我国企业数据财产交易中民事法律义务研究
2023-03-09周兴梅
周兴梅
(重庆邮电大学网络空间安全与信息法学院,重庆 400065)
近年来,数据价值凸显,企业数据财产交易进入公众视野。然而,在企业数据财产交易领域,不论是实务界还是理论界,大家的关注点都更偏向数据企业的权利以及数据涉及的个人信息的保护等方面,忽略了在企业数据财产这个特殊的交易领域,各方交易主体应当承担的民事法律义务。关注并厘清企业数据财产交易主体的义务,不仅能给企业数据财产交易当事人明确的行为指引和结果预期,而且能平衡企业数据财产交易法律关系中各方主体的利益,从而稳定企业数据财产交易秩序。
一、企业数据财产及其交易概述
企业数据财产交易的讨论起点在于明确企业数据的概念和特征,基于企业数据财产的概念、特征和分类,才能明晰企业数据财产交易的概念、交易对象和交易规则。
(一)企业数据财产的概念、特征及分类
明确企业数据的概念是厘清企业数据财产的前提。目前,学界对于企业数据的概念并无统一定论,国内学者主要从已有的数据概念出发对企业数据的概念进行界定。袁文全等人认为,企业数据是企业所掌握的数据以及在此基础上经过加工处理的数据产品[1]。祝艳艳认为,企业数据有广义和狭义之别:前者是指,在网络空间中,企业所持有的以符号或者代码表现出来的,有价值、可计量、可读取的电子数据集;后者是指,企业对用户信息进行加工整理所生成的衍生数据集合[2]。李扬等人认为,企业数据是企业所持有的具有稀缺性,并能为企业带来经济性利益、以符号或代码形式表现出来的数据[3]。石丹认为,企业数据是由企业实际控制和使用的数据[4]。总的来说,国内学者从数据的含义出发,将企业数据定义为企业所控制或持有的数据及其集合。
笔者认为,企业数据是指企业在合法范围内能够控制并进行投入的数据及其衍生产品;同时,只要来源合法、企业进行投入且具备一定商业价值的数据及其集合的产品,则构成企业数据财产。从来源看,企业数据财产可以来源于个人、公共领域或企业自身。企业数据财产作为企业数据的客体,是企业数据交易所指向的对象,是企业经过投入得到的、被企业控制的、具有财产价值并能满足企业生产经营需要的数据。企业数据在流转时,可能涉及个人信息、知识产权和商业秘密,此类数据应由专门的立法予以调整。笔者重点讨论的是限于海量数据集合后具有巨大价值而产生财产性利益并且可以交易的企业数据,如用户评论数据、访问浏览数据、道路交通数据、天气数据以及在此基础上经过加工处理的数据集合等。
企业数据财产具有非物质性、非创造性、非人身性和财产性的特征,这些特征为企业数据财产交易奠定了交易基础。(1)非物质性,与实物财产不同。企业数据财产依赖于物理载体存在,而实物财产本身就是物体。企业数据财产本质上就是数据,以“0”和“1”的不同组合方式形成比特流在互联网中流通。从形态上看,企业数据财产不具有物理形态,只能通过特定编码在计算机等载体上显示其携带的信息。从载体上看,企业数据财产必须通过一定的实物载体表现其内容,如计算机、服务器或其他储存介质等,而实物财产本身就是其载体。(2)非创造性,与知识财产不同。知识财产是指人体之外的能够为人所支配并且能满足需要的知识[5]。知识财产是知识产权的客体,是受法律保护的知识产权客体的经济利益[6]。从价值形成来看,企业数据财产价值的产生,并不在于与知识财产一样具有智力创造性,而在于需要一定的技术手段对数据进行加工处理。知识财产应具有创造性成为学界共识,如专利需要具备新颖性和创造性,作品需要具备独创性。企业数据财产的经济价值来自企业对海量数据的加工整合,从而形成规模化和结构化的数据集合或者数据产品[7]。企业通过对海量数据的加工投入,形成数据集合或数据产品的分析预测功能,从而产生经济利益,此种人力、技术等资源投入并不要求具有创造性。(3)非人身性,与个人信息不同。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)中规定的个人信息,不包括匿名化处理后的信息。个人信息带有强烈的人身属性,在数据形式上表现为个人数据,企业数据则与此不同。企业数据经过加工处理后,排除了信息的可识别性,脱离了人身属性,转换为无法识别到特定个人的数据信息。因此,从利用和价值方面来看,企业数据财产因经过一定的技术加工后脱离了人身属性,财产属性就成为其首要属性。(4)具有财产性,可交易。企业数据的商业价值在于其具有财产性、可控性,具备交易的可能和空间。其一,企业数据具有财产性。企业支付一定对价换取数据,再经过特定的技术劳动处理数据,产生企业数据财产以获得经营所需的信息,实现数据增值,提高竞争优势。其二,企业数据财产的可控性使得企业数据财产交易具备稳定性。企业数据财产通过代码进行传输,代码则由人控制,所以企业可以对数据进行处理和流通控制,因此企业数据财产交易中,数据的交易与否完全可以人为控制,具有可控性。
明确企业数据财产的分类,对企业数据财产交易而言具有重要意义。在企业数据财产分类明确的基础上,对实践中的综合性数据集合进行类型化的交易讨论,可以充分明确企业数据财产交易主体应承担的义务类型,具体来说,有以下3 种。
一是原始企业数据财产和衍生企业数据财产。根据是否依赖于现有数据这一标准,可将企业数据财产分为原始企业数据财产和衍生企业数据财产。前者是指直接从信息形式转变为数据形式的数据,后者是指在原始企业数据财产的基础上经过一定的技术加工得到的数据,二者最显著的区别是企业数据财产是否为信息的直接数据化。原始企业数据财产实际上是企业对信息进行的首次数据记录,衍生企业数据财产则是通过对数据的分析整合,重新得出的符合企业处理目的的新数据。
二是基础企业数据财产和增值企业数据财产。根据数据的经济价值是否会增值这一标准,可将企业数据财产分为基础企业数据财产和增值企业数据财产。基础企业数据财产是指企业合法收集到的可以或需要加工处理的数据。有学者认为,基础数据主要是指个人数据,即所有足以对主体构成识别的数据[8],但这种观点局限了基础企业数据财产的来源。实际上,企业能够利用的数据,除了个人数据,还有企业自身数据、公共领域的数据以及政府的公开数据等。增值企业数据财产是指企业在对基础企业数据财产进行分析整合等增值行为时产生的各种数据。就企业数据财产所处的处理位置而言,二者的划分并不是绝对的,如果在增值企业数据财产的基础上再次进行加工处理,生成了更新的增值数据,那么原本的增值企业数据财产也会变成基础企业数据财产。
三是公开企业数据财产和非公开企业数据财产。根据数据是否对社会公众公开这一标准,可将企业数据分为公开企业数据财产和非公开企业数据财产。前者是指处于公开状态的数据。这类数据财产即使处于公开状态,企业也不会因此丧失财产性利益,因其不会成为公共产品,企业在法律允许范围内依旧可对其进行排他性的支配[9]。后者是指处于不公开状态的数据[10]。这类数据财产虽然处于非公开状态,但仍具备商品或服务的属性,可在不同主体之间进行交易,因此不等同于商业秘密。
(二)企业数据财产交易简述
“交易”一词在不同领域内涵有所不同。企业数据财产交易的内涵与传统交易既有联系,又有区别。企业数据财产交易以可交易数据作为交易对象,既能在企业数据经营者与企业数据消费者之间直接交易,也能由数据交易平台进行交易。
1.企业数据财产交易的概念
法学领域认为,交易是定分止争所达成的协议,其前提是交易对象具有价值。企业数据财产的财产性使其成为可交易对象,用以满足市场主体的商业需求。因此,笔者认为,企业数据财产交易,就是企业数据经营者将企业数据财产作为交易对象,企业数据消费者支付一定对价获得企业数据财产,彼此满足不同主体需要的行为。
2.企业数据财产交易的对象
企业数据财产交易的对象是可交易数据。实践中,许多数据交易平台都对可交易数据作出规定,只有合法、合规的数据才能进行交易已经成为通识。企业数据财产交易的对象,必须将禁止交易的数据排除在外。《信息安全技术—数据交易服务安全要求》(GB/T 37932-2019)第6 条第1 款虽未规定限制交易的数据类型,但规定了禁止交易的数据类型。涉及国家利益、公共利益、个人隐私以及未经合法权利人授权同意的数据不得进行交易已是社会共识。
3.企业数据财产交易的模式
根据交易主体是否直接交易这一标准,可将企业数据财产交易分为直接交易和间接交易。前者是指企业数据经营者和企业数据消费者直接就企业数据财产交易事项进行磋商并达成交易。在直接交易模式下,企业数据经营者和企业数据消费者之间互负权利义务。后者是指企业数据经营者和企业数据消费者以第三方数据交易平台为中介,并在此平台的推动下达成交易。在间接交易模式下,法律关系主体则为企业数据财产经营者、企业数据财产消费者和数据交易平台,这三者之间互负权利义务。
二、实践中企业数据财产交易的困境
我国现行立法对数据仅作出宣示性承认,未明确数据的独立权利以及数据权益所属的权利类型,这导致数据在实践中,因权利基础薄弱而引发数据纠纷。企业数据财产交易实践中,也未有专门立法对企业数据财产交易主体的权利义务和责任作出具体而明确的规定,使得企业数据财产交易实践与企业数据财产交易法律保障之间的矛盾不断加剧。
(一)权利基础薄弱易引发数据权源纠纷
目前,企业数据财产仅在法益层面得到立法承认,对其法律属性的确定、权利归属的界定则尚未明确和完善,致使交易的权利基础薄弱,权源纠纷频发。
企业数据财产权利基础的薄弱在数据交易中影响着数据资源利益的分配。从企业数据经营者的角度来看,在企业数据财产交易中,作为数据交易市场中的最大获益方,如果企业数据财产权属不明确,会直接影响其与企业数据消费者的权利义务分配和责任承担。从企业数据消费者的角度来看,在企业数据财产交易中,由于交易获得的数据权利内容并不明确,对于交易获得的企业数据财产,是单纯利用,还是在此基础上进行加工,又或是继续进行二次甚至多次交易,成为其与企业数据经营者之间争论的问题。
(二)企业数据财产交易主体的义务与责任不明
数据交易主体的权利、义务与责任的明确划分,是数据交易得以有序进行的前提。然而,在企业数据财产交易不断发展的今天,交易主体应当在交易中履行何种义务、承担何种责任,在现行法律规范中并没有明确规定。从义务履行角度来看,企业数据经营者和企业数据消费者之间的义务多以合同的形式进行约定,但《中华人民共和国民法典》(以下简称《民法典》)并没有对该类合同进行界定,更遑论明确交易主体的义务责任。义务的模糊不明也导致纠纷发生后的责任难以认定。从责任形式与责任划分来看,现阶段数据的责任形式,或散见于《民法典》《中华人民共和国数据安全法》(以下简称《数据安全法》)《个人信息保护法》等法律,或散见于各省市的数据管理条例。但以上法律条例大多只是规定了数据处理者的行政责任,政府还未通过专门立法来对数据的责任形式与责任划分进行具体规定。因此,企业数据财产交易的义务、责任规定不明成为阻碍数据产业发展的原因之一[11]。如何明确企业数据财产交易中的法律义务以及厘清数据交易违法行为的法律责任,成为学界亟待解决的问题[12]。
(三)法律保障不足与实践需要迫切之间的矛盾加剧
实践中,数据交易机构一般会确认作为交易标的的数据是经过清洗的数据,并且明令禁止将涉及国家秘密、商业秘密、个人隐私的数据作为商品进行交易。然而,在目前的数据治理中,还存在数据分类分级的标准不能实际落地且无法兼容,企业数据财产交易涉及的脱敏、清洗等技术缺乏监管,以及针对企业数据财产违法交易的责任追究缺乏依据等问题。因此,企业数据财产交易发展的实践与企业数据财产交易“兜底保障”所依赖的法律保障体系不健全的矛盾不断加剧[13],导致企业在进行数据交易时,会因权利不明、义务模糊而产生数据争端,或因责任忌惮而裹足不前,不利于数据产业的长足发展。
三、企业数据财产交易中民事法律义务的理论解析
企业数据财产在交易过程中涉及不同主体时,会产生不同的法律关系。直接交易模式中,企业数据财产交易涉及企业数据经营者和企业数据消费者两种主体,二者主要是合同关系,以意思自治为原则,由合同约定二者之间的权利义务。间接交易模式中,企业数据财产交易除涉及以上两种主体外,还涉及数据交易平台这一主体。总的来说,企业数据财产交易的法律关系存在于企业数据经营者、企业数据消费者和数据交易平台之间。
(一)企业数据财产交易中民事法律义务的概念
现阶段,义务的概念有责任说、约束说、利益说等多种学说。约束说和利益说在企业数据财产交易中更具道理。在企业数据财产交易中,义务的存在意味着交易主体必须受到某种约束,并在此约束之上才享有作为或者不作为的行为自由,突破这种约束就会带来不利益。因此,企业数据财产交易中的民事法律义务,是指在企业数据财产交易中,义务主体在交易中受到的约束规定以及不履行这些约束规定之后的不利益。
(二)企业数据财产交易中民事法律义务的特征
企业数据财产交易中的民事法律义务具有义务的不可选择性和义务的不利益性特征。从民事义务履行的当为性和不利益性来看,民事义务具有平衡当事人利益或者不利益的作用。
1.义务内容的不可选择性和履行的当为性
法律义务相对于权利来说,具有不可选择性。权利行使的可选择性,在于权利人可以放弃自己的权利,权利的行使与否完全取决于个人且不会承担来自法律上的强制性的不利后果。法律义务的不可选择性,在于法律义务内容的不可选择和法律义务履行的当为性。义务内容一旦经过法律或合同确定后,其履行就具有当为性,即应当履行;如果义务主体选择不履行,则会产生必为性的法律责任,即必须承担相应的法律后果,这表明该法律责任具有强制性而不能被选择。
2.义务的不利益性
作为平衡利益的手段,权利意味着利益,而义务意味着不利益才能实现利益平衡的目标[14]。在企业数据财产交易中,企业数据经营者因享有收取数据对价的权利,而需负担提供企业数据财产的义务;企业数据消费者因享有取得企业数据财产的利益,而需担负支付对价的不利益。对数据交易双方来说,享有并行使权利即能获得利益,担负并履行义务则是一种不利益,故而交易双方的利益在总体上得到平衡。因此,从利益平衡视角来看,不利益性成为企业数据财产交易中民事法律义务的特征。
(三)企业数据财产交易中民事法律义务的作用
平衡当事人之间的利益,是企业数据财产交易民事法律义务存在的作用。企业数据经营者、企业数据消费者和数据交易平台之间皆需要设定义务以平衡利益。
1.平衡企业数据经营者和企业数据消费者之间的利益
在交易双方之间设定义务有利于交易双方实现交易目的。权利的行使需要义务的履行作为保障,若是数据交易主体都只有权利没有义务,也就意味着权利无法行使,无法行使的权利就意味着无利益,即无法达成交易当事人进行交易的目的。因此,在交易双方之间设定与权利对应的义务,有助于实现交易目的并平衡当事人的利益。
2.平衡企业数据消费者、企业数据经营者和数据交易平台三者之间的利益
数据交易双方和数据平台之间存在着信赖利益,若不对数据交易平台设定相应的义务,则很有可能导致其出现道德风险,即平台很可能利用交易当事人的信赖和其自身的信息优势,通过损害交易当事人利益的方式,获取有利于其自身的超高利益。因此,有必要从义务的约束性角度对数据交易平台设定义务,以此来平衡企业数据财产交易双方和数据交易平台之间的利益关系。
四、我国企业数据财产交易中民事法律义务的立法考察
《民法典》中规定的义务主要包括合同义务与侵权义务。除此之外,近年来的立法从网络空间安全、数据安全、个人信息安全等方面对数据企业设定义务,以保障数据安全,促进数据财产交易有序发展。
(一)《数据安全法》之规定
《数据安全法》第19 条明确规定,国家要规范数据交易行为,建立健全数据交易制度,因此,对数据交易主体设定义务必不可少。
《数据安全法》对数据企业设定了较多义务,主要有以下6 种。一是数据处理中数据安全保障的义务。二是利用互联网等介质的管理、教育培训和采取技术等措施保障数据安全的义务。三是数据处理和技术研发目的向善的义务。数据企业处理数据和研发数据技术,应当从促进社会发展、增进人民福祉的目的出发,并且要符合社会公德和伦理[15],这也意味着数据技术的发展理念由技术中立向技术向善转变。四是风险后采取补救措施并及时通知用户的义务。五是重要数据定期风险评估的义务。六是数据交易平台审核的义务。
《数据安全法》对数据企业,即企业数据财产交易主体企业数据经营者,规定了较多义务,但主要都与数据处理活动有关。数据处理活动包括收集、存储、使用、加工、传输、提供、公开等行为[18],交易行为并不在其范围,虽然企业数据财产交易不能跳过数据处理这一环节,但企业数据交易中各主体义务的不明确,不利于数据交易实践的发展。并且,《数据安全法》对数据交易平台的义务设定过少,也有可能引发数据安全风险。
(二)《个人信息保护法》之规定
《个人信息保护法》主要规范数据企业的个人信息处理活动,较少涉及企业之间、企业与交易平台之间的活动,但企业数据财产交易不能完全脱离个人信息保护领域,因此,笔者对数据企业的义务作简要分析。
在目的明确、合理且处理行为与目的直接相关的原则下,数据企业应遵循以下义务。一是质量保证义务。数据企业应当对个人信息的质量负责,避免因个人信息的质量问题给信息主体造成损失[16]。二是采取必要措施义务。为保证个人信息安全,数据企业有采取必要措施的义务[17]。三是告知义务。企业应当主动向信息主体告知法律规定的应当告知的事项。四是说明义务。企业应当向个人信息主体说明其通过自动化决策方式作出的对信息主体权益有重大影响的决定。五是删除义务。出现法律规定的情形的,企业应当主动删除个人信息;企业未删除的,个人有权请求删除。
《个人信息保护法》第10 条规定,企业可以合法交易个人信息。但《个人信息保护法》未指明数据交易的相关义务,也未对个人数据流转作出相应规定,无法与《数据安全法》关于个人数据处理、个人数据流转的内容进行合理有效衔接,这成为当前数据立法面临的现实问题。
(三)《中华人民共和国网络安全法》之规定
《中华人民共和国网络安全法》(以下简称《网络安全法》)中关于数据企业义务的设定,主要从网络环境的角度出发,以优化网络环境来保障数据交易市场的良性发展。
《网络安全法》规定了5 种义务来保障网络运行安全。一是网络安全保护义务。企业可从内部制度建立、数据分类分级等方面履行网络安全保护义务,以防止网络数据安全事故的发生。二是产品安全维护义务。企业应当在法定或者约定期限内,持续为相关主体提供其产品或服务的安全维护。三是制定应急预案义务。企业应当采取相应措施,制定应急预案以应对网络安全风险和网络安全事件。四是保密义务。企业需建立健全用户信息保护制度,对用户信息进行严格保密。五是安全管理义务。企业应当主动停止违法信息的传输,并采取相应措施防止违法信息扩散。
五、典型案例司法考察
近年来,因数据权属不明和数据质量问题引发的数据纠纷涌现,企业数据财产交易中各方应承担何种义务、各方之间的利益应如何平衡成为学界探讨的问题。“新浪微博诉脉脉”案、“蚂蚁金服诉企查查”案都以不正当竞争为由进行保护,但其中牵涉的关系无不与企业数据财产交易中各方的义务设置相关。
(一)“新浪微博诉脉脉”案(1)
“新浪微博诉脉脉”案是因数据确权问题引发的数据权源纠纷案,是因数据权属不明以及数据交易双方权利义务不明晰而导致的典型案例。
1.案情简介
新浪微博与“脉脉”所属公司签订《开发者协议》进行合作,并共享新浪微博用户信息。合作期内,“脉脉”所属公司超出合作权限,在未经新浪微博用户同意以及未获得新浪微博授权的情况下,通过新浪微博平台的Open API 数据接口,非法抓取并使用新浪微博用户数据,包括职业信息、教育信息等;且合作期结束后,“脉脉”所属公司未对从新浪微博处获取的非“脉脉”用户的信息进行清理。对此,新浪微博认为“脉脉”所属公司构成不正当竞争。
2.争议焦点
对于用户数据属于用户还是数据收集企业,目前没有统一定论,因此企业数据经营者能否对其主张权益,引发争议。此外,如何公平设定企业在交易由用户数据形成的企业数据财产时的权利义务,也成为该案讨论的焦点。
“校企合作”是“校企合作教育的简称”[1],校企合作在不同人才的培训中,能针对不同人才进行相应的训练。依靠校企合作,能够充分利用好企业的资源和实习环境,让大学生能在最短的时间内加深对技能的体验与实践,理论结合实践,进而增强自信心和实际应用能力。
一是用户数据权属不明。目前,我国法律未对基于用户数据生成的数据权益明确其权益主体。用户数据作为企业数据的来源之一,企业数据经营者能否对其主张权益是本案的争议焦点之一。“脉脉”所属公司认为,用户是用户数据的所有者,新浪微博无权对其主张权益。法院认定,企业数据经营者可以在用户同意的前提下,对其在自身经营活动中合法取得的用户数据享有权益。尽管司法实践中数据企业已被认定可对企业数据财产主张权益,但仍未解决用户数据的权属问题。
二是用户数据交易权利义务不明。本案中,新浪微博和“脉脉”所属公司通过Open API 接口实现了双方对新浪微博用户信息数据的交易共享,但二者签订的《开发者协议》未对交易数据的类型作明确划分,且未对用户个人数据交易时双方的权利义务进行明确设置,即没有从用户个人数据主体角度考虑权利义务的划分。上述原因导致侵权责任编与合同编的适用空间小且救济乏力。新浪微博认为,“脉脉”所属公司在获取数据时超越了权限。法院认定新浪微博与“脉脉”所属公司的纠纷为不正当竞争纠纷,并以此进行兜底保护。法院认为,数据企业进行用户数据交易共享时,除了要维护自身利益,还应考虑用户的相关利益,应从自身利益、用户个人利益角度设置相关的权利义务。
3.判决启示
本案的用户数据属于综合性数据集合,既有个人信息,也有企业的数据财产。笔者认为,在没有法律规定的情况下,针对综合性数据集合中的数据财产部分,即用户数据被匿名化后形成的数据财产,以及其他非个人信息,如职业信息、教育信息等,新浪微博对用户有采取技术措施保护其个人数据的义务,“脉脉”所属公司对用户有告知同意的义务、对新浪微博有及时删除合作期间内获取的企业数据的义务,新浪微博与“脉脉”所属公司有高度关注是否有第三方可能获取用户个人信息数据的义务以及遵循诚信原则和遵守商业道德的义务。
(二)“蚂蚁金服诉企查查”案(2)
企业数据经营者对作为企业数据财产来源之一的公共数据的使用,涉及不同主体的利益。“蚂蚁金服诉企查查”案系企业数据经营者在使用公共数据过程中,因数据使用质量问题对公共数据原始主体造成不良影响而引发的纠纷,被认为是因企业数据经营者确保数据质量义务缺失而引发纠纷的典型案例。
1.案情简介
2019 年,“企查查”从公开网站上爬取了关于蚂蚁微贷公司的企业信息,并向自己的付费VIP 用户多次推送涉及蚂蚁微贷公司清算变动信息的通知和监控日报,并在其数据交易平台发布关于蚂蚁金服公司的不实信息。蚂蚁金服公司和蚂蚁微贷公司认为自身商誉受损,诉“企查查”构成不正当竞争。
2.争议焦点
如何分配企业数据财产交易中的权利义务,也是本案的争议焦点。本案中,企业数据来源于公共数据,蚂蚁金服公司认为,如果对企业数据经营者应当承担的义务不加界定、责任不加认定,可能导致今后数据企业为追求超高利润忽略对数据真实性、客观性和准确性的把控,而漠视数据质量的严重后果会引发行业发展乱象。“企查查”随意推送蚂蚁微贷公司清算信息的行为,对双方的用户、公共数据提供者、原始数据主体的利益都产生不同程度的影响,导致公共数据提供者和原始数据主体因“企查查”平台发布的信息而公信力受损,相关数据企业的用户则可能因错误信息产生错误认识,进而影响其企业数据交易的选择意愿。基于此,为维护各方利益,应当明确基于公共数据的企业数据经营者的权利义务。
3.判决启示
本案中,“企查查”通过信息技术手段,从政府公开网站抓取海量公共数据进行加工整合,形成其企业数据,并向其用户免费或付费提供这些数据。“企查查”在向公众提供其利用公共数据形成的数据产品的信息服务时,应承担对原始数据主体、企业数据消费者保证数据质量的义务。本案案由为商业诋毁和不正当纠纷,不属于交易关系,但“企查查”作为向企业提供征信服务的机构,很可能与其他数据企业或有企业数据消费的个人发生交易关系,如蚂蚁微贷公司就向“企查查”购买企业信息调查报告等数据产品。因此,“企查查”应当对其交易的企业数据质量负责,否则有可能减少企业数据消费者的交易机会和交易意愿。此时的企业数据财产交易更类似于一种服务合同关系。
(三)小结
企业数据财产的来源涉及较多数据种类,因此企业数据的具体内涵较为复杂,利益主体较多,在交易关系中更容易引发数据纠纷。企业数据财产的内涵和外延需要权威界定,交易渠道和交易方式需要多元化和标准化。在企业数据财产交易中,各交易主体之间的权利义务划分可以采取法定义务与约定义务并行的方式,在现有法律规范的框架内,尽量细化和明确企业数据财产交易各主体的义务及其相关法律责任。
六、完善企业数据财产交易中民事法律义务的建议
对于企业数据财产交易中民事法律义务的确定,首先,应在实践中和法律上对企业数据财产的赋权属性和归属作出界定,以此减少因数据权属引发的纠纷;其次,应明确义务承担主体,并在主体明确的情形下再明确规定交易中的民事法律义务;最后,应合理衔接相关法律法规,对不履行义务的法律责任作出规定。
(一)明确企业数据财产的赋权属性与归属
数据权利归属一直是数据交易中的难点问题[19]。目前,许多国家或地区都在积极探索解决数据归属问题的方法,欧盟的GDPR(General Data Protection Regulation)对数据权利作出规定,贵阳大数据交易所等数据交易服务机构也提供了一定程度上的确权服务。明确企业数据财产的赋权属性和归属,对企业数据财产交易的顺利进行和长远发展具有重要意义。
1.数据所有权与数据使用权的并行
数据产权明晰是建立数据交易正常、稳定秩序的基础。已有学者从多个角度阐述了确立数据所有权的必要性,但确立数据所有权会给各个主体带来难以解决的新问题。因此,学者对数据的研究由所有权转向使用权。
从消除法律不确定性的角度出发界定数据使用权,既可以满足数据交易流通的现实需求,又可以避免数据绝对权带来的种种问题。有学者提出,用“数据权利束”理论代替数据所有权理论不失为一种可行办法[20]。还有学者认为,企业数据的利益模式,应当是保护和共享相平衡,通过建立共享机制,在以数据持有者为中心的基础上,促进其他利益相关者共享数据利益的模式[21]。不论是“数据权利束”还是建立数据共享机制,都是在数据使用权的路径下,通过技术手段在事实上控制数据。在企业数据财产交易中,企业可通过技术措施对数据进行清晰标识和事实控制,保障企业数据使用权,包括使用和许可他人使用数据[22]。
数据使用权的提出,对于解决数据交易中数据赋权属性不明确问题来说有其合理之处。企业有能力对数据进行控制,且控制数据已成事实,在与法定权利不冲突的情况下,企业对数据的实际控制在某种程度上可以看作数据交易的数据“权利”范围[23]。这种“权利”范围可以满足数据交易市场所需要的数据确权前提。从企业数据消费者角度来看,企业数据经营者的数据提供义务以及数据交易平台的审查义务,可以在事前排除交易数据不合法的风险。因此,确立企业数据使用权,暂时性地解决企业数据交易当前面临的问题,或许可以成为实践中企业数据交易发展的可行路径。当然,在明确企业数据的赋权属性与归属的同时,也应明确相关主体的义务与责任,从而促进数据交易合法有序发展。
2.个人数据控制权与使用权
个人数据主体应当对个人数据的财产价值拥有所有权,对个人数据的人格价值拥有人格权。个人对个人数据应当具有完全控制和处分的权利,若是该权利不能得到保障,则人格权极易受到侵犯,给个人带来损失。因此,个人数据控制权归属于个人。但个人数据作为企业数据的重要来源之一,若是在其控制权外不向企业设置一定程度的使用权,则不利于数据价值的发挥和数据交易市场的发展。因此,设置个人数据使用权,并将数据使用权同时归属于个人和企业,有利于数据流通,发挥数据价值。
3.企业数据所有权归属于企业
企业数据经过了加工处理,不涉及个人信息和个人隐私,虽然其可能形成于个人数据,但个人数据的控制权已归个人所有,在个人数据使用权归属个人和企业双重主体的情形下,企业数据所有权应当归属企业。基于此,企业对数据进行清洗、建模、分析,实现数据分析的可视化结果,形成新的更有价值的数据、数据产品或者数据服务,在实际层面可以最大限度地挖掘数据商业价值。因此,企业在企业数据所有权项下,应实现处分自由,收益自决,交易自由。
(二)明确企业数据财产交易民事法律义务
企业数据财产交易中不同的法律关系涉及不同的主体。各交易主体享受着不同的权利,也应当承担与权利相统一的法律义务。
1.企业数据经营者的民事法律义务
企业数据经营者作为企业数据财产交易中最大的受益方,理应承担更多的法律义务,具体来说,应有以下5 种。(1)确保数据合法义务。企业数据经营者应当确保交易数据来源的合法性,即确保不存在法律法规或者其他规范性文件规定的禁止交易的数据。此外,企业数据经营者还应当确保数据经过合法的匿名化处理,且已取得用户的合法授权,即交易的数据是在取得合法授权的基础上进行加工处理并达到一定匿名化标准的。实践中产生的行业自律文件也要求,企业数据经营者应注意对数据来源进行甄别和验证,保证数据的合法性、真实性和有效性。(2)数据说明义务。企业数据经营者应当主动向数据消费者或数据交易平台进行数据说明及简要描述,以方便企业数据消费者和数据交易平台了解所要进行交易的数据。(3)数据提供义务。向消费者提供完整、真实的数据是企业数据经营者应当履行的最主要义务。不管参照买卖合同还是服务合同的规定,企业数据经营者提供数据的义务,都是交易完成不可或缺的部分。如果数据经营者没有履行或者全面履行提供数据义务,该笔数据交易就无法顺利完成。(4)数据瑕疵担保义务。一是数据权利瑕疵担保义务。企业数据经营者应当保证交易数据的使用权不属于其他任何第三方或存在为他人设定权利等情况,以确保交易过程的合法性。二是数据质量瑕疵担保义务。企业数据经营者应当按照约定的质量要求交付数据。《信息技术大数据术语》等文件提出了数据准确性和一致性的要求。企业数据经营者应当对用于交易的数据质量负责,保证交易数据的真实性和完整性,因数据不符合质量要求,致使不能实现合同目的的,数据消费者可以拒绝接受该数据产品或数据服务,甚至可以要求解除合同[24];同时,数据更新也应纳入数据质量范畴,因此,数据经营者也有数据更新义务,其应当在交易后持续更新、维护数据质量,保证数据产品应用或数据服务的可持续性。(5)合规监督义务。企业数据经营者应当对数据消费者的数据合规使用情况进行监督,防止数据消费者将交易所得数据用于违法犯罪。
2.数据交易平台的民事法律义务
数据交易平台在企业数据交易中具有举足轻重的作用,作为企业数据交易关系中的一环,其必然要承担如下5 种义务。(1)审查义务。一是主体资格审查义务。数据交易平台应当审查企业数据财产交易主体的交易资格,对不具备数据交易平台规定的交易主体资格的企业数据经营者,应拒绝其进入。二是交易数据审查义务。其一,数据交易平台应当实质审查交易数据是否可交易,对禁止交易的数据,拒绝其进入平台内进行交易;其二,数据交易平台应当对数据的收集合法性进行形式审查,确认其是否获得用户合法授权。(2)数据安全保障义务。数据交易平台应当通过采取技术或其他措施,防止企业数据经营者的数据向外扩散;同时,通过采取内部安全管理措施,建立内部安全管理制度,维护平台内的数据交易安全。(3)独立中立义务。数据交易平台应当独立运行,秉持中立态度,促进交易达成,这有利于数据交易双方获得公平合理的信息服务。(4)如实告知义务。数据交易平台应当将企业数据经营者提供的数据信息以及其他交易有关事项平等、真实地告知交易双方,不得违反中立原则,偏向其中一方或为谋求自身利益隐瞒相关信息,损害交易秩序与交易安全。(5)及时救助义务。数据交易平台应当在履行防范和监督义务的基础上,对遭遇危险情况的消费者提供及时救助,体现数据交易平台的责任担当。
3.企业数据消费者的民事法律义务
相较于企业数据经营者和数据交易平台来说,企业数据消费者承担的法律义务相对较少。其与传统交易关系中的消费者所承担的义务并无太大差别,具体而言,有以下3 种。(1)支付对价义务。支付对价是消费者最主要的义务,尽管企业数据财产交易涉及的交易对象是数据,但其本质没有脱离交易的固有属性。企业数据消费者应当在企业数据经营者提供数据的同时,向其支付对价,该笔交易才算基本完成。(2)保密义务。企业数据消费者应当对在交易过程中知悉的关于企业数据经营者的信息保密。且保密义务的履行应当贯穿始终,企业数据消费者不得将企业数据经营者的数据恶意透露给第三方。(3)禁止再识别义务[25]。进行企业数据财产交易时,企业数据消费者应当禁止对通过交易获得的企业数据进行再识别,即尝试获得企业数据的基础个人数据,识别到特定个人。可通过合同约定或采取技术措施等方法,禁止企业数据消费者再识别数据的行为。
(三)做好规范之间的衔接以确保法律适用科学合理
数据交易作为新兴的产业,如果单纯依靠市场调节,必然会出现诸多难以解决的问题,因此需要来自法律的支持,以实现数据交易市场的规范化。法律责任是指,因违反法定或约定义务而应当承担的法律上的不利后果,一般包括民事责任、行政责任和刑事责任[26]。法律责任是法律义务的保障与体现,法律义务是法律责任的重要依据与缘由,二者存在一定的因果关系[27]。应做好各规范之间的衔接,厘清各数据交易主体在交易中的义务,明确数据企业不履行义务的法律后果,从而确保义务的履行,维护数据交易秩序和交易安全。
1.明确不履行义务的民事法律责任
企业数据财产交易在法律上以合同为表现形式,不论是从风险防范、事后救济角度,还是从权利义务平衡角度,都应当建立企业数据财产交易的责任机制,包括合同责任和侵权责任机制两方面。企业数据财产交易中的合同责任机制,是通过对合同责任的确立和分配来实现对数据交易的合同保护的,即赋予相关的违约方以合同责任,让其选择依照约定履行,进而保护正常的数据交易秩序[28]。合同责任主要通过违约与否进行判定,即主要看相关交易主体是否依照合同约定履行义务。企业数据财产交易中的侵权责任机制是指,第三人未经企业数据经营者授权,擅自交易或使用其企业数据财产,侵犯企业数据经营者数据权利,从而承担侵权责任的救济机制。企业数据经营者对企业数据财产具有实际控制能力,是企业数据财产的交易基础,如果第三方在未经企业数据经营者授权许可的情况下就对企业数据进行交易和使用,则实质上破坏了企业数据经营者的控制利益,即侵犯了企业数据经营者的数据权益,应当承担侵权责任。
2.明确不履行义务的行政法律责任
行政法律责任是指,行政法律关系主体因违反行政法律义务而构成行政违法,从而应当依法承担的行政性不利后果。设定企业数据财产交易中的行政法律责任,旨在通过在行政法领域对数据交易各方主体规定责任的方式,强调行政责任的承担,保护企业数据财产交易秩序,具体来说,包括两个方面:一是确定企业数据财产交易的监管机构;二是明确企业数据财产交易监管机构对违法者使用的行政管理手段。关于企业数据财产交易监管机构的确定,可对现有行政机构按照制度管理、内容监管、互联网监管等权责进行划分。关于企业数据财产交易行政管理手段的明确,可从现有法律法规出发,规定相应的警告、罚款、停业整顿等行政处罚措施。规定企业数据财产交易的行政责任,意在确定数据交易监管机构,明确监管机构的职责职能、可采取的行政处罚措施等,在行政法领域给违法者明确的行为后果预期。
3.明确不履行义务的刑事责任
企业数据财产交易不仅涉及企业利益,还涉及社会公共利益。企业数据财产交易虽然属于民事领域,但交易过程中如果侵犯了相关法益,相关主体仍要承担刑事责任。在不涉及个人信息的前提下,可从企业数据的财产性出发,从财产犯罪的角度来明确企业数据财产交易的刑事责任。根据企业数据财产的财产性特征,完全可将其归入财产法益的范畴,在计算机犯罪的罪名之外,以财产犯罪的形式对企业数据进行刑事保护。
七、结语
企业数据财产由来源合法、企业进行投入并且具备一定商业价值的数据及其集合和数据产品构成,具有非物质性、非创造性、非人身性、财产性等特征,可以分为原始企业数据财产和衍生企业数据财产、基础企业数据财产与增值企业数据财产以及公开企业数据财产与非公开企业数据财产。不同分类下的企业数据财产的保护程度不能一概而论。在明确企业数据财产的基础上,可以对企业数据财产交易作出讨论。企业数据财产交易实质上是企业数据财产在不同主体之间的有偿流转。但在目前条件下,企业数据财产交易面临数据权利基础薄弱、企业数据交易主体权利义务不明确、法律保障不足等问题。可从义务的约束性、不利益性视角出发,为企业数据财产交易主体设定民事法律义务,以求企业数据经营者、企业数据消费者和数据交易平台之间的利益平衡,促进企业数据交易的发展。
注释:
(1)北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷案,(2016)京73 民终588 号民事判决书。
(2)浙江蚂蚁小微金融服务集团股份有限公司、重庆市蚂蚁小微小额贷款有限公司与苏州朗动网络科技有限公司商业诋毁及不正当竞争纠纷案,(2019)浙8601 民初1594 号,(2020)浙01 民终4847 号。