關於大數據交易核心法律問題——數據所有權的探討

關於大數據交易核心法律問題——數據所有權的探討

來源：《大數據》2015, 1(2)。作者：王融。

【摘要】

清晰的產權歸屬是交易的前提與基礎。然而，當前關於數據的產權歸屬問題還遠未達成共識，特別是在去除個人身份屬性的數據交易中，到底是數據主體（產生數據的個人）還是記錄數據的企業擁有數據的所有權，各方莫衷一是。筆者提出的思路是：原始/底層的個人數據，所有權歸用戶本人所有；而在原始數據基礎上，經過充分匿名化獲得的數據集，企業享有限制性的所有權。

1 關於數據所有權的兩種觀點

在風起雲湧的大數據時代，數據的收集、分析與利用逐漸構成企業運營的核心。除了自身提供服務獲得的數據外，企業對數據的需求進一步向外圍擴展，以買賣、共享為特徵的數據交易成為引人注目的商業現象。2015年4月15日，貴陽大數據交易所掛牌成立，成為我國首個專門提供數據交易的服務平台。緊接著，7月22日，武漢也成立武漢東湖大數據交易中心。

大數據即大生意，生意的核心在「交易」。商業交易的前提是清晰的產權歸屬。如果產權存在瑕疵，則意味著交易存在法律風險。貴州數據交易所確立了9項交易原則，其中之一便是：「數據買賣雙方要保證數據所有權、合法、可信、不被濫用」。雖然在一個多月的時間裡，貴陽交易所已經完成了11筆數據交易，然而可以看到，各方對於數據所有權問題目前並沒有統一的看法（大數據的數據源十分廣泛，包括用戶個人數據，也包括不具有身份屬性的其他數據，如天氣數據、礦產資源數據等。本文不是泛泛對各數據類型的產權問題進行分析，而是對其中最具有爭議性質的問題進行分析，即原始數據是用戶個人數據的數據交易中的產權問題。）。

有人主張，應對數據設立「財產權利」，強調個人對數據享有的優先財產權利，並以此對企業的數據利用、交易行為予以制約。其認為：數據交易產生的數據商品化現象將帶來對個人隱私的極大傷害，併產生難以預計的信息安全問題，大範圍失控的數據交易也將為違法活動提供溫床。因此主張：對數據這一新型生產資料，在法律上另設一財產類別，或可稱之為「數據財產」，與現有法律認可的無形財產分開。這一新型財產權利的設立應當重新定位價值順序，權利的出發點是人而非物，數據主體（即產生數據的本人）應擁有優先的權利。無獨有偶，在圍繞我國cookie第一案（2015年5月6日，南京市中級人民法院對「北京百度網訊科技公司（以下簡稱百度）與朱燁隱私權糾紛案」作出終審判決，撤銷南京市鼓樓區人民法院一審判決，認定「百度的個性化推薦行為不構成侵犯朱燁的隱私權」，判決駁回原告朱燁的全部訴訟請求。一審與二審判決最大的區別是，一審認為用戶的搜索活動為個人隱私，而二審判決認為搜索記錄等cookie信息不屬於個人信息。）的討論中，有學者也認為，要徹底解決未來數字經濟的難題，法律有必要承認用戶個人對數據的財產權利，進而對互聯網公司的行為加以約束（胡凌.朱燁案界定網路隱私。

另一種觀點則代表產業界立場，認為數據控制者（數據控制者（data controller）是歐盟個人數據保護法中的法律概念，是指決定了數據的收集目的，面向用戶個人收集和使用信息的主體。）（即收集及利用數據的主體）對數據擁有絕對的所有權。2015年7月23日，阿里巴巴旗下的雲計算公司阿里雲發起數據保護倡議（阿里巴巴發起「數據保護倡議」：用戶數據歸用戶，平台不得移作它用.）。這份公開倡議書明確：運行在雲計算平台上的開發者、公司、政府、社會機構的數據，所有權絕對屬於客戶；雲計算平台不得將這些數據移作它用。

這份倡議主要著眼於解決雲計算服務提供者（雲平台）與雲計算服務使用者（雲客戶）的關係，倡議提出：雲平台不得將客戶的數據移作它用。從處理雲平台與雲客戶的關係出發，該原則無疑是值得肯定的。正如在現實生活中，房東無權處分租戶的財產一樣，雲平台當然不得侵害雲客戶的數據。但值得注意的是，除了強調雲平台不得侵害客戶數據的同時，這份倡議中也觸及了所謂「雲客戶」與其提供的數據之間的關係，提出雲客戶對其數據享有絕對所有權。在雲計算環境下，「雲客戶」不等於「個人用戶」。雲客戶包括了開發者、公司、政府、社會機構以及普通個人用戶。在排除普通個人用戶的情形下，按照倡議的絕對所有權觀點，意味著開發者、公司、政府對於其在提供服務或者履行職責中獲得的用戶個人數據，享有絕對的所有權，並因此可以自由地使用、分享、交換、轉移、刪除這些數據。相應地，作為產生這些數據的用戶個人，不能對企業、政府、開發者的數據處分活動主張任何權利。

顯然，上述兩種觀點有著不同的價值取向，前者以用戶個人為優先項，通過用戶行使個人數據財產權，間接地對企業數據交易活動起到限制作用；後者則從產業的立場出發，希望明確企業對於數據的完全的、絕對的所有權，為企業的數據處理活動鬆綁，最大程度地減少來自外界的干預。

2 討論數據所有權的前提是承認數據具有財產屬性

儘管上述兩種觀點在結論上分道揚鑣，但二者有一個共同的認知起點，即承認數據的財產屬性，或者說基於數據可以產生財產權益，這正是討論數據所有權的前提。

依據元照法律詞典解釋，所有權是指：一個人享有的對某物獨佔性的支配權，是對物的佔有、使用和以出租、出借、設定擔保、轉讓、贈與、交換等方式予以處分等權利的集合，也是法律承認權利人對作為權利客體的物（包括有形財產與無形財產）所享有的最充分、最完整、最廣泛的權利。

儘管我國《物權法》中的「物」僅指有體物，包括動產和不動產。但我國法律不排除權利可以作為物權的客體，例如知識產權中的財產權利等[1]。也就是說作為最重要和基本的物權——所有權，可以以財產權利作為客體。因此，如果承認在數據之上具有財產權利，便有了討論數據所有權的法律基礎。

考慮到本文主要分析的議題是：原始數據是用戶個人數據的情形下數據交易的產權問題。因此，本文以下主要討論個人數據的財產權利。而無論是市場實踐還是法學理論，個人數據具有財產屬性已經成為不可逆轉的歷史潮流。

從市場實踐看，個人數據的商品化充分說明了其具有財產性質。這種財產性不僅體現為個人數據具有使用價值，更體現在其轉讓價值得到了市場的認可。2014年4月，荷蘭學生肖恩·巴克爾斯建立一個拍賣網站來專門出售自己的個人信息，信息內容包括他的住址、醫療記錄、個人日程安排、電子郵件內容和所有社交網路上交流的信息，其中網上交流信息包括他的在線聊天記錄、消費偏好和瀏覽器歷史記錄，拍賣網站吸引了超過40個買家前來競拍，最終肖恩·巴克爾斯以350歐元的價格出賣了自己的個人信息。此外，基於個人數據的財產價值，當前甚至出現了一種新的商業模式，即用戶可以按一定的價格將個人信息出售給服務商，之後服務商尋找廣告主或者其他數據需求方將用戶數據變現。

若繼續深究下去，就會發現很多向用戶免費提供的互聯網商業模式實際上都建立在以個人數據為對價的基礎上。只不過相較於出售個人數據獲得直接對價這種顯性的價值體現方式，互聯網商業模式中個人數據的財產價值體現是隱形化的。以搜索引擎廣告聯盟商業模式為例，聯盟網站獲得廣告費的基礎是聯盟能夠利用用戶的搜索歷史cookie記錄，向用戶投放個性化的廣告。因此，儘管用戶免費使用了搜索引擎，但實際上是用戶的搜索記錄等行為數據反哺了搜索業務，是搜索業務得以存續和發展的價值源泉。

而從法律的視角來看，法律領域也早已注意到個人數據商品化的發展趨勢，已具備為數據商品化發展趨勢提供法律支撐的理論基礎。個人數據是個人數據保護法保護的對象，個人數據權利的來源是人格權。傳統上，人格權區分於財產權，人格不能像財產一樣進行利用和交易。然而在市場經濟與現代商業的推動之下，人格權不僅具有精神利益，而且也具有財產利益的觀點，在法學理論上已得到普遍認可。最典型的即肖像權。明星、公眾人物通過合同方式轉讓個人的肖像使用權，並從中獲得財產收益，已成為司空見慣的商業現象[2]。對此我國現行立法也已提供了法律支撐。《民法通則》第100條規定，公民享有肖像權，未經本人同意，不得以營利為目的使用公民的肖像。本款規定從反向確認了肖像權具有財產權益[3]。

在這一點上，個人信息權與肖像權並無本質的不同。二者之間的主要差別僅在於：雖然每個人都享有基於本人肖像的財產權益，但這種財產權益的實現還有待於市場的認可，換句話說，並不是每個人都有機會主張自己肖像權的財產權益，僅僅明星、公眾人物等少數群體有機會予以主張；但從個人信息而言，不論是明星，還是普通百姓，市場均認可其個人數據的商業價值，理論上，每個人都能有行使其對個人數據財產權益的可能。

因此，現代人格權對於承認個人數據的財權權益已具備了相應的理論基礎，只是在規則層面，還需要在具體的法律制度中進一步明確個人數據權中的財產利益，並對數據商品化利用設立相應的法律規則。

3 對數據所有權界定的一種思路

在明確了數據具有財產利益的基礎上，需要回答的問題是，在大數據背景下，數據的所有權人究竟是誰？

3.1 基於不同場景的所有權界定

本文在一開始就介紹了兩種較為對立的觀點，一種觀點認為個人對數據擁有優先的財產權利，另一種觀點則認為企業對數據擁有絕對的所有權。筆者認為，上述兩種觀點都有偏頗之處，共同的缺憾是沒有結合具體的市場實踐給出針對性的分析，均體現出「一刀切」特點。考慮到當前對大數據的認識尚處於初級階段，幾乎難以提出「放之四海而皆準」的統一規則。科學的做法是區分不同的場景予以判斷和分析。具體到大數據交易的數據所有權問題，筆者認為，目前應至少區分以下兩類場景。

第一類場景是以個人數據為交易對象的場景。首先需明確的是，依據現有法律規定，我國禁止公民個人信息的出售行為。2012年《全國人大常委會關於加強網路信息保護的決定》規定：任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。刑法修正案（七）也將出售個人信息的行為作為違法犯罪活動追究刑事責任。但從未來而看，個人信息的交易合法化也並非完全沒有可能。個人信息本質是私權的處分對象，只要處分不對公共利益構成損害，則是個人的自由。換句話說，只要經得個人知情並同意，理論上，個人信息可以用來出售。正如上文中介紹，市場上已經出現了出售個人信息的商業模式。況且，人們對個人信息乃至隱私的觀念也在演變之中，比如00後與80後在隱私觀念上已經有了顯著的變化，更年輕的一代更加積極主動地擁抱網路，將自己的生活狀態甚至心情感悟等日常生活的點點滴滴都公佈於網路，並從中獲得分享樂趣[4]。因此在法律上並不能完全排除個人將其個人信息出賣而獲益的正當性。

在此類場景下，筆者認為個人數據的所有權人就是數據主體本人。所有權人是指對物或者財產享有所有權的人。即對物或財產享有佔有、使用、收益、轉讓或處分等權利的人。根據上述分析，個人數據具有財產屬性，而根據個人信息保護法的規定，個人對於個人數據具有完整的控制權利，這種控制權利主要體現為以個人的意志對個人數據的提供、使用、處分做出安排。基於此，個人數據中人格特徵體現的財產價值應歸於數據主體本人享有和控制。

第二種場景是在個人數據基礎上，對數據做出匿名化處理（或稱之為去身份化處理）後進行的交易。在此類場景主要討論匿名化數據的所有權問題，而這正是當前大數據交易中最急迫的問題。

筆者的觀點是，在用戶數據基礎上，對數據做出匿名化處理的數據集（以下簡稱匿名化數據集），企業（即數據控制者，最初決定收集目的並經用戶同意授權，取得用戶數據的主體）對該匿名化數據集享有有限定的所有權。對這一觀點，可以分以下幾層進行解釋。

第一，企業對匿名化數據集享有所有權。從法律層面看，企業對於用戶數據的匿名化處理，切斷了用戶對數據的法律聯繫。因為用戶對於數據主張權利的來源是個人信息保護法。而個人信息保護法適用的對象是個人數據，在數據去身份化後，該數據已經與用戶沒有了法律關係。這也是國內大數據交易合法性的最基礎邏輯。正如貴州數據交易所強調：交易所交易的不是底層數據，而是清洗、分析、建模之後的數據結果。但這裡需要指出的是「數據清洗」不等於「數據匿名」。數據清洗從大數據分析與利用的角度出發，是指通過加工整理，將不規則的數據轉變為規則的數據，去除無用元素，從無序轉變為有序，從而為數據分析打下基礎；而數據匿名化則強調的是去除數據中的用戶身份數據，消除數據的身份可識別性，是從保護用戶隱私的角度而開展的工作。如上分析，「數據清洗」的結果並不必然實現數據的匿名化，在涉及所有權問題時，必須強調只有經過充分匿名化的數據，企業才對其享有所有權。

一定程度上承認企業對於匿名化數據集享有所有權，除了因為匿名化切斷了個人與數據的法律聯繫外，還考慮到了3個因素：一是企業對於數據的記錄、存儲投入了巨大的技術、網路、人力、管理成本。如果沒有企業的記錄行為，數據不可能被留存與記載，更無從談起商業價值。因此，在法律上，應當對企業的投入與成本做出平衡考慮。二是，從推動技術與業務發展角度而言，大數據是推動未來社會經濟發展的重要動力。在法律上賦予企業對匿名化數據集的所有權，有利於明確數據的產權邊界，保障企業的財產權利，增加數據交易的法律穩定性與可預期性，為企業利用數據創造財富提供積累機制。三是，賦予企業對於匿名化數據的所有權，有利於規範數據交易市場，遏制數據的非法黑市交易，讓數據在有序、可控的規則之下充分流動[5]。

第二，必須強調企業對於匿名化數據集享有的所有權是有限制的。儘管所有權是物權體系中對於物及財產的最完整的權利，但不否認所有權包括兩種類型，即完整的所有權和有限定的所有權。完整的所有權可以對物及財產行使佔用、使用、處分、收益等權能。所有權人在理論上擁有無限的支配權，只受一般法律限制，例如相鄰權或不妨害他人的約束。作為受限制的所有權，在對物及財產權利進行使用或者處分時要受到一定限制。

3.2 企業對匿名化數據集享有有限制的所有權

對企業關於匿名化數據集的所有權做出一定限制，出於以下幾個方面的考慮：

其一，從權利的優先順序考慮。企業匿名化數據的基礎是用戶的原始數據。從價值溯源而看，原始數據是價值的源泉。原始數據包含了用戶的身份數據，該身份數據兼有財產利益和人格利益，且人格利益是核心。而匿名化數據主要體現為財產利益。在民法諸權利體系中，人格權優先於財產權，特別是財產權來源於人格權時，應當以人格權為優先，受到人格權的限制。

其二，從個人信息保護法的原則考慮。個人信息保護法規定了目的限制原則與必要原則。這兩項原則對於數據的匿名化及後續利用將起到限制性作用。目的限制原則要求企業使用用戶個人信息的目的應當與收集用戶個人信息時告知用戶的目的保持一致，如果超出了當初收集時確立的目的，則應當告知用戶，並經得用戶的同意。因此，企業在對數據匿名化處理後，若超出當時收集時的目的範圍加以利用，則應當告知用戶。同理，必要原則也將發揮類似的機制。必要原則要求企業收集、使用個人信息應當在提供業務所必需的限度之內。數據匿名化後，後續的利用行為如果超出了企業業務所必需，則應當重新徵求用戶的同意。

其三，從當前匿名化技術以及大數據發展趨勢而看，數據的匿名化是一個較為相對的概念。在可獲得的數據源越來越豐富、數據演算法越來越強大的背景下，已經被匿名化的數據集存在重新恢復身份數據的可能性。因此，即使匿名化後的數據不再適用個人數據保護法，但從維護隱私與信息安全的大原則出發，企業應當對數據集的匿名化以及匿名化後的後續利用的隱私及信息安全風險進行評估。如果該風險較高，企業在行使所有權時應當有一定的限制[6]。例如縮小交易對象範圍或者對交易對象做出約束，以確保其下游用戶對於數據的使用不會造成對用戶歧視與不公的情況。

從當前國際上針對大數據交易規則的討論來看，也印證了上述的判斷。對於企業開展數據交易進行一定的限制主要來自於對用戶隱私及信息安全風險的擔憂，限制性措施的核心是使企業的數據交易活動能夠實現一定的透明度。例如，美國聯邦貿易委員會（FTC）2014年針對數據經紀行業發布報告《數據經紀行業，呼喚透明與問責》，表達了FTC對於數據交易行業缺乏透明性的關切，並建議美國國會應當專門針對數據經紀行業立法，通過立法要求開展數據交易活動的企業對用戶提供透明度，具體體現在以下幾點[7]：

向用戶公示其獲得（包括購買、共享）數據的渠道、數據的類型，並為用戶提供退出機制；

要求數據交易方除了披露原始數據類型外，還應當披露企業基於原始數據，利用大數據分析而對消費者特徵標籤化的處理活動；

對於健康醫療等敏感信息的交易活動，尤其需要提升透明性，用戶必須充分知情並明確表示同意。

從國內實踐而看，目前更多地強調了企業對於匿名化數據擁有所有權，而對企業行使所有權的必要限制缺乏關注，更沒有提出對數據交易透明性的要求。貴陽數據交易所成立一個多月便完成了11筆數據交易，除第一筆交易披露了交易雙方主體外，其他各筆交易的主體、交易的數據類型、數據渠道公眾均一無所知。從交易所網站顯示的信息而看，交易所可交易的數據類型多達30種，包括醫療、教育、電信等高度敏感的數據領域。數據交易存在的隱私與信息安全風險堪憂。在明確企業對於匿名化數據享有限制性所有權的前提下，應當儘快通過立法明確具體的限制性要求，特別是透明性、責任性方面的限制性要求更顯得尤為迫切。

4 結束語

在大數據時代，人與數據的關係應當擴展而不是壓縮，唯有此才能把握歷史性機遇，推動經濟發展與社會進步[8]。解決數據產權問題，一方面要著眼於明確產權歸屬，為數據交易的順利開展提供穩定的法律基礎；另一方面，仍要關切數據交易帶來的隱私與信息安全風險，對數據交易活動做出相關限制性要求，特別提出透明性方面的要求。

參考文獻

[1]王利明, 楊立新, 王軼 等. 民法學（第四版）. 北京: 法律出版社, 2015

Wang L M , Yang L X , Wang Y , et al. Civil Law (Fourth Edition). Beijing: Law Press, 2015

[2]王利明 . 論人格權商品化. 法律科學（西北政法大學學報）, 2013(4):54～61

[3]王利明 . 人格權法研究（第二版）. 北京: 中國人民大學出版社, 2012

[4]Tene O , Polonetsky J . A theory of creepy:technology,privacy and shifting social norms. Yale Journal of Law ＆ Technology, 2013:1659～134

[5]張新寶 . 從隱私到個人信息:利益再衡量的理論與制度安排. 中國法學, 2015(3):38～59

[7]Federal Trade Commission. Data brokers——a call for transparency and accountability. http://www.docin.com/p-861802697.html, 2014

[8]Executive Office of the President. Big data:seizing opportunities,preserving Values. http://www.docin.com/p-816632946.html, 2014

推薦閱讀：