ENGLISH 现在是:

image.png

学界动态

王利明:数据共享与个人信息保护学界动态

时间:2019-05-07   出处:  作者:王利明 中国人民大学常务副校长  点击:

一、问题的提出             

我们已经进入到互联网、大数据时代。在大数据时代,数据的开发与再次利用在很大程度上依赖于数据共享,数据共享成了大数据公司重要的盈利模式,没有数据共享,将难以对数据进行二次开发,数据也难以成为财产,数据产业也难以发展。目前,各个互联网公司竞相推出自己的开放平台战略和开放平台。数据共享也会对经济运行机制、社会生活方式和国家治理能力产生重要影响。但由此带来的其与个人信息等人格权的保护之间的冲突越来越明显。可以说,如果不强化数据共享中的个人信息保护,数据产业也难以健康发展。有鉴于此,本文拟对此谈一点看法。

二、数据共享中应当强化个人信息的保护

数据是信息的表现形式。在互联网时代,其主要就是指以电子化方式存储的信息。从法律上看,数据共享既是一种数据财产的利用和使用行为,也是一种数据开发与再利用行为,同时,数据共享也可能是一种个人信息的收集、储存、利用问题。数据共享的发展要求我们高度关注对个人信息的保护,在我国正在制定的民法典中,有必要设置专门的规则,规范数据共享行为,强化对个人信息权利的保护,其原因主要在于:

第一,数据中包括了大量的个人信息。在这些以电子化方式存在的信息中,大量的内容包含了个人信息,即可以和某个特定的自然人相联系的信息。大量的数据涉及个人的信息和隐私,甚至涉及个人的敏感信息和核心隐私。

第二,数据共享包括个人信息的收集和传输行为。所谓收集,是指相关主体获取个人信息的行为。数据共享实际上是数据控制者范围的扩张。数据共享的过程就是数据开发者、控制者向被共享者传输数据的过程,被共享者如果再次将该数据共享,将导致数据的广泛传输。这个过程既是数据财产的流转行为,同时也涉及个人信息的反复收集、利用的过程。一旦缺乏规范,使数据的收集、传输失控,将导致大量的个人信息遭受不当使用,甚至是泄露。

第三,个人信息的共享也是个人信息的再利用方式。数据共享之所以是个人信息的再利用方式,除了共享本身是对个人信息的再利用,还有被共享者获得了这些信息数据后,其可能对其进行再次加工、利用,甚至再次进行共享。所以,不能由信息持有者随意共享给他人,被共享者也不能在获得信息之后随意再次共享或者允许他人利用,更不能将这些信息经过整合后再投入数据黑市进行交易。

从以上的分析可见,数据共享和个人信息保护的关系十分密切。数据共享对个人信息保护提出了严峻的挑战。所以,在未来有必要规定大数据中个人信息和隐私的保护问题,这也是适应信息社会、大数据时代的特殊要求和面向21世纪的当然要求。


三、数据共享中的个人信息仍然属于信息权利人的权利

之所以在数据共享中要强化对个人信息的保护,一个很重要的原因在于,维护个人对其信息的支配,维护私法自治,维护个人的人格尊严。因此,在数据开发中应当注重对个人信息的保护,必须要在坚持保护个人信息基本权利的前提下,促进数据开放与信息共享。

数据共享中的许多数据能涉及个人信息和隐私,行为人在利用过程中可能多次利用此类信息,甚至将其公开。这就提出了一个问题,在数据共享中是否应当征得信息权利人同意?

依据《网络安全法》第41条、《民法典各分编(草案)》第814条规定,个人信息的收集和利用原则上应当征得个人的同意,但问题在于,上述规则是否仅适用于个人信息的初次收集行为,而不适用于信息共享行为?笔者认为,信息收集的知情同意规则应当适用于所有个人信息收集的行为,而不仅限于个人信息的初次收集行为。但依《民法典各分编(草案)》第817条的规定,“未经被收集者同意,不得向他人提供个人信息”,笔者认为,该条主要适用于信息共享,也就是说,信息的收集者和持有者未经信息权利人同意,不得实施信息共享行为。其主要理由在于:

第一,知情同意本身就是信息权利人对其个人信息支配权的具体体现,此种支配应当是一种独占性的支配,其也可以成为信息自决的权利。

第二,个人信息权利不可能完全转让,信息收集者不能随意共享个人信息。个人信息权利以主体对其个人信息所享有的人格利益为客体,人格利益在性质上具有人身专属性,并不具有可让与性。

第三,信息权利人允许信息收集并不等于允许信息分享。信息权利人对其个人信息享有独占性的支配权,信息的收集、利用行为原则上都应当经过信息权利人的同意。

第四,必须保障信息权利人对个人信息流通过程的控制,也就是说,信息无论向谁共享,在共享的范围内,都应当经过信息权利人的知情、同意。即使在特殊情形下,信息共享行为难以完全实现个人的知情同意,也应当通过特殊的规则强化对信息权利人的保护,以弥补知情同意规则适用的不足。


四、数据共享必须要获得个人信息权利人的授权

(一)应当有效规范信息主体的授权行为

第一,授权必须是明确的。也就是说,数据共享一旦涉及个人信息,则应当获得信息主体的明确授权。

第二,必须针对数据共享特别授权。在收集、利用个人信息时应当取得个人的授权,数据共享也应当取得信息主体的特别授权。

第三,必须严格限制概括授权。鉴于个人信息与信息主体人格利益之间的紧密联系,此种委托可能会造成信息主体对于个人信息的完全失控,从而带来超出其合理预期的影响。

第四,不需要授权的情况应该法定化。笔者认为,不需要授权的情况应当由法律明确规定下来,做出明确列举,这样既可以保护个人信息的权利,也可以为数据产业的发展提供明确的行为标准和发展预期。


(二)共享者获得信息后,应当在信息主体授权范围内使用

笔者认为,数据共享行为应当严格限定在授权的范围内。一方面,除信息主体对被共享者有特别授权外,被共享者对相关信息所享有的权利不得超出信息共享者权利的范围。另一方面,如前所述,要使信息权利人控制信息共享的过程,使个人信息保护不至于失控,信息共享者应当在授权范围内共享信息。


(三)数据共享应遵循合法、正当、必要、最小化使用的原则

数据共享时仍应当遵循与初次收集个人信息相同的基本规则,包括遵循正当、合法、必要等规则。《网络安全法》第41条对此作出了规定。《民法典各分编(草案)》第814条也规定,收集、使用自然人的个人信息的,应当遵循合法、正当、必要的原则。笔者认为,除上述原则之外,个人信息的搜集、使用和共享还应当遵循“最小化使用原则”。它是指在从事某一特定活动时可以使用、也可以不使用个人信息时,要尽量不使用;在必须使用并征得权利人许可时,要尽量少使用。


五、民法典编纂中应进一步强化对数据共享中个人信息的保护

(一)妥当平衡数据流通与个人信息、数据权利之间的关系

我国正在编纂的民法典应当妥善平衡二者的关系,既要注重发挥个人信息的经济效用,也要注重保护信息主体的个人信息权利,不能因为过度保护个人信息等权利而限制了数据产业发展,也不能为发展数据产业而不考虑个人信息等权利的保护,民法典的相关规则设计应当妥善平衡二者之间的关系。


(二)在区分个人信息类型的基础上设计数据共享规则

企业在进行数据共享时,应当对其是否涉及人格利益进行必要的审查,对于不涉及人格利益保护的情形,不应当严格限制数据的流通和共享。法律也应当建立明确的数据保密等级与公开等级,并保护公民、商业组织的数据隐私权或商业秘密,同时,也应当积极推动各类数据资源的社会共享。应当区分个人信息的不同类型,设计相应的数据共享规则,对不同类型的个人信息而言,对信息主体同意的要求和形式也是不同的,不同类型的数据应当有不同的同意规则,具体而言:一是,共享敏感个人信息应当征得信息主体的明示同意。二是,共享敏感个人信息之外的个人信息,应当相对弱化信息主体的同意要求。三是,严格限制共享未成年人个人信息的行为。


(三)进一步完善数据共享中的授权规则

虽然《民法典各分编(草案)》第817条规定了个人信息共享的规则,但该条规定过于简略,难以有效规范数据共享行为,有待于进一步地细化。民法典编纂应当对数据共享的形式、数据共享的范围等具体的数据共享规则作出规定;同时,为强化对信息权利人的保护,民法典分则应当明确规定,被共享者在获得相关的个人信息后,再次共享仍应当经过信息权利人的授权。另外,有必要确立个人信息匿名化处理的规则。


(四)明确信息共享中信息收集人和持有人对个人信息的安全保障义务

从《民法典各分编(草案)》第817条的规定来看,信息收集人、持有人保障个人信息安全的义务限于信息的收集和存储阶段,并不包含信息共享阶段。而且与信息的收集和存储相比,信息共享涉及个人信息的流动,更容易发生个人信息的泄露、毁损和丢失,民法典有必要对信息共享中信息收集人和持有人保障个人信息安全的义务作出规定。


(五)对信息共享中格式条款予以规范

实践中,互联网企业可能会利用其经营、技术上通过格式条款的形式设定不利于保护用户隐私、个人信息等的数据共享条款。这就需要有效规制此类格式条款,具体而言有如下几点。第一,互联网企业应当在协议中显著标识个人信息共享的条款,以提示用户注意该条款的内容。第二,对互联网企业所拟定的数据共享的格式条款,可以由相关主管部门对该条款的合法性进行事先审查,相关的行业协会也可以拟定数据共享的示范条款。第三,如果数据共享的格式条款明显不利于保护用户的隐私、个人信息等权利,则信息权利人应当有权否定该条款的效力,该条款也不能成为互联网企业共享用户个人信息的正当性基础和侵权的免责事由。

六、结语

“法与时转则治”,在互联网、大数据时代,数据共享对数据产业的发展具有基础性的意义,数据共享需要妥当平衡数据产业发展与个人信息、数据权利保护之间的关系。从促进我国数据产业发展的现实需要出发,应当鼓励数据共享行为,但数据共享又不能完全离开个人信息保护,否则,数据产业可能进入野蛮生长状态。为保障数据产业健康有序发展,应当在保护个人信息权利的前提下规范数据共享行为,这也是我国民法典编纂应当秉持的立法原则。

(本文经过王利明教授授权许可,精选自王利明教授发表于2019年第1期《现代法学》的论文“数据共享与个人信息保护”;未经许可,不得转载。)

中国知识产权司法保护网(知产法网)主编


蒋志培 中国人民大学法学博士,曾在英国伯明翰大学法学院、美国约翰马歇尔法学院任高级访问学者,中国人民大学法学院、北京外国语大学法学院兼职教授,中国知识产权司法保护网主编、国家社科基金评审委员会专家,最高人民检察院民行诉讼监督案件专家委员会委员,2014年、2015年受美国约翰马歇尔法学院、中国驻加拿大使馆和加方科技部邀请参加知识产权法律和创新论坛并演讲,2013年12月获得中国版权事业卓越成就奖。