个人信息处理行为合法性是个人信息保护法体系构建的重要基础,从域外的个人信息保护法来看,各国(地区)的个人信息保护法大多是围绕个人信息处理行为合法性展开的。以欧盟《一般数据保护条例》(General Data Protection Regulation,GDPR)为例,该条例全文共分为十一章,从各章的内容来看,其大多是围绕个人信息处理行为合法性而展开的,例如,该法关于个人信息处理的原则(第二章)主要规定了个人数据处理的合法性规则及相关的细化规则,如个人数据处理的合法性规则(第6条)、个人同意的条件(第7条)等。又如,该法关于数据主体权利的规定(第三章)旨在使个人了解其个人数据处理的相关情况,并控制其个人数据的处理,这种对数据主体权利的保护也是个人数据处理行为合法性的基本要求。再如,该法关于将个人数据转移到第三国或国际组织的规定(第五章),主要规定的是个人数据跨境流动这一特定个人信息处理行为合法性的基本要求。可以说,个人数据处理行为合法性是GDPR的核心问题,其贯穿该条例的始终。再以美国法为例,《美国统一个人数据保护法》对个人数据的处理规则作出了系统规定,该法共21条,除基本定义、适用范围等规定外,该法的核心内容为个人数据处理行为合法性的事由、个人对其个人数据的权利以及个人数据控制者的义务和责任,这些内容也主要是围绕个人数据处理行为合法性展开的。再以日本法为例,《日本个人信息保护法》共分为七章,即总则、国家及地方公共团体的职责等、个人信息保护的措施等、个人信息处理业者的义务等、个人信息保护委员会、杂则、罚则。从各章的内容来看,其主要也是围绕个人信息处理行为合法性问题而展开的。个人信息处理行为合法性是个人信息保护的核心议题,对个人信息保护法各项制度、规则的设计具有体系性的影响。可见,个人信息处理行为合法性虽然没有被各国(地区)的立法明确规定为立法的主线或者基础,但实际上贯穿了各国个人信息保护法的全文,在事实上发挥了立法体系构建的主线作用。
从我国《个人信息保护法》的体系来看,个人信息处理行为合法性同样贯穿了《个人信息保护法》的全文,对《个人信息保护法》的各项制度和规则的设计都具有重要影响,其在我国《个人信息保护法》的体系构建中同样发挥了主线的作用,论述如下。
第一,个人信息处理行为的合法性是《个人信息保护法》总则构建的基础。从《个人信息保护法》第一章“总则”的规定来看,除个人信息保护法的立法目的、适用范围以及相关基础概念外,该章的主要内容是个人信息保护法的基本原则,具体包括合法、正当、必要与诚信原则(第5条),目的限制原则(第6条),公开透明原则(第7条),质量原则(第8条),责任原则与安全原则(第9条)。这些基本原则实质上都是依法处理个人信息应当遵循的基本原则 ,《个人信息保护法》规定上述基本原则的主要目的也在于规范个人信息处理活动,保障个人信息处理行为的合法性。 例如,按照公开、透明原则的要求,个人信息处理者处理个人信息应当公开个人信息处理规则,明示个人信息处理的目的、方式和范围,如果个人信息处理者违反该原则的规定,未尽到上述义务,其行为可能就会被认定为非法处理个人信息的行为。 除上述基本原则外,《个人信息保护法》总则部分还规定了一些宣示性规则,如禁止非法的个人信息处理活动等规则,其目的也在于强调个人信息处理行为应当具有合法性。
第二,个人信息处理行为合法性是构建个人信息处理规则的基础。《个人信息保护法》第二章规定了个人信息处理规则,其具体包括个人信息处理规则的一般规定、敏感个人信息的处理规则以及国家机关处理个人信息的特别规定三节内容,这些内容都是围绕个人信息处理行为合法性展开的:个人信息处理行为的一般规则首先规定了个人信息处理的合法性事由(第13条),该节其他规则都是该合法性事由规则的展开与具体化,如个人同意的规则(第14条)、撤回同意的规则(第15条)等,都是《个人信息保护法》第13条第1款第1项的具体化。又如,已公开个人信息的处理规则(第27条)也是《个人信息保护法》第13条第1款第6项规则的具体化。与一般个人信息的处理规则相比,该章第二节关于敏感个人信息处理规则的规定不过是强化了对敏感个人信息的保护,强化了个人信息处理者的告知义务,提高了个人同意的要求等,其本质上仍然是围绕敏感个人信息处理行为合法性而展开的。该章第三节关于国家机关处理个人信息的特别规定更是《个人信息保护法》第13条第1款第3项关于为履行法定职责必需而处理个人信息规则的具体化。
第三,个人信息跨境提供的规则也是个人信息依法处理的一种特殊情形。个人信息的跨境提供本质上是个人信息处理活动,其也应当遵循个人信息处理的一般规则。但个人信息的跨境流动会使个人信息流通到境外,这不仅会使个人信息的处理在一定程度上脱离个人的控制 ,而且可能增加个人信息处理中的风险,同时,个人信息的大规模跨境流动可能影响国家和公共安全。 因此,应当对个人信息的跨境流动设置较为严格的条件。从《个人信息保护法》第三章的规定来看,其关于个人信息跨境流动条件的规定(第38条),以及关于个人信息跨境流动情形下个人信息处理者的告知义务等内容的规定(第39条),目的都在于在个人信息依法处理一般条件的基础上,提高个人信息跨境流动的条件,在这一意义上,该章的内容也是围绕个人信息跨境流动这一个人信息处理行为的合法性展开的。
第四,个人在个人信息处理活动中的权利(第四章)以及个人信息处理者的义务(第五章)也是个人信息依法处理的重要保障。我国《民法典》与《个人信息保护法》并没有将个人信息规定为一项权利,而是将其规定为一项人格利益,而《个人信息保护法》第四章关于个人在个人信息处理活动中的权利的规定,极大地丰富了个人信息权益的内容,对于维护个人信息自决权具有重要意义。从该章内容来看,其关于个人知情权、决定权、查阅权、复制权、删除权等内容的规定,不仅有利于保护个人的信息自决权,还有利于保障个人对个人信息处理者处理个人信息活动的知情权,并有效规范个人信息处理活动,保障个人信息处理活动在法律规定和当事人约定的范围内进行。该法第五章关于个人信息处理者义务的规定,也意在保障个人信息处理活动的合法性,即个人信息处理者在基于个人同意或者其他合法性事由处理个人信息后,在个人信息处理过程中,其仍然需要履行法律规定的各项义务,以保障其个人信息处理活动的合法性。
第五,《个人信息保护法》第六章规定了履行个人信息保护职责的部门,意在明确负责个人信息保护工作和相关监督管理工作的部门及其具体职责,其目的也在于保障个人信息处理行为的合法性。例如,依据该法第61条规定,履行个人信息保护职责的部门负责开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作,并接受、处理与个人信息保护有关的投诉、举报等,其目的就在于规范个人信息处理活动,保障个人信息处理活动的合法性。又如,依据该法第62条规定,国家网信部门统筹协调有关部门依据该法推进制定个人信息保护具体规则、标准,并针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准,其目的也在于为个人信息处理者处理个人信息提供更为明确、具体的标准,从而保障个人信息处理活动的合法性。
第六,《个人信息保护法》第七章规定了法律责任,其中包括民事责任、行政责任与刑事责任,各类法律责任成立的前提都是个人信息处理者实施了非法处理个人信息的行为,该章关于法律责任的规定,都是对非法处理个人信息的否定性评价,其目的在于制裁非法处理个人信息的行为,从而保障个人信息处理活动的合法性。
可见,个人信息处理行为的合法性贯穿了《个人信息保护法》的全文,是各项个人信息保护法律制度与规则的重要连接点,个人信息处理行为合法性之所以可以发挥《个人信息保护法》体系构建主线的作用,主要是因为:个人信息保护法的核心功能在于平衡个人信息保护与个人信息利用之间的关系,个人信息保护法的各种制度、规则都旨在平衡二者之间的关系,而个人信息处理行为的合法性恰好是个人信息保护与个人信息利用之间的一种平衡机制,其划定了个人信息保护与个人信息利用之间的合理界限。进一步而言,如果个人信息处理者处理个人信息的行为具有合法性,在规则设计上就应当倾向于保护个人信息处理者依法处理个人信息的行为,在价值取向上就应当强调个人信息的有效利用;反之,如果个人信息处理行为构成非法处理个人信息,即便该行为有利于发挥个人信息的经济效用,在规则设计上也应当倾向于保护个人信息,在此种情形下,相关规则的设计在价值取向上应当强调个人信息权益的保护。
个人信息处理行为合法性不仅对个人信息保护法的体系构建具有主线性意义,是个人信息保护法的核心问题,其在个人信息保护法立法目的的实现中也发挥着重要功能。依据《个人信息保护法》第1条的规定,个人信息保护法的核心功能包括如下几项:一是保护个人信息权益;二是规范个人信息处理活动;三是促进个人信息的合理利用。个人信息处理行为的合法性对于上述三项功能的实现均具有重要意义。
第一,个人信息处理行为合法性对保护个人信息权益具有重要意义。个人信息处理行为合法性是区分依法处理个人信息与非法处理个人信息的界限,如果个人信息处理者是基于个人信息处理的合法性事由而处理相关的个人信息,就不构成对个人信息的侵害,个人也无权请求个人信息处理者承担民事责任。 可以说,个人信息处理行为的合法性划定了个人信息保护的合理边界。关于个人信息保护,《民法典》第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”该条要求个人信息处理者应当依法处理个人信息,不得非法处理个人信息,但关于如何区分个人信息处理行为的合法与非法,该条并未作出明确规定,这就需要明确个人信息处理行为的合法性判断标准,以更好地保护个人信息。《民法典》人格权编与《个人信息保护法》对个人信息处理的合法性规则作出细化规定,对于强化个人信息保护具有重要意义。
第二,个人信息处理行为合法性有利于规范个人信息处理活动。所谓个人信息处理,是指个人信息处理者实施的个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动(《个人信息保护法》第4条第2款)。从该条规定来看,其不仅列举了个人信息处理行为的典型情形,还设置了兜底规定,可见,个人信息处理行为的范围较为宽泛,只要个人信息处理者对个人信息施加了一定的影响,就可以将其纳入个人信息处理行为的范畴。个人信息处理是个人信息保护法的规范重心,因为个人信息处理行为既是发挥个人信息价值的途径,又是使个人信息面临被侵害风险的主要原因。而个人信息处理行为合法性则划定了合法处理个人信息与非法处理个人信息的界限,这就有利于有效规范个人信息处理活动。有观点认为,个人信息处理者在处理个人信息之前,需要首先确定自己依赖的个人信息处理的合法性基础,因为不同类型的合法性事由的适用具有不同的条件及限制,个人信息处理者与个人的权利义务关系也存在一些差别,所以选择妥当的合法性事由是个人信息处理者在开展个人信息处理活动之前最核心的工作。 此种观点具有合理性,个人信息处理者行为的合法性规则也明确了个人信息处理者处理个人信息的具体规则,可以为个人信息处理者处理个人信息提供具体的行为指引。
个人信息处理行为合法性规则主要通过两种方式规范个人信息处理活动:一是鼓励方式。在个人信息处理者处理个人信息构成合法处理个人信息的情形下,法律将对个人信息处理者的行为作出肯定性评价,即便相关的个人信息处理行为在某种意义上构成对他人个人信息的一种“侵入”,法律也保护此种个人信息处理行为,个人无权请求个人信息处理者承担民事责任,这就可以使个人信息处理者对个人信息处理行为的后果具有合理的期待。同时,法律不仅保护依法处理个人信息的行为,还保护个人信息处理者基于合法处理个人信息行为而获得的利益。例如,在取得个人同意的情形下,个人信息处理者可以对相关的个人信息进行加工、使用,对于基于个人信息加工、使用而获得的利益,法律也予以保护。又如,在取得个人同意的情形下,个人信息处理者可以依法向其他个人信息处理者提供相关的个人信息,个人信息处理者基于此种个人信息共享行为而获得的利益也受法律保护。二是阻遏方式。在个人信息处理者实施的个人信息处理行为不符合法律规定的条件时,相关的个人信息处理行为构成非法处理个人信息,构成对他人个人信息等权益的侵害,该行为将受到法律的否定性评价,不仅个人信息处理者基于非法处理个人信息而获得的利益无法受到法律保护,个人还有权依法请求个人信息处理者承担民事责任。在符合法律规定的情形下,个人信息处理者甚至还需要依法承担行政责任甚至刑事责任。此种“法律效力否定性评价+法律责任”的方式,可以有效阻遏行为人实施非法处理个人信息的行为。正是通过此种鼓励方式与阻遏方式相结合的方式,个人信息处理行为合法性制度发挥了有效规范个人信息处理活动的功能。
第三,个人信息处理行为合法性有利于促进个人信息的合理利用。个人信息保护法不仅要关注个人信息的保护,还应当关注个人信息的合理利用问题。此处的合理利用并非狭义上不需要取得个人同意而利用个人信息的情形,而是指个人信息价值的有效发挥。从域外法的规定来看,各国(地区)的个人信息保护立法在规定立法目的时,明确将个人信息的流通、利用与个人信息保护并列规定,作为个人信息保护法的立法目的之一。例如,GDPR第1条规定:“1.该法规制定了在处理个人资料方面保护自然人的规则,及与个人资料自由流动有关的规则。2.本法规保护自然人的基本权利和自由,尤其是自然人保护其个人资料的权利。3.不得以保护与个人数据处理相关的自然人为由,限制或禁止个人数据在欧盟内部的自由流动。”该条将促进个人数据流动作为立法目的之一,其目的即在于促进个人数据的合理利用。在我国《民法典》的立法过程中,关于是否应当将个人信息规定为独立的具体人格权类型,学理上存在一定的争议,有观点认为,在立法中承认个人信息权,更有利于保护个人的个人信息权益。 我国《民法典》最终并未规定独立的个人信息权,而将个人信息规定为一种人格利益,其目的之一也是更好地发挥个人信息的利用价值。 从《民法典》《个人信息保护法》的个人信息处理合法性规则来看,为了保护个人的信息自决权,个人信息的处理原则上应当取得个人的同意,但立法在个人同意之外,又规定了几项依法处理个人信息的情形,并设置了依法处理个人信息的兜底规定,保持了依法处理个人信息事由的开放性。其目的也在于更好地促进个人信息的合理利用。当然,《民法典》《个人信息保护法》将个人同意作为依法处理个人信息的法定事由,允许个人信息处理者基于个人同意而处理个人信息。承认此种个人信息处理行为的合法性,也具有促进个人信息合理利用的功能。
随着互联网、大数据技术的发展,数据的经济价值日益凸显,数据被认为是21世纪的“新石油”,是经济增长的重要源泉 。有学者甚至主张,数据是“数字经济的关键生产要素” ,谁掌握了数据,谁就将获得相应的竞争优势。这都反映了数据在经济社会发展中的重要作用。在我国,自2015年4月14日成立第一家大数据交易所(贵阳大数据交易所),许多地方都相继建立了大数据交易中心或大数据交易所。为推动我国数据产业的发展,发挥数据作为生产要素的重要作用,2020年3月30日的中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》明确提出,要“加快培育数据要素市场”,并提出了“研究根据数据性质完善产权性质”的要求。为更好地发挥数据作为重要生产要素的功能,需要有效促进数据的合法流通 ,这也是数字经济快速、有序发展的基本前提。2022年12月2日,中共中央、国务院又联合发布了《关于构建数据基础制度更好发挥数据要素作用的意见》(下文简称《数据二十条》),该意见认为,“数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。数据基础制度建设事关国家发展和安全大局”。可见,促进数据产业发展已经成为我国的一项重大战略。
数据产业的发展离不开对个人信息的利用。从类型上看,数据包括公共数据、企业数据与个人数据,个人数据是数据的重要类型,个人数据是个人信息在数据法层面的表达,个人信息的有效利用是数据产业发展的重要支撑。但也应当看到,不能片面地为了发展数据产业而忽略对个人信息权益的保护,依法处理个人信息应当是数据产业发展的基本前提,正如《数据二十条》指出的,“对承载个人信息的数据,推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据,规范对个人信息的处理活动,不得采取‘一揽子授权’、强制同意等方式过度收集个人信息,促进个人信息合理利用”。因此,个人信息处理行为合法性制度是数据产业健康、有序发展的重要保障,下文将以企业数据为例,就个人信息处理行为合法性制度对数据产业发展的重要性予以阐释。
企业数据有广义与狭义之分:狭义的企业数据是指企业在生产、经营过程中产生的不包含个人数据的纯粹企业数据,广义的企业数据是指包含狭义企业数据与个人数据在内的数据集合。对狭义的企业数据而言,由于其处理不会对个人信息保护产生影响 。因此,此处使用的是广义上的企业数据的概念。以下从企业数据的保有、企业数据的利用以及企业数据的转让等方面,对企业数据的保护与个人信息处理行为合法性之间的关系进行探讨。
企业行使数据权益首先体现为对企业数据的保有,这既是企业享有数据权益的具体体现,也是企业对其企业数据进行进一步利用的重要前提。在企业数据包含个人信息的情形下,企业保有相关的企业数据也应当符合个人信息保护的要求。从《民法典》《个人信息保护法》的相关规定来看,在企业数据包含个人信息的情形下,企业合法保有相关数据应当具备如下条件:一是企业保有相关数据应当经过个人的授权,二是企业在保有该企业数据时应当对个人信息尽到安全保障义务。
在企业数据包含个人信息的情形下,除法律另有规定的情形外,企业保有该数据应当取得个人的授权,因为从个人信息保护的角度来看,企业保有该数据构成个人信息处理中的存储行为。依据《民法典》第1035条和《个人信息保护法》第44条的规定,个人对其个人信息的处理享有知情权、决定权,处理个人信息原则上应当取得个人的同意。因此,企业保有包含个人信息的企业数据,原则上应当取得个人的授权,并充分保障个人在个人信息处理活动中享有的各项权利。例如,依据《个人信息保护法》第45条,在个人信息处理过程中,个人享有查阅、复制等权利,在企业数据中包含个人信息的情形下,个人有权查阅、复制其个人信息,企业也应当为个人行使权利提供便利。同时,在企业数据包含个人信息的情形下,企业保有该数据需要对个人信息尽到安全保障义务,也是妥当平衡企业数据权益保护与个人信息保护之间关系的重要方式。虽然企业对企业数据享有权利,该权利甚至可以被界定为一种绝对权,具有排他效力 ,但这并不意味着企业在行使该权利时不受任何限制,在企业数据包含个人信息时,企业行使数据权利的行为应当受到个人信息保护规则的限制。其理论基础就在于,我国民法典对人格权益中财产利益的保护采用一元模式,即将人格权益中的财产利益界定为人格权益的组成部分,而没有采纳美国法上的公开权模式。在一元模式下,人格权益中的经济价值是人格权益的组成部分,而非独立的财产权客体,这也使人格权益的保护可以对其包含的财产利益的利用具有较大的限制作用,从而更好地维护个人的人格尊严。 具体到个人信息的情形,在企业数据包含个人信息的情形下,仅涉及个人信息的许可使用,不涉及个人信息中财产利益的转让。 换言之,企业对企业数据中个人信息的利用,本质上是对相关个人信息中财产利益的利用,该利用行为不得侵害个人的个人信息权利。因此,在企业数据包含个人信息的情形下,企业保有该企业数据同样应当兼顾个人信息保护的要求,不能为了片面地保护企业数据权益而忽视对个人信息权益的保护,而对企业科以保护个人信息的义务,正是妥当平衡二者关系的重要体现。
企业处理个人信息的主要目的是实现对数据财产的利用,利用数据财产是发挥企业数据经济效用最为重要的一种方式。在企业数据包含个人信息的情形下,企业利用企业数据构成个人信息处理行为,应当以合法处理个人信息为基本前提。进一步而言,企业在对企业数据进行利用时,不仅原则上需要取得个人同意,而且需要符合法律规定的特殊条件。以企业利用个人信息进行自动化决策为例,为了提高经营效率和扩大竞争优势 ,企业可能利用其企业数据进行自动化决策,在企业数据包含个人信息的情形下,企业实施自动化决策行为应当保障其处理个人信息行为的合法性。一方面,企业利用个人信息进行自动化决策应当依法取得个人的同意。依据《个人信息保护法》第44条规定,个人对其个人信息的处理享有知情权和决定权,除法律、行政法规另有规定外,个人有权限制或者拒绝他人对其个人信息进行处理,因此,企业在利用个人信息进行自动化决策时,既需要告知个人对其个人信息进行自动化决策的情况,以保障其知情权,又需要取得个人的同意,以保障其决定权。企业未尽到上述义务而擅自利用个人信息进行自动化决策的,将构成对个人信息权益的侵害。另一方面,即便企业利用个人信息进行自动化决策已经取得了个人的同意,依据《个人信息保护法》第24条第1款的规定,其还应当保障决策的透明度和结果的公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇,否则将构成不当自动化决策。在构成不当自动化决策的情形下,企业实际上违反了个人的许可授权,因为个人只是授权企业利用其个人信息进行正当自动化决策,而未授权企业利用其个人信息进行不当自动化决策,所以该行为既违反了个人信息许可使用合同,又构成对个人信息权益的侵害,个人有权依法请求企业承担违约责任或者侵权责任。
企业利用数据财产的典型情形是设计或者使用相关的数据产品,其中可能涉及对个人信息的利用。所谓数据产品,是指企业对其获得的数据进行加工处理后形成的产品。 在我国司法实践中,数据产品的利用时常引发相关的纠纷。例如,在被称为“全国首例大数据产品不正当竞争案”的“安徽美景信息科技有限公司与淘宝(中国)软件有限公司不正当竞争纠纷案”中,被告安徽美景信息科技有限公司(以下简称“美景公司”)运营的“咕咕互助平台”及“咕咕生意参谋众筹”网站,将原告淘宝(中国)软件有限公司(以下简称“淘宝公司”)数据产品中的数据内容作为自己的数据出售、传播,淘宝公司主张美景公司的行为构成不正当竞争。 该案的争议焦点之一就是数据产品的利用与保护。可以预见的是,在数字时代,数据产品的种类将会越来越丰富,如何有效保护数据产品,并规范企业利用数据产品的行为,成为亟须解决的现实问题。有观点认为,数据产品属于企业的财产,由于数据产品与个人信息的关联性较弱,应当承认企业对数据产品享有占有、使用、收益、处分的权能,以更好地发挥其财产功能。
笔者认为,虽然数据产品是企业的财产,但如果数据产品的研发与设计涉及个人信息,则应当以合法处理个人信息为基本前提。具体而言:一方面,企业研发数据产品如果涉及对个人信息的利用,应当依法取得个人的同意,并符合个人信息合法处理的其他条件。企业在利用个人信息研发数据产品时,构成个人信息处理行为,依据《民法典》第1035条和《个人信息保护法》第13条的规定,企业利用个人信息研发数据产品原则上应当取得个人的同意。为了增强数据产品的应用性,企业在研发数据产品时,可能会对个人信息进行匿名化处理,此时,相关的数据产品中并不包含个人信息,个人也不得主张对数据产品享有权利。 但即便如此,企业在研发数据产品的过程中,可能也无法避免对个人信息的处理,此时,企业对个人信息的处理应当依法进行。例如,在前述“安徽美景信息科技有限公司与淘宝(中国)软件有限公司不正当竞争纠纷案”中,淘宝公司在设计“生意参谋”这一数据产品时,实际上是在收集网络用户浏览、搜索、收藏、交易等行为痕迹产生的巨量原始数据的基础上,借助特定的算法深度分析用户信息、数据,得出相关的预测型、统计型等衍生数据,从而为淘宝、天猫商家的网店运营提供系统的数据化参考服务。 可见,该案中“生意参谋”这一数据产品可能并不包含个人信息,但其研发过程涉及对个人信息的处理。另一方面,企业在利用数据产品时,如果涉及个人信息的处理,同样应当依法进行。企业利用数据产品的行为与运用算法类似,甚至数据产品本身就包含了算法的运用,其主要是为了对用户的行为特征、交易习惯等进行分析与预测,这也是企业提高经营效率、获得竞争优势的重要原因。而企业在利用数据产品时,常常伴随着对用户个人信息的处理,此时,企业应当遵守依法处理个人信息的要求,如原则上应当取得个人的同意,否则将构成非法处理个人信息,个人有权依法请求企业承担民事责任。
关于企业是否有权转让其数据财产,存在争议。 企业数据转让是发挥其经济效用的重要方式,借助市场交易规则,企业数据可以流转到最有能力发挥其经济效用的主体手中,从而更好地发挥其经济价值,因此,应当鼓励企业数据的转让,从而实现数据的流通。一方面,在企业数据包含个人信息的情形下,企业数据的转让只涉及个人信息利用权的移转,而不会导致个人信息的转让,其与个人信息的人身专属性并无冲突。另一方面,企业数据的转让并不当然影响个人信息权益的保护,在企业转让其企业数据权益的情形下,受让方有权对企业数据进行利用,只要确保受让方能够合法利用相关的个人信息,就没有必要否定企业数据的可转让性。
问题在于,在企业数据转让的情形下,如何妥当保护个人信息权益。这就需要从个人信息保护的角度界定企业数据转让的性质。笔者认为,从个人信息保护的角度观察企业数据转让问题,应当将其界定为个人信息共享行为,即《民法典》与《个人信息保护法》所规定的向他人“提供”个人信息的行为。在大数据时代,个人信息共享是一种重要的数据利用方式,也是数据流通和数据产业发展的重要基础。 鉴于个人信息共享对数据产业发展的重要意义,我国《民法典》第1035条将“提供”规定为个人信息处理行为,并规定了个人信息处理者不得向他人非法提供个人信息。但个人信息的提供应当遵循何种规则,《民法典》并未作出明确规定。为解决这一问题,《个人信息保护法》就个人信息的提供规则作出了细化规定,该法第23条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”
为了保护个人信息权益,在企业数据包含个人信息的情形下,企业转让企业数据也应当遵守上述规则,具体而言:一是企业应当向个人尽到告知义务,并取得个人单独同意。依据上述规定,在企业数据包含个人信息的情形下,企业转让该数据时,应当向个人告知接收方的名称或者姓名、联系方式等信息,以更好地保障个人对其个人信息处理的知情权、决定权。 同时,企业转让企业数据的行为还应当取得个人的单独同意,因为个人在授权企业处理其个人信息时,通常只是授权企业对其个人信息进行收集、存储、使用、加工等,而不会涉及个人信息的再次许可使用问题,此时,企业转让企业数据构成向他人提供相关的个人信息,这构成新的个人信息处理行为,企业当然应当依法取得个人的同意。如果企业之前已经通过网络服务协议或者网络隐私政策等方式就向他人提供个人信息取得了个人的同意,就不需要再次取得个人的单独同意。 二是接收方应当在特定的处理目的、处理方式和个人信息的种类等范围内处理个人信息。在企业数据转让的情形下,虽然接收方能够取得相关的企业数据权益,但其在利用该企业数据时,应当符合依法处理个人信息的要求。依据《个人信息保护法》的上述规定,接收方在对其受让的企业数据进行利用时,对其中个人信息的处理应当在个人授权的范围内进行,否则将构成对个人信息的侵害。三是如果接收方变更原先的处理目的、处理方式,则应当依法重新取得个人的同意。在企业数据转让的情形下,虽然受让人对受让的企业数据具有广泛的利用权,但也应当受到个人信息保护规则的限制,如果受让人要变更处理个人信息的权限,则应当重新取得个人的同意。例如,如果受让人只是取得了以收集、存储、使用、加工等方式处理个人信息的权限,没有取得再次共享个人信息的权限,此时,受让人若要再次转让该企业数据,就应当重新取得个人的同意。据此,不论个人信息经过多少次共享,都不会导致个人信息权利主体的变化,也不会因此降低对个人信息保护的程度和水平。
可见,在企业数据包含个人信息的情形下,无论企业以何种方式行使数据权益,都应当以合法处理个人信息为前提,而个人信息处理行为合法性制度则可以明确依法处理个人信息的条件,划定依法处理个人信息与非法处理个人信息的界限,从而为企业数据的保护提供明确的标准。这对于保障数据利用行为、数据交易行为的可预期性,保障数据产业的健康、有序发展等,均具有重要的意义。