個人數(shù)據(jù)處理的行為結(jié)構(gòu)及其規(guī)范體系
【中國法治國際論壇(2021)主題征文】
[摘要]:個人數(shù)據(jù)處理可類型化分為個人數(shù)據(jù)的收集、加工以及使用三種�,且不同行為之間具有獨立性與所涉法益的差異性。個人對個人數(shù)據(jù)之上的個人信息享有人格利益���,該種人格利益在個人數(shù)據(jù)收集階段主要表現(xiàn)為隱私權(quán)�,在個人數(shù)據(jù)使用階段表現(xiàn)為各類人格權(quán)(具體人格權(quán)與一般人格權(quán))���;個人對個人數(shù)據(jù)享有財產(chǎn)利益�����,該種財產(chǎn)利益在個人數(shù)據(jù)加工階段表現(xiàn)為數(shù)據(jù)財產(chǎn)權(quán)�����。個人數(shù)據(jù)“收集行為”主要涉及數(shù)據(jù)主體的隱私權(quán)����,應通過隱私權(quán)予以規(guī)范;個人數(shù)據(jù)“使用行為”是信息能力平等主體之間的社會交互行為����,該行為涉及數(shù)據(jù)主體的多類人格權(quán),應通過具體人格權(quán)與一般人格權(quán)予以規(guī)范����;個人數(shù)據(jù)“加工行為”是信息能力不平等主體之間的權(quán)利讓渡行為,該行為涉及數(shù)據(jù)主體的數(shù)據(jù)財產(chǎn)權(quán)�����,應通過“合同”予以規(guī)范�����。
[關(guān)鍵詞]:個人數(shù)據(jù)處理�����;人格利益����;財產(chǎn)利益;行為結(jié)構(gòu)�����;規(guī)范體系
?
引言
個人數(shù)據(jù)應當受到保護����,此毫無疑問。但是���,當我們言及個人數(shù)據(jù)保護時�����,一個必須要回答的問題是:個人數(shù)據(jù)保護究竟保護的是什么�����?本質(zhì)上來看�,個人數(shù)據(jù)保護并非是單一的法益保護訴求�����,其存在于個人數(shù)據(jù)的不同處理行為之中,例如:2021年新出臺的《個人信息保護法》第四章標題即為“個人在個人信息處理活動中的權(quán)利”����。目前,《民法典》第1035條已通過概括式列舉的方式將何為數(shù)據(jù)(信息)處理予以明確�,并通過“知情同意”規(guī)則確定了數(shù)據(jù)處理的基本框架。然而����,該種“糅合式”的整體性規(guī)定卻忽略了不同數(shù)據(jù)處理行為的獨立性、邏輯上的連續(xù)性及其所涉法益的差異性��,由此便造成個人數(shù)據(jù)處理行為的精細化規(guī)范并不一定呈現(xiàn)出實然周延的狀態(tài)��。事實上����,個人數(shù)據(jù)處理內(nèi)在包括多重行為結(jié)構(gòu),根據(jù)個人數(shù)據(jù)處理的行為指向不同����,個人數(shù)據(jù)處理行為在整體上可分為三種,其一、前提行為結(jié)構(gòu):個人數(shù)據(jù)“收集行為”��;其二��、外部行為結(jié)構(gòu):個人數(shù)據(jù)“使用行為”�����;其三�����、內(nèi)部行為結(jié)構(gòu):個人數(shù)據(jù)“加工行為”�。個人數(shù)據(jù)處理的規(guī)范體系應是立足于不同數(shù)據(jù)處理階段���,理清不同數(shù)據(jù)處理階段的所涉法益���,并對不同數(shù)據(jù)處理行為分別予以精細化評價,才能實現(xiàn)個人數(shù)據(jù)侵害的圓滿救濟�����。
一�、個人數(shù)據(jù)處理的行為結(jié)構(gòu)
通常而言,我們言說的“處理”包括雙層含義,一層是:行為主體對客體的加工��,該種行為指向行為主體的行為內(nèi)部�����;另一層是:行為主體對客體的處置���,該種行為指向行為主體的行為外部����?��!睹穹ǖ洹返?035條以“行為集”的方式明確了數(shù)據(jù)(信息)處理包括數(shù)據(jù)的收集�����、存儲��、使用�����、加工�、傳輸、提供�、公開等。依據(jù)“處理”的雙層含義���,個人數(shù)據(jù)處理實質(zhì)上可類型化為以下三種��,其一���、個人數(shù)據(jù)的收集����,該種行為構(gòu)成整個數(shù)據(jù)處理活動的邏輯前提,例如針對個人數(shù)據(jù)進行的收集����、儲存;其二���、個人數(shù)據(jù)的加工���,該種行為指向數(shù)據(jù)控制主體的行為內(nèi)部,例如:針對個人數(shù)據(jù)進行的算法加工����;其三��、個人數(shù)據(jù)的使用��,該種行為指向數(shù)據(jù)控制主體的行為外部����,例如:針對個人數(shù)據(jù)進行的傳輸�、提供、公開等����。
(一)前提行為結(jié)構(gòu):個人數(shù)據(jù)“收集行為”
依據(jù)一般邏輯,行為人若想對個人數(shù)據(jù)進行處理�����,首先必須要有個人數(shù)據(jù)可供處理�����,因此個人數(shù)據(jù)“收集行為”是整個數(shù)據(jù)處理活動的邏輯前提��。根據(jù)個人數(shù)據(jù)收集時所涉主體的不同�����,其行為模式可分為“平臺—用戶”模式以及“平臺—用戶—第三方數(shù)據(jù)收集者”模式,且兩者間具有內(nèi)在邏輯以及結(jié)構(gòu)上的差異性���,需予以區(qū)分�。
1.“平臺—用戶”模式
網(wǎng)絡時代���,個人數(shù)據(jù)的生成離不開網(wǎng)絡平臺的參與��,在“平臺-用戶”這一直接的個人數(shù)據(jù)生成關(guān)系中��,平臺既是個人數(shù)據(jù)的生成者也是個人數(shù)據(jù)的收集者,其具有身份的雙重性��。該種模式下��,個人的任何登錄�、瀏覽、購買等行為幾乎都可以被網(wǎng)絡平臺以數(shù)據(jù)的形式直接進行自動化的記錄����、保存。但該種自動化記錄����、保存卻并非是刻意的����,而是與個人的網(wǎng)絡行為相伴而生的��,具有一定的技術(shù)必然性�����。在某種程度上甚至可以說����,個人如果不想留下數(shù)據(jù)痕跡,除非是不進行網(wǎng)絡活動�����。當然����,反駁的觀點可能會認為,用戶享有遺忘權(quán)�����,可以請求網(wǎng)絡平臺刪除相關(guān)數(shù)據(jù)。但是�����,遺忘權(quán)的配置只是應用了人類記憶中關(guān)于“遺忘”信息的隱喻����,即:當個人要求刪除他們的個人數(shù)據(jù)時,這相當于要求別人忘記這些數(shù)據(jù)�,而該種隱喻只屬于人類的頭腦,卻并不能轉(zhuǎn)化為人工智能或者機器學習時代�。進而言之,遺忘權(quán)的本質(zhì)是個人有權(quán)要求刪除他們的數(shù)據(jù),但是技術(shù)邏輯下��,遺忘權(quán)卻只可能是避免被檢索�����,并不能永久地刪除平臺所儲存的相關(guān)數(shù)據(jù)�,除非是徹底地破壞計算機存儲系統(tǒng)��。在肯定平臺對數(shù)據(jù)收集����、保存的必然性后���,平臺的個人數(shù)據(jù)收集行為是否會對個人的數(shù)據(jù)隱私產(chǎn)生損害?答案應是否定的����。因為在“平臺—用戶”數(shù)據(jù)收集模式下,用戶已經(jīng)通過“隱私政策”的“同意”表明自身對隱私利益的放棄���。在此處�,盡管很多學者從網(wǎng)絡平臺與用戶地位實質(zhì)不平等的角度對“同意”的有效性持懷疑態(tài)度�����。但一種更信服的理由是����,在技術(shù)邏輯下,一方面�����,當用戶登錄使用網(wǎng)絡平臺時�,網(wǎng)絡平臺對用戶的自動記錄、收集無法避免;另一方面�,用戶顯然知道自身的登錄數(shù)據(jù)會被平臺所記錄,而用戶事實上已經(jīng)以行為的方式對其相關(guān)隱私利益進行了放棄���。此外����,值得注意的是����,平臺作為個人數(shù)據(jù)的實質(zhì)控制主體,雖然可以自動收集��、儲存用戶的數(shù)據(jù)���,但是依據(jù)誰“占有���、保管”個人信息,誰就應該對個人信息給予保護�����,并承擔責任的一般邏輯�,平臺以及平臺之上的經(jīng)營者必然應對其保存的海量個人數(shù)據(jù)負有嚴格的安全保障義務�。該種義務要求平臺確保個人的相關(guān)隱私數(shù)據(jù)不被第三人所非法獲取��,例如:2011年索尼公司因未適格履行安保義務導致數(shù)百萬個數(shù)據(jù)集被黑客訪問,最終被英國信息專員處以罰款��。當然也有人認為,平臺對個人數(shù)據(jù)負有一種信義義務(數(shù)據(jù)信托),其借助信義義務可實現(xiàn)了數(shù)據(jù)控制人與數(shù)據(jù)主體之間權(quán)利義務的不均衡配置��。但是�����,信義義務內(nèi)在卻具有兩個不容忽視的缺陷�����,在主體方面:因數(shù)據(jù)控制者的數(shù)量太多,可能導致“信息受托人”過于寬泛�����;在客體方面:個人信息實質(zhì)上并不具有信托財產(chǎn)所要求的確定性和獨立性或獨立的運用價值。
2.“平臺—用戶—第三方數(shù)據(jù)收集者”模式
個人數(shù)據(jù)的收集者并非僅局限于平臺。當個人數(shù)據(jù)收集者與平臺相異時��,“平臺—用戶—第三方數(shù)據(jù)收集者”這一涉及三元主體的個人數(shù)據(jù)收集結(jié)構(gòu)便會形成?���,F(xiàn)實生活中,個人數(shù)據(jù)多是在網(wǎng)絡平臺產(chǎn)生并被其所控制�����,第三方數(shù)據(jù)收集者若想收集個人的相關(guān)數(shù)據(jù)就必須從網(wǎng)絡平臺處獲取�����。問題是�,第三方數(shù)據(jù)收集者從平臺收集個人數(shù)據(jù)的行為是否可能會損害數(shù)據(jù)主體的隱私利益�?此時的答案應是肯定的。一方面�,個人數(shù)據(jù)之上可能承載著數(shù)據(jù)主體的隱私利益,雖然網(wǎng)絡平臺自動保存用戶數(shù)據(jù)的行為不會損害數(shù)據(jù)主體的隱私利益�,但并不意味著數(shù)據(jù)主體的相關(guān)隱私利益因被平臺知悉而喪失。當?shù)谌綌?shù)據(jù)收集者未經(jīng)用戶同意�����,從平臺收集個人的相關(guān)隱私數(shù)據(jù)時�����,其同樣構(gòu)成對個人隱私利益的侵犯����。另一方面,基于對海量個人數(shù)據(jù)控制��,平臺享有的是一種財產(chǎn)性利益��,但該種財產(chǎn)性利益卻并不具有所有權(quán)結(jié)構(gòu)��,而個人數(shù)據(jù)之上的隱私權(quán)益屬于人格權(quán)的范疇�����,該種人格利益歸屬于數(shù)據(jù)主體�����。因此���,用戶對平臺所控制的個人數(shù)據(jù)之上的個人信息享有一定的隱私預期�。該種預期指向一種更為基礎(chǔ)的隱私規(guī)范—“看破不說破”����,恰如有學者所言:“如果數(shù)據(jù)全面收集本身是不可逆的趨勢����,那么數(shù)據(jù)保護制度的核心和側(cè)重����,也必然并已經(jīng)轉(zhuǎn)向?qū)?shù)據(jù)控制者的行為規(guī)制”。值得說明的是�����,對第三方數(shù)據(jù)收集者的行為規(guī)范應僅限于對相關(guān)個人隱私數(shù)據(jù)的收集行為��,其對非個人隱私數(shù)據(jù)的收集行為并不屬于應當評價的范疇�����。因為非個人隱私數(shù)據(jù)具有公開性以及獲取的便捷性�����,而第三方數(shù)據(jù)收集主體對該類數(shù)據(jù)的收集既不會侵犯數(shù)據(jù)主體的隱私利益����,也不會侵犯平臺的數(shù)據(jù)控制利益�����。因此�����,如果平臺未取得數(shù)據(jù)主體的“同意”而授權(quán)第三方數(shù)據(jù)收集者對相關(guān)個人隱私數(shù)據(jù)進行收集,則平臺同樣侵犯數(shù)據(jù)主體的隱私利益��。當然��,如果第三方數(shù)據(jù)收集者未取得網(wǎng)絡平臺的同意而收集相關(guān)個人隱私數(shù)據(jù)����,則該種數(shù)據(jù)收集行為便具有雙重侵害性,一重是:侵害網(wǎng)絡平臺的數(shù)據(jù)控制利益(財產(chǎn)利益)����;另一重則是:侵害個人數(shù)據(jù)主體的隱私權(quán)益。
?����。ǘ┩獠啃袨榻Y(jié)構(gòu):個人數(shù)據(jù)“使用行為”
嚴格來說����,數(shù)據(jù)控制主體針對個人數(shù)據(jù)的各種行為都可稱之為使用����,但此時所說的個人數(shù)據(jù)“使用行為”僅指數(shù)據(jù)控制主體對個人數(shù)據(jù)的外部交互性使用�����,而當數(shù)據(jù)控制數(shù)據(jù)主體對個人數(shù)據(jù)進行價值創(chuàng)造性的使用�����,則為:個人數(shù)據(jù)“加工行為”�。人之社會性決定了社會交互行為發(fā)生的必然性,該種行為通常發(fā)生在平等主體之間����。數(shù)據(jù)時代以前,個人信息的社會性流動主要是以語言或者書面文字為載體�����,由信息控制主體基于各種目的(合法或非法)通過語言或者書面文字向外部發(fā)出���,他人通過對個人信息的接收而實現(xiàn)相關(guān)個人信息的獲取����。而數(shù)據(jù)時代,該種信息流動則是以數(shù)據(jù)化的個人信息的轉(zhuǎn)移為主要形式��,即:數(shù)據(jù)控制主體將數(shù)據(jù)化的個人信息向特定或不特定的他人發(fā)出�,他人獲取相關(guān)數(shù)據(jù)后,借助計算機識別出數(shù)據(jù)之上的相關(guān)個人信息����。從不同時期信息流動的方式來看��,個人信息的流動應僅僅存在信息流動所依賴載體的不同��,前者多是借助于語言或者書面文字���,而后者則是數(shù)據(jù)���。一直以來,囿于個人信息的傳統(tǒng)敘事結(jié)構(gòu)��,人們習慣性地將個人信息等同于個人信息的載體�����,例如,當我們看到有關(guān)個人信息的文字時就會習慣性的認為文字就是個人信息�。人們之所以未區(qū)分個人信息與個人信息的載體,一方面�����,是因為現(xiàn)實中對個人信息和個人信息載體進行分割很不方便����;另一方面,是因為相關(guān)法規(guī)范也沒有對兩者分別設定法學意義上的客體����,由此便產(chǎn)生個人信息與個人信息載體的混淆。從信息與數(shù)據(jù)的關(guān)系來看�����,數(shù)據(jù)系信息存在的一種形式�����,而信息是數(shù)據(jù)所體現(xiàn)的內(nèi)容���。因此�����,我們通常所說的個人信息更確切的表述應是“數(shù)據(jù)載體之上所承載的個人之信息”�。而無論是以文字或語言為載體的個人信息,還是以數(shù)據(jù)為載體的個人信息��,其社會交互性使用的直接目的就是“被識別”���,但該種“被識別”卻并非依賴個人數(shù)據(jù)����,而是依賴于個人數(shù)據(jù)的表現(xiàn)形式-個人信息��。一般而言�����,個人信息使用行為應包括個人信息的正當使用與個人信息的不正當使用兩方面��。當個人信息持有主體為本人時�����,因自己并不能向自己基于人格權(quán)侵害而主張權(quán)利�,所以個人對其個人信息的自主使用并不會都受到不利評價�����,但是當個人信息的使用行為違反國家相關(guān)法律、法規(guī)時應除外�����。當個人信息持有主體為第三人時�����,若其基于正常的社會交互進行合理使用�����,當然也不會受到規(guī)范的不利評價�����;但是若其基于非法目的�����,進行不正當?shù)纳鐣换ナ褂茫瑒t個人數(shù)據(jù)使用者就需承擔相應的民事責任�����。
?����。ㄈ﹥?nèi)部行為結(jié)構(gòu):個人數(shù)據(jù)“加工行為”
傳統(tǒng)語境下�����,個人信息與其載體的區(qū)分并無太大意義�����,但是隨著數(shù)據(jù)經(jīng)濟價值的日益凸顯�����,該種區(qū)分就變的有意義�����。信息生產(chǎn)力是數(shù)據(jù)時代最活躍�����,最具創(chuàng)造性�����、革命性�����,最核心的生產(chǎn)力�����,而該種生產(chǎn)力多存在于網(wǎng)絡平臺與用戶之間�����。從數(shù)據(jù)信息的類型來看�����,與個人相關(guān)的數(shù)據(jù)信息應包括兩種�����,一種是數(shù)據(jù)化的個人原始信息,即:“個人原始信息—個人原始數(shù)據(jù)”�����。在這一結(jié)構(gòu)中�����,個人原始信息與其對應的數(shù)據(jù)雖然形式不同�����,但是兩者的內(nèi)涵等同�����,具有轉(zhuǎn)換的雙向性�����。另一種是個人原始信息的衍生信息�����,即:“個人原始信息—個人原始數(shù)據(jù)—衍生信息”�����。在這一結(jié)構(gòu)中�����,衍生信息與個人原始信息的內(nèi)容并不相同�����,其是一種完全脫離于個人原始信息內(nèi)涵的信息�����。從個人數(shù)據(jù)的價值實現(xiàn)來看�����,數(shù)據(jù)化的個人原始信息通常只是對既存的個人信息進行載體的轉(zhuǎn)換�����,該種轉(zhuǎn)換是數(shù)據(jù)從0到1的過程�����,并未賦予個人信息以新的內(nèi)容。但是�����,因為原始信息數(shù)據(jù)具有客觀性�����,所以該類數(shù)據(jù)的主要作用是為衍生信息的生產(chǎn)進行要素供給或者由數(shù)據(jù)控制主體基于正當或者不正當?shù)哪康膶υ擃悢?shù)據(jù)進行社會性的傳播使用�����。與之相反�����,衍生信息的生產(chǎn)依賴于數(shù)據(jù)控制主體對個人數(shù)據(jù)的處理�����,即:數(shù)據(jù)是從1到f(1)的過程�����。目的論視角下,個人數(shù)據(jù)“加工行為”并非是以個人數(shù)據(jù)的對外使用為目的�����,而是以對內(nèi)的信息價值創(chuàng)造為導向�����。當個人數(shù)據(jù)(原始信息)被記錄�����、存儲后�����,數(shù)據(jù)控制主體往往可通過算法加工獲取海量數(shù)據(jù)之中所蘊含的價值信息�����,該類信息將直接提高生產(chǎn)力�����,例如:商家通過對某一商品的銷售數(shù)據(jù)的分析�����,可得出該種商品的不同性別銷售比例�����、不同人群購買比例�����、價格的可接受度等信息�����。需要特別指出的是�����,在個人數(shù)據(jù)“加工行為”這一結(jié)構(gòu)中�����,數(shù)據(jù)控制主體只是對各個人數(shù)據(jù)本身進行的算法加工�����,其往往并不需要對單一個人數(shù)據(jù)進行識別,例如:數(shù)據(jù)控制者想要獲取某一商品的整體價格接受度�����,其僅需通過算法技術(shù)提取出海量數(shù)據(jù)中代表個人消費價格的數(shù)據(jù)符號�����,而無需針對每個數(shù)據(jù)一一進行識別性統(tǒng)計�����。因此�����,個人數(shù)據(jù)“加工行為”遵循的是技術(shù)邏輯�����,該種邏輯僅依賴于海量個人數(shù)據(jù)的算法分析而與個人數(shù)據(jù)的社會性“被識別”無關(guān)�����。
?����。ㄋ模┬〗Y(jié)
無論是個人數(shù)據(jù)的“收集行為”�����、“使用行為”還是個人數(shù)據(jù)的“加工行為”都必然會與信息的載體—數(shù)據(jù)�����,產(chǎn)生千絲萬縷的聯(lián)系�����,而該種聯(lián)系也是造成不同數(shù)據(jù)處理階段�����、不同數(shù)據(jù)處理行為相纏繞的癥結(jié)�����。德國法學者蔡希(Zech)認為�����,信息在本質(zhì)上,可為結(jié)構(gòu)層面的信息�����、符號層面的信息和語義層面的信息�����,其中符號層面的信息就是信息的載體�����,而語義層面的信息則是載體所蘊含的信息�����。就個人信息的數(shù)據(jù)載體而言�����,個人數(shù)據(jù)便屬于符號層面�����,而個人信息則屬于語義層面�����。個人數(shù)據(jù)“使用行為”是以數(shù)據(jù)之上的個人信息的“被識別”為目的�����,該種目的往往是基于人之社會性�����,通過個人數(shù)據(jù)的對外使用來實現(xiàn)�����。因此�����,個人數(shù)據(jù)“使用行為”往往是針對語義層面的信息—個人信息�����。個人數(shù)據(jù)的處理行為則并不以個人信息的“被識別”為導向�����,其是以數(shù)據(jù)符號為行為對象,數(shù)據(jù)加工主體通過對個人數(shù)據(jù)的算法加工以挖掘數(shù)據(jù)中的經(jīng)濟價值�����。因此�����,個人數(shù)據(jù)“加工行為”往往是針對符號層面的信息—個人數(shù)據(jù)�����。此外�����,個人數(shù)據(jù)“收集行為”作為個人數(shù)據(jù)加工以及使用的前提�����,因數(shù)據(jù)收集階段并不存在數(shù)據(jù)處理行為�����,所以個人數(shù)據(jù)“收集行為”并不涉及數(shù)據(jù)主體的經(jīng)濟利益�����,而只涉及數(shù)據(jù)主體的人格性利益�����,即:個人數(shù)據(jù)“收集行為”針對的也是語義層面的信息—個人信息�����。
二�����、個人數(shù)據(jù)處理的法益結(jié)構(gòu)
個人對其個人數(shù)據(jù)并不享有一項可以統(tǒng)攝整個數(shù)據(jù)處理過程的絕對權(quán)利,其享有的是一種利益,該種利益在不同數(shù)據(jù)處理階段具有法益指向的特定性與差異性�����,并權(quán)利化為不同的權(quán)利�����。具體而言�����,個人數(shù)據(jù)“收集行為”與“使用行為”針對的是個人數(shù)據(jù)的內(nèi)容—個人信息�����,個人對個人數(shù)據(jù)之上的個人信息享有人格利益�����,該種人格利益在數(shù)據(jù)個人數(shù)據(jù)收集階段權(quán)利化為隱私權(quán)�����,在個人數(shù)據(jù)使用階段權(quán)利化為各類人格權(quán)(具體人格權(quán)與一般人格權(quán))�����;個人數(shù)據(jù)“加工行為”針對的是個人信息的載體—個人數(shù)據(jù),而個人對個人數(shù)據(jù)享有財產(chǎn)利益,該種財產(chǎn)利益在數(shù)據(jù)加工階段權(quán)利化為數(shù)據(jù)財產(chǎn)權(quán)。
(一)個人對其個人數(shù)據(jù)享有人格性利益
個人對個人數(shù)據(jù)享有人格利益�����,還是人格權(quán)利�����?學界莫衷一是�����。從民事利益被保護的狀態(tài)來看�����,民事利益可分為:“未受法律保護的利益”�����、“受法律保護的利益”以及“權(quán)利化的利益”�����。顯然�����,權(quán)利保護模式具有請求權(quán)基礎(chǔ)的確定性�����,而利益保護模式需借助于其他法律規(guī)范則顯得稍顯寬松�����。個人數(shù)據(jù)之上的人格利益保護究竟應采取何種模式�����?首先�����,如果采“權(quán)利”保護模式�����,則該種數(shù)據(jù)權(quán)利便是我們通常所說的“個人數(shù)據(jù)權(quán)”�����。而任何權(quán)利都應有明確的權(quán)利客體,那么個人數(shù)據(jù)權(quán)的權(quán)利客體是什么�����?從信息與數(shù)據(jù)的關(guān)系來看�����,數(shù)據(jù)是信息的載體,而信息則是數(shù)據(jù)的表現(xiàn)形式,因此兩者的內(nèi)涵實質(zhì)相同。對于個人信息的界定�����,我國以及歐盟均采用的是“直接可識別+間接可識別”標準�����,因此個人信息所對應的個人數(shù)據(jù)當然也應是根據(jù)“直接可識別+間接可識別”的標準予以確定。然而�����,大數(shù)據(jù)時代�����,個人的任何行為�����、特征�����、愛好等均可以被數(shù)據(jù)化�����,而數(shù)據(jù)又具有關(guān)聯(lián)性強的特定�����,數(shù)據(jù)控制主體通過數(shù)據(jù)之間的關(guān)聯(lián)性幾乎可以識別出任何特定數(shù)據(jù)主體�����。由此可以發(fā)現(xiàn)�����,任何與個人相關(guān)數(shù)據(jù)均可以被稱之為個人數(shù)據(jù)�����。毫無疑問�����,個人數(shù)據(jù)的賦權(quán)保護當然可全面�����、周延的保護個人之人格利益�����。但不容忽略的是�����,個人數(shù)據(jù)權(quán)應是一項人格權(quán),人格權(quán)屬于絕對權(quán),而個人數(shù)據(jù)權(quán)的客體可等同于個人的所有數(shù)據(jù)�����。如果沿著此種邏輯�����,則任何對個人數(shù)據(jù)的獲取行為都可能構(gòu)成侵權(quán)�����,此顯然不僅不符合人之社會屬性�����,也不利于數(shù)據(jù)的社會性正當流通。反之,如果肯定個人對其數(shù)據(jù)享有人格性利益�����,而不是一項貫徹個人數(shù)據(jù)處理行為始終的�����、絕對的個人數(shù)據(jù)權(quán),則個人數(shù)據(jù)的利用與數(shù)據(jù)的保護就會相對緩和�����。同時�����,我國民法典不僅有詳盡的具體人格權(quán)�����,也有一般人格權(quán)進行兜底保護,更有針對數(shù)據(jù)處理行為的數(shù)據(jù)主體“同意”的限制�����,如果此時再賦予個人以個人數(shù)據(jù)權(quán),則必然會導致規(guī)范設計的重合與沖突。
(二)個人數(shù)據(jù)“收集行為”:數(shù)據(jù)主體之隱私權(quán)
人格是一個十分寬泛的概念,隱私僅是其中的一部分�����,個人數(shù)據(jù)處理涉及多種人格權(quán),而在個人數(shù)據(jù)收集階段則主要表現(xiàn)為隱私權(quán)。個人數(shù)據(jù)“收集行為”的行為對象是個人數(shù)據(jù)�����,但并非對于任一個人數(shù)據(jù)的收集都需客以法益保護的限制�����,個人數(shù)據(jù)“收集行為”的規(guī)范應僅限于對個人數(shù)據(jù)隱私的侵害。數(shù)據(jù)時代�����,在個人數(shù)據(jù)收集階段,數(shù)據(jù)主體所享有的隱私利益常常被忽視或者被其他數(shù)據(jù)處理行為涉及的法益所掩蓋,此不僅割裂了數(shù)據(jù)處理行為內(nèi)在的獨立性�����,也造成個人數(shù)據(jù)法益侵害的遺漏評價。事實上,個人數(shù)據(jù)收集行為作為獨立的數(shù)據(jù)處理行為,具有法益指向的特定性。通常而言,正常的個人數(shù)據(jù)收集活動并不會被禁止�����,例如:既有的生活經(jīng)驗告訴我們,第三人完全可以自由的收集已公開的相關(guān)個人數(shù)據(jù)(但是不能使用自由收集的相關(guān)個人數(shù)據(jù)侵害數(shù)據(jù)主體的人格權(quán)益),而對個人數(shù)據(jù)收集行為的規(guī)范僅僅是非法收集他人的隱私數(shù)據(jù)。從域外相關(guān)立法來看,美國是通過分散立法的方式,以隱私權(quán)保護為基礎(chǔ),通過隱私權(quán)(在美國,隱私權(quán)承擔了一般人格權(quán)的功能)對個人信息(個人數(shù)據(jù))收集行為加以保護�����。與之相反,大陸法系則是通過制定統(tǒng)一的個人信息保護法對數(shù)據(jù)收集行為予以規(guī)范,例如:德國《聯(lián)邦數(shù)據(jù)保護法》第1條便規(guī)定: 本法制定的目的是保護個人隱私權(quán)使其不因個人數(shù)據(jù)的處理而受到侵害(The purpose of this Act is to protect individual against his right to privacy being impaired through the handling of hie personal data),但隨后德國聯(lián)邦憲法法院又創(chuàng)設信息自決權(quán)(Census decision),并在實踐中將其與隱私權(quán)區(qū)分。由此可知�����,個人數(shù)據(jù)“收集行為”主要與隱私有關(guān)�����,而隱私權(quán)雖然不是數(shù)據(jù)處理時所涉及的唯一權(quán)利�����,但是至少在數(shù)據(jù)收集階段其是一項主要涉及的權(quán)利�����。因為,從根本上來說,單一數(shù)據(jù)是非結(jié)構(gòu)性的�����,其本身并不涉及特定的目的�����。在個人數(shù)據(jù)的收集階段�����,個人數(shù)據(jù)的收集具有非結(jié)構(gòu)性�����,此僅可能涉及到對個人隱私的侵犯�����,并不涉及其他值得保護的法益。
?����。ㄈ﹤€人數(shù)據(jù)“使用行為”:數(shù)據(jù)主體之人格權(quán)
個人數(shù)據(jù)“使用行為”在行為邏輯上屬于個人數(shù)據(jù)“收集行為”的延續(xù)�����,個人數(shù)據(jù)收集行為主要涉及數(shù)據(jù)主體的隱私利益�����,而個人數(shù)據(jù)使用行為則主要涉及數(shù)據(jù)主體的其他具體人格利益(包括隱私利益)�����。這里可能會產(chǎn)生這樣的疑惑�����,既然在個人數(shù)據(jù)“使用行為”的前端—個人數(shù)據(jù)收集階段,已經(jīng)存在隱私利益保護的限制,為何在個人數(shù)據(jù)使用行為階段仍以隱私利益加以限制�����?這是因為�����,隱私權(quán)是以生活安寧和私人秘密作為其基本內(nèi)容,在個人數(shù)據(jù)收集階段,數(shù)據(jù)收集行為的規(guī)范重點在于對個人隱私數(shù)據(jù)的直接侵入獲取,而不包括對一般個人數(shù)據(jù)的獲取。但是在個人數(shù)據(jù)使用階段,數(shù)據(jù)收集主體使用獲取的一般個人數(shù)據(jù)仍可能對數(shù)據(jù)主體的生活安寧產(chǎn)生侵擾或者二次傳播自己所實際控制的個人隱私數(shù)據(jù)也會對數(shù)據(jù)主體之隱私權(quán)益造成侵害�����。如上所述�����,個人數(shù)據(jù)“使用行為”作為一種社會交互性針對的是個人數(shù)據(jù)的內(nèi)容層面—個人信息�����,因此個人數(shù)據(jù)“使用行為”的規(guī)范亦應圍繞著個人數(shù)據(jù)之上的個人信息展開�����。民法保護個人信息之上的人格利益始于羅馬法(例如:羅馬私法上對侮辱以及名譽的保護)�����,隨著理論的深入發(fā)展�����,后來的民法又逐漸從法律技術(shù)上將人格利益予以類型化�����,并擇其主要者予以保護�����,進而最終形成“一般人格權(quán)+具體人格權(quán)”的保護模式�����。具體而言:第一�����、對于姓名�����、肖像�����、名譽、榮譽等邊界清晰的人格利益�����,通過姓名權(quán)�����、肖像權(quán)�����、名譽權(quán)�����、榮譽權(quán)等予以保護�����;第二�����、對于歷史中已經(jīng)形成了規(guī)范群的隱私利益�����,通過隱私權(quán)予以保護�����;第三�����、對于邊界并不清晰的人格利益(人格自由�����、人格尊嚴等)�����,則通過一般人格權(quán)予以規(guī)范�����。
?����。ㄋ模﹤€人數(shù)據(jù)“加工行為”:數(shù)據(jù)主體之財產(chǎn)權(quán)
當談及個人數(shù)據(jù)中的人格利益保護時,我們所說的個人數(shù)據(jù)通常是指數(shù)據(jù)之上所蘊含的個人信息�����;而當談及數(shù)據(jù)經(jīng)濟價值的實現(xiàn)時�����,個人數(shù)據(jù)則是指個人數(shù)據(jù)本身�����。目前�����,關(guān)于個人數(shù)據(jù)的處理行為�����,較為一致的觀點認為�����,其是以“知情同意”為核心進行的規(guī)則建構(gòu)�����。但問題在于�����,對個人數(shù)據(jù)的收集或使用�����,數(shù)據(jù)控制主體的確可以通過數(shù)據(jù)主體的“知情同意”而阻卻人格侵權(quán)�����,但是否意味著數(shù)據(jù)控制主體收集�����、控制個人數(shù)據(jù)后就可以當然的加工個人數(shù)據(jù)�����?從個人數(shù)據(jù)的價值實現(xiàn)上來看�����,數(shù)據(jù)經(jīng)濟價值的發(fā)揮依賴于數(shù)據(jù)控制主體對海量數(shù)據(jù)的算法加工,該種加工行為可分為兩個階段�����,第一階段為:數(shù)據(jù)控制主體對單一個人數(shù)據(jù)(原始數(shù)據(jù))的收集階段�����;第二階段為:數(shù)據(jù)控制主體基于海量個人數(shù)據(jù)集的篩選�����、算法處理產(chǎn)生新的數(shù)據(jù)(衍生數(shù)據(jù))階段��。毋庸置疑的是��,在第二階段��,當數(shù)據(jù)處理主體投入相應的勞動成本對海量原始數(shù)據(jù)進行算法加工處理時��,依據(jù)洛克的勞動財產(chǎn)理論��,則數(shù)據(jù)控制主體必然應對原始數(shù)據(jù)所產(chǎn)生的衍生數(shù)據(jù)享有數(shù)據(jù)財產(chǎn)權(quán)��。但是在第二階段��,個人對其數(shù)據(jù)是否享有財產(chǎn)權(quán)��?在這里有學者認為:“必須賦予個體一種個人信息自決權(quán) (或個人信息權(quán))來保護其利益��,并且這種權(quán)利具有支配性特征��,其義務主體負有相應的作為和不作為”��。但是信息自決權(quán)在本質(zhì)上仍屬于人格權(quán)��,該種權(quán)利雖然有利于數(shù)據(jù)主體對其數(shù)據(jù)的自主控制��,并不能觸及個人數(shù)據(jù)所蘊含的經(jīng)濟價值��,恰如有學者所言��,“與其賦予個人以數(shù)據(jù)自決��,倒不如直接肯定個人數(shù)據(jù)財產(chǎn)權(quán)”��。需要注意的是��,此時的個人數(shù)據(jù)財產(chǎn)權(quán)只是在個人數(shù)據(jù)加工階段將個人所享有的財產(chǎn)性利益予以權(quán)利化��,該種財產(chǎn)權(quán)并非是貫徹整個數(shù)據(jù)處理行為始終的權(quán)利。從更精細化的角度來看��,個人對其個人數(shù)據(jù)享有數(shù)據(jù)財產(chǎn)權(quán)的正當性理由主要包括以下方面��。其一��、不同主體對其個人數(shù)據(jù)之上的信息價值期待具有主觀性��,例如:明星針對其數(shù)據(jù)價值的期待與平常人并不相同��,如果賦予個人對個人數(shù)據(jù)享有數(shù)據(jù)財產(chǎn)權(quán)��,則可通過數(shù)據(jù)“定價”有效滿足不同人對其數(shù)據(jù)價值的期待��。其二��、雖然有學者認為��,“單一的個人數(shù)據(jù)上蘊含的財產(chǎn)利益有限��,甚至是根本就沒有財產(chǎn)性利益”��。但是��,根據(jù)龐巴維克的經(jīng)濟學原理并綜合數(shù)據(jù)產(chǎn)業(yè)的發(fā)展可知��,個人數(shù)據(jù)之上必然含有財產(chǎn)性利益��。因為��,數(shù)據(jù)價值的實現(xiàn)依賴于“數(shù)據(jù)集”��,而個人數(shù)據(jù)作為數(shù)據(jù)集的子數(shù)據(jù)當然具有財產(chǎn)性價值��。所不同的是��,這種價值只是大小的問題��,而財產(chǎn)性價值的多少并非否定個人對其數(shù)據(jù)享有財產(chǎn)權(quán)利的理由��。其三��、人對其數(shù)據(jù)享有財產(chǎn)性權(quán)利的更體系化理由是��,《民法典》第127條規(guī)定:“法律對數(shù)據(jù)��、網(wǎng)絡虛擬財產(chǎn)的保護有規(guī)定的��,依照其規(guī)定”��。基于規(guī)范分析��,該條雖未明確法律所保護的數(shù)據(jù)法益究是人格利益還是財產(chǎn)利益��,但是至少可以肯定的是相關(guān)主體對數(shù)據(jù)應享有民事權(quán)益��。而只有肯定個人對其數(shù)據(jù)享有財產(chǎn)性權(quán)利��,企業(yè)數(shù)據(jù)權(quán)的取得才會順暢��,因為個人對數(shù)據(jù)的財產(chǎn)性權(quán)利可以通過合同的方式予以放棄或者轉(zhuǎn)讓��,企業(yè)可基于合法有效的合同繼受取得財產(chǎn)性權(quán)利��。
三��、個人數(shù)據(jù)處理的規(guī)范體系
個人數(shù)據(jù)處理行為的規(guī)范體系應包括個人數(shù)據(jù)“收集行為”的規(guī)范��、“使用行為”的規(guī)范以及個人數(shù)據(jù)“加工行為”的規(guī)范��。個人數(shù)據(jù)“收集行為”是整個數(shù)據(jù)處理活動的基礎(chǔ)性行為��,該行為主要涉及數(shù)據(jù)主體的隱私利益��,所以應通過隱私權(quán)予以規(guī)范��。個人數(shù)據(jù)“使用”行為是信息能力平等主體之間的社會交互行為��,該行為因涉及數(shù)據(jù)主體廣泛的人格性利益��,所以應通過不同的人格權(quán)予以規(guī)范��。個人數(shù)據(jù)“加工行為”是信息能力不平等主體之間的權(quán)利讓渡行為��,該種行為因涉及數(shù)據(jù)主體的財產(chǎn)性利益��,所以應肯定數(shù)據(jù)主體在個人數(shù)據(jù)處理階段對其個人數(shù)據(jù)享有數(shù)據(jù)財產(chǎn)權(quán)��,并通過“合同”予以規(guī)范��。
?�。ㄒ唬﹤€人數(shù)據(jù)“收集行為”的規(guī)范路徑
網(wǎng)絡平臺對個人數(shù)據(jù)的收集具有一定的技術(shù)必然性��,因此��,在個人數(shù)據(jù)收集階段��,網(wǎng)絡平臺的自動化數(shù)據(jù)收集行為并不觸及數(shù)據(jù)主體的相關(guān)隱私利益��。個人數(shù)據(jù)“收集行為”的規(guī)范應僅存在于“平臺—用戶—數(shù)據(jù)收集者”這一所涉三元主體的行為結(jié)構(gòu)之中��,對于平臺收集個人數(shù)據(jù)后所可能產(chǎn)生的其他侵害行為,則應由數(shù)據(jù)主體根據(jù)后續(xù)行為所涉法益另行主張權(quán)利��。
1.平臺“授權(quán)”第三方收集個人數(shù)據(jù)的規(guī)范
平臺雖然是個人數(shù)據(jù)的實質(zhì)控制者��,但是卻并非是個人數(shù)據(jù)的所有者��。因個人數(shù)據(jù)之上粘附著個人的隱私利益��,所以當平臺授權(quán)第三方收集相關(guān)個人隱私數(shù)據(jù)時��,亦應得到數(shù)據(jù)主體“同意”的違法阻卻��。因此��,當平臺未取得數(shù)據(jù)主體的同意而授權(quán)第三方收集相關(guān)隱私數(shù)據(jù)時��,則平臺便直接侵犯了數(shù)據(jù)主體的隱私權(quán)��。但是��,對于平臺已公開的��、他人可自由獲取的相關(guān)個人數(shù)據(jù)��,由于平臺對該類數(shù)據(jù)并不負有安保義務��,所以當?shù)谌綌?shù)據(jù)收集者使用收集的非個人隱私數(shù)據(jù)對數(shù)據(jù)主體的相關(guān)隱私利益造成侵害時��,則平臺并不承擔侵權(quán)責任��,對該類侵害��,數(shù)據(jù)主體只能向第三方數(shù)據(jù)收集者主張��。當然��,對于平臺已經(jīng)取得數(shù)據(jù)主體的同意而授權(quán)第三方收集相關(guān)隱私數(shù)據(jù)的行為��,此時的平臺雖然不會侵犯數(shù)據(jù)主體的隱私權(quán)��,但當平臺超出數(shù)據(jù)主體“同意”的范圍��,允許第三方收集相關(guān)隱私數(shù)據(jù)時��,則平臺不僅構(gòu)成對數(shù)據(jù)主體隱私權(quán)的侵犯��。同時��,由于個人與平臺之間對個人數(shù)據(jù)的收集存在授權(quán)事項��,因此平臺其也應承擔相應的違約責任��,而數(shù)據(jù)主體可就隱私權(quán)侵害或者違約,擇一主張��。在這里需要進一步澄清一個誤區(qū):當平臺授權(quán)第三方收集相關(guān)個人數(shù)據(jù)時��,通常表現(xiàn)為有償?shù)男问?�,此是否意味著在?shù)據(jù)收集階段��,個人數(shù)據(jù)之上的財產(chǎn)性利益仍需要評價?答案應是否定的��。這是因為��,一方面,平臺與第三方數(shù)據(jù)收集者之間的有償授權(quán)是平臺基于控制��、保存相關(guān)個人數(shù)據(jù)而產(chǎn)生的財產(chǎn)性利益��。另一方面��,個人數(shù)據(jù)經(jīng)濟價值的發(fā)揮依賴于數(shù)據(jù)的算法加工��,該種算法加工使得個人數(shù)據(jù)呈現(xiàn)出一種數(shù)據(jù)生產(chǎn)要素的狀態(tài)��,但是在數(shù)據(jù)收集階段并不存在針對個人數(shù)據(jù)的算法加工行為,同時第三方數(shù)據(jù)收集者收集數(shù)據(jù)也并非都是為了挖掘數(shù)據(jù)的經(jīng)濟價值��。因此,在數(shù)據(jù)收集階段并不存在個人數(shù)據(jù)之財產(chǎn)利益保護的空間��,而對于該類數(shù)據(jù)買賣行為一般是由行政法規(guī)范或者刑法規(guī)范予以評價��,當然,若數(shù)據(jù)主體的隱私利益受到侵害��,其也可向平臺主張相應的民事權(quán)利。
2.平臺“未授權(quán)”第三方收集個人數(shù)據(jù)的規(guī)范
平臺基于對個人數(shù)據(jù)的實際控制享有財產(chǎn)性利益��,而個人對平臺實際控制的個人數(shù)據(jù)享有人格性利益��。在數(shù)據(jù)收集階段��,當?shù)谌綌?shù)據(jù)收集者未經(jīng)平臺的授權(quán)而收集由平臺控制的相關(guān)個人隱私數(shù)據(jù)時,毫無疑問��,此時的第三方數(shù)據(jù)收集者首先會對平臺的數(shù)據(jù)財產(chǎn)利益造成侵害��。對于該種財產(chǎn)性利益,有學者認為應是一種競爭性利益��。但是該種觀點缺陷在于,當援引競爭法規(guī)范對平臺控制的相關(guān)個人數(shù)據(jù)進行保護時��,通常是以《反不正當競爭法》第2條作為裁判依據(jù)��,而該條在體例安排上是位于《反不正當競爭法》的總則部分,屬于一般性的保護規(guī)則��,并不能提供具體的、明確的��、統(tǒng)一的標準��。申言之��,競爭利益存在于經(jīng)營者與經(jīng)營者之間,如果第三方數(shù)據(jù)收集者不是平臺經(jīng)營者��,此時的數(shù)據(jù)收集行為便無法通過競爭利益予以規(guī)范,而只有肯定平臺對相關(guān)個人數(shù)據(jù)享有數(shù)據(jù)財產(chǎn)權(quán),才能周延��、明確地保護平臺基于個人數(shù)據(jù)控制而享有的財產(chǎn)性利益��。此外��,因平臺控制的個人數(shù)據(jù)之上蘊含著數(shù)據(jù)主體的人格利益��,該種人格利益在數(shù)據(jù)收集階段主要表現(xiàn)為隱私權(quán),所有第三方數(shù)據(jù)收集者在未取得平臺授權(quán)而收集個人數(shù)據(jù)時��,其可能也會對數(shù)據(jù)主體的隱私權(quán)造成侵害。同時��,當?shù)谌轿吹玫狡脚_的授權(quán)而收集相關(guān)個人數(shù)據(jù)時��,此時的平臺是否應當對數(shù)據(jù)主體承擔侵權(quán)責任��?如上所述��,當平臺自動收集��、保存相關(guān)個人數(shù)據(jù)時,其就應當對所控制的個人數(shù)據(jù)負有安全保衛(wèi)義務��,該種義務要求平臺確保相關(guān)個人隱私數(shù)據(jù)不被他人非法獲取。當?shù)谌綌?shù)據(jù)收集者非法獲取相關(guān)個人隱私數(shù)據(jù)時��,平臺因未適格履行安保義務��,當然應承擔相應的侵權(quán)責任。而從責任的承擔方式上來看��,依據(jù)《民法典》第1198條��,第三方數(shù)據(jù)收集行為造成數(shù)據(jù)主體損害的,應當由第三方數(shù)據(jù)收集者承擔侵權(quán)責任��。因平臺未適格的履行安保義務,所以平臺應承擔補充責任��,但是平臺承擔補充責任后,可以向第三方數(shù)據(jù)收集者追償��。
?�。ǘ﹤€人數(shù)據(jù)“使用行為”的規(guī)范路徑
數(shù)據(jù)時代��,個人數(shù)據(jù)作為個人信息的載體,承擔著個人信息社會性流動的交互功能��,即:個人數(shù)據(jù)的流動也可以說是個人信息的流動。通常而言��,個人信息的流動包括“個人—他人”或者“個人—他人—他人”兩種交互模式��,但是無論是何種模式,個人信息總是以一種便于獲取或者可直接獲取的方式存在于社會之中��。進而言之,在個人數(shù)據(jù)“使用行為”中��,個人與他人具有平等的獲取對方信息的能力。但是��,個人信息卻并非總是如信息主體期待的那樣進行社會交互,由此便可能對個人數(shù)據(jù)主體之精神利益造成損害��,所以需對各種不當?shù)膫€人數(shù)據(jù)“使用行為”進行規(guī)范。
1.個人數(shù)據(jù)“使用行為”的規(guī)范:積極性人格權(quán)
現(xiàn)行法規(guī)范對精神性人格利益的保護主要是通過姓名權(quán)��、肖像權(quán)、名譽權(quán)��、榮譽權(quán)��、隱私權(quán)來實現(xiàn)。以個人是否可從積極方面處分其人格利益進行區(qū)分��,精神性人格權(quán)可分為積極人格權(quán)與消極人格權(quán),而姓名權(quán)與肖像權(quán)便屬于典型的積極人格權(quán)��,例如:《民法典》第1012條便規(guī)定,自然人有權(quán)決定��、使用��、變更或者許可他人使用自己的姓名��;《民法典》第1018條也規(guī)定��,自然人有權(quán)制作��、使用��、公開自己的肖像或者許可他人使用自己的肖像��。因此��,當?shù)谌藢ι婕皞€人之姓名權(quán)與肖像權(quán)的個人數(shù)據(jù)進行對外使用時必須取得個人數(shù)據(jù)主體的許可,以防止他人冒用��、盜用。而該種“許可”的正當性不僅是因為個人對其個人數(shù)據(jù)所享有的“同一性”利益��,也是因姓名與肖像本身所蘊含的財產(chǎn)性利益。當然��,因為人具有社會屬性,個人信息正當?shù)膫鞑バ允褂脩切畔⒅黧w本身所應負的容忍義務��,該種容忍義務的邊界則是他人不得以丑化��、污損等方式損害個人之姓名權(quán)與肖像權(quán)��。
2.個人數(shù)據(jù)“使用行為”的規(guī)范:消極性人格權(quán)
消極性人格權(quán)是指個人對其人格利益不享有積極方面的權(quán)能��,而只有當人格權(quán)受到損害后被動的防御��,民法典中的隱私權(quán)��、名譽權(quán)��、榮譽權(quán)便屬于此種人格權(quán)��?�!睹穹ǖ洹返?033條規(guī)定��,取得權(quán)利人明確同意,其他組織或者個人就可處理他人的私密信息��。就文義理解而言��,數(shù)據(jù)隱私主體似乎可通過自己的同意積極處分其隱私利益��。但是��,從民事權(quán)利體系來看��,隱私權(quán)應是一種消極性人格權(quán)��,其重心在于防范個人的秘密不被披露��?�;诖丝芍?�,《民法典》第1032條的“同意”��,絕不能理解為對隱私利益的積極處分��,而應理解為隱私主體通過“同意”而對隱私利益的主動放棄��,該種“同意”事實上承擔著一種阻卻違法的作用��,例如:個人數(shù)據(jù)主體可以將自己的個人隱私信息告訴他人��,他人便可因數(shù)據(jù)主體對其隱私利益的放棄而避免隱私侵權(quán)��。由此可知��,無論是隱私權(quán)��、名譽權(quán)還是榮譽權(quán)皆應為防御性權(quán)利��,現(xiàn)行立法對于該種人格利益的保護也主要是通過對他人預設行為規(guī)范的方式來進行��,例如:《民法典》第1024條第1款規(guī)定,他人不得通過辱��、誹謗等方式侵犯權(quán)利主體的名譽權(quán)��;《民法典》第1031條規(guī)定��,他人負有不得詆毀、貶損他人榮譽的義務��,不得非法剝奪他人榮譽稱號��;《民法典》第1032條規(guī)定��,任何組織或者個人不得以刺探��、侵擾、泄露��、公開等方式侵害他人的隱私權(quán)��。因此��,當個人數(shù)據(jù)“使用行為”侵犯數(shù)據(jù)主體之名譽��、榮譽以及隱私時,個人數(shù)據(jù)主體便可基于人格利益受損(隱私權(quán)、名譽權(quán)��、榮譽權(quán))而主張相應的人格權(quán)請求權(quán)��。
3.個人數(shù)據(jù)“使用行為”的規(guī)范:一般人格權(quán)
從權(quán)利配置的模式上來看��,我國對人格利益的保護采取的是“一般人格權(quán)+具體人格權(quán)”模式��。該種模式的合理性在于人格利益的侵害形式具有動態(tài)變化的特點��,單一的人格利益權(quán)利化方案雖可覆蓋典型的侵害情形��,但是卻不可能周延涵蓋所有可能的侵害情形��。而一般人格權(quán)是法律采取高度概括的方式設計的框架性人格權(quán)��,其不僅具有權(quán)利集合性的特點��,也可在具體人格權(quán)之外承擔著補充��、兜底的保護功能��?�!睹穹ǖ洹返?90條規(guī)定��,自然人享有基于人身自由��、人格尊嚴產(chǎn)生的其他人格權(quán)益��,其中的人身自由與人格尊嚴便屬于民事權(quán)益,是民法上的一般人格權(quán)��。個人數(shù)據(jù)的使用行為不僅可能涉及數(shù)據(jù)主體之姓名��、肖像��、名譽��、榮譽��、隱私等具體人格利益��,還可能涉及數(shù)據(jù)主體之人格尊嚴��。從規(guī)范適用的角度上來看��,因一般人格權(quán)的價值基礎(chǔ)必然可涵蓋具體人格權(quán)��,所以當人格權(quán)條款就特定人格權(quán)的保護存在明確規(guī)定時(姓名權(quán)、肖像權(quán)、名譽權(quán)��、榮譽權(quán)��、隱私權(quán)),應排除一般人格權(quán)條款的適用,以維護法律規(guī)則適用的確定性并防止司法實踐向一般性條款逃逸��;而當個人數(shù)據(jù)適用行為所涉及的人格利益在具體人格權(quán)中沒有規(guī)定時,因為此時并不存在請求權(quán)基礎(chǔ)��,所以應通過一般人格權(quán)條款對相應的人格利益侵害進行救濟��。
?�。ㄈ﹤€人數(shù)據(jù)“加工行為”的規(guī)范路徑
個人數(shù)據(jù)“加工行為”是數(shù)據(jù)處理主體為挖掘數(shù)據(jù)“集”的經(jīng)濟價值所進行的內(nèi)部行為��,該種處理行為存在于信息能力不平等的主體之間��,例如:網(wǎng)絡平臺對個人數(shù)據(jù)的處理��,且該種行為并不以信息的社會交互性傳播為目的��。因為個人對其個人數(shù)據(jù)享有財產(chǎn)性利益,所以對于該類行為不應通過人格權(quán)予以規(guī)范��,而應肯定個人所享有的數(shù)據(jù)財產(chǎn)權(quán),并通過“合同”的方式予以規(guī)范��。
1.個人數(shù)據(jù)“加工行為”:“同意”的性質(zhì)厘定
個人數(shù)據(jù)之上承載著數(shù)據(jù)主體的雙重法益��,當數(shù)據(jù)控制者收集��、使用個人數(shù)據(jù)時��,此時涉及的是數(shù)據(jù)主體之人格利益��;當數(shù)據(jù)控制者加工個人數(shù)據(jù)時��,則涉及的是數(shù)據(jù)主體之財產(chǎn)利益��?�!睹穹ǖ洹返?035條規(guī)定��,處理個人信息應征得該自然人或者其監(jiān)護人同意��。毋庸置疑的是��,無論何種個人數(shù)據(jù)處理行為均需得到數(shù)據(jù)主體的“同意”��,但是不同數(shù)據(jù)處理行為的”同意”卻具有不同的性質(zhì)。通常而言��,人格權(quán)益具有很強的人身依附性��,該種權(quán)益屬于絕對權(quán)的范疇��,不能轉(zhuǎn)讓也不能放棄��,因此當數(shù)據(jù)控制主體收集��、使用個人數(shù)據(jù)時��,數(shù)據(jù)主體的“同意”并不是將數(shù)據(jù)之上的人格利益轉(zhuǎn)讓與數(shù)據(jù)控制主體��,而是阻卻數(shù)據(jù)控制主體收集��、使用個人數(shù)據(jù)時對相關(guān)人格利益產(chǎn)生的人格侵權(quán)��。與人格利益侵害的違法阻卻功能不同��,數(shù)據(jù)控制主體收集個人數(shù)據(jù)后��,若進行數(shù)據(jù)加工行為��,則其依舊需取得數(shù)據(jù)主體同意��,但此時的同意卻并不涉及數(shù)據(jù)主體的人格利益,而是與數(shù)據(jù)主體的財產(chǎn)利益相關(guān)��。因此��,數(shù)據(jù)主體的“同意”在個人數(shù)據(jù)處理的不同階段表征著不同的含義��,在個人數(shù)據(jù)的收集以及使用階段��,個人對其個人數(shù)據(jù)主要享有的是人格性利益��,因此數(shù)據(jù)主體的“同意”具有人格權(quán)侵害的違法阻卻功能��;在個人數(shù)據(jù)的加工階段��,個人對其個人數(shù)據(jù)享有的是一種財產(chǎn)性權(quán)利��,此時的“同意”則屬于財產(chǎn)性權(quán)利的讓渡��,該種權(quán)利存在于個人數(shù)據(jù)的加工行為之中��,具體表現(xiàn)為:允許他人加工個人數(shù)據(jù)��。
2.個人數(shù)據(jù)加工行為的規(guī)范:“合同”路徑
囿于個人數(shù)據(jù)處理的宏觀話語��,個人數(shù)據(jù)加工行為所涉及的法益獨立性一直不得張揚��。實踐中��,平臺的所有數(shù)據(jù)處理行為幾乎都是借助于單一的隱私政策��,不加區(qū)分的��、以一次“同意”的方式予以正當化��。如上所述��,個人數(shù)據(jù)處理的“同意”包括雙層含義��,一層指向人格權(quán)侵害的違法阻卻��;一層指向數(shù)據(jù)主體對個人數(shù)據(jù)加工的許可��。因個人對其個人數(shù)據(jù)享有數(shù)據(jù)財產(chǎn)權(quán)��,所有數(shù)據(jù)控制主體對該類數(shù)據(jù)的處理需通過“合同”的方式達成合意��,以取得個人數(shù)據(jù)主體的授權(quán)��。本質(zhì)上來看��,數(shù)據(jù)具有非獨占性��,數(shù)據(jù)控制主體所取得的并非是個人數(shù)據(jù)的所有權(quán),而是個人數(shù)據(jù)的控制權(quán)��。該種控制性利益可有效排除他人對個人數(shù)據(jù)的不當獲取��,而個人數(shù)據(jù)所蘊含的財產(chǎn)性利益仍是歸屬于數(shù)據(jù)主體��。因此��,當數(shù)據(jù)控制主體僅就個人數(shù)據(jù)的收集取得數(shù)據(jù)主體的“同意”��,而未就個人數(shù)據(jù)的加工與數(shù)據(jù)主體達成合意時��,則數(shù)據(jù)控制主體對相關(guān)個人數(shù)據(jù)進行的算法加工便侵犯了數(shù)據(jù)主體的數(shù)據(jù)財產(chǎn)權(quán)��。當數(shù)據(jù)控制主體收集個人數(shù)據(jù)時未取得數(shù)據(jù)主體的同意��,但是其卻在個人數(shù)據(jù)處理階段與數(shù)據(jù)主體達成合意��,若數(shù)據(jù)控制主體收集數(shù)據(jù)時觸及數(shù)據(jù)主體的隱私利益��,雖然兩者已就數(shù)據(jù)加工階段達成合意��,但是數(shù)據(jù)控制主體在個人數(shù)據(jù)的收集階段仍構(gòu)成對數(shù)據(jù)主體隱私權(quán)的侵犯��。當數(shù)據(jù)控制主體既未就個人隱私數(shù)據(jù)的收集取得數(shù)據(jù)主體的同意��,也未就個人數(shù)據(jù)的加工與數(shù)據(jù)主體達成合意��,則數(shù)據(jù)控制主體的數(shù)據(jù)加工行為便具有雙重侵害性��,數(shù)據(jù)主體可分別就隱私侵害與數(shù)據(jù)財產(chǎn)權(quán)侵害��,同時主張權(quán)利��。同時需要注意的是��,數(shù)據(jù)控制主體雖然可基于“合同”取得個人數(shù)據(jù)加工的使用權(quán)��,但數(shù)據(jù)控制者亦不得超出合同約定的數(shù)據(jù)處理范圍或者數(shù)據(jù)處理方式加工個人數(shù)據(jù)��。當數(shù)據(jù)控制主體違反“同意”的加工范圍或者加工方式��,則其應承擔違約責任��。如果數(shù)據(jù)控制主體的違約行為對數(shù)據(jù)主體的相關(guān)人格權(quán)造成侵害��,則數(shù)據(jù)主體亦可就人格利益侵害主張權(quán)利��。
四��、結(jié)語
個人數(shù)據(jù)處理可分為三個階段��,即:個人數(shù)據(jù)的收集階段、個人數(shù)據(jù)的加工階段以及個人數(shù)據(jù)的使用階段��,且上述數(shù)據(jù)處理的三個階段具有行為以及法益指向的獨立性��。個人數(shù)據(jù)“收集行為”與個人數(shù)據(jù)“使用行為”主要涉及數(shù)據(jù)主體的人格利益��,前者表現(xiàn)為:隱私權(quán)��;后者表現(xiàn)為各類具體人格權(quán)��;個人數(shù)據(jù)加工階段主要涉及數(shù)據(jù)主體的財產(chǎn)性利益��,該種利益表現(xiàn)為:數(shù)據(jù)財產(chǎn)權(quán)��。個人數(shù)據(jù)“使用行為”針對的是個人數(shù)據(jù)之上的個人信息所進行的行為��,該種行為主要涉及的是數(shù)據(jù)主體之人格利益��。因此��,對于個人數(shù)據(jù)“使用行為”的規(guī)范應依據(jù)《民法典》之人格權(quán)的相關(guān)規(guī)定��。個人數(shù)據(jù)“加工行為”針對的是個人數(shù)據(jù)本身所進行的行為��,該種行為主要涉及的是數(shù)據(jù)主體之財產(chǎn)利益��。因此��,對于個人數(shù)據(jù)“加工行為”的規(guī)范應依據(jù)“合同”的方式��。從個人數(shù)據(jù)侵害救濟的體系化路徑來看��,首先��,當?shù)谌綌?shù)據(jù)收集主體未取得數(shù)據(jù)主體的“同意”而收集相關(guān)個人數(shù)據(jù)時��,則數(shù)據(jù)主體可基于隱私權(quán)侵害向第三方數(shù)據(jù)收集者主張權(quán)利��。此時的平臺(數(shù)據(jù)控制者)負有安保義務��,因其未適格履行��,所以平臺應承擔補充責任��,但是平臺承擔補充責任后��,可以向第三方數(shù)據(jù)收集者追償��。當?shù)谌綌?shù)據(jù)收集者未取得平臺的“同意”而收集相關(guān)個人數(shù)據(jù)時��,則該種侵害具有雙重性,數(shù)據(jù)主體可向其主張隱私侵權(quán)責任��;平臺可向其主張財產(chǎn)權(quán)損害賠償(平臺基于對個人數(shù)據(jù)的控制享有數(shù)據(jù)控制權(quán)��,該種權(quán)利屬于財產(chǎn)權(quán))��。其次��,當數(shù)據(jù)控制主體收集個人數(shù)據(jù)后��,若其對外進行正常的社會交互使用��,則該種使用行為并不會侵害數(shù)據(jù)主體的具體人格利益��;若其不正當?shù)剡M行社會交互使用��,則應通過姓名權(quán)��、肖像權(quán)��、名譽權(quán)��、榮譽權(quán)��、隱私權(quán)等具體人格權(quán)與一般人格權(quán)予以規(guī)范��。最后��,當數(shù)據(jù)控制主體收集個人數(shù)據(jù)后��,若其取得數(shù)據(jù)主體對個人數(shù)據(jù)進行算法加工的“同意”��,則其進行的個人數(shù)據(jù)加工行為并不侵犯數(shù)據(jù)主體的數(shù)據(jù)財產(chǎn)權(quán)��;若其未得到數(shù)據(jù)主體對個人數(shù)據(jù)進行算法加工的“同意”��,則其進行的個人數(shù)據(jù)加工行為便會侵犯數(shù)據(jù)主體的數(shù)據(jù)財產(chǎn)權(quán)��,數(shù)據(jù)主體可向數(shù)據(jù)加工主體主張侵權(quán)責任��。此外��,當數(shù)據(jù)控制主體違反“同意”的加工范圍或者加工方式��,則其應承擔違約責任��。而如果數(shù)據(jù)控制主體的違約行為對數(shù)據(jù)主體的相關(guān)人格權(quán)造成侵害��,則數(shù)據(jù)主體亦可就人格利益侵害主張權(quán)利��。(作者王東方系北京航空航天大學法學院博士研究生)
關(guān)注官方微信
關(guān)注官方微博
