个人数据安全的法律保护模式
——从数据确权的视角切入

2021-03-15 07:21安柯颖
法学论坛 2021年2期
关键词:保护模式数据保护数据安全

安柯颖

(北京外国语大学 法学院,北京 100089)

当前,在强化数据安全、数据要素赋能之际,国务院在2020年5月18日颁布的《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称“构建要素市场意见”)和同年5月发布的《2020年国务院政府工作报告》中都将“完善数据权属的界定”纳入到国家顶层制度设计中,体现了数据确权对完善我国市场经济体制的重要性。无论是科技创新企业、互联网企业以及参与市场经济管理的主体,在数据资源化场景中都无法回避数据权属的界定,由此引发了学界对数据权属背后隐藏的法律属性之争(1)参见杨永凯:《互联网大数据的法律治理研究——以大数据的财产属性为中心》,载《石河子大学学报(哲学社会科学版)》2018年第2期;王玉林、高富平:《大数据的财产属性研究》,载《图书与情报》2016年第1期;刘德良:《个人信息的财产权保护》,载《法学研究》2007年第3期。、数据权益分配之论(2)参见叶名怡:《论个人信息权的基本范畴》,载《清华法学》2018年第5期;杨立新:《个人信息:法益抑或民事权利》,载《法学论坛》2018年第1期;程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期;彭礼堂、饶传平:《网络隐私权的属性:从传统人格权到资讯自决权》,载《法学评论》2006年第1期;梅夏英:《在分享和控制之间:数据保护的司法局限和公共秩序构建》,载《中外法学》2019年第4期。和法律保护模式之辩(3)于志刚:《“大数据”时代计算机数据的财产化与刑法保护》,载《青海社会科学》2013 年第3期;冀洋:《法益自决权与侵犯公民个人信息罪的司法边界》,载《中国法学》2019年第4期;刘艳红:《侵犯公民个人信息罪法益:个人法益及新型权利之确证》,载《中国刑事法杂志》2019年第5期。,同时也引起了实务界对数据确权的高度关注,充分意识到数据安全的法律保护模式应“根据数据性质完善产权性质”(4)在《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》中,明确提出加快对“数据开放共享”“数据资源价值和法律安全保护”“研究根据数据性质完善产权性质”的研究。,以此“制定数据安全的法律保护制度”。本文坚持“数据保护不是终极目标,数据赋能才是社会发展的重心”这一理念,在实现数字正义进程中探讨数据权属及其法律保护模式,从司法判例和地方立法中循证数据确权的制度支持和法律保护模式。

一、个人数据利益(权属)分配的合法性边界之争

无论是从数字经济角度重申数据要素的市场化贡献(5)继2017年12月8日,习近平总书记在主持中共中央政治局第二次集体学习时就强调:“在互联网经济时代,数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力。”2019年10月31日,中共十九届四中全会通过《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》,提出要“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”,正式将“数据”赋予了生产要素的合法地位。在2020年3月30日,中共中央、国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》中,再次确认了数据作为与土地、劳动力、资本等并列的新型生产要素,并且提出要“加快培育数据要素市场”。至此,数据流通和利用拥有了明确的法律地位和发展方向。、还是从网络社会治理角度阐释数据流通和利用反噬公共治理,数据权属是公众关注的焦点,也是数据立法留白的地方。在数字社会,我们每一个人都是数据产生者。我们在移动应用软件上产生的个人数据(目前是体量最庞大的),也在悄无声息地同时完成了个人数据的收集和监控,包括网页浏览、购物痕迹、朋友圈通讯录、地理位置信息等数据都被收集在册(6)南都记者曾在2015年至2019年期间,对工信部公布的有问题的应用软件名单进行统计:有695款应用软件存在违规收集使用用户个人信息、捆绑应用软件推广广告信息等行为。2018年北京市消费者协会发布《手机App个人信息安全调查报告》显示,有86.92%的用户认为手机 App存在过度采集个人信息的行为。,甚至连美国总统竞选的广告都会被定向投送至总统候选人所在的党派成员邮件系统中。如此一来,由APP收集的数据属于谁?其本质是网络服务提供者通过技术手段获取网络用户数据的合法性边界如何划定。数据利益(权属)之所以备受关注,不是因为它被数据立法“留白”了,而是因为在数据身上承载了人格权、财产权以及由人格权和财产权引起的产权流转关系,这是实现数字产业化的起点,也是实现数据合规的关键环节。这一时代之问在众多司法判例中得以凸显,例如“脉脉擅自搜集、使用新浪微博注册用户的个人信息”“数据特洛伊之战的头腾案”“大众点评诉百度案与HiQ诉LinkedIn案”“生意参谋案”,都涉及数据权属的认定,本质上依然延续了如何合理分配网络用户与网络服务提供者的数据利益(数据权属)这一争论。从上述案例中我们可以发现,我国对数据利益(权属)的司法认定态度继承了私法保护思维,重视数据的财产属性,支持数据分类法律保护模式。至于数据利益(权属)归谁所有,理论界至今也争论不休,(7)关于数据权属的划分争议不断,归纳起来有四类:数据属于个人、数据属于平台、数据属于个人与平台共有、数据属于公众。仍无法确定数据权属配置给谁最合理。但是,随着数字社会转型的推进,数据价值和功能从私人领域扩大到公共领域,从个人信息安全上升至数据安全、国家安全。这意味着,在科技进步的同时,法律应当与科技同行。数字化社会带来的不仅是人们对安全的隐忧,也对公众权利(数据利益)设置带来了时代之问。因此,对个人数据安全的法律保护需要平衡数据利益的多元性,从社会治理的逻辑下构建多元的个人数据安全的法律保护模式。

我国在推进和拓宽数据资本化利用的渠道中,与之配套的政策法规也在不断更新和完善,其中数据权属的法律定位是核心。针对目前数据权属的学理之争与司法实践存在错位认识,只有区分了“数据属于谁?”这个原论之后,关于数据安全法律保护的讨论才有意义,即以“数据确权”为圆心,展开对数据安全法律保护模式的讨论。首先,在回答这个问题之前需要明确线上数据与线下数据是有共性特征的,即数据主体与线下社会活动密切相关,离开了承载数据的实体,数据便是无源之水,一切都是沦为空谈。对此,我国在即将通过的《 数据安全法(草案)》中作出了积极的回应,制定了数据安全法律保护的框架性结构(重点保护企业数据安全),对个人数据安全的保护在该草案的第29条虽有所涉及,但过于模糊,无法与个人信息保护相关的罪刑条款对接,我们对此寄期望于已列入立法计划的《个人信息保护法》能予以明确与个人数据安全以及个人数据权属界定相关的概念。基于此,梳理我国对个人数据安全的法律保护模式,并在此基础上反思立法疏漏,进行司法补遗,是本文的写作目的。其次,本文使用的“数据”,是指个人数据,并非“信息”,主要基于以下两点考虑:第一,从“数据”与“信息”的涵射来看,多数学者承认二者是载体和内容的关系,(8)参见齐爱民:《论个人信息的法律保护》,载《苏州大学学报(哲学社会科学版)》2005 年第 2 期;纪海龙:《数据的私法定位与保护》,载《法学研究》2018年第6期。但也有学者把数据表达为经过提取处理过的信息(9)参见郭瑜:《个人数据保护法研究》,北京大学出版社2012年版,第128页。,无论数据具有工具性(10)参见梅夏英:《在分享和控制之间:数据保护的司法局限和公共秩序构建》,载《中外法学》2019年第4期。、抑或介质性,都呈现出数字化技术对数据的影响。当然,二者之间法律界限并非泾渭分明,在“阳光数据诉霸财数据案”“新浪诉脉脉案”和“头腾大战”的判决中都采用了“数据信息”的文字表述,其实这也符合公众对语言文字的朴素理解。但从专业技术的角度究其二者区别,需要放在具体的场景中讨论。例如,个人信息是数据的基点,与人身财产相关的才能被表达为数据,因为只有数据才能产生竞争优势,才能产生数据利益。第二,从“数据”与“信息”的外延来看,数据所涵盖的范围要比信息更广。例如个人信息是从个人数据中提取。其中,个人数据可以包括个人本体数据和个人附属数据。个人本体数据可以是个人生物数据,个人附属数据可以包括消费偏好、地理位置信息、浏览记录、手机通讯录等附着在个人身上的数据。在这个意义上,对“数据”的理解,超过了公众对数据本身语义的理解和预测范围。基于对数据具有财产性、工具性、排他性的认可,本文采用的“数据”概念,是与“信息”有差别对待的,不可互换使用。

二、数据确权的法律循证及保护模式的理论巡检

关于数据权属的认定,尽管受制于数据立法空白,(11)关于数据权利与数据交易,《数据安全法(草案)》第17条规定了“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”但该草案并没有对数据权利进行确认。《数据安全法(草案)》第30条首次在国家立法层面正式提出“数据交易”与“数据交易中介服务”的概念,数据交易中介服务提出了相关要求,实质上是形式审查的要求,为回应第43条而存在的,表明是数据交易合法的要件之一,不能直接视为数据交易合法,更不能由此推定承认数据权利。就个人信息保护而言,《数据安全法(草案)》第29条对此进行了概括式回应,与《网络安全法》第41条和《民法典》第1035条的个人信息原则形成了形式上的延续,但无法与个人信息保护的现实需求进行有效对接。但这并不影响我们从司法层面寻求对数据确权的法律支持,面对我国已经发生的多起数据权属纠纷,以“脉脉擅自搜集、使用新浪微博注册用户的个人信息”“数据特洛伊之战的头腾案”“大众点评诉百度案”“HiQ诉LinkedIn案”与“生意参谋产品的不正当竞争案”较为典型,它们都涉及数据权属的认定及数据安全法律保护模式的选择。本文从立法论和司法论层面寻求我国对数据确权的立法态度和司法评价,并以5个案例展开分析,探索对个人数据权益(权属)的最佳法律保护模式,以回应数据安全立法背后的焦点问题。

(一)数据确权的法律循证

从数据确权的案例和地方立法层面,寻求关于数据确权的法律印证,旨在为创新个人数据安全的保护模式提供理论依据。

1.淘宝“生意参谋案”实现了我国首次对数据权益的司法确权。关于数据确权,讨论最激烈的是个人数据权益(权利)与网络平台数据权利冲突的情形。就“淘宝生意参谋案”而言,涉案的数据产品经过淘宝公司的长期“研发”,成为了能带来经济利益的、具有竞争优势的“商品”。对平台经营者而言,数据产品已拥有了财产属性,即具备了商品的交换价值,为平台经营者带来了经济收益。在某种程度上,数据产品被视为网络平台经营者的核心竞争优势,成为互联网行业的主要商业模式。对于美景公司通过不正当竞争手段非法获取淘宝公司研发的“商品”,淘宝公司对其侵犯数据产品的财产性权益提起了诉讼,认为美景公司通过“搭便车”的不正当竞争行为非法牟利,显失商业道德,阻碍数据产业的发展。对于此类案件,要解决数据产品资产化的前提,必须先明确相关行为是否侵犯用户隐私、数据权益的归属和涉案数据产品的性质,再厘清网络运营者(淘宝公司)与网络用户对网络用户的数据、原始网络数据、数据产品的权利边界。如果不涉及用户隐私,就应该在促进数据合法流通共享的前提下判断数据权益的合法性边界。“生意参谋案”的判决在我国法律尚未对数据产品的权利属性及保护作出明确规定的背景下,承认了数据产品权属,即“生意参谋”是淘宝公司的劳动成果归淘宝公司享有,实现了我国首次对数据权益的司法确权。根据《中华人民共和国网络安全法》第22条的规定:对网络产品、服务具有收集用户信息功能的,提供者应当向网络用户明示并取得同意许可。从取得用户许可层面来判断,淘宝公司在用户注册账号时通过“服务协议和隐私权政策”就取得了授权许可。从行为的正当性来看,淘宝公司经网络用户授权后收集、使用的原始数据均来自于淘宝用户的默认提供或平台自动获取,不能认定淘宝公司通过非法手段获取用户信息。就涉案数据性质而言,数据内容虽来源于网络用户的原始数据,但经过淘宝公司的智力加工后,与普通意义层面的网络数据发生了质的变化,具备了“产品”的商业特征。鉴于网络用户信息与原始网络数据是“生意参谋”案中数据产品的构成要素,在网络运营者(淘宝公司)与网络用户之间存在服务合同关系之下,此时网络用户信息丧失了财产属性,原始网络数据本质上依旧是网络用户信息的数字化表达。因此,淘宝公司收集、使用网络用户信息的行为符合法律规定,具有正当性。不得不承认,该判决对数据权益进行司法确权具有“判例”的司法指引效果,与《深圳经济特区数据条例(征求意见稿)》对个人数据进行立法确权遥相呼应,丰富了对数据权益保护的法律实践。

2.《深圳经济特区数据条例(征求意见稿)》首次对个人数据进行立法确权。在数据生态链中,数据生产者、控制者、收集者和使用者肩负着数据化实体的功能,他们之间的共生关系要求立法者将数据生态链上的每个环节的数据化实体视为平等主体,并要求给予平等保护和尊重。正是基于这样的法理基础,深圳于2020年7月公布了《深圳经济特区数据条例(征求意见稿)》(以下简称《数据条例》)第4条规定:“自然人、法人和非法人组织依据法律、法规和本条例的规定享有数据权,任何组织或者个人不得侵犯。数据权是权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利。”这是国内地方立法首次对个人信息进行确权,并对“数据权”作出了界定。这是地方立法首次对个人信息进行确权,在制度创新层面实现了对新型生产要素赋权的制度安排,该《数据条例》在自然人、法人及非法人的数据主体上赋权,目的是与公共数据开放进行理论对接。从法规范的逻辑性和体系性来看,因为只有明确数据主体的权利,才能对数据控制者和使用者设定相应的义务。进一步而言,包括法人、政府在内的所有社会主体都有尊重和保护个人数据安全的义务。继淘宝“生意参谋案”实现了我国对数据权益进行司法确权之后,《数据条例(征求意见稿)》对个人数据进行确权,它们从方法论上划定了数据权益的边界,在立法论层面对个人数据进行确权,为我国个人数据安全保护模式进行制度创新提供了良好的示范。

(二)数据安全法律保护模式的理论巡检

面对我国发生的多起数据权属纠纷,本文选取了以“脉脉擅自搜集、使用新浪微博注册用户的个人信息”“数据特洛伊之战的头腾案”“大众点评诉百度案与HiQ诉LinkedIn案”“生意参谋案”为代表的案件,从数据权属的分类保护、场景化区分及平台保护三个维度,分析个人数据安全法律保护模式的。虽然选取的样本数据有限,但基本上可以总结出我国司法审判的态度,用以反补理论研究的不足。

1.财产权保护模式。个人数据在“体量”和具体场景实践中改变了数据的原始样态,这是数据纠纷案件中的一个共性,在“谁的数据,谁的财富”背景下,“数据石油”已成为市场经济争夺的首要目标,本文选取了五个案例作为分析对象,旨在呈现个人数据的财产权属性是导致案件纠纷的根本原因,即个人对其数据具有支配性的财产权,可以通过自己的意志决定数据交易来获利。该模式的争论在于个人数据能否作为财产权的客体,(12)参见张新宝:《民法总则个人信息保护条文研究》,载《中外法学》2019年第1期;纪海龙:《数据的私法定位与保护》,载《法学研究》2018年第6期。并主张基于数据的财产性价值,个人数据的财产性价值也应当得到保护。五个案例表明,它们都是以不正当竞争为由被起诉,这意味着数据的财产属性是公众所关注的(详见表一),即便是数据纠纷也无法否定数据具有财产价值的本质,司法机关对个人数据的保护首先考虑的是个人数据的财产价值,通过经济法和刑法手段对其提供保护。对个人数据的人格权保护,是在继财产权保护之后才启动。这里要说明的是,不是个人数据的人格权属性不重要,而是我国现有法律框架是以“利益衡量”(13)对该原则的类似表达,也有学者采取了“两头强化,三方平衡”的观点,即对个人敏感信息和隐私信息进行强化保护,对个人一般信息进行商业利用、公共管理利用的评估,实现个人、信息业者和国家三方利益平衡。参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015 年第 3 期。为构建原则,国家对数据保护同样采取的是优先保护国家利益、公共利益。针对个人数据的法益衡量,必须让位于国家安全和公共安全,该原则在《数据安全法(草案)》中可以得到印证,包括我国刑法对个人数据的保护,也是以不影响国家安全、公共安全和数据安全为前提的,由此可以看出,我国对数据安全的法律保护更强调对经济利益和市场秩序(14)通过归纳,理论界有观点集中认为:我国在使用《反不正当竞争法》处理数据确权的做法,应当慎重对待。从世界范围来看,只要不侵害法定权利,一般不会被认定为不正当竞争。尤其是在商业运用场景中,搭便车是企业寻求商业机会的普遍行为,与此同时,企业也为此付出了“搭车成本”。的考量。

表一:数据权属的司法认定

2.人格权保护模式。该模式主张保护个人隐私权和个人信息权。个人数据具有隐私性质,是基于世界各国采用保护个人数据的方式实现对个人隐私的保护。例如,美国对个人数据的法律保护采用的是“隐私”的表达,体现在1974年的《隐私权法》和大多数草案中。欧盟没有直接采用“隐私”冠名,但在《个人数据自动化处理保护公约》和《欧盟数据保护指令》中对个人数据的保护均采用“隐私”的概念。随着公众对个人信息保护的逐渐重视和了解,认为当代个人信息的范畴已经超越了对传统隐私的认知,在《欧盟一般数据保护条例》(以下简称为“GDPR”)中已没有出现“隐私”一词,我国鲜有学者支持该表达。关于将个人数据采取人格利益的保护模式,学界至今尚无定论,争论的焦点在于人格权的属性之分,(15)人格利益之争的焦点集中在“权利”与“利益”之争,尽管学术界已经认为个人信息已成为新型人格要素的客观存在,我国《民法总则》第111条也明确给予了对个人信息(数据)进行法律保护的合法地位,但对个人信息权没有明确的界定,这也导致对个人信息(数据)的范围理解不一致。在大多数法律文本中,对“数据”和“信息”的混用,已成为一种普遍现象。现已有学者对此进行了关注和澄清,参见韩旭至:《信息权利范畴的模糊使用及其后果——基于对数据/信息混用的分析》,载《华东政法大学学报》2020年第1期。多数学者认为,在实践中个人信息难以作为独立人格利益,(16)个人信息无法作为独立人格利益主要存在:个人信息和隐私无法区分,个人信息的范围过于广泛,难以认定为人格利益。参见梅夏英:《在分享和控制之间:数据保护的司法局限和公共秩序构建》,载《中外法学》2019年第4期。但不能否认“人格利益说”的确为个人数据的法律保护提供了一种法律保护的思路。于是,个人信息自决权的提出,为个人对数据的支配提供了防御性的权利架构模式,弥补了人格利益说的不足,这也是西方国家对个人数据(信息)的保护从隐私权保护、人格利益保护过度到对个人信息自决权的观念转变。该权利重视个人对自身信息具有独立的决定权、控制权和支配权,能够防止个人信息免遭他人的非法获取、传播和利用,通过自我决定实现数据交易。总体而言,个人信息自决权的完美设想在理论上为防止个人数据滥用提供了一种解决方案,但就“自决”本身而言,个人对自身信息的控制,往往是无法(不能)控制的。现实情况是,个人数据通常是在不知情的背景下被收集,在被收集后又丧失了对数据控制的权限。从适用空间来看,信息自决权仅适用于网络空间的个人数据控制,不适用于“线下”空间。从信息自决权的权利设置目的来看,该权利只保护个人数据(信息)不被滥用。从实践层面来看,GDPR设置了30多种禁止收集的情形,这在很大程度上限制了信息自决权的行使。当然,我们不否认信息自决权对个人数据保护的积极作用,但对于个人附属信息,它却无法提供有效保护。笔者认为个人附属信息也属于个人信息的范畴,例如个人通讯录信息是在线下环境中产生的数据,但它的确依附于个人而存在,它的附属价值同样与数据价值一样,具有隐私性、独占性和财产性,非法贩卖手机号码就是典型例证。值得注意的是,在“脉脉擅自搜集、使用新浪微博注册用户的个人信息”和“大众点评诉百度案”中,对数据人格权的法律保护力度的确低于对数据财产权的保护力度,即便是平台之间不正当竞争纠纷,也没有出现公民维护数据人格权的诉求出现。这是因为,数据流动本身就会带来利益期许,现实中对个人数据愿意采取支付注意义务的保护措施,这就意味着个人数据是具有财产价值属性的,无论是新浪,还是百度,用户的注册信息本身就具有商业价值,都可以成为定向投送广告的对象。但是个人在换取数据服务的同时,让渡个人数据信息权是交换条件,即数据服务协议改变了数据保护模式,从而影响了数据权益配置,公民对个人数据安全保护的诉求自然降次于数据财产权之后。

3.平台保护模式。在数据资产化背景下,网络平台通常会基于自身数据的体量优势支付更大的管理成本和技术成本保护公民个人数据(信息)。这是平台企业竞争力和社会影响力的决定的,相比有形财产,公民数据信息是作为平台企业数据财富实现的来源,没有个人数据(信息)的贡献,就没有数据财富。在此意义上的网络平台,具有三个层次的法律定位。其一,网络平台肩负着数据汇聚的功能,也由此拓展出数据创新的功能。作为科技创新和数据产品的商业推广实体,网络平台为数据用户提供了数据服务的场所,承载者对数据服务的利益期望。其二,网络平台对数据产品的技术升级、安全保护模式具有不可替代的作用。尽管众多案例是以网络平台的侵权形象出现,案件纠纷集中在网络平台对公开数据的不当获取和使用,法律否定的是网络平台基于技术优势的不正当竞争,即背离数据创新方式的坐收渔利,但国家始终强调“避免对正当技术造成误伤”作为鼓励网络平台企业发展的“红线标准”。其三,网络平台的防御功能。作为数据聚集地,网络平台更重视对原始数据的二次加工和提炼,在“脉脉擅自搜集、使用新浪微博注册用户的个人信息”“数据特洛伊之战的头腾案”“大众点评诉百度案与HiQ诉LinkedIn案”“生意参谋案”中,网络平台以数据控制者的身份防御数据免受他人(法人)的非法入侵。该模式在我国《网络安全法》和《刑法》中已经践行,在《数据安全法(草案)》第7条关于数据安全管理主体的设置方面,还留有调整配置的空间,即将网络平台纳入数据管理的辅助位置,以数据市场参与者身份参加数据的治理,或许更能体现数据安全保护的时效性特征。

三、个人数据安全法律保护模式的配置方案

在数据时代,数据安全的法律保护面临巨大的冲击。无论是在私法层面、抑或公法层面,都莫不如此。个人数据权保护模式面临作出规范性调整的现实需求。数据法治,路在何方?这个问题既不能在单一部门法中回应,也不能在公法或私法层面回答,需要立足数据存在的具体场景,突破私法或公法的思维局限,在数据安全法律保护模式上查遗补漏,作出有针对性的调整方案。

(一)商业秘密保护模式可以拓宽数据财产权保护模式的路径

数据的经济价值在于使用数据,而不是占有数据(17)参见[英]维克托·迈尔—舍恩伯格、肯尼斯·库克耶:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,浙江人民出版社2013年版,第156 页。。个人数据区别于智慧财产,在知识产权保护范畴中,商标、专利和版权在权利设置上具有排他性、独创性和使用价值性。个人数据显然缺乏独创性,独创的过程实质上是创新和创造的复合程序。相反,个人数据具有数据的原始属性,没有智慧财产的二次创造过程,即使扩大到面部整容范畴,依附于个体之上的面部数据也被视为生物数据。这意味着,个人数据不宜视为智慧财产对其进行知识产权类的法律保护。尽管数据的本质是代码,在今天已被视为新型生产要素,在将来被法律认定为新型财产也具有现实可能。就数据的虚拟属性而言,数据控制者抑或使用者只拥有对数据的线上使用权和控制权,没有线下的占有和控制权。因此,数据流动和使用受到了算法的控制与数据架构的控制,这就意味着一旦数据被非法控制,对数据用户产生的损失在于丧失对数据的使用限权。鉴于数据所蕴含的财产性价值在特定场景中会体现出商业秘密所特有的属性,即秘密性、排他性和财产性,因此,借鉴商业秘密的保护模式对数据财产权保护模式进行改造,可以拓宽数据保护的路径,也能强化数据所有者对数据的合法使用的效率。具体而言,在数据流动或商业化场景中,数据被收集、储存和使用过程中通常会与经济利益附着相关,与此同时,数据会出现被盗窃、泄露和滥用风险。在涉及个人数据安全保护机制和数据产品使用场景中,“知情同意”条款成为了数据控制者的免责事由,一旦数据风险及其实害后果出现,数据主体需要承担的相应的法律责任。如此形式主义的归责方式既无法保护数据安全,又徒增显示公平的弱势感。鉴于数据的财产属性,可以考虑使用刑法中“侵犯商业秘密罪”的罪刑规范,对数据使用者通过非法手段获取数据、非法使用或公开数据的,只要数据控制者采取了数据保护态度的,数据本身也达到成立商业秘密的标准,即可成立本罪。本罪的对象可以是普通数据,也可以是个人数据;在数据保护语境下,该罪名所保护的法益是数据控制者与处理者基于数据附着的经济利益,维护的是数据公平交易的市场秩序,一切通过不正当竞争手段的数据获取和数据使用行为,均在本罪的打击范围内。总体而言,在数据资产化背景下,数据商业化利用已成常态,数据交易每时每刻都在发生,只有通过刑法手段(对数据提供刑法保护)规范数据市场交易秩序的合法化、健康化,才能对数据安全、网络安全、国家安全的实现提供切实保护。

(二)数据场景化保护模式可以弥补人格权保护模式的虚置

不同场景中的个人数据,承载的数据权益不同,保护模式也不同。在网络社交场景中,个人数据在朋友圈的流动与传播不具有隐私性,可纳入公共数据的范畴;在公共卫生场景中,个人数据用于疾病防治和健康医疗,由于其中的个人数据包含了生物可识别信息或敏感个人信息,属于数据隐私保护的对象;在商业应用场景中,个人数据的商品价值属性显现,属于法律应该重视保护程度的范畴。由此可以看出,在考虑个人数据的类型化划分之外,需要对数据存在的具体场景作出不同的数据保护方案。鉴于同类数据在不同场景中代表的数据权益不同,而数据保护和流通是需要在具体场景中才能实现,将抽象的人格权数据场景化,有利于帮助我们厘清数据的权利边界。欧盟的GDPR和美国的《消费者隐私权利法案》将个人数据权利放置于特定环境中来对待数据保护,是典型例证(18)参见丁晓东:《什么是数据权利?——从欧洲〈通用数据保护条例〉看数据隐私的保护》,载《华东政法大学学报》2018年第4期。。今天,世界各国都面临数据人格权保护模式的虚置,特别是身处监控无处不在的时代,我们的网络活动轨迹被记录在案的多于我们希望共享的(19)参见[美]布拉德·史密斯、卡罗尔·安·布朗:《工具,还是武器?》,杨静娴、赵磊译,中信出版集团2020年版,第27页。,并且大多是在不知情的情况下被记录,在数据被收集记录之后就已完全丧失对数据的控制权限。类似地,我国刑法中关于侵犯公民个人信息罪的立法初衷是保障个人信息自决权,适用权限仅限于处于数据收集环节的权利。值得注意的是,数据收集是具有时间链条性,只有在数据收集环节的权利才得以保护,那么数据被收集之后的权利怎么保护,什么法律法规可以提供保护?我国刑法没有回答,这就意味着数据权利主体的人格权正遭受侵犯。若延续利益衡量的数据保护模式,势必造成对个人数据安全法律保护的供给不足。为有效防范不可预见的风险出现,个人数据场景化保护模式的提出,在一定程度上可以弥补人格权保护模式的虚置。从方法论进路来看,个人数据场景化保护模式可以细化数据分类、分级保护方案。就数据分类保护方案而言,针对个人一般数据,可以采取利益衡量原则选择保护模式;针对个人隐私数据或敏感数据,可以采取权益分配原则,即根据不同数据主体的权益分类,采取不同的权益保护模式。无论是利益衡量原则抑或权益分配原则,无法评价孰优孰劣,在强调数据主体权利保护的场景中,利益衡量原则或许可以成为数据保护的合理选择,但会在一定程度上限制数据流动和使用;在需要对科技产业、公共利益进行特别保护的场景中,权益分配原则是首选,数据独裁的现象自然也不可避免。从数据流动分级保护的进路来看,对敏感数据、隐私数据、身份数据和生物数据的流动限制是不一样的。与人格权关系越紧密的隐私数据、敏感数据和生物数据,应不允许流动;其中,个人生物数据在医疗场景中可以考虑附条件的流动;但对于与财产权关系紧密的身份数据,可以考虑有限制的流动。由此可见,对个人数据采取分类分级保护模式,重心在于强化数据控制者和数据处理者的合规义务,在数据安全保护全链条中,除数据收集环节的权利得以保护之外,数据被收集之后的保管、储存、交易等环节,数据控制者和数据处理者都要以实现数据合规为数据保护的最终目标。

(三)平台保护模式可以优化数据安全法律保护的制度设计

平台保护模式需要配置两个层次的制度设计,第一 在平台商业模式中,将个人数据人格权保护转化为财产权保护是数据用户对数据产品使用的妥协,正如上述判例显示,数据用户无法从网络平台中获得实质性补偿。基于网络平台对个人数据(信息)负有保护义务,我们亦有权要求网络平台履行“合理使用原则”的数据保护义务,在数据用户遭遇法律纠纷时,可以籍此原则主张救济权利。该义务的设置,可以优化数据要素市场的法制化环境,还能及时地保护个人数据安全。该义务设置的初衷在于,个人数据(信息)受到侵害,与环境受到破坏、污染类似,一旦形成实害后果,所有的救济途径都于事无补。因此,前置数据安全法律保护的防线,是切实保护数据安全最有效的手段,设置个人数据分级分类保护制度,是根据数据性质本身、根据及时就近原则启动保护措施。众所周知,不同的数据类型承载着不同的数据权益。个人数据是个广义概念,其中包括敏感数据、隐私数据、身份数据和生物数据。具体而言,以人脸、声音、瞳孔、指纹和基因为代表的生物数据;显示民族、性别、党派、出生地为代表的身份数据;以政治观点、宗教信仰等为代表敏感数据;显示婚姻状态、征信状态、通讯信息、地理位置和与财产相关的个人隐私数据,这些数据在不同程度上反映了个人社会生活痕迹。既然网络平台是具体执行数据安全保护的实体,根据个人数据类型配置不同程度的数据安全法律保护措施,这样的保护方案是最直接、也是最具时效性的。尽管理论界对个人数据分类标准尚存争议,但上文对个人数据的划分,为网络平台执行数据安全保护确实提供了一种具体的执行方案。

结语

数字社会的治理需要法制与自治的功能互洽,即将颁布的《数据安全法》旨在维护企业间的数据控制利益,不涉及数据确权。但在推进数据安全保护的深度和广度的同时,数据确权是一个难以回避的问题。公众和理论界对数据权属的认识一直围绕着财产权、知识产权和人格权展开,即便如此,数据立法对本文提及的、应当进行专门保护的数据,也没能在数据确权上作出制度安排,只能转由司法层面寻求判例支持。可以说,这是数字社会特有的治理方式,即间接的介入数据安全保护,通过司法论上的判例支撑和地方立法的先行入手,在社会治理主体多方的努力下形成完善的保护个人数据安全的法律框架。从众多数据纠纷案例中可以看出,当前对数据安全的保护大多以不正当竞争来规范数据市场秩序,该思路存在一定的局限性:由于数据确权的制度安排没有完成,数据的人格权保护没有得到社会的关注,数据利益的损害赔偿无法实现。尽管司法实践证明,过度重视数据的财产权属性,会弱化人格权保护的力度,助长数据滥用、破坏数据市场的公平交易秩序。究其本质,这是技术发展与法律滞后的原生矛盾。在社会治理规则(制度安排)出现之前,人们只能根据经验主义(司法审判)来寻求此问题的解决方案。因此,本文立足于数据确权的视角,分析个人数据安全的法律保护模式及制度设计,这既是我国处理数据纠纷的回顾性总结,又为将来数据安全法律保护模式的配置提供了备选方案。

猜你喜欢
保护模式数据保护数据安全
猫科动物的保护色
猫科动物的保护色
部署推进2020年电信和互联网 行业网络数据安全管理工作
欧洲数据保护委员会通过《一般数据保护条例》相关准则
欧盟最严数据保护条例生效 违反将严惩不贷
欧盟“最严”数据保护条例生效
建立激励相容机制保护数据安全
数据安全政策与相关标准分享
域外信用的立法模式对我国信用权保护的启示
民族文化传承视域下楚雄彝族民间艺术档案保护模式研究