关键词:数据权利;信息权利;财产权;数据安全保护义务;安全保障义务
随着传统经济模式(attentioneconomy)向意愿经济模式(intensioneconomy)转变,用户信息变成了二十一世纪的“石油”,谁掌握了信息优势,谁就掌握了民事活动的主动权。数据作为企业核心竞争力的价值得到普遍承认,数据安全问题也日益凸显。年—年间,美国联邦贸易委员会(FTC)因数据泄露对Facebook罚款高达50亿美元,创下了FTC罚单金额的最高记录。同时,Equifax、英国航空和万豪国际也分别因数据泄露问题被罚款6.5亿美元、1.83亿英镑与万英镑。仅此四家企业的罚款就已高于年全球数据安全产业的市场规模。[1]而在数据私法保护规则与集体诉讼规则均待完善的我国,如仅采用行政罚款的方式解决数据泄露问题,则很有可能导致用户的信息、数据权益难以得到及时、有效的救济。年9月,中国信通院《中国网络安全产业白皮书(年)》正式发布。报告显示,年数据安全产品市场较年增加了15.85%,增速仅次于云访问安全代理(CASB)与基础设施保护,位于网络安全产品增速第三位。[2]与此相对,虽然我国《民法典》第条肯定了数据为财产权益,但学界对数据权利保护的规则争议较大,相应的民事规则暂时处于缺位状态。[3]
自年我国《民法总则》第条明确提出数据受法律保护以来,企业对数据存储、共享、交易的敏感度提高,企业数据安全保护受到广泛重视。在针对数据安全的相应规范性文件的制定上,我国先后出台了《网络安全法》《数据安全法》《网络安全审查办法》《信息安全技术个人信息安全规范》等法律、法规或行业标准,《数据安全管理办法》《网络数据处理安全规范》也正在制定之中。由此可见,我国用户信息与企业数据的保护已得到了从企业到社会范围内的普遍重视,但我国立法并未明确区分“信息”与“数据”概念,导致企业数据安全保护规则制定时出现了一定程度的混乱。目前,基于大数据运用、交易的需求,赋予企业数据财产权的呼声日益高涨。但就法律关系而言,企业对其所持有的数据权利来自于用户对其进行的使用授权而非财产转让。在企业数据权利与用户信息权利的冲突中首先需要解决的就是企业数据权利与用户信息权利的关系认定问题。
一、我国立法中的数据、信息二元结构规制困境
(一)“数据(data)”与“信息(information)”概念溯源
要厘清企业数据权利与用户信息权利的关系,首先需要明确作为客体的“数据(data)”与“信息(information)”的概念。部分境外立法与国际公约涉及数据与信息的规范制定先于我国的国内规范制定。在这些法律文件中,欧洲习惯称“数据(data)”。如年OECD(经合组织)颁布的《隐私保护与个人数据跨境流动指南》[4]即采用了以“个人数据”作为规制对象的表述。年欧盟委员会“个人数据保护指南”(Directive95/46/EC)、年GDPR也沿用了“数据(data)”这一用语。而我国和美国、澳大利亚、新西兰、新加坡等国家,以及APEC(亚太经合组织)、APPA(亚太隐私机构)、IAPP(国际隐私专业人员协会)等地区或国际组织习惯使用“信息”(information)。如年亚太经合组织“APEC隐私框架(APECPrivacyFramework)”中即采用了“个人信息”而非“个人数据”的表述。[5]无论是“个人数据”还是“个人信息”,文件中对二者的解释均为“个人可识别的任何信息(Anyinformationrelatingtoanidentifiedoridentifiableindividual)”。由此可见,在以上境外立法与国际公约中,信息与数据两个概念仅为词汇选择不同,并无本质差别。
随着数据应用的发展,数据与信息概念在我国数据安全技术实务讨论中呈现出了分离的趋势。[6]在法律规制的学术讨论中,虽然信息、数据概念上的混同在初期难以避免,[7]但随着大数据产业的发展,越来越多的学者认为应当将二者区分调整。[8]在我国专门针对网络安全、数据安全的法律规范中,虽然这两个概念也存在一定程度上的混用,[9]但严格来讲“信息”的含义要大于“数据”的含义。我国《电子签名法》第2条对“数据电文”这一概念进行了定义:“指以电子、光学、磁或类似手段生成、发送、接受或存储的信息”。《网络安全法》第76条第4款则似乎有意避开“信息”的概念,将“网络数据”定义为“通过网络收集、存储、传输、处理和产生的各种电子数据”。观察年《商业银行互联网贷款管理暂行办法》第33条的表述可见,[10]部门规章的制定基本采用了“数据即是数字化的信息”的表述方式。将于年9月1日起施行的《数据安全法》第3条则从整体上明确了法律中“数据”的概念,将“数据”定义为“任何以电子或者其他方式对信息的记录”。正在制定中的法律、部门规章中,如《个人信息保护法(草案)》第4条第1款与《征信业务管理办法(征求意见稿)》第3条,均未采用数据、信息混用的方式将数据与信息等同处理。可见,在我国立法中“数据”与“信息”这一对概念并不完全相同。信息更加贴近于对事物本身的描述,数据则侧重于表达信息的数字状态。在信息、数据立法初期,信息、数据权利分离的趋势可能是无法预见的,但这种术语使用的混淆客观上确已导致了当前用户信息权利与企业数据权利需求的冲突,成为信息、数据权利法律适用的困境所在。
(二)企业数据权利与用户信息权利关系不明
目前,我国企业数据权利主要由《反不正当竞争法》调整,即通过《反不正当竞争法》一般条款及当事人之间合同约定,基于获取数据手段是否正当进行数据获取行为合法性判断。判断标准体现为是否对“三重授权原则”的违反,[11]即合法的企业数据二次使用需要有用户授权企业采集与存储、用户授权企业向第三方共享、企业同意向第三方数据共享三个授权同意的意思表示,第三方才能合法获取数据,并基于授权使用。
通过竞争法保护企业数据交易的优点在于应对繁杂的数据安全问题时法条的可扩展性较强,但其缺点相应有四:其一,《反不正当竞争法》一般条款为兜底条款,其设计的目的是防止挂一漏万,具有很强的模糊性。在司法实践中,法条的模糊性实际上是授权法院对违法行为进行判断。[12]在当前复杂的数据安全环境下将复杂的技术认定过程置于庭审当中,极大地增加了裁判的难度与同案不同判的可能性。其二,因数据企业的用户绝大部分不从事数据业务,对于数据泄露损害的举证能力有限,且一般并不必然地与数据企业产生竞争关系,绝大部分情形下用户无法通过竞争法主张自己的权益。其三,数据企业的用户,尤其是自然人用户,在合同签订时一般处于不利地位。在用户对其提供商业、生活便利性服务存在必要需求的背景下,数据企业要求用户对其数据概括性授权以规避风险,亦实质性地阻断了用户通过合同救济其信息、数据权益的可能。其四,用户的数据量一般较少,且存在法律无直接规定导致裁判结果不确定性较大的问题,用户往往因诉讼成本过高而放弃维权,因此仅通过竞争法调整企业数据安全问题并不能满足保护用户信息、数据权利的需求。解决这一问题,尚需从厘清企业数据权利与用户信息权利的关系入手。
二、数据安全视野下企业数据权利与用户信息权利的关系认定
自互联网时代将数据作为生产资料以来,学界长期存在对企业数据权利赋权的讨论,拟通过直接对企业赋权来解决数据市场流通的合法性问题。从数据价值实现的角度考量,企业数据赋权说的确可能为规范数据市场起到积极作用。但值得注意的是,一旦对企业数据进行财产权赋权,则会直接与用户数据背后的用户基础权利(以下简称“用户信息权利”)产生冲突。因此,我们需要梳理二者的关系,判断企业数据权利是否具备成为支配性财产权的基础。
(一)企业数据财产权赋权说的沿革与评述
“数据赋权说”从时间上可以清晰地分为数据库赋权讨论与企业数据赋权讨论两个阶段。对于数据库赋权的讨论始于年欧盟颁布的《关于数据库法律保护的指令》。[13]该指令第1条第3款与第3条第1款规定“数据制作者对其经系统或有序安排,并可通过电子或其他手段单独加以访问的独立作品、数据或其他材料的集合,可以享有著作权保护”,此即数据库权(DatabaseRight)。这种权利被视为是一种独立的财产权,且无需以汇编作品认定为前提。[14]但在法律实践中,数据库权的适用却并不顺利。年欧洲法院在BHBV.WilliamHill一案的判决中并未认定加盖公章的骑手与赛马名单符合“数据库”的术语定义范围,并认为一旦加盖公章,名单就不再属于数据库权的调整范围。[15]有的学者认为,这等于直接宣告了数据库权的死亡。[16]
任何法律的制定都有其鲜明的时代特征。在年,网络空间尚处于Web1.0时代,企业对数据库的需求主要为静态的存储调用及分布式处理功能,Oracle数据库尚不支持网络计算,[17]网络整体呈现“中心化”而非“去中心化”特征。数据交易总量不大,面临的网络威胁也以旨在使系统瘫痪的拒绝服务式攻击为主,而非当前的数据窃取与泄露。因此,网络安全事件对用户权利的危害有限,立法更多倾斜于企业利益无可厚非。但这一背景与当前完全不同。首先,随着一般大众获得硬件的门槛降低、数据云服务普及,数据窃取具有了更便利的客观条件。其次,用户信息(大数据)价值的发现也使得数据窃取的收益更大。数据安全事件的受害者已不限于企业,还包括将数据信息存储于企业的用户,这也使得《关于数据库法律保护的指令》中设立的数据库权在当前已不具备很强的制度参考价值。
在企业数据赋权的讨论中,绝大部分观点均采用“数据财产权”这一表述方式。我国法律体系中并没有清晰的财产权概念,在广泛使用财产权术语的英美法系国家,对其外延划定也依赖于判例,并不清晰。[18]亦有观点认为在互联网信息产业链中“财产权”已经不具备显著的重要性。[19]结合文献来看,为我国学界所广泛讨论的财产权应当指“以财产为标的,以经济利益为内容的权利”,[20]属于一种支配权。[21]因此,企业数据财产权应当指企业对其持有的数据享有的一种支配性权利。[22]主张设立企业数据财产权的观点主要依据有三:其一,基于洛克财产权产生理论,认为企业的数据财产属于劳动产品;其二,基于李嘉图对商品价值的概括,认为企业数据财产具有有用性和稀缺性;[23]其三,依据科斯第二定理,认为降低交易成本是实现数据资源最大化利用的前提,应当赋予企业一定的数据权利促进数据交易价值的实现,不应简单站在用户立场只为了保护个人信息而对数据活动进行简单粗暴的限制。[24]
在当前企业数据规制规则缺失的情况下,企业数据赋权说的确可以解决竞争企业间数据爬取、恶意删库、撞库攻击等问题,但在用户信息权利保障制度缺失的情况下对企业进行数据赋权,并无法证明其负面影响可控。同时,赋予企业以数据为标的的支配权会与现行法律中保护信息基础权利的法律存在不可调和的冲突,并非最佳选择。数据财产权能否成为一种独立的财产权,并非取决于为获取数据投入的劳动的多少与单纯的经济性分析。对此,已有学者针对“财产权赋权说”的弊端提出“数据所有权+用益权”的制度安排,从权利配置的角度论述对企业数据权利的限制方式。[25]
(二)企业数据权利与用户信息权利的区分
随着国家对用户信息流动监管的加强,对用户信息数据库使用、交易、共享的规制更多体现出行政法的特征,客体范围也不再局限于个人信息一种。因此,对企业数据权利与用户信息权利的讨论应当转向更宏观的角度,即包含个人信息、商业秘密、隐私权、知识产权的广义数据权利配置问题。
网络环境具有匿名性特点,故无论是自然人、法人还是其他类型的社会组织,若无事前确认,其外显均为“用户”这一抽象身份,与存储其数据的数据企业相对应。[26]所谓用户信息权利,指用户对存入或即将存入数据企业数据库的信息享有的民事权利。立法上,我国采取的方式是将自然人的个人信息权利独立出来,以《民法典》第条为核心,适用《民法典》中个人信息保护相关民事规则与即将出台的《个人信息保护法》等法律。虽然立法对个人信息进行了单独规定,但并不能认为用户信息仅包含个人信息一种。其他信息化的知识产权、商业秘密等民事权利同样属于用户信息权利的一部分,分别以相应的法律进行调整。但随着信息转化为数据存入企业数据库,数据企业实际控制了用户的数字化信息与信息背后的基础权利,使得企业实际具备了任意调用、共享这部分数据并将数据还原的可能,威胁到了用户信息基础权利的安全。对此,我国现行法律暂时没有提供直接的制度保障与明确规则指引。
表1 用户信息权利与企业数据权利的请求权基础
如上文所述,个人信息立法与一些企业数据立法中“信息”与“数据”的内涵高度重合,其前提在于主体同一性的预设,即对于同一主体而言,信息与数据的含义等同。在个人信息立法中,信息与数据混用的弊端并不突出。一旦信息进入企业数据处理环节,则情况将会变得完全不同。首先,企业获得的数据与信息并不具有必然的同一性。企业收集或接收信息后,将信息转化为数据存储,信息权利一般不因数据交换行为而产生权利变动,数据则作为生产要素成为企业的“财产”。其次,数据与信息的内涵完全不同。信息更多地体现为信息的实体价值,包括个人信息权益、知识产权、商业秘密等;数据则更多地体现为信息的集合价值,即作为计算机可识别数据库本身的价值,或者说属于为学界所广泛讨论的“数据库权利”所保护的内容。最后,信息与数据所处的概念层面不同。我国法律并未对信息进行直接规定。信息一般指音讯、消息,泛指人类社会传播的一切内容,侧重于内涵;[27]数据指进行各种统计、计算、科学研究或技术设计等所依据的数值,侧重于形式。[28]在数据安全背景下,数据只是信息的一种体现方式,而非脱离信息的存在。二者在具体的指代上存在概念上的区分,但在二者指代的法律客体上毫无疑问是关联甚至一致的。
因此,基于上述区分,用户信息权利属于用户的基础权利在信息层面的请求权集合。对于用户而言,信息内涵的基础权利是其
(三)企业数据权利作为财产权的独立性研判
通过对企业数据权利与用户信息(基础)权利的分析可知,二者虽然所处价值层面不同,但在其实际指代的客体上并不可分。在前述认定企业对所持有数据享有财产权的论述依据中,最为重要的依据为洛克财产权产生理论,其决定企业数据财产权的类型与用户信息权利的关系。洛克强调,个人取得财产权的依据是通过劳动使特定对象脱离自然状态,[30]但这一点似乎在用户信息向企业数据转化的过程中并不存在。首先,用户信息中的知识产权对象与商业秘密等经过用户加工的信息实际上已经脱离了自然状态。其次,在最贴近自然状态的个人信息当中,向企业提供信息的绝大部分信息提供者已经充分意识到其已将自己的信息“加工”为商品提供给企业,即信息脱离自然状态的步骤已经通过用户的劳动转化,哪怕仅仅只是动动手指。就算信息提供者的真实意愿不可考,也不可以违反法律对个人信息的保护规则而对其加以否定。最后,洛克财产权理论产生于17世纪欧洲殖民时期,其时代特点决定学说对财产原始取得方式合法性认定较为宽松。洛克此处所指之自然状态,应当为可以成为权利客体的对象的自然状态,为原始取得的法理表述,其对象当然不能包括涉及人格尊严的个人信息。
综上所述,企业数据财产权必然不会是一种具有支配性、排他性的所有权,而应当是一种通过合同取得的、基于用户信息数据权利的授权下的使用权,即企业数据权利来源于基于信息权利的授权,被授权方仅拥有由信息所代表的基础权利衍生出的数据使用权利,其范围取决于合同约定,并不对转化为数据的基础权利享有任何不受限的可支配性权利。这与用户对信息的权利是截然不同的。在我国法律、法规、规章的制定过程中,国家对企业数据安全与流通的监管力度不断加强,企业对其持有的用户数据实际上已无法实现自由支配。在这一背景下,设置企业数据财产权已无较大意义。[31]因此,在民事规则的制定上,应当采用责任规则的方法,对数据流动设置以企业数据安全保护义务为主的规则,兼顾企业数据的生产价值与作为用户信息内容的用户基础权利的财产价值,避免与公法相冲突。
三、从财产规则设计向责任规则设计转变
长期以来,对于企业数据财产权与用户信息权利配置的讨论已陷于泥淖之中,法律环境与事实环境的变化使得“赋权说”制度探索的可行性不断降低。依照美国学者卡拉布雷西与梅拉米德对法律规则的概括,法律规则不仅包括财产规则,也包含为弥补无法达成协议而造成无效率权利配置的责任规则,[32]即让企业对用户信息权利承担安全保护义务,从而兼顾数据价值实现与用户信息权利保护。企业对所持有数据的安全保护义务在《网络安全法》与《数据安全法》中已有规定,但尚需解决其在私法中适用的问题。
(一)企业数据安全保护公法义务的范围
我国对用户信息权利与企业数据权利的规范性法律文件的制定呈现出行政责任为主、民事责任为辅的特点,相应的民事规则没有专门规定,在《数据安全法》生效前尚需通过《网络安全法》实现。《网络安全法》为保护用户数据安全设置的企业义务主要体现在第21条:其一,人员管理义务,即制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;其二,技术防范义务,即采用技术措施防范计算机病毒和网络攻击、网络侵入等危害网络安全的行为;其三,可追溯性保证义务,即采取监测、记录网络运行状态、网络安全事件的技术措施,并留存相关的网络日志不少于6个月;其四,分类管控义务,即采用数据分类,区分一般、重要及敏感数据的不同内控措施;其五,防灾义务,即采用冗余设计,备份重要数据;其六,加密义务,即采用加密措施,防止未经授权的访问。新制定的《数据安全法》也基本承袭了《网络安全法》对数据安全保护义务的设计,并增加了数据来源确认义务。以上义务的核心在于防止企业数据泄露的发生以及数据泄露的事后补救。《网络安全法》《数据安全法》虽然分别在第74条和第52条肯定了相关条文的私法适用性,但因《网络安全法》与《数据安全法》并未说明数据与相关民事主体的关系,也未涉及具体的民事过错认定标准,故无法直接通过这两部法律对数据泄露导致的用户损害进行民事救济。学理上对企业数据财产权的讨论,更在一定程度上减少了用户通过私法救济的可能。同时,虽然《民法典》在条规定了信息处理者对个人信息的安全保障义务,但其规定较为保守,仅包含采取补救措施与向主管部门报告的义务,且仅限于个人信息一类客体,亦无法对数据安全保护提供完整的制度参考。因此,尚需寻找可以普遍适用的民事规则,将《网络安全法》《数据安全法》的具体规则作为特定民事法律条文的解释依据使其得以被适用,起到在私法层面保护用户信息权利的作用。
(二)企业对用户信息权利承担安全保护义务的民法适用依据
在《网络安全法》与《数据安全法》中,已经有较为清晰的企业数据安全保护义务框架。在当前民事立法背景下,援引其他法律规定的情形有两种:其一,作为诚信原则的延伸或合同的明确要求,企业在收集、存储用户信息的同时需要提供合格的信息存储与调用系统,《网络安全法》与《数据安全法》中的具体规定可以作为相关合同条款的解释依据,基于合同法律关系被援引。其二,企业数据安全保护义务可以作为判断企业是否违反《民法典》第条的具体标准,在侵权法律关系中被援引。[33]二者的区别在于是否存在以用户信息为标的的合同。前者的适用仅涉及对合同的解读,并不需要对法律进行解释,后者能否适用的核心问题就是民事安全保障义务能否适用于数据库的判断。
安全保障义务的义务主体范围被定义为“经营场所、公共场所的经营者、组织者”,一般基于以下四种原因产生:一是维持某种交通或交往,二是保有作为危险源的物,三是先行行为导致危险的情形,四是从事一定营业或职业。[34]在司法实践中,对“经营场所”的认定一般采用开放性原则,如在年全国首例“人肉搜索”案中,对于网民基于网上博客信息而对特定人及其家庭和住所进行侵扰的行为,北京市朝阳区人民法院认为网络服务提供者应当就以上危险对网络用户负有安全保障义务。[35]与此类似,在年何小飞等与北京密境和风科技有限公司网络侵权责任纠纷案中,何小飞之子吴永宁在攀爬长沙某大厦时失手坠落身亡,北京互联网法院认定花椒直播平台应当尽到安全保障义务。[36]因此,将网络环境作为公共、经营场所的认定已不存在体系障碍。
在企业违反安保义务的认定上,例如通过“撞库”等手段获取用户账号密码并窃取账号内财产权益的行为中数据库持有者是否应当承担责任的认定,因账号类型的不同而在实践中存在不同的过错认定标准。在年招商银行股份有限公司上海泰兴支行与邱皓天储蓄存款合同纠纷中,一审原告因遭“撞库”攻击银行账号被盗,造成经济损失,上海金融法院对于银行基于《服务协议》主张原告未按约定设置独立密码而不承担责任的观点未予支持,判决银行承担责任。[37]而在年丹阳西甸神果眼镜贸易有限公司与杭州元畴科技有限公司、浙江天猫网络有限公司侵权责任纠纷中,原告将账号外借给天猫推荐的运营公司而被盗,[38]杭州市拱墅区人民法院认为用户违反《服务协议》外借账号,天猫已尽到安全保障义务。可见,在数据安全保护义务的设置上,同样应当依照用户数据信息的基础权利不同而采用不同的过错认定标准,实现个案公正。
四、企业数据权利与用户信息权利的协调
(一)明确企业数据权利与用户信息权利的关系
如前所述,企业对用户数据的财产权利来自于用户在其信息权利上的授权,其权利来源为用户对企业的授权行为。企业在收集用户信息时,基于法无禁止即自由的基本规则,常常试图通过格式合同谋取不受限制的信息使用授权,使得大量用户信息(数据)被存储于企业数据库中。目前,绝大部分企业通过合同收集用户信息的目的在合同文本层面体现为专注实现信息权利中的数据价值,对于信息的实体价值并不关心。若用户仅基于数据层面而非信息基础权利层面的价值交换而与企业签订数据流转合同,则应当将企业数据权利视为用户基于其信息权利对企业数据应用层面的授权,而非一种独立于用户信息基础权利之外的、具有支配性的财产权,再考虑到信息基于数据整体转移的前提,企业对其管理、控制空间内占有的用户信息应当负有安全保护义务。
(二)明确企业对用户的民事数据安全保护义务与法律责任
企业数据安全保护义务的设置并非旨在限制企业数据正常、合法流动,而在于用户权益保护。企业通过合法方式取得用户对数据流动(使用、共享、交易)的授权,当然可以在授权下自由行使权利。而在一般情况下,这种授权即美国学者霍菲尔德权利分析理论中的特权(Privilege)与豁免(Immunity),企业并没有对用户的信息权利的所有权(Claim),仅在对用户的所有权(Claim)产生侵害的时候承担责任。[39]只要企业不违反该义务,依然可以对其持有的数据享有“法无禁止即可为”的权益。至于这一权益如何分配,更多属于商业问题,可以交由市场调整。[40]数据作为生产要素,其价值实现的主要方式即收集、处理与共享,但仅从权利配置的经济分析出发难免导致与法律体系中已被确定的权利产生冲突。通过设置企业数据安全保护义务,可以在不阻碍企业数据正常流动的前提下保护用户的合法权益,通过司法实践进一步勾画出企业数据民事权利的轮廓。
如前文所述,企业对用户的数据安全保护义务的具体内容在法律上已有规定,且可以作为企业对用户信息的安全保障义务的具体解释适用于民事法律纠纷当中。在违反该义务的责任承担上,应当依照《民法典》第条承担侵权责任。在责任的承担方式上,因损害已经发生,应当以赔偿损失与消除危险为主。在损害赔偿责任的确定上,《个人信息保护法(二审稿)》第68条第2款给出了“依照个人所受损害”与“信息处理者获益”两种确定方式,可以推而广之适用于所有用户信息权利的保护。[41]既然用户信息权利包含授权给企业的数据权利,在企业违反数据安全保护义务(安全保障义务)时,实际被侵害的就是用户信息权利而非授权给企业的数据权利。在上述两种责任确定方式中,第一种方式为对实际侵权损害的计算,而第二种方式仅为对数据权利损害的计算。因此,在这两种计算方式的关系上,应当以第一种计算为主,第二种计算方式为第一种方式兜底,在用户实际损害无法举证时提供最低限度的救济。信息处理者的获益,可以采用“特定产品销售额÷用户数量”等与案件实际情况契合的方式计算。[42]
(三)完善企业违反数据安全保护义务的认定标准
在构成企业数据安全保护义务规则体系的《数据安全法》第27条至第36条、[43]《个人信息保护法(二审稿)》第51条中,[44]除“网络日志留存不少于6个月”“去标识化”规定较为明确外,对网络运营者、个人信息处理者尽到保护用户数据的管理、技术措施的认定标准(即《网络安全法》第21条第1、2、4项,《个人信息保护法(二审稿)》第51条第1-5项)并未进行具体规定。判断企业是否违反数据安全保护义务的标准尚需进一步明确。
在法律缺乏具体规定时,行业标准常常起到重要的补充作用。在数据安全的管理、技术等方面,目前已存在一系列被国内、国际广泛认可的行业标准,并由权威机构对符合标准的企业进行认证。在判例方面,汉德(LearnedHand)法官在美国政府诉卡罗尔拖轮公司案中提出的汉德公式也被作为判断侵权中是否存在过失的具体标准而被学界广泛接受。[45]因此,笔者认为在企业是否违反数据安全保障义务的具体认定标准上,可以以是否取得行业技术、管理标准的认证作为认定标准:已取得管理标准(如ISO、GB/T)、技术标准(如GB/T)认证,且满足法律对去标识化、信息留存时间等其他要求的,应当视为尽到数据安全保护义务;未取得或未完全取得认证的,则可以依照汉德公式(BPL)确定企业是否违反数据安全保护义务,即企业防范潜在数据侵权的成本(B)投入大于数据侵权的可能性(P)与数据侵权损害(L)的乘积时视为企业尽到数据安全保护义务,反之则视为未尽到数据安全保护义务。在该公式中,损害可以由用户举证加以确定,防范潜在数据侵权的成本可以通过企业数据安全投入除以总用户数确定,损害可能性则可以基于特定企业当年的用户数据总量除以泄露数据总量加以确定。
北京大学法学院教授、博士生导师王成点评:
在目前的民事立法中,对于用户信息权益的保护规则尚无明确的规定。碍于用户请求权基础不明确、诉讼成本较高等问题,用户信息权益救济的案例并不常见,加之学界对企业数据财产权的讨论,都使得企业数据权益的保护与用户信息权益的保护产生了一定冲突。该论文从数据与信息的基本概念区分出发,指出了我国立法中因术语界定不清导致的数据权益与信息权益关系不明的问题,并通过对用户信息权益与企业数据权益的关系梳理,提出了以《民法典》第条安全保障义务调整用户信息权益与企业数据权益边界的方案。
文章第一部分对立法中的信息、数据概念进行溯源,指出信息、数据并不严格等同,并提出了通过“三重授权原则”仅能有效保护企业数据权益而无法有效保护用户信息权益的缺陷,敏锐地提出了问题。文章第二部分对引起广泛讨论的设立企业数据财产权的观点进行了简要评述,并指出企业数据财产权源自用户对企业的授权,不能构成一项独立的权利。在这一部分对企业数据财产权的独立性讨论中,作者的论述较为充分,可以支撑其观点。文章第三部分对我国互联网立法、行业规范中的数据安全保护义务内容与民法中安全保障义务的司法实践进行了评述,指出《民法典》第条可以适用于数据泄露、授权外共享等情形。在这一部分中,作者的观点较为新颖。当前互联网迅速发展,传统的“通知—删除”规则适用面较窄,常常无法有效救济互联网用户权益。通过司法实践经验的佐证,扩大安全保障义务主体的范围恰恰可以填补这一空白。文章第四部分围绕企业对用户的安全保障义务(即数据安全保护义务),对协调企业数据权益与用户信息权益的具体方式依照《个人信息保护法(二审稿)》与汉德公式进行了制度设计,为未来可能出现的数据纠纷提供了具体的解决方法。
随着《数据安全法》的颁布,数据安全保护义务已在我国立法中得以确定,但相关民事规则依然有待完善。总体而言,论文在民法框架内为用户信息权益救济提供了一种可行的解决方案,具备较强的创新性与实践价值。
[1]年全球数据安全产业的市场规模低于40亿美元。参见中国通信研究院:《中国网络安全产业白皮书(年)》,