摘要:个人数据上的经济利益能否归属于个人以及法律上如何保护和实现该利益,是我国建立数据产权制度中的核心问题之一。个人信息与个人数据乃一体两面,都是个人信息权益的客体,而非不同的民事权利客体。在我国人格权保护“一元模式”下,个人信息权益既保护自然人对个人信息(或个人数据)的精神利益,也保护自然人对个人数据(或个人信息)的经济利益。不应将个人数据上的经济利益完全配置给处理者,也无需单设个人数据所有权来保护自然人的经济利益。个人同意与个人许可是自然人行使个人信息权益实现个人数据上经济利益的两种形式,具有不同的性质与法律效果,适用于不同的个人数据交易场景。个人信息权益对于企业数据财产权具有制约作用。
本文从民事权利的角度出发,对个人信息与个人数据应否区分、个人数据上的经济利益是否应归属于自然人以及如何实现等问题展开研究,希望能够为构建一个既充分保护个人数据权益又有效实现数据要素价值的中国特色数据产权制度提供参考。
个人数据与个人信息区分之质疑
(一)个人信息与个人数据的界定
《民法典》第1034条第2款以“识别性”作为判断个人信息的核心要件,即任何能够单独或者与其他信息结合识别特定自然人的各种信息都属于个人信息。《个人信息保护法》第4条第1款在“识别性”上增加了“相关性”要件的要求。这两种定义并不矛盾,所界定的个人信息范围也基本相同。
“个人数据”的核心在于:它必须是与已识别或可识别的自然人有关的数据。至于该数据是否由个人所生产的或来源于个人的,则无关紧要。“个人数据”与“来源于个人的数据”不可等同,来源于个人的数据并非都是个人数据,非来源于个人的数据也未必就不是个人数据。
(二)数据与信息的层次及关系
从信息科学的角度,信息从结构层、符号层以及语义层三个层面可划分为:结构性信息、句法性信息与语义性信息。结构性信息承载句法性信息,句法性信息承载语义性信息。与信息不同的是,数据只有两个层次:一是作为结构层面的数据,即数据载体,是存储数据的介质;二是作为符号层面的数据,即机器可读的编码信息,相当于句法性信息。就数据而言,并不存在信息的第三个层次即语义信息层,因为这个层面已经是内容层了。
由于作为符号层面的数据与句法性信息完全融合,数据不仅承载而且直接显现语义性信息,这就使得人们慢慢习惯以数据来指称信息,即当人们说数据时往往指的就是语义信息。虽然现代网络信息环境下的数据既是信息的数字化媒介,又直接显现信息,但并不能据此认为数据“兼具信息本体和信息媒介的双重属性”。
数据与信息的区分在法律上并非毫无意义。例如,保护数据的安全当然可以保护数据中的信息的安全,但仅保护数据安全却并不能完全保护信息的安全。然而,基于信息与数据的区别却并不能得出个人信息和个人数据是不同的民事权利客体、前者是人格权的客体而后者是财产权的客体的结论。
(三)民法上不应区分个人数据与个人信息
1. 个人数据与个人信息在客观上无法被区分。从规范目的来看,民法规范指向的是信息内容。个人数据和个人信息是从不同角度对同一客体的不同称谓,不过个人信息侧重的是语义层面,个人数据侧重的是句法层面。网络信息时代,个人信息与个人数据紧密融合、一体两面。对个人信息的处理和对个人数据的处理,必须是同时在符号层(数据)和内容层(信息)展开的活动。形而上地将个人数据与个人信息分离,不符合实践且违背了民事权利客体的基本要求。
2. 我国民法没有将个人数据与个人信息作为不同权利的客体。首先,民法典在人格权编第六章“隐私权和个人信息保护”中用了多个条文对个人信息保护作了规定,真正明确了个人信息上存在民事权益且其性质是人格权益。个人信息作为人格权益的客体不是由《民法典》第111条的位置所决定的,而是基于《民法典》人格权编中对个人信息保护的规定。其次,《民法典》第127条将数据和网络虚拟财产规定在一起不代表现行法已经区分个人信息与个人数据并将它们作为不同权利客体。从立法机关释义书可知,《民法典》第127条的立法目的在于“确立了依法保护数据和网络虚拟财产的原则”,从而“为以后立法提供坚实基础”。换言之,立法机关注意到了数据权属和法律保护问题的复杂性与变化性,将该问题留待其他法律规定。此外,“若不区分二者,企业控制个人数据就是控制个人信息”的忧虑并不切实存在。无论称个人数据也好,叫个人信息也罢,只要有法律根据,个人数据的处理者相对于其他处理者而言就可以取得对个人数据的法律上的控制权。但此种控制权不能对抗作为信息主体的个人,个人有权随时撤回同意或在具有正当理由的情形下解除许可使用合同。
3. 无法也无需单独创设个人数据所有权。作为民事权利的所有权,其客体之所以限于动产和不动产等有体物,就是因为有体物所具有的“有形性”“竞争性”以及“可损耗性”等特点本身能够发挥明确权利边界的“界分功能”。数据既非动产更非不动产,其具有“无形性”“非竞争性”“无磨损性”等特殊的属性。这使得数据之上不可能如有体物那样直接产生明确权利范围和义务人行为边界的界分功能。
无视数据的属性,将之视同于有体物,并认为在个人数据甚至是数据上可以成立所有权的结果必将会损害信息自由、阻碍科技进步。正因如此,除了数据权属问题兴起之初曾有人提出数据所有权的概念外,域外基本没人赞同数据所有权的观点。“数据二十条”同样跳出了传统的以有体物为客体的所有权思路,强调“创新数据产权观念,淡化所有权、强调使用权,聚焦数据使用权流通”,并提出了“数据来源者权益”的概念。
个人数据上经济利益的归属
(一)个人数据上的经济利益应归属于自然人
1. 个人信息权益的法益分配功能。我国法上个人对个人信息的处理享有的知情权与决定权并非请求权,而是个人信息权益的核心权能。《个人信息保护法》第四章规定的个人的查阅权、复制权、可携带权、补充权、更正权、删除权、解释说明权等权能则都是个人针对个人信息处理者享有的请求权,是为了实现个人信息权益中的知情权与决定权而配置的功能性权能。这使得个人信息权益同时具有防御侵害与法益分配的功能。法益分配功能意味着个人对其个人信息可以进行各种不违反法律、行政法规的强制性规定及公序良俗的利用,其中,当然也包括了自己或许可他人进行商业化利用。
2. 不应依据价值的高低判断个人数据经济价值的归属。单个自然人的个人信息在很多情况下确实价值不大,但不能因此否定自然人对其个人信息进行各种商业化利用的可能性。
事实上,随着经济社会尤其是科技的发展,单个自然人的个人数据也越来越有价值,自然人有多样的方式对其个人数据进行商业化利用。例如,数据处理者与个人签订个人数据许可使用合同,向个人支付相应的金钱作为对价。实践中还有大量的隐性个人数据商业化利用的场合:个人因为提供个人数据而获得了免费享受网络服务的对价,实际也就实现了其个人数据上的经济利益。至于承认个人对个人数据的经济利益有可能引发人们为了蝇头小利的全社会争夺以及滥用权利阻碍技术发展的观点,也缺乏实证依据。
(二)自然人享有个人数据的经济利益与企业数据产权不矛盾
一方面,企业的数据财产权不应建立在剥夺自然人对个人数据的经济利益之基础上;另一方面,个人的同意或许可不会如同个人出售有体物那样导致权利转让的法律效果,作为人格权益的个人信息权益,是不得放弃、转让或者继承的。个人可以撤回同意或者解除个人数据许可使用合同,个人信息权益始终对企业数据财产权具有制约作用。
我国一些学者津津乐道的数据生产者权的观点来自欧盟。然而,欧盟的数据生产者权仅仅针对非个人数据,不包括个人数据。
我国“数据二十条”所提出的数据来源者的权利,既包括自然人针对其个人数据享有的个人信息权益,也包括其他数据来源者对于非个人数据享有的权益。无论是承认数据生产者权还是数据来源者权,抑或规定数据处理者的数据财产权,都需要合理地协调它们与自然人的个人信息权益的关系。
个人信息权益对经济利益的保护与实现
我国现行法并未规定自然人对个人数据的所有权或其他财产权,理论上也无须设立这样的权利。《民法典》《个人信息保护法》所确立的个人信息权益完全能够保护并实现个人数据上自然人的经济利益。
(一)劳动赋权理论无法证成个人数据所有权
个人数据能否被认为是个人劳动的产物,值得怀疑。例如《民法典》第1034条第2款列举的个人数据中,除了行踪信息外,都与个人的行为活动没什么关系。即便行踪信息作为个人日常活动而附带产生的个人数据,也与创造价值意义上的劳动关系不大。至于那些法律上未能逐一列举出来的个人数据,如个人的爱好、习惯、兴趣、职业等,均属于自然人的日常行为在数字空间中生成的行为数据而已,并非洛克所言的“使任何东西脱离了自然存在状态”意义上的劳动。
不仅如此,现代社会中的很多个人数据也是个人与网络公司等数据处理者共同产生的。如果依据劳动赋权理论来确权,那么在初始权利的配置阶段就应当是个人与个人数据处理者对个人数据共同享有财产权。如果说所有权是立法者初始配置给个人,而用益权来源于个人数据所有权,那么个人与企业之间又是基于什么法律关系产生了这种设立用益权的行为呢?以劳动赋权理论论证个人数据所有权的观点无法回答这些问题。
(二)个人信息权益足以保护自然人的经济利益
从《民法通则》到《民法典》,我国都是通过法律所明确规定的一个个具体的人格权,分别对自然人就其姓名、肖像等人格要素享有的精神利益与经济利益予以一体化保护。个人信息权益属于一种新型的人格权益,当然要适用相关规定,而自然人针对个人信息(个人数据)的精神利益与经济利益也都受到个人信息权益的一体化保护——《个人信息保护法》第69条第2款也非常清楚地表明了这一点。一元保护模式下,个人信息权益足以保护自然人针对个人数据享有的经济利益,没有必要另设自然人的个人数据所有权或其他财产权。
(三)同意与许可是实现个人数据经济利益的两种方式
民法上“同意”的含义非常广泛,几乎涵盖了所有行使权利的方式。按照同意使得被同意者取得的法律地位从强到弱,可将之分为三个层次:其一,法律效力最强的同意可以导致“权利发生转让”,即因个人之同意而使被同意者取得了权利;其二,效力较弱的同意会产生“构成性权利让与”的效果,即因同意而在客体上为他人创设权利,如授予独占许可或成立债务性许可合同;其三,法律效力最弱的就是个人作出的可任意撤回的单方同意。由于个人信息权益不能转让、放弃或继承,故此《民法典》《个人信息保护法》规定了第二和第三层次的同意。个人信息处理者在处理个人信息前必须告知并取得的个人同意,是效力最弱的同意。同时,《民法典》第993条规定的许可,属于法律效力更强的同意,产生债务合同,使被许可使用人取得使用个人数据的权利。
1. 个人的同意与许可产生不同的法律效果。个人同意虽然排除了个人数据处理行为的非法性,却并没有在个人和处理者之间建立具有持续约束力的债权债务关系。个人有权撤回其同意。这种撤回可以随时作出并且无须任何理由,处理者也不能对于个人撤回同意的权利做任何限制。在个人许可的情形下,个人与处理者通过协商建立了明确的债权债务关系(个人数据许可使用合同),故此,个人不再享有《个人信息保护法》第15条第1款规定的任意撤回权。个人要解除该合同需适用《民法典》第1022、1023条的规定。
2. 个人同意与个人许可适用于不同的场景。就个人同意而言,个人对自己个人数据自主地决定授予他人处理,不仅可以获得免费的数字服务作为对价,还可以根据自身需要而选择个人数据处理目的与处理方式,从而相应地节约成本、提高效率。相比于个人同意,个人许可意味着个人与个人数据处理者有机会进行一对一的谈判磋商,继而订立个人数据许可使用合同。考虑到个人与数据处理者能力与地位的不平等,应当建构相应机制来确保个人可以真正实现个人数据的许可。
(四)个人信息权益与企业数据财产权关系的协调
企业对于其合法处理的个人数据享有财产权利的正当性基础之一在于其处理个人数据的行为是合法的。故此,只有承认自然人针对个人数据享有个人信息权益并可以通过行使该权益而实现个人数据上的经济利益,才可能同时依据劳动赋权、权利人同意这两个私法上权益分配的正义标准,认可企业对其处理的个人数据也享有财产权。
由于个人信息权益属于人格权益,效力位阶高于企业的数据财产权。故此,企业在行使数据财产权时,不仅要符合个人同意的内容、遵守其与个人之间订立的个人数据许可使用合同,还要服从于个人信息权益对数据产权的各种法定限制。
结语
个人信息与个人数据一体两面,都是个人信息权益的客体。个人信息权益不仅具有防御侵害的作用,可以排除他人非法处理个人数据;还具有法益分配的功能,确保个人可在数字经济中对其个人数据的商业化利用方式予以组织建构并据此实现经济利益。当现行法规定的个人信息权益已经能够保护个人数据上自然人的经济利益时,就无须另设自然人的“个人数据所有权”“个人数据产权”或者“来源者数据产权”。
我国构建的数据产权制度不仅应当契合现行法律规范体系,更应当努力降低制度的复杂性,简化认知任务,使该制度对于数据生产、流通、使用过程中的各参与方而言更易于理解和更具可预见性。唯其如此,数据产权制度才能真正保护并协调各方的合法权益,激活数据要素潜能,做强做优做大数字经济。
程啸,清华大学法学院教授
摘自:《中国法学》2024年第3期
