引 言
这是一个信息爆炸的时代。随着人类信息时代科学技术的飞速发展,“大数据”一词逐渐在互联网行业以外的各行各业中扩散开来,无论是基础科学还是金融市场,“大数据”都是当下最为热门的发展方向之一。正如最早提出“大数据时代到来”的知名咨询公司麦肯锡2011年在《海量数据,创新、竞争和提高生成率的下一个领域》中指出的那样,数据已经渗透到每个行业和商业功能之中,是重要的生产因素。中共中央国务院也在2020年《关于构建更加完善的要素市场化配置体制机制的意见》中首次将数据与土地、劳动力、资本、技术等传统生产要素放在了同一地位。
法律规定总是滞后于新兴出现的科学技术,新兴出现的生产因素带来的是崭新的法律问题。目前,我国关于数据权属和保护的法律法规仍存在很大缺口,现有法律已无法完全适用于层出不穷的数据案件,接连爆出的顺丰、菜鸟之争,新浪脉脉不正当竞争案等都为法律从业者敲响了警钟。数据的权属和保护问题关乎国家安全、经济发展、个人隐私,尽快认识到数据保护的重要性、确立完善的数据问题法律体系是当务之急。然而数据作为一种新生事物,其自身性质、法律属性、保护方式等均与之前已经确立的其他种类权利有所不同,不能照搬已有的其他权利相关法律规定直接套用,仍需进一步的研究讨论。本文将从数据自身性质切入讨论,以不同数据类型的权属确定为重点,探求一个全新的适应数据特性和发展的保护体系。
一、数据权属问题现状
首先,我国现行法律中对于数据的权属仍然没有明确细致的规定。《民法典》、《网络安全法》仅确认了能够单独或结合其他信息识别特定自然人的各种信息受到法律保护,但具体保护对象的主体是否仅限于数据来源的个人,合法获取并加工利用个人信息的企业和政府受到侵害时能否作为适格主体提起个人信息侵权诉讼仍是未知数。要想更好地利用、发展数据行业,对数据进行更细致可行的保护,数据权属必须清晰明了。我国计算机技术的发展进度前期略落后于欧美国家,数据行业发展初期对数据蕴含的价值了解较少,且当时数据只被用来甄别个人身份,并没有体现出一定经济价值,数据的获取和使用情况较为混乱,造成早期法律法规对数据保护主要在于个人信息的人格权保护方面,但并未考虑数据的经济价值问题的结果。初期亦有学者认为仅是个人信息不能成为所有权的客体。但随着技术发展,个人信息的商业价值逐渐凸显出来,不再仅属于人格构成的一部分,而是成为了具有市场需求可以被自由交易的商品;数据的范围也扩大化,不仅仅局限于个人信息,而是任何可以被记录下来运用的信息。能够交易的前提是对数据的拥有,确定数据的权属才能使数据交易顺利进行避免面临风险,或是在争端出现时存在解决依据。个人信息人格权方面的隐私保护和财产权方面的经济价值之间的平衡成为了新时代数据保护法律制定需要考量的要点,而这种平衡很大程度上受到数据权归属的影响。
当数据权利完全归属于数据的来源者时,其隐私权将得到最绝对的保护,任何运用数据的行为都必须得到拥有者的明确授权,否则会构成侵权行为。但随着大数据行业的发展,经过搜集处理的数据已成为重要的生产要素,数据的收集、整合、加工、分析,每一个环节都可能创造巨大的商业利益。大多数的电商平台、社交平台需要大量收集用户信息进行分析处理用来提高自身产品质量,强化市场竞争力。若数据权利完全属于数据的来源者,数据收集加工的固定成本会大幅增加,显然有悖企业意愿。2017年新浪微博曾在更新的用户协议中声明“未经微博平台事先书面许可,用户不得自行授权任何第三方使用微博内容(微博内容即指用户在微博上已发布的信息,例如文字、图片、视频、音频等),包括但不限于自行授权任何第三方发表、复制、转载、更改、引用、链接、下载、同步或以其他方式使用部分或全部微博内容等”,并且提出“用户同意并授权微博平台以微博平台名义就侵犯用户合法权益的行为(包括但不限于私自复制、使用、编辑、抄袭、在第三方平台上再次发布微博内容等行为)采取任何形式的法律行为,包括但不限于投诉、诉讼等必要的维权措施,”这就意味着用户上传微博的内容一经发布便等于授权微博无偿使用,因内容版权争议产生的赔偿款项“归微博平台独立所有,”而用户反倒要为微博的索赔“提供相应的证明文件和相关协助”。协议一出便引起了网友热议,用户群体纷纷抗议新浪微博“夺取”数据的流氓行径,这两条内容之后很快被从用户协议中删除,但是从中可以体会到企业对自己收集的数据所有权的认可和需求。这些权利可弥补初期获取数据的成本,保障其收集数据后通过处分获利的自由。
除此之外,大量出现的公司跨国业务又引发了新的数据主权问题。数据的管理事关国家战略资源,大量公民信息、国家数据的泄漏会对国家安全带来致命的威胁。还有一些原本“无主”的数据,例如政府或科研机构依职权或科研需要搜集的人口数量、景点人流量、地理地貌自然数据等属于应被保护的数据范围,不存在传统意义上的数据来源者。假如被收集的数据完全被数据收集者所获得,个人隐私被侵害的风险又会提升,并且个人可能因为主体不适格的问题难以获得救济。如何平衡对个人隐私的保护和对经济利益的追求也是考虑数据权属问题必须解决的一点。
二、国内外数据保护相关法律规定和研究
(一)国内数据保护相关法律规定和研究
国内现行有关数据保护的法律仅有《民法典》、《网络安全法》和一些行政法规或行业规范中对个人信息保护的规定。《民法典》第一千零三十四条规定了“自然人的个人信息受法律保护”,并将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证号码、生物识别信息、地址、电话号码、电子邮箱、健康信息、行踪信息等”。这一定义仅针对能够识别特定自然人的信息,但个人信息只是个人相关数据的一部分,其余来自个人的或是与个人相关的无法识别特定自然人的信息并没有囊括其中,无法得到保护。且《民法典》和《网络安全法》并未确定个人信息权利的性质和归属,也未对个人信息以外的数据保护作出规定。预计2021年9月起实施的《数据安全法》将所有种类的数据纳入了保护范围之中,但仍未对数据的权属作出确定;其条款描述的内容较为宽泛,仍需观察今后实践中的适用情况或是再制定其他相关法律文件予以补足。在已有的数据纠纷相关案件中,法官通常适用反不正当竞争法或是商业秘密相关法律对案件进行评判作出相关判决,例如新浪微博诉“脉脉”一案中,用户一旦运用新浪微博账号登陆“脉脉”软件,“脉脉”就会抓取该用户的新浪微博的资料并与用户手机通讯录建立联系,给用户增添了困扰。法官最终运用《反不正当竞争法》第二条认定“脉脉”软件未经许可抓取新浪微博数据的行为构成了不正当竞争行为,判决“脉脉”停止抓取并赔偿相应款项。“脉脉”软件非法抓取数据使用构成不正当竞争行为是毋庸置疑的,但笔者认为,此行为同时对用户个人和新浪微博的数据权利也是一种侵犯。虽然法律对个人信息应当受到保护这一观点作出了肯定性的确认,但对个人信息保护的内容、方式,对处理个人信息的企业所拥有的权利相关规定仍是一片空白。《反不正当竞争法》第二条仅为原则性规定,主要规范的是经营者在经营活动中的行为,认定标准较为模糊,可能无法使权利人的权利得到确定性的保护。使用反不当竞争法只是一种不得已而为之的手段。而以商业秘密的方式来保护企业数据的成本较高,商业秘密较企业拥有的大多数数据来说在法定构成层面有着更高的要求,商业秘密的构成必须满足秘密性、价值性、实用性和保密性,需要企业运用一定手段对其进行保护。作为商业秘密的数据可能只占据企业数据的一小部分,企业所收集的大部分数据往往来自大众,或是为大众知晓,商业秘密最重要的秘密性无法达到要求,很难运用商业秘密的模式来对所有数据进行保护。虽然部分地方和行业有出台相关规定,如《贵阳市大数据安全管理条例》等,但未能做到全国统一标准,很难起到全面的规范性作用。我国对于数据保护方面的立法仍处于初步阶段,仅有一些框架性的法律,仍亟需更加细致的立法规定规范行业发展,预防和解决可能出现的风险问题。
(二)国外数据保护相关法律规定和研究
美国历史上由于联邦法和州法并行、法条和案例共同适用的特殊法律体系,数据保护相关法律较为零散,但现已开始向构建一个安全完整的数据隐私保护立法体系的方向发展。联邦法律方面主要规定了特定领域中对数据的保护,根据其适用范围、执行者和相关处罚有所不同,散落在不同性质的条文中,例如《儿童线上隐私保护条例》(Children’s Online Privacy Protection Act)规定了网络运营商对儿童信息收集的要求;《公平信用报告条例》(Fair Credit Reporting Act)包括企业收集和使用用户报告中数据时的规定;《联邦安全法》(Federal Securities Laws)则是确定了数据安全控制和数据泄露报告的相关责任,另外还有《视频隐私保护条例》(Video Privacy Protection Act)、《健康保险便利和责任法案》(Health Insurance Portability and Accountability Act)、《顾客财务保护条例》(Consumer Financial Protection Act)等等,详细规定了视频播放、健康保险、金融领域顾客财务相关数据的保护方式。2019年提出的《国家安全和个人数据保护条例》(National Security and Personal Data Protection Act of 2019)仍在审议过程中,规定科技公司禁止将数据传输到或储存于对美国国家安全有威胁的国家(主要指出中国和俄罗斯联邦)。除此之外,各州也都制定了自己有关数据保护的法律体系,包括一系列数据泄漏响应法规,还有一些州通过不同形式的消费者保护法律进行保护。例如加尼福亚州2020年1月生效的《加州消费者隐私条例》(California Consumer Privacy Act, CCPA)中创设了一个全面的数据保护系统,规定在加州进行商业活动的公司(包括所有网站在加州可以被访问的公司)必须满足一定最低限度的条件,消费者有权利知道公司正在收集或是售卖他们的数据,公司收集数据时必须告知顾客;同时,CCPA为消费者提供了退出个人信息销售的权利;最重要的是,CCPA给予了消费者在特定案例中要求公司删除该消费者相关数据的权利。除了法律层面的相关规定,美国还制定了相关行业规定辅助监督管理,如2020年美国商务部与欧盟签订的安全港协议(Safe Harbor)也要求参与协议的企业收集个人信息时必须进行告知,得到允许后才能将数据传递给第三方。
欧洲地区则是关于个人数据保护立法最先启动和现有规定最为完善的地区。最早的数据保护法被认为是德国黑森州1970年颁布的《数据保护法》,之后德国全联邦的数据保护立法便推广开来,1977年的《德国联邦数据保护法》(BDSG)在世界上首先采用了对公共机构和私人机构同一标准管理的模式,要求公共、私人机构对个人数据都要有所保护。1998年英国颁布的《数据保护法案》(Data Protection Act)将与自身相关的信息、数据的合法权利赋予公民自身,政府采集公民或企业相关信息时必须严格遵守法律与相关程序,确保收集的行为不违反法律规定。欧盟先后制定了大量与数据保护相关的法律法规,其中2016年出台的《通用数据保护条例》(GDPR)在欧盟范围内建立起了一套较为完整的规定,被认为是目前最为完善的数据保护法律。各个成员国数据保护机构的权力得到了强化,条例适用范围广泛,只要向欧盟境内个人提供商品服务而收集处理信息,或是为了监控欧盟境内自然人的活动而收集处理信息,就要受到该条例的管辖。除了欧盟和美国,日本、韩国、新加坡等国近年来也逐渐重视数据保护方面的法律规定,陆续出台了多项关于数据保护相关的法律法规。
美国、欧盟等国家地区对数据保护已构建出较为完善的法律体系,值得我们在制定相关法律时参考借鉴,但这些法律仍未对数据权属作出明确性规定,业界仍存在诸多讨论。Heather Payne认为应当根据数据的内容来判断权利归属,数据保护的所有权是不确定的,通常通过合同来保护和指定。如果数据指向内容的本身不存在所有权,例如违禁品、自然力量、常识或事实等,就不能获得数据的所有权,因此数据应当采取非所有权原则,利用合理使用、软知识产权(例如著作权)或是合同权利的方式来保护。Health L. Handbook中认为生成或创建数据的人被假定为数据或信息的所有人,例如医疗服务的提供者被认为拥有他们的医疗记录。但鉴于几乎没有法律建立清晰的数据所有权,合同约定也被认为是解决所有权问题的方式。Jeang & Brooks则认为数据库是数据的集合,可利用著作权的认定方式对数据库进行保护,但对受保护的数据库要求较高,必须具备创造力和原创性。而欧盟则认为数据库非著作权保护内容,建立了另一种保护机制,规定数据库所有者的大量投资为受到保护的必要因素,对创造性和原创性则没有要求。甚至在达到保护年限的15年后,所有者可以对数据库进行大量的再投资进行续期。业界对数据权属的讨论仅限于特定领域,多数通过合同的方式决定数据权的归属,并无法律的强制规定。
三、数据权利的内涵和性质
(一)数据的界定和特性
要想确定数据权利的归属,首先要明确的是数据的定义。数据、大数据和信息是数据相关行业中经常提到,且容易混淆的三个概念。《数据安全法》中将数据定义为“任何以电子或者非电子形式对信息的记录。”数据是对客观事实、现象进行记录并使用数字、文字或图片的表达,是信息的表现形式和表达载体。数字时代下,以非电子形式记录的数据因其被大量收集使用的难度较大,利用率较低的特点,经常会被转化为电子数据使用。计算机算法与互联网技术的发展使大量收集、批量处理电子数据成为了可能。电子数据由非物质性的比特组成,不再需要实物的载体,通过计算机语言的编译呈现后可被轻易读取。麦肯锡将大数据定义为一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合,是经过整合分析之后生成的有价值的数据,具有大量、多样、高速和价值的特点。大数据的产生是为了有目的性地做决策,统计学上认为收集到的样本量越大,通过分析作出的决策越准确。虽然大数据单个样本蕴含的信息量并不大,但其样本总量大,样本之间差异大,能使建立的模型更准确,利用模型做出的解释和预测的结果也更加准确。大数据存在的意义不只在于掌握庞大的数据信息量,更在于将大量的数据进行有方向的专业化处理。由此可见数据是大数据的来源,大数据是数据处理后的衍生产品。而信息则是数据想要表达的、易于被人直接读取的内容。信息具有广泛性、时效性、可处理性、可传递性等特点,它的表达方式多样,同一信息可以依附于不同的载体通过多种方式表达。数据使现实世界的信息可以在虚拟空间中存储、加工、处理,使其可以在网络空间内高速传播,数据和信息逐渐变得不可分割。离开了信息表达意义的数据,只是一堆不具有任何价值的数字;而脱离数据载体的信息,也因为处理效率问题不再具有商业价值。数据是信息的基础,涵含了大数据的内容,保护信息,保护大数据,归根结底也还是保护数据。现有法律中对个人信息的保护其实就是对数据的保护,我们所谈论的数据保护也是涵盖了信息保护、大数据保护的意思。
(二)数据权利的性质
数据能否作为民事法律权利的客体曾在发展史上引起过争论。持否定意见的学者认为数据缺乏民事客体需要具有的确定性或特定性,无法被民事主体所独占和控制;缺乏独立性,因为民事主体无法直接控制数据;数据也构不成民法中作为客体的“无形物”,不具有无形物的独立性和特定性的客体要求等。然而新产生的技术不能总是以传统法律观念去看待,法律应当随着技术的进步而发展、扩大法律规定的范围,而不能只允许新产生的技术囿于法律原本的框架之内发展。《民法典》第一百二十七条中分别提到了数据、网络虚拟财产的保护,即将实施的《数据安全法》更体现出了对数据作为民事法律权利客体的认定。确认了数据可以作为民事法律权利客体之后,下一步要确定的就是数据权利的属性。有学者认为,“数据权利属性的研究是制定数据资源确权、开放、流通、交易等相关制度,完善数据产权保护制度的起点和基石。”当前学界研究较多的说法有人格权、财产权、知识产权、物权说等等,但数据权利似乎无法完全匹配其中的一种或几种权利。
普遍认为,数据权利兼具人格权和财产权的部分属性。人格权是指民事主体所固有而法律直接赋予民事主体所享有的各种人身权利。《民法典》第九百九十条规定“人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利,除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益。”自然人的姓名、身份证号、信用记录等都以电子数据的形式存储使用,加上现在个人识别的技术不断发展,指纹、DNA、肖像等生物识别信息都以数据的形式被保存下来,这些基于个人存在而产生的数据都是数据人格权属性的体现。
数据权利同时具有财产权相应的性质。数字化经济改变了人们接受和使用数据的方式,通过对数据的收集、处理、分析,数据具有了一定的商品价值。例如电商平台收集并分析了客户的购买习惯和偏好后,能改进算法提供更优质的服务内容;公司通过数据分析研究市场风向,节约研发成本和时间,提升公司竞争力;政府通过数据分析更有针对性地进行社会治理,政策决定,这些都是其使用价值的体现。2015年《促进大数据发展行动纲要》中明确指出“要引导培育大数据交易市场,开展面向应用的数据交易市场试点,探索开展大数据衍生产品交易,鼓励产业链各环节的市场主体进行数据交换和交易”,当下层出不穷的数据交易活动也印证了数据的交换价值。
传统民法意义上的所有权是物权所有权,是完全独占的排他权力,所有权人对自己的不动产或者动产依法享有占有、使用、收益和处分的权利。数据权利的客体与所有权相比拥有不同的形态,数据更类似无形的知识成果,表达为信息后依附在“物”的形式上表现出来;况且对数据的占有不是完全排他的,数据可轻易被复制,可以同时被多个权利主体占有、使用、收益和处分,无法达成物理上的垄断。例如同样的个人信息数据,本人可以对其利用、交易,企业可以经授权获取信息进行加工处理使用,政府也可以依职权收集,用于数据统计或是公共管理等方面的用途。数据的无形性、可无限复制性决定了传播并不会对其内容和价值产生减损。况且个体也无法做到对数据绝对性的占有、支配。例如用户在社交软件上发布的消息会根据用户协议自动上传至软件的服务器保存,当用户在自己的软件端删除该条信息的时候,云端服务器上保存的消息并不会因此行为同步被删除;一些看似属于公民的个人信息,例如身份证号码等,因其独特的性质需在政府部门进行留存,公民并无可能要求政府部门消除相关数据。数据权利与传统的所有权仍存在巨大差异,无法直接套用其模式制定法律规范。
数据权利与知识产权相比也存在很大差异。首先,知识产权最显著的特点是其独创性,无论是著作权、专利权、商标权还是商业秘密都要求其客体具有一定程度的独创性。美国最高法院在Feist Publications, Inc. v. Rural Telephone Service Co.一案中确定了未能保证最低限度原创性的电话号码黄页不属于著作权法保护的范围之内。数据的来源多样,有创造性内容的数据,也有直接收集来的数据,要想通过知识产权法的保护必须达到最低限度的原创性,这对数据权利来说是很难做到的。其次,知识产权保护的对象需符合智力成果和具有商业价值的双重标准,且有法律明确规定的客体范围,而数据种类多样,可能是一定的智力成果,也可能是未经过处理还未被赋予商业价值单纯收集而来的海量数据。法律对数据的定义只是最低限度要求的“任何以电子或者非电子形式对信息的记录”,也不需要经过法定程序的申请和确认。最后,知识产权保护的意义在于保护知识成果和激励新的创造,经过一定的期限后会进入“公共领域”可供自由使用,但数据的保护并无期限限制。数据具有的人格权性质是与生俱来的,并没有固定的终止期限。数据权利也无法完全适用知识产权的保护方式制定法律规定。关于适用不正当竞争法或者商业秘密的保护办法也在前文有过分析,不再进行赘述。
综上所述,数据权利不适合直接套用现有的任意其他民事法律权利的形式,而需要在分析清楚其性质和权利归属之后,作为单独的新型权利制定贴切的法律规定进行保护。
四、数据的分类和权利归属
我国现行法律中一般采用分级的模式对数据进行保护,如2007年公安部颁布的《信息安全等级保护管理方法》中将信息依据信息系统受到破坏后对公民、法人和其他组织的合法权益造成损害的程度分为了五级。但这种分级保护只是确定了模糊的大框架,并没有其他文件补充细化具体的操作标准,数据主体仍不了解数据与保护级别的对应。为了更加简易高效地判断数据保护适用的规则,方便数据主体判断自身数据适用的保护方法,可以采用按数据直接来源直接将数据分为用户个人数据、企业采集数据和政府采集数据三大类。
(一)用户个人数据
用户个人数据是指所有与用户个人相关的数据,包括了一般所说的个人信息。《民法典》和《网络安全法》中规定,“个人信息是指电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。这种可识别性不是绝对的,而是要综合当时可获取的其他数据来判断,结合具体的情景来考量。个人数据与企业、政府数据不同,这种数据不因刻意收集、处理、分析而出现,完全伴随着个人日常生活中的各项行动产生,如开车路径、购物记录等等,因此具有识别出个人身份的可能性,是拥有人格权属性的一类数据。因为这一特性,为了保护用户个人的人格权,用户个人数据的权利应当牢牢把握在用户个人手中。若是将用户个人数据的权利完全交由数据收集者,数据受到侵犯时个人寻求救济的成本将大大增加,必须经由数据收集者来操作,对数据来源人和数据收集者来说都增加了负担。若用户个人数据的权利最初在数据来源人手上,通过授权的方式将数据的使用权无偿或有偿让与数据收集者使用,可以更加安全高效地对数据进行保护。
隐私权赋予了权利人对个人生活的控制权,包括任何组织或者个人不得以任何方式侵犯自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息,也赋予了自然人明确同意的情况下向他人提供自己相关隐私的自由。如同隐私权一样,用户个人也应拥有自行决定是否将自己的用户个人数据出售或是转让给其他个人、企业或是政府的权利。虽然数据权利不完全相同于知识产权,但个人数据同样作为无形财产,同样共同拥有人格权与财产权的双重属性,可以让我们在研究数据保护的问题时,参照知识产权保护的经验,有依据地根据数据自身独有的特点比照来研究。有些用户个人数据在未经系统地收集和整理时只是一堆没有价值的数字,这时候可将用户个人数据的所有权与使用权分离开来处理。数据来源人拥有数据的所有权,收集、整理、分析数据的其他个人、企业、政府单位在付出了相应劳动的情况下,可以在有授权的情况下有偿获得数据的使用权,可以是独占也可以是共有,依协议的规定来确定。这种所有权与传统所有权不同,并非绝对的占有,而是拥有对该项数据完全的支配力。当然,其他个人、企业、政府单位收集、整理、分析数据之前当然应当获得数据来源人的授权,个人将自己所有的数据以双方同意的对价授权给相应的企业使用,这种对价不一定是指现实的货币,也可以通过提供服务等方式,如在电商平台中,每位消费者的个人消费种类、金额、偏好等本来所有权属于消费者本人的数据在授权平台使用的情况下,平台可以使用该数据进行企业自身运营发展所需要的分析,如销售额的统计、销售量的计算等,也可通过开发相应算法为消费者提供偏好推荐或是其他个性化服务,作为获取数据的对价支付。所有权和使用权的分离能在保证数据所有者保有自身隐私不受侵犯的前提下,将数据的使用价值达到最大化。亦有学者根据数据的财产价值提议将数据进一步分为基础数据和增值数据分开保护。
因为数据可识别到自然人个人,个人对数据的所有权应当是绝对的,不可转让的,其他个人、企业和政府被授权获取的只能是衍生出的使用权。如同美国《加州消费者隐私条例》(CCPA)和《网络安全法》第四十三条中提出的那样,所有权权利人在任何情况下应当拥有随时决定删除其用户个人数据的删除权。若是使用信息的其他个人、企业和政府违反相关法律法规、政策和双方协议的约定在先,所有权权利人当然有理由要求删除授予使用的数据;若是对方并未违反相关规定和约定,所有权权利人也应当有权利随时要求删除授予使用的数据,包括自身客户端上的数据和存储在其他所有地方的相同数据。权利人拥有的所有权是绝对的,源自对用户个人数据人格权属性的绝对保护,其他个人、企业和政府经授权拥有的次生性权利完全无法与之抗衡。当然,如果所有权权利人在对方无违约的情况下要求删除在先,也应当承担相应的违约责任。
(二)企业收集数据
企业收集数据泛指所有与企业经营相关的信息、资料,包括公司概况、产品信息、经营数据、研究成果等,也包括企业通过授权直接或间接获取的个人数据。首先讨论的是企业自身生产经营活动中产生的相关数据。这种类型的企业数据与用户个人数据情况类似,公司概况、产品信息等大部分属于公开数据,企业当然拥有其所有权,并且企业通常想要尽力向外推广这些数据以获得更大的市场关注度,可以对公开数据采取无需授权即可在法律法规的框架内自由使用的管理方式。这样既能满足企业的宣传要求,又节省了数据使用方的成本,激励其他个人、企业或政府对企业公开数据的利用度,对创新和促进市场发展具有积极意义。而企业的经营数据、研究成果等未公开数据是其生产经营中收集到的自身数据,属于企业的核心数据,是企业发展的根基和资本,企业对其享有绝对的所有权。这方面数据由于其秘密性、价值性、实用性和保密性能够达到商业秘密构成的标准,也可采用商业秘密相关法律来保护此类数据。必要时,企业也可将其使用权转让或交易给其他个人、企业或政府部门。
企业通过授权直接或间接获取的个人信息资料所有权应确定属于数据来源本人,企业只能直接或间接通过授权获得使用权这一点在上文中已有详细分析,但也存在例外。《网络安全法》第四十二条规定,“网络运营者不得泄露、篡改、损毁其收集的个人信息,未经被收集者同意不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外。”当数据经过一定的处理或开发利用不再能准确识别特定个人后,就丧失了其原先拥有的人格权属性,这一过程被称为“匿名化”。“匿名化”后的数据成为了附有企业劳动力的新型数据,是企业劳动的创造成果。企业理应对此新数据拥有所有权,不需再为处理后的数据交易征求新的授权,减轻企业负担。如果此时数据权利仍然属于数据来源的个人,就会赋予个人过多的权利,真正拥有技术、对数据作出优化处理分析的企业还需耗费大量成本获取授权,增加研发负担,对市场运转的效率有所影响。此外,企业通常投入大量的人力物力资源在用户个人数据的收集、储存、分析和利用上,倘若这种情况下无法获得后续自由支配数据的权利,会打击其工作的积极性,减少推进后续业务开展的动力,有碍数据交易发展的前景。当然,未经适当处理仍能够识别特定个人的数据因没有脱离其人格权的属性,用户个人仍然作为数据权利主体,企业对这部分数据进行进一步的转让、交易时仍应获得原数据来源者的同意与授权。
(三)政府采集数据
政府采集数据是指政府有关部门依据职权在日常工作中采集、储存、分析、处理和运用的相关数据。与企业采集数据不同的是,政府采集数据不仅来自个人或企业,还来自于社会存在本身,如山川水文数据、道路交通管理数据、物种分布数据、天文气象数据等等,并不存在一个可以作为权利主体的数据来源者。政府采集数据采集的目标并非为了商业目的,而是为了更好地了解社会治理社会。这部分数据的所有权应当属于国家,除了法律不允许公开的部分,应通过政府的途径向社会公众免费公布,可供大众免费使用。现已有地方条例明确了这一观点,《深圳经济特区数据条例(征求意见稿)》中第一次明确规定了公共数据属于新型国家财产,数据权归国家所有。政府采集数据具有较为明显的非商业性和非排他性。部分政府采集数据并非仅用在商业用途上,更对科学研究和社会发展至关重要。但因其收集成本较大难度较高,或是因为政策法规相关规定无法自行进行收集,也应由政府先行采集后向大众公布自由使用。部分政府采集数据事关民生大事,若由单独企业占据其所有权可能导致重要行业被垄断,市场失衡,所以政府采集数据只能由国家所有,不得转让,通过政府发布,全民共享的方式达到最大的经济和发展效益。政府采集数据的非排他性则体现在数据是由政府部门公开发布的,个人和企业可同时使用,无法独占排除他人的使用权利,也无法出让和交易。
政府采集到相关数据后一定要做到及时公开及时分享,这将有助于企业和个人充分挖掘数据潜在的内容,创造新的价值。当然政府在拥有数据权利的同时,也要注意所收集的数据是否会侵犯到其他个人、企业的数据权利。政府收集数据难免会与个人、企业拥有的数据有所重叠,在不影响公共利益的情况下,应当注意甄别,保护好事关国家安全的数据,优先考虑个人、企业的数据利益,注重国家安全、市场稳定、个人隐私的优先级别和平衡,若被认定为侵权也应当承担相应法律责任。
政府采集数据完全归属国家当然也会带来一定问题。近年来国家极力推进发展大数据,各级大数据管理中心应运而生。政府部门收集数据的动力是其工作职责,一旦完成了特定的收集内容便完成全部工作。公职人员在法律的明确规定下不允许同时从事其他行业,没有其他商业利益刺激其对已经收集到的数据进行进一步的整理、分析、优化;部门之间沟通联系不够紧密,跨部门、跨地区、跨专业交流困难,没有搭建起便捷的数据交换平台,仅仅是将所收集的数据发布出去便草草了事,不利于数据的最大化利用。如何激发政府收集数据的活力,使这些宝贵的数据物尽其用,使数据在政府、个人和企业间便捷共享仍需要一定思考。若政府收集数据能得到最大化利用,加强自身研发或与企业合作提升数据分析能力,加强部门间、地区间、行业间的数据交流,在保护国家安全的前提下充分激发数据活力,鼓励对数据的开发和再利用,更有利于运用大数据技术提升政府的治理、决策能力,推进国家治理体系和治理能力现代化,充分发挥数据对市场活力、社会发展和国家治理的积极作用。
参考文献
1.姜 伟:《数字经济发展呼唤数据权利保护类法律》,载《人民法院报》2021年。
2.陈乐诗:《个人数据所有权制度概念及基本设立框架研究》,载《中国商论》2020年第20期。
3.张玉洁:《国家所有:数据资源权属的中国方案与制度展开》,载《政治与法律》2020年第8期。
4.程文文:《大数据时代个人数据保护再思考——以产业发展为视角》,载《阜阳师范大学学报(社会科学版)》2020年第5期。
5.Congressional Research Service. Data Protection and Privacy Law: An Introduction. https: //crsreports.congress.gov/product/pdf/IF/IF11207(2019)
6.张效羽 :《德国如何保护个人数据》,https://www.ccps.gov.cn/dxsy/201905/t20190503_131459.shtml,2021年3月10日访问。
7.付 伟,于长钺:《数据权属国内外研究述评与发展动态分析》,载《现代情报》2017年第7期。
8.Heather Payne, Sharing Negawatts: Property Law, Electricity Data, and Facilitating the Energy Sharing Economy, 123 Penn St. L. Rev. 355 (2019).
9.Data ownership and data use rights, 2008 Health L. Handbook § 3:20
10.Wei Wei Jeang & Robin A. Brooks, Current on-Line Issues, 8 Tex. Wesleyan L. Rev. 615 (2002).
10.时明涛:《大数据时代企业数据权利保护的困境与突破》,载《电子知识产权》2020年第7期。
11.魏远山:《我国数据权演进历程回顾与趋势展望》,载《图书馆论坛》2021年第1期。
12.丁道勤:《基础数据与增值数据的二元划分》,载《财经法学》2017年第2期。
13.黄 锫:《大数据时代个人数据权属的配置规则》,载《法学杂志》2021年第1期。
14.秦 顺、邢文明:《数据权及其权利体系的解构与规范——对〈深圳经济特区数据条例(征求意见稿)〉的考察》,载《图书馆论坛》2021年第1期。
15.石 丹:《大数据时代数据权属及其保护路径研究》,载《西安交通大学学报(社会科学版)》2018年第3期。
