郑佳宁:数字经济时代数据财产私法规制体系的构塑
数字经济引发了数据财产的爆发,数据财产立法应当坚持物尽其用这一“最大幸福原理”,激励数据的开发与利用,实现数据财产价值的最大化。这不仅是数字立法的理性要求,亦是各国数字立法旨在实现的重要目标。为此,有必要从数据财产的归属、利用和保护三个层面确立数据财产的私法规制体系。具体而言,首先,应当在区分个人数据与非个人数据的基础之上,明确数据财产的归属。其次,应当确立“促进合理利用 增强透明度”的基本思路,实现数据控制者对数据财产的充分利用。最后,应当明确对数据财产的赋权保护,强化数据控制者的权利救济,形成数据的合理利用秩序。
郑佳宁,中国政法大学民商经济法学院教授、博士生导师。
一、数字经济呼唤数据财产价值的最大化
(一)数据财产的法律内涵
数字经济泛指由数字技术赋能的经济活动,其核心在于人类通过对大数据的处理和使用而实现资源的优化配置与生产发展。大数据是一个广义且不精确的术语,通常将其性质界定为:数量巨大、种类繁多和处理迅速。但事实上,大数据远非这么简单。准确而言,大数据包含以下三层含义:首先,它指的是最大化计算能力和算法精度的技术;其次,它描述了利用一系列工具清理和比较数据的分析类型;最后,它增强了利用数据生成真实性、客观性和准确性结果的信念。简言之,大数据的核心内容是,在数据相关性的基础之上,收集足够多的数据,使用正确的分析工具,通过强大算法萃取有用的数据,帮助人们对当前事物或未来事物做出分析与预测。此外,随着机器学习的兴起,对数据的分析与处理实现了进一步升级。机器学习的算法是非固定的,其能够随着计算、运行次数的增多,即通过给机器“喂取”数据,让机器像人一样通过学习逐步自我提高改善,使数据分析和预测更为精准。由此可见,大数据之大,并不在于其表面的大容量,而在于其潜在的巨大价值。因此,在数字经济时代,数据已然成为一种重要的财产,被喻为“21世纪的石油”。
通常而言,根据“可识别性”标准可将数据分为个人数据与非个人数据。其中,个人数据是指单独或与其他数据结合后能够识别出特定自然人的数据;而非个人数据即那些无法识别特定自然人的数据。就信息的本质而言,其是一种非物质的存在,是神经系统的一种机能。此种认识需要借助于特定的符号表达出来才能为他人所了解,在数字经济时代,数据是表达和传播信息的重要方式。因此,表面上看数据与信息是互为表里的关系,信息是数据所体现出的内容含义,而数据则是信息的表现形式。但是,当特定符号的应用方式逐渐被人们固定之后,符号本身就不再只是一种单纯的表现形式,而是被赋予了特定的含义,成为内容与形式的结合体。因此,数据既可以指向内容层面的信息,也可以指向符号层面的数据文件。
需要注意的是,人类社会中散落着种类繁多的海量数据,并非所有的数据均可成为法律上的财产。通常而言,在考虑何种事物可以成为财产之时,价值与稀缺是重要因素。质言之,只有在生产生活中能产生价值并且具有稀缺性的数据才能成为财产。数据的价值与数据的相关性密切相关。数据的相关性是指不同数据之间存在广泛的内在联系。数字经济时代,人们放弃了对因果关系的执着追求,而逐渐转向对数据相关性的探究,通过从海量数据中获取数据相关性,精准判断因素间相互作用的可能与方式,为人们提供强大的分析与预测工具。数据相关性如同“引力波”,将散落在各处的数据连接在一起,通过碰撞与融合生成新的价值,这种价值的生成可以被无限放大,实现跨界、跨时空的增值。因此,那些无法为人类的分析与预测等提供任何支持的数据,虽有数据财产的表象,但不具有数据财产的内核,不构成数据财产。此外,即便特定的数据具有价值性,但如果这些信息可以为任何人自由地获取,即不具有稀缺性,那么此类信息亦非数据财产,无需藉由法律来对之进行规范。概言之,数据财产是指能够为人所利用,具有价值性和稀缺性的数据。
(二)“物尽其用”:数据财产立法的“最大幸福原理”
数字经济时代,面对数据财产价值的指数式增长,财产立法应当做何调整,已经成为当前人类社会所面临的重要难题。当前,亟须数据立法对此做出积极的回应,以避免陷入数据利用的混乱状态。须知,人类行为的终极指导原则为促进幸福,而这里的幸福,准确来说并非具体行为者本人的幸福,而是所有相关人员的最大幸福。易言之,人类行为应当以增进共同幸福为目的,即“最大幸福原理”。就财产而言,其本质上所给予人类的快乐和幸福集中体现在财产的价值之上,因此,理性的财产立法应当尽可能地通过合理的制度设计来促进财产的利用,并实现财产价值的最大化。质言之,财产立法中的“最大幸福原理”,就是充分挖掘财产的价值,使得“物尽其用”。从法律经济学的视阈来看,这也是所谓经济理性的基本要求。财产法体系具有经济理性的深刻烙印,尤其是其对财产权的法律保护激励了资源的有效使用,实现了资源价值的最大化。
根据以上论述,财产立法的目的应当落到增进社会整体价值,实现社会的最大幸福上来。具体到数据财产立法,其“最大幸福原理”即保障数据的自由流通和充分利用。数字经济时代,数据财产价值的形成源于数据的相关性,正是依赖于数据的相关性,各种类型的大量数据才有汇聚并凝结出价值的可能。因此,只有尽可能地促进数据流通与利用,才能实现更多种类、更大体量的数据聚合,从而实现对特定数据价值最大限度的挖掘,发挥其催生社会活动创新的重要作用。反之,如果数据流通不畅、利用不足,数据的融合与碰撞将无法充分实现,数据的财产价值必然会被锁定在封闭的空间内,进而逐渐消沉,直至消失殆尽。此外,数据财产具有可复制性特征,可复制性意味着特定的数据财产可以同时由不同主体相互分享,而且数据财产的价值量也会随着其流通与利用范围的拓展而不断增长。因此,在数据立法中,数据财产对流通与利用的“渴望”远甚于传统财产,流通与利用是维持数据财产生命力的关键所在。故而,在数据立法中,应当通过合理的制度设计积极助力数据财产价值的实现。
(三)数据立法的基本路径:利用与保护并驾齐驱
正如上文所言,推动数据财产的利用是数据立法不懈努力的基本方向。本文认为,这不仅需要从正面确立数据利用的基本规则,更需要从数据保护这一视角出发来为数据财产的利用注入动力,即数据利用与保护并驾齐驱。所谓利用,是指尽可能地发挥数据财产的效用,增进社会幸福。数据财产价值的实现依赖于充分的数据资源,只有数据自由流动,数据控制者才能藉由数据分析技术,从海量数据间的相关性中发现数据背后隐藏的巨大财富。因此,数据立法秩序的构建必须以强化数据利用为基点。此处,人们往往容易陷入一个误区,即认为数据的收集、分析和处理会侵蚀个人数据保护的根基。但是,事实并非如此,只要数据控制者在数据收集、分析和处理的整个过程中尽到合理的注意义务,采取必要的防御措施,数据控制者完全可以在保障数据基本安全的前提之下,实现对数据财产的利用。在数字经济时代,人们之所以会对数据利用行为保持高度警惕,主要是因为存在大量不合理使用数据的行为。基于此,在法律制度层面,应当积极推动数据财产的合理利用,通过数据保护规则来遏制不合理的数据收集、分析和处理等数据利用行为。
数据的保护则是指维护数据主体和数据控制者在特定数据基础之上所形成的具体利益内容,保障前述两者的合法权益。数据主体,是指特定的具有身份识别性的数据所指向的自然人。数据控制者是指实际控制数据,并能够在合理范围内对之加以存储和利用的自然人、法人和非法人组织。无论是对个人数据的保护,还是对数据控制者所保有的数据财产的保护,都有助于增强数字市场的信心,进一步推动数据财产的流通与利用,为数据的合理利用秩序“保驾护航”。本质而言,数据是人类认识活动的产物,是对客观事物的具体描述,是事物或行为的数据化、可视化结果。如果个人或者企业对整个数据规范体系缺乏基本的信心,那么必然会在内心深处对行为的数据化小心翼翼甚至抵制,抑或选择将收集而来的数据牢牢地掌握在自己手中,免于曝光于世。这无疑会导致以数据为核心要素的互联网、物联网、人工智能等技术的推广受到阻碍,数字经济的发展也随之失去强有力的驱动。因此,在数据保护中,应当通过合理的方式对数据保护的范围进行必要的限定,尤其是避免对个人数据的过度保护可能带来的负面效果。总之,在数字经济时代,立法者需要从推动数据利用和强化数据保护两个角度出发,积极实现数据财产价值的最大化,以增进社会幸福。
二、数据财产归属体系的构建
数据财产的归属问题,是数据立法的逻辑起点。只有明确了数据财产的归属,才能在此基础之上确立数据利用与数据保护的基本规则。数据财产归属问题的核心内容是明确特定数据财产基础之上的控制主体和控制关系,从而最终确立合理的数据财产控制结构。数字经济时代,因为数据财产的控制结构日益复杂,而且基于数据的产生和基本属性方面存在差异,应当以个人数据和个人数据的区分为基础,明确数据财产的归属体系。
(一)个人数据财产的归属
对于个人数据而言,虽然其通常由企业等数据控制者实际控制,但法律则侧重于赋予数据主体更多的控制力。这是因为,个人数据具有身份上的可识别性,是人格的重要组成部分,对个人数据的保护系对社会“文明规则”的维护,它能缔造“一种人的尊严和自主权”。数据主体对个人数据的控制,主要表现为法律创设了知情同意、目的拘束和最少利用三大原则,希望以此强化数据主体对个人数据的控制,防止他人通过对个人数据的不当收集、分析和处理从而支配数据主体的数据图像(profiling),侵害数据主体的人格利益。在这三大原则之下,其他主体对个人数据的利用行为受到较为严苛的限制,处于相对被动状态,而数据主体则获得了对个人数据强有力的控制。正是基于此,有观点认为,个人数据应当归属于数据主体。然而,对个人数据的人格利益保护,不应该排除对个人数据的合理利用,亦不能得出个人数据仅归属于数据主体的结论。本文认为,个人数据财产的归属呈现出一种二元利益结构,数据主体并不能对其进行完全的控制。理由主要有以下两点。
第一,从个人数据的本质属性来看,其具有一定的社会属性。个人数据最为显著的特征是可识别性,即依赖于与特定自然人相关联的数据来辨识该主体。所谓识别,包括对特定自然人的身份识别和特征识别。前者旨在确定特定自然人的身份,例如姓名、联系方式、指纹等与个人身份直接相关的数据;后者侧重于确定特定自然人的具体特征,主要包括兴趣爱好、消费偏好、信用状况等。质言之,个人数据是自然人标识自己并使自己区别于其他主体的一种工具。因此,在社会交往中,其他主体为了辨识和了解特定主体,必然需要获取和利用该主体的个人数据,这是交往形成与存续的基础。由此可见,个人数据不仅关涉特定自然人的人格利益,更与其他主体乃至整个社会的利益密切相关,故赋予自然人对个人数据的绝对控制缺乏理性基础。
第二,从数据的产生过程来看,数据是数据主体和数据控制者共同合力的产物。数字经济时代,个人数据(尤其是确定特定自然人的具体特征的数据)的形成,主要是通过人机互动的方式来实现,具体而言,经营者借助特定的网络平台或计算机程序向消费者提供具体的交易服务,同时通过网络平台或计算机程序对消费者在交易中的行为进行描述并将其数据化。不难发现,在整个过程中,个人数据往往不是由消费者直接提供的,而是在经营者对交易行为观察、收集与分析的基础上形成的,经营者对数据的产生具有较大的投入与贡献。由此可见,在特定的数据之上,并非仅存有数据主体的人格利益,更凝聚着数据控制者的经济利益。归根结底,数据控制者之所以能够享有一定的数据财产权利,是因为其合法收集处理数据并支付了合理对价。
无论是从个人数据的本质属性,还是从个人数据的产生过程来看,数据主体尚无法实现对个人数据的完全控制。其他主体,尤其是与众多个体具有广泛交易往来的网络服务提供者或经营者,他们在某种程度上对个人数据的使用具有合法性。因此,个人数据不仅因其识别性特征而由数据主体所控制,还因其与数据控制者之间的密切联系而受数据控制者控制,呈现出一种二元控制的利益结构。需要注意的是,数据主体和数据控制者对个人数据的共同控制不同于共有。共有的本质是数人按照其应有部分或者共同共有关系而对某一财产享有的所有权。而在这种二元控制的利益结构中,数据主体对个人数据的控制来源于人格保护体系,而数据控制者对个人数据的控制则根植于财产法体系。这两种控制在理想状态下应当形成一种相互平衡的状态,这就要求法律必须有效平衡两种控制力量之间的关系,从而实现法律效益的最大化。
(二)非个人数据财产的归属
较之于个人数据,非个人数据的归属规则相对简单。民事主体对非个人数据的取得主要有两种途径,即原始取得和继受取得。其中,数据的原始取得又可分为两种方式。一是数据控制者依靠自身能力或者借助他人力量,经由特定的分析工具,对实际控制的个人数据进行清洗、脱敏等处理之后所获取的不具有识别性的数据,例如电商平台分析与自然人有关的原始交易数据所获得的各类群体的交易习惯、潜在消费群体的分布等数据。二是数据控制者对自然人的行为或法人、非法人组织的活动等进行数据化描述而获得的不具有识别性的数据,以及对数据化描述后产生的不具有识别性的数据做进一步分析与处理而获取的数据,例如企业在一定时期内特定商品或服务的交易总额、质量评价、投诉处理等数据。而数据的继受取得主要是指通过与他人之间数据交易,从其他民事主体处所获取的不具有识别性的数据。
显而易见,无论是通过上述何种方式获取的非个人数据都与自然人对个人数据的控制利益无关。换言之,非个人数据的归属规则不涉及个人数据的保护问题。但是,这并非意味着数据控制者通过上述任一途径所获取的非个人数据都直接归属于数据控制者。具体而言,在原始取得的情况下,无论非个人数据产生自上述两种方式的何种,数据产生都离不开数据控制者的收集、分析与处理等“劳动”,正是这些事实行为,奠定了数据控制者对非个人数据独占的合法基础。因此,在原始取得的情况下,非个人数据原则上应归属于数据控制者。但是,这里有一个重要的前提,即这些非个人数据不能是公共数据。所谓公共数据是指任何主体在任意时间和地点可以自主获取和利用的数据,例如特定行业各经营主体普遍采用的或业已公开的经营模式等数据。虽然对于特定的主体而言,此类数据具有一定的价值,但是数据控制者对数据的控制并不具有排他性,其他主体可以通过合法途径获取此类数据。因而,只有当非个人数据不属于公共数据时,特定的数据控制者方可依据其收集、分析与处理等事实行为而获得对数据的完全控制,即此类非个人数据归属于数据控制者。反之,数据控制者无法在事实上和法律上实现对非个人数据的完全控制。
与原始取得不同,非个人数据的继受取得通常依交易行为而完成。数据具有可复制性,同一数据可以同时由不同的主体实际控制与利用,因此,不能仅从表面的控制状态上来确定特定非个人数据的归属状态,而应当从交易行为的性质上来判断。对于数据的交易,主要有两种方式,即许可和转让。其中,许可是指许可人依照其与被许可人之间的约定授权被许可人在特定期间和范围内使用数据的行为;转让是指转让人将其对数据的全部权利整体转让于受让人的行为。对于前者,被许可人并未获得对特定非个人数据的完全控制,故此时非个人数据仍应归属于许可人;对于后者,受让人已经取得了对数据的完全控制,故此时非个人数据应归属于受让人。
三、确立合理的数据财产利用规则
个人数据与非个人数据在归属结构上的差异,使得二者的利用规则也不尽相同。非个人数据通常而言是由确定的数据控制者完全控制,故其可以在遵循诚实信用等民事权利行使的基本原则的基础上,依据其自由意志对数据进行充分利用。但是,就个人数据的利用而言,二元控制利益结构的存在使得数据控制者在利用数据时,必须以有效维护数据主体人格尊严为前提。因此,数据财产利用规则确立的难点在于,如何明确数据控制者对个人数据的利用规则。
(一)个人数据利用的基本原则:“促进合理利用 增强透明度”
正如上文所述,传统法律调整模式中关于数据控制者对个人数据的利用,主要是从个人数据保护这一视角入手,借助知情同意、目的拘束和最少使用三大原则来确立数据利用的范围。这种调整模式的最大弊端是所有的制度设计都以有效维护数据主体的人格尊严为出发点,忽略了对数据控制者利益的关注。这突出表现在上述三大原则对数据利用行为的严格限制上,尤其是目的拘束原则和最少使用原则,它们将数据的利用范围限定在数据收集之初所确立的初始目的范围内,禁止一切突破目的的后续利用,并强调在这一初始目的范围内的最少使用。然而,数字经济思维则强调数据的共享和交互,要求数据自由流通和利用,从而在海量数据中充分发现数据之间的内在联系,不断挖掘数据价值。数字经济时代,数据的收集、分析和处理等利用行为并不是严格意义上的目标导向型活动,经由数据的自由碰撞,数据可能会暗含何种价值,已经远远突破了人类的计算能力,意想不到的价值发现时常发生。由此可见,传统法律调整模式过于强调数据主体对个人数据的控制,这既不利于对数据价值的充分挖掘,也与数据立法的最大幸福原理相距甚远。因此,本文认为,只要数据控制者对个人数据的利用具有合理性,那么原则上应当给予必要的尊重。数据立法应当及时顺应数字经济时代的发展要求,肯定数据的利用价值,促进数据的合理利用,从而实现数据主体人格利益与数据控制者财产利益之间的有效平衡,实现数据财产价值的最大化。
需要注意的是,促进数据的利用,并不等于赋予数据控制者自由处分个人数据的绝对权力而忽视数据主体人格利益的保护。在明确促进数据利用、充分发挥数据价值的基本立法导向之后,还需要增强数据利用的透明度以维护数据主体的利益。个人数据自产生之日起,始终面临着可能遭受泄露的风险。只有在制度层面上对数据利用可能产生的相关风险进行必要的防控,才能使数据利用维持在安全的状态之下,否则,数据的大面积泄露必然引发人们对数字社会意义的质疑。因此,在转变立法调整思维,拓展数据的利用范围之后,法律亦需要在个人数据保护方面做出改进,防控数据利用范围的扩大可能带来的风险。本文认为,可以通过强化数据主体对数据利用行为的监督来实现对数据利用风险的有效控制,从而将数据的利用限定在合理的范围之内。具体而言,应当赋予数据控制者对数据利用行为的披露义务和风险防控责任,确保数据利用行为的透明度,使得可能存在的风险及时暴露在阳光之下。
(二)数据合理利用的判断
既然在数字经济时代,数据财产立法的全新路径为积极推动数据的合理利用,实现整体社会财富的最大化,那么,随之而来的问题便是,如何界定数据的“合理利用”。本文认为,可以借鉴由美国司法实践发展而来的合理期待理论(reasonableexpectation)。该理论是判断个人数据利用合理性的标准,包括主观合理期待和客观合理期待。前者是指任一数据主体均享有数据不被公开和利用的期待利益,特定的数据利用行为是否妥当,应当从数据主体的角度进行判断;后者是指将合理性判断交由社会进行,用社会价值与习惯来明确数据风险的合理界限。有学者通过情景完整性(contextualintegrity)理论来进一步明确合理期待理论的基本内涵和具体标准。情景完整性是关于个人数据利用的哲学解释,其认为合理利用的判断必须放在具体的情景中进行。情景完整性的理论基础在于,人们并非生活在同质化的社会生活中,每一主体拥有不同的能力,身处不同的情景,每一具体的情景都为人们的行为确立了一种规范要求。情景完整性要求数据控制者必须尊重具体情景之下的数据规范,否则将构成对情景完整性的违反,则该数据利用行为不具有合理性。具体而言,数据规范主要包括以下三项因素,即数据类型、数据流通所涉主体和传输规则。首先,每一情景之下可能包含多种形态的数据,并且特定数据的形态往往并不固定,不同情景中数据的形态亦可能发生转变,故应联系具体情景适用不同规范,以决定数据的利用是否符合合理性的要求。其次,每一情景中数据流通所涉主体一般包括数据主体、传输数据者和接收数据者。具体情景下的数据规范需要分清各主体的角色与地位,以明确其数据利用行为的界限。最后,情景完整性之数据规范还包括传输规则。传输规则是指在具体情况之下,数据流通需要满足的具体条件和受到的相关限制。传输规则决定了在何种情况下,数据的流通应该发生或者不应该发生。
情景完整性理论尊重了互联网发展的基本特征,并逐步在实践中受到立法者的青睐。美国2018年《加州消费者隐私法案》在规制数据控制者利用数据的行为时,汲取了情景完整性理论的精髓,在对数据利用的商业目的的界定中指出,商业目的包括与收集个人信息情境相一致的其他经营目的。欧盟2016年的《统一数据保护条例》也在一定程度上采用上述判断依据。该规则认为,对数据合理利用的判断,需要结合初始目的和后期处理目的之间的联系,数据收集之时数据主体与数据控制者之间的联系,个人数据的具体性质,预期处理可能给数据主体所带来的后果,以及适当的加密或匿名化措施的存在这些因素,来具体判断预期的数据处理目的是否与数据收集时的初始目的相一致。
本文认为,情景完整性理论为数据合理利用的判断提供了综合分析的模型,我国在完善个人数据保护立法和确立合理的司法裁判思路之时均可借鉴情景完整性理论,确立数据合理利用的基本规则。具体而言,只要数据控制者对数据的利用符合人们在具体情景之下对社会现状和发展趋势的合理期待,就应当肯定此类数据利用行为,明确此类行为的合理性。质言之,法律必须使合理性的判断与社会发展和科学技术的进步保持一致,构建起满足数据发展和创新需要的合理利用的判断标准。
(三)增强数据利用的透明度
在全新的数据利用秩序之中,只要数据控制者的数据利用在数据主体的合理预期范围内即为合理。然而,随着数据利用范围的扩大,个人数据遭受侵害的风险亦可能会被放大,此时应当要求数据控制者承担更多的维护数据安全的义务,增强数据利用的透明度,才能最终建立数据利用的社会信任。本文认为,增强数据控制者的义务应当从以下两个方面同步进行:一方面,强化数据利用的披露义务;另一方面,明确数据风险的防控责任。
个人数据在被收集之后,则在事实上脱离数据主体而由数据控制者所实际控制,对于数据主体而言,数据控制者对个人数据的利用往往处于一种隐秘状态。而且,在人工智能技术引入之后,算法的复杂性使得数据利用更加处于“黑箱”之境,进一步增加了数据利用的隐秘程度。这样一来,数据主体将无法预知数据利用行为可能带来的具体风险,其人格利益的维护也将陷入窘境。换言之,在数据利用的过程中,数据主体与数据控制者之间存有较为显著的信息不对称现象,这一问题严重威胁了数据安全。强化数据控制者对数据利用的披露义务已经成为当前数据立法筑牢数据利用基础的一项重要举措。美国2018年《加州消费者隐私法案》规定,消费者有权要求企业披露收集个人数据的类别和具体要素、数据的来源、收集与使用目的、所涉及的第三方主体和有关该消费者的具体个人信息。基于此,本文认为,应当课以数据控制者严格的披露义务,来确保数据主体能够充分掌握数据利用行为的细节,加强数据主体对数据风险的监督与防控。具体而言,披露的内容应当包括所利用个人数据的类别、利用的目的、数据的流向、利用方式和所涉及的第三方主体等与数据利用密切相关的具体信息。
此外,为了有效应对数据风险,保证数据收集、分析和处理等利用行为的透明度,还需明确数据控制者的风险防控责任,即构建起内部风险防控机制和数据泄露报告义务。数字经济时代,个人数据自生成之日起便在客观上脱离了数据主体的“事实控制”,由数据控制者存储和利用,数据的安全状况以及可能出现的风险,只有数据控制者最为清楚,故数据控制者必须建立起内部风险防控机制,确保数据处理的安全性。当前,我国作为数据大国,正在不断拓展数据利用范围,逐步迈向数据强国,此时必须要科学规范数据利用秩序,切实保障数据安全。为此,本文认为,我国在完善个人数据立法的过程中,应当在坚持推动数据利用的基础上,充分借鉴美国和欧盟增强数据利用透明度的有益经验,从强化数据利用的披露义务和明确数据风险防控责任两方面入手,结合各行业的发展特征与现状,确立妥当的适用标准,确保整个数据利用过程的安全性,增加全社会推动数据发展和创新的信心。
四、强化数据财产的法律保护
(一)数据财产保护的必要性
基于数据控制者对数据的必要贡献和合法权益,法律在不断强化数据利用价值的同时,亦需强化对数据财产的法律保护。只有这样才能在制度层面上促进和激励数据利用与数据分享。在当前法律体系中,对数据财产的法律保护的途径主要有以下三种。第一,合同法保护路径。囿于合同相对性之基本原理,合同法的约束范围通常仅限于存有合同关系的双方当事人,对合同以外的第三人往往无能为力。而且,在经营活动中,无合同关系的第三人侵害数据财产的情况也屡见不鲜。因此,在通过合同来维护数据财产的安全之外,还应当对数据财产赋予更强有力的保护,有效排除他人对数据的非法获取和利用。第二,侵权法保护路径。侵权法保护的根基为矫正正义,即对现实损害的合理救济。只有在现实中切实发生侵害数据控制者的合法权益的行为并造成损害之后,数据控制者始能通过侵权法保护路径实现对其合法权益的维护。然而,数据财产具有可复制性,一旦侵权行为导致数据在网络空间中发生大面积泄露,那么所产生的后果将是无法预料的,且往往难以完全恢复。因此,数据控制者期望的并非仅仅是对损害的救济,而是在法律制度层面上明确数据财产的利益,确保数据财产的安全,有效防止损害的发生。第三,反不正当竞争法的保护路径。反不正当竞争法主要是通过对商业秘密的保护,实现对数据控制者所控制的特定数据的保护。但利用反不正当竞争法进行保护的缺陷为其所规制的对象仅限于不正当的竞争行为。这就意味着侵害数据控制者利益的行为必须有害于合理的竞争秩序,且侵害者也必须为从事经营活动的经营者,才能适用于这一路径。而在数字经济时代,非法获取和利用数据的行为主体并非均为经营者,故对于非从事经营活动的主体侵害数据控制者利益的行为,反不正当竞争法难以发挥作用。由此可见,在传统法律体系中,对数据财产的保护仍然存在较大的空白地带。
(二)数据财产保护的路径选择
数据作为现代社会最为重要的财产类型之一已无疑义。存在疑问的是,在数据之上是否存在具有排他性效力的财产权。对此,形成了截然不同的两种观点。第一种观点认为,数据财产之上无法成立财产权。具体理由有如下两项。第一,数据控制者完全可以通过加密或保密措施维护对数据的独占地位,因此,数据并不会彻底沦为人人可获取的“公共物”。换言之,依靠自身的控制能力,数据控制者完全有能力保障自己的经济地位,故并无对数据财产进行赋权保护的必要性。第二,通过合同法等传统私法规则,已经能够充分实现对数据利用秩序的灵活调整,无须再在数据财产之上设定数据财产权,任何财产权的设想都必须谨慎。
与之相对的,支持对数据财产进行赋权保护的理由主要有两点。第一,维护数据控制者的利益,激励数据的生产与利用。数据控制者支持数据发展的意愿,取决于其在不断开发和利用数据过程中所投入的大量资本和人力资源能否获得充分、有效的法律保护,对数据进行赋权保护在功能上能够为数据控制者的投入提供基本保障,并且为数据的开发与利用注入动力。反之,如果未能对数据控制者的利益进行赋权保护,他们就没有动力收集、存储和利用包括个人数据在内的海量数据,进而挖掘出其中蕴藏的巨大价值,开发出更多的数据产品与服务。欧盟委员会在《建立欧洲数字经济》这一政策性文件中也提议,应当对数据财产进行赋权保护,维护数据控制者的合法权益,推动数据的开发与利用。第二,数据符合财产权客体的规范要求。当前,数据已经成为一种重要的资源,除了价值性和稀缺性之外,数据财产还具有可控制性和独立性的特征,符合财产权客体的规范要求。具体而言,数据虽属无形财产,但其仍需借助一定的载体而存在,数据控制者可以通过技术手段来控制数据载体,从而实现对数据财产的实际控制,并且与他人所控制的数据财产相区分,成为财产权的客体。
反对数据赋权保护的理由并不充分。首先,虽然数据控制者能够通过数据加密、网络隔离和访问控制等措施保障数据利用安全,防止数据泄露事故的发生,但是再坚固的“防火墙”也难以完全保障数据财产的绝对安全。况且,个人对财产的自主控制与赋权保护之间并不矛盾。即使是能够直接为个人现实占有和控制的有形财产,亦需在其之上构建起财产权制度以明确社会个体的利益空间,维护交易安全与社会秩序。其次,如上文所述,无论在保护范围还是在保护力度上,合同法和侵权法等保护路径都存有显著的不足,无法形成对数据控制者利益的全面保护。而赋权保护则能借助财产权制度,通过赋予数据控制者排他性的权利,有效提升对财产权益保护的强度与密度。最后,赋权保护具有牢固的现实基础,并符合规范技术的要求。数字经济的发展,离不开一套能够清晰、明确地界定数据归属、利用和保护的规范体系,对数据财产进行赋权保护,能够最大限度地强化与巩固数据控制者的利益,塑造良好、稳定的数据投资发展环境。且数据财产具有的可控制性和独立性特征,使其能够成为财产权的客体,赋权保护符合法律规范的技术要求,具有规范设计上的可行性。
因此,本文认为,对于数据财产的保护而言,赋权保护是数据立法的应取之道。借助于私法上的权利保护机制,在数字经济时代,数据控制者的合法利益能够获得更为全面而有效的保护,数据控制者开发与利用的信心也将日益增强。更为重要的是,财产权的确立能在制度层面清晰地确定数据财产之上的利益支配格局,为数据控制者的数据存储、利用、收益和处分提供直接的依据,进而塑造合理的数据利用秩序。
(三)构建全方位的数据财产保护体系
数据财产权,究其本质,是一种新型财产权。具体而言,因数据财产属于无形财产,不满足物权客体为有体物的规范要求,故数据财产权不属于物权。而且,数据财产通常由机器生成,难以具有人类思维的创造性,无法成为智慧成果,故数据财产权亦非知识产权。但是,基于数据控制者对数据财产的实际控制,数据财产权与物权和知识产权在权利效力上相似,都是一种具有排他性效力的绝对权,具有依自身独立意志使用数据财产并排除他人干涉的效力。需要说明的是,虽然数据财产权属于具有排他性效力的绝对权,但当特定的数据财产为个人数据之时,数据财产权的行使仍然需要以尊重数据主体的人格尊严为前提,不得侵害数据主体的合法权益。这是因为,如上文所述,个人数据的归属呈现出一种二元利益的控制结构,无论是数据控制者还是数据主体对个人数据均享有合法权益。因此,数据财产权对个人数据的控制是有界限的,限于合理地实现数据控制者的财产利益,而非对个人数据进行完全控制。只有如此,才能实现数据财产权和个人数据保护和谐共处。
数据财产商业利用的基础是明确与数据交易等数据利用相关的主体之间的法律权利与义务,尤其是应当明确权利义务的具体结构与内容。作为一种新型财产权,一方面,数据控制者作为权利人可以依据其独立意志控制特定的数据财产。具体而言,数据控制者在经合法途径收集或生产数据之后,依据数据财产权,数据控制者可以排他地存储和利用数据,并且其对利用过程中产生的新的数据财产亦享有相同的权利。同时,数据控制者还可依其自由意志将特定的数据转让或许可他人利用来获取相应的对价,任何主体未经数据控制者的同意均不可利用其数据。由此可见,数据财产权的构建将会明确数据控制者的利益,给予数据控制者更多的选择来利用数据财产,最大限度地发挥数据财产的价值。
另一方面,数据财产权还具有排斥他人的意思,即排他性效力。数据财产具有显著的可复制性,在利用过程中面临较大的数据风险,极易被他人复制并在网络空间中迅速传播。一旦数据为他人所复制并传播,则意味着数据控制者失去了对数据财产的控制,其财产权益也必然随之消失殆尽。这就决定了数据财产的保护必须注重事前法律防控,对可能存在的风险进行有效预防,对已经存在的风险进行有效控制,避免数据风险最终转化为对数据财产的损害。基于数据财产权的排他性效力,数据控制者作为权利人必然享有维护权利圆满状态的权利,这主要体现为数据控制者享有数据风险除去请求权和数据妨害排除请求权,二者被统称为数据财产防御请求权。具体而言,数据风险除去请求权包括要求不法风险的引发者和控制者删除数据,或除去可能引发数据泄露等风险的程序设置。该请求权主要针对的是以复制的方法窃取数据的行为。而数据妨害排除请求权则要求妨害的引发者和控制者清除对数据财产权行使的不当阻碍,其主要针对的是阻碍数据控制者访问、处理和利用数据财产的程序设置等。
当然,如果风险或妨害在数据收集、处理和利用的过程中已经转化为现实的损害,那么,数据控制者则可转向通过侵权法来维护其合法权益。如果对数据财产权的侵害损害表现为数据遭受破坏或恶意删除,那么数据控制者可以向侵权行为人主张数据恢复请求权,要求恢复原来的数据。如果数据的恢复不具有现实可能或者成本过高,那么数据控制者可以向侵权行为人主张损害赔偿请求权,以填补其损失。如果对数据财产权的侵害表现为非法获取数据,此时数据控制者则可要求侵权人停止侵害,删除非法获取的数据,并对所产生的损害进行赔偿。
经由私权理论所确立的数据财产权,不仅是数据财产保护的规范基础,更是整个数据财产私法规制体系的核心。首先,数据财产归属的二元利益结构,在肯认了数据控制者对数据财产的合法权益的同时,确立了数据财产权构建的利益基础。其次,以促进合理利用与增强透明度为主线的数据财产利用规则,在明确数据控制者利益的范围的基础之上,划定了数据财产权的利用范围与边界。最后,以赋权保护为路径的数据控制者利益的保护规则,通过保护规则的确立,为数据财产权注入了财产利益保护的主要内容。由此可见,数据财产权串联起了数据财产的归属、利用和保护这三个关键点,形成了数据财产私法规制体系的基本框架结构,从而奠定了数据财产开发的制度基础,在激发数据财产利用的同时强化对数据财产的保护,最终培育和巩固数字经济发展的信心。
以上文章原载于《学术研究》2021年第6期,文章不代表《学术研究》立场。