法国及欧盟视角下个人数据的法律性质
《中国法律评论》于2014年3月创刊并公开发行,由中华人民共和国司法部主管、法律出版社有限公司主办。国家A类学术期刊,中文社科引文索引(CSSCI)扩展版来源期刊,人大复印报刊资料重要转载来源期刊。
刊号:CN10-1210/D.
订刊电话:010-83938198
订刊传真:010-83938216
作者简介:申军,法国执业律师,主要业务领域为金融、并购、跨境投资和国际商事合同,熟稔数据保护、区块链与加密资产、人工智能与算法、数字市场竞争、数字领域知识产权等新兴法律领域。工作语言为中文、法文和英文。毕业于华东政法学院(法学学士)、里昂第三大学(法学博士、法学硕士、企管学士)和墨尔本大学(法学硕士)。
特此声明: 本文仅代表作者个人意见,不构成法律意见书。
我们常说的数据,其最小单位是位元(bit),通常由数字0和1表示; 一般是8个位元构成1个字节或位元组(byte)。数据的英文表述为data,其拉丁词源data是datum的复数形式,而datum的原意是礼物、捐赠物。这也就不难理解了: data的法文对译是donnée,是动词donner(给予)的过去分词的阴性单数。Donnée可被定义成代码化、凝固化和可传递的信息。藉由代码化,数据的收集、格式化数据的对照可在同一参照系内进行; 基于凝固化,数据的收集和处理成为可能; 得益于可传递性,数据可被存储、托付于一个记录系统,以备现时或未来的处理。如果数据的存储诉诸信息技术系统,那么相关数据即为用数字表示的数据(donnée numérique)。值得补充的是,numérique在作为名词时,指的是由有限数量的离散价值所体现的信息或物理量(影像、声音等)。
显而易见的是,数据和信息关系密切。事实上,作为以数字或数字加字母显示的、对于现实的基本描述,数据是信息的组成部分,好比一块田地里被划分的诸多小块。简言之,信息就是数据加上意义。通过收集、组织及建构数据,特定含义被引出,相关信息由此设定。举例来说,藉由某日的温度、气压、降雨量等“数据”,可以获得当日天气不好的“信息”。对足够“信息”的掌握,则构成特定个人对于世界的具体“认知”。由于数据对应着一定数量的字节,可用单一机器读取,因此数字化的信息(information numérisée) – 即能以信息化方式拷贝及粘贴、但不能被特定技术工具处理的信息,不能等同于数据。
数据可以依照不同标准加以分类。若从数字系统的角度来看,数据可被分为四类。其一为未经加工的数据,即初始的、未经诠释的数据; 其直接出自某种来源,既未被处理,也未经操弄。其二为已经处理的数据,即已被充实、增益的数据,譬如添加了其它数据的数据、经过了再处理的数据、与其它数据相交叉的数据。其三为元数据,即描述数据之数据,其提供一项数据的内容、结构及来源等方面的信息。其四为相连性数据,即带有元数据的、相互连接的数据之整体,其构成了互联网层面的数据库; 通过信息技术对各类数据间的语义联系加以开发,前述相连得以实现。若就数据的主体及开放度而言,数据则可包括公共数据和非公开数据; 前者是由公法法人或执行公共服务使命的私法法人公布的数据。后者是指个人数据和其它非公开数据。
个人数据的英文表述是personal data,相对应的法文为donnée personnelle。值得阐明的是,个人数据在法国法中的确切称谓是donnée à caractère personnel,即“个人性质的数据”; “个人数据”则是常用说法。由此可见,此类数据的法式表达强调的是数据与个人的关联,而非个人对数据的所有。这在某种程度上也对应了法国对于个人数据属性的主流看法,即个人数据是个人人格权(droit de la personnalité) 的无形延伸,揭示个人的身份,具备个人的行为特性,体现与个人相关的不可转让的权利,而不是法国民法典中所规定的财产(biens) 的客体,因而没有设定于其上的财产权(droit de propriété)。
在个人数据上设定财产权的想法,主要是基于一个现实存在的局面,即个人和数据收集者之间的关系不相对称。一方面,通过使用海量的个人数据,网络巨头创造了巨大的价值,实现了可观的利润; 另一方面,个人从相应的价值创造中得到的回报,比如享用一些日渐个人化的“免费”服务,相较而言明显不足。此外,鉴于数据收集、处理的目的及手段是由数据处理负责人(英文表述为数据控制人)所决定,个人对此并无谈判能力,其对相关数据不能控制。因此,对于该想法的支持者而言,承认个人数据的财产权或是解决这种不对称的方法之一,或能使个人通过控制数据的货币化来控制其数据,从而得以完全融合到数据的价值链当中,在金融上参与对其数据的管理,数据价值的合理再分配也或会得以实现。
针对将个人数据财富化(Patrimonialisation)的建议,法国国家信息技术与自由委员会(CNIL)在其2013年的年度报告中指出,这是一个 “错误的好主意”。在其看来,数据的私有化以及由此或有的转让或销售,乍看很吸引人,但对个人而言却有着不可逆转的性质。一旦相关权利被售卖,如何重拾对其的控制?此点令人担忧。反之,法国既有的数据保护法向个人开启了诸多权利,即便相关数据是由他方生成和处理。
法国国家数字委员会(Conseil national du numérique)在2014年5月出具的一份意见中,则明确拒绝承认个人数据的财产权。其观点是,此种承认会将保护和管理数据的责任掷回给个人;虽巩固了个人主义,但否认了个人和企业之间的力量对比。此外,这只会给个人带来微不足道的收入。最后,这或将加大公民之间的不平等: 相较于有能力管理、保护个人数据和将之货币化的一部分公民,另一部分公民会因缺乏文化、时间、金钱或其它因素而可能放弃相关的市场运作。
法国最高行政法院(Conseil d’État)在其2014年的年度报告中,也不推荐赋予个人对其数据拥有财产权,认为不能藉此期望个人和企业之间的关系会得以平衡。在该当局看来,一方面,除非是名流人士,单一个人的数据之价值其实非常有限,至多只值几十欧分; 即便每个人的数据价格会在未来数年增长可观(直至几个欧元),相关数据赋予个人的财产价值仍会不值一提。另一方面,数字企业或会参照数字服务给付合同来规定个人数据使用权的转让,众多的条件会和既有合同如出一辙; 个人、孤立的消费者和企业之间的力量对比,将依然显现出结构性的不平衡。因此它主张搁置在个人数据保护中引入一种财富性逻辑,不希望个人通过行使与财产权相连的转让权,而放弃对其个人数据的所有保护。
实际上,在法国目前的法律框架下,不存在个人对其个人性质数据的财产权,“数据财产权”的概念也无法律地位。反之,一种信息自主决定的权利(droit à l’autodétermination informationnelle) 在法国2016年10月7日颁布的《数字共和国法》中得到认可。前述法律第54条规定: 在该法规定的条件下,任何人均有权决定和控制与之相涉的个人性质数据的用途。法国1978年1月6日的《信息技术与自由法》的第1条因此被予增补。
信息自主决定的权利可被理解为: 个人决定其个人性质数据使用和交流的权利。该权利借鉴的是德国联邦宪法法院在1983年的一份判决中认可的Informationnelle Selbstbestimmung权,由法国最高行政法院于2014年起力倡。它的基本看法在于,每个人应该可以自己决定如何通过个人数据展现自己的可见度。所以在此情况下,个人与数据的关系是“存在”的层面,而非财产权所反映的“财产”的层面。法国最高行政法院认为,该项权利赋予个人数据保护权以积极性的内容,而后者在本质上是防御性的; 它不仅保护私人生活受尊重的权利,而且确保应能行使自由的个人是至上的。从这个意义来说,此种权利更加对应了个人对于决定的自主性的向往,强调的是个人应该可以决定自己的存在。它在当今的数字社会无疑尤显重要,因为涉及人们的越来越多的决定诉诸个人性质的数据,而当事人常常并不知情。
由此看来,依照法国法,信息自主决定的权利完全属于人格权的范畴。人格权,也就是人类固有的权利,包括但不限于私人生活受尊重权、肖像权、名誉权等。人格权是如此地与个人同体,以致于个人不能选择完全自由地支配之。人格权本身则是“非财富性权利”(droits extra-patrimoniaux)的一种。非财富性权利是指不具有金钱或经济价值的诸类权利,与持有权利的个人紧密相连。此类权利是不可转让的、无诉讼时效的、不可承继的、不受债权人扣押的,其形成了个人本身的延伸、个人人格的延展,不被定性为财产,不构成个人财富的一部分,原则上不得成为商业交易或经济运作的对象。因此法国的个人数据保护,不依赖于一种财产性逻辑,而是一种与人有关的权利的逻辑; 通过捍卫个人数据,法国法意图捍卫的不是一种财产、一种经济价值,而是个人本身,是其行事自由和其私人生活的操行。
需要指出的是,法国最高(司法)法院(Cour de cassation)在2013年6月25日的一份判决中,间接认可了任何包含个人性质数据、已向CNIL有效申报的信息化客户资料卡(fichier informatisé)可以成为交易的客体。鉴于该判例出现在欧盟通用数据保护规章(GDPR)于2018年5月在欧盟全境生效之前,因此未来若有类似案件,法国法院的相关判决将会如何做出,值得观察。
可资补充的是,相较于非财富性权利而言,财富性权利(droits patrimoniaux)是指与财富相连的、可用金钱估价的个人权利,可以成为转让性运作的客体。其在法国法中被分为两种类型,一为物权(droits réels,典型形式是财产权),二为个人权(droits personnels,即给予、做或不做的义务,比如债权)。非财富性和财富性权利则构成了主观性权利(droits subjectifs)。
在此值得进一步探讨的是,如果个人数据不能被设定财产权,不能成为法定的流通客体,那么出于有利于数据流通的考虑,个人性质的数据是否能被看成是法国民法典中规定的无主物(res nullius) 呢?Res nullius是指尚未为人所有但可被占有的物(choses)。根据此种设想,只要相关数据没被摄取,数据就是没有主人的,不属于任何个人,就像森林中的野物一样。因此,如果像大型数字平台之类的数字经济参与者占有了这些数据,那么它们就会成为数据的所有者,可以按其意愿利用之及将之增值。这种设想的受益者无疑会是关注数据流通及增值的数字平台。然而,这也将极大忽略了相关数据与特定个人的关系,而个人数据提供者本身可获的收益又微乎其微,所体现的对于个人数据的保护因此差强人意。
另外一种赋予个人数据或有的法律定性的思路是: 将之置于知识产权法的框架之下。依照法国《知识产权法典》的规定,著作人权是一种排他性无形财产权,可以抗辩任何人。著作人权适用于精神作品(œuvres de l’esprit),既包括了知识和伦理层级的属性,又包含了财富层级的属性。因此该权既包含了不可转让的权利,比如伦理权(droits moraux),特别是赋予作者对其作品传播和修改的不可转让的控制,也包含了可以转让的权利,比如财富性权利,特别是对作品的开发权,以赋予作者在一定期限内授权或禁止使用其任何作品的排他性权利。
然而不容忽视的是,如果个人数据可以受到著作人权的保护,那么几个条件需要得以满足。
其一,其应该被值得定性为精神作品。而个人社保号码、电话号码等个人数据是由行政当局或电讯公司自动给予的,显然与个人的创造无关。其二,其应该具有原创性(originalité)。此项要求是由法国法院的判例、而非成文法律所确定。而个人电脑的IP地址、地理定位的数据、任何根据确定性算法来生成的数据,很难符合此项要求; 同理,个人的出生日期也难以构成一件原创精神的作品。
不难发现的是,由一个特定个人有意生成的个人数据,在某种程度上与著作人权相关,而由数字服务提供者在个人不知晓的情况下收集、聚合和处理的数据,若被定性为著作人权,则无疑缺乏足够的恰当性。例如,当互联网用户在进行网络导航浏览时,对其实现的行为性“侧写”所涉及的是特定个人的具体行为,但是相关的建构和实现,则完全由相关企业所创立。因此,即便确有著作人权的存在,从逻辑上讲,这些权利也会受益于这些企业,而非所涉及的个人。
不过,一个数据库的结构,也就是数据被组织的方式,可在法国知识产权法规定的一般法律条件下受到著作人权的保护。这就必须满足“原创性”的法定要求,即数据库应该不仅仅是一个简单的、机械式的数据编纂,而是在数据材料的选择或安排方面,展现了一种智力投入,具备一种原创作品的特征。另外,在数据库的创立和开发方面,如果数据库的制作者能够证明为此做出了重大投资(包括金融、物质和人力方面),其可被赋予法国法特别设定的一种自成一类的或特殊的权利(droit sui generis),包括有权禁止对数据库内容的大量质化或量化之萃取、对数据库内容的再利用以及对数据库的过度利用。
放眼法国之外,欧洲其它国家对于个人数据财产权的看法也值得一提。譬如,瑞士法认为,个人性质的数据是一个人的构成性因素,因此其对这些数据拥有不可转让的权利; 设定数据的财产权,可能会加剧数据主体和数据处理负责人之间的不平衡情势,不能创立衡平性合同关系的条件。
摩纳哥法则对个人数据的财产权议题不予讨论,而是将相关数据归并到非财富性权利的范畴;旨在通过对于个人数据的保护,保护个人本身及其私人生活。由于相关数据构成了非财富性权利,而不是一种可在其上执行物权的无形动产(bien meuble incorporel),因此依照该国法律的规定,个人是其个人性质数据的持有者,而非法律上的所有者。
虽然法国法目前拒绝将法国民法典第544条规定的财产权制度适用于个人数据,因此数据不是可被占有的“财产”,不是个人拥有的“物”,但是认为数据应被设定财产权的争鸣一直不休。那么,依照法国民法典对相关财产权的规定及由此涉及的罗马法理论,“数据财产权”的建议是否可行、可能存在哪些问题或风险呢?以下笔者对此试做分析,并辅以经济、哲学、竞争等多重角度。
根据法国民法典第544条的规定,财产权是以最绝对的方式享用和处分物的权利,只要其用途不被法律或规章所禁止。财产权包含三种属性,均源自罗马法,即使用权(usus)、收益权(fructus)及处分权(abusus)。使用权就是使用财产的权利。收益权就是收取孳息的权利,孳息包括produits(产品、即不定期收益)和intérêts (利益、即定期收益)。处分权即处分其财产的权利; abusus的拉丁文本意是完全使用。
依照法国民法学家的说法,所有者对其物拥有非常大的权力,直到能够毁灭之; 此点在过去表现尤甚。古罗马人认为,物的所有者被赋予了一种财产权 (拉丁文为dominium),一种他们认为是绝对性的特权,以致于古罗马的法律专家习惯于将权利 (droit)本身和权利的客体(objet)相混淆,设定的专有术语直到今天仍被使用。因此,不是说“我对这座房子或这把椅子的财产权”,人们会简单地说“我的房子”、“我的椅子”; 不是说“我转让了此物的财产权”,人们会说“我卖出或赠出了此物”。事实上,法文的propriété,既有所有权、所有之意,又有财产之意,其体现的权利和权利客体之混同,也在某种程度上反映了这种长期以来不够准确的表达。
如果个人数据可被设有一种财产权,那么该种权利可否确保一种最绝对的保护呢?在法国法的框架下,财产权的特质使得所有者无需通过第三方即可执行相关权利。这显然不是个人数据的惯常情况,因为个人往往必须经过第三方平台,才能够进入或读取自己的数据。
如果承认个人数据属于个人所有,那么个人(不论是个人或实际占有的第三者)依照法国传统的财产权制度是否可以享有对其数据的使用权、收益权和处分权?以下笔者一一试做析明。
其一、关于使用权。此为持有和使用一物而不收取孳息的权利,关乎财产的直接享用权。在个人数据的背景下,一个相关的例子是,当网络用户A在网站B上输入其姓名以便注册账户、继而下单购物时,A拥有决定披露其个人数据的自由而非义务:如果打算注册,A可以提供相关数据,否则可以弃而不为。因此从财产权的角度而言,个人对其数据的使用权是存在的。
其二、关于收益权。此为收取孳息的权利,可以基于财产的交易而获得,关乎财产权的目的。实践中,有数字企业按月向个人用户支付金钱,对价为后者允许该企业监看其网络导航活动。另一个例子是,互联网公司向网民发放一定数额的金钱,以交换在其电脑及智能手机上安装该公司的APP。亦有企业经个人同意后将相关数据租给第三方,相关个人则因此获得一定收益。在这些例子中,个人均可享有其数据带来的金钱收益。因此,个人对其数据的收益权亦能实现。
其三、关于处分权。此权包括藉由转让实施的法律处分或通过摧毁实施的实质处分,是财产权的主要特性,关乎个人按照己愿处分某物的权利。就法律处分而言,若某人是其财产的所有者,所有权的转让自然可行,第三人也因此可以处分得到的他人财产。但在个人数据的情势下,此种处分在法国难以适用,因为个人数据被视为人格权的一部分,是人身的延伸,而人身部分的转让受到法律限制,况且个人数据的财产权设定并未获得法国法的认可。即便依照正常逻辑,个人数据可被转让,比如A可向B出售自己的个人数据,B可因此支配A的数据,这是不是意味着A可以向他人转让 - 比如说,让他人改变或取消自己身份的权利?就实质处分而言,基于个人数据的可复制性,如何毁灭特定个人的数据或成操作的难题,是不是删除数据就意味着对数据的毁灭,而毁灭的究竟是数据还是个人身份?这些都值得思考。
倘若在个人数据上设定财产权获得了法律认可,那么个人可否因此设定有利于第三方的用益权(usufruit),而自身依然保持数据所有者的身份,保有对数据的处分权呢?以下即根据法国法的相关规定就此予以探讨。
用益权实际涵括了使用权和收益权。依照《法学阶梯》(Les instituts de Justinien)赋予的拉丁文定义(由查士丁尼借用自法学家保罗),用益权是指“jus alienis rebus utendi fruendi, salvâ rerum substantiâ”,可被译为“使用他人之物和收取物之孳息的权利,然不损及物之实质”。因此用益权人(usufruitier)既有jus utendi,即遵循物之本质使用物的权利,又有jus fruendi,即拿取物所提供的成果、产品之权利。与用益权人相比,徒具财产处分权(拉丁文为nudum dominium)者,因无使用权及收益权,故被称为nu-propriétaire (惯译为虚有权人)。
法国法中的用益权由民法典第578条规定。藉由财产权的支分(démembrement de la propriété),用益权人拥有对他人之物的使用及享用之物权,就像所有者本人一样,但负责保留物的实质。因此用益权人不仅可以使用相涉的物,而且可以收取物之孳息,特别是以商业名义进行物的开发。反之,用益权人无权毁损或转让用益权的客体(拉丁文为res fructuaria)。
依照法国法,用益权可在无形财产上设定。从目前的法律实践来看,智力创造(发明专利、商标、精神作品等)、公司权证(股票、股份等)和债权等无形财产,均可成为用益权的客体。就个人数据而言,如果法律认可其是法定意义上的财产,其在逻辑上可被合理地归为无形动产。因此个人数据作为相关用益权的客体并无法律障碍。
用益权在法国法下可由法律或由人的意愿设定。因此,用益权可以通过translationem设定,即所有者直接将用益权有偿转让,但保留 “虚有权”(nue-propriété,直译为光秃的所有权)。在用益权适用于个人数据的构想中,特定个人作为未经加工的数据的“所有者”,藉由协约向用益权人有偿转让使用及收益其个人数据的权利, 这至少在理论上是可行的。值得补充的是,此类用益权人大抵会是具有数据收集及/或处理能力的企业,比如大型数字平台。
有偿转让的对价形式则可表现为,用益权的获得者向转让人支付一笔资金,或在约定期限内按期支付一定数量的金钱。适用到前述设想上,这可以是个人数据的用益权人一次性向相关个人支付一笔金钱,或是按年/按月支付。此外或可约定的是,在用益权转让金之外,每当个人修正及更新其数据时,用益权人也应为此付出一定的报酬。但如何确保相关对价被虚有权人一次性或定期获得,以及如何确保其在信息不对称的情况下与对方谈判价格合理的转让金,仍然值得妥善考虑。
法国法治下的用益权还须体现暂时性,以便虚有权人能在期限到期后重新获得物的功用;无此期限规定,其财产权实质上将沦为空泛,所涉的财产流通将会瘫痪。根据相关规定,如果用益权人是法人机构,那么相关期限最多为30年。而在个人数据的用益权框架下,该期限的设定无疑存有变数。试想,与个人数据相关的用益权期满后,用益权法人机构如何履行归还个人数据的义务?倘若在协议期内相关企业发生组织变更,或是虚有权人死亡,协议双方如何继续履行相关合约义务?
此外,用益权转让中涉及的物之使用及收益,在个人数据的用益权框架下亦值得阐明。可以想见的个人数据的常见用途是: 用益权人将众多的个人数据加以聚合、交叉,将其内容作为分析和处理的素材,将之用来训练所设计的算法,将之用于生成对应具体用户个人的“侧写”数据,等等。个人数据获得收益的方式则可能会在实践中轶出常规,比如,用益权人将海量的个人数据打包销售,或是将“侧写”数据转让给定向广告发布者,以最为直观和便捷地体现数据的价值; 如果这些运作实际上已成为不容回避的现实,那么这涉及的实为对于个人数据的法律处分,将不符合用益权的相关规定。
因此在个人数据用益权的构想中,如何确保数据所有者对用益场合的知情权,确保数据被合法合理地使用、而非滥用或作非法用途,确保相关用益不对个人的私人生活和声誉造成或有的损害,确保用益权人不得处分虚有权人的个人数据,是必须预先评估的问题。
最后可以思考的是,如果个人数据被视为是财产,是可以售卖的客体,那么数据开发者应该更乐于和其所有者进行买卖谈判,一次性购买未经加工的数据的财产权,而不是诉诸操作堪称复杂的用益权。因此用益权的实践在现实中恐怕很难可行。
根据如上分析,笔者认为,在法国法的现时框架下,在个人数据上设定用益权,大抵是个理论性和理想性成分居多的议题,因为法律目前并不承认个人数据的财产性; 即便未来此种财产权获得法律认可,个人数据的用益权构想得以实现,其在实践中的可操作性也需要进一步检验。当然,如果以此为契机,设定一个新的单独适用于个人数据的用益权,也是可以考虑的方向。在此设想下,法国民法典需要做出相应的、甚至是结构性的调整。相关的尝试即便可期,但是否可行,仍有待观察。
综上可见,依据现有的法国法,将财产权制度的三大属性适用于个人数据存有或多或少的问题。而从经济、哲学、竞争等多重角度做出的辅助分析,则可以有助于进一步理解:
为何法国迄今拒绝在个人数据上设定财产权?
首先,从经济的角度而言,如果在个人数据上设有财产权,从而使之可被转让,那么由此形成的数据市场或将成为一个数据的廉价旧货集市,卖家和买家的力量对比必然失衡,因为将有大量的供应数据的个人用户面对寥寥无几的数据需求者,所谓的买方寡头垄断(Oligopsone)会因此形成,这自然会对作为买家的数据巨头会有利,而个人对其数据的固有权利则或会被完全剥夺。值得重申的是,个人数据本身并不具有内在的价值,基于财产权的售卖能给个人带来的收入屈指可数。唯有单个的个人数据与其它同类型的数据被收集、聚合、处理,才会产生相应的价值或实现增值。
如果一个数据市场可以兴起,经济理论和历史告诉人们的是,对相关财产权的认可往往会使最强大的数据市场参与者获益,比如相对集中的数据的“需求者”。他们会在数据收集中看到巨大机会, 在数据处理中获取重大利益,而这样的数据市场将不会有利于数据的“供应者”,因为其虽为数众多但力量分散。后者面临的风险是,他们的个人数据将被合法地、往往是低价地被买方大量占有,而在经济赋权(empowerment,原意是摆脱从属状态,获得完全运用自身权利的资格)方面却没有期待的对价。毋庸置疑的是,不论谁是数据财产权的初始持有者,数据市场最终会将它们赋予最能从中获利的经济参与者。
其次,从哲学的角度而言,个人数据财产权的建议,也和欧盟及法国多年来构建个人数据保护法的原则与价值相逆。从欧盟的层面来看,承认有涉个人数据的诸项不可让与的权利,堪称欧洲法的基石; 比如,查阅权(droit d’accès,知晓某个机构持有个人的哪些数据)、反对权(droit d'opposition,拒绝数据被使用的权利)和更正权(droit de rectification,修正信息的权利)。这些权利在欧盟1995年的个人数据保护指令中即被规定。其它两项引入注目的权利则由欧盟司法法院的判例认定,包括个人数据的可携带性权利(droit à la portabilité)和被遗忘权(droit à l’oubli,或称删除权: droit à l'effacement)。已经生效的欧盟GDPR亦纳入了前述两项权利,这也是该欧盟规章认可信息自主决定的权利的佐证。
在此值得强调的是数据的可携带性权利。依照欧盟GDPR第17条的规定,当所有涉及具体个人的数据由数字服务提供者持有时,该权利允许个人收回或转移所涉的数据。因此,即便个人同意这些数据被他方收集和处理,其依然保有进入或读取这些数据之权利、知悉任何对其数据的使用之权利。
同样不容忽视的是,欧盟GDPR的全称为“与自然人保护相关的、关于个人性质数据的处理和这些数据的自由流通的欧洲议会及欧盟理事会规章”。这可被解读为,GDPR授权在法定条件下对个人数据的收集和处理,鼓励个人数据在欧盟境内的流通。反之,GDPR没有授权成员国在个人数据的财产权领域做出特别决定,或是并不认可个人对于数据拥有财产权。实际上,GDPR要求数据处理负责人需要遵守一定的保存期限(由其根据数据收集的目标来决定),因此不得占有其所处理的数据,特别是不能对相关数据主张财产权。
在欧盟GDPR于2016年4月颁布之前,1953年9月生效的《欧洲人权公约》第8条规定了私人及家庭生活受尊重的权利,可谓涵盖了对于个人数据的保护。2000年12月生效的《欧盟基本权利宪章》第8条则明确规定了个人性质的数据应受保护的权利,将之与规定尊重私人及家庭生活的第7条分离,但与个人相连。
就法国的层面来看,1978年的《信息技术与自由法》建立在一种伦理和人文的概念之上,认可了一些与个人密不可分的、独立于任何商品化考量的权利; 2016年的《数字共和国法》对前法的修改,则确认了信息自主决定的权利,与欧盟GDPR认可的原则相符。由此可见,个人数据财产权的建议,不论在欧盟或是在法国,均与个人数据保护的历史框架相抵触。
再次,从竞争的角度而言,如果个人数据被赋予财产权,那么或会加剧数字行业的垄断局面,阻碍行业创新。可以设想的是,在此前提下,大型数字平台可能会在与个人用户的服务协议中,强加数据财产权的转让条款,从而成为日益庞大的个人数据的所有者。如果以对相关数据的排他性所有权为由,大型平台将堂而皇之地禁止第三方对其数据的读取,使得新的行业参与者很难获取数据、或是需要为此付出昂贵的成本,从而在数据开发上难为无米之炊。同时,持有海量数据的平台,可以藉此开发、训练愈发精细复杂的算法,掌握相应的关键技术,更好更有效地抓取大量的个人数据,把持在相关行业的优势乃至垄断地位,因此可能会阻碍创新和竞争。
值得补充的是,从实践的可行性而言,若对个人数据赋以清晰、除外的财产权,该权可能难以适用于某些性质的数据。举例来说,特定个人的基因数据同时涉及到当事人的先人和后人,所以并不仅仅关乎单一的个人,而是在某种程度上将第三方涉入其中。社会性质的数据则是另外的例子,比如一封电邮实际涉及到他人; 如果对特定电邮赋予财产权,那么权利主体是谁、客体如何划分,都是需要解决的现实问题。
况且,若在个人数据上设定财产权,某些数据的所有权归属或会出现争议。例如,藉由用户和平台的互动生成的“侧写”数据,实际是以个人未经加工的数据为原材料、经过平台运用的算法处理而生成的数据。依照法国民法典规定的通过添附(accession) 获得所有权的方式,数字平台或可据此主张对此类数据的所有权,既然其投入的数据处理的人力物力明显超过了相关个人数据的价值。
那么,个人性质的数据究竟需要适用何种法律制度?相关法律前景如何?结合法国法及欧盟GDPR的规定,笔者有几点看法简述如下。
其一: 对个人数据予以区分对待及特别对待,以适用不同的法律制度。个人数据涵盖的范围非常广泛,包括但不限于一般性的个人数据和特殊性的敏感性数据,也包括有涉个人的“侧写”数据,只要一项数据与一个被辨识的或可被辨识的人相连。因此在实则需要细分的个人数据上一刀切地设定一种权利,恐怕不是明智之举; 将之细分并实施不同的定性标准,则可能比较贴近规制需求。
对于未经加工的个人数据而言,比如姓名、性别等,个人对之应该没有一种有关“物”的权利,而是有着一种个人固有的、保护其人格的权利; 因此对此类数据不应设定财产权,而是应该捍卫相应的人格权。该人格权的捍卫建立在相关数据持有人自由、明晰和特殊的同意(consentement)之上。正如欧盟GDPR的核心原则所指的那样,如果个人数据可以流通,它们的用途应由数据收集的初始目的所框定;虽然数据的散播或用途可以受到商业合约的约束,但是数据并不能因此被视为一种商品。
对于经过加工的数据而言,为了更好地体现它们的价值,鼓励相应的投资,可以赋予个人数据库的制造者一种类似于知识产权中的邻接权,使其能对数据库的内容享有一定权利,但并不承认其是法律上的数据库所有者。
对于个人用户与数字平台互动生成的“侧写”数据,或许可以考虑将之视为用户和数据开发者的共同财产。使用此类数据获得的收益,比如开发者将相关数据的使用权转让给定向广告发布商的收益,应和个人数据的提供者分享。
对于特殊的个人数据类型而言,譬如健康数据这样的敏感性数据,应该予以特别对待。在此情况下,不仅财产权不能对之适用,而且应该明令禁止此类数据的商业化开发或转让,即便所涉个人给予了同意。欧盟法及法国法就此方面的规定可资参考。欧盟GDPR第4条专门赋予了“有关健康的数据”的法定定义。法国《公共健康法典》第20条也明确规定,严禁任何有偿转让可直接或间接辨识个人的健康数据的行为,包括相涉个人同意的转让,否则会受到法国刑法典的处罚。当然,如果相涉的数据是处理该类数据的衍生数据或结论、且被正确地匿名化,那么相关的商品化不被禁止。
其二: 不排除个人数据未来会被设定财产权、或被赋予其它法律属性。首先,随着新科技的不断发展,法律的不断演变实际上亦成趋势,新的法律门类也会不断出现。所以未来并不排除立法者特别为个人数据创立自行适用的法律制度,包括赋予财产权或其它属性更为适当的权利,以使相关领域不再成为规制的无人地带或稀松地带,以防数字巨头不受法律束缚地掠取个人数据并将之货币化。其次,赋予个人数据明确的法律定性,未来或因外力驱动而变成迫切的需要。事实上,在可以预见的将来,个人数据的摄取不仅仅藉由社交平台、商品在线平台、台式电脑及平板电脑,而且会越来越多地通过互联物及智能机器人。如果机器人的使用场合越来越广,使用频率越来越高,那么这会不会加速其被赋予法律人格的争鸣,使得其被最终授予法律人格成为必要呢?倘若有朝一日机器人被赋予法律人格,其自身产生的数据能不能被称作“个人”性质的数据; 机器人之间的数据交换或移转,是不是构成了“个人”数据的传输,算不算实现了数据的转让或售卖(对价可以是机器学习的成果),会不会以及如何受到法律规制?而这些能否因此会反促立法者赋予自然人的个人数据的法律定性,从而能使涉及自然人和机器人的两类数据得以区分,他们的流通及处理得以受到区别对待,在相关的责任认定上也可得以厘清。
其三: 赋予法律属性之前要展开影响研究,要有国际化的考量。如果特定国家需对个人数据进行法律定性,那么一则需要衡量相关定性对其现有法律制度的影响,比如是否需要创立新的“物”、新的财产制度、新的财产种类,是否因此需要修改现行的民法或其它法律,二则需要在国际环境下予以考虑,要评估由此可能会给该国数字企业的国际拓展带来的冲击、可能会与其它国家既有法律规定产生的法律冲突。
综上所述,人们对其个人性质数据的掌控,已然变成了他们参与社会、文化乃至政治生活的关键因素。在现有的欧盟及法国的法律框架下,数据的物化没有得到法律认可,不存在涉及个人数据的财产权,尽管数据可被视为具有价值因素,且在不断聚合和交叉的过程中生成不容忽视的价值。
可以说,人们不是有涉其数据的所有者,而是相关数据的主人,行使着信息自主决定的权利。面对个人性质数据在全球范围流通的大趋势,如何既要切实保护与个人数据相关的人格权,确保个人对于相关权利的了解,确保他们对于自身数据的控制,又要有效促进个人数据的合法流通、数据价值的合理运用,有效减低相关领域的法律冲突,这些无疑考验着各国立法机构和监管当局的法律智慧。
推荐阅读
《中国法律评论》期刊与微信公众号
唯一投稿邮箱:
chinalawreview@lawpress.com.cn