(上海對外經(jīng)貿(mào)大學 法學院，上海 201620)

隨著云計算、人工智能、物聯(lián)網(wǎng)以及互聯(lián)網(wǎng)技術的迅猛發(fā)展，記錄人們的活動軌跡、消費記錄等信息的數(shù)據(jù)，將成為巨大的財富資源。個人數(shù)據(jù)的利用主要包括數(shù)據(jù)的收集、處理、交易以及應用。從數(shù)據(jù)的產(chǎn)業(yè)鏈來看，數(shù)據(jù)主要對應的法律主體有兩類：一是作為數(shù)據(jù)最初來源的提供者，即個人數(shù)據(jù)的特定主體；二是個人數(shù)據(jù)的控制者，即數(shù)據(jù)的利用者，包括數(shù)據(jù)收集、處理、交易應用的主體。

個人數(shù)據(jù)的保護和利用，主要圍繞數(shù)據(jù)主體確定和數(shù)據(jù)客體利用的權利義務分配展開。(1)本文所引外文文獻均為筆者自己翻譯，下同。T. Rostow， What Happens When an Acquaintance Buys Your Data? 34 Yale J. on Reg. 2017, p.667.歐盟《通用數(shù)據(jù)保護條例》(GDPR)被認為是目前為止覆蓋面最廣的數(shù)據(jù)保護法規(guī)，從“個人數(shù)據(jù)”“數(shù)據(jù)主體”和“數(shù)據(jù)主體權利”等方面采取了較為嚴格的保護措施，但是其最終的落腳點仍是對個人數(shù)據(jù)的隱私法益進行保護。(2)B. A. Safari， Intangible Privacy Rights: How Europe’s GDPR Will Set a New Global Standard for Personal Data Protection, 47 Seton Hall L. Rev. 2017, p.847.我國《民法總則》也在第一百一十一條規(guī)定了個人信息的保護，第一百二十七條則明確了民法對于數(shù)據(jù)的保護。

然而，個人數(shù)據(jù)作為新型的權利客體，在私法保護的體系中已經(jīng)出現(xiàn)困境。單純的將個人數(shù)據(jù)作為物權、債權亦或是人格權的客體都無法周延保護這一新興客體。一方面，個人數(shù)據(jù)在靜態(tài)上并沒有辦法確定具體的歸屬，也無法作為物權的客體被物權法所接受認可。因此，通過以個人數(shù)據(jù)為核心構建的物權保護規(guī)則顯然是徒勞的。另一方面，個人數(shù)據(jù)在交易流轉過程中，需要借助合同完成。但是，若單純通過合同違約責任的事后救濟的方式亦不足以周延保護個人數(shù)據(jù)。此外，個人數(shù)據(jù)不僅具有人格屬性，也帶有財產(chǎn)屬性。如何從靜態(tài)和動態(tài)相融合的路徑具體構建個人數(shù)據(jù)的保護模式，值得思考。圍繞個人數(shù)據(jù)的靜態(tài)與動態(tài)融合的私法保護模式，有必要對下列問題進行探討：個人數(shù)據(jù)在私法上是如何定性的？個人數(shù)據(jù)和個人信息有何區(qū)別？個人數(shù)據(jù)的保護應該遵循何種范式？個人數(shù)據(jù)保護的具體路徑怎么設計？厘清這些問題，非常有助于個人數(shù)據(jù)在私法保護中的融合。

一 個人數(shù)據(jù)保護的私法衍生

個人數(shù)據(jù)作為新興的權利客體，私法保護規(guī)則的構建也應該以人為中心，圍繞人對客體的使用的權利分配予以構建。個人數(shù)據(jù)的私法保護主要表現(xiàn)為對人格屬性和財產(chǎn)價值的融合保護，以尋求利益的平衡。盡管個人對數(shù)據(jù)是否具有獨占的權利還存在爭議，但是對個人數(shù)據(jù)的保護依然只能通過對人身權利或者財產(chǎn)權利的方式予以調整。

(一)個人數(shù)據(jù)承載個人信息

數(shù)據(jù)僅僅是信息的一種體現(xiàn)形式。在互聯(lián)網(wǎng)時代下，個人數(shù)據(jù)通過某種特定的編碼完成對信息的記錄(比如二進制數(shù)據(jù)是用0和1兩個數(shù)字來表示)，而個人信息則需要特定的機器予以讀取。個人數(shù)據(jù)是信息的表現(xiàn)形式而不涉及內(nèi)容，是個人信息存儲、傳輸和處理的形式。(3)紀海龍《數(shù)據(jù)的私法定位與保護》，《法學研究》2018年第6期，第72-91頁。概言之，個人數(shù)據(jù)承載個人信息。

個人數(shù)據(jù)承載著個人信息，個人信息不僅包含一定的隱私權屬性，而且還具有一定的財產(chǎn)價值。特定主體對于個人數(shù)據(jù)的采集和運用具有一定的自主性，未經(jīng)特定主體的許可，任何主體都不可以對隱私信息取得、使用、交易。(4)謝遠揚《信息論視角下個人信息的價值——兼對隱私權保護模式的檢討》，《清華法學》2015年第3期，第94-110頁。盡管個人數(shù)據(jù)可以通過技術讀取的方式獲得個人信息，但個人數(shù)據(jù)也可以經(jīng)過技術清洗、脫敏等手段，從而消除個人數(shù)據(jù)上所承載的個人隱私信息。從技術的角度看，個人數(shù)據(jù)經(jīng)過匿名化處理后，將消除用戶個人信息所附著的人格屬性。脫敏匿名化的數(shù)據(jù)經(jīng)過進一步加工之后可以生成標準的數(shù)據(jù)塊。個人數(shù)據(jù)經(jīng)過深度加工后，已經(jīng)喪失了數(shù)據(jù)的個人屬性，只保留個人數(shù)據(jù)的財產(chǎn)屬性，無法通過技術手段再次重新識別特定的個體信息。標準的數(shù)據(jù)塊將被合理使用，以發(fā)揮數(shù)據(jù)的經(jīng)濟價值?？v觀國內(nèi)外關于數(shù)據(jù)交易的標的，也都是經(jīng)過數(shù)據(jù)清洗、建模和分析的數(shù)據(jù)結果，而不是底層數(shù)據(jù)。個人數(shù)據(jù)經(jīng)過深度清洗后的數(shù)據(jù)塊可以被第三方機構利用，從而產(chǎn)生數(shù)據(jù)的現(xiàn)實價值。標準化的數(shù)據(jù)塊可以為政府、企業(yè)或者個人提供參考和支撐，以實現(xiàn)決策的合理化和科學化。

從技術的角度上看，個人信息和個人數(shù)據(jù)是能夠有效區(qū)分的。個人信息體現(xiàn)出強烈的人格屬性，能夠識別出特定主體的身份信息和活動軌跡。而個人數(shù)據(jù)則是經(jīng)過技術處理、脫敏匿名化后無法識別身份信息和活動軌跡的數(shù)據(jù)塊，徹底地消除了個人信息所附著的人格屬性，還原數(shù)據(jù)財產(chǎn)價值。經(jīng)過深度清洗的數(shù)據(jù)，可以作為流通的標的。(5)王忠《大數(shù)據(jù)時代個人數(shù)據(jù)交易許可機制研究》，《理論月刊》2015年第6期，第131-135頁。概言之，隨著清洗技術的不斷深入，數(shù)據(jù)的人格屬性不斷弱化，財產(chǎn)權價值不斷凸顯，數(shù)據(jù)本身的流動性也不斷加強。

(二)個人數(shù)據(jù)的私法價值

當個人數(shù)據(jù)經(jīng)搜集、加工以及處理之后，個人數(shù)據(jù)的財產(chǎn)價值不斷凸顯。不同主體對數(shù)據(jù)利用的利益出現(xiàn)沖突，就需要法律的規(guī)則對其進行調整。(6)Ignacio N. Cofone,The Dynamic Effect of Information Privacy Law, 18 Minn. J. L. Sci. & Tech. 2017，p.552.個人數(shù)據(jù)的財產(chǎn)屬性是網(wǎng)絡技術和數(shù)據(jù)本身所具有的財產(chǎn)價值共同推動的成果。

互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算以及大數(shù)據(jù)技術的發(fā)展，凸顯了個人數(shù)據(jù)的財產(chǎn)價值?；ヂ?lián)網(wǎng)技術實現(xiàn)了人與機器的融合，特別是移動終端設備的普及，為數(shù)據(jù)的搜集記錄提供了便利。物聯(lián)網(wǎng)技術將物體編碼與互聯(lián)網(wǎng)連接，實現(xiàn)信息的交換，達到智能識別、定位和管理的目的。云計算的發(fā)展為采集、分析和運用大數(shù)據(jù)提供了技術支持，并將眾多數(shù)據(jù)進行相應的匹配運算。大數(shù)據(jù)技術將所搜集的數(shù)據(jù)進行綜合分析、處理、應用，以產(chǎn)生經(jīng)濟價值?；ヂ?lián)網(wǎng)、物聯(lián)網(wǎng)、云計算以及大數(shù)據(jù)等技術的高度發(fā)展，將特定主體的信息都以數(shù)據(jù)的形式予以記錄并進行存儲和分析，為數(shù)據(jù)這一客體成為一項單獨的權利提供了基礎。個人數(shù)據(jù)可以被海量地搜集，進行合理的交易和使用，形成數(shù)據(jù)的搜集、分析和運用的數(shù)據(jù)產(chǎn)業(yè)鏈。

個人數(shù)據(jù)財產(chǎn)價值得益于網(wǎng)絡空間的發(fā)展。網(wǎng)絡空間跨越時空的技術便利，能夠更加方便地產(chǎn)生和存儲更多的個人數(shù)據(jù)，個人數(shù)據(jù)的財產(chǎn)保護主要是規(guī)制個人在網(wǎng)絡空間所產(chǎn)生的數(shù)據(jù)被不合理的利用。(7)Michal Lavi, Content Providers’Secondary Liability: A Social Network Perspective,26 Fordham Intell. Prop. Media & EntL. J. 2016，pp.855-869.個人數(shù)據(jù)保護的規(guī)則需要在網(wǎng)絡空間通過秩序的構建更好地進行個人意志的表達以及權利利益的實現(xiàn)。網(wǎng)絡空間的出現(xiàn)突破了現(xiàn)實空間的距離限制，個人與網(wǎng)絡之間的符號信息的傳遞交互，可以迅速地突破現(xiàn)實空間的權利表達。(8)Purtova Nadezhda, Property rights in personal data: Learning from the American discourse, 25 Computer Law and Security Review, 2009， pp.6-9.概言之，網(wǎng)絡空間的發(fā)展為個人數(shù)據(jù)的發(fā)展提供了載體和邊界。

可見，個人數(shù)據(jù)的保護是科技進步推動的結果，現(xiàn)有的科技能夠便捷快速地記錄特定主體所產(chǎn)生的數(shù)據(jù)，并且能夠通過云計算等手段合理地分析所積累的數(shù)據(jù)。個人數(shù)據(jù)的人格屬性和財產(chǎn)屬性的逐步凸顯，需要法律予以保護。(9)Lior Jacob Strahilevitz, A Social Networks Theory of Privacy, University of Chicago Law Review, 2005, pp.72,919,921.個人數(shù)據(jù)的私法保護并不是保護個人數(shù)據(jù)的本身，而是希望通過法律規(guī)則的建構保護數(shù)據(jù)所反映的個人信息，進而強化保護個人數(shù)據(jù)所指向的特定主體的人身和財產(chǎn)安全。

(三)個人數(shù)據(jù)的私法屬性

1.對于個人數(shù)據(jù)的私法屬性的界定將有利于規(guī)則的制定及路徑的選擇

對于個人數(shù)據(jù)的法律屬性，學界眾說風云，莫衷一是。有學者認為個人數(shù)據(jù)屬于人格權保護的對象，應該通過人格權立法對個人數(shù)據(jù)進行保護。(10)丁曉東《什么是數(shù)據(jù)權利?》，《華東政法大學學報》2018年第4期，第39-53頁。還有學者將個人數(shù)據(jù)與隱私權連接，并且認為應該從隱私權的角度予以保護。(11)王利明《論個人信息權的法律保護》，《現(xiàn)代法學》2013年第4期，第62-72頁。更有學者認為個人數(shù)據(jù)是財產(chǎn)權，并且認為可以通過保護財產(chǎn)權達到保護個人數(shù)據(jù)的目的。(12)Pamela Samuelson， Privacy as intellectual property, Stanford law review, 2000， p.52.但是，將個人數(shù)據(jù)簡單的確定為人格權，則忽視了個人數(shù)據(jù)的財產(chǎn)屬性;同樣，若將個人數(shù)據(jù)認為是財產(chǎn)權，也是對人格屬性的忽視。因此，筆者認為將個人數(shù)據(jù)歸入新興權利的載體，既注重保護其人格屬性，也保護其財產(chǎn)價值。

2.個人數(shù)據(jù)的人格屬性是私法保護的重要內(nèi)容，主要通過隱私權的保護予以實現(xiàn)

隱私權作為傳統(tǒng)民法人格上重要的權利內(nèi)容，早已被各國法律所認可并且接受。按照現(xiàn)有的法律規(guī)范體系，數(shù)據(jù)中所包括的自然人姓名、家庭住址、身份證號碼、銀行卡賬號等，都是能夠識別出特定主體的身份信息和活動軌跡。從數(shù)據(jù)識別的強弱角度看，有些數(shù)據(jù)能夠直接識別出自然人的身份和活動的軌跡，如身份證號碼；而有的數(shù)據(jù)則無法識別出上述信息，如姓名；而有的數(shù)據(jù)則是通過多數(shù)的數(shù)據(jù)塊組合識別出特定的信息，如姓名與電話號碼的組合即可。個人數(shù)據(jù)的人格屬性的保護是為了實現(xiàn)特定主體的生活安寧與私密性。盡管個人數(shù)據(jù)的人格屬性與個人的隱私權存在一定的相似性，但二者的權利內(nèi)容卻存在交錯與競合。從概念看，隱私信息僅僅是數(shù)據(jù)人格屬性的一部分。從邏輯上看，對于隱私權信息的侵犯必然會侵害個人數(shù)據(jù)的人格尊嚴和自由。(13)王利明《隱私權的新發(fā)展》，《人大法學評論》2009年第1期，第3-27頁。而對個人數(shù)據(jù)人格權的侵害，并不一定就會侵害自然人的隱私。

3.個人數(shù)據(jù)的利用能夠更加充分的發(fā)揮財產(chǎn)價值

個人數(shù)據(jù)的財產(chǎn)價值是對人格屬性的補充，促進了數(shù)據(jù)自由流動和交易。(14)勞倫斯·萊斯格《代碼2.0：網(wǎng)絡空間中的法律》，李旭譯，清華大學出版社2009年,第20頁。數(shù)據(jù)控制者可以通過分析特定主體所產(chǎn)生的數(shù)據(jù)，挖掘出數(shù)據(jù)背后所蘊藏的財產(chǎn)價值。數(shù)據(jù)財產(chǎn)權并不等同于數(shù)據(jù)所有權，并且無法確定數(shù)據(jù)的具體歸屬。個人數(shù)據(jù)作為新興權利的客體，基本的內(nèi)容包括數(shù)據(jù)采集權、數(shù)據(jù)可攜帶權、數(shù)據(jù)使用權、數(shù)據(jù)收益權等。(15)Jerry Kang, Information Privacy in Cyberspace Transactions, 50 Stan. L. R. 1998, p.1193.個人數(shù)據(jù)的財產(chǎn)價值從采集開始，并且經(jīng)過數(shù)據(jù)的攜帶、使用，最后的結果是數(shù)據(jù)控制者因數(shù)據(jù)獲得收益。對個人數(shù)據(jù)財產(chǎn)價值的私法保護，也是在采集、攜帶、使用和收益的環(huán)節(jié)予以具體規(guī)范，以達到保護的目的。個人數(shù)據(jù)的財產(chǎn)價值保護是手段，其最終的目的是維持數(shù)據(jù)資源的合理高效利用。

綜上，個人數(shù)據(jù)在私法的范疇內(nèi)是兼具人格屬性和財產(chǎn)價值的新型權利，不僅享有排除他人對其個人數(shù)據(jù)侵害的權利，而且還能享有因個人數(shù)據(jù)合理使用所產(chǎn)生的利益。個人數(shù)據(jù)作為新型的權利的載體，通過合理的私法規(guī)則的構建達到權利保護的目的。(16)李延舜《個人信息權保護的法經(jīng)濟學分析及限制》，《法學論壇》2015年第3期，第43-53頁。概言之，個人數(shù)據(jù)的保護應該采取人格權和財產(chǎn)權雙重保護的模式予以保護。

二 個人數(shù)據(jù)私法保護的規(guī)則展開

個人數(shù)據(jù)作為新型的權利載體，在權利圖譜里面包含數(shù)據(jù)人格屬性和財產(chǎn)價值，并以個人為中心所確認的私法權利。個人數(shù)據(jù)的人格屬性是被識別出特定主體的身份信息和活動軌跡。個人數(shù)據(jù)的財產(chǎn)價值則是數(shù)據(jù)經(jīng)利用所帶來的經(jīng)濟利益。個人數(shù)據(jù)的保護是隨著社會的發(fā)展和進步逐步被社會大眾所接受，并且最終通過法律的形式予以最終確認。

(一)個人數(shù)據(jù)私法保護的起點

個人數(shù)據(jù)保護規(guī)則的基礎在于確認數(shù)據(jù)的民事權益，并受到私法保護。個人數(shù)據(jù)的私法保護，實質上是在保護個人數(shù)據(jù)的人格屬性和財產(chǎn)價值。從邏輯上看，個人數(shù)據(jù)的私法保護，并不是禁止數(shù)據(jù)使用，而是為數(shù)據(jù)的合理使用劃定相應的法律邊界和范疇。

1.個人數(shù)據(jù)保護的前提是確認數(shù)據(jù)是一種權益

私法保護規(guī)則的建構前提是數(shù)據(jù)能夠被控制者或者提供者使用，并且具有人格屬性或者財產(chǎn)屬性。在傳統(tǒng)的私法保護體系，法律所發(fā)揮的都是規(guī)范物使用流通功能。數(shù)據(jù)的使用則是鼓勵數(shù)據(jù)占有者合理使用數(shù)據(jù)，最大程度地發(fā)揮數(shù)據(jù)的財產(chǎn)價值。個人數(shù)據(jù)的保護，對內(nèi)的表現(xiàn)就是排他性的獨占，對外則是享有合理使用數(shù)據(jù)所產(chǎn)生的財產(chǎn)收益。(17)李愛君《數(shù)據(jù)權利屬性與法律特征》，《東方法學》2018年第3期，第64-74頁。個人數(shù)據(jù)的控制具體表現(xiàn)為特定主體對數(shù)據(jù)的排他使用，防止受到其他人的侵犯。個人數(shù)據(jù)的管理則是數(shù)據(jù)經(jīng)管理之后將會發(fā)揮其更大的財產(chǎn)價值。個人數(shù)據(jù)被確認為財產(chǎn)權的載體之后，得以在市場上自由流通，并且通過構建合適的私法規(guī)則予以保護，最后達到數(shù)據(jù)財產(chǎn)價值的目的。

2.個人數(shù)據(jù)保護的目的在于保障數(shù)據(jù)的合理使用，以實現(xiàn)數(shù)據(jù)的最大財產(chǎn)價值

個人數(shù)據(jù)的財產(chǎn)價值是在合理流動的過程中實現(xiàn)的。(18)王衛(wèi)國《現(xiàn)代財產(chǎn)法的理論建構》，《中國社會科學》2012年第1期，第140-162頁。能夠識別自然人身份或者活動軌跡的個人數(shù)據(jù)，在市場上的流通是受到限制的。個人數(shù)據(jù)的合理流通包括鼓勵數(shù)據(jù)自由流動和反對數(shù)據(jù)被壟斷。個人數(shù)據(jù)的自由流動是維系數(shù)據(jù)合理流通并且合理使用的基礎，而反對數(shù)據(jù)的壟斷則是破除數(shù)據(jù)的掌握者利用技術優(yōu)勢有意限制數(shù)據(jù)的合理流動。個人數(shù)據(jù)的合理流動，不僅能夠保證數(shù)據(jù)的共享，提高其應有的商業(yè)價值，而且為個人數(shù)據(jù)的私法保護提供契機。因為，如果個人數(shù)據(jù)無法合理流通，也就沒有確認其個人數(shù)據(jù)的財產(chǎn)價值的必要性。個人數(shù)據(jù)的合理流通保證了其作為財產(chǎn)價值，并且有利于消除數(shù)據(jù)的鴻溝，建立良好的私法保護規(guī)則。概言之，個人數(shù)據(jù)的保護是以數(shù)據(jù)的合理使用為目的，并且通過數(shù)據(jù)的合理流通保障其財產(chǎn)價值的實現(xiàn)。

3.個人數(shù)據(jù)私法保護的結果在于保障數(shù)據(jù)流動的安全性

個人數(shù)據(jù)在流動的過程中出現(xiàn)泄漏、遺失或者損壞，都將對數(shù)據(jù)指向主體的個人人身安全和財產(chǎn)安全造成極大的危害。(19)李媛?！毒W(wǎng)絡數(shù)據(jù)安全與公民個人信息保護的刑法完善》，《中國政法大學學報》2015年第4期，第64-78頁。從形態(tài)上看，應該包括個人數(shù)據(jù)存儲安全和傳輸安全。從內(nèi)容看，其應該包括個人數(shù)據(jù)沒有丟失、損害或者被篡改。從數(shù)據(jù)的載體看，還包括記載個人數(shù)據(jù)的硬件和軟件的安全。(20)Fouad Khelifi, On the security of a stream cipher in reversible data hiding schemes operating in the encrypted domain, Signal Processing, 2018， pp.331-345.從靜態(tài)上看，個人數(shù)據(jù)在存儲環(huán)節(jié)，應該不被任意訪問、拷貝或者篡改利用。從動態(tài)上看，個人數(shù)據(jù)在傳輸?shù)倪^程中應該不被遺失、偏差或者缺損。個人數(shù)據(jù)的安全最終將被反映到數(shù)據(jù)的安全使用上，使用者使用個人數(shù)據(jù)的過程中不會對他人的財產(chǎn)和人身安全造成威脅。概言之，個人數(shù)據(jù)保護的最終結果表現(xiàn)為數(shù)據(jù)安全使用，并且保障數(shù)據(jù)的安全流動。

(二)個人數(shù)據(jù)私法保護的規(guī)則范式

私法對于個人數(shù)據(jù)的私法保護的基本范式是財產(chǎn)規(guī)則和責任規(guī)則。財產(chǎn)規(guī)則和責任規(guī)則是以科斯定理為理論基點衍生出來的，并且成為經(jīng)濟學對權利保護的重要規(guī)則。(21)Calabresi Guido&A．Douglas Melamed, Property Rules，a Liability Rules，and Inalienability：One View of the Cathedral, 85 Harvard Law Review， 1972， pp.1089-1128.從個人數(shù)據(jù)規(guī)范的前端看，個人數(shù)據(jù)保護的規(guī)則是規(guī)定具體的財產(chǎn)內(nèi)容，而后端是違反財產(chǎn)規(guī)則或者侵犯財產(chǎn)內(nèi)容所帶來的責任后果。(22)楊濤《論知識產(chǎn)權法中停止侵害救濟方式的適用——以財產(chǎn)規(guī)則與責任規(guī)則為分析視角》，《法商研究》2018年第1期，第182-192頁。財產(chǎn)規(guī)則和責任規(guī)則拉鋸的科斯平衡，決定了對個人數(shù)據(jù)私法保護的規(guī)則范式。

1.個人數(shù)據(jù)的保護需遵循基本的財產(chǎn)規(guī)則

在未經(jīng)財產(chǎn)權利人授權許可的情況下，任何第三人不得侵犯權利人的財產(chǎn)。事前許可作為成本最低的管制工具，是對數(shù)據(jù)保護最小的影響限度。私法保護的措施僅僅是對圓滿狀態(tài)的恢復或者是對違約責任的懲戒，在財產(chǎn)自由限度內(nèi)予以規(guī)制。按照《網(wǎng)絡安全法》第四十一條的規(guī)定，法律允許權利人自愿提供數(shù)據(jù)以實現(xiàn)自愿的合理配置。該原則要求數(shù)據(jù)的流動應該是按照公平自愿的方式進行的。然而，數(shù)據(jù)的采集者會憑借自身的技術優(yōu)勢突破對數(shù)據(jù)提供者的同意，非法獲取個人的數(shù)據(jù)，從而侵害數(shù)據(jù)提供人的權利。對于此種侵害數(shù)據(jù)的法律責任的承擔，政府部門會要求其承擔行政責任或者刑事責任，但是民事責任的承擔則處于缺位狀態(tài)。財產(chǎn)規(guī)則中所推崇的發(fā)揮物的最大財產(chǎn)價值，可以將個人數(shù)據(jù)作為財產(chǎn)的客體來構建私法保護的規(guī)則。概言之，以財產(chǎn)為中心所構建的財產(chǎn)規(guī)則，更加有利于權利人對個人數(shù)據(jù)的控制和流通，進而保護數(shù)據(jù)流通的公平效率。

2.個人數(shù)據(jù)保護規(guī)則的構建也應該遵循私法責任體系

責任規(guī)則是對財產(chǎn)規(guī)則的補充，當違反財產(chǎn)規(guī)則體系時，需要第三方介入進行外部干預，以保障財產(chǎn)規(guī)則的順利運行。(23)漢斯-貝恩德·舍費爾、克勞斯·奧特《民法的經(jīng)濟分析》，江清云、杜濤譯，法律出版社2009年，第598頁。責任規(guī)則是對財產(chǎn)規(guī)則的救濟，以保障數(shù)據(jù)作為財產(chǎn)的流通效率。當個人數(shù)據(jù)在流通或者使用時受到損害，在責任規(guī)則體系下就需要承擔侵權責任。責任規(guī)則的核心就在于通過事后的救濟方式對相關權利人的受損利益進行補償。私法保護的責任規(guī)則主要有物權責任和債權責任，物權責任主要是通過事后救濟的方式恢復物的圓滿狀態(tài)，而債權責任體系則保障債權的順利履行。無論是物權責任還債權責任，在個人數(shù)據(jù)保護的責任體系的構建中都需要予以確認。概言之，責任規(guī)則為個人數(shù)據(jù)的保護提供了事后救濟的方式。

3.個人數(shù)據(jù)的私法保護應該兼顧財產(chǎn)規(guī)則與責任規(guī)則

個人數(shù)據(jù)的保護，在私法層面的救濟主要是通過賠償金。在責任規(guī)則的體系下，其應該是確立侵權人對被侵權人給付賠償金。(24)徐明《大數(shù)據(jù)時代的隱私危機及其侵權法應對》，《中國法學》2017年第1期，第130-149頁。衡量私法對于個人數(shù)據(jù)的預防水平取決于法律所給付的賠償金額度。而對于賠償金給付額度的確定則在于財產(chǎn)規(guī)則的使用，即認定侵權人對個人數(shù)據(jù)侵害所造成的損害結果。財產(chǎn)規(guī)則可以認定數(shù)據(jù)損害結果，通過法律規(guī)則的認定區(qū)分補償性賠償金和懲罰性賠償金。(25)曾世雄《損害賠償法原理》，中國政法大學出版社2001年，第129頁。補償性賠償金的目的在于填補受害人損失，而懲罰性賠償金的目的在于懲治侵權人的惡意侵權行為。在個人數(shù)據(jù)的財產(chǎn)規(guī)則與責任規(guī)則互動的過程中，嚴格的責任規(guī)則無疑會損害個人數(shù)據(jù)財產(chǎn)權的實現(xiàn)；反之，則會影響個人數(shù)據(jù)的保護。概言之，個人數(shù)據(jù)的保護應該尋求財產(chǎn)規(guī)則與責任規(guī)則的協(xié)調。

三 個人數(shù)據(jù)私法融合保護的模式構建

現(xiàn)有對個人數(shù)據(jù)的保護多是保護個人數(shù)據(jù)的人格屬性，而忽視對財產(chǎn)利益的保護。個人數(shù)據(jù)對于特定的主體或者數(shù)據(jù)收集者是具有財產(chǎn)利益的。(26)劉德良《個人信息的財產(chǎn)權保護》，《法學研究》2007年第3期，第80-91頁。盡管有些學者并不認可個人數(shù)據(jù)的人格屬性和財產(chǎn)價值的區(qū)分(27)齊愛民、李儀《論利益平衡視野下的個人信息權制度》，《法學評論》2011年第3期,第37-44頁。，但在個人數(shù)據(jù)的私法保護中，應該兼顧保護個人數(shù)據(jù)的人格屬性和財產(chǎn)價值。在私法上，應該尋求構建數(shù)據(jù)融合的保護模式。

(一)個人數(shù)據(jù)靜態(tài)授權私法保護

1.個人數(shù)據(jù)的靜態(tài)授權保護體現(xiàn)了特定主體的自主控制權

個人數(shù)據(jù)自主控制是信息主體對其特有的信息擁有支配和決定的權利。(28)王成《個人信息民法保護的模式選擇》，《中國社會科學》2019年第6期，第124-146頁。個人數(shù)據(jù)的靜態(tài)授權保護在外觀上是取得特定主體的許可，在實質上是特定主體對個人數(shù)據(jù)合理使用的自我處置。

2.個人數(shù)據(jù)的靜態(tài)授權是對數(shù)據(jù)由社會控制的反駁

現(xiàn)在有學者認為，人們基于社會交往以及其他的需要，需要將個人的數(shù)據(jù)分享在網(wǎng)絡或者特定全體之間，從而使數(shù)據(jù)控制模式由個人控制轉向社會控制。(29)高富平《個人信息保護：從個人控制到社會控制》，《法學研究》2018年第3期，第84-101頁。然而，這一觀點有進一步商榷的空間。筆者認為，一方面，特定主體將自己特有的數(shù)據(jù)在一定的范圍內(nèi)進行交換或者分享，具有特定的目的。如，特定主體將個人數(shù)據(jù)在人際交往中進行共享，正是該主體對數(shù)據(jù)的自我控制和處置，該目的僅僅是用于社交。而得到該數(shù)據(jù)的主體，也應該遵循該特定的目的使用該信息，并沒有授權其超出該目的范圍內(nèi)去使用數(shù)據(jù)。另一方面，盡管特定主體沒有辦法時時控制個人數(shù)據(jù)，但并不代表其他主體可以隨意支配他人的數(shù)據(jù)。按照私法最為基本的誠實信用及公序良俗的要求，未經(jīng)特定主體的許可或者授權，其他主體不當使用他人數(shù)據(jù)無疑將對他人人格利益或者財產(chǎn)權益造成影響。概言之，個人數(shù)據(jù)的靜態(tài)授權是個人對數(shù)據(jù)自我控制的具體體現(xiàn)。

3.個人數(shù)據(jù)的靜態(tài)授權是數(shù)據(jù)利用的核心和基礎

個人數(shù)據(jù)的靜態(tài)授權在外觀上可以通過“通知—同意”的模式予以實現(xiàn)。通知保證了特定主體的知情權。特定主體的知情是自主控制的具體表現(xiàn)，也是數(shù)據(jù)的撤回權、被遺忘權、攜帶權等其他權能的具體衍生。個人數(shù)據(jù)的知情權在現(xiàn)有的保護范式是逐步加強的。(30)葉名怡《論個人信息權的基本范疇》，《清華法學》2018年第5期，第143-158頁。此外，特定主體的同意則是意思表示的結果。意思表示是特定主體將內(nèi)心的意思通過行為表達于外的過程。特定主體自我控制的直觀表現(xiàn)就是“同意”或者“不同意”。經(jīng)過“通知—同意”的過程，不僅實現(xiàn)了特定主體對個人數(shù)據(jù)的自我控制，也保證了利用者可以合理地使用數(shù)據(jù)。不僅如此，經(jīng)過個人靜態(tài)授權后，不僅不會對特定主體的人格利益造成損害，而且還會因數(shù)據(jù)的合理利用產(chǎn)生經(jīng)濟價值。概言之，個人數(shù)據(jù)的靜態(tài)授權是數(shù)據(jù)合理使用的邏輯起點。

4.個人數(shù)據(jù)的靜態(tài)授權是私法保護的重要路徑

個人授權的本意是特定主體授權給第三方商業(yè)主體搜集或者使用數(shù)據(jù)。經(jīng)特定主體授權之后，第三方可以在授權的范圍內(nèi)合理搜集或者使用個人數(shù)據(jù)。一方面，特定主體的授權的邊界應予以明確界定。實踐中，特定主體在未經(jīng)特定主體明確授權就搜集數(shù)據(jù)。在智能手機或者設備終端安裝軟件時，軟件運營商或者開發(fā)者在技術上并沒有告知軟件安裝者其需要收集其個人信息。另一方面，特定主體應該盡量減少概括性授權。由于概括性授權條款的模糊性，對于保護個人數(shù)據(jù)是不利的。(31)Daniel J. Solove&Paul Schwartz, Information privacy law, New York: Wolters Kluwer， 2009, p.2.此外，由于軟件開發(fā)商或者運營者隱藏或者將相關條款描述得過于模糊，致使特定主體在并未完全理解或者了解相關條款的含義下，就做出了形式上授權的意思表示。從概括性條款授權的產(chǎn)生看，特定主體往往是在并不完全知悉特定條款含義時進行的授權。(32)林洹民《個人信息保護中知情同意原則的困境與出路》，《北京航空航天大學學報》2018年第3期，第13-21頁。第三方可以利用概括性授權條款無限擴大使用特定主體的數(shù)據(jù)。第三方依概括性授權條款使用特定數(shù)據(jù)的權利源就缺少合理的邊界。當權力失去了束縛的邊界將誘發(fā)道德風險并對第三人的合法權利產(chǎn)生侵害。第三方利用所搜集的信息，將有可能對個人的人身和財產(chǎn)安全造成極大的威脅。

個人數(shù)據(jù)的靜態(tài)授權保護應該分為兩個階段：第一階段是特定主體提供個人數(shù)據(jù)；第二階段則是企業(yè)搜集特定主體的數(shù)據(jù)后加工、處理以及利用的過程。事前授權給第三方搜集特定主體的數(shù)據(jù)提供了進路和依據(jù)，實現(xiàn)了數(shù)據(jù)的靜態(tài)保護。(33)Richard C. Turkington&Anita L. Allen, Privacy Law: Cases and Materials, Minnesota: West Group， 2002, pp.648-649.同時，特定主體的明確授權不僅表現(xiàn)為個人對其所產(chǎn)生的數(shù)據(jù)有獨占的權利，而且在未明確授權搜集之前，第三方是不允許對特定主體的數(shù)據(jù)進行搜集。(34)賀栩栩《比較法上的個人數(shù)據(jù)信息自決權》，《比較法研究》2013年第2期，第61-76頁。明確授權也是特定主體對其所產(chǎn)生數(shù)據(jù)的管理體現(xiàn)，特定主體借助APP等軟件可以對自己的數(shù)據(jù)進行分析、監(jiān)測。特定主體將數(shù)據(jù)所蘊含的財產(chǎn)價值讓渡給商業(yè)主體，實現(xiàn)對于個人數(shù)據(jù)的處分。個人數(shù)據(jù)的靜態(tài)保護主要體現(xiàn)為私法對于外界的消極防御，對于個人數(shù)據(jù)的權能的支配是非常有限的。(35)王澤鑒《人格權法》，北京大學出版社2013年，第277頁。明確授權在一定程度上阻卻了第三方對特定主體的人格尊嚴的損害，并且能夠充分挖掘財產(chǎn)價值。(36)郭明龍《論個人信息之商品化》，《法學論壇》2012年第6期，第108-114頁。簡而言之，個人數(shù)據(jù)的明確授權是數(shù)據(jù)合理使用的基礎。

綜上所述，個人數(shù)據(jù)的靜態(tài)授權保護是特定主體信息自我控制的具體體現(xiàn)，是特定主體的意思表示的做出過程，目的在于保護特定主體在個人信息上自主決定的權利，從而有效地構建私法上的個人數(shù)據(jù)保護的規(guī)則。個人數(shù)據(jù)的靜態(tài)授權也是特定主體意思表示的結果，與現(xiàn)有的民事法律制度可以緊密地融合，可以從民法的基礎理論上予以有效的解釋。

(二)個人數(shù)據(jù)動態(tài)流通私法保護

個人數(shù)據(jù)的私法保護正從單一的靜態(tài)保護模式逐步走向與動態(tài)保護相融合的狀態(tài)。從個人數(shù)據(jù)的行為范式上看，個人數(shù)據(jù)可以區(qū)分為獲取持有、流通應用兩個不同的階段。其中，數(shù)據(jù)的獲取持有可以通過特定主體的授權予以保護，而在流通應用上則需要通過動態(tài)的法律予以保護。歐盟《關于個人信息處理保護及個人信息自由傳輸?shù)臈l例》核心在于保護個人數(shù)據(jù)的人格屬性的同時，也允許個人數(shù)據(jù)通過合同的方式轉讓、利用，以提高個人數(shù)據(jù)的財產(chǎn)價值。(37)Jack M. Balkin, Information Fiduciaries and the First Amendment, 49 U.C. Davis L. Rev. 2016， p.1183.個人數(shù)據(jù)的收益是在個人數(shù)據(jù)的合理流通的過程中實現(xiàn)的?？傊瑢τ趥€人數(shù)據(jù)流通的動態(tài)保護，主要關注其在動態(tài)流通環(huán)節(jié)中可能存在的風險。

1.個人數(shù)據(jù)的動態(tài)流通可以通過合同的形式予以實現(xiàn)

我國《民法總則》第一百一十一條規(guī)定對個人信息動態(tài)流通的保護表述為：“不得非法收集、使用、加工、傳輸，不得非法買賣、提供或者公開?！边@里所強調的“非法”，解釋上可以理解為“不得違反法律或者法規(guī)的規(guī)定”和“不得違反合同的約定”。從技術上看，個人信息經(jīng)過脫敏技術處理之后，將形成個人數(shù)據(jù)。脫敏后的個人數(shù)據(jù)流轉并不“違反法律或者法規(guī)的規(guī)定”。不僅如此，脫敏后的個人數(shù)據(jù)是可以通過動態(tài)流通的方式實現(xiàn)經(jīng)濟價值。個人數(shù)據(jù)的動態(tài)流通具體表現(xiàn)形式可以是共享、開放以及交易。其中，個人數(shù)據(jù)的共享和開放屬于行政法所規(guī)制的范疇，而個人數(shù)據(jù)交易則屬于私法保護的范圍。實踐中，經(jīng)過脫敏的個人數(shù)據(jù)是可以作為合同的形式予以實現(xiàn)?？傊?，個人數(shù)據(jù)的動態(tài)流通可以通過合同的形式予以實現(xiàn)。

2.個人數(shù)據(jù)交易所形成的合同是請求權產(chǎn)生的基礎

有學者認為數(shù)據(jù)交易的合同屬于買賣合同(38)徐美《再談個人信息保護路徑》，《中國政法大學學報》2018年第5期，第82-95頁。，也有學者認為應該屬承攬合同。(39)王秀秀《個人數(shù)據(jù)保護立法的經(jīng)濟分析與路徑選擇》，《上海師范大學學報》2017年第3期，第48-56頁。但筆者認為，個人數(shù)據(jù)交易的合同顯然并不是傳統(tǒng)意義上的買賣合同。買賣合同的認定需要標的物實現(xiàn)物權的轉移，但是個人數(shù)據(jù)的交易合同轉移的僅僅是數(shù)據(jù)的使用權，而不是數(shù)據(jù)的所有權。此外，個人數(shù)據(jù)交易合同也不是承攬合同。承攬合同的承攬人需要按照定做人的要求完成一定的成果。而數(shù)據(jù)交易合同中，個人數(shù)據(jù)的受讓方并不需要按照出讓方的要求完成特定的承攬成果。因此，個人數(shù)據(jù)交易合同在性質上既不是買賣合同，也不是承攬合同。個人數(shù)據(jù)交易合同屬于無名合同，可以參照最為類似的買賣合同的條文進行適用。然而，個人數(shù)據(jù)交易合同的性質并不會影響合同當事人雙方權利義務的產(chǎn)生，也是雙方請求權產(chǎn)生的基礎。

3.個人數(shù)據(jù)動態(tài)流通的風險在于危及數(shù)據(jù)安全的因素發(fā)生

危及數(shù)據(jù)安全的發(fā)生可以在流通過程中遭到破壞、竊取或者擅自訪問，導致數(shù)據(jù)的完整性遭到破壞。(40)李中原《論違反安全保障義務的補充責任制度》，《中外法學》2014年第3期，第676-693頁。我國《民法總則》第一百一十一條也要求取得個人數(shù)據(jù)的主體要確保數(shù)據(jù)安全?！按_保數(shù)據(jù)安全”是法律要求行為人所恪守的安全保障義務，適用于個人數(shù)據(jù)流通的整個環(huán)節(jié)。個人數(shù)據(jù)的安全保障義務要求在數(shù)據(jù)交易過程中，采取必要的防范措施，以防止個人數(shù)據(jù)的泄露。數(shù)據(jù)泄露并不會直接導致對于特定主體人身或者財產(chǎn)的損害，但是個人數(shù)據(jù)被惡意使用之后將造成二次損害。(41)徐明《大數(shù)據(jù)時代的隱私危機及其侵權法應對》，《中國法學》2017年第1期，第130-149頁。從侵權的責任認定上看，需要有損害結果才能要求相關主體承擔責任。在現(xiàn)有的司法實踐中，對于因個人數(shù)據(jù)泄露而造成的損害賠償由于舉證存在一定的困難，也就很難在私法上得到有效的保護。因此，對于個人數(shù)據(jù)在流動過程中的侵害，就不拘泥于實際損失的要件，而應該有所緩和。

4.個人數(shù)據(jù)的動態(tài)流通的風險將產(chǎn)生違約責任與侵權責任的競合

從違約責任的角度看，個人數(shù)據(jù)在動態(tài)流通過程中產(chǎn)生泄露或者其他危及數(shù)據(jù)安全的因素，就是對合同條款的違反，這就必然產(chǎn)生違約責任。從侵權責任的角度看，數(shù)據(jù)獲取人未盡信息安全保障義務所導致的侵權行為，應該承擔侵權責任。違約責任與侵權責任歸責的共同基礎都在于行為人沒有合理的履行安全保障義務，存在客觀的過錯。不論是違約責任還是侵權責任，行為人存在可歸責的民法基礎，就可以要求其承擔相應的責任。個人數(shù)據(jù)動態(tài)流通所產(chǎn)生的風險行為，是同一行為產(chǎn)生的責任競合。受害人可以選擇違約責任或者侵權責任中的一種，要求行為人予以承擔。從責任承擔的范圍看，違約責任的受害人僅僅可以要求行為人承擔因違約行為所約定的違約金，而侵權行為則可以要求行為人承擔相應的損害填補責任。概言之，受害人可以在個人數(shù)據(jù)動態(tài)流通的責任中擇一選擇違約責任或者侵權責任要求行為人承擔。

5.個人數(shù)據(jù)動態(tài)流通的責任承擔不僅體現(xiàn)了財產(chǎn)規(guī)則，而且是責任規(guī)則的具體詮釋

從財產(chǎn)規(guī)則的角度看，正是承認個人數(shù)據(jù)所具有的財產(chǎn)價值，才能要求行為主體承擔相應的責任。無論是違約責任還是侵權責任，都是對行為人過錯的事后懲戒，并不會影響個人數(shù)據(jù)的動態(tài)流通。行為人若按照法律規(guī)定或者合同約定，不僅能夠更好地激發(fā)個人數(shù)據(jù)的財產(chǎn)價值，而且也能更好地保護個人數(shù)據(jù)。此外，個人數(shù)據(jù)動態(tài)的動態(tài)保護可以有效地對個人數(shù)據(jù)(敏感數(shù)據(jù)和非敏感數(shù)據(jù))進行有效的區(qū)分。從邏輯上看，只有敏感數(shù)據(jù)會對特定個人的生活安寧產(chǎn)生影響，才需要采取特定的規(guī)則予以保護，并且要求行為人承擔相應的不利后果；而對于非敏感數(shù)據(jù)，則并不需要苛以不利的法律后果。

總之，個人數(shù)據(jù)的動態(tài)保護是通過事后的責任機制對行為人的過錯進行懲戒。懲戒制度的建立是通過事后責任承擔的方式糾正事前行為的失當，以達到保護個人數(shù)據(jù)的目的。個人數(shù)據(jù)的動態(tài)保護有效地彌補了靜態(tài)數(shù)據(jù)保護的不足，共同形成了個人數(shù)據(jù)保護的立體網(wǎng)絡。

四 結語

個人數(shù)據(jù)的私法保護不僅要保護數(shù)據(jù)的人格屬性，而且還要保護其財產(chǎn)價值?；ヂ?lián)網(wǎng)時代背景下對個人數(shù)據(jù)的保護已經(jīng)不斷被強化，特別是數(shù)據(jù)的財產(chǎn)價值已經(jīng)日益凸顯出巨大的經(jīng)濟價值。互聯(lián)網(wǎng)時代下有眾多個體所匯集起來的數(shù)據(jù)財產(chǎn)權利的整合利用已經(jīng)不斷地被商業(yè)機構所運用。個人數(shù)據(jù)的私法保護不僅要保護數(shù)據(jù)來源本身，而還要保護數(shù)據(jù)的應用價值。

個人數(shù)據(jù)的保護被私法所接納，首先就是要確認個人數(shù)據(jù)的客體地位，即個人數(shù)據(jù)作為無形的物具有人身屬性和財產(chǎn)價值，適合作為私法保護的對象。其次，應該對個人數(shù)據(jù)的具體權能予以確認，并通過這些權能的認可，達到保護個人數(shù)據(jù)的目的。最后，個人數(shù)據(jù)的人格屬性和財產(chǎn)價值在私法保護中都應該予以體現(xiàn)。至于個人數(shù)據(jù)中所蘊含的人格屬性，是否能夠上升為如同肖像權、姓名權等具體的人格權利，這需要立法者通過法益的衡量判斷，做出具體的立法抉擇。個人數(shù)據(jù)中的財產(chǎn)價值，可以通過對數(shù)據(jù)的具體運用得以顯現(xiàn)，私法的責任體系保護中對此等權利應予以保護。

個人數(shù)據(jù)的合理流動對于國家治理和公司運營都有很大的價值，一方面需要保護個人對數(shù)據(jù)的權利，另一方面也需要促進個人數(shù)據(jù)的正常流動。過分的保護個人對于數(shù)據(jù)的權利，則將阻礙數(shù)據(jù)的正常流動；相反，過分的促進個人數(shù)據(jù)的流動，則會侵犯個人對于數(shù)據(jù)的權益。概言之，協(xié)調好個人數(shù)據(jù)保護與合理利用的關系是私法保護的核心。