杨眉 中国人民大学法学院硕士研究生。
具有人格权益性质的个人信息在和互联网平台相结合之后,其财产权益的部分和企业对于数据集合的整体权益相关联,对两权益的定性对权益受侵害时可以选择的请求权基础具有较大影响。个人信息权益应当根据其是否和互联网经营者利益相关联分别选择民法典或者个人信息保护法的保护。在法律对企业数据权益的权益属性明确之后,企业可选择适用反不正当竞争法保护数据权益,同时我们应当注意到个人信息保护法也有保护企业数据权益的优先性和合理性,两法的规定之间不能存在冲突,应当协调一致。
关键词:企业数据权益 个人信息权益 个人信息保护法 三重授权
随着互联网行业的迅速发展,有关数据方面的法律问题也接踵而至。从反不正当竞争角度保护消费者和经营者,到今日个人信息被写入民法典人格权编,再到个人信息保护法紧锣密鼓的拟定中,有关企业数据权益和个人信息权益的保护方式和界限一直处在变动发展之中。互联网的发展决定法律应有不同的规制重点、规制方式。个人信息权益在互联网领域有着区别传统民法对个人信息以及隐私的保护方式,司法实践对于企业数据权益的保护适用了反不正当竞争法的一般条款进行保护,对于个人与企业交织的数据信息,没有系统和明确的法律规制。如何对于二者进行定性,如何让二者的保护实践协调成为科技时代法律面临的新难题。
一、企业数据权益和个人信息权益的概念辨析
数据信息是随着互联网的发展而产生的新的资源类型,是企业的竞争力、生产力和经济发展的重要动力,数据可以激发企业进行更多的商业模式创新,不断的催生出互联网企业的新业态,围绕着获取数据信息资源的竞争也纷至沓来。根据ISO的定义,数据是信息的一种形式化方式的体现,展示其信息的含义;信息则是在特定语境下拥有特定含义的客体——知识。故信息是拥有内容含义的知识,而数据是信息的体现形式。我国民法典第127条规定认为,法律对数据的保护有规定的,则依照其规定。数据的权利属性多有争议,本文对于数据本身是否为何种权利属性不做探讨。因纯数据和纯信息与企业和个人主体结合之后,是否可以作为法律上所保护的利益以及权益的归属会直接影响到现下的保护路径,故本文所讨论的企业数据和个人信息是根据一般数据信息的产生方式,即用户使用互联网平台的过程中,通过注册和发布信息等行为产生的一系列个人数据,后经过企业的收集、加工等形成企业数据。
民法典虽然没有规定个人信息权,但明确了自然人对其个人信息享有的是人格权益,而非财产权益。我国民法典第111条明确了自然人的个人信息受法律保护。第1034条第2款对于个人信息范围进行了界定。个人信息保护法(草案)第4条采用了定义式的规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。虽然个人信息在外国法中也常被称为个人数据,但究其实质其实只是称谓的变化,如欧盟在GDPR对于个人数据进行定义,其含义和我国对个人信息的定义基本相同。
企业对于数据的利益,经由法律上的肯定使其具有法律上之力,针对的是数据的财产性角度。对于数据的获取、存储、梳理、展示等环节都需要企业资金投入,积累数据的原始过程也十分漫长,收集后的数据成为支撑企业发展、保持企业竞争优势的资源和条件。这是来源于个人信息但可以脱离个人而存在的权益,成为一种与个人信息相区别的企业数据,对此数据财产性权利的主体只能是对数据收集、加工的企业。这一观点也被司法实践所认可,在“淘宝诉美景案”中,一审法院在裁判中即认为,个人对于“单个用户信息尚无独立的财产权或财产性权益可言”,他人获取企业数据就可能会被认定为属于不正当竞争行为。
企业数据与个人信息的界分旨在确认企业数据之上的财产利益与个人信息的人格利益,但是并不意味着财产利益是绝对属于企业的,也不意味着个人和企业之间进行了权益归属的转移,成为与原始主体脱离的商业资源。个人和企业共同拥有有关个人信息的数据权益,海量的用户数据的财产价值集中于单一企业之上,而此时用户数据的人格利益则分属于用户个人,个人信息权益完全归属于用户个人所有无助于数据的开发和利用,因而在司法实践中趋向于忽略不计个人的财产权益。
二、司法实践对两者的保护和规则的确立
在上文对企业数据和个人信息分析的基础上,和两者相关的信息区分为个人注册型信息数据和个人发布内容型信息数据。个人注册型信息包括使用网络产品时注册的姓名、头像、性别、年龄、学历、定位、消费记录等,个人发布内容型信息数据包括朋友圈微博等分享信息,大众点评等评价信息等。实践中已经发生过企业收集和加工个人信息数据之后对数据主张财产性权益诸多案例,也创生了“三重授权原则”,在知情同意行为的基础上,将企业的使用范围和使用方式等问题进行了进一步框定,如表1所示。
互联网中,采集和利用用户个人信息时,必须以取得用户的同意为前提,这也是企业应当遵守的一般商业道德。数据只有充分地流动、共享、交易,才能最大程度地发挥价值的特性。但数据在流动、易手的同时,为防止个人信息主体和数据提供方对个人信息扩散范围以及用途的不可控制的情况出现,在涉及个人信息流动、易手等再进行利用时应给予个人信息主体用户和数据提供方保护及控制信息数据的权利。同时,尊重个人对个人信息处分的决定权和对新技术的选择权,是在个人信息保护和企业对于数据利用的博弈中进行平衡的重要因素。
现以新浪诉脉脉案,支付宝默认授权个人信息事件,大众点评诉百度案为代表进行论述。
(一)个人注册型信息数据保护实践案例
罗培新:疫病境外输入压力日增,外国人可到中国免费医疗?国民待遇,绝不应等于“国民的”待遇
罗培新:“作业帮、题拍拍”等摧毁的,或许是我们最应珍视的价值
罗培新:医护人员“集体放弃”抗疫补助?法理事理情理,理理皆输
刘炼箴:民法典“数据与网络虚拟财产”条款研究
范哲:我国个人网络活动踪迹信息保护模式的困境与出路
来倩如:法益视角下侵犯公民个人信息罪的入罪边界研究
刘春松:信息控制权利研究
余圣琪:人脸识别技术的风险与法律规制
来源:《上海法学研究》集刊2020年第15卷(数字经济法治文集)。转引转载请注明出处。