公平信息实践理论指导下的数据权能体系研究

王中霖　刘蓓　李贤武

【摘 要】在人工智能广泛运用的大时代背景下，个人数据被滥用导致了一系列社会、道德、法律问题，个人数据权利的保护需要得到重视，本文研究以公平信息实践理论作为出发点，从人格权属性、财产权属性和国家主权属性三个方面对数据权利进行了归纳分析，并结合现有法律法规，针对数据权利保护问题，对数据控制者的义务与责任做出了合理设想。

【关键词】数据权能体系;人工智能;数据权利;数据安全

中图分类号： D913文献标识码： A 文章编号： 2095-2457（2019）26-0106-003

DOI：10.19694/j.cnki.issn2095-2457.2019.26.050

作为新兴前沿科技，人工智能如同一把双刃剑，在带来无数便捷的同时也带来了许多未知的风险，个人信息数据被以碎片化的方式储存至云端，形成了一个“特定个人相关联的、反映个体特征的、具有可识别性的符号系统”{1}。针对数据权利保护方面的问题，全国人大及其常委会发布的法律有近40部，国务院发布条例近30部，工信部等部门的规章近200部{2}。然而法律法规的滞后以及缺乏操作性难以为个人数据权利提供保障。

1 公平信息实践理论概述

公平信息实践理论的关键之一是赋予个体以隐私自我管理的权利，即让公民个体选择是否允许信息收集者收集其个人信息{3}。具体而言分为权利与义务两个方面，权利是针对信息的被收集者而言，赋予被收集信息一方更多的权利，其初衷是为个人信息保护确定具体的框架与原则，以此更好地对保护个人隐私，义务则是针对信息的控制者附加使用目的限制与安全保障等义务。公平信息实践理论为数据权利的保护提供了理论基础，却也存在问题，一方面，对个人信息的数据（以下简称数据）所有者而言，赋权的程度很难把握，赋权程度太低可能使数据保护名存实亡，反之赋权程度过高会遏制创新，因双方信息的不对等，数据所有者难以对数据进行有效管理，造成数据的不能正常流通的情况;另一方面，对数据的收集与处理者而言，过度施加责任并不能适应时代的要求，人工智能的运行需以一定量的数据作为基础，海量的数据汇总能让人工智能发挥最大的价值，为数据收集附加限制在一定程度上也限制了数据的价值挖掘。公平信息实践理论的进路在于找到保护数据权利与发挥数据价值的平衡点。

2 数据权能体系

2.1 人格权属性

数据权利具有人格权属性。人格权指以人的价值、尊严为内容的权利（一般人格权），并个别化于特别人格法益（特别人格权），例如“生命权、身体、健康、名誉、自由、信用、隐私、贞操”{4}。其法律基础可以参照我国《宪法》第38条的规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害”。具体而言，数据权利中的知情权、遗忘权、更证权、修改权、访问权和查询权均是以个人数据所有者的人格利益作为客体，其中的知情权与遗忘权应被包含于传统人格权中的隐私权，而更正权、访问权、修改权与查询权不被传统人格权的一般类型包含，但其作为人格要素是可被权利人支配的，因而应属于具有可支配性的人格权益。我国《民法总则》中明确地将姓名权、肖像权、名誉权、荣誉权、隐私权确认为权利，可见数据权利中包含具有人格权要素的内容，据此可得出结论即数据权利具有人格权属性。

2.2 财产权属性

财产权的特点可从两个方面来理解，第一，具有经济价值;第二，权利可以转移。根据法学理论的观点来看，财产一词指的是具有经济利益的权利的集合和具有财产性权利的客体。例如，德国学者卡尔·拉伦茨在关于“财产”的经济价值方面认为：“某主体的财产是其具有经济价值的多个权利所集成的，只有具备经济价值的权利方为财产，这些权利在一定的法律关系中可以转化为物质利益”{5}。数据权利中体现其财产权属性的具体权利包括采集权、使用权、收益权、存储权、标记权及可携权，值得一提的是，数据领域的标记权与传统知识产权具有相关性，又因数据领域属于新兴领域，姑且可将其视为一种新型知识产权。我国《民法总则》中的“民事权利”一章在第127条提到“法律对数据、网络虚拟财产的保护有规定的，依照其规定”{6}。可见，在立法层面其实是将“数据”与“虚拟财产”放在同一层次的，二者具有相似性且呈现并列关系，这就不难看出立法上对数据的财产属性是持认可态度的。实际上，以数据作为商品进行交易已经形成了产业链，随处可见的数据交易平台就是以数据作为客体进行交易的，数据在人工智能时代的交换价值可见一斑。故此，数据权利一则具有经济价值，二则可以转移并以财产作为客体，因而具有财产权属性。

2.3 国家主权属性

主权国家对其所属领域享有多种权力，数据虽然存在于虚拟领域中，但是虚拟领域可视为现实的外延，因此数据的主权属性也必然存在，应是“在网络环境下的国家主权的自然延伸”{7}。数据权利的国家主权属性主要体现在管辖权与控制权两方面。据统计{8}，我国已成为互联网应用第一大国，也将是数据创造第一大国{9}。数据体量庞大且互联网企业众多是经济发展中不可忽视的现状，国际间数据信息关系的复杂性以及庞大的网民群体为保护国家安全与公民数据安全提出了艰巨的挑战。关于数据安全，我国《网络安全法》第37条中提到，关键信息基础设施的运营者在我国境内收集和产生的个人信息和重要数据原则上应当“境内存储”，以防止关键行业的个人数据外流。这一规定充分体现了数据权利的国家主权属性，其本质是在国家主权的层面上延伸出了个人信息数据保护的问题并在立法层面明確保护。在维护国家主权和确保核心数据安全方面，许多国家都有严格的规定，如俄罗斯议会于2014年7月通过的《个人数据法》中规定，俄罗斯公民的个人数据必须保存在俄境内服务器上{10}。这些规定的核心是实现国家对本国公民个人数据独立的管辖权及控制权。此外，国家主权包括管辖、独立、平等、自卫等，从其延伸角度来看，数据权利的国家主权属性亦是来源于自卫的需要。

明确界定数据权利的性质是“制定数据资源确权、开放、流通、交易相关制度，完善数据权保护制度”的前提条件{11}。综上所述，数据权利是以人格权为主，兼具财产权属性与国家主权属性的综合性权利。

3 数据控制者的义务

3.1 告知义务

基于数据权利被严重威胁的现状，一项重要的措施就是为数据的控制者附加告知义务。例如以“隐私条款”等方式在收集数据前告知用户相关事项并征得用户同意。在收集包含个人信息的数据时，其后续处理与利用情况必须告知权利主体并征得权利主体的同意，这也是意思自治原则在该领域的具体体现{26}。需要注意的是，这里的同意应当区分明示同意、默认同意与授权同意。欧盟的《数据保护通用条例》在其第4条第11款中将同意定义为“数据主体的同意是指，数据主体依照其意愿自由作出的、特定的、知情的、明确的指示。通过以声明或清晰肯定的行为作出的该等指示，数据主体表明其同意处理与其相关的个人数据”，可以看出，欧盟在个人同意方面认可的是明示同意，由于明示同意需要个人清晰具体的作出意思表示，因此是较为安全可靠的同意方式。我国的《个人信息安全规范》中认可了明示同意与授权同意两种同意方式，却对默认同意不置可否，因此存在大量的数据控制者在收集数据时使用了默认同意的方式，此种做法与保护数据权利的初衷相背离，因此，完善相关法律法规迫在眉睫。

3.2 公开义务

1）公开数据收集的范围。人工智能需要在拥有一定数据的基础上运行，个人信息包括许多内容，在此可概括为两个方面，一是个人基础信息，如姓名、身份证号码等，二是基于社会活动所产生的信息，如简历、消费记录等。然而，由于双方地位的不对等，许多个人由于迫切需要而被迫放弃权利以换取服务，因此，有必要为数据的控制者附加数据收集范围的义务，在向个人收集数据前，对所要收集的数据范围进行详尽的说明。

2）公开数据使用目的。数据的使用目的是数据收集中不可回避的核心问题，在这里，目的明确原则值得借鉴，其含义是强调收集个人数据时必须具有的“特定目的”{27}。由于数据控制者不同，在对其目的是否正当、明确的判定上，理应有不同的标准。就国家机关而言，数据的使用目的不得超出其履行职责的需要。而针对商业或盈利性机构，使用目的是否明确不可任其自说自话，应符合机构运营范围并在数据收集前尽到公开义务。目前各国立法中，对个人数据使用目的规定较为明确的有欧盟的《数据保护通用条例》，其中第5条第一款明确规定了“个人数据的收集应当具有、清晰的、具体的和正当的目的，对个人数据的处理不应当违反初始目的”。这里的初始目的是对应后续处理来说的，即要求从与原始目的的关联度、信息收集时的原始场景、后续处理行为可能引发的后果等{28}多个角度来审查初始目的与后续处理的关联度，确保个人信息数据的后续处理与初始目的具有基本的一致性。

3.3 保护与管理义务

数据的控制者有义务保障数据的安全性与完整性，采取适当的技术或管理手段，避免数据泄露、丢失、未授权使用与公开或断章取义等风险;此外，还应保证数据的准确性，即在必要时时，必须对数据及时更新并以恰当的方式为数据主体提供访问、查询、更正、修改和擦除的渠道。

4 结语

保护数据权利是人工智能时代的要求，也是更好利用数据资源的客观需要，公平信息实践理论作为框架性的基础说明，還需要不断地完善与发展，明确赋予数据主体的权利内容、为数据控制者附加相应的义务，才能免除后顾之忧，充分享受以人工智能为核心、以数据运行为基础的全新的科技体系带来的便利，实现兼顾大众便捷与个人权利保护的科学发展。

注释：

{1}王利明，论个人信息权在人格法中的地位[J].苏州大学学报（哲学社会科学版），2012（6）：68-75。

[ {2}罗锦莉，大数据时代下尴尬的个人隐私[J].金融科技时代，2012（12）：26-31.

{3}Kent Walker，The Costs of Privacy[J].25 Harvard Journal of Law & Public Policy，2001（25）：87-107.

{4}王泽鉴.民法概要[M].中国政法大学出版社2003年4月第1版，第38页.

{5}[德]卡尔·拉伦茨，德国民法通论（上）[M].王晓晔等译，法律出版社2004年版，第410-411页.

{6}《中华人民共和国民法总则》第127条：“法律对数据、网络虚拟财产的保护有规定的，依照其规定”.

{7}李鸿渊，《论网络主权与新的国家安全观》，《行政与法》，2008 年第 8 期.

{8}截至2015年7月，我国网民数量达6.68亿人，网民规模全球第一;我国网络零售交易额规模跃居全球第一，2015年我国网络零售总额达3.3万亿元;拥有328家互联网相关上市企业，其中61家在美国上市，市值规模合计7.85万亿元，相当于中国股市总市值的25.6%。

{9}中国国际经济交流中心网络空间治理课题组：网络空间治理需把牢数据主权，载http：//www.npopss-cn.gov.cn/n1/2016/1012/c219470-28772077.html，2016年12月1日.

{10}前引10.

{11}十九大第二次政治局会议的习近平总书记讲话，载新华网，2018年1月5日.

{12}周玥，个人数据权利研究.[D].河北师范大学，2019.

{13}丁晓东，什么是数据权利？——从欧洲《一般数据保护条例》看数据隐私的保护[J].华东政法大学学报，2018，v.21;No.119（4）：40-54.

{14}周永红，赵维.大数据交易背景下用户个人数据权利的保护研究[J].数字图书馆论坛，2019（2）.

{15}陈俊华，大数据时代数据开放共享中的数据权利化问题研究[J].图书与情报，2018，182（04）：31-40.

{16}前引14.

{17}前引13.

{18}肖冬梅，文禹衡.数据权谱系论纲[J].湘潭大学学报（哲学社会科学版）编辑部，2015，39（6）：69-75.

{19}程啸，论大数据时代的个人数据权利[J].中国社会科学，2018（3）：102-122.

{20}前引20.

{21}张哲，探微与启示：欧盟个人数据保护法上的数据可携权研究[J].广西政法管理干部学院学报，2016，31（6）：43-48.[

{22}前引16.

{23}前引16.

{24}杜雁芸，大数据时代国家数据主权问题研究[J].国际观察，2016（3）：1-14.

{25}齐爱民，祝高峰.论国家数据主权制度的确立与完善[J].苏州大学学报（哲学社会科学版），2016（1）：83-88.

{26}齐爱民，私法视野下的信息[M].重庆：重庆大学出版社，2012：62-63.

{27}缪文升，人工智能时代个人信息数据安全问题的法律规制[J]广西社会科学，2018（9）.

{28}范為，大数据时代个人信息保护的路径重构[J].环球法律评论.2016（5）.

【参考文献】

[1]丁晓东.论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析[J].现代法学，2019（03）.

[2]周永红.大数据交易背景下用户个人数据权利的保护研究[J].数字图书馆论坛，2019（02）.

[3]赵超，民法视角下数据权利属性研究[D].贵州大学，2018.

[4]程啸.论大数据时代的个人数据权利[J].中国社会科学，2018（3）：102-122.

[5]刘金瑞.数据财产保护的权利进路初探[J].中国信息安全，2017（12）.

[6]任彦.捍卫“数据主权”[N].人民日报，2015.01.14.

[7]沈国麟.大数据时代的数据主权和国家数据战略[J].南京社会科学，2014（06）.