个人信息作为传统法律上人格权的客体,又最大程度发挥数据对社会经济的潜能

2020-04-21 作者:区块链生态   |   浏览(118)

据了解,各国对数据实施分类管理,既对个人数据提供有效保护,又最大程度发挥数据对社会经济的潜能。大数据时代,各国高度重视数据蕴含的价值,根据新形势对数据权利界定作了一些新的规定,以促进数字经济发展。总体而言,各国对数据实施分类管理,既对个人数据提供有效保护,又最大程度发挥数据对社会经济的潜能。(一)明确政府数据的公共属性,政府拥有使用和管理权及向社会开放的义务大多数国家均将政府数据视为一种公共资源,一方面,通过立法赋予政府对政府数据的使用、管理、许可等权利。如美国宪法第2320条规定,政府有权使用其资助的合同和分合同项下的项目或过程中的数据,以及将数据向外部公开并允许外部人士使用。另一方面,明确政府开放政府数据的责任和义务,以及公众的使用权和义务。发达国家从2009年开始推动政府数据开放,明确了数据开放的形式、要求等,以及公民获取和使用政府数据的各项权利和使用要求。(二)针对非个人商业数据推动建立数据产权,鼓励数据生产和流通对于非个人商业数据,一般默认由数据生产者拥有。但鉴于数据的特殊性,欧盟认为明确其产权对于规范市场和交易意义重大。2017年,欧盟发布《构建欧洲数据经济》,提出针对非个人的和计算机生产的匿名化数据设立数据生产者权利,鼓励(涉及公共利益时强制)公司授权第三方访问其数据,促进数据交流和增值。数据生产者权利是指设备的所有者或长期用户(如承租人)基于收集和分析处理等操作,对非个人数据享有的使用和许可他人使用,并防止他人未经授权使用和获取数据的权利。(三)明确个人数据权利内容,确保个人信息安全原始个人数据一般默认归个人所有,通常无须另行规定,也有个别国家作出明确规定。如美国联邦通讯委员会2016年发布的《宽带互联网消费者隐私政策》规定,由宽带互联网接入业务所产生的数据归消费者所有。由于个人数据表现出了人格权属性和财产权属性,各国根据新形势赋予新的个人数据权利,提供兼具人格权和财产权的保护。如欧盟2016年通过的《一般数据保护条例》赋予个人的数据权利包括数据访问权、数据纠正权、被遗忘权、限制处理权、可携带权、自主决定权以及拒绝权等7个方面。2018年6月,美国加利福尼亚州议会通过的《加州消费者隐私法案》为消费者创建了访问权、删除权、知情权、拒绝权等数据权利。(四)区分个人数据人格权和财产权,推动匿名化数据应用为了促进个人数据利用,一些国家规定个人数据经过匿名化处理(移除可识别个人信息部分且不会再被识别)就成为非个人数据,允许在某些风险较低情形下使用匿名化数据。目前,欧盟、美国、日本等允许企业在承担保证透明性、隐私风险评估和保护等责任前提下,对个人数据匿名化处理后进行市场化利用。欧盟《一般数据保护条例》规定匿名化数据不属于个人数据,机构可以自由处理匿名化数据。美国《健康保险携带和责任法案》规定,对于不可识别身份的个人健康信息可以被应用或者披露。日本2015年《个人信息保护法》修正案允许企业在确保数据不能实现身份识别、不能复原的情况下可以出售匿名化数据。(五)规范个人数据跨境流动管理,推动非个人数据自由流动当前,美国主张数据自由流动,欧盟注重数据跨境流动所涉及的个人隐私保护,而大多数发展中国家则推行数据本地化政策。总体来说,数据跨境流动呈现出如下趋势。一是规范个人数据跨境流动,保护个人隐私。各国和地区对解决个人数据跨境流动中保护个人隐私提出了多种解决方案。2011年,在亚太经济合作组织框架下,美国主导提出了跨境隐私规则体制,对企业采取认证模式,经过隐私保护认证的企业之间可以无障碍跨境传输个人信息。欧盟《一般数据保护条例》提出了向境外传输个人数据的条件,包括要求第三方国家或国际组织对个人数据和隐私的保护程度与欧盟相当等。日本《个人信息保护修正法》规定数据控制者转移个人信息到境外需要获得个人同意,或该国具有与日本标准相当的数据保护体系或数据保护标准。二是消除非个人数据本地化限制。尽管欧盟要求跨境转移个人数据需满足相关规定,但对于非个人数据,则推动废除成员国不合理的数据本地化存储要求。2018年10月,欧盟议会审议通过了《非个人数据自由流动条例》,制定了旨在废除欧盟各成员国的数据本地化要求、促进专业用户数据迁移的有关规则,以确保非个人数据在欧盟内可以自由流动。(六)赋予监管机构为履职获取数据的权利,确保数据的公共利益优先为保护公共利益,各国通过法律赋予监管机构履行职责所需的信息收集权。美国2015年出台的《网络信息安全共享法》规定,企业在必要时需根据国土安全部的要求共享信息,当用户控告企业的此类行为侵犯公民隐私权时,企业可以豁免。欧盟《非个人数据自由流动条例》规定,公共部门可以访问欧盟任何地方存储和处理的数据,并进行审查和监督控制。德国、英国也在相关法规中赋予国家安全机构获取企业数据的权利。文|国务院发展研究中心创新发展研究部“我国数字经济发展与政策研究”课题组,执笔:戴建军、田杰棠

在当今信息化时代,个人信息既不再是隐私权的客体,也不是人格权衍生出的财产权的组成部分,而成为国家、数据企业和个人共享的宝贵数据资源。因此,关于个人信息的立法不应再狭隘地局限于个人利益或私权保护,应侧重规范信息资产合理开发中个人利益和社会公共利益的平衡,应更好地发挥个人信息在促进个人全面发展和推动社会进步中的公共产品作用。

不仅是中国,如何调和数字经济发展与安全的矛盾是全球各国共同面临的难题。据统计,目前全球共有126个国家和地区制定了专门的个人信息保护法,内容包含建立专门的个人信息保护机构、强化数据权利主体的控制力和探索建立安全的数据自由流动规则等。

单个主体的个人信息,经过信息技术、社会交往方式的型塑,已经成为一种团体或整体概念上的信息资产,应被当作共有财产或公共产品来对待。当然,其上附着的信息来源的个性化特征应当受到必要保护,例如,可以向数据企业或信息加工者课以相应的保密、忠实义务等。

毋庸置疑,数字经济时代已经来临。据统计,截至2018年底,中国数字经济规模达31万亿元,占GDP的三分之一。然而,正如任何新事物的发展都充满各种矛盾一样,数字经济发展的背后也充斥着各方主体对权力和利益的争夺。其中,最突出的一对矛盾就是企业对数据的收集、分析、存储和利用的权利扩张与个人数据隐私保护之间的博弈。

在大数据时代,个人信息的利用观念、方式和规模都发生了巨大变化。在此情况下,如何落实《民法总则》第111条所作“自然人的个人信息受法律保护”的规定?对个人信息作过于私有化理解的立法模式是否充分、完整、体系化地反映了个人信息在当代社会的应用场景变化,以及由此引致的个人利益和公共利益之间的关系重构呢?这些问题非常值得深入思考。

大数据领域立法进入“深水区”

个人:从信息主体到信息客体

2018年3月,百度公司董事长兼CEO李彦宏在中国高层发展论坛上说过这样一番话:“中国人对隐私问题的态度更加开放,相对来说也没那么敏感。如果他们可以用隐私换取便利、安全或者效率,在很多情况下他们就愿意这么做。”一石激起千层浪,李彦宏“用隐私换服务”的观点马上引来了不少人的口诛笔伐。虽然这句话颇具争议,但也从另一个侧面揭示了当下个人用户参与互联网经济的矛盾心理与尴尬处境:既想享受免费而便捷的服务,同时又不愿意让渡自己一部分隐私权利。

个人信息作为传统法律上人格权的客体,一直处于静态而稳定的法律关系之中。然而,近十年来,进入大数据时代以来,个人信息的法律保护制度在全球范围内正经历着一场重大变革。

利益冲突需要解决,而法律存在的意义就恰恰在于解决人类生活中的各种矛盾。近年来,针对这一矛盾,国内大数据领域立法动作频频。从《民法总则》第111条关于个人信息保护的原则规定,到《消费者权益保护法》第29条明确规定经营者有义务维护消费者信息安全,到2015年《刑法修正案(九)》对非法获取公民个人信息罪进行了更加细致的规定并加大打击范围与力度,到2016年《网络安全法》首次明确“个人信息”的概念,再到《信息安全技术个人信息安全规范》中对个人信息保护的规范化,个人信息保护在法律上从原则性的规定逐渐落到实处,细化成可操作的规范。

这一变革的根本原因是:随着社交时代的到来,数据量的激增、云计算的普遍运用、物联网雏形逐渐显现等,数据资产在政治、经济活动和社会结构中的核心地位愈发凸显。在此情况下,虽然各国法律制度和法治实践仍然强调,以隐私权或信息自决权强化对个人信息的私法保护,但是,个人信息保护革新措施的不断涌现,使得这一特别法领域呈现出显着的国际化、自律化、公法化的特征。

“纵向来看,个人信息保护经历了从间接保护到直接保护的历史沿革。早期立法主要通过‘隐私权’等对个人信息进行较为间接的保护。近年来,立法中针对个人信息进行直接保护的趋势日趋明显。”中国信息通信研究院互联网法律研究中心主任方禹给出这样的评价。

数据资产的界限已经突破了传统意义上的国别概念,不能再根据属地原则或属人原则的单一特性来进行物权法意义上所有权的划分,或进行单一权利主体的分割。网络上的信息日夜不分地紧密结合在一起,并形成巨大的信息流。在此情形下,无法将某一主体所提出的原信息从信息束的整体中独立拆分、收回、取消或删除。

2019年5月28日,国家互联网信息办公室正式发布《数据安全管理办法(征求意见稿)》(下称《管理办法》),并向全社会公开征求意见,这意味着大数据领域又一重磅法规发布,大数据领域立法已进入“深水区”。《管理办法》的重要地位毋庸置疑,北京市中伦律师事务所合伙人陈际红曾撰文表示,在2018年9月公布的“十三届全国人大常委会立法规划”中,《数据安全法》被列为“条件比较成熟、任期内拟提请审议的法律草案”。在《数据安全法》颁布之前,不妨将此办法视为一个“小数据安全法”。

信息不同于传统意义上的物,它不具有像物权客体经使用而衰减或随时间而穷竭的特点;相反,被后续信息迭代或者自身经过不同数据企业以各种方式挖掘之后,信息能展现出取之不尽、用之不竭的独特性质。

本次面向社会征求意见的《管理办法》分为总则、数据收集、数据处理使用、数据安全监督管理和附则五个章节,共计40个条文。在北京金诚同达律师事务所律师、高级合伙人周俊武看来,一方面,《管理办法》赋予了用户更多权利,如用户有权向网络运营者查询、更正、删除个人信息;企业因业务需要确需扩大个人信息使用范围的,应当征得个人信息主体同意等。另一方面,《管理办法》也要求企业承担更多义务。如要求企业在通过网站、应用程序等产品收集使用个人信息时,应当分别制定并公开收集使用规则,且收集规则应当明确具体、简单通俗、易于访问。

既然如此,在考虑如何规制或保护个人信息时,当然不能超越信息的一般属性来理解和把握相关的问题。考虑到物尽其用和公共福祉的最大化,并为发挥个人信息在促进社会经济利益、维护社会公共秩序中的重要作用,应更多地从物权、债权角度综合性理解个人信息的法律属性及其流转关系。同时,应在国际化、一体化的法律视野下讨论个人信息的保护模式,而不应再过分地从隐私角度将个人信息局限为信息主体的个人生活安宁和对信息的绝对控制权。

此外,《管理办法》第23条也引起了法学界的广泛关注。该条款规定:网络运营者利用用户数据和算法推送新闻信息、商业广告等,应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。陈际红认为,该条款保证了个人信息主体对于定向推送的自主选择,避免形成信息孤岛。

与在传统隐私权或人格权保护中个人居于主导地位不同,在大数据、云计算与人工智能时代,单个主体作为大量信息流的一个末梢,其可识别性的符号化特征在以关联关系为核心的大数据要求的全样本分析中,已经成为模糊的信息加工客体。个人信息的运用与否不再取决于个人与他人或与社会整体的交往、交易、融入意愿,而是一种在多数情况下无须进行选择的生活方式、交往方式及交易模式,这体现了社会调整方式的全局性、整体化变革。

两难的抉择

个人作为法律关系主体的特征在一定程度上的泯灭及科技时代对信息控制与利用方式的重大变化,与信息资产逐步成为人类共有财产的趋势息息相关。以个人信息为基础的信息集合或信息整体,以及由此衍生出的数据资产,已真正成为个人信息法律规制的核心。欧盟《一般数据保护条例》及美国《消费者隐私权法案》等相关立法,无不是顺应这一历史趋势,侧重于管理与规制数据企业的信息行为。同时,在此过程中,不断强化对信息加工客体与原信息一致性、信息保存期限过后的删除或遗忘权等内容的规定。这些权利虽然在名义上属于个人信息的原权利人,但实际上均需要数据企业的行为才得以实现。在全面数字化的信息时代,个体不再能够对个人信息予以完全的控制,并享有对个人信息的全部利益,隐私保护与信息公开性的适度平衡,应据数据企业的行为正当性及社会公共利益的需要而定。

数字经济的快速发展不仅催生了大量矛盾,也给立法者带来了挑战。方禹表示,互联网是现实社会的映射,适用传统的法律体系,但在部分环节和部分领域改变了传统法律关系要素的内容。在主体方面,互联网法律关系中增加了新的主体,原有主体的权利范围也发生了变化。在客体方面,增加了新的物、新的行为和新的智力成果。如刑事犯罪中针对互联网的犯罪,互联网本身即作为法律关系中的客体而存在,而电子合同、网络作品的出现则构成了新的行为和新的智力成果。在内容方面,互联网改变了现实社会相关活动当事人的权利义务的平衡,如隐私权在网络时代更容易被侵犯且影响范围更大。

个人信息:兼具公共利益和私人利益属性

不仅是中国,如何调和数字经济发展与安全的矛盾是全球各国共同面临的难题。据统计,目前全球共有126个国家和地区制定了专门的个人信息保护法,内容包含建立专门的个人信息保护机构、强化数据权利主体的控制力和探索建立安全的数据自由流动规则等。

个人信息不是纯粹的私法权利客体,享有与使用它而产生的利益不能仅从私权保护的角度进行狭隘的思考。就个人信息的范围而言,在个人提供的信息产生的信息产品与信息服务中,既有个人所创建的信息,又有他人参与创建或主要由他人创建的信息,故而,已经不能完全从隐私权或人格权的私有化属性方面进行边界厘定。

以美国和欧盟为例,二者在个人数据隐私保护领域就采取了迥异的立法模式。美国法模式的特点是分散立法而非制定统一的个人信息保护法,即在各个行业分别制定有关个人信息保护的法律规则、准则。不同于美国,欧盟选择了在政府主导下以立法手段规制个人信息领域问题的模式。2016年4月27日,欧盟通过了《一般数据保护条例》(General Data Protection Regulation)(以下简称“GDPR”)。GDPR经两年过渡期后取代1995年出台的《欧盟数据保护指令》(以下简称《指令》)并于2018年5月25日正式生效。这标志着欧盟建立了统一的个人数据保护法制。

个人让渡一部分或全部的个人信息所有权和利用权,已经成为互联网第三次浪潮中的常态。与此同时,机器抓取和各种算法的层出不穷,使得个人已经无法查知所提交信息的后续加工、分派、流转过程,再无法从与之有关的范围、程度和深度上感知信息产品的最终结果,在此情形下,更无法想象、顾及牵涉其中的第三方法律主体的相关行为。此时,如果沿用传统人格权法上对于人格利益的绝对控制权理论,或者是财产权法上的所有权或使用权的法律模式,来分析个人信息的权利构成,那么将极大地阻碍个人对信息的分享和利用,以及数据企业对信息的收集和加工,更无法使各方充分获取“信息石油”这种公共资源在不断的开采与利用过程中产生的信息红利。

GDPR的通过无疑是对个人信息保护领域做出的一次创新性尝试。根据GDPR第1条的表述,“本条例保护自然人的基本权利和自由,尤其是他们的个人数据保护权(their right to the protection of personal data)。”这意味着其突破了1995年《指令》将个人数据保护权归属于隐私权的权利属性,明确提出了个人数据保护权的概念,改变了以往该权利属性不明的状态。此外,GDPR还首次规定了删除权和数据便携性的权利。另外,GDPR对同意权的规定更为严格,数据主体的同意只能是具体的,不能被假设。

个人与数据企业以及社会之间围绕信息的提供、使用、挖掘、变现、跨境流动所形成的法律关系,需要以整体化的思路和技术化的视角来进行系统化分析。予以分析的前提是,必须以个人信息效用的充分发挥、社会秩序的合理维护、社会整体信息附加值之上的公共利益最大化、网络安全或国家安全等作为出发点,而不再拘泥于对某一个主体私人权利和私人生活安宁的保护,或者不再将后者作为信息法律关系构建的核心和关键。

对美国和欧盟在个人信息保护领域立法的差异,方禹这样评价:“欧美两国在对该领域立法时,背后的逻辑截然不同。美国基于其自身信息通信产业优势地位,主张数据自由流动,所以立法更向数据收集者一方倾斜;而欧盟强调公民权利和自由,个人信息保护水平为全球最高。”

个人信息:从个人所有权到共同所有权

尽管美欧之间个人信息数据的保护程度存在差异,但跨境数据仍需要流动,这一问题已成为美欧间博弈的焦点。2000年,“安全港”的概念被首次使用,使美国公司的数据收集和处理行为能够达到相应的隐私权保护标准,从而消除了美国和欧盟间个人数据传送的障碍。然而,在2015年,也就是GDPR颁布的前一年,“安全港”协议被废除。尽管“安全港”协议被废除,但美欧之间仍存在价值2600亿美元的跨境数据贸易,2016年8月,“隐私盾”协议生效,代替了存续15年的“安全港”协议。方禹分析,这反映了欧盟对个人信息数据不断加强保护的倾向。

这个权利的让渡并不违背私人自治的民法基本理念,相反,它是在这个以信息为基础的社会中,个人伴随着科技进步与社会发展,基于自我利益最大化,不得不做出的调适与妥协。一旦跳出传统民法的个人权利归属的窠臼来思考个人信息的法律属性,对个人信息管理与保护的法律规范的二重属性的难题便迎刃而解了。

从2018年5月至今,GDPR已实施满一年。近日,美国智库信息技术和创新基金会(ITIF)下属的数据创新中心(Center for date innovation)发布了《GDPR实施一年以来的影响》报告。该报告指出,GDPR实施一年以来,有越来越多的证据表明该法律没有产生预期的效果,而且还可能导致很多意想不到的严重后果。此外,也有多个调研机构用数据证实了GDPR的弊端,比如:对欧盟经济产生负面影响、消耗公司资源、损害欧洲科技创业公司、降低数字广告行业的竞争力、未能增加用户的信任、未能在成员国之间统一实施等。

在大数据时代,单一性个人信息的价值越来越不明显。个人信息对经济和社会发展的微观效应,迅速让位于大数据时代全部样本的信息挖掘产生的分析价值和预测效用。个人信息保护方式必须向此种经济和科技运行模式妥协,由此构建新型的个人信息公开化和可利用化的法律规范。

在数字经济时代下,企业和个人如同站在天平两端的两个主体,有合作也有冲突。究竟天平应向哪一边倾斜,每个国家都有自己的选择。然而,不管选择哪一方,矛盾都始终存在,无法彻底弥合。

在信息的处理过程中,个人信息的归属及授权使用只具有象征性的形式意义,它更多地体现为,与信息主体密切接触的数据企业对信息的保密义务,以及忠实于信息目的或场景的附随义务或宪法义务。数据企业对个人信息的运用不能超越信息主体自身利益及授权使用时双方对信赖利益设想的阀值,对信息予以匿名化处理、对个人信息的修改、解释及必要的删除义务,是个人信息控制权规制模式变革后产生的替代性的主给付义务。

从个人在信息产业和数字化社会中心地位的丧失时起,个人便在信息资产的生产、增殖、流通过程及相关法律行为的规范中退居次要地位。换言之,个人从信息控制和处理的主体,沦为信息挖掘和消费的客体。由此,个人信息经过数据企业的批量或整体性加工,变成符合一定目的的数据资产。在一定程度上,这种数据资产可视为整个信息社会中经营高效率运转的企业的行为基础,它也可为其他企业或国家所利用,作为深度把握社会财富流动、维护社会秩序、节约社会资源、预测及避免重大系统性风险的公共数据。

一些国家或地区的最新立法已逐步放弃个体对个人信息的绝对控制权理论,使个人信息权从绝对性的私法性权利或基本人权,向具有公共产品属性的公共信息财产转化。在这个问题上,虽然美国和欧盟的具体立法模式和法律理念还存在显着差异,但是,数据企业、国家机关等在处理个人信息上皆具有了较多的被默认的例外性处理权利。

综上,完全可以认为,单个主体的个人信息,经过信息技术、社会交往方式的型塑,已经成为一种团体或整体概念上的信息资产,应被当作共有财产或公共产品来对待。当然,其上附着的信息来源的个性化特征应当受到必要保护,例如,可以向数据企业或信息加工者课以相应的保密、忠实义务等。

个人信息保护规范:管理与保护并重

在现有法律体系框架下,个人信息权利的行使并不能仅由信息权利人自己完成,而是主要借助数据企业、国家等信息持有和管理人的行为而实现。将个人信息作为一种私法上的绝对权,无论如何不能契合权利的支配性、对世性、排他性等特性。个人信息也与隐私权的消极品格不能兼容,因为隐私权通常只有在受到侵害时才显示出消极的防御权能和基本人权的利益价值,而个人信息则以积极行使、多样化利用为主要目的,处在与数据企业、社会的交往和使用之中,并非封闭的、独立的主观存在。

我国许多现行的个人信息法律规范,均呈现出法律义务创设及法律责任前置的特征,旨在对可能出现的侵犯个人信息的行为进行提前预防,对个人信息的各种利用主体的行为创设基本的行为规范,包括对国家机关的信息行为进行规制,其强制性规范和管理性规范的属性极为明显和强烈,这与民事规范的私法自治特性极不相称。个人信息相关的法律规范,在世界范围内多因信息技术的发展,消费者与数据企业关系的变化,而由特别法实时进行调整与更新。在这个大的社会发展趋势之下,静态的、以个人隐私的绝对保护为中心的传统个人信息保护模式,已经很难适用。

个人在信息社会仍有充分的选择权和决定权,在处理具体信息时,能够决定公开个人信息的范围、程度和时间节点。然而,作为一种总括性的法律客体,个人信息不能再作为私法上的独立权利而存在,显然具有更多的公法色彩。个人信息权的产生、行使、管理与保护,皆仰赖国家法律关于个人和数据企业、国家之间的信息资产使用方式及利益分配政策的规定,而不能再由个人任意决定。

个人在信息提供、分享、交互、加工、分析等各个环节中,只能具有有限的知情权和修改权,而失去了对全部信息产生、变化和反馈过程的终极控制权。在数字化社会,要想获得信息技术和网络带来的各种便利,就必须按照企业的要求提供各种信息,同意企业在信息收集、加工和利用上提出的各种格式条款,个人在此情形下的选择只能是全有或全无。

总而言之,在当今信息化时代,个人信息既不再是隐私权的客体,也不是人格权衍生出的财产权的组成部分,而成为国家、数据企业和个人共享的宝贵数据资源。因此,关于个人信息的立法不应再狭隘地局限于个人利益或私权保护,应侧重规范信息资产合理开发中个人利益和社会公共利益的平衡,应更好地发挥个人信息在促进个人全面发展和推动社会进步中的公共产品作用。这是大势所趋,也是我国法律适应大数据时代发展需求的必然选择。

本文由威尼斯官网9778818发布于区块链生态,转载请注明出处:个人信息作为传统法律上人格权的客体,又最大程度发挥数据对社会经济的潜能

关键词: