王波涛
随着数字经济深入发展,数据已成为关键生产要素和企业核心资产,不再是简单的信息记录,而是与土地、劳动力、资本、技术并列的关键生产要素,成为数字经济的基础与核心。数据具有非排他性、可复制性、聚合性等独特特征,使得其上的权利归属与保护路径变得异常复杂。要受到民法保护,首先需厘清其一体两面的关系——侧重于人格利益保护的个人信息与侧重于财产利益经营的企业数据。
个人信息权益与数据权益既有本质区别又紧密关联,二者在法益基础、权利内容、保护方式上存在根本差异,但又常常共存于同一数据集合之中。同时,个人信息保护与企业数据权益的冲突也日益加剧。如何在我国现行民法框架下,清晰地界分二者,并构建一套既能严格保护个人信息,又能充分激励企业数据开发利用的协同保护规则,已成为当前民商法理论界与实务界面临的紧迫课题之一。通过深入剖析《中华人民共和国个人信息保护法》与《中华人民共和国民法典》下个人信息权益的人格权属性,把企业数据作为竞争性财产权益的法理基础,并提出构建一种界分明确又协同配合的民法保护体系,这样实现既能保护个人尊严又能促进数据要素流通的双重目标。
个人信息权益的人格权属性及其保护核心
《中华人民共和国民法典》第一百一十一条规定“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”以及《中华人民共和国个人信息保护法》的出台,共同确立了个人信息权益作为一项独立民事权益的地位。其法律属性呈现出鲜明的人格权特征。
(一)法益基础:人格尊严与隐私
个人信息权益的核心法益是自然人的人格利益。个人信息,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。这些信息的总和能够勾勒出个人的形象、偏好、行踪、健康状况等,与自然人的人格尊严、人身自由、隐私安宁密切相关。法律保护个人信息,首要目的是防止个人被他人窥探、操纵和歧视,保障其私人生活的安宁与自主决策的自由。因此,个人信息权益在本质上是一种防御性权益,其核心在于“保护”而非“利用”。
(二)权利内容:以知情同意为核心的控制权
基于其人格权属性,个人信息权益的内容主要体现为个人对其信息的“控制”。这种控制并非绝对的所有权,而是一系列程序性、工具性的权利束,主要包括以下权利。其一,知情同意权:信息处理者在处理个人信息前,必须向个人告知处理的目的、方式、范围等,并取得其充分、明确的同意。这是个人信息处理活动的合法性基石。其二,保密权:个人有权要求信息处理者对其个人信息保密,维护个人信息不被不当扩散。其三,决定权:个人有权决定其信息是否被处理,以及以何种方式、为何种目的被处理。其四,查阅、复制、更正、补充、删除权:这些权利是个人实现其知情权和决定权的保障,使其能够了解信息处理状况,并保持个人信息的准确与完整。其五,可携带权:《中华人民共和国个人信息保护法》新增的可携带权,在保障控制权的同时,也为数据的有序流动提供了可能。
财产利益仅为附随利益,其保护的核心是“告知—同意”,任何处理行为都需以合法性基础为前提,否则即构成侵权。
企业数据权益的财产利益属性及其法理建构
与个人信息权益不同,企业对数据的权益并非源于法律直接赋权,而是源于其投入与经营,目前在法律上主要体现为一种竞争性财产利益。
(一)法益基础:劳动投入与经营效益
企业数据权益源于“劳动赋权”与“投资回报”原则。企业通过投入技术、资金、人力等资源,对原始数据(如用户行为数据、公开信息)进行清洗、整合、分析,形成具有商业价值的数据产品(如用户画像模型、行业分析报告),其劳动成果应受法律保护,符合财产权法益的核心逻辑。《中华人民共和国民法典》第一百二十七条明确“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,为企业数据财产性利益提供基础性法律依据;“十四五”数字经济发展规划等也强调“保护数据产权主体合法权益,鼓励企业参与数据要素市场交易”,进一步认可企业数据的财产属性。
(二)权利内容:持有权、使用权、收益权与竞争法保护
我国立法尚未明确赋予企业对其数据集合一种对世的、排他的“数据所有权”。当前,企业数据权益主要通过《中华人民共和国反不正当竞争法》第二条的一般条款获得保护。司法实践中,法院通常审查以下几个要件来判断是否构成侵权:“企业是否投入了实质性劳动形成了数据产品”“该数据产品能否为企业带来商业利益和竞争优势”“竞争对手的行为是否具有不正当性(如破坏技术措施、超范围爬取等)”“该行为是否损害了市场竞争秩序”。因此,企业数据权益的保护内容主要表现为一种使用权和收益权以及禁止他人通过不正当手段窃取或破坏其数据资源的权利。它是一种相对性的财产利益,其排他性远弱于传统物权。
二元权益的冲突与协同保护路径
在实践中,个人信息与企业数据并非泾渭分明。企业的数据资源很大一部分源于对个人信息的处理。这就导致了权益的冲突:企业的数据开发需求与个人的信息控制需求之间存在张力。
(一)冲突的体现
收集阶段的冲突:企业希望最大化收集数据以优化服务,个人则希望最小化披露以保护隐私。使用阶段的冲突:企业希望深度挖掘数据价值用于新业务,这可能超出用户最初同意的范围。流通阶段的冲突:数据要素的市场化流通要求数据权属相对清晰,但个人信息的高度敏感性又对流通设置了严格限制。
(二)协同保护的构建
面对冲突,民法保护体系应致力于协同,而非必须择一保护。个人信息权益与数据权益难以分离,其核心思路是:以个人信息保护为底线,以授权使用为桥梁,以企业数据利益为发展。企业数据用益权行使过程中面临的个人信息制约,可以通过以下措施平衡数据流通与个人信息保护。其一,严格遵循合法性基础:企业任何涉及个人信息的处理行为,必须严格遵循《中华人民共和国个人信息保护法》规定的知情同意、必要原则、目的限定等规则,这是企业后续主张任何数据权益的合法性前提。其二,完善法律法规体系:政府应制定和完善法律法规,明确两者的权利归属、适用范围和保护措施等,同时加强对违法行为的惩处力度。其三,探索数据授权的使用模式:在个人信息层面,可探索通过合同约定,在充分告知、明确目的、公平对价的前提下,获得个人对其信息进行特定范围商业化利用的授权,这为数据的合规利用提供了路径。其四,分层确权与行为规制:对于最终形成的数据产品,法律不宜简单地赋予单一所有权,而应采用“分层确权”思路;承认企业对整体数据集合享有竞争性权益,同时通过行为规制的方式,打击实质性替代、破坏技术措施等具体的不正当行为,从而在动态中平衡各方利益。其五,增强公众意识和技能: 通过开展宣传活动、培训课程等方式,让公众了解自己的权利和义务,学会如何保护自己的隐私和数据安全;同时,鼓励公众积极参与监督企业的数据收集和使用行为。
总之,个人信息权益与企业数据权益是数据领域民事权利体系的一体两面,二者具有不可分割的共生关系,有着不同的法益基础,对应着不同的保护规则:个人信息权益是具有人格权色彩的防御性权利,以“告知—同意”为核心;企业数据权益是具有财产色彩的竞争性利益。通过严格遵循合法性基础、完善法律法规体系、探索数据授权的使用模式、分层确权与行为规制、增强公众意识和技能等措施,对实现二者权益的平衡与协同保护具有重要意义。在未来的发展中,需持续关注数字技术发展带来的新问题和新挑战,不断完善相关的法律制度和保护机制,最终构建一个既能捍卫个人尊严与自由,又能激发数据要素价值,促进数字经济健康、有序、可持续发展的法律生态。
(作者单位:对外经济贸易大学)
