从人格权辨析角度探究企业数据的权利归属
2022-11-23马牧青
马牧青
(西南政法大学 人工智能法学院,重庆 401120)
一、引言
随着产业创新发展的驱动,全球科技产业的发展,世界已逐步进入第四次工业革命,人工智能时代已然到来。世界各国在2017年前后陆续发布人工智能战略布局的发展规划,中国也在2017年发布了《新一代人工智能发展规划》《促进新一代人工智能产业发展三年行动计划(2018—2020)》,争做人工智能时代的领先国家。然而建设人工智能这一通过计算机“像人一样”完成任务,以其更高效的运行、更高质量的产出作为刺激生产的支柱的科学技术,则是由大数据为其提供环境基础进行深度学习的。因此,数据是我国打造人工智能时代世界强国的重中之重。前几年我国的互联网企业顺势而为,发展迅速,但与用户签订的隐私协议因格式条款、信息不对称等因素,导致近年来用户的个人信息安全得不到保障,隐私侵权纠纷频发。面对这一现状,在法律层面,就要配套相应技术出台促进人工智能发展、数据利用与个人信息保护的系列制度,以平衡商业利用与人格保护之利益冲突,化解数据利用中对用户个人信息的过度收集和利用。然而在平衡的过程中,人格权的重要性固然不言自明,但在立法规制中却不排除矫枉过正的现象,造成立法司法过度偏向个人信息保护,导致互联网企业发展所需要的数据“石油”所承载的具有商业价值的个人信息“可望而不可及”,造成企业运营成本过高,收集的个人信息依旧“覆水难收”,无法实现立法初衷。究其原因还是立法角度出现了偏差,个人信息保护的制度落实有改进空间。为此,笔者反客为主,以人格权的角度进行辨析,梳理出个人信息的财产属性,为关涉个人信息的企业数据权属配置提供合理化建议,在保护个人信息的同时,为互联网企业数据利用建言献策。
二、数据利用与个人信息保护的冲突现状
当前之所以难以界定企业数据的权利归属主要在于数据之上的个人信息是否具有财产属性从而可被商业利用存在争议。为此笔者将从理论到立法最终到司法三个层面对个人信息相关的财产属性的冲突现状加以梳理,为下一步理论研究进行铺垫。
(一)法学理论层面的冲突
个人信息与隐私有交叉,均隶属于人格权。现理论界仍有相当一部分学者坚持人格权不具有财产利益,否则将违背人格权高于财产权的宪法价值,本质上将重回奴隶制。这一派学者的内在逻辑是将人格权理解为人与人格在法律上连接起来的权利,而人格这一概念在学界又呈现百家争鸣的局面。本是哲学用语的“人格”在德国古典哲学的洗礼下,被法学家们通过引入“权利能力”而赋予了规范现实生活的法学内涵,自此就意味着法学语境下的“人格”有着不同于哲学语境下的新的含义。然而当前学界从“人格”到“人格权”跨越的主流观点尚有不足,将人格权定义为“保障一个主体能够支配自己人格和必要组成部分的权利”[1],包括生命、身体完整、自由、名誉、社会地位、姓名和区别性的标志以及作者和发明者的权利等[2]。主流观点认为人格权中虽有“少部分权利”具有财产性内容,但并不意味着从整体上看,人格权既有精神性价值,又有财产性价值。而隐私作为自然人私人生活安宁和不愿为他人知晓的私密信息则因信息所有人的不愿公开而更具人身属性,将其视为有财产性质的物似乎有违伦理。涉及个人身份的信息,往往会因公开后侵扰他人生活安宁而被视为隐私,理应不具有财产性,然而却不可否认财产状况等有关个人身份的信息作为个人信息所具备的物质属性。可以看出,当前理论界对于人格权的界定,较之于外延的内涵,以及人格权内部隐私与个人信息的区分都显得异常混乱,在此种情况下,对于企业数据的定性只能在计算机领域徘徊,倒逼法学学者熟练掌握工科知识,最后的出路只能落脚在数据对特定自然人的“可识别性”有无。而技术手段层出不穷,加密与否、可识别性与否都是相对的,风险与变动过大,并非良策。作为法学学科,真正要做的是梳理与企业数据这一新现象相关的法学概念,数据作为无体物,仍属于物的范畴,法律具有预见性和稳定性,在现有法律制度可以进行定性与规制的前提下,找出法律上与之匹配的制度进行充分的说理与应用才更符合法律思维。
(二)法律规范层面的冲突
为了逻辑的自洽,理论也许可以不顾及生活事实而自娱自乐,调整现实生活的法律规范却必须直面生活[3]2。我国民法的总—分模式师承德国民法,这种编纂技术通过提取公因式而形成封闭的逻辑体系,民法总则就是在各编分则的不同法律关系基础之上提炼出的一般性规则,而法律人格这种自然人和法人统一享有的内容也是分则法律关系主体的概括。《民法典》第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”其中“不得非法收集”就表明了倘若经信息主体行使意思表示,“同意”合法收集,则这一行为对于个人信息所有权人以外的第三人而言即为正当。在自2021年11月1日起施行的《个人信息保护法》中,有关个人信息处理者对个人信息的处理规则又因个人信息的敏感程度而分为一般规定和敏感个人信息的处理规则。前者以“公开即可利用”为主,辅之以“撤回同意”及“明确拒绝”保护个人信息所有者;后者以“不授权不可用”为前提,以“目的具有‘充分必要性’且获取‘特别同意’”为例外。无论哪种情形,都可以明确个人信息对于个人信息处理者的可利用性,而个人信息处理者是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人,这就意味着自主决定处理的目的中不排除以此营利的可能,这是否就间接承认了个人信息的财产价值?
(三)司法实践层面的冲突
在司法实践中,法院对隐私与个人信息的认定通常基于“是否具有大众意义上私密性”为由对案情进行审查。不同于一经泄露即导致人格利益受损的隐私,个人信息被认为更中性,又因为其会被主动使用或被所有人积极利用于社会交往或身份识别,似乎就减少了被保护的必要性,减损其被保护的正当性。司法实践中,法院通常认为“没有造成不合理损害,利用行为即不必经得同意”或“一定情况下容许他人合理、正当地利用”。
在法律保护中,又因为涉案主体的类型不同而主要划分为两类:经营者和非经营者。司法实践中,若涉案主体均为经营者,案情符合1.法律对该种竞争行为未作出特别规定;2.其他经营者的合法权益确因该竞争行为而受到了实际损害;3.该种竞争行为因确属违反诚实信用原则和公认的商业道德而具有不正当性或者可责性,法院通常援引《反不正当竞争法》第2条进行裁判。当有一方主体为非经营者,即并非竞争纠纷的当事人时,对于特定自然人的个人信息或隐私之侵害多以侵权责任为由进行法律保护。
三、人格权的内涵及其理论基础
通过梳理可以发现,当前我国无论是理论界还是实务界面对个人信息被企业利用的主流态度均为强调个人信息及隐私保护,理由主要为个人信息与隐私蕴含着个人的尊严价值与生活安宁,在这两点无法得到保障的前提下追求企业收益是有违伦理道德的。然而个人信息与隐私作为人格权的客体,真的只具有身份价值吗?笔者就此将视野回溯到人格权的发迹本身,从源头探究人格权究竟为何物,从而找出人格权权利“客体”的内容与属性,进而为下一步个人信息的电子载体—数据之权属探究进行铺垫。
(一)民法上人格的理论基础
在公元前七世纪前后,随着一种新兴生产方式——私有制的出现,奴隶主与平民这组对立的阶级之间的矛盾也因利益分配不平衡而不断升级,在这一背景下促发形成的罗马法为调和罗马公民内部冲突而一步步完善,而“人格”这一与“人”相分离的概念也在此期间诞生。罗马法上的人格,当时称为persona,即罗马市民法上的主体,实质是家长、市民、自由人三种社会身份,可概括为“身份人格”。梅因爵士对此有着一针见血的评价:“‘罗马法典’只是把罗马人的现存习惯表述于文字中。”[4]只是对奴隶制社会下的社会现实照搬到法律上而不加以任何调试,终将随着经济贸易的发展,而落后于更新的社会现实。轰轰烈烈的文艺复兴席卷整个欧洲,笛卡尔受此洗礼在人类历史上第一次提出了自我意识的概念,相对于作为“主体”的人,被人感知并由理性来衡量的“万物”就成了“客体”[3]18。以此为基础,进一步受到卢梭等启蒙思想家以及法国大革命的深刻影响,崇尚自由、人人平等的法国民法典跳脱了反映并适应现实生活的罗马法思路,让每一个自然人都成为法律主体,享有法律人格。但发明了近代人格理论的法国却没有对如何使用进行妥当的研究,导致人格理论过于超脱社会现实。若从人格技术的角度观察,法国民法典上的人格并没有安排在“法定权利”这一层级上,而是嵌在“自然权利”之中[3]22。经过康德的理性批判,德国学者认识到,尽管从逻辑层面讲,成为世界的主体首先要成为一个“生物人”,但让人成为世界主体的,却是因为生物人所具有的“自由意志”,而这“自由意志”便是“人格”[3]24。通过历史上“人格”概念的演进,由最初罗马法概念化的家长、市民、自由人三种身份作为人格,到中期法国民法典概念化的人人平等之公民身份作为人格,再到后期德国民法典通过“拟制”这一“人格技术”将人格概念化为“权利能力”,可以看出,人格即法律主体,分为自然人和类法人(包括法人和非法人组织),前者基于自由意志的人格基础,有着始于出生的权利能力,后者基于拟制的人格技术,有着国家授予的财产权利能力。
(二)人格权的内涵
前文提到笛卡尔哲学中,“我存在”是其第一原则,“我思”则造就了“我”的主体地位[5],此时的“我”作为主体,由理性来衡量世界,大陆法系立足于主体/人格,经由权利沟通“主体—客体”的法律关系架构也源出于此[3]18。因此也可以看出,人格权并非是人格与权利的简单叠加,“人格”解决的是“人何以为人”的问题,而“权利”是“主体—客体”认知模式的产物,可以得出结论,权利乃人与外部事物法律上的连接[6]。而人格内在于人,不可能成为外在于人的客体,因此我们所讨论的“人格权”并非是一个权利客体为“人格”的权利。原因有二,其一,人格无法外在于人,主体与客体内容均内在于人,即均为法律上的主体,将会与权利的构成相冲突,甚至导致“自杀权”这一“对自身原始权利”支配的成立[7];其二,人格倘若成为权利客体,就理应可以被当作工具、手段,这将从根本上违背“人不能当作单纯的手段”这一伦理诫命[3]51。可见从“人格”到“人格权”的跨越是一个艰难而漫长的过程。理论界出现过几种论证“人格权”的学说也都有自己明显的不足。当前的通说观点“人格利益说”为迎合权利构成,将人格权的权利客体解释为非主体要素的“人格利益”,既能与传统的“主体—客体”权利结构保持一致,又能回应现实生活的需要而承认“人格权”的存在[3]62,但正如物权的客体是“物”,而非“物上利益”[8],这一解释有明显“目的法学”的影子;“法律技术说”认识到了“人之本体保护”模式的捉襟见肘[3]64,但该学说从“人格”到“人格权”的跨越并未“刺破权利本质的面纱”,陷入了“人格的法律赋予论”的囚笼。在对现有主流观点进行反思过后,还是要回溯到概念的源头,即创设目的,来探究人格权的本质内涵。人格权应当囊括关于个体人格必要的组成部分,通过这种权利,人能够独自、合法地管理自我,并以此来反抗他人的一定的合法入侵[3]61。因此,该人格权的权利客体应当是与主体身份息息相关但又并非内在于主体的要素。反观当前人格权客体,会发现其中的生命、身体、健康均无法与主体相分离,加上《民法典》第990条第2款“自然人享有基于人身自由、人格尊严产生的其他人格权益”均内化于自然人,是主体的一部分,而剩余的姓名、名誉、肖像等则并非自然人这一抽象概念与生俱来的,无法内化于自然人。因此在民法人格权的构造上我们可以进行类型化的尝试[3]70,通过将杂糅于人格权客体的真正属于自然人本体之上的内容剥离,剩余的部分才应当成为真正的人格权客体。
(三)人格权的双重属性
通过对人格权内涵及其价值的辨析,认识到人格权上不仅仅有尊严价值和生活安宁,其本质仍为人的内在属性之外的社会属性,有社会公共性这一面。当前《民法典》人格权编中关于生命权、身体权、健康权等的叙述实则是在“权利至上”的今天将“生命”“身体”“健康”“自由”这四项人的内在属性之最高利益以法律技术手段降级为“权利”,以迎合“权利保护至上”的现状。这是宪法上“人之本体保护”模式不充分以及理论界对人格权、权利结构认识不足共同导致的结果。综上,自然人所具备的要素中能被权利化而称为人格权的,只能是具有社会属性的姓名、名誉、肖像、隐私、信用等这些非内在于主体,系主体在社会生活中渐次获得的,他人不仅可以消极妨害,亦可积极利用的,同时主体本身亦可积极支配这些属性而获经济利益的内容[3]72。基于此,就可以明确个人信息等人格权的客体并非主体意义上的“人格”,而是具有身份利益与财产利益的共生体。
四、个人信息与企业数据的关系
厘清了人格权的内涵与属性,从属于人格权的个人信息与隐私也因此而具有双重属性。代码程序运行的互联网世界作为部分现实世界的镜像,与现实世界中最常见的数字、文字、符号等信息在代码框中一一对应,代码框中表示现实世界信息的内容就叫做数据。因此可以看出,数据就是信息在电子世界的表达,而承载个人信息与隐私的数据即为个人数据。为了探究个人数据在互联网企业运作中的权利归属,就要将其一分为二,首先明晰个人数据上承载之内容在现实世界中为何物,之间有何关系,进而探究其对应于互联网世界中的数据为何物,通过对个人数据一体两面性的剖析,为下一步企业对个人数据的收集和利用的行为定性,从而发现个人数据的真正权利归属。
(一)个人信息与隐私及其关系
《民法典》第1034条规定,“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”;第1032条规定自然人享有隐私权,“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。个人信息中的私密信息应当适用有关隐私权的规定。从法律条文的表述可以看出,其一,个人信息尚未上升为权利,而隐私是人格权项下的隐私权的权利客体,享受隐私权保护;其二,个人信息与隐私有交叉。个人信息中的私密信息虽然在定性上仍属于个人信息的范畴,但在法律保护和救济途径上,享有同隐私权一样的地位。这就可以看出个人信息与隐私的划分方法其实并没有遵循同一分类标准。
从保护客体来看,个人隐私在客观上一般呈现为不为公众所知悉的样态,在主观上权利人也具有不愿为他人知晓的意愿;个人信息指向的内容则更为广泛、更为中性,包含能够识别特定个体的各种信息,权利人在某些情况下可能存在主动积极使用的情形。
从保护方式来看,一般认为个人隐私一经泄露即易导致人格利益受损,故其保护方式更注重消极防御,对他人的行为限制更为严格;个人信息的保护方式则包括消极防御和积极利用,一定情况下容许他人合理、正当地利用,仅在信息处理者不当、过度处理等情形下才引发侵权。①
有观点认为个人信息与隐私具有从属关系,隐私包含于个人信息。论证理由为隐私是关于自然人身份的私密信息,而个人信息是关于自然人身份的信息,前者的限定多于后者,前者在后者的基础上加以限定即为隐私,因此个人信息这种更为宽泛的信息实现了对隐私这种更为狭隘的信息的全覆盖,故二者是从属关系/包含关系。这种论证逻辑看似毫无破绽,但法律概念并不可仅满足语义逻辑推演的自洽,概念本身存在的价值与必要性亦不可忽视。我们谈及个人信息,根据朴素的法感情,只会联想到姓名、肖像、身份证号码等,提及隐私,则会立刻想到不愿言及的私密话题。而法律就是要将有必要的概念进行界定并加以区分实现不同程度的规制与保护。可以发现个人信息下的内容具有一个共性,即可以单独或组合后识别自然人;而隐私的特性则是该自然人并无意愿将其公示。因此可以看出,即使个人信息与隐私的内容有所重合,但二者是不同标准下判断的产物:个人信息的判断标准是能否识别特定自然人;而隐私的判断标准则是权利人(或言该特定自然人)是否愿意公开。不同维度的分类标准取决于分类目的,只有在同一维度下才有对比的必要性,个人信息与隐私是在不同标准下对人格利益的圈定,二者之间相互独立,纵使包含的内容偶有重合,但均为不同角度上对人格权的细化,属于交叉关系。
(二)个人信息的一体两面之冲突发现
个人信息一体两面的特性决定了其对于个人而言的尊严价值属性,更具人格意义;对于企业来说,则更看重其资源价值属性,这种矛盾更加凸显了在数字经济时代处理好个人信息保护和利用的必要性。不同于隐私具有不言自明的被保护及限制使用的必要性,个人信息既然是为了识别其所有人而出现的,必然具有可公开性,正是在这种既与个人息息相关,又可被外界尤其是互联网企业获取的境地下,个人信息之现有保护难以平衡,才体现了本文研究的必要性。因此,在完成人格权的财产属性证立,个人信息与隐私概念的剥离后,下文主要围绕个人信息这一公开后不具有可回收性与公开的必要性之冲突点进行展开。
面部信息,尤其是姓名、电话号码是个人信息中必须经过曝光给外界才具有使用价值的信息,信息所有人对其的公开本身是处分范围内的事物。公开后的使用结果可以分为两类,一种是在信息所有人预期范围内的使用,一种是在信息所有人预期范围外的使用。前者的使用情形包括但不限于一对一的交往通信以及获取通知,后者的出现情形多为垃圾邮件,广告短信,来源多为营业公司,公开个人信息的目的往往是便利初次交易,但商家在该笔交易达成后会继续使用该信息进行后续的广告投放。这就可以梳理出当前公开个人信息对信息所有人的两个后果,一是不可收回,二是不可控制。不可收回是指信息一旦被他人知晓,他人便不会主动删除或遗忘;不可控制是指公开后的个人信息在后续使用过程中不受信息所有权人的意志左右。前者对应信息在外界的存废问题,后者对应信息被外界的使用问题。个人信息无论基于何原因被公开,一经公开就进入了对方知悉领域,不同于实体物具有唯一性、完整性,个人信息这一无形物的价值不会因为公开的次数而有所减损,亦不受时间、空间的限制,因此权利人无权因信息是自己所有的而要求对方“返还”自己的个人信息,即个人信息的不可收回是绝对的。既然个人信息一旦被对方掌握,那么如何使用也理应是对方的权利。可似乎此话一出就会触及大众朴素的正义感,原因何在?不同于信息所有人不可收回对方已知的关于自己的信息,这是一种信息获取的必然结果,而对于不可控制这一特性所指的对信息的使用,则并非信息获取后的必然结果,如何使用均取决于使用人的主观目的,这是一种自由选择。而自由是相对的,每个人在行使自由意志的同时不能以侵犯他人对等的自由为前提,《宪法》第51条规定:“中华人民共和国公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。”因此,在从事民事行为的过程中除坚持自愿原则外,还要遵守公序良俗,不得侵犯公共利益。这就要求互联网企业在收集个人信息的过程中应当充分尊重权利人的“同意权”,不论是在初次收集,还是后续基于不同目的的使用时,只有经权利人授权收集与利用的个人信息才具有转换为个人数据的合法性与正当性。
(三)个人数据与企业数据
现实世界中的个人信息对应到电子世界即为个人数据,个人数据既然是个人信息在电子世界中的镜像,因此也具有个人信息的身份属性和财产属性,个人数据的身份属性是指以此可识别出特定的人,财产属性则是基于互联网企业对其提供无偿服务而进行的数据回收和转化。对于个人而言,被代码化的个人信息称作个人数据;对于企业而言,收集、加工、利用的个人数据即为企业数据,看似同一物上的两种称谓,实则反映了不同立场下的数据归属。因数据兼具身份属性与财产属性,个人与企业之间均具有对此类数据的所有权和支配地位的部分合理性,信息所有者主张个人数据蕴含自己的个人信息,理应归属于自己所有;互联网企业主张企业数据是自己前期平台搭建,通过提供无偿服务,积累用户数量与信任,从而获取的内容,其中糅合了太多资金、技术以及劳动投入所获得的价值增值,原始个人数据只在其中起着非常微小的作用[10],因此谈及贡献力大小,互联网企业具有绝对优势,理应按照投入与产出原则将该数据权划归为企业资产。两派观点均有一定的道理,也从中可以略窥一二,即当企业数据作为企业生产资料时,对其的支配与利用不存在争议;而当个人数据作为识别个体的媒介时,不当利用则会产生个人信息与隐私受到侵害的风险,个人信息所有人对其的管理亦无可厚非。在这种分类讨论的立场下,对于企业数据的权属划分似乎就呼之欲出了。
五、企业数据的权属划分
(一)企业数据内涵之重新界定
前文提到个人数据与关于个人信息的企业数据只是不同立场下的对同一内容的不同表述,均为蕴含着个人信息的数据,鉴于本文的研究目的是探究企业对个人信息的商业利用是否正当及其数据的权属问题,因此下文将使用企业数据这一称谓。完成了人格权与财产属性的对接,个人信息与隐私的区分,企业数据与个人信息的镜像关系,企业数据的本质也就真相大白了。作为个人信息在电子世界的“影子”,企业数据具有两层属性,一为企业数据与个人信息的对应性,二为企业数据于企业运作的资源性。关于个人的信息自然由个人所有,不仅是权属关系上的无争议,而且是利用、支配与公开的自愿性,这也反映了作为法律主体充分的自由意志与意思表示;关于代码运行的数据则是由企业平台搭建后的收集与转化,并非从社会生活中直接抓取的结果,付出了前期的投入与中期的维护成本,对其加工部分享有权利,并有义务对数据之上属于他人的个人信息进行保护。企业数据是被加工过后的个人信息,其本质是被代码化的数据,而数据作为企业的“劳动成果”,理应归属于互联网企业;而那些非经企业进行有效加工的数据,以及企业直接抓取的非以数据代码形式呈现的个人信息均因企业未付出相应的技术加工而导致企业不享有所有权。换言之,用户对其个人信息享有被遗忘权等控制信息内容的绝对的所有权,企业对加工后成为的企业数据享有无偿使用并以此成为数据交易的筹码等相对权的使用权,以及保护用户和企业数据之对应义务。
(二)企业数据权属的制度构建
互联网企业基于其投资、建设所付出的资金、技术,通过合法手段与用户签订隐私协议,获取用户“同意”后而提炼整合出相关数据才可以自主支配利用。然而企业数据的自主利用需要以明确的权利归属为前提,因此笔者将视野聚焦现行法寻找企业所有权属的法律依据。企业数据的形成是程序员编码的结果,而程序员作为互联网企业的劳动者,其工作内容根据《就业促进法》第8条第1款,“用人单位依法享有自主用人的权利”,而根据《著作权法》第11条规定:“由法人或者非法人组织主持,代表法人或者非法人组织意志创作,并由法人或者非法人组织承担责任的作品,法人或者非法人组织视为作者。”著作权属于作者。这似乎就为企业数据的权利归属找寻了一丝出路。然而著作权法的保护对象是工程设计图、产品设计图、计算机软件等符合作品特征的智力成果,单纯不加编排整合的企业数据并不具备作品特征,无法由著作权法加以保护。企业数据既然是企业这一法人做出的整体“劳动成果”,是否可以寻求劳动法的保护呢?《劳动法》第3条规定劳动者享有取得劳动报酬的权利,看似与企业的劳动成果应有的收益权挂钩,但其立法目的是“为了保护劳动者的合法权益,调整劳动关系,建立和维护适应社会主义市场经济的劳动制度,促进经济发展和社会进步”。作为企业,并非为劳动法的调整对象——劳动者,倘若将互联网企业的生产行为视为为公众提供服务而具有劳动者身份未免过于牵强,因此也无法享受劳动法的保护。而《数据安全法》似乎与数据保护最为贴切,然而该法立足于国家主权视角,更多的是强调国家的数据安全战略,而非国内企业以合法、正当的方式收集的第一手数据,亦无法得以衔接。既然核心在于企业的“劳动成果”归属于自己,这是一种最原始财产取得方式,不妨寻求民法上的出路。
所有权人对于原始取得的财产,天然享有所有权。而对于企业数据这种将个人信息转换成数据加以利用的财产,更类似于“添附”这种民事主体把不同所有人的财产或劳动成果合并在一起的新形态财产,如果要恢复原状则在事实上不可能或者在经济上不合理,在此情况下,就需要确认该新财产的归属问题。在“添附”的三种形态中,“混合”是指不同所有人的不同财产互相渗透融合,难以分开;“附合”是指不同所有人的财产紧密结合在一起而形成的新的财产,虽未达到混合程度,但非经拆毁不能达到原有状态。无论是“难以分开”,还是“非经拆毁不能达到原有状态”,都无法解释个人信息始终能独立于企业数据可以单独存在的事实。“加工”这一过程,即对他人财产加工改造为具有更高价值的新的财产,与企业数据的生成过程更为匹配。企业数据是个人信息与互联网企业的技术有机结合而形成的具有新型生产价值、财产价值同时关涉国家数据安全、主权性质的物。而用户接受互联网企业服务所同意的“隐私协议”就是企业对他人个人信息这一财产加工改造的合法依据。
根据“如无必要,勿增实体”的奥卡姆剃刀定律,对新兴事物的法律规制只有穷尽了现有法律无以规制后,才有新增立法的必要。在兜兜转转之后,看似最为前沿的企业数据规制也逃不出古老民法的智慧。由于“加工”的原物本身并无价值大小的判断,因此这一民事行为的法律后果无法适用“新物之所有权归价值大的一方,由取得所有权的一方对另一方提供补偿”这一单独所有方式,也因无法衡量原物各自财产价值而实行按份共有方式,因此对于企业数据这一形成的新的物可以尝试共同共有,即企业数据的最终所有权归属于其上个人信息所有者与个人信息处理者共同所有。然而企业数据保存在互联网企业,信息所有者的权利监督和实现不便利,需要引入辅助制度帮助权利落实。在所有权不变的前提下以契约的形式在一定期限内将财产权部分让渡给另一主体经营,这一信息所有者权利的实现需求与“托管”制度惊人相似。基于个人信息所有权的完整性与企业数据的附加性,信息所有权人对该部分财产权毫无争议,而以契约的形式在一定期限内的让渡则同时满足了个人信息收集前提的合法性和利用的期限有限性,最终在权利实现的同时达到可行性与合法性的目的。因为数据的价值来源于其庞大的个体基数,用户个人的信息转化为数据并不能为企业带来资源效应,唯有将海量的个人信息视为整体,其贡献的财产价值回归于企业对数据维护与保护的成本,企业数据的权属问题才得以彻底解决。
六、结语
为解决当前个人信息保护与企业数据利用的冲突问题,本文着眼于个人信息与人格权的从属关系,通过论证人格权客体不同于人格上内在的高级利益,解决本文的第一个问题,即人格权的客体究竟有哪些,排除了生命、身体、健康、自由这四项超越权利保护的内在于自然人的高级利益,其他与自然人有密切联系但又外在于自然人的属性才为人格权权利客体,如隐私、个人信息。在总结出个人信息除人身属性之外的财产属性后,第二个解决的问题在于隐私与个人信息的重新界定,从而梳理出真正为企业数据可用却易被侵犯的个人信息,进而阐述该个人信息与企业数据的关系。企业数据分为有关用户个人信息的部分以及日常经营必不可少的商业信息,而前者在本文中才有讨论的必要。最终解决企业数据与现行法律的衔接,通过数据的生成过程找出企业利用的正当性,及其对应的物的生成的法律概念,匹配出企业数据权利归属的相关制度。
注释:
①北京市第四中级人民法院(2021)京04民终71号。