二、个人数据之相关概念厘定
(一)个人数据的内涵与外延
我国现行法律没有对个人数据的概念进行明确的界定,具体完善的规则体系还未建立。目前立法领域主要针对个人信息进行了一系列探索,[5] 已于2021年1月1日实施的《中华人民共和国民法典》第一千零三十四条第二款、第三款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”《中华人民共和国个人信息保护法》第四条对个人信息作了如下定义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”可以看出,我国当前对个人信息的界定主要以可识别性为主,包括直接识别与间接识别。
在市场经济下的商业领域,由于数据处理技术的不断发展,尤其是进入大数据时代以后,能否识别个人身份的信息边界越来越模糊,许多传统概念上无法识别个人身份的信息,经过技术手段的处理后,也能够准确识别到个人用户,如采用特定技术即可通过人类的耳朵、气味、心跳等信息数据识别特定的人,结合大数据分析技术和精准地图即可通过用户上传到互联网中的照片数据识别特定个人。因此,个人数据的范围应大于且包含个人信息,从更好地规范个人数据流通与利用的角度出发,在概念界定时我们可以借鉴《中华人民共和国网络安全法》第七十六条对“网络数据”的规定及欧盟委员会对于个人数据的规定。《中华人民共和国网络安全法》第七十六条第一款第四项规定:“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。”欧盟委员会指出,匿名后的数据集也可能通过技术手段转化为个人数据或形成用户画像,此类数据即属于个人数据并根据欧盟《一般数据保护条例》(GDPR)进行保护,除此之外的数据则归属于非个人数据。[6] 因此,本报告对个人数据作如下定义:个人数据为通过网络收集、存储、传输、处理和产生的各种与个人相关的数据,在相应的应用场景下,这种数据能够单独或者结合其他信息定位到特定个人,包括个人所制作发布的非带有个人特征的文字、视频、音乐、图像等单个数据以及存储于网络平台上经过匿名化处理后的整体数据,如对用户各种浏览、使用等行为予以记录或呈现的行为类使用数据。
(二)个人数据权益属性
个人数据在权利属性方面目前尚存有争议,其确权的利弊都十分突出,因而理论界与实务界倾向于根据对象所体现的价值给予不同属性的权益保护与规范。为了协调自然人的个人信息保护与信息的自由流动与利用的关系,我国民法典没有规定个人信息权,而是使用了“个人信息保护”的表述。尽管如此,从民法典对个人信息保护的相关规定可知,自然人对于个人信息享有的是民事权益而非权利。[7]
个人数据上所承载的权益主要包括人格权益和财产权益,这将成为现阶段探讨数据权益分配,以及规范数据收集、使用、交易等现实问题的核心。在人格权益方面,数据由个人产生,往往带有很强的个人身份属性,即使经过匿名化处理后,在某些特定的场景和技术下也能够指向相应的个体;在财产权益方面,客体作为一种法律上的财产需要具备三个积极要件:有用性、稀缺性和可控制性,数据同样如此。首先,从产业实践看,数据的商品化已经充分证明其具有使用价值和作为资源的稀缺性;其次,数据可被记录,进而使其可被控制和支配;最后,数据可无限复制,且复制不会减损其价值,这是数据有别于有形物的特征,也是数据交易、共享得以发展的基础。[8]概括而言,个人数据蕴含着经济利益、人格利益以及社会公众的公共利益,相关数据持有者可以基于数据的控制程度实现占有、使用、收益、处分等类似所有权的权能。例如《中关村数海大数据交易平台规则(征求意见版)》第十九条规定:“本规则所称数据交易,是以货币换取数据的行为。”[9]大数据具有重大的经济价值,其背后的财产权益属性给大数据的交易提供了有效的理论基础。
数据相较于其他有形财产而言,最大的特点就是其不具备损耗性,在理论上能够被无限地复制分享给其他人,因而数据的权益划分就需要扩展至数据流通的整个链条中。例如,为了规范数据活动,促进数据资源共享开放和全面深度开发利用,保护自然人、法人和非法人组织数据权利和其他合法权益,加快数据要素市场培育,促进数字经济高质量发展,深圳市于2021年7月6日通过《深圳经济特区数据条例》,其中规定了自然人、法人和非法人组织享有对特定数据的自主决定、控制、处理、收益和利益损害受偿等数据权益,这也是在国内首次提出“数据权益”保护。
(三)个人数据权益主体
在互联网市场与数字经济极其活跃的当下,数据流通与利用的链条被无限扩张,一条数据上往往承载着许多不同主体的劳动与参与,从数据创造者到数据收集者、存储者、挖掘者、分析者、分享者以及交易者等,各方主体皆可对其主张创造性价值,数据最初创造者的作用占比在此情况下就会被大量稀释,甚至被超越。
欧盟《一般数据保护条例》(GDPR)第四条主要将与个人数据利益相关的实体分成五类:数据主体(Data subject,DS)、服务提供商(Service provider,SP)、数据控制方(Data controller,DC)、数据处理者(Data processor,DP)和第三方(Third party,TP)。[10] 从当下的平台实践情况出发,数据权益主体主要分为数据创造者和数据处理者(包括数据控制者和数据使用者)两类;从市场与产业角度来看,可以划分为用户、平台以及第三方机构。其中,用户多为数据创造者,是个人数据产生的来源;平台及第三方机构多为数据处理者,收集并控制着海量的个人数据,通过对其进行清洗挖掘而获取商业价值。实践中,数据创造者并不实际创造个人数据,而是凭借提供服务来获取其他主体所拥有的个人数据,在对其进行商业挖掘的基础上扩大自身影响力,进而锁定其他主体,实现聚集效应。