下载客户端

韦昕彤王若凡｜涉个人信息的企业数据之权利平衡路径——兼“原则普适化＋行为场景化”之搭建

2023-07-02 07:31

来源：澎湃新闻·澎湃号·政务

原创韦昕彤王若凡上海市法学会东方法学收录于合集 #2023世界人工智能大会法治青年论坛 4个

韦昕彤

北京师范大学法学院硕士研究生

王若凡

中南财经政法大学法学院硕士研究生

要目

一、企业数据权益与个人信息权利之张力

二、企业数据权益与个人信息权利平衡之必然

三、权利平衡路径之探索——“原则普适化＋行为场景化”模式

结语

数据经济时代下，对个人信息的认定愈发模糊与复杂，企业为追求经济利益进而通过网站或平台收集、利用、共享个人信息数据的技术也呈现多样的实践样态，对个人信息权利的保护不断形成新的技术挑战与法律争议。明确企业对个人信息数据处理的规则以及对个人信息的保护路径已经成为亟须回应的新时代课题，而“原则普适化＋行为场景化”模式巧妙地对上述问题做出了回应。“原则普适化”从信息处理行为遵守的原则角度出发对企业处理个人信息数据提出了“告知——同意”的授权要求和“安全保障”的履行义务。“行为场景化”在此基础之上从数据收集、利用、共享的宏观场景切入，以具体的数据实践形式展现了不同场景下数据处理行为的特殊规制模式，以期实现对企业数据权益和个人信息权利的平衡。

一、企业数据权益与个人信息权利之张力

数据技术挑战之法律争议

互联网和信息技术的发展推动了数字经济的变革。数据作为数字经济的驱动因素已然成为新经济资源。2020年3月30日的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》明确提出要“加快培育数据要素市场”。企业数据作为一种数据要素，也日渐成为企业经营的重要竞争优势和资源。企业数据是企业通过各种数据技术取得，并经服务协议、隐私政策获得用户授权的数据。本文所讨论数据共享并不包括政府数据的共享，而仅限于商业组织之间出于商业目的而进行的数据共享。数据时代背景下，作为信息生产者和消费者一体的我们的任何行为都会留下数据踪迹。而企业通过网站或平台收集、利用、共享个人信息的技术也在不断发展和创新，对个人信息保护不断形成新的技术问题与法律挑战。

企业数据技术在数据处理的不同阶段表现为不同形态。用户进行注册是网站获取用户信息的第一步，通过注册信息将用户的所有行为关联起来，例如用户点击的页面、购买的商品、点赞的评论等等，获取上述信息后，网站开始进行用户画像和精准营销。最常见的个性化推荐是通过服务器与浏览器之间的cookie技术实现的，在用户利用浏览器访问服务器的同时，一个cookie信息储存在浏览器中，通过建立cookie联系后，服务器对浏览器的网页内容进行技术分析，得出用户的个性化需求，从而进行个性化推荐。在用户删除浏览记录的场景下，企业想要获取用户的数据，则需要借助储存空间更大、储存路径更隐蔽的Flash Cookie技术。对于更进一步的Ever Cookie技术而言，其相较于前两种具有更高的稳定性和持续性，用户很难通过删除cookie的方法来避免Ever Cookie对其数据的收集。最后，与cookie技术不同的Finger printing技术并不采用存储的方式收集用户信息，而是采取交叉比对关键信息的方式来进行识别，导致用户很难发现Finger printing技术对其信息的收集与追踪。除收集、利用用户数据的技术外，共享经济背景下，企业间数据共享越来越普遍。Open API作为数据共享的一项技术，通过能力开放平台对外进行服务交互。

前述数据技术的不断革新给现有的法律规制体系带来了冲击和争议。在数据收集阶段的各种追踪和储存用户信息的技术是否都合法？法律是否需要对其进行规制？信息汇集阶段平台采用技术对用户信息进行分析和共享的行为是否合法？是否侵犯用户的合法权益？法律应以何种姿态和方式介入企业数据的收集、利用、共享？在这个互联网技术飞速发展的时代，法律能否通过不断变化去追赶技术的发展？上述问题都是信息共享大数据时代对现有法律体系的质疑。

个人信息权属之问题初探

在互联网时代，人们的任何踪迹都会留下痕迹，形成个人信息数据，企业通过数据技术将用户个人信息数据收集、利用、共享。那么企业掌握的大量个人信息数据到底归谁所有呢？法律应当从何种角度切入对其进行保护呢？在正式讨论之前，需要回答一个问题，即数据能否被权利化，进而成为民事权利客体。有学者认为数据的表现形式仅为一系列代码，其交易也必须依附于载体来开展。其共享性无疑排斥了民事客体所要求的独立性，那么数据纠纷与保护问题同样应通过技术而非法律途径解决。笔者对此持反对观点，法律赋权在某种意义上取决于价值判断，如果说给予智力成果以知识产权保护是科技文化迅速发展的成果，那么赋予数据被保护的必要性也是互联网时代下的大势所趋。数据包含着大量个人信息，事关多方利益之平衡，并且作为企业投资开发的动力源泉，有必要赋予其民事法律保护之新型客体地位。在达成上述共识的前提下，再来回答权利归属的确定以及如何保护的问题。

首先，要回到用户个人信息数据的定义上来看，我国网络安全法第76条规定个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。”根据上述定义，平台上网络用户生成的数据既可能属于个人信息数据，也可能不属于个人信息数据，很难判断平台数据是否能被识别成个人。是否识别取决于不同的数据技术、应用场景、信息属性。以用户的评论为例，如果评论被匿名显示，则很难通过该条评论识别出用户个人，但如果结合用户的注册信息、购买记录等则大大增加了其被识别成个人的可能性。

其次，从个人数据权利和企业数据权益的边界角度来看，用户很难将自身生成的数据变成一种排他性权利。按照第一种观点，将数据权属配备给用户个人，那么平台和其他用户对于数据的权利将不复存在，商业活动难以进行。而将数据权属确定为平台，则平台的商业属性可能导致用户隐私无法保证以及第三方对数据的随意使用。再者，将数据确权为用户个人和平台共享，则各方对数据均可主张权益，用户在转移其数据时需平台进行同意，在一定程度上会增加数据流通的成本。最后，将数据定义为公共物品，个人数据权利和企业数据权益一定程度上都会受到不利影响。用户个人信息数据权属界定的模糊性导致其与企业数据权益的边界难以划分，数据权属难以确定。

综上所述，用户个人信息权利和企业数据权益之间存在一定的张力关系，企业数据中不可避免的包含个人信息，如果强调对企业数据权益的保护，那对个人信息权益必然有一定的限制；相反，如果强调对个人信息权益的保护，那企业在数据运用方面会受到一定的阻碍。大数据时代背景下，数据技术不断革新，与此同时个人信息数据在不同的数据技术场景下面临着边界不确定、权属不明的难题。由此可见，个人信息数据无论如何确权，都依赖于具体数据的应用场景和数据技术。不同场景下，同一组数据可能被定义为不同的数据属性，进而需要不同程度的保护。以微信朋友圈为例，从用户个人分享的角度来看，显然属于公开数据，无需对用户分享行为进行规制；但对于平台和第三方用户来说，抓取用户朋友圈内容则在一定程度上涉及用户的隐私问题，需要对其进行规制。如何在不同数据场景下平衡个人数据权利和企业数据权益成为大数据时代新的课题。

二、企业数据权益与个人信息权利平衡之必然

现有法律制度之省思

毋庸置疑，对数据权利的分配直接影响到数据的流动与数据产业的发展，然而国内现有制度规则并未对大数据时代下的企业数据权益及其与个人信息的关系做出明确安排与正面回应。

首先，对于涉个人信息的企业数据之确权问题，尽管学界有各种观点，但是对其立法态度并不明晰，笔者认为其缺陷根源在以下两个方面。一是数据信息权属不明，二是对信息在个人与企业之间的流动缺少贴合复杂实践的制度规则。我国当今针对企业数据的保护问题存在法律瓶颈，并不存在专门性立法。尽管实践中的诸多数据纠纷通常转向知识产权法抑或反不正当竞争法得以解决，但是上述两法并未正面回答企业数据权属问题。总体而言，企业数据可能受到著作权、商业秘密、合同规则以及竞争法等法律规则的保护。展开来看，对于知识产权而言，其保护的是智力成果，然而企业掌握的数据往往是通过抽象的算法自动搜集而成，难以落入著作权的涵摄范围；对于商业秘密而言，其典型的秘密性特征极易导致数据垄断，与数据时代背景下的数据流通理念背道而驰；此外，合同规则的救济路径往往以存在预先的合同安排为前提，其相对性难以应对数据的专有性与流通性。最后，对于反不正当竞争法而言，其一般条款的适用解决了实践中大多数企业数据侵权问题，然而同样不可否认其极大的不确定性仅可作为次优选择解决与第三方的侵权争议，却并不能根本性为企业对个人信息的利用行为提供有利借鉴。同时数据的非竞争性属性为数据共享提供了前提基础，也使得竞争法作为事后保护机制的弊端更加显而易见。

其次，对于个人信息的保护与利用问题，我国在借鉴国外立法经验的基础上，在民法典中采取了总分的立法模式，在人格权编规定了他人处理个人信息的条件与免责情形，由此可见民法典更多的是将个人信息作为人格权进行保护。这也说明了在我国，个人对数据的权利正当性建立在人格尊严的基础之上，这与企业利用场景下数据的财产价值难免存在冲突。笔者认为，在大数据时代下，个人对其个人信息的权利不应仅限于人格利益，更应凸显出其拥有对个人信息被收集、处理、共享等使用过程的决定权。与此同时，个人信息保护法也规定了数据处理者对个人信息的处理规范。其第一条便明确了该法立足于“个人信息权益保护”和“促进数据流通”的双重目的，凸显了个人信息保护法作为一般法所肩负的平衡社会多方利益的使命。然而，个人信息边界的模糊、权属的不清晰对法律的规制提出了更高的要求。个人信息保护法并未明确企业的数据权益，也未规范企业间的数据利用行为，使得其在规制第三方侵权时捉襟见肘。总之，涉个人信息的企业数据权属的复杂性使得任何单一立法都难以满足当前所需，尤其是各单行法对于个人信息融入企业数据后该信息权利之归属较为暧昧的态度，进一步导致了司法适用的不统一。还需注意的是，上述分析均从事后角度以解决问题的视角展开，在数据经济迅速发展的今天，事先的行为指引同样至关重要。在权利交叉领域，如何巧妙处理两者间的关系，综合平衡各方利益仍需统一的法律制度安排与权利治理规范。

司法适用实践之偏颇

企业对其经用户同意获取的个人信息享有一定的财产权益，第三方数据获取者若直接进行抓取即可构成不正当竞争。然而还需意识到，很多裁判文书的共同点在于站在宏观经济法视角处理企业之间数据共享与转让问题，对此笔者认为，法院将企业的数据权益降格为纯粹的经济利益，对其保护强度显然不够。同时该做法忽略了企业信息处理行为与用户个人间的关系，即若第三方数据获取者仅获取数据控制者的授权而绕过用户授权对个人信息进行再次加工与利用是否会构成侵权。在企业对数据的收集、利用、共享转让的全过程中，都充斥着企业数据权益与个人信息权利的交织问题。而在上述案例中，企业也即数据控制者获得了胜诉利益，而对用户个人的信息保护却只能通过对竞争环境的改善来实现，未免有些过于间接。同时反不正当竞争法的一般条款有着严格的适用条件，甚至受到第三方平台抓取的数据数量影响。因此其难以作为一种特定的保护模式，对企业数据权益与个人信息权利的问题做出直接回应。除此之外，笔者还以“个人信息”为关键词在北大法宝进行了案例检索，其中刑事案件13885例，民事案件236例，知识产权与竞争纠纷21例。并且近年个人信息相关权益受损案件呈现出逐年增长趋势，表明在我国数据经济快速发展的大背景下，随着数据技术的不断革新与完善，个人信息保护成为愈发不可忽视的问题。

一些企业利用数据技术抓取个人信息并未经其授权便处理利用，甚至在暗网进行非法售卖，造成了十分恶劣的影响。具体到个案中的侵权行为类型与法院认定理由，多表现为企业产品非法搜集个人信息进而被定性为对隐私权、名誉权的侵犯。然而个人信息与隐私虽存在交叉但并不能等同，前者的重点在于识别，后者的特征为隐匿，两者的内涵与外延均有较大差距。个人信息中当然包含了已经公开的信息，除此之外，对于企业未经用户授权开展的个性化推荐以及精准广告投放服务已经超出了传统隐私权中宣扬、公布、泄露的侵权行为模式。总之，用户个人信息数据应当具有独特的权利客体地位，而不应单纯作为隐私权益的扩展与延伸。现如今，个人信息保护法已经出台，如何充分发挥其事前行为引导作用，减少纠纷与侵权案件的发生是当下的重中之重。

现有的法律体系巧合地回避了包含用户个人信息的企业数据的权属问题，引发法律漏洞。正是对企业数据权益立法保护的不明确以及对个人信息保护法的不贯彻落实使得企业在收集、利用、共享与转让数据时面临着与个人信息权利之间的矛盾。对于匿名化、脱敏后的个人信息，企业是否享有财产权或使用权，学界已有诸多探讨，而企业数据与个人信息之间的利益平衡关系却处于风口浪尖。大数据时代下，个人信息的保护路径除确权外，还包括对信息处理行为的规制。基于此，在立法未有明确态度前，笔者将跳出对企业数据权利性质的分析，从法律适用角度着重探讨如何解决在保护个人信息的前提下促进数据的流通这一当下必须回应的时代难题。

三、权利平衡路径之探索—“原则普适化＋行为场景化”模式

用户个人对其信息享有支配权，同时企业对其付出人力、物力和财力后而获得的企业数据享有财产权益。为避免二者权利的矛盾与冲突，有必要建立连接企业与个人信息的机制，以保障信息权利人对数据流通过程的控制，在此笔者希望引入“原则普适化＋行为场景化”模式进行化解。

“原则普适化”之规制进路

所谓“原则普适化模式”即任何信息处理行为均需遵守和贯彻的原则，在此可以分为两个方面：

1.从个人的视角出发：授权是基础

从比较法来看，欧盟一般数据保护条例明确提出了个人信息处理的知情同意规则以及一站式跨境监管的要求。美国隐私法同样纳入了这一规则。我国民法典和个人信息保护法也无一例外地规定了个人对企业处理其个人信息的行为享有知情权，即企业对于个人信息的收集、存储、利用以及转让等行为均应得到个人的合法授权。由此可见，“授权”在个人信息保护领域已达成了共识。近年来平台个性化推荐、大数据杀熟以及企业数据产品现象多发，其原理是通过对用户的交易习惯与网络行为的数据进行分析与预判。虽然该用户信息数据处理行为提高了交易效率，降低了成本，但立足于用户视角，上述行为依然是对个人信息权利侵犯的客观体现。用户在平台注册个人信息时，平台企业便有义务将信息收集目的与用途告知个人并取得其同意，方式多为通过用户协议、服务协议、隐私政策获得个人用户的授权。现今许多APP在获取用户同意时并未对“信息泄露风险”进行明确标识，点击同意按钮成为共享经济中最大的谎言，存在“流于形式”的风险。那么告知同意的性质为何？其是否构成企业的单方声明抑或意思表示？是否构成格式条款？是否能够成为企业的侵权免责事由？对于上述问题的解答，笔者认为，我国的法律规定体现了公私法融合，告知同意更多作为企业处理个人信息的合法前提而存在。同时该“同意”与民事法律行为中的意思表示存在一定区别，个人与信息处理者不仅是传统合同中的平等关系，与此同时该制度还倾向于保护性机制，在某种程度上依赖于公法的监督。而我国的个人信息保护法仅对此做出了原则性规定，具体的制度落实依然需要在实践中探索形成。这便对企业获得授权提出了更高的要求，企业应将充分获得用户的授权同意落实并纳入其企业数据合规体系。企业还可根据信息类型或企业处理模式的不同而采取多样的同意机制，例如结构上可采用加入或退出模式，形式上采用链接、弹窗等，内容上保证重点突出、简洁明了，兼具专业性与平白性，以减少个人忙碌、信息过载背景下形式性同意的出现。再者，对于不愿公开的用户不得设置不公平的对价与门槛，严禁通过“捆绑”等方式拒绝提供基础服务，以充分保护其知情权与自主决定权，否则应承担侵权民事责任。最后，企业在收集利用个人信息时应向用户个人明示告知其享有删除的权利，严格排斥概括授权的发生，杜绝给信息主体带去超出合理预期的影响。

2.从企业的视角出发：安全保障义务为关键

企业虽然对其收集的个人信息数据享有权利，但是该权利的存在应受到个人信息权利保护的限制，其中最重要的体现即为企业的安全保障义务。该义务是平衡企业数据权益和用户个人信息权利的重要举措，不仅是企业的法定义务，更是企业的合同义务。

首先，从法定义务的角度，企业对安全保障义务的履行应贯彻正当、合法、必要原则。网络安全法、民法典以及个人信息保护法等法律均对此作出了明确规定，该原则已然成为个人信息处理与共享的基本原则。合法性是在当今法治社会中开展一切活动的前提，在此不进行展开阐述。所谓正当，即处理信息时的目的应明确合理，尤其在涉及第三人以及社会公共利益的时候更应避免利用行为的抽象与宽泛，应根据个案综合判断是否符合公共利益或法律允许的私人利益之要求。同时若后续因情势变更导致处理目的的变更，则应保证变更后的目的同样符合数据主体的预期。而必要原则的精髓则在于合理关联与最小损害，该原则在行政法领域有着广泛的应用，笔者认为企业对个人信息的处理同样需符合此标准。首先，无论是供己方使用抑或转让给第三方，企业对个人信息的处理行为均应以满足目的为必要，对已达目的或无法实现目的的个人信息进行及时删除处理。例如在“人脸识别第一案”中，动物园拒绝不接受人脸信息收集的消费者入园便超出了其提供服务的必要范围。此外，在对个人信息进行处理的过程中，应坚持最小损害原则，以防对数据主体造成不必要的干扰。此时应要求企业有义务对个人信息的处理或共享行为进行风险评估，在此基础上选择对个人信息损害最小的利用方式。

其次，从合同义务的角度，安全保障义务是平衡企业数据权益和用户个人信息权利的重要举措，不仅是企业的法定义务，更是企业的合同义务。如前所述，企业在利用和处理个人信息数据的时候通常通过用户协议、服务协议、隐私政策获得个人用户的授权，上述政策和协议成为互联网平台与用户之间的合同。在服务协议和隐私政策中通常会包含企业和平台对数据负有安全保障义务的条款。企业对数据的安全保障义务，即企业有义务采取技术措施以保障合同项下在其掌控下的个人信息的安全，企业应建立与风险程度相一致的安全等级来避免信息泄露和篡改。企业安全保障义务的法定义务和合同义务双重属性导致了请求权基础的竞合，当企业涉嫌侵害用户个人信息时，用户的救济方式既可以选择请求企业承担侵权责任，也可以请求企业承担违约责任。除此之外，企业还可以建立行业内部的监管与问责机制，完善数据安全保护体系。一旦发生数据泄露之情形，可立即启动应急处置模式以维护个人信息，使负面影响降至最低，阻止损害的进一步蔓延。

总而言之，授权是个人与企业对个人信息的处理做出的预先安排，充分尊重了契约自由。而从某种意义上来看，企业遵守安全保障义务中的正当、必要原则作为公法中比例原则的核心，在数字经济背景下弥补了当事人合意以及私法自治不能妥善处理数据主体与数据控制者、获取者之间复杂关系的缺陷。这对各方利益的平衡发挥着举足轻重的作用，以实现在保护个人信息权益的基础上促进数据流通效率的价值目标。

“行为场景化”之概念厘清

互联网大数据时代，数据有其独特的商业价值和应用价值，因此对数据的保护不应再采取民商法中私有财产权的绝对化和排他性保护。通过上文的分析可以得出，个人信息存在概念与权属模糊的情况，其高度依赖于场景界定，在某一场景下，用户信息可能被界定为个人信息，而更换某一场景，该信息有可能不再被界定为个人信息。除此之外，在不同的数据技术场景下，数据也表现为不同的形式，在数据收集场景下，数据可以表现为用户的注册信息；在数据利用阶段，数据技术可以通过分析用户个人的消费习惯、搜索喜好为不同用户推荐不同的视频、新闻与广告；在数据共享场景下，数据技术可以实现平台间的数据互通与转让。由此可见，在不同的数据处理场景下，针对个人信息数据的保护方式和程度也应不同，因此平衡企业数据权益和个人信息权利应采用场景化的路径。

场景化保护路径即在具体的场景中确定数据的性质和相关主体的数据权益，据此来确定不同程度的保护方式。理论层面，丹尼尔·索洛夫提出隐私分类理论，他指出隐私并不存在一个核心或本质的特征，保护隐私实际上是保护具体场景中的某些个人权益不受侵害。海伦·尼森鲍姆教授也曾经指出，要在具体场景中实现个人数据与信息的合理流通，实现“场景性公正”。实践层面，为了平衡个人信息数据的个体与公共流通两重属性，司法实践中对于企业在收集、利用、共享数据时是否侵犯个人信息权利的认定需要在场景中加以确定。例如，当自动驾驶汽车未经用户同意收集其有关驾驶的信息，进而保障用户在驾驶时的安全的行为，存在合理性。但对于一些互联网平台未经用户同意收集其信息用来推荐医疗机构的行为，由于医疗机构和个体之间存在认知差距，加之互联网企业和医疗机构之间可能存在利益合作，进而侵犯个人选择权，此时该行为存在违法性。观察欧盟和美国对个人信息数据权利和企业数据权益的平衡实践，其采取了场景化的规制路径。负责解释欧盟数据保护指令的数据保护工作组在发布关于个人数据保护的具体指引时，其依据在于实践中不断出现的具体场景。美国在联邦层面没有对个人信息数据保护进行单独立法，但美国联邦贸易委员会不断通过个案执法来确定个人信息数据权利的边界以及其与企业数据权益之间的平衡。

“原则普适化＋行为场景化”模式之实践剖析

在不同的数据技术场景下，数据表现为不同的形式，针对个人信息数据的保护方式和程度也应不同，因此平衡企业数据权益和个人信息权利应采用场景化的路径。关于个人信息数据处理方式，民法典第1035条列举了收集、存储、使用、加工、传输、提供、公开几种行为，在列举上述几种行为之外，该条用“等”的方式将个人信息处理的行为不限于上述几种。笔者根据上述法律规定并结合场景化理论，将个人信息处理的行为划分为数据收集、数据利用、数据共享三种不同的场景，根据不同场景类型对平衡企业数据权益和个人信息权利的张力关系采取不同的方式，以实现“原则普适化+行为场景化”模式的规制。

图1 不同场景规制

1.数据收集场景

在大数据时代，个人信息会以数据化的方式表达，而数据收集是指企业通过网络等媒介平台搜索相关对象个人信息并汇集的行为方式。在现代社会，数据收集遍布各个角落，例如商场对于消费者消费习惯的分析等都是数据收集个人信息的应用。网络安全法第41条规定了网络运营者需要按照与用户的约定收集使用其信息。但企业出于追求经济利益的目的，会追求大量的用户个人数据以在竞争中获得优势地位。在此过程中不免会与用户个人信息权利之间发生碰撞。

以“网络爬虫”这个收集用户信息场景为例，在爬虫这个数据技术的应用下，实现了信息的高效获取与收集，但网络爬虫不可避免地也触碰到了用户的隐私。在个案中，对于被告“在用户首次登陆过程收集用户画像信息”的行为是否具有合法性基础，法院认为平台在用户首次登陆时设置相关个人信息收集界面，未提供跳过或拒绝等选项，属于对用户个人信息的强制收集，不能被认定为用户的有效同意。如果不以场景化保护的路径来看，很难解释为何收集用户信息被认定为强制收集。如果遵循场景化的保护路径，平台未提供便捷的拒绝选项，导致用户对于其信息收集处于无意识状态。

2.数据利用场景

企业利用用户个人信息数据，主要是对信息数据中的财产利益进行利用，以实现其经济效益。因企业利用的数据中不可避免地包含用户的个人信息，故企业利用数据的场景也就是处理个人信息的过程，也需遵守个人信息保护的相关规则。

以企业利用个人信息进行“自动化决策”这个场景为例，企业为追求利益和效率会使用自动化决策系统。例如互联网平台会根据用户的点击、购买记录、浏览记录推送用户可能感兴趣的内容或商品。而如果使用完全自动化决策系统，相当于把决策权完全交给了算法，理性的算法规则取代了个体的自我反思和行为选择，当个人通过第三方来自觉的制定计划和行动的时候，个人就被剥夺了自主性和自我意识。因此，在“自动化决策”这个信息利用场景中，企业作为信息利用者应当在第一次使用用户个人信息时，针对关于利用其用户信息数据的方式、目的等内容向用户告知，例如事前通过隐私政策取得个人的概括性同意，事后提供便捷拒绝方式以及删除权来保护用户的知情权和决定权。在个案中，法院认为个性化决策推送信息需提供便捷的拒绝方式，让用户在有选择的基础上自主选择增加的附加功能，案涉APP对于自动化决策及其在信息推送、商业营销行为中的应用，已经通过App内的措施保障了用户的选择权，APP在首次运行时、用户注册时提示郭某某阅读并请求其同意《隐私权政策》，并非以拒绝提供服务的方式强迫用户同意。企业在取得用户同意后进行的自动化决策要在个人授权的范围内处理，避免出现不当自动决策化的出现。

3.数据共享场景

数据的流通不仅仅停留在个人与企业之间，更广泛地在各企业之间共享，以充分发挥数据的价值。随着互联网时代的发展，数据共享作为数据信息利用的一种方式，成为数据产业发展的重要支柱。尽管多数情形下此时的数据已呈现匿名化，不能直接识别到个人，也有学者基于此认为隐私风险得以规避，但是现有技术的强大功能以及相关数据之间的关联性并不能排除反向破解之可能。简言之，数据共享场景下的用户个人信息数据仍属于个人信息的范畴，与个人信息的收集、持有、利用场景一样，数据共享也应当在获得用户个人授权的基础上，遵守相应的数据共享规则，以此来平衡企业数据流通与个人信息权利之间的张力关系。互联网企业的崛起使得数据共享主要在平台层面进行，主要指不同平台企业之间的数据交换和转让，从而实现用户个人信息数据的再次利用。例如企业应在其获得个人授权的信息范围内进行转让，并且受让方也应合法利用个人信息。

以“企业数据转让”场景为例，“企业数据转让”这个场景是企业间共享数据并发挥数据经济效益的一种方式。在“企业数据转让”这个场景中，针对企业是否可以对其掌握的用户个人信息数据进行转让，有不同的观点。有学者认为，用户个人信息数据具有人格属性，企业无权收益、处分，但对于匿名化处理后的用户个人信息，则不再具有专属性，只具有财产属性。还有观点认为，企业对于数据享有其中的财产权益，可以对其进行转让。对此问题，笔者认为企业数据转让可以使数据发挥其经济效益，增加流转性，因此应当鼓励企业数据转让，实现数据的互通。即对个人信息的保护不能成为企业间数据转让的限制之观点，但同样应认识到该转让也不能完全排斥对个人信息的保护。在“企业数据转让”这个场景中，企业需要遵守相应的规则来保护个人信息，这也是平衡企业数据权益和个人信息权利的一种方式。对此便可以借鉴司法实践中的“三重授权”原则。北京知识产权法院指出数据提供方向第三方平台共享数据信息时还应得到用户的再次同意，即“用户授权＋企业授权＋用户授权”原则。首先，企业应当取得用户个人针对其信息向他人提供的同意。具体而言，企业需向用户告知其个人信息数据接收方的名称、接收方对其数据信息的处理方式和范围等等信息。其次，企业转让数据应取得用户个人关于转让的单独同意，因为用户个人授权企业处理信息时可能只授权了收集、存储、使用等，并未授权许可第三方进行使用。但有一些平台在隐私政策和用户协议中就向他人提供用户信息取得了用户个人的同意，则无需单独获取同意。最后，第三方有义务在双重授权的范围内开展业务，其所享有的权利不得超过转让人的权利范围。其在获取数据时有义务核验原数据控制者是否告知用户数据对外共享的目的与方式并取得单独同意，充分落实个人信息保护法第23条之规定。

图2 “三重授权”图示

综上所述，在个人信息数据的概念和权属高度依赖场景的前提下，笔者认为，平衡企业数据权益和个人信息权利应采用“行为场景化”的路径。在数据收集、数据利用、数据共享三种不同的用户个人信息数据处理场景中，因企业使用的数据技术的不同又呈现出不同的个人信息数据应用场景。本文列举的场景仅为数据实践中小部分的缩影，除本文列举的场景外，在实践中应根据不同的场景类型的特征对平衡企业数据权益和个人信息权利的张力关系应采取不同的方式和不同程度的场景化规制路径，以实现“原则普适化+行为场景化”模式。

结语

在共享经济的时代背景下，数据作为“新石油”，成为企业乃至国家的战略性资源。明确企业对数据的行使规则以及对个人信息的保护路径，对于平衡多方社会利益，促进数据流动至关重要。然而，个人信息的模糊性与复杂性，当今数据处理技术的多样性与强大功能，加之立法对数据权属的暧昧态度及司法实践中的回避处理，使得如何平衡个人信息与企业数据权益成为新时代必须回应的热点话题。本文试图在探讨上述两方张力关系的基础上提出“原则普适化＋行为场景化”的模式，以期冀从事前行为指引的视角对该问题作出应答。“原则普适化”强调个人对其信息数据的掌控权利，即企业的任何信息处理行为均需获得个人即用户授权同意，并通过设置多样的同意机制以将用户知情权与自主决定权落实到位。除此之外，企业也应贯彻履行对信息处理行为的安全保障义务，不仅要遵循“正当、合法、必要”原则的法定要求，更要切实履行基于“企业-用户”双方意思自治下产生的合同义务，建立并完善数据安全合规体系。“行为场景化”在“原则普适化”之上主张数据的保护确权及处理规则高度依赖于对场景的界定，本文以数据收集、数据利用与数据共享三个宏观场景为例，并在每一场景中以数据实践的形式展现了不同场景下数据处理行为的特殊规制模式。例如在数据收集场景中注重用户对数据使用的预期，在数据利用场景中强调用户对服务的自主选择权，而在数据共享场景中，“三重授权”原则的落实具有不可忽视的地位。

总之，随着互联网的进一步迅速发展，企业数据处理行为会呈现出更加丰富的样态。在此背景下，坚持“普适化原则”的基础上考虑个案“行为的场景化”，同时采取有针对性的变通保护路径方可更好地平衡个人信息权利与企业数据权益之张力关系，为大数据发展与数据安全保驾护航。