【中文摘要】数据授权包含两种情形,一是授予数据财产权,二是授予数据事务的管理权限。对于经过深加工后产生的数据产品,主要通过确认、授予数据财产权来实现数尽其用。对于数据资源,控制者不得基于纯粹利己的目的任意使用和处分;此时,管理权的授予和行使对于数据资源的合理利用至关重要。如果将数据授权仅理解为授予财产权,便难以解释对数据资源使用的目的、方式进行全过程限制的重要性,也难以揭示行权过程中构建程序性规则的必要性。数据事务管理的目的既可能是纯粹利他的,也可能兼具利他性与利己性。在大型平台企业作为数据资源事务的管理组织时,应建构集体缔约制度,以保障个人、中小企业对数据资源相关事务的知情和参与。在标准化组织制定有关数据资源保护和利用的国家标准时,应完善公共协商机制,保障各类利益相关者能够充分表达意见。
【全文】
一、问题的提出
数据基础制度建设事关国家发展和安全大局。《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)提出,“建立公共数据、企业数据、个人数据的分类分级确权授权制度”。无论是个人数据,还是公共数据,由于个人或者国家机关很难自己充分利用数据,所以授权他人使用是发挥数据要素作用的必由之路。一方面,学界关于数据财产权应否、如何确认的讨论十分热烈、不断深入,另一方面,数据授权问题受到的关注较少,似乎是数据财产权确认理论之下不言自明的问题。亦即,数据授权仅指授予数据财产权,只要数据财产权的性质、内容、效力、客体得到确定,数据授权问题就迎刃而解;只要数据财产权的性质、内容、效力、客体无法得到确定,数据授权就面临逻辑上和实践上的障碍。然而,上述有关数据授权问题的定位是否妥当,尚需进一步探讨。
当前,数据财产权构建相关研究成果丰富,包含诸多有启发性的理论阐释和实践方案。例如,有的区分数据来源者权利和数据处理者权利,主张构建数据确权的双重权益结构。有的提出,数据权利的“八组模块”包括“数据权利人与一切人”“数据权利人与其他意定数据权人”“数据权利人与其他法定数据权人”等子模块。有的主张一方面确认数据企业完整的数据财产权,另一方面实行个人信息权益优先和公开数据合理使用。有的提出,应分别为三类主体配置不同内容的使用权,分别为数据处理者的有限排他权、数据来源者的访问及携带权、数据使用者的有偿使用权。还有的提出,根据数据财产权利人与不同社会交往对象之间的社会关系熟悉度,分别构建相应标准化程度的数据财产权样态。不同学者提出的具体方案虽然差异较大,仍存在共同之处,即承认数据之上的利益相关者众多,进而采用区分利益主体、重视利益协调的财产权配置方案。
在探讨数据确权授权问题之前,须先澄清所讨论的数据具有何种内涵和属性。在“数据二十条”出台后,越来越多学者分别讨论数据资源(或数据要素、数据集合)确权与数据产品确权。有学者认为数据产品易于控制、边界稳定、投入清晰,具有确权的可能性与必要性;数据要素并不适合自始配置权利,而应该重视数据要素生命周期中各参与主体依照其动态贡献获得利益分配。有学者在区分企业数据集合和企业数据产品后,主张为两者分别确认不同的无形财产权。鉴于“数据二十条”明确提出区分数据资源与数据产品,法学研究应对其加以重视,本文主要讨论的是数据资源的授权使用,将数据资源界定为由企业或国家机关控制的原始数据或经过初步加工的衍生数据的集合,具有数量大、类型多、用途宽泛和应用价值有待挖掘等特点,不包括经过深加工,可以直接满足特定经营需求的数据产品。对于数据产品,由于其系经过深加工的数据,已经产生具体、明确的应用价值,在特定应用场景中能够直接用于改善决策、提高效率,所以其类型和性质已经发生改变,有必要通过财产权制度予以保护;学界的主要分歧在于究竟是在既有的财产权(特别是知识产权)框架内予以保护,还是构建新型财产权予以保护。反之,对于数据资源,如平台企业或国家机关控制的消费者评价数据、交通数据、税收数据、司法裁判数据等数据的集合,是否应确认控制者享有排他性财产权,尚有较大争议。笔者认为,这些数据资源对于言论自由、经济发展、社会进步、科技革新有多方面潜在应用价值,即使某一数据资源控制者通过技术手段建立围栏或者壁垒,宣称自身享有排他性权利,并任意排除他人获取和使用数据资源的机会,也不宜通过具有较强排他性的财产权对其加以保护,而应该将重点置于如何构建数据资源合理利用相关规则。
近年来,有关数据排他权与数据治理规则之间关系的研究受到重视。在法律和经济分析视角下,可以将财产权规则区分为排他规则与治理规则,前者处理的问题是谁可以任意排除他人使用资源,后者处理的问题是所有相关利益主体如何使用该资源。这种理论模型引起不少关注,有学者据此提出,数据资源是治理规则主导下的财产。还有学者认为,应该同时配置数据排他权与数据治理规则,数据传递的范围、方式等都是典型的治理规则,应该置于“产权”之下理解和讨论。这些意见颇具启发性。在构建数据资源合理利用制度时,应该重视治理规则的作用。
不过,法律和经济分析视角下的“治理规则”能否纳入法律规范意义上的财产权之中,尚需探讨。对于物之利用关系,如果无法通过优先效力、容忍义务、合理使用、强制许可等规则处理,而须通过利益群体的划分、公开协商等予以处理时,即使相关规则在名义上被纳入财产权制度之中,实际上也与财产权具有异质性。以土地及建筑物的利用为例,在平面的相邻不动产物权人之间,可以通过相邻关系制度处理权利人之间的利益冲突,于最低限度内调节相邻不动产的利用,这并未超出不动产物权自身的效力范围。在立体高层建筑物出现后,不动产物权人之间围绕建筑物共有部分、共用部位的使用、收益、处分便有更加复杂的利益关系,有必要促使区分所有人形成组织,导入意思机关、执行机关、自治规章、基本管理经费等具有浓厚组织法色彩的制度,以调整有关建筑物的利用关系。基于业主共同管理权产生的关系不是单纯的财产关系,而是针对业主共同事务产生的管理关系,具有人法的因素。即使将共同管理权纳入建筑物区分所有权中,其也明显具有异质性,因为其行使机制必须遵循组织法原理,离不开团体主义思维。只要管理规则明确具体、管理组织有效运行,即使建筑物共有部分的范围、共有主体的数量等财产权客体、主体问题无法彻底解决,也未必影响建筑物的有效维护和使用。进一步说,无论是财产权还是管理权,都旨在满足维护私人自治、提升经济效率等价值目标和社会目标的实现,虽然财产权是调整物之利用关系的基础制度,但在处理十分复杂的物之利用关系时,财产权制度不可能,也没有必要“独挑大梁”。
“数据二十条”提出建立数据“确权授权”制度。从法律角度对该授权进行解读,不必局限于“授予财产权”这一个维度。在法律上,所授之“权”可有权利与权限之分,权利授予与权限授予在性质、效果、基础关系诸多层面均有所不同。在私法上,基于代理权授予,代理人可以本人的名义实施民事法律行为;基于处分授权,被授权人可以自己的名义处分授权人的权利;基于行权授权,被授权人可以自己的名义行使授权人的权利。在上述三种情形中,所授之权均非“权利”,而是“权限”。目前,学界对于数据授权的法律解读侧重于财产权授予或者特许经营的维度,就此之外的授权并未充分讨论。有鉴于此,本文基于区分管理权与财产权的视角,对以下问题进行研究:对于容易共享、不易损耗、用途广泛的数据资源加以利用,能否、如何通过管理权授予来实现;数据管理权的性质、功能和制度构造分别是什么;对于数据管理权的行使,如何通过程序规则加以约束。
二、数据管理权的定性和定位
(一)数据管理权的界定
在近现代法律上,“管理”一词广泛见于公法诸领域,也普遍存在于私法之中。例如,法人管理、物业管理、破产管理、遗产管理、著作权集体管理等。物的归属主体与管理主体之间发生分离,是现代社会中的常见现象。有的物,可能仅有管理主体而无归属主体,如无主的公有物。本文所讨论的数据管理权,是指对数据保护和利用相关事务加以管理的权限,其有狭义和广义之分。就数据资源而言,狭义的管理权包括两个方面内容,一是对数据资源加以保护和加工的权限,如保护数据不被泄露或窃取、对原始数据进行清洗;二是使用数据资源的权限,特别是将数据资源用于训练人工智能模型。由于数据资源保护和利用涉及众多利益相关者,管理权行使的主要目标之一是妥善协调多方主体的利益冲突。广义上的数据管理权既包括处理数据内部事务的权限,又包括对外实施民事法律行为的代理权。
管理权与代理权不同,管理权的内容包括为他人利益而进行的各种管理活动,既包括法律行为,也包括事实行为,既可以对外发生效力,也可不对外发生效力;代理权则是对外实施民事法律行为的权限,旨在对外发生效力。狭义的管理权与代理权有以下区别:第一,两者有不同的范围、行使条件,如前者需要多数决,后者则由一人行使;第二,管理权不得任意终止,而代理权原则上可任意撤回;第三,对于代理权行使,适用有关善意相对人保护的特殊规则。有的管理权伴随特定法律关系的产生而产生。有的管理权伴随破产管理人、遗产管理人的职务产生而产生,该管理权并非可任意抛弃之权,管理人一方面享有对财产为占有、使用、收益、处分的权限,另一方面负有实施此等行为的义务。
(二)数据管理权与数据财产权的区分
管理人有权对他人所有物或公有物为占有、使用、收益、处分、排除他人干涉或使用。对物的管理既可能以法律行为为手段,也可能不以法律行为为手段。表面上看,管理权的内容与财产权的内容不易区分,在一些场合下管理权甚至会被财产权所包含,对两者的区分缺少实益。实际上,对物的管理尽管包含对物的占有、使用、收益、处分,其本质上仍是“事务管理”,而事务管理有其自身特点:其一,无论是基于法定义务管理,还是基于约定义务管理,抑或是无因管理,都是为避免他人利益受损而管理,亦即事务管理的目的须具有利他性。这里的“他”既可以是财产权人,也可以是财产权人之外的人,既可以是特定主体,也可以是不特定主体。“他”可以是包括管理人在内的人之联合,如法人、合伙、家庭。在管理目的中,利他性与利己性可以并存,但不能是纯粹利己的。一旦以纯粹利己的目的管理他人事务,称之为“事务管理”就不再确切,因为此时是不法地“对他人权利领域的干预”;其二,管理事务须符合受益人的真实意思,采取有利于受益人的方法;其三,无论是基于法律规定,还是基于当事人约定,管理人一般负有忠实义务,须为避免他人利益受损而尽职尽责;其四,管理的内容可以是不涉及财产的事务。合伙人对合伙事务的管理、公司股东对公司事务的管理,均是在人之联合体中,人对团体事务的管理,未必涉及财产。
管理权与财产权存在重要区别,不可不辨:第一,管理权行使的目的和方式须具有利他性,而财产权人可以基于纯粹利己的目的行动,其对财产的使用、收益、处分都可以纯粹为满足自身利益的需要;第二,管理权的基本构成要素是目的、方式,财产权的基本构成要素是客体、内容、效力。只有厘清管理权存在的目的,以及实现该目的所必需的手段,才能对管理权的性质、范围有所认识。只有明确财产权的客体、内容、效力,才能对财产权的属性予以把握;第三,在行使管理权的场合,须重视程序规则和监督机制的构建。管理权本身具有与形成权类似的特点,可以单方面影响他人的法律地位。构建较为复杂的管理权制度时,管理权行使的程序及监督机制必不可少,以确保管理权行使不陷入恣意。对于财产权的行使,不必构建程序规则,不必重视利益相关者之间的沟通和协商机制。
在我国各地实践中,已经普遍出现了公共数据授权运营的探索。授权人可能基于合同有义务向被授权人开放端口,并保障被授权人能够便捷、稳定地获取公共数据。表面上看,所授予的公共数据使用权是一种财产权;实际上,所授之权是对公共数据加工使用相关事务的管理权。从公共数据资源控制者处所获之“权”,必须限定在处理特定事务的范围内,不可能是与特定事务无关的、抽象的数据使用权。“数据二十条”提出,要“探索用于产业发展、行业发展的公共数据有条件有偿使用”。公共数据的有偿使用,须有助于实现某种公共利益,而不能纯粹为了满足有偿使用人自身的利益。例如,国家机关将公共数据提供给人工智能研发机构训练大模型,其目的可能是满足特定企业完成国家重大科研任务的需要,此时的公共数据资源授权使用本质上是完成科研任务的有机组成部分。只有构建起数据管理权制度,才能完整描述、有效规范包含“利他性”要素的数据资源利用活动。
三、数据管理权在数据基础制度中的功能
(一)财产权授予模式在构建数据资源保护和利用制度中的局限性
在财产权授予模式下,各类数据的授权均是指数据使用收益权的授予,该权利属于定限财产权;根据数据类型的不同,基础合同分别是个人数据许可使用合同、企业数据许可使用合同、公共数据特许经营合同。换言之,财产权授予模式的核心内容有二,一是数据许可合同,二是以其为基础的数据用益权。在该模式下,必须存在一个在先的数据排他权,其不仅排他效力范围明确,而且包含持有、使用、收益、处分等积极权能。
财产权授予模式适用的前提条件是法律对数据绝对权的种类和内容作出明确规定。该模式可以适用于经过较深程度加工的数据产品,而难以适用于由原始数据或初步加工的衍生数据汇聚形成的数据资源。
无论是法律实践还是法学理论,都没有为对数据资源配置法定的绝对权提供坚实的基础,反而是充满分歧和争议。在司法实践中,具有代表性的观点是,在数据资源之上仅存在“竞争性权益”。例如,在“深圳市腾讯计算机系统有限公司、腾讯科技(深圳)有限公司与浙江搜道网络技术有限公司、杭州聚客通科技有限公司不正当竞争纠纷案”中,两被告的被控侵权软件突破了微信产品的技术限制,具有了收集、存储及监控微信产品数据的功能。人民法院认为,就微信平台数据资源整体而言,两原告享有竞争性权益,如果两被告破坏性使用该数据资源,则构成不正当竞争。竞争性权益并不属于绝对权,而是法律上值得保护的财产利益。至今,企业数据绝对权说未被司法实践普遍采纳。在《反不正当竞争法》修订过程中,公开征求意见的方案是构建排他效力较弱的数据财产利益:。无论是2022年《反不正当竞争法(征求意见稿)》第18条有关商业数据的规定,还是2024年《反不正当竞争法(修订草案)》一审稿第13条第2款中的数据保护规则,本质上均是一种边界不清晰的财产利益。
“数据二十条”虽然对建立数据产权制度提出要求,但没有对“产权”作出清晰界定。所谓“产权”,可以对应法律上多种形式的财产权。究竟应当如何确认财产权、确认何种财产权,只能根据数据的性质、种类、应用场景进行具体分析。基于学界既有的研究,对于企业控制的数据资源,根据排他效力由强到弱,可分为四种方案:(1)强排他性财产权(如数据用益权、新型绝对权);(2)弱排他性财产权(如公开传播权、商业数据权益、数据制作者权);(3)无排他性财产权(如收费权);(4)法律上值得保护的财产利益(如竞争性权益)。在“数据二十条”背景下,对于数据资源,在方案(2)、方案(3)和方案(4)之下都难以采用所谓财产权授予模式,因为这些方案仅仅赋予权利人排除他人以特定方式侵害的权利,基本上未解决如何授予积极权能的问题。财产权授予模式只有在方案(1)之下能够适用。赞同方案(1)的学者大多主张,应该承认对数据资源的“使用、收益、处分”等积极权能,但未对使用、收益予以进一步具体化,这便留下尚未解决的难题。
对某一客体的使用、收益进行类型化,主要着眼于两点,一是客体自身属性,二是对客体利用的目的、方式。就数据自身属性而言,存在一定争议,主流意见将数据界定为无体物,未对数据的法律保护与信息的法律保护作严格区分。对于数据,可以根据其规模区分用途:零星数据自身规模和内容有可能限制了其用途,如某个特定基因变异的数据通常仅具有医学上的用途;大规模数据则具有几乎无限的应用场景和用途,如海量购物数据既可以用于预测传染病的流行,也可以用于分析用户的消费习惯。就数据利用的目的和方式而言,根据数据利用是否直接影响人的自主决定,可作进一步区分:以提取数据主体特征、直接影响人的自主决定为目的的,通常对人格自主发展有深远的影响,在确认数据绝对权时阻碍较大;反之,非以提取数据主体特征、直接影响人的自主决定为目的的,在确认数据绝对权时面临的阻碍较小。
企业控制着海量的购物数据、消费者评价数据、交通数据、社交数据等,对这些数据资源进行挖掘和分析一般属于规模大、用途无限、对个人决定影响深远的情形,可用于在各行业各领域发现知识、预测趋势。数据资源的使用收益权本质上是“发现权和预测权”,其被授予特定主体排他享有,意味着该特定主体可以以秘密的、不断扩张的、纯粹追逐自身利益的方式利用数据资源。此时,数据资源处理活动可能大规模侵入甚至损害个体的正常生活。换言之,只要是以发现知识、预测未来趋势为目的,所谓数据资源使用收益权的公共属性就十分突出,将其授予特定主体排他享有,便会出现排他性与公共性之间难以克服的紧张关系。
与企业控制的数据资源相比,对国家机关控制的公共数据资源通过绝对权予以保护,排他性与公共性之间的矛盾会更加突出,无助于利用公共数据实现公益目标。在原《物权法》出台之后,学界曾对自然资源国家所有权展开深入讨论。有意见认为,我国法不适当地扩张了自然资源国家所有权的范围,有些自然资源本应不规定归属,有些自然资源则应作为公物。有意见认为,“在宪法公有制的硬约束之下,国家所有权并不能解决公有物的内部利用问题。”可见,公法学者和私法学者从不同角度出发,都得出以下结论:对于具有显著公共属性的资源,并不适合都规定为国家所有;即使规定为国家所有,也无法有效解决其合理利用的问题。假设确认公共数据国家所有权,便应当按照国有资产管理相关规定对国有数据利用行为进行调整,严格约束国有数据的利用方式和流转条件,在不同部门之间明确界定国有数据管理职责,这容易给公共数据利用带来很高的制度成本。公共数据的合理利用不应以确认数据权属为基础或前提,而更应直接关注公共数据的公平利用,明确国家机关为实现公共数据治理而必需的职权。
无论是企业控制的数据资源,还是国家机关控制的数据资源,向控制者赋予绝对权,同时使其容纳内容丰富的利益协调规则,还会解构绝对权这一概念。在数据资源授权使用过程中,个人、中小企业等利益相关主体的知情权、有限决定权是不可排除的,这些权利与被授权人使用数据资源的权益具有同样重要的地位。此时,不存在对同一特定财产加以支配的先后顺位关系,而是以沟通和协商为主要机制的利益协调关系。如果将有关利益协调的制度纳入财产权之中,需要将财产权关系拆解为多维度的法律关系,既包括对同一特定财产的对抗关系、排他关系,又包括为了避免优先效力、排他效力发挥作用而存在的沟通和协商机制,只会造成绝对权自身被解构。绝对权具有效力明确的优点,便于流通交易,其代价则是不关心财产使用过程中利益相关者的沟通和协商机制;将程序性权利和协商机制纳入绝对权制度之中,后者固有的优势便不复存在。
(二)数据管理权对数据财产权的补充或替代
在构建数据资源保护和利用制度时,财产权授予模式存在局限性,应对之策不是对绝对权进行重构,而是建立管理权制度以应对复杂利益关系的协调问题,弥补绝对权制度之不足。
在“数据二十条”明确区分数据资源与数据产品的背景下,较为妥当、可行的方案是,对经过经营者深加工后形成的数据产品确认绝对权,厘清其客体范围和排他效力,而对于数据资源,适合采用无排他性或者排他效力很弱的财产权配置方案。笔者认为,数据资源持有者享有收费权,其声明按照“公平、合理、无歧视”的原则与不特定主体订立合同的,对于不支付合理费用的获取者有权请求其停止获取数据资源。就数据资源的合理利用而言,应该由数据管理权而非数据财产权发挥主导作用。
退一步说,假设数据资源财产权各种确权方案都有合理性和可行性,管理权也能够与任一财产权相互搭配、补充,并在很大程度上帮助实现数据资源利用的公平性。具言之,企业即使仅享有无排他性的财产权,其也是数据资源的控制者和数据资源利用秩序的维护者,只要确认其享有全面的、不可任意放弃的数据事务管理权,其便能够在很大范围内影响其他主体对数据的使用方式、范围。反之,企业即使享有排他性财产权,只要向其他利益相关主体赋予范围广泛的、不可排除的知情权、数据使用决定权,使其参与到数据利用事务中,并要求企业依照程序性规范对上述权利的行使予以充分保障和及时回应,就可以在很大程度上限制数据排他权的行使。
对于公共数据,管理权所具有的意义十分突出。就典型的公共资源而言,仅规定国家所有权并不能实现其合理利用,还必须从是否用于满足公民基本生活需要(利用目的)、生产经营活动是否市场化(利用方式)等维度构建相关制度。如果不对财产权与管理权进行区分并专门构建管理权制度,而是将管理权简单纳入所有权之中,便可能消解公共资源利用过程中的公共属性。无论如何,能够利用数据资源挖掘知识、预测行为趋势的主体都处于较强的地位,容易借此增加其与普通个体之间力量的不对等性,挤压普通个体自主决定、自主行动的空间。因此,对数据资源使用相关事务进行管理的主要目标是,使上述观察力、预测力的运用尽可能透明,将利益相关主体尽可能纳入一套程序性规则中,以实现对数据资源利用方式的制约,维护数据资源利用中的实质公平。
其实,数据资源授权使用通常是一项事业的有机组成部分。根据该事业目的的不同,数据资源使用的目的、方式、效果也差异巨大。数据资源使用的场景覆盖金融、医疗、税务、购物、就业、司法等各领域,在使用目的、使用方式、收益模式等方面差异大于共性。将其统一在数据使用收益权之下,无法展现出数据资源使用与具体应用场景之间的紧密联系,也无法展现出其应当受到何种具体限制。因此,只要试图进行具体化和类型化,就不可避免要依靠处理特定事务的目的和方式来限定,管理权就是更加合适的分析工具。
四、数据管理权的制度构造
(一)数据管理权的一般制度构造
数据管理权的一般制度构造包括管理权的产生、范围、终止等。管理权的产生方式包括法律规定、法院指定和当事人意定。意定管理权既可能直接源自当事人的授权行为,也可能源自当事人的特定职务。意定管理权的范围由授权行为或者基础关系所决定。数据管理权的终止包括普通终止和特别终止。普通终止是基于管理目的的实现、基础关系的终止而自动终止;特别终止是基于授权人撤回管理权而终止。数据管理人不能无理由地放弃管理权,授权人也不能任意剥夺其管理权。反之,管理人只能在有重大理由时,才能放弃管理权;授权人只有在出现终止管理权的重大理由时,如管理人严重违反义务或者丧失管理能力,才能剥夺管理权。
构建数据管理权,主要优点之一是将差异巨大的管理目的予以具体化,进而揭示数据资源使用活动的完整面貌和真实性质。质言之,授权使用数据资源通常是某项事业发展必不可少的组成部分,所授予的权限是实现该特定事业目的所必需的。例如,在金融数据、医疗健康数据、交通数据等数据资源相关事务的管理中,管理目的分别包括降低系统性金融风险、普遍预防和治疗疾病、改善城市交通状况等;授权使用数据资源,实为授权管理金融事务、医疗健康事务、交通运输事务等所必需。在满足上述公益目的同时,管理权的行使亦不妨同时满足被授权人自身利益的需要。上述管理目的自始至终拘束着管理方式。
产生数据管理权的基础关系通常包含有关管理权运行的监督机制。以公共数据授权运营为例,其中应包括两方面基本内容,一是管理人的报告义务,二是授权人的异议权。第一,管理人应当履行报告义务是对管理权进行监督的基础和前提。在管理数据事务过程中,管理人应当将数据事务管理的目的、方式,乃至产生的数据产品的详细信息向授权人报告。与数据事务管理人的报告义务相对应,授权人享有检查权。该检查权既包括对相关文件的查阅权,又包括对数据事务的质询权。授权人对数据事务管理活动的检查,应当局限于对管理目的有重要影响的范围,如数据匿名化处理的结果、数据资源加工的实施阶段和成果。对于数据资源加工的日常技术性活动不在检查权范围之内;第二,授权人对管理活动享有异议权。在公共数据授权运营过程中,须充分发挥企业在加工数据、开发数据产品方面的技术优势、资金优势。如果任由授权人干预企业处理数据的日常活动,那便不利于数据加工企业形成稳定的预期。因此,授权人应当尊重被授权人正常行使管理权的活动。不过,如果被授权人并未为合同中预定的共同利益而行动,而是纯粹为谋求自身利益而行动,那么授权人可以行使异议权,要求被授权人暂停其计划采取的措施并作出说明。在公共数据授权运营合同中,当事人可以约定异议权的行使条件和范围。在该合同履行过程中,授权人原则上不直接处理数据事务,其异议权应局限在明显会给数据资源造成严重损害的情形中。如果其异议权范围过宽,会影响数据加工使用的效率。
对数据资源进行有效利用往往需要依靠组织的力量。一些组织可能通过制定平台规则及隐私政策、制定国家标准等方式塑造数据资源利用关系。有必要探讨数据事务管理组织的类型,并研究如何通过程序性规则约束其管理活动。
(二)数据管理组织与特别程序构造
与数据产品不同,数据资源中往往包含大量个人数据,以及中小企业营业过程中产生的原始数据。在处理由原始数据汇聚而成的数据资源时,需要对包括数据主体在内的各类群体利益予以平衡。数据管理权制度成败的关键在于,能否有效协调数据资源控制者与个人数据主体、对数据资源有使用需求的经营者等利益相关者之间的关系。
“数据二十条”提出,要“探索由受托者代表个人利益,监督市场主体对个人信息数据进行采集、加工、使用的机制。”很多学者从数据信托的角度对其加以解读。近年来,数据信托理论备受关注,借鉴者有之,质疑者有之,扬弃者亦有之。在我国,继受数据信托制度仍面临较大障碍:其一,信托制度的主要特色在于形成相对独立的信托财产。采用数据信托制度,通常意味着要对独立的数据财产进行管理。然而,数据信托财产存在客体难以有效确定的问题,很难构造独立的数据财产;其二,如果不在乎受托人是否获得独立的数据信托财产,而仅确认受托人对委托人负有信义义务,那么借鉴信托制度的意义便大打折扣。要证成数据处理者负有忠实义务等,从合同解释、诚信原则出发即可完成相关论证,无须舍近求远,以信托关系作为其基础;其三,数据处理者对数据资源进行加工和使用时,需要兼顾多方主体的利益。原因在于,在数据资源加工使用过程中,不仅个人数据主体是利益相关者,数据使用的对象(尽管拒绝收集个人数据,仍受到数据处理活动影响的同类人群)也是利益相关者。数据关系可能给那些未授权使用个人数据的自然人带来不利影响,故有必要引入民主代表机制,实现个人无法实现的社会目标。显然,数据信托制度难以实现上述社会目标,因为数据信托中的受托人所维护的主要是委托人的利益。总之,尽管数据信托理论颇具启发性,但可以从其中借鉴的内容仍然有限。下文在区分数据管理组织类型的基础上,提出构建集体缔约机制、公共协商机制,以助于实现数据资源的合理利用。
1.数据管理组织的类型
目的之于组织具有极端的重要性,是组织分析的核心。某一组织管理数据事务时,有必要根据其目的区分不同类型:其一,有的组织管理数据事务的目的兼具利他性与利己性,可称为中间型组织。其一方面为实现某种公共利益管理数据事务,另一方面为提升自身经营效率,直接从生产数据产品的活动中获益而管理数据事务。其二,有的组织管理数据事务不具有利己的目的,该组织可能基于公益目的行使数据管理权,如负责监督或引导市场主体公平处理数据,可称为利他型组织。
大多数自发产生的数据管理组织是中间型组织,在为他人的利益同时也为自己的利益管理数据事务。例如,平台企业虽然是营利法人,但具有一定程度的公共属性,其使用数据资源的目的应该既包括为平台内企业降低交易成本、提升交易效率,又包括维护个人数据主体的权益。又如,医院也是典型的中间型管理组织。医院使用医疗健康数据的目的兼具利他性与利己性,一方面促进医疗行业普遍提高预防和治疗疾病的水平,另一方面率先提升自身对特定疑难疾病的诊治水平,增加其在医疗服务活动中可以获得的利益。
国家机关处理数据通常是为了履行法定职责或者法定义务,其一般属于利他型管理组织。按照国家数据局等部门关于印发《“数据要素×”三年行动计划(2024—2026年)》(国数政策〔2023〕11号)的通知,要推动数据要素在工业、农业、商贸流通、交通运输、金融服务、医疗健康等行业发挥“乘数效应”。国家机关使用数据资源本质上是在履行其相应的社会经济事务管理职责。例如,税收机关利用税收大数据是为了精准筛选符合优惠政策享受条件的纳税人、及时发现和处理违反税法的行为,这属于税收事务管理的范畴。不过,多数国家机关本身欠缺对海量数据进行挖掘的能力,只能通过授权他人加工使用的方式来实现数据要素的价值。在国家机关授权企业对税收大数据进行挖掘利用时,该企业属于中间型管理组织,一方面要帮助实现经济运行研判与社会管理等公益目的,另一方面可以同时改善自身服务,如提供更好的税收筹划;前一方面活动具有利他性,后一方面活动具有利己性,这也是企业参与公共数据管理的主要动力。
在此基础上,更容易理解国家机关与企业之间的公共数据授权运营协议性质。其本质上是公私双方共同投入生产要素,对数据相关事务进行管理,该协议属于公私合作合同。公共数据授权运营的主要特点包括:其一,具有提升公共管理效率和提升企业运营效率的双重目的;其二,合同当事人需要长期合作,以生产数据产品为主要目标;其三,合同中的主要内容是,在当事人之间分配数据资源加工过程中的风险,分配数据产品经营中产生的收益。公共数据授权运营制度构造的关键在于,保障民营企业有平等的机会获得运营授权。
2.集体缔约机制
中间型管理组织在管理数据事务时,其目的兼具利他性和利己性,有可能出现利己性活动压倒利他性活动,进而异化为严重侵害他人利益的数据处理者的情况。因而,必须完善相关组织规则和程序规则,保障数据资源的公平利用。当数据主体规模庞大时,应构建集体缔约机制,推动中间型管理组织与个人、中小企业实现集体缔约。
集体合同(collective agreements)不仅在劳动法中十分重要,在民法中也有所规定。例如,《民法典》关于物业服务合同的规定便应用了有关集体合同的理论。特定团体代替个体订立合同,可以解决作为弱势一方的单个业主与作为强势一方的物业服务企业之间磋商地位的对等性障碍,以实现合同中实质性的自由与平等。将集体合同制度引入数据基础制度中,颇具现实意义。
在大型平台企业作为数据管理组织时,应构建集体缔约机制,平台内个人、中小企业经由一定组织与平台企业进行磋商,进而订立集体合同。集体合同包括债务部分和规范性部分。所谓债务部分,是指当事人负有义务遵守集体合同;所谓规范性部分,是指集体合同中包含类似于法律条文的抽象表达规定,直接约束单个个人、企业,亦即直接效力。对平台内个人来说,集体合同中的规范性部分包括:个人数据可携带权等权利的行使条件和程序;能否、如何在一定程度内集体决定个性化标签和群体画像的形成,并予以更正、限制使用;能否、如何在一定范围内参与设置平台内个性化推荐的时间、内容,等等。对于平台内中小企业来说,集体合同中的规范性部分主要包括收益分配比例、最短营业时长、惩罚性措施的启动程序和实体条件、中小企业数据可携带的条件和范围等。
在大型平台企业与平台内个人、中小企业之间,集体合同具有单向强制性。质言之,大型平台企业与平台内交易主体之间订立平台服务协议时,不得朝着不利于个人、中小企业的方向偏离集体合同的内容。否则,偏离的部分无效,仍应按照集体合同中的内容认定平台内交易主体所应当享有的权利、所应当承担的义务或者风险。
3.公共协商机制
在整个社会或者经济体层面,存在着以维护公共利益为目的的利他型数据管理组织。例如,行政机关在制定关于数据资源授权运营的合同示范文本时,就是基于促进数据合理利用的目标管理数据事务。又如,标准化组织在制定有关数据安全、个人信息保护的技术标准时,也是典型的利他型数据事务管理组织。合同示范文本、标准虽不是法律,但由于其比法律更具有确定性、可操作性,在社会治理的各领域发挥巨大作用。标准的制定需经“协商一致”,也就是说,在使用标准的所有相关主体(经营者、消费者、技术人员)之间应达成最大程度的合意。这并不意味着相关主体没有任何异议,而是意味着在实质性问题上相关主体没有坚持反对意见,而且各方的观点得到充分表达和尊重,故而标准能够被自愿实施。
制定有关数据安全、个人信息保护的技术标准关系到数据资源的保护和利用,涉及个人、企业等各方主体的利益平衡,但是在实践中可能缺少各类利益相关者的广泛参与。依据《数据安全法》第21条,制定有关划分核心数据、重要数据、一般数据的技术标准,是实施该法的基础性工作。为此,国家标准《数据安全技术数据分类分级规则》(GB/T43697—2024)将影响公共利益的数据划分为核心数据、重要数据和一般数据,将影响组织权益、个人权益的数据划为一般数据。2024年4月3日,国家标准《数据安全技术基于个人请求的个人信息转移要求》(征求意见稿)发布。该标准主要调整个人信息可转移权(可携带权)的行使,包括个人信息可转移的范围、主体要件等。上述标准都不是纯粹关乎技术的标准,而是直接影响个人权益、企业权益的规范性标准。尽管技术标准多以客观的数值或技术步骤等形式呈现,但其实是“基于事实、经由价值判断而形成的主客观相结合的结果”。在制定标准的过程中,科学事实的维度由各领域的专家根据科学共同体的运行规则予以决定;价值判断维度则应通过程序化的社会理性(如公众参与原则)予以实现。在制定有关数据安全、个人信息保护的标准时,因其包含大量规范性内容,应采取特殊的程序构造以保障公众参与。
为实现数据资源的合理利用,需要引入有序的、有效的公众参与,构建包含各类利益相关者代表的公共协商机制。按照《标准化法》第15条规定,在制定强制性标准、推荐性标准过程中,“应当按照便捷有效的原则采取多种方式征求意见”。标准化组织在制定有关数据安全、个人信息保护的标准时,本质上是对数据资源如何保护和利用等事务进行管理。该管理权的行使不仅仅与数据资源控制者利益相关,还与个人、中小企业等利益攸关。在这类标准制定过程中,不应局限于公开征求意见这一种程序,还应构建便于协商的会议制度,使各类利益相关群体的主张得以充分表达、碰撞与融合。
第一,在标准化组织制定有关数据安全、个人信息保护的标准时,只要该标准对企业、个人等不同群体的切身利益有重要影响,就应该在会议制度上满足三方面具体要求:(1)各类利益相关群体的代表产生体现民主性;(2)采取便捷有效的会议组织形式;(3)采用能够反映各类群体意见的投票机制。该投票不是为标准的通过增设实体条件,而仅仅是作为前置程序,发挥向外传递意见的作用。第二,标准化组织在为公共利益管理数据事务时,其主要任务之一是搭建“商谈”平台。该组织的主要活动目标是推动理性协商,尤其是围绕数据分类分级的具体规则、数据主体行使权利的程序和范围等进行商议、论辩。
在公共协商机制中,大型平台企业、个人代表、中小企业代表应该从“主体间性”出发,基于相互理解的立场,通过“以言行事”的方式进行理性沟通,经由合理程序,展开包含充分理由的论证。在开展磋商时,应该促使参与者通过“说不的可能性”发挥作用,同时促使参与者采取“对方视角”,以防止社会纽带断裂。质言之,个人、中小企业与大型平台企业之间须考虑对方视角,基于一个能够充分理解对方竞争压力或者人格自主发展需要的角度,从互利共存的角度出发,基于理性地、真诚地、以事实为基础地论辩,商讨出妥适方案。只有当个人、中小企业对公平处理数据的诉求和反作用力充分释放,并且不是在单个企业层面,而是在整个社会或经济体层面对这一反作用力予以回应、协调时,才能真正实现相互让步,实现数据资源利用中的公平合理。
结论
数据授权不是数据确权过程中的附带问题,而有其自身的独立性和重要性。数据授权包含两种情形,一是授予数据财产权,二是授予数据事务管理权。对于用途宽泛、潜在价值有待挖掘的数据资源,必须构建完善的数据资源使用管理秩序;此时,应该由事务管理权制度发挥主导作用,以弥补财产权制度的不足。数据事务管理权本质上是管理数据保护和利用事务的权限,其既可能源自法律规定,又可能源自数据主体的授权行为。国家机关在履行社会经济事务管理职责时,依法享有对特定行业数据相关事务的管理权。大型平台企业则基于数据主体的授权,获得对平台内商务数据、交通数据等相关事务的管理权。根据管理权目的的不同,可以将管理组织区分为利他型管理组织与中间型管理组织,须经由组织规则和程序规则约束各类管理组织行使管理权。大型平台企业是典型的中间型管理组织,其管理数据事务的目的兼具利他性和利己性。为约束管理权的行使,不仅需要在大型平台企业内部构建数据保护部门,更需要构建集体缔约机制,以矫正大型平台企业与个人、中小企业之间缔约能力的不平等,增加管理权行使的透明性、公平性。数据安全、个人信息保护相关国家标准的制定者是典型的利他型管理组织,其管理数据事务的目的具有公益性。在标准的制定不仅对大型平台企业的经营活动具有重大影响,还与个人、平台内中小企业等利益攸关时,标准化组织应该在管理数据事务过程中贯彻公众参与原则,构建便于开展公共协商的机制,促使各类利益相关者进行理性沟通,通过合理程序进行论辩,以达成最大程度的一致意见。构建上述制度,有助于数据资源使用过程体现民主性,也有助于实现数据资源的公平利用。
