一、问题的提出
将数据引入社会化大生产以促进交换经济向协同经济转变,可最大限度地实现生产力的经济价值,并有利于“人类共生关系”的形成。在此背景下,个人数据交易产生、发展,并已成为新兴技术服务于个人的必要活动之一。构建个人数据交易私法制度来规范交易各项活动,对于网络数字经济的良性快速发展而言至关重要。然而,由于发生于网络空间的个人数据交易具有独特特征,现行法律法规未能充分发挥其规范作用,实践中仍然存在不可忽视的问题。首先,由于当事人之间具有显著不平等的缔约地位,个人真实意思难以在生效的个人数据交易合同中产生,个人对个人数据的控制力减弱。一方面,在以个人数据换取服务等对价的交易过程中,个人通常缺乏关于数据收集范围、数据收集可能带来的风险及其商业价值的重要信息,而网络服务商等数据处理者基于技术等优势更能够敏锐地意识到个人数据收集、使用的范围和价值,这种信息差距导致个人与数据处理者之间形成不平等关系。受可用信息和认知能力的约束,个人在存在认知错误或处于不知情的情形下同意转让个人数据,可能会导致其面临较大的数据失控风险。若网络服务商利用网络空间这一特殊交易环境不适当地履行提示说明义务,则将更进一步加大该风险。另一方面,数据处理者可能利用大数据算法等技术优势影响甚至操纵个人数据主体的决策,在客观上剥夺了个人自由选择的权利。例如,配备算法等数据驱动分析工具的数据处理者能够利用个体特征与偏见促使个人接受交易,进而操纵决策。在有效的内容与形式干预下,个人甚至无法区分有益的条款解释和恶意的意志操纵。此外,基于个人数据再次交易的便利性与隐蔽性,数据处理者获得个人数据后还可自由与其他主体进行交易,导致个人更加难以跟踪与监管个人数据。其次,网络服务商等数据处理者基于各种机制设置不正当地大量收集个人数据,甚至滥用“算法霸权”,损害公正价值。在合同订立时,数据处理者利用免费机制承诺个人无需缴纳费用即可使用网络产品与服务,使个人误认为未与数据处理者发生交易而同意其收集个人数据。“免费”的价格标签是一种强大的营销策略,示意未向个人索取任何对价,诱使其盲目地接受个人数据交易的每一项合同条款。事实上,个人与数据处理者之间的数据换取服务行为是典型的个人数据交易行为,此时个人以其个人信息为对价与网络服务商等数据处理者发生交易。当个人错误地认为自己获得免费服务时,就极有可能忍受数据处理者采取的过度攫取个人数据行为,由而被迫承受个人数据交易的不公正结果。在合同履行后,当个人发现条款规定不合理并试图解除个人数据交易合同时,数据处理者又常采用过于复杂的个人退出流程,如将“取消按钮”隐藏在难以找到的链接背后或是要求个人拨打服务电话并在忍受长时间等待后才能取消服务等,“迫使”个人继续提供个人数据。即便个人最终退出某一数据交易关系,当其与其他数据处理者重新订立个人数据交易合同时,由于网络空间中具有垄断地位的数据处理者之间已经达成共识并采用相同或类似的隐私政策与服务协议,个人也难以防止其个人数据被过度收集与违法分析。此外,网络服务商等数据处理者在获得大量个人数据后,还容易产生“算法霸权”,导致个人隐私、自由平等等基本权益面临受到严重侵害的风险。算法霸权是数字时代的垄断力量,掌握个人数据的网络服务商能够根据算法公式推导出个人尚未公布的隐私信息、利用个人浏览网站与网购记录提高产品价格以及在特定市场排挤竞争对手,因而会对行业和整个互联网领域产生巨大影响,损害作为社会规范基础的公正价值。我国现有较多法律法规可为个人数据交易提供制度依据,例如,《民法典》合同编规定了交易的基本规则,《个人信息保护法》《数据安全法》等规定了数据处理者应遵守合法、正当、必要、诚信原则以及履行说明告知、安全保护义务等。但是,由于个人数据交易存在特殊性,现行法律法规未能很好发挥对个人数据失控与公正价值丧失等实践问题的规范作用,难以充分保护个人在数据交易中的各项权益。例如,《民法典》第497条规定“提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利”及“排除对方主要权利”的格式条款无效,以防止对接收条款的一方造成不正当损害。然而,网络服务商等数据处理者往往利用晦涩难懂的专业词汇对双方权利与责任内容进行变通解释与循环论证,使个人较难在短时间内准确把握对方应尽责任与己方可享权利,无法与网络服务商形成信息对等的当事人关系。《个人信息保护法》第13条规定获取个人信息应征得个人同意,个人数据交易本质上是对个人信息内容的让与,因此个人信息保护法对个人同意的规定可适用于个人数据交易活动,以秉持意思自治在契约型治理中的基础作用。而个人数据交易中的同意表示虽然表面上符合现行法对个人同意的规定,但本质上并未体现意思自治的自由性与真实性。网络服务商为了最大化地获得自身利益往往采用各种措施诱使个人“同意”出让更多个人数据,使其无法在真正知情的前提下作出同意的意思表示。这一同意表示更像是“假定的或故意安排的”,甚至是在“胁迫的情形下作出”的。对网络空间的陌生感使个人缺乏判断能力,而若放弃与网络服务商订立数据交易合同就无法适应现代社会——现代社交、网上点餐、交通运输、购物娱乐等网络服务都需要个人同意提供个人数据后方可使用,个人只能对合同条款表示接受。虽然在《个人信息保护法》颁布之后,我国中央和地方层面陆续出台数据相关的法规,对制度创新进行了积极探索,但关于个人数据交易的具体规定尚有欠缺。2022年12月发布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)肯定了发展数据交易的重要性,但并未对具体的个人数据交易行为进行指引。各地出台的数据条例,如《天津市促进大数据发展应用条例》《深圳市经济特区数据条例》等,都规定了合法数据可交易,但也缺乏关于个人数据交易的具体制度。《上海市数据条例》与《贵州省数据流通交易管理办法(试行)》对数据交易的规定相对较为细致,对数据处理、个人隐私与个人同意权、交易标的、交易主体、交易流程等都作了规定,但囿于区域性与地方特征限制,无法在全国范围内广泛适用。笔者认为,以上问题的解决需要从个人数据交易的私法制度构造这一基础问题出发,基于我国《民法典》物权编、合同编以及《个人信息保护法》等已有法律规范,借鉴地方的有益规定,构建个人数据交易的私法制度体系,以充分保护个人、数据处理者等数据交易当事人的合法权益并促进个人数据交易的健康快速发展。遗憾的是,虽然学界关于数据的研究成果颇多,但多集中于数据权益的研究,较少涉及个人数据交易的制度讨论。也有学者提出个人数据交易的法律建议,但缺乏对主体客体与权利配置等重要内容的深入探讨,也没有构建体系性的法律规则。鉴于此,本文以建立与完善个人数据交易的私法制度为目标,着重围绕个人数据交易的主体与客体、权利配置等私法构造进行研究,并在此基础上提出相关规则设置建议,为立法与司法实践创新抛砖引玉。二、个人数据交易的主客体讨论
现行私法无法妥当规制个人数据交易行为的根本原因在于个人数据交易不同于一般商品交易,其交易主体之间的关系以及作为交易客体的个人数据均具有特殊性。因此,构建个人数据交易的私法规范体系需首先对交易主体与客体进行全面深入的分析,尤其是对不同数据交易类型下的主体确立与个人数据交易客体的特征进行研究。个人数据交易是数据资产化与市场化的直接表现,从主体角度可以将其区分为初级数据交易与次级数据交易。初级数据交易指数据处理者从个人处获得数据的交易,在此过程中,个人以数据为交易对价换取数据处理者提供的网络产品与服务;次级数据交易则是指数据处理者与第三方进行的数据交易,即不同数据处理者之间进行的个人数据交易行为。初级数据交易中仅有个人与数据处理者两方主体,其法律关系基础为数据处理者与个人订立的用户服务协议以及数据处理者制定的隐私政策,双方均需遵守用户服务协议与隐私政策的条款规定。如前所述,由于个人与数据处理者实质上不具有平等的缔约地位,虽然双方在订立个人数据交易合同时符合合同法律规定,但数据处理者在追求自身利益的过程中常常并未充分保护数据主体权益。例如,网络服务商与个人订立数据交易合同后进行个人数据收集,一方面可为提供更加优质的产品与服务准备条件,但另一方面也是为精确定位的数字广告提供基础。更有甚者,网络服务商在收集个人数据的基础上,通过大数据算法对个人需求进行预测并精准推送,实质上剥夺了个人作为交易主体的选择权利。正如约翰·利波德(John Cheney-Lippold)所述,数据化的生活“越来越多地定义我们是谁,我们可以成为谁”。因此,就初级数据交易而言,制度构造应当以保护个人主体权益为中心,并在权利配置与规则设置中予以体现,以实现交易主体双方的实质平等。次级数据交易是数据处理者之间进行的个人数据交易。数据已经成为最重要的战略资产,聚合个人数据以实现更大效用的需求使得数据处理者之间就个人数据资源进行交易成为必需。次级数据交易中的交易主体主要是数据处理者与第三方数据处理者,例如门户网站收集用户个人数据后向电信服务商、信用卡服务商等第三方转让,或是经由数据中介出售给其他第三方数据处理者,这里的门户网站、电信服务商、信用卡服务商、数据中介等都为次级数据交易的主体。次级数据交易中各主体通常为拥有计算机、法律等专业优势的数字平台以及其他网络服务商,处于实质平等的缔约地位。由于数据处理者与第三方数据处理者进行个人数据交易时能够对涉及权利义务内容的合同格式条款进行准确认知并预判可能风险,其交易行为遵守现行民法原则与相应合同法规则即可。需要注意的是,个人数据的后续交易行为亦属于次级数据交易类型,当第三方数据处理者再次与其他主体发生个人数据交易时,虽然该第三方为从数据处理者而非个人处获得个人数据,但其仍然处于数据处理者的主体地位。个人数据交易的客体为个人数据似乎是明确具体的,但对于如何理解“个人数据”实则存在不同的学术观点。有学者将“个人数据”认定为公共物品,提出应利用侵犯公民个人信息罪对公民人格尊严与个人自由进行保护。从私法上对个人数据进行界定的主要有三种观点:一是将个人数据视为知识产权客体,二是将个人数据置于物权客体范畴,三是将个人数据视为新型民事权利客体。笔者赞成第三种观点。初级数据交易的客体仅为个人数据,次级数据交易的客体中还包括具有个人属性的数据产品。其中,具有个人属性的数据产品既有未进行匿名化操作的个人数据聚集而产生的独创性产品,也包含将大量个人数据进行匿名化操作并新组合成的数据产品。虽然数据产品在数据数量与范围上都远远大于单个或少数个人数据,但当其具有个人属性时则仍应受到个人数据法律的规制。个人数据与个人信息具有紧密关系,界定个人数据需通过比较和分析二者的联系与不同来明确个人数据的概念特征,从而更加合理地构造个人数据交易私法制度。就个人数据与个人信息关系的学说,分别有相同说与相异说两种观点。相同说认为,个人数据与个人信息只是从不同角度对同一客体的不同称谓,包含相同的经济利益与人格利益,并无实质上的区别。相异说则提出个人数据与个人信息存在明显区别,但对于两者的关系又有不同看法:有学者提出数据是表达信息的一种方式且属于信息的一部分,个人数据的真正价值不在代码层,信息内容才是最为重要的部分;也有学者提出二者为形式与内容的并列关系。笔者赞成相异说观点,但认为个人数据并非仅为个人信息的外在形式,其与个人信息也不为形式与内容的并列关系。个人数据涵盖个人信息,其内在本质当然是所载有的个人信息内容,但正是由于个人数据还包括多样化的外在形式,这一外在的代码形式及更加广泛的适用领域使其价值属性尤为突出。学者主张的“个人数据与个人信息在客观上无法被区分”具有合理性,但无法区分的原因应在于个人信息包含于个人数据,而不是个人信息等同于个人数据。虽然完全隔绝信息的数据不具有理解可能性与价值,但是对于个人数据的理解与保护应至少包含外在代码形式与内在信息本质两部分,而不是仅仅将个人数据的代码形式作为独立的权利客体或交易客体。在网络时代之前,对于个人数据与个人信息进行区分的必要性并不明显,原因在于此时的个人数据形式较为单一,个人信息通常被记载于纸张、书本之中,对单一书面形式的个人数据与其反映的个人信息内容在交易关系中一并保护即可。即便在网络社会的初始发展时期,由于个人数据大多存放于U盘、移动硬盘等有体物之中,既难以在网络空间以虚拟形态保存,也无法进行快速的网络传播,个人数据与个人信息仍可保持概念的一体性。然而,随着互联网技术与数字社会的快速发展,如今的个人数据更多地表现为网络空间的代码形式,此时“符号层面的数据文件应当与内容层面的数据信息严格区分”,若仍然混用则无法体现二者的不同内容。例如,将二进制代码记录(0和1)定义为个人数据更为合适,因为这些计算机语言本身为一种数据,只有通过机器处理或人工翻译等措施才能够使其内在信息得以显现,而直接将计算机语言定义为个人信息则明显不妥。个人数据与个人信息在表现形式与保护客体上存在不同。在表现形式上,个人信息不随载体的性质变化而随意改变,而个人数据的形式则变化多样,很容易受到载体的影响。在保护客体上,个人信息保护强调对其内容的保护,而对个人数据的保护则除了其个人属性保护外,还包括对其外在形式与适用环境的保护,例如对普遍存在的个人数据库及存储环境进行保护等。学者认为处理个人数据所体现的经济价值“在于可以识别特定自然人即分析出个人信息”的观点具有现实意义,但是伴随数字经济与互联网技术的不断发展,同时包含个人信息内容与多样化外在形式的个人数据能够更加灵活地在更为广泛的领域适用,其所具有的经济价值和体现的巨大潜力将明显区别于个人信息。在缺乏个人数据交易专门法的现阶段,适用《民法典》与《个人信息保护法》对个人数据交易实践进行规制具有合理性,但如果仅以保护个人信息的方式来维护个人数据的价值与利益则必然导致无法在快速发展的数字社会下规制不同外在形式的个人数据交易,反而达不到预期的法律效果。例如,若仅对纯粹的个人信息集合进行保护而不对代码形式的可翻译成个人信息内容的个人数据产品进行保护,则容易使得该个人数据产品被他人恶意使用从而对个人造成损害。概言之,个人数据具有与个人信息在概念与规制上的区分必要性,应当成为一项独立的法律规制对象与保护客体。个人数据包含代码层与内容层,个人相关性的基础特征来源于其所承载的个人信息内容。同时,个人数据还具有聚合性、动态性与非排他性等特征。聚合性反映个人数据的价值由来,动态性体现个人数据的变化过程,非排他性则表达出个人数据无法为个别主体所独占的事实属性。第一,个人相关性。个人数据的基础特征为个人相关性,包括内容关联、目的关联与结果关联。内容关联是个人数据的基本体现,即通过数据的内容可将个人和数据联系起来。对于个人数据的最常见认识是“人和数据是通过内容联系起来的”,例如个人的医疗记录与其相关,因为这些记录揭示个人的身体症状与医疗信息。当使用数据的目的可能影响个人时,目的关联就会出现;而当使用数据的结果影响个人时,则符合结果关联要求。区分目的关联与结果关联的关键在于使用个人数据背后的原因,目的关联主要描述数据使用影响个人的“意图”,而结果关联则捕捉数据使用对个人的“影响”。第二,聚合性。个人数据具有聚合性特征,通常只有聚合起来才产生更大的经济价值,换言之,数据聚合的整体价值远远大于单个数据或零散数据的个体价值。例如,大型数据集合可以实现算法预测、训练人工智能,并为其他大数据应用作出贡献。聚合的个人数据主要来自“用户生成内容”,既包括以图片、即时消息和社交媒体等形式出现的个人数据,也包括利用生成式人工智能技术生成的与个人相关的文本、图片、音频、视频等内容。数据聚合包括两种途径,一种是聚合多个数据主体的单种类型数据,另一种为聚合单个数据主体的多种类型数据,以发挥评价与分析功能。正如亚马逊(Amazon)数据科学家安德里亚·维真德(Andreas Weigend)提出的,“在许多情况下,只有当我们将自己的数据与他人创建的数据进行比较时,数据的真正含义才会显现出来”。聚合个人数据已经成为网络服务商提升市场竞争力的重要措施,例如,在美团与大众点评的合并案例中,《大众点评隐私政策》(2023年3月8日生效)规定大众点评与美团App“共享或委托其处理”用户的个人信息,使美团能够获得大众点评数以亿计的用户评论。大众点评用户评论数据与美团用户个人数据相结合可形成强有力的经营闭环,显著增加美团产品与服务的用户吸引力。第三,动态性。个人数据具有动态性并非指个人数据代码层的形式多样,而是指个人数据内容层具有动态变化特征。仅仅是代码层的变化并不会影响交易的正常进行,因为当事人订立合同时已经固定个人数据的外在形态,而内容层的动态变化则会影响到当事人之间的权利义务关系。物权客体、知识产权客体以及债权客体一般不会发生改变,一旦变化就会产生新的权利,例如物的添附导致物权的变化等。但个人数据的动态性主要由数据主体本身情况发生变化所引起,例如个人的年龄、身高等数据都会随着个体成长而发生变化。这一变化特征也会导致个人数据与非个人数据之间具有动态变化,当个人提供的数据信息已经与其自身不具有相关性时,数据库中的个人数据就丧失了个人属性。但是,随着数字技术不断进步,通过有些看似不具有个人属性的一般数据也能够识别出数据主体,例如可以根据其他用户在网络空间上传的图片、视频等信息发现目标个人的行踪数据、身份信息等。因此,在现代智能社会,区分个人数据与非个人数据变得越来越困难。个人数据丧失个人相关性通常不会影响当事人之间的交易行为,无论是单次交易抑或连续交易皆可按照合同约定进行。然而,当非个人数据转化为个人数据时,当事人之间就非个人数据的原有约定则极有可能导致个人受到损害,尤其当敏感个人数据与非敏感个人数据之间的边界是不确定的、相对的与动态变化时,对个人就更加不利。第四,非排他性。个人数据具有非排他性,其可以在保持内容与形式一致的前提下以极低成本被大量复制,无论是个人抑或网络服务商等数据处理者,都无法实现对个人数据的排他性控制。个人数据无法为民事主体所独占,存在多个主体同时持有个人数据的情形,且不像一般商品交易那样会随着对商品控制状态的变化而转移全部使用价值。个人对数据享有的权益与一般商品的所有权不同,一般所有权可以被定义为“对物特定权利的捆绑”或是“对客体物的支配”:在第一种情况下,所有权包括占有、使用、收益与处分四项权能,这里的占有具有排他性,处分指仅所有者能够进行交易或分割等措施;在第二种情况下,所有权表现为人与物之间的一种关系,其关键特征为人对物的绝对控制。我国《个人信息保护法》规定个人信息为一项权益,并未作“个人信息权”的直接表述,这除了揭示个人信息具有权利与利益双重属性、个人对个人信息在人格尊严与人身财产安全等方面具有权利与利益外,主要是考虑到对个人信息权益的享有不具有独占性,与一般所有权存在本质区别。三、个人数据交易的权利配置
个人数据与个人密切相关,这一特殊性也会影响个人数据交易。一般商品被出售后通常与之前的所有者不再有关系,然而个人数据则不同,描述个人的数据在交易之后继续与数据主体紧密相关。正是因为这一相关性,才使得个人数据在交易的下游仍然被数据处理者以及第三方数据处理者关注并利用;也正因如此,才使得个人数据主体的权益即便在交易下游也容易受到侵害。因此,在对个人数据的交易主体进行权利配置时,应对个人进行特别考虑,尤其要注重保护个人隐私权益与人格利益。当然,在确认个人数据主体权利的同时,还应当考虑对个人数据的最大化利用,在顾及聚合性、动态性与非排他性特征的基础之上促进个人数据的自由安全流通。首先,无论是初级数据交易抑或次级数据交易,应优先保护个人的隐私权益与人格利益不受侵害,因此,应以隐私与人格保护原则为主体权利配置的首要原则。个人数据具有个人相关性,应受到特别对待,尤其要注重对其主体的隐私等权益进行保护,否则个人参与数据流通的积极性将无法保证,反而不利于对个人数据的收集和有效利用。其次,权利配置应遵从自由与安全流通原则,以强调个人数据交易的自由性与安全性,避免因不正当地限制数据交易或因交易泛滥而影响现代社会的健康发展。隐私与人格保护原则是个人数据自由流通的基石而非障碍,个人数据的自由与安全流通为实现更加安全与稳定的网络空间以及对个人隐私权益与人格利益进行更为周密的制度保护提供创新思维,两项原则互为补充与协调,为构建开放可信的个人数据交易环境提供底层逻辑。隐私与人格保护原则赋予个人制止对隐私权益与人格利益有侵害风险或现实损害的个人数据交易行为的权利,保护个人数据在收集、存储、使用和传输过程中免受非法监视、泄露等。这里的隐私权益主要指个人尚未公开或无意公开的姓名、身份、家庭等信息,而人格利益则指个人所享有的抽象人格权与具体人格权。我国《民法典》《个人信息保护法》等法律皆对个人隐私权益与人格利益保护进行了规定。例如,《民法典》第1035条规定处理个人信息“不得过度处理”,且须符合“不违反法律、行政法规的规定和双方的约定”;《个人信息保护法》第28—30条规定了对敏感个人信息进行特别保护;等等。此外,“数据二十条”在“(六)建立健全个人信息数据确权授权机制”中也明确提出,“保障使用个人信息数据时的信息安全和个人隐私”。个人隐私与个人数据密切相关,隐私权益是个人数据权益的重要内容,对于个人数据的保护也体现了对个人隐私的保护。但是,隐私保护与数据安全并不相同,在数据处理者通过合法交易获得个人数据后,即使该个人数据绝对安全,数据处理者或第三方也可能利用侵犯个人隐私的方式进行传播,因此需要兼顾数据安全与隐私保护。个人数据保护同样涉及对个人人格利益的保护,尤其在个人数据交易过程中,由于个人数据与个人人格独立、人格尊严以及姓名权、肖像权等密切相关,即使交易完成也仍然需要对人格利益进行持续关注。需要注意的是,隐私与人格保护原则在适用过程中也存在限度,以避免其成为阻碍个人数据正常交易的变相保护主义工具。换言之,隐私与人格保护并非要追求绝对的个人数据隐藏或封闭,而是要在基本人身权意义上实现对隐私权益与人格利益进行保护的同时,合理平衡多元主体的利益关系。自由与安全流通原则注重确保交易主体的意思自治免受不必要的干预和控制,同时强调不得损害国家、社会和他人的合法权益,从而提升互联网经济效率与实现数字创新发展结构。自由流通是私法意思自治的必然要求,是私法基本原则在个人数据交易的体现,可保障个人的自主性与自治性。个人与数据处理者之间的个人数据交易合同体现了当事人对数据使用价值与交换价值的自主处置,法律应支持交易主体对个人数据分配和利用的自主意愿。但是,自由流通需以安全稳定为前提,“数据二十条”“(二)工作原则”中提出,要“完善治理体系,保障安全发展。统筹发展和安全,贯彻总体国家安全观”,国家数据局等部门发布的《“数据要素×”三年行动计划(2024—2026年)》(国数政策〔2023〕11号)也明确规定要“加强数据安全保障”。个人数据的自由与安全流通不仅是保护个人权益的需要,对维护国家和社会利益而言也有重要意义。自由与安全流通可最大化地释放个人数据的价值,促进社会不同领域的合作与交流。通过流通打破信息孤岛并激发数据资源的优化配置,不仅可以提升社会各个行业的工作效率与服务质量,还能促进技术创新与规模经济的快速增长。因此,个人数据交易的权利配置应当遵从自由与安全流通原则。个人以及数据处理者的主体意思在数据交易中的决定作用越大,对国家、社会安全和他人合法权益的保护越充分,则个人数据交易就越高效,数字经济也将越繁荣。如前文所述,个人数据交易关涉个人的隐私权益与人格利益,因此在进行权利分配时,应当着重考虑个人的权利保护,在既有个人信息保护法的基础之上完善对个人相关权利尤其是人格权益的保护。此外,也要基于个人数据交易的特殊性,就数据产权三权分置与收益分配权作特别规定。个人数据交易涉及个人信息处理内容,对于个人当事人的权利配置须以现行信息保护法为依据进行讨论。我国《个人信息保护法》第44条规定“个人对其个人信息的处理享有知情权”,具体到个人数据交易过程中,对于知情权的规定应更为细致。个人数据具有个人相关性的基础特征,应当赋予个人享有数据交易全过程的知情权,该权利并非仅是对初级数据交易中数据处理者如何收集、使用个人数据的情形的知情,还包括对次级数据交易双方处理者对个人数据的处理约定以及实际使用情形等的知情。初级数据交易中数据处理者须向个人告知以获得个人同意,次级数据交易中数据处理者须再次向个人告知以再次获得个人同意,从而确保个人实现对数据交易全过程知情的权利。数据交易全过程知情权的设定是保护个人隐私权益与人格利益的自然推论。数据处理者以及第三方数据处理者负有更大范围的如实告知义务,包括披露收集个人数据的相关信息以及如何使用、传输和采取的保护措施等。我国《个人信息保护法》第24条规定了个人不受自动化决策支配的权利,即个人“有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”,该权利可实现对个人数据主体的有效保护。由于个人数据具有非排他性特征,该个人数据甚至可能由多个数据处理者同时占有并使用,而个人交易数据后却无法对数据使用进行监管,赋予个人不受自动化决策支配权有利于降低个人遭受多重损害的风险。但是,个人数据交易过程中不仅需要对数据隐私与人格利益进行保护,还需要促进个人数据的流通利用,因此个人享有的不受自动化决策支配权应当受到限制,否则必然导致合理的个人数据交易模式无法展开,反而产生成本过高与交易无序的不良后果。具体而言,若数据处理者在交易中已经向个人告知采用自动化决策技术,并就哪些交易事项使用自动化决策以及产生何种法律后果进行明确说明,此时个人对自动化交易事项知情,则不应再随意行使不受自动化决策支配权。只有在未获得个人知情同意的前提下,个人才能够利用不受自动化决策支配权保护自身权益。赋予个人有限的不受自动化决策支配权是个人知情权保护的延伸,有利于个人对数据交易进行自主决定与合理定价,既保护个人隐私权益与人格利益,也能够使个人数据的财产价值得到充分体现。我国《个人信息保护法》第15条和第45—47条分别规定了个人的撤回同意权、查阅复制权、更正补充权、删除权等,由于个人数据具有动态性,当个人将其数据交易给数据处理者后,可能发生数据不再与个人相关、出现错误等情形,此时应当允许个人对交易后的个人数据进行访问并予以纠正,防止数据处理者就错误个人数据的使用产生对个人不利的结果。尤其当个人出售的非敏感个人数据转化为敏感个人数据时,例如个人日常饮食数据出现不规则变化从而反映出个人健康状况等,由于该个人数据的使用与合同初始目的不符甚至会对个人尚未出让的隐私权益与人格利益产生侵害,应当保障个人对删除权与撤回权的行使,这里的“撤回”不仅包括撤回同意的意思表示,也包括撤回已转化为敏感个人数据的数据。删除权与撤回权的行使不应影响个人先前同意交易的其他个人数据内容,以避免对个人数据交易相对方形成的稳定预期产生过大影响。但是,当数据主体为未成年人时,应当允许个人在终止交易的同时删除或要求撤回已经交易的个人数据。例如,在个人数据交易合同的履行与当事人缔约目的不符或者存在数据处理者非法使用个人数据等情形下,应当允许未成年人及其父母或其他法定代理人行使个人数据删除权或撤回权,防止对未成年人个人信息的过度曝光,对其日后成长产生影响。全国信标委大数据标准工作组出台的《数据要素流通标准化白皮书(2022版)》规定了数据持有权、数据使用权与数据经营权,“数据二十条”扩张表述为数据资源持有权、数据加工使用权与数据产品经营权,体现了数据权益的分置结构。数据产权三权分置的主要目的在于规范数据处理者,而个人作为数据来源者当然也享有对其数据进行持有、使用与处置的权利,即有权对其个人数据进行绝对支配。但与有体物之上具有排他效力的传统所有权不同,数据产权更像是一种框架性权利。同理,对数据处理者获得个人数据后享有的数据权益也无法仅通过所有权进行概括,需对各项权利进行分别规定。“数据二十条”对三权分置的数据产权规定增加“资源”“加工”与“产品”的语词前缀,其意图应为对数据资源政策性管控意义的明确、对实践中经常使用数据形式的认可以及对商业市场惯用措辞的维系。但是,就规范效果而言,将三权分置的数据产权概括为数据持有权、数据使用权与数据经营权即能够较好地契合经济发展需求与实现制度规范功能,过于细化的权利描述反而不利于对实践中复杂多样的权利类型与交易内容进行规制。例如,所谓“数据加工使用权”应指收集数据的处理者能够加工数据并进行使用,但这一描述在实践中存在隐患。数据处理者能够使用的数据应为仅经过加工的数据还是包含未加工的数据,即加工使用权是一项权利还是可具体拆分为加工权与使用权两项权利,存在歧义。相较而言,采用“数据使用权”则较为合理,处理者能够分析、加工数据并进行使用,既允许对个人数据进行改善以形成新的数据产品,也能够进行其他目的的利用。又如,“数据产品经营权”的表述也存在适用瑕疵,本身“经营权”的设定已经存在法律上的不周延性,其只能为处分权的一部分,而不能完全涵盖处分权,导致无法对个人与数据处理者等权利主体进行充分保护。而且,“产品经营权”的措辞导致交易中大量未被认定为数据产品的个人数据之转让受到限制,使得制度规范对于个人数据交易的促进作用大打折扣。三权分置的数据产权设计淡化了数据所有权概念并强调数据使用权,可保障个人数据在确权前提下自由与安全流通,更加有效地发挥数据要素对数字经济的带动作用以及对实体经济的赋能创新。国家发展和改革委员会也提出,要“推动数据产权结构性分置,跳出所有权思维定式,聚焦数据在采集、收集、加工使用、交易、应用全过程中各参与方的权利”,这里的“跳出所有权思维定式”即反映出不应仅依据所有权模式对数据权益进行利用与保护的政策倾向。个人数据的聚合性、动态性等特征要求数据交易更加注重对个人数据进行使用,而不能套用类似于传统物权、知识产权等固定交易客体的概念理解数据权益。例如,交易过程中的个人数据存在聚合数量的未知以及不断发展变化的属性,因此交易的个人数据内容不能完全限定,也无法适用静态化的数据所有权概念来确认权利边界。抖音收集的位置信息(包括精确定位信息、WLAN接入点、蓝牙和基站、传感器信息)等每一类别信息都是非静态的,这些信息本身就在不断变化,而如个人资料账号(包括昵称、头像、性别、生日、爱好、工作、地区)等不确定数量的信息聚合会使其价值更为突出。因此,基于个人数据的聚合性和动态性,只有确立三权分置的数据产权,才有利于个人数据的自由与安全交易,也才能够在更加符合当事人真实合意与合法合规的基础之上明确网络服务商等数据处理者所享有数据权益的具体内容。我国《民法典》《个人信息保护法》并未规定个人信息交易的收益分配权,导致个人数据交易中的收益分配问题无法可循,而立法对于收益分配的存而不议必然制约个人主张权利,导致其难以挣脱“强权即正义”的潜在规则。学界对于个人与数据处理者享有收益分配权存在不同观点:个人说认为个人提供了有价值的数据原材料,应为收益分配权主体;处理者说认为个人数据的价值并非源自其本身的含义或固有的功用,而是在于大量结构化与非结构化的聚合从而透析客观世界或分析对象所蕴含的一般规律及普遍特征,因此数据处理者应为收益分配权主体;折中说则认为个人数据的收益分配权应当由个人与数据处理者共同享有。笔者赞成折中说观点:个人作为数据来源者当然享有收益分配权,而数据处理者通过技术化措施对个人数据进行聚合与分析,具有相当程度的智力与劳动投入,也应享有收益分配权。“数据二十条”中亦体现出个人数据交易各主体分享收益分配权的观点,在“(十二)健全数据要素由市场评价贡献、按贡献决定报酬机制”部分中规定,“按照‘谁投入、谁贡献、谁受益’原则,着重保护数据要素各参与方的投入产出收益,依法依规维护数据资源资产权益,探索个人、企业、公共数据分享价值收益的方式”。依此规定,在数据交易收益的初次分配与再次分配中的侧重应有不同,初次分配应“向数据价值和使用价值的创造者合理倾斜,确保在开发挖掘数据价值各环节的投入有相应回报”,再次分配则要“平衡兼顾数据内容采集、加工、流通、应用等不同环节相关主体之间的利益分配”。初次分配中,个人与数据处理者分别为数据主体与数据聚合、分析方,个人提供个人数据的原始价值,而数据处理者通过数据挖掘与分析创造与提升经济价值,双方可以采用一定比例分成的方式确定具体收益,该比例既可以来自当事人之间的自由约定,也可以按照贡献力大小进行确定。党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》也提出“贡献力机制”的理念,规定要“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”。再次分配中涉及数据处理者之间进行的大量次级数据交易行为,此时,数据处理者与第三方数据处理者通过平等协商确认彼此的收益分配额,但同时也应分别与个人确立分配比例。最佳方法是,数据处理者与个人进行初级数据交易时即确定其使用、经营等处理个人数据获利时应当进行利益返还,第三方数据处理者既可以与个人单独订立收益分配协议,也可以在与数据处理者订立次级数据交易合同中约定向个人返还利益的合同条款,从而保障个人的收益权利。此外,还可以设立奖励性质的收益分配权,以鼓励个人提供真实数据并及时更新与数据处理者创新个人数据保护措施等。四、个人数据交易的规则设置
在个人数据交易愈加频繁但可直接适用的交易规则不足之情况下,应当从《民法典》合同编、物权编及《个人信息保护法》等已有法律规定中找寻相应规则,通过类推适用或借鉴完善等方式,依托现有规制构建个人数据交易的私法保护体系。待制度规范成熟后,再将其整合为体系化的个人数据交易专门法。就当前而言,可结合个人数据交易的特殊性,利用不断完善的合同法规则与个人信息保护法规则分别保护当事人平等地位与知情同意等权利,同时借鉴物权法规则对其交易客体进行保护。如前所述,由于个人数据交易合同缔结的特殊性,虽然个人形式上同意向网络服务商等数据处理者转让个人数据,但是该同意并不符合合同法实质意义上的同意要求,这就容易导致数据处理者能够以违背个人真实意愿或直接损害其利益的方式使用个人数据,而已有合同法规则实际上不足以保护个人的数据权益。尤其当网络服务商等数据处理者将个人数据转移至第三方,而第三方为了实现自身利益最大化,不适当使用、传播数据或采取措施不充分或弱于预期安全标准时,由于合同权利和义务关系通常只约束当事人双方,合同对控制个人数据之第三方的规制功能受到限制。因此,基于个人数据本身以及交易环境的特殊性,在适用合同法规则时应当特别注重纠正交易主体之间的不平等地位。个人数据交易实践中存在隐私政策与服务协议不完整(如缺乏个人数据如何使用与向第三方转移等细节信息)与交易信息不透明(如数据处理者采用技术措施使个人无法直接查阅交易事项等信息)等问题,个人通常难以监管数据的收集、使用和传输等过程,尤其当数据处理者收集数据后再转移至第三方时,则更加难以探察。因此,个人可能误判交易的数据类型、数据的使用方式以及数据的传播范围。在将合同法规则适用至个人数据交易时,应当考虑到个人数据交易主体地位的不平等,提高数据处理者在数据交易过程中的提示义务履行标准,例如,要求其在将个人数据打包或通过其他方式转让给第三方时,应当向个人进行明确告知。个人数据交易通常发生在网络空间,个人在线缔约时容易表现出有限理性与乐观偏见,这会阻止其以理性方式分析接收到的合同信息,使个人倾向于关注合同中的短期利益条款而不对其他重要的格式条款进行全面与客观的解读,导致个人难以预测在未来发生个人数据权益受损的结果。因此,消除个人数据交易中的信息不对等还需要完善网络服务商等处于合同优势地位的数据处理者对格式条款的说明义务,包括对条款内容进行优化以及对条款含义进行明晰等。具体而言,数据处理者作为格式条款的起草方,应当向个人强调格式条款的重要性及阅读的必要性,如利用提供警示图片等方式增加说明效果;同时,应当采用多种方法对格式条款的含义进行明晰,包括对专有词汇进行弹窗说明、向个人发送电子邮件进行详细说明等。关于合同法规则是否应该依不同场景而有所不同以及在多大程度上有所不同,存在两种观点。义务论观点声称合同法规则具有普遍性,并从少数高级价值(例如尊重个人自主权)中衍生出实质性规则。兰迪·巴尼特(Randy E. Barnett)和查尔斯·弗里德(Charles Fried)都持此种观点,认为合同法应该包含数个具有普遍性的关键规则。例如,普遍性的合同法规则认为当事人只有在同意承诺后才能履行,而对违约的补救范围应当以预期损害赔偿为准。但若将该种观点适用至个人数据交易,则无法保护数据主体权益:数据处理者一般不会在合同中承诺对第三方数据处理者造成的损害负责,其也难以预见个人数据泄露后将造成的损害大小,这就导致个人无法获得足够救济。与义务论观点相对立的是针对不同场景规定不同合同法规则的工具论观点,卡尔·卢埃林(Karl N. Llewellyn)强调对不同类型的合同应当进行不同的解释,保罗·施瓦茨(Paul M. Schwartz)也支持工具论的合同法规则。工具论观点认为,合同法应当促进特定目标的实现以及当事人之间的平等交流,在因履行需要时间或难以核实信息而无法立即达成的交易活动中发挥关键作用,规定当事人一方必须在另一方未完成履行之前就开始兑现己方承诺。例如,作为卖方的个人虽然还未提供个人数据,但买方应当先行作出承诺并积极履行,包括提供技术措施使个人数据的收集不会发生泄露风险或被其他广告公司关联等。前述规则虽不符合传统合同法规定的合同履行要求,但有利于鼓励个人提供真实数据并促使交易实现当事人互惠,也有利于在当事人地位实质不平等的个人数据交易中实现对个人的倾斜保护。合同关系不同于其他民事法律关系的重要特点在于其具有相对性,我国《民法典》第465条规定,合同“仅对当事人具有法律约束力”。但是,若将相对性原则适用至个人数据交易合同中,则个人与数据处理者之间对数据处理的约定无法对第三方数据处理者产生制约。尤其当次级数据交易中的第三方数据处理者通过与数据处理者(而非个人本人)缔结合同而获得个人数据时,若法律不规定这些处理者的保护义务,则其可能在挖掘个人数据与个人的联系并采用算法等技术对个人数据进行最大化利用时,于客观上造成对个人权益的损害。而就此类损害而言,仅通过对初级数据交易处理者的索赔不足以阻止第三方数据处理者侵权,也难以为个人提供充分救济。可见,在个人数据交易中坚持合同相对性原则必然会限制责任条款所具有的威慑功能。因此,基于个人数据交易当事人地位失衡以及个人数据具有个人相关性、非排他性等特征,应当赋予在初级数据交易合同中限制第三方享有权利及要求第三方承担义务的条款以法律效力,促使第三方数据处理者遵守初级数据交易合同中对其使用、转让等处理个人数据行为的限制规定。例如,引导个人在初级数据交易合同中明确规定“任何潜在的第三方数据处理者在使用、分析或转让个人数据时,须遵守本合同对个人数据的保护约定”,并承认其法律效力,以解决个人所面临的信息障碍与监督问题。通过赋予第三方数据处理者保护义务约定以强制性,督促其履行作出更加充分的提示说明、对超出当事人授权范围的个人数据使用与转让禁止、对未超出当事人授权范围的个人数据使用与转让限制、对违反约定造成损害进行赔偿等义务。我国《个人信息保护法》试图解决个人信息处理活动中的同意真实性问题,第17条规定个人信息处理者“应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知”处理事项,包括处理目的、处理方式、保存期限等;第23条规定“个人信息处理者向其他个人信息处理者提供其处理的个人信息的”,应当向个人告知接收方的名称或姓名、联系方式、处理目的与方式等全部内容。然而,无论是在隐私政策抑或用户服务协议中,个人所谓的同意表示往往来源于其对使用网络产品与服务的迫切需求以及对个人信息处理条款的乐观估计,而并非在理解条款准确含义的前提下作出的真正同意表示。当面对更为复杂以及更加多元化的个人数据交易活动时,仅仅依据现有个人信息保护法的规定远不足以保护个人对数据交易全过程的知情权。因此,应对现有规则进行完善,包括要求数据处理者严格履行更全面的如实告知义务以及对个人同意规则进行改进。要求数据处理者履行的如实告知义务并非仅限于针对合同格式条款或履行方式进行提示与说明,还包括针对个人数据这一交易客体进行告知,其目的在于使以个人知情同意为核心的个人数据权益得到合理保护。虽然个人数据交易私法制度更应强调对交易格式条款的提示说明以及对双方权利义务的平衡保护,但是由于个人数据本身包含经济价值与人身权益双重属性,在保证交易目的顺利实现的同时应当兼顾对个人隐私权益与人格利益的保护。因此,数据处理者或第三方数据处理者只要通过交易获得个人数据并进行加工、使用等处理活动的,除了需要履行《个人信息保护法》已经规定的如实告知义务,还需要增加履行以下义务内容:第一,就交易的个人数据数量进行告知。个人数据的收集数量与个人受损害风险呈正相关关系,由于个人数据具有聚合性与动态性,交易更多的个人数据自然会增加所收集数据样本的整体价值,但同时也易导致个人数据权益面临更大的损害风险。第二,就使用期限进行告知。使用期限指数据处理者使用个人数据的持续时间,法律虽然规定数据处理者应当告知个人保存数据的期限,但未明确对使用期限进行告知的义务。由于个人数据的价值具有累积效应,随着使用期限的延长,个人受到损害的风险也会因时间的推移而增加。例如,如果网络用户持续使用微信、微博等社交软件,这些社交平台就能够对用户作出更为详细准确的预测和推断,长期用户每单位时间的数据成本显然高于平台的新用户,受到广告侵扰与隐私侵害的风险也更大。第三,就收集与个人相关联的推测数据进行告知。网络服务商为提升产品与服务质量,通常通过其他渠道获得与个人相关的信息,或是根据个人数据与公共数据的交叉产生推测数据,以对个人数据进行丰富与立体化、提升行业竞争优势。推测数据可以充实个人数据并增加灵敏度,为人工智能与算法技术提供更为广泛的基础数据源,帮助数据处理者分析个人身体、情感、家庭、职业等方面的具体情况。作为推测数据的生产者,数据处理者当然对其享有产权,但在其使用或出售给其他处理者时,应当先行告知数据主体,获得个人同意后再行交易。有学者提出信赖理念下的告知同意规则,即个人可依据其对处理者的信赖程度自由勾选愿意与之共享的个人信息内容。但个人数据交易中的个人与数据处理者之间以及数据处理者之间的交易行为并无产生信赖的基础——双方当事人只是依据合同享有权利与互负义务,且基于数据交易的效率性要求,也难以给予当事人长时间进行信赖考查。因而,该种规则无法在个人数据交易活动中较好适用。也有学者提出告知同意规则的行为区分模型,即对于未涉及个人人格尊严和自由发展的处理行为可适用默示同意规则,反之则适用明示同意规则。虽然看似默示与明示同意规则的区分适用能够提高个人信息的处理效率,但就个人数据交易过程中不同的数据客体是否涉及个人人格尊严与自由发展本身难以静态化界定。例如,个人在初级数据交易中出让的民族、性别、身高、年龄等数据并不涉及人格尊严,但是当这些个人数据流通至次级数据交易市场时,第三方数据处理者可能对前述数据进行歧视性分类进而损害个人人格尊严。笔者认为,对个人数据交易中的个人同意规则应当进行动态化改进,制定动态同意规则。美国《加州消费者隐私法案》(California Consumer Privacy Act, CCPA)第1798.105(a)条规定“对于从消费者处收集的有关消费者的任何个人信息,消费者有权要求企业删除”;第1798.105(d)(1)条又规定,若是提供消费者要求的或在企业与消费者的持续业务关系范围内合理预期的商品或服务,则企业或服务提供者无须应消费者请求删除其个人信息。这实质上反映出动态同意规则的法律理论,即当消费者能够预期交易个人信息将产生的风险时就不允许其行使删除权,而当消费者无法预期可能的交易风险时则允许其行使删除权。相较于前两种个人同意规则的学说观点,场景化的动态同意规则具有优越性:利用动态同意规则能够突破既有静态同意规则的局限,将同意行为与数据处理者履行的告知义务技术化为一个持续、动态和开放的过程。因此,应基于数据处理者履行如实告知义务的范围与程度、对个人数据权益的影响变化以及个人数据交易场景对个人同意规则进行动态调整:第一,当数据处理者已经按照《个人信息保护法》与增加的如实告知义务要求履行告知义务时,个人采取在线点击同意按钮或其他的简单同意行为,交易即依法产生效力;第二,当数据处理者未按照法律规定履行如实告知义务时,个人的简单同意行为不能发生合法效力,还需要个人补充同意,包括对个人数据交易行为进行明示追认以及在一段时间内未表示反对交易的默示同意等;第三,虽然数据处理者已经充分履行如实告知义务,但是个人数据发生动态变化的,如从非敏感个人数据转变为敏感个人数据或将对个人隐私权益与人格利益产生无法预料的重大影响,数据交易应重新获得个人同意,否则个人可行使数据纠正权与删除撤回权,并要求数据处理者承担损害赔偿责任。数据处理者将前期收集的个人数据进行编辑与重新组合,可使原本的“单个个人数据”或“简单的数据集合”成为反映某种社会现象或体现某种趋势的数据产品。相较于原始个人数据而言,数据产品具有更高的市场价值,具有规模化、结构化、标准化等显著优势。在财产交易语境下,对个人数据客体难以进行清晰的产权界定。但是当个人数据被数据处理者聚集、分析并形成相对稳定且具有固定价值的数据产品时,则具有财产权客体的清晰状态。此时,可适用财产法规则,尤其是物权法规则,对包括数据产品经营权在内的一切数据产品权益进行保护。数据产品交易在数据处理者之间发生,主要有场外交易与集中交易两种模式。场外交易包括消费平台、互联网平台等网络服务商之间发生的自由交易行为;集中交易则主要发生在数据交易场所内,交易行为须受到数据交易所的监管与制约。由于两者尚无法统一监管且遭受风险不同(例如场外交易中整个数据产品遭受侵害风险较高,而集中交易存在损害赔偿不足等风险),因此相应的物权法保护规则也有所差异。由于个人数据以及由此产生的数据产品具有可快速复制、共享与非排他性特征,且在场外交易中缺乏专门机构对交易履行情况进行监督,数据处理者经过加工、分析产生的数据产品在交易后极易被其他数据中介或处理者以未经授权或超越授权的方式使用,而网络空间的复杂性又加大了数据处理者监管的难度。因此,要求数据处理者对所有侵权行为都采取合同预防或进行及时制止并不可行。数据处理者重新编辑制作的数据产品内含处理者的智力与劳动投入,为保护其合法的数据产品权益并保证其在遭受损害后得到充分救济,应适用所有权规则等物权法制度强化对数据产品权益的保护措施。在“淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争纠纷案”中,法院认为网络数据产品经过网络运营者大量的智力劳动成果投入后具有独立性与财产性权益,该权益归属于淘宝公司所有。虽然根据物权法定原则不宜确认网络服务商等数据处理者对于具有独立性的数据产品享有财产所有权,但前案判决事实上运用了所有权规则对数据产品权益进行保护。除场外交易外,个人数据交易更多地体现为在大数据交易所进行的集中交易,该类交易目前受到更严格的监管。例如,在贵阳大数据交易所进行的个人数据产品交易实践中,为避免对个人隐私造成不必要的损害,除对各项交易进行合规审查外,还进一步采取隐私保护技术确保数据的安全交易与使用。北京、上海等地的数据集中交易也在不断发展,北京国际大数据交易所提出构建“数字经济中介产业体系”,上海数据交易所要建立“数据服务商体系”,广州数据交易所发展“数据经纪人模式”等。数据产品集中交易的突出问题在于:由于数据交易应用系统需要对每一个身份体系进行认证以及对访问程序进行授权,单个交易主体可能在不同的身份体系中保留不同的身份信息与行为数据,这使得数据产品出让方或受让方有可能利用不同身份信息从事损害相对方数据权益的行为并逃避责任。笔者认为,对此可借鉴物权登记规则,要求数据处理者对身份信息、数据产品信息、交易事项信息等进行类似于物权登记的数据产品登记,并依托数据交易所的流通中枢地位与公信力建立分布登记、统一效力的登记模式。2024年7月国家数据局也提出要建立数据资源登记制度。该制度不仅能够使当事人主体清楚知悉数据产品与交易活动,也可防止造成责任主体不明与受偿额度不足等问题。需要指出的是,数据产品登记规则虽有与物权登记规则相同的降低权利识别成本以及保护交易安全的规制功能,但也存在差异。例如,传统物权登记规则强调交易当事人的信赖利益,着重解决横向的、排他性的权利冲突问题;而新型数据产品登记规则强调数据产品的清晰性与合法性,着重解决纵向的、非排他性的交易安全问题。因此,虽然数据产品登记规则参照于物权登记规则,但仍应根据数据产品自有特征进行创新与完善,以适应未来数据产品交易形式多元发展与规模不断扩大的趋势。五、结 语
由于个人数据交易发生在网络空间,且个人数据具有个人相关性、聚合性、动态性与非排他性等不同于其他物权客体、知识产权客体的特征,加之现有私法规制不足,个人难以对其已转出的个人数据之使用和流通进行监督,也无法及时发现数据权益遭受损害并主张赔偿。因此,应当对已有合同法、个人信息保护法、物权法等规则进行提炼与完善,进而构造个人数据交易的私法制度体系。在个人数据交易制度体系下:个人享有数据交易全过程知情权、有限的不受自动化决策支配权等基于个人信息保护法的各项权利,以及与数据处理者共同享有的收益分配权;数据处理者应当按照个人数据交易合同约定与法律规定,妥善履行网络空间下的提示说明义务、如实告知义务与其他个人数据保护义务,对个人造成人身损害与财产损害的,须分别承担侵害隐私权益、人格利益等的侵权责任以及继续履行、采取补救措施、赔偿损失等违约责任,或基于个人数据自身特征承担停止使用、数据删除等特殊的违约责任;其他数据中介或处理者未经有权数据处理者同意擅自使用具有创新性与独立性的数据产品时,受损害的处理者亦可依据所有权规则、登记规则主张赔偿。构造个人数据交易私法制度具有重大现实意义,不仅体现了对个人权益的保护,同时也可对社会产生增益。由于人们的工作生活与人工智能、算法技术等紧密联系且具有愈加强烈的依赖性,只有对日益频繁的个人数据交易活动进行合理规范才能够促使人们更有信心融入数字社会,并引导数字经济朝健康安全的方向持续发展。
本刊已发相关主题的文章还有:
1. 孙建伟:《数字财产权对传统财产权理论的重构》(2024年第5期);
2. 程 啸: 《论个人数据经济利益的归属与法律保护》(2024年第3期);
3. 申卫星:《论数据产权制度的层级性:“三三制”数据确权法》(2023年第4期);
4. 彭诚信: 《数字法学的前提性命题与核心范式》(2023年第1期);
5. 万 方: 《个人信息处理中的“同意”与“同意撤回”》(2021年第1期);