論個人數據的靜態與動態融合的私法保護

(上海對外經貿大學 法學院，上海 201620)

隨著云計算、人工智能、物聯網以及互聯網技術的迅猛發展，記錄人們的活動軌跡、消費記錄等信息的數據，將成為巨大的財富資源。個人數據的利用主要包括數據的收集、處理、交易以及應用。從數據的產業鏈來看，數據主要對應的法律主體有兩類：一是作為數據最初來源的提供者，即個人數據的特定主體；二是個人數據的控制者，即數據的利用者，包括數據收集、處理、交易應用的主體。

個人數據的保護和利用，主要圍繞數據主體確定和數據客體利用的權利義務分配展開。(1)本文所引外文文獻均為筆者自己翻譯，下同。T. Rostow， What Happens When an Acquaintance Buys Your Data? 34 Yale J. on Reg. 2017, p.667.歐盟《通用數據保護條例》(GDPR)被認為是目前為止覆蓋面最廣的數據保護法規，從“個人數據”“數據主體”和“數據主體權利”等方面采取了較為嚴格的保護措施，但是其最終的落腳點仍是對個人數據的隱私法益進行保護。(2)B. A. Safari， Intangible Privacy Rights: How Europe’s GDPR Will Set a New Global Standard for Personal Data Protection, 47 Seton Hall L. Rev. 2017, p.847.我國《民法總則》也在第一百一十一條規定了個人信息的保護，第一百二十七條則明確了民法對于數據的保護。

然而，個人數據作為新型的權利客體，在私法保護的體系中已經出現困境。單純的將個人數據作為物權、債權亦或是人格權的客體都無法周延保護這一新興客體。一方面，個人數據在靜態上并沒有辦法確定具體的歸屬，也無法作為物權的客體被物權法所接受認可。因此，通過以個人數據為核心構建的物權保護規則顯然是徒勞的。另一方面，個人數據在交易流轉過程中，需要借助合同完成。但是，若單純通過合同違約責任的事后救濟的方式亦不足以周延保護個人數據。此外，個人數據不僅具有人格屬性，也帶有財產屬性。如何從靜態和動態相融合的路徑具體構建個人數據的保護模式，值得思考。圍繞個人數據的靜態與動態融合的私法保護模式，有必要對下列問題進行探討：個人數據在私法上是如何定性的？個人數據和個人信息有何區別？個人數據的保護應該遵循何種范式？個人數據保護的具體路徑怎么設計？厘清這些問題，非常有助于個人數據在私法保護中的融合。

一 個人數據保護的私法衍生

個人數據作為新興的權利客體，私法保護規則的構建也應該以人為中心，圍繞人對客體的使用的權利分配予以構建。個人數據的私法保護主要表現為對人格屬性和財產價值的融合保護，以尋求利益的平衡。盡管個人對數據是否具有獨占的權利還存在爭議，但是對個人數據的保護依然只能通過對人身權利或者財產權利的方式予以調整。

(一)個人數據承載個人信息

數據僅僅是信息的一種體現形式。在互聯網時代下，個人數據通過某種特定的編碼完成對信息的記錄(比如二進制數據是用0和1兩個數字來表示)，而個人信息則需要特定的機器予以讀取。個人數據是信息的表現形式而不涉及內容，是個人信息存儲、傳輸和處理的形式。(3)紀海龍《數據的私法定位與保護》，《法學研究》2018年第6期，第72-91頁。概言之，個人數據承載個人信息。

個人數據承載著個人信息，個人信息不僅包含一定的隱私權屬性，而且還具有一定的財產價值。特定主體對于個人數據的采集和運用具有一定的自主性，未經特定主體的許可，任何主體都不可以對隱私信息取得、使用、交易。(4)謝遠揚《信息論視角下個人信息的價值——兼對隱私權保護模式的檢討》，《清華法學》2015年第3期，第94-110頁。盡管個人數據可以通過技術讀取的方式獲得個人信息，但個人數據也可以經過技術清洗、脫敏等手段，從而消除個人數據上所承載的個人隱私信息。從技術的角度看，個人數據經過匿名化處理后，將消除用戶個人信息所附著的人格屬性。脫敏匿名化的數據經過進一步加工之后可以生成標準的數據塊。個人數據經過深度加工后，已經喪失了數據的個人屬性，只保留個人數據的財產屬性，無法通過技術手段再次重新識別特定的個體信息。標準的數據塊將被合理使用，以發揮數據的經濟價值。縱觀國內外關于數據交易的標的，也都是經過數據清洗、建模和分析的數據結果，而不是底層數據。個人數據經過深度清洗后的數據塊可以被第三方機構利用，從而產生數據的現實價值。標準化的數據塊可以為政府、企業或者個人提供參考和支撐，以實現決策的合理化和科學化。

從技術的角度上看，個人信息和個人數據是能夠有效區分的。個人信息體現出強烈的人格屬性，能夠識別出特定主體的身份信息和活動軌跡。而個人數據則是經過技術處理、脫敏匿名化后無法識別身份信息和活動軌跡的數據塊，徹底地消除了個人信息所附著的人格屬性，還原數據財產價值。經過深度清洗的數據，可以作為流通的標的。(5)王忠《大數據時代個人數據交易許可機制研究》，《理論月刊》2015年第6期，第131-135頁。概言之，隨著清洗技術的不斷深入，數據的人格屬性不斷弱化，財產權價值不斷凸顯，數據本身的流動性也不斷加強。

(二)個人數據的私法價值

當個人數據經搜集、加工以及處理之后，個人數據的財產價值不斷凸顯。不同主體對數據利用的利益出現沖突，就需要法律的規則對其進行調整。(6)Ignacio N. Cofone,The Dynamic Effect of Information Privacy Law, 18 Minn. J. L. Sci. & Tech. 2017，p.552.個人數據的財產屬性是網絡技術和數據本身所具有的財產價值共同推動的成果。

互聯網、物聯網、云計算以及大數據技術的發展，凸顯了個人數據的財產價值。互聯網技術實現了人與機器的融合，特別是移動終端設備的普及，為數據的搜集記錄提供了便利。物聯網技術將物體編碼與互聯網連接，實現信息的交換，達到智能識別、定位和管理的目的。云計算的發展為采集、分析和運用大數據提供了技術支持，并將眾多數據進行相應的匹配運算。大數據技術將所搜集的數據進行綜合分析、處理、應用，以產生經濟價值。互聯網、物聯網、云計算以及大數據等技術的高度發展，將特定主體的信息都以數據的形式予以記錄并進行存儲和分析，為數據這一客體成為一項單獨的權利提供了基礎。個人數據可以被海量地搜集，進行合理的交易和使用，形成數據的搜集、分析和運用的數據產業鏈。

個人數據財產價值得益于網絡空間的發展。網絡空間跨越時空的技術便利，能夠更加方便地產生和存儲更多的個人數據，個人數據的財產保護主要是規制個人在網絡空間所產生的數據被不合理的利用。(7)Michal Lavi, Content Providers’Secondary Liability: A Social Network Perspective,26 Fordham Intell. Prop. Media & EntL. J. 2016，pp.855-869.個人數據保護的規則需要在網絡空間通過秩序的構建更好地進行個人意志的表達以及權利利益的實現。網絡空間的出現突破了現實空間的距離限制，個人與網絡之間的符號信息的傳遞交互，可以迅速地突破現實空間的權利表達。(8)Purtova Nadezhda, Property rights in personal data: Learning from the American discourse, 25 Computer Law and Security Review, 2009， pp.6-9.概言之，網絡空間的發展為個人數據的發展提供了載體和邊界。

可見，個人數據的保護是科技進步推動的結果，現有的科技能夠便捷快速地記錄特定主體所產生的數據，并且能夠通過云計算等手段合理地分析所積累的數據。個人數據的人格屬性和財產屬性的逐步凸顯，需要法律予以保護。(9)Lior Jacob Strahilevitz, A Social Networks Theory of Privacy, University of Chicago Law Review, 2005, pp.72,919,921.個人數據的私法保護并不是保護個人數據的本身，而是希望通過法律規則的建構保護數據所反映的個人信息，進而強化保護個人數據所指向的特定主體的人身和財產安全。

(三)個人數據的私法屬性

1.對于個人數據的私法屬性的界定將有利于規則的制定及路徑的選擇

對于個人數據的法律屬性，學界眾說風云，莫衷一是。有學者認為個人數據屬于人格權保護的對象，應該通過人格權立法對個人數據進行保護。(10)丁曉東《什么是數據權利?》，《華東政法大學學報》2018年第4期，第39-53頁。還有學者將個人數據與隱私權連接，并且認為應該從隱私權的角度予以保護。(11)王利明《論個人信息權的法律保護》，《現代法學》2013年第4期，第62-72頁。更有學者認為個人數據是財產權，并且認為可以通過保護財產權達到保護個人數據的目的。(12)Pamela Samuelson， Privacy as intellectual property, Stanford law review, 2000， p.52.但是，將個人數據簡單的確定為人格權，則忽視了個人數據的財產屬性;同樣，若將個人數據認為是財產權，也是對人格屬性的忽視。因此，筆者認為將個人數據歸入新興權利的載體，既注重保護其人格屬性，也保護其財產價值。

2.個人數據的人格屬性是私法保護的重要內容，主要通過隱私權的保護予以實現

隱私權作為傳統民法人格上重要的權利內容，早已被各國法律所認可并且接受。按照現有的法律規范體系，數據中所包括的自然人姓名、家庭住址、身份證號碼、銀行卡賬號等，都是能夠識別出特定主體的身份信息和活動軌跡。從數據識別的強弱角度看，有些數據能夠直接識別出自然人的身份和活動的軌跡，如身份證號碼；而有的數據則無法識別出上述信息，如姓名；而有的數據則是通過多數的數據塊組合識別出特定的信息，如姓名與電話號碼的組合即可。個人數據的人格屬性的保護是為了實現特定主體的生活安寧與私密性。盡管個人數據的人格屬性與個人的隱私權存在一定的相似性，但二者的權利內容卻存在交錯與競合。從概念看，隱私信息僅僅是數據人格屬性的一部分。從邏輯上看，對于隱私權信息的侵犯必然會侵害個人數據的人格尊嚴和自由。(13)王利明《隱私權的新發展》，《人大法學評論》2009年第1期，第3-27頁。而對個人數據人格權的侵害，并不一定就會侵害自然人的隱私。

3.個人數據的利用能夠更加充分的發揮財產價值

個人數據的財產價值是對人格屬性的補充，促進了數據自由流動和交易。(14)勞倫斯·萊斯格《代碼2.0：網絡空間中的法律》，李旭譯，清華大學出版社2009年,第20頁。數據控制者可以通過分析特定主體所產生的數據，挖掘出數據背后所蘊藏的財產價值。數據財產權并不等同于數據所有權，并且無法確定數據的具體歸屬。個人數據作為新興權利的客體，基本的內容包括數據采集權、數據可攜帶權、數據使用權、數據收益權等。(15)Jerry Kang, Information Privacy in Cyberspace Transactions, 50 Stan. L. R. 1998, p.1193.個人數據的財產價值從采集開始，并且經過數據的攜帶、使用，最后的結果是數據控制者因數據獲得收益。對個人數據財產價值的私法保護，也是在采集、攜帶、使用和收益的環節予以具體規范，以達到保護的目的。個人數據的財產價值保護是手段，其最終的目的是維持數據資源的合理高效利用。

綜上，個人數據在私法的范疇內是兼具人格屬性和財產價值的新型權利，不僅享有排除他人對其個人數據侵害的權利，而且還能享有因個人數據合理使用所產生的利益。個人數據作為新型的權利的載體，通過合理的私法規則的構建達到權利保護的目的。(16)李延舜《個人信息權保護的法經濟學分析及限制》，《法學論壇》2015年第3期，第43-53頁。概言之，個人數據的保護應該采取人格權和財產權雙重保護的模式予以保護。

二 個人數據私法保護的規則展開

個人數據作為新型的權利載體，在權利圖譜里面包含數據人格屬性和財產價值，并以個人為中心所確認的私法權利。個人數據的人格屬性是被識別出特定主體的身份信息和活動軌跡。個人數據的財產價值則是數據經利用所帶來的經濟利益。個人數據的保護是隨著社會的發展和進步逐步被社會大眾所接受，并且最終通過法律的形式予以最終確認。

(一)個人數據私法保護的起點

個人數據保護規則的基礎在于確認數據的民事權益，并受到私法保護。個人數據的私法保護，實質上是在保護個人數據的人格屬性和財產價值。從邏輯上看，個人數據的私法保護，并不是禁止數據使用，而是為數據的合理使用劃定相應的法律邊界和范疇。

1.個人數據保護的前提是確認數據是一種權益

私法保護規則的建構前提是數據能夠被控制者或者提供者使用，并且具有人格屬性或者財產屬性。在傳統的私法保護體系，法律所發揮的都是規范物使用流通功能。數據的使用則是鼓勵數據占有者合理使用數據，最大程度地發揮數據的財產價值。個人數據的保護，對內的表現就是排他性的獨占，對外則是享有合理使用數據所產生的財產收益。(17)李愛君《數據權利屬性與法律特征》，《東方法學》2018年第3期，第64-74頁。個人數據的控制具體表現為特定主體對數據的排他使用，防止受到其他人的侵犯。個人數據的管理則是數據經管理之后將會發揮其更大的財產價值。個人數據被確認為財產權的載體之后，得以在市場上自由流通，并且通過構建合適的私法規則予以保護，最后達到數據財產價值的目的。

2.個人數據保護的目的在于保障數據的合理使用，以實現數據的最大財產價值

個人數據的財產價值是在合理流動的過程中實現的。(18)王衛國《現代財產法的理論建構》，《中國社會科學》2012年第1期，第140-162頁。能夠識別自然人身份或者活動軌跡的個人數據，在市場上的流通是受到限制的。個人數據的合理流通包括鼓勵數據自由流動和反對數據被壟斷。個人數據的自由流動是維系數據合理流通并且合理使用的基礎，而反對數據的壟斷則是破除數據的掌握者利用技術優勢有意限制數據的合理流動。個人數據的合理流動，不僅能夠保證數據的共享，提高其應有的商業價值，而且為個人數據的私法保護提供契機。因為，如果個人數據無法合理流通，也就沒有確認其個人數據的財產價值的必要性。個人數據的合理流通保證了其作為財產價值，并且有利于消除數據的鴻溝，建立良好的私法保護規則。概言之，個人數據的保護是以數據的合理使用為目的，并且通過數據的合理流通保障其財產價值的實現。

3.個人數據私法保護的結果在于保障數據流動的安全性

個人數據在流動的過程中出現泄漏、遺失或者損壞，都將對數據指向主體的個人人身安全和財產安全造成極大的危害。(19)李媛粒《網絡數據安全與公民個人信息保護的刑法完善》，《中國政法大學學報》2015年第4期，第64-78頁。從形態上看，應該包括個人數據存儲安全和傳輸安全。從內容看，其應該包括個人數據沒有丟失、損害或者被篡改。從數據的載體看，還包括記載個人數據的硬件和軟件的安全。(20)Fouad Khelifi, On the security of a stream cipher in reversible data hiding schemes operating in the encrypted domain, Signal Processing, 2018， pp.331-345.從靜態上看，個人數據在存儲環節，應該不被任意訪問、拷貝或者篡改利用。從動態上看，個人數據在傳輸的過程中應該不被遺失、偏差或者缺損。個人數據的安全最終將被反映到數據的安全使用上，使用者使用個人數據的過程中不會對他人的財產和人身安全造成威脅。概言之，個人數據保護的最終結果表現為數據安全使用，并且保障數據的安全流動。

(二)個人數據私法保護的規則范式

私法對于個人數據的私法保護的基本范式是財產規則和責任規則。財產規則和責任規則是以科斯定理為理論基點衍生出來的，并且成為經濟學對權利保護的重要規則。(21)Calabresi Guido&A．Douglas Melamed, Property Rules，a Liability Rules，and Inalienability：One View of the Cathedral, 85 Harvard Law Review， 1972， pp.1089-1128.從個人數據規范的前端看，個人數據保護的規則是規定具體的財產內容，而后端是違反財產規則或者侵犯財產內容所帶來的責任后果。(22)楊濤《論知識產權法中停止侵害救濟方式的適用——以財產規則與責任規則為分析視角》，《法商研究》2018年第1期，第182-192頁。財產規則和責任規則拉鋸的科斯平衡，決定了對個人數據私法保護的規則范式。

1.個人數據的保護需遵循基本的財產規則

在未經財產權利人授權許可的情況下，任何第三人不得侵犯權利人的財產。事前許可作為成本最低的管制工具，是對數據保護最小的影響限度。私法保護的措施僅僅是對圓滿狀態的恢復或者是對違約責任的懲戒，在財產自由限度內予以規制。按照《網絡安全法》第四十一條的規定，法律允許權利人自愿提供數據以實現自愿的合理配置。該原則要求數據的流動應該是按照公平自愿的方式進行的。然而，數據的采集者會憑借自身的技術優勢突破對數據提供者的同意，非法獲取個人的數據，從而侵害數據提供人的權利。對于此種侵害數據的法律責任的承擔，政府部門會要求其承擔行政責任或者刑事責任，但是民事責任的承擔則處于缺位狀態。財產規則中所推崇的發揮物的最大財產價值，可以將個人數據作為財產的客體來構建私法保護的規則。概言之，以財產為中心所構建的財產規則，更加有利于權利人對個人數據的控制和流通，進而保護數據流通的公平效率。

2.個人數據保護規則的構建也應該遵循私法責任體系

責任規則是對財產規則的補充，當違反財產規則體系時，需要第三方介入進行外部干預，以保障財產規則的順利運行。(23)漢斯-貝恩德·舍費爾、克勞斯·奧特《民法的經濟分析》，江清云、杜濤譯，法律出版社2009年，第598頁。責任規則是對財產規則的救濟，以保障數據作為財產的流通效率。當個人數據在流通或者使用時受到損害，在責任規則體系下就需要承擔侵權責任。責任規則的核心就在于通過事后的救濟方式對相關權利人的受損利益進行補償。私法保護的責任規則主要有物權責任和債權責任，物權責任主要是通過事后救濟的方式恢復物的圓滿狀態，而債權責任體系則保障債權的順利履行。無論是物權責任還債權責任，在個人數據保護的責任體系的構建中都需要予以確認。概言之，責任規則為個人數據的保護提供了事后救濟的方式。

3.個人數據的私法保護應該兼顧財產規則與責任規則

個人數據的保護，在私法層面的救濟主要是通過賠償金。在責任規則的體系下，其應該是確立侵權人對被侵權人給付賠償金。(24)徐明《大數據時代的隱私危機及其侵權法應對》，《中國法學》2017年第1期，第130-149頁。衡量私法對于個人數據的預防水平取決于法律所給付的賠償金額度。而對于賠償金給付額度的確定則在于財產規則的使用，即認定侵權人對個人數據侵害所造成的損害結果。財產規則可以認定數據損害結果，通過法律規則的認定區分補償性賠償金和懲罰性賠償金。(25)曾世雄《損害賠償法原理》，中國政法大學出版社2001年，第129頁。補償性賠償金的目的在于填補受害人損失，而懲罰性賠償金的目的在于懲治侵權人的惡意侵權行為。在個人數據的財產規則與責任規則互動的過程中，嚴格的責任規則無疑會損害個人數據財產權的實現；反之，則會影響個人數據的保護。概言之，個人數據的保護應該尋求財產規則與責任規則的協調。

三 個人數據私法融合保護的模式構建

現有對個人數據的保護多是保護個人數據的人格屬性，而忽視對財產利益的保護。個人數據對于特定的主體或者數據收集者是具有財產利益的。(26)劉德良《個人信息的財產權保護》，《法學研究》2007年第3期，第80-91頁。盡管有些學者并不認可個人數據的人格屬性和財產價值的區分(27)齊愛民、李儀《論利益平衡視野下的個人信息權制度》，《法學評論》2011年第3期,第37-44頁。，但在個人數據的私法保護中，應該兼顧保護個人數據的人格屬性和財產價值。在私法上，應該尋求構建數據融合的保護模式。

(一)個人數據靜態授權私法保護

1.個人數據的靜態授權保護體現了特定主體的自主控制權

個人數據自主控制是信息主體對其特有的信息擁有支配和決定的權利。(28)王成《個人信息民法保護的模式選擇》，《中國社會科學》2019年第6期，第124-146頁。個人數據的靜態授權保護在外觀上是取得特定主體的許可，在實質上是特定主體對個人數據合理使用的自我處置。

2.個人數據的靜態授權是對數據由社會控制的反駁

現在有學者認為，人們基于社會交往以及其他的需要，需要將個人的數據分享在網絡或者特定全體之間，從而使數據控制模式由個人控制轉向社會控制。(29)高富平《個人信息保護：從個人控制到社會控制》，《法學研究》2018年第3期，第84-101頁。然而，這一觀點有進一步商榷的空間。筆者認為，一方面，特定主體將自己特有的數據在一定的范圍內進行交換或者分享，具有特定的目的。如，特定主體將個人數據在人際交往中進行共享，正是該主體對數據的自我控制和處置，該目的僅僅是用于社交。而得到該數據的主體，也應該遵循該特定的目的使用該信息，并沒有授權其超出該目的范圍內去使用數據。另一方面，盡管特定主體沒有辦法時時控制個人數據，但并不代表其他主體可以隨意支配他人的數據。按照私法最為基本的誠實信用及公序良俗的要求，未經特定主體的許可或者授權，其他主體不當使用他人數據無疑將對他人人格利益或者財產權益造成影響。概言之，個人數據的靜態授權是個人對數據自我控制的具體體現。

3.個人數據的靜態授權是數據利用的核心和基礎

個人數據的靜態授權在外觀上可以通過“通知—同意”的模式予以實現。通知保證了特定主體的知情權。特定主體的知情是自主控制的具體表現，也是數據的撤回權、被遺忘權、攜帶權等其他權能的具體衍生。個人數據的知情權在現有的保護范式是逐步加強的。(30)葉名怡《論個人信息權的基本范疇》，《清華法學》2018年第5期，第143-158頁。此外，特定主體的同意則是意思表示的結果。意思表示是特定主體將內心的意思通過行為表達于外的過程。特定主體自我控制的直觀表現就是“同意”或者“不同意”。經過“通知—同意”的過程，不僅實現了特定主體對個人數據的自我控制，也保證了利用者可以合理地使用數據。不僅如此，經過個人靜態授權后，不僅不會對特定主體的人格利益造成損害，而且還會因數據的合理利用產生經濟價值。概言之，個人數據的靜態授權是數據合理使用的邏輯起點。

4.個人數據的靜態授權是私法保護的重要路徑

個人授權的本意是特定主體授權給第三方商業主體搜集或者使用數據。經特定主體授權之后，第三方可以在授權的范圍內合理搜集或者使用個人數據。一方面，特定主體的授權的邊界應予以明確界定。實踐中，特定主體在未經特定主體明確授權就搜集數據。在智能手機或者設備終端安裝軟件時，軟件運營商或者開發者在技術上并沒有告知軟件安裝者其需要收集其個人信息。另一方面，特定主體應該盡量減少概括性授權。由于概括性授權條款的模糊性，對于保護個人數據是不利的。(31)Daniel J. Solove&Paul Schwartz, Information privacy law, New York: Wolters Kluwer， 2009, p.2.此外，由于軟件開發商或者運營者隱藏或者將相關條款描述得過于模糊，致使特定主體在并未完全理解或者了解相關條款的含義下，就做出了形式上授權的意思表示。從概括性條款授權的產生看，特定主體往往是在并不完全知悉特定條款含義時進行的授權。(32)林洹民《個人信息保護中知情同意原則的困境與出路》，《北京航空航天大學學報》2018年第3期，第13-21頁。第三方可以利用概括性授權條款無限擴大使用特定主體的數據。第三方依概括性授權條款使用特定數據的權利源就缺少合理的邊界。當權力失去了束縛的邊界將誘發道德風險并對第三人的合法權利產生侵害。第三方利用所搜集的信息，將有可能對個人的人身和財產安全造成極大的威脅。

個人數據的靜態授權保護應該分為兩個階段：第一階段是特定主體提供個人數據；第二階段則是企業搜集特定主體的數據后加工、處理以及利用的過程。事前授權給第三方搜集特定主體的數據提供了進路和依據，實現了數據的靜態保護。(33)Richard C. Turkington&Anita L. Allen, Privacy Law: Cases and Materials, Minnesota: West Group， 2002, pp.648-649.同時，特定主體的明確授權不僅表現為個人對其所產生的數據有獨占的權利，而且在未明確授權搜集之前，第三方是不允許對特定主體的數據進行搜集。(34)賀栩栩《比較法上的個人數據信息自決權》，《比較法研究》2013年第2期，第61-76頁。明確授權也是特定主體對其所產生數據的管理體現，特定主體借助APP等軟件可以對自己的數據進行分析、監測。特定主體將數據所蘊含的財產價值讓渡給商業主體，實現對于個人數據的處分。個人數據的靜態保護主要體現為私法對于外界的消極防御，對于個人數據的權能的支配是非常有限的。(35)王澤鑒《人格權法》，北京大學出版社2013年，第277頁。明確授權在一定程度上阻卻了第三方對特定主體的人格尊嚴的損害，并且能夠充分挖掘財產價值。(36)郭明龍《論個人信息之商品化》，《法學論壇》2012年第6期，第108-114頁。簡而言之，個人數據的明確授權是數據合理使用的基礎。

綜上所述，個人數據的靜態授權保護是特定主體信息自我控制的具體體現，是特定主體的意思表示的做出過程，目的在于保護特定主體在個人信息上自主決定的權利，從而有效地構建私法上的個人數據保護的規則。個人數據的靜態授權也是特定主體意思表示的結果，與現有的民事法律制度可以緊密地融合，可以從民法的基礎理論上予以有效的解釋。

(二)個人數據動態流通私法保護

個人數據的私法保護正從單一的靜態保護模式逐步走向與動態保護相融合的狀態。從個人數據的行為范式上看，個人數據可以區分為獲取持有、流通應用兩個不同的階段。其中，數據的獲取持有可以通過特定主體的授權予以保護，而在流通應用上則需要通過動態的法律予以保護。歐盟《關于個人信息處理保護及個人信息自由傳輸的條例》核心在于保護個人數據的人格屬性的同時，也允許個人數據通過合同的方式轉讓、利用，以提高個人數據的財產價值。(37)Jack M. Balkin, Information Fiduciaries and the First Amendment, 49 U.C. Davis L. Rev. 2016， p.1183.個人數據的收益是在個人數據的合理流通的過程中實現的。總之，對于個人數據流通的動態保護，主要關注其在動態流通環節中可能存在的風險。

1.個人數據的動態流通可以通過合同的形式予以實現

我國《民法總則》第一百一十一條規定對個人信息動態流通的保護表述為：“不得非法收集、使用、加工、傳輸，不得非法買賣、提供或者公開。”這里所強調的“非法”，解釋上可以理解為“不得違反法律或者法規的規定”和“不得違反合同的約定”。從技術上看，個人信息經過脫敏技術處理之后，將形成個人數據。脫敏后的個人數據流轉并不“違反法律或者法規的規定”。不僅如此，脫敏后的個人數據是可以通過動態流通的方式實現經濟價值。個人數據的動態流通具體表現形式可以是共享、開放以及交易。其中，個人數據的共享和開放屬于行政法所規制的范疇，而個人數據交易則屬于私法保護的范圍。實踐中，經過脫敏的個人數據是可以作為合同的形式予以實現。總之，個人數據的動態流通可以通過合同的形式予以實現。

2.個人數據交易所形成的合同是請求權產生的基礎

有學者認為數據交易的合同屬于買賣合同(38)徐美《再談個人信息保護路徑》，《中國政法大學學報》2018年第5期，第82-95頁。，也有學者認為應該屬承攬合同。(39)王秀秀《個人數據保護立法的經濟分析與路徑選擇》，《上海師范大學學報》2017年第3期，第48-56頁。但筆者認為，個人數據交易的合同顯然并不是傳統意義上的買賣合同。買賣合同的認定需要標的物實現物權的轉移，但是個人數據的交易合同轉移的僅僅是數據的使用權，而不是數據的所有權。此外，個人數據交易合同也不是承攬合同。承攬合同的承攬人需要按照定做人的要求完成一定的成果。而數據交易合同中，個人數據的受讓方并不需要按照出讓方的要求完成特定的承攬成果。因此，個人數據交易合同在性質上既不是買賣合同，也不是承攬合同。個人數據交易合同屬于無名合同，可以參照最為類似的買賣合同的條文進行適用。然而，個人數據交易合同的性質并不會影響合同當事人雙方權利義務的產生，也是雙方請求權產生的基礎。

3.個人數據動態流通的風險在于危及數據安全的因素發生

危及數據安全的發生可以在流通過程中遭到破壞、竊取或者擅自訪問，導致數據的完整性遭到破壞。(40)李中原《論違反安全保障義務的補充責任制度》，《中外法學》2014年第3期，第676-693頁。我國《民法總則》第一百一十一條也要求取得個人數據的主體要確保數據安全。“確保數據安全”是法律要求行為人所恪守的安全保障義務，適用于個人數據流通的整個環節。個人數據的安全保障義務要求在數據交易過程中，采取必要的防范措施，以防止個人數據的泄露。數據泄露并不會直接導致對于特定主體人身或者財產的損害，但是個人數據被惡意使用之后將造成二次損害。(41)徐明《大數據時代的隱私危機及其侵權法應對》，《中國法學》2017年第1期，第130-149頁。從侵權的責任認定上看，需要有損害結果才能要求相關主體承擔責任。在現有的司法實踐中，對于因個人數據泄露而造成的損害賠償由于舉證存在一定的困難，也就很難在私法上得到有效的保護。因此，對于個人數據在流動過程中的侵害，就不拘泥于實際損失的要件，而應該有所緩和。

4.個人數據的動態流通的風險將產生違約責任與侵權責任的競合

從違約責任的角度看，個人數據在動態流通過程中產生泄露或者其他危及數據安全的因素，就是對合同條款的違反，這就必然產生違約責任。從侵權責任的角度看，數據獲取人未盡信息安全保障義務所導致的侵權行為，應該承擔侵權責任。違約責任與侵權責任歸責的共同基礎都在于行為人沒有合理的履行安全保障義務，存在客觀的過錯。不論是違約責任還是侵權責任，行為人存在可歸責的民法基礎，就可以要求其承擔相應的責任。個人數據動態流通所產生的風險行為，是同一行為產生的責任競合。受害人可以選擇違約責任或者侵權責任中的一種，要求行為人予以承擔。從責任承擔的范圍看，違約責任的受害人僅僅可以要求行為人承擔因違約行為所約定的違約金，而侵權行為則可以要求行為人承擔相應的損害填補責任。概言之，受害人可以在個人數據動態流通的責任中擇一選擇違約責任或者侵權責任要求行為人承擔。

5.個人數據動態流通的責任承擔不僅體現了財產規則，而且是責任規則的具體詮釋

從財產規則的角度看，正是承認個人數據所具有的財產價值，才能要求行為主體承擔相應的責任。無論是違約責任還是侵權責任，都是對行為人過錯的事后懲戒，并不會影響個人數據的動態流通。行為人若按照法律規定或者合同約定，不僅能夠更好地激發個人數據的財產價值，而且也能更好地保護個人數據。此外，個人數據動態的動態保護可以有效地對個人數據(敏感數據和非敏感數據)進行有效的區分。從邏輯上看，只有敏感數據會對特定個人的生活安寧產生影響，才需要采取特定的規則予以保護，并且要求行為人承擔相應的不利后果；而對于非敏感數據，則并不需要苛以不利的法律后果。

總之，個人數據的動態保護是通過事后的責任機制對行為人的過錯進行懲戒。懲戒制度的建立是通過事后責任承擔的方式糾正事前行為的失當，以達到保護個人數據的目的。個人數據的動態保護有效地彌補了靜態數據保護的不足，共同形成了個人數據保護的立體網絡。

四 結語

個人數據的私法保護不僅要保護數據的人格屬性，而且還要保護其財產價值。互聯網時代背景下對個人數據的保護已經不斷被強化，特別是數據的財產價值已經日益凸顯出巨大的經濟價值。互聯網時代下有眾多個體所匯集起來的數據財產權利的整合利用已經不斷地被商業機構所運用。個人數據的私法保護不僅要保護數據來源本身，而還要保護數據的應用價值。

個人數據的保護被私法所接納，首先就是要確認個人數據的客體地位，即個人數據作為無形的物具有人身屬性和財產價值，適合作為私法保護的對象。其次，應該對個人數據的具體權能予以確認，并通過這些權能的認可，達到保護個人數據的目的。最后，個人數據的人格屬性和財產價值在私法保護中都應該予以體現。至于個人數據中所蘊含的人格屬性，是否能夠上升為如同肖像權、姓名權等具體的人格權利，這需要立法者通過法益的衡量判斷，做出具體的立法抉擇。個人數據中的財產價值，可以通過對數據的具體運用得以顯現，私法的責任體系保護中對此等權利應予以保護。

個人數據的合理流動對于國家治理和公司運營都有很大的價值，一方面需要保護個人對數據的權利，另一方面也需要促進個人數據的正常流動。過分的保護個人對于數據的權利，則將阻礙數據的正常流動；相反，過分的促進個人數據的流動，則會侵犯個人對于數據的權益。概言之，協調好個人數據保護與合理利用的關系是私法保護的核心。