欧洲数据经济潮流涌动,数据市场的完整性和专业性不断增强。繁复的数据运用和价值挖掘,使得以数据经营和利用为核心的利益关系更为复杂,传统法律框架已不足以实现良好的规范效果。作为一种新兴资产,以是否具有人格利益为标准,可以分为个人数据和非个人数据。虽然,已经发布的《非个人数据自由流动条例(提案)》对非个人数据自由流动作出了一定的制度安排,如废除欧盟各成员国的数据本地化(datalocalization)要求等。但该法案只是一个行为规范,并未就相关主体与其拥有的数据之间的法律关系进行明确的定性或赋权。此外,著作权、数据库权、商业秘密保护、合同机制等既有框架虽然能为数据主体之间的行为提供一定规范作用,但各有其不足,以致非个人数据保护依然缺乏完整有效的制度安排。年1月,欧盟委员会发布了有关建立欧洲数据经济的政府文件,明确了欧洲数字单一市场战略的三大目标,直指数据经济效益的充分发挥和内在协调。在这一背景下,欧洲就非个人数据和数据生产者权利展开研究,提出了新型数据产权,以规范市场和交易。
数据产权的历史背景
数据经济发展的法律诉求
数据已经不再是一座价值孤岛,而是与云计算,物联网,无人驾驶和人工智能等先进技术集群相联系,成为数字经济高速发展的驱动基础。数据市场结构的完整性和专业性不断增强,数据交易以前所未有的广度和深度发展着。数据使用遍布线上和线下的零售、旅游、通信、金融、医疗和公共部门等多个领域,从精准营销、智能决策和提升运营效率等多角度提升企业竞争力。此外,数据市场价值增长前景非常可期,年报告《建立欧盟数据经济》(BuildingtheEuropeanDataEconomy)指出,欧盟数据市场的价值在年约为亿欧元,相比年增长了9.5%,并预计在年将超过亿欧元。
年欧盟召开“数据驱动型经济交流会”,鼓励数据方面的创新性产品和服务,为欧盟在促进数据生态系统层面上的行动铺平了道路。年1月,欧盟委员会发布了有关建立欧洲数据经济的政府文件。作为欧洲数字单一市场战略(于年启动)的一部分,这批文件阐述了欧盟市场在数据经济的新环境下法律和监管框架的一般问题。其中提出三个主要目标:①最大限度发挥数据效益,便于对机器生成的数据的获取和共享;②保护投资,资产和机密数据,建立完善的投机和创新激励机制;③确保数据持有人,处理者和服务提供商在价值链内公平分享利益。
数据经济的发展不仅驱动了政策战略的改变,也为数据法律制度提出了新的诉求。对此,欧盟委员会认为,有利于数据交易发展的法律环境的缺失,可能导致大量数据库的可获取性降低,对数据市场参与者形成障碍,甚至导致不正当竞争。年9月,欧盟委员会发布了关于欧盟非个人数据自由流通框架的规定,其目的在于弥补GDPR在非个人数据领域的规范空白,避免各成员国的数据本地化限制,增强欧盟单一市场内非个人数据跨境流动性。引入“非个人数据”这一概念是为了保障数据具有充分的自由流动性、互操作性和可移植性,以促进欧洲经济的全球竞争力。在提案中,欧盟对非个人数据的定义采用了排除法,即GDPR第4条所规定的个人数据以外的数据。非个人数据主要有两种产生原因,其一是个人数据经过匿名化处理,其二是原本就是非个人数据(例如传感器收集的户外温度的波动数据)。GDPR对个人数据的处理做出了规定,是欧盟数据自由流通的基础,但GDPR并不涵盖非个人数据。对此,欧洲呼吁保护非个人数据的财产利益,为此设立数据产权,规范市场和交易。
现有保护框架的不足
(1)版权保护,对独创性要求较高。比如,英国修改后的版权、设计和专利法(Copyright,DesignsandPatentsAct),规定只有对具体内容的选择和编排达到最低限度的创造性标准(即显示作者个人智力创造性)时,数据才能受版权保护。但现实中,由于大多数数据是系统和设备自动收集,即使是系统内设了特定的选择机制甚至通过人工智能收集,其结果将只是对自然发生的事实的全面而客观的准确记录,难以满足“智力创造”的要求。
知识产权主要保护以独创性、新颖性和实用性等标准衡量的智力成果,其保护对象限于部分信息。数据中有很大一部分并非是智力劳动的产物,但依然值得作为数据价值周期内的宝贵资产加以保护。此外,知识产权虽然能为数据权利提供法律上的确定性,但其强势的保护方式不能满足数据权利对灵活性的要求。
(2)数据库权保护,需满足较高的投资标准。过去,欧盟《数据库指令》(TheDatabaseDirective)在数据保护领域占有主导地位。其主要目的是保护为获取、区分和呈现数据所做出的实质性投资,消除因欧盟成员国之间没有协调统一的版权法而导致的在数据库保护层面的贸易差异。数据库指令阐述了版权领域的现有权利并引入了一种完全新颖的知识产权权利——数据库特殊权利(thesuigenerisdatabaseright)。版权和数据库特殊权利的区别主要是:前者基于对数据库中数据进行收集和整理的智力性劳动成果;后者则是在数据库的获取、验证和展示上已经付出巨大投资,并在此基础上限制他人获取或二次使用该数据库(含其中的数据)的权利。
但实践中,如赛马案,法院的判例为满足数据库保护标准的投资要求设置了较高的限制,即投资是指对开发或建构数据库的投资,而非对创设数据的投资。数据库权利的保护范围因此被缩小,只有满足高投资标准的数据库才受该权利保护。对投资的举证责任负担使许多寻求开发和利用数据库的人转而选择通过限制对数据库的访问,加密处理数据或通过数据使用许可合同来保护他们的投资,并以此作为特殊数据库权利保护的替代方法。结果导致数据库特殊权利的实际效果并不理想。欧盟委员会已经宣布,将对《数据库指令》进行评估,修改现有的框架,并确定新的数据权利的范围。
(3)商业秘密保护由于自身特征存在不足。年6月8日,欧洲议会和欧盟理事会通过了《商业秘密保护指令》(TradeSecretsDirective),符合保护标准的具体条件为:①秘密性(不可知或不易获取);②商业价值性;③已经被采取合理的保密措施。该指令明确,无论技术性(如生产流程)还是商业性(如客户名单)信息都可以成为商业秘密,其中包括财务数据、技术数据和测试数据等,并为各成员国提供了24个月的转换期。
该指令原则上承认了特定主体对特定数据的控制权,但在所有权问题上保持中立。而实践中,不仅秘密性的证成并非易事,对保密措施是否满足特定要求的判定也具有不确定性(一般做法都是将数据存储于特定的服务器上)。因此,基于数据可被重复、多次、多主体获取的特点,商业秘密的保护框架存在不足。
(4)GDPR为个人数据提供较为充足的隐私权保护,并未规定数据能成为财产权的客体。英国学者指出,当下个人数据和其他数据的界限越来越不清晰,因为数据被收集之后会被再次组合,且数据分析技术的发展使得数据更容易具有可识别性。在这种背景下,学者认为GDPR中的权利和义务只是隐私权的延伸。GDPR并没有规定数据能成为财产权的客体,而只是规范了数据和数据控制者、处理者之间的关系。正如前文所述,数据产权之客体——非个人数据的核心就是不可识别性,即被剥离人格利益之后的纯粹财产性权利。因此,只有在非个人数据因技术等原因滑向个人数据领域时,或者在数据成为非个人数据之前,GDPR才能发挥作用。
(5)合同保护由于相对性存在不足。欧盟法律在合同的整个生命周期内都为消费者提供了相对应的救济和保护,消费者据此可以期待其权利能在国内乃至全球的数字市场上得到保护,但是否能够切实保障这一期待又是另一问题。欧盟委员会在年12月发布了数字内容提案,旨在规范和调整数字市场中有关数字内容的消费者和供应商之间的关系。但该项提案只适用于供应商要求和消费者主动提供数据的合同环境下,而不适用于类似cookie收集和为履行合同所需而自动收集(被默许)的情况。此外,数据价值链中主体多样且关系复杂,双方的数据协议容易忽视潜在的第三者,造成不可期的纠纷甚至侵权。合同法的相对性不足以应对数据产权的非专有性和可获取性,复杂的价值链关系需要一个强有力的权利制度来规范行业交易,明确数据归属。
除了上述版权、数据库、商业秘密、隐私权、消费者权益等保护机制以外,欧盟各国在数据权利保护方面的其他落脚点,也难以支撑当下的制度需求。英国年计算机滥用法案为未经授权使用计算机系统以及修改数据的行为设立刑罚,但由于举证难度和立法缺陷,目前为止很少适用。在数据获取方面,年法国确定了公共部门信息的免费再利用规定,采纳免费为主的原则。年法国竞争委员会宣布将针对在线广告的数据利用问题发布具体意见,但目前法国尚没有针对非个人数据的专门法规。德国信息自由法确保了公共信息在一般情况下的自由流动。但就私人持有的数据而言,竞争法没有为获取其他公司的数据提供具有普适性的权利支持。竞争法下,只有欧盟的“基础设施原则”可能为获取其他公司持有的数据提供法律依据,但该原则的适用是非常严格的。
数据产权的基本概况
数据产权的概念和性质
欧洲对数据产权的研究经历了从数据所有权(dataownership)到数据生产者权(dataproducer’sright)的变化,体现了欧洲对新型数据产权认识的不断明确和清晰。年欧盟发布的《数据获取和所有权的法律研究》(LegalStudyonOwnershipandAccesstoData)对欧盟各国就数据所有权的立法和司法实践做出了分析。年《构建欧洲数据经济》提出通过“数据生产者权利”鼓励(特殊情况下强制)公司授予第三方访问其数据,促进数据交流和增值。从概念上分析,欧洲广泛