数据权属的认定及体系构建
2022-02-02孙世超
孙世超,赵 伟
(北京师范大学法学院,北京100875;天津市高级人民法院,天津 300100)
一、问题的提出:数据权属的意义与必要性
数据并非新生词汇。在历史长河中,人类进行大范围、大规模的生产、交换、流通等活动均需要以数据为基础。例如货币的使用,通讯的发展。这些数据的记录和应用对人类文明进步做出重大贡献[1]。数据权属之争也因数据流转纠纷迭出,数据自身价值不断升级。如今,在万物互联的新时代,数据拥抱网络空间呈现出爆发式发展,其所承载的经济价值和社会价值也日益凸显,与数据紧密相连的各类产业应运而生,如大数据平台产业和人工智能的广泛应用等。这些新兴数据产业的发展更需要健全的法律制度对数据权属予以规范。
数据权属的研究目的是讨论数据作为一种权利,其权利主体是什么,应该赋予何种权能,以及权利产生的利益归属问题如何解决。国内外学者对数据权属问题展开了讨论。我国有学者对数据权属的体系与分类以及数据的财产权属进行研究,对数据安全保护进行构建。虽然,这些问题都值得深入地分析和研究,但我们首先要从本质上明确数据的基本权属。
明确数据权属是规范与完善数据收集、使用、流转、交易等法律制度的起点,是形成数据相关法律关系的基础,是构建数据安全保护体系的重要前提,对确定数据在法律中的精准定位有着重要意义,也为司法实践中相关数据案件的审理提供理论支撑。
二、理论探究:我国数据权属的内涵及其类型化归纳
目前,学界对数据权属的内涵与体系进行了大量研究和讨论,产生多种学说。其中,大多数观点持数据权利肯定说,但并未对数据权利的内涵、主客体、内容、分类等相关问题得出统一结论。数据权利究竟属于物权、知识产权、还是新型权利,其所保护的法益到底是人格权还是财产权,或是两者兼顾,在这些问题上都存在不同观点。基于此,本文对数据权属内涵理论研究进行梳理,并从“数据权利主体”“数据要素权益”“数据流转权益”三个方面对数据权属进行类型化归纳。
(一)关于数据权属内涵的讨论
关于是否应当对数据进行赋权,学界有不同观点。一些学者认为不应当将数据赋予权利进行保护,因为其本身并不具有客体性质,不属于民法上所称之“物”。他们主张数据具有较强的流通性,很难为民法主体直接控制,若赋予数据权利,则不利于数据的高效流转,抑或形成数据垄断等新态势;同时,数据于载体有极强的依附性,这也使其缺失了民事客体具有独立性的特点,数据本身没有任何意义,法律所应规制的核心内容在于人们赋予其承载的内容,但这并不是民法对实体权利含义的诠释。因此,这部分学者主张采用相关法律模式进行数据保护,例如竞争法、知识产权法、侵权责任法、刑法等保护模式[2]。另一部分学者则认为,数据应属于民事权利上的客体,理应进行赋权保护。数据是对事实的记录,虽然需要依靠一定的载体或媒介呈现所表达内容,但从某种意义上讲,这些数据的内容和形式也是独立存在的,是可以具体化和量化的,因此数据具有一定的客体属性,是应当赋权保护的[3]。
虽然,大部分学者认为应当给予数据权利保护,但对于如何赋权,赋予何种权利等问题仍存在分歧。有学者认为数据是实际存在的,不是无形物,也不具有独立性,因此不能归入民事权利范畴;而数据所承载的内容具有价值属性,其本身不存在经济价值,因此亦不能够归为财产[4]。也有学者从分析数据属性角度出发,认为其具有财产属性、人格性和新型财产性三大类[5]。甚至有学者提出可以不给数据权利下任何定义,直接进行数据权益分配[6]。还有部分观点提出数据权属主要是解决数据权利属性、数据权利主体和数据权利内容这三个问题[7]。
(二)“数据权利主体”下的数据权属归类
根据数据主体不同,可以将数据权属分为个人数据权、企业数据权和政府数据权。个人数据是指可以识别特定人的数据[8]。将数据权归属于个人数据权,一般是对民法上的人格权保护进行新兴演变,把数据的提供与个人信息保护衔接。不过,此处的人格权有两类不同解释,其中一类为一般人格权,例如数据隐私权、数据自由权等权益;而另一类则属于新型人格权,例如数据被遗忘权、数据更正权、数据决定权等[9]。除此之外,学界还有一种观点认为,个人数据既有人格要素又兼顾财产要素,是人格权和财产权的综合体。当数据主体维护相应的人格权益时,应赋予数据人格权保护,当数据主体维护财产权益时,应赋予相应的数据财产权保护,两者统一归属于个人数据之中。也就是说,个人数据权包含数据人格权和数据财产权[10]。
将数据权归属于企业数据权,主要是由于企业多为数据的持有方。企业数据权大致产生于两种渠道,一是企业在生产、经营过程中自身创设、生成的数据,另一种是企业通过第三方平台或企业的数据持有者、数据生产者、数据加工者等处获取的数据。多数情况下,企业数据权更趋同于知识产权,有一定的智力凝聚和经济价值,并积极参与竞争。一些学者认为,企业数据权所要表现的是一种复杂的新型数据财产权,能够达到协调多方面利益的更高要求[11]。
不同于企业数据权,政府数据权所涉范围更广、类型更多,数据公开、数据保护问题更加突出,数据价值也更有深度。政府数据权最突出的特点就是具有公共属性,不具备排他性和竞争性[12],展现出真实性和权威性,主要为公共事业提供数据支持,例如交通数据、气象数据、地质数据等。因此,也有学者提出将政府数据权划归为国家所有权,由国家进行公共数据管理[13]。
(三)“数据要素权益”下的数据权属归类
根据数据要素权益的内容,可以将数据权属分为财产权、知识产权与反不正当竞争权、新型权益。数据财产权是对数据赋予财产权属性。立法实践中,《中华人民共和国民法典》(以下简称《民法典》)将数据和网络虚拟财产共同列举,即是对数据财产属性的肯定①。在司法实践中,法院在审理涉数据权属类案件时也肯定了数据要素的财产性权益。例如,淘宝诉美景公司案,法院认定涉案数据产品“生意参谋”为竞争性财产权益[14]。知识产权说更多是围绕企业数据展开的。一般来说,企业数据中主要以数据库和数据集为呈现形式,在处理过程中对数据进行选择和编排,类似于著作权中的保护模式,因此我国早期学者认为数据权属可划分至知识产权范畴[15]。
但有学者认为,数据库的独创性受限,与著作权的规制范围渐行渐远,逐渐被商业秘密保护所取代[16],向反不正当竞争权倾斜。不过,虽然《中华人民共和国反不正当竞争法》(以下简称《反不正当竞争法》)中的一般条款对数据竞争行为的违法性进行了认定,但这种单一条款并不具有系统性的理论支撑。另外,商业秘密也属于广义的知识产权范畴。因此,笔者将知识产权说和反不正当竞争说合并论述。数据是集人身、财产和社会关系于一体的外向表达,赋予了其所承载的法益是一种新时代的权利内涵[17]。
在此基础上,学界提出了新型权益说。有的学者认为新型数据权包括个人数据权和数据财产权[18]。有的学者认为新型数据权利是一种具有财产权属性、人格权属性和国家主权属性的新型民事权利[19]。还有学者认为应当构建数据权谱体系,将数据权属分为数据主权和数据权利两大部分[20]。
(四)“数据流转权益”下的数据权属归类
数据只有在公平、有序的流动中才能生机勃勃,产生社会财富与价值。因此,数据权属问题的确定保障数据在收集、传输、存储、处理、应用、销毁等动态环节中呈现出最大化价值。在此过程中,学界根据数据流转的主体和数据流转过程中数据归属类型进行分类。
首先,根据流转主体进行分类,可以将数据权利主体分为数据来源主体、数据收集主体和数据继受主体[21]。数据来源主体所享有的权利具体可以表现为数据人格权,如数据被遗忘权。数据收集主体所享有的权益可以表现为数据财产权,如数据使用权、数据收益权、数据用益权。数据继受主体所享有的权益可以表现为数据转让权,数据二次转让权。
数据在流转过程中,还可以按照数据归属类型进行数据权属确定。大致分为两类:“原始数据和衍生数据”“一般数据与敏感数据”。原始数据和衍生数据是根据数据的来源状况划分的,原始数据是数据主体最初始的来源数据,具有高度准确性和固定性,独立且排他。数据实际控制者想获取这类数据的所有权,必须要经过原始数据主体同意。衍生数据是在原始数据的基础上加工而来的,通过合并、拆分、转换等方式赋予数据一种全新的意义。法院在审理“淘宝诉美景公司案”即采取的此种分类方式②。一般数据与敏感数据是根据数据的敏感程度划分而来,但此种分类并没有十分明显的边界。《信息安全技术个人信息安全规范》中对敏感数据进行了定义,并具体列举11种类型的信息数据③,这些数据能够识别特定人群。而除敏感数据以外的信息即为一般数据。
三、实践检视:我国数据权属问题的立法现状及司法认定
数据作为大数据时代的石油,具有重要价值。本文将从我国立法情况、司法典型案例入手,剖析我国数据权属问题的实践现状。
(一)数据权属规范仍需进一步细化
在大数据时代,我国数据产业日益蓬勃,发展势头持续走高,数据需求也日渐强烈,相关问题迭出。例如数据共享不够,数据产权不清,数据安全存在漏洞,个人数据隐私泄露严重等。若想解决这些问题,根源和起点都是明晰数据权属问题。易言之,数据权属内容和体系的明确,能够划定数据收集、传输、存储、处理、应用、销毁等环节的行为界限,有效实现数据交易公平,保障数据安全。
我国在立法方面对数据权属问题予以高度重视。2016年12月,《“十三五”国家信息化规划》中明确要求加快推动数据权属、数据管理方面的立法。2020年3月,国务院出台《关于构建更加完善的要素市场化配置体制机制的意见》,首次将数据确定为生产要素之一,鼓励数据产业流动,振兴国家数据经济。2020年7月,最高人民法院和国家发改委联合出台的《关于为新时代加快完善社会主义市场经济体制提供司法服务和保障意见》提到要加强对数据权益的保护,完善数据保护法律制度,为审理有关数据权益保护案件提供了指导方向。2021年1月《民法典》施行,其中第127条对数据、网络虚拟财产的保护做出规定[22],为开展数据权属问题研究奠定基础;同时,也预示着我国在立法层面上承认了数据的财产属性。2021年6月通过的《中华人民共和国数据安全法》(以下简称《数据安全法》)对数据安全保护的相关内容做出了规定。
由此可见,我国立法在数据流动、数据交易、数据安全等方面实现了顶层设计,但仍未对数据权属问题做出明确诠释,例如数据是否需要赋权,数据权利究竟归属于谁,数据权利的具体内容等。当然,数据权属问题涉及多个领域,不同种类和属性的数据通过不同的法律规制视角也会呈现出多种认定方向和确权问题,这确实很有难度,也颇为复杂。但若要真正理顺数据处理、数据交易及数据安全保护等相关问题,数据确权则是必经环节。
(二)跨境数据权属规制呈现立法空白
“跨境数据”最早是由经合组织在《隐私保护与个人数据跨境流动指南》中提出的,指数据从一个国家、地区或国际组织传输到另一个国家、地区或国际组织[23]。随着数字经济的迅猛发展,跨境数据已经成为国际经贸中的重要组成部分,也成为威胁国家数据主权安全的重要因素之一。目前,各国对于跨境数据的规制均处于初步探索阶段。我国在立法方面也对跨境数据相关问题进行了规制,其中《中华人民共和国网络安全法》《数据安全法》《数据出境安全评估办法》《个人信息和重要数据出境安全评估办法(征求意见稿)》《信息安全技术数据出境安全评估指南(征求意见稿)》等法律法规及规范性文件对跨境数据的评估、流转、监管等方面做出了规定,《中华人民共和国反恐怖主义法》《中华人民共和国刑法》以及最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等也对跨境数据流动产生的法律问题做出部分规定。但目前我国还未建立跨境数据方面的专门立法,且已有立法过于原则化,并没有完全解决跨境流动存在的管辖权、域外效力等实际问题,也未明确跨境数据权属的相关要求。
跨境数据确权是一个较为复杂的话题。数据的流转是无国界的,但数据所承载的权利属性却存在国别限制。跨境数据权属应归属于哪个国家,由哪个国家进行确权,其权利属性应归类为何种权利,按照哪些法律进行规制等,均需要有立法的明确规定。这不仅有利于实现跨境数据的正常流转,维护国际经贸稳定发展,也有利于保障我国的数据主权安全。
目前,学界对跨境数据领域的研究主要集中在跨境数据的治理,跨境数据流动的限制、监管等方面,对跨境数据权属问题的研究还不够深入。我国《数据安全法》第2条明确规定了跨境数据的保护原则,意味着目前我国对境内境外双向区域的流动数据安全问题给予高度重视。保障跨境网络安全、数据安全已经成为巩固国家安全的一道屏障。规制跨境数据流动治理迫在眉睫,而确立跨境流动数据权属规范是重要前提。
(三)数据权属司法认定类型复杂
在互联网3.0时代,万物互联已成为主流趋势,数据无疑是其中最关键的生产要素[24]。实务界也不乏对数据权益的关注,数据权属的认定及保护也成为司法实践中的焦点。通过检索中国裁判文书网,对淘宝诉美景公司案④,微博诉脉脉案⑤,大众点评诉百度案⑥,谷米科技公司诉武汉元光科技、邵凌霜某某等案⑦,阿里巴巴诉码注公司案⑧,韩华公司诉五八公司案⑨,微梦诉蚁坊案⑩等有关数据权的典型案例进行分析和梳理。(详见表1)
上述案例的裁判文书中并未对数据权属进行具体的认定,而是通过竞争性财产权益、不正当竞争要件、侵犯商业秘密要件、合法权益等表述对数据权属进行定义。分析表1的典型案例,其中有三个案件的数据权属存在两个或两个以上构成要件。也就是说在确定数据权属的认定方式上,有可能存在“数据多权”的情况。因此,实践中对数据权属的认定不能局限于单方主体或类型。以“微博诉脉脉案”为例,如果将数据权属认定为竞争性财产权属并归企业所有,则无法平衡对用户的数据保护,但竞争性财产权具有排他性,若对数据认定为两种权属,也就丧失了竞争性财产权的唯一属性,如果将数据权属归于用户,否认企业对数据的权利,那么企业所付出的人力、物力、财力等成本均付之东流,这大大削弱了企业的积极性;同时,将数据权利归属于个人,也会在实际运用中出现很多问题,例如个人对数据权利的行使较为困难,对数据的掌控能力有限,数据在个人运作下发挥的价值极度限缩,影响数据发挥最大价值,数据安全也受到影响。因此,对同案中存在多种数据权属的认定,不能简单进行单一认定处理。
表1 数据权属认定典型案例分析
不同的数据主体在不同场域下所主张的权利不同,同一数据在不同场景下甚至同一数据在不同数据流转阶段都可能表现出数据权属的差别性能。对数据权益的归属认定不能单纯“一刀切”,其关键在于如何平衡数据持有者、数据使用者及数据控制者之间权益,以及如何实现数据所赋多种权益之间的平衡,以实现利益之间的最优配置和数据价值最大化。例如当公共数据与企业数据产生摩擦或冲突时,理应先行考虑公共数据的确权、流转和保护。因为在平衡公共利益与企业利益时,只有给予公共利益最优配置,实现公共利益最大化后,才能有效保障企业利益的实现。
同样,不同数据主体对不同场域下的数据权益保护也有不同需求。首先,在对具有国家安全及公共利益属性的数据权益中,要在注重保障国家秘密、商业秘密和个人隐私不受侵犯的前提下,鼓励开放与共享公共数据,增强公共数据的有效流转,促进社会有序发展。其次,对具有财产权益属性的数据来说,应当加强相关数据权益的保护力度。平衡企业、非政府组织及部分社会团体在收集、分析、开发、运用、整合数据的过程中,投入相应人工、财物与时间成本而获得的数据价值,以更好地保障数据的财产权益。
四、体系构建:我国数据权属的要素认定与分级分域确权
明晰数据权属,建立科学、有序的数据要素市场规则是构建我国数据治理体系中最根本、最重要的内容之一。如何确定数据要素的属性,明确数据权益的内容,厘清数据权益归属是问题的关键。
(一)数据要素具有多元属性
数据的应用已经渗透到人类生活的方方面面,从个人领域到公共政策,都置身于数据的景域之中。在多元因素的背景下,数据要素的属性出现多元化交叉,私权属性和公权属性相互交织,盘根错节。因此,我们既不能简单地将数据划归于某个或某类领域之下,也不能刻板地给数据下定义,更不能将其固定地划分为某一个或某一类法律属性,数据的属性应当是多元的、动态的。
数据的财产属性相较其他属性广义的概念,主要包括交易性财产属性、知识产权属性、竞争性财产属性、物权属性等。交易性财产属性通常指具有经济利益的财产权利。“数据”作为商品进行交易,体现其交换价值;利用“数据”开发产品,发展平台经济等,体现其使用价值。目前,《民法典》第127条也肯定了数据的交易性财产属性。知识产权属性一般侧重于企业数据,实践中主要表现为企业通过对数据的加工、整合生成数据集或数据库。在进行商业竞争时,数据集或数据库能够带来巨大经济利益,企业会基于对核心数据的保护而采取保密措施,将其编入商业秘密保护范畴,属于广义的知识产权属性。竞争性财产属性主要体现在反不正当竞争案件中,企业在行业竞争中实施了违反诚实信用原则和公平竞争原则的数据行为,产生数据确权问题引发争议,具有争议的数据要素应当具备竞争性财产属性。物权属性主要表现为数据的所有权,实践中会结合不同“数据主体”对数据所有权进行归类,如政府数据所有权,企业数据所有权,个人数据所有权等。
数据要素的人格属性更多指向个人数据,即能够识别特定自然人的数据。数据要素的人格属性与自然人的权益息息相关,主要包括自然人的人格权和财产权。个人数据中的人格权属性与自然人的人格形成、规范和发展密切关联,例如通讯数据、隐私数据、生物数据等,实践中重点是在数据人格权中的隐私权领域有突出保护。此外,个人数据中的财产权属性不同于上述数据要素的财产属性,其人格属性中的人格要素与财产要素更不应割裂看待。在经济活动中,通过对数据人格权中的某些权能进行转让或授权使用,而产生的个人信息财产价值,具备人格权商业化的特点,可以通过人格权商品化理论来解决个人信息财产权益保护的问题[25]。因此,数据要素的人格属性是由个人数据人格权与财产权共同形成的。
数据是对人格、财产、社会关系的具体表达。随着大数据的迅猛发展,数据所承载的经济价值与社会利益也在发生转变。数据要素属性不再仅停留于单一的财产属性和人格属性,开始向新型权益倾斜。数据要素的新型权益是指通过数据最初持有者、管理者、开发者和经营者对数据进行收集、整理、分析、加工、运用而形成具有持有、管理、处分、收益的综合性权益。无论从主体层面,还是客体层面都不同于传统的单一模式,而是“多种主体和多个客体”并存的新型多元结构模型。在数据要素的权益属性方面,也不再片面适用公法或私法的属性特征,逐渐涵盖经济价值、公共利益、国家安全等方面。目前,实践中关于数据要素的新型权益主要体现在数据人权属性和数据主权属性。
(二)基于权利主体与流转阶段的分类确权
不同主体使用的数据与不同流转阶段下产生的数据所承载的权益各不相同。尤其是在司法实践中,对于涉及多种数据权属的案件更要进行分类确权。本文主要从“权利主体不同”“流转阶段不同”两方面对数据权属进行分类认定。
第一,根据数据权利主体的不同进行数据确权。数据权利主体分为个人、企业和政府三大类,数据即可分为个人数据权,企业数据权和政府数据权。个人数据权应按照广义的人格权进行划分,除传统人格权外还应当包含新型人格权。我们可以参考欧盟的立法规范11○,对个人数据权属做出具体规定[26],其中数据修正权、被遗忘权、拒绝权等均可视为新型人格权的内容。企业数据权也叫做去个人化数据权[27],企业无论是以自身独创方式还是经第三方流转、加工方式,通过数据开发、整理、流转赋予数据一定的经济价值,其相关权益应完全归属企业。政府数据权最大特征即为其数据的公共属性,政府在履行公共职能、提供公共服务时,对数据进行收集、处理、应用,其中的数据权益理应归属于政府,以期实现公共利益、社会利益最大化,确保公共数据价值能够最大程度实现,切实保障国家数据安全。
第二,根据数据流转阶段的不同进行数据确权。根据数据不同的流转阶段,分为数据收集阶段,传输阶段,存储、处理阶段,应用阶段,销毁阶段[28]。数据收集阶段是数据生命周期最重要的环节,数据收集者通过相关技术进行数据收集,付出了相应的时间、技术、金钱成本,因此该阶段的数据权益应归属数据收集者。数据传输阶段的数据权属仍应归属数据收集者,因数据传输过程并未改变任何数据样态,仅担任搬运工的角色,在此过程中,数据传输者应当特别注意风险防范,确保数据传输的安全性。数据存储、处理阶段,其数据权属应当根据相应情态进行认定。在数据存储和处理过程中,随存储方式和大数据分析技术不断变化和发展,数据很难处在静止状态,所处的场域也在不断变换。因此,要分析具体案件,根据不同领域的立法规范以及各行业自律规范进行数据确权。数据应用阶段的数据权属存在争议,有学者认为应当将其归为公共产权[29]。而数据应用除了公共服务功能,还具有一定的商业属性。如若“一刀切”将该阶段的数据权全部归于社会全体成员,在某种程度上,会降低企业的研发动力。故在数据应用阶段,应将公开数据的权益归属于全体社会成员,涉及国家秘密的数据归于国家,涉及商业秘密、个人隐私等数据仍应归于数据创设者。在数据销毁阶段,实践中更倾向将数据权益归属于个人,也称数据被遗忘权或数据删除权。但在大数据、云时代的环境下,个人数据通常会通过云数据系统或平台,例如百度网盘等方式进行自动存储、复制甚至下载,有时数据所有者也无从知晓。当数据所有者在程序或应用系统中删除数据时,这些数据可能并未完全销毁,只是消除了表面的数据痕迹。此时这些数据的实际持有者变成了云数据系统或平台,而数据被遗忘权也不再掌握在数据最初持有者手中。因此,数据被遗忘权最核心、最根本的数据权益仍然应归属于最初的数据持有者,而如何提高数据彻底删除技术则是未来个人数据安全领域应着重研究的问题。
(三)基于应用场景的分域确权
不同类型的数据在不同的应用场景中的表现形式和类型不同,其背后主张的权益也不相同,即使是同种数据也有可能会担负不同的权利主张。因此,数据在不同场域运行中,所产生的数据权属不同。
结合司法实践,可以将数据常见的应用场域大致分为四种,分别是个人信息领域、民事领域、竞争法领域与新型领域。根据数据应用场域不同将数据权益分为人格权、财产权、反不正当竞争权、新型权益。当数据主体置于个人信息领域中,可以按照《中华人民共和国个人信息保护法》《民法典》的相关规定将数据权益归为数据人格权。当数据主体置于民事领域中,可以按照《民法典》第127条规定将数据权益归属为财产权益。当数据主体置于竞争法领域中,可以按照《反不正当竞争法》将数据权益归属为反不正当竞争权,目前我国司法实践中多为此类情形(详见表1)。由于,数据是不断流动的,所以其法律属性也是错综复杂的。数据很难固定在某一个场域之中,因此在这些场域中的数据权也不是单一的,极可能同时存在多种数据权益。例如,微博诉脉脉案中,即出现了对用户个人数据权和企业反不正当竞争权两种数据权益,这种多权益相结合的确权方式也可称为数据的新型权益。
与此同时,随着数据全球化的迅速发展,数据权属所在的领域也不仅仅局限于境内,出境数据确权问题迭出。这类新型数据权已逐渐影响到数据主权和国家安全层面,成为实践中的难点。目前,很多国家都在立法层面对跨境流动进行了规范,例如:德国《联邦数据保护法》,加拿大《个人信息保护法》,法国《数字共和国法案》,欧盟《通用数据保护条例》《澄清境外合法使用数据法》等。虽然目前我国并没有跨境数据的专门立法,但今年9月1日实施的《数据出境安全评估办法》(以下简称《评估办法》)明确了有关数据出境的安全评估方式,可以根据《评估办法》第5条第二项中待评估的出境数据的规模、范围、种类、敏感程度等内容对跨境数据进行大致确权,这也是我国从国内法律体系规范跨境数据问题迈出的重要一步,标志着我国对数据主权与国家安全的高度重视。
不过,跨境数据确权的主要问题在于国际上尚未形成统一的规范体系,各个国家的制度不尽相同,通常是按照国别采取合规措施。因此,建立统一的跨境数据国际治理规则是消除数据市场壁垒的有效方式之一。对我国而言,可以通过尝试与其他国家建立多边合作以启动跨境数据安全保护规制。对于规范跨境数据权属方面,我国可以参考域外经验,搭建我国跨境数据的权属认定机制,将数据分类别、分领域确定权属并进行规制[30],抑或可以结合欧盟统一的规制模式,参考《通用数据保护条例》创设统一的跨境数据权属规范。
注 释:
①《中华人民共和国民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”
②法院认为,“生意参谋”数据产品中的数据虽然来源于最初用户,但淘宝公司经过深度加工已经不同于原始数据,形成了新的衍生数据,因此法院认定淘宝公司对本身开发的大数据产品享有独立的财产权。
③参见《信息安全技术个人信息安全规范》3.2条注1:敏感数据定义为“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定”。列举了身份证号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下儿童的个人信息为敏感信息。
④参见安徽美景信息科技有限公司、淘宝(中国)软件有限公司商业贿赂不正当竞争纠纷二审民事判决书,浙江省杭州市中级人民法院(2018)浙01民终7312号民事判决书。
⑤参见北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷二审民事判决书,北京知识产权法院(2016)京73民终588号民事判决书。
⑥参见北京百度网讯科技有限公司与上海汉涛信息咨询有限公司其他不正当竞争纠纷二审民事判决书,上海知识产权法院(2016)沪73民终242号民事判决书。
⑦参见深圳市谷米科技有限公司与武汉元光科技有限公司、邵某某不正当竞争纠纷民事判决书,广东省深圳市中级人民法院(2017)粤03民初822号民事判决书。
⑧参见杭州阿里巴巴广告有限公司、阿里巴巴(中国)网络技术有限公司等与南京码注网络科技有限公司等不正当竞争纠纷一审民事判决书,浙江省杭州市滨江区人民法院(2019)浙0108民初5049号民事判决书。
⑨参见北京五八信息技术有限公司与青岛韩华快讯网络传媒有限公司不正当竞争纠纷再审审查与审判监督民事裁定书,北京市高级人民法院(2018)京民申2624号民事裁定书。
⑩参见湖南蚁坊软件股份有限公司与北京微梦创科网络技术有限公司不正当竞争纠纷再审审查与审判监督民事裁定书,北京市高级人民法院(2021)京民申5573号民事裁定书。
1○欧盟《一般数据保护条例》中第三章数据主体权利中明确就个人数据做出详细规定,包括信息透明度和信息机制,个人数据信息和获取,修正和删除,拒绝权和自主决定权,限制等。