企业数据权益保护的困境及路径研究
2021-01-16王亚楠
王亚楠
企业数据权益保护的困境及路径研究
王亚楠
(河北大学 法学院,河北 保定 071000)
企业数据纠纷不断,引发了企业数据法律保护难题,以著作权、商业秘密和反不正当竞争法一般条款保护企业数据均存在困境。国内和国外都对以财产权保护企业数据进行了探索与尝试,并初见成效。劳动产权和功利主义是构建企业数据财产权的理论基础。企业数据财产权是一种新型财产权,其构建理念是:以保障个人数据权益为前提,促进数据合理流通为必要。企业数据财产权包含权利体系和限制体系,权利体系包括:占有权、使用权、收益权和控制权;限制体系包括:收集限制、使用限制和出境限制。赋予企业以财产权是保护企业数据的一种新路径。
企业数据权益;财产权;权力体系;限制体系
随着数据产业的发展,数据已经取得了生产要素地位,其重要性堪比石油,被越来越多的企业所争夺。企业间数据纠纷呈现井喷之势:国内发生了酷米客诉车来了案[1]、新浪微博诉脉脉非法抓取用户信息不正当竞争案[2]、淘宝诉美景案[3]等;国外发生了Facebook诉Power公司案、Ryanair Ltd诉PR Aviation BV案[4]和HiQ诉Linkedin案[5]。企业数据权利不明给司法实践带来极大困扰,抓取企业数据是否构成不正当竞争没有明确标准,侵犯企业何种数据权利没有明确依据,企业数据保护面临困境,企业数据的具体保护路径亟待在立法层面上进行顶层设计。
一、企业数据权益保护的困境
(一)著作权保护困境
企业对数据进行收集、整理和分析形成数据库,与著作权中的汇编作品最为相似,但以汇编权保护企业数据具有不周延性。首先,著作权的保护客体是“作品”,而作品要求具备“独创性”,但是企业汇编原始数据的创造空间极为有限,通常达不到“独创性”标准。其次,汇编权的保护内容为具有独创性的选择或编排,不保护汇编的原始材料,但企业更需要保护的恰恰是数据内容,这就如同“只保护瓶子,不保护瓶子中的水,但对数据库的开发和制作者来说,瓶子中的水才是最重要的”[6]。最后,著作权的保护范围具有地域性。受《伯尔尼公约》的影响,大多数国家对于“以他国为起源国”的作品,只有在本国与他国签订了国际条约、具有双边或者多边协定的规定,该作品“符合特定条件”时才会给予保护,以著作权保护企业数据,企业数据在他国可能无法得到保护。
(二)商业秘密保护困境
以商业秘密保护企业数据同样存在困境。首先,商业秘密要求具备秘密性,但很多企业数据并不具有秘密性,如一些公开数据,商业秘密保护路径忽略了企业对此类数据的保护需求。其次,商业秘密要求具备保密性,即要求企业对数据采取保密措施。但保密性对于企业来说存在举证难题,企业为控制成本可能只会采取一些必要的保密措施,但这种最低程度的保密措施是企业收集和使用数据的必要手段还是出于保密目的采取的额外措施,企业难以举证。最后,商业秘密只保护以不正当手段获取商业秘密的行为,通过反向工程破译商业秘密为法律所允许,而还原企业数据的可能性是存在的,因此企业数据一旦以正当手段被破译将无法以商业秘密保护。
(三)《反不正当竞争法》一般条款保护困境
以《反不正当竞争法》的一般条款保护企业数据,存在以下困境:1)一般条款具有规则不确定的问题[7]。法律适用首先需要保证的就是法律的准确性和可预测性,而一般条款具有很强的抽象性,法官在个案中自由裁量的空间很大。2)这一条款的立法目的并不是保护企业数据权益,而是维持市场竞争秩序,不能给企业数据提供有针对性的直接保护。3)一般条款只规制具有竞争关系的企业,数据纠纷也会发生在不具有竞争关系的企业之间,如HiQ诉Linkedin案,二者之间并没有竞争关系,不同类型的企业之间数据纠纷完全有可能发生,一般条款限制了企业数据的保护范围。
二、国内外对企业数据保护财产权路径的探索
(一)国内对财产权路径的探索
由于企业数据权益保护存在着上述困境,我国学者开始探索以财产权来保护企业数据。龙卫球认为:“企业数据保护应走出传统的法律保护策略,构建新型财产权化新机制。”[8]王玉林、高富平认为:“大数据财产权是数据控制人财产的组成部分,是大数据控制人的数据资产。因为大数据是控制人通过资本投入或与信息原权利人达成协议后获得的。”[9]
不仅专家学者提出了构建企业数据财产权保护路径的建议,而且我国在立法层面也有承认企业数据财产权的趋势。《民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”立法者意识到应该对数据,包括企业数据进行保护,但是具体以何种权利保护它们,立法者却举棋不定。根据体系解释的方法,立法者将“数据”与“网络虚拟财产”并列放置于同一条文中,说明立法者认为“数据”和“网络虚拟财产”具有同一属性。立法者将这一条文紧接着人格权、物权、债权和知识产权之后规定对数据的保护,实际上等于认同了数据的权利是一种新型的财产权利[10]。《数据安全法(草案)》对数据的财产属性表述渐渐明朗,草案第17条规定:“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”可见国家鼓励数据交易,企业可以对数据进行商品化利用。
司法具有反推立法的作用。在“新浪微博诉脉脉案”中,法院肯定了新浪微博对于收集和处理用户数据的投入,确认了其对用户数据享有的合法权益。脉脉获取新浪微博用户数据的行为侵犯了微博的商业资源,构成不正当竞争①参见北京知识产权法院民事判决书(2016)京73民终588号。。这实际上是为企业创设了一种排他性的财产权,企业可以利用数据获取收益,也有权排除他人非法抓取。在“淘宝诉美景案”中法院更是直接支持了淘宝提出的对涉案“生意参谋”数据产品享有竞争性财产权益的诉讼主张,这为今后以财产权路径解决企业数据纠纷提供了司法导向。
(二)国外对财产权保护的路径探索
美国的莱斯格于1999年提出了数据财产化理论,虽然莱斯格更注重个人数据保护的单边财产权构造,但同样为赋予企业数据财产权提供了理论基础。莱斯格认为应“通过财产权来保护个人数据,鼓励用户利用财产权的方式,来保护适当的许可。利用相应的技术,用户可以创设许可。如果没有得到许可,隐私权的使用者将会成为侵权人”[11]。这实际上是为个人数据创建了一种财产权,由于理论提出较早,莱斯格提出数据财产权理论时企业数据保护问题还未如今天这样迫切需要解决,但是沿着莱斯格的理论构想,企业在与个人协商后付出价款,数据的财产权即转移到了企业手中。又或者根据莱斯格的逻辑推演,带有人格利益的个人数据都可以被赋予财产权,“强财产弱人格性”[12]的企业数据则更能被赋予财产权。
欧盟于1996年颁布了《关于数据库法律保护的指令》(以下简称《指令》),又把创设企业数据财产权的脚步向前推进了一步。欧盟此前也以版权法保护企业数据库,要求企业数据库需具备独创性,但很快发现独创性的标准并不符合数据产业发展的需要,于是在《指令》中降低了保护标准:具有独创性的数据库仍适用版权法保护,不具备独创性的数据库,只要企业对数据库进行“实质性投资”即可获得法律保护。不仅如此,欧盟还进行了数据库权利的具体设计。《指令》第7条第1款规定:“各成员国应为在数据库内容的获取、核验核实或选用方面,经定性与/或定量证明作出实质性投入的数据制作者规定一种权利,即防止对数据库内容的全部或定量证明为实质部分进行撷取与/或反复利用的权利。”《指令》最大的贡献在于摆脱了版权法保护企业数据的窠臼,不再要求具有独创性,一系列的制度安排都体现了对赋予企业数据财产权的初步尝试。
早在1918年,美国就在司法实践中认定数据具有财产属性,创立了“数据盗用”理论②参见International News Service V.Associated Press,248 U.S.215(1918)。。在International News Service V. Associated Press案中,美国联邦最高法院认为:“国际新闻社贿赂美联社员工在新闻还未刊登前就提前披露给自己,其行为构成不正当竞争。新闻信息和事实数据不受版权保护,但美联社为之投入劳动,享有特殊利益,是美联社的准财产,可以对抗竞争者的不正当竞争行为。”在今天,“数据盗用”理论仍然在司法实践中得以适用,Facebook, Inc. v. Power Ventures, Inc.一案的法官认为:“Power Ventures未经Facebook授权爬取Facebook用户数据,Facebook有权阻止。”虽然盗用数据的手段不同,但判决结果是一样的,背后的判决原理也是一致的,即企业对数据享有财产性利益。
三、赋予企业数据财产权的理论基础
(一)劳动产权理论
洛克认为财产权是生存权的延展,人之生存、人之发展都需要财产,但对于处于自然状态中的一切,例如果实和兽类,没有人能够天然地享有财产权,但如果对之施加劳动,就有了赋予财产权的正当性基础,“因为一个人有权享受所有那些他能施加劳动的东西,同时他也不愿为他所享用不了的东西花费劳力。这就不会让人对财产权有何争论,也不容易发生侵及他人权利的事情”[13]。根据洛克的劳动赋权理论,赋予某一主体对某一物质以财产权需要满足如下三个条件:1)主体对物质有利用需求;2)主体需付出劳动;3)主体不能侵犯他人权利。
洛克的劳动赋权理论为赋予企业以数据财产权提供了一个有力论证:1)企业对数据有强烈的利用需求。数据已经成为生产要素,未来企业发展将会更加依赖数据。2)企业对数据付出了劳动。企业对原本处于散乱状态的数据进行收集、清洗、匿名化处理后,使数据的价值有了巨大提升,单个数据的价值微乎其微,只有经过企业加工处理后数据才会产生聚积效应,爆发出巨大能量,企业对数据的投入不容忽视。3)赋予企业数据财产权不会侵犯他人权利。赋予企业对数据的财产权不仅能够保护企业的数据权利,同时,还会对企业保护个人数据权利产生激励作用。“有恒产者有恒心”,赋予企业对数据持久的财产权利,将会激励企业对数据进行合规化处理,在企业数据不能得到法律有力保护之时,企业可能只对个人数据采取基本的匿名化处理措施,若明确设立企业数据财产权,企业为充分有效利用数据会更有动力保护个人数据,采取更为安全的加密措施,因为只要达到法律所规定的数据合规化标准,企业便可放心地使用数据。综上所述,赋予企业数据财产权符合洛克的劳动产权理论。
(二)功利主义理论
边沁认为法律应当“按照看来势必增大或减少利益有关者之幸福的倾向,亦即促成或妨碍此种幸福的倾向,来赞成或非难任何一项行动。不仅是私人的每项行动,而且是政府的每项措施”[14]。他认为,法律应通过事先的制度安排,尽可能降低损害、获取利益,实现个人的最大福乐,进而实现社会的最大利益。将数据财产权赋予企业才能实现社会的最大利益,是当前最妥当的立法选择。
假设将数据财产权赋予个人,首先,会损害人与人之间的正常沟通。个人拥有数据财产权,意味着每次获得他人数据都应征得他人同意,如果未经他人同意则有侵权之嫌。在这个信息社会,人与人之间的数据在不断地频繁地流动着,个人对数据拥有财产权会阻碍人与人之间的正常沟通。其次,还会损害数据产业发展。将数据财产权赋予个人,企业要想获得数据必须花钱购买,即便价格低廉,对于有上千万、上亿用户的企业来说,巨大的交易成本也会使其无法承受,大数据产业无法运转。最后,将数据财产权赋予个人,个人并不能获得利益。企业支付了数据对价以后必然会转嫁成本,可能会将以前提供的免费服务改为收费服务或者将以前较低的收费改为较高收费,个人看似有权用数据获得财产利益,实则“羊毛还是出在羊身上”。由此可见,将数据财产权赋予个人并未使最大多数人获得最大利益,违背了功利主义原理。
相反,将数据财产权赋予企业是对功利主义原理的真正践行。企业对数据享有财产权将会促进数据产业的发展。根据科斯定理,“当交易成本为零时,不论权利的法律原始配置如何,只要权利交易自由,就会产生高效率的资源配置”[15]。显然,交易成本不可能为零,因此权利的初始配置至为关键,不同的权利配置会产生不同的资源配置结果,法律要做的就是明确产权,降低交易成本。如前文所述,将数据财产权配置给个人将会产生极高的交易成本,数据资源无法得到有效利用,而将数据财产权配置给企业将最有效率,因为数据的集中化运用与规模化运用可以有效化解数据的外部性问题和交易成本问题[16],实现数据资源配置的帕累托最优,数据产业得以获得健康发展。将数据财产权赋予企业不仅会使企业获得利益,个人也会得到利益。明确企业数据财产权的同时也为企业明确规定了利用个人数据的规范,促使个人数据在阳光下流动,保障个人数据权利。将数据财产权赋予企业,使个人和企业都能获利,符合功利主义原理。
四、企业数据财产权保护路径的具体构建
(一)构建理念
构建企业数据财产权应以保障个人数据权益为前提,促进数据合理流通为必要。企业数据财产权不同于现有财产权体系下的任何一种权利,传统物权的客体一般为有体物,企业数据财产权的客体是无形物;也不同于知识产权,知识产权奉行“知识是公开的,权利是垄断的”[17],企业某些数据不是公开的,所以企业数据财产权也不能被知识产权所囊括;也不同于债权,债权是一种请求权,企业对数据需要的是支配权,如果按照债权属性去构建企业数据财产权,企业数据权益还是不能得到有效保护。因此,企业数据财产权是一种新型财产权,是一个包含权利体系与限制体系双边构造的财产权体系。
(二)权利体系
1. 占有权
占有权是企业对数据享有排他占有的权利。数据的非排他性特征致使企业不能对数据实质性地独自占有,数据与一般有体物不同,有体物被盗取、被侵夺将会排除被侵权人的占有,数据被盗取并不会致使被侵权人丧失对数据的实质占有,但是占有权为实现企业数据财产权所必需,法律应根据数据的特征作出拟制性规定,人为地为企业设定排他占有权。排他占有权可以排除他人非法爬取、非法盗取等一切不正当手段获取本企业数据的行为,有权主张侵权人删除数据,恢复权利的圆满状态。企业对数据的排他占有权是在法律上的排他,是为了构建企业数据权利体系作出的特别规定,纵使企业不能在事实上排他,但企业可以获得法律上的支持,这一权利将是解决当前爬取类企业数据纠纷的直接依据。
2. 使用权
使用权是企业对数据享有的以各种形式利用的权利。可将企业对数据的使用权分为内部使用权和外部使用权:内部使用是指供数据占有企业自身使用,如使用数据进行员工管理、风险预判、制定营销策略、研发数据产品等;外部使用是指供数据占有企业以外的企业使用,如将数据共享给合作伙伴。需要说明的是,内部使用权和外部使用权的区分仅仅是为了便于企业主张数据权利,法院作出司法裁判而做的分类,随着数据利用的加深,出现了无法归于内部也无法归于外部的数据使用模式,可不必拘泥于这一分类,按照笼统的数据使用权加以保护。例如在联邦学习③又称联盟学习,是一个机器学习框架,能有效帮助多个机构在满足用户隐私保护、数据安全和政府法规的要求下,进行数据使用和机器学习建模。框架下,既有内部使用也有外部使用,在数据交易过程中,企业既使用数据为自己获得了收益,也将数据提供给了其他企业使用。因此在这种情况下没必要做刻意区分,只要企业的数据使用符合正常的数据产业发展规律,皆应受到使用权的保护。
3. 收益权
收益权是企业利用数据获得经济利益的权利。只有收益得到保障,才能激励企业对数据合法占有、正当使用,如果获取收益是企业合法占有数据、正当使用数据的必然结果,企业每一次合法利用数据产生的收益都能得到保障,那么将会在三者之间形成良性循环。企业利用数据研发数据产品,然后利用数据产品提供服务或者将数据产品出售会产生直接收益,随着数据财产化的加强,企业不进行数据产品研发,通过清洗、建模后将数据出售也成了企业获得直接收益的一种重要方式。可以预见未来直接交易数据将会是数据产业的常态。企业利用数据进行精准营销、风险研判会使企业产生间接收益。企业利用数据所产生的两种收益都应得到法律的保护。
4. 处分权
处分权是企业依法对数据进行处理的权利。具体来说就是,企业有权将经过处理后的数据投入生产,根据《中共中央、国务院关于构建更加完善的要素市场化配置的体制机制的意见》,国家首次明确了数据与土地、劳动力、资本、技术等传统生产要素同等的生产要素地位,数据已经成了企业生产发展不可或缺的要素,能够为企业带来巨大经济利益。企业也有权利用数据进行交易,除底层数据不能交易外④底层数据,即原始数据。指未经清洗、去识别化的数据,一旦泄露可能会引发个人信息安全风险,侵犯隐私权。。如贵阳自2015年成立大数据交易所以来,数据交易并不鲜见,企业利用数据进行交易在事实上为企业创设了数据处分权,企业的数据处分权应在法律上予以明确。
(三)限制体系
1. 收集限制
收集数据是企业行使数据权利的起点,但企业收集数据受到诸多限制。其一,受到个人知情同意权的限制。企业收集个人数据一方面要保障个人的知情权,应将收集范围、收集目的和使用方式等如实告知个人;另一方面要保障个人的同意权,不得利用格式条款、技术手段等迫使个人同意。其二,受到必要原则的限制。企业收集个人数据限于实现收集目的的最小范围,不得收集与所提供服务无关的个人数据。其三,受隐私协议范围的限制。企业应细化隐私协议,为个人设置勾选项,保障个人的自主选择权,个人未允许企业收集的数据通常情况下不得收集。
2. 使用限制
企业对数据的使用权受到两方面的限制:一方面,应受到个人利益的限制。数据之中蕴含着人格利益,个人享有数据权益。企业对个人数据负有保护义务,对此可借鉴欧盟的数据保护官制度,要求符合条件的企业应聘任数据保护官专门负责保护个人数据。另一方面,应受到公共利益的限制,出于维护公共利益的需要,国家可动用强制力促使企业将数据共享给国家。企业数据的强制共享制度在疫情时期尤其具有重要意义,不仅仅在发生疫情的情况下可以要求企业共享数据,发生自然灾害、市场失灵、违法犯罪等情况下也可以做此要求,但要注意共享范围与共享期限。此外,出于科研需要,科研人员、科研机构、教学机构有权使用企业数据,但应向企业支付合理费用,且不得利用企业数据从事牟利活动。
3. 出境限制
企业数据跨境流动不可避免,为维护数据安全完全禁止数据出境是不现实的,为保障个人数据权益,需要对企业数据跨境流动做出合理限制。首先,应建立数据出境的事前许可机制,企业数据出境应以保障个人数据权益为前提,在企业数据敏感性较高、安全风险较大的情况下应申请许可;其次,企业数据出境后,企业仍需对数据安全负责,履行持续负责义务。最后,企业未履行数据安全保障义务,数据监管机关有权对企业采取行政处罚措施。
五、结语
正在制定中的《个人信息保护法(草案)》和《数据安全法(草案)》分别为个人数据和政府数据提供保护,却忽视了企业数据权益的保护需求。数据已进入要素市场,成为企业资产的重要组成部分,企业为之付出劳动、用之生产,也应受到法律的保护,同时,只有企业数据权益得到保护,企业才有动力保护个人数据,而依靠现有法律保护路径不足以为企业数据提供充分有力的保护,需要探索新的保护路径,构建企业数据财产权已经成为保护企业数据的一种趋势。企业数据财产权是一种新型财产权,有自身独特的构建理念,也有特殊的构建结构,既包含权利体系也包含限制体系,具有保障个人隐私、发展数字经济、保障数据安全的多重功能。法律应对企业数据权益的边界予以厘清,才能使个人、企业、政府各方主体的数据利益达致平衡。
[1] 王巍.“车来了”涉嫌偷数据被警方立案,非法获取计算机系统数据是个什么罪?[EB/OL].[2016-07-06](2020-12-30)http://www.bjnews.com.cn/news/2016/07/06/409048.html.
[2]佚名.新浪微博诉脉脉非法抓取用户信息不正当竞争案[EB/OL].[2017-10-31](2020-12-30)https://sciiip. gdufs.edu.cn/info/1028/1083.htm.
[3] 董磊.淘宝公司诉美景公司不正当竞争,大数据产品财产权益究竟归谁[EB/OL].[2019-03-20](2021-10-27)http://finance.china.com.cn/industry/20190320/4928293.shtml.
[4]曹建峰,田小军.六大国内外典型案例解读:AI时代,如何保护企业数据权益?[EB/OL].[2019-03-29](2021-10-27)https://zhuanlan.zhihu.com/p/60732584.
[5] 瞿淼.数据之争——盘点2017年与数据有关的争议[EB:OL].[2018-03-21](2021-10-27)https://www.kwm.com/zh/cn/knowledge/insights/summary-of-all-the-disputes-related-in-data-throughtout-the-year-of-2017-20180321.
[6] 李扬.试论数据库的法律保护[J].法商研究(中南政法学院学报),2002(1):57-66.
[7] 丁晓东.什么是数据权利?——从欧洲《一般数据保护条例》看数据隐私的保护[J].华东政法大学学报,2018(4):39-53.
[8] 龙卫球.再论企业数据保护的财产权化路径[J].东方法学,2018(3):50-63.
[9] 王玉林,高富平.大数据的财产属性研究[J].图书与情报,2016(1):29-35,43.
[10] 程啸.论大数据时代的个人数据权利[J].中国社会科学,2018(3):102-122,207-208.
[11]劳伦斯·莱斯格.代码2.0 网络空间中的法律[M].李旭,沈伟伟,译.北京:清华大学出版社,2009:245.
[12] 李扬,李晓宇.大数据时代企业数据边界的界定与澄清——兼谈不同类型数据之间的分野与勾连[J].福建论坛(人文社会科学版),2019(11):35-45.
[13] 洛克.政府论:下篇[M].瞿菊农,叶启芳,译.北京:商务印书馆,1964:32.
[14] 边沁.道德与立法原理导论[M].时殷弘,译.北京:商务印书馆,2000:59.
[15] 理查德·波斯纳.法律的经济分析[M].蒋兆康,译.北京:法律出版社,2012:38.
[16] 丁晓东.数据到底属于谁?——从网络爬虫看平台数据权属与数据保护[J].华东政法大学学报,2019(5):69-83.
[17] 管洪博.大数据时代企业数据权的构建[J].社会科学战线,2019(12):208-215.
The Dilemma of Enterprise Data Rights Protection and Its Solutions
WANG Yanan
(School of Law, Hebei University, Baoding, Hebei 071000, China)
The endless disputes over enterprise data have caused difficulties in the legal protection of enterprise data. There are difficulties in protecting enterprise data with copyright, trade secrets and the general provisions of the anti-unfair competition law. Both at home and abroad, how to protect enterprise data with property rights has been explored and attempted, achieving initial results. Labor property rights and utilitarianism are the theoretical basis for constructing enterprise data property rights. Enterprise data property right is a new type of property rights, and the concept of its construction is to protect personal data rights and interests as the premise and promote the rational circulation of data as a necessity. Enterprise data property right includes right system and restriction system. The former includes the rights of possession, use, income and control, while the latter the restrictions of collection, use and exit. And giving enterprises property right is a new way to protect enterprise data.
enterprise data rights and interests; ownership of property; power system; restriction system
10.3969/j.issn.1673-2065.2021.06.015
王亚楠(1996-),女,满族,河北秦皇岛人,在读硕士。
DF37/DF411.91
A
1673-2065(2021)06-0103-06
2020-12-16
(责任编校:耿春红 英文校对:杨 敏)
