内容
(一)釜底抽薪规则:将个人数据排除在数据权利之外
将数据权利限定于经过脱敏手段无法识别具体个人的权利,就能够剥离其人格属性,转化为一种纯粹财产权利,实现“分而治之”。但首先划分标准的模糊导致无法对个人数据进行有效的界分,且会随着世界的数字化转型而加剧;更重要的是个人数据对数据要素产生利润和发挥其特有功能具有不可替代的重要意义。因此,这一进路窒碍难行。
(二)以人为本规则:个人权益绝对优先
个人权益绝对优先规则着眼于个人数据上的利益冲突,可以从两条不同进路分别展开。一者源于权利内部逻辑,主张个人对个人数据首先享有人格权益,进而衍生出财产权益,再派生出其他主体财产利益,形成层层堆叠、前位优先的权利结构,并可借助民法固有的权能分割思想实现体系自洽。另一者从外部限制出发,将个人权益的优先视作私法层面对数据财产权的外在限制,与公法层面个人信息保护的义务形成相反相成的关系。
前述两种进路殊途同归,均忽略了位阶秩序的柔性和可变性,从而走向了封闭和僵化。换言之,其中涉及的复杂社会关系与价值判断,应结合个案场景妥当地进行衡量。
(三)场景依存原则:寻找最大权利
个人数据的多重属性和权利边界的不确定性,使人们放弃了“统一规则”建构,转而立足于“场景脉络完整性”去探求不同场景下的信息保护规则与权利分配模式,调和各项价值之间的矛盾,通过自下而上的个案来推动数据保护规则的制定与演进。
但场景理论的问题在于偏向描述性和碎片化,因而在解决数据权利堆叠问题时,难以作出何者权利更应尊重的法律论证,为此有学者采用一种“开放的权利束”学说来把握数据之上的权利样态。但仍待解决的核心问题是:如何将前述抽象原则转化为具体规则?后文将对此展开分析。
通过引入阿历克西的“权衡法则”,即在某一特定条件下,不能实现或侵害一种权益的程度越大,则实现另一种权益的重要性必须越高,可以对个人信息权益与数据权益进行有效的权衡。具体而言,个人信息权益可以类型化为开启数据权益的“知情决定权”(Pj1)、与数据权益并行的“查阅权、复制权、转移权、更正补充权”(Pj2)、终止数据权益的“删除权”(Pj3)以及其他人格权益(Pj4)和财产权益(Pj5);数据权益则包括“数据持有权”(Pi1)、“数据加工使用权”(Pi2)、“数据经营权”(Pi3)及其给不特定第三方带来的“数据再利用权益”(Pi4)。结合场景理论,可在以下三种类型化场景中分别带入权重方程进行具体权衡。
场景一为数据控制者自行加工使用数据,此时个人信息权益一般比数据权益更应受到保护。特殊情况是:当数据控制者超出个人同意范围,加工使用不负载个人敏感信息的个人数据时,若前述Pj2和Pj3得到充分保障,则个人信息权益和数据权益何者更应保护存在结构性权衡游动空间。
场景二为数据控制者许可他人加工使用数据,个人信息权益一般更应受到保护,但存在两种特殊情况:一是当个人数据不含敏感个人信息,前述Pj2和Pj3得到充分保障,且超出个人同意范围或在个人同意目的兼容范围内许可他人加工使用数据时,数据权益比个人信息权益更应受到保护;二是当个人数据含有涉及财产权益的敏感个人信息,前述Pj2和Pj3得到充分保障,且在个人同意目的兼容范围内许可他人加工使用数据时,何者更应保护存在立法裁量空间。
场景三为数据控制者在未取得个人同意情形下行使数据经营权,存在两种情况:一是当个人数据不含敏感个人信息,且前述Pj2和Pj3得到充分保障,则个人信息权益和数据权益存在结构性权衡游动空间;二是个人数据不含敏感个人信息,且无法充分保障前述Pj2和Pj3,或者个人数据含有敏感个人信息,此时个人信息权益更应受保护。
综上所述,可以得出以下权利堆叠规则:直接关乎人格的敏感个人信息权益居于最优先保护的地位;个人查阅权、复制权、更正补充权、转移权、删除权等具体个人信息权益优先于抽象个人信息权益和数据权益;在保障上述两种优先权益的前提下,数据经营权和许可他人加工使用数据权是否优先于个人的知情决定权,尚无定论。
(一)个人数据的个别设计规则
依模块化理论中“个别设计规则”和“整体设计规则”的两分法,个人数据的个别设计规则包含个人信息权利模块规则和数据权利模块规则。个人信息(数据)生命周期存在五个不同阶段,其规则具体呈现如下:在收集阶段,不存在数据权利,仅存在个人信息权利中的知情决定权;在存储阶段,存在个人信息权利中的查阅权、复制权、更正补充权、转移权,以及数据权利中的持有权;在使用加工阶段,存在个人信息权利中的知情决定权,以及数据权利中的加工使用权;在传输、提供、公开阶段,存在个人信息权利中的知情决定权,以及数据权利中的经营权;在删除阶段,存在个人信息权利中的删除权,以及数据权利中的持有权。
(二)个人数据的整体设计规则
个人数据的整体设计规则是个人信息权利模块和数据权利模块之间的接口规则,分为三个层次:一是初级规则,即个人信息权利模块和数据权利模块彼此区分,包括独立判断个人信息权行为和数据权行为成立和生效的分离规则,以及行使数据权行为的法律效果不受个人信息权行为行使影响的无因性规则;二是次级规则,即个人信息模块和数据权利模块有条件联动;三是特别规则,即个人信息权利模块和数据权利模块暂时脱嵌。
(三)个人数据模块化规则的具体运用
在个人信息收集阶段,数据控制者不享有任何权利,个人数据收集应当以尊重个人信息处理的知情决定权为前提;在个人数据的存储阶段,数据控制者对依法收集并管领的数据享有数据持有权,个人享有个人信息的查阅权、复制权、更正补充权、转移权;在个人数据的加工使用阶段,个人享有对个人处理活动的知情决定权,数据控制者则享有数据自行及许可他人加工使用权;在个人数据的传输、提供和公开阶段,个人享有对个人处理活动的知情决定权,数据控制者则享有数据经营权,此时权利冲突体现于“个人-前手数据控制者-后手数据控制者”的三方关系;在个人数据的删除阶段,个人享有请求个人信息处理者销毁、去除相关信息,使之不可被检索、访问,或者无法回溯、关联到该主体的权利,数据控制者则针锋相对地享有数据持有权,二者看似水火不容但实际边界明晰,能够合理共存。
个人数据权利堆叠问题无法诉诸一元论权利优位立场,亦难以诉诸个案式的场景规则,只有通过精细化的权益权衡和可操作的模块互动,才能得到些微的规范智慧。放眼未来,如何在《数据二十条》基础上进一步发现个人数据本性,驯服这只“数据法学上的精灵”,依然任重而道远。
(本文文字编辑戴逊。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章,一律不得转载。)
