摘要
資料權屬及其分配規則不清,已成為數位經濟發展的最大製度障礙。要正確討論資料權屬問題,首先需要對隱私、資訊與資料三個概念進行清晰界定。個人資訊與隱私最大的差異在於個人資訊強調自我決定權,隱私保護個人安寧不被破壞;而資訊與資料的差別在於資訊屬於內容,資料是儲存資訊的載體。基於上述差異,應採取相應的保護路徑:第一,應明確個人資訊的性質,承認個人資訊權,主要強調資訊保護的是人格法益,而不是保護個人資訊不被破壞,主張以單獨同意作為個人資訊處理的平衡;第二,資料產權的界定是保護資料安全的關鍵,倡導資料所有權與用益權相區分的二元模式,使用者作為資料原發者擁有資料所有權,平台作為資料處理者擁有資料用益權。
隨著現今數位經濟與資訊社會的顯著變革,網路產業的建設與發展離不開網路司法與數據產權的協助。在資料已成為第五大生產要素的當下,資料的權屬在立法上仍缺乏一個清晰的界定,學者之間圍繞資料的性質和資料權屬的分配眾說紛紜。在這一方面,網路司法,特別是杭州網路法院的審查工作,對資料確權有非常重要的推動作用。
一、隱私與資料的差序模式
數據、資訊和隱私這三個基本概念雖然在數位經濟發展過程中經常出現,但這三個概念之間相互糾纏,並呈現出混序的狀態,以至於三者在立法上是否可以相互替代還需要進一步研究。因此,對這三個概念進行清晰界定是資料頂層設計的一個重要前提。
在立法上,《民法典》第1032條不僅把隱私當作法律權利類型,而且將隱私建構成為一個自然人的私人生活安寧和不願為他人知曉的私密空間、私密活動、私密資訊。除此之外,《民法典》也增加了第1034條作為保護個人資訊的一般條款,目的在於保證自然人的私人生活的安寧。個人資訊中屬於私密資訊的,也受到隱私權的保護。這確立了現代網路時代隱私權保護的具體加抽象的一個基本格局。
在實踐中,無論是人民的認知、媒體的報導或學者的研究,只要提到了訊息,就自然會關注資訊的內容,尤其是敏感資訊。而資訊的內容涉及範圍很廣,其中的私密性內容則涉及隱私。因此,若資料、資訊、隱私這三個概念不清晰,顯然會阻礙社會經濟發展。
(一)資訊與隱私的區分
資訊和隱私是否能以一定的標準區分呢?根據《民法典》第1034條,相關資訊如果構成私密訊息,則適用有關隱私權的規定。個人資料中是否有不屬於私密資訊的內容,從而適用《民法典》第1034條到第1039條中關於個人資訊的規定呢?在隱私的保護程度高於個人資訊的情況下,是否還有必要討論關於個人資訊的保護?例如,電子郵件信箱、手機號碼、家庭住址、出生日期是否屬於隱私?身分證號碼涉及的生物辨識資訊、健康資訊中的內容是否皆屬於私密資訊?針對一般個人資訊的保護和私密的隱私權保護的把握度、區分度在哪裡,是目前待解決的第一個困難。
歐盟《一般資料保護規範》第4條提到了「個人資料」(personal data),且其中的「個人資料」(personal data)和「個人資料」(personal Information)是互證成的同一概念,二者不做區分。個人資料、個人資料、隱私三者界線模糊、存在交叉,出現一種混序的狀態。若要讓處於混序狀態的三個概念形成一個有序的狀態,首先應設法使三者形成一個差序的格局。
個人資訊和隱私的概念不同,不能單純地將個人資訊與隱私混同。私密資訊屬於隱私,但個人資訊亦包含一些不具備私密性的信息,這類資訊雖不應以隱私的標準去保護,但仍應受到個人資訊層面的保護。以電話號碼為例,很多人認為電話號碼、姓名不是隱私,因為電話號碼的主要目的是用來進行社會互動。電話號碼便於相互聯繫,方便為包括美團外帶APP等在內的第三方服務業提供服務等等。因此,個人資訊作為傳遞訊息、支持正常社會互動的基礎,既要加強個人資訊權益的保護,也要促進個人資訊的運用。個人資訊和隱私最大的差異在於隱私要保護私人的生活安寧,而個人資訊是既要加強保護,又要加強運用。在保護上,個人資訊的重點是強調所謂的自我決定的權利。例如,在「微信讀書」案中,法官談到了機器可讀和人可讀的差別,人可讀屬於隱私,機器可讀則屬於個人資訊。
個人資訊與隱私受法律保護的程度有所不同。個人資訊主要著重於社會互動的可識別性,使用個人資訊前需得到個人的知情同意。而隱私側重保護個人生活的安寧,法律保護私人生活不被打擾。對於個人資訊中具有私密性的私密訊息,則同時受到法律對於隱私的保護與個人資訊利用規則的調整,可見法律對於私密資訊的保護介於兩者之間。
(二)資訊與數據的區分
基於概念的比較可以發現,歐洲地區流行的“資料保護”,與在美國所使用的“隱私”或“個人資訊保護”指涉了基本相同的內涵。從概念發展史來看,個人資料是從隱私權發展而來,1970年代在歐洲召開的多次人權會議就已經認識到電腦科技大規模處理資料帶來的隱私風險,但資料不等於隱私或個人資訊本身。在經濟合作暨發展組織(OECD)於1980年發布的《跨境資料流動與隱私保護指南》中,個人資料被定義為已經或能夠識別到特定個人的任何信息,然而其適用對象僅限於自動化處理的個人數據,其保護的目標是隱私和個人自由。據此,數據強調的是客觀儲存在電腦系統中的事物,而隱私和個人資訊則是數據或其他載體所揭示的人格內容。換言之,電子資料是人類發明的一種符號,不因人的認識不同而不同,因此客觀性強;而訊息則是符號所反映的內容,強調的是人對資料的認識,因而有一定的主觀性。作為人格權客體的個人訊息,其保護的內容是其所反映的與特定個人有關的人格利益;而作為財產權客體的(個人)資料所保護的,則是經過電子化設備採集而形成的客觀存在物。
歐盟《一般資料保護規範》中的「個人資料」和「個人資訊」是互證成的同一概念,二者不做區分,故而其規定中存在個人資料可攜帶權這類財產權能。但是,對於個人資訊和個人資料的混用,會導致資料財產權制度的建構困難,已經引發了一些歐洲學者的批評。我國《民法典》建構了個人資訊與資料區分的差序體系,其中個人資料位於《民法典》第111條,處於第110條各種具體人格權與第112條身分權之間,《民法典》第四編人格權編第1034條至第1039條6條文中對個人資料進行了較為詳盡的人格法益保護體系建構;而資料則是在《民法典》第127條中與虛擬財產並列作為一種財產權確立下來,這一思想需要在《資料安全法》《個人資訊保護法》等相關法律法規中進一步落實。
個人資訊、個人資料、隱私這三個概念經常糾纏,以至於在立法的時候顧此失彼。故而,必須打破三者之間的混序狀態,建構一種差序的格局以便正確對三者進行區分和界定,並針對性地建構保護規範,從而保障個體人格自由、維護個體生活安寧、促進數據的流通與利用。
二、保護路徑與立法建議
(一)明確個人資訊的性質
明確個人資訊的性質,則須承認個人資訊權,並細化關於個人資訊保護的條款規定。企業認為授予個人個人資訊權將會影響數位經濟發展,特別是企業的資料產業的發展。但事實並非如此,個人資訊不需要被定位為與隱私權一樣高位置上的人格權,個人資訊確權反而有助於確定企業與個人雙方的權利義務。
(二)資料產權的界定
個人資料能否成為財產權的客體是資料財產權建構的關鍵問題。隱私權倡議者認為,企業對資料的控制與使用可能會導致個人資訊洩露,如果企業可以透過財產權來控制這些個人數據,則幾乎不可能保護個人的隱私權。這種推理就會得出非常激進的結論:資訊與數據是一體兩面,以至於企業無法控制個人數據,控制數據就控制了隱私,個人數據不應該進行交易,交易個人數據就是交易個人資訊。
新一代資訊科技成果的落實主要是服務於人,所以與個人有關的資料利用、分享和交易普遍且必要。國際市場中數據交易中間商所處理的主流數據也大多是與個人相關的數據,美國聯邦貿易委員會定義的「數據經紀人」(data broker)則專指收集消費者個人數據並轉售或與他人共享該數據的公司。歐盟消費者保護專員梅格麗娜·庫列娃也曾宣稱,個人資料將成為新的“石油”,是21世紀的寶貴資源,它將作為一種新的資產類別出現。同時,個人資料和非個人資料之間的界線並不清晰,現在被視為非個人資料的資料可能會因為技術預判錯誤而可追溯為個人資料。隨著資料處理技術的進步和可用於分析的資料量增加,絕對和不可逆的匿名化將不再可能,大數據分析技術將使得可識別資料和不可識別資料之間非此即彼的區別變得毫無意義。因此,將個人資料排除在財產權的客體之外,不符合資料要素市場發展需求的實際情況。
顯然,對個人資料和個人資訊進行區別處理才是釐清數位權利體系的關鍵:個人資訊屬於人格權益的範疇,以人格屬性的內容作為保護對象;而個人資料則是將個人資訊以電子化形式記錄的客觀存在作為保護對象,屬於財產權範疇。這一區分可以避免人格權和財產權之上不同價值的直接衝突,其中個人資料財產權側重於靜態固定下來的電子記錄,而不是動態反映個人特徵的資訊內容。我國《民法典》的立法者明確區分了個人資訊和數據,將二者分置於第111條和第127條,從而將個人資訊作為人格權益的客體加以保護,而數據則被劃入了財產權的範疇。 《民法典》在「人格權編」對個人資訊進行了專章規定,但是「物權編」對資料財產的保護卻付之闕如。 《民法總則》之前的立法並未區分“數據”和“個人信息”,早期的數據財產經常被納入個人信息加以保護,但隨著數字經濟的迅速發展,數據必然要與信息相分離並成為法律所關注的獨立權利客體,類似載體與作品的區分。在資料之上建構科學的權利體系,將個人資訊列入人格權益保護,不僅具有邏輯基礎,而且可以使兩種權益在各自的軌道上都能得到充分保障,從而滿足數位經濟發展對個人資訊和數據在不同層面的需求。
(三)資料用益權的二元權利結構
《資料安全法》與《個人資訊保護法》的立法重點有所不同。 2019年10月31日黨的十九屆四中全會透過《中共中央關於堅持和完善中國特色社會主義制度推進國家治理體系和治理能力現代化若干重大問題的決定》,首次明確數據與勞動、資本、土地、知識、技術、管理並列作為生產要素依貢獻參與分配。 2020年3月30日發布的《中共中央國務院關於建構更完善的要素市場化配置體制機制的意見》,明確將數據和土地、勞動力、資本、技術並列為五大生產要素。
《民法》第127條規定:法律對資料、網路虛擬財產的保護有規定的,依其規定。實際上,這是立法有意的留白,以便以一個寬容審慎的環境促進發展。資料權屬的分配,司法界曾提出行為規制(外部)與賦權(內部)兩種模式。外部規制的行為模式是以刑法、反不正當競爭法對侵害資料的行為進行規制。隨著資料系統安全和數位經濟秩序重要性的提升,刑法和反不正當競爭法確實發揮了一定的保護資料財產安全的功能,但行為規制模式主要以公共秩序為著眼點,並不直接關注數據本身的財產權地位。這種補救性治理透過被動應對的方式,實現經濟秩序的矯正。其缺點在於,無法積極主動促進資料要素市場的發展,無法滿足資料流轉的獨立權利機能之需要。因此,確認資料財產權性質與權屬尤為必要而急迫。有些學者採用著作權或合約權利來對資料進行保護,但是著作權強調創造性,其不保護未經加工創造的原始數據,資料庫的著作權保護模式是基於靜態的資料庫加工技術,並不適應物聯網時代的原始資料動態利用情況。而合約權利保護模式,亦存在不足之處。非財產制度不會創造普遍的權利,合約上的債權並不能完全取代資料的財產利益,因為合約的相對性導致其效力範圍只能及於特定對象,而作為關係規範(Beziehungsnorm)的合約債權無法實現普遍的權利自由流轉。這樣的規制模式有兩個缺點:第一,無法積極主動地促進要素市場的發展;第二,無法滿足資料流轉的獨立權利機能之需要,要進行分組項的授權模式。
在新浪訴脈脈一案中,新浪認為脈脈非法抓取了新浪微博用戶的一些數據,但是脈脈認為其未非法抓取,用戶和微博平台之間就用戶數據的歸屬權產生了爭議。同樣的案情在不同國度,結果不一樣。實際上,這不僅是國度的問題,也是網站定位與產業發展目標的問題。
淘寶訴美景案是中國司法判例中確認資料具有財產權益的第一案。從判決中可以看出,在企業投入後,所收集的資料形成了所謂的衍生資料。換言之,當公司對資料處理付出許多勞動與資本獲取優勢地位、資源後,他人不當的獲取自然形成不當的利益。這種獲取的利益,存在著一種產權。該案確認了平台業者對其收集的原始數據有權依照其與網路用戶的約定進行使用,並對其研發的大數據產品享有獨立的財產權益,具有開創性的意義。
資料的形成,除去自然資源資料外,都是由人類的網路活動所引發,再加上平台企業和資料公司的貢獻和投入,方能使資料得以取得、儲存以及再呈現。但圍繞著許多資料形成的參與者進行資料權屬的分配,需要考慮勞動、資本、授權、制度設計以及有關權益平衡與激勵機制等因素。不能因為付出了勞動或資本投入就直接賦予資料處理者資料產權,使用者才是真正的資料研發者。從資料的全生命週期來看,資料起源於使用者的網路存取行為,對使用者進行賦權應該成為資料權利配置的起點。資料處理企業,同樣付出了大量的勞動與資金投入,賦予其相對穩定的財產權有利於資料資源的最佳化配置與激勵機制的形成。但若賦予處理者以資料所有權,卻違背了資料是由使用者引發產生此邏輯起點,也不利於建構共建共享的網路。
不論是勞動還是資本的投入,確實形成了利益,這個利益的分配需要藉用二分法,實現所有權和使用權的二分。可以藉鏡自物權—他物權和著作權—鄰接權的權利分割模式,在資料權利體系設計上,根據不同主體對資料形成的貢獻來源和程度的不同,設定資料原發者擁有資料所有權與資料處理者擁有資料用益權的二元權利結構,以實現使用者與企業之間資料財產權益的均衡配置。
在權利分割模式下,資料所有權歸屬於作為資料原發者的用戶,符合資料財產權緣起的客觀事實。同時,對於如何給予為資料形成做出巨大投入和貢獻的平台企業賦權這一難題,則可以類比著作權和鄰接權。如一部小說的寫作自然是作品以及對作品進行演繹產生一系列作品權利最主要的緣起。其後以小說為基礎而進行的再創作,如評書表演、電影和電視劇的拍攝,都會使小說的影響力提升,甚至有時還會比小說更有名氣,即使如此,也不足以賦予評書的表演者或導演以著作權,而只能賦予其鄰接權,因為作品的原創是一切後續財產權所產生的源頭(無論價值大小)。這樣的想法同樣適用於資料權屬的分配問題。不論平台企業或資料公司對資料的蒐集、儲存、加工投入多少,都不足以使其超越資料的原發者-使用者而成為資料所有權人,只能取得類似鄰接權的他物權。總之,對資料原發的使用者賦予資料所有權是尊重資料權利來源的表現,同時也要充分尊重資料收集、加工的資料平台企業,賦予其資料用益權。這符合資料產生的實際情況,也客觀呈現了各方參與者對於資料形成所扮演的不同角色。
在資料要素市場發展中,不僅存在企業與個人的資料權利衝突,不同資料企業之間也存在資料競爭、資料障礙、資料劫持、資料爬取等問題。引入用益權制度解決資料權屬問題,不僅能夠實現使用者和企業之間的權限分配,而且能夠調和不同資料企業之間的利益衝突,從而為數位經濟的發展建立清晰的權屬框架。更重要的是,目前國內外均已出現資料交易市場和共享平台,為促進資料權益的通暢流動,確保各方交易安全,建構資料用益權以及相關的配套制度就變得更加重要。
數據用益權初次取得的事由包括資料收集、加工等行為。其中,採集主要是透過手機、電腦、攝影機等設備或其他感測器對個人、企業、社會和大自然等廣泛的物理社會進行資料的收集。於此情形,資料採集為物聯網時代資料來源的首要方式。加工包括對原始採集所獲得的資料進行電腦處理,也包括透過網路爬蟲等方式進行網路資料收集,此類資料處理行為往往需要滿足一系列合法性要件才可以成為取得資料用益權的基礎。此外,資料用益權也可以透過共享、交易等方式取得,這是資料要素市場繁榮發展的重要基礎。
資料用益權屬於一項新興財產權,根據物權法定原則必須由法律明確。然而,現行的《民法典》和過去的《物權法》都未對其進行規定。根據《民法典》可以看出,未來可能會把資料用益權作為法定的物權類型寫入法律。在未來修訂《民法典》時,可以在《民法典》物權編這一部分分別規定資料所有權和資料用益權,以明確自然人、法人、非法人組織和國家取得資料所有權和資料用益權的條件,並建立以資料用益權登記為核心的配套制度,形成完整的資料權利體系。確立「資料所有權+資料用益權」的二元權利結構,並在此基礎上設定資料財產流轉制度,體現資料的安全與發展並重的原則,將有助於促進資料的使用。
三、結語
平衡資料主體、處理者和社會公共利益的關係在資料財產權體系建構中至關重要,需要用民法思維對資訊、隱私、資料這三者之間的關係做系統的思考。只有在法律上對資料財產權進行精準界定,才會產生正面的價值,才能有助於保護資料的安全。資料財產權益的分配不應當是博弈,而應採取共贏機制,實現資料的利用誘因和安全保護誘因的雙重目標。個人資訊保護不僅應該保護個人資訊,更應該保護個人資訊的利用。
原文文章,作者:合規要求,如若轉載,請註明出處:https://cncso.com/tw/internet-judiciary-and-data-property-rights.html