数据“三权分置”的新路径
2022年09月28日 09:29 来源:《中国社会科学报》2022年9月28日总第2501期 作者:邓辉

  《数字中国发展报告(2021年)》显示,从2017年到2021年,我国数据产量从2.3ZB增长至6.6ZB,全球占比9.9%,位居世界第二,大数据产业规模从4700亿元增长至1.3万亿元。在此背景下,如何更好地推动我国数据资源规模优势向质量优势转化,需要不断探索数据治理规则的法治化和制度化。2022年6月22日,习近平总书记主持召开的中央全面深化改革委员会第二十六次会议审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《意见》),提出“要建立数据产权制度,推进公共数据、企业数据、个人数据分类分级确权授权使用,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,健全数据要素权益保护制度”。通过推动数据持有权、使用权等相关权利的有序分离,《意见》确立了数据产权配置的全新路径,有利于满足数据流通使用需求,承认和保护数据要素各参与方的合法权益,合理准确界定各参与方的权利和义务,从而进一步释放数据红利。

  面向主体的数据资源持有权

  数据被誉为新的“石油”或“货币”,具有很强的规模效应,单个数据创造财富的能力有限,数据只有汇聚成一定的规模,才能带来巨大的经济和社会价值。因此,《意见》强调的并非是人们对单个数据的占有或控制,而是立足于“数据资源”的基础来探索数据权属问题:一方面,与传统的有体物相比,数据具备非竞争性和重复利用性,以支配和排他为核心的所有权确权模式难以适用于数据保护,占有、使用、收益和处分等权利内容或权能也无法准确描述数据权利。另一方面,数据权利涉及数据来源者、数据处理者等不同主体之间的利益平衡,逐渐呈现出相对化的趋势,难以用传统民法中绝对权和支配权的逻辑来简单套用,应当避免阻碍数据产权配置的实践创新,确保最大限度释放数据要素价值。或许正因如此,《意见》才没有选择“数据所有权”的术语表达。这种深刻的转变不仅意味着我国数据产权配置顶层设计放弃了所有权的立法思路,更催生了一种类似于数据“准占有”制度的新型权利样态,即旨在保护权利主体对数据的和平持有状态,并为权利主体“依法持有”数据提供正当性依据,以防止其他主体对数据的非法获取和利用。

  2022年中国信息通信研究院《数据治理研究报告》指出,依据数据流转主体的类型进行权益配置,是指根据数据处理全周期来界定各阶段的数据产生或持有主体。这种具体权益配置方法有利于梳理出不同主体对数据加工的劳动产出以及急需保障的权益内容。总的来说,数据可以分为公共数据、企业数据和个人数据,相应地,数据持有主体包括政府、企业和个人。《意见》强调,“要建立数据产权制度,推进公共数据、企业数据、个人数据分类分级确权授权使用”。那么,对于政府部门、事业单位行政履职和企业经营中产生的公共数据,应当明确管理部门代表地区和行业统一行使公共数据开放和授权使用职责;对于市场主体在生产经营活动中采集加工的不涉及个人信息和公共利益的企业数据,由市场主体享有数据持有、支配和收益的权利;对于承载个人信息的数据,由个人持有或数据处理者按个人授权范围采集、持有和使用数据。此外,依据数据来源的不同,数据资源持有也可以分为两种情形。其一,数据来源者有权持有自己所产生的数据。比如,个人持有本人的消费数据、健康数据,企业持有自己的生产数据、销售数据,政府部门持有政务或社会管理数据等。其二,数据处理者“依法持有”其他主体的数据。按照《网络安全法》《数据安全法》《个人信息保护法》的规定,在获得数据来源者同意或者存在其他法定事由的前提下,企业或政府部门等数据处理者有权收集、存储他人的个人信息和数据。

  在数据要素产权配置中,数据资源持有权着眼于数据的归属功能,相当于弱化或改造的所有权,从而为数据流转、数据处理和其他数据权利的构建奠定了基础。在具体权能上,数据资源持有权至少应当包括以下内容。一是自主管理权,即对数据进行持有、管理和防止侵害的权利。2022年国家发展和改革委员会《数据基础制度若干观点》强调:“建议数据处理者依法持有的数据可进行自主管理,防止干扰或侵犯数据处理者合法权利的行为。”二是数据流转权,即同意他人获取或转移其所产生数据的权利。如前所述,数据资源持有者享有自主管理权,意味着他不仅有权进行数据处理,同时也可以经由同意来“转让”自己对数据的持有权利。比如,《网络安全法》《个人信息保护法》均规定收集、使用个人信息须经本人同意。三是数据持有限制,即数据持有或保存期限的问题。对于自己产生的数据,本人持有不受保存期限的限制。对于他人产生的数据,《个人信息保护法》第十九条规定:“除法律、行政法规另有规定外,保存期限应当为实现处理目的所必要的最短时间。”这里“法律、行政法规另有规定”的情形主要是基于监管目的要求数据留存一定时间。比如,《反洗钱法》要求客户资料至少应当保存五年,《电子商务法》要求商品和服务信息、交易信息的保存时间不少于三年,《网络交易监督管理办法》要求平台内经营者身份信息、商品和服务信息、交易记录等数据保存时间不少于三年。因此,数据资源持有权也存在相应的时间限制,不得超出或小于法律规定的储存期限。

  基于处理的数据加工使用权

  《数据安全法》第三条第二款规定,数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。截至目前,法律、行政法规均未对数据加工、使用作出定义性规定。在国家标准或行业指引中,相关的例示性规定有助于揭示数据加工和使用的内涵:数据加工是指对数据进行筛选、分类、排列、加密、标注等处理的活动。按照全国信息安全标准化委员会2021年12月发布的《网络安全标准实践指南——网络数据分类分级指引》第2.9条,经过统计、关联、挖掘或聚合等加工活动,原始数据可以转变为衍生数据。2022年4月发布的《信息安全技术 网络数据处理安全要求》(GB/T 41479—2022)第5.5条也规定,网络运营者可以开展转换、汇聚、分析等数据加工活动。而数据使用主要指对数据进行分析、利用等活动。《信息安全技术 个人信息安全规范》(GB/T 35273—2020)第7条关于个人信息使用的规定包括(个性化)展示、用户画像和用于自动化决策机制,《信息安全技术 网络数据处理安全要求》第5.4条关于数据使用的规定则包括定向推送、信息合成和第三方应用管理等内容。

  数据加工使用权的权利主体为数据处理者。只要成为数据处理者,就可以依法对数据进行加工和使用。《数据基础制度若干观点》建议:“尊重数据采集、加工等数据处理者劳动付出,承认和保护依照法律规定或合同约定获得的数据相关权利,充分保障数据处理者使用数据和获得收益的权利。”在此需要强调的是,只有在满足“依法持有”或“合法取得”数据的前提下,数据处理者才有权加工和使用。比如,《上海市数据条例》第十四条规定:“自然人、法人和非法人组织对其合法取得的数据,可以依法使用、加工。”在法律解释上,能够使用和加工的数据应当限于处理者合法取得的数据。对于非法获取的数据,数据处理者不仅无权加工使用,还可能构成篡改、破坏、泄露数据或者非法利用数据等行为。

  在文义上,数据加工使用权仅包括数据加工和使用两项内容。有学者主张设立数据用益权,使之包括控制、开发、许可、转让四项积极权能和相应的消极防御权能,来解决数据市场资源配置问题。但是,《意见》统筹布局推进数据基础制度建设,决定分别处理数据产权、流通交易、收益分配和安全治理等问题。因此,数据收益权并未纳入数据要素产权配置的考虑。此外,数据加工使用权也受到限制:一是抽象的目的限制,即包括加工和使用在内的数据处理活动不得超出法律授权或合同约定的范围;二是数据安全保障义务,数据处理者应当采取加密、去标识化、匿名化等技术措施和其他必要措施来保障数据安全,在发生数据安全事件时,应当立即采取处置措施,及时告知用户并向有关主管部门报告;三是具体的使用限制,比如,根据《个人信息保护法》第二十四条,在个人数据被用于自动化决策时,应当避免不合理的差别待遇,进行信息推送和商业营销时,应当提供不针对个人特征的选项或便捷的拒绝方式。

  针对竞争的数据产品经营权

  进行数据开发利用,最重要的成果形式就是提供数据产品和服务。在数据产品的形成过程中,尽管数据产品的内容来源于用户信息等原始数据,但是,数据处理者通过提供服务、签订合同等合法方式收集数据,并通过筛选、特定组合、深度开发、系统整理等大量智力和体力劳动赋予了数据更高的价值。根据《上海市数据条例》第四十九条的规定,数据产品和服务的形成以“实质性加工”和“创新性劳动”为前提。有学者认为,数据产品之上存在的利益格局不同,数据产品根据开发程度的不同又可以分为汇集型数据产品和演绎型数据产品:前者仅对原始数据进行简单汇集加工,比如“大众点评”中由用户点评聚合形成的用户平台;后者则需要对原始数据进行深度加工、演算分析,比如“生意参谋”等预测性判断或解决方案。这里需要指出的是,在演绎型数据产品中已无法识别原始数据,因而通常也不存在个人信息权益保护的问题。

  数据产品经营权主要指数据竞争性权益,即数据处理者对第三方的限制性权益,以防止同行业竞争者不当利用其数据产品获得利益。这是因为,数据产品可以为人们带来可观的商业利益和市场竞争优势,依据洛克劳动财产理论和市场激励理论,数据处理者应当对数据产品享有独立的财产权益。事实上,我国有的地方性立法和司法实践已经强调了数据产品的财产权属性。

  数据产品经营权主要是指网络运营商对其研发的数据产品进行开发、使用、交易和支配的权利。比如,《深圳经济特区数据条例》第五十八条规定:“市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,取得收益,进行处分。”这种数据产品经营权与知识产权的垄断性特征有类似之处:在欧盟,针对数据的实质性投资,相关指令设立了一种新的权利即“数据库特殊权利”,试图通过限制他人获取或二次使用该数据库的权利,以此保护在数据的获取、验证和展示上已经付出的巨大投资利益。目前,我国关于企业间获取数据的司法实践确立了“三重授权”原则,要求数据获取企业需要同时满足用户、数据持有企业以及用户对数据持有企业的同意授权。这虽有利于维护在先平台对数据的控制利益,激励平台加大投入,但是,“三重授权”原则没有区分不同类型的数据产品,又过于依赖用户的“知情同意”,既可能会与(个人)数据可携带权冲突,也可能造成新形态的数据垄断,不利于培育共创共享、公平竞争的数据要素市场。此外,行使数据产品经营权也需要尊重个人信息权益和公共利益,避免因权利滥用而带来损害。

  (本文系国家社科基金重大项目“网络信息安全监管法治体系构建”(21&ZD193)阶段性成果)

  (作者系中国人民公安大学数据法学研究院研究员)

责任编辑:陈静
二维码图标2.jpg
重点推荐
最新文章
图  片
视  频

友情链接: 中国社会科学院官方网站 | 中国社会科学网

网站备案号:京公网安备11010502030146号 工信部:京ICP备11013869号

中国社会科学杂志社版权所有 未经允许不得转载使用

总编辑邮箱:zzszbj@126.com 本网联系方式:010-85886809 地址:北京市朝阳区光华路15号院1号楼11-12层 邮编:100026