数据权属的界定
作者: 李泽 雷菲萍
[收稿日期]2023-07-04
[作者简介]
李泽(1975),女,黑龙江大庆人,副教授,博士,从事法理学研究。
[摘 要]企业间的数据爬取纠纷喷涌而出,相关的司法实践频频引发争议。关于数据权益的保护与分配,有数据赋权模式和行为规制两条进路,前者意在建立具有排他性的数据财产权,后者在合同法、反不正当竞争法、刑法与行政法等现行法律制度之上对行为进行场景化与类型化的正当性判断。数据赋权和行为规制可以在霍菲尔德权利关系理论之下得到统合,此时数据的保护不依赖事先预设的权利类型,而是依个案确定,但是所有规则的设计仍然限于霍菲尔德的权利框架和权力框架,从而能够为数据纠纷提供清晰、稳定的指引,又能将利益衡量的要素填充进权利框架中。企业数据爬取的主体间法律关系需要建立在用户、数据爬取者和数据被爬取者的综合利益衡量上,爬取行为的合法性和正当性判断需要考虑爬取目的、数据使用方式、数据的分级分类、主体的意愿等,但这些因素的价值位阶考量仍然需要建立在一个更为广泛的共识之上。在主体意愿这一要素下展开对主体间法律关系的描述,可以清楚地看到霍菲尔德理论在数据权属界定上的创生性和解释力,叠加其他因素所建构起来的互动关系可以是随机拆解的多次法律关系再组合,这有助于最终形成错综复杂但边界清晰的权利网络。
[关键词]数据爬取;数据确权;数据权益;霍菲尔德
[中图分类号]D913 [文献标志码]A [文章编号]2096-1308(2023)05-0076-09
数字化时代,数据被视为新的生产要素,数据议题无疑是当前最令人瞩目的议题,因此数据财产权益的保护与分配是重中之重。棘手的部分在于,如何对待未被现行法律制度恰当规制的那部分数据,由于数据本身的特殊性,除少量与知识产权法、反不正当竞争法的保护客体存在交叉外,大量结构化数据以及非结构化数据依然无法纳入现行法律制度保护范围[1],相关的司法裁判也引发了一系列数据保护争议。摆脱困局的关键在于,重新审视当前的数据治理模式之争,寻找可以建立共识的平衡点,转向更为切实可行的规范建构。
一、数据权属界定之困
数据爬取指依靠网络爬虫等相关技术手段,低速高效地从其他网页、平台、软件等获取大量目标对象的数据,通过此种手段,数据爬取方可以省略积累用户和中间的数据处理过程从而直接获得大量目标数据。企业之间的数据爬取促进了数据流通和共享,但由此引发的很多问题往往是混合性的,相关的司法裁判也容易引发争议。本文选择企业平台数据作为研究对象,是因为企业平台数据本身相对复杂。有些数据来源于平台的用户,这些数据可能仅仅经过平台的软件和硬件搭载就披露在公众领域中,有些数据通过企业的劳动处理成全新的数据集合,而这样的数据集合又未达到知识产权的保护门槛。在前述数据中,可能同时存在用户的隐私利益和信息自决甚至是财产期待,还存在企业平台的财产利益和他方平台的竞争利益。在这样一个多主体、多层次利益的集合下,如果能清楚地界定各方主体的数据权利边界,其他数据类型的权属界定也就迎刃而解了,再加上司法实践中绝大多数数据纷争为企业间的数据爬取行为引发的争议,研究企业间数据爬取行为背后的权利边界也能解决实践的需求。
学界对此提出了两种主要保护模式——数据赋权与行为规制。数据赋权模式分化为传统权利的扩张和新型权利模型的设计,前者通过各种法律技术试图扩张知识产权、物权以及债权的保护客体,并将数据权利诉求纳入现行法律制度;后者在于建构不同于前述权利的新型权利,民法学者在此充分发挥了他们的创造力,提出了企业数据知识产权[2]、数据用益权[3]、大数据有限排他权[4]、数据生产者权[5]等一系列的构想。行为规制是指在现行成熟的法律制度基础之上,即依托于合同法、网络安全法、反不正当竞争法、行政法与刑法等,对行为进行场景化的正当性判断,反对建立一般性的、排他性的财产权保护。[6]学者们对这两种模式展开了激烈的讨论,有学者坚持数据确权具有明显的制度优势[7],但也有学者断言,“我国法律对数据的保护水平已经比责任规则要高,数据确权因此没有实际意义,数据确权的理论争论到此应该可以完全停止”[8]。尽管与数据权属相关的研究成果很多,但想象中的共识却从未达到。
(一)行为规制下的行为正当性判断之反思
在法律层面,讨论的难点从来都是按照现存的法律规范无法落入任一确权保护制度中的那部分数据。在行为规制之下,尽管有合同法、网络安全法、刑法与行政法等一系列法律加以保护,但由于大量数据内容本身的模糊性以及数据来源的多主体性,无法落入前述法律规范的调整范围,由此带来的结果是,企业之间的数据爬取纠纷通常只能由反不正当竞争法来解决,纵观我国企业之间的数据纠纷,司法裁判援引的通常是《反不正当竞争法》第二条的一般条款和第十二条互联网专条的兜底条款。
然而在《反不正当竞争法》框架下,对数据爬取行为是否构成不正当竞争行为的判断仍然是“权利侵害式”的,而不是行为主义者所宣称的“利益衡量式”。司法实践中对《反不正当竞争法》第二条的一般条款的运用一般遵循这样的路径,是否存在竞争关系;经营者是否对所持数据享有合法权益;判断此种权益实际上是否受到损害;爬取行为的正当性判断,即其行为是否具有明显的搭便车、不劳而获的特点。在这种范式之下,很轻易就可以得出爬取行为“不正当”的判断,在“大众点评诉百度地图案”中,法院认为大众点评网背后的汉涛公司花费人力、财力、物力搜集商户简介和用户点评,法律保护经由劳动产生的成果,这种主张根植于洛克颇具影响力的劳动赋权论。数据持有者享有数据权益是真,但是企业数据特别是公开数据具有明显的非竞争性和非排他性,需要作出的回答是这种数据权益在何种程度上排他,目前的不正当竞争行为认定模式实际上造成了这样一个局面——对竞争行为正当性的评判实质等同于捍卫了原告对于劳动成果具有高度排他权。[9]司法实践局限于私权保护行权逻辑,以数据持有者的利益保护为落脚点,从损害结果推出爬取行为违法,并没有对爬取行为的正当性进行基于不同主体的实质利益衡量。
《反不正当竞争法》第二条和第十二条两个条款的应用必须回到场景式的个案判断,利益的衡量同样是无比复杂的操作。如果像行为规制者宣称的那样,行为规制是回归到个案的利益衡量和判断,那么司法案件对行为正当性的判断范式应该将多重利益(包括公共利益、消费者利益、经营者利益甚至是市场其他参与者的竞争利益)考虑进来,然而这无法解释为何如此多的数据爬取案件几乎都倒向了一个结果——法院判决维护互联网经营者的数据利益,数据爬取者常常败诉,从“大众点评诉爱帮网案”“大众点评诉百度地图案”“微博诉饭友APP案”“微博诉脉脉案”等耳熟能详的案例都可以窥见法院从始至终的态度。
(二)数据赋权保护的实用主义后果再审视
反对数据确权的观点有很多,最大的担忧在于其可能加剧数据垄断,妨碍数据流通。[10]公地悲剧带来的直接结果是资源被滥用,而反公地悲剧则会造成产权人太多且相互制约的局面,导致对于稀缺资源利用不足,经济发展陷入僵局。但所有对后果的考量都应该建立在限度之上,抛开行为规制和赋权保护的强度不谈而对后果一概而论显然过于武断。
行为规制的核心在于判断数据爬取行为是否“正当”,但如果对“不正当”行为采用严格界定的方法,同样能够起到类似于权利保护的效果。[11]如《反不正当竞争法(修订草案征求意见稿)》第十八条,将保护对象限定于“经营者依法收集、具有商业价值并采取相应技术管理措施的商业数据”,“采取相应技术管理措施”显得态度十分模糊,是否采取了相应措施包括ID、密码等认证技术或者反爬虫等技术壁垒,就等于权利人宣告了对于处于保护措施之下的数据权利。[12]如果这样理解,那么平台就可以通过层层技术壁垒对平台数据加码,简单的数据爬取都可能侵害到平台的技术措施,从而便轻易地将不符合自己意志的爬取行为宣布为违法,在这个意义上来说,这种行为规制可能会比有限权利保护的做法更加激进。
在赋权道路上,即使是主张权利保护的学者,在排他权上的设计上也强调并非所有权式的完全排他,如提出在数据上建立有限排他权,这只是一种最低限度的保护。从这个角度来看,可能会减少一些对数据赋权的误解,即认为赋权之后会给予权利主体过强的排他性保护,从而导致数据流通和利用困难,与互联网共享经济的底层逻辑不符,如上文分析,所有对数据赋权这样后果主义的指摘都可以适用到行为规制本身,因为行为规制也可以提供对数据的更强保护,那种认为财产规则一定比责任规则保护程度更高的看法也有失偏颇。
(三)小结
数据赋权进路和行为规制进路的核心分歧其实并不像被广泛认为的那样——赋权会引发对数据权利的过度保护,而行为规制作为一种更灵活的手段能够对实际权益进行衡量与比较,单纯从后果主义的角度来讲两者并没有像双方支持者所攻击的那样泾渭分明。数据赋权与行为规制并非截然对立,存在可以调和的空间,赋权也并非提供一揽子界权方案,也需要在场景和数据类型之下进行精细化的规则设计。本文坚持的立场是认为数据赋权和行为规制可以得到统合,但是最终规则的表现形式仍然是数据产权规则,在基于数据特性的基础上进行权利保护和权利限制的设计,需要衡量利益天平的两端,数据赋权的前提是清晰的界权。但是本文在路径上试图跳出自上而下的权利规范设计,将数据赋权的权利视角转向霍菲尔德(Wesley Newcomb Hohfeld)式的关系视角,自下而上地或者说从一个经验视角并且借助霍菲尔德权利关系理论,在数据分级分类的基础上,细化数据来源者、数据爬取方与数据被爬取方的关系,最终为数据权属的界定提供思路。
二、转向关系视角的数据权属界定
事实上,数据赋权和行为规制模式并不冲突,可以并行不悖。没有脱离场景与数据类型的数据赋权,绕开对数据权益确认的行为规制也是一种妄想。赋权模式在于将权利边界以规范的形式确定下来以实现形式正义,行为规制在于对实时利益的衡量以期实现实质正义,从权利保护的角度来看,数据产权制度的构建有其必要性,但也需要对于不同类型的数据予以区分对待,避免对数据的过度保护影响公共利益。[13]
(一)数据赋权与行为规制的统合
单纯的行为规制尽管避免了“数据权属到底归谁”的逻辑辩驳,将关注重点转向对不规范行为的控制,转向更为具体的流程设计,能够兼顾多方利益的妥帖平衡。[14]它们在一定程度上排斥了自上而下的规则设计,但是行为规制进路最大的问题是它所引发的难题就如它所解决的难题一样多,这一进路在消解权利的同时也消解了规则[15],不论是场景决定论还是行为规制,都依赖于高度的市场整合,但在各方主体利益可能发生冲突的情况下,个案或者某种类型的规范设计无法发挥数据权属规则对于现在以及未来发生的复杂数据纠纷的统领功能。
而目前的数据赋权论主张,不论是既有规范的扩张适用还是新型权利的建构,大多从权利割裂的角度出发,然后再加以组合,但是每个权利的内容和边界并不十分清楚,以及在各方发生利益冲突时何以解决未能达成一致。各种权利方案的设计,在解释权利归属方面仅仅提供了一个很模糊的框架。借助于传统法理,学者们寻求各种变通,但是仍然面临解释论上的牵强。数据财产概念相对复杂,涉及多方主体,可以预想到司法判决也无法避免碎片化。
本文认为,数据确权之所以陷入困境是因为目前的确权方案大多是自上而下的赋权设计,是一种规范视角的建构,并没有深入到司法实践和市场要素中考察。[16]本文从司法纠纷出发,基于一种经验视角,将研究目光转向数据财产主体的“关系”建构上。问题之所以被复杂化,或许是因为人们没有意识到研究的终极目标是厘清数据权益的边界,这一步并非一定通过自上而下的规范确权建构,可以通过自下而上的反向权利集合摸索。在数据财产纠纷中,往往涉及用户、平台运营商和第三方平台的法律关系之辨,从“权利”到“关系”的转变,实际上只是视角发生了变化,最终的目标还是导向数据产权制度的构建,但这有赖于更多关于数据保护的共识。相较于“权利”导向,“关系”导向无须回应权利证成的问题,更无须回答“数据到底属于谁”的终极问题,但仍可解决不同主体之间的纠纷,并最终累积起关于主体间法律关系的共识。