|
作者简介 申军,法国执业律师,瀚申律师事务所创办人。主要业务领域为金融、公司、并购、合同、跨境投资、欧盟及国际商事交易; 深耕数字经济领域的新兴法律实务(数据、区块链与数字资产、人工智能与算法、元宇宙与NFT、数字平台与反垄断、数字领域知识产权等)。工作语言为中文、法文和英文。里昂第三大学商事法博士(法国与美国金融市场法之比较研究)、商事法硕士、企业管理学士,墨尔本大学银行法与金融法硕士,华东政法学院法学学士。 获颁Édouard Lambert比较法研究所英国法文凭和美国法文凭。 特别声明 本文仅代表作者的个人看法,不构成法律意见。 引用本文任何内容及/或观点须注明来源。 前言 2022年12月19日,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下称《数据二十条》)公布。《数据二十条》开创性地提出了数据产权三权分置的概念,即数据资源持有权、数据加工使用权和数据产品经营权。结合对数据本身特性和欧盟相关法律的了解,笔者对此政策视角下的权利分类做出个人解读,并就相关权利或可对应的法律用语提出个人建议,为数据立法的中国方案提供一点个人思考。 持有权、加工使用权与经营权 从中文的字面意思来看,上述三权分别是指持有数据资源的权利,加工、使用数据的权利,经营数据产品的权利。由此实际涉及四种权利;加工使用则可被细分为加工与使用、加工或使用。未来这些权利会是法定还是约定,目前不得而知。至于谁有权持有数据资源,谁有权加工与/或使用数据,谁有权经营数据产品,相涉方是仅仅可享一种权利,还是同时可享数种权利,在《数据二十条》中也未予阐明。因此留有许多解读和推断的空间,相关看法众说纷纭。 此外,相关三权还涉及三个概念,即数据资源、数据和数据产品。显然,政策制定者认为三者是不同的,可予区分的。除了数据的定义见诸我国《数据安全法》,其他两个概念则无法定定义,而是政策性术语。 在笔者看来,前述三个概念实则对应了几种互有关联的数据形态;数据资源、数据产品可被冠称为“先数据”和“后数据”。笔者将数据资源理解为:任何有涉信息技术之活动所生成的、可被处理为数据的资源。数据的意涵则可依照《数据安全法》的定义,即“任何以电子或者其他方式对信息的记录”。数据产品可被理解为含有数据的产品。可以说,数据资源堪比某种金属矿产,数据堪比由此提炼出的某种金属,数据产品堪比以此金属为构件的产品。 笔者之所以这样解读,是试图遵循数据的生成及其价值体现的过程,鉴于数据价值链是由数字印迹、数据、信息等环节构成。实际上,数据并非由数字基础设施(比如,移动宽频互联网、物联网)自然生成,而是发轫于数字印迹。数字印迹主要出自与数字系统相关的人类活动:或是经由电脑、智能手机,或是通过社群网络、网站、移动应用程序,或是藉由互联物的传感器。 不过,相关数字印迹唯有与所谓的元信息衔接,才能变成数据。该信息即情境性信息,包括譬如用户点击的屏幕所提供的日期、时刻,传感器的地理定位和特征,等等;它可将相关印迹与一个意思相连,可将该印迹生成的背景予以明确,可在时间、空间和相涉系统的组件中将其与其他印迹联接。由此生成的数据需与其他数据匹对,以形成可供分析的、用途不同的数据集。从这些数据集中提炼的信息或知识,在经组构、调整及被归并到特定的产品或服务后,数据的使用价值方可得以体现。 那么,如何理解数据资源持有权?谁能享有此权?依照笔者的看法,该项权利是指数字行业操作者持有信息技术活动生成的可数据化资源之权利。相关机构/实体包括但不限于社群网络、搜索引擎、视频平台、互联物厂家、移动应用程序运营商、卫星公司。与加工、使用、经营所体现的动态不同,持有代表着一种静态,且代表着一种存储和协调相关资源、筛选数字印迹并具备将之转换成数据的能力。 从这个角度而言,持有还意味着承担相应成本的能力。实际上,唯经验证、编纂、组织而被赋予意符后,数字印迹才能被转变为数据。因此数据的生成是有成本的,而非天然的馈赠。而考虑到数字印迹的体量和数据的生成成本,前述行业操作者大多时候只会收回一部分生成的数字印迹,并只处理其中的一部分。对广大的自然人用户而言,他们藉由网站浏览、网上购物、智能手机、互联物品留下诸多数字印迹,对相关资源的累积助力颇多,堪称数据资源的贡献者,但在事实上并非持有者。 由此值得思考的问题是,“持有权”是否是、或者能否被视为是一个法律术语而被广泛适用?从比较法的视角来看,欧盟《数据治理法》和《数据法》中均未规定持有权的法定定义,但列出了数据(非数据资源)持有者的法定定义,且各自的意涵不同。 具言之,《数据治理法》所指的相关概念,是指依照适用的欧盟法或成员国法、有权对一定的个人或非个人数据赋予取用权的法人或自然人;相关自然人应是非相涉个人/数据主体。值得注意的是,英文版定义中还规定相关法人和自然人对相关数据的分享权。 而该法将数据主体明确排除在数据持有者的定义之外,这可被理解为:欧盟《通用数据保护条例》(GDPR)项下的数据主体,不是持有数据,而是对相涉数据拥有控制、取用的权利,鉴于个人性质数据是附着于人格的。《数据法》所称的同一概念,则指依照相关欧盟法和成员国法、有权利或义务使用和提供数据的自然人或法人;相关数据可以包括产品数据或相关服务数据。 对照而言,如果未来我国相关法律中采用“数据持有权”的法定称谓,那么需要考虑到数据加工使用权、数据产品经营权同样意味着对数据、数据产品的持有。因此相关数据的明确定义及外延,无疑需要先予厘清。 随之而来的问题是,如何理解数据加工使用权?谁能享有此权?显然,其是指加工及/或使用数据的权利。可以设想的是,数据的加工者可以同时是使用者,即将相关数据加工后自供使用;也可以仅是加工者,将数据加工以供他人使用。“加工”一词,在《数据安全法》的“处理”定义中与“使用”一词同时出现,显见其是数据处理中的一环,与“使用”是并列的关系。这也或可佐证笔者对加工使用权的分拆解读。 “使用”则可被理解为出于商业及非商业之目的、对数据的使用。对于“加工”所针对的数据,笔者认为至少包括已生成的原始数据;对于“使用”所针对的数据,除了原始数据之外,已经加工的数据集应被涵盖在内。 至于谁能有此权利,笔者的看法是,有权加工数据的人,是在上游合法(法定或约定)获取原始数据的法人/自然人。为了能够加工之,相关人员在技术上还需有对数据进行清洗、贴注标签、匿名化/假名化、交叉匹对、存储等能力,在金融上还需能负担加工成本。 事实上,如果考虑到加工所需调动的物理基础设施之能源支出,相关投资纵然不巨大,亦不容忽略。可以说,若无相应的技术及金融能力,数据加工便是有名无实。 从此角度出发,即便理论上自然人可以拥有数据加工权,但在实践中,恐怕相关权利大抵仅能被法人行使。有权使用数据的人,则可以是加工相关数据后对之予以使用的人,也可以是依法或依照合约使用数据的人,包括诉诸对价或无偿的使用许可。 可资参考的是,欧盟《数据治理法》对数据使用者(非数据使用权)给出的定义是:合法获取某些个人或非个人数据、有权将该数据用于商业或非商业目的之自然人或法人。此外,值得留意的是,如果数据加工者将相关数据提供给他人使用,那么便须根据不同用户的需要锻造出相应的数据集,这也会导致相关的数据供应成本。 最后一个问题是,如何理解数据产品经营权?谁能有此权利?按照《现代汉语词典》的说法,“经营”一词有筹划、管理、计划、组织等意,显然并非法律术语。笔者认为,该权可被理解为组织、筹划乃至治理含有数据的产品之交换、分享、流通之权利,包括但不限于将数据产品与相关需求者直接交易,或是通过数据中介者间接为之。至于谁能享有此权,那些合法获取、持有数据产品的人自然拥有经营的正当性。如果未来我国相关法律能够明确框定数据产品的涵盖范围,那么无疑将会有助于实务人士对经营权具体内涵之理解。 数据确权与“数据取用权” 不难发现,数据加工使用权、数据产品经营权均与数据确权的议题密切相关。众所周知,《数据二十条》以淡化数据所有权、强调数据使用权为指导原则。基于个人对此主旨的认同和对数据的不断了解,依照《数据二十条》所区分的个人数据、公共数据和企业数据,笔者认为,不宜对公共数据和个人数据确权(即在相关数据上设立所有权/财产权),具体理由此处不予赘述。但不妨在特定种类的企业数据—结构化数据上设定财产权。 事实上,由于数据至少可被分为句法层(即数据的结构)与语义层(即数据的意思或释义),相关结构化数据的句法层所对应的字符串,体现了包含信息的、被凝固化的、可被机器读取的数字性技术结构,接近于物理存在的、可被占有的物,所以可在其上设立所有权/财产权,从而使之构成相关权利所针对的客体,成为交易或转让的对象。从这个角度来看,笔者所称的结构化企业数据,或许可被归类为《数据二十条》所称的数据产品之一。 在对数据确权的一点思考之外,笔者认为,我们惯常所说的“数据使用权”或许可被“数据取用权”替代。实际上,后者的中文说法,源自欧盟《数据治理法》中的英文access right或法文droit d’accès。国内一般将之译为访问权。根据该法所规定的相关定义,其是指符合特殊的技术、法律或组织之要求的数据使用,而不必涉及数据的传输或下载。 考虑到其核心要义是对数据的使用,而非简单的访问,笔者将之译为“取用权”,以期相对准确地反映相关意涵。究其法文表述accès 来说,其本意是指到达某处或渗入某处的可能性,延伸意义可指在经济和社会秩序中、获得利益或物品的便利性。而在信息技术的语境下,依照笔者的理解,accès意味着对一些数据的阅读、观看或聆听,以及使用它们的可能性,而它们的传输或下载未必需被涉及。 此外,鉴于《数据二十条》将数据区分为个人数据、公共数据和企业数据,可将“数据取用权”依照不同种类的数据分别予以设定。因此,对公共数据的取用,可以通过制定与开放式数据相关的法律法规予以规制。对个人数据的取用,可以参照我国《个人信息保护法》,使得相涉个人/数据主体可向持有相关个人数据的处理者取用数据。对企业数据的取用,可以主要依照合约。 结语 综上所述,笔者对《数据二十条》所涉数据产权的三种权利分别做出了诠释,并结合对相关欧盟法之借镜,建议使用“数据取用权”来表述对于各类数据的使用,以就《数据二十条》的落实事宜抛砖引玉,以期学界、业界人士就相关议题持续探讨。 |
|
|
