我们已经进入一个互联网、大数据时代,伴随着数字技术在政治、经济和文化领域的广泛运用和不断发展,作为数字技术核心载体的数据在社会生活中的重要地位已经得到了广泛重视,在以互联网广泛应用和大数据不断挖掘为背景的信息社会中,数据日益成为重要的财富,是经济增长和价值创造的重要源泉,甚至有学者称其为“新石油”(new oil) [1] 。然而,数据究竟是一种什么样的权利,是数字时代的法律必须要回答的首要问题。近年来,学界围绕能否以传统物权法或财产法的理念来解释数据的权利属性展开了大量讨论,但关于数据的内容、归属等,仍然存在重大争议。对这些问题的判断将直接影响信息、数据的流通、再利用,甚至会影响互联网、高科技的发展。有鉴于此,本文拟从数据权益的性质出发,对数据权益与个人信息权益之间的关系、数据权益与数据产品权益的界分等问题进行探讨。
自罗马法以来,传统大陆法国家民法的财产法具有如下特点:一是物债二分。借助罗马法中的“对物权”(iura in rem)和“对人权”(iura in personam)的概念,大陆法国家民法形成了物权和债权的区分与对立,进而又分为物权法和债权法。 二是物必有体,即主要是以有体物(动产、不动产)为保护客体。三是物权排他,即物权都具有排他性。大陆法系国家民法以所有权为中心,并在所有权的基础上产生出他物权,不论是所有权还是他物权,都具有对抗一般人、排除他人干涉的排他性特点。 受此种观念的影响,我国《民法典》第114条第2款在规定物权的概念时,仍然采用了有体性、支配性、排他性的表述。应当看到,此种理论体系本质上是观察物质世界财产权的一种研究方法,但对于网络虚拟世界的数据权益,上述理论则缺乏有效的解释力。在进入数字时代后,传统民法中的财产发生了重大的变化,民法上的财产已经逐渐由有形变为无形,解释对象发生变化后,解释的视角和方法也应当相应地发生变化。
从词源上讲,人们一般将数据定义为数字或信息,数据是信息的载体。 [2] 但这一定义方式显然并不足以揭示数据的全部内涵。与技术层面不同,从法律层面看,数据不是一个简单的信息问题,而是一个权利问题。毫无疑问,关于数据被赋权的必要性,在理论上是存在共识的。从权利层面观察数据,首先需要确定其作为一项权利,在民事权利体系中处于什么地位。 关于数据的权利属性,我国《民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”该条对数据的保护规则作出了规定,该条虽然将数据规定在财产权之后,但其在性质上是否为财产权,并不明确,因为严格地说,该条只是一个引致条款,即将数据的法律性质与保护方式链接到其他法律规范,并宣示了对数据权益应予以保护,但该条没有对数据的权利属性作出明确规定。虽然我国已经颁布了《数据安全法》《个人信息保护法》等法律,但这些单行法对数据权益的法律性质并没有作出明确界定。
关于数据权益的性质,学者存在不同的观点,具有代表性的观点包括人格权说、财产权说、特许权说等。 这些观点都不无道理,都从特定的角度相对准确地分析、总结了数据权益的某种属性。正如卡拉布雷西曾评论的那样,“提出某种分析框架或者模型这种方法……只是提供了大教堂的一个图景罢了(But this approach also affords only one view of the Cathedral)” [3] 。这些观点围绕数据权益的性质,从某一个角度提出了各自的一套分析框架,就其所涉及的社会生活的局部而言,不可谓不正确。但准确解释数据权益,需要突破原有的以物理世界为观察对象的研究范式,寻求可适用于研究虚拟世界的新的范式和方法,以新的视角来观察、解释数据权益。
面对数据权益的解释困境,建立在物债二分基础上的传统研究范式受到了一定冲击:一方面,物债二分和物权理论立足于物质世界,以有体性的财产权益为观察对象,而在数字时代,数据权益是以信息为载体生成的各项权益,其客体具有无形性的特点,它是在虚拟世界中产生的各种权益,因此,传统的物权—债权分析方式对数据权益的利用和保护难以作出周全解释。另一方面,所有权权能分离以及所产生的各类物权的排他性理论难以有效解释数据权益,因为对数据权益而言,各项权益交织在一起,形成了一种“你中有我,我中有你”的格局,无论是大陆法系的物债二分理论,还是英美法上的“对物权/对人权”理论,都难以解释数据权益现象。 此外,各个数据权益主体利用数据权利的绝对排他性也受到了消解,各个权利人对数据的利用权往往呈现出叠合与并行的共赢局面。在此背景下,“权利束”(bundle of rights)理论为我们全面观察数据权益提供了崭新的视角,该理论充分认识到一宗财产或者一宗有价值的经济资源上的权利主张的多样性和可分割性,并认为同一客体上可以同时并存多元主体的多种权益主张。只要这些权益主张之间的边界是清楚的,那么,各权利人就可以和谐共处,并行不悖地行使自己的权利。 [4]
“权利束”理论来源于霍菲尔德(Wesley Hohfeld)对权利的分析。早在20世纪20年代,美国著名法学家霍菲尔德就提出了“权利束”的初步构想,他认为,财产权的本质并不是人对物的关系,而是人与人之间的法律关系,而且是由一系列复杂权利,即请求权(claim)、特权(privilege)、权力(power)和豁免(immunity)构成的关系集合。 根据霍菲尔德的观点,任何物权都应被视为无数的个人之间的个人权利。因此,我对一辆汽车的所有权不应该被视为个人之间的法律关系,也不应被视为我和汽车这一事物之间的法律关系,而应被视为我对所有其他人的一系列权利。任何标准的财产权都被恰当地视为所有者针对许多其他人所拥有的一揽子权利。此外,财产权的各项权益内容本身也是可以分割的。 [5] 这些观点后来又发展成了“权利束”的思想,即一宗财产上发生的多重权利关系集合在一起,构成一个权利关系的束体,就像一束束花朵一样。 [6] “权利束”的观点深刻地影响了美国财产法,也为后来法与经济学的财产权理论的发展奠定了基础。法经济学派认为,在一个科斯所想象的零交易成本的世界中 ,人们可以彼此之间就所有这些构件一一达成协议,进行多样复杂的权属分割和让渡。这样一来,任何一种固定的权利类型安排都将是多余的。 [7] 因为人们永远可以就特定资源的利用达成最有效率的分割和利用协议。可见,“权利束”理论成为法律经济学派重要的分析工具。 [8]
美国学者贝克尔认为,对财产的“权利束”分析可以作为一种“主导范式”,在这个范式的支持下,法学家可以关注财产法中的特殊问题,包括各种无形财产和各类新财产。 [9] 这就给我们一种启示,即针对物质世界的财产关系进行分析和解释的物债二分和物权理论,很难解释虚拟世界的数据权益问题,因此,讨论数据权益,需要突破传统的大陆法财产权研究范式,寻求一种新的研究范式。虽然数据权利不完全是财产权,但可以以“权利束”作为观察视角,分析其权利内容和权利属性。
第一,“权利束”理论有助于解释不具有物理排他性的各种权益的集合。传统财产法理论以所有权为出发点和中心,强调一物不容二主,以及财产权利在利用层面的排他性功能。但随着数字时代的各种新型财产的出现,权利人对数据这类客体的物理排他性越来越弱,很难用以物理排他性为基点的所有权理论来解释。相反,通过“权利束”学说可以化解这一解释困难。因为在“权利束”这样一个更具有包容性的权利分析框架中,只要同一客体上的各权利人之间权益主张的边界能够基本清晰,相互间就可以同时并行不悖地利用该宗客体。这样一来,就没有必要确定完全控制客体并享有所有权益的原初所有人。实际上,在现代社会,很多客体从产生之时就凝聚了多元主体的贡献,各个主体相互之间都有正当的权益主张需要给予承认和保护,很难认定某一主体对该客体享有绝对排他的控制权或者完整所有权。
第二,“权利束”理论有助于解释多元权益主张之间的复杂交织现象。在传统的物权理论看来,一宗有形财产之上的确可以产生各种他物权。尤其是随着社会商业模式的创新发展,财产利用方式的多样化,所有权权能分离的复杂性越来越高,传统的“占有、使用、收益、处分”权能四分法在解释复杂的权能分离现象时显得力不从心、捉襟见肘。 到了数据时代,围绕数据承载的信息之上的各种权益,更难以通过传统的权能四分法作出周延的解释。数据本身具有无形性,其价值不同于数据载体的价值,而是体现于数据所包含的信息内容。 用传统的物权观念就难以解释数据上多元主体的权利交织现象。但从“权利束”的视角,我们在对一宗客体上的诸多权益主张进行解释时,不用拘泥于四项权能的有限划分,而可以根据法律规定或者当事人约定的权利分配方案更弹性地认识和描述各种不同的权益主张,从而更好地承载一宗数据之上的复杂权益网络。
第三,“权利束”理论有助于更好地解释和更充分地促进数据上的权能分离和流通利用。传统的物权理论强调物理上的排他性利用,即便是从所有权中分离出来的用益权,也可以排除所有权人的利用。此种理论特别强调物理占有意义上的排他性利用,但也因此限制了物理财产分离程度和样态的多样性和复杂性。但到数字时代以后,数据作为无形财产,不仅不用受制于物理排他性的拘束,而且可以鼓励复制性流通和非排他性利用。 从数据要素市场的培育和促进的角度来看,更应该从这个视角来看待数据上的权益分离现象和发展方向。这不仅有助于我们认识到数据上权益分离的多样可能性,而且有助于鼓励数据处理者更积极地构想和发挥数据要素的利用潜能。
上述三个方面只是概要说明“权利束”理论对于解释数据权益,具有一定的合理性,而随着大数据、互联网的发展,“权利束”理论可能在解释不断发展的数据权益方面,彰显出更加旺盛的生命力。
传统的所有权及其排他性的理论以有体物为观察对象,通过该理论分析有体物的权利结构,可以确定明确的权益结构,即一般情况下,所有权权能的分离可以形成他物权,从而在一物之上形成平行的双层权利结构,例如,基于占有、使用、收益与处分权能的分离,所有权、用益物权和担保物权被作为对物的不同管领和支配方式而加以区分。在特殊情形下,他物权之上还可以进一步分离出其他权利,从而形成三层权利结构。例如,土地承包经营权人再次将土地经营权进行分离,形成所有权、土地承包经营权与经营权的三层结构。但即便是在这种三层结构的情况下,权利的结构仍然也是较为清晰的。此种权利分层方式具有如下特点:一是可以对权利彼此间的边界作出相对明晰的界定。不论是上述双层权利结构还是三层权利结构,各项权利的内涵、外延以及权利边界都可以是清晰的。物权的这种权利结构无非是基于所有权部分权能的不断剥离而形成,每一项权利对应不同的权能,即便可能层级较多,但各个权利之间的界分仍然可以是明晰的。二是各项权利之间不存在相互包容、交融的现象,这也奠定了物权排他性的基础。三是各项财产权利与人格权益是相分离的,即便是在部分人格要素的商业化利用中,其利用形态也与所有权派生出用益物权的结构存在本质差异。
然而,以此种理论难以解释数据权益,因为数据权益与上述物权的权利结构存在明显的不同。传统物权依据权能分离的方式构建权利结构的方法在解释数据权益上明显捉襟见肘,数据权益体系的构建明显呈现出更为复杂的特点,这主要体现在以下几个方面。
第一,从权利产生的视角看,与物权相比,数据权益的产生更为复杂。数据权益的来源多种多样,有的可能是已经公开的信息,有的可能来自处理人收集的信息,甚至可能需要经由算法的知识产权人的加工等方可形成。数据权益的形成过程中可能混合了个人信息权益、著作权、商标权、专利权、名称权等不同的权利类型。
一方面,数据可能来源于数据处理者的劳动或资金、技术等投入 ,因而可能具有财产权的属性。数据处理者为处理数据投入了大量劳动和资金,由此形成的数据产品,有可能因具有独创性而应受到知识产权的保护。即便没有独创性,数据处理者付出的劳动和投入的资金,也应当受到财产法的保护,如此才有利于数据的有效利用和优化配置,促进技术的进步和发展。 例如,有的作者进行了法律汇编,法律和司法解释本身不受知识产权保护,这些汇编虽然不具有独创性,但是汇编者在汇编过程中进行了大量的校对,投入了大量劳动,如果他人擅自将这些汇编作品进行复制和发行,也侵害了汇编作者的利益。此时,数据财产权利的意义就得到凸显,该法律汇编可以作为一种数据产品加以保护。虽然数据主要是通过流通、交换进而创造出更大的利用价值和预测价值,因而不同于有体物通过支配来分享其权能的法律关系构造 ,但这并不影响数据产品的财产权属性。
另一方面,数据也可能来自信息主体及其社会活动,信息主体的个人信息被编译成数据后,并不因此切断其与信息主体之间的联系,因而数据权利也可能与人格权联系紧密。也正是因为这一原因,欧盟保护个人信息的重要规范——欧盟《一般数据保护条例》将个人信息包括在个人数据(personal data)中,将敏感个人信息包括在敏感个人数据(personal sensitivedata)中,这也反映出数据权利与个人信息权利之间的密切关联性。
第二,数据权益的主体更为复杂。
由于数据来源和处理的方式不同,数据权益的主体也更为广泛。数据之上之所以存在复杂的权益网络,很重要的原因在于,数据的价值来源于数据的流通与利用,在数据的多次流通与利用中,可能形成各种利益互动关系,而且通过数据流动、共享,不论是针对个人信息、企业数据还是针对公共数据,都可能逐步形成多元主体间的复杂权益网络。 数据权益可能涉及的主体包括个人信息主体、信息处理者、算法的知识产权人,甚至在政府等提供信息的场合还可能包含公权力主体。企业自身在其产品上公开发布的信息和行为动态所产生的数据,也属于企业数据。因此,单纯以权能分离的方式划分数据权益的权利结构可能无法适应这一局面。还应当看到,数据的外延较为广泛,其包括政府数据、企业数据、个人数据,有的是公开的数据,有的则是非公开的数据。同一数据产品上的各类数据不一定都属于数据处理者。例如,就企业数据而言,企业除了对自己活动产生的数据享有权利外,对其他数据不能认定其享有独占的权利,即便就已公开的信息而言,其也只是有权依法利用,不能当然认定其归属于企业。
第三,利用方式更为多元。对传统物权,多是不同主体分别就客体的不同权能加以利用。例如,用益物权人对标的物进行占有、使用,且对物的利用是排他的,因为对某一有体物的占有、使用往往天然地排除他人同时进行占有、使用。也正是基于这一原因,权能分离后的相互排斥使得物权的权利结构较为单一。但是,在数据权益中,权益之间不具有明显的排他性,共同利用成为常态,单独利用反而是个例。数据是非竞争性(unrival)和非排他性的财产。 原始数据通常并不具有竞争性,只是处理后的数据和允许数据控制者从中提取预测价值的算法,才具有竞争性。 [10] 平台上对外公开的一些数据,任何人都可以随意浏览。 有学者将数据权益划分为不同的权利或权力,包括数据主权、个人信息权、数据财产权、知情权和数据自由权等。 此种说法虽然有值得商榷之处,但也表明了数据权益的内在结构的复杂性。
可见,与有体物之上形成的各个物权的平行结构不同,数据之上的权益往往呈现网状结构一般的“权利束”,这就好比在数据之上长出了一束束的花朵,而这些花朵就是“权利束”。以数据为载体的数据权益,交叉地分散于网状结构之上,并与其他权利相互联结,形成了独特而复杂的权利结构特征。数据实际上是信息之上形成的各项财益的集合。可以说,两权分离后形成的权利状态就像是树的主干上长出的分枝,主干即为所有权,分枝为他物权,如果在他物权之上再次产生他物权,就好比在分枝之上再次长出分枝。而数据权益则像是长在同一花枝之上的一束束花朵,各束花朵并开,没有像传统物权那样形成主干与分枝的关系。总而言之,数据权益这种网状的权利束结构,使得数据权益相较于有体物之上基于所有权权能分离而构建的权利结构而言更为复杂,只能用“权利束”理论来予以解释。数据是在信息之上形成的各种权益的集合,正是由于数据权益之上所形成的各种权益十分复杂,因此《民法典》第127条并没有对数据性质作出规定。
以“大众点评”这类产品所包括的数据而言,在数据之上就可以看到各种权利的分配呈现出多样性的色彩,具体表现为:其一,“大众点评”作为一个整体的产品,是一项无形财产,可以归属于数据的处理者或者”大众点评”平台;其二,“大众点评”中消费者的账户信息、消费记录、地理位置等个人信息虽然也属于数据的一部分,但是这些可识别特定自然人的个人信息权益就应当归属于消费者;其三,“大众点评”的算法可能是一个商业秘密,应当归属于算法的设计者或平台;其四,“大众点评”涉及的各个餐饮店的介绍、其发布的各类信息,以及优惠券等,应当归属于经营者;其五,“大众点评”许可经营者进入“大众点评”的权利,归属于经营者;其六,“大众点评”应用软件的各种元素,比如设计、符号等可能涉及独创性的作品,属于著作权保护的范围;其七,“大众点评”的名称及其商标本身也受到名称权、商标法的保护;其八,“大众点评”的数据架构,数据产品的架构也是一种财产权益,包括数据资产目录、数据标准、数据模式和数据分布等,由数字平台通过技术和私人规范进行塑造和控制,允许生产要素通过账户在其中流动并产生价值。架构财产权的出现意味着从控制单一的生产工具和生产资料扩展至控制要素活动的“系统” 。当然,“大众点评”还不局限于上述权益。由此可见,“大众点评”形成了一个完整的“权利束”,很难说该数据产品是归属于谁。这些信息的性质并不完全相同,难以作出统一的数据权益性质和归属的认定。
综上所述,简单地将数据看作某一类单一的权利,都显得有失偏颇。有些学者认为数据权益是财产权 ,就数据产品而言,这种观点不无道理,但此种观点忽略了数据作为个人信息载体的属性,个人信息是一项人格权益,不是单纯的财产性权利。因此,在这个层面上,数据又具有人格权益的属性。此外,数据中还存在其他权益。而如果我们用“权利束”的理念来观察数据权益,可以认为数据权益是多项权益的集合。这就意味着,对数据权益的赋权可能来自法律的多个领域。在侵害了数据的财产权益时,就触发了侵害财产的损害赔偿责任;在侵害了数据的人格权益时,就涉及侵害人格权的责任;如果以侵害知识产品的方式窃取具有独创性的数据,就会受到知识产权法等法律的规制。如前所述,我国《民法典》第127条虽然将数据规定在财产权之后,但其并没有明确将其界定为财产权,此种规定具有其合理性。
讨论数据权益,还需要区分数据与数据产品。在某些情形下,数据可能特指数据产品,其可以表现为某个数据库,或者数据分析产品,甚至是某个平台等。所谓数据产品,是指数据处理者通过合法手段收集各种数据后依法进行处理所形成的数据产品。诚然,数据与数据产品是很难分割的,数据产品是数据的产物,是数据的集合体。但是通常所说的数据是一种用数字化、电子化方式来承载一定信息的一种符号。 [11] 而数据产品不一定由基本符号作为单元而构成,而是一种相对完整的作品。例如,以“大众点评”为例,其虽然包含多种数据,但其在整体上可以被看作是一种数据产品。许多数据是由商业公司收集、加工整理并发布,进而开发成有价商品进行销售,可以通过整合、计算、优化相关数据来提高商业决策的效率与收益保障。 其目的是为其他有需求的商业公司提供潜在客户的获取渠道,帮助其他企业开发有效客户,为中小企业提供数据服务。这些数据产品应当归属于那些对于数据处理付出一定财力、物力、劳动,形成具有一定商业价值的产品的数据处理者。区分数据与数据产品的实益在于以下几个方面。
首先,数据权益包含复杂的权益结构,但数据产品在整体上属于无形财产。如果数据或者数据产品具有独创性,则其可以受到著作权法的保护。即使数据或者数据产品不构成知识产权客体的数据,数据之上可能成立署名权、数据携带权(或提取权)、数据完整权、数据删除权、数据更正权等,也要受到法律保护。例如,某个数据库将各类法律方面的书籍汇编成集,形成了电子图书库,即便被侵害的电子图书的内容都是已经公开的法律信息,但如果具有独创性,也应当受到知识产权法的保护。如果某人将这种电子图书完全转载或传播,这就有可能造成对他人知识产权的侵害。即使不具有独创性,产品研发者投入大量成本尤其是智力投入(例如,在校对、编排等方面付出了劳动),其对于数据的权益也要受到保护。他人不得实施“不劳而获”搭便车的行为,将其完全复制、利用。
其次,数据通常都涉及个人信息,而数据产品并不一定涉及个人信息。数据通常包含个人信息,而数据产品则并不当然包含个人信息。一方面,某些数据产品可能已经对所涉及的个人信息进行了匿名化处理,此时,该数据产品即属于单纯的财产,其所包含的权益结构也较为单一,不涉及人格权等权利。另一方面,如果数据产品仅开发非个人信息的信息,如气象等数据,此时,该数据产品也不涉及个人信息。
最后,就对数据产品中单个数据的侵害而言,要区分是对数据中个人信息主体权益的侵害,还是对数据产品权利人的权益的侵害。如果数据产品归属于企业,任何人不得非法利用企业的数据产品,否则将构成对企业财产权的侵害。但个人信息保护的不是产品,而是一种具有人格利益的个人信息,数据产品无法纳入我国《个人信息保护法》的保护范畴。某个信息即便成为已公开的数据,只要其能够直接或间接地识别特定主体,则任何人非法处理该数据都可能会构成对他人个人信息的侵害。因此,在侵害数据产品的情形下,如果构成对数据产品中个人信息的侵害,个人也可以依法请求行为人承担民事责任。
由于理论上一直没有对数据产品的性质达成共识,在行为人侵害他人数据产品的情形下,司法实践中通常将其作为不正当竞争纠纷予以解决。例如,在“淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争纠纷案” 中,法院认为,被告美景公司未经许可利用淘宝的“生意参谋”数据产品,产品研发者投入大量成本尤其是智力成本,能为其带来可观的商业利益与市场竞争优势,这一数据产品已经成为淘宝公司一项重要财产性权益。美景公司未付出劳动创造,将涉案数据产品直接作为获取商业利益的工具,此种据他人劳动成果为己牟利的行为,明显有悖公认的商业道德,属于不劳而获“搭便车”的不正当竞争行为,如果不加禁止将挫伤大数据产品开发者的创造积极性,阻碍大数据产业发展,进而会影响到广大消费者福祉的改善。在该案中,法院即将侵害他人数据产品的行为界定为不正当竞争行为,但事实上,如果承认数据产品的无形财产权地位,则行为人侵害他人的数据产品将构成侵权,此时就没有必要必须依据不正当竞争的规定解决相关纠纷。
需要指出的是,即使企业开发的数据产品应当归属于企业,但对数据产品的利用也应当尊重个人在个人信息处理活动中的权利。有观点认为,“大公司有技术手段来管理他们所积累的数据的访问,而且他们还从数据所有权的模糊性中获益。他们也从围绕着数据所有权的模糊性中获益,因为他们已经开始从数十亿人中提取数据。实际上,大公司将其获取的数据,它所捕获的数据视为无主之物,即野生动物:不属于任何人的东西,但可以由谁先抓到它们来索取。谁先抓到它们,谁就可以拥有” [12] 。此种观点将个人信息认定为类似于无主财产,平台在收集相关的个人信息后,相关的数据权利即归属于平台。但事实上并非如此,个人信息作为数据的重要来源之一,其并非“无主物”,因为人们在浏览网页、网上购物时,在不经意间同意了大公司收集个人信息的隐私政策,为大公司提供了海量的数据。对于个人每天产生的大量个人信息,平台不能随意收集。有学者认为,在网络环境下,对数据的确权要采取两权分离的模式,用户享有所有权,平台拥有用益权。 其实,用户在网络购物时留下的一些记录,不能当然都归平台所有。依据我国《民法典》和《个人信息保护法》的规定,个人应当对其个人信息享有权利,个人信息应当归属于信息主体。例如,“大众点评”App中包含的消费者的点餐记录等个人信息,仍然应当属于信息主体,不能认为都归属于平台,这时就需要区分数据产品与个人信息。
依据传统的物债二分理论区分物权和债权,这些财产权都与人格权是分离的。特别是以所有权为基石的权能分离理论,认为每个客体之上必须先确定一个所有权和所有权人,然后在所有权基础上分离出各种他物权。而他物权与所有权之间以及他物权之间的权利是彼此分离、相互排他的。此种观察视角难以解释数据权益现象。有一种观点认为,发展数据要素市场不仅需要明确数据权属,而且要以所有权为原型确认数据财产权。 [13] 数据权益和个人信息之间是一种用益权和所有权之间的关系。如果将个人信息权益作为“母权”,就可以将数据权利作为“子权”,通过设定数据原发者拥有数据所有权与数据处理者拥有数据用益权的二元权利结构,以实现数据权益分配的均衡。 这种分析路径实际上仍然是用传统的物权理论来观察分析数据财产权益现象,其合理性在于揭示了数据权益产生的部分原因和基础在于个人信息,但是这种完全以有形财产的权利结构来观察数据财产的权益的现象,显然无法准确解释数据权益与个人信息的相互交织关系。
诚然,确有一些数据的权利与个人信息是分离的,可以被某个单一的数据处理者完整控制和享有,就像传统物理世界中一个人对某个客体的完全所有一样。例如,将个人信息进行匿名化处理且完全排除了技术复原可能性,或者处理特定地域的气象数据。不过,在当前的数据要素市场中,这类数据样态及其处理过程并非常态,相反是例外。在绝大多数情形下,数据权益和个人信息权益是难以分离的。也正是因为数据往往是个人信息的集合,欧盟《一般数据保护条例》(GDPR)即通过数据保护形式保护个人信息,这就体现了数据与个人信息的紧密联系。
显然,对于数据权益与个人信息权益的不可分割现象,难以通过以所有权为基础权利的分离理论来解释。一方面,所有权人和用益权人分离之后,常常形成了两个不同的权利,且相互之间是独立的,相互之间的交融性较弱。但在数据客体上,即便个人信息主体的个人信息权益与数据处理者的财产性权益可以分离为两种独立的权利,但是,这两种权益难以截然分开。数据权益中常常包含个人信息权益,因此,“最基本且看来最正当合理的排他主张来自个人,其诉求主要是避免因数据处理遭受隐私损害” 。另一方面,所有权与用益权分离之后,两种权利之间具有物理上的排他性。在物理控制层面,在同一客体上难容二主。就利用形态而言,同样按照排他性理论,用益权人对物的利用必然排斥所有权人的利用。然而在数据客体上不存在这样的相互排他性问题。相反,各种权益主张可以以一种非竞争和非物理排他的方式共存。
鉴于前述特殊现象,“权利束”可以成为一种替代性权利理论,能够有效地描述和解释数据上的此种多元权利交融并存现象。“权利束”学说从一开始就把一宗客体上的权利结构视为一个“束体”(a bundle),承认“束体”内部的权利可分性和多样性结构。在一个客体上的权利束,不仅从一开始就可能发生了权利分割,即该束体内容从一开始就是由多个不同的权利块构成的(multiple sticks within the bundle),就像一束花果中又结出了多枚花果一样。虽然在权利人享有的利益层面是可以分开的,但各项权益之间不具有排他性。当然,从“权利束”视角来看,一个权利束体内部可以发生多样性权利分割,分化出各种不同的权利块,但并不是说这些权利块是杂乱无章的。相反,这些权利“束体”(a bundle)又常常以成型的模块(modules)的形式出现,如此方能便于一个客体上的各位权利人和潜在的交易当事人比较好地认识和理解相互之间可能享有的权益或者承受的权益负担,更有助于一宗财产上的权利分割、流通和利用。
数据权益与个人信息交织在一起,形成一种你中有我、我中有你的交融状态。数据处理者要行使权利,必然要受制于个人信息主体的个人信息权益制约。反之亦然,个人信息权益的行使也会对数据处理者的数据权益产生重大影响,具体表现为以下几方面。
一是数据权益的享有和行使应以尊重信息主体享有的各项信息权益为前提,并且必须在法律规定和合同约定的权限范围内行使数据权利。例如,数据处理者虽然在处理数据之前已经获得了信息主体的授权,并且依据合法授权而处理信息主体的个人信息,进而形成了数据。但这并不意味着其有权将该数据作任意使用或者与他人共享。依据我国《民法典》第1038条第1款的规定,“未经自然人同意不得向他人非法提供其个人信息”。共享是对他人信息的再次利用,对被共享者而言,也是一种信息收集行为。数据处理者行使权利不得超出信息主体的授权使用范围。
二是信息主体行使撤回同意权。即便数据处理者已经依据信息主体的授权通过处理他人的个人信息形成了数据,但信息主体仍然可享有撤回同意权等个人信息权益。我国《个人信息保护法》第15条第1款规定:“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。”依据该条规定,个人撤回同意没有期限限制,而且信息主体撤回同意并不需要说明理由。此外,信息主体撤回同意后,原则上没有溯及力,也就是说,撤回同意后,不影响撤回前因个人同意已进行的个人信息处理活动的效力。 据此,此种权利在性质上可视为任意解除权。一旦信息主体行使撤回同意权,数据处理者不得拒绝或者不当阻止。且这种权利的行使必然会对数据处理者的权益产生重大影响。
三是信息主体行使信息携带权。我国《个人信息保护法》第45条第3款规定:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”根据这一规定,信息主体享有信息携带权。在实践中,信息携带主要是指用户将在某个平台的数据移转至另一个平台,如将某个通讯公司中的通话信息移转至另一家公司,又如将用户在某一电商平台上的消费信息转移至另一电商平台。从竞争政策的角度,信息携带权不仅有助于维护信息主体对其个人信息的自主决定权,而且可以提升竞争并且鼓励创新。 [14] 如果不允许数据携带,则用户在移转到另一个平台时,需要重新积累数据,这不仅成本较高,而且用户前期积累的数据也无法利用,这显然不利于用户对数据的有效利用。 [15] 当然,依据我国《个人信息保护法》第45条第3款,信息携带权的行使必须符合法律规定的条件。
四是信息主体行使信息删除权,即在符合法律规定或者当事人约定的情形下,信息主体可以请求信息处理者及时删除相关个人信息的权利,该权利旨在保障信息主体对其个人信息的自主决定。在信息控制者删除信息后,应当使被删除的信息处于不被检索、不被访问和浏览的状态;如果仍然可以被检索、访问,则并没有完成删除行为。一旦信息主体行使信息删除权,同样将对数据处理者的数据权益产生重大影响。例如《征信业管理条例》规定征信机构处理的信息保存期限为5年。这意味着期限未满5年时,信息主体就不得随意请求删除。一旦5年届满之后,则信息主体就有权请求征信机构删除相关信息。
鉴于前述复杂的权益交织关系,我们可以打一个形象的比喻来概括数据权益与个人信息之间的关系:它们二者之间就好像一种放飞的风筝与风筝线之间的关系,数据处理者对其数据产品享有的权利如同放飞的风筝一般,但是这个风筝无论放得多远,它始终不能脱离个人信息权利人的权利而自由放飞。它在天空中自由飞翔的时候始终都受制于个人信息权益这条风筝线,而信息权利人牢牢地控制着这一根风筝线,使信息处理者的权益不能任意飘荡。信息权利人如果要将这种权利通过行使撤回权、删除权等将其信息收回或者删除,信息处理者也必须尊重信息权利人依法享有的权利。这种现象显然和所有权和用益权分离下相互对抗性的关系是截然不同的。一方面,这两者之间根本不存在这种对抗和排他的关系。信息处理者所享有的权利不可能直接对抗信息权利人所享有的权利。另一方面,用所有权及其分离理论来解释使得两种权益割裂开来,反而弱化了对信息权利人的保护。
还应当指出,我们之所以放弃用所有权及其分离理论来解释数据权益,还有一个重要的原因在于,当信息主体行使权利时,必然会对数据权利产生重大影响,这就形成了两种权利的相互冲突现象。笔者认为,解决数据权益冲突现象时应明确如下规则。
第一,信息主体应依法行使其个人信息权益,这也是维护数据处理者权益的前提。如果信息主体行使权利过于随意,自然会不当损及数据处理者的合理预期和正当权益诉求。例如,信息主体不当行使个人的信息携带权,则可能会影响到数据产品本身的流通和使用,也可能会影响到数据产品本身的数据权益的权益完整性,还可能会影响到数据处理人对数据权益的行使。因此,信息主体必须依据我国《个人信息保护法》第45条,正当行使信息携带权。
第二,信息主体合法行使其信息权益,数据处理者不得拒绝。例如,如果某用户在某个平台依法将其个人在该平台上的留言、通话记录等数据携带到另一个平台,这将影响到该平台对数据产品的完整性,数据产品的处理人能否禁止该用户行使携带权?显然,依据我国《民法典》和《个人信息保护法》的相关规定,此时,首先要判断信息主体行使权利是否合法、正当,只要该权利行使合法,就应当优先保护个人信息主体的权益,这就是说,虽然这两种权益之间存在着冲突,在此情形下也应当首先依据我国《民法典》和《个人信息保护法》的规定,充分保护信息主体所享有的各项信息权益,这实际上也就是在保障数据权益。因此,数据处理者必须尊重和保护信息主体的个人信息权益。
第三,数据处理者应充分尊重信息主体对其信息权益的合法行使,需要指出的是,如果法律对信息主体的权益保护没有作出具体、明确规定,产生了模糊地带,此时如何处理权益冲突?笔者认为,此时应当依据权利位阶理论,基于人格尊严优先的原则,优先保护信息主体的权利。因为人格尊严的维护要优先于财产利益,毕竟数据主体享有的是财产性权益,而信息主体所享有的是人格权益,人格权益直接体现的是人格尊严,是对人的主体性的体现,财产毕竟是身外之物,而人格权益体现了人的主体性,正如康德所说,人是目的不能作为手段 ,所以优先保护人的权益就是优先保护人的主体性和目的性。在此情形下,数据处理者享有的对于数据产品的权利应当受到一定的限制。当然,如果个人信息处理者对其所处理的个人信息进行了匿名化处理,则相关的个人信息与个人之间的关联性将被消除,其不再属于个人信息,而应当属于纯粹的数据,此时,数据处理者即可对该数据享有更为广泛的权利。
笔者之所以强调数据权益与个人信息之间的密切关系,旨在说明在我国数据立法中,对数据权益的保护首先体现在对个人信息的保护。所谓数据权属确定,首先要确认信息主体享有的个人信息权益,然后才应确认数据处理者的财产性权益。例如,2022年《上海市数据条例》第12条规定:“本市依法保护自然人对其个人信息享有的人格权益。本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益。”该条在确认数据权益时,首先规定要保护数据中的个人信息权益,这是较为妥当的。如果个人信息权益得不到保障,不仅会使得与个人的主体性维护相关的各种隐私和信息权益得不到保护,人格尊严也将受到损害。如此一来就背离了通过发展数据要素市场来满足人民群众的美好幸福生活的需要这一出发点和宗旨。同时,如果数据处理者可以随意处理个人信息而不尊重个人对其信息的自主决定和隐私权,那么,个人在未来的数字化生活中就可能变得更加谨慎和保守,不会轻易同意他人处理自己的个人信息。如此一来,数据处理者更难以获得信息,从而会阻碍数据市场的培育和发展。 尤其是在建立大数据市场的过程中,尽管政策和立法设计的重点是鼓励数据采集和流通,但鉴于数据采集和流通过程必然伴随着个人信息权益受侵害的风险,有必要在促进和发展数据要素上的财产性权益的同时,注重坚持和强调个人信息权益保护的优先性。这也是我国数据立法所应当坚持的基础性原则和理念。
采取“权利束”理论观察数据权利,一个重要原因在于“权利束”理论不以外在客体的归属为前提条件。在传统大陆法系的物权制度中,以及在英美法系国家所采纳的布莱克斯通定义的财产权框架中,重视的均是外在客体的归属。当法律秩序将某一外在客体归属于某一主体时,该主体就对外在客体享有全面的法律权能,而且可以排除他人一切干涉。例如,我国《民法典》第240条定义的所有权,尽管列举了占有、使用、收益和处分四项法律权能,但是通说认为所有权人享有全面的、不受限制的积极权能。相比之下,“权利束”理论并不将所有的法律权能全都建立在外在客体的归属基础上,而是建立在一一分析特定法律权能究竟归谁利用上。例如,针对某一外在客体,某项特定权能可以归属甲所有,但是另一项特定权能可以归属于乙。简言之,“权利束”理论认为,应当一项一项地针对利用行为进行具体分析,或者逐项分析利用方式,即采取所谓“use-by-use”方式。 [16]
数据虽然被称为“新石油”,但事实上,这种说法并不准确。数据与石油等有形财产的利用价值完全不同。一方面,数据具有不可消耗性。对数据而言,利用通常不会减损其价值,反而可能因为利用而增加其价值。 [17] 数据具有无限再生的特点 ,数据可以每天数亿计的数量产生 [18] ,我们每天的生活也会产生各种数据,如上网浏览网页、购物等,均会产生数据,这些数据将被平台存储和分析,基于这些数据可以产生有利于平台的有价值的信息。对数据的利用也不会发生物理损耗。另一方面,与传统的财产权不同,数据很重要的利用价值体现为预测功能(prediction),换言之,数据的价值不在于支配,而在于预测。现代法律的发展在财产权方面出现了新的趋向,即从单纯地保护财产权的归属和使用价值朝着一种可预测性的价值转化。这是因为数据权利的产生引导了一种财产权的演化新趋势(anewturn intheevolutionof propertyright),而数据的价值也正体现于其可预期性。 [19] 例如,通过分析可以了解消费者的偏好和人们的行为习惯,就可能产生独特的甚至是巨大的价值。
还要看到,数据的价值在于利用,只有利用才能产生价值,而且对数据而言,其利用方式越多,就越能体现数据的价值。大数据技术能够有效整合碎片化的个人信息,实现对海量信息的分析和处理,从而发挥其经济效用。与传统的财产权不同,对数据而言,利用通常不会减损其价值,反而可能因为利用而增加其价值。数据只在反复利用中产生价值,即越利用越有价值。例如,同一个平台收集的大量数据,如果只允许这一家平台进行利用,那么显然无法充分发挥出这些数据的价值,只有让这个平台将数据进行交易,允许其他的公司对这些数据进行挖掘、分析、利用,这些数据的价值才能真正显现出来。数据的非竞争性和非排他性特点也为财产共享提供了基础。 [20] 因此,在数字社会,不能用传统的所有权的概念来理解数字权利,并遵循严格的排他性原则,否则将不利于这些新兴财产的共享、共用。此外,对数据的利用也不受物理空间的阻隔和限制,其利用范围更加宽泛,所以,在数字时代,包容共享成为具有共识的价值理念,即“不求所有,但求所用”,这也符合数据市场建立的目标,因此,正在开展的数据立法应当将推进数据的充分利用和共享作为其重要的立法目的。
如前述,数据只有在利用中才能产生价值,也只有利用才能充分发挥数据的价值,数据本身的价值就是在利用中实现的。但如果单纯强调数据的有效利用,而不强调个人信息的保护,则会走向另一个极端。在这一点上,类似于知识产权保护。曾有不少知识产权学者强调知识产品的共享和利用,但是这种观点却忽略了很重要的前提,即仅注重利用而忽略保护,只能最大限度地发挥现有知识的利用价值,但不利于知识的创新,会使得任何技术创新失去动力。因此,保护知识产权就是尊重知识的创造、技术的创新,激发人们进行技术创新的活力。林肯曾说过:“专利制度就是给天才之火,浇上利益之油。” [21] 数据同样如此:如果只强调利用而不强调保护,最终会妨碍大数据的发展以及技术创新和进步,也不利于对于数字时代人格尊严的维护。另外,如果个人信息权益不能受到必要保护,人们也不敢授权他人来利用他们的数据和个人信息,这反过来也会妨碍数据的利用和流通。
随着大数据、互联网的发展,我国开始全面推动数据立法,但无论是国家立法还是地方立法,都应当妥当平衡利用与保护的关系。既要鼓励数据的开发、利用和共享,以促进数据产业的发展,也要提高对个人信息的保护关注度,完善相关保护规则。在数字时代,如何有效地平衡数据安全、个人信息保护与数字产业发展之间的关系,如何寻求一个恰当的平衡点,是政府着力要解决的重点问题 ,也是现代民法制度需要解决的重大难题。我国《民法典》和《个人信息保护法》都没有直接使用个人信息权的概念,而是采用了个人信息保护的概念,其根本的原因在于,个人信息的保护要适当平衡信息主体的利益与数据共享利用之间的关系,立法者担心采用个人信息权的表述后,将赋予个人过大的控制其个人信息的权利,这将妨碍到数据的共享、利用以及大数据产业在我国的发展。 从世界范围来看,数据的采集和共享的方式正在发生日新月异的变化,而且导致数据作为一种产业蓬勃发展,但由此带来的其与个人信息等人格权益的保护之间的冲突越来越明显。因此,我国有关数据立法所应当秉持的一项原则是,既要鼓励数据的开发、利用和共享,以促进数据产业的发展,又要加大对个人信息保护的关注度,完善个人信息保护规则。
在现代社会,数据已经成为一种重要的生产要素,在现代市场经济中发挥越来越重要的作用,数字经济已经成为国际竞争的重要的组成部分,数据安全已上升为国家安全,我国大数据战略的重要内容是鼓励数据依法开发利用,促进数据数动,推动数字经济发展。 但促进数字经济发展首先需要解决数据的赋权问题。 数据权益的性质与权利分配规制要求通过数据权属的清晰来促进数据利用,进而发挥数据的市场要素的功能和作用。应当看到,与对有形财产不同,对数据权益不能简单地以传统的物权理论来解释,而“权利束”理论为我们观察数据权益提供了全新的视角。依据这一视角观察,数据之上可能存在网状的权益结构。在确认数据权益时,应当强调对个人信息的保护,并注重个人信息保护与数据利用之间的有效平衡。只有这样,才能为促进信息数字技术的有序发展提供有力的法律保障。
[1] Samuel Flender, Data is Not the New Oil ,Towards New Data Sci(Feb.10,2015),https:// towardsdatascience.com/data-is-not-thenew-oil-bdb31f61bc2d,Mar.17,2022.
[2] See Katharina Pistor,“Rule by Data:The End of Markets”, Law&Contemporary Problems ,Vol.83:2,p.104(2020).
[3] See Calabresi,Guido&A.Douglas Melamed,“Property Rules,Liability Rules,and Inalienabili- ty:One View of the Cathedral”, Harvard Law Review ,Vol.85:6,pp.1089-1128(1972).
[4] See Thomas W.Merrill&Henry E.Smith,“What Happened to Property in Law and Economics Essay”, Yale Law Journal ,Vol.111,p.357(2001).
[5] See Wesley N.Hohfeld,“Some Fundamental Legal Conceptions as Applied in Judicial Reasoningand Other Legal Essays”, The Yale Law Journal ,Vol.26,No.8,1917,1923,p.96.
[6] See J.E.Penner,“The Bundle of Rights Picture of Property”, UCLA Law Review ,Vol.43.p.711-820(1995).
[7] See Henry E.Smith,“Exclusion versus Governance:Two Strategies for Delineating Property Rights The Evolution of Property Rights”, Journal of Legal Studies ,Vol.31,pp.453-488(2002).
[8] See Lee Anne Fennell,“Lumpy Property”,University of Pennsylvania Law Review,Vol.160,pp.1955-1994(2012);Thomas W.Merrill,“Property as Modularity”, Harvard Law Review ,Vol.125,pp.151-163(2012).
[9] See Lawrence C.Becker,“Too Much Property”, Philosophy and Public Affairs ,Vol.21,pp.198-199(1992).
[10] See Katharina Pistor,“Rule by D ata:The End of Markets”, Law&Contemporary Problems ,Vol.83:2,p.105(2020).
[11] See Katharina Pistor,“Rule by Data:The End of Markets”, Law&Contemporary Problems ,Vol.83:2,p.104(2020).
[12] Richard A.Epstein,“Property Rights and Governance Strategies:How Best to Deal with Land,Water,Intellectual Property,and Spectrum”, The Colorado Technology Law Journal ,Vol.14,p.181(2016).
[13] See Andreas Boerding et al.,“Data Ownership-A Property Rights Approach from a European Perspective”, Journal of Civil Law Studies ,Vol.11:2,p.323-370(2018).
[14] See B.Engels,“Data Portability among O nline Platforms”, Internet Policy Review ,Vol.5:2,p.5(2016).
[15] See Peter Swire&Yianni Lagos,“Why the Right to Data Portability Likely Reduces Consumer Welfare:Antitrust and Privacy Critique”, Maryland Law Review ,Vol.72,p.335(2013).
[16] See Thomas W.Merrill&Henry E.Smith,“What Happened to Property in Law and Economics Essay”, Yale Law Journal ,Vol.111,p.389(2001).
[17] See Katharina Pistor,“Rule by Data:The End of Markets”, Law&Contemporary Problems ,Vol.83:2,p.105(2020).
[18] See Cameron F.Kerry, Why Protecting Privacy is a Losing Game Today — and How to Change the Game ,BROOKINGS(July 12,2018),https://www.brookings.edu/research/why-protecting-privacy-is- a-losing-game-today-and-how-to-change-the-game/,last visited on Mar.16,2022.
[19] See Katharina Pistor,“Rule by Data:The End of Markets”, Law&Contemporary Problems ,Vol.83:2,p.105(2020).
[20] See Katharina Pistor,“Rule by D ata:The End of Markets”, Law&Contemporary Problems ,Vol.83:2,p.105(2020).
[21] Abraham Lincoln, Second Lecture on Discoveries and Inventions , Collected Works of Abraham Lincoln ,Volume 3,New Brunswick,N.J.:Rutgers University Press,1953.p.363.