电子商务法视野下的个人信息保护
一、引言
2018年8月31日,十三届全国人大常委会第五次会议表决通过了电子商务法,于2019年1月1日起正式实施。在个人信息保护的大背景下,个人信息与网络数据的保护不仅愈发受到用户的关注,也早已成为电子商务的基础性资源。基于此,电子商务法对个人信息保护作出相关规定。一方面,强化了用户对个人信息的控制权能;另一方面,首次从立法角度保障电子商务数据依法自由流动。显然,电子商务法试图在用户信息保护与企业数据利用之间构建一个相对平衡的支点。
电子商务法中关于个人信息保护的规定主要有三条,分别是第二十三条、第二十四条和第六十九条。上述三个条款分别对电子商务活动中经营者的信息保护义务、用户的相关积极权能以及经营者对电子商务数据的使用和流转权利作出了规定。总体而言,电子商务法对电子商务经营者应履行用户信息保护义务之范围的规定,并未超出网络安全法的框架,但在对用户具体权能的行使上作出了进一步细化。与此同时,电子商务法基本遵循了民法总则与网络安全法对个人信息和企业数据进行分置规定的思路。
然而,电子商务法并未对电子商务数据作出明确界定,更未曾说明用户的个人信息与电子商务数据之间存在怎样的联系。此外,电子商务法一改传统个人信息消极保护的模式,转而赋予个人对自己信息更正、删除、注销等诸多积极性权能,这意味着个人信息将作为一项客体归属于当事人,而个人对信息则享有绝对的控制权与决定权。在此前提下,电子商务经营者又应当如何获得对电子商务数据的使用与流转?他们对电子商务数据究竟享有怎样的权利?电子商务法对上述问题未曾回应。笔者认为,这一方面源于我国个人信息保护立法尚在进程当中,许多基础性问题尚无法明确。另一方面,电子商务活动严重依赖于对用户信息的收集与使用,电子商务经营者通常拥有大量用户数据,鼓励和促进电子商务数据自由流动与共享,是我国电子商务市场繁荣发展的客观需要,立法者在尚无法厘清相关法律问题的前提下,只能首先明确法律对电子商务活动的保护与支持。
本文将着重讨论以下两个问题:一是个人对自己信息的权能究竟是积极性的还是消极性的,电子商务法第二十四条的规定是否正当。二是电子商务经营者对电子商务数据享有怎样的权利,其应用、转移、共享电子商务数据的权利支撑是什么。更进一步讲,我们应当如何理解电子商务法第六十九条所称的电子商务数据,以及它和个人信息之间存在怎样的关联。
二、用户对个人信息的权利
(一)从网络安全法到电子商务法
在电子商务法的框架下,用户对信息的控制权能被进一步强化了。 2012年12月28日,全国人大常委会通过了《关于加强网络信息保护的决定》(以下简称《决定》)。《决定》第八条规定,公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。与此同时,2017年6月1日起实施的网络安全法第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。换言之,在网络安全法中,信息主体对其个人信息行使更正或删除权的前提是网络运营者违法、违约收集、使用其个人信息或者收集、存储中存在过错。然而,电子商务法第二十四条第二款规定,电子商务经营者收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,电子商务经营者应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。该条款明确赋予了用户个人信息查询、更正和删除的权利,在网络安全法的基础上进一步强化了个人对信息的控制权。
在《决定》和网络安全法的框架下,个人对自己信息的具体权能基本延续了人格权的消极保护模式。然而,在电子商务法范畴下,个人对自己信息的更正、删除、注销等权能的行使不但不以电子商务经营者存在过错并给个人造成损害为前提,且要求电子商务经营者不得对用户上述权益的行使设置不合理的条件。不难发现,从2012年《决定》和网络安全法到如今的电子商务法,个人信息的具体权能正经历着从排除妨碍的消极性权利向支配、控制等积极性权利演进,而这种演进背后反映出的是我国法律对个人信息类型权利规定的指向性变化。
事实上,我国电子商务法强化个人对信息的控制权的传统由来已久。早在2016年12月19日,十二届全国人大常委会第二十五次会议上,全国人大财政经济委员会提请审议的电子商务法(草案)第四十五条第一款规定,“电子商务用户依法享有对其个人信息自主决定的权利”。该条款在我国民法尚未对个人信息的权利性质、权利归属等基础性理论问题进行厘清的前提下,径直规定了个人享有信息自决权。如果该条款获得生效,则个人信息自决权将首次在我国立法层面获得规定和明确。
(二)个人信息自决权的产生与发展
个人信息自决权最早可以追溯至1971年,德国学者Steinmüller在接受德国内政部委托研究中,提出“关于个人或团体形象之信息自决权”,他将个人信息自决权界定为个人有权自由决定公众在何种程度上了解自己思想与行动的相关信息。此后,1983年德国“人口普查案”的判决首次确立了个人信息自决权。该案提出了两条重要原则:第一,在自动化处理的背景下,个人的人格自由取决于其是否有权对抗自己的信息被不加节制地收集、适用、存储和转移。德国基本法上的人格权应得到具体化,扩展为个人有权自主决定自己的尊严和价值,以及个人有权决定自己的信息在何时、何地、何种范围下得以公开。第二,个人对自己的信息并不享有绝对的支配权,个人与公共群体之间具有社会关联性与社会拘束性,其个人信息自决权必须受到社会公共利益的限制。
然而,个人信息自决权自产生之初就从未被界定为一项具有绝对性、排他性的权利。重新审视个人信息自决权的流源与内涵可以发现,个人对信息的绝对控制与决策权从来都不曾被应用到私法领域,个人并不对自己的信息享有完全的支配权。
首先,德国1983年“人口普查案”对个人信息自决权的解读是建立在国家公权力对个人信息进行收集和使用的情景下,立法者所称的个人有权对一切个人信息实施控制权,并决定自己的信息在多大程度上被披露和使用,同样也是建立在公权力对个人信息自决权施加限制的背景下。换言之,个人信息自决权的绝对性仅体现在公权对私权加以限制和影响时方得体现,而对于其在私人领域的适用与性质,“人口普查案”并未提及。从这个意义上来说,将个人信息自决权的绝对属性扩展至个人生活的一切领域,是对“人口普查案”判决的误读。
其次,“人口普查案”判决中明确提及,个人对自己信息并不享有所谓绝对不受限制的支配权。个人作为社会团体中的一员,其与团体间具有社会关联性与社会拘束性,因此其个人信息自决权必须忍受重大公共利益的限制。事实上,个人的人格中自由在很大程度上正是依赖于联络往来的社会交往。一个人的个人信息不仅仅是自己当前事实状态的描述,更是社会生活、人际交往的真实写照。一旦赋予个人对自己信息的绝对排他权,必将妨碍他人的人格自由及社会的公共利益。
(三)个人信息自决权并非法律上的权利
若依据电子商务法第二十四条第二款之规定,电子商务经营者只要收到用户关于自己信息查询或者更正、删除的申请,就应当及时提供查询或者更正、删除用户信息,个人对其信息的查询、更正、删除等权利的行使并不以电子商务经营者的过错为前提。个人信息在实质上已被视为个人的所有之物,个人对其信息拥有绝对的控制权,个人信息的使用体现了信息主体的意志力,具有了赋权效果。
法无禁止即自由,一旦赋予主体个人信息自决权,将不可避免地侵害到他人的人格自由与权益。个人信息自决权意味着,个人可以在法律未禁止的范围内自由决定自己的信息在多大程度上受到披露、使用、转移甚至处理。然而,除具有私密属性的个人信息以外,几乎所有的个人信息都天然具有一定程度上的公开性,这是信息的工具属性所决定的。易言之,一个人只要属于社会团体中的一份子,就不可避免地要通过个人信息的方式被他人标识、识别,并通过个人信息的方式与他人建立联系。
任何人的信息属于社会群体的基础性工具,具有中立属性,很难说应当归属于哪一方主体。与其说个人信息是以个人为描述对象的信息类型,毋宁讲是社会成员沟通交往、建立联系的纽带。一旦将具有工具属性的个人信息完全归属于某一特定主体所有,就意味着个人有权在任何自我决定的程度上禁止他人对自己的信息进行收集、使用、转移,这种将个人自由和意志建立在外界无法明确的、繁杂的个人信息之上的行为,必然侵犯不特定主体的自我意志与个人自由。没有任何正当理由可以指向,这种一般意义上的所谓个人信息自决权能够充当私法领域内的禁令,故其不可能成为法学意义上的权利。
三、企业对电子商务数据的权利
电子商务法第六十九条指出,国家维护电子商务交易安全,保护电子商务用户信息,鼓励电子商务数据开发应用,保障电子商务数据依法有序自由流动。国家采取措施推动建立公共数据共享机制,促进电子商务经营者依法利用公共数据。该条款一方面强调电子商务中的用户信息受法律保护;另一方面又明确指出国家鼓励电子商务数据的开发、应用,保护并推动电子商务数据的自由流动和共享。可以说,该条款不仅遵循了网络安全法第四十二条的基本精神,同时也为今后电子商务经营者的数据权利提供了法律空间,初步确立了未来我国个人信息保护与企业数据利用的双重架构。
(一)电子商务数据与用户信息的界分
在当前的法律框架下,剥离掉个人信息的电子商务数据可以自由流通和使用,无需以用户同意为前提。根据网络安全法第四十二条,经过处理无法识别特定个人且不能复原的信息可以不经个人同意向第三方共享或转让。换言之,此类信息不属于个人信息范畴,企业对此类信息享有完全的控制权。电子商务法虽未明确界定电子商务数据的内涵和外延,但其在第六十九条中以同一条款并列规定用户信息与电子商务数据两项内容,可以看出该法延续了网络安全法第四十二条的基本精神。基于此种前提,笔者认为,所谓电子商务数据,是指剥离掉个人信息的电子商务活动中的用户信息。此类信息经过电子商务经营者的特别处理,不能识别到特定个人且不具有复原能力,不属于个人信息的范畴,故个人亦不对此类信息享有控制和决定权利,电子商务经营者对此类信息的处理、转让无需获得个人同意。
电子商务数据既不属于个人信息范畴,法律还鼓励其使用与自由流动,则其法律地位与权利归属就成为了一个亟需解决的问题。事实上,企业对自己开发应用的数据享有怎样的权利一直以来都是理论界和实务界争相讨论的议题。2018年8月16日,杭州互联网法院公开宣判了淘宝诉美景公司利用技术手段非法共享零售电商数据产品案,该案法官在判决书中首次确认了网络运营者对数据产品享有财产性权利,并明确了数据产品和用户信息、原始数据之间的界分,肯定了数据产品作为劳动成果应具有独立的财产性地位。电子商务法第六十九条之规定实质上也直接指向了企业对自己开发应用的数据产品应享有独立的财产性权利。
(二)电子商务数据的赋权基础
法律的论证不是凌空蹈虚,必须受到逻辑体系的约束。要论证电子商务数据的财产权属性,必须明确对其赋权的理论基础。波斯纳教授指出,如果任何有价值的(意味着既稀缺又有需要的)资源为人们所有(普遍性),所有权意味着排除他人使用资源(排他性)和使用所有权本身的绝对权,并且所有权是可以自由转让的,或像法学学者说的是可以让渡的(可转让性),那么,资源价值就能最大化。根据波斯纳教授的观点,信息产品只要满足以下三点就具备了财产权的基本特征:其一,普遍性,即任何既稀缺又有价值的资源能够为人们所有;其二,排他性,权利人可以排除他人在同一时间内对该权利的侵犯和占有;其三,可让渡性,即权利人可以在法定限度内自由转让其权利。
1.信息产品具有普遍性
判断电子商务数据是否具有普遍性的标准在于其是否同时具有经济价值和稀缺性,这种判断的对象并非数据本体,而是数据所蕴含的商业价值。从加工、利用到许可、转移,电子商务数据早已作为市场交易的对象,其经济价值自程度上的公开性,这是信息的工具属性所决定的。易言之,一个人只要属于社会团体中的一份子,就不可避免地要通过个人信息的方式被他人标识、识别,并通过个人信息的方式与他人建立联系。
任何人的信息属于社会群体的基础性工具,具有中立属性,很难说应当归属于哪一方主体。与其说个人信息是以个人为描述对象的信息类型,毋宁讲是社会成员沟通交往、建立联系的纽带。一旦将具有工具属性的个人信息完全归属于某一特定主体所有,就意味着个人有权在任何自我决定的程度上禁止他人对自己的信息进行收集、使用、转移,这种将个人自由和意志建立在外界无法明确的、繁杂的个人信息之上的行为,必然侵犯不特定主体的自我意志与个人自由。没有任何正当理由可以指向,这种一般意义上的所谓个人信息自决权能够充当私法领域内的禁令,故其不可能成为法学意义上的权利。
三、企业对电子商务数据的权利
电子商务法第六十九条指出,国家维护电子商务交易安全,保护电子商务用户信息,鼓励电子商务数据开发应用,保障电子商务数据依法有序自由流动。国家采取措施推动建立公共数据共享机制,促进电子商务经营者依法利用公共数据。该条款一方面强调电子商务中的用户信息受法律保护;另一方面又明确指出国家鼓励电子商务数据的开发、应用,保护并推动电子商务数据的自由流动和共享。可以说,该条款不仅遵循了网络安全法第四十二条的基本精神,同时也为今后电子商务经营者的数据权利提供了法律空间,初步确立了未来我国个人信息保护与企业数据利用的双重架构。
(一)电子商务数据与用户信息的界分
在当前的法律框架下,剥离掉个人信息的电子商务数据可以自由流通和使用,无需以用户同意为前提。根据网络安全法第四十二条,经过处理无法识别特定个人且不能复原的信息可以不经个人同意向第三方共享或转让。换言之,此类信息不属于个人信息范畴,企业对此类信息享有完全的控制权。电子商务法虽未明确界定电子商务数据的内涵和外延,但其在第六十九条中以同一条款并列规定用户信息与电子商务数据两项内容,可以看出该法延续了网络安全法第四十二条的基本精神。基于此种前提,笔者认为,所谓电子商务数据,是指剥离掉个人信息的电子商务活动中的用户信息。此类信息经过电子商务经营者的特别处理,不能识别到特定个人且不具有复原能力,不属于个人信息的范畴,故个人亦不对此类信息享有控制和决定权利,电子商务经营者对此类信息的处理、转让无需获得个人同意。
电子商务数据既不属于个人信息范畴,法律还鼓励其使用与自由流动,则其法律地位与权利归属就成为了一个亟需解决的问题。事实上,企业对自己开发应用的数据享有怎样的权利一直以来都是理论界和实务界争相讨论的议题。2018年8月16日,杭州互联网法院公开宣判了淘宝诉美景公司利用技术手段非法共享零售电商数据产品案,该案法官在判决书中首次确认了网络运营者对数据产品享有财产性权利,并明确了数据产品和用户信息、原始数据之间的界分,肯定了数据产品作为劳动成果应具有独立的财产性地位。电子商务法第六十九条之规定实质上也直接指向了企业对自己开发应用的数据产品应享有独立的财产性权利。
(二)电子商务数据的赋权基础
法律的论证不是凌空蹈虚,必须受到逻辑体系的约束。要论证电子商务数据的财产权属性,必须明确对其赋权的理论基础。波斯纳教授指出,如果任何有价值的(意味着既稀缺又有需要的)资源为人们所有(普遍性),所有权意味着排除他人使用资源(排他性)和使用所有权本身的绝对权,并且所有权是可以自由转让的,或像法学学者说的是可以让渡的(可转让性),那么,资源价值就能最大化。根据波斯纳教授的观点,信息产品只要满足以下三点就具备了财产权的基本特征:其一,普遍性,即任何既稀缺又有价值的资源能够为人们所有;其二,排他性,权利人可以排除他人在同一时间内对该权利的侵犯和占有;其三,可让渡性,即权利人可以在法定限度内自由转让其权利。
1.信息产品具有普遍性
判断电子商务数据是否具有普遍性的标准在于其是否同时具有经济价值和稀缺性,这种判断的对象并非数据本体,而是数据所蕴含的商业价值。从加工、利用到许可、转移,电子商务数据早已作为市场交易的对象,其经济价值自不必言,主要争议集中在数据产品的稀缺性判断上。许多学者从信息本体的角度反对信息具有稀缺性的观点,认为网络数据的数量并不是有限的,一个人获取数据,仍然有大量数据留给他人使用。另有观点认为,数据的价值在于其所承载的信息内容,而信息无需通过劳动投入即可获得大量产出,作为我们得以存在的附产品,信息基于日常行为活动而产生,故不具有稀缺性,亦不需要财产制度的激励来鼓励数据的生产。
事实上,对电子商务数据是否具有稀缺性的判断应从其蕴含的经济价值入手。刘德良教授指出:“当无形财产的商业价值随着其使用主体人数的增多而不断递减,就可以认为其在价值上具有稀缺性。”电子商务运营者对用户数据的封闭式保护就是最典型的例子,即使没有用户隐私条款的约束,电子运营者也会自动阻止其他企业对在自己平台上产生、收集的用户数据的接触和获取,将这部分用户数据视为企业的自有资源,用以遏制对手的竞争力。
基于上述判断,电子商务数据同时具有经济价值和稀缺性。从内容上讲,其完全区别于个人信息,后者是前者的生产资料,前者是后者的衍生品。其在加工、生产过程中融入了企业的智力劳动,是企业基于自身判断和技术水平研发的新产品。企业基于对该产品的使用,可以为用户提供更高效的服务,优化自身产品,提高用户粘性和市场占有率。2016年末新浪微博诉脉脉案以及2018年8月的淘宝诉美景案,法院均从反不正当竞争法的角度明确了信息产品的经济价值,并明确了其作为竞争优势的稀缺性地位。
2.电子商务数据具有排他性
毋庸置疑,企业数据是具有排他性的,新浪微博诉脉脉、淘宝诉美景公司等一系列案件确立了反不正当竞争法角度上的数据产品排他性,只是这种排他性并不是完整的、对世的,其排他的对象仅限于具有竞争关系的主体。在淘宝诉美景公司案中,法院在判决书中指出,财产所有权作为一项绝对权利,如果赋予网络运营者享有网络大数据产品财产所有权,则意味着不特定多数人将因此承担相应的义务。网络运营者是否享有网络大数据产品所有权,事关民事法律制度的确定,基于物权法定原则,故对淘宝公司诉称其对涉案“生意参谋”数据产品享有财产所有权的诉讼主张不予确认。可以看出,本案法院一方面承认企业基于自己的劳动创造理应对数据产品享有财产权,另一方面,又指出赋予企业以数据产品财产权,就意味着其可以排除不特定多数人对数据产品的请求,事关重大,因此在法律没有明确规定的前提下无法赋予数据产品以财产权的法律地位。进一步而言,确认了数据产品财产权,就意味着企业可以对抗任意主体,包括数据产品内容所描述的对象——个人。基于此,确认企业数据排他性需要解决的主要问题就是:在理论上,赋予数据产品以排他性,是否有损其他不特定主体——特别是个人——的利益。
事实上,对电子商务活动中的用户而言,数据的权属与掌控无关其利益,个人没有能力控制或决定数据产品的处理或流转,其真正关心的是电子商务经营者对数据的使用是否会给自身带来损害或负面影响。前者关乎对数据产品进行财产性赋权是否合理,后者关乎法律应当如何规制企业的行为,以避免自动决策算法的“黑箱”产生不公平的商业结果。易言之,只要法律能够证明对数据产品赋权具有正当性,亦即企业对数据产品加工创造是基于合理合法的前提,就应当认为数据产品具有排他性效力。
3.电子商务数据具有可让渡性
电子商务数据具有可让渡性,意味着其具有在信息市场中进行交易的可能性。欲论证权利对象的可交易性,必须解决两个主要问题,一是该权利对象是可控的,二是该权利对象是有价值的。
从实践角度来看,电子商务数据具有可占有性,能够为特定主体所控制。财产权的功能之一就是明确个人在对稀缺资源使用时的法律地位与经济社会关系,在资源不断交易的过程中一次次厘清相关主体的权利边界,从而形成一套完整有序的规则,以降低交易成本,而这就要求权利人在特定时间内可以独立、稳定地享有权利,不受他人肆意侵犯。因此,只有当数据产品能够为电子商务经营者所实际控制和使用时,它才具有可转移性,数据产品的可交易性才得以实现。在淘宝诉美景公司案中,杭州市中级人民法院明确指出,“生意参谋”作为一项独立的数据产品,于其难以统计、估量和举证,才需要立法的特殊保护和严格规范,需要交易过程中各方参与主体的严格把关,而不能因为其难以统计、估量和举证就对其视而不见。平台经营者作为直接介入电子商务交易过程的一方主体,且其具有天然的技术优势和信息优势,具备为消费者把好关、守好门的防范能力,是弱势的消费者可以依赖的重要的安全防线,因此,立法要做的是想方设法激活平台的防线功能,而不是削弱其防线功能。
第三十八条第二款强调了对关系消费者生命健康产品的重视和特别关注,该条款的立法初衷是通过明确平台经营者的资质审核义务和安全保障义务,从而防范和减少损害消费者生命健康事件的出现。其将造成消费者损害作为平台经营者承担责任的必要条件,看似合理,却忽视了像食品等这种关系消费者生命健康的产品,其在造成消费者损害的方式、时间等方面的特殊性;忽视了有些损害不宜在短时间内察觉而导致消费者举证损害困难这一现实情况。而这种立法上的忽视必然会在很大程度上影响平台内经营者、平台经营者和消费者在利益博弈中的优势分配。显然,“造成消费者损害”这一条件的限制,会刺激此类产品的生产者、经营者无所顾忌地向平台投放对消费者生命健康具有慢性损害的产品;会放任平台经营者懈怠对那些于消费者生命健康具有慢性、长期性损害的产品的审核;最终会将消费者置于受不安全产品侵害却维权无据的艰难境地。这种结果显然是违背该条款的立法初衷的。
因此,笔者建议将来在完善第三十八条第二款的内容时,可以考虑将这里的“造成消费者损害”改为“有侵害消费者合法权益行为的”,相应地,本条可以修改为:“对关系消费者生命健康的商品或服务,电子商务平台经营者对平台内经营者的资质资格未尽到审核义务,或者对消费者未尽到安全保障义务,有侵害消费者合法权益行为发生的,依法承担相应的责任”。如此一来,即使消费者不能举证不安全、不合格的食品或其它关系生命健康的产品损害了自己的健康,但只要能举证此产品是不安全的、不合格的产品或有其他损害消费者权益行为的,消费者就可以依据该条规定要求平台承担相应的责任。
注:文中引用皆省略。
(作者单位:河北经贸大学)
(本文刊登于《人民司法》2019年第1期)