摘 要:“以保護促進流通”的策略仍然是當前數據治理的首要邏輯,在此策略基礎上,形成了以數據權益保護為基礎的數據治理范式。然而,以數據權益保護為核心的治理范式影響了數據庫賦權、競爭法保護的司法實踐,阻礙了數據流通利用,進而影響數據要素價值的實現,需重新進行數據治理范式選擇。通過考察我國頂層設計與社會實踐、歐盟的數據治理立法進程、美國數據治理制度的發展趨勢發現,數據的價值實現有賴于數據流通。但是,目前尚未形成相應治理范式對數據流通予以支撐。證成數據流通治理范式,并以此為基礎指導建構我國數據基礎法律制度,已成為當務之急。我國數據治理范式應以數據分類分級為工具,以有利于數據流通為前提,以數據權益保護為保障,結合不同應用場景賦予數據主體相應的數據權益,才能呼應數據“三權分置”的頂層設計。
作者簡介:商建剛,上海政法學院經濟法學院副教授,主要從事數據法研究。
一、問題的提出
數據治理基礎范式的選擇關乎國家競爭、企業權益、私權利等多元利益,決定了構建我國數據基礎制度的方向。誠然,以數據權益保護為核心的治理范式能夠對重要數據、敏感數據及個人信息進行較強的
保護,一定程度上維護了個人信息安全和人格尊嚴。但現有數據治理范式過度強調對數據權益的保護,僅尋求數據與特定主體之間的關系以及由此形成的權利,實質上落入了傳統產權治理的范式。這與我國數據治理制度的頂層設計和實踐需求不相符,阻礙了數據要素市場的發展。
究其原因,該制度設計忽 視了數據治理的另一核心:數據的價值來源于且產生于數據流通利用。現有研究將數據流通廣泛視為數據應用方式或數據治理場景,尚未形成一個獨立的理論框架。數據 將在不斷地交換、整合和關聯過程中持續產生新的價值,而孤立、單一或分散的數據只具有有限的價值。
這一現象進一步強調了數據的價值源自其流通過程。因此,在數據治理領域,需要超越傳統的社會治理范式,以更為理性的方式來處理數據權益保護與促進數據流通之間的權衡。具體而言,應該將數據流通視為分配數據權益的核心基礎,而不再堅守傳統的“以保護促進運用”的理論邏輯。這樣的轉變將有助于更好地應對現代數據治理的挑戰。
高富平教授曾于2019年提出數據流通理論,呼吁對數據進行賦權以促進數據流通。而在此之后,學界對數據流通的研究多集中于數據流通之場景設計,側重于數據權益本身和維權目的,例如醫療數據流通、企業數據流通等,同時對數據流通語境下的數據確權激勵、數據治理及制度進行了一定分析。可以看到,現有研究缺乏數據流通的整體視角和一般思路,研究相對分散且不協調。現有數據立法未能達到制度設計預期效果,需要更深層次的反思。
截至目前,我國已成立超40家數據交易所,各地紛紛出臺“數據例”“數據應用促進條例”以配合數據交易實踐落地。相較于地方層面大量促進數據流通的地方性法規、條例的出臺,在國家整體層面仍缺乏對數據流通和交易的有效法律規則。國家層面的數據流通制度缺失是造成多數交易所呈現“市場多、交易少”,或者“場外交易遠大于場內交易”的情況的主要原因之一。
為此,認識到數據流通重要性的學者呼吁構建統一的法律以促進數字經濟發展。數字經濟的發展離不開數據的支撐,而如何在保障個人信息不被侵犯的同時充分發揮數據的效用,數據經營者之間如何安排數據的共享或專享,如何劃分數據信息的控制權和使用權,是數字經濟發展的核心問題。面對數字經濟發展的窘境,進一步探究數據流通并將其上升至基本理論層次對于推動數據治理實踐的發展至關重要。
本文旨在證明數據流通治理范式相較于數據權益保護范式更有利于數據權益的實現,應作為數據治理的基礎范式。
二、建立數據流通治理范式的必要性
數據權益保護范式深刻地影響了我國數據立法,但該理論逐漸暴露了數據保護不周延、司法裁判標準不確定的弊端,為此需要確立數據流通治理范式。歐盟 GDPR在對個人信息處理進行強有力保護的同時,出臺《數據治理法案》(DGA)及《數據法案》(DA),平衡了數據流通與數據保護的關系。歐盟GDPR亦強調個人信息應當在“高保護水平之下,在歐盟范圍內以及與第三方國家、國際組織之間自由流通”。與之相比,我國在數據權益保護方面完成了《個人信息保護法》等相關立法后,并未在數據流通領域出臺相關法律法規,甚至并未關注到數據流通治理范式的缺失。
(一)現行數據保護范式不利于數據的流通利用
以數據庫、反不正當競爭法為代表的數據保護范式,只能作為促進數據流通的前提,并不能促進數據流通利用。以數據庫保護為例,其保護的客體不是數據的利用價值,而是對于數據庫的建設投入。數據庫保護范式源于20世紀90年代,考慮到構建數據庫需要大量的人力、技術和財務投入,為維護數據庫作者的權益,歐洲議會和歐洲聯盟理事會于1996年3月11日正式頒布了《歐洲議會和理事會關于數據庫法律保護的指令》(以下簡稱《指令》),為數據庫作者提供了版權和特殊權利兩種數據庫保護模式。根據《指令》第3條關于保護客體的規定,對數據庫的選擇和編排是數據庫作者獲得版權保護的唯一原因,該版權保護不得擴張至數據庫的內容及其所享有的權利。版權保護范式著重于表達方式,而非思想(即表達的內容),無法對“數據”提供有效保護。歐盟《指令》除了提供版權保護范式外,還為數據庫作者提供了特殊權利保護范式。在特殊權利保護范式下,《指令》將數據庫分為實質性部分(substantialpart)和非實質性部分(insubstantial part)。《指令》第7條第1款規定,數據庫作者對數據庫內容的獲取、核驗或選用方面做出了定性或定量的實質性投入的部分,享有保護權利,即數據庫作者自然地擁有實質性部分的權利。同時,第5款規定,“若連續且系統地提取或反復利用數據庫非實質部分的內容,且這種行為違反了數據庫的正常使用或不合理地損害了制作者的合法權益”是不被允許的,即數據庫作者對非實質性部分享有附條件的權利。然而,特殊權利保護范式無法有效地平衡數據庫作者的利益和公共利益之間的關系。上述分析說明,數據庫保護范式并未將焦點放在“為了數據流通而保護數據”的視角上,其設計主要基于“額頭流汗原則”,這種過于強硬的保護遭到了社會公眾的強烈反對。與數據庫保護的事前授權范式相比,競爭法保護范式更強調事后救濟機制。競爭法保護范式包括一般條款、互聯網專條以及商業秘密保護等多種救濟措施,在實踐中存在諸多問題。
(二)現行數據保護范式帶來司法的不確定性
以數據庫、反不正當競爭法為代表的數據保護范式,由于相關制度的不完善,產生了司法不確定性的風險。《指令》作為形成時間較早的具有影響力的立法,一定程度上為我國早期的數據相關訴訟案件提供了裁判思路,但版權保護范式帶來的問題是,如何界定選擇和編排的獨創性會給法官帶來較大的裁量空間。“北京陽光數據公司與上海霸才數據公司”案中,法院認為將信息流通過一定的手段進行匯集和編排不符合作品的獨創性要求,不能認定為匯編作品。然而在“大眾點評訴愛幫網”案中,法院認為大眾點評網通過商業運營使用戶評價達到一定規模,并進行了匯編,大眾點評網是評論集的匯編權著作權人。兩法院對匯編作品的認定給出截然相反的裁判準則,足以反映出認定匯編作品選擇和編排是否具有獨創性難度較大。同時,盡管《指令》進行了實質性保護和非實質性保護的劃分,但是《指令》并沒有明確區分實質性部分和非實質性部分,這也為司法帶來了裁判標準無法統一的困擾。2005年12月12日,歐盟委員會發布了關于《指令》實施效果的評估報告,該報告顯示,歐盟各國對《指令》第 7 條提到的“實質性投入”標準存在廣泛的爭議。例如,在荷蘭地方法院的NVMv.DeTelegraaf案中,將收集和保存實時信息所花費的數千歐元認定為“實質性投入”;而在德國最高法院的Hit Bilanz 案中,收集和核實德國每周“十大”熱門歌曲的名稱被認定為“實質性投入”。這兩個案例的裁判標準顯然不一致。之后,在BritishHorseracingBoardv.William Hill(2004)案中,英國上訴法院則認為,只有用于獲取數據以組成數據庫內容的投資才能享受特殊權利的保護。在同時期的美國立法中,對非實質性部分給出了定義,認為數據庫的非實質性部分即為對其提取、使用或再利用,不會削弱數據庫的價值,不會與數據庫的正常使用沖突,也不會對數據庫的實際或潛在市場產生不利影響的部分。這表明歐盟立法者試圖在數據流通與數據權益保護之間達成平衡,數據庫的特殊保護范式并未取得理想的效果。除數據庫保護范式存在較多司法爭議外,我國《反不正當競爭法》也帶來了司法的不確定性。以“上海鋼聯公司訴上海縱橫今日公司等”一案為例,法院認為涉案信息是原告通過大量投資、承擔風險和長期經營得來的,相比單一的、分散的涉案信息,經過整理的信息具有更高的價值。被告的行為違反了商業道德,被認定為“徹底的搭便車行為”。然而,盡管“搭便車”在道德層面上具有一定的可責性,但道德上的可責性與“搭便車”行為在法律上是否具有可責性并無直接關系。新產品本就基于舊產品進行創新,特別是在日新月異的數據要素市場,新的經營者進入新領域致力于開發新產品、新服務時,一定會基于現有成果進行再開發或再創造。簡言之,在數據要素市場,模仿是競爭的前提。因此,若直接引入現有道德標準來規制非極端的“搭便車”行為,可能導致裁判結果受不確定的法外因素影響而脫離市場規律和競爭機制,造成裁判標準的不確定性及裁判結果的碎片化,從而阻礙數據流通。
(三)現行數據保護范式產生了阻礙數據流通利用的不利后果
通過對當前主要的數據保護范式分析發現,數據庫保護范式由于只保護表達而非肯定數據的流通價值,無法全面保護數據,同時裁量空間較大,阻礙了數據的流通。對司法實踐的考察發現,對數據進行保護限制了數據流通,而非促進數據流通。例如在數據侵權案件中,有些法院會根據“三重授權原則”來判斷被告是否侵權。該原則確立于“微博訴脈脈不正當競爭案”。審理此案的法院認為,互聯網中第三方應用通過開放平臺例如OpenAPI范式獲取用戶信息時,應堅持“用戶授權”+“平臺授權”+“用戶授權”的三重授權原則,第三方應用未經用戶同意且未經開放平臺授權,獲取并使用平臺用戶信息的行為,構成不正當競爭行為。自此案后,該原則被廣泛適用于采用OpenAPI端口進行數據抓取的糾紛中。例如在“騰訊訴抖音多閃案”中,法院認為“該原則已經成為開放平臺領域網絡經營者應當遵守的商業道德”。三重授權原則在認可了用戶和企業對于數據在某種程度上有限的控制權的同時,增加了數據下游企業的數據合規成本,阻礙了數據的流通。從這個角度看,競爭法并不能保護數據,現有依據競爭法裁判的案例本質上并不是在保護數據的權益,而是在保護企業基于數據而享有的競爭利益。
綜上,從當前的數據權益保護范式來看,任何與數據權益保護相關的范式或制度由于不符合數據要素的特性,在數據流通中不斷凸顯其缺陷。因此,應當以數據流通治理為前提,以數據權益保護為保障,平衡各個權益主體之間的關系,盡可能地釋放數據元素的增長潛能,以促進數字經濟的繁榮發展。
三、建立數據流通治理范式的可行性
邁克爾·桑德爾在《公正:該如何做是好?》一書中討論了正義的三種邏輯,即追求福利最大化的功利主義、尊重個體權利的自由至上主義以及提倡公民德性和共同善的政治觀,其中提到了“應得”原則。亞里士多德認為,為了決定某物品的正當分配方式,需要研究被分配之物的目的或者意圖。流通是實現數據社會化利用的方式,以流通構建數據治理范式符合數據價值實現的內在邏輯。對數據權益保護范式或者數據流通治理范式的價值選擇,體現了“應得”原則。20世紀 60年代,諾貝爾經濟學獎得主喬治·斯圖爾特·班納德和喬治·約瑟夫·斯圖爾特·班納德等人提出信息經濟學概念,認為信息具有價值,信息的獲取、傳遞和處理信息都需要成本,這些成本被稱為信息交易成本,信息交易成本的高低會影響市場的運作和效率。亞里士多德將“應得”作為正義分配原則的法哲學思想,信息經濟學原理可以作為數據流通治理范式的理論基礎。按照信息經濟學的觀點,數據的價值取決于數據流通,而不在于數據本身。數據是信息的載體,信息通過數據流通實現信息流通,以“數據流通”為邏輯原點構建數據治理體系,既貼合數據的內在屬性,也符合數據價值最大化的社會經濟目標。因此,促進數據流通是釋放數據要素價值、賦能數字經濟建設的重要舉措。
(一)我國的數據治理實踐在于鼓勵數據流通
首先,國家政策層面,若干指導意見鼓勵數據交易和流通。2020年3月30日,中共中央、國務院印發《關于構建更加完善的要素市場化配置體制機制的意見》,開宗明義“促進要素自主有序流動”,第一次將數據和土地、資本、技術、勞動力一起并列為“五大生產要素”。該意見提及的數據權益保護主要是指隱私、數據安全,服務于數據流通的政策目的。2022年12月19日,《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》(“數據二十條”)對外發布,該意見布局了數據產權、流通交易、收益分配、安全治理等維度的數據基礎制度構建,旨在激活數據要素潛能,賦能數字經濟。立法層面,我國法律將數據視為財產以鼓勵流通。《中華人民共和國民法典》第127條“法律對數據、網絡虛擬財產的保護有規定的,依照其規定”,確立了數據的財產屬性。《數據安全法》將數據發展列為單獨章節。《電子商務法》第69條第1款規定要鼓勵電子商務數據的開發,保障電子商務數據的有序自由流通。另外,一些地方條例也鼓勵數據交易和流通。如《浙江省數字經濟促進條例》第26條第4款規定“縣級以上人民政府及其科技等部門應當培育和發展數字產業技術交易市場”。實踐層面,在尚未形成數據流通制度的情況下,我國近幾年已圍繞數據要素流通進行了較為充分的探索。2020年10月,深圳作為中國特色社會主義先行示范區,率先加快培育數據要素市場,進行了數據產權制度、數據產權保護和利用新機制、數據隱私保護制度的探索。2021年,北京國際大數據交易所和上海數據交易所相繼成立。北京國際大數據交易所采用“數據可用不可見、用途可控可計量”的新型交易范式,成立了全國首個國際數據交易聯盟,涵蓋交易主體、交易客體、相關服務單位等全要素市場參與方。上海數據交易所則首提“數商”新業態,涵蓋數據交易主體、數據合規咨詢、質量評估、資產評估、交付等多個領域,培育和規范新主體。2023年4月4日,廣東省政務服務數據管理局對外發布《廣東省數據流通交易管理辦法(試行)(征求意見稿)》。無論是我國政策、立法抑或實踐層面,均體現了促進“數據流通”的核心目的,數據流通治理范式成為國家數據要素市場頂層設計的理論基石。因而,在此框架下提出的數據治理范式也應符合國家的價取向,以數據流通治理范式作為設計原點。
(二)域外的數據治理內在邏輯在于促進數據流通
歐美的數據立法及實踐路徑已從數據保護轉至數據流通。早在20世紀60年代,美國和歐洲便開始關注數據保護問題。考察美國的數據立法進程,美國的數據立法體現為兩大特點。其一,數據立法圍繞數據流通利用和隱私保護之間的平衡展開,美國的數據法律通常鼓勵企業自我監管和合規,采取措施保護個人數據并遵守法律要求。這與其他一些國家的監管模式形成了鮮明對比。其二,數據立法體現為零散性和碎片化、行業性和部門性特點,尚未形成全國一致性立法。例如,美國國會在1966年通過了《信息自由法案》(FOIA),使個人能夠獲得聯邦機構文件的訪問權。
與此同時,FOIA通過將個人信息排除在政府必須披露的材料之外來保護個人隱私。1976年,美國國會還通過了《隱私法》,以規定聯邦機構如何處理個人信息。到20世紀80年代,美國繼續采取行業性和部門性的立法措施。例如,為了應對20世紀70年代末和80年代初數據匹配技術的廣泛使用,美國國會于 1988年通過了《計算機匹配和隱私保護法》來限制聯邦政府的數據匹配程序。相比于美國,許多歐洲國家在國家層面上采取了綜合性的數據保護措施。1968年,歐洲理事會(COE)的議會大會要求其部長委員會確定歐洲人權公約》(ECHR)和COE成員國的國內法是否涵蓋了個人數據的處理。然而,不同歐盟國家內部存在不同的數據保護標準,為打通不同國家的數據壁壘,1981年COE通過了《關于個人數據自動化處理的個人保護公約》,該公約也被稱為“108號公約”,對各成員國個人數據跨境流動進行了統一規定。在此之后,歐盟逐步建立以通用數據保護法規(GDPR)為核心的高標準數據保護立法。
而近幾年,歐盟采取立法主導下的強數據共享范式,美國采取判例主導下的強數據開放范式,兩者都體現了促進數據流通的數據治理思路。美國《聯邦數據戰略》闡明了美國政府數據方面的10年計劃。美國未來的數據權益保護制度將圍繞最大化數據價值展開,重在數據流通。與歐盟相比,美國沒有諸如GDPR這樣單一完整的頂層設計,相反,美國采用聯邦和各州的法律法規共同管理數據的分散立法范式,增加了數據流通的可能性。司法實踐中,美國“數據治理”制度以數據自由為基礎,其數據治理仍以促進數據使用和流通為原點。如Spokeo,Inc.v.Robi(2016)一案,美國最高法院裁定,原告必須證明遭受了“具體和特定”的傷害,才能根據 FCRA 提起訴訟。
這項裁決讓個人更難以起訴公司違反FCRA和其他隱私法。在TargetCorp.CustomerDataSecurityBreachLitigation(2015)案中,聯邦法院駁回了一起個人訴訟,因為法院認為原告沒有因個人數據泄漏遭受任何實際損害。可見美國司法實踐在個人數據泄漏未造成實質損害時不會對企業追責,該裁判思路擴大了數據流通的范圍,印證了盡可能促進數據流通的數據治理思路。除美國外,歐盟的數據立法進程也體現了從數據保護到數據流通的思路轉變。GDPR規定,歐盟在數據流通中強調以人為本,并以此為基礎在數字世界中促進歐洲的價值觀與權利的發展。以GDPR為頂層設計,歐盟建立了以個人權利為中心的數據權益保護框架,旨在“確立歐盟在數據驅動社會中的領導地位,構建數據可在歐盟內部不同行業自由流通,有利于商業、研究和公共管理的單一市場”。然而,這種過強的數據保護策略致使2023年福布斯全球科技公司排名中前10名已經沒有歐洲的企業。事實證明,過強的數據保護不利于數字經濟的發展。故此,歐盟以個人數據權益保護為前提,全面推進公共領域 與私人領域的數據流通。實際上,從108號公約到GDPR,歐盟內部不斷統一各國數據處理標準已實現歐盟內部數據共享,體現了其促進數據流通的思想。在《歐盟數據戰略》的統領下,歐盟于2022年先后頒布《數據治理法案》及《數據法案》,增加數據共享互信,加強數據可用性,克服數據再利用方面的技術障礙,并形成公平獲取和使用數據的統一規則。總之,歐盟數據立法的落腳點逐漸向增加數據可用性、促進數據的公平獲取和流通轉移。在裁判過程中,歐盟法院一直致力于平衡數據主體私權利、數據自由以及公共利益之間的關系,避免因過度保護個人權利而阻礙數據的使用與流通。
歐盟法院的司法裁判表現出限縮數據權益范圍、支持數據流通的傾向性。如Breyerv.Germany(2016)案中,法院裁定網站運營商持有的動態IP地址一般情況下不構成個人數據,只有在運營商可使用合法手段通過IP地址識別相關用戶時才構成個人數據。在EDateAdvertisingGmbHv.X(2011)案中,法院認為數據主體的被遺忘權不延及由第三方準確和合法發布的信息。該判決強調了在數據主體權益與公眾獲取信息利益之間取得平衡的重要性。由此可見,歐盟的數據權益保護制度雖強調個人權利的地位,但最終以促進數據流通為目的,避免因過度保護造成數據價值流失。
歐盟和美國的數據立法及司法裁判思路均在個人權益保護的基礎之上強調數據的使用和流通,在未對個人隱私權益產生實質影響時,數據泄漏行為不具可訴性,可以說歐盟和美國正致力于平衡個人權利和公共權益之間的關系,力圖尋求數據價值最大化的流通路徑。該裁判思路符合數字社會的價值取向,能促進數據要素的高效利用和合理開發,有助于驅動數字經濟發展,體現了數據流通治理范式的要義及其合理性。國內有學者通過經濟學分析表明,寬松的個人數據保護法有利于社會總福利的增加,有利于發揮數據跨境流動與勞動力遷移的替代效應,降低社會費用;有利于發揮社會有序和無序的雙義作用,提升信息技術創新水平。因此,在構建我國數據治理范式的過程中可吸收歐盟和美國有益的裁判思路,將數據流通置于優先于數據權益保護的核心地位。
四、數據流通治理范式的內部構成
雖然現有制度設計已將數據流通納入核心考量范圍,但數據權益保護仍然是數據治理的單一理論,如何對數據權益進行保護是考量的重點,而數據流通的重要性則被忽視。信息不是為了保護而存在;相反,恰恰是為了利用。在數據權益保護、數據賦權、數據流通利用三者之間的關系方面,數據權益保護并不是數據流通的基礎,進行數據確權只是進行數據流通的前提。如果數據不流通,進行確權或數據權益保護的意義又何在?因此,數據流通治理范式優于數據權益保護范式,應作為數據治理的基礎理論。正如上文分析,任何數據治理范式都應盡可能平衡數據權益保護與數據流通,在我國尚未形成數據流通治理范式共識的當下,促進數據的合規、高效流通應該是數據立法的主要目標,基于此可以形成符合數據特質的數據治理思路。
(一)數據流通治理范式的價值內涵:以“數據二十條”三權分置為視角
以數據流通為核心構建數據治理范式,能淡化數據所有權,進一步促進數據的自由有序流通。2022年出臺的“數據二十條”構建了我國數據基礎制度指導框架。在“數據二十條”體現數據流通治理范式的同時,數據流通治理范式反過來也可以作為數據三權分置的理論基礎。目前尚未從國家層面以立法形成對數據資源持有權、數據加工使用權、數據產品經營權進行定義,現有實踐與研究缺乏對“數據二十條”精神實質的把握。近期部分地方立法嘗試對三權進行定義,為明確三權含義提供良好鏡鑒。本文嘗試對三者概念進行厘清,進一步明確數據流通治理范式的價值內涵。
基于數據流通治理范式,三權應以最大限度地促進數據流通為目標進行權利設計。
第一,數據資源持有權應至少包括兩方面權能:其一,對數據合法持有、管理和防止侵害的自主管理權;其二,同意他人獲取數據或轉移所持有數據的數據流轉權。持有權不等同于所有權,所有權是絕對排他權,而數據卻具備有限排他性。數據資源持有權的提出,意味著我國數據治理范式放棄了所有權的立法思路,催生出一種“準占有”的新型權利樣態,旨在為數據權利主體“依法持有”數據提供法律依據,以防止其他主體對數據的非法獲取和利用。但應注意,數據的價值在于流通,持有權人也應負有促進數據流通之義務,而非通過排他的方式禁止他人進行數據開發活動。
第二,數據加工使用權應包括兩方面權能:其一,對數據進行實質性加工和創新性勞動的權利;其二,在經營活動中有權使用自己收集的數據。出于個人信息保護之目的,實踐中數據處理者往往不能自由處理在經營活動中收集到的數據,從而阻礙了數據產生新的價值。實質性加工是指提高數據可用性的過程,而在此過程中企業往往會進行人力、資金等投入,從而形成更高價值的數據集合。創新性勞動則是指通過個性化選擇、創新添附等,使數據集合價值進一步提高。允許數據處理者使用自己在經營活動中收集的數據,并對之進行實質性加工和創新性勞動,可以避免復雜的授權要求,進而創造新的價值,同時為用戶提供更好的服務,實現合規成本節約和社會效益的最大化。
第三,數據產品經營權應至少包括兩方面權能:其一,合法經營數據產品的權益;其二,對第三方的限制性權益。通過數據資源持有權及數據加工使用權形成數據產品,仍然不能完全實現數據流通,還需一權利允許數據產品進入市場,例如通過數據交易所進行交易,這也是數據產品經營權的最重要的權能。
“數據二十條”淡化數據所有權,針對不同主體需求確立了數據產權生成的全新路徑,通過推動數據不同權利的有序分離,承認和保護各權益主體的合法權益,符合數據流通的使用需求,該意見為我國以數據流通治理范式為核心構建全新的數據治理范式奠定了良好且全面的政策基礎。
(二)數據治理以數據分類分級為工具
試圖以簡單方式一勞永逸地解決數據治理問題不可取,因為數據具有多維屬性,導致權益體系難以厘清,且數據涉及多元主體,致使各方權益難以平衡。數據具有復用性、共享性、多歸屬性、高動態性等多重特征,承載著人格利益、財產利益等多重利益屬性,若通過類似所有權的簡單范式將數據權利歸于單一主體,會極大地降低數據的正外部效應,限制數據的經濟潛能。同時,數據涉及政府、企業、個人等多方主體,面對復雜的權利義務關系,不同主體權益訴求不同,進而產生權利沖突。數據的上述特質決定了數據治理需要綜合考慮,由此才符合數據經濟潛能最大化的目的和各數據主體的利益訴求。不同種類的數據無法被單一安排統攝,因此對數據進行分類分級是實現差異化數據權益的必要工具。數據分類分級不僅能對數據進行差異化管控,打破“全閉”或“全開”的二元對立局面,還能應對數據大規模流通產生的安全風險。分類分級的差異化進路主要體現為數據、主體以及場景的分類分級。為順應數字經濟發展要求,除探索數據分類分級及其場景化規則外,還應考量個人信息保護。
從既有實踐看,現有數據分類分級制度采取了靜態判斷標準。歐盟采取了二元分類方法,將數據分為個人數據與非個人數據。例如GDPR為個人數據的保護、流通、處理做出了系統性規定,《非個人數據自由流通框架條例》則概括規定了非個人數據的流通規則。美國根據涉密數據可能造成的危害,制定了《國家安全信息分類》,將信息分為秘密、機密、絕密三類。對不屬于上述分類的信息,美國頒布了第13556號行政命令《受控非密信息》,已包含關鍵基礎設施、國防、出口管制、國際協議、法律等20個大類及項下共計124個子類別。由于數據兼具個人數據與非個人數據的特征,靜態的二分法與實踐需求割裂,美國與歐盟采取的靜態數據分類分級制度在實踐中可能遭遇挑戰,導致規則適用的沖突。
我國逐步走出了數據分類分級動態判斷標準的新進路,應在此基礎上考慮不同主體的數據法律關系。《網絡安全標準實踐指南———網絡數據分類分級指引》中規定了數據分級的具體方法,將數據分為一般數據、重要數據、核心數據三個級別,并在此基礎上引入了場景化治理方法,如面對數據量級、精度、關聯、是否披露等情況,對數據做出升級或降級處理。這種數據動態分類分級標準和結合具體數據處理措施賦予主體不同的權益。通常情況下,一種數據會符合多種分類分級方式,并可能被賦予不同標簽,從而生成相應的權利義務關系,在保障個人、企業合法利益以及國家安全的基石之上實現數據分類分級動態管理。法律關系方面,個人與其他主體之間的數據法律關系主要以個人信息權益保障為主。企業與其他主體之間的數據法律關系則包括數據收集、數據交易、數據共享等。企業收集個人信息的行為是企業與個人之間主要的數據法律關系,企業之間的數據活動則較為豐富。政府與企業之間可通過簽訂數據整合、處理委托協議等進行數據開放,政府與政府之間則主要通過國際協定或雙邊協定等進行數據共享。
(三)數據治理以促進數據的價值實現為核心
數據流通的價值實現進路主要體現為讓數據自由流通于各主體之間,充分釋放價值。數據治理不能因過度強調權益保護而忽略數據作為生產要素的屬性,要鼓勵數據利用與創造價值的行為。數據應當最大限度地進行流通。可考慮建立動態的數據治理范式,以便在不同數據處理和應用場景中動態平衡數據權益保護與數據流通的需求。建構數據流通治理范式并不意味著與數據權益保護范式產生對立,事實上,仍然需要數據權益保護范式起到維護數據權益的關鍵作用。動態治理范式要考慮到數據在不同主體之間流通的環節,包括收集、交易、共享等,分別賦予各數據主體權益不同權重,根據不同的數據權益主體,賦予其不同的權益與責任。同時要考慮不同處理環節數據的轉變,如個人信息匿名化處理后可能轉變為企業經營管理數據。此外,還要考慮到不同環節的數據主體權責分配,如企業接受政府委托處理公共數據,開發利用后的公共數據是否因此享有競爭或排他性權利等問題需進一步考量。綜合考慮不同場景的數據權益變化,設置動態可變的數據治理標準,能更好地平衡各數據主體交織的權益訴求,最大限度地發揮數據要素價值。
個人數據需在提供權益保護的基礎上盡可能促進數據流通。鑒于 GDPR第4條“數據保護與其他基本權利之間的平衡”規定:個人數據的處理應當為人類服務。保護個人數據的權利不是一項絕對權,必須結合其社會價值加以考量,并根據比例原則與其他基本權利相平衡。個人數據控制權某種程度上與信息的自由獲取權存在沖突,但即便是與個人密切相關的個人信息,也是其社會生活的寫照,不能排他地為個人所有。換言之,任何個人數據都具備公共屬性,最終需要發揮其社會價值,保護個人數據的目的在于保護個人的基本權利不因個人數據的使用而受到侵犯,而非讓個人完全控制其個人數據。
企業/商業數據則是為創造經濟價值而生,商業數據的經濟價值必然通過轉讓、處理和交易產生,因此其核心是在不損害他人權益的基礎上實現最大限度的流通,釋放數據經濟價值。商業數據根據其收集和處理的不同階段可分為原始數據、數據集合與數據產品,基于不同階段的價值形態又生成不同的權益。如原始數據階段,個人權益占據主導地位,數據治理應以保護個人人格權益為主。數據集合階段,企業僅對數據收集投入了勞動,尚未改變原始數據結構,因此數據集合應同時承載著個人人格權益與企業權益,此時的數據治理應以兩種權益互不干擾為設計原點。數據產品階段,企業對數據集投入了大量智力勞動,進行了深度開發與歸納,改變了數據結構。此時,數據的人格權益不復存在,僅包含企業財產權益,因此,該階段的數據權益的實現應圍繞數據產品的持有、使用、交易展開。
公共數據屬于公共資源,我國社會主義公有制的社會制度決定了公共數據權益應歸屬于政府,但其最終收益歸屬于全體人民。公共數據作為數據要素的重要組成部分同樣需要不斷流轉以發揮價值,因此數據開放是釋放公共數據價值的關鍵手段。美國對于聯邦政府數據和非聯邦政府數據均采取了授權許可協議的使用范式,我國可借鑒該思路,針對不同種類的公共數據設置不同級別的授權許可:低風險數據完全開放,中風險數據針對滿足要求的用戶開放,較高風險數據在嚴格監控下針對滿足要求的用戶開放,高風險數據不開放。如此可提高監管能力,保障公共數據安全開放。
相應地,我們現行的司法裁判思路應從“重數據保護”轉移到“重數據流通利用”上來,司法裁判不能禁止數據獲取行為,不能限制數據流通。數據資源持有權、數據加工使用權、數據產品經營權所保護的法益是基于對數據利用而形成的權益,諸如權利人基于數據而形成的創新產品或者服務能力。
五、結論
中國數據要素市場的建立與運營面臨諸多障礙,數據要素權益配置是亟待解決的基礎性問題。促進數據流通是充分釋放數據要素價值的必然選擇。長期以來,我國數據法治研究受數據權益保護理論桎梏,未能有所突破,其原因在于數據法研究與實踐接軌不足。為建構符合實踐需求的數據治理范式,應從現實著手考量。制度層面,從我國國家頂層設計和社會實踐來看,在還未形成理論共識的情況下,立法和政策已著手鼓勵數據的交易和流通。實踐層面,由于數據權益保護范式與數據流通特性相矛盾,數據庫保護范式、競爭法保護范式在促進數據流通方面存在弊端。促進數據流通的新型數據治理思路不僅是制度安排,也是實踐之需,數據流通治理范式應運而生。因此,數據治理不應只選擇以“控制”為核心的數據權益保護范式,還應建構數據流通作為數據治理的基礎范式。數據治理的路徑應以分類分級為工具,以數據流通為前提,以數據權益保護為保障,合理分配各類數據主體在不同場景中的動態數據權益,尋求數據權益保護和數據流通之間的最大公約數。基于數據流通治理范式構建我國基礎數據法律制度,能夠打破傳統的數據權益保護思維,邁向數據流通。
來源: 哲學社會科學版
(部分內容來源網絡,如有侵權請聯系刪除)
