万玲娣

2020年10月21日，全国人大常委会法工委公开就《中华人民共和国个人信息保护法（草案）》（以下简称个人信息保护法草案）征求意见，在我国个人数据保护方面踏出了坚实一步，其对于个人信息处理者的义务规定，可视作对企业数据安全保护及交易的法律规定。2020年12月28日，广东深圳市六届人大常委会第四十六次会议首次审议了《深圳经济特区数据暂行条例（草案）》，这是我国首部数据领域的综合性专门立法，首次提出“数据权益”保护，并明确数据要素市场主体以其合法收集的数据和自身生成的数据为基础开发的数据产品的财产权益受法律、法规和本条例的保护。2021年3月15日，市场监管总局主动作为制定出台《网络交易监督管理办法》（以下简称办法），并于2021年5月1日正式实施，办法是贯彻落实《中华人民共和国电子商务法》的重要部门规章，对相关法律规定进行细化完善，再次明确网络交易者对个人信息收集、使用的基本原则。近期国家与地方政府、相关委办局密切出台有关数据或信息领域方面的法律，一方面是对个人信息受到侵害现象的重视，另一方面也是提醒相关企业在数据收集、应用、交易方面应遵循法律规定。

第一，数据初次收集时的注意事项

一是在收集、使用数据程序上符合法律规定。个人信息保护法草案第十三条的核心条款，明确了个人信息处理者处理个人信息的前置条件;《中华人民共和国网络安全法》（以下简称网络安全法）明确具有收集用户信息功能的网络产品、服务，以及网络运营者收集、使用个人信息，均应征得信息提供者的明示。据此，企业要履行告知义务，提供数据主体选择与访问权。20多年来，“告知”本质上一直都是全球所有隐私法律、规章和准则的核心，现在“告知”进一步明确为需经个人信息提供者同意。企业应告知数据主体包括且不限于以下内容：收集数据的企业名称，收集数据的原因，数据的使用方向，数据二次使用的可能用途，所收集数据的性质及收集方式，提供请求数据属于自愿还是强制的，以及拒绝提供请求信息的后果，机构为确保数据的机密、完整和质量而采取的措施。同时要为数据主体访问其数据提供便利，如数据主体有权查询、阅览、复制数据控制者所持有其个人数据的权利。对于个人数据不正确、不完整的部分，数据主体可以要求删除、更正、补充。

二是在收集、使用数据实体上符合法律规定。网络安全法及办法均规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。同时办法第十三条进一步规定，“网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式，强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的，应当逐项取得消费者同意”。对于数据收集、使用的实体内容符合该原则，需要企业综合考量商业目的、业务范围，采取有限收集原则， 而不是越多越好。在考量商业目的时，不仅要对初次使用数据的目的有清醒认识，还要考量数据的二次使用或后续使用可能，对数据使用范围与数据主体提供范围进行比对。在制定大数据的使用机制时，企业要注意记录并保存分析过程的程序，在遇到法律纠纷时作为证明商业目的的辅助证据。

第二，数据二次使用时应履行的程序

最高院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二项规定，“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的‘提供公民个人信息，但是经过处理无法识别特定个人且不能复原的除外”。个人信息保护法草案第二十四条规定，“个人信息处理者向第三方提供其处理的个人信息的，应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的，应当依照本法规定重新向个人告知并取得其同意”。根据这些规定，如企业将合法收集的数据用于销售或许可他人使用时，需满足下列两项条件中的一项：第一种情况，企业二次使用从数据主体处获得的数据，如在初次收集时未获得数据主体许可，或使用范围超出数据主体初次许可使用范围，则在该数据销售或许可他人使用之前，应征得数据主体的同意。第二种情况，在数据二次使用时，对数据进行匿名化处理。企业可以根据收集的数据性质、种类、规模，通过技术手段进行匿名化处理，以避免个人信息的泄露。当然，该种方式必然会增加数据交易的成本，同时依赖于数据匿名化技术的发展，使用或交易数据的双方应对数据匿名化的程序、责任、费用承担方式等予以明确约定，以避免法律风险的发生。

第三，数据交易或许可使用时的必经程序

在讨论数据初次及二次收集、使用时应注意的问题后，笔者需提醒企业在数据交易或许可使用时的另一风险点，即在做好企业自身对个人信息安全保护义务的同时，应关注交易方或许可使用方使用数据的目的。根据最高院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条规定，“出售或者提供行踪轨迹信息，被他人用于犯罪的;知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”，应当认定为刑法第二百五十三条之一规定的“情节严重”，第六条对“为合法经营活动而非法购买”、收受个人信息情节严重的情形进行了规定。由于上述两条的规定，数据交易的提供方或许可使用的许可方为避免数据交易后或许可使用后可能被追究的刑事责任，在作出交易或许可行为前，应对交易方或被许可方进行尽职调查，以确保对方在违反法律规定时，自身处于合法状态。尽职调查的内容包括并不限于：数据交易方的业务范围、本次交易的商业目的、数据用途、数据匿名化的方式与手段、保护信息安全的途徑等。

第四，运用知识产权、商业秘密及反不正当竞争方面的法律规定保护企业数据

在大数据领域，其对数据收集的趋势会更大、更全，且行业将更趋于使用统一的标准或规则对同一类型的数据进行整合，要求企业在数据收集的过程中体现企业选择、汇编数据的独创性，显然是不符合行业发展的趋势。同时，著作权法只对其独创性的选择或编排的表达进行保护，而非其选择或编排的内容，侵权者很容易通过改变数据信息的编排结构来规避法律，这就会使对数据信息的保护失去意义。因此依据著作权法对于选择和编排上有独创性的数据库或数据集，可以将其视作汇编作品进行保护;对于企业投资人力、物力、财力汇编的无独创性作品，可依据邻接权进行保护。

根据专利法的保护范畴，企业数据往往涉及商业方法（模式）、特定算法、计算机软件等，单纯的商业运作方法显然不具备可专利性，但通过软件、硬件与网络结合的系统解决一定的技术问题，具有鲜明的技术属性，按照《专利审查指南（2020）》第二部分第九章关于涉及计算机程序的发明专利申请审查的若干规定进行判断，可授予方法专利（复杂系统专利）。

对于在实践中无法获得知识产权法保护的具有商业价值的大数据产品，笔者认为，在目前的法律框架内，可以作为商业秘密进行保护。数据企业可以将产品纳入企业商业秘密范畴，履行反不正当竞争法对商业秘密进行保护的要求，享受反不正当竞争法对企业的大数据产品进行保护的权利。同时在交易合同中明确揭示数据产品商业秘密的属性，对交易方提出保守商业秘密的要求，借以实现数据产品的交易。

当前，企业数据的法律问题因立法的空白与实践需求的矛盾，正在理论学界掀起热议，各种观点、各种意见与建议正通过各种论坛、研讨会不断涌现，作为在实务领域工作的律师，迫切希望中国的数据立法能加快步伐，适应不断发展变化的实践需求。

（作者系上海市捷华律师事务所律师、上海市法治研究会副秘书长）