,允许这些权利交易会给第三方施加严重的外部成本,整体而言不利于社会效率提升。对于数据保护适用禁易规则而非财产规则、责任规则的理由在于特殊情形下数据交易可能会具有严重负外部性,给国家和社会带来不可弥补的损害,必须通过禁止交易的方式保护现有权属状态。大数据时代,数据保护仍然应当以财产规则下的自愿公平事前许可为核心,数据信息流转实践中可能会产生数据垄断、信息不对称等风险,但总体而言仍然能够实现刺激社会创新的目的。除非数据权属转让之前可以预见明显的不利结果,否则不应当轻易适用禁易规则。换言之,立法者必须能够证明部分企业数据和政府数据流通严重威胁国家安全或社会稳定,不能仅因个别流转存在风险而允许禁易规则轻易地取代财产规则。我国现行立法中主要体现禁易规则的情形如:《网络安全法》第37条中对于数据跨境流通的有关规定,《反恐怖主义法》第19条中关于恐怖主义、极端主义内容信息传播的相关规定。比较法视野中,如欧盟《一般数据保护条例》第40条禁止向未提供充分水平的数据保护的第三方国家或者国际组织传输个人数据;韩国《信息通信网络的促进利用与信息保护法》第51条规定限制任何有关工业、经济、科学、技术等的重要数据通过通信网络跨境流通;澳大利亚、加拿大等国也在医疗、电信、金融等特殊领域对数据传输进行限制[17]。

回到“卡-梅框架”,禁易规则解决的是社会外部风险问题,风险判断是需要结合当时产业发展水平和国家治理能力综合衡量,均衡安全和发展之间的利益关系,是体现立法者和司法者抽象层面的哲学思考。比如人类遗传资源、虚拟货币等是否需要绝对禁止交易,在不同时代、不同场景下是否存在严重的外部性,应当进行全面的利益平衡分析。大数据时代,数据流通监管体系需要动态调整,政府或者法院适用禁易规则之时应当考虑限度和场景问题,避免过度预防。

三、数据保护问题的隐忧

数据权属和保护规则为不同类型数据提供法律安排。随着市场化的数据交易兴起,交易人数的增多以及监管成本的上升,仅靠法律权属界定和保护规则设立无法彻底解决数据竞争乱象,以保障数据资源配置效率为基础的财产规则日益遭到挑战。面对当前数据竞争中存在数据垄断、信息不对称等社会风险问题,在不愿意牺牲流通性而适用禁易规则前提下,如何降低大数据时代数据扩散带来的社会风险?灵活运用“卡-梅框架”配置适当的保护形态,结合多层级治理手段,是可取之道。

(一)数据垄断

数据对于提高人类生活水平和推动社会发展具有巨大的潜在价值,已经成为一种重要资源。因此,索科尔等[18]提出允许数据流通之后,企业在收集到大量数据之后形成数据垄断,破坏正常市场经营秩序,阻碍数据行业创新发展。如果垄断企业凭借数据市场支配地位实现数据寻租,控制数据资源并攫取额外利益,可能极大损害消费者福利。比如,华为与腾讯数据之争,华为表示其所收集的所有数据均得到用户事前授权,然而实际上华为手机用户若不同意数据收集,根本无法正常使用手机业务,普通消费者在数据许可使用问题上失去了谈判的价值和意义。进一步而言,华为获得其手机用户的数据授权之后,其他试图在华为手机终端收集、利用个人数据的应用开发商就显得捉襟见肘。事实上,美国法院已开始对数据垄断行为进行规制,最新HIQ诉LinkedIn案,法院认为LinkedIn拒绝HIQ获得其数据的行为可能违反了《谢尔曼法》精神,做出临时禁令,裁定LinkedIn不得采取法律或技术措施限制第三方公司爬取其网站上的公开数据。

针对上述问题,本文认为应当从两个方面应对:第一,对于企业数据的权利设定限制条款,类似于著作权制度中合理使用制度。数据财产权益并非是一种天赋人权,而是法定授权(entitlement),因此法律可以基于利益平衡考量对于部分企业数据权利内容作出调整,在特定场景下允许第三方机构对于企业数据的“合理使用”,当然数据的“合理使用”不能超过必要限度,不能对权利人造成过大的损害。第二,由财产规则转向责任规则。适用责任规则而非财产规则对数据保护的主要原因在于自愿形式的数据流通交易成本高昂,经营者之间平等协商无法进行,但是数据资源的重新配置本身是有效率的。如果认为第三方数据使用行为对于创新和促进市场竞争具有积极意义,整体上能够提升社会效率,可以通过责任规则的方式允许特殊情形下的数据流转。

(二)信息不对称

大数据时代信息不对称的主要表现,不再是由于信息的匮乏性和可得性造成的不对称,而是各方对数据收集、分析、处理等能力上的差异造成的不对称。这种不对称根源于交易双方数据处理能力上的差异,导致符合公平、合理和无歧视的数据流转很难发生,严重影响数据安全和隐私保护。虽然用户对于个人数据具有核心支配地位,但不可否认,当用户将个人数据提供给企业之后,对数据有效控制几无可能。正如范为[19]所言,由于数据记录与价值发掘模式不可预测以及格式合同的缺陷,传统架构“立足之本”的“知情同意”机制在大数据时代遭遇严重冲击。这可以用“不完全契约理论”加以解释,由于人们的有限理性、信息的不完全性及交易事项的不确定性,拟定完全清晰的契约是不可能的。对于企业数据、政府数据而言同样如此,数据黑客相对于数据主体而言具有挖掘处理能力优势,使得数据泄露和非法利用事件频频发生。这种信息不对称带来的数据保护问题,使得各个数据主体担忧以数据控制为核心的财产规则法律体系无法确保其数据安全。此外,由于非法获取和提供数据的行为较难发现,即使加大惩处力度和执法强度似乎也很难真正震摄违法行为的发生。

针对上述问题,本文认为应当从以下几方面应对:其一,增强数据主体保护意识。在选择产品和服务时,对可能涉及的数据交易流通,用户应当予以重视,谨慎授予数据处理权限;其二,完善社会性的规范体系,要求企业积极履行网络运营者的管理义务,在相应场景下将数据安全风险控制在可接受范围内。此外,行业机构也应当通过自律规则等方式不断加强数据监测和记录,完善安全漏洞的审核发现体系,避免企业内部人员泄露数据行为[20];其三,利用区块链技术去中心化的特征,增加数据传输加密性,降低数据泄露风险。正如莱斯格[21]所言,互联网规制不能仅仅局限在法律中,需要法律、社会规范、市场和技术四种模式相互作用,技术可以在一些领域替代法律成为一种有效的社会治理工具。

四、结论

大数据时代,数据资源的合理配置,可以提升企业经营能力和政府治理水平,为社会经济发展创造新动力。数据产业的健康发展,亟需建立清晰权属设定和有效法律保护。本文从数据权属出发,界定不同类型数据,进而探讨合理的数据权属安排形式,并分析相应数据法律保护体系,结合个人、企业、政府三者之间互动,在隐私保护、产业发展、数据安全之间寻求平衡。

数据财产化浪潮之下,数据权属和保护的问题应当得到格外的重视。个人、企业和政府都是数据产生或持有主体,但是数据主体不同属性决定其存在不同的权利配置。个人拥有自身数据绝对的所有权。企业对于其经过匿名化处理后的数据集享有数据所有权。政府数据应当作为公共品处理,予以共享开放。在数据权属界定的基础之上,政府应当设立合理的数据保护体系,结合“卡-梅框架”,本文认为对于数据保护应当坚持财产规则为核心,体现数据主体控制权和潜在交易价值,促进数据资源向效率最大化的使用者流动。与之相应,在例外情形下,对企业收集存储的用户数据适用责任规则、对危害国家安全和社会稳定政府数据适用禁易规则。未来,对数据产品设立单行保护规则,需要在法律设计上处理好数据流通和数据安全关系,在维护竞争自由以及公平和效率之间实现有效平衡。当然,针对数据竞争中出现的数据垄断和信息不对称问题等,本文建议政府完善现有法律体系,灵活运用财产规则、责任规则和禁易规则,构建法律、社会规范、市场和技术的多元数据治理体系。

[参考文献]

[1] 付伟, 于长钺. 数据权属国内外研究述评与发展动态分析[J]. 现代情报, 2017(7): 159-165.

[2] 张新宝. 从隐私到个人信息: 利益再衡量的理论与制度安排[J]. 中国法学, 2015(3): 38-59.

[3] 龙卫球. 数据新型财产权构建及其体系研究[J]. 政法论坛(中国政法大学学报), 2017(4): 63-77.

[4] 白利寅. 论科技进步与治理转型中的新兴(新型)权利——以相关研究的述评为视角[J]. 东方法学, 2017(4): 153-160.

[5] 劳伦斯·莱斯格. 代码2.0: 网络空间中的法律[M]. 李旭, 译. 北京: 清华大学出版社, 2009: 20.

[6] 吴晓灵. 大数据应用: 不能以牺牲个人数据财产权为代价[J]. 清华金融评论, 2016(10): 27-27.

[7] NISSENBAUM H, Privacy as Contextual Integrity[J]. Washington Law Review, 2004, 79(1): 119-157.

[8] 张里安, 韩旭至. 大数据时代下个人信息权的私法属性[J]. 法学论坛, 2016(3): 119-129.

[9] 布兰代斯. 隐私权[M]. 宦盛奎, 译. 北京: 北京大学出版社, 2014: 10.

[10] 易继明. 评财产权劳动学说[J]. 法学研究, 2000(3): 95-107.

[11] 付熙雯, 郑磊. 政府数据开放国内研究综述[J]. 电子政务, 2013(6): 8-15.

[12] SCHWARTZ P M. Property, Privacy, and Personal Data[J]. Harvard Law Review, 2004, 117(7): 2056-2128.

[13] 促进大数据发展行动纲要[EB/OL]. [2016-02-28]. http: ∥www. gov. cn/zhengce/content/2015-09/05/content_10137. htm.

[14] 吴伟光. 大数据技术下个人数据信息私权保护论批判[J]. 政治与法律, 2016(7): 116-132.

[15] CALABRESI G, MELAMED A D. Property Rules, Liability Rules, and Inalienability: One View of the Cathedral[J]. Harvard Law Review, 1972, 85(6): 1089-1128.

[16] 凌斌. 法律救济的规则选择: 财产规则、责任规则与卡梅框架的法律经济学重构[J]. 中国法学, 2012(6): 5-25.

[17] 邓志松, 戴健民. 限制数据跨境传输的国际冲突与协调[J]. 汕头大学学报(人文社会科学版), 2017(7): 93-104.

[18] SOKOL D D, COMERFORD R E. Antitrust and Regulating Big Data[J]. George Mason Law Review, 2015, 23: 1129.

[19] 范为. 大数据时代个人信息保护的路径重构[J]. 环球法律评论, 2016(5): 92-115.

[20] 刘金瑞. 美国网络安全信息共享立法及对我国的启示[J]. 财经法学, 2017(2): 22-30.

[21] LESSIG L. The Law of the Horse: What Cyberlaw Might Teach[J]. Harvard Law Review, 1999, 113(2): 501-549.