易磊:欧盟法中个人数据保护与商业利用的平衡模式研究

易磊

    内容提要:通过阐释个人数据保护与商业利用在欧盟法中的演进,分析欧盟平衡个人数据保护与商业利用的制度方案,可以发现欧盟采取的是在保护个人数据的基础上实现个人数据财产价值的平衡模式。这一模式吸取了欧洲20世纪战争时期的教训,符合当今的欧洲一体化趋势,体现出欧盟对于数据安全的强烈需求。相较而言,我国平衡个人数据保护及其商业利用须基于我国人文主义法律思想,符合《个人信息保护法》规则框架,顺应我国的数字治理政策。
    关 键 词:个人数据保护? 个人数据商业利用? 知情同意? 正当利益
    “免费+广告”“分享经济”,以及“云—网—端”等互联网商业模式的核心都离不开个人数据处理。互联网企业将用户转变成“产消者”的商业模式向世界各国立法者提出了兼顾个人数据保护与商业利用的法律难题。从国际情势来看,中美竞争格局将长期持续,中欧有着广泛的共同利益和相似的战略诉求。在中欧经贸往来中,我国企业赴欧经营需要满足欧盟法中个人数据保护与利用的合规要求。如今,中欧的个人数据保护法在立法结构、宪法依据以及处理个人数据法理基础等方面具有高度相似性。不同于美国主要以民事法律制度保护消费者个人数据,欧盟是以公法规范介入个人数据保护。①在欧盟这种超国家性质的组织中,27个成员国如何对这一模式形成共识?如何在强个人数据保护模式中兼顾个人数据商业利用?可以看到,欧盟2016年出台的《通用数据保护条例》(以下简称GDPR)确立了保护个人数据和保障数据自由流通的双重立法目标。面对个人数据对价化,欧盟在2019年颁布的《数字内容服务指令》(以下简称DCD)中就消费者与企业间形成的关于数字服务的合同关系进行法律规范。那么,欧盟法平衡个人数据保护与个人数据商业利用是双轨并行,还是两级阶梯模式?考察和分析欧盟法中个人数据保护和商业利用的平衡模式及其成因,有助于准确地认识和理解欧盟个人数据保护法,并可为我国调和个人数据保护与商业利用提供借鉴。
    一、个人数据保护与商业利用在欧盟法中的演进
    从立法史考察可知,个人数据保护概念的提出先于个人数据商业利用。提出个人数据保护的初衷是保护个人隐私,但这在20世纪70年代后发生了变化。 (一)个人数据保护的立法进路
    自20世纪70年代开始,欧洲各国开始出台专门性的个人数据保护法。在德国黑森州1970年颁布世界上第一部个人数据保护法后,瑞典(1973)、奥地利(1978)、丹麦(1978)、法国(1978)以及挪威(1978)等国陆续跟进。当时,各国的立法关切不是促进个人数据商业利用,而是规范政府采用计算机和信息系统处理个人数据的行为。比如,德国《黑森州数据保护法》开篇明义,个人数据保护的适用范围是国家行政机关和受国家监督的组织、机构及基金会。德国联邦宪法法院在“人口普查案”中创设公民的“个人信息自决权”,以避免政府无限度侵扰私人生活领域,但是该案并没有肯定公民个人对其数据享有绝对的支配权。②
    20世纪80年代后,欧盟成员国考虑到个人数据的跨国界流动日益增加,以及为了强化成员国之间的团结,签署了世界上首部个人数据保护公约——《关于个人数据自动化处理的个人保护公约》(以下简称《公约》)。《公约》虽不在缔约国产生直接法律拘束力,但体现了欧洲各国对数据法的价值共识,并对欧洲当代数据法产生了重要影响。③由《公约》序言(1981年版)“必须强调和尊重个人隐私及各国人民之间自由交流信息的基本价值观”之规定可知,④《公约》改变了欧洲各国以往侧重个人数据保护的立法宗旨,确定了保护个人数据与保障数据自由流动、共同构筑欧洲数据法的基本价值理念。不仅如此,《公约》调整了以往欧洲各国将个人数据保护范围主要限于公法领域的做法,将公共和私人领域中所涉及的数据文件/数据收集和个人数据的自动处理纳入调整范畴。自此,欧洲各国形成了个人数据保护法适用于政府领域和私人领域的共识。
    (二)个人数据商业利用的需求产生
    尽管《公约》在除保护个人数据之外,还提出了保障数据自由流通的理念,但彼时研究表明,个人数据在“量”与“质”上的流通都不显著。⑤《公约》虽首次规定保障个人数据自由流通立法价值理念,但受当时客观传播技术条件的限制,产业界没有出现个人数据商业利用的迫切需求,所以调和个人数据保护与商业利用不是这一时期欧盟国家的主要关注点。
    20世纪90年代后,欧盟各国注意到计算机和互联网在各个领域的迅速普及打破了数据流通的藩篱,商品和服务的交换越来越需要个人数据。然而,各国不同的个人数据保护规则阻碍了数据流通和商贸往来。与此同时,为配合《欧盟条约》签订后、欧盟正式成立前,货物、人员、服务和资本自由流动的统一内部市场的建设,欧盟各国寻求制定一部标准一致的数据法。⑥在此背景下,欧洲议会和欧盟理事会于1995年出台《数据保护指令》(以下简称《指令》)。《指令》承接《公约》价值理念,以保护公民基本权利和自由(第1条第1款),以及保障公民信息自由流通(第1条第2款)为立法目标。尽管《指令》表面上是一部以保护个人数据为价值理念的法律,但其实质是一个内部市场指令,是欧盟借此促进个人数据流通的计划性成果之一。正如《指令》立法理由第3点所述,内部市场的建立和运作要求个人数据能够在成员国间转移以及个人的基本权利得到尊重。这种便利企业开展业务、促进经济发展的安排体现了个人数据商业利用的价值理念。在此背景下,欧盟与美国于2000年达成《安全港协议》,以促进彼此间个人数据流通和交换。然而《指令》不在欧盟成员国中直接生效,加之其缺乏能提供实质性保护的规定,因此也未能解决欧盟成员国间数据保护规则不协调的法律困境。⑦不仅如此,《指令》没有预料到随着互联网的发展,数据自由流通将变得愈发重要。
    2009年,《里斯本条约》的出台一改欧盟境内缺少具有法律拘束力的成文性基本权利法律规定的情形,并为消弭欧盟各国关于数据保护法律规定在自由、安全等领域中分立规制的状况奠定了法理基础。⑧自此,《欧盟基本权利宪章》能够对欧盟成员国产生直接拘束力,欧盟立法者有权全面规范欧盟范围内所有领域的有关数据保护的议题。2010年,欧盟委员会发布《欧盟2020发展战略》,提出要在知识和创新的基础上发展经济,推动欧洲数字化进程,从而创建欧洲单一数字市场。同年11月,欧盟启动数据保护法改革。欧盟委员会在2010年发布的《欧洲联盟个人资料保护综合办法》中重申,尽管距离《指令》颁布已经过去了15年,保护个人的基本权利和自由与实现内部市场中数据的自由流动这一双重目标仍旧成立。⑨为进一步消除各国在电信监管、版权和数据保护立法等方面的制度差异,欧盟于2015年推出《单一数字市场战略》,提出为推动数据经济发展,应确保在欧盟范围内实施个人数据处理的统一规则。⑩由此表明,在协调个人数据保护与商业利用的立法规划中,欧盟计划先通过一部统一的个人数据保护法以消除企业处理个人数据时存在不同法律规则的现象,进而推动数字经济发展。2016年和2019年,欧盟先后出台的GDPR和DCD就遵循了这一立法思路。
    (三)个人数据商业利用在GDPR中的价值安排
    2018年,GDPR正式取代《指令》,在欧盟成员国内产生直接且优先适用的法律约束力。但是在欧盟数据保护立法史上,GDPR不能被称为实质性法律革命事件。(11)GDPR延续了《指令》中个人数据保护与个人数据流通自由并重的价值理念,就其实质内容来看,缺乏实体法改革。GDPR侧重于消解欧盟各成员国关于个人数据保护的标准,为欧盟形塑“一站式”个人数据保护规则。
    根据GDPR第1条第1款与第3款,GDPR延续保护个人数据与保障数据自由流通的立法价值理念,认为不能以保护个人数据为由限制个人数据的自由流通。但欧盟也认为,个人数据的商业利用不能归属于保护个人数据的立法价值理念,因为从数据主体角度来看,在数据保护法中,有关商品和服务方面的自由(包括数据自由迁徙)并不重要。(12)保障数据自由流通这一立法宗旨实质反映的是欧盟在数据保护方面的经济诱因,(13)加之相较数据主体而言,企业才是个人数据利用的最大需求方,所以个人数据商业利用在GDPR中应归属于保障个人数据自由流通的价值理念。在法律渊源上,GDPR中保障数据自由流通的价值理念遵循《欧盟运行条约》第26条和第28-37条中“自由的内部市场流通”基本原则的要求,(14)发挥确保欧盟内部市场一体化的共同利益、保障如企业和数据处理者这类个体权利和自由的功能。(15)尽管随着数字经济的发展,人们开始讨论是否要在初始权利层面创建数字基本权利,但欧洲学者认为这个设想在短期内难以实现。(16)可见,欧盟目前不倾向于创建一个数字经济基本权利。尤为值得注意的是,根据GDPR立法理由第6、7条,欧盟构建和发展数字经济所迫切需要的基础是在数据保护领域内建立一个明确和可执行的法律框架,并且在促进数据自由流通过程中,还应确保高水平的数据保护。这与《单一数字市场战略》设定的规划一致。欧盟的一贯立场是数字经济的发展以保护个人数据为前提,而这同样适用于个人数据商业利用。
    值得一提的是,基于欧盟单一数据市场的总体目标,欧盟委员会在2020年公布了欧洲数据战略,以实现数据知情决策和提高欧洲人生活水平,优化数据的交换和使用,以及保持欧盟在数据保护、安全和道德方面的高标准。(17)为此,欧盟于2022年2月公布《数据法》新草案(以下简称DA草案),5月通过《数字治理法案》(Data Governance Act,以下简称DGA)。前者旨在明确谁可以从数据中创造价值以及在哪些条件下创造价值,后者旨在创建促进公司、个人和公共部门数据共享的框架。(18)对于DA草案和DGA奠定的数据治理框架与GDPR塑造的个人数据保护框架之间的关系,DGA立法理由第4条中明确指出本法未创造个人数据处理新事由、未改变GDPR的规定,DA草案也同样规定本提案符合现有个人数据处理规则,包括GDPR的规定。(19)法国国家信息自由委员会(CNIL)撰文指出,需要确保两部条例与GDPR的一致性,如果两部条例与GDPR发生冲突,GDPR应该优先适用。(20)
    二、欧盟平衡个人数据保护与商业利用的制度方案及评价
    由上文可知,在欧盟数据法立法进程中,欧盟首先通过出台具有总则性质和地位的GDPR明确个人数据法律体系的价值理念,再将保护个人数据且兼顾数字经济的发展作为数据立法的方向指引。因而欧盟平衡个人数据保护与商业利用制度的方案,都需要围绕GDPR所确立的目标和基础架构运作。根据GDPR第6条,原则上,除非经由数据主体同意、履行合同或法定义务之必要、对数据主体或其他自然人核心利益之必要、对公共利益和数据控制者或第三方所追求的正当利益之必要,处理个人数据行为皆属违反条例行为。因此,尽管商业利用个人数据可能涉及不同主体,但处理其合法性基础是数据主体的“同意”或者其他法定事由。
    (一)基于数据主体“同意”的个人数据商业利用
    在当前互联网经济模式中,数据主体通过支付个人数据获得网络服务,互联网企业借此积累大量用户,进而通过向第三方收取服务费(如广告、市场分析和用户分析等)盈利。(21)这种消费者向企业提供个人数据以获得网络服务的现象被称为“个人数据作为对价”,其合法性依据正是数据主体的“同意”。从这个角度来看,个人数据对价化是数据主体实现个人数据财产价值的过程。由此产生的疑问是,个人数据的对价化是否为欧盟立法者所期许?
    在GDPR建立个人数据保护的基本框架后,欧盟立法者遵循既定立法规划,出台DCD规范数字服务合同,并对个人数据交易做了说明。作为实现欧盟境内单一数字市场战略的重要组成部分,DCD是解决各成员国间有关数字内容方面争议的立法举措,(22)旨在调整企业与消费者之间就提供数字内容或数字服务形成的法律关系。根据DCD第3条第1款第1句,DCD调整对象为消费者支付价款的有偿合同,以及消费者通过提供个人数据以换取服务的交易模式。因此,受DCD调整的数字内容和数字服务非常广泛,基本上以数字形式向消费者提供的服务都属于DCD规定的数字内容或数字服务范畴。比如数据主体需要在互联网企业注册、提供个人数据的各种情形,又如其下载免费服务以及使用流媒体、网络平台、云服务、社交平台以及使用App等互联网服务,这些都需要符合DCD的规定。(23)然而DCD没有肯定个人数据的对价属性,而是通过规定排除适用指令的某些情况,有限度地规范个人数据交易。最初,DCD建议稿第3条第1款规定消费者给付形式可以是金钱支付,也可以提供个人数据。(24)换言之,DCD建议稿实质上承认了个人数据的对价属性。欧洲数据保护监督员对此条规定提出强烈质疑,批评其将个人数据与金钱一视同仁,并且指出判断“个人数据作为对价”是困难的,这将导致指令适用的不确定性。(25)欧盟立法者最终采纳了欧洲数据保护监督员的观点。欧盟立法者一方面删去第3条第1款中“个人数据作为对价”的表述,从而避免陷入“个人数据对价化”的解释困境和将个人数据视为商品的理解;另一方面,欧盟立法者在DCD立法理由第24条中明确了基于确保消费者享有合同救济途径的考虑,以及DCD适用于消费者提供其个人数据的合同。
    在以个人数据换取数字服务的合同关系中,数据主体的同意关系到企业处理个人数据的合法性。根据DCD第3条第8款以及立法理由第37条,当DCD与GDPR在关于个人数据保护的规定发生冲突时,GDPR优先适用。由此可见,在如何协调个人数据商业化与个人数据保护的问题上,DCD的立场是个人数据保护优先。因此,在消费者同意以个人数据换取数字服务情形中,该同意的解释遵循GDPR的规定展开。依照GDPR立法理由第42条中的第5句,“自由同意”是指数据主体有切实或自由的选择,并且数据主体不会因拒绝或撤回同意而承担不利后果。GDPR第7条第4款进一步规定,判断同意是否由数据主体自由做出,还应考虑履行合同是否还需附加非必要的个人数据处理要求。具体地说,在对消费者与经营者签订的以提供个人数据为对价的合同进行判断时,就消费者的同意是否具有个人数据保护法效力的问题,可从横向和纵向两个层面判断。横向层面的自由同意面向数据处理流程,要求经营者每进行一项数据处理行为,都需要取得数据主体同意,即合同中规定的一揽子同意不是自由同意;纵向层面的自由同意面向合同履行,要求消费者同意履行合同所必要的数据处理,而不是同意履行合同所必需之外的其他数据处理。(26)
    (二)基于数据控制者“正当利益”的个人数据商业利用
    鉴于《欧盟基本权利宪章》第8条和《欧盟运行条约》第16条确认了“个人数据受保护权”,欧盟立法者认为限制数据主体个人信息自决权的正当事由只有两种:保护数据主体本人利益和保护第三方利益。(27)这构成了GDPR中同意之外的其他处理个人数据的合法性依据。前者一般是针对保障数据主体个人健康和人身安全等处理个人数据情形,与个人数据商业利用的关联不大。对数据处理者而言,“正当利益”是GDPR中最具弹性地处理他人数据的合法依据,并且不关注数据主体是否期许实现其个人数据上的财产价值。问题在于正当利益是否包括追求实现个人数据上财产价值的数据控制者的商业利益。
    根据GDPR立法理由第47条,可以提炼出基于正当利益处理个人数据情形的一般性要点:数据控制者在处理个人数据上的正当利益时不得超越数据主体利益或其基本权利和自由,同时也要考虑到数据主体基于其与控制者的关系的合理期望,即在个人数据被收集时,数据主体可以合理地预期其个人数据被数据控制者处理。例如,企业的用户可以预见其个人数据会在该企业内部传输。据此,首先应确定数据控制者在处理个人数据上存在利益,继而将其与数据主体利益或基本权利及自由权衡比较,其中须考虑数据主体的合理期望。然而欧洲立法者没有明确界定正当利益概念,GDPR对此仅提出几种存在正当利益的情形,如立法理由第47条第6句和第48条第1句中所述的避免数据主体受欺诈、直接销售、企业集团内部数据传输,以及改善网络和信息技术安全过程中的数据处理。从这个意义上看,数据控制者处理个人数据上存在的正当利益是一个外延广泛的概念,涵盖财产性和精神性利益。就此而言,只要数据控制者在处理个人数据上存在商业性利益,就能被纳入正当利益条款范畴中。
    在数据控制者基于正当利益处理个人数据处理是为实现其商业性利益的情形中,进一步划分数据来源者(数据主体)和数据控制者的权益比较困难。原因在于语境的要素越多,法律平衡利益的难度就越大。一方面,处理个人数据与实现该个人数据财产价值的关联程度难以判断;另一方面,不同的个人数据处理行为对数据主体利益的影响程度不同,同一处理行为中被处理的个人数据的种类、范围以及可能的风险存在差异,这将加大数据主体预知数据处理情况的难度,最终将影响正当利益的适用。
    (三)评价:保护个人数据背景下的个人数据商业利用
    个人数据商业利用无疑涉及个人数据保护法规则和民法规则的双重构建。但可以看到,欧盟立法者的价值理念是确保处理个人数据的行为符合GDPR规定。(28)因此,关于如何平衡个人数据保护与商业利用,欧盟立法者要思考三个方面问题:一是如何设计规则,以实现个人数据保护;二是哪些情况可能妨碍个人数据保护;三是如何平衡个人数据中包括商业利益在内的其他利益。类似的思维方式在合同法中称为履行规划和风险规划,即实质性目标最为重要,同时要预测合同履行中的障碍,并将可能发生的事情引导到合法有序的轨道上。(29)所以欧洲学界也将数据保护作为监管风险的法律框架,其核心要素在于数据保护的标准制定、数据控制者的监测/信息搜集,以及旨在降低风险的控制措施。(30)这也正是欧盟平衡个人数据保护与商业利用的制度方案的底层逻辑。
    出于对数据主体人格尊严和自由的尊重,欧盟立法者在GDPR中设置了以同意为代表的个人数据自决权,这突破了过去欧洲各国将个人信息自决权作为防御政府侵扰私人领域的立场。然而欧盟立法者没有直接肯定数据主体对其个人数据享有绝对控制权,且不倾向于认可个人数据的对价属性,而是将保护个人数据上升到宪法层面,进而要求国家承担保护义务。在此背景下,数据主体的同意和正当利益成为欧盟法平衡个人数据权利保护及其商业利用的主要机制。在围绕“个人数据保护”立法理念而展开制度设计时,GDPR规则适用于全自动、半自动化处理个人数据的行为和用户画像非自动个人数据处理(GDPR第2条第1款),个人数据商业利用自然无法摆脱其约束。经条例准许的个人数据处理也须符合GDPR规定,如合法、合理、透明、目的限制、数据最小化和准确性等(GDPR第5条第1款)标准化要求。对此,数据控制者负有举证责任(GDPR第5条第2款),并且这也是其委托他人处理个人数据合同中的必要条款(GDPR第28条)。就此而言,即便当事人之间合同有效,个人数据商业利用也不一定有合法性基础。虽然同意与正当利益的适用不存在次序关系,但数据控制者实现个人数据财产价值的过程受严格限制,并对存在法定事由负有证明义务(GDPR第7条第1款、第24条第1款)。在基于同意而为的个人数据商业利用中,数据主体可以任意撤回同意。而GDPR对自由同意给出的解释标准在侧重保护数据主体利益的同时,也限制了其自我决定的范围。基于正当利益而为的个人数据商业利用,其实质也是在欧盟立法者事先预设的特定场景之中的个人数据处理行为,其中,GDPR规定数据控制者须向数据主体说明其目的(GDPR第13条第1款d项、第14条第2款b项),数据主体对此享有反对权(GDPR第21条第1款)等。正因GDPR对合法的个人数据处理行为程序性的强调,GDPR被视为防御性法律,而非实体性法律。(31)
    总的来看,为实现保护个人数据的价值目标,欧盟立法者采取公法性规制手段,以监测个人数据处理行为,降低处理个人数据风险。这些规定都要求数据控制者在实现个人数据财产价值之前,尽早考虑个人数据保护的问题。对此,前美国商务部长威尔伯·罗斯(Wilbur Ross)撰文评论,GDPR的实施可能会严重危害跨大西洋合作,给自由贸易往来制造不必要的壁垒,这不仅对美国,对欧盟以外的每个国家都是如此。(32)然而欧盟委员会在2020年向欧洲议会和欧盟理事会提交的《GDPR审查报告》中指出,GDPR的出台使得韩国、巴西、日本、肯尼亚、印度、美国加利福尼亚和印度尼西亚纷纷效仿,已经成功实现加强对个人数据保护以及保证个人数据在欧盟内部自由流动的目标。(33)很显然,美欧之间就数据治理已存在利益分歧。
    三、欧盟平衡个人数据保护与商业利用的成因分析
    《公约》《指令》与美欧之间签署的《安全港协议》表明,虽然欧盟各国对数据自由流动可以带来经济效益早有共识,欧盟依旧采取高标准规范个人数据处理行为,并将GDPR嵌入如DCD、DGA、DA草案等与处理个人数据有关的法律中,这并非偶然。
    (一)防御型个人数据保护:历史教训
    法律的发现和发展并非是孤立的,而是作为社会整体的一部分,随着民族共同意识的演变而前进。(34)不同于我国以“伦理”为本位的信任文化,西方国家以“契约”形成了人与人之间和人与政府之间的信用文化,(35)不以伦理,而是通过将信任与法律结合的方式,在公民与国家之间形塑了契约型信任关系。然而契约型政府信任关系有着统治型社会治理模式的权治色彩,这使得国家的治理权力和管理范围存在因不可控的螺旋上升而威胁个人自由的可能。(36)德国纳粹政权正是西方契约型政府的极端形态。在1933年到1945年期间,德国纳粹政府监控了公共和私人生活领域,并因在社会和国家的所有领域推行一体化(Gleichschaltung)的行为致使人权遭受戕害。(37)因而在“人口普查案”中,德国联邦宪法法院未将“个人信息自决权”绝对化,而是将其视为一项基本权利,即保护个人免受国家对其信息的无限度处理。这成为欧洲保护公民隐私不被政府侵扰的历史渊源。
    政府在战争期间逾越权力边界,侵害公民人权的行为极大地动摇了这种契约型政府信任关系的法律基础,这一历史也警醒公民必须监督和限制政府行为。教训无疑是深刻的,所以欧洲各国在走向联盟共治之前,在各国的个人数据法中已经存在个人数据强保护的价值共识,以及不信任政府的前提预设。规范政府处理个人数据的行为成为这一阶段欧盟各国数据立法的鲜明特征。同时,为重建公民对政府的信任,欧洲国家一方面通过立法控制和制约政府权力,如个人数据保护法旨在防范政府行为可能对个人数据权益造成的侵害。另一方面,在传统理性的契约文化中引入伦理道德考量因素,政府角色也从契约型政府中的官僚式控制转变为管理型治理,其职能从管理人民递嬗为服务公民。(38)因此,在欧洲各国走向联盟共治后,欧盟的数据立法承接了各国保护个人数据的价值立场,并将其视为一项基本权利。据此,国家不仅负有尊重保护个人数据的消极义务,也应履行通过立法及相关政策等手段来保护个人数据的积极义务。这也是为什么欧盟个人数据保护的制度设计具有“父爱主义”伦理色彩。
    (二)保障境内个人数据自由流通:走向联盟共治的单一内部市场需求
    不同于我国以促进个人数据合理利用作为《个人信息保护法》的立法宗旨,欧盟个人保护数据法除保护个人数据的立法宗旨外,更强调保障数据自由流通,这一点在《公约》《指令》和GDPR中均有体现。欧盟之所以如此行事,与欧洲从单一国家走向联盟共治的需求密切相关。
    伴随欧洲政治统一联盟的推进,单一内部市场的构建成为欧盟各国的共同目标。作为构建单一数字市场的重要组成部分,个人数据商业利用自然成为欧盟各国推进经济共同体过程中的关切议题。在这一阶段中可以发现,从兼顾个人数据保护与商业利用的内在动因来看,欧盟的数据立法出现了从以保护人权和基本权利来规制公权部门处理个人数据的行为,向兼顾个人数据自由流通的经济发展政策的转变。但作为多个国家的联合体,欧盟既要处理如何在各国间协调个人数据流动的难题,同时还需规制个别成员国企业在该国内部封锁数据后所造成的数据流通障碍。《指令》即是促进个人数据自由流通的计划性成果之一,它考虑到了数据利用对企业的价值。然而建成单一内部市场的前提是要解决因各国法律制度的不一致而给经贸活动造成阻碍的问题,这促使欧盟各国展开更进一步的政治磋商,以建立统一的法律制度体系,弥合政治结构的断层。为此,欧洲各国签订了《里斯本条约》,向欧盟让渡部分国家主权。得益于欧洲的权力结构和政治结构的一体化转变,欧盟立法者有权在竞争法、对内和对外贸易政策以及市场规范等领域发挥作用,并且对于成员国拥有直接适用的法律效力。此后,GDPR延续《指令》价值理念,并且作为通用条例(Grundverordnung)而非指令,协调各成员国之间法律并形塑各成员国的法律规范。从而推动单一数字市场的形成。所以对欧盟及其成员国而言,GDPR“保障数据自由流通”是实现“促进个人数据合理利用”的前置且必要步骤,并且实质上涵盖了如言论自由、科学研究自由、公共利益、公平竞争和数据控制者个人利益等方面内容。可以说,GDPR中“保障数据自由流通”这一立法目标的广泛内涵,已涵盖我国《个人信息保护法》中“个人数据合理利用”的立法宗旨。
    (三)有限度的个人数据利用:基于联盟自身的数据安全需求
    为实现像主权国家一样的整合,欧盟各国的合作日益深化。在解决欧盟治理合法性问题后,欧盟各国的合作从建立单一内部市场,纵深推进到环境气候、公共卫生、消费者权利、企业竞争、国防安全和文化教育等领域。进入大数据时代后,在海量数据推动经济增长的同时,国家内部治理也面临着风险挑战,对欧盟这个超国家联合体而言,情况更为复杂。欧盟发展数字经济首先需要扫除影响统一内部数字市场构建的障碍、应对其他国家在数字市场中的竞争,并消除其他国家带来的数字主权风险。这些问题盘根错节、互相作用,已经成为欧盟立法者平衡个人数据保护与商业利用时必须审慎考量的因素。
    2013年爆发的“棱镜门”事件削弱了欧盟对美国政府和美国科技公司的信任,欧盟开始高度关注分析美国政府获取数据的监管框架。(39)尽管此后时任美国总统奥巴马签发第28号《总统政策指令》(PPD-28)希望修复双方信任关系,但欧盟已看到自身数字技术落后于美国,且大部分互联网市场被美国公司占据的现实。因此,欧盟对美国公司把控其大量消费者数据、威胁其数据安全和数据主权存有不安全感,并且担忧跨国巨头凭借其垄断地位挤压欧盟企业发展。(40)为捍卫数字主权,欧盟先后宣布其与美国签署的《安全港协议》《隐私盾协议》无效。与美国倾向于肯定市场在个人数据保护中的作用不同,欧盟着力加强个人数据保护方面的市场监管,并且要求处理个人数据须符合其他硬件要求,如数据控制者应采取必要技术手段和组织措施保护个人数据、委任数据保护官评估数据保护等。而且在本土数字产业不发达的背景下,欧盟要求主要由域外垄断企业来承担高昂的个人数据保护合规成本。(41)由此就可理解为什么GDPR豁免雇员人数少于250人的企业记录数据处理活动的责任,毕竟在欧盟,99%的企业是这种人数小于250人的中小型企业。(42)所以相较于美国,欧盟这种做法无疑更契合本土数字环境,可以更好地防控网络风险和保护联盟内民众的数据权益。为进一步增强数字战略自主,欧盟加强顶层设计,从2020年初起陆续发布《塑造欧洲的数字未来》《欧洲数据战略》《欧洲新工业战略》《欧洲的数字主权》等一系列旨在推动“数字化转型”的战略规划文件,(43)并于2022年先后批准通过《数字服务法》(Digital Services Act)和《数字市场法》(Digital Markets Act)。尽管欧盟当前在不同的数据领域迅速立法,但GDPR的价值秩序将始终贯穿于涉及处理个人数据的法律文本中。欧盟不在GDPR之外设计针对合法处理个人数据的条款,对不同主体、不同目的的个人数据处理行为做统一规定,严格管控向欧盟境外传输个人数据。就此而言,沿着保护人权与基本权利的法律文化和加强在数字领域战略自主权这两条主线,欧盟对个人数据商业利用的规范无疑将更加谨慎保守。
    四、对我国的启示
    在我国,《网络安全法》《民法典》《个人信息保护法》《数据安全法》等都对个人数据处理过程中的相关主体配置了权利或者义务,开展了调节个人数据保护及其利用是选择民法路径、公法与消费者法路径还是综合路径的讨论。(44)欧盟则受其特定历史背景形成的法律文化以及弱数字产业和强消费者市场之间不平衡结构的影响,采取侧重公法路径平衡个人数据保护与商业利用。欧盟调和模式揭示出,我国平衡个人数据保护与商业利用既要兼顾我国法律文化,考量我国互联网经济健康发展,还需基于本国数字战略。本文认为,我国适宜采取欧盟法这种实现个人数据财产价值应遵循个人信息保护法中强制性规范的事前预防思路,即在保护个人数据基础上兼顾个人数据的商业利用。
    首先,以事前预防为立基点的平衡模式符合我国以保护人格利益为核心的法律思想。人格权的保护起始于二战之后,其后伴随着计算机技术、互联网、生物工程等科技的发展,越来越受到各国关注。进入21世纪,我国以人文主义为立法指导思想,不仅在《民法典》中对人格权做出正面赋权规定,肯定人格权兼具消极防御属性和积极利用特征,同时适应时代发展,认为个人信息可作为个人享有的基本民事权利。(45)可以说,我国对人格权的保护既传承和发扬了二战后的民法精神,也扭转了我国传统物文主义立法思想。(46)在这个意义上,欧盟法以人格权保护为核心所构建的双轨式立法规制模式,在很大程度上与我国在人文指导思想背景下确认的人格权消极防御和积极利用双重属性的认识不谋而合。不仅如此,我国承认人格权具备积极利用权能和个人数据的财产属性,不是为了促进人格标志上财产利益的实现,而是为了因应信息化社会中人格伦理价值的外溢现象,加强人格权保护所衍生出来的立法设计。就此而言,在个人数据保护与商业利用的调和中,我国应以个人数据保护为核心。
    其次,没有公法介入的纯粹私法自治模式不利于保护数据主体人格权益。互联网的出现虽然推动了数字经济的蓬勃发展,但也在政治、文化和法律等领域产生了不确定的且难以被预测和控制的风险。而公民私力救济行为的前提往往是存在现实的物质或精神损害,但互联网产生的风险后果难以测估,甚至容易导致大规模侵权现象发生。对于现代化产生的诸多社会问题,社会成员、企业、国家机构负有责任和义务。从责任和义务主体来看,个人数据权益的保护主要存在两种模式:以欧盟为代表的政府介入型防御模式和以美国为代表的市场调节模式。论者或认为,我国可以依靠市场机制,在个人数据保护和信息产业发展中实现某种平衡。然而,我国互联网产业的“非法发展史”揭示出,尽管互联网行业的自由发展有利于推动数字经济的发展,但在缺乏制度规制或政策引导的情况下,推崇私人自治模式无法调和个人数据保护与商业利用的矛盾,反而可能不利于个人数据保护。(47)此外,随着人工智能技术的发展,数据处理已经能逐渐脱离数据处理者的控制,更不用说在深度学习、增强学习等智能技术之中,还存在无法获悉的“黑箱”。鉴于普通公民对互联网领域的风险认知不足,而我国当前个人数据泄露、算法歧视、大数据杀熟等事例频发,因此,依靠市场调节个人数据保护与商业利用的建议并不现实。
    再次,以事前预防为立基点的平衡模式并不排斥私法性自治。个人数据保护与商业利用一方面需尊重数据主体的个人信息自决权,另一方面,由于不能确信数据主体足够理性和具备能力保护其自身权益,故而国家有必要限制私人自治,并介入到个人数据商业利用中,以发挥“看门人”的作用。有论者指出,不同于欧盟GDPR的双重立法宗旨,我国立法者在《个人信息保护法》立法过程中删去了“保障个人信息依法有序自由流动”的表述,表明其无意在《个人信息保护法》中建构个人信息流动与市场竞争秩序,而是将数据流动和公平竞争的任务交给《数据安全法》。(48)然而解释GDPR时,需注意欧盟是超国家联合体,其治理不同于单一主权国家,要协调成员国内部、成员国之间以及联盟与其他国家之间的规则。GDPR正是从这几个维度入手维护欧盟的数据法治,所以其立法目的是极为多元的。对我国而言,《数据安全法》是落实“总体国家安全观”的法律,旨在重点保障国家数据利益,并不侧重调整平等主体之间民事法律关系。因此,个人数据保护与商业利用的调和需在《个人信息保护法》框架下进行。此外,鉴于《个人信息保护法》并不隶属于民法,即便民法与《个人信息保护法》在个人数据商业利用方面存在规则交叉,也只有在民法规则不与《个人信息保护法》相抵触,或者有悖于《个人信息保护法》立法目的情况下,才需考虑民法适用。在我国《个人信息保护法》规定的法定处理个人数据要件中,同意是私人自治的最佳体现。有论者或认为,现行法中的同意模式过于强化数据主体的个人自决权,将会给数据流通和利用带来障碍。(49)事实上,个人的同意并非我国《个人信息保护法》中处理数据的唯一法定要件。并且判断私主体基于商业目的处理个人数据是否为其他法定情形容纳,也要注意《个人信息保护法》第13条第1款第7项规定的“法律、行政法规规定的其他情形”。将基于商业性目的处理个人数据是否具备合法性基础的判断视角转换为不违法判断后可以看到,《民法典》第998条要求基于各种考量因素对个人数据处理行为是否违法进行判断。因此,《民法典》第998条可作为类似GDPR中“正当利益”条款的法律依据,创造平衡个人数据保护及其商业利用的空间。(50)鉴于此,我们不应过分夸大个人同意给信息流通带来的障碍,反而应警惕“数据权力”迫使数据主体做出不自由的同意。数据主体在个人数据商业利用的契约中所做出的同意需符合《个人信息保护法》的规定,否则这种同意将不会产生法律效力。立法者赋予数据主体可随时撤回其同意的权利,是为适当抹平权力势差,保障个人数据权益的应有之义。
    最后,以事前预防为立基点的平衡模式符合我国的数据治理政策理念。法律会受到政策影响,而政策一般是意欲实现某种明确的社会、经济或意识形态等方面目标的标准。(51)个人数据保护与商业利益的调和涉及个人、企业和国家三个层面的数据利益,而面对现代化产生的社会风险,我国的公共政策必须以管理数据风险为目标。在国际数据治理层面,以事前预防为立基的平衡模式有利于我国管理数据跨境流通和国际数据合作。在我国目前已经签订的《中欧全面投资协定》,以及正在申请加入的《全面与进步跨太平洋伙伴关系协定》和《数字经济伙伴关系协定》中,隐私和数据保护都是各国重要关切的议题。2020年9月,我国外交部发布的《全球数据安全倡议》的基调仍然是数据安全第一。2021年10月,商务部、中央网信办和发展改革委三部门联合发布的《“十四五”电子商务发展规划》指出,要“加快跨境交付、个人隐私保护、跨境数据流动、消费者权益等领域国内国际规则衔接”。而令举国震惊的“滴滴”事件更表明,数据安全与国家安全休戚相关。在此意义上,强调数据主体或数据处理者对数据的绝对控制,不仅不符合国际主流观点,可能也不利于我国规制企业处理个人数据行为以及融入国际数据跨境流动的法律治理体系。加之在国内社会治理层面,在行业自律难以有效保护个人数据权益的现实背景下,我国立法者在《个人信息保护法》中规定了处理个人数据的程序层面、人事层面以及系统硬件方面相应的责任和义务,这是值得肯定的,这将增强数据主体对处理个人数据的安全预期。虽然我国和欧洲在数据保护方面的内在逻辑和现实基础并不一致,但欧盟政府介入型的事前预防模式仍为我国数据保护提供了思考和借鉴,我国采取事前预防的调和机制将有利于我国互联网经济规范的有序发展。
    五、结语
    风险是现代社会的基本特征,“法律制度的价值和意义就在于规范和追寻技术上可以管理的哪怕是可能性很小或影响范围很小的风险”。(52)欧盟现如今对个人数据保护与商业利用的平衡模式,其表象为通过管制个人数据处理以预防个人数据风险,其内核则包括因历史教训而形成的法律思想共识、成员国让渡主权以借助一体化换取发展红利的内在动机以及因面对美欧合作受挫和自身数字化进程“掉队”而寻求自身数字安全的现实需要。长期来看,这种在保护个人数据基础上实现个人数据商业价值的立场,将贯穿欧盟数据立法全过程并成为其国际数据治理主张。进入互联网、数字全球化时代,我国个人数据保护与商业利用的平衡涉及《个人信息保护法》与《民法典》的适用衔接,这既需强化互联网中的个人数据保护,还要处理好国家安全问题。我国采取类似欧盟的平衡模式,将公法规范嵌入到个人数据商业化利用中的做法是适宜的。
    感谢《德国研究》编辑部与匿名审稿专家提出的宝贵修改建议;感谢湘潭大学博士生杨忠在本文写作过程中提供的帮助。
    注释:
    ①丁晓东:《〈个人信息保护法〉的比较法重思:中国道路与解释原理》,载《华东政法大学学报》,2022年第2期,第73-86页,这里第75-78页。
    ②BVerfG,Urteil vom 15.Dezember 1983-1 BvR 209/83-,BVerfGE 65,1-71,juris,Rn.150.
    ③Herbert Burkert,"Die Konvention des Europarates zum Datenschutz",CR 1988,S.751-758,hier S.753.
    ④ zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten,EB/OL,https://rm.coe.int/1680078b38.
    ⑤Herbert Burkert,The Law and Economics of Transborder Telecommunications:A Symposium,Baden-Baden:Nomos,1987,p.144.
    ⑥Eugen Ehmann/Martin Selmayr(Hrsg.),Datenschutz-Grundverordnung,München:Beck,2018,Einführung,Rn.60.
    ⑦Irene Loizidou Nicolaidou/Constantinos Georgiades,"The GDPR:New Horizons",in Tatiana-Eleni Synodinou et al.(eds.),EU Internet Law:Regulation and Enforcement,Berlin:Springer,2017,pp.3-18,here p.6.
    ⑧Europische Union,"Schutz personenbezogener Daten",Kurzdarstellungen über die Europische Union-2022,https://www.europarl.europa.eu/ftu/pdf/de/FTU_4.2.8.pdf,访问日期:2022-07-14。
    ⑨European Commission,A comprehensive approach on personal data protection in the European Union,COM(2010) 609 final,Brussels,2010-04-11,https://eur-lex.europa.eu/LexUriServ/LexUriServ.do? uri=COM:2010:0609:FIN:EN:PDF,访问日期:2022-05-14。
    ⑩European Commission,A Digital Single Market Strategy for Europe,COM(2015) 192 final,Brussels,2015-06-05,https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/? uri=CELEX:52015DC0192&from=FI,访问日期:2022-05-14。
    (11)Jürgen Kühling/Mario Martini,"Die Datenschutz-Grundverordnung:Revolution oder Evolution im europischen und deutschen Datenschutzrecht?",EuZW 2016,S.448-454,hier S.448 ff.
    (12)Martin /Philipp Kramer/Kai von Lewinski(Hrsg.),DSGVO/BDSG,Netherlands:Wohers Kluwer,2020,Einleitung DSGVO Rn.16 ff.
    (13)Viviane Reding,"Sieben Grundbausteine der europischen Datenschutzreform",ZD 2012,S.195-198,hier S.195.
    (14)Europisches Parlament,"Kurzdarstellungen zur Europischen Union",https://www.europarl.europa.eu/factsheets/de/sheet/38/freier-warenverkehr,访问日期:2022-05-14。
    (15)Peter Gola,DS-GVO,München:C.H Beck:2018,DS-GVO Art.1 Rn.16.
    (16)Meinhard Schrder,"Neue Grundrechte für ein digitales Zeitaher?",JZ 2019,S.953-959,hier S.953 ff.
    (17)Dorothea Klumpen/Christina Schliffka/Dominique Polus,"Die Europische Datenstrategie-ein Binnenmarkt für Daten",WISTA-Wirtschaft und Statistik,Vol.73,Issue 6,2021,S.22-30,hier S.23.
    (18)European Commission,"Data Act:Commission proposes measures for a fair and innovative data economy",23 February 2022,https://ec.europa.eu/commission/presscorner/detail/en/ip_22_1113,访问日期:2022-08-08。
    (19)European Commission,"On harmonised rules on fair access to and use of data",COM(2022) 68 final,Brussels,2022-02-23,2022/0047(COD),https://eur-lex.europa.eu/legal-content/EN/TXT/? uri=COM%3A2022%3A68%3AFIN,访问日期:2022-08-08。
    (20)Commission Nationale de l'Informatique et des Libertés,"European strategy for data:the CNIL and its counterparts comment on the Data Governance Act and the Data Act",https://www.cnil.fr/en/european-strategy-data-cnil-and-its-counterparts-comment-data-governance-act-and-data-act,访问日期:2022-08-05。
    (21)参见刘莉莉、朱欣民:《免费:网络服务市场的破坏性创新》,载《云南师范大学学报(哲学社会科学版)》,2014年第1期,第97-102页,这里第101页。
    (22)Paula Giliker,"Regulating Contracts for the Supply of Digital Content:The EU and UK Response",in Tatiana-Eleni Synodinou et al.(eds.),EU Internet Law:Regulation and Enforcement,Berlin:Springer,2017,pp.101-124,here p.107.
    (23)Niko Hrting,"Digital Goods und Datenschutz-Daten sparen oder monetarisieren?",CR 2016,S.735-740,hier S.737.
    (24)Europische Kommission,Richtlinie des Europischen Parlaments und des Rates über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte,COM(2015) 634 final,Brüssel,2015-12-09,https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/? uri=CELEX:52015PC0634&from=DE,访问日期:2022-05-14。
    (25)European Data Protection Supervisor,On the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content,2017-03-14,https://edps.europa.eu/sites/edp/files/publication/17-03-14_opinion_digital_content_en_0.pdf,访问日期:2022-05-14。
    (26)Niclas Krohm/Philipp Müller-Peltzer,"Auswirkungen des Kopplungsverbots auf die Praxistauglichkeit der Einwilligung",ZD 2017,S.551-556,hier S.552.
    (27)Benedikt Buchner,Informationelle Selbstbestimmung im Privatrecht,Tübingen:Mohr Siebeck,2006,S.174.
    (28)Federico Ferretti,"Data protection and the legitimate interest of data controllers",CMLR 2014,S.843-868,hier Fussnote 14.
    (29)[德]苏达贝·卡玛纳布罗:《合同的完美设计》,李依怡译,北京:北京大学出版社,2022年版,第7页。
    (30) Gellert,"Data protection:a risk regulation? Between the risk management of everything and the precautionary alternative",International Data Privacy Law,Vol.5,No.1,2015,pp.7-9.
    (31)Horst-Peter Gtting/Christian Schertz/Walter Seitz(Hrsg.),Persnlichkeitsrecht,München:C.H Beck:2019,§8 Rn.74 i.V.m.Rn.76.
    (32)Wilbur Ross,"EU Data Privacy Laws are Likely to Create Barriers to Trade",Financial Times,2018-05-30,https://www.ft.com/content/9d261f44-6255-11e8-bdd1-cc0534df682c,访问日期:2022-08-22。
    (33)European Commission,"Data protection as a pillar of citizens' empowerment and the EU's approach to the digital transition-two years of applicationl of the General Data Protection Regulation",COM(2020) 264 final,Brussels,2020-06-24,https://eur-lex.europa.eu/legal-content/EN/TXT/? uri=CELEX%3A52020DC0264,访问日期:2022-08-22。根据GDPR第97条,在2020年5月25日之前以及此后每四年,欧盟委员会应当向欧洲议会和欧盟理事会提交一份对本条例的评价与审查报告。欧盟委员会2020年的《GDPR审查报告》为首次报告,下一次报告在2024年。
    (34)参见张志文:《论“立法”立场的法律发现》,载《重庆理工大学学报(社会科学)》,2014年第2期,第61-69页,这里第65-66页。
    (35)参见涂永珍:《从“人伦”到“契约”:中西方信用文化的比较分析及法律调整》,载《河南大学学报(社会科学版)》,2004年第2期,第106-110页,这里第107页。
    (36)参见程倩:《论政府信任关系的历史类型》,博士学位论文,中国人民大学,2006年,第182页。
    (37)Alvar C.H.Freude/Trixy Freude,"Echoes of History:Understanding German Data Protection",Newpolitik,Vol.10,2016,pp.85-91,here p.86.
    (38)同注(36),第178-181页。
    (39)Jockum Hildé,"Mitigating the risk of US surveillance for public sector services in the cloud",Internet policy review,Vol.10,No.3,2021,pp.1-24,here p.17.
    (40)参见严瑜:《欧盟给“谷歌们”再上“紧箍咒”》,载《人民日报海外版》,2022年4月28日,第6版。
    (41)参见田旭:《欧盟个人数据保护法的全球影响成因与启示》,载《江西财经大学学报》,2020年第4期,第135-147,这里第143页。
    (42)European Commission,"Entrepreneurship and small and medium-sized enterprises(SMEs)",https://ec.europa.eu/growth/smes_en,访问日期:2022-05-14。
    (43)参见蔡翠红、张若扬:《“技术主权”和“数字主权”话语下的欧盟数字化转型战略》,载《国际政治研究》,2022年第1期,第9-36页,这里第10页。
    (44)相关讨论参见程啸:《论我国民法典中个人信息权益的性质》,载《政治与法律》,2020年第8期,第2-14页,这里第7页;丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》,2018年第6期,第194-206页,这里第195页;张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》,2015年第3期,第38-59页,这里第53页。
    (45)参见王利明:《人格权法的新发展与我国民法典人格权编的完善》,载《浙江工商大学学报》,2019年第6期,第5-19页,这里第12页。
    (46)参见杨立新:《我国民法典立法思想的选择和坚守——从〈民法总则〉制定中的立法思想冲突谈起》,载《法制与社会发展》,2018年第4期,第5-23页,这里第7页。
    (47)参见胡凌:《“非法兴起”:理解中国互联网演进的一个视角》,载《文化纵横》,2016年第5期,第120-125页,这里第125页。
    (48)许可:《中国个人信息转移权:数据携带权的脱胎换骨》,2021-09-16,http://www.legaldaily.com.cn/IT/content/2021-09/16/content_8601769.htm,访问日期:2022-08-08。
    (49)参见蔡星月:《数据主体的“弱同意”及其规范结构》,载《比较法研究》,2019年第4期,第71-86页。
    (50)参见杨旭:《正当利益条款的中国法构造——基于〈民法典〉第998条》,载《法制与社会发展》,2022年第1期,第113-131页,这里第113页。
    (51)参见[美]E·博登海默:《法理学:法律哲学与法律方法》,邓正来译,北京:中国政法大学出版社,2004年版,第250页。
    (52)参见[德]乌尔里希·贝克:《从工业社会到风险社会关于人类生存、社会结构和生态启蒙等问题的思考(上篇)》,王武龙编译,载《马克思主义与现实》,2003年第3期,第26-45页,这里第39页。
    
相关文章!