数据范畴的广泛性使传统理论无法完全容纳,数据保护要求新兴规范和理论。数据产权之保护强调数据财产权的保护,将数据人格权益的保护交由民法典、个人信息保护法等法律实为已足。数据产权分置的私法框架可分为数据财产法总论和不同数据形态的保护,《关于构建数据基础制度更好发挥数据要素作用的意见》中的数据持有权、加工使用权、产品经营权的结构性分置只是各个主体内部的基础架构,并非权利主体的分类授权。数据交易不以登记为前提,也不以数据交易场所内为必要,故数据交易所的性质靠近电子商务平台,但制度探索的现实需求和消费者倾斜保护的不侧重造就了其私法属性的有限性。数据产权之保护可依私人原始数据、私人衍生数据和公共数据而区分,分别侧重调整数据的获取、流通与共享。中共中央、国务院2023年2月27日印发《数字中国建设整体布局规划》(以下简称“《规划》”),《规划》强调:“释放商业数据价值潜能,加快建立数据产权制度,开展数据资产计价研究,建立数据要素按价值贡献参与分配机制,”数据产权制度的建立成为顺应数据保护和流通、把握新兴生产要素、构筑国家竞争新优势的重要手段。2022年12月2日,中共中央、国务院发布的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)就提出“探索数据产权结构性分置制度”,“建立公共数据、企业数据、个人数据的分类分级确权授权制度”,“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”。就此文件,学界理解不同,对数据产权结构性分置的构造也不同,其根源在于对数据保护的理论争议,其中有对传统理论的更新式解释,也有新型理论的尝试性构造,还有域外理论的引进与重述,如何对数据产权体系结构进行分置,成为数据保护的主要研究课题。当数据保护在现行法显现不充分时,各样观点齐出,有物权说、知识产权说、债权说、数据权利说等,但其中诸多理论对数据保护制度的容纳性有待商榷。
在法学概念意义上,一切非物质存在为意识层面之“物”,同时包括已认知的和未认知的,而非属物权法所指向之物,已认知之非物质存在均为可认知的,而未认知之非物质存在包括可认知的和不可认知的。如图一所示,非物质存在包含数据,数据经可认知性要件限缩而成信息,信息经有用性要件限缩而成知识。因而数据的内涵为信息所不能容纳,更不能为知识所容纳。故应否定知识产权说,加之知识产权之保护要求知识内容之保护,而完全脱离于其载体,但数据之保护则常常依附于存储设备等数据载体。另外,正如知识产权并非单一的财产权而兼有财产权和人身权要素一样,数据权利不可归于单一的财产权之中,于是有学者根据数据的来源,将之区分为衍生数据和记录数据,前者主要涉及人格利益,而后者主要体现为财产属性。但若单论数据财产要素的保护,有观点尝试将无体物纳入物权法的中的物,以此更新传统物权理论(称国内认同的德国物权法为“有体论”的观点是误读),强调数据的物权属性,却忽略了物权排他性和优先力在数据流通中的巨大阻碍,忽视了数据共享的现代需求。此外,竞争法对数据的保护先行,如司法实践中法院认为电商平台依法获取用户原始数据使用权,并经过智力劳动投入形成衍生数据,相应权利独立存在,若未经许可用其获利则可能被认定为不正当竞争。但竞争法以维护竞争自由和竞争公平、消费者保护等为宗旨,限定为商事交易的范畴,侧重行为规制,难以容纳数据保护的客观需求。综上,须对数据的确权保护进行独立制度建构。当前数据保护理论界更为兴盛的观点为权利束理论,该理论照顾到了数据的共享性,却在权利集合的处理上体现出删减内容的随意性,也没有解释财产的组织和结构,会削弱权利集合保护的权威性。从对权利束理论的否定观点中,有学者踏入了权利块的理论界地,与权利束理论相比,权利块理论明晰了法律关系各方主体,在不同的模块中形成对各方之间法律关系的调整,通过清晰的主体抽象分类和法律关系分析明确各个权利块的基础架构,更具有合理性。但是这种理论只可以作为抽象后的权利分类,而不能直接作为法律内部的体系架构,因此有必要重新审视数据产权结构性分置的保护框架。
数据之保护横跨公私法,覆盖多样主体,其法律蓝图过于宏大,故而需做讨论范围之限定,本文讨论范围限定有二:私法与财产法。前者指向讨论范围限于私法,后者强调数据产权之界定应限于财产权之中,而不必单独加入人格权制度。
数据权益保护涉及公私法交叉,以数据权益主体为例,主体为数据权益保护过程所依附之必要基础,但是数据权益之主体具有多样性。权益为“rights and interests”,常被理解为权利和利益,而利益概念实为模糊,且牵连甚广。具体至数据保护层面,数据的广泛性直接导致了关涉主体的多样性,数据的易复制性为数据权益主体的多样性提供了可能,而数据发展中的共享需求又为数据权益主体的多样性提供了必要性。数据权益主体多样性体现于不同的规范之中。比如欧盟一般数据保护条例中数据权益主体包括数据主体、数据的控制者、处理者、数据保护官、独立监管机构等。具体到实践中,以《上海市数据条例》为例,主体更是多样,若是公共数据,则涉及公共管理和服务机构、大数据资源平台、被服务的自然人、法人和非法人组织、被授权运营主体;若是在数据要素市场,则涉及市场主体、数据资产评估时要涉及数据资产评估机构、数据交易时涉及数据交易服务机构、行业协会等;在数据资源开发和应用时则涉及各产业、综合性创新平台和行业数据中心(国家和地方大数据实验室、产业创新中心、技术创新中心、工程研究中心、企业技术中心,以及研发与转化功能型平台、新型研发组织等)、数字产业园区。浦东新区还有数据交易所。概括观察,数据权益主体的多样性主要体现在四个方面:(1)公法主体和私法主体并存。既有数据主体,又有监管机构,还有可能存在第三主体(介于公法主体与私法主体之间),权益一词既包含了权利义务,又包含了权力/职权和责任;(2)公权力主体可能兼有行政性和民事性。公权力主体既可能是数据处理者、控制者的监管者,也可能是民事领域的数据处理者、控制者,甚至是数据主体;(3)各方主体内部细分多样性。虽然可以抽象出数据主体、控制者、处理者和公权力主体,但是这些主体又可以细分很多主体;(4)国内法主体与国际法主体并存。数据安全法领域该特征表现最为突出。碍于数据权益主体的多样性,本文限于私法领域的权益构造。
在实定法层面,虽然说数据的保护包含人格要素的保护,但是要想数据作为一种独立的权利,便要剔除其中的人格权要素,将人格权要素的内容交予民法典、个人信息保护法等法律实为已足,而狭义处理后的数据的保护应是数据财产权益的保护,才可避免人格要素的交织对数据保护独立性和专业性的影响,当在侵犯数据权益的同时侵犯财产法益和人格法益时,自可依请求权竞合理论认定权益人可否同时主张。立法层面,未来数据保护相关法律的发展方向则是在积极促进数据共享利用的过程中协调好与人格权保护的关系。此外,应当注意,高质量不是数据保护的必要条件。虽然高质量数据是大模型价值跃迁的制胜法宝,但是数据的保护不应以高质量为限定,数据市场中,高质量的数据语料库固然值得各个行业期待,因其有望通过高质量数据语料库开发出高质量的行业大模型,但是低质量的数据语料库未必就不能产生价值,比如GIGO状态下产出的“人工智障”,也有着娱乐价值,此时也需要进行保护。虽然以数据权利块为代表的理论清晰构造了数据各方主体的法律关系,如公共数据和非公共数据模块下数据控制者与其他任何人的关系、数据控制者与数据流通相对方等八大模块下的规则,但是数据产权体系下的私法构造仍要以数据为核心要素,不可以法律关系直接划定数据保护的基本框架。而数据保护的领域划分中,传统观点将个人数据等同于自然人数据,莫不如将个人数据和符合原始数据条件的企业数据一并调整,定位为私人原始数据,而个人数据和企业数据中符合衍生数据的单独调整,定位为私人衍生数据,公共数据则单独调整。
学界诸多观点尝试对数据进行分类分级保护,如有将数据的保护区分为原始数据、数据资源和数据产品的保护者,也有较多观点主张个人数据、企业数据和公共数据(或称政府数据)的区分调整。但是,其中诸多观点在强调区分的同时,忽略了数据财产保护的协同性和统一性,未将数据产权保护的统一规则事先厘清。因而,数据产权结构性分置之前提在于“提取公因式”,形成数据财产法总论,包含基本权利架构、权利取得、数据交易等方面的内容。
根据“数据二十条”,数据主体享有数据资源持有权、数据加工使用权、数据产品经营权等权利。但基于数据之特点以及数据流通之需要,这些权利不具有排他性。因而,数据产权的结构性分置体现于各个主体内部的分置,即数据权利主体一般均享有持有权、加工使用权、产品经营权等权利,而并非数据主体享有持有权、数据处理者享有加工使用权、数据产品经营者享有产品经营权。数据加工处理者、产品经营者只要经过法定程序(同意规则、合法流通等)同样享有持有权、加工使用权、产品经营权等权利。从权能上讲,权利主体的积极权能不仅包含对合法获取的原始数据或衍生数据的如此权利,也包含许可他人如上行为的权利,而消极权能则包含禁止他人如上行为。因此,“数据二十条”所给予的权利分置结构是数据产权主体内部的基础权利架构,而非权利主体的分类授权。
依据权利取得的样态,将权利的取得区分为原始取得与继受取得,其区分实益在于原有负担、瑕疵原则上是否由后手承继。数据权利的取得也可据此分为两种,原始取得和继受取得,前者指向数据主体基于私人原始数据的持有或占有状态而享有的权利,后者则指向数据处理者、控制者基于数据主体的共享而享有的权利。但是,与物权等权利的流转所不同的是,数据的继受取得并不因数据权利的流转而否定先手的权利,也不因自己取得而排除他人取得,即数据权利是一种共享权,其侧重于授权或许可他人持有或占有以及进行相应的数据控制、处理、经营,并不具有独占排他属性,更为重要的是,即便继受取得该数据权利,原则上也并不会使后手继受负担、瑕疵,不过也存在例外,如该数据被规定为禁止流通,但总归数据权利之取得属于原始取得与继受取得划分实益之例外。
从数据交易的角度而言,登记是保护数据权利的有效方式。数据交易过程涉及数据要素流通与交易秩序规范,该过程包括场内数据确权、登记、清算等,交易过程中还要记录形成“内容防篡改、多方可验证”的公信凭证,有效支持数据资源会计处理,2024年1月1日,我国施行《企业数据资源相关会计处理暂行规定》,其中规定了数据资源按照会计准则确认为无形资产或存货等资产类别以及不符合资产确认条件的数据资源处理程式,同时,有学者主张数据市场流通中,数据产权的转移登记以交易数据首次登记审查的完成为前提。但是数据流转以登记为前提会使数据发生冻结,阻碍数据的更新,也会造成交易程序繁琐,不利于数据的流通,而且,数据权利依靠登记获得排他性也不具有现实可操作性。因而数据确权并不以登记、披露等为前提,数据交易也不以登记、披露等程序为必要条件。但是,数据交易仍可能适用无权处分和善意取得规则,一方面,数据资源之登记或披露构成相对人善意排除事由;另一方面,恶意取得时,数据资源不具有返还占有之可能。数据资源不像有体物具有排他性,其可复制性、共享性可排除实现返还占有的现实可能性,而其仅具有主张停止侵害、损害赔偿等请求权之可能。数据交易以负面清单制度为原则,许多地区规定了不得交易的数据类型,主要包括危害国家安全、社会公共利益的,侵害他人合法权益、个人隐私的,未经合法权利人授权同意的以及其他情形。超出此类均可交易,交易方式不限,可通过数据交易所,也可自行交易。在数据交易中,数据交易所同时具有数据交易平台的身份和管理数据交易的身份,较电子商务平台更易具有“公权力”属性,因而电子商务平台的规范不可一概适用,如《上海市数据交易场所管理实施暂行办法》(2023年4月21日起实施,有效期至2025年4月20日)第23条规定了数据交易场所及其分支机构、会员、代理商、授权服务机构不得从事与客户对赌、挪用资金、后台操纵等行为,因而数据交易平台的规则具有经济法属性。从另一角度而言,在数据交易所从事交易行为并不是数据交易的必要条件,因而数据交易所的性质更靠近电子商务平台而不是证券交易所。虽然数据交易所会出台内部管理规范,如《上海数据交易所板块管理规范(试行)》《上海数据交易所数商管理规范(试行)》《深圳数据交易所交易规则(试行)》等,但是并不妨碍其在利用信息网络为交易方提供网络经营场所、信息发布等服务,即数据交易所在数据网络交易中具有电子商务平台的身份,因而在数据交易所的调整规范中会涉及与电子商务法等的交叉,而其管理规范则属于平台规则。但在实践中,数据交易所成为当地政府指导下组建的准公共服务机构,其起始定位便包含公权力的授权。固然数据交易所在数据要素市场基础制度和数据要素流通规则的探索中成为先行者,在数据的产权保护和有效流通中发挥合规监管和基础服务功能,具有公共属性和公益地位,但是这些定位并不妨碍其具备电子商务平台身份时的平台经营者角色,数据交易所会具有一定的私法属性。但是与电子商务法的宗旨不同的是,数据交易所的存在强调促进数据交易和流通,而不侧重消费者保护,电子商务平台义务和责任的设置在于适配其权利和“权力”,从而避免消费者权益受到不当侵害、违反竞争自由和竞争公平,但在数据交易中,数据消费者并未体现出倾斜保护的必要,至少在当前促进数据流通的政策倾向中,并未体现数据消费者的弱势,而在数据流通中,真正的弱势者则是数据主体。因而数据交易所仅是性质靠近电子商务平台,具有一定的私法属性,在特殊情况下可以适用电子商务法的规定。并且在当前,要求数据交易所进入市场领域参与竞争并不现实,也与“数据二十条”的政策不相符,但未来走向却尚未可知。
私法上,数据之区分可依主体分为自然人、法人和非法人组织的数据,可依数据是否为原生而区分为原始数据和衍生数据,但私法上之数据又可能会有公法上之数据的交叉,不完全由私主体而产生,不如将数据之保护以阶段主要划分基点,结合公私法的交叉,在数据的产生阶段调整私人原始数据,侧重调整数据的获取,在数据的处理和加工阶段处理私人衍生数据,侧重调整数据的流通,而基于数据的共享和公权力主体的参与,将公共数据单独调整,强调数据的共享。
私人原始数据包括作为私主体的自然人、法人和非法人组织的原始数据,其中内部可再区分为个人原始数据和企业原始数据,前者单指向自然人数据,后者指向法人和非法人组织数据。与传统观点不同,一方面,为与人格权益保护区分,私人原始数据的数据财产权保护无需以可识别为要件,另一方面,法人、非法人组织也有着大量的原始数据,包括以组织名义或者不以组织名义行为所产生的数据,其性质与个人数据极具相似性,因而置于一体规制。私人原始数据的权利归属于数据来源者,即理论上的数据主体,其享有请求匿名化、知情同意权等,其权利的享有集中于数据获取阶段。而私人原始数据主体所享有的数据权利的特征在于控制者基于对价支付即可持有和匿名化使用,但并不妨碍其他权利(如隐私权)的主张。数据控制者对私人原始数据之采集受制于匿名权、知情同意权等规则的限制,若要强行矫正双方不平等的关系并赋予不具有实现可能性的排他请求权,则过于理想主义,在强调数据要素流通的时代,侵权损害赔偿的救济更为可靠。若为人身权益保护,自可依人格权法和身份权法之规定主张,而不必在数据产权中设置相关规范,不过,虽作此区分,但基于私人原始数据与个人信息保护的相近性,基于人身权益生发的请求权常与基于私人原始数据而生之请求权发生竞合,同时,私人原始数据的保护规范可参考个人信息保护规范进行设置,如私人原始数据的获取也需要遵循合法、正当、必要、诚信、比例等原则。但与个人信息保护不同的是,私人原始数据的保护限缩为财产权益的保护,但扩张保护法人、非法人组织的数据权益。即理论所主张的企业原始数据也可为数据产权保护制度囊括,对企业原始数据的获取也需要遵循合法、正当、必要、诚信、比例等原则。
私人衍生数据则指作为私主体的自然人、法人或非法人组织加工处理原始数据或衍生数据而形成的数据。数据来源为原始数据或是衍生数据并非衍生数据权利的确权要素,而其核心要素在于加工处理。当私人原始数据为加工处理者获取后,其基于自身控制对数据进行处理,形成的衍生数据产权自然归属于加工处理者,不过这种加工处理要以匿名化为基本条件。私人衍生数据之保护无需以独创性为要件,只需要具有使用价值、能够产生经济效益和社会效益,具有可投入生产关系的资源属性和要素属性即可,但若同时具备知识产权保护要件和数据保护要件,则构成请求权竞合,依规范目的和案涉情境考量是否可以并举,即主要考虑构成请求权聚合或是狭义的请求权竞合中的真正竞合。私人衍生数据的保护已然完全脱离人格权益的范畴,因为合理的私人衍生数据脱离于信息资源体,需要借助于对信息内容的实体占有才能获得利用,因而私人衍生数据权利主要与知识产权中的财产权益发生交叉。有学者将衍生数据全然归入知识产权保护,但将劳动赋权理论和激励创新理论作为知识产权吸纳衍生数据权益保护的法理基础并不足够,知识产权保护对自然人智力成果的最初客体设定,给予衍生数据权益的保护并不足够,大数据的算法处理或是低创性的衍生数据集合无法作为知识产权的保护客体。虽然基于数据与知识的范畴差异,私人衍生数据不可一概适用知识产权保护,但私人衍生数据的保护特征又与知识产权类似,故而私人衍生数据的保护规范可参考知识产权的保护规范,设置权利控制范围以及许可、继承、质押、限制等规范。其中,在权利控制范围中,私人衍生数据权益的赋权强调许可持有式的流通。依哈特的剩余控制权(residual rights of control)理论,不完全契约中就事前无法明晰规制事项内容由哪方拥有处理、使用、掌控、支配的权利。实际上,剩余控制权的决定属性相当于剩余权利的归属,而讨论剩余权利去向的决定权不如讨论剩余权利的归属更有意义。法律规定或合同约定的权利分配总是无法穷尽其权能,因而应事先厘定剩余权利之归属。私人原始数据之剩余权利应归于数据主体,但私人衍生数据则脱离于数据主体,如图二所示,基于私人衍生数据所产生的剩余权利有两种去向,若该剩余权利仍属法律规定的权利范围,则属于私人衍生数据的加工处理者或控制者,若并非法律规定的权利范围,则属于全民共享。
公共数据的保护有其复杂性,公共数据安全、跨境数据流动、数据公开与共享等大多数内容均归属于公法调整。但是私法也会参与对公共数据的调整,如公共服务数据虽具有公共性,但也具有民事权利客体的性质。私法上的公共数据既包括公权力主体的原始数据,也包括公权力主体对其他主体的数据进行加工处理后所形成的衍生数据,还包括其他主体的原始数据或衍生数据,包括已公开且可自由使用的数据和让位于公共利益的保护而为社会共享的公共数据。具体分为以下三类:公权力主体的原始数据并非指只要是公权力主体,其原始数据就属于私法上的公共数据,若公权力主体从事私法行为,其仍然属于私人原始数据,另外,公权力主体以公权力行为时所产生的原始数据属于公共数据,但此类公共数据并非决然属于公法调整,当此类公共数据属于依法公开的事项而且依法公开时,此类公共数据会转为全社会乃至国际社会共享,允许其他主体持有、使用。但是全民共享并不妨碍该主体禁止他人篡改数据并公开,并就所造成的不良影响请求损害赔偿的权利。公权力主体会作为数据的控制者、加工处理者,甚至是产品经营者,在公权力主体经过数据主体的共享同意,会对数据主体的数据集进行加工处理,形成衍生数据,与前项不同的是,前项中公权力主体本身是数据的产生者,属于经其自身产生,未经加工处理,而本项公共数据则是公权力主体作为数据的加工处理者身份所形成的衍生数据,不过,此类衍生数据的处理与前类公共数据相同。一方面,私主体数据(包括原始数据和衍生数据)会进入公共领域,被自由流转,如对数据权利的抛弃不适用先占。另一方面,正如私主体的动产或者不动产会被公权力主体为公共利益的需要依照法定权限和程序而征收和征用,又如知识产权可能被强制许可,私主体的数据权利也会因为公共利益的需要而被强制共享,这种强制共享的表现可能是共享给全民,也可能只是公权力主体在法定权限范围内使用该数据。私法上的公共数据确权授权法律机制较为特殊,公共数据产权从根源上看归属于全民,但是主要由公权力主体控制,尤其是由公权力主体所生之数据,因而公共数据产权为全民授权公权力主体行使,由此,剩余权利的归属和剩余控制权的问题在此处具有区分实益,剩余权利归属于全民,而剩余控制权则一般归于公权力主体。但是存在例外,基于私主体权利让位而形成的公共数据的剩余控制权主体和剩余权利的归属主体均为该私主体。与权利相对应,公权力主体负有数据安全保护义务,该义务的性质如何?从数据安全的角度而言,该义务为公权力主体为履行公共职能之义务,自然属于公法义务。但是针对非公权力主体,数据安全保护义务在私法中也有集中体现,当数据交易场所具备电子商务平台经营者条件时,电子商务法第30条规定了电子商务平台经营者的安全保护义务,由此,数据交易所具有承担数据交易过程中静态的危险防范设施措施和动态的危险排除、损害救助等义务的可能性。“数据二十条”的政策性规定带来数据产权结构性分置的现实研究问题。面向数据保护的客观需求,传统理论无法容纳数据产权保护范畴,在批评数据权利束理论随意性、解释力等方面的基础上,数据权利块理论更具有合理性,但法律关系分析构造的模块式版图无法直接作为数据产权保护的体系框架。数据之保护须公私法齐力,但其蓝图过于宏大,故本文讨论范畴限于私法。另外数据产权之保护仅需关照财产权,以民法典、个人信息保护法等法律调整数据人格权益实为已足。故数据产权保护体系的构造限定为私法和财产权。数据产权的私法框架可分为数据财产法总论和分论,财产法总论关注数据权利保护的统一性规范,调整数据产权的基础架构、数据权利的取得、数据交易等内容,其中,“数据二十条”规定的数据持有权、加工使用权、产品经营权的结构性分置仅指向各个主体内部的数据产权的基础架构,并非权利主体的分类授权。数据权利之继受取得,后手原则上不继受负担、瑕疵,故原始取得与继受取得之区分在数据交易层面实益不大。数据交易不以登记为前提,但也可能适用无权处分和善意取得规则,但恶意受让人不具有返还占有的现实可能性,仅具有损害赔偿之可能。数据交易场所内交易并非必要条件,故数据交易所性质靠近电子商务平台,但基于制度和规则探索的现实需要以及消费者保护的不侧重,数据交易所成为准公共服务机构,私法属性极其有限,但不排除适用电子商务法的可能;后者侧重对不同数据形态的调整,将数据产权的保护分置为私人原始数据、私人衍生数据和公共数据的保护,分别侧重调整数据的获取、流通与共享。往期精彩回顾
李超|枫桥经验多元解纷中的“政法数据共享”——一个整体性治理理论的分析框架王韬 狄如馨|数据可携权的法律审视与适应性构建思考
上海市法学会官网
http://www.sls.org.cn
