丁鳳玲,彭建

一、問題的提出

數(shù)據(jù)作為數(shù)字經(jīng)濟的生產(chǎn)要素,深刻改變著當前社會的生產(chǎn)方式、生活方式與社會治理方式。然而,過度收集與利用個人數(shù)據(jù)(1)理論上對于數(shù)據(jù)與信息之間的關(guān)系存在不同看法,本文贊同程嘯教授的觀點,認為在個人數(shù)據(jù)層面,個人數(shù)據(jù)與個人信息并無實質(zhì)差別,故本文不加區(qū)分地使用“個人數(shù)據(jù)”與“個人信息”。參見:程嘯.個人信息保護法理解與適用[M].北京:中國法制出版社,2021:74-76.現(xiàn)象頻發(fā),嚴重影響普通人的正常生活。除建立健全個人數(shù)據(jù)保護法律法規(guī)之外,我國政府還開始探索個人數(shù)據(jù)保護的新機制。2022年12月19日,中共中央、國務(wù)院印發(fā)《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》(以下簡稱“數(shù)據(jù)二十條”),其中第6條指出:探索由受托者代表個人利益監(jiān)督市場主體對個人信息數(shù)據(jù)進行采集、加工、使用的機制。由于受托人機制與域外的個人數(shù)據(jù)信托較為相似,有學者將之稱為中國版?zhèn)€人數(shù)據(jù)“信托”[1]。

受傳統(tǒng)法學思維的影響,在面對個人數(shù)據(jù)保護這一問題時,理論研究的焦點主要集中于是否應(yīng)當賦予個人數(shù)據(jù)權(quán)利及權(quán)利內(nèi)容,對于權(quán)利能否實現(xiàn)及其實現(xiàn)方式則不被重視。誠然,“是否有權(quán)”與“權(quán)利內(nèi)容”是前提,但“能否實現(xiàn)”與“實現(xiàn)方式”才是落腳點。在我國《個人信息保護法》與《民法典》已經(jīng)“賦權(quán)”的背景下(2)盡管對于《個人信息保護法》與《民法典》所規(guī)定的個人信息權(quán)益是屬于賦予個人權(quán)利,還是只是保護個人利益,理論屆尚有爭議,但對于個人信息或者說個人數(shù)據(jù)應(yīng)當予以法律保護已經(jīng)成為共識,本文贊同“賦權(quán)”說,即認為個人信息權(quán)益是民事權(quán)利。參見:馬長山.數(shù)字法治概論[M].北京:法律出版社,2022:63.,反思權(quán)利實現(xiàn)機制尤為必要。與理論研究致力于個人數(shù)據(jù)權(quán)利體系的構(gòu)造不同,實踐一直以來更關(guān)心如何解決個人“有權(quán)”卻無法實現(xiàn)這一問題,如今,一種旨在幫助個人實現(xiàn)權(quán)利的新型數(shù)據(jù)中介已在實踐中悄然興起,其中就包括作為受托人機制原型的數(shù)據(jù)信托。

有別于主流的權(quán)利話語,這類新型數(shù)據(jù)中介并不直接討論數(shù)據(jù)所有權(quán)或產(chǎn)權(quán)問題,而是重點關(guān)注個人控制其數(shù)據(jù)的實際能力,旨在彌補立法與實踐之間的鴻溝。2018年11月,一家旨在通過提高個人數(shù)據(jù)控制權(quán)以實現(xiàn)數(shù)字人權(quán)的國際非營利組織My Data Global 于芬蘭成立。2019年4月,英國開放數(shù)據(jù)研究所(Open Data Institute, ODI)發(fā)布報告,認為數(shù)據(jù)信托可能成為一種數(shù)據(jù)管理方式(3)ODI的報告對此進行了詳細闡釋,參見:ODI. Data trusts lessons from three pilots [EB/OL]. (2019-04-15)[2022-12-13].https://theodi.org/article/odi-data-trusts-report/.。2021年,數(shù)據(jù)信托被評為“全球十大突破性技術(shù)”之一。2022年6月20日,我國首個個人信息保護與確權(quán)服務(wù)平臺“人民數(shù)?！闭缴暇€,該平臺旨在將個人數(shù)據(jù)權(quán)利歸還給人民,實現(xiàn)“我的數(shù)據(jù)我做主”。 My Data Global、數(shù)據(jù)信托、“人民數(shù)?！钡葦?shù)據(jù)中介,就是一種新的、旨在將數(shù)據(jù)歸還給個人從而實現(xiàn)個人數(shù)據(jù)控制權(quán)的新型主體。

當前,我國業(yè)已形成以《民法典》《個人信息保護法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》等為核心的個人信息保護體系。其中,由于《個人信息保護法》系專門規(guī)制個人信息處理行為之法律,也被稱為個人信息保護的“基本法”。上述法律構(gòu)筑了一套以“知情同意”原則為核心的私權(quán)保護體系,但由于數(shù)據(jù)處理者的絕對支配地位及“知情同意”原則的內(nèi)在缺陷,這些權(quán)利往往難以實現(xiàn)。以知情權(quán)為例,《個人信息保護法》第44條明確規(guī)定,個人對其個人信息的處理享有知情權(quán)與決定權(quán),但現(xiàn)實中數(shù)據(jù)處理者未充分披露處理范圍與處理目的、拒絕披露處理行為、提供的用戶隱私政策不夠具體等現(xiàn)象屢見不鮮,個人常常不得不訴諸司法,實現(xiàn)知情權(quán)之成本過于高昂。根本上,造成這一尷尬局面的重要原因是個人缺乏實現(xiàn)其個人數(shù)據(jù)權(quán)利的能力,而國家監(jiān)管的效率不高,難以面面俱到。

因此,對個人數(shù)據(jù)權(quán)利的保護,建構(gòu)積極的法律制度固然重要,但思考權(quán)利保護的具體實現(xiàn)路徑更為現(xiàn)實與緊迫。如何讓個人數(shù)據(jù)權(quán)利得以落實是本文關(guān)注的重點。下文將結(jié)合實踐中出現(xiàn)的新型數(shù)據(jù)中介,討論個人數(shù)據(jù)權(quán)利的實現(xiàn)機制。數(shù)據(jù)中介在我國并非新鮮事物,據(jù)不完全統(tǒng)計,我國當前新建數(shù)據(jù)交易機構(gòu)80多家(4)其中省級以上政府提出推進建設(shè)數(shù)據(jù)交易場所的近30家,全國共有大數(shù)據(jù)企業(yè)6萬余家,專業(yè)數(shù)據(jù)人才余萬人。參見:于施洋.加快構(gòu)建全國一體化的數(shù)據(jù)交易市場體系[EB/OL].(2022-12-20)[2022-12-21].https://www.ndrc.gov.cn/xxgk/jd/jd/202212/t20221219_1343660.html?code=&state=123.。因此,當提及數(shù)據(jù)中介時,我們總是聯(lián)想到旨在促進數(shù)據(jù)流通的數(shù)據(jù)交易所(中心),為作區(qū)分,本文將用于幫助實現(xiàn)個人數(shù)據(jù)權(quán)利的數(shù)據(jù)中介稱為個人賦能型數(shù)據(jù)中介(5)這種區(qū)分可能是不周延的,因為交易的對立面是非交易,但本文討論的是主要用于實現(xiàn)個人數(shù)據(jù)權(quán)利的數(shù)據(jù)中介,而不是為了嚴謹分類數(shù)據(jù)中介,故此這種不周延的區(qū)分足以使用。。

二、“新”的數(shù)據(jù)中介:多元化的個人賦能型數(shù)據(jù)中介

(一)個人賦能型數(shù)據(jù)中介的類型化:輔助性和管理性

我國當前沒有數(shù)據(jù)中介的立法定義,《網(wǎng)絡(luò)安全法》與《數(shù)據(jù)安全法》只提及“從事數(shù)據(jù)交易中介服務(wù)的機構(gòu)”,且未作進一步解釋。歐盟《數(shù)據(jù)治理法案》(Data Governance Act,DGA)將“數(shù)據(jù)中介服務(wù)”(data intermediation services)定義為“旨在通過技術(shù)、法律等手段,在數(shù)據(jù)主體、數(shù)據(jù)持有者和數(shù)據(jù)使用者之間建立以數(shù)據(jù)共享為目的的商業(yè)關(guān)系的服務(wù),其中包括行使個人數(shù)據(jù)權(quán)利”。該定義在“行使個人數(shù)據(jù)權(quán)利”這一點上與本文所指的個人賦能型數(shù)據(jù)中介有相通之處。個人賦能型數(shù)據(jù)中介的核心思想是通過中介幫助個人實現(xiàn)對其個人數(shù)據(jù)的控制,并試圖兼顧個人數(shù)據(jù)流通。從當前國內(nèi)外的實踐與理論來看,個人賦能型數(shù)據(jù)中介主要包括個人數(shù)據(jù)空間(personal data spaces)、數(shù)據(jù)銀行(data/information banks)、數(shù)據(jù)信托(data trusts)、數(shù)據(jù)合作社(data cooperatives)與數(shù)據(jù)工會(data labor union)等。

個人賦能型數(shù)據(jù)中介的存在形態(tài)眾多,類型化思維有助于我們把握其本質(zhì)。類型化是指探尋具體事物之間以類似方式存在的本質(zhì),并以歸納的方式把握此類事物的規(guī)范價值與整體印象[2]。類型化思維由馬克斯·韋伯引入社會學,拉德布魯赫最早將之引入法學領(lǐng)域。類型化思維在法學領(lǐng)域有著重要應(yīng)用。在法學中,類型這種思考形式又可以用來詳細描述某些形態(tài)的法律關(guān)系,特別是主觀權(quán)利以及契約性債之關(guān)系的特征[3]。

遵循類型化思維,依據(jù)數(shù)據(jù)中介涉及的法律關(guān)系,個人賦能型數(shù)據(jù)中介大致可以分為輔助性個人賦能型數(shù)據(jù)中介(下文簡稱輔助性數(shù)據(jù)中介)與管理性個人賦能型數(shù)據(jù)中介(下文簡稱管理性數(shù)據(jù)中介)。前者不直接介入個人與數(shù)據(jù)處理者之間的法律關(guān)系,后者接受個人委托,代表個人與數(shù)據(jù)處理者交涉?zhèn)€人數(shù)據(jù)處理問題。

(二)輔助性數(shù)據(jù)中介:個人數(shù)據(jù)空間與數(shù)據(jù)銀行

輔助性數(shù)據(jù)中介注重個人對其個人數(shù)據(jù)的直接控制力,即個人自行決定與誰共享何種個人數(shù)據(jù)而不受他人干擾。這類數(shù)據(jù)中介往往以技術(shù)為主要手段,讓用戶將其個人數(shù)據(jù)傳送到專門的云服務(wù)器中,通過區(qū)塊鏈等技術(shù)保護個人數(shù)據(jù)。該類中介以個人數(shù)據(jù)空間與數(shù)據(jù)銀行為代表。

個人數(shù)據(jù)空間是最為典型的輔助性數(shù)據(jù)中介。在個人數(shù)據(jù)空間中,用戶將其個人數(shù)據(jù)上傳至服務(wù)商提供的服務(wù)器中,并自行決定是否將其個人數(shù)據(jù)分享給第三方。個人數(shù)據(jù)空間的商業(yè)實踐相對較為成熟。法國Cozy Cloud公司的用戶在上傳數(shù)據(jù)后可利用公司的應(yīng)用程序決定其個人數(shù)據(jù)的去向。澳大利亞Meeco公司為企業(yè)客戶提供技術(shù)方案,聲稱這些企業(yè)的用戶能夠訪問、控制和安全地交換其個人數(shù)據(jù)。該公司為比利時KBC銀行開發(fā)的“數(shù)字保險箱”,可以讓該銀行的個人客戶上傳其個人數(shù)據(jù),并決定是否與他人共享。我國“人民數(shù)?！逼脚_主要為個人提供個人數(shù)據(jù)的遷移服務(wù),個人在該平臺還能得到個人數(shù)據(jù)中心生態(tài)合作方提供的“個人數(shù)據(jù)的收益分享”服務(wù)。

數(shù)據(jù)銀行是日本發(fā)展較早的一種數(shù)據(jù)中介,一定程度上可以看作是個人數(shù)據(jù)空間的延伸(6)嚴格來說,數(shù)據(jù)銀行更像是數(shù)據(jù)銀行服務(wù)商擔保的以個人為單位的數(shù)據(jù)交易所:個人通過數(shù)據(jù)銀行將其個人數(shù)據(jù)出售給第三方,獲得如優(yōu)惠券、積分等服務(wù)。但個人數(shù)據(jù)應(yīng)該如何定價這一問題始終未能解決。有關(guān)介紹參見日本總務(wù)省于2022年1月發(fā)布的報告《數(shù)據(jù)銀行組織》(《情報銀行の取組》)。。根據(jù)日本總務(wù)省發(fā)布的《2020年信息通信白皮書》,數(shù)據(jù)銀行是指根據(jù)與個人簽訂的合同管理其個人數(shù)據(jù),并根據(jù)個人指示或預(yù)先規(guī)定的條件向第三方提供數(shù)據(jù)的業(yè)務(wù)。通過數(shù)據(jù)銀行,個人可以選擇向誰共享何種數(shù)據(jù);同時,用戶還可以獲得由第三方提供的便利服務(wù),如優(yōu)惠券、積分等。為確保數(shù)據(jù)銀行可信,日本還成立了“數(shù)據(jù)銀行認證系統(tǒng)”,其認證有效期為兩年,截至目前已經(jīng)有五家企業(yè)獲得認證。須注意的是,數(shù)據(jù)銀行雖然使用了“信息信托功能”這一表述,并以個人數(shù)據(jù)貨幣化為設(shè)計理念,但有日本學者指出,數(shù)據(jù)銀行建立在數(shù)據(jù)擁有人和數(shù)據(jù)管理人之間的委托契約上,而非建立在信托理論之上[4]。

對于個人數(shù)據(jù)空間、數(shù)據(jù)銀行等輔助性數(shù)據(jù)中介,其并不存在一個代表個人利益的組織可以與數(shù)據(jù)處理者交涉。此類中介致力于借助技術(shù)力量來增強個人對其數(shù)據(jù)的控制能力,個人不再是被動的數(shù)據(jù)來源。就此而言,輔助性數(shù)據(jù)中介確實在相當程度上實現(xiàn)了“我的數(shù)據(jù)我做主”。輔助性數(shù)據(jù)中介還使得個人成為數(shù)據(jù)市場中的數(shù)據(jù)提供者,主動參與到數(shù)字市場中[5]。這類中介希望用戶能在個人數(shù)據(jù)空間中積累數(shù)據(jù),也期望有交易需求的第三方可以訪問數(shù)據(jù)。在“數(shù)據(jù)分析—預(yù)測用戶行為”的數(shù)字經(jīng)濟生產(chǎn)邏輯中,使用何種數(shù)據(jù)進行分析是生產(chǎn)鏈條的關(guān)鍵,借助輔助性數(shù)據(jù)中介,個人可以通過主動提供個人數(shù)據(jù)從而加入數(shù)字經(jīng)濟的生產(chǎn)環(huán)節(jié)。

這類以個人數(shù)據(jù)空間為原型的數(shù)據(jù)中介也具有一定缺陷。第一,個人數(shù)據(jù)空間要求個人具備一定的個人數(shù)據(jù)管理能力,至少應(yīng)了解各類個人數(shù)據(jù)的價值,否則無從享受該中介提供的服務(wù)。與認真閱讀冗長的用戶協(xié)議相比,這一要求未必更為合理。即便多數(shù)人已經(jīng)意識到個人數(shù)據(jù)保護的重要性,但可以投入到該活動的時間與智力成本是有限的,一旦投入成本超過“控制個人數(shù)據(jù)”這一回報,該類中介就失去了優(yōu)勢。畢竟,很少有人會為了避免騷擾電話和個性化廣告而愿意花費大量時間學習新系統(tǒng)的操作及數(shù)據(jù)知識。因此,該類中介服務(wù)需要平衡使用成本與收益的關(guān)系。第二,在個人數(shù)據(jù)空間的設(shè)想中,個人可以權(quán)衡與第三方共享數(shù)據(jù)的利弊并作出決策,但“知情同意”原則欲解決的信息不對稱問題依然影響此種決策的合理性。第三,該類數(shù)據(jù)中介可能誘發(fā)進一步的不平等。將個人數(shù)據(jù)貨幣化可能導(dǎo)致貧者出賣數(shù)據(jù)以換取互聯(lián)網(wǎng)服務(wù),而隱私成為富人的特權(quán)。

(三)管理性數(shù)據(jù)中介:數(shù)據(jù)信托、數(shù)據(jù)合作社與數(shù)據(jù)工會

數(shù)據(jù)信托、數(shù)據(jù)合作社、數(shù)據(jù)工會等管理性數(shù)據(jù)中介以集體組織作為邏輯主線,由集體組織管理個人數(shù)據(jù)或權(quán)利。這類數(shù)據(jù)中介主要通過私人集體行動來實現(xiàn)個人數(shù)據(jù)權(quán)利,即將個人數(shù)據(jù)權(quán)利轉(zhuǎn)變?yōu)榧w數(shù)據(jù)權(quán)利來保護。具體來說,管理性數(shù)據(jù)中介是在個人自愿的情況下,由作為中介的集體組織匯總大量的個人數(shù)據(jù)或權(quán)利,并按集體意愿與數(shù)據(jù)處理者交涉數(shù)據(jù)處理行為應(yīng)如何開展,或者為了集體利益直接在組織內(nèi)部處理個人數(shù)據(jù)。

數(shù)據(jù)信托存在兩種法律構(gòu)想。根據(jù)ODI的定義,數(shù)據(jù)信托不是法律上的信托,而是一種提供獨立數(shù)據(jù)管理的法律結(jié)構(gòu)。此處“數(shù)據(jù)信托”更多的是一種比喻,即一種借助信托法的法律框架實現(xiàn)數(shù)據(jù)管理的方法。在這一定義下,數(shù)據(jù)受托人獨立于數(shù)據(jù)主體與數(shù)據(jù)處理者,為個人提供數(shù)據(jù)管理服務(wù)。另一種數(shù)據(jù)信托概念源于美國學者巴爾金所提出的“信息受托人”理論[6],不過該理論是將信托法上的信義義務(wù)施加給數(shù)據(jù)處理者,并不存在獨立的數(shù)據(jù)受托人。本文所指的數(shù)據(jù)信托是指ODI定義下的數(shù)據(jù)信托,其基于信托框架展開。在普通法的信托機制下,個人將其數(shù)據(jù)權(quán)利轉(zhuǎn)移到受托人手中,由受托人代為行使其個人數(shù)據(jù)權(quán)利。如此,基于受托人的獨立機構(gòu)地位、專業(yè)能力及其持有的大量個人數(shù)據(jù)權(quán)利[7],可以做到:其一,反映委托人意志,實現(xiàn)個人數(shù)據(jù)權(quán)利;其二,代表集體與數(shù)據(jù)處理者談判,使個人在數(shù)據(jù)關(guān)系中獲得更平等的地位;其三,促使更多的人聯(lián)合起來,以集體行動的方式參與個人數(shù)據(jù)治理。

但是,數(shù)據(jù)信托如何與當前的法律體系相契合尚有疑問。數(shù)據(jù)信托借用信托法的框架來實現(xiàn)個人數(shù)據(jù)管理,意味著在當前信托法律未作變動之前,其至少要在形式上符合信托法的基本法律構(gòu)造。而即便在有信托法傳統(tǒng)的美國,如何界定數(shù)據(jù)權(quán)利以及數(shù)據(jù)權(quán)利能否成為美國信托法上的客體等問題依舊不甚明晰,這些問題均阻礙數(shù)據(jù)信托的建立[8]。此外,盡管英國已有數(shù)據(jù)信托實踐,但個人數(shù)據(jù)權(quán)利如何集體化、集體談判如何進行等數(shù)據(jù)信托治理重要問題沒有得到充分回應(yīng),需要理論與實踐進一步明確。

數(shù)據(jù)合作社是指組織成員為組織集體利益自愿分享其個人數(shù)據(jù)的合作社。與數(shù)據(jù)信托的“比喻”不同,實踐中的數(shù)據(jù)合作社的確是法律上的合作社法人組織。2015年,世界上首個數(shù)據(jù)合作社MIDATA在瑞士成立[9]。 MIDATA是一個非營利合作社法人,根據(jù)MIDATA的章程,個人用戶可以注冊MIDATA賬戶(7)根據(jù)MIDATA的章程,該組織屬于《瑞士債法典》第828條規(guī)定的合作社法人。任何在瑞士有居住地的自然人,只要表明遵守MIDATA章程,在繳納40瑞士法郎后,經(jīng)董事會同意,即可成為社員。注冊MIDATA賬戶無須社員資格。關(guān)于該組織的具體組織制度,參見該合作社的章程:https://www.midata.coop/en/cooperative/,最后訪問日期:2022年11月22日。,并將其個人數(shù)據(jù)上傳至MIDATA平臺,選擇是否與平臺上的第三方共享其個人數(shù)據(jù)。合作社大會是MIDATA的最高權(quán)力機構(gòu),每個社員在大會上有且只有一個投票權(quán)。自然人可以登記成為MIDATA的社員,參與合作社治理。民主和自治是數(shù)據(jù)合作社的根本理念,在數(shù)據(jù)合作社中,社員身份平等,共同管理組織,擁有并控制其存儲在合作社內(nèi)的個人數(shù)據(jù),而合作社對成員負有信義義務(wù)[10]。

理論上,數(shù)據(jù)合作社對內(nèi)通過成員的集體行動進行自我治理,對外通過集體談判保障個人數(shù)據(jù)權(quán)利。其所收集的個人數(shù)據(jù)可在組織內(nèi)部完成分析并共享分析結(jié)果,使集體受益。就此而言,數(shù)據(jù)合作社具有更為鮮明的集體行動特點。但作為一種民主管理的組織,數(shù)據(jù)合作社也有此類組織的弊端,即隨著參與人數(shù)的增加,對于集體持有的個人數(shù)據(jù)集合應(yīng)如何使用愈發(fā)難以達成共識,決策效率的低下使其很難與作為科技巨頭的數(shù)據(jù)處理者競爭。此外,數(shù)據(jù)合作社還需要設(shè)計恰當?shù)募罨驊土P機制使成員積極參與數(shù)據(jù)合作社的治理活動,否則合作社很容易陷入集體行動的困境,即組織成員僅僅尋求自身利益最大化而不會自動采取行動以促進集體利益或?qū)崿F(xiàn)共同目標,即便全體成員對共同利益及其實現(xiàn)方式已經(jīng)達成一致[11]。

數(shù)據(jù)工會是“數(shù)據(jù)作為勞動”(data as labor,DaL)理論的產(chǎn)物。在數(shù)據(jù)勞動理論看來,個人數(shù)據(jù)并非企業(yè)擁有的某種資本(data as capital,DaC),而是凝結(jié)了用戶數(shù)字勞動的產(chǎn)物[12]。因此,該理論認為企業(yè)應(yīng)當向個人付費以換取個人數(shù)據(jù)。為達到這一目的,人們可以聯(lián)合起來組建數(shù)據(jù)工會,與作為科技巨頭的數(shù)據(jù)處理者談判協(xié)商,要求其向個人公平補償使用個人數(shù)據(jù)的費用。在此過程中,個人數(shù)據(jù)權(quán)利以財產(chǎn)權(quán)的方式實現(xiàn)。2018年,荷蘭成立了世界上首個數(shù)據(jù)工會。數(shù)據(jù)工會意識到了個人數(shù)據(jù)權(quán)利的財產(chǎn)屬性,但個人數(shù)據(jù)權(quán)利是否完全等同于個人財產(chǎn)權(quán)還須商榷。因為一旦將個人數(shù)據(jù)完全等同于個人財產(chǎn),數(shù)據(jù)處理行為的成本可能大幅上升,不利于當前的數(shù)字經(jīng)濟發(fā)展。另外,即便這一理論成立,如何衡量單條個人數(shù)據(jù)之經(jīng)濟價值尚未可知。

無論是數(shù)據(jù)信托、數(shù)據(jù)合作社還是數(shù)據(jù)工會,管理性數(shù)據(jù)中介均認為個人無法與作為科技巨頭的數(shù)據(jù)處理者相抗衡,需要一個代表個人數(shù)據(jù)權(quán)利的集體組織與之交涉。因此,盡管技術(shù)在上述數(shù)據(jù)中介中也占據(jù)重要地位,如數(shù)據(jù)合作社也需要建設(shè)用于儲存?zhèn)€人數(shù)據(jù)的平臺,但這并非二者的根本區(qū)別,如何使個人參與數(shù)據(jù)管理并形成可靠的集體組織才是管理性數(shù)據(jù)中介的關(guān)鍵之處。相反,輔助性數(shù)據(jù)中介的設(shè)計框架從一開始就不關(guān)注介入數(shù)據(jù)關(guān)系的組織,其聚焦于如何用技術(shù)手段增強個人的數(shù)據(jù)控制能力。在這一意義上,管理性數(shù)據(jù)中介與輔助性數(shù)據(jù)中介實際代表了組織與技術(shù)兩種個人賦能型數(shù)據(jù)中介的實現(xiàn)方式。

三、個人賦能型數(shù)據(jù)中介的同一性優(yōu)勢與差異化效能

不難看出,個人賦能型數(shù)據(jù)中介尚處于發(fā)展階段,但這些數(shù)據(jù)中介在個人數(shù)據(jù)管理和控制上能有效彌補以“知情同意”原則為核心的個人數(shù)據(jù)權(quán)利保護體系的不足,并且各有其特殊的個人數(shù)據(jù)治理優(yōu)勢。

(一)同一性優(yōu)勢:克服“賦權(quán)”與“知情同意”模式的失靈

盡管《個人信息保護法》賦予個人數(shù)據(jù)權(quán)利,也規(guī)定了國家機關(guān)對數(shù)據(jù)處理者的監(jiān)管責任,但個人維權(quán)困難,行政機關(guān)監(jiān)管也難以周全。個人賦能型數(shù)據(jù)中介可以補充監(jiān)管力量,監(jiān)督數(shù)據(jù)處理者之行為,防止違規(guī)處理行為發(fā)生,必要時還可提起集體訴訟,解決“個人有權(quán)但卻無法實現(xiàn)”的問題。

在私權(quán)保護模式下,以個人能力維護其數(shù)據(jù)權(quán)利并非易事。實踐中,違規(guī)處理個人數(shù)據(jù)的行為并不少見,但個人以司法形式提出抗議卻不多見。主要原因在于違規(guī)處理行為導(dǎo)致的個人經(jīng)濟損害往往十分微小,產(chǎn)生的精神傷害又常常難以達到可以請求精神損害賠償?shù)某潭取＠?數(shù)據(jù)處理者未經(jīng)個人同意,將其個人數(shù)據(jù)用于該處理者開發(fā)的另一軟件中,盡管這一行為給個人帶來了困擾,但此種困擾難以被個人證明達到經(jīng)濟損害或精神損害賠償?shù)某潭?8)參見:廣東省深圳市中級人民法院(2021)粵03民終9583號民事判決書。。此外,行政機關(guān)雖然可以有力地打擊濫用或違法數(shù)據(jù)處理行為,但執(zhí)法資源有限,不可能處置所有違法行為。歐盟《通用數(shù)據(jù)保護條例》(General Data Protection Regulation, GDPR)的實施經(jīng)驗也表明,過于依賴行政監(jiān)管手段保護個人數(shù)據(jù),可能面臨執(zhí)法資源緊張、處理效率低下等問題(9)2021年,歐盟發(fā)布GDPR執(zhí)法經(jīng)驗總結(jié)報告,該報告具體內(nèi)容參見:Estelle Massé.Three Year Under EU GDPR: An Implementation Progress Report, Access Now,2021[EB/OL].(2021-05-12)[2022-12-13].https://www.accessnow.org/wp-content/uploads/2021/05/Three-Years-Under-GDPR-report.pdf.。管理性數(shù)據(jù)中介可以較好地解決上述問題。個人數(shù)據(jù)損害之所以難以界定,主要在于單一個人數(shù)據(jù)的經(jīng)濟價值十分微小,除非其引發(fā)后續(xù)損害,否則難以歸屬于侵權(quán)法上的損害。有學者將個人信息精神損害的“嚴重性”要件解釋為推定嚴重,即只要發(fā)生個人信息侵權(quán),就推定受害者產(chǎn)生了精神損害,并將預(yù)防費用也納入損害賠償范圍[13]。依照這一見解,只要發(fā)生個人數(shù)據(jù)泄漏,數(shù)據(jù)處理者就應(yīng)當予以賠償。這雖然很好地保護了個人數(shù)據(jù),但似有擴大損害的嫌疑,與侵權(quán)法上的損害定義有所差異,因此需要進行更多論證。單一個人數(shù)據(jù)經(jīng)濟價值不明顯,大量個人數(shù)據(jù)的經(jīng)濟價值顯而易見。管理性數(shù)據(jù)中介持有大量個人數(shù)據(jù),一旦發(fā)生數(shù)據(jù)侵權(quán)行為,所涉及的經(jīng)濟損害足以使中介組織發(fā)起訴訟,要求賠償。檢察機關(guān)或消費者保護協(xié)會等官方或半官方組織雖然也可以提起訴訟,但由于其并非個人信息保護專職機關(guān),未必有充足動力完成相同事務(wù)。在這一意義上,管理性數(shù)據(jù)中介也充當了監(jiān)管主體。

數(shù)據(jù)關(guān)系失衡與數(shù)字經(jīng)濟的生產(chǎn)方式以及“知情同意”原則失靈有深刻關(guān)聯(lián)。一方面,在個人與數(shù)據(jù)處理者的數(shù)據(jù)關(guān)系中,數(shù)據(jù)處理者在技術(shù)的理解與應(yīng)用上有天然優(yōu)勢,且經(jīng)濟實力也更為強大,因此其在數(shù)據(jù)處理過程中占據(jù)絕對主導(dǎo)地位。而在以數(shù)據(jù)作為生產(chǎn)資料的數(shù)字經(jīng)濟中,基于一種間接網(wǎng)絡(luò)外部性效應(yīng)(10)這是指數(shù)據(jù)處理者以分析用戶數(shù)據(jù)的方式提升服務(wù)質(zhì)量,吸引更多用戶使用該服務(wù),進一步提高服務(wù)質(zhì)量。關(guān)于該理論的應(yīng)用分析,參見:Rieder B, Sire G. Conflicts of interest and incentives to bias: a microeconomic critique of Google’s tangled position on the Web[J]. New media &society, 2014(2): 195-211.,數(shù)據(jù)處理者會盡可能地擴大其數(shù)據(jù)規(guī)模,于是,對數(shù)據(jù)的渴望成為數(shù)據(jù)處理者違規(guī)處理數(shù)據(jù)的動力,導(dǎo)致過度處理個人數(shù)據(jù)現(xiàn)象頻發(fā),個人數(shù)據(jù)關(guān)系進一步失衡。另一方面,“知情同意”原則維護個人意志與矯正數(shù)據(jù)關(guān)系的前提是實現(xiàn)“充分知情”與“實質(zhì)同意”,但信息過載、知識壁壘、主體可能欠缺同意能力[14]以及有限理性[15]等因素致使二者均無法完全實現(xiàn)。盡管不少學者從法教義學的角度提供了補救方案,如以告知推定知情[16]、區(qū)分不同信息建立不同的同意規(guī)則[17]、將同意視為準法律行為[18],但這些方案自身也存在一定程度的不足:第一,簡明易懂與充分知情之間存在矛盾。告知文本越是簡潔,越可能遺漏重要信息,何況監(jiān)視資本主義的商業(yè)結(jié)構(gòu)決定了其數(shù)據(jù)處理行為難以透明[19]。第二,信息分級雖然能減少個人應(yīng)對過載信息的壓力,但如何構(gòu)建清晰可行的區(qū)分標準,以及默示同意對應(yīng)的個人信息是否真的無須充分告知,仍有待推敲。第三,將同意視為準法律行為固然解決了同意年齡的問題,但這一觀點與司法實踐將用戶協(xié)議認定為合同的做法相悖,且準法律行為理論也不如法律行為理論完備。

個人賦能型數(shù)據(jù)中介可以在一定程度上克服數(shù)字經(jīng)濟生產(chǎn)方式的弊端,彌補“知情同意”原則的不足。通過輔助性數(shù)據(jù)中介提供的技術(shù)服務(wù),個人可以決定其個人數(shù)據(jù)是否與第三方共享或者使之商品化,由此從數(shù)據(jù)來源轉(zhuǎn)變?yōu)閿?shù)據(jù)提供者,最大限度地保障了數(shù)據(jù)處理過程中的個人意志,個人數(shù)據(jù)空間就是典例。而對于個人視角下“知情同意”原則難以解決的信息過載、知識壁壘、有限理性等問題,作為組織體的管理性數(shù)據(jù)中介可以聘用或者從組織成員中尋找具有數(shù)據(jù)管理能力的專業(yè)人士,協(xié)同應(yīng)對個人數(shù)據(jù)處理協(xié)議中可能存在的陷阱。以數(shù)據(jù)信托為例,無論協(xié)議內(nèi)容如何晦澀難懂,受托人組織都可以聘用專業(yè)人士分析數(shù)據(jù)處理行為的利弊,最大限度地減少個人因知識或經(jīng)驗不足產(chǎn)生的不理智決策。此外,受托人組織可以憑借持有的大量個人數(shù)據(jù),要求數(shù)據(jù)處理者之數(shù)據(jù)行為透明化,確保其管理的個人數(shù)據(jù)集合不被數(shù)據(jù)處理者濫用,以知識對抗知識,以技術(shù)制衡技術(shù)。

(二)輔助性數(shù)據(jù)中介的比較優(yōu)勢:實現(xiàn)數(shù)據(jù)攜帶,打破數(shù)據(jù)壟斷

個人數(shù)據(jù)攜帶權(quán)也稱“個人信息可攜權(quán)”,根據(jù)我國《個人信息保護法》與歐盟GDPR的定義,它一般是指數(shù)據(jù)主體將其個人數(shù)據(jù)由一個數(shù)據(jù)處理者轉(zhuǎn)移至另一個數(shù)據(jù)處理者的權(quán)利。由于該權(quán)利增強了數(shù)據(jù)主體的個人數(shù)據(jù)控制力,因而也被認為是強化數(shù)據(jù)自治的權(quán)利工具[20]。但該權(quán)利因個人缺乏實現(xiàn)能力而難以落地,輔助性數(shù)據(jù)中介可以向個人提供實現(xiàn)此種權(quán)利的技術(shù)工具,保障個人數(shù)據(jù)自決權(quán),進而打破科技巨頭的數(shù)據(jù)壟斷。

個人缺乏實現(xiàn)能力是個人數(shù)據(jù)攜帶權(quán)不能落地的重要原因。學者認為,我國《個人信息保護法》第45條規(guī)定的個人信息攜帶權(quán)存在適用條件不明確[21]、缺乏保障條款[22]以及個人缺乏實現(xiàn)能力[23]等問題。相較于GDPR,《個人信息保護法》的規(guī)定顯得過于原則化,但這些原則性規(guī)定可以由監(jiān)管部門予以細化,使之變得可操作。此外,通過司法解釋或指導(dǎo)性案例來明確原則性規(guī)定的適用范圍在我國司法實踐中也不罕見,但如果數(shù)據(jù)主體缺乏實現(xiàn)個人數(shù)據(jù)攜帶權(quán)的技術(shù)能力,即便創(chuàng)設(shè)完美的制度環(huán)境也無濟于事。

輔助性數(shù)據(jù)中介是實現(xiàn)個人數(shù)據(jù)可攜帶權(quán)的重要工具。輔助性數(shù)據(jù)中介為個人提供數(shù)據(jù)遷移服務(wù),可以減少個人遷移其數(shù)據(jù)的經(jīng)濟成本與時間成本。個人數(shù)據(jù)遷移與儲存是輔助性數(shù)據(jù)中介最為基礎(chǔ)也最為重要的功能,甚至在一定程度上,個人數(shù)據(jù)空間本身就等同于個人數(shù)據(jù)遷移管理工具。以“人民數(shù)?！逼脚_為例,該平臺目前的基礎(chǔ)服務(wù)只是為個人提供數(shù)據(jù)上傳接口,個人可以上傳其手機軟件里的原始數(shù)據(jù)。如果有相當一部分人能夠使用輔助性數(shù)據(jù)中介,根據(jù)自己的意志自由地將其在某一數(shù)字平臺上的數(shù)據(jù)完整地轉(zhuǎn)移到另一個數(shù)字平臺上,那么大型科技公司對個人數(shù)據(jù)的壟斷將因個人數(shù)據(jù)自決而被打破,中小型企業(yè)將獲得數(shù)據(jù)賦能的機會。當然,實現(xiàn)這一圖景還需要相應(yīng)配套措施,如政府加強數(shù)據(jù)反壟斷、企業(yè)推進數(shù)據(jù)技術(shù)標準化。

(三)管理性數(shù)據(jù)中介的比較優(yōu)勢:從管理走向治理

治理理論源于學界對科層制下“管理”的反思,“治理”區(qū)別于“管理”的地方在于其不區(qū)分重點與非重點、主要與次要,強調(diào)任何一部分都可能對全局發(fā)揮至關(guān)重要的作用,因此需要多元主體協(xié)同治理[24]。個人數(shù)據(jù)問題是治理問題而非單純的保護或管理問題,這基本已經(jīng)成為學界共識。一個常見的理由是,個人數(shù)據(jù)處理涉及個人利益保護、數(shù)字企業(yè)發(fā)展需求和政府治理方式創(chuàng)新等問題[25],利益格局錯綜復(fù)雜,因此解決個人數(shù)據(jù)處理問題不能僅從個人數(shù)據(jù)的“賦權(quán)”出發(fā),而應(yīng)從治理層面考慮多方利益。從現(xiàn)實來看,個人很少有機會參與治理活動,對于個人數(shù)據(jù)處理行為基本沒有發(fā)言權(quán),只能通過向官方反饋、投訴等方式被動地反映個人意見,且見效緩慢。這對治理的實現(xiàn)沒有太多實質(zhì)性幫助。因為治理形成的重要前提之一是構(gòu)建參與者的價值認同,在缺乏個人參與數(shù)據(jù)治理途徑的情況下,個人意見沒有得到應(yīng)有的重視,數(shù)字企業(yè)與政府形成的價值共識能否得到個人認可不無疑問,能否實現(xiàn)有效治理也有待思考。

管理性數(shù)據(jù)中介可以提供個人參與數(shù)據(jù)治理的有效路徑。輔助性數(shù)據(jù)中介可以借用市場機制使個人在一定程度上參與個人數(shù)據(jù)治理,不過這一效果可能十分有限。實際上,如果將輔助性數(shù)據(jù)中介想象為中介市場,個人作為數(shù)據(jù)提供者,數(shù)據(jù)處理者便是需求方,在理想狀況下,二者會互相篩選,直至雙方達成一致。在這一意義上,個人深度參與了數(shù)據(jù)治理活動。但是,信息不對稱、個人缺乏議價能力等問題依然極有可能阻礙輔助性數(shù)據(jù)中介發(fā)揮上述功能,如缺乏專業(yè)知識的個人無法對個人數(shù)據(jù)作出合理的價值評估,個人僅持有自己的數(shù)據(jù)無法與數(shù)據(jù)處理者議價。相反,管理性數(shù)據(jù)中介可以凝聚集體共識,使個人真正參與數(shù)據(jù)治理活動。以數(shù)據(jù)合作社MIDATA為例,在MIDATA的組織框架中,合作社可以與研究機構(gòu)、數(shù)據(jù)服務(wù)提供商以及制藥公司等第三方組織談判,協(xié)商制定第三方機構(gòu)使用個人健康數(shù)據(jù)的條件。談判達成共識后,在MIDATA平臺注冊賬戶的個人可以自行選擇想要共享個人健康數(shù)據(jù)的第三方。在這一過程中,實施民主管理的合作社代表個人與數(shù)據(jù)處理者充分協(xié)商,雙方所達成的價值共識也能體現(xiàn)個人的意志。如此,個人參與管理性數(shù)據(jù)中介的過程,其實就是參與個人數(shù)據(jù)治理的過程。

四、個人賦能型數(shù)據(jù)中介的中國法實現(xiàn)

我國《個人信息保護法》確立的私權(quán)保護模式在權(quán)利實現(xiàn)方面存在種種弊端,引入個人賦能型數(shù)據(jù)中介可以幫助個人更好地實現(xiàn)其數(shù)據(jù)權(quán)利,“人民數(shù)?！逼脚_的出現(xiàn)也表明在我國構(gòu)建個人賦能型數(shù)據(jù)中介具有可行性。在規(guī)則建構(gòu)方面,成立個人數(shù)據(jù)空間、數(shù)據(jù)銀行等輔助性數(shù)據(jù)中介可能涉及其法律屬性與法律責任問題,引入數(shù)據(jù)信托、數(shù)據(jù)合作社等管理性數(shù)據(jù)中介涉及第三方中介組織的建立。由于數(shù)據(jù)勞動理論尚未獲得學界的普遍認同,篇幅所限,本文對數(shù)據(jù)工會暫不做過多討論,下文將以輔助性數(shù)據(jù)中介、數(shù)據(jù)信托與數(shù)據(jù)合作社為例,重點剖析我國引進個人賦能型數(shù)據(jù)中介可能面臨的基本法律問題及其解決方案。

(一)輔助性數(shù)據(jù)中介:基于平臺經(jīng)營者定位的責任規(guī)則設(shè)計

個人數(shù)據(jù)空間是輔助性數(shù)據(jù)中介的基本樣態(tài),討論其法律問題可以為其他輔助性數(shù)據(jù)中介的法律構(gòu)建作鋪墊,因此下文著重討論個人數(shù)據(jù)空間。為避免討論陷入空泛,此處以“人民數(shù)?！逼脚_為例,分析個人數(shù)據(jù)空間本土化過程中可能涉及的基本法律問題。

如何甄別個人數(shù)據(jù)空間的法律性質(zhì)可能具有一定爭議。從法律關(guān)系上看,個人數(shù)據(jù)空間主要涉及個人、中介平臺以及第三方服務(wù)商(數(shù)據(jù)處理者)。在這一過程中,中介平臺與數(shù)據(jù)處理者的界限涇渭分明。以“人民數(shù)?！逼脚_為例,該平臺不能決定個人上傳的個人數(shù)據(jù)之處理目的與處理方式,從而區(qū)別于《個人信息保護法》第73條定義的“個人信息處理者”,因而不能對其施加個人信息處理者之義務(wù),但這也不意味著中介平臺就是純粹的居間人。在傳統(tǒng)的居間合同中,居間人只是促進交易,對締約雙方?jīng)]有任何控制力,但在個人數(shù)據(jù)空間中,個人數(shù)據(jù)遷移受到中介平臺的限制,中介平臺也決定了第三方服務(wù)商的準入條件,“人民數(shù)?！逼脚_甚至還提供個人數(shù)據(jù)存證確權(quán)的功能。就此而言,該服務(wù)合同更為符合學者定義的“平臺服務(wù)合同”(11)平臺服務(wù)合同是指具備數(shù)據(jù)性、遠程性、智能性與綜合性的服務(wù)合同。參見:鄭佳寧.電子商務(wù)平臺經(jīng)營者的私法規(guī)制[J].現(xiàn)代法學,2020(3):166-179.,而非居間合同,將之認定為類似《電子商務(wù)法》第9條第2款定義的“平臺經(jīng)營者”,要求其承擔平臺責任也許更為恰當。

互聯(lián)網(wǎng)平臺責任的內(nèi)涵一直是頗具爭議性的話題,但就個人數(shù)據(jù)空間或者“人民數(shù)?！逼脚_的責任而言,審查義務(wù)(風險評估義務(wù))、告知義務(wù)與安全保障義務(wù)可以列入其中。首先是對第三方服務(wù)商的審查義務(wù),該審查義務(wù)源于其平臺屬性。從“人民數(shù)?！钡倪\作模式來看,該平臺除了提供個人數(shù)據(jù)遷移與記錄等基礎(chǔ)服務(wù)之外,還有第三方服務(wù)商為個人提供增值服務(wù)的功能,因此其理應(yīng)對第三方服務(wù)商進行必要的審查,評估第三方服務(wù)可能存在的風險。個人數(shù)據(jù)增值服務(wù)量可能十分龐大,平臺也可采取抽查、按類型審查等方式,以保護作為數(shù)據(jù)提供者的個人的權(quán)益。對此,《電子商務(wù)法》第29條規(guī)定了電子商務(wù)平臺經(jīng)營者對法律禁止交易的商品或服務(wù)之處置義務(wù)(如禁止銷售槍支彈藥),輔助性數(shù)據(jù)中介同樣也要禁止利用個人數(shù)據(jù)進行違法活動的行為(如利用個人數(shù)據(jù)實施詐騙活動)。不過這一規(guī)定對于輔助型數(shù)據(jù)中介而言可能還需要做進一步解釋。因為有些個人數(shù)據(jù)處理活動違法是因為數(shù)據(jù)處理者未盡到充分告知義務(wù),而非實施被法律法規(guī)絕對禁止的行為,例如未充分告知個人就將其個人數(shù)據(jù)用于自動化決策,法律并非禁止將個人數(shù)據(jù)用于自動化決策,其否定的僅是未充分告知這一行為,二者存在本質(zhì)差異。其次,在完成對第三方服務(wù)商的調(diào)查與風險評估之后,中介平臺還應(yīng)告知個人該類服務(wù)可能存在的風險。個人數(shù)據(jù)處理發(fā)生在個人與第三方服務(wù)商之間,第三方服務(wù)商理應(yīng)告知數(shù)據(jù)處理活動的相關(guān)信息,但是個人可能對其所知甚少,未必能充分信任第三方服務(wù)商?！叭嗣駭?shù)保”等輔助型數(shù)據(jù)中介應(yīng)當將對第三方服務(wù)商的風險評估結(jié)果告知個人,以消減彼此間的不信任,同時也有利于個人作出是否共享數(shù)據(jù)的決定。歐盟《數(shù)據(jù)治理法案》第12條進一步要求數(shù)據(jù)中介應(yīng)當以數(shù)據(jù)主體的最佳利益行事,并在適當情況下向其提出建議。最后,中介平臺需要采取必要的技術(shù)措施與制度手段來保障個人數(shù)據(jù)安全。此乃題中應(yīng)有之義,無須贅述。

結(jié)合上述分析來看,輔助性數(shù)據(jù)中介在我國法律上可以用平臺經(jīng)營者而非居間人來界定,并對之施加平臺經(jīng)營者責任。但數(shù)據(jù)中介服務(wù)有其特殊性,《電子商務(wù)法》無法完全涵蓋其規(guī)范需求,且《電子商務(wù)法》并非以數(shù)據(jù)中介作為專門規(guī)制對象,法條適用上難免存在齟齬之處,未來對其進行專門立法可能是更優(yōu)選擇。

(二)數(shù)據(jù)信托:基于《信托法》的本土化構(gòu)建

在“數(shù)據(jù)二十條”出臺之前,圍繞數(shù)據(jù)信托的本土化構(gòu)建,國內(nèi)學者已有一定討論。從信托的法律結(jié)構(gòu)來看,用于個人數(shù)據(jù)治理的數(shù)據(jù)信托面臨兩個基本法律問題:其一,信托客體是什么?其二,信托主體是誰? 除此之外,還需要解決數(shù)據(jù)信托的公眾信任問題。

就信托客體而言,首先,數(shù)據(jù)信托客體應(yīng)為《民法典》《個人信息保護法》等法律確立的個人數(shù)據(jù)權(quán)利,而非個人數(shù)據(jù)。有學者認為個人數(shù)據(jù)是數(shù)據(jù)信托的客體[26],其實不然,一般認為,數(shù)據(jù)之財產(chǎn)屬性源自使用過程或者控制過程,即對數(shù)據(jù)的控制權(quán)才具有經(jīng)濟價值。更為重要的是,如果將個人數(shù)據(jù)作為信托客體,無可避免地涉及個人數(shù)據(jù)所有權(quán)問題,即個人是否擁有數(shù)據(jù)所有權(quán)并基于其個人數(shù)據(jù)所有權(quán)而產(chǎn)生信托。相較之下,個人數(shù)據(jù)權(quán)利已經(jīng)為法律所確定,將之作為信托客體可以減少有關(guān)爭議。其次,信托客體是具有財產(chǎn)屬性的個人數(shù)據(jù)權(quán)利。也有學者提出,個人信息權(quán)是人格權(quán),不能作為信托客體[27],或是即便存在財產(chǎn)權(quán)益,也不具有信托財產(chǎn)所要求的獨立性[28]。誠然,如果認為個人控制其個人數(shù)據(jù)的正當性源于人格尊嚴,那么以個人數(shù)據(jù)權(quán)利作為財產(chǎn)信托客體就顯得十分矛盾。但財產(chǎn)屬性僅是理解個人數(shù)據(jù)權(quán)利的多個維度之一,從該維度切入是為了使之在法理上符合信托的構(gòu)造。此外,盡管學界對個人數(shù)據(jù)的法律屬性尚未達成統(tǒng)一認識,但對個人數(shù)據(jù)兼具人格屬性與財產(chǎn)屬性已有最低程度的共識,即個人數(shù)據(jù)權(quán)利具有財產(chǎn)屬性。信托客體中的“財產(chǎn)性權(quán)利”一般是指股權(quán)、知識產(chǎn)權(quán)、物權(quán)等,不過,表決權(quán)作為一種“具有支付意愿”的權(quán)利也被司法實踐和學說認為可以納入信托客體之中[29]。在英國信托法傳統(tǒng)中,信托標的物是有價值的、可轉(zhuǎn)讓的權(quán)利?？梢?信托客體宜理解為一切具有經(jīng)濟利益、可轉(zhuǎn)讓的權(quán)利和利益。就數(shù)據(jù)信托客體而言,將財產(chǎn)性權(quán)利擴大解釋為“具有財產(chǎn)屬性的權(quán)利”,便能涵蓋個人數(shù)據(jù)權(quán)利。至于被學者所質(zhì)疑的“獨立性”,個人數(shù)據(jù)權(quán)利獨屬于個人而非與企業(yè)共有,獨立性乃題中應(yīng)有之義。需要注意的是,個人數(shù)據(jù)權(quán)利信托與數(shù)據(jù)產(chǎn)品信托可以并行不悖,后者是一種將數(shù)據(jù)資產(chǎn)變現(xiàn)的金融工具,與個人數(shù)據(jù)治理無涉,2016年中航信托發(fā)布的數(shù)據(jù)信托產(chǎn)品即屬于此(12)數(shù)據(jù)堂科技股份有限公司將自己的數(shù)據(jù)庫作為信托財產(chǎn)設(shè)立信托,與受托人中航信托公司達成合作。關(guān)于中航數(shù)據(jù)信托,參見:胡萍.問路數(shù)據(jù)信托,中航信托發(fā)行首單數(shù)據(jù)資產(chǎn)信托[N].金融時報,2016-11-28.。

在用于個人數(shù)據(jù)治理的數(shù)據(jù)信托中,委托人應(yīng)當是個人。作為委托人,個人將其個人數(shù)據(jù)權(quán)利委托給受托人,受托人根據(jù)信托目的來決定如何處理個人數(shù)據(jù)權(quán)利,并與數(shù)據(jù)處理者談判,要求數(shù)據(jù)處理者在數(shù)據(jù)處理過程中盡可能地不損害個人利益。數(shù)據(jù)信托的受托人應(yīng)當是獨立于數(shù)據(jù)處理者且具有數(shù)據(jù)管理能力的法人組織。依照我國《信托法》第24條第1款,具有完全行為能力的自然人或法人可以成為受托人。就數(shù)據(jù)信托來說,法人組織作為受托人更具符合要求,因為法人組織的數(shù)據(jù)管理能力更強,也有更充沛的資源和時間處理相關(guān)事務(wù)。此外,將信托義務(wù)施加于獨立第三方而非數(shù)據(jù)處理者,能有效避免巴爾金的信息受托人理論帶來的、作為受托人的數(shù)據(jù)處理者與作為委托人的個人之間利益沖突的困境。信息受托人理論將信義義務(wù)施加于數(shù)據(jù)處理者,要求數(shù)字企業(yè)直接對個人承擔嚴格的個人信息保護義務(wù)。這一理論的致命缺陷在于數(shù)字企業(yè)的數(shù)據(jù)處理者身份與受托人身份存在根本沖突:前者要求企業(yè)盡可能地挖掘并充分利用用戶個人數(shù)據(jù),公司/股東利益至上;后者要求企業(yè)將用戶利益放在首位。若企業(yè)采取用戶利益至上的原則,主動放棄基于用戶個人數(shù)據(jù)的在線營銷模式,如個性化廣告等,企業(yè)可能難以找到新的盈利模式,從而不得不面臨倒閉危機[28]。

根據(jù)《信托法》第43條,數(shù)據(jù)信托的受益人可以是自然人、法人或其他組織。就用于個人數(shù)據(jù)治理的數(shù)據(jù)信托而言,“受益”主要體現(xiàn)在維護個人對其數(shù)據(jù)的控制力,而非真正獲得財產(chǎn)利益,例如通過數(shù)據(jù)信托向數(shù)據(jù)處理者提出特定的個人數(shù)據(jù)處理要求,了解個人數(shù)據(jù)的處理情況,委托受托人發(fā)起集體訴訟等,所以應(yīng)當將委托人直接視為受益人。須注意的是,用于個人數(shù)據(jù)治理的數(shù)據(jù)信托旨在以集體方式實現(xiàn)或維護個人數(shù)據(jù)權(quán)利,而非變現(xiàn)個人數(shù)據(jù)權(quán)利。

經(jīng)上述分析可知,以擴大解釋之方法可以在現(xiàn)行《信托法》下構(gòu)建以個人數(shù)據(jù)權(quán)利為客體的數(shù)據(jù)信托,但從實踐來看,數(shù)據(jù)信托或者個人賦能型數(shù)據(jù)中介還需要解決公眾信任問題。2020年,谷歌子公司人行道實驗室(Sidewalk Labs)在多倫多開展的智慧城市項目宣告失敗(13)關(guān)于該項目的具體失敗原因,參見:Leyland Cecco. Google affiliate Sidewalk Labs abruptly abandons Toronto smart city project[EB/OL].(2020-12-27)[2022-12-15].https://www.theguardian.com/technology/2020/may/07/google-sidewalk-labs-toronto-smart-city-abandoned.。其失敗原因之一是當?shù)鼐用裾J為該智慧城市項目會侵犯其個人信息及隱私權(quán)益,因而發(fā)起反對運動。盡管人行道實驗室已經(jīng)提出由第三方數(shù)據(jù)信托獨立收集、運作智慧城市數(shù)據(jù)的解決方案,但該方案并沒有被民眾接受。可見,個人賦能型數(shù)據(jù)中介雖然理論上能夠幫助個人實現(xiàn)其個人數(shù)據(jù)權(quán)利,但其自身也面臨信任悖論:取得民眾信任是發(fā)揮功能的前提,而民眾如果能夠信任個人賦能型數(shù)據(jù)中介,也應(yīng)信任一般數(shù)據(jù)處理者,也就無需此類數(shù)據(jù)中介。解決這一悖論的關(guān)鍵在于證明個人賦能型數(shù)據(jù)中介具有高度可信性。就數(shù)據(jù)信托而言,其取信于民的關(guān)鍵可能在于非營利性。監(jiān)視資本主義收集大量個人數(shù)據(jù)并使之商品化以獲利,數(shù)據(jù)信托等集體組織同樣試圖收集大量個人數(shù)據(jù),但這是其與數(shù)據(jù)處理者談判、對抗的工具,而非用作營利的資本。如果這類組織仍然以營利作為目的,其對利益的追求必然使得監(jiān)視資本主義的種種弊端以集體的名義重現(xiàn),如欺騙新成員加入以擴大數(shù)據(jù)規(guī)模,故意使決策程序非民主化以使少數(shù)人實際控制數(shù)據(jù),巧立名目以私分集體利益。如此,此類組織也就失去了存在的意義。

(三)數(shù)據(jù)合作社與數(shù)據(jù)工會:基于社會團體法人的設(shè)立規(guī)則分析

數(shù)據(jù)合作社與數(shù)據(jù)工會均是民主管理組織,具有相似性。數(shù)據(jù)合作社實現(xiàn)個人數(shù)據(jù)權(quán)利的制度邏輯是集體自治,因此,其必須建立在成員地位平等的合作組織之上。表面上看,我國引進數(shù)據(jù)合作社的難點在于除《農(nóng)民專業(yè)合作社法》之外,沒有其他合作組織專門立法,但通過《民法典》第90條創(chuàng)建旨在維護成員個人數(shù)據(jù)權(quán)利的社會團體法人,也可獲得相同效果。

我國《民法典》第90條規(guī)定的社會團體法人包括為公益目的而設(shè)立或為會員共同利益而設(shè)立的兩種法人。其中,為公益目的而設(shè)立的社會團體法人屬于學理上的公益法人,而以會員共同利益而設(shè)立的社會團體法人等同于學理上的中間法人[30],據(jù)此,合作社屬于中間法人,即為社員共同利益而成立的法人?！睹穹ǖ洹返?6條雖然規(guī)定合作經(jīng)濟組織屬于特別法人,但此處的合作經(jīng)濟組織主要是指供銷合作社,該組織兼具事業(yè)單位、社團組織和合作經(jīng)濟組織等多重身份,不宜將之列為營利法人或非營利法人[31]。因此,沒有專門的合作組織立法其實并不妨礙一般的合作社依照《民法典》第90條而成立。

以實現(xiàn)成員的個人數(shù)據(jù)權(quán)利為基本目的,數(shù)據(jù)合作社可以根據(jù)《社會團體登記條例》而成立。首先,宜將數(shù)據(jù)合作社登記為《社會團體登記條例》第10條第2款規(guī)定的全國性社會團體,并將國家網(wǎng)信部門作為業(yè)務(wù)主管單位,向國務(wù)院登記機關(guān)民政部申請登記。這是因為接受同一互聯(lián)網(wǎng)服務(wù)的用戶群體可能來自不同省份。此外,根據(jù)該條例第9條,設(shè)立社會團體必須得到業(yè)務(wù)主管單位的同意。業(yè)務(wù)主管單位是在行業(yè)、學科或者業(yè)務(wù)范圍內(nèi)對應(yīng)的縣級以上政府部門或其授權(quán)的組織。我國沒有設(shè)立專門的個人信息保護機構(gòu),而是要求國家單位在各自職責范圍內(nèi)履行個人信息保護職責。考慮《個人信息保護法》第60條第1款將國家網(wǎng)信部門作為統(tǒng)籌協(xié)調(diào)個人信息保護和監(jiān)管單位,數(shù)據(jù)合作社的業(yè)務(wù)主管單位可以設(shè)置為國家網(wǎng)信部門。其次,在資產(chǎn)來源與業(yè)務(wù)范圍上,數(shù)據(jù)合作社可以一次性收取會員費,也可接受政府資助與社會捐助,以充當活動資金。在業(yè)務(wù)上,數(shù)據(jù)合作社可與第三方合作,為社員提供更好的數(shù)據(jù)服務(wù),如根據(jù)社員的共同意愿與第三方共享醫(yī)療健康數(shù)據(jù),并確保分析結(jié)果集體受益,但以任何形式所獲收益均不可分配于成員,否則有違非營利性宗旨。最后,為確保社員身份平等,應(yīng)在章程中規(guī)定社員大會為最高權(quán)力機構(gòu),一人一票,表決權(quán)效力相同。這也符合《社會團體登記條例》第14條所要求的社會團體應(yīng)當具備民主管理制度之規(guī)定。

與數(shù)據(jù)信托相比,在我國法律上構(gòu)造數(shù)據(jù)合作社相對容易,無須考慮數(shù)據(jù)是否具有財產(chǎn)屬性這一爭議問題,以及社會團體法人本身屬于非營利性組織,不必再強調(diào)組織的非營利性。對此,構(gòu)建數(shù)據(jù)合作社的關(guān)鍵可能在于民眾對此類組織的了解。英國的一項調(diào)查研究顯示,相較于數(shù)據(jù)信托等陌生且難以理解的概念,人們更喜歡那些他們能夠直接控制的數(shù)據(jù)管理方式,不喜歡商業(yè)組織以控制個人數(shù)據(jù)并從中獲利的方式換取數(shù)字服務(wù)[32]。這提醒我們,一個紙面上的制度無論被專家設(shè)想得多么完美,公眾也可能因為缺乏了解而拒絕相信。對此,我們或可考慮借鑒日本數(shù)據(jù)銀行資質(zhì)認證的經(jīng)驗,由國家相關(guān)部門或中國消費者協(xié)會牽頭開展個人賦能型數(shù)據(jù)中介資質(zhì)認證,官方背書以減少民眾的不信任。

我國現(xiàn)行法并不支持構(gòu)建數(shù)據(jù)工會,也沒必要構(gòu)建數(shù)據(jù)工會。首先,數(shù)據(jù)工會無法與我國《工會法》定義的工會相聯(lián)系,不能適用《工會法》有關(guān)規(guī)定。我國工會是由中國共產(chǎn)黨領(lǐng)導(dǎo)的職工自愿結(jié)合的工人階級群眾組織,參與管理國家事務(wù)。如果認為提供個人數(shù)據(jù)的主體均屬于數(shù)據(jù)勞工,那么我國絕大多數(shù)人都屬于數(shù)據(jù)工會的成員,一起參與管理國家事務(wù),這顯然并非數(shù)據(jù)工會的制度本意,也不容易實現(xiàn)。其次,即便數(shù)據(jù)勞動理論成立,也可以通過國家宏觀經(jīng)濟政策來分配數(shù)字經(jīng)濟的福利,如征收數(shù)字稅。相較之下,在修改現(xiàn)行法、建立數(shù)據(jù)工會之后再去聲討數(shù)字企業(yè),制度成本較高,且未必能實現(xiàn)其目的。最后,同樣是民主管理、維護個人數(shù)據(jù)的組織,數(shù)據(jù)合作社與我國現(xiàn)行法更為貼合,無須對現(xiàn)行法作太多變通。因此,沒有必要構(gòu)建數(shù)據(jù)工會。

五、結(jié)語

面對頻發(fā)的個人數(shù)據(jù)濫用現(xiàn)象,以“知情同意”原則為核心的私權(quán)治理模式顯得有心無力,難以發(fā)揮《個人信息保護法》的應(yīng)有功效,對此,個人賦能型數(shù)據(jù)中介的核心邏輯是,以技術(shù)或集體組織之力量協(xié)助原子化的個人實現(xiàn)其個人數(shù)據(jù)權(quán)利。沿這一脈絡(luò),我們考察了個人數(shù)據(jù)空間、數(shù)據(jù)銀行、數(shù)據(jù)信托、數(shù)據(jù)合作社以及數(shù)據(jù)工會等新型數(shù)據(jù)中介的制度原理與實踐情況,以及此類數(shù)據(jù)中介在我國的實現(xiàn)方式。

客觀地說,個人賦能型數(shù)據(jù)中介的實效如何,仍然有待觀察,畢竟實踐中不乏失敗案例。但作為一種數(shù)據(jù)治理方式或者理念,個人賦能型數(shù)據(jù)中介對我國個人數(shù)據(jù)治理至少有如下啟示:其一,個人賦能型數(shù)據(jù)中介可能是一種個人數(shù)據(jù)治理的有效路徑,但不是唯一路徑。該類數(shù)據(jù)中介更多地作為個人維權(quán)與國家監(jiān)管之間的合理補充手段而存在,促使數(shù)據(jù)處理者合法、合理地處理個人數(shù)據(jù)。我國立法并沒有否認集體行動在個人數(shù)據(jù)治理中的存在可能,相反,《個人信息保護法》第10條明確提及國家應(yīng)當推動相關(guān)社會組織和公眾共同參與個人信息保護。其二,個人數(shù)據(jù)控制權(quán)與數(shù)據(jù)流通并不矛盾。在大數(shù)據(jù)時代實現(xiàn)個人數(shù)據(jù)權(quán)往往被認為是不可能或者不經(jīng)濟的,個人賦能型數(shù)據(jù)中介提供了一種兼顧個人數(shù)據(jù)權(quán)與數(shù)據(jù)流通的治理思路。不過,個人數(shù)據(jù)控制是否意味著個人數(shù)據(jù)變現(xiàn),是否可能導(dǎo)致貧者無隱私,還需要更多的討論。其三,不存在一種萬能的個人賦能型數(shù)據(jù)中介。不同個人賦能型數(shù)據(jù)中介各有利弊,須結(jié)合具體場景加以適用,如個人數(shù)據(jù)空間更適用于對個人數(shù)據(jù)控制有較高要求且掌握一定知識的個人,但其無法起到與數(shù)據(jù)處理者集體談判的作用。其四,實踐表明,構(gòu)建個人賦能型數(shù)據(jù)中介的最大現(xiàn)實阻礙可能是如何取得民眾信任。

總之,個人賦能型數(shù)據(jù)中介具有幫助個人實現(xiàn)其數(shù)據(jù)權(quán)利的積極作用,但也不能夸大其價值。無論是技術(shù)手段還是集體組織,個人賦能型數(shù)據(jù)中介都有其局限性。如何使之與國家監(jiān)管配合,使紙面上的權(quán)利成為行動中的權(quán)利,還有待更多的理論研究與實踐探索。