在法制日報(bào)社最氣派的演播室里,全國20余家新聞媒體的編輯和記者共同聆聽了來自學(xué)界、司法界和有關(guān)政府研究部門講師的精彩培訓(xùn)內(nèi)容。
北京大學(xué)法學(xué)院副院長薛軍教授分享了《數(shù)據(jù)利用與合規(guī)的平衡之道》。
“個人信息”、“隱私”、“數(shù)據(jù)”的概念在立法上被區(qū)分開來。在技術(shù)進(jìn)步中伴生的技術(shù)負(fù)面因素要以寬容、發(fā)展、長遠(yuǎn)的態(tài)度對待,不能一味抹殺。
我的發(fā)言首先是一點(diǎn)評論。最近一段時間,以網(wǎng)信辦為主要牽頭單位的部門把個人信息保護(hù)領(lǐng)域的一些內(nèi)涵相對寬泛的原則,例如個人信息收集上必須遵循合理、必要、最低限度、避免過度收集等原則,試圖通過具體的、可操作性的標(biāo)準(zhǔn),來明確化。這種嘗試從政策落地,增加實(shí)操性的角度來講是有意義的探索,值得鼓勵。但也需要注意這種思路可能存在的局限性。
從企業(yè)的角度看,以所謂的APP的典型功能來限制其收集個人信息的范圍,可能需要注意以下技術(shù)發(fā)展趨勢方面的問題。現(xiàn)在APP的發(fā)展趨勢是功能集成。不同的APP日益整合成為為數(shù)不多的超級APP。APP發(fā)展中的超級化、集成化趨勢,會導(dǎo)致其收集的個人信息的范圍的“必要、合理、夠用”的邊界不斷發(fā)展變化。如果在這個問題上,過度強(qiáng)調(diào)基于單一用途的管制,也可能導(dǎo)致APP功能發(fā)展受限,甚至固化,從而犧牲技術(shù)的發(fā)展以及商業(yè)模式的創(chuàng)新,使互聯(lián)網(wǎng)技術(shù)在個人信息保護(hù)名義下被遏制。
設(shè)想一下,監(jiān)管者如何界定美團(tuán)APP的核心功能?又怎么能夠約束一個APP的運(yùn)營者基于商業(yè)模式的拓展,往上不斷搭載新的功能?在這種情況下,是否可以自動拓展可以收集是個人信息的范圍,還是需要某種形式的事先許可。如果是后者,就需要反思了。國家監(jiān)管政策的制定者需要均衡地考慮各種利益訴求,不能主觀上一廂情愿地認(rèn)為,一個APP只有一個主導(dǎo)性的功能,因此對應(yīng)著這個主導(dǎo)性的功能,只能收集特定類別的個人信息。個人信息的保護(hù)的確重要,但是我認(rèn)為這只能通過技術(shù)的發(fā)展來解決,我國的個人信息保護(hù)的根本出路在于近乎瘋狂地制定各種脫離技術(shù)現(xiàn)實(shí)和商業(yè)合理性的管制規(guī)范,最后很難期待會有好的結(jié)果。
“個人信息”、“隱私”、“數(shù)據(jù)”的不同概念
個人信息、隱私信息、數(shù)據(jù),這些概念在中國立法上是嚴(yán)格區(qū)分的,有不同的規(guī)范性內(nèi)涵。《民法總則》第110條規(guī)定了隱私權(quán)保護(hù),隱私中必然包括了構(gòu)成隱私的個人信息。第111條規(guī)定了個人信息保護(hù),但沒有使用“權(quán)”的表述。《民法總則》第127條在立法上使用了“數(shù)據(jù)”這一概念。這些立法用語表明,中國立法對個人信息有一個基本的區(qū)分:有些個人信息被納入隱私權(quán)的范疇,通過主觀絕對權(quán)的權(quán)利化方式來進(jìn)行保護(hù),而有些個人信息采取了其他的方式來進(jìn)行保護(hù)。把個人信息大體地分類為隱私性信息或者敏感信息與普通個人信息,這一點(diǎn)在我國《民法典分則·人格權(quán)編(草案)》中也可以看出來。該草案提到了“隱私權(quán)與個人信息”,在界定隱私的時候,明確包括了“具有私密性的私人信息”。這一類個人信息與其他個人信息被嚴(yán)格劃分開來。一般而言,法律上對隱私性信息的保護(hù)程度非常高,個人擁有絕對的控制與支配。這一點(diǎn)在各界都沒有什么爭議。
對于其他一般性的、敏感程度不那么高的個人信息,采用什么樣的保護(hù)模式,目前在我國卻有很大爭議。有人主張采用歐盟的一攬子權(quán)利化的保護(hù)模式,在一個概括性的“個人信息權(quán)”的名下,進(jìn)一步規(guī)定諸如攜帶、刪除、訪問等權(quán)能。但如果認(rèn)真解讀我國相關(guān)立法,就可以發(fā)現(xiàn),我國其實(shí)并沒有追隨歐盟模式,而是區(qū)分不同類型的個人信息,采取不同的保護(hù)模式。《民法總則》第110條規(guī)定,隱私性個人信息,用隱私權(quán)來保護(hù),對于其他的一般個人信息,則采用違法侵權(quán),讓違法者承擔(dān)相應(yīng)的民事責(zé)任(以及其他行政責(zé)任、刑事責(zé)任)的方式來進(jìn)行間接的反射性的保護(hù)。從這個意義上來說,中國的個人信息保護(hù)模式,兼具了財(cái)產(chǎn)規(guī)則與責(zé)任規(guī)則。
在普通個人信息法益的保護(hù)上,如何兼顧利益保護(hù)和他人行為自由與商業(yè)價值挖掘之間的合理均衡?中國模式對這一問題的回答,在總體上比較接近于美國模式:在涉及個人信息問題上,把相關(guān)問題上可能觸碰的紅線劃出來,紅線之外,推定行為自由。相比之下,歐盟對個人信息的保護(hù),采用的更多的是支配權(quán)模式:基于個人自主支配意愿,未經(jīng)同意之正當(dāng)化的對個人信息的利用都推定為不法。換言之,只要個人不同意,就是紅線。我個人認(rèn)為這個模式對產(chǎn)業(yè)的發(fā)展有不利影響。
隨著社會和技術(shù)的發(fā)展,人們對于自己的個人信息是否愿意被公開,其觀念不斷變化。監(jiān)管部門不應(yīng)該針對所有類型的個人信息,構(gòu)造出一個具有很強(qiáng)的排他性效力的個人信息權(quán),讓產(chǎn)業(yè)界試探摸索這個權(quán)利的模糊的邊界。而是應(yīng)該反過來,更多地采用問題導(dǎo)向。在具體的個人信息的保護(hù)上,基于現(xiàn)實(shí)的需要,以射程有限,目的特定的規(guī)則,精準(zhǔn)地解決典型的特定的問題。這樣更加務(wù)實(shí),更加有針對性,同時也更加靈活。所以在個人信息保護(hù)的問題上,對《民法總則》第111條的準(zhǔn)確解讀,應(yīng)該是我國的立法明確支持,針對一般性的個人信息,建立了以積極確定行為不法性為前提的個人信息法益保護(hù)模式。換言之,在國家立法明確劃定的界限之外,對個人信息的利用不能具有推定的不法性。當(dāng)然,對于隱私信息,的確應(yīng)該采用絕對權(quán)的賦權(quán)保護(hù)模式,以實(shí)現(xiàn)對人格法益的絕對保護(hù)。
從這個角度看,我個人認(rèn)為,我國的個人信息保護(hù)模式,其實(shí)是一種介于美國和歐盟之間的一種類型化的有區(qū)別的保護(hù)模式。這是比較妥當(dāng)?shù)摹5枰碚摵蛯?shí)務(wù)的不懈努力,把這種立法模式的細(xì)節(jié)厘定清晰。
我在個人信息保護(hù)問題上,之所以有如上看法,是因?yàn)閺母旧蟻碚f,個人信息保護(hù)與信息產(chǎn)業(yè)發(fā)展其實(shí)是伴生性問題,是一種“甜蜜”的煩惱。個人使用手機(jī)會泄露個人信息,大家對此都很苦惱,但有人愿意回到通訊基本靠吼的時代嗎?技術(shù)給我們帶來很大便利,但不能因?yàn)榧夹g(shù)發(fā)展過程中出現(xiàn)的一些問題而把技術(shù)抹殺。我路過北大校園的時候,經(jīng)常看到很辛苦的建筑工人用視頻跟家人聊天。這雖比不上當(dāng)面陪伴,但也是通訊技術(shù)給他們帶來的福利。沒有技術(shù)的發(fā)展,個人信息泄露的危險當(dāng)然不存在,但是已經(jīng)沒有人愿意過那種生活。所以還是要堅(jiān)定地鼓勵技術(shù)進(jìn)步。當(dāng)然,在技術(shù)進(jìn)步中伴生的技術(shù)負(fù)面因素也要管理,不能放任,但一定要以寬容、發(fā)展、長遠(yuǎn)的態(tài)度對待,我想這是立法政策一定要把握住的,也是我長期以來堅(jiān)持的觀點(diǎn)。
此外,數(shù)據(jù)和個人信息經(jīng)常也被混為一談。這一點(diǎn)也應(yīng)該引起重視。不能因?yàn)闅W盟不區(qū)分我們也就不加以區(qū)分。因?yàn)橹袊牧⒎ㄓ忻鞔_的規(guī)定。我們的解釋論必須是依據(jù)我們的立法條文來建構(gòu)的。GDPR雖然影響很大,但畢竟不是我們的法律。而且的確有必要區(qū)分個人信息與數(shù)據(jù)這二者。雖然絕大部分?jǐn)?shù)據(jù)來自于對個人信息的收集和整理,但作為法律上的新型具有財(cái)產(chǎn)性利益的資產(chǎn),數(shù)據(jù)和個人信息在基本屬性上有很大差別。數(shù)據(jù)不涉及個人信息保護(hù),但是一種重要的生產(chǎn)、經(jīng)營資源。數(shù)據(jù)作為一種資產(chǎn)或利益,需要在法律上賦權(quán)。如果數(shù)據(jù)中夾雜著個人信息,那么數(shù)據(jù)擁有者在利用數(shù)據(jù)的時候,同樣需要遵守國家法律規(guī)定的關(guān)于保護(hù)個人信息的規(guī)則。這一點(diǎn)也是毋庸置疑的。
數(shù)據(jù)利用與合規(guī)
如果數(shù)據(jù)中包含一些個人信息,那么數(shù)據(jù)利用合規(guī)的第一個前提就是要尊重國家關(guān)于個人信息保護(hù)的所有法律規(guī)范。這一點(diǎn)必須要強(qiáng)調(diào),不能有任何的含糊。不能因?yàn)閺?qiáng)調(diào)數(shù)據(jù)擁有者的權(quán)益,就忽視了個人信息保護(hù)的合規(guī)。那么這一合規(guī)前提滿足以后,在數(shù)據(jù)利用上,還有哪些需要注意的問題?
隨著技術(shù)發(fā)展,企業(yè)之間圍繞數(shù)據(jù)資產(chǎn),產(chǎn)生激烈的數(shù)據(jù)爭奪行為,其背后是利益格局的重新界定問題。因?yàn)樾录夹g(shù)引發(fā)利益格局的重新界定的問題,最近很受關(guān)注。比如很多游戲玩家把玩游戲的過程在網(wǎng)上直播,如果有很多人觀看,就有很大的商業(yè)價值,會產(chǎn)生巨大利益。在這種情況下,游戲直播的利益歸游戲開發(fā)商還是歸游戲玩家?游戲直播的畫面屬于游戲開發(fā)商的作品還是玩家創(chuàng)造的作品?這是一個有趣的問題,取決于創(chuàng)造性因素的高低。
關(guān)于數(shù)據(jù)爭奪,有幾類典型案例可以說明其中涉及的主要問題。
第一,數(shù)據(jù)抓取型。最典型的是360訴百度案,百度通過自己的搜索引擎抓取各種分散的網(wǎng)站上的數(shù)據(jù)集合到自己的搜索網(wǎng)站上,而360通過爬蟲軟件把百度收集的數(shù)據(jù)直接抓取過去,這可能會導(dǎo)致使用百度搜索和使用360搜索獲取的結(jié)果無差別。這樣就導(dǎo)致百度的不滿,爆發(fā)了與360之間的數(shù)據(jù)權(quán)屬的爭奪問題。
第二類是UGC數(shù)據(jù)的爭奪,也就是用戶生成內(nèi)容。最典型的是微博訴今日頭條的一類案件。微博上大部分內(nèi)容不是微博自己生產(chǎn)的,而是微博用戶上傳。用戶將內(nèi)容上傳后,今日頭條把一些大V發(fā)表的內(nèi)容瞬間抓取到自己的內(nèi)容平臺上。引發(fā)微博指控今日頭條侵權(quán)。雖然用戶生成內(nèi)容的著作權(quán)屬于用戶,但平臺對用戶生成的內(nèi)容同樣擁有合法的應(yīng)該受到保護(hù)的利益。但這種利益究竟是什么?法律要回答作為用戶生成內(nèi)容的平臺,對用戶生成的內(nèi)容,提供了什么樣的基礎(chǔ)性的、增值性的、編輯性的服務(wù),并且基于這些服務(wù),平臺享有什么樣的權(quán)益。這些案件已經(jīng)日益蔓延到諸如旅游網(wǎng)站的用戶點(diǎn)評內(nèi)容,攻略內(nèi)容、知識分享平臺上用戶分享的內(nèi)容以及視頻分享平臺上的用戶上傳內(nèi)容。
第三類是開放數(shù)據(jù)平臺引發(fā)的數(shù)據(jù)爭奪。有些平臺采取數(shù)據(jù)開放共享,也就是所謂的open API模式。其他企業(yè)基于平臺授權(quán)來接入,但是如果后者超越了共享平臺的授權(quán)范圍,或者在沒有得到授權(quán)情況下超越權(quán)限抓取或者使用數(shù)據(jù),就引發(fā)了糾紛。這方面最典型的新浪微博訴脈脈案。這類糾紛主要是合同糾紛,因此處理起來相對比較清晰。
企業(yè)之間的數(shù)據(jù)爭奪案件越來越多,這提醒我們,要解決此類問題,需要發(fā)展出一系列相對清晰的數(shù)據(jù)賦權(quán)規(guī)則。賦權(quán)(entitlement)是法律上的概念,指的是權(quán)益基于一定的原則,在不同的主體之間進(jìn)行分配。
一般來說,賦權(quán)的第一原則是原創(chuàng)原則,貢獻(xiàn)度原則,俗稱汗水原則。誰是創(chuàng)作者誰擁有權(quán)利。另外還需要考慮的是效益原則。當(dāng)把數(shù)據(jù)權(quán)益分配給某個特定的主體,能達(dá)到社會整體效益的最大化,那么就具有潛在的正當(dāng)性。還有公益原則。這是賦權(quán)的反向限制。也就是說,擁有數(shù)據(jù)權(quán)利的人,其享有的權(quán)益也不是絕對的。在一定的情況下,數(shù)據(jù)權(quán)益者要允許把數(shù)據(jù)開放給他人合理使用。當(dāng)然在這種情況下,使用者訴求必須要基于社會公共利益。不能基于自己的商業(yè)利益的需要,要求別人開放共享數(shù)據(jù)權(quán)益。因?yàn)樵谶@種情況下,還要尊重市場競爭原則。結(jié)合上述原則,我們可以分析上述幾種典型的數(shù)據(jù)爭奪案例。
在百度訴360案件中,百度對自己抓取整理的數(shù)據(jù)做出了貢獻(xiàn),但不能因此完全拒絕他人通過爬蟲軟件抓取這些數(shù)據(jù)。這是互聯(lián)網(wǎng)開放原則的作用。把自己基于網(wǎng)絡(luò)開放原則獲取的數(shù)據(jù),封閉起來不允許他人抓取、不允許他人利用,是不合適的,這與互聯(lián)網(wǎng)開放原則是矛盾的。此案法院最終判決認(rèn)為,基于互聯(lián)網(wǎng)的開放原則,一般來說要允許他人抓取數(shù)據(jù),如果例外地不允許他人抓取,要有正當(dāng)理由,要書面告知。當(dāng)然數(shù)據(jù)抓取者也不能過度使用具有損人利己的、攀附性的數(shù)據(jù)抓取來建立自己的商業(yè)模式。深圳的人人車案件是這方面的典型案例。
關(guān)于UGC內(nèi)容的數(shù)據(jù)權(quán)益分配問題,爭議很大。在新浪微博和今日頭條的案件中,今日頭條和微博大V單獨(dú)簽署簽授權(quán)書,后者授權(quán)今日頭條發(fā)布其在微博上發(fā)布的內(nèi)容。這樣做,是不是意味著抓取UGC內(nèi)容就完全正當(dāng)化了?我認(rèn)為仍然存在問題。沒有人會認(rèn)為作者在微博上發(fā)表的作品的著作權(quán)歸微博所有,作者基于創(chuàng)作獲得了著作權(quán),但微博作為UGC內(nèi)容呈現(xiàn)的平臺也投入了很多精力資源和技術(shù)保障。今日頭條無償?shù)刈ト∥⒉┚庉嫽慕Y(jié)果整理的數(shù)據(jù),所產(chǎn)生的不僅是數(shù)據(jù)抓取者和原創(chuàng)作者之間的問題,也有和原創(chuàng)內(nèi)容的發(fā)布平臺之間利益關(guān)系問題。所以UGC內(nèi)容相關(guān)權(quán)益分配,應(yīng)該是作者享有著作權(quán),UGC內(nèi)容平臺的基本權(quán)益受法律保護(hù),其他人不能把自己的商業(yè)模式建立在依附型的攫取他人既成成果之上。
開放數(shù)據(jù)平臺的典型案例是新浪微博訴脈脈案。微博基于協(xié)議,開放數(shù)據(jù)接口,讓其他經(jīng)營者利用數(shù)據(jù)。但需要注意的是,所有開放平臺的數(shù)據(jù)開放是基于協(xié)議的開放。相關(guān)的協(xié)議構(gòu)成調(diào)整開放數(shù)據(jù)平臺和接入者之間關(guān)系的依據(jù)。如果有一方違反協(xié)議會引發(fā)合同責(zé)任,違反程度較重則會導(dǎo)致合同的解除。很多人不顧協(xié)議而抽象地討論open API,是有問題的。
關(guān)于數(shù)據(jù)利用上的公益性原則,我認(rèn)為未來可能發(fā)展出一種基于社會公益的對數(shù)據(jù)擁有者的開放性要求。這其實(shí)就相當(dāng)于知識產(chǎn)權(quán)中的合理使用以及權(quán)力限制制度。大的數(shù)據(jù)公司掌握了與社會生活關(guān)系密切的大數(shù)據(jù),基于特定的公益的需要,可以要求掌握數(shù)據(jù)的公司開放數(shù)據(jù),這樣有利于社會生活。但要對此要有嚴(yán)格的限制:必須基于公共利益的需要。例如為提高城市管理水平,打擊犯罪、打擊拐賣婦女兒童等。
基于公共利益所要求的數(shù)據(jù)開放與共享,意味著原則上不能認(rèn)可其他類型的共享與開發(fā)。這就意味著數(shù)據(jù)公司對數(shù)據(jù)有相當(dāng)程度的獨(dú)占和利用權(quán)利。這給收集處理數(shù)據(jù)的公司很有效率地賦權(quán),激勵更多企業(yè)投入資源來收集整理和開發(fā)數(shù)據(jù),收集來的高質(zhì)量大數(shù)據(jù),對國家治理等方面有很高的價值。我覺得數(shù)據(jù)的合規(guī)利用需要一個特別明確的立法政策導(dǎo)向以及司法裁判理念,國家可以通過類似保護(hù)知識產(chǎn)權(quán)的模式來保護(hù)數(shù)據(jù)權(quán)益。
責(zé)任編輯: