民法典框架下個人數(shù)據(jù)財產(chǎn)法益的體系構(gòu)建

任丹麗

(東南大學 法學院，江蘇南京 211189)

將個人信息和數(shù)據(jù)規(guī)定在總則編第五章“民事權(quán)利”，是《中華人民共和國民法典》(以下簡稱《民法典》)的主要創(chuàng)新之一。(1)參見張新寶：《〈中華人民共和國民法典·總則〉釋義》，中國人民大學出版社2020年版，第3頁。在此之前，相關(guān)法律和部門規(guī)章多采用“個人信息”的提法，包括2020年10月征求意見的《中華人民共和國個人信息保護法(草案)》(以下簡稱《個保法草案》)。不同的是，《中華人民共和國數(shù)據(jù)安全法 (草案)》(以下簡稱《數(shù)安法草案》)和《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例(征求意見稿)》(以下簡稱《深圳條例》)則對個人信息和數(shù)據(jù)進行了明確區(qū)分。綜合這些規(guī)范性文件，立法者對個人信息與數(shù)據(jù)的認識可歸納為三個方面：第一，從個人信息與數(shù)據(jù)所處的位置來看，《民法典》傾向于將個人信息歸入人格利益的范疇，將數(shù)據(jù)歸入財產(chǎn)利益的范疇。第二，數(shù)據(jù)的范圍比個人信息廣泛，既包括涉及個人信息的數(shù)據(jù)活動，也包括不涉及個人信息的數(shù)據(jù)活動。第三，個人數(shù)據(jù)是個人信息的外在表現(xiàn)形式，包括個人信息數(shù)據(jù)和隱私數(shù)據(jù)。這些特點基本反映了學界對個人信息與個人數(shù)據(jù)關(guān)系的認識。雖然世界范圍內(nèi)個人信息立法與個人數(shù)據(jù)立法兼而有之，(2)僅亞洲立法就存在“個人信息”和“個人數(shù)據(jù)”兩種表述，如《日本個人信息保護法》(Personal Information Protection Commission of Japan)和新加坡《個人數(shù)據(jù)保護法案》(Personal Data Protection Act)。但是我國立法出現(xiàn)“個人數(shù)據(jù)”這一變化，說明個人信息與個人數(shù)據(jù)的法定屬性開始出現(xiàn)分離，個人數(shù)據(jù)的財產(chǎn)屬性逐漸受到重視，“促進數(shù)據(jù)開發(fā)利用”更是直接成為立法目的。(3)參見《數(shù)安法草案》第49條。

包含有個人信息的數(shù)據(jù)(本文稱為“個人數(shù)據(jù)”)被收集、使用和分享的現(xiàn)象普遍存在，相關(guān)主體在個人數(shù)據(jù)上的權(quán)利是人格權(quán)、財產(chǎn)權(quán)還是特殊類型的權(quán)利或利益，法學界爭議已久。與個人信息的人格屬性相比，個人數(shù)據(jù)更強調(diào)個人信息的物理存在形式，且常常處于公權(quán)力機關(guān)或經(jīng)營性主體的控制之下。如果說個人信息的人格屬性決定其主體具有唯一性，個人數(shù)據(jù)的財產(chǎn)屬性則導致其主體的多元化，近年來出現(xiàn)的互聯(lián)網(wǎng)巨頭之間的“數(shù)據(jù)之爭”(如新浪與脈脈、大眾點評與百度、順豐與菜鳥和新浪與今日頭條等)正是互聯(lián)網(wǎng)巨頭之間數(shù)據(jù)權(quán)益訴求的體現(xiàn)。未經(jīng)互聯(lián)網(wǎng)平臺同意(甚至平臺協(xié)議明確禁止)，第三方能否僅僅依據(jù)自己用戶的授權(quán)大批量、自動化抓取用戶已在該平臺發(fā)布的數(shù)據(jù)，不但涉及人格權(quán)與財產(chǎn)權(quán)相關(guān)規(guī)則的制定與協(xié)調(diào)，還涉及數(shù)據(jù)獨占與共享的價值衡量。

一、個人數(shù)據(jù)法益是一個多主體的財產(chǎn)法益體系

與個人信息相區(qū)分，個人數(shù)據(jù)是在形式層面上使用的概念，指的是個人信息在計算機網(wǎng)絡(luò)中的實際存儲和使用狀態(tài)。(4)歐盟立法中的“個人數(shù)據(jù)”沒有區(qū)分內(nèi)容與形式，本文在引用時著重分析有關(guān)其形式意義上的相關(guān)規(guī)定，因此統(tǒng)一采用“個人數(shù)據(jù)”這一表述。歐盟的個人數(shù)據(jù)立法以保護數(shù)據(jù)主體的基本權(quán)利為目的，其基于個人數(shù)據(jù)上技術(shù)控制力的大小來界定權(quán)利主體及其權(quán)利義務(wù)的方法，也為私法領(lǐng)域構(gòu)建民事主體的數(shù)據(jù)法律關(guān)系提供了方向。

(一)我國立法對個人數(shù)據(jù)以行為規(guī)制為主

互聯(lián)網(wǎng)平臺的數(shù)據(jù)之爭，法院多依據(jù)反不正當競爭法保護數(shù)據(jù)被抓取方的利益，同時也都承認互聯(lián)網(wǎng)用戶與平臺在個人數(shù)據(jù)上的利益存在主次關(guān)系。2016年新浪訴脈脈案中，法院認為新浪微博的用戶數(shù)據(jù)是“互聯(lián)網(wǎng)經(jīng)營者重大的競爭利益”,在個人數(shù)據(jù)再利用時“應(yīng)給予用戶、數(shù)據(jù)提供方保護及控制的權(quán)利”，并為數(shù)據(jù)抓取行為確立了“用戶授權(quán)+平臺授權(quán)+用戶授權(quán)”的三重授權(quán)原則。(5)參見“北京知識產(chǎn)權(quán)法院(2016)京73民終588號民事判決書”。2018年淘寶訴美景案中，法院認為淘寶公司的“生意參謀”是依托于淘寶用戶數(shù)據(jù)開發(fā)的大數(shù)據(jù)產(chǎn)品，淘寶公司享有“競爭法意義上的財產(chǎn)權(quán)益”。但是，淘寶公司對用戶行為產(chǎn)生的原始網(wǎng)絡(luò)數(shù)據(jù)的權(quán)利是依照網(wǎng)絡(luò)服務(wù)合同的約定產(chǎn)生的使用權(quán)，“受制于網(wǎng)絡(luò)用戶對于其所提供的用戶信息的控制，而不能享有獨立的權(quán)利”。(6)參見“浙江省杭州市中級人民法院(2018)浙01民終7312號民事判決書”。

在法無明文規(guī)定的情況下，法院將互聯(lián)網(wǎng)平臺控制個人數(shù)據(jù)的權(quán)利定性為競爭利益，固然是由案由決定。但是，競爭利益僅能概括競爭關(guān)系中當事人之間的爭議標的，無法解釋數(shù)據(jù)抓取法律關(guān)系中權(quán)利人之間的關(guān)系。換言之，互聯(lián)網(wǎng)平臺之間因數(shù)據(jù)抓取行為產(chǎn)生的法律關(guān)系至少包括平臺與用戶之間的服務(wù)合同關(guān)系、平臺與第三方平臺之間的競爭關(guān)系和用戶與第三方平臺之間的侵權(quán)關(guān)系。依照現(xiàn)行立法，如果將平臺對用戶個人數(shù)據(jù)的權(quán)利解釋為合同債權(quán)，則無法解釋該債權(quán)對第三方平臺的對抗效力；如果將其解釋為具有對世效力的競爭利益，又割裂了其來源于互聯(lián)網(wǎng)用戶這一基礎(chǔ)關(guān)系。權(quán)利性質(zhì)的模糊性決定了此類案件由反不正當競爭法調(diào)整，體現(xiàn)出行為規(guī)制模式的優(yōu)勢。但是，正如司法裁判所呈現(xiàn)，圍繞個人數(shù)據(jù)產(chǎn)生的權(quán)利或權(quán)益存在主次之分。理清主體之間的權(quán)利(益)關(guān)系，在私權(quán)救濟和公法保護兩個方面都有著重要意義。

按照歐盟的權(quán)利保護路徑，數(shù)據(jù)主體對個人數(shù)據(jù)享有個人數(shù)據(jù)保護權(quán)(the right to the protection of personal data)。這一概念最早出現(xiàn)在《歐盟基本權(quán)利憲章》(Charter of Fundamental Rights of the European Union)中，(7)參見《歐盟基本權(quán)利憲章》第8.1條。與“尊重私生活和家庭生活”(Respect for private and family life)相并列。(8)參見《歐盟基本權(quán)利憲章》第7條。雖然2000年《歐盟基本權(quán)利憲章》對個人數(shù)據(jù)保護權(quán)的規(guī)定僅為原則性規(guī)定，卻是歐盟就個人數(shù)據(jù)保護從隱私權(quán)向個人數(shù)據(jù)保護權(quán)轉(zhuǎn)變的重要節(jié)點，(9)參見項焱、陳曦：《大數(shù)據(jù)時代歐盟個人數(shù)據(jù)保護權(quán)初探》，載《華東理工大學學報(社會科學版)》2019年第2期。意味著個人數(shù)據(jù)的保護模式與隱私保護存在差異。到了2016年的《一般數(shù)據(jù)保護條例》(以下簡稱GDPR)，個人數(shù)據(jù)保護權(quán)依然被定位為基本人權(quán)之一，卻沒有規(guī)定《歐盟基本權(quán)利憲章》中與之并列的隱私保護，更沒有《數(shù)據(jù)保護指令》中隱私權(quán)(the right to privacy)的蹤影。這一變化被學者稱為個人數(shù)據(jù)保護權(quán)與隱私權(quán)的實質(zhì)“分離”，全新的個人數(shù)據(jù)保護權(quán)體系全面形成，(10)同⑥。我國《民法典》對個人信息與隱私的區(qū)分與之相一致。

與“個人數(shù)據(jù)保護權(quán)”在歐盟是成熟的基本權(quán)利不同，個人信息在我國還是未被類型化的人格法益。雖然自然人可以請求查閱、復(fù)制、更正和刪除個人信息，個人信息保護更多依賴于法律對相關(guān)主體義務(wù)的直接規(guī)定，呈現(xiàn)出明顯的行為規(guī)制模式而非賦權(quán)模式。

(二)個人數(shù)據(jù)法益具有財產(chǎn)屬性

作為首創(chuàng)“數(shù)據(jù)權(quán)”概念的地方法規(guī)，《深圳條例》將數(shù)據(jù)權(quán)定義為“依法對特定數(shù)據(jù)的自主決定、控制、處理、收益、利益損害受償?shù)臋?quán)利”。數(shù)據(jù)權(quán)來源于自然人，由“數(shù)據(jù)要素市場主體”進行經(jīng)營性數(shù)據(jù)活動，揭示出個人數(shù)據(jù)主體更多的可能性?！睹穹ǖ洹分械摹靶畔⑻幚碚摺焙汀秱€保法草案》中的“個人信息處理者”都以承擔義務(wù)為主，沒有強調(diào)其針對數(shù)據(jù)可以從事經(jīng)營活動。

雖然學理和實踐都承認數(shù)據(jù)具有重要的經(jīng)濟價值，但是對數(shù)據(jù)權(quán)益的定性和歸屬沒有形成一致意見。受個人信息人格屬性的影響，有關(guān)個人數(shù)據(jù)權(quán)益的定性多從數(shù)據(jù)主體的角度展開，其他主體對個人數(shù)據(jù)享有財產(chǎn)利益爭議不大。持財產(chǎn)權(quán)說的學者一般將個人數(shù)據(jù)權(quán)益定位為所有權(quán)。如“用戶是個人數(shù)據(jù)的基礎(chǔ)提供者，對個人數(shù)據(jù)擁有所有權(quán)”；(11)丁道勤：《基礎(chǔ)數(shù)據(jù)與增值數(shù)據(jù)的二元劃分》，載《財經(jīng)法學》2017年第2期。自然人是行使數(shù)據(jù)權(quán)利的主體，數(shù)據(jù)權(quán)實施方式包括數(shù)據(jù)所有權(quán)和數(shù)據(jù)管轄權(quán)(12)參見曹磊：《網(wǎng)絡(luò)空間的數(shù)據(jù)權(quán)研究》，載《國際觀察》2013年第1期。等。有學者將個人數(shù)據(jù)權(quán)益分為個人數(shù)據(jù)權(quán)和數(shù)據(jù)財產(chǎn)權(quán)：個人數(shù)據(jù)權(quán)雖然有控制和支配的權(quán)利，但依然屬于新的人格權(quán)類型；數(shù)據(jù)財產(chǎn)權(quán)不包含個人數(shù)據(jù)，為純粹的財產(chǎn)權(quán)。(13)參見齊愛民、盤佳：《數(shù)據(jù)權(quán)、數(shù)據(jù)主權(quán)的確立與大數(shù)據(jù)保護的基本原則》，載《蘇州大學學報(哲學社會科學版)》2015年第1期。持綜合權(quán)利說的學者認為，個人數(shù)據(jù)權(quán)益“兼具人格權(quán)和財產(chǎn)權(quán)雙重屬性”(14)肖冬梅、文禹衡：《數(shù)據(jù)權(quán)譜系論綱》，載《湘潭大學學報(哲學社會科學版)》2015年第6期。，個人信息中的人格利益和財產(chǎn)利益分別是個人信息人格權(quán)和個人信息財產(chǎn)權(quán)的客體，(15)參見劉德良：《個人信息的財產(chǎn)權(quán)保護》，載《法學研究》2007年第3期。應(yīng)強調(diào)個人對數(shù)據(jù)享有的優(yōu)先財產(chǎn)權(quán)利，并以此對企業(yè)的數(shù)據(jù)利用、交易行為予以制約。(16)參見王利明：《人格權(quán)法研究(第二版)》，中國人民大學出版社2012年版，第608-638頁。有學者認為個人數(shù)據(jù)權(quán)益“是保護自然人對其個人數(shù)據(jù)被他人收集、存儲、轉(zhuǎn)讓和使用的過程中的自主決定的利益”，(17)程嘯：《論大數(shù)據(jù)時代的個人數(shù)據(jù)權(quán)利》，載《中國社會科學》2018年第3期。本質(zhì)上是防御性或消極性的利益。還有學者所構(gòu)想的數(shù)據(jù)新型財產(chǎn)權(quán)，是在區(qū)分個人信息和數(shù)據(jù)資產(chǎn)的基礎(chǔ)上將權(quán)利分別賦予用戶和數(shù)據(jù)經(jīng)營者。(18)參見龍衛(wèi)球：《數(shù)據(jù)新型財產(chǎn)權(quán)構(gòu)建及其體系研究》，載《政法論壇》2017年第4期。刑法學界也有學者指出個人信息中的財產(chǎn)性利益，個人信息隱私化的觀點雖然能體現(xiàn)權(quán)利主體對個人信息高度的自主支配性，卻未能挖掘個人信息的社會價值或使用價值。(19)參見劉艷紅：《公共空間運用大規(guī)模監(jiān)控的法理邏輯及限度——基于個人信息有序共享之視角》，載《法學論壇》2020年第2期。

(三)“個人數(shù)據(jù)所有權(quán)”的提法不符合個人數(shù)據(jù)的特征

2019年二審的hiQ訴LinkedIn經(jīng)常被拿來與新浪訴脈脈案相類比?；诠怖娴目剂浚彿ㄔ壕S持了一審法院的判決，認為hiQ公司可以使用爬蟲軟件取得LinkedIn網(wǎng)站上的數(shù)據(jù)。盡管LinkedIn后來采取了一定的技術(shù)措施阻止數(shù)據(jù)爬取，二審法院依然適用《加利福尼亞州反不正當競爭法》(California’s Unfair Competition Law)和《1986年計算機欺詐與濫用法》(Computer Fraud and Abuse Act of 1986)來試圖平衡二者的利益。二審法院特別對數(shù)據(jù)權(quán)利進行了闡述：“LinkedIn對其用戶提供的數(shù)據(jù)沒有受保護的財產(chǎn)權(quán)益，因為用戶保留了對其個人資料的所有權(quán)”，“hiQ試圖訪問的數(shù)據(jù)不歸LinkedIn所有，并且尚未被LinkedIn界定為可私用的授權(quán)系統(tǒng)”。(20)hiQ Labs, Inc. v. LinkedIn Corp., No. 17-16783 (9th Cir. 2019).二審法院的這一論述在一定程度上體現(xiàn)了近些年美國學者對數(shù)據(jù)權(quán)利財產(chǎn)化的討論。以Lessig為代表的部分學者認為，財產(chǎn)權(quán)制度將在數(shù)據(jù)保護上發(fā)揮比隱私權(quán)制度更好的作用。Lessig用“財產(chǎn)保護選擇，責任保護移轉(zhuǎn)”(21)Lessig, Code and Other Laws of Cyberspace. New York: Basic Books,122, 1999.來歸納個人數(shù)據(jù)權(quán)利財產(chǎn)化的優(yōu)勢。Schwarz也認為，如果消費者在他們的數(shù)據(jù)中享有法律上可執(zhí)行的財產(chǎn)利益，就能將“某些利益內(nèi)置于個人數(shù)據(jù)中”(22)參見Paul M. Schwartz, Property, Privacy, and Personal Data, 117 Harv. L. Rev. 2098 , 2004.。Bergelson認為用隱私保護數(shù)據(jù)只能命令被告支付賠償金，用財產(chǎn)保護數(shù)據(jù)則可以使用禁令或懲罰性賠償。(23)Vera Bergelson, It’s Personal but Is It Mine? Toward Property Rights in Personal Information, 37 U.C. Davis L. Rev. 379, 403, 2003.

有中國學者認為GDPR實際上已對個人數(shù)據(jù)確立了支配性財產(chǎn)權(quán)地位，認為歐盟內(nèi)部的數(shù)據(jù)保護部門對于賦予個人數(shù)據(jù)所有權(quán)的呼聲也很高。(24)參見王鐳：《“拷問”數(shù)據(jù)財產(chǎn)權(quán)——以信息與數(shù)據(jù)的層面劃分為視角》，載《華中科技大學學報(社會科學版)》2019年第4期。事實上，歐盟文本中出現(xiàn)的數(shù)據(jù)所有權(quán)(data ownership)主要針對非個人數(shù)據(jù)，學者的探討也大多集中在這些非個人數(shù)據(jù)的控制使用與數(shù)據(jù)主體隱私權(quán)之間的關(guān)系上。2016年歐盟發(fā)布《數(shù)據(jù)獲取和所有權(quán)的法律研究》(Legal Study on Ownership and Access to Data)(25)參見A study prepared for the European Commission DG Communications Networks, Content & Technology by Osborne Clarke LLP. https://publications.europa.eu/en/publication-detail/-/publication/05ad40c5-b609-11e6-9e3c-01aa75ed71a1/language-en. 2021年1月5日訪問。的調(diào)研報告顯示，歐盟國家中僅有西班牙明確立法規(guī)定數(shù)據(jù)所有權(quán)，(26)參見BBVA研究報告https://www.bbvaresearch.com/wpcontent/uploads/2016/02/Situacion_ED_feb16_Cap4.pdf，轉(zhuǎn)引自前述歐盟《數(shù)據(jù)獲取和所有權(quán)的法律研究》第75頁。其他國家雖有理論探討，但立法和裁判更傾向于在合同法、版權(quán)法、競爭法和刑法范圍內(nèi)解決非個人數(shù)據(jù)歸屬的認定問題?！耙粩?shù)多權(quán)”的狀態(tài)并沒有導致同一數(shù)據(jù)上不同主體支配力的沖突和排斥。數(shù)據(jù)可復(fù)制性、非消耗性等特點也使得在數(shù)據(jù)上設(shè)立不同種類物權(quán)的意義并不大。只要合法取得個人數(shù)據(jù)，就能進入個人數(shù)據(jù)的法益體系，實現(xiàn)數(shù)據(jù)的互聯(lián)共享。GDPR將這些主體分別規(guī)定為數(shù)據(jù)主體(data subject)、數(shù)據(jù)控制者(data controller)和數(shù)據(jù)處理者(data processor)，對數(shù)據(jù)主體以賦權(quán)為主，對后二者以施加義務(wù)為主。為論述方便并與個人信息相區(qū)分，下文借用這三個概念來分析個人數(shù)據(jù)上各主體的財產(chǎn)法益。

二、數(shù)據(jù)主體：個人數(shù)據(jù)法益來源于個人信息中的財產(chǎn)性利益

《民法典》為個人信息規(guī)定了不同于隱私權(quán)的人格法益保護路徑。作為個人信息存在形式的個人數(shù)據(jù)，是可商品化人格利益中分離出的財產(chǎn)性利益。與生命、健康、身體等物質(zhì)型人格權(quán)客體不同，姓名、肖像、聲音、名稱等標表型人格權(quán)客體之所以具有經(jīng)濟利益并且可以被商品化，正是因為這些要素能夠與自然人發(fā)生一定程度的分離，即通過復(fù)制存在于其他載體之上，并且可以通過多次許可使用由其他民事主體占有。個人信息雖然不是一種具體人格權(quán)，但是與標表型人格權(quán)的客體類似，符合無形財產(chǎn)的特點。數(shù)據(jù)是客觀事實經(jīng)過獲取、存儲和表達后得到的結(jié)果，通常以文本、數(shù)字、圖像、圖形、聲音和視頻等表現(xiàn)形式存在。(27)參見張紹華等：《大數(shù)據(jù)治理與服務(wù)》，上?？茖W技術(shù)出版社2016年版，第3頁。在此意義上，人格利益商品化的過程就是人格利益數(shù)字化的過程，類似于知識產(chǎn)權(quán)，實現(xiàn)了人身權(quán)與財產(chǎn)權(quán)的分離。

基于隱私權(quán)理論發(fā)展出的個人信息保護，在美國稱為“信息控制權(quán)”，與歐盟的“信息自決權(quán)”沒有實質(zhì)性差別，控制和自決都是指向個人對自己信息的自治。(28)參見劉艷紅：《民法編纂背景下侵犯公民個人信息罪的保護法益：信息自決權(quán)——以刑民一體化及〈民法總則〉第111條為視角》，載《浙江工商大學學報》2019年第6期。個人數(shù)據(jù)與個人信息的分離，既維持了個人信息自治的人格屬性，也是對個人數(shù)據(jù)經(jīng)濟價值的確認。個人數(shù)據(jù)權(quán)益雖然是純粹的財產(chǎn)性利益，卻不能簡單適用民法中的財產(chǎn)規(guī)則。面對合同法、知識產(chǎn)權(quán)法、競爭法適用上的局限，美國和歐盟在基本權(quán)利框架內(nèi)衡量公共利益與數(shù)據(jù)權(quán)利配置的司法實踐并不適合中國國情。解決類似案件除了寄希望于個人數(shù)據(jù)的特別立法外，對現(xiàn)行民事立法的原理和規(guī)則進行解釋適用也是一個可行的路徑。

(一)數(shù)據(jù)主體對個人數(shù)據(jù)享有財產(chǎn)法益而非權(quán)利

GDPR將數(shù)據(jù)主體與個人數(shù)據(jù)的定義規(guī)定在一起，指的是被識別或可識別的自然人(identified or identifiable natural person)，(29)參見GDPR第4(1)條。也就是個人數(shù)據(jù)的初始來源。作為人格利益，個人信息與自然人密不可分，其歸屬具有唯一性。個人數(shù)據(jù)則需要借助一定的載體而存在。記錄方式的數(shù)字化使得個人數(shù)據(jù)的可復(fù)制性和流動性日益增強，載體的多元化意味著個人數(shù)據(jù)控制主體的多元化。華為與騰訊的數(shù)據(jù)之爭就是典型例證。(30)據(jù)報道，華為公司某款手機可通過獲取用戶在微信中的聊天信息，實現(xiàn)為用戶提供智能化推薦等服務(wù)。騰訊公司則認為，華為手機這一功能侵害了騰訊的數(shù)據(jù)，也侵犯了微信用戶的隱私。參見劉春泉：《華為騰訊微信數(shù)據(jù)爭議的法律關(guān)系分析》，載《信息安全與通信保密》2017年第7期。使用華為某款手機的用戶在微信中的聊天數(shù)據(jù)，至少有三方主體享有相應(yīng)的權(quán)益——手機用戶是數(shù)據(jù)生產(chǎn)者，騰訊作為微信的運營商控制數(shù)據(jù)，華為作為硬件的制造商控制數(shù)據(jù)。自然人生產(chǎn)出的數(shù)據(jù)可以分為個人數(shù)據(jù)和非個人數(shù)據(jù)，但數(shù)據(jù)來源、存在方式和控制主體并無差異。對于騰訊和華為而言，個人數(shù)據(jù)與非個人數(shù)據(jù)可能存在價值上的差異，卻都是必爭的財產(chǎn)性利益。

個人數(shù)據(jù)權(quán)益不是權(quán)利的理由主要有三：第一，個人數(shù)據(jù)是個人信息在數(shù)字化時代的存在形式，與個人信息是形式與實質(zhì)的關(guān)系。個人信息被《民法典》定性為法益，個人數(shù)據(jù)相應(yīng)地也為法益而非權(quán)利。第二，個人數(shù)據(jù)由數(shù)據(jù)主體主動或被動提供。基于提供目的和具體場景的不同，數(shù)據(jù)主體對個人數(shù)據(jù)的控制意愿存在較大差異，不宜簡單歸入任一權(quán)利類型。第三，個人數(shù)據(jù)的生產(chǎn)和存在方式取決于具體的存儲條件和交易關(guān)系。不同主體基于不同法律關(guān)系在數(shù)據(jù)上享有權(quán)益，用權(quán)益作為上位概念較為符合實際情況。

(二)財產(chǎn)法益是填補數(shù)據(jù)主體損害的有益補充

個人數(shù)據(jù)雖然直接或間接來源于個人信息，但是個人數(shù)據(jù)上的利益并非復(fù)合型法益，而是純粹的財產(chǎn)法益。這一方面是個人信息與個人數(shù)據(jù)逐漸分離的結(jié)果，另一方面也增加了數(shù)據(jù)主體救濟自身權(quán)益的途徑。

個人信息人格利益的典型表現(xiàn)是知情同意原則(informed consent)。該原則是隱私權(quán)保護理念的產(chǎn)物，在大數(shù)據(jù)技術(shù)廣泛運用的背景下開始顯現(xiàn)出弊端。一方面，數(shù)據(jù)主體僅憑一己之力根本無法發(fā)現(xiàn)數(shù)據(jù)被抓取、被利用、被轉(zhuǎn)移的時間和地點，不能也不愿去理解復(fù)雜的隱私協(xié)議，更不愿意事無巨細頻繁同意數(shù)據(jù)被收集和使用。另一方面，收集數(shù)據(jù)的主體無法完全預(yù)知將來數(shù)據(jù)的使用目的，數(shù)據(jù)收集的便利性極易導致其對數(shù)據(jù)主體權(quán)利的漠視和對個人數(shù)據(jù)的過度收集。知情同意原則在一定程度上緩解了隱私權(quán)保護的被動性，為個人數(shù)據(jù)保護提供了預(yù)防性措施，但是效果十分有限。強調(diào)數(shù)據(jù)主體對個人數(shù)據(jù)的財產(chǎn)權(quán)益，可以在以下幾個方面更好地實現(xiàn)對數(shù)據(jù)主體的保護：

1．矯正互聯(lián)網(wǎng)用戶在服務(wù)合同中的弱勢地位?；ヂ?lián)網(wǎng)用戶與網(wǎng)絡(luò)服務(wù)商爭議的解決思路之一是合同法，因為二者之間往往存在一個網(wǎng)絡(luò)服務(wù)合同，很多國家都非常重視對該合同的監(jiān)管。網(wǎng)絡(luò)服務(wù)合同屬于格式合同，沒有協(xié)商的余地，條款冗長深奧，不接受意味著不能使用該服務(wù)，這些因素直接導致用戶處于弱勢地位。合同法對于合同可撤銷和無效的規(guī)定往往很難適用于此類電子合同。如果強化互聯(lián)網(wǎng)用戶對個人數(shù)據(jù)的財產(chǎn)利益，則只要證明個人數(shù)據(jù)被對方獲取且超出必要范圍，就可以主張侵權(quán)。

2．縮小人格侵權(quán)損害賠償數(shù)額的差距。按照人格權(quán)侵權(quán)損害賠償?shù)挠嬎惴椒?，在其他要素基本相同的情況下，自然人的社會地位和影響決定了賠償數(shù)額存在較大差異。這種差異在個人數(shù)據(jù)侵權(quán)責任的計算上則相對較小，因為具有較高經(jīng)濟價值的是可供分析的數(shù)據(jù)集，而非單個數(shù)據(jù)。主張個人數(shù)據(jù)侵權(quán)而非個人信息侵權(quán)，更有利于普通民事主體利益的保護。

3．自由處分個人數(shù)據(jù)是保護人格尊嚴的應(yīng)有之義。正如隱私的范圍因人而異，不同主體對保護個人信息的意識也千差萬別?；诟鞣N原因，部分互聯(lián)網(wǎng)用戶會選擇出賣自己認為可以轉(zhuǎn)讓的數(shù)據(jù)，目前已出現(xiàn)Solid、Ocean Protocol等數(shù)據(jù)售賣平臺。(31)參見樂邦：《萬維網(wǎng)之父新使命：把互聯(lián)網(wǎng)數(shù)據(jù)控制權(quán)歸還給網(wǎng)民》，載網(wǎng)易科技報道，http://tech.163.com/18/1011/01/DTQ38G8H00097U7R.html，2021年1月5日訪問。這些平臺上單個數(shù)據(jù)的成交價格可能微乎其微，卻是一種對網(wǎng)絡(luò)用戶信息自決尤其是數(shù)據(jù)控制的尊重和彰顯。輔之以區(qū)塊鏈技術(shù)的應(yīng)用，這些平臺還能在一定程度上發(fā)揮保護個人數(shù)據(jù)的作用。這種售賣自己數(shù)據(jù)的行為，其實質(zhì)是財產(chǎn)利益的自由處分。

(三)個人數(shù)據(jù)的財產(chǎn)法益從屬于個人信息的人格法益

“人格利益說”是人格權(quán)客體的主流學說，并為多部民法典草案學者建議稿所采納。(32)參見王利明教授主持起草的《中國民法典學者建議稿及立法理由·總則編》第147條和梁慧星教授主持起草的《中國民法典草案建議稿》第95條。人格利益包含精神性人格利益與財產(chǎn)性人格利益。(33)參見張俊浩：《民法學原理》，中國政法大學出版社1997年版，第135-148頁。細分人格利益的意義在于，有些人格利益與人格相始終，如人的生命、健康和身體等；有些則會與人格發(fā)生一定程度的分離，如肖像、姓名和隱私等。美國的商品化人格權(quán)或稱公開權(quán)制度(34)參見王澤鑒：《人格權(quán)法：法釋義學、比較法、案例研究》，北京大學出版社2013年版，第264頁。即為這種分離的產(chǎn)物。

人格權(quán)制度應(yīng)該如何回應(yīng)人格要素的商業(yè)化利用，德國學者曾經(jīng)作過一些探討。例如在一般人格權(quán)之外創(chuàng)設(shè)“人格利用權(quán)”，人格利益歸入人格自由、財產(chǎn)利益歸入“人格利用權(quán)”等等。(35)參見沈建峰：《一般人格權(quán)財產(chǎn)性內(nèi)容的承認、論證及其限度——基于對德國理論和實踐的考察》，載《比較法研究》2013年第2期?！睹穹ǖ洹芬?guī)定的許可使用制度是對這種人格利益商品化現(xiàn)象的承認，體現(xiàn)出堅持人格權(quán)一元保護模式的立場。該模式的合理性在于：第一，部分人格要素可商品化的趨勢并不足以破壞人格權(quán)的人身屬性。人格利益與人密不可分，財產(chǎn)性人格利益不可能脫離人格而獨立存在。表面上具有絕對支配性的數(shù)據(jù)刪除權(quán)和可攜帶權(quán)，其權(quán)源是人格利益的支配性而非財產(chǎn)利益的支配性，是法律保護自然人尊嚴和自由的結(jié)果。第二，人格利益的侵權(quán)責任已然包含對財產(chǎn)利益損失的填補。從消極權(quán)利的角度來看，沒有必要另設(shè)一個與之并列的財產(chǎn)請求權(quán)。第三，變現(xiàn)人格要素中的財產(chǎn)法益，許可使用制度在知識產(chǎn)權(quán)領(lǐng)域已非常成熟，姓名權(quán)、肖像權(quán)的許可使用也日益普及。但是，人格權(quán)整體而言還是屬于消極的防御性權(quán)利，(36)參見溫世揚：《民法典人格權(quán)編草案評議》，載《政治與法律》2019年第3期。沒有強化財產(chǎn)性利益的實際需求。第四，將人格利益中的財產(chǎn)屬性分離至個人數(shù)據(jù)，能更好地維護人格利益的精神屬性，符合《民法典》的立法目的。

綜上所述，數(shù)據(jù)主體基于個人信息這一人格利益享有個人數(shù)據(jù)上的財產(chǎn)利益，這一分離過程維持了個人信息人格屬性的單一性和個人數(shù)據(jù)財產(chǎn)屬性的單一性。與個人數(shù)據(jù)上的其他主體相比，數(shù)據(jù)主體的財產(chǎn)利益是第一性的，是派生出其他財產(chǎn)利益的基礎(chǔ)。數(shù)據(jù)主體對這一財產(chǎn)利益支配力較弱的現(xiàn)狀，不能成為該利益歸屬于其他主體的理由，因為數(shù)據(jù)主體是個人數(shù)據(jù)的生產(chǎn)者，應(yīng)該具有最終的支配權(quán)。法律完善的方向是個人數(shù)據(jù)管理系統(tǒng)的完善，使數(shù)據(jù)主體在許可他人使用后能夠更好地跟蹤使用情況和進行下一步的協(xié)商同意。這也是司法實踐總結(jié)出三重授權(quán)原則的初衷。相對于《數(shù)據(jù)保護指令》，GDPR增加了刪除權(quán)(right to erasure)和攜帶權(quán)(right to data portability)，還對用戶同意作了更為嚴格的規(guī)定，正是強化保護數(shù)據(jù)主體控制力這一趨勢的體現(xiàn)。(37)有學者認為，刪除權(quán)最具財產(chǎn)特征，因為它產(chǎn)生了與數(shù)據(jù)主體信息一起運行的負擔(This requirement is one of the most property-like features of the new regime in that it creates a burden that “runs with” the data subject’s information)。參見Jacob M Victor. The EU General Data Protection Regulation: Toward a Property Regime for Protecting Data Privacy. The Yale Law Journal,Vol.123, 466-529, 2013.

三、數(shù)據(jù)控制者：個人數(shù)據(jù)法益是對個人數(shù)據(jù)的占有利益

《民法典(征求意見稿)》中的“信息控制者”和“信息收集者”在《民法典》中統(tǒng)一規(guī)定為“信息處理者”，《人格權(quán)編(二審稿)》還使用過“信息收集者”和“信息持有者”等概念，說明在數(shù)據(jù)主體之外，其他主體對個人數(shù)據(jù)的控制力也存在差異，立法試圖結(jié)合技術(shù)上控制力的大小來設(shè)計相應(yīng)的法定義務(wù)。(38)《深圳條例》將數(shù)據(jù)控制者和數(shù)據(jù)處理者分別表述為“數(shù)據(jù)要素市場主體”和“第三方服務(wù)機構(gòu)”，參見《深圳條例》第101條第2款第8項和第9項?！秱€保法草案》對個人信息處理者的定義也為其他主體的存在留有空間。(39)參見《個保法草案》第69條第1項。

《數(shù)據(jù)保護指令》中的數(shù)據(jù)控制者(controller)指的是能單獨或共同確定個人數(shù)據(jù)處理的目的和方法的自然人或法人、公權(quán)力機關(guān)、代理機構(gòu)等。GDPR沿用了這一定義。與控制者相關(guān)的另一個主體為處理者(processor)，指的是代表控制者處理個人數(shù)據(jù)的自然人或法人、公權(quán)力機關(guān)、代理機構(gòu)或其他主體。(40)參見《數(shù)據(jù)保護指令》第2(e)條和GDPR第4(8)條。經(jīng)過控制者或處理者的直接授權(quán)，第三方也有權(quán)處理數(shù)據(jù)。(41)參見《數(shù)據(jù)保護指令》第2(f)條和GDPR第4(10)條?？梢?，歐盟立法中直接處理數(shù)據(jù)的主體是數(shù)據(jù)處理者和經(jīng)過授權(quán)的第三方，數(shù)據(jù)控制者并不直接處理數(shù)據(jù)，而是決定數(shù)據(jù)處理的目的和方法?！疤幚怼?processing)的行為非常具體，是“對個人數(shù)據(jù)進行的任何操作或一系列操作，無論是否以自動的方式，例如收集，記錄，組織，儲存，改編或更改，檢索，咨詢、使用、通過傳輸披露、傳播或者提供、協(xié)調(diào)或組合，阻止、擦除或破壞”，(42)參見《數(shù)據(jù)保護指令》第2(b)條。GDPR對“處理”的定義只在此基礎(chǔ)上增加了“架構(gòu)”(structuring)這一種具體類型。(43)參見GDPR第4(2)條，原文為“‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction”。將數(shù)據(jù)控制者、數(shù)據(jù)處理者和第三方區(qū)分開來，有助于界定數(shù)據(jù)控制者在個人數(shù)據(jù)上享有的財產(chǎn)利益。

(一)數(shù)據(jù)控制者的財產(chǎn)利益來源于數(shù)據(jù)主體的授權(quán)

數(shù)據(jù)控制者對個人數(shù)據(jù)的控制來源于數(shù)據(jù)主體的許可使用。按照數(shù)據(jù)主體的意愿，同一個人數(shù)據(jù)上能產(chǎn)生若干數(shù)據(jù)控制者。數(shù)據(jù)控制者是否享有財產(chǎn)利益，取決于數(shù)據(jù)主體對自身的財產(chǎn)利益是否進行了處分。依據(jù)許可使用合同，數(shù)據(jù)控制者在個人數(shù)據(jù)上的債權(quán)能否產(chǎn)生類似絕對權(quán)的排他效力，理論上爭議較大，實踐中發(fā)生的數(shù)據(jù)之爭正是由此引發(fā)。

1．“控制”不是專屬于個人數(shù)據(jù)所有權(quán)的權(quán)能。數(shù)據(jù)控制者有公法主體和私法主體之分。公權(quán)力機關(guān)依職權(quán)獲取并控制個人數(shù)據(jù)更為便利，更需要在基本權(quán)利層面保護數(shù)據(jù)主體的權(quán)利。作為私權(quán)利主體，數(shù)據(jù)控制者獲取個人數(shù)據(jù)的主要途徑是提供互聯(lián)網(wǎng)服務(wù)。認為數(shù)據(jù)控制者取得的數(shù)據(jù)所有權(quán)是數(shù)據(jù)主體使用免費服務(wù)所支付的對價，這一觀點并不符合實際情況。

首先，有償接受網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)主體同樣需要訂立網(wǎng)絡(luò)服務(wù)合同讓渡個人信息。例如收費電子郵箱與免費電子郵箱，除了收費郵箱用戶能夠享有更多種類的郵箱服務(wù)以外，其與免費郵箱用戶訂立的電子郵箱服務(wù)合同在內(nèi)容上相差無幾。

其次，在與數(shù)據(jù)主體的法律關(guān)系中，數(shù)據(jù)控制者并不在意是否取得個人數(shù)據(jù)所有權(quán)。例如阿里云就曾在《數(shù)據(jù)保護倡議書》公開宣稱，“任何運行在云計算平臺上的開發(fā)者、公司、政府、社會機構(gòu)的數(shù)據(jù)，所有權(quán)絕對屬于客戶，客戶可以自由安全地使用、分享、交換、轉(zhuǎn)移、刪除這些數(shù)據(jù)”。(44)《阿里云倡議：數(shù)據(jù)是客戶資產(chǎn) 平臺不得移作它用》，載新浪科技頻道，http://tech.sina.com.cn/it/2015-07-22/doc-ifxfaswm1009121.shtml.名義上的所有權(quán)沒有任何意義，基于網(wǎng)絡(luò)服務(wù)合同和相關(guān)立法，數(shù)據(jù)控制者對數(shù)據(jù)的實際控制和支配已毋庸置疑。

第三，數(shù)據(jù)主體對個人數(shù)據(jù)的財產(chǎn)利益并非所有權(quán)。根據(jù)物權(quán)法的基本原理，所有權(quán)是基礎(chǔ)性財產(chǎn)權(quán)利，有原始取得和繼受取得兩種取得方式。數(shù)據(jù)主體對于個人數(shù)據(jù)的財產(chǎn)利益來源于其對個人信息享有的人格利益，而非財產(chǎn)法意義上的所有權(quán)。數(shù)據(jù)控制者對個人數(shù)據(jù)的控制來源于數(shù)據(jù)主體的許可，屬于繼受取得。即使數(shù)據(jù)主體將財產(chǎn)利益許可給數(shù)據(jù)控制者使用，該財產(chǎn)利益的范圍也不能超出數(shù)據(jù)主體財產(chǎn)利益的范圍。

最后，數(shù)據(jù)控制者的財產(chǎn)利益不具有排他性。參照知識產(chǎn)權(quán)的許可使用，數(shù)據(jù)主體可以將個人數(shù)據(jù)許可給多個主體使用。基于網(wǎng)絡(luò)服務(wù)的豐富性和高度可替代性，個人數(shù)據(jù)不太可能產(chǎn)生獨占的許可使用。即使取得獨占許可，數(shù)據(jù)控制者的財產(chǎn)利益也無法對抗數(shù)據(jù)主體。GDPR規(guī)定數(shù)據(jù)主體可以隨時撤銷對使用其數(shù)據(jù)的同意，這一貌似突破債法原理的規(guī)定也正是來源于人格利益。

2．“控制”具有財產(chǎn)利益的特征。盡管受到數(shù)據(jù)主體較多的限制，這種權(quán)能并不充分的狀態(tài)并沒有影響到數(shù)據(jù)控制者從中獲取巨大的利益，進而產(chǎn)生激烈的競爭。當數(shù)據(jù)主體授權(quán)多個數(shù)據(jù)控制者使用其個人數(shù)據(jù)，例如華為和騰訊都能控制華為手機上微信app里的聊天內(nèi)容，兩個數(shù)據(jù)控制者是非此即彼還是法定共有，歐盟立法中的目的論和方法論提供了一個判斷標準。

目的論和方法論來自《數(shù)據(jù)保護指令》和GDPR在控制者定義中規(guī)定的“單獨或共同確定個人數(shù)據(jù)處理的目的和方法”，這兩個標準也為《個保法草案》所繼受。在對共同控制(joint controllers)下定義時，GDPR強調(diào)了目的和方法上的合意——“應(yīng)以透明的方式確定各自對履行本條例規(guī)定義務(wù)的責任，特別是關(guān)于行使數(shù)據(jù)主體的權(quán)利及其各自的職責”。如果控制數(shù)據(jù)的主體之間欠缺這種合意，數(shù)據(jù)主體又沒有一次性授權(quán)給多個主體，如華為與騰訊的爭議，則需要進一步判斷控制權(quán)的歸屬。

華為對聊天數(shù)據(jù)的控制是通過手機這一硬件，騰訊對聊天數(shù)據(jù)的控制是通過微信這一軟件，二者控制力的區(qū)別在于數(shù)據(jù)存儲介質(zhì)的歸屬上。騰訊在提供即時聊天服務(wù)的同時對聊天數(shù)據(jù)實施控制，是網(wǎng)絡(luò)服務(wù)或程序運行的必然結(jié)果。用戶購買華為手機即發(fā)生手機所有權(quán)的轉(zhuǎn)移，制造商對手機所有權(quán)的喪失應(yīng)自手機出廠時起。鑒于移動終端對人類生活的重要作用，如果允許手機生產(chǎn)商隨意獲取所有手機上的數(shù)據(jù)，不但違背行業(yè)倫理，更是對生產(chǎn)者權(quán)利的濫用。手機生產(chǎn)商獲取用戶手機上的app信息及app內(nèi)部產(chǎn)生的數(shù)據(jù)，對手機用戶是隱私權(quán)的侵犯，取得用戶許可、提高用戶體驗都不能成為偷窺私人生活的借口；對app軟件服務(wù)商而言，則是硬件服務(wù)商權(quán)利的濫用，因為軟件必須依賴硬件才能運行。實踐中已有法院基于數(shù)據(jù)存儲介質(zhì)的所有權(quán)來判斷數(shù)據(jù)歸屬的判例。(45)在此案例中，法院認為獲取和使用雷達收集數(shù)據(jù)的法定權(quán)力屬于警方而不屬于相應(yīng)雷達控制系統(tǒng)的制造者，生成數(shù)據(jù)的主體是被授權(quán)使用此類數(shù)據(jù)的主體。ECtHR, Satakunnan Markkinap?rssi Oy and Satamedia Oy v. Finland, No. 931/13, 27 June 2017. 轉(zhuǎn)引自歐盟《數(shù)據(jù)獲取和所有權(quán)的法律研究》第55-56頁。

在這個例子中，賦予數(shù)據(jù)控制者對個人數(shù)據(jù)的財產(chǎn)性利益具有重要意義。騰訊與華為沒有合同關(guān)系，其與用戶之間的債權(quán)不具有排他效力。微信中的數(shù)據(jù)不足以構(gòu)成商業(yè)秘密或者數(shù)據(jù)庫，也無法直接證明華為存在不當?shù)美?，騰訊在現(xiàn)有法律框架下似乎無法主張自己的利益受到損害。如果承認騰訊對微信生成的數(shù)據(jù)(包括微信中出現(xiàn)的個人數(shù)據(jù))享有財產(chǎn)利益，則可以防止此類爭議的產(chǎn)生。除了以上現(xiàn)實需求之外，以目的和方法為標準賦予數(shù)據(jù)控制權(quán)財產(chǎn)屬性的理由還有：第一，個人數(shù)據(jù)歸屬于存儲介質(zhì)所有人的判斷方法已不適應(yīng)新技術(shù)條件。(46)參見Herbert Zech. Information as Property，Journal of Intellectual Property, Information Technology and Electronic Commerce Law, 157, 2015(6).在云計算技術(shù)的應(yīng)用場景中，數(shù)據(jù)的存儲位置具有不確定性，用目的和方法來判斷數(shù)據(jù)控制者比尋找存儲介質(zhì)所有人更為直接和便利。第二，承認數(shù)據(jù)控制者的財產(chǎn)利益有助于鼓勵和促進企業(yè)提供更好的網(wǎng)絡(luò)服務(wù)。認為在數(shù)據(jù)上設(shè)立專有權(quán)會阻礙數(shù)據(jù)經(jīng)濟發(fā)展的觀點，(47)參見曹建峰、祝林華：《歐洲數(shù)據(jù)產(chǎn)權(quán)初探》，載《信息安全與通信保密》2018年第4期。雖然有一定的合理性，卻忽略了數(shù)據(jù)產(chǎn)生和發(fā)揮價值背后的經(jīng)濟投入。在經(jīng)濟發(fā)展與企業(yè)利益之間尋找平衡，賦予數(shù)據(jù)控制者一定的財產(chǎn)利益而非財產(chǎn)權(quán)，是一個較為折中的方案。第三，認為賦權(quán)保護易引發(fā)信息壟斷的觀點有失偏頗。(48)參見Miriam B.A New Outlook on the Economic Dimension of the Database Protection Debate. The Intellectual Property Law Review, 93-170, 2006, 47(2).強化數(shù)據(jù)控制者的財產(chǎn)利益能否產(chǎn)生數(shù)據(jù)壟斷取決于立法規(guī)制，與財產(chǎn)制度沒有必然關(guān)聯(lián)。

(二)數(shù)據(jù)控制者對個人數(shù)據(jù)的占有具有一定的排他性

1．數(shù)據(jù)控制者依據(jù)合同債權(quán)占有個人數(shù)據(jù)。《民法典》第127條將虛擬財產(chǎn)與數(shù)據(jù)并列規(guī)定為民事權(quán)利客體，揭示出數(shù)據(jù)作為虛擬財產(chǎn)物理存在方式的特殊性。虛擬財產(chǎn)與數(shù)據(jù)的關(guān)系，同個人信息與個人數(shù)據(jù)的關(guān)系略有不同。個人信息與個人數(shù)據(jù)是內(nèi)容與形式的關(guān)系，虛擬財產(chǎn)和數(shù)據(jù)則都是形式——虛擬財產(chǎn)是客戶端呈現(xiàn)出的外在表現(xiàn)形式，數(shù)據(jù)則是虛擬財產(chǎn)在服務(wù)端呈現(xiàn)出的內(nèi)在表現(xiàn)形式。在客戶端，虛擬財產(chǎn)由網(wǎng)絡(luò)用戶控制，具體表現(xiàn)為網(wǎng)絡(luò)用戶對賬號密碼的控制；在服務(wù)端，虛擬財產(chǎn)的各項數(shù)據(jù)由網(wǎng)絡(luò)服務(wù)商控制。虛擬財產(chǎn)的共性在于不能與網(wǎng)絡(luò)服務(wù)相分離，都是互聯(lián)網(wǎng)用戶接受網(wǎng)絡(luò)服務(wù)的產(chǎn)物，因此其實質(zhì)是網(wǎng)絡(luò)服務(wù)合同債權(quán)。(52)參見任丹麗：《合同法框架下的虛擬財產(chǎn)——從網(wǎng)絡(luò)游戲糾紛的判決展開》，載《網(wǎng)絡(luò)法律評論》2006年版。

2．數(shù)據(jù)控制者的控制屬于他主占有。占有是事實還是權(quán)利，理論界一直爭論不休?！睹穹ǖ洹凡扇∈聦嵳f，與大陸法系主要國家的立法相一致。(53)《法國民法典》第2228條、《德國民法典》第845條和《瑞士民法典》第919條。民法占有制度保護占有人對物的事實支配，以實現(xiàn)對占有人利益以及社會秩序的維持功能。(54)參見趙曉鈞：《論占有效力》，法律出版社2010年版，第151頁。個人數(shù)據(jù)作為無形財產(chǎn)，也受到占有制度的調(diào)整。占有的法律效果是產(chǎn)生所有權(quán)，主要是時效取得和善意取得兩種，并不適用于數(shù)據(jù)占有的情形。數(shù)據(jù)控制者占有數(shù)據(jù)產(chǎn)生的排他性，來源于占有的自然效果。

(1)數(shù)據(jù)主體與數(shù)據(jù)控制者是間接占有與直接占有的關(guān)系。直接占有與間接占有的區(qū)分在于支配力的表現(xiàn)不同。直接占有人享有現(xiàn)實的支配力，間接占有人基于一定的法律關(guān)系對直接占有人享有物的返還請求權(quán)。個人數(shù)據(jù)雖然有很強的可復(fù)制性，但是對于數(shù)據(jù)主體而言，其在接受某一網(wǎng)絡(luò)服務(wù)時提供的個人數(shù)據(jù)，因為與人身分離且處于網(wǎng)絡(luò)服務(wù)商的控制之下，數(shù)據(jù)主體即喪失這組個人數(shù)據(jù)復(fù)制件的占有，只享有請求對方刪除個人數(shù)據(jù)的權(quán)利。對這組特定化的個人數(shù)據(jù)，數(shù)據(jù)主體是間接占有，數(shù)據(jù)控制者是直接占有?；跀?shù)據(jù)性質(zhì)的特殊性，數(shù)據(jù)主體只享有刪除權(quán)而非返還請求權(quán)，但本質(zhì)都是最終的支配權(quán)。

數(shù)據(jù)控制者依據(jù)網(wǎng)絡(luò)服務(wù)合同取得個人數(shù)據(jù)，網(wǎng)絡(luò)上的個人數(shù)據(jù)存在于控制者的服務(wù)器上，這是典型的占有。云計算分散存儲數(shù)據(jù)的特性決定了實際控制者的確定存在難度。云計算服務(wù)提供商作為服務(wù)合同的一方當事人被定位為數(shù)據(jù)控制者，符合立法區(qū)分控制與處理的初衷。在云服務(wù)環(huán)境中，雖然實際控制或處理數(shù)據(jù)的主體并非云服務(wù)商，但是其對數(shù)據(jù)有整體管控的權(quán)利。數(shù)據(jù)控制者概念的首要作用在于分配責任，確定誰應(yīng)負責遵守數(shù)據(jù)保護規(guī)則，以及數(shù)據(jù)主體如何在實踐中行使權(quán)利。數(shù)據(jù)處理者的概念則是在處理的機密性和安全性背景下發(fā)揮重要作用，有助于確定那些更直接參與處理個人數(shù)據(jù)的主體責任。例外情況是如果云服務(wù)提供商僅提供數(shù)據(jù)存儲服務(wù)或者提供一個外鏈，則只能被定性為數(shù)據(jù)處理者，因為它將根據(jù)數(shù)據(jù)控制者的指令處理個人數(shù)據(jù)。

資源和財富的利用越來越突破所有者意志的制約，是現(xiàn)代社會財產(chǎn)利用關(guān)系的基本特點。(55)孟勤國：《物權(quán)二元結(jié)構(gòu)論——中國物權(quán)制度的理論重構(gòu)(第二版)》，人民法院出版社2004年版，第30-31頁。這一特點使得物的利用關(guān)系突破所有權(quán)中心主義，越來越受到重視。有學者將這兩類主體對于數(shù)據(jù)產(chǎn)業(yè)的意義歸納為數(shù)據(jù)主體的“邊框性的基礎(chǔ)啟動功能”和數(shù)據(jù)控制者的“重心驅(qū)動功能”，(56)龍衛(wèi)球：《數(shù)據(jù)新型財產(chǎn)權(quán)構(gòu)建及其體系研究》，載《政法論壇》2017年第4期。也是二者對個人數(shù)據(jù)享有同等重要支配力的體現(xiàn)。

(2)數(shù)據(jù)控制者與數(shù)據(jù)處理者是自己占有與輔助占有的關(guān)系。數(shù)據(jù)控制者與數(shù)據(jù)處理者的分別規(guī)定，意圖是對脫離數(shù)據(jù)主體的個人數(shù)據(jù)的存在方式進行區(qū)分。數(shù)據(jù)控制者一般不處理數(shù)據(jù)，只是決定數(shù)據(jù)處理的目的和方法，包括實際控制自然人信息的各類主體。數(shù)據(jù)處理者只能按照數(shù)據(jù)控制者的要求進行數(shù)據(jù)處理，例如網(wǎng)絡(luò)服務(wù)商、數(shù)據(jù)應(yīng)用商等。數(shù)據(jù)控制者對個人數(shù)據(jù)保護承擔主要責任，直接對數(shù)據(jù)主體負責；而數(shù)據(jù)處理者所承擔的責任要小得多，它們基于合同對數(shù)據(jù)控制者負責。第三方指的是這一合同之外、為數(shù)據(jù)處理提供技術(shù)服務(wù)的外包企業(yè)，如數(shù)據(jù)存儲企業(yè)和數(shù)據(jù)分析企業(yè)等。

數(shù)據(jù)控制者和數(shù)據(jù)處理者都在事實上占有數(shù)據(jù)，歐盟相關(guān)立法對此二者權(quán)利義務(wù)的不同規(guī)定，在物權(quán)法上可以用自己占有和輔助占有加以區(qū)分，區(qū)分標準是占有人是否親自占有標的物。當數(shù)據(jù)控制者自己占有個人數(shù)據(jù)或者親自進行數(shù)據(jù)處理時，只產(chǎn)生自己占有；當數(shù)據(jù)控制者委托他人處理數(shù)據(jù)時，數(shù)據(jù)處理者對個人數(shù)據(jù)的占有構(gòu)成輔助占有。如果處理者的行為超出控制者的委托范圍，為其自身或其他的目的處理個人數(shù)據(jù)，則就該特定部分的數(shù)據(jù)處理而言，數(shù)據(jù)處理者將被視為數(shù)據(jù)控制者。

實踐中，數(shù)據(jù)控制者與數(shù)據(jù)處理者的界分并不清晰，最有名的相關(guān)案件是SWIFT案。(57)SWIFT公司全稱為Society for the Worldwide Interbank Financial Telecommunications(環(huán)球銀行金融電信協(xié)會)，它為超過8300家銀行機構(gòu)、證券機構(gòu)和企業(yè)客戶提供安全和加密的金融消息服務(wù)，每天處理數(shù)百萬條消息。因在美國調(diào)查反恐案件中為美國提供歐盟公民的數(shù)據(jù)而被調(diào)查。SWIFT主張自己是數(shù)據(jù)處理者，只是提供消息服務(wù)。比利時隱私委員會和《數(shù)據(jù)保護指令》第29條工作組(58)《數(shù)據(jù)保護指令》第29條工作組是根據(jù)《數(shù)據(jù)保護指令》第29條設(shè)立的、獨立的歐洲數(shù)據(jù)保護和隱私咨詢機構(gòu)，其職責權(quán)限參見《數(shù)據(jù)保護指令》第30條。都認定SWIFT與其銀行客戶同樣都是“控制者”，就有關(guān)個人信息處理服務(wù)，它們須共同承擔責任。(59)參見石佳友：《網(wǎng)絡(luò)環(huán)境下的個人信息保護立法》，載《蘇州大學學報》2012年第6期。理由主要有：SWIFT承擔職責的性質(zhì)和范圍超出數(shù)據(jù)處理者的職責范圍，SWIFT的管理層能夠通過開發(fā)、營銷和改變SWIFT的服務(wù)來確定處理的目的和方式，SWIFT為處理提供了額外的價值以及SWIFT的管理層擁有做出決策的自主權(quán)。(60)參見ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 1/2010 on the concepts of "controller" and "processor": 10-12，00264/10/EN WP 169.

從歐盟的立法到裁判都能看出，事實層面上控制者與處理者都占有個人數(shù)據(jù)，不占有則無法處理數(shù)據(jù)。用目的和方法區(qū)分二者，是從權(quán)利和義務(wù)層面進行的——對數(shù)據(jù)主體，控制者概括承擔所有保護數(shù)據(jù)的義務(wù)；對處理者，控制者享有法定和約定的權(quán)利。薩維尼闡述的占有“體素”(corpus)和“心素”(animus)，(61)參見[德]弗里德里?！た枴ゑT·薩維尼：《論占有》，朱虎、劉智慧譯，法律出版社2007年版，第190頁?？刂普叨季邆??？刂普叩男乃刂饕菍€人數(shù)據(jù)的支配意思，作為輔助占有人的處理者則不具備心素這一要件。

四、小結(jié)：個人數(shù)據(jù)財產(chǎn)法益體系以數(shù)據(jù)控制者的義務(wù)為中心

《中華人民共和國網(wǎng)絡(luò)安全法》第44條規(guī)定不得非法出售或者非法向他人提供個人數(shù)據(jù)，《民法典》第1038條規(guī)定：未經(jīng)自然人同意，不得向他人非法提供其個人數(shù)據(jù)，都間接承認了個人數(shù)據(jù)在一定條件下的自由處分，受到立法和數(shù)據(jù)主體的限制。即便數(shù)據(jù)主體允許數(shù)據(jù)控制者收集并共享相關(guān)個人信息，也不意味著其讓渡了所有個人信息權(quán)利。(62)參見王利明：《數(shù)據(jù)共享與個人信息保護》，載《現(xiàn)代法學》2019年第1期。在《民法典》框架內(nèi)理順數(shù)據(jù)主體、數(shù)據(jù)控制者、數(shù)據(jù)處理者甚至第三方之間的法律關(guān)系，可以借用無形財產(chǎn)的許可使用和占有理論來解釋。個人信息是人格法益的客體，作為個人信息表現(xiàn)形式的個人數(shù)據(jù)是財產(chǎn)法益的客體。個人信息的主體具有唯一性，個人數(shù)據(jù)的主體具有多元性。數(shù)據(jù)主體對個人數(shù)據(jù)享有的財產(chǎn)利益來源于個人信息中蘊含的經(jīng)濟利益，可以通過授權(quán)將財產(chǎn)利益許可給數(shù)據(jù)控制者占有。數(shù)據(jù)主體對個人數(shù)據(jù)許可使用后的控制力較弱。在財產(chǎn)權(quán)體系內(nèi)強調(diào)其財產(chǎn)利益的基礎(chǔ)性地位，不但與個人數(shù)據(jù)立法的趨勢相一致，也能限制數(shù)據(jù)控制者濫用個人數(shù)據(jù)的控制權(quán)。

數(shù)據(jù)主體對個人數(shù)據(jù)的弱控制更無法輻射到數(shù)據(jù)處理者和第三方，有必要強化數(shù)據(jù)控制者作為中間環(huán)節(jié)的法定義務(wù)。個人數(shù)據(jù)的易復(fù)制性和非排他性是賦予數(shù)據(jù)控制者占有利益的主要原因，有利于平衡數(shù)據(jù)主體的利益保護和個人數(shù)據(jù)的商業(yè)化利用，推動數(shù)據(jù)資源高效配置。從財產(chǎn)規(guī)則到責任規(guī)則的變遷，實質(zhì)是將財產(chǎn)法益從數(shù)據(jù)主體一端轉(zhuǎn)移至數(shù)據(jù)控制者一端，克服數(shù)據(jù)主體行權(quán)成本，取而代之以法律要求的補償。(63)參見馮果、薛亦颯：《從“權(quán)利規(guī)范模式”走向“行為控制模式”的數(shù)據(jù)信托——數(shù)據(jù)主體權(quán)利保護機制構(gòu)建的另一種思路》，載《法學評論》2020年第3期。技術(shù)優(yōu)勢賦予數(shù)據(jù)控制者更大的控制權(quán)，相應(yīng)的，其應(yīng)承擔更大的義務(wù)。以數(shù)據(jù)控制者的義務(wù)為中心串聯(lián)起數(shù)據(jù)主體、數(shù)據(jù)處理者與第三人，形成財產(chǎn)法益體系內(nèi)的制約關(guān)系，是私法保護個人數(shù)據(jù)的方法。更多責任規(guī)則的確立，有賴于個人數(shù)據(jù)立法的完善。