作者: 陈兵(作者系南开大学法学院教授、竞争法研究中心主任,本文是国家社科基金后期资助项目“数字经济与竞争法治研究”的阶段性成果)
[ 可以说,数据的权属划归、个人信息保护与数据利用、数据流通共享之间紧张关系的妥善处理直接关系到数字经济的持续健康发展。在此背景下,通过《民法典》的实施与完善,做好数据确权,在保障合法的数据权益的同时促进数据的流动和开放具有深远意义。 ]
数字经济时代的技术进步和商业模式创新给广大消费者与企业带来了前所未有的便利与高效率,特别是在疫情期间,无接触式交易模式与数字化物流配送系统的融合更是极大地彰显了数字经济相较传统经济的巨大优势。数据是数字经济高质量发展所需的关键生产要素,数据的流通与共享是数字经济领域各类企业经营业务开展与创新的重要保障。然而,数据流通使用与个人信息保护却存在一定程度上的紧张关系。
不同类型的个人信息是数据的重要来源和主要成分,企业通过海量的数据收集可以实现销售目标的精准定位、商品的开发创新,为消费者提供个性化服务,但是个人信息乃至数据的收集与利用不应当是无边界的,个人信息的过度采集、数据信息泄露、数据垄断、数据不正当竞争等问题已经逐渐显露。譬如,媒体报道的取厕纸“刷脸”、进小区刷脸、去看房刷脸、打车刷脸、注册APP刷脸等涉嫌过度收集个人信息的事件已经引发了社会对信息安全的普遍关注,甚至在部分信息泄露案件中已经实际招致了消费者的重大财产损失。
近日,中国人民银行、银保监会、证监会、外汇局等金融管理部门联合约谈某集团,提出重点业务领域的整改要求,其中“保护个人数据隐私”便是重要一项。2020年中央经济工作会议明确指出,强化反垄断和防止资本无序扩张。反垄断、反不正当竞争,是完善社会主义市场经济体制、推动高质量发展的内在要求。国家支持平台企业创新发展、增强国际竞争力,支持公有制经济和非公有制经济共同发展,同时要依法规范发展,健全数字规则。要完善平台企业垄断认定、数据收集使用管理、消费者权益保护等方面的法律规范。要加强规制,提升监管能力,坚决反对垄断和不正当竞争行为。金融创新必须在审慎监管的前提下进行。
实践中围绕数据权属与数据使用也已经引发了诸多数字企业之间的法律争端,例如,微梦诉淘友天下(脉脉案)、汉涛诉百度(大众点评案)等。这些事件虽然表征各异,但是究其实质都与数据权属划归、数据的合理采集使用边界、数据安全密切相关。可以说,数据的权属划归、个人信息保护与数据利用、数据流通共享之间紧张关系的妥善处理直接关系到数字经济的持续健康发展。在此背景下,通过《民法典》的实施与完善,做好数据确权,在保障合法的数据权益的同时促进数据的流动和开放具有深远意义。
有关隐私权和个人信息保护的规定是《民法典》一大亮点
2019年10月31日,党的十九届四中全会决议通过了《中共中央关于坚持和完善中国特色社会主义制度,推进国家治理体系和治理能力现代化若干重大问题的决定》,首次将数据增列为生产要素,要求建立健全由市场评价贡献、按贡献决定报酬的机制。其后,2020年3月30日,在《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》中明确提出要“加强数据资源整合和安全保护。探索建立统一规范的数据管理制度,提高数据质量和规范性,丰富数据产品。研究根据数据性质完善产权性质。制定数据隐私保护制度和安全审查制度。推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护”。
2020年5月28日,第十三届全国人民代表大会通过了《民法典》,今年1月1日正式实施。这是新中国成立以来第一部以“法典”命名的法律,是新时代我国社会主义法治建设的重大成果。《民法典》既是诸多民事法律规范的集大成者,又在诸多方面进行了制度创新与发展,有关隐私权和个人信息保护的规定便是其中的一个亮点。
次日,习近平总书记发表《充分认识颁布实施民法典重大意义,依法更好保障人民合法权益》的重要讲话,其中提到“法与时转则治”。也就是说随着经济社会不断发展、经济社会生活中各种利益关系不断变化,新技术、新产业、新业态和人们新的工作方式、交往方式、生活方式不断涌现,《民法典》在实施过程中必然会遇到一些新情况新问题。在这种情况下,要坚持问题导向,适应技术发展进步的新需要,在新的实践基础上推动《民法典》不断完善和发展。
结合党中央、国务院对数据资源整合和安全保护的要求与《民法典》对个人信息保护所作出的制度安排来看,《民法典》体现了完善数据权属、对数据分类分级进行保护及与时俱进的基本精神和具体制度安排。
在数据权属的规定方面,《民法典》采取了开放式的立法例,为经济发展与技术创新进步的要求预留了足够空间,体现了“法与时转则治”的立法理念和实践安排。具体而言,在《民法典》总则第五章即“民事权利”一章中,《民法典》区别于自然人享有的“生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权”等权利及法人、非法人组织享有的“名称权、名誉权和荣誉权”,对个人信息并未明确授予“权”之称号。即,依据《民法典》第一百一十一条第一款的规定,自然人的“个人信息”受法律保护,此处并未使用个人信息权的表述形式。
另外,《民法典》总则第一百二十七条明确规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。这也就为今后数据、网络虚拟财产权属的确立留足了立法空间,也是希望通过建立包含个人人身利益与财产利益在内的权益集合的形式来表达对个人信息权益的保障,等待实践成熟后,上升为相应权利类型或者采用权利束的形态统合有所涉及个人信息权益的内容。这种“收放自如”的立法安排体现了科学理性的立法态度和立法技术。
在隐私权和个人信息保护方面,《民法典》在第四编即人格权编中的第六章分别对隐私权的概念、侵害隐私权的典型行为、个人信息的概念、个人信息保护规定与隐私权保护规定的法律适用关系、适度处理个人信息的基本原则和条件、处理个人信息的免责情形、个人对其自身信息所享有的权利、信息处理者的保密与安全保障义务及国家机关、行政机构的保密义务作出了规定。总体来说,可以归纳为个人信息的概念、适度处理原则,以及保护措施三个大方面。
首先,在概念方面,《民法典》明确“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。其中,能否识别出特定的自然人是个人信息的重要特征,为了提高对个人信息的理解,《民法典》列举了个人的姓名、生日、身份证号码等典型的个人信息类别。另外,在个人信息与隐私权规定的法律适用关系方面,《民法典》规定对于个人信息中的私密信息部分,适用有关隐私权的规定。
其次,在个人信息的适度处理原则方面,《民法典》彰显了分级保护的态度,区分信息是否已经合法公开的情形,规定了区别化的保护要求。对于尚未合法公开的个人信息,进行处理时应当遵循合法、正当、必要原则,不得过度处理,并符合四个条件,即征得同意;公开处理信息的规则;明示处理信息的目的、方式和范围;并且不违反法律、行政法规的规定和双方的约定。对于自然人自行公开的或者其他已经合法公开的信息,除了该自然人明确拒绝或者处理该信息侵害其重大利益的情形以外,合理处理相关已公开信息则不承担民事责任。
最后,在个人信息的人格权保护措施方面,《民法典》从自然人、信息处理者及公权力机关三方的角度构筑了个人信息的立体保护模式。从自然人的角度讲,自然人对其个人信息享有查阅、复制、请求更正及在信息处理者违法、违约的情况下请求删除信息的权利;信息处理者则负有不泄露、不篡改、不向他人非法提供个人信息的消极不作为义务,还负有采取措施防止信息泄露、篡改、丢失及在发生危急情况时及时采取补救措施与进行报告的积极作为义务;而国家机关、承担行政职能的法定机构及其工作人员则对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
数字经济的持续健康发展需要数据法治的保驾护航,妥善处理信息安全与信息流通共享问题是其中的关键。《民法典》为信息财产权(益)的确立留下了立法空间,对个人信息人格权构筑了三维立体的保护模式。然而,也应注意到《民法典》的保护还仅为私法层面上的保护,个人信息乃至数据的全面保护,在私法以外还需要公法及社会法层面上的保障与支撑。与此相呼应,2020年10月,十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法(草案)》进行了第一次审议,并在会后向社会公开征求意见。《草案》第一条明确将“保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用”作为立法目的。
2020年11月,国家市场监督管理总局发布了《关于平台经济领域的反垄断指南(征求意见稿)》,其第一条、第二条中都明确提出维护消费者合法利益,以及第二十条第一款第(六)项更是明确规定“经营者集中对消费者的影响。可以考虑集中后经营者是否有能力和动机以提高商品价格、降低商品质量、减少商品多样性、损害消费者选择能力和范围、区别对待不同消费者群体、不恰当使用消费者数据等方式损害消费者利益”。随后,在中国人民银行、银保监会、证监会、外汇局等金融管理部门两次约谈某公司的过程中都提及对消费者数据安全的保护及不得滥用问题。
可见,当前对个人数据信息的有效保护和合理利用已成为经济社会发展各领域各面向亟待回应和解决的问题。《民法典》作为“社会生活的百科全书”统筹社会经济生产生活的方方面面,其施行正当其时,有利于对个人信息提供最权威最及时的保护,特别是在数字经济高速发展的过程中,海量生成的含有各类型个人信息的(大)数据的保护与流通共享更是提供了根本性的定位与定则,这为统筹协调现有多部门法、多保护方式提供了基础性的规范和协商框架,有利于在《民法典》的基础上推动个人信息、个人数据的多元统筹保护与合规开发利用,最终实现个人信息领域安全与发展的统合与共进。