熊定中,北京清律律师事务所主任,在互联网相关行业法律咨询和诉讼方面具有丰富的理论研究与实务经验,从事多家互联网企业外部法务主管工作与合规工作。
非常感谢腾讯研究院和中国社科院文化法制研究中心提供的这次机会,正如我在活动中已经说过的,至少对我而言,从学校毕业后就再也没有这样密集的高层次思想碰撞了,非常珍惜这次来之不易的机会。沉迷于智慧的群体总是单纯而迷人的。客套话其实没必要多讲,就本次活动中获得启发和灵感最多的问题,也就是关于用户在互联网上从事一定行为而产生的数据权利问题,进行一下简单分享。后续若正式成文,将专门感谢给予帮助的学员朋友。
权利归属
数据权利的权属问题,也即数据权利的权利人为谁,其实是本次工作坊中讨论最为激烈的问题之一。目前已经达成的共识,在数据权利至少有财产权属性这一点上是没有以争议的。但数据所有权归属,似并无充分展开、明确立论表达清楚各自观点。目前通行的几种,大概有如下观点:
一种观点认为,数据的所有权应该属于产生数据的原始个人。这种观点并不占有主流地位。工作坊中高富平老师就非常鲜明地指出了该观点的不妥,即“个人数据仅仅是来源于个人,但来源于并不直接等于归属于”。当然,高老师认为个人数据具有一定公共性,不是智力成果,不是由数据主体创设出来而是数据主体记录或者自然行为的结果这个论断,我个人并不特别赞同。
与之针锋相对的观点则认为,数据的所有权应该属于数据的收集者和开发者,这种观点以保护互联网大数据行业发展为视角,认为因为互联网服务平台对数据的收集、加工才使得数据产生价值;而且,互联网服务平台在搜集、处理数据的过程中投入了大量成本,数据权利归于平台方有利于实现数据的最大价值,促进市场更好发展。
在五天的工作坊讨论中,我个人逐渐明确的意见是:讨论个人数据的属性,必须区分处理和判断,区分的依据是数据是否具有个人特征。
具有个人特征、已经直接识别或者可直接识别特定个体的数据属于带有人格权属性的个人信息,甚至是个人隐私的范畴,与用户个人权益紧密相关,理应只能由用户个人享有处分的权利,因此其所有权属于用户个人。而经过脱敏、匿名化处理的数据,或者根本在采集时就未伴随着已经直接识别或可识别特定个体的数据一并搜集和保存的数据,虽然来源于个人,但并非属于个人所有。
在目前互联网主流的商业模式中,该部分数据甚至可以直接定性为是互联网服务合同的标的或者至少是标的的一部分。在不侵害自然人权益的前提下,服务提供方享有此类数据的所有权,还可以充分实现数据价值,促进产业发展。
因此,部分数据的权益归属于互联网服务提供方不仅合乎法理,其分类思路还匹配了《网络安全法》中对个人信息的分类方式。
数据权利的行使与限制
在第 1 点的基础上,如果确认个人使用互联网服务而产生的数据被分为由人格权保护的个人识别数据和由合同法调整的非识别或不可识别数据,并确认互联网服务提供方对后者的权利的话,那么我们通常意义上所谓的“数据权利的行使”,即对非识别数据或不可识别数据的使用问题,已经迎刃而解:权利拥有方,当然拥有对权利客体的全部使用权,可以按照对自己商业上最有利的方式来行使。
当然,任何权利的行使都应当有限制,数据权利自然也不例外。尤其是考虑到此处所述的“数据权利”,实际上是伴随着个人识别数据一起上传至互联网服务提供方的,而个人识别数据又如前所述属于用户人格权的一部分。
因此,显而易见的结论也应当是对个人非识别或不可识别数据的使用,在不与个人识别数据相关联,未能或不可识别精准个人的前提下,是自由的。
但在已经、或者可以与个人识别数据打通,已经或者足以识别精准个人时,该行为将要受到各种限制,例如应保证数据的安全保存、在数据交换时进行脱敏处理等等。
明确与数据权利的性质及归属对市场、个人、国家都有积极正面意义,但是明确上述问题并不意味着可以完全明确互联网服务行业中关于数据权利的所有使用场景的规则,例如:用户是否可以撤回同意服务平台收集其信息的意思表示、并要求平台方彻底删除此前收集的一切数据?对于所有权属于用户个人,但在服务平台上完全公开的个人数据,互联网服务方使用该数据的界限在哪里?
此外,数据流通过程中产生的侵权责任承担问题也将成为对立法者、司法者的挑战。
精彩回顾:
