此頁面上的內容需要較新版本的 Adobe Flash Player。

獲取 Adobe Flash Player

高級搜索
請輸入檢索內容:

當前位置: 首頁 >> 學術資源 >> 行政法學 >> 正文

梅夏英:在分享和控制之間數據保護的私法局限和公共秩序構建

梅夏英| 時間: 2021-06-18 08:35:16 | 文章來源: 《中外法學》2019年第4期

【摘 要】 目前法學界在數據問題的研究上,存在著對傳統法律理論(尤其是私法)予以機械適用的路徑依賴現象,而缺乏對于“數據”這一新型法律對象在理論和立法模式構建上的有效創新?,F有理論傾向于在私法上通過賦予個人或企業某種“數據權利”來建立數據歸屬和利用秩序,這種理論嘗試遇到了私法理論局限的制約和數據應用實踐的挑戰。數據作為天然的公共品服從固有的互惠分享的原理,在此基礎上數據法理論應實現思維模式上的轉換,即實現從基于稀缺的法律到基于充裕的法律、從私益保護面向到公益保護面向和從數據控制的強化到數據控制的謙抑的觀念轉變,由此在確立“分享”作為數據法基本價值取向的理論前提下,探討數據受局部控制的正當理由,以此涵攝現有的各種數據控制理論學說,并消除現有理論上各種"權利"之間的沖突。通過“分享—控制”一體化理論結構,在立法上可以完善相關制度以釋放分享的潛力,并在嚴格確定數據控制理由的基礎上構建公法上系統的數據公共秩序。

【關鍵詞】個人信息;數據權利;互惠分享;數據控制;公共秩序;


當代互聯網科技和平臺應用的快速發展,產生了許多前所未有的現實法律問題,對傳統法律理論和立法體系提出了嚴峻的挑戰,信息或數據的法律規制問題因此成為近年來法學界關注的重要領域。有關數據法律問題的探討,近年來法學界主要是在依循和回應現實問題的基礎上,開辟了個人信息保護、虛擬財產、大數據交易和數據安全等問題領域,并取得了積極的理論進步和現實效果。但值得關注的是,法學界對上述問題的探討存在著明顯的路徑依賴現象,即采用傳統私法的權利理論以及建立于其上的公法干預原理來對數據問題進行理論展開,這種理論上的路徑依賴某種程度上決定了上述數據問題板塊的形成。但隨著現實網絡數據分享和應用的進一步復雜化和理論探討的逐漸深入,法學界在傳統法律尤其是私法理論背景下解釋和發展數據法律現象和規則,會呈現出一定程度的理論上的不適應和應對遲緩的狀態。目前就數據現象所做的理論研究存在著離散化和碎片化的特征,對同一研究對象“數據”在不同的問題場域所作的界定和理論判斷,存在著相互矛盾和不能通約的狀況,無法形成一個穩固和統一的理論基礎。例如,將數據同時作為“人格要素”和“財產”的理論解釋問題,數據的公開分享性和權利化的矛盾問題,以及數據的“工具性”特征與信息本體的關系等問題,一直都困擾著理論界,而這些問題在傳統的理論框架下很難有效地貫通和得到澄清。這種狀況要求法學理論界在“數據”的研究上不應囿于傳統法學理論,而應當將數據作為一種全新的法律現象,嘗試在理論上如實把握數據的特性和現實流動規律,建立數據法律自身的基礎理論判斷和分析模式,并以此作為具體數據法律關系的理論解釋和規則構建的基礎。這種理論努力無疑是困難且富有挑戰性的。本文擬在檢視現有數據理論觀點局限性的基礎上,關注數據的公共性原理及其對傳統思維模式轉換的客觀要求,進而探討如何建立關于數據分享和控制的理論框架,并嘗試對數據的立法和救濟提出理論建議,希望對現今的數據法研究有所助益。


一、目前私法對于數據權益界定的理論嘗試及其局限性


在探討數據法律問題之前,有必要先確定本文所用“數據”概念的內涵。數據概念可以在多個意義上使用,且與信息概念有一定區別。數據具有工具性,它作為生成和傳輸信息的數字編碼技術,體現為以二進制為基礎的比特或比特流,進而可以通過應用代碼顯示為信息。數據與信息的關系大致類似于傳統媒介中的介質和信息內容的關系,介質服從物理學上的技術規律,而信息本體則服從社會傳播學規律。但在互聯網技術條件下,介質和信息的關系又出現了前所未有的變化,以比特為單位的數據作為信息的外在表現元素和基本度量單位,使數據與信息之間的對應和轉換變得即時和直接,它們依賴于一個更大的、全球互聯的網絡介質系統,數據作為介質的一部分與信息取得了直接的聯系。在這個意義上,基于數字化技術的普及,現有各種正式文件中將數據與信息不加區分地使用,符合絕大多數場合的實際情形。但數據和信息的基本區別仍然存在,并在不同的場合顯示出來,一旦現實問題涉及到數據的工具層面,數據問題就有可能與信息問題本身區分開來,而適用工具本身的規制方式,比如虛擬財產和數據運行安全問題即屬此列。本文中所使用的“數據”概念是基于其與信息在內容上的一致性角度使用的,基本上與信息概念互換使用。

目前各國對于數據問題的理論探討,總是從個人與數據的關系開始的,對此歐盟和英美法國家均不例外。中國目前在數據法律方面不大可能直接從其他國家獲得既定的、成熟的借鑒,這樣就使理論上的各種嘗試變得可能了。目前,從私法上界定數據及其上的權益,主要是沿著個人信息保護、個人虛擬財產、平臺數據保護和大數據交易這一理論鏈條展開的,其核心在于數據的確權問題。在數據權問題的探討上,現有的理論觀點五花八門,只要形式上可能,同樣的數據在理論上就有可能同時成為隱私、知識產權或財產權的對象。關于數據權的相關理論觀點,理論界主要在個人信息和企業數據兩個相互區分的領域分別展開,以下試分述之。

()個人信息的權屬界定理論觀點及其評價

關于個人信息法律屬性的理論觀點,有學者統計有八種之多。但歸納起來不外三類,即人格利益說(包括隱私權說和具體人格利益說)、個人信息權說和人格兼財產權說。茲予以介紹與評價。

1.人格利益說

人格利益說分為隱私權說和具體人格利益說。先看隱私權說。該說之所以將個人信息作為隱私看待,主要是基于早期通過保護個人信息來保護個人隱私的初衷。早期各國對電子數據保護的立法如美國1974年的《隱私權法》、歐盟1981年的《個人數據自動化處理保護公約》和1995年的《歐盟數據保護指令》,都是為防止個人隱私被非法公開和泄露而制定的。美國立法一直對于個人數據的保護使用“隱私”的概念:從1999年到2002年,提交兩院的個人數據立法草案中,絕大多數都在草案名稱中出現“隱私”概念。但即便如此,將個人信息作為隱私來保護的觀點在我國已鮮有學者支持。其原因在于,當代個人信息保護的范圍已大大超過了傳統隱私的范圍,且個人對于信息的控制并不能排斥企業的合理使用,這與傳統隱私的法理有較大差別。美國使用的隱私概念較為寬泛,它并不附屬于類型化的人格權體系,故在概念內涵上與大陸法系國家有著重要區別。在最近生效的《歐盟一般數據保護條例》(以下簡稱“GDPR)序言的中文譯本目錄中,已沒有任何“隱私”的用語出現。

再看具體人格利益說,該說將個人信息作為人格權體系下的一項新型人格法益予以認定。我國《民法總則》第111條規定了對于個人信息的保護,但沒有明確表述為“個人信息權”,由此產生了個人信息是“民事權利”還是“民事法益”的不同理解。關于人格利益是“權利”還是“法益”,屬于理論上對于人格權的理解和立法選擇問題,但問題并不在此,而是在于個人信息是否能夠成為現有人格要素之外的新型人格要素存在。盡管這種觀點幾乎已成主流觀點,將個人信息作為獨立人格利益仍然存在兩個重要的理論障礙:一是個人信息與隱私無法區分。在現有的法律中,個人信息無疑包括隱私,且保護公民隱私是個人信息保護立法的重點目標,但個人信息的范圍遠遠大于隱私,若將個人信息籠統稱為獨立的人格利益,那么如何處理與隱私的關系便成為難題。二是個人信息的范圍過于寬泛,難以都認定為人格利益。如目前立法都通行以“可識別性”作為個人信息的范圍,這就有可能引發一個問題,即由于當代數字處理技術中“個人畫像”的出現,通過間接個人信息的分析來識別個人身份的機率大大增加,那么是否這些間接信息都屬于個人信息,從而屬于人格利益呢?如果通過一個未知的人某種行為的時間、地點和活動場景等能推斷出其真實身份,是否這些時間、地點和場景等就成為法律保護的個人信息呢?上述兩個理論障礙決定了個人信息被作為獨立人格利益來認定的理由并不充分。

2.個人信息權說

個人信息權說目前在理論主張上存在兩種不同理解:一種理解方式將個人信息作為人格權的一種類型,且明確主張應予權利化;另一種理解方式是認為個人信息權并不完全屬于人格權,而是一種新型的民事權利,以法律賦予的個人對于數據的控制權為核心內容。對于第一種理解方式,其面臨的理論難題與“具體人格利益”主張一樣,且將個人信息人格權化并不能消除上述兩種障礙,在此不重復論述。值得注意的是第二種理解方式,這種理解在我國并沒有學者系統提出,不過可以從以下的轉變趨勢中解讀出來:西方國家對個人信息進行保護的方式從隱私保護逐漸演進到了個人信息自決權保護。如美國學者(Alan Westin)認為,隱私必須被重新界定為“個人、群體或機構對自身信息在何時、何地以及在什么程度與他人溝通的主張”, 倡導個人對自身信息控制的獨立意義。德國理論界認為通過“小普查案”和“人口普查案”等案例,德國已經確立了個人信息自決權。以此來解釋GDPR也應順理成章。這種以個人自決為核心的個人信息權脫胎于隱私保護,強調個人對自身信息的控制,似乎具有獨立的意義。值得注意的是,這種以信息支配為核心的“權利()”既不能完全以隱私保護來解釋,也保留了財產化的可能,近年來國外學者倡導的個人信息財產性理論同樣是建立在個人的信息控制基礎上,如英國劍橋大學喬舒亞·費爾菲爾德教授近年就倡導對個人數據的控制從財產權角度予以保護。

認為基于個人信息自決而形成的個人信息控制行為能成為私法上的個人信息權,在理論上有如下缺陷:一是這種個人信息權并不周延。從西方個人信息自決權提出的社會背景和立法軌跡可以得知,個人信息保護或自決權乃電子計算技術出現并廣泛應用后的產物,它僅適用于電子網絡環境下的個人信息控制,并不適用于日常生活和傳統媒體的信息控制。這種不周延決定了個人信息自決與人格的保護并無必然或天然的聯系,也不能成為一種普遍適用的權利。二是若將個人信息權作為一項私法上的權利來理解,則它應具有一定的絕對性和對第三人的效力。但是我們從個人信息保護規則體系中并不能找到相關規則,使個人對信息的控制能排除他人合理的使用、分享和流通。個人信息自決權似乎更多地傾向于服務一種特定的立法目的,即有效地阻止個人信息被非法濫用,而非使信息為個人所獨占。如GDPR1條第2款明確規定:“本條例保護自然人的基本權利和自由,特別是保護自然人享有的個人數據保護的權利?!奔幢砻鱾€人享有的并非獨立的私權,而僅僅是獲得個人數據保護的權利。三是個人信息權觀點(包括具體人格權觀點)不能解釋的是,為何這一具體人格權或獨立私權在私法上缺乏有效的救濟途徑。在大多數情況下,對于企業或第三人非法使用或交易個人信息的行為,除非其涉及到隱私,否則在因果關系的認定和賠償的確定上都存在很大的困難,難以救濟。GDPR主要是通過高額罰款來預防和阻嚇,并沒有涉及任何私法救濟方式。

除此之外,德國學者溫弗里德·弗埃爾認為個人信息自決權是一種類似烏托邦的幻想。因為從法律的角度來看,信息自決受到了過多的法律限制(GDPR中存在30多種基于公共利益的限制以及非經同意收集的情形),不宜將其確定為一般原則;從現實層面來看,信息自決忽視了個人大量信息已經由他人分享的現實,尤其是那些進入公共領域的個人,他們早已對自己的形象和外表等信息失去了控制。就自決本身而言,“受限于信息獲取等因素,個人常常會在無知的狀態下做出決定”。上述事實導致數據保護和通訊自由之間存在著一種特殊的緊張關系,因為在私主體之間,不需要設置如此高的默認禁止的預防措施,私主體之間自主分享信息本來就是一項基本權利??傮w而言,個人信息自決權明顯有些理想化了,它將網絡上的局部信息控制無限地擴大到個人對自身信息的全面控制,甚至提升到基本權利的地步,形成了凌駕于諸如通訊自由等基本權利之上的“超級基本權利”。

3.人格權兼財產權說

此說目前也具有一定的代表性,也有持此觀點的學者不將人格和財產加以區分,而統一內含于個人信息權。其實這種觀點與上述個人信息權觀點的第二種理解也有類似之處,只是在解讀和定性上增加了財產權的內容。此說主張個人對其個人信息享有兩種權利,即防御性的人格權和支配性的財產權,以此實現如下可能:個人在保護自己人格利益的情形下,可以自主決定是否通過信息許可或交易來獲利。該說大多借助人格財產化現象或美國法上的“公開權”或“形象權”來進行論證。這種主張意圖通過個人信息的此種認定來解決個人信息同時成為人格利益和財產的理論難題,順便為企業數據的財產性問題打開理論空間。針對此種二元界定主張,就個人信息是否成為人格利益,上文已有評論,問題在于個人信息是否能夠成為財產權的客體。

這種理論主張主要是基于大數據財產價值日益顯現的社會現實,力圖使作為信息之源的個人數據的財產價值得到保護。但這種主張會面臨下列難以解釋的問題:其一,將個人信息作為財產予以交易,缺乏現實生活經驗和常識的支持。在個人的絕大多數生活、工作和社交場合,以及在諸多民事合同中(除了以信息服務為主要內容的合同外),存在著大量提供個人信息的情形,但從并沒有出現有償使用個人信息的慣常作法,也沒有出現原合同與信息許可或服務合同并存的先例,為何獨獨在用戶與網絡服務商之間強調個人信息的財產權,這在理論上值得斟酌。其二,通過人格財產化來解釋個人信息財產權并不充分。姑且不論個人信息是否構成人格利益,即便在人格“財產化”情形下,也不能證明人格要素就是財產權的標的,因為人格權財產化是通過人格權主體與人格要素使用方之間的許可合同實現,并沒有涉及財產轉移或交付問題,法律通過合同關系即可得到充分調整,并不需要另立一個“人格財產權”,這一點無疑也適用于個人信息。在信息領域重要的是信息供給和分享服務,而非財產交易。其三,目前各國在大多數情形下,以個人“同意”作為網絡企業收集個人信息的合法前提,用戶欲行使個人信息財產權也只能在“同意”環節與企業交易,但問題是,在法律規定無須“同意”即可收集個人信息的情形下,是否法律就剝奪或侵害了個人信息財產權呢?最后,個人信息財產權解釋不了現實生活中的信息交互性問題,即一項信息為多個主體共同分享的情形。比如一次小型聚會的信息應為所有參與者分享,無法由某個參與者獨享財產權,否則就會造成權利的直接沖突;又比如在買方與淘寶商家的交易中,此交易信息因買方和賣方共同參與而應共同分享,無法歸于任何一方。上述關于個人信息財產權觀點的疑問,說明傳統理論對于信息法律屬性的把握尚不完整,它在關注信息財產價值的同時,并沒有追問信息的價值來源之所在。

()企業數據的權屬理論觀點及其評價

上述對于個人信息權屬的法律討論,有助于理解企業數據的權屬問題,因為兩者的分析對象為同一事物,即數據信息。企業對于收集到的大數據享有的權利,與個人信息權面臨著一樣的問題,因為兩類數據都具有一定的商業利用和交易價值??傮w而言,現有關于企業數據權屬的認定分為知識產權保護和財產權保護兩類觀點。

1.企業數據的知識產權保護

在知識產權領域內,理論上不外對企業數據采取著作權保護或商業秘密保護兩種方式。大數據在著作權保護方式中,對應的是《著作權法》第14條規定的有獨創性的匯編作品,這是數據庫保護的法律基礎。對于大數據是否符合該條所要求的“獨創性”,有學者理解,大數據雖然具有一定的選擇和編排方式,但其價值在于數據的巨量和混雜性,而不是數據的結構和編排。由于大數據存在編排或結構并不一定代表其具有獨創性,故在各國著作權法上無法以匯編作品作為大數據保護的主要方式。對此《德國著作權法》第87條規定了用鄰接權來保護通過實質性投資而建成的大型數據庫,以此補充匯編作品保護的不足?!抖砹_斯民法典》第1333條和第1334條也分別規定數據庫的“制作者”和“專有權”來保護數據庫的“鄰接權”。但這種通過鄰接權來變通保護數據庫的方式著重于保護數據庫的實質投資,而非其獨創性,不屬于真正意義上的鄰接權。因為鄰接權本身應重在保護“大全型”數據庫的傳播和利用價值,而非實際投資。歐盟立法則另辟蹊徑,通過1996年生效的《關于數據庫的法律保護的指令》,在著作權之外賦予數據庫控制者特殊權利獲得法律保護。上述立法嘗試說明通過著作權保護企業數據并不能成為一種行之有效的常規方式,在大數據的著作權保護中,有價值的是對數據內容的著作權保護,而非整個數據庫的保護。

主張通過商業秘密來保護企業數據的觀點,則放棄了將大數據著作權化的努力,將大數據置于一個相對保護的狀態,并結合反不正當競爭方式保護企業在大數據上的法益。這種主張總體來說較之前者更符合實際情況。但依據《反不正當競爭法》第9條的規定,商業秘密應當具有秘密性、價值性和保密性的基本特征,企業數據并不完全符合上述要求:其一,就秘密性而言,大數據與商業秘密的不同在于,組成企業數據的單一數據可以通過不同的合法途徑獲得,但將這些可以從不同渠道獲得的數據由企業集中收集形成的企業數據具有整體的價值。由此,作為數據集合組成部分的個別數據,便很難受到商業秘密制度保護。其二,關于企業數據的價值性,在實踐中也很難確定。企業數據的價值性是相對企業本身而言的,是否一定有著經濟價值并沒有明確的標準,大型平臺甚至對于冗余信息建立了定期清除制度。另外,單個信息、部分信息和整體數據庫的價值也無法分別估算,這導致數據部分或全部泄露后的價值損害是否存在以及損害大小無法確定,這一點與商業秘密的實用價值確定性存在較大區別。其三,企業數據是否采取了保密措施也不好確定。一般情況下企業基于個人信息保護義務,對其數據設置了管理權限和密碼等保密方式。但企業是否系為了保護商業秘密而設置保密措施,對此缺乏直接的判斷標準,因為企業數據的加密屬于常態,數據安全的加固和升級亦為服務于多種目的的需要。但即使存在上述困境,商業秘密保護的法理仍是最接近企業數據保護的理論基礎。

2.企業數據的財產權屬保護

由于知識產權方式不能足夠應付復雜的企業數據利用和交易問題,理論界更多地呼吁建立數據財產權來保護企業數據,即將企業數據當作財產關系的客體并于其上建立財產權利結構,以解決數據流轉的權利基礎。學術界注意到了數據權與物權的不同,故有學者主張依據《民法總則》第127條,將其作為一種新型的財產權對待。也有學者提出,基于個人信息與企業數據的復雜關系,建議給個人配置人格權益和財產權益,給企業配置數據經營權和數據資產權。還有學者在判斷數據在信息層面上無法被權利化的基礎上,提出了法律賦予數據文件絕對權的可行性論證。這些理論嘗試體現了民法學者對于企業數據民法保護的關注和努力,但數據權利化理論仍共同面對如下問題的挑戰:

第一,企業數據權理論面臨數據的隱私性和財產性的關系問題。假如在將個人信息保護和企業數據財產權區分對待的前提下,認為包含隱私的個人信息成為他人之財產權是正當之舉,那么在法律上將財產權賦予給個人,直接將隱私權打造成財產權是否會更為直接了當?因為相對于信息收集人,將個人信息的財產權賦予個人比第二手的收集人更為正當和必要,畢竟個人用戶才是信息的直接來源。另外,企業數據類別眾多,不同數據的適用領域和經濟價值或許完全不同,因此,可以普遍適用于所有數據相關問題的抽象化規范是難以想象的。我們很難想象電商平臺的交易數據與高鐵公司的高鐵運營數據能統一在數據“所有權”概念下獲得同樣的規制。

第二,企業數據權理論很難合理解釋企業數據權與其他數據控制人的關系。通常情形下,企業數據庫的任何一條信息可能為多個主體控制,至少每一條信息都有對應的用戶享有和控制,比如每條網絡行為信息在單個用戶的Cookie里都有存留。對此,要如何理解企業數據的排他權?這種權利沖突在理論上如何解決?當企業非法收集個人信息之后,企業對數據占有的狀態又如何描述?我們不可能使一個財產權的客體無端消失,在此適用返還規則也沒有實際意義。在數據可分享前提下,若賦予數據控制者某種絕對性權利,則超大型網絡平臺可能基于這種新的權利變得更加強大,同時數據控制主體若以“數據權利人”身份授予第三方訪問權,交易成本也可能因此而大幅增加,并可能導致締約各方談判地位的失衡。特別是將“數據權”分配給已經處于優勢地位的締約方時,這種失衡會尤為顯著。

第三,企業數據權理論不能很好解釋企業數據被無償分享時數據權還存在與否這一問題。比如當公共機關強制企業提交企業數據,或者企業通過各種API(Application Programming Interface,應用程序編程接口)無償向特定用戶分享自身數據時,在數據為第三人所獲取的情形下,企業數據權是否被剝奪或部分放棄?此時企業數據權是否還完整存在?在企業將數據通過交易許可另一方有償使用后,同樣的問題仍然存在。

第四,當企業數據被第三人通過不法手段獲取時,企業數據權作為民事權利的效力和救濟方式如何體現?權利的彈力性和追及效力在此并沒有發揮作用的空間,權利請求權也沒有實質表現形式?;谛畔⒌目煞窒硇?,在企業仍完好掌握大數據的情形下,企業自身對數據的控制狀態并沒有受到實質破壞,故在法律救濟上只能體現為要求對方停止非法行為。至于私法上的損害賠償是否構成,還需要具備諸多因素和條件。就侵權后果而言,目前企業數據的財產保護并不能體現出私權被侵犯的相應法律后果和救濟方式,更多地體現為公法上的強制救濟措施,且司法判決并沒有對非法分享的數據本身從數據權利角度予以關注和救濟,這也是司法機關主要還是通過反不正當競爭法來解決相關糾紛的原因。

上述關于數據的私法定性的理論嘗試及局限的分析,一定程度上揭示了將數據納入私法權利體系的困難。無論是人格權還是財產權,個人權利還是企業權利,都不能很好地解釋數據的流動和控制問題。其中的結構性問題在于,個人信息與數據財產如何統一于同一數據之上,以及如何在數據可由眾多主體合法分享的前提下,體現出數據權利在私法上的排他性和救濟性特點。另外,個人信息與企業數據的保護在理論維度和價值目標上具有很大的不同,其對數據控制的力度、廣度和方式也有差別,因此一概“權利化”并不能真正解決本質問題。承認數據在網絡時代的價值只是考慮問題的出發點,問題在于這種價值如何體現和實現。將數據客體化和權利化并未能真正契合數據價值的來源和運作方式。當今數據權利理論的出現針對的主要是互聯網技術下數據的運用和流通的問題,而非適用于所有的信息領域,那么這種“數據權”的正當性和必要性又源自何處?實際上,通過數據權利化這種強保護方式來保護相對局部的數據利益,忽視了數據本身的分享和流動的慣常性存在,以及數據排他性占有的現實困難。于此,法學界需要重新審視數據的特性和運作規律,觀察數據在私法視角以外的公共面向,以補充或修正已有理論的不足。


二、數據的公共性價值與法律保護思維模式的轉換


從個人對信息的控制延伸到企業對數據的控制,通過迭加式的私法賦權以實現數據主體的不同利益,這屬于典型的私法保護進路。這種進路之所以遇到上述理論困難,主要是因為其將數據作為一種權利客體對待,而忽視了數據本身的無形性、可分享性以及公共性的特點,以及信息數據主要通過社群分享來實現自身價值的客觀事實。數據的私權保護沒有充分顧及到數據分享的價值及其更為基礎的地位,因而在私權化的過程中常常受到數據分享的干擾。以數據的公共性特征來中和私權化的片面性,有助于在理論上科學把握數據的分享和利用規律,并對既有的思維模式適當調整。

()數據公共性的理論和現實價值

數據具有公共性當無疑義。它符合經濟學上的“公共品”(Public Goods)核心特征,即非競爭性和非排他性。前者指一人對公共品的使用不影響他人對其使用,后者指多人可以同時使用公共品而互不排斥。信息還符合經濟學上的“純公共品”的要求,即同時具備制度公共性和自然公共性的特點,在傳統社會具有效用上的不可分割性,并以此區別于準公共品。在公共品體系內,信息相對傳統意義上的公共物品(如公物和國防等),某種程度上又具有更徹底的公共性,因為它不受容量和空間的局限,可以及于任何人。但信息本身又依賴于傳統或當代媒介而分享和傳播,故媒介又決定了受眾的范圍,這一點與其他公共品又有不同。法律試圖對信息進行局部個人化處理是晚近發生的事情,在歷史上絕大多數時段,信息一直處在公共領域,且社會長時間處于信息饑渴狀態。

人類在歷史上解決信息匱乏的途徑之一,是通過媒介的擴展和革新來創造和傳輸信息。從非洲人的鼓、希臘人的烽火、埃及的象形文字、印度的貝葉書、西亞的羊皮紙,到近代印刷術、報紙、電話、電影、摩爾斯電碼,以及現當代電視、電腦、多媒體和互聯網等,以上種種無不體現了人類對于信息獲取的努力。另外一個途徑是人們在社會生活中通過互惠利他方式來最大程度地分享既有信息?!盎セ堇痹谶M化心理學中指的是傳統社會的一種社會合作模式,即一人給另一人提供了好處,并不期待立即獲得報答或補償,但每個人都認為這種利他行為的普及可以引起合作的盈余。在早期的傳統社會中,信息的互惠利他是當然之理,同時互惠利他也會延伸至人們生活上的物質饋贈和扶危濟困之幫助,現代經濟學則用“禮物經濟”來定義這種社會狀態。自法國人類學家莫里斯在其著作《禮物》中提出禮物互惠的社會學原理以后,社會學便開始關注禮物互惠對于當代社會的意義,認識到禮物和回報機制對于建立人與社群的親密關系,以及對治理資本主義和工業化的某些缺陷的意義。在以私有化為前提的當代西方商業社會,社會結構性的禮物和回報機制已不多見,但對于信息而言,它一直在事實上遵循互惠利他和禮物饋贈的傳統。

信息較傳統的實體禮物饋贈更具有互惠的特性?;谛畔⒎窒淼臅r效性和聚集性的特點,對其進行分割和交易在經濟上變得不可行,另外信息互惠分享創造的盈余較傳統禮物饋贈更為顯著和快捷,這決定了在互聯網從產生到普及的過程中,互惠利他形式的分享一直充當人們努力的目標。如互聯網先驅佩里·巴洛(Perry Barlow)1996年發表了著名的《網絡空間宣言》,呼吁保持網絡空間的中立性和排斥政府和法律對互聯網的干預,并倡導信息自由分享。其后,信息共同分享和協作的模式受到注目。自開放源代碼運動以后,2001年起,以自由訪問、編輯和協作的美國維基百科計劃開始實施,并成為開放式許可集體協作的典范。我國目前也有網絡上的字幕組、戲仿和知識共享等在線社群努力建立開放式創作與分享的環境。這些網絡開放分享和協作方式是傳統的信息互惠方式在網絡上的延伸,反應了信息互惠的強大生命力,通過互惠利他和分享協作,互聯網最快捷、最大范圍地滿足了用戶對信息的饑渴和需求,并創造了空前的合作盈余。從早期信息門戶網站、即時通訊工具、網絡論壇、搜索工具,到目前的各類商業在線平臺,從web1.0時代的信息單向發布、web2.0時代去中心化的信息交互到web3.0時代的網際互聯和數據互通,每一次技術的升級和應用創新都促進了信息的分享和盈余的擴大。當前正在蓬勃興起的分享經濟更是將信息分享與現實閑余資源的利用直接結合起來,改變了傳統中介機構的業態和人們的財富觀念。未來,隨著大數據、云計算和機器學習技術的進步和現實應用,信息的分享、聚集和智能應用將朝人類未知的領域發展。在用戶以互惠方式向網絡貢獻信息這一渠道之外,各國也在逐步推進政府信息公開的相關舉措,以滿足社會對政府公共信息的實際需要。

數據的互惠分享是互聯網賴以生存的基礎生態規則。但互惠利他或禮品經濟并非沒有約束模式,它要求個人的利他必須帶來足夠合作的盈余,并且群體成員在他人無互惠行為的回報時,可以在未來不再做出利他行為。這種對于互惠的道德要求在有限的群體和空間中,可以通過查明和懲罰非互惠者(“騙子”)并將其踢出群體來得到維護。對于信息的分享,上述情形也會存在,比如在文件互享的網絡應用上,提供文件的一方在對方拒絕同等提供文件時,可以通過取締“吸血鬼”的技術將其排除在用戶之外;也有些網站要求用戶在分享信息后及時完成反饋,以此作為下次分享的條件。但是互聯網世界中的信息互惠比傳統的財產饋贈和幫助行為更為廣博,因為網絡參與者甚眾,甚至跨越國界,且用戶大多處于匿名狀態,故適用于局部社群的互惠約束機制可以適用于社群內的傳統信息交流,卻不一定適用于整個網絡的信息互惠。網絡信息互惠具有超越時空的特點,從正面角度看,它不能從受局部時空限制的地域文化中獲得完全支持和解釋;從反面角度看,它也不能為目前互聯網面臨的局部信息控制所動搖。對網絡信息互惠這種理論層面的認識有助于我們正確運用數據公共性原理來認識和規制現實生活中的各類網絡信息控制現象。

()基于公共性基礎的數據保護思維模式轉換

對于數據公共性特性的理論揭示,使我們在討論數據保護問題時增加了一個可以參考的基礎背景,這個背景的存在使數據私權化理論的論證負擔無形中大大增加了。數據私權化無疑會對信息的分享產生實質性影響,且因為數據逃逸與傳播的門檻較低,數據私權在實踐中易受侵害且易喪失。在數據公共性背景下適時轉換數據保護思路在理論上有其必要性。以下試述之。

1.由基于稀缺的法律到基于充裕的法律

傳統私法的權利化體系起初建立于客體(主要指有形物)的稀缺之上,客體的稀缺導致了法律上定分止爭的必要。這種稀缺性導致的資源權利化分配模式在傳統社會中是一種普遍有效的方式,在法律上也形成了客體與權利的相互依賴性。與稀缺相適應的經濟規律是,當物品供應越來越多時,物品就會逐漸貶值,這即是工業社會的飽和法則。信息的公共互惠原理則顛覆了上述工業社會的基本法則,因為就像傳真機或電話的普及會增加傳真機和電話的價值一樣,網絡的價值來源于數據的充足和普及。據此美國著名網絡學者凱文·凱利(Kevin Kelly)認為,“任何能被復制的東西,價格都趨于零或免費”,因為網絡的數據和服務越豐富,就越有價值,同時也就越便宜。這種網絡產業的反饋環路體現了與稀缺經濟相反的充裕原理,即“最有價值的東西應該是那些普遍存在而又免費的東西”,故唯有慷慨才能在網絡中勝出。事實上,全球互聯網在近二十年間有如打開了信息流動的潘多拉之盒,通過分享和升級,信息仿佛具有生命,急切地互相擁抱并如渦流般整合和旋轉,創造出了令人眼花繚亂的虛擬生態更迭,完美地詮釋了數據的充裕性法則。

信息具有充裕性和分享性的一面并非理論上的想象,在法律上也有其客體特性上的必然性。從本體范疇而言,信息與私法上的典型客體()屬于完全不同的理論范疇,前者屬于無形的、主觀性的信號,后者屬于有形的、客觀的物質或能量,兩者之關系亦如遺傳基因中的基因排序和脫氧核糖核酸的關系,前者的目的在于復制,后者的目的在于自我生存,這是理解自然界兩個最基礎但又迥乎不同的維度。人類對于物質能量世界的依賴、開發和調整持續了很長時間,形成了稀缺性的思維模式。而關于信息,除了晚近的知識產權和人格要素外,人類沒有成熟的認識和實踐去系統地把握、運用數據化信息流動的充裕性原理。另外,不同于其他傳統公共品,在技術上嘗試對于無形的信息進行私有化的可能性甚微。在自由主義和商業化推動下,傳統的公共品基于物理性和稀缺性往往可以不同程度地私有化,從而進入私權領域,如目前西方國家存在的私人海灘、島嶼、博物館、公園甚至公共基礎設施等,都說明了在商業邏輯下科斯定理的最大限度的運用。而信息則除了與“國防”等純公共物品具有效用上的不可分割性外,在客體層面上對其進行私權化具有不可逾越的現實障礙:一是信息本身的價值和目的在于復制和分享,若由個人封閉式獨占,則其價值無法實現,而一旦由他人共享,其獨占性將不復存在;二是將信息賦予私人獨占并沒有現實的法律手段來彰顯和維護,恰如傳統不動產中的田界和動產的占有,這使得信息極易被復制和傳播出外界。傳統社會對于信息的獨占是通過自身保密方式來短暫實現的,在網絡社會則更依賴于加密技術。在以分享為前提的信息法秩序中,想要對于當前現實生活中的個人信息、知識產權和企業數據財產提供保護,就應當減少對于信息本身權利化的努力,而將重點放在規制互聯網用戶的操作行為上,同時強化規則的預防功能,以保障特定目的的實現。

2.從私益保護面向到公益保護面向

從數據與私人的關系入手展開數據法理論體系,必然以考量私益為先,這種思路某種程度上忽視了基于數據公共性本質而衍生的公共目的的普遍性。先從個人信息保護談起?,F今個人信息保護的理論是從最初的私人隱私保護出發,逐漸擴大到了一般人格利益甚至財產權,這種私益保護的思路是值得探討的,其理由如下:

其一,各國個人信息保護規則并非遵循私權的類型化思路,而是將相關個人信息不加以區分而一并予以保護。具體而言,個人信息包括敏感信息(通常與隱私重合)和非敏感信息(主要包括可以構成識別性的行為信息),但這種分類方式在個人信息保護中并沒有成為個人法益的定性區分方法,也沒有強調不同信息之上存在的權利差異。在此基礎上就個人信息實際上形成了兩種保護方式的競合,比如侵害隱私的數據利用行為既違反了人格權法上的規定,也構成了對個人信息法的違反,故應該同時適用兩種不同的救濟方式。這種法律樣態令人產生疑問:如何理解這兩種救濟方式并存的理由?

其二,個人信息保護法以“可識別性”作為所保護信息的范圍判斷標準,且以“同意”為信息收集的合法來源,二者在私法上均不能得到合理解釋。就可識別性而言,有學者合理地觀察到,“可識別性”是社會交往的基礎,現實生活中并沒有禁止相關個人信息流動的根本理由。事實上,網絡上大量公開的個人信息都保持可識別性特點,但似乎又不能納入個人信息保護的范圍。另外,可識別的信息與個人利益并非直接相關,如個人相關信息并不一定與個人有實質的聯系,只是通過相關性而對識別起到輔助作用。例如,時間、地點、參與人等中性的信息是否構成個人信息,純粹取決于它們可否對識別他人有所貢獻。這種理解個人信息的方式并不能圈定個人信息的本質范圍和屬性,其范圍既寬廣又不確定,更談不上將它們都歸入人格利益范圍。另外,有學者還指出:“在當今信息處理的條件下,寬泛的個人數據可識別性標準(GDPR4條第1)變得越來越沒有意義。除了純粹的機器、傳感器和天氣數據外,再也沒有非個人的數據了?!本汀巴狻钡囊饬x而言,它也不能完全從私法上獲得理解。經過用戶的同意平臺可以收集個人的信息既不能從私法上的交易來理解(其中沒有有償和對價因素),也不能從防御性的人格利益來理解,因為這種“同意”增加了人格遭到侵害的風險,更何況現實中存在諸多無須用戶同意即可收集的情形。另外,盡管同意制度本來是彰顯個人信息自決權的主要手段,但“同意協議簡而無用,多而無功,實際上是確保信息自決的最糟糕的法律手段”。

其三,個人信息保護主要適用于個人與網絡平臺的關系,并不能普遍適用于其他場景下的個人信息使用和分享領域,且其立法目標一直不甚清晰。如德國、歐盟、歐洲理事會、經濟合作與發展組織(OECD),分別通過國內憲法、人權公約或國際條約確定了不同的個人數據保護目標,這些目標又分別歸屬于數據保護權、人格權、私人生活權、基本權利和自由、保證信息的機密性和技術系統完整性的權利、信息自決權等領域,而這些領域差別巨大,無法通約。這種狀況揭示了各種立法傾向于將個人數據的保護作為一個預設的前提條件。GDPR也努力將每一項數據都納入一套精心制定的保護規則,其理念可以理解為“全面預防”,即以默認禁止信息獲取為基礎規則,除非在法律中發現例外情況或數據當事人同意提供,這樣就客觀上形成了一個抽象的數據保護法。因此,在存在上述多種立法目標下,數據保護法的目的可以被解釋為是防止任何損害,而在缺乏明確的法律保護目的的情況下,數據保護本身就可能是對其他權利的一種威脅。對于數據保護的抽象探究,遮蓋了其應服務的正確立法目標。數據無疑具有技術性和工具性,它本身并不具有天然的價值或目的,數據保護的目的應當存在于數據之外。

個人信息保護的私法進路忽視了個人信息保護法的目的。這種目的并不一定存在于私法,其直接目的更多地體現在公共領域,即規避因信息可能的泄露和濫用而導致的社會風險。我國目前有學者充分注意到了這一點。如有學者提出個人信息并不是基于個人控制的訴求,而是基于社會控制的需要。也有學者認為西方個人信息的保護直接服務于消費者權益和公法目的。個人信息本身并不存在問題,而是因為現代電子系統大規模的收集、利用和流通造成了信息泄露和濫用,故法律應予以規制來控制這種社會風險。從社會風險的防范角度來理解個人信息保護的目的,具有較強的涵蓋性和解釋力,它可能與隱私或人格的保護有一定關聯,但數據保護本身只能被理解為某種合法權利的有效附屬保護方式,也就是說數據保護本身只有在個人自由或權利有被侵害的可能時,才作為一個有效的公法保護方式存在。社會風險包括個人受侵害和社會利益被侵害兩種情形。前者如2016年“徐玉玉電信詐騙案”、2018年“萬豪酒店客戶信息”失竊案,后者如Facebook數據泄露對美國選舉的干擾等。這種對公共風險的防范體現在世界各國的立法實踐中。如GDPR在用戶同意的基礎上,又采用風險大小的識別來決定個人信息控制的程度。又如美國聯邦貿易委員會(FTC)則對于個人信息保護提出設計原則、選擇原則和透明原則,在強化對數據收集和利用風險評估的基礎上,采取全方位的控制,甚至對企業內部的例行工作和日常事項也提出了嚴格的要求。我國2017年的《個人信息安全規范》則在同意機制的基礎上,根據風險產生的可能性,區分不同的內容和告知方式來對同意機制進行細化,體現出實際風險防范的面向。GDPR生效后學界和產業界都在質疑其對于個人數據控制是否過于嚴格。依此分析,應該從消費者權益保護和風險防范的角度分析這種控制是否必要和充分。

除了個人信息保護具有直接的公共面向外,對于企業數據的保護也可以從公共目的或公共秩序的角度來理解。我國對于網絡企業之間的糾紛目前主要是從競爭法的角度來予以判斷和裁決。對企業是否可以賦予數據權,上文已有評析。但是如果免費從用戶那里收集來的數據都能成為企業的私權,那么如何理解政府公開社會公共數據的行為呢?政府將權利轉移給所有人了嗎?因此,“引入‘數據所有權’非但不會促進數字經濟和實現數據訪問,反而會產生截然相反的效果,尤其是從公共利益的角度而言”。企業數據的私權與數據的公共品特征的直接沖突,決定了對于現實生活中企業之間的數據糾紛,更多地只能從行為的社會危害性角度來考慮,反不正當競爭法就是從競爭秩序的維護來保護企業的有限法益。但判斷一個行為是否侵害了競爭秩序,則需要從原告是否有損失以及被告是否構成不合理競爭行為來衡量。既然企業數據缺乏一個明確的法定權利外衣,通過私法權利的效力來獲得救濟便不再可行,行為的違法性判斷便依賴一種科學的數據控制和操作規則體系,這種規則體系是在考慮數據主體、數據控制者和社會利益的基礎上進行利益平衡的結果,具有鮮明的公共秩序特征。

3.從數據控制的強化轉向數據控制的謙抑

電子數據因計算機和網絡的普遍應用而進入了社會控制的領域,由此衍生出個人信息保護和企業正當數據權益保護等問題。這些問題并沒有完全的普遍性,因為在非電子化時代,上述問題并不存在,由此理解,數據控制問題與數字技術和互聯網直接相關,且解釋和實現數據控制問題也一定不能脫離互聯網技術體系的特殊語境。盡管當代數據立法仍處于探索和試錯的階段,但強化數據保護業已成為當代社會和產業界的現實訴求。從對個人信息保護空前嚴苛的歐盟GDPR,到紛繁蕪雜的數據權利化理論主張,再到國家之間的數據跨境流動的“主權”爭奪……種種嘗試都在力爭鎖住數據流動的關節點,在“人我界分”間建立可控的數據利用秩序。這種現實發展趨勢體現了社會嘗試駕馭和馴服電子數據這一新生事物的努力,有時是合理且有成效的,但并沒有做到駕輕就熟,其原因在于,上述努力帶有濃厚的將數據比照現實物質看待的“客體化”思維痕跡,也未能真正揭示將數據控制限于數字技術系統的真正目的和要求。

數據控制來源于互聯網和數字技術系統的傳播特性對現實秩序的威脅,快速和大規模的數據收集、運用和流動造成了諸多新的社會問題。數據控制的必要性在于,在承認數據技術對于信息分享的積極意義上,抵銷或糾正不正當的數據利用方式帶來的沖擊,而非通過控制數據流動去影響數據的分享。對此現有的司法實踐存在用力過猛的現象。如上海晟名網絡科技有限公司、侯明強等非法獲取計算機信息系統數據罪一案中,法院因為被告使用技術手段繞過服務器身份校驗等系統保護措施并獲取數據的行為,依《刑法》等285條第2款判決被告上述控訴罪名成立。該案存在的問題,被告確實存在規避反抓取措施的不當行為,但行為人抓取的是可由被授權用戶正當訪問的開放數據,亦即這些信息可由一般用戶合法獲得,從行為不法和結果不法的后果看是否構成犯罪,尚有斟酌余地。又如在百度與大眾點評網的不正當競爭一案中,法院最后支持了原告的請求,認定百度構成不正當競爭。但在屬于同一類型的美國“hiQLinked In “的糾紛中,Linked In因為采取技術手段禁止hiQ公司爬取其網站上公開的用戶資料,而被法院通過禁令要求其移除上述阻止手段。其理由是,Linked In公司限制對方獲取用戶已選擇公開的信息,違反了不正當競爭法。這種認定與上述案件完全相反。這兩個案件反映了在有關用戶公開數據問題上,我國與美國的不同傾向:前者以限制網站獲取為主,后者則支持和鼓勵網站公開信息。我國這種將數據畫地為牢的做法同樣體現在新浪與脈脈的訴訟中。法院判決被告淘友公司違背了第三方通過Open API應堅持“用戶授權”加“平臺授權”再加“用戶授權”的三重授權原則,從而構成《反不正當競爭法》第2條下的不正當競爭行為。但這種三重授權原則在案件中要求充分說明,淘友公司在API授權范圍內是否有現實獲得三重授權的可能,還要說明在授權范圍外想獲得相關信息是否存在符合規定的“用戶授權”程序。即使滿足上述條件,淘友公司的行為也應被認定為違反個人信息保護法律并承擔相應后果,而非直接構成不正當競爭行為。這其中的主要問題在于,判決并沒有就新浪微博和淘友公司對于數據本身的控制利益和界限作一基本判斷。

目前我國對于數據的控制還處于探索之中,立法和司法界主要傾向于加強規制,而業界和學術界則大多傾向于數據控制的謙抑態度。目前對數據的控制我國應當保持適當謙抑態度的原因在于:一是數據的分享和流動是目前我國網絡產業得以蓬勃發展的根本原因。數據釋放了基于傳統社會在資源配置上的信息匱乏而產生強勁數據需求,產生了巨大的信息聚集效應,輔以云計算、人工智能等技術的升級和應用,這種趨勢的前進動能仍很強勁,在沒有出現大面積的社會危害的前提下,國家不宜采取簡單激進的方式干預這一進程,而應采取及時引導和相對容忍的態度來促其發展。二是當代數據規制的目的是對數據濫用或競爭失序的糾偏,而非阻止數據的分享和流動,這決定了對數據的控制應服務于數據產業的良性發展。從信息的公共品特性角度來看,甚至可以認為,大數據時代的數據分享并不需要特別論證,對于數據的控制才需要充足的理由。實際上從網絡蓬勃發展以來,用戶自愿貢獻信息、網絡平臺撮合信息、搜索引擎提供鏈接和網絡企業之間跨界流量互享等等現象就廣泛存在,這些網絡信息分享常態充分體現了信息的互惠原則。只是在此過程中,基于特殊的社會安全和隱私保護目的、風險防范和競爭失序的調和等因素,國家有必要進行適度的干預和調控,使之與社會各種利益協調統一發展。


三、分享前提下數據法律控制的理由體系


基于數據的公共性原理而適時進行法律調整思維模式的轉換,在理論上要求建立分享前提下的數據控制體系。如果在理論上接受“數據分享是前提性的,而數據控制需要充分理由”這一前提,那么對于數據的控制就可以在同一個基礎上進行一體化的論證和構建了。這里“一體化”的含義意指我們不必要先入為主地將數據先行定位為“個人數據”或“非個人數據”, “數據隱私”或“數據財產”,以及“用戶數據”或“企業數據”等,這些劃分對于數據分享這一前提并沒有實質意義,它僅僅是在對于特定數據實施控制時作為具體考量因素時才有必要。由此整個數據法律體系就可以在此基礎上嘗試展開,且不似已往的研究中將數據問題通過個人信息、知識產權、不正當競爭和企業數據權保護等分割開來,因為這種分割狀態常常導致同一數據在不同領域難分軒輊且相互沖突。事實上,在傳統以物質世界規則為主的法律體系中,關于隱私、知識產權、競爭法和財產權屬的領域劃分是相對清晰的,其規制的對象少有重疊。但對于數據這一當今蓬勃發展的新型對象,上述各個法律領域奇妙地集中于其上,在司法判決中法官的解釋和論證也在上述領域穿梭往來,似乎數據本身沒有固定的法律領地。這種現象充分說明了法律缺乏對于數據的定位。如果不能以數據的公共品屬性來對其進行初步定位的話,那么傳統法律領域對數據的爭奪將會使數據在無望的“私有”道路上無所依歸。

當然,上述現象并非指數據中的隱私或知識產品不重要,在傳統法律范疇內上述區分仍然是清晰的,也受到既有的法律調整。在此前提下,當數據信息不能順利歸入傳統法律領域進行調整時,就有了法律上的合理化論證的需要,其論證的重點在于,法律究竟基于何種理念或目的對數據進行規制,選擇何種方式來實現上述目的,并且這種規制的正當限度在哪里?通過此種方式來建立數據控制的規則體系,就會使傳統條塊分割的數據控制制度被放置于同一前提下,且有利于消除板塊之間的理論和規則矛盾。以下分述之。

()數據控制理由之一:個人信息保護目的和限度

個人信息保護的私法局限,揭示了個人信息控制的理由存在于公共領域,即其針對的是數字技術時代個人數據的濫用或泄露問題,從消費者保護和公法上的社會風險控制這一角度來理解個人信息保護問題,更接近事物的真相。從公法對于風險的規制角度就可以合理解釋個人信息保護中非隱私數據保護的必要性,在此基礎上,個人信息保護制度上并沒有體現出隱私保護的私法性。只是在風險評估和規避上,隱私處于較高的防范層級?!翱勺R別”這一概念可以理解為是在規避風險源的意義上使用的,它主要是防止他人通過相關信息的挖掘而將個人識別出來。另外,用戶的“同意”也是在風險規避意義上使用的,法律通過此種方式讓用戶有機會知曉自己的信息被利用的方式,并以此來評估自身是否愿意承擔相應風險,這也可理解為是用戶對個人信息濫用的合理的自我防護。但個人信息保護的公共目的并不意味著其受保護程度的不受制約,現今理論和立法對于個人信息保護的限度明顯失之過寬。如目前大多數個人信息保護法(GDPR)通過預防原則和一般性的禁止規定設置了大量預防措施,但并沒有為數據控制者設定責任標準,使其知曉何種風險對應著何種權利或責任,這與傳統立法中以特定禁止規定對應特定責任的做法相違,這樣就使數據控制者使用數據的風險無限擴大;又如GDPR通過簡單劃一的方法對所有的個人數據采取同等保護的態度,違背了個人數據保護的風險評估背景。它沒有區分平臺與個人、公益數據與商業數據、公開數據和非公開數據、大型公司與小型企業,以及上述不同情形下個人數據在法律保護程度上的差別,也沒有充分區分不同群體的實際需求,GDPR只對兒童和“特殊類別”數據進行了有限的關注;再如,“可識別性”標準使歐盟新近出臺的《歐盟非個人數據在歐盟境內自由流動框架條例》無法對于個人數據和非個人數據劃分提供一個可操作的標準,因為所謂的非個人數據并不代表其對個人的識別就一定沒有實際貢獻?!斑@就導致了在數據爆炸的時代,GDPR對商業和私人生活的大多數領域造成了過度監管,而且會導致其成為實際上無用的僵尸規則?!?/span>

基于以上分析,個人數據保護程度在立法上應進行合理的限縮:一是立法不應強調抽象的一般性預防原則,而應適度簡化數據保護的強度和廣度。即個人數據保護應與特定的目的結合起來,當網絡存在不合理的對私人自由和權利侵害的風險時,才有控制個人數據的必要,且其強度應與風險相適應;二是個人數據保護應關注社會風險類型及其發展變化而與時俱進。比如早先的個人數據保護基于信息泄露或濫用的防范,傾向于強力控制數據流動,但當今個人數據處理技術的發展使個人面臨的風險發生了變化,即被“個人畫像”技術所監視、操控或歧視。因為“同意”制度只是個人信息保護的第一步,對于平臺收集數據后如何使用,用戶便很難有直接的控制力,即使法律賦予用戶一系列的權能來干預平臺對數據的操作,也不能完全排除被識別的可能。GDPR從源頭對數據進行控制,固然是最為安全和穩妥的方式,但這種方式是否對數據的利用造成阻礙已成為社會關注的問題,GDPR對于個人畫像對人的監視、操控和歧視除了在第22條有一般規定外,也沒有提供細致有效的應對方法。事實上,完全控制數據的收集和流動在技術上和經濟成本上都不是最優方案,歐盟各國依據GDPR的嚴格條件越來越多地出現對世界大型平臺(包括GoogleFacebook)課以巨額罰款的執法案例,但導致相關投資減少也是必須面對的事實。在應對算法對于人的操控和歧視方面,法律并不能通過對個人數據的追蹤而進行有效控制,未來個人數據保護的重點應轉移到強調個人免受算法的無理監視、秘密操控和不當歧視上來。通俗來說,法律要求無論算法對人的畫像如何精確可控,其都不能堂而皇之成為企業做出相應的、針對個人的決策的理由。

()數據控制理由之二:企業數據利益的發現

數據在經過個人數據保護的洗禮之后,在企業控制環節便存在企業對于數據享有何種利益的問題。企業數據私權化的理論困境并不意味著企業對于數據不享有某種利益,不然企業數據便處于徹底外部性狀態且服從數據叢林規則。但是在法律上如何理解和界定企業數據利益,目前尚處于司法個案探索階段,且多數案件是以不正當競爭法作為結案依據??傮w而言,司法上判斷企業數據利益正當性的標準存在勞動成果說、投入說和商業道德約束說等。

將企業數據作為“勞動成果”而予以保護是一種直觀的法律判斷。在法律上勞動與權利的聯系主要體現為物權的取得和債務的履行,前者要求有勞動所獲得的特定對象或成果,后者則與權利無直接關系。事實上,企業數據的收集并非企業勞動的成果,它是用戶的參與和算法互動的直接結果,最多也只能算是企業和用戶共同“勞動”的結果,因此企業的勞動與數據池的形成沒有法律上的利益生成關系。此外如果法律直接肯定勞動或“額頭流汗”對于數據的利益正當性,那么如何處理這種利益與用戶數據利益的關系?同樣的邏輯也可用于評判“投入說”。商業投入對于數據利益的歸屬也很難被認定有直接的對應關系,因為商業投入是一個與“產出”相對應的經濟學概念,經濟上的“產出”主要指投入的最終回報,而非與經營過程和經營要素直接相關;另外商業投入具有風險性,除非投入與權利的取得有直接關系,否則并不一定能從所涉及的經營環節中獲取具體利益。上文對于數據權的質疑說明了商業投入并沒有導致數據權的產生。至于因商業道德約束的存在而反向認定企業數據利益的正當性的觀點,則存在這種商業道德所對應的實證法規則基礎缺乏的理論缺陷。缺乏這種規則基礎,商業道德就可能被主觀化且有被隨意使用的風險。

上述對于企業數據利益來源的觀點的分析,并不否認企業對于數據享有某種利益,但基于數據的充裕性原理,可以肯定這種利益只是有限的和局部的,它不能被獨占化和排他化,甚至沒有權利的外衣,只能屬于民法上的“法益”范疇。實際上數據的價值并非來源于“額頭流汗”和“投入”,大多數是來源于因為數據具有相當規模而具有的商業利用價值,只有突破一定的流量臨界點,這種價值才有可能迸發出來。有學者注意到數據價值的體現存在一個大數據周期“關系化”的過程,即信息被吸附進數據化體系之后,又被數據處理技術創造轉化出新的“關系化”信息,并提升了信息價值,之后又通過再次數據化后重新產生新的“關系化”信息。這種周期性轉化是數據價值提升的過程,需要數據開放的輔助,且只有能夠提升數據價值的企業才能夠享受財產性的保護和補償。這種觀點實際上不贊成原始數據之上存在某種權利,而強調數據產品的保護的正當性。也有學者通過網絡運作存在的三要素即賬戶、數據和評分建構了現實與虛擬空間的博弈場所,認為國家、平臺和用戶在生產或控制中的相互爭奪,決定了應抑制數字勞動的商品化,并催生出由用戶參與平臺價值分享和治理的必要性。這種主張不僅將用戶的利益體現在與平臺共同分享數據上,更是延伸至與平臺分享整個平臺價值上。這些對于企業數據價值來源的不同理解和界定上的困難,說明在數據具有公共性的前提下,不宜一味通過數據本身的“歸屬”來理解數據的權益和保護,而是應當通過理解企業在自身數據控制環節的真正利益所在,并通過在法律上建立行為導向的數據基礎秩序來獲得規范。企業數據的價值在于企業自身對于數據的利用和數據的交易,前者為企業利用數據的慣常方式,包括企業對于數據的算法統計和精準化營銷等,還包括企業在此基礎上通過數據分析和挖掘生產出數據產品;后者則包括企業就所控制的數據與他人進行交易。企業對于數據的利用和交易的經濟價值并非遵循同一邏輯,對于企業自身利用數據而言,其價值來源于數據這一公共品對于企業本身所具有的商業利益價值。這種價值并不依賴于數據本身的權屬界定,只以獲得數據為必要,并不一定排除他人享有。但在此基礎上生產的數據產品具有有別于原始數據的“產品”特性,可以具有某種“獨占性”。對于通過市場交易獲利而言,其價值來源于“數據鴻溝”的存在和企業對于數據的“現實控制”這兩個條件,沒有“數據鴻溝”的數據實質上是處于公共領域的數據,因多種替代獲得方式的存在而沒有穩定的價值。同樣,如果沒有企業對于數據在收集源頭上的現實控制,“數據鴻溝”也就無法形成,企業也就無法通過為他人提供數據服務而獲利。由于企業對自身數據收集和利用本身并不需要法律確權來實現,只存在排除外界的破壞和干涉的需求,故對企業數據保護的主要任務便是維護企業對數據控制的現有狀態,以維持相對的“數據鴻溝”存在的狀態。如上文所述,對這種狀態的保護仍然無法采用對數據本身的確權等強保護方式來實現,采用“事實控制+交易”的弱保護模式更為合理。具體而言,法律之所以對企業數據進行保護,僅是因為企業目前已合法控制數據的這一事實,這有點類似于物權法上的“占有”保護方式,它不涉及保護對象的權利歸屬,但承認主體對對象控制的合法狀態,這種保護主要是對抗他人未經本人許可而現有控制狀態的干涉和破壞。如果說物權法上的占有保護僅是針對他人對占有秩序的破壞而對物權保護力有不逮的話,那么對于企業數據一經泄露便很難挽回的情形,這種保護便再合適不過。

通過“事實控制+交易”模式來進行保護,這是由數據具有公共性、易于流失和“數據鴻溝”的相對存在決定的,任何對于數據進行權屬認定的方式都會與數據的上述特性相沖突。這種弱保護模式既合理保護了企業對所控制數據的自我利用狀態,也保護了企業利用數據服務和交易獲利的可能性。這一點可以通過法律對于商業秘密的保護來獲致理解。從利益衡量上來分析,傳統的商業秘密保護相較企業數據保護應當具有更強的保護力度,因為商業秘密比數據更具有特定性和直接的商業價值,但法律并沒有為之確權,且采取的也是較弱的基于自我控制的保護規則,基于“舉重以明輕”的法理,對于企業數據采取弱保護模式便有了明確的參照。但企業對于數據事實控制狀態的保護在法律上如何理解和歸類?應當認為,它與物權法上的占有狀態具有類似的一面,但也有很大的不同。主要原因在于,企業的數據可由多方同時控制,而不具有物權法上占有的獨占和排他性,故企業數據的保護不宜完全通過民法上的占有來保護,而應通過公法上的保護性規則來建立數據控制基本秩序,這種秩序體現了數據“游戲”的工具性規則,對于數據秩序中的失范或“犯規”行為有時可以通過侵權損害賠償獲得救濟。但與商業秘密的保護不同,在大多數情況下,數據犯規并不一定涉及侵權后果或不正當競爭后果,而主要通過公法上的行政執法措施來予以懲罰和遏制。

()數據控制理由之三:不正當競爭的規制

將數據紛爭適用不正當競爭規則進行法律處理是目前司法實踐中大量使用的方法,這種方法的好處是,它有效回避了對于數據權屬的認定和討論,也緩解了保護性法律缺位的情形下私法損害賠償不足的缺陷,但它有可能將不屬于不正當競爭法域的糾紛不恰當地納入其中考慮,也存在對于網絡數據不正當競爭的認定欠當的情形。不正當競爭規則對于數據的控制不如個人信息保護和企業數據事實保護來得直接且穩定,它一定程度上處于個案的、散亂的不確定狀態,但它的確是企業維護自己數據控制利益的一種手段。

現有的《反正當競爭法》對于數據行業并沒有多少針對性的規則,只在第12條和第6條有一定的涉及,且集中在網絡應用合法狀態的維護上,幾乎不涉及數據的無序競爭問題?;诖?,司法裁判主要聚焦在《反正當競爭法》第2條的適用上,并通過個案逐漸發展出了一些實際的適用標準,這些標準總體上遵循“道德標準”和“客觀效果”并重的考量方式,對行為的違法性認定有著積極的意義。隨著各類網絡應用平臺的出現和發展,大平臺的優勢地位逐漸確立,早期網絡企業對流量入口的爭奪逐步讓位于對于大平臺既有數據的分享努力上。對于流量入口的不正當競爭行為的判斷相對比較容易,因為流量入口是網絡企業成長和發展的根本,可以將流量入口視為企業的核心利益。但在對于數據的不當利用上,在《反不正當競爭法》第2條的適用上就會出現模糊地帶,以此來觀察目前司法實踐上的“道德標準”和“客觀效果”衡量標準,便會出現如下弊端:

一是對于網絡公開數據的競爭法保護與數據的公共分享產生了較大的沖突。相關案例都無一例外就網絡企業對另一企業所公開數據的分享進行了不正當競爭行為的認定,那么在什么情形下網絡企業之間可以在缺乏協議的前提下利用對方公開的數據呢?美國法院在“Linked InhiQ”案中,基于自由競爭的理由明確一方的公開數據另一方可以正當使用。我國法院局限于衡量訴訟雙方的利益,對此持完全相反的態度,沒有從整個互聯網數據流動的大趨勢和整體利益角度進行判斷。這樣導致的結果就是,任何網絡企業平臺公開的數據原則上都不能為其他平臺所用,這不能不說是一個巨大的浪費。

二是不正當競爭法解決的應是一項市場行為是否嚴重影響了競爭秩序,而非僅僅行為本身具有不當性的問題。當代網絡企業的市場生存依賴于技術、商業模式、勞動力和數據等多種要素,其中數據作為經營要素之一無疑具有重要的地位。但基于數據的公共性,法律不能僅僅因為數據的不當利用而一票否決數據的分享。網絡業態具有波動性和整體性,它們既具有公共虛擬場所的免費社交特性,也有商業運作的交易性特性,前者決定了數據流動和社會再利用的價值,后者則決定了企業的核心競爭力所在。在不同商業模式之間的數據分享有可能會導致數據貢獻方的某些不利,但判斷是否構成競爭失序則需要較高的門檻。

三是過度使用《反不正當競爭法》第2條,有可能混淆不同法律領域的保護規則。比如以是否“損害了消費者的利益、自主選擇權、知情權和隱私權”來認定不正當競爭,就與消費者保護和個人信息保護法律相沖突;又如以違反誠實信用原則和公認的商業道德來認定行為違法性,則又失之過寬,這些行為都可以通過《合同法》《網絡安全法》和未來的“數據安全法”等來規制;再如在對于損害后果的確定上,相關案例對于經營者的競爭利益損失缺乏明確的衡量方法,也無法確定相關“損失”是因競爭利益受損所致,還是因他人對數據的正當分享所致。

上述關于《反不正當競爭法》適用中的問題揭示了互聯網數據分享和控制基本秩序的缺失,在此前提下,司法對于不正當競爭的認定仍應采取謙抑的態度,在個案的利益衡量中,應考察互聯網數據分享和壟斷的規律,將本應屬于為事前防范的數據基本保護規則調整的內容留給立法和公共執法來完成,而將重點轉向互聯網業態下合理競爭秩序的探討和規制上來??傮w而言,不正當競爭規則對于數據控制的要求處于不確定的狀態,故在數據控制體系上不能作為一種穩定的方式存在。

()數據控制理由之四:網絡安全的保護

基于網絡安全而對數據采取保護和控制是國家和社會層面安全保護的基本要求,它屬于公共安全和公共利益維度的強控制領域,當然構成數據控制的合法理由。這種控制與數據分享并不構成任何沖突,并且成為數據分享與流動的保障。在我國《網絡安全法》中,涉及數據本身的控制有如下體現:一是該法第12條規定禁止危害國家和社會安全的非法信息的流通;二是該法第27條規定的任何個人和組織不得從事非法侵入、干擾和竊取網絡系統或數據等內容;三是該法第31條規定的對于關鍵信息基礎設施的特別保護;四是該法第4章以下規定的對于個人信息和商業秘密等內容的保護。其中第一和第四項屬于信息安全保護的范疇,第二和第三項屬于網絡運行安全的范疇。我國目前沒有正式制定頒布個人信息保護法,故該法中的第4章的大部分內容將與未來個人信息保護規范相重疊?!毒W絡安全法》對網絡運行和信息安全的維護是國家安全的重要保障,在判斷不法行為的性質和后果時,應在價值判斷序列中處于優先地位。但該法對于網絡企業數據本身的保護語焉不詳,只在第42條規定:“未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外?!痹摋l似乎確認了企業數據的分享和交易空間。除此之外,該法第3章和第4章規定的網絡運行和信息保護方法也適用于對于企業數據的保護?!毒W絡安全法》第37條還對關鍵信息基礎設施中數據存儲的本地化作出了規定。國家網信辦發布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》對數據的雙層評估進行了強化,并增加了相關部門的執法權限。目前規制數據跨境流動的爭議主要在于,數據跨境對于國家安全的影響以及個人隱私域外保護的風險。數據跨國流動是未來的趨勢,但其能否有效實現則依賴國家間在博弈基礎上的協商合作。

值得注意的是,上述關于數據控制的理由并沒有將知識產權的保護納入其中,其原因在于,對于本身不屬于知識產權保護范圍的數據信息,采用知識產權保護方法,如上文分析存在較大困難,很難構成數據規制的理由。


四、“分享和控制”理論結構下的數據立法


在對數據私法保護的局限進行分析,且基于公共性原理對數據法律思路轉換進行探討之后,數據立法的基本邏輯和結構大致上便逐步清晰起來,即數據立法是介于數據分享和控制之間的公共規則體系,這種體系受制于數據分享和控制之間的天然張力。隨著互聯網的應用和業態的發展,分享的潛能將進一步被挖掘出來,而控制的理由在法律上則更趨嚴格,其實現則依賴理論判斷的明晰和技術設計上的實用。

()分享和控制理論結構下數據系統操作規則的基礎價值

以數據的“分享和控制”作為數據的理論和立法結構,有效避免了將數據的法律理論置于一個相互割裂甚至矛盾的狀況之中。另外,從私法入手對數據進行定性的思路受到了現實中數據主要是受公法規范這一事實的困擾,在數據領域中現有私法理論和現實立法體系很少取得一致,我們目前沒有觀察到任何數據“權利”在私法上被類型化,并有可能被納入私法既有體系進行系統規制的跡象。即使在強調個人信息自決權的歐盟立法中,否定數據權利化的主張仍占主流觀點。數據“權利化”的主張似乎更多地只是為了揭示公法保護背后的私人法益,而這種私人法益又總是與公共秩序相關。

將分享作為數據法律的基礎價值,并輔以充分理由下的控制規則,就可以建立數據流動和限制的理論模式。這種理論模式可以有效解決目前數據理論面臨的基本矛盾問題:一是私法研究進路中存在的數據成為多個“權利”的共同對象的理論困境,基于數據公共性和分享特性,我們若將上述所謂的“權利”理解為控制數據流動的理由,就可以使上述理論上的沖突得以消除。二是上述理論模式可以如實地反映當代數據法律中公益和私益的高度融合的現實。私主體在分享前提下享有的數據利益永遠只是局部的和暫時的,且其利益保護離不開公共利益面向,從個人信息保護至企業數據保護都服從這一邏輯,這種利益只能通過數據基礎秩序的建立來得以彰顯,故從公法的控制角度就可以理解個人利益是如何通過控制得以呈現和釋放。三是上述模式將數據置于公共品地位,就使數據法律理論從對數據的客體定性上解放出來,而專注于設計數據在計算機和互聯網系統下的“導流圖”。實際上對于數據屬于何種權利客體這一問題的探討,目前并不能對解決數據問題有實質幫助,我們可以為數據的某種特性“著色”, 但其結果最終會回歸到回答如何平衡數據分享和控制這一根本問題上來。

在分享前提下建立數據控制體系,因缺乏數據權利這一前提,數據法益的保護實際上主要依賴于主體之間在網絡空間中數據操作規則秩序的建立,故數據工具系統上的操作規則在解決現有大多數數據糾紛中具有核心意義。這種論斷似乎浪費了學者在精深的權利理論方面的大量努力,但卻更切合實際,其原因如下:一是數據問題雖然是信息問題在互聯網數字系統上的延伸,但問題在于,現今我們面臨的數據信息問題在非數字化領域并不一定存在,故在理論上應避免將數據問題擴大到所有的信息領域,而應將上述數據問題局限在互聯網系統中。既然數據問題僅由互聯網工具系統引發,則解決之道也應存在于數據工具系統中。二是數據工具系統的網絡化使信息的生成、分享和控制過于直接和高效,這種特殊形態決定了傳統社會的信息控制之道無法適用于網絡環境,故在特定的數字化環境下,用戶或企業通過技術手段自我控制數據是建立基礎數據秩序的基本選擇,在此基礎上通過數據訪問和操作規則來評判當事人的行為正當與否就具備了基礎法律依據。三是現有的GDPR雖然以個人“信息自決”作為理論依據,但整部條例體現的無非是關于用戶、平臺和第三人在互聯網環境下對于個人數據的操作規則的集合,并無明確的、抽象的權利規則存在。同樣司法機關之所以對于目前企業數據權諸多案例的解決感到困難,從數據訪問規則角度分析,原因主要出現在平臺對于數據自我控制存在疏漏或不足。數據利益在網絡中來源于自我控制,在數據公開或控制不足的情形下當事人以抽象的權利或利益受損向行為人提出請求,一定程度上缺乏充足和直接的法律依據。在美國司法實踐中,對于數據糾紛的解決一直沒有涉及數據權屬的問題,而是通過《1986年計算機欺詐與濫用法》(CFAA)來對行為的性質進行認定,并且通過系列案例對于平臺的數據控制標準提出了越來越高的法律要求。德國學者也將數據實際控制和訪問規則作為數據糾紛解決之主要依據:“通過技術保護措施也可以排除未經授權的第三方數據訪問。換句話說,對數據的實際控制,使公司能夠簽訂關于數據訪問的合同。對數據的實際控制與合同法相結合,為數據市場的發展奠定了堅實的基礎?!币嗉磳崿F數據自由流通的不是所有權規則,而是對數據訪問規則的設計。

()數據控制和救濟的立法邏輯

數據分享的途徑不在于創造,而在于挖掘和釋放。但數據控制則如上文所述,應具有嚴格和必要的理由,并保持立法上的謙抑態度。在此基礎上,通過理由的分列甚至重疊,就可以形成數據控制的立法體系?;跀祿墓财访嫦?,法律出于不同的理由對于數據進行控制,由此形成了數據控制法律體系。因此數據的控制和保護主要體現在公法層面上,私法一般很少直接涉及,除非信息本身屬于傳統私法保護的范疇(比如隱私和知識產權)。這種公法體系主要體現為強管制的法律,如《網絡安全法》《個人信息保護法》《刑法》第285條以及正在制訂中的“數據安全法”;也有管制相對較弱的法律,比如《電子商務法》和《反不正當競爭法》;還有技術配套的法律,如《電子簽名法》等。這些法律均體現出保護性的特點,它們既服務于數據技術體系的安全,也關注信息本身的安全,但兩者并不完全重合。在上述數據保護法律體系中,應當澄清兩個理論問題:一是法律基于不同理由對于數據進行保護的體系中,存在規范的重疊現象,對此應如何理解;二是“數據安全法”在上述體系中,應如何定位,如何處理與相關法律的關系。

法律保護的重復或重疊現象,典型地體現在個人信息保護上?!毒W絡安全法》在第四章“網絡信息安全”部分,從第40條到第45條對于個人信息保護進行了具體規定;《電子商務法》第23、25條也涉及個人信息的保護,我國正在制訂中的《個人信息保護法》將專門規定個人信息保護問題,未來的“數據安全法”也會有系統的個人信息保護內容。另外,網絡運行安全的問題在《網絡安全法》《個人信息保護法》《電子商務法》《反不正當競爭法》中都有規定,在未來的“數據安全法”中也將成為主要內容之一。對于這種法律規定內容的重復,不能理解為是應當避免或消除的現象,這一點與私法教義學上的科學規范體系的要求不同。在數據控制理由體系中,各種功能和目的是可以同時存在甚至疊加的,控制的理由之間并不存在完全沖突的現象,只會相互強化。如果立法者成功地在私法上完成了數據賦權,則不會存在上述現象,因為私法上的賦權將為數據圈定特定的私法領域,而不能容納過多公法上的指涉。正是因為數據無法在私法上被完全權利化,故對于數據的保護只能基于各種理由進行公法控制,這種控制體系中的各種理由會在特定的立法目的下會被同時涉及,但不同的法律規制的側重點會有不同。比如在個人信息保護上,《網絡安全法》重在系統運行安全的保障上,《電子商務法》則立足于消費者權益保護,“數據安全法”兼顧數據防護和個人信息脫敏化處理,《個人信息保護法》重點防止信息被濫用和泄露等。對于網絡運行安全同樣如此,它被體現在不同的數據保護場合,比如個人信息和企業數據運行安全的防護上。

2018年被列入立法計劃的“數據安全法”目前正式進入立法討論階段。這部法律與《網絡安全法》和《個人信息保護法》的關系如何,以及如何定位“數據安全法”無疑會成為首要問題。關于數據運行安全,《國家安全法》第25條和《網絡安全法》第76條都在運行安全上做了原則規定,前者強調保護網絡和信息核心技術、關鍵基礎設施和重要領域信息系統的安全,后者強調保障網絡技術系統免受攻擊和可靠運行,并保障網絡數據的完整性、保密性和可用性。而《個人信息保護法》則重在保護個人信息內容,對此《網絡安全法》也有較多涉及。在此情形下,“數據安全法”的立法目的和重點內容如何確定?從數據多層次控制體系出發,“數據安全法”同樣涉及到數據運行安全和數據內容保護,但側重點會有所不同:其一,“數據安全法”在數據運行安全上主要保護企業數據的安全,而非國家機構以及關鍵基礎設施的數據安全,后者都被統攝于《國家安全法》和《網絡安全法》,由專門法律和制度規制。在此基礎上,“數據安全法”保護的數據主要針對企業收集和運營的商業數據,并不重點關注國家戰略安全意義上的“重要數據”。另外,“數據安全法”所稱“數據”應為電子數據,電子系統以外的其他國家數據應適用傳統保密法等相關法律保護。其二,“數據安全法”對于信息內容的保護應在沿襲個人信息保護的整體制度之上,側重企業數據利益的保護,亦即“數據安全法”主要保護企業數據不被他人侵擾、竊取、破壞和非法利用等。它處理的主要是企業與其他企業、個人之間的關系,主要保護企業對于數據的正當商業利益,同時也兼顧企業對外分享數據時保證數據的完整性和可用性,以此間接保護企業在數據交易或互享方面的利益。其三,“數據安全法”的立法目的具有保護數據控制者法益的面向,它補充了《網絡安全法》和《個人信息保護法》對于企業數據利益考慮和保護的不足,主要解決企業數據控制利益的維護問題。在此基礎上,該法也將采用《網絡安全法》和《個人信息保護法》中關于數據運行和個人信息安全的一些制度和方法,是對上述兩部法律法在數據運行和內容安全保護領域的細化和延伸,故在相關法律立法目的大體一致的基礎上,“數據安全法”也具有自身獨立的地位。

“數據安全法”基于其保護性法律的公法地位,主要目的在于建立網絡企業間的數據控制基本秩序,它不涉及數據確權。在企業數據的保護上該法將提供系統的規則,但在救濟上是否仍舊需要獨立的私法規則支持?依據上文的分析,數據確權在理論上很難推行,人類對于信息的權利化目前也只停留在知識產權和隱私等人格權上,即便如此,法律對上述應當特別保護的信息,也未能在信息本身的確權上做出努力,而是通過可以操作的利益劃分和行為模式來予以適當的保護。如知識產權主要著重于知識產品的商業流通利益部分,隱私權則著重于隱私信息不被非法泄露和公開的防御等,從保護等級和力度上,企業數據的保護應當弱于知識產權這種較強保護方式,體現為一種弱保護模式,如上文所述,它應弱于商業秘密這種特定信息的保護。其原因在于,數據可被知曉或分享的門檻較低,采取強保護措施無異于阻止數據的流動,阿羅的信息悖論(Arrow information paradox)較好地闡明了這一點。在此基礎上,對于企業數據的保護更適合通過非法行為的負面清單列舉的方式,在“數據安全法”中對不法行為予以阻卻和預防。企業數據利益因此體現為一種基于事實控制的利益,它沒有以權利為基礎的私法規范控制,企業對數據的事實控制本身構成了法律上一個完整的、相對明確的利益判斷。在法律救濟上,針對他人對企業數據的侵害,受害方主要是基于“數據安全法”中保護性條文的違反,請求對方停止侵害。如果同時要求對方賠償自身相關損失,則應適用純粹經濟損失法則,通過侵權法一般條款獲得救濟。當然在此過程中,行政執法甚至刑事責任的追究是較民事救濟更為有效的遏制非法行為的方式。




版權所有:法治政府研究院北京市海淀區西土城路25號郵編:100088

站長統計 聯系我們

国产亚洲精品一二区