數據資產的法律定位與風險防范

劉佳寧

（山東大學（威海）法學院，山東 威海 264209）

大數據時代加速了以數據為中心的一系列觀念、技術的變革，數據的傳輸與管理變得簡易而普及，數據的價值得到越來越深入的挖掘，以深度學習為代表的的人工智能技術讓數據的有用性和經濟價值得以凸顯，數據資產這一概念應運而生[1]。一方面，數據資產在人工智能迅猛趨勢下能夠得到更高程度的應用；另一方面，由于配套制度的不完善、和法律監管的缺位，數據資產在實踐中面臨著許多風險。在大數據立法尚未完全開展的情況下，數據交易很可能觸及合法性的暗礁，這使得數據控制者陷入極大的法律風險境地，原始數據產生者的權益無法得到有效保護，從而影響到以數據資產為客體所形成的法律關系的調整。同時，由于我國并未采取類似歐盟的嚴格管制措施，在一定程度上也導致了大數據產業出現了“野蠻生長”的亂象。在立法層面，國家立法對于數據的界定也出現少有的謹慎態度。基于我國現有數據立法體制相對滯后的現狀，如何給數據資產進行法律層面的定位并為其制定規則成為亟待解決的問題。

一、數據資產的法律定位

（一）數據資產之概念界定

數據資產化是將數據從資源轉變為資產的過程，通俗理解是將數據的價值體現出來，實現“數據變現”。根據主流觀點，數據從信息資源到資產過渡的三個基本前提條件是：所有權明確、稀缺性、經濟效益[2]。然而，并非所有數據都可以成為具有經濟價值的資產。對于未經處理針對個體的個人隱私數據和個人身份數據例如民族、出生年月、電話號碼、個人賬戶信息等[3]，這兩類數據信息因涉及個人的活動方式、活動空間、活動內容，與個人相聯系而具有明顯的可識別性，因此屬于自己的人格權支配的范圍，依照法律的規定進行支配，并不具有資產性質；公有數據由于其公開性與無償性，，具有顯著的公共資源特征，因此也不具有資產性質。對網絡上留存的龐雜的、對身份信息已經進行了脫敏的個人數據才可以進行交易和處分[4]。

（二）數據資產的法律屬性與所有權歸屬

數據資產的確權是數據資產化面臨的第一個問題。目前，有關數據所有權研究的代表觀點為新型人格說、知識產權說和數據財產權說。

新型人格說認為，個人數據目前并無法律對其予以明確保護和定義，因而需要從法律層面創設專門的新型人格權，即“個人信息數據權”。根據學者觀點，個人信息數據權是指個人對于自己信息數據的控制和自決權，但并不是一種徹底、消極排除他人使用的權利，而更多情況下是一種自主控制數據能否適當傳播的權利。在這種權利性質下，數據權人享有相當大程度的自由，如權利人可向數據控制者、持有者主張刪除權、被遺忘權等，但是對于數據的財產屬性并未賦予太多層面的保護，個人與企業的數據收益難以理清邊界[5]。數據財產權說認為，應將數據界定為一種新型財產，這種財產權屬于源數據的產生者即所有權人，同時數據持有、控制者也享有一定權利，數據產生者與數據持有者、控制者之間存在類似信托關系，其不能對其持有或控制的數據進行任意處置，即不能損害源數據所有人的權利，除非征得其同意不得泄露其隱私[6]。數據財產權說較大程度上保護了源數據所有權人的權益，但也過多限制了數據控制者的權利，在當前數據的產生主體與實際控制主體相分離的現實情況下很難具有可實踐性。知識產權說將數據視為知識產權并且以在數據收集、加工過程中是否加入了有獨創性意義的處理為標準，分別用著作權和鄰接權制度對數據予以保護。第一種方式是通過匯編作品的形式從而用著作權制度加以保護，主要針對數據收集者將網絡上龐大的數據進行加工處理后形成的、在數據排列上具有獨創性意義的新的數據。第二種是針對僅僅是收集、整合數據從而堆積而成的、不具有獨創性意義的數據庫，可以考慮通過鄰接權制度加以保護[7]。知識產權說未將原始數據所有權人的權利加以明確，對于數據收集者的權利保護過于寬泛。如果將個人數據信息所有權作為源數據的產生者和數據控制者共有，在現實中即表現為企業與個人共有，將可能導致收益權分配混亂，權利主體難以嚴格區分，數據交易法律關系的主體無法界定。

數據資產的權屬應存在邊界區分應該是毋庸置疑的，針對知識產權說的不足，筆者認為應分情況討論：對于原始的、未經處理的數據諸如用戶留下的上網痕跡、使用數據等歸原始數據產生者所有[8]，主體對于這類數據具有收益權與可控權。收益權即網絡運營商等可以征得用戶同意并通過支付一定的對價，如提供資源或服務等取得對于原始網絡數據產生者讓渡的有限數據使用權。可控權即個人數據的披露或銷毀應被數據實際控制者告知，由原始數據的產生者自行決定。網絡運營商等數據收集者對于將收集到的數據采用獨創性的加工方法予以處理后的商業化數據具有知識產權保護的可能性，因為其付出了一定的智力勞動數據使加工后的商業數據有了創新性，持有者隨之享有類似于物權的權利，但不能影響到原數據所有人的合法權利，如隱私權、遺忘權等。對于加工方法并沒有獨創性，但企業投入了成本、資源獲得的衍生數據，也具有一定的保護價值，對于整合數據而產生的“大數據產品”享有類似鄰接權的權利和相應財產性權益，如在法定和約定條件下，對個人數據進行匿名化處理或者說去隱私化處理后可以進行利用。

二、數據資產在價值鏈過程面臨的現實風險

數據資產的價值鏈從底層的原始數據收集獲取到數據應用、運營的技術提供，沿著數據采集、整理、分析、應用逐層遞進[9]。在數據的獲取與應用階段中，如何在合法的前提下促進數據價值的發掘利用，并且在規避濫用數據風險的同時保護源數據所有者的合法權益，使企業、個人等各方主體的利益達到最優的平衡點，成為數據資產化進程中必然面臨的難題。

（一）數據資產獲取階段的風險

1.數據過度收集導致用戶知情權與隱私權受損。

隨著大數據技術對于個人數據的深度挖掘，在數據收集階段進行隱私保護是面臨的關鍵問題，數據的虛擬性和數據產生主體與實際控制主體的分離也加大了對數據進行隱私規制的難度。數據收集正處于這樣一種“灰色地帶”，大部分應用程序對收集數據的范圍和程度并無明確規定或語焉不詳，或者將“同意”選項放置于不易察覺的位置且已經預先勾選，導致部分消費者在未知情況下進行默認授權，因此企業肆意過度收集用戶數據可能產生越過用戶同意權獲取數據的風險[10]。用戶對于數據的收集并未獲得拒絕的權利，其對自身數據被收集只得處于默認同意的狀態。在對用戶數據的整合分析下，企業甚至可以輕而易舉地掌握用戶的喜好及需求，從而進行精準營銷，而用戶也可以毫不費力地享受到個性化服務，這看似是一種雙贏。問題是，并非所有人都愿意用自己的隱私來換取便捷。例如，當注冊某一網站賬號以獲取服務商提供的更多服務時，多數運營商會要求用戶在“用戶協議”上選擇閱讀并接受，否則無法完成注冊。在此情境下，用戶要獲得網絡應用帶來的便捷就必須按照企業的要求提供各種數據信息，同意企業在數據收集和利用上提出的各種格式條款，個人在此情形下的選擇只能是全有或全無。用戶數據的過度采集在大多數情況下也是非必要的，比如讀取使用者的位置信息和訪問聯系人權限等。多數用戶在注冊時并不會瀏覽這些冗長協議而直接選擇同意條款，很大程度上也是因為他們別無選擇，這種強制性的“用戶同意”顯然不能被法律接受[11]。

2.數據的地下交易促進網絡犯罪的精準化。

隨著大數據產業的日益發展壯大，社會對于重要數據資源的需要量也越來越大，隱私數據由于其具有顯著的可識別性成為個人數據交易炙手可熱的對象。在強烈的需求驅動下，企業竭力通過各種渠道收集個人數據，這也使得數據的地下交易有了生存土壤，非法數據交易現象日益猖獗，這也促進了涉數據網絡犯罪的精準化。中國消費者協會于2018年8月29日發布的《APP個人信息泄露情況調查報告》顯示遭遇個人信息泄露情況的人數占比為85.2%，可見個人信息泄露情況嚴重，數據的地下交易作為數據泄露的主要流通渠道，將因各種原因泄露的用戶數據肆意買賣。在大數據時代，犯罪分子已經利用數據實施有特定對象分析的犯罪，而這些數據的來源可能是我們平常并不十分關注的領域[12]。在目前或短期來看，法律所能做到的只有從表面規范數據交易過程乃至數據收集的合規性，也即程序的合法性，至于收集后的數據如何進行應用，法律無從管起，僅有靠企業的自律和事后的懲處。以數據的脫敏處理為例，盡管獨立的脫敏數據不具有隱私性，但將大量的、指向某一人特征的數據進行整合和多重檢驗后，就難以確保整合后的數據是否還具有脫敏性。因此，即使交易方履行了保密義務，在數據的整合及應用也可能存在隱私泄露的風險。

3.數據壟斷導致的不正當競爭風險。

在“數據為王”的時代，企業將數據視為一種差異化競爭的資本，紛紛竭力爭取更多的數據資源而在競爭中處于優勢地位。不容忽視的是，那些擁有較先進的數據分析和收集能力的企業同小微企業的差距也在逐漸加大，其搜集數據的能力遠超其他小微企業，這更加劇了行業間的不平衡發展。擁有更多數據的企業不會平等地交換數據，他們更可能會利用廉價的資金購買同行看似不重要的數據，將大量的行業數據整理加工然后進行挖掘，從而產生更多的數據，并且利用互聯網平臺將優勢鞏固并逐漸確立壟斷地位。而那些處于弱勢地位的企業，首先他們沒有進行大數據分析的能力，其次，他們在客戶交易過程中產生的小數據被購買后已不具有太大價值，這使得他們在互聯網浪潮下的激烈競爭中瀕臨倒閉破產的邊緣。對于消費者而言，那些取得數據壟斷地位的企業可以憑借自身的數據優勢進行差異化定價，比如對消費者進行價格歧視，不同人征收不同價格，也就是大數據“殺熟”，這使得消費者在信息不對稱的情況下處于一種不平等地位[13]。

（二）數據資產應用階段的風險

1.數據跨界共享產生“灰色地帶”。

數據的跨界共享是將有效的數據信息提供給合作方使用的方式，各行業數據交融整合可以形成“乘法效應”。然而，由于一些涉及用戶大量隱私數據特殊行業尤其是金融行業數據的跨界由于法律尚未明確加以規定，這種“灰色地帶”很可能存產生潛在的風險。比如當前熱門的P2P信貸網絡平臺，雖然借貸模式方便快捷，能夠有效解決小微企業融資難的問題，但其可信度因得不到有效的擔保而遭到質疑，這時“P2P+保險”發展模式便隨之產生。由于信貸行業掌握著用戶大量的隱私數據，而法律卻沒有對這一網絡平臺加以明確規制，這很可能使得保險行業利用這些整合分析后的數據對客戶進行推銷，利用客戶的求富心理推銷風險程度極高的保險，這種類似捆綁營銷的方式在數據共享后顯得更加普遍。此外，由于用戶數據邊界界定的模糊性，在信貸平臺和保險業合作過程中產生的新數據歸屬問題也難以確定，而這些數據的私密性又決定了其不能公開，因此新數據的歸屬與保存亟待解決，合作雙方可能會在巨大利益的引誘下鋌而走險。

2.數據“質押”存在現實困境。

即便人工智能強大的計算能力讓數據價值得到更大程度的發揮，人工智能的發展從計算上升到實際應用還需時日，數據資產在民事領域的實踐如利用數據質押貸款，仍存在現實困境。數據資產的抵押貸款作為變現的重要途徑，也是企業應用數據資產的新方式。2016年4月，貴陽銀行向東方科技發放了一筆100萬元的貸款，貸款質押物是儲存在該公司電腦里的水文數據。這是國內第一單數據資產質押貸款。數據質押與無形資產的質押類似，但我國法律尚未將數據納入可質押的權利內，因此數據質押屬于不受法律規制的空白地帶。從長遠來看，數據質押存在以下兩種風險：第一，由于數據的低價值密度性與非替代性，一旦發生數據泄露，被質押數據將會立即貶值，失去質押物應有的價值；第二，由于數據的可復制性，作為無形的、可反復交易的商品，數據資產重復質押風險必然存在，如何在數據資產的登記、評估、保全階段，給數據加以唯一的身份標識，以及利用這一標識對數據的泄露進行追責從而確保個人權益損失最小化，需要公安部及有關部門深入探討。目前，數據貸款處于嶄新的階段，將數據借貸從吸引融資的噱頭到真正發揮價值需要相當長的周期，數據資產的真正應用也需要一套較為完整的運行模式的建構加以保障，否則相關隱形的法律風險將會層出不窮。

三、數據資產的風險防范路徑

（一）數據資產保護的立法體系構建

數據資產保護的立法體系建設為數據資產相關實踐得以平穩開展提供法律層面的保障，為數據資產的收集和應用打下法律基礎，使數據資產相關過程更具合理性與合法性。其中，對于用戶數據的保護更是重中之重。我國目前立法也關注到這一問題：《信息安全技術公共及商用服務信息系統個人信息保護指南》為信息系統中的個人信息保護工作提供了首個國家標準，其明確要求除公權力機關外的各類組織與機構處理個人信息應遵循八項基本原則，并在個人信息主體知情的情況下獲得個人信息主體的同意；《中華人民共和國民法總則》第一百一十一條初步明確了個人數據信息的法律可保護；《中華人民共和國電子商務法》第十七條也為消費者知情權和選擇權的保護作出了原則性規定，體現了前瞻性與包容性。然而這些法律條文高度的不確定性與分散性也給司法實踐中法律文本的適用性增加了一定難度，相對模糊的規定也會導致法律適用產生沖突。針對我國個人數據保護法律條款分散、缺乏體系化的現狀，我國應在此基礎上加快統一立法，盡快出臺專門的個人數據保護法。與歐盟相比，歐盟則通過高標準的個人數據保護規范影響著全球個人數據的保護立法，如《歐盟統一數據保護條例》中規定了數據主體的數據可攜權、刪除權與被遺忘權，對數據主體的權利予以較為明確的規定。一種權利得以認可和實施，主要靠立法來確立其地位，我國數據資產保護的立法可以這一條例作為借鑒。在現階段“告知——同意”原則在數據收集過程中被運營商嚴重忽視的情況下，數據的可攜權具有一定的參考價值[14]。可攜權規定，如果數據的控制者將收集的個人數據用于其他目的，那么控制者就應當將這一額外的收入與數據主體共享。由于對自身權利的重視程度不足以及對“用戶數據利用協議”的忽視，數據主體通常并不了解他們為了獲取服務而“強制”提供的個人數據的價值。通過對可攜權的參考可以確立原始數據產生者的數據主權。同時，個人數據保護也不是僅靠民事法律手段就能實現的，傳統的民事侵權法律體系并不能完全容納數據安全問題，應加大懲處力度，完善以數據為獨立犯罪對象的立法體系，從而對涉數據網絡犯罪加以規制。

（二）個人數據隱私保護配套機制的完善

立法機制的構建能夠為個人數據的保護與確權提供基本支撐，然而要充分發揮隱私保護機制的作用，還需其他的配套機制的完備以增強法律條文的可執行性與操作性，個人數據保護的法律架構也只能以配套制度為基礎才能更穩固地進行建構。由于數據的虛擬性與龐雜性，預先對于網絡數據加以身份標志的識別或對敏感數據通過關聯規則進行隱藏雖然能夠從源頭上整治數據泄露，但就短期而言可能會面臨巨額的技術成本與效率問題，也會相應限制數據價值的深入挖掘與相關數據產業的進一步發展[15]，并且我國現行的以法律責任前置為特征的提前預防模式已不能適應數據所具有的的多種法律屬性與樣態，可執行性甚微。通過數據泄露的事后追究機制提高隱私泄露的違法犯罪成本可能是目前切實可行的措施。比如建立并完善個人數據隱私泄露的舉報與追責機制，針對個人數據收集、挖掘、整合等過程中侵害個人隱私的行為，賦予被侵害者或知情者主動權并提供一定的物質激勵，鼓勵對泄露方進行積極舉報，并由相關監管機構對于數據泄露行為實施審查和處罰，使得社會監督有效發揮作用，健全數據隱私保護的全社會監督體制，降低行政部門的執法成本。同時，構建完備的數據治理體系也能夠為數據資產的相關實踐保駕護航，比如推進大數據交易平臺建設，為數據資產的現實運作提供有效支撐；規范網絡平臺的數據資源管理與數據內控，出臺相關管理制度；加強網絡監管能力，促進數據安全網絡保護的常態化等等。

（三）數據多方主體間的利益平衡

在為數據資產制定規則之后，如何使其在多方利益博弈中真正發揮價值，成為接下來需要探討的問題。數據安全問題之嚴重，在于網絡群體基數大、違法成本低廉，無論我們如何推崇數據資產的個人屬性與立法體系保護，短期內數據泄露問題在現有條件下都無可避免（數據資產的價值需求與我國當前政策導向所決定），在實務中如何權衡數據控制者與數據主體之間的利益關系，應以個人數據的充分保護、社會秩序的合理維護、社會公共利益最大化等作為出發點，在數據保護與數據效用之間達成平衡。一種客觀中立的觀點認為，為推動我國數據產業的發展，在國際競爭中實現彎道超車，應該允許進行數據持有者或控制者獲得部分權利，在個人自由與公共利益的天平中做到砝碼的相對平衡。例如，對用戶數據進行匿名處理和明確征得用戶同意后，企業可以豁免個人數據保護法規定的相關的義務，但如果發生用戶隱私泄露等情況，收集該用戶數據的企業仍需要承擔連帶責任。這一觀點一定程度上默認了突破用戶的隱私權是實現數據資產化的必要路徑，可能會加大隱私數據泄露的風險。或許在實踐中秉持這樣一種“擱置爭議，共同受益”的原則可能會有利于公眾的接受與數據資產的進一步發展，數據持有、控制者與數據產生者之間可以達成某種“協議”在一定限度內授權第三方有限利用其數據并付給其一定“好處”同時嚴格遵守數據的商業開發利用邊界，包括但不限于提供優化服務、優惠政策或直接用貨幣交換等等，也即如果數據是由用戶自愿共享的，則他們有權獲得經濟性的補償。

結語

在獲取數據資產相關文獻過程中筆者發現，目前對于數據資產的研究大多是在大數據的整體框架下從網絡趨勢和數據應用的角度來解釋說明數據價值和數據的應用，而對數據資產所面臨的法律問題沒有集中化分析。基于法律視角的文獻對于大數據問題的研究又大多集中于隱私權的保護、信息財產權的規制和數據庫的法律問題層面，對數據資產的涉獵相對零散，并且對于數據資產視為一個固有的概念，對其界定相對模糊而抽象。對于數據資產的定位及保護機制的建立是一個遠比“理論探討”“加強立法”更復雜的系統工程。基于種種限制，本文從初級層面對于數據資產的整體概念、大致框架與現實風險層面進行分析，涉獵較淺且寬泛，顯然只是一個起點，數據資產的深度研究任重而道遠。●