劉 穎 郝曉慧

一、引言

我國(guó)《個(gè)人信息保護(hù)法》第1條規(guī)定，制定該法之目的為“保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用”。歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）既規(guī)定與個(gè)人數(shù)據(jù)處理有關(guān)的自然人保護(hù)規(guī)則，也規(guī)定有關(guān)個(gè)人數(shù)據(jù)自由流動(dòng)的規(guī)則。2015年，國(guó)務(wù)院發(fā)布了《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，要求“促進(jìn)數(shù)據(jù)資源流通，建立健全數(shù)據(jù)資源交易機(jī)制和定價(jià)機(jī)制，規(guī)范交易行為”。其后，《中共中央 國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》《中共中央 國(guó)務(wù)院關(guān)于新時(shí)代加快完善社會(huì)主義市場(chǎng)經(jīng)濟(jì)體制的意見(jiàn)》《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》等一系列文件相繼出臺(tái)，我國(guó)步入了“數(shù)據(jù)交易規(guī)范化”進(jìn)程。上述文件多為框架性的發(fā)展要求，數(shù)據(jù)權(quán)屬、交易標(biāo)的、交易規(guī)則等相關(guān)規(guī)范尚付闕如，而現(xiàn)有的研究多關(guān)注個(gè)人數(shù)據(jù)保護(hù)問(wèn)題，就數(shù)據(jù)權(quán)屬及權(quán)益性質(zhì)的主張各異。不同學(xué)者基于不同角度提出數(shù)據(jù)資產(chǎn)權(quán)與數(shù)據(jù)經(jīng)營(yíng)權(quán)、大數(shù)據(jù)有限排他權(quán)、數(shù)據(jù)生產(chǎn)者權(quán)、數(shù)據(jù)控制者權(quán)、企業(yè)數(shù)據(jù)權(quán)、抽象的集合性財(cái)產(chǎn)權(quán)利、企業(yè)數(shù)據(jù)物權(quán)（所有權(quán)）、企業(yè)數(shù)據(jù)知識(shí)產(chǎn)權(quán)說(shuō)、大數(shù)據(jù)鄰接權(quán)說(shuō)、公共區(qū)塊鏈數(shù)據(jù)公有說(shuō)等。①李曉宇：《智能數(shù)字化下機(jī)器生成數(shù)據(jù)權(quán)益的法律屬性》，《北方法學(xué)》2021年第2期。筆者認(rèn)為，在數(shù)字技術(shù)和數(shù)字經(jīng)濟(jì)發(fā)展的現(xiàn)階段，難以以絕對(duì)權(quán)方式一攬子確定包括個(gè)人數(shù)據(jù)在內(nèi)的數(shù)據(jù)權(quán)屬。為適應(yīng)促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展，可以先行確立數(shù)據(jù)交易規(guī)則。①GDPR中的“數(shù)據(jù)控制者”與我國(guó)《個(gè)人信息保護(hù)法》中的“信息處理者”的意義相似，本文對(duì)二者不作區(qū)分。本文對(duì)“個(gè)人數(shù)據(jù)”“個(gè)人信息”和“信息隱私”亦在同樣意義上使用。

二、個(gè)人數(shù)據(jù)可交易性的爭(zhēng)議

有關(guān)個(gè)人數(shù)據(jù)是否可以交易的問(wèn)題存在爭(zhēng)議。而否定個(gè)人數(shù)據(jù)可以交易又是基于不同的原因。康德認(rèn)為，人格乃在體現(xiàn)人的尊嚴(yán)及價(jià)值，應(yīng)以人為目的，不得將之物化，使其作為交易的客體。②王澤鑒：《人格權(quán)法：法釋義學(xué)、比較法、案例研究》，北京：北京大學(xué)出版社，2013年，第254頁(yè)。因此，在相當(dāng)長(zhǎng)的時(shí)期，傳統(tǒng)民法不承認(rèn)人格法益本身具有財(cái)產(chǎn)價(jià)值。從我國(guó)《民法典》的規(guī)范設(shè)置來(lái)看，“個(gè)人信息在性質(zhì)上應(yīng)當(dāng)屬于人格權(quán)益的范疇，其應(yīng)當(dāng)是人格權(quán)的客體。個(gè)人信息權(quán)利以主體對(duì)其個(gè)人信息所享有的人格利益為客體?！雹弁趵鳎骸稊?shù)據(jù)共享與個(gè)人信息保護(hù)》，《現(xiàn)代法學(xué)》2019年第1期。有學(xué)者認(rèn)為，單個(gè)自然人的個(gè)人數(shù)據(jù)本身并無(wú)價(jià)值，不承認(rèn)個(gè)人數(shù)據(jù)能作為財(cái)產(chǎn)轉(zhuǎn)讓。④程嘯：《論大數(shù)據(jù)時(shí)代的個(gè)人數(shù)據(jù)權(quán)利》，《中國(guó)社會(huì)科學(xué)》2018年第3期。也有學(xué)者從市場(chǎng)失靈的角度否認(rèn)個(gè)人數(shù)據(jù)的可交易性。當(dāng)一些人比另一些人知道更多的信息時(shí)，市場(chǎng)不能使資源得到最好的利用。⑤N. Gregory Mankiw, Principles of Economics, 7ed, Stanford, Counecticut: Cengage Learning, 2015, p.467.一方面，信息主體對(duì)于數(shù)據(jù)處理者如何處理個(gè)人信息基本上一無(wú)所知。個(gè)人無(wú)法知道其披露的數(shù)據(jù)與數(shù)十億其他數(shù)據(jù)點(diǎn)匯總后意味著什么。⑥Russell A. Miller（ed.）, Privacy and Power: A Transatlantic Dialogue in the Shadow of the NSA-Affair, New York:Cambridge University Press, 2017, p.98.另一方面，絕大多數(shù)時(shí)候，數(shù)據(jù)企業(yè)給消費(fèi)者的選擇項(xiàng)只有兩個(gè)：留下或離開(kāi)。⑦程嘯：《論大數(shù)據(jù)時(shí)代的個(gè)人數(shù)據(jù)權(quán)利》，《中國(guó)社會(huì)科學(xué)》2018年第3期。數(shù)據(jù)處理者沒(méi)有向數(shù)據(jù)主體提供多元的隱私偏好表達(dá)渠道，當(dāng)然也不了解數(shù)據(jù)主體的不同隱私偏好。由于信息不對(duì)稱，數(shù)據(jù)主體囿于“要么留下要么離開(kāi)”的二元選擇框架必然產(chǎn)生了無(wú)謂損失，從而導(dǎo)致市場(chǎng)失靈。⑧Paul M. Schwartz, “Property, Privacy, and Personal Data”, Harvard Law Review, vol.117, no.7, 2004.市場(chǎng)失靈的結(jié)果是人們過(guò)多的出售財(cái)產(chǎn)化的個(gè)人數(shù)據(jù)，從而侵蝕現(xiàn)有的隱私保護(hù)水平，形成“檸檬均衡”（lemons equilibrium）。⑨Paul M. Schwartz, “Property, Privacy, and Personal Data”, Harvard Law Review, vol.117, no.7, 2004.還有學(xué)者從公共物品的角度否認(rèn)個(gè)人數(shù)據(jù)的可交易性。信息類似于公共物品。由于信息可以被許多人同時(shí)利用，信息顯然不具有競(jìng)爭(zhēng)性。信息在一定程度上也可以說(shuō)不具有排他性。信息的最初控制者當(dāng)然可以封鎖信息。但一旦信息被首次出售，最初控制者就很難阻止信息的買方再次向其他人傳播。⑩高鴻業(yè)主編：《西方經(jīng)濟(jì)學(xué)（微觀部分）》第8版，北京：中國(guó)人民大學(xué)出版社，2021年，第435頁(yè)。有學(xué)者認(rèn)為，信息隱私應(yīng)該和清潔空氣、國(guó)防一樣作為公共物品以促進(jìn)社會(huì)價(jià)值的實(shí)現(xiàn)，而個(gè)人數(shù)據(jù)的財(cái)產(chǎn)化將阻礙此種價(jià)值的實(shí)現(xiàn)。?Paul M. Schwartz, “Property, Privacy, and Personal Data”, Harvard Law Review, vol.117, no.7, 2004.在信息隱私的場(chǎng)景下，有關(guān)公共物品是隱私公域（privacy commons），即由對(duì)個(gè)人信息進(jìn)行的法律限制和其他限制所創(chuàng)設(shè)的匿名的和半匿名的交互空間。社會(huì)公眾從隱私公域中獲得的利益是基于民主協(xié)商（democratic deliberation ）和個(gè)人自治能力（capacity of individuals for selfgovernance）的社會(huì)秩序。?Paul M. Schwartz, “Property, Privacy, and Personal Data”, Harvard Law Review, vol.117, no.7, 2004.個(gè)人數(shù)據(jù)交易將降低整體的隱私保護(hù)水平，且不利于窮人和其他不能購(gòu)買足夠隱私的人，導(dǎo)致社會(huì)的不平等，破壞了隱私公域。?Paul M. Schwartz, “Property, Privacy, and Personal Data”, Harvard Law Review, vol.117, no.7, 2004.另外，公共危害（public bads）是公共物品（public goods）的數(shù)學(xué)鏡像（mathematical mirror image），前者存在負(fù)外部性，后者存在正外部性。一個(gè)人的個(gè)人數(shù)據(jù)也可能涉及另一個(gè)人的信息。例如，某人的生日也是其母親生育的日期。又如，某人患有某種遺傳疾病的信息也會(huì)涉及其兄弟的遺傳信息，并導(dǎo)致該兄弟支付更高的保險(xiǎn)費(fèi)。?Russell A. Miller（ed.）, Privacy and Power: A Transatlantic Dialogue in the Shadow of the NSA-Affair, p.97.大量個(gè)人信息因其在形成過(guò)程中可能涉及多方參與主體，有人稱之為“多方關(guān)聯(lián)性”。?鄭觀：《個(gè)人信息對(duì)價(jià)化及其基本制度構(gòu)建》，《中外法學(xué)》2019年第2期。

人格權(quán)在不同的時(shí)期有著不同的內(nèi)涵，人格權(quán)的外延隨著歷史的進(jìn)程越來(lái)越廣泛。在康德生活的年代，人格權(quán)表征為生命權(quán)、健康權(quán)等與主體不可分割的權(quán)利，當(dāng)然“不得將之物化，使其作為交易客體”。人格權(quán)不可能作為財(cái)產(chǎn)進(jìn)行利用或者交易。隨著科技的發(fā)展和社會(huì)的進(jìn)步，人格權(quán)商品化的實(shí)踐不斷向傳統(tǒng)人格權(quán)理論提出挑戰(zhàn)。①王利明：《論人格權(quán)商品化》，《法律科學(xué)（西北政法大學(xué)學(xué)報(bào)）》2013年第4期。美國(guó)法和德國(guó)法均經(jīng)歷長(zhǎng)達(dá)一個(gè)世紀(jì)的發(fā)展，分別建構(gòu)二元或一元的人格利益保護(hù)機(jī)制，尤其是財(cái)產(chǎn)利益的保護(hù)機(jī)制。②王澤鑒：《人格權(quán)法：法釋義學(xué)、比較法、案例研究》，第303頁(yè)。美國(guó)于1953年在Haelan Laboratories，Inc. v. Topps Chewing Gum，Inc.案創(chuàng)設(shè)了公開(kāi)權(quán)（right of publicity），認(rèn)為個(gè)人對(duì)姓名等所體現(xiàn)的特征有一種支配的權(quán)利，應(yīng)消極地排除他人的侵害，積極地允許他人的使用，以實(shí)現(xiàn)其所具有的財(cái)產(chǎn)價(jià)值。公開(kāi)權(quán)旨在保護(hù)財(cái)產(chǎn)利益，被認(rèn)定為一種無(wú)體財(cái)產(chǎn)權(quán)，應(yīng)被讓與或繼承。③王澤鑒：《人格權(quán)法：法釋義學(xué)、比較法、案例研究》，第27-28頁(yè)。德國(guó)于1956年在Paul Dahlke 案中認(rèn)定人格權(quán)（肖像權(quán)等）系具財(cái)產(chǎn)價(jià)值排他性的權(quán)利，更于1999年Marlene Dietrich案中宣示姓名、肖像等人格特征具有財(cái)產(chǎn)價(jià)值，應(yīng)被繼承。④王澤鑒：《人格權(quán)法：法釋義學(xué)、比較法、案例研究》，第21-22、303頁(yè)。我國(guó)《民法典》第993條、第1018條、第1023條分別規(guī)定了肖像、姓名和聲音的許可他人使用制度。域內(nèi)外人格權(quán)商品化的立法和司法實(shí)踐均突破了人格權(quán)客體絕對(duì)不可交易的結(jié)論。尤其我國(guó)《民法典》第993條和第1023條通過(guò)“等”字保持人格權(quán)商品化外延的開(kāi)放性，可以根據(jù)科技發(fā)展和社會(huì)進(jìn)步的需要融入新的可商品化的人格權(quán)。有學(xué)者認(rèn)為，個(gè)人數(shù)據(jù)如姓名、肖像等為標(biāo)表型人格權(quán)，兼具人格利益和財(cái)產(chǎn)利益，可與人身在一定程度內(nèi)分離。⑤王利明：《論人格權(quán)商品化》，《法律科學(xué)（西北政法大學(xué)學(xué)報(bào)）》2013年第4期。更何況個(gè)人數(shù)據(jù)的人格屬性有強(qiáng)弱之分。個(gè)人數(shù)據(jù)可分為內(nèi)在個(gè)人數(shù)據(jù)和外在個(gè)人數(shù)據(jù)，前者如生物識(shí)別數(shù)據(jù)、醫(yī)療健康數(shù)據(jù)，后者如GPS數(shù)據(jù)、IP地址或保存在個(gè)人任務(wù)管理器中的數(shù)據(jù)。外在的個(gè)人數(shù)據(jù)在一定程度上不會(huì)面臨與內(nèi)在隱私數(shù)據(jù)相同的概念、倫理和法律問(wèn)題。⑥Václav Jane?ek, “Ownership of Personal Data in the Internet of Things”, Computer Law and Security Review, vol.34，no.5, 2018.

在市場(chǎng)中不對(duì)稱信息普遍存在。通常銷售者對(duì)一個(gè)產(chǎn)品的質(zhì)量比消費(fèi)者知道得更多，工人對(duì)于其技術(shù)和能力比其雇主知道得更多，而經(jīng)理對(duì)于企業(yè)的成本和競(jìng)爭(zhēng)地位比企業(yè)的所有者知道得更多。⑦[美]羅伯特·S.平狄克，丹尼爾·L.魯賓費(fèi)爾德：《微觀經(jīng)濟(jì)學(xué)》第9版，李彬譯，北京：中國(guó)人民大學(xué)出版社，2020年，第516頁(yè)。市場(chǎng)中的不對(duì)稱信息所導(dǎo)致的“檸檬”問(wèn)題可通過(guò)政府的干預(yù)和聲譽(yù)的形成來(lái)減緩。同時(shí)，買方和賣方可通過(guò)市場(chǎng)信號(hào)傳遞（market signaling）這一重要機(jī)制來(lái)傳遞信息，以解決信息不對(duì)稱問(wèn)題。⑧[美]羅伯特·S.平狄克，丹尼爾·L.魯賓費(fèi)爾德：《微觀經(jīng)濟(jì)學(xué)》第9版，第522頁(yè)。私人市場(chǎng)可自己解決信息不對(duì)稱的問(wèn)題。即使市場(chǎng)配置資源不是理想的，但它可能是所能達(dá)到的最好結(jié)果。即當(dāng)存在信息不對(duì)稱時(shí)，政策制定者會(huì)發(fā)現(xiàn)很難改善市場(chǎng)承認(rèn)的不完美結(jié)果。⑨N. Gregory Mankiw, Principles of Economics, 7ed, p.467.個(gè)人數(shù)據(jù)交易市場(chǎng)失靈的主要原因在于信息不對(duì)稱。個(gè)人數(shù)據(jù)交易市場(chǎng)失靈只是為改善數(shù)據(jù)交易的努力提供了理由，但并不能得出應(yīng)該全面禁止市場(chǎng)機(jī)制的結(jié)論。⑩Paul M. Schwartz, “Property, Privacy,and Personal Data”, Harvard Law Review, vol.117, no.7, 2004.個(gè)人數(shù)據(jù)交易市場(chǎng)的信息不對(duì)稱問(wèn)題可通過(guò)市場(chǎng)制度的設(shè)計(jì)來(lái)減緩，如強(qiáng)制數(shù)據(jù)處理者信息披露的內(nèi)容、方式，提高隱私增強(qiáng)技術(shù)為數(shù)據(jù)主體表達(dá)隱私偏好暢通渠道等。

公共物品理論只能對(duì)個(gè)人信息的財(cái)產(chǎn)化提出質(zhì)疑，?Paul M. Schwartz, “Property, Privacy,and Personal Data”, Harvard Law Review, vol.117, no.7, 2004.不能否定個(gè)人信息的財(cái)產(chǎn)化。個(gè)人數(shù)據(jù)為公共物品而禁止交易的觀點(diǎn)將個(gè)人數(shù)據(jù)的公共屬性絕對(duì)化，未能正視個(gè)人數(shù)據(jù)的私人屬性。應(yīng)當(dāng)在個(gè)人數(shù)據(jù)的私人屬性和公共屬性之間找到平衡，以公共屬性之名否定私人屬性既非必要也不客觀。廣泛應(yīng)用的信息自決理論便是以個(gè)人數(shù)據(jù)的私人屬性為理論建構(gòu)的基礎(chǔ)。從法政策學(xué)來(lái)看，物理屬性雖對(duì)物體本身能否作為私權(quán)客體具有重要意義，但最終決定因素卻是立法者的價(jià)值選擇。個(gè)人信息物理特性中的非競(jìng)爭(zhēng)性與非排他性，可通過(guò)法律規(guī)范加以變更。①鄭觀：《個(gè)人信息對(duì)價(jià)化及其基本制度構(gòu)建》，《中外法學(xué)》2019年第2期。有學(xué)者認(rèn)為，隱私公域應(yīng)被視為對(duì)個(gè)人數(shù)據(jù)的財(cái)產(chǎn)化提出了一個(gè)問(wèn)題，即在多大程度上以及如何使公域財(cái)產(chǎn)化，而不是完全禁止個(gè)人信息作為財(cái)產(chǎn)。②Paul M. Schwartz, “Property, Privacy, and Personal Data”, Harvard Law Review, vol.117, no.7, 2004.“多方關(guān)聯(lián)性”為個(gè)人數(shù)據(jù)的固有特征。在數(shù)據(jù)流動(dòng)中要求關(guān)聯(lián)方的共同同意既不現(xiàn)實(shí)也不經(jīng)濟(jì)，構(gòu)成了數(shù)字經(jīng)濟(jì)的巨大阻礙?！拔锉M其用”的原則要求應(yīng)盡量減少財(cái)產(chǎn)的共有人，避免“反公地悲劇”的發(fā)生。

三、個(gè)人數(shù)據(jù)交易的權(quán)利基礎(chǔ)

個(gè)人數(shù)據(jù)參與了數(shù)據(jù)交易的一級(jí)市場(chǎng)和二級(jí)市場(chǎng)。早在20世紀(jì)末，在美國(guó)已開(kāi)始個(gè)人數(shù)據(jù)的商品化。③Paul M. Schwartz, “Property, Privacy, and Personal Data”, Harvard Law Review, vol.117, no.7, 2004.美國(guó)數(shù)據(jù)交易主要有三種模式。第一種是數(shù)據(jù)平臺(tái)C2B分銷模式。用戶將自己的個(gè)人數(shù)據(jù)貢獻(xiàn)給數(shù)據(jù)平臺(tái)，數(shù)據(jù)平臺(tái)向用戶給付一定數(shù)額的商品、貨幣、服務(wù)等價(jià)物或者優(yōu)惠、打折、積分等對(duì)價(jià)利益。第二種是數(shù)據(jù)平臺(tái)B2B集中銷售模式。數(shù)據(jù)平臺(tái)以中間代理人身份為數(shù)據(jù)提供方和數(shù)據(jù)購(gòu)買方提供數(shù)據(jù)交易撮合服務(wù)，數(shù)據(jù)提供方、數(shù)據(jù)購(gòu)買方都是經(jīng)交易平臺(tái)審核認(rèn)證、自愿從事數(shù)據(jù)買賣的實(shí)體公司。第三種是數(shù)據(jù)平臺(tái)B2B2C分銷集銷混合模式。數(shù)據(jù)平臺(tái)以數(shù)據(jù)經(jīng)紀(jì)商（data broker）身份，收集用戶個(gè)人數(shù)據(jù)并將其轉(zhuǎn)讓、共享給他人。④馬志剛：《數(shù)據(jù)交易發(fā)展模式之美國(guó)篇》，搜狐網(wǎng)：https://www.sohu.com/a/117889199_353595，2022年7月10日。美國(guó)的數(shù)據(jù)中間商行業(yè)的市場(chǎng)規(guī)模已經(jīng)達(dá)到2000億美元。數(shù)據(jù)中間商占有龐大的個(gè)人數(shù)據(jù)，其中最大的企業(yè)Acxiom幾乎占有包括所有美國(guó)消費(fèi)者在內(nèi)的全球7億多人的信息。Acxiom擁有8000多家公司客戶，2013年的銷售額約為11億美元。⑤[日]城田真琴：《數(shù)據(jù)中間商》，鄧一多譯，北京：北京聯(lián)合出版公司，2016年，第36-44頁(yè)。如今歐美開(kāi)始摸索建立介于企業(yè)和個(gè)人之間的中介，此類中介在某種意義上構(gòu)成個(gè)人數(shù)據(jù)交易的市場(chǎng)，分別有Datacoup、Handshake和Datarepublic等。⑥[日]城田真琴：《數(shù)據(jù)中間商》，第75-83頁(yè)。歐盟《數(shù)字內(nèi)容指令》（Digital Content Directive， 簡(jiǎn)稱DCD）第3條（1）款規(guī)定，本指令應(yīng)適用于貿(mào)易商提供或承諾提供數(shù)字內(nèi)容和數(shù)字服務(wù)給消費(fèi)者，并且消費(fèi)者支付或承諾支付價(jià)款的任何合同。本指令也適用于貿(mào)易商提供或承諾提供數(shù)字內(nèi)容和數(shù)字服務(wù)給消費(fèi)者，并且消費(fèi)者提供或承諾提供個(gè)人數(shù)據(jù)給貿(mào)易商的任何合同。事實(shí)上，消費(fèi)者每天都在參與個(gè)人數(shù)據(jù)的商業(yè)化。⑦Sebastian Lohsse and Reiner Schulze and Dirk Staudenmayer（eds.）, Data as Counter-Performance-Contract Law 2.0?,Baden-Baden: Nomos Verlagsgesellschaft, 2020, p.41.

2016年7月1日，數(shù)據(jù)中心聯(lián)盟籌建的“大數(shù)據(jù)發(fā)展促進(jìn)委員會(huì)”在北京成立。成立大會(huì)上發(fā)布了《數(shù)據(jù)流通行業(yè)自律公約》（2.0版）（以下簡(jiǎn)稱《公約》）?！豆s》包括中國(guó)信通院、中國(guó)電子科學(xué)技術(shù)研究院、中國(guó)聯(lián)通、中國(guó)電信、阿里巴巴、京東、360、世紀(jì)互聯(lián)、滴滴出行等80多家發(fā)起單位。根據(jù)《公約》第2條，數(shù)據(jù)流通是指通過(guò)采集、共享、交易、轉(zhuǎn)移等方式，實(shí)現(xiàn)數(shù)據(jù)或數(shù)據(jù)衍生品在不同實(shí)體間轉(zhuǎn)換的行為。根據(jù)《公約》第4條，用戶對(duì)其個(gè)人數(shù)據(jù)享有合法權(quán)益。個(gè)人數(shù)據(jù)的采集、共享、交易、轉(zhuǎn)移等應(yīng)明確告知用戶，并經(jīng)用戶同意或取得其他合法授權(quán)。⑧數(shù)據(jù)中心聯(lián)盟：《數(shù)據(jù)流通行業(yè)自律公約》2.0版本。據(jù)此，《公約》涉及了個(gè)人數(shù)據(jù)交易的一級(jí)市場(chǎng)和二級(jí)市場(chǎng)。目前，我國(guó)個(gè)人數(shù)據(jù)交易一級(jí)市場(chǎng)主要為數(shù)據(jù)處理者與數(shù)據(jù)主體之間的個(gè)人數(shù)據(jù)的收集，我國(guó)個(gè)人數(shù)據(jù)交易的二級(jí)市場(chǎng)主要為數(shù)據(jù)處理者之間的個(gè)人數(shù)據(jù)的共享。

在傳統(tǒng)有體物的場(chǎng)景下，通常在明晰產(chǎn)權(quán)后方可進(jìn)行交易。但是，數(shù)據(jù)在產(chǎn)權(quán)界定方面不斷地面臨困難。世界各國(guó)實(shí)際上都沒(méi)有采取傳統(tǒng)的“先明晰產(chǎn)權(quán)，再發(fā)展交易”的模式。⑨田杰堂、劉露瑤：《交易模式、權(quán)利界定與數(shù)據(jù)要素市場(chǎng)培育》，《改革》2020年第7期。有學(xué)者認(rèn)為，應(yīng)適當(dāng)理解“界權(quán)”，建構(gòu)性的法律界權(quán)不應(yīng)被既有概念形式體系過(guò)度束縛，特別是不應(yīng)誤以為可以甚至必須先找到數(shù)據(jù)在所有權(quán)規(guī)范體系中的“定位”。不能指望任何“體系化”“一攬子”的界權(quán)方案可以畢其功于一役。據(jù)此，當(dāng)前決策者需要就數(shù)據(jù)權(quán)益提供權(quán)宜性的法律安排。⑩戴昕：《數(shù)據(jù)界權(quán)的關(guān)系進(jìn)路》，《中外法學(xué)》2021年第6期。以《個(gè)人信息保護(hù)法》為基礎(chǔ)的合同路徑或許就是目前解決個(gè)人數(shù)據(jù)產(chǎn)權(quán)問(wèn)題的權(quán)宜之計(jì)，此路徑統(tǒng)合了個(gè)人數(shù)據(jù)的法律權(quán)利和經(jīng)濟(jì)權(quán)利。巴澤爾（Yoram Barzel）指出，個(gè)人對(duì)某一資產(chǎn)的“經(jīng)濟(jì)權(quán)利”是其直接消費(fèi)或通過(guò)交易間接消費(fèi)該資產(chǎn)的能力；而“法律權(quán)利”則是政府界定和實(shí)施的，作為一個(gè)人的財(cái)產(chǎn)的范疇。①[以]約拉姆·巴澤爾：《產(chǎn)權(quán)的經(jīng)濟(jì)分析》第2版，費(fèi)方域、段毅才等譯，上海：格致出版社、上海三聯(lián)出版社、上海人民出版社，2017年，第95頁(yè)。巴澤爾是在廣義上使用產(chǎn)權(quán)（property rights）的概念。根據(jù)此種產(chǎn)權(quán)概念，由國(guó)家明確界定的法律權(quán)利只占產(chǎn)權(quán)中的一小部分，其余可以在交易過(guò)程中由合同界定?；舴茽柕拢╓esley Newcomb Hohfeld）的權(quán)利束理論也為個(gè)人數(shù)據(jù)產(chǎn)權(quán)的合同路徑提供了理論支持?；舴茽柕抡J(rèn)為，權(quán)利束中的某種權(quán)利是與其他權(quán)利相互獨(dú)立的。②Wesley N. Hohfeld, “Fundamental Legal Conceptions as Applied in Judicial Reasoning”, Yale Law Journal, vol.26, no.8,1917.在形成數(shù)據(jù)法律權(quán)利之前，數(shù)據(jù)交易的當(dāng)事方可以通過(guò)合同路徑確認(rèn)權(quán)利束中的“部分利益”，合同路徑并非個(gè)人數(shù)據(jù)權(quán)屬和權(quán)能的終局式的解決方案。其基本邏輯是“個(gè)人通過(guò)他們自己的行為能夠控制并影響他們對(duì)財(cái)產(chǎn)權(quán)利的界定”。③[以]約拉姆·巴澤爾：《產(chǎn)權(quán)的經(jīng)濟(jì)分析》第2版，第108頁(yè)。他們?cè)诂F(xiàn)有的法律框架內(nèi)由合同雙方以意定的方式達(dá)成個(gè)人數(shù)據(jù)一定的權(quán)屬和權(quán)能的共識(shí)，以合同所具有的約束力建構(gòu)個(gè)人數(shù)據(jù)權(quán)屬和權(quán)能的強(qiáng)制力。薩繆爾森（Pamela Samuelson）指出，用合同方法保護(hù)信息隱私有諸多的優(yōu)點(diǎn)，它可以實(shí)現(xiàn)人們?cè)趥€(gè)人信息中的多重利益，也可以滿足關(guān)于個(gè)人信息收集或使用的適當(dāng)性決定的場(chǎng)景需要，還能兼顧同意作為決定適當(dāng)用途的重要因素以及社會(huì)對(duì)信息隱私的性質(zhì)理解的不斷變化。合同方法是一種靈活、適應(yīng)性強(qiáng)、以市場(chǎng)為導(dǎo)向的方式，允許個(gè)人能控制個(gè)人數(shù)據(jù)的使用。④Leon Trakman, Robert Walters and Bruno Zeller, “Trade in Personal Data: Extending International Legal Mechanisms to Facilitate Transnational Trade in Personal Data?”, European Data Protection Law Review, vol.6, no.2, 2020.

（一）數(shù)據(jù)主體參與交易的權(quán)利基礎(chǔ)

數(shù)據(jù)主體參與了數(shù)據(jù)交易的一級(jí)市場(chǎng)。如果數(shù)據(jù)受到知識(shí)產(chǎn)權(quán)法、數(shù)據(jù)保護(hù)法等既有法律規(guī)則的保護(hù)并因此配置給個(gè)人以可交易性，則意味著此人有權(quán)簽訂有關(guān)數(shù)據(jù)的合同。⑤Herbert Zech, “Data as a Tradeable Commodity -Implications for Contract Law”, Edward Elgar Publishing, 2017, p.3.一個(gè)成功的數(shù)據(jù)隱私制度應(yīng)該是能保障個(gè)人有權(quán)用其個(gè)人信息來(lái)?yè)Q取利益的制度，并為雙方同意的交易設(shè)置最低的交易成本。如果個(gè)人選擇在不對(duì)第二或第三用途施加限制的情況下交易自己的個(gè)人數(shù)據(jù)，這應(yīng)該屬于個(gè)人意思自治的范圍。最終，個(gè)人數(shù)據(jù)以雙方同意的方式得以控制。⑥Julie E. Cohen, “Examined Lives: Informational Privacy and the Subject as Object”, Stanford Law Review, vol.52, no.5,2000.在我國(guó)《個(gè)人信息保護(hù)法》中，有27處“同意”將個(gè)人數(shù)據(jù)上一定的人格利益和財(cái)產(chǎn)利益在法律效果上歸屬于數(shù)據(jù)主體。不論是認(rèn)為《個(gè)人信息保護(hù)法》直接賦予了個(gè)人以獨(dú)立的知情權(quán)、決定權(quán)還是通過(guò)行為規(guī)制的方式對(duì)不同主體間的關(guān)系進(jìn)行調(diào)整，其結(jié)果都是將某些人格利益和財(cái)產(chǎn)利益歸屬給了數(shù)據(jù)主體。權(quán)利束理論讓我們看到了財(cái)產(chǎn)權(quán)形態(tài)的多樣性和彈性。一宗財(cái)產(chǎn)之上的財(cái)產(chǎn)權(quán)（包括經(jīng)典意義上的所有權(quán)） 實(shí)際上是一束財(cái)產(chǎn)權(quán)的集合，可以被分割為無(wú)限數(shù)量的子權(quán)利。⑦熊丙萬(wàn)：《實(shí)用主義能走多遠(yuǎn)？——美國(guó)財(cái)產(chǎn)法學(xué)引領(lǐng)的私法新思維》，《清華法學(xué)》2018年第1期。根據(jù)我國(guó)《個(gè)人信息保護(hù)法》第4條第2款，個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等。上述的“處理”行為，特別是“使用”“加工”都是以獲取個(gè)人數(shù)據(jù)上的財(cái)產(chǎn)利益為目的，應(yīng)在數(shù)據(jù)主體“財(cái)產(chǎn)權(quán)能”的規(guī)范之下?！秱€(gè)人信息保護(hù)法》是一定的個(gè)人數(shù)據(jù)人格利益和財(cái)產(chǎn)利益歸屬的重要法律基礎(chǔ)。

有學(xué)者認(rèn)為，如果認(rèn)可個(gè)人對(duì)數(shù)據(jù)的財(cái)產(chǎn)利益主張，那么個(gè)人授權(quán)或獲取分成收益的成本很可能超過(guò)其信息貢獻(xiàn)的價(jià)值，導(dǎo)致數(shù)據(jù)交易成本太高，從而無(wú)法實(shí)現(xiàn)數(shù)據(jù)在市場(chǎng)上的流通，甚至使數(shù)據(jù)市場(chǎng)失去存在的意義。⑧田杰堂、劉露瑤：《交易模式、權(quán)利界定與數(shù)據(jù)要素市場(chǎng)培育》，《改革》2020年第7期。有學(xué)者認(rèn)為，數(shù)據(jù)是一種信息集合，經(jīng)收集聚合而成，收集者進(jìn)行了時(shí)間、資金、管理等方面的投入，且作為數(shù)據(jù)集合的投入者，通常都是單一和清晰的，因而其權(quán)屬界定應(yīng)當(dāng)是清晰的，此即收集者即投入者享有權(quán)利。①孔祥俊：《商業(yè)數(shù)據(jù)權(quán)：數(shù)字時(shí)代的新型工業(yè)產(chǎn)權(quán)——工業(yè)產(chǎn)權(quán)的歸入與權(quán)屬界定三原則》，《比較法研究》2022年第1期。就個(gè)人數(shù)據(jù)的交易成本問(wèn)題，目前的事實(shí)是個(gè)人在數(shù)據(jù)交易市場(chǎng)還不具有強(qiáng)勢(shì)的議價(jià)能力，反而是數(shù)據(jù)處理者處于單方面決定價(jià)格的強(qiáng)勢(shì)地位。正如授予標(biāo)準(zhǔn)必要專利的前提是專利權(quán)人的FRAND承諾，數(shù)據(jù)處理者也應(yīng)根據(jù)自己的收益水平公平合理無(wú)歧視地給予數(shù)據(jù)主體對(duì)價(jià)，避免交易成本過(guò)高問(wèn)題。另外，認(rèn)為數(shù)據(jù)收集者最適合控制數(shù)據(jù)的觀點(diǎn)過(guò)于簡(jiǎn)單。收集的數(shù)據(jù)一般有其來(lái)源并存在原始的個(gè)人數(shù)據(jù)主體。只有在收集者得到允許收集數(shù)據(jù)的情況下，數(shù)據(jù)收集者最適合控制數(shù)據(jù)的觀點(diǎn)才具有正當(dāng)性。②Leon Trakman, Robert Walters and Bruno Zeller, “Trade in Personal Data: Extending International Legal Mechanisms to Facilitate Transnational Trade in Personal Data?”, European Data Protection Law Review, vol.6, no.2, 2020.用洛克的勞動(dòng)財(cái)產(chǎn)理論證成個(gè)人數(shù)據(jù)收集者的產(chǎn)權(quán)恐力有不逮。洛克理論的前提是存在足夠多的無(wú)主物品，因此每個(gè)人都可以占有他們的勞動(dòng)對(duì)象。因此，只有在該物品尚未為他人所有的情況下，才可以通過(guò)自己的勞動(dòng)來(lái)獲得該物品的產(chǎn)權(quán)。名譽(yù)、財(cái)產(chǎn)狀況等諸多個(gè)人數(shù)據(jù)在一定意義上也是數(shù)據(jù)主體的勞動(dòng)成果，在此意義上，每個(gè)人都應(yīng)對(duì)自己的個(gè)人信息擁有一定的原始財(cái)產(chǎn)利益。③Vera Bergelson, “It’s Personal But Is It Mine? Toward Property Rights in Personal Information”, U. C. Davis Law Review, vol.37, no.379, 2003.當(dāng)然，根據(jù)洛克的勞動(dòng)財(cái)產(chǎn)理論，僅能初步得出個(gè)人數(shù)據(jù)上一定人格利益和財(cái)產(chǎn)利益歸屬的結(jié)論。面對(duì)個(gè)人數(shù)據(jù)在現(xiàn)實(shí)生活中應(yīng)用的復(fù)雜性，目前仍以《個(gè)人信息保護(hù)法》為基礎(chǔ)的合同路徑較為妥當(dāng)。

（二）數(shù)據(jù)處理者參與交易的權(quán)利基礎(chǔ)

數(shù)據(jù)處理者在數(shù)據(jù)交易的二級(jí)市場(chǎng)向下游交易其從數(shù)據(jù)主體處收集的個(gè)人數(shù)據(jù)。數(shù)據(jù)處理者繼續(xù)交易的“權(quán)源”仍為數(shù)據(jù)主體的同意。我國(guó)《個(gè)人信息保護(hù)法》第1條規(guī)定：“為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，根據(jù)憲法，制定本法?！苯Y(jié)合第1條來(lái)理解第4條規(guī)定的處理行為會(huì)有更清晰的認(rèn)識(shí)。以“提供”為例，此處的“提供”方為個(gè)人信息處理者而非數(shù)據(jù)主體，“提供”可以指有償“提供”也可以指無(wú)償“提供”，有償“提供”的對(duì)價(jià)可以是貨幣也可以是非貨幣財(cái)產(chǎn)。因此，個(gè)人數(shù)據(jù)提供行為包括個(gè)人數(shù)據(jù)交易行為。同時(shí)，《個(gè)人信息保護(hù)法》第10條規(guī)定：“任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開(kāi)他人個(gè)人信息；不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)。”筆者認(rèn)為，第10條中的“非法”并非指買賣個(gè)人數(shù)據(jù)行為本身“非法”，“非法”是對(duì)買賣的限定，是與“合法”買賣相對(duì)而言，亦即不禁止基于告知同意等規(guī)則的合法的個(gè)人數(shù)據(jù)買賣行為。至于如何理解“買賣”和“提供”并列，而在個(gè)人信息處理的定義中又沒(méi)有“買賣”，合理的解釋是一方面要與侵犯公民個(gè)人信息罪中“向他人出售或提供公民個(gè)人信息”的規(guī)定相銜接而明確反對(duì)非法出售個(gè)人信息，在現(xiàn)有條件下對(duì)個(gè)人數(shù)據(jù)買賣持極為謹(jǐn)慎的態(tài)度，另一方面又兼顧數(shù)字經(jīng)濟(jì)的發(fā)展。我國(guó)《民法典》第1038條規(guī)定，“信息處理者不得泄露或者篡改其收集、存儲(chǔ)的個(gè)人信息；未經(jīng)自然人同意，不得向他人非法提供其個(gè)人信息，但是經(jīng)過(guò)加工無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外?！薄缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》第9.2條更是十分明確地確認(rèn)了個(gè)人數(shù)據(jù)的可交易性?！秱€(gè)人信息保護(hù)法》第23條規(guī)定，個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。此為個(gè)人數(shù)據(jù)二級(jí)市場(chǎng)交易的意定授權(quán)。

個(gè)人數(shù)據(jù)交易二級(jí)市場(chǎng)的意定授權(quán)在域外已有立法例。2020 年 1 月 1 日，《2018 年加州消費(fèi)者隱私法》（California Consumer Privacy Act of 2018，簡(jiǎn)稱CCPA）成為《加州民法典》（The Civil Code of the State of California）的組成部分。④CCPA: California Consumer Privacy Act Explained, https://termly.io/resources/articles/ccpa/, 30 April 2022.CCPA第1798.120節(jié)規(guī)定如下。一是消費(fèi)者有權(quán)在任何時(shí)候指示向第三方出售消費(fèi)者個(gè)人信息的企業(yè)不得出售消費(fèi)者的個(gè)人信息。該權(quán)利可稱為選出權(quán)。二是將消費(fèi)者個(gè)人信息出售給第三方的企業(yè)應(yīng)根據(jù)第 1798.135 節(jié)（a）向消費(fèi)者發(fā)出通知，告知該信息可能被出售，并且消費(fèi)者有權(quán)選擇不出售其個(gè)人信息。①此處引用《加州消費(fèi)者隱私法》中的節(jié)為《加州民法典》中的節(jié)。作為美國(guó)最嚴(yán)格的數(shù)據(jù)隱私和數(shù)字消費(fèi)者權(quán)利法，CCPA允許數(shù)據(jù)處理者與第三方交易個(gè)人數(shù)據(jù)。德國(guó)法律規(guī)定，出于銷售的目的處理數(shù)據(jù)需要雙重同意。②Anupam Chander and Paul Schwartz, “Privacy and/or Trade”, University of Chicago Law Review, vol.90, no.1, 2023.據(jù)此可推知德國(guó)亦允許交易個(gè)人數(shù)據(jù)。2020 年2 月19 日，歐盟委員會(huì)公布了《歐盟數(shù)據(jù)戰(zhàn)略》（A European Strategy for Data），致力于促進(jìn)數(shù)據(jù)共享，發(fā)展歐盟數(shù)據(jù)經(jīng)濟(jì)?！稊?shù)據(jù)治理法》（Data Governance Act）和《數(shù)據(jù)法（提案）》（Proposal for a Data Act）即為落實(shí)《歐盟數(shù)據(jù)戰(zhàn)略》的重要立法舉措。

四、個(gè)人數(shù)據(jù)交易的原則

不論是對(duì)個(gè)人數(shù)據(jù)的絕對(duì)保護(hù)還是完全公開(kāi)都不利于對(duì)個(gè)人數(shù)據(jù)的的最佳利用，合理建構(gòu)個(gè)人數(shù)據(jù)交易制度才能平衡個(gè)人數(shù)據(jù)的保護(hù)和利用。如果說(shuō)在個(gè)人數(shù)據(jù)交易的一級(jí)市場(chǎng)應(yīng)遵循“告知同意”原則側(cè)重保護(hù)，那么在二級(jí)市場(chǎng)則應(yīng)遵循“合法”原則和“兼容”原則側(cè)重利用。我國(guó)《個(gè)人信息保護(hù)法》及其他規(guī)范以告知同意原則為核心。各國(guó)也普遍認(rèn)為，關(guān)于信息隱私的同意要求是建立在向數(shù)據(jù)主體提供足夠的信息的基礎(chǔ)之一，以便使其在知情的基礎(chǔ)上作出決定。③Anupam Chander and Paul Schwartz, “Privacy and/or Trade”, University of Chicago Law Review, vol.90, no.1, 2023.在個(gè)人數(shù)據(jù)交易的一級(jí)市場(chǎng)中仍應(yīng)將告知同意原則作為制度設(shè)計(jì)的基石。同時(shí)，同意須選入（opt-in）且可退出。當(dāng)然，選入機(jī)制也存在缺點(diǎn)，許多數(shù)據(jù)處理機(jī)構(gòu)很可能擅長(zhǎng)就其條款獲得同意，而不管默認(rèn)情況是要求消費(fèi)者授權(quán)還是阻止信息共享，④Paul M. Schwartz, “Property, Privacy, and Personal Data”, Harvard Law Review, vol.117, no.7, 2004.數(shù)據(jù)主體并沒(méi)有因?yàn)檫x入的規(guī)則顯著受益，退出機(jī)制的效果也十分有限。為在數(shù)據(jù)交易中增強(qiáng)對(duì)數(shù)據(jù)主體的保護(hù)，應(yīng)當(dāng)設(shè)立年度通知機(jī)制，重新獲得數(shù)據(jù)主體同意。此時(shí)個(gè)人數(shù)據(jù)已經(jīng)進(jìn)入二級(jí)市場(chǎng)，應(yīng)采用選出（opt-out）機(jī)制。在二級(jí)市場(chǎng)中，如果在數(shù)據(jù)主體沒(méi)有明示退出時(shí)允許一手?jǐn)?shù)據(jù)控制者單方默認(rèn)數(shù)據(jù)主體退出，則既不利于個(gè)人數(shù)據(jù)二級(jí)市場(chǎng)交易合同的穩(wěn)定，也可能構(gòu)成對(duì)二級(jí)市場(chǎng)合同相對(duì)方違約。為兼顧數(shù)據(jù)交易安全與數(shù)據(jù)主體權(quán)益，此時(shí)采用選出機(jī)制更為妥適。因?yàn)閭€(gè)人數(shù)據(jù)具有人格屬性，關(guān)涉公共利益，個(gè)人數(shù)據(jù)進(jìn)入數(shù)據(jù)交易的二級(jí)市場(chǎng)并不意味著個(gè)人數(shù)據(jù)脫離數(shù)據(jù)主體的控制。因此，當(dāng)數(shù)據(jù)處理者在數(shù)據(jù)交易的二級(jí)市場(chǎng)中提供個(gè)人數(shù)據(jù)時(shí)應(yīng)受到一定的限制，采用合法原則和兼容原則。借鑒隱私期待的思路，限制個(gè)人數(shù)據(jù)在二級(jí)市場(chǎng)的可轉(zhuǎn)讓性，應(yīng)要求轉(zhuǎn)讓滿足數(shù)據(jù)主體的合理的數(shù)據(jù)期待，在本文中稱其為隱私期待。如此，才能塑造可信的個(gè)人數(shù)據(jù)二級(jí)市場(chǎng)空間。

（一）合法原則

合法原則是指?jìng)€(gè)人數(shù)據(jù)二級(jí)市場(chǎng)交易應(yīng)符合法律，特別是保護(hù)第三方的法律規(guī)定及合同約定，以此劃定個(gè)人數(shù)據(jù)二級(jí)市場(chǎng)交易的邊界。在我國(guó)，個(gè)人數(shù)據(jù)二級(jí)市場(chǎng)交易合法原則應(yīng)由“不構(gòu)成犯罪”“不受行政處罰”“不侵權(quán)”和“不違約”四部分構(gòu)成?！安粯?gòu)成犯罪”和“不受行政處罰”是個(gè)人數(shù)據(jù)二級(jí)市場(chǎng)交易的重要前提。本文主要論述“不侵權(quán)”原則和“不違約”原則。

第一，不侵權(quán)。個(gè)人數(shù)據(jù)二級(jí)市場(chǎng)交易帶來(lái)的侵權(quán)風(fēng)險(xiǎn)存在特殊性，二級(jí)市場(chǎng)交易的當(dāng)事方可能侵犯數(shù)據(jù)主體的權(quán)益。在個(gè)人數(shù)據(jù)的二級(jí)市場(chǎng)交易中，交易主體不應(yīng)侵犯具有第三方效力的權(quán)益。⑤ALI-ELI Principles for a Data Economy: Data Rights and Transactions, Principle 28.例如，在違背權(quán)利人的隱私期待等情況下，出售涉及知識(shí)產(chǎn)權(quán)、隱私權(quán)、個(gè)人信息等具有第三方效力的權(quán)益可能構(gòu)成侵權(quán)。在數(shù)據(jù)定性及權(quán)屬尚無(wú)定論的今天，我國(guó)法院在實(shí)務(wù)中一般通過(guò)反不正當(dāng)競(jìng)爭(zhēng)法來(lái)保護(hù)利害關(guān)系人的權(quán)益。在當(dāng)前數(shù)據(jù)權(quán)益反不正當(dāng)競(jìng)爭(zhēng)保護(hù)中，大多案件涉及的都是采取保護(hù)措施的數(shù)據(jù)，被訴行為通過(guò)繞過(guò)或者破壞技術(shù)措施等方式擅自獲取數(shù)據(jù)。⑥孔祥?。骸渡虡I(yè)數(shù)據(jù)權(quán)：數(shù)字時(shí)代的新型工業(yè)產(chǎn)權(quán)》，《比較法研究》2022年第1期。因此，在下列情形應(yīng)該認(rèn)為未經(jīng)授權(quán)訪問(wèn)數(shù)據(jù)構(gòu)成了對(duì)他人數(shù)據(jù)的侵權(quán)。一是規(guī)避安全措施。二是利用數(shù)據(jù)控制者的安全漏洞，不能合理期待該安全漏洞是控制者的意圖。三是通過(guò)技術(shù)手段攔截非公開(kāi)傳輸?shù)臄?shù)據(jù)。①ALI-ELI Principles for a Data Economy: Data Rights and Transactions, Principle 31.此外，《個(gè)人信息保護(hù)法》第9條、《網(wǎng)絡(luò)安全法》第9條、《消費(fèi)者權(quán)益保護(hù)法》第29條都明確規(guī)定了數(shù)據(jù)處理者的安全保障義務(wù)，切實(shí)履行安全保障義務(wù)也是不侵權(quán)的重要要求。

第二，不違約。個(gè)人數(shù)據(jù)二級(jí)市場(chǎng)交易的另一合法邊界為不違約，其特殊性在于數(shù)據(jù)提供方不能違反其對(duì)數(shù)據(jù)主體的承諾。不違約意味著在個(gè)人數(shù)據(jù)交易的二級(jí)市場(chǎng)中，數(shù)據(jù)交易當(dāng)事方都要受到數(shù)據(jù)價(jià)值鏈中的前手關(guān)于個(gè)人數(shù)據(jù)使用和轉(zhuǎn)讓的具體限制。②ALI-ELI Principles for a Data Economy: Data Rights and Transactions, Principle 28, 30, 32.否則，數(shù)據(jù)提供方與下游數(shù)據(jù)接收方惡意串通將弱化甚至架空對(duì)個(gè)人數(shù)據(jù)使用和轉(zhuǎn)讓的限制。實(shí)踐中已經(jīng)開(kāi)發(fā)出了不同的問(wèn)責(zé)制管理平臺(tái)，以確保數(shù)據(jù)主體知道其個(gè)人數(shù)據(jù)在二級(jí)市場(chǎng)中的使用符合自己的隱私期待，且下游數(shù)據(jù)接收方能夠驗(yàn)證個(gè)人數(shù)據(jù)是合法商品化及遵守向諸多前手負(fù)有的法律和合同義務(wù)。例如德國(guó)的ZIVIT平臺(tái)能夠?qū)€(gè)人數(shù)據(jù)的任何訪問(wèn)、使用、披露、更改和刪除都追溯到發(fā)起方。有的管理平臺(tái)使用粘性策略（sticky policies）將個(gè)人數(shù)據(jù)使用策略作為元數(shù)據(jù)附加到個(gè)人數(shù)據(jù)。平臺(tái)可以跟蹤粘性個(gè)人數(shù)據(jù)使用策略的執(zhí)行情況。③Sarah Spiekermann and Alexander Novotny, “A Vision for Global Privacy Bridges: Technical and Legal Measures for International Data Markets”, Computer Law & Security Review, vol.31, no.2, 2015.統(tǒng)一的場(chǎng)內(nèi)交易目前也許更適合個(gè)人數(shù)據(jù)交易可審計(jì)可追溯的要求。

我國(guó)正加快培育統(tǒng)一的技術(shù)和數(shù)據(jù)市場(chǎng)，建立健全數(shù)據(jù)安全、權(quán)利保護(hù)、跨境傳輸管理、交易流通、開(kāi)放共享、安全認(rèn)證等基礎(chǔ)制度和標(biāo)準(zhǔn)規(guī)范。國(guó)家發(fā)改委2022年3月21日發(fā)布了《關(guān)于對(duì)“數(shù)據(jù)基礎(chǔ)制度觀點(diǎn)”征集意見(jiàn)的公告》，建議構(gòu)建在使用中流通、場(chǎng)內(nèi)場(chǎng)外相結(jié)合的交易制度體系。在數(shù)據(jù)交易市場(chǎng)還不完善，個(gè)人數(shù)據(jù)保護(hù)機(jī)制還有待健全的當(dāng)下，我們認(rèn)為，我國(guó)尚不具備個(gè)人數(shù)據(jù)同時(shí)進(jìn)入場(chǎng)內(nèi)和場(chǎng)外結(jié)合的交易制度的條件，當(dāng)前似更應(yīng)完善場(chǎng)內(nèi)個(gè)人數(shù)據(jù)交易制度，構(gòu)建數(shù)據(jù)的可信流通體系。

（二）兼容原則

根據(jù)個(gè)人數(shù)據(jù)二級(jí)市場(chǎng)交易是否需要征求數(shù)據(jù)主體的同意為標(biāo)準(zhǔn)，我們將在個(gè)人數(shù)據(jù)的二級(jí)市場(chǎng)交易中需要逐次逐件征得數(shù)據(jù)主體同意的觀點(diǎn)稱為“同意說(shuō)”；將個(gè)人數(shù)據(jù)的二級(jí)市場(chǎng)交易不需要數(shù)據(jù)主體的同意、與數(shù)據(jù)主體的隱私期待兼容便可再次轉(zhuǎn)讓的觀點(diǎn)稱之為“兼容說(shuō)”。在大多數(shù)情況下，在數(shù)據(jù)價(jià)值鏈中使用個(gè)人數(shù)據(jù)需要基于“正當(dāng)利益”“兼容的二次使用”或“同意”。前兩種理由更聚焦個(gè)人數(shù)據(jù)的實(shí)質(zhì)及處理的風(fēng)險(xiǎn)，權(quán)衡有關(guān)各方的相關(guān)利益、可能造成的任何潛在損害以及現(xiàn)有的保障措施，而第三種理由則更具形式性，考察“同意”是否自由、知情、具體和明確。④Sebastian Lohsse, Reiner Schulze and Dirk Staudenmayer（eds.）, Data as Counter-Performance-Contract Law 2.0?,p.205.

我國(guó)《個(gè)人信息保護(hù)法》采用同意說(shuō)。我國(guó)《個(gè)人信息保護(hù)法》第23條規(guī)定：“個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。接收方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意?！痹凇秱€(gè)人信息保護(hù)法》實(shí)施前的2016年，上訴人北京淘友天下技術(shù)有限公司（簡(jiǎn)稱淘友技術(shù)）、北京淘友天下科技發(fā)展有限公司（簡(jiǎn)稱淘友科技）與被上訴人北京微夢(mèng)創(chuàng)科網(wǎng)絡(luò)技術(shù)有限公司（簡(jiǎn)稱微夢(mèng)公司）不正當(dāng)競(jìng)爭(zhēng)糾紛一案中，新浪微博（由微夢(mèng)公司運(yùn)營(yíng)）通過(guò)OpenAPI途徑，允許第三方在用戶授權(quán)的前提下，通過(guò)相應(yīng)接口獲取相關(guān)用戶的信息。OpenAPI通過(guò)《開(kāi)發(fā)者協(xié)議》來(lái)約定平臺(tái)與開(kāi)發(fā)者（第三方）間的權(quán)利義務(wù)?！堕_(kāi)發(fā)者協(xié)議》約定開(kāi)發(fā)者需要收集用戶數(shù)據(jù)的，必須事先獲得用戶的同意。上訴人訴稱其在與被上訴人合作期間取得并使用新浪微博用戶的職業(yè)信息、教育信息系合法獲取、合法使用，并未違反 《開(kāi)發(fā)者協(xié)議》之約定。被上訴人則持相反意見(jiàn)。北京知識(shí)產(chǎn)權(quán)法院認(rèn)為上訴人違反了《開(kāi)發(fā)者協(xié)議》，未經(jīng)用戶同意且未經(jīng)被上訴人授權(quán)，侵害了被上訴人的商業(yè)資源。法院認(rèn)為，在OpenAPI開(kāi)發(fā)合作模式中，第三方通過(guò)OpenAPI獲取用戶信息時(shí)應(yīng)堅(jiān)持“用戶授權(quán)”+“平臺(tái)授權(quán)”+“用戶授權(quán)”的三重授權(quán)原則。①北京知識(shí)產(chǎn)權(quán)法院北京淘友天下技術(shù)有限公司等與北京微夢(mèng)創(chuàng)科網(wǎng)絡(luò)技術(shù)有限公司不正當(dāng)競(jìng)爭(zhēng)糾紛上訴案（2016）京 73 民終 588 號(hào)民事判決書。北京知識(shí)產(chǎn)權(quán)法院在此案中采同意說(shuō)，但前提是《開(kāi)發(fā)者協(xié)議》中已約定開(kāi)發(fā)者收集用戶數(shù)據(jù)須獲得用戶的同意。數(shù)據(jù)接收方從二級(jí)市場(chǎng)獲取個(gè)人數(shù)據(jù)不但需要提供方的授權(quán)，而且需要重新取得數(shù)據(jù)主體的同意。

同意說(shuō)具有尊重?cái)?shù)據(jù)主體的信息自決、行為指引明確、易操作等優(yōu)點(diǎn)。有學(xué)者認(rèn)為數(shù)據(jù)共享“既是數(shù)據(jù)財(cái)產(chǎn)的流轉(zhuǎn)行為，同時(shí)也涉及個(gè)人信息的反復(fù)收集、利用的過(guò)程”，那么“同意”是題中應(yīng)有之意。但是同意說(shuō)也存在諸多問(wèn)題。首先，同意說(shuō)難以適應(yīng)個(gè)人數(shù)據(jù)交易市場(chǎng)的復(fù)雜情況。如果個(gè)人數(shù)據(jù)交易止于數(shù)據(jù)主體、數(shù)據(jù)提供方、數(shù)據(jù)接收方三方之間，那么數(shù)據(jù)提供方通過(guò)與數(shù)據(jù)主體直接聯(lián)系征得數(shù)據(jù)主體同意尚具有現(xiàn)實(shí)可行性。但當(dāng)數(shù)據(jù)接收方成為數(shù)據(jù)共享下一環(huán)中的數(shù)據(jù)提供方時(shí)，此環(huán)中的數(shù)據(jù)提供方或許難于直接取得數(shù)據(jù)主體的同意。而且數(shù)據(jù)價(jià)值鏈條并非單一的線性結(jié)構(gòu)而是復(fù)雜的非線性結(jié)構(gòu)，這更增加了征求數(shù)據(jù)主體同意的難度，也使數(shù)據(jù)主體不堪其擾。其次，同意說(shuō)導(dǎo)致數(shù)據(jù)企業(yè)的合規(guī)成本過(guò)高，通過(guò)個(gè)人數(shù)據(jù)所獲得的價(jià)值可能還不能滿足征得數(shù)據(jù)主體同意的費(fèi)用，結(jié)果必然是要么放棄征得數(shù)據(jù)主體同意，要么數(shù)據(jù)經(jīng)濟(jì)嚴(yán)重受阻?！短詫毦W(wǎng)隱私政策》②《淘寶網(wǎng)隱私政策》，淘寶網(wǎng)：https://terms.alicdn.com/legal-agreement/terms/suit_bu1_taobao/suit_bu1_taobao2017 03241622_61002.html，2022年5月6日。第3條、《“抖音”隱私政策》③《“抖音”隱私政策》，抖音網(wǎng)：https://sf3-cdn-tos.douyinstatic.com/obj/ies-hotsoon-draft/douyin_agreement/privacy.html?hide_nav_bar=1，2022年5月6日。第2條、《微博個(gè)人信息保護(hù)政策》④《微博個(gè)人信息保護(hù)政策》，微博網(wǎng)：https://weibo.com/signup/v5/privacy，2022年5月6日。第3條、《百度隱私政策總則》⑤《百度隱私政策總則》，百度網(wǎng)：http://privacy.baidu.com/policy，2022年5月6日。第3條都專條規(guī)定了數(shù)據(jù)共享的相關(guān)內(nèi)容，均以“同意”作為共享的前提，可以作為我國(guó)數(shù)據(jù)共享現(xiàn)實(shí)的一個(gè)縮影。

兼容說(shuō)則以數(shù)據(jù)主體的合理隱私期待為標(biāo)準(zhǔn)，而非征得數(shù)據(jù)主體的實(shí)際同意?！凹幢銢](méi)有信息主體的明確許可，但只要相關(guān)的信息處理行為是當(dāng)事人在該情形下能夠合理預(yù)期的，且這種期待客觀上被社會(huì)認(rèn)為是合理的，就應(yīng)當(dāng)受到保護(hù)?！雹尥趵鳎骸稊?shù)據(jù)共享與個(gè)人信息保護(hù)》，《現(xiàn)代法學(xué)》2019年第1期。

雖然GDPR第14條規(guī)定了非從數(shù)據(jù)主體獲得個(gè)人信息的數(shù)據(jù)處理者對(duì)數(shù)據(jù)主體的告知義務(wù)，但在有關(guān)目的限制原則部分規(guī)定了兼容原則。GDPR第5條第1款（b）項(xiàng)規(guī)定，“個(gè)人數(shù)據(jù)應(yīng)當(dāng)為特定、明確、正當(dāng)?shù)哪康氖占也坏靡耘c以上目的不兼容的方式進(jìn)一步處理。”GDPR第6條第4款對(duì)“兼容”作出了具體的解釋。第一，明確了兼容目的是除了個(gè)人數(shù)據(jù)收集目的以外的目的。第二，明確了兼容測(cè)試的考量因素，包括但不限于：任何在個(gè)人數(shù)據(jù)被收集時(shí)的目的和意圖與進(jìn)一步處理的目的之間的聯(lián)系；個(gè)人數(shù)據(jù)被收集的場(chǎng)景，尤其是關(guān)于數(shù)據(jù)主體和控制者的關(guān)系；個(gè)人數(shù)據(jù)的性質(zhì)，特別是是否為敏感個(gè)人數(shù)據(jù)或與刑事定罪和犯罪有關(guān)的個(gè)人數(shù)據(jù)；意圖進(jìn)一步處理給數(shù)據(jù)主體可能造成的后果；存在適當(dāng)?shù)谋Ｕ洗胧?，可能包括加密或假名化。繼GDPR之后，歐盟于2019年通過(guò)《開(kāi)放數(shù)據(jù)指令》（Open Data Directive）。溫德霍斯特（Christiane Wendeborst）認(rèn)為，《開(kāi)放數(shù)據(jù)指令》的鑒于條款第52條可被理解為確認(rèn)GDPR第6條4款足以作為數(shù)據(jù)繼續(xù)傳輸?shù)莫?dú)立法律依據(jù)，不需要額外的法律依據(jù)。⑦Sebastian Lohsse, Reiner Schulze and Dirk Staudenmayer（eds.）, Data as Counter-Performance-Contract Law 2.0?,p.204.

1974年，哈蘭（John Harlan）法官在Katz v. United States案中提出了合理隱私期待公式（reasonable expectation of privacy）：首先，個(gè)人展示了實(shí)際的隱私期待（主觀條件）；其次，社會(huì)認(rèn)可該期待是合理的（客觀條件）。⑧Jessica F. Silva, “Reasonable Expectations of Privacy in the Digital Age”, Seton Hall Legislative Journal, vol.44, no.3,2020.2004年，尼森鮑姆（Helen Nissenbaum）在闡述尊重場(chǎng)景原則的基礎(chǔ)上構(gòu)建了場(chǎng)景一致性理論（the theory of contextual integrity），認(rèn)為只有滿足信息規(guī)范（informational norms）時(shí)才達(dá)到了一致性或隱私保護(hù)標(biāo)準(zhǔn)。而信息規(guī)范存在三個(gè)變量。一是參與者（actors），包括數(shù)據(jù)主體、提供方、接收方。參與者變量關(guān)注場(chǎng)景的功能和作用，重在考察參與者之間的關(guān)系，如醫(yī)生—患者、老師—學(xué)生等。二是信息類型（information types），是信息屬于特定領(lǐng)域的變量。如醫(yī)療保健數(shù)據(jù)、教育數(shù)據(jù)、政治觀點(diǎn)方面的數(shù)據(jù)。三是傳輸原則（transmission principles）。傳輸原則包括：“保密”“第三方授權(quán)”“法律要求”“購(gòu)買”“出售”“互惠”“認(rèn)證”（authenticated）等。尼森鮑姆進(jìn)一步指出，以上三個(gè)變量共同定義了隱私期待。①Helen Nissenbaum, “Respecting Context to Protect Privacy: Why Meaning Matters”, 2015, DOI 10.1007/s11948-015-9674-9.2012年2月，奧巴馬政府發(fā)布了一份白宮報(bào)告，建議國(guó)會(huì)立法保護(hù)消費(fèi)者的隱私。報(bào)告中提出“尊重場(chǎng)景原則”，即“消費(fèi)者有權(quán)期待公司以與消費(fèi)者提供數(shù)據(jù)的場(chǎng)景相一致的方式收集、使用和披露個(gè)人數(shù)據(jù)”。尊重場(chǎng)景原則要求公司應(yīng)將個(gè)人數(shù)據(jù)的使用和披露限制在特定的目的上，此類目的既符合公司與消費(fèi)者的關(guān)系，又符合消費(fèi)者最初披露數(shù)據(jù)的場(chǎng)景。消費(fèi)者提供個(gè)人數(shù)據(jù)的目的可能為改進(jìn)服務(wù)、銷售在線廣告或收集公司提供給第三方，目的屬于一個(gè)連續(xù)體（continuum），始于消費(fèi)者與一群同伴在線互動(dòng)的核心場(chǎng)景。只要在消費(fèi)者合理期待的范圍內(nèi)，公司無(wú)需在每次使用個(gè)人數(shù)據(jù)時(shí)尋求肯定同意，前提是這些個(gè)人數(shù)據(jù)的新用途與用戶在社交網(wǎng)絡(luò)場(chǎng)景中的預(yù)期一致。②The White House, Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting in Novation in the Global Digital Economy, 2012, p.18.

可以看到，GDPR的兼容測(cè)試和場(chǎng)景一致理論的相同之處在于數(shù)據(jù)可以不需征求數(shù)據(jù)主體同意而二次使用，但限于滿足兼容測(cè)試亦或場(chǎng)景一致性理論。在考察因素上，歐盟和美國(guó)都認(rèn)為應(yīng)該包括參與者關(guān)系考量和信息類型考量。二者不同之處在于，GDPR更側(cè)重于風(fēng)險(xiǎn)評(píng)估，而場(chǎng)景一致性理論側(cè)重信息流動(dòng)的依據(jù)是法定還是意定。兼容測(cè)試和場(chǎng)景一致理論各有千秋，對(duì)我國(guó)均具有一定的參考價(jià)值，在個(gè)人數(shù)據(jù)二級(jí)市場(chǎng)交易中應(yīng)該綜合予以考量。

我國(guó)《個(gè)人信息保護(hù)法》第6條規(guī)定：“處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息?！钡?4條第2款規(guī)定：“個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意?！笨梢?jiàn)，我國(guó)《個(gè)人信息保護(hù)法》采用同意說(shuō)。一項(xiàng)實(shí)證研究顯示， GDPR的實(shí)施導(dǎo)致歐盟境內(nèi)企業(yè)融資金額下降約 26.5%，減少就業(yè)崗位 5000—30000 個(gè)。③Jian Jia, Ginger Zhe Jin and Liad Wagman, “The Short-Run Effects of GDPR on Technology Venture Investment”,NBER Working Paper, no.12, 2019.與合規(guī)相關(guān)的巨大成本可能會(huì)導(dǎo)致資源較少的小公司處于不利地位。④Kristi Harbord, “Genetic Data Privacy Solutions in the GDPR Comment”, Texas A&M Law Review, vol.7, no.1, 2019.綜上，本文認(rèn)為《個(gè)人信息保護(hù)法》采用兼容說(shuō)更為妥當(dāng)。第14條第2款應(yīng)修訂為“個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意，但與個(gè)人信息的初始收集目的兼容的除外?！钡?2條及23條也應(yīng)作類似修改，以促進(jìn)數(shù)據(jù)在二級(jí)市場(chǎng)及其后的價(jià)值鏈中流通。

五、結(jié)語(yǔ)

繼GDPR之后，歐盟陸續(xù)公布了《數(shù)據(jù)治理法》《數(shù)據(jù)法（提案）》，以促進(jìn)數(shù)據(jù)共享，發(fā)展數(shù)字經(jīng)濟(jì)；美國(guó)個(gè)人數(shù)據(jù)交易市場(chǎng)也已相當(dāng)發(fā)達(dá)。在我國(guó)個(gè)人數(shù)據(jù)匿名化或去身份化制度有待完善的今天，更應(yīng)完善個(gè)人數(shù)據(jù)交易制度。應(yīng)當(dāng)根據(jù)個(gè)人數(shù)據(jù)的外部性、損害風(fēng)險(xiǎn)的大小和技術(shù)保障措施、組織保障措施的發(fā)展水平分類分步實(shí)施個(gè)人數(shù)據(jù)交易。個(gè)人數(shù)據(jù)不能無(wú)禁區(qū)地交易，應(yīng)當(dāng)設(shè)置個(gè)人數(shù)據(jù)的絕對(duì)例外和相對(duì)例外。個(gè)人數(shù)據(jù)交易的絕對(duì)例外是指絕對(duì)禁止特定種類的個(gè)人數(shù)據(jù)進(jìn)入市場(chǎng)流通如關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等的核心數(shù)據(jù)。個(gè)人數(shù)據(jù)交易的相對(duì)例外是指?jìng)€(gè)人數(shù)據(jù)交易分類分步實(shí)施，特別是敏感個(gè)人數(shù)據(jù)和重要數(shù)據(jù)。不論是敏感個(gè)人數(shù)據(jù)還是重要數(shù)據(jù)外延都較為寬泛，應(yīng)當(dāng)對(duì)敏感個(gè)人信息和重要數(shù)據(jù)的交易采取審慎的態(tài)度，根據(jù)不同類型進(jìn)行具體分析。