《大数据》2015年第2期“专题”——关于大数据交易核心法律问题 —— 数据所有权的探讨及建议...
關于大數據交易核心法律問題——數據所有權的探討及建議
王 融
中國信息通信研究院互聯網法律中心 北京 100191
摘要:清晰的產權歸屬是交易的前提與基礎。然而,當前關于數據的產權歸屬問題還遠未達成共識,特別是在去除個人身份屬性的數據交易中,到底是數據主體(產生數據的個人)還是記錄數據的企業擁有數據的所有權,各方莫衷一是。筆者提出的思路是:原始/底層的個人數據,所有權歸用戶本人所有;而在原始數據基礎上,經過充分匿名化獲得的數據集,企業享有限制性的所有權。
關鍵詞:數據;產權;限制性的所有權
doi: 10.11959/j.issn.2096-0271.2015018
Discussionon the Legal Core Question of the Data Ownership in Big Data Trade
Wang Rong
Internet Law Center of China Academy of Information and
Communication Technology, Beijing 100191,China
Abstract:The clear property right is the fundamental precondition of trade. However, the question of the data property right is still far not reached a consensus in the current. Especially in the circumstance of removal of personal identity attribute data, who has the property right of the anonymous data, the data subject or the enterprise that record the data? The author puts forward an exploratory opinion that for the original personal data, the data subject owns his data. For the fully anonymous data sets based on the raw data, the enterprise that record the data should be entitled a restricted ownership on it.
Key words:data, the ownership of the property rights, restricted ownership
1 關于數據所有權的兩種觀點
在風起云涌的大數據時代,數據的收集、分析與利用逐漸構成企業運營的核心。除了自身提供服務獲得的數據外,企業對數據的需求進一步向外圍擴展,以買賣、共享為特征的數據交易成為引人注目的商業現象。2015年4月15日,貴陽大數據交易所掛牌成立,成為我國首個專門提供數據交易的服務平臺。緊接著,7月22日,武漢也成立武漢東湖大數據交易中心。
大數據即大生意,生意的核心在“交易”。商業交易的前提是清晰的產權歸屬。如果產權存在瑕疵,則意味著交易存在法律風險。貴州數據交易所確立了9項交易原則,其中之一便是:“數據買賣雙方要保證數據所有權、合法、可信、不被濫用”。雖然在一個多月的時間里,貴陽交易所已經完成了11筆數據交易,然而可以看到,各方對于數據所有權問題目前并沒有統一的看法。
有人主張,應對數據設立“財產權利”,強調個人對數據享有的優先財產權利,并以此對企業的數據利用、交易行為予以制約。其認為:數據交易產生的數據商品化現象將帶來對個人隱私的極大傷害,并產生難以預計的信息安全問題,大范圍失控的數據交易也將為違法活動提供溫床。因此主張:對數據這一新型生產資料,在法律上另設一財產類別,或可稱之為“數據財產”,與現有法律認可的無形財產分開。這一新型財產權利的設立應當重新定位價值順序,權利的出發點是人而非物,數據主體(即產生數據的本人)應擁有優先的權利。無獨有偶,在圍繞我國cookie第一案的討論中,有學者也認為,要徹底解決未來數字經濟的難題,法律有必要承認用戶個人對數據的財產權利,進而對互聯網公司的行為加以約束。
另一種觀點則代表產業界立場,認為數據控制者(即收集及利用數據的主體)對數據擁有絕對的所有權。2015年7月23日,阿里巴巴旗下的云計算公司阿里云發起數據保護倡議。這份公開倡議書明確:運行在云計算平臺上的開發者、公司、政府、社會機構的數據,所有權絕對屬于客戶;云計算平臺不得將這些數據移作它用。
這份倡議主要著眼于解決云計算服務提供者(云平臺)與云計算服務使用者(云客戶)的關系,倡議提出:云平臺不得將客戶的數據移作它用。從處理云平臺與云客戶的關系出發,該原則無疑是值得肯定的。正如在現實生活中,房東無權處分租戶的財產一樣,云平臺當然不得侵害云客戶的數據。但值得注意的是,除了強調云平臺不得侵害客戶數據的同時,這份倡議中也觸及了所謂“云客戶”與其提供的數據之間的關系,提出云客戶對其數據享有絕對所有權。在云計算環境下,“云客戶”不等于“個人用戶”。云客戶包括了開發者、公司、政府、社會機構以及普通個人用戶。在排除普通個人用戶的情形下,按照倡議的絕對所有權觀點,意味著開發者、公司、政府對于其在提供服務或者履行職責中獲得的用戶個人數據,享有絕對的所有權,并因此可以自由地使用、分享、交換、轉移、刪除這些數據。相應地,作為產生這些數據的用戶個人,不能對企業、政府、開發者的數據處分活動主張任何權利。
顯然,上述兩種觀點有著不同的價值取向,前者以用戶個人為優先項,通過用戶行使個人數據財產權,間接地對企業數據交易活動起到限制作用;后者則從產業的立場出發,希望明確企業對于數據的完全的、絕對的所有權,為企業的數據處理活動松綁,最大程度地減少來自外界的干預。
2 討論數據所有權的前提是承認數據具有財產屬性
盡管上述兩種觀點在結論上分道揚鑣,但二者有一個共同的認知起點,即承認數據的財產屬性,或者說基于數據可以產生財產權益,這正是討論數據所有權的前提。
依據元照法律詞典解釋,所有權是指:一個人享有的對某物獨占性的支配權,是對物的占有、使用和以出租、出借、設定擔保、轉讓、贈與、交換等方式予以處分等權利的集合,也是法律承認權利人對作為權利客體的物(包括有形財產與無形財產)所享有的最充分、最完整、最廣泛的權利。
盡管我國《物權法》中的“物”僅指有體物,包括動產和不動產。但我國法律不排除權利可以作為物權的客體,例如知識產權中的財產權利等[1]。也就是說作為最重要和基本的物權——所有權,可以以財產權利作為客體。因此,如果承認在數據之上具有財產權利,便有了討論數據所有權的法律基礎。
考慮到本文主要分析的議題是:原始數據是用戶個人數據的情形下數據交易的產權問題。因此,本文以下主要討論個人數據的財產權利。而無論是市場實踐還是法學理論,個人數據具有財產屬性已經成為不可逆轉的歷史潮流。
從市場實踐看,個人數據的商品化充分說明了其具有財產性質。這種財產性不僅體現為個人數據具有使用價值,更體現在其轉讓價值得到了市場的認可。2014年4月,荷蘭學生肖恩·巴克爾斯建立一個拍賣網站來專門出售自己的個人信息,信息內容包括他的住址、醫療記錄、個人日程安排、電子郵件內容和所有社交網絡上交流的信息,其中網上交流信息包括他的在線聊天記錄、消費偏好和瀏覽器歷史記錄,拍賣網站吸引了超過40個買家前來競拍,最終肖恩·巴克爾斯以350歐元的價格出賣了自己的個人信息。此外,基于個人數據的財產價值,當前甚至出現了一種新的商業模式,即用戶可以按一定的價格將個人信息出售給服務商,之后服務商尋找廣告主或者其他數據需求方將用戶數據變現。
若繼續深究下去,就會發現很多向用戶免費提供的互聯網商業模式實際上都建立在以個人數據為對價的基礎上。只不過相較于出售個人數據獲得直接對價這種顯性的價值體現方式,互聯網商業模式中個人數據的財產價值體現是隱形化的。以搜索引擎廣告聯盟商業模式為例,聯盟網站獲得廣告費的基礎是聯盟能夠利用用戶的搜索歷史cookie記錄,向用戶投放個性化的廣告。因此,盡管用戶免費使用了搜索引擎,但實際上是用戶的搜索記錄等行為數據反哺了搜索業務,是搜索業務得以存續和發展的價值源泉。
而從法律的視角來看,法律領域也早已注意到個人數據商品化的發展趨勢,已具備為數據商品化發展趨勢提供法律支撐的理論基礎。個人數據是個人數據保護法保護的對象,個人數據權利的來源是人格權。傳統上,人格權區分于財產權,人格不能像財產一樣進行利用和交易。然而在市場經濟與現代商業的推動之下,人格權不僅具有精神利益,而且也具有財產利益的觀點,在法學理論上已得到普遍認可。最典型的即肖像權。明星、公眾人物通過合同方式轉讓個人的肖像使用權,并從中獲得財產收益,已成為司空見慣的商業現象[2]。對此我國現行立法也已提供了法律支撐。《民法通則》第100條規定,公民享有肖像權,未經本人同意,不得以營利為目的使用公民的肖像。本款規定從反向確認了肖像權具有財產權益[3]。
在這一點上,個人信息權與肖像權并無本質的不同。二者之間的主要差別僅在于:雖然每個人都享有基于本人肖像的財產權益,但這種財產權益的實現還有待于市場的認可,換句話說,并不是每個人都有機會主張自己肖像權的財產權益,僅僅明星、公眾人物等少數群體有機會予以主張;但從個人信息而言,不論是明星,還是普通百姓,市場均認可其個人數據的商業價值,理論上,每個人都能有行使其對個人數據財產權益的可能。
因此,現代人格權對于承認個人數據的財權權益已具備了相應的理論基礎,只是在規則層面,還需要在具體的法律制度中進一步明確個人數據權中的財產利益,并對數據商品化利用設立相應的法律規則。
3 對數據所有權界定的一種思路
在明確了數據具有財產利益的基礎上,需要回答的問題是,在大數據背景下,數據的所有權人究竟是誰?
3.1 基于不同場景的所有權界定
本文在一開始就介紹了兩種較為對立的觀點,一種觀點認為個人對數據擁有優先的財產權利,另一種觀點則認為企業對數據擁有絕對的所有權。筆者認為,上述兩種觀點都有偏頗之處,共同的缺憾是沒有結合具體的市場實踐給出針對性的分析,均體現出“一刀切”特點。考慮到當前對大數據的認識尚處于初級階段,幾乎難以提出“放之四海而皆準”的統一規則。科學的做法是區分不同的場景予以判斷和分析。具體到大數據交易的數據所有權問題,筆者認為,目前應至少區分以下兩類場景。
第一類場景是以個人數據為交易對象的場景。首先需明確的是,依據現有法律規定,我國禁止公民個人信息的出售行為。2012年《全國人大常委會關于加強網絡信息保護的決定》規定:任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息,不得出售或者非法向他人提供公民個人電子信息。刑法修正案(七)也將出售個人信息的行為作為違法犯罪活動追究刑事責任。但從未來而看,個人信息的交易合法化也并非完全沒有可能。個人信息本質是私權的處分對象,只要處分不對公共利益構成損害,則是個人的自由。換句話說,只要經得個人知情并同意,理論上,個人信息可以用來出售。正如上文中介紹,市場上已經出現了出售個人信息的商業模式。況且,人們對個人信息乃至隱私的觀念也在演變之中,比如00后與80后在隱私觀念上已經有了顯著的變化,更年輕的一代更加積極主動地擁抱網絡,將自己的生活狀態甚至心情感悟等日常生活的點點滴滴都公布于網絡,并從中獲得分享樂趣[4]。因此在法律上并不能完全排除個人將其個人信息出賣而獲益的正當性。
在此類場景下,筆者認為個人數據的所有權人就是數據主體本人。所有權人是指對物或者財產享有所有權的人。即對物或財產享有占有、使用、收益、轉讓或處分等權利的人。根據上述分析,個人數據具有財產屬性,而根據個人信息保護法的規定,個人對于個人數據具有完整的控制權利,這種控制權利主要體現為以個人的意志對個人數據的提供、使用、處分做出安排。基于此,個人數據中人格特征體現的財產價值應歸于數據主體本人享有和控制。
第二種場景是在個人數據基礎上,對數據做出匿名化處理(或稱之為去身份化處理)后進行的交易。在此類場景主要討論匿名化數據的所有權問題,而這正是當前大數據交易中最急迫的問題。
筆者的觀點是,在用戶數據基礎上,對數據做出匿名化處理的數據集(以下簡稱匿名化數據集),企業(即數據控制者,最初決定收集目的并經用戶同意授權,取得用戶數據的主體)對該匿名化數據集享有有限定的所有權。對這一觀點,可以分以下幾層進行解釋。
第一,企業對匿名化數據集享有所有權。從法律層面看,企業對于用戶數據的匿名化處理,切斷了用戶對數據的法律聯系。因為用戶對于數據主張權利的來源是個人信息保護法。而個人信息保護法適用的對象是個人數據,在數據去身份化后,該數據已經與用戶沒有了法律關系。這也是國內大數據交易合法性的最基礎邏輯。正如貴州數據交易所強調:交易所交易的不是底層數據,而是清洗、分析、建模之后的數據結果。但這里需要指出的是“數據清洗”不等于“數據匿名”。數據清洗從大數據分析與利用的角度出發,是指通過加工整理,將不規則的數據轉變為規則的數據,去除無用元素,從無序轉變為有序,從而為數據分析打下基礎;而數據匿名化則強調的是去除數據中的用戶身份數據,消除數據的身份可識別性,是從保護用戶隱私的角度而開展的工作。如上分析,“數據清洗”的結果并不必然實現數據的匿名化,在涉及所有權問題時,必須強調只有經過充分匿名化的數據,企業才對其享有所有權。
一定程度上承認企業對于匿名化數據集享有所有權,除了因為匿名化切斷了個人與數據的法律聯系外,還考慮到了3個因素:一是企業對于數據的記錄、存儲投入了巨大的技術、網絡、人力、管理成本。如果沒有企業的記錄行為,數據不可能被留存與記載,更無從談起商業價值。因此,在法律上,應當對企業的投入與成本做出平衡考慮。二是,從推動技術與業務發展角度而言,大數據是推動未來社會經濟發展的重要動力。在法律上賦予企業對匿名化數據集的所有權,有利于明確數據的產權邊界,保障企業的財產權利,增加數據交易的法律穩定性與可預期性,為企業利用數據創造財富提供積累機制。三是,賦予企業對于匿名化數據的所有權,有利于規范數據交易市場,遏制數據的非法黑市交易,讓數據在有序、可控的規則之下充分流動[5]。
第二,必須強調企業對于匿名化數據集享有的所有權是有限制的。盡管所有權是物權體系中對于物及財產的最完整的權利,但不否認所有權包括兩種類型,即完整的所有權和有限定的所有權。完整的所有權可以對物及財產行使占用、使用、處分、收益等權能。所有權人在理論上擁有無限的支配權,只受一般法律限制,例如相鄰權或不妨害他人的約束。作為受限制的所有權,在對物及財產權利進行使用或者處分時要受到一定限制。
3.2 企業對匿名化數據集享有有限制的所有權
對企業關于匿名化數據集的所有權做出一定限制,出于以下幾個方面的考慮:
其一,從權利的優先順序考慮。企業匿名化數據的基礎是用戶的原始數據。從價值溯源而看,原始數據是價值的源泉。原始數據包含了用戶的身份數據,該身份數據兼有財產利益和人格利益,且人格利益是核心。而匿名化數據主要體現為財產利益。在民法諸權利體系中,人格權優先于財產權,特別是財產權來源于人格權時,應當以人格權為優先,受到人格權的限制。
其二,從個人信息保護法的原則考慮。個人信息保護法規定了目的限制原則與必要原則。這兩項原則對于數據的匿名化及后續利用將起到限制性作用。目的限制原則要求企業使用用戶個人信息的目的應當與收集用戶個人信息時告知用戶的目的保持一致,如果超出了當初收集時確立的目的,則應當告知用戶,并經得用戶的同意。因此,企業在對數據匿名化處理后,若超出當時收集時的目的范圍加以利用,則應當告知用戶。同理,必要原則也將發揮類似的機制。必要原則要求企業收集、使用個人信息應當在提供業務所必需的限度之內。數據匿名化后,后續的利用行為如果超出了企業業務所必需,則應當重新征求用戶的同意。
其三,從當前匿名化技術以及大數據發展趨勢而看,數據的匿名化是一個較為相對的概念。在可獲得的數據源越來越豐富、數據算法越來越強大的背景下,已經被匿名化的數據集存在重新恢復身份數據的可能性。因此,即使匿名化后的數據不再適用個人數據保護法,但從維護隱私與信息安全的大原則出發,企業應當對數據集的匿名化以及匿名化后的后續利用的隱私及信息安全風險進行評估。如果該風險較高,企業在行使所有權時應當有一定的限制[6]。例如縮小交易對象范圍或者對交易對象做出約束,以確保其下游用戶對于數據的使用不會造成對用戶歧視與不公的情況。
從當前國際上針對大數據交易規則的討論來看,也印證了上述的判斷。對于企業開展數據交易進行一定的限制主要來自于對用戶隱私及信息安全風險的擔憂,限制性措施的核心是使企業的數據交易活動能夠實現一定的透明度。例如,美國聯邦貿易委員會(FTC)2014年針對數據經紀行業發布報告《數據經紀行業,呼喚透明與問責》,表達了FTC對于數據交易行業缺乏透明性的關切,并建議美國國會應當專門針對數據經紀行業立法,通過立法要求開展數據交易活動的企業對用戶提供透明度,具體體現在以下幾點[7]:
●向用戶公示其獲得(包括購買、共享)數據的渠道、數據的類型,并為用戶提供退出機制;
●要求數據交易方除了披露原始數據類型外,還應當披露企業基于原始數據,利用大數據分析而對消費者特征標簽化的處理活動;
●對于健康醫療等敏感信息的交易活動,尤其需要提升透明性,用戶必須充分知情并明確表示同意。
從國內實踐而看,目前更多地強調了企業對于匿名化數據擁有所有權,而對企業行使所有權的必要限制缺乏關注,更沒有提出對數據交易透明性的要求。貴陽數據交易所成立一個多月便完成了11筆數據交易,除第一筆交易披露了交易雙方主體外,其他各筆交易的主體、交易的數據類型、數據渠道公眾均一無所知。從交易所網站顯示的信息而看,交易所可交易的數據類型多達30種,包括醫療、教育、電信等高度敏感的數據領域。數據交易存在的隱私與信息安全風險堪憂。在明確企業對于匿名化數據享有限制性所有權的前提下,應當盡快通過立法明確具體的限制性要求,特別是透明性、責任性方面的限制性要求更顯得尤為迫切。
4 結束語
在大數據時代,人與數據的關系應當擴展而不是壓縮,唯有此才能把握歷史性機遇,推動經濟發展與社會進步[8]。解決數據產權問題,一方面要著眼于明確產權歸屬,為數據交易的順利開展提供穩定的法律基礎;另一方面,仍要關切數據交易帶來的隱私與信息安全風險,對數據交易活動做出相關限制性要求,特別提出透明性方面的要求。
參考文獻
[1] 王利明, 楊立新, 王軼等. 民法學(第四版). 北京: 法律出版社, 2015
Wang L M, Yang L X, Wang Y, et al. Civil Law (Fourth Edition). Beijing: Law Press, 2015
[2] 王利明. 論人格權商品化. 法律科學(西北政法大學學報), 2013(4): 54~61
Wang L M. Discussion on the commercialization ofpersonality right. Science of Law (Journal of Northwest University of Political Science), 2013(4): 54~61
[3] 王利明. 人格權法研究(第二版). 北京: 中國人民大學出版社, 2012
Wang L M. Research on the Personality Rights (Second Edition). Beijing: China Renmin University Press, 2012
[4] Tene O, Polonetsky J. A theory of creepy: technology, privacy and shifting social norms. Yale Journal of Law &Technology, 2013:16, 59~134
[5] 張新寶. 從隱私到個人信息: 利益再衡量的理論與制度安排. 中國法學, 2015(3): 38~59
Z hang X B. From privacy to personal information: theoreticaland institutional arrangements for the measurement of interests. China LegalScience, 2015(3): 38~59
[6] Information Commissioner’s Office. Anonymisation:managing data protection risk code of practice. https://ico.org.uk/for-organisations/guide-to-data-protection/anonymisation/, 2012
[7] Federal Trade Commission . Data brokers--a callfor transparency and accountability. http://www.docin.com/p-861802697.html,2014
[8] Executive Office of the President. Big data:seizing opportunities, preserving Values. http://www.docin.com/p-816632946.html, 2014
論文引用格式:王融. 關于大數據交易核心法律問題——數據所有權的探討. 大數據, 2015018
Wang R. Discussion on the legal core question of the data ownership in big data trade. Big Data Research, 2015018
創作挑戰賽新人創作獎勵來咯,堅持創作打卡瓜分現金大獎
總結
以上是生活随笔為你收集整理的《大数据》2015年第2期“专题”——关于大数据交易核心法律问题 —— 数据所有权的探讨及建议...的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 作者:郑勇,山东省农业信息中心副主任、高
- 下一篇: JAVA——附加作业1——统计员工数