数据时代需要清晰的法律制度框架。在框架中,个人信息应受到严密保护,但数据产业的发展也应拥有一个界面友好型的法律制度环境。二者如何协调和均衡,很大程度上取决于信息技术的进一步发展及多方主体参与的社会共治格局的形成。
(2017年7月12日,广东省公安厅内展示的严打整治网络犯罪“安网”专项行动涉案物品。图/视觉中国)
薛军/文
即使在最严格意义上,2017年也可以被称为“数据之年”。
虽然此前很多人已经意识到,社会正在进入“数据为王”的时代,但只有经历了物流平台顺丰与菜鸟之间的数据控制权之争,华为与腾讯之间的用户信息收集争议,以及新浪微博与脉脉之间的数据利用司法诉讼后,才能真切体会到数据的确已成为企业的核心关切。
无独有偶。2017年3月15日通过,并在10月1日正式施行的《民法总则》第127条,明确将“数据”作为一种受到法律保护的财产形态作出规定。“数据资产”这一说法,也因此具有了法律文本基础。
同年6月1日开始施行的《网络安全法》第四章中针对个人信息规定了严密的保护体系,明显强化对个人信息的保护。几乎同一时间,较高人民法院与较高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》),则强化运用刑事制裁的手段严厉打击倒卖个人信息的行为,其入罪门槛之低,令数据产业震撼。
作为数据产业基础的数据,多数依赖于对个人信息的收集和整理,因此产业链上的任何一种行为,都涉及个人信息保护问题。这一领域,合法与非法、商业创新与侵犯个人信息犯罪间的区别并不清晰。数据行业如同在刀锋上行走的说法并不夸张。
法律的功能是对行为的规范与指引,数据时代到来,需要清晰的法律制度框架。在框架中,个人信息应受到严密保护,但数据产业的发展也应拥有一个界面友好型的法律制度环境。
二者是否可以兼得?如果有冲突,如何协调?中国的数据法制体系如何架构?
个人信息保护与数据制度应分开看待
从制度建构的内在逻辑看,个人信息保护的制度体系与数据相关的法律制度体系,二者之间虽有密切联系,但分属于不同制度体系,应分别建构。在《民法总则》的制度设计中予以体现。《民法总则》第111条规定了个人信息民法保护制度的基本框架,同时在第127条将数据单独予以规定。虽然第127条性质上是转引性的规定,本身并没有实质内容,但至少表明中国立法者注意到个人信息保护与数据的差异。而《网络安全法》在第七章也分别界定了网络数据与公民个人信息这两个不同的立法概念。
当下,个人信息保护问题受到社会关注,但由于“信息”与“数据”两个概念易被混用,导致与数据相关需要专门研究的法律问题,被掩盖在个人信息保护下,整体被忽视。
但关于数据的法律规范,现实中仍有许多亟待解决的问题。具体看,作为具有重要商业价值的资产形态,数据的法律属性是什么?数据是更类似“物”的一种有形的资产形态还是技术秘密或专利类的无形资产?对数据如何妥当地进行资产意义上的定价?数据的权属变动是更多地采取授权许可模式,还是转让模式?如果是后者,在相关交易无效或被撤销时,是否存在数据返还的救济?某一个以数据作为其主要的、核心资产的数据公司,如果发生破产清算,对其拥有的相关数据资产应如何处理?为避免相关数据流失,或加入公共领域,是否会发生数据权利人的数据取回或请求销毁问题?由于数据的可复制性,要回答以上问题并不简单。
不仅在私法层面,公法、经济法层面上,由于其特殊法律属性,也会引发大量疑难问题。举例看,在行政法层面,政府为行使其监管职能通常会向一些拥有数据的大型互联网企业索取数据,而这些数据本身属于企业的核心资产,一旦向第三方公开或披露,其商业价值会受显著影响。
那么如何平衡政府对于数据的需求与私人主体的数据权益保护间的关系?在数据领域,我们能够设想一种类似于征收或者征用的制度安排吗?或者说,这是数据拥有人必须承担的公法上的义务?
传统反垄断法中,对企业并购进行反垄断审查时,主要的考虑对象是并购对于市场占有率等因素的影响。但在进入数据时代后,企业间的并购,更多目的在于整合各自拥有的数据资产,使之发生聚合反应,此效应应如何进行评估?法律体制中是否可能会产生一个新的与市场垄断相平行的数据垄断概念?这些问题都值得深入研究。
数据时代中,作为一种越来越重要的资产形态,由数据的控制和利用所引发的法律问题会增多,必须将此作为独立于个人信息保护的问题进行研究分析。比如,新浪微博诉脉脉一案中所提出的问题也是API模式下,拥有源数据的平台与基于开放平台的应用程序开发者之间的数据权益分配问题,脉脉的行为之所以被法院认定为不正当竞争,也是因为超越通常所认可的授权范围,侵犯了新浪微博的数据权益。
数据与个人信息的界线划定
作为资产形态的数据与个人信息的界线如何划定,很大程度取决于对个人信息法益内涵的准确界定。个人信息,法律上指能用来识别个人身份的信息。法律保护个人信息,并不是个人“拥有”这些信息——事实上我们很难接受“我拥有我的身份证号码,我拥有我的家庭地址”之类说法——而是为保护个人的特定身份不被他人识别,免于可能发生的针对性诈骗、不当的广告营销或其他危害行为。从此意义上讲,个人信息并非一种可以类比于数据的个人特殊资产。某个企业可以说其拥有数据,但个人不能说拥有个人信息,只能主张相关的个人信息法益受到法律保护。
此强调在当下具有重要意义。个人信息的保护模式,一直有一种大趋势,试图将个人信息类比于个人对自己拥有的物,继而设计相应的法律保护规则,发展出所谓支配权、携带权、查询权、删除权等说法,并且在法律上试图创造出内涵宽泛,具有强大支配性和排他性的个人信息权。
随着《民法总则》的制定,此思路直接影响到对该法第111条的理解与法律适用。该条是关于个人信息保护的规定,从条文表述或体系解释的角度看,都不能支持此种解释思路。但仍然有不少学者试图将这一条解读为关于个人信息权的规定。
因根本上对个人信息法益内涵的错误理解,而造成对我国民法及个人信息法益保护模式的错误理解,对建构我国未来数据产业发展所需“界面友好型”的法律制度环境将产生消极影响。
《民法总则》第111条——该条文对中国未来的数据产业发展具有根本性的意义,值得深入研究——关于个人信息法益的保护,采取可以被称为“具体行为规制”的思路,也就是国家会通过已制定或将制定的一系列法律法规,明确涉及个人信息的获取、收集、使用、加工、传输、买卖、提供或者公开等诸多环节中应遵守的具体行为规范,一旦相关行为人违反相关的法律规范,并导致自然人的损失,需承担相应的损害赔偿责任。
换言之,在个人信息保护的问题上,国家立法为数据行业划出红线并明确相关产业应遵守的行为准则。除此外,则推定仍是自由的空间。在数据与个人信息保护的二者关系上采取这种区分方法,一方面不会影响自然人个人信息的法律保护,并为数据行业的发展留有预设空间,有利于促进我国数据产业的长远发展。
但必须承认,此模式对国家进行个人信息方面的立法提出很高要求。如果相应的立法活动不能及时跟进,特别是个人信息保护法如不能及时制定,将会导致《民法总则》第111条外接不畅,侵犯个人信息的责任承担上“行为违法性判断”缺乏法律依据。就此而言,中国的个人信息保护立法,仍要加速推进。
数据产业与信息保护如何均衡发展
数据产业的发展与加强个人信息的保护,二者如何协调和均衡,很大程度上取决于信息技术的进一步发展及多方主体参与的社会共治格局的形成。由于信息技术的发展,导致个人信息泄露成为严重的社会问题。信息收集,在产生巨大的商业价值数据的同时,也使个人成为透明人。
要解决这一问题,还是要依赖于技术手段。比如,在可能涉及个人信息泄露的环节,采取技术化的匿名,使得系统可以识别,但行为人不能获取个人信息,就可避免信息泄露问题。此方法已经在一些打车呼叫软件中得到运用,有效解决司机对乘车人的手机号码等个人信息的获取或泄露的风险,这类技术也可扩展用于如物流、酒店、服务业等其他行业。
对于数据公司内部人员可能存在的泄露个人信息的问题,则可通过授权或访问留痕等技术手段予以控制。从技术上看,只要解决了相对意义上的匿名化,即使是基于个人信息的收集、整理所形成的数据,对其展开分析和利用,都不会对个人信息法益造成侵害,因为相关数据无法被用于识别特定的个人。
但问题是,技术发展是一把双刃剑,匿名化的技术可确保基于个人信息的数据集群不会侵犯个人信息法益,但同样会出现反匿名化技术,从已经被结构化、去个人化的数据中,还原出特定的个人信息。因此,如何在信息数据技术的发展中,控制此种风险,是一个重要问题。
个人信息保护立法虽重要但并非万能。在信息技术飞速发展的时代,指望立法者能够及时在具体规则的层面上进行回应,是不现实的,因此就需要依赖多方主体参与的社会共治机制,在数据产业和个人信息保护问题上发挥重要作用。
不久前,在国家有关部门的指引或要求下,一方面对各大互联网服务企业的隐私政策——即个人信息保护制度进行了评价。不少企业——例如腾讯,也利用契机,完善了隐私政策,通过自我声明来对自己施加约束,承担相应的个人信息保护问题上的社会责任。而最近几年兴起的第三方评价机制,也在引导互联网企业合理地处理数据获取的需求与保护个人信息二者间的均衡。
总体看,围绕数据产业与个人信息保护,一个良好的社会共治体系轮廓正在形成,我们需要做的是规范和培育这一体系的健康发展。
数据时代需要政府具有数据处理能力
数据时代的政府有效规制需有数据处理和分析的基础能力与数据思维。社会各界在多年前就已呼吁政府推进公共数据的开放与共享,但近几年这一问题似乎并没有取得明显进展。
就中国数据产业的发展而言,离不开公共数据的开放与共享,个中原因不难解释。由于中国行政主导型的体制,导致先前各行政部门在履行自己的行政职能过程中积累了大量的数据资源,如果能将这些数据开放共享,势必会引发中国数据产业的繁荣。但数据时代的政府,不仅有数据开放共享这一任务,更重要的是,政府监管部门必须建设独立的数据和分析的基础能力,才可胜任数据时代对政府职能提出的新要求。
比如说,政府为公共利益的需要从私人企业获取数据,如果自己缺乏数据分析和处理的能力,政府只能接受已经过他人处理后结构化了的,甚至是可视化处理后的数据,但其真实性、完整性无从验证。
而如果政府获取企业的数据后,再委托第三方机构分析处理,势必会带来可能的数据泄露、失密的问题。要确保自己的独立性与超越性,数据时代的政府能力,很大程度上体现为数据分析和处理之类的基础能力。如此,监管者与监管对象之间的数据不对等,才不至于大到使政府失能。
数据时代的政府还需具备数据思维。所谓数据思维,是关注与数据相关的新问题,而不再停留于传统的。例如更多借助于数据的定量分析,来优化管理措施,形成新的管理理念。诸如道路交通、医疗卫生、教育行政等领域,数据分析的运用大有空间。从此意义上看,政府也是数字时代的重要客户。未来最频繁的政府采购服务,很可能应政府需要,进行数据分析和政务云计算。
2017年,数据之年,只是开端。伴随社会全面进入数据场景,法律人面临的挑战,才刚拉开大幕。
(作者系北京大学法学院副院长、教授,编辑:王敬恺)