个人数据处理中权益的冲突与和解
2022-11-22余筱兰
余筱兰
[提要]个人数据处理牵涉诸多利益攸关者,引发权益冲突。提出一种有效的逻辑思维实现冲突和解是本文的目的。通过类型化表达分析个人数据权益冲突是本文研究的一种方法。利益上升为权利,获得法律的强制力保护。个人数据权益冲突发轫于其使用价值,有严密的内在形成机理,又表现出多种样态。通过利益衡量方法论的指引选择正义论作为本文推导出“利益——权利”逻辑思维和解路径的理论基础,并在此基础之上,提出不同的个人信息权利观、数据财产权利观,形成个人信息权、数据财产权、数据合理使用、公共利益等多角度思维模式架构,是对现有研究成果的一种发展和创新。
在2021年,我国先后实施了《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,二者立脚点不同,《数据安全法》立足于数据安全,焦点在公共利益,《个人信息保护法》立足于个人信息保护,焦点在私权保护。本文主要结合《个人信息保护法》对个人数据处理中的权益冲突进行理论研究。个人数据处理已经成为大数据平台必不可少的行为。个人数据处理牵涉诸多利益主体,其涉及的利益攸关者有个人、企业、事业单位、政府机构等。个人数据处理过程中不同主体的利益或重合或冲突,例如对数据权利归属的争执,对个人信息权益的侵犯,对公共利益的侵犯等等。在法学上,本文认为个人数据也叫个人信息,①是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。处理个人数据的方式包括收集、存储、使用、加工、传输、提供、公开、删除等。②大数据时代,个人数据被广泛处理,无论是工作需要还是生活需要,与人们有关的个人数据都在被收集、存储、使用等,例如某学校为了统计本校教职工信息而收集个人数据;某网络平台为了分析消费者购物偏好而收集消费者个人数据并进行大数据分析,等等。在诸如此类的个人数据处理中产生诸多的权益纠纷。
一、个人数据权益冲突的成因分析
(一)个人数据价值导致权益冲突
权益冲突的实质是价值冲突。价值是一种主观认识,是主体对客体的需求。[1]同一客体,因为主体的认识不同,而体现出不同的价值。如,同一件衣服,有的人看重它的保暖价值,有的人看重它的美观价值。价值附着于权益之上,价值冲突外在表征为权益冲突。个人数据权益冲突的实质是个人数据价值冲突。
个人数据是指能够识别自然人特征或联合其他数据能够识别自然人特征的数据。个人数据蕴含着丰富的潜在价值,已成为核心资源、 数据平台的依托性资源、大数据分析不可或缺的基础性资源,成为数字经济发展的支撑。数据已成为核心谋生手段。控制了更多的数据,便掌握了更多的无形资产、更多的财富。数据是信息社会的一种特殊资源,是与物质、能源并列的基础性资源,但数据的获得与物质和能源的获得所依赖的工具不同,它依赖互联网、存储、传输、接收和利用。[2]早在2014年,习近平总书记就在中央网络安全和信息化领导小组第一次会议上指出,大数据等信息资源日益成为重要的生产要素和社会财富。③通过数据平台的应用,人们的生产和生活成本大大降低;通过数据分析,利用数据与实体经济的融合,促进实体经济发展,形成新的经济增长点,已成为近五年来我国拉动经济增长的新引擎。个人数据的使用价值被充分挖掘,创造财富。
大数据时代是信息社会的高级阶段。信息社会是人类在继农业社会、工业社会之后的第三次社会变革,而大数据、人工智能的应用是信息社会经历信息化和互联网之后的又一次信息革命,是人类在经历蒸汽机和电力两次工业革命之后的第三次革命,可以称为信息革命。[3](P.13-25)从“信息成为社会资源”到“数据成为社会资源”,反映的均是信息社会中一种新型的财富的出现,数据成为财富。数据通过互联网平台创造巨大利润,包括以广告形式获得巨大收益。无论是“信息”还是“数据”,在大数据时代,从财富形式的角度看,其区分的意义不大。尽管从情报学的角度分析,数据和信息是不同的概念。数据是一种原始的记录,本身不具有任何意义,而信息是对数据进行加工后的描述,是“相互关联的数据”。随着大数据概念的提出,数据已经不仅仅是指一种记录,它不仅仅是数字,还包括文字、图片、影像等。从法学保护角度,“信息”与“数据”的概念几乎可以互换。世界主要国家或地区的数据保护立法,均没有在“信息”与“数据”的概念上过于纠缠。 在信息社会的高级阶段,即大数据应用成为信息开发和利用的主要手段的阶段,用“数据”取代“信息”来描述新型的财富形式,更符合时代特征。用数据创造财富价值,实现经济增长是未来经济发展的核心。
数据由于有巨大价值,导致数据主体为了控制更多的数据、掌握更多的财富、实现更多的权益而展开数据大战。数据大战的本质是数据权益冲突导致的数据权益争夺。数据权益冲突的实质是数据价值的冲突。
(二) 数据增值是数据权益冲突的逻辑起点
数据的价值不是一成不变的,它会因为数据流通而产生增值。数据增值是数据权益冲突的逻辑起点。数据增值过程是一个复杂的数据价值挖掘过程。数据价值需要挖掘才能呈现,数据价值挖掘是一个复杂的数据进化过程,依次经历数据生成、数据收集、数据存储、数据分析、数据利用诸多程序。此过程被称为数据流通的过程。数据价值挖掘以数据流通产生数据使用价值、逐步实现数据增值为前提。数据流通过程依数据价值挖掘的逻辑进程可被分为四个递进层次:第一层是数据生成,此为最基础层。数据生成是指产生数据的自然人主动或应邀提供个人数据到特定介质上,是数据流通的驱动,是数据从业者挖掘数据价值的驱动机制,包括经济驱动(即获取数据营利价值)和社会驱动(即获取数据的社会服务价值)。第二层,数据分析层。数据被收集并传输到特定数据存储系统,经过技术处理过滤掉冗余的数据,挖掘有价值的数据,形成信息。第三层,数据使用层。在数据使用过程中,数据的内涵价值被充分挖掘,数据或具有营利性价值或具有公益性价值。数据的内涵价值催生数据的价值增值驱动机制,个人数据通过实现营利可带动数据经济发展,可为社会公共服务提供便利,从而实现经济增长的创新以及社会服务的便利,被称为经济驱动机制和效率提升机制。第四层,在第三层的作用下,个人数据的使用价值完成最终的使命,实现了外部价值或终局价值,具体可以表述为经济价值增值、社会价值提升和政治价值实现。个人数据使用在实现经济增长、服务社会以及帮助国家宏观决策方面均发挥着重要的使用价值。数据经过四个层次的内部流通之后,其使用价值被充分挖掘,实现数据增值。
数据在流通过程中会牵涉到多个权益主体,包括数据生成主体、数据价值挖掘主体(数据从业者)、数据利用主体。数据生成主体,因数据来源于其自身,固然对数据有权益;数据从业者,通过大量的投入旨在获取数据价值,根据劳动报酬理论,他们对数据当然有权益;数据利用主体,为了经济价值、社会价值或政治价值而使用数据,外在表征为对经济利益、社会利益或政治利益的诉求。数据价值是各利益主体的共同利益追求,数据增值激发权益冲突,数据流通的四个层次是实现数据增值的内部机理,是数据权益冲突形成的内部逻辑。
二、个人数据处理中权益冲突的类型化表达
对数据权益冲突进行类型化表达,有利于针对性地探索和解冲突的路径。首先表达为多元的数据利益攸关者。与数据利益有关、对数据增值产生影响的主体是数据利益攸关者。主体是权利的享有者,是自然人、法人、非法人组织。主体之间因为利益碰撞而产生冲突。[4]其次类型表达为丰富的利益内容。根据人格诉求与财产诉求对象的不同,利益可被分为精神利益和物质利益;根据是否符合法律法规,利益可被分为合法利益和非法利益;根据是否符合公序良俗,利益可被分为符合社会道德标准的利益以及不符合社会道德标准的利益。利益内容的丰富性决定了利益交叉时发生冲突的必然性。冲突是“有关价值、对稀有地位的要求、权力和资源的斗争……” 的一种对斥状态。[5]人们奋斗所争取的一切都和他们的利益有关。利益是主体希望得到的精神或物质上的需求。利益冲突的产生源于这种需求的不能满足。
(一)多元的数据利益攸关者
利益攸关者本是企业管理学上的概念,是指对企业的发展有影响的个人、组织。数据利益攸关者概念的提出是利益攸关者概念在大数据时代的扩展。根据数据流通所经历的环节分,数据利益攸关者可归为三大类:数据生产者、数据收集者和数据使用者。数据生产者是指将其自身基础数据转化为信息或者大数据的自然人;数据收集者是指以收集和传递数据为营利模式的数据企业,如网络数据服务提供商,他们是数据生产者和数据使用者连接的纽带;数据使用者也被称为数据用户,处在个人数据使用的终端,是充分挖掘个人数据使用价值,实现其目的的个人、法人或非法人组织,也可能是国家。值得注意的是,在个人数据上还有一类贯穿数据流通始终的主体,便是数据监管者,具体又可以分为数据企业内部的监管机构和政府的监管部门。此外,从数据来源分类,数据利益攸关者可被分为数据源主体和数据控制者。[6]数据源主体是指能够提供个人数据来源的原始主体,是自然人;数据控制者,是对个人数据使用起到控制作用的主体,是指数据企业,如网络服务商,数据经纪人。数据源主体对数据拥有隐私利益等人格利益以及财产利益等物质利益。数据控制者对数据拥有的主要是经济利益。
多元的数据利益攸关者之间冲突产生的样态也呈现多元化。第一,自然人数据源主体与数据控制者之间人格权益与财产权益冲突。数据控制者挖掘数据价值旨在追求数据的经济价值或社会价值,在对数据产品进行营利交易时,可能面临侵犯数据源主体人格权益的危险,例如,数据未作匿名处理而泄露数据源主体的个人隐私。第二,数据控制者与数据用户之间的利益冲突。数据控制者以营利为目的挖掘数据价值,这种营利既有商业利益之财产利益也有市场声誉之精神利益。数据用户是数据流通的终端主体。数据控制者对数据的诉求主要表现为财产权益,数据用户对数据使用存在财产权益诉求,二者如在财产权益分配中分配不均或授权不明,会对数据产生财产权益冲突;同时,数据用户追求的财产权益与数据控制者的数据服务声誉类精神利益之间会因为数据用户对数据企业服务不满意而降低对其服务声誉的评价,从而在数据用户和数据控制者之间因财产权益不能满足和服务声誉评价诉求不能协调而产生冲突。第三,数据源主体与数据用户之间的权益冲突。数据源主体对其自身数据是否允许被他人使用有自决权,这是宪法保障私权的精神和民事权益的基本要求。个人数据的商业价值被数据用户利用,是数据自由流通的要求。由此,在数据源主体和数据用户之间便产生了权益交叉。同为自然人的数据源主体和数据用户,在数据上均存在人格权益,具体表现为数据源主体的个人信息保护诉求和数据用户对数据满足认知需求的精神利益诉求;二者之间在数据商业价值追求方面可能会产生财产权益冲突。第四,数据源主体、数据控制者、数据用户尽管内部会有各自的权益诉求,但他们共同地与数据监督主体之间因为权益诉求不同会产生冲突。 数据源主体、数据控制者和数据用户是私人主体,多追求个人利益,包括人格利益和财产利益,它与数据监督主体追求的公共利益会形成冲突;同时,数据使用中被监管者对数据财产利益的追求与数据监管者期待的社会认可度诉求之间会产生财产权益与精神权益冲突。
(二)丰富的权益内容
数据权益内容,是指数据权益的内涵形态。个人数据权益冲突从内容上体现为个人利益与公共利益的冲突,合法利益与非法利益的冲突,人格权益与财产权益的冲突。
1.个人利益与公共利益冲突。从公私利益角度分析,个人数据上会涉及个人利益与公共利益的冲突。个人利益是指民事主体(包括自然人、法人、非法人组织)追求的私人利益,如自然人的人格利益、企业的财产利益;公共利益,尽管是一个模糊的概念,但它代表着特定结构的社会总体应追求的利益,如全民追求的绿色环保利益;又如作为自然人的数据主体对其自身数据有隐私权和信息控制权,但国家为了疫情防控需要而要求必要的个人数据公开,公布感染病毒的自然人的信息,这在实践上被称为人格保护与数据自由的冲突。数据保护,要求实现个人利益与公共利益的平衡。数据利益冲突在此视角下表现为私权利保障与公权力行使的冲突。就数据上的私权而言,其表现为权利主体对其人格利益和财产利益的合法诉求。数据不仅仅产生人格利益,也产生财产利益,作为私权保护的内容,其边界是公共利益,这是公权力行使的最大外围。这种冲突表现为用户与政府主管部门为了服务社会而占用用户数据;[7]数据企业接受政府主管部门的监管实质上是公权力的行使与私权利的保护的交叉。数据源主体与数据控制者因为各自的私人利益可能与代表国家和社会的公共利益发生碰撞:私权主体合法人格利益和财产利益诉求与公共利益的边界如何确定,是个人数据权益冲突的重要凸显。
2.合法利益与非法利益的冲突。从利益诉求是否合法的角度分析,个人数据使用会涉及合法利益和非法利益的冲突。合法利益是指符合一个国家法律规范的利益,非法利益是指违反国家法律规范的利益。如数据交易实务中,合法的数据交易与非法数据交易同时存在,且合法的数据交易比例远远低于非法数据交易比例。个人数据使用的一种方式便是数据交易,经过数据企业合法程序处理过的个人数据可被用来交易,但现实中也存在大量的非法买卖个人数据的案例,个人数据交易的合法利益诉求与非法利益谋取同时存在,也成为个人数据使用中的一对尖锐矛盾。据贵阳大数据交易所执行总裁王叁寿估算,合法数据交易额与非法数据交易额相比,只占市场份额的百分之一。④我国大数据交易所发展步履维艰,遭受着非法数据交易市场的严重侵蚀,这种合法数据利益与非法数据利益之间的矛盾是当下个人数据权益保护亟待解决的一对尖锐矛盾。非法买卖个人数据现象并非个案。在我国目前立法上尚未放开个人数据买卖,仅仅是允许对经过合法途径取得并匿名处理后加工的数据进行交易。
3.多重人格权益与财产权益的冲突。在个人数据使用过程中,人格权益是指基于人格尊严和人格自由而享有的诉求。个人数据上体现数据源主体的个人信息特征,在私法上表现为主体的人格权益。[8]人格权益受保护是宪法的要求,也是民法的要求。个人数据使用中,数据源主体的人格权益是其作为人享有人格尊严和人格自由的基本价值要求。个人数据使用中,法人和非法人组织作为数据收集者或数据使用者存在。法人、非法人组织,根据传统人格权理论,不享有一般人格权,只享有三项具体人格权,即名称权、荣誉权和名誉权。鉴于现有民法学理论并未规定有关数据的具体人格权,从理论上推理,法人,非法人组织作为数据控制者对数据处理活动所带来的社会评价享有获得精神评价的人格权益以及基于劳动报酬理论享有财产权益。 数据财产权益是指数据主体因使用数据而应获得的经济收益。无论是自然人还是法人、非法人组织,均因数据增值实现商业价值而享有财产权益。数据上人格权益与财产权益发生冲突源于人格尊严保护与财产权益追求同时存在。数据收集者和使用者将汇聚的数据作为商业资源,追求利润最大化,在此追求下的财产权益存在侵犯自然人人格权益的风险,如诸多倒卖个人信息的案例便是此理论的现象化。
三、 利益衡量评判标尺下的和解理论选择
权益冲突的和解,需要一种方法论指引,在传统法学方法论中,利益衡量方法论是法官作出裁判时依托的重要理论。利益衡量方法论最早应用在法官裁判中。然而,本文认为利益衡量方法论对冲突和解的指导功能不仅是在法官裁判中,还可被应用到立法领域。在探索个人数据权益冲突的和解路径时,本文选择了利益衡量方法论的指引,基于以下思考。
(一)挖掘利益衡量方法论的立法应用功能
利益衡量方法论起源于对19世纪欧洲对概念法学的批判。概念法学由于独尊成文法,强调严格遵循立法的文义解释和体系解释,排斥逻辑推理和自由裁量,很难适应19世纪后期欧洲经济和社会生活发展的需要。首先提出对概念法学批判的是目的法学派的创始人德国法学家耶林(Rudolph von Jhering),他认为“目的是法律的创造者”⑤,遗憾的是他没有系统深入地论证这个观点。以Philip Heck 为代表的民法学家创立了利益法学(the jurisprudence of interests),系统地解释了“目的是法律的创造者”这一观点,并形成了完整的体系。Heck 认为,生活利益决定法律,法律是对生活条件的回应。同时,Heck 提出了“利益冲突理论”,该理论认为,法律是建立在各种相互冲突的利益之上的,法律只选择保护需要优先保护的利益。19世纪德国的利益法学对美国产生了深远影响。19世纪末20世纪初美国利益法学得到发展,出现了罗斯科·庞德(Roscoe Pound)为代表的利益法学派法学家。[9]庞德继承了耶林的利益学说,并把利益分为个人利益、公共利益和社会利益,并认为不同利益之间需要进行利益衡量。到了20世纪60年代,加藤一郎和星野英一Ichiro Kato and Yingyi Xingano 将利益衡量理论从美国介绍到了日本,创立了日本的利益衡量理论。[10](P.192-225)
利益的本质是处理不同主体的关系,包括个人与个人的关系,个人与社会的关系等。利益衡量的本质是解决利益冲突,平衡好个人与个人的关系或个人与社会的关系。⑥
Heck认为利益法学是实用法学的一种方法论。⑦利益衡量理论被提出时是针对司法领域。无论是德国、美国还是日本的利益法学派在讨论利益衡量问题时,都是指司法适用下的利益衡量,是指法官在处理个案时应该运用利益衡量的方法而不是照搬立法文本的机械适用。但是,利益衡量理论在立法领域也是有适用的必要性的,而且是有适用的可能性的。
利益衡量理论的创立是为了解决司法实践中法官处理个案时无法可依的困境,实质上是对个案的亡羊补牢。将利益衡量理论应用到立法中,从源头上弥补和完善法律漏洞和为司法中出现的问题寻找应对之策,是利益衡量理论方法论内容的延展。
首先,立法者需要利益衡量。立法处在司法的上游。如果仅仅强调司法过程中利益衡量,而忽视立法过程中利益衡量方法论的应用,会导致引导方向上的利益失衡,给司法实践造成困扰和误导,出现司法判决结果不公正现象。正义的价值判断,是立法者必须运用的立法标尺,立法者应当以正义论为基础,站在普通人的视角考虑何种利益需要法律保护,如何权衡各种利益之间的利弊与冲突。其次,利益的边界需要衡量。个人利益与公共利益如何划定边界、不同的私人利益之间如何划定范围,需要衡量。利益之间存在错综复杂的关系,会不断产生冲突,需要立法予以制度性安排和缓和。立法的目的是让不同的利益主体各得其所,和谐共存。只有首先在立法上做到利益边界的合理衡量,才能保证下游司法案件处理上的利益平衡可能性。再次,法律规范本身具备利益衡量特质。法律规范是人们需要普遍遵守的行为准则,是各种利益平衡后的文字体现。法律规范的普适性决定了它是在综合考量各方利益之后博弈的结果,是正义的价值判断之后形成的成果。法律规范本身有力地证明了利益衡量在立法上存在的必要性和现实性。
利益衡量方法论在立法领域的应用是对该理论的科学发展,不仅丰富了理论内容,更是为法律服务提供了行之有效的方法路径。个人数据利益冲突的和解,从立法上,经过利益衡量方法论的指引,将利益上升为权利,是一种可行的选择。
(二) 基于正义原则的利益衡量
在进行利益衡量时,应基于正义论的指引。正义是社会价值的最高目标。正义作为一种理论,最早可以追溯到古希腊时期的哲学理论。正义作为哲学概念,是对社会政治制度及人的社会活动的评价,在道德层面起到协调作用。正义观与哲学的理性观融合后形成了政治哲学,可见,最初的正义是通过政治哲学进行解释的。古希腊时期,柏拉图提出的正义论是国家正义论,他认为国家是正义的基础,没有国家就没有必要讨论正义,他勾勒了一幅体现正义的理想国。亚里士多德从政治学解释正义,他认为正义是政治学上的善,正义存在于平等的秩序中,体现为分配公正,他和柏拉图均认为国家的存在是探讨何为正义的基础条件。到了文艺复兴时期,卢梭否认了柏拉图和亚里士多德的国家正义论,提出社会契约论,他认为国家是不公正的根源和基础,应当建立新的社会契约,实现社会正义与平等,社会秩序是一切权利的基础。在卢梭之后,研究正义论的主要代表有康德和边沁。康德认为正义主要是指道德正义,尽管他也承认政治正义。边沁认为正义应是功利性正义,正义是指符合大多数人的最大幸福。到了20世纪,罗尔斯在前人研究正义的基础上进行修正并形成了正义理论体系,他从社会结构角度解释何为正义,认为正义应体现为社会公正。罗尔斯认为,正义即公平,正义是对社会制度的评价标准,正义的客体是社会结构,即用正义来分配公民的基本权利和义务;用正义来划分社会关系中错综复杂的利益。正义的客体在亚里士多德看来,是人的行为,随着时代发展,到了近现代,在以罗尔斯为代表的西方思想家看来,正义是评价社会制度的道德标准,正义的对象是社会结构,用正义来衡量社会资源分配的公平与否,用正义分配权利和义务,用正义划分冲突的利益。罗尔斯将这种正义称为“作为公平的正义”。在罗尔斯看来,正义首先要求平等自由,其次是机会的公正平等,同时又强调差别的正当性,在此基础上平等地分配权利和义务和因为社会合作而产生的利益冲突,实现公平的正义和社会结构的公平。他认为正义是社会最基本的善,它要求自由、机会、财富、自尊被平等地分配和尊重。正义的内涵之关键在于“社会资源的合理占有和公正分配”。[11](P.16)
利益是价值判断的结果,有价值的利益是指正义的利益。法律追求的是价值。价值,是从主体的需要满足角度去衡量的,它追求的是社会应然性,符合主体目的性。法律价值“是指法律所具有的、对人们有意义的、可以满足人们需要的功能与属性。”[12]价值的衡量尺度是社会主体的应当性需求的满足。正义的判断标准即是从社会价值的评判角度出发。
资源具有社会性,而非个体性,或者说资源具有社会品格;在资源有限的社会里,如何分配资源,就取决于是否“正义”。社会是个体的集合,社会正义最终落脚于对个体所需的肯定,这是对人的价值平等的尊重。当个人需求与社会价值导向、社会普遍遵从的规范相契合时,个人需求被认为是正当的、善的,是正义的,是可以需求法律保护的。社会规范应是大多数人意志的升华,“善”是多数人意志具备的共同特征,个人善的集合上升为社会规范,成为评判正义的尺度。在个人的利益诉求符合正义标准后,才需要思考其利益价值。数据上利益的冲突是多元利益之间产生了矛盾,其协调方法便是利益的价值判断,正义与非正义之辨明,由此出发,进行利益衡量。
实现个人数据使用中的利益平衡,是缓和数据利益冲突的根本。数据上的利益存在不合规可能,法律不应对此类利益予以保护。协调数据上的利益冲突,需要从利益的价值上进行判断,符合正义性的利益才是法律予以保护的利益。正义的利益经过法律的保护,便上升为权利。[13]但是,在不同的社会制度,不同的意识形态,正义的判断标准不尽相同。在社会主义中国,制度为人民利益服务,正义应具有尊重人格和自由的内涵、社会服务功能的内涵以及禁止剥夺他人正当利益的内涵。
四、“利益—权利”逻辑下的和解思维
法律只保护正义利益。唯有正义的利益才可以上升为权利,成为法律保护的对象。在现代社会,倡导人人平等的背景下,正义取决于该行为是否符合国民大多数人的意志。在一个国家内部,全体国民中的大多数的共同利益代表的是正义。多数决的规则是实现正义最好的选择。正义包含善的理念、自由平等的理论、社会服务的理念。以正义论为基础的利益衡量,对个人数据权益冲突进行和解,应落实到权利配置、义务与责任配置以及公共利益考量三个维度。私法是权利法,私法的核心是保护民事主体的权利,同时基于正义的社会服务理念,在保护私权的同时应禁止侵害公共利益。制度实现的最高价值是公平的正义。以正义论为基础,将利益衡量方法论应用到个人数据权益冲突协调的私法选择技术中,应以权利、义务、责任和公共利益的平衡为路线。
(一)利益攸关者的权利新观
权利是指民事主体受法律保护的利益。经过正义论评判之后的利益上升为法定的权利。权益冲突通过权利配置实现和解是最佳路径。前文已经分析个人数据上多元利益攸关者:产生数据的自然人、收集数据的数据控制者和使用数据的数据用户以及对数据使用进行监督的数据监督主体。权利是利益衡量之后的正义利益。给不同主体配置权利,应遵循正义论中的维护人格尊严与自由的理念,此理念在民法中通过私权神圣原则和平等原则实现。私权神圣原则强调个人的权利神圣不可侵犯,受法律保护,具体到个人数据权益保护,个人对其自身数据享有受法律保护的诉求;平等原则要求在进行个人数据权利构造时保障权益主体拥有平等的法律地位,不受歧视。
1.法律释义学下的个人信息权型构
《个人信息保护法》提出了对个人信息权的保护,但并未承认个人信息权是一项具体的民事权利。本文提出,在传统民事权利理论中增加个人信息权,作为独立的民事权利,将之与人身权和财产权并立,成为大数据时代的一项新型民事权利。在传统的人格权中难以涵盖个人信息权,如《民法典》人格权编中将个人信息保护与隐私权规定在一起,但也不承认隐私权包含个人信息权或其他具体人格权涵盖个人信息权,法律之所以这样规定,是为个人信息权益保护留有余地,是为将来将其上升为独立的民事权利留了空间。此外,在《个人信息保护法》第四章规定了个人在个人信息处理活动中的各种权利,包括知情权、决定权、查阅权、复制权、信息转移权、更正权、补充权、删除权、规则解释说明权。诸如此类权利是对个人信息权所应有的权能进行规定,是针对个人信息所产生的具体权利内容,它们统一构成了个人信息权的内涵。《个人信息保护法》作为特别法,如何与《民法典》衔接,确保《民法典》总则编对其统领和指导。从私权核心属性这个角度出发,我们应首先从理论上承认民事权利理论是应随着时代发展而发展的,在大数据时代,民事权利不应再窠臼于人身权和财产权,还应大胆地承认包含与之并肩的个人信息权概念。在这个理念指导下,从立法上我们就可以承认个人信息权的应有之法律强制力。
将个人信息权从理论上升为受法律保护的权利,不仅有利于明定数据源主体的权利范围,也为权利限制划定了边界,为个人信息的合理使用提供了空间。个人数据是反映自然人特征或与其他数据结合反映自然人特征的数据。对产生个人数据的自然人赋予独立的个人数据权保护其在个人数据上的人格利益和财产利益。个人数据权应是民事权利的新内容,是自然人享有的关于个人数据、个人信息保护的权利,它有信息控制、查询、更正、补充、封锁和删除等具体权能,犹如所有权有占有、使用、收益和处分权能。根据《民法典》人格权编的规定,对个人信息保护,是将其作为权益而非一项具体人格权。权益是受法律保护却没有上升为权利的利益。个人数据是能够识别个人特征和反映个人信息的数据,分为私密性数据和非私密性数据,私密性数据不应被公开,不应具有商业价值,产生人格利益;私密数据表现为敏感信息,[14]是指关涉个人隐私、高度隐秘性,如予以公开会对主体造成重大影响的人格性信息,如性生活记录、病例记录。除敏感信息之外的信息可统称为非私密性数据的一般信息,非私密性数据可被公开甚至是商业使用,具有商业价值,[15]不仅会产生人格利益还会产生财产利益,但这种财产利益并不能脱离个人数据的人格权客体这个属性。作为个人数据产生者的自然人对其数据享有决定权、查询权、更正权、补充权、封锁权、删除权⑧和保密权,[16]这些权能共同构成个人信息权的具体功能。个人信息权是一项民事权利,而非一项具体的人格权。个人数据权应为定义为:个人数据权是指个人数据的提供者对自身数据如何使用、是否授权他人使用享有自我控制的权利,具体来说,是指个人对能够体现其自身信息的数据,如身份、财富状况等信息的数据享有积极权利,如决定是否使用的权利,以及消极权利,如限制他人未经授权使用其个人数据的权利。自我控制的权利是指个人对其自身数据是否授权他人使用以及使用程度有自我决定的权利,如对其个人数据是否允许他人使用、有偿使用或无偿使用的决定权以及权利被侵犯后是否请求救济的决定权。概之,个人信息权应是民事权利在大数据时代的新内容,是与人身权和财产权并存的第三种民事权利。
2.数据财产权的理论界定及法律地位
在法学上,数据和信息应是同义词,在不同场景,表达不同。在作为资产时,我们应用数据而非信息。数据可以成为民事法律关系的客体,成为权利对象。数据资产在法学概念中应被称为数据财产。本文认为数据财产权并不是一项新型的财产权,而是以数据作为财产权的客体。财产权的传统概念没有变,变的是财产权的客体,也即,在大数据时代,数据应被承认为财产权的客体。学术界对数据的法律属性争论不一。本文认为,数据是财产的一种。在大数据时代,财产应包含数据。以历史发展的眼光看,财产概念随着时代的变化而不断发展、扩展,例如在原始社会,财产是指有形物,还没有涉及无形物,更别提当作物来对待的奴隶;在奴隶社会,奴隶被当作奴隶主的私有财产,被认为是物而不是人。随着人类文明的进步,无论是理论还是实践,均对财产的概念进行了扩展,例如在罗马法中,出现了有体物和无体物之分⑨,在罗马法学家看来,有体物是指能够触摸到的物,无体物是指不能触摸到的物,如权利。这对大陆法系关于“物”的概念的定义起到了基础导向性作用。岁月变迁,时代更迭,当人类发展到大数据时代,数据成为拉动经济增长的关键性生产要素是,法律不得不对财产的概念重新定义,数据应包含在财产概念范畴之内。
对数据享有财产权的数据利益攸关者主要是数据控制者。数据控制者基于数据源主体的同意,对个人数据去除个人身份信息、匿名化处理之后,通过数据分析产生了可使用的数据。对这类新数据,数据控制者享有哪些权利以及权利边界是什么?对于这个问题,近几年学界和实务界展开了激烈的争论,有新型财产权说、企业所有权说、知识产权说,出现百家争鸣之景象。[17]企业之间对数据的不正当竞争已不是个案,在数据控制者之间科学合理地分配数据权能,构建企业数据权利体系,无论对于个人数据使用规则的法学理论还是实践指导都十分必要。数据控制者对其通过合法途径收集的个人数据享有财产权益,在正义论基础上利益衡量方法论指引下,此类财产权益上升为数据财产权利,其本质是指数据控制者对合法收集的数据享有使用(包括加工处理)、收益和处分权能。数据控制者对数据的收集是建立在合法性基础上的,获得数据原始主体的同意是前提;在合法收集数据之后实际控制数据,对数据享有处理决定权,便是对数据的使用、收益和处分权。数据控制者的使用权是指在符合法律规定的数据收集目的、范围和使用方式的前提下,出于本企业运营或对外经营的需要而对数据享有使用的权利;收益权,是指数据企业以营利为目的出售数据获得收益的权利。处分权,是指数据企业可以对其占有的数据进行转让等处分行为。
3.数据的合理使用对数据权的限制
值得强调的是,对数据利益攸关者进行权利保护的同时,也要进行必要的权利限制。数据应允许被合理使用。对此,我们《民法典》第999条规定为了公共利益需要进行新闻报道和舆论监督而使用个人信息的行为属于合理使用;第1036规定了合理使用个人信息免责的情形。
个人信息合理使用是对数据权的限制。它突破了使用个人数据或个人信息必须经权利人同意的原则,它不以“同意”为前提,是对“知情同意”原则的打破。它的理论基础是社会本位对个人本位的制衡理论,或者说民事权利限制理论。它符合当代民事权利的核心价值观:私权不是绝对权利至上,私权有权利边界,不得侵犯他人合法利益、不得侵犯公共利益,必要时应为公共利益和他人利益让渡私权范围。例如在《民法典》第999条规定,为了公共利益需要而对个人信息进行新闻报道或舆论监督时,权利人不应反对。个人数据处理活动中,合理使用制度是对数据利益攸关者权利的一种理性限制。
(二)个人信息处理者的义务与责任
正义论要求尊重善的理论,禁止剥夺他人正当利益。该理念在民法中通过诚信原则予以实现。诚实信用原则要求利益主体双方在表达利益诉求时,呈现的是正义的利益,不欺骗和蒙蔽他人。[18]实现个人数据利益的平衡,在配置相应主体权利时,也应配置义务以及对义务不履行时应承担的民事责任。《个人信息保护法》规定了个人信息处理者的义务和责任,这是有别于合理使用制度,对个人数据处理者权利的限制。由于个人数据使用中,数据控制人处于明显的强者地位,对产生数据的自然人应履行必要的义务并对自身不当行为承担必要的责任。义务与责任配置是针对数据控制人的行为限制,实现数据原始主体人格尊严和数据服务提供者数据利用的平衡,即数据上的自然人主体的人格保护和数据使用者使用数据的自由之间的利益冲突与平衡。个人数据人格利益包括隐私利益和一般信息利益。数据利用者对数据原始主体隐私性数据的泄露会侵害到其隐私利益,另外,个人数据的公共管理价值以及财富价值也成为不当收集、处理、利用和传输个人数据的重要原因。义务与责任是对权利行使的限制,是鼓励数据共享,促进数据自由流通的需要。促进数据自由流动是推动数字经济发展的必然要求。
从行为限制角度分析,数据控制人的义务包括适度使用义务、安全保障义务、公共利益维护义务;数据控制人的民事责任包括侵权责任和违约责任。
适度使用义务是正义论尊重他人人格与自由的“善”的理念的要求。适度使用个人数据的义务是指数据控制人在使用个人数据时,应遵循合理使用与必要使用原则,禁止过度使用。《民法典》第1035条规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,……”据此,数据控制者在使用个人数据时,在征得被收集者同意之后,应合法、正当、必要地使用,不得将其数据用于非法目的、不得泄漏、出售可识别个人特征的数据。数据控制人的适度使用义务对应的是个人数据权利人的个人信息自决权。
安全保障义务是指数据控制人对开放流通中的数据尽到合理管理人的职责,参照实体环境下公共场所对消费者安全保障义务的规定。《民法典》第1198条规定了实体空间经营者的安全保障义务。将该条款移植到数据经营领域有其合理性。安全保障义务立法的目的是规制经营者的服务义务,不论其空间是网络还是实体,随着大数据发展,网络空间成为主要的经营场所,经营者在虚拟环境的安全保障义务符合立法目的,也是保护数据权利人数据安全的要求。虚拟环境下经营者的安全保障义务在2018年《电子商务法》第38条第2款明确规定: “对关系消费者生命健康的商品或者服务,电子商务平台经营者对平台内经营者的资质资格未尽到审核义务,或者对消费者未尽到安全保障义务,造成消费者损害的,应当承相应的责任。”在《个人信息保护法》第51条规定个人信息处理者保障个人信息安全的措施,通过管理、技术方面的规定加强安全保障义务的执行,防止个人信息泄露、篡改和丢失。
义务不被履行,应承受不利后果。数据控制人没有尽到应尽的义务,从民事责任层面按照侵权责任和违约责任予以惩罚和救济补偿。侵权责任参照《民法典》侵权责任编网络侵权责任制度的和《个人信息保护法》第69条规定,数据控制人承担过错推定责任 。《民法典》第1194条概括规定了网络侵权责任;第1198条规定了安全保障义务责任人责任。 数据控制人不履行相应义务,造成他人损害的,应承担侵权责任,因第三人行为造成他人损害的,由第三人承担侵权责任数;据控制人没有尽到适度使用、安全保障义务的应承担相应的补充责任。《民法典》没有规定数据交易合同,数据产品作为交易对象,参照使用货物买卖合同。数据是财产,数据财产受法律保护,在《民法典》第127条已明确规定,数据成为交易对象已成为不争的事实。数据交易合同产生的合同违约责任,按照货物买卖合同违约责任处理。如数据流通使用是采用免费使用或授权许可协议的方式进行,则属于数据使用合同和数据服务合同,对于此类合同的法律性质,理论和学术界争议很多,并无一致看法。《民法典》合同编总则适用于无名合同,为数据使用合同和数据服务合同的违约责任承担提供了依据。
(三)个人信息处理中公共利益的保护
正义论要求制度的设计应有社会服务的理念。正义的最高标准是实现社会公平。利益衡量之后受保护的利益应是正义的。利益衡量的基准或者说参照标准是利益的层级。利益是一个十分复杂的概念,但可以归结两类,个人利益和公共利益。个人利益是指在具体事件上的当事人的切身利益,[19]公共利益是一个模糊的概念,但其核心涵义是指符合全社会和谐发展的利益。[20]利益位阶原则要求,在不同层级利益存在冲突时,上位利益优先于下位利益,人格利益优先于财产利益。[21]据此,公共利益与个人利益冲突时,公共利益优于个人利益。在民法中,公序良俗原则(the principle of public order and good social customs)体现的个人利益和社会利益的平衡,是社会本位对个人本位的限制,要求个人权利的配置不得损害公共利益。数据上的自然人主体对数据享有个人信息权利,这个权利是一个权利集合,内部包含丰富的子权利,同时,此权利集合外延上不得越过数据自由流通的边界,即是指数据上自然人的权利界限止于他人正当地自由使用数据。数据使用者使用的数据是合法流通的数据,该类数据是控制者(数据服务提供者)对个人数据正当性收集的结果,此类数据进行整合或大数据分析之后,可能会关乎社会公众所知的公共利益信息,包括教育、医疗、环境等。
数据上的利益攸关者在行使私权时应履行公共利益维护义务。公共利益维护义务是指数据利益攸关者在使用个人数据时,应将公共利益置于私人利益之上。这是正义论社会服务理念的要求,也是民法上利益位阶原则的要求。数据使用中的公共利益是指不特定人享有的利益,如为了促进数据自由流动,数据经济发展,数据控制人不得擅自垄断收集的数据,阻碍数据共享。
在个人数据利益冲突的和解中,公共利益的维护者主要是政府职能部门。政府对数据企业的数据收集、处理、利用和传输行为进行监督,以维护公共利益。在公共利益和数据企业利益发生冲突的时候,公共利益优先保护。政府作为社会公共利益的保护者,有数据监督权,政府对数据从业者和其他数据利用者在使用个人数据时,尽到监督者的职责,确保网络数据自由流通的同时能够安全流动。
结语
自世界进入互联网时代以来,网络空间成为人与人交流的另一个世界;自世界进入大数据时代,人们对互联网的利用不再满足于一个虚拟的交流空间,更期待挖掘其深层次的价值,“数据”成为新的财富模式,互联网时代进化到大数据时代,互联网企业纷纷转变经营模式,数据变现成为追逐的目标,因此也拉开了数据大战。
关于个人数据使用引发的数据大战,是权益冲突矛盾激化的结果。在理论上寻求一种方法化解此对峙,实现利益同行、各方共赢,是个人数据利用有序进行、实现利益攸关者目标的要求。权益冲突的和解最终需要通过正义的标尺来实现。正义是社会最基本的善,是科学化解冲突的理论基石,它能够保证资源在稀缺的情景中尽可能实现分配上的公平和公正。 利益经过正义标尺衡量之后,可受法律保护,法律将之上升为权利。权利是利益正义的升华。权利是利益主体在法律保护之下的具体受益形式。“利益—权利”逻辑主导下的数据利益冲突和解思维是本文提出的一种理念。个人数据使用中的各种样态利益升华为个人数据上利益攸关者的权利,权利主体坚守着各自权利的范围和边界,利益冲突得以和解。
注释:
①本人曾就个人数据和个人信息的关系发表过学术论文,详见“论法学上的个人信息与个人数据”,载《上海法学研究》集刊,2021年第19卷总第67卷,第135-139页。
②参见2021年11月1日实施的《中华人民共和国个人信息保护法》,在其第四条解释了个人信息的含义以及个人信息处理的方式。
③参看网站http://www.xinhuanet.com//politics/2017-12/09/c_1122084706.htm(visited on September 27,2019)
④参见IT时报,2018年5月4日,第009版。
⑤耶林在1877-1884年在他的著作《法律目的》中提出,目的是法律的创造者,目的就是利益,利益包括个人利益和社会利益,利益是权利的核心,法律是权利的外壳。
⑥Heck 和卡尔·拉伦次均承认利益衡量理论的本质在于解决冲突。Heck 认为法的最高任务就是平衡利益;拉伦次认为,权利冲突发生后,要重建法律秩序,就需要一种权利向另一种权利让步或两种权利都作一定让以达到平衡。参见 heck1932年在法兰克福大学的讲座和 卡尔·拉伦次(Karl Larenz)的代表作《法学方法论》(Methodenlehre)。
⑦参见:Heck1932年12月15日在法兰克福大学的演讲。收藏在“历史与当代中的法律与国家”系列丛书第97卷,图宾根莫尔出版社1933年版。
⑧我国《民法典》第 1037 条确认了个人信息主体享有查阅权、复制权、更正权及删除权四种权利。但并不意味着个人信息权利体系仅仅包含上述四项子权利。对此,学界已提出看法。参见高富平,李群涛《个人信息主体权利的性质和行使规范——〈民法典〉第 1037 条的解释论展开》,载《上海政法学院学报》,2020年第6期。
⑨吴汉东教授早在2003年就对财产概念作了革命性解释,见《财产的非物质化革命与革命的非物质财产法》,载《中国社会科学》2003年第4期。
⑩[意]桑德罗·斯奇巴尼教授曾经就“物和物权”专门写有专著,参见《物与物权》,范怀俊译,中国政法大学出版社2009年版。
