个人信息:从财产属性到公共利益属性
2023-11-08张继红吴祖豪
张继红 吴祖豪
摘 要:大数据时代个人信息的商业价值不断凸显,在个人信息人格权基础上明确个人信息财产属性并以此确立个人信息财产制度的观点层出不穷。然而,个人信息具有不同于知识产权客体的特殊属性,劳动财产理论、人格权财产理论以及经济激励理论等信息产权构成理论并不能成为构建个人信息财产制度的基础。产权制度注重个体支配而淡化了个人信息的公共利益属性,不仅难以激发企业的内在驱动力,还限制了信息主体人格自由发展,并由此催生新型不平等关系。个人信息保护应侧重于公共利益考量,涵盖“公共人格属性”和“公共产品属性”两部分,前者为人格属性的升华,后者则为财产属性的本质。公共利益属性内涵下的个人信息保护应以正义原则为指引配置权益,回归法律保护弱势群体利益的正义价值。一方面,法律应当在信息主体人格权益优位保护的前提下确保信息企业无偿且平等地获取个人信息,事前个人信息保护可类比环境治理,以技术规范信息处理方式;另一方面,为修复公众对数字环境之信任,个人信息事后司法救济应采取民主途径,并将信息处理者的制造权益风险与其举证责任相关联。群体性信息主体的权益保护与信息处理者的信息利用二者并非处于对立面,个人信息的公共利益属性也表明,双方可据之促成共善发展。
关键词:个人信息财产化;财产属性;公共利益属性;公共人格属性;正义原则
中图分类号:D912.294文献标识码:A
文章编号:1673-8268(2023)04-0088-12
在传统民法理论中,人格权与财产权界限分明,人格权不具有财产性质,财产权也无人格属性。进入数字时代,新媒介的发展与大数据技术的广泛应用,个人信息虽与人格权益密切相关,但也具有财产价值。目前学界主流观点认可个人信息权益的“人格属性”,而对其是否存在“财产属性”则呈现一定的分歧[1-2]:支持建立个人信息财产制度的观点认为,应将个人信息中的财产属性与人格属性相分离以单独商业化使用[3][4]98-110;也有学者提出将个人信息类比知识产权,认为两者虽有差异但权利结构相似,个人信息权类似于无体财产权,可以参照知识产权赋予个人信息中的“财产利益”以相应的排他权能[5]。然而,即便是在崇尚数据自由流通以发挥其商业价值的美国,亦存在民众对企业大量抓取用户数据侵害消费者隐私的担忧与质疑。美国加利福尼亚州、科罗拉多州、犹他州、弗吉尼亚州、康涅狄格州等相继出台消费者隐私法,从州立法层面强化了对消费者个人隐私的保护[6]。2022年6月,美国两院联合发布《美国数据隐私和保护法案(草案)》(American Data Privacy and Protection Act,ADPPA),旨在对信息处理者施以“忠诚义务”为核心的“数据最小化、隐私设计和定价忠诚义务”。换言之,个人信息的商品化活动对于信息安全会产生一系列负面影响。
以上种种也让我们重新审思,在个人信息商业价值日益凸显的今天,个人信息的合理利用是否可以归结为“财产属性”或“财产权”?个人信息财产制度的理论基础是否足以经得起实践检验?个人信息与知识产权客体同为信息【本文采取知识产权客体“信息说”:知识产权客体即知识信息。】[7-8],作为“信息产权化”的典型代表,知识产权已经实现了权利财产化,但这样的权利保护路径是否可以直接移植到个人信息领域来构造其财产制度?如果答案是否定的,那么个人信息应当遵循怎样的保护路径才能真正实现信息主体与信息处理者之间的利益平衡,这些问题都值得进一步深入研究。
元宇宙产业的日新月异给数字货币带来了全新的发展机遇,不仅使得数字货币作为“准货币”的职能予以凸显,还展现了其在资产确权方面的新职能。数字货币在元宇宙中流通的同时也挑战着国家货币主权,监管的缺位将可能损害投资者的合法权益,甚至引起系统性金融风险并传导至现实世界。作为一种新兴货币,数字货币的法律性质尚不明确,并且各国对其采取的法律规制手段存在差异,这使得传统的监管手段滞后于元宇宙的新发展。现阶段“一刀切”的监管方式无法满足我国数字经济发展的需要,应以包容性发展为理念,在现有基础上稳步推进中央银行数字货币,并加强国际间的监管合作,引导数字货币朝着规范、健康的方向良性发展。
一、个人信息财产权化的理论困境
知识信息财产化已经形成了相当完备的理论基础并在实践中得以延续【相较于商标、专利等其他知识产权客体,著作权客体与个人信息更具有对比价值,本文主要聚焦于著作权与个人信息的比较分析。】,其主要法理来源于洛克劳动财产理论、黑格尔人格权财产理论和法经济学的功利理论,而上述理论均不能成为建构个人信息财产制度的基礎。
(一)劳动财产理论
洛克认为,“从共有的东西中取出任何一部分并使它脱离自然所安置的状态,才开始有财产权的”,真正的私有财产的建立就是一种将一类公共领域的物品通过“劳动”方式从共有中抽离出来[9]。著作财产权的产生基于作者对作品的单独创作这一“劳动”行为,作品一旦完成财产价值也随之诞生,作者就对其享有著作财产权。然而,个人信息的生产过程难觅其中的劳动投入,它由自然人在生产生活中自然产生,无法将其与劳动相联系。有学者试图通过劳动财产理论证成个人信息财产制度的合理性,即“一切能够创造数据的人类行为都可以被定义为‘劳动”[4]103。然而,上述分析背离了洛克的原意,即劳动应作为一种人类改良物品并提升价值的方式,应是出于主观上某种“需求”而主动实施行为的过程。自然人在网络空间留下个人信息,就如同农户经过土地而无意间留下脚印,该脚印具有识别农户行走路径的功能价值但无法认为此痕迹是农户“劳动”的结果而将之配置为其私有财产,这是因为“无意识的劳动”并非洛克所言的人主观上的“劳动”,故而无法产生财产权。
区别于著作权中出版商单纯地对作品进行传播和复制的工作是对著作财产价值的提升,个人信息领域中的信息企业扮演的则是个人信息价值创造者的角色。正是信息企业通过收集、储存、聚合、挖掘等行为,将大量个人信息转化为具有财产价值的数据资源,虽说个人是信息资源供给者,但信息企业才真正创造了信息财产价值[10]。有学者以微小的沙子聚集成为沙漠来类比由单个个人信息组成大数据,以微小的沙子具有不可否认的价值来论证单个个人信息具有价值[4]106-107。然而,个人信息单纯的采集只是一种“量变”而不产生价值,只有经过企业的加工和处理个人信息才转化为具有利用价值的产物,此为“质变”。个人信息之于数据并非沙子之于沙漠的、单纯由“量变”导致的“质变”,而是经过信息处理者的加工、处理等行为才发生“质变”的结果,这才是个人信息财产价值诞生的起源。从劳动财产理论分析不难得出,个人信息即使能够财产权化,其财产权利也很难归属于个人,因为信息企业才是创造具有经济价值的信息产品的主体。这与著作权的创作者将抽象物通过个人知识劳动的方式从公共领域中剥离出来、并使之成为私有财产的论证结果截然不同。
(二)人格权财产理论
黑格尔认为财产是人格的体现[11]。人类的内在“意志”外化后就能成为合法所有的物,这种物就是私有财产。对于抽象物而言,公民的私有财产权只有在法律规定下才能使权利的内容具有确定性。个人信息财产权化的观点肯定了自然人与企业之间开展个人信息交易和流通的必要条件就是其“可让渡性”。黑格尔虽然在一定范围内认为人格可以让渡,但其仍具有一定的限制边界[12]。而个人对于个人信息的自由交易会导致其个体人格的异化,甚至最后完全沦为信息企业的“数据奴隶”。
一方面,个人信息财产化使个人在交易过程中处于劣势地位。在著作权领域,在作者将著作权许可给出版商后,虽然也面临着出版商一次取得知识财产则可以重复利用而无法撤回的风险,但著作权包含的是诸如名誉、署名权等积极的人格权,作者如果愿意将自己的作品供他人署名,由他人共享创作作品的名誉,只要出版商不擅自恶意修改,则不会损害作者人格利益。作者在许可作品版权后期待的不仅有财产收益(如版税),还涵盖依靠出版商传播作品后获得的积极的人格利益(如名誉)。申言之,作品的传播与使用体现作者的人格精神与主观意识,即使作品传播过程中是被他人非法复制和传播,也存在由于作品优质而产生对作者名誉人格的正向作用。相较而言,个人信息具有消极的人格属性,一旦成为交易的客体即“商品”,可能会脱离当事人的真实意思表示,大大增加隐私侵害风险,并造成个体人格的贬损。个人信息的商业化利用程度越大,个人隐私和信息被泄露及滥用的可能性也越高。质言之,同样是兼具人格属性和财产属性的知识信息,著作权客体的财产属性与人格属性可以统一兼容,但在个人信息领域却是矛盾的存在:注重开发其价值属性必然会引发人格权益被侵犯的风险,偏向保护人格权益又会抑制财产价值的利用。个人信息财产化以看似“平等”的交易形式而使信息企业获取了事实上的优势地位,这违背了《个人信息保护法》所着力构建的以信息主体权利保护为核心的立法初衷。
另一方面,个人信息的商业化利用难以设定人格权益边界。有观点提出,对个人信息进行类型化,即对强隐私敏感性的信息如性取向信息、健康医疗信息等,绝对禁止商业化利用,而对弱隐私敏感性的个人信息如基因信息、生物特征信息等,经个人主体同意则可商业化利用,对其他低隐私敏感性的信息则采取“默示同意”或“无需同意”规则[13]。个人信息作为人格的外化体现,将其如现实商品一般分为“可交易”和“不可交易”,这本身就难以体现个人意志,人的差异性也决定了个体对不同种类的隐私重要性的感受程度不同。因此,根据个人信息的属性来设定商业化利用的边界并不科学。加之,不同信息场景的变量,对于不同类型个人信息的商业化利用风险更难以准确评估。况且在大数据时代背景下,信息企业通过分析单个主体的部分“可商业化利用”的个人信息,进而探知其他“不可商业化利用”的信息已非难事。倘若个人信息可以商业化利用,信息企业利用技术手段将个人信息整合创造出某个具体人格的特征,生成一个自然人外在化形式的电子模拟人就可能成为现实。此时,这个个人信息被抽空的人,按照黑格尔学说的观点就已经丧失了人格自由。
(三)经济激励理论
在著作权法的制度构造中,经济激励理论是极其重要的组成部分[14]。当作品获得了法律所赋予的财产权保护,作者在市场经济回报的驱使下往往能积极进行创作和传播。著作权保护的知识信息由于其具有创作者和投资者赋予的新价值,从公共领域的信息中脱离出来受到财产权的保护[15]。然而,个人信息的产出与著作权客体不同,自然人主观上无法控制个人信息的生成,它是客观形成的信息积累,其产出并不具有自主性。因此,个人信息的“稀缺性”与著作权客体的“稀缺性”并不相同:著作权客体本身是稀缺资源,而个人信息只有在信息处理者收集加工处理后才能成为稀缺资源。事实上,《个人信息保护法》将立法目的确立为“促进个人信息合理利用”,其出发点即在于规范和约束信息企业的行为,以防止其过度开发或滥用用户信息。在个人信息上配置财产权可能会激励信息主体交易其个人信息以获得经济回报,但微薄的个人信息交易收益无法消弭处于弱势地位的个人在频繁的个人信息商业化交易中存在的人格权益贬损风险。当个人信息主体产生了自身人格权益易在信息交易中受损的认知,则会选择在后续的交易或分享中趋于保守,最终结果将是人人自危,从而会阻滞个人信息在信息主体与信息处理者之间的正常流通。与此同时,商业化的个人信息获取模式无疑进一步扩大了大型信息企业与小微企业本就存在的技术鸿沟,其结果必然是小微信息企业利用个人信息的能力降低,而龙头企业基于优势地位获得高经济回报而成為最大的获利者,进而阻碍了中小型信息企业对个人信息的合理利用。数据壁垒在巩固平台企业控制地位的同时,会削弱其他企业在数字技术创新上的激励[16]。
此外,从供求关系角度来看,个人信息财产化后,市场上供不应求而价格高昂的个人信息大多为隐私权属性最强的私密信息[17]。此时,即使立法规定禁止商业化利用强隐私敏感信息,也无法完全阻止信息企业买方和生活窘迫的卖方进行交易。著作权之所以可以产权化,是由于其本质是具有人格属性的财产权利[18]。著作权客体中的财产属性处于绝对地位,其人格权相对较弱且能够与财产权兼容,甚至还能促进财产权益的扩大,而个人信息权益作为人格属性极强的复合型权益,不能将之类比知识产权而简单财产化。也就是说,个人信息财产化实质上加大了信息主体对是否分享个人信息的非理性决策因素的考量,使个人在人格权益与金钱二选一的抉择中做出不符合自己权益保护的行为,这强化了所编造出的一种“虚幻的控制”,进而使人们认为掌握了个人信息管理权。况且,我国个人信息权益与隐私权还存在交叉【根据《民法典》第1034条规定,私密信息系个人信息与隐私的交叉领域。个人信息中涉及隐私的权利虽已渐渐融入了选择权、访问权、纠正权以及被遗忘权等积极权能,但其本质依然是“保护”而非“利用”隐私。】,将一项具有资源价值的人格权益财产化无疑会挑战现有民法中的人格权体制,也未彰显个人信息的本质属性。
二、个人信息的公共利益属性
著作权法的制度安排旨在帮助著作权人获得利益,其最终目的还是为了实现公共利益[19]。著作财产权化对创作和传播的激励是公众利用作品实现社会利益的基础,其个人财产属性过于显要,所以公共利益属性只能在法律中以“著作权的限制”出现。个人信息与知识信息虽同为个人产出的信息产物,但个人信息在价值起源、人格权属性构造、生成机制等方面的独特属性决定了其无法如作品般通过信息产权化的方式发挥其利用价值。个人信息财产属性难以独立支撑其建立财产权制度,个人信息保护仍应以保护人格利益为主。区别于《民法典》适用于调整平等民事主体之间的私人利益保护范畴,《个人信息保护法》更偏向于调节个人与个人信息处理者之间不平等的个人信息权益关系,更关注公共利益的考量。这里,个人信息的公共利益属性可以划分为“公共人格属性”与“公共产品属性”,分别与个人信息的人格属性与财产属性相对应。
(一)从个人人格到公共人格
纵观欧洲个人信息保护史,从受第二次世界大战保护人权思想影响而产生的《欧洲人权公约》第8条“人人有权享有使自己的私人和家庭生活、家庭和通信得到尊重的权利”旨在保护全社会公共利益,到随后计算机技术的兴起使1981年《有关个人数据自动化处理的个人保护公约》和1995年《与个人数据处理和数据自由流动有关的个人保护指令》逐渐走向个人权利本位的个人信息保护,再到如今被称为个人数据保护法的黄金标准的《通用数据保护条例》(GDPR)模式,个人数据权的确立成为全球数据保护立法的核心内容。然而,随着个人信息立法从保护集体转向保护个人,科技公司正在朝着另一个方向发展——从分析单个个人信息主体行为转向个人信息群体行为[20]。
大数据时代,信息处理者对个人信息收集、处理和利用所影响的人格权益并非仅限于单个信息主体层面,而且会影响他人以及公共的人格权益[21]。比如,在授权信息处理者识别通讯录或朋友圈内容时,亲友的电话号码或肖像等也在被收集的个人信息之中。大数据技术对于个人信息的拓展不仅仅是对单个信息主体“纵向深度”的挖掘,也能对与该信息主体相联系的群体层面施以“横向广度”的挖掘。个人信息权益受侵害时涉及的是群體性质的隐私人格利益[22],个人信息的人格权益已经很难划分出“个体”与“公共”,俨然形成了一个“利益共同体”,即个人信息与公共利益紧密相连、不可分割。保护单个信息主体的个人信息权益已经难以解决群体性的隐私侵权状况,需要将人格权益的保护由个人扩大到群体。
个人信息对于信息主体的人格尊严和自由价值,应当是个人信息保护立法中首要考虑的因素[23]。相较于《民法典》将“个人信息”条款规定于人格权编,《个人信息保护法》所保护的不是单个信息主体的人格权益,而应为社会整体的人格权益。毕竟信息主体与信息处理者的不平等地位使得私法无法实现利益平衡下的个人信息权益保护目标,需要兼具公法与私法双重属性的《个人信息保护法》进行法律规制。如果将个人信息保护领域中的人格权益仅仅解释为人格权益的个人利益,可能会导致与信息处理者利益失衡的矛盾加剧。信息企业对个人信息“利用的需求”并不是对单个被收集的个人信息的利用,而是信息处理者对于公共整体所收集的个人信息的利用。所以,在个人信息的“利益衡量”中,与“信息处理者对个人信息利用需求”进行利益取舍的一方并不是单个信息主体对个人信息的保护需求,而是群体性质的信息主体对个人信息的保护需求。从《民法典》到《个人信息保护法》对个人信息权益保护的转变,正是从保护单个信息主体的人格权益到保护数个个人信息集合体的人格权益,即公共人格权益。对于“公共人格”的保护方式,立法试图通过“个体”量的积累以达到保护集合性质的人格权益目标,但此方式已难以适应企业对群体层面的信息处理,而《个人信息保护法》第70条的公益诉讼条款为后续直接对群体性质的人格权益保护措施的制定预留了空间[24]。例如,在“未成年人个人信息保护民事公益诉讼保护第一案”中,法院认定某科技公司危害了社会不特定未成年人群体的公共利益【参见杭州互联网法院民事调解书(2020)浙0192民初10993号。】。儿童群体与其监护人(普通群体)生成的个人信息具有混合属性,而个人信息的单个救济难以解决混合性群体的隐私侵权问题,信息处理者对于未成年人群体个人信息在识别与特殊保护上的合规要求,已经将群体利益保护与公共利益保护紧密联系。
(二)从财产属性到公共产品属性
个人信息的公共利益属性不仅体现于群体性质的人格权益保护,也是用户对信息企业使用公共产品反哺公益的利益诉求。将个人信息的资源价值理解为“公共价值”,更能深刻诠释信息企业对个人信息的合理利用。
一方面,个人信息从本质上并未脱离公共领域。知识信息与个人信息的区别在于,知识信息已经通过作者的主观劳动几乎脱离了公共价值而成为作者的私有财产,知识信息的财产属性由此而生;而个人信息由信息主体客观生成,依然未脱离公共领域,因此可以为信息企业所收集和利用。事实上,个人信息产生之初便天然落入公共的产品领域,是任何人均可以使用的资源[25]。但个人信息由于其独特的人格属性与原先的公共产品相区分,信息处理者需要取得信息主体同意后方可处理个人信息。个人信息的同意制度不是把自身的个人信息权利许可给信息处理者,而在于确定自己人格权益不被侵害后授权信息处理者使用,这是其公共产品属性的体现,与知识信息的财产属性完全不同。
另一方面,个人信息合理利用以服务公共目的为出发点。按照主体类型不同,个人信息处理者分为政府信息处理者和非政府信息处理者。前者基于政府公权力对个人信息进行收集、处理和利用,如新冠疫情下利用个人信息进行流调、溯源等,本身旨在维护公共利益,其公共产品属性明显。后者对个人信息的利用,则需要结合具体目的和场景进行分析。信息企业对个人信息产生的利益涵盖两部分:一部分是纯粹的资本逐利,并不涉及个人利益,而另一部分则是企业生产客观上推动了生产力的发展和生产技术的革新,有利于增进民众福祉,在社会控制论中等同于社会公共利益,优先于具体的个人利益[26]。我国《个人信息保护法》以限制部分个人信息权益来使信息处理者的“信息利用”得以实现,旨在促使信息企业利用个人信息后反哺公共福利【我国《个人信息保护法》之所以承认基于公共利益目的而对个人信息权益限制的正当性,不仅因为公共利益位阶高于个体人格权益,而且因为个人信息本身具有比著作权客体更高的公共价值属性,即信息处理者可基于公共利益突破“同意”而径行收集和使用个人信息。这种对个人信息的“合理使用”不仅包含着对人格权益的限制,更是个人信息本身所具有的公共价值的体现。】。企业可以通过加强科技研发、资金投入来合法利用个人信息,为广大用户提供更为丰富、高质的互联网产品,这就是信息企业开发个人信息的公共价值。
简言之,知识信息与个人信息虽然都源自公共领域,但个人信息领域信息主体的“同意”明显区别于知识产权语境下的“授权”,说明个人信息不如知识信息般向“财产”靠拢,而是更具有公共性和社会性。信息的核心利用价值是共享而非排他独占,将个人信息所蕴含的可利用的资源价值解释为“公共产品属性”而非“财产属性”,能够促进垄断性信息企业和一般信息企业都能平等地收集并利用个人信息,而且“公共产品属性”更注重公共资源的共享,信息企业经信息主体同意后无偿获取了个人信息资源,则有义务合理利用个人信息以实现社会福利增益的目标。反之,将其定位于“财产属性”更偏向于私有财产的独占,信息企业并无将其有偿获取的“个人信息私有财产”服务于公共福祉的动机和激励。欧盟《数据治理法案》(2022)就突出了信息的公共价值,建立了数据信息的共享流通机制,个人和信息企业都可基于“数据利他主义”而为公共利益自愿无偿地分享其个人数据。
(三)从功利主义到正义原则
个人信息财产制度的构建思路,其本质上是功利主义的立法导向,试图运用信息商品化交易市场的运作机制来实现资源配置和利用的最优目标。而功利主义以效率原则为中心,其结果将会导致社会分配不均。
知识信息能够财产化,是因为其价值从“知识创造者个体”中产生,个体属性更强,需要私有财产制来激励创作,而不是以突出其公共利益属性来苛求分配公平。而个人信息的价值则是从“个人信息产出个体组成的社会群体”中产生,不管是人格属性还是价值属性都与公共利益相关联,所以立法应以保护群体性人格利益和保障社会福祉为要义。以功利主义为基石的个人信息财产权化观点势必导致个人信息主体为获得微弱的经济补偿而出卖个人信息,其人格权益也更容易被侵害,从而催生信息时代新型的不平等关系,其社会危害性远大于知识信息财产化导致的“不平等”【将可共享的信息转化为私有财产本身阻碍了他人对信息的平等获取,知识信息富有者与知识信息贫困者之间会产生“信息鸿沟”,霸权国家设置的专利壁垒则会阻碍发展中国家的科技进步等,这都是知识信息财产化引发的危害。】。例如,在“攜程大数据杀熟案”中,用户同意信息企业收集其个人信息,反而遭受了价格歧视【参见浙江省绍兴市中级人民法院民事判决书(2021)浙06民终3129号。】。与此同时,大数据技术导致个人信息使用过程中被侵害人格权益的“少部分群体”的范围逐渐扩大,已经上升到了“公共人格”,功利主义所鼓吹的“最大幸福效益”显然无法实现。
正因为功利主义在个人信息财产制度的解释路径上存在根本性偏差,正义原则理应成为个人信息公共产品属性的理论基石。事实上,支持个人信息财产化的学者也试图通过正义原则来分配个人数据权利,以解决多个主体间的利益冲突:一是分配数据权利前首先确定自然人或组织只可支配一般信息而不可支配私密信息;二是自然人或组织在使用个人信息财产时要注意公共利益的边界;三是政府以公共利益名义优先使用个人信息;四是个人信息使用者享有财产权利需要经过信息主体和信息处理者的允许[27]。然而,这种思路明显存在现实适用问题。首先,信息处理者通过使用大数据技术从一般信息中“纵向深度”挖掘出私密信息,这已然成为现实,难以确保个人信息主体在交易时不会导致私密信息的泄露。其次,信息处理者通过“横向广度”挖掘,使得个人信息中的人格权益不再仅限于个体,个人对自身个人信息的商用许可还可能危害到群体中不特定自然人的人格权益。保护个人信息的人格权益也即保护社会中公共人格权益的集合体,其本身就是公共利益的新概念,难以再与原先的公共价值利益区分边界。再次,在数字环境处于弱势地位的信息主体对其个人信息的控制能力有限,在信息商品化领域更难以依靠个人决策来确保人格权益不受侵害【较之信息企业,个人信息主体身处于信息不对称之中,其理性决策受到阻碍:一方面信息主体无法通过被“告知”信息数据复杂的收集和使用而处于“充分”知情的状态,另一方面信息主体的“同意”并非积极的自主同意,而是未实际“知情理解”下的消极默认,因此难以依靠“知情同意”来使信息主体完全知晓和掌握个人信息数字化利用所带来的人格权益损害风险。】[28]。最后,个人信息的商业化模式本身以交易自由为中心,在此基础上再设立“公共利益”和“人格权益”等边界不仅偏离意思自治的主旨,而且在数字时代无法有效落实,最终只会导致信息主体遭受人格损害而无法达成正义原则保护弱势群体并确保公平的目标。功利导向的个人信息财产化路径与正义理念下的利益衡量注定难以兼容。功利主义认为,为了追求社会福祉最大化,可以牺牲一部分人的利益。这只符合著作权法的立法理念,因为限制知识信息财产权可以实现社会公共福利。罗尔斯的正义原则认为,少部分人的痛苦不能为大部分人的快乐所抵销,这是不公正的[29]26-33。《个人信息保护法》通过设定信息处理者合理利用个人信息的边界来保护信息主体人格权益,而非为了发展数字经济就促进个人信息最大化利用。
信息处理者本身更有能力去利用个人信息以提高社会总体福利,而信息主体则处于弱势地位,两者地位天然不平等,但为了数字化发展,个人信息又不得不被信息处理者所使用,因而信息主体这一群体就应得到补偿利益的改善。《个人信息保护法》就是通过对个人信息赋予公共利益属性,而对信息处理者施加更严格的义务和责任来保护个体的人格权益。将个人信息可被独占的财产属性转化为一种社会共享的公共利益属性,不仅有利于全体社会成员享受信息价值,还能抑制信息企业对人格权益的肆意滥用。罗尔斯所追求的正义道德,就是为了限制信息领域中天生的不平等。财产制度在正义原则语境下并非一种目的,而是要服从特定的道德目标,即保障最少受惠者和机会的公平平等[30]。倘若财产制度无法实现实质正义,其设立的必要性就存在根本性缺失。
著作权法领域自然法的劳动财产理论与功利主义的激励理论殊途同归:通过自然法理论赋予个人领域以“垄断私权”,尔后通过作品期限保护制度,使作品最终流入公共领域来实现功利主义社会福利最大化的目标[31]。个人信息保护法领域则是恪守了正义原则,承认信息处理者对个人信息公共价值的开发,但由于其容易侵犯“公共人格”而导致信息主体与信息处理者的“不平等”,因而信息处理者有义务在事前采取技术措施以化解信息主体的人格隐私风险,在事后信息主体所提起的司法救济中承担更重的证明责任,由此实现利益的合理分配。
三、公共利益属性下个人信息权益的保护进路
否定个人信息的财产权并非否认个人信息的利用价值,只是将个人信息中财产属性所体现的核心思想从“独占”转变为公共利益属性的“共享”与“共治”。突出个人信息的公共利益属性也并非以限制个人利益为代价,而是通過解构个人信息的公共利益属性,将个人信息的个人人格利益融入群体利益,以“公共人格属性”来平衡其“公共产品属性”。因此,可以通过立法和司法两个层面,从个人信息公共利益角度进行协调与转变。
(一)事前个人信息保护的预防机制
个人信息的人格利益属性是法律保护个人信息的基础,而公共利益属性则为信息处理者的技术合规提供理论支持并划定边界。
1.公共利益语境下个人信息处理的规制导向
共享性与开放性是网络信息资源区别于传统自然资源的最大优势,而数据资源的合理分配正是数字正义实现的根本依据。在著作权领域,知识信息法律体系中财产制度是“工具”,激励创新是目的。知识信息主体排斥他人未经许可使用其知识信息,是因为其需要合理的经济回报来填补劳动成本并激励其进行再次产出。与之相类似,在“知情同意”法律框架下无偿取得具有公共价值的个人信息只是“工具”,合理利用个人信息以创造社会价值才是目的。个人信息合理期待理论下的“用户中心主义”要求信息处理制度须有意识地围绕用户对个人利益的需求进行处理。无偿的个人信息获取机制注重公共价值的呈现,为规范信息主体和优化个人信息数据利用方式提供空间。无论是大型互联网企业还是中小微型信息企业,都能平等地获取个人信息资源以发挥其利用价值,唯一的“门槛”是自身隐私技术措施的强弱与信息主体的信任关系,这也是罗尔斯“机会平等”正义理念的另一种诠释。
个人信息作为用户人格利益的载体,其人格权利的充分确立与优先保障是数字环境下“以人为本”立法要素的基本价值诉求[32]。个人信息保护法保护的是个人信息不受信息处理者非法收集、泄露、买卖和利用而导致信息主体本身的人身、财产权益甚至人格尊严、个人自由受到损害,而非个人信息本身[2]。信息主体不同意信息处理者使用其信息是担心自身的人格利益受到侵害,而非担心信息处理者剥夺其对个人信息财产的“占有”。换言之,如果信息处理者能实现个人信息去标识化或匿名化而不会产生人格权益被侵犯的风险,让信息主体得到更优质的信息服务,那么实践中大多数用户是愿意授权信息处理者使用其个人信息的。同理,对个人信息进行法律保护的主要原因是保护其人格权益而非保护其财产权益。依赖私力救济的财产权保护制度,同样也无法为覆盖于公共群体的人格权益保护提供充分保障。个人信息保护法要克服的主要矛盾是应对数据科技所制造的伦理风险,即信息企业对数据的追求与信息主体对人格利益底线的恪守之间的平衡,而双方地位的悬殊使其成为数字环境下显著的不平等问题。因此,在个人信息制度设计时,应当首先确立个人信息主体人格权益的优位保护规则以达成伦理上的正义,而非激励信息企业最大化利用个人信息以追求经济效益。
2.确立信息处理者技术合规义务
在公共利益的语境下,群体性的个人信息侵权与“环境侵权责任”具有相似性,都体现出受损害的经常性与严重性,而前者由于处于网络空间,其受侵害方具有不确定性。保护数字环境中的个人信息,就如同保护自然环境中的空气、河流、土壤一样,都是公益问题;信息企业的个人信息侵权行为可被理解为数字环境“污染”行为,只不过其危害后果表现为侵犯个人信息权益。假设存在工厂排污与村民水源引发的环境纠纷,解决环境污染的更有效路径则是事前对企业排污行为进行严格规制,从源头上抑制环境污染问题的发生,而非事后对企业施以严格的惩罚措施。同理,面对“公共人格”侵害问题,现行的个人信息保护范式需要更重视事前规制而非事后救济。由于大数据时代信息主体之间的人格利益相互关联,当信息企业对人格利益的损害呈现群体性质时,对信息主体人格权益进行单一保护已然不足。要想从源头上最小化信息处理者对人格权益造成的风险,需要在事前设立个人信息技术保护义务,以化解群体性的人格侵权损害。显然,经设计的个人信息保护机制正是通过技术入法的方式弥合了信任鸿沟,相较于单纯依赖法律的禁止性规定,以技术规范技术会产生更好的治理效果[33]。
个人信息所承载的公共人格利益使得企业在收集处理个人信息时必须采取法定方式,即必须采取去标识化或匿名化技术等安全保障措施。这看似加重了信息企业的法定义务,实则矫正了不对等的双方主体地位,有利于建立并增强信息处理者与信息主体的信任机制。我国《个人信息保护法》第5556条与欧盟GDPR第35条都建立了“基于风险”的个人信息事前保护机制。我国较欧盟更宽泛的个人信息影响评估机制虽在一定程度上增加了企业合规成本,但为大数据背景下用户群体交织的公共人格权益保护提供了事前风险预防机制。此外,还可以通过要求信息企业向政府监管部门提交处理个人信息的源代码和算法,并结合网络用户对该信息企业的信息泄露评价,以评估该信息企业化解人格权益风险的技术能力,从而在隐私政策上设立技术合规评级制度,并将此作为判断是否信任信息企业并将个人信息授权其使用的依据之一。信息主体在判断是否向信息企业分享其个人信息时,其本质是在进行风险评估决策,而政府监管的介入能够帮助用户更透明地认知其行为存在的风险。确立事前的技术合规路径,可以激励信息企业不断开发出旨在保护个人信息的新技术措施,“个人信息同意市场”会挑选出那些更具有潜力来保护并能合理利用个人信息的企业。个人在身处更透明的网络环境时,将更愿意分享其个人信息,由此在公共人格权益受到优先保护的前提下构造更加公平的数据共享环境。
(二)事后司法救济的问责机制
个人信息公共利益属性的强化,为个人信息侵权的司法应对转向“公共治理”提供了理论支撑[34],群体性的个人信息司法保护需要从两个维度进行优化。
1.以司法民主化修复数字信任
信息主体与信息处理者之间存在信任关系,若信息处理者过度逐利而减损用户信任,则易引发数字信任公地悲剧[35]。无论是部分国内学者所提倡的个人信息产权化路径,还是欧盟GDPR所倡导的个人信息主体的个体人格权益保护,都是推行一种“个人主义”的权利救济或保护模式;然而,在个人信息治理中,个人利益欲求是难以衡量或超越群体意志的。费因伯格在《心理学利己主义》中就认为:“任何人最终所能够欲求或寻求的(作为目的自身的)东西,只能是他自己的个人利益。”[36]例如,在一般个人信息侵权案中,若信息企业对个人满足其个人信息权利诉求或提出一定赔偿金额就可能达成和解,进而忽视后续对其他潜在受害者的救济,则个人并不会在意他人的个人信息或隐私损益,甚至期盼将他人的个人信息利用最大化以满足数字经济畅通运转的目的。况且,大数据时代个人信息本身就涉及群体利益,无论是基于个人财产还是个人人格的“自决”,都难以切实保护公众的个人信息权益并构建对个人信息处理者的信任。数据处理中群体利益的普遍存在意味着个人在数据处理中的行为必然会以自己无法直接控制的不平衡方式影响他人,容易偏离“群体认同”而加剧信息处理者与信息主体之间持续的不平等关系。因此,对数据治理关系的基本认识,应当从“数据作为个人媒介”(data as individual medium,DIM) 转向“数据作为民主媒介”(data as democratic medium,DDM)[37]。
司法在一定程度上承担了修复数字信任环境的责任,而个人信息侵权诉讼中司法公信力亦影响公众与信息企业间信任的维系。个人信息作为公共人格和公共价值的产物,其公共治理自然需要彰显民主意志。“民主嵌入司法”是我国人民陪审员制度的核心要义[38],有助于提高各个领域的司法公信力。《人民陪审员法》将“涉及群体利益、公共利益”情形的案件纳入人民陪审员制度的适用范围,而普遍涉及群体利益和公共利益的个人信息侵权案件应当扩充至人民陪审员的陪审范围。其中,有效参与是衡量民主的基本标准之一。在涉及个人信息的公益诉讼案件或有重大影响的个人信息案件中,陪审员的民主監督更需做到实质参与,将普通用户群体的民主意志带入审判中。此外,国家应当针对信息企业对“数据权力”的滥用积极履行个人信息保护义务,避免司法中对信息处理者与信息主体简单套用平等民事主体关系[39]。监管机构在事后应采取相应的处理措施,要求信息企业优化数据合规义务,并将其修正治理过程透明化、公开化,以此修复与公众的信任关系。
2.权益风险治理下适用过错推定责任
根据我国《个人信息保护法》第69条,个人信息侵权中的损害赔偿遵循过错推定原则,强化信息处理者的举证义务,而信息处理者的过错仍然是侵权损害的构成要件[40]。个人信息处理者承担过错推定责任的实质基础在于个人信息处理者才具备以处理行为承担的法定作为义务[41]。信息企业事前采取保护个人信息的技术措施,决定了个人信息处理过程中给信息主体带来的人格权益风险,而事后个人信息侵权的受害人数规模客观上体现了个人信息侵权危害结果的严重程度。当群体性的个人信息侵权发生的本因是信息企业未采取个人信息保护的法定技术措施以控制风险时,个人信息处理者给群体性网络用户的人格权益制造了大范围的危险,应当承担更严格的责任。司法实践中,可以要求信息企业向政府监管部门提交处理个人信息的源代码和算法,并且结合利益相关的公众网络用户对该信息企业的信息泄露评价,再次评估该信息企业的人格权益风险。对未采取有效技术措施来控制风险且危害公共人格利益的信息企业,应认定其具有过错,理应承担侵权责任;反之,若个人信息处理行为尚未产生风险,则推定其无过错。由此,既平衡了信息主体与信息处理者之间的举证责任,又有助于激励信息处理者积极履行信息合规义务。个人信息司法的目标不仅为救济单个信息主体的人格权益,还旨在矫正该信息企业不合规的信息处理模式所导致的公共人格权益风险。
此外,从数据利用之初衷考察,增进消费者福利与利益是始终追求的目标[42]。公众对个人信息合理利用的期待,使得信息企业的收集处理行为具备正当性。但如果将个人信息的资源价值理解为财产属性,并着眼于个人信息财产权益分配,则无法为信息企业利用个人信息时考虑公共利益提供正当性解释,个人信息成为了信息企业追逐利益的对象。例如,“微信读书案”中网络公司向用户“好友”推送阅读记录的个人信息使用行为,虽然属于信息企业对个人信息的合理利用范围,却未能提升大多数信息主体的用户体验【“微信读书”向同原告共同使用该应用的微信好友公开其读书信息,其中原告提交的公众书证据显示大量用户对自动关注微信好友并公开读书信息的行为感到不满。法院认定:读书信息并非私密信息,因此,泄露不会导致信息主体人格利益受侵害,被告侵害个人信息权益的理由是告知不充分。最终法院认为“损害结果较为轻微”,仅判决被告书面道歉,并未对该个人信息处理行为进行引导和限制。(参见北京互联网法院民事判决书(2019)京0491民初16142号)】。信息企业既然能经用户同意而无偿获取具有公共价值的个人信息,就理应发挥个人信息的第二重公共价值,即顺应信息主体的意愿提高网络服务质量,个人信息的利用方式应使社会增益。司法应当认识到个人信息的公共产品属性,关注用户群体对互联网平台的评价,并引导信息企业利用个人信息优化用户体验,限制信息企业将个人信息纯粹用于自身牟利而有损用户网络服务体验的行为,注重纠正互联网平台不合理的个人信息处理行为而非仅侧重于单个信息主体的救济。实际上,企业发挥个人信息公共价值与其实现盈利的目标并非排斥关系,而是一种基于信任的共赢式可持续发展路径。
四、结 语
从印刷技术普及促成知识信息的广泛传播,到数据科技应用引发的个人信息利用与保护问题,人作为原始信息产出者,却由于个体能力受限而被技术推向了弱势地位,企业则能凭借相关的资本运作获得巨大利益。知识信息产权化虽存在局限性,但因客观上维护了作者利益而具備合理性,而同为无体物的个人信息在法律属性上与其存在根本性差异,故不可效仿其信息财产化路径。大数据时代,个人与公共利益休戚相关,处理个人信息问题难以从“个体”出发,而是要上升至“群体”或“公共”,才能形成与信息企业的利益制衡。个人信息的公共利益属性无法也不应被财产价值所掩盖或取代。公众同意信息处理者收集利用个人信息是寄希望于其提供更优质的数字产品或服务,而本质上追求功利主义的个人信息财产制度却无法承载并实现该目标。
促进个人信息资源流动所依靠的是蕴含正义理念的法律规则的设计而非财产权制度的激励。个人信息保护法的功能是给所规制的主体设定行为边界,数字环境中的“权利保护”与“信息利用”并非矛盾的对立体,而是实现公共利益统一目标的重要组成部分。“正义是社会制度的首要价值,如同真理是思想体系的首要价值一样。”[29]3个人信息的法律构造应当以正义原则为指引,搭建正义的数字网络环境以确保身处弱势地位的信息主体享有更平等的待遇,并在群体性人格权益保护的基础上推动信息价值的实现,充分激发个人信息的公共利益属性。
参考文献:
[1]张新宝.论个人信息权益的构造[J].中外法学,2021(5):1144-1166.
[2]程啸.民法典编纂视野下的个人信息保护[J].中国法学,2019(4):26-43.
[3]刘德良.个人信息的财产权保护[J].法学研究,2007(3):80-91.
[4]邢会强.大数据交易背景下个人信息财产权的分配与实现机制[J].法学评论,2019(6).
[5]吕炳斌.个人信息权作为民事权利之证成:以知识产权为参照[J].中国法学,2019(4):44-65.
[6]PARKS A M.Unfair collection:Reclaiming control of publicly available personal information from data scrapers[J].Michigan Law Review,2022(5):913-945.
[7]张勤.知识产权客体之哲学基础[J].知识产权,2010(2):3-15.
[8]付夏婕.信息自由视域下的知识产权信息公共服务探析[J].知识产权,2015(5):82-86.
[9]洛克.政府论:下篇[M].叶启芳,瞿菊农,译.北京:商务印书馆,1964:20-24.
[10]许可.数据权属:经济学与法学的双重视角[J].电子知识产权,2018(11):23-30.
[11]彼得·德霍斯.知识财产法哲学[M].周林,译.北京:商务印书馆,2017:113.
[12]黑格尔.法哲学原理[M].范扬,张企泰,译.北京:商务印书馆,2013:73.
[13]姬蕾蕾.大数据时代个人信息财产权保护研究[J].河南社会科学,2020(11):21-30.
[14]熊琦.著作权法中投资者视为作者的制度安排[J].法学,2010(9):79-89.
[15]熊琦.著作权激励机制的法律构造[M].北京:中国人民大学出版社,2011:13.
[16]石先梅.互联网平台企业垄断形成机理:从数据竞争到数据租金[J].管理学刊,2021(6):1-12.
[17]王敏.敏感数据的定义模型与现实悖论:基于92个国家隐私相关法规以及200个数据泄露案例的分析[J].新闻界,2017(6):2-10.
[18]李琛.质疑知识产权之“人格财产一体性”[J].中国社会科学,2004(2):68-78.
[19]冯晓青.著作权法中的公共利益[J].人民司法,2007(13):84-87.
[20]MARTIN T.The data delusion: Protecting individual data isnt enough when the harm is collective,Stanford Cyber Policy Center[R/OL].(2020-06-13)[2022-08-12].https://cyber.fsi.stanford.edu/publication/data-delusion.
[21] STRA H S.Privacy as an aggregate public good[J].Technology in Society,2020(63):1-5.
[22]TAYLOR L, FLORIDI L, VANDER S B.Group privacy:New challenges of data[M].Cham,Switzerland:Springer,2016:13-15.
[23]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3):38-59.
[24]徐彤.个人信息保护制度的风险路径及其路径风险——以荷兰数字治理及SyRI案为例[J].行政法学研究,2022(5):149-160.
[25]高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018(3):84-101.
[26]陈国军.论大数据时代个人信息的私法保护与共享[J].河南师范大学学报(哲学社会科学版),2022(1):66-73.
[27]YU Xiaolan.Allocating personal data rights:Toward resolving conflicts of interest over personal data[J].Fudan Journal of the Humanities and Social Sciences,2021(4):549-563.
[28]SLOAN R H, WARNER R.Beyond notice and choice:Privacy,norms,and consent[J].Journal of High Technology Law,2013(14):370.
[29]約翰·罗尔斯.正义论[M].何怀宏,何包钢,廖申白,译.北京:中国社会科学出版社,1988.
[30]胡波.罗尔斯“正义论”视野下的财产权[J].道德与文明,2015(3):67-74.
[31]梁九业.著作权制度基础的重塑:以正当性理论与法实践的互动为视角[J].北方法学,2021(6):84-96.
[32]包晓丽.二阶序列式数据确权规则[J].清华法学,2022(3):60-75.
[33]张继红.经设计的个人信息保护机制研究[J].法律科学(西北政法大学学报),2022(3):31-43.
[34]丁晓东.从个体救济到公共治理:论侵害个人信息的司法应对[J].国家检察官学院学报,2022(5):103-120.
[35]谢尧雯.基于数字信任维系的个人信息保护路径[J].浙江学刊,2021(4):72-84.
[36]陈真.心理学利己主义和伦理学利己主义[J].求是学刊,2005(6):50-56.
[37]SALOME V A.Relational theory of data governance[J].Yale Law Journal,2021(131):573-654.
[38]张善根.民主嵌入司法:《人民陪审员法》的价值向度[J].北方法学,2019(6):107-115.
[39]王锡锌.国家保护视野中的个人信息权利束[J].中国社会科学,2021(11):115-134.
[40]宋才发.个人信息保护的法律规制与法治路径[J].重庆邮电大学学报(社会科学版),2022(5):48-56.
[41]王道发.个人信息处理者过错推定责任研究[J].中国法学,2022(5):103-121.
[42]姚佳.企业数据的利用准则[J].清华法学,2019(3):114-125.
Personal information: From property attributes to public interest
attributes: A comparative study based on the theory of composition
of information property rights
ZHANG Jihong, WU Zuhao
(China National Institute for SCO International Exchange and Judicial Cooperation,
Shanghai University of Political Science and Law, Shanghai 201701, China)
Abstract:The commercial value of personal information in the era of big data is constantly highlighted. The view that personal information should be endowed with property rights based on personal information personality rights has emerged one after another. However, personal information has special attributes different from the object information products of intellectual property rights. The information property rights theory such as labor property theory, personality property theory and economic incentive theory cannot become the basis for constructing a personal information property system. The property rights system focuses on individual control and weakens the public interest attributes of personal information, which not only makes it difficult to stimulate the intrinsic motivation of enterprises but also limits the free development of personality and thus gives birth to new types of unequal relations. Personal information protection should focus on public interest considerations, covering two parts: “public personality attributes” and “public product attributes”, the former is the sublimation of personality attributes, and the latter is the essence of property attributes. Under the public interest attribute, personal information protection should allocate rights and interests according to the principle of justice, return to the justice value of legal protection of the interests of vulnerable groups. One the one hand, the law should ensure that information companies obtain personal information free of charge and on an equal footing while protecting the personal rights and interests of information subjects. Pre-information protection can be compared to environmental governance, and technical specifications can be used to regulate information processing methods. On the other hand, in order to repair public trust in digital environment, post-event judicial relief for personal information should adopt democratic means and associate the risk of interest manufacturing by information processors with their burden of proof responsibility. The protection of rights and interests of group information subjects and the information utilization by information processors are not in opposition to each other. The public interest attribute of personal information clarifies that both parties can promote common development based on it.
Keywords:personal information propertization; property attribute; public interest attribute; public personality attribute; principle of justice
(编辑:刁胜先)
