大数据所有权归属与劳动决定论相关

（一）明确数据所有权主体

数据交易是一个复杂的市场行为，涉及数据的生成主体、数据的采集主体、数据的交易平台、数据的交易主体以及政府监管等诸多主体。

在数据交易链条中，不同的主体之间分工存在不同，权利、义务也存在一定的差异。如何合理地对不同主体权责做出界定，是数据交易顺利推进的前提。契约精神是交易主体应遵守的基本原则，权属的确定则是数据交易的前提基础。

对于数据所有权归属存在不同的观点。从学者们的争议来看，其争议的焦点主要是对个人数据所有权归属的确定。对于公共数据、社会数据和商业数据所有权由数据控制者享有则争议不大。笔者认为，对于个人数据所有权的归属，应予以区别对待。因此，为了方便论述，笔者将个人数据分为两大类：一类是与个人密切关联的数据，一类是与个人关联性较弱的数据。两种类型数据的产权归属适用不同的规则。

与个人密切相关的数据包括“与生俱来”的数据和在后来社会生活中与个人生活密切相关的数据。前者包括个人的姓名、身份证号码和户籍信息等，后者主要指个人的学历信息、电话号码、银行账号等数据。与个人密切相关的数据，具有较强的人身依附性（只要知晓这些数据，就可以直接断定数据主体）。因此，对于这些数据，其所有权应由个人享有，不论是对这些数据的采集还是使用，都必须取得个人的同意并履行相应的告知义务。

对于与个人关联较弱的数据，由于其实际上处于不受个人控制的状态，游离于在社会之中，类似于处于自然状态中的事物。这些数据所有权的归属应适用“劳动法则”。对于为何特定主体对原本处于自然状态的事物享有所有权，不同的学者存在不同的观点。在众多观点中，笔者较为赞同洛克的学说。他认为人们之所以对处于公有状态的自然资源享有排他性的所有权，是因为“他们的身体所从事的劳动和他的双手所进行的工作，我们可以说，是正当地属于他的，所以只需要他使任何东西脱离自然所提供的和那个当然东西所处的状态，他就已经掺进他的劳动，在这上面参加他自己所有的某些东西，因而是它成为他的财产”。例如，人人都可以以“先占”来获取生活在自然界的动物，但对于在市场上买卖的动物却不得随意掠夺。这并不是因为市场上的动物被个人所占有而独享权利，而在于其在动物上施加了自己的劳动。劳动是享有财产所有权的基础。对于洛克的学说，有学者提出了质疑，认为现时代许多权利所有者并不是通过自己劳动而享有的，例如，继承来的财产。但正如耶林在《为权利而斗争》一书中指出，权利享有者享有的权利是权利斗争者的成果。财产的原始权利都是人类劳动的成果，任何事物也只有附加了个人劳动，才贴上了权利的标签。洛克的劳动决定所有权的观点，也得到了马克思的同意，马克思认为劳动是创造一切价值的源泉，是社会财富的基础。因此，与个人关联性较弱的数据，例如公共数据、个人浏览网页留下的历史记录以及个人交易数据，其所有权归属应是：谁在上面施加了劳动，不论是智力劳动还是脑力劳动，谁就享有所有权。

与个人关联性较弱的数据所有权归属之所以采用劳动决定论，主要是因为只有经过加工，施加了劳动的大数据的价值才能得以实现。因为大数据的价值不在于数据的汇集（当然数据的汇集是基础），而在于对大数据进行分析，发现数据中的潜在价值，为社会服务。例如，通过对城市不同时段车流量的分析，可以更为合理化地进行交通疏导，缓解交通堵塞现象。

其次，将与个人关联性较弱的数据所有权归属于个人，会使大数据产业的发展一直处于较低的水平。因为，个人作为数据所有权的主体，依照法律在大数据活动中的任何环节都必须取得个人的同意，否则就是对他人权利的侵犯。这势必会降低大数据产业的效率，阻碍大数据产业的发展。

最后，将个人作为与个人关联较弱的数据所有权的主体，实际操作难度较大。这主要是因为现如今很多数据都产生于互联网中，例如查询资料、浏览网页或者进行消费。在互联网中，个人的身份信息一般都是匿名化的，通过网上留下的信息难以识别数据产生主体或者识别成本过高。由此可见，不管是基于大数据产业发展，还是基于现实的考虑，对与个人关联性较弱的数据主体确定为对这些数据付出的劳动者更为适宜。对于采用这一原则，或许有人会存在疑问：如果两者主体都对某一数据施加了自己的劳动，该数据应归谁所有？对于该问题，笔者认为可以借鉴专利法中的制度。专利法规定，对于在专利所有权人获得专利权之前一直使用该专利的，其仍可以继续使用。对于对同一数据施加劳动，进行加工的两个不同主体，也可采用此制度，即谁先进行了权利公告，谁就享有所有权，未取得所有权的主体可以继续使用。在这里需要提示的是，通过施加劳动取得数据所有权的主体所享有的所有权是一种有限制的所有权，其权利顺位落后于用户的隐私权。

数据产权归属的确定是为了方便数据资产的交易或者流转。那么，数据资产的流转采用何种规则较为适宜？对于财产的流转规则，主要有登记生效、登记对抗和转移交付三种方式。所谓登记生效原则，是指非经登记不发生所有权变动的效力。进一步而言，交易主体除了签订物权流转协议外，还需履行登记义务，只有如此才能实现所有权流转。不动产变动一般以登记生效为原则，例如房屋的买卖。登记对抗原则，是指所有权的变动不以登记为要件，但未经登记不得对抗第三人。特殊动产的流转一般采用此原则，例如船舶、车辆等。交付主义是双方签订合同后，将标的物交付给对方即发生所有权流转的效力，不需履行其他义务。普通动产以及知识产权所有权的变动多采此种原则。从以上分析来看，不同的财产，其所有权的流转规则不同，且财产流转规则与财产性质具有直接联系。

因此，要确定数据资产的流转规则，首先应明确数据资产的性质。对于数据资产加工程度的不同，数据资产表现形式存在区别。具体而言，数据资产可分为基础数据和对大数据分析得出的成果。但不论是基础数据还是对大数据分析得出的结果，都属于无形财产的范畴。对其所有权的流转均应采用交付主义。

数据资产权利的流转采用交付主义除了与数据财产本身的性质有关外，还在于采用交付主义有利于大数据产业的发展，提高数据交易的效率。财产所有权流转规则主要有两个方面的考虑因素：一是安全价值，二是效率价值。不同的流转规则，其侧重点存在差异，登记生效主义更侧重于安全，交付主义则偏重于效率。数据对于社会的价值，使得建立数据共享机制成为各国的战略目标。我国政府也在积极构建数据共享平台，以最大化地发挥数据的价值。因此，为了让更多的社会主体能够享受到大数据时代带来的福利，不应在数据资产流转过程中对交易主体设定过多的义务，以免降低数据交易的效率。

（二）明确数据交易主体责任

责任是未履行义务的后果，欲明确数据交易主体的责任需明确数据交易主体在交易过程中应负的义务。数据交易是一个动态的过程，包括一系列环节，例如数据的收集、数据的整理、数据的清洗、数据的分析、数据应用和数据流转等环节，在不同环节主体所负有的义务有所不同，对此我们应予以明确。数据交易初端卖家的首要义务是保证自己是数据资产的权利主体，这是数据交易的前提。否则就属于无权处分。其次，数据交易初端卖家的收集行为应符合法律规定，未收集法律所禁止收集的数据。最后，数据交易的初端卖家应对敏感数据进行清洗，并进行特殊化处理。之所以赋予数据交易初端卖家如此多的义务，主要是因为数据交易的初端卖家是数据对外扩散的起点，对其进行严格把控，可以最为有效地控制数据的非法交易。数据交易中介组织包括数据处理者、数据经纪人和大数据交易平台等。大数据中介组织在数据交易过程中应履行的义务是不得将获取的数据对外扩散和按照需求对数据进行清洗、分析等。数据交易末端买家的主要义务是不得将取得的基础数据或者数据分析成果用于非法目的。

数据交易主体义务明确其目的是为了数据交易主体责任的划分更加清晰。数据交易主体的责任首先表现为交易主体之间的内部责任。由于数据交易本质上是一种合同行为，各主体之间是一种合同关系，因此对于数据交易主体之间的内部责任适用合同法不存在较大争议，数据交易主体可以依照合同法的规定追究相应主体的违约责任。然而对于数据交易主体之间是否适用《消费者权益保护法》中规定的数据交易初端卖家的责任存在较大争议。持反对意见的观点的主要依据是认为大数据产品不是消费者为了生活需要而购买的，不属于《消费者权益保护法》的适用范围。因此，数据交易的买家不可依据《消费者权益保护法》追究数据卖家的责任，进而不可使用惩罚性赔偿机制。对此，笔者认为：首先，数据交易产品，本质上属于商品，其与其他商品唯一不同之处就在于其表现形式。但这一点并未妨碍对其商品属性的认定。其次，法律将“生活需要”作为是否受《消费者权益保护法》保护的实质标准，而不是以产品的种类作为衡量依据。的确，对于一些产品，我们可以直接依据产品的种类认定买者是为了生活的需要而购买，例如个人生活用具。但对于某些产品，其是否属于“为了生活需要”还得看购买者购买产品的实际用途。大数据产品的买家不是没可能处于生活需要而购买大数据产品。例如，学生为了学习的需要购买大数据的书籍。因此，笔者认为，当个人作为大数据产品的购买主体时，其可以依据《消费者权益保护法》的规定追究数据交易初端卖家的责任，如果大数据产品存在欺诈的行为，其依法可以要求惩罚性赔偿。

数据交易主体除了可能承担内部责任外，还可能因自己的行为承担外部责任。例如，数据交易初端卖家未履行数据清洗义务，导致个人敏感信息泄露的，就属于对他人隐私的侵犯，依法应承担侵权责任。数据交易主体对外责任需予以明确时，数据交易主体对外责任应该归属于单个主体的单独责任还是多个主体的共同责任呢？所谓单独责任是指由单个民事主体承担的民事责任。共同责任是指由两个以上民事主体共同承担的民事责任。共同责任又可以分为按份责任和连带责任。一般而言，基于责任自负的基本原则，个人责任是责任承担的主要方式，只有在特殊情况下基于法律的规定或者当事人的约定，个人才可能承担共同责任，尤其是共同责任中的连带责任。数据交易主体对外责任承担也主要以单独责任为主，即谁侵权，谁担责。

数据交易对外责任虽然以单独责任为主，但并不排除共同责任的适用。在某些情况下，数据交易主体应对侵权行为对外承担连带责任。例如，数据交易主体初端卖家明知数据交易末端买家买卖大数据产品用于非法目的，还与其进行交易将大数据产品买给买家的，在这种情形下，数据交易双方对于侵权行为就应承担连带责任。还有，数据交易的卖家未对敏感信息进行清洗，而数据交易买家知晓这一情况，还将获取的大数据产品进行扩散的，数据交易双方也应承担连带责任。由此可见，数据交易主体承担连带责任主要发生于数据交易各方对相关违法行为明知的情形下。

依据调整对象的不同，可以将法律关系分为三种：民事法律关系、行政法律关系和刑事法律关系，法律责任也相应地分为民事责任、行政责任和刑事责任三大类，三者之间的严厉程度依次递进。(www.xing528.com)

在解决了数据交易主体民事责任后，接下来笔者将主要论述数据交易主体的刑事责任问题。对于由于数据交易大数据产品被用于犯罪活动的，例如电信诈骗，其是否应承担刑事责任？对于此问题，笔者持肯定态度，即数据交易主体应对因大数据产品被用于犯罪活动导致他人权利被损害承担刑事责任。具体的原因有如下几个方面：

首先，对于某一行为是否应纳入刑法调整范围，进行刑事制裁，其实质标准是行为的社会危害程度。我国刑法中对于犯罪的定义是严重危害社会关系的行为。在大数据时代，数据交易卖家的行为也有可能导致严重的社会危害后果。例如，数据交易主体将涉及个人隐私的数据出卖给犯罪分子，犯罪分子利用获取的数据进行诈骗，不仅可能导致他人财产的损失，甚至会导致他人自杀等严重后果。

其次，犯罪主体除了实行犯外，还包括帮助犯、教唆犯等。这意味着承担刑事责任不以直接实施犯罪行为为前提，只要对犯罪起到帮助或者推动作用的主体，都应承担相应的刑事责任。数据交易主体将涉及个人隐私的数据提供给犯罪分子对于犯罪行为的实施起到了帮助作用，其就应承担相应的刑事责任。

最后，数据交易主体具有利用数据谋取非法利益的动机，其可能与犯罪分子进行合谋。现实中出现的个人数据泄露，除了黑客攻击外，也存在很多数据控制者故意将数据出卖给犯罪分子的情况。基于以上理由，笔者认为数据交易主体应对因自己行为所导致的危害后果承担刑事责任。接下来问题的关键就转变为，在何种情形下以及造成了何种危害后果时数据交易主体才应承担刑事责任。由于刑罚的严厉性，使得在将特定行为入刑时必须慎重。第一，数据交易主体承担刑事责任主观上必须是基于故意，包括直接故意和间接故意。进一步而言，数据交易主体将大数据产品卖给他人或者将大数据产品提供给他人，就应明知数据接受者是为了实施犯罪行为。例如，数据交易主体与他人合谋，将数据提供给他人用于诈骗。第二，因数据交易主体提供数据的行为必须造成了严重的危害后果。比如，导致他人重大的财产损失或者他人死亡。

（三）完善敏感数据清洗规范

我国最早是将隐私权归于人格权中名誉权的范畴，2009年制定《侵权行为法》时第一次将隐私权单独作为一种权利予以保护。然而，《侵权行为法》中只是将隐私权作为一种权利进行了列举，对于隐私权的概念和范围都未进一步明确，立法部门和司法部门也未对其进行解释。这不仅导致司法实践中对隐私的把握存在差异，而且也不利于大数据清洗标准的确立。

因此，为了实现大数据清洗标准的建立，首先应制定专门的隐私保护法对隐私保护的范围进行明确的界定。隐私权法律保护范围的确定应采用何种立法模式较为合适？立法模式主要有三种：概括式、列举式和概括式加列举式。通过相关分析可知，隐私权范围的立法模式采概括式加列举式较为适宜。因为单纯的概括式过于模糊，列举式虽然较为明确但隐私权的范围并不是固定不变的，采用列举式的立法模式难以穷尽隐私权的种类。具体而言，我国在制定隐私权保护立法时，可以列举一些隐私保护的种类，例如个人身份信息、银行账户信息等，最后再设置一个兜底性条款。

在完善隐私保护立法后，需论述具体的敏感数据清洗规则。关于建立敏感信息的清洗规则，第一便是清洗义务主体的确定。这一点笔者在论述数据交易主体责任时已经做了阐释，在此不再赘述。第二是敏感数据清洗的程度。对于敏感数据的清洗程度，有学者基于保护个人隐私数据安全的理念，建议直接删除具有个体标识属性的数据。这一做法也为我国传统的经典匿名模型所采用，通过准标识属性与敏感数据的有损连接实现隐私数据的保护。但是这一方式却因影响数据利用效率而饱受诟病。因此，有学者建议应建立新的数据匿名模型，不需将敏感数据进行删除，只需要通过泛化匿名的方式，断开敏感数据与具体对象之间的连接。

对于数据清洗标准，美国法律虽然对于匿名化数据还未制定具体的标准，但其在《健康保险可转移及责任法案》中却提出了“去身份化”的概念，并规定了具体的标准，即匿名数据不可与其他数据相比较，旨在实现主体身份的识别，且不得复原。日本在《个人信息保护法》修正案中规定，允许出售充分匿名化的数据。新加坡个人数据保护委员会制定的《个人数据保护法指定主题咨询指南》指出，匿名化是指将个人数据转变为数据，且匿名化的数据必须达到不能识别到个人的标准。从国外立法来看，数据清洗需要达到的标准是不能实现主体身份的识别且不得复原。

国外立法数据清洗标准虽具有一定的可借鉴之处，但却并不完善。对于此问题，笔者认为应区别对待，应在划分数据类型的基础上决定具体的清洗标准。对于与个人密切相关的数据，在清洗过程中应直接删除。因为这些数据具有唯一性，通过这些数据可以直接知晓主体的身份等信息，数据与主体之间的联系难以分割。对于这些敏感数据应进行最为有效的保护，只有采用将与个人身份具有直接关联的数据直接删除的方式，才能最为有效地防止这些数据被恢复或者还原。对于与个人关联性较弱的数据，则可以采用断开与具体对象相连接的方式，对数据进行清洗。进一步而言，就是利用一定的技术对敏感数据予以记录，识别出隐私数据所属的个体然后利用泛匿名化的技术，断开数据与个体间的联系。对于个人关联性较弱的数据匿名化后必须达到不能通过与其他数据比较、分析识别出主体身份的程度，且不可以进行修复或者还原。

数据交易敏感数据清洗规则的完善，使数据交易主体在数据清洗过程中有了可以遵循的标准，既有利于数据交易主体数据清洗的统一，也有利于司法实践中对数据交易主体履行清洗义务是否到位进行认定，还有利于对个人隐私的保护和对侵犯个人隐私权的救济。

（四）完善数据交易监督机制

数据交易的监管是数据交易市场秩序的重要保障，具体可以分为行政监管、行业监管和社会监督三个方面。

行政监管是一种具有强制性的监管手段，是监管主体基于法律授权对数据交易主体的交易行为进行的监管。行政监管的性质决定了行政监管必须以法律明确授权为前提。因此，为了行政监督功能有效发挥，首先应完善数据交易监督的立法。进一步而言，就是制定一部大数据的法律或者行政法规，解决现在数据交易立法层级较低所带来的问题。在数据交易立法中监管应单独成章，并对三个方面予以明确：第一是数据交易监管主体的确定。对于数据交易的监管主体，是另设一个机关还是将其并入现有国家机关职能中？数据交易的对象与普通商品交易无本质上的差异，只是产品的表现形态有所不同。因此，没有必要另设一个新的国家机关对其进行监管，这与国家简化行政机构的设置的趋势相符。那么，数据交易的监管应归入哪个部门较为合适？笔者认为将数据交易的监管职责并入工商行政管理部门较为适宜。主要是因为工商行政管理机关的职责之一就是对产品流通环节违法行为进行监管，将数据交易监管职责纳入工商行政管理机关的职能范畴不会导致工商行政管理机关职能的增加。如果将数据交易监管职责归入其他部门则就相当于在原有职能的基础上给这些部门增加了新的职能。数据交易监管职责由工商行政管理部门行使，具体而言就是，工商行政管理部门可以在其内部下设数据交易监管部门，对数据交易进行监管。第二是明确数据交易监管主体的监管方式。在市场经济时代，行政监管的立法模式不能影响市场主体正常的经营行为。这也是数据交易监管应遵守的基本原则。因此，对于大数据监管主体的监管方式应以抽查为主，全面检查为辅，并规定相应主体履行配合义务。第三是明确监管主体对违法主体的制裁措施。在数据交易监管中，数据交易的监管主体发现数据交易主体存在违法现象，例如负有数据清洗义务的主体为依法对敏感数据进行清洗或者清洗不符合法律规定的标准的，监督主体可以视违法行为情节的轻重分别采取责令数据交易主体限期改正、罚款、责令停业以及吊销营业执照等措施。

数据交易监管除了行政监管外，行业监管也是不可或缺的监管措施。现代社会的法律监管和行业监管发挥着不同的作用，行业监管是法律监管的重要补充。因此，数据交易监管机制的完善离不开行业规范的建立，尤其是在法律规范不健全的情形下更是如此。数据交易行业规范主要是对数据交易主体的义务作出规定，对法律规定的内容进一步予以具体化。数据交易行业规范也分为行业规范的制定者、执行者和惩戒机制等几个方面。大数据行业规范的制定者一般是大数据产业主体自发设立的行业协会或者是大数据交易平台（类似于证券交易所），大数据行业规范的执行者是内部设立的执行机构。大数据行业规范的惩戒机制是对违反行业规范的主体予以一定的惩罚，最为严重的后果是取消会员资格。行业监管是一种行业的自律性监管，其虽然没有法律强制力，但却对行业内部主体具有很强的约束力。因为在现代社会中，人不是一个孤立的个体，可以像鲁滨孙一样生活。因此，数据交易主体一旦违反了行业规范，就会对其自身的发展产生一定的不利影响，这就产生了一种无形的强制力迫使行业组织成员较为自觉地遵守行业规范。数据交易行业组织的内部监管作用由此得以体现。

数据交易的社会监督包括媒体监督和社会主体监督两种形式。在信息化时代，媒体的舆论监督作用日益显现。媒体对违法数据交易行为的报道，不仅反映了数据交易中存在的问题和危害，还有利于推动相关立法的完善。例如孙志刚案件的报道，使存在多年的违反《宪法》的《城市流浪乞讨人员收容遣送办法》得以废除。媒体舆论监督在法治社会中意义由此得以体现。社会主体监督是社会主体对发现的违反行为到监管部门进行检举并要求监管部门予以查处的一种形式。社会主体监督是发现违法行为最为有效的途径，赋予社会主体监督权可以更为有效地规制数据交易中的违法行为。