從人格權辨析角度探究企業數據的權利歸屬

馬牧青

(西南政法大學 人工智能法學院，重慶 401120)

一、引言

隨著產業創新發展的驅動，全球科技產業的發展，世界已逐步進入第四次工業革命，人工智能時代已然到來。世界各國在2017年前后陸續發布人工智能戰略布局的發展規劃，中國也在2017年發布了《新一代人工智能發展規劃》《促進新一代人工智能產業發展三年行動計劃(2018—2020)》，爭做人工智能時代的領先國家。然而建設人工智能這一通過計算機“像人一樣”完成任務，以其更高效的運行、更高質量的產出作為刺激生產的支柱的科學技術，則是由大數據為其提供環境基礎進行深度學習的。因此，數據是我國打造人工智能時代世界強國的重中之重。前幾年我國的互聯網企業順勢而為，發展迅速，但與用戶簽訂的隱私協議因格式條款、信息不對稱等因素，導致近年來用戶的個人信息安全得不到保障，隱私侵權糾紛頻發。面對這一現狀，在法律層面，就要配套相應技術出臺促進人工智能發展、數據利用與個人信息保護的系列制度，以平衡商業利用與人格保護之利益沖突，化解數據利用中對用戶個人信息的過度收集和利用。然而在平衡的過程中，人格權的重要性固然不言自明，但在立法規制中卻不排除矯枉過正的現象，造成立法司法過度偏向個人信息保護，導致互聯網企業發展所需要的數據“石油”所承載的具有商業價值的個人信息“可望而不可及”，造成企業運營成本過高，收集的個人信息依舊“覆水難收”，無法實現立法初衷。究其原因還是立法角度出現了偏差，個人信息保護的制度落實有改進空間。為此，筆者反客為主，以人格權的角度進行辨析，梳理出個人信息的財產屬性，為關涉個人信息的企業數據權屬配置提供合理化建議，在保護個人信息的同時，為互聯網企業數據利用建言獻策。

二、數據利用與個人信息保護的沖突現狀

當前之所以難以界定企業數據的權利歸屬主要在于數據之上的個人信息是否具有財產屬性從而可被商業利用存在爭議。為此筆者將從理論到立法最終到司法三個層面對個人信息相關的財產屬性的沖突現狀加以梳理，為下一步理論研究進行鋪墊。

(一)法學理論層面的沖突

個人信息與隱私有交叉，均隸屬于人格權。現理論界仍有相當一部分學者堅持人格權不具有財產利益，否則將違背人格權高于財產權的憲法價值，本質上將重回奴隸制。這一派學者的內在邏輯是將人格權理解為人與人格在法律上連接起來的權利，而人格這一概念在學界又呈現百家爭鳴的局面。本是哲學用語的“人格”在德國古典哲學的洗禮下，被法學家們通過引入“權利能力”而賦予了規范現實生活的法學內涵，自此就意味著法學語境下的“人格”有著不同于哲學語境下的新的含義。然而當前學界從“人格”到“人格權”跨越的主流觀點尚有不足，將人格權定義為“保障一個主體能夠支配自己人格和必要組成部分的權利”[1]，包括生命、身體完整、自由、名譽、社會地位、姓名和區別性的標志以及作者和發明者的權利等[2]。主流觀點認為人格權中雖有“少部分權利”具有財產性內容，但并不意味著從整體上看，人格權既有精神性價值，又有財產性價值。而隱私作為自然人私人生活安寧和不愿為他人知曉的私密信息則因信息所有人的不愿公開而更具人身屬性，將其視為有財產性質的物似乎有違倫理。涉及個人身份的信息，往往會因公開后侵擾他人生活安寧而被視為隱私，理應不具有財產性，然而卻不可否認財產狀況等有關個人身份的信息作為個人信息所具備的物質屬性。可以看出，當前理論界對于人格權的界定，較之于外延的內涵，以及人格權內部隱私與個人信息的區分都顯得異常混亂，在此種情況下，對于企業數據的定性只能在計算機領域徘徊，倒逼法學學者熟練掌握工科知識，最后的出路只能落腳在數據對特定自然人的“可識別性”有無。而技術手段層出不窮，加密與否、可識別性與否都是相對的，風險與變動過大，并非良策。作為法學學科，真正要做的是梳理與企業數據這一新現象相關的法學概念，數據作為無體物，仍屬于物的范疇，法律具有預見性和穩定性，在現有法律制度可以進行定性與規制的前提下，找出法律上與之匹配的制度進行充分的說理與應用才更符合法律思維。

(二)法律規范層面的沖突

為了邏輯的自洽，理論也許可以不顧及生活事實而自娛自樂，調整現實生活的法律規范卻必須直面生活[3]2。我國民法的總—分模式師承德國民法，這種編纂技術通過提取公因式而形成封閉的邏輯體系，民法總則就是在各編分則的不同法律關系基礎之上提煉出的一般性規則，而法律人格這種自然人和法人統一享有的內容也是分則法律關系主體的概括。《民法典》第111條規定：“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”其中“不得非法收集”就表明了倘若經信息主體行使意思表示，“同意”合法收集，則這一行為對于個人信息所有權人以外的第三人而言即為正當。在自2021年11月1日起施行的《個人信息保護法》中，有關個人信息處理者對個人信息的處理規則又因個人信息的敏感程度而分為一般規定和敏感個人信息的處理規則。前者以“公開即可利用”為主，輔之以“撤回同意”及“明確拒絕”保護個人信息所有者；后者以“不授權不可用”為前提，以“目的具有‘充分必要性’且獲取‘特別同意’”為例外。無論哪種情形，都可以明確個人信息對于個人信息處理者的可利用性，而個人信息處理者是指自主決定處理目的、處理方式等個人信息處理事項的組織、個人，這就意味著自主決定處理的目的中不排除以此營利的可能，這是否就間接承認了個人信息的財產價值？

(三)司法實踐層面的沖突

在司法實踐中，法院對隱私與個人信息的認定通常基于“是否具有大眾意義上私密性”為由對案情進行審查。不同于一經泄露即導致人格利益受損的隱私，個人信息被認為更中性，又因為其會被主動使用或被所有人積極利用于社會交往或身份識別，似乎就減少了被保護的必要性，減損其被保護的正當性。司法實踐中，法院通常認為“沒有造成不合理損害，利用行為即不必經得同意”或“一定情況下容許他人合理、正當地利用”。

在法律保護中，又因為涉案主體的類型不同而主要劃分為兩類：經營者和非經營者。司法實踐中，若涉案主體均為經營者，案情符合1.法律對該種競爭行為未作出特別規定；2.其他經營者的合法權益確因該競爭行為而受到了實際損害；3.該種競爭行為因確屬違反誠實信用原則和公認的商業道德而具有不正當性或者可責性，法院通常援引《反不正當競爭法》第2條進行裁判。當有一方主體為非經營者，即并非競爭糾紛的當事人時，對于特定自然人的個人信息或隱私之侵害多以侵權責任為由進行法律保護。

三、人格權的內涵及其理論基礎

通過梳理可以發現，當前我國無論是理論界還是實務界面對個人信息被企業利用的主流態度均為強調個人信息及隱私保護，理由主要為個人信息與隱私蘊含著個人的尊嚴價值與生活安寧，在這兩點無法得到保障的前提下追求企業收益是有違倫理道德的。然而個人信息與隱私作為人格權的客體，真的只具有身份價值嗎？筆者就此將視野回溯到人格權的發跡本身，從源頭探究人格權究竟為何物，從而找出人格權權利“客體”的內容與屬性，進而為下一步個人信息的電子載體—數據之權屬探究進行鋪墊。

(一)民法上人格的理論基礎

在公元前七世紀前后，隨著一種新興生產方式——私有制的出現，奴隸主與平民這組對立的階級之間的矛盾也因利益分配不平衡而不斷升級，在這一背景下促發形成的羅馬法為調和羅馬公民內部沖突而一步步完善，而“人格”這一與“人”相分離的概念也在此期間誕生。羅馬法上的人格，當時稱為persona，即羅馬市民法上的主體，實質是家長、市民、自由人三種社會身份，可概括為“身份人格”。梅因爵士對此有著一針見血的評價：“‘羅馬法典’只是把羅馬人的現存習慣表述于文字中。”[4]只是對奴隸制社會下的社會現實照搬到法律上而不加以任何調試，終將隨著經濟貿易的發展，而落后于更新的社會現實。轟轟烈烈的文藝復興席卷整個歐洲，笛卡爾受此洗禮在人類歷史上第一次提出了自我意識的概念，相對于作為“主體”的人，被人感知并由理性來衡量的“萬物”就成了“客體”[3]18。以此為基礎，進一步受到盧梭等啟蒙思想家以及法國大革命的深刻影響，崇尚自由、人人平等的法國民法典跳脫了反映并適應現實生活的羅馬法思路，讓每一個自然人都成為法律主體，享有法律人格。但發明了近代人格理論的法國卻沒有對如何使用進行妥當的研究，導致人格理論過于超脫社會現實。若從人格技術的角度觀察，法國民法典上的人格并沒有安排在“法定權利”這一層級上，而是嵌在“自然權利”之中[3]22。經過康德的理性批判，德國學者認識到，盡管從邏輯層面講，成為世界的主體首先要成為一個“生物人”，但讓人成為世界主體的，卻是因為生物人所具有的“自由意志”，而這“自由意志”便是“人格”[3]24。通過歷史上“人格”概念的演進，由最初羅馬法概念化的家長、市民、自由人三種身份作為人格，到中期法國民法典概念化的人人平等之公民身份作為人格，再到后期德國民法典通過“擬制”這一“人格技術”將人格概念化為“權利能力”，可以看出，人格即法律主體，分為自然人和類法人(包括法人和非法人組織)，前者基于自由意志的人格基礎，有著始于出生的權利能力，后者基于擬制的人格技術，有著國家授予的財產權利能力。

(二)人格權的內涵

前文提到笛卡爾哲學中，“我存在”是其第一原則，“我思”則造就了“我”的主體地位[5]，此時的“我”作為主體，由理性來衡量世界，大陸法系立足于主體/人格，經由權利溝通“主體—客體”的法律關系架構也源出于此[3]18。因此也可以看出，人格權并非是人格與權利的簡單疊加，“人格”解決的是“人何以為人”的問題，而“權利”是“主體—客體”認知模式的產物，可以得出結論，權利乃人與外部事物法律上的連接[6]。而人格內在于人，不可能成為外在于人的客體，因此我們所討論的“人格權”并非是一個權利客體為“人格”的權利。原因有二，其一，人格無法外在于人，主體與客體內容均內在于人，即均為法律上的主體，將會與權利的構成相沖突，甚至導致“自殺權”這一“對自身原始權利”支配的成立[7]；其二，人格倘若成為權利客體，就理應可以被當作工具、手段，這將從根本上違背“人不能當作單純的手段”這一倫理誡命[3]51。可見從“人格”到“人格權”的跨越是一個艱難而漫長的過程。理論界出現過幾種論證“人格權”的學說也都有自己明顯的不足。當前的通說觀點“人格利益說”為迎合權利構成，將人格權的權利客體解釋為非主體要素的“人格利益”，既能與傳統的“主體—客體”權利結構保持一致，又能回應現實生活的需要而承認“人格權”的存在[3]62，但正如物權的客體是“物”，而非“物上利益”[8]，這一解釋有明顯“目的法學”的影子；“法律技術說”認識到了“人之本體保護”模式的捉襟見肘[3]64，但該學說從“人格”到“人格權”的跨越并未“刺破權利本質的面紗”，陷入了“人格的法律賦予論”的囚籠。在對現有主流觀點進行反思過后，還是要回溯到概念的源頭，即創設目的，來探究人格權的本質內涵。人格權應當囊括關于個體人格必要的組成部分，通過這種權利，人能夠獨自、合法地管理自我，并以此來反抗他人的一定的合法入侵[3]61。因此，該人格權的權利客體應當是與主體身份息息相關但又并非內在于主體的要素。反觀當前人格權客體，會發現其中的生命、身體、健康均無法與主體相分離，加上《民法典》第990條第2款“自然人享有基于人身自由、人格尊嚴產生的其他人格權益”均內化于自然人，是主體的一部分，而剩余的姓名、名譽、肖像等則并非自然人這一抽象概念與生俱來的，無法內化于自然人。因此在民法人格權的構造上我們可以進行類型化的嘗試[3]70，通過將雜糅于人格權客體的真正屬于自然人本體之上的內容剝離，剩余的部分才應當成為真正的人格權客體。

(三)人格權的雙重屬性

通過對人格權內涵及其價值的辨析，認識到人格權上不僅僅有尊嚴價值和生活安寧，其本質仍為人的內在屬性之外的社會屬性，有社會公共性這一面。當前《民法典》人格權編中關于生命權、身體權、健康權等的敘述實則是在“權利至上”的今天將“生命”“身體”“健康”“自由”這四項人的內在屬性之最高利益以法律技術手段降級為“權利”，以迎合“權利保護至上”的現狀。這是憲法上“人之本體保護”模式不充分以及理論界對人格權、權利結構認識不足共同導致的結果。綜上，自然人所具備的要素中能被權利化而稱為人格權的，只能是具有社會屬性的姓名、名譽、肖像、隱私、信用等這些非內在于主體，系主體在社會生活中漸次獲得的，他人不僅可以消極妨害，亦可積極利用的，同時主體本身亦可積極支配這些屬性而獲經濟利益的內容[3]72。基于此，就可以明確個人信息等人格權的客體并非主體意義上的“人格”，而是具有身份利益與財產利益的共生體。

四、個人信息與企業數據的關系

厘清了人格權的內涵與屬性，從屬于人格權的個人信息與隱私也因此而具有雙重屬性。代碼程序運行的互聯網世界作為部分現實世界的鏡像，與現實世界中最常見的數字、文字、符號等信息在代碼框中一一對應，代碼框中表示現實世界信息的內容就叫做數據。因此可以看出，數據就是信息在電子世界的表達，而承載個人信息與隱私的數據即為個人數據。為了探究個人數據在互聯網企業運作中的權利歸屬，就要將其一分為二，首先明晰個人數據上承載之內容在現實世界中為何物，之間有何關系，進而探究其對應于互聯網世界中的數據為何物，通過對個人數據一體兩面性的剖析，為下一步企業對個人數據的收集和利用的行為定性，從而發現個人數據的真正權利歸屬。

(一)個人信息與隱私及其關系

《民法典》第1034條規定，“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”；第1032條規定自然人享有隱私權，“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息”。個人信息中的私密信息應當適用有關隱私權的規定。從法律條文的表述可以看出，其一，個人信息尚未上升為權利，而隱私是人格權項下的隱私權的權利客體，享受隱私權保護；其二，個人信息與隱私有交叉。個人信息中的私密信息雖然在定性上仍屬于個人信息的范疇，但在法律保護和救濟途徑上，享有同隱私權一樣的地位。這就可以看出個人信息與隱私的劃分方法其實并沒有遵循同一分類標準。

從保護客體來看，個人隱私在客觀上一般呈現為不為公眾所知悉的樣態，在主觀上權利人也具有不愿為他人知曉的意愿；個人信息指向的內容則更為廣泛、更為中性，包含能夠識別特定個體的各種信息，權利人在某些情況下可能存在主動積極使用的情形。

從保護方式來看，一般認為個人隱私一經泄露即易導致人格利益受損，故其保護方式更注重消極防御，對他人的行為限制更為嚴格；個人信息的保護方式則包括消極防御和積極利用，一定情況下容許他人合理、正當地利用，僅在信息處理者不當、過度處理等情形下才引發侵權。①

有觀點認為個人信息與隱私具有從屬關系，隱私包含于個人信息。論證理由為隱私是關于自然人身份的私密信息，而個人信息是關于自然人身份的信息，前者的限定多于后者，前者在后者的基礎上加以限定即為隱私，因此個人信息這種更為寬泛的信息實現了對隱私這種更為狹隘的信息的全覆蓋，故二者是從屬關系/包含關系。這種論證邏輯看似毫無破綻，但法律概念并不可僅滿足語義邏輯推演的自洽，概念本身存在的價值與必要性亦不可忽視。我們談及個人信息，根據樸素的法感情，只會聯想到姓名、肖像、身份證號碼等，提及隱私，則會立刻想到不愿言及的私密話題。而法律就是要將有必要的概念進行界定并加以區分實現不同程度的規制與保護。可以發現個人信息下的內容具有一個共性，即可以單獨或組合后識別自然人；而隱私的特性則是該自然人并無意愿將其公示。因此可以看出，即使個人信息與隱私的內容有所重合，但二者是不同標準下判斷的產物：個人信息的判斷標準是能否識別特定自然人；而隱私的判斷標準則是權利人(或言該特定自然人)是否愿意公開。不同維度的分類標準取決于分類目的，只有在同一維度下才有對比的必要性，個人信息與隱私是在不同標準下對人格利益的圈定，二者之間相互獨立，縱使包含的內容偶有重合，但均為不同角度上對人格權的細化，屬于交叉關系。

(二)個人信息的一體兩面之沖突發現

個人信息一體兩面的特性決定了其對于個人而言的尊嚴價值屬性，更具人格意義；對于企業來說，則更看重其資源價值屬性，這種矛盾更加凸顯了在數字經濟時代處理好個人信息保護和利用的必要性。不同于隱私具有不言自明的被保護及限制使用的必要性，個人信息既然是為了識別其所有人而出現的，必然具有可公開性，正是在這種既與個人息息相關，又可被外界尤其是互聯網企業獲取的境地下，個人信息之現有保護難以平衡，才體現了本文研究的必要性。因此，在完成人格權的財產屬性證立，個人信息與隱私概念的剝離后，下文主要圍繞個人信息這一公開后不具有可回收性與公開的必要性之沖突點進行展開。

面部信息，尤其是姓名、電話號碼是個人信息中必須經過曝光給外界才具有使用價值的信息，信息所有人對其的公開本身是處分范圍內的事物。公開后的使用結果可以分為兩類，一種是在信息所有人預期范圍內的使用，一種是在信息所有人預期范圍外的使用。前者的使用情形包括但不限于一對一的交往通信以及獲取通知，后者的出現情形多為垃圾郵件，廣告短信，來源多為營業公司，公開個人信息的目的往往是便利初次交易，但商家在該筆交易達成后會繼續使用該信息進行后續的廣告投放。這就可以梳理出當前公開個人信息對信息所有人的兩個后果，一是不可收回，二是不可控制。不可收回是指信息一旦被他人知曉，他人便不會主動刪除或遺忘；不可控制是指公開后的個人信息在后續使用過程中不受信息所有權人的意志左右。前者對應信息在外界的存廢問題，后者對應信息被外界的使用問題。個人信息無論基于何原因被公開，一經公開就進入了對方知悉領域，不同于實體物具有唯一性、完整性，個人信息這一無形物的價值不會因為公開的次數而有所減損，亦不受時間、空間的限制，因此權利人無權因信息是自己所有的而要求對方“返還”自己的個人信息，即個人信息的不可收回是絕對的。既然個人信息一旦被對方掌握，那么如何使用也理應是對方的權利。可似乎此話一出就會觸及大眾樸素的正義感，原因何在？不同于信息所有人不可收回對方已知的關于自己的信息，這是一種信息獲取的必然結果，而對于不可控制這一特性所指的對信息的使用，則并非信息獲取后的必然結果，如何使用均取決于使用人的主觀目的，這是一種自由選擇。而自由是相對的，每個人在行使自由意志的同時不能以侵犯他人對等的自由為前提，《憲法》第51條規定：“中華人民共和國公民在行使自由和權利的時候，不得損害國家的、社會的、集體的利益和其他公民的合法的自由和權利。”因此，在從事民事行為的過程中除堅持自愿原則外，還要遵守公序良俗，不得侵犯公共利益。這就要求互聯網企業在收集個人信息的過程中應當充分尊重權利人的“同意權”，不論是在初次收集，還是后續基于不同目的的使用時，只有經權利人授權收集與利用的個人信息才具有轉換為個人數據的合法性與正當性。

(三)個人數據與企業數據

現實世界中的個人信息對應到電子世界即為個人數據，個人數據既然是個人信息在電子世界中的鏡像，因此也具有個人信息的身份屬性和財產屬性，個人數據的身份屬性是指以此可識別出特定的人，財產屬性則是基于互聯網企業對其提供無償服務而進行的數據回收和轉化。對于個人而言，被代碼化的個人信息稱作個人數據；對于企業而言，收集、加工、利用的個人數據即為企業數據，看似同一物上的兩種稱謂，實則反映了不同立場下的數據歸屬。因數據兼具身份屬性與財產屬性，個人與企業之間均具有對此類數據的所有權和支配地位的部分合理性，信息所有者主張個人數據蘊含自己的個人信息，理應歸屬于自己所有；互聯網企業主張企業數據是自己前期平臺搭建，通過提供無償服務，積累用戶數量與信任，從而獲取的內容，其中糅合了太多資金、技術以及勞動投入所獲得的價值增值，原始個人數據只在其中起著非常微小的作用[10]，因此談及貢獻力大小，互聯網企業具有絕對優勢，理應按照投入與產出原則將該數據權劃歸為企業資產。兩派觀點均有一定的道理，也從中可以略窺一二，即當企業數據作為企業生產資料時，對其的支配與利用不存在爭議；而當個人數據作為識別個體的媒介時，不當利用則會產生個人信息與隱私受到侵害的風險，個人信息所有人對其的管理亦無可厚非。在這種分類討論的立場下，對于企業數據的權屬劃分似乎就呼之欲出了。

五、企業數據的權屬劃分

(一)企業數據內涵之重新界定

前文提到個人數據與關于個人信息的企業數據只是不同立場下的對同一內容的不同表述，均為蘊含著個人信息的數據，鑒于本文的研究目的是探究企業對個人信息的商業利用是否正當及其數據的權屬問題，因此下文將使用企業數據這一稱謂。完成了人格權與財產屬性的對接，個人信息與隱私的區分，企業數據與個人信息的鏡像關系，企業數據的本質也就真相大白了。作為個人信息在電子世界的“影子”，企業數據具有兩層屬性，一為企業數據與個人信息的對應性，二為企業數據于企業運作的資源性。關于個人的信息自然由個人所有，不僅是權屬關系上的無爭議，而且是利用、支配與公開的自愿性，這也反映了作為法律主體充分的自由意志與意思表示；關于代碼運行的數據則是由企業平臺搭建后的收集與轉化，并非從社會生活中直接抓取的結果，付出了前期的投入與中期的維護成本，對其加工部分享有權利，并有義務對數據之上屬于他人的個人信息進行保護。企業數據是被加工過后的個人信息，其本質是被代碼化的數據，而數據作為企業的“勞動成果”，理應歸屬于互聯網企業；而那些非經企業進行有效加工的數據，以及企業直接抓取的非以數據代碼形式呈現的個人信息均因企業未付出相應的技術加工而導致企業不享有所有權。換言之，用戶對其個人信息享有被遺忘權等控制信息內容的絕對的所有權，企業對加工后成為的企業數據享有無償使用并以此成為數據交易的籌碼等相對權的使用權，以及保護用戶和企業數據之對應義務。

(二)企業數據權屬的制度構建

互聯網企業基于其投資、建設所付出的資金、技術，通過合法手段與用戶簽訂隱私協議，獲取用戶“同意”后而提煉整合出相關數據才可以自主支配利用。然而企業數據的自主利用需要以明確的權利歸屬為前提，因此筆者將視野聚焦現行法尋找企業所有權屬的法律依據。企業數據的形成是程序員編碼的結果，而程序員作為互聯網企業的勞動者，其工作內容根據《就業促進法》第8條第1款，“用人單位依法享有自主用人的權利”，而根據《著作權法》第11條規定：“由法人或者非法人組織主持，代表法人或者非法人組織意志創作，并由法人或者非法人組織承擔責任的作品，法人或者非法人組織視為作者。”著作權屬于作者。這似乎就為企業數據的權利歸屬找尋了一絲出路。然而著作權法的保護對象是工程設計圖、產品設計圖、計算機軟件等符合作品特征的智力成果，單純不加編排整合的企業數據并不具備作品特征，無法由著作權法加以保護。企業數據既然是企業這一法人做出的整體“勞動成果”，是否可以尋求勞動法的保護呢？《勞動法》第3條規定勞動者享有取得勞動報酬的權利，看似與企業的勞動成果應有的收益權掛鉤，但其立法目的是“為了保護勞動者的合法權益，調整勞動關系，建立和維護適應社會主義市場經濟的勞動制度，促進經濟發展和社會進步”。作為企業，并非為勞動法的調整對象——勞動者，倘若將互聯網企業的生產行為視為為公眾提供服務而具有勞動者身份未免過于牽強，因此也無法享受勞動法的保護。而《數據安全法》似乎與數據保護最為貼切，然而該法立足于國家主權視角，更多的是強調國家的數據安全戰略，而非國內企業以合法、正當的方式收集的第一手數據，亦無法得以銜接。既然核心在于企業的“勞動成果”歸屬于自己，這是一種最原始財產取得方式，不妨尋求民法上的出路。

所有權人對于原始取得的財產，天然享有所有權。而對于企業數據這種將個人信息轉換成數據加以利用的財產，更類似于“添附”這種民事主體把不同所有人的財產或勞動成果合并在一起的新形態財產，如果要恢復原狀則在事實上不可能或者在經濟上不合理，在此情況下，就需要確認該新財產的歸屬問題。在“添附”的三種形態中，“混合”是指不同所有人的不同財產互相滲透融合，難以分開；“附合”是指不同所有人的財產緊密結合在一起而形成的新的財產，雖未達到混合程度，但非經拆毀不能達到原有狀態。無論是“難以分開”，還是“非經拆毀不能達到原有狀態”，都無法解釋個人信息始終能獨立于企業數據可以單獨存在的事實。“加工”這一過程，即對他人財產加工改造為具有更高價值的新的財產，與企業數據的生成過程更為匹配。企業數據是個人信息與互聯網企業的技術有機結合而形成的具有新型生產價值、財產價值同時關涉國家數據安全、主權性質的物。而用戶接受互聯網企業服務所同意的“隱私協議”就是企業對他人個人信息這一財產加工改造的合法依據。

根據“如無必要，勿增實體”的奧卡姆剃刀定律，對新興事物的法律規制只有窮盡了現有法律無以規制后，才有新增立法的必要。在兜兜轉轉之后，看似最為前沿的企業數據規制也逃不出古老民法的智慧。由于“加工”的原物本身并無價值大小的判斷，因此這一民事行為的法律后果無法適用“新物之所有權歸價值大的一方，由取得所有權的一方對另一方提供補償”這一單獨所有方式，也因無法衡量原物各自財產價值而實行按份共有方式，因此對于企業數據這一形成的新的物可以嘗試共同共有，即企業數據的最終所有權歸屬于其上個人信息所有者與個人信息處理者共同所有。然而企業數據保存在互聯網企業，信息所有者的權利監督和實現不便利，需要引入輔助制度幫助權利落實。在所有權不變的前提下以契約的形式在一定期限內將財產權部分讓渡給另一主體經營，這一信息所有者權利的實現需求與“托管”制度驚人相似。基于個人信息所有權的完整性與企業數據的附加性，信息所有權人對該部分財產權毫無爭議，而以契約的形式在一定期限內的讓渡則同時滿足了個人信息收集前提的合法性和利用的期限有限性，最終在權利實現的同時達到可行性與合法性的目的。因為數據的價值來源于其龐大的個體基數，用戶個人的信息轉化為數據并不能為企業帶來資源效應，唯有將海量的個人信息視為整體，其貢獻的財產價值回歸于企業對數據維護與保護的成本，企業數據的權屬問題才得以徹底解決。

六、結語

為解決當前個人信息保護與企業數據利用的沖突問題，本文著眼于個人信息與人格權的從屬關系，通過論證人格權客體不同于人格上內在的高級利益，解決本文的第一個問題，即人格權的客體究竟有哪些，排除了生命、身體、健康、自由這四項超越權利保護的內在于自然人的高級利益，其他與自然人有密切聯系但又外在于自然人的屬性才為人格權權利客體，如隱私、個人信息。在總結出個人信息除人身屬性之外的財產屬性后，第二個解決的問題在于隱私與個人信息的重新界定，從而梳理出真正為企業數據可用卻易被侵犯的個人信息，進而闡述該個人信息與企業數據的關系。企業數據分為有關用戶個人信息的部分以及日常經營必不可少的商業信息，而前者在本文中才有討論的必要。最終解決企業數據與現行法律的銜接，通過數據的生成過程找出企業利用的正當性，及其對應的物的生成的法律概念，匹配出企業數據權利歸屬的相關制度。

注釋：

①北京市第四中級人民法院(2021)京04民終71號。