習近平總書記指出:“數字技術正以新理念、新業态、新模式全面融入人類經濟、政治、文化、社會、生态文明建設各領域和全過程,給人類生産生活帶來廣泛而深刻的影響。”現代社會是信息時代、網絡社會,數據正處于越來越重要的地位。人們将數據比喻為“二十一世紀的石油”,還有人說它是“數字經濟的血液”。《中共中央 國務院關于構建更加完善的要素市場化配置體制機制的意見》明确将數據作為一種生産要素,與傳統的生産要素如土地、勞動力、資本、技術等并列,并提出加快培育數據要素市場,推進政府數據開放共享、提升社會數據資源價值、加強數據資源整合和安全保護。我國數據安全法第七條規定:“國家保護個人、組織與數據有關的權益,鼓勵數據依法合理有效利用,保障數據依法有序自由流動,促進以數據為關鍵要素的數字經濟發展。”在數字經濟的發展過程中,如何界定數據權益尤其是數據的權屬,是一個争議非常大的問題。因為該問題涉及不同類型的數據來源者、數據處理者以及國家等多方主體之間的利益協調。既要保護數據上各類主體既有的權益,又要能夠鼓勵數據的合理利用;既要保障數據的自由流動,又要維護國家安全和公共利益。顯然不是很容易的事情。
數據是指任何以電子或者其他方式對信息的記錄。大數據時代的數據來源十分廣泛,不僅包括對客觀世界測量結果的記錄,也包括對人類社會的記錄以及經過分析計算現存數據而産生的新的數據。與傳統的動産、不動産等有體物相比,數據具有兩個方面的獨特之處:一方面,數據本身是無體的,必須附着在一定的載體之上,如以二進制代碼的形式存儲在電腦終端、雲服務器或者硬盤、紙質檔案等介質之中。數據的無體性決定了數據本身的取得或轉讓不以存儲數據的介質(如硬盤)的取得或轉讓為前提。因此,數據很容易被他人竊取或以其他未經授權的方式而獲取。例如,以網絡爬蟲技術入侵後台盜用數據,并将盜取數據用于經營相關業務。因此,數據處理者必須采取相應的技術手段來保證數據的安全,尤其是那些關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據。我國數據安全法明确規定,國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。
另一方面,數據具有非獨占性、全時性,不同的人可以在不同的地點同時使用,而這些人的使用不僅不會減損數據本身的價值,還能夠從對數據的利用中發掘出更多的價值。這一點又決定了,法律很難将對數據的利益絕對的歸屬于某一主體,對于數據應當更充分地利用。誠如經濟學家肯尼斯·阿羅所言,作為一種具有特殊屬性的東西,數據在實現資源的最優配置方面處于一種尴尬的境地。任何獲得的數據都是新的生産方式,從福利的角度來說,免費提供數據(除了傳遞數據的費用)确保了數據的最佳利用,但卻沒有為任何研究上的投資提供激勵。而要為數據的産生提供激勵,就必須要确立數據的創造者對數據的财産權,從而使得其能夠從中獲益,以提供激勵機制。可是,數據不是單純的商品。數據已成為現代人類社會一切經濟活動的基礎。數據的歸屬與利用,與每個組織、個人的生産生活、整個社會的發展、市場秩序的維護、國家的治理、國家主權和安全等息息相關。
目前,理論界對于數據的權屬有數據财産權說、數據資産說、有限産權說等不同觀點。筆者認為,首先應當摒棄數據所有權的思路。所有權是對于有體物的最完全的、排他的支配權,它意味着将對物的任何合法的處理利用方式都歸屬于所有權人。這種權利構建的路徑完全不符合現代網絡信息社會發展的需要,還會産生信息壟斷等巨大的外部性。就數據的權屬問題,可以考慮的一種路徑是,從維護各方主體的利益以及私人利益、社會利益和國家利益等相互協調的視角出發,對于不同類型的數據,分别賦予不同的主體以不同的權利。首先,對于個人數據即與已識别或者可識别的自然人有關的數據,我國個人信息保護法、民法典已經認可了自然人的個人信息權益,賦予自然人對其個人信息的知情權與決定權。因此,自然人的個人數據權利就是個人信息權益,其性質上屬于人格權益,旨在維護自然人對個人信息享有的防禦性利益(即人格尊嚴和人身财産權不受侵害的利益)以及對個人信息進行商業化利用的權益。個人數據上的其他數據權利與個人信息權益發生沖突時,由于個人信息權益是人格權益,具有更高的位階,應當對之加以優先保護。
其次,對于國家公權力以外的數據處理者,這主要是指公司、企業、事業單位、社會團體等,他們在日常生産經營等各種社會活動中也大量處理數據,其中有個人數據也有非個人數據。這些數據處理者對其合法處理的數據享有數據資産權。這是一種新型的财産權,不是所有權,該權利受到法律相應的保護,但不能對抗個人數據上的個人信息權益,其權利範圍需要根據他人的權益和公共利益等加以認定,如不能破壞市場秩序,危害國家安全和社會公共利益等。同時,其他組織或個人也不能非法獲取、非法利用這些數據,否則數據處理者可以要求其承擔相應的民事責任。
最後,國家行政機關等公權力機關在履行法定職責或提供公共服務時處理的數據,不是國家所有的數據,更不是專屬作為處理者的特定機關所有的數據。對于這些數據,國家依法享有相應的控制權,但是該控制權既不能違反合法、比例、公開等原則,也不得損害個人信息權等民事權益。此種權利隻能在法定的範圍内行使,不得任意轉讓給任何私主體。有一種觀點認為,基于國家的主權,應當認為國家享有對其主觀範圍内的數據生成、傳播、管理、保護、監管、調控、使用、司法和反制的權力。這既是國家安全和社會公共安全的基本保障,也是國家主權在網絡空間的核心表現。筆者認為,國家當然享有數據主權,這種數據主權是國家管轄權從傳統的領土、領海、領空到網絡空間的延伸。數據主權是國家對數據與相關技術、設備、服務商等的管轄權及控制權,體現域内的最高管轄權和對外的獨立自主權、國際事務的參與決策權。但是,數據主權不能簡單地等于數據的國家所有權,更不能據此就認為隻要在我國境内産生的所有的數據都屬于國家所有。
