王利明:数据的确权与保护|实录
王利明教授首先点明本次讲座的主题,指出“我们今天已经进入到了数字经济时代。数据作为新型的重要财富,被称为‘最有价值的资源’。数字经济在一国里的国民经济总值中或者国家财富中的比重在不断上升。根据中国信息通信研究院最新发布的《全球数字经济白皮书》,2016—2022 年,中国数字经济年均复合增长14.2%。在2022年,数字经济在GDP占比中,达到了58%。数据作为新型的生产要素,成为数字化、网络化、智能化的基础,已经迅速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。到目前为止,全国有将近三十个省市自治区制定了有关数据的地方性立法,2022年中央颁布了‘数据二十条’。但是到目前为止,我们还缺少一部全国性的有关数据确权与保护的专门性立法。”
围绕数据的确权和保护,王利明教授主要围绕数据为何确权、数据如何确权和数据保护问题三个大方面展开讲座,其中数据保护方面强调要注重维护数字人格利益以及分析了数据流通和利用中的合同法保护、数据侵权的侵权法保护和数据保护的价值演变。
一、数据为何确权
第一方面,关于数据为何确权。王利明教授指出,首先,数据确权有《民法典》作为上位法依据。《民法典》第127条明确规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”本条除了作为引致条款,还有两层深刻含义,分别是:其一,宣示了数据、网络虚拟财产在整个民事权益的体系架构里,是重要的、新型的民事权益,应该受到《民法典》的保护;其二,为未来数据、网络虚拟财产立法提供了上位法依据。
其次,数据确权有利于激励数据的生产。数据作为一种新型的财产,蕴藏着难以估量的巨大价值。数据以信息为内容,但是信息不一定都能够成为数据。有人说数据应该像空气一样能够自由呼吸,但空气是免费的,数据不是。数据不同于信息,是因为每天大量的信息是自动生成的。比如坐公交车、搭地铁、散步、谈话、唱歌等等,都会留下各种信息。但是这些信息需要数据处理者投入一定的劳动、资金成本或者需要通过相关的技术手段留痕,最后才能经过处理、整理,形成数据。所以在数据的形成过程中,一定要由数据处理者投入一定的劳动。从这个意义上,数据不可能像空气那样,完全免费。它必须是一种需要投入一定劳动,才能够形成的财产。只有劳动,包括数据处理者提供的各种劳动资金技术,才能形成数据。那么,既然数据的形成过程中,需要投入劳动。按照劳动创造价值论,以及劳动是财产权的源泉这种理论,为数据创造提供劳动的数据处理者,对数据最终的产品应该享有一定的权益。只有通过这样一种确权,才能够保护预期。古人讲,有恒产才有恒心。这里讲的“产”不仅仅限于在农业社会中存在的动产和不动产,也不完全限于在工业社会中产生的知识产权,还应当包括在大数据时代的新型财产——数据。所以数据确权首先就是要保护预期,形成恒产。数据只有通过确权,才能够逐数兴业,鼓励企业向数据资源的开发和利用进行投资,进行创业。也只有通过确权,才能够定分止争,防止因为产权界定不清,从而引发围绕数据的各种纠纷的产生。
再次,数据确权,能够鼓励数据的流通和利用。数据蕴含着巨大的利用价值,在今天数据市场很多地方都已经建立起来,围绕数据形成的各种交易形式也在蓬勃发展。数据的用途也在不断拓宽,比如说数据可以用来担保,可以用来进行投资入股,数据可以做各种预测、分析。数据运用的前景,随着大数据的发展,会越来越广泛。但是,在没有确权的情形下,假如要把数据许可他人利用,或者进行担保,那么受让人就提出质疑,你对这个数据是不是享有权利,怎么才能证明你对它享有权利。有人反对数据确权,提到数据就应该像空气,那么如果数据是空气,为何能够进行买卖。同时,如果对数据没有一种法律上的权利,怎么能够许可利用,怎么能够把它作为一种财产为他人担保。对此,王利明教授举例,有一家企业开发了一项数据,他要拿去给银行作为抵押品,银行说我觉得这个数据的价值很大,但是你怎么证明这是你的财产。数据开发企业没有办法回答,最后就说大家一起去法院打一场官司,实际上就是一个虚假官司,由法院作出一个确权的裁判。银行才能接受你作为一个产权人,能够拿这个作为财产担保。从这个例子可以看出,数据没有确权,不可能作为一种财产,来得到广泛的利用。同样,没有确权,任何人都可以利用爬虫技术来爬取他人的数据。这样一来,数据开发企业就会想尽各种办法防范他人爬取,进而投入大量的资金成本,这无疑会提高数据的利用成本和代价。并且,数据不能确权,大量的数据就在数据处理者手上不敢拿出来利用和投入交易,以及用作更广泛的用途。这会极大地限制或者降低数据的价值,甚至某种程度上会妨碍数字经济和数字市场的发展。因此进入到大数据时代之后,数据的确权和保护比以往任何时候都显得更加重要。
二、现行法律缺乏确权的规范依据
承接上述确权的社会经济因素,王利明教授从现行法角度对数据确权的必要性进行论证。王利明教授指出现行法在数据确权和保护方面的法律依据仍存在缺失。从现在已经发生的一系列有关数据的争议案件来看,比如著名的“淘宝诉美景不正当竞争案”“大众点评诉百度案”等等,这些案例里都涉及到,数据开发企业开发出数据产品之后,被其他企业利用爬虫等技术,大规模地爬取复制。针对这些不劳而获的搭便车行为,法院判决基本上采用了反不正当竞争法来处理。比如典型的“淘宝诉美景不正当竞争案”,法院认为淘宝制作“生意参谋”数据产品,投入了大量的成本、劳动、技术,但是美景公司没有花费任何代价,就利用爬虫技术进行爬取。法院依据《反不正当竞争法》第2条和第12条认为,这种行为是一种据他人的劳动成果为己有的一种搭便车的不正当竞争行为,应当承担民事责任。“大众点评诉百度案”中法院也是采取此种做法。所以有不少学者说,现在不需要专门确权立法,只需要直接援引《反不正当竞争法》,比较抽象原则性的第12条和第2条,就可以解决数据确权和保护的问题。王利明教授认为这种做法过于简单,法院之所以采用《反不正当竞争法》这一抽象的原则来解决数据争议,一个重要的原因是现在缺乏数据确权和保护的立法。虽然“数据二十条”明确提出了确权,但是这仅是一个政治性文件,不能作为裁判依据。《反不正当竞争法》的立法目的主要在于维护竞争秩序,并不是要确认民事权益的归属。除此以外,《反不正当竞争法》的起源是来自于侵权法。无论是在法国还是德国,它都是从侵权法中派生出来的。而认定不正当竞争行为前提是它侵害了受害人某种权益。认定搭便车或者不劳而获必须以侵权为前提,如果不构成侵权就不构成搭便车,就是合理利用的问题。如果淘宝已经确认对他制作的“生意参谋”这一数据产品享有某种权益,那他人大规模爬取就是数据侵权。所以才进一步说构成不正当竞争。但是当法律上没有认定淘宝对它享有权益的时候,当然他人有权来大规模爬取。这时候就是合理使用。因此,即便认定搭便车的行为,也必须以确权为前提。另外,适用反不正当竞争规则仅限于具有竞争关系的经营者之间。没有竞争关系不能适用《反不正当竞争法》的相关规定。但是事实上,围绕数据所产生的纠纷,大部分不是发生在竞争者之间,而是发生在一些没有竞争关系的当事人之间。
也有学者提出知识产权法足以解决数据的确权和保护问题,因此没有必要专门通过数据确权立法解决这一问题。王利明教授认为,许多数据制作出来之后,确实有独创性。因为有独创性,所以应该受到知识产权的保护。因此数字权益和知识产权确实有密切联系,这一点是毫无疑问的,但是这两者是有区别的。在《民法典》制定的时候,就针对数据信息是不是应该成为知识产权的客体进行讨论。《民法典》总则编关于民事权利里有关知识产权的客体是不是应该加一个“数据信息”展开了激烈的争论。经过反复讨论认为,虽然有不少数据信息可能具有独创性,应该纳入知识产权保护,但是还有大量的数据不具有独创性。所以不能说所有的数据信息就是知识产权的客体,因此最终的《民法典》删去了“数据信息”。表明了知识产权和数据不是一回事。原因就在于许多的数据产品不具有独创性。王利明教授以“费斯特诉乡城电话服务公司案”为例,指出在这个案例中,联邦最高法院认为,单纯搜集电话号码这样一种数据产品不具有独创性,不受版权法的保护。这个案例就比较典型地说明了,确实数据权益和知识产权不能等同。其次,从是不是有保护期限来看也不同。知识产权属于法定的垄断权,所以法律上不能允许知识产权人长期垄断,否则将导致知识无法传播,阻碍技术的创新和进步。所有知识产权经过一定期限之后,就会进入公共领域。而数据可以永久保存,且可以同时被许多人反复的使用、利用,突破了地域的限制。再次,知识产权强调垄断性,其基本理念就是赋予创作者垄断权,从而激励创作者投入更多的时间和成本进行创作。当然,三种知识产权垄断的程度不完全一样,但是总体上强调垄断。而数据是鼓励利用,鼓励流通,鼓励共享,恰恰是不鼓励垄断。所以跟知识产权理念上完全不同。最后,知识产权通常不涉及个人信息,但是数据是在搜集数据信息的基础上,通过加工整理而形成。在数据产品里,数据财产权和个人信息权益,往往密切地交织在一起。这是数据的一大特点。《民法典》是把这两者做了严格区分,总则编第五章民事权利,非常清晰地将知识产权和数据用两个不同的条款分别规定,表明了它们两者之间具有明显的区别。
三、数据如何确权
第二方面,关于数据如何确权。王利明教授认为,对数据权益,要从传统的观察有形财产的范式向观察虚拟财产的研究范式转化。过去传统上用两权分立、物债二分或者严格的排他性这些理论,很难观察分析数据中的各项权益,建议借鉴“权利束”概念来观察分析数据权益现象。以“大众点评”为例,“大众点评”作为一个平台可以看作是一个数据产品,在这样一个平台里有各种各样的权益存在。比如人们在“大众点评”上消费,留下了电话号码,购物的各种信息,甚至购物偏好,家庭地址等等。这些属于个人信息,当然也有购物偏好可能不属于个人信息,但是它和其他的信息组合在一起,也可能识别特定自然人。“大众点评”里涉及到各个商家,他们餐饮店的介绍、经营的信息,优惠券等等,可以看作是企业数据,属于经营者。“大众点评”的算法属于平台,属于商业秘密范畴。“大众点评”里还有符号设计、相关名称、商标等等,涉及到知识产权和人格权的问题。甚至用户在“大众点评”上的留言,如果具有独创性,也可能涉及到著作权问题。在“大众点评”这个数据里,各种权益相互交织的结合在一起,就像树上开的花朵一样。个人信息和数据财产权密切地结合在一起,很难用传统的两权分离理论来解释。各种权益的交织,甚至形成了你中有我,我中有你的权益的格局状态。
面对这样一种复杂的权益,如何确权。有人认为这么复杂无法确权。但是,“数据二十条”提供了一条很好的确权思路。这个思路是,采取区分数据来源者与数据处理者双重权益的结构,从而对数据进行确权。仍以 “大众点评”为例,按照“数据二十条”提出的双重权益结构,就要区分为数据来源者权益和数据处理者权利。数据处理者就是平台,对平台上形成的数据或者说数据产品享有,按照“数据二十条”叫“产权”,实际上就是财产权。然后,进一步确认,所有对数据做出贡献的,提供来源的一切权利人,都概括为数据来源者。通过这样一种数据来源者和数据处理者权益的区分,基本上就可以把这样一个纷繁复杂的数据权益进行比较清晰的权益划分。双重权益结构的划分,区分了财产权和人格权益。在平台留下的大量个人信息就是人格权益。数据处理者享有的是财产权益。王利明教授强调,数据内容的贡献者权益和数据生产者权利不是两权分离关系,认定为所有权和用益物权的关系是不妥当的。所有权和用益物权关系是一个权能的移转关系,在这个移转过程中需要借助于合同,同时移转前的权利和移转后的权利应该具有等同性。移转必须是先前有,有多少才能够移转多少。数据不是这样,数据在生产过程中常常没有明确的合同,用户在网上自动生成的各种信息,比如在“大众点评”上购物,可能没有跟“大众点评”订立一个这样明确的合同,而是自动生成了各种信息。其次“大众点评”享有的财产权益,并不是因为用户事先享有了这种权益,然后移转给他的。用户留下了这些信息,平台进行处理,进行加工整理形成数据财产。用户享有的个人信息权益和数据处理者享有的财产权益密切地结合起来形成数据权益。它也没有像所有权和用益物权的绝对的排他性。所以用两权分离解释不了。
通过双重权益架构的分析方式很好地解释了数据权益的内在的复杂的结构,其中数据来源者享有在先权益和其他权益。比如“大众点评”里涉及到各种在先权益,包括个人信息权益,包括具有独创性的点评,可能是一个著作权,包括商标、商业秘密等等,所有这些权益都可以笼统地称之为在先权益。在先权益必须要优先获得保护。如果算法是他人的,那数据处理者就要尊重他人的商业秘密。数据中有个人信息,就必须尊重信息主体的各种权益。知识产权也同样如此。除了在先权益之外,数据来源者还想有什么权益?这是一个非常值得探讨的问题。王利明教授认为,欧盟通过的《数据保护法案》提出的几项值得借鉴。数据来源者对数据提供了来源,因此对提供来源的这部分信息,享有公平访问权。公平主要就是说,访问要合理。不能说所有的开发的数据,都要进行访问。主要限于别人搜集的属于相关信息主体的那部分信息,该主体有权访问。其次就是合理利用权。“数据二十条”只是提到了可以复制,但是欧盟《数据法案》是超过了复制的权限,不仅仅可以复制自己被搜集的这部分信息,还可以进行合理利用。第三项权利,就是携带权。相关的个人信息留在数据处理者的数据中,信息主体有权通过复制携带走。“数据二十条”明确承认允许进行携带。不仅仅是个人信息可以携带,甚至企业信息也可以。平台上的网店应该对留下来的各种企业数据享有携带的权利。还有一个值得探讨的问题就是,携带走了之后,是不是同时可以要求平台删除。从《个人信息保护法》到“数据二十条”都没有明确地回答这个问题。王利明教授认为,《个人信息保护法》回避了这个问题。假设用户在中国移动App上留下了通话记录,现在换了电话号以后,要把通话记录全部携带到联通去,那么原来在中国移动的所有通过记录,用户是否有权要求全部删除。这在数据权益里是一个非常复杂也是很重要的问题,但是《个人信息保护》没有回答。现在“数据二十条”只是提出应该允许携带,但是也没有说携带后允许不允许删除。同时,除了个人信息之外,企业的数据允许携带后,允许不允许删除,未来有待于进一步探讨。王利明教授倾向于认为,携带并不等于删除。特别是个人信息为什么在携带之外专门规定删除权,就是表明携带和删除是有区别的,携带不等于就要删除,两者权利行使的要件是不一样的。
按照“数据二十条”对数据来源者权利还要进一步区分公共数据、企业数据、个人数据进行分级分类确权授权制度。对这三类数据,要分类进行不同对待,而且要分别建立确权制度。个人数据因为包含了大量的个人信息,就要专门特殊的保护。可能需要适用《个人信息保护》、《民法典》关于个人信息的相关规定进行特别保护。数据这里有一个很复杂,争议很大的问题。除了个人信息之外,还有一些非个人信息,如何保护,能不能作为一种在先权益进行对待,这是一个需要探讨的问题。尤其是能不能单独就这些信息给予财产权地位,值得探讨。王利明教授认为,用户使用APP留下了很多信息,这些信息很多不是个人信息,在个人信息权益之外还要有一个财产权。这样一来,权利是不是就太多了,数据处理者行使数据权利时候,就针对那几条信息要取得同意授权。这样就很可能妨碍数据的利用,效果未必很好。同时,用户既然使用了APP,某种程度上留下一些相关的非个人信息,是不是也可以看作使用APP应该支付的对价,这是可以讨论的。总之,王利明教授倾向于认为再给予一种财产权地位是没有必要的,否则会妨碍数据的流通和利用,会使得权利状态过于复杂。对于企业数据,用户应该享有访问权。用户浏览网店留下的信息,平台搜集到以后做成数据产品,用户起码对在网店留下的个人信息享有访问、复制和携带的权利。但是应不应该有收入分配权?假如平台把这些信息与他人共享,许可他人利用,用户是不是应该针对留在企业的信息享有收入分配报酬请求权,这也是一个争议很大的问题。王利明教授认为,应当通过合同进行约定。国外的相关规定鼓励当事人通过合同约定的方式来解决收入分配的问题。如果没有合同约定,恐怕还不能取得报酬请求权,这是一个值得探讨的问题。
对于公共数据,按照“数据二十条”的规定,原则上尽量鼓励共享共用,推进互联互通,打破数据孤岛。因为公共数据,特别是涉及到政府信息应该公开的数据,就应当共享共用,就是现在说的“让数据多跑腿,让老百姓少跑路。”就数据处理者的权益而言,按照“数据二十条”,数据处理者应该享有产权,但是产权严格来讲是一个经济学的概念,不是一个法学概念。《民法典》使用财产权这个概念,未来我们要对数据立法,还是应该用严谨的财产权这个表达。“数据二十条”还是有几条经验值得借鉴。其一,避开了“所有权”的概念,数据处理者比如“大众点评”平台对平台数据享有数据财产权,但是不用“所有权”。为什么避开“所有权”,首先就是所有权的四项权能,没办法都用来解释数据财产权里面的各项权能,因为这四项权能是在有形财产的基础上产生的,而数据是一项无形财产。用四项权能,比如说“占有”,占有必须是一种实际的控制,但是数据权益可以由许多人来利用,根本不需要占有,所以用所有权说不清楚。其次,一旦套用所有权,就有可能引入排他性理论。但是在数据权益中,不具有排他性。数据就是要鼓励大家共享共用,不能具有严格的排他性。一项数据可以由无数的人同时利用,这很难用所有权的排他性来解释。其二,“数据二十条”使用了三权分置理论,来解释数据处理者权利,分别为数据资源持有权、加工使用权和数据产品经营权。首先,用“持有”不用“占有”,占有必须实际的控制,没办法占有。其次,数据必须经过加工才能够使用,所以数据的核心是使用。最后就是数据产品经营权,数据处理者可以用数据产品进行投资入股、融资担保和许可利用等等,“数据二十条”通通将之称为“经营”。王利明教授认为,三权分置理论有进一步研究的空间,比如数据是不是必须要进行加工才能够使用,这个在技术上还是值得探讨。而且数据还有一个处置权的问题。数据保存到一定期限就要销毁,销毁数据的权利很难用经营权来进行概括。而且经营权严格来讲也是经济学的概念,概括不了处分。所以是不是还应该有一个处分权。另外,经营权也没有把应该对数据享有的收益权概括出来。鼓励数据生产就是要保护收益。收益权没有写,好像缺了一个很重要的内容。数据三权分置没有完整地表述数据的各项权益,这也是下一步需要探讨的重大问题。
四、数据保护要注重维护数字人格权益
数据权益保护首先要注重维护数字人格权益。大量的数据都是数据处理者在搜集个人信息的基础上产生的,数据处理者本来可以将搜集到的个人信息进行匿名化,但是往往不愿意匿名化,因为非匿名化的数据产品更有利于对消费者提供精准服务,数据也更有价值。这就导致了大量的数据中包含了个人信息权益,数据处理者享有的数据权益和信息主体享有的信息权益之间相互交叉融合,甚至发生权益冲突的问题。一旦数据处理者享有的数据财产权和信息主体享有的信息权益之间发生冲突矛盾,如何解决此冲突。按照《个人信息保护法》的规定,数据处理者搜集个人信息,制作成数据产品。如果信息主体之前明确表示同意搜集处理,但制作成数据产品以后与他人共享,这时必须再次取得信息主体的同意,否则不允许共享。这样一来,两者之间形成矛盾。此时必须要尊重信息主体的知情同意权。因为共享行为实际上是对个人信息的新的利用,同时对被共享者来说,就是一个重新搜集过程,所以要再次取得信息主体的知情同意。其次,信息主体先前同意被搜集个人信息,但是事后认为这种搜集处理很危险,《个人信息保护法》给予信息主体一种任意撤回权。信息主体任何时候都可以撤回先前的同意。再次,信息主体享有信息携带权,只要符合《个人信息保护法》第45条规定的携带的条件,信息主体有权携带走信息,同时要求删除。尽管数据处理者可能提出,此权利会破坏数据的完整性。但是按照《个人信息保护法》规定,必须要尊重信息主体享有的携带权、删除权等权利。王利明教授认为,这种现象和两权分离不一样,在数据权益里,当两种权益发生交织甚至冲突时,实际上个人信息权益始终处于优先保护的地位。这也是《民法典》到《个人信息保护法》都把个人信息的权益保护放在首位,在权益顺位里,把个人信息权益放在信息主体享有的财产权之前的原因。人格尊严要优先于财产权益的基本原则和理念是《民法典》始终所坚持的。数据处理者行使数据权利就好像放一个风筝,但是风筝线不是在数据处理者手上,严格说是应该掌握在信息权益主体手上。如果信息主体要求撤回同意、携带或者删除,要求知情同意,都必须满足他的请求。这并不妨碍数据的流通利用,因为对数据处理者来说,可以选择把当初搜集的信息制作的数据进行匿名化处理,按照《民法典》的规定,匿名化需要技术上能够达到不能识别而且技术上不能复原。
五、数据流通与利用的合同法保护
数据是一种特殊的新型财产,在于它能够无限地利用。数据不是石油,石油是一种有形财产,自然资源。数据不同于石油这种有形财产在于,数据具有可再生性,每天我们所有的行动轨迹都可以自动生成成千上万的信息,最后通过数据处理者的劳动,可能能成许许多多的数据,所以具有无限再生性。数据还具有不可消耗性,石油越用越少,数据越用越多。数据可以反复利用,而且越利用越有价值,正是在利用中产生价值。它可以共享,共同利用,而共享共用可以不受任何物理空间的阻隔和限制。而且数据不同于一般的有形财产就在于,会出现数据的平行持有现象,多个主体可以同步处理和持有高度同质甚至同样的数据。这些决定了,数据这种最有价值的资源,如果能够使其产生应有的价值,就是必须要通过鼓励流通,鼓励利用,鼓励共享,才能够真正实现数据应有的价值。因此对于数据的保护,王利明教授指出,必须强调要注重兼顾保护和利用之间的关系。要强化对数据的保护,也必须要注重对数据的利用,一定要在两者之间找到一个有效的平衡。这是未来数据立法应该秉持的基本原则,也是现在全世界对数据立法所面临的共同的难题。保护过度会妨碍利用,利用过度,完全不考虑保护,可能就走向反面,把包含个人敏感信息和核心隐私的数据随便交易,就会带来另一个负面作用。两者之间如何协调,是现在法律上面临的一大难题,也是目前数据立法需要解决的一大难题。王利明教授解释到,《民法典》和《个人信息保护法》,为什么把个人信息后边那个“权”字拿掉,表述为“个人信息”,不叫“个人信息权”,其中一个重要的考量,就是担心如果对个人信息保护过度,会不会妨碍数据产业的发展,妨碍数据的流通利用。这主要是为了在中间找到一个平衡点。《民法典》和《个人信息保护法》的很多相关规定都在努力兼顾两者之间的关系。王利明教授举出两个例子进行说明。比如对已经公开的个人信息,如何对待。2022年美国的第九巡回上诉法庭有一个著名案例,一个平台专门搜集已公开的个人信息,有个人又将其搜集的公开的个人信息进行大量爬取,这家企业到法院进行起诉,最后第九巡回上诉法庭认为,既然是已经公开的个人信息,应该允许爬取,允许他人进行全面复制利用。这个问题就涉及到对个人信息的利用和保护如何平衡。《个人信息保护法》并不是说对已经公开的个人信息,任何人都可以随意大规模的搜集利用,王利明教授认为,我国采取了一种平衡的做法。对已公开的个人信息,他人可以利用,但是针对大规模的处理,按照《个人信息保护法》的规定,个人信息主体有权予以拒绝,这称之为大规模信息处理的拒绝权。该规定与跟此判例不同,信息主体有权拒绝大规模搜集处理,但是小规模地处理被允许,这就是在两者之间寻求一个平衡。再比如所谓的“数据画像”,GDPR是不允许的,不能抓取他人的点滴信息,来专门地对个人进行精准画像,即profiling。但是《个人信息保护法》也是进行折中处理,不禁止数据画像,但要保证结果公平公正。他人不能利用数据画像搜集个人隐私,来从事一些有损个人人格权益和其他权益的行为。所以结果要公平公正,就是在保护和利用两者之间寻求一些平衡。
在数字时代,合同法的保护应该做相应的变化,合同法相关的规则面临新的挑战。合同从传统的有形财产的典型的交易——买卖进行所有权转让,转化成一种使用权的让渡。在数字时代,交易的典型形式,不是非要实现所有权的移转,更多的是下载APP,购买电子书、电影、音乐、图片以及一些虚拟物品的一段时间内的使用权。有学者将这种现象称之为“所有权的终结”,即在数字时代不再是所有权的让渡。这种变化导致合同法从过去的一次性交易转向持续性交易,进而导致合同交易规则的参照系发生变化。传统的交易中最典型的合同形式就是买卖,所以买卖不仅排在合同编19种合同的第一位,而且合同编专门有一条规定,所有的有偿合同找不到依据,最后都要从买卖合同中找依据,这就采买卖合同是所有有偿合同可以参照的规则。但是到数字时代,买卖无法成为主要参照的典型合同的规则。交易形式既然已经由一次性买卖转化成持续性交易,许可交易,那么数字时代最典型的交易形式就成为使用许可了。所以从买卖到许可的转化,可能是交易方式的一个重大变化。传统的合同编中,针对有形财产设定的禁止“一物数卖”“一物数租”等等这些重要的规则在数字交易已经不能适用。鼓励共享共用,就不禁止“一物数卖”,数据越利用越有价值。还要看到,在数字时代,许多交易是借助于格式条款完成,比如知情同意,平台搜集个人信息是不是要一对一谈判,不用而且实践中做不到,绝大多数都是通过格式条款完成知情同意。在完成知情同意过程中,因为使用了格式条款,用户很难针对这些格式条款提出修改或者变更的意见,这样一来,如果一旦格式条款不合理不公正,对广大的消费者来说就会非常不利,就会损害许多消费者的权益。数字时代格式条款比以往任何时候都要重要,它的使用范围非常宽泛,另一面就是对格式条款的规制比以往任何时候都显得重要。所以这次合同编通则司法解释起草,建议应该加强格式条款有关规制的解释,是数字时代特殊的要求。
六、数据侵权的侵权法保护
王利明教授指出,在数字时代,侵权法如何对数字侵权提供特别保护,这也是今天面临的新的课题和挑战。进入数字时代以后,对数据财产的侵权保护,相比较传统的侵权法对有形财产的保护,应该做出一些新的变化。完全照搬传统上针对有形财产提供的侵权法保护和救济手段,可能很难完全用到对数据财产的保护。在数字时代对数据权益的保护,有几个很重要的新的特点。其一,更加注重效率性。在数字化时代,借助于网络技术的发展,损害的后果很容易迅速发酵,比如说用数字技术换脸换身,导致对他人的肖像名誉等权利侵害,一旦在网上传播开,损害后果会迅速蔓延。而事后打官司周期长,即便最后拿到了胜诉判决,损害后果已经无法挽回。最有效的保护方式不是事后,事后提供损害赔偿很重要,更重要的是遏制侵权后果迅速发酵和蔓延,这才是对受害人保护最有效的方式。因此,需要有一些针对数字时代受害人受到侵害的特殊的方法来对受害人提供保护。比如《民法典》人格权编规定的禁令,删除,更正等等这些权利的规定,以及回应权,都是在网络时代对受害人提供保护的非常有效的办法。其二就是安全性,过去民法基本上不考虑数字的安全问题,但在今天数据的安全是侵权法应当关注的重大问题。对数据安全的保护,比以往任何时候都更加重要。比如如果他人大规模搜集个人人脸信息,这是敏感个人信息。《个人信息保护法》区分了敏感个人信息和一般个人信息,其中一个重要原因是敏感信息的搜集处理必须要有特定的原因和目的,以及要有严格的保护措施。随便一个小公司大规模搜集人脸信息,而这些信息一旦被黑客攻击,造成的后果是不堪设想的。所以侵权法应该把数据的安全的保护作为一个重要内容加以考量。其三是透明性,《个人信息保护法》规定了算法的公开,算法解释权的公开以及禁止大数据杀熟等,这些新规则是在今天侵权法要考量的新的问题。其四要注重预防,数字时代借助于网络技术发展,一旦涉及到网络侵权,造成的后果无法估计。怎么样实现对受害人权益充分的保护,不仅仅需要事后救济,还应当要规定各种措施来进行事先的预防,防范损害后果的发生。禁令制度等都是来达到这个效果,尽量防止损害结果的蔓延发酵。比如两个竞争企业之间,一家企业看到另一家要上市,就雇人在网上发帖,说对方企业存在行贿受贿、环境污染或者产品质量重大缺陷等等,现在到法院打官司,打一两年拿到胜诉判决,可能产品早就下架了。那对受害人最有效的保护就是赶紧防止损害结果迅速蔓延。需要通过向法院申请,请求对网络上的言论立即采取措施进行封锁屏蔽、断开链接等措施,防止损害迅速扩大,起到损害预防的效果。回应也是如此,他人在网上发布了虚假信息,应当允许涉及到的当事人在帖子旁边注明回应的内容。一旦当事人提出回应,应该要求平台必须接受回应,不得拒绝。《民法典》第1028条 用“等”字,应该可以将回应权解释进去。一旦涉及侵权信息,应该允许受害人及时回应,这样就能够及时化解纠纷。最后注重运用各种方式,公法私法的相互配合,对数据权益进行保护。数字时代损害赔偿的功能也要发生相应的变化。大规模微型损害如何进行赔偿,这时侵权法今天遇到的新的课题。比如大量非法搜集处理倒卖个人信息,分摊到每个人身上,损害可能是微型的,但是成千上万人的个人信息就是大规模的。所以对这种大规模的微型损害应当有特别的应对。比如现在司法实践中,法院判决赔偿给专门保护个人信息的公益组织,这是将来侵权法应当考虑的一个新的途径和方式。
其次,必须要区分非法处理、泄露个人信息和一般侵权的关系。针对这种非法搜集、处理个人信息,并且导致个人信息泄露,这样一种侵权要与一般的侵权区分开,这种侵权从法律依据看,不仅仅适用侵权法,还应该适用《民法典》有关人格权编和有关《个人信息保护法》的相关规定。《个人信息保护》针对非法处理、泄露个人信息有专门的规定。比如使用过错推定,使用获利返还制度等等,这是专门针对此类侵权作出的特别规定。除此以外,一般侵权适用过错责任,针对这种非法处理泄露个人信息适用过错推定责任,这是和一般侵权重大的区别。而且针对非法处理、泄露个人信息的侵权,法律上还有一些特殊的救济措施。包括允许受害人更正、删除等等,甚至涉及平台责任,这和一般侵权是完全不一样的。
七、数据保护的价值演变:从意思自治到维护人格尊严的发展
传统民法也称为私法,以私法自治为基本理念。通过私法自治理念的贯彻,鼓励社会财富的创造,所以民法以利益法为主要内容,同时尊重当事人的自主自愿这样一种私法自治为基本理念。进入数字时代以后,虽然确权,注重保护数据财产权,但是首先要注重对人格权益的保护。应该把对人的关照和保护提到一个更高的位置。有研究发现,高科技发明都给人类带了巨大的福祉的同时,都有一个共同的副作用,就是对我们每个人的个人信息的威胁。借助于大数据的分析,不仅仅可以知道我们每个人的过去,可以了解我们的现在,甚至可以预测我们每个人的未来。所以人类在大数据面前,都成了裸奔的人,透明的人。算法作为企业的核心竞争力,给市场经济的发展和技术的创新带来巨大好处,同时也带来算法黑箱、算法伦理失范、算法歧视等等。ChatGPT现在被称为是一种伟大的技术的创新,有人说它的意义就像瓦特发明蒸汽机带来工业革命一样,ChatGPT具有非常广阔的应用场景,但是ChatGPT依然存在设计上的固有缺陷和漏洞,很容易大规模地产生一些虚假信息,一旦被传播,后果非常严重。所以进入大数据时代,对人格权益的尊重保护比以往任何时候都显得重要。之所以把人格权益放到财产权益之前来得到更加充分地尊重和保护,就是因为它和每个人有更直接的关联度,和对每个人的保护有更加密切的联系。民法面临的绝不仅仅是对数据财产权益的保护问题,绝不仅仅是对人私法自治的尊重问题。还涉及到因为数字技术,人工智能的发展所带来的对人的保护,尤其是对人的尊严的保护问题。王利明老师指出,应该回顾孟德斯鸠讲的一句名言,在民法慈母般的眼中,每个人就是整个国家。孟德斯鸠认为一个理想的民法典,应该就是一个关爱、保护每个人的民法典。这是一个民法典应有的理想的状态,也是民法典应当回归的本位。在数字时代,对数据权益的保护应该在价值理念上形成一个重大的转变。就是不仅仅要关注私法自治,还要贯彻人文关怀。民法不应当只是财产法、交易法,而首先应当是彰显人文关怀,成为尊重人、关爱人、保护人的“人法”。这才是数字时代民法应该回归的本位。
八、结语:确权立法势在必行
最后,二十大报告提出,加快建设数字中国,我们要为数字经济的发展提供全面的法治保障,数字必须要与法治同步发展,相向而行。达到这一点,必须要求数据的确权和保护,获得一种立法的表达,应该尽快推进有关数据保护和确权的立法,这样才能保障数字经济有效健康稳定的发展,早日建成数字中国。