王洪亮,清华大学法学院教授、博士生导师
叶翔,清华大学法学院助理研究员
原文载于《社会科学研究》2023年第1期,注释从略。获取全文请点击文末“阅读原文”
工业4.0时代见证着物联网经济的高度发展,制造商作为数据生产者控制着大量数据。实践中我国企业间的数据流通大多通过直接协商或者交易中介的方式进行,实际效果并不理想。从释放数据潜能、增加数据流通、提高数据再利用、鼓励创新的角度来说,有必要赋予享有合法利益的第三人访问数据持有者所实际控制的数据集的权利。相较于绝对化的数据生产者权,数据访问权是解决因信息不对称、谈判力量不对等所产生的市场失灵问题的最佳方案。当前,数据访问权规则已被适用于典型的三种场景中,即对共同生成的数据集的个别访问,售后市场或补充服务中第三方对数据集的聚合访问,为创新目的而进行的数据访问。但从具体适用情况分析可知,一般数据访问权与行业数据访问权均存在着一些弊端,需要从数据治理的整体视角构建数据访问法律制度。
一、问题的提出
随着电子技术以及传感器嵌入产品日益普及,物联网数字经济日益繁荣,在既有的电子商务形态、搜索引擎形态以及社交平台经济模式之外,逐渐出现了蓬勃发展的物联网经济。在物联网场景下,数据成为市场竞争因素中最关键的投入。现在发展的复杂预测技术可以改善复杂社会与经济系统的决策,其基础是机器学习以及人工智能技术。而运用这些技术的关键是自动分析大量的使用机器时收集的、非结构性数据。
机器、汽车、家庭设施、交通、医疗产品中置入了各种传感器搜集数据,为企业以及消费者提供各种形式的节省、安全、舒适的服务。通过对这些传感器收集的数据进行分析,可以生成创新的知识与产品。一方面,数据进一步电子化不仅影响了产品如何生产以及汽车如何操作;另一方面,也增进了社会与个人的福祉。
物联网数据往往为政府机构、互联网企业或者制造商所控制,数据用户也因此被锁定在一家制造商的上下游产品与服务之中,不能自由选择其他制造商提供的产品与服务。而且,新加入市场的企业无法获得数据,无法与互联网企业、制造商进行公平竞争,就无法发挥创新能力。为了鼓励市场竞争与创新,必须使数据流通起来,而且要流通到有创新能力的企业以及有使用利益的用户手中。
在实践中,实际控制数据的企业通常通过与数据需求方或用户订立合同的方式流通数据,或者通过数据交易中介流通数据,但数据的实际流通效果并不理想,未必能流通到具有创新能力的企业,交易量也不大。
从数据经济视角来看,数据在利用上是非排他的,而且,数据是创新的关键因素,再者,缺乏数据访问会对竞争与创新造成巨大的负面影响。所以,有必要在法律上确立数据访问权制度,即在法律上赋予数据实际控制者负有允许他人访问、使用的义务。在欧盟立法上,数据访问权逐渐成为一种数据流动的基础性权利。而就数据访问权的法律构造而言,需要探讨的问题有三,其一,数据访问权模式的正当性;其二,在什么条件下,数据持有者有义务同意数据访问;其三,哪些法律制度是实现与执行该义务的最佳选择。
二、数据访问权及其模式
的正当性论争
基于数据价值的发现,有关数据权利的探讨成为热门话题。当前我国学者的思路往往延续财产权的架设,赋予权利主体以数据所有权或者某种拥有绝对权性质的排他权利。数据绝对权理论明确了数据的产权界分,提升了交易的稳定性和法律的确定性,但是绝对权的架设同时也会产生强化基于技术而建立的数据控制的效果,从而抑制数据的自由流通。为了克服绝对权赋权方案所产生的强化数据控制的弊端,而赋予在该情境中弱势一方以数据上的绝对权利的制度安排,也完全可能因谈判能力、公平标准的欠缺而最终失效。加之数据本身的非竞争性和非排他性,均增加了在数据上确立绝对权体系的难度。所以,学界普遍意识到,对于数据确权来说,其深受不同场景的影响,而停留在“数据归谁所有”层面的讨论无法纾解数据利用的僵局,聚焦于建立数据利用与分享规则,或许可以更好地促进数据合理的流通,从而保证市场有序竞争与市场创新。
对于数据流通的基础性权利,欧盟主要考虑了数据生产者权(data producer right)以及数据访问权(data access right)制度。
(一)生产者权利——访问权的绝对化
2017年,欧盟委员会在其颁布的《构建欧洲数据经济的通讯》(以下简称《通讯》)中提出了一种数据产权学说的方案,其以功能主义为出发点,主张应当赋予设备所有人或长期使用人以数据的排他财产权,以增强对具备生产要素价值的数据的工业和商业利用的激励,从而加强数据的自由流动。这表明欧盟委员会的思路从数据所有权观念转向了数据生产者权,数据生产者权利的性质是排他性的财产权,本质上是对数据访问的所有权。基于数据自由流通能带来的巨大优势,以及智能产品使用者对数据流通的客观需求,欧盟委员会在“所有权-访问权”的争议中选择了“生产者权利”进路。
数据生产者理论指出,对于“非个人和匿名化生成的”数据来说,其原始权属被分配给“设备的所有者或长期使用者”,这就意味着企业和消费者(根据消费目的可分为最终消费者“final consumer”和产业消费者“industry consumer”)都可以作为数据的生产者(data producer)而对由其“生产”的数据拥有排他的财产权。譬如,消费者作为一台智能汽车的操作者,对于该汽车在使用过程中产生的数据而言,消费者即是这些数据的生产者。而在工业4.0时代,由于物联网在生产中的大量应用,企业也成为数据的生产者。企业和消费者所“生产”的数据在大数据时代具有商业价值而成为交易的对象,其初始权益的拥有者根据对产生数据的设备经济上负责的操作者而确定。
数据生产者权的客体范围主要在于覆盖机器、传感器生成的数据,但是,当消费者生产和企业生产的数据可能关联特定个人时(比如前述智能车产生的数据与驾驶者直接关联,类似的情形在医药领域也会发生),数据生产者理论并没有提出一种更为简单、更具信服力的权益安排,以妥善处理个人数据保护与数据自由流通之间的利益权衡。实际上,无论如何数据生产者权利都不能取代对数据相关个人的保护。这个问题与数据的匿名化或者说“清洗”密切相关,当个人数据未匿名化或匿名化不足时,数据的使用必须受到个人数据保护规则的限制。数据生产者权的客体范围还覆盖了不涉及特定个人的数据,比如企业的数字化运营过程同样会产生大量的数据,这些数据就不涉及个人数据保护的问题,根据前述归属规则,这些数据即归属于经济上负责运行产生数据的设备的企业。譬如电力企业应对其使用的传感器生成的物联网数据享有数据生产者权。在本质上,数据生产者理论提出的数据权属界定依据的是经济成本的付出。
数据生产者权主要保护以机器生产的、并未被处理或改变的原始数据(raw‑data),但不包括通过独立的测量再获得的相同的数据。也就是说,他人也可以独立地获得相同数据并享有相应的权益。数据生产者理论受制于公共利益的限制,鉴于数据使用分析的快捷性,主张为数据保护设置短期时效。同时,数据生产者理论还考虑了私人使用以及非商业目的使用的免责问题。此外,要使逐渐增加的对私人领域的要求适应数据世界,因为数据世界已经无法在空间意义上划界。最后,数据生产者权理论还主张科学研究的自由作为免责事由。特别注意的是,短期保护时效的可接受性是与所有权制度不相容的,因而成为“访问所有权”模式的一个弱点。
有观点认为,数据生产者权利应当被设计成可转让的(transferable),否则有悖于数据生产者理论的创设目的,即服务于数据市场的创建,以及数据使用利益的公平和有效率的分配。在权利流通场合,可以通过合同法规制数据交易,可以根据是否转移后续权利(future rights to the produced data)采纳两种定价模式。
(二)数据生产者权的评析
赋予数据生产者对数据的“全面控制”的好处在于:第一、促进信息的生产和披露,尤其是在数据的生产成本较高的情形下。第二、在大数据作为新型财产被交易的场合,财产权制度可以降低交易成本。法律创造清晰的游戏规则,尤其可以通过合同法、竞争法以及知识产权法分配可转让的权利来创造无形资产市场。第三、清楚地确定初始权利归属。赋予数据生产者权利可以清楚地确定谁享有使用数据的利益。这可以避免为制造商获得事实上的独占性而将数据制造得难以读取从而不利于二次利用。这不仅可以节约生产成本,还可以增加交易的透明性。
不过,赋予数据生产者对数据的“全面控制”的弊端也是很明显的:设立数据相关的财产权可能抑制数据的自由流动,从而不利于对数据的利用。
数据所有权的制度方案遭到了欧盟学者的普遍批判。马克斯·普朗克创新与竞争研究所曾就《通讯》发表了具有针对性立场的公告,其以法经济学的视角,从数据生产的制度激励出发否定了数据生产者权的立法价值。就数据生产者权利作为绝对权不足以解决谈判力量不平等这一根本问题,认为欧盟委员会忽视了一个很重要的事实:智能产品的制造商已经实际上控制了为生产产品所收集的数据,其完全可以通过技术的方式来避免未经授权的访问。而且,智能产品的制造商还可以基于事实的技术控制通过许可第三人访问数据,并向他们收取费用。同时,委员会也忽视了存在不具有超级市场力量的制造商的可能性,譬如,强势的智能产品的购买方可以通过数据生产者权利限制供应商商品化数据集的能力,并限制第三人访问这些数据集。在此脉络下,汇总于制造商处的通过多个客户使用智能产品产生的数据所形成的数据集,由于其特别用途,应被视为独特的产品,在竞争性条款中不可为买受智慧产品的个体购买人(作为数据生产者)所控制的数据集所替代。实践中,这种聚合数据集往往具有公共利益的属性。
另外,第三人访问数据集时,其中可能含有并不是数据生产者所控制的数据。比如,汽车保有人被认为是享有汽车传感器所产生数据的数据生产者,第三人在访问规模更大、更有价值的汽车制造商数据时,可能存在侵权风险。数据生产者权利会阻碍自动驾驶系统的建立,因为自动驾驶体系依赖于制造商以及其他数据提供者的共享。
(三)数据访问权是数据流通的基础性权利模式
由于数据生产者理论存在种种弊端,诸如明确产权归属与数据非竞争性特质的冲突、排他性财产权的赋予无法纾解因竞争力量悬殊而导致的市场失灵、数据生产者理论在个人数据保护以及公共利益问题上并未有创新安排、“数据锁定”效应所导致的数据流动抑制等等问题,学界转向了数据访问权制度的构建,以应对实践中出现的数据访问需求。
所谓数据访问权,是指在一定条件下赋予对数据访问具有利益的企业与消费者访问、使用数据的权利,也即在法律上使数据实际控制者负担允许他人访问数据的义务。数据访问权要求第三人访问数据必须基于合法利益,比如用户使用的利益或者企业的创新利益,而且第三人对其访问数据的使用必须限定在合法利益范围内,比如农场主对相关数据的访问和使用,只能是为了经营农场,而不能进行商业化利用。但在权利内容上,可以含有要求制造商赋予第三人直接访问的权利。
相比于数据生产者理论,数据访问权对于促进数据流通以及确保利益相关方对数据的使用来说是一种更佳的制度安排。数据访问权更有针对性,因为数据访问权是对根本的市场失灵的回应,对下游数据市场中数据的商业化没有任何阻碍,例如农场主收集所有来自各种产品的数据用于经营农场,而不影响制造商商业化汇集的各个农场主的数据,制造商可以同意从事公共利益事业的第三人(如为了环境保护)访问数据。
数据治理面临的最根本的矛盾是,数据开放和共享所带来的社会效益与个人和组织对这种开放所带来的风险和合理担忧之间的紧张关系。这种紧张关系根植于具有显著经济价值的数据集的本质属性之上,数据的非竞争性要求它最大限度地开放和共享以增强生产资本的溢出效应,但数据的部分排他性以及失控的风险则会反过来抑制数据共享。数据经济学与知识产权有很多共同之处,譬如专利和版权与数据的经济特性中的非竞争性和非自然排他性以及创新样态非常相似。知识产权赋予创新者以专有权,用来回报投资和激励创新,数据生产者理论正是借鉴了知识产权理论的这一方面。知识产权政策与数据政策也须平衡相似的政策目标,垄断数据许可的定价,可能会增加再生产的边际成本,从而减少创新,这会对社会造成伤害。知识产权政策通过设置排他限制的方式来降低知识垄断导致的社会损害后果。数据生产者理论仅仅回应了数据排他问题,而不能回应数据共享中市场失灵的问题,数据访问权被提出来作为处理“数据共享”与“风险控制”的替代方案。必须指出的是,从数据经济学的角度来说,无论是采用数据生产者理论还是采用数据访问权理论,市场失灵的情况仍然会持续存在,不过,数据访问权能够更好地应对市场失灵的情况。
在信息时代,数据访问对于增进社会福祉来说是必不可少的。经营者收集消费者的个人信息,对其进行分析,并优化自身服务以更好地满足消费者的个性化需求。对于创新企业来说,它也需要获取已储存的数据以更好地为消费者提供信息产品。对于消费者来说,其需要访问或者授权他人访问已收集的个人信息,以更加灵活地选择信息产品。“聚合范围经济是数据经济的命脉,即只有在汇集多个独立且互补的数据集的情况下,才能从其中获得更高的价值。” 除此之外,数据访问对于增进公共福祉和公共利益来说也必不可少,譬如在公共卫生和流行病、环境保护和气候变化、粮食安全和贫困等问题上,及时的数据共享和数据访问可以减少人身和财产的损失。
在一定意义上,数据访问权理论是用来调整社会福利最大化、数据使用最优化的工具。因此,从经济角度来看,数据访问原则上只在市场失灵的情况下适用,以解决其所导致的竞争不充分问题以及抑制创新的问题。相反,立法上应避免采用允许免费利用竞争对手投资或降低创新激励的数据获取机制。同时,对于个人数据和商业秘密来说,这些资料可以通过匿名和保密义务的设置来实现访问。
三、数据访问权的适用场景
及其制度内容
数据访问权制度指的是第三人访问他人通过技术而控制数据的制度。从广义上来理解,个人数据可携带权也属于数据访问权的一部分。数据访问权的讨论根植于海量的数据并没有被充分利用来推动创新和竞争的现状,其制度的构建拥有明确的政策目标指向,即在平衡对个人信息保护的基础上,促进公共部门和企业的数据共享和开放,以便利决策的做出。就数据访问的当前立法与行业实践而言,主要针对如下三种场景中普遍存在的市场失灵情况进行了相应的调整。
(一)场景一:对共同生成的数据集的个别访问
关于数据权利分配讨论的一个重要部分涉及如下情形,即数据的产生来源于两方或多方的行为,但为一方所单独控制,譬如物联网设备的运转或者在线服务设置的使用。由于信息不对称等原因,消费者甚至是企业也无法事先评估其共同生产的数据对售后服务以及未来潜在用途的影响。这就导致无论是B2C情境,还是B2B情境,对共同产生的数据集的访问被“垄断”于实际控制数据的一方。
数据访问权制度可以很好地突破因技术控制与信息不对称所导致的“数据锁定”以及“用户锁定”问题。现有的大部分数据访问立法与实践均是对场景一中市场失灵情况的调整,可以根据访问对象的不同区分为对个人数据的访问与非个人数据的访问。
1.对个人数据的访问
出于对个人数据的严格保护,一旦所收集的数据满足欧盟《通用数据保护条例(GDPR)》第4条第1款的标准,即数据已被识别或者可被识别为特定自然人,该数据主体则享有欧盟《通用数据保护条例》第15条所授予的不可放弃的一般性的数据访问权。我国《个人信息保护法》第45条第1款、第2款规定了查阅复制权,授予个人享有向信息处理者查阅、复制个人信息的权利。除了直接对数据进行查阅外,欧盟《通用数据保护条例》第20条还规定了一种特别的“访问”,即个人数据的可携带权,并规定了两种行使方式,即获取数据副本的权利与数据转移的权利。前者指的是,在基于同意或者合同的规定自动化地处理数据时,数据主体可以以结构化、通常使用、机器可读等方式获取其提供给数据控制者的相关个人数据,并且可以将此类数据无障碍地传输给另一个数据控制者;后者指的是,当技术可行时(technically feasible),数据主体可以将个人数据从一个控制者直接传输给另一个控制者。欧盟《通用数据保护条例》第20条第3款、第4款进一步明确了数据可携带权的权利界限,即数据可携带权的行使不得妨碍可删除权,也不得对他人的权利或自由产生负面影响;在为公共利益而进行的必要处理时,不适用数据可携带权规则。
我国也借鉴了欧盟《通用数据保护条例》第20条的规定,在《个人信息保护法》第45条第3款中明确了个人信息可携带权,但采用了法律授权的模式,将个人信息可携带权的客体范围与行使方式交由国家网信部门规定。在携号转网、医疗以及征信领域,我国已有着相对成熟的行业实践。2019年,工业和信息化部发布了《携号转网服务管理规定》(工信部信管〔2019〕242号),要求电信业务经营者应根据蜂窝移动通信用户的申请,向其提供变更签约时基础电信业务经营者而维持号码不变的服务。2018年《国家健康医疗大数据标准、安全和服务管理办法(试行)》第21条规定责任单位应当依法依规使用健康医疗大数据有关信息,提供安全的信息查询和复制渠道,确保公民隐私保护和数据安全,为数据访问提供了法规基础。征信行业相关规定更为完善,根据《征信业管理条例》第18条规定,向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。
授予个人数据主体以个人数据访问权和个人数据可携带权并不能解决因信息不对称、谈判力量不对等的市场失灵问题。在一定意义上,个人数据可携带权可以被同时评价为“太狭窄”和“太宽泛”。前者指的是个人数据可携带权仅仅指向历史数据,而不包括实时传输数据以及数据互操作性的规定,可以说个人数据可携带权的确立主要是为了保障消费者切换服务商,而并不指向数据的再利用。后者指的是,个人数据可携带权的权利主体是一切数据主体,这项权利不可被放弃,也不考虑数据主体是否处于信息不对称、谈判能力不对等等因素,实际限制了个人数据主体在其数据上的交易自由。
因而,在一些特殊的行业,已存在超越欧盟《通用数据保护条例》的数据访问权规定。欧盟修订后的《支付服务指令(PSD2)》中有关账户信息服务提供商、支付启动服务提供商对银行账户数据访问的规定可以被视作个案典范。该指令要求对账户服务提供商(通常指的是银行)通过API接口向特定服务商开放账户的实时访问权,以便于其向账户所有人(消费者)提供远程支付或者其他账户服务:账户服务提供商(account servicing payment service provider)须向支付启动服务提供商(payment initiation service provider)实时提供有关启动支付交易的所有信息,以及其可访问的有关执行支付交易的所有信息(《支付服务指令(PSD2)》第66条第4款b项);账户服务提供商须向账户信息服务提供商(account information service provider)实时提供有关支付账户和支付交易的信息(《支付服务指令(PSD2)》第67条第2款)。因此,《支付服务指令(PSD2)》大大超越了欧盟《通用数据保护条例》第20条规定的个人数据可携带权,其不仅通过标准化API接口(针对账户信息服务)授予实时数据访问权,甚至还授权了服务互操作性(针对远程支付)。《支付服务指令(PSD2)》还规定这种数据访问权的行使必须获得账户所有人的明确许可。
2.对非个人数据的访问
对于一些特殊行业中的企业,或者对于一些特殊类型的行业数据,欧盟已形成了一些专门性的企业数据访问规范和实践。必须指出的是,在实践中非个人数据往往与个人数据紧密结合,而对于数据集中的个人数据部分目前仍须参照个人数据保护规则。
对能源领域的智能仪表所收集数据的访问机制,可被理解为明确针对市场失灵所形成的典型范例。在欠缺个性化服务供给需求的能源行业,囿于相关基础设施市场的准垄断属性,授予对智能仪表数据进行访问的权利,可以更好地便利消费者。根据《欧盟电力条例(European Electricity Directive)》第55条,为了协助消费者积极参与电力市场,智能计量系统应具有互操作性,并应能够提供消费者能源管理系统所需的数据。智能仪表系统应当允许消费者能够接近实时地访问其消费数据,调整其能源消耗,并在配套基础设施允许的情况下,为网络和电力企业提供便利。根据《欧盟电力条例》的规定,被授权访问的数据应被理解为包括计量和消费数据以及客户切换、需求响应和其他服务所需的数据(第23条第1款);对消费者访问数据不得收取额外的费用,但对于其他有资格的主体(部署智能电表系统和配电系统运营商等)来说,各国保留规定访问数据的费用,只要这项费用是合理、正当的,且不使数据访问变得困难(第23条第5款);各国应该保证获取这些数据时透明、互操作性以及非歧视性的标准(第24条)。消费者可以授权第三方通过标准化通信接口或者远程访问的方式接入电力数据和消费数据,以便于其能够在同类基础上比较报价(第20条e款)。
(二)场景二:售后市场或补充服务中第三方对数据集的聚合访问
在场景一中,企业提供有竞争力的补充产品或服务取决于其是否能获得潜在客户的使用数据(usage data)的访问权,不论对象是个人数据或非个人数据,这种对个体层面数据的访问权往往依赖于客户的同意。但在一些情况下,企业提供有竞争力的售后或者补充服务不仅需要访问个体层面的使用数据,而且需要访问聚合数据集。譬如对于制药企业来说,在药物生产和改良过程中,需要对使用该药物的患者的数据进行分析和研判,而直接获得每位患者的许可几乎是不具有操作可能性的途径,往往只能转向医院获得其治疗的患者的数据。场景二还涉及访问非使用数据的情形,譬如移动平台向多家航空公司请求实时访问航班起飞、降落的情况,以便向客户提供定制服务,例如接送机服务。场景二还涉及互联网平台的自我优待(self‑preferencing)情形,即平台利用平台的市场力量给予自营产品或服务优惠待遇,导致关联市场竞争的扭曲。譬如淘宝平台可以通过其所掌握的消费者信息优化其自营平台,从而取得对自身平台上的其他零售商的竞争优势。
类似场景一的情形,数据访问权制度可以很好地突破在场景二中因信息不对称以及过高的交易成本所导致的“数据垄断”问题,促使数据市场的良好发展。对于场景二中数据访问权的授予来说,当前欧盟的法律是十分谨慎的。根据2007年欧盟《机动车维修和保养信息访问条例》,为了改善内部市场的运作,特别是在货物的自由流动、设立机构的自由和提供服务的自由方面,独立服务提供商被授权不受限制地通过可用于检索技术信息的标准化格式以获得对汽车制造商所控制的车辆修理和保养信息的访问,以促进补充市场中汽车制造商的授权经销商与独立服务提供商之间的有序竞争。这里很大一部分信息与车载诊断(OBD)系统及其与其他车辆系统的交互有关。汽车制造商应遵循相应的技术规范,并制定有针对性的措施,确保中小企业的合理访问。汽车维修和保养相关数据的访问权授予主要是为了解决因汽车数据被垄断于制造商由此产生的维修和保养服务垄断问题。汽车制造商往往以数据访问或数据共享会产生安全问题为由而拒绝开放数据,但研究证明开放的远程通信平台可以消除相应的安全风险。
(三)场景三:为创新目的而进行的数据访问
在互联网行业,因先进入市场的大型互联网企业通过对所积累的用户信息的掌握、使用和分析,可以在为用户提供更为贴切的个性化服务的同时扩张自己的产业版图,数字行业的边际成本几乎为零的特性,又使这种先发积累优势被无限扩大。可以说,当前少数大型科技公司拥有世界上很大一部分数据的事实可能会抑制数据驱动企业的出现与相关创新。显然,在场景一或场景二中,为特定市场的竞争,大型平台也可以成为数据访问权的义务主体。场景三的讨论焦点是,为拓展全新市场或不存在竞争关系的市场时,是否有必要授予市场主体以数据访问权,对此目前尚未得出较为统一的结论。
在访问的对象是公共数据的情况下,这一问题则已得到了解决。2003年欧盟《公共部门信息指令》第4条规定了“公共部门机构应在可能和适当的情况下,通过电子方式处理再利用(re‑use)的请求,并应向申请人提供文件,或在需要许可证的情况下,在与处理查阅文件请求的时限相一致的合理时间内,向申请人提供许可证。” 更新后的《公共部门信息指令》序言第44条指出,应当鼓励为私人或商业目的广泛提供和再利用公共部门信息,并将法律、技术或财政方面的限制降到最低或没有,同时促进市场经营者和公众间的信息流通。这些政策可以在增强社会参与方面发挥重要作用,启动和促进基于新的方式结合和利用这些信息的新服务的发展。在公共数据访问方面,我国也已经形成了大量地方立法以及地方实践。譬如,北京市交通委官方网站公布了《北京市交通出行数据开放管理办法(试行)》(以下简称《办法》),将地铁公交拥挤度、实时路况、停车场泊位数等交通出行数据向社会开放。上海市公共数据开放平台公开了有关城市建设、民生服务、经济建设、公共安全、教育科技这5方面的数据,共计2229个数据产品。
四、数据流通实现工具分析
考虑到数据种类和数据访问场景的广泛性,可以确定的是对于数据访问权的实现,不存在统一的答案。对于数据的流通和共享来说,目前的商业实践中,仍然依赖自由协商或者竞争法的秩序实现。在构建思路上,对于数据流通,有一般访问权、行业访问权以及数据治理的思路。为促进数据的利用、个性化服务的实现以及决策的做出,应当构建灵活的数据访问权体系,使具有合法利益的消费者和具有创新能力的企业能够获得对数据的访问权。
(一)一般访问权
根据数据访问权的行使是否跨行业,可以将数据访问权分为一般访问权(horizontal data access)以及行业性访问权(sectoral data acess)两种,前者指的是普遍性的一般的数据访问,适用于一般经济形态而非特殊行业;而后者指的是特定行业范围内的数据访问。与企业与消费者间的数据访问(B2C)主要依仗于个人信息保护法相关强制规则不同,企业间(B2B)的数据访问一般是通过协商实现的,同时以竞争法理论作为补充。
1.合同法上的一般访问权
为获取对数据的访问,企业可以与实际控制数据的企业协商约定对数据的访问权利。数据许可协议多为具有市场主导地位的企业事先拟定,其可能会预先设定对数据使用者不公平的条款。基于诚实信用原则,在数据控制企业利用优势地位制定格式合同情况下,相对方可以以格式合同提供方不合理地免除或者减轻其责任、加重相对方责任、限制相对方权利(《民法典》第497条第2款)为由,主张特定格式条款无效。
2.竞争法上的一般访问权
在除了通过协商获取对相关数据的访问权利之外,我国当前实践往往通过《反不正当竞争法》或者《反垄断法》实现企业间的数据强制共享。但是在“数据抓取”行为的正当性判断标准上,当前司法实践存在着一些争议,尚未形成明确而统一的规则。早期在“奇虎诉百度案”中,法院指出百度公司作为相关网站的经营者,虽然原则上可以自由决定是否限制其他竞争者如奇虎公司抓取网络数据资源,但是,这种限制抓取措施应当具有合理正当的理由,不能逾越公平竞争的限度而采取特定的歧视行为,否则将构成不正当竞争行为。法院认为,百度网讯公司和百度在线公司的robots协议允许国内外其他主流搜索引擎抓取其内容,但未允许360搜索引擎的抓取,则构成“歧视”。但近年来的判决结果显示,对于网站经营者对其他经营者的数据抓取行为的限制,并未形成绝对化的价值判断结论,法院往往根据双方所处的经营领域、经营内容,以及限制行为对双方、消费者与竞争秩序影响等多种因素进行综合判断。譬如,在“字节跳动诉新浪微博不正当竞争纠纷案”中,法院认为在不损害消费者利益、公共利益和竞争秩序的前提下,可以允许robots协议对特定经营者的“歧视”。对搜索引擎场景下的robots协议进行严格的限制,其本质是为了便利公众搜索,对数据进行深层的共享利用,而非简单地“复制”和“替换”,因而法院认为本案中新浪微博对字节跳动数据抓取行为的限制应被认定为企业行使自主经营权的行为。而对于限制经由平台内用户授权的数据抓取情形,法院则倾向于做出不同的判断。在“腾讯诉祺韵侵权纠纷案”中,法院认为,游戏用户的账号信息及参与游戏的相关数据,均属于原始数据,平台并未投入更多成本进行运营和保护,祺韵公司关联腾讯公司游戏用户账号及个人信息并存储游戏数据的行为获得了用户的授权,且其并未破坏腾讯公司的技术保护措施,也未妨碍腾讯公司对游戏用户数据的收集和使用或影响游戏的正常运行,因而祺韵公司的行为并不构成不正当竞争。同时,法院还会参照民法上的诚信原则,对经营者的数据抓取行为是否正当进行判断。譬如在“腾讯诉斯氏不正当竞争纠纷案”中,法院认为被告通过技术手段突破微信公众平台的数据防护措施进行数据抓取的行为是对原告提供产品功能或服务的限制和破坏,因此构成不正当竞争行为。
对于补充市场的纵向竞争,可以引入必要设施原则(essential facility doctrine)强制企业对数据进行共享。根据MCI Commc’ns Corp. v. AT&T一案,适用必要设施原则的要件包括:(1)垄断企业控制着关键设施;(2)竞争相对方无法实际地或者合理地复制该设施;(3)垄断企业拒绝竞争相对方对该设施的使用;(4)垄断企业提供设施是可行的。除此之外,原告必须证明垄断企业具有市场力量或支配力量。一般认为,在不具有市场力量或垄断力量的情形下,市场可以通过竞争解决相关设施的壁垒问题。在数据访问的场景中,若对于竞争企业来说,获取某一部分数据集对于其进入市场或者对其进行创新是基本的,而该部分数据集由具有市场支配地位的企业所垄断,则该数据集必须向竞争企业开放。另外,当竞争企业要求从占主导地位的公司获得数据时,该种途径的不可或缺性是当前竞争法理论所考虑的重要因素。
3.欧盟《数据法(草案)》上的一般数据访问权
为释放数据驱动潜力,促进数据的再利用,缩小数字鸿沟,欧盟在2022年3月发布的《数据法(草案)》试图创造一般性的跨部门数据访问权框架,从而为横向的数据共享提供激励。《数据法(草案)》允许联网设备的用户访问由其产生的数据(通常仅由制造商采集),并向第三方分享这些数据,以便提供售后或其他数据驱动的创新服务。
《数据法(草案)》第3条首先明确了数据持有人有向用户提供因使用产品或相关服务而产生的数据的义务,并且在与使用者签订购买、租用或租赁相关产品或服务的合同前,数据持有人必须清晰明确地告知用户与数据访问有关的信息。这里的数据持有人通常是产品制造商或服务提供商,但可能是控制数据的大型工业用户。而用户包括企业以及为企业提供数据服务的第三方,用户可以请求数据持有人向第三方提供用户使用产品或相关服务而产生的数据。《数据法(草案)》第4条规定,用户对因使用产品或相关服务而产生的数据拥有数据访问权,且该访问是免费、连续、实时和电子可行的。这里的数据可以是原始数据,也可以是衍生数据。《数据法(草案)》第5条规定,应用户的请求数据持有者应向第三方免费、连续、实时提供与其可获得数据质量相同的数据。也就是说,数据持有人应不拖延地、免费地、持续地、实时地允许用户访问数据。
就B2B的情形,《数据法(草案)》第8条和第9条的规定延续了合同法的机制,数据持有者与数据接收者对提供数据的条款可进行协商,任何报酬均被认为是合理的。《数据法(草案)》第9条以及第13条对小微企业作为数据接收方提供了特殊保护:当数据接收者是小微企业时,提供数据所须支付的补偿不得超过直接相关成本;若有关获取和使用数据的违反或终止数据相关义务的责任和补救措施的合同条款被认为是不公平的,则该条款对小微企业不生效。
就企业间的竞争而言,《数据法(草案)》第4条还规定了禁止企业滥用数据共享合同的规则,比如,用户不得利用所获取的数据开发和数据持有者具有竞争关系的产品和服务。
4.一般访问权路径评析
对于一般访问权来说,不论是采取合同机制、竞争法机制抑或是欧盟《数据法(草案)》机制,均存在着明显的弊端。就合同法上的一般访问权来说,由于信息不对称等原因,数据持有者与数据接收者之间谈判力量差距悬殊,交易的达成往往取决于数据接收者的让步,若数据接收者为消费者或者小微企业,则其实际上可能很难通过自由协商从数据持有者那里获得数据。
欧盟《数据法(草案)》在合同法的基础上,进一步明确了数据持有者提供数据的义务,并要求向用户实时、连续、免费地提供数据,对消费者、小微企业获取数据提供了保护。但是该方案也有局限性,比如访问的请求必须由用户提起,且可访问的数据量有限(仅限于与用户使用相关的数据),同时也未明确除数据接收方为用户情形外数据访问权授予的一般标准,在适用中仍然需要就特定经济与技术背景进行分析。
就竞争法上的一般访问权而言,因为数据交易、数据垄断等样态本身仍在持续发展中(尤其是在平台经济的场景中),所以必要设施原则、利用市场力量(Leveraging Market Power)、自我优待(Self⁃Preferencing)理论的适用有一定的难度。竞争法规制还存在着事后监管、个案评判、耗费时间和精力的问题,无法满足数据访问的及时性要求。
授予数据访问权的标准往往取决于特定经济与技术背景,涉及复杂的利益衡量,因而通过一套稳定不变的权利规则来完成数据访问权制度的构建是很困难的,尤其在是否收费问题上,不同的行业和主体存在着较大的区别。访问权行使的复杂性与高度技术性也与一般访问权的路径并不匹配,譬如对数据传输如何实现、是否支持数据抓取、是否须以特定格式提供、是否须以特定技术接口提供、是否需要满足数据互操作性、如何保证数据安全等等问题的回答,很难独立于行业和个案的因素。
(二)行业性访问权
除一般访问权外,数据访问权的另一种实现工具是行业访问权,其试图以精准的方式为特定行业解决访问权或者数据共享问题。与一般访问权不同,在行业性的强制性B2B数据共享场景中,数据与用户本人或其使用的产品服务并不必然相关,即在特定行业领域内,申请者在数据生成过程中并不必然作出贡献,也并不要求申请者与数据集有人格权益牵连,但其仍然有权直接请求访问一定规模的数据集。这种设权正当性主要来自于经济学上的考量,数据访问的社会总福利大于数据控制者的私人利益和开放成本。
1.行业访问权范例
根据欧盟《机动车维修和保养信息访问条例》,汽车制造商有义务向独立服务提供商提供不受限制、非歧视和标准化的车辆维修和保养信息访问权限,以促进补充市场中汽车制造商的授权经销商与独立服务提供商之间的有序竞争。显然在这一领域,欧盟立法认为保证独立服务提供商对车辆维修和保养信息的访问所能产生的社会总福祉要高于汽车制造商对数据集的单独占有所产生的私人利益和开放成本。
2.行业访问权路径评析
行业访问权路径的优势在于,其规则是根据特定的经济形态以及行业技术特点设计的,很好地平衡了不同主体间的利益。相较于一般访问权来说,行业访问权路径允许体系中不同类别利益相关者的差别对待,比如针对传统银行、新的创新金融服务以及消费者进行不同的利益衡量,有针对性地规定访问权主体范围、访问权客体范围、访问权行使费用以及访问权救济等等问题。而且可以更好地决定在数据共享中采取何种技术以及隐私保护措施,以保证数据安全。行业访问权路径下,数据集的开放标准规则精确、清晰,便于数据访问权的事前行使。同时,行业访问权通常伴随着行政监管,监管机构可以灵活地实施特定行业规则,也可以随着时间推移而改变规则。
行业访问权路径的弊端在于,因为数据共享和开放的相关问题非常复杂,对特定行业内的参与者进行利益平衡需要专业的技术知识支撑,但规则制定者可能未必具备充分的知识储备,同时监管部门对规则的执行是否有效也未可知。同时,监管俘获(regulatory capture)问题也可能导致规则制定偏离促进竞争与创新的政策目标,这是因为数据访问权的授予可能导致巨额数据控制利益的丧失,特定行业中的利益相关人员、巨头企业很可能为保护既得的数据控制利益而极力影响规则制定者。行业访问权路径的一大优势在于其是针对特别行业的、具有事前规制效果的数据访问权规则,但数据共享相关技术本身即处于高速发展的过程中,行业访问权规则的创新或许未必能够适应特定行业的经济与技术变化。相较于一般访问权,行业访问权路径的发展和完善的立法和监管成本较高,这就表明了该路径并不能扩展至所有行业,仍然需要一般访问权进行托底。
(三)从数据访问权到数据治理
由上可知,不管是一般访问权路径或是行业访问权路径,都存在着各自的弊端。如果仅仅从数据持有者和数据接收者的双边关系中理解数据访问权理论,或许并不能很好地对数据访问权制度的意义和价值进行研判。这是因为不论在一般访问权抑或是行业访问权的讨论中,均有必要分析整个部门(数据生态系统)的运作,以了解数据垄断对大量不同市场可能造成的影响,以及不同数据治理解决方案中的收益和成本问题,其中必然包含着对竞争和创新的分析和理解。同时,对数据访问权的讨论几乎总是隐含地假设某主体对某组数据的实际控制是合法的,然后在此基础上进一步探讨赋予其他主体访问权的问题。但是,就经济学的角度来说,或许首先应该拷问一下这些数据的实际控制权(即权利的初始分配)的正当性。同时,于一些特定行业来说,数据访问权的构建已经超越了使用的范畴,例如线上银行账户所有人无需银行允许,就可以授权支付服务提供商进行支付,在这一支付过程中是完全排除银行许可的,即使银行拥有对其账户数据的实际控制。由于数据访问权也并没有解决数据使用费用等准入问题,这些问题必须站在更宏观的角度进行处理。此外还可以发现,为达到促进数据访问的效果,法律不得不深入技术规则的层面,以保证数据访问的真正实现。譬如就远程支付服务指令的实现,不能仅仅要求银行开放数据,而且需要其提供可靠的技术接口(API)以实现互操作性,类似的标准化技术接口的强制问题在数据访问领域普遍存在。
要解决数据流通问题,绝不可能通过数据访问、数据权属、数据保护或者数据交易规则的安排而单独实现,而必须站在数据治理的高度,对数据流通问题进行整体把握。数据治理指的是一套使用数据的规则和方式,包括收集、处理、分析、储存、共享和出售数据的规则。数据治理的核心问题是数据决策,即如何将数据使用产生的价值能够辐射到的个人、组织和团体纳入对数据的决策中,使其得以分享数据价值增值或使其利益得到保护是数据治理所需要考虑的问题。欧盟2022年颁布的《数据治理法》提出了三种促进数据在欧盟的流动和利用的方案,包括公共数据的再利用、数据有偿共享以及数据无偿共享。这三种方案对数据访问权规则的具体勾勒提供了政策上的指引。
除此之外,数据访问权的实现还取决于多种配套技术和制度安排,如标准制定的机构和程序、数据交易平台、数据中介等制度的落实。数据流动过程中,存在大致四个方面的问题,致使其流通的交易成本增加:缺少分享数据的动力;存在商业、道德、法律和监管等方面的风险;缺乏数据可用或价值相关的信息;数据访问或分享的成本过高。可以说,数据流通中的障碍是多维的,主要矛盾往往依场景、数据类型、机构间信任关系等因素而有别,数据访问权规则只解决了法律和监管方面的部分风险问题,但是对于其他问题,仍然依赖于相关规则和组织的完善来解决。
五、结论
物联网经济下,制造商可能垄断数据,阻碍市场竞争与创新,也可能妨碍用户对数据的使用利益。为了防止这些问题的发生,数据访问权是一种适合的制度工具。但数据访问权的绝对化即数据生产者权利并不可取,应赋予有创新能力的企业以及消费者灵活的数据访问权,使数据访问权不仅有利于竞争与创新,而且具有保护消费者权益与增进社会福利的作用。享有数据访问权者为机器的使用者以及具有合法利益的消费者,其数据访问权的行使不应影响数据制造商汇集机器产生的数据集。对于数据享有访问权者,必须享有合法利益,而且必须将数据的使用限定在合法目的范围内。在数据使用权的实现工具上,一般性数据访问权与行业性数据访问权各有利弊,而且不能解决所有数据访问的问题,所以,应从数据治理的整体视角构建数据访问法律制度。
转自:“社会科学研究杂志”微信公众号
如有侵权,请联系本站删除!
