协调好个人信息保护与数据产业发展的关系

访北京大学法学院副院长薛军教授

        大数据时代中,数据已成为一种重要的资源。人民在享受这种资源所带来的便捷、智能、高效等种种好处的同时,也为个人信息泄露等问题所困扰。加强个人信息保护的呼声渐高。

        近日,《信息安全技术移动互联网应用收集个人信息基本规范(草案)》发布,面向社会公开征求意见。该草案提出,App运营者应履行个人信息保护义务,采取必要安全措施,保障用户个人信息安全。App不得收集与所提供的服务无关的个人信息。对外共享、转让个人信息前,App应事先征得用户明示同意。App应对其使用的第三方代码、插件的个人信息收集行为负责。

        就个人信息保护与数据产业发展如何平衡的问题,法制网记者近日采访了北京大学法学院副院长、北京大学电子商务法研究中心主任薛军教授。

        遵循不同逻辑分别建构

        记者:作为数据产业基础的数据,多数依赖于对个人信息的收集和整理。有人说数据产业链上的任何一种行为,都涉及个人信息保护问题,数据产业的发展如在刀锋上行走,对此你怎么看?

        薛军:这种说法并不夸张。目前在这一领域,合法与非法、商业创新与侵犯个人信息的区别界限的确并不是特别清晰。

        虽然很多人已经意识到,社会正在进入“数据为王”的时代,但只有经历了顺丰与菜鸟之间的数据控制权之争,华为与腾讯之间的用户信息收集争议,新浪微博与脉脉之间的涉数据诉讼后,才能真切体会到数据的确已成为互联网与电子商务企业的核心关切。

        2017年10月1日正式施行的《中华人民共和国民法总则》,第127条明确将“数据”作为一种受到法律保护的财产形态。“数据资产”这一说法,也因此具有了坚实的法律基础。同年6月1日开始施行的《中华人民共和国网络安全法》,第四章中针对个人信息安全作出了具体规定。几乎同一时间,最高人民法院与最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),强化运用刑事制裁的手段严厉打击倒卖个人信息的行为,其入罪门槛之低,令数据产业的从业者震撼。

        法律的功能是对行为的规范与指引,数据时代到来,需要清晰的法律制度框架。在这一框架中,个人信息毫无疑问应受到保护,但数据产业的发展也应拥有一个界面友好型的法律制度环境。

        记者:我国的数据法律体系是怎样的?

        薛军:从制度建构的内在逻辑看,个人信息保护的法律制度体系与数据相关的法律制度体系,二者之间虽有密切联系,但分属于不同的制度,应遵循不同的逻辑分别建构。这在我国民法总则的相关条文中已经明确体现。

        民法总则第111条规定了个人信息民法保护制度的基本框架,同时在第127条将数据单独予以规定。虽然第127条性质上是转引性规定,本身没有实质内容,但至少表明中国立法者注意到个人信息与数据这二者存在差异。

        此外,网络安全法第七章也分别界定了网络数据与公民个人信息这两个不同的立法概念。

        数据作为一种重要的资产形态,围绕其控制和利用所引发的法律问题会日益增多,必须将其作为独立于个人信息保护的专门问题,进行研究分析。举例来说,新浪微博诉脉脉一案中所提出的问题就是在Open API(Application Programming Interface)模式下,拥有源数据的平台与基于开放平台的应用程序开发者之间的数据权益分配问题,脉脉的行为之所以被法院认定为构成不正当竞争,是因为超越授权范围使用数据,侵犯了新浪微博的数据权益。

        需保护数据控制者权益

        记者:关于数据的法律规范,现实中有哪些亟待解决的问题?

        薛军:这是涉及多个层次的问题。数据的特殊法律属性,会引发大量疑难问题。在私法层面上,作为具有重要商业价值的资产形态,数据的法律属性是什么?数据是更类似“物”的一种有形资产还是技术秘密、商业秘密抑或专利类的无形资产?对数据如何妥当地进行定价?数据的权属变动是更多地采取授权许可模式,还是转让模式?如果是后者,在相关交易无效或被撤销时,是否存在返还救济的可能性?某一个以数据作为其核心资产的数据公司,如果发生破产,对其拥有的相关数据资产应如何处理?为避免相关数据资产流失,是否会发生数据权利人的数据取回或请求销毁问题?由于数据的可复制性,要回答以上问题并不简单。

        在行政法层面,政府为行使其监管职能通常会向一些拥有数据的大型互联网企业索取数据或者要求其报送数据。而这些数据本身属于企业的核心资产,一旦向第三方公开或披露,其商业价值会受显著影响。如何平衡政府对数据的需求与私人主体的数据权益保障之间的关系,是个值得探讨的问题。

        反垄断法中,对企业并购进行反垄断审查时,主要考虑并购对于市场占有率等因素的影响。但进入数据时代后,企业间的并购,目的更多在于整合各自拥有的数据资产,使之发生聚合反应,对于这种效应,当如何进行反垄断意义上的评估?法律制度中是否可能会产生一个新的与市场份额垄断相平行的数据垄断概念?这些问题值得深入研究。

        记者:近年来,企业之间围绕数据资产,产生的数据争夺行为越来越多,这背后又有着怎样的问题?需要如何更好地解决?

        薛军:企业之间的数据争夺案件提醒我们注意,要解决此类问题,需要发展出一系列相对清晰的赋权规则。赋权是法律上的概念,指的是基于一定的原则,将相关的权益在不同的主体之间进行分配。

        一般来说,赋权的第一原则是原创原则、贡献度原则,俗称“汗水原则”。谁是创造者生产者,谁拥有相关的权益。另外还需要考虑的是社会效益原则。当把数据权益分配给某个特定的主体,能达到社会整体效益的最大化,那么这种赋权方案就具有潜在的正当性。还有公益原则,这是赋权的反向限制。也就是说,拥有数据权益的人,其享有的权益不是绝对的。在一定的情况下,权益人需要允许他人合理使用,要把数据开放给国家或他人使用。当然在这种情况下,使用者的诉求必须要基于社会公共利益,而不能仅仅基于自己商业利益的需要,就要求别人开放共享数据权益。因为在这种情况下,还是要尊重市场主体之间的竞争原则。

        关于数据利用上的公益原则,我认为未来可以发展出一种基于社会公益的对数据拥有者的开放、共享的要求。这相当于知识产权中的合理使用以及民法上的禁止权利滥用制度。大的数据公司掌握了与社会生活关系密切的大数据,基于实现特定公益的需要,可以要求掌握数据的公司开放数据,这样有利于社会生活。但对此要有严格限制:必须是基于公共利益的需要,例如提高城市管理水平、打击拐卖妇女儿童的犯罪行为等等。

        基于公共利益的需要,要求数据开放与共享,也意味着,原则上不能认可其他类型的数据共享与开放的要求。只有这样才能够保障数据公司对数据的合理程度的独占和排他性利用的权益。这样才能够激励更多的企业投入资源来收集、整理和开发各种数据,最后生成的高质量的大数据,对国家治理社会进步才具有价值。概言之,数据的合规利用需要一个明确的立法政策导向,以及妥当的司法裁判理念。国家可以而且应该通过类似保护知识产权的模式来保护数据控制者的正当权益。

        形成良好社会共治体系

        记者:如果数据产业的发展与加强个人信息的保护有冲突,应如何协调?

        薛军:二者的协调和均衡,很大程度上取决于信息技术的进一步发展以及有多方主体参与的社会共治格局的形成。

        如果数据中包含了个人信息,那么数据利用合规的第一位的前提就是要尊重国家关于个人信息保护的所有法律规范。这一点不能有任何的含糊。不能因为强调数据拥有者的权益,就忽视了个人信息保护的合规要求。

        也要注意到,个人信息保护与信息产业发展其实是伴生性问题。比如,个人使用手机会泄露个人信息,大家对此都很苦恼,但似乎并没有人愿意回到通讯基本靠吼的时代。技术给大众带来便利是其主要方面,不能因为技术发展过程中出现的问题就把技术本身给抹杀,视之为洪水猛兽。所以还是需要坚定地鼓励技术创新和发展。当然,这不意味着放任技术进步中伴生的种种负面因素。这些问题当然需要解决,但一定要以宽容、发展、长远的态度对待技术发展中的问题。这是立法政策一定要把握住的,也是我本人长期以来坚持的观点。举例来说,对于数据公司内部人员可能存在的泄露个人信息的问题,可通过授权控制或访问留痕等技术手段来解决。不能因为可能发生泄漏,就不允许收集。从技术上看,只要解决了相对意义上的匿名化,即使是基于个人信息的收集、整理所形成的数据,对其展开分析和利用,都不会对个人信息法益造成侵害,因为相关数据无法被用于识别特定的个人。

        个人信息保护立法虽重要但并非万能。在信息技术飞速发展的时代,指望立法者能够及时在具体规则的层面上进行回应,是不现实的,因此需要依赖多方主体参与的社会共治机制,在数据产业和个人信息保护问题上发挥重要作用。最近几年兴起的第三方评价机制,也在引导互联网企业合理地处理数据获取的需求与保护个人信息二者间的均衡。总体看,围绕数据产业与个人信息保护,一个良好的社会共治体系轮廓正在形成,我们需要做的是规范和培育这一体系的健康发展。