编者按
本文为中国政法大学副校长、数据法治研究院院长时建中教授在中国行为法学会和中国通信学会主办,网络空间治理与数字经济法治(长三角)研究基地等机构承办的第二届中国网络与数据安全法治50人论坛上的主旨演讲内容。
中国政法大学副校长 时建中
随着数字经济的发展,数据权属问题越来越成为一个真问题,一个必须要去解决的问题。习近平总书记在主持召开中央全面深化改革委员会第二十六次会议时强调,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。这是一个非常重要的指示。
希望我们加快构建的不是一般的数据基础制度,而是数据基础制度体系,这个制度涉及一个体系化的安排。
毫无疑问,数据基础制度体系应该是“一体两翼”,“一体”是基础制度体系,“两翼”是要保证数字经济的安全和数字经济的发展。数字经济建设必须要坚持安全与发展并重。安全是发展的前提,发展是安全的保障。如果没有安全,是不会有发展的;但如果没有发展,安全同样也得不到保障。
我们看一下围绕数据基础体系的立法。围绕安全的立法体系基本已经建成。在总体国家安全观指引下,重新修订了《国家安全法》,在此基础上又制定了《网络安全法》《数据安全法》《个人信息保护法》。从数字经济的角度讲,安全立法的框架基本搭建完成了。
相比较而言,发展的立法应该是比较滞后,甚至是非常滞后的。发展的立法滞后,一方面影响发展本身,另一方面也影响到动态的安全和有效的安全。因此,加快构建数据基础制度体系,有利于强化和提升数据安全的自觉性。因为在数字经济时代,作为信息载体的数据,已经成为重要的生产要素。这句话表达了两层含义:一是数据本身是一个信息的载体,但作为海量的数据,它已不仅仅是一个信息的载体,已经变成一个生产要素了。变成生产要素之后,也成为数字化、网络化、智能化的基础。无论是生产、分配、流通、消费乃至社会服务的各个方面、各个环节,都已经离不开数据了。数据深刻改变着我们的生产方式、生活方式和社会治理方式。
数据的要素化之后一定是市场化,这就带来了相应的一些利益诉求。毫无疑问,有必要保护数据相关者正当的数据利益。我用了一个词叫“数据相关者”。数据相关者不仅限于数据的采集者、加工者、存储者、处理者,面非常广。
数据反映众多利益主体的利益,或者说它汇聚了众多利益主体的利益,因此有必要保障数据各个相关者正当的围绕数据产生的利益诉求。毫无疑问,保护数据就是保护数据安全,就是保护数据相关者的正当数据利益,保护数据要素权益的自主安全。
只有保护了安全,并且保护了数据相关者正当的数据利益,才能够有助于激发市场主体开发数据的动力和活力,促进数据的开发利用和高效流通使用,赋能实体经济。
我们强调的安全,不是静态的安全,是发展的安全,是安全能力不断提升的一种安全,是一种维护安全的积极性非常高的一种安全。怎样才能把这种维护安全的积极性调动起来呢?必须要考虑正当的数据权利,正当的数据利益必须要得到保护。因此,如果我们说加快构建数据基础体系有利于强化和提升保护数据安全的自觉性,那么构建数据权属体系就成为数据基础制度体系的建设重点。
就像前面提到的,虽然我们已经建立了保护数据安全的数据行为规则,这些行为规则主要是在《数据安全法》里提到,但数据权属基础体系的界定严重滞后,数据权属如果不明晰,不利于进一步规范数据行为,不利于进一步维护数据市场秩序,也不利于数据的开发和应用。我们有必要回顾一下《数据安全法》第一条。《数据安全法》第一条规定,规范数据行为不仅仅是要保护数据安全,更重要的是要推动数据的开发和利用。可以看到,安全的问题、开发利用的问题,最后就聚焦在数据权属体系问题上。数据权属体系清晰后,行为的边界也找到了,行为的起点也找到了,这样对于维护安全也好、维护市场秩序也好、推动市场的开发利用也好,都是非常有帮助的。要坚持安全与发展并重的原则,来构建数据基础制度体系。迫切需要构建以数据权属体系为核心的数据基础制度体系。建立数据产权制度,推动公共数据、企业数据、个人数据分类、确权、授权使用,就像深改委第二十六次会议提到的建立数据所有权、数据加工使用权、数据产品经营权等产权运营机制,一方面对数据做了分类,分公共数据、企业数据、个人数据,另一方面对数据权属做了分类,分为所有权、加工使用权、产品经营权的三权状态。
要建立高效合规的数据要素流通和交易制度,这个制度的前提同样以数据权属得到明晰为前提条件。要完善数据要素市场化,要更好发挥政府在数据要素收益分配中的引导和调节作用,建设体现效率、促进公平的收入分配体系。深改委的会议中对数据的权利做了分类,对每一种权利安排都有一些宏观的设计。这就为整个构建权利体系提供了一个分析的框架,具有非常重要的指导意义。
根据深改委的会议,不能抽象讨论数据,讨论数据必须要区别对待不同类别的数据。像深改委的文件中把数据分公共数据、企业数据、个人数据。这样的分类够不够?在我看来还是不够。要建立数据基础制度,特别是数据权属产权制度,仅仅分公共数据、企业数据、个人数据还不够。毫无疑问这是非常重要的分析视角,也是机制,但止于此是不够的。
就像我刚才提到的,我们要对数据做更原始的追溯。数据首先是作为一个信息的载体,这是数据的本源。历史上作为信息的载体是非常多的,比如羊皮数、木简、竹简,本身就是一个信息的载体,这些信息载体和数字化时代特别是以ICT技术所推进的数字技术作为重要推动力,网络作为数据的大宏观环境的数据的含义是不一样的。
今天讨论的数据不是一般的Data,而是Digitaldata。它仍然是一个信息载体,但已成为一个关键的生产要素。数据为什么能成为一个关键的生产要素?在于数据之于数据之间是有相关性的。如果能够发现相关性,应用相关性,基于相关性可以搭建商业模式,基于相关性可以优化产品构建工业互联网。这时候可以发现,数据是作为一种生产要素的。
作为信息载体的数据和作为生产要素的数据是不一样的。如果作为信息载体的数据,更强调的是信息安全、个人信息保护、个人隐私权尊重的问题。但如果数据超越了信息的载体,变成一种生产要素之后,就要注意要素对于实体经济赋能的作用,我们看到它是一个效率功能。作为信息载体的数据,它的权利安排和作为生产要素的权利安排是不一样的。
数据可以分为原始数据和加工数据。经过加工之后的数据质量越来越高,价值越来越大。加工之后数据在增值,数据被加工的环节越多,数据升值的利益主体就越多。所有使得数据得以升值的利益主体的利益应该得到保护。利益是权利的核心,保护利益时应该配置相应的权利。有些数据完全能识别个人信息,有些数据经过技术的处理后,就难以或者不再能够与个人信息进行挂钩,或者通过数据的分级不能够再识别到个人,这时候数据的含义又不一样了。
除此之外,还要注意到数据和数据产品是不一样的,数据和数据服务是不一样的。数据产品也是基于数据来产生的,数据服务也是基于数据来产生的。但基于数据所产生的产品和作为要素的数据,已经发生了非常大的变化。
刚刚提到,作为个人信息载体的数据,强调的是信息安全、个人信息保护、隐私泄露。作为生产要素的数据,强调的是财产方面的权益。生产要素的数据可以作为财产、资产甚至可以作为资本。如果是财产,有财产法的保护,资产可能就要受到公司法的保护,资本要受到公司法、证券法的保护。这里面有物权的问题、财产权的问题、债权的问题,可能还有股权的问题。
数据非常复杂,数据权利的归属也很复杂。建立权利的目的就是为了建立行为的边界,明确行为所引起的法律关系的内容及权利和责任。
《数据安全法》规定了几种数据处理的行为,如收集、存储、加工、使用、加工、传输、提供、公开等。《个人信息保护法》再增加一种删除。每一种数据处理活动都是一种数据处理行为,每一种数据处理行为都是一种引发数据法律关系产生的行为。也就是说,每一种数据行为都会引发一种社会法律关系的产生,每一种社会关系的产生都是以权利和义务、责任为内容。在配置权利时,如果脱离具体的数据行为和应用场景来讨论一般的数据权利和数据行为,难度是非常大的。要注意数据权利的讨论要和数据种类相衔接,和数据处理行为相衔接,和数据处理的场景相衔接。关于这一点,可以参考GDPR。GDPR规定了八种数据权利,与其说它们是权利,还不如说是行为规则。
讨论数据权利时,要观察到数据权利的复杂性,数据权利的复杂性直接来源于数据的三个特性:
一是数据的非竞争性。前几年有句话叫“数据是石油”,既对也不对,作为能源机制是对的,作为要素来看是错的。石油是一种竞争性资源,从人类社会看,发现石油推动了社会进步,但随着使用越来越少,总有一天石油会枯竭,它是一种竞争性的资源。数据却不同,越使用会越多,不仅越来越多,而且越使用质量越高,价值越大。越使用,数据之间的相关性会被发现得越多。过去不知道的相关性在使用过程中也会去发现。这种相关性有其经济价值、社会价值、管理价值。
二是可复制性。现代社会的数据都是Digitaldata,是网络环境下基于数字技术产生的一种对信息的记载。数据可以同时被无限多个主体控制、占有、使用,相互之间是独立的。这是和传统物的一个区别。德国学者的主流观点,是不承认不建议德国《民法典》所有权制度可以适用于数据,一个原因是可复制性。
三是规模效应。既然数据可以同时被多个人所占有,并且越使用越好,从发挥开发利用数据的要素价值角度来讲,应当尽可能通过一种权利安排,让更多人可以合法、合理地使用数据,而不是通过一种权利安排,让数据控制在一些人手里,并且拥有一种绝对权。
对于数据的权属安排特别是对于财产权的安排,不要轻易安排绝对权,尽可能通过相对权来解决围绕数据开发利用过程中可能产生的利益冲突,也可以通过相对权的安排,来保护数据在开发利用过程中应当保护的正当利益。
如果我们讨论的不是一个数据,而是数据产品,这时候可以用绝对权去安排。如数据库是一种数据产品,可以通过知识产权来安排。如果是其他的,还可以通过所有权的角度安排。但数据和数据产品是有巨大差异的,保护了数据产品,维护了它的正当利益,但不能由此混淆数据产品和数据的差异。
数据一旦变成生产要素,就变成一个利益载体,在构建数据权体系过程中,必须要关注不同数据利益主体的正当利益。不仅仅要关注数据收集者、数据处理者的利益,更要关注数据信息相关者的利益。
我们也碰到一类典型案件,如有些人拍了一些照片上传到某一个平台,并且和这个平台达成了一个协议,这个平台主要通过这样的方式来获得一些数据,去开发或者强化它的商业模式。这时候它可能和数据上传者达成一个协议,所上传的数据所有权归平台。但注意,拍摄者可能拍了一个建筑的照片或者某一种场景、某一些人的照片,这些照片最后都转化成一种数据。现在它和平台之间约定这些数据的所有权属于平台,被拍摄的对象可能就有在座各位,你的个人信息被采集了,采集之后作为你信息的那个载体的数据被另外两个当事人按照所有权的方式进行约定。你还有没有权利呢?通过这样一个例子我们来追问一个问题,在数据权利安排的过程中,不仅仅要考虑拍摄者或者数据采集者、上传者、平台的正当利益,同时必须要考虑到被拍摄者的正当利益。
数据涉及到的利益主体非常多,在数据权利安排过程中,必须要全面兼顾数据不同主体、利益相关者的正当利益,数据的权利体系才是正义的、公平的和有效率的。
总结一下今天和大家交流的,总共有几个问题:一是要坚持安全与发展并重的原则,来构建数据基础制度体系。数据基础制度体系一体两翼,既包括安全立法,也包括发展立法。在安全立法总体框架基本成形的基础上,必须要加快发展利益的立法保护。而关于数字经济发展的立法,最核心的就是数据权属的问题。加快数据基础制度体系的构建,有利于进一步提升和保护数据安全的自觉性。二是构建数据权属体系成为数据基础制度体系建设的重点。同时要注意,讨论数据权利,一定要对数据进行深度的解构。这个世界上没有一般的数据,只有具体的数据。如果不考虑具体种类数据不同的特性和相关的利益关系,我们没有办法来制定放之四海而皆准的一般的权利,因此数据必须要做足够多的分类。最基础的数据有作为信息载体、生产载体、原始数据、加工后数据、识别个人信息数据、不识别个人的数据以及数据与数据产品,必须要做这样一些分类。同时在数据权利安排的过程中,必须要注意到数据的本质特性,就是非竞争性、可复制性和规模效应。一定要进一步最大程度地发挥数据相关性的社会价值、经济价值和管理价值,一定要兼顾围绕数据不同利益主体的正当利益。这样构建的数据权利体系才是正义的,才是公平的,才是有效益的。
2023-05-08
2023-01-07
2022-12-09
天
倒计时
2024.06.05-06.06
北京·国家会议中心