张亮亮1,陈志2
(1.首都科技发展战略研究院;2.江南体育下载链接)
党的十九届四中全会首次将数据增列为生产要素,并提出推进要素市场制度建设,实现要素价格市场决定、流动自主有序、配置高效公平。2020年4月颁布的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》中又特别强调,要加快培育数据要素市场。数据要素的市场化配置涉及数据的供给、需求、运营和监管四方主体,涵盖确权、定价、交易、监管等环节,其中,通过确权形成明晰的数据产权关系是要素市场化配置的首要环节。从数据主体指向来说,数据主要包括公共数据、企业数据和个人数据三种类型。当前,产业互联网刚刚兴起,消费互联网仍处于黄金时期,公共数据和企业数据有相当大的比例由个人数据形成。要推进数据要素市场化配置,需加快个人数据产权的界定与利用,完善个人数据产权的保护制度。
一、新形势下个人数据产权的两大时代特征
数字经济时代,数据成为最重要的生产要素之一,为最优化数据资源配置,首先需要界定数据产权,但应注意,与传统产权不同,数据产权具有两个突出的时代特征。
(一)新形势下的数据产权不仅指数据财产权,人格权也成为数据产权的重要属性
财产权包括以所有权为主的物权、债权、知识产权以及在婚姻、劳动等法律关系中产生的与物质相联系体现为经济利益的权利,用以保护财产利益。传统的人格权包括姓名权、肖像权、隐私权等权利,主要保护精神利益。但当个人信息资料数据化以后,数据产权开始拥有人格权和财产权双重属性。例如,欧盟于2018年5月开始全面实施的《通用数据保护条例》(GDPR)规定了知情权这一人格权,规定数据控制者必须以简单清晰的方式向个人说明其个人数据是如何被收集处理的。
(二)个人数据产权的内涵更加丰富
例如,欧盟《通用数据保护条例》便全面引入新型权利“可携带权”和“被遗忘权”。其中,“可携带权”条款规定用户可以无条件将其个人原始数据从一个数据控制者处转移至另一数据控制者。数据控制者不仅无权干涉用户的此项权利,还需配合用户提供电子形式的数据文本。例如,拥有可携带权的Facebook用户可以将其帐号个人资料转移至其他社交媒体。“被遗忘权”则规定,当用户依法撤回同意或者数据控制者不再有合法理由继续处理数据时,用户有权要求删除数据。数据控制者不仅要删除自己所控制的数据,还需负责删除其公开传播的数据,通知其他数据控制者删除个人数据链接和复制件。这些新增的数据产权类型极大增强了作为数据主体的个人对其自身数据的控制能力。
二、数据产权利用与保护的三大困境
当前,按照中央部署,深化要素市场化配置改革,加快培育数据要素市场,促进数据要素自主有序流动,提高数据要素配置效率,我国对个人数据权属的确权需求特别迫切,但在个人数据产权的确权、利用与保护过程中存在三大难点。
(一)原始数据和衍生数据的产权界定陷入两难
大数据技术的迅速发展使企业和政府机构等数据记录者获得前所未有的调查研究能力,但这些原始数据及衍生数据的产权到底归数据记录者所有还是个人所有,或者是双方共有,难以界定。如果将这些原始数据及衍生数据的产权完全界定给个人,则可能会因为界定程序繁琐、成本较高而影响数据资源的优化配置,导致社会福利受损。如果将其界定给收集数据的企业,易出现如下问题。一是可能产生数据垄断。垄断了数据的企业由于信息不对称可获得巨大的竞争优势,并可利用这些优势来“杀熟”,获取更多的消费者剩余。例如,滴滴出行、携程等平台企业利用大数据对消费者进行近乎完全的“第一类价格歧视”,即对不同消费者收取不同价格,实现利润最大化,消费者剩余完全被侵占,这一做法过去仅限于经济学理论设想,但现在借助大数据技术,已经成为现实。二是是易侵犯个人隐私权。当平台获得了过多的个人信息,就难免会侵犯隐私,甚至可能危害到公民的人身安全。而且拥有数据采集和分析能力的机构有可能在个人不知情的情况下,利用大数据技术主动获取和利用个人隐私信息,使个人权利受到损害,但由于侵权行为难以发现、缺乏专门法律保护等原因难以依法维权。
(二)公共数据开放的“双刃剑”效应隐现
政府部门掌握的公共数据占全社会数据总量的80%以上,除公共服务设施等数据外,还涉及大量个人信息。政府发布公共数据时本应充分保护个人信息的安全,但对公共数据的管理涉及数据收集、存储、使用、发布等多个环节,极易出现侵害个人信息安全的情况。目前,我国开始推动各级政府开放特定公共数据,允许第三方企业进行挖掘,提升公共服务质量。但公共数据开放本身是“双刃剑”,其中的个人数据交由第三方挖掘并未经数据主体同意,同时,基于公共数据的私人大数据挖掘实践并未受到有效的约束和监管,公共数据中的个人数据被第三方侵权的风险扩大。
(三)对数据产权规制过严可能会限制企业创新
以收益权为例。实践中,平台企业等数据记录者或数据控制者可以在分析个人数据的基础上,通过改善服务、精准营销等增加收入。那么,平台企业为收集和处理数据付出了成本,是否有权利得到收益?同样,用户是否因为交易数据源自自身行为,可以主张自己的数据收益权?收益权成为个人数据产权界定中的焦点问题。中消协的一项调查表明,大量互联网公司的手机客户端存在获取的敏感权限无实际对应功能的问题,近九成手机App涉嫌过度收集消费者个人隐私信息用以谋取利益,部分互联网龙头企业更是认为中国消费者愿意以隐私换便利。一系列个人数据相关事件引起热议,反映出社会各界对数据收益权的关注。如果将收益权赋予平台企业的用户,则政府等第三方实施监管的成本很高,同时,用户自身也需要进行事前谈判、事中监督,核实平台企业的数据收益,并做好维权准备。较高的交易成本一方面可能使用户获益较少,另一方面,平台企业也可能放弃处理数据,最终影响到整个社会的数字化创新。
三、对我国数据产权界定、利用与保护的四点建议
当前,我国数字经济目前正处于高速增长阶段,5G、物联网等新一代信息技术的迅速发展将进一步增加科技企业获取个人数据的机会,进而影响或诱导个人行为。但我国个人数据产权的界定、保护与规制仍处于起步阶段,缺乏顶层设计,立法相对于实践大为滞后,数据产权制度体系亟需完善。
(一)厘清数据主体与数据记录者的权利边界,加快数据确权
对数据权利的设定和相应的保护,要建立在准确的数据性质判定和分类的基础上。建议对于用户提交的数据和用户行为的记录数据等原始数据,首先用户享有个人数据权,在用户授权的情况下数据记录者在授权范围内对数据进行处理、利用。对于衍生数据,首先数据记录者享有数据处置权;当衍生数据涉及个人数据时,该部分数据主体享有个人数据权,同时,从鼓励创新的角度来看,可参考欧盟的做法,将匿名数据产生的衍生数据的产权界定给企业。
产权的初始配置会对效率产生影响,数据产权机制应鼓励而非限制价值创造行为,从优化资源配置角度,收益权可首先界定给平台企业,同时保证用户具有自己的信息不被平台企业使用的权利。平台企业的相对优势在于,数据会被自动记录,不需要刻意收集,在个人隐私权得到保护的前提下,将收益权界定给平台企业,将会产生更多社会价值。当收集对人格权、财产权威胁较小的信息比如生活习惯等,用户为获得便利服务可不要求平台企业支付费用。如果当平台企业收集涉及到重要隐私或财产数据,用户需要做特别准备和深思熟虑的抉择时,平台企业应向用户支付一定的费用,分享收益或补偿人格权或财产权可能遭到威胁的风险。
(二)尽快健全个人数据保护立法体系,激励数据利用
近年来,如何在保护个人数据权利的基础上发展数字经济已成为中国社会各界关注的焦点,但目前数据保护主要是从《合同法》与《反不正当竞争法》的角度入手,保护思路已落后于数字经济发展的需要。立法可激励数据权利人的持续创造,推动数字经济秩序的完善。目前全球已有近90个国家和地区制定了个人数据保护的法律,中国在数据确权和保护方面的立法实践已明显落后,应借鉴国际经验,尽快制定专门的《个人数据保护法》,立法明确数据产权的边界和责任。实行大数据产权分级安全保护机制,加强对各行业领域大数据安全治理。结合各行业数据的敏感程度、数据脱敏与否、数据可用性要求等对大数据资产进行分类分级,采取不同级别的安全防护策略。规范大数据运营企业的资质要求,涉及国计民生、国家公共安全、能源、交通等敏感行业的大数据,需要具备国内涉密资质要求的企业才可开展数据采集、汇总分析、存储等大数据运营工作,并严格控制其应用及传播范围。
(三)尽快明确统一的数据监管机构,加强统筹管理
从国家层面看,目前,美欧等发达经济体都有专门的数据保护监管机构,而中国尚未有明确对数据保护与利用进行统一监管的专业性监管机构,多个部委针对本行业数据管理出台了相关文件,一定程度上缓解了数据监管问题,但难以进行跨系统统筹协调。从地方层面看,目前已有25个省份成立大数据管理局、政务服务数据管理局、大数据管理中心等大数据管理机构,隶属关系、机构职能、运行机制等等不一,跨区域跨系统统筹协调难度较大。总体来看,前述管理体制机制的短板既有碍提升我国数字经济的整体治理效能,也不利于深化数字经济治理国际合作。建议将数据保护监管职能赋予国家市场监督管理总局或组建统一的专业性监管机构,建立“行业行为准则+法律法规”的双重规范体系和“行业协会自律+政府数据监管机构监管”的双重管理体系,以监督数据产权保护相关法律法规的贯彻和实施。
(四)发展优先、兼顾规制,试点打造数据要素市场样板
我国当务之急是抓住新一轮科技革命和产业变革的重大机遇,加快发展数字经济,建设数字中国。综合考虑各地数字经济的发展基础,可在浙江、广东等国家数字经济创新发展试验区内,对个人数据产权的界定、交易和规制积极开展先行先试,建立健全数据产权交易机构,形成数据要素市场建设的高地和样板。在规制方面,欧盟出台史上最严格数据保护条例,被认为是隐私权的重大胜利,赞赏支持者众多,我国对此应理性对待,不宜照搬欧盟做法,应在个人数据保护和数据融合创新之间追求平衡。欧洲在网络科技上与美国有较大差距,对待数据安全态度也不同。美国的数据隐私保护沿袭了其对于“法无禁止即可为”合同原则的坚持。而欧洲则体现了其对于合同实质内容的关注,对于数据隐私的保护力度更强。我国应在欧盟模式和美国模式之间寻求折衷模式,对欧盟《通用数据保护条例》涉及的各项权利进行审慎研究和评估,逐步引入相关规制工具,分步推进实施对数据知情权、可携带权、修改删除权、被遗忘权等权利的保护和监管。