數據產權的解碼與構建
——以控制與管理定位

周清華,萬豐閣

(1.大連海事大學法學院,遼寧大連 116026;2.中國政法大學數據法治研究院,北京 100088)

隨著近幾年數字經濟的全面發展,人工智能、區塊鏈、云計算、5G等數字技術應用呈現井噴式爆發性增長,呈現出跨行業的泛式應用現象,并與傳統的實體經濟高度融合,使得一切事物變得可視化、流程化、數據化。隨著數據產業不斷升級,數據的價值不斷凸顯,數據財產已然成為重要的生產要素。自黨的十九屆四中全會通過《中共中央關于堅持和完善中國特色社會主義制度推進國家治理體系和治理能力現代化若干重大問題的決定》以來,數據便作為與勞動、資本、土地、知識、技術、管理并列的主要生產要素之一,在整個經濟過程中發揮著必不可少的作用。2020年,《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》發布,該意見明確指出要對包括數據在內的生產要素改革并完善要素市場化配置體系。

數據的流通可大致分為三個階段,分別為:從終端用戶到企業以及企業與企業間進行數據流通的第一階段;數據從終端用戶與企業流通到公職部門的第二階段;公職部門將數據加以必要整合后形成公共數據并再次流通回市場的第三階段。上述三大階段的法律關系彼此獨立存在,權利義務并不能有效銜接?，F行法律體系主要以部門法對數據法律問題進行規制,存在彼此隔離且未有效整合的現象。據此,筆者以現有制度為基礎,以問題為導向,從控制與管理的視角構建以行為規制為主導兼具產權基本框架的數據產權。

一、中國數據立法(1)此處的數據立法僅指《中華人民共和國數據安全法》(簡稱《數據安全法》)與《中華人民共和國個人信息保護法》(簡稱《個人信息保護法》)。誠然,《中華人民共和國反不正當競爭法》(簡稱《反不正當競爭法》)也存在“網絡專條”對擾亂市場秩序、破壞市場結構的不正當競爭行為加以規制,然而,其屬于在現有部門法的基礎上向網絡與數據問題進行延伸,并不屬于本部分所討論的數據立法。對數據財產權益保護的缺失

現階段,中國直接對數據加以規制的的立法是《數據安全法》與《個人信息保護法》。值得肯定的是,《數據安全法》為數據的開發利用提供了基礎的安全保障。然而,該法以一種較為宏觀的視角對數據的開發利用進行必要的規制,其關注的重點仍是數據安全。對于數據權利與數據權益等問題,該法以較為原則的方式,在第7條加以規定,即在數據的開發利用活動中,該法保障各個數據主體的合法權益?！秱€人信息保護法》是中國第一部以個人信息權益為主要保護對象的法律。該法在一定程度上對個人數據的保護有一定的借鑒意義,但對于數據的具體開發與利用等方面的規制,該法仍然具有其自身的局限性。

《數據安全法》與《個人信息保護法》均是以義務范式的行為規制為主,通過對數據與信息處理者附加一定的義務與責任來對數據與個人信息加以保護。以個人信息的處理為例,《個人信息保護法》在處理原則上要求信息處理主體在處理個人信息時需遵循合法、正當、必要與誠信原則,且《個人信息保護法》在第五章以專章的形式規定了包括安全管理、合規審計、信息泄露補救以及個人信息保護等義務。在整體調節上,上述兩部法律偏向于對數據人格權益的保護,缺少一定的賦權模式,無法對各個數據與信息主體的權利進行平衡。此外,在數據的開發利用等方面,上述兩部法律也缺少權利范式的調節與規制。

《數據安全法》與《個人信息保護法》雖然為數據的開發與利用提供了安全保障,但并沒有對數據的權利以及相關數據主體所應享有的權利進行明確規定。在數據財產權益方面,雖然《中華人民共和國民法典》(簡稱《民法典》)在總則部分第127條設立了要對數據與網絡虛擬財產進行保護的基本原則,但數據與網絡虛擬財產之間具有較大的差別,且《民法典》僅表達了對數據與虛擬財產的保護態度,然而對具體以何種方式保護,是否通過賦權模式對數據及相關主體的數據權利進行保護等問題均未提及。

現階段中國數據相關立法對于數據財產權益的保護力度十分有限,無法實際解決數據在具體的開發利用中所涉及的數據與數據權利歸屬等問題。作為新型生產要素,數據產權需要被法律明確界定,并明確相關數據權利,更為有效地保護各個數據主體,促進數據的開發利用,進而提升數據經濟的高質量發展。

二、產權規制法與行為規制法下數據保護的片面性

現階段,各國普遍選取產權規制法與行為規制法對數據加以保護。在產權規制法方面,主要通過現存產權制度向數據不斷延伸,如利用知識產權對數據加以保護。在行為規制法方面,通常利用《反不正當競爭法》對數據及相關行為加以規制。無論是產權規制法還是行為規制法,其均屬于傳統部門法對數據問題的有限延伸,并不直接涉及數據及相關權利義務。具體而言,產權規制法所保護的客體并不是數據,其所保護的是以數據為載體并通過數字化進行傳輸和處理的著作、專利等知識產權。就行為規制法而言,以《反不正當競爭法》為例,該法所針對的客體也不是數據,其真正保護的仍是以數據為載體并通過數字化加以表現的商業秘密。

據此,一個不可回避的問題是,信息、數據與數字之間的關系到底為何。首先,數據是信息的載體;其次,數字是數據的傳輸和處理的方式。從信息到數據以及經歷整個數字化的進程后,作為載體的數據在相關性與關聯性的聚合上發生了更為關鍵的作用。隨著數據量呈幾何式增長,經過數字化的數據的價值開始演變?！俺休d信息的數據作為生產要素融入并賦能生產、分配、流通、消費各個經濟環節,并提升經濟效率?！?2)時建中:《數據概念的解構與數據法律制度的構建——兼論數據法學的學科內涵與體系》,載《中外法學》2023年第1期,第27頁。數據的意義在于流通與使用,并非單純作為信息的載體而進行靜態的存儲與放置。傳統的產權形式從根本上阻礙了數據價值提升與衍化。若不考慮數據流通與價值衍化等因素,產權制度的最大弊端便是無法有效地對具有無形性、非競爭性與非排他性的數據加以規制。

(一)產權規制法(3)本部分所提及的產權規制法是中國法律語境下的產權而非西方經濟學語境下的產權。下的數據保護

產權在經濟學與法學語境下具有不同的含義。在經濟學語境下,產權的概念來源于西方新制度經濟學學派中的“property rights”。產權的核心功能也是對資源加以有效配置并以可預期的方式調整產出。(4)參見童楠楠、竇悅、劉釗因:《中國特色數據要素產權制度體系構建研究》,載《電子政務》2022年第2期,第12-13頁。產權的本意并不等同于所有權,其更加類似于一種涵蓋權利與義務并對社會關系加以規制與調整的集合。本質上講,產權其實是自然人或法人及其他組織所具有的能力,該種能力也是調整社會關系的主要工具。西方經濟學語境下的產權也可用一個較為抽象的概念加以概括,即減少個人或社會成本的偏差機制。整體而言,西方經濟學下的產權更加體現為一種以控制與管理為核心的行為主導模式,對相關資源加以配置與優化。

在法學語境下,產權的概念較為清晰。中國法學界直接認為產權的本質是物權或者所有權。(5)參見程承坪:《所有權、財產權及產權概念辨析——兼論馬克思所有制理論與現代產權理論的異同》,載《社會科學輯刊》2007年第1期,第90-91頁。此外仍有部分學者認為產權是以所有權為主導的權利總和,其包含了物權、債權以及基于物權與債權所衍生的權利。中國經濟學界對產權的定義也局限于財產權或所有權。中國法學界與經濟學界對產權的定義和理解與西方經濟學語境下的產權概念存在本質區別。(6)參見冉昊:《法經濟學中的“財產權”怎么了?——一個民法學人的困惑》,載《華東政法大學學報》2015年第2期,第62-64頁。無論是在經濟學語境下還是法學語境下,中國均將產權局限于物權或所有權,而物權與所有權的特別之處便是強排他性,這與通過流通、共享等方式進行價值衍化的數據經濟并不相容。

現今,國內外利用產權對數據加以保護主要集中于知識產權領域。誠然,知識產權所針對的客體在無形性方面與數據形成表面契合。在法律制度的構建上,知識產權是一種典型的不以有體物為媒介,通過獨立于物權與債權的形式讓相關權利人對其經濟利益加以主張的權利。(7)參見梅夏英:《兩大法系財產權理論和立法構造的歷史考察及比較》,載《私法》2001年第1期,第181頁。然而實踐中,知識產權與對數據的保護在實質上無法契合。大部分數據難以滿足受著作權所保護的客體獨創性要求,對于數據匯編作品的獨創性認定也較為困難。與較為依賴人工編排的早期匯編作品相比,現今數據與數據集合的收集與編排大多依靠于已形成高度自動化指令的算法,故大部分數據難以滿足在內容選擇和編排上的高獨創性要求。就專利權而言,與數據相關的專利包括且不限于《專利審查指南》第九章中所認定的數字計算機設備、數字處理設備或方法、專門適用特定經營的系統或方法、程序控制系統等?！秾＠麑彶橹改稀分饕槍Φ娜允墙浻蓴底只笈c計算機程序密切相關的專利發明,與作為生產要素的數據或是大數據之間存在本質區別。相關數據若想成為專利權的保護對象仍需較高的創造性。由此可見,知識產權所保護的客體的內涵與外延并沒有發生本質變化,只不過是將保護范圍延伸至以數據為載體,并通過數字化加工的具有一定獨創性或創造性的智力成果。

國際上,較為典型的以知識產權對數據加以保護的法律文件是歐盟的《數據庫指令》。除了對具有原創性的數據選擇與匯編提供保護之外,《數據庫指令》還規定了數據庫的特殊權利保護。該指令采納了排他性制度框架,通過著作權與特殊權利并行的模式對數據庫加以保護。其中著作權保護模式針對的是具有原創性的數據庫,而特殊權利針對的是為期15年的財產獨占權并對非原創性數據庫進行保護。(8)Jens L. Gaster, The New EU Directive Concerning the Legal Protection of Databases, Fordham International Law Journal, Vol.20:1129, p.1147(1996).《數據庫指令》所保護的并不是數據本身,其保護的是對相關數據庫的投資,進而對投資行為達到激勵效果。(9)參見龍衛球:《再論企業數據保護的財產權化路徑》,載《東方法學》2018年第3期,第54-55頁。在《數據庫指令》被不斷泛化應用后,該指令所提供的保護模式轉變為只要不是無關緊要的,且不會被任意人做到的投資,則相關數據庫的投資可以受到保護。在保護模式上,該指令具有典型的“排他權賦予”和“排他權限制”的二元結構。權利人可以主動通過合同對相關權利進行轉讓與授予。同時,權利人可以拒絕第三人對數據庫的全部或主要部分進行提取或利用?！稊祿熘噶睢纷?996年頒布至今,其著作權與特殊權利并行的保護模式并沒有產生較為良好的效果,(10)參見孫遠釗:《美國與歐盟對數據保護的梳理與參考》,載《政法論叢》2021年第4期,第100頁。甚至引發了不利于數據流通與共享的后果,損害了歐盟成員國的出版和數據庫產業。(11)Peter K. Yu, Data Producer’s Right and the Protection of Machine-generated Data, Tulane Law Review, Vol.93:859, p.880(2019).歐盟于2019年又頒布了《單一數字版權指令》,但并沒有對1996年的《數據庫指令》加以更正,反而更多地體現了對先前指令的支持。(12)Directive (EU) 2019/790 of the European Parliament and of the Council of 17 April 2019 on Copyright and Related Rights in the Digital Single Market and Amending Directives 96/9 /EC and 2001/29/EC, EUR-Lex(17 May 2019), https://eur-lex.europa.eu/eli/dir/2019/790/oj.

在用既存產權制度對數據加以保護方面,無論是中國還是歐盟情況都不容樂觀。產權的僵硬制度致使數據無法被有效利用。目前數據已然成為不容忽視的生產要素,與通過數字化技術手段而興起的數字經濟相比,當下更是以數據生產要素為主導的數據經濟時代?，F階段,歐盟的《數據法》(DataAct)與《數據治理法》(DataGovernanceAct)中提及了數據經濟這一概念,上述兩部法案也是歐盟繼《數字市場法》(DigitalMarketAct)后對數據加以直接規制的最新法律文件。在《數據治理法》中共出現11次數據經濟,在《數據法》中分別出現15次數據經濟與5次數字經濟?？梢姅底纸洕c數據經濟的內涵與外延并不統一。其中《數據法》明確表示,數字資產是指顧客有權使用的數字形式的要素,包括數據、應用程序、虛擬機等虛擬化技術的其他表現形式。數據經濟衡量的是數據市場對經濟的整體影響,即數據作為從原始數據衍生的產品或服務在市場上進行交換,它涉及由數字技術實現數據的生成、收集、存儲、處理、分發、分析、細化、交付和開發。

(二)行為規制法下的數據保護

現階段各國均傾向于使用行為規制法對數據加以必要保護,且以產權規制法為代表的知識產權學者也存在向行為規制法轉向的跡象,即賦予數據收集者限制第三方主體利用其所收集的數據的有限排他權利。(13)參見崔國斌:《公開數據集合法律保護的客體要件》,載《知識產權》2022年第4期,第20頁。

與產權規制法相比,行為規制法并不過度在意數據權利的歸屬。但與產權規制法類似,其也是基于現有的部門法框架對數據加以保護。在立法層面上,中國沒有專門規制數據行為的立法文件?，F階段國內的大部分行為規制還是要依托于《民法典》(14)主要是合同規制法與侵權規制法。與《反不正當競爭法》。

首先,以合同規制法為例,合同保護屬于典型的行為主義保護模式。然而,在數據權利及權屬并不明晰的情況下,合同規制法所提供的保護模式具有其自身的局限性,如無法有效判斷相關數據授權行為是否真實有效?！睹穹ǖ洹废碌暮贤幹品ㄐ枰劳杏谳^為健全的市場機制。無論是終端用戶向企業的數據流通,還是企業與企業間的數據交易或流轉,均沒有一個合理有效的交易機制。對于前者,基于網絡效應,既存的生產經營者隨著其收集數據的積累,市場力量越來越強。市場力量和終端用戶對數據的處理能力等均造成了企業與個人間的實質不對等。傳統合同法理論下的允諾換允諾,以及一些基礎且必要的議價能力在數據經濟下正不斷流失。此外,合同發揮作用的基本原理是在產權制度相對完善的基礎上對交易行為提供正當且必要的保護機制。在整體調控上,既存的合同法原理并不能完全適合當下的數據經濟與相關市場。合同制度可以輔助數據權的行使,但在數據權利并不明晰的情況下,其所能發揮的作用十分有限。(15)參見錢子瑜:《論數據財產權的構建》,載《法學家》2021年第6期,第77頁。對于后者,在數據權利缺失及權屬不明的情況下,任何交易或授權行為均會在某種程度上被認定為“無權處理”或“無權處分”。(16)造成“無權處分”的原因是目前中國依然沒有相關立法文件對數據的權屬進行必要說明。

其次,以侵權規制法為例,其不受合同相對性的影響,可對合同之外的第三方主體的行為加以有效規制。然而,就網絡安全、數據安全以及個人信息的保護,中國均通過專門立法的形式對上述問題加以規制,故侵權規制法本身的發揮空間十分有限。當前,《民法典》對數據所采取的是財產利益保護主義(17)具體而言,《民法典》通過第127條對數據與網絡虛擬財產進行保護,然而該條僅在宏觀層面確立了數據具有財產屬性并獨立于物權與知識產權等既有產權體系。而非財產權利保護主義,(18)參見王利民:《數據的民法保護》,載中國人民大學未來法治研究院網站2023年3月16日,http://lti.ruc.edu.cn/sy/xsgd/sjygrys_/6ff19725538f42d9b572f7ca7c9393b9.htm。其中財產利益保護模式在私法上屬于“法益保護”,而財產權利保護主義屬于“權利保護”。與“權利保護”相比,“權益保護”所針對的不是法定的及類型化后的權利,且在法律適用與損害界定上均存在差別。(19)參見朱虎:《侵權法中的法益區分保護:思想與技術》,載《比較法研究》2015年第5期,第44-48頁。據此,合同規制法與侵權規制法均對數據權利具有較強的依賴性。然而現階段,并沒有任何法律規范對數據產權及數據權利進行界定。

最后,就反不正當競爭而言,反不正當競爭的規制路徑并不以產權為必要前提。在無法基于明確的權利歸屬而得到合同規制法與侵權規制法的保護時,反不正當競爭可以提供漸進且場景化的保護。(20)參見孫晉、馮濤:《數字時代數據抓取類不正當競爭糾紛的司法裁判檢視》,載《法律適用》2022年第6期,第112-120頁。以《反不正當競爭法》適用范圍最大且最具靈活性的一般條款(第2條)為例,其調控范圍仍局限于市場競爭方面,將維護市場秩序與保護市場結構作為第一順位,其所規制的行為局限于對相關生產經營者造成實質性阻礙的情況?！斗床徽敻偁幏ā吩谶m用范圍上具有局限性,在發生實際損害后方能啟動救濟。除了一般條款部分,對于尚未公開且具有一定商業價值的數據還可通過商業秘密加以保護。(21)參見《反不正當競爭法》第9條。然而,商業秘密保護的邏輯是基于秘密性、保密性和價值性三個要件。對于數據而言,以商業秘密進行保護的充分必要條件,是相關數據未被其所涉領域的人員普遍知悉、該數據已被采取相當的保護措施、該數據能夠為其權利人帶來優勢。據此,商業秘密保護理論的適用基礎是數據需要符合商業秘密三性。若數據的收集來源較為廣泛,那么大部分數據是無法滿足秘密性要件的。單就價值性而言,目前并沒有較為健全的評估數據價值的方法,在具體的司法裁判上缺乏穩定性。

國際上,美國傾向于利用行為規制法對數據及相關權益加以保護。美國在其1986年出臺的《計算機欺詐與濫用法》(ComputerFrandandAbuseAct,簡稱CFAA)中通過侵權規制法的形式對未經授權或超過權限訪問計算機等不當行為加以規制。(22)參見丁曉東:《論企業數據權益的法律保護——基于數據法律性質的分析》,載《法律科學(西北政法大學學報)》2020年第2期,第92頁。CFAA早期將未經授權或超過權限訪問計算機等行為認定為犯罪行為。然而,在后續的“Craigslistv.Taps案”(23)Craigslist, Inc. v. 3Taps, Inc., 942 F. Supp. 2d 962 (N.D. Cal. 2013).與“Facebookv.PowerVentures案”(24)Facebook, Inc. v. Power Ventures, Inc., et al., 844 F.3d 1058 (9th Cir. 2016).中,法院又否定了當事人通過“使用條款”來援引CFAA下的未經授權條款,認為在有禁令或技術手段的情況下才能構成CFAA下所說明的未經授權。2017年,在“hiQv.LinkedIn案”(25)hiQLabs, Inc. v. LinkedIn Corp., 273 F. Supp.3d 1099 (N.D. Cal. 2017).中,美國法院再次確認利用爬蟲軟件對公開信息的爬取并不違反CFAA?，F今美國法院更是認為違反爬蟲協議(robots協議)的行為并不必然屬于違法行為,僅當不當行為違反了相關的行業規則或造成了具體的公共危害時才屬于CFAA所禁止的行為?？v觀近幾年美國的司法判例可以得出,CFAA在具體的司法適用上被不斷地推翻。

德國相關學者也主張,應在保證數據流通的基礎上,通過限制數據權利人行使絕對排他性要求來間接規制數據權利的行使與權利歸屬,(26)現階段,德國的司法實踐是將公開數據與個人數據區分開來,并將商業數據置于《德國著作權法》第19條與第97條下進行保護。該種保護模式也不是嚴格意義上的著作權保護,而是以網絡傳播權的形式對相關數據加以保護,并對相關不當行為進行侵權認定。并促進整個數據經濟的市場競爭。(27)參見吳桂德:《商業數據作為知識產權客體的考察與保護》,載《知識產權》2022年第7期,第96頁。日本主要利用《日本反不正當競爭法》以商業秘密理論對數據的利用與使用加以行為規制。(28)參見劉影、眭紀剛:《日本大數據立法增設“限定提供數據”條款及其對我國的啟示》,載《知識產權》2019年第4期,第93-95頁。歐盟在歷經近30年的“數據保護”實踐后,也逐步從產權規制法轉變為以《數據法》為代表的行為規制法。具體而言,《數據法》通過構建數據訪問權,以既非商業秘密也非傳統產權的角度對非公開的數據加以保護與規制。(29)參見司馬航:《歐盟數據財產權的制度選擇和經驗借鑒——以歐盟〈數據法〉草案切入》,載《德國研究》2022年第3期,第114-117頁。

與產權規制法相比,行為規制法類似于一種現行有效的法律集合,其更加注重效率,具有較強的功利主義色彩。但與產權規制法一樣,行為規制法同樣存在是保護數據還是保護以數據為載體、經數字化后的商業秘密等問題?，F今大部分的行為規制法均屬于義務規范模式,且幾乎均以損害結果發生為實質性要件。如《反不正當競爭法》是以阻礙市場競爭為實質性判斷要件,且具體的損害賠償問題仍需要轉承至《民法典》中侵權責任編的相關規定。(30)參見潘重陽:《解釋論視角下的侵害企業數據權益損害賠償》,載《比較法研究》2022年第4期,第48頁。就不當行為而言,也因商業秘密保護本身所存在的秘密性、保密性與價值性要件而無法有效針對數據問題。即使在《反不正當競爭法》中增設“商業數據專條”來加強數據化財產的競爭保護,(31)參見孔祥俊:《論反不正當競爭法“商業數據專條”的建構——落實中央關于數據產權制度頂層設計的一種方案》,載《東方法學》2022年第5期,第27頁。其也無法直接解決現階段的數據問題。該種專條的核心仍是解決通過數字化并以數據作為載體加工的商業秘密所引發的法律糾紛。將上述問題置于具體的司法實踐中,便會轉變為因對自由裁量權的過度依賴而導致的個案個判現象,這對司法穩定性與維護長期正義是十分不利的。

三、以控制與管理為主導的數據產權構建

無論是產權規制法還是行為規制法,其均是對各個既有領域的數據問題進行分段式研究,并不能對數據領域及數據流通三大階段進行有機統一的調節與規制。據此,數據產權亟需被確立以便適應數據經濟的高質量發展需求。構建數據產權的目的也是為了更好地規制數據行為,確定行為起點與行為邊界,并明晰數據行為所引發的法律關系。

(一)數據產權的界定

數據作為新型生產要素的特性體現為:首先,數據具有無形性,即無法通過實體占有而進行支配是其區別于傳統的有形財產最為重要的特征。其次,數據的可復制性是其區別于有形財產的第二大特征。在可復制性的加持下,數據的開發與利用效率遠大于有形財產,這加大了數據的保護難度。再次,數據的非競爭性主要指與傳統資源或生產要素相比,數據與使用次數之間不存在反比例關系,即數據不會如傳統財產一般隨著使用次數的增加而損耗自身產能。相反,隨著使用次數增加,數據之間的相關性會被更多地挖掘并增加數據自身的經濟價值。最后,數據的非排他性主要是指同一數據可被多個主體同時開發利用。上述四性共同成就了數據作為一個新生產要素在市場中的經濟價值。

基于數據所具有的特性,對于數據產權的構建需從可被多主體同時開發利用這一特點出發,以構建一種具有“最低限度的必要排他性”權利。之所以保留一定的排他性,是出于維護經濟秩序與促進良性競爭等因素的考量。若完全摒棄排他性,則會導致市場上的生產經營者對數據無序掠奪并造成市場結構的損毀。

理論上講,產權規制法與行為規制法并不是一個非此即彼的關系。行為的實施依賴于權利,權利的獲取又一定程度上依賴于產權制度。因此,不能因為數據所特有的無形性、可復制性、非競爭性、非排他性等特點而直接抹殺產權在規制數據方面的作用。同時,行為規制的方式仍需要以產權的框架為基礎,若無任何權利基礎則無法對相應行為進行合理有效的規制。故構建新型數據產權便是重點研究的對象。

誠然,目前中國的產權規制法并不能適配于數據的開發與利用,然而數據的發展仍離不開產權這一基本框架?，F階段中國大部分產權規制法均集中于對“物”的規制而忽略了行為上的考量,故筆者以數據本身與數據行為作為切入點,通過引入數據控制權與數據管理權對現階段的產權制度進行改良,即以行為規制為主導并以產權為基本框架來構筑數據產權。引入數據控制權與數據管理權主要基于數據的使用、開發與利用等需求。

現階段所有權的四項權能無法完美適配于數據這一無形之物,而強行將所有權這一強排他性的權利安置于數據之上也無法有效調整數據行為。究其原因,具體如下。

其一,基于數據自身的特性,數據及數據產權在客觀上不存在且不應該具有傳統所有權具有的排他性。具體而言,與所有權中的占有權能相比,數據在物理層面上無法以對有形物的方式進行排他性支配。(32)參見李愛君:《數據權利屬性與法律特征》,載《東方法學》2018年第3期,第72頁。數據基于非排他性可以同時被多個主體開發利用,且其自身的經濟價值并沒有因被無限制性使用而降低。與之相反,數據的價值反而因聚合與整合的過程而不斷增加,而聚合與整合的過程就是數據被不斷使用的過程。據此,數據無法通過占有的模式被套用于既有的所有權體系下。

其二,通過所有權對數據進行確權與保護無法滿足數據開發利用以及價值提升的切實需求。數據雖然不具備獨創性和創新性,但其(尤其是數據集合)卻具有關聯性、針對性與聚合性,而這些特性均需要通過非排他性的重復使用才能獲得。如英國科學院2018年在有關數據所有權與控制的研討中提出,數據并不像傳統的有形財產可通過排他性占有進行保護,“數據所有權”會給數據的流通、開發與使用帶來較大的困難與挑戰。(33)Anna Bradshaw, Data Ownership, Rights and Controls: Reaching a Common Understanding—Discussions at a British Academy,Policy Commons(11 December 2018), https://policycommons.net/artifacts/3446884/data-ownership-rights-and-controls/4247021.相應地,德國也同樣不支持以現有的所有權制度對數據加以保護。(34)Josef Drexl &Reto M. Hilty, et al., Data Ownership and Access to Data-Position Statement of the Max Planck Institute for Innovation and Competition of 16 August 2016 on the Current European Debate, SSRN(9 September 2016), https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2833165.基于此,數據產權的構建需要盡可能降低排他性使用的限度。但是,重復利用對經濟價值的有效提升并不代表可以完全不考慮排他性抑或是限制性所獨具的功能,因為維持市場運行的穩定、保障市場結構以及維持有效競爭均需要一定的排他與限制。

在控制與管理雙重權利架構模式下能夠有效解決數據歸屬問題,即數據歸屬于控制權主體,相應的管理權主體只負責對數據實施相關管理行為。其中,數據控制權與所有權較為相似,對數據控制權的構建是以所有權為邏輯起點。因數據本身具有無形性、可復制性、非競爭性、非排他性等特征,筆者在構建數據控制權的過程中有意降低了具有強排他性的占有權能,但同時保留“最低限度的必要排他性”以保障正常的經濟秩序,尤其是在同一數據被多主體同時利用的情況下。

筆者以終端用戶到企業這一階段為切入點對數據產權進行架構。(35)因大部分的法律邏輯與相關權利授予均主要發生在第一階段,而第二、三階段更加關注公共利益等因素,故以此為切入點。在架構上通過控制與管理二分法(36)《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》(簡稱《數據二十條》)通過三權分置的方式呈現了數據資源持有權、數據加工使用權與數據產品經營權?？刂婆c管理二分法能夠包含上述三權。對數據的流通進行模型建設,來初步論證在以控制與管理主導的模式下,數據控制權與數據管理權如何在多主體間進行配置以保障數據經濟的有序與高效發展。

(二)數據產權的主體、客體與內容

筆者所構建的數據產權主要基于現實生產經營的需求,從控制與管理的角度出發進行架構。數據產權具體架構模型如圖1所示。

圖1 數據產權架構

1.數據產權客體

數據產權的客體是數據,雖然數據具有無形性、可復制性、非競爭性、非排他性,但其仍具有一定的可控制性。以《數據安全法》為例,該法將數據定義為通過電子或其他技術手段對信息加以記錄的方式。(37)參見《數據安全法》第3條。據此,無論是自然人、法人、公共部門或是其他組織機構,均可通過技術手段對數據實現包括存儲、加工在內的必要控制。不同于對傳統有形財產的支配,對具有生產要素與經濟價值的數據的控制更類似于對一種“資源”的控制。同時基于數據經濟的獨特增值方式,該種控制不能具有強排他性。

數據控制權被創制出來的意義具有雙重性。其一便是最大化地減少傳統所有權所具有的強排他性。其二,出于對經濟秩序與市場結構的保護,從交易安全的角度出發,通過控制權的形式對數據與相關數據主體以及權利內容加以明確,通過保留必要的排他性以保障有序的數據流通及平衡數據資源的利用與享有,進而帶動社會財富的整體增長。(38)參見冉昊:《財產權的歷史變遷》,載《中外法學》2018年第2期,第382頁。

2.數據產權主體

現階段并沒有相關的立法文件對數據主體進行明確有效的分類。學理上,存在以數據內容與數據行為為主導的多種數據主體分類方法。

其一,對于以數據內容為基礎的數據主體可以理解為“關于誰的數據”,即相關數據所展示的信息主要的針對主體。對于該種數據主體,因數據的主要內容與其自身的信息具有十分強烈的相關性,相關數據主體對自身的信息同樣具有較強的控制力。以數據內容為基礎的數據主體應是數據控制主體,就數據內容相關性而言,不會有任何主體更有權利對該數據加以控制。同時,單純通過事實上的控制與管理等情況來確定數據控制主體,進而決定數據控制權的歸屬并不合理。(39)本質上講,數據控制主體與數據控制權的歸屬不能混為一談。然而,現階段的一個較為普遍的現象是誰對數據進行了實際的管領與控制,誰便是該數據的控制者。法律上雖然沒有明確數據控制權的內涵與外延,但實際上數據控制者卻實施了相關權利。這種現象不應被認可。誠然,事實上的控制與管理,在一定程度上是較為良好的判斷數據控制主體的參考。

其二,對于以數據行為為基礎的數據主體可以理解為“由誰管理的數據”,即通過對數據的加工、存儲、傳輸等行為活動,在數據主體層面產生了數據加工者、數據存儲者、數據傳輸者等。上述行為活動均可以通過一種更為寬泛的概念加以描述,即數據管理行為。實施數據管理行為的主體便是數據管理主體。從本質上講,享有數據控制權的主體與享有數據管理權的主體(40)此處所指的管理是一個較為寬泛的概念,涉及數據的收集、存儲、使用、加工、傳輸、提供、公開。之間并不是非此即彼的二元對立關系。在某一主體管理與自身相關的數據時,其同時享有數據控制權與數據管理權。

3.以控制與管理為主導的數據產權內容

正如在數據權利主體部分所述,以內容與行為為分界,存在著控制與管理的界分。因此,在數據產權內容上,將數據產權細分為數據控制權與數據管理權。

數據管理權屬于一種較為寬泛的概念,即只要不是法律所禁止的,任何對數據實施開發利用的權利均可被涵蓋于數據管理權內。具體而言,其主要包括實施《數據安全法》所列明的收集、存儲、使用、加工、傳輸、提供、公開數據等權利。數據的使用是提升數據價值的主要方式,且該種價值的創造或提升大體基于具體的勞動行為,其背后的邏輯是馬克思主義政治經濟學。

數據控制權的邏輯基礎雖然來源于主體層面的數據控制者,但是并不能完全依據主體身份對數據控制權進行權屬判定,因為不具有主體相關性的數據同樣面臨著數據控制權歸屬問題。數據控制權在具體的表現形式上與傳統的所有權有一定的相似之處,只不過出于數據經濟發展的需要而移除了所有權下的占有權能。同時,基于經濟秩序與市場結構的需求,必要的排他性仍需被保留。對某個數據進行開發利用并不能直接表明實施開發利用行為的主體對某一數據具有控制權。原因在于:其一,基于數據自身的特性,同一數據可在同一時間段被不同主體加以開發利用。其二,根據前述權利邏輯,開發利用行為僅是管理行為,相關主體不能僅通過實施管理行為來證明自身對某一數據具有控制權。

對于無法顯示內容主體的數據,仍需要運用法律擬制的手段確保數據控制權的歸屬?，F階段,不具有主體相關性的數據主要是經過匿名化(41)此處所指的匿名化并不局限于《個人信息保護法》所列明的針對個人信息的匿名化,消除企業、其他組織機構的主體相關性同樣屬于此處提及的匿名化。后的衍生數據,以及本身不具有主體相關性的原始數據。經匿名化處理的衍生數據,可以理解為數據管理主體實施了切斷主體相關性行為。對于該種數據,應采取法律擬制的方法將數據控制權交予實施匿名化或其他切斷主體相關性的數據管理主體。對于本身不具有主體相關性的原始數據,應當將該種數據的控制權賦予生產或創造該數據的主體。對于前者,將數據控制權如此分配的理論依據屬于先占理論。相關數據被切斷主體相關性后,便屬于無主物的范疇。在傳統民法理論體系下,對于無主物的原始獲取可以取得該物的所有權。誠然《民法典》并沒有采納先占理論,但在數據權利不清且數據權屬不明的情況下,可適當借鑒該理論。(42)參見丁曉東:《新型數據財產的行為主義保護:基于財產權理論的分析》,載《法學雜志》2023年第2期,第57頁。將先占理論應用于切斷主體相關性的數據上能夠較為有效地確定數據控制權的歸屬,并以此保障經濟秩序、市場結構以及產能配置。對于后者,其理論邏輯源于洛克的勞動價值理論,該理論認為勞動可以為具有排他性的權利提供正當性的基礎,即生產無主體相關性的原始數據本身就是取得該數據控制權最好的證明。

據此,判斷數據控制權的歸屬存在一個二重遞進的邏輯過程,涉及主體相關性與行為相關性的雙重判斷。首先,判斷數據是否具有主體相關性,即對相關數據是關于誰的數據進行判定。若相關數據能夠體現出其所記載的信息主體,則數據控制權的歸屬便能被直接判定。其次,若相關數據不具有主體相關性,則需先初步判斷該種數據的類型。若其屬于經匿名化等處理行為而被切斷了主體相關性的衍生數據,則該數據控制權的歸屬判定應當按照先占理論,即誰先實施了匿名化行為,誰便具有對該數據的控制權。若相關數據本身不具備主體相關性,則數據控制權的歸屬判定應當依據勞動價值理論,(43)參見馮曉青:《知識產權法哲學》,中國人民公安大學出版社2003年版,第3-5頁。即誰生產了該數據,誰便享有該數據的控制權。勞動理論與先占理論僅是在數據內容相關主體不清晰的情況下,通過事實上對相關數據的管理與控制等外在表現來判斷數據控制權歸屬的方式。同時,數據控制權的歸屬不能完全依賴于先占理論或勞動價值理論,否則會造成經濟秩序的崩塌與市場結構的損毀。不宜以實際控制與管理情況來判斷數據控制權的歸屬,因為該種判斷方式不僅損害了數據內容相關主體的合法權利,還刺激了市場中的生產經營者搶奪數據資源,即通過將數據劃歸于自身實際管理控制之下而獲得數據控制權,并最終導致市場競爭扭曲。

無論是先占理論還是勞動價值理論,均不能完全體現數據控制權的外部公示性。在數據經濟下,數據控制權的創設既是為了減少所有權所具有的強排他性,也是為了保留必要的排他性以保障經濟秩序。在能夠體現數據所針對的主體時,主體身份的公示性自然而然產生了足以保障經濟秩序的必要排他性。然而,當數據無法表明其所記載的內容或信息所針對的主體時,該種公示性便隨之消失。據此,對經匿名化處理的數據與本身不具備主體相關性的數據進行登記,進而產生外部效力,是保留必要排他性的充分必要手段。在數據經濟下,匿名化行為與不具有主體相關性的原始數據生產行為均因數字自動化技術的提升而愈發趨于同質化。故數據控制權所體現的最低必要排他性僅是針對無權爬取、秘密竊取等不當行為,不能針對在取得相關數據控制權后而排除他人對相關數據實施同樣的匿名化行為,或是限制他人生產或創造不具有主體相關性的原始數據。

(三)數據控制權與數據管理權之間的關系

筆者對數據產權的構建是以行為規制為主導,以產權制度為框架,并聚焦于治理數據與解決數據所涉及的法律問題。其中數據管理權主要針對《數據安全法》所提及的七種行為,數據控制權主要提供“最低限度的必要排他性”,以保障市場秩序與經濟發展。數據控制權是數據管理權的基礎,數據管理主體實施《數據安全法》所明確的七種行為均需被具有數據控制權的主體授權。若無數據控制權,則數據管理權無法合法實施。在未取得數據控制主體授權的情況下,即使相關主體事實上實施了數據管理行為,其行為的合法性與有效性也是存疑的。

在內部性上,數據控制權是數據管理權得以實施的基礎。數據管理權所對應的七種行為,是數據及數據控制權能夠實現其價值的外部表現。(44)數據的價值在于使用,若不行使《數據安全法》所規定的七種行為則無法對數據加以聚合,不具有聚合性的數據很大程度上不會存在較高的經濟價值。數據控制權更多體現于數據在靜態上的實質歸屬,而數據管理權更多體現于動態上數據行為的具體實施,二者共同構成了一個有機統一的數據產權。在外部性上,以控制與管理為主導的數據產權能夠有效調整前文所述的產權規制法與行為規制法的隔閡,即行為的規制需要以一定的權利為基礎。這種以管理權為主要外在表現形式,通過控制權提供一定的權利公示性,進而達到“最低限度的必要排他性”,是一種能夠維護經濟秩序、保護市場結構,并促進數據經濟高質量發展的數據產權。

筆者主要基于現實的市場情況,將數據產權分為數據控制權與數據管理權。以終端用戶到企業的數據流通為例,大部分終端用戶無法憑借自身能力在具有數據控制權的基礎上直接實施數據管理行為,其僅能通過授權的形式將數據管理權授權給提供數據服務的主體,其中數據控制權便是實施對外授權的基石。在企業與企業之間,大部分企業基于生產經營的需要,均會通過保留數據控制權的形式,將數據管理權授權給他人使用,并基于合同向實施數據管理行為的主體支付一定的服務費用。簡而言之,造成數據控制權與數據管理權分離的原因主要有兩點:其一,數據控制主體與數據管理主體之間存在技術能力的差異,需要通過授權的形式來對數據進行利用。其二,現階段數據已然成為不可多得的生產要素,具有巨大的經濟價值。所有生產經營者均想以所有權的形式對其所收集的數據加以絕對排他性保護。據此,在數據流通方面,大部分生產經營者均會采取保留數據控制權的形式對數據管理權進行對外授權,而非直接對數據進行轉讓或交易。

誠然,數據控制權更加偏向于靜態的主體歸屬,但其本質是對數據資源的使用與控制。數據控制權是為了實施數據管理行為,實現數據利用、數據處分以及數據經濟價值開發的前提與基礎。數據管理權更加偏向于動態的行為實施,且在實際的生產經營活動中,該權利通常由具有較高技術能力的主體代為實施。(45)尤其是針對個人數據,終端用戶的數據管理行為能力普遍低于具有成熟的數據管理能力的企業或其他組織機構。二者之間的本質區別便是數據的管理權需完全在既有的法律框架下以及相關主體的授權范圍內行使,而數據控制權并不依賴于以意思表示為主的法律行為。

數據控制權與數據管理權之間存在部分交叉,最為直接的體現是在數據的使用方面。數據控制權與數據管理權其實并不一定會分離,只有數據控制主體主動通過對外授權的形式將數據管理權授予他人時,(46)主要發生于相關數據控制主體無法對關于自身的數據加以管理或需要降低管理成本等情況下。才會出現數據控制權與數據管理權的分離。但是,將數據管理權進行對外授權的數據控制主體并沒有喪失其數據控制權下對同一數據的使用權能。數據控制權本身便具有對數據的使用權能,其不以數據管理權的轉移而喪失。此外,共同使用的現象不僅符合作為生產要素的數據的自身特性,也符合數據經濟高質量發展的需求,更是數據所獨具的非排他性的體現。對于數據控制者與數據管理者之間的使用方式、使用權限與使用邊界等問題,需要以具體的授權協議或合同加以明晰,因合同而引發的糾紛自然地受到《民法典》合同編的調整。無論是數據控制主體對外授權數據管理權,還是數據管理主體實施相應的開發利用行為,均主要受到行為規制法的調整。

(四)數據的處分、收益與訪問

在數據經濟下,數據已然成為了不可忽視的生產要素,針對數據的處分、收益與訪問問題,有必要進行明確?，F有學者認為,應通過設立數據處分權與數據收益權對數據的處分與收益問題加以規制。(47)參見李愛君、夏菲:《論數據產權保護的制度路徑》,載《法學雜志》2022年第5期,第20頁。其中,數據處分權是對數據進行讓渡的權利。數據收益權是基于對數據的處分或對數據實施《數據安全法》所提及的七種行為而產生的獲取價值增益的權利。

數據的處分、基于處分或開發利用而產生收益均是數據控制權本身所具有的功能,應屬于數據控制權下的權能而非獨立于數據控制權的其他數據權利。首先,數據的處分僅能通過具有控制權的數據控制者加以實施,故數據的處分應當是數據控制權下所應有的功能?，F階段數據的收益一般是通過數據交易(轉讓)或者對數據進行加工而產生的經濟效益。就數據交易而言,其屬于數據處分的一種。該種情形下,數據的收益對數據的處分具有較強的依賴性,故其仍屬于數據控制權下的一項權能。針對數據管理行為產生的收益,應當綜合考慮經濟秩序與市場結構等多個問題。若直接將數據收益建立在勞動價值理論上,則會引起無序的數據爭奪,且變相架空了數據控制者對數據的控制力度。(48)尤其是在實施匿名化或其他切斷主體相關性的情況下。數據的收益應當是數據控制權下的一項權能,具體的收益分配問題應當由數據控制者進行判斷。如數據控制主體在將管理權對外授權時,通過協議的方式與數據管理主體協商約定數據收益分配的問題或直接支付數據管理費用,而不對數據收益進行分配。不應當直接通過勞動價值理論來默許實施數據管理行為的主體對其所管理的數據具有收益權。在數據經濟下,勞動價值理論絕對不能在判斷相關數據權利以及具體權能的歸屬中占據主導地位。

現今,大部分國家通過數據訪問權的構建來促進數據的開發利用與流通共享。本質上講,數據訪問權的權利性質較為特殊,其不是對某個數據享有控制權或管理權的主體所享有的權利。相反,其是數據控制主體與數據管理主體之外的第三方主體所應享有的權利,即對不受其控制或管理的數據加以訪問或接觸的權利。其實,數據訪問權便是對“最低限度的必要排他性”的最好解釋。首先,在必要排他性上,通過對數據控制權的構建以及具體的歸屬判定邏輯確立了數據控制主體,并依據未經授權許可不得使用的邏輯來確保了基本的經濟秩序與數據安全。其次,排他性的最低限度就是通過數據訪問權加以體現的,即控制主體若無正當理由不得拒絕其他第三方主體對該數據的訪問。當然,具體的正當性標準主要依據《數據安全法》《個人信息保護法》的規定,以及現行包括《民法典》《反不正當競爭法》《中華人民共和國著作權法》《中華人民共和國專利法》在內的具體要求和相應的司法實踐。數據訪問權并不是以控制與管理為主導的數據產權下的權利或權能,其更傾向于數據控制權這一具有“最低限度的必要排他性”權利所對應的義務,即訪問權是非數據控制主體所享有的訪問相關數據的權利,而該種權利同時對應于數據控制主體,并產生了非基于正當理由不得排除或妨礙第三方訪問相關數據的義務。以所有權為例,所有權的義務主體是所有權人以外的其他第三方主體,這就是強排他性最為重要的表現形式之一。而數據訪問權可以被認定為數據控制主體與數據管理主體所承擔的不得以無正當性理由拒絕第三方主體訪問其數據的義務。同時,數據管理權也具有相應的義務,即按照《數據安全法》與《個人信息保護法》所列明的義務與責任對數據實施開發利用等管理行為。

整體而言,數據控制權是數據管理權的基礎,數據管理權是數據控制權的外在表現形式。對于數據產能的最大釋放需要通過管理行為的實施方能達成。雖然實施切斷主體相關性的數據管理行為可以在一定程度上改變數據控制權的歸屬,但是數據管理行為絕對不是斷定數據控制權歸屬的充分必要條件。此外,數據控制權與數據管理權在權利內容上存在一定的交叉關系,但該種交叉關系并沒有實質性沖突,均可通過現行的行為規制法進行調整。綜上所述,筆者所構建的數據產權主要由數據控制權與數據管理權組成,其中數據控制權下又存在使用、處分與收益權能。數據管理權則是能夠實施《數據安全法》所列明的七種數據行為的權利。

四、結語

筆者通過結合產權規制法與行為規制法,以行為規制法為主導,以產權為框架,以數據及其所涉問題為中心,對數據產權及數據控制權與數據管理權進行初步構建。與傳統的所有權相比,數據控制權削弱了所有權中的占有權能,但保留了“最低限度的必要排他性”,以保障經濟秩序的穩定與市場結構的完好。該種必要排他性主要表現在對相關權利的授權上,即非經數據控制主體的明確授權許可,任何其他第三方主體不得對數據實施開發利用等行為。最低排他性的體現需借助于數據訪問權,即數據控制主體無正當理由不得拒絕其他第三方主體對其所控制的數據進行訪問與接觸。數據控制權是一種靜態的權利歸屬狀態表征,對于數據的開發利用更加依賴于《數據安全法》中所列明的七種數據行為,而能夠實施七種數據行為的權利便是數據管理權。

從完整的數據產權上看,控制權的主要外在表現大部分要依賴于數據管理權的行使?；诩夹g能力差與實際的商事需求,數據產權主體均習慣于將數據管理權進行對外授權。在對外授權的規制上,主要依據賴于行為規制法下的合同規制。就整個數據管理權而言,該種權利的創設本就是依賴于數據行為的實施,故對于該權利的具體規制更需要依據現行的行為規制法。行為的邏輯起點是權利,任何無明確權利起點的行為在某種意義上均屬于“無權處理”或“無權處分”。數據控制權的創設便是為數據管理權與具體的數據開發利用行為提供邏輯起點,這便是以產權為基本框架的意義所在。

綜上所述,數據控制權是數據管理權的基礎,數據管理權是數據控制權的外在表現形式,二者彼此依附,共同形成有機完整的數據產權。當然,對于具體問題的分析,仍然需要借助較為充實的行為規制法,即利用筆者所構建的數據產權對數據權利的性質與數據權屬進行界定與判斷,同時利用既有行為規制法對相關行為加以規制,這樣既能夠平衡數據經濟下多主體的利益,又能夠保障法律的穩定性與可預見性。