陈梓铭, 翟相娟

(华侨大学 法学院, 福建 泉州 362000)

围绕用户数据,在信息安全保护与数据开发利用之间显现出一种张力,如何化解两者间的矛盾成为理论层面争论不休、司法层面还未统一的问题。企业与用户间的信息纷争是基于信息生发出的利益之争,个人信息立法要解决的是信息利益的认定、归属和保护问题,在信息立法中运用利益衡量尤为必要[1]。然而,已有的研究成果缺乏运用层次化、制度化的利益衡量方法探讨个人信息立法问题,在为个人信息立法实践提供理论支撑的力度上难以令人满意,难以消解缓和现实中用户主体与企业主体的利益冲突[2-4]。

个人信息的利益属性显露于大数据时代,当下个人信息的立法任务,是在全新时代背景下为不同主体的利益需要进行明定、确认与协调的。本文所说的“利益衡量”是由梁上上教授提出的[5]。立法利益衡量的思路在于识别出制度保护的多层次的利益,通过制度的核心利益的明确来把握特定制度的目的与功能,基于不同的制度定位来平衡协调制度间利益。个人信息立法包括个人信息的保护立法与个人信息的利用立法,本文旨在为个人信息保护与利用的立法构建提供更优化的理论指导和建议。

一、 个人信息保护和利用既有规范梳理分析

1. 个人信息保护既有规范梳理与分析

从表1来看,现行规范已基本搭建起个人信息保护的立法框架。具体表现为以下3个方面:①明确规定用户的信息法益,肯认用户享有某种形式的信息处理权限;②设置合法性要件,对企业的信息收集和使用行为进行规范;③对违背信息保管义务的企业、信息主管部门及其人员课以法律责任。《个人信息保护法》已列入十三届全国人大常委会立法规划,《信息安全技术个人信息安全规范(草案)》亦通过了征求意见阶段,综合性的个人信息保护立法和技术标准也有望出台。现实条件的具备和政治共识的达成使个人信息的立法呼之欲出,现行法面临的问题不在于规范供给的缺乏,而在于规范的分散和杂乱。未来的个人信息保护立法的任务是在现有规范的基础上扬弃和整合,提供一套比现行法更优的保护方案。

2. 个人信息利用既有规范梳理分析

与个人信息保护立法工作的迅速推进形成鲜明对比的是企业个人信息利用立法供给远未达到预期。表2显示的规范对于数据利益的保护仅表现为一种概括性、宣示性的保护,细化与落实的规范十分匮乏,我国《刑法》(2017年)中虽规定了非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、破坏计算机信息系统罪,但保护的范围过于狭窄,且立法目的是保护计算机系统安全,并未对数据安全进行针对性保护。现实中,企业数据纠纷开始涌现,但由于缺乏针对性的法律规范,在司法情境下难以找到消解利益冲突的法律解决手段。或是通过知识产权路径,或是通过反不正当竞争法寻求救济,但此二种方法都难言理想。因此,企业的数据利益需要制订更多的规范加以保护。

表1 个人信息保护制度既有规范

表2 个人信息利用既有规范

经过梳理与分析,可以发现:当下的个人信息保护的制度构建难点在于如何统合现有个人信息保护的分散规范,从有到优确立一条个人信息保护的科学路径。而个人信息利用的制度构建难点在于转变重用户信息保护轻企业数据利用的观念、从无到有实现数据财产的确权保护、探索数据权利救济体系和救济途径。

二、 个人信息保护和利用两大制度利益的分析与识别

分析识别两大信息制度下的利益层次及其具体内容,是进行利益协调的前提。分析识别分为两步:①分析个人信息保护与利用的两大制度;②识别利益层次并明确制度核心利益的内涵。

1. 制度利益的层次分析

利益具有层次结构,具体衡量过程由以下4个层次展开:个体利益、群体利益、制度利益和社会公共利益[6]。①个体利益。个人信息立法中需要考察的个体利益为典型性的个体利益,由于立法具有普遍性和抽象性,在立法时虽需要考虑特定个人的利益需求,但往往典型社会现象或者典型案例中反映的个体利益才具有考量价值;②群体利益。群体利益是在识别出典型个体利益的基础上归纳得出的制度利益层次;③制度利益是特定制度所调整、确认和保护的利益,是在法律制度构建过程中通过规范固定多种利益来确定的制度利益;④社会公共利益是不特定多数主体享有的利益。制度立法构建阶段识别的社会公共利益和制度利益具有同构性,法律制度构建的过程就是制度利益通过规范形式确定社会公共利益在内的多层次利益的过程,制度构建完成后制度利益就确定下来并体现在法律适用的过程中。基于以上利益层次结构考量,在个人信息保护和利用制度构建中,应识别出的利益的4个层次结构应当是:典型性的个体利益、整合后的群体利益、待被转化为制度利益的社会公共利益和固定了多层次利益的制度利益。在利益的层次结构中,制度利益的识别是利益衡量的目的和核心,其他层次的利益,作为识别出制度利益的手段而存在。多层次的利益只有最终协调于制度利益之下,制度运行才能取得良好的效果。

2. 个人信息保护制度的利益识别

明确个人信息保护制度下的利益层次结构,才能识别出个人信息保护的制度利益。在个人信息保护制度设计的过程中,典型性个体利益不仅包括与隐私权类似的消极防御的利益,还包括可以积极主张的利益,如安宁权、知情权、信息保密权,等等。社会公共利益既包括对人格尊严和人格自由的保障,又包括对数据这一社会共享的要素的流通需要的满足。制度利益具有兼容性,是为民法法律体系接纳的、作为人格权权利体系组成成分的、与其他人格权利制度相协调的利益。为确保个人信息保护制度利益的正当性,关照社会公共利益是这种利益的应有之义。基于以上个人信息保护制度利益层次结构的明确,本文认为,当下的个人信息保护的制度利益是用户的信息安全利益。现有的相关研究,包括按知情同意原则保护个人信息、赋予个人信息自决权、将个人信息权认定为具体人格权的赋权式安排的观点。上述研究思路都是为了实现用户信息安全利益保护的目的,基于对该种利益的不同理解展开进一步的论证[7]。个人信息保护制度的核心利益是主体信息安全利益,但是选择哪一种路径进行保护,是否应当进行上述赋权式安排?本文认为受保护的制度利益应当与现有法律体系、权利体系相容,与特定的社会公共利益相协调。因此,不主张个人对其信息的控制有支配权利。

3. 个人信息利用制度的利益识别

个人信息利用制度的利益分析的前提仍在于明确利益结构层次:该制度下的个体利益应当是数据企业的数据商业利用权益;待被法定化的群体利益是大数据产业的利益;社会公共利益则是促进信息自由、信息流通的需要并适当呼应信息主体的信息安全需要的利益;兼容性的制度利益是与当下民法、反不正当竞争法、反垄断法和知识产权保护法等部门法中与企业数据保护的规定相协调的利益,并且这种利益应当以打破信息壁垒为目标,在鼓励信息产业自由竞争、维持竞争秩序的同时防止数据垄断。

确保信息自由流通是个人信息利用制度的目标。基于此目标定位,企业的数据财产权益应当成为个人信息利用制度的核心利益。推动大数据产业发展的任务无法通过单个自然人实现,只有将维护企业的数据权益作为个人信息利用制度的制度利益,数据企业才有发展大数据技术、开发大数据资源的积极性,才能实现信息的自由流通。根据中国信息通信研究院的《中国大数据发展调查报告》(2018年),大部分受访数据企业预计未来将加大大数据投入力度,大数据投入增加超过50%的企业占比达到25.5%,企业已成为促进大数据产业蓬勃发展的主要力量[8]。借个人信息利用制度实现对企业财产利益的保护的时机,继而实现信息的自由流通,并且企业能够通过大数据技术发展和资源获取建立起竞争优势,信息主体也能享受到更为便利的商品和服务。因此,当下个人信息利用的制度利益是企业的数据财产利益。经上述分析与识别,个人信息保护制度和个人信息利用制度的核心制度利益分别为信息安全利益和数据财产利益。在明确制度利益的基础上,有必要通过进一步的利益协调,为从有到优的个人信息保护与从无到有的个人信息利用提供立法保护。

三、 个人信息保护与利用两大制度利益的协调与保护

如何对两大制度利益进行协调并予以提供保护?本文认为应当从制度层面对两利益进行协调保护。本文以华为与腾讯两大数据巨头就用户数据获取、使用过程中发生的争执为例进行探讨。华为荣耀与微信的用户数据之争事件涉及以华为荣耀、微信为代表的数据企业主体与手机用户群体。2016年12月16日,华为推出智能手机荣耀magic,该手机提供的系统服务自动对腾讯的产品微信中的用户聊天内容信息进行收集、利用、分析并自动加载相关信息,由此在用户使用手机接受其服务时进行反馈。华为的目的在于运用人工智能技术为用户提供手机系统服务。然而,在是否向华为放开用户信息接口的问题上,腾讯持否定态度,双方对微信中用户数据及其权利的使用权限及归属事宜产生了争议。

围绕用户使用智能手机过程中产生的数据信息, 基于对个人信息隐私安全的担忧, 手机用户向数据企业提出了享有其数据权利的主张。 因用户数据存在潜在的巨大商业利益, 对数据具有实际控制技术手段的数据企业与对数据不具有实际控制技术手段的数据企业, 在数据的归属与利用问题上产生了利益冲突。 围绕用户数据,存在三大利益相关方: 手机用户、对数据具有实际控制力的数据企业与对数据不具有实际控制力但具有商业利用需求的企业。 三大主体围绕个人信息产生了两大利益冲突: ①手机用户与两大数据企业: 个人信息安全与个人信息商业性利用的利益之争; ②数据企业间: 商业性利用同一信息的利益之争。

1. 个人与数据企业信息利益冲突中利益的协调与保护

为消解信息安全与信息商业性利用的利益冲突,需要协调两大制度下的主体利益需求。个人的信息安全利益本质上是一种不被信息技术打扰的消极利益,企业的数据财产利益本质上是强调对信息数据充分利用的积极利益。用户与两类数据企业间的利益冲突可通过以可识别性为核心的合法性要件设置消解。保护信息安全利益,在于对用户个人安定和秩序需要的保护,其目的在于保障用户个人不受日益发达的信息技术的侵扰,保有人格尊严和自由。因此,如果能实现信息的去识别化,那么用户信息安全利益的保护需要即已得到满足。如张勇教授所说,应当通过去识别化的运用,防止个人信息在未经信息主体授权的情况下被擅自公开传播或运用于商业活动,并因此造成对个人合法权益的严重危害[9]。因此,不宜通过赋权路径,而是按照以下路径建构个人信息保护制度:设置信息收集的前置要件,选择以可识别性要素为核心的合法性要件作为保护个人信息安全利益的根本依据。

从兼顾两大利益主体需要的视角出发,应当以去识别化为核心消解个人信息保护与利用冲突。去识别化技术虽然面临难以实现真正匿名化的质疑,但却更吻合两大利益(信息安全利益和数据财产利益)的利益属性与本质要求,故仍然应当肯定并发挥去识别化在个人信息保护与利用立法中的关键作用。对于去识别化的质疑及由此可能导致的技术风险,在另一文章中已有回应:对于企业的信息收集获取行为,可以通过规定去识别化的前置条件进行约束,对于信息收集后的信息使用行为,可以通过对数据资产控制者施加管理义务及管控后续的再识别行为进行规范。但是一项科学、合理的法律制度,在各种技术手段不断更新的现代社会面前,仍然无法完全消除个人信息利益遭受侵害的可能[10]。法律只能通过制度与技术的完善与探索,不断趋近信息利益保护的更优结果。

经上述分析,为消解用户个人与数据企业的信息利益冲突,对用户个人信息安全利益的保护思路应当是“非赋权式”的。即要求数据企业在个人信息收集中,对信息进行去识别化处理,在合法收集基础上,管控企业对数据信息的后续使用管理行为;在信息的全过程流通与利用中,实现信息内容与信息主体的“脱离”(如用户同意被识别,则不受去识别的限制)。

2. 数据企业间信息利益冲突中利益的协调与保护

经由分析证明无需通过赋权路径保护个人信息安全后,需进一步消解数据企业间商业利用同一渠道的用户数据的利益冲突。微信与华为荣耀的数据之争折射数据企业围绕用户数据产生的争议是:对数据不具有实际控制力但具有商业利用需求的企业(华为荣耀)是否能利用已被其他企业(微信)控制的用户数据,且利用的正当性来源于何处?

个人信息利用制度为企业的数据财产利益提供保护, 应当以实现信息的充分利用为基础。 大数据时代的个人信息是一种资源, 也有学者将其认为是一种智力成果[11]。 但这一资源如果不通过技术积累和投入, 难以达到规模化效应。 当数据资源是一种无主物时,人人都可以主张对其占有支配; 当将数据资源归属于用户个体时, 能够使个人对数据进行占有支配, 但是以上两种方式都是低效率的。个体缺少技术积累与技术投入, 在使用的手段上低效率, 同时,个体无法对其进行排他性支配, 缺少意愿发挥其最大化效用。为应对数据资源使用的低效率困境, 一方面用户数据的商业利益应当得到充分利用; 另一方面,还应当保护数据资源开发主体的商业利益。基于此,由于数据企业具备技术处理能力和信息规模化收集渠道, 能使数据资源得到高效利用, 并且不同数据企业利用同一数据资源具有正当性; 同时,由于数据企业前期大量的技术与成本投入, 应当允许其享有特定的数据资源商业利益。对于经过处理和加工的数据资源, 不再适宜作为社会公共物品。 只有认可这一类数据的“私产”属性,允许数据企业进行排他性利用, 才能使数据资源的效用发挥最大化。 经分析,为消解数据企业间的信息财产利益冲突, 应当分阶段协调保护企业的数据财产利益: ①在数据收集阶段, 数据企业收集获取用户数据具有正当性; ②在数据利用及流通阶段, 只有对用户数据进行了处理及加工, 数据企业才能对抗另一数据企业, 对特定数据进行排他性利用。

四、 个人信息保护与利用的立法完善

为消解缓和个人信息立法中的利益冲突,针对现行个人信息保护和利用亟待破解的立法难题,本文从利益衡量的视角切入,以去识别化为核心,提出两方面的完善建议。

1. 个人信息保护立法完善建议

在个人信息保护制度构建中,应当以用户的信息安全利益保护为核心,兼顾数据利益保护。

(1) 重新定义个人信息概念。摒弃《网络安全法》(2017年)中对个人信息的定义,结合《信息安全技术:个人信息安全规范》(2018年)第3.1款的定义、第3.13款匿名化的规定对个人信息进行再界定,明确个人信息保护制度所保护的利益客体。这个利益客体是:以电子或者其他方式记录的能够单独或者与其他信息结合,并能识别特定自然人身份或者反映特定自然人活动情况的各种信息;但经过去识别化处理,无法识别出信息主体且无法通过再识别复原的信息除外。

(2) 将规制重点转向信息流通与利用阶段。在信息收集阶段规制企业数据行为时,设置以去识别化为核心的合法性要件、规范企业的信息收集行为,重点管控信息流通与利用阶段企业的信息行为。

(3) 不再赋予用户的知情同意权。原则上不再赋予用户对信息收集的知情同意权,企业的信息收集只有在下面情形中才需要取得用户的事先授权同意,即企业需要收集个人信息并在利用流通过程中保持信息的可识别性。

2. 个人信息利用立法完善建议

在个人信息利用制度构建中,应当以企业的数据财产利益保护为核心,兼顾信息安全保护。当下在有关个人信息保护和利用的立法规划中,已列入本届立法规划的法律草案并未体现企业数据财产权益,故个人信息立法层面应当逐步重视强化保护企业的数据财产利益。

(1) 短期的立法呼吁。一是应当在以《个人信息保护法》为代表的信息保护制度立法中肯认数据企业的利益需求,二是在个人信息立法中不仅需列举个人信息的权利表现形式,还应当明确个人信息权的边界。

(2) 长期的立法展望。从个人信息立法中确立企业数据权利保护及救济的专有路径。具体而言,信息利用制度的构建思路应当分阶段展开:在信息收集阶段,在设置企业去识别化义务的基础上肯定企业数据收集行为的正当性;在信息流通与利用阶段,在管控企业对数据信息的后续使用管理行为的基础上,肯定企业的数据财产利益,允许数据企业在合法收集、处理和加工个人信息后,对这一数据财产进行排他性利用。

五、 结 语

从本质上看,公民的信息利益是安全利益、消极利益、人格利益,企业的信息利益是数据利益、积极利益、财产利益。保护公民信息利益就是在个人信息保护制度下保护公民的信息安全利益,保护企业信息利益就是在个人信息利用制度下保护企业的数据财产利益。现行立法尚未兼顾信息保护与信息利用的双重利益需要。为实现对信息安全利益更有效的保护,应当对个人信息的界定问题、信息收集的合法性要件设置问题及用户的知情同意权利权限问题作出规定;为实现对数据财产利益更有效的保护,应当逐步重视强化保护企业的数据财产利益。