數據共享概念主要是在機構、平臺層面上使用,它是指不同機構、平臺之間的數據交換,但一般不包括政府的數據公開(kāi)行為。在我國正在制定的民法典中,有必要設置專(zhuān)門(mén)的規則,規范數據共享行為,強化對個(gè)人信息權利的保護。其原因主要在于:第一,大量的數據涉及個(gè)人的信息和隱私,甚至涉及個(gè)人的敏感信息和核心隱私。第二,數據共享包括個(gè)人信息的收集和傳輸行為。一旦缺乏規范,使數據的收集、傳輸失控,將導致大量的個(gè)人信息遭受不當使用,甚至是泄露。第三,除了共享本身是對個(gè)人信息的再利用,還有被共享者獲得了這些信息數據后,其可能對信息數據進(jìn)行再次加工、利用,甚至再次進(jìn)行共享。
數據共享中的個(gè)人信息仍然屬于信息權利人所有
信息數據的收集、開(kāi)發(fā)和利用應當以保護個(gè)人信息權利和隱私權為前提。信息收集的知情同意規則應當適用于所有個(gè)人信息收集的行為,而不僅限于個(gè)人信息的初次收集行為,其主要原因是:
第一,知情同意本身就是信息權利人對其個(gè)人信息支配權的具體體現。即便數據開(kāi)發(fā)者經(jīng)過(guò)權利人同意對個(gè)人信息進(jìn)行了搜集、開(kāi)發(fā),但將數據與他人共享之前,首先還需經(jīng)過(guò)當事人的許可和授權。
第二,個(gè)人信息權利以主體對其個(gè)人信息所享有的人格利益為客體,人格利益在性質(zhì)上具有人身專(zhuān)屬性,并不具有可讓與性。
第三,信息權利人允許信息收集并不等于允許信息分享。在未經(jīng)信息權利人同意的情形下,經(jīng)合法授權的信息的共享行為也可能侵害信息權利人的權利,因為對信息權利人而言,信息共享行為與重新收集個(gè)人信息并無(wú)本質(zhì)區別,原則上應當征得其同意。
第四,必須保障信息權利人對個(gè)人信息流通過(guò)程的控制。信息無(wú)論向誰(shuí)共享,在共享的范圍內,都應當經(jīng)過(guò)信息權利人的知情、同意。
即使在特殊情形下,信息共享行為難以完全實(shí)現個(gè)人的知情同意,也應當通過(guò)特殊的規則強化對信息權利人的保護,以彌補知情同意規則適用的不足。美國法律對此引入“合理預期”的概念,即在某些情況下,判斷是否存在隱私侵權應當看數據的收集者和處理者是否盡了合理注意義務(wù),是否符合社會(huì )認可的數據被收集者的一般預期。
數據共享必須獲得個(gè)人信息權利人的授權
應當有效規范信息主體的授權行為。數據共享不等于數據倒賣(mài),二者的根本區別在于是否獲得了信息主體的授權。信息共享的授權應當注意如下幾個(gè)方面的問(wèn)題:
第一,數據共享一旦涉及個(gè)人信息,則應當獲得信息主體的明確授權。我國《民法總則》雖然規定了個(gè)人信息應當依法收集和利用,但沒(méi)有對合法和非法的情形作出規定。《民法典各分編(草案)》第817條規定,“未經(jīng)被收集者同意,不得向他人提供個(gè)人信息”,但沒(méi)有說(shuō)明是否需要信息權利人的明示同意。我國應借鑒歐盟的經(jīng)驗,如果授權條款寫(xiě)得不清楚,即便獲得了個(gè)人同意,也不能認為是獲得了授權。
第二,在收集、利用個(gè)人信息時(shí)應當取得個(gè)人的授權,數據共享也應當取得信息主體的特別授權。從我國司法實(shí)踐來(lái)看,有的法院也采納了此種立場(chǎng)。
第三,在規范數據共享時(shí)應當嚴格限制概括授權條款的運用。個(gè)人信息與信息主體人格利益之間聯(lián)系緊密,概括授權委托可能會(huì )造成信息主體對于個(gè)人信息的完全失控,從而帶來(lái)超出其合理預期的影響。
第四,不需要授權的情況應當由法律明確規定下來(lái),做出明確列舉,這樣既可以保護個(gè)人的信息權利,也可以為數據產(chǎn)業(yè)的發(fā)展提供明確的行為標準和發(fā)展預期。《民法典各分編(草案)》第816條規定過(guò)于寬泛,有必要作細化規定。
共享者獲得信息后,應當在信息主體授權范圍內使用。數據共享行為應當嚴格限定在授權的范圍內。除信息主體對被共享者有特別授權外,被共享者對相關(guān)信息所享有的權利也不得超出信息共享者權利的范圍;要使信息權利人控制信息共享的過(guò)程,信息共享者應當在授權范圍內共享信息。
數據共享應遵循合法、正當、必要、最小化使用的原則。個(gè)人信息的搜集、使用和共享還應當遵循“最小化使用原則”,即在從事某一特定活動(dòng)時(shí)可以使用、也可以不使用個(gè)人信息時(shí),要盡量不使用;在必須使用并征得權利人許可時(shí),要盡量少使用。此外,數據共享過(guò)程中還應當尊重信息權利人的其他相關(guān)權利。
(作者王利明為中國人民大學(xué)常務(wù)副校長(cháng)、教授)
