(一)数字社会是讨论个人信息的前提
因此,个人信息首先应置于数字社会之中讨论。有学者在探索数字时代的法学变革时,将数字社会与农业社会、工商业社会相对照。从人类社会生产力发展历程来看,因生产力的发展带来了社会形态的巨大变革,按生产力特征划分社会形态并无不妥。但对数字法学来讲,重要的不是社会形态的历时性变化,而是作为与物理空间并存的数字空间,生活于其中的人们在法律关系上发生了怎样的改变。具体而言,一个人生活在农业社会,便不能同时生活在工业社会或其他社会,个人并不存在“分身之术”。与之不同,数字社会中的自然人通过互联网可同时活动于物理与云端双重空间,可同时生活在线下社会与线上数字社会两种社会形态中。从数字法学的形成来看,数字社会形态并不处于生产力发展维度,它不是与农业社会、工商业社会相比照,而是与传统线下社会相对照。数字法学是为了顺应数字技术给社会关系带来的改变而产生的,其主要聚焦于主体在数字空间形成的法律关系。
(二)个人信息的算法识别性
(三)数字伦理对算法的规制
数字伦理不仅是对数字法学的道德要求,而且是对数字社会中所有活动的消极约束。数字社会治理面临的最大问题是数据利用与个人信息保护之间的矛盾,主要表现为不同主体对数据中财产性利益的争夺。传统线下社会中的“人性恶”在数字社会中仍然存在,数字社会中的恶在最终意义上都是自然人所为,人性在数字社会中并没有变得更好。小到个人信息泄露,大至国家安全问题,数字伦理规则都具有重要意义。算法应用过程中产生的“算法霸权”“算法黑箱”“算法歧视”“算法错误”等负面社会效应,逐步瓦解了数字社会的信任基础,在本质上这都是由算法设计者的“恶”所造成的,也使得人们的算法焦虑日益加剧。“大数据杀熟”现实案例已经出现。在“携程杀熟案”中,原告胡某在被告所运营的携程App平台上使用钻石会员8.5折的优惠预订某酒店,入住时发现其支付的价格比实体店价格高出一倍多;在“被困在算法里的外卖小哥”事件中,网络平台借由算法赋能对外卖骑手掌握绝对控制权,造成劳动关系失衡。以上现象均反映了个人信息保护与企业数据利用之间的平衡难题:数据企业无偿利用个人信息,其逐利目标不但压缩了服务管理质量,甚至会侵害信息主体的利益。
数字社会中的伦理问题,在终极意义上还是自然人的伦理问题,是自然人的恶产生了数字社会中的恶。如果“驱恶扬善”是线下社会所有制度的目标,数字社会亦应如此。首先,应要求在数字社会中活动的人也要遵守法律与伦理规则,“网络空间是虚拟的,但运用网络空间的主体是现实的,大家都应该遵守法律,明确各方权利义务”。其次,即便是良法,也需要善治,何况有时法律并不完善,数字法学亦是如此。正如有学者指出的,“智治是给人赋能的力量,法治是引人向善的力量”。为此,“要依法加强网络社会管理,加强网络新技术新应用的管理,确保互联网可管可控”,其终极目标是“使我们的网络空间清朗起来”。党的二十大报告明确强调:“健全网络综合治理体系,推动形成良好网络生态。”可见,算法并非绝对中立,其中包含的规则设计以及伦理偏好自始便体现着算法设计者的伦理取向,算法技术的应用同样包含着使用者的价值取向。算法会造福人类,但同时蕴含着法律、伦理等各种风险,算法的伦理与法律规制对营造数字社会的良好生态具有深远意义。
二、基本范畴的复合性
作为数字法学基本范畴的数据和个人信息,在识别到个人的意义上,两个概念并无本质上的区别,只是用语习惯问题,比如欧盟法律习惯用个人数据,美国法律习惯用个人信息。而在可识别到个人(即个人数据或个人信息)之外的意义上,数据的外延往往更广,不仅包括可识别到个人的数据,还包括政府数据、企业数据等。在法律属性上,不包含个人信息的数据在本质上是纯粹的财产,可通过《民法典》第127条规定的虚拟财产等予以规制,在理论与实践中皆不存在多大问题。问题的难点是包含个人信息的数据,其上承载的多重利益导致数字经济发展面临数据利用与个人信息保护之间的矛盾。算法技术的介入,导致个人信息在客体属性、权益属性、权利归属、权益分配等方面均与传统人格权利不同,具有鲜明的复合性。一方面,数据是构建数字社会法律关系的客体基础,由此也奠定了个人信息在数字法学中的基石地位;另一方面,个人信息具有复合性,决定了数字法学具有不同于传统法学的特殊规律,不能简单归于传统法学的某一学科领域。在数字法学体系构建中,个人信息的基石作用与区分功能使其成为数字法学的基本范畴。因此,就数字法学基本范畴而言,本文重点讨论个人信息而非数据。
(一)个人信息作为法律客体的复合属性
个人信息的法律属性决定了其上所附着的权益属性及权益归属,从而也成为解决数据利用与个人信息保护问题的理论前提。个人信息作为法律客体主要有两个重要属性。
需要强调的是,发生在数字社会或赛博空间的侵权行为未必均受个人信息保护法规制,典型的如我国人肉搜索第一案“王菲案”。虽然该案被告将原告的“婚外情行为”以及姓名、工作单位、住址等信息发布在互联网上,但被告仅是借助网络散播个人信息,并未对个人信息作算法处理,故通过隐私权、名誉权等传统人格权规则足以解决。该案中个人信息的法律功能仅体现在身份识别方面,即作为隐私或名誉的权益载体,通过身份识别与被害人发生关联。由此亦可知,识别性并非数字社会个人信息范畴的独有特征,姓名、肖像、声音等传统人格要素均有识别性,但传统线下社会的人格要素是自然识别,而数字社会中个人信息的独有特征在于其以“电子”为载体(《民法典》第1034条第2款、《个人信息保护法》第4条第1款),经“算法”等数据分析技术处理形成。“算法识别性”才是契合个人信息之应然释义与本质属性的定性。以此为标准,个人信息保护法的客体范围并不包括所有个人信息,而仅指以自动化方式处理的具有算法识别性的个人信息。
(二)个人信息之上权益的复合属性
个人信息的财产基因是隐性的,人格性是其本质属性,因此个人信息是人格权。但是,个人信息的经济利用是客观的。因人格权与财产权不可通约,法律必须回答,个人所享有的个人信息人格权,如何能够外化为数据企业对个人信息所享有的数据财产权益。
第一,若个人信息具有人格属性,就不能归属于他人,因为人格只能属于人格主体,不能让渡,否则人就有可能被降格为交易的客体或工具,这也是《民法典》第992条规定“人格权不得放弃、转让或者继承”的基本法理。这一法理给数字经济发展提出难题,因为数字经济的客观要求是数据企业需利用大量数据(含个人信息)。尽管在抽象观念上信息处理者使用的是隐含在个人信息中的财产价值,但在客观事实层面,人格利益与财产价值均附着于个人信息之上而不可分离。为回应这个难题,法律必须从规范角度寻求突破,证成将个人信息之隐含财产基因外化的路径,寻找从规范上使个人信息人格属性与财产价值分离的理论依据。
(三)个人信息权利归属的复合性
三、法律关系的多元性
在数字社会或赛博空间中,法律关系比传统线下社会更为多元。原因在于,只要人从线下社会进入数字社会活动,就必然会利用数字平台,从而自然增加一层在线下社会不存在的法律关系,毕竟赛博空间本身就是由他人搭建的,平台也因此成为数字法学中不可或缺的一类主体。
(一)主体多样
(二)主体之间行为、利益关系相互依存
(三)法律关系多元且复杂
如“个人信息权”概念便包含宪法、民法、行政法等多重法律属性。它首先应是宪法层面的基本权利,其次才是民法等部门法中的个人信息权益。尽管我国《宪法》并未明确规定隐私和个人信息,但毫无疑问的是,《宪法》中蕴含着对隐私和个人信息保护的立法追求:如第33条要求“国家尊重和保障人权”,第37条明确“公民的人身自由不受侵犯”,第38条指明“公民的人格尊严不受侵犯”,第39条和第40条分别保护“住宅不受侵犯”和“通信自由和通信秘密”。《民法典》规定的隐私权和个人信息权尽管在法律属性上属于民事人格权益,但是其效力渊源仍来自《宪法》规定的个人自由与尊严。甚至可以说,正是《宪法》中的个人自由与尊严确定了个人信息民法保护的价值秩序。
个人信息之上法律关系的多元反映了其上负载利益关系的多元。在个人人格利益及财产利益、企业财产利益之外,还体现着社会公共利益。法律关系(权利义务内容)的多元性,决定了信息处理者在利用个人信息的同时,要接受多层次的义务规制。首先,处理个人信息应受到全面的伦理规则限制,这是数字社会与传统线下社会的共同要求,只不过在数字社会中,对算法的伦理性要求更为紧迫与严格。其次,从处理个人信息的合法性角度来看,即便信息处理者获得了个人同意或具有法定正当事由,也不能免除其所负有的不得侵害个人人格利益及主体资格的义务。最后,从具体的信息处理关系看,个人信息财产价值生发于个人信息,个人信息的底色是人格利益,财产价值的生产和利用要受个人信息人格权益约束。个人信息的人格权益保护是数据处理的必要条件和底线。一旦信息处理者侵害了个人信息中的人格权益,便负有及时通知的法律义务,并应采取相应的救济措施,避免人格权益损害的进一步扩大;若构成个人信息侵权,信息处理者还须承担损害赔偿责任,以弥补信息主体所遭受的损害。如果信息处理者违反行政法、刑法等公法义务而侵害信息主体的财产及人身利益,其也不可避免地要承担公法责任。
四、法律救济的协同性
数字领域的救济制度也有其自身特色,呈现出立体化、协同发展趋势。救济模式从以自然人的智识为主向全流程智能辅助演变;救济路径从单一部门法救济走向部门法之间联动协作的综合救济体系。这一方面是由数字法学基本范畴的复合性以及法律关系的多元性所决定,另一方面也是由数字空间中数据的可计算性所决定。
(一)智能的法律救济模式
数据的可计算性决定了数字领域的救济制度在理论上也应是智能(可计算)的救济模式,即在数字社会中发生的法律权益纠纷应通过智能或可计算的方法解决,如此可推动司法从“接近正义”向“可视正义”的转型
但是,运用智能或可计算的方式收集证据需要一个前提性的案件要求,即所有的法律活动须发生在数字空间,而非线下社会。毕竟数字社会中的案件裁判也要以事实为基础,只不过数字社会中的事实是通过算法,甚至运用区块链技术“算出”的事实,具有客观性与不可更改性,即确定性,这是运用智能技术裁判案件的前提性基础。若案件事实并非完全发生在数字空间,如网上留存的文字、语音等信息并不全面,尤其是当缺少留存该信息的背景或场景资料时,事实的确定便仍需依照传统证据法与证据规则并辅以论证手段获得,而非依照算法计算获得,那么该事实依然是法律事实而非客观事实,因为其中包含了裁判者的价值判断而具有不确定性,致使其无法采用智能的裁判方式。换言之,唯有法律活动完全发生在数字社会的案件方适合智能裁判,发生在线下或者采用线下证据的案件,则难以运用智能的裁判手段或方法。
(二)多元的法律救济路径
个人信息保护中的多元法律关系,既涉及信息主体与信息处理者之间的个人信息保护,又涉及不同信息处理者之间的数据财产利用。从横向层面看,从收集到利用的各个处理环节都可能出现个人信息权益被侵害的风险,这决定了对个人信息的保护需要贯穿其全生命周期,即形成事前防范、事中监管、事后救济的保护机制。从纵向层面看,从底层的个人信息泄露,到中间层的网络平台不正当竞争,再到终端的数据产品应用风险,呈现的是个人信息在不同领域的多元利益形态,也是数字技术在各个领域催生的法律问题。这要求不同部门法之间联动协作,共建综合多元的救济体系。
(三)特殊的具体救济制度
首先,在归责原则方面,传统人格权侵权适用一般过错原则,而个人信息侵权则适用过错推定原则。这是因为,一方面,发生在数字社会中的侵权行为如果适用过错责任,基于谁主张谁举证的要求,由信息主体证明数据企业存在主观过错难度较大,毕竟数字空间中信息利用结构复杂且涉及专业技术,数据企业在技术(尤其是算法)、财力等方面都远优于单个的信息主体,过错责任使信息主体的利益难以得到保护;另一方面,数据企业距证据较近,且专业较强,采用过错推定有利于强化信息处理者的举证义务。正是基于此种考量,《个人信息保护法》第69条规定了过错推定原则,将举证责任转移给数据企业,由数据企业来证明自己的行为无过错。应该说,采此归责原则有其合理性且符合社会实际。
其次,在个人信息侵权的责任构成方面,无论是加害人的侵权行为、主观过错,还是因果关系等方面的证成,都含有明显的技术性特征,这跟线下社会侵权责任构成要件的认定存在明显不同。以损害的认定为例,传统人格权强调人格利益及精神利益损害,较少强调财产利益损害,即便是财产利益损害,也往往通过精神损害的物质赔偿来实现。受害人获得赔偿有严格条件限制,依据《民法典》第1183条,人身权益精神损害的物质赔偿要以“严重”为要件,且赔偿目的是填补受害人的精神痛苦,而非实现其财产价值追求。但对数字社会中的个人信息侵权来说,除跟传统线下人格权一样强调保护人格利益外,更应强调财产利益的保护,因为加害人的侵权通常以获得财产利益为目的,这与线下社会以侵犯人格利益为目的的人格权侵权有明显不同。但问题是,即便数字社会中的个人信息侵权以获取财产利益为目的,基于个人信息中财产利益与人格利益在物理上的不可分割性,侵害个人信息财产权益的同时往往伴随着人格利益的侵害,且影响范围比线下社会更广,此时对信息主体造成的人格利益(包括精神利益)的损害更为严重,这就使得侵害个人信息与侵害传统人格权的填补损害规则也应有所不同。
最后,在责任承担方面,停止侵害、恢复名誉、赔礼道歉是传统人格权侵害主要的责任承担方式,精神损害的物质赔偿往往是例外,且必须以造成“严重精神损害”为要件,赔偿数额一般也不大,多是象征性的。数字社会中的个人信息侵权则与此不同,受害人除可主张与传统人格权侵权救济相同的停止侵害、恢复名誉、赔礼道歉外,还有特殊的责任承担方式,如删除权的行使。其中,最为不同的体现在损害赔偿方面。尽管《民法典》《个人信息保护法》等法律对侵害个人信息的损害赔偿没有特殊规定,但是从司法实践及社会现实来看,其法律适用存在一对内在矛盾。
从加害人(多是数据企业)侵害个人信息的现实表现看,追求财产利益往往是其主要目的,这和传统线下社会的人格权侵权以侵害人格利益为目的有所不同。仅从此点考量,多数情况下更应侧重个人信息中的财产损害赔偿,只是在对信息主体人格利益(尤其是隐私)造成重大侵害时,才考虑人格利益的精神损害赔偿。而司法实践面临的难题是,如果法院直接采取财产损害赔偿的方式,那无疑是给受害人的信息进行定价,这在实践中几乎是不可能的。因为每个人的信息价值可能不同,即便是同一个人的同一条信息,在不同数据产品中的价值也不相同。如果考虑到不同的人在不同的数据产品中,其个人信息在使用内容、范围等方面也完全不同,就更不可能给个人信息定价了。应该说,除了当事人之间通过契约安排,任何通过外在于信息主体意志给个人信息定价的方式都难以契合数字社会应然的法律思维逻辑。正因如此,对信息主体的物质损害赔偿通常通过对人格利益的精神损害赔偿方式实现,甚至放弃侵权路径而转由反不正当竞争等法律路径予以救济。
五、学科归属的综合性
(一)数字法学学科属性的定位基础——个人信息相对于数据和算法的核心地位
(二)数字法学的学科属性
就我国数字法律制度而言,其调整对象涉及数据、网络安全、电子商务、人工智能等多方面;其调整的法律关系,既包括国内数据的保护与利用,也包括国际数据的跨境传输,且涉及个人、数据企业、国家乃至国际组织等多元法律主体;其涉及的法律规范,几乎涵盖了传统线下社会的民商法、知识产权法、行政法、反不正当竞争法、反垄断法、消费者权益保护法、刑法、国际法等所有法部门。因此,作为研究数字法律知识和规律的数字法学,不能再用传统线下部门法思维确立其学科归属,而应综合考虑其学科性质。数字法学既不完全属于传统公法,也不完全属于传统私法;既非单纯的国内法,亦非单纯的国际法。数字法学是纵(公法、私法)横(国内法、国际法)兼具、横跨多个法部门的综合性、交叉性、融合性法学学科。数字法学既有各传统部门法的因子,又有其数字化特色,唯有贯彻其自身的学科特点与思维逻辑,方能契合数字社会的本质性要求。这一界定亦契合党的二十大报告中加强“新兴学科、交叉学科建设”的要求。