Vol.792 程啸:论大数据时代的个人数据权利 | 信息隐私权
论大数据时代的个人数据权利
作者:程啸
清华大学法学院教授
原文发表于《中国社会科学》2018年第3期
为便于阅读略去本文脚注
感谢程啸老师授权“法律思想”推送本文
摘要
大数据时代的个人数据权利涉及到自然人的民事权益保护与数据企业的数据活动自由关系的协调。个人数据可以成为民事权利的客体,并应当通过私权制度对其加以规范和保护。自然人对个人数据的权利旨在保护其对个人数据的自主决定利益,从而防御因个人数据被非法收集和利用而侵害既有的人格权与财产权。自然人对个人数据的权利并非物权等可以积极利用的绝对权,只有在侵害该权利而导致其他民事权利被侵害时,才能受到侵权法的保护。数据企业对个人数据的数据权来自于其合法收集、存储并支付了对价这一事实行为。数据企业的数据权利是一种新型的财产权,通过反不正当竞争法给予保护的同时,应该作为绝对权给予更系统的保护。
关键词
大数据 个人数据 隐私权 数据企业 绝对权
现代社会是信息社会,随着网络信息技术的高速发展,海量的各种数据化的信息被不停的生产、收集、存储、整理与使用,人类由此进入了大数据(big data)时代。大数据时代数据的创建速度前所未有,而在社会经济活动中,越能实时或接近实时的数据就越能比竞争对手敏捷,更有竞争力。大数据还意味着数据来源的多样化。在大数据时代,几乎所有的活动都可以被数字化,新的数据来源与价格越来越低廉的设备相结合,手机、网上购物、社交网络、电子通讯、全球定位系统(GPS)和各种仪器仪表不停歇地产生大量的数据作为日常运作的副产品。大数据时代的数据蕴涵着巨大经济价值和战略价值,其不仅成为企业的重要资产,也是国家的战略资源。根据我国工业和信息化部的预测,到2020年,中国大数据相关产品和服务业务收入将突破1万亿元。总之,大数据正在引领着新一轮的科技创新与技术革命,成为新经济的智能引擎,包括零售、医疗卫生、保险、交通、金融服务等在内的各行各业将完成所谓的“数据金计划”
大数据对社会生活的方方面面产生了前所未有的影响,也在各个法律部门中引发了许多新的值得研究的问题。其中,尤为重要的是个人数据的权利问题。一方面,社会生活的日益数字化以及收集、存储数据成本不断降低,每个人时刻作为数据的来源主体,海量个人数据被收集、存储和利用,即便是众多原本与个人无关的数据,随着数据收集的数量、种类的增加以及机器计算能力的增强,也使得数据的收集与使用者极容易在这些数据间建立相关关系,从而准确的对特定个人过往活动轨迹加以捕捉并预测其未来行为的选择。倘若不能充分的保护个人数据权利,就很容易出现非法收集、出售和利用个人数据,侵害个人人格权、财产权的问题。另一方面,海量的个人数据蕴含着巨大的经济价值与战略价值。没有个人数据的收集、存储、整理和利用,数据技术就无法发展,数据产品就无法被开发。因此,个人数据权利还关涉到数据产业的发展。特别是对于大量收集与利用个人数据的数据企业而言,它们对那些被合法收集的个人数据是否拥有权利、拥有何种权利,至关重要。个人数据上的权利安排直接决定了数据的流动、分享以及数据产业的发展。
尽管包括中国在内的不少国家的法律对于个人数据保护都有相应的规定,然而,对于个人数据权利的属性和内容如自然人对于个人数据是否享有民事权利,这种权利究竟是人格权还是财产权;数据企业对数据的权利的来源是什么,如何在法律上保护此种权利等问题,理论上尚有待深入研究。本文将首先分析数据能否成为民事权利的客体及个人数据的界定,进而研究大数据时代个人数据的权利问题。然后以此为基础进一步分析数据企业的数据权利以及保护方法。希望本文的研究能够为我国民事法律应对大数据时代的挑战,构建一个既可以有效地保护个人权益,又能充分维护数据活动自由、发挥数据经济价值的权利体系提供参考。
全文论证脉络如下:第一部分对信息隐私权的传统规范基础进行了概括;第二部分阐述新技术变革对隐私规范基础的冲击与挑战;第三部分为隐私权重构提出新的原则方向;最后,在宪法时刻的时间意识下,为我国信息隐私法的未来发展寻找新的体系框架。
一、数据与民事权利的客体
民事权利的客体,也称民事法律关系的客体,即民事权利和民事义务指向的对象。 数据既不是物(动产和不动产),也非智力成果或权利,不同于现行法上的任何一种民事权利客体。作为信息网络科技发展的产物,数据表现为存在于计算机及网络上流通的在二进制的基础上由0和1组合的比特形式,无法脱离载体而存在,数据的交易也必须依附于平台、代码、服务协议、交易合同这些技术和法律关系的整体性交易过程,不可能独立完成。作为无形物的数据,不可能为某一特定主体所独占,具有非独占性或共享性的特点。一方面,与作为物权客体的有体物在占有、使用上的独占性所不同的是,数据无论在占有还是使用上都不具有独占性。数据并不会因为被某一特定主体收集而无法被其他人收集,数据完全可以在同时在不同的地点由不同的人以不同的方式加以收集和占有。另一方面,数据也不会因为被某人的使用而减少其他人的使用,相反可以由无穷多的人进行使用并创造不同的价值。也就是说,即便是完全相同的个人数据可以基于不同的目的进行开发和使用,产生不同的增值服务或衍生应用,而这种多目的或多用途的适用之间又会相互影响和作用,从而产生更复杂和更高级的应用。正因如此,“数据不应该以它的存储而定义,应该由它的流转来定义”,大数据时代也正是由于数据可以在网络空间的自由流动与分享才到来的。
数据的上述独特之处使理论界产生了一种否认其作为民事权利客体的观点。有学者认为,数据的无形性使得数据缺乏民事客体所要求的独立性,无法被权利化。同时,由于数据不能单独发挥作用,而必须依赖于载体、代码和其他诸种要素才能发挥工具性作用,故此数据本身不具有独立的经济价值。数据的财产性不是由其本身所定义的,而是由信息内容来定义的。基于这种工具中立性的本质特征,所以数据不是民事权利的客体,难以被权利化,只能服从于代码规则,数据的保护问题应当交由技术手段而非法律手段解决。
上述观点值得商榷之处在于:一方面,信息是数据的内容,数据是信息的形式,在大数据时代,无法将数据与信息加以分离而抽象地讨论数据上的权利。就个人数据而言,其之所以具有经济利益或者涉及人格利益,就是因为包含着个人信息。没有个人信息的数据不是个人数据,而只是以二进制代码表现出来的比特形式,对于收集与使用这些数据的人没有意义,法律上自然无须也无法加以规范调整。这就如同作为所有权客体的动产和不动产当然是由各种化学元素组成的,但法律上绝不会讨论元素能否成为民事权利客体的问题,更不会认为某个特定的民事主体可以享有某一元素的所有权。需要讨论的只是该民事主体对由元素组成的特定动产或不动产上的民事权利。任何民事主体如果仅仅获取或复制二进制代码的数据而未能在“信息”的意义上加以呈现和利用,该行为既不会为获取者带来任何经济利益,也不会损害被复制者的经济利益或人格利益。只有数据被信息化呈现,关于数据归属的争议才会产生或者说资源的稀缺性才会出现,进而才有必要讨论数据应否被私人控制以及公共执法机构对该数据上的民事权利如何保护的问题。因此,讨论自然人对个人数据的民事权利,当然就是在讨论自然人对于数据形式呈现的个人信息的民事权利或者说包含了个人信息的数据的权利问题。简言之,大数据时代,个人信息的权利与个人数据的权利是一回事。如果明确了数据与信息或者更具体地说个人数据与个人信息是一个统一的不可分割的整体,那么个人数据的客体性与财产性都不会发生争议。
另一方面,作为无形物的数据,当然受到代码或技术规则的控制,需要通过电脑终端或存储介质而存在及转让,因此需要通过技术手段防止他人的窃取。然而,数据的此种特性并不意味着人们无法将之作为民事权利的客体而加以支配和控制。事实上,在既有的民事权利中,作为知识产权客体的作品、发明、商标、商业秘密等也是无形物,它们也具有无形性与全时性:多人可以在多个地点同时使用,因此知识产权的权利人具有较高程度的易受侵害性。但这并不妨碍法律上为鼓励更多的发明创造而确立知识产权制度,如赋予著作权人以发表权、复制权、发行权、出租权、展览权、表演权、放映权、广播权、信息网络传播权等人身权利和财产权利,从而确保权利人对作品的控制。因此,就数据能否作为民事权利客体的问题,关键不在于数据的自身特性,而在于法律是否有必要将其作为某种民事权利的客体。换言之,即便数据具有非独占性的公共物品的属性,但基于某种需要与价值判断,立法者依然可以通过法律规定赋予民事主体对数据某种垄断的专属权利而人为地制造稀缺性。
因此,为了既能保护个人的民事权益,又可以促进数据的流动与利用,从而实现社会福利的最大化,数据应当作为民事权利的客体。一方面,将数据作为民事权利的客体,使自然人有权控制个人数据,从而能够防止个人数据被泄露和非法利用所引发的一系列问题。自然人对个人数据的控制还能有效地避免人们在日常生活中为获得网络服务、满足对数据产品的使用需求而付出额外的成本。因为正是由于法律上要求数据从业者在收集、使用以及转让个人数据时,必须取得被收集者同意这一规则的确立,才迫使数据从业者需要为收集和利用个人数据支付成本,如免费向消费者提供网络服务以及各种数据产品;另一方面,对于数据从业者来说,如果数据从业者尤其是数据企业对于自己收集、存储的数据无法加以垄断地控制,显然他们就没有动力进行投资,去收集、存储以及利用包括个人数据在内的海量数据,进而挖掘数据中蕴涵的巨大价值,更不可能研发更多的数据产品,数据产业的发展与大数据时代也就无从谈起。
可见,尽管数据是随着科技社会的发展而产生的一种新的客体,具有无形性和非独占性等独特的特征,但是数据依然具有民事权利客体所要求的独立性与财产性,可以成为现代民法体系中一类新型的民事权利客体。
图 01
谢远扬:《个人信息的私法保护》,中国法制出版社2016年版
二、个人数据的界定
大数据时代的数据来源十分广泛,不仅包括对客观世界测量结果的记录,也包括对人类社会的记录以及经过分析计算现存数据而产生的新的数据。大数据与传统的结构化的数据库有很大的不同,其将传统结构化的数据库所存储的数据的价值同非结构化数据来源所提供的大量新数据的价值结合在一起。对于大数据时代的数据,无论其来源如何,皆可将之分为两类:个人数据与非个人数据。数据的“可识别性”(identifiable)是区分个人数据与非个人数据的关键标准。凡是单独可以识别出特定自然人的数据或者与其他数据结合后能够识别出自然人的数据,都是个人数据,反之,则为非个人数据。所谓单独能够识别出特定自然人的数据是指从其本身就能识别出或联系到特定自然人的数据,如肖像、姓名、身份证号码、工作证号码、社会保险号码等。与其他数据结合能够识别出特定自然人的数据,是指本身无法识别出特定自然人的数据(如爱好、习惯、兴趣、性别、年龄、职业等),但在与其他的数据结合之后,这些数据就可以识别出特定的自然人。例如,Cookie信息主要说明的是哪些范围的URL(链接)是有效的,互联网企业通过Cookie技术收集的网络用户使用搜索引擎形成的检索关键词记录,反映了网络用户的网络活动轨迹及上网偏好。仅凭这些数据本身无法识别出特定自然人,可是将它们与特定的网络账户或IP地址相结合,就能识别出特定的自然人,成为个人数据。故此,比较法上都将单独的可识别性(直接识别)与结合其他数据后的可识别性(间接识别)作为区分个人数据与非个人数据的标准,我国也不例外。例如,《网络安全法》第76条第5项将个人信息界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
由于个人数据可以识别出特定自然人,因此对个人数据的收集、存储、分析和使用不可避免地会对特定自然人产生影响。如果法律上对此不予规范的话,很容易出现个人数据被非法利用而侵害自然人隐私权等人格权益以及财产权的现象。例如,非法窃取或出售的个人数据,进而从事披露隐私、毁损名誉、骚扰他人等侵权行为,甚至进行诈骗、敲诈勒索等各种犯罪活动。在大数据时代,为了更好地防止个人数据被违法收集与滥用,有必要通过民法、刑法和行政法等多个法律部门对个人数据的保护与利用加以规范,不少国家甚至还为此专门进行立法,如颁布个人数据保护法或个人信息保护法等。我国虽无此类专门立法,但也有相应的法律规定。2009年2月28日第十一届全国人大常委会第七次会议通过的《中华人民共和国刑法修正案(七)》专门在《中华人民共和国刑法》第二百五十三条之后增加一条作为第二百五十三条之一,对侵犯公民个人信息的犯罪与刑罚做出了规定。2012年12月28日第十一届全国人大常委会第三十次会议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》,就如何保护个人电子信息做出了较明确的规定。该决定要求网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。同时,还规定网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。2017年6月1日起施行的《网络安全法》进一步明确规定了网络运营者在收集、使用和保存个人信息时应当遵循的原则、承担的义务及法律责任。此外,2017年10月1日起施行的《民法总则》第111条也对自然人的个人信息受法律保护做出了规定。由此可见,大数据时代个人数据是法律规范的重心。
至于那些无法识别出特定自然人的数据即非个人数据,因不涉及自然人权益的保护,故此法律上没有必要给予过多限制,对于这些非个人数据的收集、存储、转让和使用,也无须经过被收集者的同意(如我国《网络安全法》第41条与第42条第1款)。非个人数据可分为两类:一类是仅与组织体(而非自然人)相关的数据及用户使用相关程序或信息服务后产生的无法识别特定个人的数据。前者是指来自于法人、非法人组织或自然环境的数据,如某一行业特定时间内的交易金额,航空企业一年内的航班延误次数等。后者是指,虽来自个人但无法通过这些数据识别出特定个人的数据,例如,在特定时间段中某些关键词的检索总次数或者某一软件的下载总次数。另一类是,数据处理者通过数据挖掘技术对原始数据进行匿名化处理及数据清洗、分析、建模后产生的数据,也称为“增值数据”。增值数据的原始数据中本来包含了个人数据,但通过匿名化处理等方法,使得人们无法通过数据本身识别出特定的自然人。例如,网络企业对网络用户从事各种活动进行收集、整理、分析后产生的数据,包括搜索引擎记录、电子商务记录、用户使用习惯、潜在用户群等。
需要注意的是,个人数据的匿名化只是相对的,在可获得的数据来源越来越丰富以及算法越来越强大的大数据时代,无法识别出个人的数据也存在重新具有可识别特定个人的可能。例如,将大量的匿名化数据重新整合在一起进行相关性分析,就完全有可能导致特定个人的身份信息被识别从而泄露隐私。美国学者Paul Ohm教授认为,随着大数据、云计算等新技术的兴起,传统的仅仅删除姓名和社保号码的匿名化技术已经失败了,技术专家可以通过再识别(Re-identify) 或者去匿名化(De-anonymize)的方法来实现个人身份的再识别。例如,2006年8月,美国在线公布了大量旧的搜索查询数据供研究者分析,尽管整个数据库进行过精心的匿名化处理,但《纽约时报》的两名记者Michael Barbaro 与 Tom Zeller依然在几天内就通过把搜索记录综合分析后,识别出了该数据库中代号4417749的用户是来自佐治亚州利尔本的一位名叫赛尔亚·阿诺德的62岁寡妇。故此,法律上对于数据的匿名化也有相应的要求,只有经过无法再识别的匿名化处理的个人数据才能认定为非个人数据。例如,《德国联邦数据保护法》第3条第6款规定,匿名处理是指修改个人数据以使有关私人或事实情况的个人信息无法与已识别出的或可识别出的自然人相对应,或者该对应需要不合理地耗费大量的时间、费用和精力。我国《网络安全法》第42条第1款第2句也对数据的匿名化提出了相应的要求,即匿名处理的数据不仅应当“无法识别特定个人”,而且是“不能复原”的。
图 02
王泽鉴:《民法总则》,北京大学出版社2009年版
三、个人数据上自然人的民事权利
(一)赋予自然人对个人数据民事权利的意义
美国法学家罗斯科·庞德曾言:“法律必须保持稳定,但又不能一成不变。因此所有的法律思想都力图协调稳定必要性与变化必要性这两种彼此冲突的要求。”为了应对大数据时代引发的诸多问题,尤其是考虑到个人数据具有人格自由和人格尊严价值、商业价值和公共管理等多重价值,故此,要建构一套切实有效的个人数据的规范和治理体系,不仅要考虑行政规制,也要考虑民事法律上对自然人予以赋权,多管齐下,做出合理的制度安排,从而实现自然人权益保护、数据或信息业者以及国家三方利益的平衡。目前,各国对于个人数据的保护与使用,都采取了公法规制与私法赋权双管齐下的治理模式。公法规制就是颁布各种规范个人数据收集、存储、转让和使用方面的管制性法律或法规,如我国的《网络安全法》及国外颁布的各种个人数据保护法或个人信息保护法。私法赋权的方式就是通过确立民事主体对个人数据的民事权利,通过私权制度对大数据时代的个人数据给予保护。
然而,对于为何要赋予自然人对个人数据以民事权利,即此种民事赋权的意义究竟何在,却有不同的认识。由于历史传统等多方面的原因,欧洲国家的法律上高度重视保护人格尊严与人格自由等基本人权。在这些国家看来,赋予自然人对个人数据以民事权利旨在保护隐私权等基本人权和自由,关涉到人性的尊严与人格的自由发展。倘若自然人不能基于自己意思自主地决定个人数据能否被他人收集、储存并利用,无权禁止他人在违背自己意志的情形下获得并利用个人数据,则个人之人格自由发展与人格尊严就无从谈起。因此,自然人对个人数据的权利属于基本人权,个人数据保护被视为具有宪法意义,因而相对于经济利益要优先保护。1995年10月24日欧洲议会和欧盟理事会在向各成员国做出的《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》开篇就指出,“鉴于数据处理制度是服务于人类的;无论自然人的国籍和住所,必须尊重他们的基本权利和自由,特别是隐私权”,“不仅要求个人数据能在成员国之间自由流动,而且应当保护个人的基本权利”。2000年的《欧盟基本权利宪章》第8条“个人数据保护”更是明确规定,人人均有权享有个人数据的保护,个人数据只能基于特定目的,基于当事人同意或者其他法律依据而被公正地处理,个人有权了解和修正其被收集的个人数据。2002年7月12日欧盟欧洲议会和理事会做出了《关于电子通信领域个人数据处理和隐私保护的第2002/58/EC号指令(隐私和电子通信指令)》,该指令的宗旨也在于“尊重和遵守《欧盟基本权利宪章》确认的基本权利和原则,尤其是旨在充分保证对《宪章》第7条和第8条规定的权利的尊重。”再如,德国法上自然人对个人数据的权利即“信息自决权”(Recht auf informationelle Selbstbestimung),被认为是依据德国《基本法(GG)》第2条第1款和第1条第1款有关人格尊严和人格自由而产生的“一般人格权”(Das Allgemeine Persoenlichkeitsrecht)的具体化,属于宪法上的基本权利。
在推崇言论自由且网络信息科技产业最为发达的美国,理论界认为,个人数据之所以受到保护,根本原因在于它是一种财产,即“个人对他们的个人信息拥有所有权,并且如同财产的所有人那样,有权控制对其个人信息的任何使用。”也就是说,包括隐私信息在内的个人数据是作为财产而非人格尊严而受到法律的保护。就自然人对个人数据的权利保护问题,美国法学界争论的只是,究竟是通过侵权法规则还是财产法规则来保护更适应大数据时代的要求。在很长一段时间内,个人数据只有在构成侵害隐私的四种类型之一如“公开披露原告的令人难堪的私密信息”后,才能获得侵权法的保护。然而,在信息网络技术高度发达的今天,传统的“作为秘密的隐私(Privacy-as-secret)”已越来越不适应社会经济现实的需要。现代社会中的个人正在“常规地和每天地将关于他们自己的信息交给他人,从而实际上披露了这些信息。”这个环境中所谓的“独处的权利(right to be let alone)”对于控制他人对生活中知识的分配和使用而言,已不再那么重要了。如果将隐私权仅仅理解为一项消极的不被侵害的权利,而不具有可以积极的自我决定利用的权能,数据产业将无法发展。因为数据从业者势必因为隐私权的壁垒而无法接触、收集、存储与利用个人数据。于是,近年来“作为控制的隐私(Privacy-as-control)”的思考模式越来越受到美国学界的重视。这种模式更加强调人们对隐私的支配,从而使得“个人、团体或机构有权自主决定什么时候、以何种方式与在什么程度上把其信息传达给他人”。这就可以将个人置于个人信息使用的决策中心来实现自由主义的自治原则。基于这种认识,一些美国学者认为,应当放弃侵权法规则而改采财产法规则来保护个人数据。美国学者Lawrence Lessig教授系统地阐述了应将数据作为财产并在其上确定用户对数据的财产权的观点。Lessig教授认为,在互联网和信息技术日益发展的今天,传统法律架构通过侵权规则来保护个人数据的做法存在缺陷。这种方法既无法有效的保护用户的个人数据,也不利于促进数据的流动。在他看来,“个人必须具有针对隐私进行协商的能力,并享有默认的隐私权。这正是财产概念的意图,那些希望得到财产的人必须在协商成功后才能把它拿走。”Lessig教授指出,采取责任规则对隐私进行保护不如采取财产规则加以保护更有优势:一方面,财产制度要求获得财产之前先进行协商,而责任制度允许先获取然后赔偿。财产制度的关键在于给予所有权人以控制和权利,而责任制度的关键是保护个人的权利但却将其财产转移给另一个人。简单地说,财产选择保护,而责任保护转移。另一方面,在责任制度下,法院、陪审团或者法令将决定隐私对特定自然人的价值,即被侵权人能够得到与正常人在同样损失情形下大体相当的赔偿。然而,财产制度意味着,如果任何人想取走它,都必须先和你协商它的价钱。因此财产制度保护那些把自己的隐私定价比别人高或低的人,一旦交易达成,任何一方都不会更吃亏。
应当说,上述对个人数据民事赋权意义的不同观点都具有相当的启示性。然而,基于我国的历史和社会现实,应当说将赋予自然人对个人数据以民事权利的正当性或意义建立在维护人格尊严和人格自由的基础上,更具有说服力,而这也是我国法学界的主流观点。此外,需要指出的是,赋予自然人对个人数据以民事权利,还具有充分调动广大自然人保护个人数据积极性的作用,如鼓励人们就侵害个人数据的违法行为向执法机关举报、针对侵权人提起民事赔偿诉讼,或者由法律上规定的有权机关就大规模侵害个人数据的行为提起公益诉讼,从而将个人数据的保护落到实处。
(二)自然人的个人数据权利内容
关于私权即民事权利的本质曾有两种著名的学说。一是由萨维尼(Savigny)与温德夏特(Windscheid)提出的意思力说,认为权利就是为个人意思自由活动或个人意思所能支配的范围。一是由著名法学家耶林(Jehring)提出的利益说,认为权利是法律所保护的特定利益。当今民法通说结合上述两种观点,认为权利就是法律规范授予人的,旨在满足其个人利益的意思力(Willensmacht),即享受特定利益的法律之力。换言之,法律上之所以规定某种民事权利,目的就是要保护权利人的某种利益,满足其需求。民事权利的内容不同,所保护的利益不同,从而使得各项权利之间得以区隔。例如,所有权通过赋予权利人对有体物的占有、使用、收益和处分等排他的支配和控制之力,从而保护权利人对有体物的经济利益即物的使用价值与交换价值。生命权、身体权、健康权等人格权,则分别保护的是权利主体的生命安全、生理与心理健康及身体完整等人格利益。
法律上承认自然人对个人数据的民事权利之后,该权利的名称究竟是个人信息权还是其他的名称,无关紧要。重要的是明确该权利的内容并将其与既有的民事权利相区分,从而确立相应的保护方法。我国现行法上已经明确承认了隐私权(《侵权责任法》第2条第2款),因此,作为与隐私权相并列的一类独立的民事权利,自然人的个人数据权利的内容不同于隐私权所保护的内容。自然人的个人数据权利应当具有独特的保护对象而不应当包括作为隐私权保护对象的隐私利益,否则完全可以通过扩张隐私权保护个人数据,没有必要叠床架屋所谓自然人对个人数据的权利。例如,某公司非法收集、转让或使用个人数据,据此发送广告、垃圾短信等侵害他人私生活安宁时,受害人可以针对该公司提起侵害隐私权的侵权诉讼,要求侵权人承担停止侵害、排除妨碍以及赔偿损失等侵权责任。
自然人的个人数据权利保护的利益还应当是确定的利益。申言之,自然人对个人数据的利益必须具有一定程度的社会可识别性,这就意味着该利益是稳定的、持续的,值得信赖的,至少社会大众的观念出发是认可该利益的存在。依据这一标准,那种认为自然人的个人数据权利旨在保护的是自然人对个人数据的财产利益,如通过协商议价而将个人数据作为财产予以转让的观点,令人难以苟同。
一方面,大数据时代中单个自然人的个人数据本身并无价值,“普通人恐怕永远无法真正地靠出售个人数据赚钱。一条个人信息连一分钱都卖不了。除非被收集后与其他来自相近社会经济类别的个人资料汇总在一起加以利用,否则无名之辈的个人资料并不值钱。”真正蕴涵巨大经济价值的是政府以及数据从业者即数据企业所收集和储存的海量的个人数据。尽管实践中确实也出现过单个自然人成功给自己的个人数据定价的情形,甚至有的公司希望通过付费来收集个人数据。但绝大多数时候真实的情形是,一方面,人们根本就没有意识自己产生了什么样的以及多少数量的个人数据,遑论对其加以收集并予以变价。大数据时代与以往时代的一个很大不同之处就在于,个人数据才以前所未有的数量和种类被产生、收集、存储和利用。如果没有信息网络科技(如互联网、微信、微博等)的产生和高速发展,很多个人数据(如网络交易信息、网络浏览信息和网络社交信息等)原本就不存在。如果没有相应的软件、传感器的产生,个人数据也是无法被收集并加以存储。
另一方面,现代社会生活人们每天以各种方式让他人收集和存储自己的个人数据。数据现代信息网络社会使得社会生活被高度数字化,社会上的每个人既是无时无刻不在生产数据的生产者,也是每天都要利用数据产品的消费者。大数据时代使得人们无论是自愿还是被迫,都必须将传统社会中那种不受他人侵扰的独处的空间和仅由个人作为秘密而掌握的信息交出来,个人数据不断被收集、存储、整理、转让、分析和利用。因此,无论是自然人还是收集数据的人,都不可能一一协商定价来进行个人数据的交易。事实上,姑且不论个人实际上是否有能力拒绝或阻止个人数据被收集,即便有这个能力,也意味着为此要付出牺牲生活便利甚至被排除在现代社会生活之外或者为此担负付费的代价(如选择有偿接受数据产品服务从而排除对个人数据的收集与使用)。就个人享受数据企业提供的数据产品和服务而言,虽然数据企业依法应取得被收集个人数据的自然人的同意,但作为消费者的自然人并没有协商的空间和议价的能力。绝大多数时候,数据企业给消费者的选择项只有两个:留下或离开。同意被收集个人数据,就能留下来,使用数据产品或服务,使生活更加方便快捷;拒绝被收集的,无法使用产品或服务,只能离开。这就导致了自然人在个人数据的所谓经济利益根本就没有谈判议价的可能性。相反,如果法律上要承认自然人对个人数据享有受到保护的经济利益,反而会使得一些人滥用该权利来阻碍数据技术和数据产业的发展,最终损害社会的整体福利。
在大数据时代,法律上赋予自然人对个人数据的权利,该权利本身的内容既非自然人对个人数据的隐私利益,也非从个人数据交易获得的经济利益,而是保护自然人对其个人数据被他人收集、存储、转让和使用的过程中的自主决定的利益,此种利益具体表现为以下三项:其一,知悉个人数据被收集、被基于何种目的而加以收集以及使用的目的、方式、范围并基于此加以同意的利益。其二,知悉个人数据被转让并在未经同意拒绝转让的利益;其三,查询个人数据并在个人数据出现错误或遗漏、缺失时有权要求删除、更正或补充的利益。对上述三项利益,我国现行法律均有明确的规定,如《网络安全法》第22条第3款、第41条、第42条第1款、第43条以及《征信业条例》第17条、《电信和互联网用户个人信息保护规定》第5条和第8-10条,等等。之所以要保护自然人对于个人数据的自主利益,原因在于:大数据时代的个人数据被收集、储存、转让和使用已经成为不可逆转的趋势,成为每个自然人的常态生活。在个人数据被收集与利用过程中,无论是数据从业者还是政府,其利用个人数据侵害自然人既有的隐私权、名誉权等人格权和财产权的风险被极大的增加了。面临此种前所未有的时代,如果在法律上不能保护自然人对个人数据的自主利益,就无法为自然人筑起一道防止其他民事主体以及政府等公权力机构非法收集、使用和转让个人数据进而侵害自然人既有的人格权和财产权的权利屏障,难以有效地保护个人数据,最终危害自然人的人格尊严和人格自由。因此,自然人对个人数据的自主利益本质上是防御性或消极性的利益,而非积极性的人格利益或财产利益。
(三)自然人的个人数据权利的民法保护
当自然人对于个人数据享有的权利只是保护自然人的防御性利益时,那么该权利就不应当具有作为绝对权的人格权、物权那样的各种积极效力,如追及效力以及绝对权保护请求权。同样,我国现行法也并未将自然人对个人数据或个人信息的利益规定为一种绝对权。《民法总则》在第六章“民事权利”中首先列举了自然人的生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等作为绝对权的人格权和身份权之后(第110条),只是在第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”实际上,这样的规定就表明了立法者认为,自然人的个人信息虽然受到法律的保护,但并不是作为绝对权而享受如人格权、所有权那样的保护强度。
自然人的个人数据权利具有以下效力:首先,要求停止侵害的效力,即自然人有权决定是否同意他人收集、存储或转让个人数据,在他人未经同意而收集个人数据时有权要求停止侵害(停止收集或转让、删除已存储的数据)。不过,对于未经同意而转让给他人的数据,无权要求返还数据,并且除非能够证明取得该数据的民事主体具有主观上的故意,否则不能要求取得个人数据的民事主体删除该数据。其次,查询与更正的效力,即自然人有权查询自己的个人数据并在该数据不完整或不正确的时候要求更正。最后,在侵害自然人的个人数据权进而导致自然人其他的民事权益被侵害时,被侵权人有权要求侵权人承担损害赔偿责任正是由于个人数据有可能被违法收集、被不正当的使用,以及出现错误时将损害自然人的既有权益,故立法者为了确保自然人免于前述抽象危险,故确认了自然人对个人数据的权利。这就是说,侵权法上对于侵害自然人个人数据权利的侵权赔偿责任应当采取相当于德国《民法典》第823条第2款与第826条所规定的“违反保护法律型”、“背俗加害型”这两种侵权损害赔偿责任的构成要件。虽然,我国现行《侵权责任法》并未如德国法那样区分权利侵害型、利益侵害型以及违反保护法律型的侵权行为,但是,我国《民法总则》等民事基本法律已经明确将诚实信用作为民法的基本原则,而《网络安全法》等法律法规对个人数据的保护性规定就属于这种以保护他人为目的的法律。为使对自然人个人数据权利的保护强度与对绝对权的保护强度相区别,我国法上也应对侵害自然人的个人数据的侵权赔偿责任采取上述构成要件。
图 03
程啸:《侵权责任法》,法律出版社2015年版
四、数据企业对个人数据的权利
(一)数据企业对个人数据权利的正当性基础
数据企业在依法收集个人数据之后,对于这些被收集、存储的个人数据拥有何种性质与内容的权利,在他人侵害该权利时可以获得何种民法上的救济,这些问题对于数据技术和数据产业的发展至关重要。倘若数据企业花费大量成本收集的个人数据,不能被加以使用以及交易,则数据企业就没有经济上的动力从事此类活动,而数据的流动性与数据中蕴涵的价值就难以被实现。
数据企业对合法收集的个人数据享有应当受到法律的保护的权利,并且该权利既不依赖于被收集者的授权,也不依赖于其他在先权利或许可,而是基于以下原因原始取得的权利:一方面,就个人数据而言,数据企业依据法律规定,在公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意收集个人数据的行为是合法的事实行为。该行为不具有违法性,免除了数据企业侵害被收集者既有权利(如隐私权)的侵权责任和其他法律责任。正是通过此种合法行为,数据企业通过大量收集个人信息以及非个人信息形成了新的数据集,而无数个人信息汇集成的数据集就成为了一个新的客体并在其上产生的数据企业的民事权利。这种法律效果与民事主体合法建造房屋而自该房屋建造完毕之时取得房屋的所有权是相同的。换言之,数据企业只要是合法的收集并存储数据,就可以基于这种行为取得对数据的权利,此种权利的产生是非基于法律行为的权利的原始取得,而不是通过买卖等法律行为从他人那里继受或派生取得权利。至于数据企业从基础数据中产生的增值数据,更是如此。
另一方面,数据企业本身收集、存储个人数据的行为就需要付出相应的成本,而且他们向被合法收集个人数据的被收集者支付了合理的对价,符合公平原则,理应产生相应的民事权利。数据企业不可能凭空就可以收集到个人数据,它们需要付出成本研发各种产品、持续地向用户提供相应的服务,才能在此过程中不断收集个人数据并累积成海量的数据。用户之所以愿意让数据企业收集并使用个人数据,也正是因为数据企业提供了免费使用的各种数据产品和软件服务(如人们日常生活中大量使用的微信、百度地图、滴滴等手机App)。事实上,用户也并非免费使用这些产品或服务,他们虽然没有为此直接支付金钱,但也要付出对价即同意提供产品或服务的数据企业收集其个人数据(如地点、用户姓名、联系电话等)并在告知使用目的且不侵害用户既有民事权益的前提下对这些个人数据加以使用。在这样一个用户与数据企业合作的模式中,数据企业无偿向用户提供数据产品和服务,也正是数据企业为收集个人数据所支付的对价。因此,基于公平原则也应认定数据企业对被合法收集的个人数据享有权利。
理论界有不少学者认为,数据企业对其合法收集的个人数据的权利派生于其他在先的权利或许可。有人认为,在确立了个人信息权以及强化隐私权来保护用户的个人数据之后,应当通过“告知后同意”法则,允许用户通过签订用户协议等方式授权经营者通过数据技术收集、使用个人信息,从而赋予数据从业者享有加工数据、研发数据产品的权利。也就是说,数据企业对数据的权利实际上是来源于自然人的人格权(隐私权或个人信息权)。有人认为,在确立用户对个人信息的权利属于一种财产权即数据财产权后,可以打破按照传统思维依据单纯的隐私权或者信息绝对化过度保护用户而限制、阻碍数据的收集、流通等活动的僵化格局。个人对其个人数据享有的是财产权或有限的所有权,因此,数据企业决定收集的目的并经过用户同意授权后在用户数据的基础上进行匿名化处理而产生了数据集,对于该数据集企业享有的是也是财产权或有限制的所有权。还有学者认为,在数据资产化的背景下,基于数据经营和利益驱动的机制需求,应当承认数据企业的数据经营权和数据资产权,其中,数据经营权具有某种专营权的性质,具有特定事项的专向新和排他性,是依据法律授权或行政特许方式设立的,而数据资产权是法律对数据经营者的数据资产化经营利益的一种绝对化赋权。
本文不赞同上述从在先权利、法律授权或行政许可的思路出发来证成数据企业对包括个人数据的权利的思路。首先,仅仅基于告知同意就认定数据企业对数据的权利就完全来源于个人的授权协议,是不妥当的。因为用户个人的同意并不意味着个人就将其个人数据转让给了数据企业。如前所述,自然人对个人数据的权利并非是作为绝对权的所有权,无法在该权利的基础上派生出数据企业对数据的他物权。即便从自然人对个人数据的人格权出发,那么在人格权的权利人与数据企业之间仅仅是成立了许可使用的一种债权而已。而这种思路的弊端在于:一则债权的存在有期限的限制,而数据企业对合法收集的个人数据存储和使用并无期限,更不存在到期后向自然人返还这些数据的问题。二则债权具有相对性,债权人转让债权必须通知债务人,否则对债务人不发生效力。显然,这与大数据的发展与现实明显背道而驰,事实上,数据企业只需要在收集个人数据时就告知被收集者将会转让这些数据并征得其同意后,再行转让个人数据无论多少次都不需要经过被收集人的同意。如果数据企业在每一次转让海量的个人数据时都要征得用户的同意,显然根本不可能做到。
其次,从自然人对个人数据的权利出发界定数据企业对数据的权利也与信息社会和数据经济的发展需要不符。进入信息社会后,由于人类收集、存储和利用信息的能力不断增强,一方面个人成为大量信息的生产者,人们在进行社会活动时,无时不在无刻不在地制造信息。另一方面,个人信息被收集也是无时不在,无所不在的。而这种信息的收集、存储和分析对于信息社会来说是必要的。如果将数据企业对数据的权利界定为来源于个人的授权许可,明显违背大数据时代的典型社会生活事实。毕竟,在网络时代和信息社会,“几乎没有人有时间、能力或者决心浏览一遍网上复杂的条款和同意的条件。更不用说要对每次给定的同意书都进行浏览。”不仅如此,在大数据技术下,要求双方针对复杂多变的隐私利益进行一对一的谈判和定价来确定对隐私利益的适用范围、程度和方式,这在交易成本上是不可能的事情。姑且不论这些个人制造的数据是否都属于个人数据,即便是个人数据,自然人对于这些数据信息的独占性或排他性的控制也有所区别。大数据不同于结构化数据,这种差异来源于大数据的两个特点:一是分析大数据的目的和收集数据时的本意往往并不相同;二是用于大数据目的的数据的量可能远大于传统结构化数据库中的数据量。第一个特点决定了为了保护隐私权或个人信息权,数据经营者应当告知用户自己将如何使用和分享其个人信息,并就信息的使用和分享向用户提供有意义的选择。而数据经营者在收集个人信息时,必须清楚自己打算如何使用这些信息,这样才能按照要求提供告知和选择。大数据上述第二个特点就是数据量,而用户只有知道了自己的什么信息将被数据经营者收集时,其才能够有效地行使自己的权利,选择公司使用那些信息的方式。如果只有一个数据库且里面的顾客信息量属于可处理的级别,做到这一点很容易。但是,如果数据集分布于多个数据库甚至还有第三方的数据处理器,用户就很难知道这一点。这就导致理论上难以解释为什么应当以个人的授权协议作为数据企业对数据权利的来源。此外,个人数据信息所包含的隐私利益的琐细性、模糊性和双重性,使得数据信息的个人主体很难对每一次的个人数据信息的收集、传播和使用作出及时的和精确的判断。总之,以个人意志来决定数据信息使用的合法性往往使得数据来源主体,处于要么全部拒绝要么全部同意其使用的两难境地。
最后,市场经济遵循意思自治和经营自由的原则,将数据企业对经营数据的自由限定在法律的授权或政府的行政许可,意味着数据的初始权利应当配置给政府,然后由法律授权或者政府的特许民事主体经营。这显然没有任何法律和理论上的依据。毕竟在信息时代,数据随时产生且无处不在,而数据的初始权属也并不属于政府或者国家。此外,任何政府的特许经营都是针对特定的对象,如就某一基础设施或者公共事业,而这对于数据都不适用。如果数据的经营权不成立,那么在其基础上产生的数据资产权也就成为无源之水和无本之木。
(二)数据企业数据权利的内容与民法保护
我国《民法总则》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”显然,立法者在紧接着人格权、物权、债权和知识产权之后规定,对数据的保护,实际上等于认同了数据的权利是一种新型的财产权利。但是,这种权利的性质如何,立法者却没有明确。目前司法实践中,就他人侵害数据企业数据权利的侵权案件,则是通过《反不正当竞争法》加以保护,即将侵害数据企业数据的行为认定为不正当竞争行为。例如,在新浪公司与淘友技术公司、淘友科技公司侵害数据的纠纷案件中,被告淘友公司的脉脉软件抓取、使用了原告新浪公司的新浪微博用户职业信息、教育信息,并通过技术手段获取、使用了用户手机通讯录联系人与新浪微博用户对应关系。在该案件中,新浪公司以淘友公司的行为构成不当竞争行为为由提起诉讼的,北京知识产权法院判决认为:淘友技术公司、淘友科技公司违反《开发者协议》,未经用户同意且未经微梦公司授权,获取新浪微博用户的相关信息并展示在脉脉应用的人脉详情中,侵害了微梦公司的商业资源,不正当的获取竞争优势,这种竞争行为已经超出了法律所保护的正当竞争行为,构成了《反不正当竞争法》意义上的不正当竞争行为,属于一种民事侵权行为。
因此,通过《反不正当竞争法》保护数据企业对数据的权利,实际上等于将数据企业的数据权利降格为一种受法律保护的纯粹经济利益,只能在其遭受特定方式侵害的时候获得救济,其保护的强度和密度显然不足。这种保护方法既不利于数据的流动和分享,也无法充分地鼓励数据企业更多的收集、存储、转让和使用数据。为了更好地鼓励数据企业收集、存储和利用数据,促进数据的流动,我国法上应当明确规定数据企业的数据权利,即数据企业对合法收集的包括个人数据在内的全部数据享有支配的权利,性质上属于独立于人格权、物权、债权、知识产权的新型财产权。
具体来说,数据企业数据权利的内容及其保护方法包括如下几项:其一,数据企业在得到自然人同意的情形下,有权收集个人数据并进行存储(占有)。至于非个人数据,则数据企业有权依据法律规定的方式进行收集和存储。其二,数据企业在得到自然人的同意的前提下,可以按照法律规定及与自然人约定的目的、范围和方式进行分析利用个人数据。而在个人数据进行符合法律规定的匿名化处理后,无须得到自然人的同意即可在不违反法律和行政法规强制性规定的前提进行使用。其三,数据企业有权处分其合法收集的数据,如转让给其他的民事主体或授权其他民事主体进行使用。但是,对于个人数据则必须得到自然人的同意,才能进行处分。其四,数据企业的数据权利在遭受他人侵害时有权要求侵权人承担侵权责任,包括在他人未经许可而窃取数据时,有权要求侵权人停止侵害、删除非法窃取的数据;在侵权人因故意或过失而造成损害时,有权要求侵权人承担侵权赔偿责任。由于大数据时代数据具有很强的再分析价值,即对于数据因使用方式不同而获得的价值有所不同,故此,在确定损害赔偿责任时可以适用《侵权责任法》第20条之规定,即被侵权的数据企业能够证明损害时,侵权人应当按照该损失予以赔偿;如果损失难以的确定,侵权人又因此获得利益的,则按照其获得的利益赔偿。如果侵权人因此获得的利益难以确定,则由人民法院根据实际情况确定赔偿数额。
结语
在大数据时代的背景下,合理界定个人数据上的权利,对于协调自然人民事权益的保护与促进数据产业的发展,至关重要。无论是立法者还是研究者,在讨论个人数据权利配置时,都应当注意协调多方的利益关系。既不能仅仅为了保护自然人的权益,无限度地扩张自然人对个人数据的权利边界,从而妨害数据的流动、分享与利用;也不能无视数据企业对其付出成本而合法地收集、存储和利用个人数据的权利。
本文的研究表明:一方面,在围绕着个人数据这一稀缺资源的争夺中,将自然人对该个人数据的权利限制在适度的范围内,为其提供防御性的保护,并在因个人数据被违法收集、使用而侵害自然人既有民事权益时提供侵权法上的救济,既有利于保护自然人的合法权益,也能充分尊重数据活动的合理自由,实现二者的和谐。另一方面,不应当将数据企业对其合法收集的个人数据的权利建立在自然人对个人数据权利的基础之上,或认为是派生于政府的授权许可,而应当立足于大数据时代的数据活动的实际情况,肯定这种权利是原始取得的权利,并将之作为绝对权,而给予与物权、人格权同等程度的保护。惟其如此,才能通过在个人数据上构建一个既能有效地保护个人权益,又能充分维护数据活动自由的民事权利格局。
本文系#信息隐私权#专题第3期
感谢您的阅读,欢迎关注与分享
法律思想 · 往期推荐
#数字人权#
Vol.762 高一飞:智慧社会中的“数字弱势群体”权利保障 | 数字人权
Vol.764 马长山:智慧社会背景下的“第四代人权”及其保障 | 数字人权
Vol.767 宋保振:“数字弱势群体”权利及其法治化保障 | 数字人权
Vol.769 刘志强:论“数字人权”不构成第四代人权 | 数字人权
Vol.770 [美]杰克·M.巴尔金:表达自由在数字时代的未来(敖海静译) | 数字人权
更多专题
→2020年推送合辑:Vol.706 『法律思想』2020年推送合辑
→2019年推送合辑:Vol.547 『法律思想』2019年推送合辑
→2018年推送合辑:Vol.405 『法律思想』2018年推送合辑
→2017年推送合辑:Vol.263 法思2017推送合辑
→教师节专题:Vol.216 教师节专题 | 法思专题索引
→法思百期精选:Vol 101.2【法思】百期特辑
法律思想 | 中国政法大学法理学研究所