习近平总书记指出:“数字技术正以新理念、新业态、新模式全面融入人类经济、政治、文化、社会、生态文明建设各领域和全过程,给人类生产生活带来广泛而深刻的影响。”现代社会是信息时代、网络社会,数据正处于越来越重要的地位。人们将数据比喻为“二十一世纪的石油”,还有人说它是“数字经济的血液”。《中共中央 国务院对于构建更加完善的要素市场化配置体制机制的意见》明确将数据作为一种生产要素,与传统的生产要素如土地、劳动力、资本、技术等并列,并提出加快培育数据要素市场,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护。我国数据安全法第七条规定:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”在数字经济的发展过程中,如何界定数据权益尤其是数据的权属,是一个争议非常大的问题。因为该问题涉及不同类型的数据来源者、数据处理者以及国家等多方主体之间的利益协调。既要保护数据上各类主体既有的权益,又要能够鼓励数据的合理利用;既要保障数据的自由流动,又要维护国家安全和公共利益。显然不是很容易的事情。
数据是指任何以电子或者其他方式对信息的记录。大数据时代的数据来源十分广泛,不仅包括对客观世界测量结果的记录,也包括对人类社会的记录以及经过分析计算现存数据而产生的新的数据。与传统的动产、不动产等有体物相比,数据具有两个方面的独特之处:一方面,数据本身是无体的,必须附着在一定的载体之上,如以二进制代码的形式存储在电脑终端、云服务器或者硬盘、纸质档案等介质之中。数据的无体性决定了数据本身的取得或转让不以存储数据的介质(如硬盘)的取得或转让为前提。因此,数据很容易被他人窃取或以其他未经授权的方式而获取。例如,以网络爬虫技术入侵后台盗用数据,并将盗取数据用于经营相关业务。因此,数据处理者必须采取相应的技术手段来保证数据的安全,尤其是那些关系国家安全、国民经济命脉、重要民生、重大公共利益等数据。我国数据安全法明确规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
另一方面,数据具有非独占性、全时性,不同的人可以在不同的地点同时使用,而这些人的使用不仅不会减损数据本身的价值,还能够从对数据的利用中发掘出更多的价值。这一点又决定了,法律很难将对数据的利益绝对的归属于某一主体,对于数据应当更充分地利用。诚如经济学家肯尼斯·阿罗所言,作为一种具有特殊属性的东西,数据在实现资源的最优配置方面处于一种尴尬的境地。任何获得的数据都是新的生产方式,从福利的角度来说,免费提供数据(除了传递数据的费用)确保了数据的最佳利用,但却没有为任何研究上的投资提供激励。而要为数据的产生提供激励,就必须要确立数据的创造者对数据的财产权,从而使得其能够从中获益,以提供激励机制。可是,数据不是单纯的商品。数据已成为现代人类社会一切经济活动的基础。数据的归属与利用,与每个组织、个人的生产生活、整个社会的发展、市场秩序的维护、国家的治理、国家主权和安全等息息相关。
目前,理论界对于数据的权属有数据财产权说、数据资产说、有限产权说等不同观点。笔者认为,首先应当摒弃数据所有权的思路。所有权是对于有体物的最完全的、排他的支配权,它意味着将对物的任何合法的处理利用方式都归属于所有权人。这种权利构建的路径完全不符合现代网络信息社会发展的需要,还会产生信息垄断等巨大的外部性。就数据的权属问题,可以考虑的一种路径是,从维护各方主体的利益以及私人利益、社会利益和国家利益等相互协调的视角出发,对于不同类型的数据,分别赋予不同的主体以不同的权利。首先,对于个人数据即与已识别或者可识别的自然人有关的数据,我国个人信息保护法、民法典已经认可了自然人的个人信息权益,赋予自然人对其个人信息的知情权与决定权。因此,自然人的个人数据权利就是个人信息权益,其性质上属于人格权益,旨在维护自然人对个人信息享有的防御性利益(即人格尊严和人身财产权不受侵害的利益)以及对个人信息进行商业化利用的权益。个人数据上的其他数据权利与个人信息权益发生冲突时,由于个人信息权益是人格权益,具有更高的位阶,应当对之加以优先保护。
其次,对于国家公权力以外的数据处理者,这主要是指公司、公司、事业单位、社会团体等,他们在日常生产经营等各种社会活动中也大量处理数据,其中有个人数据也有非个人数据。这些数据处理者对其合法处理的数据享有数据资产权。这是一种新型的财产权,不是所有权,该权利受到法律相应的保护,但不能对抗个人数据上的个人信息权益,其权利范围需要根据他人的权益和公共利益等加以认定,如不能破坏市场秩序,危害国家安全和社会公共利益等。同时,其他组织或个人也不能非法获取、非法利用这些数据,否则数据处理者可以要求其承担相应的民事责任。
最后,国家行政机关等公权力机关在履行法定职责或提供公共服务时处理的数据,不是国家所有的数据,更不是专属作为处理者的特定机关所有的数据。对于这些数据,国家依法享有相应的控制权,但是该控制权既不能违反合法、比例、公开等原则,也不得损害个人信息权等民事权益。此种权利只能在法定的范围内行使,不得任意转让给任何私主体。有一种观点认为,基于国家的主权,应当认为国家享有对其主观范围内的数据生成、传播、管理、保护、监管、调控、使用、司法和反制的权力。这既是国家安全和社会公共安全的基本保障,也是国家主权在网络空间的核心表现。笔者认为,国家当然享有数据主权,这种数据主权是国家管辖权从传统的领土、领海、领空到网络空间的延伸。数据主权是国家对数据与相关技术、设备、服务商等的管辖权及控制权,体现域内的最高管辖权和对外的独立自主权、国际事务的参与决策权。但是,数据主权不能简单地等于数据的国家所有权,更不能据此就认为只要在我国境内产生的所有的数据都属于国家所有。