1. 引言
谈及数据权利保护问题,首先要对数据权利进行界定,近几年来已有学者从不同角度对此进行研究,大多是从民法视角以《民法典》为依据对数据权利进行是否为物权、财产权、人格权等的判断与定性;同时也有部分学者究其本质,以数据权利是否属于人权,是否构成“第四代人权”进行分析研究并提出不同观点。本文主要结合目前学界有关数据权利的研究,对数据权利法律属性的界定进行分析总结,对于数据权利保护应遵循何种原则提出一定的见解,并最终引发对数据权利保护的思考。
2. 数据与信息
数据权利所对应的数据与信息两个概念在实际应用中经常出现交互或并行使用的现象。《数据安全法》中将数据定义为“任何以电子或者其他方式对信息的记录”。而信息可以是具有物质载体形式的数据、记录、文档、著作、影像等,也可以是意识形态中的概念、思想、宗教、信仰、愿景等 [1]。由《数据安全法》对数据这一概念的表述,可以看出数据对于信息来说是一种媒介、是信息的载体,这也是数据和信息最本质的区别。换句话说,信息的外延大于数据,信息除了能够通过数据这种形式表达,还有其他方式例如图书、音像等形式。目前各个国家惯用概念有所不同,欧盟及其成员国大多采用“数据”这一概念,如《数据保护指令》、《一般数据保护条例(GDPR)》等专门法案;加拿大和韩国的相关立法中则是使用“个人信息”概念;就我国目前立法而言,“信息”与“数据”并行使用,前有《数据安全法》后有《个人信息保护法》,对数据和个人信息都分别进行了明文规定。
3. 数据权利的属性界定
《数据安全法》对于数据安全保护的规定意味着数据权利真正的成为一项法定权益,数据权利主体有权自主决定与自身有关数据的收集、使用、处理等。一切危害国家安全、公共利益或损害个人、组织合法权益的行为将受到严厉制裁。同时,针对数据权利人为何这一问题,有学者提出,使用不同数据,使用人的权利不同 [2],以数据的传输利用为划分标准,可将数据权利人分为数据主体和数据控制人,数据主体是数据所有人,数据的来源者。数据控制人指数据的实际使用者 [3],《数据安全法》出现了“数据处理者”这样的字眼,在这里也就是数据控制人,该主体将数据进行收集,经过整理与分析后最终形成具有价值的信息。
根据数据的可再生、易流通、外部性、非竞争性等特点以及现行法律对数据相关的表述,可以总结出数据权利具有特有的现代性特征:数据权利具有多重属性。
数据权利不同于传统权利,是一种新型权利,主要体现于其具备多重属性。学界对于数据权利的属性这一问题意见各异,大体分为这样几种观点:
1) 数据权利具有财产权属性。财产权的客体是财产,财产权直接体现经济价值并且可以转移。首先数据作为新时代背景下的新资源,早已具有商业价值,数据使用者通过对数据的收集利用进行交易,《数据安全法》第十九条也强调了数据交易行为应当受到规制,因此数据权利体现经济价值可谓毋庸置疑,交易场所的运行及相关交易规则也证明数据权利可以转移。显然,数据权利是具有财产权属性的。
2) 数据权利具有人格权属性。针对个人数据而言,基于这些包含个人特征的数据,很轻易的能够定位个人喜好,生活中我们在使用一些功能性软件时不难发现,在浏览过程中系统会自动推荐一些符合个人喜好的产品,这便是大数据在起作用。在数据飞速流转的过程中,个人数据难免会被不良个人、组织甚至企业获取,进行不法交易,这些数据中不免存在个人隐私,例如家庭情况、住址,银行卡号等诸多重要信息,一旦被有心之人利用乃至披露,后果不堪设想。疫情期间,常有新闻报道某位新冠肺炎确诊患者被网友“人肉”搜索,姓名、家庭住址、工作单位等等被公之于众,甚至遭受无端谩骂,生活和心理都受到极大的负面影响。还有像人脸识别这样的智能技术,意味着肖像权也存在着被侵犯的威胁。因此数据权利中包含诸如隐私权、姓名权、肖像权、名誉权等的内容就具有了人格权属性。
3) 数据权利具有知识产权属性。部分学者提出知识产权保护说,持该种观点的学者认为,数据是一种新型的知识产权,特别是经过处理与加工的数据,具有选择与编排上的独创性,基于此应当对数据权利予以产权保护 [4]。
也有学者对于数据权利是否属于人权以及能否被列为“第四代人权”提出不同观点,马长山教授认为,随着网络化、数字化、智能化时代的到来,智慧社会中的人权也因此具有了全新的数字化信息属性,于是发生了从自然人到“信息人”的转变,数据权利与人身自由和人格尊严联系紧密,因此数据权利毋庸置疑的成为一种重要的基本人权 [5]。张文显教授认为提出“数字人权”概念意义重大,对于数字科技的开发及其运用所带来的伦理约束和法律规制问题,通过人权的力量和权威来进行强化 [6]。当然,也有学者对此持否定观点,刘志强教授以人权的道德属性为判定标准,提出“数字人权”并不具备人权的道德基础,难以通过“数字人性”来实现道德人权层面的证成,因此也就无法成为一项基本人权 [7]。对于数据权利是否属于一项人权,法律并无相关规定且短时期内较难产生定论,学界对此也未达成统一共识,因此仍有待进一步探索,本文暂以目前学界已形成共识作为分析依据。
综上,不论赋予数据权利以上某种单独权利的属性,都无法对数据进行充分、全面的保护。这也意味着对数据权利的保护应当与一般权利的保护有所区别,不论在立法或是其他领域都应结合其特有的多重属性采取合理保护措施。
4. 数据权利保护原则
4.1. 最小必要原则
最小必要原则主要包含三方面内容:必要性、最小化和合比例性。首先,必要性强调的是数据处理的目的,也可以理解为相关性,即处理的个人数据的种类、范围应当与处理目的有直接关联,不处理该个人数据则处理目的无法实现。其次是最小化,主要强调收集数据的范围,即数据收集应具有一定限制范围,应当控制在实现既定目的的最小值范围,即离开某项数据的处理,就无法合理地通过其他手段实现目的。具体可以包括最少数量、最少类型、最短存储时间、最小共享范围、最低处理频率、最少数据操作权限等。最后,合比例性,即数据处理所带来的风险与特定目的实现所带来的利益相比须符合一定比例。
于2021年6月29日通过的《深圳经济特区数据条例》中针对个人数据保护建立了专门的制度。其中有关明确处理个人数据的基本原则中就包含“最小必要”原则,即数据处理应限制于实现目的所必要的最小范围内、数据处理的方式也应当限制于对个人权益影响最小的范围内。可以说该《条例》作为数据保护专门法律贯彻最小必要原则,从数据处理的起点做出规制,有效防治数据控制者滥用个人数据以造成不必要的后果。
4.2. 有限存储原则
有限存储原则在欧盟颁布实施的《一般数据保护条例》中有所体现。该条例给予数据主体更广泛的权利,同时也作出了更为细致的规定,其中尤其值得注意的是第十七条清除权(被遗忘权) (right to erasure (right to be forgotten)),该权利的行使可以有两大类理由:一是当数据对于收集或处理时的目的已经不再必要,即根据“目的性限制”原则删除数据;二是数据主体依据个人数据控制权要求删除数据。被遗忘权的规定主要强调数据主体享有“要求控制者移除关于其个人数据的权利”,而相对应的,数据控制者不仅负有“及时移除”的义务,还负有告知义务。此处数据主体要求删除个人数据能够依据的几种特殊情形中就包括目的不再必要。
从有关被遗忘权的相关规定中可以推导出,数据权利保护应当遵循存储有限化原则。存储有限化原则具有多层含义,从时间层面上指储存个人数据的时间不得超过处理数据所需的必要时间,从目的层面来讲则指对个人数据的存储不得超过实现目的所需要的程度。换句话说,只要依据数据收集目的处理完该数据后,应及时安全删除。根据该原则,数据主体具有要求数据控制者无障碍地、及时地删除不适当、无关或不再相关的合法公布的个人数据的正当权利。
5. 现有数据权利相关立法
5.1. 国内立法突破性成就
《中华人民共和国数据安全法》(以下简称《数据安全法》)自2021年9月1日起施行。《数据安全法》是我国首部有关数据安全的专门法律,着眼于数据安全领域的突出问题,创新性的建立了数据分类分级管理,同时在数据安全风险评估、信息共享、监测预警、应急处置以及数据安全审查等方面建立了专门制度进行规制,并明确了相关主体的数据安全保护义务,具有突出亮点。
其中较为突出的亮点是对重要数据的规定,《数据安全法》第二十一条规定以重要程度、危害程度为标准,从国家层面对数据进行分类分级,为重要数据保护的加强以及政务数据、企业数据、工业数据和个人数据的保护奠定了法律基础。
《数据安全法》对数据处理活动的规范以及对数据权利的保护制度,目的不仅为了保障数据的安全,同时也是以此在确保数据安全的基础上,使数据得到有效的开发和利用,让数据更好的推动经济发展。
《深圳经济特区数据条例》(下称《条例》)自2022年1月1日起实施。《条例》率先提出“数据权益”,在国内数据领域,作为首部基础性、综合性立法,《条例》内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面。《条例》率先在立法中提出“数据权益”,明确自然人对个人数据依法享有人格权益,包括知情同意、删除等权益;自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益,可以依法自主使用。
5.2. 欧盟数据保护立法借鉴
欧盟非常重视数据权利与数据安全问题,1995 年欧盟颁布实施《个人数据保护指令》,要求欧盟各国家据此制定法律以保护公民个人数据以及欧盟境内的数据流通。欧盟于2018年5月25日正式颁布实施的《一般数据保护条例》(GDPR)可以说是对《个人数据保护指令》更深入、更全面且符合时代发展变化的数据保护法案。其进步意义在于以保障个人尊严和基本权利为宗旨,直接约束各加盟国的立法,从数据的获取、权属和保护,信息隐私,伦理问题等不同法律维度规定了一些新型的基本权利,同时明确了数据主体权利和数据控制者、处理者的义务,对事后救济措施做出相应规定,明确数据控制者和处理者要承担广泛的注意和通知义务,如果违反将承担极重的赔偿责任,在管辖权上运用了以地域管辖为基础的长臂管辖原则。
欧盟《一般数据保护条例》是首部全球性数据保护法令,极具创新性,其以保护人权为首要原则,不容置疑地成为世界个人数据保护的立法标杆。
6. 数据权利保护的路径展望
6.1. 法律路径
目前我国已颁布实施数据保护专门法律,但随着大数据时代的迅猛发展,仍需不断补充完善,《数据安全法》更着重于对数据控制者的行为规制,然而对于个人数据主体似乎缺乏更具体的保护。例如数据主体的权利,GDPR从各个层面对数据主体予以保护,尤其是对儿童数据和个人生物学数据进行着重保护,这是目前我国现行法律中还未提及的部分。类似于儿童和老年人这样的“数字弱势群体”是指在数据获取和运用中处于弱势地位的群体,基于该群体出于年龄、文化水平、经济水平等方面存在的差别,对于迅速流通的网络数据信息,很难及时有效地获取、理解并利用,进而导致被边缘化乃至正当权利受损的结果,因此对该群体应当给予适当特殊保护。我国《数据安全法》对数据进行分类分级可谓是重大亮点,极具进步意义,但其主要出于国家利益及公共利益角度,针对弱势群体及个人特殊数据如基因等生物学数据缺乏专门规范,仍需对个人数据的定义以及特殊群体的保护进行更加具体明确的界定,从而立足于“人”本身,使个人数据得到更加完善的保护。
其次,对于用户个人的数据控制权利应当有所保护与增赋。我国《数据安全法》对国家、政府等主体的数据保护作出了规定,但最核心的目的还是要“以人为本”,实现对“人”的实际保护以及对“人”的权利的维护。因此,需要在法律中赋予个人更广泛的数据权利,以此提升个人在数据产权中的地位和话语权,例如,在相关立法中进一步规定个人的“数据可携带权”。
可以参考GDPR中对于数据可携带权的规定,其中包括副本获取权以及数据传输权。该权利旨在增强个人数据控制权,促进个人数据自由流动和数据控制者之间的竞争,使数据主体载数据流动过程中把握主动权。
6.2. 技术路径
数据作为新时代背景下产生的新的生产要素,对数据权利采取保护措施自然要从技术层面进行剖析。当下,区块链技术日益成熟,已经被多家数据交易平台应用于数据确权领域,区块链的本质在于隐私的黑箱化、个人和社会自治功能的强化 [8],正因这样的特性,避免了由于大数据的内在监控导致人们的言论和行为受到禁锢的可能性,同时,区块链技术可以保护个人数据,从其技术角度来讲,首先区块链数据库具有分布式特性,这使得黑客无法入侵,其次由于散列过程不可逆转,如果原始文档或事物被更改,将接收到不同的数字签名,这就表示与系统有出入,将不被允许更改。因此利用区块链技术在一定程度上限制人工智能技术,能够对个人数据形成有效保护。
除此之外,在数据收集和传输阶段也应当做出一定限制条件,例如,以数据用途是否具有公益性质为判断标准。在数据收集阶段,针对不同数据类型的特点,对“同意”的程度应当进行不同设置,公益性数据需要数据主体做出默示同意,而对于非公益性数据需要数据主体做到明示、书面同意;在数据传输阶段,对于数据是否应当进行脱敏处理,两种类型的数据也应当设置不同的要求,非公益性数据应以其为必备要件,公益性数据则不必。
7. 结语
随着数据资源在经济领域和社会治理中的角色愈来愈重要,数据权利的属性界定以及数据权利的保护成为急需解决的问题,人们越来越深刻认识到个人数据蕴含的巨大价值和个人数据的利用可能给数据主体带来的各种安全隐患和威胁。尽管学界仍对此存有争议并处于持续探讨的过程中,毋庸置疑的是,数据权利保护已成为各方、各领域极其重视的问题,我国现于立法阶段已取得突破性成就,对于数据权利的保护、数据安全等方面的规制日益强化,若针对数据权利的特性,在遵循最小必要、有限存储等原则的前提下,对立法进行完善补充,增强监管力度,并于技术层面采取保护措施,将更有利的推进数据权利保护进程,使数据在经济、文化等领域更大程度地发挥助推作用。