數據所有權：問題盤點與總結（下）

編者按：

一直關注數據安全，公號君決定新開一個系列的研究筆記，關注數據要素治理。此前，本公號發表過的關于數據要素治理的相關文章包括：

《非個人數據在歐盟境內自由流動框架條例》全文中文翻譯（DPO沙龍出品）
簡析歐盟《數字市場法》關于數據方面的規定
數據流通障礙初探——以四個場景為例
對“數據共享合法化”的分析與思考系列之一：以《關于歐洲企業間數據共享的研究》為起點
對“數據共享合法化”的分析與思考系列之二 ——歐盟B2B數據共享的案例研究
對“數據共享合法化”的分析與思考系列之三 ——更好的保護才能更好的共享
用戶授權第三方獲取自己在平臺的數據，可以嗎？不可以嗎？（DPO沙龍線上討論第三期）
數據爬取的法律風險綜述（DPO社群成員觀點）
第29條工作組《數據可攜權指南》全文翻譯（DPO沙龍出品）
澳《消費者數據權利法案》對數據共享與數據可攜權的探索（DPO社群成員觀點）
歐盟“技術主權”進展 | 歐洲共同數據空間治理立法框架
數據要素治理 | 歐盟《數據法》初始影響評估（全文翻譯）
數據要素治理 | 應該在歐盟引入數據生產者權利嗎？（上）
數據要素治理 | 應該在歐盟引入數據生產者權利嗎？（下）
數據要素治理 | 數據所有權：問題盤點與總結（上）

近日公號君學習了另一篇很不錯的學術文章——《數據科學前沿》（Frontiers in Data Science）第四章Data ownership: Taking stock and mapping the issues，并對此摘譯與大家分享。摘譯首發于公號君參與運營的另外一個公眾號：數據信任與治理。【數據所有權：問題盤點與總結（下）】本篇為摘譯的下篇。

3.特征

3.3 保護范圍

本文采用兩種方法評估潛在數據的保護范圍，一方面研究權利歸屬的現有概念并評估是否可行，另一方面關注權利所賦予的權能及其可能的限制。

3.3.1 數據所有權的路徑

在設計數據所有權時可以參考現有法律制度，如物權、知識產權以及鄰接權這類專有權和對世權。雖然數據上不存在物權，但也可參考侵權法規定和雙方當事人之間的合同約定來確定歸屬。

3.3.1.1 財產權

有形物之上的財產權賦予了所有者對該物體的完全控制權。所有權人的權利能夠對抗所有人，并可以在法律允許范圍內任意占有、使用、轉讓該物品。如果他人占有該物，權利人有權請求返還。權利人還可以要求所有物不受他人干擾。

雖然民法未明確界定財產權的客體，但財產權通常只適用于有形物。數據不具備有形物的特征（數據是非競爭性、非排他性的）是反對設立數據所有權的主要觀點，但一些學者仍建議借鑒財產權的模式構建數據所有權。

3.3.1.2 知識產權

知識產權提供了具有普遍意義的專屬權利，知識產權的權利內容法定，可保護權利人免受有關無形物的使用，權利人可決定轉讓權利或授予許可。

無形物需滿足標準才能受到保護（如發明的新穎性）。由于知識產權的保護對象是無形物，需要在權利人和公共利益之間取得平衡。因此知識產權允許特殊情況下的使用，并對一些保護設定了期限（如專利權的保護期限）。

部分支持數據所有權的學者將版權作為處理俱樂部產品和公共產品的可能方式。還有人認為數據所有權應該有時間限制，但不會限制數據的質量。

3.3.1.3 鄰接權

鄰接權賦予權利人普遍意義的排他性權利，但對保護的客體沒有要求。技術進步使復制作品的成本變低，鄰接權應運而生。雖然鄰接權是版權法的一部分，但其實它與反不正當競爭法的關系更密切。版權法對權利的限制同樣適用于鄰接權。

歐洲法律還為數據庫投資提供了保護，以確保獲取、驗證或展示數據庫內容的投資收到保護。

一些人認為鄰接權會阻止第三方自由活動，他們將數據視為商品式資產，因此，其保護范圍不會延伸到第三方對相同或類似數據的獨立創建、提取或收集。

3.3.1.4 侵權行為

很多具有普遍適用性的法律條款在不設立物權的前提下限制特定行為，違反這些限制會面臨法律責任。這些規定與與限制第三方訪問和使用數據的技術措施相結合，可以供一種有效的數據控制。有學者建議以這些法律為基礎建立數據所有權。基本的侵權條款可以為個人數據的權利人提供權利救濟。

3.3.1.5 合同權利

如今，越來越多的合同涉及數據的轉讓和使用，這些協議通常將數據視為物權。盡管此類條款在法律上是不正確的，但也不會改變協議的有效性，反而提供了關于合同雙方意圖的明確信息。

由于合同可以實現很多目標，一些學者主張保持現狀，并認為這些合同解決方案與有關數據的當事方之間的關系是適當的。

但問題是這不適用于B2C關系：合同雙方不在一個公平的競爭環境中，較弱一方（用戶）的境況更糟糕。對此，有觀點提出要審查與格式條款有關的法律規定并加以修正。

3.3.2 數據所有權的要素

數據所有權的范圍不僅可通過借鑒現有法律概念來確定，也是賦予權利人的所有權能減去權利的限制的總和。

3.3.2.1 核心權能和限制

A. 對數據訪問的控制

對個人數據的訪問取決于數據保護法。這些法律授予有關個人對其個人數據的處理的知情權，從而至少在理論上賦予了個人對訪問其個人數據的控制。

法律對非個人數據或通過大數據分析獲得的數據集的訪問尚無明確規定。這類數據大多價值更高，對市場參與者的吸引力更大。原始數據生產者傾向于保留數據并自行分析，無論這些數據是存儲在內部還是云端，第三方通常都被拒絕訪問，數據的再利用很難發生。目前，數據市場發育緩慢，數據交換仍十分有限。

歐盟委員會認為，對原始數據的訪問以及對機器生成的數據的訪問對于數據經濟至關重要，并認為應該限制原始生產者對訪問的控制。委員會強調改善對機器生成的匿名數據的檢索、促進和激勵此類數據的共享以及最大限度地減少鎖定效應等目標的重要性。

綜上，對數據訪問的控制是數據所有權的一個基礎權能。但這種控制可以通過現有對數據進行保密和拒絕訪問、商業秘密法和針對數據盜竊的刑法行使。那么是否有必要引入新的數據所有權就值得懷疑。

B. 對數據復制的控制

控制對數據的復制也是數據所有權的基礎之一。在數據所有權中，該權利將歸屬于原權利人。原權利人可以禁止其他人復制數據，并通過許可（轉讓）的方式允許他人復制數據。同時，他人也可能在復制權中擁有合法權益。這可以通過對復制權和數據可攜帶權的討論說明。

瑞士聯邦委員會近期在評估在聯邦憲法中引入復制權。復制權旨在通過重復使用發掘個人數據的價值，個人享有將個人數據商業化的權利。

復制權重點在于個人數據，而且即使復制了數據，數據控制者也會保留數據。此外，個人根據數據保護法可以向數據控制者提出提供信息的請求，這與復制權的效果基本相同。

在價值鏈中，特定個體的數據價值較低，且僅在不考慮個人數據保護情況下的大量數據的聚合才可能產生。因此，應該通過合作利益模式來實現數據商業化，而不是引入新的復制權。

數據可攜帶權是指個人和企業有權利將他們的數據從一個系統轉移到另一個系統。從經濟學的角度看，如果轉換成本低，數據攜帶就可實現，個人則可從其數據的價值中獲益。可攜帶權最早是個競爭法問題，但競爭法僅適用于數據控制者具有市場支配地位的情形。因此，但如果數據可攜權僅通過競爭法執行會存在一些問題。

為解決競爭法適用的問題，GDPR引入了數據可攜帶權。數據可攜帶性取決于復制數據的能力，是否承認數據所有權并非必要。數據所有權一般不會比規定數據轉換條件和后果的監管制度更強大有效。

可攜帶權還不適用于非個人數據，也不適用于廣泛使用的在線服務。因此，值得考慮引入類似于數據可攜帶權的規定。數據治理必須包括對用戶的透明度、管理訪問和互操作性，并需要通過刺激創新將不同平臺連接在一起。

C. 對使用和完整性的控制

為特定目使用數據是數據所有權的另一基本權能。數據所有權可以單獨授予非使用性訪問的權利。大數據分析通常以分散的方式進行，在處理數據之前不會將數據復制到中央存儲器。因此，數據控制者必須有權控制數據在其范圍內使用。

對完整性的控制也是數據所有權的基本權能，即保證數據在未經所有者同意的情況下不會被修改或銷毀。數據保護法已規定了個人數據的完整性，刑法也有相關條款。

3.3.2.2 其他權能

把數據所有權類比為財產權的作者認為，數據所有者享有（a）

從任何扣留數據的人那里收回數據和（b）保護數據不受任何無理干擾的權利。但即使通過類財產權的方式適用，此類權利并不適合非競爭性的數據。如果可以控制數據的訪問、復制、使用和完整性，那么這兩項權能的必要性值得懷疑。

3.3.2.3 其他限制

如前所述，控制數據的訪問、復制和使用的權利可能需要受到限制。本文還討論了其他限制。

A. 公共利益訪問

關于為公共目的訪問數據以促進數據的自由流動，歐盟委員會建議，如果公共機構訪問數據符合 "一般公共利益"，并能 "極大地改善公共部門的運作"，則應允許其獲取數據。

B. 私人使用

有學者認為，數據所有權不應限制私人目的的使用。但私人目的與商業目的難以區分。一方面，個人創建和分享數據是出于私人目的，而存儲和提供這些數據的平臺則是出于商業目的。另一方面，共享經濟商業模式模糊了私人和商業的界限。

C. 科研使用

有學者認為，數據所有權不應禁止以科學研究為目的的使用。歐盟委員會認同此觀點。

D. 時間限制

有學者提議限制數據所有權的期限。對于一些人而言，只有競爭性的商品才值得無限期的保護。

3.3.2.4 公示

大多數絕對權都可識別到權利人。在數字時代，公示制度是建立數據所有權亟待解決的問題。難以查明權利人會導致高昂的搜索費用，進而提高交易成本。雖然有學者主張對權利進行電子注冊，但公示問題尚未得到深入研究。

4.權利實施

如果確立數據所有權，則將面臨如何實施權利的問題。除了超出本章探討范圍的以及具有國別性的問題外，都必須處理數據所有權與現有數據保護法如何結合的問題。就此問題有兩種立場：（1）數據所有權為數據保護法提供額外保護，或者（2）在某種程度取代數據保護法。此外，本文還提出了一個合同性的解決方案。

4.1 數據所有權“共存”

目前還未就數據所有權對現有數據保護法的影響進行深入探討。主流觀點認為，數據保護法進行部分修正后可與數據所有權共存。部分觀點認為，數據所有權將加強隱私保護，但不會取而代之。

其他學者傾向于將數據所有權限制在句法層面。數據所有者對數據的語義不享有何權利。數據所有權范圍僅延伸到實際確定的數據權利（即0和1的字符串），數據將作為商品資產受到保護。

本文認為，在不廢除現有數據保護法的情況下實施數據所有權的影響將因數據所有權的范圍不同而不同。

就個人數據而言，數據所有權的權利與數據保護法提供的保護在語義層面上相重疊。由此產生的問題是數據所有者和數據主體可以相互禁止使用數據。復雜的權利狀況可能不利于對抗市場失靈。將所有權限制在句法層面來解決這個問題盡管聽起來可行，但由于數據的句法和語義層面的不可分割性，仍然會面臨類似的問題。

就非個人數據而言，數據所有權不會與現有的數據保護法相重合。但由于個人和非個人數據之間的界限模糊不清，要得出二者是否會重合的結論也并不容易。

4.2 數據所有權“取代”

如前文所述，數據所有權將帶來權利沖突。因此可以通過取代部分數據保護法的方式實施數據所有權。此種方法可以減少合規成本，提高個人數據的可轉移性。然而，數據保護法不僅涉及權屬問題，也涵蓋數據處理、數據質量及安全標準等數據所有權無法解決的問題。因此，數據保護法的存在仍然合理。

由于數據所有權的實現不再受制于數據保護法，這將賦予利益相關者強有力的法律地位。此外，數據所有權不能簡單地凌駕于數據所依托的物的所有權之上，需要對相互沖突的權利進行平衡。

4.3. 合同替代

有學者認為，合同是促進數據經濟的可行方案。然而有關個人數據的義務仍未完善。根據現行數據保護法，數據主體對此類交易的同意在任何情況下都是可撤銷的。個人數據的交易需要解決同意在任何時候都可以撤回的法律原則。但就數據保護法而言，這似乎是不可能的。

5.總結

本文總結了之前關于數據所有權的討論，并試圖通過討論潛在的數據所有權的理論依據、特征和實施來解決相關問題。

對于潛在的數據所有權的理論依據問題，本文認為沒有明確的證據表明存在狹義上的市場失靈。因此，沒有必要通過引入數據所有權激勵數據生產或收集。數據所有權會降低交易成本的觀點這缺乏實證依據，且交易成本也可能隨著新權利的引入而增加。此外，沒有必要通過全面引入數據所有權來解決現有的特定問題，全面引入數據所有權會導致一些尚未預見的新問題。因此，所發現的問題應該由特定的法規來解決。

在審視潛在的數據所有權的特征時，大多數因素仍然不明確。學術界剛剛開始思考可能的保護對象以及數據或信息是否應該作為單一資產或作為商品資產來保護。對于權利如何歸屬給最初權利人的標準也沒有達成共識，也無法明確數據所有權的歸屬標準。本文認為，必須制定關于集體所有權的具體規則。

本文觀察到，數據所有權并不完全符合現有財產權和侵權責任類別。在研究數據所有權的權利和限制時，控制對數據的訪問和對數據的復制被認為是核心權利。此外，對數據的使用和完整性的控制也將發揮重要作用，許多學者要求對該權利進行一般和具體的限制。

數據所有權與現有的數據保護法的關系是實施該權利的核心問題。數據所有權可以取代現有的數據保護法，也可在數據保護法基礎上實施。但在如何推進實施方面仍存在分歧。第三種選擇是改變對個人數據處理的同意在任何時候都是不可撤銷的這一原則。

本文的總結表明，雖然已經有大量關于數據所有權的研究，但數據所有權問題仍是復雜的且未完成的—幾乎所有方面都需要進一步研究。

數據保護官（DPO）社群主要成員是個人信息保護和數據安全一線工作者。他們主要來自于國內頭部的互聯網公司、安全公司、律所、會計師事務所、高校、研究機構等。在從事本職工作的同時，DPO社群成員還放眼全球思考數據安全和隱私保護的最新動態、進展、趨勢。2018年5月，DPO社群舉行了第一次線下沙龍。沙龍每月一期，集中討論不同的議題。目前DPO社群已超過300人。關于DPO社群和沙龍更多的情況如下：

域外數據安全和個人信息保護領域的權威文件，DPO社群的全文翻譯：