下载掌阅APP,畅读海量书库
立即打开
如何界定数据的法律属性,对司法审判具有重要意义。尤其是国内“大数据产品第一案”
、“公共数据第一案”
、“微信数据第一案”
、全国首例民事个人信息公益诉讼案
等各类和数据相关案件的频发,更凸显这一实践需求。那么,首先需要明确个人数据和个人信息的内涵不同,且前者大于后者,二者应该分开进行不同的规制和保护。尤其是当一些非指向个人的数据,如痕迹数据、标签数据这些数据并不带有个人识别性,可以作为个人数据来进行规制。
具体而言,应当厘清各类数据之间的关系,尤其是明晰哪些属于法律范围内的数据,应当如何保护。如原始数据、用户数据、平台数据(电商平台数据、社交平台数据)、衍生数据、数据产品、数据服务、公开数据、商业数据这些数据中,网络用户提供于网络运营者的单一数据、信息表现为孤立、碎片化的信息内容,本身并无价值,尚不具备独立的财产性权益,但应赋予网络用户享有知情权、删除权等多项权能;网络运营者对于原始网络数据亦并不享有独立的财产权或知识产权,但可依其与网络用户的约定享有使用权,依此形成的衍生数据(平台数据)带来的商业利益和竞争优势受反不正当竞争法保护。
1.以数据为客体赋予财产性保护
就我国现行民法典第一百二十七条所涉个人数据保护的内容,应当做狭义阐释,即平台数据(或称商业数据)才可以被赋予财产性保护。例如,在大数据产品案件中,法官在梳理案情时很容易就会发现,原始数据因其碎片化和孤立性的特点并不具有任何商业价值,只有平台通过对用户个人账号、个人头像等数据进行收集、汇总进而形成作为整体而言的平台数据,再经过人工智能和算法的大量处理才能形成数据产品,并进一步被赋予财产性保护。这样的保护模式与学界大多数财产权说观点契合,但这种给数据以财产性保护的方式实际上就是将数据作为客体保护,其自身容易面临一个很大的困境,即数据如何识别?财产权要求客体具备具体可识别的特征,因而能否识别、如何识别数据等问题关系到数据的下游保护能否实现。数据时代,每个人每时每刻都在产生数据、使用数据,数据识别的成本极大,因此能否做到数据的可识别尚有待考量。如果数据无法识别、无法公示,加之其还具有无法控制、价值密度低等特点,继续以数据作为客体来进行制度保护设计将陷入无解之地。
2.通过代码空间实现个人数据的二元规制
如上所述,数据作为客体直接保护,会因无法识别、无法公开出现悖论,因而可寻求通过保护承载数据的介质——“代码空间”的方式来保护个人数据。通俗来说,“代码空间”就是在网络环境下通过代码(技术手段)形成的封闭空间,数据收集者、处理者将数据存储在服务器上,实际上是利用技术手段将数据(或数据库)存储在封闭空间中,这就是“代码空间”。通过代码空间可以实现数据识别、占有、标识,更为重要的是可以实现数据所有权的初始归属判定。因此,一言以蔽之,代码空间的归属就是数据的归属,这种路径能够保护数据收集者、处理者的权益。但是,这并不意味着实现对代码空间的控制就能对数据为所欲为,代码空间只解决数据(或数据库)的归属,这与合理使用并不矛盾。例如,电商平台中所有的消费记录、用户痕迹数据等归属于平台方,但所产生的个人信息是用户的,用户可以采取防御式保护。
3.个人数据流通利用的合法性审查
诚然,无论是依据电子商务法、网络安全法还是民法典中的规定,个人数据的收集、使用需遵循正当、合法、必要、最低限度、知情同意等原则,并明确收集、使用数据的目的、方式、范围以获得用户默认同意,如此谓之正当合法。但在实践中,法院在对个人数据处理行为进行合法性审查时,这样一个看似合理、实用的原则——正当合法原则,会因标准不明晰导致用户同意“被架空”,各地法院审判中也存在差异。因此,可以尝试通过区分所涉个人信息是否具有直接可识别性的特征,在实践中采取二重授权或三重授权模式规范个人数据的处理行为,如所涉个人信息具有强直接可识别性,则采取“用户—平台—用户”的三重授权,相反则采取“用户+平台”的双重授权模式。
此外,在“公共数据第一案”
中,法院首次确立了公共数据使用的四大基本原则,厘清了对公共数据合法使用的边界,对收集公共数据的大数据企业设定了基本的注意义务,即数据来源合法原则(来源于依法公开的数据,不得采集法律法规禁止的数据)、注重信息时效原则(数据更新的及时性、数据变动时间的准确性)、保障信息质量原则(真实、准确、完整)、敏感信息效验原则(非敏感数据事后纠错,敏感数据交叉验证)。这样的审判思路是否能得到理论界与实务界的认可尚待时间检验,但至少为司法实践在此领域提供了一种解决方案。
4.个人数据权益纠纷的司法解决路径
当前对于数据的救济,主要有五种路径:通过著作权保护、通过商业秘密保护、通过公益诉讼保护以及人格权保护模式和反不正当竞争保护模式。其中,对于数据保护的司法救济,尤其以平台数据保护为例,多倾向于通过反不正当竞争法第二条兜底性条款来保护。该条的适用条件为:(1)可受保护之权益为尚未类型化之法益;(2)经营者之合法权益确实受到了实际损害;(3)竞争行为具有不正当性或可归责性,通常违反了诚实信用原则和商业道德。但是,互联网领域的发展有赖于自由竞争和技术与商业模式的创新,基于促进数据流通与数字经济共生式发展的考虑,部分法院在不正当竞争行为的判定与反不正当竞争法条款的适用上确立了司法谦抑的原则,但自由竞争应当以不侵害他人合法权益为边界,任何人不能以自由竞争和创新为名任意干涉他人的技术产品或服务,实施丛林法则。
因而,数据不正当竞争行为的司法审查要件为:(1)数据收集者就特定数据享有合法权益;(2)实施了侵害数据权益的行为(如破坏、干扰、非法获取);(3)造成了损害后果(如经济损失、流量损失、竞争优势或商业利益的损害、给市场竞争秩序或及消费者利益损害,构成实质性替代关系)。
5.企业数据合规管理
对于企业而言,数据合规带来了诸多挑战。首先,法规繁杂,行业标准不统一,加之国际组织在数据合规的要求与国内规范未必兼容,导致企业在国内外进行商业运作时需要适用不同的数据保护规则。其次,企业在数据合规中的身份定位不明晰,企业作为数据合规的执行者(遵循者)与数据处理者积极进行数据合规的内在动力(数据合规价值)不明确。最后,企业的合规成本、商业运营效率与用户数据(个人信息)保护需求,在政府与行业监管要求不断提高的背景下应当如何平衡尚需探讨。
上述这些问题的解决需要从整体到局部的企业数据合规管理。首先,应当根据企业所在的行业领域,对数据合规进行包含行业标准在内的国内、国际划分,并对企业所涉数据按照不同类型进行分类管理,如产品数据、身份数据、经营数据等。其次,将数据合规嵌入整个企业合规,作为其中一个分类,使之与企业运营理念、公司管理架构衔接,将数据合规与企业运行管理融为一体。再次,从流程角度出发,进行合规战略的制订,考虑合规成本和运营效率的平衡,识别企业合规偏好,把合规要求嵌入整个战略,即从系统层面将代码的编制、修订以及其他需求的提出测试上线,通过内部控制、风险管理、内审、外审以及辅助性的逻辑保障整个流程的设计和执行有效性,通过培训宣贯整个体系文化建设。最终使整个体系实时更新,能够随着外部监管要求的变化而不断变化内部组织架构,形成动态闭环。最后,利用风险管理逻辑,将数据合规要求转化为业务人员能够理解的语言并嵌入日常的工作流程与产品逻辑,有效识别各项合规要求与相关职责。