智能网联汽车数据权益争议解决路径研究

　　□ 毛译宇 (上海市嘉定区人民法院党组书记、院长)
　　
　　近年来，智能网联汽车“数据之争”引发的维权纠纷频发，集中表现为用户数据访问权与车企数据控制权之间的冲突。车企作为数据处理者，用户作为数据来源者，双方立场与角色上的本质差异，导致各自权益内容向不同维度的扩张需求。当前法律与政策未能提供明确指引，引发实践诸多争议。
　　用户与车企数据权益冲突的实践样态
　　用户产生的数据由车企收集处理，成为具有商业价值的数据产品或数据资产。车企为数据收集存储付出劳动和成本，因技术投入先占取得数据控制权。用户以查明事故真相或主张产品责任对数据访问，车企基于数据安全保障和传统财产权取得理论，主张对数据的独占控制并拒绝披露，同时通过技术壁垒和格式条款获取对数据的垄断控制，消费者常因信息不对称、维权成本高等因素处于弱势地位。现有数据立法采取的是身份数据保护思路，对于用户数据访问请求，若涉及个人信息尚可适用个人信息处理规则解决。但汽车数据还包含大量非个人数据，法律未明确赋予用户访问权。在产品责任框架下，原始数据不是证明产品无缺陷的唯一或必要方式，车企无法定义务提供原始数据。
　　汽车数据的分类识别与主体权益配置
　　一、个人数据与非个人数据的分类识别
　　信息是数据的内容，数据是信息的载体。按照数据承载信息内容是否属于个人信息，数据分为个人数据与非个人数据。民法典和个人信息保护法将可识别性作为个人信息判断的核心要件。汽车数据直接识别的是车辆本身，对于自然人的识别是通过技术关联实现间接识别。若将可识别性无限扩张至任何技术手段下的识别可能，势必导致个人信息边界泛化，形成数据商业化利用的制度壁垒。可识别性应强调在正常社会场景，以合理成本即可实现的识别能力，兼顾个人信息权益保障与数据要素市场化配置需求。
　　二、用户作为数据来源者的权益内容界定
　　对于数据权益内容的界定，既要承认车企享有对数据加工处理所形成的数据财产权益以推动技术创新，也要防止数据垄断对个体权益和公共安全带来的风险损害。法律在赋予数据处理者数据要素财产权的同时，也要关注数据的流通复用，确保数据来源者能够自由地访问和使用与其参与数字经济活动相关的信息。此外，数据来源者对其促成产生的数据享有合理使用权，可以很好地推动实现数据共享，同时确保数据的互操作性。在智能网联汽车领域中，汽车数据是售后、辅助设备使用和其他驾驶服务的关键资源投入，为促进数据价值释放，推动产业竞争以及提升消费者福利，构建公平合理的数据流通秩序，应当赋予作为数据来源者的用户合理访问和使用数据的权利。但是，经数据处理者加工生成的数据资源或产品，由于其承载数据处理者的劳动付出和投入，数据来源者所享有的数据权益并不必然及于经过数据处理者加工使用生成的数据产品。在智能网联汽车领域，数据来源者享有的在先权利主要为数据承载的人格权益，无论当事人是否约定，均应依法予以保护，不得通过约定排除。非个人数据的权益配置可以通过约定实现，但需审查约定的合法性与合理性。
　　三、车企作为数据处理者的权益边界界定
　　智能网联汽车数据涉及多方利益主体，制度上不宜认可汽车制造商的独占控制。车企数据权益行使面临三个维度的约束：第一，来源合法性约束，数据收集必须符合个人信息保护法第十三条规定的合法基础；第二，使用必要性约束，数据的利用范围不得突破“实现处理目的所必需的最小限度”；第三，安全保障约束，需履行数据安全法第二十七条规定的数据安全保护义务。
汽车数据权益冲突的司法裁判路径
　　比例原则作为私法领域调处利益冲突的核心准则，在数据行权冲突场景中，可从目的正当性、手段必要性、利益均衡性三个层面展开审查。鉴于个案裁判须统筹兼顾法律规范、政策取向与行业场景，比例原则可进一步细化为三阶递进的审查框架。
　　一是目的正当性审查。审查数据来源者行权目的正当性与数据处理者权利阻却的正当性。就数据来源者而言，用户就车辆数据提出访问请求时，若行权目的系维护自身合法权益，如调取行车记录仪数据以查明交通事故责任、依据车辆传感器数据以处理产品质量纠纷等，此类诉求与个人信息保护法所确立的知情权、访问权等法定权利直接相关，应认定其具备目的正当性。反之，若用户行权目的在于将获取的数据转卖牟利或从事非法传播等不正当活动，权利主张超出合理边界，数据处理者有权援引民法典的规定，对行权请求予以限制。可以公共利益、商业秘密保护、数据安全保障等法定事由为审查基准，开展对数据处理者的权利阻却正当性审查。车企主张“阻却正当的”，需就阻却理由与拒绝访问行为之间的内在关联性作出合理说明。此外，目的正当性的综合判断，应当立足具体情境，围绕数据类型、敏感程度、技术可行性等要素综合判断。
　　二是手段必要性审查。必要性审查的核心在于平衡用户的数据权益行使与车企的义务承担，重点考察用户要求数据披露的行为是否与其目的相符，且现有数据获取渠道是否能够满足其所欲实现的目的。数据处理行为所采取的手段必须是实现目的的必要方式，即应遵循“最小损害”原则。与此同时，数据处理者在对用户行权加以限制时，同样需确保手段适当，如车企在未实施脱敏处理等技术防御手段的情形下，直接以“数据安全”为由完全拒绝用户访问基础行车数据，则有悖于必要性要求。随着技术演进，司法裁判应保持适度弹性，对数据行权行为的判断尺度进行动态调整。
　　三是利益均衡性审查。数据兼具主权属性、人身属性、公共属性和价值属性四维结构，位阶依次递减。私权领域的数据权益纠纷，主要涉及人格利益与财产利益以及不同财产利益之间的位阶衡量。人格权益旨在维护个人尊严与身份认同，财产权益则指向数据商业利用所产生的经济利益，二者之间应遵循人格权益优先立场。数据匿名化处理后不再涉及个人信息，数据权益实际与个人利益剥离，此时可适当向车企商业利益倾斜。在财产权益纠纷中，须对各方利益综合权衡，避免给相对方造成过度损害；车企可综合运用数据脱敏、访问权限限制等技术手段，在“最大程度”保障用户数据权益的同时，将对自身利益的影响降至合理范围。
　　此外，对于行权冲突的规范适用，用户要求访问个人数据的请求，应根据民法典和个人信息保护法的相关规定予以处理。数据处理者须依据民法典第一千零三十五条、第一千零三十六条以及个人信息保护法第十三条处理个人数据，不得侵害当事人的知情权和决定权；同时，依据民法典第一千零三十七条第1款以及个人信息保护法第四十五条、第四十六条的规定，保障数据来源者的查阅权、复制权、更正权以及可携带权等。如果符合“不需要告知的情形”，根据个人信息保护法第四十五条第1款以及第十八条第1款的规定，用户则无权要求访问数据。对于非个人数据的保护，可参照适用个人数据保护处理规则，发挥政策对法律适用的牵引性作用，将比例原则与合法性、正当性和必要性的判断相结合，保持法律体系适用的一致性。
　　司法需秉持法律适用的系统思维，在既有法律框架下探索构建符合法律适用逻辑和技术发展逻辑的裁判规则，为类案解决提供具有可操作性的权益配置方案，为数字经济时代的数据处理行为提供可预期的规则指引，也为技术创新与商业模式变革预留必要空间。