论文部分内容阅读
伴随着大数据时代的到来,数据成为一种重要的资源。数据权利归属及分割成为大数据时代亟需确定的重要法律问题。本文拟从数据的共性和特性两个角度来分析社交应用中的信息,特别是用户头像和昵称的二元属性,试图区分用户和应用运营者各自的权利边界,从而对该等数据的有序使用指明路径。
伴随着大数据时代的到来,数据成为一种重要的资源。数据权利归属及分割成为大数据时代亟需确定的重要法律问题。本文拟从数据的共性和特性两个角度来分析社交应用中的信息,特别是用户头像和昵称的二元属性,试图区分用户和应用运营者各自的权利边界,从而对该等数据的有序使用指明路径。
个人信息权和数据权的二元属性
目前我国立法并未给予信息数据一个明确的权利定位1,这也就导致信息数据的权利边界不清晰和容易发生纠纷。理清数据主体与数据利用者对数据的权利边界,有利于激励数据主体更多地生产数据,积累数据资源,激励数据产业者更好地挖掘数据价值,建立良性循环,只需实现两种权利的平衡,使数据资源更好地服务社会。2
从信息数据权属看,其一方面承载了用户(数据主体)的个人信息和/或网络活动痕迹的信息属性,体现了用户的个人信息权;另一方面用户在接受网络服务时,根据协议将一些信息提供给网络服务商(数据控制者),服务商以0和1的编码方式进行数据存储和聚合,且该等数据存在给网络服务商带来利益的可能性,体现了数据权。因此,造成权利复杂性的原因是,数据主体与数据控制者的分离,一份信息数据承载两个主体的权利。3
从控制力角度看,用户对其个人信息具有控制权,其可以选择是否提供或提供范围,但用户对于存储在数据控制者处的数据没有直接的控制权,特别是无权要求数据控制者将该数据提供给他人。同时,由于用户可能将其个人信息提供给多个经营者,个人信息可能会对应不同经营者所控制的多个数据包,因此个人信息可能具有唯一性,但是对应其而存储的数据可能存在多样性、片段性等特点。
从表现形式上看,个人信息与数据存在不同。数据主体的个人信息是可以供人予以识别和理解的内容,而数据控制者存储的数据是供计算机识别的代码。如果用户信息没有被采集,不以数字化的形式存在,根本就不存在数据权利一说,正是因为数据的生成和存储才形成挖掘出数据价值的基础。
从权利诉求上看,数据主体主要关注的是其人格权的实现,其对个人信息的诉求是知情同意、保密安全、查询更正和退出删除等权利。而数据控制者更多的是关注其财产权的实现,包括数据的收集、利用、分析、披露、转让、收益、处分的权利。分清数据主体与数据控制者的权利种类和边界,有利于实现双方利益的充分保护和在两者发生冲突时的利益平衡。
认可二元属性的必要性和合理性
认清用户信息生成的数据权利的二元分置,具有其必要性和合理性。只有厘清信息与数据的关系,并在此基础上确定数据主体和数据控制者各自的权利诉求和边界,才能更好地促进大数据时代对数据的开发和利用。
从确定二元属性的必要性上看,直接或间接标识个体的信息并不稀缺,它们广泛地存在于世界上,更重要的是,它们不太可能因激励而大幅增加。4相反,数据集合由数据控制者创设或生成。通过为每个数据主体创设一个用户文档(profile) ,数据控制者可以对信息进行搜集、记录、存储和分析,最终形成富有经济价值的数据产品。毫无疑问,这些都需要建立组织、培训技能、付出劳动和支付费用。如果不赋予数据控制者以数据权,必然降低人们对数据的投资,进而阻碍数字经济的发展。5
从其合理性看,其一,信息与数据犹如肖像与照片,是内容与载体的关系,然而就如同肖像权并不等同于也无法否认照片所有权一样,数据财产权实质是一项相对独立于个人信息的权利。其二,数据的形成虽不乏信息主体的参与,但更多是数据采集者劳动或资本投入的结果,而且在以免费为主的互联网服务中,信息主体的付出其实也已获得一定程度的“回报”。其三,汇聚和融合是大数据时代充分挖掘和实现数据价值的前提,而产权的分散则可能造就大量的“数据孤岛”,极大地提升了数据利用的成本。其四,对数据合法采集者的财产权赋予,可对其增强数据保护和参与数据维权形成有效的激励,对强化个人信息保护也具有积极的意义。6
社交应用中用户头像和昵称等基本信息的属性
由于用户注册登录、交互沟通、浏览评论等行为,会在社交应用中产生大量的信息数据。这些信息数据中,既包括用户选择表明其个人身份的头像、昵称、地区、年龄、性别等基本信息,又包括其使用时间、时长、功能等活动轨迹信息。其中因基本信息往往与识别用户具有更加紧密的联系,因此也更容易成为个人信息权与数据权发生冲突和引发探讨的内容。笔者认为,该等用于表明用户身份的头像和昵称的数据同样具有二元属性。
从其共性上而言,其同样具有第一部分从信息数据权属、控制力、表现形式和主体诉求上的二元属性。例如,一方面其在一定程度上具有识别用户身份和好友關系的作用,另一方面其是社交应用经营者所存储和收集的数据。一方面数据主体对头像和昵称具有知情同意、保密安全、查询更正和退出删除的权利。用户可以随时修改头像昵称,用户可以选择在不使用某一社交应用后要求注销账号删除信息的权利,以及用户可以选择在不同的社交平台中自行上传和使用相同或者不同的头像和昵称的权利。而另一方面数据控制者则在保护用户合法权利的基础上,享有对该等数据的收集、存储、利用、授权、分享等权利。
从其个性上看,不能因为头像和昵称所具有的较强的个人身份识别属性,就忽视数据控制者的实质贡献和该等数据对数据控制者的价值,仅仅通过权利位阶进行孰轻孰重的比较,或以用户意志高于一切的思路,片面地要求数据控制者的妥协。原因有如下两点:
第一,数据控制者对于该等头像和昵称与用户身份识别的对应关系具有实质贡献。首先,认知程度与平台具有较强的不可分性。一般而言,如果该头像和昵称并非用户的真实姓名和肖像,则其本身并不具有个人信息的属性。正是因为应用提供的社交功能使该等头像和昵称在使用中具有了一定的识别作用,对于其他用户而言,一个用户的头像和昵称以及平台往往是绑定在一起进行识别的。其次,熟悉程度与应用的用户量和活跃性密不可分。用户头像和昵称所带来的知名度、熟悉感、亲切感与关注该用户的人数多少,或与该用户形成交错的用户网络的复杂度具有正比效果,在应用上的用户数量、活跃程度以及网络交错达到一定程度时,才能提升该头像和昵称与用户身份识别的紧密性。 第二,数据控制者对于该等头像和昵称享有潜在的数据权益和维系义务。一方面从权益角度看,应用具有对该等昵称和头像进行挖掘并形成商业利用价值的潜力。通过分析加工用户头像昵称的内容、形式、更换频率以及结合用户的年龄和性别等其他特征,可以了解不同用户对于头像和昵称的喜好,从而开发出符合用户需求的特定功能或配件。同时,头像和昵称对于潜在的二度人脉的开发、或者流转分享(基于用户同意的基础上)、或者开放平台数据积累,或者针对同一用户在工作/生活等不同场景中更换多个头像和昵称等,都具有潜在的分析挖掘价值,因此头像和昵称对于社交应用具有潜在的经济价值,应当赋予数据控制者对于该等数据一定的财产权益属性。从安全保障义务角度,因为头像和昵称所具有的可重复性特点,不同的用户可能选择同样的头像和/或昵称,而基于头像昵称对于用户识别的作用,可能存在不法利用头像和昵称欺诈用户或骗取信任的可能。因此,基于保护用户利益出发,数据控制者也具有保障头像和昵称使用和公开范围合理化的一定义务。
因此,在头像昵称等信息数据的使用上,依然应当秉持权利平衡和划清边界的二元思路,充分保护数据主体和数据控制者各自的权利。
社交应用中用户头像和昵称等基本信息的利益分配
对于用户头像和昵称等具有用户识别属性的信息数据的保护,应当如何进行利益平衡和冲突解决?笔者认为可以从以下三个维度进行考量:
第一,保障用户对信息的可支配性。即用户对于其使用在应用中的昵称和头像的知情同意、查询更正、退出删除以及携带转移的权利。在应用平台上,用户享有随时根据其意志进行上传、下载、更改、删除其昵称和头像的权利。与此同时,用户对是否在不同的社交应用中使用相同头像和昵称享有充分的自决权,其可自行将一个应用中的昵称和头像上传或输入到另一个应用中。
第二,保障应用对数据正向利用时的双方合意。即数据控制者在行使正向利用权时,比如自行进行开发使用的权利和/或分享给其他第三方的权利时,要在寻求和征得用户同意后进行。因为正向利用涉及到用户数据使用范围、使用目的以及分享流转范围的扩大和变化,因此涉及到数据主体有关人身权的利益诉求的保护问题。因此必须要经过用户授权,方能形成数据主体和数据控制者两方意见统一下的合法使用。
第三,保障应用对数据反向保留时的可支配权。即数据控制者拒绝第三方的共享申請或特定使用方式时的自主自决权。因为数据控制者行使该等否决权并不会不适当地影响或侵害用户人身权的利益诉求,反而是限缩在原有的授权范围内使用,此时,无须寻求用户授权或即便存在用户授权时,数据控制者具有否决自决权。原因是,该等数据权的行使并不会导致个人信息权的无法实现。用户对于其头像和昵称的使用并没有受到限制,受到限制的只是用户要求应用直接将其头像和昵称向其他平台提供的权利。但事实上用户具有自行向其他应用提供该等信息的可能性和便利性,且其对于个人信息享有的利益并不包括指令数据控制方向第三方转移数据的权利。因此在数据控制者行使拒绝权或限制权时,不应当要求再经过用户同意或赋予用户同意高于数据控制者意志的权利。
伴随着大数据时代的到来,数据成为一种重要的资源。数据权利归属及分割成为大数据时代亟需确定的重要法律问题。本文拟从数据的共性和特性两个角度来分析社交应用中的信息,特别是用户头像和昵称的二元属性,试图区分用户和应用运营者各自的权利边界,从而对该等数据的有序使用指明路径。
个人信息权和数据权的二元属性
目前我国立法并未给予信息数据一个明确的权利定位1,这也就导致信息数据的权利边界不清晰和容易发生纠纷。理清数据主体与数据利用者对数据的权利边界,有利于激励数据主体更多地生产数据,积累数据资源,激励数据产业者更好地挖掘数据价值,建立良性循环,只需实现两种权利的平衡,使数据资源更好地服务社会。2
从信息数据权属看,其一方面承载了用户(数据主体)的个人信息和/或网络活动痕迹的信息属性,体现了用户的个人信息权;另一方面用户在接受网络服务时,根据协议将一些信息提供给网络服务商(数据控制者),服务商以0和1的编码方式进行数据存储和聚合,且该等数据存在给网络服务商带来利益的可能性,体现了数据权。因此,造成权利复杂性的原因是,数据主体与数据控制者的分离,一份信息数据承载两个主体的权利。3
从控制力角度看,用户对其个人信息具有控制权,其可以选择是否提供或提供范围,但用户对于存储在数据控制者处的数据没有直接的控制权,特别是无权要求数据控制者将该数据提供给他人。同时,由于用户可能将其个人信息提供给多个经营者,个人信息可能会对应不同经营者所控制的多个数据包,因此个人信息可能具有唯一性,但是对应其而存储的数据可能存在多样性、片段性等特点。
从表现形式上看,个人信息与数据存在不同。数据主体的个人信息是可以供人予以识别和理解的内容,而数据控制者存储的数据是供计算机识别的代码。如果用户信息没有被采集,不以数字化的形式存在,根本就不存在数据权利一说,正是因为数据的生成和存储才形成挖掘出数据价值的基础。
从权利诉求上看,数据主体主要关注的是其人格权的实现,其对个人信息的诉求是知情同意、保密安全、查询更正和退出删除等权利。而数据控制者更多的是关注其财产权的实现,包括数据的收集、利用、分析、披露、转让、收益、处分的权利。分清数据主体与数据控制者的权利种类和边界,有利于实现双方利益的充分保护和在两者发生冲突时的利益平衡。
认可二元属性的必要性和合理性
认清用户信息生成的数据权利的二元分置,具有其必要性和合理性。只有厘清信息与数据的关系,并在此基础上确定数据主体和数据控制者各自的权利诉求和边界,才能更好地促进大数据时代对数据的开发和利用。
从确定二元属性的必要性上看,直接或间接标识个体的信息并不稀缺,它们广泛地存在于世界上,更重要的是,它们不太可能因激励而大幅增加。4相反,数据集合由数据控制者创设或生成。通过为每个数据主体创设一个用户文档(profile) ,数据控制者可以对信息进行搜集、记录、存储和分析,最终形成富有经济价值的数据产品。毫无疑问,这些都需要建立组织、培训技能、付出劳动和支付费用。如果不赋予数据控制者以数据权,必然降低人们对数据的投资,进而阻碍数字经济的发展。5
从其合理性看,其一,信息与数据犹如肖像与照片,是内容与载体的关系,然而就如同肖像权并不等同于也无法否认照片所有权一样,数据财产权实质是一项相对独立于个人信息的权利。其二,数据的形成虽不乏信息主体的参与,但更多是数据采集者劳动或资本投入的结果,而且在以免费为主的互联网服务中,信息主体的付出其实也已获得一定程度的“回报”。其三,汇聚和融合是大数据时代充分挖掘和实现数据价值的前提,而产权的分散则可能造就大量的“数据孤岛”,极大地提升了数据利用的成本。其四,对数据合法采集者的财产权赋予,可对其增强数据保护和参与数据维权形成有效的激励,对强化个人信息保护也具有积极的意义。6
社交应用中用户头像和昵称等基本信息的属性
由于用户注册登录、交互沟通、浏览评论等行为,会在社交应用中产生大量的信息数据。这些信息数据中,既包括用户选择表明其个人身份的头像、昵称、地区、年龄、性别等基本信息,又包括其使用时间、时长、功能等活动轨迹信息。其中因基本信息往往与识别用户具有更加紧密的联系,因此也更容易成为个人信息权与数据权发生冲突和引发探讨的内容。笔者认为,该等用于表明用户身份的头像和昵称的数据同样具有二元属性。
从其共性上而言,其同样具有第一部分从信息数据权属、控制力、表现形式和主体诉求上的二元属性。例如,一方面其在一定程度上具有识别用户身份和好友關系的作用,另一方面其是社交应用经营者所存储和收集的数据。一方面数据主体对头像和昵称具有知情同意、保密安全、查询更正和退出删除的权利。用户可以随时修改头像昵称,用户可以选择在不使用某一社交应用后要求注销账号删除信息的权利,以及用户可以选择在不同的社交平台中自行上传和使用相同或者不同的头像和昵称的权利。而另一方面数据控制者则在保护用户合法权利的基础上,享有对该等数据的收集、存储、利用、授权、分享等权利。
从其个性上看,不能因为头像和昵称所具有的较强的个人身份识别属性,就忽视数据控制者的实质贡献和该等数据对数据控制者的价值,仅仅通过权利位阶进行孰轻孰重的比较,或以用户意志高于一切的思路,片面地要求数据控制者的妥协。原因有如下两点:
第一,数据控制者对于该等头像和昵称与用户身份识别的对应关系具有实质贡献。首先,认知程度与平台具有较强的不可分性。一般而言,如果该头像和昵称并非用户的真实姓名和肖像,则其本身并不具有个人信息的属性。正是因为应用提供的社交功能使该等头像和昵称在使用中具有了一定的识别作用,对于其他用户而言,一个用户的头像和昵称以及平台往往是绑定在一起进行识别的。其次,熟悉程度与应用的用户量和活跃性密不可分。用户头像和昵称所带来的知名度、熟悉感、亲切感与关注该用户的人数多少,或与该用户形成交错的用户网络的复杂度具有正比效果,在应用上的用户数量、活跃程度以及网络交错达到一定程度时,才能提升该头像和昵称与用户身份识别的紧密性。 第二,数据控制者对于该等头像和昵称享有潜在的数据权益和维系义务。一方面从权益角度看,应用具有对该等昵称和头像进行挖掘并形成商业利用价值的潜力。通过分析加工用户头像昵称的内容、形式、更换频率以及结合用户的年龄和性别等其他特征,可以了解不同用户对于头像和昵称的喜好,从而开发出符合用户需求的特定功能或配件。同时,头像和昵称对于潜在的二度人脉的开发、或者流转分享(基于用户同意的基础上)、或者开放平台数据积累,或者针对同一用户在工作/生活等不同场景中更换多个头像和昵称等,都具有潜在的分析挖掘价值,因此头像和昵称对于社交应用具有潜在的经济价值,应当赋予数据控制者对于该等数据一定的财产权益属性。从安全保障义务角度,因为头像和昵称所具有的可重复性特点,不同的用户可能选择同样的头像和/或昵称,而基于头像昵称对于用户识别的作用,可能存在不法利用头像和昵称欺诈用户或骗取信任的可能。因此,基于保护用户利益出发,数据控制者也具有保障头像和昵称使用和公开范围合理化的一定义务。
因此,在头像昵称等信息数据的使用上,依然应当秉持权利平衡和划清边界的二元思路,充分保护数据主体和数据控制者各自的权利。
社交应用中用户头像和昵称等基本信息的利益分配
对于用户头像和昵称等具有用户识别属性的信息数据的保护,应当如何进行利益平衡和冲突解决?笔者认为可以从以下三个维度进行考量:
第一,保障用户对信息的可支配性。即用户对于其使用在应用中的昵称和头像的知情同意、查询更正、退出删除以及携带转移的权利。在应用平台上,用户享有随时根据其意志进行上传、下载、更改、删除其昵称和头像的权利。与此同时,用户对是否在不同的社交应用中使用相同头像和昵称享有充分的自决权,其可自行将一个应用中的昵称和头像上传或输入到另一个应用中。
第二,保障应用对数据正向利用时的双方合意。即数据控制者在行使正向利用权时,比如自行进行开发使用的权利和/或分享给其他第三方的权利时,要在寻求和征得用户同意后进行。因为正向利用涉及到用户数据使用范围、使用目的以及分享流转范围的扩大和变化,因此涉及到数据主体有关人身权的利益诉求的保护问题。因此必须要经过用户授权,方能形成数据主体和数据控制者两方意见统一下的合法使用。
第三,保障应用对数据反向保留时的可支配权。即数据控制者拒绝第三方的共享申請或特定使用方式时的自主自决权。因为数据控制者行使该等否决权并不会不适当地影响或侵害用户人身权的利益诉求,反而是限缩在原有的授权范围内使用,此时,无须寻求用户授权或即便存在用户授权时,数据控制者具有否决自决权。原因是,该等数据权的行使并不会导致个人信息权的无法实现。用户对于其头像和昵称的使用并没有受到限制,受到限制的只是用户要求应用直接将其头像和昵称向其他平台提供的权利。但事实上用户具有自行向其他应用提供该等信息的可能性和便利性,且其对于个人信息享有的利益并不包括指令数据控制方向第三方转移数据的权利。因此在数据控制者行使拒绝权或限制权时,不应当要求再经过用户同意或赋予用户同意高于数据控制者意志的权利。