【会议综述】民法典时代的数据权益司法保护在线研讨会综述
会
议
综
述
民法典时代的数据权益
司法保护在线研讨会综述
编者按:数字经济是以数据为关键生产力要素的经济形态。然而,个人信息保护与数据利用之间关系如何平衡?数据收集和使用行为如何规范?数据上的权益归属如何判断?这些是数字经济发展过程中必须直面的问题,是司法服务数字经济发展的主战场之一。2020年9月19日,由杭州互联网法院主办、华东政法大学智能法治研究院和互联网法治研究院(杭州)承办的主题为“民法典时代的数据权益司法保护”的在线研讨会顺利举行,众多专家学者和法官齐聚线上,共话“数据权益司法保护”议题。现将各位学者和法官在研讨会上的交流发言摘登,以飨读者。
会前,主办方与承办方制作了《民法典时代的数据权益司法保护典型案例汇编》作为会议资料并以电子版形式发放。会议由杭州互联网法院院长助理(交流)、互联网法治研究院(杭州)秘书长、华东政法大学知识产权学院副教授侍孝祥主持。受新冠疫情影响,本次研讨会利用腾讯会议APP线上进行,并通过哔哩哔哩网站(B站)实时直播,同时在线参会人数达4000余人。
1
欢迎致辞
杭州互联网法院院长、互联网法治研究院(杭州)秘书长 杜前
杭州互联网法院院长、互联网法治研究院(杭州)秘书长杜前向各位专家学者及参会人员致欢迎辞。杜前院长介绍了举办本次研讨会的背景、杭州互联网法院在数据权益司法保护领域进行的先行探索以及重要意义。随后,杜前院长指出数据权益保护的目标在于促进数据流通,保障数字经济有序发展。然而,我国目前没有专门的数据领域立法,数据的法律性质、权属和司法救济等问题均处于模糊状态,数据竞争与使用规则的梳理与总结正当其时。希望来自审判一线的资深法官和和理论研究前沿的专家学者,能够针对本次议题贡献深刻智识和卓越见解。
2
第一单元
个人信息和数据
主持人兼评议人
杭州互联网法院副院长 倪德锋
研讨会第一单元由杭州互联网法院副院长倪德锋主持,北京航空航天大学法学院教授、院长龙卫球,南京大学法学院教授、博士生导师吕炳斌,中央财经大学法学院讲师张金平,分别以“数据相关法益保护的多样性与特殊规范问题”、“个人信息处理者的告知义务和说明义务”、“数字社会交往关系下个人的主体权利及其边界”为主题作了精彩的报告,互联网法治研究院(杭州)专职研究员、法学博士王苑,浙江大学光华法学院讲师、法学博士林洹民,杭州互联网法院副院长倪德锋分别就三位发言嘉宾的报告作了精彩的评议。
数据相关法益保护的多样性与特殊规范问题
北京航空航天大学法学院教授、院长 龙卫球
就数据相关法益保护的多样性与特殊规范问题,涉及三个方面:数据保护与要素市场化配置的关系、数据相关法益保护的多样性和数据管理的特殊规范问题。
第一,关于数据保护与要素市场化配置的关系。数据作为当前最为重要的要素级别的资源,首要的问题在于能否克服市场化配置不足的短板,做到真正市场化配置,形成高标准市场体系。数据保护制度设计应当服务于数据的市场化设置,我们需要考虑什么样的数据保护或者是数据制度是合乎市场的最大配置的,市场化实际上就是我们全面深化改革或者改革再出发的需求。
第二,关于数据相关法益保护的多样性。关于数据相关法益保护,目前存在多元化的状况。在当前数据经济背景下,面向个人信息和数据利益关系的法律建构,应与数据经济的结构本质、特别是其双向动态特点紧密结合,采取一种更加复杂的权利配置方式。从体系上说,应该在区分个人信息和数据资产的基础上,进行两个阶段的权利建构:首先对于用户,应在个人信息或者说初始数据的层面,同时配置人格权益和财产权益;其次对于数据经营者(企业),基于数据经营和利益驱动的机制需求,应分别配置数据经营权和数据资产权。
第三,关于数据管理的特殊规范问题。数据管理规范的基础是价值与安全保障,要实现保障,需要引入国家政府层面管理、在国际法与国内法的框架之内进行合法促进,甚至是进行战略管理促进。《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》中提到,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护,探索建立统一规范的数据管理制度,提高数据质量和规范性,丰富数据产品,研究根据数据性质完善产权性质。这一意见对促使数据的价值与安全得到双重保障具有重要意义与价值。
个人信息处理者的告知义务和说明义务
南京大学法学院教授、博士生导师 吕炳斌
数据企业收集使用的很多数据涉及个人信息,如果企业要对这些数据进行使用则需要满足法律规定的告知同意规则。学界对告知同意规则展开了较多的研究,但相对而言,告知层面的研究尚有需要完善之处。
关于知情同意规则,《民法典》中使用了“同意”的表述,而司法实践中却常将“同意”与“授权”混用。“同意”作为一种意思表示,其针对的是“对个人信息的使用”,而非权利(利益)的转让。在内涵上,“同意”更类似于知识产权许可中的同意,虽然个人信息不属于知识产权,但由于个人信息与知识产权的客体均具有无形性,所以在个人信息保护的权利结构方面,可借鉴知识产权的保护架构。同样地,在人格权架构中,个人信息则类似于一些标表性人格权,如肖像权。肖像权许可使用中的同意指的也不是肖像权的转让,而是一种使用的许可。综上,同意是一种对个人信息使用行为的许可。
在明确了告知同意规则中“同意”的内涵之后,接下来则是明确告知和同意的关系,告知义务中是否包含说明义务是有待澄清的问题。从文义解释的角度看,《民法典》第1035条规定了个人信息处理者的“明示”义务,“明”可以被理解为“明确地”,也可以被理解为“说明”,两种解释有相通之处,即明示包含着将内容说明清楚。因此,可从文义上解释得出,《民法典》第1035条中的“明示”意味着该条规定了信息处理者的说明义务。
对于信息处理者告知义务的要求,类推借鉴《合同法》和《民法典》中关于格式条款的提请注意义务的规定,即告知在方式上存在合理性要求。网络服务提供商、数据商应当选择有利于个人查阅的告知方式,如弹出式页面、在网站首页显要位置提示等。在未来,随着技术的发展,告知方式还可以进一步改善,如依据视觉符号学原理,在采集个人信息时,借助卡通形象等。总之,告知方式应当有利于个人阅读,以便促进个人的知情。
数字社会交往关系下个人的主体权利及其边界
中央财经大学法学院讲师 张金平
数字社会中各主体在相互认可的前提下,基于各自不同目的进行交往。其中,由于数据处理设备的大量普及,催生了很多人机交往。大量的人机交往使得企业形成了大量有关个人的数据,企业在事实上控制着个人数据,而且单方面决定这些数据的使用。这导致了个人与企业信息的不对称,信息的收集范围、收集目的、准确性等都难以确定。
解决上述问题的传统路径包括:隐私权路径、行为监管路径以及财产权路径。以上路径各自存有一定弊端:如隐私权救济路径的事后性,行为监管的成本问题,以及财产权路径下个人单方决定问题。为弥补现有路径的缺憾,主张基于交往理论对数字社会中个人主体权利及边界进行建构。数字社会交往关系下的交往理论假定交往双方都是理性主体,且相互承认各自利益,相互理解并协调二者行为实现各自利益最大化。基于此前提,数字社会交往关系下个人的主体权利应包括知情权、同意权,查询权、修改权、删除权,针对请求被驳回或者算法不透明的获得解释权等。
数字社会交往关系下个人享有权利的同时,也要遵守权利的限制边界。关于个人同意的边界,当数据流通获取涉及三方以上主体时,最大可能的效果相当于“指示交付”,企业通过了个人的同意仅仅意味着企业获得了有关该个人的数据访问请求权,该企业不能由此主张其有权获取存储于其他企业的数据。如果涉及数据向第三方转移,法律可以要求该同意必须书面、明示。同时,个人只对自己的数据拥有参与决策权,不延及他人数据,如通讯录中他人的信息。关于参与决策权的边界,即不能延伸到协助转向竞争对手的权利。欧盟在认识到参与决策下同意的局限之后,提出了可携带权,其主要目的是解决欧盟企业与美国企业信息不对称带来的竞争问题。所以,数据可携性完全突破了参与决策的界限。当然,如果企业能够建立起科学的数据使用机制,法律也可以鼓励企业自愿提供可携带的个人数据。
评议与自由讨论
互联网法治研究院(杭州)专职研究员、法学博士 王苑
企业经营者一般是对内收集数据以及处理使用数据,对内动力非常足,但实际上他们对外的一个共享或流通数据的动力并不那么足,那么对于对外共享数据、激发要素市场活力这一块,如何能够突破网安法的第41条以及第42条?龙卫球教授认为,在数据财产权化后,私有企业有可能会把数据自用、垄断或者封闭,违反数据共享原则,因此要同时注意到共益属性,公共数据上共享开放,私有数据也要有促进流通的机制,同时也要有一些最低的限制性措施来处理故意封闭、垄断的情况。
关于告知的形式要求,在欧洲以及美国的外网上是通过一条一条跳出来的方式来告知同意,而目前我们国家的网站上基本上还是以隐私政策的方式来告知以及获得一种同意,目前我国个体用户与互联网公司之间没有对议价空间,那么说明义务是否还能够起到保护消费者以及保护信息主体的作用?吕炳斌教授认为,欧盟是一条一条进行告知,我国是整个文件进行告知,前者可能更加明确,但对用户的干扰也会更多,所以这涉及平衡的问题,如果风险特别大可以借鉴欧盟的做法,其他情况下一般性文件告知就可。
交往行为理论,一般是指平等主体之间进行商谈,最后达成理性共识。而在个人信息保护中,信息提供者与信息处理者之间是不对称的关系,如何去实现这样一种商谈?张金平博士认为,病人和医院之间也存在信息不对称的现象,但在法律上两者是平等的关系,同时,在具体问题的规则设计上,由于存在信息不对称,可以设置一些特殊规则。因此,在个人信息保护中也可以参考这样的思路,当然,个人与企业之间与病人和医院之间存在差异,那么就需要去界定差异,从而进行规则设计,还有很多探讨的空间。
浙江大学光华法学院讲师、法学博士 林洹民
数据财产权路径不仅仅是一个法学问题,同时也是一种社会治理意义上的思考。在人工智能时代,如果每个个体都是一个财富的生产者,资产数据就是生产财富,这时如果人工智能使得很多人失业,那么这批人不一定要通过领救济金生活,而是可以过上更有尊严的生活,比如说在美国,还有在欧洲都已经有这样的商业实践,有些网站允许个体上传数据,然后每个月可以领8美元或者领10欧元,通过这种方式使得个体能感觉到自己本身是财富的创造者,也可以分享大数据时代的红利,所以数据财产的意义可能早已超出了法学的意义,而早已到了一个社会治理、甚至未来国家构建这个层次的考虑。
对于知情同意原则,要以可理解的方式来贯彻知情同意的原则。但在意思表示的框架下,是否意味着要把同意理解为一种承诺,告知理解为一种要约?如作这样理解,可能会存在几个问题,比如15岁的小朋友使用手机APP并做了知情同意是否具有合法性基础;如何能随时撤回同意;是否可以随时撤销同意等。
对于用交往理论进行分析,一方面需要克服不平等的问题,另一方面,如果采用交往理论,可能无法带来让彼此都满意的结果,在解释法律系统方面,其说服力仍存在一定思考的空间。同时,通过数据可携权的方式,也许可以逼迫平台提供更让用户满意的服务,反而实现了个人信息保护法所要希望达到的效果。
总结
杭州互联网法院副院长倪德锋对本单元的专家发言和嘉宾交流进行了总结和评议。倪德锋指出,关于数据保护的权利体系构建一直是理论界热议的焦点,产生了多种权利体系学说;而在司法实践中,对于数据的财产性权利的司法保护路径往往比较单一,即寻求竞争法的保护。当然,这种单一的保护路径远不能适应现实的需要,之后的路径还需要在实践中探索。
关于个人信息的保护目前有两方面的规制:一是告知同意规则。司法中,自由同意意味着数据流通在形式上合规、合理;强迫同意则不产生相应的法律效力。而数据经过脱敏处理的情况下,即便没有获得个人同意,依旧可以流通利用。
关于数据流通秩序的构建:一手的数据控制者只能基于功能性、正当性需求收集用户信息;超过正当性需求收集信息,则要通过明确跳出、单独提示的方式获得用户同意。此外,对于需要脱敏处理的数据,必须经过用户的特别同意,且排除强迫同意,否则不允许数据流通。
3
第二单元
数据收集和使用
主持人兼评议人
上海市浦东新区人民法院知识产权审判庭庭长 徐俊
研讨会第二单元由上海市浦东新区人民法院知识产权审判庭庭长徐俊主持,杭州互联网法院立案庭副庭长郭彤,对外经贸大学法学院院长、教授、博士生导师梅夏英,北京市海淀区人民法院知识产权审判庭庭长杨德嘉,分别以“公共数据的合法利用与法律规制——以企查查案为例”、“企业数据利益的法律形态”、“数据竞争的正当性边界初探”为主题作了精彩的报告,宁波大学法学院讲师、法学博士金耀,上海律协互联网与信息技术业务委员会副主任黄春林分别就三位发言嘉宾的报告作了精彩的评议。
数字社会交往关系下个人的主体权利及其边界
杭州互联网法院立案庭副庭长 郭彤
以“蚂蚁金服诉企查查平台的不正当竞争案”为例从四个方面探讨公共数据的合法利用与法律规问题。
首先,关于公共数据法律性质的三个维度,主要从公共数据的概念、公共数据的价值属性以及公共数据与个人数据的分界这三个方面进行展开。第一,根据数据收集主体的不同,公共数据的概念可分为狭义和广义两个层面。第二,公共数据的价值属性以开放共享为起点的,鼓励数据的流动,并通过信息的整合挖掘数据价值,最终实现社会福祉。第三,关于公共数据与个人数据分界的问题。两者在诸多方面存在差异。
其次,基于公共数据的价值属性,以及公共数据和个人数据之间的不同点,对于公共数据利用行为法律规制的讨论具有必要性。第一,对公共数据的整个使用行为会涉及多方主体,分别是数据原始主体、公共数据提供者、公共数据使用者以及数据消费者。第二,四方主体会产生利益的冲突,主要系以公共数据使用者为核心所呈现的两方面的冲突,一方面是数据的原始主体与公共数据使用者之间的冲突,另一方面是数据的消费者与公共数据使用者的冲突。第三,针对企查查平台所抗辩的技术中立是否成立,应以司法判定为出发点,对公共数据的属性加以分析。
再次,在确立公共数据的法律治理原与划定使用边界时,要坚持励数据的共享流通,兼顾数据各方主体的利益的基本价值取向。确定合理的注意义务,主要有四个原则,分别是数据来源合法原则、注重信息时效原则、保障信息质量原则、敏感信息效验原则。
最后,对公共数据利用行为进行法律评价时的利益考量。本案中,首先围绕反不正当竞争法第二条的竞争性权益,被诉行为是否具有不正当性,以及被告的主观过错三方面进行了判定。其次,在赔偿金额上进行了利益考量,一方面从维护整个信息的保护消费者信息知情权和提高信息质量的角度,另一方面也考虑到了大数据企业发展的现状。
企业数据权益的法律形态
对外经贸大学法学院院长、教授、博士生导师 梅夏英
首先,个人信息保护法的目的为何?互联网时代催生出了个人信息保护以及企业数据权利等相关概念,但为何同样拥有个人信息和企业数据的传统时代没有此类概念,最关键的原因在于信息技术能够大规模地收集个人的信息,海量的个人信息在互联网的环境下又具有极强的流动性。这样的特点使得个人信息极易被滥用泄露,从而给社和个人造成人生和财产上被侵害的风险。因此,个人信息保护法根本目的不在于保护个人权利,而是防范社会把个人信息滥用泄露后所产生的风险。明确该目的后,所有的制度设计都应该服务于这个目的。
其次,关于企业数据是指企业把个人数据加以收集后会形成一个数据池,其中个人数据由个人的网络新闻信息和个人的身份信息所构成的。但是企业数据与个人信息不同,个人信息的保护是为规避风险,完成此目的后,数据就能够流动了。但企业数据权所承载的是对信息的一种控制权。由于企业收集的所有的信息它没有独占性,因此企业对数据所享有的是基于企业在其平台储存数据所享有的利益。因此,企业数据权仅限于企业获得了相应的数据并保护该数据的利益。企业数据本质上是一个商业秘密,是一个数据问题而非信息问题。
最后,企业数据权所承载的现实控制利益。对于企业对数据的现实控制利益法律要赋予何种形态?赋予该利益以实际的权利是没有必要的,本质上也难以实现。企业通过信息技术所产生的电子数据库是无形的,难以通过实体权利加以保护,网络爬虫等技术均能够实现盗取。此外,数据本身也只有在流动中才有意义。因此,对于企业数据最顶层达到的保护程度应该是将其作为商业秘密加以保护,应当以自我保护为首要,若没有触及不正当竞争,或者说直接的商业利益损失,那仅仅以违法行为加以认定。
数据竞争的正当性边界初探
北京市海淀区人民法院知识产权审判庭庭长 杨德嘉
主要从反不正当竞争法的角度谈一谈当前平台间数据竞争的现象和初步的想法。数据的产生、流转和使用涉及三方主体:用户、平台和第三方。数据的来源为用户或平台;获取对象为用户原始数据或平台衍生数据;获取的方式或通过协议或直接爬取。数据获取的核心问题是第三方爬取的究竟是何种数据。从经济角度来看,平台来源的数据成本更低;平台衍生数据价值更高。
目前不正当竞争案件中面临的问题:第三方直接从平台爬取非公开数据的违法性争议不大;争议较大的是,第三方爬取的数据是经用户同意的平台公开数据,那第三方是否不必获得二者的许可直接抓取使用?第三方爬取的平台的用户数据已获一方许可,还需获取另一方的许可吗?什么情况下,第三方可不经任何许可,直接爬取平台的公开数据?典型的案例可参考国内的微梦诉淘友天下(脉脉案)、汉涛诉百度案(大众点评案),国外的Hiq诉领英案。
个人思考的提出:第一,如何认定非类型化的不正当竞争行为的不正当性?关键在掌握其不当性:手段是否不当;是否造成不当损害。关于不正当性的认定具有内在逻辑:商业道德往往低于一般道德;私力救济无法解决时,司法可以适当介入,但是需在个案中审慎考虑公力救济是否可能导致市场失灵和市场主体放弃或退出;平台和数据获取者间是共栖、共生还是寄生关系?共栖使一方受益,另一方既不受益也不受害,较为平和,共生关系互惠互利值得提倡,寄生关系使一方受益另一方受害,值得考虑。第二,用户与平台的权益边界和许可范围的问题,即获取的许可范围与抓取的对象是否一致的问题。第三,关于互联互通和信息孤岛的关系的问题。互联互通的基础和前提是互惠互利;而信息孤岛使数据应用者能自给自足,其是否对自己享有的数据具有自主决定权,值得考虑。此处需要考虑的是常态与例外的问题,即拒绝抓取是否属于经营自由与“不正当”的拒绝“不合理”的限制是否要从法律上有所规制的问题。
评议与自由讨论
宁波大学法学院讲师、法学博士 金耀
企查查案件的被告是通过国家企业信用公司系统抓取的公共数据,其后续的利用行为可能侵害他人的合法利益。所以公共数据使用者的注意义务的边界到底在哪里?郭法官在判决书中提出了4个原则,分别是数据来源合法原则、注重信息的时效原则、保障信息质量原则和敏感信息校验原则。今后的数据利用可能都是基于算法的分析和挖掘,对数据的质量时效性要求高。如此一来,一旦技术出错,可能导致结论错误进而影响他人利益,那这种行为是否可以认定为不正当竞争呢?对于一些中小企业或者初创企业而言,要求数据时效性和数据质量,成本会不会太高?第二,公开数据是否包含敏感信息?一般理论上认为,敏感信息如果要公开的话,可能要提前进行一个脱敏的技术处理。
在数据上可能不太适合成立一个财产权,但是数据产品是否可以成为一项数据财产权?因为国外很多学者认为数据产品可以成为一项数据财产权,它不同于数据池数据库,它的财产属性可能更高。
在领英案中,Hiq的业务都是依赖于领英的公开数据,那对Hiq而言,其数据具有不可替代性,所以,在认定数据不正当竞争或者是数据垄断过程当中,我们应如何看待数据具有不可替代性?
上海律协互联网与信息技术业务委员会副主任 黄春林
第一,在讨论一个数据问题的时候,要区分它是个传统问题还是一个数据问题,即是否能通过传统的法律解决,比如消法、隐私权、商誉等民事角度是否有相应的救济的渠道,或者从档案法、统计法、保密法等等行政监管法律救济。然后再从立法的角度,还是从执法的角度上,从数据还是从网络安全的角度去规制它。
第二,如果它是一个数据问题了,就要从第二个层面做识别,即它到底是一个数据的问题还是信息的问题?数据安全法的第2条,明确提出,把数据和信息的关系做了立法层面的尝试,数据是信息的载体。但是实际上不管在立法还是在执法层面,我们经常将数据问题与信息问题混为一谈。
第三,即便是数据问题,我们还可以划分其究竟是一个数据的问题,还是一个数据活动的问题。数据安全法主要规制的对象,不是数据本身,其要解决的问题是数据活动的问题。
第四,确认其为一个数据的问题后,还得区分是数据的收集,还是个人信息收集的问题,以及数据收集的规则是否能够直接平移个人信息的现有的保护制度逻辑的问题。实务中,大家通常会混乱的直接套用个人信息收集规则适用于数据收集的规则的问题。但是,需要注意的是,数据的价值在于流动,如果直接平移个人信息收集的规则,可能和我们整个产业政策会存在相应的背离,或者对整个产业的发展会有损害。
总结
上海市浦东新区人民法院知识产权审判庭庭长徐俊对本单元的专家发言和嘉宾交流进行了总结和评议。徐俊认为,数据不同于一般的法律保护课题,它在使用流动的过程中才产生价值,所以公共属性更为强烈。现在,对数据的保护是多维度的。比如:汇编作品如果素材的选择或者排列顺序具有独创性就可以受著作权法的保护,这就是享有的产权激励。又如从商业秘密角度保护;或者是直接从反不正当竞争法的角度以原则性条款进行规制;当然还有从合同法角度进行规制的。
数据使用市场司法判断的核心问题实际上是利益衡量,怎样通过利益衡量促进数据市场。比如,大众点评诉百度案的早期,因为被告对相关数据的抓取适度,并且不是全文显示抓取的数据,所以并未定性为不正当竞争。但是后期,被告对数据的使用已达到了持续性替代程度,对原告的商业模式造成了实质性的损害,在着重讨论了数据的抓取行为和数据的使用行为这两者之间的关系后,最终定性为不正当竞争行为。
从裁判过程中能看到法官利益衡量的裁判思路,第一方面是,法院对用户知情权和选择权的重视。第二方面是,法院通过司法裁判来维护互联网产业新经营模式的发展,同时还要平衡好它和用户隐私数据保护之间的关系。第三方面是,裁判中,法院会评估数据信息是否是网络运营市场竞争优势的重要来源,如果是其核心竞争力,那么裁判时,对于正当性也予以更多地考量。最后,法院通过保护数据的共享,进一步增强消费者的利益和社会的福祉。
4
第三单元
数据权益和归属
主持兼评议人
深圳市中级人民法院知识产权审判庭副庭长 祝建军
研讨会第三单元由深圳市中级人民法院知识产权审判庭副庭长祝建军主持兼评议。本环节由中央财经大学法学院教授邢会强,中国社会科学院法学研究所编审、教授、法学博士姚佳,杭州市中级人民法院知识产权审判庭副庭长张书青,分别以“数据类型及权利归属”、“用户数据、企业数据权属争论与解释路径”、“脚印与路——数据权益归属的一种思路”为主题做了精彩报告。
数据类型及权利归属
中央财经大学法学院教授 邢会强
数据的种类,可以简单三分为个人数据、企业数据和政府数据。个人数据也可以进行细分,企业数据可以分为商业秘密和非商业秘密。政府数据也可以分国家秘密的数据和非国家秘密的数据。
对于个人数据或者个人信息的财产权益的归属问题,首先需要研究个人信息是权利还是利益。区分权利和利益,是德国侵权法的一种区分方法。中国的民法以及其他法律也保护利益,笼统的称之为权益。其次需要明晰个人信息权是一种独立的权利还是人格权的一种。
对个人信息可以细分为三类,第一类是个人基本信息,诸如个人的姓名、性别、联系方式等,此类信息是个人独享的;第二类是伴生个人信息,这类信息是个人与企业共有的一种状态;第三类是预测的个人信息,主要是大数据企业对用户进行的画像。大数据时代,应当鼓励对个人信息进行加工处理。
政府信息公开与政府数据开放是不同的概念,政府信息公开是一个一个的信息;政府数据开放是数据集的开放。但是政府开放的数据中不能含有国家秘密,并且对于数据中的个人数据也应当进行匿名化处理。
对于企业数据而言,涉及个人数据时,应当与个人共享使用。邢教授认为企业收集并公开的数据原则上不应该被自由爬取,除非涉及数据垄断的情形。如果可以被自己爬取,那么会增加数据收集者的防范成本,降低数据收集者收集数据的积极性。
用户数据、企业数据权属争论与解释路径
中国社会科学院法学研究所编审、教授、法学博士 姚佳
首先,对于个人数据与企业数据的界限,是数据问题讨论的根源。对数据进行分类时,需要考虑以下因素:一是对于不同的主体的考虑;二是对于数据的公开程度问题;三是使用目的的因素。
其次,对于企业数据的权属问题,其实企业的权属是很难界定的,我们需要更多考虑数据利用问题。对于数据匿名化处理之后,不会涉及个人的一些权利侵犯的时候,是可以按商业秘密来认定。在数据安全法当中,已经提出了数据交易,从监管部门的角度上来说,是否会认为数据财产权的流转就完全像一个物一样流转,这个可能就是一个问题。
最后,对于新浪陌陌案中的三重授权原则,关键的问题是第三层的授权,也就是中间的授权,比如说平台对第三方的授权依据是什么?从竞争法的意义上谈平台对于第三方授权的依据问题可能更有意义。
再进一步而言,微信读书案中涉及了对于用户信息的划定和讨论以及用户数据的利用问题,对于此类问题,首先应当严格界定使用的目的,第二应当考虑公开的程度。在具体的个案中,也要权衡告知同意的同意是到什么程度。总之,在当今时代,对于数据和个人信息的研究还是应当以保护为基本的价值导向。
脚印与路——数据权益归属的一种思路
杭州市中级人民法院知识产权审判庭副庭长 张书青
如今各类数据应用越来越多,比如使用地图导航软件的时候,用户可以看到实时的路况,绿色代表是畅通的,黄色代表有一点拥堵,红色则代表这个路段可能拥堵,颜色越深越堵,而且还可以推荐最合适的路线。类似的应用还有非常多,比如可以通过历史数据来预测航班的准点率,机票价格的走势等;网购应用也是根据不同的人的喜好进行个性化的精准推送等。
杭州互联网法院审理的生意参谋案就反映了上述情形。生意参谋实际上就是对交易的数据进行大规模全面的统计和深度的运算发掘,然后给商家提供他们所需要的关于做生意的一些参数信息。那么数据被搜集、被存储、被分析、被利用,甚至被交易是否具有法律依据,是否需要个人同意?
数据背后其实存在不同的法益,在个人数据、个人信息保护上面,其实最本质的法益在于个人尊严和个人自由。个人尊严和个人自由与大数据开发利用的公共利益属性之间存在冲突,要解决冲突,实际上就是寻求一种能够兼顾这两种法益的路径。
有三种因素的存在,影响了用户对数据收集和利用行为的判断。一是个人信息的类别,也就是个人信息是具有身份识别性的还是不具有身份识别性?第二个是大数据的类别,原始数据还是衍生数据。第三个决定因素是大数据的应用场景,究竟是应用于数据提供者的商业利益,还是说对数据提供者也有利,或者说是对社会公益有意义。
对于数据权益的归属问题,第一个原则就是私法自治原则。但是当自治原则不能有效适用时,就应当考虑比例原则的适用,法院在适用比例原则时,应当把握适当性也即合目的性原则、必要性原则和均衡性原则。
评议与自由讨论
华东理工大学讲师、法学博士 苏今
关于伴生个人信息,财产利益应当归属个人的比重稍微多一些,这部分信息的产生是需要借助平台,这里所说的就是一般的互联网企业,那么前期网络架构的投入需要一些成本,那么只有这样的环境的创设才是这种伴生性信息的聚合性价值的体现的可能。在研究这一类信息的时候,对于如何分配利益归属比重应当是重点。
关于法益协调三步走的路径的路径,其中私法自治的路径,也就牵涉到目前大多数学者专家热议的知情同意的规则,有效性和存废的问题。在现实生活中关于知情同意双方实质上的市场地位的不平等,那么会存在一系列的执行同意失效的问题,在这种情况下会不会存在这个环节架空了以后,直接进入适用比例原则,确定大数据主体权益的环节?
最后,在具体的数据使用的环境当中,有时候单纯的占有就可能产生相应的无形收益的情况,那么此时应当如何具体明确数据权能的配置呢?
华东政法大学博士后研究员、法学博士 王镭
目前无论是学界还是司法实务界,对于数据规制主要是集中在两个视角上面讨论。第一个视角是关注和讨论数据本身。第二种则是关注数据获取和利用的行为。这实际上产生了两种法律规制的路径,第一种就是所谓的权利规制路径,第二种就是行为规制路径。个人比较赞成行为规制路径。
现在之所以会产生各类主体对于数据权益归属的需求,以及在司法实践中产生数据权属争议,主要是由于当今互联网环境和云计算等信息技术的发展,所造成的数据存储载体和数据信息内容的分离,数据存储和数据获取利用产生了空间和时间上的分离。在互联网大规模普及之前的时代,数据获取和数据利用,离不开对于硬件载体的存储和传输。在此背景下,很少会有人提及数据权属问题。
但在现如今的万物互联的时代,数据获取和利用对于硬件存储载体的依附性减弱了,数据的生产和人类行为之间的直接联系也是逐渐地弱化,各种网络平台联网设备无时无刻不在产生海量的数据。数据利用方式和数据经济价值本身得到了巨大的提升,在才会产生各种各样的数据权属争议和法律保护的需求,离开上述背景仅仅去讨论数据本身没有意义。
我们真正应该探讨的是当前在联网和大数据利用环境下的数据利益归属以及数据的自由利用的限度问题。在法律制度设计以及司法机关塑造裁判规则的时候,不应当仅从传统财产权的保护思路出发,而是应当秉承促进数据流通和利用的理念,更不应当赋予数据控制者一种绝对性的或者是排他性的权利。尤其是对于由网络设备所自动记录的,还没有经过加工的各种原始数据而言。
总结
深圳市中级人民法院知识产权审判庭副庭长祝建军对本单元的专家发言和嘉宾交流进行了总结和评议。祝建军认为,个人信息与个人数据融合得很紧密,难以区分。但是在涉及到企业数据的时候,数据和信息是可分的。所以在企业数据这方面,数据和信息的可分性会更强一点。大企业加入了很多算法技术之后,实际上如果在确实完全脱敏的情况之下,就真的不涉及其他问题了。
其次,大数据的归属、流通,包括受到侵犯时候的救济,现有法律是否可以应对?比如设计一个类型化的财产权,对大数据的归属通过立法的方式或其他方式确定下来以后,现行的法律在处理大数据的归属方面是够用的。
一些法官和学者的观点是要把大数据通过立法的方式,作为一个类型或者权利,比如说财产性权利确定下来,对于这个话题而言,现有的法律体系其实对于大数据的归属完全足以应对的。
5
第四单元
数据和司法保护
主持人兼评议人
杭州互联网法院副院长 王江桥
研讨会第四单元由杭州互联网法院副院长王江桥主持,杭州互联网法院互联网审判第二庭庭长沙丽,中国人民大学法学院副教授、博士生导师,未来法治研究院副院长丁晓东,对外经济贸易大学法学院副教授、惠园优青学者许可,分别以“数据权属判断与分类保护——以微信群控案和生意参谋案为例”、“个人信息与企业数据的司法保护”、“个人信息处理者的告知义务和说明义务”为主题作了精彩的报告,上海大学法学院讲师、法学博士金枫梁,华东理工大学法学院院长助理、法学博士肖梦黎分别就三位发言嘉宾的报告作了精彩的评议。
数据权属判断与分类保护
——以微信群控案和生意参谋案为例
杭州互联网法院互联网审判第二庭庭长 沙丽
对于涉及数据权益的纠纷案件,要始终秉持积极审慎包容的司法理念,以促进数字经济的创新发展为导向,审慎判决,为数据产业指明方向。
关于数据权益的属性及其归属权利边界问题。价值贡献说应作为数据权属的主要判断。当下数据已然成为民事法律关系客体上的“物”,为市场竞相争夺,数据权益的归属应该以创造该“物”经济价值的贡献率作为主要的判断依据。
关于数据权益的分类保护。不同数据权益主体享有不同性质的权益,其权益边界不能以相同的司法路径给予保护,应采取分类保护的模式。个人信息提供主体依民法典定等相关法律的规定,具有人格权上的控制权与收益权。数据控制主体对于原始数据享有有限的使用权,对于数据竞争资源享有竞争性的权益。数据控制者就其数据资源竞争性权益主张损害赔偿。数据开发品主体享有对大数据产品中衍生数据的竞争性利益。
数字经济不同于传统的经济,其价值既体现在传统的信用公平正义上,更体现在开放共享效率等新内容上。在判断数据竞争行为是否正当时不能一味地以诚信原则与商业道德为判断标准,而应以竞争效能的综合评价作为判断标准。只有在合理划分不同数据权益边界的前提下,给予各类数据权益不同的司法保护,方能为数字经济的发展营造出有保障可预期的法治营商环境。
个人信息与企业数据的司法保护
中国人民大学法学院副教授、博士生导师,未来法治研究院副院长 丁晓东
数据到底属于谁?从权属上来说,大概有4种观点:第一种,数据属于平台所有或者是属于企业所有;第二种,数据是属于个人所有;第三种,平台和个人所共有;第四种,不属于任何人所有。个人认为现在已经成为共识的是:对于大部分的数据,从权属上来说,个人和平台或者是个人和企业都具有一定的权益。
当个人的数据权益主张或者个人信息的权益主张和企业的数据权益主张冲突时,到底怎么样去进行保护以及到底谁优先。
首先,从权属上来分析。可以发现数据确实不太像传统的物,因为各方的权益常常会交织在一起的,而且这些权益很多时候可能无法用传统的法律框架去分析。从企业的数据权益的角度去看。企业的数据权益是不是纯粹的财产权,如果是用传统的绝对的财产权去分析它,其实是很难成立的。从个人数据权益角度去看,个人信息保护是一个框架,一旦进入个人信息保护里面,权益类型非常多,这些类型的权益相互之间有可能是相互冲突的。分类保护与个人的数据权益优先是基本的原则。法院应当保持与个人信息保护世界趋势的一致性。
从行为主义的角度上,要尽量看欧美和全球的趋势,要尽量避免对于反法的适用。个人的观点是要谨慎适用反法,有其他的保护方式时,比如商业秘密,消费者权益,个人信息权益,还是要先考虑这些思路。个人理解是除了商业道德、市场秩序等之外,反法要以消费者利益作为最大的衡量标准。另外一个标准就是准财产性利益和准合同性利益。
最后,关于个人信息存在一些需要解决的问题。例如,用户提起诉讼来主张自己的个人信息的权利的时候,法院应当怎样处理等等。解决这些问题还是需要法院在未来积极发挥主观能动性,能进自下而上的分类保护,并判断哪些应当进行优先保护。
用户数据的第三方使用:三重授权之改进
对外经济贸易大学法学院副教授、惠园优青学者 许可
在数据三重授权原则三个主体之间,用户占据着最终的决定性的地位,它可以授权数据收集方,同时还可以授权数据的接收方。三重授权原则认可了用户和企业对于数据的在某种程度上有限的控制权,事实上有助于用户以及企业数据的权益保护。
但三重授权原则也存在着一些弊端。第一,对于用户数据的独占会导致负的外部性。数据的价值本质上它应该是共享的,数据作为一种流动性资产,作为一种流动性资源的不可控制性。任何一方对于数据的独占都在某种意义上来说,事实上都有可能会造成对于用户的隐私权中的安宁权的一种损害。第二,商业模式非常困难。在三重授权原则下面,数据的接受方,也就是第三方需要获得用户的同意,而他需要获得用户同意,在逻辑上本身就存在着悖论。第三。数据作为一种通用性的资产,它的价值在于数据的利用。如果对于数据进行独一无二的最终的控制,会影响到数据价值,由此影响数字经济的发展。
关于如何完善三重授权原则。首先,用户的收集方,也就是用户的数据的提供方应当履行安全评估义务,如果没有履行将承担连带责任。其次,用户的收集方应当履行告知程序,保障用户的知情权。最后,提出了一种修正的三重授权原则即向数据的原始的收集方单独授权。第三方要获得用户的授权,可以直接向用户的原始的收集方,也就是用户的数据提供方获取。
评议与自由讨论
上海大学法学院讲师、法学博士 金枫梁
互联网时代,是法官对法律的塑造的一个时代。在互联网时代,数据经济本身具有一种颠覆性的驱动的特征,立法者在确定立法事实时失去了很大的不确定性。从某种角度来说,将应对新的挑战,让位于法官是一个比较低成本的选择,这意味着这个时代迫切需要一种新的司法政策观念,需要对个案法官赋予更多的话语权。
未来会发生一种所谓的从利益到权利的一个转变。关于个人数据是利益还是权利完全依赖于社会分工精细化发展的程度。法官的任务就是像自然科学家去给你提炼与抽象这种需求,然后在这个基础之上形成一种法律概念。随着隐私案件的增多,互联网的发展,裁判中提出了权利的概念,但那时隐私权其实还是没有建立,没有进入立法的一个状态中,缺乏一些足够明细的权利条款支持。利益具有存在具有它的具有互补权利性质的时候,可以通过论证把它上升为权利。
法官可以借助兜底的一些权利条款,将具有权利特质的利益进行权利化的一种构造。立法者为法官造法提供了足够的空间,在现行的法律体系之内,法官有这样的基础。
华东理工大学法学院院长助理、法学博士 肖梦黎
关于数据权益,现在来看还是一个相对暧昧不明的领域,对它进行一个规制和治理是很复杂的。在数据权益归属的裁判中,它是一个很复杂的利益衡量过程,背后其实是一种权利结构的变化和权利边界的探寻。权利扩张本身与数据开放共享原则是有一定冲突的。
信用数据平台的信用数据应该归类于何种法律数据属性?丁晓东教授认为,作为一个消费者的知情权的角度来讲,用户不一定拥有对这些数据的权利,但它具有一个关于信息披露上的一系列权利,所谓的知情权,反而成为个人信息保护在某种程度上的一个雏形。中国又比较复杂,因为中国的信用问题和社会征信问题加在一起了。公法体系里面涉及很多复杂的问题,因为它涉及了一个像平台和很多公权力之间可能也会有一些相互的联动,造成了对公民的个人权利的影响,所以在这个意义上可能中国又和美国和欧盟不太一样。
总结
杭州互联网法院副院长王江桥对本单元的专家发言和嘉宾交流进行了总结和评议。王江桥认为,当前学理跟司法实践中达成的共识就是不管是个人数据、平台数据,还是数据产品和衍生数据,甚至是相当的公共数据,都应当给予一定的数据权益。数据的权益归属是要秉承对数据有一定的智力和劳动付出则应该赋予相应的权益的。随着个人信息保护法出台,法律依据更多,司法层面可能在采取是否用不正当竞争来规制的时候,会更加谨慎。第二,个人信息相关的权利其实更多的是一种消极性的防御性的一种权益。个人信息的权利的边界有点扩大。所以当有些行为不是涉及一些直接识别性的,而是涉及一些定位痕迹,比如说标签信息和痕迹信息的时候,此时数据的使用,是不是要严格遵循个人信息的这样的收集标准和使用标准,确实值得商榷。
三重授权在立法没有明确规定的这种情形下,在指导司法实践上发挥了极大的作用。但事实上这几年我们也发现了三重授权,确实存在着诸多不足。如果严格按照三层授权的这样的一个架构的和体系,平台完全可以通过事先约定的形式,把真正的授权予以架空流于形式。随着个人信息法和数据安全保护法出台以后,我们司法在三重授权的处理上面,可能更有法律保障和依据。
6
闭幕致辞
互联网法治研究院(杭州)常务副院长,华东政法大学智能法治研究院院长、教授、博导 高富平
会议最后,互联网法治研究院(杭州)常务副院长,华东政法大学智能法治研究院院长、教授、博士生导师高富平致谢辞,并表达了对数据权益保护可行路径的五点思考和看法:
一是在个人信息的法律属性方面,个人信息是社会可以使用的信息,现行法律赋予信息主体的权利是让个人参与到个人信息处理过程中的程序性权利。我国《民法典》确认了知情权、访问权、复制权、更正权和删除权四种主体权利,这些权利只是为了维护数据主体利益的程序性权利。
二是在同意的效力问题方面,同意的法律性质既不是使用许可,也不是授权,因为个人对个人信息并没有使用决定权。个人同意并没有放弃个人信息受法律保护的利益,也没有为使用者创造使用的自由,同意只产生阻却使用者行为违法的法律后果。将同意理解为授权既不符合《民法典》对个人信息保护的定位,也偏离了国际社会关于个人信息保护的普遍认识。
三是在公共数据使用规则方面,法律意义上的公共数据是为任何人可以自由收集和使用的数据,在这个意义上,政府数据、企业数据和个人数据都包含公共数据。现在所讲的公共数据通常是从数据隶属主体角度来定义的,但实际上,这些数据的使用还是要遵循保护他人合法权益的原则。
四是关于信息与数据的区分方面,数据是描述或记录客体或事件的,需要通过解释分析转化为具有特定含义的信息。数据与信息无论从信息科学还是社会应用中均存在区别,信息是具有特定含义数据(邢会强认为信息就是内容),数据是信息的载体。术语区分没有太大的意义,无论数据还是信息,其使用是否触及数据上利益相关者的利益,如果涉及相关者的利益就需要法律干预。
五是在数据利用秩序的形成方面,数据已经成为一种社会资源,需要建构数据资源利用秩序。今年4月《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》明确地将数据作为第五大市场要素,法律共同体有一个艰巨的任务就是构建数据流通秩序。数据赋权旨在解决数据利用秩序,但数据不存在权属或所有权。数据控制者权保护,核心是承认数据控制者基于控制事实而享有使用权,同时通过立法和司法对其使用行为进行规制和校正,对社会利益和公共利益加以保护,实现利益平衡的目的。