梅夏英 对外经济贸易大学法学院

当代互联网科技和平台应用的快速发展,产生了许多前所未有的现实法律问题,对传统法律理论和立法体系提出了严峻的挑战,信息或数据的法律规制问题因此成为近年来法学界关注的重要领域。

有关数据法律问题的探讨,近年来法学界主要是在依循和回应现实问题的基础上,开辟了个人信息保护、虚拟财产、大数据交易和数据安全等问题领域,并取得了积极的理论进步和现实效果。但值得关注的是,法学界对上述问题的探讨存在着明显的路径依赖现象,即采用传统私法的权利理论以及建立于其上的公法干预原理来对数据问题进行理论展开,这种理论上的路径依赖某种程度上决定了上述数据问题板块的形成。但随着现实网络数据分享和应用的进一步复杂化和理论探讨的逐渐深入,法学界在传统法律尤其是私法理论背景下解释和发展数据法律现象和规则,会呈现出一定程度的理论上的不适应和应对迟缓的状态。

目前就数据现象所做的理论研究存在着离散化和碎片化的特征,对同一研究对象“数据”在不同的问题场域所作的界定和理论判断,存在着相互矛盾和不能通约的状况,无法形成一个稳固和统一的理论基础。例如,将数据同时作为“人格要素”和“财产”的理论解释问题,数据的公开分享性和权利化的矛盾问题,以及数据的“工具性”特征与信息本体的关系等问题,一直都困扰着理论界,而这些问题在传统的理论框架下很难有效地贯通和得到澄清。

这种状况要求法学理论界在“数据”的研究上不应囿于传统法学理论,而应当将数据作为一种全新的法律现象,尝试在理论上如实把握数据的特性和现实流动规律,建立数据法律自身的基础理论判断和分析模式,并以此作为具体数据法律关系的理论解释和规则构建的基础。这种理论努力无疑是困难且富有挑战性的。本文拟在检视现有数据理论观点局限性的基础上,关注数据的公共性原理及其对传统思维模式转换的客观要求,进而探讨如何建立关于数据分享和控制的理论框架,并尝试对数据的立法和救济提出理论建议,希望对现今的数据法研究有所助益。

一、目前私法对于数据权益界定的理论尝试及其局限性

在探讨数据法律问题之前,有必要先确定本文所用“数据”概念的内涵。数据概念可以在多个意义上使用,且与信息概念有一定区别。[1]数据具有工具性,它作为生成和传输信息的数字编码技术,体现为以二进制为基础的比特或比特流,进而可以通过应用代码显示为信息。数据与信息的关系大致类似于传统媒介中的介质和信息内容的关系,介质服从物理学上的技术规律,而信息本体则服从社会传播学规律。但在互联网技术条件下,介质和信息的关系又出现了前所未有的变化,以比特为单位的数据作为信息的外在表现元素和基本度量单位,使数据与信息之间的对应和转换变得即时和直接,它们依赖于一个更大的、全球互联的网络介质系统,数据作为介质的一部分与信息取得了直接的联系。[2]在这个意义上,基于数字化技术的普及,现有各种正式文件中将数据与信息不加区分地使用,符合绝大多数场合的实际情形。但数据和信息的基本区别仍然存在,并在不同的场合显示出来,一旦现实问题涉及到数据的工具层面,数据问题就有可能与信息问题本身区分开来,而适用工具本身的规制方式,比如虚拟财产和数据运行安全问题即属此列。本文中所使用的“数据”概念是基于其与信息在内容上的一致性角度使用的,基本上与信息概念互换使用。

目前各国对于数据问题的理论探讨,总是从个人与数据的关系开始的,对此欧盟和英美法国家均不例外。[3]中国目前在数据法律方面不大可能直接从其他国家获得既定的、成熟的借鉴,这样就使理论上的各种尝试变得可能了。目前,从私法上界定数据及其上的权益,主要是沿着个人信息保护、个人虚拟财产、平台数据保护和大数据交易这一理论链条展开的,其核心在于数据的确权问题。在数据权问题的探讨上,现有的理论观点五花八门,只要形式上可能,同样的数据在理论上就有可能同时成为隐私、知识产权或财产权的对象。[4]关于数据权的相关理论观点,理论界主要在个人信息和企业数据两个相互区分的领域分别展开,以下试分述之。

(一)个人信息的权属界定理论观点及其评价

关于个人信息法律属性的理论观点,有学者统计有八种之多。[5]但归纳起来不外三类,即人格利益说(包括隐私权说和具体人格利益说)、个人信息权说和人格兼财产权说。兹予以介绍与评价。

1.人格利益说

人格利益说分为隐私权说和具体人格利益说。先看隐私权说。该说之所以将个人信息作为隐私看待,主要是基于早期通过保护个人信息来保护个人隐私的初衷。早期各国对电子数据保护的立法如美国1974年的《隐私权法》、欧盟1981年的《个人数据自动化处理保护公约》和1995年的《欧盟数据保护指令》,都是为防止个人隐私被非法公开和泄露而制定的。美国立法一直对于个人数据的保护使用“隐私”的概念:从1999年到2002年,提交两院的个人数据立法草案中,绝大多数都在草案名称中出现“隐私”概念。但即便如此,将个人信息作为隐私来保护的观点在我国已鲜有学者支持。其原因在于,当代个人信息保护的范围已大大超过了传统隐私的范围,且个人对于信息的控制并不能排斥企业的合理使用,这与传统隐私的法理有较大差别。美国使用的隐私概念较为宽泛,它并不附属于类型化的人格权体系,故在概念内涵上与大陆法系国家有着重要区别。在最近生效的《欧盟一般数据保护条例》(以下简称“GDPR”)序言的中文译本目录中,已没有任何“隐私”的用语出现。

再看具体人格利益说,该说将个人信息作为人格权体系下的一项新型人格法益予以认定。我国《民法总则》第111条规定了对于个人信息的保护,但没有明确表述为“个人信息权”,由此产生了个人信息是“民事权利”还是“民事法益”的不同理解。关于人格利益是“权利”还是“法益”,属于理论上对于人格权的理解和立法选择问题,但问题并不在此,而是在于个人信息是否能够成为现有人格要素之外的新型人格要素存在。尽管这种观点几乎已成主流观点,将个人信息作为独立人格利益仍然存在两个重要的理论障碍:一是个人信息与隐私无法区分。在现有的法律中,个人信息无疑包括隐私,且保护公民隐私是个人信息保护立法的重点目标,但个人信息的范围远远大于隐私,若将个人信息笼统称为独立的人格利益,那么如何处理与隐私的关系便成为难题。二是个人信息的范围过于宽泛,难以都认定为人格利益。如目前立法都通行以“可识别性”作为个人信息的范围,这就有可能引发一个问题,即由于当代数字处理技术中“个人画像”的出现,通过间接个人信息的分析来识别个人身份的机率大大增加,那么是否这些间接信息都属于个人信息,从而属于人格利益呢?如果通过一个未知的人某种行为的时间、地点和活动场景等能推断出其真实身份,是否这些时间、地点和场景等就成为法律保护的个人信息呢?上述两个理论障碍决定了个人信息被作为独立人格利益来认定的理由并不充分。

2.个人信息权说

个人信息权说目前在理论主张上存在两种不同理解:一种理解方式将个人信息作为人格权的一种类型,且明确主张应予权利化;[6]另一种理解方式是认为个人信息权并不完全属于人格权,而是一种新型的民事权利,以法律赋予的个人对于数据的控制权为核心内容。[7]对于第一种理解方式,其面临的理论难题与“具体人格利益”主张一样,且将个人信息人格权化并不能消除上述两种障碍,在此不重复论述。值得注意的是第二种理解方式,这种理解在我国并没有学者系统提出,不过可以从以下的转变趋势中解读出来:西方国家对个人信息进行保护的方式从隐私保护逐渐演进到了个人信息自决权保护。如美国学者(Alan Westin)认为,隐私必须被重新界定为“个人、群体或机构对自身信息在何时、何地以及在什么程度与他人沟通的主张”, [8]倡导个人对自身信息控制的独立意义。德国理论界认为通过“小普查案”和“人口普查案”等案例,德国已经确立了个人信息自决权。[9]以此来解释GDPR也应顺理成章。这种以个人自决为核心的个人信息权脱胎于隐私保护,强调个人对自身信息的控制,似乎具有独立的意义。值得注意的是,这种以信息支配为核心的“权利(束)”既不能完全以隐私保护来解释,也保留了财产化的可能,近年来国外学者倡导的个人信息财产性理论同样是建立在个人的信息控制基础上,如英国剑桥大学乔舒亚·费尔菲尔德教授近年就倡导对个人数据的控制从财产权角度予以保护。[10]

认为基于个人信息自决而形成的个人信息控制行为能成为私法上的个人信息权,在理论上有如下缺陷:一是这种个人信息权并不周延。从西方个人信息自决权提出的社会背景和立法轨迹可以得知,个人信息保护或自决权乃电子计算技术出现并广泛应用后的产物,它仅适用于电子网络环境下的个人信息控制,并不适用于日常生活和传统媒体的信息控制。这种不周延决定了个人信息自决与人格的保护并无必然或天然的联系,也不能成为一种普遍适用的权利。二是若将个人信息权作为一项私法上的权利来理解,则它应具有一定的绝对性和对第三人的效力。但是我们从个人信息保护规则体系中并不能找到相关规则,使个人对信息的控制能排除他人合理的使用、分享和流通。个人信息自决权似乎更多地倾向于服务一种特定的立法目的,即有效地阻止个人信息被非法滥用,而非使信息为个人所独占。如GDPR第1条第2款明确规定:“本条例保护自然人的基本权利和自由,特别是保护自然人享有的个人数据保护的权利。”即表明个人享有的并非独立的私权,而仅仅是获得个人数据保护的权利。三是个人信息权观点(包括具体人格权观点)不能解释的是,为何这一具体人格权或独立私权在私法上缺乏有效的救济途径。在大多数情况下,对于企业或第三人非法使用或交易个人信息的行为,除非其涉及到隐私,否则在因果关系的认定和赔偿的确定上都存在很大的困难,难以救济。GDPR主要是通过高额罚款来预防和阻吓,并没有涉及任何私法救济方式。[11]

除此之外,德国学者温弗里德·弗埃尔认为个人信息自决权是一种类似乌托邦的幻想。因为从法律的角度来看,信息自决受到了过多的法律限制(如GDPR中存在30多种基于公共利益的限制以及非经同意收集的情形),不宜将其确定为一般原则;从现实层面来看,信息自决忽视了个人大量信息已经由他人分享的现实,尤其是那些进入公共领域的个人,他们早已对自己的形象和外表等信息失去了控制。就自决本身而言,“受限于信息获取等因素,个人常常会在无知的状态下做出决定”。[12]上述事实导致数据保护和通讯自由之间存在着一种特殊的紧张关系,因为在私主体之间,不需要设置如此高的默认禁止的预防措施,私主体之间自主分享信息本来就是一项基本权利。总体而言,个人信息自决权明显有些理想化了,它将网络上的局部信息控制无限地扩大到个人对自身信息的全面控制,甚至提升到基本权利的地步,形成了凌驾于诸如通讯自由等基本权利之上的“超级基本权利”。

3.人格权兼财产权说

此说目前也具有一定的代表性,也有持此观点的学者不将人格和财产加以区分,而统一内含于个人信息权。其实这种观点与上述个人信息权观点的第二种理解也有类似之处,只是在解读和定性上增加了财产权的内容。此说主张个人对其个人信息享有两种权利,即防御性的人格权和支配性的财产权,以此实现如下可能:个人在保护自己人格利益的情形下,可以自主决定是否通过信息许可或交易来获利。该说大多借助人格财产化现象或美国法上的“公开权”或“形象权”来进行论证。这种主张意图通过个人信息的此种认定来解决个人信息同时成为人格利益和财产的理论难题,顺便为企业数据的财产性问题打开理论空间。针对此种二元界定主张,就个人信息是否成为人格利益,上文已有评论,问题在于个人信息是否能够成为财产权的客体

这种理论主张主要是基于大数据财产价值日益显现的社会现实,力图使作为信息之源的个人数据的财产价值得到保护。但这种主张会面临下列难以解释的问题:其一,将个人信息作为财产予以交易,缺乏现实生活经验和常识的支持。在个人的绝大多数生活、工作和社交场合,以及在诸多民事合同中(除了以信息服务为主要内容的合同外),存在着大量提供个人信息的情形,但从并没有出现有偿使用个人信息的惯常作法,也没有出现原合同与信息许可或服务合同并存的先例,为何独独在用户与网络服务商之间强调个人信息的财产权,这在理论上值得斟酌。其二,通过人格财产化来解释个人信息财产权并不充分。姑且不论个人信息是否构成人格利益,即便在人格“财产化”情形下,也不能证明人格要素就是财产权的标的,因为人格权财产化是通过人格权主体与人格要素使用方之间的许可合同实现,并没有涉及财产转移或交付问题,法律通过合同关系即可得到充分调整,并不需要另立一个“人格财产权”,这一点无疑也适用于个人信息。在信息领域重要的是信息供给和分享服务,而非财产交易。其三,目前各国在大多数情形下,以个人“同意”作为网络企业收集个人信息的合法前提,用户欲行使个人信息财产权也只能在“同意”环节与企业交易,但问题是,在法律规定无须“同意”即可收集个人信息的情形下,是否法律就剥夺或侵害了个人信息财产权呢?最后,个人信息财产权解释不了现实生活中的信息交互性问题,即一项信息为多个主体共同分享的情形。比如一次小型聚会的信息应为所有参与者分享,无法由某个参与者独享财产权,否则就会造成权利的直接冲突;又比如在买方与淘宝商家的交易中,此交易信息因买方和卖方共同参与而应共同分享,无法归于任何一方。上述关于个人信息财产权观点的疑问,说明传统理论对于信息法律属性的把握尚不完整,它在关注信息财产价值的同时,并没有追问信息的价值来源之所在。

(二)企业数据的权属理论观点及其评价

上述对于个人信息权属的法律讨论,有助于理解企业数据的权属问题,因为两者的分析对象为同一事物,即数据信息。企业对于收集到的大数据享有的权利,与个人信息权面临着一样的问题,因为两类数据都具有一定的商业利用和交易价值。总体而言,现有关于企业数据权属的认定分为知识产权保护和财产权保护两类观点。

1.企业数据的知识产权保护

在知识产权领域内,理论上不外对企业数据采取著作权保护或商业秘密保护两种方式。大数据在著作权保护方式中,对应的是《著作权法》第14条规定的有独创性的汇编作品,这是数据库保护的法律基础。对于大数据是否符合该条所要求的“独创性”,有学者理解,大数据虽然具有一定的选择和编排方式,但其价值在于数据的巨量和混杂性,而不是数据的结构和编排。[13]由于大数据存在编排或结构并不一定代表其具有独创性,故在各国著作权法上无法以汇编作品作为大数据保护的主要方式。对此《德国著作权法》第87条规定了用邻接权来保护通过实质性投资而建成的大型数据库,以此补充汇编作品保护的不足。[14]《俄罗斯民法典》第1333条和第1334条也分别规定数据库的“制作者”和“专有权”来保护数据库的“邻接权”。[15]但这种通过邻接权来变通保护数据库的方式着重于保护数据库的实质投资,而非其独创性,不属于真正意义上的邻接权。因为邻接权本身应重在保护“大全型”数据库的传播和利用价值,而非实际投资。欧盟立法则另辟蹊径,通过1996年生效的《关于数据库的法律保护的指令》,在著作权之外赋予数据库控制者特殊权利获得法律保护。[16]上述立法尝试说明通过著作权保护企业数据并不能成为一种行之有效的常规方式,在大数据的著作权保护中,有价值的是对数据内容的著作权保护,而非整个数据库的保护。

主张通过商业秘密来保护企业数据的观点,则放弃了将大数据著作权化的努力,将大数据置于一个相对保护的状态,并结合反不正当竞争方式保护企业在大数据上的法益。这种主张总体来说较之前者更符合实际情况。但依据《反不正当竞争法》第9条的规定,商业秘密应当具有秘密性、价值性和保密性的基本特征,企业数据并不完全符合上述要求:其一,就秘密性而言,大数据与商业秘密的不同在于,组成企业数据的单一数据可以通过不同的合法途径获得,但将这些可以从不同渠道获得的数据由企业集中收集形成的企业数据具有整体的价值。由此,作为数据集合组成部分的个别数据,便很难受到商业秘密制度保护。其二,关于企业数据的价值性,在实践中也很难确定。企业数据的价值性是相对企业本身而言的,是否一定有着经济价值并没有明确的标准,大型平台甚至对于冗余信息建立了定期清除制度。另外,单个信息、部分信息和整体数据库的价值也无法分别估算,这导致数据部分或全部泄露后的价值损害是否存在以及损害大小无法确定,这一点与商业秘密的实用价值确定性存在较大区别。其三,企业数据是否采取了保密措施也不好确定。一般情况下企业基于个人信息保护义务,对其数据设置了管理权限和密码等保密方式。但企业是否系为了保护商业秘密而设置保密措施,对此缺乏直接的判断标准,因为企业数据的加密属于常态,数据安全的加固和升级亦为服务于多种目的的需要。但即使存在上述困境,商业秘密保护的法理仍是最接近企业数据保护的理论基础。

2.企业数据的财产权属保护

由于知识产权方式不能足够应付复杂的企业数据利用和交易问题,理论界更多地呼吁建立数据财产权来保护企业数据,即将企业数据当作财产关系的客体并于其上建立财产权利结构,以解决数据流转的权利基础。学术界注意到了数据权与物权的不同,故有学者主张依据《民法总则》第127条,将其作为一种新型的财产权对待。[17]也有学者提出,基于个人信息与企业数据的复杂关系,建议给个人配置人格权益和财产权益,给企业配置数据经营权和数据资产权。[18]还有学者在判断数据在信息层面上无法被权利化的基础上,提出了法律赋予数据文件绝对权的可行性论证。[19]这些理论尝试体现了民法学者对于企业数据民法保护的关注和努力,但数据权利化理论仍共同面对如下问题的挑战:

第一,企业数据权理论面临数据的隐私性和财产性的关系问题。假如在将个人信息保护和企业数据财产权区分对待的前提下,认为包含隐私的个人信息成为他人之财产权是正当之举,那么在法律上将财产权赋予给个人,直接将隐私权打造成财产权是否会更为直接了当?因为相对于信息收集人,将个人信息的财产权赋予个人比第二手的收集人更为正当和必要,毕竟个人用户才是信息的直接来源。另外,企业数据类别众多,不同数据的适用领域和经济价值或许完全不同,因此,可以普遍适用于所有数据相关问题的抽象化规范是难以想象的。[20]我们很难想象电商平台的交易数据与高铁公司的高铁运营数据能统一在数据“所有权”概念下获得同样的规制。

第二,企业数据权理论很难合理解释企业数据权与其他数据控制人的关系。通常情形下,企业数据库的任何一条信息可能为多个主体控制,至少每一条信息都有对应的用户享有和控制,比如每条网络行为信息在单个用户的Cookie里都有存留。对此,要如何理解企业数据的排他权?这种权利冲突在理论上如何解决?当企业非法收集个人信息之后,企业对数据占有的状态又如何描述?我们不可能使一个财产权的客体无端消失,在此适用返还规则也没有实际意义。在数据可分享前提下,若赋予数据控制者某种绝对性权利,则超大型网络平台可能基于这种新的权利变得更加强大,同时数据控制主体若以“数据权利人”身份授予第三方访问权,交易成本也可能因此而大幅增加,并可能导致缔约各方谈判地位的失衡。特别是将“数据权”分配给已经处于优势地位的缔约方时,这种失衡会尤为显著。[21]

第三,企业数据权理论不能很好解释企业数据被无偿分享时数据权还存在与否这一问题。比如当公共机关强制企业提交企业数据,或者企业通过各种API(Application Programming Interface,应用程序编程接口)无偿向特定用户分享自身数据时,在数据为第三人所获取的情形下,企业数据权是否被剥夺或部分放弃?此时企业数据权是否还完整存在?在企业将数据通过交易许可另一方有偿使用后,同样的问题仍然存在。

第四,当企业数据被第三人通过不法手段获取时,企业数据权作为民事权利的效力和救济方式如何体现?权利的弹力性和追及效力在此并没有发挥作用的空间,权利请求权也没有实质表现形式。基于信息的可分享性,在企业仍完好掌握大数据的情形下,企业自身对数据的控制状态并没有受到实质破坏,故在法律救济上只能体现为要求对方停止非法行为。至于私法上的损害赔偿是否构成,还需要具备诸多因素和条件。就侵权后果而言,目前企业数据的财产保护并不能体现出私权被侵犯的相应法律后果和救济方式,更多地体现为公法上的强制救济措施,且司法判决并没有对非法分享的数据本身从数据权利角度予以关注和救济,这也是司法机关主要还是通过反不正当竞争法来解决相关纠纷的原因。

上述关于数据的私法定性的理论尝试及局限的分析,一定程度上揭示了将数据纳入私法权利体系的困难。无论是人格权还是财产权,个人权利还是企业权利,都不能很好地解释数据的流动和控制问题。其中的结构性问题在于,个人信息与数据财产如何统一于同一数据之上,以及如何在数据可由众多主体合法分享的前提下,体现出数据权利在私法上的排他性和救济性特点。另外,个人信息与企业数据的保护在理论维度和价值目标上具有很大的不同,其对数据控制的力度、广度和方式也有差别,因此一概“权利化”并不能真正解决本质问题。承认数据在网络时代的价值只是考虑问题的出发点,问题在于这种价值如何体现和实现。将数据客体化和权利化并未能真正契合数据价值的来源和运作方式。当今数据权利理论的出现针对的主要是互联网技术下数据的运用和流通的问题,而非适用于所有的信息领域,那么这种“数据权”的正当性和必要性又源自何处?实际上,通过数据权利化这种强保护方式来保护相对局部的数据利益,忽视了数据本身的分享和流动的惯常性存在,以及数据排他性占有的现实困难。于此,法学界需要重新审视数据的特性和运作规律,观察数据在私法视角以外的公共面向,以补充或修正已有理论的不足。

二、数据的公共性价值与法律保护思维模式的转换

从个人对信息的控制延伸到企业对数据的控制,通过迭加式的私法赋权以实现数据主体的不同利益,这属于典型的私法保护进路。这种进路之所以遇到上述理论困难,主要是因为其将数据作为一种权利客体对待,而忽视了数据本身的无形性、可分享性以及公共性的特点,以及信息数据主要通过社群分享来实现自身价值的客观事实。数据的私权保护没有充分顾及到数据分享的价值及其更为基础的地位,因而在私权化的过程中常常受到数据分享的干扰。以数据的公共性特征来中和私权化的片面性,有助于在理论上科学把握数据的分享和利用规律,并对既有的思维模式适当调整。

(一)数据公共性的理论和现实价值

数据具有公共性当无疑义。它符合经济学上的“公共品”(Public Goods)核心特征,即非竞争性和非排他性。前者指一人对公共品的使用不影响他人对其使用,后者指多人可以同时使用公共品而互不排斥。信息还符合经济学上的“纯公共品”的要求,即同时具备制度公共性和自然公共性的特点,在传统社会具有效用上的不可分割性,并以此区别于准公共品。[22]在公共品体系内,信息相对传统意义上的公共物品(如公物和国防等),某种程度上又具有更彻底的公共性,因为它不受容量和空间的局限,可以及于任何人。但信息本身又依赖于传统或当代媒介而分享和传播,故媒介又决定了受众的范围,这一点与其他公共品又有不同。法律试图对信息进行局部个人化处理是晚近发生的事情,在历史上绝大多数时段,信息一直处在公共领域,且社会长时间处于信息饥渴状态。

人类在历史上解决信息匮乏的途径之一,是通过媒介的扩展和革新来创造和传输信息。从非洲人的鼓、希腊人的烽火、埃及的象形文字、印度的贝叶书、西亚的羊皮纸,到近代印刷术、报纸、电话、电影、摩尔斯电码,以及现当代电视、电脑、多媒体和互联网等,以上种种无不体现了人类对于信息获取的努力。[23]另外一个途径是人们在社会生活中通过互惠利他方式来最大程度地分享既有信息。“互惠利他”在进化心理学中指的是传统社会的一种社会合作模式,即一人给另一人提供了好处,并不期待立即获得报答或补偿,但每个人都认为这种利他行为的普及可以引起合作的盈余。[24]在早期的传统社会中,信息的互惠利他是当然之理,同时互惠利他也会延伸至人们生活上的物质馈赠和扶危济困之帮助,现代经济学则用“礼物经济”来定义这种社会状态。自法国人类学家莫里斯在其著作《礼物》中提出礼物互惠的社会学原理以后,社会学便开始关注礼物互惠对于当代社会的意义,认识到礼物和回报机制对于建立人与社群的亲密关系,以及对治理资本主义和工业化的某些缺陷的意义。[25]在以私有化为前提的当代西方商业社会,社会结构性的礼物和回报机制已不多见,但对于信息而言,它一直在事实上遵循互惠利他和礼物馈赠的传统。

信息较传统的实体礼物馈赠更具有互惠的特性。基于信息分享的时效性和聚集性的特点,对其进行分割和交易在经济上变得不可行,另外信息互惠分享创造的盈余较传统礼物馈赠更为显著和快捷,这决定了在互联网从产生到普及的过程中,互惠利他形式的分享一直充当人们努力的目标。如互联网先驱佩里·巴洛(Perry Barlow)1996年发表了著名的《网络空间宣言》,呼吁保持网络空间的中立性和排斥政府和法律对互联网的干预,并倡导信息自由分享。其后,信息共同分享和协作的模式受到注目。自开放源代码运动以后,2001年起,以自由访问、编辑和协作的美国维基百科计划开始实施,并成为开放式许可集体协作的典范。我国目前也有网络上的字幕组、戏仿和知识共享[26]等在线社群努力建立开放式创作与分享的环境。这些网络开放分享和协作方式是传统的信息互惠方式在网络上的延伸,反应了信息互惠的强大生命力,通过互惠利他和分享协作,互联网最快捷、最大范围地满足了用户对信息的饥渴和需求,并创造了空前的合作盈余。从早期信息门户网站、即时通讯工具、网络论坛、搜索工具,到目前的各类商业在线平台,从web1.0时代的信息单向发布、web2.0时代去中心化的信息交互到web3.0时代的网际互联和数据互通,每一次技术的升级和应用创新都促进了信息的分享和盈余的扩大。当前正在蓬勃兴起的分享经济更是将信息分享与现实闲余资源的利用直接结合起来,改变了传统中介机构的业态和人们的财富观念。[27]未来,随着大数据、云计算和机器学习技术的进步和现实应用,信息的分享、聚集和智能应用将朝人类未知的领域发展。在用户以互惠方式向网络贡献信息这一渠道之外,各国也在逐步推进政府信息公开的相关举措,以满足社会对政府公共信息的实际需要。

数据的互惠分享是互联网赖以生存的基础生态规则。但互惠利他或礼品经济并非没有约束模式,它要求个人的利他必须带来足够合作的盈余,并且群体成员在他人无互惠行为的回报时,可以在未来不再做出利他行为。这种对于互惠的道德要求在有限的群体和空间中,可以通过查明和惩罚非互惠者(“骗子”)并将其踢出群体来得到维护。[28]对于信息的分享,上述情形也会存在,比如在文件互享的网络应用上,提供文件的一方在对方拒绝同等提供文件时,可以通过取缔“吸血鬼”的技术将其排除在用户之外;也有些网站要求用户在分享信息后及时完成反馈,以此作为下次分享的条件。但是互联网世界中的信息互惠比传统的财产馈赠和帮助行为更为广博,因为网络参与者甚众,甚至跨越国界,且用户大多处于匿名状态,故适用于局部社群的互惠约束机制可以适用于社群内的传统信息交流,却不一定适用于整个网络的信息互惠。网络信息互惠具有超越时空的特点,从正面角度看,它不能从受局部时空限制的地域文化中获得完全支持和解释;从反面角度看,它也不能为目前互联网面临的局部信息控制所动摇。对网络信息互惠这种理论层面的认识有助于我们正确运用数据公共性原理来认识和规制现实生活中的各类网络信息控制现象。

(二)基于公共性基础的数据保护思维模式转换

对于数据公共性特性的理论揭示,使我们在讨论数据保护问题时增加了一个可以参考的基础背景,这个背景的存在使数据私权化理论的论证负担无形中大大增加了。数据私权化无疑会对信息的分享产生实质性影响,且因为数据逃逸与传播的门槛较低,数据私权在实践中易受侵害且易丧失。在数据公共性背景下适时转换数据保护思路在理论上有其必要性。以下试述之。

1.由基于稀缺的法律到基于充裕的法律

传统私法的权利化体系起初建立于客体(主要指有形物)的稀缺之上,客体的稀缺导致了法律上定分止争的必要。这种稀缺性导致的资源权利化分配模式在传统社会中是一种普遍有效的方式,在法律上也形成了客体与权利的相互依赖性。与稀缺相适应的经济规律是,当物品供应越来越多时,物品就会逐渐贬值,这即是工业社会的饱和法则。信息的公共互惠原理则颠覆了上述工业社会的基本法则,因为就像传真机或电话的普及会增加传真机和电话的价值一样,网络的价值来源于数据的充足和普及。据此美国著名网络学者凯文·凯利(Kevin Kelly)认为,“任何能被复制的东西,价格都趋于零或免费”,因为网络的数据和服务越丰富,就越有价值,同时也就越便宜。这种网络产业的反馈环路体现了与稀缺经济相反的充裕原理,即“最有价值的东西应该是那些普遍存在而又免费的东西”,故唯有慷慨才能在网络中胜出。[29]事实上,全球互联网在近二十年间有如打开了信息流动的潘多拉之盒,通过分享和升级,信息仿佛具有生命,急切地互相拥抱并如涡流般整合和旋转,创造出了令人眼花缭乱的虚拟生态更迭,完美地诠释了数据的充裕性法则。

信息具有充裕性和分享性的一面并非理论上的想象,在法律上也有其客体特性上的必然性。从本体范畴而言,信息与私法上的典型客体(物)属于完全不同的理论范畴,前者属于无形的、主观性的信号,后者属于有形的、客观的物质或能量,两者之关系亦如遗传基因中的基因排序和脱氧核糖核酸的关系,前者的目的在于复制,后者的目的在于自我生存,这是理解自然界两个最基础但又迥乎不同的维度。人类对于物质能量世界的依赖、开发和调整持续了很长时间,形成了稀缺性的思维模式。而关于信息,除了晚近的知识产权和人格要素外,人类没有成熟的认识和实践去系统地把握、运用数据化信息流动的充裕性原理。另外,不同于其他传统公共品,在技术上尝试对于无形的信息进行私有化的可能性甚微。在自由主义和商业化推动下,传统的公共品基于物理性和稀缺性往往可以不同程度地私有化,从而进入私权领域,如目前西方国家存在的私人海滩、岛屿、博物馆、公园甚至公共基础设施等,都说明了在商业逻辑下科斯定理的最大限度的运用。而信息则除了与“国防”等纯公共物品具有效用上的不可分割性外,在客体层面上对其进行私权化具有不可逾越的现实障碍:一是信息本身的价值和目的在于复制和分享,若由个人封闭式独占,则其价值无法实现,而一旦由他人共享,其独占性将不复存在;二是将信息赋予私人独占并没有现实的法律手段来彰显和维护,恰如传统不动产中的田界和动产的占有,这使得信息极易被复制和传播出外界。传统社会对于信息的独占是通过自身保密方式来短暂实现的,在网络社会则更依赖于加密技术。在以分享为前提的信息法秩序中,想要对于当前现实生活中的个人信息、知识产权和企业数据财产提供保护,就应当减少对于信息本身权利化的努力,而将重点放在规制互联网用户的操作行为上,同时强化规则的预防功能,以保障特定目的的实现。

2.从私益保护面向到公益保护面向

从数据与私人的关系入手展开数据法理论体系,必然以考量私益为先,这种思路某种程度上忽视了基于数据公共性本质而衍生的公共目的的普遍性。先从个人信息保护谈起。现今个人信息保护的理论是从最初的私人隐私保护出发,逐渐扩大到了一般人格利益甚至财产权,这种私益保护的思路是值得探讨的,其理由如下:

其一,各国个人信息保护规则并非遵循私权的类型化思路,而是将相关个人信息不加以区分而一并予以保护。具体而言,个人信息包括敏感信息(通常与隐私重合)和非敏感信息(主要包括可以构成识别性的行为信息),但这种分类方式在个人信息保护中并没有成为个人法益的定性区分方法,也没有强调不同信息之上存在的权利差异。在此基础上就个人信息实际上形成了两种保护方式的竞合,比如侵害隐私的数据利用行为既违反了人格权法上的规定,也构成了对个人信息法的违反,故应该同时适用两种不同的救济方式。这种法律样态令人产生疑问:如何理解这两种救济方式并存的理由?

其二,个人信息保护法以“可识别性”作为所保护信息的范围判断标准,且以“同意”为信息收集的合法来源,二者在私法上均不能得到合理解释。就可识别性而言,有学者合理地观察到,“可识别性”是社会交往的基础,现实生活中并没有禁止相关个人信息流动的根本理由。[30]事实上,网络上大量公开的个人信息都保持可识别性特点,但似乎又不能纳入个人信息保护的范围。另外,可识别的信息与个人利益并非直接相关,如个人相关信息并不一定与个人有实质的联系,只是通过相关性而对识别起到辅助作用。例如,时间、地点、参与人等中性的信息是否构成个人信息,纯粹取决于它们可否对识别他人有所贡献。这种理解个人信息的方式并不能圈定个人信息的本质范围和属性,其范围既宽广又不确定,更谈不上将它们都归入人格利益范围。另外,有学者还指出:“在当今信息处理的条件下,宽泛的个人数据可识别性标准(GDPR第4条第1项)变得越来越没有意义。除了纯粹的机器、传感器和天气数据外,再也没有非个人的数据了。”[31]就“同意”的意义而言,它也不能完全从私法上获得理解。经过用户的同意平台可以收集个人的信息既不能从私法上的交易来理解(其中没有有偿和对价因素),也不能从防御性的人格利益来理解,因为这种“同意”增加了人格遭到侵害的风险,更何况现实中存在诸多无须用户同意即可收集的情形。另外,尽管同意制度本来是彰显个人信息自决权的主要手段,但“同意协议简而无用,多而无功,实际上是确保信息自决的最糟糕的法律手段”。[32]

其三,个人信息保护主要适用于个人与网络平台的关系,并不能普遍适用于其他场景下的个人信息使用和分享领域,且其立法目标一直不甚清晰。如德国、欧盟、欧洲理事会、经济合作与发展组织(OECD),分别通过国内宪法、人权公约或国际条约确定了不同的个人数据保护目标,这些目标又分别归属于数据保护权、人格权、私人生活权、基本权利和自由、保证信息的机密性和技术系统完整性的权利、信息自决权等领域,而这些领域差别巨大,无法通约。这种状况揭示了各种立法倾向于将个人数据的保护作为一个预设的前提条件。GDPR也努力将每一项数据都纳入一套精心制定的保护规则,其理念可以理解为“全面预防”,即以默认禁止信息获取为基础规则,除非在法律中发现例外情况或数据当事人同意提供,这样就客观上形成了一个抽象的数据保护法。因此,在存在上述多种立法目标下,数据保护法的目的可以被解释为是防止任何损害,而在缺乏明确的法律保护目的的情况下,数据保护本身就可能是对其他权利的一种威胁。[33]对于数据保护的抽象探究,遮盖了其应服务的正确立法目标。数据无疑具有技术性和工具性,它本身并不具有天然的价值或目的,数据保护的目的应当存在于数据之外。

个人信息保护的私法进路忽视了个人信息保护法的目的。这种目的并不一定存在于私法,其直接目的更多地体现在公共领域,即规避因信息可能的泄露和滥用而导致的社会风险。我国目前有学者充分注意到了这一点。如有学者提出个人信息并不是基于个人控制的诉求,而是基于社会控制的需要。[34]也有学者认为西方个人信息的保护直接服务于消费者权益和公法目的。[35]个人信息本身并不存在问题,而是因为现代电子系统大规模的收集、利用和流通造成了信息泄露和滥用,故法律应予以规制来控制这种社会风险。从社会风险的防范角度来理解个人信息保护的目的,具有较强的涵盖性和解释力,它可能与隐私或人格的保护有一定关联,但数据保护本身只能被理解为某种合法权利的有效附属保护方式,也就是说数据保护本身只有在个人自由或权利有被侵害的可能时,才作为一个有效的公法保护方式存在。社会风险包括个人受侵害和社会利益被侵害两种情形。前者如2016年“徐玉玉电信诈骗案”、2018年“万豪酒店客户信息”失窃案,后者如Facebook数据泄露对美国选举的干扰等。[36]这种对公共风险的防范体现在世界各国的立法实践中。如GDPR在用户同意的基础上,又采用风险大小的识别来决定个人信息控制的程度。[37]又如美国联邦贸易委员会(FTC)则对于个人信息保护提出设计原则、选择原则和透明原则,在强化对数据收集和利用风险评估的基础上,采取全方位的控制,甚至对企业内部的例行工作和日常事项也提出了严格的要求。[38]我国2017年的《个人信息安全规范》则在同意机制的基础上,根据风险产生的可能性,区分不同的内容和告知方式来对同意机制进行细化,体现出实际风险防范的面向。GDPR生效后学界和产业界都在质疑其对于个人数据控制是否过于严格。依此分析,应该从消费者权益保护和风险防范的角度分析这种控制是否必要和充分。

除了个人信息保护具有直接的公共面向外,对于企业数据的保护也可以从公共目的或公共秩序的角度来理解。我国对于网络企业之间的纠纷目前主要是从竞争法的角度来予以判断和裁决。对企业是否可以赋予数据权,上文已有评析。但是如果免费从用户那里收集来的数据都能成为企业的私权,那么如何理解政府公开社会公共数据的行为呢?政府将权利转移给所有人了吗?因此,“引入‘数据所有权’非但不会促进数字经济和实现数据访问,反而会产生截然相反的效果,尤其是从公共利益的角度而言”。[39]企业数据的私权与数据的公共品特征的直接冲突,决定了对于现实生活中企业之间的数据纠纷,更多地只能从行为的社会危害性角度来考虑,反不正当竞争法就是从竞争秩序的维护来保护企业的有限法益。但判断一个行为是否侵害了竞争秩序,则需要从原告是否有损失以及被告是否构成不合理竞争行为来衡量。既然企业数据缺乏一个明确的法定权利外衣,通过私法权利的效力来获得救济便不再可行,行为的违法性判断便依赖一种科学的数据控制和操作规则体系,这种规则体系是在考虑数据主体、数据控制者和社会利益的基础上进行利益平衡的结果,具有鲜明的公共秩序特征。

3.从数据控制的强化转向数据控制的谦抑

电子数据因计算机和网络的普遍应用而进入了社会控制的领域,由此衍生出个人信息保护和企业正当数据权益保护等问题。这些问题并没有完全的普遍性,因为在非电子化时代,上述问题并不存在,由此理解,数据控制问题与数字技术和互联网直接相关,且解释和实现数据控制问题也一定不能脱离互联网技术体系的特殊语境。尽管当代数据立法仍处于探索和试错的阶段,但强化数据保护业已成为当代社会和产业界的现实诉求。从对个人信息保护空前严苛的欧盟GDPR,到纷繁芜杂的数据权利化理论主张,再到国家之间的数据跨境流动的“主权”争夺……种种尝试都在力争锁住数据流动的关节点,在“人我界分”间建立可控的数据利用秩序。[40]这种现实发展趋势体现了社会尝试驾驭和驯服电子数据这一新生事物的努力,有时是合理且有成效的,但并没有做到驾轻就熟,其原因在于,上述努力带有浓厚的将数据比照现实物质看待的“客体化”思维痕迹,也未能真正揭示将数据控制限于数字技术系统的真正目的和要求。

数据控制来源于互联网和数字技术系统的传播特性对现实秩序的威胁,快速和大规模的数据收集、运用和流动造成了诸多新的社会问题。数据控制的必要性在于,在承认数据技术对于信息分享的积极意义上,抵销或纠正不正当的数据利用方式带来的冲击,而非通过控制数据流动去影响数据的分享。对此现有的司法实践存在用力过猛的现象。如上海晟名网络科技有限公司、侯明强等非法获取计算机信息系统数据罪一案中,法院因为被告使用技术手段绕过服务器身份校验等系统保护措施并获取数据的行为,依《刑法》等285条第2款判决被告上述控诉罪名成立。[41]该案存在的问题,被告确实存在规避反抓取措施的不当行为,但行为人抓取的是可由被授权用户正当访问的开放数据,亦即这些信息可由一般用户合法获得,从行为不法和结果不法的后果看是否构成犯罪,尚有斟酌余地。[42]又如在百度与大众点评网的不正当竞争一案中,法院最后支持了原告的请求,认定百度构成不正当竞争。[43]但在属于同一类型的美国“hiQ诉Linked In “的纠纷中,Linked In因为采取技术手段禁止hiQ公司爬取其网站上公开的用户资料,而被法院通过禁令要求其移除上述阻止手段。其理由是,Linked In公司限制对方获取用户已选择公开的信息,违反了不正当竞争法。这种认定与上述案件完全相反。这两个案件反映了在有关用户公开数据问题上,我国与美国的不同倾向:前者以限制网站获取为主,后者则支持和鼓励网站公开信息。我国这种将数据画地为牢的做法同样体现在新浪与脉脉的诉讼中。[44]法院判决被告淘友公司违背了第三方通过Open API应坚持“用户授权”加“平台授权”再加“用户授权”的三重授权原则,从而构成《反不正当竞争法》第2条下的不正当竞争行为。但这种三重授权原则在案件中要求充分说明,淘友公司在API授权范围内是否有现实获得三重授权的可能,还要说明在授权范围外想获得相关信息是否存在符合规定的“用户授权”程序。即使满足上述条件,淘友公司的行为也应被认定为违反个人信息保护法律并承担相应后果,而非直接构成不正当竞争行为。这其中的主要问题在于,判决并没有就新浪微博和淘友公司对于数据本身的控制利益和界限作一基本判断。

目前我国对于数据的控制还处于探索之中,立法和司法界主要倾向于加强规制,而业界和学术界则大多倾向于数据控制的谦抑态度。目前对数据的控制我国应当保持适当谦抑态度的原因在于:一是数据的分享和流动是目前我国网络产业得以蓬勃发展的根本原因。数据释放了基于传统社会在资源配置上的信息匮乏而产生强劲数据需求,产生了巨大的信息聚集效应,辅以云计算、人工智能等技术的升级和应用,这种趋势的前进动能仍很强劲,在没有出现大面积的社会危害的前提下,国家不宜采取简单激进的方式干预这一进程,而应采取及时引导和相对容忍的态度来促其发展。二是当代数据规制的目的是对数据滥用或竞争失序的纠偏,而非阻止数据的分享和流动,这决定了对数据的控制应服务于数据产业的良性发展。从信息的公共品特性角度来看,甚至可以认为,大数据时代的数据分享并不需要特别论证,对于数据的控制才需要充足的理由。实际上从网络蓬勃发展以来,用户自愿贡献信息、网络平台撮合信息、搜索引擎提供链接和网络企业之间跨界流量互享等等现象就广泛存在,这些网络信息分享常态充分体现了信息的互惠原则。只是在此过程中,基于特殊的社会安全和隐私保护目的、风险防范和竞争失序的调和等因素,国家有必要进行适度的干预和调控,使之与社会各种利益协调统一发展。

三、分享前提下数据法律控制的理由体系

基于数据的公共性原理而适时进行法律调整思维模式的转换,在理论上要求建立分享前提下的数据控制体系。如果在理论上接受“数据分享是前提性的,而数据控制需要充分理由”这一前提,那么对于数据的控制就可以在同一个基础上进行一体化的论证和构建了。这里“一体化”的含义意指我们不必要先入为主地将数据先行定位为“个人数据”或“非个人数据”, “数据隐私”或“数据财产”,以及“用户数据”或“企业数据”等,这些划分对于数据分享这一前提并没有实质意义,它仅仅是在对于特定数据实施控制时作为具体考量因素时才有必要。由此整个数据法律体系就可以在此基础上尝试展开,且不似已往的研究中将数据问题通过个人信息、知识产权、不正当竞争和企业数据权保护等分割开来,因为这种分割状态常常导致同一数据在不同领域难分轩轾且相互冲突。事实上,在传统以物质世界规则为主的法律体系中,关于隐私、知识产权、竞争法和财产权属的领域划分是相对清晰的,其规制的对象少有重叠。[45]但对于数据这一当今蓬勃发展的新型对象,上述各个法律领域奇妙地集中于其上,在司法判决中法官的解释和论证也在上述领域穿梭往来,似乎数据本身没有固定的法律领地。这种现象充分说明了法律缺乏对于数据的定位。如果不能以数据的公共品属性来对其进行初步定位的话,那么传统法律领域对数据的争夺将会使数据在无望的“私有”道路上无所依归。

当然,上述现象并非指数据中的隐私或知识产品不重要,在传统法律范畴内上述区分仍然是清晰的,也受到既有的法律调整。在此前提下,当数据信息不能顺利归入传统法律领域进行调整时,就有了法律上的合理化论证的需要,其论证的重点在于,法律究竟基于何种理念或目的对数据进行规制,选择何种方式来实现上述目的,并且这种规制的正当限度在哪里?通过此种方式来建立数据控制的规则体系,就会使传统条块分割的数据控制制度被放置于同一前提下,且有利于消除板块之间的理论和规则矛盾。以下分述之。

(一)数据控制理由之一:个人信息保护目的和限度

个人信息保护的私法局限,揭示了个人信息控制的理由存在于公共领域,即其针对的是数字技术时代个人数据的滥用或泄露问题,从消费者保护和公法上的社会风险控制这一角度来理解个人信息保护问题,更接近事物的真相。从公法对于风险的规制角度就可以合理解释个人信息保护中非隐私数据保护的必要性,在此基础上,个人信息保护制度上并没有体现出隐私保护的私法性。只是在风险评估和规避上,隐私处于较高的防范层级。“可识别”这一概念可以理解为是在规避风险源的意义上使用的,它主要是防止他人通过相关信息的挖掘而将个人识别出来。另外,用户的“同意”也是在风险规避意义上使用的,法律通过此种方式让用户有机会知晓自己的信息被利用的方式,并以此来评估自身是否愿意承担相应风险,这也可理解为是用户对个人信息滥用的合理的自我防护。但个人信息保护的公共目的并不意味着其受保护程度的不受制约,现今理论和立法对于个人信息保护的限度明显失之过宽。如目前大多数个人信息保护法(如GDPR)通过预防原则和一般性的禁止规定设置了大量预防措施,但并没有为数据控制者设定责任标准,使其知晓何种风险对应着何种权利或责任,这与传统立法中以特定禁止规定对应特定责任的做法相违,这样就使数据控制者使用数据的风险无限扩大;又如GDPR通过简单划一的方法对所有的个人数据采取同等保护的态度,违背了个人数据保护的风险评估背景。它没有区分平台与个人、公益数据与商业数据、公开数据和非公开数据、大型公司与小型企业,以及上述不同情形下个人数据在法律保护程度上的差别,也没有充分区分不同群体的实际需求,GDPR只对儿童和“特殊类别”数据进行了有限的关注;再如,“可识别性”标准使欧盟新近出台的《欧盟非个人数据在欧盟境内自由流动框架条例》无法对于个人数据和非个人数据划分提供一个可操作的标准,因为所谓的非个人数据并不代表其对个人的识别就一定没有实际贡献。“这就导致了在数据爆炸的时代,GDPR对商业和私人生活的大多数领域造成了过度监管,而且会导致其成为实际上无用的僵尸规则。”[46]

基于以上分析,个人数据保护程度在立法上应进行合理的限缩:一是立法不应强调抽象的一般性预防原则,而应适度简化数据保护的强度和广度。即个人数据保护应与特定的目的结合起来,当网络存在不合理的对私人自由和权利侵害的风险时,才有控制个人数据的必要,且其强度应与风险相适应;二是个人数据保护应关注社会风险类型及其发展变化而与时俱进。比如早先的个人数据保护基于信息泄露或滥用的防范,倾向于强力控制数据流动,但当今个人数据处理技术的发展使个人面临的风险发生了变化,即被“个人画像”技术所监视、操控或歧视。因为“同意”制度只是个人信息保护的第一步,对于平台收集数据后如何使用,用户便很难有直接的控制力,即使法律赋予用户一系列的权能来干预平台对数据的操作,也不能完全排除被识别的可能。[47]GDPR从源头对数据进行控制,固然是最为安全和稳妥的方式,但这种方式是否对数据的利用造成阻碍已成为社会关注的问题,GDPR对于个人画像对人的监视、操控和歧视除了在第22条有一般规定外,也没有提供细致有效的应对方法。事实上,完全控制数据的收集和流动在技术上和经济成本上都不是最优方案,欧盟各国依据GDPR的严格条件越来越多地出现对世界大型平台(包括Google和Facebook)课以巨额罚款的执法案例,但导致相关投资减少也是必须面对的事实。[48]在应对算法对于人的操控和歧视方面,法律并不能通过对个人数据的追踪而进行有效控制,未来个人数据保护的重点应转移到强调个人免受算法的无理监视、秘密操控和不当歧视上来。通俗来说,法律要求无论算法对人的画像如何精确可控,其都不能堂而皇之成为企业做出相应的、针对个人的决策的理由。

(二)数据控制理由之二:企业数据利益的发现

数据在经过个人数据保护的洗礼之后,在企业控制环节便存在企业对于数据享有何种利益的问题。企业数据私权化的理论困境并不意味着企业对于数据不享有某种利益,不然企业数据便处于彻底外部性状态且服从数据丛林规则。但是在法律上如何理解和界定企业数据利益,目前尚处于司法个案探索阶段,且多数案件是以不正当竞争法作为结案依据。总体而言,司法上判断企业数据利益正当性的标准存在劳动成果说、投入说和商业道德约束说等。

将企业数据作为“劳动成果”而予以保护是一种直观的法律判断。在法律上劳动与权利的联系主要体现为物权的取得和债务的履行,前者要求有劳动所获得的特定对象或成果,后者则与权利无直接关系。事实上,企业数据的收集并非企业劳动的成果,它是用户的参与和算法互动的直接结果,最多也只能算是企业和用户共同“劳动”的结果,因此企业的劳动与数据池的形成没有法律上的利益生成关系。此外如果法律直接肯定劳动或“额头流汗”对于数据的利益正当性,那么如何处理这种利益与用户数据利益的关系?同样的逻辑也可用于评判“投入说”。商业投入对于数据利益的归属也很难被认定有直接的对应关系,因为商业投入是一个与“产出”相对应的经济学概念,经济上的“产出”主要指投入的最终回报,而非与经营过程和经营要素直接相关;另外商业投入具有风险性,除非投入与权利的取得有直接关系,否则并不一定能从所涉及的经营环节中获取具体利益。上文对于数据权的质疑说明了商业投入并没有导致数据权的产生。至于因商业道德约束的存在而反向认定企业数据利益的正当性的观点,则存在这种商业道德所对应的实证法规则基础缺乏的理论缺陷。缺乏这种规则基础,商业道德就可能被主观化且有被随意使用的风险。

上述对于企业数据利益来源的观点的分析,并不否认企业对于数据享有某种利益,但基于数据的充裕性原理,可以肯定这种利益只是有限的和局部的,它不能被独占化和排他化,甚至没有权利的外衣,只能属于民法上的“法益”范畴。实际上数据的价值并非来源于“额头流汗”和“投入”,大多数是来源于因为数据具有相当规模而具有的商业利用价值,只有突破一定的流量临界点,这种价值才有可能迸发出来。有学者注意到数据价值的体现存在一个大数据周期“关系化”的过程,即信息被吸附进数据化体系之后,又被数据处理技术创造转化出新的“关系化”信息,并提升了信息价值,之后又通过再次数据化后重新产生新的“关系化”信息。这种周期性转化是数据价值提升的过程,需要数据开放的辅助,且只有能够提升数据价值的企业才能够享受财产性的保护和补偿。[49]这种观点实际上不赞成原始数据之上存在某种权利,而强调数据产品的保护的正当性。也有学者通过网络运作存在的三要素即账户、数据和评分建构了现实与虚拟空间的博弈场所,认为国家、平台和用户在生产或控制中的相互争夺,决定了应抑制数字劳动的商品化,并催生出由用户参与平台价值分享和治理的必要性。[50]这种主张不仅将用户的利益体现在与平台共同分享数据上,更是延伸至与平台分享整个平台价值上。这些对于企业数据价值来源的不同理解和界定上的困难,说明在数据具有公共性的前提下,不宜一味通过数据本身的“归属”来理解数据的权益和保护,而是应当通过理解企业在自身数据控制环节的真正利益所在,并通过在法律上建立行为导向的数据基础秩序来获得规范。企业数据的价值在于企业自身对于数据的利用和数据的交易,前者为企业利用数据的惯常方式,包括企业对于数据的算法统计和精准化营销等,还包括企业在此基础上通过数据分析和挖掘生产出数据产品;后者则包括企业就所控制的数据与他人进行交易。企业对于数据的利用和交易的经济价值并非遵循同一逻辑,对于企业自身利用数据而言,其价值来源于数据这一公共品对于企业本身所具有的商业利益价值。这种价值并不依赖于数据本身的权属界定,只以获得数据为必要,并不一定排除他人享有。但在此基础上生产的数据产品具有有别于原始数据的“产品”特性,可以具有某种“独占性”。对于通过市场交易获利而言,其价值来源于“数据鸿沟”的存在和企业对于数据的“现实控制”这两个条件,没有“数据鸿沟”的数据实质上是处于公共领域的数据,因多种替代获得方式的存在而没有稳定的价值。同样,如果没有企业对于数据在收集源头上的现实控制,“数据鸿沟”也就无法形成,企业也就无法通过为他人提供数据服务而获利。由于企业对自身数据收集和利用本身并不需要法律确权来实现,只存在排除外界的破坏和干涉的需求,故对企业数据保护的主要任务便是维护企业对数据控制的现有状态,以维持相对的“数据鸿沟”存在的状态。如上文所述,对这种状态的保护仍然无法采用对数据本身的确权等强保护方式来实现,采用“事实控制+交易”的弱保护模式更为合理。具体而言,法律之所以对企业数据进行保护,仅是因为企业目前已合法控制数据的这一事实,这有点类似于物权法上的“占有”保护方式,它不涉及保护对象的权利归属,但承认主体对对象控制的合法状态,这种保护主要是对抗他人未经本人许可而现有控制状态的干涉和破坏。如果说物权法上的占有保护仅是针对他人对占有秩序的破坏而对物权保护力有不逮的话,那么对于企业数据一经泄露便很难挽回的情形,这种保护便再合适不过。

通过“事实控制+交易”模式来进行保护,这是由数据具有公共性、易于流失和“数据鸿沟”的相对存在决定的,任何对于数据进行权属认定的方式都会与数据的上述特性相冲突。这种弱保护模式既合理保护了企业对所控制数据的自我利用状态,也保护了企业利用数据服务和交易获利的可能性。这一点可以通过法律对于商业秘密的保护来获致理解。从利益衡量上来分析,传统的商业秘密保护相较企业数据保护应当具有更强的保护力度,因为商业秘密比数据更具有特定性和直接的商业价值,但法律并没有为之确权,且采取的也是较弱的基于自我控制的保护规则,基于“举重以明轻”的法理,对于企业数据采取弱保护模式便有了明确的参照。但企业对于数据事实控制状态的保护在法律上如何理解和归类?应当认为,它与物权法上的占有状态具有类似的一面,但也有很大的不同。主要原因在于,企业的数据可由多方同时控制,而不具有物权法上占有的独占和排他性,故企业数据的保护不宜完全通过民法上的占有来保护,而应通过公法上的保护性规则来建立数据控制基本秩序,这种秩序体现了数据“游戏”的工具性规则,对于数据秩序中的失范或“犯规”行为有时可以通过侵权损害赔偿获得救济。但与商业秘密的保护不同,在大多数情况下,数据犯规并不一定涉及侵权后果或不正当竞争后果,而主要通过公法上的行政执法措施来予以惩罚和遏制。

(三)数据控制理由之三:不正当竞争的规制

将数据纷争适用不正当竞争规则进行法律处理是目前司法实践中大量使用的方法,这种方法的好处是,它有效回避了对于数据权属的认定和讨论,也缓解了保护性法律缺位的情形下私法损害赔偿不足的缺陷,但它有可能将不属于不正当竞争法域的纠纷不恰当地纳入其中考虑,也存在对于网络数据不正当竞争的认定欠当的情形。不正当竞争规则对于数据的控制不如个人信息保护和企业数据事实保护来得直接且稳定,它一定程度上处于个案的、散乱的不确定状态,但它的确是企业维护自己数据控制利益的一种手段。

现有的《反正当竞争法》对于数据行业并没有多少针对性的规则,只在第12条和第6条有一定的涉及,且集中在网络应用合法状态的维护上,几乎不涉及数据的无序竞争问题。基于此,司法裁判主要聚焦在《反正当竞争法》第2条的适用上,并通过个案逐渐发展出了一些实际的适用标准,这些标准总体上遵循“道德标准”和“客观效果”并重的考量方式,对行为的违法性认定有着积极的意义。随着各类网络应用平台的出现和发展,大平台的优势地位逐渐确立,早期网络企业对流量入口的争夺逐步让位于对于大平台既有数据的分享努力上。对于流量入口的不正当竞争行为的判断相对比较容易,因为流量入口是网络企业成长和发展的根本,可以将流量入口视为企业的核心利益。但在对于数据的不当利用上,在《反不正当竞争法》第2条的适用上就会出现模糊地带,以此来观察目前司法实践上的“道德标准”和“客观效果”衡量标准,便会出现如下弊端:

一是对于网络公开数据的竞争法保护与数据的公共分享产生了较大的冲突。相关案例都无一例外就网络企业对另一企业所公开数据的分享进行了不正当竞争行为的认定,那么在什么情形下网络企业之间可以在缺乏协议的前提下利用对方公开的数据呢?美国法院在“Linked In与hiQ”案中,基于自由竞争的理由明确一方的公开数据另一方可以正当使用。我国法院局限于衡量诉讼双方的利益,对此持完全相反的态度,没有从整个互联网数据流动的大趋势和整体利益角度进行判断。这样导致的结果就是,任何网络企业平台公开的数据原则上都不能为其他平台所用,这不能不说是一个巨大的浪费。

二是不正当竞争法解决的应是一项市场行为是否严重影响了竞争秩序,而非仅仅行为本身具有不当性的问题。当代网络企业的市场生存依赖于技术、商业模式、劳动力和数据等多种要素,其中数据作为经营要素之一无疑具有重要的地位。但基于数据的公共性,法律不能仅仅因为数据的不当利用而一票否决数据的分享。网络业态具有波动性和整体性,它们既具有公共虚拟场所的免费社交特性,也有商业运作的交易性特性,前者决定了数据流动和社会再利用的价值,后者则决定了企业的核心竞争力所在。在不同商业模式之间的数据分享有可能会导致数据贡献方的某些不利,但判断是否构成竞争失序则需要较高的门槛。

三是过度使用《反不正当竞争法》第2条,有可能混淆不同法律领域的保护规则。比如以是否“损害了消费者的利益、自主选择权、知情权和隐私权”来认定不正当竞争,就与消费者保护和个人信息保护法律相冲突;又如以违反诚实信用原则和公认的商业道德来认定行为违法性,则又失之过宽,这些行为都可以通过《合同法》《网络安全法》和未来的“数据安全法”等来规制;再如在对于损害后果的确定上,相关案例对于经营者的竞争利益损失缺乏明确的衡量方法,也无法确定相关“损失”是因竞争利益受损所致,还是因他人对数据的正当分享所致。

上述关于《反不正当竞争法》适用中的问题揭示了互联网数据分享和控制基本秩序的缺失,在此前提下,司法对于不正当竞争的认定仍应采取谦抑的态度,在个案的利益衡量中,应考察互联网数据分享和垄断的规律,将本应属于为事前防范的数据基本保护规则调整的内容留给立法和公共执法来完成,而将重点转向互联网业态下合理竞争秩序的探讨和规制上来。总体而言,不正当竞争规则对于数据控制的要求处于不确定的状态,故在数据控制体系上不能作为一种稳定的方式存在。

(四)数据控制理由之四:网络安全的保护

基于网络安全而对数据采取保护和控制是国家和社会层面安全保护的基本要求,它属于公共安全和公共利益维度的强控制领域,当然构成数据控制的合法理由。这种控制与数据分享并不构成任何冲突,并且成为数据分享与流动的保障。在我国《网络安全法》中,涉及数据本身的控制有如下体现:一是该法第12条规定禁止危害国家和社会安全的非法信息的流通;二是该法第27条规定的任何个人和组织不得从事非法侵入、干扰和窃取网络系统或数据等内容;三是该法第31条规定的对于关键信息基础设施的特别保护;四是该法第4章以下规定的对于个人信息和商业秘密等内容的保护。[51]其中第一和第四项属于信息安全保护的范畴,第二和第三项属于网络运行安全的范畴。我国目前没有正式制定颁布个人信息保护法,故该法中的第4章的大部分内容将与未来个人信息保护规范相重叠。《网络安全法》对网络运行和信息安全的维护是国家安全的重要保障,在判断不法行为的性质和后果时,应在价值判断序列中处于优先地位。但该法对于网络企业数据本身的保护语焉不详,只在第42条规定:“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”该条似乎确认了企业数据的分享和交易空间。除此之外,该法第3章和第4章规定的网络运行和信息保护方法也适用于对于企业数据的保护。《网络安全法》第37条还对关键信息基础设施中数据存储的本地化作出了规定。国家网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》对数据的双层评估进行了强化,并增加了相关部门的执法权限。目前规制数据跨境流动的争议主要在于,数据跨境对于国家安全的影响以及个人隐私域外保护的风险。数据跨国流动是未来的趋势,但其能否有效实现则依赖国家间在博弈基础上的协商合作。

值得注意的是,上述关于数据控制的理由并没有将知识产权的保护纳入其中,其原因在于,对于本身不属于知识产权保护范围的数据信息,采用知识产权保护方法,如上文分析存在较大困难,很难构成数据规制的理由。

四、“分享和控制”理论结构下的数据立法

在对数据私法保护的局限进行分析,且基于公共性原理对数据法律思路转换进行探讨之后,数据立法的基本逻辑和结构大致上便逐步清晰起来,即数据立法是介于数据分享和控制之间的公共规则体系,这种体系受制于数据分享和控制之间的天然张力。随着互联网的应用和业态的发展,分享的潜能将进一步被挖掘出来,而控制的理由在法律上则更趋严格,其实现则依赖理论判断的明晰和技术设计上的实用。

(一)分享和控制理论结构下数据系统操作规则的基础价值

以数据的“分享和控制”作为数据的理论和立法结构,有效避免了将数据的法律理论置于一个相互割裂甚至矛盾的状况之中。另外,从私法入手对数据进行定性的思路受到了现实中数据主要是受公法规范这一事实的困扰,在数据领域中现有私法理论和现实立法体系很少取得一致,我们目前没有观察到任何数据“权利”在私法上被类型化,并有可能被纳入私法既有体系进行系统规制的迹象。即使在强调个人信息自决权的欧盟立法中,否定数据权利化的主张仍占主流观点。[52]数据“权利化”的主张似乎更多地只是为了揭示公法保护背后的私人法益,而这种私人法益又总是与公共秩序相关。

将分享作为数据法律的基础价值,并辅以充分理由下的控制规则,就可以建立数据流动和限制的理论模式。这种理论模式可以有效解决目前数据理论面临的基本矛盾问题:一是私法研究进路中存在的数据成为多个“权利”的共同对象的理论困境,基于数据公共性和分享特性,我们若将上述所谓的“权利”理解为控制数据流动的理由,就可以使上述理论上的冲突得以消除。二是上述理论模式可以如实地反映当代数据法律中公益和私益的高度融合的现实。私主体在分享前提下享有的数据利益永远只是局部的和暂时的,且其利益保护离不开公共利益面向,从个人信息保护至企业数据保护都服从这一逻辑,这种利益只能通过数据基础秩序的建立来得以彰显,故从公法的控制角度就可以理解个人利益是如何通过控制得以呈现和释放。三是上述模式将数据置于公共品地位,就使数据法律理论从对数据的客体定性上解放出来,而专注于设计数据在计算机和互联网系统下的“导流图”。实际上对于数据属于何种权利客体这一问题的探讨,目前并不能对解决数据问题有实质帮助,我们可以为数据的某种特性“着色”, 但其结果最终会回归到回答如何平衡数据分享和控制这一根本问题上来。

在分享前提下建立数据控制体系,因缺乏数据权利这一前提,数据法益的保护实际上主要依赖于主体之间在网络空间中数据操作规则秩序的建立,故数据工具系统上的操作规则在解决现有大多数数据纠纷中具有核心意义。这种论断似乎浪费了学者在精深的权利理论方面的大量努力,但却更切合实际,其原因如下:一是数据问题虽然是信息问题在互联网数字系统上的延伸,但问题在于,现今我们面临的数据信息问题在非数字化领域并不一定存在,故在理论上应避免将数据问题扩大到所有的信息领域,而应将上述数据问题局限在互联网系统中。既然数据问题仅由互联网工具系统引发,则解决之道也应存在于数据工具系统中。二是数据工具系统的网络化使信息的生成、分享和控制过于直接和高效,这种特殊形态决定了传统社会的信息控制之道无法适用于网络环境,故在特定的数字化环境下,用户或企业通过技术手段自我控制数据是建立基础数据秩序的基本选择,在此基础上通过数据访问和操作规则来评判当事人的行为正当与否就具备了基础法律依据。三是现有的GDPR虽然以个人“信息自决”作为理论依据,但整部条例体现的无非是关于用户、平台和第三人在互联网环境下对于个人数据的操作规则的集合,并无明确的、抽象的权利规则存在。同样司法机关之所以对于目前企业数据权诸多案例的解决感到困难,从数据访问规则角度分析,原因主要出现在平台对于数据自我控制存在疏漏或不足。数据利益在网络中来源于自我控制,在数据公开或控制不足的情形下当事人以抽象的权利或利益受损向行为人提出请求,一定程度上缺乏充足和直接的法律依据。在美国司法实践中,对于数据纠纷的解决一直没有涉及数据权属的问题,而是通过《1986年计算机欺诈与滥用法》(CFAA)来对行为的性质进行认定,并且通过系列案例对于平台的数据控制标准提出了越来越高的法律要求。德国学者也将数据实际控制和访问规则作为数据纠纷解决之主要依据:“通过技术保护措施也可以排除未经授权的第三方数据访问。换句话说,对数据的实际控制,使公司能够签订关于数据访问的合同。对数据的实际控制与合同法相结合,为数据市场的发展奠定了坚实的基础。”[53]亦即实现数据自由流通的不是所有权规则,而是对数据访问规则的设计。

(二)数据控制和救济的立法逻辑

数据分享的途径不在于创造,而在于挖掘和释放。但数据控制则如上文所述,应具有严格和必要的理由,并保持立法上的谦抑态度。在此基础上,通过理由的分列甚至重叠,就可以形成数据控制的立法体系。基于数据的公共品面向,法律出于不同的理由对于数据进行控制,由此形成了数据控制法律体系。因此数据的控制和保护主要体现在公法层面上,私法一般很少直接涉及,除非信息本身属于传统私法保护的范畴(比如隐私和知识产权)。这种公法体系主要体现为强管制的法律,如《网络安全法》《个人信息保护法》《刑法》第285条以及正在制订中的“数据安全法”;也有管制相对较弱的法律,比如《电子商务法》和《反不正当竞争法》;还有技术配套的法律,如《电子签名法》等。这些法律均体现出保护性的特点,它们既服务于数据技术体系的安全,也关注信息本身的安全,但两者并不完全重合。在上述数据保护法律体系中,应当澄清两个理论问题:一是法律基于不同理由对于数据进行保护的体系中,存在规范的重叠现象,对此应如何理解;二是“数据安全法”在上述体系中,应如何定位,如何处理与相关法律的关系。

法律保护的重复或重叠现象,典型地体现在个人信息保护上。《网络安全法》在第四章“网络信息安全”部分,从第40条到第45条对于个人信息保护进行了具体规定;《电子商务法》第23、25条也涉及个人信息的保护,我国正在制订中的《个人信息保护法》将专门规定个人信息保护问题,未来的“数据安全法”也会有系统的个人信息保护内容。另外,网络运行安全的问题在《网络安全法》《个人信息保护法》《电子商务法》《反不正当竞争法》中都有规定,在未来的“数据安全法”中也将成为主要内容之一。对于这种法律规定内容的重复,不能理解为是应当避免或消除的现象,这一点与私法教义学上的科学规范体系的要求不同。在数据控制理由体系中,各种功能和目的是可以同时存在甚至叠加的,控制的理由之间并不存在完全冲突的现象,只会相互强化。如果立法者成功地在私法上完成了数据赋权,则不会存在上述现象,因为私法上的赋权将为数据圈定特定的私法领域,而不能容纳过多公法上的指涉。正是因为数据无法在私法上被完全权利化,故对于数据的保护只能基于各种理由进行公法控制,这种控制体系中的各种理由会在特定的立法目的下会被同时涉及,但不同的法律规制的侧重点会有不同。比如在个人信息保护上,《网络安全法》重在系统运行安全的保障上,《电子商务法》则立足于消费者权益保护,“数据安全法”兼顾数据防护和个人信息脱敏化处理,《个人信息保护法》重点防止信息被滥用和泄露等。对于网络运行安全同样如此,它被体现在不同的数据保护场合,比如个人信息和企业数据运行安全的防护上。

2018年被列入立法计划的“数据安全法”目前正式进入立法讨论阶段。这部法律与《网络安全法》和《个人信息保护法》的关系如何,以及如何定位“数据安全法”无疑会成为首要问题。关于数据运行安全,《国家安全法》第25条和《网络安全法》第76条都在运行安全上做了原则规定,前者强调保护网络和信息核心技术、关键基础设施和重要领域信息系统的安全,后者强调保障网络技术系统免受攻击和可靠运行,并保障网络数据的完整性、保密性和可用性。而《个人信息保护法》则重在保护个人信息内容,对此《网络安全法》也有较多涉及。在此情形下,“数据安全法”的立法目的和重点内容如何确定?从数据多层次控制体系出发,“数据安全法”同样涉及到数据运行安全和数据内容保护,但侧重点会有所不同:其一,“数据安全法”在数据运行安全上主要保护企业数据的安全,而非国家机构以及关键基础设施的数据安全,后者都被统摄于《国家安全法》和《网络安全法》,由专门法律和制度规制。在此基础上,“数据安全法”保护的数据主要针对企业收集和运营的商业数据,并不重点关注国家战略安全意义上的“重要数据”。[54]另外,“数据安全法”所称“数据”应为电子数据,电子系统以外的其他国家数据应适用传统保密法等相关法律保护。其二,“数据安全法”对于信息内容的保护应在沿袭个人信息保护的整体制度之上,侧重企业数据利益的保护,亦即“数据安全法”主要保护企业数据不被他人侵扰、窃取、破坏和非法利用等。它处理的主要是企业与其他企业、个人之间的关系,主要保护企业对于数据的正当商业利益,同时也兼顾企业对外分享数据时保证数据的完整性和可用性,以此间接保护企业在数据交易或互享方面的利益。其三,“数据安全法”的立法目的具有保护数据控制者法益的面向,它补充了《网络安全法》和《个人信息保护法》对于企业数据利益考虑和保护的不足,主要解决企业数据控制利益的维护问题。在此基础上,该法也将采用《网络安全法》和《个人信息保护法》中关于数据运行和个人信息安全的一些制度和方法,是对上述两部法律法在数据运行和内容安全保护领域的细化和延伸,故在相关法律立法目的大体一致的基础上,“数据安全法”也具有自身独立的地位。

“数据安全法”基于其保护性法律的公法地位,主要目的在于建立网络企业间的数据控制基本秩序,它不涉及数据确权。在企业数据的保护上该法将提供系统的规则,但在救济上是否仍旧需要独立的私法规则支持?依据上文的分析,数据确权在理论上很难推行,人类对于信息的权利化目前也只停留在知识产权和隐私等人格权上,即便如此,法律对上述应当特别保护的信息,也未能在信息本身的确权上做出努力,而是通过可以操作的利益划分和行为模式来予以适当的保护。如知识产权主要着重于知识产品的商业流通利益部分,隐私权则着重于隐私信息不被非法泄露和公开的防御等,从保护等级和力度上,企业数据的保护应当弱于知识产权这种较强保护方式,体现为一种弱保护模式,如上文所述,它应弱于商业秘密这种特定信息的保护。其原因在于,数据可被知晓或分享的门槛较低,采取强保护措施无异于阻止数据的流动,阿罗的信息悖论(Arrow information paradox)较好地阐明了这一点。[55]在此基础上,对于企业数据的保护更适合通过非法行为的负面清单列举的方式,在“数据安全法”中对不法行为予以阻却和预防。企业数据利益因此体现为一种基于事实控制的利益,它没有以权利为基础的私法规范控制,企业对数据的事实控制本身构成了法律上一个完整的、相对明确的利益判断。在法律救济上,针对他人对企业数据的侵害,受害方主要是基于“数据安全法”中保护性条文的违反,请求对方停止侵害。如果同时要求对方赔偿自身相关损失,则应适用纯粹经济损失法则,通过侵权法一般条款获得救济。当然在此过程中,行政执法甚至刑事责任的追究是较民事救济更为有效的遏制非法行为的方式。

声明:本文来自中外法学,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。