数字时代的私法与公法
【专题导引】数字时代给现代性法律带来了全方位的冲击。中共中央、国务院在《关于构建数据基础制度更好发挥数据要素作用的意见》中指出,数据要素“深刻改变着生产方式、生活方式和社会治理方式”。从私法的视角来看,数字经济重新定义了财产的概念,乃至被称为“所有权的终结”。数据权利关注的重点也从完全的控制权转移到利用之上。在数据利用中,数据权益常常与人格权益相互交融,并产生了保护的困难。从公法的视角来看,数字技术与公权力结合可能形成“数字利维坦”,对公民基本权利保护构成新的威胁。信息自由如何得以实现,公民获取信息的权利应从何处寻求规范基础;如何限制公共数据归集中“无法逃避的压制性权力”,在加强数据互联互通的同时,如何实现个人信息保护,这些问题都需要在理论上予以回应。此外,数字时代的许多法律问题需要私法与公法相结合方可得到妥善解决,如自动驾驶的法律规制问题。针对这些问题,本组专题4篇文章分别从不同角度进行了探讨。
王利明教授与丁晓东教授合作的《数字时代民法的发展与完善》一文主张引入权利束理论,确认数据所涉及的多元利益,区分数据权益与数据产品;并提出数据更注重利用而非排他控制,
合同法应注重对许可协议、用户协议进行规范,实现从意思自治向合同正义的转向;同时,在数据权益保护中,应“从注重保护财产权益转向注重维护数字人格权益”;最后,面对数据侵权、“大规模微型侵害”、网络平台的兴起等新问题,
侵权责任法应向事前风险预防转向,实现赔偿救济功能的多样化。
曹建峰研究员的《论自动驾驶汽车的算法安全规制》一文提出要构建一个统一的自动驾驶算法安全框架,通过建立新的自动驾驶系统安全标准和认证机制、自动驾驶汽车网络安全认证机制以及自动驾驶算法的伦理风险管理机制,在安全与创新之间取得平衡,并保持技术中立性,“确保在发展应用自动驾驶汽车过程中把安全摆在最优先的位置”。
敖海静老师的《信息自由的
宪法基础》一文提出,“信息自由的核心要义是指公民享有在不受公权力干预的情况下,自主决定通过何种方式,借助何种工具,获取何种信息的权利”。文章认为,可将信息自由纳入《
宪法》第
35条表达自由条款的规范领域之中;信息自由的实现与限制受《
宪法》第
51条约束;为保障国家荣誉和安全、其他公民的自由和权利,以及善良风俗和公共安全,公权力可以对公民的信息自由作出限制,但该限制必须合乎比例原则。
郑晓军博士的《反思公共数据归集》一文主张无论是从数据聚合价值最大化的角度,还是从行政一体的角度,政府归集个人数据都缺乏正当性;以效率为名的公共数据归集是数据处理的功能异化;面对个体难以有效防御数据监视的系统性风险,应将
宪法与法律中的组织性条款作为政府处理数据的界限。
面对区块链、元宇宙、ChatGPT等新技术带来的层出不穷的问题,具有“横断性”特征的数字法学更需要多学科的复合视角。希望本组专题对拓展数字法学的研究视角有所裨益。(韩旭至)
数字时代民法的发展与完善
目次
一、数据确权:数据民法保护的基础
二、数字合同:从控制权转移到利用
三、人格权保护:从注重财产与交易到注重数字人格
四、
侵权责任法的发展:从有形财产到数字权益保护
五、结语:制定专门的数据保护立法
内容摘要:数字时代,民法制度需要转型升级。数据权益是一种民事权益,但也具有特殊性,数据权益是一种综合性权益,应当引入权利束的理论加以分析。此外,还应当区分数据权益与数据产品。数据与有形财产不同,数据不具有排他性,应更注重利用。数字时代的
合同法应注重许可协议,此外,用户协议常常与公民的切身利益相关,而且包含了很多不合理、不平等的条款,应注重对格式条款进行规范,从注重意思自治转向合同正义。数字时代人格权的客体、行使和保护方式也发生了重大变化,我国
民法典将人格权独立成编,是数字化背景下人格权保护机制的重大完善。应积极协调财产权益与人格权益,从注重保护财产权益转向注重维护数字人格权益。数字时代的侵权法面临数据侵权、大规模微型侵权等挑战,应积极利用
侵权责任法保护数据权益,从注重事后过错认定转变为注重事前风险预防,同时还要注重赔偿救济功能的多样化。
关键词:数字时代;数据;财产权;合同;人格权;
侵权责任法
我们已经进入数字时代,数字时代呈现出信息爆炸、万物互联和人际互通等特征,数字技术和平台应用的智能化发展改变了社会关系,同时也给民法制度带来了新挑战。2022年12月2日,中共中央、国务院在《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《意见》)中指出,要“以维护国家数据安全、保护个人信息和商业秘密为前提,以促进数据合规高效流通使用、赋能实体经济为主线,以数据产权、流通交易、收益分配、安全治理为重点,深入参与国际高标准数字规则制定,构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度”,为数字时代民法的发展与完善提出了明确的要求。应当看到,在传统民法上,财产权所采取的“物必有体”“物债二分”和“物必排他”的基本规则,在面对数据权益的保护时,已经显得捉襟见肘。
〔1〕我们需要改变研究范式,对新权益采取新模式进行思考。因此,本文拟从财产、合同、人格权、侵权责任等制度出发,对数字时代民法的发展与完善提出一点浅见。
一、数据确权:数据民法保护的基础
(一)《
民法典》宣示了数据权益作为民事权益的属性
对数据权益的保护是多个法律部门的共同任务,但民法对数据权益的确权,是所有法律对其提供保护的前提和基础,也是数据交易开展的前提和基础。公法对于数据权益的保护以对违法行为的制裁为主,这种保护方法总是以权益侵害的事后救济形态出现。但是,对于权益侵害行为的制裁要以权益的确立为前提。换言之,数据权益只有在法律体系内得到确权,对其进行保障才具有正当性。而公法不能完成对数据权益的确权,数据权益的确权是由民法完成的。
《
民法典》第
127条对数据权益的保护做了宣示性的规定,宣告了数据权益本身就是一种民事权益类型。数据权益作为民事权益体系的重要组成部分,当然受到《
民法典》关于权益保护规则的调整。《
民法典》第
127条虽然属于引致条款,为未来制定单行法保护数据提供了民事基本法层面的法律依据,但该条将数据置于“民事权利”一章中,也宣示了数据的民事权益属性。既然数据在性质上属于民事权益,那它当然应受到民法的保护。且《
民法典》第
126条规定:“民事主体享有法律规定的其他民事权利和利益。”该条在规定民事权益的范围时,采用了开放性的方式,其也可以涵盖数据的保护。因此,数据产品总体而言是一种财产,但其又具有特殊性,不宜简单地将之归于某一财产类型之中,
〔2〕这也是《
民法典》第
127条作出单独规定的重要原因。
(二)数据确权对数据权益的保护具有基础性作用
虽然《
民法典》宣示了数据权益作为民事权益的属性,但对数据权益的确认和保护仍然较为抽象、简单。根据《意见》的要求,要构建以数据产权、流通交易、收益分配、安全治理为重点的数据基础制度,其中,数据产权的确权是基础和前提。一方面,确权是权益保障的基础。
〔3〕数据权益的确权为数据权益的救济和侵权行为的惩治提供了基础。
〔4〕另一方面,确权是数据交易的前提和基础。按照法经济学的观点,产权需要获得确权之后,交易才能进行,明确的确权有利于降低交易成本、节约交易费用。例如,波斯纳就认为,“排他权的创设是资源有效率地适用的必要条件”。
〔5〕 在数据交易中,无论是转让还是担保,都必须以数据成为权益客体为前提。例如,在数据担保交易中,数据的财产权益性质使其具备了可供支配的交换价值,因而可以成为担保的客体,数据作为财产的可流通性则为担保权利的实现提供了可能,
〔6〕进而担保权人才能够优先受偿。
严格地说,“数据产权”是一个经济学的概念,如何将该概念转化为民法语言和民法规则,是我们当前应当重点研究的话题。“数据产权”概念的提出,旨在要求确认数据财产的权益,其实也是要解决数据确权的问题。
第一,应当确认数据所涉及的不同权益。因为数据权益是一种综合性权益:其可能因为具备独创性而受到知识产权法,尤其是
著作权法的保护;其可能因为以个人信息的集合形态展现,而需要受到个人信息保护规则的调整;在数据信息涉及自然人的隐私时,则需要受到隐私权规则的调整。尤其是数据权益中常常包含个人信息权益,其与个人信息具有不可分割性,
〔7〕 难以通过以所有权为基础的权利分离理论来解释,否则会割裂数据与个人信息之间的关联性。即便是企业数据,也可能构成商业秘密,受到私法规则的规范。
〔8〕数据中包含了复杂的权益类型,各种权益呈现出一种网状结构,因而有必要借鉴“权利束”理论作为数据权益的一种分析框架,即数据权益是信息之上产生的多项集合的“权利束”,无法简单地将其看作某一类单一的权利。
〔9〕
第二,必须根据不同类型的数据确认权益归属。《意见》提出:“根据数据来源和数据生成特征,分别界定数据生产、流通、使用过程中各参与方享有的合法权利。”数据分为公共数据、企业数据和个人数据,不同类型数据的权利属性不同,我们需根据数据的不同类型来确立各个权益主体的利益归属及其内涵机制。《意见》提出,要“建立公共数据、企业数据、个人数据的分类分级确权授权制度”。这就是说,数据的权利主体不同,相关主体所享有的权益也应当有所区别。对个人数据而言,如果处理者未将个人信息匿名化,则应当注重保护数据中的个人信息;对企业数据而言,需要强化对数据处理者权益的保护,如果涉及个人信息,也需要同时加强对个人信息的保护;对公共数据而言,则应当强调数据的共享与开放,推进互联互通,打破“数据孤岛”。
〔10〕
第三,必须确认数据在流通交易中的权属。就数据而言,其被利用通常不会减损其价值,反而可能因为利用而实现,甚至增加其价值。数据的价值正是体现在反复和广泛的利用上。数据利用频次越高、利用范围越广,数据资源的经济价值就发挥得越充分。在数字时代,对数据的利用、共享十分普遍,数据也主要是在利用中产生价值。数据的利用需要借助于“合同网”(contract network)运行。
〔11〕相关主体在进行数据交易、共享时,必须借助于合同法规范,如果当事人违约,还需要依据
合同法的规则认定其违约责任。因此,需要构建完善的面向数字时代的
合同法,全面保障数据的流通交易。
第四,区分数据产品与数据权益。传统民法的
物权法采取“物必有体”“物债二分”的范式,难以适用于数据保护。数据产品权益是将数据整体作为一种无形财产,如果其具有独创性,可以纳入著作权的保护范围;如果其具有商业价值,并且企业对其采取了保密措施,可以纳入商业秘密的保护范围;如果其具有新颖性、创造性和实用性,则可以纳入专利的保护范围。但如果不具备这些要件,也可以将其作为财产来加以保护。
具体而言,作为数据产品的财产具有如下三个重要特点。一是具有无形性。数据的客体具有无形性,不能用有形财产的保护规则对其进行保护。由于数据没有有形的物理形态,通常不存在排他性和恢复原状等问题,因此,传统的物权请求权、占有保护请求权等方法,难以适用于数据的保护。同时,数据可以共享,可以由多人共用,
〔12〕因此,在数据遭受侵害的情形下,也难以通过排除妨害等方式对其进行保护。二是主体具有多样性。如前所述,数据的来源具有多样性,数据财产的主体包括企业、个人等,
〔13〕由于公共数据更应当注重其开放和利用,因此公共数据不一定要明确其权利主体,应当由有关机关对其进行管理。对于涉及个人信息的数据,则应当注重对人格的保护。三是根据数据产品是否具有独创性,采取不同的保护方式。公共数据大都不具有独创性。企业数据的来源既包括企业自身产生的数据,也可能包括公共数据和个人信息,因此,企业数据的利用规则较为复杂。对于涉及个人信息且具有独创性的数据产品,则可能需要借助知识产权的保护规则予以保护。
二、数字合同:从控制权转移到利用
数据的价值与有形财产有所不同,数据不具有排他性,更注重的是利用。《意见》指出,要“完善和规范数据流通规则,构建促进使用和流通、场内场外相结合的交易制度体系,规范引导场外交易,培育壮大场内交易;有序发展数据跨境流通和交易,建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系”,为数据时代
合同法的发展提出了新要求。传统
合同法以所有权的买卖为原型,合同往往是交易双方围绕着所有权与价金交易展开的谈判。为回应数字时代的交易形式,应首先注重许可协议,许可合同可能成为数字时代交易的基础性、典型性合同。
〔14〕此外,以隐私政策为代表的用户协议开始兴起,这些用户协议常常与公民的切身利益相关,而且包含了很多不合理、不平等的条款。
合同法应注重对格式条款进行规范,从注重意思自治转向注重合同正义。
(一)数据利用:从控制权转移到利用
数据的特征区别于传统财产。有观点提出数据是一种“新石油”,这一说法不太准确,因为石油仍然是有形财产,而数据具有石油所不具有的特性。其一,数据具有非消耗性。传统民法对石油等有形财产进行排他性保护,原因之一就在于石油是一种可消耗的产品。如果不对这类财产进行一定的排他性保护,就可能导致不必要的纷争。但数据具有不可消耗性,其在反复利用中产生价值,即越利用越有价值,这种共享与共同利用的特征,使数据形成了经济学上的非竞争性的特点。其二,数据具有可再生性。数据不像土地或石油,这类财产具有一定的有限性,而数据可以被无限生产,取之不竭,用之不尽。其三,数据具有易共享性。相比传统财产,数据利用不受物理空间的阻隔和限制,可以被多方主体轻易地分享与利用。其四,数据的形成往往与多方主体相关,例如医院的病历数据库数据,它既与患者相关,也与医生、医院、医疗设备相关,其数据的生产与整理是多方主体共同作用的结果。
〔15〕
典型的数据财产交易方式已经不同于过去的实体财产交易,数据财产通常并不强调单一的控制权和所有权归属的移转。比如消费者从网上下载App,购买电子书、电影等虚拟物品时,企业所提供的协议常常不是转移这些虚拟产品的所有权,而是赋予用户在一定时期内的使用权,同时附加若干使用限制。购买使用权、许可权成了数字时代交易的主要形式。
〔16〕
许可协议的兴起与软件行业的发展密切相关。20世纪六七十年代,美国司法部对IBM等行业巨头提起反垄断诉讼,认为IBM将硬件和软件捆绑销售是一种垄断行为。为了避免法律风险,IBM等企业将硬件和软件拆分销售,并逐渐促成了软件产品与软件许可协议的发展。
〔17〕 软件许可协议具有格式条款的特征,使得软件制造商可以大规模销售其产品,而不必与每个消费者单独谈判。
〔18〕 但与一般买卖或租赁的格式条款不同,软件许可协议一般并不转让其产品的所有权,而是对软件的用途进行多项限制。
〔19〕 此外,软件许可协议也具有个性化定价的特征,针对其使用的对象是大公司、小公司、图书馆还是普通用户,软件企业收取的费用不同,对其施加的限制也不同。
许可协议具有和传统
合同法不同的特征。其一,许可协议中常常存在许可方与被许可方认知与谈判能力不等、信息不对称等问题。软件制造商或拥有者往往在许可协议中处于优势地位,其对许可协议往往较为了解,能够利用许可协议形成对自身谈判有利的条款;而被许可方由于时间、精力、专业等的限制,往往会出现不阅读或不理解的问题。
〔20〕 对于消费者而言,这种情形更为严重。相关研究表明,消费者购买相关软件时,常常误以为其购买的产品和有形财产一样,可以完全拥有、自由转让、和第三方分享,但事实并非如此。例如,苹果对于音频和视频内容的出售和出租规定,“将已购音乐的音频播放列表刻录至光盘,最多可收听7次”,“出租内容一次只能在一台设备上观看,必须在 30 天内播放,开播后必须在48小时之内播放完毕(停止、暂停或从头播放不延长该时段)”。
〔21〕 这些复杂的许可协议条款,往往超出了消费者的合理预期。
其二,许可协议对知识产权法律体系和下游交易的影响也和传统合同不同。在专利、著作权等知识产权体系中,存在权利用尽原则或首次出售原则(first sale principle),根据这一原则,当所有者出售其专利或著作权之后,购买者可以自由出售或处置该商品。例如,在书籍出售后,个人可以任意进行转让、处置甚至销毁。权利用尽原则使得潜在的购买者可以很方便地和出售者打交道,而不必担心出售者没有权利,或其购买的产品存在侵权风险等问题。
〔22〕但在许可协议下,购买者仅仅获取了软件等数字产品的有限使用权,这使得潜在的购买者需要花费较高的信息成本,弄清到底谁是产品的所有权人。
〔23〕 在没有完全弄清许可协议的情形下,购买者即使完全善意,也很可能侵犯许可方的知识产权。
〔24〕
(二)用户协议与格式条款规制
在数字时代,以互联网企业为代表的平台还普遍使用用户协议。在数据大规模自动化处理的情况下,数据处理者很难与每个人进行一对一谈判。为了降低交易费用,用户协议、隐私条款等被广泛使用。而用户在下载APP时不可能对条款提出修改和变更意见,只能概括地表示接受或不接受,但在这些格式条款中确实夹杂了很多不合理、不平等的内容。因此,
合同法在数字时代遇到的一个重要问题,就是如何强化对格式条款的规制,这一问题比以往任何时候都显得重要。
从形式上看,用户协议又可以分为拆封协议(shrinkwraps agreement)、点击协议(clickwraps agreement)、浏览协议(browsewraps agreement)、安装协议(installwraps agreement)、注册协议(registration agreement)等不同模式。
〔25〕首先出现的是上一部分提到的软件销售和许可协议背景下的拆封协议。这类合同一般不出现在软件的外部包装上,只有当顾客购买后,在安装软件的过程中才能看到其内容。而用户要顺利安装软件,就需要点击同意。
〔26〕 在拆封合同逐渐获得部分国家的认可后,网络平台开始发展出了更多的合同类型。其中,点击协议指的是,平台在用户浏览或使用前,需要点击同意平台的用户协议;
〔27〕 而浏览协议则不需要用户的点击同意,用户协议的内容一般在某个超链接的背后;
〔28〕 安装协议或注册协议则指的是,APP或网站在其用户协议中声明,只要用户安装APP或注册用户,即表明用户同意其协议内容。
用户协议与格式合同或定式合同(adhesive contract)存在某些类似问题。早在20世纪六七十年代,阿瑟·勒夫(Arthur Leff)教授就指出,格式合同“不是讨价还价或合作的过程”,其意思自治元素已经被大幅削弱,变成了一方附加给另一方的条款。他形象地将格式合同中的双方类比为苍蝇和苍蝇纸(fly and flypaper)的关系,格式合同起草者对用户的支配,类似苍蝇纸对苍蝇的捕获,用户很难反抗。
〔29〕 大卫·斯劳森(David Slawson)教授也认为,格式合同与传统合同有较大区别,法律需要对格式合同进行规制。
〔30〕
但相比商业化背景下的格式合同,数字化时代的用户协议还具有若干特殊性,使其更需要法律的规制。首先,用户协议更缺乏显著性,用户更难进行协商与谈判。在线下的购房、租赁、办理手机卡等场景中,格式合同的相对方虽然也常常不仔细看格式合同,但至少能够大致了解格式合同的内容,并且有机会与格式合同的提供者讨价还价。在数字环境下,网络用户协议则常常很不显著。例如上文提到的浏览协议、注册协议,一般用户很难注意到它们;即使是具有弹窗形式的点击协议,用户也常常无心浏览。
〔31〕至于谈判,用户则更少有机会和能力与网络企业讨价还价,用户协议大多是一种要么同意要么拒绝的二元机制,用户很少有机会能够对用户协议进行修改。
其次,用户协议中的很多权益属于微型权益,用户难以对此类权益进行有效的权衡与决策。例如对于用户在网络平台上所产生的内容(user-generated content),有的平台通过用户协议约定此类内容归平台所有,或者此类内容不得转移到第三方平台。相比用户购买的明码标价的产品或服务,此类权益的价值并不明显。个人信息的权益是另一个例子,《金融时报》曾经做过研究,指出 “即使是非常详细的个人信息,普通人的数据零售价通常也不到1美元,而关于一个人的一般信息,如年龄、性别和位置,每人仅值0.0005美元”。
〔32〕 微型权益使用户更难注意到相关条款,或者更不愿意就这类问题进行决策,因为其决策的成本大于微型权益的收益。
最后,用户协议中有的条款并非财产或交易性权益,可能涉及公民的基本权益。例如,有的条款涉及法院的管辖,有的条款涉及社交账号的封禁。此类条款虽然可以在形式上视为用户与平台之间的约定,但由于它们会对公民的基本权益造成较大影响,所以应受到法律的严格规制。例如,公民的微信账号一旦被封禁,就会对个人生活产生重大影响。法律在面对此类条款时,应进行严格审查,并为公民提供合理的救济途径。
(三)从注重意思自治到注重合同正义
传统
合同法强调意思自治,从价值形态上看,工商业社会尊重意思自治,目的在于激发主体的活力,进而创造社会财富。但是,在进入数字时代之后,许可协议、用户协议都对意思自治原则提出了挑战。如何在数字化时代重构合同机制,学界产生了不同的看法。我们认为,数字时代的
合同法应当注重合同正义,但也不应过于激进,应注重维护合理网络协议的有效性。
一方面,一部分学者主张限制甚至否定网络协议的效力。例如,玛格丽特·雷丁(Margaret Radin)教授认为,数字时代的
合同法已经“变样”(deformation),网络协议通过单方立法,形成了一系列的“不公平、欺骗性或不民主行为”,亟须国家权力的大力规制。她甚至主张,对于很多用户协议,应避免使用“合同”这一术语,因为此类用户协议已经远离了合同的基本特征。
〔33〕
另一方面,一部分学者仍然坚持认可许可与用户协议的效力,并进行辩护。这些学者认为,网络协议除了可以减少成本,提升商业效率之外,还有若干可以对其进行支持原因。其一,虽然普通用户一般并不阅读网络协议,但用户中会有一些“知情少数”,这些群体能够有效监督网络协议。
〔34〕 其二,网络协议作为网站或产品的一部分,可以形成一个声誉市场。如果企业发布不合理的网络协议,引起消费者或市场的不满,最终会倒逼企业改善其协议。
〔35〕 其三,网络协议虽然对公民权益有影响,但消费者可能愿意放弃此类权益以换取免费服务或低价服务。允许市场对网络协议进行意思自治,最终有利于消费者的利益。
〔36〕
综合双方的观点,网络协议对于意思自治的挑战毋庸置疑,应通过合同正义来改善网络用户协议。特别是当平台利用暗黑模式(dark patters)来“套路”用户,
〔37〕 或者利用算法等手段来支配消费者时,法律就应当对表面上的意思自治进行严格规制。面对数字化平台的专业与信息能力,一般网络用户很难有同等的谈判能力(bargain power)。
〔38〕 而且,即使平台对于信息的披露更为详细,给用户提供更多的交互界面,用户也未必能够阅读和理解许可协议、用户协议。此类信息披露中的信息过载(information overloaded)与决策过频问题,
〔39〕 已经为很多研究和实验所证实。但是,这些问题并不意味着应当完全抛弃网络协议。对于网络协议,应对一部分违反公民基本权利的内容进行规制。对于可以用市场化方式解决的问题,则可以参考伊恩·艾尔斯(Ian Ayres)和艾伦·施瓦茨(Alan Schwartz)两位教授提出的方案,要求企业着重披露与用户预期相悖的信息。
〔40〕 通过注重合同正义,可以避免数字时代的操控与支配,保护用户权益和促进网络协议的有效运行。
〔41〕
三、人格权保护:从注重财产与交易到注重数字人格
在数字时代,网络科技、数据科技的频繁迭代和广泛应用,不仅影响了人格权的客体,而且对人格权的行使和保护方式、人格权与财产权的交互关系产生了深刻影响。我国
民法典将人格权独立成编,在一定程度上就是要积极回应数字科技快速发展和广泛应用给人格权保护机制带来的挑战,以及强化对数字化背景下人格权的保护与人格尊严的维护。在数字时代,应积极协调财产权益与人格权益,注重从保护财产权益转向注重维护数字人格权益。
(一)数据权益:财产权与人格权的协调
在数据权益中,财产权益和个人信息权益的密切结合,之所以要用权利束来观察,就是因为在大量的数据中,数据权益和人格权益呈现了一种相互交融的状态,很难进行严格分离。
〔42〕数据既包括非个人信息,也包括个人信息,但以个人信息为主。所谓大数据,实际上几乎都是以个人信息为内容经过加工处理而形成的。因此,数据和个人信息的关系是:数据是橘子的皮,个人信息是橘子的橘肉,二者形成了载体与表达形式之间的关系。
在数据权益中,个人信息主体的人格权益始终具有优先性。
〔43〕即便个人信息主体允许数据处理者分析、加工、处理他的个人信息,也不等于信息主体完全放弃了他对个人信息的权益,同样也并不意味着信息主体对数据产品里面所包含的各类信息不再享有任何权益。相反,即便信息主体许可数据处理者处理其个人信息,形成了数据产品,此数据产品里的个人信息,以及因这些个人信息产生的各种权益,仍然应当受到保护。
因此,数据权益和个人信息的关系是,前者始终受制于后者。具体而言,二者的关系应按如下方式进行协调。首先,数据处理者对其数据权益的享有和行使,应当以尊重信息主体享有的信息权益为前提,即数据处理者的数据权益必须以合法处理个人信息为前提。其次,即使数据处理者经过信息主体的同意制成了数据产品,该数据产品也不能随意与他人共享,或允许他人处分。《
民法典》对此专门作了规定,因为再次共享实际上是一种新的利用行为,必须再次取得信息主体的同意。最后,信息主体还具有撤回权、携带权、删除权等优先性权利。按照《
个人信息保护法》第
15条的规定,信息主体享有撤回同意权,即便先前信息主体同意处理者收集其个人信息,制作数据产品,但是在同意之后,这个信息主体仍然有权撤回他的同意。法律之所以赋予信息主体这一权利,是为了充分地尊重信息主体、强化对个人信息的保护。按照《
个人信息保护法》第
45条的规定,信息主体享有信息携带权。如果符合条件,即便其个人信息被制成了数据产品,信息主体要行使信息携带权的,数据的处理者也不能拒绝。按照《
个人信息保护法》第
47条的规定,信息主体享有删除权,当处理目的已实现、无法实现或者为实现处理目的不再必要,或者个人信息处理者停止提供产品或者服务,或者保存期限已届满,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。
《意见》指出:“对承载个人信息的数据,推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据,规范对个人信息的处理活动,不得采取‘一揽子授权’、强制同意等方式过度收集个人信息,促进个人信息合理利用。”在数据处理中,要创新技术手段,推动个人信息匿名化处理,保障使用个人信息数据时的信息安全和个人隐私。目前,很多地方正在进行数据立法,需要注意处理好数据权益和个人信息权益之间的关系。在数据立法中,所谓保护数据权益,首先要确定各个信息权益主体所享有的各种个人信息权益,
〔44〕然后对数据处理者的财产性权益进行保护。
(二)
个人信息保护法不足以解决数据权益保护问题
从比较法来看,确实存在通过
个人信息保护法来对数据权益提供保护的模式。例如,1970年,美国在征信领域制定了具有个人信息保护雏形的《公平信用报告法案》,德国黑森州制定了全球第一部个人数据保护法《黑森州数据保护法》。2018年,欧盟正式实施《通用数据保护条例》(General Data Protection Regulation, GDPR),美国加州颁布了《加州消费者隐私保护法》(The California Consumer Privacy Act of 2018)。此种模式确有一定的合理性,但也存在不足之处。
