论文部分内容阅读
本文以欧盟数据保护规则和美国判例为主要研究对象。第一章为“消费者数据的法律定位”。第一节,从概念和范围界定了消费者数据,并比较了消费者数据与商业数据、企业数据的区别,和做这种区分的必要性。第二节,介绍了在学术界和司法实践中都通行的观点“二元权益配置模式”。选取了三种有关企业数据的法律属性的学说观点进行分析,“数据物权化理论”“数据知识产权化理论”“数据债权化理论”。再从代表性案例中,总结了司法机关的经验要素。关于数据的法律属性,相关学说有“数据物权化理论”“数据知识产权化理论”“数据财产权化理论”“数据债权化理论”等。“物权化理论”的弊端在于物权的权能无法涵盖企业数据的权能,且数据的强非排他性和非专有性性会冲击物权理论的基础。“知识产权化理论”,不论从立法目的还是客体的特性,都是现存理论中最适合数据权益的理论,但该理论的弊端在于有一部分数据(如原始数据)未能达到知识产权对客体最低的独创性要求,且考虑到知识产权权利泛化的趋势严峻,适用该理论有待商榷。关于“债权化理论”,数据流转中的多重授权衍生的多重法律关系,已经突破了“债权化理论”的合同相对性,且主体间签订的协议的合同性质呈现越来越不明显的发展趋势,因此数据不应该被视为合同债权。关于权益归属问题,理论界和实务界都采二元权益配置法,即用户的人格权和财产权与数据平台的财产权。笔者认为,二元权益配置模式无法平息“用户的同意是否可以击穿平台协议”的实际问题,另外,关于商业数据权益归属的学说观点主要有三种:“个人权益论”“平台权益论”和“综合权益论”。三种观点都属于“二元权益配置模式”,无法解决存在三组法律关系的数据纠纷问题。第二节,笔者依据数据流通中存在的法律关系提出了“三元权益配置理论。“三角权益配置模式”是针对三组法律关系在三种企业数据类型中权益的配置模式。这三种法律关系分别是用户与数据平台之间的法律关系、数据平台与第三方平台之间的法律关系、用户与第三方平台之间的法律关系。而三种企业数据类型分别是原始数据、未匿名衍生数据、匿名衍生数据。笔者认为,数据权益配置困难的根本原因是,三组法律关系之间的相互作用力。引入“权利穷尽理论”和“公共领域概念”有助于达到三方权益的动态平衡。其次,消费者数据的收集规则,因为各国法律规则的体系尚未建立完整,规则之间的逻辑不紧密,法条庞杂。同意规则是目前消费者数据收集过程中最重要的规则,同意规则下的收集认定。一般来说,收集消费者数据要符合同意模式,也就是积极同意或者消极同意。积极同意是指“明示同意+删除”,消极同意是指“默示同意+撤回/拒绝”。积极同意包括明示允许收集和公开访问两种情况。消极同意包括明示禁止和推定禁止两种情况。消费者数据收集中涉及的另一个规则是透明规则。透明规则的贯穿于数据主体知情权的行使和数据控制者告知义务的履行。程序性内容包括:收集前告知收集的目的、范围、方式、收集者的信息和联系方式以及是否转让给第三方等内容,收集前设置好安全保障措施,提供行之有效的投诉通道。ePrivacy规则草案作为GDPR的补充性法规,为透明规则内涵的扩充提供了两个方向:一、数据透明上升到信息透明;二、透明规则要求数据参与方不限于数据主体和数据控制者。第二节为“消费者数据收集的具体行为准则”,主要内容来自于ePrivacy中关于终端设备位置的跟踪收集条件和明确禁止跟踪墙两个部分。笔者在消费者数据纠纷案件中梳理出几个亟待厘清的消费者数据收集规则。首先是,自行获取案件争议焦点——爬虫协议的定性。良好的商业道德的认定。爬虫协议与Robots.txt的区别在于,爬虫协议是指导具体Robots.txt语法规则的行业规范。而具体的允许访问和禁止访问的名单由Robots.txt规定。还有就是根据爬虫协议设立的黑白名单是否属于歧视行为。最后一章是,消费者数据使用的法律规制。数据最小化规则和数据质量规则是使用中涉及的两大规则。数据最小化规则包括使用范围的最小化和使用限度的最小化。GDPR通过年龄和数据敏感度限制数据使用的范围,而我国《网络安全法》仅依据数据的敏感度限制使用范围。使用限度最小化,是指数据控制者使用消费者数据需与使用的目的保持一致,不得超出使用目的使用。有关如何精准把握范围,德国《版权法》的“最小字段”提供了可参考范本。数据质量规则是指GDPR和欧盟条例规定的一系列规则,即:合法、合理和透明规则、目的限制、数据最小化、精度、存储限制、完整性和保密性。基于该规则在内容上与本文其他规则存在重叠,为避免重复,笔者仅讨论数据质量规则中的存储限制和精度和完整性限制两个次规则。首先关于存储,笔者要提请读者注意,规则上存储与使用分属于消费者数据不同的生命阶段。但是有一种特殊的使用方式,即“瞬态存储”在存储时长、存储方式、存储目的上有特殊规定笔者认为,“瞬态存储”是一种区别于隐形存储的显性存储,它通过公开展示的存储方式使用数据本质就是一种使用。精度和完整性通过为数据控制者设置“Protect By Design”制度和赋予数据主体“免于自动化决策”权实现。Protect By Design为数据精度和完整性提供“顶层设计”的保障,而基于默认隐私保护的“免于自动化决策”使原本处于被动状态的数据主体切换到主动状态。“匿名化措施与使用的兼容”和“元数据的使用保护”是使用中的两个具体行为准则。第三节是“版权化消费者数据使用的司法规则。美国DMCA和《版权法》为版权化数据的保护提供了资料。“合理使用”被适用于该种数据的使用,但是美国判例对合理使用的构成要件进行了更新。最后总结出国际上主流有关消费者数据的规则的特点,即数据本地化和法律规则高度不明确。