今天和大家分享的是公号君的一篇笔记,对【图解 | 数据产权制度】中持有权的学习和初浅思考。
目前,关于数据持有权的地位,至少存在两种方向相反的理解:一种将其处理为与数据使用权、数据经营权并列的、“互相独立”的权利【图解 | 数据产权制度】;另一种则将其抬升为统摄使用、经营的基础性母权【【中国自主法学知识体系专栏】徐化耿:论数据产权分置的体系构造:以数据持有权为中心】。
公号君也经常在课堂中被问到这一问题。要看清这一分歧,与其折中,不如将两条路径各自推理至尽头。
在这篇笔记中,公号君先考察第一条路径:若将数据持有权、数据使用权、数据经营权作独立理解,循此可解释一批“使用而不持有”“经营而不持有”的安排。但这一读法的代价是,狭义持有权自身内容将被压缩为合法控制状态,至多附带防御性保护。而该防御在行为规范层面已被《个人信息保护法》《数据安全法》《网络数据安全管理条例》《反不正当竞争法》等规则高度覆盖,持有权作为独立产权的增量价值因而极为有限。
第二条路径则反向操作:否认持有只是事实 holding,将持有重新界定为内含利用潜能的控制,并由此把使用权、经营权纳入持有权之下。
引言:数据持有权的位置问题
数据产权“三权分置”的讨论中,数据持有权的位置最不安稳。一方面,官方文本将数据持有权、数据使用权、数据经营权分别界定,并采取三权完全切割的制度表达;另一方面,学理上又出现了以数据持有权为中心的重构方案,将持有权理解为使用、经营得以派生的基础性权利。
这说明,“数据持有权”的争议并不只是一个权利名称问题,而是一个体系位置问题。若按照官方三权完全切割立场展开,持有权、使用权、经营权分别对应不同利益:持有权保护合法持有状态,使用权保护加工利用利益,经营权保护对外流通利益。此时,持有权并不当然包含使用权、经营权;使用权、经营权也不当然以持有权为前提。
但若按照持有权中心论展开,则“持有”不再只是事实上的holding而已,而是对数据的实际控制并能决定其利用方式。此时,使用权、经营权并非与持有权并列,而是从持有权内部切分出来的具体权能。三权关系也就从官方的“完全切割”转化为“母权—子权能”的结构。
因此,要看清数据持有权的理论命运,不能只问“持有权重要不重要”,而要先问:持有究竟被理解为什么?
本文即沿着两条路径展开:第一,官方三权完全切割路径;第二,持有权母权化路径。两条路径分别走完,数据持有权的概念分叉便会显露。
一、第一条路径:官方三权完全切割
官方立场的核心,是将数据持有权、数据使用权、数据经营权作完全切割。所谓完全切割,并不是说三者在事实运行中毫无关联,而是说三者在规范结构上彼此独立:有持有权,不当然有使用权、经营权;有使用权,不当然有持有权、经营权;有经营权,也不当然有持有权、使用权。
在这一结构中,数据持有权的功能,是保护权利人自行持有或委托他人代为持有合法获取数据的状态,重点在于防范他人非法窃取、篡改、泄露或者破坏。数据使用权的功能,是允许权利人通过加工、聚合、分析等方式,将数据用于优化生产经营、提供服务、形成衍生数据等活动。数据经营权的功能,则是允许权利人通过转让、许可、出资或者设立担保等方式对外提供数据。
由此可见,官方三权完全切割立场的基本逻辑是:持有、使用、经营分别解决不同问题。
持有权解决“谁的合法控制状态应受保护”;
使用权解决“谁可以加工、分析、内部利用”;
经营权解决“谁可以对外提供、许可、转让、出资、担保”。
在这一立场下,使用和经营与持有,成为独立的权利模块。问题随之产生:如果使用权、经营权都可以独立于持有权,那么狭义持有权自身究竟还剩下什么?
二、“使用、经营无须持有”的现实安排
第一类,是使用脱离狭义持有。
其一,隐私计算、可信执行环境、多方安全计算与联邦学习。在这些安排中,数据停留在原持有方或受控计算环境中,使用方不取得、不复制原始数据,而是在受控环境内完成分析、训练、建模或者核验,最终取得的是统计结果、模型参数、核验结论或者其他计算产出。若“持有”被理解为对原始数据资源本身的自主管控,那么使用方并未取得持有权。
其二,数据沙箱或者数据保险箱。分析者在数据持有方设定的隔离环境内操作,只能在规则允许范围内提交任务、查看结果、导出经审核的产出,不能将原始数据带离沙箱。此时,分析者享有某种使用机会,但并不享有对原始数据的持有权。
其三,接口调用。使用方通过 API 发出查询请求,系统返回结果。使用方可以基于返回结果开展业务,但不取得可由自己保存、复制、迁移、再许可的数据副本。此时,使用方取得的是调用能力或结果利用能力,而不是原始数据的持有状态。
这些安排表明,在官方三权完全切割立场下,“使用”确实可以与“持有”分离。使用权并不必然表现为对数据副本的保存,也不必然表现为对数据资源本身的自主管控。
第二类,是经营脱离狭义持有。
这里需要区分两种主体。一种主体只是数据交易、登记、撮合、合规审查、计价、交付辅助中的服务方。它们不一定享有数据经营权,而只是享有中介服务利益或者合同上的服务权。另一种主体则依法或依约取得对外提供、许可、销售、转授权或者运营数据产品、数据服务的权限,但原始数据仍由原持有人、托管方或者受控技术环境保管。真正构成“经营而不持有”的,是后一种安排。
其一,代理许可或者委托经营。数据权利人授权数商以代理人身份对外开展数据产品销售、接口许可或者数据服务推广,数据仍部署在权利人系统内,数商负责市场端经营和交易安排。此时,对外经营能力与原始数据持有状态分离。
其二,数据信托或者数据托管结构中的管理处分与技术保管分离。受托人或者管理人负责对外安排许可、收益分配和交易结构,数据则由独立保管方、技术平台或者原始持有人持有。此时,经营性管理权限与事实保管状态并不重合。
其三,数据出资、担保或者收益权融资安排。权利人可能以数据资源、数据产品或者相关收益权为融资基础,但数据本身仍存放于云平台、托管机构或者原业务系统中。此时,处分或融资安排所针对的,是数据利用利益、经营收益或者合同化权能,而不是单纯“我正保存一份数据”这一事实状态。
将上述两类安排合并观察,可以得出一个概念判断:在官方三权完全切割立场下,持有权并不是使用权和经营权的当然基础。使用权、经营权各自独立之后,狭义持有权自身便主要剩下一种合法控制状态,或者说,是法律承认其合法性的数据holding。
现实中,同一主体完全可能同时享有持有权、使用权和经营权。自行采集生成并自主经营数据的平台企业,就是三权集于一身的典型。问题在于,一人身兼三权,并不会改变持有权作为单项权利的内容。若把使用权、经营权从持有权中切割出去,剩下的持有权本身,便主要是对数据的保存、控制、维护、代持或自主管控状态。
云托管、数据沙箱、接口调用、管道传输、数据保管等安排的意义,正在于让“持有”单独显现。它们说明:狭义持有并不等于使用,也不等于经营。狭义持有只是持有。
三、既是数据holding,防御已被行为规范高度覆盖
如果狭义持有只是合法控制状态,那么唯一可能附着其上、使其具有权利意味的规范内容,便是防御:不许他人非法窃取、篡改、泄露或者破坏所持有的数据。除此之外,纯粹的持有很难再提出积极权能。加工、聚合、分析属于使用权;转让、许可、出资、担保属于经营权;收益和处分也只有在使用、经营或者合同安排中才有现实意义。
问题在于,这种防御功能在现行法中已经被行为规范高度覆盖,而且这种覆盖在相当程度上具有对世性,并不以合同关系为前提。
《个人信息保护法》第十条将禁令直接指向“任何组织、个人”,规定任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。《数据安全法》第三十二条同样面向任何组织、个人,规定收集数据应当采取合法、正当方式,不得窃取或者以其他非法方式获取数据。《网络数据安全管理条例》也禁止窃取或者以其他非法方式获取网络数据、非法出售或者非法向他人提供网络数据,并要求网络数据处理者采取加密、备份、访问控制、安全认证等措施,保护网络数据免遭篡改、破坏、泄露、非法获取、非法利用。
由此可见,无论所涉是否为个人信息,“持有的数据不被他人非法窃取、侵入、篡改、泄露或者破坏”这一状态,在行为规范层面已经受到面向不特定主体的保护。并不是说公法规则能够完全替代私法请求权,而是说:如果狭义持有权只想表达“他人不得非法侵害我的合法控制状态”,那么这一规范功能已经由个人信息保护、数据安全、网络数据安全、刑事规制、行政规制和竞争法规制共同承担。持有权在这里提供的,更多是一个概念标签,而不是一套独立的行为标准。
进一步,可以将“他人取得数据”的情形拆成三格。
第一格,是以窃取、侵入、非法获取等方式取得数据。这正落入上述行为规范的射程。个人信息场景由《个人信息保护法》规制,一般数据场景由《数据安全法》《网络数据安全管理条例》及相关刑事、行政规则规制。此时,违法性的判断并不需要先确认一项完整的数据持有权。
第二格,是以正当方式从公开或者半公开渠道采集数据。此时,数据的非排他性和流通价值应当得到尊重。最高人民法院指导性案例第264号即指出,对于不属于国家秘密、个人信息和商业秘密的数据信息,应允许其自由流动,非因法定事由不应过度管控,以防止形成“数据壁垒”和“信息封闭”。在该格中,正确处理不是“由持有权禁止他人接触”,而是原则上不应禁止。持有权在此无从发挥排他效力。
第三格,是数据虽公开或者半公开,但他人以绕开、破坏技术管理措施,或者违反服务协议、搭便车、破坏竞争秩序等不正当方式取得并使用。此时,单纯的“窃取”禁令可能不总是足够,但《反不正当竞争法》第十三条已经提供了更直接的规制路径:经营者不得以欺诈、胁迫、避开或者破坏技术管理措施等不正当方式,获取、使用其他经营者合法持有的数据,损害其他经营者的合法权益,扰乱市场竞争秩序。
有人可能主张,第三格恰好证明持有权仍有用武之地。因为《反不正当竞争法》第十三条保护的是“其他经营者合法持有的数据”,而“合法持有”可以被理解为数据持有权的事实基础。这个说法有一定道理,但仍需要区分两件事:定义上的覆盖,不等于功能上的“出力”。
名词解释当然可以将“防范非法违规窃取、篡改、泄露或者破坏”列为持有权内容;从字面上看,绕开技术措施抓取数据也可以被归入“非法违规获取”。但问题在于,“非法”或者“不正当”的判断并不是持有权自身提供的,而是由《反不正当竞争法》、合同、平台规则、反规避规则以及数据安全规范填入的。换言之,持有权并不告诉我们何种获取方式违法、何种采集方式正当;它只是把已经由其他规范判断为违法或不正当的行为,重新描述为对“持有”的侵害。
这一点可以用一个例子说明。真正的强排他权,其排他性不完全依赖取得手段。例如对一辆车的所有权,即使暂时不讨论盗窃罪,未经所有权人同意取走车辆这一底线仍然存在。但公开数据不同。若数据本身处于可接触状态,又不涉及国家秘密、个人信息、商业秘密或者其他法定限制,那么法律并不存在一条普遍的“未经持有人同意不得接触该数据”的底线。第三格所禁止的不是“接触数据”本身,而是“不正当地接触、获取、使用数据”。既然“不正当”来自行为规制,狭义持有权在此便不是独立权利来源,而只是行为规制所保护的利益位置。
因此,综观三格,狭义持有对应的防御,在每一格中都有不依赖完整持有权的出路:或归于个人信息保护、数据安全、网络数据安全和刑事、行政规制;或归于数据流通原则而本不该禁止;或归于反不正当竞争法对合法持有数据利益的行为规制。持有权在其中的贡献,主要是辅助识别“谁处于合法控制状态”,而不是提供一套独立的排他规则。
四、狭义持有权的残余功能及其限度
防御既已由行为规范高度覆盖,狭义持有权还能添上什么?通常可设想三项残余功能:私法救济、交易确定性和资产化基础。但逐一考察,这三项功能都难以由狭义持有权单独承担。
第一,为持有者本人提供私法上的停止侵害、删除数据、损害赔偿等请求。这个方向最能说明狭义持有权的可能价值。因为公法禁令虽可确认违法性,却不总是自动转化为持有人自己的民事请求权;行政处罚也不当然填补持有人损失。因此,一项私权似乎可以补上持有人自己的索赔。
但这一功能在多数高发场景中已由其他路径分担。个人信息场景中,个人信息主体可以依据《个人信息保护法》主张查阅、复制、更正、删除、停止违法处理和损害赔偿。经营者之间的不正当数据获取、使用场景,可以依据《反不正当竞争法》第十三条及其民事责任规则主张停止不正当竞争、赔偿损失。商业秘密数据可走商业秘密保护路径,合同授权范围内的数据滥用可走违约责任,造成民事权益损害的也可在侵权法框架下展开。
这并不是说持有状态完全没有私法意义。它当然可以作为识别受保护利益的起点。但“以合法持有为利益位置”与“创设一项独立的数据持有权”并不是一回事。前者属于行为规制加利益保护,后者才是赋权模式。《反不正当竞争法》第十三条正是前者:它并未先规定经营者享有一项完整的数据持有权,再从该权利推出排他请求;而是直接禁止经营者以不正当方式获取、使用其他经营者合法持有的数据。由此可见,在私法救济层面,“合法持有”足以作为利益识别标准,未必需要升格为完整产权。
第二,为交易和融资提供确定性。这一功能更难落在狭义持有权头上。交易相对方真正关心的,不是某主体事实上是否保存数据,而是其是否有权使用、许可、转授权、对外提供、形成数据产品、收取收益,以及相关授权是否受到个人信息、商业秘密、知识产权、公共数据管理规则和合同限制。
换言之,交易处分的对象从来不是“我正持有”这一状态,而是“我能让你如何使用”“我能否对外提供”“我能否许可你再许可”“我能否承诺来源合法”。这些问题属于数据使用权、数据经营权、合同授权、登记审核和合规审查的范围。官方也明确将对外转让、许可、出资、设立担保等内容放在数据经营权之下,而非数据持有权之下。
第三,为数据资产化或者入表提供基础。这一功能同样不能由狭义持有权单独完成。数据资源入表关注的是合法拥有或控制、预期经济利益、成本或价值可靠计量、业务模式、权利受限情况和信息披露等因素,而不是“有数据持有权”这一单一标签。持有状态可以成为判断控制的事实材料之一,但不能替代会计确认、计量和披露规则。
因此,狭义持有权不能解决一般数据交易中的权源确认、授权链条、平行持有边界、数据产品经营和资产化问题。它最多为这些问题提供一个事实性或防御性的起点。真正解决这些问题的,是数据产权制度整体,尤其是数据使用权、数据经营权、合同、登记、合规审查、个人信息保护、数据安全规则、反不正当竞争法、会计准则和交易场所规则。
由此可得出第一条路径的结论:如果按照官方三权完全切割立场展开,并将使用、经营彻底独立于持有之外,那么狭义持有权大体会收缩为合法控制状态的防御性保护。它不是毫无意义,因为它可以辅助识别“谁合法控制了数据”;但它作为独立产权的增量价值有限。纯持有意义上的持有权,难以承担数据产权制度的主轴功能。
五、第二条路径:将持有权构造为母权
与官方三权完全切割立场不同,持有权中心论选择重新界定“持有”。在这一理论中,持有不再被理解为单纯保存、控制或者代为保管数据,而被理解为对数据的实际控制并能决定其利用方式。换言之,持有是一种内含利用可能的规范控制。
在这一体系中,数据持有权不再是与数据使用权、数据经营权并列的一项权利,而是使用权、经营权得以分割、派生的基础性权利。数据使用权和数据经营权不是与数据持有权之间形成“分置”关系,而是在持有权内部形成“分割”关系。数据所有权则被虚化,主要在数据生产或者初始归属阶段保留框架意义;真正承担数据利用功能的,是被实化的数据持有权。
这一理论结构可以分为三个层次。
第一,持有被理解为控制与利用能力的结合。在持有权中心论中,“持有”不只是数据在某主体服务器、系统或者存储介质中的事实状态,而是主体能够基于合法控制决定数据如何被使用、加工、许可、经营的规范位置。由此,持有权不仅具有防御功能,也可以包含使用、收益、处分等积极权能。
第二,使用权和经营权被解释为持有权内部的具体权能。数据使用权对应的是持有权中的加工、聚合、分析、内部利用功能;数据经营权对应的是持有权中的转让、许可、出资、设立担保、对外提供等外部流通功能。这样一来,使用权、经营权并不脱离持有权存在,而是在持有权之下具体展开。
第三,事实持有与权利意义上的持有被区分。云托管、数据备份、受托处理、沙箱保管、管道传输等场景中,某些主体虽然技术上接触、保存或者维护数据,但不能自主决定数据利用方式。持有权中心论可以将这类主体解释为事实持有人、代持人或者受托处理人,而非完整意义上的数据持有权人。相应地,权利意义上的持有权人,是能够基于合法控制决定数据利用方式的主体。
由此可见,持有权中心论并不是简单扩大狭义持有权,而是改变“持有”的定义。它将持有从事实控制转化为规范控制,并以此重组持有、使用、经营之间的关系。在这一结构中,使用权、经营权之所以需要防御保护,并不是因为它们与持有权并列之后又要借助持有权的防御功能,而是因为它们本来就是持有权内部的具体权能;持有权的防御自然覆盖其内部展开的使用和经营。
这一方案与官方三权完全切割立场存在结构差异。官方立场中,持有权、使用权、经营权分别独立,三者可以分别配置;持有权中心论中,持有权处于基础位置,使用权、经营权从持有权中分割而来。官方立场将“使用、经营”读出于持有之外;持有权中心论则将“使用、经营”读入持有之内。
因此,二者的分歧不是是否承认数据可以被使用、经营,也不是是否承认合法持有状态应受保护,而是如何理解持有与利用之间的关系。官方三权完全切割立场把持有理解为一项独立且较薄的权利;持有权中心论则把持有理解为一项内含利用可能的基础性权利。
结语
两条路径推理完,可以看清:它们共用“持有权”之名,装的却是两个不同概念。
第一条路径的“持有”,是官方三权完全切割立场下的狭义持有。它指向合法控制状态,主要功能是防范他人非法窃取、篡改、泄露或者破坏。由于这一防御功能已在行为规范层面由个人信息保护、数据安全、网络数据安全、反不正当竞争以及刑事、行政规制高度覆盖,狭义持有权作为独立产权的增量价值有限。它可以作为合法控制状态的识别工具,却难以成为数据交易和数据利用的主轴。
第二条路径的“持有”,是持有权中心论中的广义持有。它指向内含利用可能的规范控制。唯有在这一意义上,持有权才可以成为使用权、经营权的母权;使用权和经营权也由此不再是与持有权并列的权利,而是从持有权中分割出来的具体权能。
由此可知,关于数据持有权的真正问题,并不是它“重要”还是“不重要”,而是“持有”一词应当承载多少规范内容。若坚持官方三权完全切割立场,就应当承认狭义持有权只是“较薄”的合法控制状态保护,真正的数据流通和交易安排主要应放在使用权、经营权、合同和行为规制之上。若采取持有权中心论,则需要将持有重新界定为内含利用可能的规范控制,并据此将使用权、经营权纳入持有权内部。
大家如何看?以及业界需要什么样的持有状态保护?或者什么样的持有权?
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
