1. 引言
在大数据时代,侵犯个人数据权益的成本较低且容易实施。数据企业可以利用数据算法和现有客户数据推算或挖掘海量数据,甚至包括与客户有关联的其他人的数据。此外,数据在大数据时代传播和交换更快且无法完全控制,使个人对自己数据的保护变得困难且成本高昂。相比侵犯成本和维护成本,个人数据权益持有者处于不利地位。此外,大量数据存储在数据企业中并分散在网络中,一旦数据库出现问题泄露,可能造成无法预测的危害。因此,个人数据权益需要被法律体系纳入并得到立法认可,以明确规定并受到法律调整的保护。
2. 个人数据权益释义及侵害个人数据权益的常见情形
2.1. 个人数据权益释义
数据是指以电子或者资料等形式对信息的承载记录。数据的来源纷繁复杂,但总体可分为个人数据和其他数据两大类。其中能够精准识别特定自然人身份信息的数据称之为个人数据 [1] 。
当前对个人数据所配套的权益体系还没有完整、明确的定义,容易被轻易地错归为民法中的个人信息权。值得提出的一个概念是,数据权益是一个新兴概念,还没有进入到法律权利的范畴,还仍需立法等活动才能够使得新兴权益成为一个新型权利 [2] 。现阶段我国法律对数据权益的相关规定均散见于各个部门法之中,有关于数据权益的法律保护并不完善,并没有相对系统的制度设计来保障 [3] 。
《民法典》第127条规定:法律对数据、虚拟财产的保护有规定的,依照其规定。从《民法典》将数据和虚拟财产放置于同一条款中进行解释说明来看:数据同虚拟财产一样,具有财产属性,因此数据权利也如同样具有财产属性。信息则是人格权的客体,数据是财产权的客体,数据中同时又蕴含着信息的存在,所以可以认为数据权益同时兼具着财产和人格的双重属性 [1] 。广泛的数据权益具有双重属性,个人数据权益当然兼具财产与人格的属性,是独立于隐私权和个人信息权之外的存在。
所谓个人数据权益,就是“民事主体所享有的支配个人数据并未经许可排斥他人知晓的权益。”在大数据时代,互联网与个人工作生活的联系是密不可分的,虽然个人的行为举止之间具有差异性,但由于大数据算法功能的强大存在,仍然可以通过大数据推理、追踪,甚至以“杀熟”的方式侵害个人数据权益 [4] 。个人数据中所体现的人格利益是民法保护的利益,这一点与民法中的信息权与隐私权有些相似之处;个人数据中蕴含的一定财产利益,是大数据时代对数据的处理和相应算法路径下的产物。借助个人数据来侵害或者谋取财产利益,如大数据“杀熟”,同产品不同价;或直接将个人的数据打包出售给广告公司,进而对个人进行短信轰炸式的广告等。
2.2. 侵犯个人数据权益的常见情形
2.2.1. 个人数据权益的被迫放弃
在当下互联网时代,每个人都有上网获取公共数据的需要和自由,这势必需要借助一些网络平台或者数据承载媒介,通过订阅他们的服务来实现这一目的 [5] 。但当首次使用时,大多数网络平台都会将《个人信息及隐私权保护服务条款》告知用户,此时使得个人有了选择同意与否的权利。不过,在绝大多数情况下,这种可供用户个人选择的全是几乎是形同虚设的。表面上,个人获得了同意与否的选择权,但用户一旦选了“否”,拒绝网络平台们收集用户的个人数据,用户将会被拒绝提供任何服务。“要么全盘接受,要么禁止使用。”在生活实践中,用户大多不得不点下了同意的按钮,等于是用户授予给了网络平台收集个人数据的权利。这类似于民法上的显失公平行为,一方当事人利用自己优势地位,订立使双方当事人的权利义务明显违反公平等原则的合同的行为。网络平台等数据企业利用自身的优势地位,使得用户被迫放弃自身的个人数据权益,任由对方侵犯。
2.2.2. 收集者对个人数据的不当使用
网络平台在收集个人数据后,应当妥善保管和合理使用。然而实际情况是,很多数据收集者在将大量的个人数据收集后,仅是简单处置,并没有进行妥善的保管,出现数据的泄露等问题,甚至出现网络收集者自我侵权情况存在。比如,在某电商平台购买商品后,在一段时间之后,用户或者消费者就会接收到来自平台的短信广告,询问是否继续购买或者是否购买其他商品,大量的广告扑面而来,对个人生活造成困扰并且使人对自己的个人数据泄露产生深深的担忧。
个人数据泄露的另一重灾区就是外卖、网络打车、酒店等服务领域。某打车软件会通过获取用户的手机型号、消费习惯等方式,对不同用户提供服务时索要高低不同的价格:同样一段路程对于使用8000元手机的用户和使用3000元手机的用户,前者的标注价格明显更高。公民遭遇个人数据侵权的事件不在少数,主要原因就是作为数据收集者的网络平台没有履行应该尽到的妥善保管与合理使用义务,对个人数据构成了不当使用和泄露。
2.2.3. 个人数据删除权的实质缺乏
当下数据收集者会对用户的个人数据进行永久留存,即使用户已经注销先前注册的账户,选择抹除一切个人数据后,网络平台仍会在其内部保留用户的个人数据。当再次重新注册登录后,仍会发现存有注销前的数据及其痕迹存在,如注销重新注册后,首页推荐文章或商品等,仍与注销前的内容性质大致相同。这说明虽然用户选择注销删除个人数据,在形式上也删除了包括账号、浏览记录等个人数据,但实质上并非如此,用户的个人数据被网络平台数据收集者留存了,不能实质地享有个人数据删除权。世界各国均对个人数据删除权作出相关规定,但其真正落实仍需很长的一段路要走。当前,在淘宝、京东等电商平台均可以在账户设置的隐私与安全一栏选择按步骤注销账户以删除全部信息。但各个网络平台、软件所应用的政策不同,有关删除个人数据的规定的删除个人数据的标准相差甚远,甚至未规定用户可以自主选择删除个人数据。而且值得深思的是,根据平台提供的删除个人全部信息的规定,删除个人全部信息就是否等于删除全部个人数据呢?
3. 我国个人数据权益的民法保护存在的问题
3.1. 未形成个人数据保护的规范体系
首先,现行法律缺少对个人数据权益进行保护的专门法律法规。在现有法律之中,多是通过类比个人信息权来规范和保护个人数据权益,在法律的实际适用上,实践中多以政府的法规、规章和条例的适用来进行规范调整。在《民法典》中也并未具体规定,仅在个别的章节条款中有一些相关内容,不足以保护个人数据权益。其次,对个人数据权益的法律保护尚未形成法律体系。目前,我国个人数据权益方面的法律仍然有着诸多的不足之处。虽然《宪法》中确立了公民的个人信息保护权,但并未进一步细化。此外,个人数据权益在法律的保护上也存在层次性不强、不完备等问题,缺乏统一的法律体系和系统性。至于在《民法典》也只是以一些间接的形式来保护个人数据权益。同时由于缺乏上位法和法律原则的适用,以及不同部门法规之间联系性不强,导致法规的适用存在着较大的困难和不确定性。在实践中难以协调,甚至在某些情况下出现条款之间的内容冲突,反而对个人数据权益的法律保护增加了困难。
3.2. 未明确规定个人数据权利
在当今数字化时代,个人数据的收集、存储和处理已经成为了日常生活中不可避免的一部分。然而,随着技术的发展和个人数据的广泛应用,个人数据的保护问题也越来越引起人们的关注。尽管《民法典》对个人数据权益进行了规定,但并未明确规定个人数据权利,这在实践中存在许多问题 [6] 。
由于法律只将个人数据权益规定为一种权益而非一项明确的权利,导致对数据权益的保护层次远远不够,使得个人数据容易受到侵害。首先,将个人数据权益仅视为权益而非权利,意味着缺乏明确的法律保护框架和强制力。相比于明确规定的权利,权益的保护常常模糊不清,难以被有效执行和维护。这使得那些侵犯个人数据权益的行为提供了一定的漏洞,使得相关当事人难以追究责任,从而削弱了个人数据的保护。其次,将个人数据权益仅视为权益而非权利,可能导致法律对于数据主体的权利地位不够明确。权益通常被视为一种主观权利的延伸,但并没有赋予数据主体明确的主动权和控制权。这使得数据主体在面对个人数据被滥用、泄露或不当处理时,缺乏有效的救济机制和手段,无法有效保护自己的数据权益。因此,为了更好地保护个人数据权益,需要将其明确规定为权利,并建立相应的法律框架和制度,赋予数据主体更强的主动权和控制权。这包括确立个人数据的所有权、许可权和知情权等方面的权利,并明确规定数据处理者的义务和责任。只有通过这样的权利保护机制,才能有效地提升对个人数据的保护层次,减少个人数据被侵害的风险。
3.3. 缺少个人数据权益的事后救济
由于缺少个人数据权益的事后救济机制,一旦个人数据权益受到侵害,很难得到有效的救济,这是当前个人数据保护中存在的一个重要问题。首先,缺少个人数据权益的事后救济可能导致个人数据的滥用和侵害。在缺乏有效的救济机制的情况下,一些企业和组织可能会滥用个人数据,收集、存储和处理个人数据的过程中可能侵犯个人隐私和权益。这不仅损害了个人的利益,也对社会造成了不利影响。其次,缺少个人数据权益的事后救济也可能导致个人数据泄露和滥用难以追责。在实践中,一些个人数据泄露和滥用事件虽然被曝光,但由于缺乏有效的救济机制,相关责任方往往难以被追究责任。这不仅让个人数据泄露和滥用事件得不到有效解决,也让个人数据保护的法律规定失去了一定的权威性和可信度。此外,缺少个人数据权益的事后救济也可能导致公众对于个人数据保护的信任度降低。在缺乏有效的救济机制的情况下,公众往往会感到无助和失望,这会让公众对于个人数据保护的信任度降低,从而影响到个人数据保护事业的发展。
综上所述,缺少个人数据权益的事后救济是当前个人数据保护中存在的一个重要问题。为了更好地保护个人数据权益,应当建立健全的个人数据保护机制,包括明确个人数据的范畴、内容和界限,制定个人数据保护的具体规则和标准,建立个人数据保护的监管机构,加强对个人数据处理活动的监督和执法力度,并建立健全的个人数据权益的事后救济机制,确保个人数据权益受到侵害时能够得到及时有效的救济。同时,公众也应当提高对个人数据保护的意识,加强自身的数据安全意识和防范能力,共同推进个人数据保护事业的发展。
4. 完善我国个人数据权益民法保护的建议
4.1. 构建个人数据保护的规范体系
对个人数据权益的良好方式便是进行立法保护。单独立法对个人数据权益的保护通常都是以个人信息或隐私权的形式来规定,但个人数据与个人信息和隐私并不相同,需要单独制定相应的法律来进行保护。这有助于更加精准地规定个人数据的范畴和调整个人数据权益与其他权益的关系,为个人数据权益的合法使用和保护提供更完善的法律依据,以当前法律中个人信息权和隐私权的相关条款来保护个人数据权益是不足以覆盖的。
德国目前已经建立了完全较为完整的数据保护法律体系。德国制定了《联邦数据保护法》,各州也根据自身实际情况相继制定了本州的《数据保护法》。这些法规形成了一个完善的法律体系 [7] ,用以规范德国的数据保护工作。经过五十多年的立法进程和多次实践与修订,现有的《联邦数据保护法》是一个成熟、可值得我国借鉴的法律成果。对于我国个人数据权益法律保护的现状而言,影响数据保护法律制度形成的一大问题是仍未明确数据保护和数据利用的界限,所以导致在推进立法工作时不能有效定义具体行为的性质,从而立法进度缓慢,应当加快数据保护的界限,推进我国数据保护的相应法律法规以及措施出台。
4.2. 实现个人数据保护的权利化
《民法典》对个人信息权益的保护确实是以个人信息权益的形式来规定,而未明确将其规定为一项具体的权利。这可能导致在实践中对于个人数据权利的保护存在一定的模糊性和不确定性。为了更加全面和精确地保护个人数据权利,可以考虑在法律中明确规定个人数据权利作为一项独立的权利 [5] 。这样的规定将有助于明确个人数据的范畴,确立个人数据权利的内容和界限,并进一步明确个人数据权利与其他权利的关系。通过明确规定个人数据权利,可以为个人数据的合法使用和保护提供更为明确的法律依据。此外,还可以加强对个人数据的定义和分类,明确不同类型的个人数据在法律保护中的差异对待。同时,应当建立健全的个人数据保护机制,包括制定个人数据保护的具体规则和标准,建立个人数据保护的监管机构,加强对个人数据处理活动的监督和执法力度。需要指出的是,个人数据权利的保护不仅仅依赖于法律的规定,还需要社会各方共同努力。公众应当提高对个人数据保护的意识,加强自身的数据安全意识和防范能力。同时,政府、企业和组织也应当加强个人数据保护的责任和义务,采取有效措施确保个人数据的安全和隐私。
总之,明确规定个人数据权利并建立完善的个人数据保护机制是保护个人数据权益的重要举措。通过法律、技术和社会共治等多方面的努力,可以更好地保护个人数据权利,促进个人数据的合法使用和保护。
4.3. 增设个人数据权益的事后救济
为了更好地保护个人数据权益,除了建立健全的个人数据保护机制,还需要增设个人数据权益的事后救济机制。这样的机制可以为个人提供有效的救济渠道,确保在个人数据权益受到侵害时能够得到及时、公正和有效的补偿和保护。
首先,我们可以通过增设个人数据权益的事后救济机构来追究和制裁个人数据侵权行为。这包括明确个人数据权益的法律地位和保护范围,建立相应的司法程序和救济机构,使个人在个人数据权益受到侵害时能够向相关机构提起诉讼,追究侵权方的法律责任。这样的机制不仅可以对侵权行为进行惩罚,也可以起到威慑作用,促使企业和组织更加谨慎地处理个人数据。其次,增设个人数据权益的事后救济机制可以为个人提供经济赔偿和损失补偿。当个人数据权益受到侵害时,个人可能会遭受经济损失、精神痛苦和声誉损害等。通过建立个人数据侵权赔偿机制,个人可以向相关机构提起索赔,要求侵权方进行经济赔偿和损失补偿。这样的机制可以帮助个人恢复损失,维护其合法权益,也可以对侵权行为形成一定的经济压力,促使企业和组织更加重视个人数据的保护。此外,增设个人数据权益的事后救济机制还可以加强监管和执法力度。通过建立专门的个人数据保护监管机构,加强对个人数据处理活动的监督和执法力度,可以及时发现和查处个人数据侵权行为,保护个人数据权益的实施。同时,该机构还可以对个人数据保护的相关政策进行监督和评估,推动个人数据保护事业的发展。
通过明确个人数据权益的法律地位和保护范围,建立相应的司法程序和救济机构,为个人提供追究侵权行为、经济赔偿和损失补偿的渠道,可以有效地保护个人数据权益,促进个人数据保护事业的发展。同时,加强监管和执法力度,建立专门的个人数据保护监管机构,也是实现个人数据权益保护的重要手段。通过共同努力,我们可以建立起一个更加健全和完善的个人数据保护体系,确保个人数据得到充分的保护和合理的使用。
个人数据保护是当今社会中的重要议题,对于确保个人隐私和数据安全具有重要意义。为了建立一个有效的个人数据保护体系,需要构建规范的法律体系、实现个人数据权益的权利化,并增设个人数据权益的事后救济机制。域外的数据保护法律体系可以为我国提供借鉴和参考,明确规定个人数据权利并建立个人数据保护机制是关键步骤。同时,加强个人数据保护的监管和执法力度,建立专门的监管机构,为个人提供追究侵权行为、经济赔偿和损失补偿的渠道也至关重要。通过多方共同努力,我们可以构建起更加健全和完善的个人数据保护体系,保护个人数据权益,促进个人数据的合法使用和保护。在实践中,个人数据保护涉及到技术、法律、管理等多个层面,还需要综合运用多种手段来确保有效的保护,本文论述在此也存在一些不足之处,有待在实践中如何综合运用技术、法律和管理手段来保障个人数据权益的具体做法等进行进一步的探讨。