周 靈，林 旸

（1.深圳大學(xué) 中國經(jīng)濟特區(qū)研究中心，廣東 深圳 518000；2.香港大學(xué) 法律學(xué)院，香港 999077）

大數(shù)據(jù)背景下，數(shù)據(jù)作為各類信息的載體擁有潛在的經(jīng)濟價值。數(shù)據(jù)在不斷被使用和流動的情境中，其價值不但沒有被消耗，反而通過積累結(jié)合和演算分析產(chǎn)生新的價值。數(shù)據(jù)日益成為關(guān)鍵生產(chǎn)要素，也成為國家基礎(chǔ)型戰(zhàn)略資源?！笆奈濉眹倚畔⒒?guī)劃中指出：要加強數(shù)據(jù)治理，加快建立數(shù)據(jù)資源產(chǎn)權(quán)在內(nèi)的數(shù)據(jù)要素市場培育工程，建立數(shù)據(jù)資源產(chǎn)權(quán)、交易流通、跨境傳輸和安全保護等基礎(chǔ)制度和標準規(guī)范。過去數(shù)年，數(shù)字經(jīng)濟在我國迅速發(fā)展，數(shù)字權(quán)屬已成為數(shù)字時代產(chǎn)業(yè)發(fā)展需要解決的核心問題之一。截至2021 年12 月，我國還未有專門的數(shù)據(jù)確權(quán)機構(gòu)，但擁有諸多數(shù)據(jù)交易公司和機構(gòu)。在這一大背景下，數(shù)據(jù)權(quán)屬界定不清晰以及數(shù)據(jù)財產(chǎn)權(quán)保護不完善，將限制個人、政府、企業(yè)對數(shù)據(jù)資源的正常交易使用。在區(qū)分數(shù)據(jù)人格權(quán)和財產(chǎn)權(quán)的前提下，數(shù)據(jù)權(quán)屬立法需要區(qū)分對個人數(shù)據(jù)之上個人信息的保護，以及對非個人數(shù)據(jù)之上企業(yè)數(shù)據(jù)財產(chǎn)權(quán)的保護。如何配置數(shù)據(jù)權(quán)屬和使用規(guī)則，確保個人信息不被濫用，保護企業(yè)合法收集的非個人數(shù)據(jù)，進而釋放數(shù)據(jù)的價值，成為了數(shù)字經(jīng)濟時代亟待解決的問題。本文從比較法的角度，探討國內(nèi)外關(guān)于數(shù)據(jù)權(quán)屬立法實踐以及立法困難，針對我國數(shù)據(jù)立法現(xiàn)狀，提出相對應(yīng)的完善數(shù)據(jù)權(quán)屬的立法建議，從而有助于我國信息化建設(shè)和數(shù)據(jù)領(lǐng)域的法治進步。

一、數(shù)據(jù)權(quán)屬的理論探討

（一）個人數(shù)據(jù)的雙重屬性

數(shù)據(jù)是關(guān)于世界萬物的數(shù)字化，是用來記錄人類活動的電子化載體。由于人是數(shù)據(jù)的重要主體，關(guān)于人的數(shù)據(jù)的流通和利用具有重要價值。在我國法律語境下，個人數(shù)據(jù)為含有“個人信息”的數(shù)據(jù)①，即可被直接或間接“識別”出來的信息，為個人信息（個人數(shù)據(jù)）。個人數(shù)據(jù)包含著雙重屬性：一是關(guān)涉他人和社會利益的人格屬性；二是個人數(shù)據(jù)可流通的財產(chǎn)屬性。圍繞個人數(shù)據(jù)雙重屬性引申出的是個人數(shù)據(jù)流動性和個人數(shù)據(jù)人格權(quán)利隱匿性之間的沖突。數(shù)據(jù)的使用意味著數(shù)據(jù)的流動，數(shù)據(jù)一旦被數(shù)據(jù)主體或數(shù)據(jù)控制者獨占和獨享將無法流動，數(shù)據(jù)也將無法實現(xiàn)社會化的分析利用價值[1]。另一方面，個人數(shù)據(jù)上的“人格權(quán)利”關(guān)系到數(shù)據(jù)主體（自然人）的人格尊嚴，需要賦予數(shù)據(jù)主體對個人數(shù)據(jù)一定的控制力，以保障其人格尊嚴不受到非法侵害。自然人如果不能夠有效控制個人數(shù)據(jù)，將造成自然人對數(shù)據(jù)被濫用的恐慌和不安，自然人只能選少量提供數(shù)據(jù)或提供虛假數(shù)據(jù)，進而達到隱匿的效果，致使數(shù)據(jù)的流動性下降。

針對個人數(shù)據(jù)的人格屬性，國際通行的主要實踐，是將其歸入個人信息或個人隱私的保護之列，通過賦予自然人對于個人數(shù)據(jù)上的控制性權(quán)利。具體來說，首先，個人數(shù)據(jù)保護作為一種憲法性權(quán)利，在許多國家或地區(qū)取得共識，32 個國家將“個人信息保護”或與其相關(guān)的表述寫入憲法的基本權(quán)利部分[2]。其次，個人數(shù)據(jù)保護作為一種一般人格權(quán)得到保護。例如，德國將個人數(shù)據(jù)保護納入到一般人格權(quán)的保護體系當中，以私法保障個人信息自決權(quán)不受其他私人的侵害[3]。美國將個人數(shù)據(jù)保護歸入到隱私權(quán)保護的范疇中，將侵犯個人隱私作為一般侵權(quán)行為來認定。我國在這一議題的做法，主要體現(xiàn)在《民法典》上，后者創(chuàng)設(shè)性地將“人格權(quán)篇”獨立成章，通過設(shè)立獨立人格權(quán)為個人信息保護的發(fā)展提供空間，以便日后能不斷豐富個人信息保護的內(nèi)涵[4]。

針對個人數(shù)據(jù)的財產(chǎn)屬性，無論是歐盟還是美國，對于個人數(shù)據(jù)的財產(chǎn)權(quán)屬都并無作明確規(guī)定。國際上對個人數(shù)據(jù)的立法，大多是從保護自然人人格權(quán)利的角度出發(fā)。同理，我國對于個人數(shù)據(jù)權(quán)屬的立法也相當謹慎，至今為止仍未有對于個人數(shù)據(jù)財產(chǎn)權(quán)屬的明確規(guī)定②。這背后有著對數(shù)據(jù)流動性的考量，若對個人數(shù)據(jù)賦予排他性財產(chǎn)權(quán)利，將會給數(shù)據(jù)流動和數(shù)據(jù)價值之實現(xiàn)帶來負面效應(yīng)。也正是由于數(shù)據(jù)的高流動性，立法者面臨著現(xiàn)實操作的難題，往往難以從數(shù)據(jù)流動的各個環(huán)節(jié)對個人數(shù)據(jù)的財產(chǎn)權(quán)益加以賦權(quán)和進行利益分配。盡管如此，不同團體對于數(shù)據(jù)的需求，無疑加劇了各方對數(shù)據(jù)權(quán)屬的爭奪，對數(shù)據(jù)的占有、處理、處分的財產(chǎn)權(quán)屬安排是各國立法的難點和重點。

（二）非個人數(shù)據(jù)的收集與利用

用戶提供的數(shù)據(jù)中，一部分為可識別的個人信息，如個人姓名、電話、住址等信息，這部分“個人數(shù)據(jù)”由于具有可識別性，各國立法上多強調(diào)對其人格權(quán)利的保護，賦予個人知情權(quán)、訪問權(quán)、更正權(quán)等數(shù)據(jù)主體權(quán)利。另一部分為與用戶活動相關(guān)的網(wǎng)頁訪問、瀏覽、搜索記錄等，這部分數(shù)據(jù)經(jīng)過企業(yè)的清洗、脫敏處理之后，已不具有可識別的個人信息，形成具有分析價值的“非個人數(shù)據(jù)”。企業(yè)通過勞動投入，收集、分析、處理得到的這兩類數(shù)據(jù)集合，具有日益重要的經(jīng)濟價值。對于基于機器生成的“非個人數(shù)據(jù)”以及經(jīng)過機器非人格化處理的用戶數(shù)據(jù)，如果僅賦予個人數(shù)據(jù)主體權(quán)利，而忽略了企業(yè)對數(shù)據(jù)處理的投入，則無法調(diào)動企業(yè)機構(gòu)采集、加工、處理、利用數(shù)據(jù)的積極性，不利于數(shù)字經(jīng)濟的發(fā)展。

對于非個人數(shù)據(jù)，由于其不具有個人信息的敏感性，立法更強調(diào)對其財產(chǎn)屬性的保護，這一點與個人數(shù)據(jù)的立法有所不同。企業(yè)通過對數(shù)據(jù)的收集處理，可以提升數(shù)據(jù)使用率和提高使用數(shù)據(jù)的質(zhì)量，從而顯著提高企業(yè)績效，產(chǎn)生巨大的經(jīng)濟價值。企業(yè)之間圍繞數(shù)據(jù)財產(chǎn)性權(quán)利產(chǎn)生的爭端，主要表現(xiàn)為對企業(yè)投入大量人力物力，經(jīng)合法加工處理形成的數(shù)據(jù)集合（數(shù)據(jù)產(chǎn)品）的權(quán)利之爭奪。數(shù)據(jù)作為新型生產(chǎn)資料，其單個存在的利用分析價值可能不高，但經(jīng)過收集、聚合的數(shù)據(jù)池則能蘊含巨大的分析價值。確定企業(yè)所擁有的數(shù)據(jù)集合的法律地位，給與法律層面的認可和規(guī)范，能更好地發(fā)揮企業(yè)收集整合數(shù)據(jù)的能動性和積極性，對保障數(shù)據(jù)的經(jīng)濟價值起到重要作用，推動數(shù)據(jù)經(jīng)濟的發(fā)展。

對企業(yè)經(jīng)過加工處理后、形成不具有可識別性數(shù)據(jù)的財產(chǎn)化，是學(xué)術(shù)界一直所關(guān)注的問題，包括我國在內(nèi)的各國都在試圖推動企業(yè)數(shù)據(jù)權(quán)屬的立法[5]。數(shù)據(jù)流動性決定了立法難以直接賦予數(shù)據(jù)控制者對數(shù)據(jù)的排他性所有權(quán)。實踐中，立法多從對不同主體的數(shù)據(jù)權(quán)益保護入手來解決“數(shù)據(jù)權(quán)屬”問題。針對數(shù)據(jù)的人格屬性和財產(chǎn)屬性，應(yīng)將個人信息保護（個人數(shù)據(jù)保護）與企業(yè)數(shù)據(jù)保護統(tǒng)一起來，平衡數(shù)據(jù)雙重屬性之下個人數(shù)據(jù)人格性權(quán)利與企業(yè)數(shù)據(jù)財產(chǎn)性權(quán)利的保護。

二、數(shù)據(jù)權(quán)屬立法域外經(jīng)驗

歐盟與美國的數(shù)據(jù)立法相對更早，尤其是歐盟的《通用數(shù)據(jù)保護條例》（以下簡稱“GDPR”）以及美國加州法典化數(shù)據(jù)保護法案《加州消費者隱私法案》（以下簡稱“CCPA”），作為現(xiàn)今世界上較為完備的數(shù)據(jù)隱私保護立法，值得探討借鑒。在立法觀念的傾向選擇上，歐盟GDPR 采取了更偏向數(shù)據(jù)權(quán)利保護一方的立法觀念，以數(shù)據(jù)基本權(quán)利為基礎(chǔ)的數(shù)據(jù)法典，美國加州的CCPA 更偏向數(shù)據(jù)自由流動一方，意在促進數(shù)字經(jīng)濟發(fā)展。但兩種立法模式從本質(zhì)上來看，都試圖兼顧個人數(shù)據(jù)權(quán)利保護和數(shù)據(jù)自由流動的平衡。歐盟的GDPR 賦予“數(shù)據(jù)主體”（自然人）八大權(quán)利：知情權(quán)、訪問權(quán)、更正權(quán)、被遺忘權(quán)、限制處理權(quán)、數(shù)據(jù)可攜帶權(quán)、一般反對權(quán)和反對自動化處理的權(quán)利，并通過這些權(quán)利，強化了個人數(shù)據(jù)人格權(quán)利部分，使其能被掌握在個人的手中。美國加州的CCPA 亦賦予了消費者知情權(quán)、刪除權(quán)、選擇權(quán)、公平交易權(quán)等，并提供明確且具備可執(zhí)行性的救濟措施。

個人數(shù)據(jù)的處理原則之比較上，歐盟立法模式遵循“以禁止為原則，以合法授權(quán)為例外”，而美國加州立法則更傾向“以允許為原則，以附條件禁止為例外”，最明顯的區(qū)別在于對用戶“同意規(guī)則”的立法上。歐盟GDPR采用“選擇加入”的機制，處理數(shù)據(jù)必須基于數(shù)據(jù)主體的同意。GDPR 規(guī)定，數(shù)據(jù)主體通過書面聲明做出同意，并且有權(quán)隨時撤回其同意。我國的個人信息保護法立法也與GDPR 類似，企業(yè)處理數(shù)據(jù)需要告知并獲取數(shù)據(jù)主體的同意，且數(shù)據(jù)主體有權(quán)隨時撤回同意。而美國加州CCPA 授予消費者“選擇退出”的權(quán)利，即企業(yè)通常可銷售普通消費者個人信息，消費者有權(quán)在任何時間指示企業(yè)不得出售該消費者的個人信息，并且禁止企業(yè)在消費者選擇退出之后的12 個月內(nèi)，再次要求消費者授權(quán)出售其個人信息，而年齡小于16 歲的自然人（消費者）例外適用“選擇加入”的規(guī)則。三個地區(qū)的立法也有一些共性，對目的原則和最小必要原則都作出了規(guī)定，限制了數(shù)據(jù)的任意收集和處理。

（一）個人數(shù)據(jù)確權(quán)域外經(jīng)驗：數(shù)據(jù)可攜帶權(quán)

個人數(shù)據(jù)具有可識別性，立法更強調(diào)對其“人格權(quán)利”保護，而不作財產(chǎn)化的安排。個人數(shù)據(jù)的雙重屬性決定其擁有一定的社會屬性，需要在個人的控制之下，但若賦予個人擁有完全的數(shù)據(jù)財產(chǎn)權(quán)，可能導(dǎo)致不同個人主張權(quán)利之間的沖突，不僅難以確保數(shù)據(jù)的確切歸屬，更忽視了用戶與平臺之間的利益分配，不利于數(shù)據(jù)的自由流動。歐美數(shù)據(jù)立法中的“數(shù)據(jù)可攜帶權(quán)”，是對個人數(shù)據(jù)權(quán)屬確權(quán)的一次嘗試，其實質(zhì)上是在個人信息保護的框架下，進行了有限的突破，使得個人擁有對數(shù)據(jù)的“部分”所有權(quán)，讓個人得以掌控個人數(shù)據(jù)的流向。數(shù)據(jù)攜帶權(quán)使得用戶可以自由獲取或者轉(zhuǎn)移個人數(shù)據(jù)到另一網(wǎng)絡(luò)平臺，使得用戶在多個企業(yè)平臺之間獲得一定的議價能力，新的平臺為了吸引用戶將相關(guān)數(shù)據(jù)轉(zhuǎn)移到其平臺，或者原始平臺為了讓用戶繼續(xù)將其數(shù)據(jù)保留在該平臺，就會向用戶提供某些利益，從而使得附著于該個人數(shù)據(jù)之上的數(shù)據(jù)攜帶權(quán)具有了財產(chǎn)所有權(quán)的性質(zhì)。

以歐盟GDPR 為例，GDPR 第二十條規(guī)定，數(shù)據(jù)主體（自然人）有權(quán)從數(shù)據(jù)控制者處獲得與其相關(guān)的個人數(shù)據(jù)，并且可無障礙地將此類數(shù)據(jù)傳輸給另一控制者的權(quán)利。數(shù)據(jù)可攜帶權(quán)極大地提升了自然人對于個人數(shù)據(jù)的控制程度，然而理論上仍未能澄清這一權(quán)利的屬性問題，引來了支持者和反對者兩種聲音。支持者認為，數(shù)據(jù)可攜帶權(quán)消除了數(shù)據(jù)的鎖定效應(yīng)，促進互聯(lián)網(wǎng)產(chǎn)業(yè)間的競爭，可以促進網(wǎng)絡(luò)服務(wù)商與個人用戶之間的互信，提高用戶對個人數(shù)據(jù)的控制，從而使用戶獲得更好的服務(wù)和用戶體驗。反對者認為，實踐中將可能出現(xiàn)他人冒充用戶本人非法獲取個人數(shù)據(jù)的情形，數(shù)據(jù)可攜帶權(quán)則使得非法獲得者瞬間獲取和轉(zhuǎn)移用戶個人的所有隱私信息，增加了個人數(shù)據(jù)泄露的風險。同時，數(shù)據(jù)可攜帶權(quán)將增加中小企業(yè)的合規(guī)壓力，用戶可能更傾向?qū)€人數(shù)據(jù)從中小企業(yè)轉(zhuǎn)移到大型企業(yè)，從而阻礙了中小企業(yè)的發(fā)展，并且這種數(shù)據(jù)的遷移和互操作性難度較大，成本較高[6]。

美國CCPA 第1789.100 條第四款賦予消費者相對有限的“數(shù)據(jù)可攜帶權(quán)”，“可通過信件或電子方式提供個人信息，如果以電子方式提供，信息應(yīng)以編寫方式提供并且在技術(shù)可行限度內(nèi)采用易于使用的形式，以允許消費者無障礙地將此信息傳輸給其他單位?！?CCPA 第1798.125 條允許企業(yè)使用獎勵措施，包括向消費者支付賠償金的形式，進行對消費者個人信息的收集、出售或者刪除。對比歐盟立法，美國的數(shù)據(jù)可攜帶權(quán)更多是從競爭效應(yīng)的角度出發(fā)，通過提升用戶對個人數(shù)據(jù)的控制程度，促進網(wǎng)絡(luò)空間中網(wǎng)絡(luò)服務(wù)商與用戶之間的信任，而并無上升至一種個人擁有的基本權(quán)利。

（二）企業(yè)數(shù)據(jù)財產(chǎn)權(quán)域外經(jīng)驗

針對不具有可識別個人信息的“非個人數(shù)據(jù)”，歐美立法將這一數(shù)據(jù)資源視為一種集合性資源，強調(diào)數(shù)據(jù)的財產(chǎn)屬性，并對企業(yè)的數(shù)據(jù)財產(chǎn)權(quán)進行保護。雖然數(shù)據(jù)與作品、技術(shù)方案等知識產(chǎn)權(quán)一樣屬于無形資產(chǎn)，但在現(xiàn)有知識產(chǎn)權(quán)保護框架無法得到充分保護。首先，數(shù)據(jù)難以落入著作權(quán)保護范疇。著作權(quán)保護對象是具有獨創(chuàng)性的作品，如文學(xué)、藝術(shù)、科學(xué)作品等，并不包括抽象的、非人類創(chuàng)作的數(shù)據(jù)。一般而言，大部分的數(shù)據(jù)是通過計算機系統(tǒng)和數(shù)字化設(shè)備收集匯聚產(chǎn)生，即便這些系統(tǒng)設(shè)備內(nèi)部設(shè)定了具體的篩選機制，甚至有時還采用了人工智能手段，其結(jié)果仍只是對自然客觀事實進行的全面記錄。因此，大部分的數(shù)據(jù)都難以滿足著作權(quán)對于獨創(chuàng)性的高要求，無法獲得著作權(quán)的保護[7]31。其次，“數(shù)據(jù)庫特殊權(quán)利”制度對數(shù)據(jù)財產(chǎn)權(quán)保護效果并不理想。為促進歐盟內(nèi)部數(shù)據(jù)庫的投資，1996 年歐盟通過《歐盟數(shù)據(jù)庫指令》創(chuàng)設(shè)了“數(shù)據(jù)庫特殊權(quán)利”，希望通過這一制度來彌補著作權(quán)保護的不足，即通過“數(shù)據(jù)庫特殊權(quán)利”來保護未能達到著作權(quán)“獨創(chuàng)性”標準的“數(shù)據(jù)庫”。然而，《歐盟數(shù)據(jù)庫指令》對其保護的“數(shù)據(jù)庫”設(shè)置了較高門檻，即只有滿足高投資標準的“數(shù)據(jù)庫”，才能受到該權(quán)利的保護。由于“數(shù)據(jù)庫特殊權(quán)利”保護范圍過窄，大部分數(shù)據(jù)庫的開發(fā)利用者轉(zhuǎn)而選擇其他手段來保護自己的投資，包括限制對數(shù)據(jù)庫的訪問、加密處理數(shù)據(jù)或通過數(shù)據(jù)使用許可合同等，導(dǎo)致“數(shù)據(jù)庫特殊權(quán)利”制度的實踐效果并不理想[7]32。再者，數(shù)據(jù)難以通過“商業(yè)秘密”獲得充分保護。盡管一些數(shù)據(jù)可作為“機密信息”受到商業(yè)秘密制度的保護，但并非所有數(shù)據(jù)都能滿足這一條件，尤其對于機器生成的數(shù)據(jù)，它們在產(chǎn)生之時就不屬于秘密。若將數(shù)據(jù)認定為商業(yè)秘密，同時對企業(yè)的技術(shù)保護措施不設(shè)任何限制，數(shù)據(jù)將失去了流動性，不再具有數(shù)據(jù)交換分析的價值[8]。

由于知識產(chǎn)權(quán)保護模式的不足，非個人數(shù)據(jù)保護依然缺乏有效制度安排，歐盟委員會呼吁設(shè)立數(shù)據(jù)產(chǎn)權(quán)，規(guī)范市場和交易。2017 年，歐盟發(fā)布的《構(gòu)建歐盟數(shù)據(jù)經(jīng)濟》報告，針對非個人數(shù)據(jù)提出了“數(shù)據(jù)生產(chǎn)者權(quán)利”的概念，即“賦予數(shù)據(jù)生產(chǎn)者使用和授權(quán)他人使用非個人數(shù)據(jù)的權(quán)利”。歐盟將數(shù)據(jù)生產(chǎn)者權(quán)利視為一種物權(quán)，包含一系列的權(quán)利，例如對訪問和使用未經(jīng)授權(quán)的數(shù)據(jù)進行索賠的權(quán)利，權(quán)利人擁有使用非個人數(shù)據(jù)的專有權(quán)及其許可他人使用的權(quán)利。通過設(shè)定數(shù)據(jù)生產(chǎn)者權(quán)利，歐盟鼓勵數(shù)據(jù)控制者授權(quán)第三方訪問其數(shù)據(jù)，促進數(shù)據(jù)的流通與增值，并規(guī)范市場和交易③。相對而言，權(quán)利人需要對數(shù)據(jù)泄露和數(shù)據(jù)侵權(quán)等事件承擔責任，需要在日常數(shù)據(jù)收集和處理等工作中，履行相應(yīng)的附隨義務(wù)。

與歐盟試圖設(shè)立“數(shù)據(jù)生產(chǎn)者權(quán)利”不同，美國更側(cè)重在不當使用原則基礎(chǔ)上，采納反不正當競爭模式保護企業(yè)數(shù)據(jù)財產(chǎn)權(quán)[9]。1986 年美國《計算機欺詐與濫用法》（CFAA）首次對違法抓取網(wǎng)絡(luò)數(shù)據(jù)的行為進行規(guī)制，規(guī)定任何未經(jīng)授權(quán)故意訪問計算機或者超過授權(quán)訪問權(quán)限，從任何受保護的計算機獲取信息的人，將承擔民事和刑事責任。美國法院通過司法判例，逐步完善了未經(jīng)授權(quán)、超過授權(quán)的訪問以及受保護的計算機等概念的定義。美國法院結(jié)合美國普通法中信息盜用制度，對他人不正當抓取網(wǎng)絡(luò)平臺數(shù)據(jù)的行為進行認定，包括滿足收集信息一方投入成本，另一方通過搭便車方式使用數(shù)據(jù)信息，雙方存在競爭關(guān)系，另一方的搭便車行為會對數(shù)據(jù)信息收集一方造成業(yè)務(wù)損害，數(shù)據(jù)信息具有一定時效性等條件[10]。除了設(shè)置如反不正競爭的被動防御權(quán)，美國立法在某些特殊領(lǐng)域，進行了主動確權(quán)認定，允許個人擁有對基因信息、醫(yī)療信息、測謊記錄等享有財產(chǎn)性權(quán)利[11]。目前，美國已有阿拉斯加、克羅多拉、佛羅里達等州的立法明確承認個人對基因信息的財產(chǎn)權(quán)，俄勒岡州1995 年通過《基因信息保護法》，承認個人對其基因信息和DNA 樣本享有財產(chǎn)權(quán)[12]。

三、我國數(shù)據(jù)權(quán)屬立法現(xiàn)狀探析

（一）個人數(shù)據(jù)可攜帶權(quán)有待細化

2021 年，我國正式通過《個人信息保護法》（以下簡稱《個信法》），首次對個人信息的保護提供了立法支持?！秱€信法》采取了綜合立法模式，賦予自然人對于個人數(shù)據(jù)的知情權(quán)、決定權(quán)、限制處理權(quán)、拒絕權(quán)、訪問權(quán)、刪除權(quán)等?！秱€信法》與《民法典》人格權(quán)篇“隱私權(quán)和個人信息保護”章節(jié)及《個人信息安全規(guī)范》等有關(guān)規(guī)定相銜接，借鑒歐盟GDPR以及美國CCPA 相關(guān)規(guī)定，明確了在個人信息處理活動中個人的各項權(quán)利。其中，《個信法》第四十五條第二款首次引入了GDPR 和CCPA項下的數(shù)據(jù)可攜帶權(quán)，即“個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當提供轉(zhuǎn)移的途徑”?！秱€信法》一審、二審稿中均未見數(shù)據(jù)可攜帶權(quán)相關(guān)規(guī)定，這一條款能在最終公布的法律文件里出現(xiàn)實屬不易。然而，現(xiàn)階段我國對數(shù)據(jù)可攜帶權(quán)的立法僅限于《個信法》中第四十五條第二款，暫未有任何其他法律法規(guī)對數(shù)據(jù)可攜帶權(quán)的實現(xiàn)進行細化規(guī)定。相比歐美立法，我國《個信法》中對數(shù)據(jù)可攜帶權(quán)的規(guī)定過于籠統(tǒng)，法條對于數(shù)據(jù)可攜帶權(quán)適用的數(shù)據(jù)范圍，以及數(shù)據(jù)可攜帶權(quán)下傳輸?shù)臄?shù)據(jù)形式?jīng)]有作進一步規(guī)定，數(shù)據(jù)可攜帶權(quán)仍未能實質(zhì)落地。

個人數(shù)據(jù)可攜帶權(quán)實現(xiàn)了自然人對于個人數(shù)據(jù)的部分財產(chǎn)性權(quán)能，而這一權(quán)利無法得到落實，也使得個人數(shù)據(jù)權(quán)屬變得更為模糊。數(shù)據(jù)可攜帶權(quán)的缺失，已成為用戶維權(quán)路上的巨大障礙，尤其對新型智能汽車的維權(quán)，如特斯拉剎車失靈事件，能否獲得汽車行駛中的“數(shù)據(jù)”證據(jù)，成為了消費者維權(quán)的關(guān)鍵[13]。雖然，我國消費者權(quán)益保護法第二十三條規(guī)定了舉證責任倒置，但前提是“自接受商品或者服務(wù)之日起六個月內(nèi)發(fā)現(xiàn)瑕疵，發(fā)生爭議的”，這一時限對于購買機動車商品來說遠遠不夠。即便是六個月內(nèi)發(fā)生了交通事故，消費者仍需要提供最基本的行車數(shù)據(jù)作為證據(jù)，才足以立案。相比較之下，在美國，特斯拉車主可登錄相關(guān)網(wǎng)站自行下載后臺數(shù)據(jù)，獲取第一手行車“數(shù)據(jù)”證據(jù)，待遇與中國消費者差別巨大[13]。數(shù)據(jù)可攜帶權(quán)的確立大大縮小了美國消費者的維權(quán)成本，通過消費選擇倒逼美國智能汽車行業(yè)提高商品以及服務(wù)質(zhì)量，對于促進行業(yè)的發(fā)展有著重要作用。

（二）數(shù)據(jù)財產(chǎn)權(quán)保護的缺失

在個人數(shù)據(jù)的雙重屬性下，我國立法框架中的企業(yè)對于集合性數(shù)據(jù)擁有何種數(shù)據(jù)權(quán)利也并不明確?？紤]到數(shù)據(jù)產(chǎn)業(yè)生態(tài)的復(fù)雜性和數(shù)據(jù)權(quán)利的多樣性，賦予企業(yè)專屬排他性的數(shù)據(jù)權(quán)利并不可行。我國未從立法層面對數(shù)據(jù)池的財產(chǎn)性權(quán)利進行定位，然而司法實踐表明，法院現(xiàn)階段傾向?qū)?shù)據(jù)池認定為一種競爭性財產(chǎn)權(quán)益，如淘寶訴美景公司涉“生意參謀”一案。2019 年7 月，法院判決美景公司“咕咕互助平臺”構(gòu)成不正當競爭。法院認為，美景公司未付出勞動創(chuàng)造，將涉案產(chǎn)品當作獲取商業(yè)利益的工具，違反了誠信原則和商業(yè)道德，屬于搭便車行為，損害了同行業(yè)競爭者淘寶公司的合法利益，構(gòu)成不正當競爭⑤。通過此案，法院初步劃分了各相關(guān)主體對于數(shù)據(jù)資源的財產(chǎn)權(quán)邊界，確認數(shù)據(jù)產(chǎn)品開發(fā)者享有以“競爭性財產(chǎn)權(quán)益”為基礎(chǔ)的反不正當競爭法保護[14]。雖然這種做法能在一定程度上維護了企業(yè)正當利益，但是也有較大的局限性。在我國“反不正當競爭”保護模式下，企業(yè)無法阻止非競爭關(guān)系的市場主體，造成數(shù)據(jù)產(chǎn)品經(jīng)營者利益受損的行為。企業(yè)的數(shù)據(jù)產(chǎn)品權(quán)益無法獲得事前的救濟，即只有當企業(yè)的權(quán)益受到侵害時，才通過事后能獲得法律救濟，與一般侵犯財產(chǎn)權(quán)的保護模式相比，企業(yè)處于被動地位。

《個信法》中的同意規(guī)則過于簡單，也將影響企業(yè)數(shù)據(jù)財產(chǎn)權(quán)的實現(xiàn)。企業(yè)收集到的數(shù)據(jù)，無論是可識別個人數(shù)據(jù)，或是經(jīng)企業(yè)清洗處理后不可識別的非個人數(shù)據(jù)，只有在同意規(guī)則下，經(jīng)個人同意后收集到的數(shù)據(jù)才能受到保護。企業(yè)數(shù)據(jù)財產(chǎn)性權(quán)利的實現(xiàn)，必須建立在企業(yè)合法收集個人數(shù)據(jù)的基礎(chǔ)之上，如果企業(yè)的收集行為違法，則企業(yè)獲取數(shù)據(jù)本身的行為不成立，企業(yè)的數(shù)據(jù)權(quán)屬無從談起。在同意規(guī)則上，我國立法與歐盟立法均采用了“選擇進入”模式，即數(shù)據(jù)控制者收集、處理個人數(shù)據(jù)之前必須獲得消費者的同意。然而歐盟GDPR的同意規(guī)則更為細致，要求同意必須是自由做出的、明確特定的、充分告知且不含糊的意思表示④。相比較之下，我國的同意規(guī)則更為簡單，并沒有考慮在權(quán)力失衡情況下，消費者或用戶是否能自由做出同意的情形。我國亟需配套法律法規(guī)對“同意”進行認定和解讀，確保在企業(yè)不侵犯個人信息人格性權(quán)利的基礎(chǔ)上，保護企業(yè)的數(shù)據(jù)財產(chǎn)性權(quán)利。

四、對我國數(shù)據(jù)權(quán)屬的立法建議

個人數(shù)據(jù)的雙重屬性，決定了我國數(shù)據(jù)權(quán)屬立法需要平衡個人數(shù)據(jù)的隱私性和數(shù)據(jù)的流通價值。《個信法》的出臺為個人數(shù)據(jù)的人格性權(quán)利提供了法律保障，然而立法卻仍未有對企業(yè)數(shù)據(jù)財產(chǎn)性權(quán)利的定義和保護框架。現(xiàn)有的部分學(xué)術(shù)文獻以及政府政策文件，對于“數(shù)據(jù)權(quán)屬”的概念定義含糊，多從數(shù)據(jù)實際停留過的地方，如個人、企業(yè)、政府的角度進行區(qū)分[15]。這種表述和區(qū)分，容易使讀者誤以為這些主體可以擁有對數(shù)據(jù)的排他性所有權(quán)，如個人擁有個人數(shù)據(jù)權(quán)，企業(yè)擁有企業(yè)數(shù)據(jù)權(quán)，政府擁有公共數(shù)據(jù)權(quán)等，不利于我們理解數(shù)據(jù)的流動性和隱私性之間的矛盾。事實上，從比較法的角度可知，立法上從未對任何主體賦予對數(shù)據(jù)的排他性所有權(quán)。因此，數(shù)據(jù)權(quán)屬立法上需要區(qū)分“個人信息（數(shù)據(jù)）”和“非個人數(shù)據(jù)”，對這兩種數(shù)據(jù)進行不同側(cè)重的保護，而非籠統(tǒng)地一概而論。

從上述角度出發(fā)，對我國數(shù)據(jù)權(quán)屬立法提出以下建議：

首先，應(yīng)盡快細化數(shù)據(jù)可攜帶權(quán)的立法，讓數(shù)據(jù)可攜帶權(quán)切實落地，實現(xiàn)個人數(shù)據(jù)有限度的財產(chǎn)化?？山梃b歐美立法經(jīng)驗，確定可攜帶數(shù)據(jù)的類型，如個人不僅能訪問無檢索功能的數(shù)據(jù)副本，更可以電子形式獲取可供機讀的、結(jié)構(gòu)化的數(shù)據(jù)，以增加用戶消費者的選擇權(quán)，塑造更加公平透明的數(shù)據(jù)處理市場。另一方面，立法還應(yīng)對數(shù)據(jù)可攜帶做一定的限定，如可攜帶的僅為個人提供的原始數(shù)據(jù)，排除企業(yè)加工后產(chǎn)生的數(shù)據(jù)為可攜帶的對象，確保權(quán)利行使不損害企業(yè)商業(yè)秘密和其他知識產(chǎn)權(quán)等，以保護企業(yè)的數(shù)據(jù)財產(chǎn)性權(quán)利。

其次，加快對企業(yè)數(shù)據(jù)財產(chǎn)性權(quán)利的確認，通過立法的形式，增設(shè)企業(yè)數(shù)據(jù)庫權(quán)利，完善企業(yè)侵犯數(shù)據(jù)競爭性權(quán)益的認定條件，實現(xiàn)數(shù)據(jù)確權(quán)和反不正當競爭雙軌并行的企業(yè)數(shù)據(jù)權(quán)益保護機制。借鑒美國經(jīng)驗，完善我國司法實踐中對數(shù)據(jù)產(chǎn)品“競爭性權(quán)益”的定義，明確不正當競爭的構(gòu)成要件，包括雙方存在競爭關(guān)系、收集方投入勞動成本、盜用者通過搭便車方式使用數(shù)據(jù)信息或?qū)?shù)據(jù)信息收集方造成業(yè)務(wù)損害、數(shù)據(jù)信息具有一定時效性等。此外，在反不正當競爭模式下，對于明顯依靠智力成果的數(shù)據(jù)產(chǎn)品，應(yīng)通過單獨立法增設(shè)“數(shù)據(jù)庫權(quán)利”，加入到知識產(chǎn)權(quán)的體系中。對于可直接認定為“數(shù)據(jù)庫”智力成果的產(chǎn)品，應(yīng)直接賦予近似物權(quán)所有權(quán)的數(shù)據(jù)庫權(quán)利，彌補反不正當競爭模式下，只有當侵權(quán)行為發(fā)生時，才能進行防御性保護的弊端。對于具有強烈個人信息特征、私密性極強的個人基因信息、醫(yī)療信息、測謊記錄等，同樣應(yīng)通過立法設(shè)立具有排他性的財產(chǎn)權(quán)，將信息數(shù)據(jù)所有權(quán)歸屬于個人，以確?？赡軐θ祟惤】诞a(chǎn)生影響的個人信息不被濫用，規(guī)范醫(yī)療商業(yè)行為。

最后，為確保企業(yè)行使數(shù)據(jù)權(quán)利的合法性，應(yīng)加強對企業(yè)收集用戶數(shù)據(jù)的監(jiān)管和規(guī)范，完善個人信息保護法中個人數(shù)據(jù)收集的“同意規(guī)則”。企業(yè)對個人數(shù)據(jù)進行商業(yè)化利用，須充分尊重和保證個人的知情同意權(quán)，法律應(yīng)明確真實同意的規(guī)則，禁止欺詐或脅迫，否則視為未獲取同意。借鑒歐盟立法經(jīng)驗，規(guī)定企業(yè)應(yīng)采取簡明、透明、易于理解和獲得的形式，使用清晰平實的語言履行告知義務(wù)。為解決用戶收集證據(jù)的困難，法律可確立舉證責任倒置，要求多個企業(yè)對其未履行同意規(guī)則規(guī)定，違法收集個人數(shù)據(jù)的行為承擔連帶責任。由于隱私聲明普遍適用格式條款，需要結(jié)合我國法律體系中的其他部門法，如《民法典》《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護法》等，對隱私聲明的格式條款進行規(guī)制，確保隱私聲明符合同意規(guī)則，企業(yè)不會濫用強勢地位侵害用戶權(quán)益。通過同意規(guī)則的設(shè)計，可構(gòu)建個人數(shù)據(jù)的財產(chǎn)變現(xiàn)機制，如針對個人基因信息、醫(yī)療信息和測謊記錄等，允許信息主體有償許可他人使用此類個人信息，賦予企業(yè)商業(yè)化利用權(quán)利的同時保證個人隱私不被濫用。

注釋：

①“個人數(shù)據(jù)”與“個人信息”產(chǎn)生在不同的法律傳統(tǒng)和語境下，但兩個概念只是表述方式上的差異，在實踐中可以相互替代使用。“個人數(shù)據(jù)”這一稱謂多被歐洲國家認可，而我國以及東亞國家更傾向于用“個人信息”的稱謂。本文為作比較分析，“個人數(shù)據(jù)”與“個人信息”相互替代使用，不做區(qū)分。

②2020 年12 月提請審議的《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例（草案）》曾做過一次為數(shù)據(jù)確權(quán)的嘗試，然而在批判聲中“數(shù)據(jù)權(quán)”“個人數(shù)據(jù)權(quán)”等表述已被刪除，二審稿和已公布的《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》中已被修改為“數(shù)據(jù)權(quán)益”。

③詳見2017 年1 月10 日歐盟委員會發(fā)布的政策文件《構(gòu)建歐盟數(shù)據(jù)經(jīng)濟》。為了促進數(shù)據(jù)訪問和共享，歐盟委員會考慮基于“公平、合理、無歧視”（FRAND）條款建立數(shù)據(jù)許可框架，以為中小企業(yè)和初創(chuàng)公司提供更公平的數(shù)據(jù)利用機會。

④歐盟第29 條工作組（WP29）發(fā)布《對第2016/679 號條例（GDPR）下同意的解釋指南》，對歐盟《一般數(shù)據(jù)保護條例》（GDPR）中的同意機制做出了具體指導(dǎo)。

⑤詳見淘寶(中國)軟件有限公司訴安徽美景信息科技有限公司不正當競爭案(2017)浙8601 民初4034 號；(2018)浙01 民終7312 號。