陈 诗

(江南大学 法学院，江苏 无锡 214122)

《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)于2021年11月1日起施行，这为顺应数字化经济时代“个人信息保护与数据利用需求”提供了利益平衡，体现了国家对于数据这一市场化要素和个人信息保护的重视程度。大数据虽然以代码为表现形式，但是其内容却以信息填充，其中，个人信息更是大数据的主要内容。正是由于大数据的存在难以摆脱个人信息，导致大数据的收集、整理、存储、利用都会对个人产生影响。如果不重视对个人信息数据的法律规制，就会导致个人的人格权、财产权等权利受到侵害。因此，笔者从个人信息数据的产权界定入手，明确个人信息数据的权利归属，以期对进一步全面规制个人信息数据提供思路。

一、法经济学视角的选取基础

法学和经济学的最大的相通之处在于对效率的追求，因此，在经济学的视角下研究法律问题，能够使法律制度的构造更趋近于对资源的最优配置。具体而言，选取法经济学的研究视角，有如下理由：首先，法经济学最绕不开的问题就是产权的初始界定(或称界权)。“界权”的行为，是创制或澄清权利的规则制定过程。[1]在这一点上，经济学和法学亦存在互通之处：只有在明晰的产权界定的基础之上，市场交易才能更加顺畅，从而更有利于实现社会福利的最大化。其次，将法学和经济学相结合，从法经济学的视角研究个人信息数据的产权界定，为研究个人信息产权界定提供了可靠的分析视角和进路。最后，落实到个人信息数据这一具象的问题上来，小到个人，大到国家均有成为个人信息数据的主体的可能，因此必须对个人信息数据的产权界定作出回应。同时，随着大数据浪潮的席卷而来，数据的商业价值不容忽视，尤其是在互联网环境下，对于企业来说，数据已成为长足发展的重要战略资源。为了在促进数据的流通和利用与个人权益保护之间进行平衡，在追求市场效率的同时保障相关利益，就必须要对个人信息数据进行产权界定。

二、个人信息数据的概念界定

长期以来，理论界和实务界都存在信息与数据混用的做法，对信息与数据并没有进行严格的区分。这种现象的存在虽与数字社会下信息、数据含义多样密不可分，却必将对权利设定与裁判结果产生不良的影响。[2]在立法层面上，《个人信息保护法》第四条对个人信息的概念进行了具体规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”虽然该法未对数据的概念进行明确的界定，但是，经匿名化处理后的信息被排除在个人信息的范畴之外。此外，《民法典》第一千零三十四条第二款和第一百二十七条也对个人信息的概念和数据保护分别进行了规定。可见，我国法律对于信息与数据存在区别是持认可态度的，那就更应该遵循立法者的思路，对数据与信息的内涵和外延进行细致的厘清。

(一)个人信息概述

在当前我国的环境中讨论个人信息，主体应当是自然人。不管是从《个人信息保护法》对于个人信息的规定，还是实践中司法机关对于个人信息的认定来看，个人信息都是指自然人的各种信息。但随着实践的发展，个人信息的主体从个人向企业、非法人组织扩充的可能性并不是不存在。

就个人信息的客体而言，应当是排除隐私之外的信息内容。《民法典》第一千零三十二第二款对隐私进行了概念界定。从概念上来说，隐私和个人信息的区分是比较清晰简单的。比如在阳林芮、陈镜合隐私权纠纷一案中，二审法院就认为，被告李金燕、尹玲、闵江及陈镜合的母亲张梅在名称为“丰源谷家园群”丰源谷小区业主微信群内所发布的原告的姓名、车辆照片、单位电话等属于公开的信息，并非法律意义上的其生活中不愿被人知晓的信息，即不属于隐私的范围。这也就再次明确，隐私保护的是主体不愿为人所知的部分信息，而个人信息保护的是主体愿意为人所知，但不愿为人所滥用的部分。[3]但是由于社会生活的复杂多样，司法实践中也存在个人信息和隐私的范围界限不清的情况。同时，我国《民法典》第一千零三十四条第三款规定“个人信息中私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”虽然立法者的本意是为了给个人信息提供更周严的保护，但这也是个人信息和隐私界限不清的原因之一。但笔者认为，将个人信息理解为排除隐私之外的信息，更有利于在对隐私和个人信息进行分置保护的同时促进个人信息的利用。

(二)个人信息数据概述

从个人信息数据的主体上来看，主要是指对个人信息进行收集、加工、处理、存储、利用的个人、法人、非法人组织和国家。但是，就我国目前的实际情况而言，个人信息数据的主体主要是指法人(企业)，数据已经成为企业竞争的核心资源。本文对个人信息数据的研究也主要集中在企业这一主体上。法律之所以要对个人信息数据进行规制，是因为其内容仍然是由个人信息构成的，数据只是其存在的载体，结合《个人信息保护法》对个人信息及《民法典》对于个人信息和数据的规定，个人信息数据是指那些经过了脱敏处理，无法识别，或者说是无法直接识别信息主体的数据。这才是个人信息数据的客体内容，也是具有法律意义上的个人信息数据。

(三)个人信息与个人信息数据的关系

结合对个人信息和个人信息数据的主、客体的分析，可以将二者间的关系总结为以下几点：

1.二者相互依存、不可分离。个人信息是内容，个人信息数据则是表现形式，是个人信息存在的一种载体。个人信息数据之所以具有法律意义，需要由法律对其进行规制，就是因为其包含个人信息，这就意味着个人信息数据的整个流通环节都可能对个人权益造成影响。由于大数据产业的高速发展，数据集和数据库技术的不断提升，通过数据还原个人信息的场景存在现实可能性。从法经济学的角度来看，个人信息数据具有公共产品非竞争性和非排他性的特征。不同的数据主体会对数据资源进行不同的排列组合，从而达到自己的使用目的。比如医疗行业、食品行业、药品行业等，会根据自己的目的对数据进行收集、整合和占有。因为个人信息数据并不具备资源稀缺性，导致其使用上存在多种利益博弈，一旦不进入法律的视野，就会产生个人权益受侵害的现象。

2.二者在法律属性上存在明显区分。首先，关于个人信息的法律属性，学界有不同的看法。笔者认为,个人信息具有人格权和财产权的双重属性。正如刘德良教授所说：“个人信息发挥维护主体人格尊严的价值或功能时，应该给予其人格权保护;个人信息发挥维护主体财产利益的价值或功能时，应该给予其财产权保护。”[4]赋予个人信息以财产权属性，有利于促进对个人信息的良性利用。其次，就个人信息数据的法律属性而言，学界也存在不同的观点。较为代表性的观点有：财产权说、知识产权说和绝对权说。这虽然不是本文的研究重点，但是不管采取何种学说，可以肯定的一点是，个人信息数据在对个人信息进行脱敏处理后，其上已经不再具有人格权属性，从这一点上也能将个人信息与个人信息数据进行区分开来。

三、个人信息数据的法经济学分析

(一)个人信息数据产权界定之理论观点评析

个人信息数据的产权界定，需要回答个人信息数据的权利归属问题，即个人信息数据权利应当由谁所有。对此，学界主要有三种不同观点，分别从不同的角度对个人信息数据的权利归属进行了界定。

1.个人信息数据产权归个人所有。个人是个人信息的直接生产者和所有者，所以在此基础之上形成的个人信息数据也应当由个人或平台用户所有。这种观点着眼于对个人信息的周密保护，有利于防止其他主体对个人信息的滥用。但是，这种观点也存在明显的不合理之处。首先，基于上文对个人信息与个人信息数据的区分，不能因个人对个人信息享有人格权和财产权而将这种权利延伸至个人信息数据。其次，将个人信息数据权利界定为个人所有，是一种不经济或称无效率的做法。一方面，个人信息数据在个人手中并不能充分发挥其商业价值；另一方面，在这种产权界定状态下，会增加数据企业的缔约和履约成本。企业作为数据挖掘和应用的主力军、数据要素充分流动的主动力，需要与每一个拥有数据权利的个人缔约并履行合同法上的义务，这会导致市场交易成本的显著增加。

2.个人信息数据产权归企业所有。企业在合法收集个人信息的基础之上，对个人信息进行收集整理的过程中贡献了企业自身的劳动成本，由此所形成的个人信息数据理所应当由企业所有。这种权利配置方式符合波斯纳定理对于权利配置的要求。波斯纳认为，在市场交易成本过高的情况下，应当将权利赋予那些最珍视它们的人。因为在资源有限、信息不对称的现实制约下，市场主体的能力有着显著差异，这些差距的存在导致不同的权利配置模式会产生不同的界权成本。因此，从效率出发，应当将权利配置给“能者”。回归到个人信息数据的问题上，相较于个人，企业在数据的收集、整合、存储、利用的能力上都要更强，并且，从推动数据市场的繁荣发展的角度来说，企业的确更能促进数据资源的有效利用。但是，深入分析也会发现存在诸多不合理之处。以企业公开数据为例，如微博、知乎等软件上海量的用户信息，很难赋予其绝对的具有排他性质的企业数据财产权。因为这与网络平台的公开性是相矛盾的。

3.个人信息数据产权归个人与企业共有。个人信息数据权利可以在一定程度上为个人与企业共有，这种观点是一种比较理想化的产权界定模式，试图在个人的数据安全和企业对数据利用的需求上寻求一种平衡，在司法实践上也得到了支持。(1)北京市知识产权法院(2016)京73民终588号民事判决书。但是，这种观点的问题在于，个人和企业在个人信息数据之上的权利边界难以划分的问题。

(二)个人信息数据的产权界定的三分法

对于个人信息数据的产权界定不能一刀切，而应该区分个人信息数据的存在的不同阶段进行区分界定。

1.个人信息数据的收集阶段。在个人信息数据的收集阶段，如Cookies辅助数据、网站爬行数据，应当将权利界定为收集者所有。一方面，个人信息数据是企业尤其是互联网企业的核心竞争力。在数据的收集上，企业可以借助于高效的数据收集工具降低成本。相比于将收集阶段的个人信息数据界定给个人，界定给收集能力强的企业更有利于数据收集技术的发展。另一方面，从数据流通的角度来说，将个人信息数据界定给企业，有利于降低交易成本、促成私人交易。大数据面临着市场交易信息严重不对称的问题，个人试图通过数据转让获取收益十分困难。反之，企业依靠技术支持，可以以较低的成本完成个人信息数据的收集，实现市场交易与合作，最大程度的实现数据收集的目的，进而促进数据资源的有效流通。

2.个人信息数据的“云计算”阶段。所谓个人信息数据的“云计算”，也就是对个人信息数据进行整理、存储、分析的阶段。在这一阶段，应该依据私人协议进行产权界定，这主要有赖于“云计算”市场内部的高效运转。目前的“云计算”市场呈现出生产者和消费者融为一体的现象。国内主要提供云服务的企业包括阿里、谷歌和华为等互联网企业，这些企业一般拥有自己专门的服务链，如阿里云就是专门为阿里提供包括免费试用、云服务器、云数据库等服务的企业。这些企业之间的沟通成本、服务成本和交易成本比较可控。科斯的观点恰好能够很好的反映在“云计算”市场上。科斯认为，当交易成本为零或者很小的情况下，外部因素不会引起资源的不当配置。不管权利初始安排如何，市场机制会自动使资源配置达到帕累托最优。因为在此场合下，当事人将受一种市场里的驱使去就互惠互利进行谈判，使外部因素内部化，从而达到资源的有效配置和利用。因此，在个人信息数据的“云计算”阶段，法律应当尊重市场的内部机制，将产权界定交由私人协议来决定。

3.个人信息数据的利用阶段。个人信息数据的利用阶段不应该将产权界定给私主体，而应该界定为公共所有。因为一旦将产权界定为私人所有，将有可能出现数据垄断的局面，从而导致负外部性的增长。上文所提到的互联网寡头企业是主要的个人信息数据的控制者，如果将权利配置给它们，会导致小型互联网企业需要支付极高的成本才能获取到个人信息数据，这会导致边际成本的上升。反之，如果企业因为购买成本过高而选择放弃购买，又会导致市场供给的不足和产品的单一化。虽然，互联网寡头企业凭借超高的技术支持可以创造大额的收益，但是存在并不等于合理。从促进市场主体平等发展的角度来说，将产权界定为公共所有，有利于互联网大中小型企业的平衡发展。