【作者】衣俊霖
【内容提要】
论作为法律关系的数据持有
衣俊霖 上海交通大学凯原法学院助理教授、博士后研究人员
摘要:在数据产权“三权分置”的框架下,“数据持有”是一个具有奠基性意义的重要概念。数据持有兼具事实与规范二重性,实为一项法律关系——以针对数据的实力控制为事实基础,在法律上产生主体间的权利义务。就事实维度而言,数据持有者以数据基础设施为控制架构,形成对“数据副本”的事实支配。经复制共享操作,新的数据副本不断得以创建,并由不同持有者予以控制。在规范维度,数据持有具有复合性的关系结构,可以从静态和动态两个维度加以解析,具体涉及持有者与不特定他人、持有者与来源者,以及先手与后手持有者等多组权利义务。随着数据的流通共享,数据持有者之间形成一个多层、动态的持有关系网络。为平衡各方的利益冲突,有必要对数据持有进行类型化分析,实现法律事实与价值规范之间的相互调适。特别地,根据“持有本权”之有无,可划分出有权持有与无权持有,并在此基础上进一步建立分类体系,从而对不同的持有类型构建更细致的权利义务内容。
关键词:数据产权;数据持有;控制架构;数据副本;持有本权
数据产权法律制度的构建,是学界持续关注的一项重要议题。自《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称《数据二十条》)出台以来,有关数据产权的“三权分置”设计引起学界持续开展相关研究。
三权分置框架下,“数据持有”概念具有重要的实践和理论价值。数据持有处于数据流通生命周期的前端,是构建数据产权制度的天然切入点,后续的加工、使用和经营均以持有为前提。数据三权中亦以持有权尤为瞩目,而对持有权的解读必须奠基于数据持有概念。同时,数据持有正成为数据确权之争的重叠共识区域。赞同数据确权者,尽管在数据财产权的构建策略上有所差异,但多把数据持有视为一项基础权能。持批判态度者,虽对数据财产权的价值意义有所质疑,亦非常重视持有者对数据的事实持有(或控制)状态,并以此作为数据权益保护和共享流通的出发点。故此,数据持有是构建数据产权制度的基石性要素。
数据持有概念具有事实与规范的双重面向,是经验事实与制度规范间的沟通桥梁。数据持有以事实控制为基础,持有者借助技术手段控制数据的访问权限;且法律对这一事实状态加以保护,他人未经同意不得恣意访问数据资源。以数据持有为媒介,数字空间的技术架构、控制措施与法律空间的权利义务、制度规范发生相互关联。有鉴于此,本文从法律关系的视角对数据持有概念进行全面解读。在基本的概念比较和辨析之后,从事实维度上对数据持有的控制基础、客体对象以及控制保护模式进行分析,进而在规范维度上对数据持有的关系结构以及主体间的权利义务加以阐释,构建数据持有的类型化框架以建立事实与规范的对应关系。
一、数据持有的概念比较和辨析
“持有”是一个既旧又新的概念,传统刑法和民法领域中已存在“持有”的概念。随着《数据二十条》的出台,“持有”一词开始与“数据”这一无体物产生关联,使得“数据持有”具有了全新意涵。此外,不少学者在论述“数据持有”时,将其与“占有”进行类比乃至将两者等同起来。因此,有必要对数据持有和其他相似概念加以辨析和比较,划定数据持有概念的核心区域。
(一)作为事实描述的持有概念
持有概念在我国刑法和民法领域均有所涉及。在刑法领域,持有是颇为重要的一个基本概念。刑法上的持有,一方面与持有犯概念密切相关,另一方面对区分侵占与盗窃有重要价值。持有在刑法中究竟是“行为”还是“状态”目前仍存争议,但其核心意义是明确的,即行为人对物的事实支配。民法领域中,学者对持有概念的探讨相对较少,尽管在民事立法中能找到“持有人”的说法。
无论民法还是刑法领域,持有主要以一个事实概念的面目而出现,这一特征在其与占有的对勘中可得到彰显。刑法持有与民法占有的异同是一项法学常识。两者均强调行为人对物的事实支配,因而占有与持有在事实维度上存在重叠。例如,受托人与寄托物的关系同时满足民法占有与刑法持有的定义。然而,两者之差异也是非常明显的。刑法持有主要是一个事实性概念,强调对物进行直接、实际的支配和控制。相比之下,民法中的占有实乃一项法律关系。经由规范上的利益衡量和价值判断,导致法律上的占有与纯粹事实的原初占有存在差异。故此,刑法持有之于民法占有,除因法律部门不同而导致的适用差异外,主要区别在于规范对事实的观念化改造程度。民法占有的观念化程度较高,可脱离事实之管领力而成立占有。刑法持有的观念化程度较低,以事实上的支配为必要条件。以占有继承为例,继承人未建立事实管领仍可取得占有,但不构成持有。又如,占有存在直接与间接之分,而持有则无此分类。民法领域中,也可通过与占有概念进行比较来澄清何谓持有概念。例如,萨维尼在《论占有》中对持有与占有的关系进行了非常精辟的论述。在萨维尼看来,持有是占有的事实基础,是为论述占有这一法律概念而引入的事实概念。持有概念本身不会单独成为立法的对象,只是由于与占有的关系而为法学家所关注。相较于占有,持有概念在传统民法领域主要是一个事实概念,其观念化程度较弱,不像占有那般“松弛了事实上的关联”。
综上,在传统刑法和民法领域中,持有主要是一个针对法律事实的描述性概念。在事实与规范的分野下,持有概念强调针对客体(特别是有体物)的事实控制力,因此在法律上用于描述特定的支配控制行为或状态。
(二)作为法律关系的数据持有
数据产权语境下,数据持有应当定位于一项法律关系。法律关系是联结生活世界与规范世界的纽带。法律关系奠基于经验性的事实关系,但法律并不评价生活的全部,而只撷取部分内容作为法律关系的考察因素。本文将数据持有定位于一项法律关系,视其为数据流通“生活世界”与数据产权“规范世界”之间的媒介。诚然,不能仅凭《数据二十条》这一政策文件中的“持有权”带有一个“权”字,就认为持有权是法律权利,而数据持有就是法律关系。从法律关系视角来解读数据持有概念,目的在于揭示其所具有的事实与规范的二重性,并在此基础上开展数据产权制度的体系构建。数据持有的一端处于作为生活世界的数字空间中,而另一端则连接到法律规范的世界。数据持有奠基于持有者对数据的事实控制状态,但数据持有并未止步于纯粹事实层面,而是具有法律规范性的面向。
作为一种法律关系,数据持有关系以持有者对数据的事实控制为要件,在规范层面产生特定的法律效果,使控制事实成为法律的规整对象,进而对数据的流通交易产生法律上的影响。数据持有法律关系成立后,一个基本的法效果是对持有者控制数据的事实加以保护。然而,若将数据持有视为一项单纯的事实,则混淆了持有者对数据的事实支配关系与持有者和其他主体的权利义务关系。对数据持有的分析,应当超越纯粹的事实控制层面,进入权利主体之间有关数据资源的相互关系。数据持有对“事实持有”的超越性,使数据产权法律制度的构建和设计更具灵活性。数据持有作为一种法律关系,未必要以纯粹的持有事实作为充分必要条件,而可以允许规范层面对其事实构成予以修正。
将“数据持有”视为法律关系,这与前文所述作为事实概念的“持有”存在差异,但并未超出持有之语义射程。仅就语词表达而言,“持有”可能指向三个范畴层次,一是作为“事实”的持有,二是作为“法律效果”的持有,三是作为“法律关系”的持有。将持有视为法律关系,并不意味着抛弃持有的事实维度,而是将事实面向和规范面向加以综合。故此,持有概念在数据产权语境下具有了更丰富的内涵。当然,纯粹就术语选择而言,“控制”“管领”等其他表述与“持有”在意思上亦颇接近。若置换为其他术语,并不影响本文的核心逻辑。
(三)数据持有不等于对物占有
探讨数据持有时,很容易使人联想到占有概念。随着数字技术的发展,人类早已能够对数据实施控制,这似乎正符合占有的定义——对物的事实管领和控制。实际上,把数据持有纳入物权占有制度是一个颇具吸引力的想法。若数据持有是一种占有,则有关民法占有制度的丰富文献可径直引入数据领域,形成一系列的制度规则和知识生产。此外,将数据视为占有客体,亦并非毫无门径可循。尽管传统物权法以有体物为客体,但无线频谱等无体物的规定亦已见诸物权法。将占有客体扩大到无体物上,理论上似乎也能行得通。若果真如此,有关数据持有的探讨可就此作罢,直接参考物权占有的相关理论和制度规范即可。
诚然,数据持有与物之占有确实存在相似性,但这不意味着两者能等同起来。数据持有和物之占有都是基于支配事实的法律关系,事实性色彩颇为强烈。两者均以对客体对象的事实支配力为基础,进而在法律上产生特定的效果和意义。这一相似性体现在对两者的表述上,数据持有和对物占有都涉及“支配”“控制”“管领”等相近的词语。故此,数据持有和物之占有在事实维度上具有同质性。然而,仅从语词的相似性入手,可能会忽视两者在事实条件和规范效果上的差异。
对比数据持有和物之占有,两者在事实和规范两个维度均存在差异。事实层面而言,作为持有对象的数据资源,与作为占有对象的有体物之间有显著区别。占有强调对物的独占性,不能像数据一样为许多人同时利用。相比有体占有物,数据具有无限可复制性,数据流通的底层逻辑与传统商品流通迥然不同。除考察事实维度外,在规范面向上对两者加以辨析更为重要。在法律效果和意义上,不宜将数据持有视为对物占有。一方面,将占有制度引入数据领域,存在体系性上的水土不服。占有作为物权法上的重要概念,绝不只是描述事实的术语而已,其在法律上具有丰富的法效果。占有可进行转移、继承或合并,得为自力救济,区分直接与间接占有,具有权利推定功能等。这些规则是否亦能适用于数据持有,显然存在疑问。以间接占有为例,基于间接占有人与直接占有人的媒介关系,可以形成“占有连锁”以扩大占有的保护范围。然而,数据持有是否存在直接与间接之区分,以及如何在法律上划定持有的保护范围,应立足于数据流通的具体场景,不可照搬占有制度。占有制度一旦径直套到数据领域,可能会成为束缚制度创新的枷锁。另一方面,将数据纳入占有法律制度之中,可能会导致占有的空泛化。如果占有对象范围既包括现实空间的物,又包括虚拟空间的数据,还能对规范空间的权利实施准占有,就会出现“占有是个筐,什么都能往里装”的尴尬局面。一个无所不包、涵义模糊的占有概念,在法律意义上将变得大而无当。若如此,借占有解释持有,非但未能使后者更为严谨、精确,反而适得其反。
综上,尽管数据持有与对物占有确有一定相似性,但该相似性更宜作为分析数据持有的思维工具,不足以作为对数据持有加以定性的依据。通过事实和规范维度的比较,数据持有与物之占有存在显著差异,两者无法归入同一类别,故应对两者在概念上加以明确区分。
二、数据持有的事实控制基础
作为一种法律关系,数据持有兼具事实与规范的双重面向。持有者对数据资源的控制,是构成数据持有法律关系的事实条件。若无事实上的数据持有状态,则无法律上的持有关系。故此,以下将首先对数据持有者对数据资源的事实支配和控制关系加以阐释。
(一)数据控制与基础设施架构
阐述数据持有的事实基础时,有必要引入“数据控制”这一辅助性概念。数据持有作为法律关系,在事实与规范之间建立了联结。数据处理者对数据资源在事实上的持有状态,是形成数据持有法律关系的前提基础。作为法律关系的数据持有,在逻辑上奠基于数据的事实持有状态。从这个角度来说,提到“数据持有”时,既可能指向“持有事实”,也可能指向“持有法律关系”。若不明确所指称之内容,会造成理解上的混乱。引入“数据控制”概念,旨在借助一个纯粹事实概念,与作为法律概念的“数据持有”相互区分。如此,“控制”成为“持有事实”的等价物,避免了“持有就是基于持有事实的法律关系”式的同语反复。控制概念本身不是一个法律概念,也不会单独成为法学研究的对象,但由于其与数据持有存在关联,因此进入法学的视野之内。处理者对数据资源的控制状态,构成数据持有的事实基础。实际上,作为一个工具性概念,将控制置换为“管领”“支配”等表述亦并非不可。选择“控制”的表述,主要出于两方面考虑:一是既有文献中,“控制”一词常用于对刑法持有、民法占有等法律概念进行描述,其本身就定位于一项事实性概念,没有太多的规范性色彩。二是数据产权相关研究中,已有不少学者使用“控制”一词来描述处理者与数据客体之间的事实关系。因此,本文亦使用控制概念来刻画数据持有的事实面向。
对数据的控制行为,是借助数据基础设施来加以实现的。数据存在于数字空间中,对数据的控制力最终可还原为代码层面的操作。实施控制的代码或算法,并非毫无规律可循,而是存在宏观结构上的稳定性,这种稳定性结构即数据控制的技术架构(architecture)。通过分析“控制的架构”,就能把握数据控制行为的本质特征。数据的控制架构奠基于数据基础设施,具体控制方法主要涉及四个层次。一是物理层,涉及硬件设备的物理安全,包括对数据中心机房的进出管控、灾备策略等。二是逻辑层,主要指操作系统相关的虚拟化、进程管理、管理员权限等内容。三是网络层,涉及对路由器、交换机和防火墙等网络通信设备的设置。四是应用层,涉及数据库和应用程序软件的权限管控。数据持有者通过数据基础设施对数据资源的访问权限进行控制,从而形成对数据的事实支配。因此,控制数据的关键在于控制访问权限。对访问权限的控制,可能涉及技术架构的多个层次。例如,借助网络防火墙、加密通信等技术以排除他人访问时,对数据的控制力体现在网络层上;而在数据库和应用程序接口(API)上进行权限管理时,则主要体现为应用层的控制。
值得注意的是,对硬件设备的控制不等于对数据资源的控制。数据存在于数字空间之中,尽管不能脱离物理空间中的存储和计算设备,但数据的控制架构主要依赖于算法和代码。数据处理者即使将数据存储于他人的服务器上,仍能实现对数据的实际控制,进而可能成为数据持有者。相比之下,存储和算力设备的控制者,若无法控制数据资源的访问权限,则不构成数据持有者。随着云计算的日益普及,许多单位已经放弃自建数据中心,转而通过租赁云服务来处理和存储数据资源。此时,数据在物理上存储于云服务商的数据中心之中,但不能据此便认为服务商是数据资源的控制者。云计算用户可通过数据加密、权限管理、安全沙箱、防火墙等技术,搭建一个逻辑上与外界隔离的虚拟数据中心,云服务商亦无法访问其中的数据资源。此时,尽管云计算用户并不控制技术架构的物理层,但仍能满足作为数据持有者的事实条件。
(二)作为控制对象的数据副本
数据持有者所控制的客体对象是数据副本,即信息在数字空间的数据复制品。目前,学界探讨数据产权时,普遍将数据与信息加以区分,数据处于符号层而信息处于内容层,前者是后者的比特形式载体。数据无法与信息完全割裂,但对两者进行区分有助于澄清数据产权与知识产权的差异。更准确来说,数据持有者所控制的客体对象是“数据副本”。以电子数据形式进行表示前,信息可能首先载于书本、磁带、胶片等原始载体,此时,相对数据副本而言还有所谓的原件或原物。若信息直接产生于数字空间,则实际上没有区分原始数据与数据副本的必要,相互传递的只能是数据副本。
数据副本与信息内容之间,存在杂多性与同一性的相互关系。数据副本的比特呈现形式,与实施数据控制的基础设施密切关联。同一信息可产生不特定数量的数据副本,尽管内容相同,但副本在编码格式和持久化方案上可能存在差异,从而在具体机器表示上有所不同。然而,即使数据副本的表现形式千差万别,所承载的信息内核可能是一致的。另外,数据副本具有易于复制和分发的特点,在数据流通过程中不断产生新副本,且各副本之间相互独立。针对其所控制的数据副本,每个持有者都可根据需要和偏好进行定制化修改,包括但不限于编码和存储格式的修改,以及对数据所载信息内容的编辑和更新。故此,各数据持有者可对各自的数据副本进行独立处理,但其控制力并不作用于他人所控制的数据副本之上。
借助数据副本的概念,可对侵害数据持有的行为进行更精确地描述。对数据持有的典型侵害行为,主要包括侵夺、妨害和非法复制。侵夺是指非法获取持有者管理权限以控制原数据副本的行为,例如,利用系统漏洞盗取系统根用户权限。妨害是指干预持有者正常使用数据副本的行为,例如,通过DDoS攻击使数据基础设施陷入瘫痪,或破坏数据密钥导致数据不可用等。非法复制是指违法访问他人数据副本并创建新副本的行为,例如,行为人侵入他人数据基础设施系统后,非法读取数据并创建新的数据副本。值得注意的是,针对占有物亦有所谓“侵夺”“妨害”的侵犯行为。相比之下,非法复制是对数据副本的特殊侵害方式。数据具有可复制性,故创建新副本时不会对原有副本造成破坏或损害。因此,非法复制并不是针对数据副本的损害行为,而是通过暂时破坏持有者对数据副本的权限控制,从而创建一个原副本的复制品。
(三)控制保护模式及其局限性
关于侵入、干扰以及窃取他人数据的禁止性规定,在现行法律制度中已经存在。法律对数据持有者的数据控制状态予以保护(简称“控制保护模式”),并非一件新鲜事。仅从这个意义上看,数据持有似乎不过是针对控制状态的一种“近乎事实的描述”。若果真如此,则数据持有与数据控制无本质差异,将数据持有视为一种超越于事实控制的法律关系,似乎有些故弄玄虚。
本文将数据持有视作法律关系而非单纯事实,故有必要对控制保护模式进行评析。控制保护模式是与财产权模式分庭抗礼的一种替代性界权方案。其基本主张可概括为两方面:其一,法律应保护数据控制者对数据资源的控制事实,他人不得非法访问数据。其二,基于控制事实,各控制者之间具有同等法律地位,不存在“主从”关系结构。法律上讲,任何控制者都有权自主处置其所控制的数据副本。概言之,控制保护模式的要旨在于,将法律保护边界与数据控制边界严格对齐。
控制保护模式的显著优点是简单易行、无为而治。借助数据处理者相互间的意思自治,以及控制架构的技术演进,似乎就能逐步形成数据要素市场的自生秩序。故此,不必再创设持有权、使用权、经营权等杂多的权利概念。此外,控制保护模式提供的是一种“弱保护”,直觉上有利于打破数据垄断,促进数据流通。毕竟,一旦数据脱离原控制者的直接控制,法律似乎默许了数据的“涓滴”或“涟漪”效应,使数据资源得以从少数人流入更多人手中,实现数据价值的充分释放。
然而,控制保护模式存在明显局限性,故有必要超越纯粹的事实控制,从法律关系视角构建数据持有概念。诚然,控制保护能一定程度上抑制部分直接侵害行为,但面对数据流通中的复杂场景则存在问题与不足。例如,控制保护对数据的许可使用行为激励不足。许可人共享数据后,被许可人成为新副本的控制者。根据控制保护模式,被许可人有权对其所控制的副本进行加工使用和经营收益,甚至私自将副本分享给第三人。此时,许可人无权请求第三人删除相关数据。此外,若被许可人破产或者成为强制执行对象时,许可人亦难以针对被许可人的数据副本行使取回权或提出执行异议。再如,控制保护模式的保护范围过于狭窄。对于侵犯数据控制事实的直接行为人,控制保护模式可对行为之违法性作出评价,然而,当数据流入第三人之手时,控制保护模式显得无能为力。一旦数据脱离控制,就会几经转手后为他人控制,甚至进入公共领域成为免费资源。如此,则数据流通交易的风险成本主要由供给方来承担,容易造成数据要素市场因供给不足而资源匮乏。
一定程度上,控制保护模式可视为数据持有关系的初级构造方式。数据流通过程中,为规制和引导数据处理行为,需在处理者之间划定规范界限。控制保护模式下,控制行为实为一种产生特定法效果的事实行为,而法律关系概念已暗含其中。只不过,控制保护模式赋予各方持有者完全同等的法律地位,使持有关系呈现出一种扁平化特征。此时,人们容易将视角局限在权利主体与数据的事实关系,而忽略了主体间的权利义务。故此,有必要超越控制保护模式的事实视角,揭示数据持有的法律关系本质。
三、数据持有的法律关系结构
基于数据持有者对数据资源的事实支配,数据持有的法律关系得以形成,并在规范维度产生特定法效果。前文已分析了作为事实要件的数据控制,以下将着重讨论数据持有关系中的主体间权利义务。
(一)数据持有的主体间关系本质
数据持有作为一种法律关系,其实质是权利主体之间的相互关系。表面上看,数据持有容易被理解为主体(持有者)与客体(数据)的“对物关系”。然而,法律关系的本质,是主体与主体、人与人的规范关系。如康德所言,若“设想一种在一物之中的权利,好像该物对我有一种责任”,这是荒谬的。身处孤岛的鲁滨逊可在事实上管领岛上之物,但这只是人对物的事实支配,而非以权利义务为内容的法律关系。存在两个及以上主体时,人与物的事实关系才会转变为人与人的法律关系。因此,作为法律关系的数据持有,不是一种持有者与数据的事实关系,而是权利主体间的、以数据资源为相关项的法律关系。从这个角度而言,数据持有与数据控制的差别得以澄清——控制是持有的事实基础,强调持有者与数据的对物关系、事实关系,而持有基于控制产生法律效果,强调持有者与其他主体的对人关系、法律关系。
数据持有是一个包含多个法律关系的综合体,构成一组权利义务的集合。法律关系往往是一个由多种关系组成的整体结构,可能包括不止一项权利义务内容。在数据持有关系中,持有者不仅有在控制架构中自主管理数据的权利,也有妥善保管数据的义务,还可能要容忍他人对数据的合理使用。此外,法律关系也未必只涉及一对权利主体,而可能是多个主体间的复合关系。对数据持有关系而言,在持有者与不特定第三人、数据持有者与数据来源者,以及不同数据持有者之间,可能存在权利主体间的复数个相互关系。
(二)数据持有关系的静态面向
数据持有的复合关系结构,可从静态和动态两个维度来加以解析。数据由单一持有者控制时,数据尚未在处理者之间产生流动,不妨将相关主体在这种情况下的相互关系称为静态关系,以区别于数据在流通交易过程中的动态权利义务关系。此时,法律应当保护数据持有者对数据资源的事实控制,同时防止持有者侵犯数据来源者的合法权益。
数据持有关系中,最典型的静态关系是数据持有者与不特定第三人之间的关系。持有者对数据资源的事实控制受法律保护,“在既没有法定事由也未经数据处理主体同意时,他人原则上应当尊重数据持有人对数据的自主持有状态,不得随意侵扰”。法律保护持有者自主控制数据的自由,因此,持有者可借助控制架构实施对数据的事实支配,进行存储、清洗、加工、使用、删除等操作。法律在持有者与其他不特定人之间划定了一个排他保护范围,他人不可私力破坏持有者对数据的控制状态。需指出,这一保护效能与持有在成因上是否合法无关。合法持有者应受保护自不必多言,对于非法数据持有而言,法律亦提供相应保护。举例来说,若行为人非法爬取他人数据资源,由此形成的数据持有显然缺乏合法性基础。尽管如此,包括被爬取方在内的所有他人,不得恣意以技术手段侵犯行为人对数据的事实控制。法律对持有者予以保护的原理,是为避免数据处理者以私力相互技术攻击,从而确保数字空间的秩序和平。
另外,数据持有者与数据来源者之间存在相互关系。所谓数据来源者,主要是指数据信息的来源主体,包括自然人、法人和其他组织。数据来源者的类型是多元化的,故数据持有者的责任和义务也具有多样性。随着个人信息在各国得到立法保护,个人成为特别受到重视的一类来源者。当个人信息主体要求删除、更正、转移或撤回相关数据时,数据持有者需根据法律法规及时响应相关请求。对来源于政务部门或公共服务机构的公共数据,持有者可能是负责授权运营的市场主体,其权利义务将受到授权运营协议以及法律法规的约束。当企业作为数据来源者时,持有者与来源者的权利义务还可能受到保密协议以及商业秘密保护的约束。此外,无论来源者类型如何,持有者皆应承担安全保管义务,应对数据处理过程进行妥善管控和记录。
(三)数据持有关系的动态维度
持有关系的动态维度,主要关注数据的流通交易过程。数据从一方流向另一方,在主体间形成复杂、多层的相互关系。此时,交易安全和利益平衡成为重要考量因素,从而在保障各方合法权益的基础上,促进数据的高效利用。动态关系主要涉及“相续持有”中的先手持有者与后手持有者的权利义务,这在数据的复制和共享过程中是比较常见的。进一步探讨前,有必要先对“相续持有”和“平行持有”加以区分,将相关讨论限定在相续持有情况下。若两个数据持有者间存在一个由此及彼的流转链条,该链条由若干数据复制操作构成,则两者存在相续持有关系。若两个持有者所控制的数据副本在内容上相同或相近,但并不存在前述的流转链条,则构成平行持有。平行持有的典型例子是,两个数据处理者分别独立对相同信息源进行数据采集,但相互没有以任何方式接触对方数据。在平行持有的情况下,两个持有者之间并不存在基于持有事实而产生的权利义务关系。
明确先手与后手持有者之间的权利义务,对保障交易安全、促进数据市场繁荣至关重要。具体来说,可根据后手持有者是否通过侵害行为而取得数据副本,进行分类讨论。其一,如果先手持有者许可后手持有者复制并使用数据,则两者的权利义务受许可协议约束。后手持有者通常仅在协议期限内使用数据,协议期满后,则应停止使用并删除所持数据副本,否则就侵犯了先手持有者的权利。其二,后手持有系侵犯前手持有而形成时,法律关系变得更为紧张。此时,被侵害的前手持有者有权请求后手持有者删除或归还数据。此外,若后手持有者进一步将数据分享给第三人,此时各方主体之间的利益冲突变得比较复杂。与控制保护模式不同,本文认为未直接接触的持有者之间也存在权利义务。例如,若特定主体从非法持有者处复制了数据副本,则可能承继直接前手的瑕疵,对间接的前手持有者负有删除或归还数据的法律义务。
由于数据具有可复制、易传播的特点,如何处理数据流通过程中不同持有者间的权利义务,其复杂性要更甚于有体物流转过程中不同占有者的相互关系。以下将引入持有关系网络的概念,从而更清晰地刻画动态的数据持有关系。
(四)持有关系网络中的利益冲突
随着数据的动态流动,通过合法或非法的共享复制操作,不同的主体围绕数据形成一张持有关系网络。数据可无限复制,故可在不减损原初持有者所持数据副本的情况下,不断拷贝和扩散新的副本。数据从先手持有者流向不特定数量的后手持有者,犹如河流从上游向下游、从干流到支流,编织出一张复杂的水系网络。类似地,来自同一信息源的数据,经由层层共享与复制而产生一系列数据副本,逐渐形成一个错综复杂的数据持有关系网。在该关系网络中,不特定数量的数据持有者分别控制着不同的数据副本,而相关数据副本都可溯源到某个特定的信息来源。
数据持有者关系网络中,不同主体间可能存在利益冲突,以下试举一例说明。A自主采集地理信息数据并有偿共享给B,禁止B二次分享。C非法复制B持有的数据,并有偿共享给D和E。D知晓数据系非法取得,故意压价购入;E不知该数据来源不法并支付公允价格。数据的上述流动过程勾勒出一张数据持有关系网。其中,存在两条相续持有的关系链条,一是A—B—C—D,二是A—B—C—E。此外,D与E之间构成平行持有。各方均控制着数据副本,但取得持有的原因大不相同:A因自主采集而取得持有,B基于与A的协议取得持有,C非法复制了B的副本,D知晓所购数据来源不法,而E则不知情且支付了合理对价。
假使各方持有者的法律地位完全相同,权利义务毫无二致,则难以实现妥当的利益平衡。首先,原初持有者的权益缺乏足够保障。上述例子中,若D将所持数据进一步转售或公开到网上,则A所持数据的经济价值将大打折扣乃至归零。其次,守法交易者吃亏,恶意交易者得利。以前例中的B与D为例,B受到许可协议之约束,只能将数据限于自己使用,转售数据则需承担违约责任。相比之下,D明知其所持有之数据存在来源瑕疵,但由于D并未直接侵犯A的持有,似无理由可阻止其对所持有的数据进行处置。此外,若为保护原初持有者的权益,将基于非法持有而产生的数据流通活动一律视为非法,此一做法亦有失公允。前例中,D与E尽管所持有的数据均来源于非法持有者C,而最终来源可追溯到A。若要求D与E均须删除所持数据、返还所得利益给A,则完全忽略了对交易者的信赖利益保护。实际上,若数据交易者为证明其交易行为的合法性,不得不追溯数据流通过程中的每个步骤直到权利的原初来源,则会陷入“魔怪证明”的困境,导致交易成本过于高昂。故此,有必要对不同类型的持有者加以区分对待,以对各方利益提供不同程度的法律保护。
至此可知,数据持有的静态保护效果主要以事实控制为判断条件,但持有者对第三人的追及效果以及对来源者的对抗效果,则应当根据数据持有的形成原因开展进一步分类讨论。
四、数据持有的类型以及本权
数据持有关系网中,不同权利主体之间存在着复杂的利益冲突。仅通过抽象的概念分析,不足以掌握“生活现象或意义脉络的多样表现形态”。所以,有必要将目光穿梭于规范与事实之间,对数据持有加以类型化,在丰富数据持有概念内涵的同时,得以更精细、妥善地平衡相冲突的各方利益。
(一)数据持有的类型化思维
法律对各类数据持有者均予以保护,不问形成持有的具体原因,但不同类型的持有者在法律地位上未必全然一致。借助数据持有的类型化,可以在权利冲突时确定优先顺序,对不同类型的数据持有者区分对待。同时,类型化作为一种经典的法学方法论,可以填补经验事实与法律规范之间的空隙。
类比占有的分类方法,可在理论上对数据持有进行有权持有与无权持有、自主持有与他主持有等一系列区分。其一,根据持有者是否基于法律上的原因而形成数据持有,可分为有权持有和无权持有。有权持有者与无权持有者在法律上的权利义务有重要差异,并与持有本权的概念密切相关,后文将更具体对这一分类展开分析。其二,自主持有和他主持有,这一分类以持有者是否具有所有的意思为标准。所谓所有的意思,实际上与数据所有权概念无关,而仅指持有者主观上认为数据资源归属于自己,并排斥他人的访问或使用。例如,社交网络平台控制着大量用户的个人数据,但平台不能妨碍用户访问、使用甚至删除相关数据,故平台企业是他主持有者。其三,持有在理论上还可区分为直接持有和间接持有。直接持有指持有者直接控制数据,而间接持有者并不直接控制数据,但基于一定的法律关系可请求直接持有者删除或返还数据。例如,甲将数据共享给乙,允许其在一年之内持有并使用相关的数据副本。乙复制数据后成为新数据副本的直接持有者,甲则为间接持有者。其四,根据持有者是否基于从属关系,依他人指示而控制数据,可区分自己持有与持有辅助。例如,个人信息主体直接控制个人数据时,即构成自己持有。雇员基于雇佣关系而对企业数据实施行为,则构成持有辅助人,而企业是数据持有者。除上述分类外,还可从其他维度进行分类。概言之,通过对数据持有的分门别类,有助于根据不同的事实场景在法律上进行分类处理。
以上分类旨在体现数据持有在理论上的多样性,每种类型是否具有法律上的意义,仍需根据数据流通和交易的特点具体分析。有权与无权持有,以及自主与他主持有的区分,在理论和实践上具有重要价值。然而,对持有辅助和间接持有的类型而言,则未必契合数据持有的事实条件或规制目标。例如,“持有辅助”在真实情境下未必十分常见。对物理空间的有体物而言,对物实施接收、保管和维护等行为往往依赖人力,故占有辅助概念颇为普遍。数据则处于数字空间之中,其采集、存储和复制等操作一般依赖于数据基础设施以及算法和代码。即使组织中的个人可以访问数据,但数据基础设施的控制权一般在组织手中,此时个人并未事实上形成对数据的支配力。又如,数据持有应严格以事实控制为要件,不宜照搬物权法的“间接占有”而构造出“间接持有”概念。有体物具有确定性和独占性,一物之上只有一个直接占有人。尽管通过占有连锁,可能形成多层的间接占有,但占有物是唯一的。相比之下,数据流通是更加复杂的一个过程。各持有者独立控制其数据副本,进行数据共享时亦不丧失原有副本,而只是创建出更多数据副本。同时,后手持有者又可进一步分享数据,产生更多副本。因此,持有者之间并非线性的连锁关系,而是纵横交错的网络关系。假使承认间接持有概念,则数据持有者一方面直接持有自己的副本,另一方面间接持有他人的副本。此时,直接与间接持有相互融合,权利人和义务人数量以辐射状激增,不利于澄清主体间的权利义务。另外,持有一词本就强调对客体的直接控制,若引入间接持有的概念,则过度扩张了持有的语义射程,造成持有与占有之间的概念混淆。
综上,数据持有更多关乎数据控制权限的分配和管理,而非单纯物理上的接触或保管。数据持有的类型化需要超越传统占有理论的框架,综合考虑数据的可复制性、易传播性及其对技术架构的依赖,以确保对数据持有的分类能适应数字时代的实际需求。
(二)有权持有与无权持有
在数据持有的分类中,有权持有与无权持有是一对最重要的类型。基于有权与无权持有,可以进一步构建善意与恶意持有以及瑕疵持有等概念。因此,有必要对有权持有与无权持有进行详述。
有权持有的概念,与“合法持有”之间存在细微的差异。实际上,理论和实务界在探讨数据产权时,一般会将相关讨论圈定在“合法”“依法”所形成的数据控制事实。数据持有作为一种基于事实而成立的法律关系,未必可以简单加以“合法”和“非法”的区分。例如,善意持有者可能从非法行为人处购得数据,但不宜简单视善意持有者为非法持有。又如,非法行为人将盗取的数据公开到网上,不特定主体下载数据后所形成的数据持有关系亦难以简单归入合法或非法。此外,合法与非法,是法律系统对特定法律事实所作出的结论性评价。但作出这一评价之前,先要对数据持有的成因进行分析,特别是考虑是否“基于知情同意或存在法定事由”。从这个意义上说,有权持有与无权持有是在法律事实维度的分类。
对有权持有者和无权持有者,应当在法律上赋予不同的权利义务。其一,数据来源者或其他权利主体请求删除数据时,有权持有者与无权持有者的义务不同。有权持有者可以对抗相应请求,无权持有者在面对删除数据的请求时应履行义务。例如,A与B签订数据许可使用协议,B从A处复制数据并形成对新副本的有权持有。协议存续期间,B可对抗A要求删除数据的请求;协议到期后,B应当履行删除数据的义务,否则同时构成违约和侵权。其二,在不侵犯他人合法权益的前提下,应当允许有权持有者对数据实施加工、使用和经营等用益性行为。相比之下,法律显然不会赋予无权持有者以用益性权利。诚然,无权持有者在事实上直接支配数据资源,故他人不得私力干预无权持有者实施数据用益行为。但经诉讼后,法律若对无权持有作出否定性评价,则无权持有者应删除其数据副本并返还所取得的收益。其三,有权持有者原则上可以要求侵权行为人返还基于数据产生的收益,而无权持有者则无此权利。
在有权与无权持有的分类基础上,还可进一步划分出更多子类型。例如,根据主观认知可在无权持有之下再区分出善意持有与恶意持有。若无权持有者误以为自己有权持有且无怀疑,则构成善意持有,否则,即为恶意持有者。对善意持有者,法律可以根据情况允许其继续持有相关数据,而恶意持有者则应删除或返还其所控制的数据。此外,尚有公然持有与隐秘持有、无瑕疵持有与有瑕疵持有等其他子类型,限于篇幅在此不进行展开。
(三)数据持有的本权概念
在对有权持有与无权持有进行区分时,实际上暗含了持有的“本权”(或“权源”)的概念。在既有文献中,本权概念主要出现在物权法的占有理论中。占有本权是指“得为占有的权利”,即“基于一定法律上的原因而享有占有的权利”。以有无本权为界,可区分有权和无权占有。本文多次强调数据持有与对物占有的差异性,但是,本权的概念内核在于特定事实背后的“法律上的原因”,故可将本权概念予以抽象化并引入数据产权的研究领域中。在数据产权的语境下,持有的本权即“得为持有的权利”,以此可划分有权持有与无权持有。实际上,在数据持有的既有研究中,尽管学界并未单独提炼出持有本权这一概念,但类似的观念已经蕴含其中。例如有学者认为,数据产权的意义在于确认数据价值和分配秩序的合法性,即认可相关主体“有权”组织数据资源的生产、分配和价值释放。法律之所以对数据处理者的权益加以保护,无非因其“已合法控制数据”,避免他人以法律禁止之私力进行恣意干涉。这些论述中所强调的合法性,更准确来说是指“法律上的原因或依据”,恰好可以对应到本权的概念。
数据持有与持有本权,两者应当严格加以区分。首先,数据控制事实本身不能作为数据持有的合法性基础,而必须在该事实之外寻找法律上的正当理由。否则,违法行为形成的数据控制也构成有权持有,这显然是荒谬的。其次,本权人未必是实际上的持有人。例如,自然人通过授权移动设备和相关App采集运动过程中产生的心率、步频、运动时间等个人数据。此时自然人是本权人,但并不直接控制数据,而需借助服务提供者的软硬件架构来访问数据。APP服务是数据持有者,并基于自然人的授权而构成有权持有。再次,法律对数据持有的保护不以本权为前提。有本权的持有固为持有,无本权的持有亦属持有,亦受法律之保护。
此外,借助本权的概念,可以厘清数据持有与数据财产权的关系。简言之,应当将数据财产权视为数据持有的一种本权。本文的这一论断,可从三方面加以解读。其一,基于数据财产权所形成的数据持有,构成有权持有。诚然,目前有关数据确权的探讨仍在继续,如何构建数据财产权仍未形成共识,但如果未来在立法上出现针对数据的制作者权、公开传播权、工业数据权等新型权利,这些新型财产权或可作为数据持有的本权。其二,数据持有关系的成立,不以数据财产权为前提。如前所述,有权持有与无权持有皆属数据持有,不以本权作为奠基条件。其三,持有本权未必是某一项特定权利,而可能因多种类型的权利或法律关系而产生。除数据财产权之外,持有者亦可基于个人信息权、商业秘密权、著作权等权利,从而形成有权持有。从这个意义上说,数据持有可以独立于数据财产权概念而存在,从而避免了陷入数据确权的学术争论。
结语
如何构建数据产权制度,是一项极富挑战性的时代命题。数据法学的中国式探索还在继续,实践与理论以及理论学说之间的裂隙仍有扩大之势,尚未形成令人满意的通说。仅关注实践经验,容易忽视整体制度的体系化作业;从抽象权利自上而下推演,则可能与现实产生脱节,陷入“自说自话”的困境。有鉴于此,本文将数据持有概念定位于弥合各方分歧的一块重叠共识区域。作为一种法律关系,数据持有可以在经验事实与制度规范之间建立起意义关联。数据持有奠基于对数据资源的事实控制和支配,并由此在规范维度产生一系列的法效果。通过对数据副本的拷贝、复制和扩散,持有者之间形成一张动态、层次化的持有关系网格,各方主体间的利益冲突亦伴随而来。而在平衡利益、化解冲突的过程中,对数据持有加以类型化处理就显得十分必要,并可由此划分出有权持有、无权持有、善意持有、恶意持有等情形。此外值得一提的是,“数据持有”与“数据持有权”存在密切关联。数据持有权作为法律权利,奠基于对数据持有法律关系的理解,但持有权的构建路径存在一定多元性。本文聚焦于论述数据持有,在搁置争议的同时,为未来从法律关系迈向法律权利的研究预作铺垫。