优秀征文选登丨夏海波(郑泽爽:数据权利边界之廓清)
优秀征文选登
上海市法学会积极服务国家ai战略大局,推动人类科技向善发展,根据2020世界人工智能大会组委会的安排,“2020世界人工智能大会法治论坛”由上海市法学会主承办,初定于7月10日在沪召开。
本着将“世界人工智能大会法治论坛”打造成汇聚全球智慧、推动人工智能未来法治体系建设策源地的美好愿景,2019年11月15日起,上海市法学会、中国知网、《上海法学研究》《东方法学》面向全球征文。截至2020年4月20日,共计收到原创性、学术性和思想性兼具的法学研究成果作品150余篇。
上海市法学会微信公众号将选登30篇作品,开展网上评选。征文活动结合网络投票,通过专家评选,遴选出一等奖、二等奖、三等奖以及优秀奖共30篇,另设一名“网络人气奖”作品。上海市法学会微信公众号上将对选登作品进行为期一周的网络投票,投票结果将作为评选重要参考。单篇文章阅读量加上网络投票数值最高的作品将获得“网络人气奖”!
《上海法学研究》集刊将专卷出版“2020世界人工智能大会法治论坛文集”,特别优秀的论文可推荐《东方法学》发表。上海市法学会将邀请部分获奖作者到沪参加2020世界人工智能大会法治论坛有关活动。
欢迎大家踊跃投票、点赞,为喜欢的作品加油助威!
夏海波 上海汉盛律师事务所
郑泽爽 上海汉盛律师事务所
内容摘要
廓清数据权利边界是保护数据权利关联主体的重要前提,对宽泛而不加甄别分类的数据“统一保护”并不可取。数据按照其生长周期划分数据阶段从而识别每个阶段的数据形态是界定数据权利的基点。笔者把数据分为四个阶段,分别是挖掘(采集)阶段、储存(汇编)阶段、处理(清洗)阶段、使用(交易)阶段。笔者通过对前三个阶段数据形态的剖析以及对应阶段数据权属的法理分析,并对数据使用者侵权“使用”数据的行为方式进行双面探讨,提出“内部以数据分阶段确定权属”为主、“外部以侵权‘使用’数据行为判断”为辅的数据权属厘清方式,以期为廓清数据权利边界助益。
关键词:数据 信息 权利边界 侵权
一、问题的缘起
在大数据时代背景下,数据含有非常大的经济价值,是企业重要的无形资产,故又可以被称为“新时代的石油”。一个企业无论其规模或大或小、创建历史或长或短,都或多或少拥有数据。而在愈发激烈的市场经济竞争中,这些数据对企业有着独特的价值。根据数据的生长周期可以分为四个阶段:挖掘(采集)、储存(汇编)、处理(清洗)、使用(交易)。原生数据的来源是个人可识别的特征或个人的行为轨迹,所以,目前对于数据的保护都是出于“人”而展开的,其中最具代表性的是2018年5月25日欧盟出台《通用数据保护条例》(以下简称“gdpr”)。当然,企业也会采取各种与用户签订《授权协议》的方式承诺自己对仅在用户授权的范围内正当使用数据。
然而,当数据被侵权的情况实际发生时,法院往往因为数据权利范围的界定而苦恼,主要表现在:
(1)现行法律体系下并未对数据和信息涵盖范围及区别作出明确界定,致使发生纠纷时无法认定被侵权的是数据还是信息;
(2)个人数据、海量数据、大数据概念易混淆;
(3)数据易储存、复制及再生的特点,致使难以认定侵权行为发生时数据权利的归属;
(4)数据的容量大、来源类型多、经手人员或企业过多等的特点为数据保护增添了难度。
数据和知识产权一样存在着保护与限制需协调、平衡的问题,对于“强数据”需“强保护”以及“弱数据”需“弱保护”的理念应当慎重考虑。在数据保护中存在多方利益需要协调,不能因保护数据而限制数据的发展。故各方若能守望数据权利的边界,其利益冲突或许不会发生。但数据的发展速度永远在立法的前列,法律的滞后性导致数据权利边界难以确切划分。一味地与用户或大数据公司签订《授权协议》以获取数据使用权利并不能代表这些合规方式行之有效。
故此,企业若想切实维护其自身所持数据的利益,决不能将厘清数据权利边界推后至法院,否则很可能因为前面的保护漏洞而功亏一篑。所以,务实的态度应是:企业在数据持有伊始尽可能廓清数据权利边界,并做好数据合规体系架构建设,并将其贯彻到数据合规企业战略中去,以期在数据纠纷发生时取得主动性。同时,因为数据权利边界不清主要是因为企业与原始数据个体、公共利益等多方存在诸多利益冲突,所以,企业在保护其所持有的数据利益过程中,需高度重视各方可能会出现的利益冲突,尽力厘清各方冲突中的争议焦点。就笔者目前所掌握的资料来看,欧盟的gdpr、美国加利福尼亚州颁布的《2018年加州消费者隐私法案》(以下简称“ccpa”)及司法实践等都对数据的生长周期形成了较为成熟的规则,可以为我们廓清数据权利边界提供借鉴。
二、内部基点:“三阶段”数据权属确定的法理基础
数据相较其他动产或不动产有着显著的不同,数据难以借助公示的制度确定相应的主体与客体。相反,不动产以登记的方式公示了权利的边界,动产以有形实体交付公示了权利边界,知识产权除商业秘密以秘密性作为其价值所在,著作权以发表方式公示了权利的边界,专利权和商标权以核准方式公示了权利的边界。而数据来源及后续处理的交错复杂在侵害行为真正发生时才有可能划分出权利的界限。故此,廓清数据权利边界是保护数据权利关联主体的重要前提。
一般而言,大数据时代背景下数据的生长周期可分为四个阶段:挖掘(采集)、储存(汇编)、处理(清洗)、使用(交易)。因此,确定与证明数据属于哪个阶段是廓清数据权利的基点。然而,实践中企业往往忽略了数据所处阶段,没有对数据生成阶段进行充分研究,本着用户已经“同意授权”的观念,将所有的信息放任使用。如此,不少企业难免在数据保护方面漏洞百出,故要廓清数据权利的边界,“三阶段”的确定是首要任务。
(一)数据挖掘(采集)阶段——个人数据
1.数据挖掘(采集)阶段的确定
数据挖掘(采集)阶段是指从特定数据生产环境或不同的数据源中获得的原始数据。这一阶段获得的原始数据多是零散无序、识别性高、应用价值低的数据,多为表现为自然人实体的姓名、性别、民族、联系方式、家庭住址、工作单位等“强数据”以及运动轨迹、购物记录、行车路线、上网痕迹、位置定位等个人偏好或行动方面的“弱数据”。无论是“强数据”还是“弱数据”,此时的数据表现多为自然人实体的自有属性或因其行为而自动产生与自然人实体有着强烈的关联。故此,自然人在日常生产行为过程中,往往会产生大量的个人数据,该阶段的数据权利关联主体为自然人。
2.个人数据权属确定的法理基础
数据主体作为万数之源的创造实体,是数据保护的核心基准。目前,各基国于对数据个人进行人格权保护的思路进行相关立法工作,主要有两种保护模式:一是基于传统的隐私权保护的美国模式,同时科技的发展不断扩大隐私权的范围,其客体是数据背后的人格权益,其基础在于保护公民的人格尊严;二是基于自由的个人数据自决的德国模式,在大数据背景下公民数据自决的权力逐渐削弱,其客体也是数据背后的人格权益,其基础在于保护公民的人格尊严和人格发展的自由。前者更注重事后救济,后者更主张事前预防。
美国个人数据保护以隐私权为其权利基础,以个人人格不受侵犯为其保护目的,即美国的隐私权制度根植于个人的人格尊严。隐私权涵盖了人们生活的诸多方面:第一,隐私权可以保护创造性思维所需要的独处生活;第二,隐私权可以让人们的生活变得更加独立;第三,隐私权保护人们的财产有所保障,使得公权力不会任意对人们进行干扰。美国重视表达和信息自由的价值,其认为人们合法获得的真实信息的表达应当全部受到绝对的保护。故此,美国的隐私权理论就是在自由主义思想影响下的产物,是以个人主义为分析切入点,强调政治和法律安排上防范公权力侵犯人权的制度,个人获得对抗国家和社会的权利。
德国个人数据保护以个人数据自决权为其权利基础。个人数据自决权的产生源自个人人格自治的理念,属于人格权利,其期望保护的是一种人格利益。就像最初的隐私权一样,个人数据自决权并没有法律上的明文规定,其确立都是从法院的判例中演化而来。1983年,德国联邦宪法法院提出了个人信息自主的概念和权利保护理论,其认为信息个体有权反对其个人资料被无限制地收集和使用。信息自决权理论认为,“个人对其一切具有识别性的个人信息的收集、处理和利用享有决定权和控制权”,即“我有权决定何时、何地、以何种方式传递有关我的信息”。这就意味着信息主体要对数据的获取、处理过程完全知情和充分参与,即享有处分的知情权,以及同意或拒绝、修改和删除等权利。如果个人失去了对个人信息的支配权,那么其个人的人格尊严、平等、独立、自由的人格利益将会荡然无存。故此,德国个人数据自决权虽起于隐私,但未止于隐私,并通过法院判决逐渐确立了与隐私权一样的特别人格权—个人数据自决权,它们的上位概念是一般人格权。主张者们希望通过重塑“个人信息自决权”这么一项“新型权利”,限制个人高度敏感的强信息无限制的被交流,以重新构造个人对其自身的个人信息控制权。但实际上,此种绝对权利理论即使在欧洲也进行了一定的修正,更多国家数据保护体系的构建基于隐私权的司法实践,即将个人数据中涉及个人隐私的信息部分归纳至民法隐私权的保护范围。
两者相较不难发现,英美法系的隐私权和大陆法系的一般人格权,两者之间对于人格尊严、人格独立即人格自由的保护有异曲同工之妙。
我国应当以一般人格权作为我国个人数据保护的法理基础。众所周知,德国与美国的法律体系不同,分属于大陆法系和英美法系,故两国在私法制度上存在着本质的不同。美国的判例法系中没有与大陆法系中相对应的人格权概念,而在德国民法的大陆法系中也没有与英美法系中相同外延以及功能的隐私权制度。隐私权在英美法系中指的是在西方文化背景下界定人性时不受到某种公权力入侵的权利,是对个人人格自由及尊严的保护。而大陆法系的隐私权早已被承认为一项具体的人格权。大数据时代背景下,个人数据不同于个人隐私,个人数据与个人隐私的外延不相同,故对个人数据的保护不能仅限于隐私保护的利益。因此,中国正在进行的个人数据保护立法,应该立足于中国既有的法治环境土壤,尊重本国的社会文化与价值,选择一般人格权作为个人数据保护立法的权利基础。
一般人格权利不仅对于具体人格权有一般的涵盖作用,同时也是人身权中一项独立的基本民事权利。一方面,一般人格权会应社会变迁及科技发展等大环境变化,派生出各种各样的具体人格权;另一方面,由于一般人格权抽象和具有高度概括性的特色,亦可成为人身权中最具抽象性、典型性和基础性的基本人格权。一般人格权具有解释功能、创造功能及补充功能三方面的基本功能。而一般人格利益是民法理论中是最接近个人数据保护之精神性人格利益的上位概念,能完整概括个人数据保护的法益。个人数据保护的法益是因科学信息技术发展所产生的一种独立新型的精神性人格利益,借助一般人格权的三种基本功能,才能引领一般人格利益涵盖个人数据上承载的所有精神性人格利益。
(二)数据储存(汇编)阶段——海量数据
1.数据储存(汇编)阶段的确定
数据储存(汇编)阶段是指对海量数据的储存和管理,而这些海量数据的储存和管理者一般为政府或者企业(以下简称“数据控制者”)。数据控制者将挖掘或者收集到的个人数据进行简单的预处理,即数据控制者将海量数据中可能存在的一些无意义的数据予以剔除,并根据后阶段数据处理(加工)的需要将海量数据进行有规则的储存、汇编、管理。故此,数据控制者在海量数据的收集过程中,投入了大量的技术和管理成本,该阶段的数据权利关联主体为数据控制者。数据控制者对于该阶段的海量数据享有占有、使用、收益、处分(经原个人数据主体同意)的权利。
2.海量数据权属确定的法理基础
目前,越来越多的企业或者机关单位斥巨资挖掘(采集)大量的个人数据,如果完全限制其对海量数据的使用或者放任其他第三人使用,则可能会打击这类数据控制者的信心,耗费企业或者政府对海量数据的存储和管理成本。因此,解放对数据流通的束缚,促进数据流通的安全与快捷,仍然是各国未竟的事业。在实践中,对于海量数据保护并不是一道只有唯一选项的单项选择题,而是一道可以根据不同情况受到多项法定权利保护的多项选择题。根据中国法律,除版权法(著作权法)以外,还有商业秘密权、合同债权和反不正当竞争保护可以被受害者主张。
(1)海量数据保护的著作权法基础
从现有的中国法律体系出发,对于海量数据的法律保护这种制度设计类似于《著作权法》第14条中对数据库的法律保护。数据控制者对海量数据存储(汇编)之后形成具有独创性的数据产品可以获得我国著作权法的保护。《著作权法》第14条规定与《世界知识产权组织版权条约》第5条规定以及《与贸易有关的知识产权协议》第10条第2款的规定相同,并无实质上的差异。从以上法律规定和国际条约规定可知,我国《著作权法》所保护的汇编作品可以由电话号码、地址信息、公司名称、交易行情、股票走势等不能单独构成作品的信息、数据或其它资料汇编组成,这一点使著作权保护在理论上可延伸至数据。
然而,海量数据的汇编作品虽然在其结构和编排体例可能体现作者在数据选择或者数据编排上的独创性,但这种汇编作品未必具有保护价值。海量汇编数据的结构与数据如同蓄水池与水,而决定数据真正价值的是数据内容本身而不是结构,例如:同一城市地区内的电影票信息按电影放映时间、电影票价高低、优惠力度、电影院名称排列都可以,但实质都是同一个数据集合,没有保护的价值。此外,诸如会计行业的财务报表类数据库结构在逐步标准化和统一化,例如财务报表,也使对数据结构的保护失去意义。而大数据检索技术普遍运用情况下,数据库的结构随时增减变化。故此,汇编作品并不能覆盖很多有价值的数据库,如以汇编作品版权模式保护海量数据有先天不足,可能会致使立法本意与法律实践产生南辕北辙的效果。
(2)海量数据保护的反不正当竞争法基础
如果数据控制者对于海量数据的存储(汇编)的预处理未达到最低创造性要求,则其无法获得财产规则下著作权模式的保护。比如在上海澳托克数字仪器有限公司、特福隆集团有限公司与罗托克控制有限公司侵犯著作财产权纠纷案中,法院认为:“汇编若干作品、作品片段或者不构成作品的数据或者其他材料,对其内容的选择或者编排体现独创性的作品为汇编作品。罗托克控制公司未能举证证明系争的3张数据列表中的数据在选择、编排方面具有独创性,因此,系争的3张数据列表不构成汇编作品。”对于无法达到法律规定最低独创性水平的汇编数据,数据控制者对其收集的信息以商业秘密的形态加以保护,以保障其海量数据商业利用的市场秩序。
《反不正当竞争法》第10条第3款规定,当技术信息和经营信息满足秘密性、保密性、实用性时可以作为商业秘密保护。目前,司法实践中对商业秘密权利边界的认定更倾向宽泛化,主张商业秘密权保护数据的案例亦呈现增多趋势。在广州润亮财税咨询服务有限公司、程红亮与北京新网数码信息技术有限公司广州分公司等人侵犯著作权纠纷、侵害商业秘密及其他不正当竞争纠纷案中,首先,法院认为本案系争的客户名单涉及的联系方式、客户交易习惯、交易意向等内容有别于公共渠道获得的信息的,满足商业秘密具有秘密性的特点。其次,原、被告之间签订了《保守商业秘密协议书》和《劳动合同》有效,故法院认为原告对其客户名单等经营信息采取了相应的保密措施,满足商业秘密具有保密性的特点。最后,原告主张权利的经营信息能够给原告公司带来一定的经济效益,使原告公司具有较强的竞争优势,满足商业秘密具有实用性的特点。因此,法院认为原告公司的客户名单符合商业秘密的法律构成要件。
此外,对于既不满足著作权法对独创性要求又不符合商业秘密的海量数据进行保护的案件中,禁止不正当竞争往往是原告和法院的标准选项,即法院在裁判时从实现数据保护和商业利用之间的平衡角度出发,对无法达到法律规定最低独创性水平的汇编数据予以一定的前期肯定,以保障其海量数据商业利用的市场秩序。例如:在上海霸才数据信息有限公司与北京阳光数据公司技术合同纠纷案中,法院认为,sic实时金融信息是一种新型的电子信息产品应属电子数据库,本质上是特定金融数据的汇编,但在数据的编排和选择上并达到著作权法所要求的独创性,不构成著作权法意义上的作品。作为特定金融数据的汇编者,对数据的收集、编排进行了投资,承担了投资风险同时获取了收益。故此,特定金融数据的汇编者对于其投资及由此而产生的正当利益应当受到法律保护。正由于反不正当竞争法具有高度抽象性和宽泛化解释的弹性,故其能够对成文法静态保护的权利形成兜底的动态保护。如果把专利法、商标法、版权法比作冰山,那么反不正当竞争法就如冰山下使其赖以漂浮的海洋。
(三)数据处理(清洗)阶段——大数据
1.数据处理(清洗)阶段的确定
数据处理(清洗)阶段是指企业或政府(以下简称“大数据生产者”)利用分析方法或工具对数据进行检察、变换和建模并从中提取价值,即基于海量数据的基础上对其进行“云计算”,由此产生新的数据产品抑或称之为衍生产品。此时,由于海量的个人数据已被企业或政府(以下简称“大数据生产者”)清洗和数字化,此时的衍生数据产品中的人格属性被剥离,不再涉及个人数据所有权的问题,大数据财产性价值突显。该阶段的大数据生产者对大数据产品享有所有权,这是对于其智力成果的肯定,同时也顺应大数据产业发展趋势,适应大数据时代数据保护规则建构的要求。
2.大数据权属确定的法理基础
在普通法的传统里,捕获规则是伴随着野生动物资源、石油资源以及相应监管法律制度发展过程中的一项重要产权制度,美国各州普遍采用该项规则。捕获规则也被称为无限采掘权规则。著名的皮尔逊诉波斯特案(pierson v. post)中,便围绕野生动物的财产权利应归属于谁这一问题而展开。波斯特主张适用“可能捕获标准”,即具有合理成功机会且正在追赶猎物的猎人已经充分实施了产生所有权的“占有”行为,皮尔逊则主张适用“实际捕获标准”,即野生动物所有权应归属于第一个捕获或杀死它的自然人。本案二审法院推翻了一审法院的判决,最后确立了野生动物实际捕获标准,即只能通过占有的方式取得其所有权。因此,捕获规则奖励的是成功者而不是努力者。
无独有偶,在佩德罗石油公司与阿普兰德资源有限公司—案中,审判法院对捕获规则适用于自然资源做了如下阐释,捕获规则适用于土地所有人在非故意或非恶意的情况下,有权获取其地下可移动矿产而无需对相邻土地所有人承担任何责任,即使获取地下可移动矿产的行为可能侵犯了相邻土地所有人对该矿产享有的所有权权益。故此,近代以来,许多文明国家将自然资源从其土地的母体分离,对其单独采用主权者控制下的“许可——取得”模式,以替代将自然资源作为土地组成部分而被土地先占者一并先占的私有化模式,以及将自然资源作为土地孳息而被土地物权人一并取得的私有化模式。著名学者盖尤斯从自然理性的视角出发,其主张不无主物的所有权归先占者取得,其涵盖范围包括陆海空范围之内的一切可能被捕之物。
同理,捕获规则对应的捕获所有权同样适用于大数据。数据生产者对海量数据进行加工、清洗、处理而得的各种衍生数据产品(诸如数据库、数据报告或数据平台等),享有占有、使用、收益和处分的财产权益。
首先,数据信息如同野生动物、水流、石油、天然气一般,是一种可流动的资源。数据的复制性强、易传播等特性充分地说明了数据信息能从一个储存介质上转移到另一个储存介质上。对于大数据“云计算”的作用下获得的衍生数据产品可以形象地理解成是数据生产者最先“捕获”并实际占有和控制的产品,是数据生产者的“战利品”。
其次,新数据产品是数据生产者的劳动成果。新数据产品并非原始天然之物,其挖掘、存储、处理以及数据价值实现皆有赖于数据生产者前期大量的人工干预和巨额的资本投入。这种新数据产品的获得如同自然资源一样,若想要获得这些资源,则必先付出一定的劳动,才有可能将这些资源“私有化”。基于数据多栖性的特点,数据生产者将新数据产品“私有化”后,并没有损害数据信息初始的数据源。
最后,捕获规则给予了数据生产者积极正向且有效的激励。众所周知,大数据产业是一个人力和资本双密集的行业,通过捕获规则确定数据生产者的所有权一方面可以遏制第三方搭便车进而不劳而获的行为,鼓励数据生产者对数据挖掘、存储、处理等行为的长期投资;另一方面,捕获规则在法律层面增加了确定性,有助于大数据交易和大数据的商业化再利用。不仅如此,捕获规则运用下的数据所有权将数据生产者的实际控制转化为法律控制,大大提升了数据的开放程度与可得性,进而促进数据的自由流通。24可资作证的是,欧盟《关于数据库的法律保护的指令》在赋予那些不受著作权法保护但又有实质性投资的数据库以特殊权利的同时,特别允许第三人亦有权自由运用权利人公开数据库中属于单纯事实部分的数据。
三、外部关键点:侵权“使用”数据行为的判断与证明——数据使用(交易)阶段
数据催生了信息新时代,但人们在获取种种便利之时,也遭受到了史无前例的数据被非法泄露的风险。实践中,各国司法部门从企业或单位外部入手,以规制数据使用者对数据侵权“使用”的行为。对于侵权“使用”数据行为的判断,存在很多难点,我国国内实务经验尚少且系统的理论研究缺乏。因此,下文将以数据使用(交易)阶段为视角,探析数据使用者侵权“使用”数据的行为方式,以期为厘定数据权利边界助益。
1.直接出卖或交易个人数据信息可构成侵权使用
2018年8月,微信平台流传一张黑客出售华住酒店集团5亿条客户数据的截图,全部用户数据信息的打包价为8个比特币,折合人民币约38万元。实践中,个人数据交易是对个人数据利用最直接的一种行为,也是目前对个人数据保护最大的威胁。个人数据交易只要有三种形式:第一,数据控制者将个人数据信息作为“商品”销售与第三人或者有偿转让给第三人;第二,各个数据控制者之间互换各自收集的个人信息;第三,关联企业之间的共享或者因公司组织并购而取得的个人数据。公司组织并购后,如是新的公司取得个人数据,则新的公司并非是原始数据主体同意其收集和使用的对象。
而我国《刑法》第253条、《刑法修正案(七)》《刑法修正案(九)》对侵害公民个人信息犯罪作了明确规定,分别是出售、非法提供公民个人信息罪和非法获取公民个人信息罪,凡是达到法定刑事责任年龄的自然人或任何单位均能以前述罪名追究刑事责任。
在大数据信息条件下,我国刑法有针对性地明确侵害个人信息违法犯罪行为,强化情节界定,表明了我国在尊重人权和公民个人数据信息保护上所做出的努力,具有重要意义。
2.数据收集者若将数据集用于单位内部实验、个人数据信息商业化或其他超越限制领域等可构成侵权“使用”
著名的网络书店亚马逊曾特别开辟一个名为“采购圈(purchase circles)”的专区,并在该专区上公布亚马逊书简关于书籍、cd、录像带的排行榜。由于亚马逊书店系根据历年来曾上网消费的约一千万笔客户书籍加以分析整理,并依地区、国家、非营利团体、私人公司、大学等等进行分类,个别统计销售排行榜,并开放给所有在线者查询。
早在1995年,欧盟议会与欧盟理事会公布的《关于涉及个人数据处理的个人保护以及此类数据自由流通的第95/46/ec/号指令》(以下简称“95指令”)赋予了数据主体反对数据控制者以商业化的目的对个人数据进行处理和利用的权利。gdpr则规定数据主体享有拒绝权,即在数据处理者合法处理数据的情况下,数据主题依然能够予以拒绝,且该权利应当被明确地引起数据主体的注意,清晰地与其他信息分开说明。但数据主体并非有权利拒绝数据控制者所有的合法处理行为,有一定范围的合理限制。
《网络安全法》作为我国网络安全领域的首部法律,将个人信息保护纳入该法,同意了“个人信息”的定义和范围,确立了个人信息收集和使用的合法正当原则、知情同意原则、目的限制原则、安全保密原则和删除改正原则,规定了相关主体的个人信息保护义务,也规定了违反个人信息保护的法律责任。其中,第41条明确规定了网络运营者收集、使用个人信息时应当事先经过被收集者同意,并明示信息的使用目的和范围。
故此,网络书店亚马逊开辟“采购圈”专区在未经网络使用者或消费者同意的情况下,收集、处理、使用、流通甚至公开其个人书籍,置使用者与消费者的个人尊严于不顾,本质上便构成侵犯使用者和消费者的一般人格权。数据主体在接受服务或者曾从事交易的过程中,提供必要的数据信息只允许用于提供服务的目的,未经数据主体同意,个人数据被用于其他目的即为不正当的利用。
3.只要能降低研发、收集数据成本的行为可能侵权“使用”
在“腾讯诉抖音”一案中,qq/微信的个人头像属于个人用户授权腾讯单独使用以及允许腾讯与第三方(抖音)使用,虽抖音和多闪为关联公司,但被授权的第三方没有权利再授权给“第四方”(多闪)等使用。腾讯在起诉抖音时,履行其保障个人用户数据安全的合同义务,是企业承担其责任的具体表现。
故此,数据收集者若要将个人数据直接给到其关联方(实为同一实际控制人),减少数据收集的成本,亦可认定为直接侵权使用。
4.利用个人数据引诱数据主体的行为可构成侵权“使用”
我国《宪法》第40条规定了通信自由与通信秘密受法律保护,通信自由权所保护的利益是个人私生活秘密和表现行为的自由。公民的通信自由当然包括通过电子邮件进行通信的自由,但并不意味着可以滥用此种权利而随意地发送宣传单或电子广告信,譬如在《中国电信垃圾邮件处理暂行办法》以及《中国互联网协会反垃圾邮件规范》中对于垃圾邮件就有明确的责任规定。
数据收集者利用个人数据处理分析后引诱数据主体作出相关行为也可以认定为直接使用。2012年,查尔斯·杜希格(charles duhigg)曾在《纽约时报》上发表过一篇小文章《公司如何了解你的秘密》,这篇文章的亮点是一个父亲的故事,该故事主要讲述的是一位父亲来到一家商店,抱怨商店给他的高中女儿寄来了婴儿用品折扣券。几天后,父亲打电话向商店经理道歉,原来他十几岁的女儿怀孕了,她只是还没来得及告诉她父亲!商店是怎么知道这个女孩怀孕的,她甚至还没告诉她爸爸?简单来说,通过观察人们的购物习惯,对客户的历史购买记录进行分析和预判,商店和许多其他零售商可以对人们的生活做出精准的预测,进而向客户发送相关推销广告,引诱客户进行消费行为。
如上所述,数据收集者利用数据主体的个人数据信息及消费信息向数据主体滥发宣传单或者电子广告信只是人们在社会生活中的最常见的样态,除此之外,我国法律对于个人数据信息保护规定,还零散地分布在各个法律规范中(如下表),被侵害的数据主体需要结合自身情况进行甄别,鉴定数据收集者是否利用自己的个人数据引诱自己作出相关行为。
序号
表:与信息相关的法律汇总
5.数据收集者超期使用个人数据可构成侵权“使用”
数据主体有权要求数据控制者无不当延迟地删除其个人数据的概念和立法源起于欧洲。2014年5月13日,欧洲法院在google spain,sl, google inc.v.agencia espanola de proteccion de datos(aepd), mario costeja gonzale中认定,如果与个人信息有关的搜索引擎结果是不准确、不适当、不相关或者是超范围的,会给数据主体造成偏见性影响,数据主体有权要求相关信息不再为公众知晓,不再列入搜索结果。在我国任甲玉与百度一案中,也强调“任甲玉依据一般人格权主张其被遗忘权应属一种人格利益,该人格利益若想获得保护,任甲玉必须证明其在本案中的正当性和应予保护的必要性”。
可资作证的是,gdpr第17条规定:个人数据的收集和处理已不再必要的、数据主体撤回同意或同意到期的、数据主体行使反对权的、个人数据被非法处理的、根据成员国法定义务必须删除的、根据gdpr第8条第1款所述的社会信息服务而收集的。以全球大数据企业领头羊的google公司为例,每年要收到数以万计的数据主体删除其个人信息的请求。故此,google公司专门成立了专家组和删除组,两组人员专门负责去审核这些数据主体的申请并对其个人信息予以回复、查询、删除。
综上,个人数据在初期的披露、处理和使用价值可能较高,但随着时间的推移,此类数据的披露、处理和使用价值会逐渐降低,此时继续公开此种数据的价值要远远低于该数据可能对数据主体带来的不利影响,则此时应赋予数据主体要求将该数据予以删除的权利。
四、结语
笔者根据数据的生长周期把数据分为四个阶段,分别是数据挖掘(采集)阶段、数据储存(汇编)阶段、数据处理(清洗)阶段、数据使用(交易)阶段。
数据挖掘(采集)阶段、数据储存(汇编)阶段、数据处理(清洗)阶段,这三个阶段是廓清数据权利的基点。数据挖掘(采集)阶段采集的是最原始的个人数据,其对应的权利主体是原始数据主体;数据储存(汇编)阶段存储、汇编及管理的是由大量原始个人数据积累而成的海量数据,其对应的权利主体是数据控制者;数据处理(清洗)阶段是基于海量数据的基础上,通过“云计算”的预测和分析作用得到的高价值衍生数据产品。不同阶段对应着不同的数据实体,也对应着不同的权利主体。
而在实际数据应用中,处于不同阶段的数据都有着被泄露和侵犯的可能性,并且此阶段的数据控制者可能会对彼阶段的数据进行违法侵权“使用(交易)”,进而对彼阶段的数据权利关联主体造成侵害。三个阶段的数据也可能受控于同一个数据控制者,形成“数据垄断”。而在数据使用(交易)阶段,数据控制者侵权“使用”数据行为是数据权利边界的外部关键点。
但迄今为止,无论是立法还是司法对数据权属问题并没有作正面的回应。希笔者提出的内部以“数据分阶段确定权属”为主、外部以“侵权‘使用’数据行为判断”为辅的权属厘清方式,能为厘清数据权利这一问题作出有益的探索。
上观号作者:上海市法学会