(上海对外经贸大学 法学院,上海 201620)
随着云计算、人工智能、物联网以及互联网技术的迅猛发展,记录人们的活动轨迹、消费记录等信息的数据,将成为巨大的财富资源。个人数据的利用主要包括数据的收集、处理、交易以及应用。从数据的产业链来看,数据主要对应的法律主体有两类:一是作为数据最初来源的提供者,即个人数据的特定主体;二是个人数据的控制者,即数据的利用者,包括数据收集、处理、交易应用的主体。
个人数据的保护和利用,主要围绕数据主体确定和数据客体利用的权利义务分配展开。(1)本文所引外文文献均为笔者自己翻译,下同。T. Rostow, What Happens When an Acquaintance Buys Your Data? 34 Yale J. on Reg. 2017, p.667.欧盟《通用数据保护条例》(GDPR)被认为是目前为止覆盖面最广的数据保护法规,从“个人数据”“数据主体”和“数据主体权利”等方面采取了较为严格的保护措施,但是其最终的落脚点仍是对个人数据的隐私法益进行保护。(2)B. A. Safari, Intangible Privacy Rights: How Europe’s GDPR Will Set a New Global Standard for Personal Data Protection, 47 Seton Hall L. Rev. 2017, p.847.我国《民法总则》也在第一百一十一条规定了个人信息的保护,第一百二十七条则明确了民法对于数据的保护。
然而,个人数据作为新型的权利客体,在私法保护的体系中已经出现困境。单纯的将个人数据作为物权、债权亦或是人格权的客体都无法周延保护这一新兴客体。一方面,个人数据在静态上并没有办法确定具体的归属,也无法作为物权的客体被物权法所接受认可。因此,通过以个人数据为核心构建的物权保护规则显然是徒劳的。另一方面,个人数据在交易流转过程中,需要借助合同完成。但是,若单纯通过合同违约责任的事后救济的方式亦不足以周延保护个人数据。此外,个人数据不仅具有人格属性,也带有财产属性。如何从静态和动态相融合的路径具体构建个人数据的保护模式,值得思考。围绕个人数据的静态与动态融合的私法保护模式,有必要对下列问题进行探讨:个人数据在私法上是如何定性的?个人数据和个人信息有何区别?个人数据的保护应该遵循何种范式?个人数据保护的具体路径怎么设计?厘清这些问题,非常有助于个人数据在私法保护中的融合。
个人数据作为新兴的权利客体,私法保护规则的构建也应该以人为中心,围绕人对客体的使用的权利分配予以构建。个人数据的私法保护主要表现为对人格属性和财产价值的融合保护,以寻求利益的平衡。尽管个人对数据是否具有独占的权利还存在争议,但是对个人数据的保护依然只能通过对人身权利或者财产权利的方式予以调整。
数据仅仅是信息的一种体现形式。在互联网时代下,个人数据通过某种特定的编码完成对信息的记录(比如二进制数据是用0和1两个数字来表示),而个人信息则需要特定的机器予以读取。个人数据是信息的表现形式而不涉及内容,是个人信息存储、传输和处理的形式。(3)纪海龙《数据的私法定位与保护》,《法学研究》2018年第6期,第72-91页。概言之,个人数据承载个人信息。
个人数据承载着个人信息,个人信息不仅包含一定的隐私权属性,而且还具有一定的财产价值。特定主体对于个人数据的采集和运用具有一定的自主性,未经特定主体的许可,任何主体都不可以对隐私信息取得、使用、交易。(4)谢远扬《信息论视角下个人信息的价值——兼对隐私权保护模式的检讨》,《清华法学》2015年第3期,第94-110页。尽管个人数据可以通过技术读取的方式获得个人信息,但个人数据也可以经过技术清洗、脱敏等手段,从而消除个人数据上所承载的个人隐私信息。从技术的角度看,个人数据经过匿名化处理后,将消除用户个人信息所附着的人格属性。脱敏匿名化的数据经过进一步加工之后可以生成标准的数据块。个人数据经过深度加工后,已经丧失了数据的个人属性,只保留个人数据的财产属性,无法通过技术手段再次重新识别特定的个体信息。标准的数据块将被合理使用,以发挥数据的经济价值。纵观国内外关于数据交易的标的,也都是经过数据清洗、建模和分析的数据结果,而不是底层数据。个人数据经过深度清洗后的数据块可以被第三方机构利用,从而产生数据的现实价值。标准化的数据块可以为政府、企业或者个人提供参考和支撑,以实现决策的合理化和科学化。
从技术的角度上看,个人信息和个人数据是能够有效区分的。个人信息体现出强烈的人格属性,能够识别出特定主体的身份信息和活动轨迹。而个人数据则是经过技术处理、脱敏匿名化后无法识别身份信息和活动轨迹的数据块,彻底地消除了个人信息所附着的人格属性,还原数据财产价值。经过深度清洗的数据,可以作为流通的标的。(5)王忠《大数据时代个人数据交易许可机制研究》,《理论月刊》2015年第6期,第131-135页。概言之,随着清洗技术的不断深入,数据的人格属性不断弱化,财产权价值不断凸显,数据本身的流动性也不断加强。
当个人数据经搜集、加工以及处理之后,个人数据的财产价值不断凸显。不同主体对数据利用的利益出现冲突,就需要法律的规则对其进行调整。(6)Ignacio N. Cofone,The Dynamic Effect of Information Privacy Law, 18 Minn. J. L. Sci. & Tech. 2017,p.552.个人数据的财产属性是网络技术和数据本身所具有的财产价值共同推动的成果。
互联网、物联网、云计算以及大数据技术的发展,凸显了个人数据的财产价值。互联网技术实现了人与机器的融合,特别是移动终端设备的普及,为数据的搜集记录提供了便利。物联网技术将物体编码与互联网连接,实现信息的交换,达到智能识别、定位和管理的目的。云计算的发展为采集、分析和运用大数据提供了技术支持,并将众多数据进行相应的匹配运算。大数据技术将所搜集的数据进行综合分析、处理、应用,以产生经济价值。互联网、物联网、云计算以及大数据等技术的高度发展,将特定主体的信息都以数据的形式予以记录并进行存储和分析,为数据这一客体成为一项单独的权利提供了基础。个人数据可以被海量地搜集,进行合理的交易和使用,形成数据的搜集、分析和运用的数据产业链。
个人数据财产价值得益于网络空间的发展。网络空间跨越时空的技术便利,能够更加方便地产生和存储更多的个人数据,个人数据的财产保护主要是规制个人在网络空间所产生的数据被不合理的利用。(7)Michal Lavi, Content Providers’Secondary Liability: A Social Network Perspective,26 Fordham Intell. Prop. Media & EntL. J. 2016,pp.855-869.个人数据保护的规则需要在网络空间通过秩序的构建更好地进行个人意志的表达以及权利利益的实现。网络空间的出现突破了现实空间的距离限制,个人与网络之间的符号信息的传递交互,可以迅速地突破现实空间的权利表达。(8)Purtova Nadezhda, Property rights in personal data: Learning from the American discourse, 25 Computer Law and Security Review, 2009, pp.6-9.概言之,网络空间的发展为个人数据的发展提供了载体和边界。
可见,个人数据的保护是科技进步推动的结果,现有的科技能够便捷快速地记录特定主体所产生的数据,并且能够通过云计算等手段合理地分析所积累的数据。个人数据的人格属性和财产属性的逐步凸显,需要法律予以保护。(9)Lior Jacob Strahilevitz, A Social Networks Theory of Privacy, University of Chicago Law Review, 2005, pp.72,919,921.个人数据的私法保护并不是保护个人数据的本身,而是希望通过法律规则的建构保护数据所反映的个人信息,进而强化保护个人数据所指向的特定主体的人身和财产安全。
1.对于个人数据的私法属性的界定将有利于规则的制定及路径的选择
对于个人数据的法律属性,学界众说风云,莫衷一是。有学者认为个人数据属于人格权保护的对象,应该通过人格权立法对个人数据进行保护。(10)丁晓东《什么是数据权利?》,《华东政法大学学报》2018年第4期,第39-53页。还有学者将个人数据与隐私权连接,并且认为应该从隐私权的角度予以保护。(11)王利明《论个人信息权的法律保护》,《现代法学》2013年第4期,第62-72页。更有学者认为个人数据是财产权,并且认为可以通过保护财产权达到保护个人数据的目的。(12)Pamela Samuelson, Privacy as intellectual property, Stanford law review, 2000, p.52.但是,将个人数据简单的确定为人格权,则忽视了个人数据的财产属性;同样,若将个人数据认为是财产权,也是对人格属性的忽视。因此,笔者认为将个人数据归入新兴权利的载体,既注重保护其人格属性,也保护其财产价值。
2.个人数据的人格属性是私法保护的重要内容,主要通过隐私权的保护予以实现
隐私权作为传统民法人格上重要的权利内容,早已被各国法律所认可并且接受。按照现有的法律规范体系,数据中所包括的自然人姓名、家庭住址、身份证号码、银行卡账号等,都是能够识别出特定主体的身份信息和活动轨迹。从数据识别的强弱角度看,有些数据能够直接识别出自然人的身份和活动的轨迹,如身份证号码;而有的数据则无法识别出上述信息,如姓名;而有的数据则是通过多数的数据块组合识别出特定的信息,如姓名与电话号码的组合即可。个人数据的人格属性的保护是为了实现特定主体的生活安宁与私密性。尽管个人数据的人格属性与个人的隐私权存在一定的相似性,但二者的权利内容却存在交错与竞合。从概念看,隐私信息仅仅是数据人格属性的一部分。从逻辑上看,对于隐私权信息的侵犯必然会侵害个人数据的人格尊严和自由。(13)王利明《隐私权的新发展》,《人大法学评论》2009年第1期,第3-27页。而对个人数据人格权的侵害,并不一定就会侵害自然人的隐私。
3.个人数据的利用能够更加充分的发挥财产价值
个人数据的财产价值是对人格属性的补充,促进了数据自由流动和交易。(14)劳伦斯·莱斯格《代码2.0:网络空间中的法律》,李旭译,清华大学出版社2009年,第20页。数据控制者可以通过分析特定主体所产生的数据,挖掘出数据背后所蕴藏的财产价值。数据财产权并不等同于数据所有权,并且无法确定数据的具体归属。个人数据作为新兴权利的客体,基本的内容包括数据采集权、数据可携带权、数据使用权、数据收益权等。(15)Jerry Kang, Information Privacy in Cyberspace Transactions, 50 Stan. L. R. 1998, p.1193.个人数据的财产价值从采集开始,并且经过数据的携带、使用,最后的结果是数据控制者因数据获得收益。对个人数据财产价值的私法保护,也是在采集、携带、使用和收益的环节予以具体规范,以达到保护的目的。个人数据的财产价值保护是手段,其最终的目的是维持数据资源的合理高效利用。
综上,个人数据在私法的范畴内是兼具人格属性和财产价值的新型权利,不仅享有排除他人对其个人数据侵害的权利,而且还能享有因个人数据合理使用所产生的利益。个人数据作为新型的权利的载体,通过合理的私法规则的构建达到权利保护的目的。(16)李延舜《个人信息权保护的法经济学分析及限制》,《法学论坛》2015年第3期,第43-53页。概言之,个人数据的保护应该采取人格权和财产权双重保护的模式予以保护。
个人数据作为新型的权利载体,在权利图谱里面包含数据人格属性和财产价值,并以个人为中心所确认的私法权利。个人数据的人格属性是被识别出特定主体的身份信息和活动轨迹。个人数据的财产价值则是数据经利用所带来的经济利益。个人数据的保护是随着社会的发展和进步逐步被社会大众所接受,并且最终通过法律的形式予以最终确认。
个人数据保护规则的基础在于确认数据的民事权益,并受到私法保护。个人数据的私法保护,实质上是在保护个人数据的人格属性和财产价值。从逻辑上看,个人数据的私法保护,并不是禁止数据使用,而是为数据的合理使用划定相应的法律边界和范畴。
1.个人数据保护的前提是确认数据是一种权益
私法保护规则的建构前提是数据能够被控制者或者提供者使用,并且具有人格属性或者财产属性。在传统的私法保护体系,法律所发挥的都是规范物使用流通功能。数据的使用则是鼓励数据占有者合理使用数据,最大程度地发挥数据的财产价值。个人数据的保护,对内的表现就是排他性的独占,对外则是享有合理使用数据所产生的财产收益。(17)李爱君《数据权利属性与法律特征》,《东方法学》2018年第3期,第64-74页。个人数据的控制具体表现为特定主体对数据的排他使用,防止受到其他人的侵犯。个人数据的管理则是数据经管理之后将会发挥其更大的财产价值。个人数据被确认为财产权的载体之后,得以在市场上自由流通,并且通过构建合适的私法规则予以保护,最后达到数据财产价值的目的。
2.个人数据保护的目的在于保障数据的合理使用,以实现数据的最大财产价值
个人数据的财产价值是在合理流动的过程中实现的。(18)王卫国《现代财产法的理论建构》,《中国社会科学》2012年第1期,第140-162页。能够识别自然人身份或者活动轨迹的个人数据,在市场上的流通是受到限制的。个人数据的合理流通包括鼓励数据自由流动和反对数据被垄断。个人数据的自由流动是维系数据合理流通并且合理使用的基础,而反对数据的垄断则是破除数据的掌握者利用技术优势有意限制数据的合理流动。个人数据的合理流动,不仅能够保证数据的共享,提高其应有的商业价值,而且为个人数据的私法保护提供契机。因为,如果个人数据无法合理流通,也就没有确认其个人数据的财产价值的必要性。个人数据的合理流通保证了其作为财产价值,并且有利于消除数据的鸿沟,建立良好的私法保护规则。概言之,个人数据的保护是以数据的合理使用为目的,并且通过数据的合理流通保障其财产价值的实现。
3.个人数据私法保护的结果在于保障数据流动的安全性
个人数据在流动的过程中出现泄漏、遗失或者损坏,都将对数据指向主体的个人人身安全和财产安全造成极大的危害。(19)李媛粒《网络数据安全与公民个人信息保护的刑法完善》,《中国政法大学学报》2015年第4期,第64-78页。从形态上看,应该包括个人数据存储安全和传输安全。从内容看,其应该包括个人数据没有丢失、损害或者被篡改。从数据的载体看,还包括记载个人数据的硬件和软件的安全。(20)Fouad Khelifi, On the security of a stream cipher in reversible data hiding schemes operating in the encrypted domain, Signal Processing, 2018, pp.331-345.从静态上看,个人数据在存储环节,应该不被任意访问、拷贝或者篡改利用。从动态上看,个人数据在传输的过程中应该不被遗失、偏差或者缺损。个人数据的安全最终将被反映到数据的安全使用上,使用者使用个人数据的过程中不会对他人的财产和人身安全造成威胁。概言之,个人数据保护的最终结果表现为数据安全使用,并且保障数据的安全流动。
私法对于个人数据的私法保护的基本范式是财产规则和责任规则。财产规则和责任规则是以科斯定理为理论基点衍生出来的,并且成为经济学对权利保护的重要规则。(21)Calabresi Guido&A.Douglas Melamed, Property Rules,a Liability Rules,and Inalienability:One View of the Cathedral, 85 Harvard Law Review, 1972, pp.1089-1128.从个人数据规范的前端看,个人数据保护的规则是规定具体的财产内容,而后端是违反财产规则或者侵犯财产内容所带来的责任后果。(22)杨涛《论知识产权法中停止侵害救济方式的适用——以财产规则与责任规则为分析视角》,《法商研究》2018年第1期,第182-192页。财产规则和责任规则拉锯的科斯平衡,决定了对个人数据私法保护的规则范式。
1.个人数据的保护需遵循基本的财产规则
在未经财产权利人授权许可的情况下,任何第三人不得侵犯权利人的财产。事前许可作为成本最低的管制工具,是对数据保护最小的影响限度。私法保护的措施仅仅是对圆满状态的恢复或者是对违约责任的惩戒,在财产自由限度内予以规制。按照《网络安全法》第四十一条的规定,法律允许权利人自愿提供数据以实现自愿的合理配置。该原则要求数据的流动应该是按照公平自愿的方式进行的。然而,数据的采集者会凭借自身的技术优势突破对数据提供者的同意,非法获取个人的数据,从而侵害数据提供人的权利。对于此种侵害数据的法律责任的承担,政府部门会要求其承担行政责任或者刑事责任,但是民事责任的承担则处于缺位状态。财产规则中所推崇的发挥物的最大财产价值,可以将个人数据作为财产的客体来构建私法保护的规则。概言之,以财产为中心所构建的财产规则,更加有利于权利人对个人数据的控制和流通,进而保护数据流通的公平效率。
2.个人数据保护规则的构建也应该遵循私法责任体系
责任规则是对财产规则的补充,当违反财产规则体系时,需要第三方介入进行外部干预,以保障财产规则的顺利运行。(23)汉斯-贝恩德·舍费尔、克劳斯·奥特《民法的经济分析》,江清云、杜涛译,法律出版社2009年,第598页。责任规则是对财产规则的救济,以保障数据作为财产的流通效率。当个人数据在流通或者使用时受到损害,在责任规则体系下就需要承担侵权责任。责任规则的核心就在于通过事后的救济方式对相关权利人的受损利益进行补偿。私法保护的责任规则主要有物权责任和债权责任,物权责任主要是通过事后救济的方式恢复物的圆满状态,而债权责任体系则保障债权的顺利履行。无论是物权责任还债权责任,在个人数据保护的责任体系的构建中都需要予以确认。概言之,责任规则为个人数据的保护提供了事后救济的方式。
3.个人数据的私法保护应该兼顾财产规则与责任规则
个人数据的保护,在私法层面的救济主要是通过赔偿金。在责任规则的体系下,其应该是确立侵权人对被侵权人给付赔偿金。(24)徐明《大数据时代的隐私危机及其侵权法应对》,《中国法学》2017年第1期,第130-149页。衡量私法对于个人数据的预防水平取决于法律所给付的赔偿金额度。而对于赔偿金给付额度的确定则在于财产规则的使用,即认定侵权人对个人数据侵害所造成的损害结果。财产规则可以认定数据损害结果,通过法律规则的认定区分补偿性赔偿金和惩罚性赔偿金。(25)曾世雄《损害赔偿法原理》,中国政法大学出版社2001年,第129页。补偿性赔偿金的目的在于填补受害人损失,而惩罚性赔偿金的目的在于惩治侵权人的恶意侵权行为。在个人数据的财产规则与责任规则互动的过程中,严格的责任规则无疑会损害个人数据财产权的实现;反之,则会影响个人数据的保护。概言之,个人数据的保护应该寻求财产规则与责任规则的协调。
现有对个人数据的保护多是保护个人数据的人格属性,而忽视对财产利益的保护。个人数据对于特定的主体或者数据收集者是具有财产利益的。(26)刘德良《个人信息的财产权保护》,《法学研究》2007年第3期,第80-91页。尽管有些学者并不认可个人数据的人格属性和财产价值的区分(27)齐爱民、李仪《论利益平衡视野下的个人信息权制度》,《法学评论》2011年第3期,第37-44页。,但在个人数据的私法保护中,应该兼顾保护个人数据的人格属性和财产价值。在私法上,应该寻求构建数据融合的保护模式。
1.个人数据的静态授权保护体现了特定主体的自主控制权
个人数据自主控制是信息主体对其特有的信息拥有支配和决定的权利。(28)王成《个人信息民法保护的模式选择》,《中国社会科学》2019年第6期,第124-146页。个人数据的静态授权保护在外观上是取得特定主体的许可,在实质上是特定主体对个人数据合理使用的自我处置。
2.个人数据的静态授权是对数据由社会控制的反驳
现在有学者认为,人们基于社会交往以及其他的需要,需要将个人的数据分享在网络或者特定全体之间,从而使数据控制模式由个人控制转向社会控制。(29)高富平《个人信息保护:从个人控制到社会控制》,《法学研究》2018年第3期,第84-101页。然而,这一观点有进一步商榷的空间。笔者认为,一方面,特定主体将自己特有的数据在一定的范围内进行交换或者分享,具有特定的目的。如,特定主体将个人数据在人际交往中进行共享,正是该主体对数据的自我控制和处置,该目的仅仅是用于社交。而得到该数据的主体,也应该遵循该特定的目的使用该信息,并没有授权其超出该目的范围内去使用数据。另一方面,尽管特定主体没有办法时时控制个人数据,但并不代表其他主体可以随意支配他人的数据。按照私法最为基本的诚实信用及公序良俗的要求,未经特定主体的许可或者授权,其他主体不当使用他人数据无疑将对他人人格利益或者财产权益造成影响。概言之,个人数据的静态授权是个人对数据自我控制的具体体现。
3.个人数据的静态授权是数据利用的核心和基础
个人数据的静态授权在外观上可以通过“通知—同意”的模式予以实现。通知保证了特定主体的知情权。特定主体的知情是自主控制的具体表现,也是数据的撤回权、被遗忘权、携带权等其他权能的具体衍生。个人数据的知情权在现有的保护范式是逐步加强的。(30)叶名怡《论个人信息权的基本范畴》,《清华法学》2018年第5期,第143-158页。此外,特定主体的同意则是意思表示的结果。意思表示是特定主体将内心的意思通过行为表达于外的过程。特定主体自我控制的直观表现就是“同意”或者“不同意”。经过“通知—同意”的过程,不仅实现了特定主体对个人数据的自我控制,也保证了利用者可以合理地使用数据。不仅如此,经过个人静态授权后,不仅不会对特定主体的人格利益造成损害,而且还会因数据的合理利用产生经济价值。概言之,个人数据的静态授权是数据合理使用的逻辑起点。
4.个人数据的静态授权是私法保护的重要路径
个人授权的本意是特定主体授权给第三方商业主体搜集或者使用数据。经特定主体授权之后,第三方可以在授权的范围内合理搜集或者使用个人数据。一方面,特定主体的授权的边界应予以明确界定。实践中,特定主体在未经特定主体明确授权就搜集数据。在智能手机或者设备终端安装软件时,软件运营商或者开发者在技术上并没有告知软件安装者其需要收集其个人信息。另一方面,特定主体应该尽量减少概括性授权。由于概括性授权条款的模糊性,对于保护个人数据是不利的。(31)Daniel J. Solove&Paul Schwartz, Information privacy law, New York: Wolters Kluwer, 2009, p.2.此外,由于软件开发商或者运营者隐藏或者将相关条款描述得过于模糊,致使特定主体在并未完全理解或者了解相关条款的含义下,就做出了形式上授权的意思表示。从概括性条款授权的产生看,特定主体往往是在并不完全知悉特定条款含义时进行的授权。(32)林洹民《个人信息保护中知情同意原则的困境与出路》,《北京航空航天大学学报》2018年第3期,第13-21页。第三方可以利用概括性授权条款无限扩大使用特定主体的数据。第三方依概括性授权条款使用特定数据的权利源就缺少合理的边界。当权力失去了束缚的边界将诱发道德风险并对第三人的合法权利产生侵害。第三方利用所搜集的信息,将有可能对个人的人身和财产安全造成极大的威胁。
个人数据的静态授权保护应该分为两个阶段:第一阶段是特定主体提供个人数据;第二阶段则是企业搜集特定主体的数据后加工、处理以及利用的过程。事前授权给第三方搜集特定主体的数据提供了进路和依据,实现了数据的静态保护。(33)Richard C. Turkington&Anita L. Allen, Privacy Law: Cases and Materials, Minnesota: West Group, 2002, pp.648-649.同时,特定主体的明确授权不仅表现为个人对其所产生的数据有独占的权利,而且在未明确授权搜集之前,第三方是不允许对特定主体的数据进行搜集。(34)贺栩栩《比较法上的个人数据信息自决权》,《比较法研究》2013年第2期,第61-76页。明确授权也是特定主体对其所产生数据的管理体现,特定主体借助APP等软件可以对自己的数据进行分析、监测。特定主体将数据所蕴含的财产价值让渡给商业主体,实现对于个人数据的处分。个人数据的静态保护主要体现为私法对于外界的消极防御,对于个人数据的权能的支配是非常有限的。(35)王泽鉴《人格权法》,北京大学出版社2013年,第277页。明确授权在一定程度上阻却了第三方对特定主体的人格尊严的损害,并且能够充分挖掘财产价值。(36)郭明龙《论个人信息之商品化》,《法学论坛》2012年第6期,第108-114页。简而言之,个人数据的明确授权是数据合理使用的基础。
综上所述,个人数据的静态授权保护是特定主体信息自我控制的具体体现,是特定主体的意思表示的做出过程,目的在于保护特定主体在个人信息上自主决定的权利,从而有效地构建私法上的个人数据保护的规则。个人数据的静态授权也是特定主体意思表示的结果,与现有的民事法律制度可以紧密地融合,可以从民法的基础理论上予以有效的解释。
个人数据的私法保护正从单一的静态保护模式逐步走向与动态保护相融合的状态。从个人数据的行为范式上看,个人数据可以区分为获取持有、流通应用两个不同的阶段。其中,数据的获取持有可以通过特定主体的授权予以保护,而在流通应用上则需要通过动态的法律予以保护。欧盟《关于个人信息处理保护及个人信息自由传输的条例》核心在于保护个人数据的人格属性的同时,也允许个人数据通过合同的方式转让、利用,以提高个人数据的财产价值。(37)Jack M. Balkin, Information Fiduciaries and the First Amendment, 49 U.C. Davis L. Rev. 2016, p.1183.个人数据的收益是在个人数据的合理流通的过程中实现的。总之,对于个人数据流通的动态保护,主要关注其在动态流通环节中可能存在的风险。
1.个人数据的动态流通可以通过合同的形式予以实现
我国《民法总则》第一百一十一条规定对个人信息动态流通的保护表述为:“不得非法收集、使用、加工、传输,不得非法买卖、提供或者公开。”这里所强调的“非法”,解释上可以理解为“不得违反法律或者法规的规定”和“不得违反合同的约定”。从技术上看,个人信息经过脱敏技术处理之后,将形成个人数据。脱敏后的个人数据流转并不“违反法律或者法规的规定”。不仅如此,脱敏后的个人数据是可以通过动态流通的方式实现经济价值。个人数据的动态流通具体表现形式可以是共享、开放以及交易。其中,个人数据的共享和开放属于行政法所规制的范畴,而个人数据交易则属于私法保护的范围。实践中,经过脱敏的个人数据是可以作为合同的形式予以实现。总之,个人数据的动态流通可以通过合同的形式予以实现。
2.个人数据交易所形成的合同是请求权产生的基础
有学者认为数据交易的合同属于买卖合同(38)徐美《再谈个人信息保护路径》,《中国政法大学学报》2018年第5期,第82-95页。,也有学者认为应该属承揽合同。(39)王秀秀《个人数据保护立法的经济分析与路径选择》,《上海师范大学学报》2017年第3期,第48-56页。但笔者认为,个人数据交易的合同显然并不是传统意义上的买卖合同。买卖合同的认定需要标的物实现物权的转移,但是个人数据的交易合同转移的仅仅是数据的使用权,而不是数据的所有权。此外,个人数据交易合同也不是承揽合同。承揽合同的承揽人需要按照定做人的要求完成一定的成果。而数据交易合同中,个人数据的受让方并不需要按照出让方的要求完成特定的承揽成果。因此,个人数据交易合同在性质上既不是买卖合同,也不是承揽合同。个人数据交易合同属于无名合同,可以参照最为类似的买卖合同的条文进行适用。然而,个人数据交易合同的性质并不会影响合同当事人双方权利义务的产生,也是双方请求权产生的基础。
3.个人数据动态流通的风险在于危及数据安全的因素发生
危及数据安全的发生可以在流通过程中遭到破坏、窃取或者擅自访问,导致数据的完整性遭到破坏。(40)李中原《论违反安全保障义务的补充责任制度》,《中外法学》2014年第3期,第676-693页。我国《民法总则》第一百一十一条也要求取得个人数据的主体要确保数据安全。“确保数据安全”是法律要求行为人所恪守的安全保障义务,适用于个人数据流通的整个环节。个人数据的安全保障义务要求在数据交易过程中,采取必要的防范措施,以防止个人数据的泄露。数据泄露并不会直接导致对于特定主体人身或者财产的损害,但是个人数据被恶意使用之后将造成二次损害。(41)徐明《大数据时代的隐私危机及其侵权法应对》,《中国法学》2017年第1期,第130-149页。从侵权的责任认定上看,需要有损害结果才能要求相关主体承担责任。在现有的司法实践中,对于因个人数据泄露而造成的损害赔偿由于举证存在一定的困难,也就很难在私法上得到有效的保护。因此,对于个人数据在流动过程中的侵害,就不拘泥于实际损失的要件,而应该有所缓和。
4.个人数据的动态流通的风险将产生违约责任与侵权责任的竞合
从违约责任的角度看,个人数据在动态流通过程中产生泄露或者其他危及数据安全的因素,就是对合同条款的违反,这就必然产生违约责任。从侵权责任的角度看,数据获取人未尽信息安全保障义务所导致的侵权行为,应该承担侵权责任。违约责任与侵权责任归责的共同基础都在于行为人没有合理的履行安全保障义务,存在客观的过错。不论是违约责任还是侵权责任,行为人存在可归责的民法基础,就可以要求其承担相应的责任。个人数据动态流通所产生的风险行为,是同一行为产生的责任竞合。受害人可以选择违约责任或者侵权责任中的一种,要求行为人予以承担。从责任承担的范围看,违约责任的受害人仅仅可以要求行为人承担因违约行为所约定的违约金,而侵权行为则可以要求行为人承担相应的损害填补责任。概言之,受害人可以在个人数据动态流通的责任中择一选择违约责任或者侵权责任要求行为人承担。
5.个人数据动态流通的责任承担不仅体现了财产规则,而且是责任规则的具体诠释
从财产规则的角度看,正是承认个人数据所具有的财产价值,才能要求行为主体承担相应的责任。无论是违约责任还是侵权责任,都是对行为人过错的事后惩戒,并不会影响个人数据的动态流通。行为人若按照法律规定或者合同约定,不仅能够更好地激发个人数据的财产价值,而且也能更好地保护个人数据。此外,个人数据动态的动态保护可以有效地对个人数据(敏感数据和非敏感数据)进行有效的区分。从逻辑上看,只有敏感数据会对特定个人的生活安宁产生影响,才需要采取特定的规则予以保护,并且要求行为人承担相应的不利后果;而对于非敏感数据,则并不需要苛以不利的法律后果。
总之,个人数据的动态保护是通过事后的责任机制对行为人的过错进行惩戒。惩戒制度的建立是通过事后责任承担的方式纠正事前行为的失当,以达到保护个人数据的目的。个人数据的动态保护有效地弥补了静态数据保护的不足,共同形成了个人数据保护的立体网络。
个人数据的私法保护不仅要保护数据的人格属性,而且还要保护其财产价值。互联网时代背景下对个人数据的保护已经不断被强化,特别是数据的财产价值已经日益凸显出巨大的经济价值。互联网时代下有众多个体所汇集起来的数据财产权利的整合利用已经不断地被商业机构所运用。个人数据的私法保护不仅要保护数据来源本身,而还要保护数据的应用价值。
个人数据的保护被私法所接纳,首先就是要确认个人数据的客体地位,即个人数据作为无形的物具有人身属性和财产价值,适合作为私法保护的对象。其次,应该对个人数据的具体权能予以确认,并通过这些权能的认可,达到保护个人数据的目的。最后,个人数据的人格属性和财产价值在私法保护中都应该予以体现。至于个人数据中所蕴含的人格属性,是否能够上升为如同肖像权、姓名权等具体的人格权利,这需要立法者通过法益的衡量判断,做出具体的立法抉择。个人数据中的财产价值,可以通过对数据的具体运用得以显现,私法的责任体系保护中对此等权利应予以保护。
个人数据的合理流动对于国家治理和公司运营都有很大的价值,一方面需要保护个人对数据的权利,另一方面也需要促进个人数据的正常流动。过分的保护个人对于数据的权利,则将阻碍数据的正常流动;相反,过分的促进个人数据的流动,则会侵犯个人对于数据的权益。概言之,协调好个人数据保护与合理利用的关系是私法保护的核心。