【作者】程啸
【内容提要】
论个人数据经济利益的归属与法律保护
程啸 清华大学法学院教授
内容提要:个人数据上的经济利益能否归属于个人以及法律上如何保护和实现该利益,是我国建立数据产权制度中的核心问题之一。个人信息与个人数据乃一体两面,都是个人信息权益的客体,而非不同的民事权利客体。在我国人格权保护“一元模式”下,个人信息权益既保护自然人对个人信息(或个人数据)的精神利益,也保护自然人对个人数据(或个人信息)的经济利益。不应将个人数据上的经济利益完全配置给处理者,也无需单设个人数据所有权来保护自然人的经济利益。个人同意与个人许可是自然人行使个人信息权益实现个人数据上经济利益的两种形式,具有不同的性质与法律效果,适用于不同的个人数据交易场景。个人信息权益对于企业数据财产权具有制约作用。
关键词:个人信息 个人数据 个人信息权益 数据产权
一、引 言
个人数据是最重要的数据类型之一,数字社会中个人数据的处理具有普遍性,无论企业的生产经营活动还是国家机关履行法定职责,抑或公共机构提供公共服务,都需要进行个人数据的收集、存储、加工、使用、提供等各种处理活动。个人数据上承载了个人信息,自然人针对个人信息的处理享有个人信息权益,该权益受到《民法典》《个人信息保护法》等法律的保护,对此不存在疑问。但是,理论界就是否应当区分个人数据与个人信息却有很大的争议。否定说认为不应区分个人信息与个人数据,自然人针对个人信息或个人数据享有的都是个人信息权益。肯定说认为应严格区分个人数据与个人信息,但就自然人对于个人数据享有何权益有不同看法:有学者认为,自然人对于个人信息享有个人信息权益,对于个人数据则享有所有权;有学者则认为,基于平等与效率的考虑,个人数据上的财产利益应当配置给企业等个人数据的处理者(或生产者)。
然而,已有研究未深入分析区分或不区分个人数据与个人信息的理由,也没有充分论证何以自然人对个人数据享有所有权,以及将个人数据的经济利益完全配置给处理者的正当性何在。有鉴于此,本文从民事权利的角度出发,对个人信息与个人数据应否区分、个人数据上的经济利益是否应归属于自然人以及如何实现等问题展开研究,希望能够为构建一个既充分保护个人数据权益又有效实现数据要素价值的中国特色数据产权制度提供参考。
二、个人数据与个人信息区分之质疑
在围绕个人数据上的权益乃至整个数据权益(包括但不限于数据产权)体系构建所展开的讨论中,“数据”与“信息”、“个人数据”与“个人信息”这两对概念的关系始终是引发分歧的一个重要争点。无论主张将个人数据上的经济利益完全划归给企业的学者,还是断言自然人对个人数据享有所有权的学者,都是以个人数据与个人信息的区分作为论证的出发点与前提。然而,即便从信息科学的角度可以得出数据和信息应予区分的结论,也并不意味着在民事权利的层面应当且能够区分个人数据和个人信息,并将它们作为不同的民事权利客体加以规范。
(一)个人信息与个人数据的界定
在讨论个人信息与个人数据的区分之前,有必要先明确它们的涵义。《民法典》第1034条第2款与《个人信息保护法》第4条第1款都对“个人信息”(Personal Information)下了定义。《民法典》以“识别性”作为判断个人信息的核心要件,即任何能够单独或者与其他信息结合识别特定自然人的各种信息都属于个人信息。《个人信息保护法》在“识别性”上增加了“相关性”要件的要求,即除了经过匿名化处理的信息,任何与已识别或者可识别的自然人有关的各种信息都是个人信息。与已识别或可识别的自然人无关的信息通常也是无法直接或间接识别特定自然人的信息,不属于个人信息。故此,上述两种定义并不矛盾,所界定的个人信息范围也基本相同。
个人数据与非个人数据是一种重要的数据分类方法。“个人数据”(Personal Data)的概念已为不少国家的法律所接受并使用,我国理论界也经常使用。不过,我国的现有法律却没有使用“个人数据”,这一概念只在一些政策文件、地方性法规中出现过。例如,《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》提出:“推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护”。作为我国数据产权领域最重要、最基础性的政策文件,《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)同时使用了“个人信息”与“个人数据”的概念,还采用了“个人信息数据”“承载个人信息的数据”等表述。
比较法上对于个人数据的界定大同小异。欧盟《通用数据保护条例》(GDPR)第4条第1款规定:“‘个人数据’是指与一个已识别或可识别的自然人(‘数据主体’)相关的任何信息。一个可识别的自然人是指能够被直接或间接地加以识别,尤其是通过参考诸如姓名、身份证号码、位置数据、在线身份识别码这类标识,或者通过特定于该自然人的一个或多个身体、生理、遗传、心理、经济、文化或社会身份等要素而识别的人。”印度《2023年数字个人数据保护法案》第2(t)条将个人数据界定为“关于可识别的个人的任何数据或者与该数据相关的数据”。我国《民法典》第1034条第2款和《个人信息保护法》第4条第1款界定了个人信息,并且《数据安全法》第3条第1款给数据下了定义。结合上述法律规定,我国法上的个人数据可被定义为:以电子或者其他方式记录的与已识别或者可识别的自然人有关的任何信息。
“个人数据”这一概念的核心在于:它必须是与已识别或可识别的自然人有关的数据。至于该数据是否由个人所生产的或来源于个人的,则无关紧要。有的学者为了表示个人也属于数据要素生产过程中的参与主体,将个人称为“数据生产者”或“数据来源者”。然而,“个人数据”与“来源于个人的数据”不可等同,来源于个人的数据并非都是个人数据,非来源于个人的数据也未必就不是个人数据。有些数据是由机器产生的,表面上看并不是个人数据,但经由大数据技术处理之后就可以追溯到个人,从而成为个人数据。例如,从智能电表上收集的读数,由于每个电子设备通电时有独特的负荷特征,基于用电情况就可以了解特定自然人的日常生活习惯,因此智能电表的读数就属于个人数据。反之,即便是个人生产的或来源于个人的数据,若无法识别到特定自然人的,也不属于个人数据。例如,自然人用户在平台上传的纯风景图片、关于天气的记录、虚构类小说等。当然,广义上可以将这些来自用户的数据称为“用户数据”。
(二)数据与信息的层次及关系
从信息科学的角度来说,“信息”与“数据”既有区别又有联系。理论上,学者将信息从结构层(Strukturebene)、符号层(Zeichenebene)以及语义层(Bedeutungsebene)等三个层面相应地划分为:结构性信息(strukturelle Information)、句法性信息(syntaktische Information)与语义性信息(semantische Information)。其中,结构性信息属于物理层面,用来承载句法性信息。句法性信息侧重于将信息作为字符集进行编码,它是由一组字符及其相互关系所确定的信息,或者说是以能够通过信息技术加以处理的一组字符形式而存在的信息,如代码、文本和图像。句法性信息并无意义,只有适用和不适用之分,不存在正确与错误之分。但是,作为第三层的信息即语义性信息注重的就是意义,存在正确与错误之分,语义信息必须要通过句法性信息加以传递。知识就是人类头脑中的语义性信息。三个层次的信息的关系是:结构性信息承载句法性信息,句法性信息承载语义性信息。与信息不同的是,数据只有两个层次:一是作为结构层面的数据,即数据载体(Datentraeger),是存储数据的介质,如电脑的硬盘、U盘等。随着云计算技术的发展,数据可以存储在大量不同且远离用户的地点,故此数据载体的确定变得越来越不重要。二是作为符号层面的数据,即机器可读的编码信息,相当于句法性信息。就数据而言,并不存在信息的第三个层次即语义信息层,因为这个层面已经是内容层了。
在表述数据和信息的关系时,最经常被采用的表述为“数据是信息的载体,信息是数据的内容”。这句话中的“数据”是指符号层的数据,“信息”仅指语义层的信息。就符号层的数据与语义层的信息的关系而言,信息就是内容,人们通过获取信息就可以知道某些事情。数据就是形式,是用来记录信息或者承载信息的一系列符号。数据被认为是信息的载体,信息借助数据这一载体进行传播。数据所能承载或记录的信息多种多样,可以是个人信息,也可以是与个人无关的任何信息(如天气、水文等自然界的信息)。同一个信息也可以存储在不同处理者所处理的不同数据当中(如张某在A、B、C三个平台发布自己录制的同一个旅游视频)。信息是数据产生价值的本质原因,对同一个数据采取不同的数据处理方法可以发掘出各种不同的信息。倘若数据中根本无法挖掘出信息,数据本身就没有价值。因为完全不包含任何信息的数据只是一堆杂乱的符号或编码,毫无意义。在现代网络信息技术环境下,符号层的数据由二进制编码单元组成,可以通过计算机进行储存、处理和传输。数字技术的发展已经使信息和数据的关系突破了传统媒介所具有的内容和形式的区分特征,二者在特殊的网络环境下可以自由转换,几成一体。由于作为符号层面的数据与句法性信息完全融合,数据不仅承载而且直接显现语义性信息,这就使得人们慢慢习惯以数据来指称信息,即当人们说数据时往往指的就是语义信息。虽然现代网络信息环境下的数据既是信息的数字化媒介,又直接显现信息,但并不能据此认为数据就“兼具信息本体和信息媒介的双重属性”。
因此,数据与信息的区分在法律上并非毫无意义。例如,所谓数据安全是指确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。保护数据的安全当然可以保护数据中的信息的安全,但仅保护数据安全却并不能完全保护信息的安全。例如,某国家干部将其工作中听到的保密信息泄露给他人,此时其违反的是《保守国家秘密法》而非《数据安全法》。因此,信息安全的实现既需要《数据安全法》,还需要《保守国家秘密法》《国家安全法》《证券法》《个人信息保护法》等其他法律。然而,基于信息与数据的区别却并不能得出个人信息和个人数据是不同的民事权利客体、前者是人格权的客体而后者是财产权的客体的结论。
(三)民法上不应区分个人数据与个人信息
某个东西要成为独立的民事权利客体,既需要满足客观上的独立性要求,也应当具有法律上予以规范的必要性。从民法的角度看,个人数据与个人信息只是同一事物的不同称谓而已,并非相互独立的民事权利客体。
1.个人数据与个人信息在客观上无法被区分
如前所述,即便是在区分信息与数据的情况下,如果完全隔绝内容(即排除信息),单纯的作为符号层面的数据本身并不具有理解的可能性,没有任何价值,法律上无必要将之作为调整对象。从规范目的来看,民法规范指向的是信息内容(例如,匿名化的数据在个人层面并无民法规范的必要),将单纯的二进制代码表现出来的比特形式规定为民事权利客体,是毫无意义的。仔细研究个人数据与个人信息的关系可以发现,它们只是从不同角度对同一客体的不同称谓而已,并无实质上的区别。二者的最大区别不过在指代侧重上略有不同:个人信息侧重的是语义层面,个人数据侧重的是句法层面。就本质而言,在网络信息时代,个人信息与个人数据紧密融合,是一体两面的关系。尽管从信息科学的角度上说,计算机对个人数据的处理侧重的是对比特形式意义上的“数据”的加工运算,但个人数据之所以具有经济与社会价值,是因为通过其可识别特定的自然人,即分析出个人信息。因此,无论是对个人信息的处理还是对个人数据的处理,必须是同时在符号层(数据)和内容层(信息)展开的活动。形而上地将个人数据与个人信息分离,不仅不符合实践,也违背了民事权利客体的基本要求。
具言之,当人们使用“个人数据”这个概念的时候,就不可能如同“数据”的概念那样仅停留在字符层面。个人信息也好,个人数据也罢,都只可能是在语义层面(semantischen Ebene)上使用的概念。只要是与已识别或可识别的自然人相关的信息或数据,就必定是个人信息或个人数据,从而可被纳入个人信息保护法(或个人数据保护法)的调整范围。个人数据的处理活动就是个人信息的处理活动,二者是一回事。正因如此,虽然有些国家制定《个人数据保护法》,有些国家颁布《个人信息保护法》,但这些法律的调整范围、基本原则与处理规则都是大体相同的。我国法律已经明确规定了自然人的个人信息权益,因此,无论如何表述,个人针对个人数据享有的权利实质上都是个人信息权益。法律制度的一个重要作用在于降低世界的复杂性,从而简化每一个人的认知任务。通过使他人的反应更可预见,而令整个世界更加有序,进而使得个人也更易于在这个纷繁复杂、变化无常的世界中应付裕如,避免“认知超载”(Cognitivie Overload)。显然,在根本无法区分的情形下,强行区分个人信息与个人数据并以此为基础设计不同的权利,势必人为地把问题复杂化,极大地增加数据生产、流通、使用中各参与方的认知难度,提高了协调成本。
2.我国民法没有将个人数据与个人信息作为不同权利的客体
学者主张区分个人数据与个人信息的一个重要理由是,我国民法已经将个人信息与个人数据作为不同的民事权利客体加以规定。具体而言,《民法典》第111条规定了个人信息,这一条处于规定具体人格权的第110条与规定身份权的第112条之间,而《民法典》第127条将数据与虚拟财产一起作出了规定。“个人信息”与“数据”在《民法典》中的此种条文位置就充分表明:个人信息是人格权的客体,数据是财产权的客体。笔者认为,仅仅从“个人信息”和“数据”这两个概念在《民法典》总则编第五章中出现的先后顺序,不能得出我国民法已将个人信息与个人数据规定为不同权利客体的结论。
首先,《民法典》第111条来自《民法总则》第111条。立法机关之所以在《民法总则》第111条对个人信息保护作出规定,是考虑到“个人信息权利是公民在现代信息社会享有的重要权利,明确对个人信息的保护对于保护公民的人格尊严、使公民免受非法侵扰、维护正常的社会秩序具有现实意义”。最高立法机关编纂民法典时,除了继续保留第111条外,还在人格权编第六章“隐私权和个人信息保护”中用了多个条文(第1034—1039条)对个人信息保护作了规定,这就真正明确了个人信息上存在民事权益且其性质是人格权益。由此可见,个人信息作为人格权益的客体不是由《民法典》第111条的位置所决定的,而是基于《民法典》人格权编中对个人信息保护的规定。
其次,从《民法典》第127条将数据和网络虚拟财产规定在一起,就得出现行法已经区分个人信息与个人数据并将它们作为不同权利客体的结论,也是草率的。从立法机关同志撰写的释义书可知,《民法典》第127条的立法目的在于“确立了依法保护数据和网络虚拟财产的原则”,从而“为以后立法提供坚实基础”。换言之,立法机关注意到了数据权属和法律保护问题的复杂性与变化性,将该问题留待其他法律规定。确实,数据的种类非常多(如个人数据、企业数据与公共数据,原始数据、数据资源与数据产品等不同类型),而且数据产生与应用的场景也十分丰富,这使得数据上的权利类型各不相同。例如,仅仅是企业合法收集与产生的数据上就可能涉及不同主体的多种权利,如作为汇编作品的数据库上的著作权、构成商业秘密的数据上的商业秘密权、企业针对公开数据的财产权、自然人针对个人数据的个人信息权益等。作为民事基本法的《民法典》显然不可能对数据上的各种权利作出具体规定,只能留待将来的立法加以规定。
另一个被用来支持“个人信息与个人数据区分说”的理由是,如果不作此种区分,会导致处理者控制个人数据就是在控制个人信息,交易个人数据就是在交易个人信息。这种担心显然是没有必要的。我国法律从来没有禁止过合法的个人信息交易。《民法典》第111条和《个人信息保护法》第10条禁止的只是“非法买卖、提供或者公开他人个人信息”。不仅如此,《个人信息保护法》第23条还就个人信息的提供作出了明确的规定。在取得个人同意以及符合法律、行政法规规定的情形下,个人信息处理者完全可以将个人信息作为交易的客体。换言之,无论是称个人数据也好,叫个人信息也罢,处理者只要对之进行处理,就必须遵循告知同意规则或者具有其他法律根据。只要有法律根据,个人数据的处理者相对于其他处理者而言就可以取得对个人数据的法律上的控制权。当然,此种控制权不能对抗作为信息主体的个人,因为个人有权随时撤回同意或在具有正当理由的情形下解除许可使用合同而使个人数据处理者无权处理个人数据。因此,企业控制个人数据就是控制个人信息的问题完全是不存在的。
3.无法也无需单独创设个人数据所有权
个人信息权益同时保护自然人针对个人信息享有的精神利益与经济利益。在这种情形下,即便是不考虑个人信息与个人数据在客观上是否可被区分为两个独立的权利客体,也完全不需要在个人数据上单独设立财产权,尤其是所谓的个人数据所有权。数据的特性决定了其上无法如同有体物那样产生所有权。作为民事权利的所有权,其客体之所以限于动产和不动产等有体物,就是因为有体物所具有的“有形性”“竞争性”以及“可损耗性”等特点本身能够发挥明确权利边界的“界分功能”(Abgrenzungsfunktion)。因此,民法上无需逐一列举所有权的内容,只需要描述性地规定“所有权人对自己的不动产或者动产,依法享有占有、使用、收益和处分的权利”即可,重点在于所有权使得权利人享有排除其他任何人对其所有权的侵害、妨碍的权利,除非这些人取得所有权人的同意或者具有法律的根据。所有权人对动产和不动产享有特别饱满的法律权能(eine besondere Fuelle von Befugnisse),对于特定有体物的任何不违反法律强制性规定与公序良俗的利用方式都应当归属于所有权人。换言之,所有权人可以对有体物进行排他的、独占的控制并排除任何第三人的干涉,对于所有权的限制仅来自人们共同生活的需要、所有权人的自愿以及法律的规定。
数据既非动产更非不动产,其具有“无形性”“非竞争性”“无磨损性”等特殊的属性。这使得数据之上不可能如有体物那样直接产生明确权利范围和义务人行为边界的界分功能。立法者要赋予权利人对数据的权利就只能在法益分配的基础上采取排他策略(exclusion strategy)或治理策略(governance strategy)。前者是指,划定数据上的权利边界,规定权利人之外的其他人不得对数据实施哪些行为,至于权利人如何对数据加以利用则交由其自行决定;后者是指,法律逐一确定权利主体享有哪些权能(Befugnissen),即规定权利人对于数据可以实施哪些利用的行为。
无视数据的属性,将之视同于有体物,并认为在个人数据甚至是数据上可以成立所有权的结果必将是损害信息自由、阻碍科技进步。正因如此,除了数据权属问题兴起之初曾有人提出数据所有权的概念外,域外基本上没人赞同数据所有权的观点。我国“数据二十条”同样跳出了传统的以有体物为客体的所有权思路,强调“创新数据产权观念,淡化所有权、强调使用权,聚焦数据使用权流通”。该文件在明确企业的数据产权时,采取的是明确权利主体的各个权能的方式,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制。特别需要注意的是,“数据二十条”也提出了“数据来源者权益”的概念。数据来源者包括个人,当数据来源者是个人时,作为个人数据来源者针对个人数据享有的就是个人信息权益。“数据二十条”第7条第1句规定:“充分保护数据来源者合法权益,推动基于知情同意或存在法定事由的数据流通使用模式,保障数据来源者享有获取或复制转移由其促成产生数据的权益。”就个人数据而言,该句中“基于知情同意或者存在法定事由的数据流通使用”显然是指,要确保处理者依据《民法典》第1035、1036条及《个人信息保护法》第13条关于个人信息处理的规定来处理个人数据,不得侵害个人的知情权和决定权;该句中的“保障数据来源者享有获取或复制转移由其促成产生数据的权益”则是指《民法典》第1037条第1款以及《个人信息保护法》第45、46条规定的作为个人信息权益内容的查阅权、复制权、更正权以及可携带权等。
三、个人数据上经济利益的归属
自然人享有其个人数据上的经济利益就意味着,自然人有权对其个人数据进行商业化利用(Merchandising),如许可他人使用个人数据并获得相应的费用。个人数据上的经济利益当然也可以被其他人合法取得,如企业将合法处理的个人数据加工为数据产品后出售给他人而获利。奇怪的是,企业获取个人数据上的经济利益似乎是理所当然的,无人有异议;而对于自然人享有其个人数据上的经济利益,就有反对的观点认为,应当将此种经济利益配置给数据的处理者。反对观点的主要理由在于:首先,个人信息的经济价值存在稀薄效应,如果将大数据整体的经济价值分散在个体层面,每个人单独的个人信息的经济价值将被严重稀释,几乎可以忽略不计;其次,给个人配置财产利益会带来一系列的问题,如导致个人之间的人格不平等,引发为了蝇头小利的全社会争夺,从而对已经形成的个人信息处理行业模式产生不利影响,引发“反公地悲剧”,甚至出现一些人滥用此等利益来阻碍技术和信息产业的发展,损害社会的整体福利;再次,个人在同意数据处理时就已经让渡了个人数据的利用价值,数据的生产者已经获得了数据内容的价值,取得了对数据的全部控制权;最后,个人只是数据的来源者而非生产者,不能原始取得或者与数据生产者共有数据权利。笔者认为,上述理由都不成立,自然人应当也能够享有个人数据上的经济利益。
(一)个人数据上的经济利益应归属于自然人
1.个人信息权益的法益分配功能
我国法上个人信息权益的核心内容在于个人对于个人信息的处理享有知情权与决定权,有权限制或者拒绝他人对其个人信息进行处理,除非法律或行政法规另有规定(《个人信息保护法》第44条)。个人对个人信息处理的知情权和决定权并非请求权,而是个人信息权益的核心权能。《个人信息保护法》第四章规定的个人的查阅权、复制权、可携带权、补充权、更正权、删除权、解释说明权等权能所具有的是对人的效力而非对世的效力。它们都是个人针对个人信息处理者享有的请求权,是立法者为了实现个人信息权益中的知情权与决定权而配置的功能性权能。这使得个人信息权益同时具有防御侵害与法益分配的功能。申言之,从消极的角度看,个人信息权益保护了个人信息上承载的人身财产权益乃至人格尊严、人格自由,使其免于受到非法个人信息处理活动的侵害。个人信息权益的防御侵害功能主要通过个人信息处理的法律根据加以实现,即个人有权禁止任何个人信息处理者未告知并取得其同意或未取得其他法律根据而处理其个人信息。从积极的角度看,个人信息权益还保护了个人对个人信息处理的自主利益,即个人对其个人信息的处理享有的基于自由意志而予以决定的空间。个人有权同意他人为了特定的处理目的以特定的处理方式对其个人信息进行处理,也可以撤回同意或者对处理的目的和方式进行限制。个人信息权益的此种法益分配功能意味着个人对其个人信息可以进行各种不违反法律、行政法规的强制性规定及公序良俗的利用,其中,当然也包括了自己或许可他人进行商业化利用。故此,自然人基于个人信息权益可以取得个人数据上的经济利益,禁止自然人对其个人数据的商业利用实质上就是非法限制了自然人的个人信息权益。
个人对其个人数据处理的知情权和决定权,对维护自然人的人格尊严和人格自由而言至关重要。个人数据是与已识别或者可识别的自然人有关的各种数据,其中与个人身份有关的数据上的经济利益和精神利益非常容易且频繁地融合在一起。例如,一位声音非常甜美的漂亮女性同意商业公司将她的语音数据和人脸信息进行商业性利用(如用于车载导航系统),这既提升了其社会地位与知名度(自我感觉的人格认同也被提升),也实现了其经济利益。由于个人数据上的精神利益与经济利益密切联系、互相影响,剥夺自然人对其个人数据上经济利益的控制很可能导致自然人的精神利益也难以得到保障。
2.不应依据价值的高低判断个人数据经济价值的归属
仅以个人数据的经济价值低或稀薄为由,就将个人数据上的经济利益全部配置给数据处理者是不妥当的。单个自然人的个人信息在很多情况下确实价值不大,但不能仅因为价值不大就否定自然人对其个人信息进行各种商业化利用的可能性。现实中除了极少数的歌星、影星、体育明星之外,绝大多数普通人的姓名、肖像也基本上不太有许可他人使用并获得经济收益的机会,然而《民法典》第993条却仍然明确规定自然人可以将其姓名、肖像等许可他人使用。如果按照前述反对自然人享有个人数据上的经济利益的观点,《民法典》也应当将对绝大多数普通人的姓名、肖像进行商业化利用的权利配置给那些可进行最有效率的利用的企业等市场主体。但这显然是不妥的。只要人们具有将个人信息进行商业化利用的可能性,就不能因为绝大多数个人的个人信息经济价值低而在法律上剥夺个人对其个人信息进行商业化利用的机会。
事实上,随着经济社会尤其是科技的发展,单个自然人的个人数据也越来越有价值。无论是自然人针对个人数据的精神利益还是经济利益,都不是孤立、固定不变的,而始终是在个人以其个人数据为中心与他人展开的经济、法律关系中不断生成演化的。自然人针对个人数据的商业化利用与企业就个人数据汇集而成的大数据经济价值的挖掘也非零和博弈。随着大数据与人工智能技术的发展,不仅企业对数据的商业化利用程度越来越高,自然人对其个人数据能够进行的商业化利用方式也在变化发展,交易的形态日益丰富多彩。其中,既有一对一进行谈判而达成的显性交易,也有一对多的收集利用个人数据而在事实上形成的隐性交易。例如,在语音人工智能训练、数字人产品生产中,数据处理者与个人签订个人数据许可使用合同,从而获得大量的自然人的语音信息及其他个人数据,但需要向个人支付相应的金钱作为对价。这是个人实现个人数据上的经济利益的显性方式,具有代表性。在这种交易中,处理者与个人有较充分的机会就个人数据的商业化利用方式和对价等进行磋商。除了这种显性的个人数据交易,实践中还有大量的隐性个人数据商业化利用的场合,如互联网企业在向个人用户提供网络服务过程中对于附带生成的个人数据的处理,此种个人数据的生成与交易在很大程度上是隐性的。在这些场合,虽然当事人之间没有太多机会就个人数据的商业化利用进行专门磋商,但是,个人因为提供个人数据而获得了免费享受网络服务的对价,实际也就实现了其个人数据上的经济利益。至于承认个人对个人数据的经济利益有可能引发人们为了蝇头小利的全社会争夺以及滥用权利阻碍技术发展的观点,也缺乏实证依据。我国《民法典》《个人信息保护法》等法律以科学协调个人信息权益保护与个人信息的合理利用为立法目标,并且建立了一套完善的个人信息合理使用制度,足以防止出现滥用个人信息权益损害国家利益和社会公共利益的情形。
(二)自然人享有个人数据的经济利益与企业数据产权不矛盾
以企业等数据处理者在数据的产生中投入了资本并对数据生产具有自主决定权为由,认为企业作为数据生产者应取得个人数据上的全部经济价值的观点值得商榷。一方面,虽然可以用“企业投入资本及人力物力,并对数据的生产负有经济上的责任”来论证企业数据财产权的正当性,但企业的数据财产权显然不应建立在剥夺自然人对个人数据的经济利益之基础上;另一方面,个人的同意或许可不会如同个人出售有体物那样导致权利转让的法律效果,作为人格权益的个人信息权益,是不得放弃、转让或者继承的(《民法典》第992条)。个人可以撤回同意或者解除个人数据许可使用合同,个人信息权益始终对企业数据财产权具有制约作用。如果认为个人同意或许可后就不能对个人数据进行商业化利用,显然构成了对个人信息权益的不当限制。
我国一些学者津津乐道的数据生产者权的观点来自欧盟。然而,欧盟的数据生产者权仅仅针对非个人数据,不包括个人数据。德国的蔡希(Zech)教授在2015年发表的一篇论文中较早地提出了“数据生产者权”(Rechts des Datenerzeugers)的观点。他认为,应当将针对数据的排他性或独占性的权利分配给数据的生产者,这样做有利于激励数据的收集,增加可分析的数据量,继而间接强化创新活动;有利于促使数据公开,使数据收集者将自身无法分析的、潜在有用的数据提供给其他市场参与者进行分析,产生宏观经济附加值;有助于破解信息悖论,即通过法律上的排他性来建立起一个数据交易的市场;此外,通过分配大数据应用中的数据用益并使之作为合同约定的明确起点,也可以在没有约定或约定不明时作为对数据使用加以分配的原则性判断标准。然而,一旦涉及个人数据,就进入了个人数据保护法领域,蔡希教授认为,就个人数据所具有的个人相关性是否能够或者应当导致对于个人信息进行财产权的分配,仍有待研究。欧盟委员会2017年1月发布的《打造欧洲数字经济》报告提出引入一项新的权利——“数据生产者权”(Data producer’s right)的观点,即设备的所有权人或者长期用户作为非个人数据的生产者享有使用或许可他人使用该等非个人数据的权利。但在谈到个人数据时,该报告明确指出,“就个人数据而言,个人在授权使用后保留随时撤回同意的权利。在另一方授权进一步使用个人数据之前,需要以匿名方式提供个人数据,使得无法识别或不可再识别个人”。显然,欧盟委员会的数据生产者权并未排除自然人针对个人数据的经济利益。鉴于对于数据上能否产生所有权存在太大的争议,为实现数据经济的公平性、促进数据的流通与利用,欧盟立法机关借鉴《通用数据保护条例》规定的访问权、可携带权等重构了数据来源者的权利。2024年1月11日生效的欧盟《数据法》(Data Act)第4条和第5条赋予了用户,即拥有连接产品(connected product)或依据合同临时转让使用连接产品的权利或接受相关服务(related service)的自然人或法人,访问、获取以及利用由连接产品或相关服务产生的数据的权利,包括:(1)访问数据的权利,即当用户无法直接从连接产品或相关服务中访问数据时,数据持有人应立即以同等质量、方便、安全、免费以及结构化、通用和机器可读的格式向用户提供数据以及解释和使用这些数据所必需的相关元数据,并在相关和技术可行的情况下连续实时地提供;(2)用户与第三方共享数据的权利,即根据用户或代表用户的一方的请求,数据持有人应立即以全面、结构化、通用和机器可读的格式向第三方提供可获得的数据,以及解释和使用这些数据所必需的相关元数据,其质量应当与数据持有者可用的相同,并应当方便、安全和免费地提供给用户,且应当在相关和技术可行的情况下连续实时地提供。欧盟《数据法》第1条第5款明确规定,该法案不影响关于个人数据保护、隐私和通信秘密等的欧盟法律和各成员国法律规定,并且当该法案与关于个人数据保护或隐私的欧盟法律或成员国立法相冲突时,关于个人数据保护或隐私的法律应优先适用。
我国“数据二十条”明确提出,“充分保护数据来源者合法权益,推动基于知情同意或存在法定事由的数据流通使用模式,保障数据来源者享有获取或复制转移由其促成产生数据的权益”。简单地说,数据来源者就是向数据处理者提供数据或数据处理者从其处收集数据的主体,数据处理者从数据来源者处收集数据并进行使用、加工等一系列处理活动。数据来源者是与数据处理者相对应的概念,作为数据来源者的主体既包括个人,也包括法人或者非法人组织。数据来源者的权利既包括自然人针对其个人数据享有的个人信息权益,也包括其他数据来源者对于非个人数据享有的权益。对于个人数据,应当适用《民法典》《个人信息保护法》等法律的规定,尊重保护个人信息权益。对于非个人数据,“数据二十条”提出赋予非个人数据的来源者以知情同意、获取、复制转移其促成产生的数据的权利,但是我国现行法对这些权利并未作出规定。总之,无论是承认数据生产者权还是数据来源者权,抑或规定数据处理者的数据财产权,都需要合理地协调它们与自然人的个人信息权益的关系。
四、个人信息权益对经济利益的保护与实现
既然自然人能够享有个人数据上的经济利益,那么,法律应当如何加以保护并实现呢?我国现行法并未规定自然人对个人数据的所有权或其他财产权,理论上也无需设立这样的权利来保护自然人对个人数据的经济利益。《民法典》《个人信息保护法》所确立的个人信息权益完全能够保护并实现个人数据上自然人的经济利益。
(一)劳动赋权理论无法证成个人数据所有权
在讨论数据产权时,劳动赋权理论常被用于论证为数据处理付出劳动、投入资本的数据处理者应当对数据享有受法律保护的财产权利。不过,近来也有观点将其用于证成自然人对个人数据的所有权。该观点认为,个人是个人数据的来源者,个人数据就是个人从事“数字劳动”的产物,基于劳动赋权理论应当赋予自然人就其个人数据享有所有权。同时,由于数据处理者在某种程度上对于个人数据的形成也作出了贡献,所以企业等数据处理者享有来源于个人数据所有权的数据用益权。笔者认为,劳动赋权理论不能证成自然人针对个人数据的所有权。姑且不论能否认为个人数据完全就是个人劳动所产生的,即便可以这样认为,劳动赋权理论充其量也只能证明个人对其劳动所产生的个人数据应当享有受法律保护的权利,却无法证明该权利的性质就是个人数据所有权。事实上,个人数据能否被认为是个人劳动的产物,也是值得怀疑的。
诚然,个人数据是与已识别或可识别的特定自然人相关的数据,但与个人相关并不一定就是个人劳动的产物。以《民法典》第1034条第2款列举的“姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”个人数据为例,除了行踪信息与个人的行为活动有关外,其他的个人数据甚至与活动都没什么关系,要么是与生俱来的(如出生日期、生物识别信息),要么是后天获得的(如姓名、身份证件号码、住址、电话号码、电子邮箱、健康信息)。即便行踪信息作为个人日常活动而附带产生的个人数据,也与创造价值意义上的劳动关系不大。至于那些法律上未能逐一列举出来的个人数据,如个人的爱好、习惯、兴趣、职业等,均属于自然人的日常行为(alltägliches Verhalten)在数字空间中生成的行为数据而已,而个人的日常行为并非洛克所言的“使任何东西脱离了自然存在状态”意义上的劳动。在现代数字社会中,很多个人信息完全是因为现代网络信息科技的发展运用才得以产生并被处理的,如通信记录、个人生物基因信息、网络交易信息、上网浏览痕迹、网络社交媒体留言、行踪轨迹、物联网信息等。“数据化意味着我们要从一切太阳底下的事情中汲取信息,甚至包括很多我们以前认为和‘信息’根本搭不上边的事情。比如说,一个人所在的位置、引擎的震动、桥梁的承重等,我们要通过量化的方法将这些内容转化为数据。”如果没有现代网络科技的运用,这些个人信息无法产生,更不可能被数字化为个人数据并加以利用。很多个人数据都只是个人在参与现代数字生活、接受数字服务过程中无意识生成的数据,如浏览记录、消费记录等。即便个人在社交网络上的发帖、评论等个人数据算是个人有意识创造的,这种“有意识”也只是个人从事社交活动的自主意识,而非从事个人数据生产即所谓的数字劳动的有意识。
不仅如此,现代社会中的很多个人数据也不是个人可以单独产生的,而往往是个人与网络公司等数据处理者共同产生的。如果要依据劳动赋权理论来确权的话,那么在初始权利的配置阶段就应当是个人与个人数据处理者对个人数据共同享有财产权,毕竟是个人与处理者共同“制造”出数据。就为什么将个人数据的所有权赋予个人而将所谓的用益权给数据处理者,有学者辩解道:这是因为作为来源者的个人和作为处理者的企业虽然都有贡献,但贡献程度有差异,所以应当依贡献程度不同而分别赋予所有权和用益权。可是,如果说所有权和用益权是法律直接配置的结果,究竟应当基于何种理由来进行这种权利配置呢?个人与数据处理者对于个人数据形成的贡献程度本身就是无法度量的,即便可以,按照物权法理论,也是应当是根据贡献程度的不同而确定共有人不同的份额,绝不可能给个人配置所有权,而给数据处理者配置一个性质完全不同的用益权。如果说所有权是立法者初始配置给个人,而用益权来源于个人数据所有权,那么个人与企业之间又是基于什么法律关系产生了这种设立用益权的行为呢?这些问题都是以劳动赋权理论论证个人数据所有权的观点所无法回答的。
(二)个人信息权益足以保护自然人的经济利益
“以个人信息权益保护自然人的精神利益,以个人数据所有权保护自然人的经济利益”的思路来源于以美国为代表的人格权保护“二元模式”。在美国法上,隐私权与公开权被用来分别保护姓名、肖像、名誉等人格要素上的精神利益与经济利益。其中,隐私权(Right to Privacy)是精神性权利,保护的是自然人的精神利益即个人的独处和私生活安宁,该权利不得转让、继承且主要具有消极防御功能;公开权(Right of Publicity)属于财产权利,是对一个人的姓名或肖像进行商业化利用的控制权,保护的是肖像、姓名、声音等人格要素上的经济利益,该权利可以转让和继承。美国学者认为,个人数据之所以受到保护,根本原因在于它是一种财产,即“个人对他们的个人信息拥有所有权,并且如同财产的所有人那样,有权控制对其个人信息的任何使用”。受美国法“二元模式”的影响,一直有学者主张,在我国现行法规定的名誉权、名称权、肖像权以及个人信息权益等人格权益之外,另创商誉权、商号权、形象权以及个人信息财产权来保护自然人等民事主体针对名誉、名称、肖像以及个人信息的经济利益。
然而,我国法始终采取的都是人格权保护“一元模式”,即通过人格权实现对姓名、名称、肖像等人格要素上的精神利益与经济利益的一体化保护。民事主体既可以基于人格权而防御对其人格要素上的精神利益的侵害及请求相应的损害赔偿,也可以依据人格权对人格要素进行商业化利用以实现相应的经济利益,并在他人损害该利益时获得救济。德国是“一元模式”的典型代表。德国学者认为,人格权的精神属性与财产属性并不矛盾,人格权不仅保护自然人的精神利益,也保护其经济利益,尤其是考虑到那些知名人士通过广告进行营销活动,使得其肖像、姓名具有更高的经济价值,则更是如此。德国法院通过判例不断扩张人格权的保护对象,从只保护精神利益到逐步肯定姓名、肖像、声音等人格要素上的经济价值,最终通过一般人格权制度实现了对人格要素上的精神利益与经济利益的一体化保护。不过,我国法采取的人格权保护“一元模式”与德国通过一般人格权来进行一元保护有所不同。从《民法通则》到《民法典》,我国都是通过法律所明确规定的一个个具体的人格权(如姓名权、肖像权等)分别对自然人就其姓名、肖像等人格要素享有的精神利益与经济利益予以一体化保护。具体而言,当行为人侵害人格权造成自然人严重精神损害的,被侵权人可以依据《民法典》第1183条第1款请求精神损害赔偿;同时,只要不是法律所禁止的或根据其性质不得许可的,民事主体可以将自己的姓名、名称、肖像、声音等许可他人使用(《民法典》第993、1012、1013、1018、1023条)。行为人侵害人格权益造成他人财产损失的,应当按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿,如果被侵权人的损失以及侵权人的获利难以确定的,可以由法院根据实际情况确定赔偿数额(《民法典》第1182条)。个人信息权益属于一种新型的人格权益,当然要适用上述《民法典》规定,而自然人针对个人信息(个人数据)的精神利益与经济利益也都受到个人信息权益的一体化保护——《个人信息保护法》第69条第2款也非常清楚地表明了这一点。总之,在一元保护模式下,个人信息权益足以保护自然人针对个人数据享有的经济利益,没有任何必要另设自然人的个人数据所有权或其他财产权。
(三)同意与许可是实现个人数据经济利益的两种方式
民法上“同意”(Einwilligung)的涵义非常广泛,几乎涵盖了所有行使权利的方式。按照同意使得被同意者取得的法律地位从强到弱,可将之分为三个层次:其一,法律效力最强的同意可以导致“权利发生转让”(translative Rechtsübertragung),即因个人之同意而使被同意者取得了权利;其二,效力较弱的同意会产生“构成性权利让与”(konsitutive Rechtsübertragung)的效果,即因同意而在客体上为他人创设权利,如授予独占许可或成立债务性许可合同;其三,法律效力最弱的就是个人作出的可任意撤回的单方同意(如临时的停车许可)。由于个人信息权益不能转让、放弃或继承,故此《民法典》《个人信息保护法》规定了第二和第三层次的同意。依据《民法典》第1035条第1款第1项及《个人信息保护法》第13条,个人信息处理者在处理个人信息前必须告知并取得个人的同意,否则就不得处理个人信息,除非处理者具有法律、行政法规规定的不需要取得个人同意的情形。就基于同意的个人信息处理,个人可以无理由且不受限制地撤回同意(《个人信息保护法》第15条)。这种同意是效力最弱的同意。同时,《民法典》第993条规定,民事主体可以将自己的姓名、名称、肖像等许可他人使用,除非依据法律规定或者根据其性质不得许可。据此,个人可以将个人信息许可他人使用,此种许可本质上也属于同意的范畴,但法律效力更强,即产生债务合同,使被许可使用人取得使用个人数据的权利。上述法律规定中的“个人同意”与“个人许可”都属于自然人基于个人信息权益而实现个人数据上经济利益的方式,但二者在法律性质、效果及适用场景上存在差异。
1.个人的同意与许可产生不同的法律效果
个人同意是个人自愿且明确作出的表示,属于个人数据处理的合法性基础之一。个人数据的处理者取得个人同意后,可以在相应的处理目的和处理方式的范围内处理个人数据。然而,个人同意只是在处理者向个人告知了法律、行政法规规定应当告知的事项范围内产生排除处理行为非法性的效果。因为法律赋予了个人针对其个人数据处理享有以知情权、决定权为内容的个人信息权益,就意味着排除了其他任何人对个人信息权益的侵害。除非取得个人同意或具有其他合法性基础,否则任何人不得处理个人数据。个人同意虽然排除了个人数据处理行为的非法性,却并没有在个人和处理者之间建立具有持续约束力的债权债务关系。因为在现代网络信息时代中,处理者与个人之间的地位是不对等的,如果认为个人同意就可以产生具有持续约束力的、权利义务内容复杂的债权债务关系,就意味着处理者仅通过单方面的告知就可以在其与个人之间任意构造私法上的权利义务关系,这会将个人置于极为不利的地位,无法充分保护其个人信息权益。正因如此,《个人信息保护法》第15条第1款明确规定,基于个人同意处理个人信息的,个人有权撤回其同意。这种撤回可以随时作出并且无需任何理由,处理者也不能对于个人撤回同意的权利作任何限制。因此,个人数据处理者基于个人同意而处理个人数据的,一旦个人撤回同意,就必须停止处理个人数据,并加以删除或将个人数据匿名化处理为非个人数据。
倘若个人是通过许可让处理者处理其个人数据的,情形就有所不同。个人许可是指作为个人信息权益主体的个人将其针对个人数据的某些财产性权利授予数据处理者,许可数据处理者以一定的方式、在一定的时间和地域范围内对个人数据进行收集、存储、加工、使用等活动。在个人许可的情形下,个人与处理者通过协商建立了明确的债权债务关系(个人数据许可使用合同),故此,个人不再享有《个人信息保护法》第15条第1款规定的任意撤回权。个人要解除该合同,就应当适用《民法典》第1022、1023条的规定,即要在合理期限之前通知对方,并且在已明确约定许可使用期限的情况下,个人还应有正当理由。倘若由于解除合同而给对方造成损失的,还应当赔偿损失,除非是因为不可归责于个人信息权益主体的事由。
2.个人同意与个人许可适用于不同的场景
虽然个人同意与个人许可的表现形式和法律效果有所不同,但它们都属于自然人实现其个人数据上的经济利益的方式。就个人同意而言,个人对自己个人数据自主地决定授与他人处理,不仅可以获得免费的数字服务作为对价,还可以根据自身需要而选择个人数据处理目的与处理方式,从而相应地节约成本、提高效率。这也是自然人实现其个人数据上经济利益的方式之一。例如,人们在出行时可以选择人脸识别的方式更快捷地进站,或者选择排队等候人工逐一查验个人信息后再进站。再如,乘客可以通过各种票务服务网站订票,也可以打电话给航空公司买机票,还可以拿着身份证去购票窗口买票。不同的个人基于具体考虑而频繁作出同意是现代信息社会中十分自然和普通的现象,以至于人们习焉不察,忽视了它所具有的维护自然人人格自由发展以及满足个性化经济需求的作用。《民法典》《个人信息保护法》等法律通过给不特定的个人信息处理者施加未告知并取得个人同意不得处理个人信息的绝对义务,为个人营造了一个不受干涉的自主空间,个人在该空间内享有对个人信息进行各种方式的利用(不受他人干涉的)的自由。有些人利用个人信息实现人格自由发展,而有些人利用个人信息取得经济利益,这都属于个人信息权益的应有之义。
相比于个人同意,个人许可意味着个人与个人数据处理者有机会进行一对一的谈判磋商,继而订立个人数据许可使用合同。例如,网络公司进行语音人工智能训练时逐一取得个人的语音数据;互联网企业在开发“数字人”或“虚拟偶像”等数字产品时需要取得特定的、少数几个自然人(这些人被称为“中之人”)的大量个人数据,如其一举一动、声音、表情等。在医疗产业中,即便是单个患者的全部医疗健康信息等个人数据对于研究机构、医药企业而言也是非常具有价值的。由于这些信息属于敏感个人信息,所以通过一对一的方式签订个人数据许可使用合同更为科学合理。随着社会发展,个人与个人数据处理者一一对应进行授权许可的应用场景会不断增加,未来甚至可能产生一种专门通过生产个人数据用于出售获利的新型职业。
考虑到个人与数据处理者能力与地位的不平等,应当建构相应机制来确保个人可以真正实现个人数据的许可。例如,个人将其数据交给代理公司管理,由这些公司代理个人与数据处理者进行协商订立个人数据许可使用合同。目前国际上也已经出现了一些专注于个人数据管理的互联网企业,如Datacoup、Digi.me和Meeco等,这些企业不再过度依赖数据中介和传统企业所提供的消费者数据,而是直接与消费者建立联系,通过打造相应的平台让用户自行选择向企业共享和提供个人数据,从而帮助消费者实现其个人数据上的经济利益。“数据二十条”也提出,要“探索由受托者代表个人利益,监督市场主体对个人信息数据进行采集、加工、使用的机制”。所谓受托者就是指上述专业的机构,它们受众多分散的个人的委托来管理其个人数据,代表个人与数据处理者签订个人数据许可使用合同,既帮助个人实现其个人数据上经济利益,也有效地监督处理者对个人数据进行合法合规的处理。
需要注意的是,实践中不少个人数据处理者(尤其是网络企业)想通过用户点击同意其“隐私政策”的方式便捷地同时取得个人同意与个人许可。考虑到二者在法律性质与效果上的差异,笔者认为,不应当允许这样做。处理者必须以明显的方式区分二者,以使个人充分认识到自己究竟只是在法律和行政法规规定应当告知的事项内作出个人同意,还是通过个人许可而与处理者成立了个人数据许可使用合同。此外,在处理者以格式条款与个人订立个人数据许可合同时,需要适用《民法典》等法律和司法解释关于格式条款的规范加以调整。最后,倘若就个人作出的是同意还是许可有争议的话,应当视为作出的是同意。
(四)个人信息权益与企业数据财产权关系的协调
自然人通过行使个人信息权益实现其个人数据上的经济利益时不可回避的一个问题是,如何协调个人信息权益与企业数据财产权的关系。确认企业对数据的财产权是构建数据产权制度的关键。“数据二十条”第5条明确指出,对各类市场主体在生产经营活动中采集加工的不涉及个人信息和公共利益的数据,市场主体享有依法依规持有、使用、获取收益的权益。事实上,企业对于其合法处理的个人数据也享有相应的财产权利,这种财产权利的正当性基础不仅仅在于企业为处理个人数据投入了人力、物力及资本,还在于其处理个人数据的行为是合法的,即因取得了个人的同意、与个人存在许可使用合同关系或者具备法律、行政法规规定的情形而存在合法性基础。故此,只有承认自然人针对个人数据享有个人信息权益并可以通过行使该权益而实现个人数据上的经济利益,才可能同时依据劳动赋权、权利人同意这两个私法上权益分配的正义标准,认可企业对其处理的个人数据也享有财产权,并最终确认企业对其投入资本及人力、物力所处理的所有数据享有具有支配和排他效力的财产权。该权利意味着:一方面,企业有权自行或许可他人以不违反法律和公序良俗的方式对数据进行各种方式的利用;另一方面,企业有权禁止他人在未取得自己的同意或不具有法律规定的事由时侵害其数据财产权,包括禁止他人访问、复制、使用数据和禁止他人破坏数据的完整性等。
由于个人信息权益属于人格权益,效力位阶高于企业的数据财产权。故此,企业在行使数据财产权时,不仅要符合个人同意的内容、遵守其与个人之间订立的个人数据许可使用合同,还要服从于个人信息权益对数据产权的各种法定限制。针对企业基于个人同意而处理个人数据的行为,我国《民法典》《个人信息保护法》等法律所确立的法定限制包括:(1)个人可以随时撤回同意,一旦撤回,在不影响撤回前基于个人同意已进行的个人信息处理活动的情形下,企业必须停止对该个人数据的处理;(2)个人可以在符合规定的时候请求企业将其个人数据转移至个人所指定的个人信息处理者,而企业必须提供转移的途径;(3)在个人信息处理的目的已经实现或无法实现等法定或约定的条件满足时,个人可以要求企业删除所收集的个人数据;(4)如果企业所处理的个人数据属于公开的个人数据,企业只能阻止他人对这些数据实施的不正当竞争行为以及破坏数据完整性的行为(如删除、修改或增加数据),不能阻止他人对这些公开数据的访问、在合理范围内的利用以及平行开发行为。
五、结 语
在我国加快建设数据产权制度的过程中,研究并解决个人数据上经济利益的归属和法律保护问题,至关重要。本文的研究表明:个人信息与个人数据是一体两面的关系,它们都是个人信息权益的客体。个人信息权益不仅具有防御侵害的作用,可以排除他人非法处理个人数据;还具有法益分配的功能,确保个人可在数字经济中对其个人数据的商业化利用方式予以组织建构并据此实现经济利益。如无必要,勿增实体。当现行法规定的个人信息权益已经能够保护个人数据上自然人的经济利益时,就无需另设自然人的“个人数据所有权”“个人数据产权”或者“来源者数据产权”。否则,不仅违反现行法律的规定,更是人为地造成数据产权体系的繁杂化。同理,对于处理者所处理的非个人数据,倘若未来通过立法能够赋予数据来源者以知情同意、查询、复制转移、更正等权利就足以保护其经济利益,自然也无必要叠床架屋地设立所谓“非个人数据的所有权”“非个人数据产权”或者“来源者数据产权”。
总之,围绕数据展开的各方利益关系是复杂的、变动的。然而,复杂的世界需要简单的规则。我国构建的数据产权制度不仅应当契合现行法律规范体系,更应当努力降低制度的复杂性,简化认知任务,使该制度对于数据生产、流通、使用过程中的各参与方而言更易于理解和更具可预见性。惟其如此,数据产权制度才能真正保护并协调各方的合法权益,激活数据要素潜能,做强做优做大数字经济。