一、数据产权背景:数据经济发展的法律诉求
这给数据法律制度提出了新的诉求。对此,欧盟委员会认为,有利于数据交易发展的法律环境的缺失,可能导致大量数据库的可获取性降低,对数据市场参与者形成障碍,甚至导致不正当竞争。虽然《一般数据保护条例》(GDPR)和正在制定的《非个人数据自由流动条例(提案)》对个人数据保护和非个人数据自由流动作出了制度安排,但是由于著作权、数据库权、商业秘密保护、合同机制等既有保护模式的不足,非个人数据保护依然缺乏有效的制度安排。为了保护非个人数据的财产利益,欧盟委员会呼吁设立数据产权,规范市场和交易。
二、数据产权概念
其实,学术界对数据权利性质的讨论由来已久。早在1988年就有学者提出“数据管理权”的概念,并认为这可能会更恰当一些。英国学者Christopher Rees认为数据可以被归类为财产(基于财产的简单定义,即能使用并排除他人使用某物的权利)。德国学者T·Hoeren在德国法律框架下和法理学基础上,得出结论认为:“一般来说,数据权利归属于数据的开发者、创建者或生产者。如果是职务数据(借鉴美国版权法术语),则权利属于雇主。”
虽然众说纷纭,但不可否认的是,数据的特点(如无限性和兼容性)使得数据产权外延内的“所有权”(ownership)和一般民法对所有权(对财产享有的使用、收益和处分的排他性权利)的界定不同。数据作为新型资产可被视为能为人所控制的无形物且许多情况下并非智力成果,将数据作为一种类所有权的新型财产的观点开始出现。
此外,在数据经济背景下,数据产权的内涵是超越字面文义的,实属类比性的而非定义性的使用。因为在责任承担上和传统所有权存在差异。传统所有权人几乎完全拥有占有和使用该物的权益,既使是无民事行为能力人,且一般是在没有妥善保管物导致侵权事实发生的情况下才会存在责任问题。但是在数据产权背景下,权利人的义务和责任更为沉重,不仅要对数据泄露和数据侵权等事件承担责任,也需要在日常数据收集和处理等工作中,履行相应的附随义务。
三、数据产权特征
(1)非专有性。一般情况下,企业会通过技术手段,保护相关数据不受第三方侵犯。这种事实上的专有性足以使只有基于合同的交易方才能获取数据。在没有规范性权利的背景下,合同中有关违约披露数据的责任条款部分保证了公司能够控制数据的流向。为了平衡法律框架和现实条件对数据市场的杠杆作用,现实上的专有性不应作为“专有权”纳入权利框架中。
一方面,这一取舍是基于促进数据流通和发挥数据效益,为数据经济创造良好环境的初衷;另一方面,赋予数据产权专有性在当下行之有效的技术和合同壁垒面前,显得多余且存在滥用风险。除了经济因素的考虑外,主体多、关系复杂以及数据的互操作性和可移植性也使得“谁专有、因何专有、专有何物”在法律上难以界定。因此,当技术水平使得数据的专有事实成为客观状态,立足于鼓励数据交易并保障数据可获取性的经济目的,数据产权应当为非专有性。
(2)有条件性。数据经济的获益者众多,数据市场主体之间的相互关系是数据价值链的基本纽带。在实践中,整个数据价值链中的主体包括互联网服务提供者、IT基础设施提供商、数据经纪人、个人(如数据主体,消费者,病人等)、公共部门、数据分析服务提供商和数据驱动型企业等,所有主体都只有在对数据进行了符合条件的操作之后才能享有数据产权。
借鉴GDPR对数据处理的定义,对非个人数据的处理行为可以包括收集、记录、组织、结构化、存储、修改或变更、检索、咨询、使用、以传播或其他方式披露、排列或组合、限制、删除或毁坏等单一或系列操作。出于促进数据交易和增值的要求,对数据进行过特定操作是数据价值链中的各主体主张数据产权的前提,即数据产权人需要对数据进行结构化、丰富化、协调化和系统化操作。据此,代表权利人利益处理数据的主体(如技术中介者)并不会被视为权利人,但该类主体会受益于后者的数据传输义务。
四、数据产权内容
该项权利的客体应当为“非个人或匿名化的机器生成数据”(non-personal or anonymized machine-generated data)。机器生成数据,是在没有人类直接干预的情况下,由计算机程序、应用和服务,或由处理从设备、软件或机器接收到的信息的传感器生成的数据。机器生成的数据可以分为个人数据和非个人数据,具有可识别的数据为个人数据,在完全匿名化之前,受个人数据保护规则调整。
(2)数据传输义务作为对数据产权的限制。数据产权主要对应的义务是数据传输义务,该义务的履行应类比知识产权中对标准必要专利提出的FRAND条款,需要符合公平、合理、无歧视的要求。对于数据传输义务的排除,可以借鉴著作权法中合理使用的三步检验法。《欧盟信息社会指令》明确规定了相关三步检验法:在特殊情况下,不影响对数据的正常开发和其他事项且不会不合理地损害权利人的合法权益。将这一原则引入数据产权,即只有在数据受让者的处理行为不合理地损害了数据产权人的权利或者与正常开发行为相违背时(即“不合理使用”),产权人才能排除其传输义务。
(3)追踪义务应被作为数据产权的附随义务加以规定。由于数据产权具有非排他性,因此要避免主体随意主张权利,即在没有证据证明其处理过相关数据的情况下主张享有权利。执行处理行为的事实是数据产权保护的前提,追踪义务能够证明该事实存在,防止权利滥用并提供法律上的确定性。追踪义务是指能提供证据证明其权利主张所针对的数据来源和处理的义务,义务的履行可以通过持续更新追踪日志实现。
追踪义务的目的有三点:①可追踪性是所有权的有效性要求,追踪日志能为主体主张权利提供证据。②追踪日志是证明权利合法使用的关键要素,能够表明相关数据集的创建未侵犯第三方权利。③追踪日志和数据的同步传输可以反映数据流向,有助于履行其他相关法律义务。例如,有助于数据处理者积极响应数据主体的访问个人数据的请求,或者,按照GDPR和网络和信息系统安全指令(NIS)的规定,在发生数据泄露和其他安全事故时及时而恰当地履行告知义务。由于个人数据和非个人数据的界限存在被技术冲破的可能性,追踪日志将在这种不稳定性危害发生时发挥重要作用。此外,从整个数据市场发展的角度,追踪义务能够建立追踪机制,让市场主体的行为更加规范化,便利监管和权利保护。当然,追踪义务可以通过“软法”加以确定,如行为守则或认证机制。
(4)数据访问的特殊机制。出于充分发挥数据效益的目的,欧盟委员会还提出了数据生产者应当许可他人访问数据的特殊机制,主要有以下三点建议:①当涉及公共利益时,公共机构可通过获取第三方“涉及公共利益”的数据库信息,并借此改善公共事业的发展。例如,地方当局有权访问和获取私家车辆收集的实时交通信息,以便改善交通管理,或者借此监控空气污染状态。②关于FRAND条款,欧盟委员会还提出了在“公平,合理和非歧视”条款下建立数据许可框架的可能性。到目前为止,欧盟仅在特殊情况下依据FRAND条款授予知识产权的强制许可,例如在专利权人在相关领域具有主导地位,并且没有可替代使用的专利技术时。因此,将强制许可扩大到数据库许可将是未来的发展趋势。③建议在利益相关者的意见综合下,拟定格式合同。这将有望降低交易成本,为中小企业和初创公司提供更公平的数据利用机会。
五、数据产权展望
就知识产权而言,独创性是侵权的重要抗辩事由,也是创新社会所必须捍卫的激励机制。非排他性的数据产权与一种排他性的数据库权利的对立性会被追踪机制解决,因为追踪义务能够解释数据的独立来源,类似于一种“独创性”证据。
当并非以“不合理”的方式对待数据,以伯尔尼公约的三步测试法为标准,大部分的数据分析和使用并不会破坏“作品”的正常开发或对相关权利人利益造成损害。因此,当受著作权保护的数据并非以“作品”的形式被使用,数据分析和非专有性产权项下的数据不会构成著作权侵权。
对于商业秘密项下保护的数据,一方面合同可以解决相关保密义务的约定,另一方面追踪日志可以应对相关盗用商业秘密的无端指控。数据保护法框架下的数据主体的权利应该和非排他性数据产权并行,数据控制者和运行者在面对个人数据的时候只需要遵守GDPR的相关规定。GDPR中的相关义务不受新的非排他性数据产权的影响,如去识别化和加密处理等安全义务不会受到影响。同时,追踪义务将有助于遵守GDPR规定的数据获取和及时通知义务。
展望未来,权利机制将刺激数据市场主体进一步追求经济效益,数据生产者和其他经营商将放眼欧盟各个成员国,扩大受益范围和交易可能性,加速欧盟数据市场的完善和成熟。就数据使用者而言,在促进数据流通的理念下,数据产权的非排他性能够促进数据库开放共享。公共机构和中小企业以及其他数据生产能力较弱的市场主体,将拥有法定机制保障其对有益信息的获取,在推动企业发展的同时,提供更优质的商品和服务,造福社会。
更多精彩内容
欢迎搜索关注微信公众号
腾讯研究院
