文/彭诚信
数字社会的到来使个人信息、数据相关法律问题凸显。信息不是数字社会特有的,传统线下社会也保护信息,但其有特定的保护范围:一种是人格性信息,即人格利益;另一种是由信息形成的知识。数据是数字社会的基本物质要素,数字社会的权利义务分配均围绕数据展开。个人信息是自然人身份再现于数字空间的人格标识,是数字法律关系的物质基础,而个人信息保护与利用之间的矛盾是数字法律关系的中心矛盾,数字社会的基本法律规则主要围绕这一矛盾的解决而擘画布图。数字社会是讨论个人信息的前提,脱离了数字社会,信息保护问题完全可由传统人格权和知识产权等制度解决。个人信息是数字法学的基本范畴,围绕个人信息构建数字法律规则是数字法学的核心研究范式。
数字社会中最基本的元素是数据。在互联网背景下,数据的本质特征是“算法识别”,即数字社会中的数据具有可计算性。传统线下社会的信息是不可计算的,只能进行自然识别。数字社会则不同,其中的网络用户成为个人信息的来源,其浏览网页所产生的痕迹信息、购物产生的个人偏好信息等被信息技术平台固定,平台通过一系列收集、加工、整理等自动化处理活动,将个人信息转化为“0”和“1”二进制机读数据,甚至可通过达成区块链共识而形成不可更改的“链上数据”。数字社会以算法为核心、以网络平台为载体,其中的个人信息因此具有了可计算性,即算法识别性。
数字伦理不仅是对数字法学的道德要求,而且是对数字社会中所有活动的消极约束。传统线下社会中的“人性恶”在数字社会中仍然存在,数字社会中的恶在最终意义上都是自然人所为。算法应用过程中产生的“算法霸权”“算法黑箱”“算法歧视”等负面社会效应,逐步瓦解了数字社会的信任基础,这本质上都是由算法设计者的恶所造成的,也使得人们的算法焦虑日益加剧。数字社会中的伦理问题,在终极意义上还是自然人的伦理问题,是自然人的恶产生了数字社会中的恶。如果“驱恶扬善”是线下社会所有制度的目标,数字社会亦应如此。首先,应要求在数字社会中活动的人也要遵守法律与伦理规则。其次,即便是良法,也需要善治,何况有时法律并不完善,数字法学亦是如此。
个人信息作为法律客体主要有两个重要属性。第一,从技术性特征看,个人信息具有算法识别性(可计算性)。数字空间的行为利用了专业性很强的算法计算,普通人缺乏侵权判断的专业性,而且算法的介入,使个人信息留存并固定在平台的存储空间上,信息处理者实际掌握并控制着个人信息,法律为纠正双方在知识和控制力上的偏差,采用对个人倾斜保护的救济制度。第二,从物理性特征看,数字社会的个人信息天然包含财产基因。虽然个人信息也是人格标识,本质上属于人格利益,但在数字社会却天然蕴含财产基因。也就是说,个人信息的财产性与人格特质无关,其财产基因是天然的,不依附于特定人身,信息无论来自何人均可以释放财产价值。
个人信息的财产基因是隐性的,人格性是其本质属性,因此个人信息是人格权,但对个人信息的经济利用是客观的。因人格权与财产权不可通约,法律必须回答,个人所享有的个人信息人格权,如何能够外化为数据企业对个人信息所享有的数据财产权益。其一,个人信息若具有人格属性,就不能归属于他人,因为人格只能属于人格主体,不能让渡,否则人就有可能被降格为交易的客体或工具。其二,我国目前在司法上承认了个人信息的财产价值,但因缺少个人信息财产化的理论证成,仅能以责任规则保护个人及数据企业的财产利益。其三,传统线下社会的人格标识财产化路径无法回应个人信息财产化问题。公开权、一般人格权均难以清晰解释数字社会中个人信息的人格权益外化为财产利益的理论难题。合理的路径应既能解释个人信息的人格权益本质属性,又能解释内含于个人信息中的财产基因如何外化且为信息处理者所用。在目前的制度资源中,个人信息处理的知情同意为相关主体提供了选择可能。从解释论看,同意的法律效果是加入信息处理关系,信息处理关系具有两个维度:一是限制个人信息人格权益,二是生产、保有个人信息财产价值。
个人信息的客体属性与权利属性决定了个人信息之上的权益归属。个人信息人格权益应归属于信息主体,由其专属独享;而就个人信息中的财产利益而言,其归属的确定便相对复杂。原发状态的个人信息仅有财产基因,仅依靠信息主体,财产价值难以被激发,更难实现提升。个人信息财产价值的发挥天然依赖于信息处理者,且信息处理者为此付出了巨大的成本和代价。但不可否认的是,若没有信息主体提供信息,信息处理者无论如何也催生不出个人信息的财产价值。由此可见,个人信息财产利益由信息主体独享或者由信息处理者独享均不具有正当性,合理的分配方案是由信息主体与信息处理者共享。数字社会中个人信息财产价值或许难以直接分配给信息主体,但可以采用数字税或专项数字基金等形式,通过税收或基金的正当使用,间接使数据红利惠及信息主体。
传统线下社会中的法律关系通常是相对单纯、清晰的法律关系,例如物权、人格权、知识产权等绝对权是权利主体对权利客体(如物、具体人格利益、智慧成果等)的权利,其他人都是义务主体;合同债权则具有相对性,存在于双方主体之间。相较于传统线下社会,数字社会的法律关系更为复杂。首先,只要信息主体进入赛博空间,便至少涉及其与平台间的法律关系。其次,个人信息在数字空间可被无限复制,如果个人信息由平台与第三方共享,则涉及更多的主体,包括用户、在先平台、在后平台等。甚至,数字社会中特定主体还会经由算法故意创设多个公司,制造复杂的法律关系以逃避相关的法律责任。
信息主体与信息处理者之间存在紧密的依存关系:信息处理者需要信息主体提供用于数据分析的个人信息,而信息主体也依赖信息处理者的数据处理以提升网络体验,甚至完成生活方式的转变。就个人信息共享所涉及的多个信息处理者之间的法律关系而言,在先的信息处理者必然会为收集、加工、处理个人信息付出一定的成本和代价,从而为其后的信息处理者直接使用、分析个人信息创造基础性条件,而后来的信息处理者的共享利用也是在实现甚至增大在先平台数据产品的价值。
个人信息纠纷往往涉及多元法律关系,所适用法律包括宪法以及合同法、侵权法、反垄断法、反不正当竞争法、行政法、刑法等传统部门法,如数据跨境等法律问题甚至还会关涉国际法或国际规则。涉及数字法学的相关概念或制度,如个人信息的概念、客体属性、权利属性、权利归属、财产利益分配制度及个人信息处理的同意规则等,都应置于多元的法律关系中去理解。如个人信息保护法中的同意,其内涵极为丰富。首先,依据法律体系与规范效力位阶逻辑,同意应有宪法上的效力渊源。其次,个人信息保护法中的同意不但在不同层级法律中的内涵与效力不同,而且即便在同一部门法(如民法)的不同法律关系中亦可体现为多元的法律效力。法律关系(权利义务内容)的多元性,决定了信息处理者在利用个人信息的同时,要接受多层次的义务规制。
数据的可计算性决定了数字法学的救济制度在理论上也应是智能(可计算)的救济模式,即在数字社会中发生的法律权益纠纷应通过智能或可计算的方法解决,如此可推动司法从“接近正义”向“可视正义”的转型。首先,证据收集智能化可解决案件事实确定难题。证据收集智能化意味着解决案件所需要的证据可运用计算方法获得,如果再配合智能技术(如区块链等),那么此种方式取得的证据更全面、更可靠,这也就解决了线下社会救济中最难解决的证据收集问题,即法律事实确定问题。其次,案件执行智能化可提升法律救济的确定性。运用智能或智慧司法在一定程度上还能解决线下社会法律裁决的“执行难”问题,即“按照合乎程序规定的方式将司法过程精确拆解,又借助数据分享和集中管理,令系统中的每一个动作都为最上的管理者可见”,实现“去人化”的智能执法。最后,建构并拓展契合数字社会法律争议解决的线上纠纷解决机制(ODR)。真正契合数字社会的争议解决方式应是辅助当事人解决纠纷的多元解决机制(包括调解、仲裁或者诉讼等),其中尤为重要的是鼓励双方当事人直接参与纠纷解决的线上自治性纠纷解决机制。
个人信息保护中的多元法律关系,既涉及信息主体与信息处理者之间的个人信息保护,又涉及不同信息处理者之间的数据财产利用。这要求不同部门法之间联动协作,共建综合多元的救济体系。具体而言,在个人信息处理的整个阶段,以人格权法、合同法及侵权法为个人信息权益提供一般性保护和私力救济;由个人信息监管部门采取行政管理措施进行全方位监督,主要包括事前的个人信息风险评估、事中的抽查监管、事后的追踪观察等;以刑法作为最后的救济路径,以期实现对个人信息权益的全方位保护。当前,我国的个人信息权益保护体系尚未成熟,但在司法实践中已综合运用多种救济制度来解决涉及个人信息的权益纠纷。
数字社会中的个人信息侵权和线下社会中的人格权侵权无论在归责原则、责任构成还是责任承担(损害赔偿)等方面均有不同,甚至还存在某种程度上的本质性差别。首先,在归责原则方面,传统人格权侵权适用一般过错原则,而个人信息侵权则适用过错推定原则。其次,在个人信息侵权的责任构成方面,无论是加害人的侵权行为、主观过错,还是因果关系等方面的证成,都含有明显的技术性特征,这跟线下社会侵权责任构成要件的认定存在明显不同。最后,在责任承担方面,数字社会中的精神损害赔偿唯有普遍适用且适度降低适用标准才能实现对信息主体的财产利益保护。基于此,在个人信息侵害案件中,不应要求《民法典》第1183条中的“严重”这一条件,只要侵犯了个人信息,便应当给予精神损害赔偿。
数字法学主要研究对象围绕数据与算法而展开,由概念、范畴和原理组成的知识体系建立在数据与算法之上,数字法学作为独立的法学学科已渐成共识。在数字社会,法律调整的始终是其背后人与人之间的关系,而引起人与人、人与组织、人与国家之间权利义务关系变化的正是数据和算法。算法在不同生活场景中发挥着决策和辅助决策的作用,在数字空间中形成规训力量,在社会层面则是对社会秩序的理性建构,而数据是算法决策的动力。不能忽视的是,算法和数据虽代表先进的生产力,但两者均不是法律和社会的终极目的,真正的目的仍是作为决策受体的人,其中个人信息便是人作为主体进入数字世界,与算法发生计算关系的媒介。若说数据和算法是引起数字法学知识体系变化的工具性范畴,个人信息范畴便是数字伦理的集中体现,其核心价值在于避免数字空间的主体客体化,它决定着人在数字空间的主体性和数字法学的价值属性。
就我国数字法律制度而言,其调整对象涉及数据、网络安全、电子商务、人工智能等多方面;其调整的法律关系,既包括国内数据的保护与利用,也包括国际数据的跨境传输,且涉及个人、数据企业、国家乃至国际组织等多元法律主体;其涉及的法律规范,几乎涵盖了传统线下社会的民商法、知识产权法、行政法、反不正当竞争法、反垄断法、消费者权益保护法、刑法、国际法等所有法部门。因此,作为研究数字法律知识和规律的数字法学,不能再用传统线下部门法思维确立其学科归属,而应综合考虑其学科性质。数字法学既不完全属于传统公法,也不完全属于传统私法;既非单纯的国内法,亦非单纯的国际法。数字法学是纵(公法、私法)横(国内法、国际法)兼具、横跨多个法部门的综合性、交叉性、融合性法学学科。
从数字法学的内在基本原理以及基本价值追求来说,其与线下社会的传统法学并无实质性区别,因为法学的基本价值追求应是恒定的,那就是维护并促进人的行为自由与尊严平等,数字法学亦是如此。毕竟,数字社会最终维护的依然是线下社会中自然人的切身利益。“数字不是目的,人才是。”此处的“人”,应该是指自然人,而非人工智能体。尽管不应一味提倡人类中心主义,毕竟生态与环境保护,甚至人与动物和谐共处也应是时代的主题,但保护“人”仍是所有制度(含法律)设计的最终目的,即保护与提升自然人的自由与尊严、增强自然人的主体性,仍是包括数字法学在内的所有制度设计的核心价值追求与根本目的。