中南财经政法大学教授 乔新生
数据是不是财产,在互联网络时代,似乎是一个无可争辩的问题。数据可以产生效益,数据的分析和商业应用早已形成了产业链,因此,把数据作为财产加以保护,已经成为未来互联网络发展的重要方向。
随着越来越多的数据分析公司如雨后春笋般涌现,有关数据使用的法律纠纷越来越多。如果没有个人信息的积累,就没有所谓的大数据。如果使用个人信息都必须征得每个公民知情同意,那么,大数据公司要想经营获取的数据库就需要巨大的成本。数据经营公司获取的信息,可能是采用技术手段通过互联网络筛选获得的信息,也可能是通过交易手段获取的信息。
互联网络平台公司搜集数据的时候,往往通过互联网络协议的方式,要求互联网络用户放弃自己的部分权利。一些互联网络经营者甚至在协议中明确约定互联网络经营者可以搜集互联网络使用者的信息。对于这种约定的合法性学术界存在争议。部分学者认为这项约定属于无效条款,因为它可能违反消费者权益保护法。但是,也有部分学者认为这项约定不属于合同法所规定的无效条款。无论是通过合法的途径获得互联网络用户的信息,还是通过其他途径获得互联网络用户的信息,互联网络数据经营者一旦将这些信息变成数据库的内容,并且采用商业的方式经营数据库,那么,就会面临如何处理数据库使用权与互联网络用户信息所有权关系的问题。
虽然2012年全国人大常委会颁布的《关于加强网络信息保护的决定》对保护网络信息作出明确规定,如果互联网络经营者合法获得个人信息,必须妥善加以保管,不得用于非法经营活动。但是,对于互联网络经营者通过合法途径获得的信息形成的数据库究竟该如何加以规范,我国现行法律规定存在盲点。
由于我国现行数据库经营法律依据不足,一些公司利用自己搜集到的数据建立数据库,并在此基础上从事商业化经营活动,获取巨额利润。这是一种令人担忧的现象。无论是知名的电子商务网站,还是专门从事个人数据搜集整理分析经营的数据公司,都必须把保护公民的基本权利作为优先考虑的问题,如果个人隐私得不到有效维护,或者数据经营公司在经营大数据产业的时候,把个人隐私当作商业财产加以转让,那么,有可能会导致个人隐私受到严重损害。
笔者认为,制定个人信息保护法,或者在电子商务法(草案)中对数据库的经营作出明确法律规定,或许能在一定程度上解决我国当前数据经营过程中出现的一系列法律问题。保护个人信息应当成为我国数据经营立法的基本原则,数据库经营者在经营大数据的时候,必须把保护个人信息作为首要任务,切实维护公民的隐私权,防止由于个人信息泄露而导致公民的名誉权和人格尊严权受到严重损害。当前,还应坚持以下原则:
第一,互联网络经营者利用合法手段获取个人信息,应当妥善加以保管,如果在经营的过程中由于保管不当而导致信息泄露,损害消费者的利益,侵犯公民的隐私权和名誉权,那么,互联网络经营者应当承担民事责任,情节严重的应当承担刑事责任。
第二,互联网络经营者转让自己的数据库或者获得个人信息,应当征得信息所有权人同意。无论是商业机构还是国家机关、企事业单位通过合法方式获取个人信息,只能在本系统使用,不得通过合作转让等方式将自己掌握的信息形成数据库或者数据链交给他人使用。全国人大常委会可以通过特别立法的方式,允许国家机关在法律允许的范围内共享个人信息,譬如,可以允许公安机关、社会保障机关、教育管理机关等具有社会管理职能的机关共享信息,但是,如果国家机关超出法律许可的范围,泄露公民信息或者将个人信息用于商业目的,那么,依照《政府信息公开条例》的规定,应当追究其行政责任。总之,知情同意应当成为数据库经营的基本原则,如果违背了这个原则,信息所有权人可以提起民事诉讼,行政机关可以作出行政处罚,情节严重的还应当追究信息经营者刑事责任。
第三,数据库经营者不得采用数据细分的方式,从浩如烟海的数据中逆向操作,将合法获取的个人信息分离出来,并且对个人进行骚扰。如果未经消费者知情同意,通过电话或者其他方式骚扰消费者,那么,消费者可以要求市场监管机构追究数据库经营者的法律责任。国家工商总局起草、提请国务院审核批准的《消费者权益保护法实施条例》对数据库使用作出原则性规定,如果经营者通过特殊方式获得消费者的信息,试图与消费者建立联系,消费者拒绝广告推销或者其他销售行为,那么,数据库经营者必须立即将消费者从数据库中剔除出去,因为只有这样,才能从根本上保护消费者的利益不受损害。
不仅如此,如果数据库经营者转让自己的数据库,必须签订保密条款。如果数据库经营者转让数据库损害消费者的利益,或者泄露个人隐私,那么,数据库经营者必须承担连带的法律责任。换句话说,如果数据库经营者将自己获取的数据以及数据分析报告转让给其他商业机构或者个人,让他们从中获取商业利益,其他商业机构或者个人泄露数据库中个人信息或者损害消费者合法权益,数据库经营者必须承担连带责任,因为只有这样才能确保我国数据库经营产业发展不会损害消费者的利益,不会泄露个人隐私,不会在数据库转让的过程中,一次又一次损害公民的基本权利。
如果互联网络用户的信息是公开的,将公开的信息用于商业目的,是否应当征得互联网络用户同意,这是一个需要讨论的问题。笔者认为,未征得互联网络用户同意的情况下,数据库经营企业不得采用技术手段或者其他手段获取互联网络用户个人信息。如果将获取的个人信息用于商业目的,那么,应当承担由此产生的法律后果。全国人大常委会制定个人信息保护法或者审议电子商务法(草案)的时候,可以考虑西方国家的做法,要求互联网络数据经营者在使用互联网络数据的时候,切实保护消费者的知情权,切实保护公民个人隐私,如果将互联网络公开的信息作为数据库的组成部分,在数据使用过程中损害当事人的利益,那么,法律应当提供司法救济措施,允许当事人直接向数据经营者提出申诉,如果数据经营者不及时删除或者屏蔽有关信息,那么,其应当承担相关法律责任。