观点 | 没有人可以拥有数据?!
主题:个人信息认证——数据出境的第三条道路 主讲人:何渊,DPOHUB主理人,上海交大数据法律研究中心执行主任 时间:2022年11月27日(本周日)晚8点开始
伴随这近些年间物联网(IoT)领域的发展,包括智能汽车、工业机器、人工智能、玩具等其他设备产生了难以估量大量数据,而为了更好地利用数据并发掘其背后的经济利益,企业、政策制定者和学者都在呼吁对数据进行产权保护,同时各方也都在积极对数据提出主张和要求,籍此挖掘数字经济的燃料。然而,数据是否受制于或应该受制于任何产权这一命题是非常值得怀疑的。对此,Lothar Determann的该篇文章就美国和欧盟这两个对隐私、财产和个人自由态度明显不同的国家(与地区)现行法律和未来立法明确回答了这个问题。
01
作者介绍
Lothar Determann
在实务方面,Lothar Determann在近20年一直在帮助硅谷和世界各地的公司提供法律咨询。自1998年以来,他一直为位于旧金山和帕洛阿尔托的Baker McKenzie公司就数据隐私法合规、信息技术商业化等方面提供咨询。同时,他也被《旧金山和洛杉矶日报》评为加州十大版权律师和二十五大知识产权律师之一,并被《钱伯斯》、《法律500强》、《知识产权资产管理》等杂志评为领先律师。
在学术方面,自1999年以来Lothar Determann 教授便一直是德国公法教授协会的成员,并在柏林自由大学、加州大学伯克利分校法学院、斯坦福法学院和旧金山大学法学院等院校教授数据隐私法、计算机法和互联网法相关内容。同时,他撰有多篇论文及多本著作,包括《国际数据隐私法合规现场指南》和《加州隐私法——实用指南和评述》,论文No One Owns Data、Electronic Form over Substance、Open Cars等。
02
文章摘要
数据本身,也就是信息的内容,在概念上便与作者作品和数据库(可受知识产权保护)、信息的实物体现(计算机芯片上的数据,可受个人财产权保护)以及与信息相关的实物或无形物品(危险的故障车辆,路标或计算机芯片上的警告与之相关)等可产权性之物区分开来;同时在当前法律体系下,个人、企业、政府和广大公众在数据和访问限制方面有不同的利益,这些利益受到现有法律的错综复杂的保护,实际上这些法律正在有意避免授予数据的产权。立法者之所以将有关作者作品、数据库、土地和动产的产权授予不同的人,是为了激励对这些物品的投资和改进;然而对于数据来说,这种产权授予之目的并不存在。事实上,新的数据产权并不适合促进更好的隐私或更多的创新或技术进步,而是更有可能损害言论自由、信息自由、科学和技术进步。因此,将数据产权化的理由并不令人信服,而且远不及保持数据“开放”所带来之收益,所以我们并不需要为数据创造新的产权。
03
文章主要内容
除去引言与概念辨析外,文章的核心内容主要谈及了包括“数据产权”的可能出路、现行法定的数据权利和限制、数据利益和现行法律保护以及是否应该创建新的数据产权共四大部分话题:
# 01
“数据产权”的可能出路
作者在该部分探讨了许多数据产权可能的出路,并对现有规定进行了阐述和分析:
1. 所有权和财产权。授予所有权和财产权主要是出于功利性或经济激励的原因,以奖励和激励创造者和发明者,允许他们将其创作货币化,并排除其竞争对手;这一原因在当前的社会环境中并不适用于数据,我们对数据的应用更多基于非货币化的模式。
2. 不动产。不动产法律可以对附着在不动产上的信息的物理表现形式授予所有权,这种信息的物理表现形式的所有者将拥有与不动产本身相同的权利。但是,不动产所有权并不延伸到信息内容,也不会产生基于不动产法的数据本身的所有权。
3. 动产。动产法律赋予了信息的物理表现形式以所有权,体现信息的实物的所有者可以对体现数据的实物实施财产权;但不提供对基础信息的任何所有权,不能排除他人获取、使用、复制、披露或展示实物中的信息。
4. 商业秘密。商业秘密法似乎接近于授予数据的所有权,但其具有局限性。商业秘密法虽然作为建立类似数据产权的手段,设备制造商却一般不能要求对其出售给客户的设备所产生的数据和信息享有商业秘密所有权,消费者通常也不能对他们拥有的设备所产生的数据主张商业秘密权。因此,商业秘密法并不产生有意义的数据所有权,而只是提供某种程度的保护,防止信息被不公平地盗用。
5. 专利。专利法为涉及在某些情况下创造性地使用、存储或应用数据的系统或方法提供产权。但专利法并没有对基础数据本身提供任何所有权。
6. 商标。商品和服务上使用的品牌名称和标识受到商标法的保护,防止在商业中未经授权的使用,因此信息性内容,如一个人在企业中使用的姓氏,可以成为商标。然而,这并不授予数据或信息本身的所有权,它只使持有人有权防止他人在销售类似产品或服务时以混淆的方式使用该名称。
7. 版权。版权法可以为包含信息的原创作品提供产权,包括数据的创造性汇编,但不包括基础数据本身,实际上版权法并没有对汇编或数据库中的数据创造所有权。相反,版权法明确地将事实信息排除在可版权的材料之外,而且在美国,排除了各州为信息或数据建立类似于版权的财产制度。
8. 数据库。为创建数据库投入大量时间和精力的公司,可以根据欧洲数据库法和美国各州关于盗用的法律,要求对搭便车者提供有限的保护。但是,在没有深思熟虑的数据库创建计划和投资的情况下,无论是欧盟数据库指令还是美国各州关于盗用的法律,都没有数据提供重要的产权。即使是有限的排他性权利,可用的补救措施也只适用于对数据库或其重要部分的全盘复制,且通常只能适用于对投资和竞争产生明显影响的情况下。
9. 数据隐私。数据隐私法旨在保护个人自由和人类尊严,其赋予数据主体排除他人获取或使用其某些个人信息的权利,虽然类似于财产法所赋予的排除权,然而实际上数据隐私法并不赋予任何排除权、使用权或转让权,这与财产法具有重大区别。同时除了排除权,数据保护和隐私法与财产法有分歧。隐私法不激励或奖励创造或投资,不规范所有权的获得或转让给他人,也不针对每个人适用。数据隐私法的主要目的和结构都与财产法的产权不同甚至相反,其并不是数据产权的合法依据。
# 02
现行法定的数据权利和限制
尽管如上一所示没有人拥有数据的产权,但立法机构和法院出于各种目的和利益,通过错综复杂的法律设定了数据访问权利与限制,本部分对此进行了总结。
1. 数据访问权、删除权、携带权与使用限制。数据主体(司机、病人、手机拥有者)一般不拥有关于他们的数据,但根据数据隐私法,他们有权对公司和政府使用他们的数据进行某些限制。而且根据欧盟和其他司法管辖区的数据保护法,数据主体还可能可以对公司处理的他们的个人数据进行访问、删除和移植。
2. 干扰计算机的法律限制。数据生成设备(汽车、心脏监测器、电话和其他连接设备)的所有者受到计算机干扰相关的法律,如美国计算机欺诈和滥用法(CFAA)保护,该法禁止人们在未经授权或超出授权范围的情况下访问计算机以获取信息。因此,计算机、软件以及各类智能设备的制造商在发回任何错误报告或为维修和维护目的访问任何设备之前,必须获得最终用户的授权。虽然用户可能会因为考虑到厂商所提供的一系列便利及娱乐服务而提供这种授权,但这样的规定也倒逼服务提供商提供更为有价值的服务以换取数据授权,从而利于用户的实际体验。
3. 维修权规定、环境法与竞争法的限制。汽车制造商需要根据“维修权”相关规定、要求独立排放测试的环境法和一般竞争法,设计符合规定的汽车,在汽车产生的数据方面也是如此。由于设备制造商天然地拥有在备用零件和附加服务方面的强大市场力量,他们对设备所有者和备用零件供应商在接口、端口和其他数据访问手段上增加限制的水平受到“维修权”规定、环境法与竞争法等法规和法律的限制。
4. 消费者保护、产品安全、默示保证和可持续性的法律限制。消费者受到产品安全法、产品责任法和合同法的保护;这些法律要求制造商、分销商和附加服务提供商确保他们销售的任何联网设备和服务(包括数据相关内容)都是安全和实用的。出于该方面的考虑,接口和访问手段必须足够“开放”,以使设备所有者能够长期更新、升级和维护产品。未来,因数据不够“开放”所导致互操作性或可升级性不足的智能汽车可能会违反产品安全、产品责任和质量保证方面的相关法律,且因其短生命周期而违反环境法的可持续性要求。
# 03
数据利益和现行法律保护
作者本部分以汽车产生的数据为例,从参与物联网的个人和实体的整个生态系统的角度来研究不同主体在数据方面的利益,并与现行法律规定的现有法律保护相联系,从而说明现行法律规定在保护这些利益方面与赋予数据产权之间并没有差距,进而论证无需数据产权化:
作者本部分以汽车产生的数据为例,从参与物联网的个人和实体的整个生态系统的角度来研究不同主体在数据方面的利益,并与现行法律规定的现有法律保护相联系,从而说明现行法律规定在保护这些利益方面与赋予数据产权之间并没有差距,进而论证无需数据产权化:
1. 汽车用户。大多数汽车用户对于智能汽车的需求主要包括数据可及性和互操作性,以确保数据驱动的服务(导航、自动驾驶和娱乐)、备件、更新、升级和维修服务的可用性。为此,车主将需要在他们的汽车上安装品牌诊断远程信息处理和车辆管理技术的开放端口,制造商对数据访问或互操作性的技术限制也需要能够满足用户对数据可及性和互操作性的需求。而针对这方面的数据利益,由于当消费者拥有一辆汽车时,汽车产生的许多数据将被视为“个人数据”,所以消费者将能够依靠数据隐私、消费者保护和反计算机干扰的法律来反对制造商、分销商、附加服务提供商和其他方面不需要的数据访问和使用。
2. 驾驶员和乘客。司机和乘客的需求一般是隐私和安全,根据现行法律,他们有权就车主、制造商或其他人的位置跟踪和监控获得通知和选择。雇员司机可以根据相关法律,要求雇主告知其数据处理活动;汽车租赁客户和出租车乘客可以通过车内的弹出式通知来决定是否允许启用某种功能,如车内的安全摄像头、娱乐解决方案、导航系统或位置跟踪等。
3. 其他交通参与者。智能汽车可能需要与其他交通参与者进行沟通,包括其他汽车及其司机,以及骑非机动车的司机、行人。对于这些主体提供适当通知和提供数据访问选择的机会将是有限的,因此可能需要通过立法来实现标准化。但现行的数据隐私法律可能会要求汽车制造商和车企确保智能汽车在建造时考虑到“经设计的数据隐私”原则,以防非法的数据收集或使用。
4. 汽车制造商。制造商的需求主要是利用智能汽车产生的数据来监测维修状态,预测和预防故障,改进产品,开发新产品,提供附加服务、更新和升级。只要制造商在使用数据时不违背车主利益(例如向执法机构出售有关超速的信息),这些制造商的数据需求便在很大程度上与车主的利益一致。在数据保护方面,制造商需要告知车主其对数据的使用情况,并将数据访问端口保持开放以允许车主选择制造商提供的更新、升级和附加服务;且在获得车主以及相关主体授权之前,制造商在法律上无权从其售出的汽车中接收任何数据。除此之外,出于保护技术商业秘密、减少产品责任、限制其他制造商竞争等原因,制造商在限制技术数据访问方面也有利益,但这种利益也会受到竞争法和车主的数据访问利益限制。
5. 附加服务提供者。附加服务提供者在收集和处理相关数据方面与制造商有类似的需求和利益。在数据保护方面也与制造商类似,一方面除非得到车主的授权并符合适用的数据隐私法,附加服务提供商也无权访问任何数据;另一方面根据反垄断法,提供与制造商竞争的产品或服务的公司可能有权公平和非歧视性地获取汽车数据,从而约束附加服务提供者对于技术数据访问的限制。
6. 汽车经销商与分销商。汽车经销商和备件、附加产品、更新和升级的分销商的需求主要是与客户关系管理有关的信息,以利于其向车主推销额外的产品和服务。汽车经销商和分销商通常会使用交易时获取的信息来推销类似的产品和服务,但任何对汽车产生的数据的访问,经销商都需要获得车主的授权,并可能向其他涉及的数据主体提供通知和选择,这与作者前述讨论的汽车制造商和附加服务提供商类似。
7. 保险公司。保险公司的需求主要是驾驶模式的信息,以便他们评估和减少保险风险。与前述的类似,他们对于任何汽车相关信息的获取需要车主的自愿同意才能访问,并且必须遵守保护司机、乘客和其他人隐私的数据隐私。
8. 执法机构和政府机构。执法机构和政府的需求主要是汽车产生的与事故和交通违法有关的数据。根据适用的法律,他们通常需要法院命令或车主的自愿同意才能访问存储在特定汽车上的数据。但是只要不干扰车主的实际占有和财产权利,公权力可以保证他们不受限制地观察在公共道路上的汽车。如果制造商、服务提供商、保险公司和其他机构拥有数据的保管权,执法机构等也可以试图迫使这些实体发布必要的数据,但同时,公权力的应用也需要他们在公开性、程序性方面谨慎行事并维持他们的立场。
# 04
是否应该创建新的数据产权?
作者在这一部分分析并权衡了数据产权化对保护创造力和技术进步以及个人隐私等方面的影响。作者考虑的方面包括:
1. 数据产权无助于创造性和技术进步。赋予产权最广泛采用的理由是功利性和经济性,如果没有数据的产权,公司就不太愿意许可或与其他市场参与者分享数据,更有可能守住自己拥有和控制的数据,也不太愿意首先收集数据。但作者认为尽管没有通过数据产权化进行任何“激励”,当今公司依然正在竞相创造更多的数据,并开发出各种不依赖产权的数据商业模式,而数据产权的建立是否会鼓励公司分享和交易数据却还远未确定。同时,数据产权化意味着个人数据主体和所有者将有权排除他人使用或访问该数据,这通常会使信息的自由流动复杂化并受到限制,作者认为数据产权化可能会对激励创造力或技术进步产生负面影响,这就是为什么目前的产权法通常会将数据从可保护的主题定义中剔除,将新的产权授予数据最终只会像专利和版权一样,成为大企业敛财的工具。
2. 数据产权无助于保护个人隐私。赋予产权的另一个重大理由是,数据产权可以保护个人隐私,然而数据隐私法已经为个人提供了细微的排除权,立法者通过告知同意要求、被遗忘权、反对国际数据转移的权利以及其他各种部分或完全的排除权来构建起个人隐私保护框架,在信息自由和个人隐私之间取得平衡;若再赋予数据主体从财产法规定的数据收集或使用排除权(产权),充其量只是一种重复,且这种权利在保护人类尊严和个人隐私方面远不如现行的数据隐私法。作者认为,如今个人已经从他们根据数据隐私法反对数据收集和使用的能力中受益:公司必须提供有吸引力的服务,才能在物联网的高度竞争市场上获得用户数据;而在财产权保护中,个人在许多情况下财产所有者将只能得到责任规则的保护,即通过放弃数据以获得利益。简而言之,个人隐私可以通过要求数据最小化、删除和保护的数据隐私法得到更好的保护,而财产法相反,它通过数据收集、共享和交易来激励隐私投资和利润的最大化。
3. 赋予数据产权破坏了表达自由。作者援引美国Sorrell v. IMS Health Inc.一案中法院的观点,认为允许个人或公司控制对其数据访问的数据产权化会限制数据收集,从而阻碍信息的自由流动。因此,“将一个事实只归一个人所有,或允许产生一个事实的实体......控制它的使用方式”,会对言论自由造成“有害的危险”。
4. 限制信息流动也会严重阻碍公共管理和执法。个人可能会将政府排除在数据之外,进而阻碍了公共政策的透明度和问责制。政府对数据的许多其他用途也同样会因个人和可能从个人购买数据的公司所拥有的数据产权而受到阻碍,包括人口普查、统计、税收、许可证等。
5. 数据产权化限制了竞争。数据的所有权意味着该数据的潜在用户必须从所有者那里购买访问权,作者认为当数据所有者是数据的“唯一来源”时,所有者将不受价格上限的限制,从而导致数据的垄断,损害竞争。事实上,已经有人试图垄断数据,这在数据产权化后只会变得更糟。
6. 数据产权化是对社会公平正义的破坏。隐私和公开法下的同意要求已经为个人创造了将其法定选择货币化的机会(通过拒绝同意等),而不是激励个人将其数据的所有权转让给公司的直接市场,进而使得公司可以排除任何人。企业在广告和基于数据的商业模式的基础上开发了许多创新服务,如互联网搜索引擎、社交网络等,如果公司因为他们无法运行以数据为基础的服务模式而不得不转向付费模式,那么大部分人可能会失去获得服务的机会。同时,作者还提到了数据所有权绝大多数并不是为数据主体要求的,而自始至终是公司要求的,以保护公司的相关利益,任何关于数据所有权的立法都有可能被规避并产生负面影响,因而需要更深入地考虑。
7. 数据产权制度面临难以克服的实施障碍。作者认为在数据产权化后的实际生活中会产生很多繁琐的问题,其中例如政府、企业和个人为了言论自由、信息自由、安全和安保的利益,会需要对广泛的数据产权提出广泛的例外要求,而法院将不可避免地被卷入诉讼中,需要不断地权衡产权与话语权,不断地审查言论和信息流。此外还有许多社会实践中的问题,为了避免这些那些的问题,数据最好还是被留在公共领域内。
04
结论
1
首先数据本身在概念上与作者作品和数据库、信息的实物体现以及与信息有关的实物或无形物品等可产权性之物并不相同,在现有法律体系中并不能找到支撑“数据产权”的规定内容,且立法者将有关作者作品、数据库、动产、土地和其他物品授予产权是为了激励投资和改进,而这一目的在数据方面并不存在。
2
其次,个人、企业、政府和广大公众在数据和访问限制方面享有的利益受到现有法律的错综复杂的保护,现有的与数据相关的法律和财产法所形成的一系列数据相关权利已经在数据利益和基于公共政策考虑的访问限制之间取得了平衡,当前这种平衡会因为数据产权的建立而受到损害。
3
最后,数据的产权化并不利于促进更好的隐私或更多的创新或技术进步,而更有可能损害到言论自由、信息自由、科学和技术进步;同时,将数据产权化的政策在实施方面还存在许多难以逾越的障碍。所以,于当前将数据产权化的理由并不令人信服,而且远不及保持数据“开放”所带来之收益,所以我们并不需要为数据创造新的产权。
※
因此,没有人可以拥有或理应拥有数据。
每天两块钱,实时获取全球数据合规风险预警
如需《英国ICO数据跨境六步法评估工具》PDF版,请加入圈子免费下载
👇
招募讲师:欢迎加入DPOHUB课程平台
平台介绍:数据合规权威平台之一,数据法盟和数据保护官的专业粉丝超过10万,学员超过2万。 讲师收益:权威平台的免费宣传,塑造讲师个人职业品牌及影响力;收益共享权。 申请条件:只要在数据隐私、安全及治理等方面具有落地经验或理论积累,都可以申请加入。 授课方式:既可以是体系性课程(每讲20-30分钟),也可以是一次在线讲座(60-90分钟)。 申请方式:请将“简历、课程名称及大纲”发送到微信:heguilvshi 或邮箱:[email protected]
微信扫码关注该文公众号作者