王思颖

摘 要：大数据时代，互联网服务提供商收集用户数据形成数据资产，并从中获利的行为已成为产业常态。由此时常造成用户权利损害，而建立在传统的人格权基础上的个人数据权益保护模式难以对个人数据权利进行有效保护。基于个人数据权利具有财产权属性，“隐私政策”可被视为数据主体使用个人数据作为对价，购买服务的购买合同。由此，用户即具有消费者身份，从而当然享有公平交易权、安全保障权等基本权益，可通过消费者权益保护机制维权。

关键词：大数据;互联网服务;数据权利;消费者权益保护法

一、引言

我们身处于信息革命的开端，对于数字化全球、人工智能技术的走向和效应仍在不断探索之中，然而其对于个人生活所造成的改变，及对国家治理、商业格局产生的影响却已具备了相当的规模。在近十年里，随着互联网经济的发展，每个人都无心插柳地成为了互联网企业数据的“供货商”。线上购物、线下移动支付、出行定位、页面浏览，每个人的生活细节都被记录成由1和0构成的电子数据，经过互联网经营者的重组和分析，以个性化推荐等商业行为的模式作用于个体的生活[1]。虽然大数据作为一种互联网技术已被大众广泛认可，并且认定其具有极大的市场价值和产业革新潜能，然而在现实中由其引发的侵权行为已经屡见不鲜。按各行为过程可分为采集侵权、处理侵权、利用侵权等;按行为方式可分为互联网服务商非法采集、泄露，不当利用，第三方窃取，非法交易，衍生侵权等[2]。以立法中立及鼓励技术审视大数据运用的观点已经严重滞后于现实。

我国当前有关个人数据的法律保护存在诸多问题，主要体现在立法碎片化，受保护利益不明确，表达不准确，没有专门立法。现有的相关立法，如《中华人民共和国网络安全法》第四十至第四十五条，《电信和互联网用户个人信息保护规定》第九至十条，都没能摆脱传统的个人信息保护方式，将个人的信息作为人格权的客体，以信息为主体的“知情同意”来作为对个人的信息收集及使用的合法授权。传统人格权保护模式虽然可解决高敏感度的个人信息保护问题，却无法满足经营者对于个人信息数据化利用的需要。另外在现阶段，由于网络服务的提供者大多都以同意“隐私政策”为可以使用网络服务的前提条件，而阅读该条款则耗时耗力，使用者普遍不会仔细阅读而是直接点击“同意”。在这样的网络环境中，传统的“知情同意”原则也已然失去了保障作用[3]。而由于个人数据与个人信息不能混为一谈，也就不能当然适用这些条款，故而现有的法律无法对个人信息及数据安全进行有力的保护。

目前学界的相关探索主要围绕数据权利的法律属性，力图使用侵权法对数据权利进行保护。关注的重点在于数据之权利归属问题，探究数据权利归属于数据来源的个体，还是收集整理的企业、组织。多是出于私法层面，从公法出发寻求思考的较少。本篇文章将以《消费者权益保护法》为基础论点，来论证数据主体由用户向消费者的性质转变，体现消费者权益保护机制在个人数据权利保护中的作用。

二、个人数据与个人信息的界定

2017年10月1日正式实施的《民法总则》第127条规定了“对数据的保护”，而其在草案中原本的表述为“对数据信息的保护”，该表达最终被立法者舍弃。可见我国立法者认为信息与数据应有所区分，对于个人数据的保护不可当然适用对个人信息保护的条款。

根据《中华人民共和国网络安全法》的定义：个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”网络数据是指“通过网络收集、存储、传输、处理和产生的各种电子数据。”数据与个人信息的差异在于，个人信息具有可识别性，对个人信息的累积和分析可勾勒出完整的人格、身份图像。而数据是信息的数字化载体，是一种不具备直观性、不可识别内容的电子语言。由初始数据重组、匿名化所形成的高级数据，将很难被再次转化为与身份属性有密切关联的个人信息[4]。个人信息的商业价值在于其与主体的关联性，可以“因人制宜”地进行广告宣传。而在大数据时代，决定数据商业价值的关键在于数量，数量越大，聚合后展示的规律功能与预测功能就越强。个人信息与隐私权、财产权、肖像权等人身权利关联密切，一旦被泄露或非法利用将会造成相关人身权利的损害，最典型的就是电信诈骗。因此我国的法律限制对个人信息的采集、使用，并禁止任何个人与组织非法出售、提供个人信息的行为。而经过匿名化的数据大大降低了与主体的关联性，因此立法上并未明文禁止数据交易。在现实中，数据交易已经形成一种独立的产业，如由政府牵头的中关村数海大数据平台，贵阳大数据交易所等，以及民间资本设立的京东万象、阿里云等。

三、个人数据权利具有财产权属性

学界在数据权利定性问题上主要分为四种观点：人格权论;财产权论;强人格权弱财产权的新型权利论;弱人格权强财产权的新型权利论。

人格权一般分为以人的价值、尊严为内容的抽象人格权，以及由法律具名化的具体人格权。对于包含姓名权、肖像权等具体人格权保护的内容的个人数据，理所当然地落入了人格权保护的范畴;而对于经过匿名化或仅具备低敏感度信息的个人数据，如个人消费偏好、网页浏览记录等数据，并不必然与数据主体的身份和人格相关联，难以达到人格侵权的私密性要求。此外从权利救济上来看，由于数据的收集、使用具有隐秘性，无法得知由谁收集使用的哪些数据与侵害结果具有因果关系，使得侵权主体的认定、侵权行为的证明本身便存在困难。而当侵害结果为造成抽象人格权损害时，则很难证明达到足以获得救济的“精神损害严重后果”之程度[5]。综上，试图通过人格权侵权主张获得救济的难度较大，对于切实保护法益的效果甚微。

财产权是与人格权对立的权利。根据财产权的概念，如果数据权利具有经济价值、无专属性和以财产为客体就具有财产权属性。如前文所述，在现实中数据交易已经存在，其交易对价为具有财产属性的金钱或股权，此足以充分证明数据具有经济价值;由于数据独立于人体之外，是对活动轨迹的数字化记录，具有一定的独立性，并且现实当中已有转让、抛弃等处分数据的行为存在，证明了数据权利具有非专属性;而数据权利的客体为数据，由大数据挖掘和分析带来的商业影响即可看出数据具有使用价值和交换价值，属于财產的类别。[6]综上，个人数据权利同时具有人格权和财产权的属性，将其界定为具有人格权属性的财产权更有利于用户权利的保护和大数据的发展。

四、《消费者权益保护法》保护之优益性

（一）明确消费者弱势地位，促进交易公平

与经营者相比，消费者往往处于相对弱势地位。此种弱势地位一般源于双方经济实力不对等、争讼成本外部化转嫁能力的落差、财富转移的负面效应、市场结构的不均衡以及消费者集体维权的高额成本这六大原因[7]。而在互联网领域中，消费者的弱势地位更为明显。这是由于互联网企业相较传统经营商与消费者不用面对面接触，缔结服务合同多以格式条款模式，这些格式条款中含有大量授权与规避责任的内容，而其只要通过增加文件页数，复杂化条款语句，并不做出显著化标示，便可使消费者难以发现此类条款。消费者只能选择签订与否，对合同条款没有磋商的权利和条件，丧失了公平交易权。此外，互联网企业手握海量数据，可以通过技术手段对消费者隐瞒真实情况，进行如“大数据杀熟”一类的隐性侵权。这使得消费者在交易中的地位相较传统交易更为弱势。在民法中，默认民事法律关系的双方主体地位平等，可以进行公平自愿地交易，而在互联网经济中，双方主体的力量悬殊，民法保护机制失灵，即需消费者权益保护机制予以纠正。消费者权益保护机制通过赋予消费者特殊权利，增添经营者义务，以提升消费者在交易中的地位，以对抗强势的经营者，从而促进交易的实质公平。

（二）消费者获得救济相较侵权救济成本较低

互联网企业在收集数据、处理数据、利用数据、储存数据的整个过程中都可能进行侵权，但侵权法很难对其加以规制。这是因为数据的收集与分析都是以消费者看不见的方式进行的，即使消费者怀疑权利受到侵害，却不知是谁收集分析了自己的个人数据，也不知道哪一数据内容与侵权结果相关，没有切实证据证明互联网企业某一行为与侵权结果之间的因果关系。而且互联网企业会在格式条款中极尽所能地为自己行为授权，并规避风险责任。此时若基于合同的意思自治，很难认定为侵权。更何况单个人的个人数据可能不具有足够高的经济价值，侵权法目的在于使權利回复到未被侵害的状态，以止损为限，要求高额的经济赔偿一般很难得到支持。故而一般理性的消费者即使遭到侵权，也很可能会被迫放弃追责。而消费者权益保护机制能够大大降低救济难度。一方面，消费者权益保护机制可以打破合同意思自治，使得服务协议当中不当侵害消费者合法权益的部分失去侵权“保护伞”效力。而且在诉讼中，消费者举证责任较低，即消费者只需负责举证受损害的事实证据，其他举证责任由商品生产经营者负责，降低了消费者的举证难度。另一方面，消费者权益保护协会等机构可以集合个体消费者的力量，并提供帮助，避免个体消费者孤军应对互联网企业强大的精英法务团队。

（三）倾斜性保护本身具有威慑力

追求财产利益最大化是商人的本性。如果侵害、压榨消费者的行为带来的后果相较收益微乎其微，则经营者天然地不会停止侵害获利的行为，甚至可能将赔偿提前加入成本预算。消费者权益保护机制中的惩罚性赔偿制度提高了对侵害人的制裁力度，也激励了更多被侵权的消费者加入维权的行列当中，从而起到警示、吓阻经营者的作用。当侵权成本高昂，经营者不得不将侵权行为列入经营风险的门类，想办法事先予以防范，促使具有财产优势的利益方主动守法。

五、《消费者权益保护法》保护之可行性

当明确了个人数据具备财产属性，那么对个人数据权利的保护就可由传统的人格权侵权救济途径转向市场化的规制途径。由于个人数据具备财产属性，可以成为互联网服务的对价，即消费者提交个人数据以交换其获得的服务，则数据主体点击同意的“隐私政策”即由服务提供商履行告知义务、规避企业责任所使用的服务条款转化成了一份对价合同，这也就为数据主体由免费使用的“用户”转向消费者提供了前提。消费者是指非以盈利为目的的购买使用商品或者接受服务的人[8]。对于单位能否成为消费者，学术界存在争议（作者认为判定对象在与经营者交易过程中是否处于明显弱势地位是判定其能否成为消费者的关键所在，因而单位能否成为消费者不能一概而论。），然本文研究对象为个体数据权利，不包含单位，仅指个人。

自然人以个人数据为对价购买互联网服务，符合成为消费者的要件。需要注意的是，消费者相较买卖合同中的买受人范围更广，不限于亲自缔约之人，还包括他人购买商品或服务后，实际使用该商品或服务的人。在互联网服务中，签订服务购买合同是一次性行为，而接受服务却是持续性行为，而只要在接受服务个人数据就在持续被采集中。因而合同缔结人以外的数据主体，只要其接受了该服务从而被采集了数据，也应当被确认为消费者，受到相应保护。由此，数据主体完成了由自然人用户向消费者的嬗变。在理想化的市场调节当中，市场力量将促使消费者与企业形成对抗力量均衡，其将赋予消费者关于数据交易条款的事先议价、事后监督的权利，并赋予消费者在企业违反合同时寻求《消费者权益保护法》救济的能力。

六、《消费者权益保护法》的适用

（一）以必要性判定数据收集利用的范围

《消费者权益保护法》规定“消费者享有公平交易的权利”。要确保交易公平，即需确保在隐去互联网企业的优势地位后，其所提供的格式合同及交易条件仍能具备合同的公平性。如此，在数据交易合同中列举的交易条件，即数据采集范围和利用方式即需具备公平合理性，不得侵犯消费者权利。然而由于数据的经济价值难以确定，难以通过对价衡量交易公平，需要从其他维度进行思考。《消费者权益保护法》规定“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则”。这一规定为数据交易的公平性判定提供了参考基准。即经营者收集用户数据的范围和使用的方式不得超出提供服务或改进服务所必要的范围，超出此范围即为公平性的倾斜。如花呗服务协议（2017年6月30日生效版本）要求消费者授权其可收集个人的通讯数据，消费者的通讯数据显然与消费信贷服务无关，这样的交易条件不具备公平性和合理性，侵犯了消费者公平交易的权利，该条款应当被认定无效。

（二）互联网企业需承担安全保障义务

通常，风险的制造者和管理者比承受者拥有更多的了解风险的机会，因而更具防范风险的能力。加之风险的制造者和管理者因为与风险源有着直接的联系，也就天然地背负了控制风险给他人造成伤害的不可转移的责任与义务;即使其并非实际危害的制造者，但其为他人行为制造了实施平台，或能从他人行为中获益，那么便应当对他人行为的危险性进行事先评估，事中控制[9]。基于此，《消费者权益保护法》规定了经营者的安全保障义务。而个人数据的收集及大数据技术本身就是个人数据安全最大的风险来源，如若互联网企业不收集个人数据，个人数据安全危机也就无从谈起。海量个人数据聚集后，一旦发生网络安全事故，将带来的事后灾难是难以预估的。互联网企业作为风险制造者，掌握最先进的互联网技术，其有能力也有义务保障消费者的数据安全。此外互联网企业是目前大数据技术使用的最大获利方，维护数据安全就是维护其自身利益，维护大数据行业的可持续发展。网络服务提供者应当加强数据系统的安全建设，建立风险评估机制确保数据系统具备较强的抵御非法攻击和入侵的能力，以技术的方式严格履行安全保障义务。

（三）对恶意条款适用惩罚性赔偿

我国《消费者权益保护法》对经营者欺诈行为设置了惩罚性赔偿制度。欺诈本身具有恶性，而基于经营者对信息的单方掌控，个人很难分辨真假，而且其欺诈的对象不确定，使得经营者的欺诈行为恶意更深，仅要求其弥补损失不足以达到惩戒的目的。在互联网服务协议中存在大量含混其词、偷换概念隐藏真实表意的操作，但消费者由于对由数据泄露所产生的风险认识不足，一般不会仔细阅读条款，也就很难认定其因为相信了条款内容表达而选择订立合同，要认定欺诈存在困难。然而经营者的主观恶性以及侵权后果都不亚于欺诈的程度，存在将这种行为划入惩罚性赔偿适用范围的必要性。且惩罚性赔偿制度来源于英美法系的侵权法，其规定的适用范围为恶意侵权行为。故而用“恶意”代替“欺诈”，符合其立法精神，更能体现惩罚性赔偿制度的价值取向，也更能适应大数据时代的消费权益的需要。

（四）消费者数据权利的集体救济

在2013年我国《消费者权益保护法》修订之后，省级以上消费者协会组织有权代消费者进行起诉或对侵害众多消费者合法权益的行为进行公益诉讼。这一转变，为消费者权利的集体救济提供了路径。而在大数据侵权案例中，往往一次侵权行为，就能导致庞大数量的消费者权益同时受到侵害。且消费者个人提起诉讼很有可能导致重复诉讼、同案不同判的情形，使得司法效率低下，司法公信力受到动摇。因而，集体救济无疑是此种案件中最优的救济途径，这就使得消费者协会在消费者个人数据权利侵权案件中有积极作为的空间和必要。而未来发起集体救济的主体可以更多元化、专业化，如设立专门的互联网消费者保护协会等。从事前对服务协议的公平性审查到事中对互联网企业的采集、利用、保护个人数据行为的监督，至发生侵权案件后的追责，都能以极高的专业度发挥作用，增强消费者在新技术环境下的安全感，提升消费维权社会共治水平。

七、结语

数据交易目前在我国依然没有立法支撑，而在现实中已经有了实践先例，如何保障数据主体在数据交易中不会产生二次侵权危机是值得继续探讨的课题。数据大数据市场的發展以法治为前提，以诚信为基石，以技术为驱动力，以共赢为目标。倘若经营者继续漠视消费者需求，规避企业责任，侵害消费者权利，必然会引发消费者信任危机，影响行业的健康发展。

参考文献：

[1] 维克托·迈尔-舍恩伯格.大数据时代：生活、工作与思维的大变革[M].浙江人民出版社，2013：421-470.

[2] 鞠晔，凌学东.大数据背景下网络消费者个人信息侵权问题及法律救济[J].河北法学，2016，（11）.

[3] 任龙龙.论同意不是个人信息处理的正当性基础[J].政治与法律，2016，（1）.

[4] 孙南翔.论作为消费者的数据主体及其数据保护机制[J].政治与法律，2018，（7）.

[5] 徐明.大数据时代的隐私危机及其侵权法应对[J].中国法学，2017，（1）.

[6] 李爱君.数据权利属性与法律特征[J].东方法学，2018，（3）.

[7] 刘俊海，徐海燕.论消费者权益保护理念的升华与制度创新———以我国《消费者权益保护法》修改为中心[J].法学杂志，2013，（5）.

[8] 王利明.消费者的概念及消费者权益保护法的调整范围[J].政治与法律，2002，（2）.

[9] 刘文杰.网络服务提供者的安全保障义务[J].中外法学，2012，（2）.