专业团队

天元汇聚各领域精英律师,拥有200余名合伙人,800余名律师及专业人员,凭借深厚的执业经验和项目经验,为客户提供全方位、跨区域、综合性、一站式的法律服务和最佳商业解决方案。

专业领域

天元凭借30年法律实践经验和不断创新的执业能力,业务覆盖中国律师主要执业领域和新兴领域,并在诸多领域保持中国顶尖律师水准和跨团队综合服务能力,近年来连续承办了诸多开创先河的交易和极具行业影响力的项目和案件。

洞察资讯

天元律师紧跟行业发展趋势,聚焦法律热点话题,凭借独到视角和市场洞察力,帮助客户了解法律最新变化,用专业的观察、分析与见解助力客户做出更为明智的商业选择与决策。

关于天元

作为国内具有长远历史和深厚文化的领先律所,天元始终以法律服务为根本,不断探索和创新,30年来与中国经济同向前行,在中国15个经济活跃城市设立办公室,在业内享有盛誉。

企业数据合规之数据法律属性辨析
日期:2020年04月26日

文 |   楼奇 朱腾飞 吴晓洪
在数据产生、收集、存储、处理、传输、分析、利用整个动态过程中,不同的阶段都会有相应的主体和相应的法律关系存在,数据产生时涉及到原始数据用户的人格利益,数据被收集、梳理、分析的过程又涉及到大数据开发利用者的创造性智力成果,数据在进行流转、交易的时候又牵涉到大数据控制者的财产权益。为厘清前述问题,需要对数据的法律属性作出分析。
数据的法律属性是研究数据合规方法研究和方案制定的起点。数据的法律属性直接影响到产业的发展和相关法律纠纷的解决和处理,数据的法律属性不明,就意味着数据的提供者、持有者和开发利用者的法律权益陷于风险之中,同时也会阻碍数据产业的发展。目前,在实践中对于数据的法律属性有诸多不同观点,以下罗列几种学界观点并分析之。
1.1数据的法律属性学说
(一)物权说有学者主张将数据纳入物权的范畴,属于物权中的无体物。物权中最重要的权利是所有权,主张物权说,以物权来保护数据的重要原因是:在数据的采集、处理、分析、整合、交易的过程中都能在所有权的占有、使用、收益、处分中找到相对应的权利。但是,我们认为,通过对物权的性质的深入分析,将数据纳入物权的范畴并不合适。
首先,物权是对世权。对于数据来说,如果数据的无权是属于用户的,数据的占有、使用、收益、处分的权利如果需要掌握在用户手里,那么网络运营者将无法使用任何数据,整合个网络也将无法运营;但如果数据的所有权属于网络运营者,那么当数据被篡改、恶意使用的情况下,用户便无权要求网络运营者采取措施停止侵害,从这个角度看,用户要求保护个人信息的权利与物权的自由处分权便会产生了矛盾。
其次,物权的特性是具有排他性,即一物一权,就算物为多人共有,该物上也只有一个所有权,系多人享有一个所有权。但是,对于数据来说,可以同时提供给多个网络运营主体,具有很强的可复制性,这些网络运营者对这些数据都享有独立的所有权,可以行使占有、使用、收益、处分的权利,且互不干涉、不需经过彼此同意,这也是有别于传统共有物权的。
最后,数据也不是物权中的无形物。无形物主要是指人类无法直接观察、感知其具体存在状态的物,包括地热资源、电力、电磁波等无形物,主要特征是看不见、摸不着。数据虽然也是同电磁波一般看不见、摸不着,但是还是存在着本质的区别。数据的本质是以0或1的二进制代码组合,属于信息的工具,它本身没有利用价值,而是为信息服务;而地热资源、电力是通过在自然界中产生能量、能量转换过程得来的。就使用性能上来说,数据可以无限制地复制,可以重复利用,不会发生任何损耗,且人们可以通过多种方式进行控制,对数据进行复制、筛选、修改、删除等操作;而上述无形物,具有一定的稀缺性,会随着使用而消耗,人们对其使用是通过物理性质的增强或减弱来进行控制。因此,数据与无形物还是存在诸多区别的,不能直接将数据定义为物权法意义上的无形物。
(二)信息财产权说
界定数据是否属于财产权客体需要明确数据是否具有民法上的客体性和财产性。
首先就民法上的客体性而言,数据若作为民事客体需要具备确定性和独立性。数据产生的第一步是信息采集,信息自采集后进行分类、隐匿、统计、加工等一系列过程已经与信息源相分离,最后通过二进制代码的特定组合形式储存于相应的介质、载体中。尽管数据不具有实体性,需要依附一定介质和载体而存在,但是数据的内容和数量已经可以为人类所控制和管理,并且可以通过一定的程序处理呈现并为他人所获取,因此数据具备作为民事客体的确定性。经过处理的数据已经与其权利主体相分离,并与其他民事客体相独立而存在,也证明了数据具有的独立性。数据本身是无形的,需要借助其他工具体现其存在或运用,但是这类辅助工具的作用仅仅在于帮助数据体现其内容,而不是数据的组成部分,简单来说,这类辅助工具只要能达到体现数据的效果,则可以被随时替代或替换,所以辅助工具与数据是相互分离的。数据的价值在于内容,而不是在于表现形式。综合上述分析,数据具有民事客体所需具备的确定性和独立性。
其次就财产性而言,数据经过对原始信息的进行算法上的分析处理已经具有了较高的使用价值。尤其在商业上的使用,能够为权利主体带来商业机会和经济价值。数据在商业运用过程中,通过开发、检索、分析等一系列的操作,可以获取数据中隐藏的海量信息,而这些获取到的海量信息是具有经济价值的,通常可以运用到商业活动中,获得相应的经济利益。在如今的商业环境中,不可否认信息的重要性,甚至可以说是“信息为王”,从这个层面来说,数据蕴含的经济价值是不可估算的。在实际企业运作中,权利主体可以通过对数据进行各种程度的开发来获取具有经济价值的信息,也可以通过售卖数据来直接获利。举个例子来说,由于数据很大程度上是通过个体呈现出来的,规模化之后可以体现某个个人、行业、人群或者圈层的特点,所以对于数据进行挖掘研究,得出个人消费的喜好、某种趋势或者特征的启发,进行精准营销,效果非常明显,这就涉及到一个商业上的概念“用户画像”。现在很多企业开发的软件都会对数据进行整理分析,形成用户画像,比如一些旅游APP,从客户平常在客户端搜索的词条和浏览的内容中获得的数据,经过整合分析,可以得出这个客户比较喜爱的旅游路线,从而可以在客户端中对其进行“精准推送”相应的旅游信息。从群体性来说,众多客户浏览的内容形成海量的数据,企业进行分析,可以得出大部分客户中意的旅游路线,企业既可以选择将这些信息出售给旅游公司获取经济利益,也可以自行推出受欢迎的旅游路线投放市场进行获利。由此可见,权利主体可以通过对数据的使用或者转让,获取相应的经济利益,这说明数据具备财产性特征。
综上,数据因其具有民事客体的明确性和独立性以及财产性,应当可以视为财产权客体,但是数据因为其独特性又难以归类于现有财产权客体种类,数据权利既不同于物权,亦不同于知识产权,因此,部分学者根据数据与信息的紧密关系将其作为一种新型的财产权利命名为信息财产权。
信息财产是指固定于一定载体之上,能够满足人们生产和生活需要的信息。[1]信息财产广义上包括纸面信息和电子信息,但从概念的外延上界定和本文的重点介绍来说,我们将数据的信息财产仅限制在电子信息。信息财产所对应的权利是信息财产权,这是一种以独立存在的、具有一定财产价值的、可交换的信息(数据)为客体的新型财产权。[2]俄罗斯在1995年就通过《信息、信息化与信息保护法》明确了信息资源是财产,这是最早关注到信息财产的国家;美国也在1999年确立了计算机信息的法律概念。两国虽然在信息财产概念的定义和保护模式上存在区别,但都促进了信息财产的立法。
信息和数据虽然是两个不同的概念,但是数据与其承载的信息是一个不可分割的整体。信息是数据的内容,数据是信息的形式,在数据时代,无法将数据与信息加以分离而抽象地讨论数据上的权利。[3]从这个层面上来说,数据可以成为信息财产。另一方面,也可以从信息财产的特性来分析数据能否成为信息财产,信息财产具有确定性、独立性、价值性、稀缺性和可控制性五大法律特征,如数据具备了上述五大特征,则可确定数据可以成为信息财产。通过对前面论证的数据是否符合财产权客体的内容看,数据具备了确定性、独立性、财产性(也可称为价值性),故接下来只需分析数据是否具备稀缺性和可控制性即可。
数据以代码的形式存在于载体上,权利主体可以对其通过改变代码形式进行控制、管理和使用,因此数据具有可控制性。
而稀缺性特征则体现在两方面,一方面,大数据虽然是巨大的,海量的,但是需要通过收集、整理和分析,而这个过程是十分繁琐且复杂的,一般人们无法轻易完成这个过程,获得大数据存在经济价值的信息;另一方面来说,只有权利主体才能获取大数据,这有别与一般的公开性信息,权利主体可以对大数据进行转让和使用,非权利主体若要得到大数据,一般来说需要与权利主体进行交换。大数据的供应也并非是无限的,在信息市场上,信息资源总是有限的。
综上,数据具备信息财产的所有特征,可以成为信息财产,并具备信息财产权,信息财产权区别于民法中的传统财产权,满足了现代科学发展的需要。
(三)知识产权说
有学者认为数据应纳入知识产权范畴,知识产权是指权利人对其智力劳动所创作的成果和经营活动中的标记、信誉所依法享有的专有权利。在这种论点里面,对数据该归属于知识产权中的哪一种具体权利还有两种不同的说法。
一种认为数据属于汇编作品,汇编作品是指汇编若干作品、作品的片段或者不构成作品的数据或者其他材料,对其内容的选择或者编排体现独创性的作品。数据经由加工者将海量的数据进行筛选、分析后可以形成具有独创性的数据报告或者数据库,从这个层面上来说,数据或者说是数据产品,形成的过程与汇编作品具有相同之处,当然这种说法主要是受到欧盟的《关于数据库的法律保护的指令》影响,也受到我国《著作权法》第14条(没有著作权的数据进行汇编而可能产生汇编作品)的影响。
另一种说法认为数据可以利用著作邻接权来予以保护,领接权是指创造者在经过著作权人授权后对作品进行加工传播,在此过程中劳动所享有的权利。在实践中,网络运营者在对数据进行收集后,对海量的数据进行筛选、汇总、分析等一系列操作后形成的数据库或者数据报告,网络运营者将这个数据库或数据报告以有偿或无偿的方式分享给公众进行沟通。这个过程与领接权中加工传播的过程相类似,同录像制品的制作者对其所制作的录像制品享有的权利一样,网络运营者对其制作的数据库也享有相类似的权利。
认为数据属于汇编作品并不适当,汇编作品需要满足独创性原则,即作品需要汇编者独立完成,并且具有创造性。但是数据就算是进行分析还是汇总,都是由计算机依靠算法进行的机械操作,要究其独创性也只能说使用的计算机算法具有独创性,但数据本身并不具有独创性。比如说数据建模,整个建模过程都是通过使用各种函数进行分析处理,整个过程都是客观和机械的。汇编作品与此不同的便是,一个作品如果只是通过操作方法进行改变但缺乏主观态度的个性化编排,这个作品是不能称为汇编作品受到保护的。所以经过简单的处理所形成的数据库或者数据报告被纳入汇编作品是并不合理的,当然这不排除有些具备独创性的数据产品被纳入汇编作品范围内,但是这部分数据产品和普遍的大数据集合存在着明显的区别。
至于将数据归为领接权的保护范围内,这种说法也并不太与能够契合实际。领接权是传播者享有的权利,且需要著作权人的授权;试想数据如果属于著作领接权,那么即是数据加工传播者获得权利,数据加工者在加工或者传播数据时需要取得数据权利主体(如被采集个人信息的用户等)同意,那么这类数据属于著作权客体吗?这种说法尚需探讨,且领接权种类有表演、录音、设计等方式传播作品,但数据产品加工的方式并不在这个范围内。但是这并不说明数据加工者对数据不享有任何权利,比如说,在欧盟《数据库指令》中有规定,数据库不存在独创性,如对此具有实质性的投入,如资金、人力等,那么对数据库也享有类似著作权的权利。对这种权利的保护实质上旨在对付出了一定投入的网络运营者给予一定的回报,但未付出劳动成果而进行“搭便车”行为的网络运营者是否对数据产品享有权益?答案是否定的。
(四)商业秘密说
有学者认为可以把数据的法律性质界定为商业秘密。商业秘密在我国《反不正当竞争法》中定义是指,不为公众所知悉,具有商业价值并经权利人采取相应保密措施的技术信息和经营信息;在《刑法》中也有相应规定,商业秘密,是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。从上述两个概念看,商业秘密具有价值性、实用性、保密性等特性,那么数据是否具有上述几个特征?
前文信息财产权说中已经确定了数据具有财产性特征,那数据是否具有实用性?数据一般需经过筛选分析后才能够用于经营活动中,但是这并不否定其具有实用性。因为就商业秘密而言,其实用性不仅仅体现在现阶段可用于生产经营活动,在未来具有条件的情形下可用于生产经营活动同样也是实用性的体现。另外,数据无时无刻不在被人们进行收集、筛选、分析,人们投入大量的时间和精力到这个过程中,目的就是为了从中得到有价值且能够投入到生产经营活动的信息,也这说明了数据存在实用性这一特征。而数据的保密性特征体现在,现在大部分的企业都对其拥有的数据采取保密措施,从这个意义上说,这些被采取了保密措施的数据符合商业秘密的各项特征,所以把这些数据作为商业秘密的客体并无不妥;但是那些没有被采取保密措施的数据不符合商业秘密的特征,不属于商业秘密。从上述分析中,可大致得出,商业秘密说主要是针对经过处理且被企业采取保密措施的大数据,而其他数据则不能一概而论,需要对其特性进行分析来界定其属性。
以上介绍了在理论中存在的几种学说,几种学说都存在各种争议,但是不可否认的是,数据范围宽泛,类型也不单一,单以其中一种学说去界定其属性都是不妥当的。
在实践中,需要针对不同种类的数据来判定其属性及权利归属,下面我们针对不同类型的数据可以展开介绍。
1.2不同类型的数据法律属性及权利归属
1.2.1个人数据法律属性及权利归属(一)人格权说
人格权说认为个人数据应该纳入人格权范畴,因为个人数据有明显的可识别性,具有强烈的人身属性。所谓人格权,是指为民事主体所固有而由法律直接赋予民事主体所享有的各种人身权利。一般的个人数据都能够直接体现个人身份,比如个人姓名、身份证号等。当然也有部分的个人数据不能直接体现个人身份,比如购物记录、物流信息等,但是对这些信息进行整合分析后大致能够得出消费习惯、行为模式等这些具有强烈的人身属性的特征。2010年中国台湾地区实施《个人数据保护法》,规定了应当规范个人数据的收集和使用,以减少人格权遭受侵害。而美国认为个人数据应当是人格权中的隐私权,并形成了相应的规范体系,在1966年出台的《信息自由法》、1970年的《公平信用报告法》、1974年的《隐私法》、1980年的《隐私保护法》、1988年的《电脑对比和隐私保护法》的规定中,都体现了用隐私权规范和保护个人信息。现如今,美国的隐私权已然包含了信息隐私方面,其中个人自主及信息隐私,是最接近个人数据权的内容。[4]
但是在实践中,把个人数据直接归属于人格权的范围内是有缺陷的。首先,现在个人数据商品化日益发展,数据主体可以根据个人意愿对个人数据进行转让或者授权他人使用。这种商品化的现象直接影响了个人数据人格权理论,人格权的重点在于专属性,人格权是基于人本身而存在,不能同人本身相分离,也不能进行转让。其次,在个人数据商品化过程中,通过数据的交易流通,必然会发生数据侵权行为,对于侵权责任如何认定,权利主体如何救济,司法实践中并没有明确救济标准和方式,这样直接导致的后果就是各地法院在对涉及个人数据相关案件时进行裁判时产生偏差,也就是可能发生“同案不同判”。
(二)财产权说
财产权说认为个人数据具有商业价值,本身也能够作为个人财产予以利用,所以具有财产属性,纳入财产权的范畴。2014年4月,荷兰学生肖恩•巴克尔斯建立一个拍卖网站来专门出售自己的个人信息,信息内容包括他的住址、医疗记录、个人日程安排、电子邮件内容和所有社交网络上交流的信息,其中网上交流信息包括他的在线聊天记录、消费偏好和浏览器历史记录,拍卖网站吸引了超过40个买家前来竞拍,最终肖恩•巴克尔斯以350欧元的价格出卖了自己的个人信息。这个案例充分体现了个人数据的财产属性。但是在我国,大多数时候个人数据并不直接体现出经济价值,通常要经过加工处理或者经过其他方式分享给其他具有商业属性的主体来体现经济价值。
当然这种学说也有不同的声音,有学者认为财产权说有不足之处,因为虽然个人数据之上承载着财产利益,但是这种利益往往不会分配给个人。个人通过网络活动将个人数据保留在活动过程中,网络运营者会通过这个活动获取个人数据并通过一系列整合措施后进行转让,通过转让行为获取利益。在这个过程中,个人数据对其权利主体来说并没有带来财产性利益,但是却能够体现人格权特征。因此拥有财产属性并不意味为当然成为财产权客体,把个人数据归属于财产权过于绝对。
(三)个人数据权利归属
从上述学说看,这几个主张的学说中个人数据的权利归属相对来说还是比较明确的,个人数据一般都来源于个人的基本情况或日常活动,这类个人数据其权利主体为个人。个人对其产生的数据拥有完全的自由权利,可以进行自由处分,只要该处分不对公共利益构成损害即可。根据个人信息保护相关法律法规的规定,个人对于个人数据具有完整的控制权利,这种控制权利主要体现为以个人的意志对个人数据的提供、使用、处分做出安排。基于此,个人数据中人格特征体现的财产价值应归于数据主体本人享有和控制。
在2018年初发生的“某宝账单事件”,某宝推出了年度账单功能,但是很多用户在开启年度账单时并没有注意旁边及其隐蔽的“我同意《某某服务协议》”,如勾选此项则表示用户允许某宝收集其相关个人账户信息,很多用户在这个过程中都是“被同意”,并未对个人数据的提供实施进行控制,我们认为,这一做法是侵犯了用户个人数据权利。
上面表述的个人数据权利归属是通常情形下的判定,但在个人数据在网络上的流通十分普遍,用户的个人数据在经历收集、分析、匿名化(数据匿名化则强调的是去除数据中的用户身份数据,消除数据的身份可识别性,是从保护用户隐私的角度而开展的工作)处理后得到的数据的权利归属如何判定?
大部分企业认为其采集并匿名化数据后自然应当是这种数据的权利归属,因为经过匿名化的数据与原来的权利主体已经拆分开来,不再能够体现原来主体的个人人格特征,而企业投入了一定的时间、金钱、精力,所以这类数据的权利主体应当是企业。给予企业对去身份化数据享有占有、使用、收益、处分权利,是处于鼓励企业持续创造,增加数据价值以及保障数据有序流通的考虑。[5]纵观世界上各国的做法,一般都已认可匿名化的数据可以交易,但也同样设置了一些需要符合的特定要求,同时也需要确保这些数据无法通过一些技术手段进行反向解密从而识别出个人信息。个人信息保护相关法律法规适用的对象是个人数据,在数据去身份化后,该数据已经与用户没有了法律关系,所以从这个意义上来说,匿名化数据的权利主体不应当是用户个人。
另外还考虑到其他几个因素:一是企业对于数据的收集、分析投入了巨大的时间、技术、人力、管理成本。因此,在法律上,应当对企业的投入与成本做出平衡考虑。二是,从推动技术与业务发展角度而言,大数据是推动未来社会经济发展的重要动力。因此,在将匿名化数据权利归属给企业,有利于明确数据的产权边界,保障企业的财产权利,增加数据交易的法律稳定性与可预期性,为企业利用数据创造财富提供积累机制。
综上,我们认为,将匿名化的数据权利主体认定为对原始数据进行处理加工的企业是较为合适的。
1.2.2企业数据中数据产品法律属性及权利归属
数据产品,是指企业通过对数据的收集、筛选、分析后所得到的产物(如数据库、数据报告、检索报告等)。
针对数据产品的法律属性界定,通常的说法是财产权说、商业秘密说,两个学说的内容介绍可参照前述数据法律属性中两个学说内容,而在这个部分里,我们不再对理论部分进行赘述。数据产品是否属于商业秘密,不能必然地予以肯定或者否定,在实践中需要结合每个数据产品的实际情况进行分析。
比较一致的观点是,企业在获得数据产品过程中往往投入了大量人力、技术、管理成本,数据产品是企业投资后得到的工作成果,该种工作成果一般具有财产属性。
在淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争案中,淘宝公司通过“生意参谋”面向淘宝网、天猫商家提供可定制、个性化、一站式的商务决策体验平台,为商家的店铺运营提供数据化参考。“生意参谋”提供的数据内容是淘宝公司经用户同意,在记录、采集用户于淘宝电商平台(包括淘宝、天猫)上进行浏览、搜索、收藏、加购、交易等活动所留下的痕迹而形成的海量原始数据基础上采取脱敏处理,在剔除涉及个人信息、用户隐私后再经过深度处理、分析、整合,加工形成的诸如指数型、统计型、预测型的衍生数据。同时,淘宝公司通过“生意参谋”,为商家的店铺经营、行业发展、品牌竞争等提供相关的数据分析与服务并收取费用,已形成特定稳定的商业模式,给其带来较大的商业利益。在本案中,淘宝公司开发的大数据产品(即“生意参谋”)虽来源于原始网络数据,但经过淘宝公司的深度挖掘、算法过滤、匿名化处理后已不再仅仅是普通用户信息的集合,而是独立于原始网络数据并具备预测分析、智能决策功能的数据产品。“生意参谋”数据产品的数据内容是由淘宝公司长期投入人力、物力积累而成,该数据产品的应用能够帮助淘宝公司提升经营水平,从而为其带来相当的商业利益及市场竞争优势,故淘宝公司对其开发的数据产品应当享有财产性权益。淘宝公司认为美景公司通过“咕咕互助平台”软件、“咕咕生意参谋众筹”网站实施了以下侵犯淘宝公司正当权益的行为:
在“咕咕生意参谋众筹”网站上推广“咕咕互助平台”软件,教唆、引诱已订购淘宝公司“生意参谋”产品的淘宝用户下载“咕咕互助平台”客户端,通过该软件相互分享、共用子账户;
组织已订购淘宝公司“生意参谋”产品的淘宝用户在“咕咕互助平台”客户端上“出租”其“生意参谋”产品子账户获取佣金;
组织“咕咕互助平台”用户租用淘宝公司“生意参谋”产品子账户,并为其通过远程登录“出租者”电脑等方式使用“出租者”的子账户查看“生意参谋”产品数据内容提供技术帮助,并从中牟利。淘宝公司认为美景公司侵害其拥有的数据产品的正当利益,涉及不正当竞争,并提起诉讼要求美景公司停止侵权行为并赔偿经济损失。
基于淘宝公司对其据产品享有竞争性财产权益,该案中一审及二审法院均认可淘宝的诉讼主张,“网络运营者对于其开发的大数据产品,应当享有自己独立的财产性权益。随着互联网科技的迅猛发展,网络大数据产品虽然表现为无形资源,但可以为运营者所实际控制和使用,网络大数据产品应用于市场能为网络运营者带来相应的经济利益。随着网络大数据产品市场价值的日益凸显,网络大数据产品自身已成为了市场交易的对象,已实质性具备了商品的交换价值。对于网络运营者而言,网络大数据产品已成为其拥有的一项重要的财产权益。”
由此可见,司法实践中已经认可数据产品具有其财产性,数据产品是经营者的重要财产权益。而在实践中发生的纠纷通常是企业与企业两个主体之间,大多都是以对方涉及不正当竞争为由来提起诉讼,但是是否涉及不正当竞争,由法院通过对案件中是否存在侵权行为、双方是否存在竞争关系等事实行为来进行判定。
关于数据产品的权利归属,从上文个人数据权利归属的介绍和上述案例中法院对案件的判决,我们认为,数据产品的权利应归属于企业。但是需要明确的是,这类数据产品中所涉及的数据必须是去身份化的匿名数据,如该数据带有明显个人特征,则其权利主体仍然是用户个人,而不是企业。在实践中,企业的数据产品即是匿名化的数据集,所以即便数据产品权利主体认定为企业,企业对其享有的权利还是需要进行限制的,这也是为什么我们肯定数据产品的财产权利归属于企业,但没有说数据产品的所有权归属于企业。
企业对数据产品(即匿名化的数据集)享有的权利受到限制,主要是存在以下几个方面考虑:
其一,从权利的优先性来说。企业匿名化数据是从用户(包括个人与企业)的原始数据加工而来,故用户原始数据是价值的源泉。用户原始数据包含了能够体现用户的身份信息,该身份信息数据兼有财产利益和人格利益。而匿名化数据主要体现为财产性利益,在民法诸权利体系中,人格权优先于财产权,特别是当财产权来源于人格权时,应当以人格权为优先,受到人格权的限制。
其二,在可获得的数据源越来越丰富、数据算法越来越强大的背景下,已经被匿名化的数据存在被一些技术反向解密,重新恢复身份数据的可能性。因此,即使匿名化后的数据不再适用个人数据相关法律法规,但从维护隐私与信息安全的大原则出发,企业应当对数据的匿名化以及匿名化后的后续利用的隐私及信息安全风险进行评估。在实践中,对于企业开展数据交易进行一定的限制,主要来自于对用户隐私及信息安全风险的担忧,限制性措施的核心是使企业的数据交易活动能够实现一定的透明度。
数据产品主要是企业收集其他数据通过筛选、分析、加工而来,除了数据产品外,企业数据中还有一种特别的类型是企业通过与其他企业的合作,基于双方合作关系获取到的数据。合作企业提供了双方生产所需的相关数据,这类数据的权利归属应当是提供数据的合作企业,企业应当根据双方约定,限制性地使用这类数据。从这类数据可以衍生出另外一种数据,即通过利用这些数据开展生产经营后得到的数据,其权利归属又如何?从理论上来看,其权利归属似乎应是生产者,即开展生产经营的企业;但从实践中的处理方式看,这类数据的权利归属更多的是要根据双方企业的约定来确定,有可能归属于开展生产经营的企业,也有可能归属于提供的合作企业,亦有可能归属于双方共同所有。但是在这里分析的上述数据权利归属时都是默认企业已对收集到的数据(指个人数据,生产过程中产生的机械化数据归企业所有)做了相应的脱敏处理,如上述数据能够显示个人身份特征的,其权利归属应仍是个人。
1.2.3公共数据权利归属
在政府部门日常工作中,都会收集到很多与个人或者社会经济相关的数据,比如个人社保情况、当地产业结构、当地生产总值等,这些数据汇总在各个政府机构和部门,为其所控制。从这里可以看出,这些公共数据中包含着个人数据、企业数据、历史文化数据、社会经济数据等,可以说政府机构和部门掌握着海量的不同类型的数据。对于公共数据,它存在着“公共部门信息的公共属性和私人属性双重特征引起的产权归属问题”。[6]因为政府部门收集到的所有个人数据都是带有个人身份特征的信息,如身份证号,社保缴纳及公积金情况,房产情况、婚姻情况等等;而政府部门在公务活动中收集到的医疗、卫生、文化、气象等数据,则体现了公共属性,具有准确性和权威性。因此对公共数据的权利归属进行分析时,需要分情况来说明。
(一)公共数据中的个体数据权利归属
这里说的个体数据主要是分两部分,一部分是个人数据,也就是具体到每一个自然人,是指每个自然人在日常生活或社会活动中产生的数据;还有一部分是企业数据,是指企业在日常经营活动或前往政府部门办理相关事务所产生的数据。但是这两种数据并不完全等同于上文中所描述的个人数据和企业数据,在这一部分,介绍其权利归属。
政府部门在日常职务活动中会收集到自然人的一些数据,比如说劳动和社保部门会收集每个自然人的社保缴纳和公积金缴纳情况、房管局会收集每个自然人的房产情况、医疗卫生部门会收集每个自然人的健康情况、疫苗注射情况等等。这些数据都是从自然人日常社会或生活活动中收集而来,所以这部分个人数据的权利主体是个人,但是由于政府部门的特殊性和日常工作的必要性,政府部门对这些个人数据享有使用权和处置权。如果这些个人数据经过脱敏化处理,由政府部门经过整理汇编,编制成概述性的报告的,则这些数据的权利主体是政府部门。
而对于企业在日常经营活动中或者前往政府部门办理相关事务产生的数据,政府部门在履行职务活动中收到的这类数据,如公司纳税情况、资产状况等,这类数据权利主体也是企业本身。当然,企业数据有别于个人数据的一点是,企业数据除去一些具有商业价值、需要对其采取保密措施的半公开/非公开数据外,一般都应公开。与个人数据相同的便是,这些企业数据经过相应的脱敏处理后,经政府部门分析编制后所得到的数据,其权利归属于政府部门。
(二)公共数据的权利归属
政府部门除了收集个体信息外,更多地会收集大量的公共数据,比如气象部门检测天气情况、大气污染情况等。这些公共数据大致也可以分为三类,一是人类对整个世界的研究数据,二是历史文化数据,三是社会经济相关数据。
人类对整个世界的研究数据体现了人类对世界万物休养生息以及社会运行的规律认知,这个过程是漫长的。这类数据具有公共属性,而且这类数据通常都会经历漫长的收集和分析研究,比如政府部门安排各个科研机构在不同的领域进行大量的科研工作,由此取得的研究报告等。虽然有些社会经济研究是由每一个人的社会活动组成,但是其着眼点是在于社会整体的经济数据发展,这类数据无法具体到某个个人,所以其权利归属应该是国家。因为这些数据含有公共利益,所以不能对此类数据进行交易。
历史文化数据是每一个国家宝贵的历史文化遗产,中华民族具有五千年的历史,在这些历史中产生的各项数据都应当属于国家。以前的历史文化数据依托于纸质传播,但如今互联网的发展使得各类历史文化数据在网络空间中的流动日益频繁。“这种线下的数据化使继续多信息数据不断被挖掘整理出来,通过标准化后,成为数字图书馆数据库中的信息和知识资源。这部分数据属于国家所有,是国人的共同财富,应免费向社会公众开放,并通过云计算等超大规模数据收集和存储,支持可持续的访问。”[7]同样的,这类数据也无法具体到某个个人,也不能对此类数据进行交易。
社会经济相关数据,这部分数据应当把上文中所说的个人数据、企业数据部分剔除掉,更多的是指经过分析、整合后的概括性和整体性数据,主要是指政府部门在日常职务工作中所收集整理的与社会经济运行状况相关的各类统计数据,比如说气象预报、医疗卫生报告、税收情况,政府的财务收入支出、各个地区的经济总量等。这些数据侧重于从一个整体层面角度,而不是着眼于个体。这部分数据的权利归属于国家或者政府部门,根据《政府信息公开条例》向社会公开,社会公众可以通过各个媒介进行查阅或向有关部门申请公开但依法确定为国家秘密的政府信息,法律、行政法规禁止公开的政府信息,以及公开后可能危及国家安全、公共安全、经济安全、社会稳定的政府信息,不予公开。涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,原则上不得公开;但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,也应当予以公开。
注释:
[1] 郑宗金,大数据的法律属性研究,天水行政学院学报,2019年第3期(总第117期).
[2] 王玉林,高富平,大数据的财产属性研究[J],图书与情报,2016,(1):33.
[3] 程啸,论大数据时代的个人数据权利[J],中国社会科学,2018,(3):105.
[4] 王泽鉴,人格权法:法释义学、比较法、案例研究[M],北京大学出版社,2013年版,第209页.
[5] 彭云,大数据环境下数据确权问题研究[J],现代电信科技,2016年第5期.
[6] 付熙文,郑磊,政府数据开放国内研究综述[J],电子政务,2013年第6期.
[7] 杜振华,茶洪旺,数据产权制度的显示考量[J],重庆社会科学,2016年第8期.


相关领域