戚建刚
中南财经*法大学法学院教授,博士生导师
张少乎
中南财经*法大学法学院博士研究生
许一云
安徽省律师协会律师
要目
一、信息数据的定义及权属
二、公法介入数据权的理论基础
三、数字化改革背景下的行*规制
结语
随着大数据的深化利用,数据权属开始展现出其公共属性的一面,传统的个人信息在客观上也已进入社会经济大循环,成为大数据背景下社会经济资源的一部分。数据在数据安全法的规制下,开始脱离纯私权范畴,体现出了公私结合的公共属性。在数字化改革的背景下,更多的数据开始从个人与组织中被提取出来,进入行*和其他公共领域,这对于数据保护的多元规制,尤其是行*规制提出了更高的要求。
一、信息数据的定义及权属
信息数据是新时代经济、*治、*事和工业对抗的核心资产。随着工业产能的不断溢出,信息数据开始在多个新的领域引领新的技术突破。在效率先行的竞争领域,大量的个人信息、工业信息被收集、加工和广泛的交易。对于未知行业的创新发展,法律的规制往往是有滞后性的。更何况信息数据在现行框架下,因缺乏规制,所遭受侵害的法益相比它提升的整体社会运行效率和企业生产力来说,损害尚属可以接受。所以在立法不足的情况下,大量数据运行的灰色地带仍被国内外法律体系所默许。
信息数据的定义
数据是各式信息以电子的形式,通过某种有机的收集整理,固化入数据库或其他有体介质而形成的集合形式。数据的口口相传并不构成法律上的数据形式。
信息数据从个人信息人格权以来,经历了数十年的变迁,而至今其法律定义及权属问题仍然是学界探讨的重要问题。
信息数据权内涵的变迁
信息数据从传统意义上说,大体上经历以下三个阶段。
1.个人数据
个人数据由个人信息收集整理固化而来。第一个阶段,个人信息在早年被称为个人隐私;第二个阶段,而后进入立法,从民法通则一直到民法典,一直被私法所保护。第三个阶段,即当前的大数据时代,个人信息的传播事实上已经超越了私法可以保障和救济的范畴,进入了公法和私法之间的模糊地带。我国在立法上对个人信息的保护也经历了一系列变化。民法通则并没有对个人信息保护作出相应规定,仅仅确立了私法意义上的生命健康权和姓名权、名称权、肖像权、名誉权、荣誉权。当时,在实践中,计算机数据库并未广泛应用,故而此时立法有相应的局限性。年开始,美国和英国相继推出了“大数据研发计划”和“开放数据研究所”,而我国全国人大常委会也在年12月出台了《关于加强网络信息保护的决定》,从立法层面标志着进入了大数据时代。在年,民法总则(草案)被提交审议。其中对于数字信息初次在私权领域作出考虑:条在罗列知识产权客体时,将数据信息与作品、专利、商业秘密等并列,成为第8种知识产权客体。但是此条款在民法总则中被删除。在年正式施行的民法典第条中,个人信息与姓名、名称、肖像并列,成为人格权的保护客体。然而在民法典第条对于人格权的列举时,个人信息却并未在其中。而第条将数据和网络虚拟财产并列,将其另行保护。
从民法典第99条来看,结合正在审议的个人信息保护法可以确定,个人信息属于私权,其性质当为个人人格权的一种,并无疑问。同时,根据民法典第条和正在审议的数据安全法,学界倾向于个人信息权通过某种方式被合法收集、加工、固定为个人数据时,其将成为某种财产性权利,现今一定程度上脱离了私权处分的范围。
质言之,部分个人信息,尤其是经过群体脱敏而成的个人数据,从法理上看,以传统人格权来定义显然已经脱离了其人身属性。客观上已经成为社会福祉发展、行业科技创新和国家安全保障等一系列公共事务的重要凭据。这些数据由个人信息组成,但是脱敏排除隐私权侵害隐患后,已经离开纯粹私法规制的范畴,转而寻求新的权属及规制体系。
2.企业数据
企业数据主要分两类:一类是工商业意义上的企业数据,主要是工业运行数据、商业开发数据和行*人事数据等运营数据;另一类是大数据意义上的企业数据,主要是通过数据收集和加工累积的用户或者行业数据。
就工商业数据而言,作为民事主体法人,企业对运营数据有支配权、使用权和处分权,此类数据在*策与法律并未提出公开要求的情况下属于企业私权,这个自无疑问。疑问在于,企业对于大数据意义上采集的企业数据的处分权限问题。如数据安全法第32、33条,便授予了从事数据交易的服务机构在取得行*许可后,只要满足一定条件便可对数据进行处分、交易。企业信息合法获取主要需要以下两种途径。
(1)合法提取数据的路径:监管下的合意
当前在实践中,“知情同意”是用户数据根据协议被提取时的重要合法性标准。在此标准下,用户为实现使用服务的目的,必然需要向企业交付自己的信息合法提取权。在这一信息提取框架体系下,主要存在两项问题:
一是用户的知情同意往往是被迫做出的,这并不符合民法典中的平等原则。在互联网大数据的时代,一大批互联网企业利用国家互联网基础设施的综合发展和*策的定向扶持,在各自许多领域获得了垄断地位。如果用户不同意信息被提取,哪怕是极小部分不同意,就会被完全排除在整体互联网体系之外。换言之,知情协议往往不存在用户拒绝的空间。这在当前时代,客观上会对用户带来不利益,对于用户是非常不公平的。
二是用户对于信息抓取的边界无法控制,企业对于信息抓取的范围也缺乏监管。用户或许并不想在社交软件中暴露自己的购物意图,然而这一信息抓取边界却无法由自己掌控。而企业在制定协议中确立的数据范围,在被行*和立法认可和保护的同时,却无法给出精准的测算认证——即该项数据是否为必要抓取,若抓取了协议外数据,是否可以将其加工利用。
(2)合法加工数据的路径:匿名化的处理
根据当前规范性法律文件,对于数据交易持谨慎开放态度。简单说数据本身若能消灭个人识别特征,便具备了流通的合法性。但是由于大数据涉及面较广,故而数据安全法第33条设置了前置的行*许可。这也意味着大数据要素流通将要纳入行*法框架进行监管。
3.*府数据
*府数据主要是数据主管部门在法律的框架下,合法地对个人、企业数据进行收集、记录后的数据和*务信息数据的整体。对于*府数据来说,“深藏阁中”是重大的浪费,自无疑问。这里包含了两个问题。
第一,*府可以依法收集并加工个人数据、企业数据,同时对其享有所有权,并有处分的权利。在大数据时代,*府不仅需要收集、监管企业运行数据,同时还要摆脱守夜人身份,对收集的个人和企业数据制定公共*策,影响国家治理,这基本已经是共识。唯*府数据应当触及何种边界,该种触角如何被监管,这是各国立法需要考虑规制的问题。
第二,*府要对信息依法予以公开。*府由于其自身特殊性,并不参与市场竞争,故而其数据公开更有利于促进社会经济发展和科技创新活力,同时也有助于进一步提高行*治理水平。然而,*府数据如何公开是值得研究的问题。国内总体有两种模式,整体免费的较少,多数地方性法规对于经济型*务数据的收费保留进一步规范的可能:其一是完全免费模式,只要是属于*务公开,或者信息申请公开的范畴,均不收取任何费用;其二是多数省份主流做法,即对于基础市*数据在行*公开框架下免费,对于经过加工的各项经济类数据,附上条件的予以收费。在附条件收费的法理下,各地区的*策制定取自公物理论,即将*府数据界定为公物公产,是*府旨在以提高治理水平及扩大社会福祉为目的的*策取向。具体见图1:
图1?我国各地*府数据开放收费模式
同时需要注意的是,除附收费条件的公开外,并非所有数据均为公开对象,目前仅有和目的的简易审批用途,进一步的公开范围和使用监管仍然需要被规制。
信息数据的分类
行*规制对于数据的介入节点和介入对象是讨论行*规制的重要议题。第一,哪些数据是属于可以被抓取并加工。第二,如何区分和归纳数据权属,总结规制对象。第三,哪些数据需要给予绝对保护,哪些数据需要与社会利益衡平保护。
1.敏感数据与普通数据
数据根据其泄露或被滥用导致的恶果不同,可以区分为敏感数据和普通数据。非法使用会带来个人歧视或者人身财产安全受到严重威胁的信息,一般被认为敏感数据。敏感数据以外的被称为普通数据。
此类分法主要用于区别个人信息数据。也是个人信息数据得以在大数据时代流通的核心要领,如果不能准确区分普通数据和敏感数据,当未完全脱敏的数据“合法地”进行流通,然而在事实上造成“个人受到歧视或人身财产受到严重威胁”,那势必带来相关认定的不正义。
对于敏感数据的认定应当遵循指向原则。敏感数据在欧洲一般数据保护条例中以一个已被识别,或者可识别的信息作为敏感数据保护客体。此标准是否可以作为我国数据保护的立法参考,学界有一定争议。有学者认为,大数据条件下不存在“不可识别身份的个人信息”,因为任何数据都可以在一定的技术条件下实现非匿名化。故而,在欧盟的识别标准中,最新立法宜参考“直接识别说”,即该信息是否可以被直接识别,作为敏感信息保护的主要标志。此观点混淆了信息安全和信息保护的界限。信息以其全面性彰显价值,若覆盖个人所有信息,则价值最盛。反之,单一领域的个人信息经过脱敏处理后的匿名综述,价值最浅。换言之,个人数据被提取后,加工至法律允许范围的最盛阶段,是所有合理性的加工主体所优先考虑的。如果将个人信息保护的标准仅仅定位“不可直接识别”,即出现大量的加工主体免责的现象。这对于保护个人信息,以及追究加工者的责任是非常不利的。反之,如果将个人信息保护范围定义至“不可直接识别且不可识别”——不可识别的标准可以非信息从业相关人员的标准,加工主体便需要对信息进行更为保险的删减,此举对于相关个人信息保护无疑有巨大提升——在加工源泉杜绝了过于开放的信息源,监管可以更专注于信息安全和信息加工和目的的审查。目前对脱敏数据较明确的定义来自()浙01民终号判决。该判决认为:不存在单独或与其他信息结合识别自然人个人身份的可能性的信息数据,即可认定为脱敏数据,其对基础信息的保护范围包括“识别可能性”。
然而,在我国成文立法草案中,目前并未对“敏感数据”的界定作出事先认定,仅以“造成法定不利后果”为标准界定敏感数据,这事实上是根据“数据识别不可判定性”作出的立法反应。这一定义的确立应当是吸纳了大量基于衡平社会利益的理论观点,但是这对于如何定义和监管“敏感数据”仍然带有巨大不确定性。信息脱敏的标志应当在细则中予以明确,否则大数据时代的个人信息的保护仍然有名无实。
2.基础数据与加工数据
基础数据是个人信息、企业信息、市*信息等基本个体信息,他的产生依赖于个体本身属性,具有天然型、排他性。数据主体对此类数据拥有所有权,在数据主体决定对其保密时,除具有公益优先性之外,其他主体不得擅自使用。加工数据则是加工者对基础数据进行从抓取至加工至分类成型至结论等一系列工序后的成果。加工工艺本身至少是一定数据价值的体现——因为加工后的数据和基础数据所呈现的数据形态是不同的,其彰显的价值也是大相径庭的。一方面,加工数据可能和基础数据的结论大相径庭,其价值来自加工、分类、结论等。另一方面,同样的基础数据,但是不同的加工工序,其加工数据的适用领域、价值与信效度可能截然不同,甚至结论可能相反。因此,单论加工数据相对于基础数据的增值部分,其价值属于数据处理者,这一点并无疑问。
唯基础数据所有者对加工数据可否主张权利,如前文所述,数据加工时本身已经做了脱敏化处理,已经淡化基础数据人格权特征。而数据使用权已经在加工分析过程中被赋予不同角度的价值,淡化了基础数据的财产权特征,故而只有当基础数据所有者主张上述过程违法、数据加工者利用人格信息牟利或者有侵权事实存在时,其方可对加工数据主张利益,否则加工数据利益归属加工者所有。
数据权与其他权利的竞合
数据权在现有法律体系中尚未被立法明确,然而其在人格权、物权、知识产权等体系下多被涉及,也有颇多争议。民法典体系中将数据与“网络虚拟财产”并列,称为需要另行规定的内容,这表明:民事主体在民事活动中享有“数据权”。“数据权”目前并不归属于民事传统理论物权、债权、人格权的理论框架中,是为新兴的权利,需要搭建新型的权利保障体系。
1.数据权与知识产权
数据权和知识产权有相当范围的竞合关系。虽然民法典取消了民法总则(草案)条的规定,否定了将数据划入知识产权的保护框架,但是知识产权在保护类型特征上和数据权有很大的相似性。
我国知识产权在民法典中规定了七种客体,其中作品(著作权)与商业秘密和数据权竞合最为密切。盖因数据权具有独创性,这与作品中汇编作品,以汇编体现的独创性具有一定的相似性。而无独创性的数据,很大程度可以纳入商业秘密客体予以保护。然而最后在民法典中,立法者并没有将其归为知识产权保护,相对来说有以下几点原因。
首先,数据权和知识产权客体具有不同特征,数据权有时有秘密性、有时有独创性、有时两者皆无,这一权利特质本身便代表了数据权利客体的特殊性,即知识产权的保护体系并不适用于该项客体。其次,这是由两项权利体系的立法原意决定的。知识产权滥觞于工业时代,其主要宗旨是衡平社会整体科技创新和发明者权益的一项制度体系,在这一体系下,发明者对于知识产权往往具有独占性的保护时限。而数据权则在大数据时代应运而生,数据价值分享大于创新,故而数据权一般不应当具有独占性,应当在一定的原创保护下提倡分享,这与知识产权的规制宗旨是不同的。其三,数据权脱离于知识产权体系之外,并不妨碍数据主体以作品、商业秘密的形式主张权利。在数据权开放的本身倡导之外,对于真正有独创性的、具有商业性和秘密性并采取了保密手段的数据信息,数据权主体可以知识产权的相应形式主张规制保护。当数据信息符合相关认定标准时,宜认定其可以作为知识产权保护客体。
2.数据权与物权
数据在民法世界里不是民事主体,且客观存在,那即为物,这是基于固有的“两分法”民法体系下的主要论断。该理论主张修正物权体系,将无体物纳入民法物权体系,增加“具有财产性的无形物”,重塑精简的民事体系。
但是,数据权和物权除了同具有财产性,在排他性、有形性和可支配性这些其他属性上并不相同。首先数据并不存在于客观世界,数据的载体存在于客观世界,数据载体不可复制,但是数据本身十分容易复制和变更,且具有代表性。这便使得对于数据的排他使用客观上会造成社会资源的巨大浪费,同时也难以保障。其次,数据具有共享性,数据的交易不必然导致数据的移转,更类似于数据的“告知或是授权使用”,这与物权处分也有本质区别。第三,我国采取“物权法定”原则,民法典出台后物权没有增加无形物或者数据的法定类型,至少数据在现行民法世界中不作为“物”讨论,数据权也不在物权体系下得到保护。
3.数据权与人格权
数据权与人格权存在最多争议,尤其是个人信息保护部分。传统民法体系中由于人格信息私有的设定,对大数据时代的信息加工、交易、流通制造了巨大的障碍,已经遭到摒弃。现今立法和研究的方向,是通过人格信息脱敏、新设数据权的形式,对个人信息和数据进行区分,使得个人信息依然处于人格权范畴,受现有体系保护。而由个人信息加工而成的信息数据,因其脱离人格范畴,具有社会属性,受专项立法保护。
此种条件下注意区分“个人信息”和“个人信息(脱敏加工而成的)数据”。传统民法上个人信息概念不再赘述,而个人信息数据指脱敏而成的信息数据,未脱敏(原始数据和未加工完全的数据)的群体性信息数据当被称为个人信息集合,其不符合流通条件。
二、公法介入数据权的理论基础
随着民法典的颁布,数据权益的保护体系将在民事权利体系之外另行起草。要探讨如何进行公法、私法的双轨制保护,需要考虑数据权由私向公的理论基础。
从“个人数据”到“大数据”的公共资源
在新中国成立以来的民事立法及判例中,个人信息保护在民法体系中本身的范围是相当有限的。除了带有财产性的利肖像权,其隐私权和名誉权只有在显著造成个人社会评价降低时,才被判决认可保护。这其实在客观上证实了,因为个人“隐私”泄露而达到需要司法介入的程度的情况是比较少的。换言之,对个人信息的侵犯是有程度和范围要求的,而在此程度和范围之外的个人信息,法律是持守夜人态度——若无显著负面评价或者人身财产受到重大威胁,即保持不作为。而在其中的一些场合,数据的广泛流通是更具社会价值的、是被*策所倡导的。如商事活动中有限公司的控制人、其责任财产和财产瑕疵,这不属于商业秘密,但是可以很好地帮助商事相对人规避风险,提高有效的决策能力。
而在民法立法的漫长历史中,从未有任一时代,人们开始爆炸性地产生各种数据、而这些数据又可以被非常容易地记录下来。这在客观上丰富了个人信息的内涵,而这些个人信息又成为人们基于大数据进行活动与社交的基础。当个人信息和企业信息成为大数据时代,基于数据开展的活动与经营的一部分时,数据的合法性和可流通性便需要行*介入来确保经济生活有序进行。此时*府便需承担起数据安全的“保姆型”*府的角色,推动数据成为国家基础性战略公共资源的地位,即大数据基建,这在国务院在年印发的促进大数据发展的行动纲要和数据安全法中均有体现。
新财产权
如果说信息数据成为公共资源,则数据加工者的利益如何保障?如何提振数据收集者、数据加工者和数据分析者的行动积极性,进一步促进大数据基建、大数据资源的扩张发展呢?在当前有迹可循的法理中,美国学者赖系所提出的新财产权,可以作出诠释。
在新财产权理论下,*府所提供的公共资源,也可以成为公民的“财产”。当公民和法人合法获取相应资源,并进行财产性使用时,该公民的资源占有权也应当得到宪法保护。这在年美国最高法院的布伦南大法官的判决意见中有所体现,当公共资源的使用成为个人重要利益时,应当和宪法上规定的自由和财产权利一样受到宪法正当程序的规制,而立法机关有权判断其是否属于财产权。
这在法理上解释了当普通数据成为公共资源时,数据机构和其他个人通过加工分析公共资源,脱敏得出新的数据结论,可以形成财产性权利的理论依据。这一方面保护了数据加工者的加工利益,同时也大幅促进了信息数据基建全面展开。
我们认为,数据权所有人对于数据权享有财产性利益,然而这并不意味着数据是数据权人的私产。数据安全法第7条便体现,国家保护数据有关的权益,但是目的是促进数据有效利用、促进数据经济发展和增进人民福祉。在这一意义上,数据已被定义为数据时代的基础设施,而国家保护了公民和法人对数据的加工与使用权益。故而数据权是一种公私混合的权利,这种权利势必需要多元的法律体系加以规制。
民法的理论困境
虽然数据权保护的基础源自个人信息的原始处分权和一些商业秘密,但是民法已经无法完成在大数据时代保护数据权的任务。主要有以下原因。
1.民法的被动触发性和恢复性赔偿
在对社会行为进行调整时,民法仅仅救济那些正在进行或者已经发生的侵害,同时我国民法的赔偿限度仅限于已损害的利益;就民法典本身而言,并无惩罚性赔偿予以违法威慑性。这两点在商事侵权案件中有着显著的弊端。首先自然人作为被侵害对象,非常难以察觉和举证商业数据公司的侵害行为。因为在大数据时代,自然人的个人信息是被广泛提取的,而提取和加工的数据库又是加密、自然人难以访问的,同时传播的途径也是多元的。这便造成了被侵害人的三大未知:(1)所侵犯的数据信息是被谁提取的,此提取是否合法、合目的;(2)作为个人信息被加工至数据库中,是否完全地做了脱敏处理;(3)被侵害事实发生时,被侵害人未必能察觉,其个人评价是否会在不知不觉中被显著降低。
与此同时,基于民事侵权的恢复型赔偿原则,侵权行为的实施者可以非常轻易地隐藏自己的侵权事实,同时取证和被诉风险也极低,违法成本相较起新商业模式的巨大收益极低。在这基础上,即便是发起诉讼,侵权公司仅仅面临着恢复型补偿,这与大数据开拓的重大商业利益是不匹配的。
同样的情况基于合同法规制范围内,固有存在的“知情并同意”协议已经成了数据收集人规避法律风险的避风良港,民法的双方合意反而掩盖了数据收集人可能实行的大量非法目的。
故而,针对民法无法调整的三大问题,实践中需要行*监管介入,而我国一直欠缺的民事惩罚赔偿需要考虑与行*罚款配合共存。
2.民法调整对象的限制
如前所述,数据权属其权利客体包括个人、企业和*府三级,民法调整对象仅限于平等主体。民法无法调整行*行为,包括行*许可、行*调查、行*公开、行*处罚等,这使得行*行为无法介入民事活动予以指导、监管和保障,这与我们要求的行*主动干预是相悖的。
3.民法调整出发点的固化
民法以保障私人利益为出发点,我国民法典也不例外,是一部私权保护法。但是数据权如上所述,涉及大量公共利益,是为私人的权益与公共权益的竞合地带。若是以私人意思自治,私人权益不可侵犯等诸多民法基本原则来对数据权规制体系加以指导和补充,势必造成数据权在现实领域的流通阻碍,这与信息时代主权国家倡导利用数据、流通数据的共同诉求背道而驰。
在数据权规制的过程中,一些可以被纳入民法体系的侵权可以援引民法救济。然而在更多时候,对于整体大数据时代的数据权的调整及运用,更需要纳入行*手段予以规制。行*手段比起民法手段来说,更为主动,更为灵活,更合增加社会福祉的整体目的,同时也更符合具有中国特色的社会主义法治体系的核心要求。
三、数字化改革背景下的行*规制
由于个人信息被鼓励提取并以脱敏加工的形式参与进大数据建设和发展中,国家对个人信息权利的保护往往被认为是国家的固有义务。针对大数据在当代社会的广泛运用,行*法除了对私法救济的困境做出保障之外,还需要在组织、救济和监督方面完善其规制途径。
完善信息主体行使信息保护请求权的行*通路
从个人信息保护法看出,从签署协议同意个人信息被处分开始,私法缺陷中个人与数据处理者的力量不匹配是被讨论