北京3月30日電 資訊資料是維繫人們社會生產生活的基本要素,具有非競爭性、非排他性以及零損耗性特徵,是催生新型數字產業、形成新質生產力的核心資源,個人資訊保護是《憲法》所負有的保護義務法律。資料智慧財產權登記是財產權確權的依據,資料確權是資料權利法律制度的根本核心,是推進數字經濟和資料財產發展的重要路徑。資訊流動使用的過程是資料財產生成的過程,合法處理個人資訊是享有資料財產權的前提,處理個人資訊以尊重和保護資料發展權為原則,處理個人資訊應具有明確、合理的目的,處理個人資訊貫徹“公私二分”的規範依據。侵害個人資訊權的救濟路徑是:資訊處理者洩露個人資訊必須承擔損害賠償責任,侵害個人資訊權益要承擔民事責任,擅自處理他人公開的個人資訊要承擔刑事責任,構造超越資料確權的資訊處理雙重公法制約機制。由中華人民共和國教育部主管、武漢理工大學主辦的中國人文社會科學學報核心期刊、RCCSE中國學術核心期刊、全國高校社科精品期刊、湖北省優秀期刊、全國理工農醫院校優秀社會科學學報《武漢理工大學學報(社會科學版)》,2026年第1期“法學”欄目首篇發表宋才發教授《個人資訊處置及財產權釐定法律規制研究》論文。《武漢理工大學學報(社會科學版)》主編朱喆,執行主編韓文革,論文責任編輯韓文革。
標準參考文獻法律:宋才發.個人資訊處置及財產權釐定法律規制研究[J].武漢理工大學學報(社會科學版),2026(1):94-102.
宋才發教授系中央民族大學法學院首任院長、二級教授,湖北省有突出貢獻專家、國務院政府特殊津貼專家、國家民委首屆有突出貢獻專家,廣西民族大學特聘“相思湖講席教授”,博士生導師,內蒙古財經大學特聘教授法律。
個人資訊處置及財產權釐定法律規制研究
宋才發
黨的二十屆四中全會“關於制定國民經濟和社會發展第十五個五年規劃的建議”第十四條指出,要“深入推進數字中國建設”,全面實施“人工智慧+”行動,“加快人工智慧等數智技術創新,突破基礎理論和核心技術,強化算力、演算法、資料等高效供給法律。”以此推動生產要素創新性配置,發展以高技術、高效能、高質量為基本特徵的新質生產力。作為數字社會的新型生產要素,資料具有非競爭性、非排他性以及零損耗性特徵,是催生新型數字產業、形成新質生產力的核心資源。研究如何構建資料產權制度框架,是規範資訊資料流通交易制度的基本前提。反思資料確權困境的根源,是由於過去在較長一段時期內,無論是法律實務界還是法學理論界,都忽視了數字社會是資料價值存在的前提,不適當地混淆了資料權利的內在本質和外部效力,未能科學揭示資料權益構造的複合法律屬性。
展開全文
一、個人資訊資料財產權釐定
(一)公民個人資訊資料權益與國家保護義務
資訊資料是維繫人們社會生產生活的基本要素法律。民法規制的“個人資訊自由”的核心要義,就是個人資訊資料在不受公權力干預的情況下,可以依法自主地決定透過何種方式,獲取何種資訊權益和享有資訊財產權利。《中華人民共和國憲法》(以下簡稱為《憲法》)第三十五條規定,“中華人民共和國公民有言論、出版”等方面的自由。“個人資訊自由”是公民“基本政治自由”的重要方面,應當把個人資訊自由納入其規範領域加以保障。《憲法》第五十一條對公民行使自由和權利的限度劃定了界限,即“公民在行使自由和權利的時候,不得損害國家的、社會的、集體的利益和其他公民的合法的自由和權利”,這也是對國家公權力限制公民資訊自由的法律約束。“個人資訊自由”條款載入《憲法》所產生的價值和效力,使得“個人資訊自由”的規範需求,成為推動社會法治變遷的一種重要力量。個人資訊之於資訊主體,是因為它能夠作為公民個人資訊而具有財產價值。在促進人類社會發展進步的諸多要素中,資訊資料是一種社會化程度極高的新型生產要素。在“資料確權”的過程中,通常會涉及到各級各類政府機關的自身利益,這也對憲法制度與理論提出了更新更高的要求。在設計可以促進資料生產要素獲得充分利用的法制框架過程中,《憲法》促進法制整體協調發展的功能也面臨著新的挑戰。規範性資料權利體系的建立,依賴於對權利的內在本質和外部效力具有清晰的認知和區分。資料是個人資訊的載體,個人資訊又是資料的內容,來源於個人資訊的資料,是資訊社會非常重要的一類資料型別。從一定的意義上說,“個人資訊權”就是《中華人民共和國民法典》(以下簡稱為《民法典》)第三條規制的“財產權”,以及《中華人民共和國個人資訊保護法》(以下簡稱為《個人資訊保護法》)第一條規制的“個人資訊權益”。“個人資訊權益”是一個新概念,譬如在編纂《民法典》的時候,曾有立法者提出在“人格權編”規定個人資訊權,但最終沒有在《民法典》中採用“個人資訊權”這個概念,使用了“個人資訊保護”的規範表述。《個人資訊保護法》規制的“個人資訊權益”,說到底是民事權益中的“人格權益”,但不同於隱私權、名譽權、肖像權等其他具體人格權,它所保護的核心利益是自然人免於因個人資訊被非法處理,遭受人身權益、財產權益上的損害抑或人格尊嚴、人身自由被侵害的風險。《個人資訊保護法》第四十四條還規定,個人“有許可權制或者拒絕他人對其個人資訊進行處理”,肯定“個人資訊決定權”會向下衍生出“限制權”和“拒絕權”兩項權利。“個人資訊拒絕權”是指個人在意定許可權的授予上,有不同意、不授予意定許可權的實質自由。個人資料之於資料主體,不是因為它具有財產價值,而是由於資訊主體與資料主體的關係都為民事法律關係,個人資料與資料主體須臾不可分離,個人資料權不是財產權而是人格權。
個人資訊保護是《憲法》所負有的保護義務法律。《憲法》和民法所規制的“人格權”,是一項絕對權。從《憲法》基本權利的視角看,個人資訊保護法律體系建構的基礎,是《憲法》第三十八條的規定,“中華人民共和國公民的人格尊嚴不受侵犯”,“人格尊嚴”條款內蘊“個人資訊受保護權”。以公民基本權利為基點,以其主觀權利和客觀面向所對應的國家消極與積極保護義務為主線,可建構起一套基礎穩固、內容完整、結構合理的個人資訊保護體系。《憲法》保護義務對應的是“個人資訊受保護權”,而不是個人資訊權。個人資訊受保護權與個人資訊權,是兩個不同的法律概念,兩者看似相似含義卻大相徑庭。個人資訊作為主要的資料來源,被整合到資料財產權益的構造中,資料企業使用個人資訊是以服務作為對價換取資料的結果,“個人同意”因之被解讀為個人承諾締結合同的意思表示,從而使個人資訊具有經濟價值和財產權益屬性。資料所具有的非排他性和非競爭性特徵,決定了資料的獲取並不會消滅原有的權益,資料利用方應當承接保護資料權益的義務。資料財產權利與資訊資料安全始終是聯絡在一起的,安全控制資料是享有權利的前提,無論持有狀態能否使用抑或帶來利益,資料持有者所承擔和履行的資料安全義務,是維護資料利用秩序的法定義務。從權利本身的規範邏輯上看,由於個人資訊所具有的互動性、分享性和公共性特點,使之難於成為民法所有權邏輯下排他性的個人控制的客體。面對龐大而強勢的資訊處理者群體和機構,抽象的民事權利規定往往淪為“紙面上的權利”。鑑於國家負有保護公民個人合法權益的義務,個人資訊保護最終只能仰賴於以《憲法》為核心的法律制度。人們通常所說的“個人資訊受保護權—國家保護義務”,原本就是一個一體兩面的概念,本質就是《憲法》規制的“基本權利—國家義務”體系,在個人資訊保護領域的具體運用和再現。
(二)資料智慧財產權登記是財產權確權的依據
資料智慧財產權登記是推進資料財產確權、發展的重要途徑法律。作為新時代一項全新的社會生產要素,資料具備了與勞動、土地、資本、技術等傳統要素相同的社會生產功能,初步展現出遠超傳統要素的市場價值潛力。正在推進之中的資料產權登記制度,是明確資料財產屬性、促進資料流通交易的關鍵法治舉措。在現有資料智慧財產權登記的基礎上,進一步展開資料智慧財產權登記規則的體系化建構,能夠最大限度地保證制度規範構造的合理性。2022年12月黨中央釋出《關於構建資料基礎制度更好發揮資料要素作用的意見》(以下簡稱為《資料二十條》),提出“研究資料產權登記新方式”以及“建立健全資料要素登記及披露機制”,確立了登記機制在資料財產保護中的重要地位和基礎性規範作用,涉及資料產權登記模式如何選擇、資料產權登記效力如何認定,以及資料產權登記規則如何設定等一系列問題。資料基礎制度建設事關國家發展和安全大局,《資料二十條》提出要“建立公共資料、企業資料、個人資料的分類分級確權授權制度”。在《資料二十條》的政策指引下,全國多數省份開啟了資料智慧財產權登記試點實踐。基於資料市場運營中產權明晰化的強烈訴求,立足確權效果而進行資料智慧財產權登記是非常必要的。資料智慧財產權確權登記的適格客體標的,應當是具備實用價值與合法來源的衍生性公開資料集合,在獲准登記後將呈現出以持有、使用、經營為核心權能,且有一定時間性、地域性限制的專有性排他效力。在流程設計上,可以參照專利授權和商標註冊的確權登記模式,從登記申請的“稽覈”和“複議”兩個維度入手,對登記的主管機構以及登記的具體步驟予以明確設定。
資料確權是資料權利法律制度的根本核心法律。為獲取更多的競爭優勢,資訊資料處理者不再囿於從自身產品抑或服務中獲取使用者資料,而選擇在法律允許的範圍內積極尋求第三方資料來源。“使用者同意+平臺授權+使用者同意”的三重授權原則,既是對《個人資訊保護法》第二十三條的積極回應,也是對第三方資料獲取行為是否構成不正當競爭的裁判規則。資料交易隸屬於網路資料訪問和流動體系的數字技術,應當歸入派生於網路技術體系的新理論範疇。應當從資訊服務的附屬性抑或勞務性,以及資料服務的控制性、流動性和結合匹配性角度來理解資料交易行為,以便從理論上消彌資料“服務”和資料“交易”之間的觀念衝突。資料要素化是資料交易和資料流動的基礎條件,因而資料交易仰賴於網際網路運作系統,透過特定的平臺中介以撮合的方式進行。從一定意義上說,資料交易平臺從事的資料交易,只是通常網路資料分享的一種特殊形式。資料交易是建立在將大資料確定為單獨的生產要素抑或客體的基礎上,大資料交易不只是生活領域中的常規權利讓渡,本質上是派生於網際網路技術體系的一種獨立現象,它不僅受網路技術體系的支配,而且受網路空間資料自我發展規律的制約。在主體上,《個人資訊保護法》第二十三條規定的“提供方”為非國家機關處理者或國家機關處理者,三重授權的平臺方限於非國家機關處理者,這裡的“三重授權”指使用者對平臺初始授權、平臺對第三方授權以及使用者對第三方的再次授權。在客體上,《個人資訊保護法》第二十三條規定,適用於“處理的個人資訊”,三重授許可權於平臺方生產並享有財產性權益的個人資料集合與個人資料包告。在法律後果上,在資料交易實踐中的“同意”並不等於“授權”,未經三重授權也不一定就是侵權,經三重授權也不絕對免責,使用者同意與平臺授權有條件地相互替代。為有效控制行政機關的個人資訊處理行為,《個人資訊保護法》第三十四條作為行政法基本原則的“法律保留”進行了重申和具體化,規定“國家機關為履行法定職責處理個人資訊,應當依照法律、行政法規規定的許可權、程式進行,不得超出履行法定職責所必需的範圍和限度”。這條規定事實上缺乏對“法律保留原則”的規則性轉化,難以直接適用並指導實踐。行政機關收集個人資訊究竟在何時須由法律授權,何時又可由行政法規授權?必須有明確的規範授權抑或概括性的組織規範授權才行,這在實質上構成“法律保留原則”在個人資訊保護領域發揮作用的前提。
(三)合法處理個人資訊是享有資料財產權的前提
資訊流動使用的過程是資料財產生成的過程法律。《個人資訊保護法》設定了大量複雜的程式機制,構成了現代風險管理的法律機制。《個人資訊保護法》中的風險防範規制,重在確定監管機構所要承擔的管理風險,而不是要求對受監管主體如何強制執行所有規則。資料處理者在處理個人資訊資料上的合法性一旦出現瑕疵,就會導致其處理結果在面臨巨大風險的同時,還喪失了獲得資料財產權的可能性,更談不上資料集合的財產權能獲得法律的認可和保護。於是立法機構將個人資訊作為一項“獨立的絕對權利”來建構,這就是法律教科書所說的“絕對權利路徑”,“絕對權利”是理解個人資訊保護機制的一種法治思維。個人資訊作為一種與自然人有關的交流資源,被利用的方式隨著網路應用實名制日漸普遍,個人資訊資源轉化為一種事實上的財產,成為各類資訊控制者競相爭奪的物件。從識別特徵的方向將個人資訊的身份類識別資訊和行為活動類識別資訊的價值予以區分,對身份類識別資訊加強保護,在避免身份再識別的前提下,可以進行個人資訊資料的合理流通,發揮其資料資產的作用。在技術加入的基礎上,資訊資料不再只是人們實踐活動的副產品,而是具有價值性、財產性的客體。在資料型別化的基礎上,如果考慮資料來源、資料生成等多重要素,資料相關主體則可享有資料權益。把個人資訊保護作為企業資料權益保護的前提,不僅在整體上符合資料法治的基本佈局和體系建構,而且對個人的賦權與對資料處理者行為的規範,恰恰是《個人資訊保護法》的基本要求,體現了“雙管齊下”的治理目標和效能,有利於促進數字經濟的發展和社會價值的發揮。然而在資料資訊處理存在不合法的情形下,其處理結果仍然可能受到法律保護,這或許是一個不可思議的悖論。資料處理者的不合法處理行為,也有可能導致其加工處理結果的資料財產權的產生,因而資料產權制度在體系上應當保持一定的協調性。如果僅僅因為部分個人資訊乃至個別個人資訊處理上的違法,就從整體上否定企業的資料產權,這會導致比例上的失衡,在個人資訊資料保護制度上應當有容錯機制。
二、個人資訊資料處理法律規制
(一)處理個人資訊以尊重和保護資料發展權為原則
公民個人資料資源規模化開發利用,受限於個人資訊保護、資料安全管理等用途管控措施法律。“資料發展權”是從“資料所有權”中派生和分離出來的,透過“資料確權”的途徑和方式,促進資料資源得到合規高效的流通與開發利用,最終實現調整資料資源用途變更、開發利用和增值收益分配關係的獨有權利。儘管個人資訊資料屬於何種性質的資源暫無統一定論,但作為基礎性戰略資源的地位已經明確,成為當下發展新質生產力的關鍵要素。對公民個人資料資源嚴格遵循合理利用原則,是《資料二十條》和《公共資料開發利用意見》對資料資源開發利用作出的系統部署。《資料二十條》明確要求,“建立資料資源持有權、資料加工使用權、資料產品經營權等分置的產權執行機制”,這種資料產權“三權分置”的運作模式,恰好與農地“三權分置”的方案不謀而合。即是說“資料發展權”概念,源於“土地發展權”理論及其制度架構,土地發展權最初就是從土地所有權中分離出來、具有“準物權”性質的土地財產權。由於土地發展權在我國主要表現為農地非農化抑或變更為建設用地的權利,所以它又被稱之為農地發展權。其創設具有新型土地財產權的物權意義,為物權法中土地財產權的延伸,以及土地資源的發展性利益配置提供了可能。借鑑農地發展權制度邏輯,從資料產權中分離出資料發展權,調整資料資源開發利用中的多元關係,確實具有一定的理論和實踐可行性。資料發展權實際操作和執行可以借鑑農民土地權利配置方式,區分資料所有權與他物權來實現利益平衡。資料發展權指向資料資源管理和資料財產配置的關係調適,具有銜接資料財產權與人格權,健全資料權利體系的作用,可推動政府履行資料資源管理、保護和合理利用的職責。能夠在平衡各方資料利益中,實現數字生態環境保護與數字經濟社會發展的協調,統合資料財產利益分配與資料安全風險治理。為了協調資料資源用途管控與開發利用間的良性互動,當下迫切需要構建一種既能滿足資料管理、治理要求,又能切實保障資料開發、利用需求,且能均衡分配資料增值收益,妥善處理多元複雜利益關係的新型資料權利。作為計演算法學秩序概念的隱私、資訊與資料,具有體系構造與規範適用的雙重價值。以個人隱私權、個人資訊權為標誌的人格權,在法律位階上事實上高於作為財產權的個人資料所有權。這種數字時代個人資料權利的差序格局,不僅可以為數字經濟的有序發展提供製度保障,而且能夠完善和充實計演算法學的基本範疇並推動其科學化程序。
(二)處理個人資訊應具有明確、合理的目的
處理個人資訊不得損害資訊所有者的利益和社會公共利益法律。《個人資訊保護法》第六條規定,“處理個人資訊應當具有明確、合理的目的,並應當與處理目的直接相關,採取對個人權益影響最小的方式”。儘管過去的研究形成了告知同意進路、目的特定原則進路和目的正當性原則進路,但是告知同意進路因其自身缺陷而廣受批評,目的特定原則和正當性原則進路又缺乏足夠明確的釋義,忽視了個人面臨資訊收集時難以冷靜理性的事實前提。《民法典》和《個人資訊保護法》似乎確立了個人資訊處理“多元同意規則”,如《民法典》第一千零三十五條規定,個人資訊處理者處理個人資訊應當“徵得該自然人或者其監護人同意”;《個人資訊保護法》第十三條規定,個人資訊處理者只有“取得個人的同意” 方可處理個人資訊。包括《民法典》與《個人資訊保護法》其他條款涉及的“個人同意”,似乎是對個人資訊處理的“同意”做出了統一的嚴格要求。然而這些隸屬於“多元同意規則”的規定,並非都能滿足《個人資訊保護法》第十四條的要求:“同意應當由個人在充分知情的前提下自願、明確作出”,確實需要在深入探討的基礎上作出明確的實踐回應。《資料二十條》強調,要“以促進資料合規高效流通使用、賦能實體經濟為主線,以資料產權、流通交易、收益分配、安全治理為重點”,體現了以實現資訊自由流動和經濟高質量發展的目的要求。對於公民個人資訊權益保護的訴求,在新時代確實具有基於人的尊嚴和自由的正當性、對社會發展及公共利益的重要價值與可欲性,這些訴求與其他各個主體利益之間的平衡,也確實具有必要性與可行性。2018年修正的《憲法》以及新出臺的一系列民事法律,正是基於這種正當性在合理範圍內給予相關訴求的合法性,為平衡各種利益關係作出調整。《個人資訊保護法》第七十條還規定,“個人資訊處理者違反本法規定處理個人資訊,侵害眾多個人的權益”,可以作為提起檢察公益訴訟的條件。這裡所說的“侵害眾多個人的權益”,實質上就是通常所說的“損害社會公共利益”,要求資訊處理者處理個人資訊不得損害社會公共利益。
(三)處理個人資訊貫徹“公私二分”的規範依據
《民法典》與《個人資訊保護法》劃定了“個人資訊保護”與“共享利用”的界限,實現了個人資訊權益與其他法益的協調發展,規制了對個人資訊合理利用的原則,包括誠實信用、權利不得濫用、正當、必要原則等法律。透過由“一般原則”到“具體規定”的體系和制度安排,科學地規制了個人資訊合理利用制度,為資訊處理主體合理利用個人資訊提供了制度遵循。《民法典》以個人資訊“處理”的表述方式,替代了對個人資訊“收集和使用”,繼續沿襲並堅持以“個人同意”為前提。但是《民法典》第一千零三十五條第一款,明確了“個人同意”的法定例外情形,並在《民法典》第一千零三十六條規定了“免責情形”。《個人資訊保護法》第十三條借鑑《歐盟一般資料保護條例》第六條第一款的“公私二分”法,規定規範處理個人資訊的適用主體,既包括公共部門,也包括私營部門。在大資料時代,無論是“公共部門”的公法資訊處理活動,還是“私營部門”的私法資訊處理活動,都必須遵循“法無授權即禁止”,以及“法無禁止即自由”的原則。這個原則不僅決定著處理個人資訊的自由幅度和範圍,而且是資訊處理者處理個人資訊的根本依據。資料主體所享有的一切權利,無一例外都源自於《憲法》規制的公民的基本權利,資料主體的“個人同意”,並不是對這些基本權利的處分或讓渡。《民法典》所規定的“個人同意”,不能理解為人格要素的“許可”抑或“授權使用”,民法對個人資訊處理的合法性,同樣不能僅看成是否獲得“個人同意”。規範依據涉及到個人資訊資料可否被處理,屬於對個人資訊處理者自由處理個人資訊範圍的制度表達。儘管個人資訊處理者包含公共部門和私營部門,但是這兩類主體的個人資訊處理行為,在性質上具有實質性差異。在“公私二分”的思路下,應當把《個人資訊保護法》第十三條理解為:“公共部門”只能適用部分規範,並且以“禁止處理個人資訊”為原則,僅因“履行法定職責、維護公共利益”的需要才能處理個人資訊。而“私營部門”則可以適用全部規範,總體上以“允許處理個人資訊”為原則,但是《憲法》第五十一條規定,“公民在行使自由和權利的時候,不得損害國家的、社會的、集體的利益和其他公民的合法的自由和權利”。按照合憲性解釋的要求,“私營部門”僅因違反《憲法》上述“三類禁止性規定”,才能禁止其處理個人資訊行為。即是說《個人資訊保護法》第十三條不僅規定了規範依據,還規定了個人資訊處理的風險控制制度。“風險控制制度”具體體現為一整套個人資訊處理的行為規範以及配套的監督制度,無論是公共部門還是私營部門,處理個人資訊都要遵守風險控制制度,有效控制風險。
三、侵害個人資訊權的救濟路徑
(一)資訊處理者洩露個人資訊必須承擔損害賠償責任
需要從正當程式視角理解並設計個人資訊權法律。《個人資訊保護法》第一條明確規定“保護個人資訊權益,規範個人資訊處理活動,促進個人資訊合理利用”。但它沒有界定什麼是個人資訊權益?相關法律條款如第四十四條規定了“知情權、決定權”,第四十五條規定了“查閱權、複製權與個人資訊可攜帶權”,第四十六條規定了“更正權、補充權”,第四十七條規定了“刪除權”,第四十八條規定了“解釋說明權”。法學理論界和事務界把這些個人在個人資訊處理活動中的具體權利,稱之為“個人資訊權利束”。然而在當下智慧裝置的應用場景中,如何準確識別個人資訊處理者,卻是一個非常棘手的難題。依據《個人資訊保護法》第二十條“合作處理個人資訊”和第七十二條“對本法適用範圍的特別規定”,儘管使用者在一定程度上對資訊處理擁有自決權,存在可以訪問資料的開放型製造商和使用者共同作為個人資訊處理者的可能性,但這種自決不應被視為對個人資訊的真正控制。資料開放型製造商無法避開其作為個人資訊處理者的法律責任,而封閉型製造商儘管無法直接訪問資料,卻能夠透過其裝置中的人工智慧程式實質影響處理方式和目的,因此不應將其排除在個人資訊處理者的範疇之外。明確封閉型製造商的處理者責任,有助於減少資料洩露的外部性,促使其採取更有效的安全措施,填補現有體系中對資料處理責任界定不清的漏洞,減少責任追究中的混亂與不確定性。人們對個人資訊賦權的擔憂,除了因《個人資訊保護法》沒有明確界定何為個人資訊權益外,還源自於資訊主體絕對控制的資訊流通阻礙以及對應保護模式的失效,需要從正當程式視角理解並設計個人資訊權。如果能以程式賦權來平衡資訊處理者與資訊主體之間的關係,則可以透過平等、透明、合作等程式價值,激勵資訊主體、處理者以及相關第三方形成技術化、標準化、契約化的程式性權利保障體系。確立個人資訊權的合法正當程式,必須遵循以權利制約權力的公法邏輯,以有效預防和約束強勢資訊處理者的非法處理行為,避免資訊主體濫用權利而阻礙資訊流動,實現資訊保護與資訊利用動態平衡。《民法典》和《個人資訊保護法》在不同的條款中,規制了個人資訊侵權責任認定及法律效果評價方法,強調以“過錯”作為法官進行利益權衡的考量因素而發揮作用。對於過錯在法律效果評價方法中展現出來的規範作用,需要在現行法秩序內外體系協調的背景下予以理解,即當侵害行為違反關於個人資訊保護性法律規定時,若能透過構成要件認定侵權責任成立,則過錯為責任成立的構成要件,此時經由保護性法律規定清晰界定的事實構成可以推定過錯;對於不在保護性法律規定調整範圍的侵害行為,因為並不存在可以預先清晰界定的事實構成,於此只能透過利益權衡方法綜合諸多考量因素認定侵權責任,其中過錯是作為必備的考量因素髮揮規範作用的。資訊洩露在資訊處理實踐中,是最常見的個人資訊侵權行為。在大資料、人工智慧、區塊鏈等新興技術迅猛發展的背景下,個人資訊處理日趨常態化、複雜化。在儘可能地滿足個人和社會資訊處理需求的同時,把資訊安全風險控制在一定的合理範圍內,是追求資訊安全秩序價值的題中應有之義。個人資訊權益作為自然人享有的重要人格權益,依法免受因洩露或非法處理個人資訊所帶來的人身、財產安全的損害威脅,資訊處理者必須對因洩露個人資訊的行為承擔損害賠償責任。侵權責任理論上的損害概念,其解釋力足以應對所謂的“風險性損害”,在個人資訊權益損害的救濟問題上,不宜把法律上的損害過於泛化,直至與事實意義上的損害相等同。
(二)資訊處理者侵害個人資訊權益要承擔民事責任
個人資訊侵權顛覆了傳統侵權法賴以建立的社會場景法律。儘管《個人資訊保護法》對侵害個人資訊權益民事責任作出了特別規定,但是對侵害個人資訊民事責任的規定比較零細分散,只有整理後才能展現民事責任保護個人資訊權益的規則和職能。《個人資訊保護法》第六十九條規定,“處理個人資訊侵害個人資訊權益造成損害,個人資訊處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任”。這條規定在闡明對個人資訊進行民事責任保護價值定位的同時,還表明行政機關處理個人資訊應當接受精細嚴格的法律約束。個人資訊事實上構成了行政機關履行職能的基礎,行政機關開展的任何一項涉及民生的行政事務,都離不開對相關個人資訊的收集與處理。藉助先進的監控裝置與智慧演算法等技術手段,行政機關得以突破傳統程式限制“翻牆而入”,高頻次、高密度地獲取個人在日常社會生活中產生的各類資訊。從戶籍登記、納稅記錄到出入境管理、違法犯罪防控等,行政機關透過向網際網路平臺等私主體調取資料、跨部門資訊共享等方式,使得個人資訊資料更能脫離原始收集場景而盡收囊中。這種處理範圍的急劇擴張與處理方式的深刻轉型,在行政機關提升行政效能的同時,也對公民個人權利保障構成嚴峻威脅。儘管《民法典》《個人資訊保護法》已將國家機關個人資訊處理活動納入規範範圍,但是相關規定在實踐中執行的實際效果欠佳。尤其是在司法實踐中,行政機關處理個人資訊的行為,經常被不加檢視地認定為並不影響當事人權利,從而被排除在行政訴訟受案範圍之外。即使行政機關的行為違反了法律法規的規定,也難於透過有效的監督救濟機制獲得矯正。這種困境源於傳統行政法理論的認知侷限,即未將行政機關處理個人資訊的行為視作具有權利限制屬性的行為,這種認知不僅影響司法實踐對相關行為性質的判斷,也阻礙法律保護機制的制度完善與升級,甚至造成公民對政府和司法機關的不滿情緒。未來應當把行政機關和政府職能部門具有較高權利侵害風險的資訊處理行為,認定為具有權利限制屬性的行為,在法律、行政法規中明確規定這種處理行為的目的、範圍和方式等,透過單行法的具體授權為資訊處理確立合法性基礎。行政權需妥善承接基本權利保護義務,對於侵擾性較低抑或難以標準化的資訊處理活動,可以基於行政職責推導資訊處理許可權,再透過行政自我規範、適用“告知—同意”規則、強化程式與組織保障等,彌補法律明確性不足可能導致的權利保護漏洞。既要防止行政活動成為個人資訊保護的“法外之地”,又要避免過度繁瑣的授權要求,導致行政活動動輒得咎、影響行政執法的效率與靈活性。
(三)擅自處理他人公開的個人資訊要承擔刑事責任
公開的個人資訊是指資訊主體個人自行公開抑或其他已經合法公開的個人資訊法律。在資訊化數字化時代,資料不僅是一種重要的資訊資源,更是技術創新和商業模式變革的重要推動力。個人的公開資料不同於開放的資料,也不同於公共資料,資料保護措施屬於個人資訊系統安全防範和保護措施,避開抑或突破這道資料保護防線的行為,就屬於“超越授權”資訊犯罪中的“侵入”行為。擅自處理公民公開的個人資訊行為,屬於《中華人民共和國刑法》(以下簡稱為《刑法》)第二百五十三條之一規定的“向他人出售或者提供公民個人資訊”的構成要件,不僅侵犯了資訊主體私域自主權益,而且構成了侵犯公民個人資訊罪。依據《民法典》第一千零三十六條第二項的規定,資訊處理者擅自處理公開的個人資訊的行為,只要是沒有侵害個人的重大利益,可以依據《民法典》的上述規定免除民事責任。但如果使個人的重大利益遭受侵害,那就違反了《民法典》與《個人資訊保護法》中的相關規定,就要依據《刑法》第二百五十三條之一的構成要件,追究擅自進行資訊處理者和資訊提供者的刑事責任。侵犯公民個人資訊罪的行為方式包括獲取、出售和提供,單純收集已公開的個人資訊行為並不具有非法性,收集的個人資訊僅供個人學習研究之用,只要是沒有超出資訊主體合理的預期範圍, 既然不會對資訊主體的資訊權益造成侵害,那就不應當承擔刑事責任。作為資源的個人資訊資料具有再生性與非競爭性的特點。再生性使得個人資料的規模呈現不斷擴張的態勢,而非競爭性則使得個人資料可以被反覆使用,並且供不同的主體共享。這不僅侵犯了公民個人隱私、財產抑或其他資訊權益,而且可能侵犯公共安全與國家安全等方面的利益。隨著刑事立法對網路服務提供者刑事責任的擴張,網路空間中違法資訊的泛濫逐漸成為網路犯罪治理的焦點,把如何懲戒網路服務提供者為使用者傳播、釋出違法資訊的問題提上了議事日程。隨著2015年“刑法修正案(九)”的普遍實施,學界研究的重點逐漸集中到對網路服務提供者刑事責任的歸責模式上來。網路服務提供者不同於普通的經營主體,他通常兼具經營者和特定條件下的管理者雙重身份。儘管提供網路服務本身是一種業務行為,但是在網站等管理、運營者放任違法資訊傳播而不予刪除的情況下,如果網路服務提供者未對違法資訊採取適當措施,那麼其行為就會產生不作為的刑事責任。在大多數情況下,由於資料治理的整體法律體系尚未完全完善,加之網路空間主體的匿名性特點,很難確定違法資訊釋出者的身份,網路使用者數量龐大,普通使用者釋出、傳播違法資訊可能並未達到法定量刑標準,這就導致正犯的發現和處罰變得相當困難。《刑法》是按所侵害的“法益型別”來安排相應罪名的,《刑法》主要關注的是對非法獲取資料行為的處罰,但資料流動中的真正危害是對資料的非法濫用,必須實現從非法獲取資料的行為到濫用資料行為的轉變。未來在法律規制的重心上,應當根據個人資料的型別採取不同的治理進路,對普通的個人資訊,可以採取利益衡量的進路;對敏感資訊特別是生物資料,應當考慮採納法權進路,適用主要由控制者與處理者來對相應風險及結果負責的歸責原理。
(四)構造超越資料確權的資訊處理雙重公法制約機制
資料確權需要確立一個合法的資料處理秩序法律。曾有學者認為,個人對其個人資訊不具有財產利益,處理者對個人資訊資料的財產權益,也並不是從個人處繼受取得的,而是基於合法的處理行為而原始取得的。資料財產權益本體論則認為,法律應當對個人資訊中蘊含的商業價值給予財產權保護。因而《民法典》第一百二十七條規定,“法律對資料、網路虛擬財產的保護有規定的,依照其規定”。完善資料財產權的實體規範,保護公民個人與資料有關的財產權益,國家將其提升到公民基本權利的高度,突出強調數字人權保障的極端重要性。構造個人資料確權和資料處理秩序的公法框架,必須具備兩個最基本的條件:第一個是資料處理的規制體系,第二個是公共資料的開放利用。資料處理的雙重公法構造,不僅能夠超越資料確權本身的價值和意義,而且能夠促進資料要素流動和價值分配秩序的完善,提供數字經濟和數字政務服務持續發展的法律支撐。個人、企業、黨政機關和企事業單位,如何有效地利用和使用公共資料?其實公共資料的公益屬性,本能地決定了其確權與執行的嚴格限制。即是說在法理構造層面,公共資料是國家所有的公共財產,具有“憲法上國家所有和民法上國家所有權”的雙重意蘊,二者分別構成產權分配和授權運營的《憲法》依據。在權利構造層面,應當依據“三權分置”的治理框架,圍繞持有權、使用權和經營權三者之間的關係,構建開放共享與要素流通並重的權利體系。在制度建構層面,應當透過適用型別化區分的登記確權制度明確權屬,對政務公共資料和加工公共資料,分別適用非營利的限制制度和有限盈利的運營制度,以遏制行政壟斷、釋放資料價值,保障公共資料產權規範執行。完整的公共資料產權制度,包括公共資料產權界定製度、公共資料產權配置制度和公共資料產權流通制度、產權保障制度幾大塊。公共資料產權流通和保護制度的建構,始終以產權界定和產權配置制度為基礎依據。
