摘 要:“权属未定,产业迷茫”已成为目前数字经济发展的命门,数据权属的制度创新已成为数据要素市场有效运行的基本前提。从当前我国数据要素市场场内交易狭小、数据垄断、政企数据对接不畅和个人信息保护难等困境出发,基于对欧美和国内数据产权确立的实践研究,提出了个人数据产权框架强调人格权保护、企业数据产权框架强调财产权保护、国家数据产权框架关注国家数据主权的中国特色数据产权制度体系“三边框架”,并从我国数据要素市场培育的实际情况出发,提出构建数据公证制度、数据登记制度、数据信用体系和标准规范体系等细化政策与机制设计。
关键词:数字经济;数据要素;数据产权;产权制度
DOI:10.16582/j.cnki.dzzw.2022.02.002
当前,大数据以前所未有的速度向各行各业蔓延,数据资源逐渐成为重要的生产要素和战略资源之一。2019年10月,党的十九届四中全会首次将数据列入新型生产要素。作为产业革命变革的加速器,有关数据权属的制度创新已成为数据要素市场有效运行的基本前提。在世界各国积极探索数据权属问题的大背景下,我国已开始为数字经济发展创造制度动力。2020年4月,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》强调,要将“研究根据数据性质完善产权性质”作为数据要素市场建设的重要举措。2020年11月,《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》明确提出“建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用”,对数据要素产权制度体系的相关工作提出了更加明确的战略性部署。近年来,不少学者已开始研究构建我国数据权属的整体法律框架和基础性法律制度,建议通过立法明确数据的权属和数据流通交易的范围、标准、原则、程序,以及数据利用相关利益人的权利、义务、责任等。在中央肯定数据的生产要素属性之后,法律制度应及时跟进,在做好保护个人信息的底线工作之上,探索从工业时代的财物独占制向数字时代的数据共享制转换,构建具有中国特色的数据要素产权制度体系,具有重要意义。一、数据产权问题成为数据要素市场培育首只“拦路虎”数据作为数字经济的第一生产要素,其权属问题不仅影响开发利用和流通,也会影响数字经济创新发展。“产权”的概念来源于经济学,是新制度经济学研究的核心部分,新产权理论的中心任务是要说明产权如何以特定和可预期的方式来影响资源的配置及相应的产出[1]。经济学理论认为,产权是基于经济财货的存在而界定的人与人之间的关系,是由社会规则约束和保障、关于财产使用的一系列排他性权利的集合,是权利束。[2]从产权的概念可以推导出数据产权的概念:数据要素产权是附着在数据上的一系列排他性权利的集合,是调整人与人之间关于数据使用的利益关系的制度。从我国实践来看,数据要素产权已成为数据要素市场培育的首只“拦路虎”,清晰合理的数据要素产权制度缺位,使得数据的共享、流通、交易以及价值实现等要素市场培育难以实现。不仅使得大量潜在数据供给方不敢或不愿进场交易,只能依靠场外一对一甚至桌面下“利益勾兑”方式进行,还容易导致手握海量数据实际控制权的互联网公司野蛮生长,数据滥用和算法歧视等问题日益严重。国际数据公司(IDC)预测,从2018到2025年中国产生的数据将从7.6ZB增加到48.6ZB,数据交易需求旺盛。然而,产权界定不清导致大量数据无法进场交易,2019年我国场内数据交易规模仅占整个大数据产业的4%,超过50%的数据交易平台年流量低于50笔,数据交易规模狭小。很多数据公司“无米下锅”,只能依靠场外一对一甚至桌面下“利益勾兑”的“数据黑市”获取数据。由于数据产权界定不清,手握海量数据实际控制权的互联网公司野蛮生长,依靠自身强大的用户流量优势,积极“圈数”的数据垄断问题愈发严重,由此产生的“大数据杀熟”、胁迫式收购或打压具有“潜在性威胁”的新创企业等现象屡见不鲜。互联网不同资本系之间数据壁垒森严,严重妨碍数据要素统一大市场形成。在政府应用企业数据方面,拥有海量数据的大型互联网公司出于商业秘密和隐私保护的考虑,其数据难以为政府所用。如疫情期间各地政府出于防控疫情需要使用部分社会数据,征集运营商数据一般比较顺畅,但互联网公司大多不愿配合。在政府对外开放数据方面,由于权属不清,政府部门出于安全担忧、开放范围不确定性以及部门利益等原因,开放数据的意愿不高。中国目前虽有《个人信息保护法》,但以告知同意为原则的个人信息保护仍然面临诸多困境。互联网科技公司对数据的采集虽是以用户“知情同意”为前提,但在实践中“知情同意”名存实亡。为遵循法律要求,互联网企业往往列出冗长艰涩的隐私条款,用户为了使用产品服务,只能敷衍同意或被迫同意。在大数据时代,个人信息的识别难度和保护要求进一步增大,《2019中国网民信息安全状况研究报告》显示,77.7%的被调查网民都遭遇过信息安全事件。而监管滞后也增加了个人隐私泄露的风险,如在2020年初新冠疫情防控期间,我国不少地方政府部门虽然及时回应,对确诊病例的流调数据进行了公布,包括确诊病例从哪里来、去过哪里,但与此同时,有关确诊病例的隐私数据,如住址门牌号码等却也随之暴露。从全球范围看,数据权利规制主要包括欧美两大体系,两者虽未明确地对数据权属进行界定,但对我国数据要素产权制度建立均有一定借鉴意义。在个人信息方面,美国采用财产权导向的分散式立法方式[3],认为保护个人隐私的最佳方式是通过市场本身,竞争和自由市场将鼓励消费者选择有高隐私保护标准的企业。在这种模式下,个人信息在理念上被默认为个人的财产。[4]在立法上,其隐私权保护覆盖了宪法、联邦、各州等层面,并制定有多部行业性隐私法案,保护范围大、保护制度完善,能够对个人数据保护发挥一定作用。其中,美国宪法第四修正案、《信息自由法》和《隐私法案》保护个人免受政府对个人信息的侵犯。在不同行业领域,则采用专门的数据立法,这意味着不同经济部门的企业受到不同的隐私规则和法规的约束。例如,《金融现代化法》(GLBA)旨在规制金融机构对消费者非公开个人信息的处理,《健康保险流通和责任法》(HIPAA)旨在保护个人健康信息,《儿童在线隐私保护法》(COPPA)旨在规制网络运营商对儿童个人信息的使用等。在法律实践中,处理数据纠纷的通常做法是,原则上援引现行判例法中关于侵犯隐私的规定,处理用户个人信息在互联网上的法律地位问题,但同时根据市场对数据流通和利用的需要作出一定的调整,以更加务实的方式调整用户和数据经营者基于个人信息的利益关系,实现数据保护和利用的再平衡。[5]对于非个人数据,美国主要通过《计算机欺诈与滥用法》《数据库权指令》和反不正当竞争等相关法规实现保护,其司法案例也对非个人数据的“准财产权”予以了肯定。美国产权模式从表面上看是充分尊重市场和自治的观念影响了数据立法,但从根本上看,是保持数据领域的领先地位及其既得利益的目标决定了数据立法。尽管美国一直坚称“隐私是民主制度的心脏”,但实际上在数据权利保护与数据开发利用的天平上,美国政府及科技巨头们均偏向后者。在美国模式下,数据权利保护只能依赖法律框架下的企业自律及事后救济来实现,这利于数据产业发展但也容易导致数据的泄露和滥用。2020年,美国以210亿美元的大数据市场规模位居世界第一,但同时也拥有全球最多的数据泄露事件。2020年的数据泄露事件总数达到1001起,超过1.558亿个人受到影响。[6]另外,企业对于数据的滥用使数据成为政治动员的有力武器,对公权力构成威胁。例如,脸书公司汇集的5000万用户个人数据被指遭滥用,以操纵美国2016年美国总统大选和英国脱欧公投。[7]从长远看,如若数据权利保护失当,市场参与者不愿提供数据,市场上数据供给不足,数据市场只能趋于萎缩。与美国分行业立法不同,欧盟采用统一立法模式,承认数据保护是一项基本的人格权利,并以严格保护的立场来解决数据权属问题。在个人数据方面,2018年5月欧盟《通用数据保护条例》(GDPR)正式生效,确立了个人信息的遗忘权(right to be forgotten),访问权(right to access),可携带权(right to data portability)等。值得注意的是,GDPR并未规定个人数据能成为财产权的客体。[8]与《欧洲基本权利宪章》一致,该条例将个人数据视为受特殊考虑的权利,而不是财产权。[9]在非个人数据方面,1996年实施的《数据库指令》引入了数据库特殊权利(sui generis right),即一种与其他形式的保护(如版权)无关的数据库特定权利。这种数据库的特殊权利旨在保护持有人“在内容的获取、验证或呈现方面的质量和/或数量上的大量投资”[10],如果没有大量投资,数据库将不受保护;该指令正在作为拟议数据法案的一部分进行评估,修改确定新的数据权利范围;[11]2017年发布的《构建欧洲数据经济》提议构建数据生产者权利,保护数据再利用成果,有效激发了数据开发利用的积极性;2020年出台的《欧洲数据治理条例》提出在公共部门设置或监督的安全处理环境(如沙箱)中再利用特定类型数据。欧盟的立法模式从根本而言是借道个人数据权保护,扶持发展本土数据产业,以扭转欧洲数据市场被美国长期垄断的局面。从执法实践来看,欧盟模式虽然强调了对隐私和数据安全的保护,但易导致数据交易成本和执法成本大幅增加,在一定程度上扼杀了大数据产业发展的活力。自GDPR生效一年半时间里,数据保护机构(DPA)已开出近800张罚单,罚款数量和规模激增,企业数据合规负担大大增加。2016年至2019年期间,欧盟所有国家数据保护机构的雇员数增加了42%,预算增加了49%。[12]英国数据保护监管机构在脸书剑桥分析公司事件中,为避免诉讼程序花费高昂的人力物力成本,最终选择与脸书达成和解。可见,在欧盟模式下,一方面监管过严,导致市场主体不愿、不敢涉足数据产业和数据业务;另一方面,执法资源难以到位,变相引导市场主体以“等、拖”方式阻滞监管效能发挥,扰乱了正常数据要素市场秩序。与国外相比,我国在数据权属方面的立法实践起步较晚,法律制度体系还不健全。现有法律制度多是从保护和监管的角度出发,强调对数据的规范利用,但还没有一部法律对数据应归谁所有做出界定。以2021年9月开始实施的《数据安全法》为例,该法虽然从数据安全的角度考虑,提出了数据分类分级管理、数据安全审查、风险评估、应急处理等基本制度,使得数据安全方面迎来实质性监管,但并未考虑数据本身所承载的其他权益关系。在国家层面的数据权属法制框架还未成形成熟之际,不少地方政府先行先试,探索出了具有地域特色的数据权属制度体系。以福建为例,该省结合早期数字福建的建设经验,首次明确将公共数据资源纳入类似的公共资源或国有资产体系进行管理。早在2016年,福建省政府就颁布了《福建省政务数据管理办法》,确立了政府数据的资产性质,其所有权归国家,并明确了政务数据资源统筹管理机构,这种以管理办法的形式界定数据产权的实践是数据权属立法的有益探索。近年来,在数据要素市场改革的推动下,天津、上海、贵州等地先后出台本地的数据管理制度或条例,但在数据权属方面的规定,多数还是从政府行政管理的角度提出要推进此项工作,并未有十分明确的权属关系界定。如2022年1月正式实施的《上海市数据条例》,也仅在“浦东新区数据改革”一章也提出了推进浦东新区“数据权属界定、开放共享、交易流通、监督管理等标准制定和系统建设”,对于数据到底应归谁所有,并未正面提及。但也有一些地方在数据权属制度的探索上走在前列,对由数据衍生出的相关权益关系进行了界定说明。如深圳市于2021年6月通过的《深圳经济特区数据条例》,明确了自然人对个人数据依法享有知情同意、补充、更正、删除、查阅、复制等民事权益;自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及条例规定的财产权益。广东省于2021年8月3日公布的《广东省数字经济促进条例》提出,数据的财产权益受法律保护,并可依法交易的规定。这些地方政府对数据权益范围和类型进行界定、分类的立法探索,对国家层面的数据权属立法具有较大的借鉴意义。为应对数据产权不清、数据标准不一、数据隐私外泄等不确定性,我国应抓住数据确权这个“牛鼻子”。探索与欧美不同的“第三条道路”,构建清晰的数据权属关系。数据确权机制归根结底要解决的是数据权利归属问题。传统观点认为,确定数据权利的归属就是确定数据所有权的归属。[13]然而,所有权这一物权概念未必就适用于数据这种新型权利客体。因此,我国特色产权制度应把握以下两个原则:第一,新型权利原则。明确数据财产权为新型民事权利。数据权属主要包括国家主权、人格权和财产权。数据主权保护受《数据安全法》管辖,人格权保护受《个人信息保护法》管辖,而数据财产权界定尚缺乏标准。与物权相比,支配数据具有非损耗和非“物”上的排他性,不能套用有形物的物权制度。与债权相比,相关法律制度不能为数据权利提供充分保护,数据权利也不能纳入债权规范体系。与知识产权相比,数据采集汇聚存储并不包含明显的智慧加工,知识产权解释力有限。综上,应明确数据财产权为新型民事权利。第二,分类确权原则。明确数据财产权包括占有权、处理权和收益权三方面。首先,数据占有权确认可比照知识产权模式。即未经数据权利主体授权,其他人不能处理其数据或通过其数据获取利益。其次,数据处理和收益权的确认应遵循内容决定原则。对于承载个人信息的数据,应按《个人信息保护法》界定其处理和收益行为;对于承载商业秘密的数据,应依照《反不正当竞争法》等规定来行使,不得违反商业秘密权利人有关保守商业秘密的要求;对于承载知识产权的数据,按照知识产权保护的规定行使。数据不是简单的“一物一权”,数据权利不仅仅包含所有权和使用权,人格权、财产权也是一种数据权利的存在。相比欧美的数据确权实践,我国无需在欧盟人格权模式还是美国财产权模式中进行选择,而是在以维护个人、企业和国家多元利益和平衡多维目标的基础上建立更高效合理的数据规制制度。本文提出的中国特色产权制度体系的基本思路可概括为“突出一个属性、平衡两组关系、满足三重诉求”,即遵循公物概念,突出数据的“公共品”或公共利益属性,平衡经济发展与国家安全、企业利益与个人权益两组关系,满足个人视角下隐私保护、产业视角下产权保护和公平竞争、国家视角下数据主权安全和国际竞争三重诉求,形成具有中国特色的数据权属模式(参见图1)。