数据要素权益配置的中国方案
2023-06-21商建刚
商建刚
摘 要: 中国数据要素市场的建立与运营面临诸多障碍,数据要素权益配置是亟待解决的基础性问题。2020—2022年,理论研究与实践探索同步推进,从数据控制、数据流通、数据利用三维度考察数据要素权益配置方案,产生了一批有价值、有深度的理论成果和实践经验。数据控制维度围绕数据权、数据资源国家所有、个人信息财产权、数据开放、数据安全等数据赋权问题进行研究;数据流通维度重在解决数据跨境、数据交易所、数据垄断、数据爬取等与数据流动紧密相关的问题;数据利用维度涵盖个人数据保护范式、数据刑法等制度构建的适恰性分析。三维度的研究在理论层面契合了数据“三权分置”的顶层制度设计。构建数据要素权益配置的中国方案,应以数据控制为前提,以数据流通为进路,以数据利用为保障,从三个不同层面为现行数据产权运行机制提供理论支撑。
关键词: 数据要素市场;数据控制;数据流通;数据利用;数据治理
中图分类号: TP18 文献标识码:A 文章编号:1004-8634(2023)03-0082-(13)
DOI:10.13852/J.CNKI.JSHNU.2023.03.009
一、引言
数字经济已成为“重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量”,对现代法学提出了严峻挑战。马长山提出,数字法学的研究对象涵摄数字社会的所有法律现象和规律。1 在数字法学的宏大叙事中,“数据要素是数字经济深化发展的核心引擎”。2 以数据要素作为对象的研究将数据法学从数字法学中凸显出来,所谓数据法学,是调整因数据的收集、存储、加工、使用、提供、交易和公开等数据活动而产生的社会关系的法律规范总称。数据法学是数字法学的分支,数据权利是未来社会尤其是数据社会中的基础性权利,数据法学的理论研究对于数据法治社会的制度建设将会起到奠基性作用。
2020—2022年,基于我國数字经济的实践,学界从多维视角对数据法学进行了研究,但缺乏统一的法理支撑,未能基于共同话语基础形成相应的知识体系,相关问题的应对呈碎片化状态。在这种情况下,对学界现有理论进行梳理显得尤为关键。一方面,对不同层次、不同模式的问题和研究成果及时梳理有利于新兴权利群的体系化。1 另一方面,中央深改委《关于构建数据基础制度更好发挥数据要素作用的意见》提出数据“三权分置”的顶层设计亟须理论支撑,然而目前尚未有对“三权分置”进行体系化理论研究的学术成果。基于此,笔者不揣浅陋,从数据控制、数据流通、数据利用三个维度对这三年学界关于数据的理论研究做一梳理、述评,以期为构建中国数据要素权益的理论体系提供新的论证基础。
二、数据控制:数据资源持有权
根据数字技术扮演的角色,数字法学的主要范畴可区分为对象论和工具论。对象是服务于目的的,对象是目的的工具。国务院2020—2022年连续发布《关于构建更加完善的要素市场化配置体制机制的意见》《要素市场化配置综合改革试点总体方案》《关于加快建设全国统一大市场的意见》等政策文件。作为回应,学界围绕如何控制数据展开研究,涉及数据权、数据资源国家所有权、个人信息财产权、数据开放和数据安全等问题,这些问题的展开殊途同归,聚焦到如何设定数据资源持有权这一问题上。
1.从数据权到有限赋权
《中华人民共和国民法典》(以下简称《民法典》)未明确数据的权利属性,学界存在权利化(赋权说)与非权利化(反对赋权说)之争。有学者认为数据在客体、保护内容和方式、保护效果方面与商业秘密高度契合,建议通过扩张适用商业秘密的保护对象路径对数据财产权益进行保护。2 孔祥俊则提议在《反不正当竞争法》(以下简称《反法》)中创设数据专条,参照商业秘密的保护范式对数据提供权利式保护。3 沿着数据权利化的轨迹,如何调和数据多主体属性带来的权利冲突也是研究热点。沈健洲从数据主体期待可得利益视角出发,主张按照是否承载、公开个人信息对企业数据进行差异化设计,并赋予企业在个人权益优先与公开数据合理使用限制下完整的企业数据财产权。4 王利明则认为,霍菲尔德(Wesley Hopfield)的“权利束理论”可作为数据权利的一种分析框架,将数据权益视为多项权益的集合,才能在最大限度促进数据流通的同时保护个人权益。5还有学者对“权利束理论”进行扬弃,认为其不利于数据权体系的构建,并基于德国法学家贡塔·托伊布纳的“反省法”(Reflective Law) 提出“数据权利块”理论,作为数据权利研究的第三条道路。6与之类似的观点认为,应当将数据权利纳入数据确权之中,对非开放数据以知识产权法进行保护,对不构成知识产权的数据通过“所有权+用益权”的模式进行保护。7 反对赋权说的学者认为数据是事实而非权利,应允许具有利益关系的数据持有者通过合同和技术措施分配数据使用权益,从而将数据利用的问题留给最了解商业运营实践的企业,以此保护企业的数据权益和经营利益。8
赋权说与反对赋权说的主要争议在于:赋权能否有助于发展数据要素市场。赋权说的理由主要有四点:其一,明确数字财产权属是培育数据要素市场的必然要求,可以挖掘数据的潜在价值,提高数据共享效率和利用创新。其二,模糊的数字财产权将给数字产品交易带来巨大隐患。数据产品具有秘密性,在数据交易环节,买方需检验数据的质量,而一旦买方获取数据,数据则丧失了秘密性。若不赋予卖方对数据的权益,则卖方在买方取得数据之后无法维护卖方的合理利益。其三,对商业数据的立法保护是回应数据产权制度顶层设计的重要举措,对商业数据进行立法是落实数据产权制度设计的举措。其四,司法实践证明了赋权路径的可行性。当前的司法实践已对数据权益提供《反法》、商业秘密、知识产权的权利化保护,数据赋权已经具备实践基础。然而,反对赋权说学者与赋权说学者的认识完全不同,主要有三点反对理由:其一,数字要素市场与数据要素确权是不存在强关联的两个问题。数据要素市场比数据要素确权更为重要,如果制度供给不符合市场需求,将使制度成为一纸空文乃至增加社会交易成本。其二,数据财产权制度是对数字市场的干预。数据财产权面临权利多主体分配难、个人隐私威胁、数据垄断、数据权利期限难以划定以及权利存在例外规则等挑战,法律径直进行干预破坏了市场经济的自我调节能力。其三,赋权说将衍生多重新的问题。对数据进行赋权带来的问题远大于其可能带来的收益,这不仅会遏制数据交易,新型数据财产权的诞生还可能动摇物权制度的根基,新旧制度、理论的龃龉将引发更复杂的冲突。整体上看,赋权说与反对赋权说的学者几乎未进行实证分析,其观点的论证效力较弱。以赋权模式为代表的形式主义范式和以行为规制为代表的实质主义范式均无法解决数据权益要素配置问题。
2020—2022年,数据制度实践走出了有限赋权的进路。学界逐渐认识到,数据权益是基于数据控制管理关系而产生的“数据控制权”,这是一种排他性较弱的新兴财产权,其制度价值在于保障数据控制者在数据流转之后仍然享有数据相关权益。1 该理论认知对实践中如何解决数据控制难题产生了较为深刻的影响。实践中,《关于构建数据基础制度更好发挥数据要素作用的意见》以“数据资源持有权”替代“数据权”的新路径,至少存在以下优势:其一,“数据资源持有权”更强调数据的资源属性,而非事实属性。“数据资源”以“资源”对“数据”进行限定,意图深挖数据资源的经济价值,弱化数据是否应当赋权及如何赋权的争议,放大数据在流通利用中作为资源的经济价值,把促进数据流通利用作为数据治理的核心内容。其二,“数据资源持有权”更加强调持有、控制,而非所有。所有权的取得包括原始取得、继受取得,是静态的,数据的内容是信息,信息具有流动性、无法预测性,静态的权利体系无法承载动态的数据权益。“持有权”强调“持有”是动态的,与数据的流动属性契合,数据权益随数据流通而流动,赋予数据权益的动态属性,形成动态数据与动态权益的对应。其三,“数据资源持有权”更加强调合规持有,而数据权不具有此含义,数据权仅从赋权角度对数据本身进行考量,数据资源持有权则将数据置于数据的全生命周期之中,从数据流动的视角对数据合规提出要求,强调数据的收集和处理必须合规。总之,数据资源持有权更加吻合数据的控制特性。相信在今后的理论研究中,学界将放下权利化与非权利化之争,将研究的重点聚焦到如何为数据三权分置提供理论支撑以及相应的制度设计上来。
2.从数据资源国家所有权到搁置所有权争议
数据资源具有多重内涵,可对国家治理产生深刻影响,故有些学者提出数据资源应归国家所有。具体理由包括:其一,基于数据控制者理论,区块链上的政务数据归国家所有。2 其二,公共数据的权利归属是兼具政治与法律双重面向的宪法学问题,基于无知之幕的契约主义,公共数据应归国家所有。其三,国家基于保护公共资源的国家责任而管理和维护公共数据,因此公共数据归国家所有。其四,更有甚者,认为数据资源作为一种“类自然资源”具有公共财产的属性,依据宪法规定的“公共财产归国家所有”的文义扩张解释,所有数据资源应当归国家所有。3 事实上,赞成数据资源国家所有的学者寥廖无几,且提出该主张的并非宪法学者。
笔者认为,即便按照数据资源国有权论者的主张,宣告式确认数据资源归国家所有,类似于土地、国家自然资源归国家所有一样,仍需要通过赋予土地承包经营权、矿山开采权等经营权来调整私人民事主体之间的私法规范。因此,仅仅赋予数据资源国家所有权的概念,无助于解决如何保护持有数据产品的经营者的合法权益问题。无论是国家所有、社会所有、企业所有还是个人所有等争议,本质在于通过立法的形式明确数据集合的控制权位阶高低,然而,正如无法简单分割个人权益和集体利益一样,控制权位阶的高低也很难论证,数据所有权也就无从明确。数据资源持有权制度则开辟了新路径,以“持有”代替“所有”的方式是划分不断流转的数据权益的有效方式。因此,面对数据资源所有权的争论,“数据资源持有权”的概念临空出世,搁置了数据资源归属的主体多样性问题。
3.对个人信息的保护从“财产化赋权”到“人格权回归”
个人信息是具有重大经济价值的资源,围绕个人信息与隐私权的关系以及“个人信息保护”是否等同于“个人信息权的保护”等问题均有不同观点,对于个人信息的保护路径在研究方法上存在着法解释论和立法论的对峙。法解释论认为,《民法典》中的“个人信息”含有财产属性:其一,通过对《民法典》体系化解释能够推导出个人信息具有财产属性。1 其二,《民法典》打通了通过人格权益对个人信息人格利益和经济利益进行保护的进路,自然人就其个人信息享有的人格利益和经济利益都可以通过作为人格权益中的个人信息权益予以涵盖,无须再确认作为“财产权的个人信息权益”。2 其三,数据具有数据载体和数据内容的双重结构,数据内容与是否具备人格权属性这一讨论并不具备必要之关联,数据载体以及数据内容仍是以财产属性为基准的。也有解释论学者反对赋予个人信息财产权,认为个人信息财产权理论在逻辑上难以自恰,财产权益分配模式不利于信息产业,且不易于维护社会整体人格权益。3 立法論学者则主张直接赋予个人信息财产权。个人信息财产权理论的提出最早可追溯至20世纪70年代,当时就有美国学者提出赋予个人信息以财产权。近几年的学术研究中,姬蕾蕾从利益产生的角度对数据权益进行划分,主张将数据分为数据集合和数据产品,对前者设置有限排他财产权,对后者设置新型财产权。4 申卫星认为,隐私、信息、数据的关系是数据法律问题研究的前置问题,但三者的概念仍未厘清,应明确三者分别处于事实层、描述/内容层、符号层,并相应设置隐私权、个人信息权、个人数据所有权,以清晰界分三者的关系,从而形成数字时代个人权利的差序格局。5
无论是解释论者还是立法论者,国内学界建议设立个人信息财产权的呼声很高。然而,笔者认为,西方学说不能成为中国引进个人信息财产权的理由,个人信息的财产属性不应获得法律承认。这是因为:首先,按照民法理论,人格权与财产权分列。一个权利不可能既是人格权又是财产权,个人信息属于人格权的范畴。主张个人信息既有人格属性又有财产属性的个人信息财产权理论与民法基本理论不符,将导致民法理论的错乱。其次,个人信息关乎人格尊严和人格自由。中国社会主义国家性质不应允许人格利益财产化。法律需要赋予个人完整的不受剥夺、不能处分的控制个人信息的权利,以确保其人格独立和自由。第三,人格权财产化无助于对个人信息的合理化利用。一旦有人低价出售、不当或非法利用个人信息,则会贬损人格利益,进而造成社会整体人格利益的下降,产生更大范围的人格权益侵害。最后,若含有个人敏感信息的数据集合可以交易,势必会系统性侵害个人隐私。因此,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)以保护个人信息权益为核心,直接规定任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。《个人信息保护法》作为个人信息保护的基本法,实际上终结了个人信息财产化的讨论。数据资源持有权并未将个人信息等原始事实数据包含在内,与个人信息保护法的基础理念一致。进言之,既然个人信息不得交易,也就没有对个人信息设定财产权的必要。需要澄清的是,对个人信息设定财产性权益与侵害个人信息的金钱损害赔偿责任是两个完全不同的概念。正如侵害名誉权、荣誉权等人格权的金钱损害赔偿制度一样,将个人信息纳入人格权范畴不会导致个人信息受到侵害之后无法获得金钱损害赔偿的处境。
4.从单一场景到多元场景的数据开放
技术变革是社会治理现代化的重要推动力量,数据的开放特性是数据的本质属性之一,从一开始的政府数据开放,到开放银行、医疗数据开放,引起了学界的关注。未清晰构建数据资源持有权制度,是遏制数据开放、各种学说观点林立的根本原因。
中国至今没有一部专门规定政府数据开放的全国性法律,政府数据开放的制度面临严峻考验。政府数据开放共享的理念和原则尚未厘清,政府数据在公法上的概念、在法治体系中的地位均不明确,地方数据开放实践差别较大。在政府数据开放制度构建过程中,应确立公众参与原则,以促进公众对政府数据资源的再利用。1 笔者认为,应进一步扩大政府数据开放应用的试点城市,就政府数据开放的应用场景、开放路线、开放标准等及时总结地方经验,国家层面的统一数据开放立法亟须学界的理论供给,可以预见,政府数据、公共数据开放是未来数据法学研究的热点。
开放银行的实践先于制度,其核心是金融数据的流通与共享,而中国开放银行的法律规范缺失。开放银行面临的问题包括,“知情—同意”授权规则的载体难以充分保障个人客户的知情权,数据泄露风险、与第三方机构共享数据的关联性风险、数据权利冲突、促进竞争的悖反和金融风险复杂化、监管缺失风险等。2 笔者认为,破除信息孤岛是开放银行的理论基础,数据法学对开放银行的研究尚在起步阶段,根源在于“知情—同意”的授权规则、数据资源持有权等基础法律概念内涵不清,除此之外,开放银行制度还面临政策、规划、科技、服务等多方面的挑战,未来应以个人信息人格权保护为基础,通过数据资源持有权构建以服务客户为中心的开放银行制度。
医疗数据开放方兴未艾,亟须理论供给。一方面,医疗数据权属不明掣肘医疗数据的开发利用,表现在患者对本人医疗数据不可控、隐私泄露、共享效率低下等方面;另一方面,侵犯个人医疗数据信息事件频发,对个人医疗数据信息的侵权救济乏力。有学者从医疗数据形成和实际控制角度进行研究,认为医疗数据权属应兼顾患者个人、医疗机构、卫生健康管理部门三方的医疗数据权益,建议赋予医疗机构“医疗数据控制者权”这一数据财产权。3 美国以《经济和临床健康信息技术法案》为核心的医疗隐私制度限制了病例数据的利用,路易斯·恩里克斯-萨拉诺(Louis Enriquez-Sarano)通过法教义学分析认为,国会应对医学研究进行伦理审查和道德监督,激励为学术研究人员开放访问权限以共享医学病例数据。4 笔者认为,如何平衡个人隐私保护和医疗数据的利用是医疗数据开放的研究重点,基于数据控制者角度构建医疗数据的共享与保护制度是值得进一步研究的课题,也是数据资源持有权制度的具体应用。
数据开放场景还将不断扩张,无统一概念对数据开放进行规范,因此,容易出现数据权属分配不统一,数据流通制度衔接差等问题。现代社会愈发强调不同领域的连接,需要各场景下的数据开放制度处于同一体系内。数据资源持有权基于事实控制划定权利边界,可以作为各种场景下数据开放制度的基本准则。
5.聚焦私法的数据安全
数据必须是安全的,数据安全是有价值数据的前提。一方面,互联网平台已成长为数据生产要素提取加工者、数字经济基础设施建设者,传统民事侵权责任理论已无力涵盖平台数据安全保障义务的庞杂体系与多样化内容,需要赋予平台更多的数据安全责任。另一方面,数据安全法律体系定位不明、内容模糊庞杂,阻碍了数据要素的市场化配置。基于此,有学者认为信用的本质是一种特殊的数据,通过构建信用法律体系对数据安全进行规制,有助于让数据主体产生维护数据安全的内生性动力。5 陈兵建议,应基于场景化理论厘清数据分类分级制度定位和实施规则,将数据分类分级制度贯穿于数据生命周期并建设负面清单制度,从而维持数据保护和流转间的动态平衡。6 马忠法、胡玲通过法教义学分析后建议从宏观和微观两个层面完善实施细则,在宏观层面应完善政府数据保障体系,指导企业构建数据安全体系,加强数据安全执法;在微观层面应明确企业数据安全责任、提升个人数据安全意识。7 面对愈发强烈的数据安全需求,通过数据资源持有权可构建“谁持有、谁负责”的数据安全制度,有助于避免過于复杂的数据安全制度设计。
综上,数据资源持有权是数据的基本权能,面对数据资源赋权、是否构建个人信息财产权、数据开放、数据安全等问题,其更加吻合数据的实际控制状态特征:其一,数据资源持有权搁置了数据权属争议,能为各方所接受,有利于以此为基础建立数据流通制度。其二,数据资源持有权排除了对个人信息的交易,能对个人信息进行强保护,与《个人信息保护法》的基本思路一致。其三,数据资源持有权能有效解决数据开放场景多元化的问题,形成数据开放治理体系。其四,数据资源持有权可以明确数据安全责任,有助于建设数据安全责任制度体系。
三、数据流通:数据产品经营权
开放和安全是有价值、可交易数据的两项基本特质。以安全为保障,以开放为手段,在数据利用过程中会产生数据各方主体之间的流通。2020—2022年学界对数据流通的研究重点从数据跨境流动、数据交易所、数据垄断、数据爬取等层面展开,可以上升到对数据产品经营权如何流转的讨论。在文字表述上,“数据流动”与“数据流通”、“分类分级”与“分级分类”、“数据利用”与“数据应用”的概念混用,“创新性劳动”与“创造性劳动”的概念并未严格区分。
1.具有国家竞争色彩的数据跨境流动
以美欧为主导的数据跨境流动监管协调方式不符合发展中国家的现实需求,1 数据跨境流动的治理困境已上升为国家层面的利益冲突。2 在自由贸易协定中,对数据跨境流动的限制包括来自电子商务或数字贸易章节下的限制、一般例外条款下的限制以及安全例外条款下的限制,三者在适用顺序方面存在争议。3 企业在数据跨境问题上面临“走出去”和“引进来”的双向合规难题,各国数据跨境制度具有明显的主权色彩或国家利益倾向。整体上看,欧盟《通用数据保护条例》以数据保护为核心,美国以数据自由为核心且通过《澄清域外合法使用数据法案》获得数据执法的域外管辖权,其立法与司法中均未对数据权属问题予以明确,而中国界定数据主权的相关法律亦存在缺失。4 与他国实现“共享”数据必须找到正当依据,笔者认为,引入数据产品经营权的概念,将研究数据跨境流动的问题建立在服务贸易、产品贸易的现有制度和理论基础之上,厘清共性与区别,可打开研究数据跨境流动的新视野。
2.方兴未艾的数據交易所
数据交易所在中国各地广泛设立,有形数据交易市场引起了学界的关注。总体上看,数据交易所的生存发展面临三大难题。其一,中国数据交易所的运营模式、相关制度、法律法规和行业标准滞后甚至缺位。其二,数据的基本法律制度缺失、数据资产的地位和估值标准未建立、数据交易隐私保护体系不健全等三个“元问题”阻碍了数据要素的流通和利用。其三,在数据合规的背景下,数据主体面临数据合规科技的潜在风险,数据处理模式被深度重构,散见于各层级法律的信任维系、目标纠偏、损害救济、权利保障和隐名消除等机制均不同程度失灵。目前,中国需要对既有机制进行补强和完善,构建以变应变的数据合规科技的动态规制体系。有学者建议以要素市场化配置为中心,明确数据交易场所的法律地位为公益性的公司制自律性法人,通过优化平台运营模式、完善数据交易场所信任机制和交易机制、健全内部交易市场治理和配套的外部监管体系的方式来建设数据交易场所。5
围绕可交易数据产品,有学者认为,可通过明确个人信息的权属以及用户知情权的范围来协调企业数据财产权与用户个人信息权益之间的冲突,通过限制个人信息交易的范围并引入被遗忘权来协调企业数据控制权与个人数据被遗忘权之间的冲突,通过构建个人信息的多元协同保护机制来协调企业数据的易泄露性与个人敏感信息的非公开性之间的冲突。6 还有学者将企业数据分为原始数据、数据集合、数据产品的类型化范式。针对数据产品和原始数据混同使用的情形,有学者指出数据产品和原始数据集合具有四点区别:其一,数据产品有智力劳动投入;其二,数据产品不直接涉及用户个人信息;其三,数据产品具有排他性和竞争性;其四,数据产品不能被公开获取。1 目前数据交易所交易的标的是数据产品,交易方式采取许可使用模式,数据产品的买方需进行资格审查且买方使用数据产品应遵守卖方的使用限制。笔者认为,相较数据产品,数据产品经营权作为数据交易所交易的标的,具有不可比拟的优势。通常而言,产品是面对社会公众的标准化商品,一般不设置对买方的限制性条件。“数据产品经营权”则可以设置买方获得提供方经营权的资格要求,因此“数据产品经营权”交易比“数据产品”交易更加吻合数据合规流通的特征。
3.逐步形成体系化研究的数据垄断课题
学界对数据垄断从命题证成、规则重构、机制优化三个层面展开,逐步深入递进。
其一,数据垄断的命题证成。传统滥用市场支配地位行为的形式外观无法识别大数据滥用行为,芝加哥学派以“价格理论”为核心的反垄断理论无法识别和规制超级平台数据垄断。针对上述问题,梅夏英以公私法结合的双重视角对“数据垄断”命题进行证成,认为数据可以被控制,具有一定的排他性和竞争性,可形成数据垄断和基于数据的垄断两种垄断类型。2 还有学者采用结构性效果主义模式进行分析,将隐私、选择多样性、服务质量等剥削性滥用行为纳入反垄断规制的范畴。3 付新华认为,应基于“公共事业理论”将超级平台及其垄断的数据资源作为公共事业进行管理,采用新布兰代斯学派对反垄断法市场结构理论进行复归,利用公共事业理论对超级平台数据垄断进行规制。4
其二,反垄断法律规则重构。数字经济时代,平台、数据、算法三元融合形成了市场竞争新格局,基于工业经济形成的现行反垄断法亟须重构。有学者通过比较法研究,提出需要对反垄断法的立法目的和价值体系进行重构,体现为拓展竞争的概念、吸收《电子商务法》第22条和第35条、增添必要设施原则、配置相应监管和执法范式。5 宋皇志认为,大数据兼具促进竞争与限制竞争的效果,应从大数据收集、使用维度进行企业数据独占地位滥用的审查。6
其三,数据要素市场反垄断机制优化。数据要素市场的发展,冲击着现行竞争秩序,区域数据交易造成了数据交易市场的分割,滥用行政权力会形成行政性垄断。目前无法通过反垄断法对经营者限制利用“数据池”、排除市场竞争进行规制,有学者认为应在一般垄断协议分析框架的基础上进行促进竞争和反竞争效果的个案衡量。7 还有学者进行实证研究后认为,应在效率和安全的理念下,从企业、市场、政府三个层面完善数据要素市场的竞争法治,细化企业新型不正当竞争和垄断行为的竞争规范、构建统一要素交易市场、防止行政性垄断,实现数据要素市场的有效竞争。8
4.数据爬取需要“去原罪化”
数据爬取是数据流通的主要方式之一,对数据爬取的私法、公法治理值得单独梳理。实务中,数据爬取行为引入竞争法分析模式,造成法律适用竞合进而导致“同案不同判”,利用《反法》第二条原则性条款对数据爬取进行规制的范式存在争议,尽管最新的《反法》修订草案对数据爬取进行了一定规制,但现有竞争法保护模式仍然无法对数据爬取侵权所涉及的多方主体提供救济。数据爬取私法规制的缺失阻碍了数据流通,针对爬虫类型的犯罪存在“司法犯罪化”之嫌,学界主要从民法、刑法、行政法角度展开研究。
就民法规制而言,针对《反法》第二条的模糊性,有学者认为《反法》应符合经济学理论的经济效率评价标准,应参考反垄断法的分析框架,通过对竞争效果、合理理由等进行分析,构建相对确定的《反法》第二条分析模式。9 在数据爬取视角下,数据爬取者不仅应承担对数据企业和信息主体的故意侵权责任,还应承担基于过失对信息主体造成侵权的补充责任,以弥补数据爬取侵权救济的缺位。1
在数据爬取的刑法规制方面,利用爬虫技术侵害企业数据商业秘密法益的认定存在困境,亟须对商业秘密、商业数据的概念、侵犯财产性利益数额认定以及法定量刑情节做出司法解释,以明确企业数据的财产属性,在刑法扩张保护机能与罪刑法定之间取得平衡。2 为此,姜瀛在网络爬虫技术规范分析的基础上,通过典型案例类型化研究厘定刑法规制网络爬虫的边界并确立刑法介入大数据产业的合理路径。3
当前行政法方面对网络爬虫规制的研究相对单薄,有学者认为,通过完善行政法规制爬虫的法律依据及执法机制,有利于构建更有效、更温和的行政法精准治理对策,形成超越单一治理模式的多元立体治理格局。4 中国个人生物信息保护相关的法律法规并不协调,张勇通过法教义学分析认为,应以风险预防为主要原则、利益平衡为补充原则构建刑法前置性行政法律规范,以实现行政法与刑法之间的有效衔接。5
数据爬取技术在中国面臨困局。爬取已经公开的个人数据并且进行匿名化处理,能否作为合规的数据产品进行处理?数据处理者是否享有数据加工使用权?爬取他人收集的公开原始数据是否能享有数据加工使用权?以传统观点来看,基于非法数据爬取形成的数据产品是“毒树之果”,不能承认其合法性。然而,数据爬取是数据流通的主要手段,源自非法证据排除的“毒树之果”理论过于严苛。一概禁止数据爬取,将会剥夺数据的社会价值。美国学者雅克拉·卡瑞(Jacquellena Carrero)认为,在美国宪法第一修正案视野下,数据爬取行为会导致隐私保护和言论自由之间的冲突,建议对《计算机欺诈和滥用法》(CFAA)的准入条款进行限缩,在防止隐私滥用和保障数据安全的前提下,允许记者和科研人员在基于公益为导向的活动中进行数据抓取。6 也就是说,在有些场景下,数据爬取可能“去原罪化”。实践中,无论通过收集还是爬取形成的数据集合均可能具有不合规的“原罪”,必须对经过加工之后的数据产品“去原罪化”,才能最大限度地促进数据流通。
笔者认为,数据跨境流动、数据交易所、数据垄断、数据爬取是典型的数据流通问题。美国坚持数据流动的自由价值,欧盟在GDPR之后围绕充分发挥具有公共利益属性和经济效益的数据价值,不断更新立法,诸如《欧盟数据战略》《数据服务法》等,中国坚持数据流动的安全价值。2022年8月26日中美两国签署审计监管合作协议,一定程度上缓解了中美就中概股审计底稿信息及数据出境要求之间的冲突。对数据的使用会产生新的数据,“数据产品经营权”比占有、使用更为深入,更能揭示数据的经营价值。把数据作为一种经营权进入流通领域,有助于更好地发挥它的商业价值。面对数据跨境流动、数据交易、数据垄断、数据爬取等数据流通问题,数据产品经营权能妥善治理。具体表现为:其一,“数据产品经营权”脱胎于洛克劳动理论和激励理论,产生于数据企业对数据的加工,本质是一种竞争性利益,以此为基础可以建立数据反垄断理论体系。其二,“数据产品经营权”是数据要素市场下的概念,与数据共享、流动、交换、跨境等数据交易行为强相关,能有效支撑数据交易。其三,“数据产品经营权”强调对数据产品的经营性权益。数据产品是指加工处理后的数据衍生产品,是用于数据交易场景下的数据资源集合载体,可有效预防数据垄断。其四,“数据产品经营权”可以通过经营权的模式阻断数据爬取的原罪,从而实现数据爬取“去原罪化”。
四、数据利用:数据加工使用权
数据要素市场化作为数据基础制度的重要实践,其配置必然仰赖健全的数据利用制度。对数据进行利用的边界为何?2020—2022年学界对数据利用的研究包括数据利用治理、“知情—同意”原则、数据刑法规制等角度,这些研究最终均可落实到对数据加工使用权的保护上。
1.数据利用治理体系庞杂
数据利用受限于隐私、信息与数据,学界就三者之间的关系进行了深入研究。龙卫球认为,“《个人信息保护法》与《民法典》作为并存基本法,在个人信息保护制度设计上存在明显差异”,1 张建文和时诚认为,个人信息权益具有人格尊严和资源性双重价值,私密信息具有隐私权和个人信息权益双重属性。个人信息受保护已经毋庸置疑,关于如何保护的问题学界从宪法、权利配置、数据治理以及技术等多维视角展开。
其一,宪法视角。个人数据的权利基础为何引发了激烈的争议。王锡锌认为,个人数据保护的权利基础是宪法上国家所负有的保护义务,并以此为基点提出“个人数据受保护权—国家保护义务”的框架。2 马长山将数字人权理解为第四代人权的观点,提议将隐私权和个人信息保护上升到基本权利的高度进行宪法保障。3 刘志强则强烈反对第四代数字人权的提法,认为“数字人权”只不过是人权的数字化。4 崔聪聪则认为,“权利保护模式”造成个人数据主体和个人数据处理者之间存在龃龉,个人数据的防御性利益才是法律保护的数据利益。5
其二,权利配置视角。个人数据处理过程中存在多重权益冲突,数据人格权保护模式虚置,侵犯个人数据行为的民事归责路径不明晰,受害者无从获得直接具体的侵权救济。有学者主张适用数据场景化保护模式对个人数据进行分类分级保护,赋予网络平台保护个人数据的义务。6 商希雪通过法教义学分析认为,侵犯个人数据的主体,既应承担对人格性、财产性利益等现实性利益损害的民事责任,也应承担非现实性损害的民事责任,甚至承担惩罚性赔偿责任。7
其三,数据治理视角。针对个人数据权利私法化强保护模式与数据社会化利用之间的矛盾,学界积极寻求应对方案。高富平等基于利益相关者理论,提出个人数据保护亟须从保护模式向治理范式转型。8 有学者通过政治经济学分析认为,数据权利保护的个人控制模式和社会控制模式均未考虑数字资本异化对数据权利保护的影响,数字资本的运作带来数字身份、数字劳动、数字消费三重异化,应从追求数据“静的安全”转向追求数据“动的安全”。9 与欧盟的数据保护官(DPO)制度相对应,《个人信息保护法》第58条第1款第1项缺乏实施细则,张新宝通过梳理该条款的理念和形成路径,建议此条款的适用对象为大型互联网平台企业,条款中的独立监督机构是设置于大型互联网平台企业中完全独立的机构,且对任职人员有数量、比例、资质的要求,该机构只负责监督企业个人数据保护和个人数据处理活动的合规情况,以促进《个人信息保护法》的实施。10 大卫·阿尔波特(David Alpert)通过行为经济学分析认为,数据收集越广泛则侵犯隐私权益的可能性越高,应当参考“庇古税”构建数据税收制度,以限制企业收集数据的范围和能力。11 多位学者认为仅靠私法无法充分保护数据权,国家负有保护个人信息权利的义务,建议健全信息保护请求权的行政法规制路径,在部委管辖的基础上,于各地增设大数据发展管理局作为行政监管职责部门,通过规制政府信息收集和建立行政救济路径进行数据的行政法保护。12
其四,技术视角。数字信任危机造成个人安全感消解、隐私焦虑、数据流通与安全兼容度低,建立激励相容的个人数据保护制度框架迫在眉睫。美国联邦法院于1984年在索尼案中所创制的技术中立原则受到了严峻挑战。技术中立原则常常被用于反对法律对技术的监管或者为技术服务者免责,然而大数据、算法时代难以实现价值中立、责任中立。1 有学者认为应以“技术向善”为导向加强隐私保护技术的研发。2 王灏提议应提高公民个人信息意识,以增强公民对信息安全威胁的感知能力,形成公民自我信息保护的格局。3 黎四奇则提醒,现有法律不能调和技术水准高于伦理水平的宏观矛盾,也不能调解数据开放与滥用个人隐私、数据安全之间的微观矛盾,应将伦理规则植入科技研发、推广、使用环节,以实现数据科技伦理的法律化。4
笔者认为,数据利用受隐私、信息、数据三层面的限制,应从治理范式而非保护范式进行数据治理。个人信息具有内容与事实利用两种属性,其内容体现为人格性利益,所谓事实利用是指从数据层面利用个人信息。相较于欧盟《通用数据保护条例》提出个人数据权,美国采用“信息隐私法”(Information Privacy Law),中国采用“个人信息保护”的概念,通过人格权和数据法两种途径,分别保护个人数据的内容与个人信息的事实利用,这种区分能恰当平衡数据人格利益与数据共享之间的冲突。对个人数据的侵害可以通过损害赔偿的方式进行救济。但是,此种损害赔偿的经济救济与权利属性不能混为一谈。相较于美国、欧盟的个人控制模式,中国采取数据治理模式更符合数据的多种利益属性,企业通过聚合数据产生数据权力,得以影响公民社会的各方面,数据集合由一平台复制到另一平台的本质是复制了该数据权力,采取数据治理模式更利于在数据合规的前提下发挥其经济价值。5
2.数据主体“知情—同意”原则的优化方案乏力
数据主体权利的行使是平衡数据经济利用与数据保护的重要途径。然而,数据共享要求与隐私权保护价值目标之间存在矛盾,经济利益追求与用户隐私人格利益排他性保护要求之间存在冲突。“知情—同意”原则或者“告知—同意”规则需要优化,学界提出了不同的解决思路。万方认为,“告知—同意”模式难以获得无效力瑕疵的用户意思表示,不能真正保护数据主体,应设计同意撤回权这一人格权体系下的撤销权作为“告知—同意”模式缺陷的补足。6 贺小石则通过比较法研究认为,隐私政策具有合同属性,使用格式条款贯彻“知情—同意”仍是保护信息安全成本最低的方式。7 优化“告知—同意”原则的最大问题在于如何与数据主体权利进行统合。以数据可携带权为例,该权利赋予数据主体无障碍地获取与转移个人数据的权利。然而,数据可携带权与基于“告知—同意”原则建构的“三重授权原则”在价值观念和流通规则方面存在共时性冲突,有学者基于法律价值博弈模型,通过引入场景理论、数据盗用理论、原位数据权理论对个人数据可携带权和“三重授权原则”进行调适。8
笔者认为,发端于1970年欧洲的第一部个人信息保护立法《德国黑森州信息法》确立的“告知—同意”原则,体现自然人的信息自主权和信息自决权,面临着虚置的风险。以“告知—同意”原则为基础建立的个人信息保护制度的根基已被动摇,中国学界对此发出批判和挑战,并积极寻找弥补方案。如何对“告知—同意”原则进行优化应当主要考虑数据主体权利的调整。一些数据权利,如个人数据可携带权,不利于数字市场的良性竞争,中国法学从司法实践中总结出“三重授权原则”更是受到学界的普遍批评。放弃个人数据可携带权有利于形成企业数据产品,进而减少“告知—同意”原则与数据主体权利的冲突。现有研究囿于治理企业的传统进路,基本未从如何降低数据主体过高的权利视角进行研究,不利于数字社会的综合治理及其治理平衡。
3.数据刑法不成体系
中国当前数据刑法体系在面对数据威胁型网络黑灰产这一典型样态时,表现出明显的规范评价分歧、法律规制不力等现实问题。刑事司法领域法律制度缺失以及司法信息化增加了数据安全风险,相较于民法,刑法对个体法益的保护机制更加不完善。由于刑事法律体制存在较大差异,在数据刑法保护方面,欧美可供借鉴的理论与制度不多。从研究来看,中国学界的研究重点在于刑事司法体系、刑事侦查、证据、罪名、审判等多层面。
数据安全刑事保护制度需要革新。时延安认为,应将数据权益等同于物权,构建与财产犯罪协调的罪行设计,完善数据安全的刑法保护路径体系。1 江溯则认为,大数据的使用使刑事司法体系完成了从局部到整体、从抽样到全体、从因果到相关、从回溯到预测的思维转型,应当确立数据决策的辅助性地位,以此为基础强化数据监管和算法管制,确立个人信息调取的基本原则。2
刑事侦查环节收集公民信息存在权利滥用、侵犯隐私的风险。梁坤指出,收集电子数据的授权性措施可能限制或侵犯自然人的基本权利,他从基本法理角度对任意侦查理论与强制侦查理论进行分析,建议从“完全不涉及”“部分涉及”“绝对涉及或推定涉及”基本权利三个方面对电子数据及相应取证措施进行分类限制。3 有学者认为,应通过宪法解释将位置服务数据纳入宪法保护,利用规范性文件解释侦查过程中位置服务数据利用的争议,4 要求侦查机关遵循目的限制、最小必要、权责一致的数据收集原则,以防止公权力滥用,实现打击犯罪和保障隐私、人权保护的平衡。5
大数据证据制度向传统证明规则发出挑战。多位学者都提出应进行电子数据网络在线提取规则的重构。有学者通过实证研究认为,证据法应当具有“开放的稳定性”,建议由证据种类法定化向证据调查规则法定化、原件规则向校验规则、瑕疵电子数据补正规则向非法电子数据排除规则转变,以建构适应电子数据特性的证据调查规则。6关于证据的真实性和可采性,贝利·乌尔布莱特(Bailey R. Ulbricht)等人通过法教义学分析认为,利用分布式记账和哈希加密存储的证据可以满足可采证据的要求,能作为数据证据。7 现有实践和理论中的海量数据证据证明方法,无法解决网络犯罪罪行量化的问题。有学者通过实证研究,建议根据海量数据的不同类型及证明规律,在“静态数据”和“动态数据”的二分下,针对性地構建证明机制,以厘清海量数据证据的运用规律。8 在刑事诉讼流程中,有学者认为网络信息业者的数据提供义务强度与义务能力不匹配,突破了权利和权力的边界,网络信息业者的数据提供义务应回归案外人协助义务的本质,由程序正当转向实质正当。9
在刑事罪名方面,信息犯罪和数据犯罪在实践与理论中界限不清,刑法扩张背后的风险不可小觑。多位学者认为,现有刑法规定与非法获取、恶意损毁等破坏数据安全的行为规制衔接不充分,简单援引民法规定来解释非法获取计算机信息系统数据罪等侵犯公民个人信息罪的法适用路径,使该罪有成为口袋罪的风险。10 为了避免刑法扩张演化为违背谦抑性原则的公权力滥用,必须进行“合边界性审视”。由于数据安全法益自身无法通过传统的“法益原则”实现刑法边界划定功能,有必要引入“广义危害性原则”划定扩张的合理边界。11 为此,有必要增设妨害数据流通罪和非法分析数据罪,以区分非法获取、传输一般数据的行为和非法分析数据的行为。12
司法信息化改革对传统阅卷权制度造成冲击,司法大数据辅助审判未达到预期。郑曦认为,传统阅卷权的范围过于狭窄,海量数据导致阅卷困难,无法实现原有的制度目标,应跳出刑事诉讼的固有权利体系,引入被告人数据访问权制度取代原有的阅卷权制度。1还有学者指出,因算法异化、功能异化、司法规律抵牾造成中国司法大数据辅助审判实效未达预期,建议立足司法大数据的辅助性,对算法大数据审判进行应用技术、应用场景、应用主体的限定。2
笔者认为,中国学界对于数据刑法的研究缺乏统一的数据法理支撑。刑事数据的储存、分析、采用等过程归根到底还是数据的处理过程,数据加工使用权可作为数据刑法的法理支撑,乃至成为数据刑法法律体系的出发点。私法与公法数据治理的概念贯通,方能厘清罪与非罪的边界、此罪与彼罪的边界,有利于合理扩张民法并谦抑刑法。从刑法谦抑角度出发,数据刑法只应保护侵犯人格权利益的犯罪行为,对于侵犯数据产品的行为,本质上系侵害数据产品经营权,应以传统财产犯罪规制。
综上,面对个人数据保护、隐私权、数据刑法保护等问题,数据加工使用权能促进各类各级数据的利用。其一,数据加工使用权包括自用权和排他权,自用权表现为数据资源持有者有权加工、使用自己合法持有的数据;排他权表现为未经数据资源持有人许可,不得加工和使用他人的原始数据。其二,“数据加工使用权”可不断延伸出积极权能和消极权能,以应对数据及其市场的发展,这些权能从属于数据加工使用权,具有体系性和灵活性。创设数据加工使用权制度,有助于数据的开发和利用,形成数据衍生产品。
五、结论与展望
通过梳理国内2020—2022年关于数据法学的研究成果、国际比较并探寻世界各国数据权益体系做法的“最大公约数”,初步形成如下结论:
在数据控制方面,以赋权模式为代表的形式主义范式和以行为规制为代表的实质主义范式均无法解决数据权益要素配置问题。西方学说不能成为中国引进个人信息财产权的理由,在中国,个人信息的财产属性不应获得法律承认。数据开放存在障碍的根源在于个人数据的权利属性、“知情—同意”的个人数据使用规则等基础性问题不明确,基于数据控制者角度构建数据开放制度是值得进一步研究的课题。基于数据控制需求所产生的诸如数据权属、数据安全等数据权益争议,均可被数据资源持有权所涵盖,在数据资源持有权的概念下提出适合中国国情的统一数据控制理论是可选进路。
在数据流通方面,数据跨境流动、数据交易、数据垄断、数据爬取等数据实践所暴露的问题亟须纠偏,数据爬取需要“去原罪化”。应将数据置于数据流通的核心导向中讨论,基于“数据产品经营权”的研究有助于数据产品实质化。
在数据利用方面,相较于欧美的隐私权保护,中国采用“个人信息保护”能恰当平衡个人信息保护与数据共享利用之间的关系。大数据、算法时代难以实现价值中立、责任中立,个人数据可携带权不利于数字市场的良性竞争,中国法学界从司法实践中总结出“三重授权原则”被学界所抛弃。个人信息收集的“知情—同意”原则需要进行中国化改造。中国学界对于数据刑法的研究缺乏统一的数字法理支撑,在实践中表现为一种应急治理模式。数据加工使用权能涵盖数据利用过程中所产生的数据权益,可在数据合法合规的基础上延伸出积极和消极权能。
数据法学已经受到法学界的高度关注,通过这些年的研究和实践,现有司法实践经验积累与理论研究成果为新时代法学学科学术话语体系的建构提供了基础。既有助于整合学术研究中数据元素权益配置的碎片化理论,也有助于作为一门二级学科的数据法学获得相对独立地位的理论自觉和方法自觉。但是,数字经济发展迅猛,数字时代的来临正重构着人们的社会生活秩序,数据法学任重道远。为了克服当前研究及其结论“破碎化”的弊端、促成法学学术概念、范畴表述的体系化,3 为把数据法学建设成为一门理论基础扎实、知识体系完整的相对独立的法学学科,应当科学把握数据要素配置在中国的实践规律,正确处理本体实践与外来理论植入的关系,形成具有中国特色的数据法学理论体系。
总结过去可以提供新的观察点和连接点,实现统一的法秩序。通过以实定法为基础,对既有成果进行抽象和整合,把握其内在关联性,可获得对法律问题统一性的理解。1 在全面评述2020—2022年中国数据法的实践经验与理论成果的基础上,笔者提出有关数据要素权益构建中国方案的设想:中国数据法学的体系化进路应当以“数据产品经营权”为核心,以“数据资源持有权”为前提,以“数据加工使用权”为保障,形成中国数据权益配置的 “三权分置”体系。就现有研究而言,可对“三权”的内涵进行再厘清。首先,在数据资源持有权方面,扬弃欧盟个人信息权、个人信息财产权,摒弃美国个人信息隐私保护模式,将个人信息保护分为个人信息删除权的权能、个人信息自主权的权利两个角度,严格保护个人信息的人格权利益。其次,在数据产品经营权方面,有机调适从中国司法实践中总结出的“三重授权原则”和数据可携带权,突出数据加工使用权,促进数据要素市场有序發展。最后,在数据产品经营权方面,将个人信息保护和基于国家整体安全观下的数据安全作为数据跨境流动、数据要素市场发展的重要保障。
“真正的智慧不仅在于能明察眼前,而且还能预见未来”。数据治理需要摆脱以隐私法和合同法为代表的个人权益治理模式,应关注数据如何创造社会效益和避免社会危害,以增进社会整体福祉作为数据治理的目的。欧美学者之所以会以个人信息保护为研究重心,是因为欧美形成了以个人信息保护为核心的数据治理方案。中国同欧美并不完全相同,更加关注数据安全和数据社会效益。中国学界不乏反省精神和砥砺前行的意志,数字文明作为人类文明的新形态不仅推动了中华文明的自我革新,还打破了“现代化等于西化”的神话。中国数字产业正在高质量、可持续地迅速发展,法学界正在努力构建数据要素权益的中国方案,为经济、社会的健康发展保驾护航,为中国特色社会主义文明添砖加瓦,为人类文明贡献中国智慧。
Abstract: The establishment and operation of data element market in China face many obstacles, and the allocation of data element rights and interests is a fundamental problem that needs to be solved. From 2020 to 2022, theoretical research and practical exploration have been advanced simultaneously, and a number of valuable and in-depth theoretical results and practical experiences have been produced by examining the data element rights and interests allocation scheme from three dimensions of data control, data circulation and data utilization. The data control dimension focuses on data empowerment issues such as data rights, state ownership of data resources, personal information property rights, data openness, data security, etc.; the data circulation dimension focuses on issues closely related to data flow such as data cross border, data exchange, data monopoly, etc.; the data utilization dimension covers the personal data protection paradigm, data criminal law, and other system construction appropriateness analysis. The three-dimensional research fits the top-level institutional design of “three rights allocation” of data at the theoretical level. To build a Chinese solution for the allocation of data element rights and interests, we should take data control as the premise, data circulation as the way in, and data utilization as the guarantee, and provide theoretical support for the current data property rights operation mechanism from three different levels.
Key words: data element market; data control; data circulation; data utilization; data governance
(責任编辑:苏建军)
