王磊:个人数据商业化利用的利益冲突及其解决
摘要和关键词
〔摘 要〕 随着数字经济的快速发展,个人数据商业化利用过程中的纠纷大量涌现,相关的法律问题亦愈发突出。以相关纠纷所涉内核为标准,其中的利益冲突大致可分为三类,即数据开发利用方与用户之间的利益冲突、数据开发利用方之间的利益冲突及数据开发利用方利益与国家利益、社会公共利益之间的冲突。这三个维度的审视揭示出个人数据法律规制的核心与面向,但现有制度进路仍难以充分、全面、恰当地化解相关利益冲突。以明晰个人数据基本内涵为前提,个人数据的商业化利用原则应当考虑在开发过程中产业链条各方主体所发挥的作用与价值贡献,并在现有法律框架的基础上形成个人数据保护的理论进路。
〔关键词〕 个人数据; 数据权益; 数据赋权; 商业化利用
互联网技术的进步使得数据愈发成为重要的生产资料,以数据处理为核心的数据商业化利用正不断地为市场注入新的活力。数据俨然已经成为一类重要的资源,个人数据是数据资源的关键内容之一,探索如何建构个人数据的利用秩序已经成为数字经济发展面临的重要课题。在此之中,基于个人数据无与伦比的价值性及其与生俱来的财产和人格双重属性,相关的商业化利用纠纷更为复杂与突出。围绕着个人数据商业化利用这一命题,制度的建构任重道远。2020 年 4 月 9 日,国务院发布《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》( 以下简称《意见》) ,明确将数据资源作为五大要素之一,并为我国数据产业的发展指明了方向。《意见》明确提出: “加强对政务数据、企业商业秘密和个人数据的保护。”由此可见,与个人数据相关的制度建构已经成为现阶段立法者所肩负的一个重要任务。任何社会问题的治理都是全面而复杂的工程,尤其是在面对新问题、新挑战时,我们更加需要以宏观的视角对基本方向予以把握,从个人数据商业化利用纠纷入手,通过分析纠纷背后的利益冲突,提出框架性的解决方案,以期对纠纷的化解与制度的建构有所助益。
一、个人数据与个人数据商业化利用的基本内涵
数据分析技术的快速发展和移动终端的迅速普及,使得不同主体产生的各种形式的数据被不间断地收集、处理与使用,我们的社会已跨入了数字经济时代。依据数据来源是否与个人相关为划分标准,可将数据分为两大类: 个人数据与非个人数据。这种分类以自然人为核心,以数据的“可识别性”( identifiable) 为基础。也就是说,如依单独信息或者结合其他信息就可以定位到某特定主体,则该数据应当认定为个人数据,反之,则应为非个人数据。当然,简单以“可识别性”作为判断个人数据之关键要素在实践中存在障碍。首先,应当区别直接识别和间接识别,也就是说通过具体信息直接确认数据主体还是结合其他信息方能确认数据主体。事实上,在现实的数据应用场景中,所有数据都存在与其他数据相结合进而识别出数据主体的可能,即使通过“匿名化”手段也无法真正解决,所以数据永远不能处于个人数据保护法律的范围之外。 从现实效果来看,也使得“可识别性”这一标准在实际应用过程中被泛化。其次,“可识别性”是否基于具体的场景实现存在比较强烈的不确定性。而就算有关数据具有可识别性,是否就直接会与人格权益产生高度关联呢? 以该性质作为定义个人数据的标准在实践中是较为含混的,个人数据在不同角度下呈现出不同的特质,同一个人数据样本在多种场景下也会有不相一致的表现。正如有学者所指出的,脱离具体场景谈论隐私保护或个人信息保护,不但无法为相关权益提供有效保护,还有可能引发过度保护或保护不足的弊端。但目前来看,相关的场景是很难穷尽的,且随着社会的发展会不断演化出新的场景; 因而通过部分列举加归纳总结的方式或许可作为相关问题的解决途径。
在此,本文尝试对个人数据这一概念给予初步界定,即: 个人数据是指能够识别到特定个人的数据,此处之识别包括直接识别与间接识别,同时相应数据在具体的情境下能够与数据主体人格权益产生紧密关联,包括但不限于主体的姓名、性别、出生日期、身份信息、职业信息、家庭住址、联系方式、经济收入和资产状况、医疗健康、消费习惯、识别生物特征及其他信息。在 2021 年 4 月审议的《个人信息保护法( 草案) 》中,也把是否已识别或可识别作为标准来对个人信息进行区分,但不包括匿名化处理后的信息。
个人数据的商业化利用行为是指个人数据的利用方基于商业目的从个人数据中通过数据分析创造价值、实现价值的过程,其核心包括收集、处理与使用三个环节。个人数据的收集,是指数据利用方获取数据主体个人信息资料的行为,是个人数据商业化利用的首要步骤。虽然现今此种行为较为通常,但并不意味着任何面向特定主体信息的收集行为都可落入其范围。具体而言,该行为应当具备两个要点: 首先在主观上,数据利用方具备利用数据之目的; 其次在行为上,数据利用方依靠其所掌握的技术主动收集个人数据。个人数据的处理,应作狭义解释,是以使用相关数据为目标,进行了一系列的其他的辅助步骤。概言之,可包括个人信息的录入、存储、 编辑、更正、搜索、传输、删除等具体环节,其中“匿名化”与“去标识化”是处理过程中备受瞩目的环节。个人数据的使用是大数据商业化利用过程的重要一环,是指数据利用方将其收集到的、经过处理的个人数据投入实际使用或进行数据分析,并依照分析结果以期发挥指引作用、实现利用效果的过程。个人数据的使用是目前数据商业化利用过程中的必经之路,也系收集、处理行为的要旨所在。个人数据的场景广泛引起了种类繁多的数据利用方式,但也必然对规制个人数据利用过程制造更多障碍。
二、个人数据商业化利用中利益冲突的三个维度
( 一) 维度一: 数据主体与数据利用方之间的利益冲突
个人数据商业化利用中的利益冲突首先表现为数据主体与数据利用方之间的冲突。一方面,数据主体基于 个人数据与其自身的强关联,希望尽最大努力掌握自身个人数据的流向和用途,如决定数据的收集方、收集后的使用方式、能否向第三方提供,以及对收集的数据随时进行访问、更改、删除、移动等内容。另一方面,数据利用方基于产业发展,显然希望在法律允许的情况下在更大程度上自由地收集、处理和使用个人数据以扩大在数据产业发展中的规模。现实中,常见情况是数据利用方打破利益平衡使数据主体的正当权益受到损害。以下三种情况是比较典型的表现方式。
1. 未经数据主体同意而收集、处理、使用个人数据
未经数据主体同意而收集个人数据,是指没有经过数据主体的同意或超出数据主体同意范围情况下,数据利用方收集个人数据的行为; 或虽然经过数据主体的同意,但所取得的同意存在效力瑕疵( 例如在设置中默认数据主体同意、未提示数据主体注意数据收集等) 。2012 年,谷歌( Google) 公司曾在隐私政策更新内容中声明,其将会整合从包括视频网站( Youtube) 、谷歌邮箱( Gmail) 以及社交产品( Google + ) 在内的多项服务中的用户个人数据。然而,该政策一经公布便遭到多个国家数据保护机构和消费者保护组织的声明抵制。而在国内,部分互联网公司也面临着非法采集数据主体信息的声讨。近年来国内针对 App 违法违规收集使用个人信息治理工作也在不断深入。个人信息收集的合规工作和研究工作引起了理论界、产业界及社会公众的讨论与争辩。
未经同意而处理、使用个人数据的行为,是指数据利用方超出约定或法定的方式、范围、目的而处理或使用个人数据。这主要包括两种情形: 其一是针对相应个人数据进行在数据利用方控制范围内,基于其他目的的“自用”情况。在此环节中,原始数据收集方始终系个人数据的保有者,并未扩散于外,故相较而言,一般对此种行为的处理意见较为轻缓。其二是数据收集方将相应数据“提供”于他方的情况,该情形一般更容易引起数据主体的担忧和不安。如果信息权利人只是允许信息收集者收集其个人信息,并不意味着其已经将该权利全部转让给数据的收集者和开发者,更不能据此认为,信息权利人已经允许信息收集者共享其个人信息,信息权利人对其个人
信息的支配也当然涵盖信息的共享阶段。
2. 对可公开获取的个人数据进行收集、处理、使用
在当下,数据利用过程中的场景对可公开获取的个人数据进行收集、处理、使用的现象也较为常见。此处涉及两个层面: 一是须审视公开行为本身的合法性,基于主体自愿的公开固然没有争议,但也存在某些未经数据主体同意的公开; 二是对于已经公开的个人数据是否可以视为数据主体已经同意,这种情形不应视为因其已经公开而可以被任意收集、处理、使用。数据主体对其公开的个人数据分为自愿以及非自愿两种情形。前者又可以依据数据主体不同的动机进一步区分为基于社交意愿的公开、基于寻求交易机会的公开、基于工作需要的公开等等。此时的“公开”只是主体实现特定目的的手段,通过公开部分个人数据来实现特定的目的,数据主体必须要承担一部分风险、让渡一部分权益。这可能招致侵犯个人生活安宁的问题,比如数据主体本欲征婚而公开个人信息,随之而来的可能不仅仅是有意者的咨询,还有可能会是房产中介招租招购、保健品推销等。但这种让度的边界值得进一步思考,公开是否能够成为个人数据收集的合法事由,从而摆脱数据主体的相关授权,需要进一步通过具体场景加以讨论。
3. 数据服务涉及的个人数据滥用问题
个人数据滥用在数据服务场景中体现为通过算法不当分析数据主体的行为。所谓算法,实际上就是通过计算机技术来分析数据样本,并通过分析后的结果解决某一特定问题的代码。有学者认为个人数据滥用行为包括偏见代理的算法歧视、特征选择的算法歧视和大数据杀熟三种基本形态。深入其内核,我们能够发现歧视的原因无外三大因素: 一是作为样本的个人数据存在不真实、不合理的情况,这将毫无疑问在根本上影响处理结果。二是算法中或多或少会有代码设置者的意志影响。算法可以视为以数学方式或者计算机代码表达意见,包括其设计、目的、成功标准、数据使用等都是设计者、开发者的主观选择,设计者和开发者可能将自己所怀抱的偏见嵌入算法系统。三是随着人工智能的自主深入学习,算法自身的逻辑也变得不可预测。算法黑箱之下,一些“歧视”将会应运而生,但有可能开发者根本没有能力对其进行解释。在当前阶段的数据服务产业中,大数据“杀熟”是算法歧视问题比较典型的体现。所谓大数据“杀熟”是指: “经营者依据对消费者个人消费偏好数据( 主要包括价格耐受度、支付能力、选择偏好、家庭构成、网站或 APP 页面停留时间等) 的收集、检索、分析与挖掘,利用忠诚客户的路径依赖和信息不对称,就同一商品或服务向其索取高于新用户的售价,并且该售价差别不反映成本差别。”在算法可解释性一方面基于商业秘密,另一方面也存在“可解释性”难以明确标准的情况下,消费者难以证明相关平台实施了“杀熟”行为。
综上,数据主体与数据利用方之间矛盾冲突的表现样态丰富,说明相关问题十分复杂。如何友好地获得数据主体的授权,是数据利用方需要解决的重要课题。现阶段,这一维度的利益冲突以数据主体人格权益保护与个人数据财产性权益实现的矛盾为核心,同时数据主体与数据利用方之间就数据财产性权益分配的矛盾已经开始显现。如何在保证数据主体人格权益不受侵害的前提下,实现数据财产价值的最大化与合理化分配已经成为现阶段制度设计所面临的重要问题。
( 二) 维度二: 不同数据利用方之间的利益冲突
个人数据商业开发与利用中的矛盾还存在于不同数据利用方之间。许多数据产业从业者,特别是互联网行业的从业人员,可以说是数据商业价值的第一批“淘金者”,提前就对数据相关产业布局及大规模获取各类数据资源作出了计划,尤其是个人数据所体现的多场景兼容特性,使得产业各方竞相争夺。在新型数据分析技术大量出现、数据处理设备不断迭代和升级的背景下,经营者对数据的利用能力显著增强,实践中普遍存在经营者通过收集、使用个人数据来创造商业价值、获取竞争优势的情形,有的经营者甚至将个人数据视为自己商业模式的基础和命脉。但在相关制度供给不足的情况下,数据利用过程中产业各方间的冲突愈发凸显,具体体现在以下几个方面。
1. 数据利用过程中的不正当竞争问题
随着市场的扩大,数据利用方之间的利益冲突愈发激烈,这尤其体现在数据利用方之间的一系列涉及平台数据的不正当竞争纠纷中,如早些年的电子商务平台易贝( eBay) 诉拍卖优势网站( Bidder’s Edge) 案、报业组织( Copiepresse) 诉搜索引擎谷歌( Google) 案及分类广告网站克雷格( Craigslist) 诉数据分发网站( 3Taps) 案等。一方面数据产业链条中原有的商业主体通过长时间的运营形成了先发优势,另一方面又存在产业链中的后来者通过技术获取种子用户以达到完成应用“冷启动”的目的。但在用户生态逐渐成为主流的背景下,围绕着个人数据所产生的一系列数据非法获取案件又将问题的复杂性显著提升。目前来看,涉数据的不正当竞争行为集中体现在非法获取其他平台个人数据这一类案件之中。
以“微博诉脉脉案”为例,该案的争议焦点在于: 脉脉获取开发者协议约定范围外的微博用户数据信息的行为是否构成不正当竞争。本案中,法官没有囿于传统的认定商业秘密的裁判思路,而是创造性地运用了反不正当竞争法一般条款。在本案中,作为个人数据的收集者、控制者,新浪微博对数据的收集投入了巨大的商业资本与努力,内容巨量的个人数据已经构成其重要的商业资本。类似于脉脉这种对个人数据的非法抓取行为实际上侵犯了两层法益: 首先是数据主体的人格权益这一法益; 其次是新浪微博就数据收集而享有的“投资权益”。对于第一层法益的损害,涉及上一节中的利益冲突问题。对于第二层法益的损害,则牵涉对行为正当性的判断,对行为正当性的评判又涉及对竞争关系、商业道德与行业惯例、技术中立与科技创新、竞争者权益与消费者权益等诸多因素的考量。面对两个层次的法益损害,有学者归纳出合法的个人数据获取需要存在三重授权,即用户对数据持有企业的授权、用户对数据获取企业的授权以及数据持有企业对数据获取企业的授权。基于相应数据自身可识别性、数据持有企业市场地位等因素,“三重授权原则”在适用中可能存在适用的差异,但相关原则思路已经奠定了企业间个人获取数据的基本规则。
对于个人数据的获取,应当秉持一个“同理心”来对待,因为在数据产业链中各方的地位有可能随着应用场景的不同而发生转化,链条中的上游企业即提供方可能在其他的利用场景下变成数据下游的需求方,不能一味追求效率而无视商业秩序,如何建立有效的数据共享和交易机制就成为数据产业发展需要面对的重要问题。在建立相应机制的过程中,需要充分尊重数据平台在产业发展中的贡献,对于合法的企业利益如何加以保护是有效解决数据产业链条中不正当竞争频发的关键。
2. 数据利用方的垄断问题
数据利用方的垄断愈发成为一个十分现实的问题。进入数字经济时代以来,我国尽管尚未发生相关的诉讼案件,但近年已经初现端倪。 从形式来看,数据垄断主要涉及数据企业经营者集中审查问题及数据企业滥用市场支配地位问题。目前来看,数据企业的经营者集中审查问题最为突出。现阶段《反垄断法》针对经营者集中的审查主要以营业额为评判标准,但某些数据企业基于其自身特质,营业额可能并不高,但其市场影响力与营业额并不具有直接关联性。大数据时代,数据资产还没有纳入反垄断法的考量体系之中,这使得相关评价过于片面,作为资本要素的数据完全可以使得数据利用方拥有市场支配地位。就应作为审查对象的“数据”而言,我们要有两个层次的审视: 在浅层上,我们要审视数据的体量与质量。数据体量无须赘述,至于质量,即指相关数据的价值,个人数据( 这里主要指不具识别性的衍生个人数据) 因其收集的困难性而具有极高的价值,因此在审查中应予以特别重视。在深层次上,数据企业的经营者集中审查应以集中行为是否会阻碍相关市场的正常竞争为标准。
通过滥用市场支配地位来实现对个人数据的垄断则比较复杂。基于先发优势,某些互联网企业已经取得了大量数据,并形成了相关市场的支配地位。出于巩固市场地位或发展上下游市场的考虑,这些企业可能会基于其市场地位大量收集用户个人数据。2016 年3 月2 日,德国反垄断机构联邦卡特尔局( Federal Cartel Office) 对脸书公司( Facebook) 展开调查,怀疑其对用户数据的采集行为及相关经营模式违反了德国《联邦数据保护法》,构成对市场支配地位的滥用。虽然脸书公司( Facebook) 一再拒绝承认其在德国具备市场支配地位,但德国联邦卡特尔局还是对此持怀疑态度。本案滥用市场支配地位之行为主要包含两个方面: 首先,脸书公司( Facebook) 在对用户个人数据进行收集时未能充分告知其收集的范围与性质; 其次,脸书公司( Facebook) 旗下拥有众多衍生社交产品,包括众所周知的聊天软件( WhatsApp) 以及社交应用( 照片墙 Instagram) 等。当用户同时使用这些衍生产品的时候,其个人数据将会被 Facebook 进行关联。显然,德国联邦卡特尔局的这份认定大大颠覆了我们对“滥用市场支配地位”行为的一般理解。市场支配地位本身并没有可责难性,类似于脸书公司( Facebook) 对个人数据实行关联行为的正当性才是检视的重点。除此之外,在滥用市场支配地位案件中,拥有市场支配地位的企业对其保有的特定数据集,能否拒绝向第三方开放,拒绝行为是否构成反垄断法上的滥用市场支配地位,也是目前学术界讨论的热点问题。
综上,数据利用方之间的利益冲突同样有着多样化的表现形式。围绕数据所蕴藏的财产性权益,业界普遍缺乏一整套全面的、能够得到普遍认可的有关数据的行为规范。在赋权路径仍存疑惑的情况下,有关冲突近年来相继爆发。尽管通过商业秘密进行变通保护、适用《反不正当竞争法》一般条款等方法,内部不断扩张的竞争法在一定程度上能够疏解相关问题,但越来越多的矛盾也使得竞争法变得更加难以捉摸,竞争法的制度供给愈发不能满足日益多样的现实纠纷化解需要。从全球视角来看,欧盟近期出台的《数字市场法》提案对于核心平台服务提供者就提出了更高的要求,相较于平台内的企业用户应承担更多的责任。美国对于超大型平台的反垄断审查也在不断地深入,主要审查平台是否存在数据滥用、垄断杠杆、掠夺性定价、核心设施和拒绝交易、搭售、自我优待和扼杀式收购等行为。笔者认为,基于数据竞争行为的多样化及内在机制的复杂性,无论是《反不正当竞争法》还是《反垄断法》都无法在合理的篇幅内将相关行为予以全面、严谨地规制,为避免竞争法的滥用,同时基于为相关主体提供相对清晰的行为预期的考虑,对数据财产权益进行明确才是恰当之举。这一方面有助于明晰数据产业链条中的各方商业主体之间的权责分配,另一方面也可以有效回应数据要素市场配置中机制不足的问题。
(三)维度三: 数据主体、数据利用方利益与公共利益之间的冲突
在对个人数据的商业化开发时,除了关涉个人的人格权益与财产权益、数据利用方的财产权益,还势必触及公共利益,这三者之间必然存在价值冲突。具体表现在以下几个方面:
1. 个人数据合规与政府数据治理问题
个人数据合规与政府数据治理实际上是一体两面的关系,其内核都是促进数据开发朝着安全且有序的方向发展。个人数据的合规与治理主要包括个人数据的质量与标准管理、个人数据利用的流程管理、个人数据安全与风险管理等方面,这其中又以流程管理为核心。在私法未能就个人数据财产权益予以明确回应的现状之下,流程管理能够从侧面承担平衡相关主体利益冲突、稳定个人数据开发相关市场的重任。就具体内容来看,个人数据合规与治理所涉范围很广,基于数据利用强烈的外部性问题,在目前有关个人数据开发的一切事项中都能够看到“政府的手”在积极发挥作用。
目前来看,个人数据合规与政府数据治理中最棘手也是最紧迫的问题是如何切实保障个人数据安全,形成有效的数据治理方案。近年来,个人数据泄露事件频发,数据泄露的规模与影响都呈现出逐步扩大的趋势。随着《刑法》的几次修订、《网络安全法》的出台及其他相关法律法规的完善,个人数据治理的真空状态已经得到弥补。但重拳之下,个人数据违法犯罪仍然表现得较为活跃,其原因主要在于: 首先,个人数据有着巨大的市场需求,但没有对此设计较为有效的交易机制,部分需求也被迫诉诸非法交易。其次,数据泄露难以被察觉,诸多案例都表现为数据被地下交易后,数据泄露的消息才被数据主体所知晓。最后,对违法交易的追查困难,数据在通过不法手段获取后,进行非法交易的隐蔽性很强,甚至现阶段相关数据在“暗网”中进行交易,这亦给事后的线索追查设置了重重阻碍。鉴于此,很多国家和地区就个人数据的保护进行了专门立法,设置了专门的监督实施机构,以实现数据治理。目前来看,我国尚没有专门的数据监督管理机构,就相关立法来看,也存在规则体系不够协调、规制义务主体不全面、义务条目与内容不够全面具体的问题。
同时,对于数据的分级分类制度尚不完善,也使得难以形成有针对性的保护措施。新近通过的《数据安全法》中对关键信息基础设施运营者的义务进行了专门规定,《个人信息保护法( 二审稿) 》中对于基础性平台服务或业务类型复杂的平台,或服务用户数量巨大的数据处理者也规定了专门的义务,此类数据处理者应当设立独立机构监督数据处理行为并对严重违法的信息处理者停止服务,定期发布个人信息保护社会责任报告等内容来接受社会监督。
2. 个人数据的跨境移转与国际管辖问题
平衡个人数据商业化利用中数据主体利益、数据利用方利益与公共利益的冲突不仅仅是一个内部治理的问题,同样涉及很多外部问题。具体来看,个人数据的跨境移转与国际管辖标准问题构成了相关问题的核心。所谓数据跨境移转,是指数据在不同法域间的转移,基于维护国家安全的考虑,各国都为本国数据向境外的移转设置了诸多限制,这其中又以针对个人数据跨境移转的限制为甚。针对数据的跨境移转的限制,主要有“欧洲模式”与“美国模式”两种做法。欧洲历来重视个人数据中的人格权益保护,因此对个人数据的跨境流转施加了比较大的限制。从1995 年欧洲议会以及欧盟理事会出台的《关于涉及个人数据处理的个人保护以及此类数据自由流动的第 95 /46 /EC 号指令》到 2016 年颁布的《统一数据保护条例》,“第三国适当性评估”一直是数据跨境移转的基本要求,即作为数据转移对象的国家应当能够为个人数据提供适当水平的保护。与欧洲不同,美国长期以来并没有统一的个人数据立法,只是一些场景化的个人数据单行法。这种现象的背后是美国作为数据产业优势国希冀通过降低数据流动门槛实现促进本国数据产业发展的现实需求。美欧做法的分歧固然表现在针对人格权益保护的衡量标准的不同,但更深层次地讲,这与促进本国数据产业发展、维护本国国家安全紧密相关。
数据跨境移转必然会牵扯出数据在国际间的管辖标准适用问题。2018 年 2 月 6 日,美国四位参议员提交了一部立法草案《澄清域外合法使用数据法》( the Clarifying Lawful Overseas Use of Data Act,以下简称《CLOUD 法案》) 。围绕着《CLOUD 法案》,通过将司法管辖权由数据位置变为数据控制者的控制范围,美国创建了一个关于数据主权划分标准的新框架,试图以此打破各国数据本地化政策的数据保护屏障。面对这一冲击,我们界定数据的管辖标准必须要以具体的国情为基础,防止市场主体利益与国家利益的失衡。
综上,通过对第三维度利益冲突的审视,我们得以跳出私法逻辑及内部产业政策的逻辑,进而从公共利益、国家安全、发展战略的视角审视数据立法的这一核心。以欧洲为代表的个人数据立法过于强化个人数据的人格权益,进而为数据的自由流动制造了重重阻碍; 而以美国为代表的立法模式强调场景化的规制,其仅就消费者数据、未成年人数据等方面进行了严格规制。从产业角度审视,美国的互联网产业在全球范围内的地位是不可撼动的,其利用数据优势收割数据产业弱势地区的利益或将成为继金融工具之后的又一手段。但对于我国而言,得益于巨大的国内市场、相对稳定的网络环境和丰富的应用场景,互联网产业自 21 世纪以来已经获得了前所未有的发展。基于此,只要本土企业主导了国内相关市场,我国就没有必要将个人数据的自动化处理当作洪水猛兽,复制欧盟的做法、处处以保护个人数据为名作茧自缚,而要侧重于培育市场的公平竞争,并对处于相对弱势地位的消费者提供适当保护。
三、个人数据商业化利用中矛盾冲突的化解
大数据时代的利益,无论是数据主体相关的人格权益与财产权益的保护,还是数据开发中通过利用个人数据所创造的商业价值,都得到社会公众充分的认可,这使得个人数据保护与利用之间的矛盾变得愈发突出与深刻。我国目前尚没有制定专门的个人数据保护法,关于个人数据保护的相关规定散见于其他法律规范中,且保护的法益主要关注于个人数据中的人格权益,未能充分关注个人数据的商业价值。有观点认为,数据的相关权益应通过合同交易规则进行保护。但笔者认为,仅依合同自治无法为交易双方在交易过程中信任缺失问题提供有效解决路径,合同自治也不是交易成本问题解决的根本之道。如果对数据交易轻易采取债权保障或债权交易的方式,相关企业发展中的实际需求和经济结构会遭到严格限制。有些学者希望可以通过为数据赋权的方式来对数据产业投资中所体现的“投资权益”施以绝对权保护。但究竟应如何保护本身存在巨大挑战,具体可从四方面进行分析: 第一,“数据”作为权利客体的基本概念尚存在争议,这主要体现在“数据”与“信息”的界分上。将数据以“物理层”“符号层”与“内容层”进行拆分,通过为“符号层”的数据文件赋权的方法实现数据权利设定。然而,即便是数据文件,其价值与交换价值仍然是由内容层的数据信息或数据本身所决定。第二,数据的价值是在流通中增长和实现的,绝对权赋权的方式极有可能为数据的流动造成阻碍,进而不利于社会利益的最大化。第三,赋以财产权的基础在于促进市场对稀缺资源的合理有效配置,然而数据作为数据产业的物料来说并不必然具有稀缺性。第四,作为数据产业重要组成部分的个人数据面临人身权、财产权双重属性问题,如何协调双重属性需要进行创造性的制度建构。
如上所述,私法中的两条进路都很难使数据的自由流动与个人数据保护达致平衡状态。因此,在确立个人数据保护基本原则的讨论前,应当对个人数据的保护体系进行更深层次的解构,充分考虑数据产业各方之间的角色和定位,平衡个人数据权益保护和数据有序流动、国家数据主权安全与数据产业发展。
(一) 充分尊重用户,保障个人信息权益
对于个人数据商业化利用中的数据主体来说,大数据本身的“大”体现为两个方面: 其一为单一标签的数据总体量级的“大”; 其次对于单个数据主体来说,也表现为各方面维度数据的“大”。个人数据的利用环节中,个人数据收集的主要形式是通过“知情同意”的规则或者合同授权等方式使数据收集具有合法性,但是在具体应用中,基于对数据主体的差异性与场景的多样性的考虑,企业在这一过程中对待数据主体隐私信息的态度应当有所区别。由于数据主体隐私本身涉及主体主观性极强的信息,因此很难以构建标准的方式进行量化。就商业化利用而言,可以借鉴欧盟在数据处理中的设计结构,为尊重和保护数据主体的隐私,对其个人数据可以通过利用阶段的各个场景来进一步确认。结合我国目前的立法实践,个人数据中人格权益的保护已经起步。2021 年施行的《民法典》以专章的形式明确将“隐私权和个人信息”予以保护,《个人信息保护法( 草案) 》中对于数据主体的权益保护以及处理原则也进行了规定。尽管个人信息权益与个人隐私权利在权利客体上有交错,学界亦就个人信息单独赋权争议不断,但相关立法已经表明了对个人信息中人格权益的关注。在未来的个人信息保护专项立法中,个人信息的基本概念及保护方式将与民法中的“个人信息”相关规定进行有机关联,以实现相关法律规范之间的和谐。同时,对于个人信息的处理需要结合具体场景与产业实践,并充分关注到如未成年人等特殊数据主体,明确相应的利用规则。
( 二) 充分尊重平台在数据发展中的权益
对于个人数据商业化利用的整个生态环境来说,流通的数据产生更多的价值,因此,从有利于产业发展的角 度必然要求增加参与者的数量,提升数据流转的总量,亦即,鼓励数据流动是数据价值和数字经济的内在要求。数据与一般的有体物不同,通常在流动的过程中数据量会表现为逐步增长的态势,而这也为数据的开发提供了更多的样本。对于个人数据,其商业价值的产生与扩大是数据各方主体共同作用所致,必然也离不开各数据利用方。对于数据产业发展来说,也离不开数据利用方的投入和贡献,尊重数据要素市场化配置过程中商业平台作为参与者的贡献也是促进数字经济发展的重要方面。
有人将个人数据比作是数字经济时代个人留下的“脚印”,那么数据利用方就是依照这些“脚印”修筑起条条大路的人。在修筑的过程中,开发者以“脚印”为样本,通过样本分析所得到的结果,是指引各项数据产业的“快车”抵达目的地最为快捷、最为合理的路。在这条路上,我们应当尊重留下脚印的“行人”的贡献,因为这些印记提供了有效的实践和样本。他们完全可以选择不留下这些脚印( 个人信息自决权、删除权等) ,并且留下这些脚印还有可能会使他们承担一定的风险。但路的建成须要有能承担“筑路人”角色的数据利用方参与进来,个人也没有能力修筑起构建数据时代的一条条路,正如要求个人承担数据产业发展所必需的服务器和技术是不可能的, 因此就贡献来说,数据利用方也应当就此享有一定的商业利益。目前,从私法保护角度来说,企业数据保护走向财产权化已经成为一种越来越清晰的趋势。这种方式对于企业具有最佳鼓励和刺激作用,使其乐于积极投入技术、资金和人力成本,不断开发新数据技术和方法,不断推出和改进数据产品,进而繁荣数据经济,促进社会经济发展。当然,前提是我们要充分考虑对留下脚印的“行人”的保护方式与边界。因为个人数据样本的分析为数据利用带来无限的可能,同样的数据可能基于算法的不同产生不同的结果,如果一味追求数据的流动性有可能会给现实社会带来系统性风险。所以,须将个人数据中体现的人格权益的保护置于商业开发之前,绝不能无视数据主体而单纯强调个人数据的商业开发。
(三) 数据的利用应当遵守商业秩序
完善对于不同开发者之间利益冲突的解决思路,还要考虑“尊重商业秩序与价值共创原则”。该原则体现为数据产业各商业主体在参与数据创新的过程中,应当充分尊重现有的商业秩序,尊重数据利用开发中产业链的各方主体在个人数据商业化过程中贡献的力量。商业主体和数据平台的积极参与是必要基础,而尊重平台所创造的价值,是推动个人数据产业有序稳步发展的一项基本原则,这里的尊重商业利益是指应当肯定数据产业发展中的商业行为的积极作用,同时在对个人数据进行权益保护或赋权的情况下,充分考虑商业主体对于数据发展中必要的和正当的贡献。
以数据夺取、数据垄断等形式体现的利益冲突为例,笔者建议数据利用方在数据收集和使用过程应当遵守行业实践中逐步形成的、为广大从业者所接受的、不违反公共秩序和善良风俗的商业秩序,应当考虑产业发展现状,进而建立数据利用规则与生态。比如,针对数据夺取行为,互联网搜索行业在实践中逐步形成了以“机器人协议”( “robots 协议”) 为代表的限制爬虫技术滥用的行业准则。在该协议约束下,网站管理人只需要按照协议在网站根目录下创建名为 robots. txt 的文本文件,就可以禁止搜索爬虫收录指定的网页内容。该类商业秩序不仅仅为行业从业者所认可,在司法实务中也有将对 robots 协议的违反认定为不正当竞争的案例。例如,2012年的百度诉奇虎不正当竞争案件中,robots 协议被法院认定为搜索引擎行业内公认的、应当被遵守的商业道德,被告在推出搜索引擎服务的初始阶段没有遵守百度网站的 robots 协议,其行为显属不当,应当承担相应的不利后果。在裁判理由中,法院还详细论述了争议双方在对 robots 协议产生纠纷时应遵循“协商—通知”的处理原则: 即在搜索引擎服务商认为被抓取网站的 robots 协议约定不合理时,应当首先向网站服务商或所有者提出书面修改 robots 协议的请求,网站服务商或所有者拒绝修改其 robots 协议的,应当在合理的期限内以书面形式清晰地写明其拒绝修改的合理理由,如搜索引擎服务商认为网站服务商或所有者举出的理由不成立的,双方可以由相关行业协会调解和裁断,紧急情况下可以采取诸如提起诉讼、申请行为保全等法律措施予以解决。
(四) 设立个人数据监管机构与行业自治组织
基于个人数据商业化利用过程中矛盾冲突的复杂性及其呈现形式的多样性,为配合现有相关法律规定及之后个人数据专门立法的实施,个人数据保护专门机构的设立是应对并有效解决现有问题的一个重要环节。一方面,个人数据保护专门机构的设立能够更好地实现对个人数据的全面管理、流程管理; 另一方面,相关专门机构的设立使得个人数据相关行政责任清晰化,进而解决了行政机关责任推诿或多重执法的隐忧。个人数据保护机构的具体职责应当包括监督、管理与宣传指导三个方面。就监督而言,专门的个人数据监管机构负有责任监督个人数据保护法律规范的实施与执行。在这里,个人数据保护法律规范不仅指专门的个人数据保护立法和数据安全领域立法,还应包括散见于《民法典》《网络安全法》等法律、行政法规中的个人数据( 个人信息) 保护规定。就管理而言,个人数据监管机构应当负有接受相关投诉、调查、处理相关违法活动的职责。就宣传教育而言,个人数据保护机构负有开展个人数据保护宣传培训、接受相关问询的责任。同时建立专门的个人数据监管机构也有助于国际间的交流与协作,比如在数据安全、数据跨境流动以及数据应用上形成共识并建立相应标准等具体问题也是一个全球共同的重要课题,因此设立专门的个人数据监管部门也是非常有必要的。
当然,仅凭政府层面设立的专门机构仍难以全面地化解个人数据商业化利用中多维度的矛盾冲突。可以预见,层出不穷、变幻莫测的相关行为将会为个人数据相关执法制造多重障碍。因此,建立行业自治组织同样显得尤为必要。一方面,对于既有的个人数据保护法律规范不可及的相关行为,通过行业自律组织能够在一定程度上调和、缓解相关利益主体之间的矛盾。另一方面,行业自律组织所达成的相关行业规范、行业标准可以作为个人数据保护机构执法的参考,甚至在有些时候可以佐证相关商业道德与行业惯例,进而对行为正当性的认定产生影响。因为对于个人数据利用的场景是一个动态的过程,通过行业组织能够更好地推动形成行业间达成共识,通过行业间的自治自律达到有序促进数据产业发展的目的。
(五) 建立数据追溯和共享机制
保护企业数据权益应当以促进数据共享为目标,企业数据的合理保护应当有利于促进数据共享。对于数据产业发展来说,催生新价值的关键在于各方主体之间的数据流动,不能流动的数据是会丧失其价值的。如果产业链中的每一个节点都拒绝分享数据,那么必然会出现“数据孤岛”,导致整个数据产业的发展动力不足。加强数据有序流动是行业发展所必需,而数据流动必然会形成一个上下游数据链条。由于利用场景的不断变化,产业链上下游的角色也随之产生动态变化,下游获取的数据会促进新数据的产生,而新的数据又会在新的交易链条中形成上游的基础数据。在尊重数据利用基本原则和商业秩序的基础上,构建一个数据交换和数据访问的机制,提交换和访问数据程序的便捷度和自动化的程度,不仅有利于促进产业间的数据合作和科技创新,对数据交易的有序开展也具有保障作用,进而也有利于提升数据市场的良性发展活力,使得数据利用方免于处在数据是否清洁的不安定状态。
对于个人数据的商业化利用过程来说,应充分肯定商业主体的创新和自治能力,商业主体之间设定的机制能够有效地调节数据流转过程中出现的问题。一方面通过加强数据交换和数据访问,为数据产业的上下游提供高质量的数据,解决很多企业产业发展过程中面临的“冷启动”的问题; 另一方面各方主体的充分参与是追溯和共享机制建立的必然要求,这样能够为行业自律规范的形成提供更好的生长土壤,同时,也对企业之间更好地开展数据安全合规和个人信息保护实践发挥指引作用,进而达到数据产业的动态平衡。另外,建立上述数据追溯和共享机制,可以保障个人信息在商业化利用过程中的数据安全,并在发生数据泄露事件后及时追溯信息泄露源头,以落实各参与主体相应的保护责任。
(六) 建立合理的数据管辖标准
数据管辖标准的设立不仅仅是一个关涉商业主体利益与公共利益平衡的问题,它更与国家安全以及国家战略息息相关。诚如有学者所指出,如果过去个人数据保护被上升为国际问题是基于人权保护理由的话,那么数据的资源性所导致的与国家经济和政治安全的勾连又成为国家争夺国际话语权的重要理由。有赖于互联网产业几十年来的迅猛发展及巨大的人口红利,我国已经逐渐跻身数据大国行列。因此,在数据跨境移转问题上我们应当形成得到国际认可的管辖规则,在数据尤其是个人数据管辖标准的确定上亦要格外慎重。
理想的个人数据管辖标准是属人主义,即依照数据主体国籍国来确认相关纠纷的管辖。但这一标准存在实践上的困难,一方面对于某些个人数据难以确定主体的国籍,另一方面以批量个人数据为对象的纠纷中相关数据主体的国籍国很可能是多样化的,进而难以执行统一标准。除此之外,属地主义也是一种具有讨论价值的构想,即以存储数据之服务器所在地作为划分相关纠纷管辖权之标准。但基于价格、带宽、安全性等方面的考虑,有很多企业租用境外服务器以存储、处理相关数据。属地原则之下,基于这些数据产生的相关纠纷将无法诉诸我国法律解决。此外,随着云存储技术的发展,数据存储去中心化的趋势也使我们愈发难以确认数据所在地。最后,以数据利用方国籍国为管辖标准似乎能够解决执行与政策上的问题,但这种管辖标准势必在一些数据产业相对欠发达的国家或地区受到极大的阻力。基于上述分析,个人数据的管辖标准不宜简单采某一特定标准。可综合考量各个标准,以属人主义为基础,在其执行时结合属地主义与数据利用方国籍国等标准进行评估,确定最密切联系地,以妥当地化解相关冲突。
四、结语
个人数据的商业利用是一个宏观的概念,也是一个极为复杂的过程。从本质上讲,所涉利益主体的多元性与具体利益呈现形式的复杂性是造成个人数据制度建构困难的真正原因。一方面数据利用的范围随着技术的不断发展而不断扩展,另一方面利用场景的不断丰富,使得原有的保护内容被赋予新的内容。传统的私法进路对于权利设置存在阻碍,无法有效平衡不同主体之间的利益冲突,而通过行为立法又不免挂一漏万。所以数据治理,特别是个人数据治理必然走向社会共治,其中数据主体、数据产业链条上各方的参与者,以及监管部门和行业自治组织都需要在其中积极发挥作用。在社会共治的框架中,通过对个人信息采取专项立法,设立核心的法律框架将处于基础性的地位,在此之上,数据追溯与共享制度、涉及数据相关的各项国家标准、企业间的数据自律公约等又将会是重要的组成部分。
数字经济时代,对于个人数据治理应当具有“同理心”。对于数据主体来说,如希望通过丰富的应用场景获得生活和学习上的便利,势必需要让渡部分权利并为数据企业提供相应的授权,但同时我们也应当充分保障数据主体的知情权,并应当给数据主体选择是否接受相应应用场景的选择权和在选择应用场景后撤回的权利。对于数据利用方来说,获得数据主体的授权后,应当在利用的各个环节加以规范。同时对于个人数据不应“一刀切”,分级分类的数据利用规则,将会使产业链中的各方主体通过合理正当的场景来进行个人数据的商业利用。对于国家以及各政府部门来说,有序的数据治理规则,也是国际治理体系的重要部分,各个国家和地区之间只有秉持 “同理心”的共商共建,才会更好地实现全球数据治理的目标。
*文章来源:《法律科学》
*侵权必删
学术前沿速递
学说观点
AIGC交流社区
未央网
毕宣
王凯
- 1
- 2
- 3