許依怡

（華東政法大學國際法學院,上海 201100）

數據存儲于網絡服務商提供的服務終端或移動存儲設備中，數據的可轉移性必然使數據跨國處理的概率激增，這將極有可能導致跨國侵犯個人數據信息的問題發(fā)生。為了解決跨國個人數據侵權法律沖突問題，應當尋求更具科學性的沖突規(guī)范指引?，F有沖突規(guī)范是否能夠妥善解決個人數據侵權法律沖突，個人信息保護法律的域外效力能否取代沖突規(guī)范作為個人數據侵權主要規(guī)制手段，均有待進一步考察和論證。

1 個人數據侵權法律適用之先決問題：個人數據

1.1 個人數據與個人信息

厘清個人數據侵權法律適用的前提是厘清個人數據的內涵：什么是個人數據？個人信息又是什么？個人數據與個人信息是什么關系？

數據形式多樣，廣義的數據包括日常生活中通過紙質統(tǒng)計的數據，也包括通過網絡傳輸存儲于服務器終端的數據。狹義的數據，即電子數據，限于在計算機及網絡上流通的在二進制的基礎上以0和1的組合表現出來的比特形式[1]。廣義的數據由于其載體形式多樣，其中紙質數據由于其外部形狀，大規(guī)模傳輸的可能性很低，針對此類數據的侵權大多由國內法調整，不在本文討論的范疇。而狹義的數據，由于通過網絡傳輸極易跨境流動，一國僅在本國范圍內進行數據治理效果并不明顯[2]，若此類數據未經授權跨境傳播，則會引起跨境民商事法律沖突，亟待法律適用法進行調整，因此本文將重點討論此類數據。

“個人數據”與“個人信息”二者概念看似等同，實則內涵不盡相同。個人信息指與特定個人相關聯的、反映個體特征的、具有可識別性的符號系統(tǒng)[3]。從定義可知，個人信息是識別個人身份的要素，其表達方式包括數據形式，也包括其他傳統(tǒng)媒體方式[4]。信息是數據的內容，數據是信息的形式[5]，由于個人信息通過數據表現，個人數據的內涵必定帶有個人信息的特征，即可識別性。通常認為，凡是能單獨或者與其他數據結合后識別出自然人的數據就是個人數據。二者概念雖不完全等同，但由于無法明確將其區(qū)分，甚至有學者將兩者外延合并定義了“個人數據信息”[6]這一概念。二者概念混用對于個人數據侵權法律適用研究而言并沒有造成實質影響。況且無論是個人信息侵權還是個人數據侵權，其爭議焦點在于如何規(guī)制此類數據侵權行為，因此二者內涵的范圍并不是本文討論的對象。

為避免前后文不一致，本文采用“個人數據”指代以個人信息為內容表現為數據形式的這些數據。

1.2 個人數據的權利屬性

問一位法學家“什么是權利？”就像問一位邏輯學家一個眾所周知的問題“什么是真理？”同樣使他感到為難[7]。權利的本質并非追究真實與否的邏輯問題，更多是表現立法者的價值取向[8]。對于個人數據而言，筆者認為應當從民事權利的要件入手，分析個人數據的權利屬性，判斷個人數據是否為權利。

1.2.1 個人數據的客體性

民事權利客體是指權利主體法律上的支配權所可能涉及的一切物[9]。德國民法將權利客體劃分為物、精神財產和權利三種，此為支配權的客體，屬于狹義的權利客體。還有一種民事權利依據民事法律行為、事實行為、法律規(guī)定的事件或者其他方式取得①，此類民事權利的客體包括權利和法律關系，其從屬于上述狹義權利客體。也即民事主體擁有的物可作為狹義民事權利客體，而該物上的所有權等權利可作為從屬性權利客體，二者由此產生聯系。

如何看待數據的無體性？如果橫向類比具有非物質性的作品、發(fā)明創(chuàng)造和商譽等知識產權的客體，知識產權的客體往往依附于物質載體[10]，其客體由物質載體所承載或體現。顯然不能因為知識產權的客體通過物質載體體現就否定其客體性，正如不能因為數據由網絡服務商建立的服務器終端傳輸、存儲和處理就否定數據的客體性。

個人數據能夠與特定個人相關聯、反應特定個體特征，此類數據在收集階段能夠確定地由自然人主體控制，而在存儲和處理階段，個人數據的控制權從自然人非獨占地轉移給了網絡服務商等權利主體。但這并不能說明個人數據無法被確定，相反，個人數據因其具有的可識別性使其與特定個人具有緊密聯系。權利客體的確定性并不會因為多個主體同時享有而變動不居。權利客體的范圍和界定是與立法者關于個人需要的認識聯系在一起的，并隨著認識的變化而發(fā)展變化[11]。隨著大數據技術的發(fā)展，權利客體的內涵也不斷豐富，個人數據作為大數據的產物被納入私權客體正體現了現代社會立法者對私權神圣理論制度的價值再造。

個人數據雖無法脫離載體而存在，但以比特形式存在的個人數據必然通過包括代碼等載體形式才能存儲、處理、轉讓。個人數據通過計算機、網絡等媒介進行收集、傳輸、存儲、處理和轉讓，對此類數據是否要進行保護須由立法者判斷其是否對國民的生存發(fā)展具有實際意義，不能僅因數據需要通過載體控制而否定其客體獨立性。

1.2.2 個人數據的財產性與人身性

在法律上，權利與資格聯系在一起。法律權利的性質和功能是由其客體的屬性和功能所決定的[12]。對于個人數據的性質，主要存在財產權說和人格權說兩種觀點。否定財產權說的理由主要是個人數據權因其體現出的人格特征以及行政機構出于公共目的收集個人數據，難以被傳統(tǒng)財產權體系接受。筆者認為，個人數據具有可識別性，能夠獨立或結合其他信息與特定個人建立聯系不可否認，公權力機構為了打擊犯罪等目的收集個人數據合理存儲不容置疑，此種非傳統(tǒng)財產權特征的確給其受侵害時損害的計量帶來不確定性，但這些不足以否定其財產權屬性。

誠然應當承認，法律保護個人數據的最終目的是為了維護公平與平等，但是如果具體考察個人數據權的客體功能的話，不難發(fā)現個人數據同時發(fā)揮著維護主體人格尊嚴和財產利益的價值或功能。應當承認個人數據的平等性，但不能否認具有人格權特性的個人數據可以產生積極財產權益。按照傳統(tǒng)理論來說，人格權原則上不能轉讓，但在其被侵犯時，侵害身體權益的侵權人可以被判罰向被侵權人支付賠償金，從這個角度看，人格權能夠產生財產權益[13]。另外，諸如姓名權、肖像權之類的人格權，權利主體可以通過授權轉讓給其他主體使用的方式獲取經濟利益。這種非傳統(tǒng)人格權都能夠產生財產權益，更何況是具有人格權特性的個人數據。

個人數據權不僅具有人格權屬性同時也具有財產權屬性，不應當僅偏重其人格利益層面的保護，應當在權利屬性上承認其人格權特征，并將其作為一種特殊人格權對待，同時給予其人格利益保護和財產利益保護。

2 個人數據侵權法律適用規(guī)則之本問題：特殊沖突規(guī)范的探尋

厘清個人數據權的相關權利屬性之后，將焦點轉向該種權利受到民事侵權時的法律規(guī)制問題上來。如同前文所述，個人數據能夠將與個人有關的信息通過數據的形式展現，而現代社會，隨著互聯網的飛速發(fā)展和大數據技術的不斷崛起，跨境侵犯個人數據行為屢見不鮮。

諸如Weltimmo案②，通過網絡跨境倒賣個人數據的現象頻繁發(fā)生，對于個人數據權作為私人財產性權利遭受跨境侵權的現象，如何才能有效規(guī)制？筆者將結合Weltimmo案分析傳統(tǒng)沖突規(guī)范的適用困境，并探尋關于個人數據侵權特殊沖突規(guī)范。

2.1 傳統(tǒng)沖突規(guī)范的適用困境

2.1.1 傳統(tǒng)侵權行為地法保護個人數據權的困境

沖突法學說自法則區(qū)別說產生以來，經歷了漫長的發(fā)展歷程。傳統(tǒng)學說大多主張采用一些固定、客觀連接點來選擇法律，強調法律適用的明確性、穩(wěn)定性和一致性[14]。落實到侵權法律沖突領域中，侵權行為地法往往是最先用以解決侵權沖突的法律適用原則[15]。

正如前述，個人數據是更類似智力成果一般的無體物，對于個人數據權侵權，如果僅依靠傳統(tǒng)加害行為地、損害發(fā)生地判斷侵權行為地，就可能無法準確判斷加害行為地或者損害發(fā)生地，或者說存在多個類似的侵權行為地。

結合Weltimmo案，對于通過運營的網站收集廣告用戶個人數據的Weltimmo公司將該數據轉讓給專門收債公司，應當如何判斷這一加害行為的實施地和損害結果發(fā)生地？如果Weltimmo公司不僅收集了數據，而且還通過大數據分析技術，確定匈牙利某些地區(qū)居民對于房型的喜好，我們怎么認定加害行為呢？加害行為僅僅是轉讓行為嗎？如果Weltimmo公司將這些個人數據原始材料轉讓給A國甲企業(yè)，將分析后的數據轉讓給B國乙企業(yè)，或者將這些原始材料同時轉讓給注冊地位于不同國家的企業(yè)，那么怎么明確加害行為地和損害發(fā)生地呢？要解決這些問題，僅依靠傳統(tǒng)僵化的侵權行為地判斷舉步維艱，更何況如果任由被侵權人從多個加害行為地或損害發(fā)生地中選擇其一確定適用法律，不僅會助長當事人挑選法院的苗頭，而且還會導致作為調整跨國民商事法律沖突的沖突規(guī)范無法保證雙方法律主體的平等性。

2.1.2 人格權侵權沖突規(guī)范的適用困境

人格權是指以主體依法固有的人格利益為客體，以維護和實現人格平等、人格尊嚴、人身自由為目標的權利[16]。隨著互聯網的普及，人格權侵權行為隨時隨處發(fā)生，但損害結果很可能延伸至一國領土之外。其侵權行為實施地和損害結果發(fā)生地遠比一般的侵權行為更難判斷。

對于跨境人格權侵權行為，各國一般采取三種立法模式：一是僅采用單一客觀連接點，但該種模式下存在屬人因素和屬地因素的沖突，表現為受害人屬人法和侵權行為地法之間的博弈；二是為了更好地保護受害人的權利，避免屬人和屬地的沖突，立法采用多數連接點，同時規(guī)定于沖突規(guī)范之中；三是結合意思自治理論，授予被侵權人選擇權利，同時考慮侵權人在行為實施地的抗辯權。

參考我國《中華人民共和國涉外民事關系法律適用法》（以下簡稱《法律適用法》）第四十六條規(guī)定的模式③，該模式考慮到了人格權與被侵權人的專屬性特征，但似乎并未顧及肖像權等具體人格權在“互聯網+”時代所具有的人身性與財產性雙重屬性，也沒有設置“逃避條款”。

現實中，如果某經常居住地位于A國的國際明星在中國被侵犯肖像權在中國法院提告，根據《法律適用法》第四十六條之規(guī)定，應當適用被侵權人經常居所地法律。若A國的侵權實體法規(guī)定該行為不構成侵權，可能會造成按照中國實體法構成侵權，但根據A國實體法不構成侵權，最后中國法院適用A國侵權法，判決被侵權人敗訴。暫且不談中國法院對適用外國法的傾向，上述案例的結果根據現行法律規(guī)定，是極有可能發(fā)生的。更何況個人數據權作為一種新型具體人格權，其財產性權益與肖像權一樣值得被法律保護。

如果將Weltimmo案的背景平移到中國的話，Weltimmo公司注冊于中國，其運營網站收集A國居民出售房產的信息，未經同意將這些信息販賣給注冊地位于B國的機構。若A國居民根據《中華人民共和國民事訴訟法》第二百六十五條來到中國起訴Weltimmo公司侵犯個人數據權，會帶來以下問題：根據《法律適用法》第八條之規(guī)定應以中國法定性，同時根據《中華人民共和國民法典》（以下簡稱《民法典》）規(guī)定，個人數據保護位列于人格權編，可看作具體人格權。人格權侵權適用《法律適用法》第四十六條，適用被侵權人經常居所地法律。與前案相同，A國居民的經常居所地為A國，A國侵權法律認定該行為不構成侵權，假設我國法律認為是侵權，那么最終結果依然是被侵權人敗訴。

再假設，如果Weltimmo公司注冊于斯洛伐克運營網站收集中國居民出售房產的信息，販賣給B國機構。中國居民在中國向法院起訴，法院根據《法律適用法》第四十六條適用中國法。根據《民法典》第一千零三十四條第一款④、第一千一百九十四條⑤，以及《中華人民共和國網絡安全法》第四十四條⑥之規(guī)定，該公司的行為能夠在中國法院被認定為侵權行為。由此會造成法律適用內外不一致的困境，這是國際私法所不允許的。

2.2 個人數據侵權專門法律適用規(guī)則的建立

2.2.1 傳統(tǒng)處理軟化方法在個人數據侵權的應用

法律關系的本質是公平、合理、有序，它不取決于法律的內容，相反力求實現法律關系的公平、合理和有序應當是一般法律的追求目標?？鐕裆淌路申P系也不例外。國際私法的價值追求是在調整國際民商事關系時，再現其公平、合理的本質，引導國際民商事關系呈現有序的狀態(tài)[17]。

為了解決上述傳統(tǒng)沖突規(guī)范適用的困境，合理規(guī)制個人數據侵權法律適用問題，筆者認為首先應從顛覆客觀連接點，試圖追尋法律選擇公平正義的最密切聯系原則入手。

最密切聯系原則在傳統(tǒng)沖突規(guī)范中應用的緣起于傳統(tǒng)僵化的客觀連接點導致隨著時間推移，不適應當時社會的發(fā)展變化，因此增加“最密切聯系”概念使沖突規(guī)范更具有靈活性和開放性，從而使案件結果更合理、被侵權人更可能獲得賠償，比如美國兩次沖突法重述中由“奧汀訴奧汀”案⑦，法官富德明確采用“重力中心地”概念，以及其后“巴布科訴杰克遜”案⑧提出“準據法應當是在解決某個特定問題時具有最大利益的那個州的法律”。

如果在互聯網時代，將該原則運用到確定個人數據侵權法律適用規(guī)則，又將如何？有學者認為在互聯網模式下，密切聯系的范圍可能被無限擴大，重心的位置不容易確定[18]。對此筆者表示認同。結合第四十六條來看，該條只規(guī)定了被侵權人經常居所地這一個連接點，筆者推測立法者可能推定其經常居所地與被侵權人聯系最為密切。因此，侵犯人格權適用被侵權人的經常居所地法律是最符合被侵權人的利益的。但立法者忽略了在人格權侵權的情形下，損害結果可能在被侵權人國籍國、住所和慣常居所都遍及，其中最嚴重的結果并非在慣常居所，如果將被侵權人的經常居所地退一步改為損害結果發(fā)生地則更為妥當。此處的損害結果發(fā)生地應當排除間接損害，結合最密切聯系原則確定。

盡管該原則需要法官的自由裁量，但我們可以通過預設當事人共同屬人法間接應用最密切聯系原則。若雙方沒有共同屬人法，并不意味著《法律適用法》就無計可施。在這之后還有意思自治原則。需要特別明確，由于《法律適用法》第四十四條⑨規(guī)定的一般侵權行為沖突規(guī)范中已將意思自治納入考慮侵權行為法律適用規(guī)則體系之中，雖然立法者為了保護經濟或經驗上的弱者而將法律選擇的意思自治限定在侵權發(fā)生之后，但將其適用于個人數據侵權，特別是保護人格權屬性而言，并無不可。

2.2.2 個人數據侵權法律適用特殊規(guī)則的探尋

區(qū)別于傳統(tǒng)國際私法對個人數據保護規(guī)則的構建模式，由于個人數據權的財產權屬性，權利主體通常是個人數據權保護法律關系中較為弱勢的一方。此處的“弱勢”應指在個人數據保護法律關系中，由于市場力量不平衡導致經濟地位不平衡而處于弱勢地位或者不利地位的當事人。對于個人數據財產權的保護，可以借鑒弱者權益保護原則，創(chuàng)建專門沖突規(guī)范。

法是普遍適用的行為規(guī)范，法的這種普遍性天然要求法平等對待全體社會成員。但社會上的強者和弱者都向法的普遍性提出挑戰(zhàn)，要求法的例外對待[19]。為了平衡侵權關系主體之間由于財力差異、信息不對稱導致的訴訟力量的懸殊，各國已經在一般侵權的沖突規(guī)范中結合保護弱者原則。

落實到個人數據的語境中，被侵權人對侵權人身份收集的困難、對其個人數據被侵害事實認知的滯后，導致被侵權人很難像侵權人那樣平等地參與訴訟，其維護自身權益的成本通常要比侵權人高得多。沖突規(guī)范為滿足實質正義的要求，賦予被侵權人特殊的選擇權利，使被侵權人盡可能在被侵權之后得到救濟的機會是法律的應有之意。同時，為維護實質正義，減少助長當事人挑選法院的風氣，也應當注意侵權行為與被侵權人的從屬性問題。并非個人數據所有可能的流轉環(huán)節(jié)都與侵權人有關，因此對被侵權人選擇準據法時也要設限，將一些與侵權人直接侵權無關的連接點排除在外。

體現弱者保護的法律選擇方法直接關注的應當是如何幫助弱者實現法律保護的權利，這表現為政策定向的法律選擇方法或規(guī)則[20]。使被侵權人得到應有賠償，維護弱者實現自身權益，同時阻止別有用心之人“假扮”弱者利用規(guī)則獲利，這應當是個人數據侵權沖突規(guī)范建立的目標。

在個人數據跨境流動的背景下，關于如何保護個人數據特別是針對財產性特征，筆者認為，個人數據的處理地以及其財產價值產生地值得我們關注。經濟學家曼昆（N.Gregory Mankiw）通過分析Isoland國內紡織品出口前后的價格對一國的經濟影響得出結論：貿易使一國的經濟福利增加[21]。根據該經濟學的理論，當商品在不斷進行跨國貿易時，貿易能夠為各主體帶來經濟利益，由此可以認為個人數據的價值能在持續(xù)交易中提升。但現實中，一般很難確定無形商品到底要轉多少手才能體現出其最大價值。結合被訴侵權人身份主體確定的困難，這些都導致了個人數據財產價值難以客觀量化。

不過，既然本文討論的是中國《法律適用法》的條文問題，那么應當設置一個前提：被侵權人在向法院提告之前，至少能夠確定一個直接侵權人。在此前提下，可認為被侵權人通過一定的努力可以確定侵權行為實施地，即個人數據處理行為地。而且就算被侵權人無法確定侵權人實際處理數據地或個人數據交易地，也能確定侵權人的主營業(yè)地、主要辦事機構所在地等與侵權人實際經營有關聯的連接點。目前，個人數據交易行為仍廣泛存在于互聯網和大數據技術發(fā)展迅猛的發(fā)達國家和部分發(fā)展中國家，為了更好地保護被侵權人利益，立法者應考慮將侵權人主營業(yè)地或者主要辦事機構所在地法律歸入法律適用體系中，供被侵權人選擇，因為大部分此類機構所在地國賠償標準更高。當然這需要添加“可預見性”的限制，這樣更為合理。

3 結語

個人數據的權利屬性一直以來為民法學界所爭論不休，《民法典》賦予其新型具體人格權的歸屬算是為此類爭議暫時定分止爭。在大數據背景下，由于個人數據權特有的人格權和財產權雙重屬性，生搬硬套傳統(tǒng)沖突規(guī)范規(guī)則并不能很好地解決跨境侵犯個人數據權的法律適用問題。在沒有統(tǒng)一實體法的情況下，為了增強沖突規(guī)范的靈活性以應對個人數據侵權行為，無論是改良傳統(tǒng)沖突規(guī)則來解決跨境侵權訴訟中內外國不一致問題，還是創(chuàng)新規(guī)則從個人數據權的財產價值入手，借鑒弱者保護原則，探尋新方法，都值得立法者嘗試。

注釋：

①參見《中華人民共和國民法典》第一百二十九條：“民事權利可以依據民事法律行為、事實行為、法律規(guī)定的事件或者法律規(guī)定的其他方式取得?！?/p>

②Case C-230/14 Weltimmo (CJEU,1 October 2015)ECLI:EU:C:201 5:639,para 11.Weltimmo是一家注冊在斯洛伐克的房地產公司，運營一個房產交易網站，為坐落于匈牙利的房產打廣告。許多廣告用戶在該網站第一個月免費使用時紛紛提出使用申請，而到了第二個月需要收費使用時發(fā)郵件退訂該服務。Weltimmo公司無視用戶的退訂要求，繼續(xù)提供服務并在用戶不支付服務費的情況下，把用戶相關的個人數據轉賣給了專門收債公司。

③參見《中華人民共和國涉外民事關系法律適用法》第四十六條：“通過網絡或者采用其他方式侵害姓名權、肖像權、名譽權、隱私權等人格權的，適用被侵權人經常居所地法律。”

④參見《中華人民共和國民法典》第一千零三十四條第一款：“自然人的個人信息受法律保護?！?/p>

⑤參見《中華人民共和國民法典》第一千一百九十四條：“網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的，應當承擔侵權責任。法律另有規(guī)定的，依照其規(guī)定?！?/p>

⑥參見《中華人民共和國網絡安全法》第四十四條：“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息?！?/p>

⑦Auten v.Auten,308 N.Y.155,124 N.E.2d 99 (1954).

⑧Babcock v.Jackson,12 N.Y.2d 473,191 N.E.2d 279(1963).

⑨參見《中華人民共和國涉外民事關系法律適用法》第四十四條：“侵權責任，適用侵權行為地法律，但當事人有共同經常居所地的，適用共同經常居所地法律。侵權行為發(fā)生后，當事人協(xié)議選擇適用法律的，按照其協(xié)議?！?/p>