2018年6月12日，受未来法治研究院邀请，清华大学法学院党委副书记程啸教授莅临未来法治研究院前沿讲座，主讲“大数据时代的个人数据权利”专题讲座。出席本次讲座的与谈人有中国人民大学法学院未来法治研究院执行院长张吉豫副教授，中国人民大学法学院未来法治研究院副院长丁晓东副教授，中国社会科学院大学刘晓春副教授，北京外国语大学法学院万方副教授，京东研究院丁道勤院长，蚂蚁金服隐私保护办公室资深专家李海英，腾讯研究院高级研究员王融，以及法学院学生和学术界、实务界人士。本次讲座由中国人民大学未来法治研究院研究员熊丙万助理教授主持。

个人数据保护涉及到多方利益

程啸教授首先提纲挈领地指出，大数据时代的数据蕴涵着巨大经济价值和战略价值，不仅是企业的重要资产，也是国家的战略资源。个人数据的保护涉及个人利益、公共利益和国家利益等多方利益的协调。因此，要建构一套切实有效的个人数据的规范和治理体系，不仅要考虑行政规制，也要考虑民事法律上对自然人予以赋权，多管齐下，做出合理的制度安排，从而实现自然人权益保护、数据或信息业者以及国家三方利益的平衡。

个人数据可以成为民事权利的客体，可以通过私权制度对其加以规范和保护

程教授认为个人数据可以成为民事权利的客体，可以通过私权制度对其加以规范和保护。数据既不是物（动产和不动产），也非智力成果或权利。作为信息网络科技发展的产物，数据表现为存在于计算机及网络上流通的在二进制代码，具有非独占性或共享性、无形性。数据的无形性、非独占性，并不意味着没有相应的民事利益，没有民法规制的可能性。他指出，信息是数据的内容，数据是信息的形式，在大数据时代，无法将数据与信息加以分离而抽象地讨论数据上的权利。正是因为个人数据中包含个人信息，才会涉及人格利益、或具有经济价值。正如民法并不会讨论元素的归属，讨论的是由元素组成的特定物上的民事权利，对于个人数据，民法要讨论的也是包含有信息的数据的保护和归属问题。此外，参考知识产权，无形性并不能当然限制数据作为民事权利的客体而加以支配和控制。

法律讨论个人数据上的权利

大数据时代数据多种多样，根据能否识别出或与其他数据结合识别出特定自然人，可分为个人数据、非个人数据。对此，《网络安全法》《民法典》的人格权编等已有界定。个人数据又可进一步细分为一般的个人数据、敏感的个人数据，如：医疗数据、基因数据、金融数据等。数据的敏感程度不同，相应的法律规制也应当不同。

自然人对个人数据的权利是消极的防御性的权利

关于自然人对个人数据的权利，程教授认为，该权利是一种消极的防御性的权利，确立个人信息权，就是要确立自然人在信息社会中的主体地位。首先，法律上承认自然人对个人数据的民事权利之后，至于该权利的名称究竟是个人信息权还是其他的名称，无关紧要。重要的是，明确该权利的内容并将其与既有的民事权利相区分，从而确立相应的保护方法。其次自然人对个人数据的利益必须具有一定程度的社会可识别性，这就意味着该利益是稳定的、持续的，值得信赖的。而这一利益并非是自然人对个人数据的财产利益，他指出，绝大多数情况下，个人数据对于自然人来说是没有经济价值的。此外该利益也不是自然人对个人数据的隐私利益，涉及隐私的部分可以通过隐私权加以保护。他认为，人格利益中区别于隐私利益的部分，个人数据权保护的是自然人对个人数据的自主利益。紧接着，程老师强调，自然人对个人数据的利益是消极的、防御性的，不是积极的、绝对的、排他的。就像道路交通规则的根本目的在于维护交通效率和交通安全，个人信息权要维护的是自然人既有的权利，如生命权、健康权、物权、债权等。这是因为大数据时代下，个人既有的权利面临着新的风险；传统的体系中，自然人既有的权利通过对这种权利本身赋予绝对权的保护请求权或者损害赔偿请求权就足以得到保护，而在大数据时代，原有的保护制度已力有不逮，需要确立新的保护规则——个人信息保护规则（该规则需要公法和私法共同构建）。总之，大数据时代下，通过个人信息保护规则，明确个人信息权，最终目的是为了突出自然人在信息社会的主体地位，突出自然人既有利益的应受保护性。因此个人信息权不应当是一种新的独立的绝对权，权利的内容及被侵害后发生的效力应当是有限的；私法上确立个人信息保护制度，要与公法上个人信息保护的规则结合起来；程老师总结道，自然人的个人数据权利应具有以下效力：1、自然人有权决定是否同意他人收集、存储或转让个人数据；2、自然人对个人被收集的数据有查询和更正的权利；3、在侵害自然人的个人数据权进而导致自然人其他的民事权益被侵害时，被侵权人有权要求侵权人承担损害赔偿责任。

数据企业对个人数据的权利来自于其合法收集、存储，并支付了对价这一事实行为

关于数据企业对个人数据的权利，程老师指出，数据企业对个人数据的权利既不来源于政府许可（公权力），也不来源于个人授权（私权利）。数据企业对合法收集的数据享有民事权利来源于原始取得，他认为，其一，数据企业合法收集数据的行为是一种事实行为，因此在收集完成后即对数据取得了某种权利；其二，数据企业在收集、存储数据过程付出了一定成本，向被合法收集个人数据的被收集者支付了合理的对价，因此，数据企业对合法收集的数据享有民事权利，符合公平原则。

民法总则第127条承认该权利是一种新型的权利，但对其性质未作出界定；司法实践中将侵害企业数据权利的行为认定为一种不正当竞争行为，但这实际上将企业的权利降格为一种纯粹的经济利益加以保护，这种保护的强度和密度显然不足，不利于促进企业对数据的收集、存储、和利用。那么应当如何保护企业对个人数据的权利呢？程老师认为可以同过侵权责任法反向规定的方法明确权利的内容。

程啸教授演讲结束后，与谈人分别发表学习心得及想法观点。张吉豫副教授指出，匿名化信息组合在一起，可能分析得出个人信息；但基于效率考虑，法律可以与技术建立链接，界定符合标准的信息为匿名化信息。从这个意义上，企业在收集数据的同时，即对数据进行了符合技术标准的匿名化处理，那么企业对个人信息的收集本身也就无需以获得自然人同意为前提，由此可以提高数据的流通效率。另外，在平台经济下，企业收集数据所付出的成本和支付的对价本身似乎不足以支撑企业对所收集数据拥有权利的正当性；正当性可以参照知识产权制度，从竞争角度来论证。丁晓东副教授同意程教授的观点，个人数据权不是一种绝对权。传统的隐私保护制度下，个人对隐私风险自负，而在大数据时代，个人对隐私的合理期待已丧失，所以需要保护个人数据。他认为，个人数据保护涉及多种规则：收集规则、坦白规则、消费者保护规则、合同法规则、信托规则等，甚至可以说个人数据保护规则涉及法律的所有规则。刘晓春主任指出，随着大数据应用的发展，个人数据上的经济利益可能逐渐体现出来。针对个人数据权保护客体的可识别性、稳定性，刘晓春副教授强调，个人数据的不可识别性体现在日常生活中法律处理关系的体现形式的不可识别性，个人数据是否及如何被使用方面信息不对称，同时，企业数据的流通和使用过程中产生的风险和利益关联是难以识别的，是否有侵权的数据使用方面也存在信息不对称问题。她提出，可以通过风险规制建立个人数据保护制度。此外，她认为从知识产权法视角来看，是否规定企业对于数据的权利，重点在于是否存在激励的需求；目前看来，数据收集和使用方面似乎不需要激励，但数据转让、流转方面需要激励。明确数据企业对数据的权利，可以激励数据的转让和流动。万方副教授总结数据的特点包括非独占性、时效性、衰减性、价值减损性。数据兼具经济价值和人格利益，数据的经济价值随流转的次数、时间而衰减，而人格利益则愈加体现。被遗忘权更多是从人格利益的角度产生。匿名化信息是个伪命题。完全匿名的信息几乎没有价值，匿名程度决定了收集个人信息的成本，可以将分析出个人信息成本较高的数据界定为匿名化数据。而关于告知同意，可借鉴美国的立法模式，不同信息采取“择入、择出及不可选择”的模式调整；她建议行业协会建立风险评估模式，根据场景隐私合理性，不同行业设定统一的告知同意模版。丁道勤院长认为如何平衡个人数据权利和企业数据权利，即控制企业行使对数据的权利时不损害个人数据权利，也是要进一步探讨的问题。同时他认为对个人数据的规制似乎有突破民法范畴的趋势，需要从整个法律体系探讨规制的路径。李海英女士谈到了隐私权和个人数据的关系、个人数据与企业数据的区别，以及在当前时代重设隐私期待的必要性。程啸老师回应道数据权利正处于生成和发展过程中，建议法律无需贸然规定。此外，个人数据的经济利益目前还不典型、不确定，新的商业模式的发展可能会凸显个人数据的经济利益。个人信息权利具有前所未有的复杂性，不仅有自身独立的利益和价值，更重要的是对个人现有利益的影响。

主持人熊丙万教授再次对程啸教授及与谈嘉宾的到来表达谢意。本次讲座在热烈的掌声中圆满结束。