企业数据精准确权的理论机理与实现路径

李纪珍,姚 佳

(1.清华大学 经济管理学院,北京 100084;2.中国社会科学院 法学研究所,北京 100720 )

一、 引言:企业数据为何确权?如何确权?

从整体的社会视角来看,数字时代的社会变迁是根本性的。因为数字技术改变了人们的行为方式,重组了生产组织方式,重塑了生活方式,进而重建了社会结构,并且再造了社会运转机制。与工业社会相比较,数字社会有着完全不同的连接方式、行为模式、知识体系、价值体系以及社会结构。而促成这种根本社会变迁的驱动基底,则是以信息和数字技术为支撑、以数据为生产要素定位、以网络化为传递方式和以平台为生产组织结构等一些底层架构的更新与改变[1]。从更为具象化的社会关系角度来看,如狄波拉·勒普顿(Deborah Lupton)所认为的,数字数据客体(Digital Data Objects)是经济、技术、社会和文化逻辑的复杂互动集合,将数字现象描述为客体(Objects),并承认它们的存在、影响和力量[2]。抽离于宏观的、抽象的数据之于社会发展的作用的讨论,数据如何作为一种社会关系指向的客体,又如何在主体之间进行分配,数据之于主体是何种社会关系定义(权利或非权利),显然是一个探讨宏观问题之前的基础性问题。

法律关系的客体是法律关系主体发生权利义务联系的中介,是法律关系主体的权利和义务所指向、影响和作用的对象。作为法律关系客体的事物通常具有客观性、有用性、可控性和法律性等特征,通常包括物、人身、人格、智力成果、行为和信息等表现形式[3]157-159。数据既为一种客体,对其基本认识应符合客体的一般原理,即其在不同主体之间如何分配“法律之力”,何种主体对其享有何种权利或支配力,以及该权利或支配力的程度如何(完全/不完全/完全不);也即人们对作为客体的物的支配边界以及权利边界究竟应如何设定,无论这种边界是基于静态归属还是动态流转的一重或双重需要。就数据而言,其理论基础和道理相同,只不过需考虑数据本身的特性、利用流转的特殊之处以及社会价值实现等更多因素。故此,数据之上需要设定权利这一问题,似不存疑义,只不过是权利边界应如何设定而已。同时,这一点在国家政策层面也有所印证,即“推进数据分类分级确权授权使用和市场化流通交易……”,“探索数据产权结构性分置制度”,“建立公共数据、企业数据、个人数据的分类分级确权授权制度”。(1)2022年12月发布的《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)。界定不同数据主体之间的权利,有效激励数据生产与流通,这一点在理论层面、实践层面和政策层面取得了多重共识。当然,这一观念和理论上的共识只是解决了“为何确权”的问题,尚未解决“何以确权”的问题。

数据如何确权,在理论界和实务界争议较大。大多数观点的理论依据在于,数据应当流通利用,并应作为“生产要素”而进入数据生产过程之中,因此应当将数据分配给处理者。这一观点在某种程度上在个人、企业和公共机构(其他主体)之间解决了一定问题。但是,对于像UGC等用户生成内容场景,此种将平台或企业持有的用户数据直接分配给平台或企业,显然存在一定缺陷(这一问题下文有所涉及,但并未过多着墨)。本文更多聚焦于企业数据本身承载的静态物质体与动态信息体等隐而不彰的多种形态相区分的基础上,如何进行数据确权的问题。有鉴于此,本文拟就如何针对企业数据精准确权,提出一套方法论。这一思路与方法不仅可以回应已有关于企业数据确权的一些路径和观点,而且在此基础上,进一步结合企业数据本身的特点与特殊之处,探讨企业数据确权的客观方法,以期将目前的讨论再向前推进一步,以回应“数据如何确权”这一难题。

二、 企业数据确权的特殊性

就不同主体的数据而言,个人数据的来源相对单一,仅为个人自身。企业数据的来源则相对复杂,不仅有企业自身生成或授权使用的数据,还包括企业持有的可能来自个人或其他主体的数据,能否利用流通则取决于法定规则或合同约定。公共数据的来源虽然可能包括个人数据和企业数据,但是其公开或使用形式相对比较固定,因此也并不复杂。恰是因为企业数据所具有的连接不同主体的复杂特性,决定了企业数据确权的特殊性。

(一) 企业数据类型

企业数据,既具有作为一般客体的工具性价值,也旨在形成以流通利用为导向的企业数据类型[4]。对于企业数据的界定,即在处理和利用相关数据具有合法性基础的前提下,对相关数据通过算法加工挖掘,使之成为具有(交换)价值与技术互通可行性的数据[5]。

从一种静态的客观事实角度描述,企业数据包括企业自身生成的业务数据、管理数据等诸多种类数据,这些数据属于企业所有或控制的数据,可定位为企业的数据资产,企业可自行利用。另一类概括的数据则是企业持有的数据,这类数据大多是企业基于在先事由有权收集的数据,但并不意味着其有权进行后续商业化利用。由此,概括而言,企业数据基本上包括企业控制的数据和企业持有的数据[6]。当然,这种对数据类型的概括,是基于外部的对数据类型的观察,数据具体类型和形态划分仍应更加细致。

企业数据涵盖企业全部生产经营环节中产生的数据。从企业生产管理的具体活动来说,包括客户数据、生产数据、销售数据、财务数据、员工数据、供应链数据、研发数据和网络数据等。对这些数据从数据结构角度而言,对一个(组)信息内容,在算法等技术处理之后,其可以形成不同的数据结构[7],这些不同结构的数据可以增强人们的洞察力和决策力。同时,数据的利用价值和效用符合网络技术发展定律——梅特卡夫定律(Metcalfe’s Law)的基本原理。该定律揭示了,网络使用者越多,价值就越大。网络价值与用户数的平方成正比,网络价值与网络规模的平方成正比,这一规模将使数据价值呈指数级增长效应。尽管梅特卡夫定律主要适用于互联网的网络效应的场景,但作为网络效应、集结效应体现显著的数据利用流通领域,这一定律仍然是底层逻辑和原理。我国相关政策文件中将数据作为新型生产要素,具有提高效率、促进创新等特征,同时数据在具体处理活动中分为不同的环节,比如,从一个主体传输到另外一个主体,再存储、处理,之后基于处理结果,给特定主体提供数据服务以及加工,最终产生数据的消费[8]。对数据处理过程的关注十分重要,尽管本部分探讨企业数据类型,但是此种类型化的探讨亦仍属于提炼概括的类型,数据在每个处理活动中的具象化形态维度,才应是认识数据权益的更进一步,本文将在后文详述。

(二) 企业数据确权的特殊之处

企业数据确权既应符合数据确权的一般原理,同时也应兼顾作为组织体的企业的特殊性。企业虽然被拟制为一个独立的主体,但其内部也会进一步分成不同主体,同时结合数据本身的形态变化,从而形成不同的确权机制。

数据确权并非一个规范概念。这一概念的核心在于数据权利,而“确权”更强调一种过程或思维方式,意味着在不同主体之间在相同数据或不同数据之上确定相应权利边界。传统上,提及某种客体的确权,主要集中于土地权利,即针对同一土地之上的不同主体享有的土地所有权、土地使用权和他项权利的确认等。数据的无形性、多归属性、(广泛)流动性等特征,使得数据在不同主体之间的确权更加复杂。当下,更多以经济学上的产权概念来界定数据相关权利。现代产权经济学创始人阿尔钦(Armen Albert Alchian)认为,“产权是一个社会所强制实施的选择一种经济品的使用的权利”[9]。但是,如何使用以及使用行为的边界等,显然是一个理论论证与事实发现的巨大工程。美国著名财产法学者梅里尔(Thomas W. Merrill)和史密斯(Henry E. Smith)也进一步阐释道,“产权只是简单的(拥有某物或做某事的)资格,其只不过就是一个装满了由各种对人义务构成的使用权的杂合物的空箱子而已”[10]。从这些经典理论的概念阐释可见,光有“产权”概念之名,尚难以确定一系列“使用权”内容边界之实。故此,为了界定复杂现实世界中的“使用权”,就需要一系列的方法论作为中介——数据确权——这一概念应运而生,并试图承担此重任。

若给企业数据确权下一个定义,即针对数据物质体、信息价值体,在数据提供者、采集者、存储者、加工者、分配者、使用者等主体之间进行相应权利的确认、确定。当然,这一数据确权的概念略倾向于狭义界定,基本上聚焦于相对微观的不同主体之间的权利确认。显然,如何界定不同主体的角色与地位,甚至同一主体可能兼具诸多身份和角色,即如何确定相应主体,实则就已经是一个复杂事项。同时,数据确权实则也与外部的市场、社会相联系。现代产权学派学者认为,“一般地,产权方法很强调的思想是,外部性是与确定、交换、监察或执行产权的成本相联系的。当交换的私有形式没有考虑合约双方或其他人的有些受损或受益效应时,市场的解决办法就与所交换的物品的产权束的社会价值不一致”[11]。如何实现有效的正外部性效应,而抑制负外部性,也成为数据确权的事实与价值的交错衡量指标。总而言之,企业数据确权的价值、功能与产权的实现、市场以及社会产生有机联系,数据确权可被称为解释微观问题和宏观问题的“最关键一步”。故此,企业数据确权具有较高程度的复杂性,只有从企业本身的特殊性以及数据之于组织体和市场的传输、处理、利用等诸方面的特殊性角度出发,才能够准确理解和把握企业数据确权的底层逻辑和实现路径。

(三) 企业数据确权的核心

企业数据确权需基于事实和规范等多重维度而确定。就事实而言,数据的生产、存储、传递、处理、利用、治理等活动交错进行,每进行一项活动,都涉及数据某种权利的确定,此即确权行为。就规范层面而言,需要在现有网络安全法、数据安全法、个人信息保护法、关键信息基础设施安全保护条例以及数据基础制度等诸多法规范和法政策之下,构建数据确权体系。同时,数据确权也受到数据能否作为客体以及能否纳入制定法的基础理论的影响。目前面对数据问题,大陆法系的物权法体系捉襟见肘,知识产权体系也由于对于“知识”与智慧的要求程度之高而不可能完全适用。尤其是,大陆法系和英美法系在根源上就存在较大差别,进而使得思维在大陆法系和英美法系游移之时,略有不逮之处。诸如,大陆法系强调“对物”之基而凸显默示外观的推定优先性,而英美财产法中的“产权”则幻化为一束平权权利束来不断进行顺位的调整[12]。诸此种种,还有很多基础理论问题尚存争论,可见数据确权殊显不易。

有学者提出,数据确权可理解为,通过对数据权属的清晰界定来实现对数据上所承载的信息的保护,最终实现对人类在信息社会乃至元宇宙数字化生存的根本保障[13]。更进一步,数据确权可理解为,在一系列具体的数据处理活动之中,数据在具象化和抽象化层面与不同主体相联接之时,相应主体对数据可能享有哪些权利,这些权利并非通常理解的如所有权等绝对权意义上的权利,而是在不同主体之间如何划分权利边界,诸如所有权、控制权、使用权等,以确定数据的效用发挥的边界。然而,如何认识具体化的数据载体与抽象化的数据内容,又如何从主体视角确定其归属以及具体的占有、使用、收益、处分等权能,也是一个巨大工程。

由上可见,数据确权的核心,即寻找一个底层的最大公约数,对数据载体、数据内容以及数据产权权能、主体的系列权利等构造出一套确定归属以及系列权能安排的方法论。这一方法论既应符合数据本身的特征,又应符合数据处理活动的客观规律,特别是企业作为市场价格机制的替代物,如何从激励企业、推动市场发展角度形成一套数据确权的方法和底层逻辑。事实已经证明,对比美国和欧盟在算法、算力和数据资源方面的优势,数据驱动的中国智能科技企业在创新和推动经济发展方面的作用更为突出。这也就反过来需要企业内部有激励机制,外部有推动创新和权益保护的市场、法律和政策机制。根据“数据二十条”,整个数据利用流通的前提基础,即在于建立和完善企业数据权属理论、确权方法及相应制度体系。尤其是,中国以数字经济为导向的数据基础制度,在全球范围内都处于领先地位,理论和制度上都具有引领作用。数据确权理论也具有全球化方法论的意义,其在相当程度上也能有效解决中国经营的内外资企业在数据资源经营活动中数据权属合法合规等问题,更进一步促进国家和社会整体的数字化、智能化发展。

三、 现有企业数据确权的思路及其反思

企业数据确权,在数据控制和数据持有二分的基础上,既面临其在个人、公共机构、其他主体之间的确权,同时,在管理学意义上,其也面对企业内部不同主体之间围绕不同数据形态的权利边界划分。在“数据二十条”发布之前以及至今,关于如何进行数据确权,俨然成为学界和实务界最为关心的问题之一。现有企业数据确权思路有其道理,但也存在一定缺漏,忽视了一些必要维度。因此,有必要在现有数据确权思路的基础上进一步深入细化,以更全面地构建企业数据确权的方法论体系。

(一) 基于区分数据来源者和数据处理者的确权思路

区分数据来源者和数据处理者的思路,与一直以来争论较多的企业数据与个人数据的界限,以及企业能否利用个人数据等问题紧密相连。在2021年《个人信息保护法》实施之前,学界和实务界对于企业能否利用个人信息,以及是否应先将个人信息的使用权分配给企业等问题颇有争论。然而,自《个人信息保护法》实施以后,个人信息与企业利用个人信息之间的界限较为明显,即应遵循告知同意规则,而数据处理者若利用个人信息,则需获得个人授权。“数据二十条”中规定,“充分保护数据来源者合法权益,推动基于知情同意或存在法定事由的数据流通使用模式,保障数据来源者享有获取或复制转移由其促成产生数据的权益”。这一思路进一步奠定了个人数据与企业数据之间确权的界限基础。有论者认为,区分数据来源者和数据处理者而确认不同的权利,基于此种双重权益结构,作为数据确权的重要思路[14]。这一数据确权思路符合已有个人信息与企业利用之间界限争点的大背景思路,其也仍然是以“个人数据—企业数据—公共数据”这一参照系为基础,也与此前争论的背景框架基本一致,以此确定不同主体之间对于数据权属的权利边界。这一确权思路至少目前能够取得多方一定共识。但就企业数据而言,由于其数据全生命周期链条过长,因此,也仍然需要结合数据本身特征以及在不同主体之间再探讨确权问题。

与数据来源者、数据处理者二分思路类似的确权思路,即在不同场景、数据生成各参与方之间进行确权。有论者基于数据生成场景论证了数据确权理论,即在具体场景下去形成分散、市场化的协商。同时,数据生成各参与方应根据各自的成本以及对不同场景下数据的估值去争取相应份额的数据产权,从而实现数据权益灵活且合理的分享[15]。

(二) 基于人格权益与财产权益二分的数据确权思路

以个人信息为出发点,将其承载的权益分为人格权益和财产权益,并分别分配给个人和企业等信息处理者,此为“人财两分”的数据确权思路。这一思路即在个人信息之上,个人享有人格权,其合法处理者享有财产权。该论认为,法律所确认的个人享有个人信息权益,不涉及个人的财产利益。个人数据中的财产利益,作为数字经济的生产要素,产生于生产数字产品和开发数字服务以及对传统产品、产业和服务升级赋能的数据处理过程,应当配置给作出劳动投入的数据处理者,当然,相应数据处理也受到自然人人格权益保护的限制[16]。将人格权益和财产权益二分而进行数据确权的思路,具有一定道理。但实际上,在《个人信息保护法》的基础上,个人将个人信息授权他人使用,被授权人取得的本身就是针对个人信息的财产权益,比如征信、统计等领域。故此,该数据确权思路与传统上探讨个人信息与企业利用个人信息之间的边界,并无二致。

(三) 基于绝对权意义上的数据所有权的确权(或反对确权)思路

由于数据本身特性及其主体的多归属性,使得数据权利从产生之初,就面对较大争论。在数据权利理论方面,中国学界主要围绕人格权、财产权、隐私权、知识产权等权益主张某些侧面予以确权。即便在财产权层面,否定数据确权的观点,也认为一旦一方享有数据权利,则另一方就无法享有,类似于一种绝对权意义上的所有权。这种对于“确权”的理解,显然并不符合数据确权本旨。此种确权并非一种绝对权,可能数据处理者被授予一种使用权或转让权,其就可以基于该权利对数据进行使用或转让,只要数据处理者对数据享有一定排他权,其就具有相应权利,这也相当于确权。因此,目前的一些确权或反对确权的思路,主要是基于所有权此种绝对权的原型而构造确权思路。客观来讲,如果将数据要素、数字经济和数据确权用一个图表示,数权可能会形成一个未来世界。这个世界由公权力机构、个人、企业或者其他组织来参与,形成一个非常复杂的生态[17]。显然,目前基于绝对权意义上的数据所有权的确权思路实际上与促进数据流动的确权本意大有偏差。

(四) 现有数据确权思路的反思

除上述第三种思路之外,上述第一种、第二种数据确权思路基本上符合数据本质和数据利用规律,但是也仍有进一步向作为组织体的企业内部不同主体权利结构探索的空间。实际上,在企业数据经营活动的全过程中,其涉及数据生成过程的多元主体、数据处理过程的多维主体甚至关系到数据权利治理的多方主体。就企业数据权益而言,其是典型的多种主体混合权利(权益)的集合体。这也同时揭示,所谓企业数据确权,也需要确定不同的权利,这些权利显然并非一个完整的、作为绝对权的所有权。故此,对现有数据确权思路,有必要从以下方面进行反思。

一方面,企业数据涉及多元化主体。对于企业数据,在其物质体和信息体转变过程中,涉及的主体主要包括:

一是数据生产环节涉及多元主体。信息通过电子化记录产生数据的过程,至少涉及两种类型的主体,即信息源主体(单一或多个)以及电子化记录主体。数据生成环节对数字技术具有依赖性,即计算机及网络传输设备、操作系统及应用软件等。在计算机科学中,针对数据、数据元素、数据项和数据对象,几者之间既有联系又有区别,按照一定规律或方式组织在一起称为一个结构性关系[18]。因此,企业作为电子化记录的主体,需要各类数字技术产品与服务方的参与,这就出现了数据生产环节多元主体共存的现状。而如何界定各方对共同作用产生数据的权利,是一个分析难点。

二是数据处理过程涉及多元主体。数据处理者对信息和数据的处理活动,如收集、存储、使用、加工、传输、提供、公开、删除等行为,在活动中可能会不断增加数据源主体、信息处理主体,因此企业数据权利主体呈现多维特性。这也同时导致数据主体、客体及权属等之间的关系持续动态变化。如何针对数据处理过程的动态变化关系,针对不同数据和多维主体进行权益界定与分配,是数据界权的难点。

三是数据治理涉及多元主体。数据活动中,除微观的各主体之间的关系之外,还存在基于公共利益的治理,其衡量因素包括风险维度等。当然,数据治理也是典型的“不可能三角”,数据权利的分配及其治理在国家、企业与个人三类主体之间博弈和平衡。尤其是作为数据领域市场代表的企业数据,其不仅关涉企业自身利益,而且可能影响个人和其他组织权益,甚至国家利益。经济学上假定企业的显著特征是作为价格机制的替代物[19]。解决权利冲突的企业数据权利治理,需要企业内部与外部治理共同作用。个人、企业、协会组织,以及立法、司法、行政等公权力机构,实际上都是企业外部数据治理的主体。多主体治理实际上也会影响相应界权的价值选择和政策判断。

另一方面,企业数据确权界定的是不同主体享有的权利。企业数据确权中涉及的权利显然并非一种固定的、不得转让、无法流转的绝对权。诚如前文所言,目前,各界对数据确权的讨论,往往对法律规范意义上的确权路径比较关切,但仅仅讨论规范层面的确权问题显然不够,尤其对于企业数据更不足够,也不符合前文讨论的企业数据确权的核心和特殊之处。目前的企业数据确权略流于观点之争,而有必要再将问题往前推进。

当然,数字技术的快速发展,增加了数据确权的难度。权利需要来自社会各方的认可与法律保障,但法律制度所确立的权利边界的模糊性和相较于社会发展的滞后性,成为引发确权难的重要原因[20]。在世界范围内,美国、欧盟、中国等各国立法政策制定,有其自身的历史、文化和制度特色,比如美国主张互联网自由开放发展,主要针对个人隐私保护和无歧视等领域立法;欧盟则以保护个体权利为主线,同时力主维护市场公平竞争,在此基调上进一步创设数据相关法律规则;中国则围绕保障数据安全、促进信息利用和规范市场发展等三个方向和目标,构建相关制度,权衡利益博弈。然而,不同制度之间也存在一定价值冲突,这也在相当程度上增加了确权难度。

数据权利理论以及确权理论,能否适应网络化、数字化、智能化技术发展,是对数据权利理论能否证成的根本。不仅中国学界、包括欧洲学者都基本上认为,数据与所有权逻辑具有一定内在冲突,基于数据的特征,无法将其纳入传统的物权法框架作出类似于所有权一样的安排,但数据权利也相当程度上接近于财产权或物权[21]。如何理解此种“接近于”财产权或物权的数据权利,其中的排他权的界限如何判断,显然是核心问题之一。当然,对于数据权利,尽管对其界定和共识较为困难,但也仍可仰赖权利、利益和权益等基础理论,创设恰当的数据权利理论框架,以解决当前和未来的数据权利冲突等问题。综上可见,由于数据作为客体的权利理论的争论,导致数据确权问题要么被完全忽略或否定,要么由于各执一论而未及将数据确权理论结合企业数据的特性而进一步推进,这也是数据确权理论未能较好形成共识的主要原因之一。

就企业经营而言,从管理学角度分析,企业在面对社会规范意义上的制度缺失或制度冲突之时,需要制订数据经营战略。企业所在国家或行业的数据安全制度严格,或者经营活动严重依赖数据,则应制定数据经营战略,防范数据权利冲突,特别是当数据权利制度可能对企业经营、知识管理和创新关系等产生重大影响[22]之时。在“环境—战略—结构”这一战略管理学公认的法则下,企业战略要与环境相适应[23]。在遵循外部法律制度的基础上,企业数据领域业务,应通过规划数据权利(权能)体系,对企业数据权利或权益的边界进行规定,解答何种企业数据类型有可能被利用、企业数据应否被利用、数据到底应如何利用以及会带来何种经营风险等一系列影响经营决策问题。同时,还要考虑数据要素的有效流动,比如一个部门或主体掌握一些数据,那么基于生产经营或发展的需要,另一个部门或主体应如何获取这些数据。在此过程中,就涉及一些高效重组的问题,在数据获取方式以及数据格式等方面,在不同部门分享和数据流动之时,可能存在诸多不一致之处,这就需要一定改革和创新。在经济学理论上,这些创新就形成了数字经济商业模式,这些商业模式的特点就是边际成本的递减效应非常显著。就企业数据确权而言,上述主体、权利配置和企业经营管理等诸多问题维度都应当有所考虑,唯此,才能构建较为完善的企业数据确权制度。

四、 企业数据精准确权方法:基于数据活动区分与权利分析理论

“基于数据要素的时代特性,以‘生产—交换’理论为基础,从数据价值形成、数据价值实现、数据价值确权、数据价值定价角度,重构数据价值理论成为必然。”[24]显然,数据确权需要适当的理论与方法论体系支撑。通常而言,以数据价值理论为基础,在先界定数据权利边界与场景化、运用合同机制界定权利边界,各有理论和实践优势,但二者并非非此即彼,如何在二者之间寻找一个妥洽的平衡点——既事先有一定确权方法,同时又辅以场景化动态确权,是当下较为妥当的选择,也是亟须考虑的。以美国法学家、分析法学的代表人物之一霍菲尔德(Wesley Newcomb Hohfeld)的权利分析理论为基础,某种程度上可分析出一套清晰描述数据权利关系的方法与范式。在此基础上,结合数据本身属性特征、具体场景中的数据资源,通过三个步骤进行数据确权:一是识别和界定数据特性和数据活动,并进而识别数据权利主体;二是以“权能”界定权利义务边界;三是对内部主体关系和外部法律关系进行认定。

(一) 数据权利主体的识别

人们以数据为载体从事的相关活动,构成数据权利关系的事实基础。数据与土地、劳动力等生产要素相比,其最大的特征在于非竞争性、多归属性和易流动等。故此,可以数据活动分析作为突破口,结合数据特性,进而识别相应行为主体。对此,大致可划分为数据生产环节、信息处理过程和外部数据治理三个层次。

层次一,数据物质体的生产活动。数据的无形性是对数据特征的归纳之一,然而,数据究竟是完全如空气般的无形,还是这种“无形”仅是对其最终抽象意义上的归纳,并非一个想当然的命题。数据的基本形态成为讨论数据问题的“元命题”。尽管法律上多会讨论,当一个客体能够成为法律意义上的客体,其需要具有一定“介质”,而以无形为主要特征的数据显然在“介质形态”上存在缺陷,因而界定其客体性存在一定困难[21]。一般认为,从计算机学科的角度来看,数据的物理属性,体现为数据以二进制形式存在,占用存储介质的物理空间,可以度量并直接用于制作数据复本和数据传输[25]。可见,其以物理形式存储本身,就是依托电子化数据的“特定物”为物理载体而存在。

在数据的物理载体的基础上,可归纳为:第一层数据生产活动,主要是基于数字技术的采集、存储和传输(提供)三类行为(信息以计算机二进制格式被装入“数据油桶和管道”中保存、转运,而非对信息内容的加工使用)。

需要特别强调的是,人们可能往往忽视数据的物质体属性和特定物属性,将信息与其电子化载体的数据权利混为一谈。这也是已有数据确权理论所忽视的一个关键点。比如,甲的手机存储的一张图片A,通过聊天软件传输给乙图片B,尽管图片A与图片B的信息内容可能一致,但图片A和图片B是两个相互独立的数据物质体(二进制格式数据文件),即两个不同的数据特定物,其数据权利亦彼此独立。从确权的角度来看,显然这就是两个不同的权利,至于权利内容如何暂且不论。亦有论者强调,企业数据问题是一个“纯粹数据问题”。所谓纯粹数据问题,即意味着信息与数据应当区分,作此区分的主要意义在于,其可以更好地确定信息数据问题中的具体对象和利益形态[26]。这一观点,实则与“数据物质体”的真实性、独立性等讨论的是同一个问题,只不过是同一问题的不同侧面而已。

层次二,信息价值体的处理活动。数据处理活动和过程,实际上就是对于信息价值利用和数据价值激发的过程。此前的数据确权思路过于着眼于静态确权,或者是在一个传统上类似于所有权的“绝对权”意义上理解数据确权。一方面,如有论者所言,过往文献的不足在于缺乏对数据确权数理模型的建构,尤其是缺少对数据开发者和数据使用者投入要素、获得收益这一数据价值链的刻画[27]。另一方面,如美国法经济学学者梅里尔教授(Thomas Merrill)所认为的,排他权是产权的根本标志。但是,排他权也不是简单的或有或无的二分,而是一个从无到有的幅度或光谱(Spectrum)[28]。故此,应在数据价值链的整体活动之中以及排他性是一个幅度或光谱的角度,进一步理解信息价值和数据确权。

客观地讲,数据被比喻为石油并不恰当,但其也在某种程度上反映了数据包含的信息内容具有价值属性。针对信息内容的处理活动,按照目的划分,可分为分配、加工、使用等三类行为。第一层数据活动,主要是决定数据的保存方式和持有者;第二层数据活动,主要是针对信息的活动,即决定谁可以获取信息及其价值,以及以何种方式加工和使用信息。当然,信息层的权利主体的分析最为困难。比如,企业数据活动中包含的信息来源主体复杂繁多,信息加工使用过程涉及内外部各种主体,在此之上的叠加,则造成权益主体的多维性。但显然,“价值维度”的数据形态识别是十分关键的。

层次三,外部数据治理活动。数据是混合权利的集合体,需要通过内外部治理解决权利冲突。企业内部通过构建治理架构,如数据经营战略和业务、管理等部门,应对内外部数据权利冲突。由于数据本身也承担着市场资源优化配置、技术创新等多重任务[6],甚至关涉公共利益,因此其必然存在外部治理。国家公权力,如立法、行政、司法机关等承担此种数据外部治理的任务。

上述三个层次的不同活动和关系,可以成为数据权利冲突的认知分析框架。根据数据活动目的,自下而上分为“数据层、信息层、治理层”三个层级,每个层级提炼了三种最重要的数据活动分类,构建数据权利主体分析工具。从数据权利观念冲突的角度,将数据、信息等易混淆的概念,进行分层区分。不同主体对不同形式的数据享有相应权利,以实现企业数据确权的目标。将企业特别关注的外部治理,作为一个独立的层级,分析制度冲突风险、制订经营决策和设计合规方案等。

(二) 权能框架:数据权利结构分析

权利的概念,在康德看来,其首先涉及一个人对另外一个人的外在的和实践的关系,表明一个人的自由行为与别人行为的自由的关系,同时其并不考虑意志行动的内容,即可以理解为,权利为全部条件,根据这些条件,任何人的有意识的行为,按照一条普遍的自由法则,确实能够和其他人的有意识的行为相协调[29]。进一步,权利本质的学说包括资格说、主张说、自由说、利益说、法力说、可能说、规范说和选择说(意志论)等[3]130-131。这些学说从不同侧面揭示了权利本质,但是,如康德所定义的权利相类似,其中自由、利益、资格、主张、法力、规范和意志等本质要素可能存在交叉,也可能其中某几个要素或整体可构成一个具有内在逻辑的有机体。就法律权利的构造而言,有学者认为,由利益、资格、自由行为和法律认可所构成的法律权利的结构是一个相互支持的有机体[30]。尽管权利本质素有争论,但对于法律权利的概念基本上可以达成共识,即法律权利是规定或隐含在法律规范中、实现于法律关系中的,主体以相对自由的作为或不作为的方式获得利益的一种手段[3]131。可见,法律主体具有法律权利,则意味着其具有一定行动的自由。

就财产权而言,大陆法系实定法中的财产权与英美财产法的“权利束”,并非互相排斥或冲突的概念。“权利束”实则是财产权利构成的底层思维,而权利束中的权利条款的标准化才可能对应大陆法系实定法中的财产权。二者实际上是不同层面的问题。比如,权利束或者权利分析实际上是描述了人们对其拥有的资源可以做什么、不可以做什么,包括但不限于占有、使用、收益、转让等,以及有权阻止他人侵犯自己的利益等。

霍菲尔德围绕法律中权利(Right)这一概念,将其分为包括相关关系和相对关系的两个方阵,提出八个基本概念,包括请求权(Claim)、特权(Privilege)、权力(Power)、豁免权(Immunity),以及对应的义务(Duty)、无权利(No-right)、责任(Liability)和无能力(Disability)[31]。上述八个概念,能够比较清晰地表达和分析几乎所有的法律关系及其性质,一个人主张的任何权利都可以最终归入上述类型之中。

按照霍菲尔德的理论,任何权利都可以基于八个基本概念、四组相对关系进行描述,相对关系中由两个相对主体A、B以及具体内容X。以“请求权—义务”这一组相对法律关系为例,将权利的要素分解成权利主张者【A】对义务承担者【B】有权要求从事具体内容【X】。基于该理论框架可以分析权利冲突,比如不同的权利主张者对于同一个义务履行主体提出相同或者类似的主张,而相应负有义务的主体没有能力同时履行这些请求时,权利就会产生冲突。亦有学者提出,数据界权不应受确立财产所有权思路的局限,可以借鉴美国法学家霍菲尔德的有关法律权益和法律关系的分析概念框架,用于界定社会主体间围绕数据价值开发利用而形成的具体利益互动关系[32]。

与权利分析理论或者说权利内部的构造相类似的,还有一个概念——权能。阿尔夫·罗斯(Alf Ross)曾提出一个关于“权能”的定义:权能乃是一种在法律上得到证立的,通过并依据对相关效果的宣示,从而创制法律规范(或者法律效果)的能力[33]。在民法理论中,所有权包含以占有、使用、收益、处分为代表的积极权能和以排除他人之干涉之消极权能[34]。权能也是一个包含内部构成和外部效果的重要概念。

在霍菲尔德权利分析理论和传统的权能理论基础之上,数据权利结构可以基于八种法律基本概念进行逐一描述,并进一步将权利束中的可标准化的权利条款汇总组成数据权利体系。就企业数据而言,通过数据权能体系,可动态描绘企业数据权利结构。权利的体系并非自生秩序,而是纷繁复杂的社会关系博弈的产物,是“权利观念—制度—实践”互动作用的结果。企业数据可以从权能配置角度,首先从数据本身特性、现实需求与场景化特征等方面,企业可以创设数据占有、使用、生产加工、收益、处分(有限制)等各种权能,然后基于使用目的和利用方式,比如公共利益、消费者福利、产业生态构建等,根据外部制度约束安排权利配置方式[5]。“企业数据权能体系”是描绘企业实际数据资源和业务场景下的动态数据权利结构,而“数据权利法律体系”是法律制度框架下创设权利和保护权利的制度结构。通过两个体系的对比,企业可以观察“业务实践—法律制度”之间的差异和权利冲突,及时调整权能配置方案,完善数据合规要求,制订经营决策,提供研究分析的框架。

在上文分析数据不同形态、不同主体与活动的基础上,可进一步创设企业数据权能的基础框架。按照数据权利束的理念,企业可以创设多种数据权能,即主体在自身的自由行为之内的一系列行为。对于企业最主要的数据社会活动,可创设相应基础权能,这些数据权能及其相应主体关系可以有机组成企业数据权能的基础框架。不同企业可根据自身情况结合外部市场变化,完善和调整权能框架。

主要角色包括:

第一阶:数据的提供者、采集者、存储者,统称为数据物质体的“持有者”;

第二阶:信息的加工者、分配者、使用者,统称为信息价值的“经营者”;

第三阶:治理的规范者、监管者、解纷者,统称为数据权利的“治理者”。

企业数据权能基础架构内部自成有机体系。该体系按照三个层级自下而上构建,每个基础权能相对独立又相互关联,低阶权能是高阶权能实现的基础,高阶权能是低阶权能的约束。其中第一阶中的采集者、第二阶中的分配者以及第三阶中的监管者,是数据权能配置决策的核心角色,纵向构成了企业数据权能体系的支柱。这一数据权能基础架构的构建,就管理学的意义而言,不仅有利于企业绘制自身数据经营活动的产业链图谱,基于数据活动识别出内外部相关数据权利主体;同时也有利于明晰企业数据业务及管理组织架构,根据业务发展和监管需要调整优化公司治理。尤其是,在数据治理的大背景之下,有利于开展相关数据确权、合规等必要环节,识别与确定可能影响业务收益、成本、风险的关键因素,以提升决策效率。

(三) 内部主体关系与外部法律关系的认定

在上述关于数据的主客体识别和关系以及霍菲尔德权利分析理论、权能理论基础之上,基本上可以确定围绕数据流转利用而形成的法律关系。企业可在我国现行法体系下,根据数据的归属、持有、使用等情形和流程,创设合法的、符合自身数据使用实践的数据权能体系,并在相当程度上可形成一系列实践中具有共识的企业数据利用规则。同时,对于一些特别情形,可通过合同机制约定数据的使用、共享、流转范围以及相应权限。具体而言,这些情形和流程可形成关于数据归属的法律关系、(数据持有等事实基础上的)基于授权的数据利用(共享、流转)关系、数据利用基础上的收益分配关系等。这些法律关系已进行抽象和归纳,在实践中,则进一步需要具体化为某一数据物质体与相应主体相联系的特定事实及其法律关系,以及信息价值体与相应主体相联系的特定事实及法律关系。在一些特别的数据产权关系或法律关系之中,或者一些特殊的企业组织架构之下,通过对数据物质体在流转过程之中形成的关系,以及与其相对应或相联系的信息价值体的关系的认识,就能够更好理解其中所形成的法律关系,这也是本文的意旨所在。只有在不同主体之间形成清晰的权利边界,数据才可能流转,才能真正实现数据的价值。

五、 企业数据精准确权的实现路径

对企业来说,在数据确权这一问题之上,能够符合不同国家和地区的数据法律制度,是一个终极挑战。企业在不同国家或地区开展数据业务或者涉及数据的经营活动,都会面临数据处理行为的合规和数据经营活动的合法。同时,企业又要在自身的经营活动中发展创新。数据确权是对数据内容、权属、权利义务和治理机制等进行规范界定的过程,同时需要技术、法律、经济、社会、政治等多学科共同完成理论、方法和制度体系的构建。上文在分析企业数据确权的关键、现有确权路径的利弊以及需要进一步提出符合企业发展实践的数据确权方法论的必要性等问题的基础上,从数据本身出发,将其在物理、价值和实质主体关系等意义上分为不同层次,基于此构建企业数据精准确权路径。这一路径可通过以下路径实现。

(一) 完善数据治理规则体系

数据确权是我国在构建数据基础制度过程中的一个特殊问题,也是一个较为特别的概念。美国、欧盟等并未讨论数据确权等问题,但也在个人数据是否属于财产[35]、是否存在数据所有权[36]等问题上有所讨论。数据权利的边界或曰数据确权,就是在确定排他权的范围。而对于排他权的设定并非只能由财产法完成,当然,财产法中本身也包括治理规则。数据此种更强调流通利用的领域,由治理规则框定排他权的边界,似更为妥洽。亨利·史密斯(Henry E. Smith) 认为,排他权(在霍菲尔德的整个理论体系中)是一个捷径,使用粗略的、简单的信号建立模块排他权,仅仅是间接地保护了使用。治理规则通过获取多方使用的收益——当然成本也更高,来进一步完善排他策略的基本制度[37]。如同欧盟的《数据法案》,其本身虽定位为治理规则,却完成了创设数据权利等诸多任务。故此,从多角度完善数据治理规则体系,是当下较为重要的实现数据确权的路径之一。

(二) 标准化建设

数据确权并非规范概念,其实际上是界定数据权利过程中的一种方法。大而化之的所谓实现数据价值需要数据开放流动的理念,显然既不符合数据本身的特性,也不符合数据是由现实中的主体持有并需要设定权利边界等事实。作为数据权利体系构建的关键方法,探索一套具有理论基础并行之有效的数据确权方法,是一个关键问题和前提基础。自发展数字经济以来,我国也进入了标准化建设快速发展的时期。美国、欧盟近年来也推动了系统的标准化战略。数据和信息的一系列活动可分为三个层次——数据生产活动、信息处理活动和数据治理活动。结合数据特性,又可进一步分为:数据物质体的生产活动、信息价值体的处理活动、外部治理活动。其中数据的提供者、采集者、存储者,可统称为数据物质体的持有者;信息的加工者、分配者、使用者,可统称为信息价值体的经营者等,并在不同主体之间形成相应的企业数据精准确权关系。这些数据的具体形态、微观层面的不同主体,可通过标准而进一步细化,提供确定依据和指引。这一点也是标准在数据领域发挥重要作用的集中体现。

(三) 企业管理实践在数字经济时代的发展创新

数智时代,以技术为基底,以数据要素等为依托的产业链条不断升级,凸显科技是第一生产力。在数据要素市场化的过程中,只有数据先行确权,才能使数据要素价值释放,实现数据资源、数据资产和数据资本的价值。企业作为数据的“加工者”,谁有权加工、谁能获得加工后的产品、谁能获得加工后的收益,是一个无法回避而必须正面回答的问题。企业经营与创新之间的关系,是企业发展的生命线。在企业内部,制订企业数字化发展战略,细分数据不同形态,细化不同主体岗位职责,通过合规体系建设,进一步促进企业管理的精细化、标准化和创新导向。企业的规模化行动,也能进一步应对与前瞻数字社会发展中的结构性难题。