进入二十一世纪以来,我国网络信息科技高速发展,数据资源规模也在同步快速增长。根据《数字中国发展报告(2023年)》的统计,2023年全国数据生产总量达32.85ZB,同比增长22.44%。在现代社会的海量数据中,最重要也最有价值的一类数据就是个人数据,即与已识别或可识别的自然人相关的数据。企业数据与公共数据中都包含了大量的个人数据。由于个人数据涉及到诸多个人权益,如个人信息权益、隐私权等人格权益,甚至宪法上的人格尊严等基本权利,同时海量的个人数据又具有重大的经济社会价值,且与国家安全、公共利益息息相关,因此,世界各国尤其是欧盟、美国等都力图建立一套符合本国国情,又能影响他国的个人数据法律体系和模式,助推本国数字经济的发展,并在网络信息技术革命中处于领先地位。
我国要大力发展数字经济,推动人工智能技术健康发展,在新一轮科技革命的浪潮中占据主动地位,就必须建立一个科学合理的适应智能时代特点的中国式个人数据法律体系。惟其如此,方能既充分保护个人数据上个人信息权益、隐私权等人身财产权益,也能很好地维护国家安全和公共利益。不仅如此,基于中国自主知识体系而产生的智能时代的我国个人数据法律体系,也有助于进一步增强我国在世界数字经济法律体系中的话语权,为世界法律文明作出应有的贡献。要构建智能时代中国的个人数据法律体系,就需要深入研究并解决以下五方面的问题。
一、个人数据上承载的权益类型与体系
首先,需要立足于民法典、个人信息保护法、网络安全法、数据安全法等法律法规,从解释论层面深入讨论个人数据上承载的人身财产权益中已为我国现行法所确认的权益类型及它们相互间的关系。其次,从立法论的层面分析未来我国法律应当明确规定并加以保护的个人数据上新型的人身、财产权益有哪些,权利如何及怎样加以保护。这其中需要解决的关键问题在于:一是,有无必要在个人信息权益之外,另行创设所谓的自然人针对个人数据的所有权等新型财产权?二是,应否规定数据来源者权益?这两个问题在我国构建数据基础制度中存在很大的争议。笔者认为,对于前一个问题,由于我国民法典在人格权编中采取的是一元保护模式,即通过具体人格权同时保护个人对人格要素的精神与经济利益,因此,个人信息权益足以涵盖自然人对个人数据享有的精神与经济利益,无需创设个人数据所有权。至于数据来源者权益,为了实现数字经济中的数据公平以及促进数据的流通利用,未来我国法律应当明确规定组织和个人对其促成产生的非个人数据享有数据来源者权益。该权益的内容包括对数据处理的知情权、获取与复制数据的权利、转移数据的权利。
二、个人数据上个人的精神与经济利益的保护与实现机制
自然人是个人数据的主体,其针对个人数据享有的精神和经济利益可通过个人信息权益予以一体化保护。虽然单个自然人的个人信息在很多情况下价值不大,但不能因此就否定甚至剥夺自然人对其个人信息进行商业化利用的权利。随着经济社会尤其是网络信息科技的发展,单个自然人的个人数据也越来越有价值(尤其是个人基因数据等敏感数据),自然人有多样的方式对其个人数据进行商业化利用(如数字人)。依据民法典、个人信息保护法等法律,个人可以通过同意与许可两种方式来实现其个人数据上的经济利益,其中,许可的方式具有更强和更稳定的法律效力,适用于个人与数据处理者一对一交易的场景,双方成立个人数据许可使用合同。当前,我国也正在稳慎探索个人可信数据空间建设试点,通过制度创新和技术创新,提供依场景授权许可的个人数据转移流动和开发利用服务。因此,未来个人实现其个人数据上的经济利益的可能性和方式将会越来越多。
三、企业数据财产权与个人数据保护利用的关系协调
企业等市场主体在生产经营或提供服务的过程中对于其合法处理的个人数据享有相应的企业数据权益,这属于一种新型的无形财产权益。企业数据财产权益的内容包括积极权能与消极权能,前者包括对数据的占有权、加工使用权、收益权、处分前等,后者包括禁止他人访问、复制数据,禁止他人破坏数据完整性的权利等。然而,无论如何,企业行使数据财产权都不得侵害个人数据上的个人权益如个人信息权益、隐私权、肖像权等。因为,在民事权益的位阶上人格权益要高于财产权益,受到更优先的保护。个人可以通过随时撤回同意以及行使删除权等方式来限制企业数据财产权的行使。但是,在数据的流通利用尤其是在基于大模型而发展的人工智能技术中,如何既能够保护个人信息权益,又不妨害人工智能技术的发展以及对企业数据的确权,需要依据个人数据开发利用的场景进行更深入细致的研究。
四、公共数据资源共享开放与开发利用中的个人数据保护
近年来我国大力推动公共数据资源的共享、开放与开发利用,国家层面也出台相关文件要求加强公共数据的汇聚共享和开放开发,强化统筹授权使用和管理,推进互联互通,打破“数据孤岛”。鼓励公共数据在保护个人隐私和确保公共安全的前提下,按照“原始数据不出域、数据可用不可见”的要求,以模型、核验等产品和服务等形式向社会提供。在公共数据的共享开放以及授权经营中,最核心也最复杂的一个问题就是如何保护个人数据,防止侵害个人信息权益和隐私权等个人权益。具体涉及的问题如公共数据授权经营时如何通过法律和技术上的措施区分个人数据和非个人数据,从而防止个人信息和隐私的泄露;在公共数据共享和开放时,个人发现其个人数据错误、不准确、不完整时如何行使更正、补充等权利,以及遭受损害后能否请求赔偿;数据处理者从公共数据授权经营者处取得相应的数据产权后如侵害个人数据权益,如何确定侵权责任主体等。
五、个人数据开发利用市场机制的配套法律规范体系
目前,国内外的个人数据开发利用都处于探索的过程中,许多问题如个人数据的定价、交易中的合法性审查义务等,仍存在争议。健全的个人数据开发利用的市场机制离不开配套的法律规范体系,否则无法解决各方当事人权利、义务与法律责任的关系问题。在我国已经颁行民法典、个人信息保护法等法律的背景下,需要关注的是现行法如何准确地适用于个人数据开发利用的各个环节,例如,在个人数据交易场景中,怎样界定个人数据交易合同的法律性质、类型及内容,尤其是如何区分买卖合同、服务合同、许可使用合同、知识产权让与合同、信托合同与个人数据交易合同。再如,对涉及国家安全的特殊个人信息数据,可依法依规授权有关单位使用究竟包括哪些具体情形等。
(作者程啸系清华大学法学院副院长、教授;王苑系东南大学法学院副教授)
编辑:李华山