苏成慧
(西南政法大学 国家安全学院,重庆 401120)
数据已成为现代社会运转的新引擎,是支撑数字经济社会向前发展的基础“原材料”。2014年至今,“大数据”连续多年被写入政府工作报告,强调大数据引领未来产业发展,数字经济发展,培育数据要素市场。数据发挥其生产要素价值的前提是流通,有序流通的前提在于保障数据安全。2021年政府工作报告强调要“加强网络安全、数据安全和个人信息保护”;《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》再次强调要深化数据要素市场化改革,建立数据安全保护基础制度和标准规范;2022年12月,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》更是强调要“统筹发展和安全,贯彻总体国家安全观,强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线”。由此可知,数据安全问题已成为当下迫切需要解决的问题。
数据具有来源广泛、载体多样、形式复杂、可无限复制、可分离性、无形性等特征,这些特征有别于现实空间中实体物的有体性、可触性,使得立基于实体空间的传统法律规范难以应对数字空间中数据有序流通的需求。本文将基于数据应用的多元场景,分析其在不同场景下的法律属性及流通规则,以期能为数据有序流通提出合理的规制建议。需要说明的是,虽然跨境数据流通亦是数据应用的场景之一,但由于国内数据流通和国际数据流动在关于数据安全方面需要衡量的利益范畴存在差异,故本文关于数据流通多元场景的论述,主要限于国内数据流通实践。
数据生产者与控制者相分离、数据被不同主体交叉持有是常态。在互联网的支撑下,多元主体产生的海量数据在数字空间的网络信道中流动,基于不同的应用需求而产生多元化的应用场景。看似杂乱无章,实则有迹可循。以“是否为个人数据”以及“数据被谁持有”为主线,可梳理出多元场景下数据流通应用的类型,以此提供法律规范数据流通的基础框架。
导致个人数据流通规制困境的客观现实在于:个人数据产生主体与控制主体的非同一性,即个人因从事社会生产活动而产生的个人数据并不掌握在个人手中,而是被个人以外的政府、企业及其他社会组织掌握。但总体而言,任何场景下对个人数据的利用无非有两种类型:单个自然人的个人数据集、大量自然人的个人数据集。(1)所谓“单个自然人数据集”,是指与单一自然人个体相关的大数据集合;所谓“大量自然人的个人数据集”,是指多个自然人大数据的集合。据此,可将多元场景下个人数据应用做如图1所示的分类:
图1 多元场景下个人数据的应用
首先,企业持有个人数据的应用。企业是现代社会掌握个人数据量较多的主体,尤其是具有互联网、大数据、人工智能等现代社会网络智能技术的企业。一方面,企业对大量个人原始数据的应用需求主要在于分析行业发展趋势。比如,股票分析软件开发者能根据其掌握的股民交易实时数据分析股票行情,淘宝、京东等电商平台利用消费者网络购物的实时数据预测网络产品销售行情。另一方面,企业对单个自然人原始数据的应用需求在于对个体自然人实现精准营销/服务。比如,电子商务平台通过分析个体消费者的消费数据,能够把握个体消费者的消费偏好,以便于精准营销。
其次,政府持有个人数据的应用。政府基于公共服务和社会治理的履职需求而持有大量个人数据。一方面,通过分析其收集的大量个人数据,可把握社会治理的现状和效果,进而得出社会治理问题的应对之策。比如,网络舆情监测部门可根据网络用户的社交数据掌握网络舆情的发展方向和趋势。另一方面,对单个自然人的大数据分析亦能够提升社会治理效果。比如,疫情防控期间,政府部门通过“健康码”“行程码”的推行,收集、分析公民个人信息,有助于预防病毒的扩大传播。
最后,政府以外的其他社会组织、社会团体持有个人数据的应用。除企业和政府部门之外,个人数据也可能被事业单位、公益机构等其他社会组织、社会团体持有。这些数据的应用场景主要包括两种类型:一是大量自然人的个人数据集的应用场景。比如,教育部门通过对大量学生个人数据的收集、分析,不仅可以把握教育开支与学生学习成绩提升之间的关系,而且还可以了解学生缺课与成绩之间的关联,并据此提出有针对性的提高教学质量的措施。二是单个自然人的个人数据集的应用场景。比如,对病人的过往病历数据、家族病历数据、个人生活习惯数据、个人基因序列特点数据、现有疾病化验报告和检测报告数据等个人的有关数据进行分析,有助于制定出适合病人的治疗方案以及预测其可能发生的疾病。
非个人数据,即不具备个人属性的数据,包括非自然人主体自主产生的数据(简称“自生数据”)以及通过技术处理后无法识别为个人的数据。(2)由于个人数据经过脱敏且不可逆的技术处理后已不具备个人的直接可识别性,故将其列入非个人数据范围。《个人信息保护法》第4条第1款亦将经过匿名化处理的信息排除在个人信息之外。非个人数据在流通过程中亦呈现同一数据被不同数据主体交叉持有的常态。具体而言,可将多元场景下非个人数据应用做如图2所示的分类:
图2 多元场景下非个人数据的应用注:持有主体中“其他”指政府以外其他的社会组织、社会团体。
首先,企业持有非个人数据的应用。企业持有的非个人数据类型可概括为三类:一是企业持有其自主产生的数据。即企业因自身经营活动而产生的数据,包括企业基本信息数据和业务数据,这类数据收集、分析的结果可作为企业经营决策的依据。二是企业持有的其他非个人主体自主产生的数据。企业主要通过合约或网络爬取的方式获取这类数据,对这类数据掌握得越多、分析得越具体,对不同行业发展趋势及方向的预测就越准确。三是企业持有已脱敏且不可逆的个人数据。这部分数据的原始数据可来源于企业直接向个人收集的数据,也可来源于企业通过网络爬取的方式获得的包含个人信息的公开数据。对这些数据进行分析利用,可为企业作出正确的经营决策提供依据。
其次,政府持有非个人数据的应用。政府持有非个人数据的类型包括:一是政府基于履职行为而自主产生的政务数据。通过对这些数据进行分析,可掌握政府职能部门履职效果情况,分析结果有助于指导不同政府部门之间、上下级政府部门之间的沟通协作,提升政府部门的履职效能。二是政府基于履职需要收集、持有的企业及其他社会组织自主产生的数据。通过对这些数据进行分析,可以掌握各行业、产业的发展情况及社会资源配置情况,并依据数据分析结果,科学制定宏观政策、平衡产业发展、合理配置社会资源,提高社会生产效率。三是政府持有的已脱敏且不可逆的技术处理后的数据。这类数据已不具备个人的可识别性,能够保留数据的价值,并且具备利用时的完整性。[1]政府部门可基于对这些数据的分析结果,作出合理的社会治理决策。
最后,政府以外的其他社会组织、社会团体持有的非个人数据的应用。其他社会组织、社会团体对其持有的自主产生的数据以及经过脱敏且不可逆技术处理后的个人数据之分析利用,有助于提升其自身内部管理效能。比如,行业协会等社会组织通过分析其收集的行业基本数据,能够从整体上把握行业发展态势,提升行业治理效果;学校图书馆通过对学生借阅书籍的大数据进行分析,能够了解不同书籍的受青睐度,进而合理安排书籍上架等事宜。
数据流通法律规制的核心目的在于保障数据安全。由于数据种类繁多且性质多元,产生数据的主体并非持有和利用数据的主体,数据在性质多元的主体之间处于交叉持有的状态,因而有必要以数据利用的类型化为基础框架,根据不同类型的数据、持有数据主体的性质以及数据流通所处的阶段来设定数据流通法律规制的模式。
关于个人数据流通的规制模式学界存在多种看法。有学者认为用户数据与知识产权存在多维性质共通,主张将用户数据的法律保护纳入知识产权法律体系。[2]由于用户数据在性质上属于个人数据,与知识产权法律体系保护的客体属性存在本质区别,故难以将其纳入知识产权的法律体系。而构建以“知情同意”为基础架构的个人数据保护的独立法律体系(以欧盟《数据保护指令》为代表)一度成为学界关于个人数据保护的主流观点。但由于“知情同意”机制存在增加个人信息主体阅读隐私政策的负担(3)若在完全知情的前提下作出同意,则信息主体每年需平均付出244个小时阅读信息处理者提供的隐私政策;即使是粗略阅读,每年平均也需要154个小时。因此,信息主体往往选择随意浏览、挑选阅读甚至放弃阅读。ALEECIA M McDonald, LORRIE F C. The Cost of Reading Privacy Policies[J]. A Journal of Law and Policy for the Information Society, 2008(4I/S):563. OMRI B,CARL E S. The Failure of Mandated Disclosure[J]. University of Pennsylvania Law Review, 2011(159):658-665.,并且全有全无的隐私政策模式限制了消费者的个性化隐私选择[3],甚至有学者认为传统的“知情同意”框架在大数据时代面临用户隐私保护效率低下、企业负担沉重的穷途末路。[4]基于此,有学者借鉴欧盟《数据通用保护条例》与美国《消费者隐私权利法案(草案)》的相关内容,提出个人数据保护之“场景与风险”导向的理念:强调以“隐私风险评估”贯穿数据处理生命周期的全过程,综合多种因素对个人信息应用的合理性进行“程度性”判断,跳脱传统架构中“全有全无”的二元式评判。[4]97-98基于数据应用场景多元化的现实考量,隐私风险评估与场景判断相结合的个人信息保护新路径较为合理。
虽然“知情同意”规则实施的应然效果与现实效果之间存在差异,但并不能因此对之予以否定并摒弃。(4)我国《民法典》人格权编关于个人信息保护的条款及《个人信息保护法》均贯彻个人信息保护的“知情—同意”规则。为保障信息主体的知情权,法律规定信息处理者(5)我国《民法典》人格权编第1037条采用“信息处理者”的概念,并于第1035条第2款将信息处理的范围界定为:信息的收集、存储、使用、加工、传输、提供、公开等行为,实际上这一界定包括了数据流通中持有和利用数据的全部行为范畴,即本文所用的“信息/数据处理(者)”这一概念。的告知义务,而被告知者是否愿意充分知晓告知信息,法律无法作出强制性规定。[5]但是,“知情同意”规则是法律对自然人人格利益保护的体现,有其特定的存在价值。因此,个人数据流通法律规制的模式仍应坚持以“知情同意”为基础,但同时应结合场景判断隐私风险评估机制,并充分考虑个人数据被不同性质的主体持有时其在不同场景下对数据使用的行为规范存在差异。具言之,可将个人数据的流通具体化为“收集—分析—利用”三个阶段(6)虽然我国《民法典》第1035条2款规定的个人信息处理行为包括收集、存储、使用、加工、传输、提供、公开等,但是由于提供数据、公开数据等行为可发生于数据收集之后,也可发生于数据分析之后,因此可将数据流通的全流程简化为“产生—收集—分析—利用”四个阶段。,基于个人数据被利用时的两种形态,考虑不同主体在不同阶段持有数据的性质,设置个人数据流通法律规制的基本架构。其整体模式如图3所示:
图3 个人数据流通规制模式注:私主体,即以企业和个人为典型的不具备公共服务性质的社会主体;公主体,即政府部门及其他带有公共服务性质的社会组织、社会团体等。
首先,个人数据“产生—持有”阶段的规制模式。这一阶段的数据均为个人原始数据,多数产生数据的主体并不持有数据,持有数据的主体多为个人以外的企业、政府及其他社会组织、社会团体等。这一阶段对不同主体收集持有数据的行为规制主要包括:一是私主体持有个人数据应具备“告知同意+合法收集”的条件。以企业为例,就“合法收集”的渠道而言,无外乎两种方式:要么企业通过自身掌握的技术直接自主收集个人数据,要么从其他主体间接收集/继受个人数据。(7)所谓间接收集/继受个人数据,即收集个人原始数据的主体将其收集的原始个人数据通过合法方式流通和共享至其他主体。对于前者,个人数据的收集应受“告知同意+合法收集”的限制。“告知同意”着重保障个人对其个人信息被利用的知情权,但依据该原则产生的“全有全无”二元模式导致实践中存在诸多问题。应引入隐私风险评估机制,实现从择入机制到择出机制的逐渐演变。[3]“合法收集”强调从数据安全的角度保障个人数据不被非法收集,包括收集个人数据的来源合法以及收集的技术手段合法(下文中的“合法”均为此意)。对于后者,应规定初次收集个人原始数据的数据收集者原则上应当对收集的个人数据进行脱敏且不可逆的技术,方可与其他数据处理者共享和流通数据;如存在特殊情况需要共享原始个人数据的场景,比如存在关于个人数据继受者对原始个人数据的使用方式、目的和应用场景与前序个人数据收集者在收集个人数据时明示的相关内容存在差别的情况时,则同样应受“用户授权+合法”规则的限制。(8)北京市知识产权法院民事判决书〔2016〕京73民终588号。其中,“用户授权”保障用户对其个人数据被收集、利用的知情权,“平台授权”保障已对个人数据的收集使用享有合法利益的数据控制主体的合法权益。二是政府及其他带有公共服务性质的社会组织、社会团体持有个人数据应具备“知情+合法”收集的条件。政府及其他带有公共服务性质的社会组织、社会团体因履行社会公共服务职能的需要,其在收集大量原始个人数据时应保障个人对其个人数据被使用的知情权,同时按照法律规定的方式合法收集。
其次,个人数据“持有—分析”阶段的规制模式。数据收集者收集个人数据之后,在对个人数据分析、利用之前,根据持有数据主体的不同,对数据分析、利用的规制主要包括两种模式:一是数据控制者为企业等社会组织类的私主体时,应对个人数据进行“脱敏+不可逆”的技术处理。企业利用个人数据的目的在于追求经济利益,要求其采取“脱敏+不可逆”的技术处理措施是对个人数据合法权益的有效保障。个人如果为其自身原始数据的处理者时,可自主分析其持有的自身原始数据,不受“脱敏+不可逆”的限制;但若其自身不具备分析数据的能力,需委托其他社会主体分析其持有的自身原始数据时(即单个自然人原始数据集的流通),应受“脱敏+不可逆”的技术处理之限制。二是政府及其他带有公共服务性质的社会组织、社会团体在处理其依法收集的个人数据时,应严格遵守法律关于数据处理的具体规则。由于政府及其他带有公共服务性质的社会组织、社会团体具有以实现公共利益为目的的公共服务职能属性,是否要求其在“持有—分析”阶段对个人数据采取“脱敏+不可逆”的技术处理,应当根据其具体的应用场景依法确定。
最后,个人数据“分析—利用”阶段的规制模式。数据持有主体在对其持有的个人数据分析后、利用之前,根据持有数据主体之不同,对数据进行利用的规制主要包括四种模式:一是以企业为主的私主体对其持有的经过“脱敏+不可逆”的技术处理后的大量原始个人数据的利用。这类数据已不具备个人数据的特征,若为企业自主收集的数据,则可对之依法自主利用;若企业持有数据是基于其他社会主体授权,则企业应按照约定在授权范围内合法使用被授权分析的数据。二是以企业为主的私主体对其持有的经过“脱敏+不可逆”技术处理后的单个自然人原始数据的利用。由于产生此类数据的基础数据是单个自然人的原始数据,虽然经过“脱敏+不可逆”的技术处理已无法直接辨识“个人”,但在一定程度上仍然具备技术视角下个人的“可识别”性。因此,对于这类数据,无论企业收集数据时为自主收集,抑或基于其他社会主体授权分析处理而持有,在使用时应该具备“原始数据收集时的知情同意+合法利用”的条件限制。这类数据使用的典型场景是基于自动化决策的“精准推送”,“精准”即意味着从技术角度而言个人偏好的可识别性,因此须以数据收集时的“告知同意”为必要,并且不得违反法律规定进行“违规推送”或以其他违法方式共享个人数据。三是自然人可对其持有的经过分析的自身个人数据进行合法利用。若需共享和流通自身的个人数据,则应受“脱敏+不可逆”的技术处理之限制,并且继受该数据的主体应依照法律规定合理使用该数据。四是政府及其他带有公共服务性质的社会组织、社会团体等公主体对其所持有的经过分析、处理的个人数据的利用。这两类主体对其收集的个人数据合法利用的基础在于其主体法律性质及其所具备的社会公共服务职能需求。
数据流通中,非个人数据的范围包括:非自然人主体自主产生的数据及个人数据集经过脱敏且不可逆的数据。关于非个人数据流通的规制模式,有学者认为由于商业数据(经过匿名化处理的大数据)具有秘密性和商业价值,因此对于商业数据的财产化规制路径应采用商业秘密的保护路径[6],也有学者认为以数据库和数据产品为主的数据财产形态具备与知识产权客体类似的权利外观,且法律保护框架与知识产权制度目标类似,故主张以知识产权制度为模式设计数据财产制度。[7]实际上,权利外观相似并不等于权利本质相同,对非个人数据的流通规制究竟应采何种模式,应视非个人数据在特定场景下所体现的权益客体属性而定。若特定场景下的非个人数据被认定为知识产权的权利客体,则应遵循知识产权的保护路径予以保护。由于非个人数据在流通中的不同阶段可能被不同的主体持有、处理,故可将不同主体持有不同类型的非个人数据在不同流通阶段的规制模式进行归纳,如图4所示:
图4 非个人数据流通规制模式注:私主体,即以企业和个人为典型的不具备公共服务性质的社会主体;公主体,即政府部门及其他带有公共服务性质的社会组织、社会团体等。
首先,非个人数据“产生—持有”阶段的规制模式。根据产生数据的主体和持有数据的主体不同,非个人数据从数据产生到持有可分为三种类型,对其规制的模式亦可基于这三种类型展开。一是数据主体自主收集的基于其自身“业务活动”产生的“业务数据”,即自然人以外的社会主体在从事社会生产经营、管理、履职过程中产生的与自身“业务”相关的数据。由于这类数据基于社会主体的生产实践活动自主产生,且不涉及其他主体属性,因此可自主收集。二是数据主体持有的其他社会组织掌握的非个人数据。企业等私主体可通过自主搜集的方式持有其他社会组织的公开数据,也可基于其他社会组织的委托持有其他社会组织非公开的“业务数据”;政府及其他带有公共服务性质的社会组织、社会团体可通过自主搜集的方式收集其他社会组织的公开数据,也可依法收集其他社会组织的“业务数据”。三是数据主体持有的对大量个人数据经过脱敏且不可逆的数据。企业等私主体可对其合法收集的大量个人原始数据进行脱敏且不可逆的技术处理而持有该类数据,也可基于其他主体对该类数据的委托分析而持有这类数据;政府及其他带有公共服务性质的社会组织、社会团体可基于对其持有的大量个人原始数据经过脱敏且不可逆的技术处理后而持有该类数据,也可基于对其他主体的依法收集而持有这类数据。
其次,非个人数据“持有—分析”阶段的规制模式。因数据来源不同,法律对非个人数据持有者分析处理数据的规制方式亦不同。主要包括三种模式:一是数据主体对其持有的自主产生的数据可在合法范围内自主分析。二是关于数据持有主体对其持有的其他社会组织掌握的非个人数据进行分析的规制。企业等私主体对其自主收集的其他社会组织的公开数据可进行自主合法分析;对基于其他社会组织的委托而持有的其他社会组织的“业务数据”,应按照委托约定进行合法分析处理。政府及其他带有公共服务性质的社会组织、社会团体对其自主搜集的其他社会组织的公开数据可依法自主分析,对依法收集的其他社会组织的“业务数据”可进行合法分析。三是关于数据持有者对其持有的大量个人数据集经过脱敏且不可逆的数据进行分析处理的规制。企业等私主体对基于自身持有的大量个人原始数据经过脱敏且不可逆的技术处理后而持有该类数据的,可自主分析处理;对基于其他主体委托处理而持有这类数据的,应依照委托约定进行合法分析。政府及其他带有公共服务性质的社会组织、社会团体对其持有的大量个人原始数据采取脱敏且不可逆的技术处理后获取的数据,可依法对之自主分析;对从其他主体处依法收集而持有的这类数据可依法进行分析。
最后,非个人数据“分析—利用”阶段的规制模式。对于经过分析的非个人数据,其利用的规制模式主要包括三种:一是关于自主利用的规制。即数据主体对其持有的自主产生的数据分析后可进行自主利用。这些数据对企业而言,可能涉及商业秘密、知识产权等法律保护;对政府及其他带有公共服务性质的社会组织、社会团体而言,可能涉及对国家秘密的保护。二是关于数据持有主体对其持有的其他社会组织掌握的非个人数据利用的规制。企业对其自主收集的其他社会组织的公开数据进行自主分析后,可自主利用;对基于其他社会组织的委托而收集的其他社会组织的“业务数据”,按照委托约定进行合法分析处理后,仍应依照约定合法使用。政府及其他带有公共服务性质的社会组织、社会团体对其收集的其他社会组织的数据依法分析处理后,应依法公用。三是关于数据持有主体对其持有的经过脱敏且不可逆的大量个人数据集分析处理后的利用规制。企业对自身持有的大量个人原始数据经过脱敏且不可逆的技术处理并分析的数据,可自主利用;对于其他主体委托处理的数据,应依约定合法使用。政府及其他带有公共服务性质的社会组织、社会团体对其持有经过脱敏且不可逆的非个人数据技术处理、分析后,应依法公用。
承前所述,多元场景下数据流通的法律规制,需明确不同数据类型在不同流通阶段被不同主体持有时的法律性质,并以此为基础展开对数据流通行为的规制。对此,我国既有法律关于多元场景下数据法律属性的规定主要基于《民法典》第127条及相关条款的解释展开,并且配套以《数据安全法》《个人信息保护法》等对流通中的数据处理行为搭建基本的规范框架。
《民法典》总则编第127条正是对数据在多元场景下呈现不同法律性质之考量,而尚未对数据的法律性质明确规定,既保证民法作为私权保护基本法而对数据之上的财产性权益进行肯定,亦为衔接后续出台的与数据保护相关的其他法律留足空间。
首先,在《民法典》总则编编撰过程中关于数据立法的矛盾。从《民法典》总则编历次草案的文本内容来看,《民法典·总则(草案)》(一审稿)采用“数据信息”的概念,将其纳入第108条关于知识产权客体范围的规定。然而考虑到伴随大数据的开发利用产生的个人信息、个人隐私、商业秘密、知识产权保护及数据法律属性难以界定等问题,且这些问题涉及多个法律领域,贸然将数据信息纳入知识产权客体范畴将引发诸多问题。因此,《民法典·总则(草案)》(二审稿)删除一审稿中将“数据信息”纳入知识产权客体范畴的规定,并单列第124条规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。《民法典·总则(草案)》(三审稿)第128条和最终颁布的《民法典》总则编第127条维持二审稿中的数据条款。从这一立法过程来看,关于数据权益保护应放置于总则中具体哪个位置,是《民法典》总则编编纂过程中较为矛盾且难以抉择的问题之一。其矛盾之处主要体现在:数据与个人信息、个人隐私、知识产权、商业秘密等权益对应的客体之间的关系难以厘清。而导致这一问题的根本原因在于:数据产生主体与数据控制主体相分离、多元社会主体交叉持有数据的社会现实。
其次,《民法典》总则编第127条规定的合理性。具体而言,《民法典》总则编的法律体系延续《民法通则》的框架,将“民事权利”单独成章予以规定,并在原有民事权利基础上将个人信息、数据、网络虚拟财产等纳入“民事权利”章,既延续了传统立法框架,同时亦是对现代民法典的时代性作出回应。事实上,《民法典》总则编第127条关于数据的规定为数据多元场景下相关权利/权益客体的论断提供了解释空间。从《民法典》总则编整个“民事权利”章来看:第109—112条是关于人身权和人格权的规定,第113—122条是关于民事主体财产权的规定,第123—125条分别是关于知识产权、继承权、投资性权利的规定,第126条作为民事权利的兜底性条款,第128—132条的内容分别为:弱势群体民事权利保护、民事权利取得方式、权利的行使和限制。整个“民事权利”章关于具体民事权利类型规定在第126条之前,而将数据的条款置于该条之后。对于这样的安排,有学者指出《民法典》总则编第127条的缺陷在于:刻意回避数据主体对数据享有的权利和利益,并未明确界定数据的法律属性,也未明确如何保护基于数据而产生的合法权益。(9)关于“回避基于数据的权利认定”的论述,参见周林彬《大数据确权的法律经济学分析》,《东北师大学报(哲学社会科学版)》,2018年第2期,32-33页;关于“数据的法律属性界定”的论述,参见肖建华《论数据权利与交易规制》,《中国高校社会科学》,2019年第1期,90页; 关于“如何保护基于数据的合法权益”的论述,参见吕炳斌《论网络用户对“数据”的权利——兼论网络法中的产业政策和利益衡量》,《法律科学》,2018年第6期,56页。实则不然,《民法典》总则编第127条的规定恰是对多元场景下数据的法律属性认定留有空间。原因有二:一方面,《民法》总则颁布时,法学界对数据的相关研究尚不成熟(概念不清、属性不明、权利/权益未定等),无法贸然将尚在发展中、还未明确定性的数据予以明确规定。否则不仅有损民法典的时代性、包容性和稳定性,而且还会对民法典颁布后出现的因数据定性产生纠纷的司法实践造成困境。另一方面,基于总则的特殊地位,《民法典》总则编无法做到也不可能做到将多元场景下数据的法律属性区别认定并予以细化规定。
最后,《民法典》总则编第127条与其他相关条款的关系。有学者根据《民法典》总则编第111条和第127条的规定,认为这两个条款中的个人信息与数据分别指向人格权与财产权,代码层的数据为新型财产权客体。[8]这种将数据信息基于物理属性的分割(物理层、代码层、信息层)而作的分类[9][10],虽有助于理解基于二进制数字计算的计算机如何实现与现实世界的信息交互,但以此为基础来探讨信息/数据法律属性的做法值得商榷。原因在于:数据与信息的截然分割与流通中数据处理的现实不符,亦无法解决个人信息和数据的法律定性问题。
一方面,从技术视角而言,作为数据处理的操作指令/程序和被处理的对象(数据)在计算机内部均为二进制代码[11],但无论是程序代码,抑或被处理的数据代码,在编写和执行过程中均无法脱离其内涵信息的物理属性。理由在于:理论而言,即便是计算机最底层的0和1二进制代码,也承载可被专业技术人员读懂的信息——虽然难度较大,耗费的精力较多,何况尚未经过编译和解释的由代码编写者编写且可读懂的源代码。因此,从代码的角度而言,无论是计算机能够识别的二进制代码,还是技术员编写的操作指令源代码,其本身亦承载特定的信息属性。
另一方面,“代码层的数据”无法直接定性为新型财产权客体。如前所述,计算机数据处理中的代码包括二进制代码(以被处理的数据为主——将承载信息的字符编码按照特定规则转换为机器语言的二进制码)和非二进制代码(操作程序源代码、编译码等,最终也转换为二进制码)。[11]9-16其中,操作程序源代码因具备创造性,因而可能具备知识产权的法律属性;而按照特定规则进行二进制编码的被处理的数据代码包括个人数据和非个人数据代码。因此,直接将“代码层的数据”界定为新型财产权客体,显然不合理。
因此,《民法典》总则编第127条与“民事权利”章涉及的与数据权益保护相关的其他条款的关系宜解释为:第111条明确对个人信息的保护(包括以个人数据为载体的个人信息和非以数据为载体的个人信息);第123条有关知识产权的保护范围包括以数据为载体的知识财产;第127条保护基于数据产生的其他合法权益,包括基于非个人数据、非知识产权性质的数据而产生的合法权益,同时以“引致”条款的方式将数据的安全保护引致其他法律规范。
为保障数据的有序流通,仅通过《民法典》确认基于数据的合法权益受法律保护远远不足,对数据处理者处理数据的行为还需制定专门的法律规范。我国目前虽已制定《数据安全法》《个人信息保护法》,但就实践需求而言,仍然存在以下不足:
一方面,既有数据流通行为规范以个人数据流通规制为主,缺乏对非个人数据流通的具体规范。我国目前既有的法规对个人数据处理的行为规范涉及个人数据处理的基本原则、条件,知情同意规则,个人数据处理者的安全保障义务,个人数据保护的禁止性规范等规定,已基本构建个人数据法律保护的规则体系。而有关非个人数据流通的规则集中体现在《数据安全法》第四章“数据安全保护义务”以及第五章“政务数据安全与开放”的规定,这些规定从数据安全的角度设定数据处理者在数据流通中的安全保护义务基本框架。但从数据流通的具体实践而言,这些规范仍有待进一步细化。比如,基于《数据安全法》第19条的规定,需制定在数据交易场景下作为数据处理者的交易方应如何履行数据安全保护义务,才能切实解决数据交易实践中交易数据的安全问题。
另一方面,既有规范对数据流通的场景多元、数据类型多样、持有主体繁多、流通环节复杂的客观现实应对不足。无论是个人数据还是非个人数据,其在数字空间中的流通均具有场景属性。同一数据集在不同场景下可流通使用的限度不同,并且对数据处理者安全保障义务要求的程度亦存在差异。比如,对于某一自然人的个人数据集,企业精准推送的场景与政府部门社会治理的场景,其能够使用的个人数据在范围和程度上存在差异。而我国目前既有法律对流通中的数据处理行为仅作一般性规定,对具体场景下数据可流通的范围、处理的限度等缺乏明确规定。由于数据流通的场景多元,且处于流通变动的状态,加之考虑到法律的稳定性需求,故难以完全依赖以国家强制力保证实施的“硬法”来细化规制,需借助“软法”来强化规制。相对于“硬法”规制的高成本、低效率而言,“软法”规制更具灵活性、规制成本相对较低。[12]因此,需结合数据流通应用的行业场景特点,以“软法”形式对流通中数据处理者的处理行为展开具体规制。
数据共享和有序流通的前提在于保障数据安全,但显然目前我国(乃至世界各国)关于数据流通安全的法律制度建设明显落后于数据流通实践。“《数据安全法》是我国规范数据安全的基本法、数据安全领域的最高法、数据法律体系建构的重要组成部分”[13]。但从体系角度而言,无法仅通过一部法律来实现数据流通的全面规制(全面规制模式可参见图3和图4)。多元场景下数据流通的安全保障也需要通过不同效力位阶的具体规范予以实现。具体而言,主要从以下两个方面展开。
数据是对人类社会生产生活的记录,涉及领域多、范围广,其可流通范围的划定应遵循“合理的数据分类+数据应用场景”的模式。对数据进行合理分类并结合具体的应用场景来划定可流通的数据范围,是数据多元场景应用背景下数据有序流通之首要规则。
1.个人数据可流通范围的确定
个人数据可流通范围的确定应以“基于数据产生领域的初级场景分类+基于敏感程度的次级分类+基于数据类型的具体场景的三级分类”为模式。
首先,将个人数据按照产生领域进行初级分类。理由在于:社会是由人组成的,个人在不同的社会领域中(金融、医疗、交通、教育……)从事生产活动,与其相关的个人数据被大数据技术记录并存储。不同领域涉及个人数据的条目、种类、数量不同,并且同一个人的数据在不同领域中,其敏感程度也不同。以产生领域作为确定个人数据可流通范围的一级分类标准,有助于对具体领域个人信息保护规则的设定。
其次,在初级分类的基础上,对各领域个人数据按照敏感程度划分为“一般个人数据”和“敏感个人数据”的二级分类。之所以将此分类作为二级分类,其原因在于:按照敏感程度的个人数据分类主观性较强,而将其限定在特定行业领域内,有助于限缩“一般个人信息”和“敏感个人信息”区分的张力。
最后,在二级分类基础上根据个人数据的类型分为具体的应用场景。个人数据在具体场景中的使用包括“大量原始个人数据集”与“单个自然人原始数据集”两大类。在此分类基础上可根据不同主体持有数据、分析数据、使用数据的情况,进一步划分个人数据应用的多个子场景(可参见图1)。
2.非个人数据可流通范围的确定
非个人数据可流通范围的确定,应综合考量数据产生主体的性质、数据本身的法律属性以及数据应用场景的多元化等因素。
首先,若非个人数据内含的信息本质为既有法已明确保护的权利/权益/权力客体时,依照既有法的规定调整非个人数据的流通。比如,知识产权、商业秘密、国家秘密等也可以数字化的形式存在、以现代信息科技物理设备的方式进行存储、以网络信道的方式进行传输。虽然其存在载体、传播方式等方面有别于传统方式,但是其在法律上的性质并未改变,故应明确这部分数据承载信息的法律属性,并依据其对应的现有法律予以规范。
其次,若非个人数据内含的信息本质非为既有法已明确保护的权利/权益/权力的客体时,按照数据对于国家安全、经济发展以及社会公共利益密切相关的程度,将其分为一般数据和重要数据。企业、政府及其他社会组织在从事社会生产活动过程中不仅收集数据,而且也在产生数据。由于产生非个人数据的主体多样、种类繁多,其中诸多数据因数据生产者的性质不同,其流通中对国家安全、经济发展以及社会公共利益产生的影响也存在差别,尤其是政府部门及重要行业部门产生的数据。因此,以非个人数据对国家安全、经济发展以及社会公共利益密切相关的程度为依据,可将之分为一般数据和重要数据。就具体的分类而言,可采纳全国信息安全标准化技术委员会于2017年发布的《信息安全技术 数据出境安全评估指南》(征求意见稿)的分类标准,其以附录的形式列出重要数据类型。
最后,在一般数据和重要数据的分类基础上,根据非个人数据生产者的法律性质及数据使用的场景,明确数据的可流通范围,并设置不同场景下的数据使用规范。一般数据和重要数据对国家安全、经济发展以及社会公共利益产生影响的程度在不同应用场景之下也会显现出较大的差异,尤其是政府及其他具有公共服务性质的主体产生的重要数据。就一般数据而言,可依照企业的自由意志确定其产生的一般数据可流通的范围;政府及其他具有公共服务性质的主体产生的一般数据,由于对国家安全、经济发展和社会公共利益产生的影响较小,可依照法律的规定对之公开。就重要数据而言,由企业产生的重要数据,应依据数据使用的场景确定数据可流通的范围;而由政府及其他带有公共服务性质的主体产生的重要数据,同样以该数据使用的场景来确定数据可流通的范围。比如,政府部门产生的重要数据可划分为政府部门内部之间可共享的数据、政府与特殊行业可共享的数据、政府与特定社会组织可共享的数据、政府与一般企业可共享的数据等类型。
以计算机、网络技术为典型的现代性的工具理性伴随着网络安全、数据安全风险,并且随着人类对网络、数据等现代科技的依赖性越强(10)有学者认为,“数据已经覆盖和书写了一个人从摇篮到坟墓的全部生活,我们对数据已经形成了难以摆脱的依赖性”,现代社会人们已经从对物的依赖走对向对数据的依赖。参见大数据战略重点实验室、连玉明:《数权法2.0:数权的制度建构》,社会科学文献出版社,2020年版,第2页。,风险发生的可能性越大,范围也越广。甚至可以说网络安全风险、数据安全风险是现代人类社会面临的最主要的、最大的风险之一。因此,为防范风险的发生,需设置相应的数据安全保障制度。正如有学者所认为的,“现代风险已经彻底改变了现在、过去和未来的关系,不再是过去决定现在,而是未来的风险决定我们今天的选择”[14]。
我国《民法典》人格权编第1038条、《个人信息保护法》第五章、《数据安全法》第四章等规定了个人信息处理者、数据处理者的安全保障义务。其义务内容包括积极性义务和消极性义务。其中,积极性义务主要包括:采取技术措施保障信息安全,建立健全数据安全管理制度,定期合规审计,特定情况下的信息处理保护事前影响评估,信息泄漏时的补救措施及报告义务等;消极性义务包括:不得泄露和篡改,不得非法处理,未经同意不得非法提供等。显然,关于安全保障义务,《民法典》《个人信息保护法》《数据安全法》仅作出一般性规定。
实际上,信息处理者安全保障义务的法律实现有赖于多元性的规制性规范。(11)“规制”的含义较为多元,最为常见的含义是将其理解为命令控制性规制,与此相关的规制形式是设定法律主体的行为义务。参见朱虎《规制性规范、侵权法和转介条款》,《中共浙江省委党校学报》,2014年第3期,115页。数据安全保障义务贯穿于数据流通的全过程,其法律规范的表达应基于类型化的场景规制架构而展开。即在具体场景下数据可流通范围明确的基础上,结合数据流通的环节(收集、分析、利用等)设定数据处理者的安全保障义务规范。这些规则以《民法典》《数据安全法》《个人信息保护法》作为数据流通安全保障义务体系的基本法。基于《数据安全法》和《个人信息保护法》的规定,以行政法规和部门规章的形式细化各行业领域的各类数据在不同应用场景下的数据处理规则。在此基础上以国家标准、行业规定、团体规定等“软法”对数据安全保障义务的技术标准和管理标准进一步细化,以增强规范的可操作性。
数据流通的法律规制具有场景依赖性。基于场景的多元化,应以数据利用的类型化为基础框架,根据不同种类数据的性质以及持有数据主体的法律属性来设定数据流通的法律规制框架。对数据的流通规制需区分数据类型和应用场景,遵循“合理的数据分类+数据应用场景→风险评估”的思路设置数据流通规制的架构,构建以安全保障义务为核心的规制体系。
本文主要从数据流通宏观规制的视角展开分析,呈现数据在不同流通环节的法律属性及规制架构,以期能为后来的研究人员或决策制定者提供一个可能的研究方向和分析框架。在数据应用多元场景规制模式的分析框架下,可进一步论述具体场景中数据流通法律规范的设定以及不同规范之间的衔接关系,进而针对具体场景的数据流通需求设置更加细化的流通规则。