学术|程啸：论大数据时代的个人数据权利

程 啸

清华大学法学院教授、博士生导师

导 言

现代社会是信息社会，随着网络信息技术的高速发展，海量的各种数据化信息被不停地生产、收集、存储、整理与使用，人类由此进入了大数据时代。大数据对社会生活的方方面面产生了前所未有的影响，也在各个法律部门中引发了许多值得研究的新问题。其中，最为重要的是个人数据的权利问题。尽管包括中国在内的不少国家的法律对于个人数据保护都有相应的规定，然而，对于个人数据权利的属性和内容等问题，尚有待深入研究。

一、数据与民事权利的客体

民事权利的客体，即民事权利和民事义务指向的对象。根据我国法律规定，可以作为权利客体的包括：有体物（动产和不动产）、智力成果以及权利。数据既不是物，也非智力成果或权利。作为信息网络科技发展的产物，数据无法脱离载体而存在，其交易也必须依附于平台、代码、服务协议、交易合同这些技术和法律关系的整体性交易过程，不可能独立完成。作为无形物的数据，也不可能被某一特定主体独占，具有非独占性或共享性的特点。数据的上述独特之处使理论界产生了否认其作为民事权利客体的观点。该观点令人难以苟同。信息是数据的内容，数据是信息的形式，在大数据时代，无法将数据与信息加以分离而抽象地讨论数据上的权利。就个人数据而言，其之所以具有经济利益或者涉及人格利益，就是因为包含着个人信息。没有个人信息的数据不是个人数据。作为无形物的数据，当然受到代码或技术规则的控制，需要通过电脑终端或存储介质而存在及转让，因此需要通过技术手段防止他人的窃取。然而，数据的此种特性并不意味着人们无法将之作为民事权利的客体而加以支配和控制。

尽管数据是随着科技社会的发展而产生的一种新的客体，具有无形性和非独占性等特征，但是，数据依然具有民事权利客体所要求的独立性与财产性，是现代民法中一类新型的民事权利客体。

二、个人数据的界定

对于大数据时代的数据，无论其来源如何，都可被分为两类：个人数据与非个人数据。数据的“可识别性”（identifiable）是区分二者的关键标准。凡是单独可以识别出特定自然人的数据或者与其他数据结合后能够识别出自然人的数据，都是个人数据，反之，则为非个人数据。

由于个人数据可以识别出特定自然人，因此如果法律上对此不予规范的话，很容易出现有人利用个人数据侵害自然人隐私权等人格权益以及财产权的恶果。在大数据时代，有必要通过民法、刑法和行政法等多个法律部门对个人数据的保护与利用加以规范。至于那些无法识别出特定自然人的数据即非个人数据，因不涉及自然人权益的保护，故此法律上没有必要给予过多限制，对于这些非个人数据的收集、存储、转让和使用，也无须经过被收集者的同意。

三、个人数据上自然人的民事权利

（一）赋予自然人对个人数据民事权利的意义

目前，各国对于个人数据的保护与使用，都采取了公法规制与私法赋权双管齐下的治理模式。然而，对于为何要赋予自然人对个人数据以民事权利，却有不同的认识。基于我国的历史和社会现实，将赋予自然人对个人数据以民事权利的正当性建立在维护人格尊严和人格自由的基础上，更具说服力。这也是我国法学界的主流观点。此外，需要指出的是，赋予自然人对个人数据以民事权利，还具有充分调动广大自然人保护个人数据积极性的作用。

（二）自然人的个人数据权利的内容

法律上之所以规定某种民事权利，目的就是要保护权利人的某种利益，满足其需求。民事权利内容不同，所保护的利益不同，使得各项权利之间得以区隔。法律上承认自然人对个人数据的民事权利之后，至于该权利的名称究竟是个人信息权还是其他的名称，无关紧要。重要的是，明确该权利的内容并将其与既有的民事权利相区分，从而确立相应的保护方法。此外，自然人的个人数据权利保护的利益还应当是确定的利益。易言之，自然人对个人数据的利益必须是具有一定程度的社会可识别性的，这就意味着该利益是稳定的、持续的、值得信赖的。

在大数据时代，法律上赋予自然人对个人数据的权利，该权利本身的内容既非自然人对个人数据的隐私利益，也非从个人数据交易获得的经济利益，而是保护自然人对其个人数据被他人收集、存储、转让和使用的过程中的自主决定的利益，具体表现为以下三项：其一，知悉个人数据被收集、被基于何种目的而加以收集以及使用的目的、方式、范围并基于此加以同意的利益；其二，知悉个人数据被转让并在未经同意拒绝转让的利益；其三，查询个人数据并在个人数据出现错误或遗漏、缺失时有权要求删除、更正或补充的利益。因此，自然人对个人数据的自主利益本质上是防御性或消极性的利益，而非积极性的人格利益或财产利益。

（三）自然人的个人数据权利的民法保护

当自然人对于个人数据享有的权利只是保护自然人的防御性利益时，那么该权利就不应当具有作为绝对权的人格权、物权那样的各种积极效力。自然人的个人数据权利具有以下效力：首先，要求停止侵害的效力，即自然人有权决定是否同意他人收集、存储或转让个人数据，在他人未经同意而收集个人数据时有权要求停止侵害 （停止收集或转让、删除已存储的数据）。对于未经同意而转让给他人的数据，无权要求返还数据，并且除非能够证明取得该数据的民事主体具有主观上的故意，否则不能要求取得个人数据的民事主体删除该数据。其次，查询与更正的效力，即自然人有权查询自己的个人数据并在该数据不完整或不正确的时候要求更正。最后，在侵害自然人的个人数据权进而导致自然人其他的民事权益被侵害时，被侵权人有权要求侵权人承担损害赔偿责任。

四、数据企业对个人数据的权利

（一）数据企业对个人数据权利的正当性基础

数据企业对合法收集的个人数据享有应当受到法律保护的权利，并且该权利既不依赖于被收集者的授权，也不依赖于其他在先权利或许可，而是基于以下原因原始取得的权利。首先，就个人数据而言，数据企业依据法律规定，在公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意收集个人数据的行为是合法的事实行为。该行为不具有违法性，免除了数据企业侵害被收集者既有权利 （如隐私权）的侵权责任和其他法律责任。其次，数据企业本身收集、存储个人数据的行为需要付出相应的成本，而且他们向被合法收集个人数据的被收集者支付了合理的对价，符合公平原则，理应产生相应的民事权利。至于那些从在先权利、法律授权或行政许可的思路出发，来证成数据企业对的数据权利的思路，都不可取。

（二） 数据企业数据权利的内容与民法保护

我国《民法总则》第127条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”显然，立法者在紧接着人格权、物权、债权和知识产权之后规定对数据的保护，实际上等于认同了数据的权利是一种新型的财产权利。但是，这种权利的性质如何，立法者却没有明确。目前，司法实践中就他人侵害数据企业数据权利的侵权案件，则是通过《反不正当竞争法》加以保护。显然，通过《反不正当竞争法》保护数据企业对数据的权利，实际上就等于将数据企业的数据权利降格为一种受法律保护的纯粹经济利益，只能在其遭受特定方式侵害的时候获得救济，其保护的强度和密度明显不足。我国法上应当明确规定数据企业的数据权利，即数据企业对合法收集的包括个人数据在内的全部数据享有支配的权利，性质上属于独立于人格权、物权、债权、知识产权的新型财产权。

具体来说，数据企业数据权利的内容及其保护方法包括如下几项：其一，数据企业在得到自然人同意的情形下，有权收集个人数据并进行存储（占有）。至于非个人数据，则数据企业有权依据法律规定的方式进行收集和存储。其二，数据企业在得到自然人同意的前提下，可以按照法律规定及与自然人约定的目的、范围和方式进行分析利用个人数据。而在个人数据进行符合法律规定的匿名化处理后，无须得到自然人的同意即可在不违反法律和行政法规强制性规定的前提下进行使用。其三，数据企业有权处分其合法收集的数据，如转让给其他的民事主体或授权其他民事主体进行使用。但是，对于个人数据则必须得到自然人的同意，才能进行处分。其四，数据企业的数据权利在遭受他人侵害时有权要求侵权人承担侵权责任。

结 语

大数据时代，合理界定个人数据上的权利，对于协调自然人民事权益的保护与促进数据产业的发展，至关重要。一方面，将自然人对该个人数据的权利限制在适度的范围内，为其提供防御性的保护，并在因个人数据被违法收集、使用而侵害自然人既有民事权益时提供侵权法上的救济，既有利于保护自然人的合法权益，也能充分尊重数据活动的合理自由，实现二者的和谐。另一方面，不应当将数据企业对其合法收集的个人数据的权利建立在自然人对个人数据权利的基础之上或认为是派生于政府的授权许可，而应当肯定这种权利是原始取得的权利，并将之作为绝对权，而给予与物权、人格权同等程度的保护。唯其如此，才能在个人数据上构建一个既能有效地保护个人权益，又能充分维护数据活动自由的民事权利格局。