在法制日报社最气派的演播室里,全国20余家新闻媒体的编辑和记者共同聆听了来自学界、司法界和有关政府研究部门讲师的精彩培训内容。
北京大学法学院副院长薛军教授分享了《数据利用与合规的平衡之道》。
“个人信息”、“隐私”、“数据”的概念在立法上被区分开来。在技术进步中伴生的技术负面因素要以宽容、发展、长远的态度对待,不能一味抹杀。
我的发言首先是一点评论。最近一段时间,以网信办为主要牵头单位的部门把个人信息保护领域的一些内涵相对宽泛的原则,例如个人信息收集上必须遵循合理、必要、最低限度、避免过度收集等原则,试图通过具体的、可操作性的标准,来明确化。这种尝试从政策落地,增加实操性的角度来讲是有意义的探索,值得鼓励。但也需要注意这种思路可能存在的局限性。
从企业的角度看,以所谓的APP的典型功能来限制其收集个人信息的范围,可能需要注意以下技术发展趋势方面的问题。现在APP的发展趋势是功能集成。不同的APP日益整合成为为数不多的超级APP。APP发展中的超级化、集成化趋势,会导致其收集的个人信息的范围的“必要、合理、够用”的边界不断发展变化。如果在这个问题上,过度强调基于单一用途的管制,也可能导致APP功能发展受限,甚至固化,从而牺牲技术的发展以及商业模式的创新,使互联网技术在个人信息保护名义下被遏制。
设想一下,监管者如何界定美团APP的核心功能?又怎么能够约束一个APP的运营者基于商业模式的拓展,往上不断搭载新的功能?在这种情况下,是否可以自动拓展可以收集是个人信息的范围,还是需要某种形式的事先许可。如果是后者,就需要反思了。国家监管政策的制定者需要均衡地考虑各种利益诉求,不能主观上一厢情愿地认为,一个APP只有一个主导性的功能,因此对应着这个主导性的功能,只能收集特定类别的个人信息。个人信息的保护的确重要,但是我认为这只能通过技术的发展来解决,我国的个人信息保护的根本出路在于近乎疯狂地制定各种脱离技术现实和商业合理性的管制规范,最后很难期待会有好的结果。
“个人信息”、“隐私”、“数据”的不同概念
个人信息、隐私信息、数据,这些概念在中国立法上是严格区分的,有不同的规范性内涵。《民法总则》第110条规定了隐私权保护,隐私中必然包括了构成隐私的个人信息。第111条规定了个人信息保护,但没有使用“权”的表述。《民法总则》第127条在立法上使用了“数据”这一概念。这些立法用语表明,中国立法对个人信息有一个基本的区分:有些个人信息被纳入隐私权的范畴,通过主观绝对权的权利化方式来进行保护,而有些个人信息采取了其他的方式来进行保护。把个人信息大体地分类为隐私性信息或者敏感信息与普通个人信息,这一点在我国《民法典分则·人格权编(草案)》中也可以看出来。该草案提到了“隐私权与个人信息”,在界定隐私的时候,明确包括了“具有私密性的私人信息”。这一类个人信息与其他个人信息被严格划分开来。一般而言,法律上对隐私性信息的保护程度非常高,个人拥有绝对的控制与支配。这一点在各界都没有什么争议。
对于其他一般性的、敏感程度不那么高的个人信息,采用什么样的保护模式,目前在我国却有很大争议。有人主张采用欧盟的一揽子权利化的保护模式,在一个概括性的“个人信息权”的名下,进一步规定诸如携带、删除、访问等权能。但如果认真解读我国相关立法,就可以发现,我国其实并没有追随欧盟模式,而是区分不同类型的个人信息,采取不同的保护模式。《民法总则》第110条规定,隐私性个人信息,用隐私权来保护,对于其他的一般个人信息,则采用违法侵权,让违法者承担相应的民事责任(以及其他行政责任、刑事责任)的方式来进行间接的反射性的保护。从这个意义上来说,中国的个人信息保护模式,兼具了财产规则与责任规则。
在普通个人信息法益的保护上,如何兼顾利益保护和他人行为自由与商业价值挖掘之间的合理均衡?中国模式对这一问题的回答,在总体上比较接近于美国模式:在涉及个人信息问题上,把相关问题上可能触碰的红线划出来,红线之外,推定行为自由。相比之下,欧盟对个人信息的保护,采用的更多的是支配权模式:基于个人自主支配意愿,未经同意之正当化的对个人信息的利用都推定为不法。换言之,只要个人不同意,就是红线。我个人认为这个模式对产业的发展有不利影响。
随着社会和技术的发展,人们对于自己的个人信息是否愿意被公开,其观念不断变化。监管部门不应该针对所有类型的个人信息,构造出一个具有很强的排他性效力的个人信息权,让产业界试探摸索这个权利的模糊的边界。而是应该反过来,更多地采用问题导向。在具体的个人信息的保护上,基于现实的需要,以射程有限,目的特定的规则,精准地解决典型的特定的问题。这样更加务实,更加有针对性,同时也更加灵活。所以在个人信息保护的问题上,对《民法总则》第111条的准确解读,应该是我国的立法明确支持,针对一般性的个人信息,建立了以积极确定行为不法性为前提的个人信息法益保护模式。换言之,在国家立法明确划定的界限之外,对个人信息的利用不能具有推定的不法性。当然,对于隐私信息,的确应该采用绝对权的赋权保护模式,以实现对人格法益的绝对保护。
从这个角度看,我个人认为,我国的个人信息保护模式,其实是一种介于美国和欧盟之间的一种类型化的有区别的保护模式。这是比较妥当的。但需要理论和实务的不懈努力,把这种立法模式的细节厘定清晰。
我在个人信息保护问题上,之所以有如上看法,是因为从根本上来说,个人信息保护与信息产业发展其实是伴生性问题,是一种“甜蜜”的烦恼。个人使用手机会泄露个人信息,大家对此都很苦恼,但有人愿意回到通讯基本靠吼的时代吗?技术给我们带来很大便利,但不能因为技术发展过程中出现的一些问题而把技术抹杀。我路过北大校园的时候,经常看到很辛苦的建筑工人用视频跟家人聊天。这虽比不上当面陪伴,但也是通讯技术给他们带来的福利。没有技术的发展,个人信息泄露的危险当然不存在,但是已经没有人愿意过那种生活。所以还是要坚定地鼓励技术进步。当然,在技术进步中伴生的技术负面因素也要管理,不能放任,但一定要以宽容、发展、长远的态度对待,我想这是立法政策一定要把握住的,也是我长期以来坚持的观点。
此外,数据和个人信息经常也被混为一谈。这一点也应该引起重视。不能因为欧盟不区分我们也就不加以区分。因为中国的立法有明确的规定。我们的解释论必须是依据我们的立法条文来建构的。GDPR虽然影响很大,但毕竟不是我们的法律。而且的确有必要区分个人信息与数据这二者。虽然绝大部分数据来自于对个人信息的收集和整理,但作为法律上的新型具有财产性利益的资产,数据和个人信息在基本属性上有很大差别。数据不涉及个人信息保护,但是一种重要的生产、经营资源。数据作为一种资产或利益,需要在法律上赋权。如果数据中夹杂着个人信息,那么数据拥有者在利用数据的时候,同样需要遵守国家法律规定的关于保护个人信息的规则。这一点也是毋庸置疑的。
数据利用与合规
如果数据中包含一些个人信息,那么数据利用合规的第一个前提就是要尊重国家关于个人信息保护的所有法律规范。这一点必须要强调,不能有任何的含糊。不能因为强调数据拥有者的权益,就忽视了个人信息保护的合规。那么这一合规前提满足以后,在数据利用上,还有哪些需要注意的问题?
随着技术发展,企业之间围绕数据资产,产生激烈的数据争夺行为,其背后是利益格局的重新界定问题。因为新技术引发利益格局的重新界定的问题,最近很受关注。比如很多游戏玩家把玩游戏的过程在网上直播,如果有很多人观看,就有很大的商业价值,会产生巨大利益。在这种情况下,游戏直播的利益归游戏开发商还是归游戏玩家?游戏直播的画面属于游戏开发商的作品还是玩家创造的作品?这是一个有趣的问题,取决于创造性因素的高低。
关于数据争夺,有几类典型案例可以说明其中涉及的主要问题。
第一,数据抓取型。最典型的是360诉百度案,百度通过自己的搜索引擎抓取各种分散的网站上的数据集合到自己的搜索网站上,而360通过爬虫软件把百度收集的数据直接抓取过去,这可能会导致使用百度搜索和使用360搜索获取的结果无差别。这样就导致百度的不满,爆发了与360之间的数据权属的争夺问题。
第二类是UGC数据的争夺,也就是用户生成内容。最典型的是微博诉今日头条的一类案件。微博上大部分内容不是微博自己生产的,而是微博用户上传。用户将内容上传后,今日头条把一些大V发表的内容瞬间抓取到自己的内容平台上。引发微博指控今日头条侵权。虽然用户生成内容的著作权属于用户,但平台对用户生成的内容同样拥有合法的应该受到保护的利益。但这种利益究竟是什么?法律要回答作为用户生成内容的平台,对用户生成的内容,提供了什么样的基础性的、增值性的、编辑性的服务,并且基于这些服务,平台享有什么样的权益。这些案件已经日益蔓延到诸如旅游网站的用户点评内容,攻略内容、知识分享平台上用户分享的内容以及视频分享平台上的用户上传内容。
第三类是开放数据平台引发的数据争夺。有些平台采取数据开放共享,也就是所谓的open API模式。其他企业基于平台授权来接入,但是如果后者超越了共享平台的授权范围,或者在没有得到授权情况下超越权限抓取或者使用数据,就引发了纠纷。这方面最典型的新浪微博诉脉脉案。这类纠纷主要是合同纠纷,因此处理起来相对比较清晰。
企业之间的数据争夺案件越来越多,这提醒我们,要解决此类问题,需要发展出一系列相对清晰的数据赋权规则。赋权(entitlement)是法律上的概念,指的是权益基于一定的原则,在不同的主体之间进行分配。
一般来说,赋权的第一原则是原创原则,贡献度原则,俗称汗水原则。谁是创作者谁拥有权利。另外还需要考虑的是效益原则。当把数据权益分配给某个特定的主体,能达到社会整体效益的最大化,那么就具有潜在的正当性。还有公益原则。这是赋权的反向限制。也就是说,拥有数据权利的人,其享有的权益也不是绝对的。在一定的情况下,数据权益者要允许把数据开放给他人合理使用。当然在这种情况下,使用者诉求必须要基于社会公共利益。不能基于自己的商业利益的需要,要求别人开放共享数据权益。因为在这种情况下,还要尊重市场竞争原则。结合上述原则,我们可以分析上述几种典型的数据争夺案例。
在百度诉360案件中,百度对自己抓取整理的数据做出了贡献,但不能因此完全拒绝他人通过爬虫软件抓取这些数据。这是互联网开放原则的作用。把自己基于网络开放原则获取的数据,封闭起来不允许他人抓取、不允许他人利用,是不合适的,这与互联网开放原则是矛盾的。此案法院最终判决认为,基于互联网的开放原则,一般来说要允许他人抓取数据,如果例外地不允许他人抓取,要有正当理由,要书面告知。当然数据抓取者也不能过度使用具有损人利己的、攀附性的数据抓取来建立自己的商业模式。深圳的人人车案件是这方面的典型案例。
关于UGC内容的数据权益分配问题,争议很大。在新浪微博和今日头条的案件中,今日头条和微博大V单独签署签授权书,后者授权今日头条发布其在微博上发布的内容。这样做,是不是意味着抓取UGC内容就完全正当化了?我认为仍然存在问题。没有人会认为作者在微博上发表的作品的著作权归微博所有,作者基于创作获得了著作权,但微博作为UGC内容呈现的平台也投入了很多精力资源和技术保障。今日头条无偿地抓取微博编辑化的结果整理的数据,所产生的不仅是数据抓取者和原创作者之间的问题,也有和原创内容的发布平台之间利益关系问题。所以UGC内容相关权益分配,应该是作者享有著作权,UGC内容平台的基本权益受法律保护,其他人不能把自己的商业模式建立在依附型的攫取他人既成成果之上。
开放数据平台的典型案例是新浪微博诉脉脉案。微博基于协议,开放数据接口,让其他经营者利用数据。但需要注意的是,所有开放平台的数据开放是基于协议的开放。相关的协议构成调整开放数据平台和接入者之间关系的依据。如果有一方违反协议会引发合同责任,违反程度较重则会导致合同的解除。很多人不顾协议而抽象地讨论open API,是有问题的。
关于数据利用上的公益性原则,我认为未来可能发展出一种基于社会公益的对数据拥有者的开放性要求。这其实就相当于知识产权中的合理使用以及权力限制制度。大的数据公司掌握了与社会生活关系密切的大数据,基于特定的公益的需要,可以要求掌握数据的公司开放数据,这样有利于社会生活。但要对此要有严格的限制:必须基于公共利益的需要。例如为提高城市管理水平,打击犯罪、打击拐卖妇女儿童等。
基于公共利益所要求的数据开放与共享,意味着原则上不能认可其他类型的共享与开发。这就意味着数据公司对数据有相当程度的独占和利用权利。这给收集处理数据的公司很有效率地赋权,激励更多企业投入资源来收集整理和开发数据,收集来的高质量大数据,对国家治理等方面有很高的价值。我觉得数据的合规利用需要一个特别明确的立法政策导向以及司法裁判理念,国家可以通过类似保护知识产权的模式来保护数据权益。
责任编辑:
