摘 要:
數字時代的數據在促進社會發展的同時,關于數據權利保護的困境也日益凸顯,主要體現在傳統的侵權法無力保護數據的隱私權益、物權保護路徑面臨數據權利保護不足及知識產權無法全面保護企業數據權利。因此,應對數據進行分級分類保護,并在此基礎上完善數據權利保護的法律體系,與此同時構建有效的外部執法機制。
關鍵詞:數據權利保護;信息技術;知識產權;
隨著信息技術的發展,人類進入了大數據時代。在這個時代,無時不刻充斥著海量的數據分析,數據化成為最主要的特征,數據也成為這個時代的新資源。正如英國著名雜志《經濟學人》曾在一篇文章中指出,如果說石油是工業時代最重要的大宗商品,那么數據將是后工業時代,也就是數字經濟時代數一數二的大宗商品。不論是歐盟的《通用數據保護條例》還是美國的《加州消費者隱私法》都強調了保護個人數據權利的重要性。我國也意識到保護數據權利的迫切性,2019年是中國數據的合規元年,數據隱私、數據黑產、數據泄露等問題頻發。新浪微博APP涉嫌5.38億條微博用戶的信息泄露;北京瑞智華勝科技股份有限公司販賣用戶數據,涉及騰訊、百度、京東、今日頭條、新浪微博、攜程、12
306等96個互聯網公司;2020年4月,萬豪受到第二次數據泄露打擊,再曝520萬用戶數據泄露。目前,我國對于數據權利的保護多采用私法的進路,對個人數據保護進行了原則性的規定。但工商業時代的法律規定已無法滿足數字時代的數據保護要求,使目前數據權利保護困境重重。因此,本文希望通過分析目前數據權利保護的困境和挑戰,探討數字時代數據權利保護的新模式。
一、傳統的侵權法無力保護數據的隱私權益
21世紀初,對于隱私保護的爭論主要有三個觀點。第一種觀點認為,由于信息量過大,人們無法控制別人獲取信息,所以,無須擔心隱私保護問題;第二種觀點的倡導者主要是社群主義者,認為西方民主制國家不能承受他們現在所試圖提供的高標準的個人隱私[1];第三種觀點的主要倡導者是自由主義者,強調需要為隱私保護提供強有力的保障。為什么需要對隱私進行保護?隱私權益保護的意義何在?隱私保護不僅是維護尊嚴和約束侵犯的重要手段,更為重要的是它是限制政府權力的一種方式[2]。隨著數字時代的到來,由傳統社會走向了信息社會,由單一的物理空間向物理/電子(現實/虛擬)的雙重空間轉換[3]。數據成為信息時代新的生產資料,各種新業態、新模式都對數據收集、使用產生了巨大的需求量,需要對數據隱私權利進行必要的保護。不幸的是,我們的社會已經到了這樣一個地步:法律跟不上技術的進步,也跟不上技術帶給生活的持續變化[4]。傳統的侵權法已經無力保護數字時代的隱私權益。
數據的匿名化沖擊隱私保護的可識別性。不論是民事《侵權責任法》予以保護的隱私權,還是公法上的個人信息保護觀念,前提都應當是具有身份的可識別性,即應當與特定的個人有所關聯,當脫離了特定個人,這些信息就再也不是個人信息,更不是個人隱私[5]。大數據時代,信息具有碎片化、匿名化、流動化的特點,數據的隱私權益很難再尋求工商業時代的傳統隱私權保護。正如北京百度網訊科技公司與朱燁隱私權糾紛案,被稱為中國Cookie隱私第一案。朱燁發現不論是使用家中的還是單位的電腦,只要使用了百度搜索相關的關鍵詞后,再次訪問某些網站時就會出現與該關鍵詞相關的廣告,朱燁對這個情況進行了公正。一審法院認為,隱私保護的前提應當與特定個人身份相關聯,而本案Cookie并不能準確識別到朱燁這樣的單個用戶。所以Cookie信息無法被認定為個人隱私,否則會造成個人隱私范圍劃定太過于寬泛的問題。二審法院認為,Cookie信息雖然具有隱私屬性,但需要與用戶身份相關聯,如果用戶身份分離就不屬于個人信息。最終駁回了朱燁的全部訴訟請求。
二、物權保護路徑面臨數據權利保護不足
《民法典》將個人信息保護和隱私權保護規定在人格權編下,而將數據規定在財產權編里:法律對數據、網絡虛擬財產的保護有規定的,依照其規定。對于個人數據的保護應該適用何種法律框架,學者的觀點一直多有分歧。有些學者提出可以適用物權法的保護路徑,認為個人數據是一種私權客體,可以通過給與數據所有者排他性的所有權進行個人數據保護,以強化個人數據的保護。正如王利明教授所指出的,如果不強化數據共享中的個人信息保護,數據產業也難以健康發展[6]。也有一些學者指出,適用物權法保護會存在缺陷,首先,涉及數據屬性的判斷,其次,不符合一物一權原則,且數據所有權的主張與物權的主張在根本上亦不相符[7]。筆者認為,傳統的物權法并不能對個人數據進行全面的保護,正如《民法典》對于數據的規定顯得如此無力。因為在大數據時代,個人數據的保護和個人數據的流通就像一個硬幣的兩面,缺一不可,保護個人數據是一個方面,但促使個人數據流通也是非常重要的另一個方面。因為數據不同于傳統的“物”,采取傳統的物權保護進路將面臨數據權利保護不足的情況。在數字時代,雖然數據的價值堪比傳統時代石油的價值,但“數據”卻不同于“石油”,不同于傳統的物,具有特有的現代性特征。
1.非競爭性
數據不同于傳統的物權,數據具有非競爭性的特征。數據的價值不在于占有,對于數據的占有并不強調傳統物權的壟斷性和排他性,獲得數據的使用權等同于某種意義上的所有權。同一數據可以同時被多個不同的權利主體掌握,同一數據根據不同的算法可以用于不同的領域產生不同的用途。數據的價值并不會隨著使用而損害或降低,某一權利主體通過使用數據獲得利益時并不會造成其他數據主體的經濟利益損失。正因為數據具有不強調占有的非競爭性特點,在司法實踐中對于并不完全占有數據的公司,認可公司對數據的競爭性財產權益。正如大數據不正當競爭第一案,法院認為,雖然網絡運營者對原始數據不享有獨立權利,但是大數據產品的財產權益受到法律保護。法院認為,“生意參謀”這種數據產品是經過淘寶公司長期經營積累而形成的產品,雖然平臺對于數據并不享有所有權,也無法用傳統的物權法對數據進行保護,但企業對于數據的競爭性權益是受到法律保護的權益。
2.開放性
數據的價值在于開放流動,而非封閉靜止。數據開放旨在促進信息流動,提高系統服務耦合度及其協同工作能力[8]。對于公共數據的開放,已然成為全球的發展趨勢。美國出臺的《開放政府數據法》中提到要求聯邦政府使用開放數據改善政府決策,并且通過定期監督來確保問責制;歐盟修訂的《開放數據和公共部門信息指令》,目的是促進歐盟建立共同數據空間,確保能夠廣泛、自由地獲取及再利用歐盟公共部門的數據。目前,雖然我國還未形成國家層面有關于公共數據開放的法律,但上海已出臺了《公共數據開放暫行辦法》的地方性法規。《公共數據開放暫行辦法》是上海市為推動數字經濟發展,促進和規范公共數據開放及利用,提升政府治理能力和公共服務水平而制定的地方性法規。鼓勵數據利用主體在遵循合法、正當的原則下利用公共數據開展科技研究、咨詢服務、產品開發、數據加工等活動。《數據安全法(草案)》第五章對政務數據安全與開放作出了相關規定,雖然很多學者對于政務數據在《草案》中單獨編排成章提出了異議,但《草案》對于數據開放性的重視是值得關注的。由此可見,美歐以及我國都意識到數據開放性的特征,數據的價值主要體現在其高速流動,對于傳統“物”之靜態立法并不適合對于數據的規制。
3.非獨立性
數據不具有獨立性。傳統物的獨立性主要體現在具備物理上的獨立、具備交易上的價值及法律價值上賦予的獨立性三個方面。第一,數據不僅受制于架構的設計,還依賴于計算機代碼而存在。數據的發展在很大程度上依賴于技術基礎設施的發展。數據存在于網絡之中,不是物理空間中傳統的“物”,數據依賴于代碼、載體及其他因素才能發揮其作用。第二,數據本身并不具備獨立性。單個的數據沒有價值,只有將大量的單個數據在法律上進行聚合之后再抽象為數據池才具備交易上的價值。在“微信數據”權益之爭騰訊訴群控軟件案中,法院將單個原始數據和網絡平臺方的數據集進行了區分。對于網絡平臺中的單個原始數據,應強調數據主體的控制權和許可權;而對于網絡平臺方掌握的數據集才能體現交易上的價值,因此,對于企業的數據權益應突出強調對數據資源競爭性權益的保護。第三,目前《個人信息保護法》、《數據安全法》并未出臺,在法律規范和法律價值上對于數據的獨立性目前并沒有進行明確性的賦權。由此可見,從物理上的獨立性、交易上的價值性及法律價值上的賦予性的角度進行分析和闡釋,表明數據具有非獨立性的特征。
三、知識產權法無法全面保護企業數據權利
不論是《保護工業產權巴黎公約》還是《保護文學與藝術作品的尼泊爾公約》,以及隨著互聯網和數據產業發展而出現的《世界知識產權組織版權條約》,都強調知識產權保護的重要性。保護知識產權的理由主要基于兩方面。一是保護創作者的道德與財產權利;二是鼓勵原創以促進經濟發展[9]。數據是抽象物的一種新類型,有著特殊的媒介屬性和技術屬性。大數據時代的新特征主要表現在數量極大、數據類型多樣性、數據的實時速度三個方面[10]。在大數據新時代,傳統知識產權法是否能對數據這種新的抽象物進行全面保護成為爭鋒焦點。有些學者認為,雖然進入了大數據時代,但誕生于“小數據”時代的知識產權法有很強的適應性,只是需要對些許產權保護的空白進行關注[11]。一些學者則認為,應該將數據作為獨立的權利進行保護。因為數據權利跟現有的知識產權體系存在不兼容性,如對創新性的要求、對權利期限的要求等,如果將數據權利放在知識產權體系中進行保護,可能會產生問題[12]。有學者認為,從立法的角度進行保護相對繁瑣與復雜,可以用技術手段(代碼)阻礙不受歡迎的侵入[2]。筆者認為,傳統的知識產權法無法全面保護企業數據的權利,主要體現在以下兩個方面。
1.數據的非原創性消減著作權保護的獨創性
著作權的保護對象是文學、藝術、科學等作品,且要求這些作品需要具有獨創性,并能以某種有形方式復制。與數據保護相關的是《著作權法》第14條,對內容的選擇或編排體現獨創性的作品,為匯編作品,由匯編人享有著作權。著作權保護通過數據庫內容選擇或編排而體現其“獨創性”,但數據并不具有獨創性、期限性、法定性的知識產權特征[13],數據的資源采集和加工方式導致數據知識產權界定具有極大的不確定性,雖然有些數據庫因為制作與編排具有一定的獨創性,但在實踐中,關于獨創性的判斷標準往往使得數據因為沒有獨創性而很難獲得版權法的保護[14]。也有學者認為,數據的價值并不在于編排的方式,而在于數據的巨量性和混雜性。《德國的著作權》第87條規定了用鄰接權來保護以“激勵投資、保護投資”為基礎的大型數據庫[15],歐盟則通過《歐盟數據庫法律保護指令》給與數據庫一種類似于不動產意義的強大的特殊權利保護,美國則通過盜用侵權這種獨特的反不正當競爭為數據庫提供保護。
2.數據收集的合法性約束商業秘密的秘密性
著作權、商業秘密是使用知識產權保護數據的依據,商業秘密指不為公眾所知悉、能為權利人帶來經濟利益、具有實用性并經權利人采取保密措施的技術信息和經營信息。商業秘密是知識產權的客體,主要包括三個特征,即秘密性、價值性、保密性。有學者主張采用商業秘密來保護數據,雖然這比著作權保護更具有實際價值,但商業秘密對數據的保護還是遭遇了一些列的困境。首先,數據不具有秘密性,數據有開放共享的特點,而商業秘密的首要特性就是秘密性,不能被公眾所知曉,一旦被知曉,就失去了保護商業秘密的價值。其次,數據的價值性很難界定。數據的價值不同于傳統的價值,傳統的價值具有可預見性。但數據的價值是一種潛力價值,很多傳統上認為沒有價值的數據會隨著技術的挖掘而逐漸產生價值[12]。最后,企業數據的保密性難以確定。企業是否為了保護商業秘密而設置保密措施,對此很難有直接的判斷標準,因為企業數據的加密是常態,數據安全的加固和升級也是多種目的的需要,并不能直接判斷是為了保密[16]。
四、構建新型的數據權利保護模式與機制
在大數據時代,數據權利(權益)的保護已經成為共識。由于信息革命的推動,引發了包括價值觀念、生產方式、生活方式、社會關系、社會秩序等在內的全方位的變革[17]。工商業時代的傳統法律制度已經無法應對新型的數據權利保護:傳統的侵權法無力保護數據的隱私權益,物權的保護路徑面臨數據權利保護的不足,知識產權無法全面保護企業數據權利。面對數據權利保護的困境和挑戰,需要構建新型的數據權利保護的模式與機制。
1.對數據進行分級分類保護
根據數據敏感程度的不同,可以分為重要數據、敏感數據、個人數據以及非個人數據。針對不同敏感度的數據,在數據收集和使用過程中對于數據的保護程度也是不同的。敏感數據不同于重要數據,敏感數據的主體是個人,而重要數據的主體是國家,是從整體利益角度出發界定的重要數據。個人數據與非個人數據的區別主要在于:個人數據與人格權、隱私權相關,在數據收集過程中強調數據主體的知情同意是合法性基礎。非個人數據更加強調的數據的財產屬性,《民法典》將非個人數據與虛擬財產作出規定,非個人數據的本質是企業的財產,如工業數據。
數據以行業領域為基礎進行分類,可以將數據分為金融數據、健康醫療數據、消費者數據、公共數據、兒童數據、就業數據以及教育數據。不同領域的數據關注的重點和保護的核心都不相同。金融數據重點關注的是金融消費數據融合和共享之間的合法性框架問題;健康醫療數據重點關注的是個人信息保護和產業發展之間的平衡;消費者數據重點關注的是消費歧視、價格歧視等帶來的消費者權利保護的相關問題。公共數據關注的是公共數據的開放及分級、分類機制建立的相關問題;兒童數據關注的是如何對兒童進行特殊保護及如何確認監護人是否同意收集信息;就業數據關注的是數據共享和交易的合法性框架,尤其是職場數據監控的法律邊界問題;教育數據更多關注的是教育行業如何在數據的支撐下實現智能化,如何避免教育機構利用數據進行過度營銷,侵犯學生和家長的隱私權利。
2.完善數據權利保護的法律體系
我國由于數據權利保護的法律體系不完整,呈現出“專門化”“板塊化”“碎片化”的立法問題。首先,制訂統一的《個人信息保護法》。《民法典》對于隱私、個人信息、數據進行了關系界定。《民法典》將個人信息保護和隱私權保護規定在人格權編下,而將數據規定在財產權編里:法律對數據、網絡虛擬財產的保護有規定的,依照其規定。這樣的立法規定體現了《民法典》既要對個人數據進行保護,也要促進個人數據流通的立法意圖,同時,也顯示出傳統《民法典》對于數據權利保護的無力。所以,《民法典》并不能滿足對于個人信息保護的法律需求,需要在此基礎上,制訂統一的個人信息保護法。推進個人信息保護全面性立法及實施細則的出臺,可以參考美國《消費者隱私權利法案》建立“安全港機制”,鼓勵業界擬定可操作性的實施細則[18]。
3.構建有效的外部執法機制
美國聯邦層面雖然沒有制訂統一的個人信息保護法,但有著其他國家無法比擬的強大的外部執法機制,能夠約束信息控制者的行為[19]。我國由于個人信息保護法尚未出臺,各部門立法分散、法律規范不銜接。需要構建強有力的外部執法機制來對數據權利進行有效保護。首先,建立獨立的專門管理機構。由于個人信息保護涉及面廣,但目前我國并沒有權責統一的監管機構,應設立一個統一、專門、獨立的管理機構。目前,工業和信息化部只涉及電信和互聯網行業的管理,并不涉及個人信息的管理[20]。其次,完善行政處罰與刑事責任的銜接。當前,我國的數據權利保護,相較于行政處罰而言,主要以刑事責任為主。目前,太過于重視刑事責任,有違刑法的謙抑性,將不利于數據產業的發展。歐盟嚴厲的行政處罰是數據權利保護體系的特點,美國更是有行政和解協議。從諸多國家的實踐看來,行政處罰是保護數據權利體系的有效和重要手段。當前我國數據權利保護存在刑法制裁與其他手段脫節的現象,需要完善行政處罰與刑事責任的銜接。
五、結語
隨著互聯網、人工智能,大數據的發展,人類進入了數字時代。人們的生活工作無時無刻都在產生著數據,數據在給人們的生活帶來便捷的同時,也產生了巨大的財產價值。與此同時,對于數據權利保護也存在不足,主要體現在傳統的侵權法無力保護數據的隱私權益、物權保護路徑面臨數據權利保護不足及知識產權無法全面保護企業數據權利。工商業時代的法律規定已無法對數據權利進行保護,應構建新型的數據權利保護模式與機制對數據權利進行全面保護。如對數據進行分級分類保護,在此基礎上完善數據權利保護的法律體系,與此同時構建有效的外部執法機制。