摘要:2025年伊始,不少机构与学者即发布了2024年数据治理的总结。例如,中国信息通信研究院互联网法律研究中心联合北京市金杜律师事务所发布了《数据治理研究报告(2024年)——网络数据安全管理法律制度体系研究》,中国政法大学数据法治研究院发起了“2024年度中国十
作者:韩旭至,华东政法大学法律学院副教授。
2025年伊始,不少机构与学者即发布了2024年数据治理的总结。例如,中国信息通信研究院互联网法律研究中心联合北京市金杜律师事务所发布了《数据治理研究报告(2024年)——网络数据安全管理法律制度体系研究》,中国政法大学数据法治研究院发起了“2024年度中国十大数据法治事例评选”,王春晖教授发布了“中国网络与数据法治领域2024年十大事件”。许可副教授更是在年度总结与展望的基础上,以数据跨境流动的动态主权观 、平台数据监管的协作治理观 、数据要素市场的善治市场观来概括“藏于中国数据治理新常态下的新思维”。
本文系笔者执笔的“数据治理年度观察报告”系列的第三篇。如果说2022年的观察预示着数据基础制度建设的发展方向,2023年强调了数据要素赋能经济提质增效;那么2024年则是数据治理制度与实践不断深入的一年,表明中国数据治理已经进入“深水区”。当前,随着社会数字化程度加深,数据治理呈现出涵盖范围广、涉及内容多、法律关系复杂的样态。本文将一方面从制度发展维度出发,对国家层面的数据利用与数据安全制度发展分析;另一方面,分别从生成式人工智能数据治理、数据竞争性权益保护、数字治理与政务数据利用的不同视角,对“AI声音侵权首案”“奥特曼系列案”“数据知识产权登记效力首案”“企业征信数据平台不正当竞争纠纷案”“网号网证”之争、“利用政务数据牟利”事件进行观察,力图揭示我国数据治理的发展方向与前进障碍。
一、数据制度探索的持续深化
数据制度探索始终坚持统筹发展与安全的基本原则。若以发展为横轴、安全为纵轴构建二维坐标体系,不难发现我国的数据治理制度设计已经从偏重安全与管理转向注重促进与发展,从“安全第一”的绝对安全观转向了“不发展是最大的不安全”的安全发展观。2024年内印发的《关于加快公共数据资源开发利用的意见》《关于促进数据产业高质量发展的指导意见》等文件均明确提出“统筹发展和安全”,发挥数据价值,为数字经济发展提供坚实支撑。对此,可分别从数据利用与数据安全两个层面考察数据制度的发展。
(一)数据利用制度体系逐渐成型
2024年内国家出台了众多促进数据利用的制度文件。2024年3月22日,国家互联网信息办公室发布《促进和规范数据跨境流动规定》;2024年9月21日,中共中央办公厅、国务院办公厅发布《关于加快公共数据资源开发利用的意见》;2024年10月12日国家发展改革委发布《公共数据资源登记管理暂行办法(公开征求意见稿)》;2024年10月12日,国家数据局发布《公共数据资源授权运营实施规范(试行)》(公开征求意见稿);2024年12月19日,财政部发布《数据资产全过程管理试点方案》;2024年12月25日,国家数据局、中央网信办、工业和信息化部、公安部、国务院国资委联合发布《关于促进企业数据资源开发利用的意见》;2024年12月30日,国家发展改革委、国家数据局、教育部、财政部、金融监管总局、中国证监会联合发布《关于促进数据产业高质量发展的指导意见》;2024年12月31日国家发展改革委、国家数据局、工业和信息化部发布《国家数据基础设施建设指引》。
在制度目标上,前述文件大多聚焦推进数字经济高质量发展展开。《国家数据基础设施建设指引》以“汇通海量数据、惠及千行百业、慧见数字未来”为目标。《关于加快公共数据资源开发利用的意见》提出两个阶段性目标:一是2025年初步建立制度规则,公共数据资源要素作用初步显现;二是2030年制度规则更加成熟,公共数据资源要素作用充分发挥。《关于促进数据产业高质量发展的指导意见》更是明确提出了2029年“数据产业规模年均复合增长率超过15%”的目标。
在具体内容上,我国数据利用制度体系主要由数据权益保护、数据流通利用、数据基础设施建设三个方面展开。(1)在数据权益保护层面,持续探索数据权益形成机制、权责关系、收益分配机制。《关于促进企业数据资源开发利用的意见》指出继续推动数据“三权分置”,“鼓励探索市场化、场景化的‘授权使用、分享收益’新模式”“完善企业数据权益保护机制”《数据资产全过程管理试点方案》指出应按照“谁投入、谁贡献、谁受益”原则进行收益分配。(2)在数据流通利用层面,致力于“稳妥推动数据资产开发利用”“促进数据合规流通交易”。2024年5月24日,在国家数据局的推动下,24家数据交易机构联合发布了《数据交易机构互认互通倡议》提出,推进数据产品、数据需求、数据交易的全国互认互通互信。《关于促进数据产业高质量发展的指导意见》即提出,“建立健全数据交易规则,鼓励探索多元化数据流通交易方式……实现数据合规高效流通”。其中,促进数据跨境是2024年的工作重点。《促进和规范数据跨境流动规定》在标题上将《规范和促进数据跨境流动规定(征求意见稿)》中的“促进”提到“规范”之前,重点强调了“促进数据依法有序自由流动”(第1条)的立法目的。在内容上,规定了不包含个人信息或者重要数据的出境豁免以及部分个人信息出境豁免,并指出自由贸易试验区内可以实行负面清单机制。(3)在数据基础设施建设层面,形成了适度超前布局、推动互联互通,坚持顶层设计的发展方向。《国家数据基础设施建设指引》提出“三步走”的推进路径,最终计划“到2029年,基本建成国家数据基础设施主体结构”,并指出数据基础设施具有“数据可信流通”“高效算力供给”“数据高速传输”“全程安全可靠”四个基本功能。
观察可知,在数据利用制度逐渐成行的过程中,至少需要妥善处理好三对关系。一是数据确权与流通利用的关系。数据权利关系的明确构成了数据流通的信任基础。但并不是说,没有明确的数据确权就无法促进数据流通利用。欧盟《数据法》即在放弃数据确权的基础上,确立了数据的共享、利用、转移、传输规则。我国数据确权理论也从“整体确权”发展到“阶段式确权”“从所有权到使用权”。有学者主张“数据使用权”属于信息产权,可从使用权出发推动数据治理。此外,亦可跳出数据确权的框架,“从流通的数据可信、主体可信和过程可信三个方面来构建数据流通的信任”。二是数据要素供给与公共数据利用的关系。当前公共数据的可获得性、获得的便利性、供给的质量仍有待提高。对此,笔者参与撰写的《中华人民共和国人工智能法(学者建议稿》》(以下简称“学者建议稿”)《关于人工智能立法的重点制度建议》(以下简称“重点制度建议”)均明确提出,推进数据资源建设和公共数据开放共享。具体而言,国家应当鼓励建设高质量数据集和数据库,制定数据标准体系,建立数据资源共享机制,构建公共数据池,推动公共数据开放共享。三是数字基础设施与相关概念的关系。应当厘清《网络安全法》中的关键信息基础设施、《数据安全法》中的数据基础设施、《数据领域常用名词解释(第一批)》中的数字基础设施、《信息化标准建设行动计划(2024—2027年)》中的算力基础设施的关系。数字基础设施是关键信息基础设施、数据基础设施、算力基础设施的上位概念,后三者对应设备层、数据层、算力层的基础设施,这些设施一旦遭到破坏可能带来系统性风险。对此,应依法全面加强数字基础设施建设,保障相关设施的持续运营和安全可靠。欧盟《人工智能法》“鉴于条款”第34条即指出需要重视重要数字基础设施管理和运作。
(二)数据安全监管机制拓展完善
在数据安全监管领域,2024年6月12日,国家互联网信息办公室、中华人民共和国公安部、中华人民共和国文化和旅游部、国家广播电视总局发布《网络暴力信息治理规定》;2024年8月30日,国务院常务会议审议通过《网络数据安全管理条例》;2024年12月16日,国务院常务会议审议通过《公共安全视频图像信息系统管理条例》;2024年12月27日,国家金融监督管理总局发布《银行保险机构数据安全管理办法》。
前述文件从数据安全、网络安全与个人信息保护三个层面拓展完善了我国数据安全监管机制。在数据安全层面,《网络数据安全管理条例》涵盖了数据分级保护、数据全生命周期保护、数据处理环境保护等多方面内容;重申了“对网络数据实行分类分级保护”(第5条)“在网络安全等级保护的基础上,加强网络数据安全防护”(第9条);规定了网络数据转移时“网络数据接收方应当继续履行网络数据安全保护义务”(第34条);强调了网络安全事件应急报告机制(第11条)、重要数据安全风险评估与报告机制(第32条)等重要内容。在网络安全层面,《网络暴力信息治理规定》规定了“源头防范、防控结合、标本兼治、协同共治的原则”(第3条);明确了“网络信息服务提供者应当履行网络信息内容管理主体责任,建立完善网络暴力信息治理机制”(第7条);对“蹭炒热度、推广引流等营销炒作行为”予以打击(第10条);建立了多部门协同治理机制(第28至29条);提出网络信息服务提供者应当建立健全网络暴力信息防护功能(第23条)、风险告知功能(第24条)、未成年人保护功能(第27条);从预防预警、信息和账号处置、保护机制几个方面建立了网络暴力信息治理机制。在个人信息保护层面,《网络数据安全管理条例》在《个人信息保护法》的基础上细化了告知同意的具体规范(第21至22条)、明确了个人信息转移请求权的行权条件(第25条)、规定了1000万人以上个人信息处理者应履行重要数据处理者的义务(第29条)等;《公共安全视频图像信息系统管理条例》明确规定了公共视频系统的安装目的、信息使用目的、安装主体、安装区域与禁止安装区域、安装位置、提示标识、备案制度、图像信息的查看和传播机制等内容。
当前,我国数据安全制度建设应当充分注意以下四个方面的问题:一是继续贯彻兼顾发展与安全的“动态安全观”。在数据安全中,“安全—控制—利用”三个层次紧密结合。“数据安全法律保护范式也完成了从静态防御范式到动态安全范式的转变”,“注重体系保护以及安全和发展的平衡”。二是妥善处理整体安全(security)与个体安全(safety)的关系。例如,重要数据、核心数据的安全制度防范的是整体安全风险,个人信息保护关注的则是个体安全风险,在数据跨境的制度设计中必须注意二者的区分,不可简单以个体安全的标准设计重要数据跨境机制。三是明确数据安全保护义务兼具公法与私法的双重属性。数据处理者若未能依法采取必要安全措施,不仅会面临行政责任,造成他人损害的,还应承担民事赔偿责任。四是在人工智能治理中进一步完善构建数据与算法安全监管机制。秉承我国在《全球安全倡议》中提到的“共同、综合、合作、可持续的安全观”,遵循《全球人工智能治理倡议》,“构建开放、公正、有效的治理机制”。“学者建议稿”与“重点制度建议”即分别从安全技术与服务、隐私与个人信息保护、关键人工智能的特殊监管制度、创新监管方式与推进监管试点等几个方面提出了制度设想。
二、生成式人工智能的数据治理探索
随着应用的深化,生成式人工智能的数据治理问题逐渐显现。在多模态的应用中,出现了自然人对人工智能生成的可识别性信息享有何种权利,服务提供者能否利用版权作品进行训练数据,人工智能生成内容与第三人版权作品实质相似是否构成侵权等新问题,涌现出以“AI声音侵权首案”“奥特曼系列案”为代表的影响性案件。
(一)可识别性的再认识:“AI声音侵权首案"观察
2024年4月23日,北京互联网法院审结的“殷某某诉北京某智能科技公司等人格权侵权案”被称为“AI声音侵权首案”。该案原告殷某某系一名配音演员,发现其声音被AI化,相关声音来自被告一北京某智能科技公司运营平台中的文本转语音产品。原告曾接受被告二北京某文化传媒公司的委托录制录音制品,后被告二将相关录音制品提供给被告三某软件公司。被告三生成了案涉文本转语音产品并在被告四上海某网络科技公司运营的云服务平台对外出售。被告一与被告五北京某科技发展公司签订在线服务买卖合同,由被告五向被告三下单采购相关产品。被告一采取应用程序接口形式,调取并生成文本转语音产品在其平台中使用。原告主张,被告的行为侵犯了其声音权益。北京互联网法院审理认为,“利用人工智能合成的声音,如果能使一般社会公众或者相关领域的公众根据其音色、语调和发音风格,关联到该自然人,可以认定为具有可识别性”,未经许可使用原告声音构成侵权;遂判令被告一北京某智能科技公司、被告三某软件公司向原告赔礼道歉,被告二北京某文化传媒公司、被告三某软件公司向原告赔偿损失共计25万元。
该案首要意义在于对人工智能生成内容的可识别性进行了判断。人格权保护体系中有三种权利与可识别性密切相关。一是个人信息受保护的权利,二是肖像权,三是声音受保护的权利。结合《民法典》第1024第2款、第1018第2款可知,对自然人声音的保护也要求可以识别出特定自然人。与绘画、雕塑对特定自然人外部形象的展示一样,人工智能也可生成可识别出特定自然人的声音。此时的识别性判断与个人信息的识别性判断具有显著差异,一是排除了“与其他信息相结合”的间接识别,二是不宜简单引入关联性要件,三是在判断主体应当予以一定限制。北京互联网法院课题组撰文对该案进行分析时即提出,应结合主观标准、客观标准、使用方式综合判定人工智能生成内容的可识别性;“主观标准应以一般社会公众或一定范围内的公众能否识别来判断,客观标准可以从声纹辨认、声纹确认、声音的音色、语调等方面综合判断”,使用方式上区分“单纯使用声音”“使用声音合成新的声音”“使用声音及其内容”进行判断。
值得注意的是,标识义务的履行不能成为人格权侵权的抗辩事由。该案中五被告抗辩主张已对案涉合成声音进行了水印标识,由此排除了合成声音与自然人的联系。人工智能生成内容的标识是一项由部门规章所规定的“信息助推”措施。服务提供者应当根据《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》的规定对生成内容进行标识。2024年9月14日,国家互联网信息办公室进一步发布了《人工智能生成合成内容标识办法(征求意见稿)》。服务提供者履行标识义务与生成可识别性内容之间没有必然的联系,标识仅仅是表明该内容的创造方式或出处。正如肖像是由人工智能生成抑或人类创作并不影响肖像权人的权利,声音受保护的权利亦是如此。若未经标识使用特定自然人声音并引起第三人误解,则可能构成其他人格权侵权行为。
然而,这并不是说自然人对人工智能生成的所有可识别性信息均享有权利。所谓“人有相似”,人工智能完全可能在没有采集、处理个人信息基础上,生成出与特定自然人特征接近的声音或形象。此时,使用方式上的区分发挥了重要作用。应着重判断是否在非法处理个人信息基础上生成相关内容,或恶意利用人工智能生成相关信息。“学者建议稿”第74条第2款即明确提出,“恶意利用人工智能生成的生物识别信息,具有识别特定自然人可能的,经权利人请求,人工智能提供者应当采取屏蔽、断开链接、删除等必要措施”。
(二)训练数据与生成内容的侵权判断:“奥特曼系列案”观察
2024年2月8日,广州互联网法院审结的“上海某文化发展公司诉广州某网络科技公司网络侵权责任纠纷案”被称为“全球AIGC平台著作权侵权首案”,因案涉奥特曼形象使用也被称为“广互奥特曼案”。该案原告上海某文化发展公司系奥特曼系列形象的著作权独占许可人。原告发现在被告广州某网络科技公司所提供的AI绘画服务中,可根据用户输入的文字生成奥特曼形象图片,遂成讼。广州互联网法院审理认为,被告未经许可,复制、改编了案涉奥特曼作品,侵犯了原告对案涉奥特曼作品的复制权和改编权;遂判令被告立即停止侵权行为,并采取相应技术措施防止生成侵权图片,赔偿原告1万元。
“广互奥特曼案”后不久,针对另一人工智能平台中存在有关奥特曼的智能生成图片以及相关模型的情况,上海某文化发展公司在杭州互联网法院对杭州某智能科技公司提起诉讼,该案称之为“杭州奥特曼案”。2024年9月25日,杭州互联网法院作出一审判决指出,案涉图片系由用户上传,被告并非网络传播内容的提供者,不构成直接侵权;然而,结合“生成式人工智能服务的性质和营利模式”“权利作品的知名度和被诉侵权事实的明显程度”“生成式人工智能可能引发的侵权后果”“是否积极采取了预防侵权的合理措施”,可判断被告构成帮助侵权;遂判令被告立即停止侵权并采取必要措施,赔偿原告3万元。随后,上海某文化发展有限公司提起上诉。2024年12月30日,浙江省杭州市中级人民法院二审判决维持原判。
首先,“奥特曼系列案”涉及一个关键问题:服务提供者能否使用他人版权作品进行模型训练?“杭互奥特曼案”中,原告诉称被告擅自利用版权作品进行模型训练。由于案涉网站的AI绘画功能是通过第三方服务商实现的,法院未实质审理训练数据是否侵权的问题。“杭州奥特曼案”中,虽然原告主张数据训练行为侵权,但由于相关训练数据是用户上传的,法院主要围绕服务提供者的注意义务进行分析。对于训练数据收集、处理中的合法性难题,学术界普遍认为应当允许服务提供者利用公开数据进行模型训练,并形成了“合理使用说”“法定许可说”“非作品性使用说”等多种学说。“学者建议稿”在主张训练数据合理使用的同时进一步指出,“应当以显著的方式标注数据来源”。
其次,“奥特曼系列案”涉及另一个关键问题:人工智能生成内容是否构成信息网络传播?“广互奥特曼案”中,法院以同一侵权行为不再重复评价为由,未对被告是否构成信息网络传播权侵权作出判定。“杭州奥特曼案”中,杭州互联网法院即指出:“尽管用户实施生成图片的行为利用了杭州某智能科技有限公司提供的生成式人工智能服务,涉案侵权图片亦通过用户在平台发布或分享实现了信息网络传播……因此,杭州某智能科技有限公司不是网络传播内容的提供者”。杭州互联网法院的这一分析值得肯定。大模型生成的内容可以是针对用户提示词所生成的,可以呈现出高度个性化的样态。基于大模型生成的技术特征,即便采用类似的提示词,不同用户在不同设备不同时间所生成的内容也不尽相同。由此可见,大模型生成的内容与传统的信息网络传播行为具有显著区别。生成式人工智能服务提供者所提供是“一对一”的个性化信息服务,并未直接向不特定用户提供信息内容。唯有当获得图像的人将相关图像发布到网络空间之时,才有了信息网络传播行为,此时的传播主体亦非大模型服务提供者,而是将相关图像公开发布的人。
那么,不具传播性的行为是否会侵害复制权、改编权呢?传统的复制权、改编权并未直接予以回应。简单地套用既有规则将要求大模型在面对用户“生成一个奥特曼”的请求时只能拒绝生成,或生成一个不像奥特曼的奥特曼。这种要求是荒谬且不现实的。“奥特曼系列案”后,国内主流大模型平台大多将奥特曼设置为关键过滤词。然而,笔者测试发现:虽然大模型拒绝生成奥特曼形象,但依然能生成并改编包括“宝可梦”“哆啦A梦”“喜羊羊”等版权作品形象,同时也能生成包含奔驰、宝马等商标的图片。对此,应当从传播性的角度出发,豁免生成式服务提供者的版权义务。基于生成了人工智能的新业态,有学者即提出“以‘固定性+传播性’的构成要件定义侵犯复制权的行为”。
前述几个问题的实质上可以进一步提炼为:如何构建权利义务相统一的人工智能知识产权制度?从制度设计的角度,应将训练数据利用的问题、人工智能生成物的知识产权问题、人工智能生成内容的侵权问题三者相结合予以考虑。若允许训练数据合理利用,则相应地应将人工智能生成物归属于公共领域,服务提供者亦无须对生成内容承担版权责任。当前司法实践既赋予用户以著作权,又让服务提供者对生成内容承担著作权侵权责任,这本身就是矛盾的。
最后的问题则是:若大模型生成内容确实侵害了他人权利,如何实现停止侵害?“杭州奥特曼案”中,法院即判决被告“立即删除已生成并发布的涉案奥特曼图片、奥特曼LoRA模型,停止提供相关奥特曼LoRA模型的发布和应用服务,并采取必要措施有效制止侵权行为”。该案中,奥特曼LoRA模型是一个衍生开发模型,该模型整体上侵害了他人著作权,且删除该模型并不会直接冲击服务提供者其他合法的基础服务与功能。然而,当侵权数据只是底座大模型的部分训练数据时,大模型的技术架构将使得难以强制要求其删除或“遗忘”已经学习的数据。此时,服务提供者应当根据《生成式人工智能服务管理暂行办法》第14条第1款的规定,“及时采取停止生成、停止传输、消除等处置措施,采取模型优化训练等措施进行整改,并向有关主管部门报告”。例如,“广互奥特曼案”中,法院指出,简单的关键词屏蔽措施并不足够,所采取措施的防范程度应达到:“用户正常使用与奥特曼相关的提示词,不能生成与案涉奥特曼作品实质性相似的图片”。
三、数据竞争性权益保护的溢出效应
司法实践中,长期通过《反不正当竞争法》第2条保护数据竞争性权益。数据权益的竞争法保护模式有望获得立法的进一步确认。2024年12月21日,《中华人民共和国反不正当竞争法(修订草案)》提交十四届全国人大常委会第十三次会议审议。其中,第13条第2款第4项明确提出禁止“以欺诈、胁迫、电子侵入等不正当方式,获取并使用其他经营者合法持有的数据”。当前,数据权益的竞争法保护不仅具有兜底功能,而且已经产生一定的溢出效应。以“数据知识产权登记效力首案”“企业征信数据平台不正当竞争纠纷案”为代表的案件,即从数据竞争性权益保护出发,对数据登记的法律效力、数据处理者的质量保证义务等问题进行了回应。
(一)数据登记的竞争法效果:“数据知识产权登记效力首案”观察
2024年6月18日,北京知识产权法院审结的“隐某科技公司与数某科技公司不正当竞争纠纷案”因首次在司法裁判中承认数据知识产权登记的效力而被称为“数据知识产权登记效力首案”。该案中,数某科技公司发现隐某科技公司非法获取涉案200小时数据集并在其官方网站向公众传播,同时以提供下载服务为方式诱导用户注册会员,遂成讼。经查明,数某科技公司已就案涉数据集获得了《数据知识产权登记证》。北京互联网法院一审认为,《数据知识产权登记证》能够证明涉案数据集系由数某科技公司收集且持有,隐某科技公司的行为构成通过不正当手段获取以及披露、使用他人商业秘密,应当承担相应的法律责任;遂判令隐某科技公司赔偿数某科技公司10万元及合理维权支出2300元。数某科技公司不服提起上诉。北京知识产权法院二审认为,涉案数据集因处于公开状态不符合商业秘密的构成要件,但《数据知识产权登记证》可作为证明涉案数据集相关财产性利益的初步证据;“由于数某科技公司对此付出了技术、资金、人力、物力等的实质性投入合法收集形成了具有实质量的声音数据条目,在原始数据上添附了更多的商业价值......该种商业利益本质上是一种竞争性权益,应属反不正当竞争法所保护的合法权益”;隐某科技公司的行为构成了《反不正当竞争法》第2条规定的不正当竞争行为;判决维持原判。
该案的重要意义在于阐明了数据财产性权益保护与数据登记的关系,不仅再次确认了数据处理者对经算法处理后的衍生数据具有财产性权益,而且首次在司法判决中确认了数据知识产权登记的法律效力。一方面,自“淘宝诉美景案” “大众点评诉爱帮案”以来,我国法院多次通过反不正当竞争法保护数据采取权益。该案二审判决即表示,“涉案数据集通过对原始数据的提炼整合,将原本单一且价值有限的碎片化数据信息通过算法分析处理,可以提升数据的使用价值,具有数据财产权益。从现行法律规定和现实利益两个层面,均可得出涉案数据集具有财产性利益需法律保护的结论”。另一方面,法院并没有直接通过《数据知识产权登记证》确认持有者的数据权利,而是将之作为一项初步证明。这是因为,数据登记无法直接实现数据确权。对于数据权利而言,登记只是界定了权利客体,产生了权利公示的效果,以此“明晰数据权利边界、促进合规有效使用”。在功能上,数据登记被认为具有“塑造契合数据价值分配的新型生产关系”的“元功能”,并“衍生出证明、信息管理、公示的核心功能及促进数据产权形成的延伸功能”。该案主要涉及数据登记的证明功能。法院明确认可了《数据知识产权登记证》系证据法上的证据。当前,各地的数据登记规范“皆明确指出,数据持有者或处理者为登记主体,而登记对象则是合法获取、经过处理且具有实际应用价值、商业潜力和体现智力劳动成果的数据或数据集”。相应地,法院也认可了数据登记至少具有三个方面的证明效力:(1)证明数据的收集、持有人(权利主体证明);(2)初步证明财产性权益存在(权利内容证明);(3)初步证明收集行为合法(合法性证明)。
然而,数据登记实践仍处于起步与试点阶段,仅在个案中认可登记效力是远远不够的。以该案涉及的数据知识产权登记为例,根据2022年国家知识产权局公布《关于确定数据知识产权工作试点地区的通知》、2023年《国家知识产权局办公室关于深化数据知识产权地方试点工作的通知》,北京市、上海市、江苏省、浙江省、天津市、河北省、山西省等地是数据知识产权登记的试点地区。在试点的推进中,数据知识产权登记的登记对象究竟是什么,又应以何种模式审查?如果符合知识产权的要素则可直接进行知识产权登记,如果不符合又凭什么纳入知识产权登记范畴?持有人是具有合法利益方可登记,还是在数据登记后才产生了可对抗第三人的合法利益?应当采取登记生效主义还是登记对抗主义?数据知识产权登记与数据要素登记、数据产权登记、数据信托登记、数据知识产权登记、数据公证登记等五花八门的数据登记之间又是什么关系?这些问题均有待进一步明确。
(二)数据处理者的质量保证义务:“企业征信数据平台不正当竞争纠纷案”观察
2024年9月11日,最高人民法院发布8起反垄断和反不正当竞争典型,其中“案例八”为“企业征信数据平台不正当竞争纠纷案”(即“长某顺公司与天某查公司、金某公司不正当竞争纠纷案”)。该案中,长某顺公司发现“天某查”网站中关于其公司的数据中存在不完整、与实际情况不符的问题,且在收到长某顺公司的通知后未对相关数据进行修正,遂成讼。广东省深圳市罗湖区人民法院一审认为,“出于鼓励互联网征信发展、完善社会征信体系的目的,确实不宜对金某公司、天某查公司苛责过细的判断规则和过重的注意义务”,判决驳回长某顺公司的全部诉讼请求。长某顺公司不服提起上诉。深圳市中级人民法院二审认为,案涉数据直接关系长某顺公司的市场竞争地位;数据使用主体对数据原始主体负有数据质量保证义务;天某查公司与金某公司在收到长某顺公司投诉后未采取合理措施纠正数据偏差,违反了“合理纠错义务”;“错误的持股信息必然带来数据消费主体对长某顺公司经营状况的错误判断,进而对长某顺公司的市场竞争权益产生损害,同时也会损害数据消费者的知情权与互联网征信行业正常的市场竞争秩序”;遂改判金某公司、天某查公司在“天某查”网站中补充更正相关信息,刊登声明消除影响,并赔偿长某顺公司合理维权开支30880元。
当前,虽然以《数据流通行业自律公约》为代表的行业自律性文件大多指出数据处理者应当提高数据质量,但在法律上并不存在一般性的数据质量保证义务。数据权利体系内,更正、补充请求权一般仅指向个人信息保护、政务数据开放领域。在个人信息保护领域,根据《个人信息保护法》第46条,“个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充”。在政务数据开放领域,《上海市公共数据开放暂行办法》第21条规定了数据纠错机制,对更正主体与责任主体进行了规定。值得注意的是,数据质量评估被认为是数据资产入表的重要环节。根据《信息技术—数据质量评价指标》(GB/T 36344-2018),数据质量的要求涉及数据的规范性、完整性、准确性、一致性、时效性、可访问性。
在相关法律规则缺失的情况下,是否意味着就可以转向一般条款,根据《反不正当竞争法》第2条创设数据处理者的质量保证义务呢?该案中,二审法院基于数据消费者对相关数据的信赖,判定数据处理者与原始数据主体之间的关系应被纳入反不正当竞争法规制的范围。最高人民法院表示,该案典型意义在于:“积极探索适用反不正当竞争法的原则性条款,合理确定原始数据主体竞争权益的范围以及数据使用者应当承担的数据质量保证义务”。然而,反不正当竞争法的规制对象应当是具有市场竞争关系的市场主体。长某顺公司与“天某查”的经营者之间的业务类型完全不同,不存在竞争关系。“天某查”中关于长某顺公司的信息不完整,影响的是长某顺与其他同业竞争者之间的利益。反观一审法院则是基于“天某查”的市场地位与影响力,提出应适用反垄断法进行规则,显得更具合理性。更为重要的是,司法裁判不宜轻易向一般条款逃逸。该案中,法院实际上无需续造出所谓的数据质量保证义务。针对互联网征信信息不准确的问题,应适用《征信业管理条例》。根据该条例第23条、第25条、第26条的规定,“征信机构应当采取合理措施,保障其提供信息的准确性”,信息主体有权依法提出异议与投诉。
在未来的数据与人工智能立法中,应当进一步明确数据处理者的质量保证义务。“学者建议稿”即提出,数据处理者“应当采取有效措施提升训练数据质量,增强数据集的真实性、准确性、客观性和多样性”。
四、数字治理与政务数据利用的隐忧
我国政府多次表明致力于形成数字治理新格局,推进国家治理体系和治理能力现代化。然而,国家公权力与“数字权力”相结合,不由得使人担忧可能形成“数字利维坦”,侵蚀个体的自由。因此,数字治理必须强调法治约束。2022年《国务院关于加强数字政府建设的指导意见》即提出,“全面建设数字法治政府”。其中,数字公民的身份确认与认证、政务数据的共享与利用的是两项关键议题。围绕着这些议题展开的“网号网证”之争、“利用政务数据牟利”事件表明了,数字治理中依然存在不容忽视的风险。
(一)数字身份认证的风险:“网号网证”之争观察
2024年7月26日,公安部、国家互联网信息办公室等研究起草了《国家网络身份认证公共服务管理办法(征求意见稿)》。该征求意见稿的起草说明表明,办法出台目的“旨在建成国家网络身份认证公共服务平台,形成国家网络身份认证公共服务能力,为社会公众统一签发‘网号’‘网证’,提供以法定身份证件信息为基础的真实身份登记、核验服务,达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标”。根据该办法,“网号,是指与自然人身份信息一一对应,由字母和数字组成、不含明文身份信息的网络身份符号;网证,是指承载网号及自然人非明文身份信息的网络身份认证凭证”;“网证网号”的申请、互联网平台接入使用相关公共服务均以自愿为原则;互联网服务中可以使用“网证网号”登记、核验身份,从而实现个人信息“可用不可见”。
该征求意见稿一经推出即引起了极大争议。部分学者担忧该制度将与网络实名制结合而走向强制性,“给每个人的上网行为安装了一个监视器”,与个人信息保护的目标背道而驰,存在个人信息泄露或非法利用的风险等。与之相对,部分学者对“网证网号”持支持态度并指出,“国家网络身份认证公共服务具有很大的便利性”“完全基于用户自愿”“基于国家网络身份认证公共服务,个人可实现对数据的有效确权和授权,进而形成并固化自身数据资产,以此促进数据要素的有序流动和增值,助力数字经济发展”。
在世界范围内,数字身份认证项目并不少见。例如,2018年ID2020与联合国难民事务高级专员办事处(UNHCR)合作实施难民数字身份管理计划,指出可信数字身份验证是保护人权所必须的。2023年ID2020和“数字影响联盟”(Digital Impact Alliance)宣布联合推动数字化转型中合伦理的数字身份认证。又如,2014年欧盟通过了《电子身份识别、身份验证和信任服务法规》(eIDAS)。2021年欧盟委员会发布了《2030数字指南针:欧洲数字十年之路》指出,在eIDAS框架内以自愿为原则构建欧洲数字身份。2024年欧洲议会通过了eIDAS的更新提案(eIDAS 2.0),引入欧洲数字身份钱包 (EUDI Wallet),“旨在为整个欧盟的数字身份识别、身份验证和信任服务创建一个更安全、以用户为中心和更具包容性的系统”。此外,英国、加拿大、丹麦、新西兰、印度等国家都分别构建了数字身份系统。有分析表明,“政府主导的可信数字身份框架建构呈现出数量增加、架构升级、技术路径和规范形态多样化等特征”。
在法律属性上,数字身份认证属于个人信息处理。“网证网号”虽然具有动态变化的特征,但本质功能仍是个人身份标识符,从监管部门也可通过该信息识别特定自然人。与动态IP地址类似,“网证网号”应属个人信息。根据《个人信息保护法》第13条的要求,部门规章无法创设个人信息处理的合法性基础,“网证网号”的使用有赖于个人同意。在具体功能上,以“网证网号”为代表的数字身份认证技术的首要功能无疑是确认数字空间中的主体身份并实现行为的可归责。该技术应用依托于可实时联网查询的身份证数据库等认证基础设施,天然地有利于网络实名制的落实。在身份核验之外,数字身份认证还可能具有“身份服务提供、财产流转、隐私信息保护等积极内容”,最终形成基于数字身份的治理框架。
因此,不难理解公众对数字身份认证风险的担忧。数字身份意义重大,“其实质是自然人(公民)意志、行为和关系的数字化表达”。数字身份与个人权利保护密切相关,“除了包含识别、认同的意义外,更关乎人的尊严、自由、权利和发展”。“数字身份的建构过程是人类‘深度数据化’的过程,从物质维度、精神维度、信息维度完成了对人闭环式的记录”。以“健康码”“行程码”“文明码”为代码的“码治理”实际上就是一种类似“网证”的技术应用。在“码治理”的实践中,人们已经发现数字身份认证技术存在滥用的危险。ID2020即指出,“个人必须控制自己的数字身份,包括个人数据的收集、使用和共享方式”“如果没有经过深思熟虑的设计和仔细实施,数字身份将带来巨大的风险”。对此,数字身份认证必须进一步强调自愿与自主原则,不应与其他强制性规定相结合或以其他软法的形式形成事实上的强制,同时严格遵循个人信息保护规范,充分发挥个人信息保护功能,在此基础上构建可信数据流通环境。
(二)“数据财政”的危机:“利用政务数据牟利”事件观察
2024年6月25日,国家审计署发布2024年第1号审计结果公告《中央部门单位2023年预算执行等情况审计结果》发现:“利用政务数据牟利成为新苗头。按要求,部门应有序开放所掌握的全国性政务和公共数据,降低社会公众获取成本。但一些部门监管不严,所属系统运维单位利用政务数据违规经营收费。4个部门所属7家运维单位未经审批自定数据内容、服务形式和收费标准,依托13个系统数据对外收费2.48亿元。”
该事件的背后反映的是“数据财政”成为了继“土地财政”后各级政府获取财政收入的新动向。2024年1月财政部发布的《关于加强数据资产管理的指导意见》提及“公共数据资产各权利主体依法纳税并按国家规定上缴相关收益,由国家财政依法依规纳入预算管理”。有分析预测,“全国数据财政的潜在收入规模2025年将达1.27万亿元,占当期全国一般公共预算收入的5.49%;2035年将达8.06万亿元,占当期全国一般公共预算收入的22.85%”。据此,有学者认为国家应当支持“数据财政”的推进,并指出“数据财政”是“公共数据国家所有的权能延伸”。也有学者认为,“各地公共数据运营工作基本上都离不开财政”,应当“捅破数据财政的窗户纸”。然而,在公共数据与政务数据概念边界模糊、数据国家所有权缺乏法律依据的前提下,一味地强调直接通过数据换取财政收益并不可取。
自2023年湖南省衡阳市发生首例“政务数据特许经营权”交易暂停事件以来,国家出台了系列文件规范公共数据利用。在概念范畴上,《关于加快公共数据资源开发利用的意见》将政务数据列为公共数据的下位概念。政务数据的主体并不包括企事业单位,往往指向国家机关。在权属上,政务部门是政务数据的持有者而非所有者,政务数据内蕴含大量个人数据、企业数据,政府部门只是基于提供公共服务、进行公共管理的目的持有和处理这些数据。因此,政务数据与其上位概念公共数据一样,其利用必须首先服务于公益。在利用形式上,公共数据均强调开放共享。其中,政务数据重点强调的是统筹推进“跨层级、跨地域、跨系统、跨部门、跨业务政务数据共享和业务协同”。具体到授权运营而言,其本质是公共数据开放的一种重要形式。《关于加快公共数据资源开发利用的意见》明确提出鼓励探索并规范公共数据授权运营,“明确授权条件、运营模式、运营期限、退出机制和安全管理责任”“完善运营监督”“建立健全价格形成机制维护公共利益”。《公共数据资源授权运营实施规范(试行)》进一步明确规定了公共数据授权运营的基本要求,并从方案编制、协议签订、运营实施、运营管理等各个流程对授权运营进行了规范。该规定不仅确立了公共数据授权运营“依法合规、公平公正、公益优先、合理收益、安全可控”的五项基本原则(第4条);而且建立了公共数据授权运营的竞争性规则,规定“不得滥用行政权力或市场支配地位排除、限制竞争,不得利用数据和算法、技术、资本优势等从事垄断行为”(第6条);应当“以公开招标、邀请招标、谈判等公平竞争方式选择运营机构”(第12条第1款)。
最后,层出不穷的利用公共数据牟利事件还表明,公共数据开放共享与收益分配之间关系仍有待进一步明晰。有观点将公共数据开放与再利用划分为两级市场,认为一级市场“针对原始公共数据,侧重数据的开放与授权”,二级市场“针对衍生公共数据产品或服务,侧重关注多方主体关于公共数据市场化开发与加工后的收益分配”。也有观点主张,“一级市场上置换的是公共数据的加工使用权和产品经营权;二级市场上交易的是公共数据产品和服务的使用权”。笔者认为,从数据的公共属性出发,一级市场上的原始公共数据在清洗后原则上应无条件开放;二级市场上的公共数据授权运营与收益分配应以受严格限制,抑制数据财政的冲动。
五、结语
数字社会中的数据治理是一项系统工程,本文无意亦无力进行面面俱到的全方位观察,仅旨在通过对代表性事件的梳理,分析数据治理的现状与趋势。当前,数据治理至少呈现出四个典型特征:一是治理导向的发展性,兼顾发展与安全,注重数据利用与安全监管相结合;二是现实风险的回应性,以风险和问题为导向,积极回应人工智能的新兴技术风险;三是规制模式的互动性,制度建设中“自上而下”与“自下而上”双向互动,新兴权利司法确认与规则创新双向互动;四是治理规则的重塑性,拓展、重构物理时空的权利义务体系,形塑数字社会的法律规则。随着人工智能立法的推进,我国数据治理将更为紧密地与人工智能治理相融合,共同服务于数字中国建设。
(原文刊载于《数字法学评论》第五辑(2025年第2期))
来源:中视联播
