一 个人数据私法保护模式的演进
(一)隐私权保护模式的式微
早在20世纪60年代,国外即有学者提出计算机技术的应用将对个人隐私带来严重威胁,个人将失去对个人数据的控制权,控制论(cybernetics)将沦为对个人的监视工具。[6]但直到90年代,这一问题方成为具有全球趋势的问题,受到学界的普遍重视。这种对个人数据的隐私强调受到了法律经济学者的质疑。波斯纳法官拥护信息披露,认为隐私具有工具性价值,将其投入生产领域有助于增加财富和社会效用,以隐私名义限制信息流动不利于社会财富最大化。[7]隐私拥护者则指责其夸大了披露信息的益处,认为在讨论信息披露时不能忽略以下两个因素:一是个人隐私具有巨大的经济利益和动态效益;二是当信息是通过自愿交易产生时,对信息的接受者规定不披露义务可能是对某些类别信息的最佳保护办法。[8]
进入21世纪后,我国学界开始就网络时代个人数据的隐私权保护问题进行集中探讨,并取得了丰富的研究成果。[9]在这一时期,个人数据被理解为公民的“网络隐私权”。学界普遍认可个人数据是隐私权的基本形式之一,必须重视信息安全,避免其在网络空间受到侵害。[10]不少学者提出可以通过赋予隐私权更多积极权能的方式避免信息技术对公民隐私的侵蚀,建议将隐私权设计为具有积极内涵的权利。立法应赋予数据主体事前谈判和事后救济的能力,而非如过往一般仅能寻求侵权法的救济。[11]
显然,在这个过程中,网络隐私权的发展已经严重突破了隐私权的传统内涵,以防范个人隐私被非法披露为重心的传统隐私权逐渐难以应对层出不穷的新型个人数据侵害行为。有学者开始认识到,个人数据和个人隐私不可等同,其内涵已远远越出隐私范畴,无法再附属于隐私权之下。“网络隐私权”有必要从一项消极被动的“私生活不受干扰”的人格性权利发展为积极能动的“自己的信息自己控制”的资讯自决权。[12]
(二)个人数据权保护模式的兴起
1.个人数据保护的两种价值取向
隐私权保护模式的式微开启了个人数据保护的“后隐私权”时代,国际社会逐步形成了“隐私权”和“数据权”两种主要的个人数据保护模式。前者以美国为代表,不区分个人数据与个人隐私,将其纳入隐私权保护范围;后者以欧盟为代表,设立统一的数据权对个人数据进行保护。这种保护模式选择的差异,背后体现的是两大法域的基本理念的差异。美国隐私法以维护消费者权益为要,力图在隐私与有效的商业交易之间取得平衡,因此对个人数据进行多元且狭窄的定义;而欧盟将个人隐私视为能够超越其他利益的基本权利,因此倾向于将所有可以用于识别个人的信息都囊括在个人数据的范畴里,以一个具有相当模糊性的定义为个人提供更为宽泛的保护。[13]可以说,这其实是个人数据法律保护中的两种价值维度——人格尊严与信息自由的冲突带来的二者在实证中的对峙。[14]人格尊严是现代数据立法的根本目的,而信息自由能带来巨大的经济效益和社会效益。如何平衡二者关系,在保障公民人格尊严的同时助推本国经济社会的发展,是立法者必须考虑的重要命题。
欧盟自1995年颁布《数据保护指令》以来,一直致力于个人数据保护水平的全面提高。当前,在欧盟范围内,主动的个人数据权已取代被动的隐私权,“成为信息隐私保护和数据保护法制重构的首要权利”。[15]欧盟对个人数据保护统一立法的努力,引发了美国部分学者对美国隐私保护不充分的担忧。有学者认为对个人数据的控制是对一个人命运的控制,而美国现有的隐私法显得力有不逮,需要新的、更有力的法律来规制个人数据的收集和传播。[16]但也有学者不以为然,指出知识经济时代的到来必然令数据更有价值,过度保护个人数据将损害数据收集、处理者的投资收益。[17]
自21世纪以来,我国网络经济蓬勃发展,消费者个人数据呈现稀缺资源属性,遭到巨大威胁。不少学者提出我国应当取法欧盟,区分个人隐私与个人数据,在成文法中明确规定个人数据权以维护数据主体的人格尊严。[18]但是,大数据时代数据流通与利用所带来的巨大社会经济效益同样不容忽视。关于未来我国数据立法的价值侧重与平衡问题,仍有待学界进一步探讨。
2.个人数据权的法律性质
欧盟立法对“数据权”保护模式的探索令个人数据权理论进入了学界的视野。最初,学者多是将其作为一项新型人格权加以讨论,侧重关注个人数据权上的人格利益。
“具体人格权说”认为,个人数据已成为一个独立的权利类别,其内涵与外延既不与其他具体人格权等同,也不可归入一般人格利益的范畴,是一项新型的具体人格权。[19]“框架性人格权说”认为,个人数据权是一种框架性人格权,姓名、肖像等传统具体人格均应包括在内,由其统一调整。[20]更有学者将个人数据权上升到宪法高度,认为个人数据权的核心是个人对其数据的决定,体现为一种基本人权。因此,个人数据权是宪法尚未明文列举的一项基本权利,而我国宪法的人格尊严条款可解释其存在。[21]此举诚然能够为个人数据提供更为充分的保护,但由于缺少现行宪法的明文规定,存在滥用基本权利之虞。
尽管对个人数据权的具体内涵的理解存在差异,但上述学者均认可个人数据体现的是人格利益,对其保护应采取人格权保护模式。人格权保护模式着重强调个人数据的人格权属性,旨在更好地维护数据主体的人格尊严。然而,网络技术的进步令个人数据的经济价值逐渐凸显,其内涵已无法为传统人格权范畴完全涵盖。[22]部分学者试图在个人数据权框架内协调个人数据的双重属性,或提出尽管个人数据兼具人格和财产双重利益属性,但前者是其本质属性,后者仅是前者在经济利用过程中的外化,因此其本质仍为具体人格权[23];或主张个人数据权是具有人格、财产双重属性的独立权利,应视其在具体应用中所维护的利益属性确定其权利性质,若其维护数据主体的人格利益,则采取人格权保护,反之采取财产权保护。[24]
在此阶段,数据产权理论也被提出并受到关注。该理论主张个人数据体现的是财产利益,应采取产权模式加以保护,这一方面有助于通过确保个人对其数据的控制以保护个人隐私,同时也有利于促进对个人数据的利用,实现其经济价值和社会价值。[25]但及至大数据时代的全面到来,数据产权理论方成为学界的讨论热点。
总体而言,这一阶段虽有学者认识到个人数据的经济价值,但学界的关注重心仍然在个人数据权的人格属性方面。大数据技术的发展令个人数据的经济价值与日俱增,对“具体人格权说”提出了更进一步的挑战。“具体人格权说”在一定程度上忽略了个人数据在数据经济时代的财产价值,或不利于我国大数据产业的长远发展。为助推数据产业的勃兴,数据产权理论受到学界的广泛关注。与此同时,也有部分学者开始质疑和反思“个人数据权”模式,转而强调个人数据在大数据时代的公共属性,建议不参用私权模式保护个人数据。[26]相关讨论将在后文详细评述,在此不再赘言。
3.个人数据在《民法总则》中的确立
2017年,我国颁布的《民法总则》中,明确将隐私与个人数据分别加以保护,确定了个人数据在我国的独立法律地位。此项规定初步实现了我国个人数据保护的体系化。[27]而对于《民法总则》规定的“个人信息”的法律性质,存在“法益说”和“权利说”两种观点。
持“法益说”的学者认为,《民法总则》并未采取权利模式保护个人数据,而仅仅是对其人格利益属性予以肯定,并未真正确立个人数据权为具体人格权。现阶段仅能将个人数据作为一般民事利益而非民事权利进行保护。[28]有学者指出,立法的不确定性使得各方主体围绕个人数据产生的权利或利益存在模糊之处,带来个人数据保护缺少完整请求权基础等困境,建议在未来的民法人格权编中舍弃定性不清的“个人信息”,明确个人数据权为一项独立权利。[29]但也有学者持相反态度,认为应将个人数据定性为“工具性法益”,对其完全私权化在我国并不必要,未来人格权编也应当承袭《民法总则》确立的法益保护路径,实现数据安全价值。[30]
持“权利说”的学者认为,尽管《民法总则》没有将其明确为一项个人数据权,但立法在个人数据与个人隐私之间已有明确划界,个人数据具有独立性;确立个人数据权不存在实践障碍,也符合国际上的立法习惯,因此应当将其认定为一项具体人格权。该权利的确立体现了民法对多元价值的包容,也提供了其作为一项独立权利存在的法教义学基础,具有价值层面和规范层面的双重价值。[31]
对个人数据的法律性质的确定将直接关系到其保护力度的强弱。“权利说”能够为个人数据保护提供完整的请求权基础,明确划定围绕个人数据的各方主体的权利边界,保护强度大于“法益说”,但我国《民法总则》却未对此予以明确,笔者以为这背后体现的是立法者对新兴权利确立的谨慎态度。由于我国数据市场具有巨大的潜力和不确定性,如果立法当下即明确了个人数据权及其归属,将很有可能成为数据经济未来发展的阻碍,《民法总则》的规定不失为在数据市场利益分配格局尚未形成阶段的一种权衡选择。但近年来数据纠纷的频发反映了个人数据保护与利用之间的冲突日益凸显,难以再以个人数据性质未明这一说法来息事宁人了。在可以预见的未来,必将涌现出更多的数据纠纷。立法的不确定性可能带来同案不同判的风险,既无益于对个人数据的充分保护,也将令数据产业的发展受到较大的威胁。从长远来看,为实现二者的协同发展,我国未来立法有必要对个人数据的法律性质进行明确。