2022年年末中央释放的多个重磅信号,令业内人士纷纷欢呼,“充分实现数据要素价值,共享数字经济发展红利”的时代到了。
2022年12月16日结束的中央经济工作会议提出,要大力发展数字经济,提升常态化监管水平,支持平台企业在引领发展、创造就业、国际竞争中大显身手。
随后的2021年12月19日,中共中央国务院正式发布《关于构建数据基础制度更好发挥数据要素作用的意见》(下称“数据二十条”)。由于“数据二十条”是一个关乎顶层设计的制度性文件,如何落实成为各方关注的重点。
近年来,各地政府和产业界已采取多项行动,探索实现数据要素价值的合理路径。据不完全统计,迄今已经有22个省市制定了地方数据条例或大数据促进条例等。此外,各地数据交易市场建设也开展地如火如荼。根据国家工业信息安全发展研究中心发布的数据,截至2022年8月,全国已成立44家数据交易机构,此后又有苏州、广州、深圳等地的数据交易所相继揭牌。
目前,阻碍数据要素价值释放的因素也很清晰。“数据二十条”确立了数据基础制度的“四梁八柱”,即:数据产权制度、数据要素流动和交易制度、数据要素的收益分配制度和治理制度,就是为了解决数据要素化进程中的现实困境。在这四项基础制度中,数据“产权制度”解决的是数据要素的确权与授权问题,进而会影响数据的可交易性、利益分配、行权保障等问题,是数据要素制度的起点与核心。
本文将以“数据二十条”的创新框架为始,通过公共数据、企业数据、个人信息数据三方面,对下一步数据要素的充分流动利用提出相关建议。
创新框架:“产权分置”与“分类分级确权授权”
关于如何确定数据的权属,过去数年,已有众多学者对此进行了轮番讨论,形成了诸如“数据财产权”“知识产权”“合同债权”等主张。
目前,在司法领域比较普遍的实践是赋予数据以“竞争性的财产权益”。
入选2018年度人民法院十大民事行政案件之一的“淘宝诉美景不正当竞争”即为代表,法院通过判决,首次确认了网络运营者对其研发的大数据产品享有独立的“财产性权益”,并运用《反不正当竞争法》原则性条款对拿走他人市场成果直接为己所用,从而获取商业利益与竞争优势的行为予以规制。
“竞争性的财产权益”路径具有务实性和问题导向性,但也存在明显的缺陷,即保护的消极性和适用场景的限定性。
而主张以“知识产权”思路加以保护的观点中,第一类是主张通过“商业秘密”的路径对商业数据库加以保护,商业秘密保护的主要思路是通过自力措施,控制第三方对数据的获取,本质上不符合促进数据要素广泛流动的诉求;第二类是考虑仿效《欧盟数据库指令》(EU Database Directive,下称《指令》),也即专门为不具有“独创性”的数据库创设一种新的专有权利(Sui Generis Right)。由于《指令》对事实性数据提供了一种排他权的保护,存在着阻碍信息自由流动和垄断风险,在促进欧盟数据库产业发展方面的效果也并不理想。
“数据二十条”在数据产权制度设计方面,进行了创新性安排。
第一个创新是产权分置,根据数据的生成链条,“数据二十条”把数据产权的构成分别设置为“数据资源持有权”“数据加工使用权”“数据产品经营权”等,分别对应数据产生端、数据加工使用端和数据产品经营端,涉及的数据参与主体分别为数据来源者、数据处理者、数据加工者和数据产品的经营者。这样的安排有助于参与数据要素活动的各方根据自身的优势,积极参与,各取所需,分享红利。
第二个创新是基于数据分类分级进行授权确权。根据国家数据分类分级制度,建立公共数据、企业数据和个人信息数据的分别确权授权机制。这三种类型的数据来源不同、持有目的不同、涉及主体的利益诉求也不同。因此在本质上,确权授权安排是一种基于数据场景的安排,很难统一适用。“数据二十条”只是指引了数据分类分级进行授权确权的大方向,在未来政策的落地执行中,可以进一步细化数据的分类分级机制。比如,企业数据还可以进一步分为平台数据、物联网数据、工业互联网数据等,并设计精细化确权授权的安排。
值得关注的是,“数据二十条”还提出要研究数据产权登记新方式。虽然国家知识产权局已经在浙江、上海、深圳等地开展数据知识产权保护试点,其中浙江已经建立了数据知识产权公共存证平台,并开始面向市场主体提供存证服务。但在大数据时代,由于数据具有实时性和高速产生的特点,如果采用传统知识产权的登记、备案等方式来确权,或许会和“充分实现数据要素价值”的政策初衷产生偏差。
在“产权分置”与“分类分级确权授权”的大框架下,接下来需要做两个具体工作:一要确定各项分置权利的内涵和权利边界,以决定各参与方的实质性利益安排,从而做到公平且具有激励性;二是建立支撑此种产权制度的法律体系,要么通过解释现有的民法典和竞争法体系来实现,要么通过新的立法来单独赋权,各有利弊。
公共数据:推动互联互通与开放共享
公共数据是各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据,由于取之于民,也应最大范围地服务于社会。
全球范围内,公共数据都是一个待开发的宝藏。2022年5月16日,欧盟理事会正式批准了《数据治理法案》(Data Governance Act)。该法案建立了公共部门持有数据的再利用机制,目的是允许企业和个人都能够正常地访问公共数据,以期释放人工智能的潜力。更早之前,2020年的《欧洲数据战略》亦提出,欧盟应当开放更多高质量的公共部门数据以促进创新,促进经济参与主体之间的跨领域横向数据共享,以及个人更方便地共享数据。
中国公共数据的再利用目前存在两个主要的问题:一是各个部门产生的数据不能互联互通,这不仅造成了数据的重复性收集处理,还制约了数据的集约化使用;二是各个部门的开放动力不够,由于没有强制性开放数据的法律要求,大多部门均以数据安全、隐私保护等原因拒绝开放数据。
针对以上情况,”数据二十条“提出了两个目标,一是对于涉及个人隐私和公共安全考虑的公共数据,要在确保隐私保护和公共安全的前提下,按照“原始数据不出域、数据可用不可见”的要求,以模型、核验等方式向社会提供服务;二是对于没有隐私和公共安全之虞的数据,要加大社会供给。
为实现公共数据开放共享的目标,其实可以借鉴欧盟《数据治理法案》的公共数据开放思路,制定如下的策略:
一、在保障“国家安全”和“公共利益”,保护“商业秘密”和“个人信息”等合法权益的基础上,建立起各个部门的公共数据开放清单,进入清单的数据就具有开放的义务,数据持有的部门应动态审核和更新清单。
二、公共数据的开放要实现公平开放,需明确设立“接入条件”,一般不设置“独家开放”条款,力争实现公共数据对社会尤其是中小企业的普惠。
三、公共数据的开放不以逐利为目标,对公益目的,可以免费;而对商业性使用,应以成本作为计价标准,从而最大化地推动数字创新经济。
企业数据:以利益机制驱动加强数据供给
“数据二十条”规定,企业数据指不涉及个人信息和公共利益的数据,例如物联网数据、工业互联网数据和商业经济数据等,也可以包括平台经营者对个人信息进行匿名化处理后的平台数据。采集加工企业数据的市场主体依法享有持有、使用和收益的权益,通过保障其经济回报的方式,激励市场主体加强数据供应。
在鼓励数据对外开放授权上,“数据二十条”要求“国有企业发挥带头作用,引导行业龙头和平台企业发挥带动作用”。许多国有企业本身是行业的核心企业,诸如电力、能源、交通等,掌握大量行业数据,一旦把这些数据盘活,除了国企本身受益,还会带动新业务和新应用的发展。此外,行业龙头和互联网平台往往会关联到更大的产业生态,一旦它们愿意开放数据,对整个生态链企业都会带来机会。
“数据二十条”也关注到了中小微企业在数字资源上的弱势地位,指出“促进大企业与中小微企业间的双向公平授权”。经合组织(OECD)的研究报告曾指出:“从总体上说,中小企业数字鸿沟已被证明会拖累一个国家的生产力绩效,并加剧个人、公司、社区和地方之间的不平等。”因此,在促进数据要素政策对中小微企业倾斜方面,需要有更大的举措。
个人信息数据:保障主体权利并合理利用
个人信息数据的利用机制,因为涉及个人信息主体权利的保护,比公共数据和企业数据的利用机制要更复杂一些。
《个人信息保护法》确立了我国个人信息保护的基本法律要求,“数据二十条”在此基础上,重申了满足“知情-同意”要求和“符合必要原则”是合理利用个人信息的前提。此外,“数据二十条”要求强化企业主体责任,规范个人信息采集和使用,也鼓励通过采用诸如匿名化等技术手段增强个人信息保护。
值得关注的是,“数据二十条”引入了一个“受托人”的新概念,但没有对“受托人”的角色进行进一步的解释。
合理设想,“受托人”可以是基于个人信息主体的委托,在授权范围内可以代表个人信息主体从事某些行为。一种可行的制度设计是,“受托人”可以监督市场主体对个人信息处理的情况,发现侵害“委托人”权益的行为,进而可以提出权利主张或采取维权行为,成为个人信息主体的利益保护人。而另一种值得考虑的制度设计则是,“受托人”可以基于信赖关系,在授权范围内自主地安排一些个人信息的对外授权。“受托人”的专业性,有助于实现个人信息权益保护与个人信息合理利用的平衡。
在某些场景下,个人信息数据的合理利用对社会举足轻重,比如社会治理、健康医疗、官方统计等。欧盟的《数据治理法案》引入了“数据利他主义”概念,指的是为了科学研究和改进公共服务等普遍性利益目的,数据主体同意其个人数据或数据持有者同意其非个人数据被无偿使用、处理。欧盟的实践表明,公众虽然对“数据利他主义”并不抵触,但信赖关系却成为法案执行的最大的阻碍。这具体表现在,个体该如何相信数据接受者不是借“数据利他主义”之名,行谋取私利之实?又该如何相信自己贡献的个人数据能够得到安全和隐私的保障?为此,《数据治理法案》引入了认证增信机制,即如果一个从事“数据利他主义”活动的实体满足《数据治理法案》的要求,即可申请成为“欧盟认可的数据利他主义组织”。
未来,我们在实施“数据二十条”的过程中,可以尝试通过各种机制,鼓励个人信息主体对公益目的场景下的个人信息授权,通过多元手段保障个人信息使用的安全和目的限定。
综上所述,在“数据二十条”的指引下,数据产权制度将逐步建立,确权授权使用规则也会日渐清晰,各地数据交易机构亦将在数据产品设计和交易方式上日趋活跃。掌握数据资源的企业可以考虑盘活数据资产,追逐政策和市场红利,置身于数据要素化带来的经济发展大潮。
作者同时担任全国律协信息网络与高新技术委员会副主任、北京市律师协会科技与大数据委员会主任、中国网络与信息法学研究会常务理事等职务。他得到Chambers,Legal 500,ALB等专业评级机构在TMT、知识产权和数据领域的长期推荐。
