欧洲数据经济潮流涌动,数据市场的完整性和专业性不断增强。繁复的数据运用和价值挖掘,使得以数据经营和利用为核心的利益关系更为复杂,传统法律框架已不足以实现良好的规范效果。
作为一种新兴资产,以是否具有人格利益为标准,可以分为个人数据和非个人数据。虽然,已经发布的《非个人数据自由流动条例(提案)》对非个人数据自由流动作出了一定的制度安排,如废除欧盟各成员国的数据本地化(data localization)要求等。但该法案只是一个行为规范,并未就相关主体与其拥有的数据之间的法律关系进行明确的定性或赋权。此外,著作权、数据库权、商业秘密保护、合同机制等既有框架虽然能为数据主体之间的行为提供一定规范作用,但各有其不足,以致非个人数据保护依然缺乏完整有效的制度安排。
2017 年 1 月,欧盟委员会发布了有关建立欧洲数据经济的政府文件,明确了欧洲数字单一市场战略的三大目标,直指数据经济效益的充分发挥和内在协调。在这一背景下,欧洲就非个人数据和数据生产者权利展开研究,提出了新型数据产权,以规范市场和交易。
数据产权的历史背景
数据经济发展的法律诉求
数据已经不再是一座价值孤岛,而是与云计算,物联网,无人驾驶和人工智能等先进技术集群相联系,成为数字经济高速发展的驱动基础。数据市场结构的完整性和专业性不断增强,数据交易以前所未有的广度和深度发展着。数据使用遍布线上和线下的零售、旅游、通信、金融、医疗和公共部门等多个领域,从精准营销、智能决策和提升运营效率等多角度提升企业竞争力。此外,数据市场价值增长前景非常可期,2017 年报告《建立欧盟数据经济》(Buildingthe European Data Economy) 指 出, 欧 盟 数 据市场的价值在 2016 年约为 600 亿欧元,相比2015 年增长了 9.5%,并预计在 2020 年将超过1060 亿欧元。
2014 年欧盟召开“数据驱动型经济交流会”,鼓励数据方面的创新性产品和服务,为欧盟在促进数据生态系统层面上的行动铺平了道路。2017 年 1 月,欧盟委员会发布了有关建立欧洲数据经济的政府文件。作为欧洲数字单一市场战略(于 2015 年启动)的一部分,这批文件阐述了欧盟市场在数据经济的新环境下法律和监管框架的一般问题。其中提出三个主要目标:①最大限度发挥数据效益,便于对机器生成的数据的获取和共享;②保护投资,资产和机密数据,建立完善的投机和创新激励机制;③确保数据持有人,处理者和服务提供商在价值链内公平分享利益。
数据经济的发展不仅驱动了政策战略的改变,也为数据法律制度提出了新的诉求。对此,欧盟委员会认为,有利于数据交易发展的法律环境的缺失,可能导致大量数据库的可获取性降低,对数据市场参与者形成障碍,甚至导致不正当竞争。2017 年 9 月,欧盟委员会发布了关于欧盟非个人数据自由流通框架的规定,其目的在于弥补 GDPR 在非个人数据领域的规范空白,避免各成员国的数据本地化限制,增强欧盟单一市场内非个人数据跨境流动性。引入“非个人数据”这一概念是为了保障数据具有充分的自由流动性、互操作性和可移植性,以促进欧洲经济的全球竞争力。在提案中,欧盟对非个人数据的定义采用了排除法,即 GDPR第 4 条所规定的个人数据以外的数据。非个人数据主要有两种产生原因,其一是个人数据经过匿名化处理,其二是原本就是非个人数据(例如传感器收集的户外温度的波动数据)。GDPR对个人数据的处理做出了规定,是欧盟数据自由流通的基础,但 GDPR 并不涵盖非个人数据。对此,欧洲呼吁保护非个人数据的财产利益,为此设立数据产权,规范市场和交易。
现有保护框架的不足
(1)版权保护,对独创性要求较高。比如,英国修改后的版权、设计和专利法(Copyright, Designs and Patents Act 1988),规定只有对具体内容的选择和编排达到最低限度的创造性标准(即显示作者个人智力创造性)时,数据才能受版权保护。但现实中,由于大多数数据是系统和设备自动收集,即使是系统内设了特定的选择机制甚至通过人工智能收集,其结果将只是对自然发生的事实的全面而客观的准确记录,难以满足“智力创造”的要求。
知识产权主要保护以独创性、新颖性和实用性等标准衡量的智力成果,其保护对象限于部分信息。数据中有很大一部分并非是智力劳动的产物,但依然值得作为数据价值周期内的宝贵资产加以保护。此外,知识产权虽然能为数据权利提供法律上的确定性,但其强势的保护方式不能满足数据权利对灵活性的要求。
(2)数据库权保护,需满足较高的投资标准。过去,欧盟《数据库指令》(The Database Directive)在数据保护领域占有主导地位。其主要目的是保护为获取、区分和呈现数据所做出的实质性投资,消除因欧盟成员国之间没有协调统一的版权法而导致的在数据库保护层面的贸易差异。数据库指令阐述了版权领域的现有权利并引入了一种完全新颖的知识产权权利——数据库特殊权利(the sui generis database right)。版权和数据库特殊权利的区别主要是:前者基于对数据库中数据进行收集和整理的智力性劳动成果;后者则是在数据库的获取、验证和展示上已经付出巨大投资,并在此基础上限制他人获取或二次使用该数据库(含其中的数据)的权利。
但实践中,如赛马案,法院的判例为满足数据库保护标准的投资要求设置了较高的限制,即投资是指对开发或建构数据库的投资,而非对创设数据的投资。数据库权利的保护范围因此被缩小,只有满足高投资标准的数据库才受该权利保护。对投资的举证责任负担使许多寻求开发和利用数据库的人转而选择通过限制对数据库的访问,加密处理数据或通过数据使用许可合同来保护他们的投资,并以此作为特殊数据库权利保护的替代方法。结果导致数据库特殊权利的实际效果并不理想。欧盟委员会已经宣布,将对《数据库指令》进行评估,修改现有的框架,并确定新的数据权利的范围。
(3)商业秘密保护由于自身特征存在不足。2016年 6 月 8 日,欧洲议会和欧盟理事会通过 了《 商 业 秘 密 保 护 指 令》(Trade Secrets Directive),符合保护标准的具体条件为:①秘密性(不可知或不易获取);②商业价值性;③已经被采取合理的保密措施。该指令明确,无论技术性(如生产流程)还是商业性(如客户名单)信息都可以成为商业秘密,其中包括财务数据、技术数据和测试数据等,并为各成员国提供了 24 个月的转换期。
该指令原则上承认了特定主体对特定数据的控制权,但在所有权问题上保持中立。而实践中,不仅秘密性的证成并非易事,对保密措施是否满足特定要求的判定也具有不确定性(一般做法都是将数据存储于特定的服务器上)。因此,基于数据可被重复、多次、多主体获取的特点,商业秘密的保护框架存在不足。
(4)GDPR 为个人数据提供较为充足的隐私权保护,并未规定数据能成为财产权的客体。英国学者指出,当下个人数据和其他数据的界限越来越不清晰,因为数据被收集之后会被再次组合,且数据分析技术的发展使得数据更容易具有可识别性。在这种背景下,学者认为 GDPR中的权利和义务只是隐私权的延伸。GDPR并没有规定数据能成为财产权的客体,而只是规范了数据和数据控制者、处理者之间的关系。正如前文所述,数据产权之客体——非个人数据的核心就是不可识别性,即被剥离人格利益之后的纯粹财产性权利。因此,只有在非个人数据因技术等原因滑向个人数据领域时,或者在数据成为非个人数据之前,GDPR 才能发挥作用。
(5)合同保护由于相对性存在不足。欧盟法律在合同的整个生命周期内都为消费者提供了相对应的救济和保护,消费者据此可以期待其权利能在国内乃至全球的数字市场上得到保护,但是否能够切实保障这一期待又是另一问题。欧盟委员会在 2015 年 12 月发布了数字内容提案,旨在规范和调整数字市场中有关数字内容的消费者和供应商之间的关系。但该项提案只适用于供应商要求和消费者主动提供数据的合同环境下,而不适用于类似 cookie 收集和为履行合同所需而自动收集(被默许)的情况。此外,数据价值链中主体多样且关系复杂,双方的数据协议容易忽视潜在的第三者,造成不可期的纠纷甚至侵权。合同法的相对性不足以应对数据产权的非专有性和可获取性,复杂的价值链关系需要一个强有力的权利制度来规范行业交易,明确数据归属。
除了上述版权、数据库、商业秘密、隐私权、消费者权益等保护机制以外,欧盟各国在数据权利保护方面的其他落脚点,也难以支撑当下的制度需求。英国 1990 年计算机滥用法案为未经授权使用计算机系统以及修改数据的行为设立刑罚,但由于举证难度和立法缺陷,目前为止很少适用。在数据获取方面,2015 年法国确定了公共部门信息的免费再利用规定,采纳免费为主的原则。2016 年法国竞争委员会宣布将针对在线广告的数据利用问题发布具体意见,但目前法国尚没有针对非个人数据的专门法规。德国信息自由法确保了公共信息在一般情况下的自由流动。但就私人持有的数据而言,竞争法没有为获取其他公司的数据提供具有普适性的权利支持。竞争法下,只有欧盟的“基础设施原则”可能为获取其他公司持有的数据提供法律依据,但该原则的适用是非常严格的。
数据产权的基本概况
数据产权的概念和性质
欧洲对数据产权的研究经历了从数据所有权(data ownership) 到 数 据 生 产 者 权(data producer’s right)的变化,体现了欧洲对新型数据产权认识的不断明确和清晰。2016 年欧盟发布的《数据获取和所有权的法律研究》(Legal Study on Ownership and Access to Data )对欧盟各国就数据所有权的立法和司法实践做出了分析。2017 年《构建欧洲数据经济》提出通过“数据生产者权利”鼓励(特殊情况下强制)公司授予第三方访问其数据,促进数据交流和增值。从概念上分析,欧洲广泛关注的数据产权可以总结为:设备的所有者或长期用户(如承租人),基于收集和分析处理等操作,对非个人数据享有的使用和许可他人使用,并防止他人未经授权使用和获取数据的权利。且当涉及交通管理和环境治理等公共利益时,数据生产者不得专享数据。
在欧洲,学术界对数据权利的性质讨论由来已久。早在 1988 年就有学者提出“数据管理权”的概念,并认为这可能会更恰当一些。英国学者克里斯托弗·里斯 (Christopher Rees) 认为数据可以被归类为财产(基于财产的简单定义,即能使用并排除他人使用某物的权利)。德国学者 T. 霍伦 (T. Hoeren) 教授在现行德国法律框架和法理学的基础上,对数据所有权问题进行了研究,得出结论:“一般来说,数据权利归属于数据的开发者、创建者或生产者。如果是职务数据(借鉴美国版权术语),则权利属于雇主。”也有学者认为,可以根据德国民法第 950条(通过加工或改造一种或多种物,创造新的可移动物的人获得新物的所有权,除非加工或改造的价值显著低于原物,加工行为包括书写、绘画、上色、印刷、雕刻或其他类似的表面处理行为)对数据主张某种财产权。即使众说纷纭,不能否认的是,数据的特点(如无限性和兼容性)使数据产权外延内的“所有权”(ownership)和一般民法对所有权(对财产享有的使用、收益和处分的排他性权利)的界定不同。数据作为新型资产可以被视为能为人所控制的无形物且许多情况下并非智力成果,将数据作为一种类所有权的新型财产的观点开始出现。
在数据经济背景下,数据产权的内涵是超越字面文义的,实属类比性的而非定义性的使用。一般而言,相较于通过免费的方式获得某项财产(如赠与或继承),付出辛勤劳动的所有者会更心存感激。换句话说,所有权并不总是意味着高度的责任感。对此,在责任承担上,传统所有权人几乎完全拥有占有和使用该物的权益,既使是无民事行为能力人,且一般是在没有妥善保管物导致侵权事实发生的情况下才会存在责任问题。但是在数据所有权背景下,权利人的义务和责任更为沉重,不仅要对数据泄露和数据侵权等事件承担责任,也需要在日常数据收集和处理等工作中,履行相应的附随义务。
数据产权的特征
在权利特征方面,国外研究机构提出为了符合欧洲数据经济的建设需求,新型数据产权需要满足以下特征:①权利保护不仅及于非个人数据库而且及于集合内的每一个非个人数据;②有条件性;③非专有性;④该数据是所有权性质而非知识产权性;⑤追踪义务为数据权和传输义务提供补充。本文将主要阐述数据产权的非专有性和有条件性。
(1)非专有性。一般情况下,企业会通过技术手段,保护相关数据不受第三方侵犯。这种事实上的专有性足以使只有基于合同的交易方才能获取数据。在没有规范性权利的背景下,合同中有关违约披露数据的责任条款部分保证了公司能够控制数据的流向。为了平衡法律框架和现实条件对数据市场的杠杆作用,现实上的专有性不应作为“专有权”纳入权利框架中。一方面,这一取舍是基于促进数据流通和发挥数据效益,为数据经济创造良好环境的初衷,另一方面赋予数据权利专有性在当下行之有效的技术和合同壁垒面前,显得多余且存在滥用风险。除了经济因素的考虑外,主体多,关系复杂以及数据的互操作性和可移植性也使得“谁专有、因何专有、专有何物”在法律上难以界定。因此,当技术水平使得数据的专有事实成为客观状态,立足于鼓励数据交易并保障数据可获取性的经济目的,数据产权应当为非专有性。
保障数据可获取性的动因是发挥经济效应和抵制数据垄断。数据具有非竞争性、非排他性和无穷性,能实现交叉使用和共享。专有权的设想会限制数据在生命周期内的价值可能性,阻碍数据经济的发展,因此是不切实际的。相比之下,非排他性权利能让数据发挥因地因人而异的多重优点,实现利益最大化。
(2)有条件性。数据经济的获益者种类众多,数据市场主体之间的相互关系是数据价值链的基本纽带。在实践中,整个数据价值链中的主体包括互联网服务提供者、IT 基础设施提供商、数据经纪人、个人(如数据主体,消费者,病人等)、公共部门、数据分析服务提供商和数据驱动型企业等,所有主体都只有在对数据进行了符合条件的操作之后才能享有数据产权。
国际标准化委员会和国际电工委员定义“数据处理”为“数据操作的系统化执行”。借鉴GDPR 对数据处理作出的定义,对非个人数据的处理行为可以包括收集、记录、组织、结构化、存储、修改或变更、检索、咨询、使用、以传播或其他方式披露、排列或组合、限制、删除或毁坏等单一或系列操作。出于促进数据交易和增值的要求,对数据进行过特定操作是数据价值链中的各主体主张数据产权的前提,即数据产权人需要对数据进行过架构化、丰富化、协调化和系统化操作。据此,代表权利人利益处理数据的主体(如技术中介者)并不会被视为权利人,但该类主体会受益于后者的数据传输义务。
数据产权的内容
(1)数据产权应为积极性的财产权,针对非个人的或匿名化的机器生成数据。《构建欧洲数据经济》中的新建议:“数据生产者权利”,将是一个“你来我往”的权利,数据生产者提供数据访问许可,并享有报酬。与过去的特殊数据库权利和版权相比,可强制他人停止盗用和滥用等侵权行为。对于这项未来权利,一种可能是积极性的财产权,即数据生产者有权使用或许可他人使用其数据,禁止任何无权使用者进一步使用数据,就未经授权擅自访问和使用其数据的行为提起损害赔偿请求的权利。而另一种可能是,数据生产者权利仅仅是纯粹的防御性权利,只允许在非法盗用数据的案件中提起诉讼。第二种可能实则并非保护“所有权”,而只是保护事实上的“持有”。部分学者认为,出于激励数据经济发展,发挥数据交易潜力的目的,积极的数据产权将更有利。
根据欧盟在《构建欧洲数据经济》中的表述,该项权利的客体应当为“非个人或匿名化的机器生成数据”(non-personal or anonymized machine-generated data)。机器生成数据,是在没有人类直接干预的情况下,由计算机程序、应用和服务,或由处理从设备、软件或机器接收到的信息的传感器生成的数据。机器生成的数据可以分为个人和非个人数据,具有可识别的数据为个人数据,在完全匿名化之前,受个人数据保护规则调整。非个人数据的特点主要有三个:可移植性,即数据可被移动到或导入任何其他网络容器中,为数据交易创造低廉的转移成本;互通性,即给定的数据能够通过适当的技术规格,为其他计算机或操作系统所识别或兼容,以实现数字服务数据的无缝交换;标准化,即数据自身应当以合理的结构,并以机器可读的常见格式进行流通,保证技术中立,促进数据可移植性。
借鉴 GDPR 的规定,对非个人数据的保护不仅限于在欧洲设立的数据控制者和数据处理者,还应扩大到未在欧洲设立但涉及相关数据服务的主体进行的非个人数据处理行为。因此,在促进欧洲数据经济发展的相同目的下,数据产权的适用范围应为“无论是否在欧洲境内设立,只要数据处理行为发生在欧洲,或者处理涉及源于欧洲的数据”的主体。此外,为了确保欧洲数据保护水平的统一性和有效性,消除数据流动壁垒,各成员国之间数据保护水平应当相当。
(2)追踪机制应被作为数据产权的前提条件。由于数据的所有权具有非排他性,因此要避免主体随意主张权利,即在没有证据证明其处理过相关数据的情况下主张享有权利。执行处理行为的事实是数据产权保护的前提,追踪机制能够证明该事实存在,防止权利滥用并提供法律上的确定性。追踪机制要求相关主体能随时提供证据证明其权利主张所针对的数据来源,具体可通过为持续更新追踪日志实现。
追踪机制的目的有三点:①可追踪性是所有权的有效性要求,追踪日志能为主体主张权利提供证据;②追踪日志是证明权利合法使用的关键要素,能够表明相关数据集的创建未侵犯第三方权利;③追踪日志和数据的同步传输可以反映数据流向,有助于履行其他相关法律义务。例如,有 助 于 数 据 处 理 者 积 极 响 应 数据主体的访问个人数据的请求,或者,按照GDPR 和网络和信息系统安全指令(NIS)的规定,在发生数据泄露和其他安全事故时及时而恰当地履行告知义务。由于个人数据和非个人数据的界限存在被技术冲破的可能性,追踪日志将在这种不稳定性危害发生时发挥重要作用。此外,从整个数据市场发展的角度,追踪义务能够建立追踪机制,让市场主体的行为更加规范化,便利监管和权利保护。当然,追踪机制可以通过“软法”加以确定,如行为守则或认证机制。
(3)数据访问的特殊机制。一方面,委员会承认,具体的非个人数据的访问和使用规则可以通过合同方式协商解决。另一方面,委员会认为,单靠市场维持非个人数据的流动性和非专有性是不足够的。对此,欧盟委员会提出了数据生产者应当许可他人访问数据的特殊机制。主要有以下三点建议:首先,当涉及公共利益时,欧盟委员会建议公共机构可通过获取第三方“涉及公共利益”的数据库信息,并借此改善公共事业的发展。例如,地方当局有权访问和获取私家车辆收集的实时交通信息,以便改善交通管理,或者借此监控空气污染状态。其次,关于 FRAND 条款,欧盟委员会还提出了在“公平,合理和非歧视”条款下建立数据许可框架的可能性。到目前为止,欧盟仅在特殊情况下依据FRAND 条款予以知识产权的强制许可,例如在专利权人在相关领域具有主导地位,并且没有可替代使用的专利技术时。因此,将强制许可扩大到数据库许可将是未来的发展趋势。再者,建议在利益相关者的意见综合下,拟定格式合同。这将有望降低交易成本,为中小企业和初创公司提供更公平的利用数据机会。
数据产权的未来展望
在法律操作领域,基于数据价值链的复杂关系,数据产权不可能取代过去相关法律对数据及相关主体的所有保护作用。因此,如何与其他相关法律相协调以实现最佳的规范效果是数据产权必须解决的问题,学者对此持乐观态度。就知识产权而言,独创性是侵权的重要抗辩事由,也是创新社会所必须捍卫的激励机制。非排他性的数据产权与一种排他性的数据库权利的对立性会被追踪机制解决,因为追踪义务能够解释数据的独立来源,类似于一种“独创性”证据。
当并非以“不合理”的方式对待数据,以伯尔尼公约的三步测试法为标准,大部分的数据分析和使用并不会破坏“作品”的正常开发或对相关权利人利益造成损害。因此,当受著作权保护的数据并非以“作品”的形式被使用,数据分析和非专有性产权项下的数据不会构成著作权侵权。对于商业秘密项下保护的数据,一方面合同可以解决相关保密义务的约定,另一方面追踪日志可以应对相关盗用商业秘密的无端指控。数据保护法框架下的数据主体的权利应该和非排他性数据所有权并行,数据控制者和运行者在面对个人数据的时候只需要遵守GDPR 的相关规定。GDPR 中的相关义务不受新的非排他性数据产权的影响,如去识别化和加密处理等安全义务不会受到影响。同时,追踪义务将有助于遵守 GDPR 规定的数据获取和及时通知义务。
数据产权作为新型法律框架,将为欧洲社会经济带来重要影响。展望未来,权利机制将刺激数据市场主体进一步追求经济效益,数据生产者和其他经营商将放眼欧盟各个成员国,扩大受益范围和交易可能性,加速欧洲数据市场的成熟完善。就数据使用者而言,在促进数据流通的理念下,数据产权的非排他性能够降低数据垄断的风险。公共机构和中小企业,以及其他数据生产能力较弱的市场主体,将拥有法定机制保障其对有益信息的获取,在推动企业发展的同时,提供更优质的商品和服务,造福社会。
除了前述的利好前景外,还应注意到企业“趋利避害”的本质。那些认为数据应受独享,视数据流通和共享为威胁的企业,可能会主动选择转移至英国等非欧盟国家,以使其数据不受欧盟立法影响,尤其是在为了避免数据被强制使用的情况下。此外,诸如卫生保健行业等数据持有量大的企业和行业,对数据的分析和处理将更容易产生风险,也面临更大的安全义务和社会责任。因此需要进一步完善技术、加大研发投入,为充分保护公众和公司利益提供客观基础。
作者:曹建峰,腾讯研究院法律研究中心、未来科技中心高级研究员,中国互联网协会青年专家,主要从事人工智能法律与伦理研究,关注领域包括人工智能、法律科技、数据保护等。祝林华,腾讯研究院助理研究员,中山大学法学院在读硕士,主要研究方向网络知识产权等。
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。