文/上海市锦天城律师事务所合伙人王佑强
题记
2020年7月2日中国人大发布《数据安全法(草案)》、7月15日深圳市司法局就列入深圳市人大常委会办公厅2020年拟新提交审议项目的《深圳经济特区数据条例》发布《深圳经济特区数据条例(征求意见稿)》、7月22日最高人民法院、国家发展和改革委员会联合发布《关于为新时代加快完善社会主义市场经济体制 提供司法服务和保障的意见》(法发〔2020〕25号)正式从司法层面提出“数据”新型权益司法保护,同日最高人民法院和国家发改委相关负人在“法发[2020]25号”意见新闻发布会上就要素市场制度建设回答记者提问时强调:加强对数字货币、网络虚拟财产、数据等新型权益的保护,充分发挥司法裁判对产权保护的价值引领作用。随着中国央行主权数字货币(DCEP)的正式与C端消费场景的应用测试,数字生活及数字资产将不再是“新闻”或“理论”,数字经济及数据立法、司法保护正在走进大家的现实生活。《区块链改变未来》一书作者、上海市锦天城律师事务所合伙人王佑强律师受国际法律学术期刊《瑞中法律评论》邀请,基于《民法典》为背景在《瑞中法律评论-增刊》上发表了《从民法总则第127条规定看“数据”的法律界定及其保护》一文。
正文
《民法总则》第一百二十七条规定:法律对数据、网络虚拟财产的保护有规定的,依照其规定。刚刚由第十三届全国人大三次会议审议的《中华人民共和国民法典》将《民法总则》作为民法典的附则篇。《民法总则》127条的内容属于民事权利章节,《民法总则》作为《民法典》的总纲性内容,该第127条将数据、网络虚拟财产并列作为民事权利的原则性规定。 该如何理解《民法总则》第127条对“数据”民事权利内容呢?数据的权利客体是否既包括人格权,又包括财产权呢?不论作为人格权的数据,还是作为财产权的数据现有法律保护及未来的立法、司法保护又存在哪些问题呢?如果不尝试探讨并回答以上几个基本问题,纵然《民法总则》第127条确认了数据主体在民事法律上的民事权利,但由于现有的立法、规范性文件并没有严格界定“数据”的法律内涵和外延,对数据的保护也难以深入,更多地停留在传统“隐私权”的信息保护意义层面,这不利于数据主体的立法和司法保护。 立法和司法现实也正如前述,除《民法总则》对数据作为原则性民事权利内容进行规定外,法律层面目前只有《中华人民共和国网络安全法》从法律层面对“数据”从网络建设、运营及服务提供、网络运行安全及网络基础设施的角度进行了表述,整部法律有16处提到“数据”,并首次从法律层面提出数据的完整性、保密性和可用性等数据网络安全特征要素。《网络安全法》并没有区分“信息”与“数据”。《网络安全法》第一条立法宗旨也未使用“数据”的概念,而是使用“信息”来表述立法宗旨。《网络安全法》第一条规定:为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。值得注意的是,《网络安全法》第18条首次在法律层面提到“数据资源”的概念。由中华人民共和国工业和信息化部(24号令)2013年6月8日公布并于当年9月1日实施的《电信和互联网用户个人信息保护规定》(下称“保护规定”)通篇未使用“数据”表述,但却对“用户个人信息”进行的定义。《保护规定》第4条规定:本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。值得注意的是,《保护规定》对“用户个人信息”的定义并没有区分一般信息和敏感信息,即未对信息进行类型化界定,也未就“个人信息”的可识别性进行规定,《保护规定》的“保护”难言有效。2014年10月10日起施行的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(下称“信息网络纠纷若干规定”)也没有使用“数据”的概念,而是从信息网络人身权权益侵权保护的角度规定了“信息网络服务提供者”和“网络用户”在“信息处理”方面的权利义务及责任认定。中华人民共和国国家标准化委员会公布的《信息安全技术 个人信息安全规范(报批稿)》(下称“安全规范”)附录C《保障个人信息主体选择同意权的方法》(2018版)和《实现个人信息主体自主意愿的方法》(2020版)(以下统称“信息规范”)的“功能界面模板”中对“数据安全能力”进行了定义,《信息规范》规定:数据安全能力指个人信息控制者保护个人信息保密性、完整性和可用性的能力,个人信息控制者可以通过开展相关的国家标准合规工作证明其数据安全能力,并将相关证明以链接形式向个人信息主体展示。《安全规范》通篇将“信息”和“数据”混同使用,有时候以“数据”解释信息,有时候以“信息”解释数据。另外,《安全规范》属于行业技术标准指引,没有强制法律效力。 通过梳理我国现有网络信息安全、个人信息保护的法律、司法解释及相关规范文件发现,我国的立法层面尚未对“数据”的法律概念进行界定,多数时候,数据和信息没有严格区分表述和使用,可以认为现有法律、司法解释及相关规范性文件中默示“信息”和“数据”的同等含义,至少是在概念上混同使用。通过比较分析《民法总则》第127条的规定,笔者认为将“数据”作为民事权利进行规定是一次重大民事立法突破,将“数据”和“虚拟财产权”并列规定在同一条款更是民事立法的史无前例。从域外立法比较来看,欧盟是对个人数据保护立法最为完善、严格的法域,尤其以德国为领导的欧盟委员会颁布的《一般数据保护条例》与我国同属大陆法系,其对“数据”的立法经验值得借鉴和讨论。《一般数据保护条例》在“鉴于条款”开篇提到“自然人在个人数据处理方面获得保护是一项基本权利”。在《一般数据保护条例》的第一章第4条“定义”章节中,对“个人数据”进行的定义:“个人数据”是指一个被识别或可识别的自然人(“数据主体”)的任何信息,接着具体规定可识别的内涵:一个可识别的自然人,是指通过姓名、身份证号码、位置数据、在线身份识别码这类标识,或通过针对该自然人的一个或多个身体、生理、遗传、心理、经济、文化或身份等要素,能够直接或间接地被识别。从其定义的内涵和外延看,“个人数据”的主体权利应该包括的人格权和财产权等权利内容。国内相关学者也从“数据所有权”的角度对数据财产权进行了研究,认为:大数据兼有人身(如隐私等)和财产属性,其中数据主体对数据享有的占有、使用、收益、处分的所有权,是大数据交易的根本法律依据,大数据所蕴含的技术、经济效应是数据作为法律保护的财产之基础,也是数据交易的根本价值所在。笔者赞成前述作者的观点,但数据交易以数据的市场为基础,以数据的法律确权为前提条件,从立法角度考察,首先数据的内涵需要有明确的定义,其次是明确数据主体对数据的权利客体,尤其是对数据财产权进行法律上的界定,方可将数据主体对数据的占有、使用、收益、处分等相关的人身权益、财产权益的内容落到实处。 从国内就与个人信息、数据的相关规定,及与欧盟相关立法的比较研究中可以发现,数据与信息区别至少具有如下特征:(1)基于大数据、人工智能、云计算等数字化技术的发展,使得个人信息的要素特征越来越精准及可量化;(2)信息主体网络行为产生的信息使得信息主体的身份、私有活动、生物信息、财产信息具有了高度精确可识别性;(3)信息主体网络行为产生的高度精确可识别信息一旦泄露会影响信息主体的隐私和财产安全。笔者认为,数据和信息互相关联并存在内在联系,在通常语义表达和生活经验中,信息和数据多数场合被混同使用,但又在直觉感知上有所区别,比如大数据相关的技术出现之前,数据较少地被从法律层面加以保护,鲜有将“信息”保护具体化到民事权利的高度进行保护;再如大数据、5G、人工智能、云计算出现之前,也鲜有在立法层面就信息处理赋予信息主体可携带权、反对权、被遗忘权等具体严格的权利内容。笔者认为,“数据”及数据主体的权利保护之所以成为今天法律上探讨的问题,核心原因在于数字化技术可将信息主体的可识别特征进行高度精确量化,这些对数据主体高度精确量化的信息既能实现智能化的机器自主决策,也能作为人工决策的依据,当信息的精确量化数据能作为决策依据时,意味着数据聚合之后的巨大经济和社会管理效益,而恰恰在数据的经济效益、社会效益与数据主体之间存在天然矛盾关系。因此,数据作为法律民事权利受到保护,在司法层面应该以数据的市场为前提。 基于前述,笔者认为,数据是基于数字化技术对信息主体特征进行量化后精确可识别化的信息。如前文所述,《民法总则》并没有对数据进行定义,仅对数据进行了原则性的规定,并作为与“虚拟财产权”并列的权利内容规定在“民事权利”篇章的同一条款。从立法逻辑推测,难以完全否认立法者基于前瞻性为数据的人格权、财产权预留了空间,也正因如此才使得对《民法总则》第127条的探讨具有现实意义。 毫无疑问,数据作为对数据主体具有精确量化可识别性的信息,具有经济利益和社会效益。国内对数据主体相关权利法律保护更多是从个人“隐私权”的传统民法视角,比如最高院的《信息网络纠纷若干规定》仅从以信息网络为手段构成“侵权”的权益纠纷角度进行了司法解释,但其可诉性主要围绕人身权,鲜有以“财产权”确权、给付等侵权可诉性内容。笔者认为,数据财产权作为数据主体的权利客体是极其重要的权利内容,现有立法的缺失,甚至空白,不利于大数据产业、人工智能、5G、区块链、云计算等数字化产业的发展,当下的“隐私权”保护立法、司法解释更无法适应数字化经济背景下“数据”聚合的权利保护诉求。笔者认为,数据财产权在立法上得以确立之前,数据作为资产的法律属性有必要厘清。 如前文所述,数据财产权基础是数据的市场,而数据的交易市场需要数据主体的法律确权。在以区块链为代表的技术组合应用产生之前,数据主要被用作终端市场的产品开发、营销和一定范围内的研究工具,在其发展过程中还衍生出了“数据挖掘”、“数据清洗”等灰色产业链,数据的价值首先在未得到法律保护的领域体现出来。随着信息化、智能化的深入发展,数据关乎个人、企业、组织的安全、财产、隐私及社会秩序等重要性逐渐为管理者所认知。由于数据的法律保护跟不上“数据市场”应用和需求的快速发展,网络虚假信息、网络欺诈与真实信息孤岛化隔离及安全保护成本之间的矛盾越发突出。数据作为能带来“价值”的生产要素急需厘清权利义务法律边界。 首先,以各互联网巨头为代表的网络市场经营者手中掌握着大量的个人、企业活动信息和数据,这些数据不断地被用作商业目的赚取利润,数据持有、使用者与源数据主体 之间的利益冲突随着数据生产要素化条件越来越充分变得日益尖锐,急需国家层面在立法、司法领域进行干预。数据要素特征模型化的前提是数据具有使用价值,使用价值离不开数据的具体应用场景,区块链产生之前的信息互联网,数据的使用方式、价值体现均受控于数据收集、持有者,极少考虑源数据主体的信息安全性、价值权益,数据的可资产化条件非常弱。《民法总则》在立法上首次对数据等虚拟财产权进行了原则性确立,意味着数据资产化具有了基本的民事法律依据。下一步需要就数据财产权的司法化、权利内容具体化、侵权构成要件化、交易转让法定化、侵权赔偿标准化等作进一步的立法和司法解释工作,以适应现实生产、生活需要,比如数据资产化的基础是数据法律确权,数据的法律确权首先需要解决源数据主体对数据客体的所有权地位。在涉及到数据的采集、存储、使用、传输等环节,究竟什么类型的数据、什么环节的数据落入源数据主体所有权的认定范围?是否仅限于源数据主体对数据客体的所有权确权?还是符合一定条件的数据加工并控制利用者依法定事由也可以成为数据所有权的主体并可合法对外授权利用?经授权、合理使用的数据脱离源数据主体控制后的多久时间和什么样的条件改变后需要再次授权或确权。另一层面的重要问题是,落入源数据主体或法定控制主体所有权认定范围的数据载体是什么?是以区块链技术应用场景下的Token——托根化智能合约为载体?还是一定条件下的类型化数据库批量认定?笔者认为,区块链作为分布共识信用机制下的虚拟价值交换智能合约价值规则体系,是“数据”成为资产或作为数据主体财产权之关键。只有在区块链分布式共识、智能合约价值规则体系下的“数据”才可以托根资产化,数据作为财产权才可在法律上进行确权,数据的价值流动和共享才具备现实可能性。数据所有权确权应该包括强制确权和自愿确权,强制确权的数据应该主要针对互联网商业运营所涉来源于各类主体的必要基础数据,它未必具有财产权的内容,但却对互联网企业的依法合规运营极其重要,因此该类数据的强制确权应建立所有权一次性确权、长期授权有效、价值恒定的法律确权原则。 其次,商业应用角度而言,各互联网企业所持有的数据法律上确权并资产化以后,数据的收集、存储、使用应受限于该企业数据资产化的规模。如果一家企业所持有的可确权资产化数据大于其自身的净资产,法律就应该对其进一步收集、存储、使用新的数据及数据确权、资产化等行为进行法律限制,否则数据的安全和隐私保护边界将因利益的驱动被人为打破,数据的安全保护将形同虚设。 再次,数据法律确权和资产化后,数据作为一项资产必须可进入企业的资产负债表,但能资产化并进入企业资产负债表的数据资产必然具有较大的产业应用价值,这就涉及数据的产业智能化商用场景,比如,未来的无人驾驶汽车很可能成为一个重要动态数据应用终端,物联网等产业也必然涉及数据大规模智能商用的法律确权需求,那么底层的区块链技术保障是大势所趋。未来的数据涉及法律、审计、技术及管理等的跨界综合评价,数据驱动的智能商用场景将是数字经济的核心。 最后,数据的财产性内容纳入司法保护,是对数据安全和隐私保护的应有之义和高级形式的保护。我国陆续出台的以“隐私信息保护”为核心导向的系列法律、法规、规章及国家标准安全规范,基本上都是以行政管理为立法指导思想。虽然最高人民法院的《信息网络纠纷若干规定》是一部规范以信息网络为手段构成“侵权”的权益纠纷司法解释,但其可诉性主要围绕人身权,鲜有以“财产权”确权、给付等侵权可诉性内容。笔者认为,对数据安全和隐私的最有效保护,是对数据确权的立法确认和司法适用,当数据的财产权权利得以确立,数据的收集者、持有者、使用者的义务边界、数据所有者的权利边界就得以确立,数据所有者对自身权利的主张、维护胜过数据商业垄断现实中自上而下的行政执法和监管。 综上,笔者认为:数据的财产权以数据的市场为基础,以数据主体的法律确权为前提,应以托根(Token)载体的形式通过区块链分布式共识应用场景,将数据要素特征模型化、权益抽象化为数据资产。至少在目前的技术条件下,离开区块链分布式共识应用的数据难以资产化,不能资产化并进行法律确权的数据难以发挥数据的生产、商业价值,缺少了价值交换规则体系的数字化不是真正的数字化,信息互联网到价值互联网的升级也就不存在。大数据、云计算、人工智能和区块链技术条件下,物理世界的“四大规则”完整镜像到虚拟世界的智慧网络、价值互联网网技术的条件已经具备。真正的数字化应围绕“数据”财产权的法律地位,以及传统产业、传统信息互联网与区块链分布共识、智能合约规则体系、托根数据资产的融合展开,数据成为生产要素将是数字经济时代的必然。数据要成为生产要素并参与到生产过程中的利润创造和利润分配,数据的法律确权是首要工作。当前从政府到民间都在谈论数字经济,但讨论的核心更多地侧重于从技术、行政管理视角下的“数据安全、保护”,这当然很重要,但没有数据财产权法律地位以及司法可诉性的确立,数据安全的行政执法不仅不利于“数据资产化”和“数据生产要素化”,还很可能会导致在商用数据“寡头化”现实条件下,行业技术和行政管理规则、标准制定权落入互联网精英和巨头手中,若他们发起对数据资产(未来数字经济的核心血液)的“圈地运动”,数据将处于危险之中,行政执法将面临严重质疑。需要指出的是,数字经济的发展离不开区块链分布式共识及智能合约规则体系的基础应用,舍此更无法就“数据”确定法律边界,数字资产就是一句空话,数据作为生产要素也就没有了数字化基础。区块链天然地具有增加信用供给、可追溯存证、降低司法成本、提升司法裁决效率、减少纠纷的显着作用。笔者认为,数字经济时代的立法、司法保护及法律监管应紧紧围绕“数据”法律定义内涵及法律确权、司法可诉性及数据应用中的侵权和隐私保护开展工作。数据的法律确权离不开区块链与产业的融合应用,只有产业经过区块链“链改”改造,方可打破产业有效数据的“信息孤岛”,进而形成数据的市场,当数据的法律确权和市场定价获得应有的立法和司法地位时,数据资产化并作为生产要素才具有真正的现实基础。那时,一个崭新的数字经济时代将成为现实!
脚注: 1.《大数据交易中的数据所有权研究》,作者杨张博,第2页。 网络链接: http://www.doc88.com/p-9069672036839.html。2020年5月31日18:39分登陆。 2.本文所称“源数据主体”是指第一时间基于特定个人、组织的行为所产生的数字化数据,包括区块链和非区块链应用场景当中在物理空间、虚拟空间条件下因某种行为而产生的数据。 3.《区块链改变未来》第15页,王佑强 涂晶着,人民日报出版社,2020年1月底第1版。 4.物理世界数字化镜像的程度决定了数字经济的发展程度。物理世界之所以持续发展,核心在于完备的价值交换规则体系。从以物易物到金银,再到信用纸币,以政府、组织、中介机构为信用背书的中心化价值交换体系是物理世界得以存续、发展的基石。这套价值交换体系由一套套的规则组成——以法律体系为核心的社会规则、以数学体系为核心的技术规则、以追求自利为目的而满足社会需求为核心的市场规则等共同维系和促进了人类社会的发展。社会规则、技术规则和经济规则都以价值交换规则为内在驱动力,进而实现财富创造和财富分配。物理世界数字化镜像的关键是把四大基本规则全部虚拟到数字化的世界。信息技术革命比较容易地解决了社会规则、技术规则及经济规则三大规则的数字虚拟镜像,但不能完成最为关键的数字化——价值交换规则体系的数字化镜像,人们并不能根据信息互联网的虚拟规则实施有效的价值共享和价值传递。