法律是一种平衡的艺术。任何法律都不是中立的,它必然有着自己的利益选择和价值判断。由于利益冲突的普遍性,利益衡平便成为一个根本性和基础性的问题。立场选择揭示了立法者的主观意图或法律的客观功能,堪称“法的灵魂”。利益观是解决利益问题的前提,数字时代的利益观呈现出纷繁交织、复杂多样的现实图景。在利益主体多元化、利益需求多样化、利益关系复杂化、利益冲突激烈化背景下,构建数据利益均衡机制是摆在我们面前的一个重要课题。法律对利益关系的调整以衡平利益冲突为核心任务,数权立法的利益衡平应遵循一体化、合规性、平衡三项基本原则。数据作为一种“公共产品”,数据权利优于数据利益的保护,人格性数据利益优于财产性数据利益保护,公共利益优于私人数据利益保护。
“目的是全部法律的创造者。” 数权立法的利益衡平应当以数权立法的目的为导向。数权立法以应对数据关系问题为目的,数据保护与数据善用是其直接目的。实际上,“保护”不仅带有“维持”的消极意味,也蕴含“改善”或“提高”的积极取向。因而,数据保护可以分解为两个层次:第一层次,数据利益不得受损;第二层次,数据价值不断增值。
数据是数据主体个人利益与公共利益的双重利益结合体,数据所蕴含的个人人格利益需要由个人数据权进行保护,而数据作为一种新型要素在社会中流转时又体现着一定的公共利益,二者的关系在一定程度上会发生碰撞。作为一种兼具人格与财产属性的新型要素,对于数据的收集与利用不是简单的财富聚拢过程,而是协调个人利益与公共利益的平衡过程。除数据主体自身的利益外,数据处理行为还可能基于公共利益而发生。公共利益优先还是个人利益优先是需要通过对利益冲突的衡量,最终达到利益的相对平衡来实现的。数据利益冲突的直接表现可以初步类型化为持续增长的数据保护需求与持续增长的数据利用需求及其满足能力之间的冲突,即人格利益与财产利益的冲突。在对人格利益和财产利益进行衡平时,不应当刻意强调所谓具有绝对性、排他性、淘汰性、机械性的“优先”安排,而应当努力化解人格利益与财产利益之间相互割裂、彼此封闭的不利态势,推动利益的竞争向利益的竞合转化,倡导在二者之间实现“统筹”“兼顾”“双赢”的一体化原则。
人格利益和财产利益处于同质同源、共生共进的关系。“同质同源”是指两种利益的冲突态势源自数据隐私性与数据资产性之间的紧张关系,“共生共进”是指两种利益共同反映出数据价值的多样性。对此,数权立法应坚持以人为中心,重视人的正当诉求。人格利益和财产利益均为数权立法应当予以保护的正当利益,不可偏废其一,二者之间的冲突在性质上属于非对抗性的冲突,而不是非此即彼、非黑即白的对抗性冲突。按照罗伯特·阿列克西的理论,对于正当利益之间的冲突不能用“排除”的方法,而只能用“权衡”的方法来解决。这一原理可以视作化解数权法领域利益冲突的正当性前提和合理性基础。
随着数据使用场景的日趋深化,数据承载的个人利益、商业利益、社会利益、国家利益在多重维度中呈现出协同共生、矛盾冲突关系纵横交错的姿态。各国依据自身能力定位和价值选择,采取不同的利益平衡模式,构建本国的数据保护制度,以促进自身利益最大化。例如,欧盟通过《一般数据保护条例》确定了“原则上禁止,有合法授权时允许”的个人数据使用模式,赋予数据主体知情权、访问权、修正权、删除权、限制处理权、可携带权、拒绝权等七项数据权利,以期通过高标准数据保护重塑全球数据规则体系。日本在《个人信息保护法》中没有强化事先的“知情同意”规则,只对“需注意的个人信息”规定了必须事先取得用户同意,而对于一般个人信息则以限制滥用为原则。美国凭借强大的科技实力,极力倡导自由市场式的数据利用,鼓励“原则上允许,有条件禁止”的个人数据流通模式。以《2018年加州消费者隐私法案》为例,其在保障个人数据广泛访问权的基础上,兼顾公民隐私保护。韩国通过“数据三法”(《个人信息保护法》《信用信息法》《信息通信网法》)修订案,旨在扩大个人和企业可以收集、利用的个人信息范围,有效缓解了有关数据利用的限制,为产业发展奠定了基础。
合规性原则是指数据主体、数据控制者、数据处理者等数权法律关系的主体不仅要遵守法律、法规、规章及监管政策,而且也要遵守相关标准、治理原则和伦理准则。若不合规,数据控制者和数据处理者可能面临法律制裁、监管处罚、财产损失和声誉损失等,由此造成合规风险。
合规性原则包含数据合法性、数据合规性、数据治理、数据伦理等内容。具体而言,数据合规体系是指在对数据合规风险进行识别、分析和评价的基础之上,建立并改进数据合规治理流程,从而实现对数据风险的有效应对和管控。数据合规体系并不能杜绝数据控制者和数据处理者的违法违规行为的发生,但是能够大幅降低违法违规行为发生的风险。在一些国家,数据控制者和数据处理者建立并有效实施的数据合规体系可以作为减轻甚至豁免行政、刑事或者民事责任的抗辩,这种抗辩很有可能被监管机构或法院所接受。
合规性原则的前提和基础是合法性原则,而合法性原则由授权原则、公开透明原则、目的限制原则、准确性原则、存储限制原则、完整性和保密性原则及可追责原则等七个分原则构成。授权原则即数据主体基于一个或多个具体目的而对处理其数据的行为表示同意。公开透明原则指数据控制者和数据处理者以合法且透明的方式对数据主体的数据进行处理。目的限制原则指数据控制和数据处理者基于具体、明确、合法的目的搜集数据,且不能以与最初目的相违背的方式对收集的数据进行处理。准确性原则指数据控制者和数据处理者有义务保证数据是准确的,且有必要保持适时更新,采取一切合理措施确保与数据处理目的相悖的错误数据被及时清除或更正。存储限制原则指数据控制者和数据处理者对未经脱敏或匿名化的数据的存储时间不能长于实现数据处理目的所必需的时间。完整性和保密性原则指数据控制者和数据处理者对数据主体的数据的处理应当以确保数据安全的方式进行,包括采取适当的技术手段或组织措施以保护数据免遭未经授权或非法处理以及意外的丢失、销毁、破坏和泄露。基于以上原则,数据控制者和数据处理者应对数据处理的合法性和合规性承担相应的法律义务,并对其故意和过失造成的数据主体的权利损害或数据泄露等行为承担赔偿等法律责任。
数据利益纷繁复杂,应构建数据多种利益总体上相互平衡的制度安排。也就是,数据保护并不是给予个人单一的私权利,而应在多元利益平衡下构建行为规范。这也是欧洲个人数据保护立法一开始就确定的保护模式。欧洲理事会在制定《关于个人数据自动化处理的个人保护公约》(以下简称“108号公约” )时,就将个人数据保护定位于对个人权利的保护,而不是保护个人数据本身,同时用个人数据处理的合法性基础或原则作为个人数据使用(处理)的法律依据,而不是单一的个人决定权。2012年“108号公约”修订之际,是否应当对数据保护和隐私权(right to data protection and privacy)有一个定义问题,专家们认为“不需要”,“在数据保护公约中试图界定隐私权是没有用的。因为隐私权本身是在不同的场景有不同表现方式的一组权益(a set of interests),有时需要与其他权益进行平衡。将其表达为一组宽泛的原则更适当。存在其他公约(如《欧洲人权公约》等)和判例来解释它,采用宽泛的隐私保护表述是适当的,这样可以运用不同机制来实现保护”。 [6] 欧盟《一般数据保护条例》的制定目的正是解决个人数据权利保护与数据流通的平衡问题。其鉴于条款第4条明确阐明个人数据保护不宜作为一种个人绝对权利,即“个人数据处理应以服务人类为宗旨。个人数据保护权不属于绝对权利,应结合其社会功能考虑并根据比例原则与其他基本权利相互权衡”。 第1条第1款开明宗义地指出:“本条例旨在确立个人数据处理中的自然人保护和数据自由流通的规范。”第1条第3款强调了平衡的重要性,即“个人数据在欧盟境内的自由流通不得因为在个人数据处理过程中保护自然人而被限制或禁止”。
在《中华人民共和国传染病防治法》中,对患者进行强制隔离以防止疫情扩散,则是以法律的形式赋予公共利益以优先权,即法律上赋予公权力在特殊情形下对个人权利的限制和剥夺。在防控新冠肺炎疫情中,个人利益趋同于公共利益的部分,法律应给予全方位的保护。而个人利益与公共利益发生冲突时,患者个人权利的妥协则不仅限于自由权等的限制,还包括数权的让渡。2020年2月4日,中央网络安全和信息化委员会办公室发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》充分体现了平衡原则。一方面,强调做好新型冠状病毒感染肺炎疫情联防联控中的个人信息保护。例如,规定除了法律授权的机构外,“其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息”“坚持最小范围原则”“为疫情防控、疾病防治收集的个人信息,不得用于其他用途”等。另一方面,又强调积极利用包括个人信息在内的大数据支撑联防联控工作。例如,在充分保护个人信息的基础上,“鼓励有能力的企业在有关部门的指导下,积极利用大数据,分析预测确诊者、疑似者、密切接触者等重点人群的流动情况,为联防联控工作提供大数据支持”。
公共利益是数据保护领域所涉的重要利益之一,公共利益的实现也要求数据保护制度促进和保护数据的收集、利用和流通。总之,数据的价值和利益具有多元性,个人数据承载的利益多元性决定了个人数据的使用不完全是个人“说了算” [7] 。个人数据承载着个人利益、社会利益和公共利益,个人数据的保护必须恰当考虑三重价值和利益的实现。 个人利益与公共利益唇齿相依、相辅相成,为实现公共利益所必要时,个人应当让渡个人数据上其自身的部分或全部权利,以保障公共利益的实现。这种让步并非对个人利益的完全否定,而是合理且合乎比例的克减与忍让。事实上,对数据权保护的价值目标是在保障数据合理的社会利用基础之上限制数据的滥用,使对数据的保护与数据的合理流通达到一种平衡状态。公共利益是现代法治社会的一项重要原则。公共利益原则是权利社会化的历史回应、是互联社会的必然要求、是法治社会的根本理念。 公共利益观是一种包容性利益观,不主张数据私益无限膨胀,也不主张数据公益无限扩大,而是倡导在公共利益有限优位的前提下不同利益平衡与多元共生,主张公共利益与其他利益保持适度张力。 当然,无论是理论界还是司法界,“公共利益”都是一个极其模糊的概念和悬而未决的问题。由于公共利益本身的抽象性,至今尚未形成公认的权威概念,这也是导致现实中公共利益虚化、弱化、泛化的一个重要原因。虽然我国宪法、民法典等已确立公共利益的基本原则,在司法实践中也已得到广泛应用,但仍然存在诸多问题等待理论上的厘清。
表1-5 西方公共利益观发展阶段
表1-5 西方公共利益观发展阶段-续表