多元場景視域下數據流通的法律規制

蘇成慧

(西南政法大學 國家安全學院,重慶 401120)

引言

數據已成為現代社會運轉的新引擎,是支撐數字經濟社會向前發展的基礎“原材料”。2014年至今,“大數據”連續多年被寫入政府工作報告,強調大數據引領未來產業發展,數字經濟發展,培育數據要素市場。數據發揮其生產要素價值的前提是流通,有序流通的前提在于保障數據安全。2021年政府工作報告強調要“加強網絡安全、數據安全和個人信息保護”;《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》再次強調要深化數據要素市場化改革,建立數據安全保護基礎制度和標準規范;2022年12月,《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》更是強調要“統籌發展和安全,貫徹總體國家安全觀,強化數據安全保障體系建設,把安全貫穿數據供給、流通、使用全過程,劃定監管底線和紅線”。由此可知,數據安全問題已成為當下迫切需要解決的問題。

數據具有來源廣泛、載體多樣、形式復雜、可無限復制、可分離性、無形性等特征,這些特征有別于現實空間中實體物的有體性、可觸性,使得立基于實體空間的傳統法律規范難以應對數字空間中數據有序流通的需求。本文將基于數據應用的多元場景,分析其在不同場景下的法律屬性及流通規則,以期能為數據有序流通提出合理的規制建議。需要說明的是,雖然跨境數據流通亦是數據應用的場景之一,但由于國內數據流通和國際數據流動在關于數據安全方面需要衡量的利益范疇存在差異,故本文關于數據流通多元場景的論述,主要限于國內數據流通實踐。

一、多元場景下數據應用的類型化

數據生產者與控制者相分離、數據被不同主體交叉持有是常態。在互聯網的支撐下,多元主體產生的海量數據在數字空間的網絡信道中流動,基于不同的應用需求而產生多元化的應用場景。看似雜亂無章,實則有跡可循。以“是否為個人數據”以及“數據被誰持有”為主線,可梳理出多元場景下數據流通應用的類型,以此提供法律規范數據流通的基礎框架。

(一)個人數據應用的類型化

導致個人數據流通規制困境的客觀現實在于:個人數據產生主體與控制主體的非同一性,即個人因從事社會生產活動而產生的個人數據并不掌握在個人手中,而是被個人以外的政府、企業及其他社會組織掌握。但總體而言,任何場景下對個人數據的利用無非有兩種類型:單個自然人的個人數據集、大量自然人的個人數據集。(1)所謂“單個自然人數據集”,是指與單一自然人個體相關的大數據集合;所謂“大量自然人的個人數據集”,是指多個自然人大數據的集合。據此,可將多元場景下個人數據應用做如圖1所示的分類:

圖1 多元場景下個人數據的應用

首先,企業持有個人數據的應用。企業是現代社會掌握個人數據量較多的主體,尤其是具有互聯網、大數據、人工智能等現代社會網絡智能技術的企業。一方面,企業對大量個人原始數據的應用需求主要在于分析行業發展趨勢。比如,股票分析軟件開發者能根據其掌握的股民交易實時數據分析股票行情,淘寶、京東等電商平臺利用消費者網絡購物的實時數據預測網絡產品銷售行情。另一方面,企業對單個自然人原始數據的應用需求在于對個體自然人實現精準營銷/服務。比如,電子商務平臺通過分析個體消費者的消費數據,能夠把握個體消費者的消費偏好,以便于精準營銷。

其次,政府持有個人數據的應用。政府基于公共服務和社會治理的履職需求而持有大量個人數據。一方面,通過分析其收集的大量個人數據,可把握社會治理的現狀和效果,進而得出社會治理問題的應對之策。比如,網絡輿情監測部門可根據網絡用戶的社交數據掌握網絡輿情的發展方向和趨勢。另一方面,對單個自然人的大數據分析亦能夠提升社會治理效果。比如,疫情防控期間,政府部門通過“健康碼”“行程碼”的推行,收集、分析公民個人信息,有助于預防病毒的擴大傳播。

最后,政府以外的其他社會組織、社會團體持有個人數據的應用。除企業和政府部門之外,個人數據也可能被事業單位、公益機構等其他社會組織、社會團體持有。這些數據的應用場景主要包括兩種類型:一是大量自然人的個人數據集的應用場景。比如,教育部門通過對大量學生個人數據的收集、分析,不僅可以把握教育開支與學生學習成績提升之間的關系,而且還可以了解學生缺課與成績之間的關聯,并據此提出有針對性的提高教學質量的措施。二是單個自然人的個人數據集的應用場景。比如,對病人的過往病歷數據、家族病歷數據、個人生活習慣數據、個人基因序列特點數據、現有疾病化驗報告和檢測報告數據等個人的有關數據進行分析,有助于制定出適合病人的治療方案以及預測其可能發生的疾病。

(二)非個人數據應用的類型化

非個人數據,即不具備個人屬性的數據,包括非自然人主體自主產生的數據(簡稱“自生數據”)以及通過技術處理后無法識別為個人的數據。(2)由于個人數據經過脫敏且不可逆的技術處理后已不具備個人的直接可識別性,故將其列入非個人數據范圍。《個人信息保護法》第4條第1款亦將經過匿名化處理的信息排除在個人信息之外。非個人數據在流通過程中亦呈現同一數據被不同數據主體交叉持有的常態。具體而言,可將多元場景下非個人數據應用做如圖2所示的分類:

圖2 多元場景下非個人數據的應用注:持有主體中“其他”指政府以外其他的社會組織、社會團體。

首先,企業持有非個人數據的應用。企業持有的非個人數據類型可概括為三類:一是企業持有其自主產生的數據。即企業因自身經營活動而產生的數據,包括企業基本信息數據和業務數據,這類數據收集、分析的結果可作為企業經營決策的依據。二是企業持有的其他非個人主體自主產生的數據。企業主要通過合約或網絡爬取的方式獲取這類數據,對這類數據掌握得越多、分析得越具體,對不同行業發展趨勢及方向的預測就越準確。三是企業持有已脫敏且不可逆的個人數據。這部分數據的原始數據可來源于企業直接向個人收集的數據,也可來源于企業通過網絡爬取的方式獲得的包含個人信息的公開數據。對這些數據進行分析利用,可為企業作出正確的經營決策提供依據。

其次,政府持有非個人數據的應用。政府持有非個人數據的類型包括:一是政府基于履職行為而自主產生的政務數據。通過對這些數據進行分析,可掌握政府職能部門履職效果情況,分析結果有助于指導不同政府部門之間、上下級政府部門之間的溝通協作,提升政府部門的履職效能。二是政府基于履職需要收集、持有的企業及其他社會組織自主產生的數據。通過對這些數據進行分析,可以掌握各行業、產業的發展情況及社會資源配置情況,并依據數據分析結果,科學制定宏觀政策、平衡產業發展、合理配置社會資源,提高社會生產效率。三是政府持有的已脫敏且不可逆的技術處理后的數據。這類數據已不具備個人的可識別性,能夠保留數據的價值,并且具備利用時的完整性。[1]政府部門可基于對這些數據的分析結果,作出合理的社會治理決策。

最后,政府以外的其他社會組織、社會團體持有的非個人數據的應用。其他社會組織、社會團體對其持有的自主產生的數據以及經過脫敏且不可逆技術處理后的個人數據之分析利用,有助于提升其自身內部管理效能。比如,行業協會等社會組織通過分析其收集的行業基本數據,能夠從整體上把握行業發展態勢,提升行業治理效果;學校圖書館通過對學生借閱書籍的大數據進行分析,能夠了解不同書籍的受青睞度,進而合理安排書籍上架等事宜。

二、基于類型化的數據流通法律規制應然模式

數據流通法律規制的核心目的在于保障數據安全。由于數據種類繁多且性質多元,產生數據的主體并非持有和利用數據的主體,數據在性質多元的主體之間處于交叉持有的狀態,因而有必要以數據利用的類型化為基礎框架,根據不同類型的數據、持有數據主體的性質以及數據流通所處的階段來設定數據流通法律規制的模式。

(一)個人數據流通規制的應然模式

關于個人數據流通的規制模式學界存在多種看法。有學者認為用戶數據與知識產權存在多維性質共通,主張將用戶數據的法律保護納入知識產權法律體系。[2]由于用戶數據在性質上屬于個人數據,與知識產權法律體系保護的客體屬性存在本質區別,故難以將其納入知識產權的法律體系。而構建以“知情同意”為基礎架構的個人數據保護的獨立法律體系(以歐盟《數據保護指令》為代表)一度成為學界關于個人數據保護的主流觀點。但由于“知情同意”機制存在增加個人信息主體閱讀隱私政策的負擔(3)若在完全知情的前提下作出同意,則信息主體每年需平均付出244個小時閱讀信息處理者提供的隱私政策;即使是粗略閱讀,每年平均也需要154個小時。因此,信息主體往往選擇隨意瀏覽、挑選閱讀甚至放棄閱讀。ALEECIA M McDonald, LORRIE F C. The Cost of Reading Privacy Policies[J]. A Journal of Law and Policy for the Information Society, 2008(4I/S):563. OMRI B,CARL E S. The Failure of Mandated Disclosure[J]. University of Pennsylvania Law Review, 2011(159):658-665.,并且全有全無的隱私政策模式限制了消費者的個性化隱私選擇[3],甚至有學者認為傳統的“知情同意”框架在大數據時代面臨用戶隱私保護效率低下、企業負擔沉重的窮途末路。[4]基于此,有學者借鑒歐盟《數據通用保護條例》與美國《消費者隱私權利法案(草案)》的相關內容,提出個人數據保護之“場景與風險”導向的理念:強調以“隱私風險評估”貫穿數據處理生命周期的全過程,綜合多種因素對個人信息應用的合理性進行“程度性”判斷,跳脫傳統架構中“全有全無”的二元式評判。[4]97-98基于數據應用場景多元化的現實考量,隱私風險評估與場景判斷相結合的個人信息保護新路徑較為合理。

雖然“知情同意”規則實施的應然效果與現實效果之間存在差異,但并不能因此對之予以否定并摒棄。(4)我國《民法典》人格權編關于個人信息保護的條款及《個人信息保護法》均貫徹個人信息保護的“知情—同意”規則。為保障信息主體的知情權,法律規定信息處理者(5)我國《民法典》人格權編第1037條采用“信息處理者”的概念,并于第1035條第2款將信息處理的范圍界定為:信息的收集、存儲、使用、加工、傳輸、提供、公開等行為,實際上這一界定包括了數據流通中持有和利用數據的全部行為范疇,即本文所用的“信息/數據處理(者)”這一概念。的告知義務,而被告知者是否愿意充分知曉告知信息,法律無法作出強制性規定。[5]但是,“知情同意”規則是法律對自然人人格利益保護的體現,有其特定的存在價值。因此,個人數據流通法律規制的模式仍應堅持以“知情同意”為基礎,但同時應結合場景判斷隱私風險評估機制,并充分考慮個人數據被不同性質的主體持有時其在不同場景下對數據使用的行為規范存在差異。具言之,可將個人數據的流通具體化為“收集—分析—利用”三個階段(6)雖然我國《民法典》第1035條2款規定的個人信息處理行為包括收集、存儲、使用、加工、傳輸、提供、公開等,但是由于提供數據、公開數據等行為可發生于數據收集之后,也可發生于數據分析之后,因此可將數據流通的全流程簡化為“產生—收集—分析—利用”四個階段。,基于個人數據被利用時的兩種形態,考慮不同主體在不同階段持有數據的性質,設置個人數據流通法律規制的基本架構。其整體模式如圖3所示:

圖3 個人數據流通規制模式注:私主體,即以企業和個人為典型的不具備公共服務性質的社會主體;公主體,即政府部門及其他帶有公共服務性質的社會組織、社會團體等。

首先,個人數據“產生—持有”階段的規制模式。這一階段的數據均為個人原始數據,多數產生數據的主體并不持有數據,持有數據的主體多為個人以外的企業、政府及其他社會組織、社會團體等。這一階段對不同主體收集持有數據的行為規制主要包括:一是私主體持有個人數據應具備“告知同意+合法收集”的條件。以企業為例,就“合法收集”的渠道而言,無外乎兩種方式:要么企業通過自身掌握的技術直接自主收集個人數據,要么從其他主體間接收集/繼受個人數據。(7)所謂間接收集/繼受個人數據,即收集個人原始數據的主體將其收集的原始個人數據通過合法方式流通和共享至其他主體。對于前者,個人數據的收集應受“告知同意+合法收集”的限制。“告知同意”著重保障個人對其個人信息被利用的知情權,但依據該原則產生的“全有全無”二元模式導致實踐中存在諸多問題。應引入隱私風險評估機制,實現從擇入機制到擇出機制的逐漸演變。[3]“合法收集”強調從數據安全的角度保障個人數據不被非法收集,包括收集個人數據的來源合法以及收集的技術手段合法(下文中的“合法”均為此意)。對于后者,應規定初次收集個人原始數據的數據收集者原則上應當對收集的個人數據進行脫敏且不可逆的技術,方可與其他數據處理者共享和流通數據;如存在特殊情況需要共享原始個人數據的場景,比如存在關于個人數據繼受者對原始個人數據的使用方式、目的和應用場景與前序個人數據收集者在收集個人數據時明示的相關內容存在差別的情況時,則同樣應受“用戶授權+合法”規則的限制。(8)北京市知識產權法院民事判決書〔2016〕京73民終588號。其中,“用戶授權”保障用戶對其個人數據被收集、利用的知情權,“平臺授權”保障已對個人數據的收集使用享有合法利益的數據控制主體的合法權益。二是政府及其他帶有公共服務性質的社會組織、社會團體持有個人數據應具備“知情+合法”收集的條件。政府及其他帶有公共服務性質的社會組織、社會團體因履行社會公共服務職能的需要,其在收集大量原始個人數據時應保障個人對其個人數據被使用的知情權,同時按照法律規定的方式合法收集。

其次,個人數據“持有—分析”階段的規制模式。數據收集者收集個人數據之后,在對個人數據分析、利用之前,根據持有數據主體的不同,對數據分析、利用的規制主要包括兩種模式:一是數據控制者為企業等社會組織類的私主體時,應對個人數據進行“脫敏+不可逆”的技術處理。企業利用個人數據的目的在于追求經濟利益,要求其采取“脫敏+不可逆”的技術處理措施是對個人數據合法權益的有效保障。個人如果為其自身原始數據的處理者時,可自主分析其持有的自身原始數據,不受“脫敏+不可逆”的限制;但若其自身不具備分析數據的能力,需委托其他社會主體分析其持有的自身原始數據時(即單個自然人原始數據集的流通),應受“脫敏+不可逆”的技術處理之限制。二是政府及其他帶有公共服務性質的社會組織、社會團體在處理其依法收集的個人數據時,應嚴格遵守法律關于數據處理的具體規則。由于政府及其他帶有公共服務性質的社會組織、社會團體具有以實現公共利益為目的的公共服務職能屬性,是否要求其在“持有—分析”階段對個人數據采取“脫敏+不可逆”的技術處理,應當根據其具體的應用場景依法確定。

最后,個人數據“分析—利用”階段的規制模式。數據持有主體在對其持有的個人數據分析后、利用之前,根據持有數據主體之不同,對數據進行利用的規制主要包括四種模式:一是以企業為主的私主體對其持有的經過“脫敏+不可逆”的技術處理后的大量原始個人數據的利用。這類數據已不具備個人數據的特征,若為企業自主收集的數據,則可對之依法自主利用;若企業持有數據是基于其他社會主體授權,則企業應按照約定在授權范圍內合法使用被授權分析的數據。二是以企業為主的私主體對其持有的經過“脫敏+不可逆”技術處理后的單個自然人原始數據的利用。由于產生此類數據的基礎數據是單個自然人的原始數據,雖然經過“脫敏+不可逆”的技術處理已無法直接辨識“個人”,但在一定程度上仍然具備技術視角下個人的“可識別”性。因此,對于這類數據,無論企業收集數據時為自主收集,抑或基于其他社會主體授權分析處理而持有,在使用時應該具備“原始數據收集時的知情同意+合法利用”的條件限制。這類數據使用的典型場景是基于自動化決策的“精準推送”,“精準”即意味著從技術角度而言個人偏好的可識別性,因此須以數據收集時的“告知同意”為必要,并且不得違反法律規定進行“違規推送”或以其他違法方式共享個人數據。三是自然人可對其持有的經過分析的自身個人數據進行合法利用。若需共享和流通自身的個人數據,則應受“脫敏+不可逆”的技術處理之限制,并且繼受該數據的主體應依照法律規定合理使用該數據。四是政府及其他帶有公共服務性質的社會組織、社會團體等公主體對其所持有的經過分析、處理的個人數據的利用。這兩類主體對其收集的個人數據合法利用的基礎在于其主體法律性質及其所具備的社會公共服務職能需求。

(二)非個人數據流通規制的應然模式

數據流通中,非個人數據的范圍包括:非自然人主體自主產生的數據及個人數據集經過脫敏且不可逆的數據。關于非個人數據流通的規制模式,有學者認為由于商業數據(經過匿名化處理的大數據)具有秘密性和商業價值,因此對于商業數據的財產化規制路徑應采用商業秘密的保護路徑[6],也有學者認為以數據庫和數據產品為主的數據財產形態具備與知識產權客體類似的權利外觀,且法律保護框架與知識產權制度目標類似,故主張以知識產權制度為模式設計數據財產制度。[7]實際上,權利外觀相似并不等于權利本質相同,對非個人數據的流通規制究竟應采何種模式,應視非個人數據在特定場景下所體現的權益客體屬性而定。若特定場景下的非個人數據被認定為知識產權的權利客體,則應遵循知識產權的保護路徑予以保護。由于非個人數據在流通中的不同階段可能被不同的主體持有、處理,故可將不同主體持有不同類型的非個人數據在不同流通階段的規制模式進行歸納,如圖4所示:

圖4 非個人數據流通規制模式注:私主體,即以企業和個人為典型的不具備公共服務性質的社會主體;公主體,即政府部門及其他帶有公共服務性質的社會組織、社會團體等。

首先,非個人數據“產生—持有”階段的規制模式。根據產生數據的主體和持有數據的主體不同,非個人數據從數據產生到持有可分為三種類型,對其規制的模式亦可基于這三種類型展開。一是數據主體自主收集的基于其自身“業務活動”產生的“業務數據”,即自然人以外的社會主體在從事社會生產經營、管理、履職過程中產生的與自身“業務”相關的數據。由于這類數據基于社會主體的生產實踐活動自主產生,且不涉及其他主體屬性,因此可自主收集。二是數據主體持有的其他社會組織掌握的非個人數據。企業等私主體可通過自主搜集的方式持有其他社會組織的公開數據,也可基于其他社會組織的委托持有其他社會組織非公開的“業務數據”;政府及其他帶有公共服務性質的社會組織、社會團體可通過自主搜集的方式收集其他社會組織的公開數據,也可依法收集其他社會組織的“業務數據”。三是數據主體持有的對大量個人數據經過脫敏且不可逆的數據。企業等私主體可對其合法收集的大量個人原始數據進行脫敏且不可逆的技術處理而持有該類數據,也可基于其他主體對該類數據的委托分析而持有這類數據;政府及其他帶有公共服務性質的社會組織、社會團體可基于對其持有的大量個人原始數據經過脫敏且不可逆的技術處理后而持有該類數據,也可基于對其他主體的依法收集而持有這類數據。

其次,非個人數據“持有—分析”階段的規制模式。因數據來源不同,法律對非個人數據持有者分析處理數據的規制方式亦不同。主要包括三種模式:一是數據主體對其持有的自主產生的數據可在合法范圍內自主分析。二是關于數據持有主體對其持有的其他社會組織掌握的非個人數據進行分析的規制。企業等私主體對其自主收集的其他社會組織的公開數據可進行自主合法分析;對基于其他社會組織的委托而持有的其他社會組織的“業務數據”,應按照委托約定進行合法分析處理。政府及其他帶有公共服務性質的社會組織、社會團體對其自主搜集的其他社會組織的公開數據可依法自主分析,對依法收集的其他社會組織的“業務數據”可進行合法分析。三是關于數據持有者對其持有的大量個人數據集經過脫敏且不可逆的數據進行分析處理的規制。企業等私主體對基于自身持有的大量個人原始數據經過脫敏且不可逆的技術處理后而持有該類數據的,可自主分析處理;對基于其他主體委托處理而持有這類數據的,應依照委托約定進行合法分析。政府及其他帶有公共服務性質的社會組織、社會團體對其持有的大量個人原始數據采取脫敏且不可逆的技術處理后獲取的數據,可依法對之自主分析;對從其他主體處依法收集而持有的這類數據可依法進行分析。

最后,非個人數據“分析—利用”階段的規制模式。對于經過分析的非個人數據,其利用的規制模式主要包括三種:一是關于自主利用的規制。即數據主體對其持有的自主產生的數據分析后可進行自主利用。這些數據對企業而言,可能涉及商業秘密、知識產權等法律保護;對政府及其他帶有公共服務性質的社會組織、社會團體而言,可能涉及對國家秘密的保護。二是關于數據持有主體對其持有的其他社會組織掌握的非個人數據利用的規制。企業對其自主收集的其他社會組織的公開數據進行自主分析后,可自主利用;對基于其他社會組織的委托而收集的其他社會組織的“業務數據”,按照委托約定進行合法分析處理后,仍應依照約定合法使用。政府及其他帶有公共服務性質的社會組織、社會團體對其收集的其他社會組織的數據依法分析處理后,應依法公用。三是關于數據持有主體對其持有的經過脫敏且不可逆的大量個人數據集分析處理后的利用規制。企業對自身持有的大量個人原始數據經過脫敏且不可逆的技術處理并分析的數據,可自主利用;對于其他主體委托處理的數據,應依約定合法使用。政府及其他帶有公共服務性質的社會組織、社會團體對其持有經過脫敏且不可逆的非個人數據技術處理、分析后,應依法公用。

三、我國數據流通法律規范考察

承前所述,多元場景下數據流通的法律規制,需明確不同數據類型在不同流通階段被不同主體持有時的法律性質,并以此為基礎展開對數據流通行為的規制。對此,我國既有法律關于多元場景下數據法律屬性的規定主要基于《民法典》第127條及相關條款的解釋展開,并且配套以《數據安全法》《個人信息保護法》等對流通中的數據處理行為搭建基本的規范框架。

(一)數據法律屬性之回應

《民法典》總則編第127條正是對數據在多元場景下呈現不同法律性質之考量,而尚未對數據的法律性質明確規定,既保證民法作為私權保護基本法而對數據之上的財產性權益進行肯定,亦為銜接后續出臺的與數據保護相關的其他法律留足空間。

首先,在《民法典》總則編編撰過程中關于數據立法的矛盾。從《民法典》總則編歷次草案的文本內容來看,《民法典·總則(草案)》(一審稿)采用“數據信息”的概念,將其納入第108條關于知識產權客體范圍的規定。然而考慮到伴隨大數據的開發利用產生的個人信息、個人隱私、商業秘密、知識產權保護及數據法律屬性難以界定等問題,且這些問題涉及多個法律領域,貿然將數據信息納入知識產權客體范疇將引發諸多問題。因此,《民法典·總則(草案)》(二審稿)刪除一審稿中將“數據信息”納入知識產權客體范疇的規定,并單列第124條規定“法律對數據、網絡虛擬財產的保護有規定的,依照其規定”。《民法典·總則(草案)》(三審稿)第128條和最終頒布的《民法典》總則編第127條維持二審稿中的數據條款。從這一立法過程來看,關于數據權益保護應放置于總則中具體哪個位置,是《民法典》總則編編纂過程中較為矛盾且難以抉擇的問題之一。其矛盾之處主要體現在:數據與個人信息、個人隱私、知識產權、商業秘密等權益對應的客體之間的關系難以厘清。而導致這一問題的根本原因在于:數據產生主體與數據控制主體相分離、多元社會主體交叉持有數據的社會現實。

其次,《民法典》總則編第127條規定的合理性。具體而言,《民法典》總則編的法律體系延續《民法通則》的框架,將“民事權利”單獨成章予以規定,并在原有民事權利基礎上將個人信息、數據、網絡虛擬財產等納入“民事權利”章,既延續了傳統立法框架,同時亦是對現代民法典的時代性作出回應。事實上,《民法典》總則編第127條關于數據的規定為數據多元場景下相關權利/權益客體的論斷提供了解釋空間。從《民法典》總則編整個“民事權利”章來看:第109—112條是關于人身權和人格權的規定,第113—122條是關于民事主體財產權的規定,第123—125條分別是關于知識產權、繼承權、投資性權利的規定,第126條作為民事權利的兜底性條款,第128—132條的內容分別為:弱勢群體民事權利保護、民事權利取得方式、權利的行使和限制。整個“民事權利”章關于具體民事權利類型規定在第126條之前,而將數據的條款置于該條之后。對于這樣的安排,有學者指出《民法典》總則編第127條的缺陷在于:刻意回避數據主體對數據享有的權利和利益,并未明確界定數據的法律屬性,也未明確如何保護基于數據而產生的合法權益。(9)關于“回避基于數據的權利認定”的論述,參見周林彬《大數據確權的法律經濟學分析》,《東北師大學報(哲學社會科學版)》,2018年第2期,32-33頁;關于“數據的法律屬性界定”的論述,參見肖建華《論數據權利與交易規制》,《中國高校社會科學》,2019年第1期,90頁; 關于“如何保護基于數據的合法權益”的論述,參見呂炳斌《論網絡用戶對“數據”的權利——兼論網絡法中的產業政策和利益衡量》,《法律科學》,2018年第6期,56頁。實則不然,《民法典》總則編第127條的規定恰是對多元場景下數據的法律屬性認定留有空間。原因有二:一方面,《民法》總則頒布時,法學界對數據的相關研究尚不成熟(概念不清、屬性不明、權利/權益未定等),無法貿然將尚在發展中、還未明確定性的數據予以明確規定。否則不僅有損民法典的時代性、包容性和穩定性,而且還會對民法典頒布后出現的因數據定性產生糾紛的司法實踐造成困境。另一方面,基于總則的特殊地位,《民法典》總則編無法做到也不可能做到將多元場景下數據的法律屬性區別認定并予以細化規定。

最后,《民法典》總則編第127條與其他相關條款的關系。有學者根據《民法典》總則編第111條和第127條的規定,認為這兩個條款中的個人信息與數據分別指向人格權與財產權,代碼層的數據為新型財產權客體。[8]這種將數據信息基于物理屬性的分割(物理層、代碼層、信息層)而作的分類[9][10],雖有助于理解基于二進制數字計算的計算機如何實現與現實世界的信息交互,但以此為基礎來探討信息/數據法律屬性的做法值得商榷。原因在于:數據與信息的截然分割與流通中數據處理的現實不符,亦無法解決個人信息和數據的法律定性問題。

一方面,從技術視角而言,作為數據處理的操作指令/程序和被處理的對象(數據)在計算機內部均為二進制代碼[11],但無論是程序代碼,抑或被處理的數據代碼,在編寫和執行過程中均無法脫離其內涵信息的物理屬性。理由在于:理論而言,即便是計算機最底層的0和1二進制代碼,也承載可被專業技術人員讀懂的信息——雖然難度較大,耗費的精力較多,何況尚未經過編譯和解釋的由代碼編寫者編寫且可讀懂的源代碼。因此,從代碼的角度而言,無論是計算機能夠識別的二進制代碼,還是技術員編寫的操作指令源代碼,其本身亦承載特定的信息屬性。

另一方面,“代碼層的數據”無法直接定性為新型財產權客體。如前所述,計算機數據處理中的代碼包括二進制代碼(以被處理的數據為主——將承載信息的字符編碼按照特定規則轉換為機器語言的二進制碼)和非二進制代碼(操作程序源代碼、編譯碼等,最終也轉換為二進制碼)。[11]9-16其中,操作程序源代碼因具備創造性,因而可能具備知識產權的法律屬性;而按照特定規則進行二進制編碼的被處理的數據代碼包括個人數據和非個人數據代碼。因此,直接將“代碼層的數據”界定為新型財產權客體,顯然不合理。

因此,《民法典》總則編第127條與“民事權利”章涉及的與數據權益保護相關的其他條款的關系宜解釋為:第111條明確對個人信息的保護(包括以個人數據為載體的個人信息和非以數據為載體的個人信息);第123條有關知識產權的保護范圍包括以數據為載體的知識財產;第127條保護基于數據產生的其他合法權益,包括基于非個人數據、非知識產權性質的數據而產生的合法權益,同時以“引致”條款的方式將數據的安全保護引致其他法律規范。

(二)數據流通法律規范之不足

為保障數據的有序流通,僅通過《民法典》確認基于數據的合法權益受法律保護遠遠不足,對數據處理者處理數據的行為還需制定專門的法律規范。我國目前雖已制定《數據安全法》《個人信息保護法》,但就實踐需求而言,仍然存在以下不足:

一方面,既有數據流通行為規范以個人數據流通規制為主,缺乏對非個人數據流通的具體規范。我國目前既有的法規對個人數據處理的行為規范涉及個人數據處理的基本原則、條件,知情同意規則,個人數據處理者的安全保障義務,個人數據保護的禁止性規范等規定,已基本構建個人數據法律保護的規則體系。而有關非個人數據流通的規則集中體現在《數據安全法》第四章“數據安全保護義務”以及第五章“政務數據安全與開放”的規定,這些規定從數據安全的角度設定數據處理者在數據流通中的安全保護義務基本框架。但從數據流通的具體實踐而言,這些規范仍有待進一步細化。比如,基于《數據安全法》第19條的規定,需制定在數據交易場景下作為數據處理者的交易方應如何履行數據安全保護義務,才能切實解決數據交易實踐中交易數據的安全問題。

另一方面,既有規范對數據流通的場景多元、數據類型多樣、持有主體繁多、流通環節復雜的客觀現實應對不足。無論是個人數據還是非個人數據,其在數字空間中的流通均具有場景屬性。同一數據集在不同場景下可流通使用的限度不同,并且對數據處理者安全保障義務要求的程度亦存在差異。比如,對于某一自然人的個人數據集,企業精準推送的場景與政府部門社會治理的場景,其能夠使用的個人數據在范圍和程度上存在差異。而我國目前既有法律對流通中的數據處理行為僅作一般性規定,對具體場景下數據可流通的范圍、處理的限度等缺乏明確規定。由于數據流通的場景多元,且處于流通變動的狀態,加之考慮到法律的穩定性需求,故難以完全依賴以國家強制力保證實施的“硬法”來細化規制,需借助“軟法”來強化規制。相對于“硬法”規制的高成本、低效率而言,“軟法”規制更具靈活性、規制成本相對較低。[12]因此,需結合數據流通應用的行業場景特點,以“軟法”形式對流通中數據處理者的處理行為展開具體規制。

四、多元場景下我國數據流通法律規制的完善

數據共享和有序流通的前提在于保障數據安全,但顯然目前我國(乃至世界各國)關于數據流通安全的法律制度建設明顯落后于數據流通實踐。“《數據安全法》是我國規范數據安全的基本法、數據安全領域的最高法、數據法律體系建構的重要組成部分”[13]。但從體系角度而言,無法僅通過一部法律來實現數據流通的全面規制(全面規制模式可參見圖3和圖4)。多元場景下數據流通的安全保障也需要通過不同效力位階的具體規范予以實現。具體而言,主要從以下兩個方面展開。

(一)場景視域下數據可流通范圍之確定

數據是對人類社會生產生活的記錄,涉及領域多、范圍廣,其可流通范圍的劃定應遵循“合理的數據分類+數據應用場景”的模式。對數據進行合理分類并結合具體的應用場景來劃定可流通的數據范圍,是數據多元場景應用背景下數據有序流通之首要規則。

1.個人數據可流通范圍的確定

個人數據可流通范圍的確定應以“基于數據產生領域的初級場景分類+基于敏感程度的次級分類+基于數據類型的具體場景的三級分類”為模式。

首先,將個人數據按照產生領域進行初級分類。理由在于:社會是由人組成的,個人在不同的社會領域中(金融、醫療、交通、教育……)從事生產活動,與其相關的個人數據被大數據技術記錄并存儲。不同領域涉及個人數據的條目、種類、數量不同,并且同一個人的數據在不同領域中,其敏感程度也不同。以產生領域作為確定個人數據可流通范圍的一級分類標準,有助于對具體領域個人信息保護規則的設定。

其次,在初級分類的基礎上,對各領域個人數據按照敏感程度劃分為“一般個人數據”和“敏感個人數據”的二級分類。之所以將此分類作為二級分類,其原因在于:按照敏感程度的個人數據分類主觀性較強,而將其限定在特定行業領域內,有助于限縮“一般個人信息”和“敏感個人信息”區分的張力。

最后,在二級分類基礎上根據個人數據的類型分為具體的應用場景。個人數據在具體場景中的使用包括“大量原始個人數據集”與“單個自然人原始數據集”兩大類。在此分類基礎上可根據不同主體持有數據、分析數據、使用數據的情況,進一步劃分個人數據應用的多個子場景(可參見圖1)。

2.非個人數據可流通范圍的確定

非個人數據可流通范圍的確定,應綜合考量數據產生主體的性質、數據本身的法律屬性以及數據應用場景的多元化等因素。

首先,若非個人數據內含的信息本質為既有法已明確保護的權利/權益/權力客體時,依照既有法的規定調整非個人數據的流通。比如,知識產權、商業秘密、國家秘密等也可以數字化的形式存在、以現代信息科技物理設備的方式進行存儲、以網絡信道的方式進行傳輸。雖然其存在載體、傳播方式等方面有別于傳統方式,但是其在法律上的性質并未改變,故應明確這部分數據承載信息的法律屬性,并依據其對應的現有法律予以規范。

其次,若非個人數據內含的信息本質非為既有法已明確保護的權利/權益/權力的客體時,按照數據對于國家安全、經濟發展以及社會公共利益密切相關的程度,將其分為一般數據和重要數據。企業、政府及其他社會組織在從事社會生產活動過程中不僅收集數據,而且也在產生數據。由于產生非個人數據的主體多樣、種類繁多,其中諸多數據因數據生產者的性質不同,其流通中對國家安全、經濟發展以及社會公共利益產生的影響也存在差別,尤其是政府部門及重要行業部門產生的數據。因此,以非個人數據對國家安全、經濟發展以及社會公共利益密切相關的程度為依據,可將之分為一般數據和重要數據。就具體的分類而言,可采納全國信息安全標準化技術委員會于2017年發布的《信息安全技術 數據出境安全評估指南》(征求意見稿)的分類標準,其以附錄的形式列出重要數據類型。

最后,在一般數據和重要數據的分類基礎上,根據非個人數據生產者的法律性質及數據使用的場景,明確數據的可流通范圍,并設置不同場景下的數據使用規范。一般數據和重要數據對國家安全、經濟發展以及社會公共利益產生影響的程度在不同應用場景之下也會顯現出較大的差異,尤其是政府及其他具有公共服務性質的主體產生的重要數據。就一般數據而言,可依照企業的自由意志確定其產生的一般數據可流通的范圍;政府及其他具有公共服務性質的主體產生的一般數據,由于對國家安全、經濟發展和社會公共利益產生的影響較小,可依照法律的規定對之公開。就重要數據而言,由企業產生的重要數據,應依據數據使用的場景確定數據可流通的范圍;而由政府及其他帶有公共服務性質的主體產生的重要數據,同樣以該數據使用的場景來確定數據可流通的范圍。比如,政府部門產生的重要數據可劃分為政府部門內部之間可共享的數據、政府與特殊行業可共享的數據、政府與特定社會組織可共享的數據、政府與一般企業可共享的數據等類型。

(二)場景視域下構建以安全保障義務為核心的規制體系

以計算機、網絡技術為典型的現代性的工具理性伴隨著網絡安全、數據安全風險,并且隨著人類對網絡、數據等現代科技的依賴性越強(10)有學者認為,“數據已經覆蓋和書寫了一個人從搖籃到墳墓的全部生活,我們對數據已經形成了難以擺脫的依賴性”,現代社會人們已經從對物的依賴走對向對數據的依賴。參見大數據戰略重點實驗室、連玉明:《數權法2.0:數權的制度建構》,社會科學文獻出版社,2020年版,第2頁。,風險發生的可能性越大,范圍也越廣。甚至可以說網絡安全風險、數據安全風險是現代人類社會面臨的最主要的、最大的風險之一。因此,為防范風險的發生,需設置相應的數據安全保障制度。正如有學者所認為的,“現代風險已經徹底改變了現在、過去和未來的關系,不再是過去決定現在,而是未來的風險決定我們今天的選擇”[14]。

我國《民法典》人格權編第1038條、《個人信息保護法》第五章、《數據安全法》第四章等規定了個人信息處理者、數據處理者的安全保障義務。其義務內容包括積極性義務和消極性義務。其中,積極性義務主要包括:采取技術措施保障信息安全,建立健全數據安全管理制度,定期合規審計,特定情況下的信息處理保護事前影響評估,信息泄漏時的補救措施及報告義務等;消極性義務包括:不得泄露和篡改,不得非法處理,未經同意不得非法提供等。顯然,關于安全保障義務,《民法典》《個人信息保護法》《數據安全法》僅作出一般性規定。

實際上,信息處理者安全保障義務的法律實現有賴于多元性的規制性規范。(11)“規制”的含義較為多元,最為常見的含義是將其理解為命令控制性規制,與此相關的規制形式是設定法律主體的行為義務。參見朱虎《規制性規范、侵權法和轉介條款》,《中共浙江省委黨校學報》,2014年第3期,115頁。數據安全保障義務貫穿于數據流通的全過程,其法律規范的表達應基于類型化的場景規制架構而展開。即在具體場景下數據可流通范圍明確的基礎上,結合數據流通的環節(收集、分析、利用等)設定數據處理者的安全保障義務規范。這些規則以《民法典》《數據安全法》《個人信息保護法》作為數據流通安全保障義務體系的基本法。基于《數據安全法》和《個人信息保護法》的規定,以行政法規和部門規章的形式細化各行業領域的各類數據在不同應用場景下的數據處理規則。在此基礎上以國家標準、行業規定、團體規定等“軟法”對數據安全保障義務的技術標準和管理標準進一步細化,以增強規范的可操作性。

結語

數據流通的法律規制具有場景依賴性。基于場景的多元化,應以數據利用的類型化為基礎框架,根據不同種類數據的性質以及持有數據主體的法律屬性來設定數據流通的法律規制框架。對數據的流通規制需區分數據類型和應用場景,遵循“合理的數據分類+數據應用場景→風險評估”的思路設置數據流通規制的架構,構建以安全保障義務為核心的規制體系。

本文主要從數據流通宏觀規制的視角展開分析,呈現數據在不同流通環節的法律屬性及規制架構,以期能為后來的研究人員或決策制定者提供一個可能的研究方向和分析框架。在數據應用多元場景規制模式的分析框架下,可進一步論述具體場景中數據流通法律規范的設定以及不同規范之間的銜接關系,進而針對具體場景的數據流通需求設置更加細化的流通規則。