《民法典》是《个人信息保护法》的基础性法律,
一、个人信息权益保护:从个人衍生到公司数据
从个人信息到个人数据再到公司数据经历了以下发展历程:个人数据处理“衍生”出来的不仅是通过观察数据而产生的创造性价值物,而且是通过评估信息产生的具有主观评价的价值物,其间数据衍生行为与信息人格利益在个人和公司双主体之间来回往返。尽管公司利用个人信息的意思表示经过算法自动化评估被衍生出新的增值收益,但数据价值并不需要客观或可验证的方式才被视为衍生数据。其中“衍生”表征并揭示了民事行为具有有关私人生活、行为和偏好的信息。公司利用衍生技术产生的数据利用占尽了民事主体意思表示的行为化利用的好处,也存在因公司组织体挣脱个体意思表示的约束,进而难以对衍生行为过程和衍生结果作出有效评价的法律困境。
(一)个人信息与公司数据权益保护的双主体法律地位
大数据利用与传统的单主体权益行使不同,个人信息权益在自然人与数据公司双主体之间分配。在保持双主体权利总量不变的条件下,自然人个人信息权益通过同意让渡给公司获取财产性利益。数据在双主体之间分割享有权益要素,公司享有对数据权利的行使,自然人享有“信息保有权”,
在个人信息处理行为过程中,公司衍生数据的形成离不开法律赋予个人信息保留与沟通的程序性权利,但由于数据生态持续暴露在事实上的野蛮生长状态,恪守技艺的法律无法仓促制定尚缺乏理论准备的公司衍生数据专门法。因个人信息处理行为过程中缺乏对个人信息权益的具体化保护路径,在百度诉朱烨一案
(二)个人信息权益与公司数据行为规则的双重法律保护
对于个人信息保护是法益保护还是权利保护,有两种不同观点。一种观点认为,《民法典》未将个人信息作为一项具体人格权利,只是为自然人的个人信息保护提供了法律依据。
1.组合披露义务和知情决定权能
大数据时代,敏感与非敏感衍生数据的区别变得越来越复杂,与非敏感类型的个人数据相比,数据利用者会寻找各种新技术和新方法从敏感的个人数据中衍生出超额数据利益,收集和处理敏感个人数据会带来更多新型的信息泄露事件。公司数据评估和决策的评估超出了个人信息保护的预期目的,必须赋予“衍生”数据以新型权利的保护。在淘宝诉美景一案中的公司数据定义范围已经扩大到包括“衍生”数据,法院首创性地使用了“衍生”数据一词,但“衍生”数据概念没有写进《民法典》,也没有写进《个人信息保护法》。我们在淘宝诉美景一案的创新观点中可知,数据保护权利并非自动适用,而是必须根据收集数据的目的来解释,数据主体未主动或被动地“提供”派生数据和衍生数据,例如信用评分、健康评估结果、个性化或推荐过程的结果,其是由数据控制者或第叁方根据数据主体提供的数据以及某些情况下的其他背景数据创建的。衍生数据结果可能对其他主体的权益产生某种程度上的不利影响,其衍生权利地位难以完全通过意思表示进行完整评价,还需要更大程度上倚赖于民事行为的法效性评价,其披露义务需要被规范构建。从法律构建上,即使衍生和推导的数据包容评价个人数据,但如果披露可能侵犯知识产权和商业秘密,其也不应当被允许披露,由此形成公司利用行为中的组合披露义务和知情决定权能。
2.更正与删除的程序性权利
《个人信息保护法》规定个人信息处理行为过程中的更正以及删除不合理衍生信息的权利。更正以及删除不合理衍生信息的权利可以作为对信息主体不同意衍生数据的一种补救措施,但如果数据主体已经同意将该数据进一步用于其他目的,则无须删除该数据,况且运用复名技术使得数据被彻底删除是法学家假定的一种法律拟制状态。即便是在最近对于假名化数据
近年来互联网法院受理的多起公司之间数据市场竞争案件,司法实务界多运用反不正当竞争法条款解决。但因公司衍生数据权属不明及其财产性利益保护不清晰,对公司衍生数据来源类型和法律保护路径的讨论仍有必要。公司衍生数据是在收集、存储海量原始数据的基础上,经过算法清洗、脱敏、加工等处理而形成的有价值的结构化数据。
二、公司衍生数据的财产性利益类型
公司衍生数据大都被“穿了一层外衣”,使非专业的用户难以直观感受到数据的存在。从公司内外部数据利用的角度出发,公司衍生数据可以分为对外输出和对内使用两种类型。对外输出类型的公司衍生数据如淘宝公司“生意参谋”数据产物、阿里巴巴旗下的芝麻信用、产物经理常用的百度指数、淘宝魔方等;对内使用的公司衍生数据如公司内部使用的颁搁惭系统、营销系统、风控决策系统等。这类公司衍生数据因为具有经济利用价值,经过算法技术脱敏之后,进入了财产性利益的视野。尽管有学者在个人数据与公司衍生数据“双向赋权”
(一)公司衍生数据的财产性利益内容
公司衍生数据因其附加超出原始数据的财产性利益而产生利益增量,获取的是新增的新型财产性利益,其利益内容主要包括:
首先,公司衍生数据是增值的数据利益。在淘宝诉美景一案中,衍生数据是淘宝“生意参谋”提供的数据内容,该衍生数据内容所有者淘宝公司经用户同意,记录、采集用户于淘宝电商平台(包括淘宝、天猫)上进行浏览、搜索、收藏、加购、交易等活动所留下的痕迹,在形成海量原始数据基础上采取脱敏处理、深度处理、分析、整合、加工等一系列智力活动,形成诸如指数型、统计型、预测型的衍生数据。衍生数据需要来自各种来源的大量数据以及强大的云计算能力和复杂的编程算法,这些元素结合在一起,使机器可以收集、扫描和处理数据并识别行为模式,提供对未来的预测。经过加工产生增值收益的数据具有非直观、不可验证和无法预测的属性,这一方面给公司之间的算法歧视、算法偏见和算法侵入提供了契机;另一方面由于其价值的高度多样化产生了功能活动丰富的衍生数据利用价值。衍生数据是大数据和人工智能的结合,这种结合正迅速成为各类市场主体创造财富的重要动力,发挥着提高生产力、加速创新和重塑现有商业模式的作用,法律必须及时回应市场主体基于技术创造形成的商业利益。
其次,公司衍生数据利益内容是新增的商业性利益内容。
最后,公司衍生数据应当是获得法律排他性保护的财产性利益。互联网公司通过利用获得的相关性信息在商业竞争中占据优势,早已把衍生数据视为重要的无形资产和核心竞争力。例如上海钢联电子商务股份有限公司借助其互联网平台“我的钢铁网”将钢铁行情信息进行分析和预测,
(二)公司衍生数据中值得法律保护的合理利益
公司衍生数据是大量资本投入且经过智力劳动产生的数据产物,含有智力创造的衍生数据产物产生了需要经过“付费”的财产性利益。这类公司衍生数据财产性利益尽管在外观上类似着作权独创作品,但是难以达到现行着作权法保护的独创作品的法律标准,存在法律保护的困境。大量合理衍生数据利用扩充的利益增量,形成了法权配置的需要,
公司衍生数据的合理利益不同于个人衍生数据利益,也不同于代表人格利益的个人数据。合理的衍生数据隐藏于信息资源体,一般需要借助对信息内容实体的占有才能获得对其的利用。目前公司衍生数据信息在法律上和行业惯例上都没有能够成为独立的交易单位,公司衍生数据和信息往往混为一体,但其也有不同之处:第一,合理的公司衍生数据是信息资源用以表达其性状或功能并可以复制传递给市场的增值数据信息,但是个人信息只是原始数据的组成部分,并不具有较大的商业价值。
数据公司所涉技术秘密越多,产生衍生数据的技术受法律保护的程度越高,其获得法律保护的合理性就越强。域外学者对于技术受法律保护的合理程度与财产性利益保有量之间的关系已经有成熟的研究。比如日本学者的实证分析发现:第一,数据公司的技术秘密保有量与专利在同一数量级,且最近有进一步增加;第二,与专利存在补充关系的专有技术秘密极多,日益成为数据公司竞争力的源泉;第叁,日本公司的技术秘密有相当程度的流出,防止数据公司专有权益的流逝有相应的法律需求;第四,在公司衍生数据专有权保护上设置公权条款,加强技术秘密流逝的公法监管已经成为私法保护的一种趋势。
叁、现行法律制度对公司衍生数据保护的不足
(一)《民法典》对数据财产性利益的规定
2017年3月15日《民法总则》出台后,对公司衍生数据权属的认定问题再度引发了争议。法院审理的公司衍生数据案件不仅涉及财产性利益保护,还事关隐私权、个人信息权益保护,这影响了公司衍生数据完整法律保护路径的形成。由于理论上对公司衍生数据权属认知不明,《民法典》第127条没有明确公司衍生数据的权属,仅规定由其他法律保障公司衍生数据的财产性利益,即留出法律空间等待公司衍生数据的权属认知明确后再进行规定。从《民法典》第111条和《民法典》第127条两个分立条文的规范设立来看,区分个人信息保护和数据保护,表明立法者意图将数据信息从个人信息中独立出来。《民法典》第127条
我国法律目前还没有对数据等虚拟财产作出具体规定。
(二)传统知识产权法定主义下的公司衍生数据保护
既有讨论公司衍生数据权利保护的文献大多认为,公司衍生数据权利与知识产权在内涵、外延上有重合,
首先,传统着作权法律难以规定公司衍生数据。随着越来越多的信息类无形财产被视作现代社会重要的财产类型,知识产权财产形态进一步分化。传统的知识产权作为有别于传统物权以及其他财产形态的崭新财产权,作为社会财富生产的主发动机和现代国家力量的基石,
其次,传统专利权法律难以规定公司衍生数据。亦如我国《专利法》第2、22、25和26条等条款的适用在专利审查中存在诸多的不确定性,该法中“发明”“实用新型”和“外观设计”叁类专利都难以将公司衍生数据纳入其保护对象之内。公司衍生数据是公司对信息的创造性利用形成的数据产权,公司衍生数据包括传统知识产权的客体,亦属于无形财产,是信息类无形财产。但是公司衍生数据不能完全归类为任何一项既有财产权,包括传统知识产权,在公司衍生数据与传统知识产权之间并不能完全形成一一对应的关系。由于不能归类于任何一类客体,其增值收益就难于归类为既有的任何一类财产权,所以必须创新财产权。将公司衍生数据归类为一种新型财产权,并没有认识论上的问题。但是从存在论上看,新型财产之“新型”面临建立在哪一类传统财产权之上的追问。鉴于保护公司衍生数据的方法最接近于知识产权方法,将公司衍生数据保护引致向《民法典》第123条的知识产权条款,不失为一种保护路径。
最后,传统反不正当竞争法律难以规制公司衍生数据。面对数据鸿沟、数据歧视、数据不正当竞争、数据搭便车、数据杀熟和数据垄断等公司衍生数据侵权问题,实务界倾向于将公司衍生数据的保护放在《反不正当竞争法》中实现。可以说,现有的反不正当竞争兜底条款通过反向行为规制的手段,保护数据公司的财产性利益,
(叁)财产权路径下的公司衍生数据保护
公司衍生数据与传统财产权即物权、债权的客体不同,公司衍生数据作为一种新型价值不能被已有类型化的财产所囊括,应当认定公司衍生数据是一种新型财产。
1.公司衍生数据绝对权保护路径的不足
类似所有权的物权方案来自《欧盟一般数据保护条例》的物权保护性条款,该《条例》中的类所有权方案按照德国潘德克顿体系,赋予公司对数据的绝对的、排他性的物权保护方案。该方案优势在于使数据保护具有了物权请求权的正当性和可行使性,这种国际通行的公司衍生数据保护模式将传统静态的公示、登记、物权转移的数据权利行使放到物权法中,制度绩效比债权方案和知识产权方案高。
图1 公司衍生数据的共享知识产权与物权权能的关系图 &苍产蝉辫;&苍产蝉辫;下载原图
公司衍生数据财产性权利挣脱了绝对权的限制,在共享数据基础上挖掘出了知识产权的新权能,即鼓励创造性智慧成果的共享知识产权。共享知识产权保护是在共享公共数据基础上对数据再生产的知识产权保护,数据的再生产已经超越了绝对权的视域,应当以开放共享基础上的一组权能来保护,这一组动态的权能包括共享、挖掘、访问获取、知情等。中国目前的数据市场需要将动态权能保护引致到公司衍生数据权益保护过程中,这样才能使得数据利用的积极权能在市场中得以充分发挥。在代码不断升级的场景下,更准确的保护路径是共享知识产权保护。公司衍生数据权益是在共享知识产权基础上的新增数据利益。这些新增数据利益的基础是共享,共享与排他是反向的,欧盟严格限制数据共享后的利用极大地阻碍了欧盟数据市场的发展。在我国数据市场发展的初级阶段,不宜运用绝对权的静态保护路径,而宜运用共享知识产权的动态保护路径。这不仅有利于提升衍生数据财产权益的保护绩效,而且可以构造一种强度适中的专有权能,即用户数据权利至少包括“专有访问权”和“可转移权”。这两项类知识产权将特定行为上附属的利益内容类型化地划归权利人专有,
2.公司衍生数据债权保护路径的不足
首先,债权保护路径是在数据主体与数据相对人之间确立有偿使用的相对法律关系。一些国家采取在不影响科技发展的前提下,以合同形式而不是产权形式来明确利益关系,以此承认公司衍生数据所有人的利益。但合同之债的保护也存在问题,若仅仅依赖合同来保障公司衍生数据交易关系,某一数据公司在与经济实力雄厚的其他数据公司在签订合同的谈判时,就总是会处于弱势地位,难以实现公司衍生数据应得的利益。在实践中,单一的合同模式容易陷入与多重主体谈判的困境,徒增成本。合同保护要考虑谈判成本,也就是合同的产权配置效率问题。同时,头部数据公司在公司衍生数据交易的谈判中处于绝对优势,具有远远超越中小公司或机构的谈判能力,总会在交易谈判处于上风和主导地位,由此导致合同条款往往偏向于强势一方,在无外力介入的情况下,结果的公平公正永远难以实现。合同一度被认为是公司衍生数据获取和数据分享问题上较为成功的格式范本,但细心研究数据转让合同会有疑问:在双方信息不对称的情况下,事先拟定的作为回报的专利配额保护,是否真的可以弥补公司衍生数据外流和专利垄断带来的实质损害?
其次,合同侵权是侵权之诉而非违约之诉的保护路径。尽管美国学者阿兰·威斯汀在沃伦、布兰代斯的第一代隐私侵权方案的基础上提出了权利化结合侵权保护的方案,但《民法典》第1034条已经明确了个人信息保护,没有采用个人信息权利路径,公司数据也难以运用权利侵权方案。在证明不法侵害上,权利侵权之诉需要证明权利结果及其实现,合同侵权之诉只需要证明物权转移的过程,权利侵权的举证责任远比合同侵权的举证责任要困难,当事人一般会选择合同侵权之诉。虽然合同侵权可以满足公司衍生数据保护的需要,但是公司衍生数据财产性权利体量太大,自我限定在侵权法之中,则必须追问侵权请求权的正当性根据,这就将问题抛回到合同侵权之诉或权利侵权的选择之中。若我们将保护公司衍生数据的目标设定位为防止不法利用,我们可能更多地考虑增设公法权能,例如增设知情决定权能。当我们把目标设定为承认公司衍生数据所有人的权益保护,并旨在促进公司衍生数据的合理利用,则必须调整现行公司衍生数据合同规则,必要的时候甚至创设公司衍生数据的共享知识产权权能保护方案。
最后,公司衍生数据的交易双方通常会以协商来达成有关公司衍生数据获取、利用和收益分配的合同。若无共享、挖掘、访问获取、知情决定权能作为保障,合同法律保护路径在公司衍生数据的保护上存在显而易见的短板:其一,在债权的实现上,合同的相对性带来公司衍生数据所有人向公司衍生数据使用人追偿的困难;其二,在商业化利用过程中,衍生数据资源在不同的使用人之间进行转让,进而造成公司衍生数据的实际使用人与最初使用人不一致的问题。“无论如何周密,数据合同安排也只是一种债的保护,本身不具有排他性,不能用来对付来自第叁人的数据加害,不能应对在现实中来自公司数据合同关系之外的第叁人侵入或者非法利用的数据加害。”
来源:《法学家》(本文为文章摘录版,如需引用,参阅原文)