劉 璐

(中國社會(huì)科學(xué)院研究生院 法學(xué)系，北京 102488)

當(dāng)今社會(huì)正處于社交、科研、生活無不依賴于大數(shù)據(jù)的信息化時(shí)代。隨著信息網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，每個(gè)人的行為痕跡都會(huì)主動(dòng)或被動(dòng)地暴露在“陽光”下，信息共享成為了必然。海量網(wǎng)民信息整合再利用已然成為一個(gè)企業(yè)①的直接財(cái)富乃至成為其創(chuàng)新性的核心競(jìng)爭(zhēng)力。但企業(yè)大量信息的搜集分析再利用使得信息濫用、信息泄露等問題時(shí)常發(fā)生，嚴(yán)重時(shí)會(huì)侵害個(gè)人權(quán)益、尊嚴(yán)和自由，甚至造成人身和財(cái)產(chǎn)的損害。由此可見，個(gè)人信息保護(hù)與企業(yè)使用的平衡問題，是大數(shù)據(jù)時(shí)代的一大難題。本文即在分析個(gè)人信息的特殊屬性基礎(chǔ)上，探討目前企業(yè)使用個(gè)人信息與個(gè)人信息保護(hù)之間存在的沖突及解決措施。

一、大數(shù)據(jù)時(shí)代個(gè)人信息的特殊屬性

(一)個(gè)人信息的公共屬性

“在關(guān)于個(gè)人信息保護(hù)的法律法規(guī)形成和實(shí)施過程中，信息主體對(duì)個(gè)人信息收集、使用的控制與信息控制人最大可能地自由使用個(gè)人信息之間一直存在沖突?！盵1]雖然一些發(fā)達(dá)國家在立法中都比較重視個(gè)人信息的流通利用，但是因?yàn)樽钤绲膫€(gè)人信息保護(hù)與個(gè)人的人格尊嚴(yán)密不可分，本著對(duì)個(gè)人尊嚴(yán)的維護(hù)，應(yīng)該允許個(gè)人對(duì)他人有所隱瞞，只有當(dāng)個(gè)人可以支配其個(gè)人信息時(shí)，其人格才可能自由發(fā)展[2]。這一傳統(tǒng)理論過分強(qiáng)調(diào)了個(gè)人信息的私人屬性，將個(gè)人信息劃為私人產(chǎn)品，導(dǎo)致個(gè)人信息應(yīng)當(dāng)由個(gè)人控制的觀念根深蒂固。但普林斯教授認(rèn)為：“目前個(gè)人數(shù)據(jù)在定義上，幾乎被視為公共領(lǐng)域的組成部分，是可以廣泛獲得和使用的。無論從實(shí)踐還是從法律目的上，個(gè)人數(shù)據(jù)均處于公共領(lǐng)域?！盵3]德國“人口普查案”曾提出信息自決權(quán)概念，在其判決書中也可以尋找到傳統(tǒng)個(gè)人信息保護(hù)理念的痕跡，該案雖認(rèn)識(shí)到個(gè)人享有個(gè)人信息自治權(quán)和自決權(quán)，但判決書中明確表示個(gè)人對(duì)個(gè)人信息并不享有絕對(duì)的支配權(quán)。個(gè)人信息保護(hù)仍然要受比例原則的限制[4]，也就是說目前個(gè)人信息的傳統(tǒng)理論在不斷轉(zhuǎn)變，對(duì)個(gè)人信息的認(rèn)知逐漸從私人產(chǎn)品轉(zhuǎn)變?yōu)闇?zhǔn)公共產(chǎn)品，以滿足社會(huì)的公益需求及政府調(diào)節(jié)下的市場(chǎng)需求。

以社會(huì)需求為劃分標(biāo)準(zhǔn)，可以將所有產(chǎn)品分為公共產(chǎn)品、私人產(chǎn)品、準(zhǔn)公共產(chǎn)品。著名經(jīng)濟(jì)學(xué)家薩繆爾森于1954年、1955年相繼發(fā)表兩篇論文來論證什么是公共產(chǎn)品后理論界基本達(dá)成共識(shí)，公共產(chǎn)品是具有消費(fèi)的非排他性和非競(jìng)爭(zhēng)性等特征的產(chǎn)品[5]。私人產(chǎn)品與之相反具有排他性和競(jìng)爭(zhēng)性。而人們最常面對(duì)的是介于兩者中間形態(tài)的準(zhǔn)公共產(chǎn)品，同時(shí)具有私人屬性與公共屬性，是私人產(chǎn)品被賦予公共屬性的一種特殊體現(xiàn)。準(zhǔn)公共產(chǎn)品的存在是由于產(chǎn)品消費(fèi)越來越屬于或接近于社會(huì)的公益目標(biāo)，②大量的市場(chǎng)需求下越來越多的私人產(chǎn)品被賦予公共屬性而成為準(zhǔn)公共產(chǎn)品，同時(shí)也是政府干預(yù)校正市場(chǎng)的結(jié)果之一[6]。

公益性與排他性是私人產(chǎn)品向準(zhǔn)公共產(chǎn)品轉(zhuǎn)換的重要依據(jù)。兼具公益性與排他性的個(gè)人信息是市場(chǎng)需求下轉(zhuǎn)變?yōu)闇?zhǔn)公共產(chǎn)品的典型代表。首先，個(gè)人信息由于其固有的人格權(quán)屬性，天然的具有排他性，但在社會(huì)與政府根據(jù)市場(chǎng)需求的調(diào)解下，部分個(gè)人信息被賦予社會(huì)性與公益性，在私人性與公共性之間劃分了邊界，雖然兩者之間的界限并不明顯，始終處于動(dòng)態(tài)的變化過程中，其公共性的強(qiáng)弱程度難以辨別，但并不影響個(gè)人信息具有公共屬性。其次，信息技術(shù)的革新使得“排他”技術(shù)的成本投入遠(yuǎn)超出其所帶來的收益，個(gè)人對(duì)個(gè)人信息的排他控制權(quán)在逐漸減弱。再次，個(gè)人信息的非競(jìng)爭(zhēng)性也隨著技術(shù)的發(fā)展慢慢凸顯，任何企業(yè)對(duì)個(gè)人信息的收集使用都不會(huì)影響到其他企業(yè)或個(gè)人對(duì)個(gè)人信息的消費(fèi)。同時(shí)，個(gè)人信息本身是由個(gè)人在生活中所衍生出的外延信息，并非所有的衍生信息都具有人格權(quán)屬性歸私人獨(dú)有，而法律所要保護(hù)的個(gè)人信息客體僅僅是個(gè)人的人格權(quán)不會(huì)受到侵害，而不是將個(gè)人信息作為個(gè)人所獨(dú)有的權(quán)利，進(jìn)行排他性的壟斷支配。如姓名權(quán)是識(shí)別一個(gè)人最直接的信息，也是人在社會(huì)生活中被標(biāo)識(shí)的基本符號(hào)，這就決定了姓名的公開性。而法律所要保護(hù)的法益是人格獨(dú)立與自由，所以個(gè)人對(duì)姓名享有的是正當(dāng)且自由的使用權(quán)而不是排他性的支配權(quán)，企業(yè)同樣可以在不侵犯人格權(quán)的前提下使用此姓名。

(二)個(gè)人信息的財(cái)產(chǎn)屬性

在推崇言論自由且網(wǎng)絡(luò)信息科技產(chǎn)業(yè)最為發(fā)達(dá)的美國，理論界認(rèn)為個(gè)人信息之所以受到保護(hù)，根本原因在于它具有財(cái)產(chǎn)屬性，可以視為財(cái)產(chǎn)權(quán)，即“個(gè)人對(duì)他們的個(gè)人信息擁有所有權(quán)，并且如同財(cái)產(chǎn)的所有人那樣，有權(quán)控制對(duì)其個(gè)人信息的任何使用”[7]。與此同時(shí)，美國企業(yè)界對(duì)保護(hù)數(shù)據(jù)財(cái)產(chǎn)權(quán)的呼聲也持續(xù)不斷，為此通過了一部《統(tǒng)一計(jì)算機(jī)信息交易法》正式確定個(gè)人信息為一項(xiàng)獨(dú)立的民事權(quán)利，而財(cái)產(chǎn)權(quán)是個(gè)人信息的客體[8]。雖然這部法律并未被所有州采納，但不少美國法院在公司收集整合信息時(shí)也會(huì)將信息視為一種財(cái)產(chǎn)，例如2001年的“DoubleClick案”便是法院將個(gè)人信息作為財(cái)產(chǎn)判例的典型代表。③處理個(gè)人數(shù)據(jù)的公司也越來越多的將其視為一種共識(shí)，公司從消費(fèi)者那里收集信息(通常作為商品或服務(wù)銷售過程中的交換條件)進(jìn)行加工處理，并將其出售給其他公司[9]。也就是說，個(gè)人信息不再只是受到人格權(quán)的保護(hù)更多時(shí)候應(yīng)當(dāng)作為一種商業(yè)化處分的財(cái)產(chǎn)利益保護(hù)。

盡管歐盟最新出臺(tái)的GDPR中對(duì)個(gè)人數(shù)據(jù)保護(hù)還是以人權(quán)理論為基礎(chǔ)并未使用任何財(cái)產(chǎn)術(shù)語，但雅各布·維克托(Jacob M.Victor)發(fā)表在《耶魯法律評(píng)論》上的一篇文章認(rèn)為，GDPR實(shí)際上是在個(gè)人數(shù)據(jù)中建立財(cái)產(chǎn)制度，其中對(duì)個(gè)人數(shù)據(jù)的規(guī)定有三個(gè)特征都可表明GDPR將個(gè)人數(shù)據(jù)視為一種財(cái)產(chǎn)[10]。首先，GDPR確立了數(shù)據(jù)主體擁有維護(hù)其個(gè)人信息的默認(rèn)權(quán)利，這些個(gè)人信息具有部分可轉(zhuǎn)讓性。第6條④對(duì)個(gè)人信息的處理分為兩種情況：其一，在通常有限的情況下，數(shù)據(jù)的處理和收集是合法的，且需要數(shù)據(jù)主體的明確“同意”；其二，在一些具體情況中，數(shù)據(jù)用戶有義務(wù)進(jìn)行數(shù)據(jù)處理，即使沒有數(shù)據(jù)主體的同意仍是合法的，但個(gè)人始終保持對(duì)數(shù)據(jù)的最終權(quán)利。其次，數(shù)據(jù)主體的權(quán)利造成“運(yùn)行”數(shù)據(jù)的負(fù)擔(dān)。GDPR將權(quán)利與責(zé)任置于數(shù)據(jù)本身，數(shù)據(jù)用戶無論是否經(jīng)過數(shù)據(jù)主體同意使用數(shù)據(jù)，都需要對(duì)數(shù)據(jù)承擔(dān)義務(wù)，不能隨意使用處分?jǐn)?shù)據(jù)。最后，數(shù)據(jù)主體可以尋求基于財(cái)產(chǎn)規(guī)則的補(bǔ)救措施。GDPR為數(shù)據(jù)主體提供了若干救濟(jì)途徑，數(shù)據(jù)主體可以向監(jiān)管機(jī)構(gòu)提出投訴也可以直接向法院提起訴訟[9]。從這三個(gè)特征來理解GDPR對(duì)數(shù)據(jù)的保護(hù)是從財(cái)產(chǎn)權(quán)角度出發(fā)具有很強(qiáng)的說服力。數(shù)據(jù)主體的默認(rèn)權(quán)利是個(gè)人對(duì)數(shù)據(jù)控制權(quán)強(qiáng)化的體現(xiàn)；對(duì)數(shù)據(jù)用戶的責(zé)任限制在于GDPR已將權(quán)利與責(zé)任內(nèi)置于數(shù)據(jù)本身；而財(cái)產(chǎn)規(guī)則的補(bǔ)救措施體現(xiàn)的也是財(cái)產(chǎn)規(guī)則而非責(zé)任規(guī)則[10]。

從經(jīng)濟(jì)學(xué)角度對(duì)“財(cái)產(chǎn)”的理解應(yīng)當(dāng)同時(shí)具備使用價(jià)值與交換價(jià)值。個(gè)人信息的財(cái)產(chǎn)屬性既不是物權(quán)中所規(guī)定的“物”的財(cái)產(chǎn)屬性，也不是民法中財(cái)產(chǎn)權(quán)所具有的財(cái)產(chǎn)屬性，而是將財(cái)產(chǎn)權(quán)抽象出來，只要與經(jīng)濟(jì)利益相關(guān)或者可以產(chǎn)生經(jīng)濟(jì)結(jié)果都可以被評(píng)價(jià)為法律中的財(cái)產(chǎn)屬性[11]。波斯納《法律的經(jīng)濟(jì)學(xué)分析》一書中將經(jīng)濟(jì)學(xué)的“財(cái)富最大化”理論轉(zhuǎn)變?yōu)榱朔傻闹匾獌r(jià)值[12]。這里的“財(cái)富”不是指具體的金錢交換，而是人們?cè)敢庵Ц妒裁磥碜鳛楹侠韺?duì)價(jià)(包括有形與無形的物)[13]。我國首個(gè)大數(shù)據(jù)交易所(貴陽交易所)在國家的支持與監(jiān)管體制下開展對(duì)數(shù)據(jù)定價(jià)、交易、支付等服務(wù)，并以價(jià)值200萬的數(shù)據(jù)信息作為對(duì)價(jià)換取輿訊科技15%的股份[14]。個(gè)人信息成為企業(yè)與企業(yè)等價(jià)交換時(shí)所付出的代價(jià)，以代替金錢產(chǎn)生財(cái)產(chǎn)價(jià)值，實(shí)現(xiàn)社會(huì)的“財(cái)富最大化”。股權(quán)作為《民法總則》125條所規(guī)定的民事權(quán)利，具有財(cái)產(chǎn)屬性，貴陽交易所以信息作為對(duì)價(jià)交換股權(quán)充分證明了信息的可交易性。⑤而信息既然可以作為交換對(duì)象代表其具有可轉(zhuǎn)移性。當(dāng)下全國各地都在成立數(shù)據(jù)交易所，從國家監(jiān)管層面頒布了《國務(wù)院關(guān)于印發(fā)促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要的通知》，在交易所自身層面也在制定各種交易規(guī)則促進(jìn)數(shù)據(jù)交易，無論從國家還是交易所自身的規(guī)定都將信息作為交換對(duì)象，其轉(zhuǎn)讓性不再成為問題。

二、大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)與企業(yè)使用之間的沖突

由于個(gè)人信息其特殊屬性的存在，使得個(gè)人信息在當(dāng)下被企業(yè)作為數(shù)據(jù)經(jīng)濟(jì)的“貨幣”廣泛使用，個(gè)人信息的商業(yè)化已成為大數(shù)據(jù)時(shí)代不可逆的新趨勢(shì)，但由此引發(fā)的個(gè)人信息權(quán)屬爭(zhēng)議、信息過度使用等問題接踵而來。

(一)個(gè)人信息權(quán)屬不明確

個(gè)人信息人格化的特征決定個(gè)人信息應(yīng)當(dāng)以信息主體控制為核心。雖然各國所規(guī)定的信息主體權(quán)利內(nèi)容有所不同，但其人格化特征決定了個(gè)人對(duì)個(gè)人信息享有初始支配地位[15]。但隨著傳統(tǒng)理論的轉(zhuǎn)變，個(gè)人信息已不再僅為私人所有，而是被賦予公共屬性。而當(dāng)前立法對(duì)于具有公共屬性的個(gè)人信息權(quán)利配置并未做出明確規(guī)定，例如2014年“朱燁訴北京百度網(wǎng)訊科技有限公司隱私權(quán)糾紛案”是國內(nèi)相關(guān)問題首個(gè)案例。百度未經(jīng)朱燁允許，利用跟蹤技術(shù)記錄其搜索的相關(guān)內(nèi)容并進(jìn)行廣告投放，該行為侵犯了朱燁的隱私權(quán)，對(duì)朱燁的生活和精神造成了極大的影響，因此，朱燁要求百度立即停止侵害并進(jìn)行損害賠償。但百度公司辯解稱網(wǎng)站首頁的“隱私權(quán)聲明保護(hù)”中已明確告知用戶使用cookie技術(shù)為用戶服務(wù)，充分地保障了用戶的知情權(quán)及選擇權(quán)。一審江蘇省南京市鼓樓區(qū)人民法院判決被告百度公司向原告朱燁賠禮道歉并賠償其公證費(fèi)1 000元。但二審法院裁定駁回了朱燁所有的訴訟請(qǐng)求[16]。同一個(gè)案子一審認(rèn)定其侵犯隱私權(quán)而二審認(rèn)為不侵犯隱私權(quán)，可見司法實(shí)踐中個(gè)人信息的權(quán)屬分配問題仍然存在爭(zhēng)議[17]。由此，使得企業(yè)在使用個(gè)人信息時(shí)權(quán)利歸屬出現(xiàn)“真空地帶”，企業(yè)不將個(gè)人信息權(quán)利歸屬視為個(gè)人所有，而是歸企業(yè)所有，導(dǎo)致隱私條款成為“霸王條款”。首先，在隱私條款的設(shè)計(jì)中，企業(yè)對(duì)個(gè)人信息的收集和使用不加以區(qū)分，采取統(tǒng)一授權(quán)。其次，隱私條款的同意授權(quán)是個(gè)人使用企業(yè)開發(fā)程序的前提條件，也就是說企業(yè)并未給個(gè)人在使用程序時(shí)充分的選擇權(quán)，而是將個(gè)人信息的收集使用權(quán)牢牢掌握在自己手里。再次，企業(yè)與企業(yè)間的信息共享也未經(jīng)用戶的再次授權(quán)，而是直接將企業(yè)收集到的信息默認(rèn)為權(quán)利歸屬于企業(yè)直接加以利用。這樣一來，信息主體對(duì)信息的控制權(quán)形同虛設(shè)，對(duì)于自己做出的信息決策也無法準(zhǔn)確判斷其將產(chǎn)生的不良影響。

由于個(gè)人與企業(yè)之間對(duì)信息的權(quán)利歸屬不明確，導(dǎo)致法律所規(guī)定的責(zé)任配置與現(xiàn)實(shí)偏差較大。在“主客體二元對(duì)立”的理論中強(qiáng)調(diào)信息自決權(quán)，其中便包括自主責(zé)任。根據(jù)法律的規(guī)定，“同意”是企業(yè)收集、使用和披露個(gè)人信息的前提，信息主體同意授權(quán)是信息自決權(quán)的直接表現(xiàn)，而理想狀態(tài)下信息主體在做出同意的決策前對(duì)風(fēng)險(xiǎn)應(yīng)當(dāng)有準(zhǔn)確的預(yù)估，進(jìn)而決定是否同意。法律給予了信息主體充足的自我保護(hù)空間，所以信息主體要承擔(dān)由自己做出信息決策所帶來的法律責(zé)任?，F(xiàn)實(shí)中，復(fù)雜的大數(shù)據(jù)框架與個(gè)人信息保護(hù)中簡(jiǎn)單的知情同意之間不是對(duì)稱關(guān)系。首先，信息主體對(duì)信息的控制是有限的，在有限的范圍內(nèi)由于個(gè)人的時(shí)間精力限制，企業(yè)追求運(yùn)營的時(shí)效性，導(dǎo)致信息主體對(duì)信息控制權(quán)在有限范圍內(nèi)還在不斷減弱。與此同時(shí)，企業(yè)憑借自身的優(yōu)勢(shì)地位加之法律規(guī)定的真空，迫使信息主體讓渡信息控制權(quán)，以此增強(qiáng)自己的信息控制權(quán)。

(二)企業(yè)對(duì)個(gè)人信息的過度使用

具有財(cái)產(chǎn)屬性的個(gè)人信息已然成為一個(gè)企業(yè)在數(shù)據(jù)經(jīng)濟(jì)中的核心競(jìng)爭(zhēng)力。企業(yè)大量收集分析并使用個(gè)人信息，將個(gè)人信息作為“貨幣”交易，同時(shí)建立自己的信息數(shù)據(jù)庫以便更準(zhǔn)更快地掌握用戶需求以此獲得更多的收益。企業(yè)使用的個(gè)人信息首先要進(jìn)行匿名化處理，使個(gè)人信息達(dá)到不具識(shí)別可能性的標(biāo)準(zhǔn)。匿名化的法律概念最早源于1995年歐盟《數(shù)據(jù)保護(hù)指令》，后在GDPR中進(jìn)一步明確：“匿名化”是指以某種方式處理個(gè)人數(shù)據(jù)，如果沒有其他信息，則無法識(shí)別數(shù)據(jù)主體的處理方式。企業(yè)為了保證關(guān)鍵數(shù)據(jù)的CIA(機(jī)密性、完整性、可用性)以及符合相關(guān)涉密信息的保密規(guī)定，有關(guān)數(shù)據(jù)在使用、傳輸前先要進(jìn)行脫敏，包括抹去與個(gè)人隱私相關(guān)的數(shù)據(jù)和進(jìn)行信息的匿名化處理等方式，使信息達(dá)到不具有可識(shí)別性且不能復(fù)原的條件。當(dāng)個(gè)人信息匿名化處理后，個(gè)人信息的人格權(quán)益與財(cái)產(chǎn)權(quán)益分離，匿名化信息只具有財(cái)產(chǎn)權(quán)益，數(shù)據(jù)控制者在維護(hù)數(shù)據(jù)主體個(gè)人信息權(quán)的前提下，獲得相關(guān)的數(shù)據(jù)財(cái)產(chǎn)權(quán)，以便充分保障人們的隱私[18]。但我們會(huì)發(fā)現(xiàn)即使企業(yè)進(jìn)行匿名化處理，但匿名化處理后的數(shù)據(jù)二次使用依據(jù)會(huì)通過大數(shù)據(jù)的信息整合分析將信息準(zhǔn)確鎖定到個(gè)人。如2006年美國在線(AOL)公布了大量的進(jìn)行匿名化處理過的舊數(shù)據(jù)——所有的數(shù)據(jù)都經(jīng)過精心的處理，用戶名稱、住址等信息都使用特殊符號(hào)代替，以便研究者可以從這些數(shù)據(jù)中發(fā)現(xiàn)更多規(guī)律服務(wù)于市場(chǎng)，盡管如此，《紐約時(shí)報(bào)》還是通過給出的相關(guān)數(shù)據(jù)確定了用戶的姓名及住址[19]，這一行為嚴(yán)重地侵犯了個(gè)人隱私權(quán)。

根據(jù)法律規(guī)定，企業(yè)不能超出所提供的服務(wù)范圍收集使用個(gè)人信息。但在現(xiàn)實(shí)操作中，企業(yè)通過軟件的開發(fā)投入使用，全方位的收集個(gè)人信息并建立信息數(shù)據(jù)庫，且不經(jīng)過任何匿名化處理便出售信息或與其他企業(yè)信息共享，導(dǎo)致信息濫用與信息泄露。此外，我國對(duì)于網(wǎng)絡(luò)安全等級(jí)保護(hù)規(guī)定，企業(yè)對(duì)于收集的個(gè)人信息應(yīng)當(dāng)區(qū)分一般信息與敏感信息分級(jí)保護(hù)，由于技術(shù)的限制很多企業(yè)還無法做到全方面的信息保護(hù)，使犯罪分子有機(jī)可乘，他們通過種植木馬等技術(shù)盜取企業(yè)收集的個(gè)人信息進(jìn)行信息詐騙，徐玉玉案⑥便是信息泄露下的典型悲劇。筆者選取了最高人民法院、最高人民檢察院、公安部及其他省份發(fā)布的侵犯公民個(gè)人信息犯罪的30個(gè)典型案例，在進(jìn)行歸納總結(jié)后發(fā)現(xiàn)個(gè)人信息的侵權(quán)大多是非法出售、信息竊取。

三、大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)與企業(yè)使用的衡平規(guī)制

卡拉布雷希與梅拉米德在論文《財(cái)產(chǎn)規(guī)則、責(zé)任規(guī)則與不可讓渡性：大教堂的一幅景觀》[20]中從法經(jīng)濟(jì)學(xué)角度提出了“卡—梅框架”分析體系。作者從兩方面闡述當(dāng)下法律所面臨的復(fù)雜問題：一方面是權(quán)屬分配問題既各當(dāng)事人之前相互發(fā)生沖突時(shí)，從經(jīng)濟(jì)效率、分配偏好以及其他司法考量應(yīng)該對(duì)哪一方權(quán)利進(jìn)行保護(hù)；另一方面是發(fā)生沖突后的權(quán)利救濟(jì)即分配后的權(quán)屬應(yīng)當(dāng)選擇哪種方式保護(hù)[21]。文中給出了三種解決路徑：一是財(cái)產(chǎn)規(guī)則(property rule)，希望其持有人中移除權(quán)利的人必須在自愿交易中從他那里購買權(quán)利，權(quán)利價(jià)值由賣方商定。一旦決定了最初的價(jià)值，國家就不會(huì)試圖決定其價(jià)值，將國家的干預(yù)降到最低。二是責(zé)任規(guī)則(liability rule)，“只要愿意支付一個(gè)客觀確定的價(jià)值，就可以消滅一個(gè)初始法益”[22]。也就是借助第三方公權(quán)力的幫助實(shí)現(xiàn)法律責(zé)任的承擔(dān)，不再遵從自愿原則，而是直接通過征用權(quán)進(jìn)行信息買斷，被剝奪者則具有賠償請(qǐng)求權(quán)，獲得法定定價(jià)。三是不可讓渡規(guī)則(inalienability rule)，一項(xiàng)權(quán)利如果不被法律允許自由交易，并以懲罰性方式實(shí)施[20]?！翱ā房蚣堋弊畲蟮奶攸c(diǎn)是打破了單純民法部門對(duì)于權(quán)利的保護(hù)和救濟(jì)，只要一項(xiàng)權(quán)益成為“法益”，國家就必須提供相應(yīng)的法律救濟(jì)，救濟(jì)途徑既可以來自私法也可以來自公法，將分散在不同法律中的規(guī)則置于統(tǒng)一視角下考量，有助于理清不同規(guī)則間的功能差異及保護(hù)價(jià)值。下文即在“卡—梅框架”下為平衡企業(yè)使用個(gè)人信息及使用過程中對(duì)個(gè)人信息保護(hù)提供有效的指引[23]。

在“卡—梅框架”下，當(dāng)雙方發(fā)生沖突時(shí)依據(jù)財(cái)產(chǎn)規(guī)則與責(zé)任規(guī)則提出了以下四種解決規(guī)則：其一，認(rèn)為個(gè)人信息權(quán)利歸屬于個(gè)人，采取財(cái)產(chǎn)規(guī)則保護(hù)。企業(yè)禁止在非自愿交易情況下侵犯?jìng)€(gè)人的個(gè)人信息權(quán)。也就是說，企業(yè)使用個(gè)人信息必須經(jīng)過個(gè)人信息同意并支付合理對(duì)價(jià)。其二，個(gè)人擁有個(gè)人信息權(quán)，但采用責(zé)任規(guī)則保護(hù)。即企業(yè)可以繼續(xù)使用個(gè)人信息，但必須對(duì)個(gè)人所造成的損失進(jìn)行賠償。其三，企業(yè)享有個(gè)人信息權(quán)，采用財(cái)產(chǎn)規(guī)則保護(hù)。可以任意收集使用個(gè)人信息，個(gè)人承擔(dān)企業(yè)使用信息所帶來的損害，且無權(quán)要求企業(yè)進(jìn)行賠償。其四，企業(yè)享有個(gè)人信息權(quán)，采用責(zé)任規(guī)則保護(hù)。也就說個(gè)人可以要求企業(yè)停止對(duì)個(gè)人信息的收集使用，但必須向企業(yè)支付賠償金[24]。

(一)明確權(quán)利歸屬

規(guī)則一與規(guī)則三是采用財(cái)產(chǎn)規(guī)則保護(hù)，規(guī)則二與規(guī)則四采用責(zé)任規(guī)則保護(hù)。無論適用哪一種規(guī)則保護(hù)，都應(yīng)當(dāng)先明確權(quán)利的初始化配置。依照科斯第一定律“如果交易成本為零，不管初始權(quán)利如何配置，總會(huì)實(shí)現(xiàn)社會(huì)產(chǎn)值最大化”[25]，這時(shí)將權(quán)利初始配置給個(gè)人或企業(yè)并無不同，兩者最大的差別在于當(dāng)雙方交易成本呈現(xiàn)非對(duì)稱性時(shí)，交易成本的高低會(huì)直接影響到權(quán)利的初始配置，此時(shí)將該權(quán)利賦予個(gè)人還是企業(yè)便有了討論價(jià)值[22]。在現(xiàn)實(shí)情形中，科斯的零交易成本情形并不存在，需要不斷優(yōu)化明確權(quán)利的初始配置，以此降低交易成本提高經(jīng)濟(jì)效率。根據(jù)《侵權(quán)法》規(guī)定，隱私權(quán)作為一項(xiàng)權(quán)利，發(fā)生侵權(quán)行為時(shí)受到法律的保護(hù)。隱私信息也賦予了權(quán)利人可以自由交易的權(quán)利，由于其人格權(quán)屬性，在侵權(quán)后權(quán)利人可以要求加害方停止侵害并通過強(qiáng)制定價(jià)進(jìn)行損害賠償。而個(gè)人信息是自然人日常生活所產(chǎn)生的與自身密切相關(guān)的信息，具有典型的人格化屬性，所以美國作為最早對(duì)個(gè)人信息進(jìn)行保護(hù)的發(fā)達(dá)國家首先采用的是隱私權(quán)模式對(duì)個(gè)人信息進(jìn)行保護(hù)。我國目前對(duì)于個(gè)人信息的保護(hù)缺乏獨(dú)立的請(qǐng)求權(quán)基礎(chǔ)，在司法實(shí)踐中對(duì)個(gè)人信息侵權(quán)行為適用的隱私權(quán)的請(qǐng)求權(quán)基礎(chǔ)還不夠充分。雖然個(gè)人信息有別于隱私權(quán)，但個(gè)人信息中大部分信息屬于隱私權(quán)范疇，所以類比隱私權(quán)保護(hù)，個(gè)人信息的初始權(quán)利應(yīng)該歸屬于個(gè)人所有。

個(gè)人信息在現(xiàn)實(shí)利用中應(yīng)該區(qū)分原始個(gè)人信息與匿名化處理后的個(gè)人信息，上文討論的情況是未經(jīng)處理的原始個(gè)人信息初始權(quán)利應(yīng)當(dāng)歸屬于個(gè)人所有，而企業(yè)在收集使用前通常需要經(jīng)過匿名化處理，達(dá)到無法通過信息準(zhǔn)確識(shí)別到特定的自然人，包括直接識(shí)別和間接識(shí)別[17]。經(jīng)濟(jì)學(xué)家Anja Lambrecht和 Catherine E.Tucker 指出，在變動(dòng)不居的數(shù)字經(jīng)濟(jì)中，幾乎沒有任何證據(jù)可以證明，僅僅擁有數(shù)據(jù)就能排斥競(jìng)爭(zhēng)對(duì)手，數(shù)字戰(zhàn)略的重點(diǎn)應(yīng)當(dāng)放在數(shù)字分析和有價(jià)值的數(shù)字產(chǎn)品上[26]。數(shù)據(jù)每分每秒都在更新，單一的數(shù)據(jù)并不具有經(jīng)濟(jì)價(jià)值，企業(yè)需要持續(xù)不斷地收集海量最新的信息進(jìn)行大數(shù)據(jù)分析整合推出自己的產(chǎn)品從而為企業(yè)獲取收益。所以企業(yè)使用的數(shù)據(jù)是經(jīng)過大數(shù)據(jù)加工處理后的匿名信息，對(duì)其處理使用均不再受個(gè)人信息保護(hù)規(guī)范的約束。企業(yè)通過法律的許可，收集大量信息分析處理形成自己的數(shù)據(jù)庫，是一種原始數(shù)據(jù)的取得。根據(jù)《著作權(quán)法》的規(guī)定，企業(yè)在收集原始數(shù)據(jù)后進(jìn)行脫敏處理，通過自己的技術(shù)分析整合成新的數(shù)據(jù)庫，無論對(duì)信息的匯編是否具有獨(dú)創(chuàng)性，只要企業(yè)在材料的選擇、編排上具有獨(dú)創(chuàng)性便符合我國《著作權(quán)法》上對(duì)作品的定義，企業(yè)自動(dòng)獲得著作權(quán)成為數(shù)據(jù)匯編作品⑦的著作權(quán)人[27]，享受對(duì)數(shù)據(jù)支配的民事權(quán)利，不需要再依靠其他的授權(quán)許可。著作權(quán)統(tǒng)一受到法律的保護(hù)，所以此時(shí)的匿名化數(shù)據(jù)初始權(quán)利應(yīng)當(dāng)歸屬于企業(yè)所有。

(二)混合規(guī)則保護(hù)

在明確不同情況的初始權(quán)利配置后，適用上文四種規(guī)則的哪一種可以使得社會(huì)經(jīng)濟(jì)效率最大化，卡拉布雷希與梅拉米德認(rèn)為其選擇的關(guān)鍵在于交易成本的高低。

依據(jù)科斯定理，卡拉布雷希與梅拉米德指出當(dāng)交易成本低時(shí)，無論產(chǎn)權(quán)的初始配置歸屬于哪方，最終都會(huì)實(shí)現(xiàn)經(jīng)濟(jì)效率最大化[24]。即法律對(duì)權(quán)利的初始分配不是偏好給最便宜的成本避免者(cheapest cost avoider)，雙方仍然可以通過自愿交易加以糾正[21]。通過上述對(duì)個(gè)人信息權(quán)利配置的論證得出應(yīng)當(dāng)將原始的個(gè)人信息權(quán)分配給個(gè)人，經(jīng)過匿名化處理的個(gè)人信息權(quán)分配給企業(yè)。依照“卡—梅框架”所提出的當(dāng)交易成本低時(shí)應(yīng)當(dāng)使用財(cái)產(chǎn)規(guī)則，就個(gè)人信息與企業(yè)使用糾紛而言，社會(huì)的最優(yōu)配置是將產(chǎn)權(quán)配置給以最小成本避免損失的一方(個(gè)人)，但交易成本大小一直在變化。假設(shè)企業(yè)使用個(gè)人信息，個(gè)人有權(quán)要求企業(yè)停止使用，但如果企業(yè)使用個(gè)人信息所帶來的收益遠(yuǎn)大于個(gè)人從禁止使用信息中所帶來的收益時(shí)，企業(yè)可以與個(gè)人進(jìn)行談判交易，使個(gè)人以不高于企業(yè)因此所帶來的收益價(jià)格進(jìn)行交易。但很多企業(yè)往往通過強(qiáng)制交易的方式降低交易價(jià)格或無償取得個(gè)人信息的控制權(quán)，不僅如此，信息匿名化處理不當(dāng)也會(huì)給個(gè)人帶來損害，這些在民法上都視為侵權(quán)行為，如果個(gè)人信息的保護(hù)規(guī)則不能有效地抑制這種侵權(quán)行為，維護(hù)交易雙方的交易公平，就會(huì)使得權(quán)利的初始化配置被架空。從經(jīng)濟(jì)效率角度來看，侵權(quán)成本與保護(hù)成本都會(huì)不斷增加，與帕累托最優(yōu)(Pareto Optimality)⑧背道而馳，不利于社會(huì)資源的合理配置實(shí)現(xiàn)市場(chǎng)經(jīng)濟(jì)效益最大化，財(cái)產(chǎn)規(guī)則的適用意義不復(fù)存在。財(cái)產(chǎn)規(guī)則是以個(gè)人自愿為前提以自由讓渡的方式來轉(zhuǎn)移權(quán)利，是一種事前防范規(guī)則。但是，“卡-梅框架”的核心是懲罰規(guī)則，當(dāng)僅僅依靠一般財(cái)產(chǎn)責(zé)任交易規(guī)范賠償無法起到懲戒作用時(shí)[23]，根據(jù)卡拉布雷希與梅拉米德的觀點(diǎn)，多數(shù)物品上的權(quán)利都是多種權(quán)利的混合體[28]，個(gè)人信息也不例外。在最高人民法院發(fā)布的第一批涉互聯(lián)網(wǎng)典型侵權(quán)案例：龐里鵬訴中國東方航空股份有限公司、北京趣拿信息技術(shù)有限公司隱私權(quán)糾紛案中，龐理鵬委托魯超通過北京趣拿信息技術(shù)有限公司(以下簡(jiǎn)稱“趣拿公司”)下轄網(wǎng)站去哪網(wǎng)平臺(tái)訂購中國東方航空股份有限公司(以下簡(jiǎn)稱“東航”)機(jī)票一張。去哪網(wǎng)訂單詳情頁面顯示該訂單登記的乘機(jī)人信息為龐理鵬姓名及身份證號(hào)，聯(lián)系人信息、報(bào)銷信息均為魯超。但龐理鵬多次收到航班取消、航班時(shí)刻調(diào)整的詐騙信息。庭審中，魯超證明其代龐理鵬購買本案機(jī)票并溝通后續(xù)事宜，認(rèn)可購買本案機(jī)票時(shí)未留存龐理鵬手機(jī)號(hào)。東航稱龐理鵬可能為東航常旅客，故東航掌握龐理鵬此前留存的號(hào)碼。龐理鵬訴至法院，主張趣拿公司和東航泄露的隱私信息，要求趣拿公司和東航承擔(dān)連帶責(zé)任。北京市第一中級(jí)人民法院判決北京趣拿信息技術(shù)有限公司及中國東方航空股份有限公司于本判決生效后十日內(nèi)在其官方網(wǎng)站首頁以公告形式向龐理鵬賠禮道歉[29]。因此，遇到主觀惡意的侵害行為時(shí)，財(cái)產(chǎn)規(guī)則與責(zé)任規(guī)則并非絕對(duì)獨(dú)立存在，當(dāng)財(cái)產(chǎn)規(guī)則無法保護(hù)個(gè)人信息的自愿公平交易時(shí)，便可以轉(zhuǎn)化為責(zé)任規(guī)則從民事賠償責(zé)任、刑事責(zé)任、行政制裁等方面共同發(fā)揮懲戒作用，對(duì)于企業(yè)因使用個(gè)人信息所造成的侵權(quán)行為進(jìn)行強(qiáng)制定價(jià)賠償。

這種財(cái)產(chǎn)規(guī)則與責(zé)任規(guī)則共同保護(hù)的方式只適用于未經(jīng)匿名化處理或匿名化處理不當(dāng)?shù)膫€(gè)人信息，當(dāng)個(gè)人信息經(jīng)過匿名化處理后在二次利用時(shí)受到侵害依舊使用財(cái)產(chǎn)規(guī)則保護(hù)顯然不利于社會(huì)效益最大化。如果企業(yè)已經(jīng)最大限度地做好了信息的匿名化處理，當(dāng)個(gè)人信息受到侵害時(shí)，依舊使用財(cái)產(chǎn)規(guī)則與責(zé)任規(guī)則共同保護(hù)，個(gè)人不僅可以主張損害賠償還有權(quán)要求企業(yè)停止侵權(quán)并刪除相關(guān)信息，那就意味著企業(yè)不得繼續(xù)使用依舊成功匿名化的個(gè)人信息，這樣一來，大數(shù)據(jù)時(shí)代，所提倡的數(shù)字經(jīng)濟(jì)遭到阻礙，信息價(jià)值難以實(shí)現(xiàn)，不利于整個(gè)社會(huì)經(jīng)濟(jì)效益發(fā)展的最大化。因此，當(dāng)匿名化的信息二次利用發(fā)生侵權(quán)行為時(shí)，企業(yè)只需要使用責(zé)任規(guī)則對(duì)個(gè)人所造成的損害進(jìn)行強(qiáng)制定價(jià)賠償即可。這樣一來既能保護(hù)個(gè)人因此而受到的損害也不會(huì)阻礙企業(yè)實(shí)現(xiàn)經(jīng)濟(jì)效益最大化。

[注釋]

① 本文的企業(yè)與《公司法》中的企業(yè)并不等同，這里對(duì)企業(yè)的含義進(jìn)行了擴(kuò)大解釋，將網(wǎng)絡(luò)平臺(tái)等將個(gè)人信息作為商用的企業(yè)、平臺(tái)都納入到本文所講企業(yè)范圍內(nèi)。

② “公益目標(biāo)”是現(xiàn)代社會(huì)不可回避并與社會(huì)所有成員相關(guān)的倫理學(xué)準(zhǔn)則。

③ 2001年的標(biāo)志性案件“DoubleClick案”(In re DoubleClick)中，紐約的一位聯(lián)邦法官被要求判決一家數(shù)據(jù)整合公司違反聯(lián)邦法律，因?yàn)楸M管征得網(wǎng)站許可，數(shù)據(jù)整合也是一種侵權(quán)和犯罪行為。但法官給的說法是“公司是通過一種高度公開的市場(chǎng)融資模式來有意識(shí)、有目的地獲取經(jīng)濟(jì)效益”。

④ 第6條第1段只有滿足至少如下一項(xiàng)條件時(shí)，處理才是合法的，且處理的合法性只限于滿足條件內(nèi)的處理：(a)數(shù)據(jù)主體已經(jīng)同意基于一項(xiàng)或多項(xiàng)目的而對(duì)其個(gè)人數(shù)據(jù)進(jìn)行處理；(b)處理對(duì)于完成某項(xiàng)數(shù)據(jù)主體所參與的契約是必要的，或者在簽訂契約前基于數(shù)據(jù)主體的請(qǐng)求而進(jìn)行的處理；(c)處理是控制商履行其法定義務(wù)所必需的；(d)處理對(duì)于保護(hù)數(shù)據(jù)主體或另一個(gè)自然人的核心利益所必要的；(e)處理是數(shù)據(jù)控制者為了公共利益或基于官方權(quán)威而履行某項(xiàng)任務(wù)而進(jìn)行的；(f)處理對(duì)于控制者或第三方所追求的正當(dāng)利益是必要的，這不包括需要通過個(gè)人數(shù)據(jù)保護(hù)以實(shí)現(xiàn)數(shù)據(jù)主體的優(yōu)先性利益或基本權(quán)利與自由，特別是兒童的優(yōu)先性利益或基本權(quán)利與自由。《一般數(shù)據(jù)保護(hù)條例》丁曉東譯，來源：http://www.sohu.com/a/232773245_455313訪問時(shí)間：2019年1月19日。

⑤ 《民法總則》第125條規(guī)定，民事主體依法享有股權(quán)和其他投資性權(quán)利。

⑥ 徐玉玉案指2016年徐玉玉考上大學(xué)，因詐騙電話騙走上大學(xué)的費(fèi)用9 900元，傷心欲絕導(dǎo)致心臟驟停，不幸離世。

⑦ 根據(jù)《著作權(quán)法》第十四條規(guī)定，匯編作品是指匯編若干作品，作品的片段或者不構(gòu)成作品的數(shù)據(jù)或者其他材料，對(duì)其內(nèi)容的選擇或者編排體現(xiàn)獨(dú)創(chuàng)性的作品。

⑧ 帕累托最優(yōu)也成帕累托效率，是指資源分配的一種理想狀態(tài)，在資源分配狀態(tài)轉(zhuǎn)變中，使得雙方或至少一方在在沒有任何人受到損失情況下變得更好。