摘要:信息时代最有价值的财产是数据,其中所带来的核心法律问题集中于数据的取得、利用、处置过程中。作为中华人民共和国成立以来第一部以“法典”命名的法律,《民法典》就信息网络领域中目前较为突出的问题进行了规制,在强化对公民隐私权和个人信息保护的同时,也对数据权属及数据行为做出规定,具有开创意义。但纵观《民法典》关于个人信息、虚拟财产等法条的规定,《民法典》采用了相对保守的态度,虽然不致于因激进而引发争议,但导致现实中很多问题依然无法可依,有待后续立法完善。
关键词:民法典 网络数据 个人信息 虚拟财产
2012年以来,大数据一词越来越多地被提及,数据已经渗透到当今每一个行业和业务领域,成为重要的生产因素。随着云时代的来临,数据进入爆炸性增长阶段,尽可能地挖掘、利用个人数据已经是所有网络服务商的共识。这必然带来用户与数字产业之间、公民权利与市场需求之间的矛盾与冲突。
一、数据的内涵
数据(data)本身是一个个符号或数值,经过解释处理,被赋予意义后成为信息。信息网络系统中的数据包含了两部分法律概念,一部分是人格权中的个人信息、隐私,另一部分则是财产权。
(一)个人信息与个人隐私
在日常生活中,个人数据、个人信息、个人隐私等词语经常被混用。在法律层面,各国根据习惯的不同所使用的概念也不尽相同。例如,2018年5月,欧盟通过的《通用数据保护条例》(General Data Protection Regulation,简称“GDPR”)中使用的是个人数据的概念。而我国《民法典》、《网络安全法》均采用个人信息这一概念。严格意义上说,个人数据并不等同于个人信息,数据是信息形式、信息是数据的内容。但这种区分从法律实践角度来看没有实际的意义,本文讨论过程中不再进行区分。《网络安全法》第七十六条第(五)款规定,“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《民法典》第一千零三十四条在《网络安全法》的基础上,增加了“电子邮箱”、“健康信息”、“行踪信息”的内容。
个人信息与个人隐私既有交叉又有不同。《民法典》第一百三十二条规定,“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”即隐私既包括私密信息不被刺探、公开,又强调私生活的安宁。而一部分个人信息并不涉及私生活敏感信息,不属于隐私的范畴。所以,《民法典》人格篇中将个人信息与隐私权并列。
(二)数据的财产属性
数据的财产属性问题主要包含两点:个人信息的财产属性和以数据为载体的虚拟财产。针对个人信息的财产属性问题学界争议较大。有的学者认为信息主体并未对信息付出劳动,个人信息是对个人真实情况的直观反映,不是劳动产品,无法对个人信息价值进行评估。并且将个人信息作为财产处分必然导致隐私权面临众多风险,故不认可个人信息的财产属性。而有一部分学者认为,虽然依照传统民法理论,人格权不包含财产性的内容,不具有转让性和继承性,财产权不包含人的精神利益,但是同一客体中既包含精神性内容又包含财产性内容并不矛盾。每个人都有授权他人收集、储存、传播、修改自己信息从而获利的决定权,财产权正是基于这种自决权发展而来。在当今互联网发展模式下,只有认可个人信息具有人格权、财产权双重属性,通过双轨保护机制才能更有效的保护个人信息。《民法典》对这一问题并未涉及。
针对虚拟财产的问题,《民法典》第一百二十七条规定,“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”本条规定与《民法总则》一致,从条文内容来看,可以理解为《民法典》对网络虚拟财产的保护持肯定态度,但如何保护、是否可以继承没有明确规定,下文将详细论述。
二、《民法典》对个人信息、隐私权的保护
(一)个人信息
随着社会的不断进步,人们对个人信息的保护越来越重视。《民法典》对个人信息明示列举部分的内容进一步扩充,反映了社会对个人信息保护的需求。2019年10月,浙江理工大学某副教授向法院起诉杭州某动物园,理由为该动物园将之前的指纹入园认证改为人脸识别认证系未经其同意收集个人生物识别信息,严重损害了其合法权益。此案之所以引起广泛关注,是因为人脸识别技术自诞生起就充满争议,此案又被称为“中国人脸识别第一案”。但从另外一个角度来看,指纹也是生物识别信息,教授对指纹认证无动于衷,却对人脸识别提起诉讼,一方面可能是因为面部信息泄漏可能带来的危害更大,另一方面也反映出大众对于个人信息保护的意识随着技术的进步也在加强。
《民法典》第一千零三十四条至第一千零三十九条基本沿用了《网络安全法》的规定:1.要求信息处理者在处理(包括:收集、存储、使用、加工、传输、提供、公开等)个人信息时需要征得该自然人或者其监护人的同意,并在已明示的处理信息目的、方式和范围内进行信息处理。2.明确赋予信息处理者保证信息安全、不得对外泄漏的义务。
虽然《民法典》已经强化了对个人信息处理环节的规制,但实践中问题要复杂的多。比如大部分网络服务商都会在用户注册时,要求用户同意其事先拟定的条款,其中包括了同意其收集、处理用户信息。而绝大多数人并不会仔细阅读这些条款而直接点选同意,这种同意是否有效。在“使用必先同意”的模式下,即使用户看到了相应条款,但其并没有议价权,在高度垄断的互联网体系下,不同意则不能使用服务,此时的同意是否有效。GDPR中关于同意的规定要更为细致,比如用户必须有选择权,并可以控制从数据控制者处接收的内容。总的来说,《民法典》关于个人信息保护的内容基本来源于《网络安全法》,而《网络安全法》本身因个人信息保护方面没有反映大数据时代的特点,一些条款因笼统、操作性差等原因而广受诟病。相关问题还有待由目前仍在审议中的《个人信息保护法》解决。
(二)隐私权
隐私权一直以来都是一个比较笼统的法律概念,法律实践中此类案件严重依赖法官的个人判断,缺乏统一可操作的标准。《民法典》第一千零三十三条首次明示列举了侵犯隐私权的几种行为,有助于受害者维护自身权益,其中包括:1.以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;2.进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;3.拍摄、窥视、窃听、公开他人的私密活动;4.拍摄、窥视他人身体的私密部位;5. 处理他人的私密信息;6.以其他方式侵害他人的隐私权。网络时代最为人诟病的问题之一是网络暴力。网络暴力通常包括两个阶段:1.人肉搜索;2.电话骚扰、短信骚扰、电子邮件骚扰等。即首先通过人肉搜索查询被害人的真实信息,例如姓名、家庭住址、工作单位、电话、邮箱等,然后将这些信息公开,由一群自认为“正义”的人士向被害人打骚扰电话,发恐吓短信、邮件等。近年来,因网络暴力而抑郁甚至轻生的案例不断增多。此次《民法典》对隐私权保护进行较为细节的规定,能够一定程度上对网络暴力等侵犯隐私权的行为起到有效呵阻作用。
三、《民法典》对虚拟财产规定的不足
承前所述,《民法典》对网络虚拟财产的保护持肯定的态度,但也仅此而已。自2003年首例虚拟财产纠纷案以来,因“游戏装备”、“虚拟货币”等引发的纠纷大幅增多。而2020年通过的《民法典》对这一问题的回应,仅仅是“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,显然是不够的。虚拟财产所涉纠纷目前争议较大的问题有:1.虚拟财产的定义是什么?微博账号、论坛及视频网站的账号等是否属于虚拟财产;2.虚拟财产的价值以何种标准确定;3.继承人对虚拟财产是否有继承权,进一步来讲,对于具有一定财产属性的个人网络信息,继承人是否有继承权。上述问题亟待相关立法解决。
综上所述,《民法典》反映了时代特征,对大数据时代背景下的个人信息、隐私权保护等问题进行了较为细化的规制,尤其是关于隐私权的规定具有极强的现实意义。但是从数据保护方面来看,其内容延用了《网络安全法》的内容,较国外的相关立法,例如GDPR(规定了细致的知情同意权、数据转移权、被遗忘权等)仍有较多的立法空白。至于虚拟财产方面,随着网民群体的不断扩大,网络社会对虚拟财产的法律规制具有迫切的需求,有待立法者进一步完善。
(作者:贾昆,京都律师事务所)