法学随笔 数据新型财产权构建及其体系研究 龙卫球【 原文载《政法论坛》2017年第4期】摘要:随着大数据的出现以及数据经济的兴起,数据日益成为举足轻重的新型资产,与此伴随的是有关个人信息和数据资产的利益关系也变得越来越复杂。本文认为,数据经济及其数据资产化趋势,推动了数据财产化的发展,一种新型财产权形态呼之欲出,但相关理论存在进一步完善必要。传统法律架构无法适应当前数据经济利益关系合理调整的需求。在当前数据经济的环境下,面向个人信息和数据利益关系的法律建构,应与数据经济的结构本质、特别是其双向动态特点紧密结合,采取一种更加复杂的权利配置方式。从体系上说,应该在区分个人信息和数据资产的基础上,进行两个阶段的权利建构:首先对于用户,应在个人信息或者说初始数据的层面,同时配置人格权益和财产权益;其次对于数据经营者(企业),基于数据经营和利益驱动的机制需求,应分别配置数据经营权和数据资产权。关键词:数据经济和资产化 数据新型财产权个人信息保护数据经营权数据资产权 Abstract: With the emergence of bigdata and data economy, data is increasingly becoming a new type of propertywith great value. Meanwhile the relationship between personal information anddata economy is becoming more complex. The trend of data economy and data capitalizationhas facilitated the development of data propertilization, which lead to theestablishment of a new property type. Traditional regulations cannot actuallymeet the requirement of reasonably adjusting such relationship. The currentlegal construction regarding the relationship between personal information anddata, under circumstances of data economy, should consider the structuralessence of data economy, especially its dual-direction dynamic character.However, the relevant theory still needs to be further developed. From theprospect of legal framework, it is necessary to set up a two-se right basedon the distinction between personal information and data assets. Firstly, atthe level of personal information or original data, individuals should beentitled with personality right and property right. Secondly, undercircumstances of data capitalization, data operators should be entitled toexercise their operating right and property (asset) right, based on therequirement of data operation and profit-driven mechanism. Key words: Data economy and DataCapitalization; New Data Property Right; Personal Information Protection;Data Operating Right; Data Property Right 一、问题的提出:大数据时代数据资产化背景下的法律变革问题 “大数据”(Big Data)概念,最先出现在经历信息爆炸的天文学和基因学领域,大约2009年开始成为互联网信息技术行业的流行词汇,用来描述和定义信息爆炸时代产生的海量数并命名与之相关的技术发展与创新。[②]2012年是大数据时代标志到来的重要年份,随着互联网公司及其技术高度发达,特别是移动互联网、云计算技术等出现,巨量级的网络社区、电子购物、物流网等得到前所未有地开发,数据收集系统不断普及,产品服务智能化不断升级,网络信息开始出现海量集聚,真正的大数据时代由此而生。[③]大数据成为“人们获得新的认知、创造新的价值的源泉;大数据还是改变市场、组织机构,以及政府与公民关系的方法”。[1][P.9]大数据时代出现之后,数据经济突飞猛进。从业者通过新的数据技术,可以收集大量有价值的数据,产生利用这些数据的强烈的利益驱动力,大数据被演化成为创造巨大价值的新型资源和方法,数据不断发展为新型资产,同时也越来越被市场赋予巨大的商业价值。在这种情况下,数据的应用效应激增,数据的商业价值得到激发,大数据概念和数据经济活动进入兴盛时期。BM的研究称,整个人类文明所获得的全部数据中,有90%是过去两年内产生的,而到了2020年,全世界所产生的数据规模将达到今天的44倍。[④]大数据信息成为新经济的智能引擎,各行各业包括零售、医疗卫生、保险、交通、金融服务等,都在完成所谓的数据经济化,它们通过各类数据平台开发智能,使得生产、经营和管理越来越高度智能化,给新经济带来极大的成本降低和效率提升。[⑤]硅谷战略领袖杰弗里·莫尔甚至认为,今天资产信息比资产本身更值钱,他说“在这个世界中,信息为王。你拥有的信息越多,你的分析能力越好,速度越快,你的投资回报将会更高。”[2][P.5]即使如此,数据经济的威力也只是刚刚发挥,可谓十不及一,其巨大潜力尚不可限量。[⑥]大数据带来的数据经济发展和数据资产化加速的趋势,导致一个如何顺应这种时代变革而及时进行法律制度变革的崭新课题。数据经济本身呈现了一种复杂的利益关系,一方面是用户对于其个人信息的保护需要,另一方面则是经营者对于个人信息数据化利用的需要,即需要通过对个人信息收集和加工来形成某种数据资产。所以,如何从法律上设计或处理好用户和经营者之间的这种利益关系,就成为当前数据经济及数据资产化能否得到有效而合理开展的基本前提。遗憾的是,我国立法迄今为止并没有对此提供一种清晰而合理的解决方案。我国在《民法总则》之前,全国人大常委会2012年《关于加强网络信息保护的决定》是该领域的一项重要立法文件。该决定实际将个人信息视为用户的一种绝对利益,并以此简单立场来处理用户和网络经营者之间关于个人信息保护及其利用发生的利益关系。《决定》第1条规定:“I,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。 II,任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”从中可以看出,其赋予了用户对自己的个人信息以一种类似具体人格权的地位,其中最重要的是具有排除他人非法获取、非法提供的权能。但是,这一简单的规定并不能适应复杂的现实调整的需要,特别是在大数据现象以及数据经济旋即得到前所未有的爆发之后,其局限性越加明显。这一决定的规定没有明确用户是否可以对个人信息享有积极自决权能,即得允许他人利用。但网络经营者在实践中为了使得网络服务成为可能,并取得对用户个人信息的收集、加工和商业化利用,通过设置用户协议的方式,引导用户建立一种有关个人信息的授权关系。这种方式很快得到实践的广泛认同。有关政策规章文件也陆续出台,在贯彻保护用户个人信息的基本立场上,允许其利用自决,并对商业化利用之下保护的强度进行一定程度的软化和变通。例如,国家质量监督检验检疫总局、国家标准化管理委员会在2012年11月5日批准发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)5.2.3条规定,“处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意”。我国现行有关部门的指导性意见中,较有代表性的还有2013年工信部出台的《电信和互联网用户个人信息保护规定》。司法实践也不断尝试进行突破。第一次的重要突破,体现在2012年《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》的司法解释。第12条规定,利用信息网络侵害个人隐私和个人信息,其是否构成侵权,应当看是否符合“利用网络公开个人隐私和个人信息的行为”和“造成损害”的特殊要求。如果“欠缺公开性”,即构成侵权的排除规定。[⑦]这一司法解释,在相当意义上重塑了用户个人信息保护关系,破除了个人信息人格权保护的绝对格局,赋予数据经济中的数据从业者一定的收集、加工和利用空间。第二次的重大突破,则是在2015年6月 “北京百度网讯科技公司与朱烨隐私权纠纷案”(简称“百度隐私侵权案”)的终审判决[⑧],南京市中级人民法院认为,网络服务商或数据从业者对于用户浏览信息的自动抓取收集行为以及个性化推荐行为不构成隐私侵权,因此更加明确赋予了数据从业者在收集和利用用户个人信息方面具有相当的自由空间,引起广泛的关注度。该案终审判决,援引最高人民法院前述司法解释第12条等规定,以上诉人行为欠缺公开性,以及被告通过《使用百度前必读》已经明确告知网络用户可以使用包括禁用cookie、清除cookie或者提供禁用按钮等方式阻止个性化推荐内容的展现等理由,认为网络服务商尊重了网络用户的选择权,因此不构成侵权;判决还在裁判依据上,直接引入《信息安全技术公共及商用服务信息系统个人信息保护指南》,允许将用户同意扩展为包括默示的规定,作为根据支持判决。[⑨]上述企业实践、有关规章文件的变通规定以及司法的突破性实践,以某种不尽完美的方式提出了一个疑问:在当前数据经济背景下,我国用户和网络经营者或数据从业者之间的法律关系,是否应该重塑,是否应该结合数据经济蓬勃发展的合理需求来放宽对于数据从业者的行为限制?[⑩]甚至是否可以走得更远,突破目前“用户个人信息人格权保护+用户协议”模式,[11]赋予数据从业者对于数据加工或者数据产品某种特殊的法律地位,进而重新平衡数据经济开展中的利益关系呢?[12]2016年12月出台的《网络安全法》限于立法特殊定位,第四章对用户个人信息从安全保障的特殊角度做出了一些基本规定,但对于个人信息的法律地位及相关利益关系本身却未涉及。2017年3月刚刚出台的《民法总则》,对于这个问题进行了一定的立法思考,但是最终鉴于该问题的复杂性和分歧较大,没有形成立法定论。一方面,立法一开始就意识到个人信息和数据资产的区分性;但是另一方面,却就如何确定二者的法律利益关系存在严重分歧。二审稿曾经有过将数据资产和网络虚拟财产纳入作为一种新型知识产权客体的思路,但旋即受到激烈反对而未果。最后,《民法总则》以第111条和第127条两条规定[13],在区分规范个人信息与数据和网络虚拟财产的基础上,简单地做出了开窗式的立法授权规定,从而预留下继续研究的巨大空间。[14] 二、传统法律架构调整个人信息和数据利益关系的基本思路传统法律架构下,关于个人信息和数据资产利益关系的处理,主要是从用户角度出发,将个人信息简单纳入隐私权或通过确立一种独立人格权来加以保护,然后在此基础上变通赋予自决功能等特殊效力,允许数据活动关系人通过用户协议(个人信息授权合同)方式建立数据收集、利用的债的关系,有时还辅助以某些管理规范。但是,这些方式无论是单独还是结合起来,其实无法合理适应当前数据利益关系调整的复杂需求。(一)美国模式:变通隐私权保护的宽松模式美国作为公认的互联网起源之国,对于个人信息问题,很早就定位在立足于用户的角度、通过援引和变通隐私权保护来加以处理的模式。具体的做法是,原则上援引现有判例法关于隐私侵权的规定,来处理互联网上面用户个人信息的规范定位和法律地位问题,以此保护用户个人信息和规范网络信息控制者、处理者的行为界限,但是同时根据网络信息实践开展的实际需要,进行一定的变通,以更加务实地调整用户和网络经营者之间基于个人信息的利益关系,并由此认定网络经营者接触、收集或者处理个人信息的行为是否构成侵权。随着数据经济的日益发展,美国司法实践越来越注意立足网络从业者对于网络整体事业促进的重要性,兼顾网络营运商的合理需求,对隐私权保护模式尽可能进行软化或变通处理,留有余地;必要时还引入宪法来支持网络运营商的“法不禁止即自由”的行为空间,平衡网络从业者和用户的利益关系。美国司法实践支持了将用户个人信息纳入隐私保护的做法。侵权法一直在美国隐私权保护当中扮演着极为重要的角色。[15]美国《第二次侵权法重述》规定了四种隐私权侵权类型:(1)侵入公民的隐居所;(2)向公众揭露私人事实;(3)在公众面前传播错误信息;(4)未经允许的对他人姓名或喜好的揭露。[16]这四种类型区分了美国法对隐私的保护。美国有关法院对于这种隐私保护施加了一些必要限制。如,美国法院认为,在认定被告的行为是否侵犯隐私时,其行为必须符合“高度侵犯性”的要求;[17]就揭露私人事实而言,还要求被揭露的事实被广为传播(widespread disclosure);[18]对于“未经允许揭露他人姓名和喜好”这一最有可能体现为保护个人信息的类型——法律对其限制更是严格:该规范仅仅适用于那些希望利用自己隐私的人。[19]亦即,该类型只能适用于那些不寻求隐私保护,但是意在吸引公众注意的人,因为名人的状态具备着某种财产性的利益。[20]比如某著名球星的一组照片本欲张贴在A网站上,但是却被未经允许地传播在了B网站上。这可能使得A网站的访问量因此降低,由此球星便可主张隐私权受到侵害。但是,随着网络的发展,美国司法实践认为,网络个人信息保护问题具有特殊性。如果要使得网络经营得以持续、用户便利得以扩大,必须对网络个人信息保护在援引隐私权规则方面进行适度软化,且不能简单套用上面这种类型化规制,因此产生了很多特殊议题。首先,对用户就其个人信息的权利应赋予一种可自决利用的功能。传统隐私权通常属于自我享受的一种消极权利,通常被认为不具有积极的自决利用功能,但是美国司法中认为,网络环境下的个人信息却不同,从实践上来说,个人信息以其作为网络必要载体,如果严格按照不能自决处理,必定使得数据从业者无法获得授权去触及、收集和利用,所以应允许用户为此项自决。实践中,美国网络环境下的信息从业者,早就采取各种办法特别是取得用户协议同意的办法,不断突破一般隐私权的消极性,以便对用户个人信息展开积极的收集和利用。行业协会甚至明确以做出必要的合理限制为限,承认这种积极利用,这就是所谓的“知情同意原则”(notice and consent)。根据该原则,网站在明确告知用户信息或数据的收集和使用状况,且获得用户的明确同意的情况下,可以收集和使用用户信息。美国司法实践最终在原则上确认了“知情同意”原则,赞成有必要赋予用户对其个人信息以积极的自决功能,进而能够授权他人去收集和利用。[21]其次,关于隐私侵害的“隐蔽性”以及“极为重要性”的要求,加以适当软化。传统隐私权保护中,就是否构成对公民的滋扰而言,以侵入到“隐蔽所”(seclusion)为认定。虽然法律没有要求该隐蔽所一定要有物理形态,但是美国法院一般认为,公共场所不在隐蔽所的射程范围之内。[22]但是,网络社会具有天然的开放性,似乎可视为公共场所,这使得利用隐私权保护网络个人信息具有困难。此外,美国法院对于一般隐私往往倾向于对于“极为重要”的隐私信息的保护,而网络不同个人信息其私密重要程度却有所不同。[23]例如,美国一些法院认为,未编入成册的电话号码[24]、对直邮公司的订单表[25]、个人过去的保险记录[26]等都不符合“极端重要”的标准,因此对此使用并不构成侵犯隐私。那么,应当特殊对待网络个人信息保护中关于私密性和重要性的要求呢?美国法院对此呈现一种放宽的趋势,以此认定哪些网络个人信息非属“公开”(publicity)以及哪些属于极为重要的隐私。[27]最后,有关隐私保护中“高度侵犯性”的要求,也在用户个人信息保护中得到放宽。绝大部分数据信息的搜集和使用都是在用户完全不知晓的情况下进行的,在这种情况下对个人上网信息的搜集和使用,似乎难以认定为“高度侵犯”。况且数据搜集的目的也并非绝然对用户不利,此时更难说用户正在被高度侵犯。当然,隐私权在美国被认为是一种反抗非法搜查和逮捕的权利,因此美国法官和学者也经常将宪法和隐私保护结合起来,坚持隐私权同时也具备特殊的宪法价值。一些人希冀借助于宪法隐私保护的力量,来加强对网络个人信息的保护。但是另一方面,许多美国法官和学者也注意到,这种宪法上的隐私保护具有限定,主要涉及的是对政府权力的限制问题,而没有处理网络企业和用户的关系,而所谓“法不禁止即自由”对于网络经营者反而具有特殊积极意义。美国宪法与隐私权有关的条文,包括宪法第十四修正案、第四修正案和第五修正案。第十四修正案,主要强调的是正当程序原则(Substantive Due Process Clause),亦即禁止非经正当程序对生命、自由和财产的侵害。在1977年的Whalenv. Roe案中,美国最高法院将这种保护延伸到了网络个人信息方面,认为是否公开个人信息也是公民的一种自由,因此未经正当程序不能强制要求其公开个人信息。然而,如同在该案中强调的那样,最高法院认为这里面的个人信息仅限于“从未公布的信息”,如果已经为第三人知晓,则不属于第十四条修正案的保护范畴之内。个人信息的采集往往是在公共场合,所以无有该条之适用余地。第五修正案,涉及到“不可强迫自证其罪原则”(against compelled self- incrimination)。该修正案关注的是刑事案件,因此不能阻止政府要求公民公布和犯罪无涉的信息,更遑论限制公司对于个人信息的搜集和使用的问题。[28]第四修正案涉及到的,是反对非法搜查和逮捕的问题,且不论该修正案主要是针对政府与公民之间的问题,对该条修正案的理解在美国也饱受争议。有学者认为,该条涉及到的是对当事人造成极大困扰的(burdensome)的搜查,如果并未对当事人造成困扰,那么就无该条之适用余地。亦即,如果采用蠕虫(Worms)模式,公民甚至感受不到自身在被搜查,此时无所谓“困扰”,因此政府对公民的信息监控并不违背宪法第四修正案。可见,美国宪法对网络个人信息保护是有特定语境局限的,其重在限制政府权力以保障公民自由,因此对于网络经营者来说,这种限制不可任意套用,相反在崇尚自由的美国,“法不禁止即自由”的观点,“为信息的自由流动提供了基础的思想支持”(a basic regulatory philosophy that favors the free flow ofinformation)。[29]所以,只要法律未对其进行限制,那么商业对个人信息的收集、处理和使用就应该不言自明地具有合法性。美国联邦政府从1973年就开始考虑通过联邦立法来规范网络个人信息的保护的问题,但是由于立法权和立法机制的有限,这方面难度一直很大,收效甚微。美国健康、教育和福利委员会在1973年曾经提出了一份名为《记录、计算机和公民权利》的报告(Records, Computers, and the Rights of Citizens; HEW Report)。在该报告中该委员会提出了制定《公平信息操作法》(Code of Fair Information Practices)的主张,并提供了相应草案。[30]该草案规定了个人信息使用的五项基本原则:(1)不能秘密存储个人信息;(2)公民必须能够了解自己信息的保存和利用情况;(3)公民必须能够了解自己的信息是否在不经自己同意的基础上被使用;(4)公民必须能够修改或补充关于自己的个人信息;(5)建立、维持、使用或传播个人信息的机构必须对信息的使用负责,并且防止信息的滥用。[31]这个草案的根基,显然是普通法对于隐私或个人信息绝对保护的思维,所以体现为不能秘密储存以及必须保障用户知情、同意、修删(遗忘)以及安全的利益。尽管美国一些学者倾向该草案所设定的原则,但是该草案最终未能生效。究其原因,就该草案本身而言,公权力部门认为其将限制自己职能的发挥,企业则主张其对于商业运行是一种不合比例的负担。[3][P.78]当然其中联邦立法权的局限以及网络服务商的集体抵制是最主要的。所以,美国联邦所以始终没能出台统一的个人信息保护立法,也未能设立统一的相关独立监督机构。最终,美国决定对涉及个人信息的私主体关系和公权力关系做出区别的立法对待。就私主体之间的数据使用和交易,美国联邦考虑到由于无法达成整体立法,所以尊重行业自律规范,鼓励通过依赖和改进行业自治(self-regulation)自我约束业者行为的办法来达到有效保护个人信息的目标。针对公权力关系领域,美国联邦最终制订了有关单行法,即在1974年出台了《隐私权法》,专门规范公权力使用个人数据的问题。此外,美国将个人信息区分为敏感信息和一般信息,并对前者采取更为严格的保护制度。针对敏感信息特别保护的需要,美国联邦在特殊领域出台了一些特别法,包括1988年的《影视隐私保护法》、1998年为了保护儿童隐私的《儿童在线隐私权保护法案》等,确立对特殊主体敏感信息的公共保护原则。2013年7月1日,美国联邦贸易委员会(FTC)修订了“《儿童在线隐私保护法案》(COPPA)规则,旨在确保父母能够全方位参与到儿童的在线活动过程,并且能够对任何人收集儿童信息的行为有所知晓,同时也注重保护网络创新,以便互联网能够提供更多的在线内容供儿童使用。有关规则要求:专门针对儿童的应用软件和网址,在儿童父母未知、未获得其同意的情况下,不允许第三方通过加入插件(plug-ins)获得儿童信息。2013年9月23日,美国加州通过本州的《商业和专业条例》,明确规定,18岁以下未成年人有权要求网络服务提供商删除个人信息。(二)欧盟国家模式:专门确立个人信息人格权保护的严格模式欧盟以及相关国家由于特殊立法体制,在对个人信息保护的制定法方面,相比美国显得更加积极而有为,在法律理念方面,采取了确立个人信息人格权的较为严格的保护模式,明确用户在相当于隐私权的意义,对其个人信息具有人格权地位,以此对互联网从业者进行严格的行为规范。[32]欧盟在成立不久之后,考虑到欧盟国家个人数据流动的实际,较早便决定在一体化进程下统一个人数据保护立法。[33]1995年10月24日,通过《关于在个人数据处理过程中保护当事人及此类数据自由流通的95/46/EC指令》(简称《隐私权指令》或者《个人数据保护指令》),旨在促进人权保护、统一欧洲数据保护,要求各国采取统一立法模式,建立独立的数据保护机构,对于个人信息数据进行充分保护。此后,欧洲议会及欧盟理事会在1997年12月15日又通过《有关电信行业中的个人数据处理和隐私权保护的97/66/EC指令》(简称《电信业隐私权指令》),适用特定的电信行业。两项指令的内容含盖了在网络环境下有关消费者个人信息数据采集及处理的各个方面,并且为其保护规定了具体措施。2002年7月12日,欧盟理事会和欧洲议会共同颁布了新的《关于在电子通信领域个人数据处理及保护隐私权的2002/58/EC指令》,简称电子隐私权指令,于2004年4月起在欧盟成员国生效实行,取代此前的电信业隐私权指令。[34]上述立法或指令都是站在确立个人信息人格权并予以较为严格保护的立场来解决问题的。欧盟认为,面对网络时代个人数据保护的压力,应该从二战以后人权保护观念的角度来寻求解决之道,于是决定赋予个人信息以人格权地位,引入相当于隐私权的保护并提升到基本权利的高度,同时适用消费者特殊权益保护,以此规范和引导网络社会的发展。在这种情况下,企业关于个人信息的利益问题便被置于被相对漠视的地位。首先,按照隐私权的模式,确认个人数据权并加以绝对化保护,重点赋予了查阅权、拒绝权、获得救济权等具体权利,并要求各成员国将之提升到保护自然人基本人权和自由以及消费者特殊权利的高度。[35]其次,推导设立严格的数据行为规范,确立了对个人数据收集和控制活动的限制原则,明确信息收集或控制者的行为模式。[36]再次,建立专门保护监督机构,强化保护机制,重点监督数据收集和控制者的行为。最后,规范信息跨境流通,强化数据保护机构之间的合作机制。可见,欧盟采取了比美国更加严格的人格权保护路径,尤其强调个人信息作为基本权利和自由的崇高定位,使得互联网企业活动空间十分有限。例如,美国试图隔离网络中间商,使其免于对用户的不当行为担责,而欧洲却为网络服务商创立了特别责任,平台在欧洲遭遇诉讼的风险极高,简单一条禁令就可以要求企业对现有体系进行重构,导致其无法有效运行,涉身其中的程序员则甚至可能因此入狱。[37]当然,面对企业和网络服务者经营或利用个人信息日益增长的需要,欧盟也逐渐采取了一些变通姿态,包括:突破人格权不可让渡的原则,即将个人信息权由消极人格权向积极自决人格权方向加以改造;允许用户通过合同方式,约定或授权网络服务商收集、控制、使用甚至处分数据,使得数据从业者从事数据活动得到一定程度的容忍,特别是可以通过合同方式获得对个人信息收集、处理。[38]此外,1995年以来的指令,不再以强制性条款规范数据交易和使用市场。此前,1991年的欧洲《计算机系统指令》第9条第1款规定,任何合同条款违背第6条或者第5条第2款和第3款的即为无效;[39]《欧盟数据库指令》第15条也规定,任何合同条款违反该法第6条第1款和第8条的将被认定无效。[40]欧盟委员会在2010年起启动了对于《个人数据保护指令》的修订计划,希望在数据的一般规范领域,总体上做出一些有利于数据经济关系现实的规范调整,能够更好适应新信息技术条件下个人数据保护及流通要求。[41]2012年1月25日,欧委会发布了《有关“涉及个人数据的处理及自由流动的个人数据保护指令”的立法建议》(简称数据保护指令修正案),提出了个人数据保护立法一揽子改革计划。[42]但由于框架基础保守,特别是对于数据财产化趋势重视不足,在此后的通过过程遇到很大的阻力。欧洲数据组织(Digital Europe),成员包括美国互联网巨头包括谷歌、亚马逊、脸书等公司在内广泛进行游说,批评修改内容中存在许多不合理的地方,给行业企业在控制和处理隐私数据时造成许多没有必要的负担,[43]例如要求大企业必须进行风险影响评估更是“作茧自缚”,此外其他方面的规定也使得数据外包处理的工作面临过多限制。[44]数据商的游说拖延了立法改革通过进程,而且推动了一些缓和性再调整的发生。[45]最终,2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护条例》(General Data ProtectionRegulation),该条例将在欧盟官方杂志公布正式文本的两年后(2018年)生效。欧盟并非没有认识到大数据的市场化价值,但是,总体上立法中法律传统力量保持了强大的惯性,此外欧盟本身在数据经济竞争上存在与美国难以势均力敌的忧虑,或多或少具有隔离自保的考量。[46] 三、传统法律体制的弊端和数据财产化的理论确立(一)传统法律体制关于个人信息保护的弊端美国和欧盟援引隐私权保护或确立个人信息人格权保护的方式,其落脚点都是以个人信息为基础,将用户视为唯一绝对的主体。这种模式的形成,除了路径依赖之外,很大程度上也是早期互联网活动视野下可以理解的一种法律思考。早期互联网的个人信息问题,并不是以我们今天这样具有显而易见卷入复杂的经济利益关系的问题来呈现的。一开始,人们对于网络个人信息问题,关注点不是其具有的经济价值,而是其作为网络活动内容所具有的社会公共意义或者某种个体关切的意义。后来随着网络经济活动和利益的出现,私法的问题渐渐也产生了,但首先映入人们眼帘的是却是个人信息保护的单边问题:人们依赖和利用网络,从事网络购物、浏览网页、购买飞机票等,输入个人信息甚至是隐私信息,处处留下各种触网“痕迹”,这些都被无所不在地网络及电子设备所记录,所以用户不免关心,在享受网络方便的同时,这些个人信息和痕迹怎么办?在这种情况下,关于网络个人信息问题,公法上主要立足信息社会构建和网络信息安全防控两个方面,私法上则主要站在用户焦虑的角度,基于个人信息的人格权保护思维,对信息活动进行相关约束或规范,综合表现为一套严格的人格权保护以及相应严格的信息活动行为规范,严格规制对个人信息的制造、收集、控制和传播等活动。但是,随着网络的发展,特别是在大数据出现和数据经济关系兴起之后,这种简单的单边处置方式明显具有不合时宜性。首先,不断升级的网络经营对于信息处理产生日益强劲的需求,不仅存在分析、收集、利用用户信息的必要,有时甚至是应该负有义务和职责,这种情况下如果一味强调个人信息人格权单边保护,很不利于网络平台、网络服务的提供和经营,结果是网络服务恐怕难以为继,用户自身最终也会失去网络便利。其次,随着数据经济的蓬勃发展,数据资产化的经济利益越来越巨大,在这种情况下,个人信息人格权保护简单模式,与数据经济的实际运行要求也直接发生抵牾,难以有效调和用户和网络经营者基于个人信息和数据的利益关系,网络经营者的数据经营的保障和动力都很脆弱,不利于其发挥创造性。(二)莱斯格(Lessig)教授的数据财产化理论的提出传统法律架构对用户个人信息赋予人格权保护的简单立场,不能适应互联网日益发展的需要,对于逐渐复杂化的数据活动来了巨大障碍。于是,一种需要法律发展的意识产生了,引发进一步改革创制的呼声,要求理论上尽快提出与数据活动尤其是数据经济发展需要相符的新方案,以便在保护用户隐私或者个人信息的同时,能够合理促进数据活动的开展。数据活动,从本质上即要求数据的大规模收集、处理、报告甚至交易,不宜简单站在用户立场,只为了保护个人信息而保护个人信息,而对数据活动进行简单粗暴的限制。[47]数据财产化(data propertization)理论于是应运而生,并很快在数据经济界得到呼应。20世纪70年代初,就有美国学者提出,应当将数据视为一种财产。[48]然而,公认为系统提出数据财产化(data propertization)理论的,当属美国的劳伦斯?莱斯格(Lawrence Lessig)教授。[49]莱斯格在1999年出版《代码和网络中的其他法律》(《Code and other Laws in Cyberspace》)一书,被誉为当时“最具影响力的关于网络和法律的著作”(the mostinfluential book published about law and cyberspace)。[50]该书首次系统地提出了数据财产化的理论思路。莱斯格认为,应认识到数据的财产属性,通过赋予数据以财产权的方式,来强化数据本身经济驱动功能,以打破传统法律思维之下依据单纯隐私或信息绝对化保护过度保护用户而限制、阻碍数据收集、流通等活动的僵化格局。即,应该按照数据活动的要求,通过一种赋予个人信息以财产权品格的新的设计,使得数据活动更加方便和顺畅。[51]“法律将会是隐私方面的一种财产权。个人必须具有能够方便地针对隐私权和隐私权所享有的权力能进行协商的能力,这就是财产权的目的:财产权所界定的是,凡是想要取得某些东西的人,就必须在取得之前先进行协商。”[4][P.400]应当赋予谁以数据财产权呢?是用户还是数据经营者呢?莱斯格和其追随者认为,应当授予用户(事实的数据主体)以数据所有权,因为通过法律经济学分析,数据财产权应该赋予用户,这样才更为有效率。[52]可以比较一下,如果将数据财产权授予数据收集者即经营者,那么事实上的数据主体(data subjects)即用户,就要花费大量的成本才能发现信息是否被搜集以及正在被如何使用,而数据收集者将不需要支付任何成本,因为其已经占据并使用着数据。此外,与数据收集者不同,用户(事实上的数据主体)面临着集体行为的困境(collective action problem),这一点在对企业的监控成本过高时显得特别明显。一旦通过法律认可了用户对自身数据的财产权利,要获得用户的个人数据就只能通过合同或侵权两种路径。前者【即合同路径】是一种合法的行为,数据收集者必须与用户签订合同,征得数据主体对其收集、使用、处理或出售数据的明确同意。依据美国合同法理论,一个有拘束力的合同原则上是应当有对价(consideration)的,即数据使用者必须给予用户一定的补偿。后者【即侵权路径】则是一种非法行为,当数据收集者未经用户的允许而径自收集其个人数据时,即构成了对于用户数据财产权的侵犯,因此应当按照侵权路径追究数据收集者的相关责任。一旦承认了用户具有数据财产权,那么就会迫使数据使用者主动与数据主体进行商议,如此改变了用户在数据市场被忽视的境地,使得用户获得了一定的议价能力(bargaining power)。更何况,技术也降低了数据经营者和用户协商的成本。例如,网络技术的发展就使得隐私强化技术成为可能,其中最为典型的就是隐私参数平台协议(Platform for Privacy Preferences),简称P3P。另外,一方面网络技术的发展使得数据主体和数据收集者之间的议价成本降低,另一方面网络技术的应用也需要法律为其提供足够的助力。当然,这无疑需要法律的支持。[53]莱格斯教授认为,只有承认用户对数据的财产权,才能够使得该诉求得到法律的支持,才能够借助既有的法律应对新时代中的数据纠纷。[54]莱斯格认为,赋予用户数据财产权,除上述作用以外,对于个人数据的保护还有以下两种优势:其一,数据财产化可以满足不同人的隐私需要。无论是依赖于行政管制还是刑法规范,其都是一种“责任路径”。但是,“责任路径”是使用客观价值来评价个人数据的,虽然实际上不同人对自己的个人数据会有不同的认识。以电话号码为例,对一个学生而言,其手机号码被公布或许不是什么大不了的事情,但是如果是影视明星、政府官员的手机号码被公开,对他们而言或许就是不小的麻烦了。实证的研究也表明,人们对隐私保护的态度不一。[55]面对着这一现状,如果采用财产路径,便能够使得公民对其个人数据的不同“定价”得到实现,而如果仅仅只有责任路径,“客观价值”或多或少都会让人感到失望。其二,“财产路径”可以起到预防之效。法律规范行为主要有两种机制:事前(ex ante)和事后(expost)。[56]后者是反应型的,即对某一事件做出反应;前者则是预防型的,即预测并防止一事件的发生。现代社会越来越倾向于预防型规制。例如,以往对犯罪嫌疑人的侦查,只有在事实发生且特定人有重大嫌疑的情况下才能为之;而机场对人体的搜索则是在没有安全事件发生之前进行的。先进的技术使得工作人员可以透过衣服观察人们是否携带违禁品。对于个人数据的保护,也应该侧重于事前预防而非事后救济。“责任路径”着眼于在事件发生之后给予适当的补偿,而财产路径则要求在获得财产之前进行协商。财产制度的关键是给所有人以控制信息的权利,其允许人们拒绝转让信息财产。财产路径重视选择,而责任路径重视赔偿。莱斯格教授认为,只有承认数据是一种财产,才会使得对数据市场的规范由事后变为事前,才能预防大规模损害公民个人数据的现象的发生。[57]莱斯格的数据财产化理论,直接回应了数据活动和数据流通的财产化需要问题。网络社会初期,网上的信息活动更多只是在信息社会层面进行开展,网络信息经济化程度不高,“网络信息”在财产上的意义还没有显示出来。[58]在这种情况下,一般意义的权利规范、行为规范、管理规范稍加修改调整,似乎便可为依据。但是,随着商业化数据活动的开展日益增加,单纯的个人信息人格权的规范模式的悖谬和捉襟见肘感,已经显得十分强烈,即使进行了种种变通,也仍然无法消除其牵强性和不适应性。在这种情况下,简单地把个人信息在价值属性上仅仅看成只具有人格价值属性,显然不符合实际,与其扭扭捏捏赋予人格权具有自决性和商业化品格,不如直接采取赋予其财产权的方式,这样更加顺畅也更加合乎时宜。莱斯格的数据财产化理论提出后,引起美国法学界的广泛关注和热烈讨论,对该理论的正反方面的反响巨大。[59]这一理论发展为现实中的数据活动注入了新鲜要素,一些相关的财产化新规则逐渐演化出来。其中,最重要的当属数据红利共享制度的发展,旨在保障数据主体能够从对自身数据的收集和使用当中获益。奥巴马政府在2011年就推出了“绿色按钮”计划,“要求必须使得顾客能够以一种可下载的、标准的容易被使用的电子形式查询自己的能源使用信息”[60];2011年9月,美国首席技术官要求工业必须“以在线且可被机读(machine readable)的方式公布用户数据,并且不能限制用户对这些数据的再利用。”[61]数据的可下载化、可机读化,促使企业纷纷开发相关的技术以吸引消费者,如能源管理系统和相关的智能手机应用等,使得消费者获得便捷地应用程序以合理规划他们的能源使用。美国许多企业在政府引导下积极实施数据红利共享计划,给用户输送切切实实的经济利益,使其对于数据的控制执着转化为分享大数据红利的交换动力。以Personal.com网站为例,该网站致力于使得个人从自己的数据中获益,它提供给用户个人以在线的“数据保险库”(Data Vault),以存储自身的很多个人信息,如消费习惯、旅行记录、在各种网站的登陆记录以及地理位置等信息,用户可以与他们的朋友、家人、顾客或同事分享这些信息。更重要的是,用户可以收费的方式给商家提供适当的接口以了解这些信息,从而获得直接的经济利益。当然网站也不吃亏,收取10%的手续费,并且通过付费地方式接入连接,许可连接者利用这些特定的信息进行精准化营销、市场预测等。[62](三)莱斯格数据财产化理论的完善及其方向但是,莱斯格的理论具有一种令人遗憾的单向性不足。其虽然赋予个人信息以财产化的私权构建,却仍然属于立足用户的一种单边构建。其所谓的经济分析论证,只是简单地在用户和网络运营者之间,就数据财产化利益进行了一次非此即彼的决断,赋予了用户个人以个人信息财产权,却排斥了数据从业者应有的财产地位和利益诉求。当然,莱斯格并非有意对数据从业者的作用视而不见,他提出该理论时(1999年)时间还太早,数据经济尚在初始阶段,数据从业者和商业组织对于数据经营的作用和意义尚未得到充分展示,数据经济内在复杂的结构特点凸显尚待时日。随着大数据时代的到来,我们很容易就发现,莱斯格这种基于用户个人信息单方面的财产化理论,其实并不能反映数据经济结构关系的实际特点和内在需求。随着数据经济的发展,数据从业者的重心地位日益凸显,这种单向性不足越来越明显。互联网企业面向大数据时代,开发储存、分析、服务的各种新技术、新平台,如云计算、hadoop、MapReduce、NoSQL等,持续提升数据收集、储存和分析能力;工业企业、电商、服务企业等不断拓展大数据在工商业和管理上的应用;一些专门的数据营运商、经纪商也出现了,数据交易平台逐渐涌现。在这种复杂背景下下,数据经济逐渐体现为一种围绕数据经营和利用而展开的复杂关系,于是一种以数据运营者为重心的双向动态结构显示出来,即数据经济的本质结构即在于,数据经营者以数据资产化追求为中心,围绕数据收集、利用、开发甚至经营,展开活动,由此而形成复杂而动态的数据活动和利益关系。[63]从目的而言,是通过数据经营活动,即对数据的利用、开发和经营,最终达成创造和实现数据财产化利益的效果;从行为上说,是对数据开展大规模收集、处理、加工、利用乃至交易活动;从结构上说,具有显著的双向性和重心偏向性,从业者和用户属于活动和利益紧密相关的双方,其中数据从业者处于结构重心,是数据活动的关键驱动所在。[64]可见,莱斯格及其追随者立足用户角度的单向财产化方案,并没有反映数据经济的双向结构和动态开展的关系本质,特别是没有切合数据从业者处于重心驱动位置的实际特点,所以虽然解决了对于用户初始数据的财产利益确认,但不能却满足数据经济作为整体上的财产利益机制建构要求,特别是数据从业者作为经济关系重要一方的结构性需求。 四、当前数据新型财产权的合理化构建及其体系展开(一)数据新型财产权的构造基础当前数据资产化势不可挡的前提下,一种数据新型财产权制度的构建极为迫切,堪称“供给侧改革”之急需。这种数据新型财产权的制度设计,必须结合数据经济的双向动态结构,特别是数据经营者的重心驱动作用,如此才算完整。换言之,应该立足数据经济的合理本质,重新平衡用户和数据从业者以及其他关系人复杂利益关系,确立更加复杂的数据新型财产权体系。数据经营者和用户进入数据交易关系,只是数据经济的初始环节;从其全部环节看,数据从业者合理开展数据经营、实现数据资产化、创造数据财富和应用价值,才是大数据时代数据经济的意义所在,体现为一个动态复杂的关系结构和活动过程。首先,从主体角度来说,就数据经济的利益关系而言,存在用户和数据从业者的双向性,或者说存在个人信息和数据资产的区分性。一方是用户,其既为个人信息原初主体,也是数据经济的初始数据的供给主体或曰生发主体,其自身或者基于网络活动产生初始数据,由此成为初始数据的实际生发者,并可以因为授权原因而成为该初始数据的供给者或输出者;另一方是数据从业者,包括专门的数据商以及其他依法从事数据活动(收集、控制或处理数据)的主体,它们以数据活动为业,首先通过初始交易关系或服务平台取得用户的初始数据,成为被授权人或受供给者,继而通过数据集合、利用、加工、交易,成为数据进一步的占用者、数据产品的加工者和持有者,数据资产的经营者和获益者等。其次,从数据经济的过程来说,存在从数据收集、集合、加工、利用到数据资产交易的动态性。首先,是数据采集,原初数据交易处于这一环节;然后,是数据整理、利用、加工等活动,其中基于数据整理或加工,通常也形成数据库、数据平台和数据决策等各类数据资产;最后,是数据应用或交易,数据资产持有者对于其数据资产进行应用或交易,以实现数据资产的使用价值或交易价值,取得效益或收益。总之,数据经济双向动态、且以数据从业者为主要驱动装置的结构性质,要求数据新型财产权构造也应该呈现双向动态和以数据从业者为重心驱动的结构特点。(二)数据新型财产权的阶段和类型数据新型财产权从体系上说,应该在区分个人信息和数据资产的基础上,进行两个阶段的权利建构:首先对于用户,应在个人信息或者说初始数据的层面,同时配置人格权益和财产权益;其次对于数据经营者(企业),在数据资产化背景下,基于数据经营和利益驱动的机制需求,应分别配置数据经营权和数据资产权。1、用户基于个人信息的人格权和财产权从用户而言,其作为初始数据的个人信息事实主体,基于数据经济环境的依存性,体现出人格化和财产化的双重价值实现面向。所以,可以赋予其基于个人信息的人格权和财产权的双重性权利。这一阶段,有关配置基础,无论是基于传统的私法正义理论,还是依据现代的法律经济学方法,都应该配置给用户。在这里,个人信息的人格权和财产权配置上相互分立,各自承载或实现不同的功能。其中,信息人格权近似于隐私权,又应当区分敏感信息和非敏感信息,在保护上前者严格于后者;而信息财产权则近似于一种所有权地位的财产利益,用户对其个人信息可以在财产意义上享有占有、使用、受益甚至处分的权能。2、数据经营者基于数据的经营权和资产权从数据经济的整体而言,基于数据从业者的结构需求和在数据经营事业中的重心驱动作用,同时基于数据从业者的经营活动的动态过程性特点,对于数据从业者也应进行相关权利配置。这种配置不同于一般的静态权利配置,它需要根据数据活动的规律,结合数据活动的目的和阶段价值需求,除了达成数据活动的规范功能,更重要的是达成对动态中的数据利益的合理配置功能,从而明确界定数据经济活动过程中数据从业者对于数据的地位和利益关系。总体上,应当赋予数据从业者数据经营权和数据资产权两种数据新型财产化权利。这些权利近于物权设计,具有绝对性和排他性,其中数据资产权也与工业知识产权有一定的相似性。这些财产权类型之所以要予以绝对性、排他性构建,在于一般性的债权地位不能支撑现代数据经济的内在动力和保障需求。数据从业者对于经营中的数据利益,仅仅具有依据用户授权合同而取得的债的地位,是一种微弱而不具有绝对保护的财产地位,显然难以支持和保障数据开发和数据资产化经营的需求;相反,绝对财产地位的构建,则可以使得数据从业者获得一种有关数据开发利益的安全性市场法权基础的刺激和保障,使得数据经济得以置身于一种高效稳定的财产权结构性的驱动力和交易安全的保障之中。首先是数据经营权。这是一种关于数据的经营地位或经营资格。数据经营权是互联网条件下确立的一种新型经营权,从理论上来说根基于对数据经营的效率和安全特殊考虑,是一种经营限制权。从功能上讲,法律通过数据经营权的确认,不仅为数据经营者提供了从事经营的结构性的驱动力和保障,而且还给予了享受特定倾斜扶持政策的机会。数据经营者据此可以对他人数据以经营为目的而从事各种活动,具体包括收集、分析、整理、加工等。数据经营权具有某种专营权(专项经营权)的性质,具有特定事项的专向性和排他性,这与网络企业一般性取得网络经营许可不同。初期,为了减少过度竞争,加上严格保障数据安全和效率的谨慎考虑,有关国家不仅采取严格许可制方式加以限制,而且往往还进行各种政策配套和其他方面的扶持。数据经营权是否必要设置,主要看有关国家对于数据经济的管理立场。从一般的市场化原则出发,应当欢迎经营自由而不是经营限制,但是我们在数据经济活动中发现,数据经营其实存在效率和安全的复杂问题,所以不是那么简单。数据经营,在效率上需要依赖一定的技术条件和管理基础,在安全上存在予以特殊保障。数据安全是一种现实的威胁,这种安全既可对个人,也可对社会或者国家。在这种情况下,可以通过特别的资格管控来达成目标,所以可以考虑引入经营限制,对于我们这样一个市场信用尚欠发育的国家来说尤其值得考虑。经营限制有行政直接限制和私权限制两种方式,比较起来,后者当然更加灵活,也接近市场化机制,这就是私法意义的特定化的经营权。私法上特定化经营权通过法律规定或者特定机构依法授予或许可而产生,通常存于特定效率或者安全考虑的事业中,我们常见的比如矿业权、建筑执业权、金融特许经营权、出租车经营权、公用事业特许经营权等。需注意,数据经营权设置,应当限于数据资产化经营的企业,且尽可能贴近经营自由而合理规范设立许可规则和监管规则,避免任意和任性。对于公共数据从业者,则应该基于公共利益和维护个人信息的特殊考虑,依据法律授权或者行政特许方式,严格管制其数据活动;而对于数据自用或者自营的企业则应该不受数据经营权限制,可以立于经营自由而活动。其次是数据资产权。这是数据经营者对其数据集合或加工产品的一种归属财产权,是一种近似于所有权的一种法律地位。数据经营者据此权利,对自己合法数据活动形成的数据集合或其他产品(数据库、数据报告或数据平台等),可以占有、适用、收益和处分。从功能上说,数据资产权是法律对数据经营者的数据资产化经营利益的一种绝对化赋权,既是对其经营效果的一种利益归属确认,更是通过提供便利和安全的保障而鼓励数据资产化交易的一种制度基础。数据资产权不仅促进数据产品交易本身,也特别促进了数据加工的开展,直接鼓励了数据经营和数据资产创造,因为这种绝对化赋权立足劳动正当论,使得数据加工活动及其添附价值得到格外重视,数据从业者可以凭借其极具有价值创造意义的数据加工活动,取得对于其数据产品的绝对权并进而获得其财产利益。数据资产权的客体,不是物权法上一般意义的有体物,而是作为无形物的信息或数据,严格说从法律形态上独立于个人信息的原初形态,是具有特定功能或者利用价值的数据集合或者数据产品。而且,数据具有很强的时效性,所以数据资产权客体从其经营的特点,在本质构成上往往只能相对确定而具有浮动性,随着时间发展可以不断变化,而且往往只有不断变化升级才能维持或提升价值。这一客体的特点,有点类似浮动担保,所以也需要借助隶属经营主体的固定来相对确定,同时需要借助登记来加以区隔特定化和进行公示。数据资产权基于客体的特点可以多层次化,对于他人数据产品的合法整理和加工,达到一定的价值创造程度,便可以形成新的数据资产权的客体而获得独立性。这些都可以通过具有公信力的登记来进行区隔,以实现不同数据利益的精准划分和归属。数据资产权建立在整理加工基础上,从性质上接近物权,但是其以一定的价值添附创造为基础,又与工业知识产权有相似性。所以,数据资产权是具有一定垄断性的权利,在权利设计和保护上应引入工业产权的某些规则,特别是基于鼓励数据流通、数据公共使用和数据再创造的需要,应当对其在必要时在一定条件下确立强制流通、强制使用和允许他人再创造的规则。数据经营权和数据资产权兼有保护型权利(共益权)的特点,兼具以私权名义促进共益的一面。法律基于数据事业的特殊性,赋予从业者数据经营权、数据资产权,其目的也在于:以这种权益刺激的方式,可以在鼓励数据从业者进行加工创造,以此推进数据产业发展,同时可以确立一定的权利门槛,维护市场合理竞争,最终维护用户和消费者利益,造福商业和国家社会。正因为如此,数据经营权和数据资产权的构建,本身也负有诸多义务,包括促进数据共益,维护数据安全,保护个人信息等等。(三)数据新型财产权的体系动态关系数据经济的各种权利之间相互形成一种共存叠生、动态依存的体系关系。数据经济的双向结构和动态发展性,使得用户和数据经营者之间、不同层次的数据经营者内部之间,各种权利在行使上处于一种相互配合、相互限制的动态体系关系之中,彼此围绕数据经济的合理关系和生态结构而布局。其中,数据经营权、数据资产权应以个人信息权为基础和前提。数据经营在涉及对个人信息采集、利用或加工时,除非法律有特殊规定可以依据其他方式,原则上需要取得个人信息权主体同意。当然,有关同意方式,应该结合网络经营的特点来规定,在特定情形如基于公共利益或数据共益的考虑,在有数据安全的保障机制前提下,同意的方式可以适度宽松化,比如放宽授权的形式要求、允许默示、甚至特定情形允许自动采集。同时,数据经营过程有关权利行使和其他活动,也不得超出数据经营的目的和个人信息权人的授权范围。此外,个人信息的授权,应该限于财产利益本身,有关人格权利益并不因此让渡,应该继续得到保护,所以数据活动中,个人信息的人格权保护必须贯彻于始终,且具有公共秩序的高度属性。所以,个人数据安全保护,始终是数据从业者的一项秩序义务。 五、结论:数据新型财产权构建正逢其时利益法学派鼻祖耶林曾言,法律应该是一种合乎社会目的的存在,且“是通过国家权力作为外在强制保障的社会存在条件的总和。”[65]法律在与社会现实关系上,应该努力适应而不是裹步不前,“制定法本身和它的内在内容,也不是像所有的历史经历那样是静止的,而是活生生的和可变的,并因此具有适应能力”。[6][P.109]有关法律创制的机遇,往往都是在新的社会经济方式或者社会经济关系出现形成之时,历史上,各种物权或者债的关系的出现,都是与现实经济关系互动的结果。当前我们正置身于大数据时代,这一时代因为互联网和数据技术的飞速发展,导致数据经济突如其来,使得我们面临法律创制的重大挑战。但是,任何新事物登场后都具有两种可能,或者是得到合理的及时的调整和规范,或者是得不到合理的调整和规范。我们现在对于数据经济,尚处于不及跟进立法供给的尴尬境地。既有的做法,主要依旧囿于传统法律框架,在确立用户个人信息人格权保护基础上,进行单边式规范调整,即使做出了一些必要变通,但仍然远远不能适应数据经济的合理需要。由此,数据新型财产权构建正当其时。从数据经济关系具有双向、动态特点和数据从业者处于重心驱动位置的复杂结构来看,有必要个人信息和数据资产加以区分,并在此基础上进行财产权化的双阶段权利构建。值得补充说明的是,引入数据经营权、数据资产权等财产权化配置,因为财产权形式的特殊性,具有市场的和公平配置的双重意义。首先,它们是一种市场化法权。财产权这种法律形式,本身就包含市场化自由的理念,所以数据经营权和资产权构建,不仅可以奠定数据经济市场化的权利基石,同时作为财产权机制也可以为国家调控或监管数据经济提出市场化的框架前提。其次,数据新型财产权兼具分配正义的规制作用。财产权在性质上属于绝对权,比较起债权这样的相对权,可以更好体现分配正义原理,可以同时平衡好自由、效率、安全和公平等各种价值,发挥对资源和利益的制度配置功能。[66] 作者简介: 龙卫球,法学博士,北京航空航天大学法学院教授、博士生导师。*本文系笔者承担国家社会科学基金重大项目“信息法基础”(16ZDA075)的部分研究成果。本文在写作和材料收集整理上,得到丁道勤、林洹民、李美燕等协助,在此一并致谢。[②]参见2008年9月4日《自然》推出的名为“大数据”的专刊。转引自 [英]维克托·迈尔-舍恩伯格、肯尼思·库克耶著:《大数据时代:生活、工作与思维的大变革》,盛杨燕,周涛译,浙江人民出版社2013年版,第8页。[③]《纽约时报》2012年2月12日一篇专栏称:“大数据”时代已经降临,到2012年为止,人类生产的所有印刷材料的数据量是200PB,全人类历史上说过的所有话的数据量大约是5EB。 See Steve Lohr, The Age ofBig Data ,http://www.nytimes.com/2012/02/12/sunday-review/big-datas-impact-in-the-world.html?_r=1&pagewanted=all,最后访问日期:2015-08-18。[④]科技日报:《大数据:抓住机遇保存价值》,载“中国大数据网”,http://www.thebigdata.cn/YeJieDongTai/11104.html,最后访问日期:2015-08-18。 [⑤]参见[法]伯纳德·利奥托德,[美]马克·哈蒙德著:《大数据与商业模式变革:从信息到知识,再到利润》,郑晓舟,胡睿,胡云超译,电子工业出版社2015年版,第7页。[⑥]IBM研究人员的结论认为,目前只有7%的数据被企业在做战略决策之时主动采用,企业掌握的大量数据还没有被利用和发掘。参见[法]伯纳德·利奥托德,[美]马克·哈蒙德著:《大数据与商业模式变革:从信息到知识,再到利润》,郑晓舟,胡睿,胡云超译,电子工业出版社2015年版,第6页。[⑦]美国法学家波斯纳有一种相似论说,他认为机器程序不会诽谤,不会“八卦”,不会关心用户个人的私生活事务,因此,也很难说用户的浏览记录被他人所知晓——“这些只是根据指令运作的逻辑机器而已”。See Richard Posner, Our DomesticIntelligence Crisis,WashingtonPost, December 21, at A31 (2005).[⑧]参见“江苏省南京市中级人民法院2014宁民终字第5028号民事判决书”。[⑨] 参见“江苏省南京市中级人民法院2014宁民终字第5028号民事判决书”。[⑩]有关评论报道,请参见《财经》报道:《Cookie隐私第一案终审:法院判百度不侵权》,载“新浪网”http://tech.sina.com.cn/i/2015-06-12/doc-ifxczyze9463119.shtml,最后访问日期:2015-07-09。[11]我国有关部门近期以来开始注意对于网络服务商进行一些特殊地位的确认,例如2013年工信部出台的《电信和互联网用户个人信息保护规定》,便在保护用户个人信息的同时,也注意赋予网络服务商一定的积极行为空间。但是,这种规范性文件级别很低,权威性和系统性远远不足以满足现实数据经济对于制度创制的高位需求。[12]终审判决在表述中也提到要处理好严格遵循侵权构成要件和正确把握互联网技术,妥善处理民事权益保护和信息自由利用之间的关系。[13]《民法总则》第111条规定,“自然人的个人信息受法律保护”;第127条则规定,“法律对数据和网络虚拟财产的保护有规定的,依照其规定”。但是,就如何予以具体的法律保护,均未予明确,而留待单行法解决。[14]限于篇幅和简化必要,本文研究主要限于数据经济即数据商业化应用领域,并不涉及公共权力部门的数据运用和管理的规范问题,也不探讨一些特殊领域例如广电事业领域的数据规范问题,同时也有意略过敏感信息和非敏感信息的区分规范问题。[15] See Paul M. Schwartz & Daniel J. Solove, Information Privacy Law, Aspen Publishers, 9 (2006).[16]See Restatement (Second) of Torts, §652A-D (1977): (1) intrusion upon one's seclusion; (2) public disclosure ofprivate facts; (3) publicity that places one in a false light before thepublic; and (4) appropriation of one's name or likeness without permission. [17] See Restatement (Second) of Torts,§652A-D[18] See Restatement (Second) of Torts, § 652D.[19] See Restatement (Second) of Torts, § 652E.[20] See Dan Dobbs, The Lawof Torts, West Group, 1198(2000).[21]See AnupamChander,How Law Made Silicon Valley,63Emory Law Journal, 639-694(2014).[22] See Muratore v. M/S Scotia Prince, 656 F. Supp. 471, 482-83(D. Me. 1987)[23] See Remsburg v. Docusearch, Inc., 816 A. 2d 1001 (N.H. 2003)[24] See Seaphus v. Lilly, 691 F. Supp. 127, 132 (N.D. Ill. 1988)[25] See Shibley v. Time, Inc., 341 N.E.2d 337, 339 (Ohio Ct.App. 1975)[26] See Tureen v. Equifax, Inc., 571 F.2d 411, 416 (8th Cir.1978)[27] See PurtovaNadezhda, Property rights in personal data:Learning from the American discourse, 25 Computer Law and Security Review,6-9(2009).[28] See 112 Couch v. United States, 409 U.S. 322. (1973)[29] See Schwartz &Reidenberg, Conceptualizing Privacy,90 Cal. L. Rev.1087(2002).[30]See U.S. Department of Health, Education and Welfare, Secretary’sAdvisory Committee on Automated Personal Data Systems, Records, Computers, and the Rights of Citizens viii, 29-30, 41-42 (1973), available at http://www.webcitation.org/5J6lfi8l6, 最后访问日期:2015-05-03。[31]See U.S. Department of Health, Education and Welfare, Secretary’sAdvisory Committee on Automated Personal Data Systems, Records, Computers, and the Rights of Citizens viii, available at http://www.webcitation.org/5J6lfi8l6, 最后访问日期:2015-05-03。[32]相关研究,可以参见刘敏敏:《欧盟<<>个人数据保护指令>的改革及启示》,西南政法大学2011年硕士论文。另参见齐爱民:“论个人信息保护基本策略的政府选择”,载《苏州大学学报(哲学社会科学版)》2007年第4期;洪海林:《个人信息的民法保护研究》,法律出版社2010年版;周汉华:《个人信息保护前沿问题研究》,法律出版社2010年版。[33]See Graham Pearce & Nicholas Platten, AchievingPersonal Data Protection in the European Union, Journal of common MarketStudies, Vol. 36, No. 4, 532(1998).[34]相关信息,See Bainbridge, D., Pearce, G., EC Data Protection Law, Computer Law and Security Report, Vol. 12,No. 3, 160-168(1996); European Commission,Growth, competitiveness and employment—the Challenges and ways forward into the21st century, December 1993; High—levelGroup chaired by European Commissioner Martin Bangemann, Europe and theGlobal information society, 26 May 1994; 刘敏敏:《欧盟<<>个人数据保护指令>的改革及启示》,西南政法大学2011年硕士论文。[35]See Graham Pearce & Nicholas Platten, Orchestrating Transatlantic Approachesto Personal Data Protection: A European Perspective,FordhamInternational Law Journal,Vol. 22. Issue 5, 2222以下(1998).[36]参见[德]库勒:《欧洲数据保护法》,旷野等译,法律出版社2008年版,第30-31页。包括合法原则、终极原则、透明原则、适当原则、保密和安全原则、监控原则等。[37]See AnupamChander, How Law Made Silicon Valley,63 Emory Law Journal,639-694(2004).[38]See Cuijpers, Privacyrecht of privaatrecht?Eenprivaatrechtelijkalternatiefvoor de implementatie van deEuropeseprivacyrichtlijn, The Hague, Sdu 2004.[39]See Council Directive 91/250/EEC of 14 May 1991 on the legalprotection of computer programs, OJ 1991 L122/42.Art. 9(1):“any contractualprovisions contrary to Article 6 or to the exceptions provided for in Article5(2) and (3) shall be null and void.” [40] See Directive 96/9/EC of the European Parliament and of theCouncil of 11 March 1996 on the legal protection of databases, OJ 1996 L 077/20,Art. 15: “Any contractual provision contrary to Articles 6 (1) and 8 shall benull and void.”[41]欧盟在具体方面的一些修订,保持了过去的惯性,如电信网络信息风险领域,就在原有框架下有针对地强化对个人信息隐私的保护。[42]相关修改内容,参见European Commission, Safeguarding Privacy in a Connected World a European Data Protection Framework for the 21stCentury, Com(2012) 9 final, Jan 2012;刘敏敏:《欧盟<<>个人数据保护指令>的改革及启示》,西南政法大学2011年硕士论文,第31页以下;何治乐、黄道丽:“欧盟<<>一般数据保护条例>的出台背景及影响”,载《信息安全与通信保密》2014年第10期。[43]参见吴琼:“欧洲议会司法内政委员会通过新版数据保护法欧盟数据保护立法取得重大进展”,载《法制日报》2013年10月29日版;王融:“欧委会推动欧盟个人数据保护立法重大改革”,载《中国征信》,2015年第3期。[44]欧洲数据组织组织负责人约翰-希金斯(John Higgins)在发表的一份声明中表示:“欧盟方面所实施的针对一些敏感数据的保护措施本身确有其必要性和务实性,但与此同时这些措施也阻碍了那些低风险数据的流动和利用,这对于本行业企业来说无疑是增加了不必要的发展负担。”参见赛迪网:“隐私数据监管有所放松受到IT企业欢迎”,载http://www.ccidnet.com/2014/1012/5631091.shtml,最后访问日期:2015-08-21。[45]赛迪网:“隐私数据监管有所放松受到IT企业欢迎”,载http://www.ccidnet.com/2014/1012/5631091.shtml,最后访问日期:2015-08-21。[46]2015年10月6日,欧盟法院(Court of Justice of the EuropeanUnion)宣布已运行15年的欧美数据共享协议立即失效,这就是一个欧盟在数据上试图隔离自保的典型例子。[47] See Daniel D. Barnhizer, Propertization Metaphors forBargaining Power and Control of the Self in the Information Age, 54 Clev.St. L. Rev. 113.(2006). "Data is the breath of the Internet and the blood of theinformation economy, and it is in the nature of the beast to collect, collateprocess, and report this data."[48] See Alan Westin, Privacyand Freedom, The Bodley Head Ltd., 1970.[49] See Paul M. Schwartz, BeyondLessing’s Code for Internet Privacy: Cyberspace Filter, Privacy- Control, andFair Information Practices, Wisconsin Law Review, 746(2000).[50] See Henry H. Perritt Jr., Lawrence Lessig, Code and Other Laws of Cyberspace, 32 Conn. L. Rev, 1061(2000).[51]参见[美]劳伦斯·雷席格著:《网络自由与法律》,刘静怡译,商周出版社2002年版,第396页以下。本书英文名为Code and other Laws in Cyberspace,中文译者台湾学者刘静怡为了表达形象起见,将该书名字做了转换。雷席格,在本文按照大陆地区习惯译名为莱斯格。[52] See J Kang, InformationPrivacy in Cyberspace Transactions, 50 Stan. L. R.1193(1998).[53]关于P3P技术和隐私强化的关系,参见JosephM. Reagle Jr., P3P and Privacy on the WebFAQ, Version 2.0.1(1999), available at http://www.w3.org/P3P/P3PFAQ.html,最后访问日期:2016-03-23。引自[美]劳伦斯·雷席格著:《网络自由与法律》,刘静怡译,商周出版社2002年版,第399页注51.[54] See Lawrence Lessig, Code, Basic Books, Inc. 226(2006).此书为刘静怡中译的劳伦斯·雷席格《网络自由与法律》2006年再版。[55] See Lior Jacob Strahilevitz, A Social Networks Theory of Privacy, University of Chicago Law Review 72, 919, 921(2005).[56] See Guido Calabresi and A. Douglas Melamed, Property Rules, Liability Rules, andInalienability: One View of the Cathedral, Harvard Law Review 85,1105(1972). See also Lawrence Lessig, Codeand Other Laws of Cyberspace, Basic Books, 160-161(1999).[57] See Lawrence Lessig, Code, Basic Books, Inc. 228-230(2006).[58]早期个人信息保护法的侧重点确实是在公法规范的角度展开关于数据的规范,即除了确立个人信息的人格权和基本权利地位之外,重点在于规范和限制公共机构对个人数据的处理行为。例如美国1974年《隐私权法》,德国1977年《联邦数据保护法》,都是如此。[59] Julie Cohen, Examined Lives: Informational Privacy and theSubject as Object, 52 Stan. L. Rev. 1373 (2000).[60]National Institute of Standards and Technology, Green ButtonInitiative Artifacts Page, http://collaborate.nist.gov/twiki-sggrid/bin/view/SmartGrid/GreenButtonInitiative, 最后访问日期:2016-02-19。[61]Aneesh Chopra, Remarks to GridWeek, September 15, 2011,http://www.whitehouse.gov/sites/default/files/microsites/ostp/smartgrid09-15-11.pdf,最后访问日期:2016-03-23. [62]Thomas Heath, Web site helps people profit from informationcollected about them, Wasthington Post, June 26, 2011, http://www.washingtonpost.com/business/economy/web-site-helps-people-profit-from-information-collected-about-them/2011/06/24/AGPgkRmH_story.html,最后访问日期:2016-03-23.[63] See J Kang, "Information Privacy in CyberspaceTransactions”, 50 Stan. L. R.1193. (1998)[64] See Daniel D. Barnhizer, Propertization Metaphors forBargaining Power and Control of the Self in the Information Age, 54 Clev. St.L. Rev. 113(2006). “Data is the breath of the Internet and the blood of theinformation economy, and it is in the nature of the beast to collect, collateprocess, and report this data.”[65]ZweckimRecht, 2d ed., vol. i, 511. 转引自Munroe Smith, A General View of European Legal History and Other Papers, Ams Press, INC. New York,154(1967).[66]亚里士多德最早对分配正义做出经典阐述。参见亚里士多德著:《尼各马可伦理学》第五卷“正义论”第六节“分配的正义”,邓安庆译,人民出版社2010年版。 |