1. 问题的提出
习近平总书记在中共中央政治局第十一次集体学习时强调:加快发展新质生产力,扎实推进高质量发展。
而新质生产力代表一种生产力的跃迁,涉及领域新、技术含量高,从这方面来看,数字经济与新质生产力实质上具有天然的契合性。数据作为数字经济的关键生产要素,“如何高质与高效地利用数据、加快推进国家治理与社会治理以及经济发展的数字化成为了促进数字经济发展与提升国家治理能力与治理水平的关键。”[1]
然而随着数据要素企业和数据要素市场的迅速发展,数据侵权现象也频繁发生,由于现有的法律体系并未对数据权利进行具体的确认和表达,数据侵权方往往能因此而逃避责任,鉴于此,本文拟根据《数据安全法》提出的对于数据应当进行分类分级保护的要求,结合全国网安标委新出台的《数据分类分级规则》,尝试建立分类分级的数据权利体系,以期保护数据收集、加工、经营者的合法权益,促进数据要素市场和数字经济的健康发展。
2. 数据确权趋势和数据侵权模式
(一) 数据确权趋势
(1) 促进经济发展的需要
相对于生命权、健康权等自然权利而言,数据权利类似于知识产权,属于典型的“法定权利”,它的产生与发展依赖于资本和生产力,其推动力量主要是以数据为生产要素的资本。从数据的商业实践来看,通过创新商业模式赋予数据价值的主体并非个人,而是数据企业。相应地,推动数据财产相关权利设定的主体也都并非个人,而是为数据财产投入了成本的产业,他们的地位就如同在著作权领域内的出版商一样,在数字经济占比迅速上升、数据要素企业遍地开花的当今时代,1建立类似于知识产权体系的数据权利体系符合经济发展的需求。
(2) 顺应政策的导向
从政策导向上来看,国务院出台的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”),要求“探索建立数据产权制度”,同时财政部印发的《企业数据资源相关会计处理暂行规定》以及《关于加强数据资产管理的指导意见》也提出:数据可以以无形财产和存货的形式编制入企业资产负债表。由此可见,从行政管理角度,数据已经被视为一项重要资产,数据确权的立法趋势已逐渐显现。
(3) 国内学界的普遍共识
从国内的文献检索结果来看,尽管尚存赋权和不赋权的争议,例如其中不赋权的学者,如彭诚信提出的个人信息权说认为,不应直接赋予数据处理者对持有数据的财产权利,而应通过赋予个人对个人信息财产权利的进路来解决数据处理者的财产权益保护问题[2]。同时,许可提出的反不正当竞争法保护说认为,对于数据没必要进行单独赋权,对于数据侵权行为,依据反不正当竞争法足以进行保护[3],而赞成赋权的学者,如王利明则认为,数据确权有利于保护劳动,可激励数据生产,促进数据流通,强化数据保护。且现有的现有法律制度如反不正当竞争法、知识产权法、个人信息保护法等无法实现对数据的全面保护,因此数据确权立法势在必行[4]。而张新宝则认为,在理论上,应当将数据财产权确立为与物权、知识产权相并列的第三类具有对世性的财产权利,而不应采取非确权保护模式、个人信息权保护模式或者将数据财产权确立为既有财产权的用益权新形式[5],但从时间的先后、观点的规模和引用次数上来看,赋权论的学者占据主流的优势地位,即使是持不赋权态度的学者,也都普遍承认,数据资产具有经济价值,且来源于凝聚在数据收集、分析、加工等活动中的劳动力,数据权利需要和值得利用法律制度予以确认和保护。
(4) 国外学者的普遍呼吁
国外文献中对于数据权利的讨论也在呈逐年上升的趋势,美国哈佛大学莱斯(Lawrence Lessig)提出将信息保护归类为公民的个人财产权[6],安德烈亚斯·伯丁(Andreas Boerding)认为数据是一种资产,独立于有形性,因为它的市场价值和可管理性[7],而詹姆斯·格里姆梅尔曼(James Grimmelmann)和克里斯蒂娜·穆里根(Christina Mulligan)则设计了一种以“实例控制论”为基础的数据财产权[8]。
欧盟的立法倾向于对于用户个人信息及知情权的保护以及扩大政府的信息查阅权限,但同时,在学界,数据亦被视为一项重要资产,劳拉·维尔德坎普(Laura L. Veldkamp)认为,如果数据的主要好处是解决风险,那么使用风险定价工具、在风险环境中分配稀缺资源的工具以及在风险下进行选择的工具就是一项核心资产[9]。
德国学界对于物权概念一般采取的是形式主义理解,强调物权法仅涵盖实物对象,因此常将数据资产视为一种类用益物权,比如泽卡(Zech)提出数据资产应归类为一种全新的“数据生产者权”(Data Creater’s Right) [10]。
综上,在大陆法系和英美法系的代表性国家中,学界对于数据确权的呼吁声也在迅速提高,数据确权已是大势所趋。
(二) 现有的数据侵权类型及调整手段存在的问题
在实践中,数据侵权的纠纷主要来自两种类型:
(1) 未经许可,爬取他人不公开的数据
由于电子设备在数据存储上的巨大优势,目前大量涉及著作权等知识产权的数据,以及类似原料配方这样可能构成商业秘密的数据被记录于服务器或者个人电脑之中,一般的用户不会对本地数据设定除电脑自带的安全程序以外的防护手段以防止被爬取,而发达的网络环境使这些数据不断暴露在互联网之中,一些爬取程序能够实现对本地文件的快速检索,甚至绕过服务器的一些安全协议,直接抓取其后台数据,这是一种典型的“黑客”行为。
在实践中,这类案例一般通过知识产权、商业秘密及个人信息保护相关法律予以规制,但由于爬取行为一般具备的隐蔽性,权利人难以及时通过常规手段知晓其权利遭受到了损害,同时也导致了即使数据来源方通过技术手段,确认了爬取程序的爬取行为,对于其利用所产生的收益也很难举证证明,而在实践案例的赔偿标准中,爬取方所取得的收益是一个重要的衡量因素,如果无法证明爬取人利用爬取的数据获得了一定的收益,则其可以借此摆脱一定的责任,若法律对数据完成了确权,并依此制定相应的价值评价标准,则可应对因为数据爬取行为的隐蔽性而带来的赔偿主张困难。
同时,此类不公开数据有时候并不仅仅限于以上三类,例如一些研究人员收集的用以分析的数据,在尚未形成能够用著作权规定进行保护的学术成果之前,其保护手段目前也仅限于技术防范而无法律规制。
(2) 未经许可,爬取他人公开的数据
首先目前我国尚无对数据确定实体权利的法律条文,公开的数据在理论上不能适用知识产权、商业秘密或者物权相关条款进行保护,因此针对此类数据进行爬取的这个动作在法律领域不具有侵权性,是否经过许可能够作为爬取方的抗辩理由,但不能成为数据来源方主张权利的理由,甚至,根据《互联网搜索引擎服务自律公约》第八条的内容2,在互联网搜索引擎行业,爬取他人公开数据属于一种被认可的符合商业道德的行为,在“字节”与“微梦”一案中,“字节”就据此认定“微梦”所使用的robots协议不合理地将其宣示为“不受欢迎者”,妨碍了其人工智能“ToutiaoSpider”正常爬取数据,构成不正当竞争,在一审的时候还获得了法院的支持。
而在实践中,关于爬取公开数据产生的纠纷往往发生在“利用”这个阶段,尤其是利用他人数据进行商业行为,最多的情况,就是利用他人数据生成结果后反而取代了他人的市场地位,即所谓的“搭便车”行为。这类案件的裁判依据大多数来源于《反不正当竞争法》第二条第二款3。
这种裁判逻辑和方式实际上存在诸多问题,首先从法条本身来看,该条文属于《反不正当竞争法》对于“不正当竞争”这一行为的一般定义,一定程度上是一种兜底条款,从事前预防的角度,其存在是具有必要性的,但在此类案件多发的情况下,条文本身的抽象性与解释的多维性容易使其在实务中出现理解偏差,进而改变裁判结果,影响法律的权威性。例如类似的爬取他人数据为自己所用的行为,百度在与“大众点评”的纠纷中被认定为“搭便车”而败诉,而“字节”作为爬取方控告数据来源方却能在一审时获得支持。4
而且反不正当竞争法不是权益保护法,其对互联网行业的竞争行为进行规制时不应过多考虑静态利益和商业成果,而应立足于竞争手段的正当性和竞争机制的健全性,更应考虑市场竞争的根本目标。5因此,利用该条文对数据爬取进行规制和调整是不准确也不全面的。
另外,从具体的案例中来看,法院在判决书中已经从以往主要论述经营行为本身的“不劳而获”以证明其竞争的不正当性而变成了对于数据本身价值的强调,法院逐渐认为在数字经济时代,数据日益成为企业重要的生产要素,数据资源的获取与利用是极为重要的一种资源配置,即认可了对于企业或者个人在收集和整理时所付出的劳动进行保护的必要性,但却苦于没有相应的实体权利法规,因而仅在说理时对数据权利进行强调,在裁判依据上仍然适用《反不正当竞争法》,法理和依据相互分离,这是一种极为别扭的情况。
综上所述,为促进数据流通,加快数据要素市场高质量发展,同时响应国务院“数据二十条”中,对于“探索建立数据产权制度”的号召,本文拟采取客观分类方式,分立“个人数据权利、企业数据权利、公共数据权利”三大类权利,同时采取“核心数据、重要数据及一般数据”三等级的思维模式,构建一个分类分级的数据权利体系,以期准确、全面地保护数据权益。
3. 现有关于数据确权的观点
由于“数据二十条”的出现,我国学界目前对于数据确权的讨论大多围绕该条文中所提到的“数据持有权、数据经营权和数据加工使用权”进行。
一种观点认为,可采取双重权益结构,首先在同一数据之上,区分数据来源者和数据处理者而确认不同的权利[4]。同时区分人格权益和财产权益,人格权益不需要单独再立法调整,财产权益则参考所有权体系,设置持有权、使用权、收益权、处置权四项用益物权。
这种观点的问题在于,首先,尽管作者在文中反对使用所有权的概念去调整数据权利,但从持有、使用、收益、处置这四种权利的外观来看,其本质依旧是脱胎于所有权的占有、使用、收益、处分四项权能,只是由于采取了双重权益结构,在数据来源者需要对数据进行更改、修正或者删除的时候,权利人需要对此作出相应的妥协,也就是说,除开这种特殊情况或者其他与数据来源者在先权益相冲突的情形以外,权利人可以就数据本身主张所有权的所有权利内容。
实际上,实践中,并非所有的数据都可以当然将财产权益归属于数据处理者,例如涉及公共利益的数据,尤其是符合《政府信息公开条例》的一些政府收集的公共数据,在这种情况下,对于公开的数据,因为其公开是基于法律的强制规定,其收集时的劳动付出也是基于公益的目的,政府因此一般不能对这些数据主张财产性质的权益。
另外并非所有的数据来源者都能够当然享有对数据的“在先权益”,能够对涉及自身的数据进行任意修正、更改和删除,这一类情况多见于一些公共登记中,而由于数据本身的价值来源于其所记载的信息,因此对于信息权利的限制也会同时影响到数据权利,例如在疫情期间,核酸异常的公民对于自己的行踪信息就不再享有可以任意修改、删除、更改的权利。
还有一种观点认为,结合数据的电子形态和传播特性以及数据利用的方式特点,对数据权内容较为贴切的区分是访问权、复制权、使用权和处分权,并以访问权为数据权的首要权项[11]。
这种权利的划分方式有些过于主观,因为访问、复制、使用三种行为在法律上虽然可以明确划分,但在实践中,一般只要允许访问即可以复制,只是限制复制人发售传播复制品的权利,能够复制即至少能够在商业用途以外进行使用,尽管存在一些设定了非经允许则不能复制的手段的数据库,但现有截图和文字识别工具的发达,使这种限制手段沦为了形式,只要稍微付出一点额外劳动成本,摘录数据实际上是非常容易的,法律的规定不能仅限于抽象理论,过于细分权利并不有利于解决实际问题。另外,作者对于“访问控制权”的强调在爬取公开数据的情形下并不适用,结合百度与大众点评纠纷案例,在“搭便车”的情形下,被爬取方产品的价值来源于其公开的数据中的有用信息,在这种情况下,为了获得更多的用户,被爬取方势必会尽量公开其掌握的数据,自然也不会过多设定“访问控制权”,也就是说,在这种情况,爬取方侵害的并非被爬取方的访问控制权,而是对数据利用和公开的权利。
以上观点均基于“数据二十条”,并都是从数据来源者和数据处理者的角度进行的论述,除此之外“数据二十条”还强调了一个原本规定在《数据安全法》中已经提出的分类分级思维,这个思维虽然是基于国家监管角度所提出的权利划分,但未必不能利用于对权利人的保护之中。
4. 分类分级的数据权利体系
根据《数据安全法》的规定,数据实际上是指“任何以电子或者其他方式对信息的记录”,因此数据的价值可以简单理解为其所记录的信息的价值,“信息”这个词可以被解释为“泛指人类社会传播的一切内容”,基于这个宽泛的定义,其种类和划分标准也十分复杂,对不同种类的信息,法律的保护程度也应有所区别,因此从类型化的思维角度考虑,作为信息的载体,数据权利在确定之前首先应当进行分类,进而确定每项数据所享有的权利种类,并同时根据不同的级别,对这些权利进行扩大或者限缩。
对于分类的标准,“数据二十条”将数据分成了个人数据、企业数据和公共数据,对于这个划分标准,有观点认为,这是以权利主体为标准进行的分类[12],然而实际上,从数据的实质是反映的信息这一角度来看,这个分类应该是以数据反映的信息种类的不同,即以“个人信息、企业信息、公共信息”为标准进行的划分。
而对于分级的标准,根据全国网安标委发布的《数据安全技术 数据分类分级规则》(以下简称“规则”),根据重要性和影响程度,数据可以分为核心数据、重要数据以及一般数据。6本文拟采用该标准,对不同种类不同等级的数据权利进行论述。
(一) 个人数据权利的内容与分级
根据《个人信息保护法》第四条的规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,欧盟《通用数据保护条例(General Data Protection Regulations)》(以下简称GDPR)将个人数据解释为“与已识别或可识别的自然人相关的任何数据”,实际上从定义来看,《个人信息保护法》中的个人信息与GDPR中的个人数据的含义并无区别,因此对个人数据的定义可以直接照搬《个人信息保护法》的规定,针对个人数据权利,参考民法典和《个人信息保护法》的规定,至少应当确认“生成权、使用权、公开权、处置权”四项权利内容。
生成权是指个人有权决定其是否将个人信息以电子或者其他方式记录或被记录而形成数据,非经约定或者法律上的许可,他人不得擅自记录以生成数据。且当数据收集者和被记录者不同一的时候,收集者应当根据被记录者的要求或许可停止收集或者开始收集数据。但是,“规则”中不仅规定,个人数据和企业管理信息一般不会被归类于“重大数据”和“核心数据”,也同时规定了“形成一定规模的个人信息或者基于海量个人信息加工衍生而成的数据,如其一旦遭到篡改、破坏、泄露或者非法获取、非法利用可能危害国家安全、公共利益,也应满足重要数据保护要求。”因此,对于这类数据,收集者和被记录者在生成权上应当作出相应让步,对于为公共利益强制收集的重要数据,被记录者不得拒绝,收集者也不能仅因被记录者要求或许可而停止收集或者继续收集。
使用权是指个人有权决定使用或者许可他人使用自己记录或被记录的个人信息所形成的数据,而数据收集者非经约定或者法律上的许可,不得对数据进行使用。值得一提是,此处的使用应当根据约定和法律规定而确定范围,同时,参考生成权受到的来自“重要数据”的限缩,对于构成“重要数据”的个人信息,应当通过强制性的法律规定确定使用主体、使用范围、使用目的和使用方法,个人与数据收集者非经法定申诉程序,均不能干涉。
公开权是指个人有权决定公开或者许可他人公开自己记录或被记录的个人信息所形成的数据,而数据收集者非经约定或者法律上的许可,不得公开其收集的个人数据。此处的公开可以参考知识产权中对于作品公开的定义,即“使个人信息可以被不特定的人群在不特定的时间获取”。而被认定为“重要数据”的个人数据,参考前述观点,则个人和收集者均应以法定的方式将其公开。
处置权是指个人有权决定销毁、删除或要求他人销毁、删除自己记录或被记录的个人信息所形成的数据,对于此项权利,应当强调处置行为的不可恢复性,擅自恢复或者保留即可认定为侵权,参考前述观点,“重要数据”的销毁和删除同样应当经由法定程序进行。
(二) 企业数据权利的内容与分级
对于企业数据的定义,国内尚无明确的法律规范,可以参照“规则”中对于“组织数据”的定义,即企业数据为“该企业在自身的业务生产、经营管理和信息系统运维过程中收集和产生的数据”,基于此定义,考虑到企业相对于个人具有的更加强烈的经济属性,同时参考“数据二十条”所提供的思路,企业数据权利可以分为“数据收集持有权、数据加工使用权、数据经营权”。
数据收集持有权指企业可以决定收集持有或者委托他人收集持有自身的企业数据,相对于“数据二十条”原本的“数据资源持有权”而言,采用“数据收集持有权”的说法更加符合数据在“生成”阶段的客观特点,即无收集则无数据,无数据则无持有。同时,针对无授权或法定许可的他人非法收集持有本企业数据的行为,企业可以就此要求其承担侵权责任。当然,企业数据相对个人数据而言,更容易构成“重要数据”甚至达到“核心数据”的程度,尤其是涉及一些基本民生的企业,针对这类企业数据的收集持有权,法律应当对此作出明确的规定予以限缩,在限缩的范围上,应当参考企业本身的经营需要,在不损害国家安全和公共利益的前提下,给予最大的自由度,同时在程度上,对于“重要数据”的限缩应当明显小于对“核心数据”的限缩。
数据加工使用权是指企业可以对收集到的数据进行加工、处理和使用,加工与使用两个词语不同于前述的收集持有两个词语之间存在的前后承接关系,在这个权利中,二者是并列的,即既可以加工也可以使用,或者二者兼有,另外对于加工的理解应当进行扩张解释,即“使数据出现实质上或者形式上的变化均可认定为加工”,但不包括利用数据产生衍生数据7,另外,对于使用的目的应当限缩为非盈利性的目的。基于此,同时根据前述对“重要数据”和“核心数据”权利的限缩,法律应当规定,企业在加工数据时,非经法定程序,不得篡改“重要数据”和“核心数据”,也不得用于特定的目的,对于违反法律规定的企业,理应追究相应的责任。
数据经营权指企业直接使用数据进行营利,或者用数据进行抵押、融资等交易性活动的权利。由于数据的可复制性,这种权利的行使依赖“数据二十条”所提出的“数据登记制度”对于交易行为的披露,若出现重复交易的情况,在确认数据权利的前提下,可适用违约责任或者侵权责任的相应条款进行调整,另外同样的,对于“核心数据”和“重要数据”的交易行为,应当采取许可制,非经法定授权或许可,不得自由交易。
(三) 公共数据的内容与分级
对于公共数据,“规则”将其定义为“国家机关和依法经授权、受委托履行公共管理和服务职能的组织 (以下统称公共管理和服务机构),在依法履行公共管理职责或提供公共服务过程中收集、产生的数据。”在理解公共数据的边界时,应当采取以收集主体为主,反映内容为辅的判断方式,即公共管理和服务机构所收集的数据,除非能够证明明确与公共利益无关,否则都可以认定为公共数据。对于公共数据,由于其公益的性质,不宜赋予其财产性质的权利,且基于公信力的考量,对于公开的数据,政府一般不能擅自进行篡改,因此可将公共数据权利分为“收集持有权与许可使用权”。
相对于企业数据的数据收集持有权,公共数据权利因为不具有财产性质,而且权利主体理论上属于公众,因此在被爬取的时候不宜按照一般民事侵权行为进行处理,公共数据收集持有权基于对公共利益的考量,除开具有企业数据收集持有权的内容以外,还应额外要求保密性,在收集持有或者委托他人收集持有的过程中,不仅收集者和委托人不能向经许可使用授权的主体以外的其他自然人或者组织泄露数据,且针对非法爬取的情况,可采取行政处罚甚至刑事处罚的方式追究其经营者的责任,同时针对“重要数据”和“核心数据”,擅自爬取者的处罚应相对一般数据按重要性的高低进行加重和减轻,并且一些基于特殊情况收集的数据(如疫情行踪等),在特殊情况消失的同时,其收集持有权应当消灭,收集者也因此负有相应的删除义务。
许可使用权是指经被授权持有和收集公共数据的公共管理和服务机构经法定许可程序授予的,获取和使用公共数据的权利。这个权利应当在两个维度下进行讨论,对于向全网公开的公共数据,应当默认为全网许可使用,且不应考究其使用目的和获取手段。但对于仅供一定范围内主体知晓的数据,除开构成国家秘密的数据按照相应的保密法律法规进行调整以外,应当要求其获取和使用数据是基于职务的要求或公益的目的,对于错误授权使用或者违法公开公共数据的情况,相应的公共管理和服务机构负有补救和消除影响的责任。
(四) 交叉数据的处理原则
由于现代社会数据之间的高度关联性,一个数据可能兼具个人数据、企业数据或者公共数据的性质,在不同时期和认知背景下,同一数据也可能处于不同的分级。
针对种类交叉的情况,可以采用多重权益结构,在出现侵犯数据权利的时候,对于该数据,多个权利主体均可以就此主张权利,同时,如果出现权利冲突,比如企业使用员工数据有可能侵犯到员工的个人数据权利,公共管理和服务机构对个人信息或企业数据的收集也往往不会事先获得同意,这种情况下,应当坚持公共利益优先,个人信息保护其次的原则,企业获取和使用具有个人和公共性质的数据必须首先获得许可或者同意。
对于分级变化的情况,应当以侵权行为发生时为基准对其等级进行认定,同时诉讼时效或者追诉时效等时效制度,也当然应该同时适用。
5. 结语
根据中国信息通信研究院最新发布的《全球数字经济白皮书2023》,至2022年,数字经济已占我国GDP的41%,我国已全面步入数字时代,在这个信息技术高度发达的阶段,数据已经成为了一项重要的资源,为降低数据收集者的“防御”成本,提高数据的流通性,借以促进数字经济的高质量发展,使我国的数字产业在数字时代的新征程上具有更高的核心竞争力,应当以数据的分类分级确权为基本思路,对于数据权利进行具体的法律表达,为裁判提供依据,为数据保护提供完整的制度,并通过权益保障机制形成一种激励机制[4],促进高质量数据的产生,推动数据要素市场的健康发展。
NOTES
1根据中国大数据网发布的《大数据产业白皮书(2021)》,截至2021年8月底,我国大数据企业已有6万余家,已经形成规模化的数据要素市场。
2该条通过“限制搜索引擎抓取应有行业公认合理的正当理由,不利用机器人协议进行不正当竞争行为,积极营造鼓励创新、公平公正的良性竞争环境”的规定限缩了数据来源方的防御权。
3该款规定为“本法所称的不正当竞争行为,是指经营者在生产经营活动中,违反本法规定,扰乱市场竞争秩序,损害其他经营者或者消费者的合法权益的行为。”,过于原则和抽象。
4参见北京字节跳动科技有限公司与北京微梦创科网络技术有限公司不正当竞争纠纷案,北京知识产权法院民事判决书(2017)京73民初2020号。
5参见北京字节跳动科技有限公司与北京微梦创科网络技术有限公司不正当竞争纠纷案,北京知识产权法院民事判决书(2017)京73民初2020号。
6根据该“规则”,核心数据是指“是指关系国家安全、国民经济命脉、重要民生、 重大公共利益等的数据”,重要数据是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害 国家安全、公共利益的数据。”,一般数据则为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人、组织合法权益造成危害,但不会危害国家安全、公共利益的数据。”
7这应当属于“数据使用权”的范围。