民法典框架下个人数据财产法益的体系构建

2021-03-15 07:21任丹丽
法学论坛 2021年2期
关键词:控制者数据保护个人信息

任丹丽

(东南大学 法学院,江苏南京 211189)

将个人信息和数据规定在总则编第五章“民事权利”,是《中华人民共和国民法典》(以下简称《民法典》)的主要创新之一。(1)参见张新宝:《〈中华人民共和国民法典·总则〉释义》,中国人民大学出版社2020年版,第3页。在此之前,相关法律和部门规章多采用“个人信息”的提法,包括2020年10月征求意见的《中华人民共和国个人信息保护法(草案)》(以下简称《个保法草案》)。不同的是,《中华人民共和国数据安全法 (草案)》(以下简称《数安法草案》)和《深圳经济特区数据条例(征求意见稿)》(以下简称《深圳条例》)则对个人信息和数据进行了明确区分。综合这些规范性文件,立法者对个人信息与数据的认识可归纳为三个方面:第一,从个人信息与数据所处的位置来看,《民法典》倾向于将个人信息归入人格利益的范畴,将数据归入财产利益的范畴。第二,数据的范围比个人信息广泛,既包括涉及个人信息的数据活动,也包括不涉及个人信息的数据活动。第三,个人数据是个人信息的外在表现形式,包括个人信息数据和隐私数据。这些特点基本反映了学界对个人信息与个人数据关系的认识。虽然世界范围内个人信息立法与个人数据立法兼而有之,(2)仅亚洲立法就存在“个人信息”和“个人数据”两种表述,如《日本个人信息保护法》(Personal Information Protection Commission of Japan)和新加坡《个人数据保护法案》(Personal Data Protection Act)。但是我国立法出现“个人数据”这一变化,说明个人信息与个人数据的法定属性开始出现分离,个人数据的财产属性逐渐受到重视,“促进数据开发利用”更是直接成为立法目的。(3)参见《数安法草案》第49条。

包含有个人信息的数据(本文称为“个人数据”)被收集、使用和分享的现象普遍存在,相关主体在个人数据上的权利是人格权、财产权还是特殊类型的权利或利益,法学界争议已久。与个人信息的人格属性相比,个人数据更强调个人信息的物理存在形式,且常常处于公权力机关或经营性主体的控制之下。如果说个人信息的人格属性决定其主体具有唯一性,个人数据的财产属性则导致其主体的多元化,近年来出现的互联网巨头之间的“数据之争”(如新浪与脉脉、大众点评与百度、顺丰与菜鸟和新浪与今日头条等)正是互联网巨头之间数据权益诉求的体现。未经互联网平台同意(甚至平台协议明确禁止),第三方能否仅仅依据自己用户的授权大批量、自动化抓取用户已在该平台发布的数据,不但涉及人格权与财产权相关规则的制定与协调,还涉及数据独占与共享的价值衡量。

一、个人数据法益是一个多主体的财产法益体系

与个人信息相区分,个人数据是在形式层面上使用的概念,指的是个人信息在计算机网络中的实际存储和使用状态。(4)欧盟立法中的“个人数据”没有区分内容与形式,本文在引用时着重分析有关其形式意义上的相关规定,因此统一采用“个人数据”这一表述。欧盟的个人数据立法以保护数据主体的基本权利为目的,其基于个人数据上技术控制力的大小来界定权利主体及其权利义务的方法,也为私法领域构建民事主体的数据法律关系提供了方向。

(一)我国立法对个人数据以行为规制为主

互联网平台的数据之争,法院多依据反不正当竞争法保护数据被抓取方的利益,同时也都承认互联网用户与平台在个人数据上的利益存在主次关系。2016年新浪诉脉脉案中,法院认为新浪微博的用户数据是“互联网经营者重大的竞争利益”,在个人数据再利用时“应给予用户、数据提供方保护及控制的权利”,并为数据抓取行为确立了“用户授权+平台授权+用户授权”的三重授权原则。(5)参见“北京知识产权法院(2016)京73民终588号民事判决书”。2018年淘宝诉美景案中,法院认为淘宝公司的“生意参谋”是依托于淘宝用户数据开发的大数据产品,淘宝公司享有“竞争法意义上的财产权益”。但是,淘宝公司对用户行为产生的原始网络数据的权利是依照网络服务合同的约定产生的使用权,“受制于网络用户对于其所提供的用户信息的控制,而不能享有独立的权利”。(6)参见“浙江省杭州市中级人民法院(2018)浙01民终7312号民事判决书”。

在法无明文规定的情况下,法院将互联网平台控制个人数据的权利定性为竞争利益,固然是由案由决定。但是,竞争利益仅能概括竞争关系中当事人之间的争议标的,无法解释数据抓取法律关系中权利人之间的关系。换言之,互联网平台之间因数据抓取行为产生的法律关系至少包括平台与用户之间的服务合同关系、平台与第三方平台之间的竞争关系和用户与第三方平台之间的侵权关系。依照现行立法,如果将平台对用户个人数据的权利解释为合同债权,则无法解释该债权对第三方平台的对抗效力;如果将其解释为具有对世效力的竞争利益,又割裂了其来源于互联网用户这一基础关系。权利性质的模糊性决定了此类案件由反不正当竞争法调整,体现出行为规制模式的优势。但是,正如司法裁判所呈现,围绕个人数据产生的权利或权益存在主次之分。理清主体之间的权利(益)关系,在私权救济和公法保护两个方面都有着重要意义。

按照欧盟的权利保护路径,数据主体对个人数据享有个人数据保护权(the right to the protection of personal data)。这一概念最早出现在《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union)中,(7)参见《欧盟基本权利宪章》第8.1条。与“尊重私生活和家庭生活”(Respect for private and family life)相并列。(8)参见《欧盟基本权利宪章》第7条。虽然2000年《欧盟基本权利宪章》对个人数据保护权的规定仅为原则性规定,却是欧盟就个人数据保护从隐私权向个人数据保护权转变的重要节点,(9)参见项焱、陈曦:《大数据时代欧盟个人数据保护权初探》,载《华东理工大学学报(社会科学版)》2019年第2期。意味着个人数据的保护模式与隐私保护存在差异。到了2016年的《一般数据保护条例》(以下简称GDPR),个人数据保护权依然被定位为基本人权之一,却没有规定《欧盟基本权利宪章》中与之并列的隐私保护,更没有《数据保护指令》中隐私权(the right to privacy)的踪影。这一变化被学者称为个人数据保护权与隐私权的实质“分离”,全新的个人数据保护权体系全面形成,(10)同⑥。我国《民法典》对个人信息与隐私的区分与之相一致。

与“个人数据保护权”在欧盟是成熟的基本权利不同,个人信息在我国还是未被类型化的人格法益。虽然自然人可以请求查阅、复制、更正和删除个人信息,个人信息保护更多依赖于法律对相关主体义务的直接规定,呈现出明显的行为规制模式而非赋权模式。

(二)个人数据法益具有财产属性

作为首创“数据权”概念的地方法规,《深圳条例》将数据权定义为“依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利”。数据权来源于自然人,由“数据要素市场主体”进行经营性数据活动,揭示出个人数据主体更多的可能性。《民法典》中的“信息处理者”和《个保法草案》中的“个人信息处理者”都以承担义务为主,没有强调其针对数据可以从事经营活动。

虽然学理和实践都承认数据具有重要的经济价值,但是对数据权益的定性和归属没有形成一致意见。受个人信息人格属性的影响,有关个人数据权益的定性多从数据主体的角度展开,其他主体对个人数据享有财产利益争议不大。持财产权说的学者一般将个人数据权益定位为所有权。如“用户是个人数据的基础提供者,对个人数据拥有所有权”;(11)丁道勤:《基础数据与增值数据的二元划分》,载《财经法学》2017年第2期。自然人是行使数据权利的主体,数据权实施方式包括数据所有权和数据管辖权(12)参见曹磊:《网络空间的数据权研究》,载《国际观察》2013年第1期。等。有学者将个人数据权益分为个人数据权和数据财产权:个人数据权虽然有控制和支配的权利,但依然属于新的人格权类型;数据财产权不包含个人数据,为纯粹的财产权。(13)参见齐爱民、盘佳:《数据权、数据主权的确立与大数据保护的基本原则》,载《苏州大学学报(哲学社会科学版)》2015年第1期。持综合权利说的学者认为,个人数据权益“兼具人格权和财产权双重属性”(14)肖冬梅、文禹衡:《数据权谱系论纲》,载《湘潭大学学报(哲学社会科学版)》2015年第6期。,个人信息中的人格利益和财产利益分别是个人信息人格权和个人信息财产权的客体,(15)参见刘德良:《个人信息的财产权保护》,载《法学研究》2007年第3期。应强调个人对数据享有的优先财产权利,并以此对企业的数据利用、交易行为予以制约。(16)参见王利明:《人格权法研究(第二版)》,中国人民大学出版社2012年版,第608-638页。有学者认为个人数据权益“是保护自然人对其个人数据被他人收集、存储、转让和使用的过程中的自主决定的利益”,(17)程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期。本质上是防御性或消极性的利益。还有学者所构想的数据新型财产权,是在区分个人信息和数据资产的基础上将权利分别赋予用户和数据经营者。(18)参见龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017年第4期。刑法学界也有学者指出个人信息中的财产性利益,个人信息隐私化的观点虽然能体现权利主体对个人信息高度的自主支配性,却未能挖掘个人信息的社会价值或使用价值。(19)参见刘艳红:《公共空间运用大规模监控的法理逻辑及限度——基于个人信息有序共享之视角》,载《法学论坛》2020年第2期。

(三)“个人数据所有权”的提法不符合个人数据的特征

2019年二审的hiQ诉LinkedIn经常被拿来与新浪诉脉脉案相类比。基于公共利益的考量,二审法院维持了一审法院的判决,认为hiQ公司可以使用爬虫软件取得LinkedIn网站上的数据。尽管LinkedIn后来采取了一定的技术措施阻止数据爬取,二审法院依然适用《加利福尼亚州反不正当竞争法》(California’s Unfair Competition Law)和《1986年计算机欺诈与滥用法》(Computer Fraud and Abuse Act of 1986)来试图平衡二者的利益。二审法院特别对数据权利进行了阐述:“LinkedIn对其用户提供的数据没有受保护的财产权益,因为用户保留了对其个人资料的所有权”,“hiQ试图访问的数据不归LinkedIn所有,并且尚未被LinkedIn界定为可私用的授权系统”。(20)hiQ Labs, Inc. v. LinkedIn Corp., No. 17-16783 (9th Cir. 2019).二审法院的这一论述在一定程度上体现了近些年美国学者对数据权利财产化的讨论。以Lessig为代表的部分学者认为,财产权制度将在数据保护上发挥比隐私权制度更好的作用。Lessig用“财产保护选择,责任保护移转”(21)Lessig, Code and Other Laws of Cyberspace. New York: Basic Books,122, 1999.来归纳个人数据权利财产化的优势。Schwarz也认为,如果消费者在他们的数据中享有法律上可执行的财产利益,就能将“某些利益内置于个人数据中”(22)参见Paul M. Schwartz, Property, Privacy, and Personal Data, 117 Harv. L. Rev. 2098 , 2004.。Bergelson认为用隐私保护数据只能命令被告支付赔偿金,用财产保护数据则可以使用禁令或惩罚性赔偿。(23)Vera Bergelson, It’s Personal but Is It Mine? Toward Property Rights in Personal Information, 37 U.C. Davis L. Rev. 379, 403, 2003.

有中国学者认为GDPR实际上已对个人数据确立了支配性财产权地位,认为欧盟内部的数据保护部门对于赋予个人数据所有权的呼声也很高。(24)参见王镭:《“拷问”数据财产权——以信息与数据的层面划分为视角》,载《华中科技大学学报(社会科学版)》2019年第4期。事实上,欧盟文本中出现的数据所有权(data ownership)主要针对非个人数据,学者的探讨也大多集中在这些非个人数据的控制使用与数据主体隐私权之间的关系上。2016年欧盟发布《数据获取和所有权的法律研究》(Legal Study on Ownership and Access to Data)(25)参见A study prepared for the European Commission DG Communications Networks, Content & Technology by Osborne Clarke LLP. https://publications.europa.eu/en/publication-detail/-/publication/05ad40c5-b609-11e6-9e3c-01aa75ed71a1/language-en. 2021年1月5日访问。的调研报告显示,欧盟国家中仅有西班牙明确立法规定数据所有权,(26)参见BBVA研究报告https://www.bbvaresearch.com/wpcontent/uploads/2016/02/Situacion_ED_feb16_Cap4.pdf,转引自前述欧盟《数据获取和所有权的法律研究》第75页。其他国家虽有理论探讨,但立法和裁判更倾向于在合同法、版权法、竞争法和刑法范围内解决非个人数据归属的认定问题。“一数多权”的状态并没有导致同一数据上不同主体支配力的冲突和排斥。数据可复制性、非消耗性等特点也使得在数据上设立不同种类物权的意义并不大。只要合法取得个人数据,就能进入个人数据的法益体系,实现数据的互联共享。GDPR将这些主体分别规定为数据主体(data subject)、数据控制者(data controller)和数据处理者(data processor),对数据主体以赋权为主,对后二者以施加义务为主。为论述方便并与个人信息相区分,下文借用这三个概念来分析个人数据上各主体的财产法益。

二、数据主体:个人数据法益来源于个人信息中的财产性利益

《民法典》为个人信息规定了不同于隐私权的人格法益保护路径。作为个人信息存在形式的个人数据,是可商品化人格利益中分离出的财产性利益。与生命、健康、身体等物质型人格权客体不同,姓名、肖像、声音、名称等标表型人格权客体之所以具有经济利益并且可以被商品化,正是因为这些要素能够与自然人发生一定程度的分离,即通过复制存在于其他载体之上,并且可以通过多次许可使用由其他民事主体占有。个人信息虽然不是一种具体人格权,但是与标表型人格权的客体类似,符合无形财产的特点。数据是客观事实经过获取、存储和表达后得到的结果,通常以文本、数字、图像、图形、声音和视频等表现形式存在。(27)参见张绍华等:《大数据治理与服务》,上海科学技术出版社2016年版,第3页。在此意义上,人格利益商品化的过程就是人格利益数字化的过程,类似于知识产权,实现了人身权与财产权的分离。

基于隐私权理论发展出的个人信息保护,在美国称为“信息控制权”,与欧盟的“信息自决权”没有实质性差别,控制和自决都是指向个人对自己信息的自治。(28)参见刘艳红:《民法编纂背景下侵犯公民个人信息罪的保护法益:信息自决权——以刑民一体化及〈民法总则〉第111条为视角》,载《浙江工商大学学报》2019年第6期。个人数据与个人信息的分离,既维持了个人信息自治的人格属性,也是对个人数据经济价值的确认。个人数据权益虽然是纯粹的财产性利益,却不能简单适用民法中的财产规则。面对合同法、知识产权法、竞争法适用上的局限,美国和欧盟在基本权利框架内衡量公共利益与数据权利配置的司法实践并不适合中国国情。解决类似案件除了寄希望于个人数据的特别立法外,对现行民事立法的原理和规则进行解释适用也是一个可行的路径。

(一)数据主体对个人数据享有财产法益而非权利

GDPR将数据主体与个人数据的定义规定在一起,指的是被识别或可识别的自然人(identified or identifiable natural person),(29)参见GDPR第4(1)条。也就是个人数据的初始来源。作为人格利益,个人信息与自然人密不可分,其归属具有唯一性。个人数据则需要借助一定的载体而存在。记录方式的数字化使得个人数据的可复制性和流动性日益增强,载体的多元化意味着个人数据控制主体的多元化。华为与腾讯的数据之争就是典型例证。(30)据报道,华为公司某款手机可通过获取用户在微信中的聊天信息,实现为用户提供智能化推荐等服务。腾讯公司则认为,华为手机这一功能侵害了腾讯的数据,也侵犯了微信用户的隐私。参见刘春泉:《华为腾讯微信数据争议的法律关系分析》,载《信息安全与通信保密》2017年第7期。使用华为某款手机的用户在微信中的聊天数据,至少有三方主体享有相应的权益——手机用户是数据生产者,腾讯作为微信的运营商控制数据,华为作为硬件的制造商控制数据。自然人生产出的数据可以分为个人数据和非个人数据,但数据来源、存在方式和控制主体并无差异。对于腾讯和华为而言,个人数据与非个人数据可能存在价值上的差异,却都是必争的财产性利益。

个人数据权益不是权利的理由主要有三:第一,个人数据是个人信息在数字化时代的存在形式,与个人信息是形式与实质的关系。个人信息被《民法典》定性为法益,个人数据相应地也为法益而非权利。第二,个人数据由数据主体主动或被动提供。基于提供目的和具体场景的不同,数据主体对个人数据的控制意愿存在较大差异,不宜简单归入任一权利类型。第三,个人数据的生产和存在方式取决于具体的存储条件和交易关系。不同主体基于不同法律关系在数据上享有权益,用权益作为上位概念较为符合实际情况。

(二)财产法益是填补数据主体损害的有益补充

个人数据虽然直接或间接来源于个人信息,但是个人数据上的利益并非复合型法益,而是纯粹的财产法益。这一方面是个人信息与个人数据逐渐分离的结果,另一方面也增加了数据主体救济自身权益的途径。

个人信息人格利益的典型表现是知情同意原则(informed consent)。该原则是隐私权保护理念的产物,在大数据技术广泛运用的背景下开始显现出弊端。一方面,数据主体仅凭一己之力根本无法发现数据被抓取、被利用、被转移的时间和地点,不能也不愿去理解复杂的隐私协议,更不愿意事无巨细频繁同意数据被收集和使用。另一方面,收集数据的主体无法完全预知将来数据的使用目的,数据收集的便利性极易导致其对数据主体权利的漠视和对个人数据的过度收集。知情同意原则在一定程度上缓解了隐私权保护的被动性,为个人数据保护提供了预防性措施,但是效果十分有限。强调数据主体对个人数据的财产权益,可以在以下几个方面更好地实现对数据主体的保护:

1.矫正互联网用户在服务合同中的弱势地位。互联网用户与网络服务商争议的解决思路之一是合同法,因为二者之间往往存在一个网络服务合同,很多国家都非常重视对该合同的监管。网络服务合同属于格式合同,没有协商的余地,条款冗长深奥,不接受意味着不能使用该服务,这些因素直接导致用户处于弱势地位。合同法对于合同可撤销和无效的规定往往很难适用于此类电子合同。如果强化互联网用户对个人数据的财产利益,则只要证明个人数据被对方获取且超出必要范围,就可以主张侵权。

2.缩小人格侵权损害赔偿数额的差距。按照人格权侵权损害赔偿的计算方法,在其他要素基本相同的情况下,自然人的社会地位和影响决定了赔偿数额存在较大差异。这种差异在个人数据侵权责任的计算上则相对较小,因为具有较高经济价值的是可供分析的数据集,而非单个数据。主张个人数据侵权而非个人信息侵权,更有利于普通民事主体利益的保护。

3.自由处分个人数据是保护人格尊严的应有之义。正如隐私的范围因人而异,不同主体对保护个人信息的意识也千差万别。基于各种原因,部分互联网用户会选择出卖自己认为可以转让的数据,目前已出现Solid、Ocean Protocol等数据售卖平台。(31)参见乐邦:《万维网之父新使命:把互联网数据控制权归还给网民》,载网易科技报道,http://tech.163.com/18/1011/01/DTQ38G8H00097U7R.html,2021年1月5日访问。这些平台上单个数据的成交价格可能微乎其微,却是一种对网络用户信息自决尤其是数据控制的尊重和彰显。辅之以区块链技术的应用,这些平台还能在一定程度上发挥保护个人数据的作用。这种售卖自己数据的行为,其实质是财产利益的自由处分。

(三)个人数据的财产法益从属于个人信息的人格法益

“人格利益说”是人格权客体的主流学说,并为多部民法典草案学者建议稿所采纳。(32)参见王利明教授主持起草的《中国民法典学者建议稿及立法理由·总则编》第147条和梁慧星教授主持起草的《中国民法典草案建议稿》第95条。人格利益包含精神性人格利益与财产性人格利益。(33)参见张俊浩:《民法学原理》,中国政法大学出版社1997年版,第135-148页。细分人格利益的意义在于,有些人格利益与人格相始终,如人的生命、健康和身体等;有些则会与人格发生一定程度的分离,如肖像、姓名和隐私等。美国的商品化人格权或称公开权制度(34)参见王泽鉴:《人格权法:法释义学、比较法、案例研究》,北京大学出版社2013年版,第264页。即为这种分离的产物。

人格权制度应该如何回应人格要素的商业化利用,德国学者曾经作过一些探讨。例如在一般人格权之外创设“人格利用权”,人格利益归入人格自由、财产利益归入“人格利用权”等等。(35)参见沈建峰:《一般人格权财产性内容的承认、论证及其限度——基于对德国理论和实践的考察》,载《比较法研究》2013年第2期。《民法典》规定的许可使用制度是对这种人格利益商品化现象的承认,体现出坚持人格权一元保护模式的立场。该模式的合理性在于:第一,部分人格要素可商品化的趋势并不足以破坏人格权的人身属性。人格利益与人密不可分,财产性人格利益不可能脱离人格而独立存在。表面上具有绝对支配性的数据删除权和可携带权,其权源是人格利益的支配性而非财产利益的支配性,是法律保护自然人尊严和自由的结果。第二,人格利益的侵权责任已然包含对财产利益损失的填补。从消极权利的角度来看,没有必要另设一个与之并列的财产请求权。第三,变现人格要素中的财产法益,许可使用制度在知识产权领域已非常成熟,姓名权、肖像权的许可使用也日益普及。但是,人格权整体而言还是属于消极的防御性权利,(36)参见温世扬:《民法典人格权编草案评议》,载《政治与法律》2019年第3期。没有强化财产性利益的实际需求。第四,将人格利益中的财产属性分离至个人数据,能更好地维护人格利益的精神属性,符合《民法典》的立法目的。

综上所述,数据主体基于个人信息这一人格利益享有个人数据上的财产利益,这一分离过程维持了个人信息人格属性的单一性和个人数据财产属性的单一性。与个人数据上的其他主体相比,数据主体的财产利益是第一性的,是派生出其他财产利益的基础。数据主体对这一财产利益支配力较弱的现状,不能成为该利益归属于其他主体的理由,因为数据主体是个人数据的生产者,应该具有最终的支配权。法律完善的方向是个人数据管理系统的完善,使数据主体在许可他人使用后能够更好地跟踪使用情况和进行下一步的协商同意。这也是司法实践总结出三重授权原则的初衷。相对于《数据保护指令》,GDPR增加了删除权(right to erasure)和携带权(right to data portability),还对用户同意作了更为严格的规定,正是强化保护数据主体控制力这一趋势的体现。(37)有学者认为,删除权最具财产特征,因为它产生了与数据主体信息一起运行的负担(This requirement is one of the most property-like features of the new regime in that it creates a burden that “runs with” the data subject’s information)。参见Jacob M Victor. The EU General Data Protection Regulation: Toward a Property Regime for Protecting Data Privacy. The Yale Law Journal,Vol.123, 466-529, 2013.

三、数据控制者:个人数据法益是对个人数据的占有利益

《民法典(征求意见稿)》中的“信息控制者”和“信息收集者”在《民法典》中统一规定为“信息处理者”,《人格权编(二审稿)》还使用过“信息收集者”和“信息持有者”等概念,说明在数据主体之外,其他主体对个人数据的控制力也存在差异,立法试图结合技术上控制力的大小来设计相应的法定义务。(38)《深圳条例》将数据控制者和数据处理者分别表述为“数据要素市场主体”和“第三方服务机构”,参见《深圳条例》第101条第2款第8项和第9项。《个保法草案》对个人信息处理者的定义也为其他主体的存在留有空间。(39)参见《个保法草案》第69条第1项。

《数据保护指令》中的数据控制者(controller)指的是能单独或共同确定个人数据处理的目的和方法的自然人或法人、公权力机关、代理机构等。GDPR沿用了这一定义。与控制者相关的另一个主体为处理者(processor),指的是代表控制者处理个人数据的自然人或法人、公权力机关、代理机构或其他主体。(40)参见《数据保护指令》第2(e)条和GDPR第4(8)条。经过控制者或处理者的直接授权,第三方也有权处理数据。(41)参见《数据保护指令》第2(f)条和GDPR第4(10)条。可见,欧盟立法中直接处理数据的主体是数据处理者和经过授权的第三方,数据控制者并不直接处理数据,而是决定数据处理的目的和方法。“处理”(processing)的行为非常具体,是“对个人数据进行的任何操作或一系列操作,无论是否以自动的方式,例如收集,记录,组织,储存,改编或更改,检索,咨询、使用、通过传输披露、传播或者提供、协调或组合,阻止、擦除或破坏”,(42)参见《数据保护指令》第2(b)条。GDPR对“处理”的定义只在此基础上增加了“架构”(structuring)这一种具体类型。(43)参见GDPR第4(2)条,原文为“‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction”。将数据控制者、数据处理者和第三方区分开来,有助于界定数据控制者在个人数据上享有的财产利益。

(一)数据控制者的财产利益来源于数据主体的授权

数据控制者对个人数据的控制来源于数据主体的许可使用。按照数据主体的意愿,同一个人数据上能产生若干数据控制者。数据控制者是否享有财产利益,取决于数据主体对自身的财产利益是否进行了处分。依据许可使用合同,数据控制者在个人数据上的债权能否产生类似绝对权的排他效力,理论上争议较大,实践中发生的数据之争正是由此引发。

1.“控制”不是专属于个人数据所有权的权能。数据控制者有公法主体和私法主体之分。公权力机关依职权获取并控制个人数据更为便利,更需要在基本权利层面保护数据主体的权利。作为私权利主体,数据控制者获取个人数据的主要途径是提供互联网服务。认为数据控制者取得的数据所有权是数据主体使用免费服务所支付的对价,这一观点并不符合实际情况。

首先,有偿接受网络服务的数据主体同样需要订立网络服务合同让渡个人信息。例如收费电子邮箱与免费电子邮箱,除了收费邮箱用户能够享有更多种类的邮箱服务以外,其与免费邮箱用户订立的电子邮箱服务合同在内容上相差无几。

其次,在与数据主体的法律关系中,数据控制者并不在意是否取得个人数据所有权。例如阿里云就曾在《数据保护倡议书》公开宣称,“任何运行在云计算平台上的开发者、公司、政府、社会机构的数据,所有权绝对属于客户,客户可以自由安全地使用、分享、交换、转移、删除这些数据”。(44)《阿里云倡议:数据是客户资产 平台不得移作它用》,载新浪科技频道,http://tech.sina.com.cn/it/2015-07-22/doc-ifxfaswm1009121.shtml.名义上的所有权没有任何意义,基于网络服务合同和相关立法,数据控制者对数据的实际控制和支配已毋庸置疑。

第三,数据主体对个人数据的财产利益并非所有权。根据物权法的基本原理,所有权是基础性财产权利,有原始取得和继受取得两种取得方式。数据主体对于个人数据的财产利益来源于其对个人信息享有的人格利益,而非财产法意义上的所有权。数据控制者对个人数据的控制来源于数据主体的许可,属于继受取得。即使数据主体将财产利益许可给数据控制者使用,该财产利益的范围也不能超出数据主体财产利益的范围。

最后,数据控制者的财产利益不具有排他性。参照知识产权的许可使用,数据主体可以将个人数据许可给多个主体使用。基于网络服务的丰富性和高度可替代性,个人数据不太可能产生独占的许可使用。即使取得独占许可,数据控制者的财产利益也无法对抗数据主体。GDPR规定数据主体可以随时撤销对使用其数据的同意,这一貌似突破债法原理的规定也正是来源于人格利益。

2.“控制”具有财产利益的特征。尽管受到数据主体较多的限制,这种权能并不充分的状态并没有影响到数据控制者从中获取巨大的利益,进而产生激烈的竞争。当数据主体授权多个数据控制者使用其个人数据,例如华为和腾讯都能控制华为手机上微信app里的聊天内容,两个数据控制者是非此即彼还是法定共有,欧盟立法中的目的论和方法论提供了一个判断标准。

目的论和方法论来自《数据保护指令》和GDPR在控制者定义中规定的“单独或共同确定个人数据处理的目的和方法”,这两个标准也为《个保法草案》所继受。在对共同控制(joint controllers)下定义时,GDPR强调了目的和方法上的合意——“应以透明的方式确定各自对履行本条例规定义务的责任,特别是关于行使数据主体的权利及其各自的职责”。如果控制数据的主体之间欠缺这种合意,数据主体又没有一次性授权给多个主体,如华为与腾讯的争议,则需要进一步判断控制权的归属。

华为对聊天数据的控制是通过手机这一硬件,腾讯对聊天数据的控制是通过微信这一软件,二者控制力的区别在于数据存储介质的归属上。腾讯在提供即时聊天服务的同时对聊天数据实施控制,是网络服务或程序运行的必然结果。用户购买华为手机即发生手机所有权的转移,制造商对手机所有权的丧失应自手机出厂时起。鉴于移动终端对人类生活的重要作用,如果允许手机生产商随意获取所有手机上的数据,不但违背行业伦理,更是对生产者权利的滥用。手机生产商获取用户手机上的app信息及app内部产生的数据,对手机用户是隐私权的侵犯,取得用户许可、提高用户体验都不能成为偷窥私人生活的借口;对app软件服务商而言,则是硬件服务商权利的滥用,因为软件必须依赖硬件才能运行。实践中已有法院基于数据存储介质的所有权来判断数据归属的判例。(45)在此案例中,法院认为获取和使用雷达收集数据的法定权力属于警方而不属于相应雷达控制系统的制造者,生成数据的主体是被授权使用此类数据的主体。ECtHR, Satakunnan Markkinapörssi Oy and Satamedia Oy v. Finland, No. 931/13, 27 June 2017. 转引自欧盟《数据获取和所有权的法律研究》第55-56页。

在这个例子中,赋予数据控制者对个人数据的财产性利益具有重要意义。腾讯与华为没有合同关系,其与用户之间的债权不具有排他效力。微信中的数据不足以构成商业秘密或者数据库,也无法直接证明华为存在不当得利,腾讯在现有法律框架下似乎无法主张自己的利益受到损害。如果承认腾讯对微信生成的数据(包括微信中出现的个人数据)享有财产利益,则可以防止此类争议的产生。除了以上现实需求之外,以目的和方法为标准赋予数据控制权财产属性的理由还有:第一,个人数据归属于存储介质所有人的判断方法已不适应新技术条件。(46)参见Herbert Zech. Information as Property,Journal of Intellectual Property, Information Technology and Electronic Commerce Law, 157, 2015(6).在云计算技术的应用场景中,数据的存储位置具有不确定性,用目的和方法来判断数据控制者比寻找存储介质所有人更为直接和便利。第二,承认数据控制者的财产利益有助于鼓励和促进企业提供更好的网络服务。认为在数据上设立专有权会阻碍数据经济发展的观点,(47)参见曹建峰、祝林华:《欧洲数据产权初探》,载《信息安全与通信保密》2018年第4期。虽然有一定的合理性,却忽略了数据产生和发挥价值背后的经济投入。在经济发展与企业利益之间寻找平衡,赋予数据控制者一定的财产利益而非财产权,是一个较为折中的方案。第三,认为赋权保护易引发信息垄断的观点有失偏颇。(48)参见Miriam B.A New Outlook on the Economic Dimension of the Database Protection Debate. The Intellectual Property Law Review, 93-170, 2006, 47(2).强化数据控制者的财产利益能否产生数据垄断取决于立法规制,与财产制度没有必然关联。

(二)数据控制者对个人数据的占有具有一定的排他性

1.数据控制者依据合同债权占有个人数据。《民法典》第127条将虚拟财产与数据并列规定为民事权利客体,揭示出数据作为虚拟财产物理存在方式的特殊性。虚拟财产与数据的关系,同个人信息与个人数据的关系略有不同。个人信息与个人数据是内容与形式的关系,虚拟财产和数据则都是形式——虚拟财产是客户端呈现出的外在表现形式,数据则是虚拟财产在服务端呈现出的内在表现形式。在客户端,虚拟财产由网络用户控制,具体表现为网络用户对账号密码的控制;在服务端,虚拟财产的各项数据由网络服务商控制。虚拟财产的共性在于不能与网络服务相分离,都是互联网用户接受网络服务的产物,因此其实质是网络服务合同债权。(52)参见任丹丽:《合同法框架下的虚拟财产——从网络游戏纠纷的判决展开》,载《网络法律评论》2006年版。

2.数据控制者的控制属于他主占有。占有是事实还是权利,理论界一直争论不休。《民法典》采取事实说,与大陆法系主要国家的立法相一致。(53)《法国民法典》第2228条、《德国民法典》第845条和《瑞士民法典》第919条。民法占有制度保护占有人对物的事实支配,以实现对占有人利益以及社会秩序的维持功能。(54)参见赵晓钧:《论占有效力》,法律出版社2010年版,第151页。个人数据作为无形财产,也受到占有制度的调整。占有的法律效果是产生所有权,主要是时效取得和善意取得两种,并不适用于数据占有的情形。数据控制者占有数据产生的排他性,来源于占有的自然效果。

(1)数据主体与数据控制者是间接占有与直接占有的关系。直接占有与间接占有的区分在于支配力的表现不同。直接占有人享有现实的支配力,间接占有人基于一定的法律关系对直接占有人享有物的返还请求权。个人数据虽然有很强的可复制性,但是对于数据主体而言,其在接受某一网络服务时提供的个人数据,因为与人身分离且处于网络服务商的控制之下,数据主体即丧失这组个人数据复制件的占有,只享有请求对方删除个人数据的权利。对这组特定化的个人数据,数据主体是间接占有,数据控制者是直接占有。基于数据性质的特殊性,数据主体只享有删除权而非返还请求权,但本质都是最终的支配权。

数据控制者依据网络服务合同取得个人数据,网络上的个人数据存在于控制者的服务器上,这是典型的占有。云计算分散存储数据的特性决定了实际控制者的确定存在难度。云计算服务提供商作为服务合同的一方当事人被定位为数据控制者,符合立法区分控制与处理的初衷。在云服务环境中,虽然实际控制或处理数据的主体并非云服务商,但是其对数据有整体管控的权利。数据控制者概念的首要作用在于分配责任,确定谁应负责遵守数据保护规则,以及数据主体如何在实践中行使权利。数据处理者的概念则是在处理的机密性和安全性背景下发挥重要作用,有助于确定那些更直接参与处理个人数据的主体责任。例外情况是如果云服务提供商仅提供数据存储服务或者提供一个外链,则只能被定性为数据处理者,因为它将根据数据控制者的指令处理个人数据。

资源和财富的利用越来越突破所有者意志的制约,是现代社会财产利用关系的基本特点。(55)孟勤国:《物权二元结构论——中国物权制度的理论重构(第二版)》,人民法院出版社2004年版,第30-31页。这一特点使得物的利用关系突破所有权中心主义,越来越受到重视。有学者将这两类主体对于数据产业的意义归纳为数据主体的“边框性的基础启动功能”和数据控制者的“重心驱动功能”,(56)龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017年第4期。也是二者对个人数据享有同等重要支配力的体现。

(2)数据控制者与数据处理者是自己占有与辅助占有的关系。数据控制者与数据处理者的分别规定,意图是对脱离数据主体的个人数据的存在方式进行区分。数据控制者一般不处理数据,只是决定数据处理的目的和方法,包括实际控制自然人信息的各类主体。数据处理者只能按照数据控制者的要求进行数据处理,例如网络服务商、数据应用商等。数据控制者对个人数据保护承担主要责任,直接对数据主体负责;而数据处理者所承担的责任要小得多,它们基于合同对数据控制者负责。第三方指的是这一合同之外、为数据处理提供技术服务的外包企业,如数据存储企业和数据分析企业等。

数据控制者和数据处理者都在事实上占有数据,欧盟相关立法对此二者权利义务的不同规定,在物权法上可以用自己占有和辅助占有加以区分,区分标准是占有人是否亲自占有标的物。当数据控制者自己占有个人数据或者亲自进行数据处理时,只产生自己占有;当数据控制者委托他人处理数据时,数据处理者对个人数据的占有构成辅助占有。如果处理者的行为超出控制者的委托范围,为其自身或其他的目的处理个人数据,则就该特定部分的数据处理而言,数据处理者将被视为数据控制者。

实践中,数据控制者与数据处理者的界分并不清晰,最有名的相关案件是SWIFT案。(57)SWIFT公司全称为Society for the Worldwide Interbank Financial Telecommunications(环球银行金融电信协会),它为超过8300家银行机构、证券机构和企业客户提供安全和加密的金融消息服务,每天处理数百万条消息。因在美国调查反恐案件中为美国提供欧盟公民的数据而被调查。SWIFT主张自己是数据处理者,只是提供消息服务。比利时隐私委员会和《数据保护指令》第29条工作组(58)《数据保护指令》第29条工作组是根据《数据保护指令》第29条设立的、独立的欧洲数据保护和隐私咨询机构,其职责权限参见《数据保护指令》第30条。都认定SWIFT与其银行客户同样都是“控制者”,就有关个人信息处理服务,它们须共同承担责任。(59)参见石佳友:《网络环境下的个人信息保护立法》,载《苏州大学学报》2012年第6期。理由主要有:SWIFT承担职责的性质和范围超出数据处理者的职责范围,SWIFT的管理层能够通过开发、营销和改变SWIFT的服务来确定处理的目的和方式,SWIFT为处理提供了额外的价值以及SWIFT的管理层拥有做出决策的自主权。(60)参见ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 1/2010 on the concepts of "controller" and "processor": 10-12,00264/10/EN WP 169.

从欧盟的立法到裁判都能看出,事实层面上控制者与处理者都占有个人数据,不占有则无法处理数据。用目的和方法区分二者,是从权利和义务层面进行的——对数据主体,控制者概括承担所有保护数据的义务;对处理者,控制者享有法定和约定的权利。萨维尼阐述的占有“体素”(corpus)和“心素”(animus),(61)参见[德]弗里德里希·卡尔·冯·萨维尼:《论占有》,朱虎、刘智慧译,法律出版社2007年版,第190页。控制者都具备。控制者的心素主要是对个人数据的支配意思,作为辅助占有人的处理者则不具备心素这一要件。

四、小结:个人数据财产法益体系以数据控制者的义务为中心

《中华人民共和国网络安全法》第44条规定不得非法出售或者非法向他人提供个人数据,《民法典》第1038条规定:未经自然人同意,不得向他人非法提供其个人数据,都间接承认了个人数据在一定条件下的自由处分,受到立法和数据主体的限制。即便数据主体允许数据控制者收集并共享相关个人信息,也不意味着其让渡了所有个人信息权利。(62)参见王利明:《数据共享与个人信息保护》,载《现代法学》2019年第1期。在《民法典》框架内理顺数据主体、数据控制者、数据处理者甚至第三方之间的法律关系,可以借用无形财产的许可使用和占有理论来解释。个人信息是人格法益的客体,作为个人信息表现形式的个人数据是财产法益的客体。个人信息的主体具有唯一性,个人数据的主体具有多元性。数据主体对个人数据享有的财产利益来源于个人信息中蕴含的经济利益,可以通过授权将财产利益许可给数据控制者占有。数据主体对个人数据许可使用后的控制力较弱。在财产权体系内强调其财产利益的基础性地位,不但与个人数据立法的趋势相一致,也能限制数据控制者滥用个人数据的控制权。

数据主体对个人数据的弱控制更无法辐射到数据处理者和第三方,有必要强化数据控制者作为中间环节的法定义务。个人数据的易复制性和非排他性是赋予数据控制者占有利益的主要原因,有利于平衡数据主体的利益保护和个人数据的商业化利用,推动数据资源高效配置。从财产规则到责任规则的变迁,实质是将财产法益从数据主体一端转移至数据控制者一端,克服数据主体行权成本,取而代之以法律要求的补偿。(63)参见冯果、薛亦飒:《从“权利规范模式”走向“行为控制模式”的数据信托——数据主体权利保护机制构建的另一种思路》,载《法学评论》2020年第3期。技术优势赋予数据控制者更大的控制权,相应的,其应承担更大的义务。以数据控制者的义务为中心串联起数据主体、数据处理者与第三人,形成财产法益体系内的制约关系,是私法保护个人数据的方法。更多责任规则的确立,有赖于个人数据立法的完善。

猜你喜欢
控制者数据保护个人信息
个人信息保护进入“法时代”
敏感个人信息保护:我国《个人信息保护法》的重要内容
摆脱控制从我做起
主题语境九:个人信息(1)
欧洲数据保护委员会通过《一般数据保护条例》相关准则
民法典应进一步完善侵害个人信息责任规定
论人工智能的刑事责任能力与追究
浅谈中小学财务人员角色转换的紧迫性
欧盟最严数据保护条例生效 违反将严惩不贷
欧盟“最严”数据保护条例生效