《數據的法律界定及其保護》
作者:王佑強 2020-07-26題記
2020年7月2日中國人大發布《數據安全法(草案)》、7月15日深圳市司法局就列入深圳市人大常委會辦公廳2020年擬新提交審議項目的《深圳經濟特區數據條例》發布《深圳經濟特區數據條例(征求意見稿)》、7月22日最高人民法院、國家發展和改革委員會聯合發布《關于為新時代加快完善社會主義市場經濟體制 提供司法服務和保障的意見》(法發〔2020〕25號)正式從司法層面提出“數據”新型權益司法保護,同日最高人民法院和國家發改委相關負人在“法發[2020]25號”意見新聞發布會上就要素市場制度建設回答記者提問時強調:加強對數字貨幣、網絡虛擬財產、數據等新型權益的保護,充分發揮司法裁判對產權保護的價值引領作用。隨著中國央行主權數字貨幣(DCEP)的正式與C端消費場景的應用測試,數字生活及數字資產將不再是“新聞”或“理論”,數字經濟及數據立法、司法保護正在走進大家的現實生活。《區塊鏈改變未來》一書作者、上海市錦天城律師事務所合伙人王佑強律師受國際法律學術期刊《瑞中法律評論》邀請,基于《民法典》為背景在《瑞中法律評論-增刊》上發表了《從民法總則第127條規定看“數據”的法律界定及其保護》一文。 正文 《民法總則》第一百二十七條規定:法律對數據、網絡虛擬財產的保護有規定的,依照其規定。剛剛由第十三屆全國人大三次會議審議的《中華人民共和國民法典》將《民法總則》作為民法典的附則篇。《民法總則》127條的內容屬于民事權利章節,《民法總則》作為《民法典》的總綱性內容,該第127條將數據、網絡虛擬財產并列作為民事權利的原則性規定。 該如何理解《民法總則》第127條對“數據”民事權利內容呢?數據的權利客體是否既包括人格權,又包括財產權呢?不論作為人格權的數據,還是作為財產權的數據現有法律保護及未來的立法、司法保護又存在哪些問題呢?如果不嘗試探討并回答以上幾個基本問題,縱然《民法總則》第127條確認了數據主體在民事法律上的民事權利,但由于現有的立法、規范性文件并沒有嚴格界定“數據”的法律內涵和外延,對數據的保護也難以深入,更多地停留在傳統“隱私權”的信息保護意義層面,這不利于數據主體的立法和司法保護。 立法和司法現實也正如前述,除《民法總則》對數據作為原則性民事權利內容進行規定外,法律層面目前只有《中華人民共和國網絡安全法》從法律層面對“數據”從網絡建設、運營及服務提供、網絡運行安全及網絡基礎設施的角度進行了表述,整部法律有16處提到“數據”,并首次從法律層面提出數據的完整性、保密性和可用性等數據網絡安全特征要素。《網絡安全法》并沒有區分“信息”與“數據”。《網絡安全法》第一條立法宗旨也未使用“數據”的概念,而是使用“信息”來表述立法宗旨。《網絡安全法》第一條規定:為了保障網絡安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。值得注意的是,《網絡安全法》第18條首次在法律層面提到“數據資源”的概念。由中華人民共和國工業和信息化部(24號令)2013年6月8日公布并于當年9月1日實施的《電信和互聯網用戶個人信息保護規定》(下稱“保護規定”)通篇未使用“數據”表述,但卻對“用戶個人信息”進行的定義。《保護規定》第4條規定:本規定所稱用戶個人信息,是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。值得注意的是,《保護規定》對“用戶個人信息”的定義并沒有區分一般信息和敏感信息,即未對信息進行類型化界定,也未就“個人信息”的可識別性進行規定,《保護規定》的“保護”難言有效。2014年10月10日起施行的《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》(下稱“信息網絡糾紛若干規定”)也沒有使用“數據”的概念,而是從信息網絡人身權權益侵權保護的角度規定了“信息網絡服務提供者”和“網絡用戶”在“信息處理”方面的權利義務及責任認定。中華人民共和國國家標準化委員會公布的《信息安全技術 個人信息安全規范(報批稿)》(下稱“安全規范”)附錄C《保障個人信息主體選擇同意權的方法》(2018版)和《實現個人信息主體自主意愿的方法》(2020版)(以下統稱“信息規范”)的“功能界面模板”中對“數據安全能力”進行了定義,《信息規范》規定:數據安全能力指個人信息控制者保護個人信息保密性、完整性和可用性的能力,個人信息控制者可以通過開展相關的國家標準合規工作證明其數據安全能力,并將相關證明以鏈接形式向個人信息主體展示。《安全規范》通篇將“信息”和“數據”混同使用,有時候以“數據”解釋信息,有時候以“信息”解釋數據。另外,《安全規范》屬于行業技術標準指引,沒有強制法律效力。 通過梳理我國現有網絡信息安全、個人信息保護的法律、司法解釋及相關規范文件發現,我國的立法層面尚未對“數據”的法律概念進行界定,多數時候,數據和信息沒有嚴格區分表述和使用,可以認為現有法律、司法解釋及相關規范性文件中默示“信息”和“數據”的同等含義,至少是在概念上混同使用。通過比較分析《民法總則》第127條的規定,筆者認為將“數據”作為民事權利進行規定是一次重大民事立法突破,將“數據”和“虛擬財產權”并列規定在同一條款更是民事立法的史無前例。從域外立法比較來看,歐盟是對個人數據保護立法最為完善、嚴格的法域,尤其以德國為領導的歐盟委員會頒布的《一般數據保護條例》與我國同屬大陸法系,其對“數據”的立法經驗值得借鑒和討論。《一般數據保護條例》在“鑒于條款”開篇提到“自然人在個人數據處理方面獲得保護是一項基本權利”。在《一般數據保護條例》的第一章第4條“定義”章節中,對“個人數據”進行的定義:“個人數據”是指一個被識別或可識別的自然人(“數據主體”)的任何信息,接著具體規定可識別的內涵:一個可識別的自然人,是指通過姓名、身份證號碼、位置數據、在線身份識別碼這類標識,或通過針對該自然人的一個或多個身體、生理、遺傳、心理、經濟、文化或身份等要素,能夠直接或間接地被識別。從其定義的內涵和外延看,“個人數據”的主體權利應該包括的人格權和財產權等權利內容。國內相關學者也從“數據所有權”的角度對數據財產權進行了研究,認為:大數據兼有人身(如隱私等)和財產屬性,其中數據主體對數據享有的占有、使用、收益、處分的所有權,是大數據交易的根本法律依據,大數據所蘊含的技術、經濟效應是數據作為法律保護的財產之基礎,也是數據交易的根本價值所在。筆者贊成前述作者的觀點,但數據交易以數據的市場為基礎,以數據的法律確權為前提條件,從立法角度考察,首先數據的內涵需要有明確的定義,其次是明確數據主體對數據的權利客體,尤其是對數據財產權進行法律上的界定,方可將數據主體對數據的占有、使用、收益、處分等相關的人身權益、財產權益的內容落到實處。 從國內就與個人信息、數據的相關規定,及與歐盟相關立法的比較研究中可以發現,數據與信息區別至少具有如下特征:(1)基于大數據、人工智能、云計算等數字化技術的發展,使得個人信息的要素特征越來越精準及可量化;(2)信息主體網絡行為產生的信息使得信息主體的身份、私有活動、生物信息、財產信息具有了高度精確可識別性;(3)信息主體網絡行為產生的高度精確可識別信息一旦泄露會影響信息主體的隱私和財產安全。筆者認為,數據和信息互相關聯并存在內在聯系,在通常語義表達和生活經驗中,信息和數據多數場合被混同使用,但又在直覺感知上有所區別,比如大數據相關的技術出現之前,數據較少地被從法律層面加以保護,鮮有將“信息”保護具體化到民事權利的高度進行保護;再如大數據、5G、人工智能、云計算出現之前,也鮮有在立法層面就信息處理賦予信息主體可攜帶權、反對權、被遺忘權等具體嚴格的權利內容。筆者認為,“數據”及數據主體的權利保護之所以成為今天法律上探討的問題,核心原因在于數字化技術可將信息主體的可識別特征進行高度精確量化,這些對數據主體高度精確量化的信息既能實現智能化的機器自主決策,也能作為人工決策的依據,當信息的精確量化數據能作為決策依據時,意味著數據聚合之后的巨大經濟和社會管理效益,而恰恰在數據的經濟效益、社會效益與數據主體之間存在天然矛盾關系。因此,數據作為法律民事權利受到保護,在司法層面應該以數據的市場為前提。 基于前述,筆者認為,數據是基于數字化技術對信息主體特征進行量化后精確可識別化的信息。如前文所述,《民法總則》并沒有對數據進行定義,僅對數據進行了原則性的規定,并作為與“虛擬財產權”并列的權利內容規定在“民事權利”篇章的同一條款。從立法邏輯推測,難以完全否認立法者基于前瞻性為數據的人格權、財產權預留了空間,也正因如此才使得對《民法總則》第127條的探討具有現實意義。 毫無疑問,數據作為對數據主體具有精確量化可識別性的信息,具有經濟利益和社會效益。國內對數據主體相關權利法律保護更多是從個人“隱私權”的傳統民法視角,比如最高院的《信息網絡糾紛若干規定》僅從以信息網絡為手段構成“侵權”的權益糾紛角度進行了司法解釋,但其可訴性主要圍繞人身權,鮮有以“財產權”確權、給付等侵權可訴性內容。筆者認為,數據財產權作為數據主體的權利客體是極其重要的權利內容,現有立法的缺失,甚至空白,不利于大數據產業、人工智能、5G、區塊鏈、云計算等數字化產業的發展,當下的“隱私權”保護立法、司法解釋更無法適應數字化經濟背景下“數據”聚合的權利保護訴求。筆者認為,數據財產權在立法上得以確立之前,數據作為資產的法律屬性有必要厘清。 如前文所述,數據財產權基礎是數據的市場,而數據的交易市場需要數據主體的法律確權。在以區塊鏈為代表的技術組合應用產生之前,數據主要被用作終端市場的產品開發、營銷和一定范圍內的研究工具,在其發展過程中還衍生出了“數據挖掘”、“數據清洗”等灰色產業鏈,數據的價值首先在未得到法律保護的領域體現出來。隨著信息化、智能化的深入發展,數據關乎個人、企業、組織的安全、財產、隱私及社會秩序等重要性逐漸為管理者所認知。由于數據的法律保護跟不上“數據市場”應用和需求的快速發展,網絡虛假信息、網絡欺詐與真實信息孤島化隔離及安全保護成本之間的矛盾越發突出。數據作為能帶來“價值”的生產要素急需厘清權利義務法律邊界。 首先,以各互聯網巨頭為代表的網絡市場經營者手中掌握著大量的個人、企業活動信息和數據,這些數據不斷地被用作商業目的賺取利潤,數據持有、使用者與源數據主體 之間的利益沖突隨著數據生產要素化條件越來越充分變得日益尖銳,急需國家層面在立法、司法領域進行干預。數據要素特征模型化的前提是數據具有使用價值,使用價值離不開數據的具體應用場景,區塊鏈產生之前的信息互聯網,數據的使用方式、價值體現均受控于數據收集、持有者,極少考慮源數據主體的信息安全性、價值權益,數據的可資產化條件非常弱。《民法總則》在立法上首次對數據等虛擬財產權進行了原則性確立,意味著數據資產化具有了基本的民事法律依據。下一步需要就數據財產權的司法化、權利內容具體化、侵權構成要件化、交易轉讓法定化、侵權賠償標準化等作進一步的立法和司法解釋工作,以適應現實生產、生活需要,比如數據資產化的基礎是數據法律確權,數據的法律確權首先需要解決源數據主體對數據客體的所有權地位。在涉及到數據的采集、存儲、使用、傳輸等環節,究竟什么類型的數據、什么環節的數據落入源數據主體所有權的認定范圍?是否僅限于源數據主體對數據客體的所有權確權?還是符合一定條件的數據加工并控制利用者依法定事由也可以成為數據所有權的主體并可合法對外授權利用?經授權、合理使用的數據脫離源數據主體控制后的多久時間和什么樣的條件改變后需要再次授權或確權。另一層面的重要問題是,落入源數據主體或法定控制主體所有權認定范圍的數據載體是什么?是以區塊鏈技術應用場景下的Token——托根化智能合約為載體?還是一定條件下的類型化數據庫批量認定?筆者認為,區塊鏈作為分布共識信用機制下的虛擬價值交換智能合約價值規則體系,是“數據”成為資產或作為數據主體財產權之關鍵。只有在區塊鏈分布式共識、智能合約價值規則體系下的“數據”才可以托根資產化,數據作為財產權才可在法律上進行確權,數據的價值流動和共享才具備現實可能性。數據所有權確權應該包括強制確權和自愿確權,強制確權的數據應該主要針對互聯網商業運營所涉來源于各類主體的必要基礎數據,它未必具有財產權的內容,但卻對互聯網企業的依法合規運營極其重要,因此該類數據的強制確權應建立所有權一次性確權、長期授權有效、價值恒定的法律確權原則。 其次,商業應用角度而言,各互聯網企業所持有的數據法律上確權并資產化以后,數據的收集、存儲、使用應受限于該企業數據資產化的規模。如果一家企業所持有的可確權資產化數據大于其自身的凈資產,法律就應該對其進一步收集、存儲、使用新的數據及數據確權、資產化等行為進行法律限制,否則數據的安全和隱私保護邊界將因利益的驅動被人為打破,數據的安全保護將形同虛設。 再次,數據法律確權和資產化后,數據作為一項資產必須可進入企業的資產負債表,但能資產化并進入企業資產負債表的數據資產必然具有較大的產業應用價值,這就涉及數據的產業智能化商用場景,比如,未來的無人駕駛汽車很可能成為一個重要動態數據應用終端,物聯網等產業也必然涉及數據大規模智能商用的法律確權需求,那么底層的區塊鏈技術保障是大勢所趨。未來的數據涉及法律、審計、技術及管理等的跨界綜合評價,數據驅動的智能商用場景將是數字經濟的核心。 最后,數據的財產性內容納入司法保護,是對數據安全和隱私保護的應有之義和高級形式的保護。我國陸續出臺的以“隱私信息保護”為核心導向的系列法律、法規、規章及國家標準安全規范,基本上都是以行政管理為立法指導思想。雖然最高人民法院的《信息網絡糾紛若干規定》是一部規范以信息網絡為手段構成“侵權”的權益糾紛司法解釋,但其可訴性主要圍繞人身權,鮮有以“財產權”確權、給付等侵權可訴性內容。筆者認為,對數據安全和隱私的最有效保護,是對數據確權的立法確認和司法適用,當數據的財產權權利得以確立,數據的收集者、持有者、使用者的義務邊界、數據所有者的權利邊界就得以確立,數據所有者對自身權利的主張、維護勝過數據商業壟斷現實中自上而下的行政執法和監管。 綜上,筆者認為:數據的財產權以數據的市場為基礎,以數據主體的法律確權為前提,應以托根(Token)載體的形式通過區塊鏈分布式共識應用場景,將數據要素特征模型化、權益抽象化為數據資產。至少在目前的技術條件下,離開區塊鏈分布式共識應用的數據難以資產化,不能資產化并進行法律確權的數據難以發揮數據的生產、商業價值,缺少了價值交換規則體系的數字化不是真正的數字化,信息互聯網到價值互聯網的升級也就不存在。大數據、云計算、人工智能和區塊鏈技術條件下,物理世界的“四大規則”完整鏡像到虛擬世界的智慧網絡、價值互聯網網技術的條件已經具備。真正的數字化應圍繞“數據”財產權的法律地位,以及傳統產業、傳統信息互聯網與區塊鏈分布共識、智能合約規則體系、托根數據資產的融合展開,數據成為生產要素將是數字經濟時代的必然。數據要成為生產要素并參與到生產過程中的利潤創造和利潤分配,數據的法律確權是首要工作。當前從政府到民間都在談論數字經濟,但討論的核心更多地側重于從技術、行政管理視角下的“數據安全、保護”,這當然很重要,但沒有數據財產權法律地位以及司法可訴性的確立,數據安全的行政執法不僅不利于“數據資產化”和“數據生產要素化”,還很可能會導致在商用數據“寡頭化”現實條件下,行業技術和行政管理規則、標準制定權落入互聯網精英和巨頭手中,若他們發起對數據資產(未來數字經濟的核心血液)的“圈地運動”,數據將處于危險之中,行政執法將面臨嚴重質疑。需要指出的是,數字經濟的發展離不開區塊鏈分布式共識及智能合約規則體系的基礎應用,舍此更無法就“數據”確定法律邊界,數字資產就是一句空話,數據作為生產要素也就沒有了數字化基礎。區塊鏈天然地具有增加信用供給、可追溯存證、降低司法成本、提升司法裁決效率、減少糾紛的顯著作用。筆者認為,數字經濟時代的立法、司法保護及法律監管應緊緊圍繞“數據”法律定義內涵及法律確權、司法可訴性及數據應用中的侵權和隱私保護開展工作。數據的法律確權離不開區塊鏈與產業的融合應用,只有產業經過區塊鏈“鏈改”改造,方可打破產業有效數據的“信息孤島”,進而形成數據的市場,當數據的法律確權和市場定價獲得應有的立法和司法地位時,數據資產化并作為生產要素才具有真正的現實基礎。那時,一個嶄新的數字經濟時代將成為現實! 腳注: 1.《大數據交易中的數據所有權研究》,作者楊張博,第2頁。 網絡鏈接: http://www.doc88.com/p-9069672036839.html。2020年5月31日18:39分登陸。 2.本文所稱“源數據主體”是指第一時間基于特定個人、組織的行為所產生的數字化數據,包括區塊鏈和非區塊鏈應用場景當中在物理空間、虛擬空間條件下因某種行為而產生的數據。 3.《區塊鏈改變未來》第15頁,王佑強 涂晶著,人民日報出版社,2020年1月底第1版。 4.物理世界數字化鏡像的程度決定了數字經濟的發展程度。物理世界之所以持續發展,核心在于完備的價值交換規則體系。從以物易物到金銀,再到信用紙幣,以政府、組織、中介機構為信用背書的中心化價值交換體系是物理世界得以存續、發展的基石。這套價值交換體系由一套套的規則組成——以法律體系為核心的社會規則、以數學體系為核心的技術規則、以追求自利為目的而滿足社會需求為核心的市場規則等共同維系和促進了人類社會的發展。社會規則、技術規則和經濟規則都以價值交換規則為內在驅動力,進而實現財富創造和財富分配。物理世界數字化鏡像的關鍵是把四大基本規則全部虛擬到數字化的世界。信息技術革命比較容易地解決了社會規則、技術規則及經濟規則三大規則的數字虛擬鏡像,但不能完成最為關鍵的數字化——價值交換規則體系的數字化鏡像,人們并不能根據信息互聯網的虛擬規則實施有效的價值共享和價值傳遞。
