【摘要】数据来源者权利在我国为“数据二十条”政策所规定,在欧盟则为《数据法(提案)》所规定。这一权利确立数据来源者对于其数据的知情同意、获取、复制、转移等权利,意图实现数据公平、数据市场流通和数据的互操作性。但数据来源者权利在正当性与可行性方面均存在困境。“数据二十条”在法律化过程中,应以现有成熟法律体系为基础。当数据来源者为个人时,应首先适用个人信息保护相关制度。当数据来源者为非个人主体时,应注重数据市场秩序公平,构建数据信任共享与汇聚数据市场,打造多样性的数据互联。如果未来法律引入数据来源者权利,这一权利应被视为一种程序性、非绝对性、举报建议性权利,法律可以利用这一权利促进数据来源者与数据持有者之间、不同数据贡献者之间的沟通治理,而非将其泛化为实体性、绝对性、可诉性权利。
【关键字】“数据二十条”;欧盟数据法;数据公平;数据市场;互操作性
一、问题的提出
数据来源者权利已被引入我国和欧盟等国家的政策与法律中。我国于2022年底发布的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)第二部分第七款提出,要“充分保护数据来源者合法权益,推动基于知情同意或存在法定事由的数据流通使用模式,保障数据来源者享有获取或复制转移由其促成产生数据的权益”。无论是数据加工使用权还是数据处理者使用数据和获得收益的权利,都必需以“保护公共利益、数据安全、数据来源者合法权益”为前提。[1]欧盟委员会于2022年3月发布的《数据法:关于公平访问和利用数据的统一规则的条例提案》(以下简称“《数据法(提案)》”),更是将数据来源者权利规定为一种法定权利,详细规定了数据来源者知情同意、访问、转移其数据的相关权利。[2]只是《数据法(提案)》所使用的术语略有不同,使用了数据“用户”而非我国的数据来源者概念。
数据来源者权利对法学理论与法律实践提出了一系列问题。就法理而言,这一权利是否具有正当性基础?就制度目标而言,这一权利的设置是为了保护和促进数据来源者对于其数据的公平利用,还是为了促进数据要素市场的数据流通,抑或为了促进数据的互操作性?设置这一权利是否可以实现这些目的,还是也可能带来相关问题?就立法实践而言,我国应当如何将“数据二十条”的政策法律化?我国是否应当追随欧盟《数据法(提案)》和相关法律的步伐,也在法律上设置数据来源者的知情同意、获取、复制、转移等权利?如果确立数据来源者权利,应当如何理解这一权利的性质和特征?
鉴于我国已经在“数据二十条”这一数据基础制度中引入这一权利,而且欧盟等国家和地区也已经对其进行立法,本文将对数据来源者权利进行全面分析,阐述这一权利的正当性基础与制度目标、存在问题与可能解决方案。[3]本文指出,数据来源者权利在正当性基础与实现制度目标方面具有一定合理性,但也存在重大困境。数据来源者权利在法律化过程中,应当尊重已有成熟立法,即使在法律文本中引入这一权利,也应将其视为提升产品服务、促进数据信任、强化数据治理的程序性、工具性、举报性权利,而非实体性、绝对性、可诉性权利。
二、数据来源者权利的背景、内容与目的
我国的“数据二十条”提出并确立了数据来源者的知情同意、获取、复制、转移等权利,但并未对这一权利进行详细说明。由于这一权利的确立受到欧盟相关法律特别是《数据法(提案)》的影响,因此本部分将结合欧盟的相关立法,对数据来源者权利进行阐述。
(一)提出背景
数据来源者权利的提出,与数据价值的凸显与数据集中密切相关。数据的价值毋需多言,其对数字经济的影响已经被各国广泛认可,我国也明确将其作为土地、劳动力、资本、技术之外的第五类生产要素。数据集中指的是数据主要集中于少数数据处理者或数据控制者,特别是少数大型科技企业。在关于数据法律问题的研究中,不少观点指出,个体与中小商家往往很难访问和获取数据,也很难将数据转移到第三方企业。数据集中的此类问题将造成“锁定效应”(lock-in effect),妨碍数据的公平利用与数据的有效流通。[4]
各国首先在个人信息保护领域确定了数据来源者权利。在各国的个人信息保护立法中,个人的访问权或查阅权被认为是基础性权利。[5]例如在20世纪70年代的公平信息实践原则中,就确立了个人访问原则:“对于档案保存机构以个人可识别形式保存的有关信息,必须确保个人有权查看和复制”。[6]欧盟宪章也把个人访问权作为其明确规定的基本权利。除此之外,个人信息的更正权、删除权等权利也成为个人信息权利的一部分。及至欧盟的《一般数据保护条例》,又引入了个人数据的携带权。该条例第20条规定,数据主体有权获取“经过整理的(structured)、普遍使用的(commonly used)和机器可读的(machine-readable)”的个人数据,有权“无障碍”地将此类数据从收集其数据的控制者那里传输给其他控制者。”2021年,我国个人信息保护法正式生效,同样囊括了此类权利。
数据来源者权利可以被视为个人信息访问权与携带权的拓展。相比个人信息主体的广泛性权利,非个人的数据来源者并无更正、删除其数据的权利。但在知情同意、获取、复制、转移等权利方面,数据来源者权利与个人信息的知情同意权、访问权、携带权类似。其基本理念是,面对超大型数据企业或数据控制者,非个人主体与个人面临同样的数据无法访问利用的难题,因此在非个人信息领域也有必要引入一般性的数据来源者权利。欧盟首先在“纵向”的某些特定行业和特定领域确定了用户对于数据的访问权,例如在机动车领域,欧盟规定独立企业有权从汽车制造商处获取提供汽车维护和维修服务所需的技术信息,[7]2022年通过的欧盟《数字市场法》规定,针对被界定为“守门人”(gatekeeper)的大型平台企业,商业用户有权访问他们在使用守门人平台时生成的数据。[8]及至《数据法(提案)》,这一权利被进一步一般化,成为了一种适用于所有领域的“横向”权利。
(二)内容与性质
《数据法(提案)》首先区分和界定了不同的权利义务主体。其中权利主体为数据“用户”,主要指的是“拥有、出租或租赁产品或接受服务的自然人或法人”。义务主体则主要包括数据持有者和数据接收者。其中数据持有者为“通过控制产品和相关服务的技术设计,有权利或有义务提供特定数据的法人或自然人”;而数据接收者则“数据持有者向其提供数据”的第三方。[9]
《数据法(提案)》首先规定,用户对其数据具有知情同意权,“数据持有者只能根据与用户签订的合同协议,使用产品或相关服务产生的任何非个人数据”。其次,用户具有对其数据的访问权,“如果用户不能从产品中直接获取数据,数据持有者应及时、免费并在可行的情况下连续、实时地向用户提供使用产品或相关服务产生的数据”。[10]再次,用户对其数据具有转移性权利。“应用户或代表用户的一方的要求,数据持有者应向第三方免费提供因使用产品或相关服务而产生的数据,不得无故拖延,数据质量应与数据持有者可获得的质量相同,并在适用的情况下连续实时提供”。[11]最后,与数据用户的权利相对应,产品制造和服务应当具有可访问性。当企业“设计和制造产品以及提供相关服务时,应确保在默认情况下用户能够轻松安全地访问其产生的数据,并且在相关和适当的情况下,用户可以直接访问这些数据。”[12]数据持有者则“有义务向数据接收者提供数据”,应当“以公平、合理和非歧视性的条件和透明的方式提供数据。[13]
从性质上看,欧盟《数据法(提案)》中的数据来源者权利接近准所有者权利。欧洲的法律与政策研究者从2010年左右开始研究对数据的财产性赋权。[14]2017年,欧盟委员会发布“构建欧洲数据经济”倡议,提出了以用户为中心的数据生产者权利。[15]根据这一倡议,数据生产者将被赋予排他性的所有权。《数据法(提案)》虽然没有完全沿用这一倡议,但其使用的数据用户的概念与数据生产者概念仍然保持了一定的延续性,其权利内容与数据所有权密切相连。例如其第4条第(6)款规定的“数据持有者只能根据与用户签订的合同协议,使用产品或相关服务产生的任何非个人数据”,实际上赋予了数据来源者对其数据的准所有权。只不过这种权利只能针对特定的数据持有者或处理者,而不能成为一种对世权(in rem right),可以针对不特定主体。[16]
(三)制度目的
以《数据法(提案)》为参照,可以发现数据来源者权利具有多重制度目的。首先,这一权利意在促进数据的公平性。《数据法(提案)》的“解释性备忘录”指出,确立数据来源者或数据用户权利,其“目的是确保在数据经济的背景之下行为主体之间能够公平分配数据价值,并促进数据的访问和使用”。在欧盟《一般数据保护条例》中,个人数据保护就蕴含了矫正个人与数据处理者之间信息能力不平等,实现公平信息实践的目的。《数据法(提案)》进一步指出,赋予用户以数据访问权和利用权,可以“在非个人工业数据的新浪潮和物联网相关产品激增的同时,确保数据价值的分配更加均衡”。[17]
为了促进数据公平,《数据法(提案)》将数据视为需要单独规制的条款,例如在签订购买、租用或租赁产品或相关服务的合同之前,企业就应以清晰易懂的格式向用户告知“使用产品或相关服务可能产生的数据的性质和数量”;“数据是否可能连续实时生成”;“用户如何访问这些数据”等信息。[18]在合同签订过程中,提供合同条款对一方应当提供协商机会并能够被对方影响,在合同协议中,需要包含数据相关条款。在合同签订后,某些单方条款将被推定为不公平条款。例如,当某些条款“以严重损害另一缔约方合法利益的方式访问和使用另一缔约方的数据”,或者“阻止被单方面强加条款的一方在合同期间使用该方提供或生成的数据,或限制该数据的使用,使该方无权使用、获取、访问或控制该数据或以适当的方式利用该数据的价值”,或者“阻止被单方面强加条款的一方在合同期间或在合同终止后的合理期限内获得该方提供或产生的数据副本”时,此类数据相关条款都将被认定为不公平条款。[19]
其次,数据来源者权利也意在促进数据流通与数据市场。《数据法(提案)》的“解释性备忘录”指出,数据被少量企业控制和锁定,这不利于数据的流转,设置数据来源者权,可以为“数据的再利用提供机会”,“释放数据潜力”。例如,在售后市场中,当一位用户购买车辆或某项电子产品,如果用户无法访问该车辆或产品的数据,则用户的售后服务将完全依赖产品出售者。相反,如果用户有权获取和转移其数据,则其他企业也将可以参与到该售后市场的竞争中。因此,《数据法(提案)》的“重述”部分指出,“本条例的目的应理解为促进开发创新的产品或相关服务,激励售后市场的创新,利用数据激励全新服务的发展,包括基于各种产品或相关服务的数据”。[20]在数据持有者拥有市场力量或垄断力量的情形下,这类问题将更为严重。在此类情形下,不仅数据产品的售后服务二级市场难以产生,而且数据产品的一级市场也可能面临垄断,用户将面临更严重的数据锁定效应,数据来源者权利被认为可以有效缓解其中可能存在的数据垄断问题。
最后,数据来源者权利也意图促进数据各参与方的互操作性。[21]此前,欧盟已经在若干立法中关注数据的互操作性问题,例如欧盟《非个人数据自由流动条例》规定,非个人数据应当可以在欧盟的任何地方存储、处理和传输,为降低云服务之间的可切换性问题,[22]数据处理服务提供商应引入行为准则(code of conduct)来促进云服务之间的数据交换。欧盟《数据治理法》和《数字市场法》也对数据的共享与互操作性作出了某些规定。不过,《非个人数据自由流动条例》要采取企业自我规制的方式;《数据治理法案》旨在促进个人和企业自愿共享数据并协调某些公共部门数据,《数字市场法》则仅针对某些被确定为“守门人”的超大型平台。相比这些法律,《数据法(提案)》的用户访问与利用权进一步拓展了数据互操作性的适用范围。《数据法(提案)》的第28条和第29条还对数据的互操作性要求作出了详细规定。
三、数据来源者权利的困境与反思
如何看待数据来源者权利?数据来源者权利是否具有正当的权利基础与制度功能?对数据来源者权利进行检视,可以发现这一权利存在多种困境。
(一)数据公平
从公平的角度出发,可以发现数据来源者权利未必符合数据公平的原理。在数据来源者权利提出之前,法律并不认可所有者对附属在其动产或不动产上的数据来源者权利。例如,当他人对个人土地、车辆、水杯进行拍照,只要此类行为不侵犯他人隐私,此类行为就属于合法行为。[23]事实上,即使对物品进行拍照并进行商业化利用,此类行为也并不违法。例如,艺术家对私人房屋和花园进行拍照或素描并出售其作品,并不需要向房屋主人支付费用。法律对于数据来源者的保护主要限于特定情形。例如,当数据来源者对有价值的商业数据采取保护措施,法律对其进行商业秘密保护;或者当数据来源者对其数据进行创造性利用或大规模收集,法律对满足相应条件的数据进行著作权、专利权、特殊权利数据库(sui generis right)等保护措施。[24]
法律之所以拒绝对数据来源者赋予一般性权利,是因为数据一般位于公共领域。数据具有非排他性、非竞争性、非消耗性等特征,[25]赋予人们对于非隐私性数据或非特定保护数据的收集与利用权,有利于数据的共享流通。相反,如果赋予数据来源者对其数据的排他性权利,则社会中将产生大量侵权行为,违背数据的公平合理使用。而法律之所以对数据收集者与加工者进行知识产权等法律保护,主要是为了激励数据收集者与处理者对数据进行创造性利用,[26]或者保护与创造者相关的道德性权利。[27]在知识产权法律体系中,法律保护数据加工者而非数据来源者,甚至限制数据来源者对其数据表达方式的利用,被认为有利于促进数据的公平合理利用。
数字技术的兴起改变了数据的收集模式,以互联网和科技企业为代表的数据收集与处理规模巨大,但数据公平的基本原理并未改变。数据生产、数据收集与利用固然离不开数据来源者,但数据来源者更多是被观察对象,其本身并未直接投入劳动、资金和创造性工作而产生数据,其对数据生产的贡献大多是附属性的,对数据生产的直接贡献往往来自数据控制者。[28]例如,人们可能在使用智慧家居产品中附带产生家电数据;在使用和租用车辆中附带产生车辆数据,直接和有意识投入劳动、资金和研发的往往是拥有的智能产品企业。而且,在有的情形下数据来源者可能是大型企业,而提供数据服务的数据控制者反而可能是一般企业。无论如何,对未提供直接贡献的数据来源者进行赋权,对提供加工利用服务的数据持有者施加相应义务,并不符合数据公平的基本原理。[29]
(二)数据市场
欧盟自创立之初,就以构建共同市场(common market)、消除商品流通壁垒、促进商品自由流通为其己任。在数据问题上,欧盟更是颁布了一系列战略与政策,例如欧盟统一数字市场战略(single digital market strategy)、[30]迈向共同的欧洲数据空间(towardsa common European data space)。[31]《数据法(提案)》的另一目标是,通过对数据来源者赋予知情同意权、访问权和利用权,数据可以被有效剥离,成为一种可以自由交易的数据产品,但实现这一目标也存在困境。
首先,数据来源者的数据很难被有效剥离。为了保证数据可以被完整和有效剥离,《数据法(提案)》对于数据的访问与转移提出了较高要求,例如要求“数据持有者应确保提供给第三方的数据与数据持有者本身有权从产品或相关服务的使用中获得的数据一样准确、完整、可靠、相关和最新”数据。但这一要求其实很难被满足,因为要提供“准确、完整、可靠、相关和最新”,数据持有者就必须持续性地对数据来源者的产品进行监控,实时更新相关数据。当数据来源者或数据用户不再使用数据持有者的服务时,或者转向第三方寻求服务时,原数据持有者将很难提供有效信息。这就像当员工从原用人单位离职时,如果法律要求原用人单位仍然必须向新用人单位提供该员工的有效信息,此类信息的质量必然要打上问号。特别是当新用人单位是原用人单位的竞争对手时,此时更难指望原用人单位可以提供“准确、完整、可靠、相关和最新”的信息。
其次,即使数据持有者可以提供“准确、完整、可靠、相关和最新”的数据来源者数据,此类剥离也未必能有效促进数据市场。数据与一般产品或生产要素具有较大区别,一般生产要素或产品常常具有标准化、通用性特征,例如资本、土地、工业商品的价值都较为容易确定,其价值也能为市场中庞大的群体所认可,可以在产品高频度流通的“厚市场”(thick market)中进行交易。此时对这些要素或产品进行剥离,可以较为便利地将其适用或嵌入到新的生产与消费场景中。但数据具有非标准化、场景化等特征,数据的价值往往深嵌于某一产品的生态系统之中,其市场受众往往限于合作双方或少数主体,只能在“薄市场”(thin market)中流通。[32]对数据进行剥离,往往就意味着数据的失效。例如,某商家在使用电商平台A时产生了浏览量、停留时间、购买习惯等大量数据,此类数据尽管对于该商家具有重要意义,但这些数据一旦转移到电商平台B,其意义可能就非常有限。因为电商平台B可能拥有完全不同的用户量、用户习惯和商业模式。除非电商平台A和电商平台B进行深度合作和生态融合,重新在电商平台B上分析和挖掘剥离数据的意义,否则此类数据的剥离和转移对商家并无多大意义。
有观点认为,清晰的产权界定可以降低信息费用,减少各方的信息搜寻与认知成本,促进产品自由流通。但相关论述忽略了市场交易的复杂性与数据的特征。[33]首先,市场与社会普遍存在很高的交易费用。高额交易费用的存在,使得法律规则体系呈现多样化,财产规则并不一定具有优先性。卡拉布雷西(Guido Calabresi)和梅拉米德的经典研究指出,在交易费用较高的情形中,基于事后政府确权的责任规则就比基于事先财产化确权的财产规则更合理。例如,在车辆交通侵权中,人们很难对车辆事故进行事先协商,事后通过政府或法院进行责任判断,更为合理现实。[34]在数据的例子中,数据的非标准化、场景依附性特征使得其面临的交易成本更高。由于数据具有这类特征,现实中关于数据的规则往往采用责任规则和共享规则,而非财产规则。例如,当数据企业为数据来源者提供的产品因为数据无法访问而出现缺陷时,数据来源者就可以采用责任规则,对产品缺陷提起侵权责任之诉。[35]而当数据与产品质量无关,此时数据企业则可以采用共享规则,自由地收集或使用任何未保密的数据。[36]
(三)互操作性
利用数据来源者权利促进互操作性,在有的情形下的确会带来正面收益。例如,互操作性可以促进产品兼容,让用户可以有效地利用数据与产品;互操作性还可能产生网络效应(network effect)。例如电话系统、网络底层架构的互操作性,使得电话与网络成为一个规模庞大的应用系统。有大量研究表明,一定标准化程度的互操作性如果应用得当,不仅对当事人双方有利,而且可能对更大的宏观系统产生正面作用或所谓的“溢出效应”(spillover effect),[37]成为一种促进数据与信息互联互通的公共产品。
但强制的互操作性也存在若干困境。首先,互操作性的正面收益可能随着用户异质性的增加而降低。当用户的需求越呈现同一性,其互操作性和互联互通的正面收益就会越高,例如电话通信、网络物理层与逻辑层的互联,[38]或者一个国家高速公路的互联,其标准的统一会产生重要意义。但是随着用户的需求呈现异质性,互操作性与互联互通的正面收益就会降低。例如在网络架构中,应用层的各类网站、APP就呈现了一定程度的独立,到了内容层的各类社区、微信聊天群,其封闭性就越明显;在道路交通中,各类街道巷陌、乡间小路也标准不一;在智能家居产品中,不同厂家的智能家居产品就未必有类似电话通信、互联网的互联互通需求。总之,如果互操作性并不涉及底层架构或基本需求的互联互通,不同产品或系统之间的互操作性效用就会大幅降低。[39]在此类情形中,用户更注重的是对其熟悉或周围系统的访问,至于不同系统之间的互操作性,用户并不太在意。如果不同厂家的互操作性成本高昂,或者具有隐私泄露、安全隐患等问题,那么利用数据来源者权利促进互联互通,就会得不偿失。
其次,互操作性的增强意味着产品标准的趋同与产品多样性的减少,在有的情形下可能导致消费者福利降低。[40]在数字市场中,不同的企业可能发展出自身不同的数据传输端口与数据传输标准,为用户提供不同的服务。对于消费者福利而言,差异化的产品与服务可以满足不同消费者的不同偏好,促进企业之间的差异化竞争。例如,苹果的iOS系统是苹果公司为其移动设备所开发的专有移动操作系统,由于其针对性和封闭性,苹果的iOS系统的安全稳定性较高、运行效率较高;而安卓系统是一种开源代码的操作系统,安卓系统的开放性和兼容性较高,但其稳定性较差、运行效率较低。如果法律强行在苹果和安卓系统之间选择某种操作系统,以促进数据来源者在不同系统之间转换,那么消费者将反而失去多样化的选择。
最后,互操作性还可能造成新的锁定效应,影响市场产生新的产品标准与商业模式。互操作性往往被认为有利于消除锁定效应,因为其通过标准的统一化,可以让用户在不同的产品与系统之间切换。在数据的例子中,这意味着用户可以将储存在一个数据持有者中的数据无缝迁移到另一个数据持有者那里。但悖论的是,强制的互操作性将会导致某种单一标准的出现,导致对标准的“锁定”。[41]例如,如果法律要求所有的手机充电接口都必需为Type-c接口,那么手机企业的充电器接口将长期被锁定在这一标准中。未来即使某个企业发现,其他的手机充电器接口更为高效、便捷和安全,该企业也很难改变手机充电器接口的标准。相反,如果允许市场中手机充电标准的多样性,不同企业就可以就手机充电器标准的性能展开竞争。数据的互操作性亦是如此,多样性的数据标准可能带来竞争和创新,而单一标准的互操作性可能导致标准“过时”锁定。
四、数据来源者权利的重构
为了破解数据来源者权利的正当性与可行性困境,其基本原理与制度目标应进行重构。就数据公平而言,应注重尊重市场机制,同时利用反垄断法维护数据竞争秩序公平。就数据市场与数据流通而言,应注重数据信任与数据共享,[42]而非基于产权交易的数据流通。就数据互联互通而言,应注重多样化的互联机制,而非单一网络的互联互通。综合而言,数据来源者权利应当成为一种工具性、程序性、治理性权利。
(一)数据的竞争秩序公平
数据公平的目标本身并无问题。[43]但简单赋予数据来源者以知情同意、获取、复制、转移等权利,将数据来源者与数据持有者的关系拟制为不平等关系,却忽略了数据的复杂性,[44]也没有意识到个人数据来源者与商业用户数据来源者的巨大差别。当数据来源者为个人时,对个体进行赋权,利用个人信息权利实现个人与信息处理者之间的数据公平,这种情形具有较高的正当性基础。个人信息上承载了个人的人格尊严、安全利益、财产利益等多重权益,[45]在我国和其他很多国家与地区甚至被上升为宪法基本权利,因此赋予个人对其数据的控制权,与个人的基本权利保护具有密切关系。即使采取消费者保护进路的国家和地区,也都承认个人用户与企业之间的信息能力不平等与操控风险。[46]因此,当数据来源者为个人时,矫正与实现数据来源者和数据控制者之间的公平并无争议,其争议或难点在于实现手段或制度工具。
但当数据来源者为商业用户时,数据来源者就不具备个人信息主体所具有人格尊严、安全利益等权利基础。从赋权的角度看,对商业用户的数据赋予来源者权利,不仅不具备正当性基础,而且可能会出现上文所说的不公平现象,影响数据收集与加工利用者的合法权益。从公平的角度看,数据来源者和数据处理者之间形成的也是商主体与商主体之间的关系,并未形成类似保护型的法律关系。这里且不说数据来源者本身可能是大企业,数据控制者可能是中小企业;即使数据来源者为小企业,数据控制者为大企业,二者的关系也并不直接形成法律上的不平等关系。[47]对于这种商主体之间的法律关系,法律对其进行合同的事后救济与竞争秩序监管,而非过度介入数据市场。
一方面,法律应尊重市场合作机制对于数据获取、复制与转移权利的配置。在数据来源者与数据持有者所形成的合作关系中,数据持有者并不总是想独占数据、排除数据来源者对数据的合理访问与利用。毕竟,为数据来源者或数据用户提供相关权利,对于数据持有者或企业来说意味着其可以为用户提供更多服务,增强用户黏性和市场竞争力。[48]因此,在实践中,很多数据持有者都为数据来源者或数据用户提供数据。例如,电商平台内的商家可以在后台浏览其网页销售、浏览等记录,微信公众号也可以查看其订阅量、访问量等数据。当然,如果此类数据的形成与提供具有较大成本,或者对于用户价值不大,数据持有者可能就不会提供此类数据访问服务。但即使在此类情形中,市场机制的权利配置也对数据来源者更为有利,因为此类情形中数据用户可以获得较为优惠的价格或条件。如果要求数据持有者必须在此类情形中为数据来源者提供数据访问与转移等服务,数据持有者就会将成本转移到数据来源者身上,提高其合作要价。[49]
在合同形式方面,法律也不应对数据合同的要求进行过多的规制。欧盟《数据法(提案)》对数据合同进行了一系列规定,不仅要求数据持有者获取数据应当根据合同约定,而且对数据合同的披露、内容等各方面作了详细要求。这些规定将数据来源者视为类似消费者或劳动者那样“弱”或“愚”的个体,[50]随时可能遭遇数据持有者的剥削或欺骗。但实际上,作为商业主体的数据来源者往往是高度理性的,当商业主体寻找合同对象、进行商业谈判,推进合作进程时,其所关注的是整体性的利弊权衡,而非就某一要素进行单独分析。例如,当数据可访问性与转移性的成本较高、作用较小时,双方就可能完全忽略关于数据问题的谈判,或者数据来源者可能就轻易接受数据控制者的条款。在此类情形中,双方的合同并违反公平原则。如果仅仅据此而宣布合同无效,反而会影响合同的有效自治,减小数据来源者的收益。
另一方面,法律可以利用反垄断法实现数据公平,保护数据来源者的合法权益。相比对数据来源者进行一般性赋权,反垄断法可以对数据锁定所造成的不公平问题进行更为审慎的规制。[51]市场中的锁定效应是否都应予以消除,本身就不是一个非黑即白的问题。例如,在市场中,普遍存在各类“搭售”(tying)或“绑定”(bundling),例如有的房产商规定客户不能单买车位,车位必需与商品房同时购买;很多电子产品的售后服务只能在该企业进行保修,在其他地方进行的修理将不能享受免费保修待遇。对于这类行为,法律并不一定认定其本身违法(illegal per se),[52]而是看这类行为是否属于垄断行为,是否滥用其市场支配地位而侵害消费者权益。一般性的绑定销售,例如商场中的洗发水与沐浴露捆绑销售,并不侵害消费者权益。在反垄断研究中,也有众多证据表明,很多搭售或绑定行为虽然限制了消费者单独购买或解绑购买的权利,但其在价格、服务等方面却更有利于消费者。[53]在数据产品市场中,科技产品与数据的绑定效应更明显,二者本来就融为一体。因此,在这些情形中,通过反垄断法对数据锁定问题进行个案性判断,更有利于促进数据公平、维护市场合理秩序。
(二)数据信任与数据共享的市场
数据市场建构是数据来源者权利的重要目标,但其模式应当进行重构。上文已经提到,数据产品模式存在重大困境。数据的非标准性、场景依附性特征使得数据面临高交易费用,即使明晰数据的权利边界,也难以形成数据产品的高频流通。此处可以进一步指出的是,以标准化产品流通为模式对数据进行赋权,可能破坏已有的信任机制,进一步妨碍数据流通。罗伯特·库特(Robert Cooter)曾在其经典研究中指出,即使在交易费用为零的情形下,市场中的合作机制也未必能够产生,因为人们可能会高估自己手中的筹码,或者采取策略性的漫天要价(hold out)行为,以在市场谈判中为自己获得最大利益。[54]大量的关系型契约研究也指出,人们往往基于信任进行合作,而非基于博弈模式而进行合作。如果市场中已经存在很多自发合作机制,此时对一方进行赋权,其结果就会在双方制造间隙或更高的交易成本,破坏已有合作。[55]
为解决数据产品流通模式的不适应性,数据来源者权利应进行重构,建构以数据信任、数据共享与数据汇聚为目标的数据市场机制。
首先,数据来源者权利应以促进各方的数据信任为目标。在合作或产品服务的情形中,数据来源者与数据控制者形成的是具有合作与信任特征的关系。例如,某企业在网络平台上开设网店、公众号、视频账号,网络平台为企业提供访问量数据;或者某企业使用某智能家居产品,智能家居产品为企业提供用电量等产品数据。在这类关系中,数据都不是独立的产品,而是融入产品或服务的一部分。因此,数据来源者可以利用其权利来促进产品或服务的改善。例如,当网络平台所提供的数据无法满足平台内企业的有效运行,或者智能家居企业所提供的数据无法实现企业的基本需求,此时企业就可以依据合同或产品责任对网络平台或智能家居企业提起申诉或诉讼。但需要再次强调,这类对于数据的访问、获取与转移权利应当限于双方合同或产品质量所要求。突破双方合同或产品质量要求,将数据来源者的权利视为一种绝对性权利,不仅无助于实现数据价值,而且可能造成服务市场与产品市场的扭曲。
其次,数据来源者权利应以促进数据共享为目标。在非合作或非产品服务的情形中,数据来源者与数据控制者并未形成特定关系,此时数据应被视为位于公共领域,数据来源者对于数据的权利应当仅限于隐私、商业秘密等范围。以数字地图为例,当百度、滴滴等企业收集城市空间的建筑物外观信息以绘制地图时,其收集不应受到数据来源者权利的限制。如果数据控制者需要在此类情形中获取数据来源者的知情同意,或者需要为数据来源者提供访问与转移权,那么此类数字地图就不可能实现。在大数据与人工智能时代,数据共享的意义更为突出。[56]当代社会中的数据之所以能够产生作用,其主要原因在于海量数据的汇聚与融合。正如舍恩伯格所言,大数据所需要的是全体数据而非随机样本,是混杂性而非精确性,其数据的价值并不是来自单条数据,而是数据整体。[57]而ChatGPT等人工智能之所以能够飞速发展,也离不开海量数据的训练。[58]为了促进数据的汇聚与融合,法律应当维护数据的公共性,促进数据共享。相反,如果在这类情形中赋予数据来源者权利,那么数据将很难汇聚融合。就像水库的水资源聚合,如果法律赋予来自各地的水流与水滴以初始谈判权利,那将很难想象水库可以成形。[59]
(三)多样性的数据互联
利用数据来源者权利促进互联互通,应注重数据互联的多样性。尽管我们已经进入互联网时代,“万物互联”的物联网时代也并不遥远,但无论是传统道路交通与工业产品,还是当代和未来的网络与智能产品,其互联互通都不是“一张网”的简单互联或“一刀切”的产品通用。[60]例如,全国高速公路的标准可能统一,但地方道路可能千差万别,而且可能设置车辆类型限行、高度限行的不同标准;不同杯子所用杯盖的大小形状也都各不相同,不同杯子和杯盖就不能实现产品通用。数据也一样,数据互联应根据不同数据类型,利用数据来源者权利促进多样化的生态系统。
首先,对于互联网平台上完全公开或互联的数据,此时应当保证数据来源者的访问权,同时对商业用户适用合同约定。当数据位于网络公开平台,此时互联互通已经实现,此时保证数据来源者的访问权并无障碍,用户通过下载、复制、上传等方式实现其数据转移,也并无太大障碍。具有争议和难点的情形是,数据控制者可能对此类数据进行控制,[61]类似线下企业可能对其内部道路设置路障或收取费用。例如,平台企业出于竞争关系,可能会通过机器人协议或用户协议,限制数据来源者将其数据转移到其他平台。此时,应当区分作为个人的数据来源者与作为商家的数据来源者。对于前者应当允许个人行使个人信息访问权、携带权等权利。[62]对于后者,则应当在允许商家行使其数据访问与转移权的同时,允许平台企业对违背合同的商业主体进行追偿。仍以企业的内部道路作类比,这类公共道路应当允许个人和企业主体的无障碍通行,但也可以对企业主体收取合理费用。
其次,对于尚未完全公开或互联的数据,应注重数据互联生态的市场与行业自治,但可以利用数据来源者权利激励数据的互联。当数据尚未完全公开或互联,此时数据依附于不同企业所构建的产品或生态系统,数据来源者权利应主要针对合同约定或产品质量。对于企业所承诺的数据服务或数据产品功能,数据来源者可以在数据无法访问或转移的情形下提出权利主张。但对于数据转移到第三方企业,则不应赋予数据来源者此类法定权利。正如上文所述,无缝衔接的数据来源者权利既难以实现,也会带来种种困境。更为可行的方案是通过市场与行业性力量,促进不同产品标准与生态系统的兼容。当不同产品标准与生态系统打破僵局,实现彼此更高程度的兼容时,数据来源者对不同产品与系统的数据访问与数据转移就会更为顺畅。[63]在这一过程中,数据来源者权利可以扮演打破各方僵局的触发性角色,督促行业协会与政府机关协调不同数据持有者,促进数据的互联互通。不过,这种权利不应是绝对性的,这一权利不应当过度妨碍企业对其标准或系统的自主权。[64]其功能应当类似执法举报或投诉建议,为行业协会与政府机关打造数据兼容提供动力机制。
五、结语:迈向沟通治理型的数据来源者权利
数据来源者权利已经在我国的“数据二十条”和欧盟的《数据法(提案)》中加以规定。这一权利作为一种政策工具具有其合理性,但如果将其上升为一种法定权利,则存在种种困境。尤其是如果将这一权利理解为实体性、绝对性、可诉性权利,则数据来源者权利将会面临缺乏正当性、不具可行性、多重负面性等难题。由于数据来源者权利的种种争议,即使欧盟的《数据法(提案)》纳入了这一权利,但其权利的性质与功能也仍未完全明确。例如《数据法(提案)》仅规定了数据来源者权利的执法机制,[65]并未对私人执法作出规定,即使数据持有者违反相关规定,私主体也无法依据该法提起诉讼请求。
因此,数据来源者权利应当被视为一种沟通治理型的权利。[66]在产品服务中,数据来源者可以依据合同约定或产品质量,对因为数据原因而产生的企业服务与产品功能问题提起诉讼。除此之外,数据来源者仅可以向有关部门提起知情、访问、转移的请求,督促相关监管部门或行业协会对数据垄断、数据锁定、数据孤岛等问题进行调查与应对。在数据来源者权利从政策转换为法律的过程,应充分尊重已有成熟法律制度的安排。如果未来我国法律引入数据来源者权利,应在性质上将其定位为程序性、非绝对性、举报建议性权利,[67]利用这一权利促进数据来源者与数据持有者之间、不同数据贡献者之间的沟通治理,而非将其泛化为一般性权利。
丁晓东,中国人民大学法学院教授,法学博士。
【注释】
[1]参见《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》,载中华人民共和国中央人民政府网,http:// www.gov.cn/zhengce/2022-12/19/content_5732695.htm,最后访问日期:2023年2月20日。
[2]See European Commission, Proposal for a Regulation (EP & Council) on harmonised rules on fair access to and use of data (Data Act), COM(2022)68(DA Proposal), Brussels,23 Febrary 2022.
[3]为了简便起见,本文除了特定情形,将使用“数据来源者”而非数据“用户”的概念,使用“获取或复制转移”的表述而非“访问、提供”的概念。整体而言,我国“数据二十条”和欧盟《数据法(提案)》在相关概念的内涵上具有相似性。
[4]Data Act, Recitals 51-55 and Article 13.
[5]参见李锦华:《个人信息查阅权的法理基础及实现路径》,载《西安交通大学学报(社会科学版)》2023年第3期。
[6]See The Privacy Protection Study Commission Personal Privacy in an Information Society (1977), Chapter13, http://aspe.hhs.gov/ datacncl/1977privacy/c13.htm (accessed May 10,2023).
[7]EP & Council Regulation (EU)2018/858 on the approval and market surveillance of motor vehicles and their trailers, and of systems, components and separate technical units intended for such vehicles, amending Regulations (EC) No 715/2007 and (EC) No 595/2009 and repealing Directive 2007/46/EC, O.J.2018, L 151/1(Type Approval Regulation), Art.61.
[8]See Simon Geiregat, Copyright Meets Consumer Data Portability Rights: Inevitable Friction between IP and the Remedies in the Digital Content Directive,71 GRUR Int.495(2022).
[9]Data Act, Article 2(5)(6)(7).
[10]Data Act, Article 4(1).
[11]Data Act, Article 5(1).
[12]Data Act, Article 3(1).
[13]Data Act, Article 8(1).
[14]W. Kerber, A New (Intellectual) Property Right for Non-Personal Data:? An Economic Analysis,37 GRUR Int.989,990(2016); F. Mezzanotte, Access to Data: The Role of Consent and the Licensing Scheme, in Trading Data in the Digital Economy: Legal Concepts and Tools,159,161-162(S. Lohsse, R. Schulze & D. Staudenmayer eds., Oxford: Hart Publishing 2017).
[15]See European Commission, Communication on Building a European Data Economy, COM(2017)9 final, Brussels,1 October 2017, p.14.
[16]Simon Geiregat, The Data Act: Start of a New Era for Data Ownership?, para.46, https://ssrn.com/abstract=4214704(accessed May 10,2023).
[17]Data Act, Explanatory Memorandum.
[18]其他条款包括:“(d)提供产品的制造商或提供相关服务的服务提供商是否打算使用数据本身或允许第三方使用数据,如果是,这些数据将用于何种目的;(e)卖方、承租人或出租人是否是数据持有者,如果不是,数据持有者的身份(是什么),如其商业名称和其设立的地理位置;(f)使用户能够迅速联系数据持有者并与该数据持有者有效沟通的通信手段;(g)用户如何请求与第三方共享数据;(h)用户有权向第31条中提到的主管当局投诉违反本章规定的行为。”参见Data Act, Article 3(2)。
[19]Data Act, Article 13(4)(b)-(e).
[20]Data Act, Recital, para.28.
[21]参见曾彩霞、朱雪忠:《欧盟企业数据共享制度新动向与中国镜鉴——基于欧盟〈数据法〉提案的解析》,载《德国研究》2023年第6期,第83—98页。
[22]See Regulation (EU)2018/1807 of the European Parliament and of the Council of 14 November 2018 on a framework for the free flow of non-personal data, OJ L 303, pp.59-68.
[23]See Lawrence Lessig, Free Culture 33-34(New York: Penguin Press 2004).
[24]参见华劼:《欧盟数据生产者权利质疑——以知识产权制度安排为视角》,载《知识产权》2020年第1期,第72—78页。
[25]参见王利明、丁晓东:《数字时代民法的发展与完善》,载《华东政法大学学报》2023年第2期,第9页;黄细江:《企业数据经营权的多层用益权构造方案》,载《法学》2022年第10期,第96—111页。
[26]William Landes & Richard Posner, An Economic Analysis of Copyright Law,18 The Journal of Legal Studies 325(1989).
[27]Henry Hansmann & Marina Santilli, Authors' and Artists' Moral Rights: A Comparative Legal and Economic Analysis,26 The Journal of Legal Studies 95(1997).
[28]参见许娟:《企业衍生数据的法律保护路径》,载《法学家》2022年第3期,第72—87页;武腾:《数据资源的合理利用与财产构造》,载《清华法学》2023年第1期,第154—171页。
[29]See J. Drexl et al., Position statement on the Commission's Proposal of 23 February 2022 for a Regulation on harmonised rules on fair access to and use of data (Data Act)(Max Planck Institute for Innovation and Competition Position Statement,25 May 2022), www.ip.mpg.de/fileadmin/ipmpg/content/stellungnahmen/Position_Statement_MPI_Data_Act_Formal__13.06.2022.pdf (accessed May 10,2023).
[30]Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions, A Digital Single Market Strategy for Europe, COM(2015)192 final,6 May 2015.
[31]COM(2018)232 final; SWD(2018)125 final,25 April 2018.
[32]参见彭辉:《数据交易的困境与纾解:基于不完全契约性视角》,载《比较法研究》2023年第2期,第172—185页。
[33]参见丁晓东:《新型数据财产的行为主义保护:基于财产权理论的分析》,载《法学杂志》2023年第2期,第54—70页。
[34]Guido Calabresi & A. Douglas Melamed, Property Rules, Liability Rules, and Inalienability: One View of the Cathedral,85 Harvard Law Review 1089(1972).
[35]数据保护的产品责任进路,参加李芊:《从个人控制到产品规制——论个人信息保护模式的转变》,载《中国应用法学》2021年第1期,第56—78页。
[36]卡梅框架的论文本身并未提到共享规则,但卡梅框架提供了对不同规则的进一步拓展,参见尚博文、郭雳:《数据要素产权的复合性运行范式》,载《上海经济研究》2023年第3期,第88—96页。
[37]See Brett M. Frischmann & Mark A. Lemley, Spillovers,107 Columbia Law Review 257(2007).
[38]See Yochai Benkler, From Consumers to Users: Shifting the Deeper Structures of Regulation towards Sustainable Commons and User Access,52 Fed. Comm. L.J.561(2000).
[39]此外,“桥梁”或互联中介的存在也会降低互联互通的正面收益,因为即使产品或生态系统无法互联,用户也可以通过“桥梁”或中介而实现互联。See Michael L.Katz & Carl Shapiro, Network Externalities, Competition, and Compatibility,75 American Economic Review 424(1985); Joseph Farrell & Garth Saloner, Converters, Compatibility, and the Control of Interfaces,40 Journal of Industrial Economics 9(1992).
[40]See Joseph Farrell & Garth Saloner, Standardization and Variety,20 Economics Letters 71(1986); Michael L. Katz & Carl Shapiro, Systems Competition and Network Effects,8 Journal of Economic Perspectives 93(1994); Stan J. Liebowitz & Stephen E. Margolis, Should Technology Choice be a Concern of Antitrust Policy,9 Harvard Journal of Law & Technology 283(1996).
[41]See Paul A. David, Clio and the Economics of QWERTY,75 American Economic Review 332(1985); Joseph Farrell & Garth Saloner, Standardization, Compatibility, and Innovation,16 The RAND Journal of Economics 70(1985); Brian Arthur, Competing Technologies, Increasing Returns, and Lock-in by Historical Events,99 The Economic Journal 116(1989).
[42]参见倪楠:《欧盟模式下个人数据共享的建构与借鉴——以数据中介机构为视角》,载《法治研究》2022年第2期,第22—33页。
[43]对数据公平利用问题的详细分析,参见丁晓东:《数据公平利用的法理反思与制度重构》,载《法学研究》2023年第2期,第21—36页。
[44]参见时建中:《数据概念的解构与数据法律制度的构建:兼论数据法学的学科内涵与体系》,载《中外法学》2023年第1期,第23—45页。
[45]参见申卫星:《数字权利体系再造:迈向隐私、信息与数据的差序格局》,载《政法论坛》2022年第3期,第89—102页。
[46]参见王苑:《数据权力视野下个人信息保护的趋向——以个人信息保护与隐私权的分立为中心》,载《北京航空航天大学学报(社会科学版)》2022年第1期,第45—57页;李芊:《网络平台暗黑模式的法律规制——从合同自治与基本权利到信义义务》,载《上海政法学院学报》2023年第2期,第103—118页。
[47]参见丁晓东:《法律如何调整不平等关系?论倾斜保护型法的法理基础与制度框架》,载《中外法学》2022年第2期,第445—464页。
[48]有学者指出,即使在平台存在垄断,平台也会愿意向平台内企业开放其生态。See Joseph Farrell & Philip J. Weiser, Modularity, Vertical Integration, and Open Access Policies: Towards a Convergence of Antitrust and Regulation in the Internet Age,17 Harvard Journal of Law & Technology 85,105-119(2003).
[49]See Oren Bar-Gill & Omri Ben-Shahar, Regulatory Techniques in Consumer Protection: A Critique of European Consumer Contract Law,50 Common Market Law Review 109(2013).
[50]参见[日]星野英一:《私法中的人》,王闯译,载梁慧星主编:《民商法丛论》(第八卷),法律出版社1997年版,第188页。
[51]参见周汉华:《论平台经济反垄断与监管的二元分治》,载《中国法学》2023年第1期,第222—240页;侯利阳:《平台反垄断的中国抉择:强化反垄断法抑或引入行业规制?》,载《比较法研究》2023年第1期,第32—48页。
[52]See Richard A. Posner, The Rule of Reason and the Economic Approach: Reflections on the Sylvania Decision,45 U. Chi. L. Rev.1(1977).
[53]Robert H. Bork, The Antitrust Paradox: A Policy at War with Itself,380( Mumbai: The Free Press 1978).
[54]Robert Cooter, The Cost of Coase,11 Journal of Legal Studies 1,1-29(1982).
[55]See Stewart Macaulay, Non-Contractual Relations and Business: A Preliminary Study,28 American Sociological Rev.55,55-69(1963); Lisa Bernstein, Opting Out of the Legal System: Extralegal Contractual Relations in the Diamond Industry,21 Journal of Legal Studies 115(1992).唐林垚:《关系合同视角下数据处理活动的技术流变与法律准备》,载《法学家》2023年第1期,第42—56页。
[56]See Mauritz Kop, The Right to Process Data for Machine Learning Purposes in the EU,34 Harv. J.L.& Tech.1(2021).
[57]参见[英]维克托·迈尔-舍恩伯格、肯尼斯·库克耶:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,浙江人民出版社2013年版,第27—96页。
[58]以ChatGPT为例,其训练数据达到了惊人的45TB,参见https://www.computerworld.com/article/3687614/how-enterprises-can-use- chatgpt-and-gpt-3.html,最后访问日期:2023年2月20日。
[59]在专利等制度中,这种问题就已经存在。例如企业可能面临大量的专利流氓(patent trolls)或“专利丛林”(patent thickets)问题,企业在技术应用时可能面临大量的诉讼陷阱。See Carl Shapiro, Navigating the Patent Thicket: Cross Licenses, Patent Pools, and Standard Setting,1 Innovation Policy and the Economy 119(2001).
[60]See Christopher S. Yoo, The Dynamic Internet: How Technology, Users, and Businesses Are Transforming the Network,73-81(Washington,DC: The AEI Press 2012).
[61]参见梅夏英:《在分享和控制之间:数据保护的私法局限和公共秩序构建》,载《中外法学》2019年第4期,第845—870页。
[62]对此问题的分析,参见张浩然:《用户数据携带权益保障的制度路径》,载《知识产权》2022年第7期,第47—69页;任浏玉:《公开商业数据爬取行为的规制路径》,载《知识产权》2022年第7期,第110—126页。
[63]参见汤霞:《数据携带权的适用困局、纾解之道及本土建构》,载《行政法学研究》2023年第1期,第95—107页。
[64]参见孔祥俊:《网络恶意不兼容的法律构造与规制逻辑——基于〈反不正当竞争法〉互联网专条的展开》,载《现代法学》2021年第5期,第124—144页。
[65]Data Act, Articles 31-34.
[66]参见王洪亮、叶翔:《数据访问权的构造——数据流通实现路径的再思考》,载《社会科学研究》2023年第1期,第71—84页。
[67]个人信息权利也具有程序性特征,尽管公法与私法的学者对其界定存在差异,参见张新宝:《论个人信息保护请求权的行使》,载《政法论坛》2023年第2期,第26—37页;王锡锌:《重思个人信息权利束的保障机制:行政监管还是民事诉讼》,载《法学研究》2022年第5期,第3—18页。