资深大律师&著名法律专家网 > 法学研究 > 学者研究

李立新 刘晨:“数据权”的法律证成及行使边界


内容摘要

数据权利面临诸多法律困境,但都能够予以纾解。数据是一种重要的利益,基于数据利益的独立性、权利保护模式的优越性以及域外数据权利保护的经验性,数据宜从“利益”迈向“权利”,实现数据利益的权利化。在权利保护路径方面,学界存在“绝对权说”“数据权说”“知识产权说”“权利(力)体系说”之分歧,但这些学说均存在一定的缺陷,宜采修正的“数据权说”,将个人数据利益归于个人,大数据之利益归于企业。“数据权”的权利客体是数据信息,个人对数据信息享有专属访问权等多项具体权利,企业对数据信息享有数据资产权和数据经营权。“数据权”兼具人身属性和财产属性。“数据权”的行使存在法律边界,应通过确立“合理使用”规则、引入利益衡平规则以及司法个案衡量等路径进行“限权”。

关键词:扫数据权  利益权利  赋权  限权

2016年工业和信息化部编制的《大数据产业发展规划(2016-2020年)》指出:“到2020年,技术先进、应用繁荣、保障有力的大数据产业体系基本形成。大数据相关产品和服务业务收入突破1万亿元,年均复合增长率保持30%左右,加快建设数据强国,为实现制造强国和网络强国提供强大的产业支撑。”依托数据优势,大数据在推动产业发展、经济繁荣等方面不断地为社会创造红利。但与此同时,数据发展的负面效应亦不容忽视。伴随着大数据、人工智能、算法的发展“,未来的世界里,一切都可以数据化,包括人。”正是在这个意义上,不论我们是“自然人”,还是“经济人”抑或是“社会人”,在数字化社会中我们已然变成了“数字人”。人的出行记录、医疗记录、社交记录等都能够被固定化、数据化甚至商业化。譬如,当人们在使用购物软件的时候,我们的浏览信息已经被记录下来,商家可借助推荐技术对用户进行精准广告投放甚至跨app式地精准广告投放,打造个性化营销方案。机器智能能够拼凑多维度的信息进而描摹一个人完整的数据画像,人们在大数据时代越来越没有隐私,每个人就像“裸体式”的存在。

《中华人民共和国民法典》总则编(以下简称民总)第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”然而,我国目前尚无专门的数据保护方面的立法,顶层设计仍显不足。在大数据飞速发展的时代背景下,引入“数据权”这一新型权利并以“数据权”为核心进行具体的制度设计实属必要。

一、数据权利化的法律困境及纾解

在目前学界关于“数据”的讨论中,不同学者对“数据”一词的用法不尽一致。有的直接将“数据”等同于“个人信息”来看待,有的则是从最狭义上理解“数据”的具体内涵,最狭义上的“数据”指的是在计算机及网络上流通的在二进制基础上以0和1的组合而表现出来的比特形式。它自身依赖载体(即通讯设备)而存在,同时它亦作为信息的载体,通过代码或程序显示出具体的信息。本文的“数据”并非专指最狭义上的“数据”,而是指“最狭义上的‘数据'+信息”,亦即数据信息。根据国际标准化组织iso对“数据”的定义“,数据”是指“可进行重复解读的信息表达形式。”该定义侧重于从形式层面上界定“数据”,而本文所言的“数据”则是结合了形式层面的数据及内容层面的信息。数据的权利化面临着诸多的法律困境,在对其进行赋权之前,需要将困境逐个纾解。

(一)民事权利客体:数据权利化之桎梏

“数据”具有以下三大特征:其一,无形性。数据是搭载信息的抽象的比特流,是人的肉眼所无法观察到的。无论处于内容层面的信息还是处于载体层面的符号,数据都是无形的。其二,非独占性。数据可以同时被多个主体占有并且不会降低其利用价值,它可以被共享使用。其三,依附性。数据必须依附于载体(通讯设备),而信息需要依附于代码。因此,数据不具有独立性。正是基于数据的上述特征的内在限制,有学者认为数据并非民事权利的客体。

不可否认,数据具有无形性、非独占性、依附性的特征。但是这并不影响其成为民事权利的客体。

首先,作为民事客体的“物”的范畴在当今已经不仅仅局限于有体物,无体物也包括在内。数据虽具有无形性,但是其仍然可以成为民事权利客体。其次,数据虽然可以同时为多个主体享用,但是这不意味着多个主体对数据均享有同样的权利。在数据权属不明晰的情况下,正是因为数据的非独占性,才会导致数据的滥用。数据虽可共享,但数据权利的主体特定,他人可以基于契约关系或其他路径获得对数据的占有和使用。再次,我们不应当仅仅关注数据载体的工具价值从而否定数据的独立性,以信息为内容的比特流应当被整体性地看待,而不应割裂数据的载体与内容。以知识产权为例,知识产权亦具有以上特性,但是这并不妨碍“智力成果”能够成为民事权利的客体。有的学者认为,不能将数据类似智力成果作为无形物而成为权利客体。这种观点其实依旧是建立在将数据载体与内容二分对待基础上所产生的结论。

(二)个人信息权:数据权利化之症结

是否可以脱离内容层面的信息来探讨数据权利?对此学界存在分歧。“可分说”认为,应区分符号层面的数据与内容层面的信息,并在符号层面的数据文件上设定绝对权对其进行保护。而内容层面的信息可受到个人信息、著作权、商业秘密等方面的保护,没有专门构建一个权利对其进行保护的必要。“不可分说”认为,数据的最大作用在于承载信息,没有信息的数据通常没有太大意义。不能将数据与信息分离开来进而抽象地讨论数据上的权利,对自然人数据权利的讨论即讨论自然人以数据形式体现的个人信息权利或者包含个人信息的数据权利。数据与信息的界分不明会直接导致数据权利与个人信息权利二者之间的界分不明,个人信息权是数据权利化之症结。

笔者赞同“不可分说”,理由有二:其一,如果从最狭义上去理解数据,那么数据仅仅是一串串代码,仅仅是一个个电磁记录或比特流而已,脱离数据所搭载的信息进而讨论数据权利毫无意义。其二,纵观世界各国的立法例,绝大多数国家的个人数据保护立法采取的是“不可分说”。

例如:葡萄牙的个人数据保护法规定,个人数据即是与数据主体相关的信息。瑞典亦采取类似的立法。在坚持“不可分说”的前提下,本文进一步认为,个人数据权利与个人信息权利并非等同。理由有以下三点:其一,从体系解释的角度来看,民总第111条规定:“自然人的个人信息受法律保护,”而第127条规定的是对数据的法律保护。民总在“民事权利”一章用不同条款规定了个人信息及数据的法律保护。由此可见,二者从表面上来看是存在区别的。更为重要的是,民总第127条规定的“数据”未冠以“个人”二字,数据的权益主体不仅仅局限于个人,在数据的利益分享机制中宜考虑企业的利益。其二,民总第127条的“数据”是与“网络虚拟财产”并列规定的,数据保护更加侧重于对互联网背景下的数字化信息的保护,而个人信息权利并不强调互联网环境这一特殊背景。其三,相较于个人信息权而言,个人数据权的内涵更加丰富多元。此外,伴随着技术的变革,个人数据权会呈现出新的具体内容。本文认为,个人信息与个人数据存在显著区别,个人信息权利与个人数据权利亦不可等同视之。如图1所示,“①信息”如果反映的是个人信息,则由个人信息权利进行保护。个人信息既包括传统意义上的纸面化的个人信息,又包括互联网背景下比特流所搭载的个人信息(即“③数据信息”)。数据信息与传统纸面化的信息具有很大的不同,数据信息更具有复杂性,宜针对数据信息设定专门的权利进行保护。因此,数据权是基于互联网、大数据时代而产生的新兴权利,其和个人信息权利不能等同。此外,基于“不可分说”的立场,对于纯粹的数据(即“②数据”,也就是最狭义的“数据”),因其不具有实然意义上的价值,所以排除在“数据权”所保护的客体之外,亦非本文所讨论的对象。

(三)隐私权:数据权利化之壁垒

大数据在不断地缩小传统隐私观念的范围,同时也给人的隐私保护带来巨大威胁。譬如,2019年2月,京东金融app即被指自动获取用户敏感图片并自动上传。更有甚者,据2019年7月8日“新京报”报道,网络上出售的“最新抓取技术”能够仅在用户点击网页的情形下成功抓取访客的手机号码,用户手机号随即被贩卖,用户在无形之中便成为了广告营销之对象。有的数据所承载的信息与隐私直接关联,数据与隐私之间的关系模糊会使数据权利化陷入窘境,隐私权无疑是数据权利化之壁垒。一方面,何谓大数据时代背景下的“隐私”难以界定;另一方面,倘若数据能够通过隐私权路径进行保护,则无新设数据权之必要。

其实,在互联网及大数据的时代背景下,数据保护与隐私保护之间的矛盾并非不可调和。有学者称,个人数据保护已进入“后隐私权”时代,应当通过借鉴欧盟个人数据保护权的精神对隐私环境发生变化后的信息隐私进行专门保护。而欧洲国家在对隐私数据的保护方面往往设定了更高的要求,他们区分了“敏感数据”和“非敏感数据”,因“敏感数据”更多涉及用户隐私权益,所以对“敏感数据”的使用和处理设定了更加严苛的条件。譬如,1996年意大利颁布的《有关个人和其他主体的个人数据处理的保护法》(以下简称意大利个人数据保护法)第22条强调对个人敏感数据的处理需要经过数据主体的书面同意这一程序。而我国国家市场监督管理总局、国家标准化管理委员会在2020年3月6日发布的《信息安全技术个人信息安全规范》(以下简称规范)第5.4条亦规定,个人敏感信息之收集需经用户的明示同意且该种明示同意需系在其完全知情的基础上所作出的意思表示。规范还对个人敏感信息的判定进行了具体规定及列举。因此,数据和隐私之间的关系并非无法厘清,倘若数据属于隐私的范畴,则要对其进行特殊保护,提高保护的标准。相较于一般数据保护,隐私保护宜定位为一种更高的保护规则。倘若数据非属隐私范畴,则宜通过数据权利路径进行保护。如图2所示,数据和隐私之间存在交叉关系,在“隐私数据”这一交叉地带存在数据权利和隐私权利的竞合,当用户的数据隐私遭受侵犯时,用户可以基于其享有的数据权利或者隐私权利追究加害方的民事责任。

二、赋权:“数据权”的法律证成

在数据权利化困境得以纾解的前提下,宜在“数据”上设定一个新型权利“数据权”,从而更好地满足当今时代数据保护之需要。

(一)作为“利益”的数据

在大数据时代,无论对个人、企业还是对社会、国家而言,数据都是一种重要的利益。首先,从个人维度看,数据不仅仅关涉到自己的基本信息,可能还会关涉到个人的隐私。共享单车记录了我们的日常行动轨迹数据;网购火车票记录下了我们的身份和出行数据;网页浏览记录下了我们的偏好数据;医院看病的电子病历记录下了我们的身体健康数据……生活在互联网时代,我们无时无刻不在生产着数据。曾经有一位软件开发者费德里科·萨内尔于2013年2月份起便开始收集自己所有的数字轨迹,从网站到聊天记录到照片到gps数据,到5月份的时候已有7gb数据。他准备把积累了3个月的隐私数据卖掉,而且已经成功炒到1100美元。这足以证明,对个人而言,数据是一种重要的利益,具有很大的价值。其次,从企业维度看,随着数据的价值不断凸显,市场竞争已然从技术竞争转向数据竞争。有的学者甚至主张,企业数据保护走向财产权化新机制已经成为未来的一大趋势。再次,从社会维度看,数据安全关涉到社会的稳定,大规模数据泄露事件的发生必然会带来社会恐慌,威胁社会安全。最后,从国家维度看,数据关涉到一国的主权,数据的跨境流动与国家安全亦存在着重要的联系。2016年的欧盟通用数据保护条例(generaldataprotectionregulation,以下简称gdpr)在第五章规定了个人数据向第三国或者国际组织的传输,正因为数据关涉到国家利益、国家安全,gdpr在数据的跨境流通方面设定了严格的限制条件。

值得注意的是,数据的利益交织性使得数据的产权界定成为一大难题。近年来,我国发生多起数据权属纠纷案,譬如“丰鸟数据之争”、“华为与腾讯用户数据之争”等。有利益即有争夺,有鉴于此,法律应当及时回应实践中的数据产权界定问题。从私法意义上而言,数据的权属配置主要与个人、企业直接关联,而社会及国家之数据利益保护更多地是一个公法层面的问题。本文主要从私法角度探寻数据之权属配置,但是社会公共利益及国家利益仍可构成限制私法上之数据权利的理由。

(二)从“利益”到“权利”:数据利益的权利化

耶林认为,权利是一种“法律保护的利益”。但是,并非所有的利益都能上升为权利,通过立法程序将利益上升为权利必须经过正当性的评价。权利的生成程序需要“让权利人作为公民参与权利的创设”,“无论是利益还是意志,都应是权利人自身评价的结果。”当今社会,绝大多数成员对数据权利具有正当性的诉求,而民总第127条规定的数据保护正是回应了实践的需要。

有的学者将民事利益划分为以下三个部分:①用民事权利保护的民事利益;②法益保护的民事利益;③不受民事权利和利益保护的民事利益。而民总规定对数据进行保护,但未明确究竟是将其作为民事权利保护抑或是作为法益保护。

对此,究竟应如何来进行认定主要有以下三个标准:

其一,数据利益是否具有独立性。通过对数据权利化困境的纾解,数据利益具有独立性。其与个人信息权利所保护的个人信息利益存在区别,数据权利保护的利益涉及的是数据信息,即互联网、大数据背景下的信息。数据利益亦与隐私利益存在区别,数据利益不强调信息的私密性,而隐私利益往往与个人最不愿意公开的私密信息相关。

其二,权利保护模式是否具有优越性。倘若将数据利益仅作为法益保护而不将其上升至权利的地位,那么无法实现对民事主体的周延保护。譬如,根据《中华人民共和国民法典》合同编(以下简称合同编)第497条之规定,格式条款提供方所提供的“排除对方主要权利”的格式条款无效。倘若不赋予数据利益以权利地位,则无法基于第497条之规定对用户服务协议中的格式条款进行有力的规制,所以数据利益的权利化有利于更好地保护网络环境中的弱势方。

其三,在比较法上是否存在权利保护或法益保护的立法例。域外对数据的保护主要采用数据权利保护的模式。譬如,意大利个人数据保护法在第13条即规定了数据主体的权利;丹麦2000年公布的个人数据处理法在第三章规定了数据主体的权利。欧美国家关于个人数据保护的立法比我国开始得更早,它们已经进入了法律的执行阶段,而我国关于数据权利保护的立法尚且停留在制定阶段。域外权利的保护模式能够为我国提供有利的借鉴。综合以上三个标准,“数据”宜从利益走向权利,实现数据利益的权利化。

(三)权利保护之路径探寻:宜采修正的“数据权”保护模式

如前文所述,数据保护宜采权利保护模式。民总第127条规定了数据的法律保护,但是对该条中“数据”的理解,虽有不少学者认同权利保护模式,但是具体的设权方式学界存在不同观点。大体而言,主要有以下几种学说:①“绝对权说”。“绝对权说”是从最狭义上理解“数据”的内涵,其基于数据与信息可分(即“可分说”)立场,主张对符号层面上的数据设定绝对权。②“数据权说”。“数据权说”认为,数据权包括个人数据权和数据财产权。个人数据权是一种人格权,具体包括数据查询、保密、更正、删除等权利;数据财产权是新型的财产权形态,权利人有权占有、使用、收益、处分自己的数据财产。③“知识产权说”。中华人民共和国民法总则(一审稿草案)即采取“知识产权说”,并把“数据信息”列为知识产权的客体类型之一。④“权利(力)体系说”。“权利(力)体系说”认为,数据权不是一个单独的权利或权力,而是一个多维的权利、权力体系,是由数据主权、数据管理权、数据公民权、数据社会权、数据人格权、数据财产权、被遗忘权等构成的复合型权利(力)体系。

以上观点均存在一定的缺陷。首先“,绝对权说”是基于“可分说”的产物,它人为地割裂了数据与信息之间的内在联系。如前文所述,脱离内容层面的信息单独谈最狭义上的数据毫无意义。其次,“数据权说”将数据权又细分为个人数据权和数据财产权,而数据财产权的“占有、使用、收益、处分”权能与个人数据权上的数据查询、保密、更正、删除等权利之间存在内涵上的交叉,二者之间边界不明晰。此外,数据财产权之权利主体亦不明晰。再次,知识产权的客体是智力成果,它凝结了人的智慧,而数据未必是智力活动的产物,不能将其作为知识产权的客体。因此,“知识产权说”亦不足取,这也是《民总》不再将数据信息作为知识产权客体之一并对其进行单独规定的重要缘由。最后,“权利(力)体系说”看到了数据利益不仅关乎公民个人,亦关乎公共利益乃至国家主权。但因为“权利(力)体系说”所涵盖的数据权利主体过于多元,且数据权利(力)体系下的各项权利之间缺乏逻辑联系,不利于从私法意义上对数据权进行具体建构。笔者大体上赞同“数据权说”的观点,即“数据权”不仅仅包含个人数据权,亦包括数据财产权。在此基础上,需要对“数据权说”进行一定的修正。一方面,应明确个人数据权的具体内涵;另一方面,应明晰数据财产权的权利主体为企业。因此,本文基于修正的“数据权说”的立场,试图从私法意义上对数据进行赋权并限权。

(四)“数据权”的具体设计及私法保护

在明晰权利保护路径系更优选择的基础上,需要更进一步地考量“数据权”的具体设计及私法保护问题。

1.“数据权”的具体设计

在“数据权”的具体设计方面,主要涉及权利主体、权利客体、权利内容、权利属性四大问题。

(1)权利主体

数据权的权利主体直接关涉到数据的法律归属问题,而关于数据的法律归属问题,目前尚存争论。在“华为与腾讯用户数据之争”中,华为的荣耀magic手机能够通过人工智能技术收集用户的微信聊天数据,并通过对用户聊天数据的分析进行智能化推荐,人机交互能力显著增强。腾讯主张华为的数据抓取行为构成侵权。其主要理据在于:基于微信服务协议及用户的同意,用户所产生的数据的使用权归属于腾讯。而华为则主张,所有数据均归属于用户,且华为亦得到了用户数据处理的同意和许可。在这场争议中,数据的法律归属问题成为焦点。

笔者认为,“数据权”可以划分为个人数据权以及数据财产权。个人数据之利益归属于个人,个人数据权的权利主体是自然人。而大数据之利益归属于企业,数据财产权的权利主体是企业。首先,个人数据系基于自然人的特定行为或活动而产生,个人数据主要反映的是自然人的信息。个人数据与自然人之间的联系最为紧密,因此自然人应当享有个人数据权。其次,企业通过契约关系(例如,用户协议、隐私政策等)获得对用户数据的收集和使用权限,企业通过合法途径所获得的数据集合是企业自身赖以生存和发展的资源。在收集数据的过程中,企业亦为之付出了大量的人力物力财力。有鉴于此,大数据的权利主体宜配置给企业。一方面,这是对企业收集数据所付出的劳力之认可;另一方面,将大数据之利益配置给企业有利于激发企业的数据创造活力,发掘大数据的真正价值。企业所收集到的数据是企业的信息资源,企业亦可以通过商业秘密等对其进行保护。

值得注意的是,企业在数据利益中能够分得一杯羹的前提是企业通过合法渠道进行数据收集,从而使得个人数据汇集转化而成大数据。在此,数据收集手段的合法与否是关键,而合法与否之判断则应重点考察契约关系的达成是否符合“知情-同意”原则的要求。在“华为与腾讯用户数据之争”中,用户数据从根本意义上而言归属于用户个人。用户在使用微信app之前,与微信签订有服务协议,用户将数据使用权部分让渡给腾讯公司。而华为虽声称其亦获得了用户的授权同意,但是华为的“一键式授权”无法让用户知悉自己的数据如何被使用。在这场争议中,用户是个人数据权主体,腾讯能否基于契约获得用户的数据使用权关键在于其拟定的格式条款是否正当,华为能否抓取用户的微信聊天记录关键在于华为是否在保障用户知情权的基础上与用户建立起了契约关系。

此外,政府不宜作为数据权的主体。不可否认,政府最有能力收集公民数据信息,但其不宜成为私法上的数据权主体。政府拥有“数据权力”,它可以基于公共利益目的运用公权力收集个人数据。孟德斯鸠曾言:“自古以来的经验表明,所有拥有权力的人,都倾向于滥用权力,而且不用到极限绝不罢休。”倘若对政府再赋以数据权这一私权利,则不利于公权力与私权利之间的平衡。在数据权利的私法保护中,公权力的介入不应当是通过对政府赋权而介入,而是通过对自然人限权而介入。

(2)权利客体

数据权的客体是数据信息。首先,按照文义解释,民总第127条虽然规定的是对“数据”进行法律保护,但这里的“数据”不宜从最狭义上进行理解。按照人们对“数据”的通常理解,数据总是与特定的信息内容相联系。因此,将“数据”解释为“数据信息”不会超出这一词语可能的文义。其次,按照立法解释,民法总则(草案)征求意见稿(2016年5月20日修改稿)在第103条采用的即是“数据信息”这一用语。由是观之,立法者亦认为不能割裂“数据”与信息二者之间的关系。最后,基于“不可分说”的立场,比特流只有搭载了信息才会有一定的价值,单独针对最狭义上的数据(即比特流)进行赋权毫无意义。诚如有的学者所言,脱离信息的数据并非财产权的客体,只有搭载了有意义的内容的数据才能在权利领域中寻得自己相应的定位。因此,数据权的客体是数据信息。

(3)权利内容

首先,就个人数据权而言,个人数据权的内涵十分丰富,并且随着时代的发展,它还会呈现出更加丰富的内涵。从域外相关立法来看,gdpr对数据权利规定得较为详尽,我国未来对个人数据权的具体建构上宜借鉴gdpr之规定并进行本土化的制度设计。目前,个人数据权至少包含以下几项内容:a.知情、同意权。即主体有权知晓数据控制人的身份、拟收集的数据类型、数据处理的目的、数据处理的依据、数据处理的方式、数据处理的规则等等。用户在知情的基础上,有权选择同意或者拒绝数据控制者的数据收集请求。gdpr第13条规定了控制者在进行数据收集时,需要提供控制者的身份、联系方式、数据处理目的及法律基础等信息,其对用户的知情权予以充分的保障。此外,gdpr第7条就同意的条件进行了更加明确的规定。目前,我国由于用户对相关法律知识的欠缺、平台服务条款冗长模糊等因素,用户的知情、同意权往往难以得到有效的保障。有鉴于此,我国未来应加强对平台服务条款的监管,通过对平台私立规则的重点监管进而保障用户的知情、同意权。b.专属访问权。即主体对数据的专属访问权,在无正当理由的情形下,他人不能对个人数据进行访问,数据控制者亦不能未经许可随意授权给他人访问。gdpr第15条规定了数据访问权,在个人数据被处理的情形下,数据主体享有知悉权并有权在特定情形下访问个人数据。c.数据可携权。即主体在技术容许的情况下,有权要求控制者将其个人数据直接传输给另一控制者。gdpr第20条规定了数据可移植性权利,数据可携权增强了个人对数据的控制,同时亦有利于数据的流通。目前,在我国的实践中虽然能够觅得数据可携的影子(譬如qq音乐已开通“导入外部歌单”功能),但是立法层面仍未将这种正当性诉求上升至数据可携权的高度。d.利用、收益权。基于数据及数据权利的财产属性,数据权主体可以以合法方式对数据进行利用和收益。譬如,个人可以通过与平台签订服务条款的方式让渡自己的部分数据,进而能够换取相应的服务,取得服务之对价。e.更正权。当个人数据发生错误或者不完整时,主体有权要求数据控制者进行更正。gdpr在第16条规定了主体对个人数据的纠正权,且是“无不当延误地纠正”,未来我国可以考虑规定更正的具体时限进而督促数据控制者及时地更正有误数据。f.删除权。即主体对一些不利的或无意义的个人数据,有权要求数据控制者予以断链或删除。gdpr第17条规定了主体的删除权,且针对不必要收集的数据、撤回同意后所收集的数据、被非法处理的数据等,控制者有义务将其删除。

其次,就数据财产权而言,企业数据财产权则更多地类似于一种绝对权,企业有权支配大数据之利益。有学者认为,企业数据财产权具体包括数据资产权和数据经营权两种形态。一方面,企业有权占有、使用自身的数据资产;另一方面,企业又可以通过所收集到的数据开展一定的经营业务,享有一定的收益、处分权。但是,企业的数据财产权与严格意义上的所有权存在区别,因为企业并不能随心所欲地占有、使用、收益、处分其所收集的数据,企业数据财产权需要受到个人数据权之限制。企业享有数据资产权的前提是企业的数据收集行为未侵害个人的知情、同意权,企业虽享有数据经营权,但企业的数据经营行为亦不能够侵害个人的专属访问权、更正权、删除权等。

(4)权利属性

数据权具有双重属性,即人身属性和财产属性。首先,就个人数据权而言,其具有强人身属性弱财产属性,数据能够反映人的活动轨迹、身体健康等诸多信息,并且在算法的帮助下,数据能够完整地描摹“用户画像”。诚如有的学者所言,在网络空间,每个人都是“数字化生存”,每个人都拥有“数字化人格”。而且这种“数字化人格”极易因为政府监听,网络公司的管理漏洞,市场营销等而曝光。因此,强调个人数据权的身份属性有利于更好地维护人的人格尊严,尤其是在互联网领域人的人格尊严。其次,就企业数据财产权而言,其具有强财产属性弱人格属性,数据的可转让性、可交易性彰显了数据权的财产属性。我国目前已建立多家大数据交易所,并且各地方还确立了大数据交易的具体规则,这足以证明数据具有财产价值,数据权具有财产属性。有观点认为数据具有非财产性,这种观点实际上仍然是建立在将数据与信息二分的基础上的。随着比特流搭载信息的数据交易市场日益繁荣,否定数据及数据权利的财产属性的观点并不足取。

2.“数据权”的私法保护

在“数据权”的私法保护方面,主要涉及合同法保护和侵权法保护两个方面的内容。

(1)侵权法保护

首先,从侵权法上来看,侵权法兼保护数据之人身性及财产性,行为是否构成对数据权的侵害要从侵权的四个构成要件进行判断。其一,需要有不法行为的存在。譬如:网络平台过度收集用户信息或将用户信息泄露给第三方,这都属于不法行为。其二,要有损害后果存在。在损害后果方面,侵害个人数据导致的严重精神损害不容忽视。其三,不法行为和损害后果二者之间存在因果关系,且这种因果关系要具有“相当性”。其四,侵权人主观上具有过错。需要注意的是,个人数据的泄露有的时候是基于系统技术问题所引发的数据泄露,即系统被外部攻击所造成的数据泄露;有的时候是基于人为的泄露,即内部人员的泄露;有的时候前两种情形还会产生互动,内外结合。在这不同的情形下,因为侵权人在主观过错上存在差异,所以责任承担上亦应有所不同。

其次,针对涉及隐私的敏感数据,无论是通过数据权路径抑或是隐私权路径,侵权法都都宜对其设定更高的保护标准并施以更为严苛的民事责任。

值得注意的是,目前司法实践中有关数据的纠纷主要是通过反不正当竞争路径进行解决,法院更多的是从维护市场竞争秩序角度对此类案件进行考量。譬如,在“腾讯公司与北京微播视界公司、北京拍拍看看公司不正当竞争纠纷案”中,法院重点判断平台收集、利用数据的行为是否具有正当性。究其原因,可能是因为目前数据的产权归属尚无定论。但是,在明晰了数据利益的法律归属并引入了“数据权”这一新型权利的前提下,通过侵权法路径解决有关数据纠纷应当成为未来司法实践的常态。

(2)合同法保护

从合同法来看,合同法主要保护数据之财产性。合同法调整财产的动态流转关系,通过契约约束,一方面有利于促进数据的合法流动,另一方面有利于保障权利主体的数据权利。数据权的合同法保护主要在于对格式条款的法律规制。以作为数据控制者之一的网络平台为例,在用户使用各类app之前,网络服务提供者往往要求用户点击用户服务协议,其中往往涉及数据处理、隐私政策以及大量的关于网络服务提供者的免责条款。一方面,用户相较于平台,明显居于弱势地位,无法与网络服务提供者进行磋商;另一方面,用户要想享受app的服务,又必须同意网络服务提供者拟定的网络服务协议。在明晰了数据权的权利主体及权利内容的前提下,基于合同编第497条之规定,如果网络服务提供者在服务协议中排除个人数据权的,那么该条款的法律后果即为无效。

三、限权:“数据权”行使的法律边界

在“数据权”得以证成的前提下,需要进一步考量权利行使之法律边界。任何权利之行使都不是漫无边际的,“数据权”的行使亦存在法律边界。

(一)对“数据权”之行使进行适当限制的缘由

对“数据权”之行使进行适当限制主要基于以下缘由:第一、公共利益的需要。当数据权利与公共利益发生冲突时,基于公共利益高于个人利益的理念,需要对数据权之行使进行适当限制。第二、促进数据流通以及促进互联网发展的需要。数据只有流动才能真正实现大数据,真正挖掘数据的潜在价值。对自然人赋予数据权不在于让个人控制数据,而在于促进数据的合规流动。第三、政府管理的需要。基于公共管理的目的,政府的“数据权力”可对个人的“数据权利”进行适当限制。第四、维护国家安全、国家主权的需要。数据与一国的国家安全、国家安全相关联,因此需要对数据权之行使进行适当限制。

(二)限制“数据权”之行使的具体路径

限制“数据权”之行使的具体路径较为多元,大体而言,笔者认为,可以通过确立“合理使用”规则、引入利益衡平规则、司法的个案衡量路径对其进行“限权”。

1.确立“合理使用”规则

首先,在个人数据权的限制方面,他人若对个人数据进行“合理使用”则不构成对个人数据权的侵犯。gdpr第23条对个人数据的合理使用有详尽的规定,譬如,在打击、预防刑事犯罪或对民事诉讼主张强制执行等情形下,个人数据权即受到一定的限制。我国的规范第5.6条亦规定在特殊情形下,无需征得主体授权同意即可对个人信息进行收集、使用。譬如,在与个人信息控制者履行法律义务相关时,或者与合法新闻报道所必须时,抑或者涉及国家安全、公共安全时,均适用“合理使用”规则。无论是gdpr抑或是我国的规范,均规定了数据的“合理使用”规则。“合理使用”规则有助于廓清数据权的法律边界,缓和私权利与公权力以及公共利益之间的冲突。在“章彦明与丁君阳隐私权、名誉权纠纷案”中,法院亦是注意到了这一点。法院在裁判说理中明确表明:“现代社会中,个人与社会始终保持着一定的联系,不可能完全割裂个人的社会属性,而所谓的个人信息、私事或领域也就会不可避免地有一部分关涉他人利益或公共利益。当个人隐私与公序良俗、社会公共利益甚至法律规定产生冲突时,就很可能不再属于隐私权的保护范围或其权利受到一定限制。”

值得注意的是,虽然个人数据权需受“合理使用”规则的限制,但是这种限制本身亦非漫无边际的。诚如有的学者所言,对个人数据权益之限制需要符合比例原则。限制措施必须基于正当目的,限制手段必须对个人人格损害最小,目的与手段二者必须相当。

其次,在数据财产权的限制方面,企业亦需要受“合理使用”规则之限制。一方面,企业对数据的利用需要恪守契约之约定;另一方面,企业对数据的分析、利用及再加工需要采取一定的手段将个人数据去人格化、去身份化、匿名化。此外,企业数据财产权亦需要受个人数据权之限制。《中华人民共和国企业破产法》(以下简称破产法)第38条规定了破产取回权。如前所述,个人数据权的权利主体属于自然人,因此企业无论系基于契约关系抑或是其他路径收集到的个人数据,在债务人破产之际,权利人基于破产法第38条规定的破产取回权及个人数据权项下的删除权,有权要求债务人企业将数据归还。

最后,“合理使用”规则与后文的利益衡平规则、司法个案衡量之间并非毫无联系,三者之间存在一定的交叉,个案中可能同时运用这三个规则。譬如,在涉及国家安全、公共安全时,根据规范第5.6条之规定,该种情形下的数据收集和使用无需征得主体之同意,其属于“合理使用”的范畴。同时,基于公共利益、国家利益高于个人利益之理念以及实现个案正义之要求,运用利益衡平规则和司法个案衡量的结果与运用“合理使用”规则的结果是一致的。

2.引入利益衡平规则

拉伦茨认为,“权利也好,原则也罢,假使其界限不能一次确定,而毋宁多少是‘开放的’、具‘流动性的’,其彼此就特别容易发生冲突,因其效力范围无法自始确定。”对此,拉伦茨借“法益衡量”来解决原则冲突及规范冲突的问题。此外,我国学者梁上上先生对日本学者加藤一郎的利益衡量理论进行了修正和发展,其提出利益的四个层次:当事人的具体利益、群体利益、制度利益和社会公共利益。经由梁上上先生发展的利益衡量理论使得利益层次更加细化,利益衡量更具可操作性且能够在一定程度上限制法官的司法恣意。利益衡平规则的本质即“法益衡量”,当数据权与其他权利或者法益发生冲突时,需要对其进行利益衡平。譬如,当数据权与新闻报道真实、自由之间发生冲突时,需要结合具体情形对二者之间的利益进行衡平从而做出判断。在“新京报社与邵一鸣名誉权纠纷案”中,该案鲜活地展现了数据权、名誉权与新闻报道真实、自由三者之间的紧张关系。该案的基本案情为:邵一鸣系中疾控中心艾滋病首席专家,系性艾中心的研究员。其所在单位性艾中心于2013年10月19日发布的通报中,认定了邵一鸣为通讯作者的论文在使用全国艾滋病防治数据库数据时,未征得数据库管理科室的同意,擅自使用数据库数据进行研究和发表论文,未对形成相关数据做了大量工作科研人员的贡献予以体现,也未按照中心的有关规定审批发表论文。新京报社于2013年10月25日发表的新闻报道使用的标题为《中疾控首席专家邵一鸣被指盗用数据》,并在报道中数次提及邵一鸣“擅自使用他人科研数据”“盗用科研数据”。但根据通报的内容,邵一鸣发表的论文使用了全国艾滋病防治数据库的数据,而不是非法使用他人的文字和资料。杂志版论文较网络版论文增加19名作者的原因亦在通报中予以体现,意在体现中心相关科室科研人员对该工作的创造性劳动,而非邵一鸣实施了盗用的行为。邵一鸣以新京报社侵犯其名誉权为由向法院提起诉讼,法院最终认为,新京报社的涉案新闻报道存在部分严重失实,使公众对邵一鸣产生一定误解,造成邵一鸣社会评价的降低,其行为构成侵犯名誉权。笔者认为,在该案中邵一鸣未征得数据库管理科室的同意并擅自使用数据库数据,进行研究和发表论文的行为已然侵犯数据权,但是其积极采取补救措施,增加了有关科研人员作为论文作者,可责性程度降低。故此,邵一鸣的行为不符合“盗用”之标准,新京报社的新闻报道未能客观、真实、准确地反映邵一鸣之行为,报社行为构成名誉权侵权。

个人数据权虽然属于私权,权利主体属于自然人,但是数据亦关乎着公共利益。因此,有学者提出,对个人信息的保护应从个人控制向社会控制转型。知情同意作为个人信息处理之必要条件将使社会价值严重失衡,倘若企业每一次的数据收集行为均需征得主体的同意将会给企业带来不合理之负担,且在某些特定情形下(发生灾害或科学研究等)仍需征得主体同意则成本过高。本文认为,数据权的本质仍属于私权,不宜混淆“数据权利”与“数据权力”,过分夸大数据权利的公共属性容易导致公权力对私权利侵犯之危险。知情同意应当作为数据处理之常态,仅在特定情形下经由利益衡平才可突破知情同意规则之限制,这是数据利益关涉人格尊严使然。仅当个人数据权之行使与公共利益的维护发生冲突时,基于公共利益优于个人利益的理念,此时数据权之行使应受到限制,但这种限制应当符合“最小侵害原则”及“比例原则”。

3.司法的个案衡量

立法者无法预见数据使用的不同场景,对个人数据的利用应避免脱离场景进行抽象预判,数据使用之合理与否要结合个案的具体情形进行考量。结合个案的不同场景,法官对数据权行使的法律边界可以进行自由裁量,但须进行充分的说理和论证,从而实现“场景性公正”。

大数据时代信息收集者的核心利益就在于发掘信息的商业价值,而匿名化则是信息收集者常用的手段之一。在匿名化这一场景中,倘若案件涉及的数据属于匿名化数据,基于数据匿名这一特定场景,数据与个人之间的关系因为匿名而被割断,个人就不再对匿名化数据享有个人数据权。譬如,在“朱烨诉百度网讯公司隐私权纠纷案”中,法院认为,百度网讯公司收集利用的是匿名化的数据信息,因此并未侵害朱烨的隐私权。值得注意的是,匿名的本质不在于匿去名称或姓名,而在于匿去具有可识别性的特质(独特性)。匿名是相对的,诚如有的学者所言,匿名在小数据时代尚有可行性,但在大数据时代数据内部的交叉检验将使数据匿名化技术失灵。尽管如此,我们不可否认,相对性的数据匿名处理亦能够对人的人格尊严起到一定的隔离和保护作用。

再如,在“安徽美景信息科技有限公司与淘宝(中国)软件有限公司(以下简称淘宝公司)不正当竞争纠纷案”中,亦关涉到匿名化数据的权益归属问题。在该案中,淘宝公司开发和运营了一款“生意参谋”数据产品,该案的争议焦点之一即是“淘宝公司对于‘生意参谋’数据产品是否享有法定权益”。对此,法院认为:“涉案‘生意参谋’数据产品所使用的网络用户信息经过匿名化脱敏处理后已无法识别特定个人且不能复原,公开‘生意参谋’数据产品数据内容,对网络用户信息提供者不会产生不利影响。且淘宝公司的淘宝隐私权政策已宣布‘经去标识化处理的个人信息,且确保数据接收方无法复原并重新识别个人信息主体的,不属于个人信息的对外共享、转让及公开披露行为,对此类数据的保存及处理将无需另行向用户通知并征得用户的同意'。因而,淘宝公司公开使用经匿名化脱敏处理后的数据内容属于上述法律规定的除外情形,即无需另行征得网络用户的明示同意。”笔者赞同法院的这一观点,主要理由有三:其一,用户点击“同意”淘宝的隐私政策即表明用户已经就该类去标识化的个人信息向淘宝公司进行授权,且该项隐私政策条款并不存在合同法上的无效事由,当属有效。其二,去标识化、匿名化的数据附着了淘宝公司智力劳动成果投入,它经过深度加工、开发与系统整合,淘宝公司控制、管理、使用着这些匿名化数据,用户实际上不再对这些匿名化的数据享有个人数据权。其三,也是最为关键的一点是,这些数据已经去身份化、去标识化、匿名化,它与用户的原始数据截然不同且无对应关系。故此,淘宝公司无需另行征得网络用户的明示同意。

此外,在增进消费者福利这一场景化利用中,需要关注数据利用的正面及负面效果。一方面,企业通过数据收集能够方便其开展针对性分析及个性化营销,这在一定程度上具有正面效果,有利于为消费者“量身定制”最优服务,增进消费福利;但另一方面,这也为“歧视性定价”“诱导性营销”带来便利,其负面效果亦不容忽视。因此,司法需要结合个案之具体场景进行个案衡量,不仅应考虑数据利用之正面效果,亦应考虑是否产生了负面效果。譬如,在“李骏杰等破坏计算机信息系统案”中,数据的违规利用即对消费者产生重大负面影响。该案的基本案情为:2011年5月至2012年12月期间,李某单独或伙同张学林等人通过qq聊天工具联系需要修改中差评的淘宝卖家,并从被告人黄某等人处购买需要修改的淘宝买家个人信息,冒用淘宝买家身份骗取淘宝账号密码重置后,非法登录淘宝评价系统从而删除、修改淘宝买家的中差评347个,从中获利9万余元。最终,法院认定李某构成破坏计算机信息系统罪,黄某构成非法获取公民个人信息罪。笔者认为,李某等的行为侵犯了个人的数据权益,从更深层次而言,李某等的行为扰乱了整个互联网环境下的购物秩序。在该案中,淘宝卖家之行为所带来的负面影响亦不容忽视。淘宝卖家通过李某等人删改中差评,营造了一种该商品“完美无缺”的假象,诱导消费者进行消费,其行为违背了商业道德,同时也侵犯了给予其中差评的买家之数据利益,损害了消费者的权益。

总而言之,数据权之行使与保护需要考量不同场景的差异性,需注意不同场景利益选择之妥适性,依托司法个案衡量之手段,才能真正实现“场景性公正”。

结语

康德曾言:“人依其本质即为目的本身,而不能仅仅作为手段来使用。”他一语道破人是理性的动物,人本身具有一种价值,人具有其“尊严”。在大数据时代,赋予自然人以个人数据权,这从根本意义上体现了对人以及人格尊严的尊重,彰显了自由、平等的时代价值。数据权利化的目的并非阻却数据流动进而形成一座座的数据孤岛,其重要目的是要在科技高度发达的当下,鼓励企业通过合法正当途径收集大数据,促进数据的合法合规化流动,进而创造大数据的真正价值。因此,宜赋予企业对大数据之数据财产权。但数据权的行使并非漫无边际,它亦需要受到一定的限制。通过对“数据利益”的赋权与限权,有利于调和数据经济发展与数据安全、国家安全之间的紧张关系。我国目前尚未制定数据保护法,而欧美国家对于个人数据保护的立法已经十分成熟。因此,我国一方面宜借鉴欧美国家关于个人数据保护立法的先进经验;另一方面,需要结合中国的实际国情,以“数据权”为核心进行本土化的制度设计。

李立新 上海大学法学院副教授;

刘晨 上海大学民商法研究中心实习研究员。



注:本文转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如有侵权行为,请联系我们,我们会及时删除。

分享