朱新力 周许阳

(浙江大学 光华法学院,浙江 杭州 310008)

20世纪60年代电子信息技术在西方国家的初次普及,引发了公众对自身信息安全的普遍担忧,为此,逐步发展出“人格权”与“财产权”两种不同的个人数据保护模式①“个人数据保护”与“隐私保护”既互相关联又存在区别。隐私还包括物理空间上“生活安宁不受打扰的权利”,因此在概念外延上更为宽泛。“个人数据保护”与“隐私保护”经常混合使用,为行文方便,本文对两者在不同语境下的交替使用不再区分。此外,也有学者使用“个人信息”“信息隐私”“个人资料”等概念代替“个人数据”,为突出个人信息在大数据时代数据化的特点,本文主要采用“个人数据”,但在研究对象和内容上与其他类似概念并无区别。。如今,大数据技术的深化应用预示着人类社会的发展更加依赖各种个人数据的挖掘与使用,片面强调个人数据的保护已无法有效回应时代发展的需求。在大数据战略背景下,我国在个人数据保护问题上应当承袭他国经验抑或另谋进路?若另辟蹊径,又该如何处理个人数据利用与保护之间的关系?由于我国尚处于大数据发展期,数据交易规则及个人数据保护制度仍在形成阶段,上述问题的解决对我国未来大数据发展与个人数据安全的保障至关重要。

以下,本文将总结并分析人格权与财产权两种传统个人数据保护模式的异同与缺陷,考察学界提出的三种平衡个人数据利用与保护方案的可行性;然后,借助经济学上公共物品概念,指出在大数据时代平衡个人数据利用与保护问题的实质在于如何通过制度设计合理圈定个人数据的流转范围,并在此基础上提出兼顾个人数据利用与保护的“资源准入模式”②需要说明的是,本文探讨的主要是企业与个人关系中的个人数据保护问题。公法领域的个人数据保护和个人在纯粹的家庭、日常活动中的个人数据处理行为,均不在本文考察之列。;最后,针对我国目前大数据交易及立法实践,提出相应解释与建议。

一、传统个人数据保护模式的现实困境

(一)人格权与财产权保护模式的功效与异同

传统的个人数据保护模式整体上可归为两类。一种是人格权模式,即认为公民对其个人数据享有人格权,并依靠制定严密的个人数据保护法来保障该人格权不受侵害;另一种是财产权模式,即在促进电子经济的理念下,将个人数据理解为财产,试图依靠市场的自我规制来解决个人数据的保护问题。

如果将个人信息上附着的权利视为一项人格权,那么任何将个人信息商品化、物化的做法都是侵害人格尊严的表现。德国联邦宪法法院在1983年的“人口普查案”中,将个人数据上所依附的人格权具体化为“个人信息自决权”③1983年,德国联邦政府试图通过制定人口普查法对全国人口进行全面普查,此举引发了广泛的反对与抗议。德国联邦宪法法院经严密论证后判决该法违宪,判决要文如下:“现代信息社会之下,人格之自由展开以保护公民之个人信息不受任意的采集、存储、使用与转让为前提。这是基本法第2条1款与第1条1款所规定的基本权利的要求。在此范围内,公民原则上有权自行决定其信息是否向他人披露或如何使用。”可以看到,维护人格尊严是德国基本法的指导原则,也是保护人格权的基础。德国基本法第1条第1款规定,“人性尊严不可触碰。所有国家权力都有义务对其重视与保护”;第2条第1款规定,“在不损害他人权利、不违背宪法秩序及道德法则的范围内,任何人都有自由展开其人格的权利”。。所谓个人信息自决,即个人有权决定在多大程度上、多大范围内对外公布关乎自身的各类信息。原则上只有个人知情并同意时,才可收集、使用该个人信息,并且由于将个人数据视为一种人格权,收集该信息之目的必须明确,任何超出收集目的的数据处理行为必须经个人重新同意。当然,个人信息自决权不应是无边无际的,为了不阻碍信息社会的发展,德国联邦宪法法院将个人信息自决权限于信息自动化处理这一前提之下,并指出该权利的行使要受到公共利益的限制。

若将个人数据理解为个人财产,则主要依靠财产权规则与市场的自我调节机制对其加以保护。与人格权模式不同,财产权模式并不反对将个人信息商品化、物化,转而迎合网络经济、自由交易隐私利益的需求。财产权保护模式主要发展并盛行于美国,这与美国一贯以来反监管文化是分不开的。但需指出,即便在美国,目前财产权保护模式也只能说是一种理念上的承认,尽管不断有学者加以鼓吹论证,但少有制定法或司法判例对个人数据上的财产权予以明确承认。

稍加比较即可发现,上述两种保护模式的出发点都是为了赋予个人对其自身信息一定的控制能力,但两种模式对个人数据上所依附的权利属性做了不同理解①美国学者詹姆斯·惠特曼曾在其《两种不同的隐私文化:尊严与自由》一文中对欧美的观念差异进行过精辟总结,他指出,欧洲的个人数据保护观念根植于人格尊严不受侵犯之理念,而美国侧重以自由价值为导向来保护个人数据,更多强调政府不应过多限制个人自由。参见 Whitman J.Q.,″The Two Western Cultures of Privacy:Dignity Versus Liberty,″The Yale Law Journal,Vol.113,No.6(2004),pp.1153-1160。,因此对是否可将个人数据物化与商品化采取了截然相反的态度。不同的权利设定也因此催生了不同的“知情同意框架”。在人格权模式下,为避免个人沦为任由他人操纵的信息客体,一个符合逻辑的结果是,不单是初次收集个人信息时需征得当事人同意,任何超越个人数据收集目的的使用或转让行为均需重新征得当事人同意。而在财产权模式下,按通常理解,买方在当事人出让其个人数据后即成为该个人数据的财产所有人,可以自由地将该个人数据转让给第三方而无须再经原当事人同意。Samuelson指出:“可转让性本来就是财产权的特征,当财产所有人已将自己的某一项利益出售给买方,不论这是何种利益,买方都可以自由地将此利益再转让给第三方。”[1]

(二)大数据时代传统保护模式的可行性障碍与低效性缺陷

上述两种个人数据保护模式虽有不同,但都根植于20世纪的信息技术水平与社会发展观念。如今在大数据深化应用的背景下,无论是信息总量、数据增长速度,还是数据交叉应用技术、数据采集技术等,均非几十年前的信息技术水平所能比拟。在新时代套用旧模式将出现难以逾越的可行性障碍与低效性缺陷。

首先,人格权模式无法在大数据背景下继续取得预期效果。当今信息种类与数量不断膨胀,个人很难对每一次个人信息的收集目的与流向做出全面准确的判断或记录,企业也不可能在大数据时代一一识别每个个人数据之主体,或者就每个个人数据的各种潜在用途与当事人一一谈判。进一步说,过于强调个人数据流转与使用中的“目的限定”甚至会产生适得其反的后果,因为企业为规避人格权模式下违法使用公民个人信息的风险,势必在信息收集之初就尽可能复杂地设置各项个人信息授权条款以尽量囊括所有可能的个人信息使用目的,这使个人在出让个人信息时更难甚至不愿了解授权条款的各项具体内容[2]。此背景下,人格权保护模式难免流于形式。

其次,财产权模式也难以发挥保护个人数据的作用。一方面是隐私市场本身即存在失灵现象,因为个人往往不具有足够的认知能力全面获悉其个人数据的使用目的与流向,无法做出信息对称的出让决定和全面准确的价格评估②关于这一点,早在15年前即成为美国学者丹尼尔·索洛韦伊质疑财产权模式可行性的重要理由。参见Solove D.J.,″Privacy and Power:Computer Databases and Metaphors for Information Privacy,″Stanford Law Review,Vol.53,No.6(2001),pp.1393-1452。当然,美国学者在财产权模式的基础上构建过不少修正模型,如Lawrence Lessig主张开发类似于P3P这样的软件来保证隐私市场的有效性等。然而迄今为止,这些修正模型都没有使财产权模式在美国的个人数据保护实践中落地生根,美国学者自己也承认:“个人信息的财产化理论只是学者们在判例阙如、立法滞后情况下抓住的最后一根救命稻草而已。”参见 Stan K.,″Privacy,Identity,Databases:Toward a New Conception of the Consumer Privacy Discourse,″http://dx.doi.org/10.2139/ssrn.340140,2017-05-03。;另一方面,财产权的可转让性一定程度上与保护个人数据之原意相悖。Samuelson指出,“新型的财产权体系应对个人数据的可转让性做出限制,否则信息性隐私将难以得到保护”,因为人们出于隐私安全的考虑总是希望买方不得再将个人信息转卖给第三方,除非与信息主体进行谈判并得到授权[1]。但若真如萨氏所主张的那样对财产权下的“可转让性”予以限缩,那么美国的财产权模式在结构上就相当接近于德国的人格权模式,上述德国模式的问题又将成为美国模式的问题。可见,尽管财产权模式在美国土生土长,但美国学者对此也存在极为纠结的态度,一方面主张以财产权保护公民个人信息,另一方面又无法全盘接受财产权的交易规则,其深层次原因在于财产法鼓励交易的目标设定在根本上与隐私保护的精神相背离。

最后,人格权、财产权两种传统保护模式在大数据时代除上述可行性障碍外,还具有低效性缺陷。大数据语境下某个个人数据被汇集时本身并不一定指向特定目的,或者说只有当该数据被用于实际分析并得出具体结论后,其目的才得以确定。上述两种模式所设定的“知情同意框架”在根本上使大数据技术所依赖的实时、巨量、多维、完备的数据资源无以实现。人格权模式不仅明确反对将个人数据物化、商品化,还要求贯彻实行“最少数据原则”(为尽量减少隐私侵害应以尽可能少的个人数据去达成目的)①譬如德国《联邦数据保护法》第3a条、《欧盟数据保护一般规则》第5条、《荷兰数据保护法》第11条第 1款、《奥地利联邦个人数据保护法》第7条第3款等。,根本阻断完备数据的形成。财产权模式也是如此,即便假设该模式在大数据背景下可以实现,财产权的排他属性也决定了个人数据利用次数的有限性。

二、个人数据的公共性质:在公共物品与私人物品之间

针对人格权与财产权两种传统模式的缺陷,学界总体上提出了三类解决方案。一是认为应当通过界定个人数据概念内涵与外延的方式避免大数据背景下个人数据保护范围过度膨胀,特别是通过增加信息控制者的识别能力、个人信息的用途等概念要素限定“需予以保护的个人数据范围”[2]。但应看到,个人数据的保护范围恰恰应随着大数据的发展加以扩大而非限缩,因为在高度发达的数据交叉识别技术下,完全可以通过看似碎片化的数据识别个人身份或窥探隐私。因此,仍应坚持以“可识别性”为唯一标准界定个人数据,任何已识别或可识别到个人的数据都属于个人数据(这也是国际通例),其中可识别性的判定标准还应随着大数据的发展而逐步降低。

二是对个人数据加以分类,以敏感或不敏感为标准,集中力量对敏感个人数据加以保护,对不敏感个人数据则侧重流通利用。问题在于,某个人数据敏感或不敏感是基于个体差异的个性化问题,由于不同个体对自身信息的敏感偏好不同,敏感信息与非敏感信息之边界并非泾渭分明。即便是看似不敏感的个人数据,也可能通过交叉识别技术暴露敏感的个人隐私。因此,以敏感或不敏感为标准平衡个人数据的利用与保护不具有可操作性。

三是从信息技术入手,认为只要个人数据“脱敏”(去“可识别性”)后即可加速流通利用。但这实际上是在形式上兼顾而实质上极大地破坏了个人数据的利用价值。如果不可逆转地损毁个人数据上一切可识别性,那么该数据本身就不再是个人数据,且不论这样的数据本来就不存在因为隐私保护需要而限制流通的问题,对于要求数据多样性与繁杂性的大数据而言,这样的脱敏数据即便可在制度内高速流转,与原数据相比恐怕也无多大开发价值。要最大限度地发挥个人数据潜能,只能从圈定个人数据的使用者范围、数据流转范围的角度保障个人数据安全,而不能为个人数据的高速流转附加信息技术上的一刀切限制,因为个人数据应该如何使用、是否应当脱敏、如何脱敏、脱敏到什么程度,均需切合具体的数据分析语境来确定,对这些高度复杂的技术问题,法律无法事先包办解决。

上述三类方案都可视为谋求个人数据利用与保护间平衡的努力,但无论是对个人数据的范围加以限定,还是对个人数据加以分类或是借助信息技术手段,都是在人格权或财产权的模式框架内进行修正,缺乏对传统保护模式本身的反思,本质上均未触及“平衡个人数据利用与保护”问题的本质①需特别提及,美国白宫于2015年2月公布的《消费者隐私权法案(草案)》提出了“语境限定与风险导向”规则,将个人数据保护与利用的平衡点设定于“合理利用”,所谓“合理”是指针对个人数据的处理行为“符合当事人预期”。至于如何判定,《草案》第3条(k)项列举了(包括但不限于)“该个人数据处理是否合乎商业惯例”“该个人数据处理是否为企业提供商品或服务所必需”“该个人数据本身是否已向公众高度暴露”等10项内容,这些判断标准被统称为“语境”。从理论上分析,该规则与德国的个人信息自决理论并无本质上的差别,并不能为平衡个人数据的利用的保护提供实质性方案。。事实上,无论是人格权模式还是财产权模式,都是为个人数据设定的排他性制度,在大数据背景下是否需要设置或如何合理设置排他性制度本身就是需要考量的。对此下文首先借助经济学上的公共物品概念厘清平衡个人数据利用与保护问题的本质,并在此基础上提出兼顾个人数据利用与保护的“资源准入模式”。

对大数据红利的追逐已成为近年来多国经济发展的重要一环。无论是利用消费者大数据进行精准营销,还是利用政府大数据辅助科学决策与建立智慧城市大脑,或是基于医疗大数据准确预防流行疾病与检测个人健康,无不彰显大数据发展对现代生产生活方式的剧烈影响。国内外学者不止一次呼吁在关注隐私保护的同时应当重视个人数据的“社会价值”,如Schwartz指出,“忽略个人数据的社会价值”是美国财产权模式的严重缺陷[3],我国学者张新宝强调在设计个人数据保护制度时应当注重各方主体利益之衡量[4]。

可以发现,无论是目前已经入轨的各项大数据应用还是专家学者强调个人数据社会价值的种种措辞,均蕴含着赋予个人数据公共性的思想,认为赋予个人数据以一定的公共资源性质是最大限度挖掘其价值的前提。但是,究竟能否将个人数据作为公共资源看待不能仅凭直觉或想象,而应着眼于其自身性质。对此,我们需要借助经济学上的相关概念予以说明。

公共资源在经济学上被称为公共物品。公共物品是相对于私人物品、准公共物品而存在的概念②“公共物品”的经典定义最早由经济学家帕梅拉·萨缪尔森于1954年提出,它是指这样一种物品:“任何人对这种物品的消费,都不会导致其他人对该种物品消费的减少。”参见 Samuelson P.A.,″The Pure Theory of Public Expenditure,″The Review of Economics and Statistics,Vol.36,No.4(1954),pp.387-389。,三者均可指代有体物或无体物,典型的公共物品如国防、空气、法规政策,私人物品和准公共物品分别如私人食品与高速公路。三者的区别在于对该物品的消费或供给是否具有非排他性与非竞争性(共享性)。公共物品是兼具非排他性与非竞争性的物品。私人物品则兼具排他性与竞争性,只能私人消费。准公共物品的性质介于公共物品与私人物品之间,即具有非竞争性与有限的排他性,或者具有非排他性与有限的竞争性③理论上也存在排他性和竞争性均不完整的物品。有学者指出,从私人物品到公共物品是一个渐变的状态,现实生活中大多数物品是处于该中间状态的混合物。本文无意就此做更为深入的探讨,我们真正关心的是在经济学上抽象出来的排他性与竞争性两个独立属性,可以用来衡量、描述一个物品的公共性质。感兴趣的读者可以参阅Adams R.D&McCormick K.,″The Traditional Distinction between Public and Private Goods Needs to Be Expanded,Not Abandoned,″Journal of Theoretical Politics,Vol.5,No.1(1993),pp.109-116。。

某物品是否具有(非)竞争性,取决于该物品的本质属性。个人数据完全符合非竞争性的要求,因为数据不存在单次使用后效用减少的问题,某次对个人数据的使用并不妨碍他人对该数据的再次利用。问题是,个人数据是否具有(非)排他性特征?事实上,排他或者不排他完全取决于我们的制度设计。著名经济学家布坎南指出,(非)排他性并非物品的本质属性,在适当的产权制度下,几乎所有的物品都可以实现有效地排他,单纯由于本身的物质属性而无法实现排他的物品在现实中很少出现[5]。

就目前而言,数据使用和占有的竞争仍然激烈,隐私保障的道德标准与信息技术并未达到让人完全放心的程度。出于隐私保护目的,设置一定的制度以保障个人数据的排他性是完全必要的。但是,如果我们在大数据时代要兼顾挖掘个人数据的社会价值,就不能使个人数据的“可复用性”(非竞争性)特质被完全封锁在排他性的栅栏之中,因为个人数据只有被反复多次、交叉使用后,其价值才能体现。为此,我们应当通过制度设计使个人数据实现一种“有限的排他性”(准公共物品)。至于具体如何实现,经济学并不能给出完整的答案,因为经济学上的概念体系并不解决权利的配置问题,我们需切回法学视角再做分析。

三、基于公共物品理念重构个人数据保护路径

(一)“资源准入模式”之提出

由于个人数据可复用性这一特质无法改变,如何平衡个人数据的利用与保护,实际上就是如何合理圈定数据流转范围的问题。以此为切入点,个人数据利用与保护之间的均衡点应当在于:在可不断扩大但有准入条件的范围内,个人数据以可逆转的方式成为公共物品。基于此,我们提出个人数据保护的“资源准入模式”。

第一,政府应对我国境内收集使用个人数据的企业加以筛选,只有具备合格的数据安全保障能力,才有资格在我国境内收集使用个人数据。但与矿产、渔业等自然资源不同,个人数据在物质属性上具备可复用性的特点,不存在因资源数量有限而需要最优化配置的问题,不需要在资源准入之数量或范围上加以限制。只要企业在组织形式、监督手段、保密技术、风险防范等方面符合个人数据安全使用的要求,就具有采集利用个人数据资源之准入资格。

第二,上述准入资格仅代表企业在我国境内具有收集、使用个人数据资源的可能,并不意味着可以不经权利人同意随意采集他人个人数据。具体到单个个人数据的微观层面,作为个体的公民仍可基于私权利对个人数据加以控制,不仅包括信息收集之时的知情权、信息被收集后的请求告知权,还包括变更权与消除权,以及侵犯个人隐私时的损害赔偿权。其一,信息收集之时知情权意味着任何个人数据的初次收集都需经过当事人同意①高度公开的个人数据问题可视为默认同意。。其二,当初次采集的个人数据不正确,或者嗣后因时间推移造成个人信息变化时,当事人可以要求变更其个人数据;当个人数据已无变更可能,或者当事人不愿其个人数据再以公共物品的形式流通,可以要求消除。变更、消除权的意义不仅在于避免因错误的个人信息损毁公民的信息化形象,也在于保障个人信息在大数据背景下的精确性与实时性。

第三,公民同意其个人数据被收集后,该个人数据即可在所有具备数据安全保障能力的企业范围内成为公共物品②此处并不是指个人数据一旦被同意收集后,均强制成为公共物品,而是指对此需设定“原则上成为公共物品＋可自愿排除”的导向性规则。详见下文。。当个人数据成为公共物品,只要企业取得上述个人数据资源准入资格,即可以多样化的方式与目的共享、交易、使用该个人数据,无须就此重新征得当事人同意。

第四,对于成为公共物品的个人数据,虽然适格企业可基于不同目的与方式共享、使用,但并非毫不受限。侵权法、刑法以及相关的行政法律规定,仍然构成所有针对个人数据的处理行为之边界。当适格企业因不当处理个人数据而侵犯个人隐私时,权利人仍有损害赔偿权;违反行政法律中的相关规定时(如将个人数据传送给不具备数据资源准入资格之企业),应受相应处罚;造成严重后果时,应予以刑事制裁。

第五,整个个人数据保护制度应当与一个统一的数据资源平台相对接,并通过行政手段确保个人数据的流转只能在该平台上进行。理由在于,其一,统一的数据资源平台是实现数据资源互联互通、打破信息壁垒的基础保障,只有以便捷的形式实现适格企业间的数据共享交易,才可能有效发挥个人数据的公共物品性质。其二,只有在统一数据资源平台基础上才有可能通过匹配数据采集登记、数据流转登记等行政手段,确保个人在大数据背景下清晰得知其个人数据之流向,为今后可能产生的损害赔偿奠定追责基础。其三,变更或消除权之行使需要权利人做出积极的意思表示,然而,在大数据时代往往有不计其数的企业同时使用某一相同的个人数据(如手机号码、家庭住址),且不论个体是否有能力一一识别记录所有持有其个人数据的企业,仅从成本上说也难以通过点对点、一对一的形式行使权利。若建立统一的数据资源平台并确保个人数据的流转只能在该平台上进行,则能以该平台为支点统一变更或消除某特定的个人数据,降低权利行使成本,使变更、消除权不至于在大数据环境下被完全架空;同时对数据使用者而言,统一的数据平台可确保实时获取有效真实的个人数据变更信息。

第六,为保证个人数据之流转限于具有数据资源准入资格的企业范围内,除建立统一的数据平台外,还应当匹配个人数据收集与使用许可、数据采集登记、数据流转登记等行政手段。

(二)可能的质疑与回应

上述“资源准入模式”的设计可能面临的第一个质疑是,既然个人数据是关乎个人之数据,理应具有较高的独占性,又如何能够成为公共物品?前文已论及,个人数据之所以能够成为公共物品,首先是因为其本身具备可复用性的特性,至于个人数据是像阳光、空气一般可为不特定的公众使用(纯粹的公共物品),还是如需付费的电视信号一般在使用者范围上具有一定的排他性(准公共物品),或者如私家车一般成为私人物品,则完全取决于我们的制度设计。既然要在保护个人数据的同时兼顾利用,就必须为个人数据设计一套可以实现有限的排他性的制度。换言之,“资源准入模式”的制度设计可为个人数据实现有限的排他性,因为对于已经成为公共物品的个人数据,只要企业取得个人数据资源准入资格,即可不经该个人数据当事人的同意,以多样化的方式与目的共享、交易、使用该个人数据。

“个人数据被采集后在适格企业范围内成为公共物品”这一规则,需要通过“原则＋约定排除”的导向性规定予以实现。也就是说,通过立法的形式鼓励与引导个人数据以公共物品的形式流转,但从效力上不应具有强制性,个人仍可在出让其个人信息时,从范围上限定一家或几家企业使用其个人数据。可能有意见认为,如果不具有强制性,“成为公共物品”这一规则将毫无意义,因为很少有人会赞同将其个人信息以公共物品的形式流转。此种观点实质上忽略了真实存在的“隐私悖论”现象[6]:“80%的受试者不希望德国电信将他们的个人信息擅自公布给企业,以期获得更好的隐私保护;然而在另一项经济行为学试验中,却也有近80%的受试者愿意将其个人信息透露给商家,以换取购买便利与优惠——即便只是5欧元的价格减免。”[7]我们不能想当然地认为所有人都会反对其个人数据作为公共物品,实际上,愿意在多大程度上出让自己的个人信息取决于隐私偏好、激励条件等因素的权衡①美国学者理查德·墨菲比较了多项隐私权衡的实验性证据后指出,“重要的问题并不在于人们是否看重隐私权,而在于隐私权的价值是否高于披露所带来的效益”。参见理查德·S·墨菲《个人信息的财产性:隐私侵权的信息根据》,孙言译,见张民安编《信息性隐私权研究——信息性隐私权的产生、发展、适用范围和争议》,(广州)中山大学出版社2014年版,第388页以下。。如果存在适当的激励条件、可控的流转范围、令人信赖的数据安全环境,完全可能有为数众多的用户愿意接受将其个人数据以公共物品的形态在一定范围内流转。

我们需要特别强调个人隐私偏好的存在。或是受到欧盟及其他法治先进国家立法例的影响,“强化敏感信息的保护力度,加强一般信息的流通使用”已成为我国学界较为流行的观点。针对此种观点偶有异议者,如周汉华教授在起草《个人信息保护法(专家建议稿)》时未采纳“敏感信息”概念,认为“域外敏感信息的范围过于广泛,与我国国情不符”[8]79;张新宝教授则认为“敏感隐私信息的概念是极具本土化色彩的概念,在我国进行敏感隐私信息的类型化列举时,应注意主要以我国文化传统、社会普遍价值观、法律传统、风俗习惯等作为考量因素”[4]。然而本文认为,与其说“敏感信息”的范围是依附于一国国情的本土化问题,毋宁说是存在个体差异的个性化问题。不同个体对其自身信息的敏感偏好不尽相同,敏感信息与非敏感信息之边界并非泾渭分明。既有看似不敏感实则可能敏感者,如计生用品之购买记录;亦有看似敏感实则可能不敏感者,如患有轻微眼疾者认为其健康记录属于敏感信息,不愿透露,但对盲人而言,或许早已习惯其自身缺陷,反倒乐意将眼疾信息告知他人以换取更多的商业优惠和社会福利。当然,我们强调隐私偏好的重要性并不否认某些特殊情况的存在(如弱化未成年人隐私偏好的作用而强制保护)。

如果连当事人本人都不认为是敏感数据,就没有必要浪费资源予以特别严格的保护,反而应当着力使该个人数据发挥公共物品的性质。在法律上事先区分敏感与非敏感信息并予以不同强度保护的做法不仅存在先天缺陷,而且十分低效。在“资源准入模式”下,某个人信息敏感或者不敏感完全交由个人来判断。个人认为是敏感的个人信息,自然不会愿意将其作为公共物品流通,甚至根本不愿意出让该数据(当然也不能通过法律规定对此做强制要求)。但对于公民不反对成为公共物品流转的个人数据,我们就应当为这种高效的流转方式开辟法律上的可能而非强行设置制度障碍。“资源准入模式”下,即便个人数据在适格企业内成为公共物品,个人隐私安全仍有制度性保障。因此,可以说“资源准入模式”同时兼顾了个人数据的高效流转与保护。

行文至此,恐怕读者心中仍有一问:既然个人数据已成为公共物品,那么又何以继续附着上述消除权、变更权、损害赔偿权等私权利?有论者指出,“对个人数据信息,应该超越私权观念而作为公共物品加以保护和规制”,“任何人获得、分享和使用个人数据信息,即使没有得到相关主体的事先的明确或者默示同意,也不会当然侵犯其隐私权、财产权或者其他私权”。而且,“放弃对个人数据信息的私权保护并不意味着要对已经存在的隐私权制度和财产权制度做根本的改变”[9]。问题是,既然已经“超越私权观念”,“放弃对个人数据信息的私权保护”,又如何对“已经存在的隐私权制度和财产权制度”不做根本变更?本文认为这类观点或许对经济学上的公共物品与法学上权利之间的关系存在某些误解。经济学上公共物品的概念原本只是为了解决混合经济下物品是由市场还是国家提供的问题,并不涉及法律上的权利归属。换言之,经济学上物品的公共性与其上所依附的权利并无必然联系。公共物品或准公共物品上的权利配置,可以是公所有权、私所有权、信托或公物管理权等多种模式[10]。例如被征用之动产或不动产供公众使用后,虽已属于法律上的公物且具有经济学上(准)公共物品之性质,但仍依附私所有权。此外,经济学上的公共物品与行政法上的公物之概念亦非完全对应。行政法上的公物,是指处于国家或其他行政主体的支配下(不一定要有所有权),直接供于公共目的而使用之物。如要比较,从概念外延上公共物品要大于公物。例如阳光与空气,未见有国家对其配置所有权或其他支配权,因而不属于法学上的公物,但属于经济学上的公共物品。总之,私权、公物、公共物品不是完全对立或对应的概念,所谓“超越私权观念而作为公共物品”的说法存在问题。

此外,我们认为应当在私法领域确立公民个人对其自身数据的“任意消除权”,即对于成为公共物品的个人数据,个人可以随时要求消除,除非受公共利益或法律上的强制性限制。可能有意见认为,如果当事人仍可随时要求消除,那么“个人数据成为公共物品”之规则将形同虚设,因为多数人会选择防止其个人数据继续成为公共物品。我们不能将此处的“消除权”作绝对化理解。参照民法上任意解除权理论,任意消除权本身分为两种类型:一是基于正当事由要求消除,二是无正当事由的消除[11]247。在后一情况,虽然当事人仍可要求消除其个人数据,但须为此承担相应的违约责任(如返还商业优惠、取消会员资格)。换言之,任意消除权并不一定排除违约责任,而违约责任的存在则事实上限制了任意消除权的行使。至于什么是“正当事由”,既可由法律事先规定,也可按照合同目的解释。此类规则在制定法上屡有出现,如我国《合同法》第410条即规定:“委托人或者受托人可以随时解除委托合同。因解除合同给对方造成损失的,除不可归责于该当事人的事由以外,应当赔偿损失。”

至于个人数据上依附的私权利究竟归属于人格权还是财产权,我国学者存在不同观点。既有基于“个人信息上所体现之人格尊严平等”之理念,认为“个人信息权在本质上仍属于一种具体人格权”者;也有着眼于个人数据的商业价值,倾向于财产权的观点[1213]。但不论何种立场,均不否认人格权可能包含财产利益,财产权也可能包含人格利益。事实上,“在民事权利二元性理论视角下,人格权和财产权均内在地具有精神利益和财产利益,只是由于两种利益在两者中的比例不同,从而决定了主体对不同权利客体的处分性也不同”,“特定社会的科学技术与社会伦理道德是决定两种利益不同比例和权利客体可处分性的重要因素”[14]。为突出保护人格尊严之重要性,本文认为个人数据上所依附之权利为人格权,但只有人格权上的财产利益部分才能进入信息领域流转。这较好地解释了为什么具有准入资格的企业不当使用作为公共物品的个人信息时,仍需就该个人信息负担侵犯隐私权的损害赔偿责任①与权利属性相关的还有权利归属不明晰问题。有论者认为,信息主体行使个人信息权的前提是单独占有,但这一点在大数据时代往往难以成立,因为许多个人信息在诞生之初便具有“共有”特征。例如,网上购物记录、送货地址、电话号码在行为人消费之时即被自动采集。不可否认,这类个人数据产生往往伴随着电商等直接相关企业的技术处理,并且,由于企业对这类个人数据的持有往往是提供商品与服务的必备条件,因此都伴随着当事人明示或默示的同意。但这类个人数据产生方式的特殊性并不必然导致权利边界的模糊性。其一,既然我们认为该个人数据上所依附之权利为人格权,那么该权利之主体只能是公民个人。其二,即使认为该人格权上附着财产利益,直接相关的企业之“共有”也至多及于该财产利益部分,但由于公民个人的人格利益以高于财产利益之比例且不可分割地附着于该个人数据,因而民法上关于共有财产的处分规则并不适用。。

若以社会之整体效益考量,只有尽量将各企业所采集的个人数据汇集到数据平台中共享交易,才能最大限度地发挥个人数据的公共物品性质。尽管在制度设计上,或可通过行政行为附款的方式,在数据资源准入许可之上课以“数据共享”之负担②关于附款的概念、种类及其相应的适法条件,可参见陈敏 《行政法总论》,(台北)新学林出版社2011年版,第499页以下。,但从目前阶段来看,企业间的个人数据资源竞争在一定程度上激发了大数据发展初期的市场经济活力,若以命令式的行政手段要求企业共享数据资源,或将对商业活动的竞争性特点有所压制,似有不妥。因此,本文主张的“资源准入模式”虽然要求企业间任何个人数据的流转均需在统一的数据资源平台上进行,但并不强制企业对每次获取的个人数据均予以共享流通。即便如此,我们也应当看到,大数据红利本身就是企业参与数据共享、换取数据资源的内在驱动力,在此意义上,并无通过公权力强制企业共享其数据之必要。当然,通过激励性行政手段积极引导企业在深度与广度上扩大个人数据资源之共享,特别是在大数据发展期,仍有重大意义。另需指出,个人数据成为公共物品后,其共享方式应当多样化,在统一的数据资源平台内既可无偿共享,亦可有偿共享(如协议定价、拍卖定价、集合定价),还可对等交换。这是个人数据在适格企业范围内成为公共物品本身应有之意。

最后需指出,在我国的政策环境下,“资源准入模式”具有现实合理性。其一,我国人口规模、在线用户规模位居全球第一,拥有丰富的个人数据资源,因此,跳出片面强调个人数据保护的思维惯性,转而寻求兼顾利用的第三条道路,具有战略性意义。其二,我国隐私观与西方国家总体存在较大差别,而且人口众多,个体间的隐私偏好也不尽相同。因此,为能够作为公共物品流通的个人数据配套设计相应的个人数据保护模式,是发挥个人数据价值的高效途径。其三,设立个人数据资源准入制度有望实现。2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过的《中华人民共和国网络安全法》第21条与第25条,为所有在我国境内的“网络运营者”详细设定了“制定内部安全管理措施”“检测网络运行状态”“制定应急预案”“加密制度”等多项网络数据安全保护义务。这充分说明我国已具备“地毯式”整治数据安全保障问题的决心和能力。其四,大数据交易中心已经在北京、上海、浙江、贵阳等各大省市试点设立。数据交换、数据开放、协议定价、拍卖定价、集合定价等等多样化的数据共享交易方式已经成为现实。其五,2015年8月19日国务院颁发的《关于促进大数据发展的行动纲要》①参见《国务院关于印发促进大数据发展行动纲要的通知》,2015年 8月 31日,http://www.gov.cn/zhengce/content/2015-09/05/content_10137.htm,2017年6月5日。(以下简称《行动纲要》)对我国大数据共享交易平台的整治思路是统一、整合、系统化。不仅提出要在2018年底前建立中央层面的政府数据统一共享交换平台,还特别强调,应当“严格控制部门新建数据中心”,“促进区域性大数据基础设施的整合和数据资源的汇聚应用”。

(三)“资源准入模式”下政府规制手段之选择

上述“资源准入模式”的整体实现需要配套合适的政府监管手段,因此,有必要就行政手段之选择予以特别说明。为使政府能够对数据资源的准入资格与流转范围加以控制,实行个人数据收集与使用许可、数据采集登记与数据流转登记是一个较好的选择。前文已提及,个人数据在物质属性上具备可复用性,因此个人数据收集与使用许可可以是非排他性许可②在学理上,行政许可被区分为排他性许可和非排他性许可,前者指某个人或组织获得该许可后,其他个人或组织都不能再申请该项许可;后者是指可以为所有具备法定条件申请者申请、获得的许可。参见胡建淼《行政法学》(第四版),(北京)法律出版社2010年版,第264页。,只要企业在技术防范、风险预警等方面符合数据安全使用的要求,即可取得该许可。当然,根据企业间不同的数据安全保障能力,可以以行政附款的方式(期限、条件、负担)对数据收集与使用许可进行灵活调节。对于安全保障相当完备之企业可颁发长期许可;相对弱一些的企业予以短期许可,以督促其定期检查与完善数据安全保护措施。

数据流转登记着眼于数据的共享交易环节,其目的在于确保个人数据流转于具有数据安全保障能力的企业间。“行政登记”在我国行政法语境下是一个相当复杂的概念,此处的数据流转登记应兼具许可性登记与非许可性登记的性质。一方面,通过数据流转登记事先审查相关企业是否具有个人数据收集与使用许可,只有具备资源准入资格,该次数据流转才能进行;另一方面,确保政府相关机构、公民个人能够得知个人数据的流向,为事后监管与追责奠定基础。

个人数据流转登记需配套数据采集登记。前文已论及,并非所有被企业采集的个人数据均会流入共享交易环节,仅靠数据流转登记并不能反映个人数据的采集全貌。为使所有被采集的个人数据上所依附的变更、撤销、损害赔偿权都能够指向明确的责任者,同时也为了给进入数据流转登记的个人数据打上“来源标记”,我们主张每一笔个人数据的采集,不论该企业是否将之共享交易,均需登记。

在管制方式上,除上述传统监管措施外,也要注意新型行政手段的运用。例如通过创造财政支持、减免税、技术或资金扶持、市场优先准入等手段激励企业最大限度地共享其所持有的个人数据资源,对已经建立的数据安全机制予以强化和维持③其他新型管制手段,可参见朱新力、唐明良《现代行政活动方式的开发性研究》,载《中国法学》2007年第2期,第40-51页。;加强针对公民个人的道德规劝也能有效降低政府监管成本,有效触发社会监督的作用机制,倒逼企业恪守隐私保护规则。

四、我国的立法实践与建议

我国尚无统一的个人数据保护法,虽在民法、刑法等各部门法上有相关规定①例如2009年12月26日颁布的《中华人民共和国侵权责任法》第36条规定了网络侵权责任;2012年12月28日审议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》强调,未经本人同意,网络服务提供者和其他企业事业单位不得擅自收集、使用他人信息;2015年审议通过的《中华人民共和国刑法修正案(九)》加大了侵犯公民个人信息犯罪的打击力度;2017年3月15日第十二届全国人民代表大会第五次会议通过的《中华人民共和国民法总则》第109条对个人信息保护做了原则性规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”需特提及,原先2015年审议公布的《中华人民共和国民法总则(草案)》(以下简称“《民法总则》(一审稿)”)第 108条第2款第8项规定,民事主体依法对“数据信息”享有“知识产权”,最终通过的《中华人民共和国民法总则》删除了该项规定。该项修正值得赞同。因为“数据信息”的范围太过广泛,包括但不限于用户注册信息、身份数据和消费记录等等各类个人数据。《民法总则》(一审稿)第108条第2款第8项之规定,将导致企业针对个人数据的“知识产权”完全凌驾于公民的个人信息权之上,导致此类个人信息的权利人将不再是个人而是收集该个人信息的企业。,但这些规定数量庞大且零散,长期以来存在碎片化、原则化、难以执行等问题。令人欣喜的是,2016年11月7日通过的《中华人民共和国网络安全法》(以下简称《网络安全法》),对个人数据的采集、利用、传输等环节做了较为完备的规定。目前看来,该法将在较长时间内成为我国最重要的个人数据保护规定之一。

在个人数据的保护路径上,《网络安全法》采取了类似于德国法的人格权模式。其一,《网络安全法》第22条第3款第1句与第41条明确了初次收集个人数据时当事人“知情同意”的必要性,同时为个人数据的处理行为设定了“目的限定”原则②《网络安全法》第22条第3款第1句规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意”;第41条第1款规定:“网络运营者收集、使用个人信息,应当……明示收集、使用信息的目的、方式和范围,并经被收集者同意”;同条第2款规定:“网络运营者不得收集与其提供的服务无关的公民个人信息,不得违反……双方的约定收集、使用个人信息,并应当依照……与用户的约定,处理其保存的公民个人信息。”。其二,对于超越数据收集目的的处理行为,特别是若要将个人数据传输给第三方,应当征得被收集者同意(第42条第1款第1句)。其三,《网络安全法》第43条赋予了个人针对其个人信息的更正权、消除权③《网络安全法》第43条规定:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”。

尽管《网络安全法》采纳了人格权保护模式,但立法者兼顾大数据发展的意图十分明显。这主要体现在《网络安全法》第42条第1款中的“但书”规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”

由此可见,面对如何平衡个人数据保护与利用这一难题,立法者给出了这样一种解决方案:一方面,总体上给予个人数据以人格权模式的保护;另一方面,在个人数据的流动环节上做了调整,即在个人数据被永久破坏可识别性的情况下,通过立法的方式剔除个人数据上所依附的私权利(再转让无须当事人知情、同意)。

上述方案的最大问题在于,我们在讨论个人数据的利用与保护之间需要平衡这一话题时不能忽略一个最基本的前提,即该数据必须是“个人数据”。所谓个人数据,无论是在立法上还是在信息技术上,国际主流的定义是指能够“直接识别”或“经关联后识别”到特定个人的数据(此定义同时也为我国《网络安全法》第76条第5项所采纳)④《网络安全法》第76条第5项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于公民的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”。换言之,如果某数据既不能“直接识别”,也不能“经关联后识别”到特定个人,那么该数据也就不能被称为个人数据,同时也就不存在所谓平衡个人数据的保护与利用问题。

一种解释是立法者在撰写《网络安全法》第42条1款第2句中所谓“经过处理无法识别特定个人且不能复原的除外”时,与第76条第5项“个人信息”之定义相脱节,并未考虑个人信息“关联可识别性”这一情况。换言之,所谓“无法识别特定个人”,是指无法通过个人数据直接识别到个人。果真如此,那么《网络安全法》第42条1款第2句的规定,事实上为个人数据使用者今后非法交易看似碎片化、不具有“直接可识别性”而实际上具有“关联可识别性”的个人数据创设了一种法律上的隐身衣,不仅起不到保护公民个人隐私的作用,还可能从根本上架空公民在其个人数据上所依附的私权利。

另一种更为可能的解释是立法者考虑了“关联可识别性”的情况,条文中“且不能复原”之用语就是为了强调即便经关联后仍然无法识别到特定个人。若此为真,该类数据根本就不是“个人”数据,本来就不存在“因为隐私保护而需要限制流通”的问题。如果这种解释成立,那么《网络安全法》第42条第1款第2句实际上只是针对“非个人数据之流转不需要个人同意”这一显然的道理,做了提示性规定,并没有为“如何平衡个人数据利用与保护”难题提供实质性的解决方案。因为对于每次超越“个人数据”收集目的的流转与使用,依旧需要按照《网络安全法》第41条与第42条第1款第1句的规定,重新征得当事人的授权同意。

退一步说,如果个人数据得以高速流转的前提是要将该个人数据不可逆转地损毁一切可识别性,即去识别化到如此之程度,以至于该个人数据不再是“个人”之数据,那么即便该数据能够在制度内摆脱“知情同意”的框架高速流通,恐怕与原个人数据相比也无多大再开发价值。要真正发挥个人数据在大数据时代的利用价值,就应当从圈定个人数据的使用者范围、数据流转范围的角度保障个人数据安全,而不能为个人数据的高速流转附加信息技术上的“一刀切”限制。我们当然提倡在个人数据的流转过程中,尽量以加密手段去除该数据上的“直接可识别性”,但具体应当脱敏到什么程度、如何脱敏、是否确有必要脱敏、永久脱敏是否会破坏数据分析价值、需要原始数据还是数据清洗后的分析结果等问题,均需切合具体的数据分析语境来确定,这些关乎如何开发利用个人数据的高度复杂、多变的技术性问题并非法律能够事先“一揽子”解决。

事实上,2015年6月初次审议通过的《网络安全法(草案)》中不仅没有兼顾个人数据利用的直接规定,第36条第1款更是直接封死了个人数据共享交易的可能性:“网络运营者对其收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。”目前《网络安全法》第42条第1款“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”之规定,系于2016年6月审议通过的《网络安全法(草案二次审议稿)》中修改添加①《网络安全法》第42条第1款对应《网络安全法(草案二次审议稿)》第41条1款,在条文用语上删去了二次审议稿中“公民个人信息”的“公民”二字。。因而从立法时间与背景推断,《网络安全法》第42条第1款的规定很可能与我国从2015年4月开始在各大省市逐步试点设立大数据交易中心有关(全国首家经政府批准的大数据交易所于2015年4月在贵阳成立,此后,浙江、上海、北京等地相继设立)。

从上述背景考察,一种合理的推测是,《网络安全法》第42条第1款第2句是立法者为大数据交易中心量身打造的法律背书。因为我国最早设立的贵阳大数据交易中心能够为数据交易者提供数据清洗、建模等服务,换言之,加入数据共享交易的企业所获取的可能并不是个人数据本身,而是基于这些个人数据做出的分析结果。如果最终交易的只是该基于个人数据的分析结果,那自然可做到“经过处理无法识别特定个人且不能复原”。立法者或许正是想在此意义上为大数据交易实践做提示性规定。

但问题在于,其一,即便是大数据交易中心提供的数据分析服务,本质上也是针对个人数据的一种使用形式,或者说,本就是企业将其持有的个人数据与他人共享交易的一种方式,因此,根据《网络安全法》第42条第1款第2句规定,交易个人数据的分析结果不需要经过当事人同意,但该个人数据是否可用于该次数据分析,甚至该个人数据本身是否可以被提交到大数据交易中心,仍需受到《网络安全法》第41条“目的限定”规则的限制。换言之,如果该次数据分析本身并不包含在该数据收集目的之中,仍然需要重新征得被收集者同意。因而从体系解释的角度,《网络安全法》第42条第1款第2句仍然没有冲破人格权模式下的“知情同意”框架,失去了存在意义。其二,目前大数据交易实践中提供数据分析结果的情况仅是一部分(有据可查的只有贵阳大数据交易所),多数情况下,大数据交易标的仍是个人数据本身。例如上海大数据交易中心公布的数据交易规则,几乎全部围绕个人数据之交易展开,尽管要求个人数据进入流通前通过加密技术去除“直接的可识别性”,但至少该数据仍然是具备可识别性的个人数据。也正因如此,上海大数据交易中心才在其数据交易规则中强调,数据使用者不得对该个人数据进行“再识别”①参见http://www.chinadep.com/standard.html,2017年6月5日。。正如上文多次提及,对于这种纯粹的个人数据交易如何突破传统“知情同意”框架带来的低效困境,《网络安全法》第42条第1款并未给出答案。

综上所述,虽然我们对《网络安全法》正式生效后的个人数据保护效果拭目以待,但从兼顾个人数据利用的角度,第42条第1款似乎并没有为平衡个人数据利用与保护难题提供实质性的解决方案。我们强烈呼吁,由于我国目前仍处大数据发展期,大数据交易平台与交易规则的构建、确立仍在形成阶段,此间的个人数据保护立法或修法应相当慎重。这不仅仅是因为当今时代个人隐私观念的空前崛起,也因为如果存在不恰当的个人数据保护规定,会极大地牵制我国大数据发展,阻碍国家竞争力的提升。

尽管目前《网络安全法》的条文内容已经尘埃落定,但其中关乎个人数据保护的条款并不与本文主张的“资源准入模式”相冲突。并且,《网络安全法》中的个人数据保护规定主要针对“网络运营者”为了“提供网络服务”而收集、使用、交易个人数据的情形(《网络安全法》第 1条、第22条、第41条第2款、第76条第5项),对医疗、教育、银行、房产、物流、零售等行业中以提供线下、实体服务为主,但也大量收集、处理、交易个人信息的情况,以及公法领域涉及公民个人信息的多数情形,并不适用。因此,《网络安全法》虽在一定程度上扩充了我国目前的个人数据保护规定,但并不标志着我国已经具备完善的个人数据保护立法。顺应国际主流出台统一的个人数据保护法,并将我国境内采集、使用、交易个人数据之行为予以整体规制仍有必要。因此,我们同时期待我国未来出台统一的个人数据保护法,并如何平衡个人数据的利用与保护问题提供更为明确的解决方案。

囿于篇幅,下文仅结合本文主张的“资源准入模式”与《网络安全法》的相关规定,为我国今后的个人数据保护立法或修法提供方向性建议。

第一,明确将平衡个人数据的利用与保护作为立法宗旨,并以此为根基确立各项个人数据处理原则与具体制度。

第二,设立“个人数据采集与使用许可”,明确“个人数据使用者”的准入资格。前文提到,政府应对在我国境内使用个人数据的企业加以筛选,剔除不具备个人数据安全保障能力的企业获取或使用个人信息的可能性。目前,《网络安全法》并未就该准入资格做特别说明,仅从网络安全的角度为网络运营者设定了“数据分类和加密制度”“检测网络运行状态”“制定应急预案”“制定内部安全管理措施”等多项网络安全保护义务(第21与第25条)。对于不履行网络安全保障义务的网络运营者,《网络安全法》第59条第1款设置了责令改正、警告、罚款等行政处罚手段。

本文建议参照或依托《网络安全法》第21条与第25条的网络安全保障义务,设立“个人数据采集与使用许可”制度。对于新设立的网络运营者,应事先审查其是否具备个人数据安全保障能力;对于已经成立的网络运营者,应当主动证明其具备个人数据安全保障能力;对于不具备上述安全保障能力的,应当立即通过行政上或信息技术上的手段封锁、剥夺其在我国境内采集、使用、交易个人数据的资格。“个人数据采集与使用许可”可以根据《中华人民共和国行政许可法》第14、15条之规定,在《网络安全法》的下位行政法规中予以明确。如果我国未来出台统一的个人数据保护法,应当将个人数据采集与使用许可扩大到所有在我国境内采集、使用个人数据的企业(即包括但不限于网络运营者)。由于个人数据在物质属性上具备非竞争性的特点,政府不需要在许可数量或范围上加以限制,个人数据收集与使用许可可以是非排他性许可①周汉华教授起草的《中华人民共和国个人信息保护法(专家意见稿)》第35条第1款与第2款,特别提到了设立个人数据收集与使用许可制度:“其他个人信息处理者开进行个人信息收集之前,须向政府信息资源主管部门进行登记。以个人处理为主要业务或通过个人信息处理营利的公民、法人或其他组织,在开始进行个人信息收集之前,须经政府信息资源主管部门行政许可。”参见周汉华《〈中华人民共和国个人信息保护法(专家建议稿)〉及立法研究报告》,(北京)法律出版社2006年版,第 13页。。

第三,确立个人数据采集登记与流转登记制度,强化个人数据流转监管。对于个人数据的采集环节,《网络安全法》第22条第3款与第41条第1款明确规定了需要获取当事人的授权同意。但对个人数据的流转环节,仅在第42条第1款中要求网络运营者向他人提供个人数据时,应征得当事人明示同意,却没有对这个“他人”是否应当具备数据安全保障能力加以限定。本文建议在今后的个人数据保护立法或修法中应当参照或依托《网络安全法》第21条第3项关于“采取监测、记录网络运行状态、网络安全事件的技术措施”的规定,确立个人数据采集登记与流转登记制度。

第四,未来个人信息保护的制度设计与已经展开试点的大数据交易平台充分对接,并进一步明确个人数据使用者之间的数据共享交易均需在统一的大数据平台进行。统一的数据资源平台不仅是实现数据资源互联互通的基本保障,而且也是为了确保上述数据采集登记与流转登记制度的可行性与时效性,使信息能力较弱的个人即便在大数据时代也能清晰得知其个人数据之流向,为今后损害赔偿权之实现奠定追责基础。

第五,鼓励、引导个人数据以公共物品的形式在具备网络安全保障能力的“个人数据使用者”范围内流转。《网络安全法》第42条第1款“网络运营者……未经被收集者同意,不得向他人提供公民个人信息。但是,经过处理无法识别特定个人且不能复原的除外”之规定,并不与本文主张的公共物品规则相冲突。就42条第1款第1句的“知情同意”规则而言,前文已论及,个人数据作为公共物品流通之规则,本就可因双方约定予以排除,换言之,所有作为公共物品流通之个人数据均承载了当事人的自由意志;至于42条第1款第2句“无法识别特定个人且不能复原的除外”之规定,如上文所述只是提示性条款,与本文主张的公共物品规则更无对立可能。我们建议在今后的个人数据保护立法或修法中,明确通过“原则＋约定排除”的导向性规定鼓励、引导个人数据以公共物品的形式在具备网络安全保障能力(即取得“个人数据采集与使用许可”)的“个人数据使用者”范围内流转。成为公共物品后的个人数据可被任意适格企业以多样化的方式与目的共享、使用,无须就此再一一通知当事人征得同意。

第六,关于当事人对其个人数据的消除权与变更权。细读《网络安全法》第43条前半句规定,只有在公民发现网络运营者“违反法律、法规规定”或“违反双方约定”这两种情况下,才有消除权。为匹配本文主张的公共物品规则,建议在今后的立法或修法中有条件地赋予当事人“任意消除权”,即除法律法规另有规定外,允许当事人在没有正当事由的情况下仍可要求消除个人数据。这并不排除在所签订买卖、服务等私法合同之中,以违约责任(如返还商业优惠、取消会员资格)为消极后果对该任意消除权予以事实上限制的可能。关于变更权,第43条后半段规定,“发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正”。需指出,此处变更权之获取,不仅包括初次采集的个人数据不正确,还包括嗣后因时间推移造成个人信息变化这一情况。

第七,应为政府和企业设立不同的个人数据保护法规范。本文所探讨的主要是企业与个人关系中的个人数据保护问题,提出的资源准入模式也仅适用于私法领域。在平衡个人数据保护问题上,公法与私法情况不同,一是政府收集和利用个人数据并不受市场和消费者隐私偏好的限制;二是对政府收集、使用个人数据等行为加以限制并非仅仅出于隐私保护的考虑,即使当事人自愿出让、授权使用个人信息,政府基于公权力做出个人数据采集、使用、传输等行为,本身也要受到法律优先、法律保留、比例原则、合目的性等公法约束。公权力的天然属性决定了在个人数据保护问题上,公私法领域的个人数据保护应有不同的规范结构。

五、结 语

每一次人类的重大科技进步势必伴随着社会制度的相应调整,“资源准入模式”的提出是对信息时代发展的一种回应。在社会转型过程中,我们需要特别警惕过于激进的理念,不能认为隐私只是过时概念,是阻碍人类社会发展的绊脚石。大数据在经济发展中的巨大意义并不代表其能取代一切对社会问题的理性思考,科学发展的逻辑不能被湮没在海量数据中。只要大数据本身是人类的创造发明,它的存在就必须包含社会所珍视的各项价值理念。总之,我们应当在大数据发展进程中将隐私保护作为考量因素予以充分重视。

《网络安全法》的出台在一定程度上弥补了我国目前没有统一的个人数据保护法之缺憾,但对于如何平衡个人数据利用与保护的问题仍有待在今后的个人数据保护立法或修法中进一步明确。篇幅所限,本文不可能触及个人数据保护的方方面面,某种程度上说“资源准入模式”的提出仅具研究方向的意义,其完善与实现需要学界同仁更为深入的耕耘。

[1]Samuelson P.A.,″ PrivacyasIntellectualProperty?″ Stanford LawReview,Vol.52,No.5(2002),pp.1125-1173.

[2]梅夏英、刘明:《大数据时代下的个人信息范围界定》,《中国法学》2013年第 7期,第 25-40页。[Mei Xiaying&Liu Ming,″The Definition of Personal Information in the Era of Big Data,″China Legal Science,No.7(2013),pp.25-40.]

[3]Schwartz P.M.,″Property,Privacy,and Personal Data,″ Social Science Electronic Publishing,Vol.117,No.7(2004),pp.2056-2128.

[4]张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》2015年第 3期,第 38-59页。[Zhang Xinbao,″From Privacy to Personal Information:The Theory and Institutional Arrangement of Reevaluation of Interests,″China Legal Science,No.3(2015),pp.38-59.]

[5]Buchanan J.M.,″An Economic Theory of Clubs,″Economica,Vol.32,No.125(1965),pp.1-14.

[6]Barnes S.,″A Privacy Paradox:Social Networking in the United States,″ http://firstmonday.org/article/view/1394/1312_2,2017-12-10.

[7]Heilmann D.&Liegl T.,″Big Data und Datenschutz — Der Umgang der Deutschen mit per sö nlichen Daten und die Konsequenzen fü r den Einsatz von Big-Data-Analysen,″Handelsblatt Research Institute,2013,S.4-5.[Heilmann D.&Liegl T.,″Big Data and Data Protection:How Germans Deal with Personal Information and the Consequences of Using Big Data Analytics,″Handelsblatt Research Institute,2013,pp.4-5.]

[8]周汉华:《〈中华人民共和国个人信息保护法(专家建议稿)〉及立法研究报告》,北京:法律出版社,2006年。[Zhou Hanhua,Personal Information Protection Act(Experts on)and the Legislative Study,Beijing:Law Press·China,2006.]

[9]吴伟光:《大数据技术下个人数据信息私权保护论批判》,《政治与法律》2016年第 7期,第 116-132页。[Wu Weiguang,″Critical Reviews on Theory of Private Right Protection of Personal Data Information against the Background of Big-data Technology,″Political Science and Law,No.7(2016),pp.116-132.]

[10]崔建远:《公共物品与权利配置》,《法学杂志》2006年第 1期,第 39-42 页。[Cui Jianyuan,″Public Goods and the Disposition of Rights,″Law Science Magazine,No.1(2006),pp.39-42.]

[11]崔建远编:《合同法》,北京:法律出版社,2010年。[Cui Jianyuan(ed.),Contract Law,Beijing:Law Press·China,2010.]

[12]刘德良:《个人信息的财产权保护》,《法学研究》2007年第3期,第80-91 页。[Liu Deliang,″Property Right Protection of Personal Information,″Chinese Journal of Law,No.3(2007),pp.80-91.]

[13]王利明:《论个人信息权的法律保护》,《现代法学》2013年第 4期,第 62-72 页。[Wang Liming,″Legal Protection of Personal Information,″Modern Law Science,No.4(2013),pp.62-72.]

[14]姜福晓:《人格权财产化和财产权人格化理论困境的剖析与破解》,《法学家》2016年第 2期,第 15-26页。[Jiang Fuxiao,″The Analysis and Solution of the Personification of the Right of Personality and the Personality of the Property Right,″The Jurist,No.2(2016),pp.15-26.]