网络上那些个人数据该归谁所有
两年前,2017年5月,英国《经济学人》杂志发表文章,将数据比作“未来的石油”。自那以后,数据是“21世纪最宝贵的资源”这种观点便在传媒领域和学术界传播开来。
一年前,2018年5月25日,欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)生效。这是世界上第一个尝试对数据这块“新大陆”作出系统性阐释和规范的法律文本,但从“怀胎”之时起就备受争议。不管它的最终命运将会如何,它的诞生宣告了人类“数据时代”的正式开启。
在我看来,将数据比喻成“未来的石油”,只是一种令人印象深刻的文学方式。它对于我们正确认识数据的本质、进而采取有的放矢的应对举措是无益的,更可能还会产生严重的误导。
将今天的数据比作100年前的石油,建立在一个看起来十分可靠的共性上:两者都是各自时代中最重要的经济资源。
毫无疑问,数据在今天是越来越重要的资源。目前,全球市值最高的10家公司中,有7家是互联网科技公司。除了苹果和微软,其余5家都是直接“经营”数据的公司——谷歌和Facebook对用户的个人特征和兴趣了如指掌,亚马逊对用户过往的消费行为一清二楚,腾讯和阿里巴巴不仅掌握了数亿中国人的所见所闻所想和消费情况,还充当着他们的数字钱包,甚至帮助逐渐建立起对未来经济和社会发展至关重要的信用体系……
但是,数据不是石油。在数字经济时代,传统认知中“资源”这个概念本身的含义已经日益捉襟见肘,它迫切需要被改写。
首先,对于传统意义上的“资源”或者“资产”而言,最重要的一条属性便是,要对“所有者”进行清晰的界定。然而,对数据这种21世纪的新型资产来说,“所有者”或“产权”是一个奇怪的概念。
谷歌、Facebook上的那些数据,难道是属于这些公司的私有资产吗?显然不是。在中国,过去几年里舆论汹汹的“头腾大战”“新浪诉脉脉案”“大众点评诉百度案”……每一个都有各自的独特关切,但它们的直接聚焦同样也都是这个问题:腾讯、新浪和大众点评上那些公开的用户信息和数据,能不能算作这三家公司的财产?中国法院在裁决这几起诉讼案时,都采取了模糊化的办法:一方面方面承认数据平台对于平台内的信息具有一定的控制权,但又没有明确这种控制权究竟属于何种性质。在我看来,法院这么做是睿智和破坏性最小的。
那么,假如数据不属于那些互联网平台,是不是可以反过来认为,网络上那些个人数据的所有权,都属于发布(上传)这些数据的用户自己呢?
好像也不能这么说。中国现有法律对于“数据权”的定义也是十分模糊的。2018年生效的《民法总则》征求意见稿的最初文本将“数据信息”一体纳入“知识产权”进行保护,后遭多数专家反对,最终只留下“法律对数据、网络虚拟财产的保护有规定的,依照其规定”以及“自然人的个人信息受法律保护”等模糊的宣示性内容。将数据视作一种“虚拟财产”或者更为笼统的“信息”,而非定义清晰的“知识产权”,这是我国立法在“数据权”设定方面的谨慎尝试,也反映了数据的复杂性质。
同样,作为世界上第一个专门为数据立法的尝试,2018年5月25日生效的欧盟GDPR也没有界定数据的“所有权”问题,相关讨论一直在持续中。今年3月,“罗汉堂”在杭州召开“隐私与数据治理”国际研讨会,好几位与会的顶级专家嘉宾在发言中都讲到了数据的权益和赋权这一“世纪难题”,他们从理论和实践的不同角度提出以下观点:
数据是有价值的,因此是一种资源,但很难说它“属于”谁。为什么说讨论数据的“产权”没有意义?其根源在于,产权的有效性建立在资源(或资产)是稀缺的,而它的使用是排他的这两个基础之上。
数据并不是石油这样的自然资源,它是由人生产的,并可以源源不断地再生;数据取之不竭,传输又超级便宜,而且只会越用越多,而不是越用越少。同一堆数据,你我可以一起使用,并不是说你多占用一点,我就得少占用一点,正相反,数据必须共享和流动,才会产生价值。数据的非排他性的另一个表现是,同一个数据,并不是使用过了之后就“消耗”掉了(像石油那样),而是可以不断重复使用,用作各种不同的用途。
“非稀缺性”和“非排他性”决定了数据这种资源不是石油,进一步说,也意味着“资源”这个概念迫切需要被改写。
除此之外,还有一些明显的特征,也将数据与我们习惯上认为的“资源”区分开来。例如,数据虽然有价值,却几乎不可能形成一种真正意义上(或传统意义上)的“市场交易”。
原因首先在于,数据的价值会因时因地而截然不同。在相当多的情景之下,数据甫一生成就已失效。即便是那些能够用于商业挖掘的数据,也有极强的时效性和地域性。新的数据时刻在覆盖旧的数据,使之变得一文不值。
数据难以形成市场交易的另一个更重要的原因在于,它虽然“有价”,但却难以被准确地“定价”。数据不仅有上述提到的时效性和地域性,还有强烈的主观性。它的价值在很大程度上取决于产生数据的主体的主观个性,以及控制数据的机构(平台)对数据进行商业化的能力和特长。
因此,在欧盟GDPR已经正式生效一周年之际,人们在究竟应该如何看待和认定数据的问题上依然众说纷纭。这也是为什么美国和中国这两个互联网数字经济远比欧洲更发达的经济体,迄今对于如何监管数字经济行动迟缓,不愿意轻率行事的根源。
正在渐渐形成的唯一共识,或许是:数据是一种资产,需要得到适当的对待和监管,我们需要重新思考既有的经济运行规范框架,不论是有形的法律制度还是无形的行为习惯。