李立新 上海大學法學院副教授;
劉 晨 上海大學民商法研究中心實習研究員。
内容摘要
數據權利面臨諸多法律困境,但都能夠予以纾解。數據是一種重要的利益,基于數據利益的獨立性、權利保護模式的優越性以及域外數據權利保護的經驗性,數據宜從“利益”邁向“權利”,實現數據利益的權利化。在權利保護路徑方面,學界存在“絕對權說”“數據權說”“知識産權說”“權利(力)體系說”之分歧,但這些學說均存在一定的缺陷,宜采修正的“數據權說”,将個人數據利益歸于個人,大數據之利益歸于企業。“數據權”的權利客體是數據信息,個人對數據信息享有專屬訪問權等多項具體權利,企業對數據信息享有數據資産權和數據經營權。“數據權”兼具人身屬性和财産屬性。“數據權”的行使存在法律邊界,應通過确立“合理使用”規則、引入利益衡平規則以及司法個案衡量等路徑進行“限權”。
2016年工業和信息化部編制的《大數據産業發展規劃(2016-2020年)》指出:“到2020年,技術先進、應用繁榮、保障有力的大數據産業體系基本形成。大數據相關産品和服務業務收入突破1萬億元,年均複合增長率保持30%左右,加快建設數據強國,為實現制造強國和網絡強國提供強大的産業支撐。”依托數據優勢,大數據在推動産業發展、經濟繁榮等方面不斷地為社會創造紅利。但與此同時,數據發展的負面效應亦不容忽視。伴随着大數據、人工智能、算法的發展“,未來的世界裡,一切都可以數據化,包括人。”正是在這個意義上,不論我們是“自然人”,還是“經濟人”抑或是“社會人”,在數字化社會中我們已然變成了“數字人”。人的出行記錄、醫療記錄、社交記錄等都能夠被固定化、數據化甚至商業化。譬如,當人們在使用購物軟件的時候,我們的浏覽信息已經被記錄下來,商家可借助推薦技術對用戶進行精準廣告投放甚至跨APP式地精準廣告投放,打造個性化營銷方案。機器智能能夠拼湊多維度的信息進而描摹一個人完整的數據畫像,人們在大數據時代越來越沒有隐私,每個人就像“裸體式”的存在。
《中華人民共和國民法典》總則編(以下簡稱民總)第127條規定:“法律對數據、網絡虛拟财産的保護有規定的,依照其規定。”然而,我國目前尚無專門的數據保護方面的立法,頂層設計仍顯不足。在大數據飛速發展的時代背景下,引入“數據權”這一新型權利并以“數據權”為核心進行具體的制度設計實屬必要。
一、數據權利化的法律困境及纾解
在目前學界關于“數據”的讨論中,不同學者對“數據”一詞的用法不盡一緻。有的直接将“數據”等同于“個人信息”來看待,有的則是從最狹義上理解“數據”的具體内涵,最狹義上的“數據”指的是在計算機及網絡上流通的在二進制基礎上以0和1的組合而表現出來的比特形式。它自身依賴載體(即通訊設備)而存在,同時它亦作為信息的載體,通過代碼或程序顯示出具體的信息。本文的“數據”并非專指最狹義上的“數據”,而是指“最狹義上的‘數據'+信息”,亦即數據信息。根據國際标準化組織ISO對“數據”的定義“,數據”是指“可進行重複解讀的信息表達形式。”該定義側重于從形式層面上界定“數據”,而本文所言的“數據”則是結合了形式層面的數據及内容層面的信息。數據的權利化面臨着諸多的法律困境,在對其進行賦權之前,需要将困境逐個纾解。
(一)民事權利客體:數據權利化之桎梏
“數據”具有以下三大特征:其一,無形性。數據是搭載信息的抽象的比特流,是人的肉眼所無法觀察到的。無論處于内容層面的信息還是處于載體層面的符号,數據都是無形的。其二,非獨占性。數據可以同時被多個主體占有并且不會降低其利用價值,它可以被共享使用。其三,依附性。數據必須依附于載體(通訊設備),而信息需要依附于代碼。因此,數據不具有獨立性。正是基于數據的上述特征的内在限制,有學者認為數據并非民事權利的客體。
不可否認,數據具有無形性、非獨占性、依附性的特征。但是這并不影響其成為民事權利的客體。
首先,作為民事客體的“物”的範疇在當今已經不僅僅局限于有體物,無體物也包括在内。數據雖具有無形性,但是其仍然可以成為民事權利客體。其次,數據雖然可以同時為多個主體享用,但是這不意味着多個主體對數據均享有同樣的權利。在數據權屬不明晰的情況下,正是因為數據的非獨占性,才會導緻數據的濫用。數據雖可共享,但數據權利的主體特定,他人可以基于契約關系或其他路徑獲得對數據的占有和使用。再次,我們不應當僅僅關注數據載體的工具價值從而否定數據的獨立性,以信息為内容的比特流應當被整體性地看待,而不應割裂數據的載體與内容。以知識産權為例,知識産權亦具有以上特性,但是這并不妨礙“智力成果”能夠成為民事權利的客體。有的學者認為,不能将數據類似智力成果作為無形物而成為權利客體。這種觀點其實依舊是建立在将數據載體與内容二分對待基礎上所産生的結論。
(二)個人信息權:數據權利化之症結
是否可以脫離内容層面的信息來探讨數據權利?對此學界存在分歧。“可分說”認為,應區分符号層面的數據與内容層面的信息,并在符号層面的數據文件上設定絕對權對其進行保護。而内容層面的信息可受到個人信息、著作權、商業秘密等方面的保護,沒有專門構建一個權利對其進行保護的必要。“不可分說”認為,數據的最大作用在于承載信息,沒有信息的數據通常沒有太大意義。不能将數據與信息分離開來進而抽象地讨論數據上的權利,對自然人數據權利的讨論即讨論自然人以數據形式體現的個人信息權利或者包含個人信息的數據權利。數據與信息的界分不明會直接導緻數據權利與個人信息權利二者之間的界分不明,個人信息權是數據權利化之症結。
筆者贊同“不可分說”,理由有二:其一,如果從最狹義上去理解數據,那麼數據僅僅是一串串代碼,僅僅是一個個電磁記錄或比特流而已,脫離數據所搭載的信息進而讨論數據權利毫無意義。其二,縱觀世界各國的立法例,絕大多數國家的個人數據保護立法采取的是“不可分說”。
例如:葡萄牙的個人數據保護法規定,個人數據即是與數據主體相關的信息。瑞典亦采取類似的立法。在堅持“不可分說”的前提下,本文進一步認為,個人數據權利與個人信息權利并非等同。理由有以下三點:其一,從體系解釋的角度來看,民總第111條規定:“自然人的個人信息受法律保護,”而第127條規定的是對數據的法律保護。民總在“民事權利”一章用不同條款規定了個人信息及數據的法律保護。由此可見,二者從表面上來看是存在區别的。更為重要的是,民總第127條規定的“數據”未冠以“個人”二字,數據的權益主體不僅僅局限于個人,在數據的利益分享機制中宜考慮企業的利益。其二,民總第127條的“數據”是與“網絡虛拟财産”并列規定的,數據保護更加側重于對互聯網背景下的數字化信息的保護,而個人信息權利并不強調互聯網環境這一特殊背景。其三,相較于個人信息權而言,個人數據權的内涵更加豐富多元。此外,伴随着技術的變革,個人數據權會呈現出新的具體内容。本文認為,個人信息與個人數據存在顯著區别,個人信息權利與個人數據權利亦不可等同視之。如圖1所示,“①信息”如果反映的是個人信息,則由個人信息權利進行保護。個人信息既包括傳統意義上的紙面化的個人信息,又包括互聯網背景下比特流所搭載的個人信息(即“③數據信息”)。數據信息與傳統紙面化的信息具有很大的不同,數據信息更具有複雜性,宜針對數據信息設定專門的權利進行保護。因此,數據權是基于互聯網、大數據時代而産生的新興權利,其和個人信息權利不能等同。此外,基于“不可分說”的立場,對于純粹的數據(即“②數據”,也就是最狹義的“數據”),因其不具有實然意義上的價值,所以排除在“數據權”所保護的客體之外,亦非本文所讨論的對象。
(三)隐私權:數據權利化之壁壘
大數據在不斷地縮小傳統隐私觀念的範圍,同時也給人的隐私保護帶來巨大威脅。譬如,2019年2月,京東金融APP即被指自動獲取用戶敏感圖片并自動上傳。更有甚者,據2019年7月8日“新京報”報道,網絡上出售的“最新抓取技術”能夠僅在用戶點擊網頁的情形下成功抓取訪客的手機号碼,用戶手機号随即被販賣,用戶在無形之中便成為了廣告營銷之對象。有的數據所承載的信息與隐私直接關聯,數據與隐私之間的關系模糊會使數據權利化陷入窘境,隐私權無疑是數據權利化之壁壘。一方面,何謂大數據時代背景下的“隐私”難以界定;另一方面,倘若數據能夠通過隐私權路徑進行保護,則無新設數據權之必要。
其實,在互聯網及大數據的時代背景下,數據保護與隐私保護之間的矛盾并非不可調和。有學者稱,個人數據保護已進入“後隐私權”時代,應當通過借鑒歐盟個人數據保護權的精神對隐私環境發生變化後的信息隐私進行專門保護。而歐洲國家在對隐私數據的保護方面往往設定了更高的要求,他們區分了“敏感數據”和“非敏感數據”,因“敏感數據”更多涉及用戶隐私權益,所以對“敏感數據”的使用和處理設定了更加嚴苛的條件。譬如,1996年意大利頒布的《有關個人和其他主體的個人數據處理的保護法》(以下簡稱意大利個人數據保護法)第22條強調對個人敏感數據的處理需要經過數據主體的書面同意這一程序。而我國國家市場監督管理總局、國家标準化管理委員會在2020年3月6日發布的《信息安全技術個人信息安全規範》(以下簡稱規範)第5.4條亦規定,個人敏感信息之收集需經用戶的明示同意且該種明示同意需系在其完全知情的基礎上所作出的意思表示。規範還對個人敏感信息的判定進行了具體規定及列舉。因此,數據和隐私之間的關系并非無法厘清,倘若數據屬于隐私的範疇,則要對其進行特殊保護,提高保護的标準。相較于一般數據保護,隐私保護宜定位為一種更高的保護規則。倘若數據非屬隐私範疇,則宜通過數據權利路徑進行保護。如圖2所示,數據和隐私之間存在交叉關系,在“隐私數據”這一交叉地帶存在數據權利和隐私權利的競合,當用戶的數據隐私遭受侵犯時,用戶可以基于其享有的數據權利或者隐私權利追究加害方的民事責任。
二、賦權:“數據權”的法律證成
在數據權利化困境得以纾解的前提下,宜在“數據”上設定一個新型權利“數據權”,從而更好地滿足當今時代數據保護之需要。
(一)作為“利益”的數據
在大數據時代,無論對個人、企業還是對社會、國家而言,數據都是一種重要的利益。首先,從個人維度看,數據不僅僅關涉到自己的基本信息,可能還會關涉到個人的隐私。共享單車記錄了我們的日常行動軌迹數據;網購火車票記錄下了我們的身份和出行數據;網頁浏覽記錄下了我們的偏好數據;醫院看病的電子病曆記錄下了我們的身體健康數據……生活在互聯網時代,我們無時無刻不在生産着數據。曾經有一位軟件開發者費德裡科·薩内爾于2013年2月份起便開始收集自己所有的數字軌迹,從網站到聊天記錄到照片到GPS數據,到5月份的時候已有7GB數據。他準備把積累了3個月的隐私數據賣掉,而且已經成功炒到1100美元。這足以證明,對個人而言,數據是一種重要的利益,具有很大的價值。其次,從企業維度看,随着數據的價值不斷凸顯,市場競争已然從技術競争轉向數據競争。有的學者甚至主張,企業數據保護走向财産權化新機制已經成為未來的一大趨勢。再次,從社會維度看,數據安全關涉到社會的穩定,大規模數據洩露事件的發生必然會帶來社會恐慌,威脅社會安全。最後,從國家維度看,數據關涉到一國的主權,數據的跨境流動與國家安全亦存在着重要的聯系。2016年的歐盟通用數據保護條例(GeneralDataProtectionRegulation,以下簡稱GDPR)在第五章規定了個人數據向第三國或者國際組織的傳輸,正因為數據關涉到國家利益、國家安全,GDPR在數據的跨境流通方面設定了嚴格的限制條件。
值得注意的是,數據的利益交織性使得數據的産權界定成為一大難題。近年來,我國發生多起數據權屬糾紛案,譬如“豐鳥數據之争”、“華為與騰訊用戶數據之争”等。有利益即有争奪,有鑒于此,法律應當及時回應實踐中的數據産權界定問題。從私法意義上而言,數據的權屬配置主要與個人、企業直接關聯,而社會及國家之數據利益保護更多地是一個公法層面的問題。本文主要從私法角度探尋數據之權屬配置,但是社會公共利益及國家利益仍可構成限制私法上之數據權利的理由。
(二)從“利益”到“權利”:數據利益的權利化
耶林認為,權利是一種“法律保護的利益”。但是,并非所有的利益都能上升為權利,通過立法程序将利益上升為權利必須經過正當性的評價。權利的生成程序需要“讓權利人作為公民參與權利的創設”,“無論是利益還是意志,都應是權利人自身評價的結果。”當今社會,絕大多數成員對數據權利具有正當性的訴求,而民總第127條規定的數據保護正是回應了實踐的需要。
有的學者将民事利益劃分為以下三個部分:①用民事權利保護的民事利益;②法益保護的民事利益;③不受民事權利和利益保護的民事利益。而民總規定對數據進行保護,但未明确究竟是将其作為民事權利保護抑或是作為法益保護。
對此,究竟應如何來進行認定主要有以下三個标準:
其一,數據利益是否具有獨立性。通過對數據權利化困境的纾解,數據利益具有獨立性。其與個人信息權利所保護的個人信息利益存在區别,數據權利保護的利益涉及的是數據信息,即互聯網、大數據背景下的信息。數據利益亦與隐私利益存在區别,數據利益不強調信息的私密性,而隐私利益往往與個人最不願意公開的私密信息相關。
其二,權利保護模式是否具有優越性。倘若将數據利益僅作為法益保護而不将其上升至權利的地位,那麼無法實現對民事主體的周延保護。譬如,根據《中華人民共和國民法典》合同編(以下簡稱合同編)第497條之規定,格式條款提供方所提供的“排除對方主要權利”的格式條款無效。倘若不賦予數據利益以權利地位,則無法基于第497條之規定對用戶服務協議中的格式條款進行有力的規制,所以數據利益的權利化有利于更好地保護網絡環境中的弱勢方。
其三,在比較法上是否存在權利保護或法益保護的立法例。域外對數據的保護主要采用數據權利保護的模式。譬如,意大利個人數據保護法在第13條即規定了數據主體的權利;丹麥2000年公布的個人數據處理法在第三章規定了數據主體的權利。歐美國家關于個人數據保護的立法比我國開始得更早,它們已經進入了法律的執行階段,而我國關于數據權利保護的立法尚且停留在制定階段。域外權利的保護模式能夠為我國提供有利的借鑒。綜合以上三個标準,“數據”宜從利益走向權利,實現數據利益的權利化。
(三)權利保護之路徑探尋:宜采修正的“數據權”保護模式
如前文所述,數據保護宜采權利保護模式。民總第127條規定了數據的法律保護,但是對該條中“數據”的理解,雖有不少學者認同權利保護模式,但是具體的設權方式學界存在不同觀點。大體而言,主要有以下幾種學說:①“絕對權說”。“絕對權說”是從最狹義上理解“數據”的内涵,其基于數據與信息可分(即“可分說”)立場,主張對符号層面上的數據設定絕對權。②“數據權說”。“數據權說”認為,數據權包括個人數據權和數據财産權。個人數據權是一種人格權,具體包括數據查詢、保密、更正、删除等權利;數據财産權是新型的财産權形态,權利人有權占有、使用、收益、處分自己的數據财産。③“知識産權說”。中華人民共和國民法總則(一審稿草案)即采取“知識産權說”,并把“數據信息”列為知識産權的客體類型之一。④“權利(力)體系說”。“權利(力)體系說”認為,數據權不是一個單獨的權利或權力,而是一個多維的權利、權力體系,是由數據主權、數據管理權、數據公民權、數據社會權、數據人格權、數據财産權、被遺忘權等構成的複合型權利(力)體系。
以上觀點均存在一定的缺陷。首先“,絕對權說”是基于“可分說”的産物,它人為地割裂了數據與信息之間的内在聯系。如前文所述,脫離内容層面的信息單獨談最狹義上的數據毫無意義。其次,“數據權說”将數據權又細分為個人數據權和數據财産權,而數據财産權的“占有、使用、收益、處分”權能與個人數據權上的數據查詢、保密、更正、删除等權利之間存在内涵上的交叉,二者之間邊界不明晰。此外,數據财産權之權利主體亦不明晰。再次,知識産權的客體是智力成果,它凝結了人的智慧,而數據未必是智力活動的産物,不能将其作為知識産權的客體。因此,“知識産權說”亦不足取,這也是《民總》不再将數據信息作為知識産權客體之一并對其進行單獨規定的重要緣由。最後,“權利(力)體系說”看到了數據利益不僅關乎公民個人,亦關乎公共利益乃至國家主權。但因為“權利(力)體系說”所涵蓋的數據權利主體過于多元,且數據權利(力)體系下的各項權利之間缺乏邏輯聯系,不利于從私法意義上對數據權進行具體建構。筆者大體上贊同“數據權說”的觀點,即“數據權”不僅僅包含個人數據權,亦包括數據财産權。在此基礎上,需要對“數據權說”進行一定的修正。一方面,應明确個人數據權的具體内涵;另一方面,應明晰數據财産權的權利主體為企業。因此,本文基于修正的“數據權說”的立場,試圖從私法意義上對數據進行賦權并限權。
(四)“數據權”的具體設計及私法保護
在明晰權利保護路徑系更優選擇的基礎上,需要更進一步地考量“數據權”的具體設計及私法保護問題。
1.“數據權”的具體設計
在“數據權”的具體設計方面,主要涉及權利主體、權利客體、權利内容、權利屬性四大問題。
(1)權利主體
數據權的權利主體直接關涉到數據的法律歸屬問題,而關于數據的法律歸屬問題,目前尚存争論。在“華為與騰訊用戶數據之争”中,華為的榮耀Magic手機能夠通過人工智能技術收集用戶的微信聊天數據,并通過對用戶聊天數據的分析進行智能化推薦,人機交互能力顯著增強。騰訊主張華為的數據抓取行為構成侵權。其主要理據在于:基于微信服務協議及用戶的同意,用戶所産生的數據的使用權歸屬于騰訊。而華為則主張,所有數據均歸屬于用戶,且華為亦得到了用戶數據處理的同意和許可。在這場争議中,數據的法律歸屬問題成為焦點。
筆者認為,“數據權”可以劃分為個人數據權以及數據财産權。個人數據之利益歸屬于個人,個人數據權的權利主體是自然人。而大數據之利益歸屬于企業,數據财産權的權利主體是企業。首先,個人數據系基于自然人的特定行為或活動而産生,個人數據主要反映的是自然人的信息。個人數據與自然人之間的聯系最為緊密,因此自然人應當享有個人數據權。其次,企業通過契約關系(例如,用戶協議、隐私政策等)獲得對用戶數據的收集和使用權限,企業通過合法途徑所獲得的數據集合是企業自身賴以生存和發展的資源。在收集數據的過程中,企業亦為之付出了大量的人力物力财力。有鑒于此,大數據的權利主體宜配置給企業。一方面,這是對企業收集數據所付出的勞力之認可;另一方面,将大數據之利益配置給企業有利于激發企業的數據創造活力,發掘大數據的真正價值。企業所收集到的數據是企業的信息資源,企業亦可以通過商業秘密等對其進行保護。
值得注意的是,企業在數據利益中能夠分得一杯羹的前提是企業通過合法渠道進行數據收集,從而使得個人數據彙集轉化而成大數據。在此,數據收集手段的合法與否是關鍵,而合法與否之判斷則應重點考察契約關系的達成是否符合“知情-同意”原則的要求。在“華為與騰訊用戶數據之争”中,用戶數據從根本意義上而言歸屬于用戶個人。用戶在使用微信APP之前,與微信簽訂有服務協議,用戶将數據使用權部分讓渡給騰訊公司。而華為雖聲稱其亦獲得了用戶的授權同意,但是華為的“一鍵式授權”無法讓用戶知悉自己的數據如何被使用。在這場争議中,用戶是個人數據權主體,騰訊能否基于契約獲得用戶的數據使用權關鍵在于其拟定的格式條款是否正當,華為能否抓取用戶的微信聊天記錄關鍵在于華為是否在保障用戶知情權的基礎上與用戶建立起了契約關系。
此外,政府不宜作為數據權的主體。不可否認,政府最有能力收集公民數據信息,但其不宜成為私法上的數據權主體。政府擁有“數據權力”,它可以基于公共利益目的運用公權力收集個人數據。孟德斯鸠曾言:“自古以來的經驗表明,所有擁有權力的人,都傾向于濫用權力,而且不用到極限絕不罷休。”倘若對政府再賦以數據權這一私權利,則不利于公權力與私權利之間的平衡。在數據權利的私法保護中,公權力的介入不應當是通過對政府賦權而介入,而是通過對自然人限權而介入。
(2)權利客體
數據權的客體是數據信息。首先,按照文義解釋,民總第127條雖然規定的是對“數據”進行法律保護,但這裡的“數據”不宜從最狹義上進行理解。按照人們對“數據”的通常理解,數據總是與特定的信息内容相聯系。因此,将“數據”解釋為“數據信息”不會超出這一詞語可能的文義。其次,按照立法解釋,民法總則(草案)征求意見稿(2016年5月20日修改稿)在第103條采用的即是“數據信息”這一用語。由是觀之,立法者亦認為不能割裂“數據”與信息二者之間的關系。最後,基于“不可分說”的立場,比特流隻有搭載了信息才會有一定的價值,單獨針對最狹義上的數據(即比特流)進行賦權毫無意義。誠如有的學者所言,脫離信息的數據并非财産權的客體,隻有搭載了有意義的内容的數據才能在權利領域中尋得自己相應的定位。因此,數據權的客體是數據信息。
(3)權利内容
首先,就個人數據權而言,個人數據權的内涵十分豐富,并且随着時代的發展,它還會呈現出更加豐富的内涵。從域外相關立法來看,GDPR對數據權利規定得較為詳盡,我國未來對個人數據權的具體建構上宜借鑒GDPR之規定并進行本土化的制度設計。目前,個人數據權至少包含以下幾項内容:A.知情、同意權。即主體有權知曉數據控制人的身份、拟收集的數據類型、數據處理的目的、數據處理的依據、數據處理的方式、數據處理的規則等等。用戶在知情的基礎上,有權選擇同意或者拒絕數據控制者的數據收集請求。GDPR第13條規定了控制者在進行數據收集時,需要提供控制者的身份、聯系方式、數據處理目的及法律基礎等信息,其對用戶的知情權予以充分的保障。此外,GDPR第7條就同意的條件進行了更加明确的規定。目前,我國由于用戶對相關法律知識的欠缺、平台服務條款冗長模糊等因素,用戶的知情、同意權往往難以得到有效的保障。有鑒于此,我國未來應加強對平台服務條款的監管,通過對平台私立規則的重點監管進而保障用戶的知情、同意權。B.專屬訪問權。即主體對數據的專屬訪問權,在無正當理由的情形下,他人不能對個人數據進行訪問,數據控制者亦不能未經許可随意授權給他人訪問。GDPR第15條規定了數據訪問權,在個人數據被處理的情形下,數據主體享有知悉權并有權在特定情形下訪問個人數據。C.數據可攜權。即主體在技術容許的情況下,有權要求控制者将其個人數據直接傳輸給另一控制者。GDPR第20條規定了數據可移植性權利,數據可攜權增強了個人對數據的控制,同時亦有利于數據的流通。目前,在我國的實踐中雖然能夠覓得數據可攜的影子(譬如QQ音樂已開通“導入外部歌單”功能),但是立法層面仍未将這種正當性訴求上升至數據可攜權的高度。D.利用、收益權。基于數據及數據權利的财産屬性,數據權主體可以以合法方式對數據進行利用和收益。譬如,個人可以通過與平台簽訂服務條款的方式讓渡自己的部分數據,進而能夠換取相應的服務,取得服務之對價。E.更正權。當個人數據發生錯誤或者不完整時,主體有權要求數據控制者進行更正。GDPR在第16條規定了主體對個人數據的糾正權,且是“無不當延誤地糾正”,未來我國可以考慮規定更正的具體時限進而督促數據控制者及時地更正有誤數據。F.删除權。即主體對一些不利的或無意義的個人數據,有權要求數據控制者予以斷鍊或删除。GDPR第17條規定了主體的删除權,且針對不必要收集的數據、撤回同意後所收集的數據、被非法處理的數據等,控制者有義務将其删除。
其次,就數據财産權而言,企業數據财産權則更多地類似于一種絕對權,企業有權支配大數據之利益。有學者認為,企業數據财産權具體包括數據資産權和數據經營權兩種形态。一方面,企業有權占有、使用自身的數據資産;另一方面,企業又可以通過所收集到的數據開展一定的經營業務,享有一定的收益、處分權。但是,企業的數據财産權與嚴格意義上的所有權存在區别,因為企業并不能随心所欲地占有、使用、收益、處分其所收集的數據,企業數據财産權需要受到個人數據權之限制。企業享有數據資産權的前提是企業的數據收集行為未侵害個人的知情、同意權,企業雖享有數據經營權,但企業的數據經營行為亦不能夠侵害個人的專屬訪問權、更正權、删除權等。
(4)權利屬性
數據權具有雙重屬性,即人身屬性和财産屬性。首先,就個人數據權而言,其具有強人身屬性弱财産屬性,數據能夠反映人的活動軌迹、身體健康等諸多信息,并且在算法的幫助下,數據能夠完整地描摹“用戶畫像”。誠如有的學者所言,在網絡空間,每個人都是“數字化生存”,每個人都擁有“數字化人格”。而且這種“數字化人格”極易因為政府監聽,網絡公司的管理漏洞,市場營銷等而曝光。因此,強調個人數據權的身份屬性有利于更好地維護人的人格尊嚴,尤其是在互聯網領域人的人格尊嚴。其次,就企業數據财産權而言,其具有強财産屬性弱人格屬性,數據的可轉讓性、可交易性彰顯了數據權的财産屬性。我國目前已建立多家大數據交易所,并且各地方還确立了大數據交易的具體規則,這足以證明數據具有财産價值,數據權具有财産屬性。有觀點認為數據具有非财産性,這種觀點實際上仍然是建立在将數據與信息二分的基礎上的。随着比特流搭載信息的數據交易市場日益繁榮,否定數據及數據權利的财産屬性的觀點并不足取。
2.“數據權”的私法保護
在“數據權”的私法保護方面,主要涉及合同法保護和侵權法保護兩個方面的内容。
(1)侵權法保護
首先,從侵權法上來看,侵權法兼保護數據之人身性及财産性,行為是否構成對數據權的侵害要從侵權的四個構成要件進行判斷。其一,需要有不法行為的存在。譬如:網絡平台過度收集用戶信息或将用戶信息洩露給第三方,這都屬于不法行為。其二,要有損害後果存在。在損害後果方面,侵害個人數據導緻的嚴重精神損害不容忽視。其三,不法行為和損害後果二者之間存在因果關系,且這種因果關系要具有“相當性”。其四,侵權人主觀上具有過錯。需要注意的是,個人數據的洩露有的時候是基于系統技術問題所引發的數據洩露,即系統被外部攻擊所造成的數據洩露;有的時候是基于人為的洩露,即内部人員的洩露;有的時候前兩種情形還會産生互動,内外結合。在這不同的情形下,因為侵權人在主觀過錯上存在差異,所以責任承擔上亦應有所不同。
其次,針對涉及隐私的敏感數據,無論是通過數據權路徑抑或是隐私權路徑,侵權法都都宜對其設定更高的保護标準并施以更為嚴苛的民事責任。
值得注意的是,目前司法實踐中有關數據的糾紛主要是通過反不正當競争路徑進行解決,法院更多的是從維護市場競争秩序角度對此類案件進行考量。譬如,在“騰訊公司與北京微播視界公司、北京拍拍看看公司不正當競争糾紛案”中,法院重點判斷平台收集、利用數據的行為是否具有正當性。究其原因,可能是因為目前數據的産權歸屬尚無定論。但是,在明晰了數據利益的法律歸屬并引入了“數據權”這一新型權利的前提下,通過侵權法路徑解決有關數據糾紛應當成為未來司法實踐的常态。
(2)合同法保護
從合同法來看,合同法主要保護數據之财産性。合同法調整财産的動态流轉關系,通過契約約束,一方面有利于促進數據的合法流動,另一方面有利于保障權利主體的數據權利。數據權的合同法保護主要在于對格式條款的法律規制。以作為數據控制者之一的網絡平台為例,在用戶使用各類APP之前,網絡服務提供者往往要求用戶點擊用戶服務協議,其中往往涉及數據處理、隐私政策以及大量的關于網絡服務提供者的免責條款。一方面,用戶相較于平台,明顯居于弱勢地位,無法與網絡服務提供者進行磋商;另一方面,用戶要想享受APP的服務,又必須同意網絡服務提供者拟定的網絡服務協議。在明晰了數據權的權利主體及權利内容的前提下,基于合同編第497條之規定,如果網絡服務提供者在服務協議中排除個人數據權的,那麼該條款的法律後果即為無效。
三、限權:“數據權”行使的法律邊界
在“數據權”得以證成的前提下,需要進一步考量權利行使之法律邊界。任何權利之行使都不是漫無邊際的,“數據權”的行使亦存在法律邊界。
(一)對“數據權”之行使進行适當限制的緣由
對“數據權”之行使進行适當限制主要基于以下緣由:第一、公共利益的需要。當數據權利與公共利益發生沖突時,基于公共利益高于個人利益的理念,需要對數據權之行使進行适當限制。第二、促進數據流通以及促進互聯網發展的需要。數據隻有流動才能真正實現大數據,真正挖掘數據的潛在價值。對自然人賦予數據權不在于讓個人控制數據,而在于促進數據的合規流動。第三、政府管理的需要。基于公共管理的目的,政府的“數據權力”可對個人的“數據權利”進行适當限制。第四、維護國家安全、國家主權的需要。數據與一國的國家安全、國家安全相關聯,因此需要對數據權之行使進行适當限制。
(二)限制“數據權”之行使的具體路徑
限制“數據權”之行使的具體路徑較為多元,大體而言,筆者認為,可以通過确立“合理使用”規則、引入利益衡平規則、司法的個案衡量路徑對其進行“限權”。
1.确立“合理使用”規則
首先,在個人數據權的限制方面,他人若對個人數據進行“合理使用”則不構成對個人數據權的侵犯。GDPR第23條對個人數據的合理使用有詳盡的規定,譬如,在打擊、預防刑事犯罪或對民事訴訟主張強制執行等情形下,個人數據權即受到一定的限制。我國的規範第5.6條亦規定在特殊情形下,無需征得主體授權同意即可對個人信息進行收集、使用。譬如,在與個人信息控制者履行法律義務相關時,或者與合法新聞報道所必須時,抑或者涉及國家安全、公共安全時,均适用“合理使用”規則。無論是GDPR抑或是我國的規範,均規定了數據的“合理使用”規則。“合理使用”規則有助于廓清數據權的法律邊界,緩和私權利與公權力以及公共利益之間的沖突。在“章彥明與丁君陽隐私權、名譽權糾紛案”中,法院亦是注意到了這一點。法院在裁判說理中明确表明:“現代社會中,個人與社會始終保持着一定的聯系,不可能完全割裂個人的社會屬性,而所謂的個人信息、私事或領域也就會不可避免地有一部分關涉他人利益或公共利益。當個人隐私與公序良俗、社會公共利益甚至法律規定産生沖突時,就很可能不再屬于隐私權的保護範圍或其權利受到一定限制。”
值得注意的是,雖然個人數據權需受“合理使用”規則的限制,但是這種限制本身亦非漫無邊際的。誠如有的學者所言,對個人數據權益之限制需要符合比例原則。限制措施必須基于正當目的,限制手段必須對個人人格損害最小,目的與手段二者必須相當。
其次,在數據财産權的限制方面,企業亦需要受“合理使用”規則之限制。一方面,企業對數據的利用需要恪守契約之約定;另一方面,企業對數據的分析、利用及再加工需要采取一定的手段将個人數據去人格化、去身份化、匿名化。此外,企業數據财産權亦需要受個人數據權之限制。《中華人民共和國企業破産法》(以下簡稱破産法)第38條規定了破産取回權。如前所述,個人數據權的權利主體屬于自然人,因此企業無論系基于契約關系抑或是其他路徑收集到的個人數據,在債務人破産之際,權利人基于破産法第38條規定的破産取回權及個人數據權項下的删除權,有權要求債務人企業将數據歸還。
最後,“合理使用”規則與後文的利益衡平規則、司法個案衡量之間并非毫無聯系,三者之間存在一定的交叉,個案中可能同時運用這三個規則。譬如,在涉及國家安全、公共安全時,根據規範第5.6條之規定,該種情形下的數據收集和使用無需征得主體之同意,其屬于“合理使用”的範疇。同時,基于公共利益、國家利益高于個人利益之理念以及實現個案正義之要求,運用利益衡平規則和司法個案衡量的結果與運用“合理使用”規則的結果是一緻的。
2.引入利益衡平規則
拉倫茨認為,“權利也好,原則也罷,假使其界限不能一次确定,而毋甯多少是‘開放的’、具‘流動性的’,其彼此就特别容易發生沖突,因其效力範圍無法自始确定。”對此,拉倫茨借“法益衡量”來解決原則沖突及規範沖突的問題。此外,我國學者梁上上先生對日本學者加藤一郎的利益衡量理論進行了修正和發展,其提出利益的四個層次:當事人的具體利益、群體利益、制度利益和社會公共利益。經由梁上上先生發展的利益衡量理論使得利益層次更加細化,利益衡量更具可操作性且能夠在一定程度上限制法官的司法恣意。利益衡平規則的本質即“法益衡量”,當數據權與其他權利或者法益發生沖突時,需要對其進行利益衡平。譬如,當數據權與新聞報道真實、自由之間發生沖突時,需要結合具體情形對二者之間的利益進行衡平從而做出判斷。在“新京報社與邵一鳴名譽權糾紛案”中,該案鮮活地展現了數據權、名譽權與新聞報道真實、自由三者之間的緊張關系。該案的基本案情為:邵一鳴系中疾控中心艾滋病首席專家,系性艾中心的研究員。其所在單位性艾中心于2013年10月19日發布的通報中,認定了邵一鳴為通訊作者的論文在使用全國艾滋病防治數據庫數據時,未征得數據庫管理科室的同意,擅自使用數據庫數據進行研究和發表論文,未對形成相關數據做了大量工作科研人員的貢獻予以體現,也未按照中心的有關規定審批發表論文。新京報社于2013年10月25日發表的新聞報道使用的标題為《中疾控首席專家邵一鳴被指盜用數據》,并在報道中數次提及邵一鳴“擅自使用他人科研數據”“盜用科研數據”。但根據通報的内容,邵一鳴發表的論文使用了全國艾滋病防治數據庫的數據,而不是非法使用他人的文字和資料。雜志版論文較網絡版論文增加19名作者的原因亦在通報中予以體現,意在體現中心相關科室科研人員對該工作的創造性勞動,而非邵一鳴實施了盜用的行為。邵一鳴以新京報社侵犯其名譽權為由向法院提起訴訟,法院最終認為,新京報社的涉案新聞報道存在部分嚴重失實,使公衆對邵一鳴産生一定誤解,造成邵一鳴社會評價的降低,其行為構成侵犯名譽權。筆者認為,在該案中邵一鳴未征得數據庫管理科室的同意并擅自使用數據庫數據,進行研究和發表論文的行為已然侵犯數據權,但是其積極采取補救措施,增加了有關科研人員作為論文作者,可責性程度降低。故此,邵一鳴的行為不符合“盜用”之标準,新京報社的新聞報道未能客觀、真實、準确地反映邵一鳴之行為,報社行為構成名譽權侵權。
個人數據權雖然屬于私權,權利主體屬于自然人,但是數據亦關乎着公共利益。因此,有學者提出,對個人信息的保護應從個人控制向社會控制轉型。知情同意作為個人信息處理之必要條件将使社會價值嚴重失衡,倘若企業每一次的數據收集行為均需征得主體的同意将會給企業帶來不合理之負擔,且在某些特定情形下(發生災害或科學研究等)仍需征得主體同意則成本過高。本文認為,數據權的本質仍屬于私權,不宜混淆“數據權利”與“數據權力”,過分誇大數據權利的公共屬性容易導緻公權力對私權利侵犯之危險。知情同意應當作為數據處理之常态,僅在特定情形下經由利益衡平才可突破知情同意規則之限制,這是數據利益關涉人格尊嚴使然。僅當個人數據權之行使與公共利益的維護發生沖突時,基于公共利益優于個人利益的理念,此時數據權之行使應受到限制,但這種限制應當符合“最小侵害原則”及“比例原則”。
3.司法的個案衡量
立法者無法預見數據使用的不同場景,對個人數據的利用應避免脫離場景進行抽象預判,數據使用之合理與否要結合個案的具體情形進行考量。結合個案的不同場景,法官對數據權行使的法律邊界可以進行自由裁量,但須進行充分的說理和論證,從而實現“場景性公正”。
大數據時代信息收集者的核心利益就在于發掘信息的商業價值,而匿名化則是信息收集者常用的手段之一。在匿名化這一場景中,倘若案件涉及的數據屬于匿名化數據,基于數據匿名這一特定場景,數據與個人之間的關系因為匿名而被割斷,個人就不再對匿名化數據享有個人數據權。譬如,在“朱烨訴百度網訊公司隐私權糾紛案”中,法院認為,百度網訊公司收集利用的是匿名化的數據信息,因此并未侵害朱烨的隐私權。值得注意的是,匿名的本質不在于匿去名稱或姓名,而在于匿去具有可識别性的特質(獨特性)。匿名是相對的,誠如有的學者所言,匿名在小數據時代尚有可行性,但在大數據時代數據内部的交叉檢驗将使數據匿名化技術失靈。盡管如此,我們不可否認,相對性的數據匿名處理亦能夠對人的人格尊嚴起到一定的隔離和保護作用。
再如,在“安徽美景信息科技有限公司與淘寶(中國)軟件有限公司(以下簡稱淘寶公司)不正當競争糾紛案”中,亦關涉到匿名化數據的權益歸屬問題。在該案中,淘寶公司開發和運營了一款“生意參謀”數據産品,該案的争議焦點之一即是“淘寶公司對于‘生意參謀’數據産品是否享有法定權益”。對此,法院認為:“涉案‘生意參謀’數據産品所使用的網絡用戶信息經過匿名化脫敏處理後已無法識别特定個人且不能複原,公開‘生意參謀’數據産品數據内容,對網絡用戶信息提供者不會産生不利影響。且淘寶公司的淘寶隐私權政策已宣布‘經去标識化處理的個人信息,且确保數據接收方無法複原并重新識别個人信息主體的,不屬于個人信息的對外共享、轉讓及公開披露行為,對此類數據的保存及處理将無需另行向用戶通知并征得用戶的同意'。因而,淘寶公司公開使用經匿名化脫敏處理後的數據内容屬于上述法律規定的除外情形,即無需另行征得網絡用戶的明示同意。”筆者贊同法院的這一觀點,主要理由有三:其一,用戶點擊“同意”淘寶的隐私政策即表明用戶已經就該類去标識化的個人信息向淘寶公司進行授權,且該項隐私政策條款并不存在合同法上的無效事由,當屬有效。其二,去标識化、匿名化的數據附着了淘寶公司智力勞動成果投入,它經過深度加工、開發與系統整合,淘寶公司控制、管理、使用着這些匿名化數據,用戶實際上不再對這些匿名化的數據享有個人數據權。其三,也是最為關鍵的一點是,這些數據已經去身份化、去标識化、匿名化,它與用戶的原始數據截然不同且無對應關系。故此,淘寶公司無需另行征得網絡用戶的明示同意。
此外,在增進消費者福利這一場景化利用中,需要關注數據利用的正面及負面效果。一方面,企業通過數據收集能夠方便其開展針對性分析及個性化營銷,這在一定程度上具有正面效果,有利于為消費者“量身定制”最優服務,增進消費福利;但另一方面,這也為“歧視性定價”“誘導性營銷”帶來便利,其負面效果亦不容忽視。因此,司法需要結合個案之具體場景進行個案衡量,不僅應考慮數據利用之正面效果,亦應考慮是否産生了負面效果。譬如,在“李駿傑等破壞計算機信息系統案”中,數據的違規利用即對消費者産生重大負面影響。該案的基本案情為:2011年5月至2012年12月期間,李某單獨或夥同張學林等人通過QQ聊天工具聯系需要修改中差評的淘寶賣家,并從被告人黃某等人處購買需要修改的淘寶買家個人信息,冒用淘寶買家身份騙取淘寶賬号密碼重置後,非法登錄淘寶評價系統從而删除、修改淘寶買家的中差評347個,從中獲利9萬餘元。最終,法院認定李某構成破壞計算機信息系統罪,黃某構成非法獲取公民個人信息罪。筆者認為,李某等的行為侵犯了個人的數據權益,從更深層次而言,李某等的行為擾亂了整個互聯網環境下的購物秩序。在該案中,淘寶賣家之行為所帶來的負面影響亦不容忽視。淘寶賣家通過李某等人删改中差評,營造了一種該商品“完美無缺”的假象,誘導消費者進行消費,其行為違背了商業道德,同時也侵犯了給予其中差評的買家之數據利益,損害了消費者的權益。
總而言之,數據權之行使與保護需要考量不同場景的差異性,需注意不同場景利益選擇之妥适性,依托司法個案衡量之手段,才能真正實現“場景性公正”。
結 語
康德曾言:“人依其本質即為目的本身,而不能僅僅作為手段來使用。”他一語道破人是理性的動物,人本身具有一種價值,人具有其“尊嚴”。在大數據時代,賦予自然人以個人數據權,這從根本意義上體現了對人以及人格尊嚴的尊重,彰顯了自由、平等的時代價值。數據權利化的目的并非阻卻數據流動進而形成一座座的數據孤島,其重要目的是要在科技高度發達的當下,鼓勵企業通過合法正當途徑收集大數據,促進數據的合法合規化流動,進而創造大數據的真正價值。因此,宜賦予企業對大數據之數據财産權。但數據權的行使并非漫無邊際,它亦需要受到一定的限制。通過對“數據利益”的賦權與限權,有利于調和數據經濟發展與數據安全、國家安全之間的緊張關系。我國目前尚未制定數據保護法,而歐美國家對于個人數據保護的立法已經十分成熟。因此,我國一方面宜借鑒歐美國家關于個人數據保護立法的先進經驗;另一方面,需要結合中國的實際國情,以“數據權”為核心進行本土化的制度設計。
微
博
抽
獎
2021年1月19日—1月26日上海市法學會官方微博開展了抽獎活動,獎品為:《“一網通辦”法律規制》。現将經平台審核通過的獲獎名單公布如下:
接下來我們将贈書5本,快來試試手氣:由上海市高級人民法院茆榮華主編,陳昶、顧全、陳樹森副主編的《上海法院類案辦案要件指南(第二冊)》。
為推進審判體系和審判能力現代化,完善統一法律适用機制,提升辦案效能,上海市高級人民法院專門制訂了《類案辦案要件指南編撰三年規劃2019—2021》,并于2019年5月啟動了股權轉讓、融資租賃合同、受賄罪、政府信息公開等14個要件指南編寫工作。該書即為上海法院類案辦案要件指南第二批成果。
該書聚焦法律适用難點,包括民間借貸、侵害商标權、海上貨物運輸合同、信用卡糾紛、房屋征收補償決定、民事再審案件審查程序等六個類案辦案要件指南,圍繞388個法律适用問題,結合147個典型案例,采用項目式、要素式的方式,通過“總體情況概述—立案審查—原告訴請的審查—被告抗辯的審查—要件事實審查和裁判規則”梳理、歸納類案審查要點和注意事項;還緊扣民法典等最新立法精神,充分結合最高人民法院司法解釋的最新規定,并根據上海法院審判情況,确保提煉梳理出符合時代背景的新觀點,概括出富有規律性的新認識,及時回應社會發展的新需求。
該書的編撰出版,為推進法律适用統一提供了可複制、可推廣的上海經驗和上海智慧,為廣大一線法官提供了一套實用、管用、好用的業務工具書。對全國各級法院同類案件的标準化、規範化辦理具有重要的參考借鑒價值,對法律工作者和法學院校師生積累實務經驗具有重要的學習參考意義。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
