查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《中外法学》
在分享和控制之间数据保护的私法局限和公共秩序构建
【作者】 梅夏英【作者单位】 对外经济贸易大学法学院{教授}
【分类】 民法总则
【中文关键词】 个人信息;数据权利;互惠分享;数据控制;公共秩序
【英文关键词】 Personal Information; Data Rights; Reciprocal Sharing; Data Control; Public Order
【期刊年份】 2019年【期号】 4
【页码】 845
【摘要】 目前法学界在数据问题的研究上,存在着对传统法律理论(尤其是私法)予以机械适用的路径依赖现象,而缺乏对于“数据”这一新型法律对象在理论和立法模式构建上的有效创新。现有理论倾向于在私法上通过赋予个人或企业某种“数据权利”来建立数据归属和利用秩序,这种理论尝试遇到了私法理论局限的制约和数据应用实践的挑战。数据作为天然的公共品服从固有的互惠分享的原理,在此基础上数据法理论应实现思维模式上的转换,即实现从基于稀缺的法律到基于充裕的法律、从私益保护面向到公益保护面向和从数据控制的强化到数据控制的谦抑的观念转变,由此在确立“分享”作为数据法基本价值取向的理论前提下,探讨数据受局部控制的正当理由,以此涵摄现有的各种数据控制理论学说,并消除现有理论上各种“权利”之间的冲突。通过“分享—控制”一体化理论结构,在立法上可以完善相关制度以释放分享的潜力,并在严格确定数据控制理由的基础上构建公法上系统的数据公共秩序。
【英文摘要】 At present, the legal research on data protection has a path dependence phenomenon. Traditional legal theory (especially private law) is applied mechanically, but the effective innovation in theoretical analysis models and legislative construction of data, a new legal object, is lacking. Current theories tend to establish order of data attribution and utilization by giving individuals or businesses “data rights” in private law. These attempts encountered constraints of private law theory’s limitations and data application practice’s challenges. Data is a natural pure public good which should be subject to the inherent principle of reciprocal sharing. On the basis of this principle, the theory of data law should realize paradigm shifts, from the concept of scarce-based law to the abundance-based law, from the protection of private interests to the protection of public welfare, and from the strengthening of data control to the modestly restriction of data control. Under the premise of establishing ““haring” as the basic value orientation of data law, the system of reasons for the partial control of data should be established to capture existing theories of data control and to eliminate conflicts between various “rights” in current theories. Through the “share-and-control” integrated theoretical structure, the relevant legislation can be improved to release the potential of sharing, and the data public order of public law can be constructed on the basis of narrowing the grounds for data control.
【全文】法宝引证码CLI.A.1273406    
  
  

当代互联网科技和平台应用的快速发展,产生了许多前所未有的现实法律问题,对传统法律理论和立法体系提出了严峻的挑战,信息或数据的法律规制问题因此成为近年来法学界关注的重要领域。有关数据法律问题的探讨,近年来法学界主要是在依循和回应现实问题的基础上,开辟了个人信息保护、虚拟财产、大数据交易和数据安全等问题领域,并取得了积极的理论进步和现实效果。但值得关注的是,法学界对上述问题的探讨存在着明显的路径依赖现象,即采用传统私法的权利理论以及建立于其上的公法干预原理来对数据问题进行理论展开,这种理论上的路径依赖某种程度上决定了上述数据问题板块的形成。但随着现实网络数据分享和应用的进一步复杂化和理论探讨的逐渐深入,法学界在传统法律尤其是私法理论背景下解释和发展数据法律现象和规则,会呈现出一定程度的理论上的不适应和应对迟缓的状态。目前就数据现象所做的理论研究存在着离散化和碎片化的特征,对同一研究对象“数据”在不同的问题场域所作的界定和理论判断,存在着相互矛盾和不能通约的状况,无法形成一个稳固和统一的理论基础。例如,将数据同时作为“人格要素”和“财产”的理论解释问题,数据的公开分享性和权利化的矛盾问题,以及数据的“工具性”特征与信息本体的关系等问题,一直都困扰着理论界,而这些问题在传统的理论框架下很难有效地贯通和得到澄清。这种状况要求法学理论界在“数据”的研究上不应囿于传统法学理论,而应当将数据作为一种全新的法律现象,尝试在理论上如实把握数据的特性和现实流动规律,建立数据法律自身的基础理论判断和分析模式,并以此作为具体数据法律关系的理论解释和规则构建的基础。这种理论努力无疑是困难且富有挑战性的。本文拟在检视现有数据理论观点局限性的基础上,关注数据的公共性原理及其对传统思维模式转换的客观要求,进而探讨如何建立关于数据分享和控制的理论框架,并尝试对数据的立法和救济提出理论建议,希望对现今的数据法研究有所助益。

一、目前私法对于数据权益界定的理论尝试及其局限性

在探讨数据法律问题之前,有必要先确定本文所用“数据”概念的内涵。数据概念可以在多个意义上使用,且与信息概念有一定区别。[1]数据具有工具性,它作为生成和传输信息的数字编码技术,体现为以二进制为基础的比特或比特流,进而可以通过应用代码显示为信息。数据与信息的关系大致类似于传统媒介中的介质和信息内容的关系,介质服从物理学上的技术规律,而信息本体则服从社会传播学规律。但在互联网技术条件下,介质和信息的关系又出现了前所未有的变化,以比特为单位的数据作为信息的外在表现元素和基本度量单位,使数据与信息之间的对应和转换变得即时和直接,它们依赖于一个更大的、全球互联的网络介质系统,数据作为介质的一部分与信息取得了直接的联系。[2]在这个意义上,基于数字化技术的普及,现有各种正式文件中将数据与信息不加区分地使用,符合绝大多数场合的实际情形。但数据和信息的基本区别仍然存在,并在不同的场合显示出来,一旦现实问题涉及到数据的工具层面,数据问题就有可能与信息问题本身区分开来,而适用工具本身的规制方式,比如虚拟财产和数据运行安全问题即属此列。本文中所使用的“数据”概念是基于其与信息在内容上的一致性角度使用的,基本上与信息概念互换使用。

目前各国对于数据问题的理论探讨,总是从个人与数据的关系开始的,对此欧盟和英美法国家均不例外。[3]中国目前在数据法律方面不大可能直接从其他国家获得既定的、成熟的借鉴,这样就使理论上的各种尝试变得可能了。目前,从私法上界定数据及其上的权益,主要是沿着个人信息保护、个人虚拟财产、平台数据保护和大数据交易这一理论链条展开的,其核心在于数据的确权问题。在数据权问题的探讨上,现有的理论观点五花八门,只要形式上可能,同样的数据在理论上就有可能同时成为隐私、知识产权或财产权的对象。[4]关于数据权的相关理论观点,理论界主要在个人信息和企业数据两个相互区分的领域分别展开,以下试分述之。

(一)个人信息的权属界定理论观点及其评价

关于个人信息法律属性的理论观点,有学者统计有八种之多。[5]但归纳起来不外三类,即人格利益说(包括隐私权说和具体人格利益说)、个人信息权说和人格兼财产权说。兹予以介绍与评价。

1.人格利益说

人格利益说分为隐私权说和具体人格利益说。先看隐私权说。该说之所以将个人信息作为隐私看待,主要是基于早期通过保护个人信息来保护个人隐私的初衷。早期各国对电子数据保护的立法如美国1974年的《隐私权法》、欧盟1981年的《个人数据自动化处理保护公约》和1995年的《欧盟数据保护指令》,都是为防止个人隐私被非法公开和泄露而制定的。美国立法一直对于个人数据的保护使用“隐私”的概念:从1999年到2002年,提交两院的个人数据立法草案中,绝大多数都在草案名称中出现“隐私”概念。但即便如此,将个人信息作为隐私来保护的观点在我国已鲜有学者支持。其原因在于,当代个人信息保护的范围已大大超过了传统隐私的范围,且个人对于信息的控制并不能排斥企业的合理使用,这与传统隐私的法理有较大差别。美国使用的隐私概念较为宽泛,它并不附属于类型化的人格权体系,故在概念内涵上与大陆法系国家有着重要区别。在最近生效的《欧盟一般数据保护条例》(以下简称“GDPR”)序言的中文译本目录中,已没有任何“隐私”的用语出现。

再看具体人格利益说,该说将个人信息作为人格权体系下的一项新型人格法益予以认定。我国《民法总则》第111条规定了对于个人信息的保护,但没有明确表述为“个人信息权”,由此产生了个人信息是“民事权利”还是“民事法益”的不同理解。关于人格利益是“权利”还是“法益”,属于理论上对于人格权的理解和立法选择问题,但问题并不在此,而是在于个人信息是否能够成为现有人格要素之外的新型人格要素存在。尽管这种观点几乎已成主流观点,将个人信息作为独立人格利益仍然存在两个重要的理论障碍:一是个人信息与隐私无法区分。在现有的法律中,个人信息无疑包括隐私,且保护公民隐私是个人信息保护立法的重点目标,但个人信息的范围远远大于隐私,若将个人信息笼统称为独立的人格利益,那么如何处理与隐私的关系便成为难题。二是个人信息的范围过于宽泛,难以都认定为人格利益。如目前立法都通行以“可识别性”作为个人信息的范围,这就有可能引发一个问题,即由于当代数字处理技术中“个人画像”的出现,通过间接个人信息的分析来识别个人身份的机率大大增加,那么是否这些间接信息都属于个人信息,从而属于人格利益呢?如果通过一个未知的人某种行为的时间、地点和活动场景等能推断出其真实身份,是否这些时间、地点和场景等就成为法律保护的个人信息呢?上述两个理论障碍决定了个人信息被作为独立人格利益来认定的理由并不充分。

2.个人信息权说

个人信息权说目前在理论主张上存在两种不同理解:一种理解方式将个人信息作为人格权的一种类型,且明确主张应予权利化;[6]另一种理解方式是认为个人信息权并不完全属于人格权,而是一种新型的民事权利,以法律赋予的个人对于数据的控制权为核心内容。[7]对于第一种理解方式,其面临的理论难题与“具体人格利益”主张一样,且将个人信息人格权化并不能消除上述两种障碍,在此不重复论述。值得注意的是第二种理解方式,这种理解在我国并没有学者系统提出,不过可以从以下的转变趋势中解读出来:西方国家对个人信息进行保护的方式从隐私保护逐渐演进到了个人信息自决权保护。如美国学者(Alan Westin)认为,隐私必须被重新界定为“个人、群体或机构对自身信息在何时、何地以及在什么程度与他人沟通的主张”, [8]倡导个人对自身信息控制的独立意义。德国理论界认为通过“小普查案”和“人口普查案”等案例,德国已经确立了个人信息自决权。[9]以此来解释GDPR也应顺理成章。这种以个人自决为核心的个人信息权脱胎于隐私保护,强调个人对自身信息的控制,似乎具有独立的意义。值得注意的是,这种以信息支配为核心的“权利(束)”既不能完全以隐私保护来解释,也保留了财产化的可能,近年来国外学者倡导的个人信息财产性理论同样是建立在个人的信息控制基础上,如英国剑桥大学乔舒亚·费尔菲尔德教授近年就倡导对个人数据的控制从财产权角度予以保护。[10]

认为基于个人信息自决而形成的个人信息控制行为能成为私法上的个人信息权,在理论上有如下缺陷:一是这种个人信息权并不周延。从西方个人信息自决权提出的社会背景和立法轨迹可以得知,个人信息保护或自决权乃电子计算技术出现并广泛应用后的产物,它仅适用于电子网络环境下的个人信息控制,并不适用于日常生活和传统媒体的信息控制。这种不周延决定了个人信息自决与人格的保护并无必然或天然的联系,也不能成为一种普遍适用的权利。二是若将个人信息权作为一项私法上的权利来理解,则它应具有一定的绝对性和对第三人的效力。但是我们从个人信息保护规则体系中并不能找到相关规则,使个人对信息的控制能排除他人合理的使用、分享和流通。个人信息自决权似乎更多地倾向于服务一种特定的立法目的,即有效地阻止个人信息被非法滥用,而非使信息为个人所独占。如GDPR第1条第2款明确规定:“本条例保护自然人的基本权利和自由,特别是保护自然人享有的个人数据保护的权利。”即表明个人享有的并非独立的私权,而仅仅是获得个人数据保护的权利。三是个人信息权观点(包括具体人格权观点)不能解释的是,为何这一具体人格权或独立私权在私法上缺乏有效的救济途径。在大多数情况下,对于企业或第三人非法使用或交易个人信息的行为,除非其涉及到隐私,否则在因果关系的认定和赔偿的确定上都存在很大的困难,难以救济。GDPR主要是通过高额罚款来预防和阻吓,并没有涉及任何私法救济方式。[11]

除此之外,德国学者温弗里德·弗埃尔认为个人信息自决权是一种类似乌托邦的幻想。因为从法律的角度来看,信息自决受到了过多的法律限制(如GDPR中存在30多种基于公共利益的限制以及非经同意收集的情形),不宜将其确定为一般原则;从现实层面来看,信息自决忽视了个人大量信息已经由他人分享的现实,尤其是那些进入公共领域的个人,他们早已对自己的形象和外表等信息失去了控制。就自决本身而言,“受限于信息获取等因素,个人常常会在无知的状态下做出决定”。[12]上述事实导致数据保护和通讯自由之间存在着一种特殊的紧张关系,因为在私主体之间,不需要设置如此高的默认禁止的预防措施,私主体之间自主分享信息本来就是一项基本权利。总体而言,个人信息自决权明显有些理想化了,它将网络上的局部信息控制无限地扩大到个人对自身信息的全面控制,甚至提升到基本权利的地步,形成了凌驾于诸如通讯自由等基本权利之上的“超级基本权利”。

3.人格权兼财产权说

此说目前也具有一定的代表性,也有持此观点的学者不将人格和财产加以区分,而统一内含于个人信息权。其实这种观点与上述个人信息权观点的第二种理解也有类似之处,只是在解读和定性上增加了财产权的内容。此说主张个人对其个人信息享有两种权利,即防御性的人格权和支配性的财产权,以此实现如下可能:个人在保护自己人格利益的情形下,可以自主决定是否通过信息许可或交易来获利。该说大多借助人格财产化现象或美国法上的“公开权”或“形象权”来进行论证。这种主张意图通过个人信息的此种认定来解决个人信息同时成为人格利益和财产的理论难题,顺便为企业数据的财产性问题打开理论空间。针对此种二元界定主张,就个人信息是否成为人格利益,上文已有评论,问题在于个人信息是否能够成为财产权的客体

这种理论主张主要是基于大数据财产价值日益显现的社会现实,力图使作为信息之源的个人数据的财产价值得到保护。但这种主张会面临下列难以解释的问题:其一,将个人信息作为财产予以交易,缺乏现实生活经验和常识的支持。在个人的绝大多数生活、工作和社交场合,以及在诸多民事合同中(除了以信息服务为主要内容的合同外),存在着大量提供个人信息的情形,但从并没有出现有偿使用个人信息的惯常作法,也没有出现原合同与信息许可或服务合同并存的先例,为何独独在用户与网络服务商之间强调个人信息的财产权,这在理论上值得斟酌。其二,通过人格财产化来解释个人信息财产权并不充分。姑且不论个人信息是否构成人格利益,即便在人格“财产化”情形下,也不能证明人格要素就是财产权的标的,因为人格权财产化是通过人格权主体与人格要素使用方之间的许可合同实现,并没有涉及财产转移或交付问题,法律通过合同关系即可得到充分调整,并不需要另立一个“人格财产权”,这一点无疑也适用于个人信息。在信息领域重要的是信息供给和分享服务,而非财产交易。其三,目前各国在大多数情形下,以个人“同意”作为网络企业收集个人信息的合法前提,用户欲行使个人信息财产权也只能在“同意”环节与企业交易,但问题是,在法律规定无须“同意”即可收集个人信息的情形下,是否法律就剥夺或侵害了个人信息财产权呢?最后,个人信息财产权解释不了现实生活中的信息交互性问题,即一项信息为多个主体共同分享的情形。比如一次小型聚会的信息应为所有参与者分享,无法由某个参与者独享财产权,否则就会造成权利的直接冲突;又比如在买方与淘宝商家的交易中,此交易信息因买方和卖方共同参与而应共同分享,无法归于任何一方。上述关于个人信息财产权观点的疑问,说明传统理论对于信息法律属性的把握尚不完整,它在关注信息财产价值的同时,并没有追问信息的价值来源之所在。

(二)企业数据的权属理论观点及其评价

上述对于个人信息权属的法律讨论,有助于理解企业数据的权属问题,因为两者的分析对象为同一事物,即数据信息。企业对于收集到的大数据享有的权利,与个人信息权面临着一样的问题,因为两类数据都具有一定的商业利用和交易价值。总体而言,现有关于企业数据权属的认定分为知识产权保护和财产权保护两类观点。

1.企业数据的知识产权保护

在知识产权领域内,理论上不外对企业数据采取著作权保护或商业秘密保护两种方式。大数据在著作权保护方式中,对应的是《著作权法》第14条规定的有独创性的汇编作品,这是数据库保护的法律基础。对于大数据是否符合该条所要求的“独创性”,有学者理解,大数据虽然具有一定的选择和编排方式,但其价值在于数据的巨量和混杂性,而不是数据的结构和编排。[13]由于大数据存在编排或结构并不一定代表其具有独创性,故在各国著作权法上无法以汇编作品作为大数据保护的主要方式。对此《德国著作权法》第87条规定了用邻接权来保护通过实质性投资而建成的大型数据库,以此补充汇编作品保护的不足。[14]《俄罗斯民法典》第1333条和第1334条也分别规定数据库的“制作者”和“专有权”来保护数据库的“邻接权”。[15]但这种通过邻接权来变通保护数据库的方式着重于保护数据库的实质投资,而非其独创性,不属于真正意义上的邻接权。因为邻接权本身应重在保护“大全型”数据库的传播和利用价值,而非实际投资。欧盟立法则另辟蹊径,通过1996年生效的《关于数据库的法律保护的指令》,在著作权之外赋予数据库控制者特殊权利获得法律保护。[16]上述立法尝试说明通过著作权保护企业数据并不能成为一种行之有效的常规方式,在大数据的著作权保护中,有价值的是对数据内容的著作权保护,而非整个数据库的保护。

主张通过商业秘密来保护企业数据的观点,则放弃了将大数据著作权化的努力,将大数据置于一个相对保护的状态,并结合反不正当竞争方式保护企业在大数据上的法益。这种主张总体来说较之前者更符合实际情况。但依据《反不正当竞争法》第9条的规定,商业秘密应当具有秘密性、价值性和保密性的基本特征,企业数据并不完全符合上述要求:其一,就秘密性而言,大数据与商业秘密的不同在于,组成企业数据的单一数据可以通过不同的合法途径获得,但将这些可以从不同渠道获得的数据由企业集中收集形成的企业数据具有整体的价值。由此,作为数据集合组成部分的个别数据,便很难受到商业秘密制度保护。其二,关于企业数据的价值性,在实践中也很难确定。企业数据的价值性是相对企业本身而言的,是否一定有着经济价值并没有明确的标准,大型平台甚至对于冗余信息建立了定期清除制度。另外,单个信息、部分信息和整体数据库的价值也无法分别估算,这导致数据部分或全部泄露后的价值损害是否存在以及损害大小无法确定,这一点与商业秘密的实用价值确定性存在较大区别。其三,企业数据是否采取了保密措施也不好确定。一般情况下企业基于个人信息保护义务,对其数据设置了管理权限和密码等保密方式。但企业是否系为了保护商业秘密而设置保密措施,对此缺乏直接的判断标准,因为企业数据的加密属于常态,数据安全的加固和升级亦为服务于多种目的的需要。但即使存在上述困境,商业秘密保护的法理仍是最接近企业数据保护的理论基础。

2.企业数据的财产权属保护

由于知识产权方式不能足够应付复杂的企业数据利用和交易问题,理论界更多地呼吁建立数据财产权来保护企业数据,即将企业数据当作财产关系的客体并于其上建立财产权利结构,以解决数据流转的权利基础。学术界注意到了数据权与物权的不同,故有学者主张依据《民法总则》第127条,将其作为一种新型的财产权对待。[17]也有学者提出,基于个人信息与企业数据的复杂关系,建议给个人配置人格权益和财产权益,给企业配置数据经营权和数据资产权。[18]还有学者在判断数据在信息层面上无法被权利化的基础上,提出了法律赋予数据文件绝对权的可行性论证。[19]这些理论尝试体现了民法学者对于企业数据民法保护的关注和努力,但数据权利化理论仍共同面对如下问题的挑战:

第一,企业数据权理论面临数据的隐私性和财产性的关系问题。假如在将个人信息保护和企业数据财产权区分对待的前提下,认为包含隐私的个人信息成为他人之财产权是正当之举,那么在法律上将财产权赋予给个人,直接将隐私权打造成财产权是否会更为直接了当?因为相对于信息收集人,将个人信息的财产权赋予个人比第二手的收集人更为正当和必要,毕竟个人用户才是信息的直接来源。另外,企业数据类别众多,不同数据的适用领域和经济价值或许完全不同,因此,可以普遍适用于所有数据相关问题的抽象化规范是难以想象的。[20]我们很难想象电商平台的交易数据与高铁公司的高铁运营数据能统一在数据“所有权”概念下获得同样的规制。

第二,企业数据权理论很难合理解释企业数据权与其他数据控制人的关系。通常情形下,企业数据库的任何一条信息可能为多个主体控制,至少每一条信息都有对应的用户享有和控制,比如每条网络行为信息在单个用户的Cookie里都有存留。对此,要如何理解企业数据的排他权?这种权利冲突在理论上如何解决?当企业非法收集个人信息之后,企业对数据占有的状态又如何描述?我们不可能使一个财产权的客体无端消失,在此适用返还规则也没有实际意义。在数据可分享前提下,若赋予数据控制者某种绝对性权利,则超大型网络平台可能基于这种新的权利变得更加强大,同时数据控制主体若以“数据权利人”身份授予第三方访问权,交易成本也可能因此而大幅增加,并可能导致缔约各方谈判地位的失衡。特别是将“数据权”分配给已经处于优势地位的缔约方时,这种失衡会尤为显著。[21]

第三,企业数据权理论不能很好解释企业数据被无偿分享时数据权还存在与否这一问题。比如当公共机关强制企业提交企业数据,或者企业通过各种API(Application Programming Interface,应用程序编程接口)无偿向特定用户分享自身数据时,在数据为第三人所获取的情形下,企业数据权是否被剥夺或部分放弃?此时企业数据权是否还完整存在?在企业将数据通过交易许可另一方有偿使用后,同样的问题仍然存在。

第四,当企业数据被第三人通过不法手段获取时,企业数据权作为民事权利的效力和救济方式如何体现?权利的弹力性和追及效力在此并没有发挥作用的空间,权利请求权也没有实质表现形式。基于信息的可分享性,在企业仍完好掌握大数据的情形下,企业自身对数据的控制状态并没有受到实质破坏,故在法律救济上只能体现为要求对方停止非法行为。至于私法上的损害赔偿是否构成,还需要具备诸多因素和条件。就侵权后果而言,目前企业数据的财产保护并不能体现出私权被侵犯的相应法律后果和救济方式,更多地体现为公法上的强制救济措施,且司法判决并没有对非法分享的数据本身从数据权利角度予以关注和救济,这也是司法机关主要还是通过反不正当竞争法来解决相关纠纷的原因。

上述关于数据的私法定性的理论尝试及局限的分析,一定程度上揭示了将数据纳入私法权利体系的困难。无论是人格权还是财产权,个人权利还是企业权利,都不能很好地解释数据的流动和控制问题。其中的结构性问题在于,个人信息与数据财产如何统一于同一数据之上,以及如何在数据可由众多主体合法分享的前提下,体现出数据权利在私法上的排他性和救济性特点。另外,个人信息与企业数据的保护在理论维度和价值目标上具有很大的不同,其对数据控制的力度、广度和方式也有差别,因此一概“权利化”并不能真正解决本质问题。承认数据在网络时代的价值只是考虑问题的出发点,问题在于这种价值如何体现和实现。将数据客体化和权利化并未能真正契合数据价值的来源和运作方式。当今数据权利理论的出现针对的主要是互联网技术下数据的运用和流通的问题,而非适用于所有的信息领域,那么这种“数据权”的正当性和必要性又源自何处?实际上,通过数据权利化这种强保护方式来保护相对局部的数据利益,忽视了数据本身的分享和流动的惯常性存在,以及数据排他性占有的现实困难。于此,法学界需要重新审视数据的特性和运作规律,观察数据在私法视角以外的公共面向,以补充或修正已有理论的不足。

二、数据的公共性价值与法律保护思维模式的转换

从个人对信息的控制延伸到企业对数据的控制,通过迭加式的私法赋权以实现数据主体的不同利益,这属于典型的私法保护进路。这种进路之所以遇到上述理论困难,主要是因为其将数据作为一种权利客体对待,而忽视了数据本身的无形性、可分享性以及公共性的特点,以及信息数据主要通过社群分享来实现自身价值的客观事实。数据的私权保护没有充分顾及到数据分享的价值及其更为基础的地位,因而在私权化的过程中常常受到数据分享的干扰。以数据的公共性特征来中和私权化的片面性,有助于在理论上科学把握数据的分享和利用规律,并对既有的思维模式适当调整。

(一)数据公共性的理论和现实价值

数据具有公共性当无疑义。它符合经济学上的“公共品”(Public Goods)核心特征,即非竞争性和非排他性。前者指一人对公共品的使用不影响他人对其使用,后者指多人可以同时使用公共品而互不排斥。信息还符合经济学上的“纯公共品”的要求,即同时具备制度公共性和自然公共性的特点,在传统社会具有效用上的不可分割性,并以此区别于准公共品。[22]在公共品体系内,信息相对传统意义上的公共物品(如公物和国防等),某种程度上又具有更彻底的公共性,因为它不受容量和空间的局限,可以及于任何人。但信息本身又依赖于传统或当代媒介而分享和传播,故媒介又决定了受众的范围,这一点与其他公共品又有不同。法律试图对信息进行局部个人化处理是晚近发生的事情,在历史上绝大多数时段,信息一直处在公共领域,且社会长时间处于信息饥渴状态。

人类在历史上解决信息匮乏的途径之一,是通过媒介的扩展和革新来创造和传输信息。从非洲人的鼓、希腊人的烽火、埃及的象形文字、印度的贝叶书、西亚的羊皮纸,到近代印刷术、报纸、电话、电影、摩尔斯电码,以及现当代电视、电脑、多媒体和互联网等,以上种种无不体现了人类对于信息获取的努力。[23]另外一个途径是人们在社会生活中通过互惠利他方式来最大程度地分享既有信息。“互惠利他”在进化心理学中指的是传统社会的一种社会合作模式,即一人给另一人提供了好处,并不期待立即获得报答或补偿,但每个人都认为这种利他行为的普及可以引起合作的盈余。[24]在早期的传统社会中,信息的互惠利他是当然之理,同时互惠利他也会延伸至人们生活上的物质馈赠和扶危济困之帮助,现代经济学则用“礼物经济”来定义这种社会状态。自法国人类学家莫里斯在其著作《礼物》中提出礼物互惠的社会学原理以后,社会学便开始关注礼物互惠对于当代社会的意义,认识到礼物和回报机制对于建立人与社群的亲密关系,以及对治理资本主义和工业化的某些缺陷的意义。[25]在以私有化为前提的当代西方商业社会,社会结构性的礼物和回报机制已不多见,但对于信息而言,它一直在事实上遵循互惠利他和礼物馈赠的传统。

信息较传统的实体礼物馈赠更具有互惠的特性。基于信息分享的时效性和聚集性的特点,对其进行分割和交易在经济上变得不可行,另外信息互惠分享创造的盈余较传统礼物馈赠更为显著和快捷,这决定了在互联网从产生到普及的过程中,互惠利他形式的分享一直充当人们努力的目标。如互联网先驱佩里·巴洛(Perry Barlow)1996年发表了著名的《网络空间宣言》,呼吁保持网络空间的中立性和排斥政府和法律对互联网的干预,并倡导信息自由分享。其后,信息共同分享和协作的模式受到注目。自开放源代码运动以后,2001年起,以自由访问、编辑和协作的美国维基百科计划开始实施,并成为开放式许可集体协作的典范。我国目前也有网络上的字幕组、戏仿和知识共享[26]等在线社群努力建立开放式创作与分享的环境。这些网络开放分享和协作方式是传统的信息互惠方式在网络上的延伸,反应了信息互惠的强大生命力,通过互惠利他和分享协作,互联网最快捷、最大范围地满足了用户对信息的饥渴和需求,并创造了空前的合作盈余。从早期信息门户网站、即时通讯工具、网络论坛、搜索工具,到目前的各类商业在线平台,从web1.0时代的信息单向发布、web2.0时代去中心化的信息交互到web3.0时代的网际互联和数据互通,每一次技术的升级和应用创新都促进了信息的分享和盈余的扩大。当前正在蓬勃兴起的分享经济更是将信息分享与现实闲余资源的利用直接结合起来,改变了传统中介机构的业态和人们的财富观念。[27]未来,随着大数据、云计算和机器学习技术的进步和现实应用,信息的分享、聚集和智能应用将朝人类未知的领域发展。在用户以互惠方式向网络贡献信息这一渠道之外,各国也在逐步推进政府信息公开的相关举措,以满足社会对政府公共信息的实际需要。

数据的互惠分享是互联网赖以生存的基础生态规则。但互惠利他或礼品经济并非没有约束模式,它要求个人的利他必须带来足够合作的盈余,并且群体成员在他人无互惠行为的回报时,可以在未来不再做出利他行为。这种对于互惠的道德要求在有限的群体和空间中,可以通过查明和惩罚非互惠者(“骗子”)并将其踢出群体来得到维护。[28]对于信息的分享,上述情形也会存在,比如在文件互享的网络应用上,提供文件的一方在对方拒绝同等提供文件时,可以通过取缔“吸血鬼”的技术将其排除在用户之外;也有些网站要求用户在分享信息后及时完成反馈,以此作为下次分享的条件。但是互联网世界中的信息互惠比传统的财产馈赠和帮助行为更为广博,因为网络参与者甚众,甚至跨越国界,且用户大多处于匿名状态,故适用于局部社群的互惠约束机制可以适用于社群内的传统信息交流,却不一定适用于整个网络的信息互惠。网络信息互惠具有超越时空的特点,从正面角度看,它不能从受局部时空限制的地域文化中获得完全支持和解释;从反面角度看,它也不能为目前互联网面临的局部信息控制所动摇。对网络信息互惠这种理论层面的认识有助于我们正确运用数据公共性原理来认识和规制现实生活中的各类网络信息控制现象。

(二)基于公共性基础的数据保护思维模式转换

对于数据公共性特性的理论揭示,使我们在讨论数据保护问题时增加了一个可以参考的基础背景,这个背景的存在使数据私权化理论的论证负担无形中大大增加了。数据私权化无疑会对信息的分享产生实质性影响,且因为数据逃逸与传播的门槛较低,数据私权在实践中易受侵害且易丧失。在数据公共性背景下适时转换数据保护思路在理论上有其必要性。以下试述之。

1.由基于稀缺的法律到基于充裕的法律

传统私法的权利化体系起初建立于客体(主要指有形物)的稀缺之上,客体的稀缺导致了法律上定分止争的必要。这种稀缺性导致的资源权利化分配模式在传统社会中是一种普遍有效的方式,在法律上也形成了客体与权利的相互依赖性。与稀缺相适应的经济规律是,当物品供应越来越多时,物品就会逐渐贬值,这即是工业社会的饱和法则。信息的公共互惠原理则颠覆了上述工业社会的基本法则,因为就像传真机或电话的普及会增加传真机和电话的价值一样,网络的价值来源于数据的充足和普及。据此美国著名网络学者凯文·凯利(Kevin Kelly)认为,“任何能被复制的东西,价格都趋于零或免费”,因为网络的数据和服务越丰富,就越有价值,同时也就越便宜。这种网络产业的反馈环路体现了与稀缺经济相反的充裕原理,即“最有价值的东西应该是那些普遍存在而又免费的东西”,故唯有慷慨才能在网络中胜出。[29]事实上,全球互联网在近二十年间有如打开了信息流动的潘多拉之盒,通过分享和升级,信息仿佛具有生命,急切地互相拥抱并如涡流般整合和旋转,创造出了令人眼花缭乱的虚拟生态更迭,完美地诠释了数据的充裕性法则。

信息具有充裕性和分享性的一面并非理论上的想象,在法律上也有其客体特性上的必然性。从本体范畴而言,信息与私法上的典型客体(物)属于完全不同的理论范畴,前者属于无形的、主观性的信号,后者属于有形的、客观的物质或能量,两者之关系亦如遗传基因中的基因排序和脱氧核糖核酸的关系,前者的目的在于复制,后者的目的在于自我生存,这是理解自然界两个最基础但又迥乎不同的维度。人类对于物质能量世界的依赖、开发和调整持续了很长时间,形成了稀缺性的思维模式。而关于信息,除了晚近的知识产权和人格要素外,人类没有成熟的认识和实践去系统地把握、运用数据化信息流动的充裕性原理。另外,不同于其他传统公共品,在技术上尝试对于无形的信息进行私有化的可能性甚微。在自由主义和商业化推动下,传统的公共品基于物理性和稀缺性往往可以不同程度地私有化,从而进入私权领域,如目前西方国家存在的私人海滩、岛屿、博物馆、公园甚至公共基础设施等,都说明了在商业逻辑下科斯定理的最大限度的运用。而信息则除了与“国防”等纯公共物品具有效用上的不可分割性外,在客体层面上对其进行私权化具有不可逾越的现实障碍:一是信息本身的价值和目的在于复制和分享,若由个人封闭式独占,则其价值无法实现,而一旦由他人共享,其独占性将不复存在;二是将信息赋予私人独占并没有现实的法律手段来彰显和维护,恰如传统不动产中的田界和动产的占有,这使得信息极易被复制和传播出外界。传统社会对于信息的独占是通过自身保密方式来短暂实现的,在网络社会则更依赖于加密技术。在以分享为前提的信息法秩序中,想要对于当前现实生活中的个人信息、知识产权和企业数据财产提供保护,就应当减少对于信息本身权利化的努力,而将重点放在规制互联网用户的操作行为上,同时强化规则的预防功能,以保障特定目的的实现。

2.从私益保护面向到公益保护面向

从数据与私人的关系入手展开数据法理论体系,必然以考量私益为先,这种思路某种程度上忽视了基于数据公共性本质而衍生的公共目的的普遍性。先从个人信息保护谈起。现今个人信息保护的理论是从最初的私人隐私保护出发,逐渐扩大到了一般人格利益甚至财产权,这种私益保护的思路是值得探讨的,其理由如下:

其一,各国个人信息保护规则并非遵循私权的类型化思路,而是将相关个人信息不加以区分而一并予以保护。具体而言,个人信息包括敏感信息(通常与隐私重合)和非敏感信息(主要包括可以构成识别性的行为信息),但这种分类方式在个人信息保护中并没有成为个人法益的定性区分方法,也没有强调不同信息之上存在的权利差异。在此基础上就个人信息实际上形成了两种保护方式的竞合,比如侵害隐私的数据利用行为既违反了人格权法上的规定,也构成了对个人信息法的违反,故应该同时适用两种不同的救济方式。这种法律样态令人产生疑问:如何理解这两种救济方式并存的理由?

其二,个人信息保护法以“可识别性”作为所保护信息的范围判断标准,且以“同意”为信息收集的合法来源,二者在私法上均不能得到合理解释。就可识别性而言,有学者合理地观察到,“可识别性”是社会交往的基础,现实生活中并没有禁止相关个人信息流动的根本理由。[30]事实上,网络上大量公开的个人信息都保持可识别性特点,但似乎又不能纳入个人信息保护的范围。另外,可识别的信息与个人利益并非直接相关,如个人相关信息并不一定与个人有实质的联系,只是通过相关性而对识别起到辅助作用。例如,时间、地点、参与人等中性的信息是否构成个人信息,纯粹取决于它们可否对识别他人有所贡献。这种理解个人信息的方式并不能圈定个人信息的本质范围和属性,其范围既宽广又不确定,更谈不上将它们都归入人格利益范围。另外,有学者还指出:“在当今信息处理的条件下,宽泛的个人数据可识别性标准(GDPR第4条第1项)变得越来越没有意义。除了纯粹的机器、传感器和天气数据外,再也没有非个人的数据了。”[31]就“同意”的意义而言,它也不能完全从私法上获得理解。经过用户的同意平台可以收集个人的信息既不能从私法上的交易来理解(其中没有有偿和对价因素),也不能从防御性的人格利益来理解,因为这种“同意”增加了人格遭到侵害的风险,更何况现实中存在诸多无须用户同意即可收集的情形。另外,尽管同意制度本来是彰显个人信息自决权的主要手段,但“同意协议简而无用,多而无功,实际上是确保信息自决的最糟糕的法律手段”。[32]

其三,个人信息保护主要适用于个人与网络平台的关系,并不能普遍适用于其他场景下的个人信息使用和分享领域,且其立法目标一直不甚清晰。如德国、欧盟、欧洲理事会、经济合作与发展组织(OECD),分别通过国内宪法、人权公约或国际条约确定了不同的个人数据保护目标,这些目标又分别归属于数据保护权、人格权、私人生活权、基本权利和自由、保证信息的机密性和技术系统完整性的权利、信息自决权等领域,而这些领域差别巨大,无法通约。这种状况揭示了各种立法倾向于将个人数据的保护作为一个预设的前提条件。GDPR也努力将每一项数据都纳入一套精心制定的保护规则,其理念可以理解为“全面预防”,即以默认禁止信息获取为基础规则,除非在法律中发现例外情况或数据当事人同意提供,这样就客观上形成了一个抽象的数据保护法。因此,在存在上述多种立法目标下,数据保护法的目的可以被解释为是防止任何损害,而在缺乏明确的法律保护目的的情况下,数据保护本身就可能是对其他权利的一种威胁。[33]对于数据保护的抽象探究,遮盖了其应服务的正确立法目标。数据无疑具有技术性和工具性,它本身并不具有天然的价值或目的,数据保护的目的应当存在于数据之外。

个人信息保护的私法进路忽视了个人信息保护法的目的。这种目的并不一定存在于私法,其直接目的更多地体现在公共领域,即规避因信息可能的泄露和滥用而导致的社会风险。我国目前有学者充分注意到了这一点。如有学者提出个人信息并不是基于个人控制的诉求,而是基于社会控制的需要。[34]也有学者认为西方个人信息的保护直接服务于消费者权益和公法目的。[35]个人信息本身并不存在问题,而是因为现代电子系统大规模的收集、利用和流通造成了信息泄露和滥用,故法律应予以规制来控制这种社会风险。从社会风险的防范角度来理解个人信息保护的目的,具有较强的涵盖性和解释力,它可能与隐私或人格的保护有一定关联,但数据保护本身只能被理解为某种合法权利的有效附属保护方式,也就是说数据保护本身只有在个人自由或权利有被侵害的可能时,才作为一个有效的公法保护方式存在。社会风险包括个人受侵害和社会利益被侵害两种情形。前者如2016年“徐玉玉电信诈骗案”、2018年“万豪酒店客户信息”失窃案,后者如Facebook数据泄露对美国选举的干扰等。[36]这种对公共风险的防范体现在世界各国的立法实践中。如GDPR在用户同意的基础上,又采用风险大小的识别来决定个人信息控制的程度。[37]又如美国联邦贸易委员会(FTC)则对于个人信息保护提出设计原则、选择原则和透明原则,在强化对数据收集和利用风险评估的基础上,采取全方位的控制,甚至对企业内部的例行工作和日常事项也提出了严格的要求。[38]我国2017年的《个人信息安全规范》则在同意机制的基础上,根据风险产生的可能性,区分不同的内容和告知方式来对同意机制进行细化,体现出实际风险防范的面向。GDPR生效后学界和产业界都在质疑其对于个人数据控制是否过于严格。依此分析,应该从消费者权益保护和风险防范的角度分析这种控制是否必要和充分。

除了个人信息保护具有直接的公共面向外,对于企业数据的保护也可以从公共目的或公共秩序的角度来理解。我国对于网络企业之间的纠纷目前主要是从竞争法的角度来予以判断和裁决。对企业是否可以赋予数据权,上文已有评析。但是如果免费从用户那里收集来的数据都能成为企业的私权,那么如何理解政府公开社会公共数据的行为呢?政府将权利转移给所有人了吗?因此,“引入‘数据所有权’非但不会促进数字经济和实现数据访问,反而会产生截然相反的效果,尤其是从公共利益的角度而言”。[39]企业数据的私权与数据的公共品特征的直接冲突,决定了对于现实生活中企业之间的数据纠纷,更多地只能从行为的社会危害性角度来考虑,反不正当竞争法就是从竞争秩序的维护来保护企业的有限法益。但判断一个行为是否侵害了竞争秩序,则需要从原告是否有损失以及被告是否构成不合理竞争行为来衡量。既然企业数据缺乏一个明确的法定权利外衣,通过私法权利的效力来获得救济便不再可行,行为的违法性判断便依赖一种科学的数据控制和操作规则体系,这种规则体系是在考虑数据主体、数据控制者和社会利益的基础上进行利益平衡的结果,具有鲜明的公共秩序特征。

3.从数据控制的强化转向数据控制的谦抑

电子数据因计算机和网络的普遍应用而进入了社会控制的领域,由此衍生出个人信息保护和企业正当数据权益保护等问题。这些问题并没有完全的普遍性,因为在非电子化时代,上述问题并不存在,由此理解,数据控制问题与数字技术和互联网直接相关,且解释和实现数据控制问题也一定不能脱离互联网技术体系的特殊语境。尽管当代数据立法仍处于探索和试错的阶段,但强化数据保护业已成为当代社会和产业界的现实诉求。从对个人信息保护空前严苛的欧盟GDPR,到纷繁芜杂的数据权利化理论主张,再到国家之间的数据跨境流动的“主权”争夺……种种尝试都在力争锁住数据流动的关节点,在“人我界分”间建立可控的数据利用秩序。[40]这种现实发展趋势体现了社会尝试驾驭和驯服电子数据这一新生事物的努力,有时是合理且有成效的,但并没有做到驾轻就熟,其原因在于,上述努力带有浓厚的将数据比照现实物质看待的“客体化”思维痕迹,也未能真正揭示将数据控制限于数字技术系统的真正目的和要求。

数据控制来源于互联网和数字技术系统的传播特性对现实秩序的威胁,快速和大规模的数据收集、运用和流动造成了诸多新的社会问题。数据控制的必要性在于,在承认数据技术对于信息分享的积极意义上,抵销或纠正不正当的数据利用方式带来的冲击,而非通过控制数据流动去影响数据的分享。对此现有的司法实践存在用力过猛的现象。如上海晟名网络科技有限公司、侯明强等非法获取计算机信息系统数据罪一案中,法院因为被告使用技术手段绕过服务器身份校验等系统保护措施并获取数据的行为,依《

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1273406      关注法宝动态:  

法宝联想
【相似文献】
【作者其他文献】

热门视频更多