《民法典》个人信息保护规定与数据资产治理观念的协调路径
[提要]除《民法典》总则编有少量针对个人信息保护的规定外,《民法典》对个人信息保护的规定主要集中于人格权编。在实践中载有个人信息之数据的利用价值日益显现,故针对个人信息的财产属性以及数据利用在《民法典》适用语境下的解释路径成为学界与业界关注的重点之一。人格权编下个人信息保护的规定自然是从保护私主体的人格尊严出发,相关规定不涉及亦不排斥载有个人信息之数据的市场化利用;《民法典》总则编第125条及第127条规定已为数据权利保护与数据利用规范的适用除外提供空间,《数据安全法》与《个人信息保护法》的规定可藉逐渐成形的数据资产治理观念实现与《民法典》规定的协调,表彰其所内含之个人信息的财产属性,亦可避免一些涉及《民法典》适用范围的理论争议。
[关键词]民法典;数据安全法;个人信息;数据资产;人格权
作者简介:任愿达,复旦大学数字经济法治研究中心研究助理、法学博士研究生,研究方向:金融法、数据法。
《西南民族大学学报》(人文社会科学版)
2022年第6期
引言
在《网络安全法》《电子商务法》颁行后,近两年《民法典》《数据安全法》《个人信息保护法》相继出台,为通过基本法保护个人信息提供体系化法制框架。围绕前述法制框架,以下两点值得注意:第一,《网络安全法》《电子商务法》《数据安全法》《个人信息保护法》均是兼容公法与私法规范的基本法,在私法规范层面,前述基本法相较于《民法典》在个人信息保护与利用方面构成特别法,而《民法典》作为兜底式私法规范集合在提供个人信息保护原则与补充救济方面意义更为重大;第二,除《民法典》总则编有少量针对个人信息保护的规定外,《民法典》对个人信息保护的规定主要集中于人格权编,由于个人信息与数据整体确权的基本范式未定等原因,《民法典》乃至《个人信息保护法》未直接明确个人信息的财产属性,而在实践中载有个人信息之数据的利用价值日益显现,针对个人信息的法律定位便难免争议,[1]因此,个人信息的财产属性[2]以及相对应的数据利用在《民法典》语境下的解释路径[3]尤其值得关注。
在此前提下,学理研究需要关注的重点除包括从应然层面完成个人信息具有财产属性的理据补强外,还包括梳理个人信息财产属性的理据与实践基础之间的互动关系,并在个人信息保护立体化与资产管理数据化的背景下从数据资产治理视角确定《民法典》中个人信息保护规定之解释论的落脚点。此外,相较于《网络安全法》《电子商务法》《数据安全法》《个人信息保护法》等基本法,《民法典》的稳定性要求更高、修法成本亦高,这就需要通过具有拓展性的解释论技术探讨《民法典》规定与数据资产治理观念的协调路径。通过传统法教义学下解释论的思维进路完成个人信息具有财产属性的理据补强,经由理据基础结合实践基础在认识论层面形成数据资产治理观念下个人信息保护规定的逻辑解释,在实践论层面寻求立于实践基础之上的延展路径并反哺传统法教义学下的解释论技术,为《民法典》与前述基本法适用个人信息保护规定的融贯性提供支持,此即本文的研究意义与重点之所在。
一、个人信息财产属性的法律适用与争议焦点
根据《民法典》第1034条的规定,个人信息是指以电子或其他方式记录的能够单独或与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。这一表述与《网络安全法》第76条①规定中关于“个人信息”的表述总体一致。《个人信息保护法》第4条规定,个人信息是指以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。从法律概念与法条定义的视角观察,个人信息的定义在属种关系上属于信息之一种,而其特殊要件有二:一是以电子或其他方式记录,二是可实现识别特定自然人的功能。在基本法的层面,前述三条规定是对“个人信息”作出直接、明确定义的主要规范,鉴于《网络安全法》《民法典》《个人信息保护法》分别于2016年、2020年、2021年经全国人大审议通过,三部基本法均是近年内颁布的法律,故相关定义的时效性、适用性较强这一前提基本不存在争议。基于前述,在我国法律语境下讨论“个人信息”相关问题时以前述定义作为“锚点”,能较好地调对学理讨论的“频道”,亦契合法律适用中涉及的请求权基础[4]。
(一)法律适用及其争议产生背景
《网络安全法》《民法典》《个人信息保护法》虽先后对“个人信息”的定义作出立法层面、实然层面的确认,可由于《民法典》体系内个人信息保护规定主要落于人格权编且与“隐私权”并列,故在学界与业界引发围绕“个人信息”法律适用维度的讨论②,并已产生一些争议。这些争议主要可概括为以下三点:
第一,在理论层面,围绕个人信息与隐私权的关系以及“个人信息保护”是否等于“个人信息权保护”等问题均有不同观点;第二,在实务层面,由于个人信息的主要法律条文规定于《民法典》人格权编,故对个人信息是否可依据《民法典》作财产化利用等问题亦有不同观点;第三,随着《数据安全法》《个人信息保护法》先后经立法机关审议通过,个人信息可作市场化利用似乎已属真命题,而如何解释《民法典》中个人信息保护规定的定位又成为一个难题。
上述三点争议实际系围绕个人信息规定适用之法律解释的起点、路径以及终点方面展开:在起点方面,个人信息的法律概念表达与隐私权等权利概念表达存在差异,已突破传统类型化解释的对象并列逻辑,这是引发学界激烈争论的关键原因之一,而《民法典》中个人信息对应人身与财产关系规范数量的失衡致使法典内部体系解释无法直接得出个人信息具有财产属性的明确结论,又引发业界的合规困境;在路径方面,《民法典》在设计之初是由于个人信息财产化的规范存在不稳定性而侧重将相对更为确定的人身关系规范纳入其中,并在总则编制定援引性规范形成“空框”结构与之后的《数据安全法》《个人信息保护法》呼应,而这一体例逻辑与之前《民法通则》《合同法》《物权法》“打补丁”式的体例逻辑在“但书”规定的解释层面是否存在根本性差异亦引来质疑;在终点方面,《民法典》与其颁行前后生效的《网络安全法》《个人信息保护法》虽在“个人信息”的定义方面已基本实现统一,可《民法典》与其他基本法之间形成由相对稳定至相对弹性、由私法自治至公私结合的规范谱系这一理解即便成立,前述规范谱系是否留足运用传统法教义学下解释论的余地却难免争议,其核心在于《民法典》是否具有兼容我国市场经济的民商事属性,其背后仍是对民商分立或合一的商榷。
综合考量我国法学研究传统与《民法典》制定历程等因素,前述争议产生的背景主要可概括为以下三点:第一,我国法学研究乃至实务虽长期受概念法学范式的影响[5],可学界与业界对概念体系“闭环”与解释体系“闭环”的追求有所不同,学界仍然倾向于从应然层面通过多种法学研究方法为相关规范所对应的概念体系实现“闭环”寻求法理依据,并由此进一步形成学理层面对立法的解释体系“闭环”;业界则倾向于关注具体法律行为对应法律规范时的合规性,关注从实然层面获得兼顾合法性与合理性的逻辑解释。第二,我国《民法典》从酝酿、初拟至定稿并被审议通过的历程足可见参与立法人士的精心筹备与法典制定的旷日持久③,而学界与业界部分人士仍受“西法东渐”思维模式的潜在影响,缺乏对我国立法机关制定大型法典的立法自信,致使在发现一些关于立法规范理解的差异时先产生对立法周延性的担心或顾虑,而后聚焦于从应然层面挖掘带有批判主义的解释路径。第三,在我国学界长期存在着对民商“合一”与“分立”模式的争议[6],一旦当以个人信息保护为例的法律适用出现“问题”时,探讨民商分立语境下商法典或商法通则制定[7]或反思《民法典》适用范围局限性又可能由于新场景的出现而引发热议,相较于聚焦平衡法典稳定性与新场景不确定性之间的解释技术,囿于“民商分立”思维而界分个人信息利用中的商事属性在一定程度上仍体现出学界存在“主义”优于“问题”的倾向。
(二)立法论与解释论的双维考量
针对上述法律适用及其争议的产生背景,理论切入的维度仍以立法论与解释论为主。目前,围绕个人信息保护的理论成果众多,既为辨明个人信息及其保护在《民法典》中的定位提供丰富的理论素材,亦对个人信息的权益属性与保护范式提供多维的学理探讨与问题聚焦。可鉴于相关理论成果的落脚点与侧重点有所不同,在本文探讨的法律语境与叙事背景下,前述理论成果在立法论与解释论的层面仍体现出一定的局限性。
从立法论的视角观察,相关理论成果较多侧重于对《民法典》的检讨,属于从《民法典》优化视角出发的立法论研究,相比于普通单行法的立法论研究,针对《民法典》的立法论研究在实用性上可能存在一定瑕疵:第一,从法律性质分析则可发现,《民法典》作为法典相较于一般单行法而言应更具稳定性,换言之,即《民法典》在短期内进行修正、修订的可能性极小,且立于现实开展的立法论研究可能无法适应个人信息呈现形态在未来不断发展后的情景,亦即前述理论成果在时间与空间维度从“应然”路径转化为“实然”路径的可行性均较小;第二,相较于检讨《民法典》及其立法论,围绕个人信息保护单行立法的探讨亦有不少,同理可得,在《个人信息保护法》施行语境下从实然层面构思法律适用的协调思路或更为合理。
从解释论的视角观察,相关理论成果较多侧重于区分“个人信息”与“个人信息权”、廓清个人信息与隐私权之间的关系等议题,亦有学者关注载有个人信息之数据的利用问题[8],可总体而言,相关理论成果在明确个人信息与数据之间的关系、个人信息在《民法典》中财产属性的表彰路径等问题论证上缺少关注或存在一定缺陷:第一,从《民法典》的规定观察,《民法典》对“隐私”与“个人信息”均已作出定义④,围绕隐私权与个人信息的内涵与外延(尤其是外延)开展类型化研究诚然有利于解释相关规定,可由于《民法典》并未对“数据”作出直接、明确的定义,在法典体系层面解释第127条中“数据”与《民法典》其他规定中所述的“个人信息”之间的关系更有必要;第二,《数据安全法》《个人信息保护法》的制定或足以论证数据(含载有个人信息的数据)具有财产属性,可《民法典》作为统领私权保障与私法规范的重要法律亦需要对前述问题提供足够的包容空间以表彰法典的普适性,并实质性地显示其私法上的补充救济作用[9],而前述理论成果在这方面的解释论构建较为薄弱。
立法论与解释论的双维考量仍是解决法律适用问题的核心方法论,而值得注意的是以下三点:第一,解释论是解决问题的首要方法,《民法典》为个人信息财产属性设置“空框”结构的目的是将稳定的价值判断与规范纳入法典,将变化的价值判断与规范留予其他基本法接纳,而非将仅在逻辑观念上可作切割的静态规范纳入法典,即法典对个人信息保护规定的区分逻辑是稳定与变化而非静态与动态,这是解释的重心之一;《民法典》既对类型稳定的社会关系予以体系性的规范,亦为私法与公法的融贯适用提供纽带,其围绕部分社会关系制定援引性规范并非重点区分民事与商事规范,而是重点区分一般法与特别法规范,即法典解释的方向在于寻求贯通与融合而非廓清与界分,这是解释的重心之二。第二,立法论是解决问题的重要辅助,立法论重点研究的对象应落于《民法典》以外的单行法且相关研究应以《民法典》解释论为基础,即解释论与立法论重点研究的对象虽有不同,可两者并不割裂而是有机联系。第三,解决问题应以“回应型法治”[10]为基本导向,解释论运用的宗旨并非仅停留于法典内部完成形式逻辑或语词关系的推演,还在于回应现实并构建理据与实践基础,通过理据基础提供逻辑解释闭环的前提,通过实践基础提供相关解释的延展路径。
二、个人信息财产属性的理据基础与实践基础
围绕《民法典》解释论,个人信息财产属性的逻辑解释宜着重从法律适用体系的理据基础与社会经济生活的实践基础予以考辨,解释理据基础旨在从内生性视角观察法律体系内部的法理逻辑,解释实践基础旨在从外源性视角观察社会运行变化的基本逻辑,前者侧重解释路径的严格性进而解决必要性问题,后者侧重解释路径的时效性进而解决重要性问题。值得注意的是,如前述理据与实践基础之间缺乏融贯性,则两者难免陷入各行其是的困境,当下两者可实现耦合的关键在于个人信息经由媒介成为数据后可完成理论要素与生产要素的同一性证成:2020年3月,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,提出要“加快培育数据要素市场”⑤,在政策的顶层设计层面勾勒出数据市场化利用的方向,前述规范性文件对数据外延的厘定则包括但不限于个人信息⑥,这为与政策规范紧密联系的法律规范形成对应的规范体系提出要求,即政策规范通过确认生产要素增量社会性地、实践性地联系法律研究的理论要素,在原本个人信息分散的、琐碎的私人实施之维基础上明确添加公共实施之维,形成秩序法制化、体系动态化的社会实施,在原本私人数据处理、企业数据管理的基础上明确增加更多的利益相关者,形成符合社会实践需求的数据资产治理导向。
(一)理据基础:回应公法并呼应特别立法的诉求
在理论层面,制度的订立可丰满理论研究的对象⑦并充实理论研究的维度⑧;在实践层面,制度的订立可为执法机关、司法机关、自律组织与私法主体提供可视化的执法依据、裁量标准、自律维度与行为规范。目前,《网络安全法》《电子商务法》《数据安全法》《个人信息保护法》等基本法已陆续颁行,前述基本法的配套法规以及规范性文件已有效施行或计划出台,与此同时,《民法典》已替代《民法总则》等单行法予以施行。就前述几部法律与《民法典》在个人信息保护规定方面的“纵横交错”而言,值得关注的几点是:第一,《网络安全法》提出“网络空间主权”的概念⑨,体现出围绕制度顶层设计,制度订立者在最近政策调控周期及后续法律运行期间内的资源集中、密集倾斜与资源优先、持续倾斜的理解、定性或态度;第二,《电子商务法》的征求意见稿及被审议通过的颁行法令均勾勒出“信息流向”及其规制的大致格局与主要途径,为数据治理导向的规范体系提供初步框架;第三,《民法总则》已在人格权下明确个人信息保护的权利条款,相关法律条文并未直接否认载有个人信息的数据具有财产属性且已被《民法典》有效承继,同时《民法典》明确将个人信息保护与隐私权保护并列,为个人信息保护提供私法依据;第四,《数据安全法》与《个人信息保护法》虽被单独立法,可围绕个人数据与个人信息的保护仍有统合适用的空间。
在此前提下,从《民法典》保障并规范私权的视角出发,《网络安全法》等负有公法色彩的基本法已明确将数据作为网络空间主权下的资源,《民法典》需要从法律适用衔接、私法回应公法等方面,关注个人信息财产属性的解释路径,即一系列立法的颁行以及法律体系完整性与现代化的诉求,构成《民法典》解释论框架下相关对象、制度解释的理据基础。
具体而言,上述理据基础包括以下两点:第一,回应公法的诉求,在回应行政法方面,《民法典》通过设置“空框”结构与《网络安全法》《电子商务法》等基本法中的行政规范有机联系,给予行政规范以足够发展空间的同时表彰私法视阈下“法无禁止即可行”的价值理念;在回应刑法方面,《民法典》抽象地规范个人信息相关的财产关系与《刑法》第253条之一的规定形成“对称”结构,并同步在整体定性方面提供规范指引,在具体定性与定量方面则交由其他基本法提供理据支持,相较于刑法的司法解释而言更为稳定,前述“空框”结构与“对称”结构共同形成稳定结构。第二,回应特别立法的诉求,《民法典》从基本权利对应基本要素的逻辑出发,侧重将个人信息对应的数据作为当下生产要素中的基本要素予以规范,《网络安全法》《电子商务法》等基本法则从数据(相较于土地、资本、技术等传统生产要素)属于生产要素增量的逻辑出发,侧重将个人信息对应的数据作为当下生产要素中的特别要素予以规范,即《民法典》从市民社会发展沿革的视角提供一般法规范,《网络安全法》《电子商务法》等基本法从科学技术发展的视角提供特别法规范,前述一般法规范与特别法规范共同形成资产维度下数据治理的理据基础。
(二)实践基础:数据资产治理观念的形成与勃兴
从社会分工的不断精细化、多元化[11]至“规模经济”“共享经济”等概念被提出[12],通过提高社会资源周转效率增进社会生活水平基本成为人们的共识,而随着信息科技的进步,信息通过数据的表现形式初步实现“量”的可视化,数据资源亦由于技术更新而以不同层次、结构、形式予以体现,与此同时,数据以资产管理的方式实现“质”的可视化,将在狭义物质化语境外通过信息化视角为提高社会资源周转效率提供有益的思路[13]。进一步从时间维度由远及近观察则可发现,各国立法例就物权规范体系下从“实力控制”至“实效控制”[14]的观念转变[15],再至金融产品由纸质化向电子化、由信息化向网络化发展的历程,立法观念与社会观念的迭代总体与其所处时期的技术迭代息息相关[16]。自20世纪八九十年代以降,以金融行业为代表的资本密集型行业努力尝试并运用最新科学技术推动市场创新、市场安全、市场效率的举措不胜枚举;本世纪初,经过凝练与沉淀,“金融科技”等[17]提法或倡议日渐盛行,既是对前述探索及其举措的概括,亦是“金融科技”等基于其复杂性与实践性从概念迈向业态的具体表征。相关业态在成型、成熟的渐进过程中,已然存在实践土壤,即存在立体化、体系性规范的实践基础。
另一方面,近些年人们对财富管理、隐私保护等事项的关注明显上升[18],这与金融行业发展、信息流动失范背景下个人相关需求的具象化有关,亦证明社会观念对资产管理、信息安全的理解正不断往纵深推进。进一步地,当“信息安全”与“资产管理”被社会观念联系在一起后,数据资产管理的诉求将集中体现,鉴于目前外部环境的不断变化、信息格局的不断深化,前述联系过程已接近尾声,经过政策驱动,数据资产管理开始迈向数据资产治理。在数据资产治理维度,除亟待解决的技术难题外,相关制度难题亦将如影随形,学界如就此问题与时俱进地结合《民法典》的具体规定作出理论解释,适度前瞻性乃至先验性地提供一些制度优化框架或理论体系铺垫,不失为一种可选之策[19];有鉴于此,社会观念将“资产管理”与“信息安全”及早关联所催生的诉求及其制度难题亦构成对个人信息财产属性之解释路径进行全面研究的实践基础。
可见,个人信息财产属性的逻辑解释在理据层面侧重法律适用体系与政策响应机制,而在实践层面则侧重社会经济生活的发展变化规律,从“实力控制”至“实效控制”的观念转变使得人们对资产形态的理解有所拓宽,这要求法律解释在理解与观念的层面、目的与体系的维度进行相应拓宽,而“资产管理”与“信息安全”由最初私人实施主导至目前公共实施牵头,则说明将数据作为法定的、新型的资产予以治理已形成社会共识,数据资产治理观念因此成为《民法典》个人信息保护规定解释的关键视角,亦即解释相关规定的实质是从私法与公法规范之调整范围相适应的维度以及私法规范与社会关系之映射范围相衔接的维度审视《民法典》规范与数据资产治理观念之间的协调,确保理据基础不陷入循环论证或由于形式逻辑的严格要求而忽略经验规律,以实现其与实践基础有机联系。
三、个人信息财产属性的逻辑解释与延展路径
基于上述,《民法典》的法律适用及其争议使得我们需要从立法论与解释论的二维视角检讨研究《民法典》接纳新型社会关系的思维进路,而法典的法律属性与典制特性使得我们选择以解释论为首要方法考察个人信息财产属性之理据与实践基础的思维进路,并最终锁定数据资产治理这一具有现代社会基础的观念作为融合理据与实践、开展逻辑解释并挖掘延展路径的基调。在逻辑解释方面,围绕《民法典》个人信息保护规定解释的重点论域主要包括以下三个方面:第一,相关对象范畴之间的比较分析与法律概念解释;第二,相关概念范畴与对象概念范畴之间的比较分析与权利内涵解释;第三,相关概念范畴在《民法典》适用体系中的比较分析与法律定位解释。在延展路径方面,基于前述逻辑解释而拓宽方法论与实践论内涵的重点论域主要包括以下四个方面:第一,法律规则与技术规则的规范衔接;第二,网络安全与信息保护的业态标准;第三,资产管理与金融科技的融合路径;第四,民法视角的技术性术语解释之维。
(一)逻辑解释:个人信息、隐私与数据之间的立法排列
第一,“隐私”与“个人信息”的范畴关系比较。根据《民法典》第1032条与1034条的规定,个人信息是指以电子或其他方式记录的能够单独或与其他信息结合识别特定自然人的各种信息。从文义解释出发,个人的隐私信息基于其特性属于能够单独识别特定自然人的信息,即“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”中的“私密信息”属于“个人信息”的下位概念,而“隐私”除包含私密信息外,还包括私人生活安宁、私密空间、私密活动等其他外延,对此,可理解为:当个人隐私以信息形式呈现时,隐私信息属于个人信息的一部分,其受隐私权与个人信息保护相关规定的双重调整;反之,当个人隐私体现为其他形态或形式时,落入“私人生活安宁”与不愿为他人知晓的“私密空间”“私密活动”所对应的权益时,相关权益作为隐私权的下位概念受《民法典》关于隐私权保护规定的调整。总体而言,“隐私”与“个人信息”的概念外延存在重叠之处,而两者之间并不存在上下位关系;相对应地,鉴于两项概念之间存在的紧密联系,《民法典》将个人信息保护与隐私权保护并列于一节并无不妥,两者可平行适用[20],不宜简单将隐私理解为个人敏感信息而认为隐私权保护的相关规定属于个人信息保护规定下的特别法。
第二,“个人信息”与“数据”的范畴关系比较。《民法典》第127条规定提及“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,并未直接对“数据”作出直接、明确的定义,在基本法层面“数据”的定义主要由《数据安全法》作出,如前所述,该法将“数据”定义为“任何以电子或者非电子形式对信息的记录”。根据该定义的表述,“个人信息”属于“数据”记录对象的下位概念,所谓任何以“非电子形式”对信息所作记录语境下的概念外延极广,仅从文义解释出发,既可包括纸质形式的传统记录,亦甚至可能从文义理解上包含大脑的记忆,即尽管立法明确“信息”与“数据”的关联在于后者是对前者的记录、“信息”与“数据”的界分在于前者侧重于内容而后者侧重于介质,可实践中囿于科学技术水平所限,所有记录形式不可能均有效地、实质地成为数据;另一方面,在抽象理解乃至哲学层面观察,“个人信息”属于“数据”记录对象之下位概念在前述定义下并无疑义,可实践中个人信息所能呈现于外部世界的主要方式仍是数据形式,数据对应的介质形式终究有限,记录对象便不可能周延所有个人信息,故可将《民法典》中个人信息保护的规定理解为对个人信息语境下具体内容的保护,鉴于其具体内容负有极强的人身属性,相关规定列于人格权编下便亦无可厚非。此外,由于“数据”表现为对信息的记录,其作为一种介质存在与“网络虚拟财产”并列亦符合文义构词维度的逻辑,且基于目前信息技术的迭代速率与《民法典》的稳定性要求,《民法典》第127条作出相关援引性规定亦无不妥。值得注意的是,在对该条援引性规定作文义解释时,不宜排除《民法典》本身的适用,即《民法典》的基本原则与合同编等各编相关规定均可适用,既可直接作为首要法律依据适用,亦可作为补充救济方式适用。
第三,关于“个人信息权”的内涵及其适用争议。《民法典》在人格权编下对个人信息保护规定的表述方面,使用“个人信息”一词而未使用“个人信息权”一词,可较好地适应目前个人信息合理保护与发展利用的诉求平衡,并体现在以下两点:首先,如使用“个人信息权”的表述,从概念内涵观察,该项权利既包含人身权利亦包含财产权利,规定于人格权编将忽视对个人信息的合理市场化利用,显然不妥;而以“个人信息”权益作为对“个人信息权”下人身权利的概括比较符合人们对日常生活中“个人信息”的惯常理解,符合人格权编下的权益保护导向。其次,即便将“个人信息权”规定于《民法典》总则编的“民事权利”中亦有不妥之处,“个人信息权”的概念构建与表述方式虽能较好地周延个人信息相关的所有权能(益),可随着社会分工的细化与科学技术的发展,如此一项“打包”式权利的概念表述未必能产生十分良好的私法保障效果,却可能由于权能划分不清而引发纠纷。在实践中,物权编下的“所有权”之占有、使用、收益、处分权能已逐步根据市场的发展需要在资产管理类金融产品中被剥离出来作单独安排;相对应地,直接将“个人信息权”的各项权能(益)分别制定规范契合实践的需要,亦可避免处于长期探讨乃至论战中的“物债两分”范式[21],防止陷入难以完全适应市场化发展需要(尤其是现代资本市场的发展需要)的困境。此外,在政策层面,根据《关于构建更加完善的要素市场化配置体制机制的意见》,载有个人信息的数据亦属于资本要素,从数据维度研究并确认相关权利较之基于个人信息内容直接设定“个人信息权”更有价值;在法律层面,《个人信息保护法》中的个人信息处理权理论与《数据安全法》的协调即为较好的实证范例。
第四,关于个人信息财产属性在《民法典》中的适用路径解释。由于《数据安全法》《个人信息保护保护法》的先后颁行,且《民法典》同时表彰个人信息的人身与财产属性系《民法典》作为“私法之母”的应有之义,立于《民法典》典制特性的视角寻求个人信息财产属性在《民法典》中的适用路径仍有必要。如前所述,个人信息的财产属性主要体现为“数据”语境下的财产属性,《民法典》第127条的规定位于总则编,可较好地衔接前述语境下个人信息财产属性的法治保障措施,即通过先验性的立法思维、概括式的立法技术、援引性的立法规范为可能兼具“刚性”与“柔性”、“现代”与“迭代”的数据规范预留空间,同时通过民法基本原则与各编相关规定相结合的形式保护个人信息的财产价值。在《民法典》适用的过程中,个人信息所包含的人身属性相关权益位于人格权编,含有“绝对权”的特征,能较好地保障人们的基本权利,与此同时,围绕个人信息的财产属性不作“一刀切”的法律定性,为含有“绝对权”与“相对权”特征的各项权能(益)预留空间,亦为后续相关权能(益)“升格”为权利预留空间,符合法典化语境下民法解释论的基调。
根据上述可发现,从个人信息的财产属性入手是由财产属性与人身属性的内在对立、当下对立所决定的,数据资产治理视角在《民法典》解释论中有所体现的第一步即通过个人信息财产属性的逻辑解释,先完成《民法典》总则编、人格权编之正题、反题证成,再实现《民法典》内部规范体系与私法整体规范体系解释路径的合题证成。换言之,对《民法典》解释论的批判本身是澄清前提、划清界限,是在研究对象给出层面而非在研究目的层面提出质疑:当个人信息、隐私与数据之间的立法排列存在围绕立法现状解释的逻辑闭环时,不宜再先验性地通过提出假设、增加变量开展应然层面的讨论,亦即当下主要的研究目的是维护《民法典》的稳定性,是突出《民法典》解释路径的可变性而非《民法典》条文内容的可变性,当下给出的研究对象既是《民法典》解释论与《民法典》本身,还是寻求《民法典》解释路径可变性的视角,当从实践基础中提炼出的数据资产治理视角可在《民法典》诸多解释路径选项中作出选择时,上述从个人信息、隐私与数据等对象之间的立法排列至文义解释、目的解释、体系解释等方法之间的先后排列的逻辑闭环已构成融贯理据与实践基础的解释论。
(二)延展路径:术语解释、规则衔接、标准界定与业态融合
第一,为民法解释学尝试多面向地解释技术性术语提供样本。从通过法律视角进行文义以及文义外的事实乃至现象的解释路径观察,民法解释学现代化的标志之一可表现为对技术性术语的法律解释。所谓技术性术语的法律解释,是指对涉及行为模式等基本技术性术语或定义作出符合法律要件的解释。以“数据共享”行为这一法律行为为例,从流向的维度观察,可将数据共享行为界分为单向的数据开放行为以及双向的数据交换、交易行为,这一维度的分类有利于在制定技术规则时进一步明确不同行为之间义务履行完毕的判断时点;从有偿的维度观察,可将数据共享行为界分为数据等价、等量交换行为与数据有偿、定价交易行为,这一维度的分类有利于在数据侵权行为发生时适当“量”化侵权责任的外延;从法域的维度观察,可将数据共享行为界分为境内共享行为与跨境共享行为,这一维度的分类除可明确相关行为法律适用的层次、提示适用域外法律的风险外,亦有利于在经济全球化的环境下促进单一法域内的立法在数据确权这一基本观念与前提上形成与其他法域立法之间可协调、可弥合的机制;从主体的维度观察,可将数据共享行为界分为同一主体内部的共享行为与不同主体之间的共享行为,这一维度的分类有利于立法者进一步关注同一主体控制下关联企业之间数据共享的合规边界。对“数据共享”行为进行类型化、多维度的分析,有利于揭示基于这一诉求而形成的市场范围与业态内涵;进一步地,结合流向、有偿、法域、主体等多个维度对这一法律行为进行超越“字面”化文义解释的民法解释学分析,亦可从广义的交易行为视角廓清行为的工具属性、价值属性、规范属性与对象属性,通过对象的实然情境推导其应然导向并化约至其民商融合的应然结论,还可为技术规则制定者在梳理不同类型法律关系、确立技术规则时防范制度“洼地”提供可参考借鉴的立足点。
第二,为法律规则与技术规则的衔接提供理据性的支撑桥梁。在“数据资产管理”“数据治理”“金融科技”等多个概念体系下,法律规则与技术规则在理解与论述上的分野均较为明显。在实践中,相关规范框架体系包括但不限于法律法规体系、安全管理制度、规范标准体系、安全技术机制。以“数据共享”行为这一法律行为为例,其在公法私法化与私法公法化的过程中显然同步接受公法与私法的双重调整,在公法层面,除网络安全与信息保护的专项法律法规外还将涉及其他行政管理规定中的专项适用条款,相关规定的文字表述侧重于法律效果的实现,而具有公法色彩的工信、网信部门的安全管理制度则为实现前述法律效果提供法律权义具体履行时技术路径上的行为范式;此时,具有主体共识性质的、以参考规范标准体系为代表的技术规则具有较强的私法属性,以数据资产治理的视角拓展性地解释《民法典》的援引性规范并在合理条件下以技术规则填补《民法典》的“空框”结构,具有实践性的现实意义与开拓性的理论意义,两类意义“合题”的关键即以具有实践性的数据资产治理视角应用于具有理论性的体系解释方法论,回归至前述例子,数据共享主体参考规范标准体系后设置的安全技术机制将为对接前述行为范式提供物理与应用层面的实施条件,进一步地,法律规则与技术规则的深度融合还将推动形成实施条件-行为范式-法律效果的逻辑闭环。通过对《民法典》的合理解释厘定个人信息财产属性的表彰维度并廓清数据维度下的信息利用原则与范式,可基于社会效果与法律效果相统一的视角为行为范式与法律效果的衔接提供更强的融贯性,基于法律科技的视角为实施条件涉及的技术性法律风险因素、程序性法律救济方式与法律效果的衔接提供更多的联结点。
第三,为网络安全与信息保护的业态提供可借鉴的界定标准。从私人实施与公共实施的视角观察,《民法典》所提供的概念、对象是法律语境下私人实施的原点,而在网络安全与信息保护领域,公共实施迟于私人实施出现,公共实施作为私人实施的补集在其开端仍依赖后者划定边界,加之《民法典》相关规定适用场域的延展性即对应网络安全与信息保护业态的延展性,因此,以数据资产治理解释之,符合新型举国体制话语体系下整体社会实施的深化方向,有利于在法律与标准逐步融合的同时强化法律内部公私规范之间的协调。在实践中,数字资本市场以及数据要素的提法在为界定数据资产管理中“数据资产”的法律内涵提供研讨论据、为网络安全与信息保护所对应的业态“触角”提供商榷线索的同时亦提出从私法根本规范解读数据的诉求,当且仅当私法规范对个人信息保护与数据保护作出明确的规范时才可较好地衔接与回应公法规范的监管诉求,即《民法典》对待个人信息与数据的态度,亦将于公法层面为纳入监管的对象及监管的范畴提供有力的借鉴,以形成私权保障与公权规范之间的“最大公约数”,为网络安全与信息保护的业态提供可借鉴的界定标准。
第四,为资产管理与金融科技的融合提供可规划的制度路径。目前,实务界已基本达成共识,在狭义的资产管理业务模式中,涉及信托公司监管、信托产品登记等情形时主要适用《信托法》及其相关金融性规定[22]。前述资产管理中的“资产”主要是指财产性权利,适用《信托法》的理据之一则是基于资产管理的专业属性,以《信托法》下信义义务规制受托人的管理行为[23],在受益人保护方面的作用相比于一般的合同义务及诚信原则而言,在金融监管及司法裁量、权义解释及证明责任等方面的作用更大。个人信息保护的规定虽制定于人格权体系下,可载有相关信息的数据一旦进入“市场”、形成“业态”,其财产属性将不言而喻,《民法典》从数据维度为个人信息勾勒完财产属性后,可为适用《信托法》等相关规范解决数据利用所对应的管理权与收益权的分野、相关行为的专业化属性等问题提供条件。此外,一些大型企业在金融科技领域的试水以及监管部门的执法态度,在一定程度上与西方国家的金融“监管沙盒”有异曲同工之妙,既凸显出数据资产管理的市场诉求,亦折射出数据资产管理的监管需求,而《民法典》对个人信息与数据保护的立场亦将直接影响监管维度下“技术中立”原则[24]的内涵与该原则应用于相关业态的立场,并便于明确适用信义义务的主要标准、探讨金融科技标准的风险与监管规则。
当《民法典》解释论被理解为方法论时,个人信息财产属性的逻辑解释(数据资产治理视角在《民法典》解释论中有所体现的第一步)则可被视为解释《民法典》相关规定的认识论,而个人信息财产属性的延展路径作为数据资产治理视角在《民法典》解释论中有所体现的第二步,则可被视为解释《民法典》相关规定的意义论或实践论,在术语解释、规则衔接、标准界定与业态融合所折射的意义或实践背后,是通过解释方法融合、公法私法融贯、多元规则融通的校验,实现方法论向意义论、实践论的延展、解释路径向协调路径的延展。
四、代结语:数据资产治理观念下的《民法典》解释与社会实施
数据立法与个人信息保护立法在学界备受关注,诸多民法学者围绕个人信息所涉财产利益之正当性与权益保护已从溯源性的视角为《民法典》解释论增添注脚;随着《数据安全法》《个人信息保护法》的尘埃落定,个人信息保护规定与数据利用规定的解释论研究正揭开序幕。从《民法典》解释论的视角观察,除“为了解释什么”外还需要关注“为了什么解释”,即解释论之一端系溯源性地寻找深厚的理论基础,而另一端系通过解释实现更为有效的法律适用,当一端的认识论、另一端的实践论与作为方法论的解释论本身形成闭环时,推动闭环形成的研究视角便具备理据与实践基础。值得注意的是,理据与实践基础之间的动态互动关系,已催生“动态系统论”应用至法律规范乃至民法规范的思考,数据资产治理视角本身蕴含的动态理解,既可为解释《民法典》的部分规范拓宽思路,亦符合目前观察、试用“动态系统论”的研究基调,而以此解释《民法典》所涉的“空框”结构与“对称”结构并谓之反哺传统法教义学下的解释论技术抑或并无不妥。进一步地,《民法典》作为基本法,是法律语境下私人实施的重要依据,而《民法典》的典制特性则决定其具备更为丰富的意蕴——为新型举国体制下的社会实施提供理据,当一部法律较之前所承载的基本功能升格、使命担当升华时,相关法律解释论技术的与时俱进便势在必行,以数据资产治理观念“破题”并构建《民法典》个人信息保护规定的协调路径既是呼应拓展民法解释论的需求,亦是回应运用“动态系统论”的诉求,还是因应采纳法律“化约论”[25]的要求,以避免协调路径陡增不确定性而无法实现解释“解释对象”的目的。
注释:
①参见《网络安全法》第76条。
②围绕个人信息保护问题,随着《民法典》出台,相关学者已进一步结合具体规定与自身理论体系就个人信息保护的法律适用问题作出阐释。参见周汉华:《个人信息保护的法律定位》,《法商研究》2020年第3期,第44-56页;张新宝:《我国个人信息保护法立法主要矛盾研讨》,《吉林大学社会科学学报》2018年第5期,第45-56页等;程啸:《论我国民法典中个人信息权益的性质》,《政治与法律》2020年第8期,第2-14页;高富平:《个人信息保护:从个人控制到社会控制》,《法学研究》2018年第3期,第84-101页。
③如从我国逐步步入市场经济起即有民法学者呼吁制定民法典起算,至今已逾二十年;即便从本轮草拟制定民法典的周期观察,亦历时约五年之久。故习近平总书记在对民法典工作评价时指出:“在各方面共同努力下,经过5年多工作,民法典终于颁布实施,实现了几代人的夙愿。”参见“习近平:充分认识颁布实施民法典重大意义 依法更好保障人民合法权益”,链接地址:http://www.gov.cn/xinwen/2020-06/15/content_5519578.htm,最后访问日期:2021年8月31日。
④《民法典》第1032条明确,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息;《民法典》对“个人信息”的定义如文初所述。
⑤参见《关于构建更加完善的要素市场化配置体制机制的意见》第六部分。
⑥《关于构建更加完善的要素市场化配置体制机制的意见》明确要根据数据性质完善产权性质,制定数据隐私保护制度和安全审查制度,推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。
⑦主要系指处于基本法下的私权利之请求权基础以及公权力之执法权依据。
⑧在相关基本法及配套规定颁行之前,理论研究的范式主要集中于学说体系“先行先试”格局下的类型化研究与比较法研究,缺乏相关研究可以“落地”的抓手。
⑨《网络安全法》第1条明确“维护网络空间主权”的立法主旨。
10.参见《电子商务法》提及“信息”的频次约达60次。
11.参见《民法总则》第111条。
12.《数据安全法》将数据定义为“任何以电子或者其他方式对信息的记录”,在文句表达的结构与逻辑方面与个人信息的定义方式有异曲同工之处。
13.参见《网络安全法》第3章的规定。
14.2009年2月施行的《中华人民共和国刑法修正案(七)》在刑法第253条后增加一条,作为第253条之一,规定出售、非法提供公民个人信息罪与非法获取公民个人信息罪。2015年11月施行的《中华人民共和国刑法修正案(九)》对刑法第253条之一内容作出修改完善:一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是加重法定刑,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。修改后,“出售、非法提供公民个人信息罪”“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。
15.参见《金融科技发展规划(2019-2021年)》《统筹监管金融基础设施工作方案》等规范性文件。
16.参见《数据安全法》第3条的规定。
17.参见《个人信息保护法》第1章的规定。
18.主要系指不同语境、不同内涵下网络监管、行业监管与金融监管的交叉适用与选择适用。
19.监管沙盒(Regulatory Sandbox)的概念由英国政府于2015年3月率先提出。按照英国金融行为监管局的定义,“监管沙盒”是一个“安全空间”,在这个安全空间内,金融科技企业可以测试其创新的金融产品、服务、商业模式和营销方式,而不用在相关活动碰到问题时立即受到监管规则的约束。参见胡滨、杨楷:《监管沙盒的应用与启示》,《中国金融》2017年第2期,第68-69页。
20.目前已有不少学者开始着重研究“动态系统论”如何应用于法律规范、民法规范乃至《民法典》人格权编中的相关规范。参见王利明:《民法典人格权编中动态系统论的采纳与运用》,《法学家》2020年第4期,第1-12页等;胡学军:《民法典“动态系统论”对传统民事裁判方法的冲击》,《法学》2021年第10期,第140-153页;王磊:《动态体系论:迈向规范形态的“中间道路”》,《法制与社会发展》2021年第4期,第159-176页。
参考文献:
[1]周汉华.个人信息保护的法律定位[J].法商研究,2020(3).
[2]郑佳宁.数据信息财产法律属性探究[J].东方法学,2021(5).
[3]梅夏英.《民法典》对信息数据的保护及其解读[J].山西大学学报(哲学社会科学版),2020(6).
[4]胡坚明.请求权基础规则与法典化立法[J].华东政法大学学报,2016(6).
[5]梁慧星.从近代民法到现代民法——二十世纪民法回顾[J].中外法学,1997(2).
[6]郭锋.民商分立与民商合一的理论评析[J].中国法学,1996(5);王保树.商事通则:超越民商合一与民商分立[J].法学研究,2005(1);于海涌.分解融合是民法典编纂中民商合一的现实路径选择——以《商法通则》的立法建议为中心[J].法治研究,2018(4).
[7]傅穹,张建东.商事人格权的法律位置[J].社会科学战线,2019(12).
[8]张新宝.“普遍免费+个别付费”:个人信息保护的一个新思维[J].比较法研究,2018(5).
[9]宁宣凤等.民法典中个人信息的定位及影响[A]//上海市法学会.上海法学研究(第37卷)[EB/OL].https://kns.cnki.net/kns8/defaultresult/index,2021-12-01.
[10]李晗.回应社会,法律变革的飞跃:从压制迈向回应——评《转变中的法律与社会:迈向回应型法》[J].政法论坛,2018(2).
[11]王大勇.交易成本与社会分工演进[J].南京理工大学学报(社会科学版),2003(4).
[12]刘征驰,邹智力,马滔.技术赋能、用户规模与共享经济社会福利[J].中国管理科学,2020(1).
[13]吴汉东.科技、经济、法律协调机制中的知识产权法[J].法学研究,2001(6);齐爱民.个人信息保护法研究[J].河北法学,2008(4).
[14]石佳友.治理体系的完善与民法典的时代精神[J].法学研究,2016(1).
[15]汤文平.法学实证主义:《民法典》物权编丛议[J].清华法学,2020(3).
[16]张文显.民法典的中国故事和中国法理[J].法制与社会发展,2020(5).
[17]张双梅.中国互联网金融立法与科技乐观主义[J].政法论坛,2018(4).
[18]江平.信托制度在中国的应用前景[J].法学,2005(1);王泽鉴.人格权的具体化及其保护范围·隐私权篇(上)[J].比较法研究,2008(6).
[19]刘松山.当代中国处理立法与改革关系的策略[J].法学,2014(1).
[20]周汉华.平行还是交叉 个人信息保护与隐私权的关系[J].中外法学,2021(5).
[21]金可可.私法体系中的债权物权区分说——萨维尼的理论贡献[J].中国社会科学,2006(2);朱庆育.法律行为概念疏证[J].中外法学,2008(3).
[22]陈进,闫祎,房梁.对我国资产管理业务法律与监管体系的思考[J].中国外汇,2019(20).
[23]徐化耿.信义义务的一般理论及其在中国法上的展开[J].中外法学,2020(6).
[24]郑玉双.破解技术中立难题——法律与科技之关系的法理学再思[J].华东政法大学学报,2018(1).
[25]泮伟江.法律的二值代码性与复杂性化约[J].环球法律评论,2017(4).
责任编辑:苟正金