法律视角下的企业数据资产管理
2019-11-17凌晨
凌晨
【摘要】文章立足我国数字经济快速发展的现实,从法律角度分析了数据资产所具有虚拟性、技术依赖性、使用上非排他性和应用广泛性等特点,指出数据资产是新型财产权。同时,研究分析了数据资产管理方面存在的财产归属缺乏明确法律制度、与信息保护存有潜在冲突、企业数据资产应用与管理有待加强等问题,提出了研究完善相关法律制度、探索健全数据资产管理的技术标准、引导企业提高数据资产的管理和应用水平等建议。
【关键词】数据资产;财产权;企业管理
【中图分类号】F275;F406.7
随着信息技术的发展,数字经济迅速崛起。数据在支持企业决策、发掘市场机会和风险管控等方面的价值持续提升,不仅成为各类企业的重要战略资源,更是互联网企业重要的生产资料和核心竞争力。据悉,Facebook在2017年市场估值为1 040亿美元,其中947亿美元被估值定价为“数据资产价值”。中国信息通信研究院《中国经济发展与就业白皮书(2018年)》指出,2017年我国数字经济总量达到27.2万亿元,同比名义增长超过20.3%,占GDP比重达32.9%。数据资产逐渐得到越来越多企业的认同,《大数据时代》作者维克托·迈尔·舍恩伯格曾断言,“虽然数据还没有列入企业的资产负债表,但这只是一个时间问题。”企业数据资产涉及经济、法律和信息化技术等多个维度,相关研究与实践正在逐步展开,本文仅从法律角度对这一问题进行探索。
一、数据资产是一种新型财产
数据资产,是由企业拥有或者控制的,能够为企业带来经济利益的数据资源。这里所说的数据资产,是在原始数据基础上,经过收集、整理、筛选等加工之后能够实现企业特定商业目的的数据资源。企业的数据资产应当属于财产范畴,但与传统法律意义上的财产权客体相比,又是一种新的财产类型,具有虚拟性、技术依赖性、使用非排他性、广泛应用性等突出特征。
(一)虚拟性
数据资产的具体形态表现为以物理或电子等方式记载的数据,如工作记录、表单、配置文件、拓扑图、系统信息表、数据库数据、操作和统计数据、开发过程的源代码等。这与传统意义上的财产利客体(物、债权、智慧成果)显著不同,数据资产不具有独立、可区分的物理外观形态。这种特性决定了数据资源可以附着在网站、储存设备、应用终端等多个载体上,同时随着数据生命周期而需要不断更新。
(二)技术依赖性
数据资产的价值高度依赖于处理技术,大数据的价值密度较低,数据量大、更新频率高的原始数据只有经过专门的技术挖掘整理之后才能成为数据资产。而且,同样的原始数据资源,因为算法不同,所形成的数据“拼图”也不相同。
(三)使用上的非排他性
大数据不是稀缺资源,数据使用不具有排他性。同样,数据资产在使用上具有非排他性,即数据资源在物理上可以共享和多次使用,由此产生巨大的经济效益和社会价值。
(四)应用广泛性
无论在商业模式创新还是新技术开发,抑或政府管理和社会服务领域,数据资产都有着巨大的应用发展空间。2004年在美国硅谷成立的Palantir公司,以大数据分析为政府和企业提供服务,通过将完全分散、结构各异、难以有效关联的数据、文件等信息整合起来进行深入分析,能够为解决诸如国土安全、金融风险、疫情控制等复杂任务提供有效帮助。据称Palantir公司在帮助美国政府剿灭本·拉登的任务中立下了汗馬功劳。同时,数据资产也成为企业的融资工具。2016年4月28日,贵阳银行向新三板挂牌公司东风科技贷款100万元,东风科技以其存储的水文资料数据作为质押,开启了国内第一单数据资产质押贷款。工信部在2018年5月出台的《工业互联网发展行动计划(2018——2020年)》中提出,“推动银行业金融机构将探索数据资产质押、知识产权质押……绿色信贷等在工业互联网领域的应用推广。”天津、浙江也提出鼓励银行业金融机构探索开发数据资产质押等信贷业务。福州市有关规定明确,可以授权有关企业以数据资产形式吸收社会资本合作进行数据开发利用。随着各项制度措施的不断完善,数据资产必将在经济社会中发挥更大的作用。
二、影响企业数据资产管理的法律因素
企业数据资产管理是企业合理配置和有效利用数据资产,提高企业效益的管理活动。作为一种新型的资产,数据资产管理不仅是企业面临的难题,也是提升社会治理能力和水平的难题。当前,企业数据资产管理的理论与实践刚刚起步,还面临许多影响和制约因素,法律因素是其中之一。
(一)财产归属缺乏明确法律制度
数据资产还没有被法律确定为独立的财产权。明确财产归属是形成财产保护的基本条件,也是促进交易、形成价格和降低风险的内在要求。但现行法律制度中还没有对数据财产作出明确的规定,一项数据资产归属于谁,是通过自身属性或行为产生数据信息的用户,还是收集、加工数据资源的企业(如平台公司)?数据收集、加工企业应当对数据资产享有哪些权利,权利的边界何在?能否禁止其他企业抓取已有的数据资源?诸如此类的问题仍在探索过程中,还没有上升为法律规定。
在理论上,可根据来源将数据资产大致分为三类:第一方数据资产、第二方数据资产及第三方数据资产。第一方数据资产主要是指企业基于自身数据进行加工整理分析形成的数据资产,这类数据资产的所有权、处置权、占有权均归加工企业拥有,即加工企业拥有全部产权。第二方数据资产是指企业经过相关交易协议或合同所获得的数据资产,第三方数据资产是指通过平台提供了第三方服务而获得的数据,最终形成企业的数据资产。在这两种情形下,企业都不能获得该项数据资产的“所有产权”。理由是:第二方数据资产的“数据不是源自自身”且协议可能对数据产权有一定限制;第三方数据资产的“加工使用存在合规合法性问题”,也“不能获得数据资产的所有产权”。这种根据来源对数据资产分类的方法具有一定的科学性,但其结论却需要进一步推敲。
根据这一思路,将数据资产可分为原创性数据资产、继受性数据资产及集成性数据资产。原创性数据资产的范围大致等同于第一方数据资产,比如企业技术研发的各种数据、财务数据、经营数据以及档案资料数据等,归属于企业自身。第二方数据资产可称为继受性数据资产,即基于合同、协议约定而受让的数据资产,这类数据资产的转让与归属应当适用合同法的原则规定,如果合同中明确转让全部数据资产的全部内容与“权能”,则该数据资产应归属于受让方。如果合同中有限制性约束条款的,则受让方应遵守合同约定。集成性数据资产本质上也属于原创性,常见于平台公司集成的数据资产。在将离散的数据资源收集加工过程中,平台公司如果取得了客户、会员或消费者的同意,即可以获取对这些数据资产支配资格。相反,不正当使用他人收集、加工的企业,应承担相应法律责任。
在司法实践中,上海汉涛信息咨询有限公司诉北京百度网讯科技咨询公司、上海杰图软件技术有限公司不正当竞争纠纷案,也就使用平台公司数据资产确立了一些参考界限。在该案中,汉涛公司的大众点评网站中通过长期经营,其网站上积累了大量的用户点评信息。百度地图和百度知道抓取了其中关于特定商户的用户评论信息,这些信息均全文显示且主要位于用户评论信息的前列,并附有“来自大众点评”的跳转链接。汉涛公司认为,百度公司在百度地图和百度知道产品中大量使用来自大众点评网用户的评论信息,已对大众点评网构成实质性替代,必然会使汉涛公司的利益受到损害。在审理中,一审法院认定,“大众点评网的点评信息由网络用户发布,网络用户自愿在大众点评網发布点评信息,汉涛公司获取、持有、使用上述信息未违反法律禁止性规定,也不违背公认的商业道德。通过法律维护点评信息使用市场的正当竞争秩序,有利于鼓励经营者创新业务模式,投入成本改善消费者福祉。”相反,“在靠自身用户无法获取足够点评信息的情况下,百度公司通过技术手段,从大众点评网等网站获取点评信息,用于充实自己的百度地图和百度知道。百度公司此种使用方式,实质替代大众点评网向用户提供信息,对汉涛公司造成损害。”1在该案二审过程中,上海知识产权法院做出了维持原判的判决,并且进一步指出,汉涛公司所主张的应受保护的利益并非绝对权利,用户评论信息是汉涛公司的劳动成果。“使用或利用不受法定权利保护的信息是基本的公共政策,也是一切技术和商业模式创新的基础,否则将在事实上设定了一个‘劳动成果权”。但是,随着信息技术产业和互联网产业的发展,尤其是在大数据时代的背景下,信息所具有的价值超越以往任何时期,愈来愈多的市场主体投入巨资收集、整理和挖掘信息,“如果不加节制的允许市场主体任意的使用或利用他人通过巨大投入所获取的信息,将不利于鼓励商业投入、产业创新和诚实经营,最终损害健康的竞争机制。”该案判决至少传递出两个方面的明确信息:一是确认汉涛公司利用所收集的点评信息属于“劳动成果”,所主张的应受保护的利益并非绝对权利;二是对平台公司积累的数据的使用应当限制在合理范围内,不能不加节制,否则不仅会对平台公司造成损害,最终还会损害健康的竞争机制。法院判决虽然回避了数据资产归属认定问题,但从判决结果上肯定了平台公司对于所集成数据资产所享有的利益。
(二)与信息保护的潜在冲突不可忽视
信息化高速发展带来便捷的同时,也使自然人和组织(如企业)的活动痕迹和内容处于被记录的状态。事实上,随着信息化的深入普及,互联网正在让个人和企业逐渐成为“数据源”。由此带来数据资产与信息保护之间的紧张关系不可轻视。
一是数据资源收集中必然触及个人隐私或企业的信息保护界限。毋庸讳言,信息技术在为人类提供便捷服务的同时,也成为低成本收集用户(个人或企业)信息的工具,个人隐私、企业信息被暴露无遗,通过立法保护个人信息已经成为广泛的实践。2017年8月7日,英国数字、文化媒体和体育部发布名为《新的数据保护法案:我们的改革》的报告,力图通过一部新的数据保护法案取代实施了近二十年的《数据保护法(1998年)》,以更新和强化数字经济时代的个人数据保护。其中,突出强化了对个人的保护,拟给予公民更多的个人信息控制权。在“知情-同意”制度方面,要求同意必须是“明确且易于撤销的”,特别是当处理个人敏感数据时,“同意”必须非常明确。新法案还提出了被遗忘权,个人将有权要求擦除其个人数据,在某些特定条件下,个人还可要求社交平台删除其曾发布的所有信息。2018年5月正式施行的欧盟《通用数据保护条例》,面向所有收集、处理、储存、管理欧盟公民个人数据的企业,限制这些企业收集与处理用户个人信息的权限,旨在将个人信息的最终控制权交还给用户本人,也将欧盟的数据保护水平推到了前所未有的历史高度,号称史上最严数据保护法律。其中,对个人信息的定义不仅包括直接信息(姓名、住址、电话号码等),还包括网络信息和间接信息(包括所有可追溯至某一特定个人的生理、心理、基因、文化等特征)。在企业申请用户授权时必须说明,使用方的身份与联系方式、取得数据的目的与使用方式、数据是否会被跨境传输、数据存贮时长等。用户可随时查看、修改、移动、删除数据,并要求企业开具数据备份及数据使用方式等。《通用数据保护条例》还规定了重罚和长臂管辖等制度,增强对个人数据保护力度。若企业违反相关规定的,最高可获1 000万欧元或其全球年营业额2%的罚款;若企业违规内容涉及未经用户同意使用数据、侵犯用户人权或非法跨境流通数据,最高可获2 000万欧元或其全球年营业额4%的罚款(两者取较高值)。我国《网络安全法》也明确规定,网络运营者应当对其收集的用户信息严格保密,建立用户信息保密制度。网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用的目的、方式和范围,并经被收集者同意。但在实际执行过程中,国内外均有企业未能严格遵守法律规定,存在非法收集、使用或转让用户(个人或企业)信息的情形,严重损害用户的合法权益,对数据资产管理秩序造成破坏性影响。
二是信息泄露严重威胁数据资源安全管理。任何数据泄露、被窃取都可能引发重大社会影响,数据资产的安全管理迫在眉睫。具体来看,信息泄露又可分为基于管理或技术疏漏导致的信息泄露和基于第三方使用中的信息泄露,但无论哪种情形,都会对企业资产管理带来巨大影响。据《2017年全球数据泄露成本研究》报告,IBM Security和Ponemon Institute通过对全球419家公司调查研究,合计数据泄露总成本达到362万美元。每条包含敏感和机密信息的丢失或失窃记录的平均成本为141美元。在Facebook卷入数据泄露的公共危机中,剑桥大学心理学教授亚历山大·科甘(俄美双重国籍)与剑桥分析公司合作,从Facebook用户及其朋友网络的个人资料中获取了大约5 000万条私人信息,并涉嫌滥用这些数据影响甚至操纵了美国2016年总统竞选和英国退欧进程。从法律角度分析,这件事并非Facebook自身信息泄密事件,与网络安全领域常见的技术意义上的数据泄露并不相同,但最终Facebook作为用户信息管理人必须承担相应的责任。2019年7月,美国联邦贸易委员会决定,据大量用户信息泄露事件,可能给予Facebook50亿美元的罚款。
(三)企业数据资产应用与管理有待加强
2018年4月发布的《中国大数据发展调查报告》显示,在应用大数据的行业企业中,我国大部分企业对于数据的应用仍处于外围业务。61.7%的企业将大数据应用于营销分析,50.2%的企业将大数据应用于客户分析,将近50%的企业将大数据应用于内部运营管理。在核心业务方面的应用还有待提升。工业互联网联盟、中国信息通信研究院公开的《2018年工业企业数据资产管理现状调查报告》显示,在回收的74份有效问卷中,37.84%的大型企业已经开展数据资产管理,51.35%的大型企业正在规划中,10.81%的大型企业正在了解中。中型企业已经开展数据资产管理的占46.67%,正在规划中的占40%。正在观望和表示不清楚的占比均为6.67%。小企业中已经开展数据资产管理工作的仅占13.64%,有72.73%的企業表示正在进行相关规划,13.64%的企业还在了解情况。应用与管理水平决定了数据质量,直接影响到企业竞争力。目前我国金融、零售等行业的数据资产应用管理呈现新气象,健康医疗领域和交通领域数据资产管理正在不断提升,但规模占比相对较小,而其他领域的数据资产价值尚未得到充分挖掘。同时,企业关于数据资产保护的意识也有待增强。由于数据资产保护的法律法规尚未出台,企业对数据资产的认识还处于不断提高阶段,将数据资产作为财产的意识还不够到位。一方面,对自身的数据资产保护较弱,一些企业在委托第三方开展咨询服务业务的同时,将其“家底”和盘托出,但在信息使用限制等方面却未作出详尽约定,容易被不良咨询机构挪作他用,甚至提供给委托方企业的竞争对手。另一方面,对于在使用数据资产中涉及的用户隐私保护等法律义务重视不够。面对欧盟《通用数据保护条例》等细致严密的规定,许多企业还没有做好准备。
三、推进企业数据资产管理的建议
数据资产作为21世纪的“新石油”资源,已经成为企业乃至国家竞争力的重要组成部分,加快推进企业数据资产管理进程,既是我国企业发展的现实需要,又是提升我国综合经济实力的战略举措。
(一)研究完善相关法律制度
立足我国数字经济发展现实,借鉴《通用数据保护条例》等先行立法实践,稳步推进大数据相关立法,将企业数据资产定位于新型财产,确定数据资产的归属、使用、转让、流通等方面的规则,既赋予企业对合法获取数据资产的权利,又加大对公民个人数据权利的保护。在各项法律出台之前,可加大司法实践探索,形成一批具有指导意义的案例,从法治层面推动企业在数据资产的保护。
(二)探索健全数据资产管理的技术标准
有人认为,数据资产是尚未流通的最大规模的大宗商品。究其原因,主要是对于数据资产估值、核算还没有形成像实物资产、知识产权那样的标准或方法,导致流通受限。建议借鉴会计准则中专利等无形资产的核算方法,探索适合数据资产统计核算的标准和方法,逐步总结完善数据资产评估机制,通过试点方式纳入企业资产负债表,逐步完善数据资产统计核算体系。
(三)引导企业提高数据资产的管理和应用水平
企业应加快数字企业建设进程,积极开展数据资产管理工作交流,交叉学习各行业案例,提升自身数据资产应用能力建设。积极开发数据资产在支撑核心业务、技术研发上的应用广度和深度,在“互联网+”的背景下全面提高数据资产管理能力,实现高质量发展。
主要参考文献:
[1]刘文光.大数据资产的确认与计量研究[J].经贸实践,2017(22),322.
[2]高伟.数字资产管理[M],机械工业出版社,2016.
[3]祝子丽,倪杉.数据资产管理研究脉络及展望,湖南财政经济学院学报[M],2018(6),113.
1 “大量用户个人信息泄露 脸书或被罚50亿美元”,中国经济网,2019年7月15日。