韩旭至
华东政法大学法律学院副教授
2022年末《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)出台,直接影响了2023年中国数据治理的理论与实际。本文将先从整体上对中国数据基础制度的变革进行观察,然后参照“数据二十条”的分类,分别从公共数据、企业数据、个人信息的角度对数据治理的典型事件进行分析。综合制度价值、理论价值与社会影响,特此选取了国家数据局成立、首例“公共数据特许经营权”交易暂停事件、人民法院案例库建设启动、《企业数据资源相关会计处理暂行规定》出台、各地多起“首例数据权益登记”、《未成年人网络保护条例》设立个人信息保护专章、《苏州大学学报(法学版)》被诉个人信息侵权事件等典型事件作为观察对象。
一、自上而下的数据基础制度先行先试改革
2023年9月2日,习近平总书记在中国国际服务贸易交易会全球服务贸易峰会致辞中指出:“要加快培育服务贸易数字化新动能,推动数据基础制度先行先试改革,促进数字贸易改革创新发展”。当前,自上而下的数据基础制度先行先试改革已经在国家与地方两个层面展开。
(一)数据治理的中国立场与顶层设计
数据治理服务于建设数字中国、赋能经济提质增效的目标。2023年2月27日,中共中央、国务院印发《数字中国建设整体布局规划》指出,2025年要实现“数字基础设施高效联通,数据资源规模和质量加快提升,数据要素价值有效释放,数字经济发展质量效益大幅增强”的目标,数字中国建设要以数字基础设施和数据资源体系作为“两大基础”,“增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系”,“积极参与数据跨境流动等相关国际规则构建”。同时,数据治理常常也是数字治理的核心关切。2023年5月25日,外交部发布《中国关于全球数字治理有关问题的立场》(就制定“全球数字契约”向联合国提交的意见)即明确将“保护数据”作为一项具体建议。
国家数据局成立更是标志着数据治理体制机制的重要突破。2023年3月7日,中共中央、国务院印发《党和国家机构改革方案》,部署组建国家数据局。10月25日,国家数据局正式揭牌,“负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等”。国家数据局由国家发展和改革委员会管理,本身即侧面表明了数据治理服务于赋能经济提质增效的目标。实际上,国家数据局的工作计划也致力于充分释放数据要素价值。2023年12月15日,国家数据局发布《“数据要素×”三年行动计划(2024—2026年)(征求意见稿)》。2024年1月4日,前述计划正式通过并发布,提出在工业制造、现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市治理、绿色低碳领域中,“推动发挥数据要素乘数效应”。
结合以上观察,未来我国数据治理的顶层设计至少还应从以下四个方面着力:
第一,应兼顾发展与安全,在数字治理中平衡多元利益。数字治理既包括治理数据与数字技术,也包括利用数据和数字技术进行治理。制度设计不能一味强调为数字经济保驾护航,更不能将数字化治理与良法善治画等号。必须警惕数字权力,防止治理异化。例如,通过对近年来“码治理”的反思,应进一步依法约束公共部门处理个人信息、归集公共数据的行为。重新检视大数据监督、大数据执法、数字孪生等工程,将数字治理纳入法治轨道。
第二,应通过立法的形式尽快明晰数据权属。当前数据权属的立法暂被搁置。2023年9月7日,十四届全国人大常委会立法规划十四届全国人大常委会立法规划将数据权属立法列入“立法条件尚不完全具备、需要继续研究论证”的类目。然而,“数据确权基础制度构建的目标在于明晰数据权利,构筑数字经济发展和数字治理的基础”。数据确权虽然争议较大,涉及多元利益主体,且完全不同于物理时空固态的权利运行规律;但若放弃在法律上明确数据权属,数据流通的合法性难题将无从破解,数据交易之上悬着的“达摩克里斯之剑”将阻碍赋能经济提质增效目标的实现。“数据二十条”关于数据资源持有权、数据加工使用权、数据产品经营权的政策话语需要进一步转换为学术话语、法律术语。
第三,应通过职权法定的形式明确各部门职能。国家数据局是、国家网信部门、工业和信息化部等多个主管部门在其职能范围内承担数据治理的任务。其中,有观点认为国家数据局在数据治理中起主导地位,也有观点认为事实上形成了“三元协同治理格局”。“九龙治水”的格局在数据治理中再次重现。对此,法律应明确规定各个领域的统筹协调部门。例如,《个人信息保护法》第69条即明确了国家网信部门的职权。十四届全国人大常委会立法规划已经将《数字经济促进法》列入“抓紧工作、条件成熟时提请审议的法律草案”类目,国家数据局统筹数据资源利用的职权应在该立法中予以明确。
第四,应理顺数据治理的央地关系。国家数据局成立之前,不少地方已经设立了数据管理机构。但这些地方数据管理机构的组织形态和职责配置各不相同,有学者将之类型化为数据综合治理型、数字政府建设引领型、数字经济发展驱动型三种模式。具体来看,部分地方的大数据管理机构设置为事业单位,设置为行政机关的地方数据关机机构职能也难以与国家数据局一一对应。对此,应尽快建立国家与地方数据管理机构的联系,完善数据管理职能的纵向分工。
(二)地方数据政策与立法的密集出台
地方数据政策与立法已经形成了“点—线—面”全面铺开的态势。
一是“摸着石头过河”的区域性试点、示范的已经引起了一定关注。2023年7月《上海市促进浦东新区数据流通交易若干规定(草案)》,规定了“数据三权”的权属认定、行为规范与授权方式,并明确界定了数据产权人、可交易数据产权的范围。2023年11月北京市设立了全国首个数据基础制度先行区,北京市经济和信息化局发布了《北京数据基础制度先行区政策清单》。
二是沿着“数据二十条”、企业数据官制度、数字政府等若干重要线索,各地展开了丰富的制度实践。首先,数据要素配置的地方政策文件代表有2023年4月《武汉市数据要素市场化配置改革三年行动计划(2023-2025年)》、2023年4月《2023年河南省大数据产业发展工作方案》,2023年5月甘肃《关于促进数据要素市场发展的实施意见》、2023年6月北京《关于更好发挥数据要素作用进一步加快发展数字经济的实施意见》、2023年9月《福建省加快推进数据要素市场化改革实施方案》、2023年11月《关于更好发挥数据要素作用推动广州高质量发展的实施意见》,这些文件均以数字经济建设为中心。其次,数字政府建设的地方政策文件代表有2023年5月《河南省加强数字政府建设实施方案(2023—2025年)》、2023年6月广州《关于进一步深化数字政府改革建设的实施意见》,这些文件均以数字安全建设为重点关切。最后,企业数据官制度的地方性文件代表有2023年5月《四川省企业首席数据官制度建设指南(试行)(征求意见稿)》、2023年7月浙江《企业首席数据官制度建设指南(试行)》,这些文件均强调引导用数据赋能经济发展。
三是以地方的数据条例为代表的政策与立法已经大面积推出,形成地方先行先试、“地方包围中央”的制度实践。2023年7月《广州市数据条例(征求意见稿)》、2023年11月《江西省数据应用条例》、2023年12月《吉林省大数据条例》(修订)先后出台,对数据基础设施、数据资源利用、数据要素市场、数据应用、数据安全等方面进行了规定。2021年至2022年期间,深圳、上海、重庆、陕西、四川、苏州、厦门、吉林等地均出台了相关“数据条例”。
由此可见,我国数据地方政策与立法的逐渐完善,国家法律明显滞后。对于数据产权、数据交易流通机制、数据要素收益分配机制,各地方已经形成的大量规范性文件。这些地方立法和政策,对众多争议较大问题进行了突破性、开创性的规定。例如,前述《上海市促进浦东新区数据流通交易若干规定(草案)》对“数据三权”的规定、《福建省加快推进数据要素市场化改革实施方案》对“公共数据开发有偿使用机制”的规定、《关于更好发挥数据要素作用推动广州高质量发展的实施意见》对“建立数据要素型企业对接资本市场服务机制”的规定等。然而,这些地方实践绝大多数依据的是以“数据二十条”为代表的国家政策,缺乏必要的法律支撑。近年来先后出台的“网络四法”(《电子商务法》《网络安全法》《个人信息保护法》《数据安全法》),尚远不足以支撑地方数据治理的实践创新。这在一定程度上也表明了,自上而下的制度设计与自下而上的运行规律存在一定脱节。
缺乏必要的法律依据,直接引发了地方先行先试改革的合宪性风险。这也是部分地方立法草案暂被搁置、未能提交审议的重要原因。例如,在数据确权的问题上,虽然许多地方通过对数据资源利用规范回避了数据权属问题,但仍有部分地方试图在地方制度实践中进行数据确权。有学者即指出,我国“地方立法策略已表现出明显的数据确权倾向”。当前,福建、贵州、重庆、山西等地已明确将政务数据属性界定为国家所有,《广西政务数据资源调度管理办法》第4条甚至规定“自治区党委、自治区人民政府依法拥有关系政务数据的所有权”。这些规定均应当尽快废止。首先,数据资源不是自然资源,无法根据《宪法》第9条论证国家所有权。其次,数据权属系基本经济制度的范畴,属于法律保留的事项,根据《立法法》第11条只能制定法律。最后,地方立法和政策中对数据权属进行直接规定,亦不符合《民法典》第116条物权法定原则。地方的制度设计必须不与上位法相抵触,充分重视合宪性、合法性问题。
二、从开放到利用:公共数据治理的焦点转换
公共数据治理不仅仅聚焦于简单的开放共享,而强调进一步利用、激活公共数据的价值。公共数据授权运营被认为是数据开放的一种重要形式。然而,直接利用公共数据“变现”的“数据财政”存在一定争议。此外,司法案例数据库开放也属于公共数据开放的范畴,随着裁判文书上网是式微与人民法院案例库建设的推出,司法大数据的利用亦引起了广泛关注。
(一)公共数据授权运营的探索与反思
一方面,公共数据授权运营的制度规范逐渐完善。2023年4月《广州市公共数据开放管理办法》、2023年9月《杭州市公共数据授权运营实施方案(试行)》、2023年11月《公共数据授权运营平台技术要求》团体标准、2023年12月《北京市公共数据专区授权运营管理办法(试行)》、2023年12月《青岛市公共数据管理办法》等文件先后出台。截止至2023年末,除包括西藏在内的少数地区外,全国绝大多数省、直辖市、自治区基本上都发布有以公共数据为名的地方性法规或规范性文件。
另一方面,部分地方存在“数据财政”的冲动,积极推动公共数据授权运营。其中,湖南省衡阳市发生的首例“政务数据特许经营权”交易暂停事件,引起了广泛关注。2023年11月10日,衡阳市公共资源交易中心发布公告,以网上竞价的方式出让“衡阳市政务数据资源和智慧城市特许经营权出让项目”,挂牌底价为18.02亿元;11月15日,该中心再度发布公告,表示暂停该交易活动,由此引起社会热议。与之类似的是,部分地方政府将公共数据或政务数据直接变现的冲动较为明显,甚至直接提出了“数据财政”。例如,2023年7月13日,《长沙市政务数据运营暂行管理办法(征求意见稿)》中明确提出“增加政府财政收入”是政务数据运营的目的之一。2023年12月18日,由珠海市香洲区数字金融中心研发的公共数据产品在广州数据交易所挂牌交易成功,广州数据交易所称之为“积极探索‘数据财政’新路径”。
公共数据授权运营的探索首先应解决公共数据范畴的模糊性问题。地方立法中使用的公共数据概念远大于《数据安全法》中的政务数据概念。公共数据通常被定义为“公共机构在履行公共管理和公共服务过程中所形成的数据。”公用事业机构和公益事业机构产生的数据也属于公共数据的范畴。因此,公共数据本身即包含有企业数据和个人数据。问题在于,这些数据是根据什么要素而具有了公共属性并不明确。公共机构掌握数据或数据被用于各种公共管理用途本身并不能直接赋予数据公共性。公共性不是个体利益的简单相加,而是个体利益冲突时需要的上位概念。公共数据应根据收集主题、目的、依据、经费来源来判断其公共性。公共数据的概念应严格限于由公共机构履行职责过程中形成的具有公共性的数据。
其次,包括公共数据授权运营在内的一切公共数据利用都应当充分重视公共数据归集的风险。2022年的“河南村镇银行储户被赋红码事件”已经展现了公共数据滥用的风险。前述广州数据交易探索“数据财政”案例所交易的标的为“贷后预警报告(社保维度监控)”,也必然涉及隐私风险防控的问题。有学者即指出,地方行政权力主导下的公共数据归集也蕴含了“以隐私换便捷” 的逻辑。然而,一旦数据被滥用,将极大地破坏个人对政府的信任。这一信任关系本身,应成为公共数据开放共享的基础。因此,必须为公共数据利用“提供一个可以信赖的制度环境”。以美国的历史经验为例,在“水门事件”之后,群众对美国政府的信任降至冰点。为了重建信任,美国出台了1974年《隐私法》,严格禁止联邦部门共享数据。虽然我国《个人信息保护法》第2章第3节专门规定了国家机关处理个人信息的特别规定,然而这些规定过于笼统且无法应对公共数据归集的风险。对此,应尽快推进构建国家机关处理个人信息、企业信息的法律制度,在公共数据处理中引入必要性原则,通过比例原则衡量公共数据处理的必要性,加强数据安全保障,在分级分类管理、权责法定原则之下明确数据调用权限。
再次,公共数据授权运营收费及相关定价机制的应具有合理性。支持公共数据授权运营收取费用的观点认为:(1)“数据二十条” 提出的“探索用于产业发展、行业发展的公共数据有条件有偿使用”,是收费的政策依据;(2)收费可以补充公共财政;(3)应通过收费填补公共数据的管理运营的成本;(4)可以通过收费获取数据增值利益;(5)收费可以刺激公共数据资源开发。然而,从前述衡阳“政务数据特许经营权”交易暂停事件可见,公共数据可被定为“天价”,进而“创造”出收益。这不难让人疑惑,最终是谁在为这些公共数据支付对价。笔者赞同“个别化归属”理论,对于一般性的公共数据使用不宜收费,仅针对不具有公益性的商业使用按市场规则运营。商业使用收费的原因不在于“数据财政”和运营成本填补,而在于公共资金不应针对私人利益进行支出。
最后,合法性是公共数据授权运营的前提条件。衡阳“政务数据特许经营权”交易暂停事件的重要背景是,《衡阳市政务数据共享开放管理办法》第2条第2款规定,“数据权属归政府所有,衡阳市人民政府授权数据归口的职能部门履行管理职能,在依法依规和保障安全的前提下,以特许经营方式授权衡阳市发展投资集团有限公司开发运营。”前文已述,公共数据权属的规定有违上位法。此外,指定某家特定的国有企业进行运营是垄断行为,亦有违设定特许经营的竞争性原则。国家市场监管总局等五部门出台的《公平竞争审查制度实施细则》第13条第2款明确规定“未经公平竞争不得授予经营者特许经营权”。国家发改委等六部门发布的《基础设施和公用事业特许经营管理办法》第15条、国务院颁发的《关于在市场体系建设中建立公平竞争审查制度的意见》均指出,要以竞争性的方式选择特许经营者。
总的来说,公共数据利用的重点应在于激活数据价值,而不能简单粗暴地搞“数据财政”。公共数据重在流动性而非控制性,政府无权垄断公共数据,公共数据开放是数字社会中政府应当提供的一项公共服务。有学者即指出,公共数据的定义对应的是向社会开放相关数据的义务。在相关学术研讨上,更有学者提出:“公共数据取之于民,应该用之于民、惠之于民,不应高价卖之于民”。实际上,公共数据授权运营只是对高风险、高价值的数据进行商业利用时采取的一种模式,不应也不能替代直接开放的模式。
(二)司法案例库建设的变革及其隐忧
司法数据系司法机关在履行职责过程中收集和产生的数据,属于公共数据的范畴。自2013年中国裁判文书网开通以来,中国裁判文书网即是司法公开的重要窗口,也是公众批量检索、获取司法数据的唯一途径。然而,近年来裁判文书上网呈现出断崖式下跌的趋势。据最高人民法院统计,裁判文书网公开的文书2020年为1920万件,2021年为1490万件,2022年为1040万件;2023年1月-12月22日,上网文书数量仅为511万件。在这一背景下,2023年最高人民法院决定建设人民法院案例库,引起法学界的广泛关注。2023年8月,最高人民法院印发《关于建设人民法院案例库的通知》,11月又印发《关于加快推进人民法院案例库建设的通知》。结合裁判文书上网数量的锐减,这一举措引发了公众关于“裁判文书转内网”的担忧,有学者发文呼吁最高人民法院继续推动裁判文书上网的工作。
2023年12月22日,最高人民法院发布《关于征集人民法院案例库参考案例的公告》面向社会开展参考案例征集工作。公告指出,“经过三个多月的努力,人民法院案例库已收录2000余件参考案例,包括刑事案例500余件、民事案例1200余件、行政案例200余件以及部分国家赔偿、执行案例”。同时,最高人民法院相关部门负责人在答记者问(以下简称“答记者问”)中表示:案例库建成后,法院审理案件,必须查阅案例库,以避免“同案不同判”;“案例库建成后,当然要向包括专家学者、律师、当事人等在内的社会公众开放”。 相较于裁判文书网,案例库的特点和优势在于:(1)“体例规范,要素齐全,便于精准检索”;(2)“规范报送,严格审核,具有权威性和指导性”;(3)“统筹规划,全面覆盖,回应司法需求”。针对裁判文书上网数量大幅下降的问题,最高人民法院相关部门负责人指出:裁判文书网在使用效果、权利保护、安全风险三个方面均存在问题;案例库与裁判文书网,“二者是互为补充、相得益彰的关系,并不是要以库代网、此开彼关”;此外,“‘公开’与‘公布’不能划等号,司法公开并不意味着所有司法信息都要在互联网上发布”。
然而,“答记者问”并没有能够很好地回应法学界对司法数据垄断的忧虑,裁判文书网的“三个问题”都不是大幅度减少文书上网的理由。
第一,针对使用效果问题,裁判文书网的响应速度长期被诟病,应该做的是增强系统的稳健性以及检索的便捷度。对于所谓“标准不统一”“权威度不够”问题,属于裁判文书使用的问题,与裁判文书网本身无关,可以通过使用公报案例、典型案例解决,也可以证成案例库建设的必要,但无法构成裁判文书不上网的原因。我国并非判例法国家,裁判文书对未来的裁判本身并不具有拘束力,这无法构成减少裁判文书上网的理由。
第二,针对权利保护问题,裁判文上网中的个人隐私、个人信息、商业秘密保护在裁判文书上网制度推行之处已被注意到。2013年《最高人民法院裁判文书上网公布暂行办法》、2016年《最高人民法院关于人民法院在互联网公布裁判文书的规定》均明确了部分不以上网的例外情形,以及特定情形中需要对裁判文书中的信息进行匿名、删除。部分法院在文书上网的工作中确实存在不加区分、未对文书进行处理即上网的现象。对此,应进一步规范文书上网工作,而非因噎废食。裁判文书上网应对在坚持司法公开的同时,坚持保护个人、企业的合法权益。此外,“答记者问”将“域外许多国家”基层法院文书不上网作为权利保护问题的论据之一,更是不妥。域外文书是否上网与我国裁判文书上网中的权利保护问题没有必然联系。事实上,我国香港地区早已实现全部裁判文书的上网,通过Lexis数据库即可查询到美国基层法院的判决。
第三,针对安全风险问题,或许是裁判文书上网严重倒退的核心原因。对第三方爬取裁判文书网数据的担忧,实际上是司法机关对数据垄断权丧失的忧虑。司法数据系公共数据,司法机关并不拥有裁判文书数据的“所有权”。接受社会监督,本身就是司法公开的目标之一。针对上网文书的大数据分析近年来产生了重要影响。一方面是“铁链女”等舆情事件发酵后,部分群众自发通过挖掘裁判文书数据的方式进行监督;另一方面是检察机关通过爬起裁判文书数据,运用人工智能的辅助进行大数据法律监督。这些影响恰恰体现了司法公开的运行效果,不能也不应成为司法机关减少或限制裁判文书上网的理由。若担心商业机构的数据爬取问题,则一是可以在robots协议中作反爬虫声明,二是可加强验证码校验等技术反爬虫措施。对于合理的批量下载请求,系统应予以响应。
第四,“公开不等于公布”的论断属于偷换概念。当然,公开审理、庭审直播、裁判文书上网等不同形式公开内容与要求各不相同。但司法公开并不存在公开不公布,也不存在公布不公开。若认为“内部公开”而不向社会公布也属于司法公开,则纯粹是偷换概念的文字游戏,且展现出一种可能导致严重违法的危险认识。例如,当事人及其代理人查阅案卷内容属于程序性权利,不是司法公开的范畴。司法公开是法律明确要求,具有明确的内涵。《宪法》第130条规定了公开审判原则。《法院组织法》明确规定了“人民法院实行司法公开”(第7条);“审判委员会讨论案件的决定及其理由应当在裁判文书中公开”(第39条第3款);“公开宣告判决”(第80条)。运用信息技术促进司法公开,更是《法院组织法》第58条的明确要求。同时,三大诉讼法均对公开审判原则均进行规定。《行政诉讼法》第56条即规定了人民法院应对公开裁判文书供公众查阅。由此可见,法律意义上的公开对应的就是公布。
总的来说,案例库建设并不能构成裁判文书上网数量断崖式下跌的理由,未来也不应当将裁判文书网建设成案例库性质的网站。正如“答记者问”所言,“二者是互为补充、相得益彰的关系”。裁判文书上网对司法公开具有举足轻重的意义。据最高人民法院统计,“截至2024年1月9日,中国裁判文书网文书总量超过1.4亿,访问总量超过1084.7亿”。2024年1月15日,最高人民法院在《加大裁判文书上网力度》一文中指出,“具有法治引领、教育、警示作用的文书,都应当上网;最高法、高级法院的文书,要更多地上网;上网文书数量应当保持相当规模,并应当覆盖各审判领域、多种案件类型”。这一表态虽然有利于推动裁判文书上网,但也存在将采裁判文书网建设与案例库建设混同的危险。在司法公开的要求下,裁判文书上网应“应上尽上”,“以上网为原则,不上网为例外”,而非仅对特定“没有问题的”“有示范意义的”判决书上网。司法机关聚焦于司法数据利用建设案例库的同时必须坚持数据开放的基本要求。
三、从资源到资产:企业数据确权的初步尝试
数据要素价值被认为存在“资源化—资产化—资本化”的演进形态。随着国家数据入表的政策出台以及各地数据权益登记的实践,数据有望实现从资源到资产的跨越,数据权利的主体与内容边界也有望在其中得以明确。然而,这些措施尚未能直接实现数据确权,其实效亦有待实践检验。
(一)数据要素入表的制度构建
“数据二十条”提出,“探索数据资产入表新模式”。对此,2023年8月1日,财政部《企业数据资源相关会计处理暂行规定》迈出了数据要素入表的第一步。该规定指出,“企业使用的数据资源,符合《企业会计准则第6号——无形资产》规定的定义和确认条件的,应当确认为无形资产……企业日常活动中持有、最终目的用于出售的数据资源,符合《企业会计准则第1号——存货》规定的定义和确认条件的,应当确认为存货。”2023年12月31日,财政部印发《关于加强数据资产管理的指导意见》(该规定2024年1月11日在财政部官网发布)提出,坚持确保安全与合规利用相结合、坚持权利分置与赋能增值相结合、坚持分类分级与平等保护相结合、坚持有效市场与有为政府相结合、坚持创新方式与试点先行相结合的基本原则。针对数据产权问题,该指导意见表示,“保护各类主体在依法收集、生成、存储、管理数据资产过程中的相关权益”;“落实数据资源持有权、数据加工使用权和数据产品经营权权利分置要求,加快构建分类科学的数据资产产权体系”。
通过数据要素入表的实践,数据要素实现了从资源到资产的升级。2023年9月8日,在财政部指导下,中国资产评估协会印发《数据资产评估指导意见》。该指导意见第2条对数据资产进行了定义指出,“数据资产,是指特定主体合法拥有或者控制的,能进行货币计量的,且能带来直接或者间接经济利益的数据资源”。此外,该指导意见对数据资产的评估对象、操作要求、评估方法和披露要求也进行了规定。2023年11月5日,浙江省《数据资产确认工作指南》推荐性地方标准发布。其中,第3.2条指出,数据资产是“组织过去的交易或事项形成的,由组织合法拥有或控制的,为组织带来经济价值的数据资源”。2023年11月26日,上海数据交易所发布《数据资产通证化上海路线图》,表示要“让数据资产像股票一样”,进一步实现数据资产到资本的升级。
数据要素入表是在会计上对数据经济价值的肯定,具有重要意义。有学者认为,数据要素入表意味着对从“数据管理”“数据治理”迈向“数据资产管理”。数据入表有利于数据要素市场培育和数据要素流动。在数字经济中,数据要素入表无疑又是数据交易的重要基础,是数据资产证券化、征收数字税的前提条件。
数据要素入表的首当其冲的就是要准确识别数据资产。财政部资产管理司有关负责人在印发《关于加强数据资产管理的指导意见》答记者问中指出,“当前,数据要素、数据资源、数据资产、数据产品等概念使用较为混乱,存在不规范、不统一问题”。数据要素指向的是数据对于社会经济生产所具有的核心价值。理论上一般认为,“数据资源指企业可接触到的一切数据,往往具有实时性、碎片化特征;而数据资产往往是在数据资源的基础上进行加工而形成的,其侧重于数据的可控制、可计量、可使用的特征”。借鉴国际财务报告准则(IFRS)概念框架,数据资产强调的是主体通过对数据资源的控制而可能获得的且能可靠计量的经济利益。数据产品则是指向数据资源加工后所形成的用于交易、流通的数据包、数据库、数据分析产品等。数据产品有可能是开放性的,其并不必然强调排他性,因此不一定能为企业带来他人所不能获得的收益,不能直接等同于成为数据资产。
值得注意的是,要素入表虽然与数据确权密不可分,但无法直接实现数据确权。2023年11月27日财政部会计司在《企业数据资源相关会计处理暂行规定》专题讲解中表示,“企业对于数据的直接交易以及会计量存货的判断一定程度上受限于数据权属规则”。我国数据入表仍遵循“数据二十条”的“三权分置”思路。《关于加强数据资产管理的指导意见》即要求,“明晰数据资产权责关系……落实数据资源持有权、数据加工使用权和数据产品经营权权利分置要求,加快构建分类科学的数据资产产权体系”。然而,“数据三权”作为政策语言无法直接转译为法律权利且存在一定的内在矛盾。一是“数据三权”的内涵并不清晰,其对应的客体似乎能够互换。即也可能存在数据资源使用权、数据产品持有权、数据资源加工使用权等。二是数据要素作为资本与土地并不相同,数据不能直接出让且可被复制,物权、债权、知识产权的传统权利体系难以直接被套用在数据之上。数据不是法律意义上的物,实际上难以借鉴农村土地“三权分置”模式。数据要素入表的政策走在了法律的前面,若无法或难以在法律上确认企业所持有数据的合法性,则入表的政策可能难以真正发挥作用。也正因如此,当前产业界对数据要素入表并没有表现出强烈的兴趣或回应。数据要素入表制度构建的同时应继续培育、活跃数据要素市场。
(二)数据权益登记的多维展开
2023年在探索数据要素入表的同时,许多地方先后构建了数据权益登记制度、宣称完成了“首例数据权益登记”,其中至少包括数字要素登记、数据产权登记、数据信托登记、数据知识产权登记、数据公证登记等。
就据要素登记而言,2023年11月15日,贵州省大数据局印发《贵州省数据要素登记服务管理办法(试行)》。其中第13条规定,数据要素的具体登记内容包括:(1)数据要素名称;(2)数据要素类型;(3)数据要素适用场景;(4)数据要素实现方式;(5)其他应当予以登记的事项。
就数据产权登记而言,2023年2月20日,深圳市发展和改革委员会发布《深圳市数据产权登记管理暂行办法》(征求意见稿),2023年6月15日,该办法通过并印发。其中第13条指出,“数据产权登记以一项数据资源或数据产品为登记单位,每个登记单位拥有唯一的登记编号”。同时,根据该办法第7条,登记主体的权利为:(1)“对合法取得的数据资源或数据产品享有相应的数据资源持有、数据加工使用和数据产品经营等相关权利”;(2)“经登记机构审核后获取的数据资源或数据产品登记证书、数据资源许可凭证,可作为数据交易、融资抵押、数据资产入表、会计核算、争议仲裁的依据”。
就数据信托登记而言,2023年11月15日,《贵州省数据要素登记服务管理办法(试行)》指出,数据要素可办理信托登记。该办法第29条规定,“信托登记是指登记主体对参与数据信托活动的委托方、受托方、委托标的、委托场景等内容进行登记的行为……通过信托登记,信托双方获得数据信托登记凭证、数据用益凭证”。
就数据知识产权登记而言,2023年9月4日,广东知识产权保护中心根据《广东省数据知识产权登记服务指引(暂行)》,在“广东省数据知识产权登记平台”上,为广东联合电子服务股份有限公司的“广东省高速公路车流量短期预测数据”颁发首张“数据知识产权登记证书”。相关登记平台依托司法联盟链legalXchain建设,致力于有效实现数据知识产权的登记和存证。
就数据公证登记而言,2023年8月21日,江西省南昌市赣江公证处与浙江数秦科技有限公司合作,通过江西省数据资源登记平台完成全国首例数据资源公证登记。该登记平台同样使用了区块链技术,“为数据登记者、处理者提供审核、存证、确权、登记、出证全流程服务”。
由以上观察可见,我国已经出现了数据登记的“潮涌”现象。数据登记的核心功能在于提供了信任。登记具有公示公信力,通过登记确定数据权利的归属和内容,可有效降低数据交易的信息成本。然而,当前数据流通中数据登记的功能并不显著,登记机关、登记标的、登记效力等问题仍有待厘清。
第一,数据登记机关有待统一。各地区、各部门纷纷开展“锦标赛式”的数据登记实践,积极抢占“全国第一”的“政绩”。由此侧面展现了数据登记的“部门立法”雏形。数据登记不应也不能成为地区、部门的利益之争。地方性的数据登记制度既削弱了数据登记的公信力,亦不利于全国统一大市场建设。有学者即指出,各地区、各部门的数据登记“仅是统一登记制度尚未建立之前的权宜之计,在实践经验充足之后,将数据产权登记业务统一交由国家数据局的下设机构负责应是合理的制度安排”。
第二,数据登记标的有待明确。各地数据登记的标的并不统一,从原始数据到衍生数据再到数据产品都可能成为登记标的。简单将数据本身作为登记的标的并不恰当。企业对未经清洗处理的原始数据并不存在受法律保护的财产性权益,也不能因登记而产生权利。数据产品则可以通过知识产权制度保护,其包含的著作权、商业秘密也不适用数据登记。企业数据登记的标的应是企业所合法持有的、具有受法律保护的利益的、结构化的数据集。相应地,数据登记簿应当载明数据的名称、数量与结构。数据的数量与结构发生变动的,应当作变更登记。
第三,数据登记效力有待规定。数据登记的实际运行中,出现了不掌握数据的部门热衷于数据登记创新,掌握数据的企业往往却并不积极进行登记的悖论。悖论形成的根源即在于数据登记效力不明。有学者主张,数据产权应采取登记生效主义,“以登记作为生效要件,未经登记的,不发生权利变动的效果”。另有学者主张,对于首次登记应采取登记对抗主义,未经登记不等对抗善意第三人;对于转移登记则采取登记生效主义。然而,无论是在何种阶段,登记生效主义的引入实际上将大大压缩场外交易的空间,最终将使得数据交易只能在交易机构中进行,进而可能阻碍数据流通。登记生效主义的问题还在于其难以回答企业对于合法持有的数据为何一定要登记才能行使权利。实践中,企业的数据数量时刻处于变动之中,更适合采取登记对抗主义。无论未来数据登记制度采取何种主义,均应当通过法律的形式明确规定。
四、从控制到平衡:个人信息保护的实践拓展
虽然基于“告知—同意”的“信息自决权”强调个人对信息的控制,但个人信息保护的制度设计并不以实现个人控制为核心,而更为关切信息处理活动中的利益平衡。就此,《个人信息保护法》第13条构建了7项个人信息处理的合法性基础。在类型化、场景化的保护中,更是体现了利益平衡的理念。就特定信息类型而言,未成年人个人信息与公开个人信息保护引起了较多关注,2023年《未成年人网络保护条例》专章保护未成年人个人信息,公开个人信息利用出现了若干典型案件。就特定处理场景而言,亦产生了众多案例。例如,2023年11月17日,北京三中院针对扫码点餐获取个人信息案件作出终审判决;2023年10月11日,中消协发布2023年第三季度消费维权舆情热点关注“扫码”数据安全;2023年4月4日,最高检在第四十二批指导性案例中针对执法信息采集中的个人信息保护提出建议;2023年11月18日,WPS承诺用户文档不会被用于人工智能训练等。由于类型化与场景化不能简单割裂,特定信息类型的保护实际上也需要放置在具体场景之中讨论,且碍于篇幅,该部分仅针对儿童个人信息保护与公开个人信息处理的重要事件进行观察。
(一)未成年人个人信息保护的重点关切
在2020年《未成年人保护法》修订所增加的“网络保护”专章的基础上,2023年10月24日,国务院发布了《未成年人网络保护条例》。该条例第四章为“个人信息网络保护”,对未成人身份信息核验机制(第31条)、必要个人信息范围限制(第32条)、教育引导未成年人增强个人信息保护意识和能力(第33条)、未成年人或者其监护人的查阅、复制、更正、补充、删除、请求转移的权利(第34条)、个人信息安全事件应急预案(第35条)、内部管理的最小授权原则(第36条)、个人信息合规审计报告制度(第37条)、未成年人私密信息保护措施(第38条)等内容进行了详细规定。
同时,在个人信息保护执法中,未成年人个人信息保护亦成为了部分地方的工作重点。例如,2023年8月,上海市委网信办会同行业主管部门面向从事少儿培训的130余家单位组织了个人信息保护普法培训。2023年9月,上海市委网信办、上海市市场监管局表示已“已依法约谈多家校外培训机构,要求运营主体全面整改,制定完善加强个人信息保护的内部管理制度,切实履行个人信息保护义务”;已立案处罚了一家违法情节严重的少儿外语培训企业。
观察可知,未成年人个人信息保护指向所有不满18周岁未成年的个人信息保护,并不局限于《个人信息保护法》中的儿童个人信息保护(未满14周岁未成年人的个人信息保护)。然而,《未成年人保护法》第72条、第73条依然是从儿童个人信息处理的监护人同意规则、未成年私密信息保护的角度对未成人个人信息保护进行规定。与之相比,《未成年人网络保护条例》并没有对儿童个人信息着墨过多,而是在整体上构建了未成年人个人信息保护的特殊规则。具体而言,未成年人个人信息保护必须从未成年人利益最大化原则出发,该原则为1989年联合国《儿童权利公约》第3条所规定;同时,要在重视未成年人脆弱性的同时尊重未成年人的自主性。
首先,身份信息核验机制的可靠性是未成年个人信息保护的首要问题。实践中,部分游戏平台仅通过身份证信息进行核验,未成年人使用公安部通缉令中的身份信息或失信被执行人身份信息进行登录游戏的现象层出不穷。部分平台使用人脸识别机制,未成年人通过让家长“拍个照”即可“破解”,不仅无效,且可能诱导未成年人做出不诚信行为。部分平台结合用户行为模式,通过智能算法,在监测到“异常活动”时启动双重或多重验证机制,一方面严重影响成年用户的体验,另一方面缺乏合法性基础的自动化决策本身又有违法处理个人信息的嫌疑。对此,可采取“形式的身份核验+实质的隐私设计”的路径,除司法、金融、医疗、教育等涉及个人重大权益的特殊事项外,放弃对身份核验的实质审查要求,仅要求平台作形式审查。与此同时,引入“自设计保护隐私”(Privacy by Design)的理念,要求平台在算法设计中充分体现未成年信息保护的要求。例如,有学者即主张“禁止商业性数字画像算法对未成年人的应用”。
其次,未成年人或其监护人的同意机制是未成年个人信息保护机制的核心。若对《个人信息保护法》第31条第1款作反对解释,则会得出未满14周岁未成年一律无法自行作出同意的结论。同时,对已满14周岁不满18周岁未成年是否均可独立作出同意,《个人信息保护法》并未直接给出答案。该问题又与同意是否意思表示,作出同意的行为是否法律行为的经典问题紧密相连。笔者认为,应将同意理解为一种特殊的民事行为能力,引入意思能力对未成年的同意进行判断。一是结合《民法典》第19条,已满8周岁不满14周岁的未成年可以针对与其年龄、智力相适应的信息处理行为作出同意。《儿童权利公约》第12条即指出,“缔约国应确保有主见能力的儿童有权对影响到其本人的一切事项自由发表自己的意见,对儿童的意见应按照其年龄和成熟程度给以适当的看待。”在“双层空间—虚实同构”的数字社会中,未成年人自幼年即有接入数字社会的需要,若一刀切地认为未满14周岁的未成年人无法作出同意,并不符合数字社会的生活逻辑。二是结合《民法典》第20条、第21条,已满14周岁但完全不能辨认自己行为或不能完全辨认自己行为的未成年人,无法单独作出同意。此外,若信息处理行为过于复杂,超出了未成年的理解能力,已满14周岁不满18周岁的未成年人亦不能单独作出同意。“超出了未成年的理解能力”的个人信息处理行为至少包括个性化服务场景、未成年人公开个人信息等。
最后,未成年个人信息保护的不能仅仅依赖民事诉讼,应采取“行政监督为主,诉讼监督为辅”的路径。虽然《个人信息保护法》第50条规定了个人的诉权,但个人维权能力有限,难以有效全面地监督个人信息处理者的行为。对此,需要在行政执法中继续加强未成年人个人信息保护。
(二)公开个人信息处理的争议及其回应
“法学期刊刊载公开个人信息研究论文被诉违法处理公开个人信息事件”引起了法学界的广泛关注。2023年5月18日,《苏州大学学报(法学版)》收到了伊某的来电以及电子邮件称,《公开的个人信息的认定与处理规则》一文在引用判决书内容时,注释部分未将其姓名作匿名化处理,构成对其权利的侵犯,要求该刊对已刊登的文章进行删除处理。杂志对伊某诉求不予认可。随后,伊某向虎丘法院起诉刊物主办单位苏州大学,法院于10月10日立案。2023年11月16日,杂志称已收到民事裁定书,准许原告伊某撤回对被告苏州大学的起诉。
在个人信息保护的典型案例中,公开个人信息处理的纠纷较为常见。2023年10月31日广东高院发布个人信息保护典型案例、2023年11月1日北京互联网法院通报个人信息保护案件审理情况并发布个典型案例中,分别均涉及已公开个人信息处理的案件。其中,广东高院通过“案例二‘梁某等与某科技公司网络侵权责任纠纷案’”指出,“互联网平台可以利用算法技术在合理范围内处理已经合法公开的个人信息,但应保证个人信息准确;因算法运行错误导致个人信息不准确、不完整的,个人有权要求互联网平台承担相应侵权责任”。北京互联网法院在“案例六‘王某与北京某科技有限公司人格权纠纷案’”中指出,“利用已公开个人信息有误导致受众混淆构成侵权”。
这些案件一方面涉及《个人信息保护法》第13条第1款第6项与第27条的解释,即自行公开与其他已合法公开中的利益平衡、对个人权益有重大影响的范围、合理范围的认定、明确拒绝的限制等问题;另一方面又涉及回应我国个人信息处理的合法性基础中缺失正当利益条款的问题。
第一,《个人信息保护法》关于公开个人信息处理的规定充分体现了个人信息保护的利益平衡逻辑。公开信息不仅承载了信息主体的利益,还承载了公共利益、第三人利益。法律将依法在在合理的范围内处理公开信息规定为个人信息处理的合法性基础之一,同时采取了“选择—退出”为主、“告知—同意”为辅的机制,这表明信息主体对公开个人信息的处理负有一定的容忍义务。只有当处理公开个人信息对个人权益有重大影响时,才需要事前取得个人同意。此处的“重大影响”应与《个人信息保护法》第55条第5项、第24条第2款中的“重大影响”内涵一致,即“因信息处理行为而遭受权利损害,如合同撤销、福利丧失等财产或身份待遇损失以及遭遇霸凌、嘲笑、恐吓或骚扰等精神损害,或者与此类似的其他重大不利影响”。
第二,在合理范围的认定上,主要有四种观点:一是初次公开目的说,《个人信息保护法》一审和二审稿均指出,“个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途”。虽然法律通过时被调整为“合理范围”的表述,但初次公开目的本身也可成为合理范围的判断标准。二是合理预期说,尤其强调对个人自行公开的信息应通过区分初次公开在限定范围内公开还是向不特定的人公开,以判断二次处理是否超越信息主体的合理期待。三是场景说表示,爬取与标签提取属于合理处理,画像与自动化决策不属于合理范围,关联分析应在个案中综合判断。四是结合说主张,“‘合理范围’的确立除了要考虑信息权人的合理预期和个人信息公开时的主要用途之外,还需要遵循合法性原则、比例原则和最小目的限定原则”。也有学者认为,应结合特定目的标准、场景标准、时间标准判定合理范围。笔者赞同结合说,单一标准无法在公开个人信息处理中实现动态的利益平衡。以裁判文书中的公开个人信息为例,若仅仅限于司法公开的目的或当事人的主观预期,则可能将大大阻碍裁判文书的二次合理利用。此外,为了进一步平衡已公开个人信息中的公共利益、第三人利益与个人权益,应对法律上规定的两类公开进行区分,结合初次公开与二次处理的具体情形分别判断处理个人自行公开与被他人合法公开其个人信息的合理范围。
第三,是否应基于利益平衡的理由,对公开个人信息处理的拒绝进行限制存在一定争议。有观点认为,“拒绝权制度适用于非自愿公开的个人信息时应予以适当限缩。”也有观点进一步指出,“事先拒绝应当理解为明确框定同意的范围,是否有效依意思表示解释规则为断;事后拒绝权不能被理解为任意撤回权;后续处理处于同意范围内的,信息主体无事后拒绝权。”然而,上述论断并不能完全让人信服。一是对拒绝权的限缩并不符合《个人信息保护法》的文义。二是从个人信息处理的合法性基础可见,同意与合理处理公开个人信息并列,不能简单将公开个人信息的拒绝与同意相对。《个人信息保护法》第14条之外并不存在一个宽泛的默示同意;即便将“选择—退出”解读为默示同意,也无法直接将之解读为意思表示。三是要求信息主体“向不特定人撤回同意”以反对任意撤回权并不现实,更为恰当的是要求信息处理者“提供有效的表意机制,未提供而个人未明示拒绝信息处理的,应视为默示拒绝。”四是,承认公开个人信息处理中的拒绝权并不会形成确立“被遗忘权”的后果,拒绝之后的删除仍然适用《个人信息保护法》第47条的限制。
第四,针对个人信息处理中正当利益条款缺失的问题,可引入《民法典》第998条以动态系统论的方法回应,也可依据《个人信息保护法》第5条诚信原则解决。前述“法学期刊刊载公开个人信息研究论文被诉违法处理公开个人信息事件”即涉及我国《个人信息保护法》第13条并未引入欧盟《通用数据保护条例》第6条的正当利益条款问题。对此,一方面,《民法典》第998 条要求侵害人格权的侵权责任应考虑行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素,可实现正当利益条款的功能;另一方面,法律原则具有填补法律漏洞的功能,诚信原则可以“提供一个灵活的平衡原则”。
五、结语
本文的观察仅仅是选取数据基础制度变革的角度,对公共数据、企业数据、个人信息的典型事件进行的分析,并无法涵盖数据治理的所有内容。数据治理所涉及问题极其广泛,不仅包括本文观察的公共数据授权运营、司法数据公开、数据资产入表、数据资源登记、儿童个人信息保护、公开个人信息处理,而且涵盖数据伦理、数据安全、数据交易、数据跨境等多个方面。其中,涉及的众多问题又与算法治理、平台治理关系密切,仍有待进一步研究。
整体而言,通过数据治理的典型事件梳理可知,我国数据基础制度建设呈现出爆发式增长的趋势,数据治理的中国模式已经初步形成。在中国特色的数据治理蓝图的擘画中,应当兼顾发展与安全,既要重视数据赋能经济提质增效,也要聚焦数据安全与信息保护。这就要求数据治理必须重视以下三个要素:一是重视法治资源,制度创新以合法性为前提,实践运行中重视解释适用既有的制度资源;二是保护个人权利,数据治理的最终目的应是为人服务,而非以数据为中心;三是尊重市场规律,在自生自发的数据行为规律基础上规范数据流通秩序。在此基础上,方可进一步完善中国特色的数据治理路径。
(本文原载《数字法学评论》2024年第1期)
专题统筹:秦前松
