王利明   中國人民大學(xué)常務(wù)副校長、教授

數(shù)據(jù)共享概念主要是在機(jī)構(gòu)、平臺層面上使用，它是指不同機(jī)構(gòu)、平臺之間的數(shù)據(jù)交換，但一般不包括政府的數(shù)據(jù)公開行為。在我國正在制定的民法典中，有必要設(shè)置專門的規(guī)則，規(guī)范數(shù)據(jù)共享行為，強(qiáng)化對個人信息權(quán)利的保護(hù)。其原因主要在于：第一，大量的數(shù)據(jù)涉及個人的信息和隱私，甚至涉及個人的敏感信息和核心隱私。第二，數(shù)據(jù)共享包括個人信息的收集和傳輸行為。一旦缺乏規(guī)范，使數(shù)據(jù)的收集、傳輸失控，將導(dǎo)致大量的個人信息遭受不當(dāng)使用，甚至是泄露。第三，除了共享本身是對個人信息的再利用，還有被共享者獲得了這些信息數(shù)據(jù)后，其可能對信息數(shù)據(jù)進(jìn)行再次加工、利用，甚至再次進(jìn)行共享。

數(shù)據(jù)共享中的個人信息仍然屬于信息權(quán)利人所有

信息數(shù)據(jù)的收集、開發(fā)和利用應(yīng)當(dāng)以保護(hù)個人信息權(quán)利和隱私權(quán)為前提。信息收集的知情同意規(guī)則應(yīng)當(dāng)適用于所有個人信息收集的行為，而不僅限于個人信息的初次收集行為，其主要原因是：

第一，知情同意本身就是信息權(quán)利人對其個人信息支配權(quán)的具體體現(xiàn)。即便數(shù)據(jù)開發(fā)者經(jīng)過權(quán)利人同意對個人信息進(jìn)行了搜集、開發(fā)，但將數(shù)據(jù)與他人共享之前，首先還需經(jīng)過當(dāng)事人的許可和授權(quán)。

第二，個人信息權(quán)利以主體對其個人信息所享有的人格利益為客體，人格利益在性質(zhì)上具有人身專屬性，并不具有可讓與性。

第三，信息權(quán)利人允許信息收集并不等于允許信息分享。在未經(jīng)信息權(quán)利人同意的情形下，經(jīng)合法授權(quán)的信息的共享行為也可能侵害信息權(quán)利人的權(quán)利，因為對信息權(quán)利人而言，信息共享行為與重新收集個人信息并無本質(zhì)區(qū)別，原則上應(yīng)當(dāng)征得其同意。

第四，必須保障信息權(quán)利人對個人信息流通過程的控制。信息無論向誰共享，在共享的范圍內(nèi)，都應(yīng)當(dāng)經(jīng)過信息權(quán)利人的知情、同意。

即使在特殊情形下，信息共享行為難以完全實(shí)現(xiàn)個人的知情同意，也應(yīng)當(dāng)通過特殊的規(guī)則強(qiáng)化對信息權(quán)利人的保護(hù)，以彌補(bǔ)知情同意規(guī)則適用的不足。美國法律對此引入“合理預(yù)期”的概念，即在某些情況下，判斷是否存在隱私侵權(quán)應(yīng)當(dāng)看數(shù)據(jù)的收集者和處理者是否盡了合理注意義務(wù)，是否符合社會認(rèn)可的數(shù)據(jù)被收集者的一般預(yù)期。

數(shù)據(jù)共享必須獲得個人信息權(quán)利人的授權(quán)

應(yīng)當(dāng)有效規(guī)范信息主體的授權(quán)行為。數(shù)據(jù)共享不等于數(shù)據(jù)倒賣，二者的根本區(qū)別在于是否獲得了信息主體的授權(quán)。信息共享的授權(quán)應(yīng)當(dāng)注意如下幾個方面的問題：

第一，數(shù)據(jù)共享一旦涉及個人信息，則應(yīng)當(dāng)獲得信息主體的明確授權(quán)。我國《民法總則》雖然規(guī)定了個人信息應(yīng)當(dāng)依法收集和利用，但沒有對合法和非法的情形作出規(guī)定?！睹穹ǖ涓鞣志帲ú莅福返?17條規(guī)定，“未經(jīng)被收集者同意，不得向他人提供個人信息”，但沒有說明是否需要信息權(quán)利人的明示同意。我國應(yīng)借鑒歐盟的經(jīng)驗，如果授權(quán)條款寫得不清楚，即便獲得了個人同意，也不能認(rèn)為是獲得了授權(quán)。

第二，在收集、利用個人信息時應(yīng)當(dāng)取得個人的授權(quán)，數(shù)據(jù)共享也應(yīng)當(dāng)取得信息主體的特別授權(quán)。從我國司法實(shí)踐來看，有的法院也采納了此種立場。

第三，在規(guī)范數(shù)據(jù)共享時應(yīng)當(dāng)嚴(yán)格限制概括授權(quán)條款的運(yùn)用。個人信息與信息主體人格利益之間聯(lián)系緊密，概括授權(quán)委托可能會造成信息主體對于個人信息的完全失控，從而帶來超出其合理預(yù)期的影響。

第四，不需要授權(quán)的情況應(yīng)當(dāng)由法律明確規(guī)定下來，做出明確列舉，這樣既可以保護(hù)個人的信息權(quán)利，也可以為數(shù)據(jù)產(chǎn)業(yè)的發(fā)展提供明確的行為標(biāo)準(zhǔn)和發(fā)展預(yù)期?！睹穹ǖ涓鞣志帲ú莅福返?16條規(guī)定過于寬泛，有必要作細(xì)化規(guī)定。

共享者獲得信息后，應(yīng)當(dāng)在信息主體授權(quán)范圍內(nèi)使用。數(shù)據(jù)共享行為應(yīng)當(dāng)嚴(yán)格限定在授權(quán)的范圍內(nèi)。除信息主體對被共享者有特別授權(quán)外，被共享者對相關(guān)信息所享有的權(quán)利也不得超出信息共享者權(quán)利的范圍；要使信息權(quán)利人控制信息共享的過程，信息共享者應(yīng)當(dāng)在授權(quán)范圍內(nèi)共享信息。

數(shù)據(jù)共享應(yīng)遵循合法、正當(dāng)、必要、最小化使用的原則。個人信息的搜集、使用和共享還應(yīng)當(dāng)遵循“最小化使用原則”，即在從事某一特定活動時可以使用、也可以不使用個人信息時，要盡量不使用；在必須使用并征得權(quán)利人許可時，要盡量少使用。此外，數(shù)據(jù)共享過程中還應(yīng)當(dāng)尊重信息權(quán)利人的其他相關(guān)權(quán)利。