[ 内容提要]个人数据是一种具有潜在价值的信息, 个人对该数据享有无可争议的所有权,其他相关人只有享有受限制的使用权, 个人数据具有鲜明的法律特征。 因此, 必须明确个人数据所有者与相关人的权利义务关系, 才能从根本上保护个人数据所有者的合法权益不受侵害。
[关键词] 个人数据 所有权 个人数据所有者 个人数据采集者 个人数据使用者
物质、能量、信息是人类社会赖以生存和发展的三大资源。 在当今信息社会中, 人类除仍需要物质和能量外, 信息资源无疑是社会发展的决定因素,“ 信息就是财富”的观念已经普遍被人们接受。 然而, 却很少有人认识到我们所拥有的个人数据在信息时代的价值和作用, 更少有人注意到个人数据的所有者所应享有的权利。 笔者的观点是, 在信息时代, 个人数据具有潜在的价值, 个人数据的所有者并非不能与别人分享个人数据, 而必须要在明确自己的权利与数据使用人的义务的前提下, 象处理个人现实财产那样, 自主、审慎地处置个人数据。
一 个人数据的概念及法律特征
对于个人数据的概念, 各个国家法律的表述是不同的。 英国在1984 年制定的《数据保护法》对个人隐私权的规定相对全面、完整, 较有代表性的。《数据保护法》规定: “ 个人数据是由有关一个活着的人信息组成的数据, 对于这个人, 可以通过该信息( 或者通过数据用户拥有的该信息的其他信息) 识别出来, 该信息包括对有关该个人的评价, 但不包括对个人数据用户表示的意图。 ”1995 年7 月26 日在布鲁塞尔部长级会议上通过的《欧洲联盟数据保护规章》对个人数据下的定义是: “有关一个被识别或可识别的自然人( 数据主体) 的任何信息; 可以识别的自然人是指一个可以被证明, 即可以直接或间接地, 特别是通过对其身体的、生理的、经济的、文化的或生活身份的一项或多项的识别。 ” ① 笔者赞同以上文献对个人数据的界定, 并认为个人数据具有如下法律特征:
(一)个人数据的所有权为该数据的生成者所拥有
在当代, 有相当一部分人并不清楚每个人都拥有自己个人数据的所有权 。 根据所有权的原理, 只要不与法律和公共利益相抵触, 所有权人均享有对个人数据的占有、使用、收益、处分权。 然而, 在现实中屡屡出现的情况却是, 经常有把个人数据的所有者与提供者混为一谈。 在通常情况下, 个人数据的所有者就是个人数据的提供者, 这时两者没有区分的必要。 但在某些情况下, 个人数据的所有者与提供者可能出现分离的情况, 即数据的所有者与提供者是不同的主体。 比如甲和乙是好朋友, 为了某种目的, 乙把自己所知的甲的个人数据提供给了第三人( 数据采集者)。 这时, 无论乙的行为是否经过甲的合法授权, 都不能称乙为其所提供的数据所有者, 而该数据的所有权人始终也只能是甲。 个人数据的所有者是该数据的生成体个人, 无论他人对主体个人数据的获取方式与知悉程度如何, 都不能改变个人数据的所有权归属。 而无权处分人一旦对该主体个人数据实施处分或授权处分人对该信息处分不当, 则都应承担相应的侵权或违约责任。
(二) 个人数据的内容是数据主体可被识别的个人信息
首先, 个人数据是有关个人的信息, 但不是指有关自然人的集合体的信息, 也不包括有关公司、企业等法人或其他组织的信息。 其次, 个人数据应是足以对主体构成识别的信息。 个人的姓名、性别、年龄、血型、健康状况、身高、人种、地址、经历等都可以构成个人数据的内容, 而这些内容必然又构成对数据主体的识别, 即通过这些信息所反映的内容再加上人们的一般判断, 就可以将该主体从其他人中“ 认出来”。然而, 仅凭单个的个人数据对主体加以识别是非常困难的, 因此, 数据采集者往往根据其需要对主体的个人数据进行多角度、多层次的采集。 如果对个人数据进行分类, 目前至少可以划分出不变数据、可变数据; 显态数据、潜态数据; 类别数据、个性数据等等。 在当今, 有的数据采集( 如采集某家庭的血样) 更是涉及到了主体的潜态数据( 如血型、亲子关系、基因图谱等)。 ① 可见, 由多方位采集的个人数据对数据主体的识别功能越强, 对个人隐私的保护要求也随之越高。
(三) 个人数据构成个人隐私的重要内容
隐私权是公民依法享有拒绝、排斥任何未经法律批准的监视、窥探和防止个人私生活秘密、个人信息(个人数据) 被披露的权利。 而个人数据、个人私事、个人领域是隐私权的三种基本形式。隐私权是每个公民的法定权利, 在任何一个民主的国家里, 每个人都享有不受干扰地生活在社会中的自由, 只要他没有违反法律的禁止性规定, 本人又没有放弃隐私权, 那么国家就有义务保障其个人数据、个人私事、个人领域的秘密不受侵害。 隐私权既然是一种权利, 主体就可以自主地处分自己的权利 。 因此, 只要公民具备完全的民事行为能力, 就有权自主决定自己的个人数据是否与别人分享以及与何人分享。 然而, 与此同时, 一旦个人数据被别人非法占有、使用, 公民就可依隐私权不受侵害的法律规定主张权利保护。 在现有的科技水平下, 基因是对个体具有最高识别能力的个人数据。“ 个人的基因图谱就是一个人生命的全部秘密, 它可以被用于对人的品格、智力、健康水平尤其是某种潜在素质的解释, 对个人基因图谱的不正当使用, 会给他的升学、就业、保险和婚姻等方面带来歧视或不合理待遇, 从而在个人生活的各重要场合向人类尊严发起挑战。 因此, 个人基因图谱的保密是至关重要的。”②
( 四) 个人数据控制权丧失后具有不可恢复性
在信息时代, 网络空间及计算机设备具有无可比拟的信息传播与加工能力, 任何有价值的信息一旦与人分享就会给分享者带来利益, 个人数据被数据使用者获取后的潜在价值更是不可估量。 由于个人数据具有信息的一般属性, 因此, 个人数据一旦与人分享, 对数据使用者而言, 信息控制权的回复只能具有形式上的意义, 在实质意义上则失之不可再得。 因此, 个人数据控制权的丧失并不意味着主体对该数据的物质形态失去了控制, 而是其对该数据价值形态失去了控制, 这种权利的丧失具有明显的不可恢复性。 也就是说, 与一般的所有权人享有对所有物的返还请求权不同,个人数据一旦与人分享, 该数据就难以被权利人收回。即便该个人数据在物质形态上得以返还, 但该数据为数据使用人所产生的利益是无从追索的。可见, 主体对个人数据所有权的麻痹将直接导致个人数据控制权不可逆转的丧失, 而且这种权利丧失, 还可能带来个人隐私暴露于全球网络空间的巨大隐性危险。 对于数据所有者而言, 如果将这种隐患与数据采集者用于馈赠( 或曰利诱) 主体的小恩小惠( 无论是免费的电子信箱还是廉价的纪念品) 相比, 无疑是丢了西瓜捡了芝麻。
( 五) 单一个人数据价值有限, 个人数据集合体的价值具有倍增性
在市场经济条件下, 个人数据采集者将成千上万的个人数据采集起来的目的并不是为了解个体, 而是要把若干个具有某种共同特性的主体的个人数据按一定的方式组成数据库, 以该数据库所反映的某种群体的共性来满足其自身或其他数据库使用人的需要。 而且, 越是细致化的个人数据其被加工、开发的余地越大, 增值的空间越大。 可见, 对于个人数据采集者来说, 获得个人数据不是目的, 而是一种手段, 是建立和扩展财源的一种途径。 比如, 某医院拥有在其院内出生的新生儿有关情况的数据库, 如果该医院将此数据库提供给不同商家使用的话, 在新生儿成长的不同阶段, 新生儿的家长可能成为婴儿卫生用品、服装、儿童玩具、学习用品等无限多种商品的推销对象。 显然, 该数据库的原有功能是便于医院与新生儿家长的联系, 单个家庭的住址与电话号码的意义并不太大, 但是, 只要其收集的个人数据数量大到一定程度, 其经济价值就可能大到令人难以测算的程度。 如果以聚沙成塔这个成语来比喻, 个人数据仅是沙粒, 数据库就是塔, 塔的价值远大于单个沙粒的价值之和, 这个道理是人所共知的。 个人数据的特征还在于其可以无止境地被重复使用, 重复获取经济利益。 也就是说, 单个数据的汇聚是数据集合体价值倍增性的基础, 而众多个人向数据收集者提供数据是以数据库得以形成规模效应的前提。
二 必须明确与个人数据相关的法律关系
在现实社会中, 财富的增长不仅依赖于物质资源的获取, 有价值的信息往往能够使既定的物质财富进一步扩大。 因此, 信息产业已经被称为朝阳产业, 各领域对个人数据的争夺战更是趋近于白热化, 其中最为突出的莫过于商家对消费者与网站对访问者个人数据的采集。 无论是街头调查还是网上登记, 对个人数据的提供者来说除了有甚微的获利之外, 得到的往往是恼人的推销电话和商品广告。 然而, 很少有人考虑到, 轻率提供个人数据将带来的潜在危险是: 数据采集者可能将采集到的数据加工后作为商品出售给无限多个第三方; 即便是数据采集者不将采集到的个人数据作商业用途, 也可能由于其管理上的疏忽导致数据所有者隐私的泄露。1995年10月, 美国一家名为MAR KETRY的销售公司提供了250,000 个电子邮件地址的出租服务, 价格是每1000个名字50美元。这些地址是从各种INTERNET 用户新闻组上搜集来的, 按主题分类, 并买给其他销售公司。不到两周时间, 愤怒的用户将大量的邮件发到该公司表示抗议, 使其不得不停止这项业务。①此类情况虽然在我国尚未见到报导, 但现实的危险是确实存在的。
依笔者之见, 在与个人数据相关的法律关系中, 存在着以下四个主体: A 个人数据的所有者;B所有者以外的个人数据提供者; C 个人数据的采集者( 他们通常也是数据库的所有者);D 个人数据库的使用者。他们之间的关系应当是建立在保护个人数据所有权和个人隐私权的基础上形成的权利义务关系。 如前文所述, 个人数据所有权具有特殊性, 即个人数据一旦被他人知悉, 权利人对个人数据的物质形态依然可控,而对该数据被使用的情况则可能完全失控。 因此, 只有牢牢把握个人数据的控制权, 才能真正确立这以下权利义务关系。
其一, A 与B 的关系是有限授权与有限使用的关系。 即A 不但将个人数据的部分内容与B 分享, 而且授予了B可以在一定条件下将该个人数据提供给第三人使用的权利。 然而, 对于B来说, 这种权利无论是来自于A 事先的授予还是事后的追认, 对这种权利的行使必须限定在A 的授权范围之内。 如果B 以非正当的途径取得该权利( 如采用欺诈、胁迫手段) , 或者不顾A 所授予的权限对该权利滥施处分, 都必须承担相应的法律责任。
其二, A 与C 系授权许可关系。 一般而言, 个人数据的提供者是由A( 个人数据所有者) 与B( 所有者以外的个人数据提供者) 共同组成。 然而, 针对C( 个人数据采集者) 来说, 无需区分该个人数据的提供者是A或是B, 只要其采集个人数据的手段合法, 即可认为个人数据所有权人A 让渡了其部分所有权, C与A 之间即产生授权许可关系。 在这对关系中, A 只要C 经正当途径获取个人数据, 就必然要求C 在其许可的限度内使用其所提供的个人数据, 而C 在履行了为保障A 的合法权益的义务之后, 就享有在A 的许可范围内对不涉及个人权利的数据抽象( 如从大量数据中抽象出隐蔽在数据背后的规律、趋势、特征等) 的使用权。
其三, C 与D 的有偿服务关系。 即C 将数据库中的数据加工后作为信息服务产品提供给D, 而D 应该对C 所提供的信息服务支付报酬, 他们之间的权利义务可依双方意愿确立。 此外, D 虽然与A 未发生过任何事实上的联系, 在使用包含A 的个人数据的信息服务时, 也应当履行尊重A 的隐私权的义务。由此可见, 个人数据所有者享有对个人数据无可争议的所有权, 而其相对人只能享有受限制的使用权, 这是与个人数据相关的法律关系的核心内容。 这也体现出个人数据所有权同样具有“ 对物的某一种权利, 如果他人不能证明其合法享有之, 则此种权利归属于物的所有权人”①这一所有权本质属性。
三 个人数据所有者与数据采集者之间的关系
在这两者的关系之中, 由于是数据所有者将部分个人数据的使用权授予采集者, 因此两者关系的核心内容是: 围绕着个人数据在所有者可控制的范围内的合理使用而产生的权利与义务关系。
( 一) 个人数据所有者的权利
个人数据所有者的权利是两种权利的结合: 其一, 是基于数据所有者对数据的所有权而产生的个人权利; 其二, 是基于该数据所有者所提供的个人数据作为个人数据集合体— — —数据库的组成部分而产生的集合权利。
1.个人权利的内容:
(1) 控制权。即数据所有者有权决定将个人数据提供给何人使用, 及提供哪些内容, 并有权决定对方对其所提供数据的使用权限。②
(2) 享益权。即数据所有者要求数据采集者对其提供的有商业或新闻价值的个人数据支付报酬。
(3) 知情权。 即数据所有者有权以其可以理解的方式获知所提供的个人数据被使用的目的及情况。③
(4) 修改权。即数据所有者有权要求数据采集者对其所提供数据中不正确、已过时的部分进行修改。④
(5) 完整权。即数据所有者有权要求数据采集者保证其所提供的信息准确、完整和免受危害( 如感染病毒、恶意篡改等)。
(6) 请求司法救济权。 即当数据所有者的合法权利受到侵害并造成损失时, 数据所有者有权请求司法救济。⑤
2. 集合权利及其产生
所谓集合权利, 是指在一个数据库中, 各个数据所有者作为整个数据库数据源的提供者之一, 基于数据采集者将众多单个数据加工、组合后形成的价值而产生的权利。 集合权利的存在基础是数据集合成数据库后的价值倍增性, 正是因为个人数据所具有的这一特点, 使得仅强调数据所有者享有的个人权利已远不能满足对个人数据所有者相关权利的保护要求。 这是因为, 用于商业的数据库, 其体现的已经不是个体的自然状况和主观需求, 而是一种为一般人无从知晓的某部分社会成员的共同的生活状况、习惯、倾向、趋
势、特征等, 从而对消费热点、产品前景、市场风险等问题的分析决策起着关键性的作用。 数据库的巨大商业价值来源于个体个人数据的集合, 数据库的价值早已超越作为其组成部分的个人数据的价值之和。 显然, 超越于数据所有者的个人权利的集合权利必然客观存在, 并应当为数据所有者所享有。
(二) 个人数据采集者的义务
一般而言, 对于个人数据的采集者来说, 他们“追求的目的不在于数据库的制作本身, 而是着眼于数据库的商业使用, 实质上是数据库内容的使用。 如果不能实现这一目的, 数据库的制作行为也就失去了动力, 这最终会导致数据库产业的萎缩。”①因此, 对作为从事一门新兴行业的数据库制作者而言, 在追求商业利润的同时, 必须全面履行己方的义务, 保障个人数据所有者的合法权益, 才能实现这一新兴产业的蓬勃发展。 为此, 在个人数据的采集阶段, 数据采集者( 数据库的制作者) 必须明确其须承担的以下义务:
1. 合法获得义务。即个人数据采集者所必须依合法、正当的途径获得个人数据, 必须经有关权利人的明确授权。不得在权利人不知情的情况下采集其个人数据, 更不得以欺诈、胁迫等手段获得个人数据。采集无民事行为能力人与限制民事行为能力人的有关个人数据, 必须经过其监护人的同意。
2. 告知的义务。 在个人数据被采集之前, 数据采集者有义务告知数据所有者对个人数据的采集目的、使用方法、贮存手段、保密措施、违约责任等内容。 在新近颁布的《香港个人数据( 隐私)法令》中更是明确规定,数据采集者必须在数据采集之前, 而不是在数据使用之前告知数据主体其数据的使用目的。②此外,在个人数据库的使用过程中, 数据采集者有义务告知数据所有者的个人数据的使用状况。 而且, 以上的告知必须以数据的所有者可以理解的方式进行。
3.合理使用的义务。 数据库制作者无论是对个人数据的采集、整理、加工, 还是将数据库授权给第三方使用, 都必须遵守与数据所有者事先约定的义务, 严格在数据所有者授权的范围内使用个人数据 。
4.保证数据完整的义务。 数据库的制作者必须保证在任何阶段和一切环节上个人数据的准确完整,既不能随意篡改、删除个人数据, 更有义务采取有效措施保障个人数据免受人为的危害。
5. 对敏感数据的特殊保护义务。 数据库制作者在处理个人数据的时候可能会碰到一些特别敏感的数据, 比如可能涉及个人宗教信仰、种族起源、犯罪记录等内容。对于此类数据的保护, 除了要严格履行上述的义务以外, 还有必要采取一些特殊的保护手段, 以保障数据所有者的隐私处于秘密状态。 如果数据库的制作者未采取有效措施对该部分数据实施保护的话, 可能承担更严重的赔偿责任。
四、数据库所有者与数据库使用者之间的关系
“ 数据库所有者与数据库使用者之间的关系是一种产品服务关系, 前者以其数据库产品为后者提供服务并获取报酬, 后者则享受该服务并支付报酬。”③可见, 数据库所有者与数据库使用者之间的关系相对简单, 两者之间完全可以依各方的意志与对方约定相互的权利义务, 即便两者之间没有就数据库的使用问题订立合同, 两者间的关系也可以依合同法的有关内容进行调整。 但考虑到这种信息服务的标的物是个人数据的有机组合, 具有一定的特殊性, 因此, 数据库所有者与数据库使用者除了受一般合同当事人的有关义务的约束外, 还具有以下义务:
(一) 数据库所有者的义务
据不同阶段学生特点开展有针对性的心理辅导活动。 第五, 建立心理健康教育体系, 包括: 开设心理卫生课程; 进行心理测试, 建立心理档案; 开展心理咨询和心理矫治。 高等学校切实开展大学生心理健康教育活动, 不仅符合学生身心发展需要, 引导学生正确认识和处理了如理想与现实、个体与群体、学习与生活,以及社会化过程中面临的种种矛盾和冲突, 更重要的还在赋予了大学生融入社会之后继续克服困难和战胜挫折的毅力和恒心, 对大学生成长为一名合格的社会成员是终生有益的。
4.把大学生社区建设和管理作为推进素质教育的一个重要阵地学生社区是大学生活中学生最主要的学习场所和生活空间。因此, 学生社区建设不仅局限于一般意义上的物业管理, 更重要的是社区的文明建设、文化建设、管理制度建设和学习生活指导等多项内容的建
设。也正由于大学生是社会中最优秀的青年群体, 大学生社区就更应该是全社会最文明、最优秀的社区。所以最大程度上发挥大学生的主动性和积极性, 让他们在社区建设中参与决策、参与管理、参与服务, 应该是大学生社区建设管理模式改革中的一个重要环节。大学生在社区文化建设、自我管理、自我服务的过程中, 在可以充分展示自己才华的同时, 自我约束力、奉献意识和社会责任感也得到加强, 对健康人格的塑造以及学业、综合能力等全面素质提高是一个极大的推动 。大学生社区建设和管理工作的正向发展, 还可引导学生侧重正确认识并处理好如群体与个体, 学习与生活等社会化过程中的矛盾。
一个健康发展的社会应该以改革、开放和创造为重要标志, 未来社会经济和主导文化必然走向年轻化。从这个意义上说, 新一代大学生将成为参与、支持和拥护改革的最积极的社会力量, 他们肩负着承继文明、沟通未来的社会责任。 正确研究和处理好大学生社会化与素质教育的关系, 不仅可以使前辈开创的社会主义事业顺利延续下去, 更可以促使中国未来的年轻人以青春和智慧哺育自己现代化的成长。
参考文献:
[1]马秋枫:《计算机信息网络的法律问题》,北京人民邮电出版社1998 年版, 第175~176 页
[2]参见汤啸天: 《网络空间的个人数据与隐私权保护》, 载《政法论坛》2000 年第1 期
[3]郭自力: 《人类基因组计划与人权保障》, 载《法学家》2000 年第2期
[4]王凌云: 《电子商务中的个人数据及隐私保护》, 载《 第二届中国信息化法制建设研讨会论文集》, 北京·1999 年版, 第236 页
[5]赵中孚等《1999 年民商法研究的回顾与展望》,《法学家》2000年第1 期
[6]参见马秋枫等: 《计算机信息网络的法律问题》, 北京人民邮电出版社1998 年版, 第179 页
[7]参见马秋枫等: 《计算机信息网络的法律问题》, 北京人民邮电出版社1998 年版, 第180 页
[8]参见马秋枫等: 《计算机信息网络的法律问题》, 北京人民邮电出版社1998 年版, 第181 页
[9]参见马秋枫等: 《计算机信息网络的法律问题》, 北京人民邮电出版社1998 年版, 第182 页
[10]刘学圣: 《与数据库有关的法律问题研究》, 载《中外法学》1999 年第5期。
[11]参见web 页: [ EB/OL] www. gandanet. com. hk/privalcy/privkita . htm/2000-05-13。
[12]刘学圣: 《与数据库有关的法律问题研究》, 载《中外法学》1999 年第5期。