程啸:论数据来源者权益
文摘
社会
2024-11-21 11:23
北京
作者:程啸(清华大学法学院教授,法学博士)
出处:《比较法研究》2024年第6期
一、引言
二、数据来源者与数据处理者、数据生产者的关系
三、自然人对其促成产生的个人数据的权益
四、组织或个人对其促成产生的非个人数据的权益
五、非个人数据上数据来源者权益的内容建构
六、结语
摘要:数据确权既包括确认数据处理者对数据的财产权,也包括确认数据来源者对其促成产生的数据享有的权益,即数据来源者权益。数据来源者是指作为信息来源主体的个人和组织。数据来源者与数据处理者既有联系,又有区别。数据来源者权益分为两类:一是自然人对其促成产生的个人数据所享有的权益。此种数据来源者权益就是我国个人信息保护法、民法典规定的个人信息权益,具体内容包括针对个人数据的查阅、复制、可携带、更正、补充、删除等权利。二是组织和个人对其促成产生的非个人数据享有的数据来源者权益,承认该权益在于实现数字经济中的数据公平以及促进数据的流通利用。组织、个人对其促成产生的非个人数据享有的数据来源者权益的内容包括对数据处理的知情权、获取与复制数据的权利、转移数据的权利。关键词:数据来源者权益;个人信息权益;数据处理者;数据生产者;数据产权
2022年颁布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“《意见》”)第7条区分了数据来源者与数据处理者,并指出要充分保护数据来源者合法权益。该条还赋予了数据来源者对其促成产生的数据享有相应的权益:一是知情同意的权利,即数据的流通使用应当基于数据来源者的知情同意或者存在法定事由;二是获取、复制转移数据的权利,即数据来源者对于由其促成产生的数据享有获取、复制转移的权益。数据来源者对其促成产生的数据所享有的权益就是所谓的“数据来源者权益”,也称“数据来源者权利”。《意见》区分数据处理者权益和数据来源者权益是国家政策层面的一个重大决定,这就意味着“数据确权不仅仅是针对数据处理者的确权,还应当包括对数据来源者的确权。只有在明确数据来源者权利的情况下,数据处理者才能知道自己的数据处理活动的边界何在。”换言之,我国数据产权制度的构建不仅需要明确数据处理者对于数据(以及数据资源、数据产品)所享有的数据财产权,包括持有权、使用权、经营权、处分权等,也需要明确数据来源者就其促成产生的数据应享有的权益。 在网络信息科技日新月异的现代社会建立健全数据产权制度本身就是一个探索试错的过程,作为政策文件的《意见》虽提出了数据来源者权益的概念,但也只有经过实践的检验和经验的积累才可能最终通过法律法规确定下来。而在此之前,理论上有必要对数据来源者权益进行全面系统的研究,尤其是需要重点解决以下三个问题:一是界定数据来源者与数据处理者、数据生产者的关系;二是论证法律上保护数据来源者权益的正当性基础;三是明确数据来源者权益的性质及其具体的权能。
在数据权益和数据交易的研究中,很多争论源于概念的混淆甚至误用。因此,清晰地界定数据来源者、数据处理者、数据生产者的关系,厘清它们在数据权益体系中的位置,是非常有必要的。 数据来源者的概念在我国现行法律法规中并无规定。从《意见》第7条“由其促成产生数据”这一表述来看,所谓数据来源者,应当是指那些对于数据的产生起到了促成作用的主体,而非单纯地向他人提供数据的主体。关于“促成产生数据”的涵义,有的学者认为,数据来源者是指对数据的产生提供了一定的信息的主体,严格来说,数据来源者应当被称为“信息来源主体”。信息来源主体提供了信息,通过数据处理者的收集和存储则形成了数据。还有的学者认为,数据一定是对特定的对象的描述或者是关于特定对象的,数据来源实际上只是数据“关于”的对象、可识别(认知或描述)的对象。笔者认为,这两种观点都有一定的道理。数据描述的对象无论是个人还是组织的状态、行为与活动,抑或自然界的各种状况,本质上就是信息。就符号层的数据与语义层的信息的关系而言,信息就是内容,人们获取信息可以知道某些事情。数据属于形式,是用来记录信息或者承载信息的一系列符号。数据被认为是信息的载体,信息借助数据这一载体进行通信。因此,将数据来源者界定为信息来源者主体更为准确。不考虑完全没有人的因素参与的自然界状况,任何主体无论是自然人、法人还是非法人组织,只要从事任何活动,无论是生产经营、生活消费还是行政管理等活动,就会形成新的信息,这些信息被数字化成为数据后,作为信息来源主体的组织或个人就成为了数据来源者。 由此可见,数据来源者的范围非常广泛,从主体类型的角度,可以将其分为:其一,作为个人的数据来源者。社会生活中的广大自然人每天都在实施各种各样的行为,由此产生了大量信息(个人信息与非个人信息),这些信息借助现代网络信息科技手段而成为数据,被收集、存储、加工、使用、传输等。例如,自然人在社交平台上的发言、照片和视频;使用APP应用程序购物、消费、出行而形成订单信息、支付信息、行踪轨迹;使用联网的汽车与家电而产生的各种信息(如里程、耗电量、故障信号等)。其二,作为组织体的数据来源者。具体包括各类企业、国家机关、事业单位、社会团体等法人、非法人组织,它们从事经营、管理、社会服务等活动同样产生了大量信息。例如,在电子商务平台里销售某种产品或提供某种服务的平台内经营者,其销售货物或商品的金额、销售量、发货的时间、被投诉的数量等。又如,企业安装的各种自动传感器对周围物理环境中的温度、湿度、污染物数量等进行记录而形成的数据。从产生的数据的类型角度来看,可以将数据来源者所促成产生的数据分为两类:一是个人数据,即与已识别或可识别的自然人相关的各种数据;二是非个人数据,这些数据就是指个人数据之外的数据,包括法人、非法人组织等组织体的信息,物联网产生的非个人数据,匿名化处理后的个人数据等。 数据处理者的概念首先涉及到对“数据处理”的理解。《中华人民共和国数据安全法》(以下简称“《数据安全法》”)第3条第2款对“数据处理”进行了列举,即“包括数据的收集、存储、使用、加工、传输、提供、公开等”。该法还在三个条文中使用了“处理者”的概念,如第27条和第30条中的“重要数据的处理者”及第31条中的“其他数据处理者”。不过,《数据安全法》并未界定何为“数据处理者”。事实上,“数据处理”“数据处理者”源于我国民法典、个人信息保护法中“个人信息处理”“个人信息处理者”的概念。我国立法未如欧盟《通用数据保护条例》(GDPR)那样区分个人数据控制者(controller)与个人数据处理者(processor),而是统一采取了“个人信息处理者”的概念。《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第4条第2款列举了个人信息处理的具体类型,包括“个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”,同时,该法第73条第1项将“个人信息处理者”界定为“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。 从承担数据安全保护义务的主体的角度来说,数据处理者就是指任何实施数据处理活动的主体,即从事了数据的收集、存储、使用、加工、传输、提供、公开等行为的自然人、法人或非法人组织。即便基于委托合同而受托处理数据的主体,因为其实施了处理数据的行为,也依法负有数据安全保护义务。但是,从确定数据权益的角度而言,数据处理者也应当如个人信息处理者那样被界定为“在数据处理活动中自主决定处理目的、处理方式的组织、个人”。因为在委托他人处理数据的情形中,受托人依据委托合同的约定和法律规定来处理数据,处理的目的和处理的方式都是由委托合同加以约定的,受托人不能自主决定。故此,受托人并不能仅仅因受委托处理数据而对数据享有数据权益,其只是在法律上对于受委托处理的数据享有合法占有的法律地位,用物权法的规定来说,就是受托人对数据的占有属于有权占有(以委托合同债权作为本权)。 就数据来源者与数据处理者的关系而言,它们可以是重合的即同一主体。例如K电子商务企业收集、存储本公司在经营活动中生成的各种数据,此时,K公司既是数据来源者也是数据处理者,其收集自己生成的数据是数据处理者合法取得数据财产权的一种重要方式,该行为性质上属于民法中的事实行为。然而,在数据来源者促成产生的数据被他人合法收集、存储及加工使用时,数据来源者与数据处理者就发生了分离,不是同一主体。例如X网络公司履行告知义务并取得王某的个人同意后收集其个人信息,此时王某是个人数据的来源者,X网络公司是数据处理者。当然,数据处理者不是必须直接从数据来源者那里取得数据,而完全可以与其他数据处理者进行数据交易。例如,A公司因业务需要使用某些数据,其与B公司订立数据交易合同而取得这些数据。而B公司本身也是从作为数据来源者自然人张三、李四等处合法取得该数据的。显然,B公司也是数据处理者。又如,当数据处理者利用爬虫技术合法爬取那些公开的数据时,该处理者也并非都是从数据来源者处取得数据。总之,在网络信息社会中,数据来源者与数据处理者的身份并非固定不变,而可以相互转换。此时为处理者,彼时则可能是来源者。 在讨论数据产权配置的问题时,为了论证应当将数据产权配置给那些为数据的产生作出实质贡献的主体,理论界还提出了“数据生产者”的概念。我国学者对数据生产者的界定大同小异,都将对于数据的生产有所贡献或投入作为判断标准。例如,有的观点认为,数据描述的对象(主题)是数据源或数据来源者,而设计数据采集工具系统或设备、从事数据采集的活动是数据生产,对于数据生产作出实质贡献的主体属于数据生产者。又如,有的观点认为,数据生产就是数据生产者投入生产要素、产出数据的活动。数据生产的本质是将自然状态的信息转化为数据形式的信息的过程,数据生产者需要投入资本、土地、劳动、技术等生产要素,以确保数据生产的顺利进行,同时数据生产者对于这些投入的生产要素享有所有权或用益权,也就是说,只有投入性生产要素的所有权人或用益权人才具有数据生产者的地位。还有的人认为,数据应当归属于其生产者,所谓数据生产者即那些投入资本并在从无到有产出数据或者依一定目的、用途对他处数据加以收集、整理、加工过程中起决策作用的市场主体。由于数据生产呈一个长的链条,因此数据生产者包括原始数据生产者、衍生数据生产者、数据产品生产者等。 从上述对数据生产者的界定可知,数据生产者实际上就是数据处理者。数据处理包括了数据的收集、存储、使用、加工、传输、提供、公开等活动,这些活动当然要有相应的成本和资源的投入。无论是从作为数据来源者的个人、组织处收集各种信息并将其数据化,还是通过传感器、互联网等收集机器设备或者自然界产生的各种数据,抑或通过对原始数据进行清洗、建模分析、关键信息提取等方式形成衍生数据,这些活动在法律上都可以被界定为数据处理活动,而在这些数据处理活动中起到决定作用,即自主决定处理目的、处理方式的组织或个人就是数据处理者。所谓数据的生产、流通、使用这样的一个过程,只是从经济的角度上对数据作为一种生产要素实现其经济价值的过程性描述而已,至于对于各种具体的数据生产活动如收集、汇总、清洗、建模、融合、分析、复用等,也无非是不同的数据处理技术。在法律上,它们都可以被纳入数据处理的概念当中。因此,在我国已经有了数据处理者、数据来源者的概念之后,没有必要再创造和使用数据生产者的概念。 依据数据来源者以及数据的类型不同,可以将数据来源者权益的性质及其正当性基础问题细分为两个问题分别加以讨论:一是自然人作为数据来源者,就其促成产生的个人数据是否享有数据来源者权益?该权益的性质如何?正当性基础何在?二是无论组织还是自然人作为数据来源者,就其促成产生的非个人数据是否享有数据来源者权益?该权益的性质与正当性基础是什么? 有人可能会质疑上述分类,认为法人、非法人组织如网络企业通过技术手段收集、存储个人数据也促成产生了个人数据,那么,这些组织作为数据来源者对于个人数据也应当享有数据来源者的权益。笔者认为,法人、非法人组织通过技术手段收集、存储(以及加工、使用、传输、提供)个人数据的行为只要是其自主决定的,即自主决定了处理目的和处理方式,这些组织在法律上就属于数据的处理者,而非数据的来源者。事实上,个人信息也不会来源于这些组织。作为数据处理者,无论是企业法人还是其他组织,它们依据法律的规定与合同的约定对于合法处理的个人数据及非个人数据享有相应的持有、使用、收益和处分的权利。这是狭义的数据产权,即数据处理者的数据权益。广义的数据产权不仅包括数据处理者的数据产权,还应当包括数据来源者对其促成产生的数据所享有的权益。数据处理者无论是取得还是行使持有权、使用权、经营权等数据产权,都不得损害数据来源者权益。
个人是现代信息社会中最重要的数据来源者之一。个人在生产生活中产生了大量的个人信息,而这些信息经由现代科技手段被数字化处理,成为个人数据。个人数据的合理利用、流通对于促进数字经济的发展,完善治理体系至关重要。个人作为数据的来源者对于其个人数据是否享有以及享有何种民事权益呢?这是研究数据来源者权益中争论很大的问题之一。 就个人对于其促成产生的个人数据是否享有数据来源者权益,存在肯定说与否定说两种不同的观点。 肯定说认为,个人对其个人数据享有应当受到保护的权益,但在该权益的性质上肯定说内部又分为“个人信息权益说”与“个人数据所有权说”两种观点。持个人信息权益说的学者认为,我国个人信息保护法已经规定了个人信息权益,个人对其促成产生的个人数据享有的数据来源者权益或数据来源者权利就是个人信息权益,不需要另行赋予个人其他类型的数据来源者权益。自然人作为数据的来源者,对个人信息也好,对于个人数据也罢,享有的是同一民事权益即个人信息权益。我国法律已经结合数字经济的特点对个人信息权益作出了系统性的规定,个人信息权益中的相关权利包含了知情权、同意权、查询权、复制权、更正权、删除权和可携带权等各种具体类型的权利。个人可以针对个人数据处理者行使这些权利。法律上确认个人信息权益的目的就在于更好地维护自然人的人格尊严和人身自由。 持个人数据所有权说的学者认为,个人信息不同于个人数据。个人就其个人信息当然依法享有个人信息权益、隐私权等人格权,但是,作为个人数据的来源者,个人还应当就个人数据享有所有权或财产权。就是说,个人既对其个人信息享有作为人格权的个人信息权益,也对其促成产生的个人数据享有作为财产权的个人数据所有权。我国法律只是规定了个人信息权益,未来还需要进一步确立个人数据所有权。个人数据所有权就是个人作为数据来源者对其促成产生的个人数据所享有的权益。确立此种数据来源者权益的正当性基础在于:一方面,能够更好地保护自然人的人格权。个人信息数据具有人格权属性,如果仅仅宣称个人拥有信息自决权,而不能给个人以数据所有权,那么个人信息自决权就是一纸空文。只有当个人对其数据拥有所有权时,才能阻止他人使用这些数据,因此,有必要通过规定个人数据所有权,从而实现个人权利从内容层向符号层的延伸。另一方面,符合数字劳动赋权理论。个人是个人数据的来源者,个人数据就是个人从事“数字劳动”的产物。基于洛克的劳动赋权理论应当赋予自然人就其个人数据享有所有权。同时,由于数据处理者在某种程度上对于个人数据的形成也作出了贡献,所以企业等数据处理者享有来源于个人数据所有权的数据用益权。 否定说认为,个人信息被处理的自然人当然对其个人信息享有个人信息权益,这是维护其人格尊严所必需的,但是,个人并不对已被企业处理的个人数据享有任何财产权益。虽然应当区分个人信息与个人数据,并且个人是个人数据的来源者,个人信息内容是数据价值形成的重要基础,但由于数据生产者才是为数据的产生投入各种生产要素并自主决策的主体,并且个人在同意数据处理时即已经让渡了个人信息的利用价值,因此,数据生产者已经合法取得了数据内容的价值,数据控制权应当属于数据的生产者。而且,从公平和效率的角度来说,也不应当承认个人对其个人数据的财产权。因为个人数据的经济价值存在稀薄效应,如果将大数据整体的经济价值分散在个体层面,则每个人单独的个人数据的经济价值将被严重稀释,几乎可以忽略不计。反之,倘若给个人配置其针对个人数据的财产利益,会带来一系列的问题,如导致个人之间的人格不平等,引发为了蝇头小利的全社会争夺,从而对已经形成的个人信息处理行业模式产生不利影响,引发“反公地悲剧”,甚至出现一些人滥用此等利益来阻碍技术和信息产业的发展,损害社会的整体福利。 笔者赞同肯定说中的个人信息权益说,即当自然人作为数据来源者时,其无论是针对个人信息,还是针对个人数据,享有的都是我国民法典、个人信息保护法等法律所规定的个人信息权益。当然,如果个人数据中还涉及到自然人的其他人格要素如隐私、姓名或肖像的,则自然人还可以行使隐私权、姓名权或肖像权等其他人格权。法律上无需另行赋予个人对被数据处理者所处理的个人数据以个人数据所有权或其他财产权益。首先,虽然数据和信息确实存在区别,但从民事权利客体的角度而言,个人信息与个人数据是同一事物的两个方面,不应也不能分别成为个人信息权益与个人数据所有权的权利客体。在我国法律已经赋予个人对其个人信息处理享有个人信息权益的前提下,个人作为个人数据来源者对个人数据享有的权益当然也是个人信息权益。同样,个人就其个人数据对个人数据处理者可以行使查阅、复制、更正、补充、删除(被遗忘)、可携带等被法律明确规定的各项具体权利。那种认为倘不规定个人对个人数据的所有权,则个人要求企业删除句法层面的数据就不具有正当的权利基础的观点,显然是不妥的。如果这种观点成立的话,那么我国法院在民法典、个人信息保护法颁布后,依据这两部法律的规定所作出的要求企业删除非法处理的个人数据的判决,都成为了缺乏正当权利基础的违法判决了。显然,在我国法上,个人无论是请求个人信息处理者删除个人信息,还是请求数据处理者删除个人数据,其权利基础都是相同的,即个人信息权益,而请求权基础就是我国个人信息保护法第47条和民法典第1037条第2款。 其次,物权法是以具有竞争性的物为权利客体而构建的制度,是关于竞争性使用权的法律制度。所谓竞争性也称“消费中的竞争性”(rivalry in consumption),如果一个人使用某种物品会减少其他人对该物品的使用,则该物品具有竞争性;反之,则不具有竞争性。动产与不动产等有体物具有竞争性(我国民法典第115条),然而,数据具有非竞争性、无形性、无磨损性等不同于有体物的特点。故此,数据无法如同有体物那样凭借物理形体而直接产生明确权利的范围和义务人的行为边界的界分功能。立法者要赋予权利人对数据的权利就只能在法益分配的基础上采取排他策略(exclusion strategy)、治理策略(governance strategy)或兼采二者。排他策略是指划定数据上的权利边界,规定权利人之外的其他人不得对数据实施哪些行为,至于权利人如何对数据加以利用则交由其自行决定。治理策略要求法律逐一确定权利主体享有哪些权能(Befugnissen),即规定权利人对数据可以实施哪些利用的行为。无视数据的属性,将之等同于有体物,并认为在个人数据甚至是数据上可以成立所有权的结果必将损害信息自由、阻碍科技进步。 最后,认为个人信息的经济利益稀薄而不值得保护的观点值得商榷。无论自然人对个人数据的精神利益还是经济利益,都不是孤立的、固定不变的,而始终是在个人以其个人数据为中心而与他人展开的经济、法律关系中不断生成演化的。只要人们具有将个人信息进行商业化利用的可能性,就不能因为绝大多数个人的个人信息不值钱,而在法律上剥夺个人将个人信息商业化利用的机会。事实上,随着科技的发展,单个自然人的个人数据的价值并不像人们想象的那样稀薄。当前,在语音人工智能训练、数字人产品开发中,很多时候就是数据处理者与个人签订个人数据许可使用合同,从而获得特定自然人的大量的语音信息及其他个人数据,而处理者为此要向个人支付相应的金钱作为对价。在医学研究领域中,大数据当然非常有价值,但某个特殊的个人的数据也可能极具价值。例如,张某对某种疾病具有天然的免疫力或者其独特的基因使得某种疾病对其健康不完全会造成危害,那么,通过研究该人的基因等个人数据就很可能研发出预防或治疗该疾病的疫苗或药物。该单个自然人的个人数据的经济价值可想而知。此外,从保护层面来看,由于我国民法典遵循的是通过特定人格权来同时保护权利人对人格要素的精神利益与经济利益的一元模式,故此,个人信息权益完全可以同时保护自然人对个人信息(或个人数据)的精神利益与经济利益,没有必要叠床架屋,既通过个人信息权益保护自然人的精神利益,又创设个人数据所有权来保护自然人对个人数据的经济利益。个人可以通过“个人同意”与“个人许可”这两种方式来实现个人数据上的经济利益。 综上所述,笔者认为,个人作为数据来源者,对其促成产生的个人数据而享有的“数据来源者权益”并非什么新的权利,更不是个人数据所有权,而是我国法已经明确规定的个人信息权益。基于个人信息权益,个人对其个人数据处理享有知情权和决定权,可以向个人数据处理者行使查阅、复制、可携带、更正、补充、删除等具体权利。从《意见》第7条列举的数据来源者权益的范围来看,其仅包括知情同意、获取、复制、转移这几项,权益的范围小于个人信息权益。这也可以看出,《意见》提出数据来源者权益的概念的主要目的不是为了解决个人对其个人数据的权益,而是要解决数据来源者对于其促成产生的非个人数据所享有的权益的问题。
数据来源者促成产生非个人数据的情形很多,既包括数据来源者因生产经营、提供服务以及其他各种社会活动而直接促成产生的非个人数据,也包括因为使用那些连接互联网的机械设备等产品或接受联网服务的过程中生成的各种非个人数据。前者如,在A电子商务平台内销售商品或提供服务的各类商户(个人或组织)在经营活动中形成的各种数据,这些数据都被A电子商务平台收集、存储并加工使用;后者如,X航空公司运营由P公司制造和销售的飞机,该飞机的发动机由发动机制造商E公司提供,有关发动机性能的数据直接从联网的发动机传输到数据分析商D公司,D公司与P公司、E公司属于同一集团,其处理的发动机数据是为E公司开发预测性维护服务。在这两个例子中,A电子商务平台内的商户以及X公司都属于数据的来源者,它们能否出于改善商品销售或了解发动机性能的目的而向A电子商务平台、D公司请求获取、复制、转移相应的数据呢?如果可以,它们享有的这种针对其促成产生的非个人数据的权益就是数据来源者权益。对此,我国现行法未作出规定。目前,立法上作出规定的就是欧盟《数据法》,我国的《意见》第7条也在一定程度上参考了欧盟《数据法》的规定。 从比较法上来看,欧盟理论界与实务界就数据来源者针对非个人数据的权益问题进行了深入的探讨,先后经历了从数据所有权说到数据生产者权说,再到数据访问权说,直至《数据法》对数据来源者权利作出规定的一个发展过程。 数据所有权说认为,联网的机器设备在运行中所产生的数据、对某一块农田予以测量后生成的数据,它们在性质上就是《德国民法典》第99条所规定的物的出产物以及依据物的用法所得之其他收获物,即原物所生之孳息(Fruechte)。因此,根据《德国民法典》第953条、第988条和第818条,收集该数据的人应当将该等数据返还给机器设备或不动产的所有权人。此外,对于具有记录技术的其他车辆,基于同样的原因,数据也应分配给车辆(即记录设备)的所有者。 数据所有权的理论受到不少学者的反对。反对者认为,姑且不说数据能否被归类为孳息,即便可以作为孳息,也不会导致所有权分配的扩张。即便类推孳息属于原物所有权人的规则,将可能的数据权利分配给记录对象或记录设备的所有者,这样的类推也缺乏生活事实上的可比较性。因为,通过记录数据和重复使用被记录的数据在根本上不同于以占有为前提或至少以占有作为典型模式的具有竞争性的“传统”的使用。没有哪一项法律原则要求,数据权利必须从一开始就分配给特定的法律主体,“不应当将数据专有权分配给通过传感器生成数据的设备(比如机器或者包括汽车、加热器在内的日常器具)的所有者”。 有鉴于数据所有权受到强烈的反对,有些学者便提出了所谓“数据生产者权”的理论。德国学者蔡希(Zech)教授认为,应当将对机器设备、传感器等生成的数据的排他性或独占性的权利分配给数据的生产者即机器设备的所有权人或使用权人(如企业或消费者),并且这种专有权是可以转让的。确立此种“数据生产者权”(Rechts des Datenerzeugers),有利于激励数据的收集,增加可分析的数据量,继而间接强化创新活动;有利于促使数据的公开,使数据收集者将自身无法分析的、潜在有用的数据提供给其他市场参与者进行分析,产生宏观经济附加值;有助于破解信息悖论,即通过法律上的排他性来建立起一个数据交易的市场。2017年1月欧盟委员会在其发布的《打造欧洲数字经济》的通讯中提出引入一项新的权利——“数据生产者权”(data producer's right)——的观点,即给予“数据生产者”即设备的所有者或长期用户(如承租人)使用和授权使用非个人数据的权利。“这种方法旨在澄清法律状况,通过开放用户利用他们的数据的可能性并因此而有助于解锁机器生成数据,进而给数据生产者提供更多的选择。然而,需要明确指定相关的例外情况,特别是制造商或公共当局出于交通管理或环境原因等非独占性访问数据的规定。” 对于数据生产者权的观点,也有不少批评。例如,有的学者认为,数据生产者的界定本身就很麻烦,因为在大数据场景下,常常有多个主体贡献生成原始数据,识别权利持有者将会极其困难,常常导致共同所有权。数据生产者权也并不能达到预期的解决权利持有者无法访问在制造商实际控制下的数据的问题的结果,也无法保证将机器生成数据的经济开发的利益分配给权利持有者。马克斯·普朗克创新与竞争研究所针对《打造欧洲数字经济》的通讯发表的声明认为,数据生产者权并不会通过在市场中更清晰地分配权利来增加法律确定性,因为机器设备的制造商基于其对数据的实际控制而产生的实际排他权成为了有效的议价和定价的基础,制造商的这种绝对优势的博弈地位和特殊市场力量使得立法上赋予数据生产者权也不会成为最优的克服超级市场力量的方法。制造商完全可以在合同中通过约定,要求购买者或使用者授予其排他的、免费的许可,即便使用者与制造商没有直接合同关系,制造商还可以要求直接用户与使用者订立合同,授权制造商使用数据的独家第三方许可以达到同样的效果。此外,数据生产者权还可能限制制造商将其控制的数据集许可给第三方。 在批判数据所有权说、数据生产者权说之后,马克斯·普朗克创新与竞争研究所认为,与其建立一套新的数据财产权体系,还不如确认一个有针对性的、不可放弃的“数据访问权”,即只要对数据访问具有合法利益的人就可以享有该权利。该权利具有以下优点:首先,作为一项法定的不可放弃的权利,没有购买设备的人也可以享有该权利。换言之,对数据访问具有合法利益的人即便不是设备的使用权人或所有权人,也可以享有访问权。例如,第三方服务提供者耕作农户土地时,农户对链接该数据享有的额外需求。其次,访问的利益也决定了保护的范围。数据访问权应限于为有资格的主体进行数据分析之目的,而无论此分析是在有权人的公司内进行,还是将此分析外包给独立的数据分析服务供应商。再次,法律上还可以通过权利许可的条件的规定以一种积极的方式对数据访问权的限制加以规范。此外,在信息时代,数据访问对于增进社会福祉来说也是必要的。就经营者而言,其可以更好地优化产品和服务,满足消费者需求,对于消费者而言,其可以更灵活地选择产品,同时,在公共卫生、流行病预防和环境保护等问题上,即时的数据共享和数据访问可以减少人身和财产损失。 2024年1月11日生效的欧盟《数据法》(Data Act)借鉴《通用数据保护条例》中规定的个人对个人数据享有的访问权、可携带权等权利,确立了欧盟法上的“数据来源者权利”。该法赋予了用户(user)——拥有联网产品(connected product)或依据合同临时转让使用联网产品的权利或接受相关服务(related service)的自然人或法人——以访问、获取及利用由联网产品或相关服务产生的数据的权利,具体包括:(1)访问并获取数据的权利,即联网产品的设计和制造以及相关服务的设计和提供,应当默认以简单、安全、免费、全面、结构化、常用且机器可读的格式提供产品数据和相关服务数据,并且在相关且技术可行的情况下,使用户可以直接访问这些数据。在签订购买或租赁联网产品的合同之前,卖方或出租方(可以是制造商),应当以清晰易懂的方式向用户至少提供关于联网产品能够产生数据的类型、格式和估计量等相关信息(欧盟《数据法》第3条)。用户无法直接从联网产品或相关服务中访问数据时,数据持有人应立即以同等质量、方便、安全、免费以及结构化、通用和机器可读的格式向用户提供数据以及解释和使用这些数据所必需的相关元数据,并在相关和技术可行的情况下连续实时地提供(欧盟《数据法》第4条)。(2)与第三方共享数据的权利,即根据用户或代表用户的一方的请求,数据持有人应立即以全面、结构化、通用和机器可读的格式向第三方提供可获得的数据,以及解释和使用这些数据所必需的相关元数据,其质量应当与数据持有者可用的相同,并应当安全、方便和免费地提供给用户,且在相关和技术可行的情况下应当连续实时地提供(欧盟《数据法》第5条)。 欧盟《数据法》之所以赋予用户上述权利,其主要的考虑在于:首先,充分的实现数据的共享。在欧盟立法者看来,数据共享存在很多的障碍,包括:数据持有者缺乏激励去自愿订立数据共享协议;与数据相关的权利和义务不明确;签订合同和实施技术接口的成本高;信息高度分散在数据孤岛中;元数据管理不善;语义和技术互操作性标准缺失;阻碍数据访问的瓶颈;缺乏共同的数据共享实践;以及在数据访问和使用方面存在合同失衡的滥用行为等。通过确立数据来源者对其促成产生的数据享有访问权和与第三方共享的权利,可以很好地实现数据的共享,同时确保数据的互操作性,实现产品和服务的兼容,解决供应商锁定问题。其次,通过规定数据来源者权利,明确谁有权在何种条件以何种基础。使用产品数据或相关服务数据,可以响应数字经济需求,为运作良好的数据内部市场消除障碍。此外,为了培育流动、公平、高效的非个人数据市场,联网产品用户应当能够与他人共享数据,包括用于商业目的,且只需付出极小的法律和技术成本。目前,企业共享非个人数据面临的一个重大障碍是,无法预测投资于挑选并使数据集或数据产品可用的经济回报。为使欧盟出现流动、公平、高效的非个人数据市场,必须明确有权在市场上提供此类数据的主体。因此,用户应当有权出于商业和非商业目的与数据接收者共享非个人数据。最后,有助于实现数据的公平。数据生成至少是两个行动者行为的结果,就联网产品或服务的数据的生产而言,这两个行动者分别是:其一,联网产品的设计者或制造商,在许多情况下也可能是相关服务的提供者;其二,联网产品或相关服务的用户。由于联网产品或相关服务记录的数据是售后、辅助设备和其他服务的重要投入。因此,为了实现数据的重大经济价值,确保数字经济中的公平,通过授予作为数据来源者的用户访问和使用数据的权利的一般方法优于授予访问和使用数据的排他性权利。由于欧盟《数据法》刚刚颁布,该法真正开始实施的时间还要等到2025年9月12日,因此《数据法》确立的数据来源者权利的实际效果如何、能在多大程度上实现其立法目标,尚有待观察。 (二)我国法上数据来源者的非个人数据权益的性质与正当性基础 在数据产权制度的讨论中,我国理论界主要关注的是数据处理者对于其合法处理的数据享有的权益以及个人对个人数据享有的权益,很少关注数据来源者就其促成产生的非个人数据是否享有以及享有何种权益的问题。《意见》颁布后,对于如何理解其第7条提出的“数据来源者的合法权益”,有的学者认为,该条中保护数据来源者的合法权益主要就是指保护数据来源者的合法的在先权益,具体来说,就是保护作为数据来源者的个人的隐私权、个人信息权益等在先的人格权益,以及非自然人的信息来源主体的法定在先权益,如消费互联网上贡献各类经营信息的网络店铺、直播间等线上企业,以及在工业互联网上贡献各类生产经营活动信息的线下企业对它们的经营信息、商业秘密享有的合法权益。还有的学者认为,《意见》第7条是我国仿效欧盟《数据法》而赋予数据来源者对其促成产生的数据的权益,包括知情同意、获取、复制转移等。也有的学者认为,数据来源者权利是一种概括性权利,除了隐私权、个人信息权益等人格权利之外,还包括知识产权、商业秘密权利等,以及数据来源者与数据处理者约定的权利,如果没有约定,那么法律上应当赋予数据来源者享有公平访问权、合理利用权、可携带权和自然人个人数据大规模处理拒绝权等权利。 上述观点都值得商榷。首先,保护数据来源者的合法权益当然包括了要保护数据来源者的在先的合法权益。对于数据来源者已经依法享有的合法权益,无论是人格权、财产权还是知识产权,都不能因为数据的流通、利用而被任意侵害,这一点并无争议。有疑问的是,数据来源者对其促成产生的非个人数据是否享有知情同意、访问和复制等权益。因此,将数据来源者权益仅仅理解为数据来源者的在先合法权益显然过于狭窄。其次,数据来源者与数据处理者就数据上的权益进行约定,只要不违反法律的强制性规定和公序良俗,当然是可以的。但数据来源者权益实际上要解决的是没有约定或约定不明,甚至是完全不存在合同关系的数据来源者与数据处理者之间的数据流通利用问题。因此,我国法上的数据来源者权益属于法律规定的,且不以数据来源者与数据处理者之间存在合同关系为前提。最后,在我国民法典、个人信息保护法已经赋予了自然人对个人信息处理享有以知情权、决定权为核心的个人信息权益的背景下,《意见》第7条的数据来源者权益应当理解为主要是指数据来源者对其促成产生的非个人数据的权益。 就我国立法上是否应当规定数据来源者权益或数据来源者权利,有的学者予以肯定,理由在于:一方面,数据来源者权利有利于促进数据的流通,防止数据的封锁和垄断,避免出现数据孤岛的现象,保护数据各方参与者的合法权益;另一方面,在数据来源者权利中赋予用户访问权,对于数据处理者权来说就是“反向设权”,具有“保护—限制”的制度功能;对于数据来源者权来说就是“使用确权”,具有“分享—共用”的法律价值。有的学者表示反对,其认为数据来源者权利并不符合数据公平的原理,也无法据此促进数据市场的建立,利用数据来源者权利来促进互操作性也会带来产品标准趋同和产品多样性减少等负面效应。对于数据市场和数据流通而言,更好的方式是注重数据信任和数据共享,而非基于产权交易的数据流通。因此,最好不规定数据来源者权利,即便规定,也应当将其理解为向有关部门提起知情、访问、转移的请求,督促相关监管部门和行业协会对数据垄断、数据锁定、数据孤岛问题加以调查与应对的程序性权利。 笔者认为,虽然目前数据来源者权益的利弊得失尚无实践予以验证,但是,规定数据来源者权益仍然是应当予以肯定的思路。建立公平、统一的数字市场,打破数据垄断,促进数据高效、公平、合理的流动,是现代各国所共同追求的目标,我国也不例外。要实现这一目标,应当兼采公法与私法等多重手段。具体来说,一方面,要强化有关部门对于数据垄断、数据锁定以及数据孤岛问题的行政管理,通过行政调查、处理以及行业自律等方法解决;另一方面,也不能忽视私法上赋权的作用,通过赋予数据来源者等参与方相应的民事权益,使其有能力和有动力主动维护自己的合法利益。在赋予数据来源者针对其促成产生的数据享有一定的民事权益后,数据来源者可以积极主动地行使权利,促进数据的合理流动。当数据处理者侵害数据来源者权利,不让数据来源者获取、复制、转移其数据时,数据来源者可以直接提起民事诉讼,获得司法保护。当然,数据来源者也可以向有关行政监管部门进行举报投诉,因为数据来源者权利本身也为行政机关的监管提供了有针对性的执法依据。在我国已经赋予了个人对个人数据的个人信息权益的情形下,确立数据来源者权利主要就是在法律上规定数据来源者针对其促成产生的非个人数据的权益。显然,规定数据来源者权益本身就是建立健全数据产权制度的组成部分,是一个探索和试错的过程。如果数据来源者权益运行的实际效果不好,不仅没有发挥促进数据公平、合理、高效流通的作用,反而带来了网络产品标准趋同和产品多样性减少等负面作用,那么,及时修改和废除相关规定即可。反之,如果不规定数据来源者权利,就很难确定其利弊得失。综上所述,在我国确立非个人数据上的数据来源者权益具有正当性基础,应当予以肯定。
前文已经论述了个人作为数据来源者对其个人数据享有的是个人信息权益,因此本部分主要讨论数据来源者(无论是个人还是组织)对其促成产生的非个人数据享有的数据来源者权益的具体内容如何建构的问题。从欧盟《数据法》的规定来看,用户对其使用的联网产品或接受的相关服务中产生的数据享有的权利主要是:访问并获取数据的权利以及与第三方共享数据的权利。如前所述,《意见》中提及的数据来源者权益的具体内容则包括:知情同意权、获取与复制转移数据的权利。我国理论界关于数据来源者权益的具体内容如何构建,主要有以下两种观点。一种观点认为,就非个人的数据来源者而言,数据来源者权利包括三项,分别是:(1)公平访问权,即用户可以访问、查询相关数据内容和信息的权利,也是广泛适用于自然人与非自然人的在先权利。(2)合理利用权,即依据法律和合同约定根据自身需要在生产经营的各个环节自主加工使用数据的权利。(3)可携带权,即在符合法定条件和当事人约定的条件下,将其在一个平台上的数据携带到另一个平台的权利。另一种观点认为,数据来源者权利是以访问、携带为要义的使用权。也就是说,数据来源者对其促成产生的数据应当享有以下几项权利:(1)作为数据来源者财产权的知情同意权;(2)访问权和携带权,前者涉及到对数据处理者所控制的数据进行检索和储存,后者关系到从数据处理者那里将相关数据转移给第三方使用。当然,数据来源者的权利的行使不得侵害数据持有权人的商业秘密等,并且行使转移的权利要符合条件,接受一方应当支付对价。 从上述观点来看,访问权、可携带权是达成共识的,而有争议的是知情同意权、合理利用权。笔者认为,数据来源者对于非个人数据享有的权益包括:知情的权利、获取与复制数据的权利,数据的可携带权以及合理利用的权利。具体阐述如下: 所谓知情的权利,是指数据来源者有权知道所促成产生的哪些数据被何人基于何种处理目的以何种处理方式所处理。与数据来源者的知情权相对应的是数据处理者在处理数据之前向数据来源者负有的告知义务。《个人信息保护法》第44条明确规定,个人对于个人数据的处理享有知情权与决定权,有权限制或者拒绝他人对其个人数据进行处理,除非法律、行政法规另有规定。处理者在处理个人数据之前,必须依法向个人履行告知义务,并取得个人的同意(或单独同意、书面同意)。个人信息权益旨在维护自然人的人格尊严和人格自由,赋予自然人对个人数据的知情权和决定权具有重要的意义。非个人数据不涉及到个人权益的保护问题,对于非个人数据应当以促进其合理利用与流通为目的,这样才能最大限度地激活数据价值,改善产品和服务,更好地促进数字经济的发展。因此,笔者认为,对于非个人数据的处理不需要取得数据来源者的同意,但处理者在处理前应当通过适当的方式履行告知义务,告知数据来源者哪些非个人数据出于何种处理目的以何种处理方式进行了处理;只有这样,才可以为数据来源者行使获取、复制转移其促成产生的数据提供便利,否则数据来源者都不知道哪些非个人数据被处理,更无法行使这些权利。欧盟《数据法》第3条明确要求,卖方或出租方(可以是制造商)在签订购买或租赁联网产品的合同之前,应当以清晰易懂的方式向用户至少提供相应的信息,包括:联网产品能够产生的数据的类型、格式和估计量;联网产品是否能够连续实时地产生数据;联网产品是否能够在设备上或远程服务器上存储数据,包括适用的预期保留期限;用户访问、检索或者在相关操作时删除数据的途径,包括实现这些操作的技术手段,以及与服务的使用和质量相关的条款。同样,在签订提供相关服务的合同之前,相关服务提供商应当以清晰易懂的方式向用户至少提供以下信息:预期的数据持有者可能获取的产品数据的性质、估计量和收集频率;以及在相关的情况下,用户访问或取回此类数据的安排,包括预期的数据持有者的数据存储安排和保留期限;将要产生的相关服务数据的性质和估计量,以及用户访问或取回此类数据的相关安排,包括预期的数据持有者的数据存储安排和保留期限;预期的数据持有者是否期望自己使用已获取数据,以及使用这些数据的目的,还有预期的数据持有者是否有意允许一个或多个第三方出于与用户商定的目的使用数据;预期的数据持有者的身份,例如其商号和所在的地理位置;在适用时,其他数据处理方的身份;等等。 数据来源者针对数据处理者享有获取其促成产生的非个人数据,处理者负有以法律规定的方式提供该等数据的义务。依据欧盟《数据法》第3条和第4条的规定,数据来源者获取数据的权利可以通过两种途径实现:一是数据来源者直接从联网产品或联网服务中就可以获取并复制相关的数据;二是数据来源者向数据处理者提出请求,由数据处理者以相应的格式为数据来源者提供数据。我国个人信息保护法赋予了个人针对个人信息处理者的查阅、复制“其个人信息”的权利(第45条第1、2款)。所谓“其个人信息”是指个人信息处理事项,即该自然人的个人信息被处理的相关情况,包括:个人信息是否正在被处理;个人信息处理者的身份和联系方式;个人信息的处理目的、处理方式、处理的个人信息的种类;被处理的全部个人信息等。法律上赋予自然人就其个人信息的查阅复制权,是为更好地贯彻落实个人信息处理的公开原则与透明原则,从而真正保障个人对其个人信息处理的决定权。 同样,对于非个人数据也要赋予数据来源者以获取该数据的权利,理由在于:一方面,有利于实现数字经济中的数据公平。在现代网络信息社会,数据代表用户行为和事件的数字化。数据是多方主体参与其中后形成的,很多时候是由数据的来源者与处理者共同生成的。数据处理者虽然为数据的处理投入了人力、物力和资本,但是数据来源者在其中也有贡献,比如数据来源者是数据编码信息的对象,由于数据来源者从事的行为如使用联网产品或服务而产生了数据等。因此,对于数据的生产具有贡献的各方难以如同有体物的生成(如物权法中的添附制度)各方那样可以通过协商的方式确定各方对数据的使用。为了实现数据公平,协调各方利益,法律上应当对数据来源者获取和复制数据的权利作出规定。另一方面,有利于促进数据流通,挖掘数据的价值。允许数据来源者获取和复制其促成产生的非个人数据,有利于数据来源者更好了解所使用的联网产品或服务的性能与内容,或者更好地改进所提供的产品或服务。例如,在电子商务平台上销售产品或提供服务的平台内经营者(即所谓的网店)利用获取和复制数据的权利,可以了解本网店经营中生成的全部数据,从而可以更好地调整营销策略,优化产品或服务。如此一来,同一数据被数据处理者、数据来源者进行复用或融合利用,产生了更大的价值。 数据来源者行使获取数据的权利后,对于所获取的数据可以进行合法利用。但是,不得侵害数据处理者或他人的在先合法权益,如商业秘密权、知识产权等,另外,也不能违反数据处理者与数据来源者之间的约定。当然,如果处理者利用自身的强势地位(如大型平台企业)拟定格式条款,排除数据来源者获取数据的权利或者对该权利进行不合理限制,那么依据我国民法典第497条的规定,该条款属于无效条款。 复制转移数据的权利,也称为“数据可携带权”,是指数据来源者要求数据处理者将数据来源者促成产生的数据转移给指定的第三方或与该第三方共享数据。欧盟《数据法》在借鉴《通用数据保护条例》(GDPR)对个人数据可携带权的规定的基础上,确立了数据来源者对非个人数据的可携带权。欧盟立法机关认为,用户有将数据用于任何合法目的的自由,其中包括了向提供售后服务的第三方提供用户在行使《数据法》项下权利时收到的数据,或指示数据持有者这样做。数据持有者应确保提供给第三方的数据,与数据持有者本身能够或有权从联网产品或相关服务的使用中获取到的数据一样准确、完整、可靠、相关且最新。考虑到个人信息可携带权有助于充分实现个人对于其个人信息享有的决定权,方便个人获取并利用其个人信息,从而可以更好地维护个人权益;同时,也能在一定程度上促进个人信息的合理流动与利用,维护消费者利益和社会公共利益,因此我国个人信息保护法第45条第3款规定了个人信息的可携带权。同样,数据来源者对其促成产生的非个人数据也应当享有数据可携带权,这种规定可以更好地维护用户的合法权益,也能够避免数据持有者垄断数据、排斥竞争。例如,A公司购买了B公司生产的挖掘机,B公司收集了该机器使用时的各种数据,因为质保期已过,该机器出现故障,A公司觉得在B公司维修的费用太高,决定请C公司维修。如果B公司不提供相关数据,则C公司就难以维修该机器,而A公司只能接受B公司提出的高昂的维修费用。
在我国民法典、个人信息保护法已经规定了个人信息权益的背景下,作为数据来源者的个人对其个人数据享有的权益就是个人信息权益,因此,没有必要再对个人就其个人数据的来源者权益另行规定个人数据所有权或其他的权利。未来我国法上应当明确规定的数据来源者权益是数据来源者对其促成产生的非个人数据的权益。该权益的主要内容包括知情权、获取与复制数据的权利以及转移数据的权利。赋予数据来源者对非个人数据相应的权益有利于实现数据公平,打破数据垄断,更好地实现数据的流通和利用,这种私法上的确权方法与公法上对数据垄断等的监管并不矛盾,而是相得益彰。
