郑和斌

(湖南师范大学 法学院，湖南 长沙 410081)



网络商业数据保护法律问题研究

郑和斌

(湖南师范大学 法学院，湖南 长沙 410081)

我国网络商业数据的泄露和不正当使用已经严重影响到个人和企业的合法利益。当前立法存在保护范围过窄、侵权认定不明确、举证责任分配规则不健全、监管机制不健全等问题。需扩大商业数据保护范围，制定专门的网络数据保护法；加强互联网服务商的自律，设置商业数据保护的第三方监督机构；明确商业数据侵权界定，完善举证责任分配制度。

商业数据；隐私权；法律保护

一、问题的提出

网络商业数据是指自然人、法人或者其他组织收集、整理的并可以通过信息网络上传输、储存的各类与商业活动有关的数据。网络的存在既给人们的生活带来巨大的便利，也会带来一些负面的影响。其中隐私权的侵犯就是最为突出的影响，网络不仅能够为我们提供查询资料、分享信息的便利通道，还能跟踪、记录、存储每个人的各种网络活动，甚至成为不法分子进行黑客攻击，盗取商业数据或者机密信息活动温床。个人信息、企业信息在网络中很容易被非法利用、篡改、截取、传播，已经严重影响到个人和企业的利益[1]。加强互联网时代个人隐私权保护和商业数据保护的研究，已成为现阶段非常迫切的课题。从我国商业数据保护的相关立法出发，分析我国商业数据保护和利用中存在的法律问题，并提出相应的完善对策。

二、网络商业数据保护现状分析

在互联网时代商业数据保护和利用中，尤其是大数据和云计算背景下，我国商业数据保护的法律措施存在许多问题：

(一)商业数据保护范围窄

为了维护市场秩序、保护公平竞争、制止不正当竞争，我国1993年出台的《反不正当竞争法》是商业数据保护最为重要的依据之一。随着社会的进步，过去传统的商业数据界定范围已然不能满足现代新时代商业数据保护要求，尤其是构成商业数据保护对象的三个要件已经不能诠释所有应受到保护的信息数据。特别是在大数据和云计算时代，商业数据所涉及的面越来越广，所涉及的范围越来越大[2]。《反不正当竞争法》对于商业数据具有经济利益、非公知、权利人采取保密措施的三个要件界定，已经不能完全代表所有的商业数据，互联网时代下一些不认为是商业数据或者商业秘密的数据信息可能仍然具有较大的价值。这给《反不正当竞争法》中对商业数据价值特性、秘密特性及秘密管理特性提出较大的挑战,意味着商业数据保护范围的有限性。

(二)商业数据侵权认定不明确，举证责任分配规则不完善

目前，我国商业数据侵权主体的界定相关的立法不够完善，过于狭窄，对于许多侵权行为没有纳入规制的范围。对商业数据侵权行为最为明显的形式就是获取、使用、披露并恶意传播的行为。而商业数据的外泄势必会使得其丧失秘密性，而损失一定的价值，这将给权利人带来不可弥补的损失，严重影响到市场秩序，应该受到相应的制裁和惩罚。不管其是否采取不正当手段获取商业数据，只要其对这些数据进行披露和使用，或者允许其他行为主体使用，都会对商业数据的价值性和秘密性产生破坏。因此，商业数据的披露和使用以及允许第三人使用等行为，都应纳入到商业数据侵权的行为范围。我国《反不正当竞争法》对于第三人披露和使用的侵权行为认定不够明确，过于笼统。《反不正当竞争法》第 10 条规定第三人在应知或已知之前侵权行为的情况下还进行披露、使用等行为属于同等侵权行为，可没有明确规定何种情况下或者怎么判断第三人的应知或已知，其主观性太强。而在互联网时代，各种商业数据侵权行为或者模式出现多元化状态，过去“实质性相似+接触”的商业数据举证责任分配规则要求原告来证明商业数据信息和被控侵权信息的实质性相似以及被告有接触商业数据的可能性，已然不能满足互联网时代下各主体及法律公正性的要求。

(三)政府监管机制不健全，法律执行力度不足

在我国网络商业数据保护立法中，完全依靠网络服务商以及政府的自律行为进行约束，没有处于中立地位的第三方机构进行管制。这因为大多数商业数据基本上都是商业秘密，权利人都不希望自己的任何商业数据在云端被别人查看、篡改、披露、删除，这里所说的别人主要有云服务提供商和第三方主体[3]。其中，服务商具有他人无法比拟的数据操作权限，其以自身的优势完全可以对这些商业数据进行随意操作，或转卖给竞争者，或用作非法使用目的，这很可能致使商业数据权利者在数据泄露、删除、篡改中蒙受巨大损失，而且这种损失很难得以追查取证。同时许多网络服务商或者说云服务商为了自身的利益，可能会采取对用户或者数据权利人不利的行为，如为维护服务商的信誉而刻意隐瞒某一次事故造成的数据丢失等，如为配合政府相关部门的调查，调取用户数据供相关部门查阅、提取等。再者，许多企业都将自己的商业数据交由服务商保管，而许多服务商将这些数据存储于企业之外的数据处理中心，这些数据处理服务器有时处于国外，而这些数据的安全却要适应服务器归属地的法律法规[4]。我国关于这些商业数据保护的法律执行力明显不够。

(四)缺乏数据删除权利制度保障

在我国商业数据保护立法中，还存在数据删除权利的制度规制。在互联网时代，企业中可能存在许多信息记录，而单条地看待这些信息记录所体现的价值和作用不大，可将许多条信息记录进行集合看待，却能体现出巨大的商业价值和商业秘密。比如，对于淘宝中某一商品的单条消费记录来说，并不能发现可用的价值，可对这商品的消费记录集合进行研究，便可以挖掘出消费群体特征、消费者消费习惯等商业数据出来。因此，如果缺乏数据删除的制度规制，企业的许多商业信息、商业数据将永久在网上保存并公之于众，使得企业的竞争者极容易获得企业商业秘密，影响到企业的利益。可见，商业数据删除权利的规制势在必行。而在我国，对于这方面的立法保障却是空白。

三、网络商业数据保护之立法完善

(一)扩大商业数据保护范围，制定专门的网络数据保护法

在互联网大数据时代，商业数据已经成为经济发展的命脉，其对企业的成长和生存有着至关重要的作用。商业数据安全已成为世界各国网络发展的重要议题。因此，建立专门的网络数据保护法已势在必行，如美国的《统一商业秘密法》和日本的《关于管理用专利和技术诀窍有关的不公平贸易做法的指南》是非常有借鉴意义的先例。我国应该制定专门的网络数据保护法，同时加强保护商业数据的力度，促进市场秩序化健康化发展。笔者认为，我国的网络隐私立法应该以个人、企业数据保护为重心，并重点把握八个方面的问题：一是明确界定个人数据的内涵。个人数据是指所有能够帮助识别或间接识别自然人情况的资料。不论存储体是什么材料(如纸、磁盘、碟片、大容量只读存储器等)，只要个人数据被安置于某一符合法定的文件概念的整体之中时便属于法律的调整范围。二是搜集和持有个人数据，包括收集数据的动机、法律依据、搜集范围、法定程序和及时告知义务等，并确保收集数据的准确与完整。三是建立个人数据安全保障措施。数据持有者必须在法律许可的范围内或数据主体同意的情况下使用数据，使用数据不得侵犯他人的合法权益，并应采取相应安全措施。四是披露和公开个人数据。数据持有者对第三人的数据承担保密义务，未经同意不得向第三方进行收集使用目的之外的披露与公开。五是数据主体的权利和义务，不仅包括数据被收集、使用、公开过程中的知情权、选择权、控制权、安全请求权、赔偿请求权等，还应包括一定条件下的如实告知义务和协助义务。六是特殊数据的保护，主要包括两类：一类是个人的一些敏感性数据，例如，宗教信仰、种族起源、犯罪记录、健康状况、所患疾病等；另一类是一些公用记录，如国家机关、学校等单位和部门由于职能或其他需要，通常保留着大量的个人数据，这些数据不能等同于一般的数据。七是公民网上私人活动、私人领域、私人生活安宁不受非法干扰。八是侵权救济与法律后果，当权利主体的权利遭受侵害时，应该享有的救济途径，且数据收集和利用者违反法律规定时应承担的法律后果，以及明确数据收集利用者免责事项等。

(二)加强互联网服务商的自律，设置商业数据保护的第三方监督机构

前面已经提到，服务商具有他人无与比拟的数据操作权限，其以自身的优势完全可以对这些商业数据进行随意操作，或转卖给竞争者，或用作非法使用目的，这很可能致使商业数据权利者在数据泄露、删除、篡改中蒙受巨大损失，而且这种损失很难得以追查取证。同时，许多网络服务商或者说云服务商为了自身的利益，可能会采取对用户或者数据权利人不利的行为。针对这些，必须加强对互联网服务商的监督力度。第一，必须加强互联网服务商的自律。在我国法律法规不断完善的过程中，网络服务商自身必须承担一定的责任，服务商自律必然成为商业数据保护的重要措施。首先，在互联网行业中，各行业协会以及团体必须设置出合适的自律准则，制定自律准则，促进各企业、各服务商的自我规范；其次，必须加强政府对各互联网服务商的定期审查，完善互联网服务商的认证机制，对于服务商自身自律的结果必须进行他律约束，定期对其进行审查，对于云计算等服务商必须采取认证机制，对于那些不通过认证的服务商必须予以禁止。第二，设置商业数据保护的第三方监督机构，建立网络隐私认证组织，即在该行业内组建一个独立的、非营利性的组织，并审查和监督每个申请获得认证网站的隐私政策和实施情况。若符合隐私行业指引的网站都可以通过认证。同时，这些网站应该详细解释个人隐私的保护政策，并采取可靠、安全性高的软件以及有效措施来专门保护用户的隐私。各企业可以借鉴美国的做法，设立首席隐私官(CPO,Chief Privacy Officer)，首席隐私官直接对企业的最高领导人负责，专门负责处理与用户隐私相关事项。此外，在行业自律方面应注重政府的引导、培育和规范，政府对行业自律的管理，只是作为一种内部约束与引导进行管理的，异于外部介入干预[5]。

(三)明确商业数据侵权界定，完善举证责任分配制度

针对我国商业数据保护法律中所存在的商业数据侵权主体认定过窄、举证责任分配规则不清等问题，必须明确商业数据侵权界定，完善举证责任分配制度。随着我国互联网数据技术的不断发展，商业数据侵权主体越来越复杂化、多元化，除了经营者本身竞争对手之外，还有服务商、恶意第三人等侵权主体，尤其是服务商的侵权行为，我国法律应该进行明确规制。因此，应该扩大商业数据侵权的主体范围，将服务商和第三人纳入其中，对第三人的应知或已知进行具体的、详细的规制，不能主观上进行判断。再者，对于举证责任分配规则进行完善[6]。在互联网背景下，让原告去举证被告接触过商业数据这一条件显得格外苛刻，应该适当地放宽处理和认定“接触”原则，即只要权利人有足够证据表明信息实质性相似加上有接触的条件，就符合适用举证责任倒置要求，最终将责任转移给被告。如被告能够提供合法来源的信息(如自主研发、反向工程等)的证据就可认定未构成侵权。如果被告无法举证或者没有正当理由拒不提供证据，则推定构成侵权。

(四)制定统一数据删除程序

首先，应该为网上商业数据的存储设定一个合理的保存期限，即建立一个数据删除机制。当然，在大数据时代，这个数据的保存期限应该由数据的所有者来决定。因为在大数据时代，数据往往蕴含着潜在的用途。因此，数据不再局限于原来的目的完成即可删除，因为我们不知道它还会有何种用途。所以应该把数据删除的决定权交给数据所有人，由数据的权利人来决定数据的保存期限。其次，在数据的权利人要求删除数据或者在合同终止后需要对数据进行删除时，服务商必须履行对用户的通知义务，提醒用户相关数据即将被删除，并且协助有需要的用户取回数据。

四、结语

我国商业数据保护还存在许多法律问题，数据安全的相关法律跟不上数据技术发展的步伐，使得许多权利义务不能得到更好的规制，责任义务的划分变得更为模糊。政府监管机制不健全，法律执行力度不足。在我国网络商业数据保护立法中，完全依靠网络服务商以及政府的自律行为进行约束，而没有处于中立地位的第三方机构进行管制，使得商业数据保护和利用的效果不佳。笔者认为，必须扩大商业数据保护范围，制定专门的网络数据保护法；必须加强互联网服务商的自律，设置商业数据保护的第三方监督机构；必须明确商业数据侵权界定，完善举证责任分配制度。

[1]吴汉东，胡开忠.无形财产权制度研究[M].北京：法律出版社,2005.

[2]高富平.“云计算”的法律问题及其对策[J].法学杂志,2012(6).

[3]廖先旺.网络时代的“遗忘权”[N].人民日报,2009-11-19(13).

[4]邵国松.“被遗忘的权利”：个人信息保护的新问题及对策[J].南京社会科学,2013(2).

[5]Commission Proposal for a Regulation of the European Parliament and of the Council，art．4(1)，COM (2012) 11 final ( Jan．25，2012) [hereinafter Proposed Data Protection Regulation].

[6]David Coursey，How The Right To Be Forgotten Threatens TheInternet，FORBES (Feb．24，2012).

[责任编辑 宋 晗]

2016-05-21

国家社科基金项目“新国家安全观视角下网络主权国际法问题研究”(14BFX187)

郑和斌，湖南师范大学法学院民商法博士研究生，研究方向：网络法、民商法。

D922.8

A

2095-0292(2016)04-0096-03