近日,信息泄露事件频发,由此引发的数据产权归属成为焦点。8月10日,京东旗下“京东微联”智能家居应用软件,被指擅自将用户个人wifi密码上传至京东服务器;更早以前,华为新款手机荣耀Magic因收集微信聊天记录,被腾讯控告侵犯腾讯和用户数据。随着“大数据”的崛起,个人隐私与商业应用的边缘却日益模糊。数据到底归于谁?大数据与个人信息又当如何界别?个人信息到底能不能商业化?
企业拥有数据,更有利社会总福利
随着数据经济时代到来,数据产权问题逐渐凸显。无论是前几天炒得沸沸扬扬的华为与腾讯数据之争,还是最近发生的京东微联被指上传用户wifi密码,都围绕着同一问题——数据产权究竟应如何划定?
数据成为当下最宝贵的财产此前难以预见,对于数据产权界定的法律法规也不免落后。每天产生的大量数据便成为人们竞相争夺的“公共域”,大量纠纷随之产生,并造成不必要的社会成本。虽然我国对于个人信息的保护有着法律规定,但对于大数据却缺乏直接规定,这使得商业开发与个人信息保护的边界愈加模糊,进而引发了数据产权的归属问题。至此,建立健全的界定数据产权的规则已刻不容缓。
然而数据产权应如何界定?具体到个案,情况复杂。尤其在个人信息数据的判定及归属方面,学界争议颇多。笔者对此不做过多讨论,仅以广义数据为对象,从经济角度加以探讨。
经济学上有著名的“科斯定理”:当交易成本为零时,对物品初始产权的划分其实并不重要,物品最终将被对其评价更高的人获得。
比如,假设张三和李四正为某物品展开争夺,张三认为物品值200块,李四认为值100元。无论将物品初始产权安排给谁,张三最终都将持有这件商品:因为若将初始产权给了李四,张三会以某个高于100而低于200的价格向李四购买这件商品,双方都能从交易中获益;若将产权安排给张三,李四却不会以高于100元的价格购得商品。
当然,以上是理想情况。现实中交易成本不仅存在,而且可能很高。
设想,如果达成上述交易需要缴纳110元手续费,初始产权就会影响最终物品配置状况:如果物品的最初产权分配给了李四,张三若要购得物品,则要以大于100元的价格进行交易,加上110元的交易成本,张三的投入将高于其200块的价值评价。这件商品就不可能流回张三手里。
这即是“科斯第二定理”——当交易成本存在且足够高时,产权的初始分配将会影响物品的最终归属状况,并影响社会总福利。从这个角度看,把数据产权划分给对其评价高的人将是最有利于总体社会福利的。
那么,谁会对数据有更高评价呢?事实上,个人未必会是对数据评价高的。微软首席经济学家苏珊·阿赛教授曾做过实验:她集合了一些声称十分重视个人隐私的被试,并提出付出一定代价向其进行一系列调查。结果显示,尽管这些被试声称对个人信息很重视,但却以十分低廉的价格出售了大量信息——人们对于个人信息的重视,可能并不如他们自己想象的那么重要。
这一结论很容易理解,除个别信息,大量数据对于个人未必有价值。例如,浏览记录、购物记录,对个人可能并没有那么重要,但对企业则是一笔财富。机构将千万个人数据集合形成“大数据”,就可利用范围经济,进行商业决策。因此,根据“科斯第二定理”,让企业拥有数据,对社会而言应更有效率。
不过,将数据产权分配给某个企业,会产生一些问题:
一方面,它可能影响到数据使用。数据在很大程度上有公共品性质,由一家企业拥有数据很可能造成垄断,影响公共使用。
另一方面,也可能造成滥用数据,如泄露隐私等。这就涉及产权保护应采用什么规则。法律经济学家卡拉布雷西曾提出过三种规则:财产规则、责任规则和不可转让性。笔者以为,对于大部分数据,应使用责任规则,可以允许需要者使用,并与数据所有者探讨相关报酬;至于重要隐私数据,则当适用不可转让性——尽管企业可以拥有它,但不可轻易将其转移他人。
笔者的分析仅从经济角度出发,现实问题复杂,可能涉及法律、社会、伦理等问题。笔者希望,本文的讨论可以起到一些抛砖引玉的效果,为界定数据产权提供一些思路。
个人信息商业化,当以用户意愿为先
互联网技术的4.0时代已经到来,数据经济替代用户经济,成为新网络时代的基础。一方面,人工智能、智慧城市、用户习惯等新技术需要数据作为支撑,另一方面,精准营销、用户画像、个性化服务等互联网生态经济也需要数据作为基础。
数据作为一种经济形态,从自然人隐私权角度看,在法律上可分为两大类:一是可以直接或间接识别到自然人身份的个人信息;二是不能识别到自然人身份信息的大数据。个人信息属于隐私权范畴,在我国《侵权责任法》、《民法总则》和《网络安全法》中进行了明确界定。大数据性质区别于个人信息,尽管缺乏现有法律直接规定,但一般被认为属于知识产权。
必须强调,个人信息属于隐私权,未经允许授权任何人不得非法使用。超出法律底线对公民个人信息的商业化采集、使用和买卖不仅是侵权行为,而且触犯了我国刑法修正案七、九,以及2017年高检和高法联合发布的关于办理公民个人信息刑事案件司法解释的相关规定。我国法律对保护公民个人信息极为严格,在《网络安全法》中明确将政府、网络经营者和其他数据保有人,作为公民个人信息的安全责任主体。若是有人非法使用公民个人信息,将面临包括民事、行政和刑事责任在内的法律责任体系。
不过,个人信息也并非绝对不能商业化使用。个人信息属于隐私权,性质上就是民事权利,民事权利当然可以按照平等自愿的原则进行处分。个人信息的合法使用,关键就在于商业使用者是否遵循了《网络安全法》中规定的“合法性、正当性和必要性”三个原则:
合法性说的是数据采集、使用和处分的全过程应该遵守强制法规定;正当性就是强调使用者应事先得到用户明确授权;必要性是不得超过业务需要和用户知情权范畴过分采集、使用数据。
实践中,网站一般以“网民协议”的方式取得用户授权,这种合同授权方式大都以格式条款作出。最近的“京东微联”事件就是如此。用户是否事先通过格式合同的方式完全知情和授权,成为网站能否有权商业化搜集用户信息的关键。
不仅如此,我国《网络安全法》特别规定了用户对自己数据的控制权——在用户发现网站违法违约或出现存储错误数据时,有权利要求网站删除、终止使用或更正。因此,协议应以显著位置提示用户隐私条款的注意,明确告知用户信息被采集和使用的范围;网站应提供高效畅通的退出机制,使得用户随时可以拒绝、删除和终止网站已采集的信息。我国对此也早有判例。
因此,尽管网站可以取得用户对个人信息的处分权,但必须建立在充分尊重用户意愿的前提下,明确告知、显著提示、事中事后退出和赋予用户及时更正权利等条件,成为合法个人信息使用的关键所在。
相比个人信息,大数据属于知识产权范畴。其来源是用户行为数据和不能识别到个人的数据信息,这部分数据性质因无法关联到个体,所以不具隐私权性质,我国的网安法和刑法司法解释都将大数据排除在法律保护个人信息之外。从商业化使用角度看,大数据具有明显的财产权属性,加之大数据凝结了网站的脱敏、算法和处理,具有一定独创性,可以按照知识产权或商业秘密进行保护。
数据的知识产权所有权人属于采集的平台。如同其他财产权的市场行为一样,其他人非法获取的行为属于不正当竞争。诸如腾讯和华为的数据权纠纷,未经腾讯微信许可,华为通过技术手段以“用户授权”等方式获取他人数据,本质上属于不正当竞争行为。