企業數據權益論
2024-04-29 00:00:00程嘯
中國海商法研究 2024年1期
摘要:企業對其生產和處理的數據享有的利益應受法律保護,然而現行的物權法、合同法、知識產權法和反不正當競爭法等民事法律制度都不足以實現對企業數據的全面保護,故應當確立企業對其數據享有一種獨立的、新型的財產權,即企業數據權益。企業數據權益的確權應當采取單一路徑,不應區分數據、數據資源和數據產品或數據的生產與流通而分別確權。企業對其數據享有的權益具有排他效力,但是該排他性受制于數據上其他參與方的權益,即個人信息權益及數據來源者權利。數據資源持有權、數據加工使用權和數據產品經營權并非是企業數據權益的內容,企業對其數據享有的權益的內容仍應從占有、使用、收益和處分等方面加以界定。
關鍵詞:數據產權;企業數據權益;個人數據;數據來源者權利;《數據二十條》
中圖分類號:D922.16" 文獻標志碼:A
一、問題的提出
企業既是數據的生產者也是處理者。企業數據來源廣泛、類型眾多,其中,既有企業自己生產的數據,也有收集自用戶的數據;既包括個人數據,也包括非個人數據;既有公開的數據,也有非公開的數據。企業對于其生產與處理的數據享有何種民事權益是中國數據產權制度體系的核心,也是當下理論界與實務界討論最為熱烈的問題。目前,除少數觀點外,多數說和主流觀點贊同數據確權,尤其是要保護企業對其數據的合法權益。《中共中央、國務院關于構建數據基礎制度更好發揮數據要素作用的意見》(簡稱《數據二十條》)已經明確提出,要“推動建立企業數據確權授權機制”,對各類市場主體在生產經營活動中采集加工的不涉及個人信息和公共利益的數據,市場主體享有依法依規持有、使用、獲取收益的權益。圍繞著企業數據的確權,有以下問題需要深入研究:中國現行法律制度所確認的企業對數據的權益是否已經勝任對企業數據的保護,無需再為企業確立對數據的新型財產權益?如果要確立新型的企業數據權益,應當采取何種確權路徑?企業的數據權益具有何種法律效力與哪些具體的權利內容?只有解決這些問題,才有可能在民事權利的層面上真正確立企業的數據權益。筆者將對這些問題加以討論,以供理論界與實務界參考。
二、現行法對企業數據的保護與不足
在認可企業對于其生產和處理的數據享有應受法律保護的利益之后,民事權利層面的思維過程應當是:首先看該利益是否能夠為現行的民事權利所涵蓋并得到保護。如果可以,則無需疊床架屋地創設新型的企業數據權益。參見程嘯:《侵權責任法》(第3版),法律出版社2021年版,第149頁。《中華人民共和國民法典》(簡稱《民法典》)是中國民事法律領域的基礎性法律,該法第一編“總則”第五章“民事權利”構建了中國法上的民事權利體系,具體包括七大類權利:人格權、身份權、物權、債權、知識產權、繼承權、股權和其他投資性權利等。在這些權利中,有可能用來涵蓋并保護企業對數據的利益的民事權利主要有物權、債權及知識產權。此外,反不正當競爭法最為經常地被用來保護企業對其數據享有的合法財產利益。下面分別加以論述。
(一)物權法對企業數據的保護
物權是權利人依法對特定的物享有直接支配和排他的權利,包括所有權、用益物權和擔保物權。作為物權的客體的物原則上就是有體物,包括動產和不動產,權利作為物權客體應以法律有規定為前提(《民法典》第115條)。數據既非有體物,也非權利,而是屬于無體物,因此數據并非中國法上的物權的客體。不過,當數據被存儲在電腦的硬盤或移動硬盤、U盤等作為有體物的動產當中時,這些動產作為數據載體(Datentraeger)是可以受到物權的保護的。權利人對數據載體的所有權等物權在某種程度上也可以保護存儲于其中的數據。然而,傳統物權法的立法者本身也并沒有“考慮到復制物的結構的廣泛的技術可能性,特別是復制存儲在數據載體上的數據的副本”,Herbert Zech,Daten als Wirtschaftsgut-berlegungen zu einem Recht des Datenerzeugers“,Computer und Recht,Vol.31:137,p.141(2015).因此,所有權的全部權能僅針對有體物而展開,對于硬盤或U盤享有所有權并不等于對于存儲其中的數據也享有所有權。因此,如果他人通過竊取、搶奪等方式得到了硬盤或U盤,繼而讀取、復制了硬盤中的數據,只是構成對硬盤或U盤的所有權的侵害,所有權人僅能請求無權占有人返還硬盤或U盤或承擔損壞這些動產的侵權賠償責任,所有權人既無法就行為人讀取、復制數據的行為請求其承擔侵權責任,也不能基于“數據的所有權”而要求行為人刪除數據或禁止行為人讀取、復制、使用或公開數據。Lothar Determann,No One Owns Data,UC Law Journal,Vol.70:1,p.14(2018).由此可見,傳統的物權制度為數據提供的保護非常少。
(二)合同法對企業數據的保護
債權就是權利人請求特定義務人為或者不為一定行為的權利,其發生原因包括合同、侵權行為、無因管理、不當得利以及法律的其他規定(《民法典》第118條第2款)。在特定的當事人之間,企業對其數據的合法利益可以通過合同債權獲得一定程度的保護。這常常發生在數據分享與數據交易的時候。參見梅夏英:《企業數據權益原論:從財產到控制》,載《中外法學》2021年第5期,第1204頁。企業進行數據分享的典型情形之一就是開放應用編程接口。網站的服務商將自己的網站服務封裝成一系列應用編程接口開放出去,供第三方開發者使用,這種行為稱作開放網站的應用編程接口。開放應用編程接口通過《開發者協議》來約定雙方的權利義務,因此,如果一方違反該協議如超越權限獲取數據,另一方就可以追究其違約責任。參見“北京淘友天下技術有限公司等與北京微夢創科網絡技術有限公司不正當競爭糾紛上訴案”,北京知識產權法院(2016)京73民終588號民事判決書。在數據交易的場合,提供數據方與接受數據方會就數據的獲取和使用作出明確的約定,例如,在一個案件中,原告與被告簽訂證券信息合同約定,原告向被告提供上海證券交易所的證券信息及實時股票行情。該合同還約定,未經原告書面許可,被告不得對上海證券交易所的證券信息進行永久儲存或使用。被告違反合同的約定,利用原告提供的數據與新加坡交易所共同開發上市了中國A50指數期貨。法院判決認為,被告的行為屬于違約行為,應當承擔違約責任。參見“上證所信息網絡有限公司訴新華富時指數有限公司證券信息合同糾紛案”,上海市浦東新區人民法院(2006)浦民二(商)初字第2963號民事判決書。由于合同債權屬于相對權,它只是在特定當事人之間形成的債權債務關系,因此,擁有數據的企業只能向那些與其存在合同關系的行為人追究違約責任,至于與該企業沒有合同關系的行為人,企業無法通過合同債權來保護其針對數據的利益。
(三)知識產權法對企業數據的保護
知識產權是人們依法對自己的特定智力成果、商譽和其他特定相關客體等享有的權利。參見王遷:《知識產權法教程》(第5版),中國人民大學出版社2016年版,第3頁。《民法典》
第123條第2款規定:“知識產權是權利人依法就下列客體享有的專有的權利:(一)作品;(二)發明、實用新型、外觀設計;(三)商標;(四)地理標志;(五)商業秘密;(六)集成電路布圖設計;(七)植物新品種;(八)法律規定的其他客體。”在各類知識產權中,商標權基本上與數據保護無關。專利權也難以用來保護企業的數據。這是因為,雖然對于數據的使用、存儲或應用的程序、技術方案等可以獲得專利,但基礎的數據本身不能獲得專利保護,新穎性、創造性等專利權的授權要件將企業數據基本上排除在外。能夠用來保護企業數據的知識產權主要就是著作權和商業秘密權。參見徐實:《企業數據保護的知識產權路徑及其突破》,載《東方法學》2018年第5期,第55頁;馮曉青:《知識產權視野下商業數據保護研究》,載《比較法研究》2022年第5期,第31頁。
1.著作權
當企業將其數據按照一定的方式進行編排,使得任何一個有權訪問該數據集合的人都能夠檢索到該數據集合中的一條或多條數據,那么該數據集合就形成了數據庫。《中華人民共和國著作權法》(簡稱《著作權法》)第15條規定:“匯編若干作品、作品的片段或者不構成作品的數據或者其他材料,對其內容的選擇或者編排體現獨創性的作品,為匯編作品,其著作權由匯編人享有,但行使著作權時,不得侵犯原作品的著作權。”這就是說,如果數據庫中所存儲的數據本身是有著作權的作品,可以作為匯編作品加以保護;即便數據庫中存儲的數據本身是沒有著作權的作品(如法律數據庫中的法律),但倘若數據庫的匯編體現了匯編人的創造性勞動即對內容選擇和編排上的獨創性,那么,該數據庫也屬于匯編作品,可以得到著作權的保護。參見黃薇、王雷鳴主編:《中華人民共和國著作權法導讀與釋義》,中國民主法制出版社2021年版,第113頁。相關案例參見“科睿唯安信息服務(北京)有限公司與上海梅斯醫藥科技有限公司侵害作品信息網絡傳播權及不正當競爭糾紛案”,上海知識產權法院(2020)滬73民終531號民事判決書;“北京中易中標電子信息技術有限公司等與微軟公司(Microsoft Corporation)侵害著作權糾紛上訴案”,北京市高級人民法院(2010)高民終字第772號民事判決書。然而,很多情況下企業的數據是在沒有任何智力活動和創造性活動的情況下生成的,甚至存在未經智力創造、未經記錄過程而生成數據的情況(最典型的例子就是比特幣)。Herbert Zech,Daten als Wirtschaftsgut-berlegungen zu einem Recht des Datenerzeugers“,Computer und Recht,Vol.31:137,p.138(2015).著作權對于獨創性的要求雖然不高,但也足以導致這些數據無法受到著作權的保護。尤其要注意的是,在大數據與人工智能技術高速發展的數字經濟時代,數據價值以大規模匯聚為前提,數據越多越好,特別是對于機器學習而言,數據規模的增加使得算法可以學會處理越來越復雜的問題。以匯編作品著作權的方法保護企業的數據勢必陷入數據價值和著作權保護的矛盾境地,即數據收集的越多、價值越大,則數據庫的排列和選擇上的獨創性就越小,越難以得到著作權的保護。況且,即便是經過加工處理的衍生數據也往往并非都能達到構成匯編作品的程度,無法得到著作權的保護。
2.商業秘密權
商業秘密,是指不為公眾所知悉、具有商業價值并經權利人采取相應保密措施的技術信息、經營信息等商業信息[(《中華人民共和國反不正當競爭法》(簡稱《反不正當競爭法》)第9條第4款)]。權利人依法對商業秘密享有專有權。就企業的數據而言,其中的一些非公開數據往往屬于具有商業價值的技術信息、經營信息等商業信息,如果符合商業秘密的構成要件,自然可以受到商業秘密權的保護。參見“周某民與浙江省衢州萬聯網絡技術有限公司侵害商業秘密糾紛上訴案”,上海市高級人民法院(2011)滬高民三知終字第100號民事判決書。然而,企業的公開數據以及非公開數據中不具有商業價值的數據及不屬于技術信息、商業信息的數據,則無法獲得商業秘密權的保護。此外,由于商業秘密權以數據具有秘密性且采取了保密措施為要件,企業必須盡量采取各種措施實現對信息的獨占和壟斷,這也在客觀上使得這些數據無法被投入流通和利用。因此,以商業秘密權保護企業數據的弊端不僅在于保護的范圍很小,而且也與數據保護法
關于數據的流通和利用的立法的目的存在明顯的沖突。參見浙江省高級人民法院聯合課題組:《關于企業數據權益知識產權保護的調研報告》,載《人民司法》2022年第13期,第7頁。
(四)反不正當競爭法對企業數據的保護
企業對其非公開數據往往采取相應的技術措施加以保護,行為人想獲取企業的非公開數據往往要采取侵入網絡、計算機信息系統等手段,這些行為本身就構成違法甚至犯罪。《中華人民共和國網絡安全法》
第27條、《中華人民共和國數據安全法》第32條第1款與第51條明確規定,任何個人和組織收集數據,應當采取合法、正當的方式,不得竊取或者以其他非法方式獲取數據。不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動。對于竊取或者以其他非法方式獲取數據,開展數據處理活動排除、限制競爭,或者損害個人、組織合法權益的,要依照有關法律、行政法規的規定加以處罰。《中華人民共和國刑法》(簡稱《刑法》)第285條第1條至第3條、第286條還規定了非法侵入計算機信息系統罪,非法獲取計算機信息系統數據罪等犯罪類型。參見江溯主編:《網絡刑法原理》,北京大學出版社2022年版,第131-151頁。此外,如果非法竊取的企業數據中包含公民的個人信息,還可能構成《刑法》第253條之一規定的“侵犯公民個人信息罪”。因此,在實踐中侵害企業數據的侵權行為往往表現為同為經營者的被告企業采取爬蟲技術等方法獲取原告企業的公開數據,并將之用于經營的目的。
針對這種侵害企業的公開數據的侵權行為,由于前述物權、債權、著作權以及商業秘密權等民事權利無法加以保護,而《反不正競爭法》第2條第2款對不正當競爭行為的界定似乎又提供了一個用來保護現行民事權益無法涵蓋的合法經濟利益的一般條款,因此原告企業往往以“網絡不正當競爭糾紛”為由向法院起訴被告企業。比較典型的案例如,“北京百度網訊科技有限公司等與北京奇虎科技有限公司不正當競爭糾紛案”,北京市高級人民法院(2017)京民終487號民事判決書;“北京淘友天下技術有限公司等與北京微夢創科網絡技術有限公司不正當競爭糾紛上訴案”,北京知識產權法院(2016)京73民終588號民事判決書;“北京百度網訊科技有限公司與上海漢濤信息咨詢有限公司不正當競爭糾紛上訴案”,上海知識產權法院(2016)滬73民終242號民事判決書;“深圳市谷米科技有限公司與武漢元光科技有限公司等不正當競爭糾紛案”,廣東省深圳市中級人民法院(2017)粵03民初822號民事判決書;“安徽美景信息科技有限公司與淘寶(中國)軟件有限公司不正當競爭糾紛案”,浙江省杭州市中級人民法院(2018)浙01民終7312號民事判決書。這些案件基本上具有以下共同的特點:首先,法院通過考察案涉數據是否為原告合法取得、原告對于案涉數據的處理是否付出了成本以及案涉數據是否具有經濟價值,來決定原告對其數據是否享有受保護的合法權益。參見“安徽美景信息科技有限公司與淘寶(中國)軟件有限公司不正當競爭糾紛案”,浙江省杭州市中級人民法院(2018)浙01民終7312號民事判決書。其次,現行《民法典》《反不正當競爭法》都沒有直接對企業數據的保護作出規定,法院基本上都是依據《反不正當競爭法》第2條,將那些違反商業道德的被告企業獲取和使用原告企業數據的具有不正當性的行為,認定為不正當競爭行為,進而要求被告承擔侵權責任。當然,法院在做這種認定時會考慮到網絡信息產業和互聯網環境的特點,數據獲取者、使用者和公共利益等多方利益的協調等因素。參見“北京百度網訊科技有限公司與上海漢濤信息咨詢有限公司不正當競爭糾紛上訴案”,上海知識產權法院(2016)滬73民終242號民事判決書。
借助《反不正當競爭法》第2條,企業對公開數據的合法利益在一定程度上得到了保護,但是,誠如學者所言,此種保護仍有很大的不足。例如,有的學者認為,反不正當競爭法提供的保護主要是公法保護,沒有提供對數據的私法保護,參見王利明:《論數據的民法保護》,載《數字法治》2023年第1期,第50-51頁。不僅如此,反不正當競爭法的立法目的在于維護競爭秩序,并非確認民事權益,無法從正面規定數據權利的內容、數據權利的限制以及數據許可使用、數據轉讓等規則。參見王利明:《數據何以確權》,載《法學研究》2023年第4期,第62頁。還有的學者認為,《反不正當競爭法》第2條作為一般條款過于原則、抽象,尤其是實踐中以商業道德作為認定競爭行為的正當與否具有很大的抽象性與不確定性,因為道德判斷本質上是一種價值判斷,這使得法官在認定時的自由裁量權很大,甚至會阻礙可能存在的積極的數據利用行為,不當地影響市場上的競爭秩序。參見李生龍:《互聯網領域公認商業道德研究》,載《法律適用》2015年第9期,第57頁;
謝蘭芳、黃細江:《互聯網不正當競爭行為的認定理念》,載《知識產權》2018年第5期,第15頁;
李兆陽:《〈反不正當競爭法〉視角下對數據抓取行為規制的反思與修正》,載《暨南學報(哲學社會科學版)》2021年第6期,第65頁。
筆者贊同上述觀點。反不正當競爭法為企業數據提供的只是一種消極的、被動的、個案認定式的保護。也就是說,只有在企業的數據被同為經營者的其他企業所侵害時,通過提起訴訟,才能由法院在個案中決定是否提供救濟。中國是成文法國家,此種個案保護的方式無法明確企業對其數據享有何種權益,企業既不能基于對數據的權益而享有預防性請求權,如停止侵害、排除妨礙、消除危險等請求權,也無法通過行政機關查處等方法來獲得更豐富更快捷的公法救濟。此外,因個案式保護未能明確企業對其數據享有的權益,企業自然也無法通過市場化方式配置數據資產并建立相應的數據價值分配機制,更不可能將數據資產轉化為數據資本(如進行融資擔保)等。
(五)小結
綜上所述,物權法、合同法、知識產權法和反不正當競爭法雖然可以或多或少地為企業對其數據的利益提供保護,但都有各自的弊端,這也使人們迫切希望能夠超越現行的分散式民事法律制度的保護,建立一種新型的企業數據權益,從而使得企業對其數據的合法利益得到更為全方位、綜合性的保護和利用。
三、作為新型財產權的企業數據權益
要建立新型、獨立的企業數據權益,首先要明確企業對其數據享有的此種新型、獨立的民事權益的性質究竟是什么。對此,理論界眾說紛紜,存在所有權說、知識產權說、生產者權說、用益權說、新型財產權說等各種觀點。其中,數據所有權說認為,數據完全可以被視為如同貨物和動產那樣為人所擁有的“物”,在數據上可以產生數據所有權,因此企業對其數據的權益就是所有權,即企業數據所有權,該權利既具有積極的權能(如訪問權、使用權和許可權),也具有消極的權能(如停止侵害、排除妨害、消除危險)等。參見王融:《關于大數據交易核心法律問題——數據所有權的探討》,載《大數據》2015年第2期,第49-55頁;紀海龍:《數據的私法定位與保護》,載《法學研究》2018年第6期。國外學者也有持數據所有權說的,參見Andreas Boerding amp; Nicolai Culik,et al.,Data Ownership—A Property Rights Approach from a European Perspective,Journal of Civil Law Studies,Vol.11:323,p.369(2018). 數據用益權說認為,自然人對其個人數據享有所有權,而企業作為數據的處理者則享有來源于數據所有權的數據用益權,企業據此可以對數據進行處理、控制、研發、許可乃至轉讓。參見申衛星:《論數據用益權》,載《中國社會科學》2020年第11期,第110頁。數據知識產權說認為,大數據集合中的絕大部分可以通過知識產權加以保護,如數據庫作品可以通過著作權保護、大數據中的商業秘密由反不正當競爭法保護,至于那些空白的區域如處于公開狀態的非獨創性大規模數據集合的保護,可以通過確立企業數據的有限排他權,即大致包含著作權法上的發行權、廣播權、信息網絡傳播權等權利加以解決。參見崔國斌:《大數據有限排他權的基礎理論》,載《法學研究》2019年第5期,第3頁;孔祥俊:《商業數據權:數字時代的新型工業產權——工業產權的歸入與權屬界定三原則》,載《比較法研究》2022年第1期,第83頁。
《數據二十條》提出了“數據產權”的概念,并且聚焦數據在采集、收集、加工使用、交易、應用全過程中各參與方的權利,要“建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制”。據此,又有觀點認為,企業的數據權益包含了數據資源持有權、數據加工使用權和數據產品經營權,它們是相互分離、彼此獨立的關系。參見許可:《從權利束邁向權利塊:數據三權分置的反思與重構》,載《中國法律評論》2023年第2期,第23頁。對于這三種權利的具體內容,應當根據不同的數據客體逐一分析不同場景中的利益分配格局為企業的數據持有權確定不同級別的排他支配效力。參見孫瑩:《企業數據確權與授權機制研究》,載《比較法研究》2023年第3期,第62-67頁。還有觀點認為,可以將其數據資源持有權、數據加工使用權以及數據產品經營權統稱為“數據持有者權”,數據持有者權是基于占有數據的事實而產生的,是數據價值鏈條上的每個主體都享有的權利,是一種普遍的權利。參見高富平:《論數據持有者權
構建數據流通利用秩序的新范式》,載《中外法學》2023年第2期,第316-317頁。
筆者認為,企業對其數據享有的是不同于所有權、知識產權等既有民事權益的獨立、新型的財產權,人們可以將其稱為“企業數據權益”,也可以稱為“企業數據財產權”。作為新型財產權,企業數據權益是財產權制度在信息時代的發展與延續,其具有與物權、知識產權相同的一些特征(如對世性和支配性),參見張新寶:《論作為新型財產權的數據財產權》,載《中國社會科學》2023年第4期,第147頁。但也并不完全相同。具體而言:一方面,物權、知識產權和企業數據權調整的都是權利主體和不特定第三人之間的關系,都具有對世性和一定程度的支配性、排他性,從而使得它們與作為相對權的債權相區分。另一方面,數據作為新型的權利客體,既不同于動產、不動產等有體物,也不同于作品、發明、商標等知識產權的客體。傳統的物權、知識產權都無法充分實現對企業就其數據所享有的經濟利益的保護,而需要適應社會的發展而確立新型民事權益即數據財產權來保護企業的新型經濟利益。無論是將企業對數據的民事權益的性質認定為所有權、用益權,還是知識產權或持有權的觀點,都是違背基本的民事權利理論的,值得商榷。
(一)所有權說
企業對數據并不享有所有權。一方面,從《民法典》等現行法的規定可知,中國民法中的所有權的客體是動產與不動產這兩類有體物,不包括數據。《民法典》第114條第2款將物權界定為“權利人依法對特定的物享有直接支配和排他的權利,包括所有權、用益物權和擔保物權”,第240條將所有權界定為“所有權人對自己的不動產或者動產,依法享有占有、使用、收益和處分的權利”。同時,第115條規定:“物包括不動產和動產。法律規定權利作為物權客體的,依照其規定。”由此可見,中國法上物權的客體原則上只能是有體物(不動產和動產),例外的情形即法律有規定時,權利也可以作為物權(而非所有權)的客體,如建設用地使用權的抵押權、權利質權等。另一方面,從權利理論層面上看,對數據也無法成立所有權。民法上的所有權之所以始終是針對動產和不動產等有體物而設立的,在于有體物的“有形性”“競爭性”“可損耗性”等特點能夠發揮明確權利邊界的“界分功能”(Abgrenzungsfunktion)。故此,民法上無需逐一列舉所有權的內容,只需要描述性地規定“所有權人對自己的不動產或者動產,依法享有占有、使用、收益和處分的權利”即可。所有權人對動產和不動產享有特別飽滿的法律權能(eine besondere Fuelle von Befugnisse),對于特定的有體物的任何不違反法律強制性規定與公序良俗的利用方式都應當歸屬于所有權人。所有權人可以對有體物進行排他的、獨占的控制并排除任何第三人的干涉,對于所有權的限制來自于人們共同生活的需要、所有權人的自愿以及法律的規定。然而,數據并非動產和不動產,其具有的是“無形性”“非競爭性”“無磨損性”等屬性。這些特點使得數據本身根本沒有明確權利的范圍與義務人的行為邊界的作用。因此,立法者如果要賦予主體對數據的排他性或專有的權利,就只能在法益分配的基礎上以逐一、明確地規定權利主體享有哪些權能(Befugnissen)的方式來明確數據權利的內容。Herbert Zech,Die Befugnisse des Eigentümer“ nach §903 Satz 1 BGB-Rivalitt als Kriterium für eine Begrenzung der Eigentumswirkungen,Archiv für die civilistische Praxis,Vol.219:488,p.488(2019).因此,數據的特性決定了不可能將其等同于有體物,更不能承認數據所有權,否則很容易導致窒息信息自由、妨害科技進步的后果。Lothar Determann,No One Owns Data,UC Law Journal,Vol.70:1,p.43(2018);Josef Drexl,Data Access and Control in the Era of Connected Devices—Study on Behalf of the European Consumer Organisation BEUC,BEUC,2018,p.5.比較法上除了極少數人贊同數據所有權外,絕大多數學者反對數據所有權。在德國、法國等歐盟國家,自然人針對個人數據享有的就是個人信息或個人數據的自主決定權,這是人格權而非財產權更非所有權。Herbert Zech,Daten als Wirtschaftsgut-berlegungen zu einem Recht des Datenerzeugers“,Computer und Recht,Vol.31:137,p.141(2015).參見申軍:《法國及歐盟視角下個人數據的法律性質》,載微信公眾號“中國法律評論”2023年10月7日,https://mp.weixin.qq.com/s/V64X99PBWBBu F4N7yT8PMg。《數據二十條》同樣明確地跳出了傳統的以有體物為客體的所有權思路,強調“創新數據產權觀念,淡化所有權、強調使用權,聚焦數據使用權流通”。參見《構建數據基礎制度 更好發揮數據要素作用——國家發展改革委負責同志答記者問》,載中華人民共和國中央人民政府網站2022年12月20日,https://www.gov.cn/zhengce/2022-12/20/content_5732705.htm。該文件在明確企業的數據產權時,采取的是明確權利主體的各個權能的方式,建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制。
(二)用益權說
用益權說明顯是照搬物權法中的所有權與用益物權的結構而提出的觀點,其錯誤之處在于:一方面,人為地強行區分個人信息與個人數據,違背中國法上人格權保護的一元模式,將原本融匯在個人信息權益中的個人對其個人信息的精神利益與經濟利益加以分割,認為個人針對個人信息只是享有精神利益,而疊床架屋地創設出自然人對其個人數據的所有權。另一方面,無視數據的無形性、非稀缺性等特點明顯不同于不動產具有的區位性、稀缺性等特征,簡單地將不動產用益物權的理論套用于企業數據權益。
(三)知識產權說
主張知識產權說的學者基于學科知識的路徑依賴,認為知識產權可以保護絕大部分企業的數據,需要的只是小修小補。這種觀點顯然將復雜的數據確權問題予以簡單化處理,沒有認識到知識產權制度無法適應網絡信息社會中數據保護與利用的現實需要。雖然確立作為新型民事權益的企業數據權益并不排斥原有的著作權的保護,但該權益本身是在協調數據的保護與利用的關系基礎上整體構建出來的民事權益,而非對現行知識產權保護企業數據不足之處的拾遺補缺。《中華人民共和國民法總則(草案)》第123條曾經將“數據信息”作為知識產權的客體之一,但是考慮到數據信息涉及的權利和法律關系非常復雜,不僅有知識產權,還有人格權和知識產權之外的其他財產權,將數據信息僅作為知識產權客體,顯然是不全面的,保護也是不夠的。故此,立法機關將數據信息從知識產權的客體范疇中刪除。參見《民法總則立法背景與觀點全集》編寫組:《民法總則立法背景與觀點全集》,法律出版社2017年版,第618-619頁。數據與知識產權的客體固然具有一些相似之處(如無形性等),但并不意味著知識產權就可以涵蓋所有以無形客體作為權利對象的民事權益。非要削足適履地將企業數據上的權益認定為知識產權,不僅無法真正構建數據產權制度體系,實現數據的保護與利用,甚至會破壞既有的知識產權權利體系。參見王利明:《數據的民法保護》,載《數字法治》2023年第1期,第48頁。
(四)以《數據二十條》為依據
在《數據二十條》頒布后,不少學者依據該文件來闡釋和構建企業的數據權益。然而,《數據二十條》并非法律規范,只是政策文件,其很多表述都只具有經濟政策上的意義,而并非是法律的規范性概念。從該文件的用詞可知,主導該文件起草的應當多是經濟學家,因為法律上并不使用“產權”這樣籠統、抽象的詞匯。經濟學家也不會如法學家那樣去嚴謹、細致地辨析作為數據上的一組權利的數據產權的性質究竟是什么,是物權、債權、知識產權抑或其他權利。美國著名經濟學家大衛·D.弗里德曼就曾坦率地承認“經濟學的一般理論主要是在討論抽象的概念,如財產、交易、企業、資本和勞工,律師和法學教授處理的則是這些概念的實際狀況。”參見[美]大衛·D.弗里德曼:《經濟學與法律的對話》,徐源豐譯,廣西師范大學出版社2019年版,第14頁。在經濟學家看來,只要數據上存在一組受法律保護的權利,這些權利又意味著權利人可以排他地處置作為資產的數據并享受由此帶來的收益,那么數據產權就形成了。因為“私有產權的決定性特征是,所有者有權不讓他人被動擁有和積極使用該財產,并有權獲得使用該財產時所產生的收益”。參見[澳]柯武剛、[德]史漫飛、[美]貝彼得:《制度經濟學:財產、競爭和政策(修訂版)》(第2版),商務印書館2018年版,
第232頁。因此,法學家不應混淆政策文件與法律文本,更不應受經濟學家的影響,不加辨析地直接將經濟政策意義上的表達等同于法律對民事權益的規定,并以此作為研究的基礎。
四、企業數據權益的確權路徑
在承認企業數據權益是一種獨立的、新型的數據財產權后,需要做的就是如何為企業數據確權。對此,存在單一確權與區分確權兩種路徑。單一確權路徑認為,應當為企業確認單一的數據權益或者數據財產權。企業數據確權并不包括對于數據上在先的權利的確認,如個人數據上的個人信息權益、數據上已有的商業秘密權。例如,有的學者認為,中國法上應當明確規定企業的數據權利,即企業對合法收集的包括個人數據在內的全部數據享有支配的權利,性質上屬于獨立于人格權、物權、債權、知識產權的新型財產權。具體來說,數據企業數據權利的內容及其保護方法包括如下幾項:其一,數據企業在得到自然人同意的情形下,有權收集個人數據并進行存儲(占有)。至于非個人數據,則數據企業有權依據法律規定的方式進行收集和存儲。其二,數據企業在得到自然人的同意的前提下,可以按照法律規定及與自然人約定的目的、范圍和方式對
個人數據進行分析利用。而在對個人數據進行符合法律規定的匿名化處理后,無須得到自然人的同意即可在不違反法律和行政法規強制性規定的前提下進行使用。其三,數據企業有權處分其合法收集的數據,如轉讓給其他的民事主體或授權其他民事主體進行使用。但是,對于個人數據,則必須得到自然人的同意才能進行處分。其四,數據企業的數據權利在遭受他人侵害時有權要求侵權人承擔侵權責任,包括在他人未經許可而竊取數據時,有權要求侵權人停止侵害、刪除非法竊取的數據;在侵權人因故意或過失而造成損害時,有權要求侵權人承擔侵權賠償責任。參見程嘯:《論大數據時代的個人數據權利》,載《中國社會科學》2018年第3期,第102頁。相同觀點參見張新寶:《論作為新型財產權的數據財產權》,載《中國社會科學》2023年第4期,第144頁;劉文杰:《數據產權的法律表達》,載《法學研究》2023年第3期,第36頁。
持區分確權路徑的學者認為,數據上涉及到多元主體,而企業數據權益屬于權利的集合,包含了多種權利,故應區分不同主體或客體分別確定數據權益。其中,比較有代表性的觀點包括主體區分說、客體區分說、數據生產流通環節區分說。
主體區分說認為應當通過區分不同的主體來確認數據權益。參見王利明:《數據何以確權》,載《法學研究》2023年第4期,第56頁;吳漢東:《數據財產賦權的立法選擇》,載《法律科學(西北政法大學學報)》2023年第4期,第44頁;李紀珍、姚佳:《企業數據精準確權的理論機理與實現路徑》,載《浙江工商大學學報》2023年第5期,第83頁。客體區分說則將企業數據區分為企業數據集合和企業數據產品并在該基礎上分類構建企業數據產權體系。參見張素華:《數據產權結構性分置的法律實現》,載《東方法學》2023年第2期,第73頁;孫瑩:《企業數據確權與授權機制研究》,載《比較法研究》2023年第3期,第56頁。數據生產流通環節區分說則以數據的“生產—流通”為分析框架,分別進行數據生產環節的數據控制權配置和數據流通環節的數據利用權配置,以統籌數據流通與利用中的秩序目標和效率目標。參見寧園:《從數據生產到數據流通:數據財產權益的雙層配置方案》,載《法學研究》2023年第3期,第73頁。
筆者認為,對于企業數據權益應當采取單一確權的路徑,即直接確認企業對于其生產和收集的數據享有單一、完整的數據產權。區分確權的路徑并不合適,這種做法人為地將企業數據上的權益狀態復雜化、繁瑣化,缺乏可操作性。無論是區分數據來源者與數據處理者抑或數據制作者與數據使用者等不同的主體,還是按照數據的
不同生產流通環節來分別確權,并無實質意義。數據來源者如果是個人,其針對個人數據享有的是個人信息權益;如果數據來源者是法人或者非法人單位,則該等組織對于數據享有的是商業秘密權、著作權或者數據權益等在先權利,其與取得其數據的企業之間肯定是存在數據交易關系的。區分數據的制作者與使用者實際上相當于在數據生產環節與數據流通環節分別確權。生產環節的確權是第一個層次,屬于初始確權階段,而流通環節確權屬于后續確權階段。所謂數據的初始確權階段,是法律直接規定企業對其所持有的數據享有何種民事權益。后續確權階段則是第二個層次,是企業已經經過初始確權階段取得了對其數據的民事權益后,再行使該數據權益的階段,包括與他人以法律行為的方式創設各種新類型的數據權益,這實際上已經是數據交易的領域,如A企業與B企業簽訂數據許可使用合同,允許B企業使用A企業的數據,A企業收取相應的費用。B企業基于該合同取得了對于A企業的數據的使用權,該權利屬于債權。對于企業數據權益而言,最重要的是初始確權,因為只有明確了企業對于其合法收集的數據(無論是個人數據還是非個人數據,公開數據還是非公開數據)究竟享有何種內容的民事權益,才能為后續的企業數據權益的交易等奠定基礎。而完成初始確權后,企業只要不違反法律、行政法規的強制性規定和公序良俗,完全可以基于自由意思而行使其數據權益。那種認為對于“數據的生產、存儲、傳遞、處理、利用、治理等活動交錯進行,每進行一項活動,都涉及數據某種權利的確定”的觀點,參見李紀珍、姚佳:《企業數據精準確權的理論機理與實現路徑》,載《浙江工商大學學報》2023年第5期,第86頁。顯然是脫離了中國現行民事法律規范體系的說法,其既沒有考慮到民事權利的權能本身所具有的高度概括性(根本無需對每一項活動進行所謂的確權),更完全無視了數據交易中應當奉行的合同自由原則。市場活動中數據交易的具體形態完全是在企業數據權益的初始確認后企業行使其數據權益的自然結果,這是基于當事人的意思自治而發生的,法律上充其量能夠對一些典型合同作出規定,不可能完全加以描述。
區分不同的客體來分別確權的做法也不妥當。數據、數據產品、數據資源抑或企業數據集合、企業數據產品在本質上都是數據,無非是在不同意義上使用的稱呼不同或者對它們的加工處理程度不同而已。從經濟學的角度來看,區分原始數據、數據資源和數據產品具有一定的意義。因為這一區分能使人們從經濟上更清晰地認識到數據價值鏈的變化與實現過程。并且,由于原始數據中往往包含個人數據和重要數據,涉及到隱私、個人信息以及國家安全,所以對于原始數據的開發利用以及流轉交易都要非常慎重,《數據二十條》明確提出要“要審慎對待原始數據的流轉交易行為”,對于公共數據的原始數據的開放還要求,必須在保護個人隱私和確保公共安全的前提下,按照“原始數據不出域、數據可用不可見”的要求,以模型、核驗等產品和服務等形式向社會提供。同時,數據產品是企業投入了相當的人力、物力和財力,經過加工處理后形成的,具有更高的經濟價值,而且還可能構成匯編作品等,會受到知識產權法的保護。但是,就研究企業數據權益而言,從作為權利客體的角度來說,無論是區分原始數據、數據資源和數據產品,還是區分企業數據集合和企業數據產品,都沒有意義。因為它們在本質上都是數據,在主體不發生變化的情況下,數據形態和經濟價值上的差異并未使原始數據、數據資源和數據產品分別成為完全不同的、新的權利客體,進而導致其上的權利也發生變化。這就如張某擁有一塊黃金,其花費巨大成本將黃金雕刻成一尊佛像,雖然黃金和黃金佛像在形態上和價值上發生了很大的變化,而且因為創作了作品,張某還享有了著作權。但是,張某無論對黃金還是對于黃金佛像所享有的權利,都沒有發生變化,仍然是所有權。因此,如果認定某個企業對于原始數據享有某種數據財產權益,那么該數據被加工為數據產品后,該企業對于數據產品仍然享有該數據財產權益。
五、企業數據權益的法律效力
(一)企業數據權益具有排他效力
理論界關于企業數據權益究竟是所有權、知識產權還是其他權利的不同觀點,表面上看是在爭論企業數據權益的性質,實質涉及的是企業數據權益的效力。換言之,企業是否針對其數據享有排他性權利或者說專有權利?坦率地說,企業對其數據的權利,究竟叫什么名稱并不重要,重要的是法律上賦予其何種效力,從而使得權利人能夠在何種程度上排除他人之干涉而對于數據進行何種范圍的使用或處分。對此,國內外理論界存在很大的爭論。以德國為例,有些學者認為,不應當確認企業或其他任何主體對于數據享有排他的或專有的權利(exclusive rights),這種做法不符合數據的特性,也只會妨害數據的流通和利用。2016年德國馬普創新與競爭研究所發表的《數據所有權與數據訪問立場聲明》就認為,既沒有理由也沒有必要創設數據的專有權,理由在于:首先,確認數據的專有權是有害的,該種權利不具有經濟上的合理性,會妨害經營自由和競爭自由,以及阻礙其他的
數據市場參與者進行經營活動,并對下游數據市場的發展產生負面影響,會在公共領域制造出信息壟斷,催生出反競爭的市場壁壘。其次,即便不確認數據的專有權也不會產生任何問題,企業完全可以通過技術手段來保護它們認為值得保護的數據,技術手段在事實上產生排他性,并且基于此種事實上的排他性,可以在合同基礎上授予數據訪問權,為各方提供有效的保護,并為市場參與者提供可行的行動方案。最后,數據專有權的創建還會導致一些實際的操作性問題,例如,怎樣界定“數據”概念等復雜的問題。此外,立法機關必須界定權利主體的基本權利和具體權利。這將是一個相當大的挑戰,特別是當不同的利益相關者均可能有資格成為潛在的權益主體時。在數據驅動的經濟中,由于價值鏈的互聯與協作,創建一種新的數據權利很可能引起法律上的不確定性等。參見德國馬普創新與競爭研究所:《數據所有權與數據訪問立場聲明》,袁波、韓偉譯,載《競爭政策研究》2021年第4期,第72-73頁。但是,德國也有不少學者認為,應當將針對數據的排他性權利分配給數據的生產者,只有在法律上而非單純依靠技術手段,使得企業等數據的處理者或生產者享有對數據的排他性權利,才能發揮數據的價值,促進數據的流通利用。德國學者澤希(Zech)教授認為,應當將針對數據的排他性的或獨占性的權利分配給數據的生產者即確認所謂的“數據生產者權”(Rechts des Datenerzeugers),這樣做的好處有四點:其一,激勵數據的收集,增加可分析的數據量,繼而間接強化創新活動;其二,推動數據的公開,使數據收集者將自身無法分析的、潛在有用的數據提供給其他市場參與者進行分析,產生宏觀經濟附加值;其三,破解信息悖論,通過法律上的排他性建立起一個數據交易的市場;其四,分配大數據應用中的數據用益并使之作為合同約定的明確起點,也可以在沒有約定或約定不明時作為對數據使用加以分配的原則性決定。Herbert Zech,Daten als Wirtschaftsgut-berlegungen zu einem Recht des Datenerzeugers“,Computer und Recht,Vol.31:137,p.145(2015).
中國學者圍繞是否應當確認企業對于其數據享有具有排他效力的權利也存在爭論,贊成與否定的理由也大體與德國學者上述爭論相同。例如,反對確權說的代表性學者周漢華教授認為,中國法律已經對于企業的數據給予了保護,如對于公開的數據通過反不正當競爭法加以保護,對于沒有公開的企業數據
通過民法、行政法和刑法加以保護。因此,現有法律保護的力度比數據確權后的責任規則保護水平更高、力度更大,在這種情況下確認數據財產權并適用保護力度更弱的責任規則,沒有任何實際意義。參見周漢華:《數據確權的誤區》,載《法學研究》2023年第2期,第8-10頁。主張為數據確權的代表性學者王利明教授則認為,通過為數據確權,可以明確數據權利的內容,權利人享有對合同未約定內容的控制權,有權決定在何種范圍內、以何種方式流通數據,可以降低數據流通的風險和成本。如果法律沒有明確的規定,交易就存在不確定性,從而妨礙數據的流通。參見王利明:《數據何以確權》,載《法學研究》2023年第4期,第60頁。
筆者認為,在中國現行法上,無論是通過著作權、商業秘密權還是反不正競爭法來保護企業的數據,都使得企業對于其數據享有具有一定排他性的財產權益。因此,討論企業數據權益的法律效力問題,關鍵不在于是否要賦予該權益以排他效力,而在于要賦予多大范圍的排他效力。從另一個角度來說,就是要對企業數據權益的排他性進行何種限制。而企業數據權益應當具有多大范圍的排他性(以相應地排除他人對該數據的利用或干涉)才最合適,顯然應當遵循的判斷標準是,既要保護企業對其數據的正當利益,又不妨害數據的合理、公平的流通與利用。Arbeitsgruppe Digitaler Neustart“der Konferenz der Justizministerinnen und Justizminister der Lnder, Bericht vom 15. Mai 2017,S.36.立法上賦予企業對數據范圍越全面、內容越豐富的權能,企業數據權益的排他效力就越強,權利人之外的人受到的限制也就越多。反之,企業數據權益的排他效力越弱,對權利人之外的人所施加的限制就越少。參見姚佳:《企業數據權益:控制、排他性與可轉讓性》,載《法學評論》2023年第4期,第155頁。要確定企業對數據的權能,就不能僅僅從企業的利益出發,而必須努力協調數據相關方的利益關系,既不能為了保護企業的數據權益而無限度地擴張數據權益的邊界,從而損害自然人的個人信息權益,妨害數據的流動、分享與利用,參見丁曉東:《論企業數據權益的法律保護——基于數據法律性質的分析》,載《法律科學(西北政法大學學報)》2020年第2期,
第90頁。也不能無視企業對其付出成本而合法處理的數據所享有的正當利益。正因如此,《數據二十條》才明確提出,要“根據數據來源和數據生成特征,分別界定數據生產、流通、使用過程中各參與方享有的合法權利”。在現代網絡信息社會,數據生產、流通到使用等的全過程中存在眾多的參與方,大體可以分為兩類,即數據來源者與數據處理者。所謂數據來源者也稱數據的生產者,其中既有產生個人數據即個人信息的自然人,也有因使用產品或服務而產生非個人數據的設備的所有者和服務的用戶,以及從事生產經營活動而產生非個人數據的企業等組織。數據的處理者是指自主決定數據處理目的和處理方式的組織和個人,包括企業、國家機關、公共服務提供者等。企業既是非個人數據的生產者,也是個人數據與非個人數據的處理者。企業數據權益必然要受到個人信息權益與數據來源者權利的限制。因此,確認企業數據權益的法律效力的核心在于協調企業數據權益與個人信息權益、數據來源者權利的關系。
(二)個人信息權益對企業數據權益的限制
個人信息權益是自然人對其個人信息享有的作為民事權益的人格權益,其保護的核心利益是自然人免于因個人信息被非法處理而遭受人身權益、財產權益上的損害或人格尊嚴、人身自由被侵害的風險。個人信息權益的核心權利就是個人對個人信息處理所享有的知情與自主決定的權利,具體權能包括查閱權、復制權、可攜帶權、更正權、補充權、刪除權、解釋說明權。當權益被侵害時,個人有權要求停止侵害、排除妨礙、消除危險;造成損害時,個人有權要求侵權人承擔損害賠償責任。參見程嘯:《論個人信息權益》,載《華東政法大學學報》2023年第1期,第14頁。當企業的數據中包含了個人數據時,則個人信息權益對于企業數據權益的效力就會產生制約作用,換言之,企業數據權益不具有排除個人針對其個人數據享有的個人信息權益的法律效力。故此,《數據二十條》第6條指出,對承載個人信息的數據,推動數據處理者按照個人授權范圍依法依規采集、持有、托管和使用數據,規范對個人信息的處理活動,不得采取“一攬子授權”、強制同意等方式過度收集個人信息,促進個人信息合理利用。
企業之所以可以合法地收集個人數據,要么是告知并取得了個人的同意,要么是直接依據法律、行政法規的規定。如果是前者,那么依據《民法典》《中華人民共和國個人信息保護法》(簡稱《個人信息保護法》)等法律的規定,個人信息權益對于企業數據權益的排他效力將會產生以下制約作用:第一,個人可以隨時撤回同意,一旦撤回同意,那么,在不影響撤回前基于個人同意已進行的個人信息處理活動的情形下,企業必須停止對該個人數據的處理(《個人信息保護法》第15條);第二,個人可以請求企業將其個人數據轉移至個人所指定的個人信息處理者,企業必須提供轉移的途徑(《個人信息保護法》第45條第3款);第三,在個人信息處理的目的已經實現或無法實現,個人撤回同意,違反法律、行政法規或者違反約定處理個人信息等情形下,個人可以要求相關企業刪除所收集的個人數據(《個人信息保護法》第47條);第四,企業收集的原始數據中包含了個人數據時,企業應當履行數據安全保護義務以及保護個人信息安全的義務;第五 ,企業對個人數據進行加工使用而生成數據產品的行為是個人信息處理行為,應遵循法律規定以及約定的個人信息處理規則。由此可見,就基于個人同意而處理個人數據的企業而言,其針對個人數據享有的財產權在很大程度上受制于個人信息權益,“它們之間就好像一種放飛的風箏與風箏線之間的關系”。參見王利明:《論數據權益:以“權利束”為視角》,載《政治與法律》2022年第7期,第109頁。
如果企業是直接依據法律、行政法規的規定,如為訂立、履行個人作為一方當事人的合同所必需,為履行法定義務,或者在合理范圍內處理合法公開的個人信息等(《個人信息保護法》第13條第1款第2項至第7項)時,企業處理個人數據的行為不需要取得個人的同意,但這并不意味著個人信息權益對于企業數據權益就沒有制約作用。因為,即便是依據法定事由處理個人數據的場合,企業也不能超越法定事由所確定的處理目的,必須遵循個人信息處理的基本原則(如合法、正當、必要、目的限制等)以及法律規定的個人信息處理規則。此外,在符合《個人信息保護法》第47條規定的情形時,個人仍然可以行使刪除權。
(三)數據來源者權利對企業數據權益的限制
在歐盟,考慮到數據的產生是產品的設計者或制造商與產品的使用者之間等至少兩方參與者行動的結果,而這些產品或相關服務記錄的數據對于售后、附屬和其他服務非常重要,為確保數字經濟的公平性,實現數據作為經濟和社會上的非競爭性商品的重要經濟利益,歐盟立法機關認為,對數據分配訪問和使用權利的一般方法優于授予排他性的訪問和使用權利。有鑒于此,歐盟借鑒《通用數據保護條例》規定的訪問權和可攜帶權重新構建所謂“數據來源者”的權利。2023年11月9日,歐洲議會通過了《數據法案》(Data Act)正式文本,該法旨在確保歐盟境內產品或相關服務的用戶可以及時訪問由該產品或相關服務的使用產生的數據,并確保這些用戶可以使用數據,包括與他們選擇的第三方分享。該法要求數據持有者在某些情況下向用戶和用戶提名的第三方提供數據。它還確保數據持有者以公平、合理和非歧視性的條件和透明方式向聯盟內的數據接收方提供數據。參見《數據法案》序言部分第5條、第6條。《數據法案》中產品或相關服務的使用者生成的數據包括用戶有意記錄的數據,還包括作為用戶行動的副產品而生成的數據,例如診斷數據,以及在產品處于“待機模式”時沒有用戶行動的數據,以及產品關閉時記錄的數據。這些數據應以產品生成的形式和格式提供,但不應涉及任何軟件過程產生的數據,該軟件過程從這些數據中計算出派生數據,因為這樣的軟件過程可能受到知識產權的保護。參見《數據法案》序言部分第17條。具體而言,《數據法案》賦予了作為數據來源者的用戶(即擁有、出租或租賃產品或接受服務的自然人或法人)針對數據持有者(即根據《數據法案》、歐盟法律或實施歐盟法律的國家立法,或在非個人數據的情況下,有能力通過控制產品和相關服務提供某些數據的人)對于那些由他們擁有、出租或租賃的產品或相關服務產生的數據享有以下權利:一是知情同意權,即數據持有者只能根據與用戶簽訂的合同,使用產品或相關服務所產生的任何非個人數據;并且,數據持有者不得將因使用產品或相關服務而產生的此類數據用于獲取有關用戶的經濟狀況、資產和生產方法或用戶使用情況,從而可能損害用戶的商業地位,破壞用戶在其活躍的市場中的商業地位(第4條)。二是數據訪問權,即如果用戶無法直接從產品訪問數據,則數據持有者應在免費的情況下,盡快向用戶提供通過產品或相關服務使用產生的數據,并在適用時連續實時地提供。三是與第三方共享數據的權利(可攜帶權),即在用戶或代表用戶的一方的請求下,數據持有者應在免費的情況下,盡快將通過產品或相關服務使用產生的數據提供給第三方,其質量與數據持有者可用的質量相同,并在適用時連續實時地提供給用戶。
數據來源者,簡單的說就是數據來源的主體,即向數據處理者提供數據或數據處理者從其處收集數據的主體。也就是說,數據來源者是與數據處理者相應的概念,數據處理者從數據來源者處收集數據并進行使用、加工等一系列處理活動。作為數據來源者的主體既包括個人,也包括法人或者非法人組織。中國現行法律還沒有規定數據來源者的權利,但是,《數據二十條》在借鑒歐盟《數據法案》的基礎上,于第7條明確提出,要充分保護數據來源者合法權益,推動基于知情同意或存在法定事由的數據流通使用模式,保障數據來源者享有獲取或復制轉移由其促成產生數據的權益(第7條)。由于數據包括個人數據與非個人數據,因此就作為個人數據來源者的自然人而言,其本身就是個人信息權益主體,依據《民法典》《個人信息保護法》等法律當然享有針對其個人信息的個人信息權益,其中就包括了知情權、自主決定權、查閱權、復制權、可攜帶權、更正權、補充權、刪除權等各項權能。但是,就非個人數據的來源者,目前并無法律賦予其任何權利,因此《數據二十條》賦予其知情同意權、獲取權、復制權和可攜帶權就具有非常重要的意義,這些權利可以有效地解決非個人數據的來源者在面對超大型數據企業或數據控制者時無法訪問和利用其產生的數據的難題,確保數字經濟的公平性。未來需要通過立法將數據來源者針對數據處理者享有的知情同意權、數據獲取權(數據訪問權)、數據復制權和數據可攜帶權的行使要件等具體問題加以明確規定,從而協調數據處理者與數據來源者的權利。
六、企業數據權益的權能
權能是權利的非獨立的組成部分,它是權利賦予權利人的意思決定的空間。原則上,權能是權利的不可分離的組成部分,因此,權能不能被單獨轉讓。Karl Larenz amp; Manfred Wolf,Allgemeiner Teil des Buergerlichen Rechts,Beck,2004,§13,Rn.24-25.《數據二十條》提出了“數據產權”,并且聚焦在數據采集、收集、加工使用、交易、應用全過程中各參與方的權利,要“建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制”。《數據二十條》頒布后,不少學者圍繞該文件進行闡釋和創新,提出了各種觀點。例如,有的學者認為,企業數據產權可以分為企業數據集合的產權與企業數據產品產權,前者通過鄰接權方式構建,后者可結合數據產品的應用場景和流程以及《數據二十條》提出的權利分置框架,在企業數據產品上形成表征產權歸屬的企業數據產品持有權和表征產權利用的企業數據產品使用權二元并立的產權結構分置狀態。參見張素華:《數據產權結構性分置的法律實現》,載《東方法學》2023年第2期,第80-81頁。有的學者認為,數據財產權在賦權形式上應當采取二元權利主體結構,即區分數據制作者權與數據使用者權,數據制作者權是有限排他效力的財產權,數據使用者權的主體分為用戶和數據同業經營者。參見吳漢東:《數據財產賦權的立法選擇》,載《法律科學(西北政法大學學報)》2023年第4期,第53-55頁。有的學者認為,數據資源持有權、數據加工使用權和數據產品經營權是相互分離、彼此獨立的關系。參見許可:《從權利束邁向權利塊:數據三權分置的反思與重構》,載《中國法律評論》2023年第2期,第23頁。對于這三種權利的具體內容,應當根據不同的數據客體逐一分析不同場景中的利益分配格局,為企業的數據持有權確定不同級別的排他支配效力。參見孫瑩:《企業數據確權與授權機制研究》,載《比較法研究》2023年第3期,第62-67頁。還有的學者將數據資源持有權、數據加工使用權以及數據產品經營權統稱為“數據持有者權”,認為數據持有者權是基于占有數據的事實而產生的,是數據價值鏈條上的每個主體都享有的權利,是一種普遍的權利。參見高富平:《論數據持有者權構建數據流通利用秩序的新范式》,載《中外法學》2023年第2期,第316-317頁。
筆者認為,企業數據權益的權能包括積極權能與消極權能,前者是指企業依法對于生產與處理的數據享有的占有、使用、收益和處分的權能;后者是指企業數據權益被侵害時而產生的排除侵害或妨礙的權能,包括停止侵害、排除妨礙等。
(一)企業數據權益的積極權能
1.占有數據的權能
《數據二十條》提出的“數據資源持有權”不是民事權益,因為作為民事權利的客體必須具有特定性和可規范性。“數據資源”這個概念的范圍極為廣泛,是從經濟學的角度采取的稱謂,如果說人類社會所有的數據都可以統稱為數據資源,那么,這種數據資源顯然不是任何民事主體都能夠持有或占有的,即便是持數據國家所有權說的人,恐怕也不能認為一個國家的政府可以宣稱對該國范圍內的全部數據資源享有某種民事權利。數據資源不同于自然資源,中國是社會主義國家,土地資源、水資源、礦產資源、森林資源、草原資源、海域海島資源等自然資源實行的是公有制,即全民所有與集體所有。因此,所謂的數據資源持有權在法學規范上沒有意義,它只是對于數據權益中的控制權能的形象化描述而已。具體到企業數據權益,就是指作為數據處理者和生產者的企業對其生產的或者處理的數據享有的管控力,即對可特定化的數據的持有。數據的持有和有體物的占有,本質上都是一種事實狀態。前者是數據財產權的權能之一,參見張新寶:《論作為新型財產權的數據財產權》,載《中國社會科學》2023年第4期,第162頁。后者是物權的權能之一。在民法上,占有是一種事實狀態,而非權利。參見王利明:《物權法研究(下卷)》(第4版),中國人民大學出版社2018年版,第696頁。所謂占有,就是對于動產、不動產這樣的有體物具有事實上的管領力(tatsaechliche Sachherrschaft)。占有動產或不動產的民事主體要么是基于物權、債權等本權的有權占有,要么是缺乏本權的無權占有。無論有權占有還是無權占有,都是受到法律保護的。為了維護法律上的和平與安寧,《民法典》第462條賦予了占有人以占有保護請求權,即返還原物、排除妨害或者消除危險。數據雖然不是有體物,但對于數據也是可以進行管理控制的。企業作為數據處理者,對其數據的自主管控,當然可以通過對有體物的占有來實現(如對存儲數據的硬盤的占有),但更多的時候需要通過各種技術手段如加密技術、反爬蟲技術等加以實現。這種對于數據的管理和控制既是企業作為數據權益主體的權能,也是其依法負有的義務。雖然人們希望避免使用數據所有權的概念,但是,筆者認為,描述企業數據權益的權能時,“占有”比“持有”更為妥當。占有與持有均指對于物具有事實上的管領力,但持有更著重對于物的實力支配。然而,占有不僅要有事實上的管領力,還需要占有的意思,所謂占有的意思并非是法律行為上的意思,而是一種自然意思,不以行為能力為必要。參見王澤鑒:《民法物權》(第2版),北京大學出版社2023年版,第601頁。由于持有只是強調事實上的管領力,故此,持有的涵義非常狹窄,不存在直接持有和間接持有之分,而占有則類型豐富,包括有權占有和無權占有、直接占有和間接占有,等等。由此可見,雖然不使用數據所有權的概念,但是將占有作為數據財產權的權能之一比持有更為妥當。當然,作為數據財產權內容的占有(或管控)與作為所有權權能的占有也有一定的差異。參見錢子瑜:《論數據財產權的構建》,載《法學家》2021年第6期,第85頁。
2.對數據進行使用和收益的權能
所謂對數據進行使用的權能,就是指企業數據權益人依法享有的對數據進行處理,多維度地發掘和實現數據使用價值的權能。對數據的收益權能是指企業數據權益人通過數據交易和服務取得一定的經濟利益。參見張新寶:《論作為新型財產權的數據財產權》,載《中國社會科學》2023年第4期,第161-162頁。企業享有數據權益,就意味著其在符合法律法規的規定以及合同的約定的前提下,有權在不違反法律、行政法規的強制性規定以及公序良俗的前提下,自行對所生產、收集的數據進行存儲、加工、使用等一系列活動,至于是加工成何種數據產品或據此提供何種數據服務,是企業數據權益的應有之義,由企業自行決定。企業也可以將數據通過各種交易形式如開放數據端口、出售數據產品等各種合法形式交由他人使用并據此獲得收益。這些都屬于企業對數據進行使用和收益的權能。《數據二十條》提出的數據加工使用權與數據產品經營權,實際上是從經濟學的角度對于企業就其數據享有的數據財產權中的使用權能、收益權能的描述,并非是確立了兩類獨立的、具體的民事權益。
3.對數據進行處分的權能
企業數據權益的最重要的內容就是對數據的處分權能。這種處分包括事實上的和法律上的,事實上的處分如銷毀或刪除數據等,而法律上的處分是對于數據上的權利進行的處分,例如,將數據轉讓或出租給其他企業,以企業數據權益本身為客體進行質押從而獲得融資等。由于數據中既有原始數據,也有經過加工后的數據(如清洗、匿名化處理后的數據)以及數據衍生品等,而原始數據涉及個人信息權益、隱私權或者商業秘密權等在先權利,故此,企業數據權益主體行使處分權能,當然必須是在符合法律規定以及當事人合同約定的前提下。
(二)企業數據權益的消極權能
企業數據權益作為具有支配效力和排他效力的財產權益,可以在法律規定的限度內對抗他人針對數據實施的侵害行為。所謂侵害數據企業權益,本身就意味著沒有取得企業數據權益主體的同意或者具備法律規定的違法阻卻事由,而實施的侵入、干擾、破壞、竊取、使用數據等行為。《民法典》賦予了物權的權利人、人格權主體以停止侵害、排除妨礙、消除危險等絕對權請求權(第235條、第236條、第995條),同時也將這些絕對權請求權作為侵權責任的承擔方式(第1167條)。同樣,企業數據權益在受到侵害或存在侵害的危險時,權益人也有權行使停止侵害、排除妨礙、消除危險等絕對權請求權。當然,針對數據本身的無形性、非競爭性等特點,未來的立法中可以發展出一些特殊的絕對權請求權,如《個人信息保護法》賦予個人信息權益主體的刪除權等。
七、結語
總之,未來如果中國真的要通過法律對企業數據權益作出規定的話,就必須從民事權益的基礎理論出發,立足于中國現行民事法律規范體系,制訂出切實可行的法律規則。數據因其本身的無形性、非競爭性、應用場景的多元性而導致數據上有眾多的參與方,利益關系極為復雜。這就意味著在確立企業數據權益時必須注意各方利益的協調,尤其是協調企業數據權益與個人信息權益、數據來源者權利以及其他在先權利的關系,通過確定企業數據權益內容的方式來構建數據上各參與方的行為邊界,做到既有效保護企業對數據的利益,又合理促進數據的流通利用。
On Enterprise Data Rights Theory
Abstract:The interests that enterprises enjoy from the production and processing of their data should be legally protected. The current civil legal system in China, including the property law, contract law, intellectual property law, and anti-unfair competition law, only provides partial protection for enterprise data. Enterprise data rights are neither ownership or intellectual property rights, nor producer rights or usufruct rights, but a new type of property rights. In China, it should be established that enterprises have an independent and new type of property rights over their data, namely enterprise data rights. The enterprise data rights should be determined through a single path, without distinguishing between data, data resources, and data products or the production and circulation of data. In Chinese law, it should be directly recognized that enterprises have a single, complete data property right in respect of the data it produces and collects. The problem with the differentiated approach is that it artificially complicates the equity status on enterprise data, leads to lacking operability. Whether it is to distinguish between different subjects such as data sources and data processors or data producers and data users, or to establish rights according to the production and circulation of data, it is not meaningful; the practice of distinguishing between different objects to establish rights is also inappropriate. The legal effectiveness of enterprise data rights lies not in whether to grant exclusivity but in determining the extent of exclusivity. In other words, the key is to determine the degree of restriction on the exclusivity of enterprise data rights.The rights enjoyed by enterprises over their data have exclusivity, but this exclusivity is subject to the rights of other participants in the data, namely personal information rights and data source rights. The most appropriate judgment criterion should balance protecting enterprises’ legitimate interests in their data and facilitating fair and reasonable circulation and utilization of data. The core of confirming the legal effectiveness of enterprise data rights lies in harmonizing enterprise data rights with personal information rights and data source rights. Legislative empowerment of enterprises with more comprehensive and content-rich rights to their data results in stronger exclusivity of enterprise data rights and more restrictions on non-rights holders. Conversely, weaker exclusivity of enterprise data rights imposes fewer restrictions on non-rights holders. Determining data rights for enterprises must not solely consider enterprise interests but also strive to reconcile the interests of all stakeholders involved in data production. The enterprise data rights include both active and passive rights: the former refers to enterprises’ lawful rights to possess, use, profit from, and dispose of data they produce and process, while the latter refers to the right to exclude infringement or interference when enterprise data rights are violated, including stopping infringement and removing obstacles. As a property right with certain dominance and exclusivity, when enterprise data rights are infringed upon or there is a risk of infringement, the rights holder also has the right to exercise absolute claims such as cessation of infringement, elimination of obstruction, and elimination of danger. Given the intangibility and non-competitive nature of data, future legislation can develop specific and absolute rights claims tailored to data, such as the right to deletion granted to personal information rights subjects under the Personal Information Protection Law.
Key words:data property rights; enterprise data rights; personal data; data source rights; Twenty Data Measures
