张恒山 中共中央党校(国家行政学院)一级教授
中国行为法学会副会长兼学术委员会主任
2025年7月2日
各位嘉宾、同仁、朋友,
大家下午好!
我今天演讲的主题是构建数据利益保护制度的法理思路。这一主题主要包括三个问题:数据与信息的本质关联、数据利益保护允准法及其认知误区、数据利益保护“排除法”的优越性。
一、数据与信息的本质关联
我们常常感到迷惑:人们现在为什么那么关注数据?
人们需要和关注数据,是要通过数据获得信息。
信息是什么?根据香农的定义,信息是 “负熵”,或者说是“熵减”。这是一种功能性、且是否定性解说,即,信息的功能是减少或消除人对事物认知的无序、混沌、模糊状态。从正面、肯定的意义上说,信息是被人们认知的、通过语言文字或电子数据或其它方式表达(或向特定的他人、或不特定的他人传送)的事物的形状、状态、性质、成分、结构、重量、温度、动态、变化、与他事物的关系……等方面之特征。也就是说,信息通过数据来表达的。
那么,数据又是什么?在普遍使用计算机、网络的情况下,我们所说的数据,通常都是指电子数据。《数据安全法》的数据定义是:“本法所称数据,是指任何以电子或者其他方式对信息的记录。”(第三条)更准确地说,数据是刻录在特定介质(譬如光盘、磁盘、硬盘、U盘等)上的、承载着信息的电子符号集群。
数据与信息的关系可以被概括为:数据本体是电子符号集群,数据是承载、表达信息的符号集群。例如,“星期日在东经120 度,北纬42度有一艘游轮”是信息,用摩尔斯电码表示是一串符号:“--- .. .-.. / - .- -. -.- . .-. / .- - / .---- ..--- ----- . / ....- ..--- -. / --- -. / ... ..- -. -.. .- -.– ”。这串符号就是数据。远在大洋彼岸的某人通过电报接收到这串符号,就等于接收到一条信息:“星期日在东经120度,北纬42度有一艘游轮”。
信息对于信息接受者有什么意义?信息获得者,或者信息接受者,根据所获得的信息,即对某事物特征的认知,可以根据自我的利益要求,采取适当的增加自我利益行动,或避免自我利益损害。譬如,一个股票操盘手获知一条信息:某公司低价收购了一座矿藏丰富的矿山,他很可能会决定大举购入该公司股票。或者,一个远洋运输船长获得一条信息:其原订航线上即将出现台风,他很可能会决定将船舶驶入最近的港口以躲避台风。
能够使获得信息者根据信息指引行为抉择,从而获得利益或减免损失,这就是信息的价值所在。由于信息承载在数据上,于是,这就是数据的价值所在。
因为承载着信息的数据有价值,所以,它就可以成为经济活动的要素,成为人们从事经济活动的行为对象。
人们在经济活动中要开发、利用数据的价值,就要通过具体的行为对数据施加影响、作用。这就是对数据的处理行为。这些处理数据行为包括:收集数据、分析数据、加工数据、存储数据、使用数据、传输数据、提供数据、公布数据、交换数据,等等。在《中华人民共和国数据安全法》中将它们统称为 “数据处理”行为。
因承载信息的数据与人们利益相关,数据处理行为也与自我或他人利益相关。由于人类社会总是存在搭便车者、劫取他人利益者,所以,人们的直接或间接谋取利益的的“数据处理”行为,需要受到保护。
二、数据利益保护允准法及其认知误区
如何保护人们的数据利益?目前国内学界主要有两种观点:
一种观点是,使用“准允法”,或者叫做“授权法”,即,给人们授予各种权利,包括数据持有权、数据使用权、数据经营权等等。
另一种观点是,无需进行一项一项授权,而是使用“排除法”:不得(禁止)行使某些有关数据的行为,除了这些被禁止的有关数据的行为之外,都是可以被做的行为。
我们现在经常讨论说对数据的持有权、经营权、占有权,三权分设,都是建立在允准法的思维基础上。但是,主张“准允法”的学者,实际上是建立在对“权利”的三个误解上。
第一个误解:“权利”就是利益,保护人们的利益,就是赋予人们权利。实际上,权利不等于利益。下图表明,以圆形代表的权利概念本义是“正当”。“正当”的意思包括“示可”“示善”“示选”“示归”“示禁”“示助”的意思,其本身不是利益。这是社会群体暨国家对主体的行为(以方块形代表)的赞同性评判和态度。
在数据问题上,人们处理数据,不等于拥有利益。数据中的信息,有可能带来利益,有可能毫无利益。下图表明,人们处理数据行为,被社会群体暨国家认可为“权利/正当”,不是因为它必然给行为主体带来利益,而是因为该行为对他人无害。
第二个误解:人们关于数据的行为必须以拥有权利为前提。
实际上,有关数据的行为,完全不取决于人们有没有权利,而是取决于人们是否有从事数据行为的意愿。下图表明,行为主体是在自己的意愿或意志的支配下做出处理数据的行为。只要行为主体有从事处理数据行为的意愿,有没有“权利”都不影响他做该行为。
第三个误解:人们在市场中进行数据交易、数据转让、数据传输时,必须以主体对数据拥有权利的确认为前提。
实际上,在市场经济中,在绝大部分情况下,不需要这种确权认定。人们根据“善意假定”,通常都是假设他方拥有的数据是通过正当途径获得的,从而就认定对方拥有权利。譬如,我们在商场里购物,从来不去追问商家对货物是否有所有权?如何证明对该货物有所有权?同样,商家也不会追问我用以购物的钱款是不是偷来的或者抢来的?这就是双方的善意假设。这就是市场交易行为的法律基础,也是数据市场中数据交易的法理基础。这就是民事交往的习惯性规则:持有就被假定为所有。
除非一方或第三方提出数据归属的异议,或者一方或第三方提出数据获取方式的违规违禁,这个争端就要提交给法官裁判。这就是由司法解决数据权属争执问题。
三、数据利益保护“排除法”的优越性
数据利益保护立法中的“排除法”主张建基于以下几点认识:
1、人们有关数据的功能的认识还在深化中;
2、人们有关数据的行为还在拓展、进化中;
3、人们对数据与利益的关联度的认识还在深化中;
4、人们对经济活动中利用数据行为的自由度还在探索中;
5、传统法学概念运用于数据行为授权的可行性仍在讨论中。
基于以上理由,排除法主张者的看法是,根据我们的既有认知和经验,对那些可以被辨识的行为,以利益超脱的第三方身份,加以评判。辨识,检视其中哪些行为具有对他人的既有利益(譬如对私人隐私利益、企业的商业秘密、国家安全利益)的侵害性、损害性、危险性,或者哪一行为中的某项子行为具有对他人的既有利益的侵害性、损害性、危险性,并以立法规范的方式禁止这些具有侵害性、损害性、危险性的行为。
在排除了那些在收集数据、分析数据、加工数据、刻录数据、存储数据、使用数据、传输数据、提供数据、公布数据、交换数据的诸种行为中有损或很可能有损国家各类安全利益、有损企业商业秘密之利益、有损私人利益的行为后,国家默认其余的有关数据处理行为都是“可以实施”的行为。
这里的“可以实施”即为普遍授权。
这个默示的普遍授权就是当代法治原则强调的“法无禁止皆可为”。这实际上给于各类数据行为主体更为广阔的自由。这种自由正是处于发展中的数据经济所迫切需要的。
当然,如果某企业认为自己拥有某些特殊数据特别重要,需要以国家权威的名义强调其独占性、排他性、专有处置性,或者与他人交易的数据来源的合法可靠性,则可以考虑设置特定的国家公权机构对其授予权利证书,并编号登记。这种方式就类似对不动产产权以国家公权机构以颁发证书的方式加以确认、证明。
如果建构这种确权制度,就需要我们进一步探讨如下问题:数据是否具有不动产特征?如果数据不具有不动产特征,那么,它承载的信息是否具有专利特征?如果它具有专利特征,那么是否可以适用专利法的相关规定?
总之,“排除法”在保护数据利益、激发数据经济活力上有着显著优越性。其以精准的义务设定划清了禁止行为的红线以保护核心安全、商业秘密与个人隐私利益,同时以“法无禁止皆可为”的包容性原则为各类数据处理行为预留了更为广阔的自由空间。这种更为广阔的自由是发展中的各类数据经济行为所必需的市场条件。
当然,数据经济行为的规制是当代法律所面临的新课题。各种关于数据经济行为的法律规制的法理思路都要加以充分的讨论、论证,以便为构建数据利益保护制度寻找出最为合理、简洁、实用的法理思路。
以上发言欢迎大家批评讨论。谢谢大家!
