返回上一页 文章阅读 登录

劳东燕:个人数据的刑法保护模式

更新时间:2020-09-12 23:33:22
作者: 劳东燕  

   【中文摘要】个人数据上汇集多方主体的不同性质的权益,它不同于一般的私权物品,也不宜作为公共用品。依据个人数据在不同场景中所涉权益的性质,我国刑法对个人数据的保护共有四种模式,即经济秩序保护模式、人格权保护模式、物权保护模式与公共秩序保护模式。考察刑法对个人数据的保护,不足之处在于:对数据滥用的行为缺乏必要的规制;有些罪名的适用无法准确揭示相应行为的不法本质;犯罪化不足与犯罪化过度的问题并存;对数据主体权益的保障显得不足。就刑法保护框架的合理化而言,需要在四个方面实现观念性的转变。个人数据虽具有财产或经济属性的面向,但不应归入财物或知识产权的范畴;虚拟财产不具备财物的特性,不应在一般意义上作为传统财产犯罪的对象。有必要从立法论与解释论两个层面,对我国刑法对个人数据的四种保护模式作出相应的调整。

   【中文关键字】个人数据;数据权利;数据滥用;虚拟财产;《通用数据保护条例》

   【全文】

  

   一、导言

  

   网络与信息技术的运用,正在深刻地撼动与改变我们所处的世界,也使得数据变得前所未有的重要。在生活的方方面面均由数据驱动的今天,数据更像是我们呼吸的空气,而不只是21世纪的“石油”。1大数据时代的来临,其表征之一就是对与个人相关的数据的海量收集、分析与利用。海量数据市场被认为将取代传统货币市场,数据所带来的经济重启,会深刻地改变市场运作的基本机制,重塑人们所熟悉的资本主义经济,其重要性堪比工业革命。无论从商业经济还是社会管理的角度而言,个人数据都具有不容忽视的巨大价值。这意味着,个人数据必然会成为包括刑法在内的法律规制的对象。法律需要跟上科技的步伐,对数据的流动与利用进行必要的监管。毕竟,技术存在的目的是为了让人们生活得更好,它只是实现目的的一种手段,是一种装置、一种方法或一个流程。而数字科技不只是带来隐私与安全的问题,也正在对民主与自由的体制形成重大的冲击。因而,如何根据个人数据的特殊性质,发展出适应于大数据时代需要的包括刑法在内的法律规制框架,构成当前各国所面临的共同难题。

  

   晚近以来,我国在刑事立法与司法上已经作出积极的回应,但总的说来,仍然停留于对原有框架的修补,而并未实现基本范式的转型。我国现有的刑法规制框架,能否为个人数据提供适当的刑法保护,无疑值得做必要的探究。作为在数据科技与经济领域走在世界前列的国家,怎样的刑法规制框架才能在自由、安全与发展之间达成合理的平衡,从而满足大数据时代对复杂社会进行治理的要求,是法律领域迫在眉睫需要解决的问题。基于此,梳理与归纳中国现有刑法规制框架的基本特点,在此基础上就其整体展开反思性的审视,考察其中的得与失,便有着重要的现实意义。这构成本文的问题意识。

  

   值得指出的是,本文使用“个人数据”而非“个人信息”的概念,是基于两点考虑。其一,严格说来,“数据”与“信息”的具体指涉有所不同。“数据”侧重于突出载体或媒介本身,而“信息”强调的则是所要传达的内容与本质。因而,信息具有更为深刻的内涵,它不只可以通过数据的形式来呈现,也可以借助其他的媒介。不同的媒介,包括文字与印刷术,是作为不同信息技术的产物而存在。每一种新出现的信息技术,都在当时催生了信息储存和传输的新需求;而每一种新出现的媒介,都会对人类思维的性质加以改造。本文关注的对象主要是以电子数据形式出现的个人数据,不包括以其他媒介呈现的个人信息。其二,本文所称的个人数据,基本是在欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)的意义上使用,指的是已识别到的或被识别的自然人(“数据主体”)的所有信息。它要求与数据主体具有相关性。所谓的相关性,是指某项信息源于数据主体自身,或者主要被用于评价或影响数据主体的行为或状况,又抑或从结果角度看该信息确实有可能将特定数据主体区别于其他人,并可能对其权益产生影响个人数据既包括属于个人的数据也包括关于个人的数据,在中文语境中,它可能比个人信息概念的外延要广一些。比如,网络运营公司数据库中的游戏装备、游戏币与充值卡兑换号等,本质上也是数据,但其与作为数据主体的个人并不相关。不过,当这样的游戏装备与游戏币等进入个人的账户,由个人占有与使用时,便成为属于个人的数据。反之,网络运营公司因业务需要所合法收集的个人数据(如消费记录、搜索记录与网页浏览记录等),属于企业控制的数据,但它们仍是关于个人的数据。由此而言,本文对个人数据的刑法保护的探讨,并不局限于中文语境中的个人信息,而是也包括涉及虚拟财产的个人数据等。

  

   本文第二部分首先论述个人数据的特性与法律地位。在此基础上,第三部分对中国刑法对个人数据的保护情况进行归纳与梳理,以便为相应保护框架勾勒出基本的轮廓。第四部分意在指出我国现行关于个人数据的刑法保护框架的缺陷。第五部分认为,基于补正其缺陷的考虑,有必要在价值立场与观念上实现相应的转换,主张应当在行业自律与政府监管相结合的治理机制中,来考虑刑法保护框架如何调整的问题。第六部分强调需要根据不同的风险类型与所侵害法益的性质,来为个人数据提供多元化与类型化的刑法保护。

  

   二、个人数据的特性与法律地位

  

   数据是由人类自己所创造。个人数据作为一种资源,具有再生性与非竞争性的特点。再生性使得个人数据的规模呈不断扩张的态势,而非竞争性则使得个人数据可反复使用,并供不同的主体共享。尤其是,相应的数据虽然是因个人的行为或活动而产生,但是,在此类数据上,不仅涉及公民个人隐私、财产或其他个人信息等方面的权益与控制处理主体(也称控制者与处理者/controller and processor)对数据的控制、分析与使用的权益,而且涉及数据科技产业的行业性利益与整个互联网经济发展布局的利益;此外,还可能涉及公共安全与国家安全等方面的利益。可以说,个人数据经常汇集多方主体的不同性质的权益。相应的主体之中既有公法益主体,又有私法益主体,而私法益主体中既有自然人,又有公司等组织。同时,对于单一的主体而言,个人数据既可能涉及人身权利,也可能涉及财产权益。数据这样的特性,使得对其进行准确的法律定位变得相当困难,也难以纳入特定的部门法中来解决。

  

   这意味着,思考与探讨对个人数据的刑法保护,应当置于整体的法律框架之中,着眼于数据治理的角度来进行。数据法作为一个典型的领域法,聚焦各部门法在数据领域衍生的共性问题,有必要在横向上整合传统法律部门要素,在纵向上突破部门法的壁垒,通过不同研究角度和方法来探索数据全生命周期的普遍规律,形成具有内生性、协同性的整体数据法律研究框架。就当下而言,数据治理的整体法律框架尚未形成,尚处于发展过程之中。尽管如此,刑法对个人数据的保护,仍需有意识地摆脱部门法的狭隘,通过往返观照数据法的整体框架来作相应的调整。

  

   由于个人数据在权益结构上的复杂性,采取传统的私权主义保护进路,能否兼顾各种权益之间的平衡,便不可避免地引发相应的争议。这些争议包括:第一,个人数据是作为私权意义上的物品来对待,还是应视为公共用品?第二,对个人数据的保护,是主要采取私法保护模式还是公法保护模式?第三,对各类主体而言,其对个人数据所享有的究竟是一种权利,还是只是单纯的利益?第四,对于数据主体/data subject(也称信息主体)而言,其对个人信息所享有的权利,是作为不容剥夺的绝对权利还是可予相对化处理的一般权利?第五,数据主体对于个人数据的权益,主要涉及的是积极的控制权能还是消极的防御权能?

  

   前述争议之中,最为关键的应当是对第一个问题的回答。如果认为个人数据是作为公共用品而存在,则对其的保护,便不可能采取以私法为主的保护模式,而必然倾向于动用包括行政法与刑法在内的公法来进行保护。由此而言,对各类主体而言,包括数据主体在内,对个人数据所享有的便不可能是排他性较强的权利,而只能是单纯的利益。相应地,由于个人数据属于公共用品,而数据主体对数据所享有的也并非一种权利,其自然只能行使消极意义上的防御权能,而不包括积极的控制权能。

  

   梅夏英教授便属于此阵营中的代表人物。梅教授认为,数据缺乏民法中客体物所必须具有的特定性与独立性,其作为客体与民法中客体实体权利表彰功能也不相契合,故不应作为民法上的客体;同时,在数据之上也难以建立类似知识产权的权利,知识产权中的财产权主要体现为流通垄断权,而缺乏智力成果内容的数据无法构建这样的垄断性权利。他认为,目前私法对于数据权益界定的理论尝试均有局限,无论是隐私权模式、个人信息自决权模式还是人格权兼财产权模式,都不能很好地解释数据的流动和控制问题;将数据客体化和权利化难以契合数据价值的来源和运作方式,它忽视了数据本身的分享和流动的惯常性存在,以及数据排他性占有的现实困难。基于数据的互惠分享构成互联网赖以生存的基础生态规则,同时考虑其无形性、可分享性以及公共性,梅教授因而主张数据应当视为公共用品,按互惠分享的原理来构想对数据的法律保护,法律保护需要实现从私益保护面向到公益保护面向的转换。吴伟光教授也是相应观点的支持者。他从大数据技术下的社会可能超越私权利社会而形成合作共享的有机社会的角度,来论证私权保护路径已丧失存在的社会基础,认为作为公共物品并以公法来规范个人数据的使用更具合理性和可行性。

  

   与之相反,如果坚持个人数据仍属于私权意义上的物品,则对其的保护,必然优先考虑用私法来进行保护,只是在私法无法进行有效救济的场合,才会考虑补充性地运用公法来进行保护。在此种构想框架中,对于数据主体来说,其对个人数据所享有的必定属于一种权利。至于这种权利的具体属性,则需要作进一步的探讨。首先,这种权利究竟是隐私权、一般的人格权还是个人信息权,抑或是人格权的财产权化;其次,数据主体所享有的这项权利,到底是作为不容剥夺的绝对权利,还是可予相对化处理的一般权利而存在。同时,对于个人数据的控制者与处理者来说,其对数据的控制权益是否视为是相应主体的权利还是利益,它是一种财产利益还是其他的经济性利益,也均需作进一步的确定。由于数据主体对个人数据享有相应的权利,其权利内容自然是既包括积极控制权能又包括消极的防御权能,相比于后者,积极控制权能势必构成权利的主要内容。

  

   尽管公共用品说在我国法学界有一定的影响力,多数观点仍倾向于首先从私权意义上看待个人数据,认为应作为民事权利的客体,尝试用私法来提供先行的保护,同时辅之以行政性保护与刑法性保护。作为数据主体的自然人,其对于个人数据所享有的权利性质也得到确认。由于隐私权在我国法律语境中指涉的范围较窄,难以将所有具有可识别性的个人信息涵盖在其中,故而,数据主体对于个人数据的权利,基本上不再被理解为是隐私权,而被认为是独立于隐私权的独立的个人信息权,它的主要内容涉及对个人信息的自我决定权。信息的自决权是否具有宪法上的基本权利性质,这一点尚未得到应有的讨论。至于合法控制与处理个人数据的公司等组织,从实务的做法来看,其对所控制的个人数据没有被承认为是权利,而是作为一种应保护的经济性利益受到确认。

  

从我国现行法律规定来看,(点击此处阅读下一页)

本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/122856.html
文章来源:《比较法研究》2020年第5期
收藏