1. 问题的提出
我国的《民法典》第一千零三十四条和第一千零三十七条提出严格保护自然人的个人信息,随后生效的《个人信息保护法》和《数据安全法》均提出要保障自然人与数据有关的利益,数据是信息的载体之一,信息通过数据表达其含义,并将其内涵与外延法定化。作为信息载体,是数据的初始功能 [1] ,同时现实中也存在大量个人数据被泄露的案例,一方面,网络运营商希望多收集个人数据,以便其使用,另一方面网络运营商希望少付出数据隐私保护成本,更有甚者,有些网络运营商通过贩卖个人数据以牟取不法利益。例如“杭州摩羯案”,数据收集主体杭州摩羯公司在未经用户授权的情况下将用户数据出售给第三方主体,侵犯用户数据安全。
随着互联网平台的快速发展,网络用户通过网络运营商的服务提升生活便利,同时网络用户通过与网络运营商签订《软件许可及服务协议》《隐私保护指引摘要》《隐私保护指引》或类似的用户许可协议,通过让渡网络用户的部分信息权利以换取网络运营商的服务。网络用户数据的收集、存储和使用成为了网络平台运营不可或缺的部分。
然而,对于网络用户数据利益的归属划分一直是困扰数据要素市场建设的法律难题,“数据作为生产要素参与分配的机制存在数据产权界定不清、数据安全保护落后、分配主体尚不明确的问题” [2] 。并且存在网络用户数据的利益内容不清,网络用户数据的归属主体不清等问题。网络运营商获取大量用户数据,对用户数据具有控制权,《网络安全法》第四十一条规定:“网络运营商应当基于便于用户的角度收集个人数据,网络运营商不得收集与其提供的服务无关的个人信息”。然而现实中网络运营商往往过度收集用户信息,对于网络运营商的《软件许可及服务协议》,网络用户并没有选择权,网络用户若意图享受网络运营商的服务,不得不同意其前置服务条款。随着数字化时代到来,许多日常活动需要网络用户通过手机信息授权才能开展。过度的信息获取也可能导致网络用户的个人信息泄露。那么,网络运营商对网络用户数据的利益边界在何处?并且网络用户通过创造数据为网络平台提供了巨大价值,却无法从数据经济中获得相应的报酬。网络用户的利益是否存在沉默状态?推进数据要素化市场建设,必须从利益平衡视角考察利益分配机制。法律制度作为利益分配背后的手段,应激励数据主体积极参与数据市场建设并且保障数据弱势群体的合法利益。
2. 网络用户数据利益类型化分配
2.1. 网络用户数据的价值
《数据二十条》提出按照“谁投入、谁贡献、谁受益”原则对数据利益进行分配。即贡献定酬制度应当作为数据利益分配的核心原则,那么贡献定酬制度是如何适用于网络用户数据利益分配当中呢?
伴随着数据的产生和利用,均发生着数据价值的产生和增值。对数据价值的开发利用包括对原始数据天然价值的挖掘和衍生数据价值的产生,原始数据天然价值是指网络用户单独数据以及原始数据收集者对网络用户单独数据收集归纳成数据集,这份数据集所涵盖的价值。衍生个人数据的价值生成是由数据处理者发现数据背后的价值,将数据集加工成数据产品,回看数据的一生,数据市场主体之间通过进行横向交易和纵向流转产生并增值数据价值,然后进一步分配数据利益。
2.2. 网络用户单独数据价值
网络用户对用户单独数据享有何种利益?《民法典》规定:自然人享有个人信息权,包括:知情同意权、限制处理权、访问复制权、错误更正权、删除请求权、损害求偿权。《个人信息保护法》《数据安全法》《深圳经济特区数据条例》等多项法律法规均规定自然人享有其数据的人格性利益。虽然我国当前虽未对网络用户是否享有信息权利做出法律规定,但是从立法保障和法律规制而言,用户享有数据安全保护类权利是基于对于人格权的保护所衍生而出的权利。
那么,用户单独数据价值中是否包括财产性利益呢?个人单独数据能否具有商业利用价值?以及网络用户对其创造的单独数据是否享有财产性利益呢?
针对以上问题,学界一直争论不休。学者邢会强提出“个人信息产生商业利益,因此其具有财产性利益,并且自然人应当享有个人信息财产权” [3] 。也有学者商希雪提出“单个个人信息不存在财产价值” [4] 。
本文认为用户单独数据具有财产性价值并且网络用户对其单独数据应享有财产性利益。用户单独数据可以被认定为网络用户的劳动成果,用户单独数据的产生需要网络用户投入时间和精力,也需要使用网络用户的知识和技能。例如:网络用户在网络运营商上所发表的弹幕、评论等意见表达,网络运营商和其他用户可以利用这类信息获取便利,而且,用户单独数据也是经过个人整理和提交,然后储存在网络运营商的平台,用户单独数据由用户创造,无论是其有意图活动例如:网络评价,点赞、收藏等,抑或是其生活痕迹的表达例如:外卖记录、网购记录、浏览记录等。这些数据均由用户创造,然后存储在网络运营商之上,这些数据虽然是与用户个人活动所伴生而出,但是其也是由个人用户所创造,网络运营商所付出的贡献也仅仅是存储这些数据。根据网络运营商与用户的许可协议,网络用户对其在网络平台上所创造的信息具有完全的支配权,同时网络用户也需要对其行为负责。例如在“淘宝网络诉杜某、邱某等网络侵权责任纠纷案1”中,杜某、邱某利用网络差评机制向淘宝店家进行勒索,杜某、邱某需要对其网络恶评行为负责。任何人的劳动成果都应当受到保护和尊重,无论个人是否有意图产生劳动果实,网络用户对数据的产生具有贡献,并且应当有权利支配自己的劳动成果。因此,用户单独数据应当被视为个人用户的劳动成果。
2.3. 数据集价值
数据集是指网络运营商在单独用户数据的基础上,破解原始用户数据之间的孤岛状态,对用户数据进行净化、提炼、汇集、实现数据间的互通,即汇集性数据处理,并不改变数据的本质状态,而是按照一定的目的和需求,对海量数据进行排列、组合,使之原本独立、无序的单独用户数据相互连线构成数据集。在这个过程中,数据处理者付出相应的资本和劳动对数据进行筛选、提炼。
网络运营商通过一定的技术处理将散落的用户数据汇集成原始数据库,网络运营商在此过程中贡献了一定的技术以及劳动,但是并没有产生任何创造性成果,网络运营商是基于用户协议所享有的数据采集权、数据使用权、数据保护权,但是网络运营商是否享有对数据集完整的控制和使用权?基于法律法规,网络运营商仅仅享有有限的利益即保护性利益,其有权可以防止别人侵害其数据集,有权保护其数据集的安全,但是不享有独立的财产利益,对网络运营商不宜赋予其过大的财产权。有学者提出:“数据交易与技术发展在很大程度上与技术进步密切,如果现在就将可商业交易数据赋予财产权,一旦技术或商业应用模式的改变,将会给法律带来较大的不确定性” [5] 。而且赋予过大数据权利范围易造成数据垄断,不利于数据流通。数据收集者基于保护用户的数据安全的逻辑起点享有对数据集的保护权。数据收集者无权定义“保护权”的边界。数据收集者将单独数据汇集而成数据集,数据收集者自身分析使用数据集,但是无权就原始数据集与第三方进行交易。而且基于合同相对性,网络用户仅仅授权给网络运营商,第三方必须通过网络用户的同意许可才可使用其数据。
根据《网络安全法》第四十二条规定“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。因此,数据处理者对数据集的控制权利的判断准则应当是第三方能否从数据集识别到个人信息,即数据集经过一定算法处理和技术分析,使数据集无法定位到个人信息。则数据集生产者有权独享数据集带来的收益并取得数据集的专有控制权。若第三方可以从数据集识别到个人信息,则网络运营者不得泄露、交易其所控制的数据集。
2.4. 衍生数据产品价值
用户数据通过类数据产业链的模式,用户数据形态不断发生改变,数据价值不断增长。数据控制权从网络用户转向数据产品持有者,数据的形态和价值不断发生变化的过程。并且数据具有积累性和非消耗性的特点,数据利益也由原始数据利益延伸至数据衍生品的增值利益,这种数据流转可能发生在同一个主体之间,即单一主体对个人数据进行挖掘、分析、处理。也可能发生在不同主体之间,即数据收集者收集数据——数据处理者分析处理数据,通过不同数据主体之间数据流转,数据价值完成增值。
基于对于原始数据集分析而成的数据产品,其源于原始数据集这座蕴含丰富资源的矿藏,通过用户数据处理者的劳动投入而产出成数据产品,数据产品具有了全新的性质,并且数据产品无法识别网络用户的信息。有学者提出对“数据产品的财产本质要求赋予绝对权保护力度” [6] 。数据处理者对于数据产品具有独立的财产性利益。由于数据产品是对于原始数据库的描述性表达,其不包含网络用户的人格性利益,通过脱敏等方式,无法从数据产品中精准定位到网络用户,数据产品独立于个人数据,是无直接联系的衍生产品,数据产品的交易、使用并不妨碍到网络用户和网络运营商对于原始数据集保护性利益,因此数据产品的使用与处分不会对于网络用户构成任何妨碍。脱胎于原始数据集,数据产品具有全新性。由于当下立法的缺失以及物权法定原则,对于数据产品的保护与监管,无法做出物权法以及知识产权法的保护,在过往的司法实践中,司法机关往往运用《不正当竞争法》对于擅自使用他人数据产品的人,认定侵权。综合而言,数据处理者对于其控制的数据产品享有完整的占有、使用、收益的权能。
3. 制度构建
网络运营商对用户数据运营过程中投入资本和劳动对相关数据进行使用、分析进而产生了衍生数据。网络运营商享有对衍生数据的占有、使用、收益的权益,但同时由于数据的无损耗性、无限复制性、聚合性。如一味承认相关主体的权益,同时也易造成数据垄断和数据孤岛。不利于数据流通。数据聚合存在马太效应,容易造成数据拥有者在数据上贫富差距越来越大。互联网大厂占有大多数用户流量,小型公司和初创公司难以打破数据壁垒,不利于数据市场良性竞争。同时也难以保护个人主体的相关权益。本文从数据利益保障和数据利益补偿制度两个角度保障相关主体的安全权益和财产权益。
1) 数据利益保障制度
数据安全是数据利益分配的前提,无安全则无数据利益。对网络用户的利益分配和权益保障的落脚点和关键点在于保护网络用户的信息安全。《数据安全法》《网络安全法》《个人信息保护法》均提出数据控制者具有安全保障义务,有学者提出数据安全保障义务涵盖:建立健全流程数据安全管理制度;组织开展数据安全教育培训;采取相应的技术措施和其他必要措施;风险监测义务与采取补救措施、处置措施的义务 [7] 。数据控制者基于数据安全保障义务对用户数据进行开发与利用,若数据控制者违反安全保障义务,造成损害后果,应该承担相应的行政惩罚责任以及民事赔偿责任。数据安全保护义务在根本上属于保障公共安全的公法义务,其法律责任也相应为公法责任。面对数据处理举证难,监管难等问题,对相应责任主体适用行政责任甚至刑事责任更有利于保护群体性利益。同时在承担公法责任的同时,相关责任主体也可以适用于侵权和违约的私法责任框架。责任主体的民事责任的承担应该以赔偿损失为主,个人信息被侵犯导致的损害种类繁多,不仅包含财产损失,还涉及精神损害。计算损害赔偿金额的方法也呈现出多种形式。有学者提出了以下三种计算侵害个人数据所导致财产损失的赔偿金额的方法:“1) 赔偿消费者实际遭受的损失;2) 依据数据侵权者所获取的不正当利益进行赔偿;3) 在前两情况赔偿金额范围难以确定的情况下,法院可酌定赔偿” [8] 。数据控制者在违反数据安全保障义务时,法院应综合多种赔偿方法,确定一个合适的金额以救济个人数据主体的损失。其次,针对精神性损害,民法典规定必须造成严重精神损害才能适用精神损害赔偿制度,但往往严重精神损害在数据损害领域难以证明,在数据侵权领域应该降低精神损害严重性标准、降低精神损害赔偿门槛的趋势,受害人只需要证明个人信息侵权足以使得理性人遭受足够的精神压力或痛苦就可以获得救济。
《数据二十条》提出壮大数据场内交易,虽然在目前我国数据场内交易市场遇冷,但是在可预见的将来,基于数据交易而展开的数据利益分配势必是建立在成熟且高效的数据场内交易上。在场内交易的前提下,数据控制者就上架的数据产品,无论是数据集抑或是衍生数据,应构建以安全保障义务为核心,完善监管备案制度,即降低数据产品交易合规性,提高数据产品的交易监管性。数据控制者在有关监管机关承诺履行数据安全保障义务并登记数据的范围、来源等数据产品信息后。数据控制者可以在数据市场出售数据产品获取利益。通过降低场内交易门槛以及规范责任追偿制度等,有效打击场外交易导致个人主体数据泄露事件发生以及保护数据相关者的数据安全权益。明确数据控制者的责任认定,以安全保护义务为核心,在数据泄露事件发生后,数据控制者应当就其是否满足数据安全保护义务进行举证,若数据控制者无法证明其在数据泄露事件没有满足安全保护义务,则应承担相应责任。
2) 数据利益补偿制度
《数据二十条》提出在数据利益二次分配当中提高对数据弱势群体和社会公共利益的保障,税收作为国家宏观调节手段不仅仅有利于规制数据寡头的数据垄断优势,促进数据流通,同时可以有效救济数据弱势群体和调整数据区域发展不协调,个人数据主体相比较网络运营商处于不利地位,难以通过私力救济以保障个人数据利益,并且网络用户的单独数据存在财产价值,当单独数据归纳成数据集,网络用户并不能享受到其财产价值的变现,而有可能湮灭。从集体层面,网络用户作为数据生命周期的必要主体之一,应该保障数据群体性利益。通过税收手段平衡数据要素经济发展的利益分配,不仅仅意味着对个人主体提供帮扶,同时通过设立数据发展基金等制度,将数据税收制度与数据基金相联系,把所收取的数据课税转移至数据基金制度,通过帮扶小数据企业发展以及弱势数据地方区域的发展,激励数据企业开放共享数据,对数据企业公益共享数据做出补偿,以及支持数据基础设施的建设和维护。实现数据经济协调发展,达成全民共享数据经济的目标。从比较法视角而言,以德、法为代表的欧盟国家也提出对数据巨头征收数字税。当数据交易市场发展成熟时,开展数据课税制度是数据利益分配中有效的救济、调节手段。在数据利益三次分配当中,数据控制者应通过提供一定的免费服务或补贴作为获取个人数据的合法使用的合理对价。
4. 结语
加速数据要素流通,一方面要加快培育数据交易市场,繁荣数据交易,无交易则无利益,另一方面也应做到坚守数据安全底线,为网络用户的个人数据安全以及国家数据安全做好严格保护。用户数据蕴含极高的开发、利用、使用价值,通过厘清以数据资源持有权、数据处理使用权、数据产品经营许可权为主体的三权分离的数据权属制度,促进数据利用开发和利益分配。个人数据主体投入数据,网络运营商投入资本和技术,数据利益分配要考虑各方数据主体在数据利益中所占据的比例,依照贡献原则对于数据利益进行分配。壮大数据要素市场,发展数据经济,通过用户数据利益类型化划分,有效厘清各方主体在用户数据上的权益边界,为数据控制者责任保障范围和个人数据主体权益保护范围做出有效区分,虽然数据承担的利益属性复杂,主体多元。但是通过数据安全保障制度和数据利益补偿制度的设立,有效促进对个人主体的利益救济和数据安全交易。运用二次分配和三次分配机制对数据利益做到再分配再调节的作用,有力地保护网络用户、数据持有者、数据处理者等多方利益。激发相关主体对数据产业的投资热情。构建符合数字经济时代发展的数据利益分配制度,实现数据流通与保障的平衡。
基金项目
2023年江苏省研究生实践创新计划《网络平台下个人数据利益分配的法律规制研究》(SJCX23_0354)。
NOTES
1参见浙江淘宝网络有限公司与杜超、邱秀珍等网络侵权责任纠纷案,江苏省海门市人民法院(2018)苏0684民初5030号。