大数据时代的权利演进与竞合:从隐私权、个人信息权到个人数据权
2021-09-17李思言
郑 飞 李思言
随着大数据时代的到来,固有权利的时代局限性导致其在运用时易出现困境,因此,基于大数据时代的新型权利需求喷涌而出。但新型权利与固有权利之间存在着一定联系,并不完全相互独立。隐私权、个人信息权与个人数据权三者之间的关系便是如此。一部分学者认为个人信息等于个人数据,不存在新型的个人数据权①参见齐爱民、张哲:《识别与再识别:个人信息的概念界定与立法选择》,《重庆大学学报(社会科学版)》2018年2期;陈敬根、朱昕苑:《论个人数据的法律保护》,《学习与实践》2020年第6期;时明涛:《大数据时代个人信息保护的困境与出路——基于当前研究现状的评论与反思》,《科技与法律》2020年第5期。;另一部分学者认为个人数据权与个人信息权是不同的,二者之间虽然存在竞合但却是互相独立的权利。②参见周斯佳:《个人数据权与个人信息权关系的厘清》,《华东政法大学学报》2020年第2期;彭诚信、向秦:《“信息”与“数据”的私法界定》,《河南社会科学》2019年第11期;李勇坚:《个人数据权利体系的理论建构》,《中国社会科学院研究生院学报》2019年第5期。2021年公布的《中华人民共和国个人信息保护法(草案二审稿)》(以下简称“《草案二审稿》”)明确了个人信息权的保护范围。同样,2021年9月1日起施行的《中华人民共和国数据安全法》也明确了数据权的保护范围,其中的数据权当然包含了个人数据权。个人信息权与个人数据权的权利范围不明隐含着竞合的可能。③《中华人民共和国数据安全法》第3条指出,其所保护的数据指任何以电子或非电子形式对信息的记录,其中当然包括个人数据;《草案二审稿》第4条指出,其保护的个人信息包括以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。由于信息与数据为内容与载体的关系,该法实质上涉及个人数据的保护。此外,在欧盟《一般数据保护条例》(General Data Protection Regulation)(以下简称“《条例》”)中,数据与信息混用,或提出数据包括了信息与隐私,或将数据与信息的内涵混同①参见欧盟《条例》第26条。,其立法用语的混乱体现了立法者对于二者关系的不确定,若《条例》制定者一概认定数据与信息概念等同,何以出现正文中二者混用的情形?在司法实践中,个人数据侵权案件或以个人信息权受损定案处罚,或以不符合《中华人民共和国民法典》(以下简称“《民法典》”)个人信息权而不予保护等情况,实际上也体现了个人数据权与个人信息权的竞合问题。②笔者在北大法宝网分别以隐私、个人信息为案件题目作为检索条件,民事判决书作为限制条件,共搜索隐私侵权案件631件(其中简易程序331件),个人信息侵权案件12件,符合上述观点的案件有23件。其中“朱某诉百度网讯科技有限公司Cookie隐私案”,江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书;“顾某与奇智软件(北京)有限公司等隐私权纠纷上诉案”,浙江省杭州市中级人民法院(2014)浙杭民终字第1813号民事判决书,具有代表性。http://www.pkulaw.net/,2021年5月23日访问。
其实,从隐私权到个人信息权也出现过类似争论,但学界目前已然达成共识,认为二者和而不同,各自有存在的必要。③观点一认为,个人信息即为网络上的隐私,二者相同,应适用一法。参见梅绍祖:《个人信息保护的基础性问题研究》,《苏州大学学报(哲学社会科学版)》2005年第2期;陈起行:《资讯隐私权法理探讨——以美国法为中心》,《政大法学评论》2000年第2期,转引自齐爱民:《论个人信息的法律保护》,《苏州大学学报》2005年第2期。观点二认为,个人信息与隐私不同,是一种新权利。参见齐爱民:《论个人信息的法律保护》,《苏州大学学报》2005年第2期;王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期。现存的观点基本统一为二者和而不同,以王利明教授为代表。参见王利明:《和而不同:隐私权与个人信息的规则界分和适用》,《法学评论》2021年第2期。由此可见,从隐私权到个人信息权再到个人数据权,每一次权利的演进都会引发学界的争论。不过,现有文献却忽视了在宏观层面梳理从隐私权到个人信息权再到个人数据权利的演进逻辑。本文将探究大数据时代下三者的演进路径和内在逻辑,并为三者之间可能存在的竞合问题提供相应的解决机制。
一、大数据时代的权利演进
(一)发端:传统时代的隐私权
美国学者艾伦·德肖维茨指出:“权利来自于人类经验,特别是不正义的经验。我们从历史的错误中学到,为了避免重蹈过去的不正义,以权利为基础的体系以及某些基本权利(例如表达自由、宗教自由、法律平等保护、正当法律程序与参与民主)至关重要。”④[美]艾伦·德肖维茨:《你的权利从哪里来?》,黄煜文译,北京大学出版社2014年版,第8页。19世纪美国大众传播媒介大量登载桃色新闻和庸俗的流言,这使公众受到侵犯个人隐私所带来的极大精神痛苦⑤参见张新宝:《隐私权研究》,《法学研究》1990年第3期。,由此促使隐私观念的兴起以及隐私权的形成。基于这样的时代背景,隐私权保护的内容是住宅安宁、通信秘密以及其他不愿被他人知悉的秘密。与此同时,由于互联网技术对公众生活介入较小,使得隐私权具有不同于后来的个人信息权与个人数据权的三个明显特性。
首先,隐私权保护范围狭小,主要原因在于传统时代权利客体范围狭小。不同于个人信息或个人数据,隐私局限于不愿意为他人所知悉的秘密。我国隐私权保护初期,立法大多以列举的方式对隐私保护作出了相关规定⑥隐私立法初期,最早的隐私保护体现于刑法分则,即1998年修正的刑法典之中。《中华人民共和国刑法(1998修正)》(已被修改)第245条非法搜查罪、非法侵入住宅罪,第252条侵犯通信自由罪,第253条私自开拆、隐匿、毁弃邮件、电报罪盗以及窃罪,均是早期对于隐私保护的体现。2005年的《妇女权益保障法》正式规定了隐私权这一权利。,这主要是因为权利客体范围狭小,侵权方式单一。同时,隐私具有高度秘密性与可辨别性,极易与其他一般信息、事物划分界限,因此,隐私权的保护范围也具有一定的明确性。
其次,隐私权的权利属性单一,主要突出人身属性,原因在于隐私权所侵犯权益的特殊性与个人本位观念的盛行。当政府、报社散播人们隐私时,受害者受到的更多是人格侮辱而非财产或其他损失,其后果也并不主要是可以衡量的财产性损失而是精神刺激。同时,个人本位观念的盛行使得立法更偏向于对个人的保护。因此,隐私权自始便具有单一人身属性。
最后,权利行使的被动性。一般而言,私权的行使大多具有被动性,隐私权也不例外。这是由于隐私权制度的重心在于防范个人的秘密不被披露,而不在于保护这种秘密的控制与利用,因此,权利人通常只有在隐私遭受侵害时才能提出主张。隐私权行使的被动性是由多方面的原因造成的,一是在传统时代背景之下,权利人对于隐私的控制具有绝对性。不同于互联网甚至大数据时代个人信息与个人数据控制的泛化危机,传统时代权利人对于隐私的控制是确定和完全的,绝对的控制权使得个人在面临侵权危险时自然拥有主动防御的权利,不仅仅只依赖于法律的救济。二是侵权的有限性。侵权的有限性体现在两个方面,包括侵权方式的有限性和后果的局限性。侵权方式的有限性使得权利人有明确的方式方法来防止自己的权利受到侵害,而后果的局限性则让权利人的救济更容易得以实现。
总的来说,传统时代下的隐私权从功能上达到了传统时代隐私保护的需求,但其过于明确的界限、单一的属性和被动的权利特性也容易遭受时代变革的冲击。
(二)演变:互联网时代的个人信息权
互联网时代与传统时代最大的不同在于互联网的普及,而相同之处在于人们对隐私的保护同样重视甚至略有胜之。以个人信息作为案件名称通过北大法宝网进行检索,可以发现,从2010年开始便有7起审结案件与个人信息侵权有关,此后相关案件数量日益增长,至2021年3月已审结的个人信息侵权案件达215件。与侵犯个人信息案件不同的是,侵犯隐私权案件自2010年到2021年3月一共才1 500件左右,与个人信息案件中2019年审结数量的一半相差无几,具体情况参见图1。①数据来源:北大法宝案例检索。以隐私权和个人信息为案件名称作为检索条件,检索时间限制为2010年至2021年。https://www.pkulaw.com/case/,2021年3月16日访问。这组数据表明,自互联网兴起之后,个人信息保护更加受到人们的重视。之所以是个人信息而不是隐私权,主要是因为互联网时代传统的隐私权保护已不足以满足人们对于人身权保护的需要。
图1 2010-2021年个人信息案件审结数量变化图
技术的进步导致思想观念与权利需求的变化,与之相对,传统权利的应用必然会出现缺漏。首先,传统隐私权的边界过于狭小。隐私权的范围限缩在“不被任何人知道的秘密”的范围之中,像电话号码、身份证号等在互联网时代更为重要、更易被侵犯的私人信息却被排除在隐私保护的高墙之外。传统隐私权的保护范围已然无法涵盖互联网时代下衍生的新型权利需求。其次,隐私权的单一属性受到了多重属性的冲击。在互联网时代下,随着互联网与现实生活的不断嵌入,网络用户的不断增加,用户信息成为一项重要资产,倒卖个人信息不仅仅侵犯了人身权,同时也使得个人财产权受到了侵犯。②例如,“谢某等侵犯公民个人信息、盗窃案”,福建省龙岩市新罗区人民法院(2017)闽0802刑初514号刑事判决书;“刘某某侵犯公民个人信息案”,河南省平顶山市新华区人民法院(2020)豫0402刑初23号刑事判决书;“逯某、梁某3诈骗案”,湖北省黄石市西塞山区人民法院(2018)鄂0203刑初27号刑事判决书;“杨某某、郝某某、肖某某、田某某、张某霞、张某日犯诈骗罪案”,四川省广元市中级人民法院(2016)川08刑终95号刑事判决书;“赵某某、班某某诈骗案”,河北省石家庄市中级人民法院(2020)冀01刑终254号刑事裁定书;“徐某某、宋某某诈骗案”,河南省邓州市人民法院(2019)豫1381刑初1065号刑事判决书等。归根结底,互联网时代下的个人信息不再是单一的人身属性,而是蕴含了一定财产属性的个人信息。最后,权利行使被动性的不足。隐私权人隐私控制的绝对性、侵权的局限性给隐私权被动救济的创设创造了条件,但在互联网时代前述两个条件都无法成立。一是信息控制削弱,个人对于信息的控制并不如个人对于隐私的控制力强,个人信息控制的泛化使得个人丧失了自我救济的权利;二是侵权后果的变化,与普通的人脑相比,互联网作为一个超级大脑,所谓永不褪色的记忆使得侵权的后果较之以往更为严重,因此需要赋予一定的事前防御权利。
由此,即便隐私权与个人信息权均可归入人身权,但二者仍然存在本质不同。从隐私权演变到个人信息权,立法首先是扩大了个人信息权保护的范围,将可识别性作为个人信息的界定范围,同时仍然着重于保护人身权利,其次在救济方面,增加知情同意原则、“脱敏处理”等救济方式作为主动防御,这些操作使得法律更符合现实的需求。
(三)扩展:大数据时代的个人数据权
1.个人数据权的证成
一种新兴权利的证成不能局限于论证“新”的成立①现有研究大多提供的是对于新兴权利之“新”的描述性标准。参见姚建宗:《新兴权利论纲》,《法制与社会发展》2010年第2期。,除了“新”,其证成还需要考虑现实需求、价值体现、法律逻辑、实践成本等论证因素,而证成的标准大多集中在该权利是否具有新兴性、利益性、内容特殊性与意志导向的特殊性。②参见钱继磊:《个人信息权作为新兴权利之法理反思与证成》,《北京行政学院学报》2020年第4期。当然,也不能仅从某一角度切入研究证成的标准。③现有研究也有偏向于新兴权利的某角度证成,如司法裁判证成。参见王方玉:《新兴权利司法证成的三阶要件:实质论据、形式依据与技术方法》,《法制与社会发展》2021年第1期。权利存在具有体系性,既要符合我国宪法的规定,同时,不论从立法上还是司法上都要与现存的法律体系相统一。因此,一种新兴权利的证成应当包涵从思想观念到法律逻辑、从理论到实践等全方位的证成,而雷磊教授在原有的权利证成理论基础之上提出的“一概念,两实证”证成标准与此最为贴合。④参见雷磊:《新兴(新型)权利的证成标准》,《法学论坛》2019年第3期。因此,个人数据权的证成同样可以采用上述证成标准。
“一概念”是指新兴权利证成的概念标准,即被保护的合理性。其中蕴含两方面的内容:一是利益的正当性,二是被保护的必要性。⑤同注④。个人数据权所保护的利益有两类:一是人身利益,二是财产利益。在大数据时代,互联网与个人生活联系愈发紧密,虽然个人数据呈现碎片性、开放性与不可控性,但由于大数据算法的介入,个人数据仍可以大数据画像、大数据追踪、“大数据杀熟”的方式侵犯个人的人身权益。与隐私、个人信息相似,个人数据所体现的人身权益作为人格权的一种,是为宪法所保护的利益之一。除人身利益之外,个人数据还蕴含着一定的财产利益,此特性是基于大数据时代的背景之下衍生而来的新属性。或借助个人数据来侵犯个人财产,如“大数据杀熟”;或直接盗取、泄露个人数据,达到侵犯财产权的目的,多表现为窃取公司、企业的客户数据等。除人身权益以外,财产权益也是一大宪法性权利,因而,个人数据权本身具有的人身权益与财产权益都符合宪法上利益保护的正当性。
个人数据保护的必要性,除了体现在个人权利保护的必要上,还需要考虑特定情况下个人权利较公共利益的优先性。首先,大数据时代通过个人数据侵犯人格权的成本低。科技发展带来的关联数据挖掘的算法、用户画像模型的算法以及数据处理算法等,大大降低了处理海量数据的难度。相较于信息时代处理海量数据所需的时间与人工成本,大数据时代通过个人数据侵犯人格权的成本大为缩减。其次,大数据时代侵犯个人数据权的后果严重。在大数据时代,信息的传播速度更快、范围更广、影响更大。这些特点对于人格权的保护极为不利,适用于个人信息权的撤销权在大数据时代下效果甚微,即便权利人及时行使撤销权也无法阻止危害后果的扩散。此外,大数据时代海量数据被收集在网络之中,掌控在各大企业或政府部门之中,一旦数据库泄露,所带来的危害无法估量。相较于其他权益,人格权益这样的私权较公共利益的权衡更为容易。一般情况下,法律保护个人的权利,这是因为保护类似个人信息权、个人数据权这样的私权并不会引起与公共利益的冲突。同样,其他主体对于个人数据的使用,在不侵犯私人利益的情况下合理使用并不会引起私人利益与公共权益的冲突。也即,个人数据保护的人身利益一般优于公共利益,但在特殊情况下还得因事制宜,酌情而论。
“两实证”包括权利能否被现有的法律体系容纳和权利能否被实现两个方面。被现有的法律体系所容纳,指在现有法律体系的前提之下,新兴权利是否被法律体系中的规则所规定。除被立法机构认可进而明文于法之外,还有一种容纳途径便是司法机构的渐进式入法,即虽法律无明文规定,但基于实践需要,可以由现存法律条文衍生而来。①参见雷磊:《新兴(新型)权利的证成标准》,《法学论坛》2019年第3期。对于个人数据权能否成为一种新兴权利,只需论证其是否是基于基础权利的衍生权利。笔者主张,个人数据权是人格权的衍生权利。首先,人格权包含隐私保护等内容,而隐私保护先有传统时代的隐私保护,再有信息时代的个人信息保护,至于大数据时代,与隐私和个人信息具有同样功能的个人数据自然值得保护。其次,从侵权方式来看,侵犯人格权可以通过侵犯隐私、侵犯个人信息,以及侵犯个人数据而达到,从而推出保护人格权可以衍生出隐私权、个人信息权以及个人数据权。
新兴权利能否被实现主要考虑其实现成本。个人数据权作为一种请求权,属于消极请求权,主要用于请求他人不为一定行为,只要他人不作为即可让权利人的权利得以实现,而积极请求权需要他人积极作为才能实现,因此,消极请求权的实现成本低于积极请求权。除此之外,个人数据权保护个人数据并不意味着杜绝个人数据的使用。在社会成本上,个人数据权打击的是非法、不合法使用个人数据的情况,并不禁止合理合法地使用个人数据,合理合法地行使个人数据权并不会造成社会资源的损失,毕竟个人数据已经成为一种重要的社会资源。
综上所述,个人数据权首先有成为新兴权利的价值,其次能够由现有的基础权利推导出来,并且其实现成本较低,故而可以证成个人数据权是一种新兴权利。
2.从个人信息权到个人数据权的演变
个人数据权作为一种新兴权利,是大数据时代催生的产物。大数据时代的特征是海量的数据+云计算,其不在于个人信息的处理而在于对数据集的分析处理,因此,个人数据相较于个人隐私与个人信息都有不同的特征。信息在于完整性、可用性、保密性和可控性,而数据在于碎片化、开放性、不可控性。就其特性来看,似乎个人数据并不存在被保护的必要,但看似无害的大数据集合同样会影响人们的生产生活环境②参见余成峰:《信息隐私权的宪法时刻》,《中外法学》2021年第1期。,破坏人们的生活安宁,基于宪法与民法所蕴含的权利保障理念,其同样存在被保护的价值。③参见王方玉:《新兴权利司法证成的三阶要件:实质论据、形式依据与技术方法》,《法制与社会发展》2021年第1期。在大数据时代下,个人数据权对于个人信息权的扩展,主要是由于大数据技术对于传统隐私—信息保护模式的突破,在权利需求、权利属性以及思想观念上都发生了变化。
首先,大数据时代权利需求的变化。传统的隐私—信息保护人们的主要权利需求在于对于隐私、信息的控制,强调排他性的权利④同注②。,即便个人信息本身无法做到排他性控制,但知情同意原则补足了原权利上的缺陷,增强了个人对于个人信息的控制权。而由于个人数据本身的特性,个人对于数据的控制更弱于信息。与此同时,在大数据时代背景下,数据的排他性控制变得不可能实现,不论是隐私权还是个人信息权的强控制保护方式在大数据时代都难以为继。此外,大数据技术的产生弱化了私人空间与公共空间的界限⑤同注②。,传统权利更难以在私人与公共空间之间建立起保护的高墙,只能依托于对隐私或者信息的界定而行使权利,但隐私与信息的定义仅局限于不愿为他人知悉的秘密以及强识别性信息,无法将大数据时代具有弱识别性的数据纳入保护的范围,因而,人们对于权利的需求扩展到了隐私权、个人信息权之外的权利空间。
其次,大数据时代下权利属性的变化。个人数据在大数据时代的价值堪比石油,其本身也从个人信息的层面上升到企业资产甚至国家战略安全的层面①参见邓刚宏:《大数据权利属性的法律逻辑分析——兼论个人数据权的保护路径》,《江海学刊》2018年第6期。,这使得个人数据突破了个人隐私、个人信息较为单一的属性。虽然个人数据具备了多重属性,但是传承自隐私、信息的人身属性仍然是其内核,是一种原生属性,而个人数据的财产属性和国家安全属性则是基于大数据背景之下演变而来的。但鉴于大数据技术干涉下,个人对个人数据控制能力的削弱以及私人与公共空间界限的模糊,个人数据的人身属性弱于个人信息和隐私。基于自身属性的变化,传统的隐私—信息集中于保护人身权的模式已然无法套用于个人数据。
最后,大数据时代下思想观念的变化。在大数据时代,个人数据之于个人的价值并不一定大于其之于企业、国家的价值。相反,在传统时代以及互联网时代的隐私、个人信息之于个人的价值则一定大于二者之于企业、国家的价值。因而在价值取舍上,隐私权与个人信息权的建构均基于个人本位的思想观念,当个人利益与其他利益相冲突时,优先保护个人利益。而对于大数据时代的个人数据来说,企业甚至国家对于数据的利用在某些情况下可能高于个人对数据利用的效果和收益,因而,在个人数据上的个人利益与企业或国家的利益冲突时,不能一概以个人本位作出抉择,而应该基于不同场景作出判断。一味地遵循个人本位观念的做法在大数据时代显然无法应用于个人数据制度的构建,这种场景理论的加入则是个人数据权对传统隐私权与个人信息权的必要扩展,因而,个人数据权的救济也从个人信息权的主动转变为被动。
(四)小结:大数据时代权利演进的逻辑
从隐私权、个人信息权到个人数据权,可以说是在人们不断追求自身权益保护、愈发重视自身权利行使的驱动下一步步演变而来的。其中,科技、思想观念、时代需求等外在因素的变化,成为权利形成并富有时代印记的重要原因。
1.技术驱动下时代变迁的权利需求
从传统时代到互联网时代,再到大数据时代,科技的变化是权利演变最为明显且重要的诱因。其带来的变化直接影响了私人与公共空间的界定,模糊了隐私、信息与数据的边界,导致大众对于权利的需求发生了相应的变化。
首先,由电子信息技术发展导致的空间界定的变化。隐私权的排他性主要在于权利人对于隐私的控制力是绝对强制的,这有赖于互联网不发达甚至不存在的时期,人们对于事物的掌控限于实际的控制,对于空间的概念也限于看得见摸得着的实体三维空间。因此,私人空间是明确且具体的,在私人空间与公共空间之间竖起高墙也是容易的。而互联网发达之后,网络空间这样的二维空间逐渐被大众所熟悉,当二维空间的使用随着技术的发展更加深入大众生活时,三维空间与二维空间之间的隔阂日益缩减,这使得隐私权所强调的私人空间不仅仅限于三维,也逐渐与二维空间相容。然而,互联网的开放属性注定在二维空间内绝对的私人空间与公共空间是不存在的,这一点在大数据时代同样得到了充分的体现。数据不局限于电子世界,也体现在三维空间,其灵活性更强于互联网,这使得私人空间与公共空间几乎融为一体。人们对于权利的需求逐渐从对私人空间的绝对掌控转变为自己正常的生产生活不被打扰。
其次,技术的发展带来了定义的模糊。这主要体现在对隐私、信息、数据的界定之上。三者权利的客体是人的隐私和生产生活的安宁,权利的对象则指向隐私、个人信息与个人数据。在传统时代,隐私的界定是简单的,是不愿意被他人所知悉的秘密,只需保护隐私,个人的生产生活安宁即可获得保障。而进入互联网时代,隐私是否仅指不想被他人所知悉的秘密有待商榷,如手机号、银行卡号、身份证号这种重要却又时常需要向他人提供的个人信息滥用该如何认定。在网络上随意散布个人手机信息易被认定为侵犯他人隐私的行为,但实际上手机信息是当事人主动透露的,并不属于不愿为他人知悉的秘密的范畴,因而在信息时代对重要信息适用隐私保护存在漏洞。同样,处于大数据时代时,个人信息的可识别性界定也遭到了冲击。毕竟大数据本身不针对个人,而是大量数据的集合,虽然只是具有弱识别性,但同样可以达到使群体生产生活不得安宁的效果。将个人数据纳入个人信息如同将个人信息纳入隐私,其在定义、存在形式以及功能上皆有不同,自然无法混为一谈,大众对于隐私保护的需求,在互联网大数据的介入下逐渐转变成对于自身信息、数据保护的需求。
2.从单一的人身权到多属性的权利束
从隐私权到个人信息权再到个人数据权,权利属性的变化也贯穿始终。从隐私权的单一属性到个人信息权的附带财产属性,再到个人数据权的各属性共存,三者的演进伴随着人身属性的弱化与其他属性的强化。个人信息权与隐私权相比其人身属性较弱,出现了财产属性的萌芽,虽说侵犯个人信息有别于盗取、破坏他人财产的行为,但大部分都是以破坏他人安宁的生活为结果。无论从国外的个人信息保护法,抑或是我国《民法典》规定的个人信息保护,均倾向于保护其人身属性,财产属性作为附属属性仅在法律制度尚未确定之前有过一定的讨论。
而对于个人数据权而言,其人身属性更弱于个人信息权,但其财产属性却强于个人信息权。对个人数据侵犯的目的,多用于商业用途,类似“大数据杀熟”,在大数据画像下对大众群体进行财产上的侵害。而且,因为大数据技术本身数据挖掘深入、数据收集广泛、数据处理量大等特性,个人数据很少用于针对具体的个人,侵犯具体人身权益。除了人身属性与财产属性,个人数据还具有社会属性。由于数据的广泛应用,公共秩序的管理也须依赖于大数据,医院、学校、政府等本身易于收取且大量保存个人数据的社会公共机构数不胜数。对这些个人数据的侵犯,带来的不仅仅是对个人人身权与财产权的损害,同样也是对社会公共利益的损害。
在从隐私权到个人信息权再到个人数据权的演变中,正是因为权利自身属性的变化导致了许多争议的出现。相较于隐私与个人信息较为稳定的权利属性,个人数据显然更为复杂,因此,个人数据权证成之后的权利属性归属是一个难题。一个权利多种属性,与其类似的权利形态还存在于民法之中,如财产权。民法中的财产权具有使用权、交易权、租赁权等权利,虽然由于不同国家限制条件的不同,其具体内容不尽相同,但都具有排他性、利益性、享有性等共性,这样的权利形态被后来的美国学者霍菲尔德称作“权利束”。①参见王涌:《寻找法律概念的“最小公分母”——霍菲尔德法律概念分析思想研究》,《比较法研究》1998年第2期。不难发现,个人数据权与财产权具有相似之处,虽然具体内容不甚相同,但其具有的人身性、利益性、社会性等属性是个人数据都具有的共性。因此,相较于可以直接成为人身权的一种单独的权利,个人数据权更适合成为一个蕴含多种属性,且包含人身权在内的权利束。
3.从个人本位思想到多元平衡的转变
个人本位思想的内涵在于当个人利益与社会利益相冲突时,选择保全个人利益。隐私权与个人信息权当然适用个人本位观念,隐私权本身是一种私权,且其具有被动性。该权利保护的对象一般并不会与其他权益产生冲突,因此,直接适用个人本位思想是无可厚非的。相较于隐私权而言,个人信息权没有那么绝对,个人信息对于公共管理、一些企业改善服务也有价值。一味地保护个人利益,杜绝个人信息的流动与传播是不合理的。因此,个人信息权已然不再适用单纯的个人本位思想了,在权衡利弊的情况下,应以个人利益为核心,兼顾其他合法利益。
到了大数据时代,个人数据的利益权衡已然是追求多元平衡,从一核演变为多核。一是由于权利属性由单一演变为复合;二是由于个人利益在隐私权与个人信息权中已然得到了较好的保护,而对于个人利益的过度保护势必会影响新型资产“数据”的流动与使用;三是在大数据时代,个人数据所蕴含的个人利益与社会利益的价值是相差不大的,甚至在某些场景下个人利益的价值还低于社会利益的价值,过度强调保护个人利益不符合比例原则。因此,从隐私权到个人信息权再到个人数据权的思想观念的转变是有必要的,符合价值位阶冲突解决原则。
二、大数据时代的权利竞合
(一)隐私、个人信息、个人数据概念的竞合
隐私、个人信息、个人数据三个概念的关系,有的学者认为是上位概念与下位概念的关系①参见李勇坚:《个人数据权利体系的理论建构》,《中国社会科学院研究生院学报》2019年第5期。,也有的学者认为隐私等同于个人信息就等同于个人数据②参见房绍坤、曹相见:《论个人信息人格利益的隐私本质》,《法制与社会发展》2019年第4期;冯德淦:《数据的二元划分与体系保护》,《中南大学学报(社会科学版)》2020年第5期。,这样的分歧,正是由于三者之间概念的竞合导致的。隐私是不愿被他人所知悉的秘密;个人信息是可以识别到的个人信息;个人数据是个人产生的以电子或非电子形式存在的数据。隐私与个人信息的竞合,在于个人信息中有不愿意被他人知悉的私密信息,这部分信息属于隐私的范畴。而个人数据与个人信息的竞合在于个人信息可以由一定的个人数据记录并表达出来,但三者并不相同。个人信息不都是隐私,还存在一般个人信息与敏感个人信息之分;个人信息也并不均由个人数据表达出来,语言交流同样可以表达个人信息,个人信息注重于表达的内容,而个人数据着重于记录的内容,表达不等于记录;并不是每个个人数据都能识别到个人,成为个人信息,如网站浏览痕迹。因此,三者之间的关系如图2。
图2 隐私、个人数据、个人信息关系图
隐私、个人信息、个人数据三者概念产生竞合的主要原因在于:第一,概念内核的统一性。不管是在二维还是三维空间流动或存在,隐私、个人信息与个人数据的滥用都会造成侵犯个人隐私,即便每个概念都有不同的外延和范围,但均囊括了隐私概念。第二,表现形式的灵活性。隐私可以表现为实物,也可以表现为电子数据,这种表现形式的灵活性,使得信息与数据均可以承载隐私,而不受形式的限制,不论是完整的信息,还是碎片式的数据都具有一定的隐私内涵。第三,空间的交替性。网络技术的发展,打破了现实空间与网络空间的隔膜,同样也突破了私人空间与公共空间的壁垒。私人空间与公共空间的交替,使得传统的隐私与个人信息、个人数据的界限不再明确。网络空间既可以是私人领域,同样又与世界互联,而且伴随技术的进步,打破网络上私人与公共的壁垒轻而易举,这使得大众无法再拥有绝对的隐私,从而退求其次,更加重视个人信息与个人数据的保护。
(二)人身属性的竞合
隐私权、个人信息权与个人数据权三者属性的变化,呈现出人身属性弱化、其他属性强化的态势。但无论其他属性如何强化,人身属性是三个权利都具备的,这也是三个权利竞合之处。隐私权仅具有单一的人身属性,个人信息权衍生出财产属性,到了个人数据权,则集合了人身、财产与国家安全等众多属性。三者人身属性竞合的原因如下。
首先,作为三种权利保护对象的隐私、个人信息与个人数据本身具有人身属性,从而导致权利本身也具有人身属性。隐私具有人身属性是毋庸置疑的。个人信息以个人为主体,其产生方式、表达内容皆与个人有关,其可识别性更是人身属性的体现。至于个人数据,有学者认为其不具有可识别性,因此不具有人身属性。①参见时明涛:《大数据时代个人信息保护的困境与出路——基于当前研究现状的评论与反思》,《科技与法律》2020年第5期。然而,个人数据不具有可识别性这一观点有待商榷。基于大数据时代,大数据算法技术已然突破了传统识别性的定性,大数据画像正是通过大量的数据集做出对某一类人或某一个人特征的勾勒。虽然大数据画像的指向性弱于隐私或个人信息,但在大数据技术之下,这种程度已然可以达到扰乱个人生活安宁的程度。因此,在大数据时代,绝对不可识别是不存在的,可识别性只存在强弱之分,个人数据便拥有较个人信息弱的可识别性,因此,其本身也具有人身属性。
其次,三种权利提出的需求相同。隐私权的提出在于个人隐私的滥用导致个人名誉、生活安宁等权益的受损,个人信息权与个人数据权的提出在于个人信息与个人数据的滥用导致名誉、生活安宁等权益的损害。即便后来的研究证明个人信息权与个人数据权还具有其他属性,然而,最初的需求还是大众对于个人生活安宁的追求。之所以会出现隐私权、个人信息权与个人数据权的演变,是因为在时代变化下破坏生活安宁的手段已经从侵犯隐私扩展到利用个人信息与个人数据的阶段。追根溯源,个人信息权与个人数据权的产生源于大众对于个人隐私保护的追求。
(三)财产属性的竞合
财产属性实质上并不是权利演变的源头属性,而是在演变过程中结合新技术时代需求而衍生出来的派生属性,因此,财产属性的竞合仅仅存在于个人信息权与个人数据权之中。
对于个人信息权而言,财产属性并不如人身属性强烈,这源于个人信息本身与财产之间较为明确的界限。个人信息与信息之间的界限并不是完全模糊不清的,由于信息具有完整性与可控性,在判别个人信息与其他信息、私密信息与一般信息时,都能做到大致的区分。对于互联网行业甚至信息行业来说,作为财产或资产的是其他信息或个人的一般信息,而对于个人私密信息,多半还是由个人掌握在自己手中。因此,虽说信息时代个人信息具有一定的财产属性,但个人信息权保护的私密信息与其他财产属性更强的一般信息之间仍然存在清晰的界限。反之,个人数据权的财产属性较个人信息权更为强烈,这是由于个人数据本身就可以算作资产存在,只不过它是特殊的包含他人隐私的资产。这样深层次的内容原本在传统甚至互联网时代技术未达标的情况下可以忽略不计,但随着技术的发展,其蕴含的隐私信息被利用而带来的后果也受到了大众的重视。
个人信息权与个人数据权的财产属性竞合的原因在于,其一,互联网与大数据时代个人信息与个人数据的功能竞合。进入互联网时代之后,信息产业飞速发展,而其所依赖的信息与数据成了重要的资产,它们的功能已然由单纯地承载个人信息变成了企业生产的重要“原材料”。其二,个人信息与个人数据控制方式的变化。若是个人对于个人信息与个人数据的控制方式仍然如同隐私一般,个人信息与个人数据不流动自然不会产生商业价值,但在当下时代这并不可能,也不利于经济的进一步发展。而在企业、机构、组织等获得对于个人信息与个人数据的控制时,其财产价值才会最大化。个人通过知情同意原则将自己对于个人信息的使用、收益、合理处分的权利让渡给企业,使得个人信息存在萌生财产价值的可能。相较于个人信息,个人对于个人数据根本谈不上控制,企业对于数据的占有是其成为企业资产的前提之一,只有当企业滥用个人数据造成侵权时,个人才得以主张权利。显然,控制权的转变是使个人信息与个人数据产生财产属性的重要原因。
三、大数据时代权利竞合的解决机制
权利竞合的概念,可以参照基本权利竞合的概念,即就同一主体而言,宪法上有两条或者两条以上的基本权利规范同时适用于同一生活事实的情形。②参见柳建龙:《论基本权利竞合》,《法学家》2018年第1期。因此,权利竞合是指就同一权利主体而言,法律上有两个或两个以上的权利同时适用于同一事实的情形。对于隐私权、个人信息权以及个人数据权而言,导致三者出现权利竞合的主要原因在于三者在人身属性上的竞合。就财产属性而言,个人信息权的立法趋向是强调保护人身权而非财产权,主要体现在《民法典》将个人信息权编入人格权编。同时,对于大众而言,隐私、个人信息、个人数据三者概念的界限不甚明确,为正确主张权利制造了相当的障碍。
(一)前提:权利范围界限的厘清
为了能更好地主张权利,明确权利保护的范围是必要的前提。厘清权利的保障范围,有利于防止权利竞合问题的出现。①参见柳建龙:《论基本权利竞合》,《法学家》2018年第1期。
首先,就隐私权而言,隐私的概念最先由美国提出,后来传入我国。我国最早认为隐私案件即为阴私案件,专指不可告人的坏事,而后学界逐渐达成共识,认为隐私是指公民不愿公开或告诉他人的个人事情。②参见康晓虹:《论隐私、隐私权的概念和特征》,《西南政法大学学报》1999年第2期。对于隐私的侵犯,其后果必然是对隐私主体的精神损害。在这样的背景下,隐私具有不被他人知悉的特点,只有非公开的秘密才属于隐私的范畴,而隐私的主体向他人公开的部分或全部隐私都不属于隐私权保护的范畴。③参见张新宝:《隐私权研究》,《法学研究》1990年第3期。
其次,就个人信息权而言,《民法典》第1034条将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。从特点上来看,个人信息权同样具有秘密性、完整性、有用性,但与隐私有明显的区别。其区别在于:第一,隐私的秘密性是绝对的,个人信息的秘密性是相对的。隐私的秘密性在于只要已经公开或告诉他人的事情都不能算作秘密。而在互联网时代,个体总会无可避免地向平台或者其他信息收集渠道提供自己的信息,但这并不意味着其失去了秘密性,未经本人的同意通过黑科技非法获取信息仍然是侵权行为。因此,与隐私的绝对的秘密性不同,个人信息在秘密性上是相对的,是在相对公开基础之上的秘密性。第二,隐私与个人信息的内容不同。隐私不存在一般隐私与私密隐私之分,而个人信息存在一般个人信息与私密个人信息之分。第三,隐私与个人信息的流通性不同。对于隐私而言,是绝对不能流通的;但对于个人信息而言,并不是所有的个人信息都不能流通。对于一般的个人信息,在不侵犯个人权益的情况下是可以流通的,这是个人利益与社会公共利益权衡的结果。因而,个人信息的保护范围是相对公开的私密信息,并非绝对的隐私,也不是一般信息。
再次,就个人数据权而言,现有研究对个人数据的定义存在很大争议。有的学者认为,个人数据是个人信息的载体,其实质内容与个人信息并无差别④参见陈敬根、朱昕苑:《论个人数据的法律保护》,《学习与实践》2020年第6期;时明涛:《大数据时代个人信息保护的困境与出路——基于当前研究现状的评论与反思》,《科技与法律》2020年第5期。;另有学者主张,个人数据本身包含个人信息,个人数据兼具信息体和信息媒介双重属性⑤参见纪海龙:《数据的私法定位与保护》,《法学研究》2018第6期。;还有学者认为,信息因网络技术的发展而与数据共存,主张现有的信息技术使得新的信息的产生无需借助载体,可以直接产生信息与数据。⑥参见梅夏英:《数据的法律属性及其民法定位》,《中国社会科学》2016年第9期。与此同时,《民法典》第127条⑦《民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”偏向于保护数据的财产属性,而对于个人信息保护则纳入人格权编,立法者也倾向数据不同于信息的观点。个人信息具有秘密性、完整性、有用性、可控性。相反,个人数据具有开放性、碎片性、不可控性。个人数据的开放性是必然的,其存在形式即二进制形式决定了其本身的开放性,同时,由于其流动性强于个人信息,对于数据个体而言,做到对个人数据的绝对控制是不可能的。个人信息的完整性使得其可以直接或间接地识别到个人,这样的强识别性是个人数据不具备的。个人数据的弱识别性也是立法者偏向保护个人数据的财产而非人身属性的原因之一。通俗来讲,对于个人数据而言,一个或几个甚至多个个人数据并不能对个体或群体造成精神损害,而个人信息可以做到。就个人数据而言,其保护范围主要是不具有强识别性的,但可以通过数据采集、数据挖掘、统计分析、模型预测等大数据技术,造成危及个人生活安宁后果的个人数据。
(二)具体解决路径探究
1.可能的三种解决路径
路径一:明确权利适用原则。通常而言,权利冲突、竞合问题多可通过明确一定的权利适用原则来解决。通过一定的权利适用原则,在几项冲突或竞合的权利中寻求最佳的权利适用方式。简言之,因时因地,择最优而用。解决隐私权、个人信息权以及个人数据权的竞合,可适用以下三个原则。①参见[韩]权宁星:《基本权利的竞合与冲突》,韩大元译,《外国法译评》1996年第4期。第一,直接关联权利适用原则。该原则指在多个权利同时适用于一个场景的时候,优先适用与该场景有直接关联的权利。比如,黑客通过个人地址、电话、身份证号等信息,破解了其私人日记,将其私人秘密在互联网上大肆散播,既可以适用个人信息权,也可以适用隐私权,但是,鉴于散播私人秘密与最后的侵权结果有直接的关联,因此,应当适用隐私权的保护,而非是个人信息权的保护。第二,最强力权利适用原则。该原则指在多个权利适用于同一个场景,但在多个权利对于该场景的关联性相同的情况下,适用保护效力最强的权利。例如,在上述案例中,该黑客在破解他人的私密日记之后,将其获得的信息提供给他人使用,同时,其逢人便吐露他人的秘密当作笑料,使他人在信息泄露的同时也受到了隐私泄露的精神损害。在这种情况之下,隐私与信息的关联度相似,则在两个权利中选择对权利人保护效力最强的权利适用。第三,关联权利全部适用原则。该原则指在多个权利适用于同一个场景、多个权利对于该场景的关联性相同且多个权利保护的效力基本一致的情况下,同时适用所有权利的原则。但一般而言,各个权利的保护效力少有出现相同的情况,而在从隐私权到个人数据权的演进过程中,人身属性的弱化趋势也预示着个人数据权对于人身权的保护效力等同于隐私权的概率较小。不过,此种原则作为最后的兜底适用,也未尝不可。
路径二:建立独立的隐私权体系,也即建立以隐私为主体,个人信息与个人数据作为隐私权的特殊权利共存的法律体系。此模式与美国模式有点接近,美国自隐私权建立以来,除了扩大隐私权的范围,并没有在真正意义上创设个人信息权或个人数据权,仍然沿用隐私权作为对个人信息与个人数据的保护。②参见高富平、王苑:《论个人数据保护制度的源流——域外立法的历史分析和启示》,《河南社会科学》2019年第11期。但与美国模式不同,我国已然存在个人信息权以及创设个人数据权的趋势,隐私权体系中隐私权与其他两种权利的关系,类似于走私罪与走私毒品罪之间的关系。在此模式下,隐私权作为范围最大的一个权利,其保护的权益在于个人生活安宁,包括保护私密的隐私、私密的个人信息、侵害到个人生活安宁的个人数据。因此,在此种模式之下,可以适用特别法优于普通法的原则,将个人信息权与个人数据权作为特别法适用,而扩大范围的隐私权作为普通法,普遍适用。此模式有一个好处在于,不管随着时代如何发展,侵犯个人生活安宁的手段如何更新,都可以纳入隐私权的保护范围,自有一个独立的隐私权保护体系。
路径三:创设新的权利。创设新的权利是指提取三种权利的竞合属性,以三者竞合的属性创设一种新的权利,其他互相独立的部分则单独存在的模式。此模式得以适用是建立在三种权利之间存在交叉竞合的关系,因此,需要个人数据权并非是作为一种单独的民事权利存在,而是按其驳杂的属性将其作为数据权的分支权利。此时,隐私权、个人信息权与个人数据权的竞合演变为隐私权、个人信息权与数据权的人身属性的竞合,此模式才能够适用。这种竞合的处理方式多用于宪法基本权利竞合的解决。由于宪法保障领域也易出现交叉、重合的情况,各国法院为了明确基本权利保障范围,多通过宪法解释将其中交叉竞合的部分剥离,形成新的推定权利。③参见林来梵、翟国强:《论基本权利的竞合》,《法学家》2006年第5期。例如,在平等权与其他权利竞合时,由于平等权可被看作是其他基本权利保障的平等,因此,平等权经常与其他基本权利竞合而成为推定权利。同样,由于隐私权与个人信息权、数据权之间存在交叉竞合关系,将交叉竞合的部分剥离为新的推定权利,也可以作为三者权利竞合的一种解决路径。
2.三种路径的利弊分析
首先,明确一种权利适用原则是较为普遍的做法,其无须构建一种新型权利,也不会对现有的权利体系造成冲击。但其同样也存在一定的弊端,最大的一个弊端便反映在具体适用中。前文阐述的原则适用都存在一定的前提,而这些前提并不是由标尺衡量而来,而是由法官的自由裁量而来,因此,千人千思,法官自由裁量的不确定性直接影响了原则适用的不确定性。适当的不确定是更好地循案而治的体现,但不可避免地会导致同案不同判的结果。同时,该原则的适用具有一定的复杂性。在实践中,并非所有的案件都可以轻易地判断其属于哪种适用前提,通常复杂的案件情况会使得案件存在模糊性,自然适用原则并不能轻易地适用于每一个案件,而是需要考虑许多其他因素。
其次,构建以隐私权为主的权利体系虽然可以囊括所有侵犯隐私情形的保护,但同时也由于其范围不甚明确,可能会导致权利滥用。对于一种权益能否作为权利保护,是否具有保护的必要和价值,在此模式之下易被忽略,造成权利保护的泛滥。除此之外,之所以将个人信息权与个人数据权不加以过多区别而纳入隐私权体系的保护,是由于三者之间存在的人格权保护的竞合。但除去人格利益,个人信息与个人数据还具有财产利益,虽说可将个人信息权与个人数据权作为隐私权体系中的特殊权利,但毕竟属性驳杂,与建立一个独立的隐私权体系的基础理念有所不符。而集三者之竞合,创设一种新型权利的解决方式,其优点在于对三种权利的各自属性进行了一定的梳理,在没有忽略某一种权利的衍生属性的基础上让权利得到更好的保护,同时又保有了传统权利属性的纯洁性。此外,在适用上,较之适用原则更加简便。
从现有的立法状况来看,采第二种进路的可能性较小。至于第三种进路,个人数据权本身并没有被明文规定,今后将其人格权属性纳入新型权利的保护较为简便,同时在其他属性上,可由现存的数据权利加以约束,可行性较强。虽说现存立法偏重于保护个人信息权的人身属性,但其财产属性也不容小觑,因此,若是从保护权利的多重属性来看,第三种路径较为优越。但若是仅仅只考虑人身属性,第一种路径较为适用。对于大数据时代,个人数据与个人信息已然不全是人身属性那么简单,其财产属性愈发受到重视,因此,第三种路径更为适用。
(三)理论保障与实践调和
制度构建是解决一个问题最直接的办法,但也存在一些现实因素导致其难以实施,在此情况下,可以先借鉴已经形成或完善的权利体系,为权利竞合问题提供一定的理论储备和指引,然后结合个案来调和权利竞合问题。①参见柳建龙:《论基本权利竞合》,《法学家》2018年第1期。
我国的权利竞合研究,集中于宪法上的基本权利竞合,现有的基本权利竞合已然形成了一套完善的权利价值体系。虽然在大多数情况下,法律适用以结合个案为主,但这一套体系仍然可以为具体案件中的利益权衡提供理论指引。宪法上的基本权利作为部门法基本权利产生的根源,其权利竞合下适用的权利价值体系同样可以适用于隐私权、个人信息权与个人数据权的竞合。除此之外,结合个案是实践中运用最多的解决方式。权利的正确适用以及权利竞合问题解决的探究都是以作出合理判决、充分保障权利人利益为出发点。正如斯蒂芬·格伦德曼等人所说:“只有在完全、准确把握了重要案件事实,权衡所有相关论据的情形下作出的判决,才是一个充分具备理由的好判决。”②Stefan Grundmann /Hans-W. Micklitz /Moritz Renner, Privatrechtstheorie, Bd. I, Mohr Siebeck, 2015, S.5. 转引自柳建龙:《论基本权利竞合》,《法学家》2018年第1期。在权利出现竞合的情况下,一方面适用客观的、可预见的规则对权利进行权衡与调和,另一方面则是要结合个案,只有理论服务于实践,这种理论才具有价值。
四、结 语
由于科学技术的推动给传统立法带来了挑战,从而促进了传统权利的演进。从隐私权到个人信息权,再到个人数据权,大众对于人格尊严保护需求的扩张带动了权利的扩张。同时,新兴产业的兴起又促进了新属性的诞生。随之而来的竞合问题既有必然性也有偶然性,对于隐私权、个人信息权以及个人数据权权利竞合的探究,是现有研究的一个缺漏。随着时代的发展以及新兴权利的涌现,权利竞合的现象会逐渐涌现。对从隐私权到个人信息权,再到个人数据权的权利演进和竞合的研究,不仅仅可以为实践中权利的适用提供一定的思路,同时也对其他权利竞合的解决具有一定的借鉴意义。