个人信息的宪法财产权保护
2021-04-17谢立斌
谢立斌,李 艺
(中国政法大学a.中德法学院;b.法学院,北京100088)
一、引言与文献述评
随着信息技术的飞跃发展,人类步入信息时代。以个人电脑、智能手机为代表的各类电子产品以前所未有的速度和广度时时刻刻记录个人生活留下的物理和电子痕迹,形成大量个人信息。个人信息的滥用构成巨大的风险,这促使各国高度重视个人信息保护。目前学术界较为一致的观点是,个人信息具有重大经济价值,是信息经济中最重要的资源之一。但是,对于个人信息中经济价值应当如何分配,学术界尚未达成一致,目前主要存在以下几种观点。第一,信息的经济价值应当归属企业所有。例如,有学者依据“数据生产”理论,认为数据或者信息中的经济价值是由企业所生产、创造的,因而应当由企业来享受个人信息中的经济价值(高富平,2019);还有学者根据产权安排的成本—收益分析认为,如果将数据产权划分给消费者,那么成本和收益的分析都将不复存在,相反如果把数据产权划分给企业,却能通过较小的成本获得较大的收益(陈永伟,2018);还有学者以法经济学产权确立的四个基本规则为基础,认为无论是根据先占规则、附属规则或是创造规则,企业都应当拥有个人数据产权,而公平规则在这里并不适用,并不能基于公平的考量而将个人数据产权赋予个人(张玉屏,2021)。[1-3]第二,信息的经济价值应当归属个人所有。例如,有学者认为应当赋予个人信息财产权,使个人能够支配其信息蕴含的商业价值(刘德良,2007);还有学者则指出,个人应当基于对其信息的人格利益而进一步享有其信息中的财产利益,即,个人信息中的经济价值应当划归于个人而享有(任丹丽,2021);还有学者提出,尽管数据信息的共享已经成为大势所趋,但是共享中的数据信息的权利仍然应该归属于信息权利人个人所有,未经信息权利人的同意,信息共享的行为不得实施(王利明,2019)。[4-6]第三,企业和个人分享信息的经济价值。例如,有学者将信息数据划分为“敏感个人数据”与“普通个人数据”两种类型,将“敏感个人数据”中的经济利益分配给公民个人所有,将“普通个人数据”中的经济利益配置给企业和个人共同共有(黄锫,2021);还有学者将数据信息划分为基础数据和增值数据,认为基础数据中的经济利益应当归属于用户个人所有,而增值数据中的经济利益则应当归属于企业所有(丁道勤,2017);还有学者认为应当首先遵循“捕获规则”将信息的经济利益分配给数据企业,然后再遵循“关联规则”将敏感信息的经济利益分配给公民个人(许可,2018)。[7-9]学者们之所以持有这些不同观点,归根结底源自研究方法和研究视角的差异。鉴于个人信息中的经济价值可能触发多方主体之间的冲突,为了定纷止争,立法应当对于相关经济价值的分配做出妥善安排。那么,立法者应当依照何种原则决定个人信息之上经济利益的归属,应当采取何种保障路径呢?宪法对此提供了基本的价值指引。据此,本文尝试从宪法层面探讨个人信息的经济价值的分配问题,之后对中国实证法层面的相关规定进行考察,最后从法政策学角度提出未来立法的完善方向。
二、个人信息的经济价值及其归属
(一)个人信息的经济价值
所谓个人信息,就是指那些能够识别个人身份的信息。从两个方面来看,个人信息具有重大经济价值(杨惟钦,2016)。[10]
一方面,人类社会步入信息经济时代之后,大数据具有广泛用途,已经成为信息经济时代的关键资源,而个人信息在不同程度上构成大数据的组成部分,从而也就具有相应经济价值。例如,电子地图经营者通过收集、整理车辆行驶的实时速度,能够根据实时路况信息提供躲避拥堵的导航服务,创造新价值;企业对自己的客户群体进行分析,可以归纳客户群体的特征,并利用这些特征识别潜在客户群体,对其进行针对性的高效营销,甚至通过互联网误导行为促进其做出并不理性的消费决策(段泽孝,2019)。[11]诸如汽车行驶数据、实时行驶速度、客户群体信息等的大数据中在不同程度上包含了个人信息。既然大数据具有经济价值,那么,作为其组成部分的个人信息也就具有相应的经济价值。
对于这一结论可以提出两种质疑。首先,人们可以主张,大数据经过挖掘之后产生的增值数据才具有经济价值,大数据本身并没有经济价值,因此,作为大数据组成部分的个人信息也就没有价值。固然增值数据才具有直接的经济价值,但是,如果没有用于挖掘的大数据,增值数据就成为无源之水、无本之木,根本无从产生。在这种意义上,大数据可以视为某种原材料,增值数据则是对这种原材料进行加工之后形成的最终产品。只要最终产品是有价值的,那么,原材料也就具有相应的价值。其次,在承认大数据本身具有经济价值的前提之下,人们可以继续质疑作为其组成部分的个人信息具有经济价值。大数据中通常包含大量用户的个人信息,单个用户的个人信息在海量数据之中只是沧海一粟,其相应的经济价值可以忽略不计。这种看法看似有一定合理性,实际上也不成立。大数据只要是包含了任何人的个人信息,那么,其个人信息作为大数据的组成部分,也就具有相应的价值,而无论这一价值是多么微乎其微。
另一方面,无论个人信息是否构成特定大数据的组成部分,都具有独立的经济价值,可以通过各种方式、在各行各业中得到商业利用。对企业而言,商业成败的一个关键因素就是找到潜在客户并进行适当的区分对待。为了甄别潜在客户,企业需要收集非客户群体的个人信息并进行分析,判断其是否符合已有客户群体的特征。如果符合,则意味着可以尝试通过各种营销手段将其发展为自己的新客户。在找到潜在客户之后,企业为了规避风险,追求利益最大化,还需要继续依赖潜在客户的个人信息,进行适当区分对待。在一些行业中,企业必须挑选其顾客,以降低和规避风险。例如,对于金融机构而言,向信用良好、还贷能力强的个人提供贷款才能够盈利,向信用不佳者提供贷款可能带来巨大损失。即便在其他一些按照一手交钱一手交货模式进行交易的行业中,顾客个人信息仍然具有不可低估的价值。这些企业只有基于顾客的个人信息来区分产品的受推崇程度,才能够在产品设计、广告宣传等方面重点关注忠实追随者,按照其喜好设计产品,随时向他们发布最新产品信息,促使其进行购买。
(二)个人信息经济价值的归属:一个新问题
数据企业大规模收集个人信息并将其用于盈利是一个新现象,尚不存在调整个人信息经济价值归属的法律规则。在实践中,数据企业凭借其技术优势,往往直接收集用户的个人信息并将其用于盈利。这种事实上的利益分配格局有利于数据企业,并为其所赞同。然而,从实然不能够导出应然,现有实际做法是否具有正当性,有待澄清。对于任何一项经济利益,都应当存在明确的归属规则,以避免争议,并在争议出现时予以妥善解决。有鉴于此,立法者应当积极作为,改变在这个领域无法可依、放任事态发展的局面。由于尚不存在相关法律规范,立法者不必考虑与相关法律的衔接问题。立法者具有保障宪法实施的职责,必须确保法律的合宪性,因此,立法者主要应当考察宪法上的相关规定,在宪法框架内确定个人信息经济价值的归属。
三、宪法视野下的个人信息经济价值归属
立法者规范个人信息经济利益归属时,应当关注所有相关宪法条文可能提出的规范要求。对宪法全文进行梳理之后,本文认为,中国宪法上的社会主义制度、按劳分配制度、对经济发展的规定以及平等权条款可能提出了相关规范要求。下文围绕这些宪法规范,逐一进行考察。
(一)社会主义制度
社会主义制度作为中国的根本制度,具有丰富而深刻的内涵。其中,维护社会公平正义是社会主义的核心理念之一(韩大元,2019)。[12]为了追求社会公正,公权力应当限制强者,扶持弱者,调和社会对立。为此,立法者在规范数据企业和信息主体之间关系的时候,应当关注两者之间的力量对比,避免其失衡。
毋庸置疑,数据企业相对于信息主体在多个方面明显处于优势地位。首先,两者之间信息严重不对称,这就使得数据企业在与用户的关系中处于“知己知彼”的状态,能够最大程度上追求自己的利益。具体而言,在用户上网、使用各种服务时,数据企业通过账号、IP地址等方式,通常能够识别并跟踪用户身份,对其浏览和消费等行为进行记录,形成用户档案。通过其收集的用户个人信息,信息主体得以了解用户,其了解程度甚至可能超过用户对自己的了解。相比之下,信息主体往往并不知道数据企业收集个人信息的方式和规模,也不能确切知悉其个人信息被利用于何种目的,更谈不上采取针对性的策略(例如通过使用无痕浏览、隐藏IP地址等方法防止数据企业识别自己的身份)防止自己的个人信息被收集。其次,信息经济的一个典型现象是众多领域都出现少数企业瓜分市场、甚至一个企业一家独大的情况,在这一背景之下,用户并不享有在众多竞争者之间进行选择的自由,而往往只能接受特定数据企业的服务,或者得不到相应的服务。面对往往具有垄断地位的数据企业,用户并不具备相对平等的议价能力。企业利用其优势地位在交易中规定不合理条件的,用户往往也只能接受,以免自己根本得不到相应服务。
鉴于数据企业相对于信息主体的明显优势地位,国家应当对前者进行限制,对后者予以扶持。就个人信息之上的经济利益而言,如果立法者确认由数据企业享有这一利益,那么无疑将增强其优势地位。由此可见,为了维护社会公正,立法者应当将个人信息之上的经济利益赋予信息主体,而不是赋予数据企业。
(二)按劳分配制度
个人信息经济价值的归属归根到底是一个分配问题,应当遵守宪法确立的分配制度。《中华人民共和国宪法》(以下简称《宪法》)第6条第2款规定了“按劳分配为主体、多种分配方式并存的分配制度”。在多大程度上进行按劳分配,对收入平等状况产生影响。有实证研究表明,中国过去二十年来,劳动收入份额上升,则收入更加平等,劳动收入份额下降,则收入更加不平等(汤灿晴和董志强,2019)。[13]就此而言,这一分配制度在立法和司法层面得到了具体化。在立法上,《中华人民共和国劳动法》等多部相关法律保障劳动者权益;一些专门法律则对一些特别类型的劳动成果提供保护。例如,通过在《中华人民共和国著作权法》中规定文学、艺术和科学作品作者享有相关权益,立法者在著作领域贯彻了按劳分配制度。在司法层面,法院适用相关法律来保护劳动者的权益,执行按劳分配制度。
洛克(2007年版)认为,在上帝给予人类的、为人类所共有的东西中,只要个人使任何东西脱离自然状态,他就已经掺进他的劳动,因而使它成为自己的财产。通过劳动,个人就使得一件东西脱离了自然所安排给它的一般状态,从而排斥了其他人的共同权利。[14]
相比之下,数据企业以创造物质财富为目的,利用现代科技手段记录各种个人信息,并对其进行大数据分析、挖掘和利用,最终创造出新的经济价值。显而易见,数据企业的行为是符合前述劳动定义的,因此,个人信息的经济价值似乎就属于数据企业(牛彬彬,2020)。[15]然而,这种观点也与洛克的劳动价值论相冲突。洛克(2007年版)讨论的是人们如何能够把人类共有的东西变成自己的财产,在他看来,世界是人类共有的,由勤劳和有理性的人们利用,而劳动就使人取得对土地和其他共有的东西的权利。任何人只能对原来人类所共有的东西据为己有,而不能通过劳动来获得他人所有的东西。[14]按照这种看法,只有在自然人的个人信息由人类共有的情况下,企业才有权进行收集并使其成为自己的财产。那么,人们的个人信息是否为人类共有呢?洛克(2007年版)在其所处时代不可能对此展开探讨,但明确指出个人对自己的人身享有所有权,除他以外的任何人都没有这种权利。[14]本文认为,个人信息构成人身的延伸,原则上应该和人身一样归个人所有。退一步而言,即便我们暂时放弃个人信息归个人所有的观点,无论如何,个人信息不可能属于全人类所有,否则个人不可能有任何隐私,这无疑将违反最基本的常识。由此可见,由于个人信息并非人类共有的东西,数据企业并不能够依照洛克的劳动价值论,基于其收集和利用行为而获得相应的权利。
综上,从按劳分配的视角看,个人的日常行为不构成作为分配依据的劳动,个人不能基于自己的日常行为而享有个人信息之上的经济价值。对企业而言,其只能通过劳动,将属于人类共有的东西变为自己的财产,鉴于个人信息并非为人类所共有,因此,企业收集个人信息的行为并不导致其获得相关权益。可见,从宪法规定的分配制度中,得不出个人信息的经济价值应当归属于哪一主体的结论。
(三)经济发展
促进经济发展是国家应当追求的一个重要目标,这在《宪法》文本中有多处体现:序言第七段规定要发展社会主义市场经济,把中国建设成为富强、民主、文明的社会主义国家;宪法第一章第7、8、11条分别规定国家保障国有经济的巩固和发展,鼓励、指导和帮助集体经济的发展,鼓励、支持和引导非公有制经济的发展。此外,第一章第14条规定国家发展社会生产力;第二章所规定一系列社会基本权利保障水平的提高,也以经济发展为前提。鉴于促进经济发展的宪法目标对所有公权力行为有拘束力,立法者作为公权力行使者,应当确保法律规定有利于这一目标的实现。基于这一原理,在规范个人信息经济价值归属时,立法者应当采取最有利于经济发展、更有利于信息经济发展的制度设计。
如果在个人信息之上设立财产权益并将其赋予数据主体,则将导致两个问题。(1)由于数据企业只有经过用户同意之后才能够获取并利用个人信息,在用户不同意的情况下,个人信息无法流通到数据企业,后者巧妇难为无米之炊,也就无法创造社会财富,而这又进一步减损了个人信息原本具有的价值(纪海龙,2018)。[16](2)即使在用户同意、个人信息能够流通到数据企业的情况下,这种制度安排使得企业需要承担额外成本。这一成本包括支付给数据主体的对价以及交易成本。在成本增加的情况下,数据经济的发展将受到影响。特别需要指出的是,如果数据企业支付给用户的对价,只是一个社会内部的分配问题,并不增加或者减少社会财富的总量,那么,数据企业承担的交易成本,则直接导致社会财富总量的减少。根据科斯定理,交易是有成本的。为了提高资源分配效率,应当将资源分配给最能够对其进行高效利用的主体,从而使得整个社会节约相应的交易成本。根据这一原理,如果直接将个人信息的经济价值分配给数据企业,则数据企业无须与数据主体进行交易,从而使得数据企业、也就是整个社会无须支付交易成本。相反,如果将相关权益赋予个人,则数据企业首先需要与个人进行交易,从而间接使得整个社会来承担(本来可以避免的)交易成本。
由此看来,为了使个人信息这一生产要素得到有效利用,促进数据经济的发展,避免交易成本,个人信息的经济权益应当赋予数据企业来享有,即应当允许企业在未经用户同意的情况下直接进行个人信息的收集和利用,以此促进经济发展。
然而,上述分析没有全面考虑社会财富创造过程中的所有成本,得出的结论并不正确。只有在社会整体的产出大于成本的情况下,才产生新的社会财富。在判断产出是否大于成本时,应当将所有社会成员承担的所有成本统计在内,而不能只限于关注企业承担的成本。就数据企业利用个人信息进行的精准广告投放、甚至进行互联网诱导行为而言,在评估其对社会财富增长的贡献时,应当将企业、用户和公众等所有主体承担的所有成本考虑在内。前述分析只考虑数据企业所承担的成本,而忽略了用户和公众承担的成本。对个人而言,在其个人信息泄露之后而收到的定向邮件、电话、手机短信推销和电脑弹出广告,往往构成极大的干扰。不堪其扰的用户往往投入时间精力学习如何防范定向广告,甚至付费购买防止骚扰广告的服务。由此可见,如果允许企业免费收集和利用用户的个人信息,虽然能够为企业本身带来经济收益,但这种模式只是将成本转嫁给用户和公众,其对社会财富增长的贡献是存疑的。从这个角度来看,允许企业无偿使用他人个人信息的商业模式存在严重的外部性问题,即企业享有全部收益,但是没有承担全部成本。为了解决这个问题,唯一的办法就是外部成本的内部化,即明确由信息主体享有其个人信息的经济利益,从而使得企业必须支付对价才能够利用他人个人信息。通过这一机制,就能够确保企业承担所有成本。从社会整体的角度来看,只有在企业支付对价之后仍然能够实现盈利的情况下,才增加了整个社会的共同财富。当然,将个人信息的经济权益赋予数据主体的确会导致交易成本的增加。然而,鉴于直接将相关权益赋予数据企业的情况下,将导致数据经济行业的野蛮生长,对个人权益产生过大消极影响,因此,两害相权取其轻,增加由整个社会承担的交易成本,仍然是合理的。
(四)平等原则
从基本权利的角度来看,应当关注宪法平等条款提出的规范要求。《宪法》第33条第2款规定公民在法律面前一律平等,这既保障了公民的一项基本权利,同时也确立了公权力应当遵守的一项重要宪法原则。平等条款要求国家对实质相同情况同等对待,对实质不同情况进行区分对待。当然,世界上没有两片完全相同的树叶,任何两种情况之间必然存在差异。判断两种情况属于实质相同或者不同情况,关键在于有关差异在具体语境中是否具有法律意义;如果答案是否定的,两种情况就是实质相同的,应当相同对待;相反,如果有关差异具有法律意义,则相关情况属于实质上不同情况,应当区分对待。基于这一原理,下文分析个人信息分别与肖像、与商业秘密是否属于实质相同情况,是否应当予以相同处理。
个人信息和肖像是否属于实质相同情况?两者无疑都可以用来盈利:数据企业利用个人信息进行大数据挖掘而产生增值数据、发布定向广告,得以实现经济利益;传统企业使用他人肖像用于广告宣传,可以提高产品知名度,提高营销业绩。由此看来,两者都具有经济价值,在这一点上两者具有共同点。与此同时,两者之间也存在一些差异。首先,肖像是一种特别的个人信息,个人信息包括但不限于肖像;其次,实践中通常只有名人的肖像才具有广告价值,肖像权实际上只构成对名人的保护;最后,名人肖像权的经济价值较高,而普通用户的个人信息通常只具有较低价值。那么,这三点差异是否构成本质上的差异,使得个人信息和肖像应当区分对待呢?(1)肖像和个人信息之间的种属关系恰恰表明,肖像和其他个人信息之间并不存在性质上的差异,而只是在类型上的差异。(2)如果只保护肖像而不保护其他信息,则事实上只对名人提供保护,这并不符合法治文明发展进程中越来越多主体享有权利的发展规律。(3)肖像和个人信息虽然在经济价值大小上存在差异,这一差异只是程度上的差异,并非实质上的差异。这一程度上的差异没有法律意义,无论个人肖像和其他个人信息的经济价值大小,都应当受到平等保护。
继续分析个人信息和商业秘密是否构成实质相同情况,应当予以相同处理。企业的商业秘密、信息主体的个人信息都具有经济价值,在这一点上两者是相同的。两者之间主要存在两个不同之处。首先,企业商业秘密的价值通常远远高于单个信息主体的个人信息的价值。不过,这种区别只是程度上的区别,并非性质上的区别,因此并不导致个人信息和商业秘密具有本质差异;其次,商业秘密通常并不具有人格维度,而个人信息则与个人人格密切相关。从这一点上能够推导出一个结论,即对个人信息应当提供更强的保护,而不是在更低水平上给予保护。由此看来,既然企业可以享有商业秘密的经济价值,信息主体也应当可以享有其个人信息的经济价值。
总之,个人信息与自然人肖像之间、与企业商业秘密之间具有较多相同之处,有关差异并非实质上的差异。既然肖像和商业秘密的经济利益都归肖像权人和商业秘密持有人所有,那么,根据平等原则,个人信息的经济价值也应当归信息主体所有。
四、实证法的不足
以上研究表明,从按劳分配制度进行分析,不能够得出明确的结论;从社会主义制度、经济发展和平等原则的角度来看,应当将个人信息的经济价值分配给信息主体。宪法上的这一要求应当在实证法上予以落实。下文考察现有实证法是否能够保障信息主体享有其个人信息的经济价值。尽管《中华人民共和国民法典》(以下简称《民法典》)专章对个人信息的保护做出了规定,但是由于其并没有对个人信息的权益归属做出明确安排(程啸,2020)。[17]因此,在中国现有的法律秩序中,对个人信息经济利益的保护仍然需要依靠人格权法和合同法的具体规则来予以落实。下文分别对人格权法和合同法对个人信息的经济利益的保护进行考察。
(一)人格权法
相关法律和最高人民法院司法解释在一定程度上对个人信息的经济价值提供了保护。《中华人民共和国侵权责任法》(以下简称《侵权责任法》)第20条规定数据企业擅自收集和使用用户个人信息的行为可能构成对人身权益的侵害,从而触发赔偿责任。最高院发布的两个司法解释,对这一问题做出了更为具体的规定。2001年《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》规定了在什么情况下人民法院应当判决侵权者承担精神损害赔偿责任。根据该解释第8条规定,在因侵权致人精神损害,造成严重后果的,人民法院可以判令侵权人赔偿精神损害抚慰金。这一规定所体现的思路,在2014年通过的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条中得到了进一步的具体化。该条规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。”根据这一规定,公开个人隐私和其他个人信息并造成他人损害的,构成侵权,应当承担侵权赔偿责任。综合《侵权责任法》和以上两个司法解释的规定来看,数据企业公开用户个人信息造成财产或者精神损害的,应当承担赔偿责任,相关法律和司法解释的规定为个人信息的经济价值提供了一定的保护。
然而,这种保护存在重大不足。《侵权责任法》及上述两个司法解释对侵权责任规定了严格的要件。根据2014年司法解释,只有数据企业公开个人信息,并且造成损害,才承担侵权责任。换言之,企业只要不公开个人信息,即便造成了损害,也不用承担侵权责任。在信息经济的经营模式中,企业并不通过公开他人个人信息来盈利,而是通过向用户发布定向广告等方式来利用个人信息并获得盈利。根据2014年司法解释的规定,大量利用个人信息的行为并不构成侵权,不承担侵权责任,这就使得数据企业在很多情况下可以无偿利用用户的个人信息,而不用付出任何经济代价。这一制度安排的不足,充分体现在2015年“北京百度网讯科技公司与朱烨隐私权纠纷案”中。该案中,朱烨发现北京百度网讯科技公司记录和跟踪其搜索的关键词,之后对其浏览的网页进行了广告投放,朱烨诉诸法院,主张后者的行为侵犯了隐私权,要求其停止侵害并提供精神损害赔偿。南京市中级人民法院在终审判决中驳回了上诉人的诉讼请求,其在判决中提出的核心理由是上诉人没有公开被上诉人的个人信息,而且也没有造成损害,因此并不满足前述2014年司法解释第12条对侵权责任规定的两个要件。①参见江苏省南京市中级人民法院2014宁民终字第5028号民事判决书。这一判决由此确认了企业收集、利用个人信息进行盈利的行为并不侵犯个人权利,无须承担侵权责任。
此外,如果坚持用人格权法来保护个人信息,即使降低侵权责任要件的要求,取消公开个人信息的要件,并且对造成他人损害的要件进行从宽解释,也无法充分保障信息主体享有其个人信息之上的经济利益。这一格局是由人格权法的基本逻辑所决定的。人格权不可由权利主体自由处分,因此,在人格权框架内,信息主体不能有偿授权他人利用自己的个人信息。在个人信息被数据企业侵犯的情况下,信息主体有权请求对方承担赔偿损害等侵权责任。然而,损害赔偿只是对人格权的救济,而并非对利用个人信息的对价。在这种制度安排之下,信息主体就处在一个尴尬的境地:其不得在人格权的框架内,无法以有偿授权他人使用的方式,来实现自己个人信息的经济价值;在信息主体因个人信息被侵犯而得到损害补偿的情况下,虽然实现了一定的经济利益,但这同时又伴随了对其人格权的侵犯。要走出这一困境,使得信息主体在其人格权得到保全的情况下能够实现个人信息之上的经济利益,就必须允许信息主体对自己的个人信息进行处置,允许其有偿授权数据企业进行收集和利用,从而实现相关经济利益。由此看来,人格权保护机制不能够为信息主体实现其个人信息的经济价值提供适当的制度框架(谢远扬,2015)。[18]
(二)合同法
在实践中,一些数据企业为了建立和维护良好企业形象、降低法律风险等目的,主动在其使用协议中让用户选择是否同意企业收集和利用其个人信息,并向同意的用户提供免费服务,以此作为补偿。这一做法似乎表明合同法能够保障公民享有其个人信息之上的经济利益。在这一背景之下,有学者主张由合同法来规范个人信息产生的经济利益归属(梅夏英,2016)。[19]然而,基于以下原因,这一路径并不可行。在典型的交易中,买卖双方将各自所有、并处于各自实际控制之下的财产进行交换。双方通过交易,既获得原来对方所有的财产权利,同时在对方交付之后取得对有关客体的占有。因此,获得财产权利、取得占有,是交易的两项内容。例如,在常见的一手交钱一手交货的买卖合同中,价款和货物在交易之前分别为买方和卖方所有,并受到他们各自的控制。买方为了取得对方所有并控制的财产,只能通过缔结合同,使得卖方在收到价款之后向买方进行交付,从而取得财产的所有权和占有。然而,如果在某一客体之上并不存在财产权利,那么,实际控制人和任何其他人对有关客体都不享有财产权。既然在这个客体之上并不存在他人的财产权利,实际控制人也就不可能、也没有必要与他人就财产权利转让达成一致,以便取得自己所控制的客体之上的财产权利。实际控制人对有关客体不享有财产权,他人对有关客体也不享有财产权,所以,实际控制人对有关客体的支配不会侵犯任何人的财产权,根据法无禁止即自由的原理,实际控制人对有关客体的支配实际上就不受限制。个人信息的收集和利用就呈现了这种情况。与货物买卖合同中的客体相比,大数据时代的个人信息呈现了两个特点。一是实证法目前并没有规定个人信息之上存在财产权,因此,收集和利用他人的个人信息,并不侵犯任何人的财产权。如前所述,相关行为人只需要避免因公开个人信息而侵犯信息主体的相关人格权,就不用承担法律责任。二是个人信息不处于信息主体自己的控制之下,而是处于数据企业的实际控制之下。数据企业并不依赖信息主体对其进行交付,所以也就没有必要就个人信息的交付而与信息主体达成协议。
综上所述,既然个人信息之上并不存在信息主体的财产权利,而且数据企业并不依赖于用户根据协议进行交付的方式来获得个人信息,而是有能力直接利用技术手段收集个人信息,那么,数据企业就无须与信息主体协商一致来获得(实证法尚未确认的)个人信息之上的财产权,以及对个人信息的实际控制。在这一背景之下,合同法并不能够保护信息主体享有其个人信息之上的经济价值。是否通过达成协议的方式来获得信息主体的授权,企业能够自主进行选择。为了降低法律风险,遵纪守法的企业往往会选择与信息主体达成协议。但对于不重视自身行为正当性、不充分尊重用户可能权利、致力于控制成本的数据企业而言,未经授权而直接收集和利用他人的个人信息,是一个符合经济人假设的理性做法。针对此类企业的行为,合同法完全不能够提供相应保护。由此可见,与人格权类似,通过合同法上的机制并不能够保障公民享有其个人信息之上的经济利益。
五、法政策学解决方案
既然实证法上人格权法和合同法并不能够保护信息主体享有其个人信息的经济利益,那么,立法者就应当积极作为,填补这一空白。
(一)模式选择:财产规则还是责任规则
立法者为了保障信息主体享有其个人信息之上的经济利益,应当采取何种模式?通常而言,为了保护一个法益,立法者可以在财产规则和责任规则之间进行选择(Balabresi和Melamed,1972)。[20]这两种规则的原理有所不同:根据财产规则,立法者将特定法益规定为一项由权利主体自由处分的财产权。原则上,权利人可以通过市场交易磋商相关条件,并在达成一致时向他人转让自己拥有的财产权。侵犯他人财产权的,应当承担侵权责任;与此不同,在责任规则之下,立法者并不将受保护的利益规定为财产权,而是规定为原则上不可处分、不可让渡的权利如人身权。个人不能通过协商一致的方式,将适用责任规则的权利授予他人。当这些权利受到他人侵犯时,侵权人承担由立法者所确定的、不容当事人双方协商确定的侵权责任。究竟应当通过财产规则还是责任规则来保护一项法益,需要考虑效率、分配正义、避免对个人和公众的损害等因素。大体而言,对于性质上可让渡的法益,可以适用财产规则;对于性质上不可让渡的法益,则适用责任规则较为妥当。通常而言,对经济利益可以适用财产规则加以保护;对人格利益则通常适用责任规则。
那么,个人信息的保护应当适用财产规则还是责任规则?目前实证法根据责任规则,通过人格权机制对个人信息进行保护。《侵权责任法》和《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等规范对涉及个人信息的侵权行为规定了相应的法律责任。学术界也普遍认同通过责任规则来保护个人信息的制度安排。然而,这并不意味着不得再通过财产规则来保护个人信息。具体而言,在个人信息之上,既存在不可让渡的人格利益,也存在可以让渡的经济利益。对于人格利益,现有立法、司法解释以规定侵权责任的方式予以保护是适当的;对于经济利益,就应当通过财产规则予以保护,立法者应当将个人信息规定为某种可以由信息主体处分的财产权,使其能够通过市场交易的方式,向数据企业转让有关权利。
总而言之,在立法者已经通过责任规则对个人信息之上的人格利益进行保护的情况下,还应当根据财产规则,对个人信息之上的经济利益进行保护。
(二)个人信息所有权
为了通过财产规则来保护个人信息之上的经济利益,立法者应当在个人信息上设立某种财产权。各种财产权中,所有权无疑是最典型、最常见、也最为人所熟悉的权利类型。在日常生活中,“我的个人信息属于我”的观念也易于为人们所接受。有鉴于此,规定信息主体对自己的个人信息享有所有权并享有相关经济利益,似乎是一个自然而然的制度安排。与此相应,有学者主张确立公民对其个人信息的所有权,或者类似于所有权的权利,肯定公民对自身信息享有占有、使用、收益、处分的权利(汤擎,2000)。[21]这一类主张是否具有可行性,有待进一步分析。
所有权作为一种物权,其客体是(有体)物。物天然地具有排他性,能够为权利主体独自占有。通常情况下,物的所有人占有该物,从而使得物的占有同时具有公示权利归属的功能。与物不同,信息可以同时为多人占有和使用,不具有竞争性。基于信息和物之间存在的这一差异,一些所有权规则可以适用于个人信息,另外一些所有权规则则明显不能适用。例如,出卖人的物的瑕疵担保责任规则适用于个人信息交易,并无不妥。无论交易对象是物还是个人信息,转让人都要确保物或者个人信息是没有瑕疵的。此外,将物的继承规则适用于个人信息,也未尝不可。以电子邮件、微信上的聊天记录、在朋友圈发布的信息以及与微信好友就此发生的互动为例,这些个人信息与传统的书面信件并没有本质上的区别。既然逝者的书面信件可以作为遗物予以继承,那么,对电子邮件、微信账号密码所能够访问的相关内容适用物的继承规则,并无不妥。
然而,与瑕疵担保责任规则、继承规则不同,物上所有权的救济规则无法适用于个人信息。物上所有权对物的保护包括两个方面,一是保护物的完整状态,二是排除他人使用。第一种保护无疑对个人信息也可以适用:损毁物和删除、篡改个人信息的侵权行为并无性质上的差异,完全可以适用相同的责任规则。比较困难的是如何对个人信息提供第二种保护。如前所述,物的特点之一在于其使用具有竞争性,一人的使用行为将排除所有其他人的使用行为。但是,信息可以无限复制,其使用并没有排他性,他人使用信息,并不会影响本人和其他人使用相同信息。甚至,公民往往无法知悉、更无法排除他人非公开收集、使用自己的个人信息。基于这一原因,物上所有权的第二种保护对个人信息无法适用。
总之,尽管物上所有权的瑕疵担保责任、继承规则等相关规则能够适用于个人信息,但是物上所有权救济规则无法适用于个人信息。基于这一理由,立法者不宜将个人信息纳入所有权的客体范围,无法通过所有权机制保护公民享有其个人信息之上的经济利益。
(三)个人信息财产权
既然有体物上的所有权制度不适用于个人信息,下文继续考察财产权体系是否提供了其他可以适用的制度框架。鉴于有形财产权之外还存在无形财产权,下文在无形财产权制度框架内,探讨对个人信息的经济价值予以保护的可行性。
在无形财产体系中,知识产权制度具有一定的借鉴意义。作为知识产权的客体,智力成果与个人信息之间存在两个共同之处:首先,个人信息和智力成果都有经济价值;其次,智力成果和个人信息都不具有物质形态。基于个人信息和智力成果之间的相同点,本文主张立法者参照知识产权制度设立个人信息财产权。依据这种新型的无形财产权,个人可以通过有偿授权数据企业收集和利用其个人信息等方式,享有其个人信息之上的经济利益。
具体而言,企业只有在取得个人的授权之后,才可以收集和利用其个人信息,并且只能将其用于约定的目的。在企业的行为未经授权或者超出授权时,即便没有以公开公民的隐私和个人信息的方式侵犯人格权,其行为也构成了对个人信息财产权的侵犯,应当承担相应法律责任。为了获得个人的授权,企业需要与个人进行协商,通过提供货币补偿、无偿服务等对价,促使个人做出授权。企业可以通过格式合同,向所有潜在用户提出统一的要约;鉴于不同用户的个人信息对企业具有不同的价值,企业也可以向用户提出不同对价的要约,尽可能地与用户达成一致。个人自由决定是否授权他人为了何种目的收集和使用其个人信息,而一旦进行授权,就向企业转移了收集和利用其个人信息的权利;当然,公民有权拒绝数据企业以获得其授权为目的的任何要约,拒绝做出相应授权。
对于这一主张,反对者可以提出四个质疑。第一个质疑的依据立足于智力成果和个人信息之间的一个重大区别,即智力成果是基于智力劳动形成的,而个人信息是日常生活中自然形成的,并不需要智力投入。那么,两者之间的这一区别,是否意味着无法在个人信息上设立无形财产权呢?本文认为答案是否定的。两者之间的区别,只能说明不宜直接将个人信息纳入知识产权的客体范围,否则将违反知识产权保护智力成果的基本逻辑,但并不能由此主张不得在个人信息之上设立其他类型的财产权。事实上,知识产权和个人信息财产权具有不同的宪法基础:知识产权体现了《宪法》第6条规定的按劳分配原则,即付出智力劳动者享有相应的知识产权,而个人信息之上的经济利益归信息主体所有的制度安排并非按劳分配原则的要求,而是基于上文第二部分指出的社会主义制度、经济发展和平等原则等方面的宪法考虑。
第二个质疑是从权利救济的角度提出的。根据一种观点,对智力成果的非法利用和流通原则上是可以识别的,因此可以救济(梅夏英,2016)。[19]然而,实践中数据企业往往在用户不知情的情况下搜集和利用个人信息,个人信息的利用和流通很难由信息主体所识别,也就无法寻求救济。因此,既然对个人信息的收集和利用难以识别,适用于知识产权的保护机制就不能适用于个人信息,从权利救济的角度来看,参照知识产权制度设立个人信息财产权是不可行的。然而,这一观点也经不起推敲。事实上,实践中要识别对智力成果的侵犯也具有一定难度。虽然大规模的、公开的侵犯知识产权的行为容易识别,但是小规模的、秘密的侵权行为则难以识别。例如,个人完整复印一本书固然侵犯了作者的著作权,但著作权人几乎不可能发现并追究这种侵权行为;正版软件商要发现并追究个人电脑上安装盗版软件的侵权行为,也面临重重障碍。因此,侵犯智力成果的行为并非都可识别、可以有效救济。相反,收集和利用个人信息的行为虽然比较隐蔽,可识别性较低,然而,随着用户对数据经济商业模式的了解,人们越来越能够知悉数据企业进行的个人信息收集活动。在收到量身打造的个性化定向广告时,用户不难判断数据企业使用了其个人信息。
围绕财产的可交易性,反对者可以提出第三个质疑。人们认识到,通过自由市场交易,财产得以流动到最有能力对其加以利用的人手中,发挥最大效用。在这种意义上,财产的自由交易能够提高资源利用效率,促进社会生产力的发展。有鉴于此,有学者主张可交易性是财产的一个必要要件,不符合这一要件、即不可交易的事物不构成财产(劳森和拉登,1997年版)。[22]根据这种观点,在个人信息之上是否可以设立财产权,要看个人信息是否具有可交易性。鉴于非法攫取并在黑市出售个人信息的行为受到法律严格禁止,个人信息是不可交易的,也就不可能构成财产的客体,否则存在非法个人信息交易合法化的风险。以下从两个方面对这种质疑进行反驳:(1)可交易性并非财产的一个必要要件,不可交易的事物也可以构成财产权的客体。财产的价值并非只能通过交易实现,其占有、使用、收益也是同等重要的权能。在一个物品并不能够交易的情况下,并不影响其构成财产的客体。与此相应,即使个人信息不可在市场上自由交易,也不能据此得出个人信息不能成为财产客体的错误结论。(2)个人信息并非不可交易。实际上,在非法个人信息交易受到法律制裁的同时,实践中已经大量存在合法的个人信息交易了。数据企业往往在用户协议中由用户选择是否同意企业收集和利用其个人信息,并向做出同意表示的用户提供无偿服务,这一过程实质上就构成了个人信息交易。
还有学者从人格利益平等保护的角度,提出了第四个质疑,即个人信息保护的目的是维护个人的人格平等。鉴于人们的个人信息具有不同的价值,因此,如果设立个人信息财产权,则不利于人格利益的平等保护(王利明,2013)。[23]本文认为,个人信息之上同时存在人格利益和经济利益,分别适用通过人格权和财产权予以保障,这就使得人们的人格利益能够得到平等保护,与此同时,信息主体可以通过行使财产权,实现各不相同的个人信息经济价值。总之,个人信息与智力成果具有相似性,立法者参照知识产权制度设立个人信息财产权是切实可行的,有关质疑并不成立(刘德良,2008)。[25]
六、结语
个人信息中同时存在人格利益和经济利益,对于其人格利益,当然由个人所享有,并由人格权法的相关规则予以保障。从宪法层面来看,相关经济利益也应当由个人所享有,这就意味着赋予个人以信息财产权具有正当性。在既有实证法体系内,对个人信息的保护主要是通过责任规则来实现的,但责任规则只能实现对个人信息中人格利益价值的保护。个人信息中的经济价值的保障,仍然有待通过财产规则来落实。《民法典》尽管对个人信息的保护做出了原则性的规定,却没有对个人信息的权利属性及其权益的归属做出明确的规定。未来立法应当遵循《宪法》对个人信息保护的价值指引,完善个人信息相关权益的保护,明确个人信息的人格权利和财产权利的双重属性,在既有的个人信息人格利益的责任规则保护模式之外,再通过财产规则模式对于个人信息中的经济利益予以保护。
