作者:邢会强 中央财经大学法学院教授
摘要:个人信息依法交易、流通、共享是大数据时代的必然要求。要大力发展包括个人信息在内的大数据交易,就必须对数据尤其是个人信息进行确权,明确权利归属。个人信息的人格权归属于个人,但其财产权却因个人信息的不同分类而不同,即基本个人信息的财产权为个人所独有,伴生个人信息和预测个人信息的财产权为个人与信息企业所共有;但在伴生个人信息的财产权中,个人的份额大于信息企业的份额;在预测个人信息的财产权中,信息企业的份额大于个人的份额。在此基础上,再根据个人信息的种类,采取不同类别的采集与交易规则,为个人信息的交易提供法律支持。大数据交易和大数据交易场所的自律管理制度建设,则为实现个人信息的财产权提供了可能。
关键词:关键词:个人信息 大数据 大数据交易 大数据确权 财产权
一、引言:大数据交易需要数据确权
大数据是大数据时代的一种重要的资源和生产要素,其商业价值逐步显现,大数据的共享、互通、交易应运而生。其实,早在上世纪90年代,美国就有学者建议建立一个全国信息交易市场,专门用于个人信息的交易。由于是集中公开市场,交易价格是能自由充分反映市场供求的均衡价格。在上述建议的基础上,还有学者提出了引入做市商以解决个人信息交易市场流动性不足的问题。
上述建议的背景是上世纪九十年代信息社会早期阶段,当时还没有大数据的概念。在当前正在步入大数据的时代,这些大胆设想正逐渐变为现实:各类大数据交易平台在国内外纷纷涌现。国外比较知名的大数据交易平台有美国的Factual、InfoChimps、BDEX、Datacoup、Reputation、Personal等,英国的Kasabi,加拿大的Quandl,日本的富士通公司的“数据商场”(Data plaza)等等。在国内,目前已涌现出30多家大数据交易所,且新的大数据交易所还在不断设立。它们的具体交易对象、业务模式不尽相同。
尽管大数据交易风生水起,但其发展却面临着亟待解决的法律难题。目前合法可行的业务模式主要是匿名数据的交易,难以交易能识别到特定个人的“个人信息”,这主要是因为个人信息的权属不明,个人的交易意愿也不高。要大力发展大数据交易,前提是对个人信息进行确权,因为大数据中不可避免地包含个人信息。对包含个人信息在内的“数据”进行权利界定即确权具有十分重要的意义,因为“如果没有初始的权利界定,就没有交换和重组它们的市场交易”。数据确权的关键在于“个人信息”的确权,这是因为各方对于企业数据和匿名数据的权属争议不大,而对于“个人信息”的权属争议较大。这是本文研究的主要对象。
在我国《民法总则》立法过程中,一直存在着是否直接确立个人信息权的争论。考虑到个人信息的复杂性,《民法总则》只是笼统地规定了自然人的个人信息受法律保护,而没有直接使用“个人信息权”的用语,“以便为未来个人信息如何在利益上兼顾财产化,以及与数据经济的发展的关系配合预留了一定的解释空间”。自然人对于个人信息所享有的是一种权利还是仅仅是一种利益?有的认为是一种利益,有的认为是一种权利。其实,这都是在侵权法(尤其是在德国侵权法)的语境中进行探讨的。跳出侵权法,从整体民事权利的视角看,如果我们承认“权利是受法律保护的利益”这一定义,则既然《民法总则》规定了自然人的个人信息受法律保护,并规定了相关义务人的义务,则个人信息权是可以成立的。本文正是在这一前提下展开研讨的。
二、个人信息权属:基于类型化的分析
在大数据时代,“个人信息是一个复杂的资源体系”。探讨个人信息权的归属,宜置于对个人信息进行详细分类即类型化的基础上。
(一)个人信息的既有分类及其不足
1.最主流、最传统的个人信息分类
通常的个人信息分类是基于隐私权保护的需要而进行的,主流做法是将信息分为敏感个人信息与琐碎个人信息。其意义在于:法律对于敏感个人信息的收集、处理和利用,一般都会强加某些特殊的限制条件,从而对敏感个人信息给予更高的注意以及特殊的保护。
另一种较为流行的分类是根据能否直接识别出特定个人而将个人信息分为直接个人信息与间接个人信息。如仅凭某一信息即可识别出特定个人则为直接个人信息。间接个人信息则是指不能单独直接识别出特定个人,但结合其他信息却可以识别出特定个人的信息。这一分类的目的在于:法律不仅保护直接个人信息,还同等保护间接个人信息。这一分类偏重于对自然人的保护,却不利于大数据产业的发展。因为随着科技的发展,以前不能识别出特定个人的信息在今天就可能识别出特定个人,这就导致身份不可识别信息不断地被升级为身份可识别信息,从而限制了个人信息的合理流通和利用。此外,将直接个人信息与间接个人信息予以同等保护也值得商榷。
以上对个人信息的传统分类过于简单,难以满足大数据时代对数据流通与利用的客观需要。基于此,国内外一些机构和学者对个人信息或数据的再分类进行了不同的尝试,有的是两分法,有的是三分法。
2.个人信息的其他分类
第一种提出了个人信息与个人数据的二分。这种观点认为,个人信息强调可直接识别性,即可以直接识别出某一特定个人的信息;个人数据泛指一切与个人有关的数据,不强调“直接可识别性”。“间接个人信息”不应属于“个人信息”而应属于“个人数据”;个人信息的商业价值归属于个人,未经允许,基于商业目的对个人信息进行买卖和利用,都属于财产侵权行为;而对于“个人数据”,商家可以自由收集且无需事先征得同意,商家对其所收集的“个人数据”享有财产权。这一观点剥夺了自然人对“个人数据”的财产利益,公平性有待商榷。
第二种分类是将个人信息分为人格紧密型个人信息和人格疏远型个人信息。符合直接识别性、敏感性、个体性强三个特征之一的个人信息,都属于人格紧密型个人信息。同时符合间接识别性、非敏感性、社会性强三个特征的个人信息,属于人格疏远型个人信息。对于人格紧密型个人信息,法律更多地将信息利用的同意权能赋予信息主体;而对于人格疏远型个人信息,法律应当对其利用设置明确的基本要件,信息主体的同意权受到法律限制。这种分类方法具有积极意义,但它属于两分法,分类结果稍嫌简单。
第三种分类是世界经济论坛的分类,它根据信息的来源将个人信息的类型分为个人提供的个人信息、被观察到的个人信息与推测的个人信息。这种观点认为,随着物联网时代的到来,第一种信息其所占的总体比例将会下降,传统的个人信息保护法将不敷使用。在物联网时代,个人信息保护的机制和原则需要改变。
第四种分类是马尔吉里的分类,他将个人信息的类型分为强关系信息、中级关系信息与弱关系信息。强关系信息是指客户直接提交的信息。中级关系信息是指观察到的或推论出的与客户现在的生活状况相关的信息。弱关系信息是指预测的信息。他认为,对于强关系信息,个人拥有排他性的具有准财产权性质的商业秘密所有权;对于中级关系信息,由于信息企业付出了一定(尽管很小)的努力,个人不具有完全的准财产权,而具有适度的准财产权,可以称之为多重准财产权(multi-level quasi property)或共享准财产权(shared quasi property)。至于弱关系信息,其实不能算作是“信息”而应该算作是“知识”(knowledge),其本质上具有不确定性。只有当其确定下来时才算是“个人信息”;这类信息,个人不再具有准财产权,而是信息企业的商业秘密。总之,马尔吉里的主张是将个人信息当作商业秘密进行保护,商业秘密被他定位为一种准财产权。马尔吉里的分类具有启发意义,但其将个人信息定位于商业秘密却是值得商榷讨的。如果说企业拥有商业秘密权,或许异议者不多,但如果说个人也拥有商业秘密权,则有违民法基本原理了。这是因为,对于个人的秘密,民法上一般是作为个人隐私(权)进行保护的,而不作为商业秘密进行保护。
第五种分类是将“个人数据”分为三个层次:(1)原始数据,它是个人在社会经济生活中所产生的各类数据,包括自愿提供的数据和观测到的数据;(2)二次数据,它是通过各种技术手段对个人数据进行综合分析得到的中间数据(即被推断的个人信息),如个人的消费偏好等;(3)三次数据,它是建立在二次数据基础上,在特定的应用场景下的定制化处理,从而得出的最终数据,是一种具有直接应用价值的数据。这一分类与世界经济论坛以及马尔吉里的分类颇为相近,但其将自愿提供的数据和观测到的数据归为一类是否合适值得商榷。另外,三次数据(最终数据)的定性,尤其是其与匿名数据的关系也没有明确。
(二)个人信息的新分类及其权属划分
借鉴以上分类,笔者将个人信息的类型分为“基本个人信息”、“被记录的伴生个人信息”与“预测个人信息”三类。
第一类是“基本个人信息”(或称“个人基本信息”)。它是指个人提交的关于本人的特定信息,包括个人标识型信息(如姓名、曾用名、身份证号、生物基因信息、手机号码、邮箱、账户账号等能联系到特定个人的信息)与个人属性型信息(如性别、民族、政治面貌、宗教信仰、体重、身高、籍贯、婚姻状况、出生日期、家庭成员、社会关系、特长、职务、职称、学历、学位、学习或工作经历、工作业绩、获奖情况、荣誉称号等)。“个人基本信息”能够单独或相互参照从而很容易地识别到特定个人,关乎其人格尊严与人格自由,因此具有人格利益。但是,由于其具有商业价值,因此具有财产利益。个人基本信息的财产利益或财产权完全属于个人,因为它完全是个人整理和提交的。当然,即使个人不提交这些信息,在现在的技术条件下,信息企业也可能猜测和采集(记录)到,但它的准确度不高,在此情况下,它们就落入了第三类个人信息——“推测的个人信息”。只有个人提交的信息才是精准的,而它们属于“基本个人信息”。
第二类是“被记录的伴生个人信息”(简称“伴生个人信息”)。它是个人在生活、交易或工作中形成并被信息企业记录下来的关于个人的信息,它是个人活动的副产品。例如上网记录、阅读记录、收看或收听记录、交易记录、身体锻炼记录、位置信息、IP地址、行动轨迹、睡眠记录、饮食记录、诊断记录等。这些信息不是个人主动向某信息企业提供的,而是在有关的生活、交易或工作中自动形成的。在农业和工业社会,由于记录方式和保存方式落后,这些信息一经形成便随风而逝。但在信息社会,这些信息得以以较低的成本被信息企业记录和保存。这些信息的记录和保存,有的是得到了个人的“知情同意”(主要是点击隐私政策条款而同意),有的则是通过个人的行为而“默示同意”(如客户填写的收货地址和联系方式等)。“伴生个人信息”也能与其他信息相结合而识别到特定个人,危及个人生活的私密性和逃遁社会生活的自由,具有人格利益。对于其商业价值、财产利益,笔者主张予以财产权保护。伴生个人信息的财产利益或财产权为个人与信息企业共有。之所以二者共有,一方面是因为个人自己不能有效地记录和保存这些信息,信息企业记录和保存该信息付出了一定的资本、资源和技术。但由于信息企业的付出还不够多,在该项共有财产权中,个人的份额多于信息企业;另一方面是因为信息企业在采集、加工这些信息之时并未支付对价或支付的对价较低,信息企业还不能单独取得完整的财产权(预测个人信息亦然)。“伴生个人信息”与世界经济论坛提出的“观察到的个人信息”不同,因为被观察到和记录下来的个人信息,除了伴生个人信息之外,还可能包括基本个人信息(含标识性个人信息),如作为生物识别特征的虹膜、指纹、面部特征等。而“伴生个人信息”主要是行为型信息。
第三类是“预测个人信息”。它是通过大数据对个人进行画像后得出的结论,如预测一个人的健康状态、寿命、个人偏好、工作表现、发展潜力等。它们主要是一种属性型信息。“预测个人信息”的产生,需要信息企业付出更多的资本、资源、技术、劳动或智力等。因为它是关于特定个人的信息,这些画像结论是个人的“人格剖面图”,是个人的信息化形象,个人对其有被他人操控的疑虑和恐慌。只有“保持其信息化人格与其自身的一致性而不被扭曲,才能有自尊并受到他人尊重的生存与生活。”因此,预测个人信息也具有人格利益。笔者同样主张对预测个人信息的商业价值、财产利益以财产权保护。预测个人信息的财产利益或财产权也为个人与信息企业所共有,但信息企业的财产权份额多于个人的财产权份额,因为信息企业的付出较多。
以上三种个人信息都是与特定个人身份有关联的信息,还有一类与特定个人身份失去关联的信息即“匿名信息”或“匿名数据”,它是指将个人信息中的可识别到特定个人的部分信息予以移除,无法再识别出特定个人且不能复原的信息。因匿名信息已经去除了特定个人的身份,无法识别到特定个人,因此不受个人信息保护法的保护。“匿名信息”属于信息企业的无形财产。
总之,基本个人信息、伴生个人信息和预测个人信息,都是既有人格权,也有财产权。就其人格权而言,均属于个人。但其财产权却有所不同:个人基本信息的财产权属于个人,伴生个人信息的财产权为个人与信息企业所共有,预测个人信息的财产权虽然也为个人与信息企业所共有,但信息企业的财产权份额多于个人的财产权份额。匿名信息已经失去了人身属性,仅剩下财产权,属于信息企业的无形财产,为信息企业所独享。如表1所示:
需要说明的是,在以上前三类个人信息中,仍均有敏感信息。对于敏感信息的保护,已有较为成熟且严格的人格权保护规则,对此各方异议不大。因此,后文不再对伴生个人信息和预测个人信息中的敏感信息进行论述。但对于以上各类信息的财产权及其分配,因争议较大需进一步论证。
三、自然人享有个人信息财产权:理论证成
无论是在国外还是在国内,实践中个人信息大多数为收集者所控制和无偿使用。也有不少学者主张除了个人的基础信息之外的增值信息(哪怕是包含了没有完全去身份的信息)属于信息企业。在美国判例法中,法院在Pierson v. Post案中确立了类似于“野生动物理论”的财产权归属规则:个人信息在收集之前,就像野生动物一样不属于任何人,但它一旦被收集,就归属于收集者,就像野生动物属于第一个捕获它的人一样。鉴于实践中大量的个人信息被信息企业所控制,个人大多不知情且无法决定信息的流通,也不能分享信息流通的收益的现状,我们有必要依据个人信息的不同种类,将其财产权全部或部分地赋予个人。个人信息财产权全部或部分地赋予个人的理论依据可以分为自然权利理论和经济学理论(法律经济学理论)。
(一)自然权利理论
自然权利理论以洛克的劳动财产理论为代表。洛克的劳动财产理论上承威廉·配第,下启亚当·斯密、大卫·李嘉图、卡尔·马克思,影响巨大。尽管也有不断有学者挑战、质疑这一理论,但目前还没有任何一种理论学说能够完全替代它。洛克的劳动财产理论认为,正是劳动使一切东西具有不同的价值,“劳动属于劳动者。通过将劳动施加于原材料和其他尚无归属的东西之上,人能使得这些东西成为他或她的私有财产。”“咋一看,洛克的理论似乎支持个人信息的财产权应归属于收集者而非个人,因为收集者在收集个人信息时有劳动投入。”这在各国将客户名单作为企业的商业秘密进行保护的实践中,以及美国Pierson v. Post案中确立的个人信息财产权归属规则中均有体现。但是,仔细地对洛克的理论进行研究,得到的结论是截然相反的。这是因为:
第一,因为洛克的理论建立的自然的原初状态假设是:在人类社会的最初时代,资源十分丰富,人口又少,这使每个人都有可能通过自己的劳动来获得财产,维持生活。即大自然有充足的共有物,每个人都能够将其劳动注入其中,在不侵犯他人的财产的情况下,获得他自己的财产。
第二,洛克同时认为,每个人占有的财产,不应超过他能够享用的范围。如果一个人捕杀了过多的动物,采摘了过多的果实,超过了自己的使用范围而据为己有,那么,他就违背了自然法。“谁能在一件东西腐烂之前尽量用它来供生活所需,谁就可以在那个限度内以他的劳动在这件东西上确定他的财产权;超过这个限度就不是他的份所应得,就归他人所有。”因此,洛克反对对财产的贪婪占有甚至垄断。数据寡头对个人信息的垄断如已超出了其合理使用的范围,如果洛克在世,他也应该是持反对态度的。
第三,洛克是在一种广泛的意义上使用“财产”的,其中包括一个个体的人格和劳动。洛克理论的另一个基础性假设是“每个人都有自己的财产”。洛克是从“人”的定义开始论述财产权的。洛克将“人”定义为“一个思考着的智慧存在,具有理智和反思,能够认识到其自身的存在,在不同的时间和地点都具有同样的思维。”在洛克看来,记忆代表了人持续的自我意识。洛克说:“人既是自己的主人,自身和自身行动或劳动的所有者,本身就具有财产的基本基础。”在洛克看来,一个人拥有他的四肢,因此也应该拥有他四肢劳动的作品。如果说一个人拥有自己的身体是有道理的,那么,在人格实体理论(the embodiment theory of personhood)看来,身体是一个人的财产,因为它构成了一个人的人格。这一思维导致了一种财产侵权理论:干涉一个人的身体就是干涉一个人的个人财产。“用现代语言来说,洛克是通过每个人的‘个人身份’(personal iderntity)来定义‘人’的,‘个人身份’包括每个人的‘个人信息’(personal information)——收集到的独特的个人信息使人们认识到他是谁。”根据这一推理,个人信息是有主物,并非Pierson v. Post案中认为的个人信息是无主物。因此,“根据洛克的理论,个人信息的收集者不应被允许获得优先于个人的财产权,这就像一个人在邻居的花园里捡起的花不能获得优先于邻居的财产权一样。”
第四,举凡个人信息,都或多或少凝结了个人的“劳动”,哪怕他(她)是个懒汉、未成年人或者靠社会保障维持生存的人。“劳动形态是一个历史范畴,不同社会形态下的劳动具有不同的性质和内涵。” “即使是把劳动看成是一种本质,也只能说,要找到一种易于理解的认识劳动的一致性方法,依旧是个难题。” “劳动”的最初涵义是指体力劳动。而洛克的劳动财产理论是在威廉·配弟的思想上发展而来的。威廉·配弟的名言是:“土地为财富之母,而劳动则为财富之父和能动要素”,强调了劳动在财富创造中的重要作用。洛克将劳动在财富创造中的地位置于远高于土地的地位之上。洛克说:“我认为,如果说在有利于人生的土地产品中,十分之九是劳动的结果,这不过是个极保守的计算。……在绝大多数的东西中,百分之九十九全然要归之于劳动。”在《政府论》中,洛克既将劳动看作是一种将无主物划归私用的过程(如从河水中取水、从树上摘下果实等),又将劳动看作是一种对自然界的改造(如耕作土地)。但实际上,在洛克所处的时代,已经有体力劳动与脑力劳动的区分。后人则大大发展了“劳动”的概念,区分了简单劳动与复杂劳动、常规性劳动与创造性劳动。人们对体力劳动和脑力劳动的认识也得以深化,二者之间不再泾渭分明,而实际上是相互交织的关系。尽管“劳动”的涵义在变化,如果我们承认“劳动创造价值”或“劳动创造财富”这一前提性命题,那么,在大数据时代,虽然有的信息的价值密度较低,但凡数据(信息)皆有价值,皆是财富,甚至数据会取代货币成为新的支付手段,经济将从金融资本主义转向数据资本主义。在此前提下,一切能够创造数据的人类行为都可以被定义为“劳动”。换言之,大数据时代的“劳动”涵义已经不能再用农工业时代的“劳动”涵义来理解了。
当然,信息企业对个人信息的收集和加工、处理毕竟与在大自然界中进行打猎、在邻居的花园里拾花不同:对于个人提交的个人信息(包括直接信息与间接信息),由于个人的信息所有权意识很强,个人付出了填写和整理等方面的劳动,个人也能很好地保持此类信息,因此,其财产权应全部归属于个人,信息企业不能仅因收集和简单的整理而取得财产权。对于伴生个人信息,尽管“物已有主”,但在经个人同意的前提下,信息企业对其进行了抓取、记录和保存,而个人不能很好地保存此类信息,因此,此类信息的财产权应为个人与信息企业所共有。当然,如果未经个人同意而对他人的“有主物”进行抓取、记录和保存,则类似于盗窃,信息企业不能取得财产权。如前所述,由于信息企业抓取、记录和保存伴生个人信息的成本不高,在伴生个人信息的财产权中,信息企业的享有份额不应多于个人。对于预测个人信息,由于它是关涉个人的,仍属于个人人格的组成部分,根据洛克的理论,个人对其享有财产权;在个人同意对其预测的情况下,由于预测个人信息是在基本个人信息和伴生个人信息的基础上加工而来的,信息企业付出了更多的资本、资源、技术、劳动或智力等,预测个人信息的财产权应为个人与信息企业共有,且信息企业的财产权份额多于个人。对于匿名信息,尽管它是在伴生个人信息和预测个人信息的基础上加工产生的,但已经去除了个人的基本信息,无法识别到特定个人,只剩下“加工物”了,因此,个人不享有匿名信息的财产权,其财产权完全归属于信息企业。
(二)经济学理论(法律经济学理论)
经济学理论主要从市场缺陷(主要是外部性与信息不对称)出发来分析个人信息财产权的归属,但也可以从科斯开创的交易成本理论或从卡拉布雷西所提出的财产规则与责任规则入手进行分析,后两种理论视角又被称为法律经济学理论。
尽管波斯纳从交易成本理论的视角认为,由于征得个人的一一同意成本高昂,为了促进财富的最大化,应将个人信息财产权赋予给收集者以便于信息的利用。但波斯纳没有考虑到个人信息的过度利用给个人带来的滋扰,没有考虑到个人为了防范这些滋扰所付出的“防卫成本”以及个人为了保护其隐私而付出的“隐私费用”。由于现有的默认个人信息归属于收集者的制度存在着严重的负外部性问题,即个人信息流通的社会成本(包括经济成本和非经济成本)不是完全由收集者承担,而是部分由隐私被侵犯的个人甚至社会来承担。个人和社会对收集者的“补贴”导致了收集者的无效率行为——在对不希望接受广告的人们投放广告方面“过度投资”,在开发满足个人隐私偏好的前提下接受广告的技术方面“投资不足”。再加之个人信息可能存在错误,如个人不能纠正信息记录的错误,这对于交易双方都将是经济上无效率的。根据庇古的理论,矫正负外部性的对策是将外部成本内部化。重新分配财产权,将个人信息财产权全部或部分地分配给个人就是一种将外部成本内部化的办法,这样,个人就可以参与到个人信息的定价和流通之中。
此外,从信息不对称的视角看,由于个人无法参与到个人信息的交易之中,他们对个人信息如何在市场上被利用全然不知,也没有任何途径来监督、影响个人信息的交易和使用。市场不但无法限制个人信息的滥用,反而创造了过度披露个人信息的机制性激励。为了扭转这一信息不对称,有必要赋予个人以信息财产权,使个人能够知悉、控制、参与到个人信息的收集、转让过程之中去。
从交易成本理论的视角看,如果交易成本为零,则无论权利的初始配置给谁,市场交易的结果都将是最优的。但现实却是一个交易成本高昂的世界,因此,个人信息的最初产权配置极为重要。正是因为个人信息的最初产权错配即实际上全部配置给了信息企业,才导致了市场缺陷,并最终导致了个人信息的定价过低,信息企业侵害个人信息权的成本过低,侵权行为泛滥。政府应矫正这一市场缺陷,将个人信息的财产权(至少是部分财产权)交还给个人,提高其参与交易的能力,确保个人信息市场的有序运作。
从财产规则与责任规则的视角看,也应该将个人信息财产权(至少是部分财产权)配置给个人。“财产规则意味着一个人要想获得法益(entitlement),必须通过一对一的谈判和自愿交易从拥有者那里购买。”“责任规则意味着如果未经拥有者同意而损害其法益,则必须予以赔偿,赔偿金的多少不是由当事人双方协商确定的而是由公权机构决定的。”换言之,在责任规则之下,“只要愿意支付一个客观确定的价值,就可以消灭一个初始法益”。财产规则下的法益定价只能是交易双方的自愿定价,而责任规则下的法益定价往往是第三方权威的强制定价。如果运用责任规则,则意味着适用侵权法的填平损害的赔偿规则来保护个人信息。在每一案件中支付多少赔偿金,都需要根据个案来进行具体估价,这无论是对于原告来说,还是对于法官来说,成本都极其高昂。此外,为了获得损害赔偿,原告必须证明其实际损害,这是非常繁琐的。这使得选择责任规则,采用侵权法的填平损害的赔偿规则是无效率的。“从个人公平、收集者获益,以及逻辑一致性的角度看,通过财产规则规制个人信息,允许个人最大程度地控制其个人信息以及相关利害关系方加入到相互可以接受的交易中来,而不是将有价值的社会资源予以冻结,是可行的选择。”这就意味着,个人应享有一定的个人信息财产权,以便其运用财产规则加入到个人信息的交易流转过程之中。
四、个人信息财产化:理论质疑回应与实现难题克服
(一)对个人信息财产化理论的质疑与回应
个人信息财产化理论的提出最早可追溯至上世纪70年代,当时就有美国学者提出赋予个人信息以财产权,这得到了不少学者的呼应。例如,莱斯格认为,通过财产权来保护个人数据,财产制度鼓励用户利用财产权的方式,来保护适当的许可;利用隐私强化技术(如隐私参数平台协议),使用户可以创设许可;如果没有得到许可,隐私使用者将构成侵权。在我国,刘德良认为,对于那些既有人格利益又有商业价值的个人信息,法律应该同时以人格权和财产权来进行保护。龙卫球认为,莱斯格主张赋予用户以个人信息财产权却排斥数据从业者的财产利益不妥,应在区分个人信息和数据资产的基础上,进行两阶段的权利建构:对于用户,应在个人信息或者说初始数据的层面,“赋予其基于个人信息的人格权和财产权的双重性权利”;对于数据经营者,应分别配置数据经营权和数据资产权。
但上述提议也遭到了质疑。其理由是:第一,传统的民法理论认为,一个权利要么属于人格权,要么属于财产权,不可能既是人格权,又是财产权。个人信息权也是如此。第二,人格权也可以通过许可使用制度进行商业化利用,传统民法理论也不认为这是财产权,不能因为个人信息的商业化利用而推论出其是财产权。第三,个人信息是在交往中产生的副产品,无需付出努力,个人不能获得财产权。第四,规定所有权的主要目的在于促进市场对稀缺资源的有效配置,个人信息不具有稀缺性,其使用不会导致个人信息的枯竭。第五,单个的个人信息并不具有多大的商业价值或(基本上)没有商业价值,相反,信息企业通过收集、加工、编辑和处理大量的个人信息,付出劳动和成本才创造或增加了个人信息的商业价值。
以上观点虽不乏反思价值,但不足以构成否定个人享有全部或部分个人信息财产权的理由,原因如下:
第一,关于个人信息权的性质,目前主要有人格权说与财产权说之争。限于本文主旨及篇幅,对此暂不讨论。但不论个人信息权性质为何,个人信息权内容中既有人格利益又有财产利益却是公认的。在个人信息权是一种法定权利的前提下,其人格利益部分因法有规定也可以整体地被称为人格权,其财产利益部分因法有规定也可以整体地被称为财产权。换言之,个人信息权既包括人格权,又包括财产权。对于其人格权部分,可采取人格权的保护方法;对于其财产权部分,可采取财产权的保护方法。或许还有人认为,对于同一类个人信息,自然人在享有人格权的情况下,还要与信息企业共享财产权,这种说法与民事权利理论相矛盾,因为即便是知识产权也只是作者对其客体享有完整的财产性权利和精神性权利。其实,在知识产权中,我们是可以找到传统民事权利理论的反例的。例如执行本单位任务所完成的职务发明,其申请专利的权利属于该单位,申请被批准后,该单位为专利权人,但发明人或者设计人享有署名权。这种署名权是一项具有严格人身属性的人身权。换言之,职务发明的人身权与财产权并非只能完整地被某一主体所享有而不能割裂地分享。须知,用户数据之上同时承载了个人信息利益和数据从业者的利益,我们对这两方面的利益必须予以同时承认。
第二,人格权的商业化利用,利用的就是人格权上面承载的财产利益或财产权。在大数据背景下,人格商业化利用的许可使用制度已不能适应大数据交易发展的需要。大数据交易的做市商大量受让个人信息却不加以使用,而是加价后卖出获利;在大数据交易过程中,还出现了数据加工商,它们买来包含个人信息的大数据进行清洗、加工之后再卖出获利,自身也不使用数据;大数据交易还可能出现投资者,他们是数据的套利者和流动性提供者,他们像投资股票一样投资数据而不使用数据。以上情形都是数据(含个人信息)的交易、转让,是人格权许可使用制度不能解释、不能解决的,因此,需要重构个人信息财产权的实现机制。
第三,“个人信息无需付出劳动”的观点有待商榷。在大数据时代,个人信息是新的财富形式,它具有价值,它是信息主体(个人)的行为创造的,该个人行为就是大数据时代的“劳动”,与农工业时代的“劳动”(简称“传统劳动”)不可同日而语。大数据时代的“劳动”既包括“传统劳动”,又有新的劳动形式(简称“新型劳动”)。“个人信息无需付出劳动”的观点是在用“传统劳动”去度量大数据时代的“新型劳动”,且该度量也是以偏概全的。例如,个人基本信息的整理和提交显然是需要个人付出“传统劳动”的。个人伴生信息虽然是在交往中产生的副产品,个人没有付出“传统劳动”的主观意图,但这并不意味着个人不需要付出成本,包括终端损耗、网络流量成本、购买成本、时间成本、交通成本等。例如,个人开车使用手机地图从A点到B点,则需要消耗手机耗损、网络流量支出、交通成本等。哪怕是个人使用手机在网上闲逛消磨时间也是需要耗费成本的。这种耗费人的时间成本和硬件成本、网络流量成本而又创造个人信息的行为就是“劳动”。随着人们个人信息权利意识以及对个人信息的管理能力的增强,其“劳动”的主观意图在增强。哪怕一个人戴着检测心率的手环在睡觉,这也是在“劳动”,这不仅仅是因为他有穿戴这一肢体动作(传统劳动),更重要的是因为他的心脏一直在跳动。预测个人信息因其“基础信息”——基本个人信息与伴生个人信息中内含的个人“劳动”而本身含有个人“劳动”因素。
第四,个人信息尽管很丰富,人类的活动不断产生新的个人信息,个人信息的价值衰减很快,但仍需要付出“劳动”,也是具有稀缺性的,尽管其稀缺性不及不动产和动产等传统物品。否则,就无法解释国家之间、互联网企业之间为何对个人信息的争夺为何如此激烈。此外,个人信息的使用不会导致个人信息的枯竭的特点,实际上是指个人信息在消费者上的非竞争性,这更不能构成否定个人具有个人信息财产权的理由。很多知识产权和公共物品都具有此特点,但其财产权以及其归属却是不容否认的。
第五,信息企业通过收集、加工、编辑和处理个人信息,付出劳动和成本,也不构成否定个人的信息财产权的理由。这只能说明,在个人同意的情况下,信息企业可以与个人共享财产权。尽管单个的个人信息价值低微,但也不能否认个人的财产权。单个的个人信息毕竟是大数据的基础。如果没有一粒粒的沙子,就没有整个沙漠。但我们不能因为一粒沙子的微小而否认其价值。只不过,由于单个的个人信息价值微小,确权与分配成本极为高昂,甚至可能会超过其组成的大数据的价值。在此情况下,法律制度有两种理性选择:一是不作为,放弃确权与分配;二是尽量降低确权与分配成本,使之低于大数据的价值。如果有第二种选择,则法律不应作第一种选择。反对赋予个人信息以财产权的学者实际上做出了第一种选择。而笔者则试图让法律作第二种选择。至于个人如何分享其个人信息交易所得,则需要精细的制度设计,后文将予以论述。
(二)自然人个人信息财产权的实现难题与克服
自然人的个人信息财产权在现实中还遇到了如何实现的难题。对此,有人认为,一方面,个人信息在现实中被肆意践踏的原因并不是个人对其信息没有财产权的问题,而是因为个人对其信息失去了控制。个人对信息不具有绝对性的支配权,也不可能有效地行使此类权利。即使个人信息归个人所有,也无法真正提高个人对个人信息的控制力。个人信息自身的特征以及个人与信息企业力量的失衡才是个人对其信息失去控制的根本原因。赋予个人信息以所有权,非但不能改变这种力量的失衡的状态,反而使信息所有权向信息企业转移,将不当信息处理的行为合法化;另一方面,赋予个人信息财产权的目的在于促进个人信息的流转,由于个人与信息企业力量上的悬殊,以及个人的非理性,个人根本无法对其个人信息进行准确估价。如果定价过高,则会导致信息市场萎缩。如果定价过低,而一旦信息的所有权被转移到信息企业手里,个人根本无法掌控其命运。即使将数据权利配置给弱势群体,该权利也很容易被信息企业的格式合同低价甚至免费地“交易”掉。
对于上述现实难题,笔者认为,自然人对个人信息的控制问题、个人与信息企业在力量上的悬殊问题、个人信息的估价难题等,在大数据交易的场景下,是可以通过相关制度(如经纪人制度、做市商制度、分配基金制度等)和技术手段(如区块链技术,加密技术等)予以克服的。而所谓的个人信息权利被低价或免费地“交易”掉的现象,实际上是在场外数据交易市场发生的,场内交易因有自律管理和监督机制而可以避免场外交易侵犯个人信息权利的弊端。例如,如果做市商以及其他会员通过采取概括授权的方式变相地将共有的个人信息财产权变成实际上单独所有的财产权,则个人可向交易场所或行业自律协会投诉,交易场所或行业自律协会也会有相应的处理措施。各方市场监督和社会监督的力量也会对此予以关注,从而避免这一现象的发生。总之,保护弱势群体的法律(工具)除了格式条款控制、消费者保护法和反不正当竞争法之外,还有证券法。我们可以借鉴证券法对中小投资者保护的成熟经验来维护大数据交易中个人的权益。
因个人行权困难或收益较低而否定自然人对个人信息的财产权,只有在特定情况下,基于效率的理由才能成立。如果基于公平的考量,该主张就未必成立。即使基于效率的理由,也应该看到,个人的行权成本和收益也不是一成不变的。法律制度的设计应追求公平与效率兼顾,尽量通过制度设计降低个人的行权成本,增加个人的收益,而不应对个人的诉求一直视而不见。如果能够通过场内交易及相关制度设计能达到降低个人的行权成本,增加个人收益的目的,法律就应该予以促进。
五、自然人个人信息财产权的实现机制:以大数据交易为例
个人信息财产权具有使用、收益和处分等权能。大数据交易是一种新的个人信息财产权实现方式,需要相关制度建设予以促进,包括国家法律制度建设和大数据交易场所自律管理制度建设两个方面,它们构成了重要的自然人个人信息财产权实现机制。
(一)国家法律制度建设
如今,包括个人信息交易在内的“大数据交易”为个人信息的流通提供了一个类似于证券交易的公开市场。由于现行法律的滞后,合法的大数据交易主要是“匿名信息”的交易。我们应在对个人信息进行分类的基础上,对个人信息的财产权,依据“汗水原则”,根据不同种类的信息中内含的劳动贡献,分别配置给个人或/和信息企业,为他们所独享或共享,在此基础上,建立健全个人信息的收集与交易规则,为逐步放开个人信息的交易扫除法律障碍。
按照我国目前的法律规定,收集、使用个人信息前要征得个人的同意,包括明示同意或默示同意。明示同意是指个人通过纸面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”“注册”“发送”“拨打”等。国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828—2012)第5.2.3条规定,收集个人一般信息时,可采取个人默示同意的方式。如果个人明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人的明示同意。目前,个人信息使用实践中采用了一般个人信息默示同意,敏感信息需要明确同意的基本方式。默示同意其实是选择退出(Opt-out)规则,明示同意其实是选择进入(Opt-in)规则。在选择退出规则与选择进入规则之外,还有一种无需个人同意规则(强制收集规则),即既不需要个人选择进入,也不给予其选择退出的机会(权利)。
按对个人的保护程度排序,最严格的规则是纸面方式选择进入规则或曰纸面授权规则,即某类个人信息的采集与交易必须得到个人的纸面明确授权。该纸面不再是网络上的点击同意即可,而必须是线下的签署纸面授权书。其次是电子方式选择进入规则,即个人可以采取电子化的授权方式,授权信息企业采集与交易其个人信息,如果没有个人的该种方式的同意,则禁止对其个人信息的采集与交易。再次是选择退出规则,即除非个人明确反对,否则信息企业可以对其个人信息进行采集与交易。当然,选择退出规则也分为电子形式和纸面形式两种,前者比后者更有利于个人。最后是无需个人同意规则,即无需征得个人的同意,由信息企业自主决定某类个人信息采集与交易的规则,且不赋予选择退出的机会。
如果开放个人信息的交易,则究竟该选用何种规则呢?笔者认为,我们应该对个人信息的采集与交易规则采取分类规范,具体言之:第一,基本个人信息是个人主动提交的,提交行为本身可以视为一种采集授权。但对于基本个人信息的交易,则适用最严格保护的规则——“纸面选择进入”规则,而不能采用电子形式。第二,伴生个人信息的采集和交易应采用电子方式选择进入规则。例如,如果信息企业利用Cookie记录、存储、交易他人的伴生个人信息,则当个人登录网站时,网站应会自动会弹出一个窗口,询问其是否允许,只有个人点击同意后,该网站才可以记录、存储、交易该信息。第三,对于预测个人信息的生产和交易,应采取电子方式选择退出规则,即信息企业对个人进行预测、画像,以及对预测个人信息进行交易时,应以电子形式给予个人以退出的机会。之所以采取该规则,是因为这类信息一方面离个人较远,另一方面信息企业的财产权份额多于个人。第四,对于“匿名信息”,其交易无需征得个人的同意,由信息企业自主决定即可。上述规则如表2所示:
需要指出的是,电子方式选择进入规则和电子方式选择退出规则针对的是不含敏感信息的伴生个人信息和预测个人信息。如它们含有敏感信息,则比照基本个人信息的保护规则,采用最严格的保护规则。通过以上规则设计,尤其是对于预测个人信息的生产与交易的选择退出规则的采用,能够极大地便利信息企业生产与交易该类信息,由于信息企业的财产权份额多于个人,这也能刺激信息企业多生产该类信息,但信息企业应向相关个人支付相应比例的收益(具体做法相见后文分析)。
(二)大数据交易场所自律管理制度建设
大数据交易所的交易属于场内交易。在当前我国社会信用体系尚不健全,市场主体的诚信意识还不够高,个人信息被非法采集与转让的问题比较严重的情况下,场内交易既能保障个人信息的交易权及其他相关权利的实现,又能比较有效地控制个人信息的非法采集、转让和使用。因为大数据交易所具有先进的技术手段,可以追踪数据流通的每一环节,大数据交易所的自律管理和会员制制度,能够督促交易者合法采集、转让和使用个人信息,并能有效禁止个人信息未经许可情况下的二次转让和信息泄露,确保个人信息安全。个人信息的场内交易还能够通过清算交收和监督追踪解决个人对其信息的控制问题,通过建立相应的信息披露制度扭转个人与信息企业之间的信息不对称,通过经纪人制度克服个人与信息企业之间的地位不对等,通过做市商制度、竞价交易制度和专业分析师制度解决个人信息的估价难题。
经纪人制度、做市商制度、竞价交易制度和专业分析师制度都是当前证券市场上的基本制度。这些制度是随着证券交易的发展、探索而逐步发展而来的。数据交易与证券交易有很强的共通性,证券交易的很多成熟制度都可以为数据交易提供借鉴。具体而言,证券经纪人为买卖双方寻找相对人,并收取一定佣金,大大缩短了交易双方交易的时间成本,提高了交易效率。这显然也是数据交易所需要的。但经纪人居间交易仍然存在不能保证客户的交易委托立即成交的不足,于是,做市商制度应运而生,它有助于提高市场的流动性,平抑价格波动,增强市场稳定性。但做市商制度也存在着弊端,尤其是在传统做市商模式下,由于做市商具有一定的市场控制地位以及做市本身所具有的较强的技术性和隐蔽性,做市商比经纪商和一般投资者更具有欺诈客户和操纵市场的可能。这在数据交易市场也是可能存在的。因此,需要法律的精准规制,谨慎地在既激励做市商为市场提供流动性,又很好地保护投资者或信息主体的利益之间取得微妙的平衡。为了克服做市商垄断市场的弊端,当交易者的数量和供需显著增多以后,最佳选择是推出竞价交易制度,或者竞价交易与做市商并存的“混合交易制度”。专业分析师制度通过调研、追踪和分析、评价,旨在挖掘证券的内在价值,为投资者提供决策参考。在大数据时代,也会催生一些新的职业,如大数据算法师、数据科学家、大数据分析师等。
目前,我国的大数据交易还处于初级期阶段,一些大数据交易所也在进行数据交易经纪商和做市商的探索。但由于数据黑市交易猖獗,而黑市交易既逃避了税收,又逃避了向个人支付成本,因此价格较低,大大挤压了数据经纪商和做市商的生存空间,使其目前的商业模式难以持续。这需要国家大力整治和惩罚数据黑市交易,以避免“劣币驱逐良币”的现象发生。
个人信息的价值因人而异。穷人的信息不值钱但穷人需要钱,富人的信息值钱但富人不缺钱。这是个人信息供给的一个困境。但社会上还是存在大量的中产阶层,他们的信息有价值,他们也需要“钱”,他们是“量化自我”和数据供应的主力军。数据市场的一个特点是需求旺盛。如果需求得不到满足,在市场机制之下,供给品的价格就会提高。如果国家加强个人信息保护,提高执法成效,杜绝了数据黑市交易,个人信息的价格就会提高,直至供需平衡为止。社会上固然存在大量的隐私保护意识较强、风险意识较高的人,但也存在不少愿意与他人甚至社会分享其个人信息甚至隐私的人,毕竟分享个人信息还是能为其带来益处的。如果法律有效打击个人信息的滥用,愿意分享其个人信息的人就会更多。如果他们还能再从分享个人信息中取得“货币收益”(包括数字货币、虚拟货币)的话,愿意分享个人信息的人就会进一步增多。他们越是愿意分享个人信息,数据的维度就越丰富,质量就越高,买方的收益就会越大,出价就会越高。如果以上能形成良性循环,就能极大地促进大数据交易的发展,同时又能切实地保护好个人信息财产权。这将是一个各方共赢的方案。这比全面否定个人信息的财产权,“谁收集就归谁所有”的方案更公平,也终将更有效率。
我国目前正在步入大数据时代,大数据的价值还未充分发掘,鉴于单个的个人信息价值尚比较微小的特点,除了允许数据经纪商和做市商的探索外,还可以在个人信息价值确认和分配上采取基金机制,即信息企业应将在大数据交易中个人应得的部分缴付于“个人信息分配基金”,当个人收益超过分配成本时分配给相关个人,当个人收益小于分配成本时暂不分配或者在个人同意的前提下用于个人信息保护等公益目的。
总之,大数据交易场所应加强数据流通规则、信息披露规则、清算规则、个人信息分配基金规则、经纪人制度规则、分析师制度规则等方面的制度建设。这些制度在性质上属于自律管理规则。例如,贵阳大数据交易所发布的《贵阳大数据交易所702公约》即是如此。
大数据交易场所的自律管理制度作为自律规范,相较于法律规范,更能建立“内生机制”,有效降低国家管制成本。自律规范在制定之初就历经了行业内部多方利益代表充分交换意见,它本身就是利益博弈与妥协的结果。在科技创新日新月异的背景下,自律规范能够及时跟进市场创新的进度,在制定法和科技进步之间构建一张缓冲垫,通过信息保护的自觉性规范实现安全与效率的平衡。法律应对大数据交易场所的自律管理制度予以认可,将其视为民法总则第10条规定的“习惯”(具体言之是“商业惯例”)予以对待,而不能认定为“合同”,使自律规则能够成为裁决纠纷的准据。
六、结语
“野火烧不尽,春风吹又生。”大数据交易在滞后的法律的约束与旺盛的市场的需求之间不断迭代,顽强生长。“数据之于信息社会就如燃料之于工业革命。”在大数据时代,包括个人信息在内大数据交易能够促进数据的流通和利用,进而能够提高经济效率。而大数据交易需要法律制度的保驾护航。我们应顺应大数据时代发展的要求,承认自然人对于个人信息的财产权,在对个人信息进行分类的基础上,建立健全采集与交易规则,以便在更好地保护个人的同时,促进大数据的开发、流通、共享和利用。
文章来源 《法学评论》2019年6期
声明:本文来自数字经济与社会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。