余圣琪
(华东政法大学 法律学院,上海 200042)
随着信息技术的发展,人类进入了大数据时代。在这个时代,无时不刻充斥着海量的数据分析,数据化成为最主要的特征,数据也成为这个时代的新资源。正如英国著名杂志《经济学人》曾在一篇文章中指出,如果说石油是工业时代最重要的大宗商品,那么数据将是后工业时代,也就是数字经济时代数一数二的大宗商品。不论是欧盟的《通用数据保护条例》还是美国的《加州消费者隐私法》都强调了保护个人数据权利的重要性。我国也意识到保护数据权利的迫切性,2019年是中国数据的合规元年,数据隐私、数据黑产、数据泄露等问题频发。新浪微博APP涉嫌5.38亿条微博用户的信息泄露;北京瑞智华胜科技股份有限公司贩卖用户数据,涉及腾讯、百度、京东、今日头条、新浪微博、携程、12 306等96个互联网公司;2020年4月,万豪受到第二次数据泄露打击,再曝520万用户数据泄露。目前,我国对于数据权利的保护多采用私法的进路,对个人数据保护进行了原则性的规定。但工商业时代的法律规定已无法满足数字时代的数据保护要求,使目前数据权利保护困境重重。因此,本文希望通过分析目前数据权利保护的困境和挑战,探讨数字时代数据权利保护的新模式。
21世纪初,对于隐私保护的争论主要有三个观点。第一种观点认为,由于信息量过大,人们无法控制别人获取信息,所以,无须担心隐私保护问题;第二种观点的倡导者主要是社群主义者,认为西方民主制国家不能承受他们现在所试图提供的高标准的个人隐私[1];第三种观点的主要倡导者是自由主义者,强调需要为隐私保护提供强有力的保障。为什么需要对隐私进行保护?隐私权益保护的意义何在?隐私保护不仅是维护尊严和约束侵犯的重要手段,更为重要的是它是限制政府权力的一种方式[2]。随着数字时代的到来,由传统社会走向了信息社会,由单一的物理空间向物理/电子(现实/虚拟)的双重空间转换[3]。数据成为信息时代新的生产资料,各种新业态、新模式都对数据收集、使用产生了巨大的需求量,需要对数据隐私权利进行必要的保护。不幸的是,我们的社会已经到了这样一个地步:法律跟不上技术的进步,也跟不上技术带给生活的持续变化[4]。传统的侵权法已经无力保护数字时代的隐私权益。
数据的匿名化冲击隐私保护的可识别性。不论是民事《侵权责任法》予以保护的隐私权,还是公法上的个人信息保护观念,前提都应当是具有身份的可识别性,即应当与特定的个人有所关联,当脱离了特定个人,这些信息就再也不是个人信息,更不是个人隐私[5]。大数据时代,信息具有碎片化、匿名化、流动化的特点,数据的隐私权益很难再寻求工商业时代的传统隐私权保护。正如北京百度网讯科技公司与朱烨隐私权纠纷案,被称为中国Cookie隐私第一案。朱烨发现不论是使用家中的还是单位的电脑,只要使用了百度搜索相关的关键词后,再次访问某些网站时就会出现与该关键词相关的广告,朱烨对这个情况进行了公正。一审法院认为,隐私保护的前提应当与特定个人身份相关联,而本案Cookie并不能准确识别到朱烨这样的单个用户。所以Cookie信息无法被认定为个人隐私,否则会造成个人隐私范围划定太过于宽泛的问题。二审法院认为,Cookie信息虽然具有隐私属性,但需要与用户身份相关联,如果用户身份分离就不属于个人信息。最终驳回了朱烨的全部诉讼请求。
《民法典》将个人信息保护和隐私权保护规定在人格权编下,而将数据规定在财产权编里:法律对数据、网络虚拟财产的保护有规定的,依照其规定。对于个人数据的保护应该适用何种法律框架,学者的观点一直多有分歧。有些学者提出可以适用物权法的保护路径,认为个人数据是一种私权客体,可以通过给与数据所有者排他性的所有权进行个人数据保护,以强化个人数据的保护。正如王利明教授所指出的,如果不强化数据共享中的个人信息保护,数据产业也难以健康发展[6]。也有一些学者指出,适用物权法保护会存在缺陷,首先,涉及数据属性的判断,其次,不符合一物一权原则,且数据所有权的主张与物权的主张在根本上亦不相符[7]。笔者认为,传统的物权法并不能对个人数据进行全面的保护,正如《民法典》对于数据的规定显得如此无力。因为在大数据时代,个人数据的保护和个人数据的流通就像一个硬币的两面,缺一不可,保护个人数据是一个方面,但促使个人数据流通也是非常重要的另一个方面。因为数据不同于传统的“物”,采取传统的物权保护进路将面临数据权利保护不足的情况。在数字时代,虽然数据的价值堪比传统时代石油的价值,但“数据”却不同于“石油”,不同于传统的物,具有特有的现代性特征。
数据不同于传统的物权,数据具有非竞争性的特征。数据的价值不在于占有,对于数据的占有并不强调传统物权的垄断性和排他性,获得数据的使用权等同于某种意义上的所有权。同一数据可以同时被多个不同的权利主体掌握,同一数据根据不同的算法可以用于不同的领域产生不同的用途。数据的价值并不会随着使用而损害或降低,某一权利主体通过使用数据获得利益时并不会造成其他数据主体的经济利益损失。正因为数据具有不强调占有的非竞争性特点,在司法实践中对于并不完全占有数据的公司,认可公司对数据的竞争性财产权益。正如大数据不正当竞争第一案,法院认为,虽然网络运营者对原始数据不享有独立权利,但是大数据产品的财产权益受到法律保护。法院认为,“生意参谋”这种数据产品是经过淘宝公司长期经营积累而形成的产品,虽然平台对于数据并不享有所有权,也无法用传统的物权法对数据进行保护,但企业对于数据的竞争性权益是受到法律保护的权益。
数据的价值在于开放流动,而非封闭静止。数据开放旨在促进信息流动,提高系统服务耦合度及其协同工作能力[8]。对于公共数据的开放,已然成为全球的发展趋势。美国出台的《开放政府数据法》中提到要求联邦政府使用开放数据改善政府决策,并且通过定期监督来确保问责制;欧盟修订的《开放数据和公共部门信息指令》,目的是促进欧盟建立共同数据空间,确保能够广泛、自由地获取及再利用欧盟公共部门的数据。目前,虽然我国还未形成国家层面有关于公共数据开放的法律,但上海已出台了《公共数据开放暂行办法》的地方性法规。《公共数据开放暂行办法》是上海市为推动数字经济发展,促进和规范公共数据开放及利用,提升政府治理能力和公共服务水平而制定的地方性法规。鼓励数据利用主体在遵循合法、正当的原则下利用公共数据开展科技研究、咨询服务、产品开发、数据加工等活动。《数据安全法(草案)》第五章对政务数据安全与开放作出了相关规定,虽然很多学者对于政务数据在《草案》中单独编排成章提出了异议,但《草案》对于数据开放性的重视是值得关注的。由此可见,美欧以及我国都意识到数据开放性的特征,数据的价值主要体现在其高速流动,对于传统“物”之静态立法并不适合对于数据的规制。
数据不具有独立性。传统物的独立性主要体现在具备物理上的独立、具备交易上的价值及法律价值上赋予的独立性三个方面。第一,数据不仅受制于架构的设计,还依赖于计算机代码而存在。数据的发展在很大程度上依赖于技术基础设施的发展。数据存在于网络之中,不是物理空间中传统的“物”,数据依赖于代码、载体及其他因素才能发挥其作用。第二,数据本身并不具备独立性。单个的数据没有价值,只有将大量的单个数据在法律上进行聚合之后再抽象为数据池才具备交易上的价值。在“微信数据”权益之争腾讯诉群控软件案中,法院将单个原始数据和网络平台方的数据集进行了区分。对于网络平台中的单个原始数据,应强调数据主体的控制权和许可权;而对于网络平台方掌握的数据集才能体现交易上的价值,因此,对于企业的数据权益应突出强调对数据资源竞争性权益的保护。第三,目前《个人信息保护法》、《数据安全法》并未出台,在法律规范和法律价值上对于数据的独立性目前并没有进行明确性的赋权。由此可见,从物理上的独立性、交易上的价值性及法律价值上的赋予性的角度进行分析和阐释,表明数据具有非独立性的特征。
不论是《保护工业产权巴黎公约》还是《保护文学与艺术作品的尼泊尔公约》,以及随着互联网和数据产业发展而出现的《世界知识产权组织版权条约》,都强调知识产权保护的重要性。保护知识产权的理由主要基于两方面。一是保护创作者的道德与财产权利;二是鼓励原创以促进经济发展[9]。数据是抽象物的一种新类型,有着特殊的媒介属性和技术属性。大数据时代的新特征主要表现在数量极大、数据类型多样性、数据的实时速度三个方面[10]。在大数据新时代,传统知识产权法是否能对数据这种新的抽象物进行全面保护成为争锋焦点。有些学者认为,虽然进入了大数据时代,但诞生于“小数据”时代的知识产权法有很强的适应性,只是需要对些许产权保护的空白进行关注[11]。一些学者则认为,应该将数据作为独立的权利进行保护。因为数据权利跟现有的知识产权体系存在不兼容性,如对创新性的要求、对权利期限的要求等,如果将数据权利放在知识产权体系中进行保护,可能会产生问题[12]。有学者认为,从立法的角度进行保护相对繁琐与复杂,可以用技术手段(代码)阻碍不受欢迎的侵入[2]。笔者认为,传统的知识产权法无法全面保护企业数据的权利,主要体现在以下两个方面。
著作权的保护对象是文学、艺术、科学等作品,且要求这些作品需要具有独创性,并能以某种有形方式复制。与数据保护相关的是《著作权法》第14条,对内容的选择或编排体现独创性的作品,为汇编作品,由汇编人享有著作权。著作权保护通过数据库内容选择或编排而体现其“独创性”,但数据并不具有独创性、期限性、法定性的知识产权特征[13],数据的资源采集和加工方式导致数据知识产权界定具有极大的不确定性,虽然有些数据库因为制作与编排具有一定的独创性,但在实践中,关于独创性的判断标准往往使得数据因为没有独创性而很难获得版权法的保护[14]。也有学者认为,数据的价值并不在于编排的方式,而在于数据的巨量性和混杂性。《德国的著作权》第87条规定了用邻接权来保护以“激励投资、保护投资”为基础的大型数据库[15],欧盟则通过《欧盟数据库法律保护指令》给与数据库一种类似于不动产意义的强大的特殊权利保护,美国则通过盗用侵权这种独特的反不正当竞争为数据库提供保护。
著作权、商业秘密是使用知识产权保护数据的依据,商业秘密指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。商业秘密是知识产权的客体,主要包括三个特征,即秘密性、价值性、保密性。有学者主张采用商业秘密来保护数据,虽然这比著作权保护更具有实际价值,但商业秘密对数据的保护还是遭遇了一些列的困境。首先,数据不具有秘密性,数据有开放共享的特点,而商业秘密的首要特性就是秘密性,不能被公众所知晓,一旦被知晓,就失去了保护商业秘密的价值。其次,数据的价值性很难界定。数据的价值不同于传统的价值,传统的价值具有可预见性。但数据的价值是一种潜力价值,很多传统上认为没有价值的数据会随着技术的挖掘而逐渐产生价值[12]。最后,企业数据的保密性难以确定。企业是否为了保护商业秘密而设置保密措施,对此很难有直接的判断标准,因为企业数据的加密是常态,数据安全的加固和升级也是多种目的的需要,并不能直接判断是为了保密[16]。
在大数据时代,数据权利(权益)的保护已经成为共识。由于信息革命的推动,引发了包括价值观念、生产方式、生活方式、社会关系、社会秩序等在内的全方位的变革[17]。工商业时代的传统法律制度已经无法应对新型的数据权利保护:传统的侵权法无力保护数据的隐私权益,物权的保护路径面临数据权利保护的不足,知识产权无法全面保护企业数据权利。面对数据权利保护的困境和挑战,需要构建新型的数据权利保护的模式与机制。
根据数据敏感程度的不同,可以分为重要数据、敏感数据、个人数据以及非个人数据。针对不同敏感度的数据,在数据收集和使用过程中对于数据的保护程度也是不同的。敏感数据不同于重要数据,敏感数据的主体是个人,而重要数据的主体是国家,是从整体利益角度出发界定的重要数据。个人数据与非个人数据的区别主要在于:个人数据与人格权、隐私权相关,在数据收集过程中强调数据主体的知情同意是合法性基础。非个人数据更加强调的数据的财产属性,《民法典》将非个人数据与虚拟财产作出规定,非个人数据的本质是企业的财产,如工业数据。
数据以行业领域为基础进行分类,可以将数据分为金融数据、健康医疗数据、消费者数据、公共数据、儿童数据、就业数据以及教育数据。不同领域的数据关注的重点和保护的核心都不相同。金融数据重点关注的是金融消费数据融合和共享之间的合法性框架问题;健康医疗数据重点关注的是个人信息保护和产业发展之间的平衡;消费者数据重点关注的是消费歧视、价格歧视等带来的消费者权利保护的相关问题。公共数据关注的是公共数据的开放及分级、分类机制建立的相关问题;儿童数据关注的是如何对儿童进行特殊保护及如何确认监护人是否同意收集信息;就业数据关注的是数据共享和交易的合法性框架,尤其是职场数据监控的法律边界问题;教育数据更多关注的是教育行业如何在数据的支撑下实现智能化,如何避免教育机构利用数据进行过度营销,侵犯学生和家长的隐私权利。
我国由于数据权利保护的法律体系不完整,呈现出“专门化”“板块化”“碎片化”的立法问题。首先,制订统一的《个人信息保护法》。《民法典》对于隐私、个人信息、数据进行了关系界定。《民法典》将个人信息保护和隐私权保护规定在人格权编下,而将数据规定在财产权编里:法律对数据、网络虚拟财产的保护有规定的,依照其规定。这样的立法规定体现了《民法典》既要对个人数据进行保护,也要促进个人数据流通的立法意图,同时,也显示出传统《民法典》对于数据权利保护的无力。所以,《民法典》并不能满足对于个人信息保护的法律需求,需要在此基础上,制订统一的个人信息保护法。推进个人信息保护全面性立法及实施细则的出台,可以参考美国《消费者隐私权利法案》建立“安全港机制”,鼓励业界拟定可操作性的实施细则[18]。
美国联邦层面虽然没有制订统一的个人信息保护法,但有着其他国家无法比拟的强大的外部执法机制,能够约束信息控制者的行为[19]。我国由于个人信息保护法尚未出台,各部门立法分散、法律规范不衔接。需要构建强有力的外部执法机制来对数据权利进行有效保护。首先,建立独立的专门管理机构。由于个人信息保护涉及面广,但目前我国并没有权责统一的监管机构,应设立一个统一、专门、独立的管理机构。目前,工业和信息化部只涉及电信和互联网行业的管理,并不涉及个人信息的管理[20]。其次,完善行政处罚与刑事责任的衔接。当前,我国的数据权利保护,相较于行政处罚而言,主要以刑事责任为主。目前,太过于重视刑事责任,有违刑法的谦抑性,将不利于数据产业的发展。欧盟严厉的行政处罚是数据权利保护体系的特点,美国更是有行政和解协议。从诸多国家的实践看来,行政处罚是保护数据权利体系的有效和重要手段。当前我国数据权利保护存在刑法制裁与其他手段脱节的现象,需要完善行政处罚与刑事责任的衔接。
随着互联网、人工智能,大数据的发展,人类进入了数字时代。人们的生活工作无时无刻都在产生着数据,数据在给人们的生活带来便捷的同时,也产生了巨大的财产价值。与此同时,对于数据权利保护也存在不足,主要体现在传统的侵权法无力保护数据的隐私权益、物权保护路径面临数据权利保护不足及知识产权无法全面保护企业数据权利。工商业时代的法律规定已无法对数据权利进行保护,应构建新型的数据权利保护模式与机制对数据权利进行全面保护。如对数据进行分级分类保护,在此基础上完善数据权利保护的法律体系,与此同时构建有效的外部执法机制。