大数据产品的法律属性及其合规路径

2019年第12期    作者:文│许力先 赖力    阅读 4,165 次

随着大数据技术的发展，数据的价值不断得到认识和挖掘。在数据采集、使用、交易、流转的过程中，大数据产品的法律属性及其合规路径不明晰所带来的问题日益影响着整个数据产业的发展。数据流通所带来的价值累积与个人信息、商业秘密甚至国家安全的保护存在不可回避的冲突。企业收集与整合数据、产出产品，如因不合规合法而不能上市流通，对数据企业、产业是巨大的打击。因而，从促进数据产业发展、保护数据产品产权利益的角度来说，应当建立专门的数据应用法，明晰审查规则。

2018年，我国数字经济产量已达到31.3万亿元，占GDP总量的34.8%，大数据技术的使用不断引起金融、政务、电商等领域的变革。随着数据的市场价值不断被挖掘出来，个人与数据经营企业、企业与企业之前产生了系列法律纠纷。其中一个重要原因在于，未能有成熟的法律法规平衡各方利益，数据应用的合规审查制度不完善，权责不明。我国大数据产业仍处于发展的初级阶段，其健康发展对我国经济发展、个人数据安全保护有重要的战略意义。

一、数据产品保护的现实困境

（一） 数据应用引发的权益纠纷

本文所讨论之数据应用仅指数据的商业应用，公共服务、技术研究型的大数据应用因篇幅所限，暂不纳入讨论。另外，本文数据产品应采广义的产品概念，企业对于数据并非需要完整命名后才能确定为数据产品，企业成立专业部门对数据进行整合、分析等再创造过程的，可以视为广义的数据产品。

从作为数据来源的个人与运营数据的企业发生的纠纷来看，数据的商业应用已侵犯到个人的隐私权、安宁权、名誉权、知情权等领域。近年来，国家加大了对侵犯公民个人信息犯罪的打击力度。2019年2月曾被誉为“国内大数据行业第一股”的数据堂迎来终审判决，最严重者被判处有期徒刑5年，并处罚金人民币310万元。

从数据运营企业之间的纠纷角度看，数据产品的成熟、数据市场规则的不完善、相关法律法规的不全面，导致了数据产品市场的混乱，发生了诸如“脉脉非法抓取使用新浪微博用户信息案”“百度诉奇虎360违反‘Robots协议’爬取数据纠纷案”等等，而大数据产品的司法判例直到2018年12月才有了第一例。

（二）现有保护制度二元分立的缺陷

传统民法理论中，对于个人数据的保护分为两种类型。一种为人格权式保护，即认为数据承载的是指向个人信息的人格权利益，从而制定严密的人格权保护制度以保个人的人格权不受侵害；另一种是在互联网经济的推动下，认为个人数据可以作为一种财产，以财产权保护制度和市场运行规则等方式对个人财产予以保护。这两种保护方式在实践中难以找到联通的桥梁，进而对于数据应用产业的保护也呈现出低效率的缺陷，有如下原因：

首先，数据产品权属不明，权益分配难以进行。司法实践中，出于对个人诉权难以集中、民法制度未予以明确、大数据产品是否具有财产权属性、收益由数据运营企业享有是否具有正当性等问题的考量，裁判理由中总会存在缺憾。其重要的原因在于，在当前立法体系下，授权行为并不能隔断权利归属。如建立严密的人格权保护制度，将个人数据交易的财产权利完全隔离在外，大数据产将业失去内生动力和基本资源。司法实践中，并没有肯定数据运营商通过获得用户授权而获得数据或是数据产品的财产所有权，仅表述为“由数据产品带来的权益归运营公司所有”。如深究下去，既然数据运营商仅享有财产收益权，那么是否意味着肯定了数据产品的财产属性？如肯定了大数据产品是一种财产，那么财产所有权人为何？如数据运营企业仅享有收益权，其享有的基础为何？这一系列问题由于大数据产品的基础法律属性不明而产生。

其次，过于严格的个人信息保护制度将掣肘我国数据产业的发展。我国现行法律对个人信息的保护体现在对隐私权、安宁权、名誉权等的保护上。在大数据背景下，单一的数据不整合到大数据集合中，对于商家来说没有规律的参考性，不可能转变、难以体现其财产性质；对个人而言，个人信息汇入数据集后，难以主张其个人的数据权益应当从大数据权益中获得有效的补偿。

综上，数据产品所引起的纠纷频发，究其根本在于数据产品的基本属性、权责问题未得到明确规定。从而对于数据产品如何合规，如何保护个人信息安全等问题自然难以明确。

二、数据产品的法律属性

数据产品的基础来源于公民个人的数据，针对数据产品合规及个人数据保护路径存在的现实缺陷。笔者认为，厘清数据产品的法律属性是决定其规制路径的基础。

（一） 对现有学说的评判

持“物权理论”观点的学者认为，数据需要一定的存储空间因而具备一定的有形存在，其具有可支配性和排他性，又因可交换而存在一定经济价值，因为属于一种特殊的物。因而，权利人享有对自己的数据财产享有占有、使用、收益、处分的权利。笔者认为，该项理论违反了物权的客体理论。通说认为《物权法》中所指的物系指“除人之身体外，凡能为人力所支配，具有独立性，能满足人类社会生活需要的有形物和自然力”。《物权法》所保护的客体为有形物，数据产品依赖于计算机等基本载体，学界已公认了其无形性，其特性即不能满足《物权法》对客体的要求。

持“知识产权理论”的学者认为，因数据产品经存储、计算、加工、聚合而成的“衍生数据”，其产生集聚了巨大的财力和智慧，具备知识产权“无形性、专有性、可复制性”的特点，是一种新型知识产权。针对这一理论，反对的学者认为，知识产权及其客体的概念和边界本来就存在争议，数据产品是否能够纳入传统知识产权的范围值得商榷。大数据的分析方法是可复制的，当第一批数据通过某一算法得到成功后，他人通过购买成熟的算法，其他搜集而来的数据均能够使用同样算法得出的衍生数据难以说构成了独特的“智力成果”。笔者认为，大数据产品的诞生可以是企业自有算法的结果，也可以是自有数据通过他人算法产出的产品。其多元性来源于算法的不同和数据源的不同，因此该产品并不属于智力成果，而算法才应当是知识产权保护的对象。

（二）确定数据产品的财产权属性

数据产品的根本来源是个人将其个人信息以授权的形式交付给数据运营商使用，数据运营商通过付出一定的劳动，将零散的数据整合、去标识化，产出针对性的数据产品在电商、医疗、政务等领域使用。不能否认的是，个人信息未接入互联网成为数据集的一部分之前，个人对自己的信息享有完整的人格权和财产权，而当数据运营商通过符合法律要求的步骤获得该类数据后的使用权后，法律应当肯定数据运营商对产出的数据产品以基本的财产权利。认定数据产品的财产权属性具有可操作性。

从个人信息的采集程序来看，早在1980年，世界经济合作发展组织（OECD）颁布了《隐私保护和个人数据跨国流通指导原则》；从数据运营商数据整合行为的意义来看，洛克（JOHN LOCKE）在《政府论》中提出的“劳动自然权理论”指出，在自然权利中，每个人都是自己的财产，是因为这种财产渗入到了自己的劳动。数据运营者通过收集、分析、加工、展示使得个人信息脱离了其原始的状态，成为数据产品，在前述去标识化的前提下，应当成为数据运营者所有的财产权利。

在国际上，有关数据权属的一般观点认为，企业对匿名化的数据集享有所有权，但对数据集的流通也呈限制的趋势。我国现有法律规定我国禁止公民个人信息的出售行为，但随着数据产业的逐步发展，当法律法规能够与产业发展相配合，未来个人信息的交易合法化也并非完全没有可能；其次，对于在用户数据基础上，做出充分匿名化、去标识化处理的数据集，可以规定企业（数据控制者）对其享有限定的所有权。在法律上赋予企业对该类数据集以财产所有权，增加数据交易的法律稳定性与可预期性，能够为企业利用数据创造财富提供积累机制。

三、大数据规制建议

当前我国尚无专门针对大数据及其产品的合规审查标准，审视数据是否合规的现行基本法律依据分布在《网络安全法》《电子商务法》等相关法律法规中。通过整理可以发现，当前数据的合规路径主要体现在两方面，第一，以不能侵犯公民个人信息权利为基本原则的系列规定。第二，以保障市场公平正义的竞争法系列规定。在对于个人信息的保护考虑中，国家一直持谨慎的态度。虽然目前能够通过对既有规定的充分运用部分满足保护个人权益的需求，但从长远看，我国需要有自己的《数据应用法》才能保障数据红利的持久性。本文基于我国《网络安全法》等法律法规，参考欧盟GDPR等国际规则，从审查主体、审查方式和负面清单等方面提出对专有法律立法原则的建议：

（一） 审查主体

我国目前存在多个数据合规的审查主体。例如，在实践中，当地公安机关负责网络安全等级保护备案。而根据国家互联网信息办公室2019年5月28日发布的《数据安全管理办法》征求意见稿，统筹及指导安全保护工作的职权归口到国家网信部门。为统一审查标准，针对我国现阶段大数据产业的发展，需将审查职能进行归口统一，对应配备保障数据安全、监测数据产品质量、内容合法性等行政职能。截至2018年12月，我国省级层面已有12个省、地区设立了省级的政府大数据管理局。参照贵州省大数据发展管理局的职能，可以将前述职能、大数据应用和产业发展纳入全国各省大数据管理局行政职责中，以政府力量推动数据合规规则的制定、建立数据跨省互通制度、促进大数据交易平台的融合发展。

（二）审查方式

在数据产品合规审查方式上，可以分为事前和事后两个阶段的审核。事前，对于从事数据交易的平台、数据运营公司的经营范围可采取行政许可制。只有具备完整网络安全等级保障的机器设备及运行规则，拥有一定从业资质的数据管理人员，才能从事数据运营。在数据企业的运营中，可以对主要数据产品采取备案制度，实时接收针对数据质量的投诉并对查证的企业予以处罚。

（三） 负面清单的制定

所谓负面清单即是指禁止流通的数据类型。原则上，数据运营商对于数据的处理获得当事人同意即可成为可交易数据产品的基础来源，但违背法律保护的国家、个人、企业的基本权利的，理应列入禁止流通的清单。对于数据运营商来说，合规的第一步即是建立严格的审核制度，将负面清单中的数据类型排除在交易之外。随着社会价值体系的不断演变和科学技术安全性的不断增强，可交易数据的范围也会不断扩大，在制定负面清单时，需从长远的角度多以概括性表述进行框定，并通过实践不断进行修正。

四、结语

本文通过明晰大数据产品的财产属性以回应信息时代的发展变化。需要说明的是，国家安全、个人隐私、企业商业秘密绝不是过时的概念，但在科技不断发展所提供的技术支持下，大数据不应当被视为侵犯信息安全的洪水猛兽，其所蕴含的社会价值应当被正视。而正是基于此，明确的数据合规专门法律法规的出台对企业数据产品的发展显得前所未有的重要。

大数据产品的合规之路尚有很长的路要走，本文仅能从其根本法律属性上再次论证其财产属性的正当性，对于专业立法的原则性建议建立在实操过程中的思考上，其完善与实现有赖于学界的进一步深入思考和国家层面的尝试推动。

 

许力先 浙江六和律师事务所合伙人、全国律协网络与高新技术委员会委员、浙江省律协互联网专委会委员、杭州市仲裁委员会仲裁员。业务方向：网络法、金融、娱乐。

 

赖力浙江六和律师事务所实习人员。

 

 

债转优先股的破产重整新模式探索