个人数据的共享性意味着个人数据只有形成规模才有分析、预测价值,它源于符号世界的认识功能,具有必然性。但个人数据的来源和生成并不能成为用户分享个人数据财产价值的正当理由:除用户单独生成的情形外,个人数据的共享将打破用户对个人数据财产价值的独自拥有;即便用户的行为构成合同履行,也只是取得数据服务合同的服务报酬。
数据财产的排他性与个人数据的共享性并不矛盾,因为后者影响的是数据财产的形成,而不是数据财产的内容。除数据由用户单独生成的情形外,个人数据的财产利益应由企业享有。在数据权利中,资源持有权旨在支配所收集个人数据的分析、预测价值,加工使用权为其权能,产品经营权则是数据加工的结果。数据的权利分置缺乏规范上的必要性,无法也无须借助权利束、权利块理论来解释。(原文来自《法律科学(西北政法大学学报)》2024年第5期)
一、问题、概念与思路
当今社会,数据正日益影响和改变着人们的生活:数据在维护或威胁人的尊严的同时,也不断地释放其财产要素价值。为激活数据的要素价值,2022年6月,中国共产党中央全面深化改革委员会第二十六次会议审议通过的《关于构建数据基础制度更好发挥数据要素作用的意见》首次提出数据资源持有权、数据加工使用权和数据产品经营权的权利分置方案。
2022年12月,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)进一步明确,“根据数据来源和数据生成特征,分别界定数据生产、流通、使用过程中各参与方享有的合法权利,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,推进非公共数据按市场化方式‘共同使用、共享收益’的新模式”。
“数据二十条”采纳了数据确权的立场,并试图从规范角度进行制度的体系建构。此种努力值得赞赏,但在效果上仍有进一步讨论的空间。以规模收集的个人数据为例,首先,根据数据来源和生成特征界定数据权利是否科学?
虽然事实与法律的二分是法哲学上的基本命题,但自休谟以来,学界试图厘清二者界限的努力都归于失败了。实践中,事实越复杂,其价值色彩也就越浓厚,越离不开价值判断。
因此,数据的来源与生成在何种程度上构成财产归属的判断前提,这本身就是个需要解释的问题。
其次,“数据二十条”充分关注了数据共享性对财产归属的影响,但数据共享性能否打破财产的排他性?例如,数据资源持有权旨在弱化数据收集者的权利,那么,数据资源持有权还有排他性吗?
最后,数据权利需要“分置”吗?按照民法原理,如果个人数据的处理者仅仅是持有他人数据,其对数据的加工使用就可能欠缺合法性;而只要数据处理者享有加工使用的权利,就可以基于加工的事实行为取得数据产品所有权,此时强调数据产品经营权有何意义?
上述疑问的核心是数据财产的归属,而研究数据的财产归属应首先界定数据的概念。对此,学界围绕数据和信息的关系,形成了区分说和同一说两种不同立场。其中,区分说又分为内容形式区分说和内涵范围区分说。
前者区分数据的符号层面与内容层面,认为数据是信息的形式或载体,信息则是数据的内容或知识。后者又有两种不同见解,一是认为数据包含信息,因为数据除承载信息外还可承载非信息;二是主张信息包含数据,即数据只是信息的一种表达方式,信息还可以通过传统媒体获得表达。
同一说则认为,数据的本质是信息,应将数据界定为以电子形式存储和处理的信息。或者说,信息是数据的内容,数据是信息的形式,二者无法分离。因此,数据承载的信息而非数据本身才是生产要素。同一说在早期为少数说,现今则为多数说。
界定数据与信息的关系,应当区分事实与法律:数据的符号层面即便与信息存在不同,也不过是信息的事实媒介;从法律的角度分析,只有包含信息的媒介才有意义。同理,承载非信息的数据因缺乏法律价值而不具有规范意义。而当信息以传统媒介的形式表达时,它往往成为既有人格或财产权利的内容,无须在数据的语境下讨论。
因此,在法律上,所谓数据应指包含信息的数据符号。在规范层面,数据即信息,个人数据即个人信息。考虑到个人信息在现行法上侧重保护人格利益,本文采纳当下使用更为广泛的数据和个人数据概念。
就财产归属而言,基于劳动和知识产权的保护,企业单独生成的数据归企业所有、用户单独生成的数据归用户所有,应无疑问。存在争议的是源于用户而由企业生成和收集的个人数据的财产归属。
此类数据的特点是,单个数据几乎没什么价值,用户通常也没有进行利用的意思,数据只有形成规模效应才会产生显著的财产利益。由于此种数据具有典型性,本文即以其为研究对象。
关于个人数据的财产归属,学界存在三种不同立场。一是用户所有说,即认为数据上的财产应属于用户。此种主张既与个人数据源于用户的事实一致,也与保护用户人格利益的法律发展趋势相符。
如美国学者莱斯格认为,应通过用户财产权的方式来保护个人数据。还有学者认为,授予用户所有权更符合法律的经济分析原理。但用户所有说在我国为少数说。二是处理者所有说,此说为早期有力学说。如程啸教授认为:“数据企业对合法收集的个人数据享有应当受到法律保护的权利,并且该权利既不依赖于被收集者的授权,也不依赖于其他在先权利或许可。
”龙卫球教授也持此说。现今更是获得了广泛的支持。三是区分说,即根据数据财产的不同内容决定其归属,该说在我国早期比较流行,近来则呈现式微之势,其又存在个人所有权—企业用益权说、个人所有权-企业所有权说、个人与企业共有说等分歧。司法实践多采共有说。
与之不同,一些地方性法规不直接明确个人数据的财产归属,而是在规定个人数据人格利益归用户所有的同时,明确数据处理后的财产利益归处理者所有。如《深圳经济特区数据条例》第3条第1款规定了用户对数据的人格权益:“自然人对个人数据享有法律、行政法规及本条例规定的人格权益。
”第4条规定了处理者的财产权益:“自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。但是,不得危害国家安全和公共利益,不得损害他人的合法权益。”《上海市数据条例》第12条也规定了类似内容。
不过,数据处理者对其处理后形成的产品和服务享有财产权益乃属当然,因为数据处理属于事实行为,行为人可依据《民法典》第231条取得相应财产权益。事实上,上述法规回避了一个真正的难题,即数据价值的贡献者既包括贡献信息内容的用户也包括投入资本和技术的处理者,用户能否由此分享数据上的财产利益?多数意见认为,数据的来源和生成只是事实问题,可以构成数据财产归属判断的直接依据,这也是“数据二十条”的预设立场。
此外,不少学者将数据的共享性附加于数据财产上,从而否认数据财产的排他性。有鉴于此,本文首先分析个人数据共享性与用户财产权利的关系,然后讨论个人数据的财产构成对其归属的影响。应当指出的是,探讨个人数据的财产归属尚有两个相关的前提性问题。
其一,个人数据承载了用户的人格利益,敏感个人数据尤其如此。那么,个人数据如何生成财产利益,这是否有违人格利益的专属性?
其二,个人数据上的财产利益只能通过确权方式(财产规则)保护吗,行为主义(责任规则)的方案是否可行?限于论题和篇幅,笔者拟另撰专文讨论,本文仅采其基本结论作为预设前提——个人数据上的人格利益与财产利益并行不悖,个人数据的财产保护应采确权立场。
在数据财产的归属判断中,共享性起到了核心作用。那么,何谓个人数据的共享性,为什么个人数据具有共享性,个人数据的共享性将对用户的财产权利产生何种规范效果?关于个人数据的共享性,可以跟传统财产权进行比较。首先,传统民法上的物原则上为有体物,作为所有权对象的物尤其如此,而个人数据和知识成果的特点是无形性:数据系以无形的数字符号来表达意义,知识成果即便存在有形的载体,本质亦是经由外在形式表达的思想,因此,同一个知识成果可以由多人使用。其次,同为无体物的个人数据和知识成果也不相同:知识成果的价值具有直接性,每一项知识成果都构成财产,但个人数据的财产价值源自信息的规模化处理。因此,多人使用同一数据不仅不会减损其价值,反而有可能使其增值。为与一般意义上的财产公共性概念相区别,本文将个人数据的此种特性称为共享性。个人数据的共享性源于数据的共享性。关于数据的共享性,学界早有共识,只是说法不一。一种说法是非独占性或公共性。“作为无形物的数据,不可能被某一特定主体独占,具有非独占性或共享性的特点。”“数据二十条”将数据分为公共数据、企业数据、个人数据三种基本形态,每一种数据都具有共享性的特征。针对公共数据,“数据二十条”提出要“加强汇聚共享和开放开发,强化统筹授权使用和管理,推进互联互通,打破‘数据孤岛’”,与一般公有物的有偿使用截然不同。就个人数据而言,由于数据共享构成现代生活、便利服务的前提,他人对数据的使用已成为支撑个体人际交往的有效方式。所以有学者说,“数据或信息的公共性、可共享性,决定了个人数据本身的公共性”。那么,为何数据会具有共享性?原因在于人的认识的间接性。人们通常认为,基于主体、客体二分的原则,主体可以直接认识对象,但这忽视了认识对象的不可知性。康德直言:“迄今为止,人们假定,我们的一切知识都必须遵照对象;但是,关于对象先天地通过概念来澄清某种东西以扩展我们的知识的一切尝试,在这一预设下都归于失败了”。实际上,由于人们只能通过遵循对象性状的直观来获得知识,所以认识不可避免地具有间接性,只能通过概念、语言等中介进行。对此,符号学家埃利亚斯评论道,“哲学家们总是生活在只接触纯客体的理想世界中,似乎它跟词语、思想这些媒介物无涉。哲学家们拥抱世界本身的渴望,带着浪漫的气息,但不过是个幻象”。“人面对的不是一个客观世界,而是一个符号世界,人只是通过符号来与客观世界打交道。”因此,在这个物质和信息双重存在的对象性世界里,人的认识本质上是以信息为中介的活动过程。就认识机制而言,作为认识的中介,符号世界的根本使命是:让关于世界的符号呈现与其呈现的世界相一致。不过,就事实而言,符号世界的经验内容既可能与现实一致,也可能与现实不符,但并不妨碍人在其中此时此地地体验这个世界和我们自己。作为呈现世界的基本方式,符号具有分析预测功能,从而使经验、知识具有超越特定时空的意义。而当数据成为符号世界的主要媒介后,符号世界的功能被极大地扩展了:分析预测既可以超越时空进行,也可以实时实地地展开;既可以运用于军事、卫生等公共领域,也可以直接为私人创造财产价值。符号世界的功能拓展尤其依赖个人数据的共享:作为个人的符号化,个人数据彰显了个人的行为、个性和社会关系,是符号世界发挥分析预测功能的主要前提。这样,数据既是知识的内容,也构成现代生活的条件。在符号世界中,由于数据获得了社会存在的地位,它就无法成为特定主体的专有物,从而具有了共享性。人们普遍认为,数据的来源和生成作为法律事实,直接决定了数据财产的归属。为解释利益相关者的财产权属,有学者在区分基本个人信息、伴生个人信息和预测个人信息的前提下,以是否存在共有以及共有份额多少为标准,将个人数据的财产归属划分为三种形态:个人基本信息的财产权属于个人,伴生个人信息的财产权为个人与处理者共有,预测个人信息的财产权亦为个人与处理者共有,但后者的财产份额多于个人的财产权份额。然而,只要认识活动还要经由概念、信息的中介,法律事实就不可能是纯粹的事实,而是已经包含某种价值(规范)判断的事实。个人数据虽然源于用户、因用户而生,但其来源并非判断财产归属的法律事实,其对财产归属的影响尚应经过规范价值的检讨。个人数据的共享性会阻断用户对个人数据财产价值的共享。即便用户的数据生成行为构成合同的履行,用户也只是取得数据服务合同的服务报酬,而非与企业共有数据财产。这就意味着,个人数据的来源和生成并非用户分享个人数据财产价值的必要条件。其一,从价值形成上看,个人数据上的财产价值并非源于个人的人格,而是源自与个人相关的事实,后者作为一种“知识”本身不具有稀缺性。信息的稀缺性是在形成数据并经过规模化收集之后才具有的。在判断个人数据的财产归属时,人们很容易联想起个人数据上人格利益的归属规则,但人格利益之所以“关乎谁即专属于谁”,是因为数据承载的信息本身即构成人格利益的内容。而个人数据上的财产价值并不源自作为主体的个人或者用户的人格利益,而是源自作为客体的人的行为轨迹、选择偏好等客观事实,后者具有重要的分析、预测价值。而人的行为轨迹、选择偏好等在形成规模化的数据之前并不具有稀缺性。例如,基于实地调研获得的市场数据虽然关乎个人,个人却无法也无意分享其财产价值。上述信息只有经由企业的劳动,才能生成并完成规模化收集,从而具有稀缺性。其二,从数据的生成上看,用户的行为不构成独立劳动,因而无法基于事实行为取得数据财产。劳动财产理论要求劳动者的劳动存在据为己有的主观意思,如果缺乏此种主观意思,劳动者的成果即便构成民法上的物,也只能是无主物或持有物。同时,劳动者据为己有的意思还会受到社会一般观念和合同的约束。例如,劳动者为企业生产的产品归企业所有,即便劳动者有据为己有的意思,也不因此而改变物的权利归属。而在数据实践中,通常情形下,用户行为旨在享受企业提供的信息服务,用户也不关心其行为是否产生数据财产,因而只是一种无意识的生活事件。即便用户行为旨在产生个性化的数据价值,其与企业也存在劳动的合意,由于数据的生成主要依赖企业来完成,规模化收集更是完全基于处理者的劳动,它也无法构成数据交易行为,而只能是为企业提供劳动的劳务行为,这本质上就是一个数据服务合同。此时,数据上的财产价值仍然为企业享有,但用户据此得主张服务报酬。此外,从技术层面而言,即便认为用户的行为构成独立劳动从而与企业进行价值共享,我们既无法实现数据内容与权利人的逐一验证,也无法确定用户的财产份额。应说明的是,个人数据的共享性不影响用户对由其单独生成的个人数据的权利,实践中也不乏个人通过数据交易机构对其个人数据进行交易的行为。此类个人数据归用户所有也不会破坏符号世界的认识功能,因为符号世界与现实的一致性是功能性的,不要求二者完完全全一致。现实中,无论符号世界如何追求与现实世界的一致性,破坏符号世界真实性的行为总是不可避免:历史常被篡改,真相常被掩饰。
然而,此种破坏行为虽然是反真相的,但它也不是虚构的,而是真实发生的事实。如果我们注意到认识的复杂性,把真相、认识的获得看成一个立体——而非平面的结构,那么,此种破坏行为也可以说是从相反经验的角度反映着符号世界的真实性。此外,符号世界的认识功能也具有广泛性,除了呈现重要的、典型的不可或缺的事实和规律外,还包含了丰富的个性化的事实和经验。后者虽然也是符号世界的重要组成,但其对认识的重要性明显要更低。个人数据也是如此。只要重要场景下的个人数据具有共享性,部分个人数据的失真、缺席就不会实质性破坏符号世界的认识功能。相反,允许部分个人数据的失真、缺席,恰是人类生活丰富多彩的体现。关于个人数据共享性对用户财产权利的影响,还有一种较为特殊的主张,即在区分数据文件(形式)和数据信息(内容)的前提下,应在数据文件——而非数据信息上设定绝对权,以避免信息垄断。依其主张,只要对数据文件提供充分保护,就不会导致数据信息产出中的激励缺失问题,数据交易中也不会存在信息悖论。但如果在数据信息上设置排他性的绝对权利,就与数据的共享性产生矛盾。此种见解对数据的共享性给予充分关注,值得赞赏,但其对数据文件和数据信息的区分,忽视了二者在规范上的融合性,未留意到数据作为法律概念的特殊性。就结果而言,人对数据文件的控制如果不是针对信息,又有什么价值?此外,作为内容的信息既包含人格价值,也包含财产价值,二者的权利归属大为不同。在数据文件上设置绝对权,虽契合人格利益的保护要求,却与财产利益的归属相悖,亦与数据的共享目标背道而驰。排除了用户对个人数据财产价值的共享,就间接证成了个人数据财产价值的处理者所有说。但这还不够,因为在数据权利分置的背景下,仍应进一步明确数据资源持有权、数据加工使用权、数据产品经营权的结构与归属,而这得从数据财产的构成说起。如前文所述,企业单独生成的数据归企业所有、用户单独生成的数据归用户所有,并无疑问。而在个人数据源于用户但由企业生成和收集的情形,即便用户与企业存在合同,也不会导致用户对数据财产的共享,只是得据此主张劳动报酬或合同对价。那么,个人数据上的财产是如何形成的呢?此又涉及两个问题:一是数据财产的对象是什么,或者说数据财产何时产生,是不是数据生成后就是数据财产?二是数据财产是否具有排他性,如何协调数据共享性与财产排他性的矛盾?关于第一个问题,人们一般认为,数据财产的对象即数据,数据本身构成财产,只是其在不同主体、不同阶段的内容不同而已。正是基于此种认识,“数据二十条”提出了数据资源持有权、数据加工使用权和数据产品经营权等的分置方案。但在第二个问题上,虽然因数据共享性而否认财产排他性的主张不少,但认可数据财产排他性的立场也影响日盛,在后者看来,数据共享性与财产排他性并不矛盾。数据的共享性会影响数据财产的形成,但不会排除数据财产的排他效力,财产的排他性原则应当被坚守。就排他性而言,虽然与所有权相比,知识产权等权利上的排他性并不相同,但这不是财产可以不具有排他性的理由。不同的权利类型具有不同的权利内容,排他性的规范效果自然也不一样。就权利类型而言,不仅绝对权具有排他性,相对权在受偿利益上也存在排他性,所以债权让与也是一种处分行为。实际上,权利的排他性是权利专有性的必然结果:不同于反射利益,作为权利内容的利益专属于权利人,此种专属利益同时也具有不可侵性,也即排他性。反过来说,不归属于特定主体、不具有排他性的财产还是财产吗?即便在英美法上,立足于对传统权利束理论的反思,坚守财产的排他性也是一种正确的选择。就个人数据而言,我们不是要抛弃财产的排他性,而是应准确界定数据财产的内容。个人信息保护法第13条规定了个人数据处理的合法性基础,其中共包含7种具体的情形。同时,根据该法第33条的规定,这项规则同样适用于国家机关处理个人数据的行为。前者仅第1项需要取得个人同意,而根据第2至第7项情形处理个人数据无需取得个人同意。据此,可以依据是否以数据主体同意为前提将个人数据处理行为区分为基于个人同意的处理与基于法定许可的处理。首先,在不考虑持有的情况下,源自用户的信息具有共享性,既不归属于用户,也不为企业所有,它是一种资源,而非数据财产。此种信息即便形成个人数据,也不能归用户所有。那么,作为处理者的企业能否取而代之?答案是否定的。处理者虽然为个人数据的产生创造了条件,嗣后又通过平台支配个人数据,但此种数据不过是平台收集的“他人之物”。更为重要的是,企业享有个人数据的所有权,与个人数据的共享性事实相悖。其次,企业不享有个人数据的所有权,并不意味着不可以对生成并收集的个人数据进行“持有”,“数据二十条”也明确提出了“数据资源持有权”。“持有”是罗马法上的概念,作为所有权的实现方式和事实基础,意味着持有人得在自己实际支配某物的同时,阻止他人支配此物。其与占有的区别是,占有人有将标的物据为己有的意思,持有人则缺乏这种意思。考虑到个人数据既不为用户所有也不为企业所有,使用“持有”来描述这一事实更为准确。就数据资源持有权的权利基础而言,一般认为其源自用户的授权。“数据二十条”规定:“对承载个人信息的数据,推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据,规范对个人信息的处理活动,不得采取‘一揽子授权’、强制同意等方式过度收集个人信息。”在个人数据财产利益并不为用户所有的情况下,用户授权只能针对人格利益,且似乎只能解释为受害人同意。但受害人同意作为抗辩事由不得违反法律法规和公序良俗,否则可能导致授权条款无效。若把用户授权解释为受害人同意就违反了《民法典》第992条关于人格利益不得放弃的规定。用户授权不构成受害人同意,而是在特定条件下——企业承诺对其持有的个人数据承担隐私安全保障义务——放弃隐私期待的对等承诺。此时,个人数据上的人格利益尚未形成,自然不存在侵权和免责。正是从企业的安全保障义务出发,“数据二十条”提出“探索由受托者代表个人利益,监督市场主体对个人信息数据进行采集、加工、使用的机制”。那么,数据资源持有权如何协调数据共享性与财产排他性的矛盾?主流学说将数据作为数据财产的对象,从而把个人数据本身作为财产,实际上也想赋予其排他效力,只是为了兼顾个人数据的共享性,才不得不牺牲数据财产的排他性。在内容层面,财产排他性无法兼容数据共享性,但个人数据共享性影响的是数据财产的形成而非内容,因此二者并不冲突。个人数据因其共享性而不为任何个人专有,用户授权也不是对财产的让渡,因此,仅持有数据资源尚不足以拥有数据财产——数据财产必须排除个人数据共享性的内容:考虑到数据资源持有权不排除公众的一般性访问,用户还可主张数据可携带权,其内容应限定为禁止他人不当爬取、传播持有人收集的具有分析、预测功能的数据集合的排他性利益。对此,学界已形成一定程度的共识。这样就化解了个人数据共享性和数据财产排他性的矛盾。最后,从权利体系看,数据财产的核心是数据资源持有权。“数据加工使用权”是数据资源使用权的权能,数据产品经营权则是行使数据加工使用权的结果。因为只要持有人得支配个人数据的分析、预测价值,当然就可以对个人数据进行加工、使用,而加工个人数据自然就会产生数据产品,也就有了“数据产品经营权”。这就是为什么在司法实践中,法院无须辨析持有人享有何种数据权利,经由《反不正当竞争法》即可实现持有人利益保护的原因。或有人认为,作为“数据二十条”中被分置的权利之一,数据加工使用权可经由用户授权获得独立性,无需借道数据资源持有权。然而,这种理解可能面临两方面的难题:一是,在数据资源持有权已存在授权的情况下,强调数据加工使用权的独立性必然导致多重授权,这就增加了数据加工的制度成本,不利于数据的合理流通。二是,一旦用户授权成为数据加工使用权的依据,势必排除他人的一般性访问,这显然与个人数据的共享性相悖。从个人数据的共享性出发,既然用户在数据生成的时候无取得财产的意思,无法取得个人数据的所有权,所谓授权也不构成财产利益的授权,而是承诺在加工人负有安全保障义务前提下对加工人占有自己数据的隐私期待的放弃,其内容与个人数据收集时的授权无异。由此可见,广义上的数据财产存在多种类型:既有由用户、企业单独生成的数据财产,也有源于用户而由企业生成并收集的数据财产(数据资源持有权及数据加工使用权),还有因加工的事实行为形成的数据产品(数据产品经营权)。其中,由用户、企业单独生成的数据往往构成知识成果,受知识产权保护。二者中只有用户单独生成的数据构成个人数据财产,但其典型性又低于源于用户而由企业生成并收集的数据财产。无论何种类型,数据财产的价值最终体现为数据的分析、预测功能,从而有别于知识产权:知识产权要求智慧成果具有原创性,而具有分析价值的数据,如购物偏好、信用记录等,显然缺乏此种特性。数据财产由此成为独立的财产权类型。虽然个人数据具有共享性,但数据财产的取得并不鼓励不劳而获:只有存在生成和收集个人数据的劳动行为才能享有个人数据上的财产价值。在明确了数据财产的内涵之后,个人数据的财产归属就相对清晰了。其一,用户单独生成的数据财产为用户单独享有,此时的数据财产与一般的商品或知识成果无异,其作为数据财产的典型性较弱。其二,就源于用户、企业生成和收集的数据财产而言,即便当事人之间存在数据服务合同,数据财产也不是由用户与企业共享,因为用户创造数据的行为虽然构成劳动,也只有据此请求劳动报酬或合同对价的意义。因此,无论当事人之间是否存在合同,作为生成、收集主体的企业均可获得数据资源持有权,由于数据资源持有权是对个人数据分析、预测功能的排他性支配,也可表现为数据加工使用权,而行使数据加工使用权会产生数据产品经营权。然而,由于对数据的共享性缺乏准确理解,学界并未普遍认识到数据财产归属于企业的合理性。相反,多数学者从用户对个人数据的“贡献”角度出发,主张用户与数据加工企业对个人数据上财产利益的共享。除了一般的共有主张之外,有学者试图通过信托的方式保护用户的财产权,主张将数据保护的财产规则改为责任规则,将法益(权利)从数据主体一端转移至数据控制人手中,降低数据主体行权成本。但这一主张既不符合现实,也缺乏法理支持。关于个人数据的财产归属,还有一个需要明确的问题,即数据财产的私法归属并不排斥所有制意义上的国家所有权。人的认识具有间接性,人只能通过概念、符号的中介才能认识世界;在主观世界、客观世界中间还存在一个符号世界。符号世界力图呈现包含主观、客观在内的现实世界,是人类知识、思维与文化的结晶。所以有学者说,搬运符号就仿佛在搬运世界。在大数据时代,数据既是生产力,也是符号世界的主要表现形式,有着重要的安全价值。为维护国家安全、保护人民自由,国家应基于主权对数据享有所有制意义上而非法律上的所有权。国家据此可以基于国家安全的需要对私法上的数据财产施加必要限制。值得注意的是,国家基于国有制意义上的所有权对数据进行的支配,针对的不是特定数据,而是作为资源的数据。在此,国家负有数据资源的保护义务,不得妨碍数据资源的有序流通。当然,所有制意义上的国家所有权不具有收益功能,从而区别于公共数据上的国家所有权。就公共数据而言,虽然其本身亦包含个人数据,但公民对其个人数据不享有财产利益。而公共数据作为数据安全的重要组成部分,当然也受国家所有权的制约。鉴于国家机关在数据收集、公开上的投入,此种国家所有权可以包含收益功能。同时,考虑到数据的共享性,公共数据的国家所有权应保障社会公众平等、自由的非排他性使用权,仅在构成经营性使用时,才能通过许可的方式进行收费。这也为“数据二十条”所明确:“推动用于公共治理、公益事业的公共数据有条件无偿使用”“探索用于产业发展、行业发展的公共数据有条件有偿使用”。值得注意的是,这并不意味着国家是一个纯粹的民事主体角色,而是说,国家在负有数据资源保护义务的情况下,可通过有偿使用来避免公共数据的“公地悲剧”。政府不能靠垄断公共数据来与民争利,相反,作为人民的保护者,它应当让利于民。一般认为,“数据二十条”关于数据权利分置的做法,是参考了农地“三权分置”改革方案的数据“三权分置”思路。然而,这种解释值得推敲。首先,农地“三权分置”处理的是特殊的所有权:集体而非集体成员享有土地的所有权。集体成员虽可对承包地行使占有、使用和收益权能,但其处分权能受到集体所有权基于政治功能的制约。这与《民法典》第240条规定的绝对所有权不同,其本质上是一种以利用为中心的相对所有权:集体的归属所有权加成员的支配所有权才构成完全的所有权。但数据财产不存在这个问题。虽然数据上也存在所有制意义上的国家所有权,但此种所有权并不会对数据财产的权能造成限制,即便在公共数据的许可使用中,被许可人取得的也是一种权能充分的数据权利。其次,农地“三权分置”的政策考量是,通过在土地承包经营权上设立可自由流转的作为用益物权的土地经营权,以破除集体所有的身份限制,释放土地的财产要素。在此,集体所有权、土地承包经营权、土地经营权分属不同主体,因而才谓之“三权分置”。但在数据权利上,由于数据资源持有权、数据加工使用权、数据产品经营权可在既有私法体系内轻松解决,“三权分置”并无必要。再次,“数据二十条”在列举数据资源持有权、数据加工使用权、数据产品经营权后,还有一个“等”字,这意味着数据权可能不止“三权”,当然就不是“三权分置”了。关于数据上的权利构造,还存在所谓的权利束、权利块解释方案。然而,权利束方案也好,权利块进路也罢,本质上是结果主义的经验描述,其规范性值得推敲。与大陆法系不同,英美法上的财产权不存在所有权—他物权的形式结构,而是代之以建立在经济学产权概念基础上的权利束结构。正因为产权与权利束之间的功能相似性,经济学界普遍使用权利束理论来解释产权结构。然而,这种做法忽视了法学与经济学在理论关注上的差异:虽然法学与经济学都无法回避财产的归属与利用,但法学主要处理财产的权利结构,经济学则重点关注财产的利用和效率。就财产的结构而言,它在内容上包括了财产的权利界分以及如何破除此种界分的形式主义从而实现功能化的问题,但其对法学和经济学的意义截然不同:在前者它是研究对象,对后者它则是研究前提。因此,法学与经济学对财产的研究与其说是同一的,毋宁是互补的。一旦认识到法学与经济学在理论关注上的差异,建立于产权概念上的权利束理论就无法对个人数据上的财产权结构做出有效说明。或者说,权利束理论只是对个人数据财产权结构的结果描述,其正确性建立在此种权利结构本身是合理的前提之上。既然权利束理论本身并未对个人数据财产权结构的合理性做出有效说明,它也就无法代替个人数据财产权结构的规范分析。权利束理论之所以可以有效解释传统财产,是因为传统财产的权利结构相对简单,衍生于产权概念的权利束理论可以与传统财产权的内在结构相契合。与权利束理论相比,权利块理论看起来更加精微,似乎可以有效解释个人数据共享性的规范效果,但由于它仍然属于结果主义的经验描述,无法承担起个人数据权利结构的解释重任:为何存在这些权利块,各权利块之间是何关系,权利块内如何协调数据共享性与财产排他性的矛盾?对于这些问题,它都缺乏进一步的规范分析,更遑论与传统财产权理论进行体系协调。鉴于事实、法律之间并非泾渭分明的关系,个人数据的来源和生成不能直接作为个人数据财产归属的判断依据,因其作为一种社会事实,尚需经过价值的判断才能成为法律事实。这就不得不考量个人数据共享性的规范效果。就此而言,“数据二十条”的规范价值有限,有待学界继续提供智识供给。在源于用户但由企业生成并收集的个人数据中,个人数据共享性的规范效果将阻断用户、企业对个人数据的所有权并不妨碍个人数据上存在所有制意义的国家所有权。实际上,基于数据的共享性,个人数据上存在国家安全的公共利益,国家适度干预具有必要性。就财产构成而言,企业基于数据的生成、收集行为可获得数据资源持有权,但数据资源持有权仅系对数据分析、预测价值的排他性支配。而有了数据资源持有权,也就不难推出数据加工使用权、数据产品经营权。这就是实践中无须通过数据确权也能保护企业权益的原因。此外,用户单独生成的个人数据也构成数据财产,但它同时可能受知识产权保护。“数据二十条”关于数据权利分置的做法,虽然表达了激活数据要素潜能的初衷,但是规范意义则有待提高。 来源 《法律科学(西北政法大学学报)》2024年第5期;作者:曹相见,吉林大学理论法学研究中心教授,博士生导师