【作者】梅夏英(对外经济贸易大学法学院教授、法学博士)【来源】北大法宝法学期刊库《比较法研究》2020年第6期(文末附本期期刊目录)。因篇幅较长,已略去原文注释。
内容提要:信息和数据概念具有语义和内涵上的差别,但在以比特作为信息单元的数字化技术中,两者具有高度的共生性和共通性,在法律概念的使用上并没有严格区分的必要。但信息和数据概念的区分仍然具有法律意义,即可对现实中具体网络信息数据问题区分为两种基本问题类型:信息问题和数据问题,两种问题类型的区分标准在于当事人利益的侧重点、具体诉求的性质和救济的可能方式的不同上。结合现实的互联网纠纷,可以分为纯粹信息问题类型、纯粹数据问题类型和混合问题类型。为了准确理解和运用这种问题类型区分的思维方法,可以通过线上和线下、网络权利和传统民事权利以及公法角度和私法角度的比较观察,达到比较完整和清晰的认知,并有可能在理论上逐步发展和完善这种区分的理论结构。
关键词:信息;数据;问题类型;企业数据;数字化技术
信息和数据作为当代互联网法律中的基础概念,一直没有被有效地区分,在法律文件和法律论述中,两者被不加区分使用的情形居多,我国新近颁布的民法典在表述上对两者也未作明显的区分。信息和数据概念的区分是否有意义,或者说是否有法律意义,是互联网法律面临的一个基本问题。尽管在现有的法律论述中,诸多学者注意到了两者的区别,并且认识到了两者分别属于信息本体和媒介范畴,且两者在适用范围上并不完全重合,但并未深入地探究这种区别对于网络法律理论和规则体系的影响。现有的关于信息或数据问题的讨论,由于依赖传统法律理论中的领域而展开,如信息与隐私、信息与知识产权、信息与政府信息公开、信息分享与不正当竞争等,故相关论题主要侧重于在信息层面上与传统法律制度衔接,而在数据层面上的独立探讨则要少得多。因为数据乃当代计算机和互联网技术领域出现的新事物,它的独立法律意义及其规则形式尚无成规可循,故一定程度上被忽略了。基于此,本文拟尝试探究信息和数据概念的区别,进而提出这种区分的法律意义,并且基于此种区分的意义,对于相关互联网信息和数据问题进行类型化分析,为信息和数据的法律保护和救济在理论上提出一个法律建构和适用的框架,以期对未来互联网法律构建有所助益。
信息和数据概念在目前的法律表述上一直是混用的,主要体现为在诸多法律文件和资料中两者经常相互指代。有学者总结了信息和数据概念混用的三种表现形式,分别为信息包括数据型、数据包括信息型以及信息和数据并立型。这种复杂的混用情形充分说明了在大多数的情形下,信息和数据概念的混用在法律上并不会引起理解上的偏差,也没有进行严格区分的必要。但这不意味着信息和数据概念在词义和内涵上没有区别,事实上对两者进行概念上的区分还是相对简单和明确的。如果我们将“数据”仅限于计算机和网络领域以二进制代码形式存在的电子数据,那么它与信息的区别在于:一是在性质上信息是本体,数据是媒介或载体。犹如纸之于文、唱片之于音乐、电视之于新闻等,这种区分是明确且易于理解的。二是在依存关系上两者是可以分开的。也即,信息不一定依赖数据来传递,传统媒介依然可以替代性地起到信息传递的作用;数据也不必然形成有效的信息,比如乱码或缺乏显示工具的代码。三是信息和数据因分属不同的范畴而运行规律迥异。信息服从社会传播学的规律,侧重信息内容的生成、分享和限制等;数据则服从计算机和互联网背景下的数字技术规律,具有工具性的面向,只是由于数字技术在当代社会的高度发展,数据成为了信息传播的主要方式,两者因高度依存而共同即时呈现,这也构成了信息和数据概念混用的背景和原因。本文所探讨的与信息对应的“数据”概念应为数字技术下的电子数据,故此问题应局限于计算机和网络技术体系内。但在信息和数据关系的论述上,理论上有时会超出此种语境,延伸至“数据”的非电子化的含义上。比如在情报学或传播学上,数据被认为是分散和孤立的事物的原始记录,它的存在目的是在此基础上形成有社会意义的信息,继而由诸多信息结合成为知识,甚至最终的智慧,由此形成了由数据、信息、知识直至智慧的价值递进的认识规律。也有理论基于此种数据意义,认为数据与信息的区别是相对的,即数据中可以提炼出信息,但新的信息又会成为新的“数据”,即在此基础上提炼出更高级的信息。这种信息学上的数据概念显然与我们讨论的“数据”概念大不相同,它不局限于电子数据,可以理解为“原始”信息。这种探讨也无助于我们正确地区分法律上的信息和数据概念。但此时如果将上述信息与数据的递进关系置于网络环境中,则这种关系就有了一定的实质意义。网络环境下数据对信息进化的意义体现为,由电子数据收集、存储、处理或挖掘等提炼出有价值的关联信息,这些有价值的信息通过进一步的电子化汇集而成为新的数据,进而成为更高级抽象的知识信息的原料,此种循环多次出现,最终进入大数据和云计算直至人工智能层面,完成数据和信息的最终使命,即达到社会全息化分享和控制的结果。无论从何角度看,上述分析并不能使我们有效地区分信息和数据概念,反而强化了信息和数据一体化的印象。事实也是如此,信息本体和数据媒介形式的不同并不能将信息和数据割裂开来,相反在网络环境下,信息和数据使信息和媒介的关系更为紧密和相互依存,甚至数字技术与信息的结合成为最高效的信息获取、释放和进化的方式。其原因在于,一是信息缺乏外在媒介无法自存,它总是要通过外在的媒介形式得以呈现。从这个角度理解,信息与媒介并不存在相互分离的问题,只是以何种形式呈现的问题。信息在媒体之间可以适当转换,但一定要借助媒介。这种特征决定了信息与媒介不能构成矛盾或对立的关系,而是内容与形式的关系,对两者进行的区分也只是存在于智识理论上的假设性论述或辅助性论述中,现实中不会存在两者分离的具体情形。二是数字技术使信息和数据的关系突破了传统媒介所具有的内容和形式的区分特征,两者在特殊的网络环境下可以自由转换,几成一体。数字技术这种媒介对信息的传输一定程度上颠覆了传统信息和媒介的关系。对于传统媒介而言,媒体与信息在主体部分是分开的,比如纸张承载文字信息,纸张本身不是信息,文字才是信息;唱片承载音乐信息,唱片本身不是信息,声音才是信息等。但在网络世界中,信息被分化成二进制的比特和比特流,比特直接成为信息的基本单元,可以显示为信息并能高效传输。这种技术并非否定了媒介的存在,而是将计算机和互联网打造成一个巨大无比的数字媒介系统,人们作为用户直接在这个系统中获取、分享和传输信息。这个巨大的系统同时具有丰富的开放性(对平台和用户而言)和显著的封闭性(对传统媒介而言),并利用自身的优势不断蚕食其他媒介的地盘。数字技术与信息单元的直接结合使数据与信息很大程度上突破了信息与媒介的分离状态,使两者的区分更为困难。三是在数字技术条件下,信息与数据在形式上也具有共通性,难以相互分离。在传统信息理论中,信息和媒介的区分的物理基础在于信息的存储形式、感知形式和效用形式的层次区分,语言学基础则在于指号、语义和语用的递进呈现。这两种基础在数字技术系统中仍然存在,只是上述层次区别并不明显。数字技术将信息与数据置于同一个巨大的系统,数据本身只是媒介的一部分功能,故数据与信息并不能构成完整意义上的媒介与信息的关系,由于数据本身也是媒介的中间产物,故在形式和内容上两者并不容易区分。具体来说,网络工具分为物理层、连接层、网络层、传输层和应用层等,这些层级中,物理层具有较典型的传统媒介的特征,其他层级则更多与信号和信息直接相关。数据在存储上依赖于物理层,但又具有直接承载信息的特性,而信息最终会在应用层体现,其与数据之间仅存在一个应用层的显示代码的距离。数字技术的上述结构就是将数据与信息直接结合在一起,且数据作为信息的度量工具而存在,在形式上数据与信息仅体现为算法或代码系统中的不同显现而已。数字技术系统的出现是一次巨大的信息革命,它赋予信息最适当的生成和释放方式,并通过这种系统继续信息的聚集和进化,数据与信息已全然不可分离。基于以上的理解,仅从概念上比照传统媒介进行数据和信息的区分,其实际意义如何就值得怀疑了。上述从本体和载体、依存关系或运行规律等角度进行的区分,一定程度上被数字技术熨平了。如就本体和载体关系上,依上文分析,信息和数据并不存在如此明确的界限,数据在本体和载体上更倾向于接近信息本体;就依存关系而言,数据产生的信息固然可以通过其他形式(如纸质或传统媒体)来予以体现,但这种必要性会越来越小,况且其他媒体也在逐步地实现数字化。喻言之,数字技术就像溶解液将逐步消解其他媒介的地位;就运行规律而言,数据作为实现信息分享和控制的工具,将无可替代地服务于上述目的,信息运行的深度和广度亦取决于数字技术的升级和进化。网络技术使数据与信息的结合如此直接,使理论上单纯对两者进行概念上的区分变得困难,在法律上亦是如此。这也是为何虽然人们意识到两者具有一定的区别,但却无法界定和区分两者适用场合的原因。即便国际标准化组织(ISO)对两者也只是提供了一个相对的定义,即“数据是信息的一种形式化方式的体现,该种体现背后的含义可被再展示出来,且该种体现适于沟通、展示含义或处理。因此,信息和数据是在内容和形式两个层面上对同一个对象的描述”。具体来说,数据是二进位的0、1编码方式形成的形式,并能够通过特定的设备或装置读取。而信息则是人对于该等数据的读取和解读。数据与信息之间仅仅存在一个“读取”与否的差别。关于信息和数据概念区分的上述讨论实际上揭示出了这种区分的相对性,即信息和数据在数字技术条件下在概念上并没有进行严格区分的必要性。其原因在于,当理论上谈及两者区分时,基本上是在网络语境下进行。比如“个人数据”和 “个人信息”的表述并不能使人产生误解,何况个人信息保护问题也是因电子计算技术而产生的;又比如“个人信息”和“企业数据”保护亦是如此,同样的情形也存在于“政府信息开放”和“公共数据开放”的表述上。简言之,在电子化信息的表述上,信息和数据的概念区分没有绝对的意义,只具有相对的价值,在实际场合的概念运用上也没有固定的标准。
(一)信息问题抑或数据问题
信息和数据在比特世界里相互即时转换的特征,使在概念表述上对两者进行区分变得困难,在绝大多数场合也没有必然的实际意义,但这并不意味着信息和数据的基本区别变得毫无意义,在不同的法律场合这种区别仍然会显现出来。比如针对个人信息保护规则中用户对个人信息享有可携带权,就存在不同理解:一种理解是平台只要将用户想知晓的个人信息提供给个人即可,提供形式在所不论;一种理解是平台应当允许用户通过账号在平台数字代码环境下,查阅和复制或要求平台更正和删除自己的个人信息,并且平台应提供适当的程序帮助用户将自己个人数据导出。这两种理解使信息和数据在不同诉求中的差异显现了出来。同样情形存在于“政府信息公开”和“政府信息开放”的表达差异上,前者以政府将相关公共信息公之于众即可,并不要求特定形式,而后者则更多地要求机构或公众能够通过数据平台进入数据库进行浏览、查询或公开分享。上述两种情形还只是局限于信息是否用数据来表达的问题,在另外一些情形如在对于企业数据保护上也存在不同理解。比如对于企业数据权益的保护,究竟是保护企业对其所控制信息的利益,还是保护企业对于数据的控制利益,实践结果可能完全不同。在“淘宝诉美景案”中,法院一方面认为信息与数据是内容与形式的关系,另一方面却指出大数据产品的价值在于用户信息内容,让人始终无法理解大数据究竟是数据还是信息。
对于上述实际法律问题的关注使我们认识到,信息和数据在静态的概念表述上可能差别并不明显,但在实际法律纠纷中,这种差别会适时出现,并会体现为不同的诉求和不同的裁判结果上。这种动态意义上的法律博弈使信息和数据的差别充分展现出来,这种差异并不存在于简单的信息和数据概念差异上,而是基于当事人的实际利益诉求而产生的,这种不同的利益诉求一般体现在法律问题类型的差异上。基于此种理解,信息和数据区分的实际意义就在于可以帮助我们确定不同的法律问题类型,即是否属于“信息问题”或“数据问题”中的一种,并将不同类型法律问题的解决之道相互区分开来。基于此种理论发现,这一思路在互联网纷繁复杂的法律体系中即有了广阔的解释和利用空间。比如关于虚拟财产问题,实践中当事人对于虚拟财产主要体现为对于数据操作权限的诉求,这类问题就具有浓厚的数据问题色彩,其所显示的信息反而是次一级的问题;又比如在平台之间相互用爬虫攫取对方数据的问题,实际纠纷中涉及的情形非常复杂。通过非法数据操作(如“撞库”)获取他方的数据就体现为较典型的数据问题,此时适用数据安全规则应为首选。非通过数据非法操作而获取他方数据,则可进行信息利益失衡所致不正当竞争方面的考量,这又回归到比较明显的信息本体问题领域。
(二)如何区分“信息问题”和“数据问题”?
基于信息和数据在数字技术环境下的共生特征,信息问题和数据问题的区分也无法将信息和数据本身区分开来,非唯如此,从法律利益角度将信息利益和数据利益进行区分也并不可行。比如个人信息和个人数据所承载的利益基本相同,企业数据利益的保护最终也体现为对企业所收集的电子信息的一种保护。在互联网世界中,任何对于信息或数据的保护最终都具有保护实质信息内容和数据形式完整的双重任务,两者不能完全割裂开来。基于上文对于法律问题类型区分的论述,如何有效地区分“信息问题”和“数据问题”是一个值得探讨的问题。鉴于两种问题类型的区分是建立在当事人诉求及满足这种诉求方式的不同定性的基础上,故可以尝试从如下方面进行区分。
1.当事人的利益在信息和数据利益之间的侧重判断
此一标准在于确定当事人的利益主要是存在于信息内容还是数据形式上,尽管两者界限模糊,大多数情形下具有一致性,但终归还是具有错位的情形。比如在网络侵害知识产权的情形,被侵权人的利益主要指向的是知识产权所保护的信息内容,至于以网络或其他媒体侵权则仅体现为侵权方式的不同,故此种情形应归于“信息问题”(知识产权的信息保护);又如在个人信息保护中,当事人理论上享有的可携带权似乎应该归为“数据问题”,因为当事人的上述权利所指向的信息大多在其他场合也会出现,并没有垄断的意义,当事人在此种情形下的利益体现在对于表达该信息的数据的支配上。权利人的利益判断是法律问题类型区分的基础判断,在大多数情形下是可以有效实现的,但在少数情形下并不清晰,比如关于企业数据权益的性质判断,理论上就存在不同的说法,如知识产权说、劳动产权说和数据权控制说等。这些说法对企业数据权益的定位差异如此之大,只能说明对于企业数据权益的基本属性判断在理论上尚未完成,后文对此将会进一步涉及。
2.当事人诉求的性质判断
在法律利益判断的基础上,当事人的诉求也是一个重要的考量因素。当事人的诉求是重在保护信息本身还是维护数据完整,构成比较直观的判断标准。比如在未经用户同意平台非法收集或使用个人网络行为信息的情形下,用户向法院提出的诉求在于制止平台停止收集个人信息,这种诉求应归于“信息问题”,因为其诉求指向的是个人信息内容不被平台非法支配,以减少个人信息被知晓和流通的范围。又比如在网络受攻击的场合,受害者的诉求指向的是系统的安全和数据的完整,这种诉求则应属于比较典型的“数据问题”,这种判断也可延伸至网络安全领域,尽管在此种情形下普遍存在信息被破坏的后果,但平台代码和数据在技术上被攻击是其首要原因。上述两种情形中当事人诉求的性质判断相对清晰,但在有些情形下这种判断需要具体化才能真实显现出来。如在电子邮箱账号和其他社交账号的继承纠纷中,法官很容易将账号信息当作一个独立的对象来予以定位,并将该信息的归属作为一个问题来解决,而在运营商和用户之间予以利益抉择。实际上这种思路遮蔽了当事人的真正诉求,即当事人并非有意获得某种独立的“财产”,而只是获得账号的操作权即为己足,其中密码的掌握为其核心诉求。在这个意义上,上述所谓的“继承”纠纷实际上应为典型的账号操作权纠纷,即应归属于“数据问题”。
3.当事人之间纠纷的救济角度判断
在上述判断的基础上,法律纠纷的救济也是不可或缺的判断因素。法律救济方式存在两个领域:一是法律救济措施的性质;一是法律救济的法律适用依据。就法律救济措施而言,判断不同法律类型的依据在于,可能的救济方式的目的是在保护信息本身的局部垄断性或不被非法流通,还是保护数据本身的合法控制或占有不被非法干涉、破坏上。比如说《中华人民共和国民法典》(以下简称《民法典》)侵权责任编第1195、1196、1197条规定的“红旗规则”和“避风港”规则,即是解决信息不被非法流通的问题,其所采取的诸如删除、断开链接等措施,都是直接针对特定信息内容而设定的,故应属于信息问题。而在虚拟财产案例中,法律上的救济方式如数据恢复、非法数据操作禁令等措施,都是为了还原或维护当事人对数据本身的控制状态,故应属于数据问题。其他情形在此不一一列举。对于法律救济适用的规范依据而言,也可以看出所涉问题是属于哪一类型。如果解决纠纷适用的法律依据是保护信息本身不被非法流通的,就应属于信息问题。比如非法收集和利用个人信息的行为后果应适用《民法典》和个人信息保护相关规则,即属于信息保护问题;对于通过网络侵害他人的知识产权或人格权的非法行为,应适用知识产权规则、人格权规则和侵权法律规则,也应属于信息保护问题;对于通过网络攻击或非法数据活动获取平台数据,则应适用网络安全法、数据安全法甚至刑法的相关规定,其目的是维护数据控制或分享的正常秩序,故应属于数据问题。又如数据产品的保护适用知识产权规则,以保护数据产品本身不被非法流通,故又应属于信息问题。
以上关于区分信息问题和数据问题类型的三个方面的判断标准,在大多数情形下都是重合的,当然也有少数例外。比如说在平台因被攻击而致用户个人信息被泄露的情形,就同时涉及个人信息保护和网络安全问题,两者产生了一定程度的竞合;又比如若理论上将企业数据库理解为知识产权保护的对象,则数据的非法分享行为也同时涉及信息的保护和数据安全问题,只是这种情形是否一定要人为地创造出来,则是值得深入探讨的。
基于信息和数据问题的区隔及对两者判断标准的探讨,在理论上就可以尝试对于目前存在的信息数据纠纷做一个初步的整理了。上文在探讨时就已经涉及到了诸多的法律纠纷,答案已在其中,但尚未形成理论上的系统性和连贯性,故在此通过对具体类型的梳理不仅仅让我们能够辨别具体的纠纷类型,还有助于我们建立对于信息数据世界的基本理论分析框架,同时对于解决我们目前面临的理论难题也有所帮助。具体说来,信息数据领域的法律问题类型可分为三种,即纯粹信息问题型、纯粹数据问题型以及混合问题型。下文将分述之。纯粹信息问题类型的特点在于对于信息内容的规制,无论这种信息是来源于实际生活还是互联网本身(如网络行为信息),其所涉及的问题均直接指向信息内容,在大多数情形下体现为限制信息内容的流布,而且网络在此仅充当信息流通的工具。在现有的互联网数字环境中,属于纯粹信息的问题类型大致存在于下列情形:网络侵害知识产权和人格权的情形,即《民法典》第1195、1196、1197条规定的“红旗规则”和“避风港”规则。这两种规则旨在保护权利人免受他人利用互联网对其权利的侵犯,在此侵权人责任的追究适用传统侵权责任法中的构成要件,其中“网络”构成侵权行为的事实发生要素,平台所要承担的只是适当的注意义务,这种义务除“知道或应当知道”情形外,将更多地体现为“通知—反通知—取下”的配合义务,且以补充责任为主。个人信息保护主要解决的是个人信息不被非法收集、滥用和泄露,以防止上述非法行为对个人和社会带来的风险。很显然,个人信息保护针对的对象是个人信息内容,这些具体内容才是法律关注的对象。从个人信息收集过程中的同意制度,个人信息界定的“识别说”“关联说”等标准,以及平台对个人信息利用的原则(合法、正当和必要原则)及合规标准等,都体现了个人信息保护中的数据最小化努力,以及其所承载的防止个人信息内容被过度流通的目的。尽管个人信息的保护制度某种程度上影响了数据的利用和分享,但从汹涌而来且形式上无法区分内容的比特流中,对于个人信息进行内容甄别并予以脱敏化处理,则体现了法律对于网络个人信息的管控力度,这种管控甚至延伸至被遗忘权领域。我国网络安全法中的信息安全主要是指信息内容的安全,个人信息保护是其中的一个重要方面,在此不再重复。除了个人信息保护外,信息安全还体现为对于非法信息的管控。这些管控在传统线下媒体亦存在同样的情况,只是在互联网环境中显得更为突出。对于非法信息的管控所遵循的仍然是传统通信、言论和媒体方面的法律,以内容审查和封禁为主要手段,其所承担的也是相关非法信息行为的传统法律后果。《民法典》合同编第469、482条等规定了电子交易的订立、效力和履行内容,这说明电子交易仍应受传统合同法规制,并遵从意思自治原则,在此电子手段只是服务于合同的技术条件,故应属于纯粹信息问题。依据电子合同的内容,当事人一般在线下履行合同。目前随着网络交易平台的兴起,由于平台的参与,电子交易并不再体现为简单的传统双务合同,而是变成了三方参与的综合性交易关系,电子交易的程式化特点适当弱化了传统合同法的诸项制度,比如合同主体适格性认定、重大误解或错误规则的适用、效力待定规则的适用都受到了较大的限制。线上和线下的交互充分显示了电子交易的实体合同性的特点,但随着线上操作对于合同相关领域的侵蚀,电子交易逐渐数据化和技术化,未来智能合约的发展,将使电子合同的订立和履行均在线上区块链环境中自动执行,意思自治空间被严重压缩,其时电子交易将更多呈现出数据问题的特征。纯粹数据问题类型体现为该类纠纷重在维护计算机和互联网工具系统中的合理数据操作秩序,这也是网络出现后新型的网上数据访问和控制秩序。尽管有时失序行为并不一定针对数据,如网络攻击等,但属于网络运行和技术应用范畴,故在此也归于数据问题领域。纯粹数据问题的出现意味着在传统的法律制度之外产生了新的法律问题,这类问题专属于网络环境,且不能运用传统法律规则来予以解决。正如汽车的出现催生了现代交通规则和道路交通安全法,互联网的发展也将使互联网产生解决自身独特问题的专门规则,这并非是“马法”理论所能否认和解释的。目前互联网领域所涉及的纯粹数据问题在此可尝试作如下梳理。虚拟财产包括电子游戏装备、各种网络账号、网店和电子货币等,针对现实中出现的虚拟财产纠纷,理论界往往沿袭传统民法的财产权制度来探讨相应的保护方式,这种倾向强调了虚拟财产的“财产”性,却一定程度上忽视了其“虚拟”性的本质。实际上对于各种虚拟财产纠纷,各种理论就其所做的实体财产或实体权利的论证对于解决该类纠纷并没有实质的帮助,真正能解决该类纠纷的方法存在于互联网本身的领域。比如对于失窃游戏装备的“数据恢复”,对于网络账号的密码管理,对于网店账号与注册用户信息管理等,都是解决虚拟财产法律问题的钥匙,而非就其财产性质和归类所做的在传统法律规则体系内的法条检索。虚拟财产属于典型数据问题的原因在于,该类财产纯粹由计算机和互联网领域所创生,在现实生活中没有对应物,故它与真实世界只具有间接的联系,解决此类问题的方法也应在互联网技术系统中寻找。网络运行安全指向的是网络技术系统的正常运行,免受非法操作和非法攻击,其中包括网络基础设施的运行安全、平台运行安全和用户网络运行安全等,《中华人民共和国网络安全法》(以下简称《网络安全法》)和《中华人民共和国数据安全法(草案)》(以下简称《数据安全法(草案)》)多有涉及。网络运行安全主要体现为网络使用人之间的技术对抗,其解决方法也主要在于网络安全防护手段的升级和内部管理的完善。自斯诺登曝光“棱镜门”事件以后,网络安全被提升到国家安全层面予以重视。但新近发生的美国对于“Tik-tok”非法收集美国公民个人信息并侵害美国公民的隐私的指控,应属于信息层面问题,而俄罗斯近年来为应对网络突发事件而进行的断网测试则属于维护网络运行安全范畴。关于企业数据保护的理论研究颇多,但从数据所反映的信息角度去进行实体权利探讨的居多,由此形成了精彩纷呈的数据权益理论。实际上,目前对于平台企业而言,固然存在他人侵害数据进而导致信息亦由他人分享的事实,但问题点却在于企业数据本身被互联网环境下的失范操作行为所侵害,这种状况是由网络技术体系本身的特点决定的,在线下并不会出现此种情况。独立的平台之间通过算法或代码可以相互攫取数据这一事实导致了企业数据保护问题的产生,在法律上应直接针对数据操作行为的合法性判定以及相关责任的承担即可解决问题,而无须在信息内容上的权利领域进行纠缠。美国早期针对互联网数据利益分界的这种格局,主要也是通过1986年《计算机欺诈和滥用法》(CFAA)来进行规制和裁判的。企业数据问题是当前理论关注的重点领域,后文将会作进一步的说明。除了上述情形外,目前理论上探讨的网络主权和数据主权问题也应归属于数据问题,因为这类问题主要是探讨国家之间对计算机互联网系统控制的正当性和限度问题。另外,对于算法领域问题的探讨如算法歧视、算法“囚徒”(奴役)等问题,由于这些问题纯粹体现为对代码技术的规制,故应归于数据问题类型之列。信息与数据问题的混合类型体现在一些具体问题对信息和数据都有涉及,且都有明确的诉求,两者之间不能相互吸收或替代,在前面介绍的两种类型的各种情形中,也都必然会涉及信息和数据,但通常两者有主次之分或一种诉求被另一种诉求吸收。信息与数据问题的混合又分为两种情形:一是单一的问题同时涉及两种范畴的诉求(如跨境电子数据流动);二是某一问题域可能存在单独的两种类型(如平台的责任)。基于这种问题的现实复杂样态,以及理论背景资料的欠缺,下面将作一尝试性列举和介绍。在这种法律情形中,同时存在对于信息和数据的诉求,即既对信息具体内容有针对性的要求,也对信息的数据形式有具体诉求,只有两种要求都满足的情形下,权利人的利益方能实现。这种类型体现在下述问题领域:一是跨境数据流动问题。跨境数据流动的问题点在于国家之间信息可否分享、如何分享的问题,即国家之间基于国家安全等各种因素考虑是否在国家之间设置信息管制的问题,这应属于信息问题领域,从目前美国的“云法案”到欧盟对“隐私盾”的否定都可以印证这一点。但同时这一问题又涉及到数据跨境流动的形式问题,从而使跨境数据流动构成两种独立的请求而不可偏废。同样的情形亦存在于个人信息保护中的可携带权问题,可携带权依赖个人信息保护这一前提,同时迭加了平台的额外义务,即通过合适的代码形式将个人信息以数据形式导出。这也构成两个独立的请求。至于用户所享有的以数据形式查阅、复制或更正个人信息是否构成两种问题的混合则值得考量,一般而言,由于个人信息及其保护问题的产生前提就是数字技术的出现,故个人保护的相关制度必然建立在数据形式上,在此不应认为构成两种独立的法律问题。二是政府公共信息开放问题。政府信息开放要解决两个问题,即政府信息是否应当开放,以及是否以数据形式开放,故政府信息公开同时涉及信息和数据问题,且在不同情形下解决问题的思路有所不同。比如就政府应开放哪些数据,就涉及到国家安全和公共信息分享之间利益权衡中的实质判断,就政府如何通过数字化系统由用户分享数据,其中涉及的技术问题就取决于数据规则的运用。除了上述两种情形之外,只要在数字技术环境下同时存在信息内容的判断和数据形式的运用,且两个构成相互独立的问题,即应依信息和数据问题的法律逻辑分别解决。但有时在存在目的与手段的关系情形下,问题解读并不总是归为同一种结果。如为了保护企业收集的电子数据库的信息,要求各方遵守数据访问和操作规则,就体现为纯粹的数据问题;又如为了保护个人信息不被永久存续,有些国家规定了“被遗忘权”(删除权)来实现上述目的,在此则又应作相反的理解,即应被归入纯粹信息问题。个中原因在上文关于两种类型的区分标准中已有明确分析,这种现象也揭示了对互联网问题定位与定性的困难,在问题类型判断上应追求问题内容和形式的统一。此类情形一般出现在传统法律论题的探讨上,这种法律论题在传统法律体系中产生,但在互联网领域又有了新的表现形式,致使信息问题和数据问题在不同的场合涵摄于同一个问题域。在目前的互联网法律问题中,此种情形主要体现在两类法律问题上:一种情况是不正当竞争问题。传统的竞争法中涉及到信息领域的不正当竞争,比如对他人商业秘密的非法利用,对于他人商标标识的混淆使用等,这些都是对知识产权中权利人享有的知识信息相对垄断的侵害,并构成具体的不正当竞争类型;但在互联网环境中,企业之间的竞争发生了变化,即企业之间对于相互数据的争夺性分享。近年来,中外互联网行业出现了诸多案例引起了学界的关注,在对数据权的探讨遇到阻力之后,司法裁判更倾向于运用不正当竞争规则来解决数据竞争的问题。由于数据所承载的信息并不一定具有垄断性,故互联网企业数据竞争更应通过数据本身的操作秩序来判断,而非从信息角度切入。在既有的司法裁判中,法官更多地利用《反不正当竞争》第2条来权衡不正当竞争的利益失衡,将其在数据操作中的行为违法性置于关键位置予以判断,就有效地说明了这一点。另外一种情形是平台的法律责任问题。网络平台经营者由于涉及到多种法律关系,其法律责任的认定非常复杂,在此应当区分不同的场合进行分析。就电子商务平台而言,平台兼具信息交互媒体、虚拟空间的管理者和交易相对人这三种身份,且其责任承担依据和形式均有不同。就信息平台而言,平台负有网络运行安全维护义务,并保护数据安全;就虚拟空间管理者而言,平台则负有舆情管理和信息安全保障义务,其中个人信息保护为其中重点内容;就交易主体而言,平台负有交易安全的维护义务、消费者权益保护义务和交易算法完善的职责。这些义务和职责分别在不同的场景出现,有时体现为信息保护问题,如个人信息保护、针对侵害他人信息类权利的安全注意义务、公共信息安全管理和交易用户的信息管理等;有时体现为数据保护,如平台的运行安全保障义务、算法的完善和算法歧视的纠正等。在目前电子商务领域存在的局部乱象中,对法律问题的判断仍然存在意义。比如对于平台商户买卖假货的行为,应通过信息完善、交易监控或抽查和事后信息援助等来使用户获得救济,这些应属于实体性交易的信息服务领域。而对于非法的“刷单”、积分篡改和算法歧视等网络操作,则应通过交易系统本身的安全性维护和应对性技术措施来予以治理,这又属于数据技术的领域。
四信息和数据问题区分在现实网络问题中的考量和运用价值 就信息和数据问题所做的理论区分目前尚处于探索阶段,在上文所做的分析中,两者时常纠缠在一起,在有的情形下非常清晰,在另一些情形下又相对模糊,这实际上提出了信息和数据区分在何种情形下确属必要的问题。总体而言,信息和数据问题的区分在问题导向的语境下才有实际意义,在确定具体问题以后,则要运用相关的理论知识进行抽丝剥茧的分析和考量,最终才能准确找到解决具体网络问题的方法。鉴于目前网络法律问题纷繁复杂,不可能一一介绍,下面将尝试从目前争议较大的相关问题的分析中,初步展现信息和数据问题区分的考量方法和运用价值。 (一)线上和线下的比较是过滤和简化复杂权利结构的有效方法 目前关于个人信息和企业数据的利益归属问题,理论界分别进行了传统意义上的权利化探讨,分别形成了复杂的权利配置结构。对于个人信息和企业数据应当予以相应的法律保护,在理论上并不存在争议,但是否对于数字化的信息一定赋予某种民事权利,这种思维方式是值得商榷的。如果从网络数据承载的信息内容来分析,这种权利化的思路并不能一以贯之地适用到底,其中网络“线上”和“线下”的比较是一个有效的视角。 先看个人信息问题。个人信息保护问题的产生源于计算机技术的运用,在此之前的传统媒体时代这一问题并不存在,但在传统时代确定无疑地存在个人信息。即便在互联网时代,线上的个人信息保护问题非常突出,但线下的非数字化场景中,个人信息的规制仍然可以按照传统法律制度运行。现在针对个人信息权益的研究,主要适用于互联网环境,意味着个人信息权随着数字化技术而产生,由此使个人对自身的个人信息享有一种自主权、自决权甚至人格利益,那么在传统社会中这种利益为何并不存在?个人信息权是以个人对信息内容的支配为特征的,应当不存在传统和当代、线下和线上的差别,基于个人信息保护而产生的个人信息权的法理基础和利益形态就值得深入考虑了。互联网技术是信息技术的革命,它服务于信息的传输,并不能自动催生一种新的信息权利。当然,媒体的发展会催生新的权利,比如近代以来的照相、电影、报纸和电视等媒体的出现,产生了个人私密信息过度曝光的风险,使隐私成为一项人格权被法律所保护。但就个人信息而言,其本身具有范围的宽广性和边界的模糊性,加之个人信息本身具有一定的流通性和社交功能,对此类庞大信息赋予一种实体权利,不仅仅使信息分享的成本过高,甚至会影响日常生活中的交流自由和通信自由。互联网技术产生了个人信息保护问题,主要是由于互联网收集、传输个人信息的速度和范围过快过大,并产生了个人信息被非法泄露和滥用的情形,导致个人生活面临人身或财产被侵害的风险大大增加,法律应当通过各种信息管制措施来规避此类风险,且这些规则主要产生和适用于数字技术领域,而不一定非要在理论上建立一个抽象的个人信息权。 企业数据的保护也面临同样的情况。企业数据保护应当限于电子数据,不应当涉及非电子数据。但就像个人信息权本来针对互联网领域,个人信息权益问题一旦展开,也就捎带上了非电子个人信息,企业数据也面临同样的情况,即在我国数据安全法的起草讨论当中,就存在对企业数据的保护应当包括非电子数据,还是按线上线下来比较分析的争议。传统企业也都存在较大的非电子数据信息,如客户、技术和市场信息等,但一旦企业数据被他人非法泄露、窃取或复制,法律是否认为企业的信息权被侵害,从而采取企业信息权的私法保护路径呢?显然,我们无法找到私法上的企业信息权,企业只能通过商业秘密或不正当竞争等规则的运用来获得一定程度上的救济。对于信息本身赋予主体的绝对性权利只发生在极少的法律场合,如知识产权和隐私权等,这些权利本身也并不完全阻止信息的流动。现在面临的问题是企业数据电子化后,是否与线下完全不同,从而对于电子化的数据享有某种独占权?这种线上线下的比较分析至少使我们确信,企业对数据的利益不在于对信息内容的独占,而体现在对数据的技术控制上,在此信息和数据问题区分的意义就显现出来了。除了个人信息和企业数据保护两种情形外,这种线上线下的比较方法在虚拟财产定性中也会显现出来,因为线下根本就不存在虚拟财产信息,只能在线上显现,故虚拟财产无法显现为现实的财产权,问题应交由数字技术中的数据操作秩序来解决。 (二)“数据权”与传统民事权利的比较对于数据利益考量的重要意义 数据权利化理论存在的一个重要理论倾向,是将电子化的信息和非电子化的信息区别对待,将电子化的信息赋予某种“特权”,以实现法律主体对电子化信息的实际控制。上文已经质疑了信息电子化后即成为新权利的客体的合理性和可能性,在此基础上将电子化信息与传统有关信息的民事权利进行比较,也可以明晰电子信息应有的利益形态和受保护强度。就企业数据而言,目前知识产权学界存在一种将企业数据适用知识产权上的数据库保护的观点。这种观点显然是针对非电子化信息而言的,且在世界立法上亦有先例,其目的是保护数据库创建人的投资,以平衡各方利益关系。但将这种方式应用在互联网数据池上,会出现如下问题:一是传统数据库的保护主要针对非电子化的数据,非电子化数据库的建立确实会专门耗费大量成本,有必要进行适当保护,但当今电子数据库的形成和积累是网络平台的自然功能,平台的投资与数据池并非直接对应关系,很难专门适用投资保护理论;二是传统数据库保护是建立在数据流通的门槛较高、数据系统获得较困难的前提下,倾向于保护整个数据库的适度占有。如1996年欧盟的《关于数据库的法律保护的指令》里,也将数据库作为著作权之外的特殊权利来保护。亦即,对于数据库的信息内容,法律并不赋予权利人的垄断权,欧盟立法则体现了由对数据库的内容保护转向了强调形式保护。这种趋势在电子数据时代显得更为突出,电子数据在全球互联网上的快速积聚和巨量分享,使对电子数据的内容垄断变得不再可行,加之数据的形式也可以自由转换,法律对其固定形式的保护都变得困难,故传统数据库保护的方法不能完全适应电子数据库。通过这种比较分析,关于数据权的理论角度便应从信息内容的关注转到数据形式保护上来,甚至企业在数据形式控制上的利益也仅限于消极性的排除他人非法分享和破坏功能。 将电子数据池与传统数据库进行比较,可以看出将电子数据库适用传统数据库保护规则的困难。同样将电子数据库与传统商业秘密进行比较,也可以从另一角度观察企业数据的利益形态。商业秘密在信息内容角度属于知识产权的对象,权利人对商业秘密内容具有相当的独占性和自我维护的需要,故就信息垄断的角度而言,法律对商业秘密保护的必要性和保护力度应大于数据库和电子数据,这是因为对于信息内容的控制力度决定了信息权利化的力度,由此也可以看出法律对于数据库投资的保护亦非一种“权利化”的保护,而是一种基于法益形态考量的弱保护。既然对于特定的商业秘密内容,法律亦无力给予权利化的保护,而是基于自我保密而形成的一种排斥他人侵害的法益保护模式,基于举重以明轻的法理,法律对于传统数据库和企业电子数据在私法上应不能超过法律对商业秘密保护的力度,从商业秘密、传统数据库到企业电子数据,其所享有的法律保护力度应呈现递减的趋势,才比较符合法律对信息内容保护的逻辑。以此观察,现在理论上对于企业数据进行信息内容上的赋权的相关讨论,应该更加审慎了,信息和数据问题的区分在此种场合就显示出其解释上的价值。 与传统权利之间的比较同样可以体现在个人信息权的讨论上。法律是否可以为个人信息赋权,可以参照隐私权和姓名、肖像等标识性人格权上。《民法典》虽然明确了隐私权的概念,但在学理上隐私作为权利一直以具有模糊的人格法益边界特征被探讨,且隐私保护的目的是为了阻止个人隐私信息被非法公开,而个人信息保护的目的则是为了防止个人信息在他人合理利用之外被非法泄露和滥用。同样,姓名权和肖像权等标识性人格权被保护的目的,也并非阻止上述信息公开和流动,而是防止被他人非法利用从而损害权利人的人格利益,个人信息保护也并非阻止信息的公开或流动,但却不一定必然涉及人格利益。基于上述比较,个人信息保护一方面不阻止个人信息的合法使用或流动,另一方面也不必然涉及人格利益的侵害,故个人信息权利化的必要性大大减弱了。在信息内容保护上比照商业秘密和个人信息也会得出同样的结论,个人信息被平台利用的必要性,决定了个人信息的保护在私法上也应弱于商业秘密的保护。 (三)公法和私法救济角度的观察是区分信息和数据问题的有效参考因素 基于信息和数据概念的混用和纠缠,一个具体网络法律问题的真实利益展现领域常常被遮蔽,实际上,对于个人信息或企业数据保护的法律考察并不应仅仅局限于私法领域,有时进行公法上的目的考量更为有效。目前从网络信息数据的公法规制角度的理论探索一直存在,与私法探讨并行不悖,只是学者在探讨时并未尝试在两者之间下一定论。值得注意的一个现象是,尽管在逻辑上信息和数据并不完全适合私法上的权利化规制,个人信息还是实际获得了相当程度的法律保护,即个人信息保护法对个人信息的保护力度,实际上并不亚于法律对于通常人格要素的保护力度,比如隐私信息既获得了人格权法的保护,同时也受个人信息保护法的保护,两者并不矛盾。也许正是基于此种法律状态,理论界企图从个人信息权利的角度获得解释。究言之,个人信息固然不排除其具有一定的私法法益色彩,且个人对其信息的滥用具有一定的私法防御请求权,但公法对个人信息保护实际上发挥着更大的作用。有学者认为,欧洲个人信息保护的理论基础在于,个人对抗公权机关对公民进行过度信息收集和监控的威胁,并且个人信息权益可以上升到宪法层面并得到证立,私法层面个人信息保护的必要性远不如公法层面。这种看法是值得肯定的。实际上,欧盟的GDPR采取的就是个人信息的行政法规制,数据控制人通过申报方式接受管理机关监管,且对于违法行为主要承担行政处罚后果。我国实际上也接受了这种模式,但在私法上又努力进行了权利化的探索,这就使得个人信息保护问题更加复杂。 从法律救济的角度来看,个人信息私法保护面临着民法救济缺失的困境。尽管基于保护性法律的立法理念,个人对个人信息享有一定的私法法益,且享有部分的防御请求权,但在损失赔偿这种民法通行的救济方式上,却面临诸多法律困难,如个人信息侵权中损害后果、因果关系和证明责任的确定等难题。对个人信息而言,公法和私法保护的区别并不在于保护力度上,而在于保护目的和方式上。对个人信息进行私法上的保护将不可避免地同时涉及到电子和非电子信息,而进行公法上的保护则有可能仅仅针对互联网中的数字化信息,因为新的社会风险是由互联网系统产生的,公法对此有规制的必要。依此而言,公法保护的针对性更加明朗,也有效地将个人信息保护问题聚焦在电子数据上,这种从公法角度的观察部分涉及到本文的主题,即个人信息保护的语境在于互联网领域,其保护方法也体现为计算机和互联网方式,亦即,个人信息保护针对的虽然是个人信息内容,但规制的却是电子数据。 这种依据公法进行救济的分析更典型地适用在企业数据上。如上文分析,将企业数据权利化的困难使企业数据的保护缺乏私法规则基础,现实中更多地采用不正当竞争规则来进行裁判。企业数据保护的法律依据主要存在于网络安全、数据安全和网络犯罪法律领域,这些保护性的法律规则经侵权法一般条款被引致到侵权责任构成要件中的“违法性”的认定上,成为纯粹经济损失赔偿的依据。如果说个人信息保护是信息问题,只是体现为数字化方式的话,那么企业数据则是纯粹的数据本身的问题,数字化秩序的建立和维护是其题中应有之义。 在网络世界中,信息的生存和流通依赖于平台、算法和数据,信息有其自身的社会准则,数字化技术亦有其相应的合理秩序,两种秩序既相互独立,亦相互补充,在这种交织状态中,准确解读和定位具体问题,并找出合理的解决方法,是网络法理论面临的结构性问题。信息和数据问题的理论区分有助于我们妥当地决定处理问题的合理方式,以免在两种不同问题的解决方式之间产生混淆。本文只是对此问题作了一个初步的探讨,尚有诸多疏漏,有待同仁指正。
推荐阅读- 向上滑动,查看完整目录 -
《比较法研究》2020年第6期目录
【习近平法治思想研究】1.论习近平法治思想中的国际法要义柳华文【论文】2.比较法视野中的印证证明龙宗智3.论通过增设轻罪实现妥当的处罚——积极刑法立法观的再阐释周光权4.基于“醉驾刑”的“行政罚”之正当性反思与重构解志勇、雷雨薇5.刑法因果关系的司法证明杨建军6.从《侵权责任法》第87条到《民法典》第1254条:“高空抛(坠)物”致人损害责任规则的进步张新宝、张馨天7.民法典意定居住权与居住权合同解释论汪洋8.论意思自治在亲属身份行为中的表达及其维度冉克平9.国家的“历史性”及其在魏玛宪法中呈现的三个瞬间高仰光10.信息和数据概念区分的法律意义梅夏英11.算法透明的多重维度和算法问责汪庆华【法政时评】12.论标准替代法律的可能及限度柳经纬13.惩罚性赔偿责任的二元体系与规范再造高志宏
《比较法研究》(双月刊)是中华人民共和国教育部主管、中国政法大学主办的法学期刊,由中国政法大学比较法学研究院编辑出版,创刊于1987年1月,1992年9月经国家新闻出版署批准于1993年起向国内外公开发行。原刊期为季刊,自2003年开始改为双月刊,逢单月25日出版发行。
责任编辑 | 李妍靓
审核人员 | 张文硕
《比较法研究》2020年第6期要目
劳东燕:个人数据的刑法保护模式
钱继磊:个人信息权作为新兴权利之法理反思与证成
程啸:个人信息保护中的敏感信息与私密信息
张涛:自动化系统中算法偏见的法律规制
点击相应图片识别二维码
获取更多信息
北大法宝
北大法律信息网
法宝学堂
法宝智能
点击「在看」,就是鼓励