随着数字经济的发展,数据流通、信息自由成为数据产业发展的基本需求。数据成为社会最具活力的生产要素。2019年,党的十九届四中全会第一次将数据作为新型生产要素;2020年4月,党中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》指出“研究根据数据性质完善产权性质”;2020年10月,党的十九届五中全会强调“建立数据资源产权、交易流通、跨境传输等基础制度和标准规范,推动数据资源开发利用”。可以看出,作为数字产业革命的加速器,有关数据权属的制度制定已成为数字经济高效运行的重要条件。
由于数据的利用涉及数据主体、控制人、外围使用人等主体,且需兼顾个人人格保护、数据流通利用和公共利益等多重关系,使得数据产权界定成为实践和理论界争议的焦点。数据确权的核心是明确谁有权收集数据、谁可以控制数据、谁可以交易数据和谁享有数据的收益。因此,数据确权应遵循数据自身特性,借鉴国外相关经验及观点,并结合中国的实际国情进行本土化制度设计。
一、数据自身的主要特性
(一)非独占和非排他性
非独占性和非排他性是指物品被生产后能够被多个主体同时进行使用、消费,其中一个主体对该物品的消费不会减少对其他主体的使用效用。这意味增加该物品使用者的边际成本为零。数据要素也同样具有非独占性和非排他性,这一特性在数据权利上表现得尤为突出。数据要素一旦形成,就能够被多个使用者同时利用,新增使用者对数据要素的利用并未减少原主体对数据要素的使用价值。其他使用者同时利用同一数据不仅不会造成边际成本的增加反而使得边际成本为零。数据要素的这一重要的特征,导致其不同于传统生产要素,难以适用传统的产权制度进行规范,也使得适用于独占性和排他性的私人物品的传统产权定理对于数据要素不再完全有效。
(二)价值的差异性
同样一条或一组数据,在不同的主体手中或不同的场景下其所体现的经济价值差异巨大。如一条数据在个人手中其价值十分有限,如在中小互联网企业手中其价值增值不少,如在一些互联网巨头的手中其价值更是不菲。造成同样数据价值差异巨大的原因主要有三方面,一是技术差异,主要就是不同主体对数据处理的算法、模型不一,不同算法技术导致数据的价值差异;二是规模经济,大数据具有规模效应的特征,同样一条(一组)数据在不同规模数据下其所体现出经济价值差异也较大;三是范围经济,数据价值在于探索不同数据背后代表的经济指标之间的相互关系和规律,从而为企业经营策略、营销提供对策,同样一条(一组)数据与其他不同属性的数据放在一起其价值差异也较大。数据价值的差异性给数据自身公允定价、评估增加了难度,同时也给数据不同主体的利益分配带来难题。
(三)高度流动性和分散性
数据不同于土地等其他静止不动的要素,其作为最活跃生产要素参与社会生产的全过程。数据自身的性质决定了数据从产生到访问、存储、使用过程中,需在不同网络间、系统间、组织间、主体间不断流动,一刻不间断。数据只有不断被不同主体、组织反复流动、访问、使用才能体现其价值,为客户提供优质服务,这也导致数据在不同主体、情景、组织间高度分散。例如,一项外卖服务,客户的相关数据就需在平台、外卖商家、平台外包三方公司甚至外卖骑手间不断流动,才能完成相应服务。数据的高度流动性和分散性,决定了数据产权界定、流转、交易过程中,其谈判、监督、执行、管理的成本是极其高昂,同时也给数据产权界定的适应性、灵活性提出了更高的需求,要求数据产权制度的设立需考虑动态界定的因素。
(四)主体利益诉求的多样性
一组数据的产生涉及到数据生产者、加工者、控制者、使用者等多个主体,不同的主体在数据生产、流通、使用中也存在转换和交叉,同时,数据流转、共享还涉及外部的产业、社会以及国家。在此过程中,其中的个人、企业、产业、社会、国家对数据均存在不同的利益诉求,具有很大的复杂性甚至矛盾性。产生数据的个人对数据具有访问、控制、更改、携带和获得优质服务、经济利益的诉求;企业对数据具有充分运用,创造经济价值的诉求;社会对数据具有流通、共享,提升社会服务便利性的诉求;产业对数据具有促进产业公平竞争,防止垄断的诉求;国家对数据具有确保政治安全、主权安全的诉求。然而保护个人对其个人数据的实际控制在某种意义上与社会对数据自由流通和共享存在矛盾;企业为获得经济利益对数据进行跨境流动与保护国家主权安全也存在矛盾。主体诉求的多样性数据产权归属界定过程中需考虑平衡多方利益诉求,实现国家、社会、产业、个人、企业利益最大公约数。
二、国内外对数据产权归属主要观点及实践
(一)国内外对数据产权归属主要观点
1.归个人所有
认为数据应当归个人所有的主要有两方面理由,一是海量数据是基于数据主体——个人的行为产生,正因个人的消费、娱乐行为以及个人用户信息才有了数据。没有个人就没有数据的产生,同样,失去了个人,数据本身也就毫无价值。因此,作为数据的创始者,个人对数据享有优先所有权。二是个人数据具有人格权属性。保障个人对数据具有所有权,体现了尊重人的自主性与差异性,促进维护人格尊严和人格自由发展的意图。通过数据为个人所有,制约、规范数据交易、使用等行为,能够防止数据过度商品化侵犯个人隐私权和人格尊严。
也有观点指出,如将数据权益都归个人所有,一方面否认了互联网平台在数据处理、加工中所付出的劳动和智力投入,不利于技术创新的积极性;另一方面,个人的谈判、交易成本过高,不利于数据的流通、交易和利用。
2.归企业所有
认为数据应当归企业所有的主要有两方面原因,一是数据的生产离不开企业的投入和创造性活动。信息是客观存在,只要人类的存在,就会有信息形成。但对信息的记录需付出资源的投入。技术落后时代,只有极少量的信息会被记录并流传下,主要就是因为信息记录、保存的技术滞后、成本高昂;而在当代,由于技术的进步和企业智力投入使得信息得以记录并形成数据。个人并未因信息的记录而额外付出成本,个人在网站购物、社交、浏览视频等都是主观的选择,不需额外支付成本。而服务提供方为记录这些数据,需更新系统、完善算法、提升算力、增大存储等。二是数据归企业所有符合经济学中的科斯定律,能够实现资源最优配置。科斯是著名经济学大师,诺贝尔经济学奖得主。科斯定律指出,当交易成本为零时,初始产权无论如何配置,通过讨价还价,资源的配置最终会达到最有效率的状况。微软的首席经济学家Athey曾做过个著名实验,实验表明虽然实验参与者坚称自己对自身隐私很看重,但事实上参与者都愿以较小的代价出售自身大量的数据及信息,最终参与者的私人数据都集中到实验者的手中,这种情况下最终的数据产权配置结果即体现了最有效率配置格局。在现实中也看到类似的现象,一些用户为获得免费的服务,自愿将个人的信息、数据交予互联网公司使用。因此,部分经济学家认为,由平台企业而非个人拥有数据产权将是最优的资源配置。
但也有学者提出,数据完全归企业所有会造成数据的垄断和用户隐私的泄露。数据归平台企业所有将使得大企业独占大量数据,广大中小企业难以取得数据并无法构成有效市场竞争,同时大数据的采集、加工、分析、存放需投入大量沉没成本,也提升潜在进入者面临的进入壁垒,阻碍公平竞争,形成垄断。此外,由于平台企业利用、控制、储存数据的透明度较低,消费者难以知晓其隐私泄露程度以及隐私泄露潜在损失的严重程度,也无法采取有效手段进行监督,从而造成个人隐私的泄露和侵害的风险。
3.归国家所有
认为数据归国家所有的理由主要有两方面,一是数据要素类似于石油、煤炭、天然气、无线电等生产要素是国家战略资源,既是企业公平竞争,促进经济社会发展的重要生产要素,也涉及个人隐私等敏感内容,具有一定公共物品的属性。如数据归国家所有,政府能够代表公共利益,以“公共数据安全”和“合理开发使用”为目标,合理开发利用数据资源,产生的收益也可较公平的在各方主体进行分享,做到“取之于民,用之于民”。二是数据安全关乎国家利益、国家安全。由个人数据汇集而成的大数据,涉及国人健康、消费偏好、文化倾向以及地理位置等关键敏感信息,对国家安全具有重要影响,也是各国竞争争夺的焦点。因此,数据主权是国家主权的重要组成部分,如数据归国家所有能够从维护国家主权安全角度,有效保护国家的权益免受侵害,避免因违规跨境数据流动等行为破坏国家安全及国家主权。
但同时有观点认为,数据利用的关键在商业价值的开发和数据的流通,如归国有则影响数据生产、经营的积极性和开发利用的运行效率。此外数据资源高度分散,每天各个行业、场景产生海量数据,如归属国有,难有统一、专门机构实时对海量数据进行统一收集、处理、储存、应用,既无法及时保障数据的开发利用,也需付出极大收集、存储成本维持运营。
(二)国外的主要实践
1.美国实践
个人数据保护上,美国采取的是财产权为导向的分散式立法保护的形势。美国认为维护个人隐私,最优的途径就是通过市场竞争。由价格机制、消费者选择主导的市场自由竞争将不断沉淀成有较好隐私保护水准的市场主体。立法方面,个人数据保护涵盖宪法、联邦、州多个层次,除此之外还有多个分行业的个人数据保护法。美国的宪法、《信息自由法》和《隐私法案》均规定保护个人免受政府对个人隐私的侵害。
在各个行业,则采用专门的数据立法,这说明不同行业的企业面临不同的隐私保护法规的规范。《金融现代化法》用于约束规范金融企业对个人非公开个人数据的使用;《健康保险流通和责任法》则用于维护个人健康信息免受侵犯;《儿童在线隐私保护法》则是约束规范互联网企业对儿童的个人信息的处理、利用。美国非个人数据则主要是按照反不正当竞争法以及《计算机欺诈与滥用法》、《数据库权指令》等有关法律来进行保护,实践的案例中也对非个人数据的“财产权”给予认可和确定。
美国数据保护立法表面十分注重隐私保护,然而事实上当个人数据权维护与数据的流通、使用发生冲突之时,美国政府往往倾向于后者,这是为了维持其在数据产业的领先位置及相关既得利益集团的目的决定的。在此模式下,个人数据权的保护仅仅依靠法律法规下的平台企业的自律以及侵害事后的补救来进行。该模式虽利于数据产业繁荣但也容易导致个人数据权利容易被侵害。2020年,美国大数据产业市场规模高达210亿美元,排名世界第一,与此同时当年其数据泄露案件共达1001起,近1.56亿人受此影响,该数字也高居世界第一。此外,平台巨头滥用其所掌握的数据对本国和他国政治、经济、社会产生巨大不良影响。最著名的就是Facebook将其收集的5,000万个人用户的社交未经用户同意、授权情形下进行滥用,用以操纵美国总统大选和影响英国脱欧公投。而此案最终不了了之,Facebook未受到任何惩罚。
2.欧洲模式
与美国分散式立法不同,欧洲采取集中立法的模式。欧洲法律强调个人数据是最基本的人格权,并通过严格保护措施来规范数据权属。个人数据保护上,2018年5月欧盟通过《通用数据保护条例》,约束数据搜集的范围,明确数据控制者和搜集者需承担较大的义务,并确立了个人数据的八项权利,包括:知情权、访问权、更正权、限制处理权、被遗忘权、反对权和不受制于自动化决策。值得注意的是,《通用数据保护条例》将个人数据看作受特殊考虑的权利,而非财产权。
非个人数据保护上,1996年通过的《数据库指令》提出数据库特殊权利,目的在于保护运营者在数据取得、收集或提升数据质量上大量投入。如没有对数据大量投入,数据库将不受法律保护。2017年通过的《构建欧洲数据经济》旨在构建数据生产者权利,保护数据要素再利用的成果,极大调动数据利用的积极性;2020年通过的《欧洲数据治理条例》旨在公共部门设置的安全处理环境中再利用特定的数据。
欧盟的立法模式十分注重对个人隐私权和数据安全的保护,然而同时也容易造成数据交易成本和执法成本大幅提高,一定意义上限制了互联网产业和数据产业发展的动力。数据表明,自《通用数据保护条例》施行的一年多来,欧盟国家数据保护部门已开了近800张罚单,处罚的数量和金额都大幅提升,互联网企业的数据管理合规成本极大提高。2016年到2019年三年时间,欧盟国家数据保护部门的员工人数扩大了42%,部门运行预算提高了49%。在欧盟严监管模式下,尽管个人数据泄露案件较少,个人隐私得到较好保护,但同时市场主体也不愿涉入数据产业和互联网业务,限制其数字经济的发展活力。
三、数据产权界定存在的主要争议
(一)数据主权相关争议
数据主权关注国家的权益保护,避免因数据跨境流动等行为损害国家主权及国家安全;故应针对跨境数据传输等活动制定具有预防性的数据处置规则,而互联网企业和个人的数据权益归属和行使则应当在主权之下进行考量。数据主权已越来越成为世界各国关注的焦点,其他各国也纷纷通过立法形式保护本国数据主权,例如美国通过的《澄清海外合法使用数据法》、《美国本土外云计算战略》主张对本国境外数据的访问、掌控及主权,免受他国长臂管辖;欧盟的《一般数据保护条例》第40条规定禁止向未提供足够水平的数据保护的第三方国家或地区传输个人数据。
同时,也有学者提出,数据主权与企业、个人数据权利并不是对立、矛盾关系,而是相互依存、相得益彰的辩证统一关系。维护国家数据主权的核心在于数据的掌控和分析能力,究根结底还在本国企业、个人数据活动所驱动的技术创新和产业发展,发展才是维护和保障数据主权的根本。一国只有从国家战略高度构建本国数据战略体系,提高数据的控制和分析能力,才能真正有力维护本国数据主权。如过度强调数据主权本身,可能限制企业和个人数据权利行使,一定程度阻碍数据的流通、开发、利用,最终损害的也是本国维护数据主权的能力。
因此,有效界定数据主权与数据权利的边界、内容显得至关重要。二者明确的权利边界,既可以确保政府部门与企业各司其职,避免运营者和个人的数据活动受到不必要的限制从而降低其进行技术创新的积极性;同时,在数据主权明晰的框架下制定数据产权制度,用于规范企业、个人的数据活动,有利于降低市场交易成本,减少因数据流动产生的负外部性,从而促进数据产业技术创新和蓬勃发展,提升国家整体的数据掌控和分析能力。
(二)数据垄断的相关争议
索科尔等学者(Sokol,2015)提出,允许数据流通后,大企业在收集到大量数据基础上容易形成数据垄断,破坏正常市场竞争秩序,影响数据行业创新发展。认为大数据形成数据垄断的原因主要包括,一是大数据帮助平台企业获得市场势力。大数据往往是情景依赖,收集数据的情景利用频次越高,数据量越大,获得数据的成本就越低。大企业通过其独特的使用情景获得独特的数据并以此独占数据,使中小企业难以获得数据,并阻碍有效竞争,从而使大企业取得市场势力。二是大数据高昂的沉淀成本形成较高进入壁垒。数据收集、分析、存储、应用以及算法开发等方面的投入形成的高筑进入壁垒使得广大中小科技企业进入平台所在市场领域参与竞争的难度不断加大。三是平台巨头利用自身大数据优势进行大数据杀熟、算法共谋等不公平竞争行为,损坏产业竞争和消费者福利。
也有学者指出,数据的流动、利用过程中,即使大型平台企业掌握大量数据,也不会造成数据垄断。一是数据具有时效性。信息时代,瞬息万变,数据重要特征之一就是时效性,一旦超过一定时效,数据就会失去大部分价值甚至毫无价值。因此,即使大型企业掌握大量数据,在一段时间后就失效,失去价值,难以形成垄断;二是互联网行业技术迭代快。颠覆性技术、重塑竞争格局时有发生,几年前先进的技术、商业模式短时间内就会被替代,一旦颠覆性技术或模式出现,原有竞争模式下产生的数据也就自然失去价值;三是数据交流、流动促进更多企业开发利用数据,大企业自身也有分享数据的动机。平台企业对外分享数据既可以获得交易所得,又可以探索数据源的其他用途或发现成本更低的数据获取、开发、运用方式,进而从技术创新中盈利。
尽管学界对大数据流转是否导致垄断存在争议,但不可否认是数据产权归属不但关系市场主体的切身利益,还关系到市场良性竞争机制的形成。市场良性竞争机制使各市场主体获取公平的交易机会,使得劳动成果免受不当侵权,并鼓励潜在市场主体参与市场竞争。“保护竞争,防止垄断”理念应体现在数据所有者的数据竞争性权益归属中,旨在实现公共利益的最大化。当数据所有者利益与公共利益发生矛盾时,为使市场更加透明、更具效率、更具创新活力,就应许可数据所有者利益的必要让渡。
(三)数据人格权与财产权相关争议
由于数据中包含个人信息,能够识别个人身份,这部分特征属于个人隐私、人格尊严的保护范畴。传统意义上认为,个人的人格权区分于财产权,人格不能像财产一样进行利用和交易,当人格受到侵害时,其后果关注的也并不是可衡量的财产性损失而是精神的损害。
另一方面,随着信息技术的发展,大数据已经弱化了私人空间的界限,传统权利界限难以为私人空间构筑保护的高墙,同时,现代社会观念,隐私不再是绝对的、封闭的,很多个人用户愿意主动分享个人感悟、生活细节,愿意用个人隐私换取服务和相关经济收益,使得人们对数据权利的需求扩展到了隐私权、人格权之外的权利空间。在市场经济和大数据技术推动下,个人数据具有财产属性成为不可逆转的趋势。数据财产化观点最早由莱斯格提出,认为通过赋予数据财产化的权利,突破个人数据人格权保护的桎梏,能够有效解决个人隐私存在的偏好差异,有利数据流通和利用。
针对数据人格和财产双重属性,规则层面,还需在具体的法律、法规中进一步明晰个人数据权中的财产属性,并对数据商品化应用设置相应的法律规则。
(四)数据收益权相关争议
产业界通常认为,数据的收益权应当由平台企业享有,主要原因有两个方面,一是数据经济实践中,互联网企业等主体围绕数据的生成和利用采取了一系列活动,包括数据收集、记录、加工、清洗、传输、分析和储存。这些活动将数据从价值尚未被开发转变为价值开发利用,将散布各地且单个价值微乎其微的数据转化为可读取、可使用价值较高的数据集合,创造出有价值的数据。企业在实施这些活动过程中,投入大量的资本、技术和劳动,这对于数据增值不可或缺;二是业界普遍认为,目前互联网普遍存在“服务换数据”模式。消费者享受搜索引擎、社交网络、电子邮件、消费购物、地图和其他服务,其支付的代价就是给平台企业提供相关数据。而平台企业向用户个人提供的免费互联网商业服务本质上支付其个人数据使用的对价,属于等价交换,不必再额外支付代价或分享收益。
也有观点认为,由于个人与平台企业强弱势鲜明对比,由于当前技术不完善,数据价值难以评估,导致在数据收益权的分配中,个人处于显著不利的位置,现有“服务换数据”的模式是一种不公平的利益分配形式。2014年,荷兰的学生肖恩·巴克尔斯创建拍卖网,用于对外售卖自身个人数据。对外售卖相关数据涵盖个人住址、消费偏好、行程安排、医疗健康信息、浏览器历史记录、邮件通讯内容以及社交媒体交流的在线聊天记录。该网站先后有40多位买家前来进行数据竞拍,最终他以350欧元的出价售卖了自身的个人数据。由此可见,个人独立的、未经处理数据并非毫无价值,即便单个数据价值较低,日积月累形成的大量数据也价值不菲。而现实中,个人用户除了获得免费服务外再无其他额外收益,相较于上述数据市场价值而言相距甚远。
(五)小结
通过国内外相关观点、实践及争议看出,无论欧盟还是美国都未对数据产权有明确、完善的划分和界定,目前仍属争议地带,任何一种单一形式、绝对的数据确权方式,都难以较好兼顾个人隐私保护、数据开发利用及公共利益三方面的诉求。因此,我国数据产权权属划分应当分情境、分类型因地制宜,采取分类分级的方法,动态研判数据权属划分,规范不同情景下各方主体的权利行为和边界。
四、数据产权归属初步框架
(一)整体思路
借鉴国内外相关观点及实践,结合我国实际情况,本文构建数据产权归属的初步框架,秉持因地制宜、公平合理、鼓励创新、利益平衡的原则,按照数据层次、数据类型、产权分层三个维度展开数据归属的划分界定。数据层次主要是数据具有较大的外部性效应其权利行使存在主体分歧时,优先顺序如何排序;数据类型主要考虑不同数据类型、情景下数据权属如何划分;产权分层主要考虑现代社会产权内部分属不同主体,内部权利如何界定。
一是数据权利层次维度。从权利层次看,数据产权应当服从于公共利益即数据主权和市场的公平竞争的需要。当数据权利与公共利益发生矛盾时,基于公共利益优先于个人利益的理念,出于公共利益管理的需要,政府的“数据权力”可对企业和个人的“数据权利”的行使进行适当调整和规制。数据产权制度也应当在数据主权和市场公平竞争的框架下进行制定。
二是数据类型划分维度。本文对数据划分,不按一般个人数据和非个人数据的划分方式,容易引起歧义和权利配置不公平,本文对数据类型采取双层分类(参见下图)。第一层分类借鉴我国《电信条例》基础电信业务和增值电信业务的划分方式,将数据分为基础数据和增值数据。基础数据是个人信息及个人行为产生的最基本数据单位,不依附其他数据而独立存在的数据。增值数据指基础数据被收集后,依靠互联网相关技术经过清洗、处理、加工、计算而整合形成的数据,处理、计算、整合是增值数据的最重要特征。第二层对于基础数据,本文又分为个人身份数据和个人行为数据。个人身份数据,即能够识别个人身份信息的关键敏感数据,如姓名、身份证号、个人生物识别信息、住址等;个人行为数据,个人相关行为产生但无法识别个人身份信息,例如,消费信息、浏览视频信息、阅读文章信息等。之所以采取双层分类,主要考虑两个重要因素,一是是否涉及个人身份识别,二是是否投入大量智力资本,这两个因素对于数据产权界定和收益划分具有至关重要作用。
三是是产权维度。现代社会产权问题,主要表现在最终控制权、使用权、收益权三个方面,并且出于经营需要三者通常是分离的,但并不影响产权的划分。例如出租房屋,房屋的使用权为承租人,但最终控制权仍由房东所有;再如农村承包土地,承包期间土地的使用权、收益权为承包人所有,但最终控制权由农村集体所有。清晰界定数据权利中三者关系对于明晰数据产权归属至关重要。
(二)公共利益是数据产权前提
1.维护数据主权
在数据主权视角下,如何兼顾数据安全和数据开发利用的关系,成为制定数据主权维护制度的关键。我国应秉持数据保护和开发、数据限制和流动并举的理念来确立数据跨境流动的治理模式。通过制定数据分级分类管控与数据跨境流动评估机制,达到“数据利用”、“数据安全”与“数据主权”的平衡。制定数据分类分级管理的制度,有利政府管理部门按照数据的不同类型、数量、场景,明晰数据的边界和使用范围,明确数据共享、开放的权利、义务,在维护国家数据主权同时促进数据产业发展。同时,完善数据跨境流动评估制度,特别是要对数据进行分类、分级的标准、原则、跨境流动的相关条件以及跨境评估相关要素等进行深入探究和进一步明确。上述框架的制定,不仅有利于维护数据主权,也为数据产权的归属奠定框架和遵循。
2.促进产业公平竞争
针对促进产业公平竞争,防止数据垄断方面,数据权利从两个方面进行应对。一是对于平台企业的数据权利设立限制条款。法律可出于公平竞争考量对于部分平台企业数据权利内容作出修正,在特殊情形下许可第三方企业对平台企业数据进行“合理利用”,当然数据“合理利用”不应超出必要限度。二是设立责任规则。责任规制是指非产权持有者可以不经过产权持有者的许可就使用该物品,事后只需支付由独立第三方机构认同的公允价格即可。往往当事前的交易费用高昂导致自由交易难以实现时,则适用责任规则。适用责任规则对公平竞争进行保护主要原因就是以自愿形式的数据流通交易费用过大,企业间的平等协商难以进行,但是数据资源的重新配置自身对市场又是有效率的。假如认定非产权持有者的数据利用行为对于产业创新和市场竞争具有积极意义,整体上可以提高社会效率,就能够通过责任规则的形式允许特殊情况下的数据流转,无需产权持有企业的同意。
(三)数据最终控制权
个人身份数据具有高度人格权的特征,出于保护人的人格尊严和自由发展,身份数据最终控制权应该由个人所有,而这最终支配权应当包括知情同意权、更正权、删除权、可携权等。
个人行为数据最终控制权应由企业和个人共有。其是由个人一系列消费、娱乐行为产生的,没有这些行为就没有数据的形成,但因不涉及个人身份的识别,同时企业在记录数据过程中付出了相应技术、存储、算法投入,因此,支配权由双方共有。平台运营者收集、利用、交易、流转该部分数据需得到用户授权,尤其此类数据在流通过程中,数据控制者应当及时告知数据主体此类数据的共享或者流转的情况,并及时征得数据主体的特别同意。同时,个人行为数据在利用和交易过程中。当个人数据权与企业数据权发生冲突时,个人数据权应当优先得到保护。例如在进行数据分析时,由于算法歧视、算法偏差,有可能得出歧视性、偏差性运算结论,并对用户个体合法权益的实现产生影响时,应赋予个人用户必要情形下的数据更正权和删除权。
增值数据的最终控制权由平台企业所有。这部分数据适用物权法中的添附原则。“添附”指民事主体凭借自身劳动将不同所有者的财产或者成果进行重新组合,从而生成一种新形态的财产。“添附”是物权法确认产权的一项重要法则。增值数据是在基础数据上通过技术处理、加工、整合而成的系统的、有价值的数据。本质上是将基础数据投入人力财力通过算法技术挖掘整理而成的,这一过程恰是添附原则的实践体现。洛克指出,付出劳动者应享有劳动产品的财产权,马克思的劳动价值理论也认为,劳动者拥有劳动创造的价值。按照前述理论和添附原则,增值数据产权的产权应由运营企业所有。
(四)数据使用权
个人身份数据,平台企业为向个人提供服务,不得不收集个人身份信息,需严格获得用户授权。在知情同意规则的设定上,平台数据运营者在收集个人身份数据时,需考虑个人身份数据的异质性风险,应当明示数据收集和利用的目的、必要性等内容,并征得数据主体的“特别同意”,注意程度高于一般个人行为数据。在政策层面,还应进一步明确谁有权收集什么类型的个人身份数据,谁有权利用和加工这些数据,运营企业是否有权与第三方进行数据交易或分享等。
个人行为数据由个人用户授权下由平台企业使用运营,其注意程度和限制小于个人身份数据,但企业也应严格按照约定、告知的用途利用、处理相关数据。政策层面上,应明确数据运营企业的数据追踪机制,防止数据权利被滥用。追踪机制要求数据运营企业能够及时提供相应证据表明其数据权利主张所针对的数据来源,实践中可凭借不断更新追踪日志实现。数据追踪日志可以为数据主体数据权利提供证据,能够表明相关数据集合的设立未损害第三方权利。追踪日志还有助于数据运营企业积极响应个人数据用户的访问自身数据的请求。同时,在发生数据泄露、隐私侵害及其他信息安全事件时,能够及时、恰当地向个人用户履行告知义务。
增值数据的使用权归属企业,但仍应受到相应限制。尽管企业拥有对增值数据的最终控制权和使用权,但归根到底增值数据基础是来源于个人数据。根据个人数据保护的目的限制原则,运营企业利用个人数据的目的应与收集用户数据时明示用户的目的应保持一致。如改变了收集数据时确立的目的范围,则应通知用户,并取得个人用户的许可。因此,企业对增值数据行驶使用权时,一是要求交易时增加透明原则,要求其向用户公开其取得(包括购买、共享)数据的渠道、数据的类型;要求数据交易者公示企业基于基础数据,通过大数据分析而对消费者特征标签化的处理行为。二是企业应对增值数据的匿名化及匿名化后续运用的隐私风险和安全风险进行评估。如果风险较大,企业在行使所有权时应受到一些约束。如减少交易对象范围或对交易对象进行限制,从而保证下游用户对于数据的利用不会导致对原始用户的权益受损。
(五)数据收益权
个人身份数据和个人行为数据的收益权应当由个人和企业分享。个人作为产生这两类数据的源泉并享有最终支配权,自然应当在数据收益中进行共享;企业在收集、记录数据提供服务过程中投入智力资本并得到个人授权也应获得收益,因此,这两类数据的收益权由企业和个人分享。但目前存在两方面障碍,一是各国法律、法规未充分明确个人用户在这两类数据中的收益分配权;二是数据的客观价值、各方客观贡献难以评估、计量,对相关价值追踪机制、技术也不完善。这方面建议引入数据信托机制,通过第三方机构代表用户群体,对用户数据进行管理,并进行客观价值评估、追踪,其作为一种集体管理财产的制度,有效兼顾了对数据的保护、科学管理、合理利用和收益分配的目标,有利于促进数据的交易、管理、保护和收益公平分配。2021年8月,“数据资产信托合作计划”发布,清华x-lab数据经济实验室会同北京互联网法院、中航信托等各家单位合作研究开发“数据信托”中国版方案,这是我国首支中国版数据资产信托的初步探索,下一步应用实践还有待持续深化。
增值数据的收益权按前文所述的添附原则应当由运营数据的平台企业所有。认可数据添附者对增值数据的收益权,既能够有效保护数据运营者的积极性,也有利于提升数据交易的法律稳定性与可预期性,推动数据产业发展。
免责声明:本文仅代表作者观点。
中宏网版权申明:凡注有“中宏网”或电头为“中宏网”的稿件,均为中宏网独家版权所有,未经许可不得转载或镜像;授权转载必须注明来源为“中宏网”,并保留“中宏网”的电头。
