时间:2022-07-02 来源:民主与法制网 责任编辑:编辑
个人数据处理的行为结构及其规范体系
【中国法治国际论坛(2021)主题征文】
[摘要]:个人数据处理可类型化分为个人数据的收集、加工以及使用三种,且不同行为之间具有独立性与所涉法益的差异性。个人对个人数据之上的个人信息享有人格利益,该种人格利益在个人数据收集阶段主要表现为隐私权,在个人数据使用阶段表现为各类人格权(具体人格权与一般人格权);个人对个人数据享有财产利益,该种财产利益在个人数据加工阶段表现为数据财产权。个人数据“收集行为”主要涉及数据主体的隐私权,应通过隐私权予以规范;个人数据“使用行为”是信息能力平等主体之间的社会交互行为,该行为涉及数据主体的多类人格权,应通过具体人格权与一般人格权予以规范;个人数据“加工行为”是信息能力不平等主体之间的权利让渡行为,该行为涉及数据主体的数据财产权,应通过“合同”予以规范。
[关键词]:个人数据处理;人格利益;财产利益;行为结构;规范体系
引言
个人数据应当受到保护,此毫无疑问。但是,当我们言及个人数据保护时,一个必须要回答的问题是:个人数据保护究竟保护的是什么?本质上来看,个人数据保护并非是单一的法益保护诉求,其存在于个人数据的不同处理行为之中,例如:2021年新出台的《个人信息保护法》第四章标题即为“个人在个人信息处理活动中的权利”。目前,《民法典》第1035条已通过概括式列举的方式将何为数据(信息)处理予以明确,并通过“知情同意”规则确定了数据处理的基本框架。然而,该种“糅合式”的整体性规定却忽略了不同数据处理行为的独立性、逻辑上的连续性及其所涉法益的差异性,由此便造成个人数据处理行为的精细化规范并不一定呈现出实然周延的状态。事实上,个人数据处理内在包括多重行为结构,根据个人数据处理的行为指向不同,个人数据处理行为在整体上可分为三种,其一、前提行为结构:个人数据“收集行为”;其二、外部行为结构:个人数据“使用行为”;其三、内部行为结构:个人数据“加工行为”。个人数据处理的规范体系应是立足于不同数据处理阶段,理清不同数据处理阶段的所涉法益,并对不同数据处理行为分别予以精细化评价,才能实现个人数据侵害的圆满救济。
一、个人数据处理的行为结构
通常而言,我们言说的“处理”包括双层含义,一层是:行为主体对客体的加工,该种行为指向行为主体的行为内部;另一层是:行为主体对客体的处置,该种行为指向行为主体的行为外部。《民法典》第1035条以“行为集”的方式明确了数据(信息)处理包括数据的收集、存储、使用、加工、传输、提供、公开等。依据“处理”的双层含义,个人数据处理实质上可类型化为以下三种,其一、个人数据的收集,该种行为构成整个数据处理活动的逻辑前提,例如针对个人数据进行的收集、储存;其二、个人数据的加工,该种行为指向数据控制主体的行为内部,例如:针对个人数据进行的算法加工;其三、个人数据的使用,该种行为指向数据控制主体的行为外部,例如:针对个人数据进行的传输、提供、公开等。
(一)前提行为结构:个人数据“收集行为”
依据一般逻辑,行为人若想对个人数据进行处理,首先必须要有个人数据可供处理,因此个人数据“收集行为”是整个数据处理活动的逻辑前提。根据个人数据收集时所涉主体的不同,其行为模式可分为“平台—用户”模式以及“平台—用户—第三方数据收集者”模式,且两者间具有内在逻辑以及结构上的差异性,需予以区分。
1.“平台—用户”模式
网络时代,个人数据的生成离不开网络平台的参与,在“平台-用户”这一直接的个人数据生成关系中,平台既是个人数据的生成者也是个人数据的收集者,其具有身份的双重性。该种模式下,个人的任何登录、浏览、购买等行为几乎都可以被网络平台以数据的形式直接进行自动化的记录、保存。但该种自动化记录、保存却并非是刻意的,而是与个人的网络行为相伴而生的,具有一定的技术必然性。在某种程度上甚至可以说,个人如果不想留下数据痕迹,除非是不进行网络活动。当然,反驳的观点可能会认为,用户享有遗忘权,可以请求网络平台删除相关数据。但是,遗忘权的配置只是应用了人类记忆中关于“遗忘”信息的隐喻,即:当个人要求删除他们的个人数据时,这相当于要求别人忘记这些数据,而该种隐喻只属于人类的头脑,却并不能转化为人工智能或者机器学习时代。进而言之,遗忘权的本质是个人有权要求删除他们的数据,但是技术逻辑下,遗忘权却只可能是避免被检索,并不能永久地删除平台所储存的相关数据,除非是彻底地破坏计算机存储系统。在肯定平台对数据收集、保存的必然性后,平台的个人数据收集行为是否会对个人的数据隐私产生损害?答案应是否定的。因为在“平台—用户”数据收集模式下,用户已经通过“隐私政策”的“同意”表明自身对隐私利益的放弃。在此处,尽管很多学者从网络平台与用户地位实质不平等的角度对“同意”的有效性持怀疑态度。但一种更信服的理由是,在技术逻辑下,一方面,当用户登录使用网络平台时,网络平台对用户的自动记录、收集无法避免;另一方面,用户显然知道自身的登录数据会被平台所记录,而用户事实上已经以行为的方式对其相关隐私利益进行了放弃。此外,值得注意的是,平台作为个人数据的实质控制主体,虽然可以自动收集、储存用户的数据,但是依据谁“占有、保管”个人信息,谁就应该对个人信息给予保护,并承担责任的一般逻辑,平台以及平台之上的经营者必然应对其保存的海量个人数据负有严格的安全保障义务。该种义务要求平台确保个人的相关隐私数据不被第三人所非法获取,例如:2011年索尼公司因未适格履行安保义务导致数百万个数据集被黑客访问,最终被英国信息专员处以罚款。当然也有人认为,平台对个人数据负有一种信义义务(数据信托),其借助信义义务可实现了数据控制人与数据主体之间权利义务的不均衡配置。但是,信义义务内在却具有两个不容忽视的缺陷,在主体方面:因数据控制者的数量太多,可能导致“信息受托人”过于宽泛;在客体方面:个人信息实质上并不具有信托财产所要求的确定性和独立性或独立的运用价值。
2.“平台—用户—第三方数据收集者”模式
个人数据的收集者并非仅局限于平台。当个人数据收集者与平台相异时,“平台—用户—第三方数据收集者”这一涉及三元主体的个人数据收集结构便会形成。现实生活中,个人数据多是在网络平台产生并被其所控制,第三方数据收集者若想收集个人的相关数据就必须从网络平台处获取。问题是,第三方数据收集者从平台收集个人数据的行为是否可能会损害数据主体的隐私利益?此时的答案应是肯定的。一方面,个人数据之上可能承载着数据主体的隐私利益,虽然网络平台自动保存用户数据的行为不会损害数据主体的隐私利益,但并不意味着数据主体的相关隐私利益因被平台知悉而丧失。当第三方数据收集者未经用户同意,从平台收集个人的相关隐私数据时,其同样构成对个人隐私利益的侵犯。另一方面,基于对海量个人数据控制,平台享有的是一种财产性利益,但该种财产性利益却并不具有所有权结构,而个人数据之上的隐私权益属于人格权的范畴,该种人格利益归属于数据主体。因此,用户对平台所控制的个人数据之上的个人信息享有一定的隐私预期。该种预期指向一种更为基础的隐私规范—“看破不说破”,恰如有学者所言:“如果数据全面收集本身是不可逆的趋势,那么数据保护制度的核心和侧重,也必然并已经转向对数据控制者的行为规制”。值得说明的是,对第三方数据收集者的行为规范应仅限于对相关个人隐私数据的收集行为,其对非个人隐私数据的收集行为并不属于应当评价的范畴。因为非个人隐私数据具有公开性以及获取的便捷性,而第三方数据收集主体对该类数据的收集既不会侵犯数据主体的隐私利益,也不会侵犯平台的数据控制利益。因此,如果平台未取得数据主体的“同意”而授权第三方数据收集者对相关个人隐私数据进行收集,则平台同样侵犯数据主体的隐私利益。当然,如果第三方数据收集者未取得网络平台的同意而收集相关个人隐私数据,则该种数据收集行为便具有双重侵害性,一重是:侵害网络平台的数据控制利益(财产利益);另一重则是:侵害个人数据主体的隐私权益。
(二)外部行为结构:个人数据“使用行为”
严格来说,数据控制主体针对个人数据的各种行为都可称之为使用,但此时所说的个人数据“使用行为”仅指数据控制主体对个人数据的外部交互性使用,而当数据控制数据主体对个人数据进行价值创造性的使用,则为:个人数据“加工行为”。人之社会性决定了社会交互行为发生的必然性,该种行为通常发生在平等主体之间。数据时代以前,个人信息的社会性流动主要是以语言或者书面文字为载体,由信息控制主体基于各种目的(合法或非法)通过语言或者书面文字向外部发出,他人通过对个人信息的接收而实现相关个人信息的获取。而数据时代,该种信息流动则是以数据化的个人信息的转移为主要形式,即:数据控制主体将数据化的个人信息向特定或不特定的他人发出,他人获取相关数据后,借助计算机识别出数据之上的相关个人信息。从不同时期信息流动的方式来看,个人信息的流动应仅仅存在信息流动所依赖载体的不同,前者多是借助于语言或者书面文字,而后者则是数据。一直以来,囿于个人信息的传统叙事结构,人们习惯性地将个人信息等同于个人信息的载体,例如,当我们看到有关个人信息的文字时就会习惯性的认为文字就是个人信息。人们之所以未区分个人信息与个人信息的载体,一方面,是因为现实中对个人信息和个人信息载体进行分割很不方便;另一方面,是因为相关法规范也没有对两者分别设定法学意义上的客体,由此便产生个人信息与个人信息载体的混淆。从信息与数据的关系来看,数据系信息存在的一种形式,而信息是数据所体现的内容。因此,我们通常所说的个人信息更确切的表述应是“数据载体之上所承载的个人之信息”。而无论是以文字或语言为载体的个人信息,还是以数据为载体的个人信息,其社会交互性使用的直接目的就是“被识别”,但该种“被识别”却并非依赖个人数据,而是依赖于个人数据的表现形式-个人信息。一般而言,个人信息使用行为应包括个人信息的正当使用与个人信息的不正当使用两方面。当个人信息持有主体为本人时,因自己并不能向自己基于人格权侵害而主张权利,所以个人对其个人信息的自主使用并不会都受到不利评价,但是当个人信息的使用行为违反国家相关法律、法规时应除外。当个人信息持有主体为第三人时,若其基于正常的社会交互进行合理使用,当然也不会受到规范的不利评价;但是若其基于非法目的,进行不正当的社会交互使用,则个人数据使用者就需承担相应的民事责任。
(三)内部行为结构:个人数据“加工行为”
传统语境下,个人信息与其载体的区分并无太大意义,但是随着数据经济价值的日益凸显,该种区分就变的有意义。信息生产力是数据时代最活跃,最具创造性、革命性,最核心的生产力,而该种生产力多存在于网络平台与用户之间。从数据信息的类型来看,与个人相关的数据信息应包括两种,一种是数据化的个人原始信息,即:“个人原始信息—个人原始数据”。在这一结构中,个人原始信息与其对应的数据虽然形式不同,但是两者的内涵等同,具有转换的双向性。另一种是个人原始信息的衍生信息,即:“个人原始信息—个人原始数据—衍生信息”。在这一结构中,衍生信息与个人原始信息的内容并不相同,其是一种完全脱离于个人原始信息内涵的信息。从个人数据的价值实现来看,数据化的个人原始信息通常只是对既存的个人信息进行载体的转换,该种转换是数据从0到1的过程,并未赋予个人信息以新的内容。但是,因为原始信息数据具有客观性,所以该类数据的主要作用是为衍生信息的生产进行要素供给或者由数据控制主体基于正当或者不正当的目的对该类数据进行社会性的传播使用。与之相反,衍生信息的生产依赖于数据控制主体对个人数据的处理,即:数据是从1到f(1)的过程。目的论视角下,个人数据“加工行为”并非是以个人数据的对外使用为目的,而是以对内的信息价值创造为导向。当个人数据(原始信息)被记录、存储后,数据控制主体往往可通过算法加工获取海量数据之中所蕴含的价值信息,该类信息将直接提高生产力,例如:商家通过对某一商品的销售数据的分析,可得出该种商品的不同性别销售比例、不同人群购买比例、价格的可接受度等信息。需要特别指出的是,在个人数据“加工行为”这一结构中,数据控制主体只是对各个人数据本身进行的算法加工,其往往并不需要对单一个人数据进行识别,例如:数据控制者想要获取某一商品的整体价格接受度,其仅需通过算法技术提取出海量数据中代表个人消费价格的数据符号,而无需针对每个数据一一进行识别性统计。因此,个人数据“加工行为”遵循的是技术逻辑,该种逻辑仅依赖于海量个人数据的算法分析而与个人数据的社会性“被识别”无关。
(四)小结
无论是个人数据的“收集行为”、“使用行为”还是个人数据的“加工行为”都必然会与信息的载体—数据,产生千丝万缕的联系,而该种联系也是造成不同数据处理阶段、不同数据处理行为相缠绕的症结。德国法学者蔡希(Zech)认为,信息在本质上,可为结构层面的信息、符号层面的信息和语义层面的信息,其中符号层面的信息就是信息的载体,而语义层面的信息则是载体所蕴含的信息。就个人信息的数据载体而言,个人数据便属于符号层面,而个人信息则属于语义层面。个人数据“使用行为”是以数据之上的个人信息的“被识别”为目的,该种目的往往是基于人之社会性,通过个人数据的对外使用来实现。因此,个人数据“使用行为”往往是针对语义层面的信息—个人信息。个人数据的处理行为则并不以个人信息的“被识别”为导向,其是以数据符号为行为对象,数据加工主体通过对个人数据的算法加工以挖掘数据中的经济价值。因此,个人数据“加工行为”往往是针对符号层面的信息—个人数据。此外,个人数据“收集行为”作为个人数据加工以及使用的前提,因数据收集阶段并不存在数据处理行为,所以个人数据“收集行为”并不涉及数据主体的经济利益,而只涉及数据主体的人格性利益,即:个人数据“收集行为”针对的也是语义层面的信息—个人信息。
二、个人数据处理的法益结构
个人对其个人数据并不享有一项可以统摄整个数据处理过程的绝对权利,其享有的是一种利益,该种利益在不同数据处理阶段具有法益指向的特定性与差异性,并权利化为不同的权利。具体而言,个人数据“收集行为”与“使用行为”针对的是个人数据的内容—个人信息,个人对个人数据之上的个人信息享有人格利益,该种人格利益在数据个人数据收集阶段权利化为隐私权,在个人数据使用阶段权利化为各类人格权(具体人格权与一般人格权);个人数据“加工行为”针对的是个人信息的载体—个人数据,而个人对个人数据享有财产利益,该种财产利益在数据加工阶段权利化为数据财产权。
(一)个人对其个人数据享有人格性利益
个人对个人数据享有人格利益,还是人格权利?学界莫衷一是。从民事利益被保护的状态来看,民事利益可分为:“未受法律保护的利益”、“受法律保护的利益”以及“权利化的利益”。显然,权利保护模式具有请求权基础的确定性,而利益保护模式需借助于其他法律规范则显得稍显宽松。个人数据之上的人格利益保护究竟应采取何种模式?首先,如果采“权利”保护模式,则该种数据权利便是我们通常所说的“个人数据权”。而任何权利都应有明确的权利客体,那么个人数据权的权利客体是什么?从信息与数据的关系来看,数据是信息的载体,而信息则是数据的表现形式,因此两者的内涵实质相同。对于个人信息的界定,我国以及欧盟均采用的是“直接可识别+间接可识别”标准,因此个人信息所对应的个人数据当然也应是根据“直接可识别+间接可识别”的标准予以确定。然而,大数据时代,个人的任何行为、特征、爱好等均可以被数据化,而数据又具有关联性强的特定,数据控制主体通过数据之间的关联性几乎可以识别出任何特定数据主体。由此可以发现,任何与个人相关数据均可以被称之为个人数据。毫无疑问,个人数据的赋权保护当然可全面、周延的保护个人之人格利益。但不容忽略的是,个人数据权应是一项人格权,人格权属于绝对权,而个人数据权的客体可等同于个人的所有数据。如果沿着此种逻辑,则任何对个人数据的获取行为都可能构成侵权,此显然不仅不符合人之社会属性,也不利于数据的社会性正当流通。反之,如果肯定个人对其数据享有人格性利益,而不是一项贯彻个人数据处理行为始终的、绝对的个人数据权,则个人数据的利用与数据的保护就会相对缓和。同时,我国民法典不仅有详尽的具体人格权,也有一般人格权进行兜底保护,更有针对数据处理行为的数据主体“同意”的限制,如果此时再赋予个人以个人数据权,则必然会导致规范设计的重合与冲突。
(二)个人数据“收集行为”:数据主体之隐私权
人格是一个十分宽泛的概念,隐私仅是其中的一部分,个人数据处理涉及多种人格权,而在个人数据收集阶段则主要表现为隐私权。个人数据“收集行为”的行为对象是个人数据,但并非对于任一个人数据的收集都需客以法益保护的限制,个人数据“收集行为”的规范应仅限于对个人数据隐私的侵害。数据时代,在个人数据收集阶段,数据主体所享有的隐私利益常常被忽视或者被其他数据处理行为涉及的法益所掩盖,此不仅割裂了数据处理行为内在的独立性,也造成个人数据法益侵害的遗漏评价。事实上,个人数据收集行为作为独立的数据处理行为,具有法益指向的特定性。通常而言,正常的个人数据收集活动并不会被禁止,例如:既有的生活经验告诉我们,第三人完全可以自由的收集已公开的相关个人数据(但是不能使用自由收集的相关个人数据侵害数据主体的人格权益),而对个人数据收集行为的规范仅仅是非法收集他人的隐私数据。从域外相关立法来看,美国是通过分散立法的方式,以隐私权保护为基础,通过隐私权(在美国,隐私权承担了一般人格权的功能)对个人信息(个人数据)收集行为加以保护。与之相反,大陆法系则是通过制定统一的个人信息保护法对数据收集行为予以规范,例如:德国《联邦数据保护法》第1条便规定: 本法制定的目的是保护个人隐私权使其不因个人数据的处理而受到侵害(The purpose of this Act is to protect individual against his right to privacy being impaired through the handling of hie personal data),但随后德国联邦宪法法院又创设信息自决权(Census decision),并在实践中将其与隐私权区分。由此可知,个人数据“收集行为”主要与隐私有关,而隐私权虽然不是数据处理时所涉及的唯一权利,但是至少在数据收集阶段其是一项主要涉及的权利。因为,从根本上来说,单一数据是非结构性的,其本身并不涉及特定的目的。在个人数据的收集阶段,个人数据的收集具有非结构性,此仅可能涉及到对个人隐私的侵犯,并不涉及其他值得保护的法益。
(三)个人数据“使用行为”:数据主体之人格权
个人数据“使用行为”在行为逻辑上属于个人数据“收集行为”的延续,个人数据收集行为主要涉及数据主体的隐私利益,而个人数据使用行为则主要涉及数据主体的其他具体人格利益(包括隐私利益)。这里可能会产生这样的疑惑,既然在个人数据“使用行为”的前端—个人数据收集阶段,已经存在隐私利益保护的限制,为何在个人数据使用行为阶段仍以隐私利益加以限制?这是因为,隐私权是以生活安宁和私人秘密作为其基本内容,在个人数据收集阶段,数据收集行为的规范重点在于对个人隐私数据的直接侵入获取,而不包括对一般个人数据的获取。但是在个人数据使用阶段,数据收集主体使用获取的一般个人数据仍可能对数据主体的生活安宁产生侵扰或者二次传播自己所实际控制的个人隐私数据也会对数据主体之隐私权益造成侵害。如上所述,个人数据“使用行为”作为一种社会交互性针对的是个人数据的内容层面—个人信息,因此个人数据“使用行为”的规范亦应围绕着个人数据之上的个人信息展开。民法保护个人信息之上的人格利益始于罗马法(例如:罗马私法上对侮辱以及名誉的保护),随着理论的深入发展,后来的民法又逐渐从法律技术上将人格利益予以类型化,并择其主要者予以保护,进而最终形成“一般人格权+具体人格权”的保护模式。具体而言:第一、对于姓名、肖像、名誉、荣誉等边界清晰的人格利益,通过姓名权、肖像权、名誉权、荣誉权等予以保护;第二、对于历史中已经形成了规范群的隐私利益,通过隐私权予以保护;第三、对于边界并不清晰的人格利益(人格自由、人格尊严等),则通过一般人格权予以规范。
(四)个人数据“加工行为”:数据主体之财产权
当谈及个人数据中的人格利益保护时,我们所说的个人数据通常是指数据之上所蕴含的个人信息;而当谈及数据经济价值的实现时,个人数据则是指个人数据本身。目前,关于个人数据的处理行为,较为一致的观点认为,其是以“知情同意”为核心进行的规则建构。但问题在于,对个人数据的收集或使用,数据控制主体的确可以通过数据主体的“知情同意”而阻却人格侵权,但是否意味着数据控制主体收集、控制个人数据后就可以当然的加工个人数据?从个人数据的价值实现上来看,数据经济价值的发挥依赖于数据控制主体对海量数据的算法加工,该种加工行为可分为两个阶段,第一阶段为:数据控制主体对单一个人数据(原始数据)的收集阶段;第二阶段为:数据控制主体基于海量个人数据集的筛选、算法处理产生新的数据(衍生数据)阶段。毋庸置疑的是,在第二阶段,当数据处理主体投入相应的劳动成本对海量原始数据进行算法加工处理时,依据洛克的劳动财产理论,则数据控制主体必然应对原始数据所产生的衍生数据享有数据财产权。但是在第二阶段,个人对其数据是否享有财产权?在这里有学者认为:“必须赋予个体一种个人信息自决权 (或个人信息权)来保护其利益,并且这种权利具有支配性特征,其义务主体负有相应的作为和不作为”。但是信息自决权在本质上仍属于人格权,该种权利虽然有利于数据主体对其数据的自主控制,并不能触及个人数据所蕴含的经济价值,恰如有学者所言,“与其赋予个人以数据自决,倒不如直接肯定个人数据财产权”。需要注意的是,此时的个人数据财产权只是在个人数据加工阶段将个人所享有的财产性利益予以权利化,该种财产权并非是贯彻整个数据处理行为始终的权利。从更精细化的角度来看,个人对其个人数据享有数据财产权的正当性理由主要包括以下方面。其一、不同主体对其个人数据之上的信息价值期待具有主观性,例如:明星针对其数据价值的期待与平常人并不相同,如果赋予个人对个人数据享有数据财产权,则可通过数据“定价”有效满足不同人对其数据价值的期待。其二、虽然有学者认为,“单一的个人数据上蕴含的财产利益有限,甚至是根本就没有财产性利益”。但是,根据庞巴维克的经济学原理并综合数据产业的发展可知,个人数据之上必然含有财产性利益。因为,数据价值的实现依赖于“数据集”,而个人数据作为数据集的子数据当然具有财产性价值。所不同的是,这种价值只是大小的问题,而财产性价值的多少并非否定个人对其数据享有财产权利的理由。其三、人对其数据享有财产性权利的更体系化理由是,《民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。基于规范分析,该条虽未明确法律所保护的数据法益究是人格利益还是财产利益,但是至少可以肯定的是相关主体对数据应享有民事权益。而只有肯定个人对其数据享有财产性权利,企业数据权的取得才会顺畅,因为个人对数据的财产性权利可以通过合同的方式予以放弃或者转让,企业可基于合法有效的合同继受取得财产性权利。
三、个人数据处理的规范体系
个人数据处理行为的规范体系应包括个人数据“收集行为”的规范、“使用行为”的规范以及个人数据“加工行为”的规范。个人数据“收集行为”是整个数据处理活动的基础性行为,该行为主要涉及数据主体的隐私利益,所以应通过隐私权予以规范。个人数据“使用”行为是信息能力平等主体之间的社会交互行为,该行为因涉及数据主体广泛的人格性利益,所以应通过不同的人格权予以规范。个人数据“加工行为”是信息能力不平等主体之间的权利让渡行为,该种行为因涉及数据主体的财产性利益,所以应肯定数据主体在个人数据处理阶段对其个人数据享有数据财产权,并通过“合同”予以规范。
(一)个人数据“收集行为”的规范路径
网络平台对个人数据的收集具有一定的技术必然性,因此,在个人数据收集阶段,网络平台的自动化数据收集行为并不触及数据主体的相关隐私利益。个人数据“收集行为”的规范应仅存在于“平台—用户—数据收集者”这一所涉三元主体的行为结构之中,对于平台收集个人数据后所可能产生的其他侵害行为,则应由数据主体根据后续行为所涉法益另行主张权利。
1.平台“授权”第三方收集个人数据的规范
平台虽然是个人数据的实质控制者,但是却并非是个人数据的所有者。因个人数据之上粘附着个人的隐私利益,所以当平台授权第三方收集相关个人隐私数据时,亦应得到数据主体“同意”的违法阻却。因此,当平台未取得数据主体的同意而授权第三方收集相关隐私数据时,则平台便直接侵犯了数据主体的隐私权。但是,对于平台已公开的、他人可自由获取的相关个人数据,由于平台对该类数据并不负有安保义务,所以当第三方数据收集者使用收集的非个人隐私数据对数据主体的相关隐私利益造成侵害时,则平台并不承担侵权责任,对该类侵害,数据主体只能向第三方数据收集者主张。当然,对于平台已经取得数据主体的同意而授权第三方收集相关隐私数据的行为,此时的平台虽然不会侵犯数据主体的隐私权,但当平台超出数据主体“同意”的范围,允许第三方收集相关隐私数据时,则平台不仅构成对数据主体隐私权的侵犯。同时,由于个人与平台之间对个人数据的收集存在授权事项,因此平台其也应承担相应的违约责任,而数据主体可就隐私权侵害或者违约,择一主张。在这里需要进一步澄清一个误区:当平台授权第三方收集相关个人数据时,通常表现为有偿的形式,此是否意味着在数据收集阶段,个人数据之上的财产性利益仍需要评价?答案应是否定的。这是因为,一方面,平台与第三方数据收集者之间的有偿授权是平台基于控制、保存相关个人数据而产生的财产性利益。另一方面,个人数据经济价值的发挥依赖于数据的算法加工,该种算法加工使得个人数据呈现出一种数据生产要素的状态,但是在数据收集阶段并不存在针对个人数据的算法加工行为,同时第三方数据收集者收集数据也并非都是为了挖掘数据的经济价值。因此,在数据收集阶段并不存在个人数据之财产利益保护的空间,而对于该类数据买卖行为一般是由行政法规范或者刑法规范予以评价,当然,若数据主体的隐私利益受到侵害,其也可向平台主张相应的民事权利。
2.平台“未授权”第三方收集个人数据的规范
平台基于对个人数据的实际控制享有财产性利益,而个人对平台实际控制的个人数据享有人格性利益。在数据收集阶段,当第三方数据收集者未经平台的授权而收集由平台控制的相关个人隐私数据时,毫无疑问,此时的第三方数据收集者首先会对平台的数据财产利益造成侵害。对于该种财产性利益,有学者认为应是一种竞争性利益。但是该种观点缺陷在于,当援引竞争法规范对平台控制的相关个人数据进行保护时,通常是以《反不正当竞争法》第2条作为裁判依据,而该条在体例安排上是位于《反不正当竞争法》的总则部分,属于一般性的保护规则,并不能提供具体的、明确的、统一的标准。申言之,竞争利益存在于经营者与经营者之间,如果第三方数据收集者不是平台经营者,此时的数据收集行为便无法通过竞争利益予以规范,而只有肯定平台对相关个人数据享有数据财产权,才能周延、明确地保护平台基于个人数据控制而享有的财产性利益。此外,因平台控制的个人数据之上蕴含着数据主体的人格利益,该种人格利益在数据收集阶段主要表现为隐私权,所有第三方数据收集者在未取得平台授权而收集个人数据时,其可能也会对数据主体的隐私权造成侵害。同时,当第三方未得到平台的授权而收集相关个人数据时,此时的平台是否应当对数据主体承担侵权责任?如上所述,当平台自动收集、保存相关个人数据时,其就应当对所控制的个人数据负有安全保卫义务,该种义务要求平台确保相关个人隐私数据不被他人非法获取。当第三方数据收集者非法获取相关个人隐私数据时,平台因未适格履行安保义务,当然应承担相应的侵权责任。而从责任的承担方式上来看,依据《民法典》第1198条,第三方数据收集行为造成数据主体损害的,应当由第三方数据收集者承担侵权责任。因平台未适格的履行安保义务,所以平台应承担补充责任,但是平台承担补充责任后,可以向第三方数据收集者追偿。
(二)个人数据“使用行为”的规范路径
数据时代,个人数据作为个人信息的载体,承担着个人信息社会性流动的交互功能,即:个人数据的流动也可以说是个人信息的流动。通常而言,个人信息的流动包括“个人—他人”或者“个人—他人—他人”两种交互模式,但是无论是何种模式,个人信息总是以一种便于获取或者可直接获取的方式存在于社会之中。进而言之,在个人数据“使用行为”中,个人与他人具有平等的获取对方信息的能力。但是,个人信息却并非总是如信息主体期待的那样进行社会交互,由此便可能对个人数据主体之精神利益造成损害,所以需对各种不当的个人数据“使用行为”进行规范。
1.个人数据“使用行为”的规范:积极性人格权
现行法规范对精神性人格利益的保护主要是通过姓名权、肖像权、名誉权、荣誉权、隐私权来实现。以个人是否可从积极方面处分其人格利益进行区分,精神性人格权可分为积极人格权与消极人格权,而姓名权与肖像权便属于典型的积极人格权,例如:《民法典》第1012条便规定,自然人有权决定、使用、变更或者许可他人使用自己的姓名;《民法典》第1018条也规定,自然人有权制作、使用、公开自己的肖像或者许可他人使用自己的肖像。因此,当第三人对涉及个人之姓名权与肖像权的个人数据进行对外使用时必须取得个人数据主体的许可,以防止他人冒用、盗用。而该种“许可”的正当性不仅是因为个人对其个人数据所享有的“同一性”利益,也是因姓名与肖像本身所蕴含的财产性利益。当然,因为人具有社会属性,个人信息正当的传播性使用应是信息主体本身所应负的容忍义务,该种容忍义务的边界则是他人不得以丑化、污损等方式损害个人之姓名权与肖像权。
2.个人数据“使用行为”的规范:消极性人格权
消极性人格权是指个人对其人格利益不享有积极方面的权能,而只有当人格权受到损害后被动的防御,民法典中的隐私权、名誉权、荣誉权便属于此种人格权。《民法典》第1033条规定,取得权利人明确同意,其他组织或者个人就可处理他人的私密信息。就文义理解而言,数据隐私主体似乎可通过自己的同意积极处分其隐私利益。但是,从民事权利体系来看,隐私权应是一种消极性人格权,其重心在于防范个人的秘密不被披露。基于此可知,《民法典》第1032条的“同意”,绝不能理解为对隐私利益的积极处分,而应理解为隐私主体通过“同意”而对隐私利益的主动放弃,该种“同意”事实上承担着一种阻却违法的作用,例如:个人数据主体可以将自己的个人隐私信息告诉他人,他人便可因数据主体对其隐私利益的放弃而避免隐私侵权。由此可知,无论是隐私权、名誉权还是荣誉权皆应为防御性权利,现行立法对于该种人格利益的保护也主要是通过对他人预设行为规范的方式来进行,例如:《民法典》第1024条第1款规定,他人不得通过辱、诽谤等方式侵犯权利主体的名誉权;《民法典》第1031条规定,他人负有不得诋毁、贬损他人荣誉的义务,不得非法剥夺他人荣誉称号;《民法典》第1032条规定,任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。因此,当个人数据“使用行为”侵犯数据主体之名誉、荣誉以及隐私时,个人数据主体便可基于人格利益受损(隐私权、名誉权、荣誉权)而主张相应的人格权请求权。
3.个人数据“使用行为”的规范:一般人格权
从权利配置的模式上来看,我国对人格利益的保护采取的是“一般人格权+具体人格权”模式。该种模式的合理性在于人格利益的侵害形式具有动态变化的特点,单一的人格利益权利化方案虽可覆盖典型的侵害情形,但是却不可能周延涵盖所有可能的侵害情形。而一般人格权是法律采取高度概括的方式设计的框架性人格权,其不仅具有权利集合性的特点,也可在具体人格权之外承担着补充、兜底的保护功能。《民法典》第990条规定,自然人享有基于人身自由、人格尊严产生的其他人格权益,其中的人身自由与人格尊严便属于民事权益,是民法上的一般人格权。个人数据的使用行为不仅可能涉及数据主体之姓名、肖像、名誉、荣誉、隐私等具体人格利益,还可能涉及数据主体之人格尊严。从规范适用的角度上来看,因一般人格权的价值基础必然可涵盖具体人格权,所以当人格权条款就特定人格权的保护存在明确规定时(姓名权、肖像权、名誉权、荣誉权、隐私权),应排除一般人格权条款的适用,以维护法律规则适用的确定性并防止司法实践向一般性条款逃逸;而当个人数据适用行为所涉及的人格利益在具体人格权中没有规定时,因为此时并不存在请求权基础,所以应通过一般人格权条款对相应的人格利益侵害进行救济。
(三)个人数据“加工行为”的规范路径
个人数据“加工行为”是数据处理主体为挖掘数据“集”的经济价值所进行的内部行为,该种处理行为存在于信息能力不平等的主体之间,例如:网络平台对个人数据的处理,且该种行为并不以信息的社会交互性传播为目的。因为个人对其个人数据享有财产性利益,所以对于该类行为不应通过人格权予以规范,而应肯定个人所享有的数据财产权,并通过“合同”的方式予以规范。
1.个人数据“加工行为”:“同意”的性质厘定
个人数据之上承载着数据主体的双重法益,当数据控制者收集、使用个人数据时,此时涉及的是数据主体之人格利益;当数据控制者加工个人数据时,则涉及的是数据主体之财产利益。《民法典》第1035条规定,处理个人信息应征得该自然人或者其监护人同意。毋庸置疑的是,无论何种个人数据处理行为均需得到数据主体的“同意”,但是不同数据处理行为的”同意”却具有不同的性质。通常而言,人格权益具有很强的人身依附性,该种权益属于绝对权的范畴,不能转让也不能放弃,因此当数据控制主体收集、使用个人数据时,数据主体的“同意”并不是将数据之上的人格利益转让与数据控制主体,而是阻却数据控制主体收集、使用个人数据时对相关人格利益产生的人格侵权。与人格利益侵害的违法阻却功能不同,数据控制主体收集个人数据后,若进行数据加工行为,则其依旧需取得数据主体同意,但此时的同意却并不涉及数据主体的人格利益,而是与数据主体的财产利益相关。因此,数据主体的“同意”在个人数据处理的不同阶段表征着不同的含义,在个人数据的收集以及使用阶段,个人对其个人数据主要享有的是人格性利益,因此数据主体的“同意”具有人格权侵害的违法阻却功能;在个人数据的加工阶段,个人对其个人数据享有的是一种财产性权利,此时的“同意”则属于财产性权利的让渡,该种权利存在于个人数据的加工行为之中,具体表现为:允许他人加工个人数据。
2.个人数据加工行为的规范:“合同”路径
囿于个人数据处理的宏观话语,个人数据加工行为所涉及的法益独立性一直不得张扬。实践中,平台的所有数据处理行为几乎都是借助于单一的隐私政策,不加区分的、以一次“同意”的方式予以正当化。如上所述,个人数据处理的“同意”包括双层含义,一层指向人格权侵害的违法阻却;一层指向数据主体对个人数据加工的许可。因个人对其个人数据享有数据财产权,所有数据控制主体对该类数据的处理需通过“合同”的方式达成合意,以取得个人数据主体的授权。本质上来看,数据具有非独占性,数据控制主体所取得的并非是个人数据的所有权,而是个人数据的控制权。该种控制性利益可有效排除他人对个人数据的不当获取,而个人数据所蕴含的财产性利益仍是归属于数据主体。因此,当数据控制主体仅就个人数据的收集取得数据主体的“同意”,而未就个人数据的加工与数据主体达成合意时,则数据控制主体对相关个人数据进行的算法加工便侵犯了数据主体的数据财产权。当数据控制主体收集个人数据时未取得数据主体的同意,但是其却在个人数据处理阶段与数据主体达成合意,若数据控制主体收集数据时触及数据主体的隐私利益,虽然两者已就数据加工阶段达成合意,但是数据控制主体在个人数据的收集阶段仍构成对数据主体隐私权的侵犯。当数据控制主体既未就个人隐私数据的收集取得数据主体的同意,也未就个人数据的加工与数据主体达成合意,则数据控制主体的数据加工行为便具有双重侵害性,数据主体可分别就隐私侵害与数据财产权侵害,同时主张权利。同时需要注意的是,数据控制主体虽然可基于“合同”取得个人数据加工的使用权,但数据控制者亦不得超出合同约定的数据处理范围或者数据处理方式加工个人数据。当数据控制主体违反“同意”的加工范围或者加工方式,则其应承担违约责任。如果数据控制主体的违约行为对数据主体的相关人格权造成侵害,则数据主体亦可就人格利益侵害主张权利。
四、结语
个人数据处理可分为三个阶段,即:个人数据的收集阶段、个人数据的加工阶段以及个人数据的使用阶段,且上述数据处理的三个阶段具有行为以及法益指向的独立性。个人数据“收集行为”与个人数据“使用行为”主要涉及数据主体的人格利益,前者表现为:隐私权;后者表现为各类具体人格权;个人数据加工阶段主要涉及数据主体的财产性利益,该种利益表现为:数据财产权。个人数据“使用行为”针对的是个人数据之上的个人信息所进行的行为,该种行为主要涉及的是数据主体之人格利益。因此,对于个人数据“使用行为”的规范应依据《民法典》之人格权的相关规定。个人数据“加工行为”针对的是个人数据本身所进行的行为,该种行为主要涉及的是数据主体之财产利益。因此,对于个人数据“加工行为”的规范应依据“合同”的方式。从个人数据侵害救济的体系化路径来看,首先,当第三方数据收集主体未取得数据主体的“同意”而收集相关个人数据时,则数据主体可基于隐私权侵害向第三方数据收集者主张权利。此时的平台(数据控制者)负有安保义务,因其未适格履行,所以平台应承担补充责任,但是平台承担补充责任后,可以向第三方数据收集者追偿。当第三方数据收集者未取得平台的“同意”而收集相关个人数据时,则该种侵害具有双重性,数据主体可向其主张隐私侵权责任;平台可向其主张财产权损害赔偿(平台基于对个人数据的控制享有数据控制权,该种权利属于财产权)。其次,当数据控制主体收集个人数据后,若其对外进行正常的社会交互使用,则该种使用行为并不会侵害数据主体的具体人格利益;若其不正当地进行社会交互使用,则应通过姓名权、肖像权、名誉权、荣誉权、隐私权等具体人格权与一般人格权予以规范。最后,当数据控制主体收集个人数据后,若其取得数据主体对个人数据进行算法加工的“同意”,则其进行的个人数据加工行为并不侵犯数据主体的数据财产权;若其未得到数据主体对个人数据进行算法加工的“同意”,则其进行的个人数据加工行为便会侵犯数据主体的数据财产权,数据主体可向数据加工主体主张侵权责任。此外,当数据控制主体违反“同意”的加工范围或者加工方式,则其应承担违约责任。而如果数据控制主体的违约行为对数据主体的相关人格权造成侵害,则数据主体亦可就人格利益侵害主张权利。(作者王东方系北京航空航天大学法学院博士研究生)