崔峻崗

世界范圍內(nèi)并沒有對(duì)數(shù)據(jù)進(jìn)行權(quán)利化的明文立法規(guī)范，關(guān)于數(shù)據(jù)交易的法律規(guī)制重點(diǎn)仍集中于個(gè)人數(shù)據(jù)保護(hù)（personal data protection），即個(gè)人數(shù)據(jù)交易的合規(guī)體系構(gòu)建。當(dāng)前世界各國(guó)對(duì)于數(shù)據(jù)交易的法律規(guī)制多以隱私及個(gè)人信息為保護(hù)對(duì)象。針對(duì)大數(shù)據(jù)環(huán)境下個(gè)人數(shù)據(jù)保護(hù)的法律制度來看，目前歐盟模式和美國(guó)模式是全球最有代表性的兩種模式。而針對(duì)數(shù)據(jù)交易中的經(jīng)濟(jì)利益的保護(hù)問題，各國(guó)目前都沒有專門性的立法出臺(tái)，但歐盟與美國(guó)在數(shù)據(jù)流通領(lǐng)域通過指令或判例對(duì)數(shù)據(jù)交易進(jìn)行了一定程度上的規(guī)制。

一、歐盟對(duì)數(shù)據(jù)交易的法律規(guī)制

歐盟在數(shù)據(jù)交易領(lǐng)域的法律規(guī)制重點(diǎn)在于通過統(tǒng)一立法保護(hù)個(gè)人數(shù)據(jù)權(quán)利以及促進(jìn)數(shù)據(jù)流通。歐盟個(gè)人數(shù)據(jù)保護(hù)立法一直走在世界前列，2018年5月生效的《通用數(shù)據(jù)保護(hù)條例》（GDPR）的出臺(tái)成為近20年來歐洲數(shù)據(jù)隱私立法領(lǐng)域最為重要的事件，在世界范圍內(nèi)產(chǎn)生了極大影響。值得注意的是，GDPR實(shí)際上并未對(duì)數(shù)據(jù)與信息進(jìn)行區(qū)分，而是將其視為一體進(jìn)行保護(hù)，雖使用“數(shù)據(jù)保護(hù)權(quán)利”作為權(quán)利名稱，但其保護(hù)內(nèi)容實(shí)際上指向的是個(gè)人信息。

歐盟對(duì)于個(gè)人數(shù)據(jù)保護(hù)立法的迫切來源于其對(duì)人權(quán)的關(guān)注，《歐盟基本權(quán)利憲章》以歐盟憲法性文件的地位在其第8條內(nèi)將個(gè)人數(shù)據(jù)保護(hù)（protection of personal data）提升到了憲法層級(jí)的高度?！稓W洲人權(quán)公約》（下稱《人權(quán)公約》）并非歐盟憲法性文件，但其作為一項(xiàng)區(qū)域性國(guó)際條約，以國(guó)際法體系的一部分約束著各締約國(guó)。歐洲人權(quán)法院自2007年起通過若干判例將個(gè)人數(shù)據(jù)保護(hù)納入了《人權(quán)公約》。

在法律性文件方面，1995年歐盟發(fā)布《數(shù)據(jù)保護(hù)指令》（The Data Protection directive），以指令的方式為歐盟各國(guó)進(jìn)行數(shù)據(jù)保護(hù)立法提供了原則指引，該指令后為《通用數(shù)據(jù)保護(hù)條例》（GDPR）所替代，GDPR以條例（Regulation）形式創(chuàng)建了在歐盟各國(guó)范圍內(nèi)普遍適用的個(gè)人數(shù)據(jù)保護(hù)體系，旨在規(guī)范個(gè)人數(shù)據(jù)的處理以及個(gè)人數(shù)據(jù)的自由流動(dòng)，并正式提出了“數(shù)據(jù)保護(hù)權(quán)”較完整地定義了個(gè)人數(shù)據(jù)權(quán)利，對(duì)個(gè)人數(shù)據(jù)進(jìn)行授權(quán)，賦予了數(shù)據(jù)主體可攜帶權(quán)、被遺忘權(quán)、刪除權(quán)等權(quán)利，并設(shè)立數(shù)據(jù)保護(hù)理事會(huì)負(fù)責(zé)監(jiān)督法律的實(shí)施。

GDPR生效后，歐盟境內(nèi)個(gè)人數(shù)據(jù)保護(hù)體系基本建立，從其監(jiān)管對(duì)象來看，只要數(shù)據(jù)控制者的數(shù)據(jù)收集、處理行為是為歐盟境內(nèi)自然人提供商品或服務(wù)、監(jiān)控其活動(dòng)而進(jìn)行，該數(shù)據(jù)控制者便受GDPR規(guī)制，違反該條例的后果最嚴(yán)重將面臨兩千萬歐元或者其全球營(yíng)業(yè)額4%的罰款。從數(shù)據(jù)主體權(quán)利內(nèi)容來看，其數(shù)據(jù)權(quán)利主要包括數(shù)據(jù)訪問權(quán)、修改權(quán)、刪除權(quán)或被遺忘權(quán)、限制處理權(quán)、移植權(quán)、反對(duì)權(quán)、自主決定權(quán)，其權(quán)利范圍涵蓋了數(shù)據(jù)從產(chǎn)生到消亡的整個(gè)過程，為數(shù)據(jù)主體提供了充分的數(shù)據(jù)自決權(quán)。面對(duì)數(shù)據(jù)控制者的侵害，GDPR還在司法救濟(jì)之外為數(shù)據(jù)主體提供了行政救濟(jì)措施，其第8章明確規(guī)定歐盟各成員國(guó)應(yīng)設(shè)立至少一個(gè)數(shù)據(jù)保護(hù)公共機(jī)構(gòu)，以監(jiān)管GDPR的有效實(shí)施，該監(jiān)管機(jī)構(gòu)職責(zé)之一包括接受數(shù)據(jù)主體針對(duì)其數(shù)據(jù)權(quán)利受損提起的申訴，并據(jù)此獲得相應(yīng)民事賠償。

歐盟的個(gè)人數(shù)據(jù)保護(hù)體系以統(tǒng)一立法為原則、權(quán)利構(gòu)建為基礎(chǔ)，以數(shù)據(jù)主體為中心，旨在規(guī)制數(shù)據(jù)流通過程中侵害公民人權(quán)的現(xiàn)象，保護(hù)個(gè)人數(shù)據(jù)處理過程中的人格利益。不論是啟動(dòng)時(shí)間還是法律文件數(shù)量或者更新頻率，歐盟都一直走在其他區(qū)域的前方，其影響力從歐盟成員國(guó)延展至世界范圍內(nèi)的許多國(guó)家。

在個(gè)人數(shù)據(jù)保護(hù)外，歐盟在數(shù)據(jù)交易上的立法還體現(xiàn)在促進(jìn)數(shù)據(jù)流通的努力上。歐盟于2000年發(fā)布的《電子商務(wù)指令》，將在線數(shù)據(jù)產(chǎn)品納入電子商務(wù)交易對(duì)象，依照該指令，在線數(shù)據(jù)產(chǎn)品的交易受電子商務(wù)法的規(guī)制。而近年來歐盟對(duì)數(shù)據(jù)交易的關(guān)注重點(diǎn)在于如何促進(jìn)數(shù)據(jù)自由流通。由于歐盟境內(nèi)各成員國(guó)法律體系的差異化明顯，在歐盟層面主要依靠指令或指南對(duì)數(shù)據(jù)流通進(jìn)行指引性支持。除GDPR在其立法主旨中確認(rèn)其“促進(jìn)數(shù)據(jù)自由流通”之目的外，為促進(jìn)歐盟境內(nèi)數(shù)據(jù)的自由流通，歐盟還于2018年4月發(fā)布《歐洲數(shù)據(jù)經(jīng)濟(jì)中的私營(yíng)部門數(shù)據(jù)共享指南》（Guidance on sharing private sector data in the European data economy），該指南對(duì)企業(yè)與企業(yè)、企業(yè)與政府之間的數(shù)據(jù)共享原則進(jìn)行了討論，旨在促進(jìn)歐盟內(nèi)部的非個(gè)人數(shù)據(jù)傳輸更加通暢。出于對(duì)數(shù)據(jù)自由流通原則的尊重，在未創(chuàng)設(shè)數(shù)據(jù)財(cái)產(chǎn)權(quán)利背景下，歐盟法院及歐盟成員國(guó)法院在一系列數(shù)據(jù)抓取糾紛案件中嚴(yán)格界定數(shù)據(jù)庫(kù)權(quán)利，區(qū)分“有實(shí)質(zhì)性投入”的數(shù)據(jù)庫(kù)以及機(jī)器自動(dòng)生成的數(shù)據(jù)，主張適用合同法及競(jìng)爭(zhēng)法來規(guī)制經(jīng)濟(jì)利益的侵害行為。

二、美國(guó)對(duì)數(shù)據(jù)交易的法律規(guī)制

美國(guó)對(duì)于數(shù)據(jù)交易的規(guī)制主要集中在市場(chǎng)中的消費(fèi)者的信息隱私權(quán)領(lǐng)域，以隱私權(quán)為基礎(chǔ)構(gòu)建個(gè)人數(shù)據(jù)保護(hù)的整體法律規(guī)制體系。美國(guó)的法律并未對(duì)數(shù)據(jù)交易（包括個(gè)人數(shù)據(jù)的交易）行為本身設(shè)置法律障礙，對(duì)數(shù)據(jù)交易的規(guī)制主要從消費(fèi)者隱私信息的保護(hù)出發(fā)，要求數(shù)據(jù)交易主體在交易過程中不得侵犯?jìng)€(gè)人隱私權(quán)。關(guān)于隱私權(quán)的保護(hù)依據(jù)，憲法及《隱私權(quán)法案》主要是規(guī)制政府對(duì)公民隱私權(quán)的侵犯，而在民事權(quán)利領(lǐng)域，在支持個(gè)人數(shù)據(jù)自由流動(dòng)的大背景下，美國(guó)數(shù)據(jù)隱私權(quán)的保護(hù)具有市場(chǎng)性特征，個(gè)人數(shù)據(jù)保護(hù)通過隱私權(quán)“碎片化”立法以及行業(yè)自律來實(shí)現(xiàn)。在個(gè)人信息隱私立法層面，從美國(guó)法律位階來看，當(dāng)前美國(guó)有關(guān)數(shù)據(jù)交易規(guī)制的立法主要集中于制定法（statutory laws）層面，主要包括國(guó)會(huì)法案、行政法規(guī)及州法。截至2018年8月，美國(guó)已有近20部與隱私權(quán)或數(shù)據(jù)保護(hù)相關(guān)的專門性部門立法，同時(shí)其50個(gè)州出臺(tái)了近百部與此相關(guān)的法案。

（一）憲法層面的數(shù)據(jù)隱私保護(hù)

美國(guó)憲法對(duì)數(shù)據(jù)隱私的保護(hù)被稱為“有限的保護(hù)”，其憲法修正案第四條確認(rèn)了人民之“人身、私人住宅、文件或者其他財(cái)產(chǎn)不被不合理搜查或扣押之權(quán)利，不可侵犯”，將隱私權(quán)確認(rèn)為憲法權(quán)利，其后美國(guó)經(jīng)判例法將隱私權(quán)確認(rèn)為一項(xiàng)民事權(quán)利，受侵權(quán)法保護(hù)，并將上述權(quán)利對(duì)象延伸至電話記錄及銀行記錄。雖然憲法上隱私權(quán)保護(hù)范圍有擴(kuò)展的趨勢(shì)，但其有限性在于憲法修正案僅在個(gè)人具有“合法的隱私權(quán)期望”情況下適用，該條件將廣泛的個(gè)人數(shù)據(jù)排除在了第四修正案的保護(hù)范圍內(nèi)。

（二）制定法層面的數(shù)據(jù)隱私保護(hù)

美國(guó)制定法層面的數(shù)據(jù)隱私保護(hù)規(guī)范是美國(guó)數(shù)據(jù)交易規(guī)制的重心所在。1974年由參眾兩院通過的《隱私權(quán)法案》（The Privacy Act）作為聯(lián)邦層面的統(tǒng)一立法，旨在規(guī)范美國(guó)的個(gè)人數(shù)據(jù)使用行為。該法案對(duì)公民個(gè)人信息（也稱“記錄”，record）進(jìn)行了較為明確的列舉式定義，但該法立法目的是規(guī)制政府與個(gè)人之間的信息采集、適用等問題，其所平衡的是公共與個(gè)人之間的利益。因此對(duì)于“個(gè)人（包括法人或其他組織）—個(gè)人”的信息侵害行為，《隱私權(quán)法案》沒有相關(guān)規(guī)定。

在民事領(lǐng)域，以《隱私權(quán)法案》為基礎(chǔ)，美國(guó)針對(duì)不同領(lǐng)域隱私權(quán)保護(hù)進(jìn)行細(xì)化立法，如《金融服務(wù)現(xiàn)代化法案》（GLB）對(duì)企業(yè)收集、使用及披露非公開個(gè)人信息進(jìn)行規(guī)范;《健康保險(xiǎn)可移動(dòng)性和責(zé)任法案》（HIP）則針對(duì)醫(yī)療信息的交易規(guī)則以及信息識(shí)別、隱私保護(hù)制定詳細(xì)規(guī)則，另還有《兒童網(wǎng)上隱私保護(hù)法》（COPPA），《電子通信隱私法》（ECPA）《寬帶和其他電信服務(wù)中用戶隱私保護(hù)規(guī)則（FCC）》等針對(duì)不同領(lǐng)域不同群體的個(gè)人隱私信息提供保護(hù)?？偠灾?，當(dāng)前美國(guó)針對(duì)政府部門，在醫(yī)療、電信、征信等領(lǐng)域建立了個(gè)人隱私保護(hù)法律規(guī)制體系。

（三）數(shù)據(jù)隱私保護(hù)執(zhí)法

《聯(lián)邦貿(mào)易委員會(huì)法》（“FTC法”）從保護(hù)消費(fèi)者的角度，通過對(duì)第5條的“不公平或欺騙性的行為”進(jìn)行擴(kuò)張解釋，將保護(hù)消費(fèi)者個(gè)人隱私的執(zhí)法權(quán)歸入聯(lián)邦貿(mào)易委員會(huì)（FTC），由其根據(jù)相關(guān)執(zhí)法依據(jù)來保護(hù)消費(fèi)者的數(shù)據(jù)隱私安全。FTC作為美國(guó)主要的數(shù)據(jù)安全領(lǐng)域執(zhí)法機(jī)構(gòu)，負(fù)責(zé)執(zhí)行相關(guān)法律和法規(guī)，同時(shí)對(duì)美國(guó)的各行業(yè)企業(yè)提供數(shù)據(jù)安全規(guī)范指導(dǎo)。近20年來，F(xiàn)TC通過訴訟或其他方式解決了60余起數(shù)據(jù)安全案件。2018年，在數(shù)據(jù)保護(hù)領(lǐng)域，對(duì)包括UBER在內(nèi)的多家公司發(fā)起了65次調(diào)查處理，并采取系列行動(dòng)旨在減輕消費(fèi)者所受的損害，防止損失進(jìn)一步擴(kuò)大。

（四）州法層面的數(shù)據(jù)隱私保護(hù)

州級(jí)層面關(guān)于數(shù)據(jù)隱私保護(hù)立法數(shù)量較多，幾乎美國(guó)所有的州都就個(gè)人隱私信息的保護(hù)出臺(tái)了相關(guān)的法案或規(guī)則，但各州立法進(jìn)度不一。走在前列的是加利福尼亞州，加州自1972年修改《加利福尼亞憲法》將隱私權(quán)納入憲法保護(hù)范疇后，陸續(xù)出臺(tái)了《在線隱私保護(hù)法案》《陽光法案》及《數(shù)字世界加利福尼亞未成年人隱私權(quán)法案》等法案，并于2018年頒布《2018年加州消費(fèi)者隱私法案》（CCPA），該法案于2020年1月正式生效。根據(jù)加州有關(guān)個(gè)人隱私信息的規(guī)定來看，加州對(duì)于企業(yè)收集、使用、出售個(gè)人信息的行為并未采取禁止態(tài)度，但通過該法案給予了消費(fèi)者充分的隱私保護(hù)，明確申明個(gè)人信息出售或共享行為應(yīng)當(dāng)獲得授權(quán)，并確認(rèn)該州公民有拒絕企業(yè)出售其個(gè)人信息的權(quán)利。

美國(guó)數(shù)據(jù)交易法律規(guī)制所體現(xiàn)出的數(shù)據(jù)流通自由主義以及碎片化立法模式是由其法律體系及市場(chǎng)特點(diǎn)決定的。但是該模式是否真正有利于美國(guó)數(shù)據(jù)交易的發(fā)展以及個(gè)人數(shù)據(jù)安全的保護(hù)，當(dāng)前有爭(zhēng)議。從近年美國(guó)立法提案情況來看，在歐盟GDPR生效以后，美國(guó)境內(nèi)對(duì)于統(tǒng)一數(shù)據(jù)立法的呼聲越來越高，例如聯(lián)邦貿(mào)易委員會(huì)消費(fèi)者保護(hù)局局長(zhǎng)在2019年3月的眾議院會(huì)議上提交的報(bào)告中就提議頒布聯(lián)邦層面的數(shù)據(jù)安全法。而美國(guó)境內(nèi)規(guī)模較大的企業(yè)鑒于美國(guó)各州標(biāo)準(zhǔn)不一的隱私權(quán)保護(hù)法律，出于企業(yè)發(fā)展目的，也極力支持效仿歐盟出臺(tái)聯(lián)邦層面的統(tǒng)一數(shù)據(jù)保護(hù)法案。

綜上所述，在針對(duì)數(shù)據(jù)交易所涉及的個(gè)人信息安全問題，歐盟與美國(guó)基于其本土法律體系背景采取了完全不同的兩種保護(hù)模式，即歐盟采用“權(quán)利話語”模式，基于其人權(quán)完善要求對(duì)個(gè)人數(shù)據(jù)（個(gè)人信息）進(jìn)行權(quán)利化保護(hù)，美國(guó)則基于其自由市場(chǎng)傳統(tǒng)，采用“市場(chǎng)話語”模式，以分散立法、行業(yè)自律模式，通過不斷擴(kuò)展隱私權(quán)內(nèi)容對(duì)市場(chǎng)消費(fèi)者的隱私信息給予保護(hù)。

歐盟在數(shù)據(jù)交易上通過合同法與競(jìng)爭(zhēng)法對(duì)數(shù)據(jù)交易中的不正當(dāng)行為進(jìn)行規(guī)制的途徑與美國(guó)對(duì)數(shù)據(jù)交易法律規(guī)制的態(tài)度走向一致。由于美國(guó)在聯(lián)邦層面也并未就數(shù)據(jù)權(quán)屬或數(shù)據(jù)交易出臺(tái)任何專門性的法律，因此在數(shù)據(jù)交易中，數(shù)據(jù)控制者也無需為其對(duì)數(shù)據(jù)的使用尋求任何法律上的依據(jù)。由于普通法系采用財(cái)產(chǎn)權(quán)概念，在此背景下，美國(guó)的數(shù)據(jù)經(jīng)紀(jì)商或者任何從事數(shù)據(jù)交易的數(shù)據(jù)控制方的數(shù)據(jù)交易行為本身便具備了天然的合法性。同時(shí)對(duì)于市場(chǎng)自由的追求使得美國(guó)更偏向于從經(jīng)濟(jì)角度，通過規(guī)制數(shù)據(jù)控制者或數(shù)據(jù)處理者的商業(yè)行為來規(guī)范數(shù)據(jù)交易。

三、歐美數(shù)據(jù)交易法律規(guī)制實(shí)踐對(duì)我們的啟示

一是盡快完善政府?dāng)?shù)據(jù)開放的制度，為數(shù)據(jù)交易提供大量合法的可交易數(shù)據(jù)。對(duì)政府?dāng)?shù)據(jù)開放進(jìn)行頂層部署，明確統(tǒng)籌領(lǐng)導(dǎo)機(jī)構(gòu)和各部門職責(zé)及任務(wù)，明確開放原則，對(duì)各項(xiàng)配套政策及措施的建立做出部署。

二是推動(dòng)建立和完善數(shù)據(jù)交易標(biāo)準(zhǔn)。為數(shù)據(jù)交易過程制定安全標(biāo)準(zhǔn)，并逐步在數(shù)據(jù)采集、存儲(chǔ)、傳輸、應(yīng)用等環(huán)節(jié)出臺(tái)相應(yīng)的技術(shù)標(biāo)準(zhǔn)，開展交易數(shù)據(jù)格式標(biāo)準(zhǔn)化、數(shù)據(jù)質(zhì)量認(rèn)證體系、數(shù)據(jù)源追溯體系、數(shù)據(jù)交易信息披露、數(shù)據(jù)匿名化技術(shù)、市場(chǎng)主體考核評(píng)價(jià)等相關(guān)標(biāo)準(zhǔn)研究，同時(shí)密切關(guān)注國(guó)際標(biāo)準(zhǔn)和技術(shù)發(fā)展趨勢(shì)，積極參與大數(shù)據(jù)國(guó)際標(biāo)準(zhǔn)化制定。

三是制定《數(shù)據(jù)管理和保護(hù)法》，設(shè)立單獨(dú)的數(shù)據(jù)監(jiān)管機(jī)構(gòu)。通過制定《數(shù)據(jù)管理和保護(hù)法》，明確數(shù)據(jù)分類，界定數(shù)據(jù)交易平臺(tái)為關(guān)鍵基礎(chǔ)設(shè)施，進(jìn)一步完善交易中的個(gè)人信息保護(hù)。數(shù)據(jù)交易市場(chǎng)發(fā)展迅速，其中存在的問題涉及了技術(shù)、法律等多個(gè)層次，有必要設(shè)立專門的機(jī)構(gòu)進(jìn)行單獨(dú)監(jiān)管，對(duì)數(shù)據(jù)交易市場(chǎng)準(zhǔn)入進(jìn)行審核，對(duì)數(shù)據(jù)中介進(jìn)行資質(zhì)認(rèn)定、信息披露和日常評(píng)估，對(duì)數(shù)據(jù)交易中的糾紛、數(shù)據(jù)安全等進(jìn)行監(jiān)管。

（作者為國(guó)家發(fā)展改革委體管所助理研究員）