也正因如此,数据与信息才成为数字社会(尤其是数字经济)中最为重要的资源与生产要素。无论是把数据与信息比喻成石油、土壤,还是氧气,都不为过。当下数字社会中围绕个人信息的核心争议或矛盾是,如何在个人信息保护与商业利用之间寻找到一个平衡点。这对矛盾的外在表现是数据平台上的个人信息归属不清,而其更为深层的原因则是人们还未真正理解、掌握个人信息的权利属性。而要厘清个人信息的权利属性、权利归属等问题,还要从弄清个人信息作为法律客体的属性入手。
一、个人信息作为权利客体的双重法律属性
客体是权利的外部定在,是权利设立在何种标的之上的说明。个人信息权建立在个人信息之上,其权利属性与具体内容自然受个人信息法律特性的限制。换句话说,了解个人信息的权益特性,首先需要考察作为权益客体的个人信息,其法律属性决定了个人信息权益的性质、特征与内容。
(一)个人信息的自然属性
个人信息首先是客观世界中的信息,须具备信息的一般特征。个人信息的自然属性决定了个人信息作为权利客体的法律属性及其上的权利属性。
1.信息是有意义的内容。个人信息的内容是识别特定的自然人,可识别性是判断某一信息是否为个人信息的重要标准。《中华人民共和国民法典》(以下简称《民法典》)明确规定了个人信息是可单独或者与其他信息结合识别特定自然人的各种信息。
(二)个人信息的人格属性
1.个人信息既关乎个人传统线下社会中的自然评价,更关乎个人在数字社会中的算法评价。在数字社会中,个人信息被用于各种场景的打分、分类、资源分配等活动,构成了数字人格的评价基础。跟传统的人格评价不同,数字社会对人格认知不再以面对面的交流为主,也不再主要依赖于人类经验对评价信息的选择。打分、分类结果或者评价信息的推选,是由原始信息和算法所决定,人格评价被技术过滤。个人在自然人格之外,又形成了由个人信息所勾勒的数字人格,数字人格可能与自然人格一致,也可能不符,主要取决于算法对多维个人信息的计算和使用。这些碎片化的信息拼凑出了自然人在数字社会中人格形象,构成了数字社会中的人格评价基础。
2.个人信息既关系到个人传统线下社会中的行为自由,更关系到个人在数字社会中的行为自由。个人信息处理并非数字社会中的特有现象,只不过传统线下社会中的个人信息,既不会用来对消费者做个性化分析和评价,也不会用来做定向推荐和预测。而在数字环境下,个人信息作用发生了改变,商家越来越依赖用户的网络行为轨迹和数据,进行产品、服务和媒体内容的预测分析或定向投放。他们有足够的经济动机去搜罗个人信息,用户浏览了什么、点击了什么、购买了什么都在其掌控之下,人们变得前所未有的透明,这种现象也被称作数据监视。数据监视与传统线下社会生活中的信息处理并不相同,人们在线下开展日常社交时不可避免要向他人展现其标识性信息,告知姓名、展示形象是人特定化和个性化的需要,这些展示并不会影响个人的选择和行为自由,但数字社会的信息处理则是全面的、细节的、永久的,无处不在、无时不在,当人处在数据监视下时他便会进入一种新的自我意识,从他人视角去审视自己,个人的选择自由便也易于受到数据监视的干扰。
3.数字社会中的个人信息借助算法能够计算出个人隐私。信息处理者最初采集的信息未必是个人隐私,并且依照法律要求,信息处理者也不能采集隐私信息。但在数字社会,算法的加入却增加了个人信息转化为隐私的可能性,因为在信息自动化处理过程中,多维信息结合能够清晰勾勒出个人画像。换句话说,在数字社会中,隐私无需运用传统社会中的窥探、采集等直接侵权方式,而是可通过算法对多维信息处理计算出来,如著名的塔吉特百货孕妇营销案,百货公司利用顾客的购买数据推测出该少女怀孕,并向其推荐一系列孕妇产品。隐私也是人之基本权利和自由的体现,是人格尊严的重要组成内容,由此亦可知个人信息与人格利益密切关联。
(三)个人信息天然具有财产性基因
在数字社会(尤其是数字经济)中,个人信息的商业价值凸显出来,商家可运用个人信息形成的数据产品获得巨大商业利润。无疑,技术是个人信息产出经济价值的变革性因素,但它仍是外因,个人信息所天然具有的财产性基因才是其产生商业价值的内因。在数字社会中,它能够满足商业需要且有可控性和稀缺性,具有成为法律上的财产权益客体的可能性。
二、个人信息权益的双重法律属性
作为客体的个人信息具有人格与财产双重属性,人格性是个人信息显性特征,在个人信息上无疑能够产生人格权益,但因财产性是个人信息隐性基因,基于财产基因产生的财产权益并不必然获得法律的认可和保护,隐性财产基因的财产化需要满足一定的要求,不能与个人信息人格价值相冲突,需要具有法律上的正当性与可行性。
(一)个人信息上的权益是一种具体的人格利益
(二)个人信息上的权益是具有财产性的人格利益
数字社会中的个人信息具有天然的财产基因,但因其本质上的人格性,决定了财产基因并不必然成为法律上的权益。个人信息权益是否具有财产性,要看其财产基因是否能够得到法律确认,即个人信息在法律上是否可以财产化以及法律主体是否应当享有该财产利益。
三、个人信息权益归属的双重法律属性
个人信息上的权益具有人格与财产双重属性,但不能就此得出个人信息权是人格权与财产权并存的二元权利。个人信息权的具体内涵与外延,取决于如何向个人以及数据生产者(个人信息处理者)分配个人信息上的法律权益,权益配置方案决定了个人与数据生产者对个人信息权益的具体控制方式以及双方权益行使的边界。
(一)个人信息人格权益由个人控制且专属个人
个人信息权的本质属性是人格权益,人格权的特点是利益由个人专属,且不能让渡。一般认为,关于个人信息权的权利内核大致有信息自决权与信息控制权两种学说:信息自决权说滥觞于德国的“人口普查案”,而美国多将个人信息权(信息隐私)解释为个人信息控制。但二者并非毫无关联,所谓的信息自决权在德国法的语境中包含控制个人信息的思想,而信息控制也含有信息决定的内容,它们的目标一致,都是保护人的自主独立或自治。或者说,这两个概念主要是从个人信息的人格属性出发,而较少兼顾人格权益中内含的财产权益。由于信息自决权主要是一种对抗国家的宪法上理念,难以适用于具体的民事权利,而且也易引起个人信息权是绝对支配权的误解,故本文使用个人信息控制权的概念。
1.个人信息控制是个人对其信息享有自由意志的法律表达。欧盟GDPR规定自然人在数据处理中获得保护是一项基本权利,自然人应能控制其个人数据。个人信息控制的核心是数据处理自治,即自然人同意并全面控制数据处理。正因为数据保护法的目的是保护人的基本权利,所以个人数据控制才尤为重要。意思自治是主体控制其个人信息及信息处理的重要保障。
3.个人信息控制所针对的人格权益在法律上主要体现为防御权。赋予个人对其信息的控制性权能,目的是实现对个人信息在特定场合的控制与支配,进而防止个人信息被侵害。此处的特定场合,应理解为主要针对人格利益而言。个人信息控制权是“事前”“自力”“制衡”性的防御权。①个人信息控制使个人得依自己意思管理信息处理风险,有权在事前了解风险的基础上自主决策、自主判断、评估风险,决定是否将自己置于风险之中。②承认个人信息控制,也即承认个人意志较信息处理者意志具有优先性;与追责不同,个人信息控制不需要请求他人配合,不需要经过司法确认,它是自力性风险管理,个人处于积极、主动地位。③在个人信息数据化利用中,信息处理者对他人信息有事实上的控制力,对作为风险承受者的个人而言,若其不能控制风险而由他人任意支配其个人信息,则是法律制度上的巨大不公。授予个人法律上的信息控制力,将有利于实现风险控制上的制衡。
4.个人信息控制使得个人能够参与信息处理决策。个人信息控制通常是由隐私的最坚强捍卫者所使用的、被认为是个人控制关于其信息流的权力。个人信息控制与隐私不同,隐私是保持独处的权利,而个人信息被认为是参与性的权利。其理念是将个人置于有关个人信息使用决策的中心地位,通过个人管理信息,包括个人对信息利用的选择及与信息使用者谈判而实现信息自治。
5.个人信息控制权的人格权特性决定了其不得与个人分离。人格权具有人身专属性,不得放弃和转让。在有合法基础的前提下,个人信息可由他人利用和处理,但这并不影响个人信息控制权的圆满性,也不妨害个人在信息上的人格利益。个人信息控制权不因信息的合理使用而丧失,即便有合法基础,处理者也要保障个人的同意、退出、删除、限制、更正、复制等权利。该权也不因其辗转到第三方手里而消灭,无论个人信息以何种途径转移到何人手里,个人信息控制权均有追及力,第三方处理个人信息仍要保障个人的知情权和选择权。
(二)个人信息财产权益主要由数据生产者控制,但要与个人共享
个人信息财产权益应由个人与数据生产者共享,如何在两者之间分配财产权益,则要从个人信息的客体属性以及市场规则出发,使财产价值的分配既要符合产权配置的效用目标,也要符合公平正义的要求。从行权效果看,数据生产者控制个人信息财产价值,更有利于激励个人信息类数据生产,提升数据利用效率。由此决定了,数据生产者所享有的个人信息财产控制权有其特殊的内涵。
1.数据生产者在数据采集中投入成本、创造价值,无论从劳动报偿角度还是从激励产出、提升社会福利角度出发,赋予数据生产企业对个人信息财产价值的控制权,更符合个人信息财产权配置的原则和目标,否则会造成市场失灵,如公地悲剧、抑制后期投资等。作为资源的数据是被生产出来的,组成数据资源之个人信息的财产价值也是由生产而来,因此数据生产者对于信息财产价值应享有控制权。
2.赋予数据生产者个人信息财产利益控制权,利于市场机制发挥财产分配作用的机能。企业间的数据流转,本应以市场为最优的财产流转机制,通过市场使数据资源流向最优利用者手中。最优利用由利用意愿、技术和能力共同决定,从这三方面看,数据生产者均是最优利用者,而非个人。当法律赋予数据生产者对个人信息财产利益控制权时,可以避免个人控制信息财产价值,避免非最优利用人控制个人信息市场流向。个人仅控制个人信息中的人格权益,却不及于财产权益,由此个人便不能生成干预数据市场流通的私人管制力,数据财产价值便可依市场规律自由流通。
3.赋予数据生产者对个人信息财产利益控制权,利于避免数据企业对个人信息的恶意争夺。在我国互联网企业个人信息争夺案中,已发生多起以个人的信息控制权为由不当争夺数据生产方数据的案件。若不赋予数据生产企业个人信息财产权,放任数据争夺者以个人控制信息为名恶意争夺数据,短期看会危及数据生产企业的竞争优势和竞争资源,长期看则会抑制数据生产,最终也会损害个人及整个社会利益。
6.以上对个人信息财产权益分配针对的是一般情况,即信息主体是普通的个人,而不具有特殊的地位和身份,如名人明星等。原因是,一方面,名人明星个人信息财产价值主要由自己创造,在流量经济下,名人明星的行为轨迹、生活状态甚至明星的在线动态等信息,自身便能产生巨大商业利润,这些价值是名人明星个人累积产生的,而非由个人信息处理者生产而产生的,这就决定了,同样从产权配置的报偿理论或功利主义理论出发,在个人信息财产权益分配上,名人明星信息与普通个人信息具有不同的法律逻辑,名人明星享有其个人信息财产价值控制权,可以依合同与处理者约定财产权益归属。另一方面,与普通个人相比,名人明星在市场地位与议价能力上具有较强优势,能够与处理者平等协商,在个人信息财产权益处置上,不会产生普通个人的市场失灵问题,产权配置也不同于普通的个人。因此,名人明星等特殊主体对其个人信息进行商业利用的场景具有特殊性。
(三)个人借助消极方式实现有限的个人信息财产权益
个人与数据生产者依自由意志积极共享个人信息财产权益,是理想的财产权分配模式。而残酷的生活现实却是,积极共享很难实现,请读者审视一下自身的现实情况便一目了然。只要大家使用过网络,尤其是使用过各种app服务软件时,由于网上留痕以及各种信息可能已被数据平台收集、处理,甚至已被包含在各种数据产品中被交易、流通、利用等,试问有多少网络用户得到过其个人信息中财产利益的回馈?在人们尚未设计出符合数字社会现实要求的个人信息财产权益积极共享制度前,当下以消极方式即通过责任方式保护个人对其信息的财产收益权,也就成为一种无奈的次优选择。当然,个人信息财产权益的消极实现方式也在一定程度上补充了财产权益积极实现方式的缺憾。
2.使个人信息财产权益保护可对抗任意处理者。个人信息是能够客观地识别自然人并表征个人特征的信息,这就决定了其作为财产权益客体具有特定性和可识别性。客体特定的意义在于可以明确客体及其上利益的归属,这是个人信息财产权益能够获得对世保护的条件之一。若客体不特定,则其上权益无法具体归属于某一人,因此也无法获得一般性的责任保护。不仅如此,客体(个人信息)可识别性能够使法益产生社会典型公开性。社会典型公开性使加害人能够对行为后果产生预见,避免了加害人一律承担责任的过度严苛。若权益不具这一特性,受害人所受侵害仅能视作社会风险,不能获得赔偿。个人信息的可识别性使个人所享有的信息财产权益产生了可对抗其他任意第三方使用者的消极权能。即是说,个人享有其信息财产权益是权利初次分配的结果,发生在个人与数据生产者之间,但此种利益因特定且可识别具有普遍对抗性,无论处理者是数据生产者还是第三方利用者,无合法基础处理个人信息的,均造成对个人信息财产权益的侵害,均应给个人以损害赔偿。
3.与个人信息保护上的义务规范形成链接,为开展经济补偿或经济激励计划创造条件。责任是违反义务规定的法律后果,目前我国信息处理者的义务规范多以保护个人信息人格利益为出发点,当采责任方式保护个人信息财产利益时,法律得以在个人信息人格保护义务外规定法定的财产性义务,如经济补偿义务,或为信息处理者开展经济激励计划设定义务规范,为处理者向个人提供经济报偿而换取高质的个人信息供给创设行为框架。《2018加州消费者隐私法案》(以下称CCPA),在告知—同意模式中明确规定了经济激励条款,允许信息处理者在公正、合理、自愿且非高利贷情况下给个人以经济激励,这是改变告知—同意强制准入模式的有益尝试。“奥巴马政府在2011年就推出了‘绿色按钮’计划,要求必须使得顾客能够以一种可下载的、标准的容易被使用的电子形式查询自己的能源使用信息。”经济补偿或经济激励既利于避免财产规则下个人信息以市场方式由个人流转到信息处理者手中所面临的种种困境,又利于克服因单条个人信息价值有限而使个人较难享受其信息红利的弊端。
5.与个人信息财产权益分配上普通个人与特殊主体区分相对应,以责任方式实现个人信息财产权益的规则仅适用于普通个人,而在名人明星等特殊主体对其个人信息进行商业利用的场景,因特殊主体享有其个人信息财产权益控制权,则多依合同规则实现财产利益。
个人信息权益具有双重法律属性,其中的财产权益可不完全归同一主体所有,一部分属于个人,另一部分属于数据生产者。个人专有个人信息上承载的人格利益,并与数据生产者共享个人信息财产收益权,个人所享有的双重权益统称为个人信息权。其中,人格权益属性是显性的人身属性,财产权益属性是内含于人格权益中的隐性利益。人格权益由个人专属、独享,旨在防范侵害,个人享有财产权益并非为支配或控制其中的财产价值,而是享受信息红利,因此个人享有个人信息中人格权益的控制权,而不享有财产权益控制权。质言之,个人信息权的本质是内含财产权益的人格权。而个人信息上的财产权益主要由数据生产者来控制,这部分权利称之为数据财产权,以区别于个人信息权。权利双重性并非法律上的新事物,但个人信息权却与以往所谓的财产性人格权不同,因为个人信息双重权益(具体说是其中内含的财产权益)并不完全归同一主体所有,这也决定了个人信息权难以简单套用财产性人格权的既有法律规则。
四、个人信息权益归属双重性在个人与信息处理者之间的协调
(一)个人信息处理的合法(正当)基础
处理个人信息要有合法(正当)基础,这几乎是各国个人信息保护法的通例。个人信息权本质上是人格权,在无正当理由的情形下,处理他人信息本应构成对个人信息权益侵害,合法(正当)基础的意义在于为信息处理提供了豁免,使后续的信息处理包括数据生产等具有了正当性。个人信息犹如数字社会中的氧气,数据生产者享有数据财产权益的前提是不能污染氧气,正当性基础是数据财产权益获得合法性的前提。
(二)信息处理者的个人信息保护义务
五、个人信息权益归属双重性在法律救济中的体现
权益性质决定权利救济方式。个人信息权是内含财产权益的人格权,这一特性决定了其救济方式亦有特殊性。具体表现在:个人所享有的信息人格权益及消极信息财产权益可以采用人格权一体救济模式获得侵权法保护;而数据生产者的积极信息财产权益,即对个人信息财产价值的控制权可采用违约、反不正当竞争、侵权等多元救济模式。
(一)个人的个人信息人格利益与财产利益可依人格权获得一体救济
个人信息的人格利益与财产利益一体救济是财产性人格权的保护模式之一。财产性人格权现有两种保护模式:一种是以美国为代表的隐私权与公开权二元并行保护模式,另一种是以德国为代表的人格权包含财产利益的一元保护模式。二者区别在于,前一模式下,标表性人格价值所彰显的财产利益是独立权利,可以与人格权分离,可以公开权的形式许可他人使用,具有可转让性;后者财产价值不具有独立性,权利人仅享有人格权,财产利益通过人身权益财产损害赔偿的方式实现。个人信息人格利益与消极财产利益统一包含在个人信息人格权中,由人格权侵权实现一体救济的方式,在一定意义上也是对德国财产性人格权一元保护模式的借鉴。
(二)数据生产者的积极信息财产控制权可依违约、反不正当竞争与侵权责任寻求多元救济
基于数据生产者的个人信息财产控制权并非绝对排他的独占性支配权,法律保护的是数据生产者对个人信息财产权益的控制,对其救济不能比照物权等绝对权,目前我国司法实践主要有违约以及反不正当竞争等救济方式。
3.不排除将来以侵权责任救济数据生产者个人信息财产控制权的情形,若数据生产者的个人信息集合可以比照“数据库”给予有限的知识产权保护,那么数据生产者便可依侵权责任获得对个人信息财产权益的救济。
结语
个人信息作为权利客体兼具人格与财产双重价值,由此决定了个人信息上的权益同样具有双重性。个人信息中的人格价值旨在维护人的自由和尊严,主要体现为具体人格利益与精神利益,为人格权,由个人专享,不得放弃和转让;其中的财产价值旨在实现个人信息作为数字社会最重要资源与生产要素的目的,由个人与数据生产者共享,或者主要由数据生产者支配以契合数字社会的本性要求,充分发挥个人信息的财产价值,实现个人、企业以及社会整体的利益最大化。信息人格权主要表征为个人享有的个人信息控制权,是为纠偏信息利用决策力向处理者转移而赋予个人的参与性决定权,目的是保护个人免因信息处理遭受权益侵害;信息上的财产权主要体现为数据生产者对个人信息财产利益的控制权(数据财产权),意在激励数据价值生产及合理调配数据资源流动。
个人对其信息财产权益在当下可暂由责任规则保护,并与人格利益一起内含于个人信息人格权,形成一元救济模式。个人信息权益(人格与财产)归属的双重性,主要是个人信息财产利益归属不同主体的制度设计,则需要更为精细地协调个人信息人格保护与财产利用,尤其是其中财产利益的分配关系。人格利益优位于财产利益的特性及人格利益所内含尊严与自由之永恒保护的特性,为协调个人信息人格保护与财产利用的矛盾关系提供了可行方案,即个人信息处理要以保护个人信息为正当性和合法性条件,且无论个人信息通过何种方式流转到何人手中,均不排除个人信息人格利益的优先保护。个人信息双重法律属性之界定,化解了个人信息保护与数据市场化利用的矛盾,捋顺了个人信息权利属性、归属、利用、保护等法律关系与内在逻辑,从而为驱动数字经济的健康发展提供了丰厚的学理基础与制度保障。