《民法典》视阈下个人数据权保护研究

罗贵旭

桂林电子科技大学法学院，广西 桂林 541000

关于个人数据权问题，学术界早有研究。个人信息与个人数据往往被看作同义语使用，但随着数据商业价值的发现与挖掘利用，数据与信息的边界逐渐清晰，两者不是同一个概念。对个人信息的保护始于个人隐私权保护又不止于个人隐私权保护，其核心要义是“权利”而不是“信息”或者“数据”本身。民法的核心是私权保护，我国《民法典》将个人信息保护置于人格权编，无论是从民法保护目的、条文内容、法典编纂结构，还是域外国家及国际组织制定的有关个人的数据或信息保护法律规制内容，实质保护的是个人权利而不是数据或者信息本身。本文就从《民法典》视角下对个人数据权保护进行探讨。

一、个人数据权的相关概念

（一）个人数据与个人信息

个人数据，从各国有关个人数据保护法律的规定来看，并不是简单的将“数据”套上“个人”可导出来的概念。如1981年，欧洲理事会通过的《有关个人数据自动化处理的个人保护协定》中对个人数据的定义，指“已识别或可识别的个人相关的任何信息”。英国的《数据保护法》认为：个人数据是指活着的自然人的可以单独或与其占有的其他数据结合而可以辨识的数据组合，而且还包括此人的任何观点等。日本的《个人信息保护法》指与生存着的个人有关的信息中因包含姓名、出生年月以及其他内容而可以识别出特定个人的部分。从国际组织及各个国家对个人数据定义可以看出，因个人数据与个人信息紧密关联，当时制定法律的目的主要是保护个人信息安全，未认识到个人数据的商业价值，所以未将二者区分开。

（二）个人信息与个人隐私

个人信息与个人隐私是包含与被包含关系。我国《民法典》对个人隐私的定义是“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。而对个人信息的定义就宽泛得多。

（三）个人数据与个人数据权

欧盟1995年指令中有一系列个人数据权：拒绝权、知情权、修改权、删除权以及质询评价权等。关于个人数据保护是否为数据主体创设了权利，一直有着两种对立的观点。但主流的观点还是个人数据保护应当而且已经创设了权利。“要在个人数据处理中保护个人，最直截了当的办法，可能就是将个人数据处理如何进行的决定权交到个人手中。”[1]从而个人不仅成为“数据客体”，还可以成为“数据主体”。

二、个人数据权民法属性的法理证成

（一）个人数据权产生的背景

世界范围内个人数据保护的兴起是20世纪中期人类进入“信息时代”以后，为了防范个人信息泄露给人们生活带来危害提出来的，正如1980年经合组织在《关于隐私保护与个人数据跨境流动的指导方针》前言中指出，“自动数据处理发展后，浩瀚数据瞬间就传遍各国。”欧盟、美国、日本等国家和组织对个人信息保护的立法较早，但随着数字化时代的到来，个人数据权越来越受到重视。与发达国家相比，中国的信息化过程开始得晚，但发展得最快。“未来的世界里，一切都可以数据化，包括人。”[2]正是在这种时代背景下，从域外“引入‘数据权’这一新型权利，并以‘数据权’为核心进行具体的制度设计实属必要”。[3]

（二）个人数据权的内容

虽然各国对个人数据权保护起源于保护个人隐私权，但随着社会科学技术的发展，个人数据权保护早已突破隐私权保护范围并不断扩展。根据经合组织、欧盟、美国、德国等个人数据保护立法，个人数据权包括以下内容：

1．知情同意权。在美国个人数据保护原则中，个人应当知晓并同意自己的数据在收集、使用等全过程中的所有静态与动态情况。《隐私保护与个人数据资料跨境流通指导原则》也有“本人同意”的原则规定。

2．查阅权。是指数据权利主体可以查看与自己有关的数据以及在个人数据被收集、储存及作其他处理时情况的权利。在我国台湾地区，除了查阅权，还有复印的权利。

3．修改删除权。如德国在《联邦数据保护法》中就规定了“数据主体对已存储的数据可以变更、补充等”。删除权又被形象地称为“被遗忘权”，在《2012年欧盟草案》中，欧盟委员会特别提到这个权利。

4．阻止权或者封存权。指停止个人数据收集、处理或者使用行为的权利，德国数据保护法规定“对有‘符号’标明已存储的个人信息以限制处理与使用”。

5．保护救济权。当个人数据权受到侵害时，数据权主体有请求公力救助的权利。

当然，这些权利只是从各国立法条文中归纳出来的学术称谓，其权利表述可能有所不同，而且不可能涵盖全部权利内容。

（三）个人数据权的法理基础

个人数据权保护的法理基础有三个主要来源。

1．隐私权理论。以美国为发端的“隐私说”受洛克、卢梭和孟德斯鸠等学者的影响，认为自主是人的自然权利，自由是天赋的人权。该理论是自由主义思想的产物。

2．人格权理论。发端于德国的人格权理论受康德人格思想的影响。他认为每个人都享有人的尊严，人是自己的主人，不能成为手段与工具。人格权理论在大陆法系国家被普遍地接受，并且在立法中被视为具有宪法与民法双重属性的一项基本权利。

3．财产权理论。财产权理论有两层含义，一是基于人格权被滥用后的财产救济手段，二是基于个人数据权的商业经济价值。财产权理论最具争论。笔者认为，它们只是从不同角度有所侧重表述而已，因为人格权受侵犯的财产救济方式早已有之，而对于大数据时代的个人数据，因商业价值的发现与利用被贴上了财产利益内容导致个人数据权具有人格与财产双重属性。

以上三种理论来源，并不是各自独立的权利类型和理论体系，它们互相融合，各有侧重，从而形成一个不同于传统意义上隐私权、人格权和财产权的新型民事权利——个人数据权。

三、我国《民法典》对个人数据权的保护

对于个人数据权的一般保护在《民法典》第九百九十条以列举方式与兜底条款对人格权内容进行了描述，其中除了部分内容如姓名、名称和隐私等属于个人数据外，还为今后人格权特别是个人数据权内容的发展变化预留了法律空间。

（一）个人隐私权的严格保护

如上所述，个人隐私是个人数据的一部分，个人数据权保护最初也是来源于个人隐私权保护，足以说明个人隐私权在个人数据保护中的重要，因而我国《民法典》将其放在个人数据保护的首要位置。《民法典》一千零三十二条明确规定自然人享有隐私权并在第二款中明确隐私的概念。第一千零三十三条第一款规定在无法律依据或权利主体同意下，任何组织或个人不得有收集、使用和处理其个人数据，并具体化了侵犯隐私权的样态。

（二）明确其他个人数据权的法律保护

《民法典》一千零三十四条关于个人信息的定义，与日本的《个人信息保护法》最相近，与经合组织的定义所包含的外延范围大致相同。本条与我国《网络安全法》对个人信息的定义存在细微差别，即将识别自然人个人身份修改为“识别特定自然人”，含义更为精确。并增加列举了电子邮箱、行踪信息和健康信息等。

（三）个人数据保护的边界

《民法典》一千零三十五条第一款规定了个人数据权受保护的边界和原则，即正当、同意、公开、明示、合法原则。第二款明确个人数据“处理”的边界。该规定吸收了我国《关于加强网络信息保护的决定》的规定，在第二款中加了兜底的“等”，是为了让《民法典》可包含未发现或未出现的情形。第一千零三十六条从义务主体角度对保护边界进行了回应，使法律理解与适用更为清晰。

（四）明确个人数据处理者的安全保障义务

我国《网络安全法》第四十二条规定网络运营者的义务，即不得泄露、篡改、毁损其收集的个人信息，未经权利人同意，也不得转让。在出现以上险情时，数据处理者应当采取补救措施并向有关主管部门报告。《民法典》将其综合并加以提炼，具体规定在第一千零三十八条。

四、个人数据权保护应建立《民法典》统摄下的多维保护制度

（一）《民法典》对个人数据权保护存在局限

1．个人数据权属界定不明。个人数据权的模糊性、复杂性与易变性决定了《民法典》不可能像物权编、合同编那样对该权利作详尽保护。《民法典》对个人数据保护的规制模式，无法对世界范围内均较模糊的个人数据权进行权利模式考量。“自然人对个人数据的权利旨在保护他们对这些数据的自决权，从而防止由于非法收集和使用个人数据而侵犯现有的个人和财产权利[4]。”《民法典》在将个人数据“人格化”的同时，没有从字面上明确“个人数据权”的提法，除了“隐私权”外，其它如“同意”“修改”等等，多用行为模式进行规制。私法保护，权利约束是法律规制与保护的前提，有的个人数据保护条款过于原则性规定，需要司法解释明确其含义。

2．保护范围具有局限性。个人数据商业价值的发现及运用超出了《民法典》的主力保护能力。在商业化经济利益的诱惑下，会有更多的主体参与个人数据的流动链条中，在获取、发掘、利用个人数据时，直接“导致实施侵害的主体范围扩大[5]”。互联网、大数据、区块链等的普及，个人数据权中的隐私数据权会超出传统隐私权的概念向网络空间中延伸，其应保护的范围更广、保护难度也会更大。《民法典》只能从权属上、原则上作规定将其加以完善。

（二）《民法典》统摄下的多维保护制度建议

1．完善相关法律法规，明确个人数据权属

在数据经济时代，科技日新月异，《数据安全法》《个人信息保护法》等已于近期施行。个人数据保护是信息技术进步在社会生活领域带来问题后的产物，不能简单由技术引导。但为了兼顾数据的“新石油”商业创造价值，个人数据保护应以“社会本位”代替“个人本位”。修改、完善相关法律，制定或完善配套行政法规以建立如个人数据保护委员会等专门机构，并突出其地位。“国家要突出个人数据保护委员会地位才更有利于个人数据的保护[6]”。法律本身的抽象性、稳定性、滞后性决定了司法解释的必要性。尤其是当今数字经济时代，更应将针对个人数据现知的以及可预知的新情况、新问题纳入法律规制范围。

2．“公正”标准下的个案保护

法院应当在立法规定笼统和原则的情形下加大司法解释，但又应根据个人数据的特殊性，结合个人数据保护目的，以“公正”为原则结合社会生活实际和个案特殊情况加大规制力度。数据权之行使与保护需要考量不同场景的差异性，如在处理民事纠纷时加大过错推定原则、无过错原则的适用范围以合理分配举证责任，在无损失情形下增加违约金支付上限、过错损失赔偿增加间接损失内容、适当放宽精神损害赔偿金的适用范围等。在行政纠纷中，适当加大国家赔偿力度；在刑事司法保护中，在同量刑幅度内适度加大处罚力度。

3．加强与其他部门法包括实体法与程序法的衔接

如与《刑法》、行政法及其程序法的必要立法修改或司法解释加强衔接，加强多维保护力度。《民法典》生效后，我国民事诉讼程序方面的规范性文件即该作出反应。如最高人民法院印发《关于修改〈民事案件案由规定〉的决定》的通知，与个人信息权保护相关的就有：新增“申请人身安全保护令案件”“申请人格权禁令侵害案件”和“声音保护纠纷”等等。同时，我国的《网络安全法》也应当作相应调整。

4．建立与完善社会共治机制，平衡产业发展和数据保护关系

因个人数据的共享性，以及考虑个人利益与我国数字产业的发展需要，个人数据权保护从立法与司法层面保护远远不够，我们可以借鉴美国的做法，“统筹个人数据保护机构，匹配专门的技术性人才[7]”，加强行政引导与监管，同时，完善我国个人数据行业自律、行业自治机制并逐渐引入国际上通用的影响评估机制。

五、结语

随着大数据时代的发展，个人数据已成为一种新的资产，可以创造价值，从而就可以用于交易。交易的前提是对权利归属进行明确。因而，对于“数据石油”，必须创设、明确权利束。“个人数据所蕴含的经济价值在私权赋权后，用户将拥有极大的热情帮助个人数据流通，随后流通的个人数据通过国家及市场予以规制[8]。”