建立个人数据保护利用机制需要新思路

刘维

一、华为腾讯数据之争所折射的法律问题

近日，据称华为与腾讯之间就微信数据（下文“个人数据”和“个人信息”混用，不做细分）采集的行为产生争议。华为正在通过其荣耀Magic智能手机收集用户活动信息，以打造其人工智能，例如使手机能够基于用户的短信内容或微信聊天信息推荐餐厅等。腾讯认为，微信的所有者是腾讯公司，华为的上述做法实际上夺取了腾讯的数据，并侵犯了微信用户的隐私。华为则表示，所有数据均属于用户，在荣耀Magic设备上处理数据之前经过了用户授权。1

从上述披露的事实看，这个数据法律争端存在三方主体：作为数据主体的用户、作为数据处理者的华为、作为数据控制者的腾讯。从表面上看，解决这一争端需要回答两个问题：第一，数据权益的归属问题，即微信聊天信息的权益归属于上述三方主体中的哪一方？是如华为所称“所有数据均属于用户”吗？第二，数据处理者经过数据主体授权之后，其数据处理行为的合法性如何判断？“用户同意”是数据处理合规中的唯一手续或条件吗？

仔细思考，上述两个问题的解决又牵涉如下问题：第一，我国现行法律法规对数据保护及数据利用行为做出了何种规范？第二，数据权益的性质和归属究竟为何？是一种类似知识产权性质的权利吗？第三，现行法律法规是否已经为数据保护利用提供了充足的法律供给？如果没有，该如何建构数据保护利用的法律体系？下文将主要围绕这些问题进行分析、表明个人立场。

二、现行数据法律规范的主要内容

所有这些问题的回答，都需要先检视现行法的规范。大数据是信息社会的石油，随着数据收集分析技术、精准广告等技术和商业模式的创新发展，大数据无疑带来了人类决策、分析、效率上的方便，但同时也带来的隐私风险和数据安全挑战。近年来，我国在数据保护利用的法律领域立法活动密集、频繁，《民法总则》、《消费者权益保护法》、《全国人大常委会关于加强网络信息保护的决定》、《网络安全法》、《刑法修正案（七）（九）》等法律均规定了个人数据的保护和利用条款，《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、《关于办理电信诈骗等刑事案件适用法律若干问题的意见》、《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》、《个人信息和重要数据出境安全评估办法》【含《个人信息安全规范（未发布）》以及《信息安全技术数据出境安全评估指南（草案）》】、《信息安全技术公共及商用服务信息系统个人信息保护指南》等司法解释、行政法规、部门规章、行业标准中的配套规范更是星罗棋布。

这些法律规范归纳起来具有如下几方面的内容：第一，明确了个人信息的界定及与隐私之间的关系。不同于美国在隐私法框架中规范个人信息的保护，我国立法者区分个人信息与隐私，将两者单独规范，个人信息内涵的界定是个人信息法律规范的逻辑起点；第二，明确了个人信息的收集和利用原则。个人信息的收集和利用原则在数据保护利用法律体系中具有基础地位，是创设具体权利和具体规范的源泉，《网络安全法》及相关法律规范规定了数据合法原则、必要原则、公开原则、安全原则、质量原则、同意原则；第三，明确了数据主体的被遗忘权。《网络安全法》第43条和第64条赋予数据主体就违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的行为，请求删除其个人信息的权利；就收集、存储的个人信息错误请求更正的权利。这被认为是我国被遗忘权立法的首次确认；第四，违法行为的行政和刑事责任条款。《网络安全法》第64条针对违反上述规范的行为设定了行政处罚，《刑法修正案（七）、（九）》规定了侵犯公民个人信息罪和拒不履行网络安全管理义务罪，提高了个人信息保护规范的震慑力。

三、现行数据法律规范的不足及可能对策

我国现行法律法规没有明确个人数据权益的法律性质，更未详细规范数据主体、数据控制者和数据处理者之间的法律关系，因而相关主体在数据利用和流通过程中应当遵循的规则及其限制例外均处于模糊状态。在上述所有的问题中，个人数据权益的法律性质是分析数据处理相关方之间法律关系以及建构数据保护利用法律体系的逻辑起点，性质不明则关系不清，体系更无从搭建。无论英美法系国家还是大陆法系国家，个人信息的保护均旨在保护人格尊严和人格自由，同时承认个人信息的财产价值。囿于各国法律发展的历史，美国、日本和我国台湾地区在隐私权框架中发展出公开权对个人信息提供保护（隐私与个人信息的一元制保护模式），同时在司法判例中承认人格权商业化和财产价值，欧洲以及我国则在一般人格权的框架下创设个人信息保护权（隐私与个人信息的二元制保护模式），我国学界通说认为信息具有财产性。2从功能主义的比较法观之，各国就个人信息保护的立法模式其实没有实质性差异。

个人信息保护权提供自然人对自身可识别性数据的保护，其规则的建立需要在促进数据利用和保护个人权益之间寻求平衡。个人数据不是智力成果，不是由数据主体创设出来的，不能以知识财产规则的创设逻辑类推至个人数据的保护；个人数据是数据主体的行动记录或自然结果，其作用仅在指示和描述特定个人，在这个意义上数据主体对个人数据的内容拥有某种利益，但并非支配利益。个人数据常常是由数据控制者创设或生成，在腾讯开发微信聊天工具之前，不存在微信聊天记录——尽管存在以其他方式记录的相同聊天内容，但正是技术创新的力量，使得以微信这种方式记录、存储个人数据成为可能，微信聊天记录一旦毁灭，则其上的个人数据亦随之灭失。可见，腾讯是聊天记录的控制者，对以这种方式存在的个人数据享有某种利益。以这种方式存储的个人数据正是大数据时代进行数据分析和利用的基本元素，这些数据分析和利用行为主体是数据处理者，数据处理者因其在数据分析和利用付出的技术、劳动和智慧而对数据处理的结果享有某种利益。上述三方主体，对个人数据或个人数据的处理结果分别享有“某种”利益，这些利益的性质、权属分配以及调整平衡就构成了个人数据保护利用的规则。

全球数据立法源于上世纪八十年代，传统思路是以数据主体为中心为赋予数据主体以控制权或个人信息权，对应着“数据同意”原则的无上地位以彰显自然人对人格自由和人格尊严的自决。在这一权利框架下，个人数据的处理一定要经过数据主体的同意，这在全球最为重要的数据保护公约OECD（经济合作发展组织1980《隐私保护和个人数据跨境流通指南》）中得到确立，3因而这项权利实质上是一项类似知识产权的控制权。我国《消费者权益保护法》第29条和《网络安全法》第41條遵循了这一传统立法思路。源于数据流通、数据处理的利益需求，这一经典的立法思路自本世纪以来面临着很多质疑声音。微软工作组在对OECD提出修改建议的报告中4详述了放弃或修正“同意原则”的四大理由，显然也代表了数据保护立法思路正在从侧重“保护”向倾向“利用或流通”转变：数据控制者一般都有合法理由收集数据；传感器和信息技术发展使未经同意的收集活动不断增加；大数据时代产生收集之初未被预料的更多用途、冗长的格式条款导致数据保护责任被转嫁给数据主体。以个人信息保护权为起点，代表全球最新立法趋势的《欧洲统一数据保护条例》在这些利益的具体化设计上创设了访问权和便携权，以提升数据访问作为建设欧洲数据经济体之重点举措的政策目标。“与数据访问（data access）有关的制度设计，将成为建设欧洲数据经济的关键”，5欧洲学者从矫正市场失灵的功能主义路径出发论证了创设数据访问权而非数据生产者权或数据支配权的正当性。6我国《民法总则》第111条改变自《网络安全法》和《消费者权益保护法》相关条文的措辞，强调个人信息受到保护，是否意味着立法者对数据同意原则的刻意缓和，这令人回味。我国司法严苛审查“用户同意书”的态度正表明也表明“数据同意原则”面临现代化的问题：暂且不论该格式合同中对于取得用户同意收集相关数据信息的方式是否适当，从该约定本身亦仅能解读出用户通过新浪微博账号登录脉脉应用时，其在新浪微博上填写、登记、公布、记录的信息将被脉脉所收集并使用，但并不能得出脉脉软件可以直接收集并使用非脉脉用户的微博信息。7endprint

在数据访问权和便携权的法律框架下，数据主体对其个人数据享有个人数据保护权，即有权请求保护其个人数据，其性质和内涵均与支配权无涉，数据主体享有知情权，有权知悉个人数据是否被处理、被处理的目的和被处理的方式等（所谓“参与权”），有权拒绝其个人数据的处理以及请求更正、删除、限制，还享有获得救济权，即受到侵害时得请求救济；数据控制者则在事实上控制个人数据，其不仅对个人数据享有事实上的控制利益，而且由于数据控制者是格式化数据的创造者和天然保存者，为了鼓励数据控制者的创新付出，法律上赋予其特定的法律地位（如天然的、第一顺位的数据处理者地位）；数据处理者是代表数据控制者处理个人数据的自然人、法人、公共权力机关、代理机构或其他机构，7可以是数据控制者，也可能是外包的、具有大数据分析能力和技术的独立第三方。数据控制者和数据处理者的数据收集、利用或其他数据处理行为均无需经过数据主体的同意（尽管数据主体享有知情权），但法律对数据控制者和数据处理者均课以更沉重的合规义务，需事先开展数据处理风险评估并建立数据风险内控机制。

作为数据访问权机制的关键一环，由于数据控制者在事实上控制着数据，并且常常在相关服务或技术市场处于市场支配地位，这非常容易导致竞争法上的垄断问题，从而产生市场失灵的效果，目前大多数因数据利用行为在数据控制者和数据处理者之间的产生争议，都涉及到数据控制者的垄断问题。比如最近在美国发生的hiQ与领英之间的数据争议，前者是一家为客户提供雇员评估服务的公司，其服务基础是对市场上公开获取的数据进行统计分析，主要依托于职业社交网站领英的公开数据。2017年5月，领英要求hiQ停止非授权性抓取数据并通过技术手段阻止hiQ抓取相关数据。hiQ认为领英构成不正当商业行为并请求法院发布临时禁令。法院在审查领英是否存在不可挽回的损害时（作为临时禁令的四个条件之一），9认为现有证据表明领英正试图进入数据分析市场，可以认定其滥用市场地位，不正当地将其在“职业社交网络服务市场”的市场力量，传导到“数据分析市场”，以获得在数据分析市场上不正当的竞争优势，而《谢尔曼法》正是要禁止企业通过传导其垄断力量的方式“封锁竞争或获得竞争优势，或者摧毁竞争对手。”由于领英的用户数据仍然向第三方开放，因此其关于为了保护用户隐私的抗辩不能成立。10因此，为了鼓励数据分析和数据利用行为，避免数据控制者利用其事实上控制数据的地位垄断数据的利用从而造成数据利用市场失灵，数据访问权制度授予数据处理者访问某些类型数据的权利，访问权应限于为有资格的主体进行数据分析之目的，而无论此分析是在有权人的公司内组织还是外包给独立的数据分析服务供应商。11

四、现行法数据收集利用原则的丰富内涵

就华为与腾讯之间的数据争端，笔者只能基于目前披露的事实进行分析，且因披露的事实相当有限，仅能就华为公司“已经取得数据主体的授权”这节事实进行分析，目的是为了展现数据处理者在收集、处理数据之前所面临的复杂的合规要求以及需要解决的相应问题。显然，这些问题的提出并非表明笔者对腾讯公司的支持，更不能解读为对华为公司的质问，而仅仅是基于目前有限的事实、对当下轻易获取相关主体的格式化“同意”声明所展开的进一步思考。表面上看这些数据处理者的数据收集利用行为似乎已经满足我国目前数据法规的合规性要求，但仔细思考至少还存在如下问题需要查清，表明我国现行法律框架下的数据原则的丰富内涵。

第一，就数据公开原则的遵守而言，《信息安全技术公共及商用服务信息系统个人信息保护指南》明确规定公开告知原则：对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。那么，数据处理者收集数据之前是否已经明确公开了数据收集和利用的特定目的、收集方式和手段、具体内容和留存时间、保护措施、处理者的名称地址联系方式、数据主体提供数据后的可能风险、数据主体不提供数据的后果、数据主体的投诉渠道、转移数据的转移目的、转移内容和范围等？

第二，就数据必要原则的遵守而言，《信息安全技术公共及商用服务信息系统个人信息保护指南》（下称《指南》）规定只处理与处理目的有关的最少信息，达到处理目的后，应在最短时间内删除个人信息。只收集能够达到已告知目的的最少信息，不违背收集阶段已告知的使用目的，或超出告知范围对个人信息进行加工，不违背收集阶段告知的转移目的，或超出告知的转移范围转移个人信息，收集阶段告知的个人信息使用目的达到后，应立即删除个人信息；如需继续处理，要消除其中能够识别具体个人的内容；如需继续处理个人敏感信息，要获得个人信息主体的明示同意。那么，数据处理者是否收集了与其提供的服务无关的个人信息？是否仅仅处理与收集目的相关的最少信息并在实现目的之后的最短时间内删除？

第三，就数据同意原则的遵守而言，《指南》规定处理个人信息前要征得个人信息主体的同意，并区分一般信息和敏感信息分别采取默示同意和明示同意的方式。那么，数据处理者是以何种方式取得数据主体的同意？明示还是默示？微信聊天信息和手机短信信息可能涉及特殊的敏感信息，处理者针对这些信息的收集利用是否已经征得数据主体的明示同意？其中可能还涉及未满16周岁未成年人的微信聊天信息和短信信息，处理者原则上对此信息不得收集，确需收集时是否征得法定监护人的明示同意？

第四，就数据安全原则的遵守而言，《指南》规定：采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技術手段，保护个人信息安全，防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。要采取相应的管理措施和技术手段，就需要事先对个人信息遭受损害的可能性和严重性进行评估。本案的数据处理者是否建立做了相应的内控机制？是否采取了相应的技术手段？

第五，就数据质量原则而言，《指南》规定：保证处理过程中的个人信息保密、完整、可用，并处于最新状态。正是因为数据质量原则，数据主体享有数据处理的参与权，《指南》规定：发现其个人信息存在缺陷并要求修改时，个人信息管理者要根据个人信息主体的要求进行查验核对，在保证个人信息完整性的前提下，修改或补充相关信息。《网络安全法》还规定了数据主体的被遗忘权；endprint

第六，就数据处理者和数据控制者之间的关系而言，数据控制者在事实上控制数据，在我国缺乏访问权或便携权机制的背景下，数据处理者只能就受保护的个人数据处理行为向数据控制者取得授权，或者相互之间达成协议，不可能径由数据处理者处理用户数据，当然个案中也可能存在数据控制者利用其数据控制事实和即时通讯市场的支配地位，封锁数据分析市场从而导致反垄断问题，这些问题需要对案件的全部事实和证据进行审查而得出结论；

凡此种种的数据合规性问题必须由数据处理者开展事先的专项数据风险评估才能解决，而这种数据风险评估事项又依赖于内部数据风险控制机制的建立。实际上，这些合规要求早已在行业标准和自律规范中确立，《网络安全法》只是将这些合规要求上升到了法律层面，比如该法第21条明确要求网络运营者按照网络安全等级保护制度的要求，制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。

五、展望

将规范数据保护利用的思路仍然囿于与数据有关的知识产权、反不正当竞争或者反垄断的视角甚至脱离数据保护利用的国际规则试图“从零开始”打造全新的财产权或支配权体系，不仅已经落后于中国立法者的实际立法行动，更远远落后于全球数据立法的实践，需要转变思路跟上日新月异的技术和商业发展。有评论认为，华为腾讯之间的数据之争打响了中国数据法律之争的第一枪，尽管言过其实，但两大公司的这一争端确实为思考中国数据保护利用的法律规则和企业合规建设提供了绝佳的素材。企业在建立商业模型时，特别是向终端消费者提供传感器设备产品的公司，必须考虑到数据保护利用的各种规则。12

我国《民法总则》和《网络安全法》等法律法规为个人数据保护利用的法律规制已经迈出了重要一步，但还远远不够，立法者存在过于重视个人数据保护的倾向，因而现行法律法规都围绕个人数据保护权展开，个人数据保护的目的、个人数据权益性质等基本问题还有待澄清明确，个人数据保护原则面临现代化难题，个人数据处理相关方之间的法律关系有待厘清（从而得以明确数据控制者和数据处理者的权利义务），个人数据收集、利用、本土化、跨境传输及例外规则等有待确立，个人数据权益受损的私法请求权基础需要进一步廓清和体系化，个人数据保护的执法机构和执法机制也有待进一步理顺等等。总之，数据保护和利用的法律供给是数字经济发展以及释放数据红利的制度保障。数据保护利用的国际规则从上世纪八十年代制定以来，因数据保护利用的需求、技术和商业背景等发生重大改变而处于不断修订之中，全球學术界针对数据权益性质及其归属等基础法律问题的研究还存在较大争议。在国内外法律、技术和商业背景下，立足本土、面向全球、侧重规范数据利用——至少数据保护和数据利用双管齐下——的统一《个人数据保护法》的建立已经刻不容缓。endprint