個人數據處理的行為結構及其規范體系
【中國法治國際論壇(2021)主題征文】
[摘要]:個人數據處理可類型化分為個人數據的收集��、加工以及使用三種�,且不同行為之間具有獨立性與所涉法益的差異性�。個人對個人數據之上的個人信息享有人格利益��,該種人格利益在個人數據收集階段主要表現為隱私權�����,在個人數據使用階段表現為各類人格權(具體人格權與一般人格權)�;個人對個人數據享有財產利益����,該種財產利益在個人數據加工階段表現為數據財產權���。個人數據“收集行為”主要涉及數據主體的隱私權����,應通過隱私權予以規范�����;個人數據“使用行為”是信息能力平等主體之間的社會交互行為��,該行為涉及數據主體的多類人格權��,應通過具體人格權與一般人格權予以規范�����;個人數據“加工行為”是信息能力不平等主體之間的權利讓渡行為����,該行為涉及數據主體的數據財產權�����,應通過“合同”予以規范����。
[關鍵詞]:個人數據處理�;人格利益�;財產利益�����;行為結構�;規范體系
?
引言
個人數據應當受到保護����,此毫無疑問���。但是����,當我們言及個人數據保護時�,一個必須要回答的問題是:個人數據保護究竟保護的是什么���?本質上來看�,個人數據保護并非是單一的法益保護訴求�����,其存在于個人數據的不同處理行為之中��,例如:2021年新出臺的《個人信息保護法》第四章標題即為“個人在個人信息處理活動中的權利”�����。目前���,《民法典》第1035條已通過概括式列舉的方式將何為數據(信息)處理予以明確��,并通過“知情同意”規則確定了數據處理的基本框架�。然而����,該種“糅合式”的整體性規定卻忽略了不同數據處理行為的獨立性���、邏輯上的連續性及其所涉法益的差異性����,由此便造成個人數據處理行為的精細化規范并不一定呈現出實然周延的狀態����。事實上�,個人數據處理內在包括多重行為結構�,根據個人數據處理的行為指向不同���,個人數據處理行為在整體上可分為三種����,其一����、前提行為結構:個人數據“收集行為”��;其二�、外部行為結構:個人數據“使用行為”�����;其三�、內部行為結構:個人數據“加工行為”�。個人數據處理的規范體系應是立足于不同數據處理階段�����,理清不同數據處理階段的所涉法益����,并對不同數據處理行為分別予以精細化評價�����,才能實現個人數據侵害的圓滿救濟���。
一��、個人數據處理的行為結構
通常而言�,我們言說的“處理”包括雙層含義�����,一層是:行為主體對客體的加工��,該種行為指向行為主體的行為內部�����;另一層是:行為主體對客體的處置��,該種行為指向行為主體的行為外部���?�!睹穹ǖ洹返?035條以“行為集”的方式明確了數據(信息)處理包括數據的收集��、存儲�、使用��、加工����、傳輸��、提供�����、公開等����。依據“處理”的雙層含義���,個人數據處理實質上可類型化為以下三種����,其一����、個人數據的收集����,該種行為構成整個數據處理活動的邏輯前提�,例如針對個人數據進行的收集�、儲存�;其二�、個人數據的加工����,該種行為指向數據控制主體的行為內部���,例如:針對個人數據進行的算法加工�;其三�����、個人數據的使用�,該種行為指向數據控制主體的行為外部�,例如:針對個人數據進行的傳輸����、提供�、公開等�����。
(一)前提行為結構:個人數據“收集行為”
依據一般邏輯�,行為人若想對個人數據進行處理��,首先必須要有個人數據可供處理�����,因此個人數據“收集行為”是整個數據處理活動的邏輯前提����。根據個人數據收集時所涉主體的不同���,其行為模式可分為“平臺—用戶”模式以及“平臺—用戶—第三方數據收集者”模式�����,且兩者間具有內在邏輯以及結構上的差異性��,需予以區分��。
1.“平臺—用戶”模式
網絡時代����,個人數據的生成離不開網絡平臺的參與����,在“平臺-用戶”這一直接的個人數據生成關系中��,平臺既是個人數據的生成者也是個人數據的收集者����,其具有身份的雙重性�。該種模式下��,個人的任何登錄���、瀏覽����、購買等行為幾乎都可以被網絡平臺以數據的形式直接進行自動化的記錄�����、保存��。但該種自動化記錄���、保存卻并非是刻意的�,而是與個人的網絡行為相伴而生的���,具有一定的技術必然性����。在某種程度上甚至可以說��,個人如果不想留下數據痕跡����,除非是不進行網絡活動��。當然�,反駁的觀點可能會認為�,用戶享有遺忘權��,可以請求網絡平臺刪除相關數據���。但是���,遺忘權的配置只是應用了人類記憶中關于“遺忘”信息的隱喻���,即:當個人要求刪除他們的個人數據時���,這相當于要求別人忘記這些數據�,而該種隱喻只屬于人類的頭腦����,卻并不能轉化為人工智能或者機器學習時代�。進而言之�,遺忘權的本質是個人有權要求刪除他們的數據,但是技術邏輯下����,遺忘權卻只可能是避免被檢索�����,并不能永久地刪除平臺所儲存的相關數據�,除非是徹底地破壞計算機存儲系統���。在肯定平臺對數據收集�����、保存的必然性后��,平臺的個人數據收集行為是否會對個人的數據隱私產生損害��?答案應是否定的����。因為在“平臺—用戶”數據收集模式下�,用戶已經通過“隱私政策”的“同意”表明自身對隱私利益的放棄����。在此處����,盡管很多學者從網絡平臺與用戶地位實質不平等的角度對“同意”的有效性持懷疑態度�����。但一種更信服的理由是�,在技術邏輯下��,一方面���,當用戶登錄使用網絡平臺時���,網絡平臺對用戶的自動記錄���、收集無法避免����;另一方面���,用戶顯然知道自身的登錄數據會被平臺所記錄�,而用戶事實上已經以行為的方式對其相關隱私利益進行了放棄�。此外�����,值得注意的是�,平臺作為個人數據的實質控制主體�,雖然可以自動收集�、儲存用戶的數據���,但是依據誰“占有��、保管”個人信息�,誰就應該對個人信息給予保護�,并承擔責任的一般邏輯�����,平臺以及平臺之上的經營者必然應對其保存的海量個人數據負有嚴格的安全保障義務�。該種義務要求平臺確保個人的相關隱私數據不被第三人所非法獲取�����,例如:2011年索尼公司因未適格履行安保義務導致數百萬個數據集被黑客訪問,最終被英國信息專員處以罰款�����。當然也有人認為���,平臺對個人數據負有一種信義義務(數據信托),其借助信義義務可實現了數據控制人與數據主體之間權利義務的不均衡配置��。但是�����,信義義務內在卻具有兩個不容忽視的缺陷�,在主體方面:因數據控制者的數量太多,可能導致“信息受托人”過于寬泛����;在客體方面:個人信息實質上并不具有信托財產所要求的確定性和獨立性或獨立的運用價值���。
2.“平臺—用戶—第三方數據收集者”模式
個人數據的收集者并非僅局限于平臺���。當個人數據收集者與平臺相異時�,“平臺—用戶—第三方數據收集者”這一涉及三元主體的個人數據收集結構便會形成?�,F實生活中�,個人數據多是在網絡平臺產生并被其所控制���,第三方數據收集者若想收集個人的相關數據就必須從網絡平臺處獲取�。問題是���,第三方數據收集者從平臺收集個人數據的行為是否可能會損害數據主體的隱私利益�?此時的答案應是肯定的����。一方面��,個人數據之上可能承載著數據主體的隱私利益���,雖然網絡平臺自動保存用戶數據的行為不會損害數據主體的隱私利益��,但并不意味著數據主體的相關隱私利益因被平臺知悉而喪失�。當第三方數據收集者未經用戶同意�����,從平臺收集個人的相關隱私數據時���,其同樣構成對個人隱私利益的侵犯�����。另一方面�����,基于對海量個人數據控制����,平臺享有的是一種財產性利益�����,但該種財產性利益卻并不具有所有權結構���,而個人數據之上的隱私權益屬于人格權的范疇�����,該種人格利益歸屬于數據主體����。因此�,用戶對平臺所控制的個人數據之上的個人信息享有一定的隱私預期�。該種預期指向一種更為基礎的隱私規范—“看破不說破”�����,恰如有學者所言:“如果數據全面收集本身是不可逆的趨勢�����,那么數據保護制度的核心和側重���,也必然并已經轉向對數據控制者的行為規制”���。值得說明的是��,對第三方數據收集者的行為規范應僅限于對相關個人隱私數據的收集行為�,其對非個人隱私數據的收集行為并不屬于應當評價的范疇����。因為非個人隱私數據具有公開性以及獲取的便捷性�����,而第三方數據收集主體對該類數據的收集既不會侵犯數據主體的隱私利益���,也不會侵犯平臺的數據控制利益����。因此����,如果平臺未取得數據主體的“同意”而授權第三方數據收集者對相關個人隱私數據進行收集�,則平臺同樣侵犯數據主體的隱私利益��。當然����,如果第三方數據收集者未取得網絡平臺的同意而收集相關個人隱私數據�����,則該種數據收集行為便具有雙重侵害性��,一重是:侵害網絡平臺的數據控制利益(財產利益)�����;另一重則是:侵害個人數據主體的隱私權益��。
?��。ǘ┩獠啃袨榻Y構:個人數據“使用行為”
嚴格來說����,數據控制主體針對個人數據的各種行為都可稱之為使用�,但此時所說的個人數據“使用行為”僅指數據控制主體對個人數據的外部交互性使用�����,而當數據控制數據主體對個人數據進行價值創造性的使用�����,則為:個人數據“加工行為”��。人之社會性決定了社會交互行為發生的必然性����,該種行為通常發生在平等主體之間����。數據時代以前�,個人信息的社會性流動主要是以語言或者書面文字為載體�����,由信息控制主體基于各種目的(合法或非法)通過語言或者書面文字向外部發出��,他人通過對個人信息的接收而實現相關個人信息的獲取��。而數據時代��,該種信息流動則是以數據化的個人信息的轉移為主要形式��,即:數據控制主體將數據化的個人信息向特定或不特定的他人發出�����,他人獲取相關數據后����,借助計算機識別出數據之上的相關個人信息��。從不同時期信息流動的方式來看����,個人信息的流動應僅僅存在信息流動所依賴載體的不同�����,前者多是借助于語言或者書面文字��,而后者則是數據�。一直以來���,囿于個人信息的傳統敘事結構���,人們習慣性地將個人信息等同于個人信息的載體���,例如�����,當我們看到有關個人信息的文字時就會習慣性的認為文字就是個人信息�����。人們之所以未區分個人信息與個人信息的載體���,一方面���,是因為現實中對個人信息和個人信息載體進行分割很不方便�;另一方面���,是因為相關法規范也沒有對兩者分別設定法學意義上的客體���,由此便產生個人信息與個人信息載體的混淆����。從信息與數據的關系來看�,數據系信息存在的一種形式����,而信息是數據所體現的內容����。因此�,我們通常所說的個人信息更確切的表述應是“數據載體之上所承載的個人之信息”��。而無論是以文字或語言為載體的個人信息�,還是以數據為載體的個人信息����,其社會交互性使用的直接目的就是“被識別”�,但該種“被識別”卻并非依賴個人數據�����,而是依賴于個人數據的表現形式-個人信息�。一般而言��,個人信息使用行為應包括個人信息的正當使用與個人信息的不正當使用兩方面����。當個人信息持有主體為本人時��,因自己并不能向自己基于人格權侵害而主張權利���,所以個人對其個人信息的自主使用并不會都受到不利評價�����,但是當個人信息的使用行為違反國家相關法律�����、法規時應除外����。當個人信息持有主體為第三人時���,若其基于正常的社會交互進行合理使用�,當然也不會受到規范的不利評價��;但是若其基于非法目的���,進行不正當的社會交互使用��,則個人數據使用者就需承擔相應的民事責任����。
?��。ㄈ﹥炔啃袨榻Y構:個人數據“加工行為”
傳統語境下�����,個人信息與其載體的區分并無太大意義���,但是隨著數據經濟價值的日益凸顯��,該種區分就變的有意義�。信息生產力是數據時代最活躍��,最具創造性����、革命性��,最核心的生產力�,而該種生產力多存在于網絡平臺與用戶之間�。從數據信息的類型來看����,與個人相關的數據信息應包括兩種����,一種是數據化的個人原始信息���,即:“個人原始信息—個人原始數據”�����。在這一結構中��,個人原始信息與其對應的數據雖然形式不同��,但是兩者的內涵等同����,具有轉換的雙向性���。另一種是個人原始信息的衍生信息�,即:“個人原始信息—個人原始數據—衍生信息”����。在這一結構中�,衍生信息與個人原始信息的內容并不相同���,其是一種完全脫離于個人原始信息內涵的信息��。從個人數據的價值實現來看�,數據化的個人原始信息通常只是對既存的個人信息進行載體的轉換��,該種轉換是數據從0到1的過程�,并未賦予個人信息以新的內容�。但是���,因為原始信息數據具有客觀性��,所以該類數據的主要作用是為衍生信息的生產進行要素供給或者由數據控制主體基于正當或者不正當的目的對該類數據進行社會性的傳播使用��。與之相反���,衍生信息的生產依賴于數據控制主體對個人數據的處理�����,即:數據是從1到f(1)的過程�。目的論視角下���,個人數據“加工行為”并非是以個人數據的對外使用為目的��,而是以對內的信息價值創造為導向�。當個人數據(原始信息)被記錄����、存儲后��,數據控制主體往往可通過算法加工獲取海量數據之中所蘊含的價值信息��,該類信息將直接提高生產力��,例如:商家通過對某一商品的銷售數據的分析�,可得出該種商品的不同性別銷售比例�、不同人群購買比例��、價格的可接受度等信息���。需要特別指出的是�����,在個人數據“加工行為”這一結構中���,數據控制主體只是對各個人數據本身進行的算法加工��,其往往并不需要對單一個人數據進行識別�,例如:數據控制者想要獲取某一商品的整體價格接受度�����,其僅需通過算法技術提取出海量數據中代表個人消費價格的數據符號�����,而無需針對每個數據一一進行識別性統計��。因此�����,個人數據“加工行為”遵循的是技術邏輯���,該種邏輯僅依賴于海量個人數據的算法分析而與個人數據的社會性“被識別”無關��。
?。ㄋ模┬〗Y
無論是個人數據的“收集行為”���、“使用行為”還是個人數據的“加工行為”都必然會與信息的載體—數據�����,產生千絲萬縷的聯系���,而該種聯系也是造成不同數據處理階段�����、不同數據處理行為相纏繞的癥結����。德國法學者蔡希(Zech)認為�����,信息在本質上�,可為結構層面的信息�、符號層面的信息和語義層面的信息���,其中符號層面的信息就是信息的載體����,而語義層面的信息則是載體所蘊含的信息��。就個人信息的數據載體而言����,個人數據便屬于符號層面�����,而個人信息則屬于語義層面���。個人數據“使用行為”是以數據之上的個人信息的“被識別”為目的�,該種目的往往是基于人之社會性�����,通過個人數據的對外使用來實現�����。因此��,個人數據“使用行為”往往是針對語義層面的信息—個人信息��。個人數據的處理行為則并不以個人信息的“被識別”為導向����,其是以數據符號為行為對象�����,數據加工主體通過對個人數據的算法加工以挖掘數據中的經濟價值����。因此�,個人數據“加工行為”往往是針對符號層面的信息—個人數據�。此外�����,個人數據“收集行為”作為個人數據加工以及使用的前提�,因數據收集階段并不存在數據處理行為�����,所以個人數據“收集行為”并不涉及數據主體的經濟利益��,而只涉及數據主體的人格性利益��,即:個人數據“收集行為”針對的也是語義層面的信息—個人信息���。
二��、個人數據處理的法益結構
個人對其個人數據并不享有一項可以統攝整個數據處理過程的絕對權利����,其享有的是一種利益�,該種利益在不同數據處理階段具有法益指向的特定性與差異性���,并權利化為不同的權利���。具體而言�����,個人數據“收集行為”與“使用行為”針對的是個人數據的內容—個人信息���,個人對個人數據之上的個人信息享有人格利益���,該種人格利益在數據個人數據收集階段權利化為隱私權��,在個人數據使用階段權利化為各類人格權(具體人格權與一般人格權)�;個人數據“加工行為”針對的是個人信息的載體—個人數據����,而個人對個人數據享有財產利益����,該種財產利益在數據加工階段權利化為數據財產權��。
?�。ㄒ唬﹤€人對其個人數據享有人格性利益
個人對個人數據享有人格利益��,還是人格權利����?學界莫衷一是����。從民事利益被保護的狀態來看�����,民事利益可分為:“未受法律保護的利益”�����、“受法律保護的利益”以及“權利化的利益”�。顯然��,權利保護模式具有請求權基礎的確定性��,而利益保護模式需借助于其他法律規范則顯得稍顯寬松���。個人數據之上的人格利益保護究竟應采取何種模式�?首先�����,如果采“權利”保護模式�����,則該種數據權利便是我們通常所說的“個人數據權”�。而任何權利都應有明確的權利客體���,那么個人數據權的權利客體是什么��?從信息與數據的關系來看����,數據是信息的載體��,而信息則是數據的表現形式�����,因此兩者的內涵實質相同��。對于個人信息的界定����,我國以及歐盟均采用的是“直接可識別+間接可識別”標準�,因此個人信息所對應的個人數據當然也應是根據“直接可識別+間接可識別”的標準予以確定�。然而���,大數據時代�����,個人的任何行為���、特征����、愛好等均可以被數據化��,而數據又具有關聯性強的特定����,數據控制主體通過數據之間的關聯性幾乎可以識別出任何特定數據主體�����。由此可以發現�,任何與個人相關數據均可以被稱之為個人數據���。毫無疑問�,個人數據的賦權保護當然可全面�、周延的保護個人之人格利益�����。但不容忽略的是���,個人數據權應是一項人格權��,人格權屬于絕對權���,而個人數據權的客體可等同于個人的所有數據���。如果沿著此種邏輯�,則任何對個人數據的獲取行為都可能構成侵權�,此顯然不僅不符合人之社會屬性�,也不利于數據的社會性正當流通�。反之���,如果肯定個人對其數據享有人格性利益����,而不是一項貫徹個人數據處理行為始終的����、絕對的個人數據權����,則個人數據的利用與數據的保護就會相對緩和�。同時�����,我國民法典不僅有詳盡的具體人格權�,也有一般人格權進行兜底保護�����,更有針對數據處理行為的數據主體“同意”的限制��,如果此時再賦予個人以個人數據權����,則必然會導致規范設計的重合與沖突��。
?����。ǘ﹤€人數據“收集行為”:數據主體之隱私權
人格是一個十分寬泛的概念�����,隱私僅是其中的一部分�,個人數據處理涉及多種人格權���,而在個人數據收集階段則主要表現為隱私權���。個人數據“收集行為”的行為對象是個人數據�,但并非對于任一個人數據的收集都需客以法益保護的限制�����,個人數據“收集行為”的規范應僅限于對個人數據隱私的侵害�����。數據時代�����,在個人數據收集階段���,數據主體所享有的隱私利益常常被忽視或者被其他數據處理行為涉及的法益所掩蓋����,此不僅割裂了數據處理行為內在的獨立性�,也造成個人數據法益侵害的遺漏評價�����。事實上�,個人數據收集行為作為獨立的數據處理行為����,具有法益指向的特定性�����。通常而言����,正常的個人數據收集活動并不會被禁止����,例如:既有的生活經驗告訴我們����,第三人完全可以自由的收集已公開的相關個人數據(但是不能使用自由收集的相關個人數據侵害數據主體的人格權益)�����,而對個人數據收集行為的規范僅僅是非法收集他人的隱私數據���。從域外相關立法來看���,美國是通過分散立法的方式���,以隱私權保護為基礎���,通過隱私權(在美國�����,隱私權承擔了一般人格權的功能)對個人信息(個人數據)收集行為加以保護�。與之相反����,大陸法系則是通過制定統一的個人信息保護法對數據收集行為予以規范���,例如:德國《聯邦數據保護法》第1條便規定: 本法制定的目的是保護個人隱私權使其不因個人數據的處理而受到侵害(The purpose of this Act is to protect individual against his right to privacy being impaired through the handling of hie personal data),但隨后德國聯邦憲法法院又創設信息自決權(Census decision)��,并在實踐中將其與隱私權區分�����。由此可知���,個人數據“收集行為”主要與隱私有關�����,而隱私權雖然不是數據處理時所涉及的唯一權利�,但是至少在數據收集階段其是一項主要涉及的權利��。因為�����,從根本上來說�����,單一數據是非結構性的�����,其本身并不涉及特定的目的��。在個人數據的收集階段����,個人數據的收集具有非結構性����,此僅可能涉及到對個人隱私的侵犯�����,并不涉及其他值得保護的法益�����。
?���。ㄈ﹤€人數據“使用行為”:數據主體之人格權
個人數據“使用行為”在行為邏輯上屬于個人數據“收集行為”的延續��,個人數據收集行為主要涉及數據主體的隱私利益�����,而個人數據使用行為則主要涉及數據主體的其他具體人格利益(包括隱私利益)���。這里可能會產生這樣的疑惑��,既然在個人數據“使用行為”的前端—個人數據收集階段�����,已經存在隱私利益保護的限制�����,為何在個人數據使用行為階段仍以隱私利益加以限制�?這是因為����,隱私權是以生活安寧和私人秘密作為其基本內容�,在個人數據收集階段�,數據收集行為的規范重點在于對個人隱私數據的直接侵入獲取�,而不包括對一般個人數據的獲取���。但是在個人數據使用階段�����,數據收集主體使用獲取的一般個人數據仍可能對數據主體的生活安寧產生侵擾或者二次傳播自己所實際控制的個人隱私數據也會對數據主體之隱私權益造成侵害�����。如上所述����,個人數據“使用行為”作為一種社會交互性針對的是個人數據的內容層面—個人信息�����,因此個人數據“使用行為”的規范亦應圍繞著個人數據之上的個人信息展開�����。民法保護個人信息之上的人格利益始于羅馬法(例如:羅馬私法上對侮辱以及名譽的保護)�����,隨著理論的深入發展����,后來的民法又逐漸從法律技術上將人格利益予以類型化��,并擇其主要者予以保護����,進而最終形成“一般人格權+具體人格權”的保護模式�����。具體而言:第一���、對于姓名�、肖像���、名譽�����、榮譽等邊界清晰的人格利益����,通過姓名權�����、肖像權����、名譽權�����、榮譽權等予以保護�����;第二��、對于歷史中已經形成了規范群的隱私利益��,通過隱私權予以保護�����;第三�����、對于邊界并不清晰的人格利益(人格自由�����、人格尊嚴等)��,則通過一般人格權予以規范��。
?。ㄋ模﹤€人數據“加工行為”:數據主體之財產權
當談及個人數據中的人格利益保護時�����,我們所說的個人數據通常是指數據之上所蘊含的個人信息�;而當談及數據經濟價值的實現時���,個人數據則是指個人數據本身��。目前���,關于個人數據的處理行為���,較為一致的觀點認為��,其是以“知情同意”為核心進行的規則建構��。但問題在于�����,對個人數據的收集或使用����,數據控制主體的確可以通過數據主體的“知情同意”而阻卻人格侵權��,但是否意味著數據控制主體收集�����、控制個人數據后就可以當然的加工個人數據�����?從個人數據的價值實現上來看����,數據經濟價值的發揮依賴于數據控制主體對海量數據的算法加工�,該種加工行為可分為兩個階段�����,第一階段為:數據控制主體對單一個人數據(原始數據)的收集階段���;第二階段為:數據控制主體基于海量個人數據集的篩選���、算法處理產生新的數據(衍生數據)階段�。毋庸置疑的是�����,在第二階段���,當數據處理主體投入相應的勞動成本對海量原始數據進行算法加工處理時��,依據洛克的勞動財產理論����,則數據控制主體必然應對原始數據所產生的衍生數據享有數據財產權���。但是在第二階段�����,個人對其數據是否享有財產權�?在這里有學者認為:“必須賦予個體一種個人信息自決權 (或個人信息權)來保護其利益����,并且這種權利具有支配性特征�,其義務主體負有相應的作為和不作為”�。但是信息自決權在本質上仍屬于人格權��,該種權利雖然有利于數據主體對其數據的自主控制����,并不能觸及個人數據所蘊含的經濟價值��,恰如有學者所言�����,“與其賦予個人以數據自決�����,倒不如直接肯定個人數據財產權”��。需要注意的是�����,此時的個人數據財產權只是在個人數據加工階段將個人所享有的財產性利益予以權利化��,該種財產權并非是貫徹整個數據處理行為始終的權利�。從更精細化的角度來看����,個人對其個人數據享有數據財產權的正當性理由主要包括以下方面���。其一����、不同主體對其個人數據之上的信息價值期待具有主觀性����,例如:明星針對其數據價值的期待與平常人并不相同�,如果賦予個人對個人數據享有數據財產權�,則可通過數據“定價”有效滿足不同人對其數據價值的期待����。其二�、雖然有學者認為����,“單一的個人數據上蘊含的財產利益有限�����,甚至是根本就沒有財產性利益”�。但是�����,根據龐巴維克的經濟學原理并綜合數據產業的發展可知���,個人數據之上必然含有財產性利益����。因為����,數據價值的實現依賴于“數據集”��,而個人數據作為數據集的子數據當然具有財產性價值��。所不同的是��,這種價值只是大小的問題��,而財產性價值的多少并非否定個人對其數據享有財產權利的理由���。其三����、人對其數據享有財產性權利的更體系化理由是��,《民法典》第127條規定:“法律對數據�、網絡虛擬財產的保護有規定的����,依照其規定”���?�;谝幏斗治?,該條雖未明確法律所保護的數據法益究是人格利益還是財產利益��,但是至少可以肯定的是相關主體對數據應享有民事權益���。而只有肯定個人對其數據享有財產性權利�,企業數據權的取得才會順暢�����,因為個人對數據的財產性權利可以通過合同的方式予以放棄或者轉讓����,企業可基于合法有效的合同繼受取得財產性權利���。
三�、個人數據處理的規范體系
個人數據處理行為的規范體系應包括個人數據“收集行為”的規范�、“使用行為”的規范以及個人數據“加工行為”的規范���。個人數據“收集行為”是整個數據處理活動的基礎性行為�����,該行為主要涉及數據主體的隱私利益���,所以應通過隱私權予以規范��。個人數據“使用”行為是信息能力平等主體之間的社會交互行為�����,該行為因涉及數據主體廣泛的人格性利益��,所以應通過不同的人格權予以規范����。個人數據“加工行為”是信息能力不平等主體之間的權利讓渡行為��,該種行為因涉及數據主體的財產性利益��,所以應肯定數據主體在個人數據處理階段對其個人數據享有數據財產權���,并通過“合同”予以規范����。
?。ㄒ唬﹤€人數據“收集行為”的規范路徑
網絡平臺對個人數據的收集具有一定的技術必然性����,因此��,在個人數據收集階段�,網絡平臺的自動化數據收集行為并不觸及數據主體的相關隱私利益���。個人數據“收集行為”的規范應僅存在于“平臺—用戶—數據收集者”這一所涉三元主體的行為結構之中��,對于平臺收集個人數據后所可能產生的其他侵害行為�����,則應由數據主體根據后續行為所涉法益另行主張權利����。
1.平臺“授權”第三方收集個人數據的規范
平臺雖然是個人數據的實質控制者��,但是卻并非是個人數據的所有者�。因個人數據之上粘附著個人的隱私利益�,所以當平臺授權第三方收集相關個人隱私數據時�����,亦應得到數據主體“同意”的違法阻卻���。因此��,當平臺未取得數據主體的同意而授權第三方收集相關隱私數據時��,則平臺便直接侵犯了數據主體的隱私權����。但是�����,對于平臺已公開的����、他人可自由獲取的相關個人數據�,由于平臺對該類數據并不負有安保義務�,所以當第三方數據收集者使用收集的非個人隱私數據對數據主體的相關隱私利益造成侵害時���,則平臺并不承擔侵權責任�����,對該類侵害��,數據主體只能向第三方數據收集者主張�。當然�,對于平臺已經取得數據主體的同意而授權第三方收集相關隱私數據的行為��,此時的平臺雖然不會侵犯數據主體的隱私權���,但當平臺超出數據主體“同意”的范圍�,允許第三方收集相關隱私數據時��,則平臺不僅構成對數據主體隱私權的侵犯�。同時����,由于個人與平臺之間對個人數據的收集存在授權事項��,因此平臺其也應承擔相應的違約責任����,而數據主體可就隱私權侵害或者違約���,擇一主張���。在這里需要進一步澄清一個誤區:當平臺授權第三方收集相關個人數據時��,通常表現為有償的形式�����,此是否意味著在數據收集階段�����,個人數據之上的財產性利益仍需要評價�����?答案應是否定的�����。這是因為�����,一方面�,平臺與第三方數據收集者之間的有償授權是平臺基于控制�、保存相關個人數據而產生的財產性利益�����。另一方面����,個人數據經濟價值的發揮依賴于數據的算法加工�,該種算法加工使得個人數據呈現出一種數據生產要素的狀態��,但是在數據收集階段并不存在針對個人數據的算法加工行為�,同時第三方數據收集者收集數據也并非都是為了挖掘數據的經濟價值�����。因此����,在數據收集階段并不存在個人數據之財產利益保護的空間���,而對于該類數據買賣行為一般是由行政法規范或者刑法規范予以評價�,當然��,若數據主體的隱私利益受到侵害�,其也可向平臺主張相應的民事權利���。
2.平臺“未授權”第三方收集個人數據的規范
平臺基于對個人數據的實際控制享有財產性利益����,而個人對平臺實際控制的個人數據享有人格性利益�。在數據收集階段����,當第三方數據收集者未經平臺的授權而收集由平臺控制的相關個人隱私數據時���,毫無疑問�,此時的第三方數據收集者首先會對平臺的數據財產利益造成侵害��。對于該種財產性利益�,有學者認為應是一種競爭性利益����。但是該種觀點缺陷在于��,當援引競爭法規范對平臺控制的相關個人數據進行保護時�,通常是以《反不正當競爭法》第2條作為裁判依據���,而該條在體例安排上是位于《反不正當競爭法》的總則部分�,屬于一般性的保護規則�����,并不能提供具體的�、明確的�、統一的標準�。申言之�,競爭利益存在于經營者與經營者之間�,如果第三方數據收集者不是平臺經營者���,此時的數據收集行為便無法通過競爭利益予以規范�,而只有肯定平臺對相關個人數據享有數據財產權���,才能周延����、明確地保護平臺基于個人數據控制而享有的財產性利益���。此外�����,因平臺控制的個人數據之上蘊含著數據主體的人格利益�����,該種人格利益在數據收集階段主要表現為隱私權���,所有第三方數據收集者在未取得平臺授權而收集個人數據時�,其可能也會對數據主體的隱私權造成侵害����。同時��,當第三方未得到平臺的授權而收集相關個人數據時�,此時的平臺是否應當對數據主體承擔侵權責任��?如上所述��,當平臺自動收集��、保存相關個人數據時���,其就應當對所控制的個人數據負有安全保衛義務����,該種義務要求平臺確保相關個人隱私數據不被他人非法獲取����。當第三方數據收集者非法獲取相關個人隱私數據時��,平臺因未適格履行安保義務��,當然應承擔相應的侵權責任����。而從責任的承擔方式上來看�����,依據《民法典》第1198條��,第三方數據收集行為造成數據主體損害的���,應當由第三方數據收集者承擔侵權責任��。因平臺未適格的履行安保義務�,所以平臺應承擔補充責任�����,但是平臺承擔補充責任后��,可以向第三方數據收集者追償��。
?�。ǘ﹤€人數據“使用行為”的規范路徑
數據時代�,個人數據作為個人信息的載體���,承擔著個人信息社會性流動的交互功能�,即:個人數據的流動也可以說是個人信息的流動�。通常而言����,個人信息的流動包括“個人—他人”或者“個人—他人—他人”兩種交互模式����,但是無論是何種模式����,個人信息總是以一種便于獲取或者可直接獲取的方式存在于社會之中���。進而言之�����,在個人數據“使用行為”中��,個人與他人具有平等的獲取對方信息的能力�。但是��,個人信息卻并非總是如信息主體期待的那樣進行社會交互�,由此便可能對個人數據主體之精神利益造成損害�,所以需對各種不當的個人數據“使用行為”進行規范���。
1.個人數據“使用行為”的規范:積極性人格權
現行法規范對精神性人格利益的保護主要是通過姓名權����、肖像權��、名譽權����、榮譽權�、隱私權來實現���。以個人是否可從積極方面處分其人格利益進行區分�,精神性人格權可分為積極人格權與消極人格權�����,而姓名權與肖像權便屬于典型的積極人格權�����,例如:《民法典》第1012條便規定��,自然人有權決定�、使用����、變更或者許可他人使用自己的姓名��;《民法典》第1018條也規定�����,自然人有權制作�����、使用�、公開自己的肖像或者許可他人使用自己的肖像����。因此��,當第三人對涉及個人之姓名權與肖像權的個人數據進行對外使用時必須取得個人數據主體的許可�,以防止他人冒用���、盜用���。而該種“許可”的正當性不僅是因為個人對其個人數據所享有的“同一性”利益���,也是因姓名與肖像本身所蘊含的財產性利益���。當然���,因為人具有社會屬性�,個人信息正當的傳播性使用應是信息主體本身所應負的容忍義務����,該種容忍義務的邊界則是他人不得以丑化���、污損等方式損害個人之姓名權與肖像權���。
2.個人數據“使用行為”的規范:消極性人格權
消極性人格權是指個人對其人格利益不享有積極方面的權能����,而只有當人格權受到損害后被動的防御���,民法典中的隱私權���、名譽權��、榮譽權便屬于此種人格權��?!睹穹ǖ洹返?033條規定��,取得權利人明確同意���,其他組織或者個人就可處理他人的私密信息��。就文義理解而言��,數據隱私主體似乎可通過自己的同意積極處分其隱私利益��。但是�,從民事權利體系來看����,隱私權應是一種消極性人格權���,其重心在于防范個人的秘密不被披露�����?����;诖丝芍?���,《民法典》第1032條的“同意”�,絕不能理解為對隱私利益的積極處分����,而應理解為隱私主體通過“同意”而對隱私利益的主動放棄���,該種“同意”事實上承擔著一種阻卻違法的作用���,例如:個人數據主體可以將自己的個人隱私信息告訴他人����,他人便可因數據主體對其隱私利益的放棄而避免隱私侵權����。由此可知���,無論是隱私權����、名譽權還是榮譽權皆應為防御性權利�����,現行立法對于該種人格利益的保護也主要是通過對他人預設行為規范的方式來進行���,例如:《民法典》第1024條第1款規定����,他人不得通過辱�、誹謗等方式侵犯權利主體的名譽權����;《民法典》第1031條規定��,他人負有不得詆毀�、貶損他人榮譽的義務����,不得非法剝奪他人榮譽稱號���;《民法典》第1032條規定���,任何組織或者個人不得以刺探�����、侵擾���、泄露��、公開等方式侵害他人的隱私權�。因此�����,當個人數據“使用行為”侵犯數據主體之名譽�����、榮譽以及隱私時��,個人數據主體便可基于人格利益受損(隱私權��、名譽權�����、榮譽權)而主張相應的人格權請求權�。
3.個人數據“使用行為”的規范:一般人格權
從權利配置的模式上來看���,我國對人格利益的保護采取的是“一般人格權+具體人格權”模式�。該種模式的合理性在于人格利益的侵害形式具有動態變化的特點���,單一的人格利益權利化方案雖可覆蓋典型的侵害情形�,但是卻不可能周延涵蓋所有可能的侵害情形�����。而一般人格權是法律采取高度概括的方式設計的框架性人格權����,其不僅具有權利集合性的特點����,也可在具體人格權之外承擔著補充�����、兜底的保護功能�����?!睹穹ǖ洹返?90條規定����,自然人享有基于人身自由�、人格尊嚴產生的其他人格權益��,其中的人身自由與人格尊嚴便屬于民事權益�����,是民法上的一般人格權��。個人數據的使用行為不僅可能涉及數據主體之姓名���、肖像��、名譽�、榮譽����、隱私等具體人格利益����,還可能涉及數據主體之人格尊嚴�。從規范適用的角度上來看����,因一般人格權的價值基礎必然可涵蓋具體人格權�����,所以當人格權條款就特定人格權的保護存在明確規定時(姓名權�����、肖像權�����、名譽權����、榮譽權�、隱私權),應排除一般人格權條款的適用,以維護法律規則適用的確定性并防止司法實踐向一般性條款逃逸�����;而當個人數據適用行為所涉及的人格利益在具體人格權中沒有規定時,因為此時并不存在請求權基礎�����,所以應通過一般人格權條款對相應的人格利益侵害進行救濟�����。
?。ㄈ﹤€人數據“加工行為”的規范路徑
個人數據“加工行為”是數據處理主體為挖掘數據“集”的經濟價值所進行的內部行為�,該種處理行為存在于信息能力不平等的主體之間�,例如:網絡平臺對個人數據的處理���,且該種行為并不以信息的社會交互性傳播為目的���。因為個人對其個人數據享有財產性利益�,所以對于該類行為不應通過人格權予以規范���,而應肯定個人所享有的數據財產權�,并通過“合同”的方式予以規范����。
1.個人數據“加工行為”:“同意”的性質厘定
個人數據之上承載著數據主體的雙重法益�����,當數據控制者收集�����、使用個人數據時�����,此時涉及的是數據主體之人格利益��;當數據控制者加工個人數據時���,則涉及的是數據主體之財產利益��?��!睹穹ǖ洹返?035條規定���,處理個人信息應征得該自然人或者其監護人同意���。毋庸置疑的是�,無論何種個人數據處理行為均需得到數據主體的“同意”����,但是不同數據處理行為的”同意”卻具有不同的性質�。通常而言���,人格權益具有很強的人身依附性��,該種權益屬于絕對權的范疇�,不能轉讓也不能放棄���,因此當數據控制主體收集���、使用個人數據時�,數據主體的“同意”并不是將數據之上的人格利益轉讓與數據控制主體����,而是阻卻數據控制主體收集��、使用個人數據時對相關人格利益產生的人格侵權����。與人格利益侵害的違法阻卻功能不同�����,數據控制主體收集個人數據后�����,若進行數據加工行為��,則其依舊需取得數據主體同意��,但此時的同意卻并不涉及數據主體的人格利益��,而是與數據主體的財產利益相關�。因此����,數據主體的“同意”在個人數據處理的不同階段表征著不同的含義�����,在個人數據的收集以及使用階段�,個人對其個人數據主要享有的是人格性利益���,因此數據主體的“同意”具有人格權侵害的違法阻卻功能���;在個人數據的加工階段�����,個人對其個人數據享有的是一種財產性權利����,此時的“同意”則屬于財產性權利的讓渡��,該種權利存在于個人數據的加工行為之中�,具體表現為:允許他人加工個人數據��。
2.個人數據加工行為的規范:“合同”路徑
囿于個人數據處理的宏觀話語��,個人數據加工行為所涉及的法益獨立性一直不得張揚�����。實踐中����,平臺的所有數據處理行為幾乎都是借助于單一的隱私政策�,不加區分的�����、以一次“同意”的方式予以正當化�。如上所述���,個人數據處理的“同意”包括雙層含義�����,一層指向人格權侵害的違法阻卻��;一層指向數據主體對個人數據加工的許可����。因個人對其個人數據享有數據財產權����,所有數據控制主體對該類數據的處理需通過“合同”的方式達成合意����,以取得個人數據主體的授權���。本質上來看���,數據具有非獨占性�����,數據控制主體所取得的并非是個人數據的所有權���,而是個人數據的控制權�。該種控制性利益可有效排除他人對個人數據的不當獲取����,而個人數據所蘊含的財產性利益仍是歸屬于數據主體�����。因此�,當數據控制主體僅就個人數據的收集取得數據主體的“同意”���,而未就個人數據的加工與數據主體達成合意時����,則數據控制主體對相關個人數據進行的算法加工便侵犯了數據主體的數據財產權���。當數據控制主體收集個人數據時未取得數據主體的同意���,但是其卻在個人數據處理階段與數據主體達成合意��,若數據控制主體收集數據時觸及數據主體的隱私利益���,雖然兩者已就數據加工階段達成合意�����,但是數據控制主體在個人數據的收集階段仍構成對數據主體隱私權的侵犯�����。當數據控制主體既未就個人隱私數據的收集取得數據主體的同意�����,也未就個人數據的加工與數據主體達成合意���,則數據控制主體的數據加工行為便具有雙重侵害性�,數據主體可分別就隱私侵害與數據財產權侵害����,同時主張權利����。同時需要注意的是�,數據控制主體雖然可基于“合同”取得個人數據加工的使用權�����,但數據控制者亦不得超出合同約定的數據處理范圍或者數據處理方式加工個人數據�����。當數據控制主體違反“同意”的加工范圍或者加工方式���,則其應承擔違約責任���。如果數據控制主體的違約行為對數據主體的相關人格權造成侵害��,則數據主體亦可就人格利益侵害主張權利����。
四�、結語
個人數據處理可分為三個階段���,即:個人數據的收集階段�����、個人數據的加工階段以及個人數據的使用階段����,且上述數據處理的三個階段具有行為以及法益指向的獨立性�����。個人數據“收集行為”與個人數據“使用行為”主要涉及數據主體的人格利益�����,前者表現為:隱私權��;后者表現為各類具體人格權��;個人數據加工階段主要涉及數據主體的財產性利益�,該種利益表現為:數據財產權�。個人數據“使用行為”針對的是個人數據之上的個人信息所進行的行為����,該種行為主要涉及的是數據主體之人格利益���。因此��,對于個人數據“使用行為”的規范應依據《民法典》之人格權的相關規定��。個人數據“加工行為”針對的是個人數據本身所進行的行為��,該種行為主要涉及的是數據主體之財產利益��。因此�,對于個人數據“加工行為”的規范應依據“合同”的方式�。從個人數據侵害救濟的體系化路徑來看�����,首先�����,當第三方數據收集主體未取得數據主體的“同意”而收集相關個人數據時����,則數據主體可基于隱私權侵害向第三方數據收集者主張權利�����。此時的平臺(數據控制者)負有安保義務�,因其未適格履行�,所以平臺應承擔補充責任��,但是平臺承擔補充責任后�,可以向第三方數據收集者追償����。當第三方數據收集者未取得平臺的“同意”而收集相關個人數據時����,則該種侵害具有雙重性��,數據主體可向其主張隱私侵權責任�����;平臺可向其主張財產權損害賠償(平臺基于對個人數據的控制享有數據控制權�,該種權利屬于財產權)�。其次�,當數據控制主體收集個人數據后�����,若其對外進行正常的社會交互使用��,則該種使用行為并不會侵害數據主體的具體人格利益�����;若其不正當地進行社會交互使用���,則應通過姓名權����、肖像權���、名譽權�����、榮譽權��、隱私權等具體人格權與一般人格權予以規范����。最后���,當數據控制主體收集個人數據后�,若其取得數據主體對個人數據進行算法加工的“同意”����,則其進行的個人數據加工行為并不侵犯數據主體的數據財產權�;若其未得到數據主體對個人數據進行算法加工的“同意”��,則其進行的個人數據加工行為便會侵犯數據主體的數據財產權���,數據主體可向數據加工主體主張侵權責任�。此外��,當數據控制主體違反“同意”的加工范圍或者加工方式����,則其應承擔違約責任�����。而如果數據控制主體的違約行為對數據主體的相關人格權造成侵害�����,則數據主體亦可就人格利益侵害主張權利�。(作者王東方系北京航空航天大學法學院博士研究生)
關注官方微信
關注官方微博
