王利明 中國人民大學(xué)常務(wù)副校長、教授
數(shù)據(jù)共享概念主要是在機構(gòu)、平臺層面上使用,它是指不同機構(gòu)、平臺之間的數(shù)據(jù)交換,但一般不包括政府的數(shù)據(jù)公開行為。在我國正在制定的民法典中,有必要設(shè)置專門的規(guī)則,規(guī)范數(shù)據(jù)共享行為,強化對個人信息權(quán)利的保護。其原因主要在于:第一,大量的數(shù)據(jù)涉及個人的信息和隱私,甚至涉及個人的敏感信息和核心隱私。第二,數(shù)據(jù)共享包括個人信息的收集和傳輸行為。一旦缺乏規(guī)范,使數(shù)據(jù)的收集、傳輸失控,將導(dǎo)致大量的個人信息遭受不當(dāng)使用,甚至是泄露。第三,除了共享本身是對個人信息的再利用,還有被共享者獲得了這些信息數(shù)據(jù)后,其可能對信息數(shù)據(jù)進行再次加工、利用,甚至再次進行共享。
數(shù)據(jù)共享中的個人信息仍然屬于信息權(quán)利人所有
信息數(shù)據(jù)的收集、開發(fā)和利用應(yīng)當(dāng)以保護個人信息權(quán)利和隱私權(quán)為前提。信息收集的知情同意規(guī)則應(yīng)當(dāng)適用于所有個人信息收集的行為,而不僅限于個人信息的初次收集行為,其主要原因是:
第一,知情同意本身就是信息權(quán)利人對其個人信息支配權(quán)的具體體現(xiàn)。即便數(shù)據(jù)開發(fā)者經(jīng)過權(quán)利人同意對個人信息進行了搜集、開發(fā),但將數(shù)據(jù)與他人共享之前,首先還需經(jīng)過當(dāng)事人的許可和授權(quán)。
第二,個人信息權(quán)利以主體對其個人信息所享有的人格利益為客體,人格利益在性質(zhì)上具有人身專屬性,并不具有可讓與性。
第三,信息權(quán)利人允許信息收集并不等于允許信息分享。在未經(jīng)信息權(quán)利人同意的情形下,經(jīng)合法授權(quán)的信息的共享行為也可能侵害信息權(quán)利人的權(quán)利,因為對信息權(quán)利人而言,信息共享行為與重新收集個人信息并無本質(zhì)區(qū)別,原則上應(yīng)當(dāng)征得其同意。
第四,必須保障信息權(quán)利人對個人信息流通過程的控制。信息無論向誰共享,在共享的范圍內(nèi),都應(yīng)當(dāng)經(jīng)過信息權(quán)利人的知情、同意。
即使在特殊情形下,信息共享行為難以完全實現(xiàn)個人的知情同意,也應(yīng)當(dāng)通過特殊的規(guī)則強化對信息權(quán)利人的保護,以彌補知情同意規(guī)則適用的不足。美國法律對此引入“合理預(yù)期”的概念,即在某些情況下,判斷是否存在隱私侵權(quán)應(yīng)當(dāng)看數(shù)據(jù)的收集者和處理者是否盡了合理注意義務(wù),是否符合社會認(rèn)可的數(shù)據(jù)被收集者的一般預(yù)期。
數(shù)據(jù)共享必須獲得個人信息權(quán)利人的授權(quán)
應(yīng)當(dāng)有效規(guī)范信息主體的授權(quán)行為。數(shù)據(jù)共享不等于數(shù)據(jù)倒賣,二者的根本區(qū)別在于是否獲得了信息主體的授權(quán)。信息共享的授權(quán)應(yīng)當(dāng)注意如下幾個方面的問題:
第一,數(shù)據(jù)共享一旦涉及個人信息,則應(yīng)當(dāng)獲得信息主體的明確授權(quán)。我國《民法總則》雖然規(guī)定了個人信息應(yīng)當(dāng)依法收集和利用,但沒有對合法和非法的情形作出規(guī)定。《民法典各分編(草案)》第817條規(guī)定,“未經(jīng)被收集者同意,不得向他人提供個人信息”,但沒有說明是否需要信息權(quán)利人的明示同意。我國應(yīng)借鑒歐盟的經(jīng)驗,如果授權(quán)條款寫得不清楚,即便獲得了個人同意,也不能認(rèn)為是獲得了授權(quán)。
第二,在收集、利用個人信息時應(yīng)當(dāng)取得個人的授權(quán),數(shù)據(jù)共享也應(yīng)當(dāng)取得信息主體的特別授權(quán)。從我國司法實踐來看,有的法院也采納了此種立場。
第三,在規(guī)范數(shù)據(jù)共享時應(yīng)當(dāng)嚴(yán)格限制概括授權(quán)條款的運用。個人信息與信息主體人格利益之間聯(lián)系緊密,概括授權(quán)委托可能會造成信息主體對于個人信息的完全失控,從而帶來超出其合理預(yù)期的影響。
第四,不需要授權(quán)的情況應(yīng)當(dāng)由法律明確規(guī)定下來,做出明確列舉,這樣既可以保護個人的信息權(quán)利,也可以為數(shù)據(jù)產(chǎn)業(yè)的發(fā)展提供明確的行為標(biāo)準(zhǔn)和發(fā)展預(yù)期。《民法典各分編(草案)》第816條規(guī)定過于寬泛,有必要作細化規(guī)定。
共享者獲得信息后,應(yīng)當(dāng)在信息主體授權(quán)范圍內(nèi)使用。數(shù)據(jù)共享行為應(yīng)當(dāng)嚴(yán)格限定在授權(quán)的范圍內(nèi)。除信息主體對被共享者有特別授權(quán)外,被共享者對相關(guān)信息所享有的權(quán)利也不得超出信息共享者權(quán)利的范圍;要使信息權(quán)利人控制信息共享的過程,信息共享者應(yīng)當(dāng)在授權(quán)范圍內(nèi)共享信息。
數(shù)據(jù)共享應(yīng)遵循合法、正當(dāng)、必要、最小化使用的原則。個人信息的搜集、使用和共享還應(yīng)當(dāng)遵循“最小化使用原則”,即在從事某一特定活動時可以使用、也可以不使用個人信息時,要盡量不使用;在必須使用并征得權(quán)利人許可時,要盡量少使用。此外,數(shù)據(jù)共享過程中還應(yīng)當(dāng)尊重信息權(quán)利人的其他相關(guān)權(quán)利。