數據訪問權的構造
——數據流通實現路徑的再思考
2023-03-23 04:20:54王洪亮
社會科學研究 2023年1期
王洪亮 葉 翔
一、問題的提出
隨著電子技術以及傳感器嵌入產品日益普及,物聯網數字經濟日益繁榮,在既有的電子商務形態、搜索引擎形態以及社交平臺經濟模式之外,逐漸出現了蓬勃發展的物聯網經濟。在物聯網場景下,數據成為市場競爭因素中最關鍵的投入。現在發展的復雜預測技術可以改善復雜社會與經濟系統的決策,其基礎是機器學習以及人工智能技術。而運用這些技術的關鍵是自動分析大量的使用機器時收集的、非結構性數據。①《馬克斯·普朗克創新與競爭研究所就歐盟委員會“關于構建歐洲數據經濟征求意見書”的立場聲明》,劉維、張嘉瑩譯,《電子知識產權》2017年第7期。
機器、汽車、家庭設施、交通、醫療產品中置入了各種傳感器搜集數據,為企業以及消費者提供各種形式的節省、安全、舒適的服務。通過對這些傳感器收集的數據進行分析,可以生成創新的知識與產品。一方面,數據進一步電子化不僅影響了產品如何生產以及汽車如何操作;另一方面,也增進了社會與個人的福祉。①The Benefits for Society at Large are especially Emphasized in the Study by the OECD,Data-Driven Innovation:Big Data for Growth and Well-Being(2015),http://www.oecd.org/sti/data-driven-innovation-9789264229358-en.htm,June 22,2022.
物聯網數據往往為政府機構、互聯網企業或者制造商所控制②2021年我國數據產量達到6.6 ZB,占據全球數據總產量的9.9%,僅次于美國(16 ZB),位列全球第二。我國數據主要產生并固定于政府、互聯網、新聞媒體、公眾服務及專業服務、交通行業中,這5個行業數據產量占全國行業機構數據總產量的65%左右。就數據存量而言,排名前6位的行業分別為互聯網、電信、政府、金融、制造業和公眾服務及專業服務(包括餐飲、住宿、房地產、文化藝術、體育娛樂、租賃、商務服務、科技交流和推廣服務等行業),其中互聯網行業數據存量達到161.4 EB,超過全國行業機構數據總存量的一半。參見《國家數據資源調查報告(2021)》(公開版),第2—6頁。,數據用戶也因此被鎖定在一家制造商的上下游產品與服務之中,不能自由選擇其他制造商提供的產品與服務。而且,新加入市場的企業無法獲得數據,無法與互聯網企業、制造商進行公平競爭,就無法發揮創新能力。為了鼓勵市場競爭與創新,必須使數據流通起來,而且要流通到有創新能力的企業以及有使用利益的用戶手中。
在實踐中,實際控制數據的企業通常通過與數據需求方或用戶訂立合同的方式流通數據,或者通過數據交易中介流通數據,但數據的實際流通效果并不理想,未必能流通到具有創新能力的企業,交易量也不大。③2021年,全國各行業固定接入流量共計79.9 EB,各行業平均固定接入流量為6291.7 PB。其中,行業接入流量排名前5位的分別為工業、互聯網、公眾服務及專業服務、金融、電信業,以上5個行業固定接入流量占我國行業固定接入總流量的84.3%。據此,相對于存貯量而言,接入流量并不大,而且集中在工業、互聯網、公眾服務及專業服務、金融、電信業等行業。參見《國家數據資源調查報告(2021)》(公開版),第2—6頁。
從數據經濟視角來看,數據在利用上是非排他的,而且,數據是創新的關鍵因素,再者,缺乏數據訪問會對競爭與創新造成巨大的負面影響。所以,有必要在法律上確立數據訪問權制度,即在法律上賦予數據實際控制者負有允許他人訪問、使用的義務。在歐盟立法上,數據訪問權逐漸成為一種數據流動的基礎性權利。而就數據訪問權的法律構造而言,需要探討的問題有三,其一,數據訪問權模式的正當性;其二,在什么條件下,數據持有者有義務同意數據訪問;其三,哪些法律制度是實現與執行該義務的最佳選擇。
二、數據訪問權及其模式的正當性論爭
基于數據價值的發現,有關數據權利的探討成為熱門話題。當前我國學者的思路往往延續財產權的架設,賦予權利主體以數據所有權或者某種擁有絕對權性質的排他權利。④就企業數據權利權屬與權利創設來講,大致存在以下觀點:(1)原始取得說,肯定企業對數據的權利來源于原始取得,并將之作為絕對權,而給予與物權、人格權同等程度的保護,參見紀海龍:《數據的私法定位與保護》,《法學研究》2018年第6期;(2)新型財產權說,構建數據經營權和數據資產權兩種賦權構想,其中數據資產權屬于排他性的數據財產權,而數據經營權是賦予企業對于數據得以經營為目的的一種主體資格,參見龍衛球:《再論企業數據保護的財產權化路徑》,《東方法學》2018年第3期;(3)數據用益權說,認為應當認可數據財產權,將數據所有權賦予用戶的基礎上,為數據企業設立數據用益權,參見申衛星:《論數據用益權》,《中國社會科學》2020年第11期;(4)有限財產權說,即認可賦予財產權但是其受到個人信息保護與公共利益的限制,參見沈建洲:《數據財產的權利架構與規則展開》,《中國法學》2022年第4期;(5)數據使用權說,盡管認為不應當再創設數據財產權,而是應當通過法律安排使具有利益關系的公司通過合同和技術措施分配并實現企業的數據使用權,參見付新華:《企業數據財產權保護論批判——從數據財產權到數據使用權》,《東方法學》2022年第2期。數據絕對權理論明確了數據的產權界分,提升了交易的穩定性和法律的確定性,但是絕對權的架設同時也會產生強化基于技術而建立的數據控制的效果,從而抑制數據的自由流通。為了克服絕對權賦權方案所產生的強化數據控制的弊端,而賦予在該情境中弱勢一方以數據上的絕對權利的制度安排,也完全可能因談判能力、公平標準的欠缺而最終失效。⑤有關數據生產者理論的弊端,可參見《馬克斯·普朗克創新與競爭研究所就歐盟委員會“關于構建歐洲數據經濟征求意見書”的立場聲明》,劉維、張嘉瑩譯。加之數據本身的非競爭性和非排他性,均增加了在數據上確立絕對權體系的難度。所以,學界普遍意識到,對于數據確權來說,其深受不同場景的影響①參見丁曉東:《數據到底屬于誰?——從網絡爬蟲看平臺數據權屬與數據保護》,《華東政法大學學報》2019年第5期。,而停留在“數據歸誰所有”層面的討論無法紓解數據利用的僵局,聚焦于建立數據利用與分享規則,或許可以更好地促進數據合理的流通,從而保證市場有序競爭與市場創新。②參見姚佳:《企業數據的利用準則》,《清華法學》2019年第3期。
對于數據流通的基礎性權利,歐盟主要考慮了數據生產者權(data producer right)以及數據訪問權(data access right)制度。
(一)生產者權利——訪問權的絕對化
2017年,歐盟委員會在其頒布的《構建歐洲數據經濟的通訊》(以下簡稱《通訊》)中提出了一種數據產權學說的方案,其以功能主義為出發點,主張應當賦予設備所有人或長期使用人以數據的排他財產權,以增強對具備生產要素價值的數據的工業和商業利用的激勵,從而加強數據的自由流動。③參見司馬航:《歐盟數據財產權的制度選擇和經驗借鑒——以歐盟〈數據法〉草案切入》,《德國研究》2022年第3期。See Communication From the Commission to the European Parliament,the Council,the European Economic and Social Committee and the Committee of the Regions,“Building a European Data Economy,”COM(2017)9 final,pp.11-13.這表明歐盟委員會的思路從數據所有權觀念轉向了數據生產者權,數據生產者權利的性質是排他性的財產權,本質上是對數據訪問的所有權。基于數據自由流通能帶來的巨大優勢,以及智能產品使用者對數據流通的客觀需求,歐盟委員會在“所有權-訪問權”的爭議中選擇了“生產者權利”進路。④See Josef Drexl,“A Competition-based Response to the‘Ownership and Access’Debate,”in Sebastian Lohsse/Reiner Schulze/Dirk Staudenmayer eds.,Trading Data in the Digital Economy:Legal Conceptsand Tools,Nomos,2017,p.226.
數據生產者理論指出,對于“非個人和匿名化生成的”數據來說,其原始權屬被分配給“設備的所有者或長期使用者”,這就意味著企業和消費者(根據消費目的可分為最終消費者“final consumer”和產業消費者“industry consumer”)都可以作為數據的生產者(data producer)而對由其“生產”的數據擁有排他的財產權。⑤See Communication From the Commission to the European Parliament,the Council,the European Economic and Social Committee and the Committee of the Regions,“Building a European Data Economy,”p.13.譬如,消費者作為一臺智能汽車的操作者,對于該汽車在使用過程中產生的數據而言,消費者即是這些數據的生產者。而在工業4.0時代,由于物聯網⑥物聯網是通過射頻識別(RFID)(RFID+互聯網)、紅外感應器、全球定位系統、激光掃描器、氣體感應器等信息傳感設備,按約定的協議,把任何物品與互聯網連接起來,進行信息交換和通訊,以實現智能化識別、定位、跟蹤、監控和管理的一種網絡,http://baike.baidu.com/link?url=tNGuxjGJse28w4AIJgmnEcjsnDz-sj5wIiGGjUUobr31vELIcE1DeKlxlv1 pXxaRybriMSdVUd8B5DB9iIP9BIDfZ8neiT5nyda3gK5w5XJCANsJJMSx394_MB9hwBjF,2022年8月15日。在生產中的大量應用,企業也成為數據的生產者。⑦See Herbert Zech,“Data as a Tradeable Commodity,”in Alberto De Franceshi ed.,European Contract Law and the Digital Single Market:The Implicationsof the Digital Revolution,Intersentia,2016,p.59.企業和消費者所“生產”的數據在大數據時代具有商業價值而成為交易的對象,其初始權益的擁有者根據對產生數據的設備經濟上負責的操作者而確定。⑧See Herbert Zech,“Data as a Tradeable Commodity,”in Alberto De Franceshi ed.,European Contract Law and the Digital Single Market:The Implicationsof the Digital Revolution,p.75.
數據生產者權的客體范圍主要在于覆蓋機器、傳感器生成的數據,但是,當消費者生產和企業生產的數據可能關聯特定個人時(比如前述智能車產生的數據與駕駛者直接關聯,類似的情形在醫藥領域也會發生),數據生產者理論并沒有提出一種更為簡單、更具信服力的權益安排,以妥善處理個人數據保護與數據自由流通之間的利益權衡。⑨See Paul Hofheinz,David Osimo,Making Europe a Data Economy:A New Framework for Free Movement of Data in the Digital Age,Lisbon Council Policy Brief,2017,https://lisboncouncil.net/wp-content/uploads/2020/08/LISBON-COUNCIL-Making-Europe-A-Data-Economy.pdf,August 31,2022.實際上,無論如何數據生產者權利都不能取代對數據相關個人的保護。這個問題與數據的匿名化或者說“清洗”密切相關,當個人數據未匿名化或匿名化不足時,數據的使用必須受到個人數據保護規則的限制。⑩See Communication From the Commission to the European Parliament,The Council,The European Economic and Social Committee and the Committee of the Regions,“Building a European Data Economy,”p.13.數據生產者權的客體范圍還覆蓋了不涉及特定個人的數據,比如企業的數字化運營過程同樣會產生大量的數據,這些數據就不涉及個人數據保護的問題,根據前述歸屬規則,這些數據即歸屬于經濟上負責運行產生數據的設備的企業。譬如電力企業應對其使用的傳感器生成的物聯網數據享有數據生產者權。在本質上,數據生產者理論提出的數據權屬界定依據的是經濟成本的付出。①See Herbert Zech,“Building a European Data Economy,”International Review of Intellectual Property and Competition Law no.48,2017,pp.501-503.
數據生產者權主要保護以機器生產的、并未被處理或改變的原始數據(raw-data)②See Communication From the Commission to the European Parliament,the Council,the European Economic and Social Committee and the Committee of the Regions,“Building a European Data Economy,”p.8.,但不包括通過獨立的測量再獲得的相同的數據。也就是說,他人也可以獨立地獲得相同數據并享有相應的權益。數據生產者理論受制于公共利益的限制,鑒于數據使用分析的快捷性,主張為數據保護設置短期時效。同時,數據生產者理論還考慮了私人使用以及非商業目的使用的免責問題。此外,要使逐漸增加的對私人領域的要求適應數據世界,因為數據世界已經無法在空間意義上劃界。最后,數據生產者權理論還主張科學研究的自由作為免責事由。特別注意的是,短期保護時效的可接受性是與所有權制度不相容的,因而成為“訪問所有權”模式的一個弱點。③此部分主要參考Herbert Zech,“Data as a Tradeable Commodity,”in Alberto De Franceshi ed.,European Contract Law and the Digital Single Market:The Implicationsof the Digital Revolution.
有觀點認為,數據生產者權利應當被設計成可轉讓的(transferable),否則有悖于數據生產者理論的創設目的,即服務于數據市場的創建,以及數據使用利益的公平和有效率的分配。④See David Loshin,Who Owns Data?DM Review,March 2003,http://knowledge-integrity.com/columns/dmr200303.htm,October 15,2022.在權利流通場合,可以通過合同法規制數據交易,可以根據是否轉移后續權利(future rights to the produced data)采納兩種定價模式。⑤See Herbert Zech,“Data as a Tradeable Commodity,”in Alberto De Franceshi ed.,European Contract Law and the Digital Single Market:The Implicationsof the Digital Revolution,p.76.
(二)數據生產者權的評析
賦予數據生產者對數據的“全面控制”的好處在于⑥See Teresa Scassa,Data Ownership,(2018)CIGI Paper no.187,https://www.cigionline.org/sites/default/files/documents/Paper%20no.187_2.pdf,September 30,2022.:第一、促進信息的生產和披露,尤其是在數據的生產成本較高的情形下。第二、在大數據作為新型財產被交易的場合,財產權制度可以降低交易成本。法律創造清晰的游戲規則,尤其可以通過合同法、競爭法以及知識產權法分配可轉讓的權利來創造無形資產市場。第三、清楚地確定初始權利歸屬。賦予數據生產者權利可以清楚地確定誰享有使用數據的利益。這可以避免為制造商獲得事實上的獨占性而將數據制造得難以讀取從而不利于二次利用。這不僅可以節約生產成本,還可以增加交易的透明性。⑦See Jeffrey Ritter,Anna Mayer,“Regulating Data As Property:A New Construct for Moving Forward,”Duke L.&Tech.Review,March 6,2018,p.239.
不過,賦予數據生產者對數據的“全面控制”的弊端也是很明顯的:設立數據相關的財產權可能抑制數據的自由流動,從而不利于對數據的利用。
數據所有權的制度方案遭到了歐盟學者的普遍批判。馬克斯·普朗克創新與競爭研究所曾就《通訊》發表了具有針對性立場的公告,其以法經濟學的視角,從數據生產的制度激勵出發否定了數據生產者權的立法價值。⑧《馬克斯·普朗克創新與競爭研究所就歐盟委員會“關于構建歐洲數據經濟征求意見書”的立場聲明》,劉維、張嘉瑩譯。就數據生產者權利作為絕對權不足以解決談判力量不平等這一根本問題,認為歐盟委員會忽視了一個很重要的事實:智能產品的制造商已經實際上控制了為生產產品所收集的數據,其完全可以通過技術的方式來避免未經授權的訪問。而且,智能產品的制造商還可以基于事實的技術控制通過許可第三人訪問數據,并向他們收取費用。同時,委員會也忽視了存在不具有超級市場力量的制造商的可能性,譬如,強勢的智能產品的購買方可以通過數據生產者權利限制供應商商品化數據集的能力,并限制第三人訪問這些數據集。①See Josef Drexl,“A Competition-based Response to the‘Ownership and Access’Debate,”in Sebastian Lohsse/Reiner Schulze/Dirk Staudenmayer eds.,Trading Data in the Digital Economy:Legal Conceptsand Tools,p.229.在此脈絡下,匯總于制造商處的通過多個客戶使用智能產品產生的數據所形成的數據集,由于其特別用途,應被視為獨特的產品,在競爭性條款中不可為買受智慧產品的個體購買人(作為數據生產者)所控制的數據集所替代。實踐中,這種聚合數據集往往具有公共利益的屬性。
另外,第三人訪問數據集時,其中可能含有并不是數據生產者所控制的數據。比如,汽車保有人被認為是享有汽車傳感器所產生數據的數據生產者,第三人在訪問規模更大、更有價值的汽車制造商數據時,可能存在侵權風險。數據生產者權利會阻礙自動駕駛系統的建立,因為自動駕駛體系依賴于制造商以及其他數據提供者的共享。②See Josef Drexl,“A Competition-based Response to the‘Ownership and Access’Debate,”in Sebastian Lohsse/Reiner Schulze/Dirk Staudenmayer(eds.),Trading Data in the Digital Economy:Legal Conceptsand Tools,p.230.
(三)數據訪問權是數據流通的基礎性權利模式
由于數據生產者理論存在種種弊端,諸如明確產權歸屬與數據非競爭性特質的沖突、排他性財產權的賦予無法紓解因競爭力量懸殊而導致的市場失靈、數據生產者理論在個人數據保護以及公共利益問題上并未有創新安排、“數據鎖定”效應所導致的數據流動抑制等等問題,學界轉向了數據訪問權制度的構建,以應對實踐中出現的數據訪問需求。③實際上在近年的數據財產權問題研究中,已有學者從數據流通的角度重新認識數據財產規則,其認為將數據財產權規則并不能解釋為普通法上的權利束規則,而應當著重關注其在個人信息內容轉讓的問題,其目標在于流通,而非所有。See Ignacio Cofone,“Beyond Data Ownership,”Cardozo L.Review,no.43,2021,pp.501,504.
所謂數據訪問權,是指在一定條件下賦予對數據訪問具有利益的企業與消費者訪問、使用數據的權利,也即在法律上使數據實際控制者負擔允許他人訪問數據的義務。數據訪問權要求第三人訪問數據必須基于合法利益,比如用戶使用的利益或者企業的創新利益,而且第三人對其訪問數據的使用必須限定在合法利益范圍內,比如農場主對相關數據的訪問和使用,只能是為了經營農場,而不能進行商業化利用。但在權利內容上,可以含有要求制造商賦予第三人直接訪問的權利。
相比于數據生產者理論,數據訪問權對于促進數據流通以及確保利益相關方對數據的使用來說是一種更佳的制度安排。④See Christine Lambrecht,“Special Address of the Federal Minister of Justice and Consumer Protection,”in German Federal Ministry of Justice and Consumer Protection Max Planck Institute for Innovation and Competition eds.,Data Access,Consumer Interestsand Public Welfare,Nomos,2021,pp.7-8.數據訪問權更有針對性,因為數據訪問權是對根本的市場失靈的回應,對下游數據市場中數據的商業化沒有任何阻礙,例如農場主收集所有來自各種產品的數據用于經營農場,而不影響制造商商業化匯集的各個農場主的數據,制造商可以同意從事公共利益事業的第三人(如為了環境保護)訪問數據。
數據治理面臨的最根本的矛盾是,數據開放和共享所帶來的社會效益與個人和組織對這種開放所帶來的風險和合理擔憂之間的緊張關系。這種緊張關系根植于具有顯著經濟價值的數據集的本質屬性之上,數據的非競爭性要求它最大限度地開放和共享以增強生產資本的溢出效應,但數據的部分排他性以及失控的風險則會反過來抑制數據共享。數據經濟學與知識產權有很多共同之處,譬如專利和版權與數據的經濟特性中的非競爭性和非自然排他性以及創新樣態非常相似。知識產權賦予創新者以專有權,用來回報投資和激勵創新,數據生產者理論正是借鑒了知識產權理論的這一方面。知識產權政策與數據政策也須平衡相似的政策目標,壟斷數據許可的定價,可能會增加再生產的邊際成本,從而減少創新,這會對社會造成傷害。知識產權政策通過設置排他限制的方式來降低知識壟斷導致的社會損害后果。⑤See Bertin Martens,“Data Access,Consumer Interests and Social Welfare-An Economic Perspective on Data,”in German Federal Ministry of Justice and Consumer Protection Max Planck Institute for Innovation and Competition eds.,Data Access,Consumer Interestsand Public Welfare,Nomos 2021,pp.99-100.數據生產者理論僅僅回應了數據排他問題,而不能回應數據共享中市場失靈的問題,數據訪問權被提出來作為處理“數據共享”與“風險控制”的替代方案。①See Christian Reimsbach-Kounatze,“Enhancing Access to and Sharing of Data:Striking the Balance Between Openness and Control over Data,”in German Federal Ministry of Justice and Consumer Protection Max Planck Institute for Innovation and Competition eds.,Data Access,Consumer Interestsand Public Welfare,pp.67-68.必須指出的是,從數據經濟學的角度來說,無論是采用數據生產者理論還是采用數據訪問權理論,市場失靈的情況仍然會持續存在,不過,數據訪問權能夠更好地應對市場失靈的情況。
在信息時代,數據訪問對于增進社會福祉來說是必不可少的。經營者收集消費者的個人信息,對其進行分析,并優化自身服務以更好地滿足消費者的個性化需求。對于創新企業來說,它也需要獲取已儲存的數據以更好地為消費者提供信息產品。對于消費者來說,其需要訪問或者授權他人訪問已收集的個人信息,以更加靈活地選擇信息產品。“聚合范圍經濟是數據經濟的命脈,即只有在匯集多個獨立且互補的數據集的情況下,才能從其中獲得更高的價值。”②參見馬斌:《B2B場景下非個人數據共享——以事前監管措施與事后競爭規則為視角》,《科技與法律》2021年第6期。除此之外,數據訪問對于增進公共福祉和公共利益來說也必不可少,譬如在公共衛生和流行病、環境保護和氣候變化、糧食安全和貧困等問題上,及時的數據共享和數據訪問可以減少人身和財產的損失。③譬如英國駕駛員和車輛執照管理局(Driving Vehicle and Licensing Agency)2017年發布的《數據共享策略》報告表明了其在數據共享方面的探索。DVLA將其掌握的數據分為三類:可用于識別個人身份的個人信息、其他敏感的個人信息和車輛信息。See DVLA Data Sharing Strategy,https://www.gov.uk/government/publications/dvla-data-sharing-strategy,August 20,2022.
在一定意義上,數據訪問權理論是用來調整社會福利最大化、數據使用最優化的工具。因此,從經濟角度來看,數據訪問原則上只在市場失靈的情況下適用,以解決其所導致的競爭不充分問題以及抑制創新的問題。相反,立法上應避免采用允許免費利用競爭對手投資或降低創新激勵的數據獲取機制。同時,對于個人數據和商業秘密來說,這些資料可以通過匿名和保密義務的設置來實現訪問。
三、數據訪問權的適用場景及其制度內容
數據訪問權制度指的是第三人訪問他人通過技術而控制數據的制度。從廣義上來理解,個人數據可攜帶權也屬于數據訪問權的一部分。④一般認為可攜帶權(right of data portability)特指個人數據可攜帶權,而企業數據可攜帶權概念(business portability right)則為數據訪問權概念所容納。See Ruth Janal,“Data portability under the GDPR:A blueprint for access rights?”in German Federal Ministry of Justice and Consumer Protection Max Planck Institute for Innovation and Competition eds.,Data Access,Consumer Interestsand Public Welfare,p.319.數據訪問權的討論根植于海量的數據并沒有被充分利用來推動創新和競爭的現狀,其制度的構建擁有明確的政策目標指向,即在平衡對個人信息保護的基礎上,促進公共部門和企業的數據共享和開放,以便利決策的做出。就數據訪問的當前立法與行業實踐而言,主要針對如下三種場景中普遍存在的市場失靈情況進行了相應的調整。⑤場景分類參見Heike Schweitzer and Robert Welker,“A Legal Framework for Cccess to Data-A Competition Policy Perspective,”in German Federal Ministry of Justice and Consumer Protection Max Planck Institute for Innovation and Competition eds.,Data Access,Consumer Interestsand Public Welfare,pp.115-146.
(一)場景一:對共同生成的數據集的個別訪問
關于數據權利分配討論的一個重要部分涉及如下情形,即數據的產生來源于兩方或多方的行為,但為一方所單獨控制,譬如物聯網設備的運轉或者在線服務設置的使用。由于信息不對稱等原因,消費者甚至是企業也無法事先評估其共同生產的數據對售后服務以及未來潛在用途的影響。這就導致無論是B2C情境,還是B2B情境,對共同產生的數據集的訪問被“壟斷”于實際控制數據的一方。
數據訪問權制度可以很好地突破因技術控制與信息不對稱所導致的“數據鎖定”以及“用戶鎖定”問題。現有的大部分數據訪問立法與實踐均是對場景一中市場失靈情況的調整,可以根據訪問對象的不同區分為對個人數據的訪問與非個人數據的訪問。
1.對個人數據的訪問
出于對個人數據的嚴格保護,一旦所收集的數據滿足歐盟《通用數據保護條例(GDPR)》第4條第1款的標準,即數據已被識別或者可被識別為特定自然人①See GDPRArt.41(1).,該數據主體則享有歐盟《通用數據保護條例》第15條所授予的不可放棄的一般性的數據訪問權。②當數據正在被處理時,數據主體有權訪問個人數據并獲取處理目的、所涉數據類型以及披露情況等信息;在可能的情形下,進一步獲悉個人數據將被儲存的預期期限等。See GDPRArt.15.我國《個人信息保護法》第45條第1款、第2款規定了查閱復制權,授予個人享有向信息處理者查閱、復制個人信息的權利。③我國推薦性國家標準《信息安全技術個人信息安全規范》第8.1條將查閱的內容規定為:個人信息控制所持有的個人信息或者個人信息的類型;上述個人信息的來源,所用于的目的;已經獲得上述個人信息的第三人身份或類型。但學界普遍認為該范圍過于狹窄,至少應當參考歐盟GDPR的立法擴展至個人信息的處理方式、處理種類;被處理的全部個人信息;個人信息的保存期限等。參見程嘯:《個人信息保護法的理解與適用》,北京:中國法制出版社,2021年,第339頁。除了直接對數據進行查閱外,歐盟《通用數據保護條例》第20條還規定了一種特別的“訪問”,即個人數據的可攜帶權,并規定了兩種行使方式,即獲取數據副本的權利與數據轉移的權利。前者指的是,在基于同意或者合同的規定自動化地處理數據時,數據主體可以以結構化、通常使用、機器可讀等方式獲取其提供給數據控制者的相關個人數據,并且可以將此類數據無障礙地傳輸給另一個數據控制者;后者指的是,當技術可行時(technically feasible),數據主體可以將個人數據從一個控制者直接傳輸給另一個控制者。歐盟《通用數據保護條例》第20條第3款、第4款進一步明確了數據可攜帶權的權利界限,即數據可攜帶權的行使不得妨礙可刪除權,也不得對他人的權利或自由產生負面影響;在為公共利益而進行的必要處理時,不適用數據可攜帶權規則。
我國也借鑒了歐盟《通用數據保護條例》第20條的規定,在《個人信息保護法》第45條第3款中明確了個人信息可攜帶權,但采用了法律授權的模式,將個人信息可攜帶權的客體范圍與行使方式交由國家網信部門規定。④我國個人信息可攜帶權最早的規范性文件可以追溯至全國信息安全標準化技術委員會組織和歸口管理的國家標準GB/T35273-2017《信息安全技術個人信息安全規范》(2017年12月29日發布)。該標準響應2016年《網安標準化意見》推進急需重點標準制定的要求,為之后的個人信息保護立法奠定了基礎。該《規范》有限地接受了《歐盟通用數據保護條例》第20條規定的數據轉移權,并限于個人基本資料、個人身份信息、個人健康生理信息、個人教育工作信息。參見高富平:《個人信息保護立法研究》,北京:光明日報出版社,2021年,第145頁。在攜號轉網、醫療以及征信領域,我國已有著相對成熟的行業實踐。⑤2019年,工業和信息化部發布了《攜號轉網服務管理規定》(工信部信管〔2019〕242號),要求電信業務經營者應根據蜂窩移動通信用戶的申請,向其提供變更簽約時基礎電信業務經營者而維持號碼不變的服務,可以算是工業界在個人信息可攜帶權層面的成熟實踐。2019年,工業和信息化部發布了《攜號轉網服務管理規定》(工信部信管〔2019〕242號),要求電信業務經營者應根據蜂窩移動通信用戶的申請,向其提供變更簽約時基礎電信業務經營者而維持號碼不變的服務。2018年《國家健康醫療大數據標準、安全和服務管理辦法(試行)》第21條規定責任單位應當依法依規使用健康醫療大數據有關信息,提供安全的信息查詢和復制渠道,確保公民隱私保護和數據安全,為數據訪問提供了法規基礎。征信行業相關規定更為完善,根據《征信業管理條例》第18條規定,向征信機構查詢個人信息的,應當取得信息主體本人的書面同意并約定用途。但是,法律規定可以不經同意查詢的除外。
授予個人數據主體以個人數據訪問權和個人數據可攜帶權并不能解決因信息不對稱、談判力量不對等的市場失靈問題。在一定意義上,個人數據可攜帶權可以被同時評價為“太狹窄”和“太寬泛”。前者指的是個人數據可攜帶權僅僅指向歷史數據,而不包括實時傳輸數據以及數據互操作性的規定,可以說個人數據可攜帶權的確立主要是為了保障消費者切換服務商,而并不指向數據的再利用。后者指的是,個人數據可攜帶權的權利主體是一切數據主體,這項權利不可被放棄,也不考慮數據主體是否處于信息不對稱、談判能力不對等等因素,實際限制了個人數據主體在其數據上的交易自由。
因而,在一些特殊的行業,已存在超越歐盟《通用數據保護條例》的數據訪問權規定。歐盟修訂后的《支付服務指令(PSD2)》中有關賬戶信息服務提供商、支付啟動服務提供商對銀行賬戶數據訪問的規定可以被視作個案典范。該指令要求對賬戶服務提供商(通常指的是銀行)通過API接口向特定服務商開放賬戶的實時訪問權,以便于其向賬戶所有人(消費者)提供遠程支付或者其他賬戶服務:賬戶服務提供商(account servicing payment service provider)須向支付啟動服務提供商(payment initiation service provider)實時提供有關啟動支付交易的所有信息,以及其可訪問的有關執行支付交易的所有信息(《支付服務指令(PSD2)》第66條第4款b項);賬戶服務提供商須向賬戶信息服務提供商(account information service provider)實時提供有關支付賬戶和支付交易的信息(《支付服務指令(PSD2)》第67條第2款)。①See Art.66,67 of the Directive(EU)2015/2366 of the European Parliament and of the Council of 25 November 2015 on Payment Services in the Internal Market,Amending Directives 2002/65/EC,2009/110/EC and 2013/36/EU and Regulation(EU)no.1093/2010,and Repealing Directive 2007/64/EC.因此,《支付服務指令(PSD2)》大大超越了歐盟《通用數據保護條例》第20條規定的個人數據可攜帶權,其不僅通過標準化API接口(針對賬戶信息服務)授予實時數據訪問權,甚至還授權了服務互操作性(針對遠程支付)。《支付服務指令(PSD2)》還規定這種數據訪問權的行使必須獲得賬戶所有人的明確許可。
2.對非個人數據的訪問
對于一些特殊行業中的企業,或者對于一些特殊類型的行業數據,歐盟已形成了一些專門性的企業數據訪問規范和實踐。必須指出的是,在實踐中非個人數據往往與個人數據緊密結合,而對于數據集中的個人數據部分目前仍須參照個人數據保護規則。
對能源領域的智能儀表所收集數據的訪問機制,可被理解為明確針對市場失靈所形成的典型范例。在欠缺個性化服務供給需求的能源行業,囿于相關基礎設施市場的準壟斷屬性,授予對智能儀表數據進行訪問的權利,可以更好地便利消費者。根據《歐盟電力條例(European Electricity Directive)》第55條,為了協助消費者積極參與電力市場,智能計量系統應具有互操作性,并應能夠提供消費者能源管理系統所需的數據。智能儀表系統應當允許消費者能夠接近實時地訪問其消費數據,調整其能源消耗,并在配套基礎設施允許的情況下,為網絡和電力企業提供便利。根據《歐盟電力條例》的規定,被授權訪問的數據應被理解為包括計量和消費數據以及客戶切換、需求響應和其他服務所需的數據(第23條第1款);對消費者訪問數據不得收取額外的費用,但對于其他有資格的主體(部署智能電表系統和配電系統運營商等)來說,各國保留規定訪問數據的費用,只要這項費用是合理、正當的,且不使數據訪問變得困難(第23條第5款);各國應該保證獲取這些數據時透明、互操作性以及非歧視性的標準(第24條)。②See Art.23,24 of The Directive(EU)2019/944 of The European Parliament and of The Council of 5 June 2019 on Common Rules For The Internal Market For Electricity And Amending Directive 2012/27/EU(Recast).消費者可以授權第三方通過標準化通信接口或者遠程訪問的方式接入電力數據和消費數據,以便于其能夠在同類基礎上比較報價(第20條e款)。
(二)場景二:售后市場或補充服務中第三方對數據集的聚合訪問
在場景一中,企業提供有競爭力的補充產品或服務取決于其是否能獲得潛在客戶的使用數據(usage data)的訪問權,不論對象是個人數據或非個人數據,這種對個體層面數據的訪問權往往依賴于客戶的同意。但在一些情況下,企業提供有競爭力的售后或者補充服務不僅需要訪問個體層面的使用數據,而且需要訪問聚合數據集。譬如對于制藥企業來說,在藥物生產和改良過程中,需要對使用該藥物的患者的數據進行分析和研判,而直接獲得每位患者的許可幾乎是不具有操作可能性的途徑,往往只能轉向醫院獲得其治療的患者的數據。場景二還涉及訪問非使用數據的情形,譬如移動平臺向多家航空公司請求實時訪問航班起飛、降落的情況,以便向客戶提供定制服務,例如接送機服務。場景二還涉及互聯網平臺的自我優待(self-preferencing)情形,即平臺利用平臺的市場力量給予自營產品或服務優惠待遇,導致關聯市場競爭的扭曲。③See Heike Schweitzer,Robert Welker,Competition Policy for the Digital Era,https://www.competi-tionpolicyinternational.com/competition-policy-for-the-digital-era/,July 20,2022.譬如淘寶平臺可以通過其所掌握的消費者信息優化其自營平臺,從而取得對自身平臺上的其他零售商的競爭優勢。④參見周圍:《規制平臺封禁行為的反壟斷法分析——基于自我優待的視角》,《法學》2022年第7期。
類似場景一的情形,數據訪問權制度可以很好地突破在場景二中因信息不對稱以及過高的交易成本所導致的“數據壟斷”問題,促使數據市場的良好發展。對于場景二中數據訪問權的授予來說,當前歐盟的法律是十分謹慎的。根據2007年歐盟《機動車維修和保養信息訪問條例》,為了改善內部市場的運作,特別是在貨物的自由流動、設立機構的自由和提供服務的自由方面,獨立服務提供商被授權不受限制地通過可用于檢索技術信息的標準化格式以獲得對汽車制造商所控制的車輛修理和保養信息的訪問,以促進補充市場中汽車制造商的授權經銷商與獨立服務提供商之間的有序競爭。這里很大一部分信息與車載診斷(OBD)系統及其與其他車輛系統的交互有關。汽車制造商應遵循相應的技術規范,并制定有針對性的措施,確保中小企業的合理訪問。①See Art.6 of Regulation(EC)no.715/2007 of the European Parliament and of the Council of 20 June 2007 on Type Approval of Motor Vehicles with Respect to Emissions from Light Passenger and Commercial Vehicles(Euro 5 and Euro 6)and on Access to Vehicle Repair and Maintenance Information.汽車維修和保養相關數據的訪問權授予主要是為了解決因汽車數據被壟斷于制造商由此產生的維修和保養服務壟斷問題。汽車制造商往往以數據訪問或數據共享會產生安全問題為由而拒絕開放數據,但研究證明開放的遠程通信平臺可以消除相應的安全風險。②See Wolfgang Kerber,“From Horizontal and Sectoral Data Access Solutions Towards Data Governance Systems,”in German Federal Ministry of Justice and Consumer Protection Max Planck Institute for Innovation and Competition eds.,Data Access,Consumer Interestsand Public Welfare,pp.453-458.
(三)場景三:為創新目的而進行的數據訪問
在互聯網行業,因先進入市場的大型互聯網企業通過對所積累的用戶信息的掌握、使用和分析,可以在為用戶提供更為貼切的個性化服務的同時擴張自己的產業版圖,數字行業的邊際成本幾乎為零的特性,又使這種先發積累優勢被無限擴大。可以說,當前少數大型科技公司擁有世界上很大一部分數據的事實可能會抑制數據驅動企業的出現與相關創新。顯然,在場景一或場景二中,為特定市場的競爭,大型平臺也可以成為數據訪問權的義務主體。場景三的討論焦點是,為拓展全新市場或不存在競爭關系的市場時,是否有必要授予市場主體以數據訪問權,對此目前尚未得出較為統一的結論。
在訪問的對象是公共數據的情況下,這一問題則已得到了解決。2003年歐盟《公共部門信息指令》第4條規定了“公共部門機構應在可能和適當的情況下,通過電子方式處理再利用(re-use)的請求,并應向申請人提供文件,或在需要許可證的情況下,在與處理查閱文件請求的時限相一致的合理時間內,向申請人提供許可證。”③See Art.4 of the Directive 2003/98/EC of the European Parliament and of the Council of 17 November 2003 on the Re-use of Public Sector Information.更新后的《公共部門信息指令》序言第44條指出,應當鼓勵為私人或商業目的廣泛提供和再利用公共部門信息,并將法律、技術或財政方面的限制降到最低或沒有,同時促進市場經營者和公眾間的信息流通。這些政策可以在增強社會參與方面發揮重要作用,啟動和促進基于新的方式結合和利用這些信息的新服務的發展。④See Directive(EU)2019/1024 of the European Parliament And of the Council of 20 June 2019 on Open Data and the Re-use of Public Sector Information.在公共數據訪問方面,我國也已經形成了大量地方立法以及地方實踐。譬如,北京市交通委官方網站公布了《北京市交通出行數據開放管理辦法(試行)》(以下簡稱《辦法》),將地鐵公交擁擠度、實時路況、停車場泊位數等交通出行數據向社會開放。上海市公共數據開放平臺公開了有關城市建設、民生服務、經濟建設、公共安全、教育科技這5方面的數據,共計2229個數據產品。
四、數據流通實現工具分析
考慮到數據種類和數據訪問場景的廣泛性,可以確定的是對于數據訪問權的實現,不存在統一的答案。對于數據的流通和共享來說,目前的商業實踐中,仍然依賴自由協商或者競爭法的秩序實現。在構建思路上,對于數據流通,有一般訪問權、行業訪問權以及數據治理的思路。為促進數據的利用、個性化服務的實現以及決策的做出,應當構建靈活的數據訪問權體系,使具有合法利益的消費者和具有創新能力的企業能夠獲得對數據的訪問權。
(一)一般訪問權
根據數據訪問權的行使是否跨行業,可以將數據訪問權分為一般訪問權(horizontal data access)以及行業性訪問權(sectoral data acess)兩種,前者指的是普遍性的一般的數據訪問,適用于一般經濟形態而非特殊行業;而后者指的是特定行業范圍內的數據訪問。與企業與消費者間的數據訪問(B2C)主要依仗于個人信息保護法相關強制規則不同,企業間(B2B)的數據訪問一般是通過協商實現的,同時以競爭法理論作為補充。
1.合同法上的一般訪問權
為獲取對數據的訪問,企業可以與實際控制數據的企業協商約定對數據的訪問權利。數據許可協議多為具有市場主導地位的企業事先擬定,其可能會預先設定對數據使用者不公平的條款。基于誠實信用原則,在數據控制企業利用優勢地位制定格式合同情況下,相對方可以以格式合同提供方不合理地免除或者減輕其責任、加重相對方責任、限制相對方權利(《民法典》第497條第2款)為由,主張特定格式條款無效。
2.競爭法上的一般訪問權
在除了通過協商獲取對相關數據的訪問權利之外,我國當前實踐往往通過《反不正當競爭法》或者《反壟斷法》實現企業間的數據強制共享。但是在“數據抓取”行為的正當性判斷標準上,當前司法實踐存在著一些爭議,尚未形成明確而統一的規則。早期在“奇虎訴百度案”中,法院指出百度公司作為相關網站的經營者,雖然原則上可以自由決定是否限制其他競爭者如奇虎公司抓取網絡數據資源,但是,這種限制抓取措施應當具有合理正當的理由,不能逾越公平競爭的限度而采取特定的歧視行為,否則將構成不正當競爭行為。法院認為,百度網訊公司和百度在線公司的robots協議允許國內外其他主流搜索引擎抓取其內容,但未允許360搜索引擎的抓取,則構成“歧視”。①法院審理認為,百度網訊公司、百度在線公司以設置robots協議白名單的方式限制可以抓取其網站網頁的搜索引擎范圍,此種方式不是以網絡信息本身是否適合被搜索引擎抓取作為區分標準,而是將搜索引擎的經營主體作為區分標準。并且,此種區分并未采取相同的標準,對奇虎公司而言,具有針對性和歧視性,不僅損害了奇虎公司的利益,也損害了相關消費者的利益。參見北京市高級人民法院(2017)京民終487號《民事判決書》。但近年來的判決結果顯示,對于網站經營者對其他經營者的數據抓取行為的限制,并未形成絕對化的價值判斷結論,法院往往根據雙方所處的經營領域、經營內容,以及限制行為對雙方、消費者與競爭秩序影響等多種因素進行綜合判斷。譬如,在“字節跳動訴新浪微博不正當競爭糾紛案”中,法院認為在不損害消費者利益、公共利益和競爭秩序的前提下,可以允許robots協議對特定經營者的“歧視”。對搜索引擎場景下的robots協議進行嚴格的限制,其本質是為了便利公眾搜索,對數據進行深層的共享利用,而非簡單地“復制”和“替換”,因而法院認為本案中新浪微博對字節跳動數據抓取行為的限制應被認定為企業行使自主經營權的行為。②就北京微夢創科網絡技術有限公司與北京字節跳動科技有限公司不正當競爭糾紛上訴一案,法院指出,對于網站經營者通過robots協議限制其他網站網絡機器人抓取的行為,不應作為一種互聯網經營模式進行絕對化的合法性判斷,而應結合robots協議設置方與被限制方所處的經營領域和經營內容、被限制的網絡機器人應用場景、robots協議的設置對其他經營者、消費者以及競爭秩序的影響等多種因素進行綜合判斷。參見北京市高級人民法院(2021)京民終281號《民事判決書》。而對于限制經由平臺內用戶授權的數據抓取情形,法院則傾向于做出不同的判斷。在“騰訊訴祺韻侵權糾紛案”中,法院認為,游戲用戶的賬號信息及參與游戲的相關數據,均屬于原始數據,平臺并未投入更多成本進行運營和保護,祺韻公司關聯騰訊公司游戲用戶賬號及個人信息并存儲游戲數據的行為獲得了用戶的授權,且其并未破壞騰訊公司的技術保護措施,也未妨礙騰訊公司對游戲用戶數據的收集和使用或影響游戲的正常運行,因而祺韻公司的行為并不構成不正當競爭。③關于深圳市騰訊計算機系統有限公司訴杭州祺韻網絡技術有限公司等著作權權屬、侵權糾紛、商業賄賂不正當競爭糾紛一案,參見廣州互聯網法院(2020)粵0192民初20405號《民事判決書》。同時,法院還會參照民法上的誠信原則,對經營者的數據抓取行為是否正當進行判斷。譬如在“騰訊訴斯氏不正當競爭糾紛案”中,法院認為被告通過技術手段突破微信公眾平臺的數據防護措施進行數據抓取的行為是對原告提供產品功能或服務的限制和破壞,因此構成不正當競爭行為。④關于深圳市騰訊計算機系統有限公司、騰訊科技(深圳)有限公司與斯氏(杭州)新媒體科技有限公司不正當競爭糾紛一案,參見杭州鐵路運輸法院(2021)浙8601民初309號《民事判決書》。
對于補充市場的縱向競爭,可以引入必要設施原則(essential facility doctrine)強制企業對數據進行共享。根據MCICommc’ns Corp.v.AT&T一案,適用必要設施原則的要件包括:(1)壟斷企業控制著關鍵設施;(2)競爭相對方無法實際地或者合理地復制該設施;(3)壟斷企業拒絕競爭相對方對該設施的使用;(4)壟斷企業提供設施是可行的。除此之外,原告必須證明壟斷企業具有市場力量或支配力量。一般認為,在不具有市場力量或壟斷力量的情形下,市場可以通過競爭解決相關設施的壁壘問題。①See MCICommc’ns Corp.v.Am.Tel.&Tel.Co.,708 F.2d 1081,1132-1133(7th Cir.1983).在數據訪問的場景中,若對于競爭企業來說,獲取某一部分數據集對于其進入市場或者對其進行創新是基本的,而該部分數據集由具有市場支配地位的企業所壟斷,則該數據集必須向競爭企業開放。②See Zachary Abrahamson,“Essential Data,”124 Yale Law Journal,2014,pp.867,870-71.歐盟委員會在2019年發布的《數字時代的競爭政策》指出可以適用必要設施原則解決數據壟斷問題,其開放數據的效果能夠滿足確保數字化市場有效競爭的需求,因此可以成為平衡保護市場投資和促進市場競爭的手段。另參見王健、吳宗澤:《論數據作為反壟斷法中的必要設施》,《法治研究》2021年第2期。另外,當競爭企業要求從占主導地位的公司獲得數據時,該種途徑的不可或缺性是當前競爭法理論所考慮的重要因素。③對不可或缺性的討論可以參見Abbott B.Lipsky,Jr.&J.Gregory Sidak,“Essential Facilities,”Stan.L.Rev.,no.51,1999,pp.1187,1211-1212.
3.歐盟《數據法(草案)》上的一般數據訪問權
為釋放數據驅動潛力,促進數據的再利用,縮小數字鴻溝,歐盟在2022年3月發布的《數據法(草案)》試圖創造一般性的跨部門數據訪問權框架,從而為橫向的數據共享提供激勵。《數據法(草案)》允許聯網設備的用戶訪問由其產生的數據(通常僅由制造商采集),并向第三方分享這些數據,以便提供售后或其他數據驅動的創新服務。④參見司馬航:《歐盟數據財產權的制度選擇和經驗借鑒——以歐盟〈數據法〉草案切入》。
《數據法(草案)》第3條首先明確了數據持有人有向用戶提供因使用產品或相關服務而產生的數據的義務,并且在與使用者簽訂購買、租用或租賃相關產品或服務的合同前,數據持有人必須清晰明確地告知用戶與數據訪問有關的信息。⑤用戶是指擁有、出租或租賃產品以及接受服務的自然人或法人數據持有人是通過控制產品和相關服務的技術設計而有權或者有義務提供數據的自然人或者法人。數據利用的“第三方”是指數據持有者移轉數據的相對方。See Art.2 of Proposal for a Regulation of the European Parliament and of the Council on harmonized Rules on Fair Access to and Use of Data(Data Act).這里的數據持有人通常是產品制造商或服務提供商,但可能是控制數據的大型工業用戶。而用戶包括企業以及為企業提供數據服務的第三方,用戶可以請求數據持有人向第三方提供用戶使用產品或相關服務而產生的數據。《數據法(草案)》第4條規定,用戶對因使用產品或相關服務而產生的數據擁有數據訪問權,且該訪問是免費、連續、實時和電子可行的。這里的數據可以是原始數據,也可以是衍生數據。《數據法(草案)》第5條規定,應用戶的請求數據持有者應向第三方免費、連續、實時提供與其可獲得數據質量相同的數據。也就是說,數據持有人應不拖延地、免費地、持續地、實時地允許用戶訪問數據。
就B2B的情形,《數據法(草案)》第8條和第9條的規定延續了合同法的機制,數據持有者與數據接收者對提供數據的條款可進行協商,任何報酬均被認為是合理的。《數據法(草案)》第9條以及第13條對小微企業作為數據接收方提供了特殊保護:當數據接收者是小微企業時,提供數據所須支付的補償不得超過直接相關成本;若有關獲取和使用數據的違反或終止數據相關義務的責任和補救措施的合同條款被認為是不公平的,則該條款對小微企業不生效。
就企業間的競爭而言,《數據法(草案)》第4條還規定了禁止企業濫用數據共享合同的規則,比如,用戶不得利用所獲取的數據開發和數據持有者具有競爭關系的產品和服務。
4.一般訪問權路徑評析
對于一般訪問權來說,不論是采取合同機制、競爭法機制抑或是歐盟《數據法(草案)》機制,均存在著明顯的弊端。就合同法上的一般訪問權來說,由于信息不對稱等原因,數據持有者與數據接收者之間談判力量差距懸殊,交易的達成往往取決于數據接收者的讓步⑥因為數據與信息之間的緊密關系,數據交易中的信息不對稱的情況不能簡單地通過強制信息披露義務來補救。See Axel Metzger,“Access to and Porting of Data under Contract Law:Consumer Protection Rules and Market-based Principles,”in German Federal Ministry of Justice and Consumer Protection Max Planck Institute for Innovation and Competition eds.,Data Access,Consumer Interestsand Public Welfare,pp.308-309.,若數據接收者為消費者或者小微企業,則其實際上可能很難通過自由協商從數據持有者那里獲得數據。
歐盟《數據法(草案)》在合同法的基礎上,進一步明確了數據持有者提供數據的義務,并要求向用戶實時、連續、免費地提供數據,對消費者、小微企業獲取數據提供了保護。但是該方案也有局限性,比如訪問的請求必須由用戶提起,且可訪問的數據量有限(僅限于與用戶使用相關的數據)①馬克斯·普朗克創新與競爭研究所對歐盟《數據法(草案)》的評議觀點即指出,該草案采取了行為標準的定義方式,過度限制了用戶可訪問的數據范圍。,同時也未明確除數據接收方為用戶情形外數據訪問權授予的一般標準②根據歐盟《數據法(草案)》,數據持有者提供數據時必須遵循公平、合理和非歧視的條件(第8條第1款),向第三方提供數據時可以收取一定的補償(第9條第1款),但該草案并未明確第三方的資質,以及收費標準等實施條件。See Art.8,9 of Proposal for a Regulation of the European Parliament and of the Council on Harmonized Rules on Fair access to and Use of Data(Data Act).,在適用中仍然需要就特定經濟與技術背景進行分析。
就競爭法上的一般訪問權而言,因為數據交易、數據壟斷等樣態本身仍在持續發展中(尤其是在平臺經濟的場景中),所以必要設施原則、利用市場力量(Leveraging Market Power)、自我優待(Self-Preferencing)理論的適用有一定的難度。③See Competition Policy for the Digital Era,pp.65-72,https://ec.europa.eu/competition/publications/reports/kd0419345enn.pdf,October 20,2022.競爭法規制還存在著事后監管、個案評判、耗費時間和精力的問題,無法滿足數據訪問的及時性要求。
授予數據訪問權的標準往往取決于特定經濟與技術背景,涉及復雜的利益衡量,因而通過一套穩定不變的權利規則來完成數據訪問權制度的構建是很困難的,尤其在是否收費問題上,不同的行業和主體存在著較大的區別。訪問權行使的復雜性與高度技術性也與一般訪問權的路徑并不匹配,譬如對數據傳輸如何實現、是否支持數據抓取、是否須以特定格式提供、是否須以特定技術接口提供、是否需要滿足數據互操作性、如何保證數據安全等等問題的回答,很難獨立于行業和個案的因素。④See Wolfgang Kerber,“From(horizontal and sectoral)Data Access Solutions Towards Data Governance Systems,”in German Federal Ministry of Justice and Consumer Protection Max Planck Institute for Innovation and Competition eds.,Data Access,Consumer Interestsand Public Welfare,p.457.
(二)行業性訪問權
除一般訪問權外,數據訪問權的另一種實現工具是行業訪問權,其試圖以精準的方式為特定行業解決訪問權或者數據共享問題。與一般訪問權不同,在行業性的強制性B2B數據共享場景中,數據與用戶本人或其使用的產品服務并不必然相關,即在特定行業領域內,申請者在數據生成過程中并不必然作出貢獻,也并不要求申請者與數據集有人格權益牽連,但其仍然有權直接請求訪問一定規模的數據集。這種設權正當性主要來自于經濟學上的考量,數據訪問的社會總福利大于數據控制者的私人利益和開放成本。
1.行業訪問權范例
根據歐盟《機動車維修和保養信息訪問條例》,汽車制造商有義務向獨立服務提供商提供不受限制、非歧視和標準化的車輛維修和保養信息訪問權限,以促進補充市場中汽車制造商的授權經銷商與獨立服務提供商之間的有序競爭。⑤See Art.6 of Regulation(EC)no.715/2007 of the European Parliament and of the Council of 20 June 2007 on Type Approval of Motor Vehicles with respect to Emissions from Light Passenger and Commercial Vehicles(Euro 5 and Euro 6)and on Access to Vehicle Repair and Maintenance Information.顯然在這一領域,歐盟立法認為保證獨立服務提供商對車輛維修和保養信息的訪問所能產生的社會總福祉要高于汽車制造商對數據集的單獨占有所產生的私人利益和開放成本。
2.行業訪問權路徑評析
行業訪問權路徑的優勢在于,其規則是根據特定的經濟形態以及行業技術特點設計的,很好地平衡了不同主體間的利益。相較于一般訪問權來說,行業訪問權路徑允許體系中不同類別利益相關者的差別對待,比如針對傳統銀行、新的創新金融服務以及消費者進行不同的利益衡量,有針對性地規定訪問權主體范圍、訪問權客體范圍、訪問權行使費用以及訪問權救濟等等問題。而且可以更好地決定在數據共享中采取何種技術以及隱私保護措施,以保證數據安全。行業訪問權路徑下,數據集的開放標準規則精確、清晰,便于數據訪問權的事前行使。同時,行業訪問權通常伴隨著行政監管,監管機構可以靈活地實施特定行業規則,也可以隨著時間推移而改變規則。①See Wolfgang Kerber,“From(horizontal and sectoral)Data Access Solutions Towards Data Governance Systems,”in German Federal Ministry of Justice and Consumer Protection Max Planck Institute for Innovation and Competition eds.,Data Access,Consumer Interestsand Public Welfare,p.457.
行業訪問權路徑的弊端在于,因為數據共享和開放的相關問題非常復雜,對特定行業內的參與者進行利益平衡需要專業的技術知識支撐,但規則制定者可能未必具備充分的知識儲備,同時監管部門對規則的執行是否有效也未可知。同時,監管俘獲(regulatory capture)問題也可能導致規則制定偏離促進競爭與創新的政策目標,這是因為數據訪問權的授予可能導致巨額數據控制利益的喪失,特定行業中的利益相關人員、巨頭企業很可能為保護既得的數據控制利益而極力影響規則制定者。②See George J.Stigler,“The Theory of Economic Regulation,”Bell Journal of Economicsand Management,no.2,1971,p.3.行業訪問權路徑的一大優勢在于其是針對特別行業的、具有事前規制效果的數據訪問權規則,但數據共享相關技術本身即處于高速發展的過程中,行業訪問權規則的創新或許未必能夠適應特定行業的經濟與技術變化。相較于一般訪問權,行業訪問權路徑的發展和完善的立法和監管成本較高,這就表明了該路徑并不能擴展至所有行業,仍然需要一般訪問權進行托底。③See Wolfgang Kerber,“From(horizontal and sectoral)Data Access Solutions Towards Data Governance Systems,”in German Federal Ministry of Justice and Consumer Protection Max Planck Institute for Innovation and Competition eds.,Data Access,Consumer Interestsand Public Welfare,p.458.
(三)從數據訪問權到數據治理
由上可知,不管是一般訪問權路徑或是行業訪問權路徑,都存在著各自的弊端。如果僅僅從數據持有者和數據接收者的雙邊關系中理解數據訪問權理論,或許并不能很好地對數據訪問權制度的意義和價值進行研判。這是因為不論在一般訪問權抑或是行業訪問權的討論中,均有必要分析整個部門(數據生態系統)的運作,以了解數據壟斷對大量不同市場可能造成的影響,以及不同數據治理解決方案中的收益和成本問題,其中必然包含著對競爭和創新的分析和理解。同時,對數據訪問權的討論幾乎總是隱含地假設某主體對某組數據的實際控制是合法的,然后在此基礎上進一步探討賦予其他主體訪問權的問題。但是,就經濟學的角度來說,或許首先應該拷問一下這些數據的實際控制權(即權利的初始分配)的正當性。同時,于一些特定行業來說,數據訪問權的構建已經超越了使用的范疇,例如線上銀行賬戶所有人無需銀行允許,就可以授權支付服務提供商進行支付,在這一支付過程中是完全排除銀行許可的,即使銀行擁有對其賬戶數據的實際控制。由于數據訪問權也并沒有解決數據使用費用等準入問題,這些問題必須站在更宏觀的角度進行處理。此外還可以發現,為達到促進數據訪問的效果,法律不得不深入技術規則的層面,以保證數據訪問的真正實現。譬如就遠程支付服務指令的實現,不能僅僅要求銀行開放數據,而且需要其提供可靠的技術接口(API)以實現互操作性,類似的標準化技術接口的強制問題在數據訪問領域普遍存在。④See Wolfgang Kerber,“From(horizontal and sectoral)Data Access Solutions Towards Data Governance Systems,”in German Federal Ministry of Justice and Consumer Protection Max Planck Institute for Innovation and Competition eds.,Data Access,Consumer Interestsand Public Welfare,pp.460-463.
要解決數據流通問題,絕不可能通過數據訪問、數據權屬、數據保護或者數據交易規則的安排而單獨實現,而必須站在數據治理的高度,對數據流通問題進行整體把握。數據治理指的是一套使用數據的規則和方式,包括收集、處理、分析、儲存、共享和出售數據的規則。⑤See Wolfgang Kerber and Severin Frank,Data Governance Regimes in the Digital Economy:The Example of Connected Cars(2017),https://ssrn.com/abstract=3064794,August 31,2022.數據治理的核心問題是數據決策,即如何將數據使用產生的價值能夠輻射到的個人、組織和團體納入對數據的決策中,使其得以分享數據價值增值或使其利益得到保護是數據治理所需要考慮的問題。歐盟2022年頒布的《數據治理法》提出了三種促進數據在歐盟的流動和利用的方案,包括公共數據的再利用、數據有償共享以及數據無償共享。①See Regulation(EU)2022/868 of the European Parliament and of the Council of 30 May 2022 on European Data Governance and Amending Regulation(EU)2018/1724(Data Governance Act).這三種方案對數據訪問權規則的具體勾勒提供了政策上的指引。
除此之外,數據訪問權的實現還取決于多種配套技術和制度安排,如標準制定的機構和程序、數據交易平臺、數據中介等制度的落實。數據流動過程中,存在大致四個方面的問題,致使其流通的交易成本增加:缺少分享數據的動力;存在商業、道德、法律和監管等方面的風險;缺乏數據可用或價值相關的信息;數據訪問或分享的成本過高。②參見李振華、王同益:《數據中介的多元模式探析》,《大數據》2022年第4期。可以說,數據流通中的障礙是多維的,主要矛盾往往依場景、數據類型、機構間信任關系等因素而有別,數據訪問權規則只解決了法律和監管方面的部分風險問題,但是對于其他問題,仍然依賴于相關規則和組織的完善來解決。
五、結論
物聯網經濟下,制造商可能壟斷數據,阻礙市場競爭與創新,也可能妨礙用戶對數據的使用利益。為了防止這些問題的發生,數據訪問權是一種適合的制度工具。但數據訪問權的絕對化即數據生產者權利并不可取,應賦予有創新能力的企業以及消費者靈活的數據訪問權,使數據訪問權不僅有利于競爭與創新,而且具有保護消費者權益與增進社會福利的作用。享有數據訪問權者為機器的使用者以及具有合法利益的消費者,其數據訪問權的行使不應影響數據制造商匯集機器產生的數據集。對于數據享有訪問權者,必須享有合法利益,而且必須將數據的使用限定在合法目的范圍內。在數據使用權的實現工具上,一般性數據訪問權與行業性數據訪問權各有利弊,而且不能解決所有數據訪問的問題,所以,應從數據治理的整體視角構建數據訪問法律制度。
