協(xié)調好個人信息保護與數據產業(yè)發(fā)展的關系

訪北京大學法學院副院長薛軍教授

????????大數據時代中,數據已成為一種重要的資源。人民在享受這種資源所帶來的便捷、智能、高效等種種好處的同時,也為個人信息泄露等問題所困擾。加強個人信息保護的呼聲漸高。

????????近日,《信息安全技術移動互聯(lián)網應用收集個人信息基本規(guī)范(草案)》發(fā)布,面向社會公開征求意見。該草案提出,App運營者應履行個人信息保護義務,采取必要安全措施,保障用戶個人信息安全。App不得收集與所提供的服務無關的個人信息。對外共享、轉讓個人信息前,App應事先征得用戶明示同意。App應對其使用的第三方代碼、插件的個人信息收集行為負責。

????????就個人信息保護與數據產業(yè)發(fā)展如何平衡的問題,法制網記者近日采訪了北京大學法學院副院長、北京大學電子商務法研究中心主任薛軍教授。

????????遵循不同邏輯分別建構

????????記者:作為數據產業(yè)基礎的數據,多數依賴于對個人信息的收集和整理。有人說數據產業(yè)鏈上的任何一種行為,都涉及個人信息保護問題,數據產業(yè)的發(fā)展如在刀鋒上行走,對此你怎么看?

????????薛軍:這種說法并不夸張。目前在這一領域,合法與非法、商業(yè)創(chuàng)新與侵犯個人信息的區(qū)別界限的確并不是特別清晰。

????????雖然很多人已經意識到,社會正在進入“數據為王”的時代,但只有經歷了順豐與菜鳥之間的數據控制權之爭,華為與騰訊之間的用戶信息收集爭議,新浪微博與脈脈之間的涉數據訴訟后,才能真切體會到數據的確已成為互聯(lián)網與電子商務企業(yè)的核心關切。

????????2017年10月1日正式施行的《中華人民共和國民法總則》,第127條明確將“數據”作為一種受到法律保護的財產形態(tài)?！皵祿Y產”這一說法,也因此具有了堅實的法律基礎。同年6月1日開始施行的《中華人民共和國網絡安全法》,第四章中針對個人信息安全作出了具體規(guī)定。幾乎同一時間,最高人民法院與最高人民檢察院聯(lián)合發(fā)布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》),強化運用刑事制裁的手段嚴厲打擊倒賣個人信息的行為,其入罪門檻之低,令數據產業(yè)的從業(yè)者震撼。

????????法律的功能是對行為的規(guī)范與指引,數據時代到來,需要清晰的法律制度框架。在這一框架中,個人信息毫無疑問應受到保護,但數據產業(yè)的發(fā)展也應擁有一個界面友好型的法律制度環(huán)境。

????????記者:我國的數據法律體系是怎樣的?

????????薛軍:從制度建構的內在邏輯看,個人信息保護的法律制度體系與數據相關的法律制度體系,二者之間雖有密切聯(lián)系,但分屬于不同的制度,應遵循不同的邏輯分別建構。這在我國民法總則的相關條文中已經明確體現(xiàn)。

????????民法總則第111條規(guī)定了個人信息民法保護制度的基本框架,同時在第127條將數據單獨予以規(guī)定。雖然第127條性質上是轉引性規(guī)定,本身沒有實質內容,但至少表明中國立法者注意到個人信息與數據這二者存在差異。

????????此外,網絡安全法第七章也分別界定了網絡數據與公民個人信息這兩個不同的立法概念。

????????數據作為一種重要的資產形態(tài),圍繞其控制和利用所引發(fā)的法律問題會日益增多,必須將其作為獨立于個人信息保護的專門問題,進行研究分析。舉例來說,新浪微博訴脈脈一案中所提出的問題就是在Open API(Application Programming Interface)模式下,擁有源數據的平臺與基于開放平臺的應用程序開發(fā)者之間的數據權益分配問題,脈脈的行為之所以被法院認定為構成不正當競爭,是因為超越授權范圍使用數據,侵犯了新浪微博的數據權益。

????????需保護數據控制者權益

????????記者:關于數據的法律規(guī)范,現(xiàn)實中有哪些亟待解決的問題?

????????薛軍:這是涉及多個層次的問題。數據的特殊法律屬性,會引發(fā)大量疑難問題。在私法層面上,作為具有重要商業(yè)價值的資產形態(tài),數據的法律屬性是什么?數據是更類似“物”的一種有形資產還是技術秘密、商業(yè)秘密抑或專利類的無形資產?對數據如何妥當地進行定價?數據的權屬變動是更多地采取授權許可模式,還是轉讓模式?如果是后者,在相關交易無效或被撤銷時,是否存在返還救濟的可能性?某一個以數據作為其核心資產的數據公司,如果發(fā)生破產,對其擁有的相關數據資產應如何處理?為避免相關數據資產流失,是否會發(fā)生數據權利人的數據取回或請求銷毀問題?由于數據的可復制性,要回答以上問題并不簡單。

????????在行政法層面,政府為行使其監(jiān)管職能通常會向一些擁有數據的大型互聯(lián)網企業(yè)索取數據或者要求其報送數據。而這些數據本身屬于企業(yè)的核心資產,一旦向第三方公開或披露,其商業(yè)價值會受顯著影響。如何平衡政府對數據的需求與私人主體的數據權益保障之間的關系,是個值得探討的問題。

????????反壟斷法中,對企業(yè)并購進行反壟斷審查時,主要考慮并購對于市場占有率等因素的影響。但進入數據時代后,企業(yè)間的并購,目的更多在于整合各自擁有的數據資產,使之發(fā)生聚合反應,對于這種效應,當如何進行反壟斷意義上的評估?法律制度中是否可能會產生一個新的與市場份額壟斷相平行的數據壟斷概念?這些問題值得深入研究。

????????記者:近年來,企業(yè)之間圍繞數據資產,產生的數據爭奪行為越來越多,這背后又有著怎樣的問題?需要如何更好地解決?

????????薛軍:企業(yè)之間的數據爭奪案件提醒我們注意,要解決此類問題,需要發(fā)展出一系列相對清晰的賦權規(guī)則。賦權是法律上的概念,指的是基于一定的原則,將相關的權益在不同的主體之間進行分配。

????????一般來說,賦權的第一原則是原創(chuàng)原則、貢獻度原則,俗稱“汗水原則”。誰是創(chuàng)造者生產者,誰擁有相關的權益。另外還需要考慮的是社會效益原則。當把數據權益分配給某個特定的主體,能達到社會整體效益的最大化,那么這種賦權方案就具有潛在的正當性。還有公益原則,這是賦權的反向限制。也就是說,擁有數據權益的人,其享有的權益不是絕對的。在一定的情況下,權益人需要允許他人合理使用,要把數據開放給國家或他人使用。當然在這種情況下,使用者的訴求必須要基于社會公共利益,而不能僅僅基于自己商業(yè)利益的需要,就要求別人開放共享數據權益。因為在這種情況下,還是要尊重市場主體之間的競爭原則。

????????關于數據利用上的公益原則,我認為未來可以發(fā)展出一種基于社會公益的對數據擁有者的開放、共享的要求。這相當于知識產權中的合理使用以及民法上的禁止權利濫用制度。大的數據公司掌握了與社會生活關系密切的大數據,基于實現(xiàn)特定公益的需要,可以要求掌握數據的公司開放數據,這樣有利于社會生活。但對此要有嚴格限制:必須是基于公共利益的需要,例如提高城市管理水平、打擊拐賣婦女兒童的犯罪行為等等。

????????基于公共利益的需要,要求數據開放與共享,也意味著,原則上不能認可其他類型的數據共享與開放的要求。只有這樣才能夠保障數據公司對數據的合理程度的獨占和排他性利用的權益。這樣才能夠激勵更多的企業(yè)投入資源來收集、整理和開發(fā)各種數據,最后生成的高質量的大數據,對國家治理社會進步才具有價值。概言之,數據的合規(guī)利用需要一個明確的立法政策導向,以及妥當的司法裁判理念。國家可以而且應該通過類似保護知識產權的模式來保護數據控制者的正當權益。

????????形成良好社會共治體系

????????記者:如果數據產業(yè)的發(fā)展與加強個人信息的保護有沖突,應如何協(xié)調?

????????薛軍:二者的協(xié)調和均衡,很大程度上取決于信息技術的進一步發(fā)展以及有多方主體參與的社會共治格局的形成。

????????如果數據中包含了個人信息,那么數據利用合規(guī)的第一位的前提就是要尊重國家關于個人信息保護的所有法律規(guī)范。這一點不能有任何的含糊。不能因為強調數據擁有者的權益,就忽視了個人信息保護的合規(guī)要求。

????????也要注意到,個人信息保護與信息產業(yè)發(fā)展其實是伴生性問題。比如,個人使用手機會泄露個人信息,大家對此都很苦惱,但似乎并沒有人愿意回到通訊基本靠吼的時代。技術給大眾帶來便利是其主要方面,不能因為技術發(fā)展過程中出現(xiàn)的問題就把技術本身給抹殺,視之為洪水猛獸。所以還是需要堅定地鼓勵技術創(chuàng)新和發(fā)展。當然,這不意味著放任技術進步中伴生的種種負面因素。這些問題當然需要解決,但一定要以寬容、發(fā)展、長遠的態(tài)度對待技術發(fā)展中的問題。這是立法政策一定要把握住的,也是我本人長期以來堅持的觀點。舉例來說,對于數據公司內部人員可能存在的泄露個人信息的問題,可通過授權控制或訪問留痕等技術手段來解決。不能因為可能發(fā)生泄漏,就不允許收集。從技術上看,只要解決了相對意義上的匿名化,即使是基于個人信息的收集、整理所形成的數據,對其展開分析和利用,都不會對個人信息法益造成侵害,因為相關數據無法被用于識別特定的個人。

????????個人信息保護立法雖重要但并非萬能。在信息技術飛速發(fā)展的時代,指望立法者能夠及時在具體規(guī)則的層面上進行回應,是不現(xiàn)實的,因此需要依賴多方主體參與的社會共治機制,在數據產業(yè)和個人信息保護問題上發(fā)揮重要作用。最近幾年興起的第三方評價機制,也在引導互聯(lián)網企業(yè)合理地處理數據獲取的需求與保護個人信息二者間的均衡?？傮w看,圍繞數據產業(yè)與個人信息保護,一個良好的社會共治體系輪廓正在形成,我們需要做的是規(guī)范和培育這一體系的健康發(fā)展。