1 关于数据所有权的两种观点
在风起云涌的大数据时代,数据的收集、分析与利用逐渐构成企业运营的核心。除了自身提供服务获得的数据外,企业对数据的需求进一步向外围扩展,以买卖、共享为特征的数据交易成为引人注目的商业现象。2015年4月15日,贵阳大数据交易所挂牌成立,成为我国首个专门提供数据交易的服务平台。紧接着,7月22日,武汉也成立武汉东湖大数据交易中心。
大数据即大生意,生意的核心在“交易”。商业交易的前提是清晰的产权归属。如果产权存在瑕疵,则意味着交易存在法律风险。贵州数据交易所确立了9项交易原则,其中之一便是:“数据买卖双方要保证数据所有权、合法、可信、不被滥用”。虽然在一个多月的时间里,贵阳交易所已经完成了11笔数据交易(http://www.gywb.cn/content/2015-05/18/content_3102621.htm),然而可以看到,各方对于数据所有权问题目前并没有统一的看法(大数据的数据源十分广泛,包括用户个人数据,也包括不具有身份属性的其他数据,如天气数据、矿产资源数据等。本文不是泛泛对各数据类型的产权问题进行分析,而是对其中最具有争议性质的问题进行分析,即原始数据是用户个人数据的数据交易中的产权问题。)。
有人主张,应对数据设立“财产权利”,强调个人对数据享有的优先财产权利,并以此对企业的数据利用、交易行为予以制约。其认为:数据交易产生的数据商品化现象将带来对个人隐私的极大伤害,并产生难以预计的信息安全问题,大范围失控的数据交易也将为违法活动提供温床。因此主张:对数据这一新型生产资料,在法律上另设一财产类别,或可称之为“数据财产”,与现有法律认可的无形财产分开。这一新型财产权利的设立应当重新定位价值顺序,权利的出发点是人而非物,数据主体(即产生数据的本人)应拥有优先的权利(利求同.大数据卖的就是隐私,http://www.thepaper.cn/newsDetail_forward_1353973_1)。无独有偶,在围绕我国cookie第一案(2015年5月6日,南京市中级人民法院对“北京百度网讯科技公司(以下简称百度)与朱烨隐私权纠纷案”作出终审判决,撤销南京市鼓楼区人民法院一审判决,认定“百度的个性化推荐行为不构成侵犯朱烨的隐私权”,判决驳回原告朱烨的全部诉讼请求。一审与二审判决最大的区别是,一审认为用户的搜索活动为个人隐私,而二审判决认为搜索记录等cookie信息不属于个人信息。)的讨论中,有学者也认为,要彻底解决未来数字经济的难题,法律有必要承认用户个人对数据的财产权利,进而对互联网公司的行为加以约束(胡凌.朱烨案界定网络隐私,http://weekly.caixin.com/2015-06-19/100820889.html)。
另一种观点则代表产业界立场,认为数据控制者(数据控制者(data controller)是欧盟个人数据保护法中的法律概念,是指决定了数据的收集目的,面向用户个人收集和使用信息的主体。)(即收集及利用数据的主体)对数据拥有绝对的所有权。2015年7月23日,阿里巴巴旗下的云计算公司阿里云发起数据保护倡议(阿里巴巴发起“数据保护倡议”:用户数据归用户,平台不得移作它用.http://www.huxiu.com/article/121040/1.html)。这份公开倡议书明确:运行在云计算平台上的开发者、公司、政府、社会机构的数据,所有权绝对属于客户;云计算平台不得将这些数据移作它用。
这份倡议主要着眼于解决云计算服务提供者(云平台)与云计算服务使用者(云客户)的关系,倡议提出:云平台不得将客户的数据移作它用。从处理云平台与云客户的关系出发,该原则无疑是值得肯定的。正如在现实生活中,房东无权处分租户的财产一样,云平台当然不得侵害云客户的数据。但值得注意的是,除了强调云平台不得侵害客户数据的同时,这份倡议中也触及了所谓“云客户”与其提供的数据之间的关系,提出云客户对其数据享有绝对所有权。在云计算环境下,“云客户”不等于“个人用户”。云客户包括了开发者、公司、政府、社会机构以及普通个人用户。在排除普通个人用户的情形下,按照倡议的绝对所有权观点,意味着开发者、公司、政府对于其在提供服务或者履行职责中获得的用户个人数据,享有绝对的所有权,并因此可以自由地使用、分享、交换、转移、删除这些数据。相应地,作为产生这些数据的用户个人,不能对企业、政府、开发者的数据处分活动主张任何权利。
显然,上述两种观点有着不同的价值取向,前者以用户个人为优先项,通过用户行使个人数据财产权,间接地对企业数据交易活动起到限制作用;后者则从产业的立场出发,希望明确企业对于数据的完全的、绝对的所有权,为企业的数据处理活动松绑,最大程度地减少来自外界的干预。
2 讨论数据所有权的前提是承认数据具有财产属性
尽管上述两种观点在结论上分道扬镳,但二者有一个共同的认知起点,即承认数据的财产属性,或者说基于数据可以产生财产权益,这正是讨论数据所有权的前提。
依据元照法律词典解释,所有权是指:一个人享有的对某物独占性的支配权,是对物的占有、使用和以出租、出借、设定担保、转让、赠与、交换等方式予以处分等权利的集合,也是法律承认权利人对作为权利客体的物(包括有形财产与无形财产)所享有的最充分、最完整、最广泛的权利。
尽管我国《物权法》中的“物”仅指有体物,包括动产和不动产。但我国法律不排除权利可以作为物权的客体,例如知识产权中的财产权利等[1]。也就是说作为最重要和基本的物权——所有权,可以以财产权利作为客体。因此,如果承认在数据之上具有财产权利,便有了讨论数据所有权的法律基础。
考虑到本文主要分析的议题是:原始数据是用户个人数据的情形下数据交易的产权问题。因此,本文以下主要讨论个人数据的财产权利。而无论是市场实践还是法学理论,个人数据具有财产属性已经成为不可逆转的历史潮流。
从市场实践看,个人数据的商品化充分说明了其具有财产性质。这种财产性不仅体现为个人数据具有使用价值,更体现在其转让价值得到了市场的认可。2014年4月,荷兰学生肖恩·巴克尔斯建立一个拍卖网站来专门出售自己的个人信息,信息内容包括他的住址、医疗记录、个人日程安排、电子邮件内容和所有社交网络上交流的信息,其中网上交流信息包括他的在线聊天记录、消费偏好和浏览器历史记录,拍卖网站吸引了超过40个买家前来竞拍,最终肖恩·巴克尔斯以350欧元的价格出卖了自己的个人信息(你的个人信息值多少钱 .http://tech.ifeng.com/gundong/detail_2014_04/25/36013743_0.shtml)。此外,基于个人数据的财产价值,当前甚至出现了一种新的商业模式,即用户可以按一定的价格将个人信息出售给服务商,之后服务商寻找广告主或者其他数据需求方将用户数据变现(吴甘沙:既然不能避免个人数据泄漏,何不做自己数据的CEO呢.http://www.36dsj.com/archives/30649)。
若继续深究下去,就会发现很多向用户免费提供的互联网商业模式实际上都建立在以个人数据为对价的基础上。只不过相较于出售个人数据获得直接对价这种显性的价值体现方式,互联网商业模式中个人数据的财产价值体现是隐形化的。以搜索引擎广告联盟商业模式为例,联盟网站获得广告费的基础是联盟能够利用用户的搜索历史cookie记录,向用户投放个性化的广告。因此,尽管用户免费使用了搜索引擎,但实际上是用户的搜索记录等行为数据反哺了搜索业务,是搜索业务得以存续和发展的价值源泉。
而从法律的视角来看,法律领域也早已注意到个人数据商品化的发展趋势,已具备为数据商品化发展趋势提供法律支撑的理论基础。个人数据是个人数据保护法保护的对象,个人数据权利的来源是人格权。传统上,人格权区分于财产权,人格不能像财产一样进行利用和交易。然而在市场经济与现代商业的推动之下,人格权不仅具有精神利益,而且也具有财产利益的观点,在法学理论上已得到普遍认可。最典型的即肖像权。明星、公众人物通过合同方式转让个人的肖像使用权,并从中获得财产收益,已成为司空见惯的商业现象[2]。对此我国现行立法也已提供了法律支撑。《民法通则》第100条规定,公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。本款规定从反向确认了肖像权具有财产权益[3]。
在这一点上,个人信息权与肖像权并无本质的不同。二者之间的主要差别仅在于:虽然每个人都享有基于本人肖像的财产权益,但这种财产权益的实现还有待于市场的认可,换句话说,并不是每个人都有机会主张自己肖像权的财产权益,仅仅明星、公众人物等少数群体有机会予以主张;但从个人信息而言,不论是明星,还是普通百姓,市场均认可其个人数据的商业价值,理论上,每个人都能有行使其对个人数据财产权益的可能。
因此,现代人格权对于承认个人数据的财权权益已具备了相应的理论基础,只是在规则层面,还需要在具体的法律制度中进一步明确个人数据权中的财产利益,并对数据商品化利用设立相应的法律规则。
3 对数据所有权界定的一种思路
在明确了数据具有财产利益的基础上,需要回答的问题是,在大数据背景下,数据的所有权人究竟是谁?
3.1 基于不同场景的所有权界定
本文在一开始就介绍了两种较为对立的观点,一种观点认为个人对数据拥有优先的财产权利,另一种观点则认为企业对数据拥有绝对的所有权。笔者认为,上述两种观点都有偏颇之处,共同的缺憾是没有结合具体的市场实践给出针对性的分析,均体现出“一刀切”特点。考虑到当前对大数据的认识尚处于初级阶段,几乎难以提出“放之四海而皆准”的统一规则。科学的做法是区分不同的场景予以判断和分析。具体到大数据交易的数据所有权问题,笔者认为,目前应至少区分以下两类场景。
第一类场景是以个人数据为交易对象的场景。首先需明确的是,依据现有法律规定,我国禁止公民个人信息的出售行为。2012年《全国人大常委会关于加强网络信息保护的决定》规定:任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。刑法修正案(七)也将出售个人信息的行为作为违法犯罪活动追究刑事责任。但从未来而看,个人信息的交易合法化也并非完全没有可能。个人信息本质是私权的处分对象,只要处分不对公共利益构成损害,则是个人的自由。换句话说,只要经得个人知情并同意,理论上,个人信息可以用来出售。正如上文中介绍,市场上已经出现了出售个人信息的商业模式。况且,人们对个人信息乃至隐私的观念也在演变之中,比如00后与80后在隐私观念上已经有了显著的变化,更年轻的一代更加积极主动地拥抱网络,将自己的生活状态甚至心情感悟等日常生活的点点滴滴都公布于网络,并从中获得分享乐趣[4]。因此在法律上并不能完全排除个人将其个人信息出卖而获益的正当性。
在此类场景下,笔者认为个人数据的所有权人就是数据主体本人。所有权人是指对物或者财产享有所有权的人。即对物或财产享有占有、使用、收益、转让或处分等权利的人。根据上述分析,个人数据具有财产属性,而根据个人信息保护法的规定,个人对于个人数据具有完整的控制权利,这种控制权利主要体现为以个人的意志对个人数据的提供、使用、处分做出安排。基于此,个人数据中人格特征体现的财产价值应归于数据主体本人享有和控制。
第二种场景是在个人数据基础上,对数据做出匿名化处理(或称之为去身份化处理)后进行的交易。在此类场景主要讨论匿名化数据的所有权问题,而这正是当前大数据交易中最急迫的问题。
笔者的观点是,在用户数据基础上,对数据做出匿名化处理的数据集(以下简称匿名化数据集),企业(即数据控制者,最初决定收集目的并经用户同意授权,取得用户数据的主体)对该匿名化数据集享有有限定的所有权。对这一观点,可以分以下几层进行解释。
第一,企业对匿名化数据集享有所有权。从法律层面看,企业对于用户数据的匿名化处理,切断了用户对数据的法律联系。因为用户对于数据主张权利的来源是个人信息保护法。而个人信息保护法适用的对象是个人数据,在数据去身份化后,该数据已经与用户没有了法律关系。这也是国内大数据交易合法性的最基础逻辑。正如贵州数据交易所强调:交易所交易的不是底层数据,而是清洗、分析、建模之后的数据结果。但这里需要指出的是“数据清洗”不等于“数据匿名”。数据清洗从大数据分析与利用的角度出发,是指通过加工整理,将不规则的数据转变为规则的数据,去除无用元素,从无序转变为有序,从而为数据分析打下基础;而数据匿名化则强调的是去除数据中的用户身份数据,消除数据的身份可识别性,是从保护用户隐私的角度而开展的工作。如上分析,“数据清洗”的结果并不必然实现数据的匿名化,在涉及所有权问题时,必须强调只有经过充分匿名化的数据,企业才对其享有所有权。
一定程度上承认企业对于匿名化数据集享有所有权,除了因为匿名化切断了个人与数据的法律联系外,还考虑到了3个因素:一是企业对于数据的记录、存储投入了巨大的技术、网络、人力、管理成本。如果没有企业的记录行为,数据不可能被留存与记载,更无从谈起商业价值(陈小江.数据权利初探,http://legal.people.com.cn/n/2015/0711/c18850227287962.html)。因此,在法律上,应当对企业的投入与成本做出平衡考虑。二是,从推动技术与业务发展角度而言,大数据是推动未来社会经济发展的重要动力。在法律上赋予企业对匿名化数据集的所有权,有利于明确数据的产权边界,保障企业的财产权利,增加数据交易的法律稳定性与可预期性,为企业利用数据创造财富提供积累机制。三是,赋予企业对于匿名化数据的所有权,有利于规范数据交易市场,遏制数据的非法黑市交易,让数据在有序、可控的规则之下充分流动[5]。
第二,必须强调企业对于匿名化数据集享有的所有权是有限制的。尽管所有权是物权体系中对于物及财产的最完整的权利,但不否认所有权包括两种类型,即完整的所有权和有限定的所有权。完整的所有权可以对物及财产行使占用、使用、处分、收益等权能。所有权人在理论上拥有无限的支配权,只受一般法律限制,例如相邻权或不妨害他人的约束。作为受限制的所有权,在对物及财产权利进行使用或者处分时要受到一定限制。
3.2 企业对匿名化数据集享有有限制的所有权
对企业关于匿名化数据集的所有权做出一定限制,出于以下几个方面的考虑:
其一,从权利的优先顺序考虑。企业匿名化数据的基础是用户的原始数据。从价值溯源而看,原始数据是价值的源泉。原始数据包含了用户的身份数据,该身份数据兼有财产利益和人格利益,且人格利益是核心。而匿名化数据主要体现为财产利益。在民法诸权利体系中,人格权优先于财产权,特别是财产权来源于人格权时,应当以人格权为优先,受到人格权的限制。
其二,从个人信息保护法的原则考虑。个人信息保护法规定了目的限制原则与必要原则。这两项原则对于数据的匿名化及后续利用将起到限制性作用。目的限制原则要求企业使用用户个人信息的目的应当与收集用户个人信息时告知用户的目的保持一致,如果超出了当初收集时确立的目的,则应当告知用户,并经得用户的同意。因此,企业在对数据匿名化处理后,若超出当时收集时的目的范围加以利用,则应当告知用户。同理,必要原则也将发挥类似的机制。必要原则要求企业收集、使用个人信息应当在提供业务所必需的限度之内。数据匿名化后,后续的利用行为如果超出了企业业务所必需,则应当重新征求用户的同意。
其三,从当前匿名化技术以及大数据发展趋势而看,数据的匿名化是一个较为相对的概念。在可获得的数据源越来越丰富、数据算法越来越强大的背景下,已经被匿名化的数据集存在重新恢复身份数据的可能性。因此,即使匿名化后的数据不再适用个人数据保护法,但从维护隐私与信息安全的大原则出发,企业应当对数据集的匿名化以及匿名化后的后续利用的隐私及信息安全风险进行评估。如果该风险较高,企业在行使所有权时应当有一定的限制[6]。例如缩小交易对象范围或者对交易对象做出约束,以确保其下游用户对于数据的使用不会造成对用户歧视与不公的情况。
从当前国际上针对大数据交易规则的讨论来看,也印证了上述的判断。对于企业开展数据交易进行一定的限制主要来自于对用户隐私及信息安全风险的担忧,限制性措施的核心是使企业的数据交易活动能够实现一定的透明度。例如,美国联邦贸易委员会(FTC)2014年针对数据经纪行业发布报告《数据经纪行业,呼唤透明与问责》,表达了FTC对于数据交易行业缺乏透明性的关切,并建议美国国会应当专门针对数据经纪行业立法,通过立法要求开展数据交易活动的企业对用户提供透明度,具体体现在以下几点[7]:
向用户公示其获得(包括购买、共享)数据的渠道、数据的类型,并为用户提供退出机制;
要求数据交易方除了披露原始数据类型外,还应当披露企业基于原始数据,利用大数据分析而对消费者特征标签化的处理活动;
对于健康医疗等敏感信息的交易活动,尤其需要提升透明性,用户必须充分知情并明确表示同意。
从国内实践而看,目前更多地强调了企业对于匿名化数据拥有所有权,而对企业行使所有权的必要限制缺乏关注,更没有提出对数据交易透明性的要求。贵阳数据交易所成立一个多月便完成了11笔数据交易,除第一笔交易披露了交易双方主体外,其他各笔交易的主体、交易的数据类型、数据渠道公众均一无所知。从交易所网站显示的信息而看,交易所可交易的数据类型多达30种,包括医疗、教育、电信等高度敏感的数据领域。数据交易存在的隐私与信息安全风险堪忧。在明确企业对于匿名化数据享有限制性所有权的前提下,应当尽快通过立法明确具体的限制性要求,特别是透明性、责任性方面的限制性要求更显得尤为迫切。
4 结束语
在大数据时代,人与数据的关系应当扩展而不是压缩,唯有此才能把握历史性机遇,推动经济发展与社会进步[8]。解决数据产权问题,一方面要着眼于明确产权归属,为数据交易的顺利开展提供稳定的法律基础;另一方面,仍要关切数据交易带来的隐私与信息安全风险,对数据交易活动做出相关限制性要求,特别提出透明性方面的要求。
参考文献
民法学
(
Civil Law
(
论人格权商品化
Discussion on the commercialization of personality right
人格权法研究
(
Research on the Personality Rights
(
A theory of creepy:technology,privacy and shifting social norms
从隐私到个人信息:利益再衡量的理论与制度安排
From privacy to personal information:theoretical and institutional arrangements for the measurement of interests
Anonymisation:managing data protection risk code of practice
,
Data brokers——a call for transparency and accountability
,
