王利明 中國(guó)人民大學(xué)常務(wù)副校長(zhǎng)、教授
數(shù)據(jù)共享概念主要是在機(jī)構(gòu)、平臺(tái)層面上使用,它是指不同機(jī)構(gòu)、平臺(tái)之間的數(shù)據(jù)交換,但一般不包括政府的數(shù)據(jù)公開行為。在我國(guó)正在制定的民法典中,有必要設(shè)置專門的規(guī)則,規(guī)范數(shù)據(jù)共享行為,強(qiáng)化對(duì)個(gè)人信息權(quán)利的保護(hù)。其原因主要在于:第一,大量的數(shù)據(jù)涉及個(gè)人的信息和隱私,甚至涉及個(gè)人的敏感信息和核心隱私。第二,數(shù)據(jù)共享包括個(gè)人信息的收集和傳輸行為。一旦缺乏規(guī)范,使數(shù)據(jù)的收集、傳輸失控,將導(dǎo)致大量的個(gè)人信息遭受不當(dāng)使用,甚至是泄露。第三,除了共享本身是對(duì)個(gè)人信息的再利用,還有被共享者獲得了這些信息數(shù)據(jù)后,其可能對(duì)信息數(shù)據(jù)進(jìn)行再次加工、利用,甚至再次進(jìn)行共享。
數(shù)據(jù)共享中的個(gè)人信息仍然屬于信息權(quán)利人所有
信息數(shù)據(jù)的收集、開發(fā)和利用應(yīng)當(dāng)以保護(hù)個(gè)人信息權(quán)利和隱私權(quán)為前提。信息收集的知情同意規(guī)則應(yīng)當(dāng)適用于所有個(gè)人信息收集的行為,而不僅限于個(gè)人信息的初次收集行為,其主要原因是:
第一,知情同意本身就是信息權(quán)利人對(duì)其個(gè)人信息支配權(quán)的具體體現(xiàn)。即便數(shù)據(jù)開發(fā)者經(jīng)過權(quán)利人同意對(duì)個(gè)人信息進(jìn)行了搜集、開發(fā),但將數(shù)據(jù)與他人共享之前,首先還需經(jīng)過當(dāng)事人的許可和授權(quán)。
第二,個(gè)人信息權(quán)利以主體對(duì)其個(gè)人信息所享有的人格利益為客體,人格利益在性質(zhì)上具有人身專屬性,并不具有可讓與性。
第三,信息權(quán)利人允許信息收集并不等于允許信息分享。在未經(jīng)信息權(quán)利人同意的情形下,經(jīng)合法授權(quán)的信息的共享行為也可能侵害信息權(quán)利人的權(quán)利,因?yàn)閷?duì)信息權(quán)利人而言,信息共享行為與重新收集個(gè)人信息并無(wú)本質(zhì)區(qū)別,原則上應(yīng)當(dāng)征得其同意。
第四,必須保障信息權(quán)利人對(duì)個(gè)人信息流通過程的控制。信息無(wú)論向誰(shuí)共享,在共享的范圍內(nèi),都應(yīng)當(dāng)經(jīng)過信息權(quán)利人的知情、同意。
即使在特殊情形下,信息共享行為難以完全實(shí)現(xiàn)個(gè)人的知情同意,也應(yīng)當(dāng)通過特殊的規(guī)則強(qiáng)化對(duì)信息權(quán)利人的保護(hù),以彌補(bǔ)知情同意規(guī)則適用的不足。美國(guó)法律對(duì)此引入“合理預(yù)期”的概念,即在某些情況下,判斷是否存在隱私侵權(quán)應(yīng)當(dāng)看數(shù)據(jù)的收集者和處理者是否盡了合理注意義務(wù),是否符合社會(huì)認(rèn)可的數(shù)據(jù)被收集者的一般預(yù)期。
數(shù)據(jù)共享必須獲得個(gè)人信息權(quán)利人的授權(quán)
應(yīng)當(dāng)有效規(guī)范信息主體的授權(quán)行為。數(shù)據(jù)共享不等于數(shù)據(jù)倒賣,二者的根本區(qū)別在于是否獲得了信息主體的授權(quán)。信息共享的授權(quán)應(yīng)當(dāng)注意如下幾個(gè)方面的問題:
第一,數(shù)據(jù)共享一旦涉及個(gè)人信息,則應(yīng)當(dāng)獲得信息主體的明確授權(quán)。我國(guó)《民法總則》雖然規(guī)定了個(gè)人信息應(yīng)當(dāng)依法收集和利用,但沒有對(duì)合法和非法的情形作出規(guī)定?!睹穹ǖ涓鞣志帲ú莅福返?17條規(guī)定,“未經(jīng)被收集者同意,不得向他人提供個(gè)人信息”,但沒有說明是否需要信息權(quán)利人的明示同意。我國(guó)應(yīng)借鑒歐盟的經(jīng)驗(yàn),如果授權(quán)條款寫得不清楚,即便獲得了個(gè)人同意,也不能認(rèn)為是獲得了授權(quán)。
第二,在收集、利用個(gè)人信息時(shí)應(yīng)當(dāng)取得個(gè)人的授權(quán),數(shù)據(jù)共享也應(yīng)當(dāng)取得信息主體的特別授權(quán)。從我國(guó)司法實(shí)踐來看,有的法院也采納了此種立場(chǎng)。
第三,在規(guī)范數(shù)據(jù)共享時(shí)應(yīng)當(dāng)嚴(yán)格限制概括授權(quán)條款的運(yùn)用。個(gè)人信息與信息主體人格利益之間聯(lián)系緊密,概括授權(quán)委托可能會(huì)造成信息主體對(duì)于個(gè)人信息的完全失控,從而帶來超出其合理預(yù)期的影響。
第四,不需要授權(quán)的情況應(yīng)當(dāng)由法律明確規(guī)定下來,做出明確列舉,這樣既可以保護(hù)個(gè)人的信息權(quán)利,也可以為數(shù)據(jù)產(chǎn)業(yè)的發(fā)展提供明確的行為標(biāo)準(zhǔn)和發(fā)展預(yù)期。《民法典各分編(草案)》第816條規(guī)定過于寬泛,有必要作細(xì)化規(guī)定。
共享者獲得信息后,應(yīng)當(dāng)在信息主體授權(quán)范圍內(nèi)使用。數(shù)據(jù)共享行為應(yīng)當(dāng)嚴(yán)格限定在授權(quán)的范圍內(nèi)。除信息主體對(duì)被共享者有特別授權(quán)外,被共享者對(duì)相關(guān)信息所享有的權(quán)利也不得超出信息共享者權(quán)利的范圍;要使信息權(quán)利人控制信息共享的過程,信息共享者應(yīng)當(dāng)在授權(quán)范圍內(nèi)共享信息。
數(shù)據(jù)共享應(yīng)遵循合法、正當(dāng)、必要、最小化使用的原則。個(gè)人信息的搜集、使用和共享還應(yīng)當(dāng)遵循“最小化使用原則”,即在從事某一特定活動(dòng)時(shí)可以使用、也可以不使用個(gè)人信息時(shí),要盡量不使用;在必須使用并征得權(quán)利人許可時(shí),要盡量少使用。此外,數(shù)據(jù)共享過程中還應(yīng)當(dāng)尊重信息權(quán)利人的其他相關(guān)權(quán)利。