作者简介:朱小黄 经济学博士,国务院特殊津贴获得者;中国行为法学会副会长,金融法律行为研究会会长;原中国建设银行首席风险官、副行长,原中信银行行长、中信集团监事长。著有《远离冰山》、《价值银行》、《财富信仰》、《临渊结网》、《中国债务拐点研究》等专著和文集。
一、数据权利
数据是一个变迁中的历史范畴。古人结绳记数的年代,数据纯粹是计算的工具和产物。现代而言,数据是指对客观事件进行记录并可以鉴别的符号,是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合。它是可识别的、抽象的符号。当人类的纪录技术已经无处不达时,人类的各种活动都可成为数码符号。只有因为某种需求或认知而组合或运用这些符号时,才会产生数据,即有某种用途的符号链。显然,没有认知为前提的数据只是一些符号垃圾。
数据的核心价值是时间维度上的数据链,数据链的价值取决于认知能力。认知使记载成为数据,运用使数据成为商业资源。当工业社会向信息化社会转化时,人们对数据的认知发生了质的变化。数据巳不仅仅是数据,也是重要的商业资源,当智能化社会来临时,数据的价值制高点逐渐形成。
随着数据商业资源价值的不断提升,数据的权利问题便日益重要。社会公共数据和个人信息已经成为信息社会的一种重要的社会资源。尤其是对个人信息资源的争夺,已经在社会各个领域逐渐白热化,法律的介入成为必然。
但数据的虚拟性使得其在经济价值、法律关系、权利主体各方面的的权利设计都更为复杂。在法律权利上,涉及产权、人身权、安全保护等敏感的法律问题,如何使这些法律规定符合虚拟世界与现实世界的客观实际和抽象规则,就需要界定虚拟与现实世界之间的交合区域和本质差异。
另一方面,个人生活行为被纪录然后就成为企业可以出卖的资源,这在法律上意味着需要找到商业运用与个人权利之间的边界。
作为资源的数据应当形成产权,受到保护。但法律主体收集的数据在产权归属上如何判定却是一件复杂的事情。一般来说,数据的纪录和釆集都需要成本,所以也须遵从经济关系上谁投资谁拥有谁受益的原则。但数据同一般财产不同,数据具有通用性,同样的数据釆集者众。同样的信息因不同的认知,数据的构成不同,效用也不一样,产权的形成依据也不一样。除了对价与认知来源不同,许多数据具有共享性,因此同实物产权不同的是,数据产权的排它性是有限制的。
可见对数据权利的设定和相应的保护,要建立在准确的数据性质判定和分类的基础上。不同类型的数据其权利结构差异很大。
二、数据分类与权利设计
关键是找到合适的维度进行分类分析并进行合适的权利设计。在各种分类中有三类数据比较深刻地涉及到权利设计:
一类是公共数据。数据与其它社会产品相比,带有显著的公共资源特征。这主要是指各种统计数据。政府有责任向公众提供属于公共资源的数据,凡是政府在运用的,本质上公众都可以运用,而不能以任何理由包括公共安全的理由垄断数据的使用。这类数据的权利设计理念主要是保护大众的运用,防止政府部门的垄断和隐瞒。
另一类是个人数据。与公共数据相反的的是,任何具有个人特征即产生于个人的数据和隐私属性的数据则需要全面适当的保护。这类数据的权利设计主要是保护基于人身权的个人属性的数据不被滥用而使具体的个人受到侵害。
在民法中,人身权利包括个人信息 ,一方面是生物属性的信息,如姓名、性别、年龄、血型、健康状况、身高、人种、声音、指纹、虹膜、生日、特征等众多可以直接或间接识别个人的信息。另一方面是社会属性的信息,如居住地址、通讯方式、电话号码、邮箱地址、庭成员、职业、婚姻状况、职务、学历学位、户籍、阅历、身份证号、银行账号、信用纪录、财物数额、医疗信息、社保帐号等。这些信息包括了一个人的生理的、心理的、个体的、社会的、经济的、文化的、家庭的各个方面内容。简而言之,个人信息是指专属于个人,涉及个人人身、财产或尊严等相关的有价值的信息。
从本质上考量,个人隐私的保护是法律要执守的边界,商业秘密的保护则主要是契约保护问题。商业机密被侵犯是因为对方没有付出必要的对价而超出法律范围使用了个人信息,所以通过追偿对价解决,使商业数据机密通过契约而成为流转数据。而个人隐私被侵权,就不是付费所能解决的问题了。
个人信息作为民法上最新的概念,各国在立法上有很大分歧。然而,个人信息的法律内涵却通过很多国家长期的立法过程而逐步显现。目前,个人信息已经发展成为一个明确的法律概念。
涉及个人信息保护的问题时,学术界经常使用“个人数据”、“个人隐私”、“个人信息”。等概念,其法律界定世界各国的立法并不统一。采用“个人隐私”概念立法的有美国、以色列、加拿大等;采用“个人信息”概念立法的奥地利、英国等;采用“个人数据”概念立法的有德国、法国等。随着人们理论认识和立法实践的逐步深入,世界各国立法越来越多地使用了个人信息这一概念。
个人信息的特征可以归纳为人身性、专属性、关联性和价值性。法律边界的确定应当从这些特征出发,明确保护的范围、内容与程度。
第三类是商业化数据。这类数据有明确的产权归属,但所有者愿意出让时,使用者可以通过付出对价而取得这些数据的产权或使用权。
三、数据保护与交易
需要明确的是,个人信息的保护不是杜绝运用,而是要实行所有者同意有偿运用前提下的契约化运用。因此,首先需要明确数据的产权归属,其次需要明确数据的估值定价方式,其三要划定数据的可交易范围。
由于大量的研究、开发、营销的依据源于行为端数据和人身端数据,导致个人信息安全成为当前所谓大数据业务风起云涌的牺牲品。
在数据安全问题上要防范过度。数据如果不能被利用就是废物,被滥用则会伤及社会伦理和公共安全,甚至市场规则。如何界定合适的边界,需要对不同的数据研究合适的公共资源、私人信息、商业数据三者之间的界限。这个界限是通过大量数据基础上的模型计量确定的,也是动态的。本质是寻找社会最大效率和个人权底线以及个人能承受出让的边界。这种边界包括心理边界和经济边界。心理边界主要是针对尊严性的个人信息,经济边界主要是针对价值性的个人信息。对公共资源性的数据要充分利用,对商业数据应有偿使用,对个人隐私信息要绝对保护。
所谓隐私保护也应该分两种情况,一是涉及社会道德共识和良俗公序的内容,这部分隐私应该绝对保护不容侵犯。二是属于个人尊严的隐私信息,权利所有人有放弃或出租出售的意愿,可以通过契约进行有价让度。
对于商业信息而言,只要付出对价,信息就可以成为数据。
四、医疗数据
比较典型的是医疗数据。
在医疗活动中,呈现比较复杂的状态,病员的信息掌握在医院手中,而且是医疗过程的纪录,这类信息是医院和病人双方互动形成的,所以权利归属上属于共有数据。政府部门运用时除了涉及个人隐私的内容都可以获取,医院用作研究讲学开发产品等等,对涉及隐私的也不能随意获取,确有需要的,可以通过商业让度来解决。在医疗数据的形成、收集、存管、运用过程中,病员处于信息不对称的弱势地位,所以在医患关系中,法律的对公平的均衡更多要保护患者的权益。在数据运用上亦是如此。
医疗数据的安全比较敏感,但医疗数据与其它数据并无本质区别,核心问题仍然是区分公共数据、个人信息和商业数据。公共信息产生的数据归于共享,个人信息产生的数据归于隐私,但其中一部分可以交易。商业信息产生的数据归于市场,需要明确产权,明确估值评估和定价规则,促进数据的交易流转。
站在医疗数据公司的角度,它所获得的数据无非几种情况:一是从公共数据中分享的数据,二是付出对价收购的数据,三是对个人信息进行清洗,使之符合法律规定的使用范围,并摆脱侵犯隐私的㢢端。四是对需要运用的个人信息如病例,获得当事人对数据权利的放弃或给予适当补偿后运用。
医疗数据的正确运用可以造福人类,医疗数据的管控,出发点是运用而不是封锁。
五、虚拟世界自成体系
在来源于现实世界的各种数据堆积而成的虚拟世界中,基于数据的网络世界中,会产生各种虚拟产品,典型的如区块链技术下的虚拟货币。这些产品的权利与价值及交易规则,更多的是由其技术特点决定的,也会适用一部分现实世界的法律规范,但相信未来会有一套完整的法律体系与现实世界相互映射,相互影响却又独立运行。
当公共数据归于分享,商业数据归于交易,个人数据归于隐私,并对上述三类数据内容设计不同的法律保护范围和方式后,虚拟世界的文明将会同现实世界的文明并驾齐驱,引领整个社会走向成熟。
