数据权属问题由来已久。按照科斯名言,“缺乏清楚的产权界定,便不存在有效的市场”。尤其是对于处理大量用户数据的平台企业,清晰的产权归属似乎是企业交易数据的前提条件。在我们为其提供数据合规法律服务时,也常有企业客户提出“致命”问题:这些数据归谁所有?
为了解答这一问题,下文将从立法、司法、学术三个维度,梳理数据权属的问题现状,为企业提供数据合规使用、权益有效保障的“解题思路”。
破题:数据权属的无解之题
(一)立法留白
《民法总则草案》一审稿曾将“数据信息”与作品、专利和商标并列,纳入知识产权的客体范畴;后在《民法总则草案》二审稿中,数据信息从知识产权客体项下删去。最终,《民法典》第一百二十七条将“数据和网络虚拟财产的保护”独立成条,仅提示“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”由此可见,《民法典》搁置了数据权属问题,通过敞口规定预留了未来的界权空间。
《数据安全法》作为数据领域的基本法,仅对数据所涉权益进行原则性规定:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”
《个人信息保护法》则着眼于保护个人信息权益,赋予个人在信息处理过程中的诸多权利,包括知情权、决定权、限制和拒绝权、查阅权、复制权、更正权、删除权、自动化决策相关权利以及一定程度的可携带权。
《深圳经济特区数据条例》第三条及第四条明确自然人对个人数据享有人格权益,同时,自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有财产权益。但是,财产权益不得危害国家安全和公共利益,亦不得损害他人的合法权益。
《上海市数据条例》则在第十二条规定,自然人对其个人信息享有人格权益,自然人、法人和非法人组织享有数据处理活动和数据创新活动中的相关财产权益。
综上,对于企业在投入精力合法收集、加工、整理获取的数据产品,司法实践大多认为企业享有财产权益,且这种财产权益属于竞争性权益,即其他市场主体不应随意搭便车,截取原企业的投入成果并产生实质性替代等破坏性后果。对于网络平台控制的单一用户数据,当前司法趋向于以“用户授权同意”为先,这也呼应了《个人信息保护法》的个人信息可携带权。
与立法和司法不同,理论界认为,将数据权利降格为数据权益,只能保障数据控制者遭受特定侵害时获得救济,保护密度和强度受限。因此,对于如何将数据权益上升至数据权利,多个理论学说百家争鸣。
1. 所有权保护说
所有权保护说认为数据控制者应对数据享有占有、使用、收益、处分的所有权,尤其是在数据交易的场景下,清晰的产权归属被认为是交易前提。例如贵州大数据交易所制定的交易规则就明确:“数据买卖双方要保证数据所有权、合法、可信、不被滥用。”在所有权保护说下,对用户数据进行匿名化处理后的数据产品所有权似乎应归属企业。但鉴于数据具有可复制性,很难遵循物权法的“一物一权主义”与排他性效力,故通过所有权保护数据利益与现有物权理论存在冲突。
2. 知识产权保护说
知识产权保护说认为数据产品等衍生数据的性质属于智力成果:衍生数据是原生数据的加工、计算和集合,这一过程包含了智力创造,最终形成非物质化的劳动作品,属于智力成果。因此,该理论建议在知识产权保护项下另设“数据专有权”。
但这一学说也有明显缺陷,即企业对数据的加工、利用难以达到知识产权的创造性标准。即便衍生数据是非物质性且有劳动投入,但缺乏创造性的劳动作品并不等于知识产权下的智力成果,不具有知识产权的权利基础。
3. 债权保护说
债权保护说提出数据应在债权关系中进行保护,认为数据不是民事权利的客体,其本身不具有价值和交易可能性,数据的经济价值需要通过技术举措实现,因此数据交易也应定性为债权关系下的数据服务合同。
这一学说完全否定了数据的民事权利客体性质,也受到了诸多批判,认为数据所具有的独立经济价值及财产属性不应被彻底否定,数据交易强调的也是其掌握的可交易数据,而非交易本身。
4. 新型数据权利保护说
上述学说主要是从已有部门法的维度出发,以“旧瓶装新酒”的形式希望将数据权属问题纳入其中。但如上文分析,既有制度框架无法完美契合新兴的数据确权需要,学者们也开始探索新型数据权利理论的可为空间。其中比较有代表性的观点有:
数据资产权保护说。这一学说认为,数据权利可以分为两部分,一方面是用户基于个人信息的人格权和财产权;另一方面是数据经营者基于数据的经营权和资产权。其中数据经营权关于数据经营地位或经营资格,具有专项经营权的性质;数据资产权是指对数据集合或加工产品的归属财产权。数据资产权从性质上接近物权,从功能上是对数据资产化经营利益的一种绝对化赋权。数据经营者据此权利,对自己合法数据活动形成的数据集合或其他产品可以占有、使用、收益和处分。【3】
“所有权+用益权”二元权利结构学说。这一学说认为,数据可以参考“自物权+他物权”的权利分割思想,根据不同主体对数据形成的贡献来源和程度的不同,设定“数据原发者拥有数据所有权”与“数据处理者拥有数据用益权”的二元权利结构,平衡数据财产权保护与数据充分利用两种价值。在此理论下,相对于用户对其数据享有的所有权,企业可以在数据用益权项下享有控制、开发、许可、转让四项积极权能和相应的消极防御权能。【4】
立题:从数据权属到数据合规
(一)
综合以上立法、司法及学术层面的“答题思路”,我们归纳了企业与用户间数据权属问题的六点共识:
其一,在数据确权不明、产权制度缺位的情况下,可以从数据权益的维度分析;
其二,个人用户对其个人数据享有人格权和财产权,受法律保护;
其三,确认企业的数据权益不代表否认用户作为原始数据主体的数据权益;
其四,经用户授权,企业可在授权范围内享有用户数据的使用权和收益权;
其五,经用户授权,企业可以合法、适度地使用其他企业控制的用户数据;
其六,在合法获取用户数据的基础上,企业对其集合、加工产生的数据产品享有财产权益(包括占有、使用、收益和处分的权利),且这种财产权益属于竞争性权益,其他企业不得随意截取或破坏。
(二)数据合规的参考答案
最后,换一个角度来看,数据确权对企业而言不是必要的,对于数据资源的开发利用,企业无需回答“数据归谁所有”,只需知道如何实现数据合规。我们从用户数据合规使用、数据产品合规生成、数据竞争合规边界三个方面说起:
1. 用户数据的合规使用
个人用户和企业用户作为原始数据主体,对其数据享有固有权益,企业在使用用户数据前,应当向用户明示并取得用户的授权同意。同时,如涉及个人用户的个人信息,建议企业按照个人信息的保护标准处理用户数据。
2. 数据产品的合规生成
对于数据产品合规,因数据产品依托于用户数据,基于对用户数据权益的保护,我们认为企业有两种合规路径:一是对用户数据进行匿名化处理,使其不能识别或关联到具体的个人/企业用户,且匿名化处理后的数据产品不存在再识别风险;二是向用户披露数据产品的生成机制和应用范围,获取用户的明确同意。
3. 数据竞争的合规边界
在用户和企业的双边关系之外,企业之间也存在数据竞争的正当性边界。在收集、使用其他经营者控制的数据前,我们建议企业考虑以下合规要求:在合理范围内适度使用;不得对其他经营者构成实质性替代;遵循双方协议的约束范围;尝试创新性使用方式。
在未来,数据权属的探讨将继续进行,而数据合规的锣鼓已然敲响。在关切数据确权的同时,我们也建议企业参考已有的共识凝聚,把握合规的尺度边界
注释:
【1】 参照《新反法解释》第26条,数据不正当竞争行为有纳入互联网专条(反法第十二条第二款第四项)进行规制的趋势。
【2】《新反法解释》第26条:经营者违背诚实信用原则和商业道德,擅自使用其他经营者征得用户同意、依法收集且具有商业价值的数据,并足以实质性替代其他经营者提供的相关产品或服务,损害公平竞争的市场秩序的,人民法院可以依照反不正当竞争法第十二条第二款第四项予以认定。经营者征得用户同意,合法、适度使用其他经营者控制的数据,且无证据证明使用行为可能损害公平竞争的市场秩序和消费者合法权益,控制该数据的经营者主张属于反不正当竞争法第十二条第二款第四项规定的行为的,人民法院一般不予支持。
【3】龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017年第4期。
【4】申卫星:《论数据用益权》,载《中国社会科学》2020年第11期。
END
声明:本微信文章仅为交流探讨之目的,不得视为广悦数据合规研究院或其律师出具的正式法律意见,任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流,可以通过电子邮件与我们联系,E-mail:hlw@wjngh.cn 。
