四、中国关于智能物联网治理的民法视角和行政救济

中国的现实与欧盟形成鲜明的对照,不是侧重宪法,而是主要从民法以及行政举措的视角来加强对隐私、信息安全及人格利益的综合保护。因此,关于数据和隐私的中国法律规范主要在公民个人、集体以及企业之间强制执行,很少针对政府。从2016年年底开始,中国通过一些单行的法律、法令、规章来对数字化时代的新兴权利进行认定和保护,并明确了相应的义务和责任。例如《网络安全法》(2016年11月)规定了公民对个人信息的删除权和订正权,《个人信息安全规范》(2017年12月)加强了对网络平台的规制,《电子商务法》(2018年8月)使网络平台经营者的监管责任具体化,《网络信息内容生态治理规定》(2020年3月)着手整顿个人信息交易、调整算法推荐逻辑。《数据安全法》已经在2021年6月10日通过,同年9月1日起开始实施。《个人信息保护法(草案)》2021年4月也在二审后进一步完善;2021年8月20日,《中华人民共和国个人信息保护法》正式颁布,并于2021年11月1日开始施行。

特别值得高度评价的是,《民法典》专设人格权编,清楚地界定隐私和个人信息的权利范围,以加强对新兴权利的保护,具有补充《宪法》的基本权利清单的意义,适应了数字化时代经济社会的需要。例如《民法典》第1034条规定,受这项基本法律保护的个人信息包括健康信息、行踪信息,还规定了处理虚拟身份(第1017条)、数字肖像(第1019条)、数字声音(第1023条)等个人信息时必须遵循的原则、条件以及义务。《民法典》第1035条规定了大数据收集和应用之际应该坚持的合法、正当、必要、适度的原则;第1033条、第1038条、第1039条还分别明确了信息安全保障义务,包括不得泄露、不得篡改以及不得非法提供;第1037条进一步完善了个人信息主体的权利构成,确立了查阅权、复制权、更正权、删除权以及网络侵权的责任、网络服务提供者的注意义务,把数据和虚拟财产都纳入法律的保护范围之内。

《民法典》并没有创设数据财产权,但《数据安全法》第7条表明,“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”。该法第19条规定,“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”;第33条还指出,“从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”。这意味着中国通过对数据进行评价和共享的程序来确保数据交易的顺利进行,并把合法、同意以及通过契约之链确认的正当来历作为数据处理合法性的基础,对个人数据的人格利益和财产利益进行债权式的保护——例如对违约及侵权行为的损害赔偿请求权,借助反不正当竞争法和消费者权益保护法的规定进行维权。

根据《民事诉讼法》,还存在非营利机构或公益机构代表分散的数据主体进行民事集团诉讼的可能性。例如《个人信息保护法(二审稿)》就规定对于违法处理个人信息、侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以提起公益诉讼。另外,《未成年人网络保护条例(2021年4月稿)》也规定如果未成年人的网络合法权益受到侵犯,且相关组织和个人未代为提起诉讼的,人民检察院可以督促、支持其提起诉讼;涉及公共利益的,人民检察院有权提起公益诉讼。但是,在这样的状况下,实体法上的数据财产权关系不清晰,也是很容易引起纠纷的。多明戈斯(Domingos)指出,“控制好数据,控制好算法掌握的模型的所有权,这就是21世纪战争的内容”24,已经暗示了数据财产权以及学习后模型的知识产权之争的必然性。与这种新式战争相关,中国大数据产业和人工智能产业在走出去的过程中反复遭到欧美各国的质疑和制裁,主要理由就是涉及数据安全和算法伦理的基本权利保障不充分。因此,完善数据财产权的实体规范,进而将之升级到基本权利的高度,是一项很重要并具有迫切性的立法课题。

可是,如果完全按照欧盟那样的根本规范行事,又难免遏制数字经济高速增长的势头。鉴于上述问题状况,笔者曾经揭示了数据的规模和质量与人工智能的预测能力之间的正比例关系,指出中国在数据收集和应用方面的独特优势正是机器学习算法提高精密度的重要条件。25何况数据的本质是信息,以流动性为特征,很难进行排他化、绝对化的处理;如果采取过度保护的立法政策,反而有可能使数据的经济价值无法实现。例如欧盟设立数据库权利并进行严格的保护,最终导致没有一家大型的数字经济平台和企业在欧洲崛起。实际上,欧盟也开始对以GDPR为核心的数据法制框架进行反思,试图兼顾数字经济发展的需求,在厘清数据产权关系的基础上充分发掘数据的商业价值。在这里,我认为中国可以与欧盟相向而行,互相借鉴。