[author]彭诚信
[content]
数据(信息)是一种资产或资源,有观点甚至认为,对于网络空间中的数据(信息)若不让人(含企业法人、非法人组织等)自由利用的话,它便是一种道德上的恶,因为
它阻碍了数据经济以及人工智能产业的发展,甚至阻碍了数字社会的发展。这种观点尽管说出了网络数据的积极价值,指出数据已在商业(尤其是零售业)、公共卫生和安
全、个人消费升级等领域创造了许多价值,其更多潜在用途被社会所期许,但却没有意识到任意使用数据(信息)的潜在危害,尤其是数据(信息)中所含个人隐私时。包
含个人隐私的数据(信息)若被他人任意使用,既违反了法律,也是更大意义上道德的恶,因为这不仅会使得人失去尊严,而且也会造成人在社会上更大的不自由。可见,
隐私、信息及数据的个人保护与企业利用之间的对立便成为数字社会发展的最大矛盾。
生活的历史实践告诉我们,任何新事物的出现,都是推动生活前进的动力,而非社会发展的掣肘。既然如此,有关信息保护与数据利用的矛盾便并非不可克服,只不过要找
到解决该矛盾的关键:即,数据、信息以及隐私之内在法律上的厘清。既然我国《民法总则》同时规定了隐私、个人信息与数据三个概念,未来《民法典》也基本上可以肯
定不会发生大的变化,那么我们就应该认真对待隐私、个人信息与数据在法律内涵上的界分。遗憾的是,现行法律并没有对隐私、个人信息与数据的内涵做出明确界定,我
国《民法总则》第110条是关于隐私权是受法律保护的权利的宣示条款,但对隐私的内涵没有具体规定。《民法总则》第111条是关于个人信息受法律保护的宣示条款,但
没有从正面确定个人信息的具体内容,而仅仅是从相对方负有的义务作出了简略的规定。在关于个人信息和数据的其他法律文件中,其内涵同样尚不明确。《网络安全法》
第76条第5款规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身
份证件号码、个人生物识别信息、住址、电话号码等。”之后的各部门规章、行政规范性文件对个人信息各行从各行业角度作出规范,实际上均是对《网络安全法》中个人信
息界定的延续。《民法典》(草案)同样对三者区分不明,其中第1032条第2款规定:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
”第1034条第2款和第3款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息, 包括自然人的姓名、出生日期、身份证件
号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。个人信息中的私密信息, 同时适用隐私权保护的有关规定。”可见,个人信息与隐私在客体范围方面仍
然是混淆的。但伴随互联网络时代的到来,企业对数据(信息)利用的迫切需要对三者做出相对明确的法律理解,否则,便难以清晰信息商业利用与个人权益保护的界限,
阻碍互联网社会的正常发展。
何为隐私?
概括地说,既然《民法总则》与即将临世的《民法典》同时规定了隐私与个人信息,那么隐私的内涵在我国法中应该是狭义的,但是目前的学理区分并没有给司法实践提供
适当的判断路径,反而引发了判断标准的模糊,两种概念经常混用。我国法应然意义上的隐私权内涵应包含以下要点:
首先,从权利主体来看,隐私的主体只能是自然人,其他主体如法人、非法人组织等皆非隐私的权利主体。其次,从客体范围来看,隐私应主要是关涉个人自然存在与社会存
在之自由与尊严方面不愿为他人所知的信息,如关涉性取向与选择以及基因信息等。再次,从权利内容看,隐私权的范围取决于作为隐私的客体范围。伴随着数据利用时代的
到来,法律既需要正面对隐私内容作出积极规定,也需要对非隐私内容作出相对明确的排除性规定,唯此方能为企业等主体对个人信息的利用清除法律上的障碍。尽管“敏感
信息”与“非敏感信息”等术语也实践中经常出现,但至少现在看来还不构成严格规范意义上的法律术语。《民法总则》《网络安全法》等法律并未将其作为术语使用,我国
《民法典》(草案)中也仅将个人信息中的私密信息作为隐私保护。由此可见,“敏感信息”与“非敏感信息”的区分更多来自于互联网企业的自发实践,被列明在各互联网企业
的隐私保护政策中。最后,从隐私权的法律属性来看,其人格权的法律定性,无论是在我国理论界、立法界抑或司法界中几乎没有任何争议,而且这种人格权不包含任何财
产属性,或者说,它不具有任何交易的属性与可能。
狭义的隐私权内涵与严格的人格权属性决定了隐私信息不能自由交易和公开;哪怕权利人同意,也不能任意处分,因为它关涉人在社会上自由与尊严的基本存在样态,法律
因此要严加保护。尽管数字社会对个人数据与信息的利用与流转要求日益迫切,但数据、人工智能产业的发展也不能突破法律底线:即人的隐私权利不容任何方式或理由予
以侵害与妨害。如果隐私信息基于国家或社会安全的需要一定要利用的话,比如出于对疫情的考虑,需要掌控并公布一定的信息,那也必须依据法律的明确规定予以使用,
且对隐私权的主体要做匿名化处理。
何为个人信息?
既然我国《民法总则》与即将临世的《民法典》也同时规定了个人信息与数据,两者也应该在法律上做出明确界分,以消除我国理论界与实务界对二者表述经常发生的混用
或混淆。我国法律应然意义上的个人信息内涵应包含以下要点:
(一) 个人信息的主体与客体
此处的“个人”并非仅指自然人,因为法律并不排除企业、非法人组织拥有自己的信息,信息的主体范围跟隐私权的主体范围并不相同。但当下在我国现实生活中乃至法律上
讨论的个人信息中的“个人”,往往指的是自然人,这一点需注意,《民法总则》第111 条规定“自然人”的个人信息受法律保护;《全国人民代表大会常务委员会关于加强网络
信息保护的决定》第1条第1款:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”以上法律规定虽然没有明确排除自然人之外的其他主体享有信息权,但
可以表明立法存在不周密之处。实际上,诸如企业的组织架构信息、员工信息、客户范围等信息的保护也变得日益重要。
对自然人主体来说,应是去除隐私之外独立保护作为客体的个人信息。如“顾怀荣、黄翠英等与洪泽县富达纺织有限公司、淮安日报社隐私权纠纷案”中,法院认为公民身份
号码属于一般性的个人信息,在无特殊规定的情况下,不属于隐私权的保护范围,这反映了个人信息与隐私在客体范围上进行区分的可能。至于如何明确个人信息的客体范
围,是否需要再区分为敏感信息与非敏感信息等类型,则需要法律尽可能做出明确规定,因为它关系到信息利用的范围与方式。此外,法律上的隐私权与敏感信息的关系并
不清楚:如果个人信息不包含隐私,那么无论敏感信息,还是非敏感信息都不是隐私,这种理解会大幅拓展个人信息的利用空间。此处的观点可能会显得不符合常情,甚至
会引起争议,根本原因就在于隐私与个人信息的边界不清楚。当明确隐私仅为自然人所有、内涵范围狭小且在个人信息范围之外,信息再敏感也不应包含隐私这一观点便不
致被人误解。甚至,原本就不应该再对个人信息做出类型划分,之所以划分敏感信息与非敏感信息,原因就在于个人信息与隐私的关系不清。同时,个人信息与隐私在客体
范围上的混淆,也在一定程度上造成了司法实践中个人信息的保护不力。
清楚了个人信息的主体与客体范围,我们就会发现,在法律上针对自然人使用个人信息与个人数据概念时,其本质上都是指的信息。因为能够把个人信息与数据区分开的,只
是在信息学等技术意义上,即把数据界定为以0和1二进制单元表示的信息。而只有0和1组成的数据符号聚难以具有法律意义,具有法律意义的唯有信息。在世界范围内,站在
自然人立场设计的相关法律文件,无论使用的是个人数据还是个人信息的表述,在实质上都指向的是个人信息,本文建议在此意义上的概念应统一使用个人信息,而非个人数据。
(二) 个人信息的法律属性论争
将个人信息界界定为人格权还是财产权,学界有多种观点。但界定为人格属性相对更为合理。因为信息多属于人的社会属性,是人的社会存在形态的法律体现;人格便是人的社
会存在基础,即自由和尊严。把信息界定为人格,体现了对人的社会(包括虚拟世界)存在样态的尊重。清楚了个人信息的人格属性,我们便可明确以下几点内容:
第一,把个人信息界定为人格,并不意味着信息不能被他人使用。恰恰相反,把个人信息跟隐私严格区分的主要目的之一,就是要让个人信息可以为他人利用。只不过并非直接
利用信息,因为所有人格都不具有交换价值,或者说都不能进行直接交易,能够交易的唯有财产。个人信息的财产属性决定信息所有者可以先将其个人信息通过运用商品化权或
公开化权(publicity rights)的方式转化为财产利益或价值,然后再许可他人使用。在此意义上,个人信息尽管是人格利益,而非财产,但个人信息经商品化或公开化后的财产利
益,可以为他人利用,包括为商业利用。
第二,有关个人信息的利用。表面上看来,当下学界与实务界讨论的核心问题是信息主体的同意权,并在实践中发展出“三重授权规则”,即开放平台方直接收集、利用用户个人
信息须获得用户直接授权;第三方开发者通过开放平台间接获得用户数据,必须经过平台方授权和用户本人再次明确授权。不过,在用户、网络运营者以及第三方之间,这种事
前一对一征求信息主体同意的模式存在诸多问题。具体来说,这种同意模式对信息控制者与使用者来说效率很低,信息主体同意的内容也不会相同。为保证信息主体同意相同内
容,那也只能以格式合同为之。这无疑会增加信息控制者与使用者的成本,且在发生争议时也难以起到风险防范的作用。这种同意模式对于信息主体来说,在根本上也没能维护
其应有的财产利益与人格权益。信息主体或是不得不同意,或者即便同意,信息主体也得不到应有的财产利益,甚至有时交出去的是个人信息,换来的却是伤害,如普遍存在的
大数据杀熟、算法歧视、预测性识别等现象。可见,一对一的事前同意规则并不符合数字社会发展的客观要求与应然逻辑。需要在此强调的是,对于个人信息的利用,尽管取得
个人同意是重要前提,但要设计出既能符合互联网社会要求,又能体现尊重信息主体人格与保护财产利益的现代而科学的同意方式。
第三, 个人信息利用的核心矛盾。掣肘个人信息利用的深层矛盾,不在于个人信息的定性(无论是否定性为人格利益,其本质上都可通过制度设计予以转让),不在于同意规则
的设计(人类总能设计出更为理想的同意规则),而在于如何保障信息主体在最低程度上不受损害,在中级程度上得到信息利用者所得利益的分配与分享,在终极意义上感受到
对自由与尊严的尊重。经常有人说,个人信息在单个人手中并无价值,而只有通过收集、加工与整理等才能实现其价值最大化。但这并不能证成使信息主体放弃其信息价值的正
当性,一个人不看电视,并不能证成其电视可被他人随意取走。这种观点更非信息加工者可任意、无偿取得他人信息的正当理由,何况这会给信息加工者带来利益。尤其是当信
息加工者通过整理大数据,反过来又侵害无偿信息提供者时,这更有“恩将仇报”的意味。因此,如何设计出能让信息提供者切身感受到红利的信息利用制度也许是解决当下矛盾
的关键。无论是通过设立特定税收、基金、信托等方式,均无不可,但关键是这些税收、基金、收益的使用目标与路径如何能让信息提供者感受到制度红利的反哺。在此意义上
,除了隐私,个人信息中所蕴含的财产价值均可让渡与利用,关键是如何对信息利用者定价以及如何反哺信息所有者。该价格未必是信息控制者、利用者与信息所有者之间谈定
,而应该是通过符合网络社会发展的应然制度来确定。美国的《加州消费者隐私保护法案》(CCPA) 正在对此努力做出尝试,其中第1798.125条(b)(1)项规定:“企业可以提供财
务激励,包括向消费者支付补偿金,用于收集个人信息、出售个人信息或删除个人信息。如果商品或服务的价格或差异与消费者数据提供给消费者的价值直接相关,企业也可以
向消费者提供不同的价格、费率、水平或质量。”该规定主要是在信息提供者与利用者间寻求商定利益分配的方案,并特别反对价格歧视。再次强调的观点是,让信息提供者感
受到制度红利,未必是利用者与信息提供者之间通过合同买卖来实现,甚至本不应通过此种途径实现,而是可通过宏观的分配制度间接实现信息提供者的利益保护。可比照现实
社会中,国家对全民所有的土地、森林、矿藏、水流等自然资源的利用与对国民反哺的路径。
第四, 尊重个人信息主体的底线是不能侵害信息主体的利益。上限是要赋予信息主体尽可能全面的具体权利,比如同意权、知情权、查询权、可携带权、删除权(被遗忘权)
以及红利受益权等。其中有些权利名称(如红利受益权)还主要是在描述意义而非在法律规范意义上使用,但要清楚保障信息主体的利益和其自由与尊严的路径,就是要赋予
其符合互联网思维模式的更为实效的多元权利。比如,信息主体同意权的设计,便要突破现行的一对一签约形式;知情权、可携带权的范围也要进行准确界定;删除权与区块
链的矛盾也要从根本上解决;而红利受益与分配制度,更需要多种制度相配合。
何为数据?
以我国《民法总则》与即将临世的《民法典》分别规定个人信息与数据为基础,我国法应然意义上的数据内涵应包含在以下要点:
(一)数据的主体与客体
从数据主体来看,数据主体主要是指对个人信息予以加工的法人(企业)、非法人组织与个人。但我国当下现实生活中乃至法律上谈及的数据主体,往往指的是数据企业而非具
体信息主体,这一点需引起注意。从数据的客体来看,确定了数据的法律主体,我们便能清楚作为法律研究对象的数据范围了。法律上关注的数据并非在信息学等技术意义上以
0和1二进制单元表示的信息,此类数据并非法律规范的客体。受法律调整的数据是数据主体对个人信息整理、加工或经脱敏处理后的信息,即衍生信息。法律上关涉的数据尽管
在本质上是信息,但这种信息往往是一种大数据集合,它往往并不以与信息主体直接关联的方式面世。在多数情况下,法律甚至明确要求法律上的数据必须切断与信息主体的直
接关联,即脱敏。
清楚了此点,我们不妨这样理解数据:既然我国《民法总则》与即将临世的《民法典》同时规定了数据与信息,对于没有经脱敏处理的、尚能够识别出信息主体的数据,可依据
有关个人信息的法律规则处理;只有经过脱敏处理,无法识别,或不能直接识别出信息主体的数据,才是法律上应关涉的数据。由此可见,数据主体拥有的其实是多为他人信息
,为跟个人信息的概念相区别,可称之为数据或企业数据。
(二)数据的法律属性
基于数据主体范围与客体属性的理解,数据的法律属性应主要为财产属性。一是,作为法律客体的数据并不与具体个人直接关联,无从识别为何人信息。此时的数据已经完全成为
外在于人的存在物。二是,作为法律客体的数据往往为多人信息的大数据集合,更难以与具体个人关联,也更具有财产价值。三是,该数据是外在于所有人的独立存在物,往往负
载着加工者、整理者的劳动和智慧,具有财产属性,且能够为他人利用。
真正有生命力的数据应该是能够实时更新、具有无限复制可能的数据。数据尽管具有财产属性,但又具有鲜明的特殊性。第一,尽管数据的财产属性跟作为物权客体之物的属性相
同,但区别更为明显。物权标的并不具有可复制性,数据则具有可复制性。第二,数据具有无限可复制性,而不损害其自身价值与存在寿命。尽管数据在可复制性上与作为知识产
权客体的智慧成果相同,但在本质上并不同于智慧成果。智慧成果尽管也可复制,但它更要求有创新性,而创新性并不为数据所要求。第三,数据可在虚拟空间永续的特性并不意
味着其财产价值的永续,而实际上是当下作为交易客体的数据其价值往往仅是一时性的,原因就在于数据自我更新功能的缺失。在此意义上,这样的数据还不是真正意义的数据,
真正意义的数据,应该是具有自我更新功能与自我生命力的数据。
数据是人工智能得以存在与发展的前提。人工智能体所有功能的实现,都是通过算法并利用数据加工的结果,数据因此成为人工智能体得以存在的阳光雨露、空气、土壤与食粮。
人工智能体能否健康发展与成长,会在一定程度上受其产生土壤、呼吸空气以及入口营养(即数据)质量的影响。也正是在此意义上,“人工智能的本质是数据”之论断在法理上是
成立且符合法律发展方向的。如果自然人类希望人工智能体具有健康成长并具有天使般情怀的话,自始就应该让人工智能体在未受污染的土壤中生长,呼吸没有雾霾的纯净气体,
饮食含有天使般DNA的健康食粮,并在算法中植入尽可能完善的法律规则与崇高的伦理规则。所谓健康的数据就是一定不能包含侵害他人隐私的数据,并一定要经得信息主体知悉
同意并有效脱敏的加工数据。数据在本质上毕竟是个人信息的综合,尽管不能直接与信息主体关联,但并非绝对不能关联。数据主体与个人信息主体的具体法律关系,应该由法律
专门对此作出相关规定,比如对信息加工、脱敏的具体要求,可携带权、知情权等应如何具体保护等。另外,还要建立并完善相应的数据理论监管规则,确保信息安全。
数据利用的矛盾如何从根本上消除
清楚了对数据、信息与隐私等法律内涵的界定:基于从主体、客体、内容等要素的理解以及对三者法律属性的理解,即隐私属于人格利益但不包含财产属性、信息亦属于人格利益
但可包含财产属性、数据则仅具有财产属性,解决数据利益之现实矛盾的路径便也水到渠成。
第一,数据完全可以为数据主体自由使用、自由转让,而为他人利用。但这其中一定要避免信息泄露的法律风险。由于数据在本质上为众多他人信息的集合或整合,脱敏仅仅意味
着是在技术意义上切断了信息与其特定主体的关联。在使用过程中,一旦发生个人信息,甚至隐私的泄露,数据主体必然会承担相应的法律责任。
第二,个人信息尽管其属于人格利益,但这种人格利益基于信息主体的同意,并经过商品化权或公开化权的行使转化为具体财产利益后,可以进行交易。需要再次明确的是,任何
人格权或人格利益都是不能进行交易的,能够交易的只能是物权或财产利益。对于个人信息之财产价值的利用,站在信息主体的角度讲,要赋予其尽可能全面的权利,且其权益不
能受到无端侵害;从加害人的角度讲,侵害个人信息的后果必然会承担侵权责任,且对信息主体的损害,甚至包括精神损害,要进行完全赔偿。这其中有三个最重要的难点:一是
,一定要设计出符合互联网思维的信息主体同意模式;二是,法律要尽可能确定进行商品化或公开化的信息内容;三是,一定要设计出能让信息主体感受到其信息被他人利用的制
度红利。若这些制度不能明确,信息利用的矛盾便难以从根本上消除。
第三,隐私作为自由与尊严的一种价值体现,其不具有任何财产属性的交易价值。站在隐私权人的角度讲,隐私要受到法律的绝对保护,且不能附加其他任何条件。从加害人角度
讲,对于侵害隐私的行为,其法律后果必然是无条件予以禁止,加害人所负的具体法律后果,重则承担刑事责任,轻者承担侵权责任,对受害人所受损害,包括精神损失,必然要
予以完全赔偿。
结语
数据与信息往往被比喻为数字社会的“石油”或“土壤”,在当下或许有一定的道理,甚至也符合当下数字社会的现实。因为“数据孤岛”的存在,使得数据或信息确实像线下社会的石油
,不均匀分布且不具有联通性;而数据或信息作为线上的“土壤”,成为信息主体、数据平台甚或国家争夺的资源,各个国家已经规定或试图规定的“长臂管辖权”,也足以证明数据或
信息上权属之争。但是,以上这些理解已经制约或将会大大制约数字社会的发展,具体表现在数据以及人工智能等产业的发展方面。长期看来,如果数字社会已经成为社会发展的
必然形态的话,如果人们要确保其良性发展的话,那么数据或特定信息的开放与共享就必然成为数字社会的客观要求。
在这个意义上,数据或信息便不应仅是数字社会的“石油”或“土壤”,更应是数字社会的“氧气”,即人人均可呼吸、均可共享的资源。数字社会中的“氧气”跟线下社会的“氧气”一样,只
有清洁与清新,才能保证呼吸者的健康。而要保证数字社会中“氧气”的清洁与清新,就不能让雾霾来玷染,污染数据与信息的雾霾,就是隐私。换句话说,在数字社会中被收集、加
工、整理与使用的数据中不能包含个人隐私。由于个人隐私的主观价值特性,法律一方面在立法上尽可能地对普适性隐私予以正面规定。另一方面,在社会常态利用中,使用者
甚至可设立专门的“数据安全负责人”)对作为使用对象的数据或信息审慎判断,尽量不触及个人隐私,还要通过司法裁判者对争议性信息予以司法裁判。
总之,隐私不可利用且受法律绝对保护,个人信息可以利用但要经得主体同意,数据则可自由利用。个人信息的有条件利用与数据的自由流转便成为推动数据经济发展的两架巨轮
,而隐私的绝对保护则为数字社会的发展指明了前进方向:即人的自由与尊严价值不可动摇,互联网络时代亦如是。