【作者】彭诚信
【内容提要】
数字法学的前提性命题与核心范式
*作者 彭诚信
上海交通大学凯原法学院教授
摘要:数字法学是研究数字社会中可数字化之客体、行为及相关权利义务关系的学科。其前提性命题是数字社会的存在、对数据(含个人信息)的算法处理以及数字伦理对算法的约束,而作为数字社会物质基础的数据及其上的基本法律问题,如个人信息的客体属性、权益属性、权利归属等,构成了数字法学的核心范式。个人信息客体属性、权益属性、权利归属的复合性及基于算法的可计算性特征,决定了数字领域法律关系的多元性、法律救济的特殊性。数字法学的这些特征决定了不能简单将其定性并归入线下社会的某一部门法,而应定位为纵(公法、私法)横(国内法、国际法)兼具、横跨多个法部门的综合性、交叉性、融合性法学学科。
伴随大数据、区块链、人工智能等算法技术的快速创新,如何在高质、高效利用数据的同时保护个人信息安全,加快推进社会治理与经济发展的“数字化”转型,已成为促进数字经济发展、提高国家治理水平的关键。自党的十八大以来党中央高度重视对数字中国的建设,党的十九大作出建设数字中国的战略部署,党的二十大再次强调加快建设“网络强国、数字中国”,“加快发展数字经济”,并把“基本建成法治国家、法治政府、法治社会”作为“基本实现社会主义现代化”,尤其是“基本实现国家治理体系和治理能力现代化”的总体目标之一。数字技术的应用与数字经济的发展是构建数字中国的内在驱动,其外在发展与进步则离不开法治的保驾护航。将云计算、人工智能等科技与法学交叉融合、构建数字法律体系是实现数字中国的必然抉择和未来方向,“数字法学”由此应运而生。作为涉及法学、计算机学、统计学、伦理学等多个学科的新兴学科,数字法学在概念体系、理论体系、话语体系等方面均具有开放、交叉、多维的特征,标志着法学开始从物理时代迈向数字时代。对于数字法学在基本范畴与理论体系等方面较传统法学学科会发生怎样的实质性变化,学界有不同观点。“持守”者认为数字法学是“数字+法学”,主张“数字”是法学研究新方法或认识法律现象的新工具;“革新”者则主张数字法学是现代法学的整体升级和代际转换。
无论如何解释数字法学与传统法学之间的关系,面对一个新的法学学科,首先要确定其内在的基本范畴,即基本的权利义务及其所指向的客体,其次要确定其外在学科属性和基本特征。就数字法学而言,厘清其前提性命题与核心范式是确定学科设置与从事学理研究的理性基础。结合数字法学所面向的特有数字化客体(数据,含个人信息)、行为(数据处理行为、智能合约等)及相关的权利义务关系(个人信息权及个人信息处理中的义务),可知该学科存在两个前提性命题:一是数字法学应植根于以算法为核心的数字社会形态;二是数字社会中的数据应以算法识别为前提,且受算法伦理的约束。这两个前提性命题决定了数字法学特有的核心范式:一是数字社会中数据的内在法律特性,即数据的可计算性以及个人信息的算法识别性,其决定了个人信息在客体属性、权益属性、权利归属等方面的复合性;二是调控数字社会法律现象之数字法学的外在法律属性,包括法律关系的多元性、法律救济的协同性、学科归属的综合性等特性。尽管数字法学与传统法学学科相比呈现诸多独特性,但法学基本价值追求的恒定性决定了其终极价值取向,即数字法学根本上仍是对个人信息背后“人”之基本价值(自由和尊严)的关注和保护。
一、数字法学的前提性命题
(一)数字社会是讨论个人信息的前提
数字社会的到来使个人信息、数据相关法律问题得以凸显。传统线下社会的诸多民事权益,尤其是某些人格权利以及知识产权的客体,如姓名、肖像、荣誉、名誉、智力成果等,就其内容而言都是信息,只是法律并未使用信息这一概念,而是表达为人格利益、智慧产品等。可以说,信息不是数字社会特有的法律现象,传统线下社会也保护信息,但其有特定的保护范围:一种是人格性信息,即人格利益,另一种是由信息形成的知识,从而分别形成了人格权制度和知识产权制度。在数字社会,法律对信息的关注不再局限于传统人格利益与智慧知识。数据是数字社会的基本物质要素,数字社会的权利义务分配均围绕数据展开。更进一步说,数字社会的法律主体尽管多元,但信息主体与信息处理者是重要且常态存在的一对主体。个人信息是自然人身份再现于数字空间的人格标识,是数字法律关系的物质基础,而个人信息保护与利用之间的矛盾是数字法律关系的中心矛盾,数字社会的基本法律规则主要围绕这一矛盾的解决而擎画布图。简言之,数字社会是讨论个人信息的前提,脱离了数字社会,信息保护问题完全可由传统人格权和知识产权等制度解决,法律既不会对个人信息给予全流程、全生命周期的普遍保护,也无须围绕个人信息生发出内容丰富的专有制度安排。个人信息是数字法学的基本范畴,围绕个人信息构建数字法律规则是数字法学的核心研究范式。
因此,个人信息首先应置于数字社会之中讨论。有学者在探索数字时代的法学变革时,将数字社会与农业社会、工商业社会相对照。从人类社会生产力发展历程来看,因生产力的发展带来了社会形态的巨大变革,按生产力特征划分社会形态并无不妥。但对数字法学来讲,重要的不是社会形态的历时性变化,而是作为与物理空间并存的数字空间,生活于其中的人们在法律关系上发生了怎样的改变。具体而言,一个人生活在农业社会,便不能同时生活在工业社会或其他社会,个人并不存在“分身之术”。与之不同,数字社会中的自然人通过互联网可同时活动于物理与云端双重空间,可同时生活在线下社会与线上数字社会两种社会形态中。从数字法学的形成来看,数字社会形态并不处于生产力发展维度,它不是与农业社会、工商业社会相比照,而是与传统线下社会相对照。数字法学是为了顺应数字技术给社会关系带来的改变而产生的,其主要聚焦于主体在数字空间形成的法律关系。
(二)个人信息的算法识别性
数字社会中最基本的元素是数据。在互联网背景下,数据的本质特征是“算法识别”,即数字社会中的数据具有可计算性。传统线下社会的信息是不可计算的,只能进行自然识别。具体来说,传统线下社会的信息“记录平台”是每个自然人的大脑,传播方式主要是口口相传或通过纸张书本等物理形式流传,这也影响到信息的价值及其保护方式。例如,姓名、肖像等信息本身便是可直接识别个人的符号,是具有识别性的个人信息,但口口相传等自然传播方式容易造成这些信息失真或丢失,其财产价值相当有限,法律仅保护其上所负载的精神利益;有创造性的作品、专利等智力成果,其本质上也是可通过署名而识别到个人的信息,法律通过知识产权制度保护该信息的财产价值及人格价值;对于行踪、购物偏好等日常生活信息,传统线下社会无从也难以提供保护。数字社会则不同。其中的网络用户成为个人信息的来源,个人浏览网页所产生的痕迹信息、购物产生的个人偏好信息等被信息技术平台固定,平台通过一系列收集、加工、整理等自动化处理活动,将个人信息转化为“0”和“1”二进制机读数据,甚至可通过达成区块链共识而形成不可更改的“链上数据”。数字社会以算法为核心、以网络平台为载体,其中的个人信息因此具有了可计算性,即算法识别性。
作为数字社会中最基本的元素,数据的可计算性决定了以其为基础的法律活动几乎都是可计算的,法学问题由此转变为可计算问题。其一,计算是对隐私保护的代码规制。为实现个人信息保护与利用的平衡,信息科学领域研发了隐私计算(Privacy Calculus)、信任计算(Calculative Trust)、多方安全计算(Secure Multi-party Computation)、联邦学习(Federated Learning)及差分隐私(Differential Privacy)等可计算技术保护个人信息。其二,计算是对处理者的义务要求,信息处理者去识别化、匿名化等义务需通过算法来履行。其三,有关数据之上的利益分配更需要算法来实现。其四,计算是个人信息权的行使方式。以知情权、算法解释权与个人信息删除权为例:知情权体系包括信息处理者事前的告知、信息主体事中的访问以及信息处理者事后的解释,涉及用户个人信息被谁处理、以何种目的进行何种程度的处理、不同程度的算法透明等,均须经过计算方式才能实现。算法解释权并不限于人工解释,当前很多互联网公司在客户咨询中,都采取了机器解释方法,以自动化或非人工方式答疑解惑。个人信息删除权包括信息处理者的主动删除义务及个人的信息删除请求权两方面,不通过计算往往难以实现。从法律成本角度看,“云存储”的个人信息删除不宜界定为物理删除,物理删除需要清空数据库才能实现,会对云空间造成全局影响,此时删除应指经过计算的逻辑删除,删除权以逻辑删除形式行使。综上可知,个人信息的身份可识别性并不是数字社会保护个人信息的充分条件,算法识别是数字法学中个人信息范畴的另一重要特征。无论线上个人信息权还是线下人格权,单纯“识别”的法律功能仅使信息与个人关联,其意义在于使信息产生了“权利”归属的可能,只有区分出是谁的信息,才能确定受法律保护的信息主体。算法的介入切实改变了数字社会的权利义务形态,使权益保护、权利行使、义务履行均具有了计算属性。
(三)数字伦理对算法的规制
数字伦理不仅是对数字法学的道德要求,而且是对数字社会中所有活动的消极约束。数字社会治理面临的最大问题是数据利用与个人信息保护之间的矛盾,主要表现为不同主体对数据中财产性利益的争夺。传统线下社会中的“人性恶”在数字社会中仍然存在,数字社会中的恶在最终意义上都是自然人所为,人性在数字社会中并没有变得更好。小到个人信息泄露,大至国家安全问题,数字伦理规则都具有重要意义。算法应用过程中产生的“算法霸权”“算法黑箱”“算法歧视”“算法错误”等负面社会效应,逐步瓦解了数字社会的信任基础,在本质上这都是由算法设计者的“恶”所造成的,也使得人们的算法焦虑日益加剧。“大数据杀熟”现实案例已经出现。在“携程杀熟案”中,原告胡某在被告所运营的携程App平台上使用钻石会员8.5折的优惠预订某酒店,入住时发现其支付的价格比实体店价格高出一倍多;在“被困在算法里的外卖小哥”事件中,网络平台借由算法赋能对外卖骑手掌握绝对控制权,造成劳动关系失衡。以上现象均反映了个人信息保护与企业数据利用之间的平衡难题:数据企业无偿利用个人信息,其逐利目标不但压缩了服务管理质量,甚至会侵害信息主体的利益。
数字社会中的伦理问题,在终极意义上还是自然人的伦理问题,是自然人的恶产生了数字社会中的恶。如果“驱恶扬善”是线下社会所有制度的目标,数字社会亦应如此。首先,应要求在数字社会中活动的人也要遵守法律与伦理规则,“网络空间是虚拟的,但运用网络空间的主体是现实的,大家都应该遵守法律,明确各方权利义务”。其次,即便是良法,也需要善治,何况有时法律并不完善,数字法学亦是如此。正如有学者指出的,“智治是给人赋能的力量,法治是引人向善的力量”。为此,“要依法加强网络社会管理,加强网络新技术新应用的管理,确保互联网可管可控”,其终极目标是“使我们的网络空间清朗起来”。党的二十大报告明确强调:“健全网络综合治理体系,推动形成良好网络生态。”可见,算法并非绝对中立,其中包含的规则设计以及伦理偏好自始便体现着算法设计者的伦理取向,算法技术的应用同样包含着使用者的价值取向。算法会造福人类,但同时蕴含着法律、伦理等各种风险,算法的伦理与法律规制对营造数字社会的良好生态具有深远意义。
二、基本范畴的复合性
作为数字法学基本范畴的数据和个人信息,在识别到个人的意义上,两个概念并无本质上的区别,只是用语习惯问题,比如欧盟法律习惯用个人数据,美国法律习惯用个人信息。而在可识别到个人(即个人数据或个人信息)之外的意义上,数据的外延往往更广,不仅包括可识别到个人的数据,还包括政府数据、企业数据等。在法律属性上,不包含个人信息的数据在本质上是纯粹的财产,可通过《民法典》第127条规定的虚拟财产等予以规制,在理论与实践中皆不存在多大问题。问题的难点是包含个人信息的数据,其上承载的多重利益导致数字经济发展面临数据利用与个人信息保护之间的矛盾。算法技术的介入,导致个人信息在客体属性、权益属性、权利归属、权益分配等方面均与传统人格权利不同,具有鲜明的复合性。一方面,数据是构建数字社会法律关系的客体基础,由此也奠定了个人信息在数字法学中的基石地位;另一方面,个人信息具有复合性,决定了数字法学具有不同于传统法学的特殊规律,不能简单归于传统法学的某一学科领域。在数字法学体系构建中,个人信息的基石作用与区分功能使其成为数字法学的基本范畴。因此,就数字法学基本范畴而言,本文重点讨论个人信息而非数据。
(一)个人信息作为法律客体的复合属性
个人信息的法律属性决定了其上所附着的权益属性及权益归属,从而也成为解决数据利用与个人信息保护问题的理论前提。个人信息作为法律客体主要有两个重要属性。
第一,从技术性特征看,个人信息具有算法识别性(可计算性)。在司法实践中,因个人信息界定和范围划分困难,出现了多起传统人格权与个人信息权法律规则适用混淆不清的案例。如在“小区张贴判决书案”中,被告爱家物业将原告徐某败诉的判决书张贴于小区内,虽然划去了原告姓名,但是仍保留其身份证号、住址等信息,原告以被告侵犯其人格权为由,诉请被告承担赔礼道歉等侵权责任。一审判决认为被告未侵犯原告人格权,二审判决改判,认为被告侵犯了原告受法律保护的个人信息权利。该案实际上并非典型的个人信息案件,而是传统的人格权案件,可通过隐私权、名誉权或一般人格权规则解决。原因是,个人信息的线上保护与线下保护具有完全不同的法律逻辑。在传统线下社会,特定信息(如姓名、肖像等)的公开与流动是常态,信息使用行为本身并不违法,行为违法性来源于对个人人格权益的侵害。侵害权益也并不一定要承担损害赔偿责任,还要看行为是否具有可归责性、行为人是否具有过错。换言之,线下社会的个人信息使用,既要保护权利人权益,又要兼顾相对人行为自由。“微信读书案”则是典型的个人信息侵权案件。原告黄某在使用微信读书软件时,发现未经其授权,微信将其好友关系共享给微信读书软件,还将软件设置为自动关注微信好友以及读书信息默认公开,黄某以侵害个人信息权益和隐私权为由,诉请被告承担停止侵害、赔礼道歉等责任。法院依据《民法总则》第111条认定被告侵害原告的个人信息权益,但并未侵害其隐私权。本案涉及个人信息权规则所欲应对的智能化数字环境,是适用个人信息权规则的典型情形。与前案中需要借助利益衡量判断行为违法性的标准不同,在数字领域中,违背个人意愿使用信息本身即违法,是对个人信息权的侵害。原因在于,数字空间的行为利用了专业性很强的算法计算,普通人缺乏侵权判断的专业性,而且算法的介入,使个人信息留存并固定在平台的存储空间上,信息处理者实际掌握并控制着个人信息,法律为纠正双方在知识和控制力上的偏差,采用对个人倾斜保护的救济制度。换言之,个人信息保护规范的适用可重点考量两个要素:一是侵权行为是否发生在数字社会,二是被侵害人的个人信息是否经过算法处理。
需要强调的是,发生在数字社会或赛博空间的侵权行为未必均受个人信息保护法规制,典型的如我国人肉搜索第一案“王菲案”。虽然该案被告将原告的“婚外情行为”以及姓名、工作单位、住址等信息发布在互联网上,但被告仅是借助网络散播个人信息,并未对个人信息作算法处理,故通过隐私权、名誉权等传统人格权规则足以解决。该案中个人信息的法律功能仅体现在身份识别方面,即作为隐私或名誉的权益载体,通过身份识别与被害人发生关联。由此亦可知,识别性并非数字社会个人信息范畴的独有特征,姓名、肖像、声音等传统人格要素均有识别性,但传统线下社会的人格要素是自然识别,而数字社会中个人信息的独有特征在于其以“电子”为载体(《民法典》第1034条第2款、《个人信息保护法》第4条第1款),经“算法”等数据分析技术处理形成。“算法识别性”才是契合个人信息之应然释义与本质属性的定性。以此为标准,个人信息保护法的客体范围并不包括所有个人信息,而仅指以自动化方式处理的具有算法识别性的个人信息。
第二,从物理性特征看,数字社会的个人信息天然包含财产基因。物权的客体是物,具有排他、可支配等特征,个人信息与物的关键区别在于个人信息可被无限复制,多人同时使用个人信息并不减损其价值,反而有可能使其增值。知识产权的客体是智力成果,虽可无限复制,但其财产价值来源于信息的知识创造性和新颖性,个人信息并不具备这一特征。在传统人格标识(如姓名、肖像)之上,虽然存在着公开化权或商品化权的讨论,但是个人信息仍然与其存在本质区别。首先,线下社会中的人格利益在本质上是社会评价利益,体现着主体的人格或精神利益追求,并不当然或天然包含财产基因。尽管名人的姓名、肖像、声音等人格标识并不直接具有财产价值,但是可通过公开化或商品化来实现经济利益,只不过此种财产价值并非来源于姓名、肖像、声音本身,而是更多地来源于此人基于天赋及后天努力所带来的名声及社会影响力,并外在附载于公众人物的姓名、肖像等标识之上。其次,虽然个人信息也是人格标识,本质上属于人格利益,但在数字社会却天然蕴含财产基因。也就是说,个人信息的财产性与人格特质无关,其财产基因是天然的,不依附于特定人身,信息无论来自于何人均可以释放财产价值。同时,财产基因意味着个人信息的经济性是隐性的,需要经过数据企业收集、整理才能激发出财产价值。若经由算法加工、处理生产出数据产品,个人信息财产价值将进一步放大。只不过法律在此遇到的理论难题是,如何使隐性的财产基因外化以供信息处理者共享与利用。
(二)个人信息之上权益的复合属性
个人信息的财产基因是隐性的,人格性是其本质属性,因此个人信息是人格权。但是,个人信息的经济利用是客观的。因人格权与财产权不可通约,法律必须回答,个人所享有的个人信息人格权,如何能够外化为数据企业对个人信息所享有的数据财产权益。
第一,若个人信息具有人格属性,就不能归属于他人,因为人格只能属于人格主体,不能让渡,否则人就有可能被降格为交易的客体或工具,这也是《民法典》第992条规定“人格权不得放弃、转让或者继承”的基本法理。这一法理给数字经济发展提出难题,因为数字经济的客观要求是数据企业需利用大量数据(含个人信息)。尽管在抽象观念上信息处理者使用的是隐含在个人信息中的财产价值,但在客观事实层面,人格利益与财产价值均附着于个人信息之上而不可分离。为回应这个难题,法律必须从规范角度寻求突破,证成将个人信息之隐含财产基因外化的路径,寻找从规范上使个人信息人格属性与财产价值分离的理论依据。
第二,我国目前在司法上承认了个人信息的财产价值,但因缺少个人信息财产化的理论证成,仅能以责任规则保护个人及数据企业的财产利益。此种路径虽能够提供权益侵害的消极救济,但无法厘清个人信息人格权益、个人信息财产权益以及企业数据财产权益之间的关系,在法院说理中三者经常交织在一起。如在“孙某诉百度案”中,被告百度公司收录原告在“Chinaren校友录”网站上传的个人账户头像并置于公开网络搜索结果中,在收到原告删除通知后不予删除,原告以侵害个人信息权益为由,要求被告停止侵权、赔偿经济损失1元。法院认为个人信息在互联网经济的商业利用下,已呈现出一定的财产价值属性,且遏制个人信息侵权行为,需责令违法利用者付出成本以对冲其不法所得,遂判令被告赔偿经济损失1元。此案结论虽有值得肯定之处,但在说理中回避了一个重要问题,即个人信息为人格权,仅有隐性财产基因,在其财产价值主要是由互联网创造的情况下,个人为何能够突破人格权救济而获得财产损害赔偿。又如在“新浪微博与超级星饭团案”中,法院认为新浪微博为收集、整理平台数据以及维护产品中的数据运行和安全而付出成本,该种数据整体上可由新浪微博进行衍生性利用或开发,法院同时指出,鉴于新浪微博基于《微博服务使用协议》与用户约定涉案数据归其所有,因此新浪微博可享有涉案数据的经营利益。该案肯定了数据企业对其收集、整理的个人信息享有财产权益,认识到个人信息的财产价值来源于企业的数据生产。此观点值得赞同,对后案也起到了借鉴示范作用。该案更具价值却被忽略的一点是,法院试图在法理上寻找个人信息权向企业数据财产权转化的依据,虽然《微博服务使用协议》能否成为可行选择仍有待探讨,但是该合同路径的提出,意味着对个人信息权利主体意志的关注,这一点更具启发意义。
第三,传统线下社会的人格标识财产化路径无法回应个人信息财产化问题。在美国公开权模式之下,个人信息被视为完全的财产或者商品。这不但没有清楚解释人格利益是如何转化为财产价值的,而且不受限制的让与也不利于对个人信息中人格权益的保护。德国一般人格权保护模式通过人格权损害赔偿的方式可间接补偿权利人一定的财产损失。此种路径尽管没有违背人格权益不可转让的原理,但是难以与数字社会中个人信息财产价值流转的普遍性与现实性相契合。因此,公开权、一般人格权均难以清晰解释数字社会中个人信息的人格权益外化为财产利益的理论难题。合理的路径应既能解释个人信息的人格权益本质属性,又能解释内含于个人信息中的财产基因如何外化且为信息处理者所用。如此既能保护个人的人格利益,又能够证成数字社会中个人信息财产价值利用的正当性。在目前的制度资源中,个人信息处理的知情同意为相关主体提供了选择可能。从解释论看,同意的法律效果是加入信息处理关系,信息处理关系具有两个维度。一是限制个人信息人格权益,二是生产、保有个人信息财产价值。同意是主体内心认可意思的外在表达,“认可”使信息处理关系得以正当化,这就意味着信息处理在两个维度上均产生了正当依据。当然,作为可行路径,除有制度依据外,还需要向法理和效力层面作延展探讨,既要寻求制度上承认此种同意表意的深层根源,又要确定此种同意作出后所产生的法律效力。
(三)个人信息权利归属的复合性
个人信息财产化使个人信息之隐含财产基因得以外化,其实践意义是解决了个人信息的经济利用问题。在此基础上,法律仍需进一步探讨,数据企业通过个人信息处理活动开发大量数据产品并从中获取巨额利润,那么个人能否从中分享财产利益?这涉及个人信息利用的公平问题。令人遗憾的是,至少在现实生活中,个人尚未真正参与分享由其个人信息带来的数据红利,相反,个人被迫陷入了“信息公平失衡”“杀熟”以及个人信息因泄露而遭受权益损害的窘境。根据科斯定理,确定权利归属是利益分配的基础,由此决定了个人信息财产权益归属成为利益分配的关键前提。
个人信息的客体属性与权利属性决定了个人信息之上的权益归属。个人信息人格权益应归属于个人信息主体,由其专属独享;而就个人信息中的财产利益而言,其归属的确定便相对复杂。原发状态的个人信息仅有财产基因,财产价值依靠个人信息主体难以激发,更难实现提升。数字社会中的个人信息财产价值主要是通过个人信息主体之外的利益相关方对数据进行二次利用而实现。个人信息财产价值的发挥天然依赖于信息处理者,且信息处理者为此付出巨大的成本和代价。但不可否认的是,若没有个人提供信息,信息处理者无论如何也催生不出个人信息的财产价值。由此可见,个人信息财产利益由信息主体独享或者由信息处理者独享均不具有正当性,合理的分配方案是由信息主体与信息处理者共享。共享意味着信息处理者应当为其获利支付报酬,但并不必然要求其将红利具体分配给每个信息主体。除名人、公众人物等因主体地位特殊,能够与数据企业达成分配数据财产利益的合意之外,其他一对一、点对点的分配思路均难以契合数字社会的应然思维与制度逻辑。对此,可以借鉴我国土地资源权益分配制度,城市的土地属于国家所有,即全民所有,个人虽未从土地出让金中直接获得报酬,但仍然从中享受到了土地经济给每位国人带来的红利。基于土地资源对整个国民经济的拉动作用,以及由此带来的公共基础设施、城市建设、医疗保障、教育分配等方面的发展,可以说每位国人都从土地出让金的使用中获得了利益。与此类似,数字社会中个人信息财产价值或许也难以直接分配给个人,但可以采用数字税或专项数字基金等形式,通过税收或基金的正当使用,间接使数据红利惠及信息主体。
三、法律关系的多元性
在数字社会或赛博空间中,法律关系比传统线下社会更为多元。原因在于,只要人从线下社会进入数字社会活动,就必然会利用数字平台,从而自然增加一层在线下社会不存在的法律关系,毕竟赛博空间本身就是由他人搭建的,平台也因此成为数字法学中不可或缺的一类主体。
(一)主体多样
传统线下社会中的法律关系通常是相对单纯、清晰的法律关系,例如物权、人格权、知识产权等绝对权是权利主体对权利客体(如物、具体人格利益、智慧成果等)的权利,其他人都是义务主体;合同债权则具有相对性,存在于双方主体之间。但数字社会开启了新的社会互动模式,形成新的社会身份认同形式。人们逐渐在生活于线下单一现实空间、以物理方式存在的自然人身份之外,兼具生活于线上虚拟空间、以数字信息方式存在的“信息人”身份。即使人们并不拥有真正法律意义上的虚拟身份,但相较于传统线下社会,其法律关系也要复杂很多。首先,只要信息主体进入赛博空间,便至少涉及其与平台间的法律关系。其次,个人信息在数字空间可被无限复制,如果个人信息由平台与第三方共享,则涉及更多的主体,包括用户、在先平台、在后平台等。甚至,数字社会中特定主体还会经由算法故意创设多个公司、制造复杂的法律关系以逃避相关的法律责任。例如,有研究指出:“外卖系统里不仅仅有算法,还藏匿了许许多多的公司,而这些公司错综复杂交汇而成的法律关系网络,正把骑手死死地捆住。当骑手跌入前方这个大坑的时候,其中任何一家公司,都不足以构成他的用人单位”。
(二)主体之间行为、利益关系相互依存
数字空间的本质是通过互联互通形成网络,此种联结需要网络平台支撑,在此背景下,每个自然人都是一个“信息体”,社会关系便围绕着“动态的数字自我”来展开。网络空间与线下法律关系的不同在于其引入了平台主体,各种社会关系均需以平台为中介才能完成。从最简单的法律关系来看,信息主体只要进入数字空间,无论是为了网上购物还是浏览网页获取信息,首先便离不开浏览器或App软件等由平台主体提供的网络服务。在注意力经济下,平台为取得更大的竞争优势,则需要加工、处理个人信息并分析用户特征,不断提升营业精准度,获得更高的经济利润。再看个人信息中的财产价值。单个的个人信息所具有的财产价值微乎其微,个人难以从中获得经济利益,但是由信息处理者收集的海量个人信息汇集而成的大数据,或经过加工、处理生成的丰富多样的数据产品,能够用于各种商业场景,可实现个人信息财产价值的最大化。在此意义上,信息主体与信息处理者之间便存在紧密的依存关系:信息处理者需要信息主体提供用于数据分析的个人信息,而信息主体也依赖信息处理者的数据处理以提升网络体验,甚至完成生活方式的转变。就个人信息共享所涉的多个信息处理者之间的法律关系而言,在先的信息处理者必然会为收集、加工、处理个人信息付出一定的成本和代价,从而为其后的信息处理者直接使用、分析个人信息创造基础性条件,而后来的信息处理者的共享利用也是在实现甚至增大在先平台数据产品的价值。
(三)法律关系多元且复杂
个人信息纠纷往往涉及多元法律关系,所适用法律包括宪法以及合同法、侵权法、反垄断法、反不正当竞争法、行政法、刑法等传统部门法,甚至还会关涉国际法或国际规则,如数据跨境等法律问题。我国《个人信息保护法》第三章亦专门规定了“个人信息跨境提供的规则”,这也正是数字法学跟线下社会中传统法律关系的不同之处。正如有学者所言,“在当下信息科技时代,人们享有的权利呈现出跨公私法域的特征,非单一部门法所能涵盖”。清楚此点,便可知涉及数字法学的相关概念或制度,如个人信息的概念、客体属性、权益属性、权利归属、财产利益分配制度及个人信息处理的同意规则等,都应置于多元的法律关系中去理解。
如“个人信息权”概念便包含宪法、民法、行政法等多重法律属性。它首先应是宪法层面的基本权利,其次才是民法等部门法中的个人信息权益。尽管我国《宪法》并未明确规定隐私和个人信息,但毫无疑问的是,《宪法》中蕴含着对隐私和个人信息保护的立法追求:如第33条要求“国家尊重和保障人权”,第37条明确“公民的人身自由不受侵犯”,第38条指明“公民的人格尊严不受侵犯”,第39条和第40条分别保护“住宅不受侵犯”和“通信自由和通信秘密”。《民法典》规定的隐私权和个人信息权尽管在法律属性上属于民事人格权益,但是其效力渊源仍来自《宪法》规定的个人自由与尊严。甚至可以说,正是《宪法》中的个人自由与尊严确定了个人信息民法保护的价值秩序。
再如个人信息保护法中的同意,其内涵也极为丰富。首先,依据法律体系与规范效力位阶逻辑,同意应有宪法上的效力渊源。宪法渊源确定了同意在法律体系中的客观价值秩序,部门法应依照同意所彰显的宪法价值制定具体的实现规则,由此才能解释为何在部门法上,如民法中的同意会有不同的行为性质,如准法律行为、意思表示等,会出现多种不同的同意效力,如授权、许可、免责等。其次,个人信息保护法中的同意不但在不同层级法律中的内涵与效力不同,而且即便在同一部门法(如民法)的不同法律关系中亦可体现为多元的法律效力。如某人将其原来不愿为他人所知的信息(即隐私)当众告知他人,或同意他人使用,此时隐私便质变为个人信息;若其进而同意他人使用该信息生产数据价值,此时个人信息中隐含的财产基因便可外化为财产利益,只不过其上仍负载着人格利益。
个人信息之上法律关系的多元反映了其上负载利益关系的多元。在个人人格利益及财产利益、企业财产利益之外,还体现着社会公共利益。法律关系(权利义务内容)的多元性,决定了信息处理者在利用个人信息的同时,要接受多层次的义务规制。首先,处理个人信息应受到全面的伦理规则限制,这是数字社会与传统线下社会的共同要求,只不过在数字社会中,对算法的伦理性要求更为紧迫与严格。其次,从处理个人信息的合法性角度来看,即便信息处理者获得了个人同意或具有法定正当事由,也不能免除其所负有的不得侵害个人人格利益及主体资格的义务。最后,从具体的信息处理关系看,个人信息财产价值生发于个人信息,个人信息的底色是人格利益,财产价值的生产和利用要受个人信息人格权益约束。个人信息的人格权益保护是数据处理的必要条件和底线。一旦信息处理者侵害了个人信息中的人格权益,便负有及时通知的法律义务,并应采取相应的救济措施,避免人格权益损害的进一步扩大;若构成个人信息侵权,信息处理者还须承担损害赔偿责任,以弥补信息主体所遭受的损害。如果信息处理者违反行政法、刑法等公法义务而侵害信息主体的财产及人身利益,其也不可避免地要承担公法责任。
四、法律救济的协同性
数字领域的救济制度也有其自身特色,呈现出立体化、协同发展趋势。救济模式从以自然人的智识为主向全流程智能辅助演变;救济路径从单一部门法救济走向部门法之间联动协作的综合救济体系。这一方面是由数字法学基本范畴的复合性以及法律关系的多元性所决定,另一方面也是由数字空间中数据的可计算性所决定。
(一)智能的法律救济模式
数据的可计算性决定了数字领域的救济制度在理论上也应是智能(可计算)的救济模式,即在数字社会中发生的法律权益纠纷应通过智能或可计算的方法解决,如此可推动司法从“接近正义”向“可视正义”的转型
首先,证据收集智能化可解决案件事实确定难题。证据收集智能化意味着解决案件所需要的证据可运用计算方法获得,如果再配合智能技术(如区块链等),那么此种方式取得的证据更全面、更可靠,这也就解决了线下社会救济中最难解决的证据收集问题,即法律事实确定问题。毕竟,纠纷解决的最大难点并非法律规则的准确适用,而是查清案件事实的真相。在线下社会的法律救济中,正是由于客观事实难以获得,才通过证据及证明规则来确定法律事实并据此作出裁判,但如何让法律事实无限接近客观事实也是线下社会法律人的永恒目标与追求。然而,数字社会中的事实(甚或说客观事实)确定在理论上并非难题。因为,所有在数字空间发生的法律活动或事件,都必然会在数字空间留痕,如果配合区块链等技术支撑,则可以固定当事人在数字空间的全部信息痕迹,如此获得的事实几乎可以确定为客观事实,除非其中存在技术舞弊或基于法律或伦理的要求不得使用,这也就解决了救济法中最为棘手的事实确定问题。只不过要实现这一目标,至少在一国范围内,法律要先确认能否采用完全的智能手段裁判案件(即智慧司法);若可以采用,还要确定网上获得证据的司法程序。具体而言,是由司法者运用法律技术直接在网上收集与确认证据,还是由第三方提供相关法律服务;如果采用第三方法律服务,法律还要确认采用哪家服务以及怎样的服务等。可见,即便采用智能或智慧司法,也面临着诸多法律与技术问题。
但是,运用智能或可计算的方式收集证据需要一个前提性的案件要求,即所有的法律活动须发生在数字空间,而非线下社会。毕竟数字社会中的案件裁判也要以事实为基础,只不过数字社会中的事实是通过算法,甚至运用区块链技术“算出”的事实,具有客观性与不可更改性,即确定性,这是运用智能技术裁判案件的前提性基础。若案件事实并非完全发生在数字空间,如网上留存的文字、语音等信息并不全面,尤其是当缺少留存该信息的背景或场景资料时,事实的确定便仍需依照传统证据法与证据规则并辅以论证手段获得,而非依照算法计算获得,那么该事实依然是法律事实而非客观事实,因为其中包含了裁判者的价值判断而具有不确定性,致使其无法采用智能的裁判方式。换言之,唯有法律活动完全发生在数字社会的案件方适合智能裁判,发生在线下或者采用线下证据的案件,则难以运用智能的裁判手段或方法。
其次,案件执行智能化可提升法律救济的确定性。运用智能或智慧司法在一定程度上还能解决线下社会法律裁决的“执行难”问题,即“按照合乎程序规定的方式将司法过程精确拆解,又借助数据分享和集中管理,令系统中的每一个动作都为最上的管理者可见”,实现“去人化”的智能执法。依据数字社会的法律原理,司法判决原则上也不应回到线下执行,否则就难以称为真正的智慧司法。因为当智能或智慧司法的判决仍会遭遇线下执行的不确定因素时,司法判决效力就会大打折扣,甚至依然面临得不到执行的情况。要实现此点,以数字社会中的民事交易关系为例,在交易的前端可运用智能技术设计新型的担保手段,如账户担保等。其前提是要让所有民事主体在数字社会中拥有统一的金融身份,即一个人在网上无论有多少金融账户,都要统一于该确定的自然人、法人或非法人组织,而且法律必须使一国之内的金融组织予以协力配合,即金融机构要负责监督担保债务人账户内的资金变动,若达到影响债权人利益的风险界值时,便要向债权人发出风险提示,由债权人决定是否实现担保利益。在后端的执行阶段,也应该运用智能手段实现担保,或将民事判决书通过债权让与的方式(往往通过网拍)转让给数字社会中的债权收购公司等。当下所采用的失信人黑名单制度也是运用智能技术从外在强迫债务人履约的一种方式。为解决执行落地难题,我国司法系统正在探索“智慧执行”方案。2019年浙江省温州市中级人民法院试点运行“智慧执行1.0”,2021年“智慧执行2.0”在浙江全省推广适用。“智慧执行”能够自动生成财产查控结果表单,并将表单同步推送给当事人,使当事人可以随时知晓案件执行进程,从而提升法律救济的确定性。
最后,建构并拓展契合数字社会法律争议解决的线上纠纷解决机制(简称ODR)。真正契合数字社会的争议解决方式应是辅助当事人解决纠纷的多元解决机制(包括调解、仲裁或者诉讼等),其中尤为重要的是鼓励双方当事人直接参与纠纷解决的线上自治性纠纷解决机制。正如伊森·凯什等教授指出的,数字纠纷解决系统的核心在于:“为当事人提供了不同的程序选择,允许直接有利害关系的人参与到纠纷解决过程中,并将重心放在当事人的感知和需求上,而不是按照法律规定判定他们的权利和义务。这种程序不仅以更富有创造性的方式达成了令当事人更满意的结果,而且还维护了他们之间的社会关系。”能够胜任线上纠纷解决工作的主体既可以是自治性纠纷解决组织,也可以是由国家设定的承担公共裁判职能的机构(如法院)。自治性纠纷解决组织既可是个人,也可是法人、非法人等团体组织。只要客户充分信任,愿意将争议事件托付给该自治性组织(含个人)予以解决,信任并遵从其解决结果,此种争议解决方式便最为有效。只不过需要时刻警惕的是,作为自治性纠纷解决组织之个人或私营机构的逐利本能会妨碍其主动追求法律正义的动力,这就需要必要的监管手段。若由法院承担线上纠纷解决职能,就应建立契合该工作的法院工作系统和流程。
(二)多元的法律救济路径
个人信息保护中的多元法律关系,既涉及信息主体与信息处理者之间的个人信息保护,又涉及不同信息处理者之间的数据财产利用。从横向层面看,从收集到利用的各个处理环节都可能出现个人信息权益被侵害的风险,这决定了对个人信息的保护需要贯穿其全生命周期,即形成事前防范、事中监管、事后救济的保护机制。从纵向层面看,从底层的个人信息泄露,到中间层的网络平台不正当竞争,再到终端的数据产品应用风险,呈现的是个人信息在不同领域的多元利益形态,也是数字技术在各个领域催生的法律问题。这要求不同部门法之间联动协作,共建综合多元的救济体系。
具体而言,在个人信息处理的整个阶段,以人格权法、合同法及侵权法为个人信息权益提供一般性保护和私力救济;由个人信息监管部门采取行政管理措施进行全方位监督,主要包括事前的个人信息风险评估、事中的抽查监管、事后的追踪观察等。以刑法作为最后的救济路径,以期实现对个人信息权益的全方位保护。当前,我国的个人信息权益保护体系尚未成熟,但在司法实践中已综合运用多种救济制度来解决涉及个人信息的权益纠纷,如侵权、合同、反不正当竞争、反垄断、行政法甚至刑法保护等。“微信读书案”“新浪微博诉脉脉案”“微信群控案”“腾讯诉抖音案”“滴滴天价罚款”“柯某侵犯公民个人信息案”,都是实践中从不同路径对个人信息救济的典型案例(事件)。
信息主体不仅享有个人信息人格权益,还应享有个人信息财产权益,但在世界各国法律中,除特殊情况下公众人物与数据企业达成利用或共享协议之外,至今仍未能设计出个人可获得其信息中的财产价值,尤其是通过市场定价方式变现个人信息中财产权益的立法例。即便是在侵害个人信息之损害赔偿等消极救济方面,当下也难以通过给信息定价的方式实现,而只能采用精神损害的物质赔偿对个人信息财产损害予以间接救济。鉴于此,未来对于个人信息的保护,尤其是其中财产权益的保护,公益诉讼也许会扮演更为重要的角色,以利于个人感受到普惠正义。个人信息客体的复合属性以及法律关系的多元性,决定了个人信息权益损害呈现群体性的公益特征。为补强个人信息权益私法保护的不足,同时实现数据安全的制度目的,引入公益诉讼制度可以在公私法之间起到良好的衔接效果。特别是在发生大规模个人信息泄露的情形中,由于个人的维权成本过高、周期较长,以及个人信息处理技术的隐蔽性和技术性特征,个人很难在信息泄露中获得救济。鉴于此,《个人信息保护法》第70条规定了个人信息的公益诉讼条款以补强个人信息的保护。在实践中,已有司法机关运用公益诉讼的方式强化对个人信息的救济力度,如“四川省自贡市人民检察院与周某某人格权纠纷民事公益诉讼纠纷案”。在未来一段时间内,公益诉讼将会是更加理性与有效的个人信息争议解决路径。
(三)特殊的具体救济制度
即便是同种性质的救济制度,在数字与线下两种社会形态中也会有所不同。以个人信息的侵权规则为例,尽管依照《民法典》《个人信息保护法》等法律的相关规定,个人信息权在本质上属于人格权,但数字社会中的个人信息侵权和线下社会中的人格权侵权无论在归责原则、责任构成还是责任承担(损害赔偿)等方面均有不同,甚至还存在某种程度上的本质性差别。
首先,在归责原则方面,传统人格权侵权适用一般过错原则,而个人信息侵权则适用过错推定原则。这是因为,一方面,发生在数字社会中的侵权行为如果适用过错责任,基于谁主张谁举证的要求,由信息主体证明数据企业存在主观过错难度较大,毕竟数字空间中信息利用结构复杂且涉及专业技术,数据企业在技术(尤其是算法)、财力等方面都远优于单个的信息主体,过错责任使信息主体的利益难以得到保护;另一方面,数据企业距证据较近,且专业较强,采用过错推定有利于强化信息处理者的举证义务。正是基于此种考量,《个人信息保护法》第69条规定了过错推定原则,将举证责任转移给数据企业,由数据企业来证明自己的行为无过错。应该说,采此归责原则有其合理性且符合社会实际。
其次,在个人信息侵权的责任构成方面,无论是加害人的侵权行为、主观过错,还是因果关系等方面的证成,都含有明显的技术性特征,这跟线下社会侵权责任构成要件的认定存在明显不同。以损害的认定为例,传统人格权强调人格利益及精神利益损害,较少强调财产利益损害,即便是财产利益损害,也往往通过精神损害的物质赔偿来实现。受害人获得赔偿有严格条件限制,依据《民法典》第1183条,人身权益精神损害的物质赔偿要以“严重”为要件,且赔偿目的是填补受害人的精神痛苦,而非实现其财产价值追求。但对数字社会中的个人信息侵权来说,除跟传统线下人格权一样强调保护人格利益外,更应强调财产利益的保护,因为加害人的侵权通常以获得财产利益为目的,这与线下社会以侵犯人格利益为目的的人格权侵权有明显不同。但问题是,即便数字社会中的个人信息侵权以获取财产利益为目的,基于个人信息中财产利益与人格利益在物理上的不可分割性,侵害个人信息财产权益的同时往往伴随着人格利益的侵害,且影响范围比线下社会更广,此时对信息主体造成的人格利益(包括精神利益)的损害更为严重,这就使得侵害个人信息与侵害传统人格权的填补损害规则也应有所不同。
最后,在责任承担方面,停止侵害、恢复名誉、赔礼道歉是传统人格权侵害主要的责任承担方式,精神损害的物质赔偿往往是例外,且必须以造成“严重精神损害”为要件,赔偿数额一般也不大,多是象征性的。数字社会中的个人信息侵权则与此不同,受害人除可主张与传统人格权侵权救济相同的停止侵害、恢复名誉、赔礼道歉外,还有特殊的责任承担方式,如删除权的行使。其中,最为不同的体现在损害赔偿方面。尽管《民法典》《个人信息保护法》等法律对侵害个人信息的损害赔偿没有特殊规定,但是从司法实践及社会现实来看,其法律适用存在一对内在矛盾。
从加害人(多是数据企业)侵害个人信息的现实表现看,追求财产利益往往是其主要目的,这和传统线下社会的人格权侵权以侵害人格利益为目的有所不同。仅从此点考量,多数情况下更应侧重个人信息中的财产损害赔偿,只是在对信息主体人格利益(尤其是隐私)造成重大侵害时,才考虑人格利益的精神损害赔偿。而司法实践面临的难题是,如果法院直接采取财产损害赔偿的方式,那无疑是给受害人的信息进行定价,这在实践中几乎是不可能的。因为每个人的信息价值可能不同,即便是同一个人的同一条信息,在不同数据产品中的价值也不相同。如果考虑到不同的人在不同的数据产品中,其个人信息在使用内容、范围等方面也完全不同,就更不可能给个人信息定价了。应该说,除了当事人之间通过契约安排,任何通过外在于信息主体意志给个人信息定价的方式都难以契合数字社会应然的法律思维逻辑。正因如此,对信息主体的物质损害赔偿通常通过对人格利益的精神损害赔偿方式实现,甚至放弃侵权路径而转由反不正当竞争等法律路径予以救济。
通过人格利益的精神损害赔偿保护信息主体的路径,恰又违背数字社会中个人信息侵权的现实逻辑。加害人侵权的主要目的是营利,而受害人的损害也多是财产损失,只是因为难以计算,才通过人格利益受损的方式提起精神损害赔偿之诉。在当下,或者说在法律或其他社会制度创设出信息主体共享其财产价值的合理路径之前,基于人格利益的精神损害赔偿来实现个人信息中的财产价值便是法律的无奈选择或权宜之计,由此也决定了有关个人信息侵权的精神损害赔偿制度应与线下社会的相应制度有所不同。具体而言,数字社会中的精神损害赔偿唯有普遍适用且适度降低适用标准才能实现对信息主体的财产利益保护。基于此,在个人信息侵害案件中,不应要求《民法典》第1183条中的“严重”这一条件,只要侵犯了个人信息,便应当给予精神损害赔偿。此时的精神损害赔偿其实包含两部分:一是个人信息中人格利益损害的精神损害赔偿,这部分与线下社会的传统人格权益相同;二是对个人信息中财产价值的赔偿,法官可在个案中对涉案信息的财产价值基于自由裁量予以估量。在实际判决中,财产价值的赔偿隐含于精神损害赔偿之中,难以实际独立出来,否则便会产生给个人信息定价的争议。因此,对于数字社会中人格利益的精神损害赔偿,其范围(赔偿数额)比线下社会的人格权益精神损害赔偿要适度增大,以涵盖对受害人信息中财产价值部分的赔偿。这也是对数据企业无对价利用他人信息获利,不给予回报反而侵害信息主体的特别惩戒。数据企业的社会贡献固然值得承认,但这并不是其侵害他人权益的理由,何况企业的盈利中还包含着信息主体的贡献。
五、学科归属的综合性
(一)数字法学学科属性的定位基础——个人信息相对于数据和算法的核心地位
数字社会引起了生活形态、行为规律、社会秩序的转变,这种改变通过数据和算法得以实现,重塑着人与世界以及人与人之间的关系,使人在物理上得以打破时空限制,在现实空间之外虚拟出与之平行的世界。数字法学是服务于数字实践的学科,我国数字法治实践正在加速推进。立法上,《网络安全法》《数据安全法》《个人信息保护法》等安全领域立法相继颁布,在数字经济领域,治理数据开放共享的地方数据条例渐次出台,规制算法运行的《互联网信息服务算法推荐管理规定》应势推行;司法上,智慧法院、智能司法、司法行政数字化等数字赋能改革逐步开展,《最高人民法院关于人民法院在互联网公布裁判文书的规定》《最高人民法院关于在中国裁判文书网站平台公布的裁判文书的格式要求及技术处理规范》等规制司法信息网络公开的规范性法律文件正式发布。可以说,作为数字法学理论来源的数字法治实践,围绕算法和数据实现了改革升级和代际转换。与之并行的是,凝练实践真知的数字法学,在数字法治实践基础上已经逐步形成一些专门性的知识概念,如个人信息、数据、算法规制、区块链、人工智能犯罪、自动化行政决策等,学界也纷纷提出区别于其他法学学科的特殊理论,如个人信息场景化保护、数据生产、平台穿透式监管等。数据与算法被认为是数字社会的两大基本要素,与之呼应,数字法学主要研究对象也围绕数据与算法而展开,由概念、范畴和原理组成的知识体系建立在数据与算法之上,数字法学作为独立的法学学科已渐成共识。
至于数字法学与传统法学的关系,学界认识仍有分歧。部分观点认为,数字法学是新兴的二级法学学科,也有观点认为数字法学是现代法学的进阶和升级。但不可否认的是,数字社会引起了法学研究的全局性变化,数字法学需要结合各学科知识结构形成研究合力,方能构建起系统的知识体系。此种融合会碰撞出新的理论逻辑和研究范式,引起方法论、认识论、本体论的变革。然而,无论社会形态如何变化,权利、义务作为法学基本范畴的地位不会改变。如农业社会、工商业社会中每一次生产力的重大革新皆伴随着生产关系以及人类文明的划时代发展,但农业社会以自然经济、宗法家族等为法律文化基础,其社会控制以义务为本位,工商业社会则打破人身依附、强调人人平等和财富创造,权利本位盛行。虽然两种社会形态下法的价值取向不同,但是能够成为法律关系调整内容的始终是权利与义务。在法的继承与发展过程中,生产力的发展推动社会关系的变革,社会主体之间的法律地位、权利义务结构也随之发生改变。但无论如何变化,法律的内核不变,始终是人与人之间的权利义务关系;法律的核心追求不变,始终是为了保护正当权益、惩戒不法行为,数字社会自不例外。数字法学中的权利义务范畴承载着学科知识构成上的变化成果或结果,在根本上决定着数字法学能够成为新兴法学学科的学理与制度基础。在数字社会,无论人机互动、脑机接口还是人工智能、智能合约,法律调整的始终是其背后人与人之间的关系,而引起人与人、人与组织、人与国家之间权利义务关系变化的正是数据和算法。算法在不同生活场景中发挥着决策和辅助决策的作用,在数字空间中形成规训力量,在社会层面则是对社会秩序的理性建构,而数据是算法决策的动力。
不能忽视的是,算法和数据虽代表先进的生产力,不过两者均不是法律和社会的终极目的,真正的目的仍是变为决策受体的人,其中个人信息便是人作为主体进入数字世界,与算法发生计算关系的媒介。个人信息是算法决策模型的训练素材,即便在模型训练阶段对个人信息作匿名化处理,在算法应用阶段,大数据训练的算法仍须通过处理个人信息方能对特定个人作出决策,个人信息由此成为主体在数字空间中的法律映射。一方面,个人信息发挥着身份构建功能,不仅保护个人身份在不同社会情境下的正确呈现,关注个人身份的自主性和完整性,避免身份的碎片化呈现,更要避免算法自动化呈现给个人发展带来的不利影响。另一方面,个人信息产生了数字人格属性,不仅关乎个人在传统线下社会中的自然评价、行为自由与隐私保护,更关乎个人在数字社会中的算法评价和自由隐私。因此,若说数据和算法是引起数字法学知识体系变化的工具性范畴,个人信息范畴便是数字伦理的集中体现,其核心价值在于避免数字空间的主体客体化,它决定着人在数字空间的主体性和数字法学的价值属性。若说数据是数字社会的石油,个人信息便是数字社会的阳光和氧气,个人信息相对于算法和数据更具核心范畴的作用。
(二)数字法学的学科属性
数字法律是调整数字社会的法律规范,数字法学是研究数字社会中可数字化之客体(数据,含个人信息等)、行为(数据处理行为、智能合约等)及其上权利义务法律关系的总和。以我国现有的各种法律为例,无论是《民法典》中的相关规定,还是《数据安全法》《个人信息保护法》中的相关内容,以及与数据相关的行政规章、司法解释等,均不宜将数字法律简单定性并归入线下社会的某一传统部门法中。尤其是数字空间中的数据跨境在客观上是常态,我国的《数据安全法》《个人信息保护法》等对此亦有规定,由此决定了数字法学所关注的不仅是一国之内的法律问题,亦包含与他国、国际区域组织、国际性组织之间的法律合作以及相关的国际法规则,但当下的主要法律考量仍应限于一国范围内。这也是每个国家法律不仅规制本国内的数据,而且乐于制定有利规则规制境外数据的原因。相信在不久的将来,不同国家、国际组织之间会更为频繁地开展地域性、局部性、双边及多边的数据法律合作,如不久前美国、欧盟便签署了《美国、欧盟关于跨大西洋数据隐私框架的联合声明》(European Commission and United States Joint Statement on Trans-Atlantic Data Privacy Framework)。
就我国数字法律制度而言,其调整对象涉及数据、网络安全、电子商务、人工智能等多方面;其调整的法律关系,既包括国内数据的保护与利用,也包括国际数据的跨境传输,且涉及个人、数据企业、国家乃至国际组织等多元法律主体;其涉及的法律规范,几乎涵盖了传统线下社会的民商法、知识产权法、行政法、反不正当竞争法、反垄断法、消费者权益保护法、刑法、国际法等所有法部门。因此,作为研究数字法律知识和规律的数字法学,不能再用传统线下部门法思维确立其学科归属,而应综合考虑其学科性质。数字法学既不完全属于传统公法,也不完全属于传统私法;既非单纯的国内法,亦非单纯的国际法。数字法学是纵(公法、私法)横(国内法、国际法)兼具、横跨多个法部门的综合性、交叉性、融合性法学学科。数字法学既有各传统部门法的因子,又有其数字化特色,唯有贯彻其自身的学科特点与思维逻辑,方能契合数字社会的本质性要求。这一界定亦契合党的二十大报告中加强“新兴学科、交叉学科建设”的要求。
六、结语:价值追求的恒定性
作为应对数字社会中新兴法律问题的法学学科,数字法学的前提性命题(存在数字空间且需要算法等技术支持)、基本范畴(数据)均独具特色,使得数字法律中的具体制度设计与传统线下法律明显不同。这就决定了试图用传统线下社会单一部门法理论或制度来解决数字社会中具体法律问题的努力,往往会产生只见局部、忽视全局的效果,由此便需要寻求契合数字社会本质要求的法律思维逻辑与具体制度设计。尤其是,针对因数据无界性引发的个人信息及隐私安全、甚至国家安全隐患,构建维护网络空间安全的系统性数字法律制度,已成为数字社会较传统线下社会更为强调的核心法律目标。尽管如此,若从数字法学的内在基本原理以及基本价值追求来说,其与线下社会的传统法学并无实质性区别,因为法学的基本价值追求应是恒定的,那就是维护并促进人的行为自由与尊严平等,数字法学亦是如此。毕竟,数字社会最终维护的依然是线下社会中自然人的切身利益。“数字不是目的,人才是。”此处的“人”,应该是指自然人,而非人工智能体。当下,无论是数字社会,还是线下社会,自然人仍是社会主宰。尽管不应一味提倡人类中心主义,毕竟生态与环境保护甚至与动物和谐共处也应是时代的主题,但保护“人”仍是所有制度(含法律)设计的最终目的,即保护与提升自然人的自由与尊严,增强自然人的主体性,仍是包括数字法学在内的所有制度设计的核心价值追求与根本目的。
原文刊载于《中国法学》2023年第1期,感谢作者授权推送!
网站编辑:翁壮壮
审读:季卫东