新闻详情

明确界定数据产权 推动建立大数据交易规则

 二维码 80
发表时间:2016-04-15 13:27作者:王融来源:中国征信


作者:王融,中国信息通信研究院互联网法律中心副主任,高级工程师,长期从事电信、互联网立法与监管政策研究。


清晰的产权归属是交易的前提与基础。然而,当前关于数据的产权归属问题还远未达成共识,特别是在去除个人身份属性的数据交易中,到底是数据主体(产生数据的个人)还是记录数据的企业拥有数据的所有权,各方莫衷一是。笔者提出:原始/底层的个人数据,所有权归用户本人;而在原始数据基础上,经过充分匿名化获得的数据集,企业享有限制性的所有权。对于后一类数据的交易与共享,建议支持研究大数据应用的匿名化技术,对数据交易探索实施专门的安全风险评估,同时对数据交易活动做出相关限制性要求,特别提出透明性方面的要求。


当前关于数据所有权的两种观点


大数据时代,数据的采集、分析与利用逐渐构成企业运营的核心。除了自身提供服务过程中获得数据外,企业对数据的需求进一步向外围扩展,以买卖、共享为特征的数据交易日益频繁,成为引人注目的商业现象。2015年4月15日,贵阳大数据交易所挂牌成立,成为我国首个专门提供数据交易的服务平台。7月22日,武汉也成立东湖大数据交易中心。


从数据源看,大数据类型丰富、来源广泛,其中既包括与个人紧密相关的数据,如行车位置数据、网络交易数据、健康医疗数据等;也包括与个人属性完全无关的数据,如天气气象、环境监测、地理测绘数据等。无论是哪一类数据,如作为交易对象,就必须有清晰的产权界定。《中关村数海大数据交易平台规则(征求意见稿)》提出“交易数据应是通过合法渠道获取,权利清晰无争议”;贵州大数据交易所制定的9项交易原则,其中之一是 “数据买卖双方要保证数据所有权”。在2015年4月正式运营后一个月内,贵阳完成了11笔数据交易。但对于数据所有权如何界定,目前各方并没有达成统一的认识。


其中最具有争议性的,是基于原始的用户数据,在去除个人身份属性之后的数据产权问题。如何划分数据主体(数据主体:产生数据的个人用户。)与数据控制者(数据控制者:确立数据收集目的,面向个人收集数据的企业、组织等。)的产权边界,各方莫衷一是。


有人主张,应当对用户数据设立“财产权利”,强调个人对数据享有的优先财产权利,并以此对企业的数据利用、交易行为予以制约。其认为:数据交易产生的数据商品化现象将带来对个人隐私的极大伤害,并产生难以预计的信息安全问题,大范围失控的数据交易也将为违法活动提供温床。因此提出:对数据这一新型生产资料,在法律上另设一财产类别,或可称之为“数据财产”,与现有法律认可的无形财产分开。这一新型财产权利的设立应当重新定位价值顺序,权利的出发点是人而非物,数据主体(即产生数据的本人)应拥有优先的权利。无独有偶,在围绕我国用户追踪技术(Cookie)第一案的讨论中,有学者也认为,要彻底解决未来数字经济的难题,法律有必要承认用户个人对数据的财产权利,进而对互联网公司的行为加以约束[[[]胡凌,朱烨案界定网络隐私,《财新周刊》2015年06月24日。


另一种观点则代表产业界立场,认为数据控制者(即确定收集目的,面向用户个人收集和使用信息的主体)对数据拥有绝对的所有权。部分互联网企业认为,如果用户数据没有被采集,不以数字化的形式存在,根本就不存在数据权利一说。况且,企业为数据的采集和管理投入巨大成本,其合法权利应当得到法律认可。


显然,上述两种观点有着不同的价值取向,前者以用户个人为优先项,通过用户行使个人数据财产权,间接地对企业数据交易活动起到限制作用;后者则从产业的立场出发,希望明确企业对于数据的完全的、绝对的所有权,为企业的数据处理活动松绑,最大程度地减少来自外界的干预。


讨论数据所有权的前提是承认数据具有财产属性


尽管上述两种观点在结论上分道扬镳,但二者有一个共同的认知起点,即承认数据的财产属性(或者说基于数据可以产生财产权益),这正是讨论数据所有权的前提。


依据元照法律词典解释,所有权是指:一个人享有的对某物(thing)独占性的支配权,是对物的占有、使用和以出租、出借、设定担保、转让、赠与、交换等方式予以处分等权利的集合,也是法律承认权利人对作为权利客体的物(包括有形财产与无形财产)所享有的最充分、最完整、最广泛的权利。


尽管我国《物权法》中的“物”仅指有体物,包括动产和不动产。但我国法律不排除权利可以作为物权的客体,例如知识产权中的财产权利等。也就是说作为最重要和基本的物权——所有权,可以以财产权利作为客体。因此,如果承认在数据之上具有财产权利,便有了讨论数据所有权的法律基础。而无论是市场实践还是法学理论,我们看到,个人数据具有财产属性已经成为不可逆转的历史潮流。


从市场实践看,个人数据的商品化充分说明了其具有财产性质。这种财产性不仅体现为个人数据具有使用价值,更体现在其转让价值得到了市场的认可。2014年4月,荷兰学生肖恩·巴克尔斯建立一个拍卖网站来专门出售自己的个人信息,信息内容包括他的住址、医疗记录、个人日程安排、电子邮件内容和所有社交网络上交流的信息,其中网上交流信息包括他的在线聊天记录、消费偏好和浏览器历史记录,拍卖网站吸引了超过40个买家前来竞拍,最终肖恩·巴克尔斯以350欧元的价格出卖了自己的个人信息。此外,基于个人数据的财产价值,当前甚至出现了一种新的商业模式,即用户可以按一定的价格将个人信息出售给服务商,之后服务商寻找广告主或者其他数据需求方将用户数据变现。


若我们继续深究下去,就会发现很多向用户免费提供的互联网商业模式实际上都建立在以个人数据为对价的基础上。只不过相较于出售个人数据获得直接对价这种显性的价值体现方式,互联网商业模式中个人数据的财产价值体现是隐形化的。以搜索引擎广告联盟商业模式为例,联盟网站获得广告费的基础是联盟能够利用用户的搜索历史cookie记录,向用户投放个性化的广告。因此,尽管用户免费使用了搜索引擎,但实际上是用户的搜索记录等行为数据反哺了搜索业务,是搜索业务得以存续和发展的价值源泉。


而从法律的视角来看,现代人格权的发展已具备为数据商品化提供法律支撑的理论基础。个人数据是个人数据保护法保护的对象,个人数据权利的来源是人格权。传统上,人格权区分于财产权,人格不能像财产一样被利用和交易。然而在市场经济与现代商业的推动之下,人格权不仅具有精神利益,而且也具有财产利益的观点,在法学理论乃至实践层面已得到普遍认可。最典型的即肖像权。明星、公众人物通过合同方式转让个人的肖像使用权,并从中获得财产收益,已成为司空见惯的商业现象。对此我国现行立法也已提供了法律支撑。《民法通则》第100条规定,公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。本款规定从反向确认了肖像权具有财产权益。在这一点上,个人信息权与肖像权并无本质的不同。二者之间的主要差别仅在于:虽然每个人都享有基于本人肖像的财产权益,但这种财产权益的实现还有待于市场的认可,换句话说,并不是每个人都有机会主张自己肖像权的财产权益,仅仅明星、公众人物等少数群体有机会予以主张;但从个人信息而言,不论是明星,还是普通百姓,市场均认可其个人数据的商业价值,理论上,每个人都能有行使其对个人数据财产权益的可能。


因此,承认个人数据的财权权益已具备相应的法理基础,只是在规则层面,还需要在具体的法律制度中进一步明确个人数据权中的财产利益,并对数据商品化利用设立相应的法律规则。


界定数据所有权的思路


在承认数据具有财产利益基础上,出现了上文所介绍的两种所有权观点,但二者均有偏颇之处。结合我国法律规定、国际经验和当前大数据交易实践,讨论用户的数据所有权应当至少分为两种情况。


对于个人数据,用户享有所有权


根据个人数据保护法,数据主体对于个人数据具有完整的控制权利,这种控制权利主要体现为以个人的意志对个人数据的提供、使用、处分做出安排。基于此,个人数据所体现的财产价值也应归于数据主体本人享有和控制。


同时需明确的是,我国法律禁止公民个人数据的出售行为。2012年《全国人大常委会关于加强网络信息保护的决定》规定:“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”人电子信息。,我国法律禁止公民个人数据的出售行为。20因此,在大数据交易中,应严格依法禁止对个人数据的交易行为。


对于匿名化数据,数据控制者享有限制性所有权


对数据进行匿名化处理,一定程度上切断了用户与匿名数据之间的法律联系,因为用户对于数据主张权利的来源是个人数据保护法。在数据充分匿名化后,该数据已排除在个人数据保护法适用范围之外。这也是国内大数据交易合法性的最基础逻辑。正如贵州数据交易所强调:“交易所交易的不是底层数据,而是清洗、分析、建模之后的数据结果。”


承认企业对于匿名化数据集享有所有权,还有三方面原因:一是企业对于数据的记录投入了巨大的技术、网络、人力、管理成本。在法律上,应当对企业的投入与成本做出平衡考虑;二是赋予企业对匿名化数据集的所有权,有利于明确数据的产权边界,增加数据交易的法律稳定性与可预期性,为企业利用数据创造财富提供保障。三是有利于规范数据交易市场,遏制数据的非法黑市交易,让数据在有序可控的规则之下充分流动。


对匿名化数据行使所有权遵循特定限制的理由


从匿名化技术以及大数据发展趋势而看,数据匿名化是一个相对概念。在可获得的数据源越来越广泛、数据算法越来越强大的形势下,匿名化的数据集存在可重新识别出用户身份的可能性。因此从保护隐私与保障信息安全的原则出发,企业对匿名化数据集在行使所有权时,应当遵循特定限制。国际上针对大数据交易规则的最新立法与政策讨论,也围绕着数据交易的限制措施。核心是让企业的数据交易活动有所约束:


美国白宫及联邦贸易委员会(FTC)2014年分别发布《大数据:抓住机遇,坚守价值》、《数据经纪行业,呼唤透明与问责》,两份报告均表达了美国政府对于数据交易缺乏透明性的关切,并建议国会应当针对数据经纪行业专门立法,要求从事数据交易的企业保证一定的透明度:1)向用户公示其获得(包括购买、共享)数据的渠道、数据的类型,并为用户提供退出机制;2)要求数据交易方披露交易的数据类型,以及基于大数据分析而对消费者特征标签化的处理活动。3)对于健康医疗等敏感信息的交易活动,尤其需要提升透明性,用户必须充分知情并明确表示同意。


日本今年8月28日通过《个人信息保护法》修正案,对于大数据交易做出更新规定。新法案允许企业向第三方出售充分匿名化数据,但同时提出了相关义务要求:1.匿名化后的数据不能识别特定个人,且不能复原。企业必须对数据匿名的方法采取保密措施;2.匿名后的数据不能够与其他信息进行比对、参照,以实现身份识别的功能;3.企业应当公布匿名化的数据所包含的原始数据的要素。


英国信息专员办公室2014年发布报告《大数据与数据保护》,提出充分匿名化数据不适用于个人数据保护法,但企业应当对数据匿名化及后续利用的隐私及信息安全风险进行评估。如果该风险较高,企业在对数据进行交易利用时应当有一定的限制,例如缩小交易对象范围或者对交易对象做出合同约束等。


从国内实践而看,目前更多地强调了企业对于匿名化数据拥有所有权,而对企业行使所有权的必要限制缺乏关注,更没有提出对数据交易透明性的要求。贵阳数据交易所成立一个多月便完成了11笔数据交易,除第一笔交易披露了交易双方主体外,其他各笔交易的主体、交易的数据类型、数据渠道公众均一无所知。从交易所网站显示的信息而看,交易所可交易的数据类型多达30种,其中包括医疗、教育、电信等高度敏感的数据领域。数据交易存在的隐私与信息安全风险堪忧。在明确企业对于匿名化数据享有限制性所有权的前提下,应当尽快通过立法明确具体的限制性要求,特别是透明性、责任性方面的限制性要求更显得尤为迫切。


结束语


在大数据时代,人与数据的关系应当扩展而不是压缩,唯有此才能把握历史性机遇,推动经济发展与社会进步。解决数据产权问题,一方面要着眼于明确产权归属,为数据交易的顺利开展提供稳定的法律基础;另一方面,仍要关切数据交易带来的隐私与信息安全风险,对数据交易活动做出相关限制性要求,特别提出透明性方面的要求。


会员登录
登录
我的资料
留言
回到顶部