论个人数据权的法律属性

    王颖

    摘要 在大数据背景下,个人数据逐渐成为法律上的概念,个人数据的商业化利用促使学术界对个人数据权的研究。个人数据权的法理基础主要有四个来源:宪法人权说、人格权说、隐私权和财产权说。不同学说从不同角度对个人数据权的法律属性进行了诠释。通过分析现有个人数据权的研究成果及个人数据在商业社会的应用,可以得出个人数据权主要具有人格属性、财产属性和竞争属性,是一种兼具多元利益的权利。

    关键词 个人数据 人格利益 财产利益 个人数据权

    中图分类号:D920.4 文献标识码:A DOI:10.1938 7/j .cnki.1009-0592.2020.01.346一、引言

    随着互联网、云计算的发展,数据在个人生活、企业经营以及政府的社会管理方面,都凸显出巨大的价值。一切信息都在被记录并且数据化。每个人都是数字经济发展中的生产者和消费者。由于个人数据利用场景丰富、涉及主体众多,产生的关系和利益也更加复杂,随着网络用户、数据平台的纠纷不断增多,个人数据逐渐变成了一个法律上的概念。个人数据利益也升华为个人权利的高度。个人数据保护模式何去何从与个人数据权的法律属性息息相关,而数据商业化利用的规制,是众多法律问题的逻辑基础。在大数据背景下,个人数据的范围在不断扩张,人格利益与财产利益出现交融的趋势,个人数据权的法律性质日趋复杂。本文从个人数据的定义出发,探讨关于个人数据权法律属性的不同学说,通过个人数据的归纳分类试图探讨出个人数据权的法律属性。二、个人数据与个人数据权

    欧盟颁布的《一般数据保护条例》(General Data Protection Regulation,简称GDPR)将个人数据定义为:与已识别或者可识别的自然人(数据主体)相关的任何数据;可识别的自然人是指尤其通过姓名、身份证号、定位数据、网络标识符号以及特定的身体、心理、基因、精神状态、经济、文化、社会身份等识别符合能够被直接或间接识别到身份的自然人。①个人数据定义中有两个重要的概念为“相关”和“识别”。在各国立法中,存在着个人数据与个人信息混用的情况。一般来说,数据是信息的载体,信息是数据的内容。但是在大数据时代,电子化数据与信息的转换频率过高,以至于二者具有同步性。因此,数据的意义不只是单纯的载体,在个人数据保护的语境下,对法律文本中的数据与信息应做相同含义的理解。

    个人数据权在不同国家的立法中,名称也不尽相同,有信息隐私权、个人信息控制权、个人信息权等名称。有学者认为,个人数据权是建立在数据之上专门的“个人数据处理自由支配权”,是对“信息化处理”的支配和控制的权利,而不是对“个人数据”的支配和控制的权利。但随着大数据商业化利用程度的提升,自然人对个人数据信息化处理的支配和控制权也渐渐淡化,而是转向基于对价性的授权和交换,同时有权阻止数据采集者侵害自己的合法权益。三、关于个人数据权法律属性的学说

    学术界对个人数据权的法律属性问题尚未有统一的定论,主要理论体现为以下四种:

    (一)宪法人权说

    该种学说认为基本人权范畴中包含个人数据权,这种理论经常体现在有关国际组织的立法中。例如,《欧洲人权宪章》(2000年)第8条约定“每个人都有权保护其个人数据”。GDPR (2016年)第1条中指出“本法保护自然人的基本权利和自由,尤其是自然人的个人数据保护权”。此外,中国学者也有从个人数据权落入基本人权关系范畴的维度出发,论证个人数据权对权利主体享有和实现各种基本人权具有必要性,如果个人数据权保障无法实质落地,那么其他基本人权的保障同样会面临不确定性。

    (二)人格權说

    人格权说认为个人数据权属于人格权,原因在于个人数据具有可识别性,大多数个人数据能够直接表明个人身份,诸如个人的姓名、身份证号等。即使部分数据难以直接体现个人身份,如购物消费数据、物流数等,但以不同的方式对其进行组合分析后,也可能发现诸如行为模式、消费习惯等具有强烈人身属性的特征,是人格的外化反映。从这个角度而言,个人数据权符合人格权的基本特征,与人格权中的肖像权有类似之处,因而个人数据权应属于人格权。但是人格权说存在一定的缺陷,如果将个人数据权纳入人格权,则认为个人数据权是人格权内涵的扩张。如没有明确的救济方式,将会导致各地法院对涉及个人数据权案件的裁判偏差,从而造成“同案不同判”的结果。此外,在大数据背景下,个体对其隐私、人格权利的诉求也存在一定的异化。例如,不同时代,人格利益诉求是不同的,就如曾经的隐私信息在今天看来可能并不属于隐私。互联网改变了人们的生活方式和生活习惯,网络带来的便利在一定程度上改变了人们对数据人格利益的看法。

    (三)隐私权说

    隐私权说持有个人数据权应当落入隐私权范畴的观点,美国是该学说的坚定支持者。1881年美国著名的“迪梅诉罗伯特侵权案”中被告擅自进入原告住宅并私自观察原告生孩子,马斯顿(密歇根州最高法院法官)在判决中陈述“原告对其居所的隐私享有合法权利,法律禁止他人对该权利的侵犯”,自此隐私权明确出现。随后,1890年沃伦和布兰代斯发表的《论隐私权》将隐私权界定为“不受外界打扰和个人得以独处”的权利,“独处理论”跃然出现。在1966年的《信息自由法》、1970年的《公平信用报告法》、1974年的《隐私法》、1980年的《隐私保护法》、1988年的《电脑对比和隐私保护法》中,均体现了对隐私权中个人信息部分的保护。现如今,美国的隐私权已然包含了信息隐私方面,其中个人自主及信息隐私,是最接近个人数据权的内容。

    (四)财产权说

    财产权说认为个人数据具有一定的商业价值,其本身也能够作为财产加以利用,因而具有财产属性。诸如,2014年4月,荷兰学生肖恩·巴克尔斯以350欧元的价格将自己的住址、个人日程安排、医疗记录、购物记录和上网浏览历史记录等个人数据打包出售,即体现了个人数据的财产属性。财产权是以财产利益为核心的权利。在中国,个人数据尚未获得如财产权一样的绝对权保护,但是数据之上的财产利益在实践中得到了承认。除了资产意义上的财产利益,个人数据权还承载着人格权衍生的财产利益,例如,个人可自主决定是否授权数据采集方采集自己的数据,也在一定程度上体现了个人对数据的处分。财产权学说亦有其不足之处,个人数据之上承载着财产利益,但是这种财产利益往往不会配置给个人。个人通过网络活动获得服务,企业平台通过收集个人数据提升服务质量,通过分析这些数据之后实现增值,甚至转让。因此,提到“个人数据财产权”,其权利主体往往很模糊。此外,当人格利益与财产利益矛盾之时,财产权在人权体系中往往处于最低优先级。可见,拥有财产利益或者财产属性,并不当然成为财产权客体。目前,个人还无法获得完整的个人数据财产权。

    四、兼具多元属性的个人数据权

    在人格尊严、隐私保护、个人信息自决等理论的基础上,个人数据权首先具有人格利益,但是这种人格属性又不同于传统人格权。传统人格权具有消极性,其功能内涵更着重在义务主体不作为方面。在大数据背景下,个人数据权具有“数字化人格”特征。在欧盟的数据保护法规中,并不是看重个人数据自身的价值,而是保护个人数据的人格利益。事实上,正是因为个人数据的人格属性,展现了诸多个人特征,才为收集数据的企业带来了相应的经济利益。数据收集方通过采集、整理、加工、脱敏等数据处理行为将数据汇集,并从事精准营销、数据服务、数据交易等业务,从而形成企业的数据财产利益。但这些利益除了企业的资本和劳动的投入之外,还源于个人数据的内容兼具人格和财产利益,具有商业价值。在企业对数据进行争夺和挖掘的过程中,个人数据的人格属性和财产属性还衍生出基于市场活动的竞争属性。

    有学者认为对数据利益的合理分配的本质是反不正当竞争权,因而对数据库等数据集合的保护应当纳入反不正当竞争法的体系中,而数据库中的资源正是来自个人数据。个人数据权是对“信息化处理”的支配和控制的权利,个人授权企业对其数据进行信息化处理,就个人而言,是一种权利的让渡。就企业而言,数据库的建立,其收集和处理者投入了大量人力、物力及财力,但数据的复制是非常容易的,因此竞争者不恰当利用了数据库中的数据就可认定竞争者违反了中国《反不正当竞争法》第2条规定的一般原则,即自愿、平等、公平、诚实信用的原则。但就目前的实践情况来看,《反不正当竞争法》虽然是数据竞争利益保护的一种路径,但是也存在保护规则单一、利益平衡缺失等缺陷。《反不正當竞争法》无法约束非竞争者的一般行为人的侵权行为,而且对企业的权利规定也不充分,具有边界模糊、范围不易确定等特点。《反不正当竞争法》对数据集合的保护往往通过适用一般条款来实现,而一般条款具有高度抽象性,不仅对个人数据权利主体来说理解非常困难,就连在司法实践中往往也需要法院根据社会当时情势和个案具体情况予以认定,这就导致了对数据利益保护的不确定性和难操作性。五、结论

    通过数据商业化利用和数据交易的实践可以看出,个人数据权除了具有人格属性之外,还具有财产属性,在特定业务模式下,可能还具有市场竞争属性。但值得说明的是,个人数据权的多元属性在数据的不同形态阶段各有侧重。个人数据在初始阶段,个人通过授权等方式许可数据采集者采集和使用数据,这时个人数据权具有明显的人格属性。在数据处理阶段,由于数据采集和处理者基于正当目的而对个人数据进行加工,此时的个人数据权更多体现的是财产属性,当个人数据完全脱敏之后,数据之上的人格属性几乎消失。在商业化应用场景中,数据可能成为企业的核心竞争力(此时的数据是经过处理过的个人数据或已脱敏的数据),企业所控制的数据拥有竞争利益,而这些数据源于个人对其个人数据权中部分功能的让渡,体现出个人数据权的竞争属性。因此,个人数据权是兼具人格属性、财产属性和竞争属性的权利。