是时候思考了,数据权利的边界到底在哪里?
本文转载自国务院发展研究中心,执笔戴建军、田杰棠,国务院发展研究中心创新发展研究部“我国数字经济发展与政策研究”课题组,原标题《推动我国数字经济发展亟须分类确定数据权利》,亿欧智慧城市对文章进行二次编辑,供读者参考。
数字技术革命正在推动数据成为新的生产要素,亟须明确数据权利。目前,我国相关法规尚未将数据财产属性纳入数据权利范围,需尽快明确各类数据权利内容。建议明确政府对 政府数据 管理使用的权利、责任和义务以及公众的使用权利和义务,赋予非个人 商业数据 生产者所有权,明确自然人的个人数据权利,允许数据控制者对匿名化数据享有限制性所有权,加强跨境数据流动管理制度接轨,通过隐私机制和安全例外实现数据主权,规范监管部门为履职获取数据的权利和要求。
数字技术革命正在推动数据成为新的生产要素,清晰的数据权利界定是充分利用这一要素的前提。2017年12月,习近平总书记在中共中央政治局就实施国家 大数据 战略进行集体学习时提出,要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度。为促进数据这一新生产要素的流通和交易,实现数据价值的最大化,推动我国数字经济发展,亟须加快推进 数据确权 工作。
01 数据权利界定的难点
数据权利内容通常还会随着应用场景的变化而变化,甚至衍生出新的权利内容,使得事先约定权利归属变得很困难。
数据权利之所以难以界定,在于数据权利与其他有形或无形物的产权存在较大差异,具体体现在以下几个方面。
(一)数据权利具有多样性,不同类型的数据在权利内容上存在差异
数据按照产生的主体可以分为:个人数据、商业数据和政府数据。个人数据指与个人相关、能够识别个人身份的数据,政府数据指政务部门履职过程中获取或制作的数据,商业数据主要指商业机构运行中获取或生产的数据。政府数据和商业数据中涉及个人特征的数据,也属于个人数据。对于自然人、政府和企业这三类数据权的主体来说,权利内容有所不同。除了均具有财产权属性外,个人数据可能会包含姓名权、隐私权等人格权的内容,具有人格权属性。因此,个人数据权利包括了人格权和财产权。政府数据通常被认为属于公共资源,公众享有知情权、访问权和使用权。商业数据则包含企业的知识产权、商业秘密和其他合法权益等。数据权利内容通常还会随着应用场景的变化而变化,甚至衍生出新的权利内容,使得事先约定权利归属变得很困难。
(二)数据生产链条包括多个参与者,权利需要在各参与者之间进行划分而引发界定困难
与其他财产不同,数据的全生命周期存在多个参与者(数据主体、数据收集者、数据处理者等),每一个参与者在各自环节都对数据价值作出了贡献。大多数情况下,数据产生价值需要数据收集、处理者对数据进行采集、处理和分析,数据主体对于数据的各项权利需数据收集、处理者的支持才可有效行使。因此,赋予某一参与者专属的、排他性的所有权不可行,数据的各类具体权利分属不同参与者,需要在各参与者之间进行协商和划分。
(三)数据与传统普通实物的所有性质不同,无法将所有权绝对化
数据可以低成本复制,不像实物资产那样具有天然的排他性。尽管企业可以通过技术手段保护相关数据不受第三方侵犯,使得数据为其“所有”,但这种“所有权”与一般民法所指的所有权(对财产享有占有、使用、收益和处分的排他性权利)含义不同,不是一种绝对的完全所有权。对于通常意义上的所有权,所有权人几乎完全拥有占有和使用该物的权益。但数据权在数据的全生命周期中有不同的支配主体,且权利人需承担更多的义务和责任,不仅要对数据泄露、数据侵权等事件承担责任,也需要在日常数据收集和处理中履行相应义务。
02 国际上数据权利界定及发展趋势
各国对数据实施分类管理,既对个人数据提供有效保护,又最大程度发挥数据对社会经济的潜能。
大数据时代,各国高度重视数据蕴含的价值,根据新形势对数据权利界定作了一些新的规定,以促进数字经济发展。总体而言,各国对数据实施分类管理,既对个人数据提供有效保护,又最大程度发挥数据对社会经济的潜能。
(一)明确政府数据的公共属性,政府拥有使用和管理权及向社会开放的义务
大多数国家均将政府数据视为一种公共资源,一方面,通过立法赋予政府对政府数据的使用、管理、许可等权利。如美国宪法第2320条规定,政府有权使用其资助的合同和分合同项下的项目或过程中的数据,以及将数据向外部公开并允许外部人士使用。另一方面,明确政府开放政府数据的责任和义务,以及公众的使用权和义务。发达国家从2009年开始推动政府数据开放,明确了数据开放的形式、要求等,以及公民获取和使用政府数据的各项权利和使用要求。
(二)针对非个人商业数据推动建立数据产权,鼓励数据生产和流通
对于非个人商业数据,一般默认由数据生产者拥有。但鉴于数据的特殊性,欧盟认为明确其产权对于规范市场和交易意义重大。2017年,欧盟发布《构建欧洲数据经济》,提出针对非个人的和计算机生产的匿名化数据设立数据生产者权利,鼓励(涉及公共利益时强制)公司授权第三方访问其数据,促进数据交流和增值。数据生产者权利是指设备的所有者或长期用户(如承租人)基于收集和分析处理等操作,对非个人数据享有的使用和许可他人使用,并防止他人未经授权使用和获取数据的权利。
(三)明确个人数据权利内容,确保个人信息安全
原始个人数据一般默认归个人所有,通常无须另行规定,也有个别国家作出明确规定。如美国联邦通讯委员会2016年发布的《宽带互联网消费者隐私政策》规定,由宽带互联网接入业务所产生的数据归消费者所有。由于个人数据表现出了人格权属性和财产权属性,各国根据新形势赋予新的个人数据权利,提供兼具人格权和财产权的保护。如欧盟2016年通过的《一般数据保护条例》赋予个人的数据权利包括数据访问权、数据纠正权、被遗忘权、限制处理权、可携带权、自主决定权以及拒绝权等7个方面。2018年6月,美国加利福尼亚州议会通过的《加州消费者隐私法案》为消费者创建了访问权、删除权、知情权、拒绝权等数据权利。
(四)区分个人数据人格权和财产权,推动匿名化数据应用
为了促进个人数据利用,一些国家规定个人数据经过匿名化处理(移除可识别个人信息部分且不会再被识别)就成为非个人数据,允许在某些风险较低情形下使用匿名化数据。目前,欧盟、美国、日本等允许企业在承担保证透明性、隐私风险评估和保护等责任前提下,对个人 数据匿名 化处理后进行市场化利用。欧盟《一般数据保护条例》规定匿名化数据不属于个人数据,机构可以自由处理匿名化数据。美国《健康保险携带和责任法案》规定,对于不可识别身份的个人健康信息可以被应用或者披露。日本2015年《个人信息保护法》修正案允许企业在确保数据不能实现身份识别、不能复原的情况下可以出售匿名化数据。
(五)规范个人数据跨境流动管理,推动非个人数据自由流动
当前,美国主张数据自由流动,欧盟注重数据跨境流动所涉及的个人隐私保护,而大多数发展中国家则推行数据本地化政策。总体来说,数据跨境流动呈现出如下趋势。
一是规范个人数据跨境流动,保护个人隐私。各国和地区对解决个人数据跨境流动中保护个人隐私提出了多种解决方案。2011年,在亚太经济合作组织框架下,美国主导提出了跨境隐私规则体制,对企业采取认证模式,经过隐私保护认证的企业之间可以无障碍跨境传输个人信息。欧盟《一般数据保护条例》提出了向境外传输个人数据的条件,包括要求第三方国家或国际组织对个人数据和隐私的保护程度与欧盟相当等。日本《个人信息保护修正法》规定数据控制者转移个人信息到境外需要获得个人同意,或该国具有与日本标准相当的数据保护体系或数据保护标准。
二是消除非个人数据本地化限制。尽管欧盟要求跨境转移个人数据需满足相关规定,但对于非个人数据,则推动废除成员国不合理的数据本地化存储要求。2018年10月,欧盟议会审议通过了《非个人数据自由流动条例》,制定了旨在废除欧盟各成员国的数据本地化要求、促进专业用户数据迁移的有关规则,以确保非个人数据在欧盟内可以自由流动。
(六)赋予监管机构为履职获取数据的权利,确保数据的公共利益优 先
为保护公共利益,各国通过法律赋予监管机构履行职责所需的信息收集权。美国2015年出台的《网络信息安全共享法》规定,企业在必要时需根据国土安全部的要求共享信息,当用户控告企业的此类行为侵犯公民隐私权时,企业可以豁免。欧盟《非个人数据自由流动条例》规定,公共部门可以访问欧盟任何地方存储和处理的数据,并进行审查和监督控制。德国、英国也在相关法规中赋予国家安全机构获取企业数据的权利。
03 我国数据权利界定现状
现行法律法规尚未赋予商业数据明确的权利,一些商业数据权利也难以得到保护,如知识产权难以保护缺乏独创性的数据。
我国对数据权利的界定仍处于探索中,相关情况如下。
(一)默认政府数据为公共资源,但缺乏政府和公众对数据权利、责任和义务的规定
我国相关法规默认政府数据为公共资源并要求推动其开放。《网络安全法》第十八条规定,促进公共数据资源开放。国务院发布的《政务信息资源共享管理暂行办法》对政务信息资源的共享和无偿使用作出了规定,但未明确政务信息资源的权属。一些地方政府采取将政府数据界定为国家所有的方式进行管理,如福建省政府2015年2月通过的《福建省电子政务建设和应用管理办法》将政务信息资源界定为国家所有,其他如汕头等地也作出类似规定。由于缺乏对政府和公众对政府数据权利、责任、义务的相关规定,导致公共数据开放滞后。
(二)法律能对部分商业数据提供财产权利保护,但未赋予数据权利
我国现有知识产权法、反不正当竞争法、合同法等法律体系能够对部分商业数据提供财产权利保护,已有司法实践采用反不正当竞争法的一般条款对数据成果进行保护,明确数据开发者对于其开发的大数据产品享有独立的财产性权益,未经许可获取数据并无偿使用数据的行为,构成不正当竞争行为。但是,现行法律法规尚未赋予商业数据明确的权利,一些商业数据权利也难以得到保护,如知识产权难以保护缺乏独创性的数据;数据库侧重于保护开发或构建数据库的投资,更多的是保护“库”,而非数据;反不正当竞争法重视对行为的规制,没有对数据权作出确认和设置。
(三)从人格权角度对个人信息进行保护,对个人数据权利保护不全面、强度不高
我国现行法律法规主要是从人格权角度对个人信息进行防御性保护,并未将自然人对个人数据的权益规定为一种绝对权,导致保护强度不高。《民法总则》第110条列举了自然人的生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等作为绝对权的人格权和身份权之后,只是在第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”表明个人信息虽然受法律保护,但并未作为绝对权而享受积极保护。
(四)网络安全法为个人数据匿名化应用预留了空间,亟须相关实施细则
我国当前法律法规既严格保护个人数据,也为数据利用预留了空间。我国禁止个人数据交易,2017年10月开始实施的《民法总则》规定不得非法买卖、提供或者公开他人个人信息。《网络安全法》也作了相同规定,但其第四十二条规定“经过处理无法识别特定个人且不能复原的除外”,这为个人数据进行匿名化处理并开发利用留出了一定的余地。但目前缺乏具体实施细则,导致实践中企业难以操作。
(五)采取数据本地化和跨境安全评估方式进行数据跨境流动管理,面临难以与国际接轨的矛盾
我国数据跨境流动管理制度正在形成过程中,《网络安全法》规定以数据本地化为原则对数据跨境传输采取安全评估措施,与国际跨境数据流动管理机制存在较大差异。我国对数据跨境传输管理范围宽,要求严格,政府自由裁量权大。而欧美则主要强调对个人数据跨境传输进行规范,并且采取“对等适当性(即双方个人隐私保护水平相当即可)”“认证”等“一揽子”解决方式,对个案自由裁量权小。
04 分类确权促进数据安全自由流通
分类确定数据权利,建立一个安全、自由的数据流通环境,促进数字经济发展。
为抓住大数据发展的战略机遇,建议按照人格权保护优先、以价值贡献为重要依据、个人权益保护和产业发展利益平衡三个原则,分类确定数据权利,建立一个安全、自由的数据流通环境,促进数字经济发展。
(一)明确政府对政府数据管理使用的权利、责任和义务以及公众的使用权利和义务,有效推动公共数据开放
将公共数据设定为国家所有的模式,尽管有利于避免各部门以自己投资建设为由将信息资源视为本部门资产,却容易导致公众使用权利难以落实。因此,需通过法规明确政府对政府数据的管理、使用权利,保护和开放的责任和义务,以及公众对政府数据的使用权利和义务,使得政府和公众对公共数据的权利均有法可依、权责清晰且更具可操作性,有效促进政府数据最大化安全开放。
(二)赋予非个人商业数据生产者所有权,促进商业数据流通应用
尽管非个人商业数据事实上由数据生产者控制,但数据权利的不确定性妨碍了大数据产业的发展,也成为数据共享的主要障碍。法律可以明确赋予数据相关生产者对合法收集或制作的非个人数据享有所有权,以鼓励数据企业收集、存储和利用数据,促进数据的流通应用。多个主体共同生产的商业数据共同拥有。
(三)明确自然人的个人数据权利,加强个人数据权利保护
将现行法规对个人数据作为人格权保护内容拓展到个人数据权利,赋予自然人个人数据权利,并明确权利内容。个人数据权利的内容包括信息可携权、知情权、选择权、修改权、删除权、求偿权、被遗忘权等。同时,对个人各项权利的行使及数据控制者的责任等作出具体规定,确保个人数据权利保护落实到位。
(四)允许数据控制者对匿名化数据享有限制性所有权,规范企业数据利用
尽管我国法律法规为数据匿名化处理应用预留了空间,但由于涉及个人隐私这一重要因素,仍需法规以“正面清单”方式对数据权利应用作出明确规定,才能推动数据的进一步流通、应用。可赋予数据控制者享有对个人数据进行匿名化处理后的数据的所有权,并承担相关风险责任,以激励企业在保护个人信息的前提下开发数据价值。匿名化处理的基本原则是确保处理后无法识别个人身份信息。同时,建立个人数据匿名化利用的法规体系和标准,确保数据规范流动。
(五)加强跨境数据流动管理制度接轨,通过隐私机制和安全例外实现数据主权
为发展我国数字经济,与世界主要市场国家和地区的跨境数据流动规则接轨不可避免。可借鉴欧盟规范个人数据流动、推动非个人数据自由流动的方式,在数据跨境流动管理中进一步将数据区分为个人数据、涉及国家安全和公共安全的数据、其他数据,通过隐私机制规范个人数据管理,允许非个人数据自由流动,同时将安全作为数据流动的例外规定,基于此来保护数据主权。
(六)规范监管部门为履职获取数据的权利和要求,确保数据监管合理有效
为保障公共利益,需要明确监管部门获取数据的权利,规定公共部门可访问国内任何地方存储的数据,并进行审查和监督。鉴于实践中存在多头管理、政府部门对企业报告数据的要求不明确、公共部门对个人隐私保护不到位等问题,应同时明确监管部门获取数据的条件、程序和具体要求,并减少重复报送,避免监管部门滥用获取数据的权利。
本文已标注来源和出处,版权归原作者所有,如有侵权,请联系我们。