English

检测到您当前使用浏览器版本过于老旧,会导致无法正常浏览网站;请您使用电脑里的其他浏览器如:360、QQ、搜狗浏览器的极速模式浏览,或者使用谷歌、火狐等浏览器。

下载Firefox

数据与个人隐私

/根目录 /首页 /学术观点 /数据与个人隐私

王利明 | 数据的民法保护

时间:2023-03-16

【作者简介】

王利明:中国人民大学法学院教授, 中国人民大学民商事法律研究中心研究员

【文章来源】

《数字法治》2023年第1期

【内容提要】对数据权益进行保护,民法具有公法所不能替代的独特功能。数据权益本身是一种民事权益类型,《民法典》宣示了数据权益作为民事权益的属性。民法对数据权益的确权,为其他法律对其提供保护的前提和基础。民事权益的救济也可以广泛地适用于数据权益的保护。对于数据权益,知识产权法、《个人信息保护法》《反不正当竞争法》均不能完全解决数据权益保护问题。数据权益具有综合性特点,是各项权益的集合,它包含财产因素、人格因素、知识产权等。《民法典》第127条规定属于引致条款。未来有必要通过制定单行法等方式,对数据权益的私法保护进行明确规定。数据的私法保护,需要注重效率性、安全性、透明性、预防性。

【关键词】:数据  数据权益  民法保护  《民法典》  人格权

我们已经进入了一个信息爆炸、万物联网和人际互通的数字时代,人类社会面临着从工业生产经济的迅猛发展到数字经济大爆炸的重大变迁。现代信息技术以数字化、网络化、智能化为特征,深刻地影响、改变了经济社会发展与人民生产生活的方式。数字时代对于法律的调整提出了新的要求与挑战。2022年12月2日,中共中央、国务院在《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《构建数据基础制度意见》)中指出,要“以维护国家数据安全、保护个人信息和商业秘密为前提,以促进数据合规高效流通使用、赋能实体经济为主线,以数据产权、流通交易、收益分配、安全治理为重点,深入参与国际高标准数字规则制定,构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度”。就数据权益的保护而言,它是一项综合性工程,是各个法律部门的共同任务,需要公法与私法相互配合才能完成。本文拟对数据的民法保护谈一点看法。

一、民法对数据保护的必要性和有效性

(一)数据权益不能仅靠公法保护

从广义上说,数字中国建设涉及多种法律关系和多个部门法律规范的适用。在数据权益的保护中,公法主要是通过设定禁止性规范的方式,防止大规模数据侵害行为的发生。例如,《网络安全法》的宗旨是保障网络安全,维护网络空间主权和国家安全、各方合法权益,其重点是对网络运营者进行规范,因此在其中对网络运营者收集与处理个人信息进行了若干规定。《数据安全法》的宗旨是规范数据处理活动,保障数据安全,维护国家主权、安全和发展利益,其重点是国家数据安全与数据跨境流通等问题。虽然公法规范相较于私法规范可能更具威慑力,并能有效维护数据安全,实现有效利用、合规流通,防止大规模侵权发生,但这并不意味着数据权益保护可以完全交由公法进行。针对数据权益的保护,民法保护具有公法所不能替代的独特功能。

(二)《民法典》宣示了数据权益作为民事权益的属性

数据权益本身就是一种民事权益类型。《民法典》第127条对数据权益的民法保护进行了宣示性的规定。数据权益作为民事权益体系的重要组成部分,当然受到《民法典》关于权益保护规则的调整。《民法典》第127条虽然属于引致条款,为未来制定单行法保护数据提供了民事基本法层面的法律依据,但该条将数据置于“民事权利”一章中规定,也宣示了数据的民事权益属性,既然数据在性质上属于民事权益,其应当受到民法保护。且《民法典》第126条规定:“民事主体享有法律规定的其他民事权利和利益。”该条在规定民事权益的范围时,采用了开放性的规定,其也可以涵盖对数据的保护。还应当看到,就数据权益的性质而言,其是综合性权利,但就数据产品而言,其是一种无形财产,具有特殊性,不宜简单地将其归于某一财产类型之中,这也是《民法典》第127条之所以单独规定数据保护条款,而未将数据置于物权或知识产权之下予以保护的重要原因。

(三)民法对数据权益保护的必要性

民法对数据权益的确权,是所有法律对其提供保护的前提和基础,也是数据交易展开的前提和基础。一方面,确权是权益保障的基础。公法对于数据权益的保护主要以对违法行为的制裁为主,这种保护方法总是以权益侵害的事后救济形态出现。但是,对于权益侵害行为的制裁以权益的确立为前提。换言之,只有首先将数据权益在法律体系内进行确权,对其保障才具有正当性。而公法不能完成对数据权益的确权,数据权益的确权正是由民法完成的。数据权益的确权为数据权益遭受侵害后的救济和惩治提供了基础。另一方面,确权是数据交易的前提和基础。按照法经济学的观点,产权需要获得确权之后交易才能进行,明确的确权有利于降低交易成本、节约交易费用。例如,波斯纳就认为,“排他权的创设是资源有效率地适用的必要条件”。数据交易中,无论是转让还是担保等交易形态,都必须以数据能够成为权益客体作为基础。如在数据担保交易中,数据的财产权益性质,为其提供了可供支配的交换价值,因而可以成为担保的客体,数据作为财产的可流通性则为担保权利的实现提供了可能,进而担保权人才能够获得优先受偿。上述对数据权益进行确权的功能,均是公法规范无法实现的。

数据权益的独特性在于其具有综合性特点,这也决定了数据权益保护涉及民法的多项制度,必须依据民法予以保护。

第一,数据权益是一种综合性权益。其可能因为具备独创性而受到知识产权法尤其是著作权法的保护;其可能因为以个人信息的集合形态展现,因而又需要受到个人信息保护规则的调整;在数据信息涉及自然人的隐私时,则需要受到隐私权规则的调整。尤其是数据权益中常常包含个人信息权益,其与个人信息具有不可分割性,难以通过以所有权为基础的权利分离理论来解释,否则会割裂数据与个人信息之间的关联性。即便是企业数据,也可能构成商业秘密,受到私法规则的规范。数据中包含了复杂的权益类型,各种权益呈现出一种网状结构,因而有必要借鉴“权利束”理论作为数据权益的一种分析框架,即数据权益是信息之上产生的多项集合的“权利束”,无法简单地将其看作某一类单一的权利。这就需要借助于民法的各项制度予以规范,例如,数据中可能包含一定的个人信息,而我国《民法典》《个人信息保护法》已经对个人信息的保护作出了规定,这在客观上也需要借助民事法律规范对数据进行保护。因此,单纯由公法对数据权益进行保护,既与数据的综合性权益性质不符,也无法回应从多角度保护数据权益的实践要求。

第二,相关主体在进行数据交易、共享时,必须借助合同法规范的调整,如果当事人违约,还需要依据合同法的规则认定其违约责任。据此可见,数据应当受到民法的保护,特别是许可他人利用、共享中,需要采用合同方式。在数字时代,对数据的利用、共享十分普遍,数据财产之所以能够满足多个主体的同步利用需求,主要还是因为数据资源本身的无形性和可复制性。数据也主要是在利用中产生价值,需要借助“合同网”进行利用。“原则上,它有可能将产权有效地转让给对投资工作最重要的人,并为有关各方提供数据集的某些使用而量身定做的使用许可。”因此,在个人信息的授权处理、数据产品的利用等过程中,都需要借助于合同制度对个人信息、数据等进行保护。

第三,应该区分数据权益和数据产品权益。数据产品权益是将数据整体作为一种无形财产。如果其具有独创性,可以纳入知识产权的保护范畴;如果不具有,也可以作为财产保护,由信息主体享有数据署名权、完整权、复制权、携带权等。但数据产品从整体上看,具有财产的属性,经济学上常常将其称为“数据产权”。这是一种新型的财产权益。因为进入互联网、大数据、数字时代后,人类社会的组织形式已经不限于物理世界而大量进入虚拟世界,物理世界开始与虚拟世界高度融合,在虚拟世界中产生的数据财产突破了物理世界的边界,应当属于一种无形的财产权益,所以,不能完全以观察物理世界的方式观察数据这种无形财产的保护问题。传统的民法规则,如物必有体、物债二分等,无法解释数据财产权益。具体而言,数据财产有如下几个很重要的特点:一是具有无形性。数据的客体具有无形性,不能用有形财产的保护规则对其提供保护。由于数据没有有形的物理形态,通常不存在排他性和恢复原状等问题,因此,传统的物权请求权、占有保护请求权等方法,难以适用于对数据的保护。同时,由于数据可以共享,由多人共用,因此,在数据遭受侵害的情形下,也难以通过排除妨害等方式对其进行保护。二是主体具有多样性。如前述,数据的来源具有多样性,数据财产的主体包括企业、个人等,《构建数据基础制度意见》提出:“建立公共数据、企业数据、个人数据的分类分级确权授权制度。”这就是说,数据的权利主体不同,相关主体所享有的权益也应当有所区别。对个人数据而言,如果处理者未将个人信息匿名化处理,则应当注重保护数据中的个人信息;对企业数据而言,既需要强化对数据处理者权益的保护,如果涉及个人信息,也需要加强个人信息保护;而对公共数据而言,则更应当强调数据的共享与开放,推进互联互通,打破“数据孤岛”,不应对其利用进行过多限制。由于公共数据更应当注重其开放和利用,因此公共数据不一定要明确其权利主体,而应当由有关机关对其进行管理。三是根据数据产品是否具有独创性,而采取不同的保护方式。公共数据大多不具有独创性。企业数据的来源,既包括企业自身产生的数据,也可能包括公共数据和个人信息,因此,企业数据的利用规则较为复杂。对于涉及个人信息且具有独创性的数据产品,则可能需要借助知识产权法予以保护。

(四)民法为数据权益提供了独特的保护方式

民事权益的救济可以广泛地适用于数据权益的保护。以损害赔偿为中心的事后救济体系可以使数据权益已经遭受侵害的权利人获得充分完整的赔偿。除此之外,民法中的预防性保护规范也为数据权益侵害的预防提供了可能。诸如停止侵害、排除妨碍等绝对权请求权等,可以在更大程度上预防损害的发生和扩大。这一功能也是公法中以事后救济为主要导向的禁止性规范所不具有的。

我国《民法典》侵权责任编是以损害赔偿为中心构建的,但其也可以适用于对数据的保护,尤其是《个人信息保护法》已经对侵害个人信息的民事责任作出了规定,对侵害数据的行为也完全可以适用侵权责任法的规则。此外,针对数据侵权行为,停止侵害、赔礼道歉等侵权责任承担方式也可以适用。应当看到,《民法典》第127条在性质上是不完全法条,其主要是引致规范和宣示条款,但由于数据属于民事权益,因此,可以将该条规定与侵权责任编的过错责任条款等规则结合起来,形成完全法条,从而准确认定侵害数据的侵权责任。

二、既有法律制度并不能完全解决数据的民法保护问题

应当看到,数据权益是综合性的权利,很难将其归属于哪一种具体的权利类型,数据中既可能包含个人信息,也可能有知识产权等,对于数据权益的概念需要整体性、全方位地考察,而不是仅仅将其限定为某一种权利,否则观察就过于片面。尤其是在数据权益中,如果涉及个人信息,需要妥善处理好数据与个人信息的关系,其本质上是财产权与人格权的关系。同时,还需要妥当协调好数据权利归属与利用的关系。正是因为数据权益的复杂性,所以,需要民法的多个部门对其进行综合保护,而不是将其简单归属于某项具体制度。

据此,有观点认为,虽然数据是新兴的权利客体,但是现有的法律制度规则足以调整数据权益保护问题。通过知识产权法、《个人信息保护法》《反不正当竞争法》等法律调整即可,不必单独增设数据的规则对数据权益进行保护。笔者认为,这种看法是值得商榷的。

(一)知识产权法不能完全解决数据权益保护问题

有观点认为,既然数据是一种无形财产,其与知识产权这一无形财产具有同等的性质,应当纳入知识产权范畴。同时,与知识产权类似,相关主体在数据产品的研发过程中大多投入了劳动,因此,应当适用知识产权的规则对其提供保护。还应当看到,我国已经建立了完整的知识产权法律制度体系,这就没有必要通过单独立法的方式保护数据,直接适用知识产权的相关规定足以解决数据权益的民法保护问题。

笔者认为,不宜简单地采用知识产权的保护方式保护数据,主要理由在于以下几个方面。

第一,数据虽然是一种无形财产,但也要强调知识产权特别是著作权具有独创性,依据《著作权法》第3条的规定,作品应当具有独创性。而数据如果没有独创性,则难以受到知识产权规则的保护。对许多数据(如企业数据)而言,相关主体收集了大量数据,如网络平台中网店的数据、消费者的个人信息以及企业发布的各种信息等,都可以成为数据,显然,这些数据通常并没有独创性,但这并不意味着任何人都可以随意抓取、使用,其仍应当受到财产权保护。需要指出的是,汇编作品也受到知识产权法保护,但前提是汇编的方式、方法具有独创性,如果只是汇编而没有独创性,则难以受到《著作权法》的保护。特别是对于公共数据、许多企业数据而言,往往缺乏独创性,并不能够适用知识产权法。而对于数据而言,即便没有独创性,其也应当作为财产受到法律保护。

第二,应当区分数据权益和数据产品上的权益。数据产品上的权益和数据权益是不同的概念。数据产品可能具有清晰明确的定位,可以通过适用既有的法律进行保护。例如,对数据进行加工形成的数据库可能适用《著作权法》的规范进行调整。但是,数据权益却是一种综合性的概念,其本身并不能够简单通过知识产权法、《个人信息保护法》等现有规则,一并解决保护的问题。例如,数据大量包括了个人信息,涉及信息处理者与个人信息主体权利的冲突,以及优先保护个人信息的问题,但知识产权一般不涉及这一问题。

第三,保护的价值理念存在区别。知识产权更侧重于控制,其保障权利人对相关知识产权的控制。虽然有观点认为,知识产权制度也鼓励知识的利用,但其本质上更强调权利人的控制。而数据虽然强调保护,但在大数据时代,更侧重于数据的共享共用,尤其是对公共数据而言,更应注重发挥其利用价值。

(二)《个人信息保护法》并不足以解决数据权益的保护问题

从比较法上来看,确实存在通过个人信息保护法来对数据权益提供保护的模式。例如,德国于1976年颁布《联邦资料保护法》(Data Protection Act of 1976);欧盟于2018年正式实施《通用数据保护条例》(General Data Protection Regulation);2018年,美国加利福尼亚州颁布了《加州消费者隐私保护法》(The California Consumer Privacy Act of 2018)。此种模式确有一定的合理性,但也存在不足之处。

首先,应当区分数据权益与数据产品的权益。数据权益是综合性的,但数据产品是无形财产,虽然其中可能涉及个人信息,但数据产品的权益从整体上应当归属于数据处理者。数据权益是综合性的权利,很难将其归属于哪一种具体的权利类型,数据中既可能包含个人信息,也可能有知识产权等。以“大众点评”平台为例,它包含了各种权益。作为整体,它是无形财产。而拆分来看,其中关于消费者的账户、地理位置的内容,属于消费者的个人信息;涉及的算法则属于商业秘密,归属于平台;关于餐饮店的介绍、经营信息、优惠券等则属于经营者;关于符号的设计等,如果具有独创性则还涉及知识产权……由此我们可以发现,数据权益是一个具有集合性特点的权益。在数据权益中,人格权益和财产权益交互,突破了传统民法中以有体物为客体而产生的排他性。但作为数据产品,其权属应当归属于“大众点评”平台。这显然超出了《个人信息保护法》的范围。

其次,数据权益的主体和形态具有多样性。对于公共数据来说,可能根本不涉及个人信息问题,甚至并不需要确权。因为一方面,要积极推动数据要素市场化配置改革,促进数据要素交易流通、开发应用,从而释放数据要素潜力与价值,加快数字产业创新发展,就要让公共数据“多跑路”,让群众“少跑腿”,在这一背景下,应当更多地鼓励公共数据的流通,如果对其进行确权可能不利于甚至妨碍这些数据的流通。将公共财产的保护规则适用于这些数据之上,将给数据流通带来不必要的障碍。另一方面,公共数据也不需要进行交易,因此其并不需要进行确权。此外,即使就企业数据来源而言,其既包括企业自身产生的各种数据(如搜集当地的气象信息形成数据出售给他人),也可能包括公共数据(如企业公开发布的各种通知等),还可能涉及个人信息,但对于不涉及个人信息的企业数据,不能适用《个人信息保护法》予以保护。

最后,即使在数据涉及个人信息的场合,虽然个人信息应当受到优先保护,但是保护个人信息并不能完全解决数据处理者的权利问题。例如,在个人信息权利人通过合同等形式许可他人处理其个人信息时,信息处理者主要是在合同授权的范围内处理个人信息,应该对信息处理者的权利提供必要的保护。因此,完全用《个人信息保护法》也不能替代数据保护规则。

(三)不能简单运用《反不正当竞争法》保护数据权益

由于目前我国对数据产品的侵权保护尚未形成共识,实务中主要通过《反不正当竞争法》对其提供相应的保护。无论是理论界还是实务界,比较流行的观点认为,应当通过《反不正当竞争法》对数据权益进行保护。对于行为人抓取、使用他人数据的行为,应当适用《反不正当竞争法》第2条、第12条的规则进行调整。对于相关主体控制、持有的数据,其他主体具有不当抓取、使用等行为,妨害竞争秩序的,可依照《反不正当竞争法》第2条等规则予以处理。在我国司法实践中,有些法院也通过《反不正当竞争法》的规则调整相关纠纷,如被称为“全国首例大数据产品不正当竞争案”的“安徽美景信息科技有限公司与淘宝(中国)软件有限公司不正当竞争纠纷案”。美景公司以提供远程登录“生意参谋”用户电脑的技术服务为招揽,通过组织、帮助他人利用已订购用户所提供的子账户获取“生意参谋”数据产品中的数据内容,自己从中牟取商业利益。法院认为:“淘宝收集的原始数据经过算法分析后产出的衍生数据已成为网络大数据产品。该产品系经淘宝经营积累而形成,具有实用性,能够帮助商户提高经营水平,进而改善广大消费者的福祉,同时也为淘宝带来了可观的商业利益与市场竞争优势。因此,该数据应当归淘宝所享有。在特殊的网络经济环境下,市场主体只要使用了不正当手段,吸引了消费关注或破坏了他人的吸引力,即落入《反不正当竞争法》规制的范围。”

应当看到,此种观点不无道理,因为一方面,数据权益的侵害大多来自不正当竞争行为,相关行为本身具有违法性,通过《反不正当竞争法》可以有效制裁、遏制相关行为。正如在该案中,法院所指出的“应及时依法制止以不正当技术手段侵害大数据产品获取竞争优势的行为,同时加大惩治力度,给予数据产品研发者充分、有效救济,依法保护数据产品研发者的合法权益”。另一方面,从比较法上看,有些国家也采取了类似的立场,如《德国民法典》第823条第2款规定了违反保护他人的法律的侵权责任问题。此外,从立法层面看,我国《反不正当竞争法》的规则已经十分完善,通过该法保护数据也是妥当的。

但笔者并不赞成这一做法,因为简单运用《反不正当竞争法》难以保护数据权益,主要理由为以下几点。

第一,《反不正当竞争法》主要是公法,完全通过《反不正当竞争法》调整数据意味着只能从公法层面对其进行调整。毫无疑问,数据虽然具有公共性,但完全以公法代替私法的保护是不妥当的。从比较法来看,在德国法中,反不正当竞争已经纳入侵权的范畴,将反不正当竞争法中的行为规范认为是保护性法律和善良风俗在竞争领域的具体化,因此,反不正当竞争法的民事责任规范是对竞争者施加特殊行为要求的特别侵权责任法,侵权法与反不正当竞争法属于一般法和特别法的关系,反不正当竞争法中的侵权规范会对一般侵权的构成、后果、责任形式等各方面进行具体化、补充、严格化等。这一立法经验是值得借鉴的。

第二,《反不正当竞争法》主要规范特定的不正当竞争行为。《反不正当竞争法》第12条第2款第4项虽然设置了兜底条款,即“其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”,但其只是针对行为的违法性问题,而并没有提出确权的问题,更没有确定权利的内容。通过该规则调整数据,虽然明确了抓取、利用他人数据行为的违法性问题,但并没有回答该行为究竟侵害了何种权利的问题,也不能代替民法侵权责任的保护。

第三,侵权责任不仅可以确认侵害权益的对象,而且可以明确侵权责任的构成要件,如过错、因果关系等要件,其在责任的确认方面更为精细和规范。通过侵权责任规则保护数据,也可以指引法官准确认定相关责任。仅通过《反不正当竞争法》规则调整侵害数据的行为,可能仅能根据违法性认定相关责任,而没有确认是否侵害了相关权利、是否有因果关系等,这显然过于笼统,也会给法官过大的自由裁量权。例如,《反不正当竞争法》第2条第2款规定:“本法所称的不正当竞争行为,是指经营者在生产经营活动中,违反本法规定,扰乱市场竞争秩序,损害其他经营者或者消费者的合法权益的行为。”该条规定较为原则、笼统,仅仅以该条来处理侵害的客体权益复杂、主体多样、侵权形态各异的数据侵权纠纷,确实过于简单化。

第四,数据权益本身具有综合性,需要对不同权益主体的权益内容进行整体考量与利益平衡,这需要以数据确权为前提。《反不正当竞争法》显然没有进行此种利益冲突的考量,如在个人信息与数据权益发生冲突时,《反不正当竞争法》显然难以适用,如果适用该法调整此类关系,反而会使得当事人之间的权利义务关系更加模糊,也更难以有效处理相关纠纷。

第五,因为没有对数据权益的确权,也难以形成有效的激励机制。《反不正当竞争法》虽然具有鼓励竞争的目的,但其侧重点并不在于对具体权益的保护。而数据权益保护就是要形成一种激励机制,通过确权的方式保护个人对数据财产权益产生所作出的投入与贡献,从而不断激励创新,这可能更有意义。

我国《民法典》侵权责任编是以损害赔偿为中心构建的,但其也可以适用于对数据的保护,尤其是《个人信息保护法》已经对侵害个人信息的民事责任作出了规定,对侵害数据的行为也完全可以适用侵权责任法的规则。此外,针对数据侵权行为,停止侵害、赔礼道歉等侵权责任承担方式也可以适用。应当看到,《民法典》第127条在性质上是不完全法条,其主要是引致规范和宣示条款,但由于数据属于民事权益,因此,可以将该条规定与侵权责任编的过错责任条款等规则结合起来,形成完全法条,从而准确认定侵害数据的侵权责任。

三、应当对数据权益的民法保护进行单独规定

我们说数据应当受到民法保护,首先面临对数据的确权问题,只有对数据进行确权、定性,将其归属到特定类型的民事权益之中,才能更好地明确其保护规则。《构建数据基础制度意见》提出:“根据数据来源和数据生成特征,分别界定数据生产、流通、使用过程中各参与方享有的合法权利。”公共数据、企业数据、个人数据这些不同类型数据的权利属性不同,利用方式也存在一定区别,应当通过不同的法律规则予以调整,同时,要建立保障数字经济正常运行的数据采集、交易、共享、安全使用等法律规范,促进数据的有效利用和共享。笔者认为,数据权益是各项权益的集合,它包含财产因素、人格因素、知识产权等。而数据产品应当作为无形财产受到保护。正是由于数据属于新型民事权益,与其他民事权益的关系并不清晰。因此,《民法典》并未对数据的保护作出细化规定,《民法典》第127条规定引致条款,也表明需要通过单行法立法明确数据的保护规则。仅依靠《民法典》几个条款,显然无法全面保护数据权益,而需要制定专门的单行法。

第一,注重效率性。数字时代,由于网络技术的应用,一旦造成侵权损害的后果,就可能导致损害后果迅速蔓延和发酵,这种损害后果甚至是无法估量的。所以,怎样及时化解纠纷和解决纠纷,是数字时代对数据权益保护提出的一个非常重要的挑战。另外,数据等无形财产在遭受侵害后,损害后果不仅会扩大,而且可能涉及隐私、个人信息等人格权益的保护问题,损害后果的扩大也会导致隐私、个人信息损害后果的无限扩大。

第二,注重安全性。在数字时代,数据安全更为重要,与事后的损害赔偿相比,保障数据等的安全对权利人而言意义更为重大。因为数据越安全,对信息主体权益的保障也越充分。我国《民法典》《个人信息保护法》等法律为适应此种权利保护需求,在个人信息的保护方面强化了对数据等安全性的保护。例如,《民法典》《个人信息保护法》赋予信息主体删除权、更正权、补充权以及安全维护请求权等权利,其目的主要就在于维护数据安全。

第三,强调透明性。此处所说的透明性并不是指权利救济方式的透明性,而是指行为人行为本身的透明性。比如,针对大数据杀熟,算法的公开、算法解释权、自动化处理过程的公开等方法,都是数字时代权利保护的特殊方法。鉴于算法技术的复杂性、专业性、隐蔽性,其很可能造成人格歧视、信息泄露、算法黑箱、算法伦理失范等问题,考虑到数据处理等行为的专业性、技术性等特征,相对人由于专业知识、技能的欠缺,可能无法理解行为人处理其个人信息的行为,这就需要通过透明性的要求,对行为人处理数据的行为进行事前规范,发挥着事前规制功能与避免产生算法侵害的功能,这也是数字时代对数据等权利保护的特殊方法。

第四,注重预防性。在数字时代,一旦造成侵权,其后果是难以估量的。这就更加要求注重预防,所以“既要向后,也要向前”。数据作为一种无形财产,其易受侵害性导致对其保护的效率具有更高的要求。在数据的流通规则中,规则的构建不应限制数据的流通效率。在数据权益的保护中,则既要注重事后救济,也要注重事前预防。将事前预防作为数据权益保护的重心,对于提升数据权益保护的效率至关重要。正如有学者所指出的,虽然损害赔偿请求权也具有一定的预防功能,但是相较于绝对权请求权和禁令等救济方式而言,其在预防损害发生上的效果较为薄弱。因此,数字时代,相较于补偿方式,预防的作用日益突出,这就要求将人格权益救济的重心由事后救济逐渐前移,以保护权利人的利益状态不受损,而不是恢复受损的利益状态。

数据权益保护需要加强立法,以良法促进数字技术和数字经济的发展,在这个过程中,构建一套专门的、行之有效的针对数据的民法保护机制,是十分必要的。如前述,数据在性质上属于一种无形财产,与既有的无形财产在保护上呈现出共性特征。在数据权益保护中,应当设置专门针对数据权益的民法保护规范,专门调整平等主体间的数据权益保护问题。

在对数据权益保护特别规范的构建中,应当以《民法典》第127条为基础,结合侵权责任编的相关规定和单行法的规定进行。具体而言,应当注重以下几方面的问题。

第一,完善针对数据的侵权规则。现有的针对无形财产保护的规范,如《个人信息保护法》第69条对侵害个人信息的民事责任作出了规定,其中规定了损害赔偿、获利返还等具体规则。这些都是针对个人信息保护的特殊规则,能否参照适用或类推适用于数据的保护?在民法上,所谓类推适用,是指在对特定的案件缺乏法律规定时,裁判者比照援引与该案件类似的法律规定,将法律的明文规定适用于法律没有规定,但与明文规定类似的情形。参照适用也称为“法定的类推”,这表明,参照适用与类推具有一定的相似性。二者的区别在于是否法定化,即是否存在法定授权。有学者认为,获利返还、酌定赔偿、法定赔偿等制度,都存在于特定的无形财产保护规则中。而在数据权益适用这些规则时,往往需要借助于类推或整体类推的方法进行。但这种类推的方法给法律适用带来很大的困难,可能导致法律适用的不统一。而现有的关于有形财产的保护方法能否适用于数据这一无形财产,在法律适用中也存在模糊。因此,需要在法律上明确规定在侵害数据权益的情形下,《个人信息保护法》对于损害赔偿中的损害数额的确定、获利返还责任能否适用或者参照适用,以限制法官的自由裁量权,保障裁判的统一和公正。

第二,完善基于合同约定流转数据相关财产性权益的机制。就民法的保护而言,应该区分数据权益的合同法保护和侵权法保护。对于数据权益的交易流通问题,主要受到合同规则的调整。《构建数据基础制度意见》指出:“建立健全基于法律规定或合同约定流转数据相关财产性权益的机制。”对于数据的转让、许可适用等问题,可以参照许可合同的相关规定,提炼出数据许可合同的规则,以引导当事人正确订约,防范纠纷的发生。同时,应当对平台制定的格式条款进行必要的规范。

第三,完善数据中的人格权益保护规则。针对人格权的保护,《民法典》第995条规定了人格权请求权。所谓人格权请求权,是指民事主体在其人格权受到侵害、妨害或者有妨害之虞时,有权向加害人或者人民法院请求加害人停止侵害、排除妨碍、消除危险、恢复名誉、赔礼道歉,以恢复人格权的圆满状态。在民法中,基础性的民事权利都有相应的请求权,并因基础权利的功能差异而各自独立,物权请求权与债权请求权的区别就是适例。人格权不同于其他民事权利,人格权请求权因此也具有独立性。人格权作为一项保护人格利益的绝对权,也需要成为一项独立的请求权。但在我国人格权关系中,却一直未能形成独立的人格权请求权,这也反映了立法的不完备性,需要确立人格权请求权制度。《民法典》第995条规定:“受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权,不适用诉讼时效的规定。”该条实际上对人格权请求权已经作出了规定。正是因为人格权具有特殊性,在其遭受侵害以后,要恢复其圆满状态,就必然要采取与救济财产权不同的方式。由于数据中也保护了个人信息等人格权益,因此,在这些权益遭受侵害时,《民法典》针对人格权益的侵害所提供的特殊保护方法,应当可以适用或者参照适用于对数据的保护。

第四,在具体的制度构建中,应当增加关于删除、更正、补充权等的规定,以保障数据的完整性、安全性,为权利人提供全面保障。《民法典》第1028条规定了更正、删除等保护人格权的措施,这些措施能否适用于数据保护?严格地说,这些措施并非《民法典》第179条所规定的独立的责任形式,而只是“排除妨害”“消除影响”等责任形式运用到特殊场景的具体形式。通过采用更正、删除等措施,不仅可以技术救济受害人的名誉遭受的损害,而且可以有效防止损害的扩大,并预防未来可能出现的侵害名誉的后果。受害人既可以直接向行为人提出,也可以要求行为人承担“排除妨害”“消除影响”责任的方式提起诉讼。在侵害数据权益的情形下,这些措施也有其适用的必要性。非法篡改、剽窃、爬取他人的数据,权利人应当有权请求行为人删除、更正、补充,以维护其数据权益的完整性和安全性。

综上所述,单纯依靠公法或现有的法律制度对于数据权益保护虽然能够起到一定的作用,但是尚不能满足司法实践对于规范的确定性和稳定性的需求。因此,有必要通过制定单行法等方式,对数据权益的私法保护进行明确规定。从比较法来看,欧盟于近期提出了《数据法》(Data Act)提案,并预计在2023年通过。这一法案赋予了数据用户对于数据企业的访问权与利用权,进一步完善了欧盟的数据法律体系。在我国,通过单行立法保护数据权益,确有必要。《构建数据基础制度意见》提出:“建立健全数据要素各参与方合法权益保护制度。充分保护数据来源者合法权益,推动基于知情同意或存在法定事由的数据流通使用模式,保障数据来源者享有获取或复制转移由其促成产生数据的权益。合理保护数据处理者对依法依规持有的数据进行自主管控的权益。”因此,未来我国有必要通过专门的、保护数据的立法,对数据权益提供全方位保护,既包括公法保护,也包括民法保护,在民法保护中,也应当综合侵权责任、人格权请求权、违约责任等多种方式对数据权益提供全方位保护。

四、结语

我们已经进入到一个互联网、大数据时代,伴随着数字技术在政治、经济和文化领域的广泛运用和不断发展,作为数字技术核心载体的数据在社会生活中的重要地位已经得到了广泛重视,在以互联网广泛应用和大数据不断挖掘为背景的信息社会中,数据日益成为重要财富,是经济增长和价值创造的重要源泉,甚至有学者称其为“新石油”。为了适应21世纪互联网、大数据时代的需要,顺应高科技发展的要求,《民法典》第127条对数据和网络虚拟财产的保护作出了规定。《民法典》人格权编和侵权责任编的许多规则可以适用于对数据的保护,但毕竟缺乏特别针对数据法律保护的具体规则,因此,需要通过专门立法,构建对数据权益的民法保护机制,与公法的保护相互配合,形成对数据的全面保护。