平台经济下个人数据的权属、使用方式和监管方向

　　当前，“数据所有权”的确权问题之所以重要，是因为“数据”已经成为一种生产要素，其权属直接决定着数据的基本价值和责任义务的分配。党的十九届四中全会审议通过了《中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》，明确提出“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”，将“数据”纳入要素范畴，为其参与收益分配破除了制度障碍。

　　数据属性在目前理论探讨中被研究的模式包括完全公有（包括国家所有和属于公共数据）、完全私有（包括平台所有和个人所有）及混合所有。只有将数据确权问题探讨清楚，才能形成判罚依据。

　　在这一问题上，劳伦斯·莱斯格（Lawrence Lessig）是支持创建个人数据自由市场的美国学者，他在互联网发展早期，就提出“代码即法律”（In cyberspace,code is the law）的观点。“所有权”（ownership）是指权利人对自己的不动产或动产依法享有的占有、使用、收益和处分的权利，是一种自由支配权。但是，随着互联网时代的到来，基于各种算法的新型搜索引擎（如Google）和“社交互联网”（如Facebook）的出现所形成的平台型“数字经济”打破了权利人对其财产权的支配能力。

　　鉴于“数据所有权”的标准不好定义，通过讨论数据的“迁移”来反推“所有权”不失为一种可行的方法。借鉴域外立法有益经验，增加关于个人信息携带权的相关规定，是个人信息保护法的一大亮点。在讨论数据“怎么用”和“怎么流通”时，如果个人享有“数据携带权”（right to data portability），数据是可以转移的，则可以推导出数据是属于个人而不是平台的。

　　“数据携带权”概念的提出，肇始于一个社会组织“Data Portability.org”创立的“数据可携带项目”，谷歌、脸谱网于2008年宣布加入该项目，并且谷歌创建“谷歌外带”（Google Takeout）工具，帮助用户导出和下载在使用谷歌服务时产生的数据。2010年，美国白宫推出“我的数据（My Data）”计划，进一步推动数据流通。Google、Facebook、Microsoft、Twitter四大美国互联网企业于2018年联合发起“数据传输项目（Data Transfer Project）”，强调了可移植性（portability）和互操作性（interoperability）是云创新和竞争的核心，旨在帮助用户在服务提供商之间安全无缝地移动数据。

　　欧盟通过《通用数据保护条例》（GDPR）建立了对个人数据的权利保护体系，于2016年首次以法律条文的形式，确立了“数据携带权”（right to data portability），涉及数据主体对其个人数据的支配权能，即权利行使过程中的自由权属性。根据GDPR第20条的规定，数据主体有权获得“经过整理的、普遍使用的和机器可读的”的个人数据，并“无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者”。

　　我国个人信息保护法第45条亦涉及数据携带权的概念，该法在个人信息处理者“自主”决定针对个人信息的处理目的和处理方式上给予了充分保障，是我国现行网络法律中唯一一部直接标示“根据宪法”制定的法律，体现了国家尊重和保障人权、公民的人格尊严不受侵犯、公民的通信自由和通信秘密受法律保护的宪法精神。

　　历史实践中，移动通信产业的“携号跨网”是“数据携带权”的一个例证，移动号码可携带权与数据携带权的相同之处，在于其允许数据主体携带走与其自身高度相关联的产品。我国在携号转网方面已探索出一套符合国情的解决方案，强化了用户对个人信息的控制权。同理，在互联网平台领域提倡同样精神的权利原则，也能够促进互联网平台数字经济领域的竞争，优化市场结构。

　　在我国实践中，病历可被“携带插卡”就是数据携带权的一种表现形式，该项权利属于个人所有。此外，对个人数据信息的调取权、查阅权与数据所有权的性质并不相同，正如用户到图书馆借书不代表他对该书享有所有权；在公权力的强制要求下，平台公司提供公民开房记录、微信聊天记录给公安部门、国家安全部门也不代表国家或平台拥有对这一部分数据和信息的所有权。

　　

　　平台经济下个人数据的使用方式亦很重要，在实践中有可能被平台经济用某种形态，来曲线绕过个人数据的所有权要害，而且随着法律环境的变化，原有的法律认定也可能不再合理。

　　“淘宝诉美景案”是发生在2018年的一起涉及互联网平台上个体数据的标志性案件。该案件入选“2018年度人民法院十大民事行政案件”。案情如下：

　　淘宝（中国）软件有限公司（以下简称“淘宝公司”）系阿里巴巴卖家端“生意参谋”零售电商数据产品的开发者和运营者。淘宝公司主张“生意参谋”提供的数据内容是淘宝公司经用户同意的衍生数据。淘宝公司认为“生意参谋”数据内容在形成过程中不存在侵犯网络用户权益的情况，是淘宝公司合法取得的劳动成果。淘宝公司发现安徽美景信息科技有限公司（以下简称“美景公司”）通过“咕咕互助平台”软件、“咕咕生意参谋众筹”网站实施了侵犯淘宝公司正当权益的行为，构成不正当竞争行为。

　　美景公司答辩称，淘宝公司未经淘宝商户和淘宝软件用户同意，以营利为目的，私自抓取、采集和出售淘宝商户或淘宝软件用户享有财产权的相关信息，侵犯了网络用户的财产权、个人隐私以及商户的经营秘密，具有违法性。

　　该案中，美景公司答辩的理由，直接击中整个互联网平台经济的关键，即淘宝公司对“生意参谋”数据产品是否享有合法权益。如果淘宝公司的经营行为本身就违法，那么所谓美景公司损害淘宝公司权益的不正当竞争行为就无从谈起了。但是，当年的法院仍然判决美景公司败诉并赔偿淘宝公司经济损失及合理费用共200万元。

　　当时的再审法院认为，淘宝公司对“生意参谋”数据产品享有合法权益，“淘宝在网络上已公示了平台服务协议及隐私权政策，而‘生意参谋’所涉及的用户信息种类均在上述服务协议及隐私权政策宣示的信息收集及使用范围之内”。然而，自2021年11月1日个人信息保护法施行之后，情况发生了变化。此前在互联网平台经济中，普遍存在的“个人不愿意授权但不能拒绝而互联网平台强行获取个人信息”的情况将不再被容许。该法第16条明确规定了“告知同意”这一基础，“信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外”。如果用户没有自愿授权，平台公司获取数据本身的方式是不合法的，那么，其获取衍生数据的行为则同样欠缺法律依据。

　　民法典第1035条规定中提到“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理”。这与个人信息保护法第6条内涵一致，可以简称为“最小必要”原则，即“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”。2021年起施行的个人信息保护法触及平台企业的根本利益，如阿里巴巴的生意都是基于用户的个人数据衍生的，比如直通车、广告及推荐等。淘宝公司在“淘宝诉美景案”中自称已做了“脱敏处理”,这种辩护理由个人数据保护面前是微不足道的。

　　在新的法律环境下，值得思考的问题是该法律框架在落地时如何进行操作。从平台的角度看，其基本商业模式难以逃脱为逐利而大量收集用户个人数据的现象，而且平台企业相较于用户个人具有天然的优势地位和强势地位，要求每个数据主体皆知情且同意，在复杂的实践中是否依然适用是一个很大的问题。

　　因此，在现今平台经济下，我国的一个可行的发展路径是再衍生出一个“用益权”的概念。清华大学法学院申卫星教授是这一理念的提出者，他从创立“数据用益权”的角度，意在通过法的规定，将数据控制设定为数据原发者拥有数据所有权与数据处理者拥有数据用益权的二元权利结构，以促成资本有序发展。平台企业享有的是受限制的物权，此外，如何增进数据的合理商业利用、协调其使用权与人权之间的紧张关系是至关重要的问题。

　　

　　平台通过大数据可以限定用户浏览的内容，这违背了数据主体阅读新闻的初衷。脸谱网（Facebook）通过大数据，引导美国人民的政治观点，进而左右投票结果、影响美国大选；同理，今日头条的算法引发的关于“茧房效应”的广泛讨论亦说明，平台的信息推送对于个人及社会的影响值得关注。

　　在房地产业的交易行为中出现了“戴头盔看房”（即看房人戴上头盔以避免被售房处的人脸识别系统抓拍人脸）的事件。开发商利用人脸识别系统认识看房人（用户）后，形成了与看房人（用户）相关的信息，不停地向用户推送广告，并把个人数据卖给同行，但看房人（数据主体）并不知情也没有授权，很显然这是企业非法获取个人数据的形式。

　　我国对平台的监管，尚存在不合理之处，平台对于个人数据权属问题的理解和执行与我国个人信息保护法所传递的精神之间还有一定的差距。如腾讯微信在使用条款和隐私政策里提到“腾讯微信账号的所有权归腾讯公司所有，用户完成申请注册手续后，获得腾讯微信账号的使用权。腾讯公司因经营需要，有权回收用户的腾讯微信账号”。腾讯如若在未征得用户同意的前提下对微信账号进行回收，将直接导致用户微信个人数据信息的丢失与泄露，以及微信支付里零钱无法提现的情形。微信的这一使用条款在性质上借鉴了银行关于信用卡的规定，即“信用卡卡片所有权属于乙方（发卡行），仅限持卡人本人使用，不得出租、出借”。

　　技术的进步将很快使当前的法律框架过时，我们需要更新相应的制度保持安全和隐私之间的平衡，以更好地协调针对政府、互联网平台公司和个人消费者之间的激励措施。赋予数据主体以数据携带权符合数据保护的基本理念，可以强化数据主体对个人数据的积极控制，平台企业应当满足用户获取及无障碍地传输其个人数据的意愿，个人信息流转由个人自行决定有利于互联网平台企业之间的公平与良性竞争。

　　需要注意的是，数据携带权如果没有得到合理利用，则存在不少安全隐患，中国应当加强对数据携带权相关理论与实践的研究。欧盟已经颁布的GDPR规定，数据主体（用户）可以在其向数据控制者（互联网平台企业）主张数据携带权的同时主张数据擦除权（right to erasure），亦称“数据被遗忘权”（right to be forgotten）。这可能导致原先的数据控制者（平台企业A）在向其他数据控制者（平台企业B）传输个人数据后，无法合法使用该个人数据。这给我国的法律和实践带来了新的启发。此外，我国目前的个人信息保护法，对数据携带权适用的数据范围及相关具体司法解释尚不明确，有待在实践中继续摸索和完善。

　　“告知与同意”框架是欧盟数据保护制度的基础。基于对数据所有权这一兼具人格属性和财产属性的复合型权利的保障模式，当数据所有者（用户）暂时放弃了排除他人使用其信息的权利，数据的再加工开发者（平台企业）可被“许可”使用该数据，同时数据主体（用户）有权终止此许可，并要求数据使用者（平台企业）停止存储或使用他的信息。为了使个人数据在社会上更便捷地进行流通，可以参照个人信息保护法的精神，使个人数据在数据主体（用户）具有财产性支配权的前提下进行商品化交易，同时数据主体（用户）始终保留对该复合型权利的最终权益。

　　数字时代的到来，推动着国家治理体系和治理能力的变革。习近平总书记在《不断做强做优做大我国数字经济》一文中指出，要完善数字经济治理体系，健全法律法规和政策制度，完善体制机制，提高我国数字经济治理体系和治理能力现代化水平。数字经济治理，是国家治理体系和治理能力现代化的重要组成部分，也是习近平法治思想的重要体现。

　　当数据成为一种重要的生产要素时，掌握数据就能影响利用信息进行决策的当事人（用户和平台企业）。平台企业每天都在获取大规模的难以计量的数据，运用算法来优化相应的商业策略和商业行为模式，甚至衍生出了数据信息买卖等灰色产业链。然而，我国对于虚拟资产的相关法律法规仍然有一定的空缺。数据确权涉及个人、企业和国家三个主体之间的权利分配，对促进数字经济发展具有根本性意义。法律的重要作用是保障社会核心公共利益的实现，实践中地方立法也表现出了对数据确权的迫切需求，个人信息财产权具有其形成的可能性和必要性。

　　数据的确权对我国互联网大平台企业亦存在重要影响。大部分平台企业最开始都是不盈利的，通过估值的不断上涨和融资来完成其生长过程。在互联网过去20多年的发展过程中，互联网平台企业估值能往上走，利用的就是数据所有权权属不明确的模糊地带，一旦全球的监管环境发生变化，连锁反应相伴随行。随着我国诸多具有竞争力的企业陆续走出国门，在监管已成趋势的新国际环境下，加强对于个人数据的保护，有助于中国企业在海外获得更大的市场与话语权。

　　● 责任编辑：王健