數據跨境流動背景下數據隱私的界定及其性質歸屬識別

馬 力

（上海政法學院 上海 201700）

一、概述數據跨境流動背景下的數據隱私

傳統隱私權發展到數據隱私的過程，是信息技術不斷發展的結果。信息技術的發展加速了數據的跨境流動，從而使得信息和數據的流動性大大增強。我們對傳統的隱私權的界定顯然不能滿足當前對數據隱私的定義和保護。同時，不同國家或地區對數據隱私權的認識、利用程度以及數據流動程度等差異的存在，導致對數據隱私的界定和保護也不同。

（一）從傳統隱私到數據隱私

1.傳統隱私及隱私權發展變化

中國古代有句俗語：“倉廩實而知禮節，衣食足而知榮辱?！边@恰恰反映出傳統隱私在社會物質基礎不斷發展的同時，其具體內涵和程度也會隨之改變。在傳統的農業社會以及早期工業社會中，信息傳播比較閉塞，傳統的隱私一般即為與個人有親密關系的人或事物等相關信息，信息傳播范圍也僅限于“社區傳播”。在此種情形下，隱私信息被他人知悉或流動傳播的范圍較小，信息的商業價值和利用價值低。很少會有個人或者組織會“入不敷出”地去利用、侵害這些隱私信息。相對來說，在這種背景下，隱私信息的被侵害程度較低，由此而產生的減少或避免他人侵害自己隱私、保護自己的隱私信息的隱私權，涵蓋面相對來說也比較窄。傳統的隱私權一般強調權利主體的獨處權，即個人在社會生活中擁有平靜地、不受他人侵犯的權利。這是一種消極防御的權利，更多強調了私人性，而忽視了社會價值。[1]隨著工業革命的推進，機器化大生產、大發展，其在很大程度上瓦解了傳統的社會結構并改變了社會生活方式，使人與人之間、不同地域之間的交流更加緊密。隱私權作為一種可以利用和獲取商業價值的信息，在流動、交換、創造經濟價值的過程中，使利用和交換的個人或組織獲得十分可觀的經濟利益。這使得隱私信息權被侵犯的可能性就越大。與這一社會環境變化相對應，國外理論界又以產權理論、隱私的合理期待理論以及隱私經濟學理論等對隱私信息權展開研究——強調個人隱私信息進入社會或者某些機構之后，不是一味地強調保護，而是要求這些機構承擔起控制這些信息合理使用的責任。這樣既能保護個人隱私信息，又能促進信息流動、發展市場經濟。這些理論對隱私信息進行了不同性質的界定，與之相應的，不同理論下對隱私信息權的保護和控制力度也不同。這些關于隱私權的理論，體現出傳統隱私的發展變化過程，各有利弊，在此不作評述。

2.數據跨境流動背景下隱私的新發展

在數據跨境流動的大背景下，個人隱私信息處于一種更加快捷的流動狀態，各種信息層出不窮，數據隱私信息創造出與之相應的經濟價值。這種經濟效應一方面可以帶動全球經濟的交流和發展；另一方面卻是為一些個人或者組織利用數據隱私信息謀取利益提供了物質基礎。數據隱私信息的傳播速度和范圍也遠遠超過傳統社會中隱私信息的傳播。數據隱私信息在廣泛傳播的同時，也會使某些人為了牟取不正當利益肆意竊取和出賣。在獲得與日俱增的經濟效益和數據隱私信息更易被侵害的雙重效果之下，學界對隱私信息的性質界定研究也發生了很大的變化。例如，歐盟將個人信息視為基本人權，賦予其優先保護的憲法意義；德國則認為數據隱私屬于一般人格權；美國的隱私權理論則更體現了從傳統社會到數據跨境流動背景之下的特點——從“個人獨處的權利”到公開權、從物理空間性隱私權到自治性隱私權、信息性隱私權等。[2]其中，美國學界和司法界一般采用信息控制理論來定義數據隱私信息，強調個人對自身信息的控制，其對隱私信息的保護相應地采用以部門立法為主、行業自律配合的方式。歐盟國家則采用統一、集中的立法模式。正是因為數據的跨境流動和信息技術的發展是基于不同國家或者地區的不同社會環境和司法環境，數據隱私在更加易于被收集和被披露，更加容易擴散到世界各個角落，被各式各樣的個人或組織利用、侵犯。同時，其性質的不同界定也會對保護數據隱私產生不同的影響。

（二）數據隱私的內涵和外延

鑒于數據高速流動和不同國家或地區對其性質的不同界定，數據隱私保護更加困難。因而，我們更加需要明確數據隱私的內涵和外延。

1.數據隱私的內涵

從廣義上來說，數據隱私可以被定義為自然人所能控制的個人數據信息。但由于不同國家或地區的文化傳統和習慣不同，加上對數據隱私的控制力度和利用程度不同，因而就產生了不同的數據隱私性質界定。比如，歐洲的法律用語中習慣稱“個人數據（personal data）”；美國、澳大利亞、新西蘭、新加坡、中國等國家，以及APEC、APPA、IAPP等地區或國際組織習慣使用“個人信息”（personal information）。[3]個人信息是個人隱私信息的上位概念，而在金融等一些特殊領域所提到的金融隱私則是數據隱私的一種。本文在此介紹的數據隱私即在數據跨境流動背景下包含各個領域（主要局限于私人領域）的個人數據信息、個人數據隱私等。

總的來說，數據隱私可以從兩個角度進行定義，一是從消費者角度，數據隱私是消費者在交易活動（尤其是數據跨境交易活動）中產生并與其本人相關的各種靜態和動態信息的集合；二是從企業和機構角度，數據隱私是指企業和機構在與自然人客戶發生業務往來（尤指發生跨境業務往來）時，基于其特殊主體或交易相對方的地位所了解、收集、使用、保存、加工的有關客戶信息情況。我們所處的時代是一個人人有終端、物物可傳感、處處可上網、時時在鏈接的自媒體時代，[4]在不同的場所或情境下，消費者本人（特別是網絡平臺的用戶）也會成為傳播或利用他人數據隱私信息的主體，以獲取私利。但以個人身份對數據隱私信息的侵犯程度顯然遠低于有組織的機構或企業，當企業利用數據挖掘和大數據技術獲取、分析、利用具有高度可識別性用戶畫像（user profile）[5]時，網絡平臺上的每個不起眼的用戶也都可能成為侵害數據隱私信息的一環。針對這兩種不同角色對數據隱私信息的利用和侵害，就需要制定不同的法律規則來保護數據隱私權利。比如，消費者個人作為受害者時，可以采用何種救濟措施，是否需要盡到事前注意義務以及義務程度如何確定；消費者個人作為侵害數據隱私權的一個環節時，應承擔何種責任以及平臺提供者或侵害數據隱私權的企業、機構該如何承擔其安全評估審查責任、監管責任等。這些保護規則的確定和施行都是以明確數據隱私的內涵為基礎的。

2.數據隱私的外延

數據隱私的外延除了實踐中對于數據隱私的分類之外，還應該探討數據隱私的范圍。1873年英國學者詹姆斯·弗吉姆斯·斯蒂芬在他的論著《自由、平等與博愛》中回應約翰·穆勒的《論自由》一文時運用較為簡潔的語言探討過隱私，他認為：“要界定隱私的范圍本質上是不可能的，但卻可以用一般言語加以描述。[6]數據隱私的范圍一般可以看做是侵犯數據隱私后能夠尋求救濟和保護的界限，雖然沒有明確的界定范圍，但可以通過實踐中的案例來大致劃定一個范圍，將類似數據信息納入數據隱私范圍。正如普芬多夫所認為的，“人性雖然具有自私和侵略性的一面，也有追求與他人交往，過和平社交生活的一面”。在大數據時代，人與人之間的社交很多都是通過數據信息完成的。因此，在劃定數據隱私保護的這個大致范圍時，我們必須充分考慮數據共享和數據隱私保護二者之間的平衡關系——不能因為劃定范圍過大，限制數據合理共享；也不能因為劃定范圍過小，使個人數據隱私處于易受侵害的境地。

二、數據隱私性質的歸屬識別

在明確了隱私權的發展變化以及數據隱私的內涵和外延后，要想充分保護數據隱私，我們還應該準確識別數據隱私的性質歸屬，以便確定數據隱私保護制度和方式。傳統意義上，“可識別性”是判定個人信息的核心標準；在數據跨境流動背景下，如何判斷數據隱私信息的“可識別性”需要根據不同的法域背景進行具體分析。

（一）歐美對數據隱私性質的歸屬識別

歐美信息技術起步較早，市場經濟發達，對于隱私的保護制度也比較先進，值得我國借鑒。在借鑒保護制度之前，我們首先應該準確識別數據隱私的性質，判斷該用何種方式和制度保護數據隱私，從而找出更加符合我國數據大環境的數據隱私保護制度。

1.大陸法系國家

歐洲國家將數據隱私稱為個人數據，大陸法系國家對隱私權的保護一般是基于人格尊嚴。比如，德國認為個人數據是個人能夠自我決定的人格尊嚴，采用獨處權的理論，將個人數據界定為私人秘密。這種界定一般與合法性無關，而只關注權利主體是否對某項權利具有主觀期待性。這種主觀期待性是一種合理期待，帶有較強的主觀色彩。因此，大陸法系國家尤其是歐盟國家在將數據隱私權看做是基本人權，并多采用人格權的保護模式保護數據隱私不受侵害時，采用的是集中、統一的立法模式。不論是將數據隱私歸為基本人權還是一般人格權，都強調對其的保護。

在此種保護模式下，更注重考量隱私權利主體的主觀意愿，能夠較為充分地顧及權利主體在自身隱私權利受到侵犯時采取何種程度的救濟意愿。采用統一的立法保護模式有利于加大數據隱私的保護力度，為數據隱私保護提供比較系統的、制度化的模式。然而，在發達的市場經濟和日漸復雜多變的數據跨境流動中，大數據日益成為一種新的經濟資產，這種保護模式從考慮權利主體的意愿出發，劃定統一的模式對數據隱私進行較為嚴格的保護，勢必會使得跨境數據流動和交易活動處于一種相對低效率的狀態，不利于數據跨境流動和數據經濟的發展。在一定程度上，采用這種不靈活的保護模式是與全球化經濟趨勢相背離的。

2.美國

美國市場開放程度更高，將數據隱私放置在市場環境內[7]，根據自由而進行識別和保護的。在這種識別中，其采用信息控制理論，將數據隱私納入財產權的保護范圍，采用更加靈活、更加高效率的保護模式保護數據隱私。由此看出，美國主導的“市場話語”(market discourse) 與歐盟主導的“權利話語”(rights talk)最大的區別在于，前者即使是在保護數據隱私的過程中，也更傾向于促進數據的跨境流動，強調從事數據跨境流動的企業或者組織進行產業自治。

這一識別方式相對于大陸法系的識別方式而言，范圍更加廣泛，靈活性和可行性更高，更有利于促進全球市場經濟的發展和數據跨境流動。但是，一味地強調高效率以及由非權利主體的其它經濟主體以經濟手段對數據隱私進行保護，會增加數據隱私的披露和非法利用風險。一些誠信度較低、沒有商業道德的經濟主體，還可能在權衡遵循數據隱私保護規則和披露數據隱私帶來的不同利益，在后者利益遠遠高于前者時，毫不猶豫地選擇披露、販賣數據隱私，而放棄對其保護。

3.歐美對數據隱私性質的不同識別產生原因

大陸法系國家傾向于將數據隱私視為基本權利和自由的一種，與此“權利話語”(rights talk)相關，作為法益承擔者的個人被設想為應受到法律保護的數據主體(data subjects)。美國傾向于將數據隱私視為市場利益的一種，與此“市場話語”（market discourse）有關，作為法益承擔者的個人被設想為應免受市場欺詐和不公平對待的隱私消費者(privacy consumers)。簡單來說，歐美兩個地域的傳統文化和習慣有很大的不同，以及在數據跨境流動的大背景下，兩個地域對跨境流動的數據利用程度不同，從而導致了他們對數據隱私的看法不同，產生不同的數據隱私性質識別和不同的保護制度。

（二）理論上對數據隱私性質的歸屬識別

通過上述歐美對數據隱私性質歸屬不同的識別，我們也能總結出理論上對其是如何識別的——將數據隱私的性質識別為財產權或準財產權以及人格權。

1.將數據隱私識別為財產權或準財產權

這種識別一般認為數據隱私是個人或者其他組織、機構可以隨意處置的財產權或準財產權。這種識別強調數據隱私的可流轉性和共享性，并將其當做財產或準財產保護，是有利于數據跨境流動、帶動全球化市場經濟發展的。然而，這種識別方式卻在個人數據隱私保護上處于劣勢地位，雖然規定了相對比較明確的保護制度，但容易因過度的數據流動和共享增加對數據隱私的侵害。

理論上，將數據隱私性質的識別為準財產權則強調了數據隱私本身存在的利益性，將數據隱私的私人利益性和社會利益性納入考慮范圍，認為其是具有財產性價值的具體人格權。這種認定雖然不能完全將數據隱私歸入財產權范圍，但可以賦予其準財產權的性質，參照財產權保護的方式保護數據隱私。

2.將數據隱私識別為人格權

這種識別認為數據隱私是不能隨意處置的人格權或人格權的一部分，體現在保護制度上就是一種比較抽象和寬泛的模式。特別注意的是，數據隱私因為具有識別性和私密性，一旦被披露和侵犯不僅會對權利主體造成財產上的損害，更會造成精神上的損害。因此，數據隱私具有精神性人格權的特征。這種識別方式相對于第一種方式具有開放性和模糊性，以此為理論基礎進行數據隱私保護時，能夠考慮到侵權行為造成的精神損害，相對于權利主體而言，是一種更加合理的保護方式。然而，這種識別方式在確定保護模式時，通常采用統一的模式，對數據隱私進行集中保護，在很大程度上會使得參與市場經濟或數據跨境流動的機構、組織承擔更大的責任，不利于數據共享和經濟市場的發展。

3.借鑒知識產權制度識別數據隱私

一部分學者認為，既然數據隱私既體現財產權或準財產權的特征，又在很大程度上具有人格權的性質，這與知識產權兼具財產性質和人格權性質相類似，那么，何不借鑒知識產權的保護制度對數據隱私加以保護？或者將數據隱私納入知識產權的保護范圍呢？

但是，數據隱私雖然在表面上與知識產權相類似，其在深層次上相較于知識產權，卻具有更多的復雜性和虛擬性。數據跨境流動和跨境交易的信息交互性和復雜性，使得數據隱私從產生之處就是一種復雜和虛擬的信息。它無色無味沒有實體，在傳播交互過程中一般很難引起其權利主體的注意，因此保護難度也更大。如果將數據隱私識別為知識產權，那么在取證過程中也會產生很大困難，監管力度也遠遠不夠，不利于對數據隱私的保護。

三、我國應如何界定數據隱私及其性質歸屬識別

在我國特殊的社會主義市場經濟和數據跨境流動的大背景下，如何界定數據隱私、準確識別其性質歸屬更加成為我國合理、全面、有效保護數據隱私的前提條件和理論基礎。本部分將簡單介紹一下我國在此方面的缺陷，并提出一些借鑒和完善建議。

（一）我國數據隱私基本制度存在的缺陷

我國對于數據隱私的界定及其性質識別一般應從數據隱私的相關基本制度中找尋。然而，我國目前并沒有一部從確權的角度保護人們的個人信息、促進合法的個人信息處理活動的法律制度。[8]這一缺陷使得我們無法獲得相關法律依據來判斷數據隱私的基本概念界定及性質識別。然而，在瞬息萬變的信息時代，數據隱私保護又十分重要，我們只能從目前我國制定的《網絡安全法》和正在制定的《個人信息保護法》等法律法規、條例中探究。

從數據隱私信息的上位概念——個人隱私信息來看，我國的相關法律法規，如2012年全國人大常委會通過了《關于加強網絡信息保護的決定》，確立了個人信息收集使用的規則，以及網絡服務提供者保護個人信息安全的義務等基本規范。2013年修改了消費者權益保護法，對消費者個人信息的保護做了專門的規定。2009年和2015年分別通過了刑法修正案(七)和修正案(九)，專門增加了出售或者非法提供、非法獲取公民個人信息的犯罪。2016年通過了《網絡安全法》，進一步充實和完善了收集使用個人信息的規則以及網絡運營者保護個人信息的義務和責任。值得一提的是，《網絡安全法》確立了個人信息保護的保密原則，合法、正當和必要原則以及內容審查原則。在數據跨境流動背景下，盡管《網絡安全法》建立起中國特色的“安全話語”，但主要限于國家安全例外、公共道德和公共秩序例外，與個人數據隱私保護問題無直接關聯。[9]簡而言之，這部法律是基于國家或集體的立場，強調公權力對侵犯數據隱私信息的監管、審查和保護，個人權利受到侵害時，也需要尋求公權力的救濟，而不能或很少依靠產業自我管理和調節。2017年通過的民法總則也將個人信息受法律保護作為一項重要的民事權利予以規定。當時正在審議的民法典人格權編草案專門設立了隱私權和個人信息保護一章，其對個人信息受法律保護的權利內容及其行使做了規定。從上述對我國相關法律法規的介紹可以看出，我國除民法典草案人格權編外，目前對個人隱私信息的規定和保護多散見于上述特別法中，沒有統一的立法模式。

（二）借鑒和幾點完善建議

前文關于歐美和理論上對數據隱私的界定及其性質識別為我們提供了一個較為明晰和合理的框架。下文結合我國特殊的國情，提出以下幾點完善建議。

1.采用財產權和人格權的雙重性質識別

數據隱私的價值和利益在于，它能夠在交易活動對象之間重新分配福利。一項數據隱私信息原本當然屬于權利主體的專屬，一旦進入到社會生活和數據跨境流動過程中，它就成為了權利主體的一項，可以帶來經濟利益的財產權或準財產權。但是，如果僅僅將數據隱私識別為財產權或準財產權，往往會忽視對數據隱私所承載的人格權和精神價值，就會導致對其保護不全面、不合理。因此，我們在識別數據隱私的性質時，最好的做法就是將財產權和人格權加以結合，綜合利用二者的保護制度保護數據隱私。

2.立足于中國特色語境和社群

歐美不同的界定和識別方式正是基于他們不同的文化和傳統背景，我們在界定和識別數據隱私時，也應充分考慮中國特色的語境與社群。[10]我國特殊的社會主義市場經濟在強調促進市場發展的同時，比歐洲國家更加注重對個人數據隱私的保護。因此，基于這一語境和社群，我們在界定和識別數據隱私時還需要將人文主義、以人為本等核心理念納入其中，形成具有中國特色的界定和識別方式。

3.形成統一的立法模式

前文提到民法典人格權編草案專門設立了隱私權和個人信息保護一章，其對個人信息受法律保護的權利內容及其行使做了規定。民法典的通過是我國逐漸形成以統一的立法模式進行個人信息、數據隱私的保護的重要節點。

四、結束語

大數據時代，數據跨境流動成為常態，數據隱私保護也成為我們必須關注的問題。要想確定采用何種模式保護數據隱私，我們首先需要準確界定數據隱私及其性質歸屬。在理論上和實踐中對數據隱私的界定及性質歸屬識別都為中國形成特色的識別方式提供了借鑒。