作者简介
李爱君,女,山东曲阜人,中国政法大学教授,博士生导师,中国政法大学互联网金融法律研究院院长、大数据与法制研究中心主任,国务院参事室金融研究中心研究员,研究方向为金融法、金融监管、人工智能法律和数据法律。
摘要
数据权利归属的研究是要回答“数据是谁的”这一问题。数据权利归属是数据权利保护的核心问题。此问题不解决,就无法真正实现对数据权利的保护,更无法实现数据的有效利用和激励数据开发、利用技术的研究。数据权利归属就是确认数据财产的初始权利,数据权利归属研究的目的在于维护数据开发和利用的市场秩序,激发人们研发和利用数据技术的积极性和能动性,维护数据权利中的个人利益、社会公共利益和国家利益,并为数据安全立法提供法学理论支撑。本文以数据资源有效开发利用过程中各方利益的协调、数据开发利用技术发展的激励为核心来论证数据权利的归属,从立法层面、权利结构理论和数据权利的财产权属性三个方面论证了数据权利的可行性。最后,本文针对数据本身的特征提出了数据权利归属的私人模式及数据权利取得的路径。
关键词
数据权利;数据权利归属;数据权利归属私人模式;数据权利取得
人类正在从IT时代(Information Technology)转向DT时代(Data Technology)!在DT时代,大数据已成为各国重要的生产资料和核心资源。数据资源一经进入市场进行流通,必然出现数据权利再分配,如没有一定的公平的权利分配机制就会出现各种利益纠纷,一旦权利利益纠纷出现,对数据资源的保护及其开发与利用都会产生很大的负面影响,甚至会对个人数据安全和国家主权安全产生威胁。解决这些问题的唯一途径是建立数据权利利益公平的分配机制与个人数据和国家主权保护机制。利益分配机制能够实现数据生产和开发的劳动价值;保护机制能够使数据安全和国家主权的安全得以保障。数据权利利益分配机制与个人数据和国家主权安全保护机制实现的核心是数据权利归属的确认。
一、数据权利归属的必要性
(一)数据资源有效开发和利用的需要
首先,根据资源定义“一切可被人类开发和利用的物质、能量和信息等的总称,它广泛地存在于自然界和人类社会中,是一种自然存在物或能够给人类带来利益的财富”,可知数据属于非自然资源,数据能够给人类带来财富。在社会实践中,数据能够被人类开发、利用,并能够满足人类生产、生活的需要,是具有使用价值和交换价值的客体,给人类带来了财富,因此数据是资源。其次,资源的范围是动态发展的。从历史的角度,资源的范围和种类是随人类开发能力变化的,或者说科学技术是资源范围界定的决定因素。在科学技术不发达的阶段,资源主要是人类对自然资源的占有;数据资源是随着数据处理技术的发展,原有无法进行处理与发现其价值的数据已经能够通过处理使其产生新的价值,此价值又能够满足人类的需要,因此数据是21世纪人类的非自然资源。
综上所述,数据是资源,已被美国等发达国家以及我国列为国家战略资源。资源就应有效地开发和利用,有效开发和利用的前提是有序。目前数据资源的无序开发和破坏问题极其严重,已经阻碍了数据的有效开发和利用,亟待解决。资源开发利用的人类社会发展史与理论、实践经验都充分证明了数据资源有效开发利用的核心问题是数据权利归属的界定。数据权利归属就是确定数据权利的主体,即数据归谁所有。“一切资源须由确定的主体拥有,或者,必须明了确定的主体如何获得对资源的所有权。……若资源为个人所有,拥有财产者便有合理的理由利用之以创造更多的财富和满足。……明确所有权的规则以及规范如何获得无主资源的规则可以减少就此类问题而发生的争议。”[1]“合法权利的初始界定会对经济制度运行的效率产生影响。权利的一种调整会比其他安排产生更多的价值。”[2]“……如果人们在占有和使用有限的资源时没有安全保障,则会导致社会的不稳定。……如果人们不能确保对物的持续占有,就可能发生混乱以及对资源的浪费;……如果人们对于继续使用某些资源并依此获益抱有信心,那么,他们就有使用资源创造利益的积极性,资源的利用便会更为有效。”[3]假设把数据资源视为公共产品,每个人都是数据的所有者,任人无条件地收集、使用、处理和交易,那将陷入无序和滥用的状态,最终走向人人对数据收集自危和恐惧的境地,进而导致数据的枯竭。“……就如同众所周知的‘大锅饭的悲剧’那样,可能会导致效率的丧失。”[4]因此,数据权利归属的初始权利的界定,不仅有利于减少人们的相互争执,还能有效地保护数据主体的权益,从而在保护个人数据安全、国家主权安全等前提下为数据开发和有效应用提供稳定的秩序和激励机制。“安全有助于使人们享有诸如生命、财产、自由和平等等其他价值的状况稳定化并尽可能地维续下去。”[5]个人数据无论其数量还是其价值都是大数据应用的重中之重,不仅是社会发展的新动能、新资源,还提供了诸多便利,如利用个人数据的大数据计算实现精准决策、精准医疗和精准服务等。然而,个人数据在开发与应用的同时,其不当使用的乱象日趋严重,如对个人数据的非法收集、滥用、泄露、非法买卖等,轻则影响人们生活安宁,重则侵犯个人隐私权和损害公民财产权,甚至使人身安全和国家安全受到严重威胁。近年来国内外发生的各种个人数据安全事件,如CSDN遭受攻击、支付宝年度账单事件、Yahoo邮箱泄露案件、华住集团上亿条个人信息数据泄露事件等。这些事件的出现充分表明个人数据的安全问题亟待解决,否则不仅对个人隐私权和财产权产生损害,还将影响我国建设数据强国目标的实现。个人数据安全已是实现数据强国的重要保证,要想实现个人数据安全就要赋予个人数据主体某种权利,即个人数据权利归属于数据主体。权利是私法秩序维持的手段。我国虽然没有对个人数据权利进行保护的专门立法,但《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国消费者权益保护法》(以下简称《消费者权益保护法》)等相关法律都规定了个人信息保护的内容。但这些内容并没有发挥应有的作用,其主要原因是没有从根本上赋予个人数据主体对数据拥有数据权利,而是更多地规定了数据主体相对方的义务,从而导致无法真正实现个人数据权利保护。“要使某人负有的义务在私法上得到实现,最有效的手段就是赋予另一个人一项对应的权利。否则,义务就难以实现。”[6]“义务的核心意义在于,它是作为权利的相关物发挥作用的,义务的承担者不仅被告知他必须做某事,而且被告知他理应去做某事,它之所以受约束乃是因为如果他规避义务,所受到的不是他自己善良动机的挑战,而是另一个人的挑战,因为那个人拥有权利。”[7]个人数据权利归属就是赋予个人数据主体权利,从而使个人数据收集、处理和使用相关主体的义务承担者不仅仅是自己善良动机的挑战,个人数据主体的挑战,进而实现个人数据的安全。
(二)数据资源应用过程中各方利益相协调的需要
数据资源应用过程中各方利益相协调主要有两个维度:一个维度是个体之间的利益协调,另一个纬度是个体与社会利益的协调。第一个维度,个体之间的利益协调。“由于每个人的幸福都依赖于一种合作体系,……因此利益的划分就应当能够导致每个人自愿地加入到合作体系中来,没有这种合作,所有人都不会有一种满意的生活。”[8]“任何人的有意识的行为,按照一条普遍的自由法则,确实能够和其他人的有意识的行为相协调。”[9]如数据资源开发和利用过程中某一主体的行为不涉及其他主体利益时,该主体的行为是自由的,否则,该主体行为的自由就必须受到应有的限制,此限制应是为了协调各主体之间的利益。数据资源应用过程中涉及多个主体,包括数据主体、使用主体、处理主体等,这些主体之间的利益如不能协调,将会导致某些主体的退出,进而影响数据资源的开发和利用,甚至会将数据开发和利用推向无序状态,最终使之失去社会价值。构建数据资源应用过程中各方利益的协调机制应从数据权利的归属入手,使各方主体的权利(利益)得到平衡,从而实现各方参与主体整体利益的最大化。科斯定理认为:“在市场交易成本为零的场合,法律对于权利的最初配置与效率无关,……法律在注重提高经济效率的意义上应当尽可能地减少交易成本,比如通过清晰地界定产权。”[10]因此,数据权利归属是实现权利的最初界定。通过数据权利归属确定各主体的权利(利益),从而使各主体的利益达到平衡状态,进而推进数据开发、利用与相关技术的进步。第二个维度,个体利益与社会利益之间的协调。个体利益与社会利益之间关系的协调是指个体利益与社会利益的平衡机制,即在个体利益最大化的同时,不能使其社会利益为负数。“恰当制度的一个中心作用是在不同社会集团之间,……建立权势平衡,……才会出现基础广泛的持久经济发展。”[11]数据在应用与开发过程中不仅应追求个体利益最大化,还要保证社会利益的最大化,为追求个体利益而牺牲社会利益的做法是无法持续发展的,这就需要在社会利益和个体利益之间创建一种利益平衡机制。数据权利归属是创建个体利益与社会利益平衡机制的基础,在此基础之上,权利与义务相匹配方可实现个体利益与社会利益之间的协调。
(三)数据权利的归属能够激励数据开发和利用技术的发展
知识和技术的革新是任何时代经济增长的先决条件。“但它本身并不是充分条件,它仅仅是一个潜在的、必要的条件。换句话来说,如果要使技术得到高效和广泛的运用……必须就得对制度作出调整和对意识形态作出改变,才能实现正确利用人类知识达到部分生产要素的革新”。道格拉斯·诺思认为:“产业革命不是世界经济增长的原因,经济增长的关键在于制度因素,特别是确立财产所有权的制度。因此,必须设立有效率的产权制,使个人的收益率与社会收益率接近于相等以刺激和促进人们去从事合于社会需要的活动。”[12]目前数据开发和利用过程中所出现的个人数据安全与国家主权安全问题、企业数据纠纷基本都是权利归属不明确所导致的。当前,数据开发和利用过程中产生的纠纷在司法层面往往依据合同法、知识产权法、反不正当竞争法来解决,但现有的法律制度有着自身特定的立法目标和保护对象,因此无法实现数据纠纷裁决的公平与正义。最终绝大部分企业只能通过协商或求助于行业管理部门进行协调解决,导致企业在通过技术和内部控制维护自身权益方面承受了高昂的经营成本,极大地影响了企业的在数据开发与技术研发进行投入和积极性。[13]保护和激励数据资源生产者和开发者积极性与创造性的唯一途径,就是通过确定数据权利归属,保护数据资源生产者和开发者权益,使数据开发和使用主体能够在数据资源和数据服务市场中真正实现自己权益,进而对数据开发利用的技术发展实现激励。
二、数据权利归属的可行性
(一)立法层面的可行性
首先,《中华人民共和国民法总则》(以下简称《民法总则》)确立了“数据”的独立性。《民法总则》第一百一十条规定了“隐私权”;《民法总则》第一百一十一条明确了“个人信息受法律保护”;第一百二十七条“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。其中又规定了“数据”的保护。因此,《民法总则》对“个人信息”“隐私”和“数据”进行了分别规定,即从法律层面进行了区分,故而“数据”是与“个人信息”和“隐私”区别的客体。《民法总则》已为“数据权利”预留了立法空间,同时“数据”在法律层面已是独立于“隐私”和“个人信息”的客体,“数据”从立法层面可以成为权利的客体,数据权利就已成立。数据权利成立则应明确其权利的归属。
其次,《民法总则》确立了“数据”的财产属性。《民法总则》“民事权利”一章中,第一百二十七条的立法的选择是将“数据”和“虚拟财产”并列,表明两者具有相似性,隐含着立法对数据财产属性认可。对财产属性的认可,就意味着数据权利归属的可行性。财产是主体与客体的关系,数据具有了财产属性,就要有其归属主体的问题。
再次,根据《消费者权益保护法》第二十九条“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息”规定,经营者收集、使用消费者个人信息要经消费者同意,这就意味着个人信息的权利归属于信息主体,并不归经营者。
第四,《网络安全法》第四十二条“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”规定,网络运营者收集的个人信息和向他人提供个人信息必须经被收集者同意。通过此项规定也可推论出个人信息的权利归属于信息主体而非网络运营者。
(二)数据权利决定了数据的归属的可行性
“凡权利均有其主体”[14],没有主体就没有权利的存在。人为权利的主体,分为自然人与法人。[15]研究数据权利的归属就是研究数据权利的所有者。数据权利的成立是数据权利的归属的充分必要条件。数据是否能够符合权利结构客体的特征,决定了数据权利是否能够成立。权利结构是由权利主体、权利内容、权利客体组成。权利客体范围随着社会发展而变化,“产权界定是一个历史的过程,水曾经是免费物品,但是今天水的产权被顺利接受”[16]。权利客体是权利内容指向的对象,或是权利行使所及的对象,它说明享有权利的主体在哪些方面可以对外在的客体(物质客体或精神客体)做出某种行为或不做出某种行为。这种对象始终与权利本身共存灭,是权利主体之间发生权利和义务关系的媒介。权利的类型是由权利主体和权利客体来决定的。数据权利就是新权利客体“数据”的出现而产生的。数据权利的成立应有其主体和客体,主体是公民、法人或其他社会组织,客体是数据①。客体“数据”是否具有权利客体“存在于人体之外”“数据具有确定性”和“数据具有独立性”的特征决定了“数据”能否成为权利的客体。首先,数据存在于人体之外。数据是对事实、活动的数字化记录,具有独立性,形式多样,且存于人体之外。[17]其次,数据具有确定性。确定性是指民事主体对客体的独占和控制。数据不具有实体性,导致数据权利主体无法通过像对待物那样实际占有、控制和利用数据,也无法通过与他人的约定来对抗第三人的占有和享用。因此,其独占性可以比照知识产权。②再次,数据具有独立性。民事客体是民事权利的附着对象,它必须是能被实际控制并能划分他人利益界限的独立载体。客体具有独立性是构成民事权利的一个要素。数据的客体与知识产权的客体都是无体物,知识产权客体独立性的实现是通过法律赋予其独立性,而不是以承载“知识”的载体来确定“知识”的独立性。数据本身的呈现形式是“比特”,数据所承载的内容是事实和活动。因此也可以通过对一定地域范围内全体社会成员有约束力的共同约定即法律规定的办法来控制对数据的占有和使用的制度——数据法。[18]因此,“数据”权利成立,这就决定了数据归属的可行性。
(三)数据权利的财产权属性决定了数据归属的可行性
财产权是主体对客体的一种权利(权力),是一种主体对客体享有的受法律保护的支配力。财产权的结构是主体、客体和内容。没有主体的权利是不存在的,财产权是一种主体与客体之间的关系。罗纳德·科斯认为,真正的财产权的含义是权利,是主体实施一定行为的权利。[19]财产只有能够被主体所控制,才能成为现实的财产,“物仅仅是权利的标的,无任何人享有权利的物根本就不是财产”。[20]数据权利无论是在法学理论中还是在社会实践中都具有财产权属性[21]。如果数据权利具有财产权属性,那么数据权利就有其归属的主体。数据权利是否具有财产权属性决定了数据归属的可行性。根据财产权的概念③,如果数据权利满足具有经济价值、权利可以转移和以财产为客体的条件就具有财产权属性。“首先,数据权利具有经济价值在我国数据应用和发展过程中是不争的事实。”实践中,贵阳数据投行有限公司对北京舆讯科技有限公司进行数据投资,以价值200万元的数据使用权为对价,取得了舆讯科技15%的股权。《民法总则》第一百二十五条“民事主体依法享有股权和其他投资性权利”的规定表明股权是民事权利,具有财产属性。因此,数据与股权进行对价充分证明了数据的经济价值。[22]“其次,数据权利可以转移。”2014年2月以来,我国地方共建立了57家数据交易所(数据交易中心),还出台了地方交易规则。这些交易场所的运行及交易规则,充分证明了数据权利是可以转移的。再次,数据权利客体具有财产属性。《民法总则》中“民事权利”一章第一百二十七条写道:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”其中的立法选择是将“数据”和“虚拟财产”并列,表明两者有相似性,隐含着立法对数据财产属性认可。第四,经济学理论中“财产”的属性应当包括使用价值和交换价值。目前数据已作为商品在各地方数据交易平台进行交易,这足以证明数据具有交换价值。数据的使用价值更是比比皆是,如利用数据分析进行的精准营销和定向营销使营销成本大大降低,政府对数据分析的应用成为新型的社会治理模式等。美国是将个人数据信息以财产权规制的典型代表。其基本理念是个人数据信息(包括其中的隐私利益)可以被视为财产得到保护,这是一种从下至上的理念。个人应该享有其个人数据信息,且作为财产所有人应该有权控制对其个人数据信息的使用。[23]这句话有两层含义:一层是说明“数据”是财产;另一层是赋予“数据”财产权利。数据本身的财产属性已毋庸置疑[24],数据是财产就要有其归属的主体。“从数据既然是财产,数据权利又是财产权利,因此数据主体就应对其数据资源自由行使权利而不受他人干涉。”
(二)三、数据权利的归属——私人模式
权利归属模式分为三种:第一种是权利无所有人模式;第二种权利归属于私人模式;第三种权利归属国家模式。数据权利归属模式应以最有利于实现数据安全和国家主权安全、数据资源开发和利用以及数据开发利用的技术发展为选择标准。数据权利归属不能设定为无所有人模式。无所有人模式是一种拒绝任何主体占有、使用、处理和收益的模式。“这是一种资源的不开放体制,拒绝人类对特定资源的使用。”[25]数据资源在现代社会具有重要的价值,如果拒绝人类开发与利用将严重影响人类社会的进步与发展,这种模式将是不可取的。另一种情况是任何主体都可以对数据资源无条件地占有、使用、处理和收益。这就会出现对数据资源无序开发和利用的状态,最终导致数据资源的枯竭。数据权利归属也不宜设定为属于国家模式。
权利归属于国家模式会造成无法调动社会主体对数据开发利用的技术进行研发的积极性、无法释放数据对经济发展及其自身的效用、无法发挥市场机制对数据的有效应用的激励作用的情形。数据权利归属可以采取私人模式。此种模式是最有利于数据安全、国家主权安全、数据资源开发和利用以及数据开发利用技术发展的模式。“私有权制度在特定的社会生产力发展水平的条件下适应着人们的合理求利的本能要求,从而激发了人们的为求利而充分发挥自己的各种潜能,尤其是激发了人们的科学创造性和劳动积极性。”[26]数据权利的归属选择私人模式既符合现代社会生产力发展水平,也符合数据客体所具有的属性和特征,更有利于个人数据保护,同时能够建立激励其开发利用及技术发展的有效机制。
首先,从数据财产权属性的角度,数据权利应属于私人模式。数据权利归属于私人,即归属于自然人、法人、其他组织等主体所有。数据权利财产权属性决定了数据权利应属于私人模式。亚里士多德认为,“财产……一般而论则应属私有。划清了个人所有利益的范围,人们相互间争吵的根源就会消除”[27]。数据权利归属于私人有利于个人数据的保护,也有利于避免数据的无序开发和利用,能够充分发挥各主体的主观能动性,促进数据经济的发展。“各人注意自己范围以内的事业,各家的境况也就可以改进了。”[28]“凡是属于最多数人的公共事物常常是最少受人照顾的事物,人们关怀着自己的所有,而忽视公共的事物;对于公共的一切,他至多只留心到其中对他个人多少有些相关的事物。人们要是认为某一事物已有别人在执管,他就不再去注意了,在他自己想来,这不是对那一事物特别疏忽;在家庭中,情况正是这样,成群的婢仆往往不如少数侍从为得力。”[29]“私人产权的决定性特征是,一项财产的所有者有权不让他人拥有和积极地使用该财产,并有权独自占有使用该财产时所产生的效益”[30]。数据私人产权就是让数据所有者有拥有和积极地使用该财产,并有权独自占有和获得该财产时所产生的收益,只有如此模式的选择才能实现个人数据的安全、国家主权安全、数据的有效开发利用以及其技术的发展。其次,从数据具有人格权属性决定了数据权利应属于私人模式。从数据实践中所呈现的内容看,自然人的数据包括姓名、身份证号、家庭住址、信用状况、运动轨迹、各类证照号、收入、爱好等方方面面。这些内容能够体现其人格尊严和自由意志,属于人格权的内容。尤其在实践中的人脸识别,人脸就是肖像,肖像属于人格权。因此,数据如具有姓名权、肖像权、名誉权、荣誉权、隐私权的内容,就具有人格权的属性。[31]人格权是主体依法所固有的、以人格利益为客体的、为维护主体的独立人格所必备的权利。依法所固有是指人格权是由主体始终享有的权利,与主体不可分离,除非主体死亡或终止,则主体所享有的人格权不复存在。[32]因此,数据权利既然具有人格权属性就应归属数据主体,这样才能不违背数据具有人格权的属性。
四、数据权利取得
权利的取得的实质是权利与主体的结合,即数据权利的归属。权利主体是权利的享有者,包括自然人、法人及其他组织。数据权利主体是数据权利的享有者,包括自然人、法人及其他组织。主体取得数据权利根据传统法学理论中的权利取得分为原始取得和继受取得。原始取得是指不以他人既存的权利为前提的取得,如先占;继受取得是指以他人的既存权利为基础的取得。继受取得可以适用于数据权利的取得,如实践中的各地方数据交易所通过数据交易所获得的数据权利就属于继受取得。原始取得的先占不适用于数据客体资源。首先,数据客体符合经济学意义上“公共产品”的两个特征:一是非竞争性的消费;二是杜绝搭便车的成本很高。这两个特征决定了数据的共享性。数据共享是指同一数据可以同时存在于不同的空间,可以被不同主体占用和使用,而且互不影响,这就是“公共产品” 的无损耗性、可复制性。数据的可复制性、可传播性和无形的共享性决定了如按传统法学理论适用原始取得的“先占”,会降低数据开发和应用的最大效益,导致资源的浪费。其次,数据权利具有人格权属性,人格权是主体依法所固有的、以人格利益为客体的、由主体始终享有的权利,与主体不可分离,除非主体死亡或终止。因此数据权利不能按传统的法学理论原始取得“先占”。数据权利的取得应符合数据权利的人格权属性、公共产品属性,进而发挥数据生产要素的最大效用。
(一)个人信息数据权利归个人数据主体
个人信息数据是属于个人的数据。个人数据是指对自然人的事实、活动的数字化记录,具有独立性、多样性、无体性。数据通常由呈现为非物质性的比特(bit)④构成。个人数据包括个人信息⑤的数据和非个人信息的数据。个人信息的数据是指个人信息的数据化。个人信息是指以电子或者其他方式记录的能够单独或者通过与其他信息的结合识别自然人个人身份的各种信息。个人信息的范围涵盖较广,姓名、住址、电话号码、社会账号、驾驶证号、金融账户号码、生物数据等都属于个人信息。⑥非个人信息数据是指数据自身,以及与其他信息结合不能识别自然人个人身份的各种信息,如脱敏后的个人信息。这两种数据权利的取得依据是不同的。
个人信息数据权利归个人数据主体所有。首先,个人信息数据归个人数据主体所有是建立在保护人格权的基础之上的。个人信息数据具有人格权属性,这就决定了个人信息数据权利归个人数据主体所有。第一,人格权不需人格主体实施一定的行为来取得,而且是否取得人格权与公民的年龄、智力、社会地位等方面都无关。因此,个人信息数据归个人数据主体所有,并赋予其支配权。第二,个人信息数据权利归个人数据主体所有,才能实现对人格权的保护。个人信息数据权利只有归属个人数据主体所有,才能实现不必借助于他人的积极行为即可行使人格权,只要义务人不加妨碍和侵害,人格权就可以实现,实现人格权的对世权⑦和支配权⑧,并有权禁止他人妨碍其人格利益。第三,人格权为专属权。专属权是指专属于某特定的民事主体的权利。专属权表现在人格权与权利主体是不可分离的,人格权只有权利人才能享有,因此,只有个人信息数据权利归个人数据主体所有,才能实现人格权的专属权。假如个人信息数据不归数据主体而是归数据控制者所有,就会出现数据控制者依法收集和利用的个人数据被盗用、滥用时个人数据主体的人格权受到侵害而无法维护自身权益的情形。
其次,个人信息数据归个人数据主体所有是建立在个人信息保护的制度基础之上。《民法总则》第一百一十一条对个人信息保护作出了规定,肯定了个人信息的人格权属性。因此,此种权利归属可以更好地保护个人隐私和个人信息。
再次,依据《网络安全法》,个人信息数据归数据主体所有。《网络安全法》第四十一条“网络运营者收集、使用个人信息……并经被收集者同意”⑨。第四十二条“……未经被收集者同意,不得向他人提供个人信……”⑩。第四十三条“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正”。第四十四条“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”。第四十五条“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供”。因此,个人信息数据应归属于个人信息数据主体。
第四,依据《消费者权益保护法》,个人信息数据归数据主体所有。根据《消费者权益保护法》第二十九条“经营者收集、使用消费者个人信息,……并经消费者同意。经营者收集、使用消费者个人信息,……经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供……”⑪规定,个人信息数据归属于个人信息数据主体。
(二)非个人信息个人数据与非个人数据权利归属于投资(时间、金钱、人力等因素)主体
非个人数据可以自由获取、使用,且不需要承担法律上不利后果的数据,主要包括国家机关公开的信息、具有公益性质的企事业单位涉及公众利益或知情权的信息、其他组织中非涉密信息和经过处理无法识别特定个人且不能复原的个人信息。⑫非个人信息数据与非个人数据权利已经都不具有人格权属性,仅仅具有财产权属性。这两种数据财产都属于无形财产,无形财产没有有形的客体,主体不能直接实施支配,可以无成本或低成本的无限复制,是保护主体对客体的控制、支配和使用而不是占有。因此数据无形财产的权利归属应围绕其特征来进行权利的配置,既要符合财产属性、人格权属性和国家主权属性,又要符合无形的特征,同时能够促进相关主体和社会利益的协调,实现各利益主体最大化。此类数据应归属于能够使其价值最大化的使用者和为其生产、开发投入了人力、物力和财力的主体。归属于价值最大化使用者的依据是科斯定理中的“在市场交易成本为零的场合,法律对于权利的最初配置与效率无关,……法律在注重提高经济效率的意义上应当尽可能地减少交易成本,比如通过清晰地界定产权,通过使产权随时可以交易,……在法律即使尽了最大努力而市场交易成本仍旧很高的领域,法律应当通过将产权配置给对他来说价值最大的使用者,来模拟市场对于资源的分配。”[33]其次,非个人信息数据和非个人数据权利归属应遵循洛克的“劳动生产”理论赋予其财产权,如非个人信息数据权利归属应以“劳动生产”理论赋予其财产权。非个人信息数据和非个人数据权利归属于在其生产、开发过程中投入了大量人力、物力和财力⑬的主体具有正当性和公平性。如不赋予数据的生产、开发主体财产权,就会对数据的生产、开发、应用及相关技术的发展失去激励作用,使数据资源失去战略意义。“……他的身体所从事的劳动和他的双手所进行的工作,我们可以说,是正当地属于他的。所以只要他使任何东西脱离自然所提供的那个东西所处的状态,他就已经掺进他的劳动,在这上面参夹他自己所有的某些东西,因而使它成为他的财产。既然是由他来使这件东西脱离自然所安排给它的一般状态,那么在这上面就由他的劳动加上了一些东西,从而排斥了其他人的共同权利。”[34]同时,洛克也提出了劳动获得私有权是要受到一定的前提条件限制的,即每个人获取自然物为私有财产以供其享用为限。“同一自然法,以这种方式给我们财产权,同时也对这种财产加以限制。……但上帝是以什么限度给我们财产的呢?以供我们享用为度。谁能在一件东西败坏之前尽量用它来供生活所需,谁就可以在那个限度内以他的劳动在这件东西上确定他的财产权;超过这个限度就不是他的份所应得,就归他人所有。”[35]欧盟于1996年提出了《关于数据库法律保护的指令》(以下简称《指令》),用以直接保护因不符合独创性标准而无法受到著作权法保护的数据库。《指令》第一条规定,数据制作者对其经系统或有序地安排,并可通过电子或其他手段单独加以访问的独立的作品、数据或其他材料的集合,可以享有特殊权利的保护。具体而言,这是一种独立意义的专有财产权,为期15年,只要数据库制作人在内容收集、核准和提供等方面上有实质性投入,数据库制作人就可以获得这种特殊权利。[36]这种权利以实质投入为条件,且有排他性特征。
注释
① 权利结构是由权利主体、权利内容、权利客体组成。权利主体是享有权利的人。权利的内容是特定的行为,是权利人在法律授权范围内,以自己或他人的作为和不作为的方式实现权利的过程。权利客体是权利内容指向的对象,或是权利行使所及的对象,它说明享有权利的主体在哪些方面可以对外在的客体(物质客体或精神客体)作出某种行为或不作出某种行为。
② 知识产权的独占性是指法律仅赋予知识产权所有人行使知识产权中的各项权利。知识产权所有人可以自己行使,也可以授权他人行使。但他人未经其许可则不能擅自行使。有形物和无形物的独占性内涵与外延是不同的,且其实现的方式也是不同的,有体物的独占性是通过对物的占有来实现的,占有、使用,其他人不能盗窃、破坏,但可以模仿、复制。无体物的独占性的实现主要是未经所有人的授权,其他人不能商业性地制造、使用、销售、进出口、模仿、复制。因此数据的独占性可以通过法律实现其独占性,如欧盟数据可携带权。欧盟数据可携带权规定权利主体有权就其被收集处理的个人数据获得对应的副本,并可以在技术可行时直接要求控制者将这些个人数据传输给另一控制者。这就是通过对数据的收集和处理数据的控制者,通过法律以规定其义务的方式赋予数据主体对其自身相关的数据拥有控制性的权利。
③ 财产权是以财产为客体的权利。其特点是权利直接体现经济价值和权利可以转移。
④ 所谓比特,通俗理解为事实和活动的数字化存在形式。这一媒介特性意味着,数据不再需要具体物作为物质载体(如知识产权载体的书、电视等),它的载体是符号(符号载体),只需要相应的数字化系统工具加以呈现,使得人的认知思维可以直观识别。
⑤ 个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
⑥ 《网络安全法》第七十六条第5项。
⑦ 如何人均对权利人负有不得侵害的义务。
⑧ 所谓支配权是指权利人有权对客体直接支配并排除他人干涉的权利。
⑨ 《网络安全法》第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
⑩ 《网络安全法》第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
⑪ 根据《消费者权益保护法》第二十九条 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。
⑫ 《网络安全法》第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
⑬ 通过资本投入,如数据存储设备购置或租赁、数据采集与数据清洗等需要大量的经费和人力投入。
参考文献
[1] 迈克尔·D.贝勒斯.法律的原则——一个规范的分析[M].张文显,等,译.北京:中国大百科全书出版社,1996:89-90.[2] 科斯.企业、市场和法律[M].上海:上海三联书店, 1990:95.[3] 迈克尔·D.贝勒斯.法律的原则——一个规范的分析[M].张文显,等,译.北京:中国大百科全书出版社,1996:89.[4] 迈克尔·D.贝勒斯.法律的原则——一个规范的分析[M].张文显,等,译.北京:中国大百科全书出版社,1996:90.[5] 博登海默.法理学:法律哲学与法律方法[M].邓正来,等,译.北京:中国政法大学出版社,1999.293.[6] 江平.民法学[M].北京:中国政法大学出版社,2011:29.[7] 张文显.法哲学范畴研究[M].北京:中国政法大学出版社,2001:336.[8] 约翰·罗尔斯.正义论[M].北京:中国社会科学院出版社, 2003:15.[9] 康德.法的形而上学原理[M].北京:商务印书馆,1991:40.[10] 波斯纳.法律理论的前沿[M].北京:中国政法大学出版社,2003:7.[11] 柯武刚,史漫飞.制度经济学[M].北京:商务印书馆, 2003:362.[12] 柳适,等.诺贝尔经济学奖得主讲演集[M].呼和浩特:内蒙古人民出版社,1998:534.[13] 龙卫球.再论企业数据保护的财产权化路径[J].东方法学,2018(3):50-61.[14] 王泽鉴.民法概要[M].北京:中国政法大学出版社, 2003:45.[15] 王泽鉴.民法概要[M].北京:中国政法大学出版社,2003:45.[16] 霍斯特·西伯特.环境经济学[M].重庆:重庆大学出版社,2012:97.[17] 李爱君.数据权利属性与法律特征[J].东方法学,2018(3): 66.[18] 李爱君.数据权利属性与法律特征[J].东方法学,2018(3): 67.[19] 刘伟,李风圣.产权通论[M].北京:北京出版社,1998:77.[20] 尹田.法国物权法[M].北京:法律出版社,1998:55.[21] 李爱君.数据权利属性与法律特征[J].东方法学,2018(3): 68.[22] 李爱君.数据权利属性与法律特征[J].东方法学,2018(3): 68.[23] 吴伟光.大数据技术下个人数据信息私权保护论批判[J].政治与法律,2016(7).Litm an. Jessica. Inform atian Privacy/infamyatian Property. A vailable at SSRN: http://ssrn.com/abstract=21 8274 or http://dx.dai.org/0.21 39/ssm.21 8274. P5. 2016年3月27日访问。[24] 李爱君.数据权利属性与法律特征[J].东方法学,2018(3):68.[25] Jan Hancock. Environmental Human Rights: Power, Ethics,and Law[M]. Aldershot:Ashgate Publishing Limited Press, 2003:137-138.[26] 张恒山.法理要论(第二版)[M].北京:北京大学出版社, 2006:383.[27] 亚里士多德.政治学[M].吴涛彭,译.北京:商务印书馆, 1965:54.[28] 亚里士多德.政治学[M].吴涛彭,译.北京:商务印书馆, 1965:54.[29] 亚里士多德.政治学[M].吴涛彭,译.北京:商务印书馆, 1965:48.[30] 柯武刚,史漫飞.制度经济学[M].北京:商务印书馆, 2002:215.[31] 李爱君.数据权利属性与法律特征[J].东方法学, 2018(3):69.[32] 李爱君.数据权利属性与法律特征[J].东方法学, 2018(3):69.[33] 波斯纳.法律理论的前沿[M].北京:中国政法大学出版社,2003:7.[34] 洛克.政府论(下)[M].叶启芳,瞿菊农,译.北京:商务印书馆,1964:19.[35] 洛克.政府论(下)[M].叶启芳,瞿菊农,译.北京:商务印书馆,1964:21.[36] 龙卫球.数据权利属性与法律特征再论企业数据保护的财产权化路径[J].东方法学,2018(3):54.
首页