刘颖、郝晓慧:个人数据交易的法律基础|前沿
中国民商法律网
【作者简介】刘颖,辽宁大学金融安全与法治研究中心研究员、博士生导师,暨南大学法学院教授、博士生导师;郝晓慧,辽宁大学法学院博士研究生。
随着科技的发展和社会的进步,部分人格利益开始商品化。通过强制数据处理者进行信息披露、为数据主体表达隐私偏好提供畅通渠道等方式,可部分解决因个人数据交易市场的信息不对称而导致的市场失灵问题。对个人信息进行的法律限制和其他限制所创设的匿名的和半匿名的交互空间在一定程度上构成隐私公域,要求在个人数据的私人属性和公共属性之间找到适当的平衡。我国个人数据交易一级市场主要为数据处理者与数据主体之间的个人数据的收集关系,二级市场则主要为数据处理者之间的个人数据共享关系。个人数据交易一级市场应遵循告知同意原则,二级市场应遵循合法原则和兼容原则。为促进数字经济发展,我国《个人信息保护法》第14条第2款应修订为“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意,但与个人信息的初始收集目的兼容的除外。”第22条、23条也应作类似修改。同时,应绝对禁止核心数据交易,相对禁止重要数据、敏感个人数据交易。
一、
引言
我国《个人信息保护法》第1条规定,制定该法之目的为“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。欧盟《通用数据保护条例》(GDPR)既规定与个人数据处理有关的自然人保护规则,也规定有关个人数据自由流动的规则。2015年,国务院发布了《促进大数据发展行动纲要》,要求“促进数据资源流通,建立健全数据资源交易机制和定价机制,规范交易行为”。其后,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》《中共中央国务院关于新时代加快完善社会主义市场经济体制的意见》《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》《“十四五”数字经济发展规划》等一系列文件相继出台,我国步入了“数据交易规范化”进程。上述文件多为框架性的发展要求,数据权属、交易标的、交易规则等相关规范尚付阙如,而现有的研究多关注个人数据保护问题,就数据权属及权益性质的主张各异。不同学者基于不同角度提出数据资产权与数据经营权、大数据有限排他权、数据生产者权、数据控制者权、企业数据权、抽象的集合性财产权利、企业数据物权(所有权)、企业数据知识产权说、大数据邻接权说、公共区块链数据公有说等。我们认为,在数字技术和数字经济发展的现阶段,难以以绝对权方式一揽子确定包括个人数据在内的数据权属。为适应促进数字经济发展,可以先行确立数据交易规则。
二、
个人数据可交易性的争议
有关个人数据是否可以交易存在争议。而否定个人数据可以交易又是基于不同的原因。康德认为,人格乃在体现人的尊严及价值,应以人为目的,不得将之物化,使其作为交易的客体。因此,相当长的时期,传统民法不承认人格法益本身具有财产价值。从我国《民法典》的规范设置来看,“个人信息在性质上应当属于人格权益的范畴,其应当是人格权的客体。个人信息权利以主体对其个人信息所享有的人格利益为客体。”有人认为,单个自然人的个人数据本身并无价值,不承认个人数据能作为财产转让。也有人从市场失灵的角度否认个人数据的可交易性。当一些人比另一些人知道更多的信息时,市场不能使资源得到最好的利用。一方面,信息主体对于数据处理者如何处理个人信息基本上一无所知。个人无法知道其披露的数据与数十亿其他数据点汇总后意味着什么。另一方面,绝大多数时候,数据企业给消费者的选择项只有两个:留下或离开。数据处理者没有向数据主体提供多元的隐私偏好表达渠道,当然也不了解数据主体的不同隐私偏好。由于信息不对称,数据主体囿于“要么留下要么离开”的二元选择框架必然产生了无谓损失,从而导致市场失灵。市场失灵的结果是人们过多的出售财产化的个人数据,从而侵蚀现有的隐私保护水平,形成“柠檬均衡”(lemons equilibrium)。还有人从公共物品的角度否认个人数据的可交易性。信息类似于公共物品。由于信息可以被许多人同时利用,信息显然不具有竞争性。信息在一定程度上也可以说不具有排他性。信息的最初控制者当然可以封锁信息。但一旦信息被首次出售,最初控制者就很难阻止信息的买方再次向其他人传播。有学者认为,信息隐私应该和清洁空气、国防一样作为公共物品以促进社会价值的实现,而个人数据的财产化将阻碍此种价值的实现。在信息隐私的场景下,有关公共物品是隐私公域(privacy commons),即由对个人信息进行的法律限制和其他限制所创设的匿名的和半匿名的交互空间。社会公众从隐私公域中获得的利益是基于民主协商(democratic deliberation)和个人自治能力(capacity of individuals for self-governance)的社会秩序。个人数据交易将降低整体的隐私保护水平,且不利于穷人和其他不能购买足够隐私的人,导致社会的不平等,破坏了隐私公域。另外,公共危害(public bads)是公共物品(public goods)的数学镜像(mathematical mirror image),前者为负外部性后者为正外部性。一个人的个人数据也可能涉及另一个人的信息。例如,某人的生日也是其母亲生育的日期。又如,某人患有某种遗传疾病的信息也会涉及其兄弟的遗传信息,并导致该兄弟支付更高的保险费。大量个人信息因其在形成过程中可能涉及多方参与主体,有人称之为“多方关联性”。
人格权在不同的时期有着不同的内涵,人格权的外延随着历史的进程越来越广泛。在康德生活的年代,人格权表征为生命权、健康权等与主体不可分割的权利,当然“不得将之物化,使其作为交易客体”。人格权不可能作为财产进行利用或者交易。随着科技的发展和社会的进步,人格权商品化的实践不断向传统人格权理论提出挑战。 美国法和德国法均经历长达一个世纪的发展,分别建构二元或一元的人格利益保护机制,尤其是财产利益的保护机制。美国于1953年在Haelan Laboratories,Inc. v. Topps Chewing Gum,Inc.案创设了公开权(right of publicity),认为个人对姓名等所体现的特征,有一种支配的权利,得消极地排除他人的侵害,积极地允许他人的使用,以实现其所具有的财产价值。公开权旨在保护财产利益,被认定系一种无体财产权,得为让与及继承。德国于1956年在Paul Dahlke 案中认定人格权(肖像权等)系具财产价值排他性的权利,更于1999年Marlene Dietrich案中宣示姓名、肖像等人格特征具有财产价值,得为继承。我国《民法典》第993条、第1018条、第1023条分别规定了肖像、姓名和声音的许可他人使用制度。域内外人格权商品化的立法和司法实践均突破了人格权客体绝对不可交易的结论。尤其我国《民法典》第993条和第1023条通过“等”字保持人格权商品化外延的开放性,可以根据科技发展和社会进步的需要融入新的可商品化的人格权。有学者认为,个人数据如姓名、肖像等为标表型人格权,兼具人格利益和财产利益,可与人身在一定程度内可分离。更何况个人数据的人格属性有强弱之分。个人数据可分为内在个人数据和外在个人数据,前者如生物识别数据、医疗健康数据,后者如GPS数据、IP地址或保存在个人任务管理器中的数据。外在的个人数据在一定程度上不会面临与内在隐私数据相同的概念、伦理和法律问题。
在市场中不对称信息普遍存在。通常销售者对一个产品的质量比消费者知道得更多,工人对于他们的技术和能力比他们的雇主知道的更多,而经理对于企业的成本和竞争地位比企业的所有者知道的更多。市场中的不对称信息所导致的“柠檬”问题可以通过政府的干预和声誉的形成来得到减缓。同时,买方和卖方可以通过市场信号传递(market signaling)这一重要机制来传递信息,以解决信息不对称问题。私人市场可以自己解决信息不对称的问题。即使市场配置资源不是理想的,但它可能是所能达到的最好结果。亦即,当存在信息不对称时,政策制定者会发现很难改善市场承认的不完美结果。个人数据交易市场失灵的主要原因在于信息不对称。个人数据交易市场失灵只是为改善数据交易的努力提供了理由,但并不能得出应该全面禁止市场机制的结论。个人数据交易市场的信息不对称问题可以通过市场制度的设计来减缓,如强制数据处理者信息披露的内容、方式;提高隐私增强技术为数据主体表达隐私偏好畅通渠道等。
公共物品理论只能对个人信息的财产化提出质疑,而不能否定个人信息的财产化。个人数据为公共物品而禁止交易的观点将个人数据的公共属性绝对化,未能正视个人数据的私人属性。应当在个人数据的私人属性和公共属性之间找到适当的平衡,以公共属性之名完全否定私人属性既非必要也不客观。广泛应用的信息自决理论便是以个人数据的私人属性为理论建构的基础。从法政策学来看,物理属性虽对物体本身能否作为私权客体具有重要意义,但最终决定因素却是立法者的价值选择。个人信息物理特性中的非竞争性与非排他性,可通过法律规范加以变更。有人认为,隐私公域的应被视为对个人数据的财产化提出了一个问题,即在多大程度上以及如何使公域财产化,而不是完全禁止个人信息作为财产。”“多方关联性”为个人数据的固有特征。在数据流动中要求关联方的共同同意既不现实也不经济,构成了数字经济的巨大阻碍。“物尽其用”的原则要求应尽量减少财产的共有人,从而避免“反公地悲剧”的发生。
三、
个人数据交易的权利基础
个人数据参与了数据交易的一级市场和二级市场。早在20世纪末,在美国已开始个人数据的商品化。美国数据交易主要有三种模式。第一种是数据平台C2B分销模式。用户将自己的个人数据贡献给数据平台,数据平台向用户给付一定数额的商品、货币、服务等价物或者优惠、打折、积分等对价利益。第二种是数据平台B2B集中销售模式。数据平台以中间代理人身份为数据提供方和数据购买方提供数据交易撮合服务,数据提供方、数据购买方都是经交易平台审核认证、自愿从事数据买卖的实体公司。第三种是数据平台B2B2C分销集销混合模式。数据平台以数据经纪商(data broker)身份,收集用户个人数据并将其转让、共享与他人。美国的数据中间商行业的市场规模已经达到2000亿美元。数据中间商占有庞大的个人数据,其中最大的企业Acxiom几乎占有包括所有美国消费者在内的全球7亿多人的信息。Acxiom拥有8000多家公司客户,2013年的销售额约为11亿美元。如今欧美开始摸索建立介于企业和个人之间的中介,此类中介在某种意义上构成个人数据交易的市场,分别有Datacoup、Handshake和Datarepublic等。欧盟《数字内容指令》(Digital Content Directive,简称DCD)第3条(1)款规定,本指令应适用于贸易商提供或承诺提供数字内容和数字服务给消费者并且消费者支付或承诺支付价款的任何合同。本指令也适用于贸易商提供或承诺提供数字内容和数字服务给消费者,并且消费者提供或承诺提供个人数据给贸易商。事实上消费者每天都在参与个人数据的商业化。
2016年7月1日,数据中心联盟筹建的“大数据发展促进委员会”在北京成立。成立大会上发布了《数据流通行业自律公约》(2.0版)(以下简称《公约》)。《公约》包括中国信通院、中国电子科学技术研究院、中国联通、中国电信、阿里巴巴、京东、360、世纪互联、滴滴出行等80多家发起单位。根据《公约》第2条,数据流通,是指通过采集、共享、交易、转移等方式,实现数据或数据衍生品在不同实体间转换的行为。根据《公约》第4条,用户对其个人数据享有合法权益。个人数据的采集、共享、交易、转移等应明确告知用户,并经用户同意或取得其他合法授权。”据此,《公约》涉及了个人数据交易的一级市场和二级市场。目前,我国个人数据交易一级市场主要为数据处理者与数据主体之间的个人数据的收集;我国个人数据交易的二级市场主要为数据处理者之间的个人数据的共享。
在传统有体物的场景下,通常在明晰产权后方可进行交易。但是,数据在产权界定方面不断地面临困难。世界各国实际上都没有采取传统的“先明晰产权,再发展交易”的模式。有学者认为,应适当理解“界权”,建构性的法律界权不应被既有概念形式体系过度束缚,特别是不应误以为可以甚至必须先找到数据在所有权规范体系中的“定位”。不能指望任何“体系化”“一揽子”的界权方案可以毕其功于一役。据此,当前决策者需要就数据权益提供权宜性的法律安排。以《个人信息保护法》为基础的合同路径或许就是目前解决个人数据产权问题的权宜之计,此路径统合了个人数据的法律权利和经济权利。巴泽尔(Yoram Barzel)指出,个人对某一资产的“经济权利”是其直接消费或通过交易间接消费该资产的能力;而“法律权利”则是政府界定和实施的,什么是作为一个人的财产。巴泽尔是在广义上使用产权(property rights)的概念。根据此种产权概念,由国家明确界定的法律权利只占产权中的一小部分,其余可以在交易过程中由合同界定。霍菲尔德(Wesley Newcomb Hohfeld)的权利束理论也为个人数据产权的合同路径提供了理论支持。霍菲尔德认为,权利束中的某种权利是与其他权利相互独立的。在形成数据法律权利之前,数据交易的当事方可以通过合同路径确认权利束中的“部分利益”,合同路径并非个人数据权属和权能的终局式的解决方案。其基本逻辑是“个人通过他们自己的行为能够控制并影响他们对财产权利的界定”。他们在现有的法律框架内由合同双方以意定的方式达成个人数据一定的权属和权能的共识,以合同所具有的约束力建构个人数据权属和权能的强制力。萨缪尔森(Pamela Samuelson)指出,用合同方法保护信息隐私有诸多的优点,它可以实现人们在个人信息中的多重利益,也可以满足关于个人信息收集或使用的适当性决定的场景需要,还能兼顾同意作为决定适当用途的重要因素以及社会对信息隐私的性质理解的不断变化。合同方法是一种灵活、适应性强、以市场为导向的方式,允许个人能控制个人数据的使用。
(一)数据主体参与交易的权利基础
数据主体参与了数据交易的一级市场。如果数据受到知识产权法、数据保护法等既有法律规则的保护并因此配置给个人以可交易性,则意味着此人有权签订有关数据的合同。一个成功的数据隐私制度应该是能保障个人有权用其个人信息来换取利益的制度,并为双方同意的交易设置最低的交易成本。如果个人选择在不对第二或第三用途施加限制的情况下交易自己的个人数据,这应该属于个人意思自治的范围。最终,个人数据以双方同意的方式得以控制。在我国《个人信息保护法》中,有27处“同意”将个人数据上一定的人格利益和财产利益在法律效果上归属于数据主体。不论是认为《个人信息保护法》直接赋予了个人以独立的知情权、决定权还是通过行为规制的方式对不同主体间的关系进行调整,其结果都是将某些人格利益和财产利益归属给了数据主体。霍菲尔德权利束理论让我们看到了财产权形态的多样性和弹性。一宗财产之上的财产权(包括经典意义上的所有权)实际上是一束财产权的集合,可以被分割为无限数量的子权利。根据我国《个人信息保护法》第4条第2款,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。上述的“处理”行为,特别是“使用”、“加工”都是以获取个人数据上的财产利益为目的,应在数据主体“财产权能”的规范之下。《个人信息保护法》是一定的个人数据人格利益和财产利益归属的重要法律基础。
有人认为,如果认可个人对数据的财产利益主张,那么个人授权或获取分成收益的成本很可能超过其信息贡献的价值,导致数据交易成本太高,从而无法实现数据在市场上的流通,甚至使数据市场失去存在的意义。有人甚至认为,数据是一种信息集合,经收集聚合而成,收集者进行了时间、资金、管理等方面的投入,且作为数据集合的投入者,通常都是单一和清晰的,因而其权属界定应当是清晰的,此即收集者即投入者享有权利。就个人数据的交易成本问题,目前的事实是个人在数据交易市场还不具有强势的议价能力,反而是数据处理者处于单方面决定价格的强势地位。正如授予标准必要专利的前提是专利权人的FRAND承诺,数据处理者也应根据自己的收益水平公平合理无歧视的给予数据主体对价,避免交易成本过高问题。另外,认为数据收集者最适合控制数据的观点过于简单。收集的数据一般有其来源并存在原始的个人数据主体。只有在收集者得到允许收集数据的情况下,数据收集者最适合控制数据的观点才具有正当性。用洛克的劳动财产理论证成个人数据收集者的产权恐力有不逮。洛克理论的前提是存在足够多的无主物品,因此每个人都可以占有他们的劳动对象。因此,只有在该物品尚未为他人所有的情况下,才可以通过自己的劳动来获得该物品的产权。名誉、财产状况等诸多个人数据在一定意义上也是数据主体的劳动成果,在此意义上,每个人都应对自己的个人信息拥有一定的原始财产利益。当然,根据洛克的劳动财产理论,仅能初步得出个人数据上一定人格利益和财产利益归属的结论。面对个人数据在现实生活中应用的复杂性,目前仍以《个人信息保护法》为基础的合同路径较为妥当。
(二)数据处理者参与交易的权利基础
数据处理者在数据交易的二级市场向下游交易其从数据主体处收集的个人数据。数据处理者继续交易的“权源”仍为数据主体的同意。我国《个人信息保护法》第1条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”结合第1条来理解第4条规定的处理行为会有更清晰的认识。以“提供”为例,此处的“提供”方为个人信息处理者而非数据主体,“提供”可以指有偿“提供”也可以指无偿“提供”,有偿“提供”的对价可以是货币也可以是非货币财产。因此,个人数据提供行为包括个人数据交易行为。同时,《个人信息保护法》第10条规定:“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。”我们认为,第10条中的“非法”并非指买卖个人数据行为本身“非法”,“非法”是对买卖的限定,是与“合法”买卖相对而言,亦即不禁止基于告知同意等规则的合法的个人数据买卖行为。至于如何理解“买卖”和“提供”并列,而在个人信息处理的定义中又没有“买卖”,合理的解释是一方面要与侵犯公民个人信息罪中“向他人出售或提供公民个人信息”的规定相衔接而明确反对非法出售个人信息,在现有条件下对个人数据买卖持极为谨慎的态度,另一方面又兼顾数字经济的发展。《民法典》第1038条规定,“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。”《信息安全技术 个人信息安全规范》第9.2条更是十分明确地确认了个人数据的可交易性。《个人信息保护法》第23条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当取得个人的单独同意。此为个人数据二级市场交易的意定授权。
个人数据交易二级市场的意定授权在域外已有立法例。2020年1月1 日,《2018年加州消费者隐私法》(California Consumer Privacy Act of 2018,简称CCPA)成为《加州民法典》(The Civil code of the State of California)的组成部分。CCPA第1798.120节规定:(a)消费者有权在任何时候指示向第三方出售消费者个人信息的企业不得出售消费者的个人信息。该权利可称为选出权(the right to opt out)。(b)将消费者个人信息出售给第三方的企业应根据第1798.135节(a)向消费者发出通知,告知该信息可能被出售,并且消费者有权选择不出售其个人信息。作为美国最严格的数据隐私和数字消费者权利法,CCPA允许数据处理者与第三方交易个人数据。德国法律规定,出于销售的目的处理数据需要双重同意。据此可以推知德国亦允许交易个人数据。2020年2月19日,欧盟委员会公布了《欧盟数据战略》(A European Strategy for Data),致力于促进数据共享,发展欧盟数据经济。《数据治理法》(Data Governance Act)和《数据法(提案)》(Proposal for a Data Act)即为落实《欧盟数据战略》的重要立法举措。
四、
个人数据交易的原则
不论是对个人数据的绝对保护还是完全公开都不利于对个人数据的的最佳利用,合理建构个人数据交易制度才能平衡个人数据的保护和利用。如果说在个人数据交易的一级市场应遵循“告知同意”原则侧重保护,那么在二级市场则应遵循“合法”原则和“兼容”原则侧重利用。我国《个人信息保护法》及其他规范以告知同意原则为核心。各国也普遍认为,关于信息隐私的同意要求是建立在向数据主体提供足够的信息的基础之一,以便使其在知情的基础上作出决定。在个人数据交易的一级市场中仍应将告知同意原则作为制度设计的基石。同时,同意须选入(opt-in)且可退出。当然,选入机制也存在弱点,许多数据处理机构很可能擅长就其条款获得同意,而不管默认情况是要求消费者授权还是阻止信息共享,数据主体并没有因为选入的规则显著受益,退出机制的效果也十分有限。为在数据交易中增强对数据主体的保护,应当设立年度通知机制,重新获得数据主体同意。此时个人数据已经进入二级市场,应采选出(opt-out)机制。在二级市场中,如果在数据主体没有明示退出时允许一手数据控制者单方默认数据主体退出,则既不利于个人数据二级市场交易合同的稳定,也可能构成对二级市场合同相对方违约。为兼顾数据交易安全与数据主体权益,此时采选出机制更为妥适。
因为个人数据具有人格属性,关涉公共利益,个人数据进入数据交易的二级市场并不意味着个人数据脱离数据主体的控制。因此,当数据处理者在数据交易的二级市场中提供个人数据时应受到一定的限制,采合法原则和兼容原则。借鉴隐私期待的思路,限制个人数据在二级市场的可转让性,应要求转让满足数据主体的合理的数据期待,我们在本文中一般仍称为隐私期待。如此,才能塑造可信的个人数据二级市场空间。
(一)合法原则
合法原则是指个人数据二级市场交易应符合法律,特别是保护第三方的法律规定及合同约定,以此划定个人数据二级市场交易的边界。在我国,个人数据二级市场交易合法原则应由“不构成犯罪”“不受行政处罚”“不侵权”和“不违约”四部分构成。“不构成犯罪”和“不受行政处罚”是个人数据二级市场交易的重要前提。本文主要论述“不侵权”原则和“不违约”原则。
第一,不侵权。个人数据二级市场交易带来的侵权风险存在特殊性,二级市场交易的当事方可能侵犯数据主体的权益。在个人数据的二级市场交易中,交易主体不应侵犯具有第三方效力的权益。例如,在违背权利人的隐私期待等情况下,出售涉及知识产权、隐私权、个人信息等具有第三方效力的权益可能构成侵权。在数据定性及权属尚无定论的今天,我国法院在实务中一般通过反不正当竞争法来保护利害关系人的权益。在当前数据权益反不正当竞争保护中,大多案件涉及的都是采取保护措施的数据,被诉行为通过绕过或者破坏技术措施等方式擅自获取数据。因此,在下列情形应该认为未经授权访问数据构成了对他人数据的侵权。第一,规避安全措施。第二,利用数据控制者的安全漏洞,不能合理期待该安全漏洞是控制者的意图。第三,通过技术手段拦截非公开传输的数据。此外,《个人信息保护法》第9条、《网络安全法》第9条、《消费者权益保护法》第29条都明确规定了数据处理者的安全保障义务,切实履行安全保障义务也是不侵权的重要要求。
第二,不违约。个人数据二级市场交易的另一合法边界为不违约,其特殊性在于数据提供方不能违反其对数据主体的承诺。不违约意味着在个人数据交易的二级市场中,数据交易当事方都要受到数据价值链中的前手关于个人数据使用和转让的具体限制。否则,数据提供方与下游数据接收方恶意串通将弱化甚至架空对个人数据使用和转让的限制。实践中已经开发出了不同的问责制管理平台,以确保数据主体知道其个人数据在二级市场中的使用符合自己的隐私期待,且下游数据接收方能够验证个人数据是合法商品化及遵守向诸多前手负有的法律和合同义务。例如德国的ZIVIT平台能够对个人数据的任何访问、使用、披露、更改和删除都追溯到发起方。有的管理平台使用粘性策略(sticky policies)将个人数据使用策略作为元数据附加到个人数据。平台可以跟踪粘性个人数据使用策略的执行情况。统一的场内交易目前也许更适合个人数据交易可审计可追溯的要求。
我国正加快培育统一的技术和数据市场,建立健全数据安全、权利保护、跨境传输管理、交易流通、开放共享、安全认证等基础制度和标准规范。国家发改委2022年3月21日发布了《关于对“数据基础制度观点”征集意见的公告》,建议构建在使用中流通、场内场外相结合的交易制度体系。在数据交易市场还不完善,个人数据保护机制还有待健全的当下,我们认为,我国尚不具备个人数据同时进入场内和场外结合的交易制度的条件,当前似更应完善场内个人数据交易制度,构建数据的可信流通体系。
(二)兼容原则
根据个人数据二级市场交易是否需要征求数据主体的同意为标准,我们将在个人数据的二级市场交易中需要逐次逐件征得数据主体同意的观点称为“同意说”;将个人数据的二级市场交易不需要数据主体的同意、与数据主体的隐私期待兼容便可再次转让的观点称之为“兼容说”。在大多数情况下,在数据价值链中使用个人数据需要基于“正当利益”、“兼容的二次使用”或“同意”。前两种理由更聚焦个人数据的实质及处理的风险,权衡有关各方的相关利益、可能造成的任何潜在损害以及现有的保障措施,而第三种理由则更具形式性,考察“同意”是否自由、知情、具体和明确。
我国《个人信息保护法》采同意说。我国《个人信息保护法》第23条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”在《个人信息保护法》实施前的2016年,上诉人北京淘友天下技术有限公司(简称淘友技术)、北京淘友天下科技发展有限公司(简称淘友科技)与被上诉人北京微梦创科网络技术有限公司(简称微梦公司)不正当竞争纠纷一案中,新浪微博(由微梦公司运营)通过OpenAPI途径,允许第三方在用户授权的前提下,通过相应接口获取相关用户的信息。OpenAPI通过《开发者协议》来约定平台与开发者(第三方)间的权利义务。《开发者协议》约定开发者需要收集用户数据的,必须事先获得用户的同意。上诉人诉称其在与被上诉人合作期间取得并使用新浪微博用户的职业信息、教育信息系合法获取、合法使用,并未违反《开发者协议》之约定。被上诉人则持相反意见。北京知识产权法院认为上诉人违反了《开发者协议》,未经用户同意且未经被上诉人授权,侵害了被上诉人的商业资源。法院认为,在OpenAPI开发合作模式中,第三方通过OpenAPI获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。北京知识产权法院在此案中采同意说,但前提是《开发者协议》中已约定开发者收集用户数据须获得用户的同意。数据接收方从二级市场获取个人数据不但需要提供方的授权而且需要重新取得数据主体的同意。
同意说具有尊重数据主体的信息自决、行为指引明确、易操作等优点。有学者认为数据共享“既是数据财产的流转行为,同时也涉及个人信息的反复收集、利用的过程”,那么“同意”是题中应有之意。但是同意说也存在诸多问题。首先,同意说难以适应个人数据交易市场的复杂情况。如果个人数据交易止于数据主体、数据提供方、数据接收方三方之间,那么数据提供方通过与数据主体直接联系征得数据主体同意尚具有现实可行性。但当数据接收方成为数据共享下一环中的数据提供方时,此环中的数据提供方或许难于直接取得数据主体的同意。而且数据价值链条并非单一的线性结构而是复杂的非线性结构,这更增加了征求数据主体的同意的难度,也使数据主体不堪其扰。其次,同意说导致数据企业的合规成本过高,通过个人数据所获得的价值可能还不能满足征得数据主体同意的费用,结果必然是要么放弃征得数据主体同意,要么数据经济严重受阻。《淘宝网隐私政策》第3条、《“抖音”隐私政策》第2条、《微博个人信息保护政策》第3条、《百度隐私政策总则》第3条都专条规定了数据共享的相关内容,均以“同意”作为共享的前提,可以作为我国数据共享现实的一个缩影。
兼容说则以数据主体的合理隐私期待为标准,而非征得数据主体的实际同意。“即便没有信息主体的明确许可,但只要相关的信息处理行为是当事人在该情形下能够合理预期的,且这种期待客观上被社会认为是合理的,就应当受到保护。”
虽然GDPR第14条规定了非从数据主体获得个人信息的数据处理者对数据主体的告知义务,但在有关目的限制原则部分规定了兼容原则。GDPR第5条第1款(b)项规定,“个人数据应当为特定、明确、正当的目的收集,且不得以与以上目的不兼容(is incompatible with)的方式进一步处理。”GDPR第6条第4款对“兼容”作出了具体的解释。第一,明确了兼容目的是除了个人数据收集目的以外的目的。第二,明确了兼容测试的考量因素,包括但不限于:任何在个人数据被收集时的目的和意图与进一步处理的目的之间的联系;个人数据被收集的场景,尤其是关于数据主体和控制者的关系;个人数据的性质,特别是是否为敏感个人数据或与刑事定罪和犯罪有关的个人数据;意图进一步处理给数据主体可能造成的后果;存在适当的保障措施,可能包括加密或假名化。继GDPR之后,欧盟于2019年通过《开放数据指令》(Open Data Directive)。温德霍斯特(Christiane Wendeborst)认为,《开放数据指令》的鉴于条款第52条可被理解为确认GDPR第6条4款足以作为数据继续传输的独立法律依据,不需要额外的法律依据。
1974年,哈兰(John Harlan)法官在Katz v. United States案中提出了合理隐私期待公式(reasonable expectation of privacy):首先,个人展示了实际的隐私期待(主观条件);其次,社会认可该期待是合理的(客观条件)。2004年,尼森鲍姆(Helen Nissenbaum)在阐述尊重场景原则的基础上构建了场景一致性理论(the theory of contextual integrity),认为只有满足信息规范(informational norms)时才达到了一致性或隐私保护标准。而信息规范存在三个变量:(1)参与者(actors),包括数据主体、提供方、接收方。参与者变量关注场景的功能和作用,重在考察参与者之间的关系,如医生—患者、老师—学生等。(2)信息类型(information types),信息类型是信息属于特定领域的变量。如医疗保健数据、教育数据、政治观点方面的数据。(3)传输原则(transmission principles)。传输原则包括:“保密”、“第三方授权”、“法律要求”、“购买”、“出售”、“互惠”、“认证”(authenticated)等。尼森鲍姆进一步认为,以上三个变量共同定义了隐私期待。2012年2月,奥巴马政府发布了一份白宫报告,建议国会立法保护消费者的隐私。报告中提出“尊重场景原则”,即“消费者有权期待公司以与消费者提供数据的场景相一致的方式收集、使用和披露个人数据”。尊重场景原则要求公司应将个人数据的使用和披露限制在特定的目的上,此类目的既符合公司与消费者的关系,又符合消费者最初披露数据的场景。消费者提供个人数据的目的可能为改进服务、销售在线广告或收集公司提供给第三方,目的属于一个连续体(continuum),始于消费者与一群同伴在线互动的核心场景。只要在消费者合理期待的射程内,公司无需在每次使用个人数据时寻求肯定同意,前提是这些个人数据的新用途与用户在社交网络场景中的预期一致。
可以看到,GDPR的兼容测试和场景一致理论的相同之处在于数据可以不需征求数据主体同意而二次使用,但限于满足兼容测试亦或场景一致性理论。在考察因素上,欧盟和美国都认为应该包括参与者关系考量和信息类型考量。二者不同之处在于,GDPR更侧重于风险评估,而场景一致性理论侧重信息流动的依据是法定还是意定。兼容测试和场景一致理论各有千秋,对我国均具有一定的参考价值,在个人数据二级市场交易中应该综合予以考量。
我国《个人信息保护法》第6条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”第14条第2款规定:“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”可见,我国《个人信息保护法》采同意说。一项实证研究显示GDPR的实施导致欧盟境内企业融资金额下降约26.5%,减少就业岗位5000~30000个。与合规相关的巨大成本可能会导致资源较少的小公司处于不利地位。综上,我们认为《个人信息保护法》采兼容说更为妥当。第14条第2款应修订为“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意,但与个人信息的初始收集目的兼容的除外。”第22条及23条也应作类似修改,以促进数据在二级市场及其后的价值链中流通。
五、
结语
继GDPR之后,欧盟陆续公布了《数据治理法》、《数据法(提案)》,以促进数据共享,发展数字经济;美国个人数据交易市场也已相当发达。在我国个人数据匿名化或去身份化制度有待完善的今天,更应完善个人数据交易制度。应当根据个人数据的外部性、损害风险的大小和技术保障措施、组织保障措施的发展水平分类分步实施个人数据交易。个人数据不能无禁区地交易,应当设置个人数据的绝对例外和相对例外。个人数据交易的绝对例外是指绝对禁止特定种类的个人数据进入市场流通如关系国家安全、国民经济命脉、重要民生、重大公共利益等的核心数据。个人数据交易的相对例外是指个人数据交易分类分步实施,特别是敏感个人数据和重要数据。不论是敏感个人数据还是重要数据外延都较为宽泛,应当对敏感个人信息和重要数据的交易采取审慎的态度,根据不同类型进行具体分析。