数据共享概念主要是在机构、平台层面上使用,它是指不同机构、平台之间的数据交换,但一般不包括政府的数据公开行为。在我国正在制定的民法典中,有必要设置专门的规则,规范数据共享行为,强化对个人信息权利的保护。其原因主要在于:第一,大量的数据涉及个人的信息和隐私,甚至涉及个人的敏感信息和核心隐私。第二,数据共享包括个人信息的收集和传输行为。一旦缺乏规范,使数据的收集、传输失控,将导致大量的个人信息遭受不当使用,甚至是泄露。第三,除了共享本身是对个人信息的再利用,还有被共享者获得了这些信息数据后,其可能对信息数据进行再次加工、利用,甚至再次进行共享。
数据共享中的个人信息仍然属于信息权利人所有
信息数据的收集、开发和利用应当以保护个人信息权利和隐私权为前提。信息收集的知情同意规则应当适用于所有个人信息收集的行为,而不仅限于个人信息的初次收集行为,其主要原因是:
第一,知情同意本身就是信息权利人对其个人信息支配权的具体体现。即便数据开发者经过权利人同意对个人信息进行了搜集、开发,但将数据与他人共享之前,首先还需经过当事人的许可和授权。
第二,个人信息权利以主体对其个人信息所享有的人格利益为客体,人格利益在性质上具有人身专属性,并不具有可让与性。
第三,信息权利人允许信息收集并不等于允许信息分享。在未经信息权利人同意的情形下,经合法授权的信息的共享行为也可能侵害信息权利人的权利,因为对信息权利人而言,信息共享行为与重新收集个人信息并无本质区别,原则上应当征得其同意。
第四,必须保障信息权利人对个人信息流通过程的控制。信息无论向谁共享,在共享的范围内,都应当经过信息权利人的知情、同意。
即使在特殊情形下,信息共享行为难以完全实现个人的知情同意,也应当通过特殊的规则强化对信息权利人的保护,以弥补知情同意规则适用的不足。美国法律对此引入“合理预期”的概念,即在某些情况下,判断是否存在隐私侵权应当看数据的收集者和处理者是否尽了合理注意义务,是否符合社会认可的数据被收集者的一般预期。
数据共享必须获得个人信息权利人的授权
应当有效规范信息主体的授权行为。数据共享不等于数据倒卖,二者的根本区别在于是否获得了信息主体的授权。信息共享的授权应当注意如下几个方面的问题:
第一,数据共享一旦涉及个人信息,则应当获得信息主体的明确授权。我国《民法总则》虽然规定了个人信息应当依法收集和利用,但没有对合法和非法的情形作出规定。《民法典各分编(草案)》第817条规定,“未经被收集者同意,不得向他人提供个人信息”,但没有说明是否需要信息权利人的明示同意。我国应借鉴欧盟的经验,如果授权条款写得不清楚,即便获得了个人同意,也不能认为是获得了授权。
第二,在收集、利用个人信息时应当取得个人的授权,数据共享也应当取得信息主体的特别授权。从我国司法实践来看,有的法院也采纳了此种立场。
第三,在规范数据共享时应当严格限制概括授权条款的运用。个人信息与信息主体人格利益之间联系紧密,概括授权委托可能会造成信息主体对于个人信息的完全失控,从而带来超出其合理预期的影响。
第四,不需要授权的情况应当由法律明确规定下来,做出明确列举,这样既可以保护个人的信息权利,也可以为数据产业的发展提供明确的行为标准和发展预期。《民法典各分编(草案)》第816条规定过于宽泛,有必要作细化规定。
共享者获得信息后,应当在信息主体授权范围内使用。数据共享行为应当严格限定在授权的范围内。除信息主体对被共享者有特别授权外,被共享者对相关信息所享有的权利也不得超出信息共享者权利的范围;要使信息权利人控制信息共享的过程,信息共享者应当在授权范围内共享信息。
数据共享应遵循合法、正当、必要、最小化使用的原则。个人信息的搜集、使用和共享还应当遵循“最小化使用原则”,即在从事某一特定活动时可以使用、也可以不使用个人信息时,要尽量不使用;在必须使用并征得权利人许可时,要尽量少使用。此外,数据共享过程中还应当尊重信息权利人的其他相关权利。
(作者王利明为中国人民大学常务副校长、教授)