个人数据权与个人信息权关系的厘清
2020-03-31周斯佳
周斯佳
在计算机时代,人类的生存方式发生了很大的变化,一个人的存在不仅以其可见的外观而表现于外,而且以计算机数据的形式存在于网络世界中。在这种大数据时代的背景下,个人数据权也越来越成为学界关注和讨论的热点。但是,当下人们在讨论个人数据权时,由于经常与个人信息权不加区分地使用,从而极大地制约了人们对于个人数据权的认识。具体是,当个人数据权与个人信息权不加区分时,数据与信息就混为一谈。而事实上,并不是所有的数据都有信息价值,也并不是所有的信息都是数据。同时,当个人数据权与个人信息权不加区分时,数据主体的人格权也就与个人信息权的财产权混为一谈,从而个人数据权的宪法权性质与个人信息权的民事权性质也就不能区分开来。再者,当个人数据权与个人信息权不加区分时,个人数据权的自决权也就容易被说成是信息自决权,从而衍生出逻辑不能自治的问题,并因而影响其司法救济。因此,厘清这两个概念的关系,无论是对于理论还是之于实践都具有非常重要的意义。基于此,本文从逻辑关系、权利类型和数据自决权三个方面,分析个人数据权与个人信息权的区别之所在,以期厘清两个概念之间的关系。
一、个人数据权和个人信息权的内容和主体不同
个人数据权和个人信息权,虽然两者所指称的对象重合度很高,但并不能用来指称同一个概念。两个概念的不同主要体现在内容和主体上。
(一)在内容上
在物理世界里,一个人以其自身的外部特征而为外人所识别,当我们言说某人时,往往是言说某人的特征,而当我们在言说这些特征时,又往往是在言说某一个人。〔1〕See IIeana-Gabriela Pintiliuc, “Protection of Personal Data” 6 Logos University Mentality Educ. Novelty Sect: L. 37(2018).这些可识别的特征可以分为自然特征和社会特征,前者如性别、年龄、身高、星座、血型、民族等;后者如姓名、信仰、观念、党派、职业等。自然特征和社会特征,根据其与被指称主体的关系程度,又可以分为专属特征和非专属特征,前者如姓名、基因、指纹等;后者如年龄、身高、信仰等。当然,专属性特征与非专属性特征的区分是相对的,当一系列非专属性特征组合在一起,其与某一个特定主体的关系在达到一一对应的程度时,这些非专属性特征的组合就具有专属的性质。
在物理世界里,个人特征与特定主体须臾不可分离,一个人以其个人特征的存在而存在,而个人特征的存在也只有附着于某个特定主体时才有言说的意义。但是,自从人类发明文字和其他符号以来,个人特征就不只局限于人们的言说中,而可以转换成文字或其他符号,并通过文本固定下来。计算机出现后,个人特征更是可以转换成数据的形式,并广泛存在于网络世界里。无论是文字、符号,还是数据,当个人特征以某种形式独立存在时,其在外观上便与其表征的特定个体发生分离,而承载这些个人特征的形式就是个人资料。个人资料与个人特征是形式与内容的关系,个人资料是个人特征的物质载体,而个人特征则是个人资料反映的内容。由于个人资料既可以表现为个人数据,也可以表现为文字或其他符号,因此,个人数据只是个人资料的所有形式中的一种。
个人数据与个人信息不同。在网络世界里,信息是数据反映的内容,数据是信息的表现形式。〔2〕参见谢远扬:《信息论视角下个人信息的价值——兼对隐私权保护模式的检讨》,载《清华法学》2015 年第3 期。数据是人类发明的一种符号,不以人的认识不同而不同,因此客观性强;而信息则是符号所反映的内容,强调的是人对于数据的认识,因而具有一定的主观性。〔3〕参见李建新:《两岸四地的个人信息保护与行政信息公开》,载《法学》2013 年第7 期。同一数据对于不同的主体来说始终是数据,但同一数据是不是信息,不同的主体则有不同的认识。有些个人数据对某一个主体具有信息价值,但对另一个主体却未必具有信息意义。当我们说某个数据是一种信息时,往往包含言说主体对数据的主观和积极的评价,是关于数据有用性的价值判断。某一数据之所以只是数据,是因为它只是人们对某种客观存在符号的描述;而某一数据之所以是信息,是因为它在人际交往中具有识别、传播的功能。因此,数据与信息的关系是,信息是经过加工的数据,或者说,信息是数据经处理后的结果。
在互联网时代,许多单个的、零星的个人数据并不成为信息,或者说信息价值极低。但是经过处理后,个人数据的信息价值就会极大增长。信息价值增长的方式一般有两种:一是将某个特定主体的多个数据组合成整体;二是将多个主体的个人数据组合成整体。前者构成的信息,其价值在于识别某一个主体;而后者构成的信息,其价值则在于判断某一类群体。在人际交往中,个人信息是指个人资料在经过处理加工后而可以为人际交往提供可识别的内容,其意义在于消除人际交往的不确定性。
从信息具有识别意义的角度去理解,个人信息作为反映个人特征所具有的识别信号,当然也是个人资料的一部分。不过,有些个人特征具有识别意义,有些个人特征还没有达到识别的程度,特别是那些孤立的和非专属性的个人特征。因此,作为个人特征物质载体的个人资料,其与个人信息的关系,在逻辑上也是种属关系。具体而言,个人信息属于个人资料,但个人资料并不都是个人信息;个人资料包括个人信息,但个人信息只是个人资料的一部分。因此,与个人数据一样,个人信息也从属于个人资料,是个人资料概念下的子概念。
既然个人信息与个人数据都从属于个人资料,那么在个人资料的范围内,个人信息与个人数据在逻辑上是什么关系呢?根据前面的分析,个人数据与个人信息也可以看作形式与内容的关系,个人数据“可以”但不“必然”是个人信息的形式,个人信息也“可以”但不“必然”是个人数据所反映的内容。“可以”而非“必然”就表明,两者在逻辑上是交叉的关系,有些个人数据是个人信息,有些个人数据则不是个人信息,有些个人信息是以个人数据形式表现出来,有些个人信息则不是以个人数据形式表现出来。当然,在网络世界,个人数据与个人信息有很大的重合,个人数据一般就是个人信息,而个人信息一般就是个人数据。但是,在严谨的逻辑思维中,个人数据与个人信息的重合只能表述为“一般”而不是“全部”,因为在理论上,个人数据与个人信息在个人资料的范围内,始终存在“不重合”的空隙,三者之间的逻辑关系可以欧拉图表示如下:
图1 个人资料、个人数据及个人信息关系图
个人资料、个人数据和个人信息三个概念的逻辑关系表明,个人数据权、个人资料权和个人信息权并不能作为同一个法律概念来使用。个人数据权保护的范围小于个人资料权,以个人资料权作为权利类型,个人数据权自然也在保护之中。但是,这样一来,却不能凸显网络时代个人数据容易遭受侵犯的事实。须知,任何对于权利的法律诉求,都是因为它容易遭受侵犯的事实,当这种侵犯变得不可容忍的时候,权利就上升为法律诉求了。〔4〕关于权利的实践意义,可参见吴然:《我们为什么需要权利?——论权利的独立性和必要性》,载《安徽大学学报(哲学社会科学版)》2019 年第1 期。人们之所以不诉求个人资料权,而只认可个人数据权,其原因就是非个人数据的其他个人资料在受到侵犯时,依传统法律保护即可获得救济,而个人数据存在于网络世界中,极易被加工、被计算、被追踪和被传播。因而,个人对表征其个人特征的数据,远比对表征其个人特征的文字或其他符号更难控制。因而我们也就可以理解,在网络大数据时代,个人数据权能够越过个人资料权,而成为人们所接受的一个新的法律概念。
当然,如果说在互联网背景下,不以个人资料权来涵盖个人数据权,不是因为逻辑障碍,而是因为现实需要的话,那么,不能以个人信息权来指称个人数据权,则是一个不折不扣的逻辑问题。因为,如果个人数据权以个人信息权来指称,那么,具有信息意义的个人数据可为其保护,而非信息意义的个人数据则不能纳入其中。同理,如果个人信息权以个人数据权来指称,那么也就意味着,表现为个人数据的信息可为其保护,而不表现为个人数据的其他信息则不能纳入其中。显然,个人数据权与个人信息权,由于两者保护的对象并不相同,因而在法律上都有存在的意义,彼此并不能相互代替。
(二)主体不同
个人数据权与个人信息权的关系,还可以从权利主体的角度来作进一步的逻辑分析。根据数据与主体的关系,主体可以分为数据生成主体和数据获得主体。数据生成主体是指数据所表征的个体,与该个体具有不可分离的关系。数据获得主体则是指通过合法手段而占有使用个人数据的主体,该主体与数据是分离的关系,也就是数据用户。〔5〕参见汤啸天:《网络空间的个人数据与隐私权保护》,载《政法论坛》2000 年第1 期。个人数据对于数据生成主体而言,无论其是否具有信息价值,都有保护的意义。数据生成主体需要的是个人数据权,而不是个人信息权。但是,个人数据对于合法获得数据的主体来说,其意义就不一样了,个人数据当且仅当能够转换成信息价值时才有保护的意义。数据获得主体需要的是个人信息权,而不是个人数据权。因此,法律创设的个人数据权保护的应该是数据,而不论其是否为信息,单纯的信息如果不表现为数据就不应该成为其保护的对象;而法律创设的个人信息权保护的则应该是信息,而不论其是否为数据,单纯的数据如果不具有信息价值也就不应该成为其保护的范围。从主体上理解,个人数据权保护的主体是数据生成主体,个人信息权保护的主体则是信息主体。
并且,从传播学角度理解,数据之所以是信息,是因为该数据具有分享和传播的价值。信息作为人际交流的符号,它排斥了独语的表达。数据在分享前只是数据,在传播时才是信息,即个人数据在数据生成主体那里只是数据,而在数据获得主体那里才是信息。因此,通过个人信息权,而非个人数据权,来保护数据生成主体的利益,这本身就是悖论。因为,此时的个人数据还只是独语,并没有被分享。个人数据作为指称特定主体个人特征的符号,可以为相对人带来识别的功能,也正是在这一意义上,它才转化为个人信息。“可识别性”作为个人信息的特征,恰恰是因为在人际交往中,为数据获得主体提供识别数据生成主体的信息作用,而不是为数据生成主体提供自我识别的信息作用。从语言主体来看,个人数据是数据主体言说的概念,而个人信息则是信息主体言说的概念,而当个人信息与个人数据的言说主体为同一主体时,信息主体也就是数据获得主体。
由于数据获得主体,其利益在于其合法获得的数据对于他具有信息价值时才有意义,因此,数据获得主体也就属于信息主体中的一部分,可以称为数据信息主体。信息主体除了数据信息主体外,还包括非数据信息主体。而数据生成主体,也相应地可以简称为数据主体,它也包括两部分:一是信息数据主体;二是非信息数据主体。它们的逻辑关系,可用欧拉图表示如下:
图2 逻辑关系图
个人数据权保护的是个人数据,核心是数据;个人信息权保护的是作为个人信息的资料,在网络世界里则是作为个人信息的数据,核心是信息。个人数据权的个人数据是数据主体自身生成的,权利主体就是数据主体;个人信息权的个人信息,在网络世界里是由数据主体的个人数据转化而来的,权利主体就是信息主体。数据主体的权利由个人数据权保护;信息主体的权利由个人信息权保护。
二、个人信息权是财产权,个人数据权是人格权
个人数据权是否为财产权,是当下争议最大的一个问题。而争议的原因,恰恰就在于人们没有区分个人数据权与个人信息权,而是简单地以个人信息权来指称个人数据权。笔者认为,个人数据权不是财产权,个人信息权才是财产权。理由是:
第一,数据主体关心数据是因为该数据与其人格不可分离,〔6〕See IIeana-Gabriela Pintiliuc, “Protection of Personal Data” 6 Logos University Mentality Educ. Novelty Sect: L. 37(2018).而信息主体关心数据是因为该数据对他而言具有财产意义。〔7〕See Jamie Lund, “Property Rights to Information” 10 NW. J. Tech.& Intell. Prop. 1(2011).个人数据权中的数据主体关心其个人数据,并不是因为该数据具有财产价值,而仅仅是因为该数据是用来表征其个人特征。个人信息权则不然,在网络世界,信息主体之所以要获得数据是因为该数据对他而言具有可识别人的信息意义。并且,在信息时代,信息本身就具有商品属性。个人数据获得者之所以诉诸法律,旨在保护其合法获得的个人数据的经济价值。从事实来看,侵害个人信息的行为往往是一种大规模的侵权行为,虽然对数据主体会造成财产损失,但对于单个数据主体来说,财产损失往往十分轻微。这种轻微的损害被学者称为“大规模的微型侵害”。〔8〕参见[德]格哈德·瓦格纳: 《损害赔偿法的未来——商业化、惩罚性赔偿、集体性损害》,王程芳译,中国法制出版社2012 年版,第178 页。因此,如果将个人数据权作为财产权,那么,数据主体因个人财产损失微小而不太可能诉求权利,从而导致个人数据权因事实上的落空而无意义。
第二,数据主体的个人数据,其生成是自然形成的,与成本没有关系,但信息主体获得信息则一般得支付成本。前面已经论及,在网络世界里,自然人以其个人数据而存在。因此,个人数据对于数据主体而言是自然生成的,并不需要数据主体付出努力或经济成本。但是,信息主体要获得他人的个人数据,则必须支付成本。有人认为,“个人数据具有描述个人具体特征的功能,可以为权利人或其他利害关系人带来相应的价值。在当前数据开放、互联网日益渗透社会生活方方面面的环境下,个人数据的收集与使用越来越显示出其商业价值,尤其是涉及相关交易信息、个人需求或爱好等数据的收集与使用,无疑成为精准营销的捷径。”〔9〕张毅菁:《数据开放环境下个人数据权保护的研究》,载《情报杂志》2016 年第6 期。其实,这里所讲的个人数据实际上就是指个人数据信息,其经济价值只是相对于信息主体而言的,与数据主体没有关系。
第三,个人数据权中的数据与数据主体不能分离,个人信息权的数据则与信息主体是分离的。数据离开了表征的数据主体就没有意义,数据之所以是个人数据,就是因为该数据与特定主体具有一一对应的关系,数据只有在表征个体特征时才是个人数据,因此,个人数据与数据所表征的个体不可分离,指称此人,就非指称彼人。但是,个人信息权中的个人数据则是作为一种信息资源,与信息主体处于分离的关系。在信息主体那里,个人信息可以转让、分享,并且也正因为可以转让和分享才体现其经济价值。或许有人会问,数据主体也经常将其个人数据进行转让,何以说其个人数据与数据主体不能分离呢?其实,数据主体对于个人数据的转让,是将个人数据作为个人信息资源来转让的,并不是单纯地转让数据。就像是个人信息权中对于个人数据的转让,也不是单纯地转让数据一样,而是将数据与数据所表征的主体对应起来转让。概言之,无论是数据主体转让还是信息主体的转让,个人数据与信息主体都是分离的,而与数据主体则须臾不可分离。
第四,个人数据要成为财产必须具备一定条件。正如有学者所总结的,其实现效用的过程需要具备一定条件,“首先,要通过信息积累,只有当大量零散的、片面的、互不关联的资料、数据、消息聚集在一起并达到一定的数量时,才形成为真正意义上的信息资源; 其次,信息的效用必须通过有序化来实现,否则,听任杂乱无章、真伪难辨的各种信息到处泛滥,不但无助于信息资源的开发利用,反而会造成信息污染;最后,信息的效用必须通过深层次的开发,即经过加工、处理、分析、综合,形成高质量的信息产品。”〔10〕郭明龙:《论个人信息之商品化》,载《法学论坛》2012 年第6 期。显然,这个过程对于数据主体而言并非易事。因为,一般来说,数据主体的个人数据仅仅是孤立的、零散的,必须与其他的个人数据结合在一起时,才能转化为具有很高价值的信息资源。而能够大规模收集个人数据并转化为信息资源的,一定是具有一定经济和技术条件的信息主体。因此,从这个角度来看,财产权也是个人信息权的内容,而非个人数据权的内容。
第五,个人数据权虽然可以作为获得财产的手段,但这不能因此而认为就可归于财产权。个人数据的财产利益当且仅当该数据被利用时才产生,即当该个人数据转化为个人信息时才具有财产利益,而这正是个人信息权的内容。因此,个人信息权是当然的财产权,但并不能推出个人数据权就是财产权。当然,个人数据权可以为数据主体获得财产利益提供基础,但也仅仅是提供基础而已。正如我们不能因为肖像权为其主体提供了获取财产利益的条件,就认为肖像权就是财产权一样。〔11〕对此也有不同观点,有学者认为,“既有法律的规定为肖像付费使用等现实存在的现象提供了合法性,出现了一种‘肖像利用权’的权利保护,这就意味着在一定程度上,肖像被承认有了财产权的属性。”(刘德良:《个人信息的财产权保护》,载《法学研究》2007 年第3 期。)事实上,任何一种权利都有一定的财产利益属性,即使是宪法规定的那些纯粹的政治性权利,比如言论自由权、出版权也都与财产利益有着千丝万缕的关系,或表现为获得财产的手段,或可理解为实现财产权的途径。一般来说,权利与权利之间,即此权利与彼权利之间都有一定的联系,而权利之区分人格权与财产权,则是以权利的核心内容为根据,彼此之间并非绝对的泾渭分明。而人们之所以要分类,以及之所以能分类,正是因为要突出概念的中心意义,而对概念的外围意义则必须有所忽略。
由上述分析可知,个人数据权并不是财产权,个人信息权才是财产权。并且,我们从以上分析中似可初步判断,个人数据权其实是人格权,而个人信息权则不是。
第一,人格是自我的证明。人格,在哲学基本范畴里,被喻为“自我”“惟一的存在”。因此,人格就是一个人之所以为人的根据,〔12〕参见张莉:《个人信息权的法哲学论纲》,载《河北法学》2010 年第2 期。或者是一个人之所以为人的证明。在网络世界里,个人数据就是一个人之所以为人的根据和证明,当我们言说某些个人数据时,其实言说的是某个人,而当我们要言说某个人时,也往往是通过数据来表达。〔13〕参见周斯佳:《个人数据权的宪法性分析》,载《重庆大学学报(社会科学版)》,来源:http://kns.cnki.net/kcms/detail/50.1023.C.20190926.1658.006.html,2020 年2 月21 日访问。如果说,在物理世界里,人理所当然地对其自身的个性特征拥有所有权,那么,在网络世界里,人也就理所当然地对表征其个人特征的数据具有所有的权利。因此在这一意义上,个人数据权可归属为人格权的一种。而个人信息则与信息主体并没有这种指称关系,它是外在于信息主体的他物,仅仅因为信息主体的某种法律行为而与信息主体才发生联系。
第二,人格与自我不能分离。个人数据权之于人格权的关系,我们可以通过与姓名权的类比来作说明。如果说,姓名是一个人在物理世界里用来区分自己与他人的社会标志,那么,个人数据就是在网络世界里用来界定特定个体的一种人工符号。个人数据必须依附于数据所指称的主体,正如姓名权不能脱离姓名所指称的个体一样。个人数据脱离于个体就只是数据,而不再是指称某个特定主体的个人数据,正如离开了个体的姓名只是文字符号,而不再是指称某个特定主体的姓名一样。因此,离开了数据主体,个人数据就好比是无“皮”可附之“毛”,毫无意义。但是,个人信息离开了信息主体,它仍然是个人信息,它不因主体的变更而变更,可变更的是主体,不变的是个人信息。
第三,人格为自我所不可或缺。人格是每一个法律主体所应当具备的。一方面,主体只有具备人格权,才具备法律主体的资格;另一方面,只要是法律主体,就一定具有人格权,这个法理,在物理世界是这样,在网络世界也是这样。如果说,在物理世界,人格是一个人之所以为人的资格,否认一个人的人格就等于是否定了一个人之所以为人的资格,那么,在网络世界里,反映人格的个人数据就是一个人之所以为人的资格,否定个人数据权就无异于否定一个人在网络世界里存在的资格。因此,在网络世界里,承认公民的个人数据权就是承认其作为人的资格的一种权利。但是,个人信息作为信息主体的财产权,与信息主体作为人的资格毫无关系。
第四,人格权具有绝对性。个人数据权作为人格权,与作为财产权的个人信息权的关系是:个人数据权可以对抗个人信息权,而个人信息权则不可以对抗个人数据权。因为,个人数据权作为人格权,其效力具有绝对性;而个人信息权作为财产权,其效力则只具有相对性。所以我们就可以理解,个人数据权可以对抗任何一个对其个人数据的占有者,包括合法获得其个人数据的信息主体;而个人信息权则只能对抗侵犯其财产利益的主体,其对于个人数据的使用和处分则受到数据主体的制约,即不得损害数据主体的个人数据权。数据主体对其个人数据是自我生成的,一经生成即受法律保护;而信息主体对于他人的个人数据只有通过合法手段获得,才被纳入法律保护的权利范畴中。简言之,个人数据权是一项强势的权利,具有绝对性;个人信息权则是一项弱势的权利,具有相对性。
三、个人数据权是自决权,个人信息权则不是
在大数据时代,对公民个人数据进行搜集、处理、利用和传输的主体就是信息主体。当公司或其他民事主体收集个人数据以作为信息资源使用时,其作为个人信息权的信息主体与个人数据权的数据主体,两者的关系为民事法律关系,双方处于平等的民事主体地位。个人数据权与个人信息权的关系是:前者是原生性权利,后者是派生性权利,数据主体的意愿决定了信息主体的权利是否正当,非经数据主体的同意,信息主体不得私自搜集、处理、利用和传输其个人数据,数据主体的非自愿性可以对抗信息主体的行为。也就是说,个人数据主体对其自然生成的个人数据具有自决权,而信息主体则对其获得的个人数据并不具有自决性。
但是,对于数据主体的数据自决权,有人却以信息自决权的名称来予以指称。所谓信息自决权,根据德国学者施泰姆勒的描述,是指人们有权自由决定周遭的世界在何种程度上获知自己的所思所想以及行动。〔14〕参见杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,载《比较法研究》2015 年第6 期。结合本文前面对个人数据权与个人信息权的逻辑关系的分析,这里以及当下学界所表述的信息自决权,实际上是从数据主体的角度来言说的,其实就是个人数据信息自决权〔15〕参见贺栩栩:《比较法上的个人数据信息自决权》,载《比较法研究》2013 年第2 期。。并且,由于信息自决权的表述很容易被误解为信息主体的权利,而事实上,个人信息权并不含有信息自决权的内容。基于此考虑,本文采用数据自决权的表述,而放弃使用信息自决权的名称。
关于数据自决权,国际组织、有关国家的法律规范,以及我国的法律条文均有明确规定。欧盟《关于涉及个人数据处理的保护以及此类数据自由流动的指令(95/46/EC)》规定“成员国应当规定只有在以下情形才能处理个人数据:a)数据主体明确表示同意”。德国《联邦数据保护法》(Federal Data Protection Act)亦明确规定“只有在本法或者其他法律允许或规定或数据主体同意时,个人数据的收集、处理和使用才是许可的。”美国《隐私法》则规定“除非是根据信息相关人的书面请求或事先的书面协议,任何机构不得通过任何方式与其他个人或机构联系,披露信息系统中的任何个人信息”。我国2012 年全国人大常委会颁布的《关于加强网络信息保护的决定》第2 条也明确规定“网络服务提供者和其他企事业单位在业务活动中搜集、使用公民个人电子信息,应当遵守合法、正当、必要的原则……并经被收集者同意。”〔16〕任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016 年第1 期。从这些规范性文件可知,数据自决权是个人数据权中数据主体所享有的权利,而不是个人信息权中信息主体对数据或对信息所享有的权利。
对于数据自决权的正当性,有学者从两个方面概括了其论证路径:一是根据人的主体地位与人格发展自由的理论来论证,二是根据社会学的角色理论来论证。前一理论认为,“如果个人无法知道自己的个人信息在何种程度上、被何人获得并加以利用,则个人将失去作为主体参与的可能性,而沦为他人可以操作的信息客体。被沦为客体正是人性尊严被侵犯的同义语。另外,所有的个人事务都与人格的塑造有关,不存在和人格无关的个人信息,因此应该允许个人对他人有所隐瞒,唯有当个人可以支配其个人信息时,才可能自由发展其人格。”〔17〕杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,载《比较法研究》2015 年第6 期。后一理论认为,“既然每个人应该有权利决定自己所扮演的角色,有权要求其他人尊重自己的角色选择,那么每个人也应该有权决定信息披露的程度,从而对自己的信息享有自决权。”〔18〕杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,载《比较法研究》2015 年第6 期。无论哪种论证路径,证明的都是个人数据权中数据主体对其个人数据具有自决权,而不是信息主体对数据主体的个人数据具有自决性。
当然,由于时下作为信息主体的网络服务商强大的技术优势和复杂的处理程序以及经济效率的要求,无论在信息分布上、技术条件上,还是经济实力上,数据主体在事实上都不太可能与信息主体相抗衡。〔19〕See Alexander Tsesis, “Data Subjects’ Privacy Rights: Regulation of Personal Data Retention and Erasure” 90(2) U. COLO. L. REV. 593 (2019).因此,在信息主体所提供的网络服务中,对是否同意披露自己的个人信息,数据主体只能在同意和不同意中作出选择。而由于网络服务商往往以同意作为接受服务的前提,不同意也就意味着不能享受网络服务的便利,在这种情形下,数据主体的内心自愿事实上并不能得到保证。因此,似乎可以推论,数据主体的数据自决权在民事领域已然在技术冲击下而趋于瓦解。
笔者认为上述理解并不正确。数据主体的意愿很难得到尊重的事实,并不能否认其在法律上具有的数据自决权。〔20〕See Commission Regulation 2016/679, art. 32. Official Journal of the European Union, 2016 O.J. (L 119) 1, 4.因为,同意还是不同意的选项本身,虽然只具有形式意义,但至少昭示了信息主体权利的正当性,仅仅是来源于数据主体的同意。因此,当数据主体在诉诸司法时,判断信息主体的行为是否构成侵权时,最终还是以数据主体是否同意作为根据。至于信息主体所设置的同意与否的选项背后所隐含的事实强制,也会成为司法判断的因素。因此,所谓数据主体的数据自决权难以充分落实的事实,只能成为完善技术手段和法律规范的理由,不能成为否认其权利的借口。因此,无论是在理论上,还是在现实上,作为民事权利的个人数据权,其数据自决权都是毋庸置疑的。
不过,在讨论个人数据权是否具有数据自决权过程中,也有人认为“作为能够识别自然人的信息,个人信息存在的首要价值便是帮助自然人实现社会交往。个人信息实际上是个人与他人,个人与社会的一种连接方式。因此,不管是在社会生活中,还是经济活动中,人类对个人信息的知悉需求总是存在的。从某种意义上讲,不披露信息就意味着欺诈。如果人们隐匿个人信息是为了误导他人,那么,从经济学上来说,给予这样的行为以法律保护,并不比允许商品销售中的欺诈行为强多少。”〔21〕任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016 年第1 期。与前面的观点基本一致,但理由稍有不同的另一论证是,“个人对其个人信息并没有绝对的支配权,因为,个人是社会团体中的一员,个人人格的自由发展正是仰赖于社会交往,即使是那些与个人事务密切相关的个人信息实际上也是社会生活的写照,不能排他地属于当事人所有。”〔22〕杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,载《比较法研究》2015 年第6 期。甚至还认为,信息自决权把自由意志建立在外界无法识别的确定的个人信息上,必然与他人的自由发生冲突,这种一般化的自决权无法充当私法领域的禁令,从而不可能作为法学意义的权利。〔23〕参见杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,载《比较法研究》2015 年第6 期。
笔者认为,上述论证的错误在于三点。第一,个人数据是指称其人格特征的数据,一个人不披露其个人数据信息便不能交往,由此而导致的交际障碍得由数据主体承担。而相对人在对方不披露其个人数据信息的情形下,仍然与其交往,那么与陌生人交往的风险也就得由相对人承担。这就好比在现实世界里,一个人介不介绍自己的情况而与人交往是一样的道理。第二,知情权原本是在公法领域,要求行政信息公开的一项权利,因此,信息知情的权利,其知情的对象是公共信息,而不是私人信息。个人数据只有在转化为公共信息后,才可以成为知情权的知悉对象。不过需要补充的一点是,官员或新闻人物,由于其个人信息具有公共性因而可以成为知情的对象,但这并不影响一般主体数据自决权的成立。第三,个人数据在没有转化成信息主体的信息资源时,它只是数据主体的个人数据,自然属于私人领域,而是否转化为他人可识别数据主体的个人信息,其终极决定权始终得由数据主体来行使。
也有人认为,个人信息不能被信息主体现实占有,更不能为其独立占有。流动是个人信息的价值所在,并且也只有通过流通,个人信息才能实现其价值,这就使得信息主体对个人信息难以实现排他性的占有。此外,公开也是个人信息有用性之所在。而个人信息一经公开,任何人又都可以随时随地获得、复制和传播,其获得、复制和传播的成本几乎为零。在网络世界里,由于信息主体对个人信息既没有决定的自由,又缺乏控制的能力,因而其所谓的个人信息自决权自然也就如同无本之木。〔24〕参见任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016 年第1 期。
笔者认为,上述推理的错误在于:第一,信息的价值在于流动与公开,并不表示作为信息的物质载体的数据也必须流动与公开。是否流动与公开,其决定权在于数据主体。正如我们不能因货币的价值在于流通,而要求每一个货币的持有者都必须使用其所有的积蓄一样。是否使用,其决定权由货币持有者决定。第二,难以控制与应不应控制不是同一个问题。我们不能因为在网络世界里,数据主体对其个人数据在事实上难以控制,就认为数据主体在法律上没有决定的权利。正如人们不能因为某些权利难以获得司法救济,而否认其法律权利一样。事实上,也正是因为当下网络技术造成个人数据越来越失控的形势,才激发了法学界对于该问题的探讨,以寻求更好的法律规范。
四、结语
个人数据权是相对于数据主体而言,而个人信息权则是相对于信息主体而言。信息主体对于所获取的数据主体的个人数据信息,不享有独占与控制的权利,并不能推论数据主体对其个人数据也不享有独占与控制的权利。因此,只有严格区分个人数据权与个人信息权,数据自决权的主体和内容才能厘定清楚。而同理,将数据自决权的主体和内容厘定清楚,个人数据权与个人信息权的区分才能得以彰显。
个人数据权与个人信息权的区别,可概而言之:在网络世界里,个人数据权保护的是数据主体的个人数据,而个人信息权保护的则是信息主体合法获得的,并转化为信息的个人数据,两者的内容和主体不同。个人数据对于信息主体来说,是因为它具有财产意义,所以,个人信息权是财产权;而个人数据对于数据主体而言,是因为其与数据主体须臾不可分离,因此个人数据权是人格权。在大数据时代,信息主体与数据主体的关系为民事法律关系,非经数据主体的同意,信息主体不得私自搜集、处理、利用和传输其个人数据,但是,信息主体则对数据主体的个人数据则不具有自决性。
个人数据权与个人信息权两个概念的区别,其意义在于帮助权利人确定不同的诉讼救济方式。依据个人数据权诉讼,权利主体必须是数据的生成主体;而依据个人信息权诉讼,权利主体则是数据的合法获得主体。个人信息权由于是财产权,因此,其赔偿方式以财产责任为限;而个人数据权由于是人格权,所以,其赔偿方式则不以财产责任为限。依据个人数据权诉讼或依据个人信息权诉讼,虽然两者都必须证明侵权人使用个人数据未经本人同意,但前者必须证明个人数据系其本人所固有,后者则必须证明个人数据是合法获得。个人信息权的这一证明,即使属实亦不可以对抗数据主体。