朱 丽

(中央财经大学 法学院 北京 100081)

一 问题的提出：数据资产化视阈下企业数据保护瓶颈

在当今时代，数据被认为是最有价值的资源，甚至被称为“新时代的石油”(1)参见Regulating the interest giants: The world’s most valuable resource is no longer oil, but data，载《经济学人》2017年5月6日刊。https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data，最后访问时间2021-01-25。。在市场利益驱动下，企业通过新兴的数据技术，对收集到的数据进行加工、整理、分析、演绎，作为商品或服务置于市场进行交易，由此，数据不再是单纯的数据，而被赋予了巨大的商业价值。在“淘宝诉美景”一案中，一审法院明确指出“网络数据产品的开发与市场应用已成为当下互联网行业的主要商业模式”(2)参见杭州铁路运输法院(2017)浙8601民初4034号民事判决。。由此可见，在新的商业模式下，企业数据资产化趋势明显。在近些年的司法实践中，企业数据纠纷不断出现，除“淘宝诉美景”一案外，还包括腾讯与华为关于收集用户数据的纷争(3)该案系典型的数据获取企业获得了用户同意，但并未获得数据持有企业同意而获取数据的案例。华为荣耀发布的Magic手机可根据微信聊天内容自动加载地址、天气、时间等信息。腾讯认为华为不仅非法获取了腾讯的企业数据，也侵犯了微信用户的隐私权。华为方面回应表示：“任何用户信息属于用户，既不属于微信，也不属于荣耀Magic，荣耀Magic获取的信息是经用户授权并只在荣耀Magic手机上处理的，并未上传至任何云端。”该案最终并未诉至法院解决纠纷，而是通过工信部调解解决了争议。参见《华为腾讯背后的大数据之争》，载https://www.sohu.com/a/163176046_204571，最后访问时间2021-01-25.、新浪微博诉脉脉不正当竞争(4)该案中，新浪运营商诉称脉脉软件的运营公司绕开了新浪微博开放接口，非法抓取了微博用户数据，非法牟利构成不正当竞争。参见北京知识产权法院(2016)京73民终588号民事判决。、大众点评诉爱帮网不正当竞争纠纷案等(5)参见北京市第一中级人民法院(2011)一中民终字第7512号民事判决。。然而，关于企业数据保护的法律尚未确立，实践中出现的企业数据纠纷均试图通过反不正当竞争法，抑或是合同法、知识产权法等予以解释和解决，但是上述法律在创制之初并未将企业数据保护考虑在内，因此在适用于解决当下的企业数据纠纷时难免存在不适性。企业数据保护问题遭遇了法律瓶颈。

可喜的是，近年来已有一部分学者投入数据权利保护的研究(6)这方面代表性的研究成果有：程啸的《论大数据时代的个人数据权利》，载《中国社会科学》2018年第3期第102-122页；龙卫球的《数据新型财产权构建及其体系研究》，载《政法论坛》2017年第35卷第4期第63-77页；龙卫球的《再论企业数据保护的财产权化路径》，载《东方法学》2018年第3期第50-63页；梅夏英的《数据的法律属性及其民法定位》，载《中国社会科学》2016年第9期第164-183页；纪海龙的《数据的私法定位与保护》，载《法学研究》2018年第6期第72-91页。。对于“企业数据权益值得保护”学界已经达成共识，只是在保护路径上存在分歧。值得注意的是，我国《民法典》第127条(原《民法总则》127条)将个人信息与数据分开(7)《民法典》第127条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”，实则为未来的数据立法留下了空间，但并未明晰基于何种途径对数据进行保护。有学者提出了对企业数据进行财产权保护，指出数据确权是回应数字经济时代的内在需求，将数据作为一种绝对性、排他性的财产进行保护，可以为企业提供“一种有关数据开发利益的安全性市场法权基础的刺激和保障”，从而让数字经济“得以置身于一种高效稳定的财产权结构性的驱动力和交易安全的保障之中”[1]75。笔者希望通过厘清企业数据的概念和权利边界，分析当下企业数据立法和司法保护现状，梳理并评析当下学理上的保护路径，并尝试构建有限排他性企业数据财产权，以期为企业数据保护法律体系的完善起到抛砖引玉的作用。

二 企业数据概念的厘定与边界的厘清

要探讨企业数据的财产化保护，必然先厘清企业数据的概念，明晰可财产化的企业数据的范围。“数据”与“个人信息”是不同的，从《民法典》和《网络安全法》对“个人信息”、“数据”、“网络数据”等用语的不同定义可以看出它们的区别(8)《网络数据安全法》第76条中对“个人信息”和“网络数据”进行了定义：“网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。”“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”。数据的本质是0和1的二进制代码组合，是为信息服务的工具，简言之，信息是数据的内容，数据是信息的形式。从广义角度来看，企业数据是指包含了所有以0和1二进制代码形式存储的信息。这些由企业实际控制和利用的数据，既包括财务数据、生产经营数据、技术研发数据等，也包括企业在经营过程中经过用户(原信息主体)许可而收集、使用的数据。企业数据作为数据的一种，具有数据的共同特征：第一，数据的本质是通过计算机存储和传输的二进制代码。这一特征实际上指出了数据具有特殊的载体，区别于以语言符号记载在纸上的数据。第二，企业数据是无形的，必须依赖一定的载体才可被识别、存储和流通。

对企业数据的保护需求其实是源于企业对自身利益的保护和企业经过自身投入所得到的成果的保护，即对企业具有价值的数据才应当纳入企业数据的范畴。从数据的价值来看，单个的原始数据很难发挥出其具有的商业价值，但是如果将大量的数据通过算法进行整合、加工、演绎，数据的经济价值就显现出来。如在“淘宝诉美景”一案中，淘宝公司提供给商家的“生意参谋”便是整合了用户的购物痕迹、商品浏览足迹、商品加购记录、商品搜索偏好等信息，并将其通过一定的算法或程序分析、演绎获得的，最终形成了“大数据产品”。正是淘宝公司加工、整合的过程赋予了单个数据以价值，而在该整合的过程中淘宝公司人力、物力的付出实际是与数据的价值相对应的。因而，有学者进一步提出认定企业数据的两个构成要素，即企业的实质性投入和数据的经济价值[2]39。对这两个构成要素的理解，可以从以下两个方面证成。其一是洛克《政府论》中的劳动财产理论(即劳动赋权论)认为，只要人们付出了劳动，便可主张对其劳动成果的财产权[3]17-19。虽然依据该理论直接赋予企业数据财产权过于绝对，但是从公平原则和诚实信用原则出发，劳动赋权论具有一定的合理性和正当性。其二是功利主义理论，即把社会整体利益作为评价个人行为和社会立法的唯一可接受的终极标准[4]。在当下数据资产化时代，数据成为企业角逐的资本，企业在促进数据发展和数字经济繁荣方面发挥了积极的作用，如果对于别的企业的“搭便车”行为不予规制，那么将会打击企业进行数据创新和促进数据发展的积极性，这不利于市场经济的稳健发展和全体社会成员享受数据创新所带来的福利。在“淘宝诉美景”公司一案中，法院亦是基于劳动赋权论和功利主义理论，并根据诚实信用原则和商业道德，认可了淘宝公司对其实质投入的“生意参谋”享有利益(9)参见杭州铁路运输法院(2017)浙8601民初4034号民事判决、杭州市中级人民法院(2018)浙01民终7321号民事判决。。

三 企业数据保护现状与既有保护路径释评

(一)企业数据保护现有立法和司法实践

我国目前对数据的立法规范大多在个人信息保护层面，而对企业数据的保护并无明确规定，随着数字经济的蓬勃发展，企业数据纠纷不断出现，学界才开始对该新型法律问题进行讨论和研究。在目前的法律体系中，仅《民法典》第127条对数据的保护有所提及，实际是为未来企业数据保护立法留白。值得注意的是《网络安全法》第42条规定了网络运营者不得侵犯个人信息的禁止性条款，但在但书条款中排除了不具有识别性的数据，虽然这并非直接保护企业数据的相关规定。笔者认为，这实际上是允许企业使用那些经过处理但无法识别属于某个个人且不可复原的数据(10)《网络安全法》第42条第一款规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”。

然而，即使目前尚欠缺相应的立法，但是实务中出现的数据权益纠纷并不少，法院对这些纠纷的审理亦形成了一定的裁判观点，这在一定程度上弥补了立法的滞后性。经过查阅相关判决书，笔者现将我国法院的司法裁判观点整理如下：

其一，不适用著作权对企业数据权益进行保护。在“大众点评诉爱帮网”一案中，大众点评作为生活娱乐消费信息运营商，为消费者提供相关餐厅的评价信息，而爱帮网将大众点评近百家餐厅的评论复制到自己的网站提供给用户。起初，大众点评以爱帮网侵犯著作权为由起诉，主张其对大众点评平台上的用户评论享有著作权，对此，一审和二审法院给出了不同的判决观点，一审法院认为大众点评平台上的评论数据构成汇编作品，认可了原告著作权侵权的主张(11)参见北京市海淀区人民法院(2008)海民初字第16204号民事判决书。，而二审法院认为不具有独创性而否定了著作权侵权的成立(12)参见北京市第一中级人民法院(2009)一中民终字第5031号民事判决书。。

其二，可在《反不正当竞争法》基础上对企业数据侵权进行救济。如前述的“大众点评诉爱帮网”一案，在以著作权侵权起诉未得到救济之后，大众点评又以不正当竞争侵权起诉寻求司法保护。在此次诉讼中，一审和二审法院均认可了原告的诉讼请求(13)参见北京市海淀区人民法院(2010)海民初字第24463号民事判决书、北京市第一中级人民法院(2011)一中民终字第7512号民事判决书。，认为爱帮网未经许可将大众点评平台的评论复制并发布在其自己经营的平台，其网站的经营内容与大众点评构成了实质上的竞争关系，而且爱帮网无偿获取他人劳动成果的行为有悖诚实信用原则和商业道德，破坏了经济秩序，依据《反不正当竞争法》第2条认定其构成不正当竞争(14)《反不正当竞争法》第2条第一款规定：“经营者在生产经营活动中，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德。”。在这一判决确立了反不正当竞争保护裁判观点之后，后来的“新浪微博诉脉脉案”和“淘宝诉美景案”均沿用了这一裁判思路。

其三，将数据财产权益认定为限制性的竞争性财产权益。这一裁判观点在2017年的“淘宝诉美景公司”一案中得以确立，该案采用了上述的《反不正当竞争法》一般条款保护的方式。值得注意的是，在裁判文书中，法院表达出来了新的裁判观点。淘宝公司主张“生意参谋”所包含的数据内容为无形财产，对其享有所有权，但法院认为：一方面，淘宝公司对网络数据产品的开发投入了人力、物力、财力，由其长期积累形成，为商户提供这样的大数据分析服务，提升商户的经营水平，认可“生意参谋”为淘宝公司的劳动成果，淘宝公司应当对其享有独立的财产性权益。另一方面，不认可淘宝公司对“生意参谋”财产所有权的主张，因为所有权具有强的绝对性，囿于“物权法定”原则，不宜认可其享有所有权，否则就有可能使不特定的多数人承担了相应的义务。另外，在“大众点评诉百度”一案中，法院从商业创新和商业竞争等角度阐释，认为大众点评主张的权利难以获得财产权这种绝对性权利的保护(15)在本案中法院认为，原告主张的应受保护的利益并非绝对权利，其受到损害并不必然意味着应当得到法律救济。参见上海市知识产权法院(2016)沪73民终第242号民事判决书。。

(二)企业数据保护路径的学说梳理与评析

笔者研读文献发现，学界对企业数据应当得到保护是没有争议的，只是对应当采取何种保护路径存在不同的意见。目前学界提出的保护路径主要有三种，包括新型财产权保护说、情景化保护说和行为规制保护说。

其一，新型财产权保护说。该学说主张赋予企业对数据的经营使用权和财产权[1]75。具体而言，数据经营权指企业对数据的使用得到许可后进行经营的权利，是一种限制性的权利；数据财产权是指企业对其自身收集、加工、整合获得的数据享有的作为一种资产的财产权利，对其享有比数据经营权更丰富的占有、使用、处分和收益的权利。

其二，情景化保护说。主张该学说的学者认为，数据通过计算机网络进行存储和流通，可轻易复制和流通，很难对数据予以强的绝对性、排他性的财产权的保护，这种保护也不利于数据的共享。不过，主张该学说的学者认为可以将数据进行分类，针对不同类型的企业数据用不同的方法进行保护[5]97-98，即将企业数据分成三种类型：非公开数据、半公开数据和公开数据。对于非公开数据，若符合商业秘密的构成，即适用商业秘密的相关法律规范进行保护；对于半公开数据，即对部分人开放的数据，如“淘宝诉美景”一案中的“生意参谋”，可参照欧盟数据库特权的方式予以保护；对于公开数据类，比如网络平台上用户的评论，可以适用《反不正当竞争法》保护，如“大众点评诉爱帮网”即采用了此种保护模式。

其三，行为规制保护说。该学说强调，立法应明确数据原始主体、数据衍生主体以及数据使用主体之间的权利义务界限，从规范三者主体的行为来确保数据流通和共享过程中的秩序[6]68-69。因为数据的流通和数据产品的交易本身就具有特殊性，与传统交易的有体物有所区分，数据的共有性和共享性使其很难被登记，也让某一主体很难享有独占的权利，因此，可从行为规制的视角立法，实现不同主体对数据的合理利用且不侵犯他人的权益。

笔者认为，上述三种企业数据保护路径的主张均有一定的合理性，但也存在不足之处：首先，就行为规制保护说而言，一方面，该学说实际上既回避了有关数据权属这一核心争议，也没有考虑到数据通过网络计算机进行存储和流通具有极强的隐秘性，在数据流通和共享的过程中，各主体的行为难以被察觉。在这样的情况下，将数据使用的秩序依赖于使用者的理性是不现实的，而且在权属不明确的情况下，要对受到侵害的主体权利进行救济不容易实现，故采用此种方法规制存在一定难度。另一方面，行为规制的基础是采用合同私法自治。然而，合同订立主体的理性是有限的，合同签订双方主体可能在经济、地位等方面存在天然的差别，导致合同规定的权利义务存在不平衡。另外，从合同关系外部来看，合同的相对性使得企业数据侵害缺乏有效的外部救济手段。其次，就情景化保护说而言，一方面，对数据的分类，即公开、非公开、半公开三种状态的确立存在一定的困难，缺乏有效的判断标准；另一方面，对于公开数据适用《反不正当竞争法》存在一定的局限性，因为这种保护实际上是事后的救济，存在滞后性，而且《反不正当竞争法》立法之初并未考虑将数据保护纳入其中，在适用过程中需要进一步的法律解释，缺乏立法的明确性。笔者认为，对于非公开数据，适用商业秘密模式进行保护是合理的，而且可以给予相对强而有效的保护。最后，对于新型财产权保护说，笔者认为，这种保护的思路是合理的，值得肯定，因为从《民法典》127条的立法留白和当前我国司法裁判中对其财产性利益的认可，可以窥见对企业数据进行财产化保护的趋势。但是，基于数据的特殊性，不宜在企业数据上设置过强的权利，因此在将来的具体制度构建方面，如何维护好个人信息主体与企业数据主体之间及各企业数据主体之间的利益平衡，仍需要进一步考虑和完善。

承前所述，笔者认为，综合我国的立法、司法和学理的考察，可以在新型财产权保护路径基础上进行改进，寻找破解出路：一方面要对企业数据建立一种独立的新型财产权利，以有效保护企业对其自身控制的数据的权益，弥补《反不正当竞争法》对企业数据权益保护的不足；另一方面，应当对该项独立的新型财产权的排他性和绝对性予以限制，而且对其权利的客体和权能予以明确限定，以维护各方数据主体之间利益的平衡。换言之，笔者主张建立一种特殊的企业数据财产权——有限排他性企业数据财产权。亦有学者将其认定为“准财产权”，即该权利不具有绝对的排他性，仅对抗特定类别的行为人，但不属于合同相对方的对人权[7]75。

四 企业数据财产化保护路径探索：有限排他性企业数据财产权的建立

(一)有限排他性企业数据财产权建立的正当性

有限排他性数据财产权的建立基础源自英美法系的“准财产权”。“准财产权”的特点是仅对抗特定的行为人，且这种权利的产生有赖于特定事实的发生(这些事实涵括各方所处的情景、双方所处的不同地位、某一方实施的具体行为等[8]1895-1897)。

企业数据作为一种事实信息，对其保护的强度难以达到财产权的绝对性强度，构建有限排他性财产权进行中等强度的保护是较为稳妥的路径。笔者认为，可借鉴情景化保护路径的思路，对不同企业数据予以分类保护：对于具有独创性的数据，符合知识产权相关构成要件的，可直接适用知识产权中的著作权、商标权、专利权予以保护；对于不具有独创性的公开数据，可适用商业秘密相关法律予以保护；对于公开数据和半公开数据适用有限排他性财产权予以保护，以弥补当下司法实践适用《反不正当竞争法》一般条款进行保护的不足。具体保护路径的构建可总结如表1。

表1 不同类型企业数据保护路径的构建

有限排他性企业数据财产权的建立具有可实践性。实际上，商业秘密就是一种有限排他性财产权，因为商业秘密没有赋予权利人一种完全排他性的高强度保护，其保护的重点也并不是商业秘密本身，而旨在维护商业竞争秩序。对于商业秘密而言，法律仅仅惩罚非法获取或使用商业秘密的行为，如果通过正当途径获取商业秘密，并不构成侵权。由此可知，对商业秘密的保护与有限排他性财产权相类似，因此构建有限排他性企业数据财产权其实是有先例可以参照的。对于非公开企业数据可以适用商业秘密的保护，但是对于非公开或半公开的企业数据而言，便很有必要建立专门的有限排他性企业数据财产权予以保护。由此可以完善我国的企业数据法律保护体系，以有效激励企业进行数据创新，促进数字经济的发展。

(二)有限排他性企业数据财产权的具体构建

其一，权利的主体。有限排他性企业数据财产权的主体应当是数据的合法持有者。此处所指的“合法持有”包括两个方面的内容：一是“合法”，即企业获得、使用、加工原始信息的过程是合法的，如经过信息原始主体同意，或者如《网络安全法》第42条规定，使用的数据是经过处理无法识别特定人并且无法复原的。二是“持有”，此处所指的持有并非实际拥有数据，因为数据具有难以独占性的特性，所以这里的“持有”指的是实际控制数据，例如网络运营者、管理者对网络平台上的评论有删除、屏蔽的权利。笔者认为这种情况便可认为是实际控制数据，但是这种控制并非完全排他性的，因为信息的原始主体(如发布评论的用户)实际也是有删除处分该评论数据的权利，因此这种控制权其实是相对于特定人的控制权。

其二，权利的客体。如前文所述，有限排他性企业数据财产权的客体是企业的公开数据和半公开数据，当然还应当满足企业数据的构成要素，即“企业的实质性投入”和“企业数据的经济价值”。而非公开数据适用商业秘密保护即可，并与有限排他性企业数据财产权结合，共同构建企业数据保护体系。

其三，权利的内容。结合前述分析可知，有限排他性企业数据财产权的权利对抗的主要是其他欲使用或获取该数据的主体，调节的是企业数据控制者和特定他人的关系。有限排他性企业数据财产权的内容可包括三方面：一是企业数据控制者对数据独立使用、许可他人使用、转让或将其作为商品进行交易的权利；二是与企业数据权利人具有竞争关系的主体不可收集并使用，或者收集并许可他人使用该企业数据；三是与企业数据控制者不具有竞争关系的主体在获得该企业数据后，不得将其提供给与企业数据控制者具有竞争关系的主体使用。

其四，权利的限制。有限排他性企业数据权利的限制旨在保护原始信息主体的权益不受侵害，即企业收集数据应对个人数据和非个人数据加以区分，对于含有人格特性的个人信息，主体的人格利益应该优先得到保护。有限排他性企业数据财产权的建立是为了平衡各方利益，尊重和保护原始信息主体的个人信息，同时也尊重和保护企业经过实质性投入而形成的可以带来经济效益的企业数据。有限排他性企业数据财产权的建立不应当增加保护其他主体权利的成本，因而在有限排他性企业数据财产权上应设置一定的限制，主要包括使用权的限制和许可限制：第一，使用限制。权利的行使与义务的遵守是相对应的，企业对自身数据行使财产权，也应当受到一定的限制。一方面，企业收集和使用原始信息主体的信息的过程和方法都应当合法，不可侵犯原始信息主体的利益，如运营商平台收集或使用用户的数据都应该通过各种方式告知用户并征得其同意。在利用数据的过程中，应当对数据进行脱敏处理，对数据进行“去人格化”处理，在企业利益与用户人格利益冲突的情况下，应当优先维护用户的人格利益。另一方面，企业应当建立合理的机制，防止第三方平台擅自使用用户留存在其平台的数据，无论该数据是否界定在企业数据的范围。如在“新浪诉脉脉”一案中，企业应当在技术上采用合理的措施限制数据的使用权限，对第三方调取的数据加以限制。第二，许可限制。数据是企业自身发展并为社会提供更好服务的重要资源，企业数据财产权的设置，建立了企业数据的边界，在一定范围内不利于数据的流动和共享。因而，笔者认为应当建立有效的数据流通共享机制，在一般情形下可以要求企业进行数据共享，而在某些特定情形下，为了保护用户利益，应当禁止企业数据的转让。具体言之，为了促进某些特定领域的发展，有必要提高数据的流动性和共享度，以助力企业发展数据科技，开发数据产品。

五 结语

数据作为一种资源，已经成为企业的一种竞争要素，这是数字科技发展和数字经济繁荣的重要体现。要保持企业发展数据科技的积极性，助力数据共享，促进全社会整体社会福利的发展，有必要建立起有效的企业数据法律保护制度。在目前立法留白、司法实践缺乏统一裁判依据的背景下，笔者提出参照英美法系“准财产权”来构建有限排他性企业数据财产权，并结合情景化保护路径确立有限排他性企业数据财产权的数据范围，虽然构想不尽完善，但希望对解决当下企业数据纠纷，弥补立法空白有一定启发意义。