数据权益与个人信息具有不可分割性
作者:王利明(中国人民大学法学院教授)
数据权益和个人信息之间的关系,不可采取用益物权和所有权相分离的关系(即两权分离关系)来进行描述。如果将个人信息权益作为“母权”,就可以将数据权利作为“子权”,通过设定数据原发者拥有数据所有权与数据处理者拥有数据用益权的二元权利结构,以实现数据权益分配的均衡,这种分析路径实际上仍然是用传统的物权理论来观察分析数据财产权益的现象,其合理性在于揭示了数据权益产生的部分原因和基础在于个人信息,但这种完全以有形财产的权利结构来观察数据财产权益的现象,显然无法准确解释数据权益与个人信息的相互交织关系。
采集和处理个人信息未作出匿名化处理,数据权益和个人信息权益是难以分离的
诚然,确有一些数据的权利与个人信息是分离的,可以被某个单一的数据处理者完整控制和享有,就像传统物理世界中一个人对某个客体的完全所有一样。例如,完全不涉及个人信息的公共数据和企业数据。再如,将个人信息进行匿名化处理且完全排除了技术复原的可能性。但在采集和处理个人信息未作出匿名化处理的情形下,数据权益和个人信息权益是难以分离的。也正是因为数据往往是个人信息的集合,欧盟《通用数据保护条例》通过数据保护形式保护个人信息,这就体现了数据与个人信息的紧密联系。
数据权益与个人信息交织在一起,形成一种你中有我、我中有你的交融状态。数据处理者要行使权利,必然要受制于个人信息主体的个人信息权益制约。反之亦然,个人信息权益的行使也会对数据处理者的数据权益产生重大影响,具体表现为以下几方面。
一是数据权益的享有和行使应以尊重信息主体享有的各项信息权益为前提,并且必须在法律规定和合同约定的权限范围内行使数据权利。例如,数据处理者虽然在处理数据之前已经获得了信息主体的授权,并且依据合法授权而处理信息主体的个人信息,并形成了数据。但这并不意味着其有权任意将该数据与他人共享。因为共享是对他人信息的新的再次利用,对被共享者来说,也是一种信息收集行为。数据处理者与他人共享数据应当再次取得信息主体同意。
二是信息主体行使撤回同意权。即便数据处理者已经依据信息主体的授权,通过处理他人的个人信息形成了数据,但信息主体仍然可享有撤回同意权等个人信息权益。个人撤回同意没有期限限制,而且信息主体撤回同意并不需要说明理由。此外,信息主体撤回同意后,原则上没有溯及力,也就是说,撤回同意后,不影响撤回前因个人同意已进行的个人信息处理活动的效力。据此,此种权利在性质上可视为任意解除权。一旦信息主体行使撤回同意权,数据处理者不得拒绝。
三是信息主体行使信息携带权。在实践中,信息携带主要是指用户将在某个平台的数据移转至另一个平台。如将某个通信公司中的通话信息移转至另一家公司;又如,将用户在某一电商平台上的消费信息转移至另一电商平台。从竞争政策的角度,信息携带权不仅有助于维护信息主体对其个人信息的自主决定权,而且可以提升竞争并且鼓励创新。如果不允许数据携带,则用户在移转到另一个平台时,需要重新积累数据,这不仅成本较高,而且用户前期积累的数据也无法利用,这显然不利于用户对数据的有效利用。当然,信息携带权的行使必须符合法律规定的条件。
四是信息主体行使信息删除权。即在符合法律规定或者当事人约定的情形下,信息主体可以请求信息处理者及时删除相关个人信息的权利,该权利旨在保障信息主体对其个人信息的自主决定。在信息控制者删除信息后,应当使被删除的信息处于不被检索、不被访问和浏览的状态;如果仍然可以被检索、访问,则并没有完成删除行为。一旦信息主体行使信息删除权,同样将对数据处理者的数据权益产生重大影响。
解决数据权益冲突现象应明确的几点规则
我们之所以放弃用所有权及其分离理论来解释数据权益,还有一个重要原因在于,采集和处理个人信息而不进行匿名化处理,一旦信息主体行使权利时,必然会对数据权利产生重大影响,这就形成了两种权利的相互冲突现象。笔者认为,解决数据权益冲突现象应明确如下规则。
第一,信息主体应依法行使其个人信息权益,这也是维护数据处理者权益的前提。如果信息主体行使权利过于随意,自然会不当损及数据处理者的合理预期和正当权益诉求。信息主体不当行使个人的信息携带权,则可能会影响数据产品本身的流通和使用,也可能会影响数据产品本身的数据权益的权益完整性,还可能会影响数据处理人对数据权益的行使。因此,信息主体必须依据《个人信息保护法》的规定,正当行使信息携带权。
第二,信息主体合法行使其信息权益,数据处理者不得拒绝。例如,如果某用户在某个平台依法将其个人在该平台上的留言、通话记录等数据携带到另一个平台,这将影响该平台对数据产品的完整性,数据产品的处理人能否禁止该用户行使携带权?显然依据《民法典》《个人信息保护法》的相关规定,此时,首先要判断信息主体行使权益是否合法、正当,只要该权利行使合法,就应当优先保护个人信息主体的权益。这就是说,虽然这两种权益之间存在冲突,在此情形下也应当首先依据《民法典》《个人信息保护法》的规定,充分保护信息主体所享有的各项信息权益,这实际上也就是在保障数据权益。因此,数据处理者必须尊重和保护信息主体的个人信息权益。
第三,数据处理者应充分尊重信息主体对其信息权益的合法行使,需要指出的是,如果法律对信息主体的权益保护没有作出具体、明确规定,产生了模糊地带,此时如何处理权益冲突?笔者认为,此时应当依据权利位阶理论,基于人格尊严优先的原则,优先保护信息主体的权利。因为人格尊严的维护要优先于财产利益,毕竟数据主体享有的是财产性权益,而信息主体所享有的是人格权益,人格权益直接体现的是人格尊严,是对人的主体性的体现,财产毕竟是身外之物,所以优先保护人的权益就是优先保护人的主体性和目的性。在此情形下,数据处理者享有的对于数据产品的权利应当受到一定的限制。当然,如果个人信息处理者对其所处理的个人信息进行了匿名化处理,则相关的个人信息与个人之间的关联性将被消除,其不再属于个人信息,而应当属于纯粹的数据,此时,数据处理者即可对该数据享有更广泛的权利。
我们之所以强调数据权益与个人信息之间的密切关系,旨在说明在我国数据立法中,对数据权益的保护首先体现在对个人信息的保护上。尤其是在建立大数据市场的过程中,尽管政策和立法设计的重点是鼓励数据采集和流通,但鉴于数据采集和处理个人信息中,必然伴随的是个人信息权益受侵害的风险,在没有进行匿名化处理的前提下,有必要在促进和发展数据要素上的财产性权益的同时,注重坚持和强调个人信息权益保护的优先性。这也是我国数据立法所应当坚持的基础性原则和理念。