朱婷的手腕,肖若腾的眼神,施廷懋的绷带……
党的领导解决的是政治系统中权力运作、政治意志形成和有效治理问题,全国人民代表大会制度则通过立法、决议等法定方式将党的意志-人民意志转换为国家意志并使之规范化,这体现了二者的分工。
依据这一规定,地上权的客体是土地,而非权利。债权之所以不具备成为抵押权客体之条件,是因为债权期限具有任意性,内容具有相对性,不但其权利价值难以量化,其设定方法也难以公示。
因此,无需将代耕规定为承包地流转方式。也正因为此,大陆法系国家在土地权利体系的设置上,均在规定允许设立若干土地用益物权的同时也保留债权性土地租赁。此外,依据物权变动的规则,土地经营权的分离需要进行不动产登记。相应地,也不再以其他方式的承包来命名此种交易行为,而直接称之为流转承包地。本文认为: 土地经营权与土地承包经营权并非并列关系,对于已经采取家庭承包方式发包的土地,土地经营权只能设定在土地承包经营权上,而不能设定在土地所有权上,土地经营权创设的客体是土地承包经营权。
一、土地经营权的法律属性界定 相较于两权分离权利体系,三权分置的最大不同之处就在于引入了土地经营权概念。由此可见,《承包法修正案草案》实则对土地经营权的法律属性采取了含糊态度,一方面明确可以依据债权性流转方式设定,另一方面也为物权性方式设定土地经营权留下了空间,似乎更接近于上述可物可债说。他们借用卡拉布雷西在其名作《大教堂一瞥:财产规则、责任规则与不可让渡性》中所提到的责任规则与财产规则的区别,[66]认为当前的法律,无论是美国还是欧洲,只对隐私提供了基于责任规则的保护,而没有提供基于财产规则的保护,未来有必要以财产规则来对隐私进行保护。
第44条首先规定了此类转移的一般原则:对于正在处理或计划进行处理的个人数据,将其转移到第三国或国际组织,包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织,控制者和处理者只有满足本条例的其他条款,以及满足本章规定的条件才能进行转移。[63]这些规定表明,《条例》认为应当禁止涉及个人人格的数据,而且,数据主体应当是具有主体性的个人,用康德的术语来说,就是人必须成为目的而不是手段,对个人具有法律影响或重大影响的决策,不能仅仅通过自动化处理来作出。[51] 二、《条例》述评:数据的人格权与财产权保护 《条例》涉及个人数据保护的方方面面,但综合来看,仍然可以发现其中有一条非常明显的主线,就是强化数据主体对于数据的控制权。个人有权行使独处的愿望,保持自身不被外界打扰。
其中的有些新型权利,例如被遗忘权与数据携带权,极大地改变现有的法律框架,并且会对企业与其他实体收集与使用数据产生重大影响。如果说现代计算机与网络社会的兴起对隐私造成了很大的威胁,这主要是因为计算机与网络社会改变了原先社群的信息流通机制,而其自身尚未建立起具有语境公道性(contextualized integrity)的信息流通方式。
其中,最重要的当属对数据的访问权、更正权、擦除权与携带权。[33]数据保护官具有对控制者或处理者,以及那些履行本条例和欧盟其他成员国数据保护条款所规定的处理责任的雇员进行告知,提供建议、确保控制者和处理者遵守条例、和监管机构合作等职责。在这一章中,除了规定每个数据主体向监管机构提起申诉的权利,[45]针对监管机构的有效司法救济的权利,[46]针对控制者或处理者的有效司法救济权,[47]还对违反《条例》所应承担的行政罚款作了规定。在这个意义上,《条例》对于个人数据的保护并没有完全采取一种财产法的进路,仍然保留了很强的人格权保护的色彩。
《条例》规定了六项原则。这种责任适用于收集的个人数据的数量、处理的限度,储存的期限以及可访问性。[48]而如果违反《条例》所规定的某些核心条款,例如,处理的基本原则、同意的条件、数据主体的权利、将个人数据转移到第三国或一个国际组织的接收者,则可以施加最高20000000欧元的行政罚款或前一年全球总营业额4%的罚款(两者取其高)。究其原因,现有对数据权利、隐私权、人格权与财产权的思考都没有充分考虑语境与社群的隐私。
[58]而在德国,基于人格权的隐私保护则成了主流进路。例如,虽然《条例》规定的数据主体的权利和知识产权具有一定的相似性,但这种权利却更类似于法国语境下的建立在人格权进路上的知识产权保护。
行为主义的大量研究告诉我们,人们往往会对直接产生重大风险的事项具有警觉性,而对于由信息泄露所产生的风险,人们往往会认识不足。同时,如果说人格权的开放性与模糊性可能会给企业带来较大的负担,从而不利于小微企业的创新,那么基于同意与财产权的交易规则可以使得企业更为放心地对数据进行挖掘和利用,从而更好地发挥数据与信息在市场配置中的作用。
[72]同样,在《条例》的框架下,即使个人同意,数据控制者和处理者也不能完全获得对其数据的控制权与处理权,数据控制者与处理者对个人数据的收集、储存、处理与披露仍然必须遵守《条例》赋予数据主体的某些权利。如上所述,《条例》最大的特征在于强化数据主体的权利或对于个人数据的控制,即使数据控制者或处理者对于个人数据的处理不会影响到个人的人格,数据主体也有权利拒绝数据控制者的收集,以及拥有对于数据的访问权、更正权、擦除权(被遗忘权)、限制处理权、数据携带权等权利。在她看来,将隐私视为一种与个人人格相关的人权,还是视为一种为个人所拥有和控制的财产,这具有本质性的不同……人权一般被假定为不可以在市场上交易,而财产则一般被假定为可以在市场上交易。[22]就擦除权(被遗忘权)而言,《条例》规定在某些情形下,数据主体有权要求控制者擦除关于其个人数据的权利。在本文付梓之际,对《条例》的翻译与分析已经增加很多。[44] 第八章是关于救济、责任与惩罚的规定。
从《条例》的规定来看,某些条款的确显示了《条例》对数据隐私的人格权保护。第一,这种进路可以避免因为个人同意而造成的个人数据无法被合理地二次使用,从而错过大数据时代信息合理使用所带来的红利。
通过分析这两种权利保护的利弊,本文认为,必须把数据权利、人格权、隐私权这些概念还原到特定的语境与社群中进行思考,一旦我们把这些概念还原到特定的语境和社群中,就会发现数据保护的核心在于使得数据与信息在具体的语境与社群中能够恰当地流动。作者简介:丁晓东,法学博士,中国人民大学法学院副教授。
第二章还对处理的合法性所需满足的条件作出了规定。[42]在此章中,还对欧盟数据委员会的设立、目标和责任等进行了规定。
首先,《条例》虽然强化了个人同意作为数据收集与处理的基石,但《条例》也意识到,同意本身是一个非常含混的概念,很多时候,判断数据主体是否同意,其实更多是判断在某个特定语境之下,消费者对其个人数据的收集与处理是否存在合理预期。人格权或许能为数据主体提供较为宽泛的保护,而且能够适应时代而不断发展出新的权利类型,但对于企业和其他实体来说,这就意味着他们必须不断提供新的保护责任,并为此承担并不轻松的人力与资金负担。[93] 相比上文提到的数据隐私的人格权与财产权保护,可以说《条例》所包含的消费者预期与风险规制进路更为合理地回应了网络与大数据社会中的隐私保护。此类转移不需要特定的授权。
[5]见《条例》第3条第2段。保护数据隐私不应当期待可以寻求某种客观的权利边界,而应当更多采取风险规制的公法框架与尊重预期的消费者法框架,通过这两个框架来界定相关权利的边界。
从控制者或处理者那里获取访问个人数据的权力。[54]其次,即使在获取了数据主体的同意后,数据主体也仍然拥有多项对于数据的权利,数据主体仍然拥有对于数据的访问权、更正权、擦除权(被遗忘权)、限制处理权、数据携带权、一般反对权和反对仅仅基于自动化的个人决策的权利。
但大数据时代的重要特征就在于数据的全体性、混杂性和相关性,数据往往需要被积淀和二次利用,才能发挥其效益。[28]参见第25条第2段:控制者有责任采取适当的技术与组织措施,以保障在默认情况下,只有某个特定处理目的所必要的个人数据被处理。
[67]而莱西格教授(Lawrence Lessig)也曾经在其网络法名著《代码》中提出过个人数据财产权的观点,他认为,赋予个人数据以财产权,这有利于提高个人在和公司等实体机构中的谈判权,更好地保护个人利益。第五部分规定的是行业协会等实体自行起草的数据保护的行为准则与欧盟内部的认证机制。正如上文所述,无论是开放性的人格权还是以同意为核心的财产权,都难以为数据收集与处理提供较为合理的合法性边界,因为二者都以形式主义的观点来看待个人数据的保护问题,都把个人数据保护问题视为一个脱离语境的一般性规则问题。[70]《条例》为数据本身设定了责任,要求数据的控制者或处理者不能随意处置数据,这说明了数据主体的利益已经被内置于(built-in)数据中。
对于这些权利,《条例》规定数据控制者或处理者不得要求数据主体放弃这些权利以换取服务。例如,《条例》第9条规定,对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据,为了特定识别自然人的计量生物学数据,以及和自然人健康、个人性生活或性取向相关的数据,应当禁止处理。
[78]对此的一个分析,参见Peter Swire Yianni Lagos, Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique72 Md. L. Rev.335(2013). [79]参见Lorrie Faith Cranor , Necessary But Not Suf?cient: Standardized Mechanisms for Privacy Notice and Choice10 J. TELECOMM. HIGH TECH. L.273(2012). [80]Omri Ben-Shahar Carl E. Schneider , The Failure of Mandated Disclosure159 U. PA. L. REV.647, 671(2011). [81]对于这种经典自由主义法哲学的辩护,参见Richard A. Epstein, Simple Rules for a Complex World, Harvard University Press, 1995. [82]参见Jessica Litman , Information Privacy/Information Property52 Stan. L. Rev.1283(2000). [83]一个例子是Facebook,其主管明确接受了施瓦茨等学者提出的数据隐私财产权保护的观念。而《条例》却没有赋予数据主体以完全自由交易的权利和赋予企业等实体以数据所有者的权利。
首先,《条例》将同意作为处理的基本原则,对于个人数据的收集、储存、处理、披露都必须获取个人的同意。但对于这一回答,仍然不可避免地会面临进一步的追问:什么是隐私权?隐私权或者说《条例》所规定的数据主体的权利是人格权吗,抑或是一种财产权,甚至可能是一种知识产权?对于这些问题,我们有必要一一做出分析,这不仅仅是一个理论问题,而且也将是关乎如何解释《条例》与适用《条例》、如何设置个人数据保护规则的实践性问题。