个人信息处置及财产权厘定法律规制研究(一)
宋才发教授
凤凰新闻社讯
信息数据是维系人们社会生产生活的基本要素,具有非竞争性、非排他性以及零损耗性特征,是催生新型数字产业、形成新质生产力的核心资源,个人信息保护是《宪法》所负有的保护义务。数据知识产权登记是财产权确权的依据,数据确权是数据权利法律制度的根本内核,是推进数字经济和数据财产发展的重要路径。信息流动使用的过程是数据财产生成的过程,合法处理个人信息是享有数据财产权的前提,处理个人信息以尊重和保护数据发展权为原则,处理个人信息应具有明确、合理的目的,处理个人信息贯彻“公私二分”的规范依据。侵害个人信息权的救济路径是:信息处理者泄露个人信息必须承担损害赔偿责任,侵害个人信息权益要承担民事责任,擅自处理他人公开的个人信息要承担刑事责任,构造超越数据确权的信息处理双重公法制约机制。由中华人民共和国教育部主管、武汉理工大学主办的中国人文社会科学学报核心期刊、RCCSE中国学术核心期刊、全国高校社科精品期刊、湖北省优秀期刊、全国理工农医院校优秀社会科学学报《武汉理工大学学报(社会科学版)》,2026年第1期“法学”栏目首篇发表宋才发教授《个人信息处置及财产权厘定法律规制研究》论文。《武汉理工大学学报(社会科学版)》主编朱喆,执行主编韩文革,论文责任编辑韩文革。
宋才发教授系中央民族大学法学院首任院长、二级教授,湖北省有突出贡献专家、国务院政府特殊津贴专家、国家民委首届有突出贡献专家,广西民族大学特聘“相思湖讲席教授”,博士生导师,内蒙古财经大学特聘教授。
党的二十届四中全会“关于制定国民经济和社会发展第十五个五年规划的建议”第十四条指出,要“深入推进数字中国建设”,全面实施“人工智能+”行动,“加快人工智能等数智技术创新,突破基础理论和核心技术,强化算力、算法、数据等高效供给。”以此推动生产要素创新性配置,发展以高技术、高效能、高质量为基本特征的新质生产力。作为数字社会的新型生产要素,数据具有非竞争性、非排他性以及零损耗性特征,是催生新型数字产业、形成新质生产力的核心资源。研究如何构建数据产权制度框架,是规范信息数据流通交易制度的基本前提。反思数据确权困境的根源,是由于过去在较长一段时期内,无论是法律实务界还是法学理论界,都忽视了数字社会是数据价值存在的前提,不适当地混淆了数据权利的内在本质和外部效力,未能科学揭示数据权益构造的复合法律属性。
一、个人信息数据财产权厘定
(一)公民个人信息数据权益与国家保护义务
信息数据是维系人们社会生产生活的基本要素。民法规制的“个人信息自由”的核心要义,就是个人信息数据在不受公权力干预的情况下,可以依法自主地决定通过何种方式,获取何种信息权益和享有信息财产权利。《中华人民共和国宪法》(以下简称为《宪法》)第三十五条规定,“中华人民共和国公民有言论、出版”等方面的自由。“个人信息自由”是公民“基本政治自由”的重要方面,应当把个人信息自由纳入其规范领域加以保障。《宪法》第五十一条对公民行使自由和权利的限度划定了界限,即“公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利”,这也是对国家公权力限制公民信息自由的法律约束。“个人信息自由”条款载入《宪法》所产生的价值和效力,使得“个人信息自由”的规范需求,成为推动社会法治变迁的一种重要力量。个人信息之于信息主体,是因为它能够作为公民个人信息而具有财产价值。在促进人类社会发展进步的诸多要素中,信息数据是一种社会化程度极高的新型生产要素。在“数据确权”的过程中,通常会涉及到各级各类政府机关的自身利益,这也对宪法制度与理论提出了更新更高的要求。在设计可以促进数据生产要素获得充分利用的法制框架过程中,《宪法》促进法制整体协调发展的功能也面临着新的挑战。规范性数据权利体系的建立,依赖于对权利的内在本质和外部效力具有清晰的认知和区分。数据是个人信息的载体,个人信息又是数据的内容,来源于个人信息的数据,是信息社会非常重要的一类数据类型。从一定的意义上说,“个人信息权”就是《中华人民共和国民法典》(以下简称为《民法典》)第三条规制的“财产权”,以及《中华人民共和国个人信息保护法》(以下简称为《个人信息保护法》)第一条规制的“个人信息权益”。“个人信息权益”是一个新概念,譬如在编纂《民法典》的时候,曾有立法者提出在“人格权编”规定个人信息权,但最终没有在《民法典》中采用“个人信息权”这个概念,使用了“个人信息保护”的规范表述。《个人信息保护法》规制的“个人信息权益”,说到底是民事权益中的“人格权益”,但不同于隐私权、名誉权、肖像权等其他具体人格权,它所保护的核心利益是自然人免于因个人信息被非法处理,遭受人身权益、财产权益上的损害抑或人格尊严、人身自由被侵害的风险。《个人信息保护法》第四十四条还规定,个人“有权限制或者拒绝他人对其个人信息进行处理”,肯定“个人信息决定权”会向下衍生出“限制权”和“拒绝权”两项权利。“个人信息拒绝权”是指个人在意定权限的授予上,有不同意、不授予意定权限的实质自由。个人数据之于数据主体,不是因为它具有财产价值,而是由于信息主体与数据主体的关系都为民事法律关系,个人数据与数据主体须臾不可分离,个人数据权不是财产权而是人格权。
个人信息保护是《宪法》所负有的保护义务。《宪法》和民法所规制的“人格权”,是一项绝对权。从《宪法》基本权利的视角看,个人信息保护法律体系建构的基础,是《宪法》第三十八条的规定,“中华人民共和国公民的人格尊严不受侵犯”,“人格尊严”条款内蕴“个人信息受保护权”。以公民基本权利为基点,以其主观权利和客观面向所对应的国家消极与积极保护义务为主线,可建构起一套基础稳固、内容完整、结构合理的个人信息保护体系。《宪法》保护义务对应的是“个人信息受保护权”,而不是个人信息权。个人信息受保护权与个人信息权,是两个不同的法律概念,两者看似相似含义却大相径庭。个人信息作为主要的数据来源,被整合到数据财产权益的构造中,数据企业使用个人信息是以服务作为对价换取数据的结果,“个人同意”因之被解读为个人承诺缔结合同的意思表示,从而使个人信息具有经济价值和财产权益属性。数据所具有的非排他性和非竞争性特征,决定了数据的获取并不会消灭原有的权益,数据利用方应当承接保护数据权益的义务。数据财产权利与信息数据安全始终是联系在一起的,安全控制数据是享有权利的前提,无论持有状态能否使用抑或带来利益,数据持有者所承担和履行的数据安全义务,是维护数据利用秩序的法定义务。从权利本身的规范逻辑上看,由于个人信息所具有的交互性、分享性和公共性特点,使之难于成为民法所有权逻辑下排他性的个人控制的客体。面对庞大而强势的信息处理者群体和机构,抽象的民事权利规定往往沦为“纸面上的权利”。鉴于国家负有保护公民个人合法权益的义务,个人信息保护最终只能仰赖于以《宪法》为核心的法律制度。人们通常所说的“个人信息受保护权—国家保护义务”,原本就是一个一体两面的概念,本质就是《宪法》规制的“基本权利—国家义务”体系,在个人信息保护领域的具体运用和再现。
(二)数据知识产权登记是财产权确权的依据
数据知识产权登记是推进数据财产确权、发展的重要途径。作为新时代一项全新的社会生产要素,数据具备了与劳动、土地、资本、技术等传统要素相同的社会生产功能,初步展现出远超传统要素的市场价值潜力。正在推进之中的数据产权登记制度,是明确数据财产属性、促进数据流通交易的关键法治举措。在现有数据知识产权登记的基础上,进一步展开数据知识产权登记规则的体系化建构,能够最大限度地保证制度规范构造的合理性。2022年12月党中央发布《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称为《数据二十条》),提出“研究数据产权登记新方式”以及“建立健全数据要素登记及披露机制”,确立了登记机制在数据财产保护中的重要地位和基础性规范作用,涉及数据产权登记模式如何选择、数据产权登记效力如何认定,以及数据产权登记规则如何设置等一系列问题。数据基础制度建设事关国家发展和安全大局,《数据二十条》提出要“建立公共数据、企业数据、个人数据的分类分级确权授权制度”。在《数据二十条》的政策指引下,全国多数省份开启了数据知识产权登记试点实践。基于数据市场运营中产权明晰化的强烈诉求,立足确权效果而进行数据知识产权登记是非常必要的。数据知识产权确权登记的适格客体标的,应当是具备实用价值与合法来源的衍生性公开数据集合,在获准登记后将呈现出以持有、使用、经营为核心权能,且有一定时间性、地域性限制的专有性排他效力。在流程设计上,可以参照专利授权和商标注册的确权登记模式,从登记申请的“审核”和“复议”两个维度入手,对登记的主管机构以及登记的具体步骤予以明确设定。
数据确权是数据权利法律制度的根本内核。为获取更多的竞争优势,信息数据处理者不再囿于从自身产品抑或服务中获取用户数据,而选择在法律允许的范围内积极寻求第三方数据来源。“用户同意+平台授权+用户同意”的三重授权原则,既是对《个人信息保护法》第二十三条的积极回应,也是对第三方数据获取行为是否构成不正当竞争的裁判规则。数据交易隶属于网络数据访问和流动体系的数字技术,应当归入派生于网络技术体系的新理论范畴。应当从信息服务的附属性抑或劳务性,以及数据服务的控制性、流动性和结合匹配性角度来理解数据交易行为,以便从理论上消弥数据“服务”和数据“交易”之间的观念冲突。数据要素化是数据交易和数据流动的基础条件,因而数据交易仰赖于互联网运作系统,通过特定的平台中介以撮合的方式进行。从一定意义上说,数据交易平台从事的数据交易,只是通常网络数据分享的一种特殊形式。数据交易是建立在将大数据确定为单独的生产要素抑或客体的基础上,大数据交易不只是生活领域中的常规权利让渡,本质上是派生于互联网技术体系的一种独立现象,它不仅受网络技术体系的支配,而且受网络空间数据自我发展规律的制约。在主体上,《个人信息保护法》第二十三条规定的“提供方”为非国家机关处理者或国家机关处理者,三重授权的平台方限于非国家机关处理者,这里的“三重授权”指用户对平台初始授权、平台对第三方授权以及用户对第三方的再次授权。在客体上,《个人信息保护法》第二十三条规定,适用于“处理的个人信息”,三重授权限于平台方生产并享有财产性权益的个人数据集合与个人数据报告。在法律后果上,在数据交易实践中的“同意”并不等于“授权”,未经三重授权也不一定就是侵权,经三重授权也不绝对免责,用户同意与平台授权有条件地相互替代。为有效控制行政机关的个人信息处理行为,《个人信息保护法》第三十四条作为行政法基本原则的“法律保留”进行了重申和具体化,规定“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”。这条规定事实上缺乏对“法律保留原则”的规则性转化,难以直接适用并指导实践。行政机关收集个人信息究竟在何时须由法律授权,何时又可由行政法规授权?必须有明确的规范授权抑或概括性的组织规范授权才行,这在实质上构成“法律保留原则”在个人信息保护领域发挥作用的前提。
(三)合法处理个人信息是享有数据财产权的前提
信息流动使用的过程是数据财产生成的过程。《个人信息保护法》设置了大量复杂的程序机制,构成了现代风险管理的法律机制。《个人信息保护法》中的风险防范规制,重在确定监管机构所要承担的管理风险,而不是要求对受监管主体如何强制执行所有规则。数据处理者在处理个人信息数据上的合法性一旦出现瑕疵,就会导致其处理结果在面临巨大风险的同时,还丧失了获得数据财产权的可能性,更谈不上数据集合的财产权能获得法律的认可和保护。于是立法机构将个人信息作为一项“独立的绝对权利”来建构,这就是法律教科书所说的“绝对权利路径”,“绝对权利”是理解个人信息保护机制的一种法治思维。个人信息作为一种与自然人有关的交流资源,被利用的方式随着网络应用实名制日渐普遍,个人信息资源转化为一种事实上的财产,成为各类信息控制者竞相争夺的对象。从识别特征的方向将个人信息的身份类识别信息和行为活动类识别信息的价值予以区分,对身份类识别信息加强保护,在避免身份再识别的前提下,可以进行个人信息数据的合理流通,发挥其数据资产的作用。在技术加入的基础上,信息数据不再只是人们实践活动的副产品,而是具有价值性、财产性的客体。在数据类型化的基础上,如果考虑数据来源、数据生成等多重要素,数据相关主体则可享有数据权益。把个人信息保护作为企业数据权益保护的前提,不仅在整体上符合数据法治的基本布局和体系建构,而且对个人的赋权与对数据处理者行为的规范,恰恰是《个人信息保护法》的基本要求,体现了“双管齐下”的治理目标和效能,有利于促进数字经济的发展和社会价值的发挥。然而在数据信息处理存在不合法的情形下,其处理结果仍然可能受到法律保护,这或许是一个不可思议的悖论。数据处理者的不合法处理行为,也有可能导致其加工处理结果的数据财产权的产生,因而数据产权制度在体系上应当保持一定的协调性。如果仅仅因为部分个人信息乃至个别个人信息处理上的违法,就从整体上否定企业的数据产权,这会导致比例上的失衡,在个人信息数据保护制度上应当有容错机制。
二、个人信息数据处理法律规制
(一)处理个人信息以尊重和保护数据发展权为原则
公民个人数据资源规模化开发利用,受限于个人信息保护、数据安全管理等用途管控措施。“数据发展权”是从“数据所有权”中派生和分离出来的,通过“数据确权”的途径和方式,促进数据资源得到合规高效的流通与开发利用,最终实现调整数据资源用途变更、开发利用和增值收益分配关系的独有权利。尽管个人信息数据属于何种性质的资源暂无统一定论,但作为基础性战略资源的地位已经明确,成为当下发展新质生产力的关键要素。对公民个人数据资源严格遵循合理利用原则,是《数据二十条》和《公共数据开发利用意见》对数据资源开发利用作出的系统部署。《数据二十条》明确要求,“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”,这种数据产权“三权分置”的运作模式,恰好与农地“三权分置”的方案不谋而合。即是说“数据发展权”概念,源于“土地发展权”理论及其制度架构,土地发展权最初就是从土地所有权中分离出来、具有“准物权”性质的土地财产权。由于土地发展权在我国主要表现为农地非农化抑或变更为建设用地的权利,所以它又被称之为农地发展权。其创设具有新型土地财产权的物权意义,为物权法中土地财产权的延伸,以及土地资源的发展性利益配置提供了可能。借鉴农地发展权制度逻辑,从数据产权中分离出数据发展权,调整数据资源开发利用中的多元关系,确实具有一定的理论和实践可行性。数据发展权实际操作和运行可以借鉴农民土地权利配置方式,区分数据所有权与他物权来实现利益平衡。数据发展权指向数据资源管理和数据财产配置的关系调适,具有衔接数据财产权与人格权,健全数据权利体系的作用,可推动政府履行数据资源管理、保护和合理利用的职责。能够在平衡各方数据利益中,实现数字生态环境保护与数字经济社会发展的协调,统合数据财产利益分配与数据安全风险治理。为了协调数据资源用途管控与开发利用间的良性互动,当下迫切需要构建一种既能满足数据管理、治理要求,又能切实保障数据开发、利用需求,且能均衡分配数据增值收益,妥善处理多元复杂利益关系的新型数据权利。作为计算法学秩序概念的隐私、信息与数据,具有体系构造与规范适用的双重价值。以个人隐私权、个人信息权为标志的人格权,在法律位阶上事实上高于作为财产权的个人数据所有权。这种数字时代个人数据权利的差序格局,不仅可以为数字经济的有序发展提供制度保障,而且能够完善和充实计算法学的基本范畴并推动其科学化进程。
(二)处理个人信息应具有明确、合理的目的
处理个人信息不得损害信息所有者的利益和社会公共利益。《个人信息保护法》第六条规定,“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式”。尽管过去的研究形成了告知同意进路、目的特定原则进路和目的正当性原则进路,但是告知同意进路因其自身缺陷而广受批评,目的特定原则和正当性原则进路又缺乏足够明确的释义,忽视了个人面临信息收集时难以冷静理性的事实前提。《民法典》和《个人信息保护法》似乎确立了个人信息处理“多元同意规则”,如《民法典》第一千零三十五条规定,个人信息处理者处理个人信息应当“征得该自然人或者其监护人同意”;《个人信息保护法》第十三条规定,个人信息处理者只有“取得个人的同意” 方可处理个人信息。包括《民法典》与《个人信息保护法》其他条款涉及的“个人同意”,似乎是对个人信息处理的“同意”做出了统一的严格要求。然而这些隶属于“多元同意规则”的规定,并非都能满足《个人信息保护法》第十四条的要求:“同意应当由个人在充分知情的前提下自愿、明确作出”,确实需要在深入探讨的基础上作出明确的实践回应。《数据二十条》强调,要“以促进数据合规高效流通使用、赋能实体经济为主线,以数据产权、流通交易、收益分配、安全治理为重点”,体现了以实现信息自由流动和经济高质量发展的目的要求。对于公民个人信息权益保护的诉求,在新时代确实具有基于人的尊严和自由的正当性、对社会发展及公共利益的重要价值与可欲性,这些诉求与其他各个主体利益之间的平衡,也确实具有必要性与可行性。2018年修正的《宪法》以及新出台的一系列民事法律,正是基于这种正当性在合理范围内给予相关诉求的合法性,为平衡各种利益关系作出调整。《个人信息保护法》第七十条还规定,“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益”,可以作为提起检察公益诉讼的条件。这里所说的“侵害众多个人的权益”,实质上就是通常所说的“损害社会公共利益”,要求信息处理者处理个人信息不得损害社会公共利益。(未完待续)
