2 x2 @! L% X, f; W9 m% t
本文选编自梅夏英:《在分享和控制之间数据保护的私法局限和公共秩序构建》,载《中外法学》2019年第4期。; y8 A1 X1 J0 a5 s
【作者简介】梅夏英,对外经济贸易大学法学院教授,中国民商法律网授权学者。 当代互联网科技和平台应用的快速发展,对传统法律理论和立法体系提出了严峻的挑战,信息或数据的法律规制问题因此成为近年来法学界关注的重要领域。然而,目前就数据现象所做的理论研究存在着离散化和碎片化的特征,对“数据”这一研究对象在不同的问题场域所作的界定和理论判断,存在着相互矛盾的状况。对外经济贸易大学法学院梅夏英教授《在分享和控制之间数据保护的私法局限和公共秩序构建》一文拟在检视现有数据理论观点局限性的基础上,关注数据的公共性原理及其对传统思维模式转换的客观要求,进而探讨如何建立关于数据分享和控制的理论框架。 一、目前私法对于数据权益界定的理论尝试及其局限性 目前,从私法上界定数据及其上的权益,其核心在于数据的确权问题。对此,理论界主要在个人信息和企业数据两个相互区分的领域分别展开。关于个人信息法律属性,理论上有人格利益说(包括隐私权说和具体人格利益说)、个人信息权说和人格兼财产权说三类观点,关于企业数据权属的认定则有知识产权保护(包括著作权保护或商业秘密保护)和财产权保护两类观点。2 F1 R6 @& U* G4 X
无论是将数据权益界定为人格权还是财产权,个人权利还是企业权利,都不能很好地解释数据的流动和控制问题。其中的结构性问题在于,个人信息与数据财产如何统一于同一数据之上,以及如何在数据可由众多主体合法分享的前提下,体现出数据权利在私法上的排他性和救济性特点。* q0 G: [% y- X) h% m2 K" j
通过数据权利化的强保护方式来保护相对局部的数据利益,忽视了数据本身的分享和流动的惯常性存在,以及数据排他性占有的现实困难。于此,法学界需要重新审视数据的特性和运作规律,观察数据在私法视角以外的公共面向,以补充或修正已有理论的不足。 二、数据的公共性价值与法律保护思维模式的转换 数据具有公共性,即一人对数据的使用不影响他人使用,多人同时使用时亦互不排斥,而且它不受容量和空间的局限,可以及于任何人。此外,数据的互惠分享是互联网赖以生存的基础生态规则。通过互惠利他和分享协作,互联网最快捷、最大范围地满足了用户对信息的饥渴和需求,并创造了空前的合作盈余。
: M1 [7 Y5 @ T) K, C, }& j) k' t9 F以数据的公共性特征来中和私权化的片面性,有助于在理论上科学把握数据的分享和利用规律, 并对既有的思维模式适当调整。以下试述之。
7 `/ ^" R* m. F% I$ i(一)由基于稀缺的法律到基于充裕的法律* P; o$ b, e* S2 |9 K
传统私法的权利化体系起初建立于客体的稀缺之上,客体的稀缺导致了法律上定分止争的必要。而关于信息,人类未能系统地把握、运用数据化信息流动的充裕性原理。另外,不同于其他传统公共品,在技术上尝试对于无形的信息进行私有化的可能性甚微。在以分享为前提的信息法秩序中,想要对于当前现实生活中的个人信息、知识产权和企业数据财产提供保护,就应当减少对于信息本身权利化的努力,而将重点放在规制互联网用户的操作行为上,同时强化规则的预防功能。
. Z) t6 z$ e% }7 x- M(二)从私益保护面向到公益保护面向
* u: q W8 P4 g q m个人信息保护法的直接目的更多地体现在公共领域,即规避因信息可能的泄露和滥用而导致的社会风险。数据保护本身应被理解为某种合法权利的有效附属保护方式,即数据保护本身只有在个人自由或权利有被侵害的可能时,才作为一个有效的公法保护方式存在。此外,对于企业数据的保护也可以从公共目的或公共秩序的角度来理解。对于现实生活中企业之间的数据纠纷,更多只能从行为的社会危害性角度来考虑。! s7 x8 d1 b6 R9 ]* n6 u& k
(三)从数据控制的强化转向数据控制的谦抑
, o; y( a0 i, L) R# D# e% r数据控制的必要性在于,在承认数据技术对于信息分享的积极意义上,抵销或纠正不正当的数据利用方式带来的冲击,而非通过控制数据流动去影响数据的分享。目前我国对数据控制应当保持适当谦抑态度,其原因在于:一是数据的分享和流动是目前我国网络产业得以蓬勃发展的根本原因。二是当代数据规制的目的是对数据滥用或竞争失序的纠偏,而非阻止数据的分享和流动。 三、分享前提下数据法律控制的理由体系 9 x$ Y9 v- R i& B7 Y! y4 K1 @; r
(一)数据控制理由之一:个人信息保护目的和限度
3 o- S `" O6 f3 y- m- q/ }个人信息保护针对的是数字技术时代个人数据的滥用或泄露问题,从消费者保护和公法上的社会风险控制这一角度来理解更合理。但个人信息保护的公共目的并不意味着其受保护程度的不受制约,在立法上应予以合理的限缩:一是立法不应强调抽象的一般性预防原则,而应适度简化数据保护的强度和广度;二是个人数据保护应关注社会风险类型及其发展变化而与时俱进。未来个人数据保护的重点应转移到强调个人免受算法的无理监视、秘密操控和不当歧视上来。0 B# A. m% T: h$ b c
(二)数据控制理由之二:企业数据利益的发现0 v+ J( }, j1 @" K V: U3 b/ t1 {
企业数据的价值在于企业自身对于数据的利用和数据的交易。对于通过市场交易获利而言,其价值来源于“数据鸿沟”的存在和企业对于数据的“现实控制”这两个条件。对企业数据保护的主要任务便是维护企业对数据控制的现有状态,以维持相对的“数据鸿沟”存在的状态。对这种状态的保护无法采用对数据本身的确权等强保护方式来实现,采用“事实控制+交易”的弱保护模式更为合理。
5 d5 E, k2 [$ L# w0 q7 N (三)数据控制理由之三:不正当竞争的规制
/ j8 j% y. a% F: ?, |6 k7 f( y) Y目前互联网数据分享和控制基本秩序存在一定的缺失,在此前提下,司法对于不正当竞争的认定仍应采取谦抑的态度。在个案的利益衡量中,应考察互联网数据分享和垄断的规律,将本应属于为事前防范的数据基本保护规则调整的内容留给立法和公共执法来完成,而将重点转向互联网业态下合理竞争秩序的探讨和规制上来。) E) t* v& L5 _. C T5 o# M
(四)数据控制理由之四:网络安全的保护( \8 }* l+ H. {0 [
基于网络安全而对数据采取保护和控制是国家和社会层面安全保护的基本要求,它属于公共安全和公共利益维度的强控制领域,当然构成数据控制的合法理由。《网络安全法》对网络运行和信息安全的维护便是国家安全的重要保障,在判断不法行为的性质和后果时,应在价值判断序列中处于优先地位。 四、“分享和控制”理论结构下的数据立法 基于上述分析,数据立法的基本逻辑和结构大致上逐步清晰起来,即数据立法是介于数据分享和控制之间的公共规则体系,这种体系受制于数据分享和控制之间的天然张力。6 F/ n ]6 Z P
(一)分享和控制理论结构下数据系统操作规则的基础价值
% R9 m& S/ [( W8 z将分享作为数据法律的基础价值,并辅以充分理由下的控制规则,就可以建立数据流动和限制的理论模式。这种理论模式可以有效解决目前数据理论面临的基本矛盾问题:一是私法研究进路中存在的数据成为多个“权利”的共同对象的理论困境。基于数据公共性和分享特性,若将上述所谓的“权利”理解为控制数据流动的理由,就可以使上述理论上的冲突得以消除。二是上述理论模式可以如实地反映当代数据法律中公益和私益的高度融合的现实。私主体在分享前提下享有的数据利益永远只是局部的和暂时的,且其利益保护离不开公共利益面向。三是上述模式将数据置于公共地位,就使数据法律理论从对数据的客体定性上解放出来,而专注于设计数据在计算机和互联网系统下的“导流图”。
- t: T" `$ H R% w# Y在分享前提下建立数据控制体系,因缺乏数据权利这一前提,数据法益的保护实际上主要依赖于主体之间在网络空间中数据操作规则秩序的建立,故数据工具系统上的操作规则在解决现有大多数数据纠纷中具有核心意义。
2 @( h! n' W! k( @(二)数据控制和救济的立法逻辑 o* Y; E2 u# h
数据分享的途径不在于创造,而在于挖掘和释放。而数据控制应具有严格和必要的理由,并保持立法上的谦抑态度。在此基础上,通过理由的分列甚至重叠,就可以形成数据控制的立法体系。数据的控制和保护主要体现在公法层面上,除非信息本身属于传统私法保护的范畴(比如隐私和知识产权)。这种公法体系的法律均体现出保护性的特点,它们既服务于数据技术体系的安全,也关注信息本身的安全,但两者并不完全重合。法律基于不同理由对于数据进行保护的体系中,存在规范的重叠现象,不能理解为是应当避免或消除的现象。在数据控制理由体系中,各种功能和目的是可以同时存在甚至叠加的,控制的理由之间并不存在完全冲突的现象,只会相互强化。 原作者:梅夏英 原文链接:https://mp.weixin.qq.com/s/owVE5qfIkgh-kG5Yy6gGkA 编辑:宋婷
" ~7 W; E9 ]1 R8 o) g( g8 I/ ^ |