梅夏英

(对外经济贸易大学 法学院，北京 100029)

《中华人民共和国民法典》(以下简称《民法典》)的颁布是我国民事立法的一个里程碑，它具有鲜明的时代性，即在传统私法体系的基础上尽可能地涵盖和反映当代新型私法关系，《民法典》中对于信息数据法律关系相关内容的回应是值得重视的。具体说来，《民法典》中有四处集中涉及信息数据的私法保护问题：一是在民法总则编的“民事权利部分”宣示了数据和虚拟财产权益的存在(第127条)；二是在人格权编将个人信息置于“隐私”部分与隐私一起予以保护，并对信息的类型、收集、更改和删除等做出了初步规定(第1034至1039条)；三是在合同编针对互联网电子化交易形式，规定了电子交易的订立、生效和履行等内容(第491、512条)；四是在侵权责任编对网络侵权责任予以完善，增加了反通知规则(第1194至1197条)。上述《民法典》的相关规定回应了蓬勃发展的网络行业实践，也为现实的网络纠纷提供了相关基础规则。但总体而言，《民法典》对于信息数据领域的回应带有宣示性和零散性的特点，对现实问题的覆盖相对有限，且对于基本概念的法律判断和归类，以及与传统体系的立法统合也为理论研究留下了较大空间。未来的司法实践将涉及对相关条文的判断和理解，本文将基于上述四个领域的规定，尝试做一理论上的解读。

一、数据或虚拟财产的权益确定

《民法典》第127条将数据或虚拟财产原则上认定为民事权利或民事法益，但规定并不具体。它采取的表述是“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”这可以理解为《民法典》本身对数据或虚拟财产不作具体判断，而交由相关法律调整。这种做法是值得肯定的，因为此前现实中提出的数据或虚拟财产问题在司法判断和理论研讨中一直没有定论，传统民法体系对于信息或数据也没有现成的规范群予以容纳，《民法典》本身力有不逮。但作为私法基础法，《民法典》第127条确认了数据或虚拟财产构成民事权益，这为数据或虚拟财产的私法保护提供了一个基础法律判断。但这只是问题的开始，在具体立法和法律适用上仍然有重要的理论问题需要解决。从目前关于数据或虚拟财产的理论和立法研讨来看，核心问题在于数据或虚拟财产的权益确定问题，即在民法上如何科学认定数据或虚拟财产的法益形态，以及通过何种立法方式来保护这种法益。

解读《民法典》总则编第127条的规定，面临的第一个问题是，数据和虚拟财产是否同一回事，在立法保护方面是否存在差别。笼统地看，虚拟财产无疑属于特定的数据类型，需要法律保护，但绝大多数情况下数据并不属于虚拟财产，我们通常所讨论的数据权属、大数据和数据交易等名词中所指的“数据”并不属于虚拟财产。虚拟财产与其之外的“数据”的主要区别在于，虚拟财产局限于在网络中产生和存续的特定数据，在网络之外一般没有对应物，它是由算法创造的虚拟信息，并会带来一定的经济价值。[1]虚拟财产在目前的网络数据中体现为四种类型，即各种用户网络账号(包括电子邮箱、社交账号等)、网店、网络游戏装备和网络货币(如Q币和比特币)等。虚拟财产与一般信息数据的利益体现也不相同，前者的经济价值并不体现为数据信息本身，而在于虚拟财产所依赖的算法环境，而后者即一般数据的价值体现为其所承载的信息本身，且可以适用于不同的环境。这样看来，虚拟财产和一般数据的定性和保护方式都有较大差别。对于虚拟财产而言，现有的理论研究倾向于将其当作独立的、可以权利化的对象来观察，并有相关的案例和行业规则支持。这种路径实际上并不能很好地契合实际情形，因为将虚拟财产独立化和权利化并不能给解决纠纷以实质性的帮助。比如游戏装备“被盗”情形，有意义的解决方式在于数据恢复或损害赔偿，这两者都无须对虚拟财产进行定性；又如关于网店的归属或分割，有意义的解决方法在于网店的信息变更和密码变更，也无须依赖网店本身财产归属的界定。同样，对于邮箱或社交号的归属，解决方式也在于账号操作权的处理上。故此，对于虚拟财产的保护首要在于账号的操作及安全的维护上，并且虚拟财产依赖于着更大的背景，即任何虚拟财产都附着在与运营商的服务关系上，因而运营商在虚拟财产的保护上占据着重要的地位。未来虚拟财产的保护应在用户与运营商的服务关系上，强化电子账号的操作权保护。

《民法总则》关于数据和虚拟财产保护规则面临的第二个问题是，数据或虚拟财产是否可以权利化。关于虚拟财产上文已有分析，主要问题在于一般数据是否可以权利化。目前关于数据权利化，肯定的观点占据主流。因为随着网络行业的迅猛发展，数据已经成为重要的生产要素，且具有重要的经济价值，将之作为一种新型的财产顺理成章。但这种将数据与财产直接联结的做法忽视了数据赖以生存的环境，以及其价值实现的具体方式。数据依赖于计算机和互联网系统，甚至更大的全球互联网，它的生成、分享和流通都依赖于网络技术体系，只有在平台和算法的基础上，数据才能生存，因此数据权益的界定天然脱离不了这个体系，也应当在数据利益上有所反映，在此基础上，数据本身的独立性和特定性会受到根本影响，单独对数据进行权利化无助于这种权利的实际行使、流转和保护规则的系统构建。目前出现的各种数据权属纠纷案例中，尽管法官倾向于将数据作为一种特定的利益来保护，但在法律适用上鲜有适用绝对权利规则，更多地采用不正当竞争或网络安全保护方面的规则来进行裁判。对于数据的价值体现和实现方式，更多的学者意识到数据占有人只享有一种相对的“权利”，不可能形成对数据的独家垄断。[2]其原因在于，数据并不主要体现为因创造而产生，而是基于用户提供和分享而获取，且数据也会因各种原因和方式为他人所获取和分享。由此，平台对于所获取的数据只能享有现实占有的利益，并不能将数据完全据为己有。与此相对应的保护方法也主要着眼于平台对于自身数据控制的强化，类似于商业秘密的保护，这种数据权益以自我保护为主，只有当相对人违反了网络安全并实施了网络违法行为，数据占有者方可向对方主张利益。在此基础上，对数据保护最有利的法律应当体现在网络安全法、数据安全法或个人信息保护法这些公法领域。

二、个人信息保护的私法限度

《民法典》对于现实生活中严峻的个人信息保护问题进行了回应，并在人格权编第六章“隐私和个人信息保护”部分进行了规定。这种立法回应反映了《民法典》对于个人信息保护的充分重视，并将其作为一种人格利益进行保护。《民法典》的这种保护模式与目前欧洲国家对个人信息比照隐私保护的倾向具有共同之处，属于一种强保护模式。从条文分析，除了对个人信息进行人格利益属性定位之外，在具体保护上从1035条至1038条规定了信息收集、使用和免责的内容，这些操作规则实际上是世界通行的个人信息保护法律的基本内容，并没有完全体现出人格利益规则体系的特质。除此之外，个人信息保护系统规则体系并不能完全由人格的私法保护角度导出，比如个人信息的分类保护就不能由人格利益上获得解释，又如对于公开的个人信息一定程度上受法律保护也面临同样的情况。因此，《民法典》对于个人信息保护具有一定的局限性，亦即有一定的私法限度。在个人信息保护上，公私法必须相互配合才能更好地实现立法目的。

《民法典》将个人信息作为人格利益进行保护，面临的一个重大解释问题就是个人信息范围的界定问题。对此，《民法典》第1034条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、行踪信息等。”同时规定，个人信息中的私密信息适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。这种规定阐明了两个意思，一是个人信息中的私密信息属于隐私，适用隐私权的规定。亦即非隐私的个人信息作为人格利益，适用个人信息保护的规定。这样就会带来一个问题，即私密个人信息已作为隐私进行了强保护，是否还适用个人信息的保护方式？二是该条对于个人信息的定义除了直接个人信息以外，还采取了“可识别”的标准，即可以与其他信息结合识别他人的信息也可以成为个人信息。这种界定其实并不是很好操作，因为“可识别”他人的信息并不一定与他人的个人有直接关系或人格性的关系，比如一个人活动的地点，遇到的人和事等。故，如若不限制个人信息的范围，将偶然性较强的信息统归为个人信息，一则保护范围过宽，二则与人格利益距离甚远。在理论上，个人信息的界定经过了“识别说”和“关联说”两个阶段，后者强调信息与个人直接关联，有学者主张在有条件地废除上述两种静态意义的定义上，进行动态的“新识别”方法，使个人信息合理保护与数据利用结合起来。[3]也有学者认为，个人信息保护的推动因素不在于隐私，而在于用户与运营商之间存在的持续性不平等信息关系，以及这种保护高度依赖于具体场景中个人与信息收集者之间的关系，故应在动态场景中权衡个人信息保护的范围和力度。[4]这些探讨都具有现实和理论价值。如若在动态场景中把握个人信息保护，那么仍然将个人信息笼统纳入人格利益的保护模式下，就会产生人格利益相对也不那么确定了。在现代社会信息大规模产生和分享的大环境下，人格利益会有较大膨胀，因为作为私法上的利益，无法容纳如此大体量的信息利用和流通。故私法对于个人信息保护的限度是值得进一步研究的。

解决上述理论难题应当适当地将视野从隐私或人格权上进行扩展。关于个人信息的定义产生的困难实际上折射出了一个根本的问题，即个人信息保护的目的是什么。私密的个人信息因其成为隐私在此存而不论，对于非隐私的个人信息是否真的采用人格利益的强保护模式是值得探讨的。目前世界各国对于个人保护的理论基础存在众多不同的说法，如基本权利说、数据保护说、人格权说、私人生活权说、信息保密性和系统完整性权利说、信息自决权说等，这些理论主张都赞同对个人信息进行一定的保护，但其保护目的并不一致，其广度和强度也有差别，人格权说只是其中一种模式。在基础理论没有完全明晰的情形下，各国都倾向于一种简单的“全面预防”态度，以禁止信息获得或流通为基础规则，这就使得个人信息保护成为一种超级权利，它甚至凌驾于通信自由或言论自由之上。这种状况忽视了个人信息保护本身并不构成独立的目的，它的目的应该存在于个人信息之外。[5]我们将个人信息作为保护人格利益不被侵犯就是其中的做法之一，人格利益才是法律最终保护的目的。但人格利益与全面保护的方式并不完全一致，比如现有的欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)对个人数据的保护力度更加严格，接近于对隐私的保护，这就是私法对个人信息保护的极限了。因此，个人信息保护的理论基础值得继续重视，因为个人信息保护的目的决定了其制度构建，上述各国理论上的不同主张现在还没有最终定论，但对于人格保护是个人信息保护的目的之一是成立的，除此之外，对于跟人格利益不很密切的个人信息保护目的的探讨仍将持续。

对个人信息保护是为了实现某些个人信息本身之外的目的应该值得重视。从现有的个人信息保护立法发展来看，个人信息保护问题主要产生于互联网普及的过程当中，之前的传统社会也存在个人信息，但并未产生个人信息问题，这就意味着个人信息保护问题乃由互联网触发，故问题更多地存在于互联网造成的现实问题中。在各种利益衡量中，个人信息保护在于平衡个人信息大规模收集、流通和再利用与个人生活受其不利干扰的矛盾，这种矛盾是局部的，且由互联网所产生。故从社会风险的规避和消费者利益保护角度来探讨个人信息保护的立法目的，比较切合实际。从这个角度理解，我们就可以解释为何对个人信息进行分类保护、对识别性的强调，以及对于用户“同意”的重视的原因，其目的都在于规避风险，并由当事人决定自己是否承担风险，即抵销因大规模信息收集、泄露和滥用造成的社会潜在风险。尤其是在个人“数据画像”成为现实的技术条件下，这种风险规避导向和规避方式都会受到很大影响。《民法典》对于个人信息的回应反映了社会对个人信息保护的现实要求，但个人信息保护制度的构建仍应适当超越人格利益的范围，通过各种制度安排来达到个人信息保护的现实目的。

三、电子交易的业态变化及未来的法律发展

《民法典》的合同编分别在“合同订立”部分(第491条)和“合同履行”部分(第512条)规定了电子合同的成立和生效时间问题，相较1999年《合同法》对于电子交易的互联网形态进行了完善。在合同订立问题上，主要在保留旧合同法数据电文规则的基础上增加了网络订单的形式确认，在合同履行上明确了网络订单形式下产品和服务履行的时间确认规则。将互联网业态下的电子交易放在合同法当中规定具有一定的时代回应性，但相对于网络业态的发展稍显单薄。当代互联网催生的电子交易突飞猛进，交易形态变化万千，已逐步成为人们日常生活中不可或缺的重要交易形式。电子交易的法律关系也不再限于交易双方的私人意思自治领域，而是嵌入到平台和算法交织的系统中，这种法律关系也非双方合同所能涵盖。已颁布实施的《电子商务法》对于平台、经营商和用户的关系进行了相对系统的规制，《民法典》“合同编”较之对电子交易的规定相对保守。由此在理论上需要解释的问题是，电子交易的整体规制应采用何种法律形式，以及电子交易规制与合同法的理念和规则是否相符。

电子交易在互联网上的发展形成了与传统合同迥乎不同的业态，即基于信息服务功能而突显的平台的介入。平台的介入使交易双方的交易形态和法律关系更加复杂，即平台与交易双方形成了复合的法律关系，权利义务配置亦遵循不同的规则。在网络交易出现的早期，平台与用户的关系在法律上一直处于模糊地带，比如早先的门户网站对于信息服务和电子邮箱服务等都采取免费的策略，平台和用户是否存在合同关系并不明确，一旦涉及法律纠纷如个人信息利用或邮箱服务等，平台发布的格式性规约加上用户的同意是否构成合同并受合同法调整尚存在争议。免费的信息服务协议在严格的合同定义上很难认定为交易，因为双方本来就没有特定的缔约意图，也很难认定为无偿合同，因为在流量争取上平台也没有施惠于用户的动机。故早期免费模式下的平台和用户关系很难认定为合同关系，它更趋向于是一种人造虚拟空间的团体规约，规约中的许多内容应受法律约束，如个人信息保护及账户的继承和使用等。这种虚拟社区的松散关系在网络交易时代产生了变化，即在产品或服务交易平台业态下，交易双方与平台形成了复合交易关系，平台因为有偿因素的存在至少与订单一方形成了法律关系，比如在商家与用户的交易关系基础上，淘宝平台与商家形成另一种合同关系，并交织在一起。至于用户与平台是否形成合同关系，主要依赖于用户是否向平台支付对价，在没有对价的情形下，合同关系比较难以成立。这种复杂关系在诸如淘宝或滴滴等平台服务中会产生一类特殊问题，即平台的地位和责任问题。

在电商关系中，平台的责任因电商形态不同而产生了不同的现实争议。比如对于淘宝等以网络购物为主的电商平台就产生了网络贩卖假货的平台责任问题，对于滴滴等以网络服务为主的平台也产生了平台与所登记的专车司机是否存在雇佣关系等问题，甚至出现司机在运营中杀害乘客平台是否存在责任的问题。基于平台的优势地位，理论界和民众倾向于加重平台的责任，确实也促进了平台尽可能地采取措施优化管理和防止风险，但理论上强化平台的责任在很多情形下与平台的地位和风险掌控能力并不完全相符。总体而言，平台在电商中主要是作为信息中介存在(自营业务除外)，它主要在信息提供、审核和更新方面负有较强注意义务，对于现实场景的干预和影响甚小，故从风险防范和利益获取方面，平台主要的义务和责任均与其能有效控制和优化的信息服务直接相关。比如《电子商务法》也规定了在用户受到电商商家的不法侵害时，平台具有及时告知该商家具体信息的义务，即是此种理念的体现。另外，平台对于用户投诉的及时回应义务，甚至平台可以通过抽查商品核实信息真伪，都与平台在信息领域的责任相一致。在此基础上，理论上应合理地区分平台的虚拟社区监管者和交易相对人两种身份。[6]前者的义务相对较宽，包括网络侵权规则和安全注意义务规则都是来源于虚拟社区监管者的责任，这种责任与交易本身没有直接的关系；后者则主要是基于交易相对人所承担的义务，这种义务是基于合同而产生，并服务于交易的实现。

未来的电商将会朝着进一步社交化、程式化和智能化方向发展，电商交易形态与合同法的联系将会进一步减弱。目前《合同法》对于电商调整的局限业已显现出来，比如传统合同法对于合同主体适格性的要求在电商环境中便很难贯彻，因为网络用户经常出现与信息不一致的情形，对此《电子商务法》也只是强调在主体确实被证明不适格时，可以主张合同效力瑕疵，这种事后的处理无形中增加了缔约时的风险；《电子商务法》第48条规定，电子商务当事人使用自动信息系统订立或者履行合同的行为对使用该系统的当事人具有法律效力。在电子商务中推定当事人具有相应的民事行为能力。但是，有相反证据足以推翻的除外。这一规定意蕴与《民法典》相关规定具有很大差别。又如意思自治的贯彻也大打折扣，因为很多情形下双方交易是电子撮合的产物，其中合同相对人、合同内容等都由算法来决定，在此基础上，合同法上重大误解、错误、效力待定和合同撤销制度等也很难精确地实施。随着智能合约的出现，合同法的理论和规则体系更难以有效通行。智能合约(Smart Contract)是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易，这些交易可追踪且不可逆转。智能合约这个术语至少可以追溯到1995年，是由多产的跨领域法律学者尼克·萨博(Nick Szabo)提出来的。他在发表于自己的网站的几篇文章中提到了智能合约的理念，其主要定义为，一个智能合约是一套以数字形式定义的承诺(commitment)，包括合约参与方可以在上面执行这些承诺的协议。

智能合约依赖于区块链技术条件下通过数字形式进入代码或算法系统而成立，合约需要的特定“数字形式”非常依赖于参与方同意的共识机制，且通过技术体系来自动执行，执行的结果不可逆转。这种合约是交易的一次彻底革命，不仅仅合同法的意思自治受到挑战，而且合约的履行也完全自动化了，合同的效力亦不可逆转。因此，智能合约绝非传统意义上交易形式的更新，它使电子交易进入到一个高度数字化和技术化的领域，未来的电子交易将朝着自身的路径独自发展，其前景尚无法预测。

四、网络侵权的理论和立法模式更新

《民法典》对网络侵权进行了规定(第1194至1197条)，其主要是沿袭了原《侵权责任法》第36条的规定，只是规定得更加具体，并增加了“反通知规则”，即网络用户接到转送的通知后，可以向网络服务提供者提交不存在侵权行为的声明。网络服务提供者接到声明后，应当将该声明转送发出通知的权利人，并告知其可以向有关部门投诉或者向人民法院提起诉讼。这样的规定有效地平衡了双方的风险和利益，不失为立法的进步。可以看出，《民法典》对于网络侵权的规制范围，限于传统意义上的以网络为工具对他人民事权利的侵害，且参考了美国1998年的《千禧年数据版权法》(Digital Millennium Copyright Actor 1998,简称DMCA)中的“避风港规则”和“红旗规则”，并扩展至版权以外的人格权领域。在网络服务提供者责任的承担上，存在着一个解释问题，即如何理解平台在未及时采取必要措施时，对损害的扩大部分与该网络用户承担连带责任。对于扩大的损失由平台和用户承担连带责任，立法上经历了一个否定之否定的过程，在互联网发展早期，基于网络盗版现象的遏制需要，各国倾向于加重平台的责任，美国甚至在网络侵犯版权中一度采用平台“引诱侵权”理论。[7]后来司法界认识到了平台与出版商不太一样，让平台承担责任并不完全是明智的，故有了“避风港规则”，该规则本意是为了减轻平台责任，即在平台尽了合理注意义务前提下，即可被免除侵权责任。在此前提下，平台和侵权人的共同性色彩大幅减少。《民法典》上述规定某种程度上是在上述免责背景下，加重了平台的责任。

在“避风港规则”下让平台承担损失扩大的连带责任，还必须要区分免责事由和担责事由。前者是指平台在响应权利人的声明后，采取了适当措施，即可免责。但《民法典》并未规定何种条件下应由平台承担责任，也就是说，即使平台没有采取措施，只是不能直接免责，但也不能推论出平台必须承担责任，因为平台可能基于保护言论自由或自我判断不构成侵权的情形下，不采用适当措施干预，此时对于平台的责任追究就适用侵权责任构成要件来判断，而非“一刀切”地课以责任。至于平台承担连带责任，应属于法律保护民事权利的政策衡量，因为在大致相似的情形，如公共场所管理人违背安全注意义务导致民事主体受他人侵害时，《民法典》规定其在一般情形下承担的是补充责任。《民法典》第1198条规定，宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所的经营者、管理者或者群众性活动的组织者，未尽到安全保障义务，造成他人损害的，应当承担侵权责任。因第三人的行为造成他人损害的，由第三人承担侵权责任；经营者、管理者或者组织者未尽到安全保障义务的，承担相应的补充责任。经营者、管理者或者组织者承担补充责任后，可以向第三人追偿。对平台课以连带责任，在理论上可能是基于两个背景，一是互联网发展已经历了早期需要社会或政策扶持阶段，现已发展相对成熟，不宜再刻意减轻平台责任；二是网络平台与公共场所管理人尚有不同，即在虚拟环境中，平台的影响力和掌控力急剧上升，公权力很难直接介入，故加重平台的管理义务有利于网络业态的健康发展。

《民法典》规定了网络侵权规则，只是部分回应了网络侵权的现实需求。值得注意的是，网络行业发展一日千里，涉及生活的诸多方面，侵权纠纷层出不穷，并非一种以网络为工具的传统侵权理论能解决。对于网络侵权理论和立法体系，早期学者认为可以为传统侵权体系所容纳，即网络并不能产生新的侵权理论和立法形态，此即“马法”理论的反映。但大多数学者对于网络领域的侵权问题尚保持开放态度，立法者在《民法典》制定过程中也未追求在法典中解决网络侵权的基本问题，因为一旦涉及各种网络侵权，传统侵权法就会出现适用上的困难，且对于网络与传统侵权法之间的融合和变异的研究也不充分，故未来网络侵权的理论和立法体系设计是民法典适用时代的课题。即便如此，针对目前互联网领域存在的侵权问题做一梳理，并提出前瞻性的展望是必要的。互联网侵权现象远远超出《民法典》所规定的有限情形，尽管侵权行为不脱离现实互联网系统，但其侵权形态、侵权客体、法律关系和责任形态都与传统侵权关系大相径庭。

具体而言，当代互联网侵权现象体现出几个显著特点：首先，互联网创造了独特的侵权客体，传统侵权法上的客体局限于现实生活中的财产或现实权利，互联网催生了脱离现实生活的虚拟客体，如上文所述虚拟财产。这些客体均存在于互联网且受平台和算法控制，针对其实施的侵权都具有间接性和虚拟性；其次，互联网侵权具有不同的行为模式。传统侵权法对于侵权行为局限于现实行为对现实权利的侵害，且行为与客体之间有直接的联系。但互联网上的侵权形态一方面具有行为上的同质性，即体现为电子操作行为，另一方面又具有违法性上的同质性，即不直接体现为针对现实客体的行为，而是体现为对网络操作规则的违反。这就使得网络侵权的认定与保护性的法律直接相关，而不一定受权利法规则支配；再次，网络侵权关系鲜有单纯的传统双方侵权关系，而是涉及平台、用户和运营商(有时为多方)之间的复合关系，其义务和责任的区分和承担非常复杂；最后，网络侵权的责任承担具有自己的特点，除了损害赔偿以外，尚有恢复数据、删除和断开链接等救济措施，这些都为传统侵权法所不能容纳。基于此，对于网络侵权未来的立法模式，在理论上应保持一个开放的态度，传统侵权法体系很难容纳内容日益庞杂的网络侵权行为。另外，网络侵权基于其产生和救济的互联网环境，具有与传统现实侵权完全不同的形态和解决方式，除了以网络为工具侵犯传统民事权利的行为可以适用《民法典》规定以外，其他类型的侵权应主要通过保护性的法律(如网络安全法、数据安全法和个人信息保护法)等予以规制，未来是否会出现独立的网络侵权法尚有待进一步研究。