返回上一页 文章阅读 登录

梅夏英:在分享和控制之间数据保护的私法局限和公共秩序构建

更新时间:2019-09-22 00:17:35
作者: 梅夏英  

   当代互联网科技和平台应用的快速发展,产生了许多前所未有的现实法律问题,对传统法律理论和立法体系提出了严峻的挑战,信息或数据的法律规制问题因此成为近年来法学界关注的重要领域。有关数据法律问题的探讨,近年来法学界主要是在依循和回应现实问题的基础上,开辟了个人信息保护、虚拟财产、大数据交易和数据安全等问题领域,并取得了积极的理论进步和现实效果。但值得关注的是,法学界对上述问题的探讨存在着明显的路径依赖现象,即采用传统私法的权利理论以及建立于其上的公法干预原理来对数据问题进行理论展开,这种理论上的路径依赖某种程度上决定了上述数据问题板块的形成。但随着现实网络数据分享和应用的进一步复杂化和理论探讨的逐渐深入,法学界在传统法律尤其是私法理论背景下解释和发展数据法律现象和规则,会呈现出一定程度的理论上的不适应和应对迟缓的状态。目前就数据现象所做的理论研究存在着离散化和碎片化的特征,对同一研究对象“数据”在不同的问题场域所作的界定和理论判断,存在着相互矛盾和不能通约的状况,无法形成一个稳固和统一的理论基础。例如,将数据同时作为“人格要素”和“财产”的理论解释问题,数据的公开分享性和权利化的矛盾问题,以及数据的“工具性”特征与信息本体的关系等问题,一直都困扰着理论界,而这些问题在传统的理论框架下很难有效地贯通和得到澄清。这种状况要求法学理论界在“数据”的研究上不应囿于传统法学理论,而应当将数据作为一种全新的法律现象,尝试在理论上如实把握数据的特性和现实流动规律,建立数据法律自身的基础理论判断和分析模式,并以此作为具体数据法律关系的理论解释和规则构建的基础。这种理论努力无疑是困难且富有挑战性的。本文拟在检视现有数据理论观点局限性的基础上,关注数据的公共性原理及其对传统思维模式转换的客观要求,进而探讨如何建立关于数据分享和控制的理论框架,并尝试对数据的立法和救济提出理论建议,希望对现今的数据法研究有所助益。

  

   一、目前私法对于数据权益界定的理论尝试及其局限性

  

   在探讨数据法律问题之前,有必要先确定本文所用“数据”概念的内涵。数据概念可以在多个意义上使用,且与信息概念有一定区别。[1]数据具有工具性,它作为生成和传输信息的数字编码技术,体现为以二进制为基础的比特或比特流,进而可以通过应用代码显示为信息。数据与信息的关系大致类似于传统媒介中的介质和信息内容的关系,介质服从物理学上的技术规律,而信息本体则服从社会传播学规律。但在互联网技术条件下,介质和信息的关系又出现了前所未有的变化,以比特为单位的数据作为信息的外在表现元素和基本度量单位,使数据与信息之间的对应和转换变得即时和直接,它们依赖于一个更大的、全球互联的网络介质系统,数据作为介质的一部分与信息取得了直接的联系。[2]在这个意义上,基于数字化技术的普及,现有各种正式文件中将数据与信息不加区分地使用,符合绝大多数场合的实际情形。但数据和信息的基本区别仍然存在,并在不同的场合显示出来,一旦现实问题涉及到数据的工具层面,数据问题就有可能与信息问题本身区分开来,而适用工具本身的规制方式,比如虚拟财产和数据运行安全问题即属此列。本文中所使用的“数据”概念是基于其与信息在内容上的一致性角度使用的,基本上与信息概念互换使用。

   目前各国对于数据问题的理论探讨,总是从个人与数据的关系开始的,对此欧盟和英美法国家均不例外。[3]中国目前在数据法律方面不大可能直接从其他国家获得既定的、成熟的借鉴,这样就使理论上的各种尝试变得可能了。目前,从私法上界定数据及其上的权益,主要是沿着个人信息保护、个人虚拟财产、平台数据保护和大数据交易这一理论链条展开的,其核心在于数据的确权问题。在数据权问题的探讨上,现有的理论观点五花八门,只要形式上可能,同样的数据在理论上就有可能同时成为隐私、知识产权或财产权的对象。[4]关于数据权的相关理论观点,理论界主要在个人信息和企业数据两个相互区分的领域分别展开,以下试分述之。

   (一)个人信息的权属界定理论观点及其评价

   关于个人信息法律属性的理论观点,有学者统计有八种之多。[5]但归纳起来不外三类,即人格利益说(包括隐私权说和具体人格利益说)、个人信息权说和人格兼财产权说。兹予以介绍与评价。

   1.人格利益说

   人格利益说分为隐私权说和具体人格利益说。先看隐私权说。该说之所以将个人信息作为隐私看待,主要是基于早期通过保护个人信息来保护个人隐私的初衷。早期各国对电子数据保护的立法如美国1974年的《隐私权法》、欧盟1981年的《个人数据自动化处理保护公约》和1995年的《欧盟数据保护指令》,都是为防止个人隐私被非法公开和泄露而制定的。美国立法一直对于个人数据的保护使用“隐私”的概念:从1999年到2002年,提交两院的个人数据立法草案中,绝大多数都在草案名称中出现“隐私”概念。但即便如此,将个人信息作为隐私来保护的观点在我国已鲜有学者支持。其原因在于,当代个人信息保护的范围已大大超过了传统隐私的范围,且个人对于信息的控制并不能排斥企业的合理使用,这与传统隐私的法理有较大差别。美国使用的隐私概念较为宽泛,它并不附属于类型化的人格权体系,故在概念内涵上与大陆法系国家有着重要区别。在最近生效的《欧盟一般数据保护条例》(以下简称“GDPR”)序言的中文译本目录中,已没有任何“隐私”的用语出现。

   再看具体人格利益说,该说将个人信息作为人格权体系下的一项新型人格法益予以认定。我国《民法总则》第111条规定了对于个人信息的保护,但没有明确表述为“个人信息权”,由此产生了个人信息是“民事权利”还是“民事法益”的不同理解。关于人格利益是“权利”还是“法益”,属于理论上对于人格权的理解和立法选择问题,但问题并不在此,而是在于个人信息是否能够成为现有人格要素之外的新型人格要素存在。尽管这种观点几乎已成主流观点,将个人信息作为独立人格利益仍然存在两个重要的理论障碍:一是个人信息与隐私无法区分。在现有的法律中,个人信息无疑包括隐私,且保护公民隐私是个人信息保护立法的重点目标,但个人信息的范围远远大于隐私,若将个人信息笼统称为独立的人格利益,那么如何处理与隐私的关系便成为难题。二是个人信息的范围过于宽泛,难以都认定为人格利益。如目前立法都通行以“可识别性”作为个人信息的范围,这就有可能引发一个问题,即由于当代数字处理技术中“个人画像”的出现,通过间接个人信息的分析来识别个人身份的机率大大增加,那么是否这些间接信息都属于个人信息,从而属于人格利益呢?如果通过一个未知的人某种行为的时间、地点和活动场景等能推断出其真实身份,是否这些时间、地点和场景等就成为法律保护的个人信息呢?上述两个理论障碍决定了个人信息被作为独立人格利益来认定的理由并不充分。

   2.个人信息权说

   个人信息权说目前在理论主张上存在两种不同理解:一种理解方式将个人信息作为人格权的一种类型,且明确主张应予权利化;[6]另一种理解方式是认为个人信息权并不完全属于人格权,而是一种新型的民事权利,以法律赋予的个人对于数据的控制权为核心内容。[7]对于第一种理解方式,其面临的理论难题与“具体人格利益”主张一样,且将个人信息人格权化并不能消除上述两种障碍,在此不重复论述。值得注意的是第二种理解方式,这种理解在我国并没有学者系统提出,不过可以从以下的转变趋势中解读出来:西方国家对个人信息进行保护的方式从隐私保护逐渐演进到了个人信息自决权保护。如美国学者(Alan Westin)认为,隐私必须被重新界定为“个人、群体或机构对自身信息在何时、何地以及在什么程度与他人沟通的主张”, [8]倡导个人对自身信息控制的独立意义。德国理论界认为通过“小普查案”和“人口普查案”等案例,德国已经确立了个人信息自决权。[9]以此来解释GDPR也应顺理成章。这种以个人自决为核心的个人信息权脱胎于隐私保护,强调个人对自身信息的控制,似乎具有独立的意义。值得注意的是,这种以信息支配为核心的“权利(束)”既不能完全以隐私保护来解释,也保留了财产化的可能,近年来国外学者倡导的个人信息财产性理论同样是建立在个人的信息控制基础上,如英国剑桥大学乔舒亚·费尔菲尔德教授近年就倡导对个人数据的控制从财产权角度予以保护。[10]

   认为基于个人信息自决而形成的个人信息控制行为能成为私法上的个人信息权,在理论上有如下缺陷:一是这种个人信息权并不周延。从西方个人信息自决权提出的社会背景和立法轨迹可以得知,个人信息保护或自决权乃电子计算技术出现并广泛应用后的产物,它仅适用于电子网络环境下的个人信息控制,并不适用于日常生活和传统媒体的信息控制。这种不周延决定了个人信息自决与人格的保护并无必然或天然的联系,也不能成为一种普遍适用的权利。二是若将个人信息权作为一项私法上的权利来理解,则它应具有一定的绝对性和对第三人的效力。但是我们从个人信息保护规则体系中并不能找到相关规则,使个人对信息的控制能排除他人合理的使用、分享和流通。个人信息自决权似乎更多地倾向于服务一种特定的立法目的,即有效地阻止个人信息被非法滥用,而非使信息为个人所独占。如GDPR第1条第2款明确规定:“本条例保护自然人的基本权利和自由,特别是保护自然人享有的个人数据保护的权利。”即表明个人享有的并非独立的私权,而仅仅是获得个人数据保护的权利。三是个人信息权观点(包括具体人格权观点)不能解释的是,为何这一具体人格权或独立私权在私法上缺乏有效的救济途径。在大多数情况下,对于企业或第三人非法使用或交易个人信息的行为,除非其涉及到隐私,否则在因果关系的认定和赔偿的确定上都存在很大的困难,难以救济。GDPR主要是通过高额罚款来预防和阻吓,并没有涉及任何私法救济方式。[11]

   除此之外,德国学者温弗里德·弗埃尔认为个人信息自决权是一种类似乌托邦的幻想。因为从法律的角度来看,信息自决受到了过多的法律限制(如GDPR中存在30多种基于公共利益的限制以及非经同意收集的情形),不宜将其确定为一般原则;从现实层面来看,信息自决忽视了个人大量信息已经由他人分享的现实,尤其是那些进入公共领域的个人,他们早已对自己的形象和外表等信息失去了控制。就自决本身而言,“受限于信息获取等因素,个人常常会在无知的状态下做出决定”。[12]上述事实导致数据保护和通讯自由之间存在着一种特殊的紧张关系,因为在私主体之间,不需要设置如此高的默认禁止的预防措施,私主体之间自主分享信息本来就是一项基本权利。总体而言,个人信息自决权明显有些理想化了,它将网络上的局部信息控制无限地扩大到个人对自身信息的全面控制,甚至提升到基本权利的地步,形成了凌驾于诸如通讯自由等基本权利之上的“超级基本权利”。

   3.人格权兼财产权说

   此说目前也具有一定的代表性,也有持此观点的学者不将人格和财产加以区分,而统一内含于个人信息权。其实这种观点与上述个人信息权观点的第二种理解也有类似之处,只是在解读和定性上增加了财产权的内容。此说主张个人对其个人信息享有两种权利,即防御性的人格权和支配性的财产权,以此实现如下可能:个人在保护自己人格利益的情形下,可以自主决定是否通过信息许可或交易来获利。该说大多借助人格财产化现象或美国法上的“公开权”或“形象权”来进行论证。这种主张意图通过个人信息的此种认定来解决个人信息同时成为人格利益和财产的理论难题,顺便为企业数据的财产性问题打开理论空间。针对此种二元界定主张,就个人信息是否成为人格利益,上文已有评论,问题在于个人信息是否能够成为财产权的客体

这种理论主张主要是基于大数据财产价值日益显现的社会现实,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/118277.html
收藏