信义关系视角下个人信息保护新路径探究

褚雪霏

(河北师范大学 法政与公共管理学院,石家庄 050024)

在信息时代,个人信息保护是一个非常重要的问题。我国现有立法对个人信息进行保护的方式,主要是通过赋予信息主体行使相应的权利,如知情权、删除权、查阅复制权等。该模式在强调个人信息主体地位的同时,也使个人信息保护的责任更多地归于个人。此外,我国还通过立法对数据处理者设定了诸多义务以期实现对信息主体的保护,但由于信息主体和处理者之间存在明显的信息不对称,该模式下二主体之间的结构性差异必将导致一定的逆向选择风险。据此,我国现行立法中的个人信息保护模式在信息时代略显捉襟见肘。因此,探寻个人信息保护的新范式,将具有独特的理论价值和实践价值。

一、我国个人信息保护模式和责任机制之局限性

(一)我国现行法律中个人信息保护的模式

近年来,我国陆续颁布《中华人民共和国民法典》(以下简称《民法典》)《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等法律法规,对个人信息权益、处理规则以及安全防范措施等问题进行了明确的规定。我国现行法律中对个人信息的保护模式,主要是一种对信息主体赋予相应权利的方法。

具体而言,《民法典》在第四编“人格权”对“隐私权与个人信息保护”进行了专章规定,这种立法体例意味着我国将个人信息权益纳入了民事权利的人格权范畴。并且,由于个人信息和隐私有着千丝万缕的联系,所以《民法典》将个人信息保护和隐私权的保护相并列。《民法典》有关个人信息保护的规定,实际上是将个人信息权益作为一种权利赋予给信息主体,但是并没有明确规定“个人信息权”的内涵,而是将个人信息作为与隐私权类似的人格权益进行保护。根据《民法典》的这种立法模式,人们通常将个人信息权利理解为信息主体对信息的控制权决定的一种民事权利,其中还包括了知情、查询、更正、复制、删除等权能。

2021年8月20日,我国正式通过《个人信息保护法》,这充分标志着我国在个人信息保护方面产生了长足进步。和前述《民法典》一样,《个人信息保护法》也是通过赋予信息主体拥有自主保护的相应权利,在此基础上系统构建了信息时代的个人信息保护制度体系。

(二)信息时代对个人信息保护的挑战

信息时代,个人信息保护面临新的挑战和困境。前文已述,我国现行法律对于个人信息保护采取的是一种对信息主体赋权的方法。该方法的理论基础是工业时代诞生的“公平信息实践原则”,该原则构成了全球个人信息保护的思想渊源与基本框架,确立了以个人信息赋权与施加信息控制者责任的进路[1]。然而,工业时代已经远去,在当前的信息时代,大数据独特的运行规律、个体理性的局限性以及数字经济的发展需要等因素,无时无刻不在对“公平信息实践原则”所确立的个人信息保护模式提出巨大挑战。强化个人信息赋权未必符合当今个人信息保护的基本原理,对信息控制者施加责任也未必符合大数据的基本特征。这种赋权模式在实践中的保护力度并不能达到预期效果,信息控制者更多的并不是提高自身的信息保护能力,而是倾向于选择规避法律风险。长此以往,传统模式不能够完全适应信息时代需求的冲突日益明显。

二、信义关系理论在个人信息保护领域的引入

在“滴滴违法收集使用个人信息案”(1)王某诉深圳市腾讯计算机系统有限公司个人信息保护纠纷案,参见“广东省深圳市中级人民法院(2021)粤03民终9583号判决书”。和“微视案”(2)黄某诉腾讯科技(深圳)有限公司等网络侵权责任纠纷案,参见“北京市互联网法院(2019)京0491民初16142号民事判决书”。这两个热点案例中,结合法院判决我们不难发现,在面对经济实力雄厚的信息控制者一方,信息主体在提供个人信息之后,几乎无法在后续流程中保护自己的信息,更无从得知其个人信息是否处于安全的状态。两案例中的现象在信息时代中可以说是普遍存在的,剖析形成这种现象的主要原因,在于信息主体地位失衡、信息权属界定模糊和双主体信任危机,我国现行法律尚无法有效解决这些问题。因此,我们需要在个人信息保护领域引入新的机制,探索新的有效途径。

(一)信义关系理论和数据信托

信义关系理论在个人信息保护领域的引入,主要是指通过数据信托制度,来完成对于数据的处理、保护和流通。我国部分学者在研究个人信息保护时,已经注意到了信义关系理论在个人信息保护中的作用,并且关注到了英美法系数据信托理论的独特价值[2]。

1.信义关系理论

信义关系产生于英美法,它由衡平法所创设,表现为一种特殊的私法关系,即委托人将其财产、信息甚至是生命健康委托给受信人(受托人)。最为典型的信义关系即信托关系。信义关系的法理基础,是受信人忠实、勤勉并按照良知履行义务。这也与衡平法上的义务和救济所指向的对象一致:防止行为人违背良知的行为。

信义关系作为一种具有丰富内涵的法律关系,简而言之其具有以下特点:第一,以受信人为核心,受信人应当遵守受信义务;第二,受信人往往是某项服务的提供者;第三,受信人能够有效提供服务的前提,是委托人将其财产或信息向受信人进行了委托;第四,之所以形成前述委托,是因为委托人对受信人具有信任基础。基于此,受信人应当以良知行事,忠实、勤勉地完成受托事项。

2.数据信托

关于数据信托的内涵,即使在其起源地英国和美国,也存在以下不同。

在美国,数据信托主要是指耶鲁大学教授杰克·巴尔金提出的数据受托人理论,该理论也常常被称作“数据信托”。巴尔金以律师、医生等专业人士为例,将他们对执业过程中从客户和病人那里获取的个人信息所负有的信义义务进行类比,提出了他的观点,即收集、处理、利用个人数据的数字服务提供者也应对提供个人数据的数据主体承担信义义务,并将他们称为“信息受托人”[3]。据此,美国所称数据信托,其指代的其实是数字服务提供者负有的信义义务,属于信义法的范畴。

在英国,数据信托指代一种全新的数据利用模式。英国开放数据研究所对数据信托总结出了5种代表性的阐释。第一,一个可重复的术语和机制的框架;第二,一个共同的组织;第三,一种法律结构;第四,数据的存储;第五,对数据访问的公众监督[2]。以此为基础,在英国所谓数据信托,指代的是一种提供独立数据管理的法律结构。

综上,数据信托在英国和美国的内涵尚未达到完全一致,但二者的核心思想是统一的,即将数据权利作为信托标的,在数据主体和数据控制者之间成立信托关系,从而实现对数据主体的保护。

(二)数据信托保护个人信息的可行性和必要性

1.数据信托保护个人信息的可行性

信托和数据具有一个共同核心,也就是双重所有权的结构。信托财产所具有的双重所有权结构来源于英国的用益设计,它是信托制度的灵魂和根基。具体而言,这种双重所有权体现为信托受托人享有信托财产名义上的所有权,而受益人则享有实质上的所有权。数据权利的“二元结构”与信托财产权的“双重主体”有异曲同工之妙[4]。在数据权利中,数据的所有权属于数据的主体,但是因为数据是存储在网络中的,所以数据的主体不能独立地对数据进行管理,修改,删除等。而能够对数据进行上述行为的,往往是数据控制人。此种名义所有权与实质所有权分离的双层架构是数据领域的核心内涵,与信托的结构具有一致性[5]。数据用益权与数据所有权二分的原理是权利分割思想,在确保数据原发者初始权利的前提下,满足了数据处理者利用数据并受保护的需求,同时也为数据共享、交易确立了正当的权利基础[6]。可见,在前述存在于数据之上的二元结构,使得其与信托法律关系具有结构上的近似性。基于这种所有权与控制权分离的架构,数据信托应当对个人信息的保护起到积极的作用。从这一点来看,利用数据信托来保护个人信息是可行的。

2.数据信托保护个人信息的必要性

我国现行立法下的个人信息保护模式在信息时代略显捉襟见肘。这既会对信息的共享与流动产生不利影响,也会对个人信息保护形成冲击。但是,数据信托可以使数据在使用的过程中确保数据处于安全状态并能够被合法利用。据此,通过数据信托保护个人信息具备一定的必要性。

三、数据信托的要素

(一)数据信托的主体

目前,针对数据信托的不同价值面向,学者给出了不同的概念。总体来看,数据信托是在数据提供者、数据使用者以及包括前面两者在内的利益相关者之间的一个专业的数据管理第三方,其核心任务是在保障数据安全和隐私的前提下提供数据共享的渠道,以降低管理和共享数据的成本和技术阻碍[7]。简单来说,数据信托是由数据控制者将其收集和整理的数据作为信托财产,并将其委托给受托人进行管理、使用和处分。其中,数据信托包括了三个主体,即数据信托委托人、受托人和受益人。

数据信托的委托人应当是数据控制者,包括数据提供者、数据使用者。数据控制者收集个人信息后,从海量的个人信息中,剥离出一些与个人身份有关的信息,也就是所谓的“脱敏”,让个人信息中不再包含任何可以辨认出个人身份的数据。数据信托委托人将处理后的个人信息作为信托财产,交给数据信托受托人,数据信托受托人对委托人负有信义义务,必须根据数据信托目的,谨慎、勤勉地对数据进行相应的管理、运用和处分。数据信托的受益人,可以是委托人本人,也可以是委托人指定的其他人。而通常情况下,数据信托的受托人就是委托人自己。

综上,数据信托的委托人、受托人、受益人三方各自享有基于数据信托所产生的权益,形成了稳定的数据管理和运用的架构。

(二)数据信托财产

设立数据信托时会面临一个基本问题,即能否将数据作为信托财产设立一个数据信托。如果可以的话,那么数据信托运行过程中又会面临一个问题,即是否能够保证数据信托财产的独立性。以上问题均涉及数据财产问题,产生这些问题的原因主要是我国民法学界对于数据是否为财产极具争议,因此数据信托的创设也遭遇了“数据并非财产”的普遍质疑[8]。数据的使用价值与其本身的价值不相匹配,数据本身的价值很低,但当海量的数据聚集到一起时,其商业价值就会变得很大。此外,数据的易复制性、非竞争性和非排他性使得数据成为财产具有理论障碍[9]。笔者认为,数据财产权作为一种新型财产权应当被肯定,这种财产权主要体现在数据主体享有数据权利以及数据控制者对数据的控制权,通过支配效力和排他效力达到类似绝对权的效果。

四、关于数据信托结构的进一步思考

数据信托起源于英美,将其直接引入我国法律体系中恐难成立。在对该制度予以肯定的前提下,我们需要思考的是如何在数据财产权之上构建我国法律允许的数据信托。

首先,我们应当关注利用数据信托实现数据处理的规范性这一问题。在英美数据信托中,存在第三方独立机构和数据控制者,而我国的数据信托中,前述主体所承担的信义义务应当交由信托公司承担。具体而言,在数据信托存续期间信托公司应当负有核查数据产品是否合法合规的义务,为了避免个人信息遭受侵犯,信托公司应当严格把控数据产品的交易。

其次,对于数据的处理问题。数据包含了一定的个人隐私,因此必须将数据进行“去隐私”处理,使数据不再含有能够识别出个人信息的相关内容,才能作为可交易的数据产品。这也是我们在个人信息保护领域谈数据信托的重大意义。对于数据的处理,由于信托公司并不具有专业性,故可以将此工作委托给其他专业机构,这也符合我国现行信托法对于信托标的的要求。

最后,对于数据处理专业机构的监督。前文已述,在数据的处理上,信托公司可以委托其他专业机构进行。而信托公司作为数据信托受托人,负有诚实信用、谨慎等信义义务,因此信托公司应当保证交付处理的数据来源合法合规,同时信托公司应当对于该专业机构进行有效监督,目的是为了防止该专业机构实施侵害个人信息等行为。

五、结束语

我国现行立法对个人信息进行了赋权保护,但是信息时代这种保护模式并不周延,时代在召唤我们对个人信息的保护进行一种新型探索。本文从信义关系的角度出发,探讨在信息时代通过利用数据信托实现对个人信息的保护。虽然数据信托在我国距离全面推行仍然存在一定距离,但是我们必须承认它在个人信息保护和数据流通中能发挥双重的积极作用。制度不存在出生即是完美,近乎所有的制度都在自我完善中度过一生,数据信托也一样。目前,我国对于数据信托的理论尚处于起步阶段,数据信托在我国的实践仍需要更多的理论支撑,值得我国学者给予更为广泛和深度的关注。