数据安全:数据产权面临的困境
2021-08-08
来源:计算机与网络安全
当前立法中,有关数据产权的内容尚处于空白,这直接导致了司法实践面对有关数据权属争议时的回避、保守态度,在数据产权的保护上显得捉襟见肘。同时,该问题在学术界也存在颇多争议,学者们对数据权属的观点众说纷纭,未能统一。
1. 从零开始的立法
(1)数据产权立法匮乏
受限于立法技术和经济发展水平,包括《民法通则》《知识产权法》以及《物权法》等在内的现行法律法规均未将数据和网络虚拟财产纳入财产权利客体的范围。但随着数字技术和网络技术的快速发展,数据和网络虚拟财产的经济价值和社会价值正逐渐显现,并在全社会范围内得到了广泛的认同。在此种背景下,2017年3月15日出台、10月1日生效的《民法总则》关于民事权利的一章中第111条、第127条采取了个人信息权与数据区分保护的方式,明确赋予了数据和网络虚拟财产民事权利客体的地位。虽然在现阶段,本条规定只是一个引致条款而并无实际规范内容,但它具有十分重要的制度创新意义,也是我国民法典时代特性的具体体现。不过,有关数据产权的单行法仍未创建,这使数据产权保护仍然处于立法空白的尴尬境地。
(2)数据产权保护方式不明确
《民法总则》中新增数据权利的立法过程并非表面上看起来的风平浪静,我们从《民法总则》的审议过程中不难看出有关数据权利的定位争议颇多。自《民法总则草案(征求意见稿)》(2016年5月20日修改稿)起,立法者特意用单独一章来规范民事权利,其中对人民享有的各类民事权利进行罗列。值得一提的是,此稿在写至知识产权的权利客体时创造性地加入了“数据信息”一词。随后,《民法总则草案》一审稿对数据信息的规定延续了征求意见稿的做法,继续将其纳入知识产权客体的范畴。同时,立法者在该稿中首次加入了对网络虚拟财产的规定,并选择将其与物权客体的规定置于同一条款中。在一审稿公开征求意见后,大家争论的焦点主要针对数据信息是否具有创新性。有学者指出数据是信息的载体,智力成果的凸显是信息而非其载体,因此不具有创新价值的数据不应被知识产权理论吸纳,这有违知识产权保护人类智慧成果的初衷。在吸取上述学者的立法建议后,立法者在《民法总则草案》二审稿中将数据信息从知识产权客体项下删去,同时将网络虚拟财产移出物权客体的条款,两者合并单设一条加以规制。
分析《民法总则》的制定过程,我国《民法总则》的出台为数据权利确立了区分保护的立法方向。通过对《民法总则》进行体系解释,数据信息位于民事权利一章,该章整体上均是在对民事权利进行规范。从这个角度看,《民法总则》创新地明确了数据权利作为民事权利的保护方式。但此种立法方式却选择性地搁置了数据确权的争议,造成了立法空白。同时,从这种单独列示加引致的立法技术可以看出,当前立法上对数据产权的态度并不明确。
2. 捉襟见肘的司法实践
在梳理数据诉讼案件时,发现当前司法实践中处理这些纠纷,主要是通过《合同法》《反不正当竞争法》两种途径。但是,现有的解决方式并不能使数据财产得到充分、合理、有效的法律保护。
司法实践中,数据纠纷往往是通过《合同法》救济的,但救济需要一个前提,即合同已订立。然而,在现实纠纷中,这种前提往往达不到,因为现实的数据侵害常来自第三人。因合同的相对性,即使存在合同约定也无法约束合同之外的第三人。《合同法》针对这种状况束手无策,使部分企业在面临此类数据纠纷时显得束手束脚,可选择的途径无非是协商解决,严重点的就投诉至主管部门。这样的处理困境使很多企业被迫自救,通过提高网络技术水平和相关的管理经验来减少损失。虽然这从一定程度上提高了企业的风险意识,但同时也给企业带来了高昂的成本,一旦处理不好便容易让企业的数据开发和应用陷入法律纠纷。华为和腾讯的用户数据之争、顺丰和菜鸟的数据事件就是这样的案例。
在部分纠纷中,当事人和法院在现有法律体系中寻求解决方案,使数据纠纷进入司法视角。对于数据特别是衍生数据的归属问题,当前司法实践往往采取扩充适用《反不正当竞争法》第2条的一般性条款,将非法侵入、使用企业数据等行为概括认定为抽象的不正当竞争行为,以此来对数据控制企业进行救济。例如,新浪微博起诉脉脉抓取使用微博用户信息案,大众点评诉百度不正当竞争案,等等。
对于企业对其所掌握的数据拥有何种权利这个问题,法院判决中没有明确的回答。例如,北京阳光数据公司诉上海霸才数据信息有限公司技术合同纠纷案 ,以及上海钢联电子商务有限公司诉上海纵横今日钢铁电子商务有限公司案 ,法院判决均是承认企业对其拥有和控制的衍生数据存在人力、物力、财力的投入,从而支持数据控制企业禁止他人复制、转载其数据的诉讼请求。这种做法只能被认为是变相承认企业对其通过加工、分析等行为形成的衍生数据享有一种新的排他性的财产权。综上所述,虽然这些案件可以用反不正当竞争的名义进行判决,对数据财产也起到了一定的保护作用,但由于一般性条款并不具备完全有效的针对性,且判决中变相承认企业对其衍生数据享有排他性的财产权这种保护逻辑也没有获得立法上的确认,因此不足以给予数据控制企业充分、有效的保护。
(1)一般性条款保护方式本身饱受质疑
首先,一般性的兜底条款是化解立法者建构体系完备、逻辑严密的法律规则的愿景与世间万物纷繁复杂无法概全的矛盾的工具,是立法上的次优选择。一旦相关事实频繁出现或时机成熟,立法者就会将现有的裁判逻辑类型化写入法律。
其次,司法的正当性和稳定性是一国法制体系的保障,而一般性条款的保护方式损害了司法判决的可预期性。因为立法中一般性条款的目的往往在于兜底而没有具体的构成要件及损害后果,所以依靠法官的自由裁量、通过法官造法将规范明确。因此,单从法律的稳定性、法律实施的可预期性而言,一般性条款的普遍使用就并不恰当。
(2)一般性条款在数据财产保护上的劣势
一般性条款所表征的行为规制模式并未真正回应《民法总则》第127条,避免对用户数据做出明确的法律定位。一般性条款对数据财产法益所需求的排除他人支配性,通过间接保护区别于赋予数据产权这种实体权利的直接保护方式。一般性条款的数据保护方式并不能对数据控制者提供类似于所有权的保护效果:第一,不具有绝对性,数据控制者不能向其以外的一切人主张,只能选择与其有竞争关系的对手主张;第二,救济方式的限制,即企业经营者只能主张救济性权利,而不能主张积极性权利进行转让、许可或设定担保;第三,一般性条款以满足侵权构成要件为前提,但企业经营者的需求是绝对请求权,即不考虑实际损失和侵害人过错。因此,数据控制者必须证明其实际受到损失与对方行为具有可责性,这无疑增加了维权的难度。一味地模糊化法律定纷止争的功能性,也许在产业发展的前期能起到一定的反垄断作用,但这并非长久之计,我们在明确数据产业发展需求与前景后应当谋求建立一种实体权利保障。
3. 学术界的众说纷纭
在数据财产法益如何上升为权利的讨论中,很多学者主张数据财产利益可以通过既有的法律体系来完成保护,数据财产与其他财产无本质区别,但在数据财产归属于何种财产权上存在较多分歧。目前主要存在以下四种归属方式。
(1)所有权保护说
顾名思义,所有权保护说认为数据财产利益属于既有的所有权保护项下。该观点认为数据控制者对数据享有的占有、使用、收益和处分的所有权,大数据交易的前提是数据控制者的数据所有权。在数字经济下,大数据所掩藏的经济价值以及通过数据挖掘分析所提升的分析技术是数据交易的根本价值所在,也是数据财产保护的根源。
所有权保护说的实践依据是贵州大数据交易所确立的9项交易原则,原则明确将数据财产的归属直接以“数据所有权”一词指代。另外,《贵阳大数据交易所702公约》在有关交易类型的描述中提及,大数据交易不涉及原始数据中携带的个人隐私等信息,其交易对象是经过数据清洗、分析后的衍生数据,因此不存在用户人格利益受损的问题。《贵阳大数据观山湖公约》更是将数据所有权单列一章,指出“数据确权主要是确定数据的权利人,即谁拥有数据的所有权、占有权、使用权、收益权”。
所有权保护说的理论依据是数据具有财产属性,有学者认为所有权可以财产权利作为客体。虽然我国学理上认为《物权法》的客体特指有体物,项下分为动产与不动产,但这并不意味着权利不能作为物权的客体。例如,有学者认为知识产权的客体就是权利,这是对权利可作为物权客体的有力论证。
在具体适用层面,该观点认为,数据的所有权应当基于不同情况进行界定。第一种情况是大家普遍关心的个人数据的交易问题。依据现行法律规定,我国出售公民个人信息的行为是被禁止的。关于此类问题,《全国人大常委会关于加强网络信息保护的决定》中有具体规定,并且《刑法修正案(七)》中增加了出售、非法提供公民个人信息罪的罪名,以此来保障公民个人信息不受侵犯。但是从现在数据交易的趋势来看,个人信息的交易合法化也存在可能性。个人数据属于用户本人,企业仅可获得数据的使用权。因此,用户对数据享有类似于所有权的权能,即占有、使用、收益、处分的权能。第二类情况是在针对个人数据进行匿名化处理后的衍生数据的所有权应该归属于企业,但是需经过用户的知情同意,这是一种限制性所有权。
通过所有权来保护数据利益并不可行。论其原因,从理论与实践两个角度进行阐述。首先,理论上,物权法中物权的标的物原则上限于特定物、独立物和有体物;数据显然不具备独立性,数据的存在依赖计算机介质进行存储、计算、显示等,无法独立进行利用。而且,根据《中华人民共和国物权法》第2条关于物权客体的立法规定,大数据并非动产,更不是不动产,现有法律规定中也未明确将数据权利作为物权客体。另外,由于数据的可复制性,很难遵循物权法“一物一权主义”与排他性效力,故通过所有权保护数据利益与现有物权理论冲突。其次,实践上,仅根据《贵阳大数据交易所702公约》以及《贵阳大数据观山湖公约》中的表述,不能认定数据财产的法律属性,原因在于贵阳大数据交易所并非立法机构,其对交易规则的描述不具有法学意义。而且在通俗语言环境下,人们口中的所有权并不特指法学意义上的所有权,仅代表数据权属。这是通俗语言体系的惯性运用,不具有法学意义。因此,所有权保护说不可取。
(2)知识产权保护说
有学者提出了知识产权保护说,认为衍生数据的性质属于智力成果。其理由有三:第一,衍生数据是对原生数据的加工、计算、集合,这个过程包含了智力创造;第二,衍生数据属于非物质化的知识形态的劳动产品,属于智力成果;第三,衍生数据不具有公开性,即取得权利前不能予以公布周知。另外,针对数据与传统知识产权的明显不同,该观点主张在知识产权保护项下建立数据专有权,不需具备创造性,即可获得权利保护。在实践上,贵阳大数据交易所官网上有关大数据交易区块链技术的介绍中提及应用区块链技术后由于编号不变,避免购买方重新上架销售,达到了卖方保护知识产权的目的。除此之外,值得一提的是我国《民法总则草案(征求意见稿)》在列举知识产权的权利客体时新增了“数据信息”一项,但由于争议颇多,最后将数据信息单独规定。
虽然知识产权保护说看到了数据的非物质性、可复制性与知识产权的无形性、专有性、可复制性契合,该观点有其致命的缺陷,即企业对数据的加工和利用达不到知识产权的创造性标准。知识产权的形成并不是表彰权利主体人力、物力、财力的投入,也不是以权利的形式彰显对某种信息的占有,而是意在强调知识产权产生所代表的智力成果,并且立法对这种智力成果还提出了较高的标准——要具有创造性。因此,知识产权保护的对象限于已形成的完整的智力成果,而不是构成智力成果的元素——信息。换句话说,知识产权保护抽象的创造性整体,不保护其组成因子。而且,针对上述“衍生数据属于非物质化的知识形态的劳动产品,属于智力成果”的论证存在缺陷,因为非物质性与劳动产品的组合不一定得出智力成果的结论。也就是说,非物质性、劳动产品是智力成果的必要不充分条件。再者,该观点主张在知识产权项下设置数据专有权以取消创造性的门槛,来弥补其数据专有权自身创造性的不足。如果单设数据专有权,使其与知识产权并列,该做法无可厚非,还把握住了数据的本质。但是,如果将其列入知识产权的框架下,就无异于掩耳盗铃,将使知识产权构架体系崩塌。
(3)债权保护说
有学者提出了债权保护说,他们认为:
1)数据不是民事权利的客体,因为其不具备独立性、特定性,也不符合无形物的定义;
2)数据自身无价值,不能交易,因为目前数据所体现的经济价值本质上是信息的价值,并且其想进行资产化还需借助数据安全的技术举措;
3)大数据交易应定性为数据服务合同;
4)数据权利化难以实现,因为数据主体具有的不确定性、外部性,以及缺乏垄断性。
基于此,较物权保护说、知识产权保护说,债权保护说更加保守。总体来看,债权保护说不利于大数据时代经济发展的要求,并且存在一定的局限性,具体原因如下。
1)承认数据信息是民事权利的客体具有积极意义。首先,民法的调整对象是平等主体之间的人身关系、财产关系。所谓财产关系是指人们在生产、分配、交换和消费过程中形成的具有经济内容的关系。而数据利益正是在数据产业链条生产过程中形成的具有经济内容的社会关系,大数据交易更是其经济价值的集中体现。因此,数据纵有非独立性、复制性等特征,也不能抹杀其财产属性。数据财产与当前民法不相适应的地方应该通过立法完善进行修正,而不是强行睡在普罗克拉斯提斯之床上。对此,《民法总则》的编纂就很好地回应了大数据时代的需求。
2)数据具有独立的经济价值,而且数据比信息更具有赋权的可能性。数据在横纵关系化过程中体现其自身价值。数据是信息的基础,相较于信息,数据体现为代码,未经过可视化展示的信息则如同镜中花、水中月,只可意会,不可言传。纵然价值的表象是信息,但本质还是数据,因而数据的赋权更具可能性。
3)任何事物都具有正反两面,不能只因为数据存在外部性就固步自封,更何况外部性还有正外部性与负外部性之分。因此,债权保护说不可取。
(4)新型数据产权保护说
在当前财产权理论不足以周延保护大数据时代数据财产利益的情况下,不少学者提出了新的解决方案,即构建新型数据产权来弥补理论上的不足。
新型数据产权理论指出,数据权应包括个人数据权和数据产权。个人数据权是一种新的人格权类型,特指自然人依法对其个人数据进行控制和支配并排除他人干涉的权利。
数据产权是保护数据权利人对数据财产直接控制和支配的权利,其同物权中的所有权类似,都是强调对物的占有。因此,数据产权也应遵循所有权的权能,表现为占有、使用、收益、处分四项,以此来实现四种效力表现。其一是实现排他效力。也就是说,在同一个数据财产中不应有两个或两个以上内容相同的财产权。其二是实现数据产权优先于债权的优先效力,以突显对数据的占有控制。其三是实现数据产权的追及效力。形象地说,这种效力像一个定位跟踪器,当追踪到该数据财产现在的占有人时,数据产权人得以请求其返还占有,无论该数据财产是否几经易手。其四是实现对数据财产的救济功能,即请求权效力,也就是在数据产权人的数据财产遭到侵害时,权利人有权向侵权人请求排除妨害、恢复原状等主张。