23 日 2022-03

戴昕 | 数据界权的关系进路| 《中外法学》2021年第6期

数据界权的关系进路

戴昕
beat365官方网站副教授

 

摘  要

数据价值来自聚合形成规模后在流动中获得多元、多维开发,因此数据界权不应受确立财产所有权思路的局限,而应致力于调整社会主体间围绕数据价值开发利用而形成的具体利益互动关系。霍菲尔德框架为数据界权的关系进路提供了有启发性的概念工具。无论针对个人信息、企业数据还是公共数据,法律界权都应被理解为逐步搭建、并灵活调整多元主体间法律关系网络的过程。通过在边际上不断探索有助于数据流动、共享的机制,法律界权方有望促进数据价值开发并推动公共利益实现。

关键词 界权 法律关系 个人信息保护 企业数据 公共数据

 

目  录

 

一、引论:数据确权及其形式主义

二、数据界权:数字经济中的科斯定理?

三、“霍菲尔德数据法”

四、企业数据界权:控制格局下的流动规则

五、公共数据体制与开放数据资源

六、结语:“未行小径”, 还是“条条大路”

 

 

一、引论:数据确权及其形式主义

 

1935年,美国法律现实主义者科恩(Felix Cohen)在经典论文《超验废话》中辛辣地解构了当时司法裁判中盛行的形式主义。[1]科恩认为法官在裁判案件时存在将法律概念——例如“公司”“商号”等——过度实在化的倾向,这使得他们常误以为解决社会争议不取决于伦理判断,而在于能否像把握有形物那样确定法律概念的本质内涵。[2]

类似于曾经的“公司”和“商号”, “数据”自21世纪初以来成为法律人关注的新鲜事物后,照例先引发了一波形式主义探讨:什么是“数据”?数据本质是人格还是财产?好在,近百年后的严肃学者大多都形成了现实主义自觉,即便围绕概念展开讨论,也能意识到,数据相关权利规则不会从天而降,只能是法律回应社会对数字经济效率与公平关切的结果。[3]

但形式主义思路在另一个意义上仍深刻影响着当代数据法的话语和实践:人们习惯继续用财产所有权的逻辑理解数据的社会价值及其对应的制度需求。近年来,论者常将“数据权属不清”称为数字经济持续发展面临的最大障碍,而“明确数据权属”“建立数据要素产权”则被拔高为数据法的皇冠明珠式问题。论者的思路看来被限定在流行版本的“科斯定理”——“清晰界定财产权,资源就能通过市场交易获得有效率的配置”——之上,即预设以所有权为原型确认数据财产权的经济必要性。[4]然而数据的价值以大规模聚合(aggregation)为前提,其利用则具有非对立性(non-rivalry), [5]这意味着科斯寓言中农民和牧民在地上“修篱笆划界”的意象,[6]并不适用于理解数据的生产效率与配置效率如何实现。特别是,鉴于企业通过平台架构控制数据获取和流动的现实,[7]创制或确认财产权的法律方案与促进数据流动、共享、开放的目标之间,即使不是南辕北辙,也相隔遥远。[8]

本文认为,数据法应超越传统的财产权属思维,以开放利用的价值逻辑为基础,用“搭积木”而非“套模具”的方式,在主体间利益互动关系层面进行具体界权,逐步建成容纳多维度、多层次规范的领域规则网络。此即所谓数据界权的“关系进路”。毫无疑问,此前已有其他学者针对流行的数据确权主张提出过商榷意见。[9]例如,梅夏英曾指出,数据在私法上确权面临理论和操作困难,而现有法律和技术条件下已形成的数据控制则足够支持利用和交易秩序,额外确认私权则不利于数据分享。[10]在总体认同上述看法的基础上,本文旨在提供一个新的分析性视角,特别是提示,在进入比特世界后,法律人应更加自觉、明确地采用关系而非实体性的方式去理解法律中的各类“权利”“义务”概念。借助这一理论视角,建构界定“数据权利”的法律规范不但可能,而且必要——数据价值实现的过程本身是主体间合作或冲突的互动过程,因此科斯提出的法律“界权”必要性命题,在适当理解“界权”的前提下仍然成立。[11]而建构性的法律界权则不应被既有概念形式体系过度束缚,特别是不应误以为可以、甚至必须先找到数据在所有权规范体系中的“定位”,才能自上而下演绎规则。今天人们对不同数据制度安排所对应社会福利后果的理解,仍以大量有待继续观察和验证的假说为主。这一认知过程中会因信息的持续增加而出现新的阶段性判断,因此不能指望任何“体系化”“一揽子”的界权方案可以毕其功于一役。这意味着当前决策者需要就数据权益提供权宜性的法律安排,并保持对规则变化的开放心态,注重对有效机制设计作逐步积累。

以下第二部分将重申数据法应坚持的“开放利用”这一价值逻辑,并解释在主体间利益互动关系层面进行法律界权的涵义。第三部分简要介绍霍菲尔德法律关系概念框架,并以个人信息保护制度中的若干规则为例展示其对数据界权的启发。第四和第五部分将分别结合企业数据规则和公共数据体制相关问题,讨论法律界权如何可能基于关系进路,推动数据价值开发和公共利益实现。第六部分简短作结。

 

二、数据界权:数字经济中的科斯定理?

 

在“大数据”概念炒热之前,[12]以界定财产权方式解决互联网环境中信息隐私问题的“科斯式”方案曾风靡一时。受法律经济分析理论影响的不少学者都曾提出,由于互联网服务提供者以处理用户个人信息作为提供有价值服务的前提,因此法律与其只在出现损失时追究赔偿责任,不如赋予用户对个人信息的财产权,使用户和处理者在交易成本较低的网络环境中自愿交易,既实现个人信息经济价值,又使价值分配更有利于用户。[13]但当互联网进入平台企业主导的格局后,用户与企业间存在明显信息不对称,有限理性对用户决策的负面影响则被进一步放大,这导致了自愿交易无法克服的市场失灵,[14]也使个人信息保护的理论和实践全面转向规制范式。但在信息隐私担忧之外,数字经济发展一直以来面临的更深刻质疑,在于新的技术和商业模式是否真能为社会带来其所承诺的价值愿景。目前看来,数据经济价值实现的最大挑战,莫过于各类数据控制者与利用者能否形成开放性的合作网络。为应对这一挑战,“科斯式”财产权安排虽不对路,但科斯式界权却仍然必要。

(一)数据不是石油

数据常被比作石油,就像石油曾被比作黄金。[15]但类比思维误导性极强。石油并非黄金,石油具有重要的使用价值,不像黄金以作为交换中介为主要功能。数据则更不是石油。石油可细切单位计价,但数据价值却以大规模汇聚为基本前提,且在算力不断提高、算法不断改进的前提下,数据规模的边际收益还可能递增。[16]不仅如此,石油作为资源,其利用有对立性,例如将相同单位的石油用作燃料烧掉后,便没法再将其用作化工原料。但数据则完全不同。一人以某种方式对特定数据的使用,并不影响他人使用相同数据的价值。甚至,在相同数据上进行多主体、多层次、多元化开发,是数据价值实现的基本逻辑。以相对直观的场景为例,一次机动车事故产生的数据,会被当事人、交警、法院、汽车厂商和保险公司分头或合作处理,以满足纠纷解决和产品改善等社会需求;相同数据还可再被媒体、学术界、交管部门、市场监管部门使用,产生公众警示、科学研究、社会治理等方面的价值。[17]而在相对不那么直观的场景——如人工智能算法研发——中,当前公众广泛忧虑所谓算法决策风险,通常鼓吹的“算法透明”等应对方案则效用可疑;[18]但若允许并促成多方主体利用相同数据开发相互竞争的机器学习算法,能更有效地识别被采用算法的缺陷,并实现算法工具的不断优化[19]——这种社会收益仍来源于数据利用的非对立性。

以保护排他诉求为基本功能的传统财产权体制,与数据的规模价值和非对立性之间存在深刻张力。但这当然不意味着人们不会就数据资源提出排他主张。最基本且看来最正当合理的排他主张来自个人,其诉求主要是避免因数据处理遭受隐私损害,而这实质上是借财产权解决外部性的科斯逻辑。[20]但如前所述,赋予并保护用户对个人信息的产权控制,不足以使企业内化信息处理活动的负外部性。[21]除了信息和理性局限外,基于算法的数据处理可以基于个人自愿披露的信息推知其本人和他人尚未或拒绝自愿披露的信息,这会降低企业为获得自愿披露所需支付的对价,[22]甚至使人们有动力进入披露竞赛。[23]而即使假定个体完全理性,大规模个人信息处理可能产生系统性负面后果,例如引发政治风险,这类成本无法分解到个人头上,不能指望借助科斯式交易将其消化。[24]不仅如此,个人基于产权拒绝信息处理,也会有负外部性。例如,若赋予个体对自身医疗信息的排他控制,则其可能基于歧视偏好,拒绝个人信息被用于使特定种族或性取向群体受益的医学研究。[25]

与个人相比,企业有更强的确认排他甚至独占性数据财产权的诉求,其依据是洛克以降证成私人产权时常用的为要素投入提供激励的逻辑:例如,不明确土地及其产出归谁所有,则无人有动力充分耕作;不明确智力成果归谁所有,则无人有动力投入文艺创作和技术研发,等等。但在知识产权领域,获得著作权或专利权等排他权利早被指出并非创造力和创作激励的唯一——甚至必要——来源。[26]数据资源的生产、维护和安全保障的确需要投入资源;从静态、个别企业的视角算账,规模还相当可观。但从趋势上看,物联网和云服务的普及不断降低着企业在数据收集和存储方面需要投入的固定成本和可变成本。而对于难以通过消费互联网等廉价数据源收集到的高价值生产力数据,如开发工业机器人所需要的工业生产行为数据,因其往往是企业核心运营活动的副产品,所以需要的额外生产激励往往也有限。

更重要的是,如政治经济学学者所说,以大型平台企业(“Big Tech”)为代表的数据处理者,之所以要投资于数据资源的形成和积累,并不为倒卖数据赚取中间差价,而是要通过处理数据生产基于算法的预测力(predictive power)。[27]这种预测力有助于通过更好匹配供需、提升交易决策效率产生价值。但其同时服务于平台企业对接入其架构的资源、交易活动和交易主体形成越来越强的控制。[28]例如,网约车平台的数据分析能力本服务于出行供需的更高效匹配,但因数据仅由平台掌握,呼叫、派单决策必须以平台算法为中介作出,因此消费者和司机无法绕开平台进行交易。甚至,在皮斯托(Katerina Pistor)看来,尽管数字科技使交易成本不断降低,但大型科技企业借助数据实施纵向控制的经济疆域不断扩大,平等主体基于自愿进行交易的古典市场反而持续缩小,这与科斯定理的预测恰好相反。[29]由此看来,企业通过处理数据不仅预期获得经济利益,而且追求获得支配权力。这至少可部分解释为什么在一直没有明确法定财产权的情况下,企业毫不缺乏动力,源源不断地投入可控数据资源的生产。因此,以财产权为原型寻求建构数据权利,并非数据价值获得有效生产和充分开发的必要前提,也不足以应对数据处理产生的负外部性问题和结构性不平等问题。

(二)数据界权的关系进路

流行版本的“科斯定理”不能简单套用于思考数据权利规则的建构,但法律应为存在相互利益影响的社会主体提供界权(delimitation of rights)这一科斯式规范命题,[30]对数据经济仍然重要——前提是需要对“界权”作超越“确认财产权”的理解。在《社会成本问题》一文中,科斯提出的最有启发性的洞见是“损害相互性”(reciprocal nature of harm):社会主体总会在自行其是时相互影响,法律无论如何界定权利,都并非“一碗水端平”,只能要么允许甲方妨害乙方,要么允许乙方妨害甲方。[31]因此,科斯所谓“界权”,不是判定谁对谁错,而只是“定分”,即就主体之间的利益冲突给个说法;允许交易的情况下,这种“说法”直接对应何种权益配置不重要,重要的是界权存在且足够清楚,以为此后基于交易的重新配置提供起点。[32]而法律经济学家则进一步发挥指出,若交易成本过高,则法律界权的重要性不仅体现为提供交易起点,而且决定交易终局结果。[33]

由于创造价值的数据处理活动不以对数据排他所有为前提,数据资源获得有效配置、充分利用不必回答“谁拥有数据”的大问题,但需要在不同场景下为数据处理者和控制者就数据获取(access)行为提供具体界权方案。[34]我们并不需要知道个人信息是谁的“财产”,但要知道是允许企业自由开展影响个体隐私和安全的数据处理行为,还是允许个体要求企业在处理数据前必须征得其同意;不需要确认企业对其控制的数据有无“知识产权”,但需要明确是允许其他企业对相同数据进行自由爬取,还是数据控制企业可自行采取技术措施阻止爬取;不需要认定公共数据是否“国有资产”,但需要规定是允许政府机关对数据开放设置包括价格在内的限制条件,还是允许市场主体主张获得无条件开放。甚至,基于损害相互性原理的启发,当法律对具体数据获取行为未作明文规定时,不等于主体相互关系层面的界权“真空”。例如,若法律未明文规定禁止爬虫行为,这其实就是科斯意义上允许数据获取方“妨害”控制方的法律界权——除非或直至权威决策者给出与此不同的界权安排。

而在未来相当长的时期内,数据法仍应以在具体主体利益关系层面界权为侧重;任何在法律层面进行笼统确权的探索,即使无意创制所有权或财产权,都需格外谨慎。以广东等地近期数字经济立法为例,其中出现了有关保护市场主体“对依法获取的数据资源开发利用的成果……所产生的财产权益”的明文确权规范。[35]地方立法者试图借原则规定撬动生产和流转的想法可以理解。但这种“财产权益”到底意味着何种个人、企业和国家之间的具体关系界权?例如,企业处理数据后进行公开展示,吸引用户和广告商并获得收入,固然是合法财产权益,但竞争企业爬取公开展示数据,是否仅因权益的“财产属性”就必定不被允许?又如,企业通过政府数据开放获得公共数据,加工后用于经营活动并形成收益,该收益的财产权益属性,是否意味着企业对政府及第三方开发利用相同数据的行为也可提出反对?这些具体界权问题的答案,都无法从对财产权的笼统确认逻辑推演得出。

同时,若论者接受数据权利可在传统财产模式外另起炉灶,那么财产法提供“标准化”或“模块化”界权规则组合的思路,[36]对数据权利即便有参考价值,也未必要照猫画虎。法律经济学理论中,财产权利标准化为有限模块的核心理由是降低信息成本。有价值事物及由其利用引发的人际互动可在万千维度上存在差异,但法律规则只在不那么直观可见的有限维度上提供界权,可帮人们在利用财产和进行交易时聚焦关注,减轻认知负担;而将相互配合的权能打包在一起形成模块,在利用和交易时自然就更加方便。[37]这一思路并非完全不适用于数据。但对数据权利进行标准化的难度比有形财产更高,因为数据的来源、规模、信息内容等决定其可能利用方式和后果的诸多关键维度都非肉眼可见,这意味着法律需要对数据进行标准化界权的维度可能太多;什么样的数据权益可以组成最具互补性的模块,也并不直观。例如许可提出,应设计使数据生产投入与数据成果分享在不同主体间“成比例”的标准规则,以保护投资激励并避免“反公地悲剧”。[38]但由于数据利用方式的多样性和数据价值生产在人工智能场景中的不可预测性,很难想象这类规则如何“标准化”。若难以自上而下建构“标准化模块”,那么数据权利说到底还是要在类似“权利束”的框架中,结合围绕数据开发利用产生的互动关系,累积界权规则,“一根一根”增减,以求务实,也更加灵活,[39]避免为套用标准模具而在瞬息万变的数字经济中削足适履。

 

三、“霍菲尔德数据法”

 

科斯在1960年代写作时并未引用比其更早五十年的美国法学家霍菲尔德(Wesley Newcomb Hohfeld)。但霍氏有关法律权益和法律关系的分析概念框架(以下简称“霍菲尔德框架”),与科斯有关法律就相互损害关系界权的命题一样,均体现了在关系意义上理解法律的思想。本文无意主张用霍菲尔德框架及其术语在形式层面重新书写现有法律规范,因为这无疑会带来太高的转换成本。但这完全不妨碍我们在思考抽象和具体的数据界权问题时,将其作为一种组织思维的分析性概念工具。作为一种批判理论,霍菲尔德框架早先被用于对“财产”等法律权利概念作解析乃至解构。眼下,“财产”概念再一次亟待重构,适当借助霍菲尔德框架,通过关系界权理解和建构数据法规则,同样有助于我们在实质层面更具体地把握不同权利规范的内涵与后果。

(一)权利作为关系

霍菲尔德框架在1990年代由前辈学者引介到中国,[40]但与大陆法系教义学的主流概念体系差异过大,因此除王涌等例外,[41]少见中国学者有意识地将其运用于具体法学研讨中。近年张永健追求“一步到位”,提出用霍菲尔德框架彻底取代德式民法概念体系,既打通“债物二分”, [42]又打破合同与侵权基于“债”的同构。[43]

通常认为,霍菲尔德框架追求比原有法律概念更清晰、少含混——这听上去很像是一种形式主义的学术旨趣。[44]其实,霍菲尔德撰文时的直接批判对象就是法律形式主义,而其在20世纪上半叶最热心的追随者则是法律现实主义者。[45]在霍菲尔德看来,形式主义的最大问题在于对法律概念作本质化理解。例如,在形式主义法律论说中,作为客观事实的“财产”(property)和“合同”(contract)常与“财产法律关系”和“合同法律关系”混为一谈;但后两者与前两者不同,并无客观“本质”,只是依据社会伦理和实践考量而作的建构,不但无形无体(incorporeal),且应在价值指导下不断重构。[46]与科恩一样,霍菲尔德不认为法律概念对应任何“超验”实在;法律中的大量权利、义务、责任等概念,都不对应各自独立的“客观事物”,必须被置于法律在人与人之间设定的关系——即霍菲尔德所谓“法律关系”(jural relations)之中才能作有效理解。

在此基础上,霍菲尔德搭建了以八个概念、四对关系为核心内容的那个著名框架,其中人与人之间可在法律上存在的二元(dyadic)关系有四种:[47]

①“请求权”(claim)—“义务”(duty):一方有权请求另一方作为或不作为,而另一方对应承担的义务是根据对方请求作为或不作为;

②“自由”(privilege)—“无请求权”(no right):一方有自由选择作为或不作为,而另一方无请求权对应要求对方不作为或作为;

③“权力”(power)—“负担”(liability):一方享有可行使的权力,单方面改变另一方所处的法律关系,而另一方则需承受对方行使权力带来的法律关系改变的后果;

④“豁免”(immunity)—“无能力”(disability):一方可主张自身所处的法律关系不因另一方单方行为改变,而另一方此时的法律负担称为“无能力”。

上述概念框架中,八个概念是自成一体(sui generis)的最小概念,且必须在两方主体的法律关系中相互定义。例如,若在世上找不到一个某乙就某种作为或不作为承担“义务”(duty),则说某甲享有“请求权”(claim)毫无意义,反之亦然。[48]基于霍菲尔德框架,没有人与人之间的相互影响就无所谓法律,因此人对物的“支配权”一类概念是虚妄的。[49]

霍菲尔德主张用四种法律权益(ablements)概念和四种法律负累(disablements)概念,替代传统的“权利”“义务”“责任”等概念。他援引大量示例,指出“权利”一词常被法学家和法官在同一论述中无意识地指称两三种不同法律权益,由此导致法律推理错误。例如,若说原告有“权利”(right),但实际意思是其相对被告有自行其是的“自由”(privilege),如此会导致的错误可能是,接下来会推论被告应履行作为或不作为的“义务”(duty)——尽管对应于原告的“自由”,被告的法律负担只是“无请求权”(no right)。[50]

而除了上述批判分析用途,霍菲尔德框架还有重要的建构功能。霍菲尔德框架中的四对关系并不直接对应法律规范通常呈现出的形式,而是用于分析理解法律规定实质内容的“最小公约数”。如此一来,这一框架也便具有“创生性”(generative),可帮助法律人反向搭建更为灵活、丰富的法律规则。例如张永健主张用霍菲尔德框架取代德式物权概念,其基本理由是通常被理解为“权利”的“所有权”概念,本身并非一项具体请求权(right);所有权人享有的所有物返还请求权(right)等才是足够具体的权利,[51]而作为制度的“所有权”则由一系列霍菲尔德法律关系组合而成,即所有权人在与其他主体的关系中针对对方的请求权、自由、权力和豁免,及对应相关主体承担义务、无请求权、负担和无能力。[52]同时,传统学说描述所有权人享有“对世”(in rem)权,应解析为其与每一个与之相互影响的其他个体之间的法律关系,例如所有权人可向每个他人请求不得妨害占有,每个他人则对所有权人背负不得妨害的义务。若采这一视角,“对人”与“对世”的截然分野就会被消解,[53]而这有助于更精细地描述财产权利在生活世界中的真实意义。例如,一本书的所有者可以给两三个朋友设定入室阅览的自由(privilege),并保留自己针对这几位朋友享有的翻阅自由(privilege),同时又享有主张其他熟人不得翻阅的请求权(right)——看到如此简单所有权对应的权益束(bundle of entitlements),其实可包含多根“长短不一”的霍菲尔德权益,有助于我们更好地理解所谓“对世权”的真实构造。

(二)数据界权的关系进路:以个人信息保护为例

以霍菲尔德框架撼动传统物权学说不容易。但在数据权这样没必要主动背上历史包袱的领域,法学理论应有别开生面的机会。在电子著作权领域,“所有权终结”的命题早已被提出——读者“买下”电子书时,无法获得与“拥有”纸质书时相同的权益组合。[54]而数据的持有、控制和处理,在不同主体间对应的关系形态及其组合多样、多变,不能指望借任何有形载体或“本质属性”实现一般性明确。霍菲尔德框架有助于我们下沉到更具体的关系层面理解数据法需要完成的界权工作。而法学界当前以数据权益或“权属”为主题的文论中,霍菲尔德框架在背景中已隐隐出现。[55]

这一节首先结合个人信息保护制度中的若干规则,展示霍菲尔德框架的运用及启发。[56]个人信息保护制度的基础规范是处理个人信息原则上以“告知同意”为前提。[57]这一规范虽可被理解为“财产规则”,但这却不等于个人信息保护制度为个人赋予了所有权式的权利。个人信息保护类法律文本都会从定义“个人信息”入手,但以“可识别”为核心的主流定义,[58]在大数据挖掘的技术条件下几乎包罗一切信息;而由于“匿名化”理论上几乎都可逆,将“未加匿名化”加入定义并不能有效限缩个人信息范围。[59]因此,个人信息或数据不但没法被想象成物,也完全不同于知识产权客体(如“作品”),而法律不可能为每个公民设定一种无远弗届的财产权。

但个人与信息处理者之间围绕是否同意而可能产生的相互影响关系,是可以也需要作具体界权的。借助霍菲尔德框架,可以更清楚地看到成文法规则在何处留出了仍待填补的界权空间——这恰恰也能对应暴露出“同意权”“撤回权”等传统权利概念及其对应的实体化权利理解在内涵方面有其空洞之处。篇幅所限,仅举两例:

①《个人信息保护法》第13条提供了信息处理者不需取得同意即可处理个人信息的例外情形。但基于霍菲尔德框架,不同例外情形中,信息处理者享有的权益恐怕要有所区别。例如,为公共利益实施新闻报道、舆论监督而“在合理的范围内”处理个人信息时,[60]处理者针对个人或许只有收集信息的自由(privilege),而未必有要求对方采取配合行为的请求权(right);但若为应对突发公共卫生事件,[61]则处理者享有的应是要求个人配合提供真实信息的请求权(right)。

②《个人信息保护法》第15条规定个人有权撤回处理其个人信息的同意。参照霍菲尔德框架,撤回权应是个人针对处理者享有的一种权力(power),一旦行使,则处理者不再有处理信息的自由(privilege),而要针对个人背负不得继续处理信息的义务(duty)。但如果处理者此前已将相同信息提供给第三方处理,则个人撤回对处理者的同意,对第三方有何影响?根据第23条的规定,处理者向第三方(法条中的“接收方”)提供其处理的个人信息时,需要再次向个人做出告知并征得单独同意。个人对处理者做出的单独同意,使第三方针对个人享有了处理信息的自由(privilege)。此时,处理者与个人之间、第三方与个人之间,各有一项“自由—无请求权”法律关系。个人根据第15条对处理者撤回同意时,是仅在针对处理者行使单方改变关系的权力(power),还是同时也向第三方行使了权力(power)?想来,个人若不愿其信息再被处理者处理,也应对其合作第三方并无好感,但个人仅希望针对处理者撤回的情形在现实中可能存在。若简单规定个人撤回时必定是“对全世界”撤回,为数据流动带来的成本恐怕过高。因此,第15条规定的个人信息处理者应当提供的“便捷的撤回同意的方式”,应当包含向个人提供辅助其就撤回范围作明确选择和表示的操作选项。

此外,《个人信息保护法》就其他特定问题做出的规定,同样可结合霍菲尔德框架看到其中可再做进一步界权的地方。例如,第24条规定一些条件下个人可拒绝接受自动化决策的决定或要求予以说明。但若个人不拒绝自动化决策,其有无要求决策者在决策中考虑某些参数、甚至其本人特定个人信息的请求权(right)?学界当前对自动化决策的想象以灰暗为主色调,担忧其带来的系统性偏见、歧视等风险。[62]但部分社会成员可能只是反对具体决策结论,并希望以积极而非消极方式干预自动化决策过程。例如,针对信用评价算法,存在负面记录的个人若能要求决策者将特定的“修复信息”输入评价模型,或可由此获得更为合理的评价结果和社会待遇。[63]

而如前所述,当代个人信息保护制度尽管仍强调个人同意,但总体上已转向公共规制模式。仍以前述撤回权规则为例。不难想见,即使法律为个人提供可绝对自主选择行使的权利,指望其理性地以之为基础,控制处漫长链条上的一系列信息处理者,难度还是很大;换言之,法律在个人与处理者关系层面能做的文章是有限的。基于此,法律将政府监管机构作为主体引入,寻求建设个人、处理者和监管者之间的法律关系网络。例如,法律为监管机构设定要求信息处理者纠正违规处理行为的权力(power),处理者对应有其负担(liability),即在监管机构查实违规后,处理者需负担根据监管机构请求权(right)履行具体纠正措施的义务(duty);[64]也可赋予个人乃至他人举报违法的权力(power),举报后则举报人与监管机构间有“请求权—义务”关系,前者可请求后者依法及时处理并告知处理结果。[65]

尽管霍菲尔德生前文论以讨论私法问题为主,[66]但其理论抱负实为用统一的法律关系概念打通公私部门。数据领域公私法规范交织、制度机制整合既是现状,也是趋势。而个人信息保护规范在法律性质上的私人权利和国家义务之争,[67]或许可借霍菲尔德框架化解:个人信息保护制度设定的是由私主体间及公私主体间霍菲尔德法律关系构成的法律关系网络,其中同时包含在关系意义上相互界定的私人权益、私人负担、国家权益和国家负担。而基于这种视角,公共机关对个人信息保护的介入虽然直观上是范式变革性(transformative)的,但落到实处也仍是边际性的。例如,美国法上,公民有无“宪法上的信息隐私权”(constitutional right to information privacy)至今存疑。[68]形式上,这与欧陆宪法性文件中单列“数据保护权”作为公民基本权利有重大差别。[69]但实际上,由于联邦和州有其他规制政府处理个人信息行为的立法,因此没有一般性宪法权利,主要的结果是在公民与政府的互动过程中缺失一些具体法律关系(如“请求权—义务”关系)。[70]

 

四、企业数据界权:控制格局下的流动规则

 

数据作为生产要素的属性与企业的数据处理活动密不可分,而企业进行数据处理的同时也在积累数据资源。互联网平台企业在发展早期便清晰意识到数据要素化的有利前景,呼吁法律对企业持有数据确认财产权。[71]而为推动数字经济发展,官方也强调要“加快建立数据资源产权”等基础性制度。[72]法学界虽有部分论者认为企业数据权只需非常有限的特殊财产权利(如大数据集合的公开传播权), [73]但更有影响力的观点倾向于体系建构,即先打下完整财产权利基础,再演绎数据访问、许可、转让、修改、清除等具体权能。[74]而由于围绕数据商业利用发生的争议不断出现,我国法院结合竞争法裁判建立了以“三重授权”为代表的界权规则。[75]但常见看法是,竞争法只能禁止特定不正当竞争行为,不能像法定财产权那样提供一揽子界权方案。[76]无论以财产权立法还是竞争法裁判规则方式界权,都预设了某些必要法律关系在当前缺失。而从数字经济现状出发,关系界权的进路有助于让我们更为聚焦地思考“权属不明”所指为何。

(一)企业控制获取作为起点

呼吁为企业持有数据确权的逻辑是科斯式的,但企业数据权界定并不在“科斯世界”中发生,而要以企业——包括大型平台企业——控制并持续积累有价值数据资源的现实作为起点。结合“多元规制”视角,[77]可看到在法定财产权缺失的世界中,企业一直通过其他规制力量对数据及其流动实施有效管控。数据虽不具有利用方面的对立性,但有形承载的数据与抽象的信息或思想有所不同:组织化的力量通过物理(如封闭管理的数据中心)、技术(数据加密)、商业模式(数据换服务)、劳动合约(员工雇佣协议中的保密条款)甚至社会规范(互联网早期被认可的robots协议)等机制控制数据获取,远比“禁锢”信息或思想更为可行。[78]不仅如此,法律同样也已为企业维持甚至加强数据控制提供了强劲支持;即使对其所控制数据并无“产权”,企业仍要依法采取各类网络和数据安全措施,而这类措施不但旨在应对黑客,客观上也对其他经营者形成限制。[79]

因此,不能认为缺失财产权利的企业数据市场就处于“无法无天”的“自然状态”;企业数据界权,要回答的问题其实是法律还应为企业对数据获取的实际控制建构何种额外法律关系。霍菲尔德在辨析“财产”一词时指出,其既指称实物又指称法律规范,但二者是两回事。[80]数字经济中,一个企业客观上控制特定数据资源,可以但不必然要求其与其他主体间存在财产权通常对应的一系列法律关系,例如持有企业享有要求其他企业非经授权不得获取的请求权(right)。法律是否应当建立此类或其他法律关系,需要考虑如此界权是否符合数据价值逻辑和分配公正的要求。例如,若决策者有理由认为当前持有企业对数据控制过强,则法律可考虑将持有企业与获取企业之间的法律关系仅设定为两组“自由(privilege)—无请求权(no right)”:①持有企业有自行控制其持有数据的自由,获取企业就分享数据无请求权,且②获取企业有通过爬取公开数据等非授权方式获得数据的自由,持有企业亦无权请求获取企业不得如此获取。甚至,法律可进一步明确,获取企业享有要求持有企业不得使用技术措施阻止其爬取数据的请求权(right),而持有企业对应背负不阻挠的义务(duty),负担重于仅有无请求权(no right)时。此种界权的典型示例,便是著名案件hiQ Lab v. LinkedIn中美国法院对LinkedIn发出停止阻挠hiQ使用爬虫的禁令。[81]这无疑是对LinkedIn通过技术控制数据的釜底抽薪。但若法律仅界定hiQ Lab有爬取自由(privilege), LinkedIn对此无请求权(no right),然而却有采取防御性技术措施的自由(privilege),则技术控制仍可行,只是实施成本被提高,获取企业此时说服持有企业自愿开展数据合作的难度相对就更大。

(二)企业数据的关系界权:到底缺什么?

虽然进一步强化企业控制的界权方案总体上不符合数据开放利用的价值逻辑,但如前所述,为持有企业确权的主张也不乏理由:首先,企业持有的数据资产毕竟不是“大风刮来的”(windfall),若其控制没有法律支持、甚至会遭法律削弱,则投资初始生产、开发和维护的动力可能下降;[82]其次,若无法律保障企业的控制,其与他方进行数据合作、交易可能缺乏起点,也会由于担忧失去控制而减少参与合作和交易;[83]第三,若法律保护不足,企业会把更多资源投入建设技术壁垒,但这种自力救济只影响利益分配,不生产价值,浪费资源。[84]

上述观点虽有合理性,但未必符合实际情况。若论者有关数据流转的想象以“中间商赚差价”为原型,即企业处理原始数据形成大数据集,将其通过打包分发或授权访问等方式提供给用户,则企业收回成本甚至营利的预期确实与其对大数据集获取的控制有无财产权保护紧密挂钩。但即便承认此种数据中介活动的社会价值,赋予其排除第三方传播的请求权(right),仍可能导致中介市场缺乏竞争、数据后续利用成本过高等问题。各类受著作权保护的收费学术资源数据库近年来面临日益广泛指责,甚至引发激烈抗争,对此应有启示。[85]

更一般而言,企业间数据交易、流通机制运行不畅,包括大数据交易所等探索不成功,当前也被归因于“产权不明”。确实,若法律不能界定持有企业与获取企业之间的“权力(power)—负担(liability)”关系,令前者有权力设置后者与前者之间有关数据获取和使用的“自由—无请求权”,则获取企业会缺乏动力寻求与持有企业交易。但在此之外,持有企业“受法律保护”“可以依法交易”的“财产权益”, [86]是否还包括其为获取企业设置针对第三方的排他请求权(right)的权力(power)?这种更强的财产权益,未必为交易发生所必要,主要影响交易价格——或持有企业在数据流转增值中分配到的份额。

此外,当前企业间数据权交易及大数据交易所运行面临的实际困难一是供需匹配不足,二是数据难以定价;二者笼统被说成“产权不明”的结果,但其实都源于机制设计匮乏。匹配不足源于搜寻成本过高,但即使对于传统物权体制而言,法律界权也只是信息成本降低的部分原因,国家建立公示登记系统和权利公示规则同样至关重要。解决数据市场的匹配难题,需要考虑围绕交易所机制建立企业数据资源的披露规则。定价困难同样是信息不足的后果。在缺乏客观定价依据的情况下,持有企业和获取企业对数据的主观估价差异很大,沟通议价会有极强策略性。打破困局的一个可能方案是小波斯纳和维尔设计的一种特殊的强制交易机制,即要求持有企业自行披露并登记公示本方数据资产的主观转让估价,并被强制与任何接受公示价格者完成交易,且通过基于估价收税的方式避免持有企业报价过高。[87]这既可保证持有企业回收成本并适当获利,也使其不会借财产权过度限制数据流动。以上机制如要落地,需要的法律界权反倒是增加持有企业的霍菲尔德式法律负担(disablements),而不是法律权益(ablements)。

更重要的是,科技企业投入数据处理活动,主要是为借助处理数据形成更强的算法决策能力,这种能力服务于企业建立并控制更长的价值生产链条乃至庞大多元的商业体系,而链条或体系中的生产活动又成为新的可控数据来源。[88]若这一闭环逻辑成立,企业生产数据资源和建设数据壁垒的激励都不会因缺乏额外的财产权保护而降低,企业间数据合作也可以持有企业对数据获取的实际控制为起点,通过契约、技术措施甚至企业兼并等方式完成。因此,若大型企业对数字经济的主导增强,法律对企业数据提供额外财产保护的必要性反会下降。

(三)“三重授权”还是“可携权”:用户与企业数据法律关系

企业数据权讨论中常被认为最为棘手的问题是企业持有数据中包含的用户个人信息“归谁所有”。[89]能够识别个人的数据有匿名化数据不能替代的经济价值,[90]但信息隐私理论强调个人信息是人格尊严的载体,不能仅被视为可交易财产。[91]然而即使数据本质是人格,不意味着个人有排他主张;即使是财产,也不意味着企业可排他控制。参考霍菲尔德框架,企业数据权涉及的个人信息界权问题,同样可落在主体间法律关系层面分析考虑。

我国法院对企业持有用户个人数据的基本界权安排被描述为“三重授权”:最初收集用户数据的企业需要先获用户授权,而后续企业为获取上述数据,既要得到当前控制数据的企业授权,还要再次获得用户授权。[92]“三重授权”试图保证数据持有企业与用户均能参与数据交易决策,以此在满足获取企业参与竞争需求的同时,也保护持有企业的投资预期,并关照用户信息利益。但正如“损害相互性”命题所提示,鉴于持有企业实际控制数据获取,法律在持有企业和获取企业之间界权,要么支持这种控制,要么削弱这种控制,总要有所取舍。理想来看,若二者就数据流转已达成一致,则此时“三重授权”规则专门赋予用户针对获取企业非授权不得获取的请求权(right),及针对持有企业非授权不转让的请求权,有助于企业将交易对用户产生的外部成本内在化,避免数据过度处理,也可使用户获得一定对价。这是告知同意规则的基本经济学理由,但其福利推论成立的重要前提是用户能够自主理性地行使权利。然而与初始收集授权相比,在数据持续流动的过程中,用户为有效完成每一次后续授权付出的边际认知成本只会不断攀升——理解后续数据处理后果的难度会越来越大。因此,“三重授权”为个体设定的请求权,其保护个体利益的效果恐怕有限。

现实中,“三重授权”更常被适用于获取企业无法得到持有企业授权一类纠纷。更确切地说,参考“微博诉脉脉”以及“微信诉抖音”等案,持有企业与获取企业间的纠纷往往发生在二者合作破裂时:持有企业意识到“企业授权不足”之说未必足够有力,便搬出“用户授权不足”以额外支持其恢复数据控制。在法律关系层面,用户二次授权规则意味着用户享有对应企业负担(liability)的权力(power),其若拒绝授权,便可在持有企业和获取企业之间建立“请求权(right)—义务(duty)”关系,即前者可请求后者不得获取数据。但若持有企业对用户能够施加较强影响力,则法律赋予用户的权力(power)会服务于支持而非节制持有企业的数据控制。

由此可见,“三重授权”的界权方案不但未必加强个人信息保护,也难以促进数据流动。另一种制度思路是当前流行的“可携权”(portability),即将“三重授权”变为“二重授权”:持有企业拒绝时,获取企业仍可直接基于用户授权获取数据。可携权的制度设计在各法域都尚处探索中,但一般来说,会包含用户要求数据迁移的权力(power),对应持有企业配合的负担(liability),而用户既可基于此权力设定获取企业要求持有企业积极配合数据迁移的请求权(right),也可仅设定获取企业有获得数据的自由(privilege),持有企业无请求权(no right)排除获取,但也无积极义务(duty)配合,或最多有不采取技术干预措施的消极义务。[93]需要注意的是,可携权看似是为用户赋权,但当持有企业意识到自身针对用户的负担加重时,其寻求与获取企业达成合作性数据共享安排的意愿也会越强。而企业间更多以合作形式处理数据,可能意味着用户个体对其数据的事实控制能力反而下降;[94]但基于服务改善,用户可以部分分享合作数据开发带来的新增价值。

 

五、公共数据体制与开放数据资源

 

企业数据界权对数据流动和共享的可能推动作用受限于主导企业控制数据资源的市场格局。而自政务信息化改革以来,公共机关处理并实际控制的数据资源(即“公共数据”)规模日渐庞大,一个看上去更有希望坚持开放性的数据资源池呼之欲出。公共数据体制应致力于建设、维护并扩大这一公共数据资源池,而政府对公共数字基础设施建设和运营的持续投入则是实现这一目标的基本前提。国家和地方立法都在为此提供规范依据。[95]但随着公共数据规模的累积和数据处理要求的提高,相关投入不断增长,主事者面临现实财政及公共责任压力,需要进一步证成公共数据资源的价值及其实现机制。这是当前政府急切推动公共数据加大开放的重要原因。明确公共数据权属,同样被视为开放的前提,因此颇受关注。但无论国有还是基于信托的产权方案,都有局限性;在正确理解公共数据价值的基础上,法律仍应结合机制设计作具体界权。

(一)国有资产还是公共信托

“权属决定流转”的认知在决策层面颇有影响力,以至于有地方立法甚至一度考虑将公共数据定性为新型国有资产。[96]毫无疑问,公共数据的处理过程与成果不应被私人控制乃至垄断;在法律上明确国有属性,确系有力的立场宣示。[97]但私人主体控制的数据,因其利用非排他性和处理活动强外部性,同样有高度公共性。而即使公共数据明确国有,其价值生产各环节仍有私人参与,相关法律关系还是要包含为私人设定法律权益的内容——例如个人请求公共机关更正数据错误的请求权(right)、企业就获授权处理的公共数据享有的自由(privilege),等等。这一层面如何具体界权,仅凭“国有”二字无法回答。甚至,在政务数据共享和开放仍存阻力的局面下,公共数据宣示为“国有资产”,还有被部门利益劫持以反对共享和开放(“严防流失”)之忧。

当前西方学界则提出了基于公共信托(public trust)规则建构数据资源公共权属的方案。[98]这与我国学界此前关注的用私人信托解决数据权属的主张有所不同。私人数据信托将用户作为个人信息名义所有权人,而企业作为受托人,对数据行使实际财产权,并对用户承担信义义务。[99]与此不同,普通法的公共信托安排中,信托资产以国家为实际所有人,但国家使用、处置信托资产又面临比纯粹国有财产更多约束,即要承担“保护全民共同财富的责任”。这种公共信托在美国法上常由司法裁判创制,用于维系包括水域、地下水、野生动物等资源的开放性,其核心是拒绝私人主体对相关资源的独占主张,并要求国家基于事前控制和事后监督确保资源优先或限定用于公共目的。[100]而数据公共信托的设想则是将数字经济各角落产生的个人数据都在法律层面归到公共信托之下,从而使其处理受控于作为受托人的国家设定的各类消极和积极用途要求。[101]

公共数据信托在理念上符合数据资源公共化的追求,但与其说这是一种权属安排,毋宁说还是对所有权问题绕行。我国学者批评私人数据信托主张时,指出其无法兼容于中国法律框架。[102]但移植私人数据信托的最大困难在于,英美信托架构经年累积成型的法律关系网络,[103]靠立法或司法都难以快速搭建起来。而公共信托在中国语境里是更加陌生的概念,其要害不在于是否确认国家所有者地位,而在于公共部门应被设定何种权益和责任,以维护并推进数据利用公共性。

(二)公共数据开放:价值与对价

“公共数据利用不足”“价值(收益)不够”,这类抱怨到底意味着什么?公共数据不是国有土地,固然不应仿效“好地越卖越少”的逻辑把有用数据“捂”在手中,也不能用“出让变现”“回收资金”的狭隘思路理解数据资源的价值所在。政府建设数字基础设施、开发公共数据资源,首要追求是提高治理效能和公共服务效率。这种价值很难量化,也不只落在具体受益人或群体头上,因此相关工作“吃财政饭”, [104]具备公共经济理性与政治伦理基础。实践中,政府主导的数字基建和政务电子化工程,在建设和运营阶段通常引入企业参与。政府可采用定向或有条件开放模式,允许合作企业接入获取公共数据,以此作为后者投入资金和技术的部分对价。在保证安全的前提下,这种模式既减轻公共财政负担,又可在相同数据资源上同时进行公共和私人价值开发,契合数据利用的非对立性。

但当前被抱怨更多的,是公共数据资源在政务场景外没能更广泛地被市场和社会主体获取并利用。数据安全之外,公共数据开放的关键考量是开放对价是否符合分配正义要求:公共数据获得私人利用越多,产生社会价值总量越大,但新增价值在私人主体和社会公众之间如何分配,是公共数据体制必须思考的问题。早前有观点认为,尽管数据定价困难,但通过公共数据开放获得数据的市场主体,至少应基于成本向政府支付数据授权费用。[105]而包括《深圳数据条例》在内,一些有探索性的地方数据立法都将免费开放作为原则,尽管也留出收费的制度空间。[106]

“免费”开放作为原则是合理的,因为“收费”并非实现数据公共价值的最佳机制。公共数据的价值与开发和使用方式密切相关,且肯定超出打包变现价格(更不用说“成本价格”)。收费开放带来的财政收入固然“聊胜于无”,却可能让官员产生只要收费就已实现价值或“完成任务”的错觉,助长短视。由于数据不像土地那样“越卖越少”,只要机制设计合理,数据开放应成为公共资源池“越做越大”的过程。具体来说,不应狭隘地将“公共数据开放”想象为仅有公共数据被私人主体获取的单向流动。近年来,欧美一些城市尝试要求获得授权参与城市交通系统运营的服务商将运营产生的用户数据提供给公共数据平台。[107]以相关经验为参照,公共数据开放未来完全可以探索在“不收取费用”的前提下,以企业向公共数据资源池回传自身运营数据,作为其获取公共数据的对价或“开放条件”。

与当前较常见的有条件开放模式相比,这种以“数据换数据”为核心交易条件的公共数据开放,也有利于简化有关开放条件的界权。从地方立法提供的框架来看,除了数据安全保障一类普遍而言不可或缺的合作条件外,立法还要求政府机关在事前审核乃至设定开放公共数据的具体用途。这种行为控制虽在理论上有利于保证开放数据利用的公共性,但却不切实际地预设了公共部门有能力在事前判断数据在开放后的最优利用方案。相比之下,若将“数据换数据”确立为公共数据开放的核心条件,在数据安全之外,公共机关可不对利用作过多约束。就关系界权而言,可明确获取开放公共数据的利用主体享有开发利用数据的自由(privilege),而公共机关在授权开放后无请求权(no right)作具体干预。这有助于增强市场和社会主体开发数据的自主性和能动性。而公共机关借助企业运营数据回流的要求,既可提高实际安全监管和追责能力,还可借此推动数据标准化,[108]并实现公共数据资源池不断扩大这一基础性公共利益。相比于受困垄断与定价难题的私人数据市场,公共数据体制借此可能形成流动性优势,或至少提供一种额外的数据流动渠道,以“增量”撬动“存量”。

现实中,公共部门其实已发起过性质类似、形式有别的数据合作,但效果有限。通常认为这是由于公私双方均以积极获取对方数据、又借隐私和安全之名“捂住”己方数据为占优策略,从而陷入合作困境。控制较大规模数据资源的主导企业,贡献公共数据资源池的意愿确实有限。但通过公共数据开放降低数据获取成本,对中小或初创企业是有吸引力的。通过扶持、聚拢中小企业,公共数据体制也有望建立更好的数字经济生态。

地方立法目前探索为数据开发成果明文确权,[109]这也应适用于企业处理开放公共数据后获得的成果。基于维持公共数据资源开放的总原则,此处有关“财产权益”保护的规范表述,对应何种界权,仍有可明确空间。特别是,私人主体就利用公共数据资源享有的权益,不应有排他性。例如,政府将数据开放给企业时,虽对企业利用的自由(privilege)负担无请求权(no right),但仍应有将相同数据自行开发或对其他主体开放的自由(privilege),而企业的权益则不应包含主张其他数据开发者不得开发利用相同数据的请求权(right)。

 

六、结语:“未行小径”, [110]还是“条条大路”

 

本文借助霍菲尔德框架,尝试在实质政策考量的基础上,对数据界权问题进行规范分析,以将法律理论的形式和现实维度尽可能结合。现代法律在运行过程中离不开概念工具,但概念的价值是帮助组织思路(“how to think”),而不应限定结论(“what to think”)。[111]有关概念的思辨若不紧密结合功能视角,“正本清源”的探讨就容易“不接地气”, [112]甚至沦为穷究伪问题。

正如数据价值开发须以开放为原则,数据法建构同样要打开思路。优先考虑走熟悉的大道,是务实的好习惯,但不应因此无视另辟蹊径的可能。自上而下的所有权或其他财产权属模式并不适合作为数据资源的制度性界权方案。《民法典》通过第127条的留白,即“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,实际上提供了充分空间,允许数据的界权思路跳出传统财产权体系的窠臼。无论是个人数据、企业数据还是公共数据,有实际意义的法律界权都不是在地上划线分清“你的”“我的”,而应逐步搭建、并灵活调整多元主体之间的法律关系网络。如此法律关系网络架设在真实世界的市场资源和权力配置格局之上。而法律作为各类行为规制力量中最具能动性的一种,[113]则应通过一次次关系界权,有意识地在边际上探寻可以撬动现状、推进开放的机会。

(责任编辑:章永乐)