程嘯：論大數據時(shí)代的個(gè)人數據權利 [ 導語(yǔ) ] 在大數據時(shí)代的背景下，合理界定個(gè)人數據上的權利，對于協(xié)調自然人民事權益的保護與促進(jìn)數據產(chǎn)業(yè)的發(fā)展，至關(guān)重要。無(wú)論是立法者還是研究者，在討論個(gè)人數據權利配置時(shí)，都應當注意協(xié)調多方的利益關(guān)系。清華大學(xué)法學(xué)院程嘯教授在《論大數據時(shí)代的個(gè)人數據權利》一文中，以自然人的民事權利保護與數據企業(yè)的數據活動(dòng)自有關(guān)系的協(xié)調為思路，對大數據時(shí)代個(gè)人數據的權利問(wèn)題進(jìn)行了深入研究。 一、數據與民事權利的客體 數據既不是物（動(dòng)產(chǎn)和不動(dòng)產(chǎn)），也非智力成果或權利。作為信息網(wǎng)絡(luò )科技發(fā)展的產(chǎn)物，數據表現為存在于計算機及網(wǎng)絡(luò )上流通的在二進(jìn)制的基礎上由0和1組合的比特形式，無(wú)法脫離載體而存在，數據的交易也必須依附于平臺、代碼、服務(wù)協(xié)議、交易合同這些技術(shù)和法律關(guān)系的整體性交易過(guò)程，不可能獨立完成。作為無(wú)形物的數據，不可能被某一特定主體獨占，具有非獨占性或共享性的特點(diǎn)。數據的上述獨特之處使理論界產(chǎn)生了一種否認其作為民事權利客體的觀(guān)點(diǎn)。這種觀(guān)點(diǎn)認為，數據具有無(wú)形性，且其本身不具有獨立的經(jīng)濟價(jià)值，數據的保護問(wèn)題應當交由技術(shù)手段而非法律手段解決。 本文不贊同上述觀(guān)點(diǎn)。一方面，信息是數據的內容，數據是信息的形式，在大數據時(shí)代，無(wú)法將數據與信息加以分離而抽象地討論數據上的權利。另一方面，作為無(wú)形物的數據，當然受到代碼或技術(shù)規則的控制，需要通過(guò)技術(shù)手段防止他人的竊取。然而，數據的此種特性并不意味著(zhù)人們無(wú)法將之作為民事權利的客體而加以支配和控制。由此，為了既能保護個(gè)人的民事權益，又可以促進(jìn)數據的流動(dòng)與利用，從而實(shí)現社會(huì )福利的*大化，數據應當作為民事權利的客體。 綜上所述，盡管數據是隨著(zhù)科技社會(huì )的發(fā)展而產(chǎn)生的一種新的客體，具有無(wú)形性和非獨占性等獨特的特征，但是數據依然具有民事權利客體所要求的獨立性與財產(chǎn)性，是現代民法中一類(lèi)新型的民事權利客體。 二、個(gè)人數據的界定 歸納起來(lái)，大數據時(shí)代的數據來(lái)源有以下四類(lèi)：一是傳統信息系統產(chǎn)生的數據，如商務(wù)過(guò)程的數據；二是環(huán)境狀態(tài)的數據，即由傳感器產(chǎn)生的數據；三是社會(huì )行為的數據，即人類(lèi)在社交媒體上進(jìn)行交際而產(chǎn)生的數據；四是物理式實(shí)體數據，即數字化制造，如3D打印而產(chǎn)生的數據。 對于大數據時(shí)代的數據，無(wú)論其來(lái)源如何，都可被分為兩類(lèi)：個(gè)人數據與非個(gè)人數據。數據的“可識別性”(identifiable)是區分個(gè)人數據與非個(gè)人數據的關(guān)鍵標準。由于個(gè)人數據可以識別出特定自然人，因此對個(gè)人數據的收集、存儲、分析和使用不可避免地會(huì )對特定自然人產(chǎn)生影響。如果法律上對此不予規范的話(huà)，很容易出現有人利用個(gè)人數據侵害自然人隱私權等人格權益以及財產(chǎn)權的惡果。 至于那些無(wú)法識別出特定自然人的數據即非個(gè)人數據，因不涉及自然人權益的保護，故此法律上沒(méi)有必要給予過(guò)多限制。需要注意的是，個(gè)人數據的匿名化只是相對的，在可獲得的數據來(lái)源越來(lái)越豐富以及算法越來(lái)越強大的大數據時(shí)代，無(wú)法識別出個(gè)人的數據也存在重新具有可識別特定個(gè)人的可能。故此，法律上對于數據的匿名化也有相應的要求，只有經(jīng)過(guò)無(wú)法再識別的匿名化處理的個(gè)人數據才能認定為非個(gè)人數據。我國《網(wǎng)絡(luò )安全法》第42條第1款第2句也對數據的匿名化提出了相應的要求，即匿名處理的數據不僅應當“無(wú)法識別特定個(gè)人”，而且是“不能復原”的。 三、個(gè)人數據上自然人的民事權利 (一)賦予自然人對個(gè)人數據民事權利的意義 為了應對大數據時(shí)代引發(fā)的諸多問(wèn)題，尤其是考慮到個(gè)人數據具有人格自由和人格尊嚴價(jià)值、商業(yè)價(jià)值和公共管理等多重價(jià)值，故此，要建構一套切實(shí)有效的個(gè)人數據的規范和治理體系，不僅要考慮行政規制，也要考慮民事法律上對自然人予以賦權，多管齊下，做出合理的制度安排，從而實(shí)現自然人權益保護、數據或信息業(yè)者以及國家三方利益的平衡。 基于我國的歷史和社會(huì )現實(shí)，應當將賦予自然人對個(gè)人數據以民事權利的正當性或意義建立在維護人格尊嚴和人格自由的基礎上，更具有說(shuō)服力，而這也是我國法學(xué)界的主流觀(guān)點(diǎn)。 此外，賦予自然人對個(gè)人數據以民事權利，還具有充分調動(dòng)廣大自然人保護個(gè)人數據積極性的作用，從而將個(gè)人數據的保護落到實(shí)處。 (二)自然人的個(gè)人數據權利的內容 法律上之所以規定某種民事權利，目的就是要保護權利人的某種利益，滿(mǎn)足其需求。民事權利的內容不同，所保護的利益的不同，從而使得各項權利之間得以區隔。法律上承認自然人對個(gè)人數據的民事權利之后，應明確該權利的內容并將其與既有的民事權利相區分，從而確立相應的保護方法。 首先，我國現行法上已經(jīng)明確承認了隱私權(《侵權責任法》第2條第2款)，因此，作為與隱私權相并列的一類(lèi)獨立的民事權利，自然人的個(gè)人數據權利應當具有獨特的保護對象而不應當包括作為隱私權保護對象的隱私利益，否則完全可以通過(guò)擴張隱私權保護個(gè)人數據，沒(méi)有必要疊床架屋地提出所謂自然人對個(gè)人數據的權利。 其次，自然人的個(gè)人數據權利保護的利益還應當是確定的利益。易言之，自然人對個(gè)人數據的利益必須是具有一定程度的社會(huì )可識別性的，這就意味著(zhù)該利益是穩定的、持續的，值得信賴(lài)的，至少社會(huì )大眾的觀(guān)念出發(fā)是認可該利益的存在。依據這一標準，那種認為自然人的個(gè)人數據權利旨在保護的是自然人對個(gè)人數據的財產(chǎn)利益，如通過(guò)協(xié)商議價(jià)而將個(gè)人數據作為財產(chǎn)予以轉讓的觀(guān)點(diǎn)，令人難以茍同。 一方面，大數據時(shí)代中單個(gè)自然人的個(gè)人數據本身并無(wú)價(jià)值，真正蘊涵巨大經(jīng)濟價(jià)值的是政府以及數據從業(yè)者即數據企業(yè)所收集和儲存的海量的個(gè)人數據。另一方面，現代社會(huì )生活中人們每天以各種方式讓他人收集和存儲自己的個(gè)人數據。無(wú)論是自然人還是收集數據的人，都不可能一一協(xié)商定價(jià)來(lái)進(jìn)行個(gè)人數據的交易。就個(gè)人享受數據企業(yè)提供的數據產(chǎn)品和服務(wù)而言，雖然數據企業(yè)依法應取得被收集個(gè)人數據的自然人的同意，但作為消費者的自然人并沒(méi)有協(xié)商的空間和議價(jià)的能力。這就導致了自然人在個(gè)人數據的所謂經(jīng)濟利益根本就沒(méi)有談判議價(jià)的可能性。相反，如果法律上要承認自然人對個(gè)人數據享有受到保護的經(jīng)濟利益，反而會(huì )使得一些人濫用該權利來(lái)阻礙數據技術(shù)和數據產(chǎn)業(yè)的發(fā)展，*終損害社會(huì )的整體福利。 在大數據時(shí)代，法律上賦予自然人對個(gè)人數據的權利，該權利本身的內容既非自然人對個(gè)人數據的隱私利益，也非從個(gè)人數據交易獲得的經(jīng)濟利益，而是保護自然人對其個(gè)人數據被他人收集、存儲、轉讓和使用的過(guò)程中的自主決定的利益，此種利益具體表現為以下三項： 其一，知悉個(gè)人數據被收集、被基于何種目的而加以收集以及使用的目的、方式、范圍并基于此加以同意的利益； 其二，知悉個(gè)人數據被轉讓并在未經(jīng)同意拒絕轉讓的利益； 其三，查詢(xún)個(gè)人數據并在個(gè)人數據出現錯誤或遺漏、缺失時(shí)有權要求刪除、更正或補充的利益。對上述三項利益，我國現行法律均有明確的規定。因此，自然人對個(gè)人數據的自主利益本質(zhì)上是防御性或消極性的利益，而非積極性的人格利益或財產(chǎn)利益。 (三)自然人的個(gè)人數據權利的民法保護 自然人的個(gè)人數據權利具有以下效力： 首先，要求停止侵害的效力，即自然人有權決定是否同意他人收集、存儲或轉讓個(gè)人數據，在他人未經(jīng)同意而收集個(gè)人數據時(shí)有權要求停止侵害。 其次，查詢(xún)與更正的效力，即自然人有權查詢(xún)自己的個(gè)人數據并在該數據不完整或不正確的時(shí)候要求更正。 *后，在侵害自然人的個(gè)人數據權進(jìn)而導致自然人其他的民事權益被侵害時(shí)，被侵權人有權要求侵權人承擔損害賠償責任。 四、數據企業(yè)對個(gè)人數據的權利 (一)數據企業(yè)對個(gè)人數據權利的正當性基礎 數據企業(yè)對合法收集的個(gè)人數據享有應當受到法律保護的權利，并且該權利既不依賴(lài)于被收集者的*，也不依賴(lài)于其他在先權利或許可，而是基于以下原因原始取得的權利： 首先，就個(gè)人數據而言，數據企業(yè)依據法律規定，在公開(kāi)收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意收集個(gè)人數據的行為是合法的事實(shí)行為。該行為不具有違法性，免除了數據企業(yè)侵害被收集者既有權利(如隱私權)的侵權責任和其他法律責任。 其次，數據企業(yè)本身收集、存儲個(gè)人數據的行為需要付出相應的成本，而且他們向被合法收集個(gè)人數據的被收集者支付了合理的對價(jià)，符合公平原則，理應產(chǎn)生相應的民事權利。 (二)數據企業(yè)數據權利的內容與民法保護 我國《民法總則》第127條規定:“法律對數據、網(wǎng)絡(luò )虛擬財產(chǎn)的保護有規定的，依照其規定?！憋@然，立法者在緊接著(zhù)人格權、物權、債權和知識產(chǎn)權之后規定，對數據的保護，實(shí)際上等于認同了數據的權利是一種新型的財產(chǎn)權利。但是，這種權利的性質(zhì)如何，立法者卻沒(méi)有明確。目前司法實(shí)踐中，就他人侵害數據企業(yè)數據權利的侵權案件，則是通過(guò)《反不正當競爭法》加以保護，即將侵害數據企業(yè)數據的行為認定為不正當競爭行為。 實(shí)際上，通過(guò)《反不正當競爭法》保護數據企業(yè)對數據的權利，實(shí)際上等于將數據企業(yè)的數據權利降格為一種受法律保護的純粹經(jīng)濟利益，只能在其遭受特定方式侵害的時(shí)候獲得救濟，其保護的強度和密度顯然不足。 我國法上應當明確規定數據企業(yè)的數據權利，即數據企業(yè)對合法收集的包括個(gè)人數據在內的全部數據享有支配的權利，性質(zhì)上屬于獨立于人格權、物權、債權、知識產(chǎn)權的新型財產(chǎn)權。具體來(lái)說(shuō)，數據企業(yè)數據權利的內容及其保護方法包括如下幾項： 其一，數據企業(yè)在得到自然人同意的情形下，有權收集個(gè)人數據并進(jìn)行存儲(占有)。至于非個(gè)人數據，則數據企業(yè)有權依據法律規定的方式進(jìn)行收集和存儲。 其二，數據企業(yè)在得到自然人的同意的前提下，可以按照法律規定及與自然人約定的目的、范圍和方式進(jìn)行分析利用個(gè)人數據。而在個(gè)人數據進(jìn)行符合法律規定的匿名化處理后，無(wú)須得到自然人的同意即可在不違反法律和行政法規強制性規定的前提下進(jìn)行使用。 其三，數據企業(yè)有權處分其合法收集的數據，如轉讓給其他的民事主體或*其他民事主體進(jìn)行使用。但是，對于個(gè)人數據則必須得到自然人的同意，才能進(jìn)行處分。 其四，數據企業(yè)的數據權利在遭受他人侵害時(shí)有權要求侵權人承擔侵權責任。 在大數據時(shí)代的背景下，合理界定個(gè)人數據上的權利，對于協(xié)調自然人民事權益的保護與促進(jìn)數據產(chǎn)業(yè)的發(fā)展，至關(guān)重要。無(wú)論是立法者還是研究者，在討論個(gè)人數據權利配置時(shí)，都應當注意協(xié)調多方的利益關(guān)系。既不能僅僅為了保護自然人的權益，無(wú)限度地擴張自然人對個(gè)人數據的權利邊界，從而妨害數據的流動(dòng)、分享與利用；也不能無(wú)視數據企業(yè)對其付出成本而合法地收集、存儲和利用個(gè)人數據的權利。 【作者簡(jiǎn)介】程嘯，中國民商法律網(wǎng)*學(xué)者，清華大學(xué)法學(xué)院教授、博士生導師。