我國數據私權構建的探討

李子豪

隨著國家大數據戰略的推行以及互聯網、云存儲、云計算等技術的發展，大數據技術和思維逐步滲透至不同行業，個人對于自身個人信息的保護觀念逐步提升，企業商業模式也隨著創新，數據在人們心中的重要性逐步提升。第47次《中國互聯網絡發展狀況統計報告》顯示，我國網民規模較2020年3月增長8 540萬，總額達9.89億，互聯網普及率超過了70%，這一數據統計截止于同年12月。在大數據時代，數據已然不是一段單純的“零一”數字，而是社會中重要的資源。社會管理中，政府越發重視數據的管理以及數據獲取；企業發展中，企業也更加重視數據分析、數據挖掘，幾乎每個企業都直接涉及大數據技術的運用，更有以數據處理、分析為主營業務的企業。在個人生活中，享有大數據時代帶來便利和快捷的同時，網上頻頻發生的數據泄露事件也使人們逐步意識到自身個人信息數據暴露的危險性。新型的社會關系需要構建新的權利規則，進而定紛止爭，維持社會秩序[1]。

為了應對大數據時代技術給人們帶來的挑戰，我國陸續出臺了《網絡安全法》《個人信息安全規范》《電子商務法》，2017年10月生效的《民法總則》和2021年1月生效的《民法典》也都從私法領域正式確定了個人信息作為一項私法權益。同時，《個人信息保護法》(草案)已于2021年3月3日提請全國人大常委會審議，該法律構建了較為完善的個人信息保護規則。然而，大數據時代社會的發展和需要迎接的挑戰諸多，僅構建人格權意義上的個人信息權存在保護不周延的情況。另一方面，企業作為大數據時代數據經濟發展的中堅力量，僅有個人信息權而無“企業數據權”不利于鼓勵企業發展數據技術，更容易打壓企業的積極性，不利于數據經濟的持續發展。因此，為“數據”構建財產權體系對于大數據技術的衍化和人類數據經濟時代的發展有著重要意義[2]。

一、區分數據和信息是構建數據私權的前提

隨著大數據技術的發展，個人信息的商業價值逐漸顯露，個人信息泄露的事件也頻頻發生，因此世界各國首先加強的立法保護的對象主要是“個人信息”。從比較法的角度分析，在個人信息保護法律對于“個人信息”的概念上，我國和美國、歐盟均有不同：美國加州《加利福尼亞隱私權和執法法案》(以下簡稱“CPRA”)在概念上使用“隱私”或“數據隱私”，歐盟《通用數據保護條例》(以下簡稱“GDPR”)則稱“個人數據”，中國《民法典》《個人信息保護法》(草案)均稱為“個人信息”，因此在個人信息保護相關法律中，我國的信息、GDPR的數據、CPRA的隱私有著類似的含義。大多法學研究者甚至認為信息與數據的區分無意義，或“僅在于不同的表述角度”，因此“約定俗成即可”[3]。以上緣由，是因為傳統私法領域構建個人信息法更多是對于個人人格尊嚴及利益的保護，并不以賦予個人信息財產權為主要內容，個人信息權財產權化并非主流觀點。

信息、數據、隱私三詞含義混同的情形在個人信息保護的研究中或許并無太大影響，但倘若構建私法意義上的數據財產權，則會引起不小的混亂。數據是指通過計算機或者其他信息終端及相關設備組成的系統收集、存儲、傳輸、處理和產生的各種電子化的信息。《數據安全法》(草案)第三條對數據的表述為“任何以電子或者非電子形式對信息的記錄”。而對比《個人信息法》(草案)第四條個人信息的定義則為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息”。不難得出，數據更傾向于信息的存儲形式；而信息更傾向于計算機數據存儲中的內容，兩者并不相同。倘若構建私法意義上的數據法，確認個人數據以及企業數據的財產權[4]，信息和數據的混淆不利于對于“數據”這一客體的保護。在構建數據財產權的背景下，以對于個人數據的保護為例，此時保護更強調的是“形式”，而非個人信息保護中對于人身權益、人格尊嚴這一“內容”的保護。

正如我國《數據安全法》(草案)第三條和《個人信息保護法》(草案)第四條對于數據和信息的概念的劃分，立法層面其實也注意到了“數據”和“信息”的不同。但《數據安全法》(草案)的立法重點并未落腳在“數據”之上，而在于“安全”，并未確認私法意義上的“數據權”，我國數據財產權的私法保護仍處在無法可用的尷尬境地。但不得不說的是《數據安全法》(草案)對于“數據”和“信息”的區分對于后續數據財產權的構建起著重要作用，從立法層面上確認了兩概念的不同。

二、數據私權不同于現有私權體系的各類權益

數據的特性決定了數據權不能直接適用現有私法體系各類財產權的法律制度，以下分述之：

(一)數據私權與物權存在差異

數據所具有的不同于物的特性決定了物權理論不能涵蓋數據權的所有功能。首先，數據具有無限復制的特性，因此在虛擬世界中對于數據進行復制后能夠得到包含相同內容的數據，這些數據可謂完全相同，仍然蘊含著原數據復制功能。對比之下有體物則不同。處于現實世界有體物不具備可復制的特性，對有體物進行劃分或切割，結果可能會損害原有體物的形體以及功能。其次，數據在大數據時代以共享為背景。確立數據財產權的目的并非為了阻遏數據流動，而是為了保證權利主體的合法權益受保護的基礎上促進數據流通。對比之下，物權中動產的占有公示方法，物權權屬占有推定都預示著物權權利主體主要依據對物的排他占有彰顯其對物的權利，這與數據的流動性完全不同。當然仍有學者在區分了數據權和物權不同后，對數據權保有“所有權”這一稱謂，如對于包含個人信息、個人在網絡上的習慣，個體應該享有“所有權”；企業匿名化處理后的個人信息，經過企業的分析、挖掘、加工后產生的衍生信息，應有企業享有“所有權”。此時“所有權”的稱呼更傾向于對于數據權歸屬的認定，而非特指物權[5]。

(二)數據私權與知識產權存在差異

數據權在某些程度上確實與知識產權有著類似的特點：知識產權這一財產權具有專有性、地域性、無形性等特點，而數據權也符合專有性和無形性的特點。甚至在《民法總則》(一審稿草案)中就曾將“數據信息”作為一種知識產權加以保護，但最終因“數據信息”不屬于人的智慧成果而被否決。知識作為人類在實踐中認識客觀世界的成果，其價值密度高于具有一定傳輸內容的信息；而信息則也因為自身具有內容而價值密度高于作為傳輸介質的數據。知識產權蘊含著人類智力勞動成果，對比之下，數據權更多是對于大量數據的分析、挖掘、排列、組合。數據權其中可能也蘊含了人類的智力，但是通過間接的方式。畢竟數據處理軟件等早已被納入著作權的保護范圍，有數據處理軟件產生的“數據”并非直接作為人類的智力勞動成果，但可以直接認為是“軟件”的勞動成果，其中關系仍可爭論。“大數據”背景之下，數據的動態性、實時更新等性質很難構成獨創性或藝術性內容。大量數據本身即具備財產性質，而并非一定體現于數據的排列組合優化分析。綜上，數據權和知識產權確實存在著許多類似的部分，但數據權與知識產權仍存在著不同的屬性和特征，倘若構建數據權體系，在具體制度規定中仍可以借鑒知識產權的相關制度規定。

(三)數據私權與個人信息權存在差異

正如上文所述，“數據”和“信息”兩者在概念上存在著區別：數據具有工具的性質，作為一種數據編碼技術，數據能夠生成并傳輸信息，具體體現為計算機中二進制的數據流。兩者是內容和形式的關系。對于個人信息權所保護的利益存在不同學說，大體可以分為隱私權說、具體人格權說、人格權兼財產權說三種。其中隱私權說，主要是根據美國以及歐盟對于電子數據的保護立法，二者均是為了防止個人隱私被非法公開和泄露。同時，美國一直遵循以隱私權保護人格權益的做法，直至今日仍采此種保護方法。歐盟則隨著制度發展和對數據的認識，以“個人數據”(“personal data”)代指個人信息。隱私權的觀點在我國的人格權構建背景下已經鮮有人支持，是因為個人信息的公共性和流動性使其和我國傳統的隱私權有著顯著的差別。具體人格權說則基于《民法典》1034條對于個人信息的具體規定，認為《民法典》建立了區別于其他具體人格權且不屬于一般人格權的新型人格權益，此觀點為現階段的主流學說。人格權兼財產權說則是在第二種具體人格權說的基礎上增加了財產權的內容，認為個人信息權無需區分人格和財產。此種學說下，個人信息權享有防御性的人格權和支配性的財產權。與以上三種學說對比，第一種和第二種學說依然將個人信息權的內容限定于人格權益的大范圍之內，而數據權更多強調的是財產權的因素。第三種學說即人格權兼財產權說則使得數據權與個人信息權存在一定的關聯，因為數據權包含對于個人數據的保護、企業數據的保護乃至對政府數據的保護，而個人數據的保護中就涉及對于個人信息的保護，因此兩者存在一定的交叉。但是對主流的具體人格權說而言，個人信息權并未落腳于財產權的構建，且個人信息權的主體與數據權的主體存在顯著的范圍差別。

三、確認數據私權具有現實必要性

大數據背景下，數據作為“新石油”愈發受到社會各界的重視。美國的勞倫斯·萊斯格(Lawrence Lessig)教授就數據財產化提出了系統的理論思路。萊斯格教授支持賦予用戶數據財產權，一旦構建了數據財產權并賦予用戶個人數據權，數據使用者就不得不主動地與數據主體商議，由此用戶在數據市場上被忽略的尷尬境地便能得到顯著的改善，進而提升用戶的議價能力。現階段，APP服務提供企業往往借助數據法律制度的空缺，通過“不同意”便不能使用的方法誘導用戶同意該企業對于用戶個人信息的收集、存儲、分析等協議。出現該現象的原因，是由于大多數人在使用APP之時對于個人數據是否具有財產權益并無直接認識，在企業的誘導之下，往往草率同意，喪失主動性。另一方面，在大數據技術爆發的背景下，企業也投入了大量的財力、物力、人力以維護并構建自身的企業數據庫。一味地考慮對于個人信息的人格權保護，不利于網絡平臺和數據服務企業的發展。數據活動本質上即要求數據的大規模的手機處理甚至報告交易，倘若簡單地站在用戶的立場上分析，盲目地保護個人信息，對數據活動和數據發展將會造成極大的阻礙。不得不說的是，現在社會中各項網絡平臺和數據服務企業提供的各項服務給我們帶來了極大的便利，因此，維持企業的數據權也存在一定的必要性和正當性。

(一)確認數據私權有助于保護個人信息

我國現有的個人信息保護規則不夠科學，由于個人信息和個人數據的交叉性，確立數據私權在保護個人數據的同時有助于保護個人信息。就我國個人信息保護立法而言，《民法典》個人信息權側重保護人格尊嚴和利益，《個人信息保護法》(草案)構建了詳細的保護體系，但法律責任承擔方面更傾向于行政責任，即主要由履行個人信息保護職責的部門責令改正、沒收違法所得、予以罰款等；就民事賠償方面，則需要參考個人因此遭受的損失或信息處理者由此產生的利益，在利益難以確定之時則需根據實際情況確認賠償數額。侵害個人信息的侵權數額以及獲利數額往往難以確認，此種被動保護的方法難以給予個人就其個人信息充足的保護。依據《個人信息保護法》(草案)對于大型企業施以巨額的罰款可以遏制企業不規范的收集個人信息，但對于中小企業適用小額罰款不能遏制其違法行為，適用巨額罰款又容易影響中小企業的存續。對于個人數據保護時應當考慮發揮數據的公共性價值，應當加強對中小企業的不當信息收集的監管，但不能僅依靠行政手段。倘若能夠確認數據財產權，對于企業的違法行為則無需完全依靠行政處罰這一手段。個人可以在與企業交易個人“數據”之時設置違約責任等具體規定，待企業存在違法違約行為之時，個人可以行使自身的請求權規制企業的違法行為。同時，確立個人數據財產權將有助于提升個人信息違法的可訴性。單獨從個人信息而非個人數據的保護角度來看，個人信息保護案件侵權鏈條較長，個人信息的泄露或者收集往往只是侵權鏈條中的一條，不僅不易證明個人信息泄露與損害后果的因果關系，還難以認定個人信息被侵害所造成實際損失，這給訴訟帶來了極大的困難。而確認個人數據的財產權則注重于數據這一載體的保護，數據交易和流通的“明碼化”有助于衡量數據財產的價值，便于計算侵權所造成的損失，有助于對個人信息的保護。

(二)確認數據私權有助于保護企業數據

個人數據保護問題尚且可以依附于《民法典》以及未來的《個人信息保護法》，企業數據的保護則不存在直接關聯的法律。現階段對于企業數據的法律保護主要依靠反不正當競爭規則和商業秘密保護。反不正當競爭規則的設置即要求存在不正當競爭行為，為保護經營者的合法權益方能適用，該規則保護的“權益”是泛化的“權益”，且需要根據具體情況具體分析。而商業秘密的保護規則，則需要企業保證其控制的數據“不被公眾所知悉”且具有“商業價值”并采取“保密措施”，亦即如需通過商業秘密保護企業的相關數據，對相關數據的保密是前提。但隨著大數據時代的發展[6]，商業運營模式不斷創新的情況下催生了許多專營的信息業務，僅保護保密的數據無法滿足社會的需求，如此不完善的保護方式很容易對企業的經營利益產生損害。

微夢公司訴淘友公司非法抓取微博用戶信息不正當競爭糾紛案(以下簡稱“微博訴脈脈案”)中，淘友公司的脈脈軟件上線之初與微夢公司的微博合作并建立了開放API，脈脈借此接口未經新浪公司許可獲取了用戶大量的信息。生效判決中，法院認為互聯網中第三方應用通過開放平臺獲取用戶信息，應當遵循三重授權原則，即“用戶授權”后“平臺授權”再加上“用戶授權”，而淘友公司并未獲取微博用戶以及微博(微夢)公司的同意，侵犯了微夢公司的競爭優勢，構成不正當競爭[7]。本案并未直接回應是否侵害了微夢公司合法獲取并分析管理的數據權益，而是側面以“不正當競爭”的表述認可了微夢公司對其擁有的企業數據所享有的財產權益。原告直接在訴請中要求確定衍生數據具有財產權的案例也發生過，即淘寶公司訴美景公司不正當競爭糾紛案(以下簡稱“淘寶訴美景案”)。在淘寶訴美景案中，淘寶公司開發“生意參謀”數據產品經用戶授權后利用用戶提供的原始數據分析處理產生具有價值的衍生數據，并以此經營。而美景公司未經淘寶公司同意，采用遠程登錄訂購該數據產品的電腦的手段，以營利為目的，協助他人獲取淘寶公司數據產品的內容。法院不僅支持了淘寶公司的訴求，而且在說理過程中認可了淘寶對其開發的數據產品的“獨立的財產權益”，并認可了衍生數據能夠為其帶來“經濟利益”。如果說“微博訴脈脈案”側面印證了司法實踐對于企業數據財產權的認定，那么“淘寶訴美景案”則正面回應了企業對于衍生數據應當享有財產權益[8]。從上述兩案也可以看出，倘若不在私法領域確定數據財產權，對于企業數據的保護仍然要依附于反不正當競爭規則，企業面臨數據被侵害的危機之時無法積極主張權利，僅能在損害發生后請求賠償，反不正當競爭規則較之于私法權利保護偏弱，不利于基于企業數據財產權益充足的保護。

正如龍衛球教授所言，數據財產權的構建應當立足數據經濟的合理本質，重新平衡用戶和數據從業者以及其他關系人復雜利益關系，確立更加復雜的數據新型財產權體系。不得不說的是，個人數據往往是企業數據構建的基礎。對于個人數據的權利構建應當在促進市場流通的基礎上構建，以“知情——同意”原則為基礎給予個人數據“定價”的可能；對于企業數據的財產權賦權的同時，應當注重政府監管，防止企業實施數據壟斷，危害數字經濟社會的整體發展。在科學的體系設置和有效的政府監管下，確認數據具有財產權內容有利于促進數據流動，發揮數據的公共利益。個人和企業的數據財產權益得到充分保護的前提下，有利于刺激企業投入資源，促進數據分析、數據挖掘技術的創新發展，進而為全社會提供更好的數據服務。