王叶刚:企业数据权益与个人信息保护关系论纲
作者:王叶刚(中央财经大学法学院副教授,法学博士)
出处:《比较法研究》2022年第4期
目次
一、问题的提出
二、个人信息保护并非企业数据确权的障碍
三、个人信息保护对企业数据权益行使的影响
四、个人信息保护对侵害企业数据权益的民事责任的影响
五、结语
摘要:在数字时代,企业数据的重要性日益凸显,如何对企业数据进行确权,以及企业行使数据权利应当遵循何种规则,成为亟需解决的问题。在对企业数据进行保护时,需要妥当协调其与个人信息保护之间的关系。在企业数据包含个人信息的情形下,需要区分企业对企业数据享有的权利以及个人对个人信息所享有的权利,个人信息保护并非企业数据确权的障碍。企业行使数据权益需要兼顾个人信息保护的要求,不论是企业数据的保有、利用,还是企业数据的转让,都应以合法处理个人信息为基本前提。在企业数据包含个人信息时,侵害企业数据也可能同时侵害企业数据权益与个人信息,这也使得侵害企业数据权益的行为在侵害权益的类型、责任形式等方面呈现出一些特殊性。
关键词:数据;企业数据;数据产品;个人信息
01
问题的提出
随着互联网、大数据技术的发展,数据的经济价值日益凸显,数据被认为是21世纪的“新石油”,是经济增长的重要源泉,有学者甚至主张,数据是“数字经济的关键生产要素”,谁掌握了数据,谁就将获得相应的竞争优势。这都反映了数据在经济社会发展中的重要作用。在我国,自2015年4月14日成立第一家大数据交易所(即贵阳大数据交易所)之后,许多地方都相继建立了大数据交易中心或大数据交易所。为推动我国数据产业的发展,发挥数据作为生产要素的重要作用,2020年3月30日的《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》明确提出,要“加快培育数据要素市场”,并提出了“研究根据数据性质完善产权性质”的要求。为更好地发挥数据作为重要生产要素的功能,需要有效促进数据的合法流通,这也是数字经济快速、有序发展的基本前提。从实践来看,数据要素利用最为典型的情形是企业数据,即企业通过各种数据处理方法而取得的数据,如网络服务提供者通过网络服务协议、网络隐私政策等方式取得用户授权,并据此所收集的用户个人信息及其他数据。企业数据是企业重要的经营资源,也是企业获得竞争优势的重要条件。完善数据产权制度的重要内容之一,就是实现对企业数据的确权。我国现行立法并没有对企业数据的归属以及行使等规则作出明确规定,针对实践中发生的企业数据权益纠纷,司法实践主要通过商业秘密保护规则、竞争法规则以及刑法规则等对企业数据进行保护,但这些保护方式实际上都回避了企业数据的确权问题,也在很大程度上影响了企业数据权益的保护。
关于企业数据受法律保护的必要性,理论上存在共识,但能否对企业数据进行确权以及在何种程度上确权,则存在一定的争议。企业数据确权所面临的重要理论难题在于,如何妥当处理企业数据与个人信息保护之间的关系?企业数据权益与个人信息保护之间存在一定的张力关系,在企业数据包含个人信息的情形下,如果侧重于强调对企业数据权益的保护,则需要对个人信息权益进行一定的限制;反之,如果侧重于强调对个人信息权益的保护,则会在一定程度上影响企业数据权益的确权与行使。因此,明确企业数据权益与个人信息保护之间的关系,首先需要回答,在企业数据包含个人信息的情形下,能否对企业数据权益进行确权?进一步而言,在对企业数据权益进行确权后,为了保护个人信息,企业在行使数据权益时应当遵循何种规则?在企业数据权益遭受侵害时,如何认定行为人的民事责任?本文拟从企业数据权益的确权出发,对上述问题进行探讨,以期有助于我国企业数据权益保护制度的完善。
02
个人信息保护并非企业数据确权的障碍关于数据的保护,《中华人民共和国民法典》(以下简称“《民法典》”)第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”从该条规范所处的体系位置来看,《民法典》将其规定在财产权之后,似乎可以将其界定为财产权类型,但从该条的文义来看,其只是确认了数据应当受到法律保护,而没有明确界定数据的权利属性。还应当看到,《民法典》第127条在性质上属于引致条款,关于数据的权利属性、权利行使规则等,都由将来的单行法予以规定。因此,我国现行立法只是规定了数据权益应受法律保护,而没有明确规定数据确权规则。
数据内容的多样性增加了数据确权问题的复杂性。有学者认为,企业数据中包含的权益类型十分丰富,而且各项权益之间也存在一定的相互作用,可以借助权利束理论解释数据所包含的权益类型,并主张数据权益集合了多元主体、多种权利。还有学者主张,企业数据中可能包含多种数据,企业基础数据的来源主要包括如下三种:一是开放的公共数据,如某特定日期的股票指数;二是企业自身在生产、经营等过程中所产生的数据;三是用户数据。此种观点具有一定的合理性,从实践来看,企业数据可能只包含上述部分数据类型,也可能同时包含上述三种数据类型。在企业数据中不包含个人信息的情形下,对企业数据进行确权并不存在大的问题,但在企业数据包含个人信息时,能否对企业数据进行确权,则存在疑问。有观点认为,如果企业数据中包含个人信息,则应当根据各方对数据价值的贡献度确定其权利归属,在分配企业数据权益时,既要考虑企业所投入的成本,也要考虑用户在数据创造中的贡献,还需要考虑各项因素的组合效应。按照此种观点,在企业数据包含个人信息的情形下,个人也可以根据其对企业数据价值的贡献度而对企业数据享有权利,这可能产生企业与个人共同对企业数据享有权利的局面。还有观点认为,企业数据中往往会包含大量的个人信息,个人对此类数据有数据隐私保护的权利,而个人信息的范围较为宽泛,可能导致其与企业数据权益的边界难以区分;同时,除个人信息外,企业数据中还可能包含其他数据,这都可能导致难以完全明确界定企业数据的权属。按照此种观点,企业数据中所包含的个人信息可能会对企业数据的确权产生较大影响,甚至会影响企业数据确权的正当性。
笔者认为,虽然企业数据中可能包含一定的个人信息,但这并不影响对企业数据权益的确权,主要理由在于:
第一,对企业数据进行确权,是发挥个人信息财产价值的重要途径。一般认为,个人信息并非纯粹精神性人格利益,其也包含一定的财产价值,有效发挥个人信息的财产价值也是大数据产业发展的基础。对个人信息而言,单个主体个人信息的经济效用是十分有限的,只有汇集大量的个人信息,才能形成所谓的“大数据”,个人信息的经济效用也才能得以实现。对个人而言,个人信息的经济价值主要体现为其有权自己使用或者许可他人对其个人信息进行利用,个人信息虽然是企业数据的组成部分,但不宜赋予个人对企业数据享有财产权利,主要理由在于:一方面,个人通常并不具有处理海量数据的能力,赋予个人对企业数据享有权利,可能会影响企业数据经济效用的发挥。例如,按照前述观点,如果承认个人可以对企业数据享有权利,则需要进一步衡量个人在企业数据中的贡献度,并进而确定企业与个人对企业数据享有权利的比例。而从实践来看,个人在企业数据价值形成过程中究竟有多大影响,往往难以确定,这导致难以确定企业数据权益的行使规则,并最终影响企业数据经济效用的发挥。另一方面,虽然企业数据中可能包含个人信息,但其通常包含大量甚至是海量的个人信息,对单个的个人而言,其仅应当对自己的个人信息享有权利,而不能主张对企业数据中其他主体的个人信息以及其他数据主张权利,赋予个人对整个企业数据享有权利,显然超出了个人信息的效力,也不当扩张了个人对其个人信息所享有的权利范围。还应当看到,与其他人格权益类似,虽然个人信息中包含一定的财产价值,但个人信息的利用又不同于其他人格权益,对其他人格权益而言,如姓名、肖像等,通常可以独立发挥其经济效用,而不需要与其他主体的姓名、肖像或者其他人格利益相结合。而对个人信息而言,单个主体的个人信息通常难以独立发挥经济效用,一般需要大量个人信息汇集在一起,才能借助大数据分析技术发挥分析、预测等功能。从这一意义上说,个人信息经济效用的发挥有赖于个人信息处理者的利用行为,而对企业数据进行确权,恰好是充分发挥个人信息经济效用的途径;如果企业对个人信息等各类数据的利用方式受到过多的限制,企业数据未得到有效确权,则企业将没有动力去收集、利用包括个人信息在内的各种数据,数据产业的发展也将无从谈起。
第二,对企业数据进行赋权,与个人信息权益保护并不存在冲突。企业对其企业数据所享有的权利与个人对其个人信息所享有的权利属于不同层次的问题,二者之间并不存在冲突。在企业数据包含个人信息的情形下,就对该部分个人信息的利用而言,企业与个人实际上处于不同的利用阶段:对个人而言,其对个人信息的利用体现在其有权许可企业对其个人信息进行处理,这可以称为企业利用个人信息的“前阶段”;而在取得个人的同意后,企业即享有依法处理相关个人信息的权利,并据此获得相应的经济利益。同时,二者对个人信息的利用方式也不同,个人只能对其自身的个人信息进行利用,而企业对个人信息的利用则需要汇集其他的个人信息或者其他的数据,即个人对其个人信息的利用是一种单一化的利用,而企业则会对个人信息进行集合性利用,这两种利用方式之间也不存在冲突。可见,对企业数据进行确权,只是确认企业对其合法处理的个人信息所享有的权利,其与个人对其个人信息所享有的权利之间并不存在冲突。需要指出的是,对企业数据进行确权,并不否认个人对企业数据中的个人信息所享有的权利。换言之,即便相关的个人信息已经成为企业数据的组成部分,个人对该部分个人信息也仍然享有权利,因为个人信息作为一项人格利益,具有人身专属性,因此,个人同意企业处理其个人信息实质上是个人信息的许可使用,而非个人信息的转让,即在个人许可企业处理其个人信息的情形下,企业不论是保有该数据,还是利用该数据,实质上都只是对相关的个人信息享有一种利用权,个人对该部分个人信息仍然依法享有各种权利,在企业非法处理个人信息的情形下,个人仍然有权依法请求企业承担民事责任。因此,对企业数据进行确权作为发挥个人信息经济效用的一种方式,其与个人信息权益保护之间并不存在冲突。
第三,对企业数据进行确权,并不必然导致个人信息保护水平的降低。如前所述,对企业数据进行确权的隐忧之一,就是其可能影响个人信息保护水平。笔者认为,对企业数据进行确权并不会导致个人信息保护水平的下降,因为一方面,对企业数据进行确权,并不意味着企业对相关数据的利用不受任何限制。事实上,在相关数据包含个人信息的情形下,不论是相关数据的获取,还是对该数据的利用,都应当依法进行。关于数据的获取,从实践来看,行为人通过网络爬虫随意抓取网络空间中数据的现象并不少见,行为人在获取相关的数据后便主张对该数据享有权利,或者在抓取数据后转卖他人。此种做法显然有违我国民法典和个人信息保护法的规定,企业只有依法收集个人信息,才能主张对相关的数据享有权利。例如,企业在收集个人的网络浏览记录或者购物记录等个人信息时,原则上应当取得个人的同意,否则将构成非法收集个人信息,此时,企业也不得主张对该个人信息的利用享有权利。同时,企业对企业数据中个人信息的利用也应当依法进行,不论是企业数据的保有,还是企业数据的使用、转让,都应当依法进行。可见,对企业数据进行确权是建立在合法处理个人信息的基础之上的,其并不会降低个人信息的保护水平。
另一方面,对企业数据进行确权,并不影响个人对其个人信息所享有的权利。如前所述,在个人许可企业对其个人信息进行利用的情形下,企业只是对相关个人信息享有利用权,并不发生个人信息的转让,因此,个人仍然依法对相关个人信息享有权利。例如,个人在许可企业对其相关个人信息进行利用后,除非当事人明确约定了企业对该个人信息进行专属性利用,否则,个人仍有权再次许可他人对该部分个人信息进行利用。再如,依据《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第45条第3款的规定,个人对其个人信息享有可携带权,即便相关的个人信息已经成为企业数据的组成部分,个人也有权依法请求将其相关个人信息转移至其指定的个人信息处理者。可见,与其他个人信息利用方式相比,对企业数据进行确权并不会对个人信息权利产生额外的不利影响。当然,即便企业数据中包含了个人信息,也应当注意区分特定主体的个人信息与企业数据中的其他数据,即个人仅能对其自身的个人信息主张权利,而不能对企业数据中的其他数据主张权利。例如,个人在行使可携带权时,只能针对其自身个人信息行使该权利,而不得主张对企业数据的其他组成部分行使可携带权。
由上述分析可见,个人信息保护并非企业数据确权的障碍,相反,企业数据确权是充分保护个人信息权益在逻辑上的必然延伸,也是有效发挥个人信息经济效用的重要途径。关于应将企业数据权益确认为何种性质的权利,理论上仍未达成共识。目前存在较大争议的是,在企业数据包含个人信息的情形下,是否应当确认企业对其企业数据享有一种排他性与绝对性的权利。一种观点认为,虽然企业数据中会包含一定的个人信息,但只要企业是合法处理个人信息,其就可以依法取得相关的数据权利,该数据权利是一种新型财产权,其在性质上属于绝对权。另一种观点则认为,对企业数据进行确权时应当考虑促进数据的流通与共享,不应当确认企业对其企业数据享有绝对性与排他性的权利,而应当根据个案提供场景化的保护。还有观点主张,为了使企业获得对抗特定类别主体和特定类别的行为,应当在数据之上创建具有有限排他性的准财产权。笔者赞同第一种观点,对企业数据进行确权的确应当考虑促进数据的流通与共享,这也是推动数据产业发展的基本要求,但将企业数据权益确认为绝对性和排他性的权利,并不会影响数据的流通与共享。因为一方面,企业可以通过合同的方式将其企业数据与他人共享,从而实现数据的流通;另一方面,如前所述,对企业数据进行确权并不影响个人对其个人信息所享有的权利,即便认定企业对其企业数据享有绝对性、排他性的权利,个人仍然可以再次许可他人对其个人信息进行利用,对企业数据权益的确权并不当然影响信息主体对其个人信息的再次利用。此外,即便认定企业对其企业数据享有绝对性、排他性的权利,但对企业数据中开放的公共数据而言,他人仍然可以依法再次利用,此种利用行为也不构成对企业数据权益的侵害。可见,确认企业数据权益的绝对权属性,可能只是对企业自身在生产、经营等过程中所产生的数据的流通产生一定的影响,对企业数据中其他数据的共享并不会产生大的影响。至于企业对其企业数据所享有的权益性质及其称谓,还有待于立法予以规定。还有观点主张,在立法明确界定企业数据权益的性质之前,为了有效规范企业利用企业数据的行为,应当搁置相应的企业数据产权争议,转而探讨企业数据的利用与分享准则。此种主张具有合理性。
03
个人信息保护对企业数据权益行使的影响
在企业数据包含个人信息的情形下,企业行使其数据权益需要妥当处理与个人信息保护之间的关系,这既有利于有效保护个人信息权益,也有利于企业合法、合规地行使数据权益,从而更好地发挥企业数据的经济效用。
协调企业数据权益行使与个人信息保护之间的关系,首先需要从个人信息保护的角度分析企业行使数据权益行为的性质。从实践来看,企业行使数据权益既可以体现为保有企业数据,也可以体现为对企业数据的积极利用,还可以体现为对企业数据的转让。在企业数据包含个人信息的情形下,上述行为均涉及对个人信息的处理,因此,仅从个人信息保护的角度而言,企业行使数据权益的行为实质上是个人信息处理行为。与企业数据确权类似,企业行使数据权益的行为同样应当以合法处理个人信息为前提,这也是企业合法行使数据权益的基本要求。如果企业行使数据权益违反了个人信息保护的要求,则可能构成对个人信息权益的侵害,此种行为也因此超出了权利行使的合理界限,个人有权依法请求企业承担民事责任。例如,如果个人仅同意企业对其特定个人信息进行收集、存储、使用,而未许可企业公开该个人信息,在此情形下,如果企业在行使数据权益时擅自公开该个人信息的,即构成非法处理个人信息,企业行使数据权益的行为也不再具有合法性。因此,企业行使数据权益应当以合法处理个人信息为前提,以下就企业行使企业数据权益的典型情形与个人信息保护之间的关系进行分析。
(一)企业数据的保有
企业行使数据权益首先体现为对企业数据的保有,这既是企业享有数据权益的具体体现,也是企业对其企业数据进行进一步利用的重要前提。在企业数据包含个人信息的情形下,企业保有相关的企业数据也应当符合个人信息保护的要求。从《民法典》《个人信息保护法》的相关规定来看,在企业数据包含个人信息的情形下,企业合法保有相关数据应当具备如下条件:一是企业保有相关数据应当经过个人的授权;二是企业在保有该企业数据时应当对个人信息尽到安全保障义务。
1.企业保有包含个人信息的企业数据应当依法取得个人的授权
在企业数据不包含个人信息的情形下,企业保有该数据与个人信息保护并无关联,并不存在取得个人授权的问题;但在企业数据包含个人信息的情形下,企业保有该数据则应当取得个人的授权,因为从个人信息保护的角度看,企业保有该数据构成个人信息处理中的存储行为。依据《民法典》第1035条和《个人信息保护法》第44条的规定,个人对其个人信息的处理享有知情权、决定权,处理个人信息原则上应当取得个人的同意。因此,企业保有包含个人信息的企业数据,原则上应当取得个人的授权,并充分保障个人在个人信息处理活动中所享有的各项权利。
2.企业保有包含个人信息的企业数据应当对个人信息尽到安全保障义务
在企业数据包含个人信息的情形下,企业保有该数据之所以需要对个人信息尽到安全保障义务,这也是妥当平衡企业数据权益保护与个人信息保护之间关系的重要方式。企业虽然对企业数据享有权利,该权利甚至可以被界定为一种绝对权,具有排他效力,但这并不意味着企业在行使该权利时不受任何限制,在企业数据包含个人信息时,企业行使数据权利的行为应当受到个人信息保护规则的限制。其理论基础就在于,我国民法典对人格权益中财产利益的保护采用一元模式,即将人格权益中的财产利益界定为人格权益的组成部分,而没有采纳美国法上的公开权模式,在一元模式下,人格权益中的经济价值是人格权益的组成部分,而非独立的财产权客体,这也使得人格权益的保护可以对其所包含的财产利益的利用具有较大的限制作用,从而更好地维护个人的人格尊严。具体到个人信息的情形,在企业数据包含个人信息的情形下,只是涉及个人信息的许可使用,而非个人信息中财产利益的转让。换言之,企业对其企业数据中个人信息的利用,本质上是对相关个人信息中财产利益的利用,该利用行为不得侵害个人的个人信息权利。因此,在企业数据包含个人信息的情形下,企业保有该企业数据同样应当兼顾个人信息保护的要求,不能为了片面地保护企业数据权益而忽视对个人信息权益的保护;而对企业科以保护个人信息的义务,正是妥当平衡二者关系的重要体现。
事实上,企业在保有企业数据时对个人信息负有安全保障义务,既是其法定义务,也可能是其所负担的合同义务。一方面,这是企业作为个人信息处理者所负有的法定义务,也是依法处理个人信息的基本要求。依据《民法典》第1038条第2款的规定,信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。《个人信息保护法》第五章规定了个人信息处理者的义务,如根据个人信息处理的目的、处理方式、个人信息的种类以及对个人权益的影响以及可能存在的安全风险等,采取特定的安全保护措施,并防止未经授权的访问以及个人信息的泄露、篡改、丢失(第51条);再如,个人信息处理者应当定期对其依法处理个人信息的情况进行合规审计(第54条)。在企业数据包含个人信息的情形下,企业保有该数据也应当依据上述规定对个人信息负担安全保障义务。另一方面,企业在保有企业数据时对个人信息所负有的安全保障义务通常也是其所负担的合同义务。如前所述,企业在处理个人信息时,通常需要依法取得个人的授权,而从实践来看,企业通常是通过网络服务协议、网络隐私政策等取得个人的授权,网络服务协议是企业与个人之间的合同,而网络隐私政策在经过个人同意的情形下,也将在当事人之间成立合同关系。从网络服务协议和网络隐私政策的内容来看,其通常都会包含个人信息安全保障义务的条款,这也是企业合法、合规处理个人信息的基本要求。在网络服务协议、网络隐私政策等包含个人信息安全保障条款的情形下,企业在保有企业数据时所负担的保障个人信息安全义务实际上也是其合同义务。在企业违反该义务侵害个人信息的情形下,个人既有权依法请求企业承担侵权责任,也有权依法主张违约责任。
(二)企业数据的利用
企业处理个人信息的主要目的是为了实现对数据财产的利用,利用数据财产也是发挥企业数据经济效用最为重要的一种方式。在企业数据包含个人信息的情形下,企业利用企业数据也构成个人信息处理行为,也应当以合法处理个人信息为基本前提。进一步而言,企业在对企业数据进行利用时,不仅原则上需要取得个人同意,而且需要符合法律规定的特殊条件。以企业利用个人信息进行自动化决策为例,为了提高经营效率和竞争优势,企业可能利用其企业数据进行自动化决策,在企业数据包含个人信息的情形下,企业实施自动化决策行为也应当保障其处理个人信息行为的合法性。具体而言:一方面,企业在利用个人信息进行自动化决策应当依法取得个人的同意。依据《个人信息保护法》第44条规定,个人对其个人信息的处理享有知情权和决定权,除法律、行政法规另有规定外,个人有权限制或者拒绝他人对其个人信息进行处理,因此,企业在利用个人信息进行自动化决策时,既需要告知个人对其个人信息进行自动化决策的情况,以保障其知情权,也需要取得个人的同意,以保障其决定权。企业未尽到上述义务而擅自利用个人信息进行自动化决策的,将构成对个人信息权益的侵害。另一方面,即便企业利用个人信息进行自动化决策已经取得了个人的同意,依据《个人信息保护法》第24条第1款的规定,其还应当保障决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇,否则将构成不当自动化决策。在构成不当自动化决策的情形下,企业实际上是违反了个人的许可授权,因为个人只是授权企业利用其个人信息进行正当自动化决策,而未授权企业利用其个人信息进行不当自动化决策,因此,该行为既违反了个人信息许可使用合同,也构成对个人信息权益的侵害,个人有权依法请求企业承担违约责任或者侵权责任。
企业利用数据财产的典型情形是设计或者使用相关的数据产品,其中也可能涉及对个人信息的利用。所谓数据产品,是指企业对其所获得的数据进行加工处理后所形成的产品。在我国司法实践中,因为数据产品的利用也时常发生相关的纠纷。例如,在被称为“全国首例大数据产品不正当竞争案”的“安徽美景信息科技有限公司与淘宝(中国)软件有限公司不正当竞争纠纷案”中,被告安徽美景信息科技有限公司(以下简称“美景公司”)运营的“咕咕互助平台”及“咕咕生意参谋众筹”网站,将原告淘宝(中国)软件有限公司(以下简称“淘宝公司”)数据产品中的数据内容作为自己的数据出售、传播,淘宝公司主张美景公司的行为构成不正当竞争。该案的争议焦点之一就是数据产品的利用与保护问题。可以预见的是,在数字时代,数据产品的种类将会越来越丰富,如何有效保护数据产品,并规范企业利用数据产品的行为,成为亟需解决的现实问题。有观点认为,数据产品属于企业的财产,由于数据产品与个人信息的关联性较弱,应当承认企业对数据产品享有占有、使用、收益、处分的权能,以更好地发挥其财产功能。笔者认为,数据产品虽然是企业的财产,但如果数据产品的研发与设计涉及个人信息,则应当以合法处理个人信息为基本前提。具体而言:一方面,企业研发数据产品如果涉及对个人信息的利用,则应当依法取得个人的同意,并符合个人信息合法处理的其他条件。企业在利用个人信息研发数据产品时,应当构成个人信息处理行为,依据《民法典》第1035条和《个人信息保护法》第13条的规定,企业利用个人信息研发数据产品原则上应当取得个人的同意。为了增强数据产品的应用性,企业在研发数据产品时,可能会对个人信息进行匿名化处理,此时,相关的数据产品中并不包含个人信息,个人也不得主张对数据产品享有权利。但即便如此,企业在研发数据产品的过程中,可能也无法避免对个人信息的处理,此时,企业对个人信息的处理也应当依法进行。例如,在前述“安徽美景信息科技有限公司与淘宝(中国)软件有限公司不正当竞争纠纷案”中,淘宝公司在设计生意参谋这一数据产品时,实际上是在收集网络用户浏览、搜索、收藏、交易等行为痕迹所产生的巨量原始数据的基础上,借助特定的算法深度分析用户信息、数据,得出了相关的预测型、统计型等衍生数据,从而为淘宝、天猫商家的网店运营提供系统的数据化参考服务。可见,该案中生意参谋这一数据产品可能并不包含个人信息,但其研发过程则涉及对个人信息的处理。另一方面,企业在利用数据产品时,如果涉及个人信息的处理,同样应当依法进行。企业利用数据产品的行为与运用算法类似,甚至数据产品中本身就包含了算法的运用,其主要是为了对用户的行为特征、交易习惯等进行分析与预测,这也是企业提高经营效率、获得竞争优势的重要原因,而企业在利用数据产品时,也常常伴随着对用户个人信息的处理,此时,企业也应当遵守依法处理个人信息的要求,如原则上应当取得个人的同意,否则将构成非法处理个人信息,个人有权依法请求企业承担民事责任。
(三)企业数据的转让
关于企业是否有权转让其数据财产,存在争议。一种观点认为,企业数据主要来源于个人信息,由于个人信息涉及人格尊严与人格自由,对于企业数据中的个人信息,企业无权使用、收益和处分,但对于进行匿名化处理后的信息,由于其不再具有人格属性,而只具有财产价值,其在性质上应当属于无形财产。按照此种观点,如果企业数据中包含个人信息,则企业将无权转让相关的企业数据。另一种观点认为,企业对企业数据所享有的权利是一种绝对权,企业有权支配和控制相关的企业数据。企业数据作为企业所享有的财产权益,应当可以转让和流动,只是如何确定企业数据共享和转让的定价存在一定的问题。还有学者从数据产品的角度论证了企业数据的可转让性,即认为在企业数据产品中包含个人信息的情形下,其转让应当受到较为严格的限制。
企业数据转让是发挥其经济效用的重要方式,借助市场交易规则,可以使企业数据流转到最有能力发挥其经济效用的主体手中,从而更好地发挥其经济价值,因此,应当鼓励企业数据的转让,从而实现数据的流通。笔者认为,与前述企业数据确权类似,企业数据中包含个人信息同样不是阻碍企业数据转让的理由。一方面,企业数据转让与个人信息的人身专属性并不存在冲突。企业虽然有权转让其企业数据,但这并不意味着在企业转让其企业数据的情形下,将发生个人信息的转让,因为在企业数据转让的情形下,出让人对企业数据中所包含的个人信息也只是享有利用权,其本身并非个人信息主体,原则上只能在个人授权的范围内处理相关的个人信息,其所转让的权利当然不能超出自身所享有的权利范围。因此,在企业数据包含个人信息的情形下,企业数据的转让只是涉及个人信息利用权的移转,而不会导致个人信息的转让,其与个人信息的人身专属性并无冲突。另一方面,企业数据的转让并不当然影响个人信息权益的保护,在企业转让其企业数据权益的情形下,受让方有权对企业数据进行利用,只要确保受让方能够合法利用相关的个人信息,就没有必要否定企业数据的可转让性。
问题在于,在企业数据转让的情形下,如何妥当保护个人信息权益?这就首先需要从个人信息保护的角度界定企业数据转让的性质。笔者认为,从个人信息保护的角度观察企业数据转让问题,应当将其界定为个人信息共享行为,即《民法典》与《个人信息保护法》所规定的向他人“提供”个人信息的行为。在大数据时代,个人信息共享是一种重要的数据利用方式,也是数据流通和数据产业发展的重要基础。鉴于个人信息共享对数据产业发展的重要意义,我国《民法典》第1035条将“提供”规定为个人信息处理行为,并规定了个人信息处理者不得向他人非法提供个人信息。但个人信息的提供应当遵循何种规则,《民法典》并未作出明确规定。为解决这一问题,《个人信息保护法》就个人信息的提供规则作出了细化规定,该法第23条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”为了保护个人信息权益,在企业数据包含个人信息的情形下,企业转让企业数据也应当遵守上述规则,具体而言:
一是企业应当向个人尽到告知义务,并取得个人单独同意。依据上述规定,在企业数据包含个人信息的情形下,企业转让该数据时,应当向个人告知接收方的名称或者姓名、联系方式等信息,以更好地保障个人对其个人信息处理的知情权、决定权。同时,企业转让该企业数据的行为还应当取得个人的单独同意,因为个人在授权企业处理其个人信息时,通常只是授权企业对其个人信息进行收集、存储、使用、加工等,而不会涉及个人信息的再次许可使用问题,此时,企业转让企业数据构成向他人提供相关的个人信息,这构成新的个人信息处理行为,企业当然应当依法取得个人的同意。如果企业之前已经通过网络服务协议或者网络隐私政策等方式就向他人提供个人信息取得了个人的同意,则不需要再次取得个人的单独同意。
二是接收方应当在特定的处理目的、处理方式和个人信息的种类等范围内处理个人信息。在企业数据转让的情形下,虽然接收方能够取得相关的企业数据权益,但其在利用该企业数据时,应当符合依法处理个人信息的要求。依据《个人信息保护法》的上述规定,接收方在对其受让的企业数据进行利用时,对其中个人信息的处理应当在个人授权的范围内进行,否则将构成对个人信息的侵害。
三是如果接收方变更原先的处理目的、处理方式,则应当依法重新取得个人的同意。在企业数据转让的情形下,虽然受让人对所受让的企业数据具有广泛的利用权,但其也应当受到个人信息保护规则的限制,如果受让人要变更处理个人信息的权限,则应当重新取得个人的同意。例如,受让人如果只是取得了以收集、存储、使用、加工等方式处理个人信息的权限,而没有取得再次共享个人信息的权限,此时,如果受让人要再次转让该企业数据,则应当重新取得个人的同意。据此,不论个人信息经过多少次共享,都不会导致个人信息权利主体的变化,也不会因此降低个人信息保护的程度和水平。
可见,在企业数据包含个人信息的情形下,不论企业以何种方式行使数据权益,都应当以合法处理个人信息为前提。当然,为了提高企业数据利用的效率,企业可以考虑对企业数据中个人信息进行匿名化处理,此时,相关的个人信息将转化为纯粹的数据,而不再属于个人信息,企业利用企业数据的权限也将随之扩大。有观点认为,对于企业数据而言,企业应当履行对相关个人信息进行匿名化处理的义务,以消除相关的隐私风险。笔者认为,对企业数据中的个人信息进行匿名化处理虽然可以消除相关隐私风险,并使得企业数据的利用不再受个人信息保护规则的限制,这对于提高企业数据的利用效率具有一定的意义,但一概要求企业对企业数据中的个人信息进行匿名化处理,也并不妥当。因为,一方面,此种做法可能降低企业数据的经济效用。对企业数据的利用可能需要借助于信息主体的相关信息,并通过此种身份关联性发挥其经济效用,而对企业数据中的个人信息进行匿名化处理则会消除信息数据与信息主体之间的关联,这可能影响个人信息数据经济效用的发挥。例如,一些企业通过cookie技术收集个人的上网记录,据此分析个人的消费习惯,并进行个性化的、精准的广告投送,如果对企业数据中的个人信息进行匿名化处理,则该个性化的精准广告投送行为也将难以实现,这显然会影响企业数据经济效用的发挥。另一方面,此种做法的必要性存疑,因为正如前文所述,只要企业在利用企业数据时能够保障合法处理个人信息,即可有效保护个人的个人信息权益,要求对企业数据中的个人信息一概进行匿名化处理,显然并无必要。
04
个人信息保护对侵害企业数据权益的民事责任的影响从我国司法实践来看,在企业数据权益遭受侵害的情形下,我国司法实践多运用反不正当竞争法的规则予以调整。例如,在前述“安徽美景信息科技有限公司与淘宝(中国)软件有限公司不正当竞争纠纷案”中,针对美景公司利用其运营的平台和网站出售和传播淘宝公司数据产品中数据内容的行为,法院认为,美景公司的行为违反了诚信原则和公认的商业道德,损害了同行业竞争者淘宝公司的合法利益,已构成不正当竞争。再如,在“北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷案”中,针对脉脉抓取使用新浪微博用户信息的行为,法院也认定其构成不正当竞争。
应当看到,行为人侵害他人企业数据,利用他人的经营资源,确实可能构成不正当竞争行为,因此,通过竞争法的规则调整此类行为确实具有一定的合理性。而在对企业数据进行确权后,行为人侵害企业数据权益的,将构成对企业财产权的侵害,企业有权依法请求行为人承担民事责任。此时,侵害企业数据权益的行为不仅受竞争法调整,更应当受到民法尤其是侵权责任规则的调整。同时,在企业数据包含个人信息的情形下,个人信息保护也会对侵害企业数据权益的民事责任产生一定的影响,以下具体探讨。
(一)侵害企业数据权益民事责任的特点
在企业数据中不包含个人信息的情形下,行为人侵害企业数据权益,只是构成对企业财产权的侵害,适用财产权的保护规则即可解决受害人救济问题;而在企业数据包含个人信息的情形下,行为人侵害企业数据的民事责任可能因此具有一定的特殊性,具体而言:
第一,侵害权益的多样性。在企业数据包含个人信息的情形下,行为人侵害他人的企业数据,如未经许可擅自利用他人的企业数据,一方面构成对他人企业数据权益的侵害,另一方面也可能构成对他人个人信息权益的侵害。例如,行为人擅自抓取他人的企业数据,如果该企业数据中包含个人的网络浏览记录、交易记录等个人信息,则行为人抓取企业数据的行为构成非法收集个人信息,也构成对他人个人信息的侵害。因此,在企业数据包含个人信息的情形下,侵害企业数据的行为可能同时侵害多种民事权益。
第二,受害人的多元性。如前所述,在企业数据包含个人信息的情形下,行为人侵害企业数据权益,可能同时构成对企业以及信息主体民事权益的侵害,这也导致侵害企业数据权益的受害人具有多元性的特点。同时,由于企业数据中可能包含海量的个人信息,因此,行为人侵害企业数据可能构成对众多信息主体个人信息的侵害,从而构成所谓大规模侵权。在此情形下,如何对海量信息主体的损害进行救济?如何协调个人信息权益救济与企业数据权益救济之间的关系?等等,这些都是侵害企业数据权益情形下个人信息权益救济所面临的新问题,值得进一步探讨。
第三,责任承担方式的多样性。在企业数据包含个人信息的情形下,行为人侵害企业数据可能同时侵害企业数据权益和个人信息权益,这也使得行为人承担民事责任的方式具有多样性。由于企业数据属于企业的财产权利,因此,针对企业数据的损害,主要通过财产损害赔偿的方式对企业的损害予以救济。在行为人的侵权行为符合预防性侵权责任承担方式适用条件的情形下,受害人也有权依法请求行为人承担预防性的侵权责任。当然,将来立法在对企业数据进行确权时,如果将企业数据权益界定为具有排他效力的绝对权,则还可能涉及绝对权请求权的适用。
针对企业数据中个人信息的侵害,就侵权责任保护方式而言,个人有权依法请求行为人承担财产损害赔偿责任,在受害人因行为人的侵权行为遭受精神损害的情形下,受害人还有权依法主张精神损害赔偿责任;同时,与企业数据权益的保护类似,在符合预防性侵权责任承担方式适用条件的情形下,受害人也有权依法请求行为人承担停止侵害、排除妨碍、消除危险等预防性的侵权责任。此外,由于个人信息在性质上属于人格利益,因此,在个人信息遭受侵害时,还涉及人格权保护方式的运用,如权利人有权依法主张人格权请求权、依法请求人民法院颁发禁令等,以实现对个人信息的有效保护。
(二)企业数据遭受侵害时企业请求权与个人请求权的区分
如前所述,在企业数据包含个人信息的情形下,行为人侵害企业数据可能同时构成对企业数据权益和个人信息权益的侵害,在此种情形下,由于个人信息是企业数据的组成部分,这可能使企业请求权与个人请求权之间存在一定交叉关系,并对这两种请求权的行使产生一定的影响。例如,由于个人信息是企业数据的组成部分,就企业数据的损害,个人是否有权请求行为人承担民事责任?相应地,就企业数据中的个人信息权益损害而言,企业是否有权请求行为人承担民事责任?这就需要对企业数据权益遭受侵害时企业请求权与个人请求权进行必要的区分,以厘清二者之间的关系,具体而言:
一是企业无权就企业数据中的个人信息的损害主张权利。如前所述,我国民法典人格权编在保护人格权益中的财产利益时,采取的是一元模式,而没有采纳与美国法上公开权类似的概念,因此,在个人许可企业对其个人信息进行利用时,企业并没有取得可以对抗第三人的权利,其只是依据个人信息许可使用合同而享有合同债权,因此,即便行为人因为侵害企业数据而影响企业对相关个人信息的利用,企业原则上也无法以其个人信息利用权遭受侵害为由请求行为人承担侵权责任。
二是个人无权就企业数据的损害主张权利。要确定个人是否有权就企业数据的损害主张权利,首先需要明确个人信息与企业数据之间的关系,正如前文所言,即便个人信息是企业数据的组成部分,也应当对单个信息主体个人信息的利用价值与企业数据的价值进行区分,不宜承认单个信息主体对企业数据享有财产权,因此,在行为人侵害企业数据的情形下,个人无权请求行为人承担侵害企业数据的民事责任。
三是企业请求权与个人请求权的行使并不存在顺序限制。虽然从民事权益位阶的角度看,个人信息数据属于人格利益,而企业数据属于财产权,个人信息的民事权益位阶要高于企业数据权益,但不应当对企业请求权与个人请求权的行使进行排序,因为在企业和个人均主张预防性的民事责任时二者之间并不存在冲突,而在二者均主张损害赔偿责任时二者的请求权均为债权请求权,而且二者的救济对象不同,并不存在次序关系。换言之,在行为人侵害企业数据的情形下,企业与个人均可依法请求行为人承担民事责任,而无须等待另一方先行行使请求权。
05
结语数据被认为是“新经济的核心要素”,是国家基础性的战略性资源。为了更好地发挥数据的生产要素功能,亟需解决企业数据的确权问题,并在此基础上明确企业数据权益的行使规则和保护规则。个人信息是企业数据中重要的基础性数据,个人信息保护也增加了企业数据保护的复杂性。在处理企业数据与个人信息保护之间的关系时,既需要考虑数据产业发展的现实需要,不断确认和保护企业在企业数据利用方面的权利,同时也需要兼顾个人信息保护的要求,这也是企业数据权益获得法律保护的基本前提,唯有如此,才能真正实现大数据利用与数据安全保障之间关系的平衡。
END
往期推荐:
比较法学研究院 编辑长按识别 扫码关注