何培育,杨 莉

(重庆理工大学 重庆知识产权学院, 重庆 400054)

随着第四次工业革命的到来,数据成为新的生产要素,被誉为21世纪的“石油”,在国民经济发展中发挥着至关重要的作用,深刻改变着生产方式、生活方式和社会治理方式。2021年9月22日,中共中央、国务院印发《知识产权强国建设纲要(2021—2035年)》 提出要“研究构建数据知识产权保护规则”(1)《知识产权强国建设纲要(2021—2035年)》第3条第(七)项:建立健全新技术、新产业、新业态、新模式知识产权保护规则。探索完善互联网领域知识产权保护制度。研究构建数据知识产权保护规则。完善开源知识产权和法律体系。研究完善算法、商业方法、人工智能产出物知识产权保护规则。,学界随即掀起了一场数据知识产权保护研究的热潮。2022年12月2日,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》,进一步强调了要加快构建数据基础制度,构筑国家竞争新优势。但由于企业数据涉及的利益关系复杂,且数据保护的功能具有多元化特征,因而如何构建全面的数据产权保护制度,特别是如何发挥知识产权制度实现数据确权存在较大争议。为破解该问题,需要清晰界定知识产权保护企业数据的积极作用与现实局限,进而提出完善我国企业数据知识产权保护的建议。

一、问题的提出

数据是否可以赋权,数据权利法律保护的制度是重中之重。数据本质上是对人的社会行为产生影响的信息,或者说数据是信息的表达,信息是数据的内涵[1],通常有数字、文字、图像等表达方式。对于是否应当对数据进行赋权,笔者认为应当对于企业数据赋权,而赋予何种权利学界是有争议的。程啸认为数据企业的数据权利是一种新型的财产权[2];纪海龙认为在强大的知识路径依赖下,即便不把数据当成有体物,也不妨碍参照适用《物权法》来保护数据[3];吴汉东则认为运用知识产权保护更能够满足企业数据保护特征[4]。企业经营中会产生大量数据,这些数据与知识产权所保护的客体具有相似性,例如需要通过智力劳动实现其价值性以及非物质性等[5]。因而通过知识产权对数据进行保护与其他方案相比,有较为成熟的理论及立法依据,不失为有益的方案。

但以这种方案来保护企业数据仍存在显著的局限。首先,大量数据由于无法满足相应的条件而无法获得知识产权保护。其次,知识产权具有垄断性,若将所有的企业数据类型囊括到知识产权中,不利于企业数据的产生、公开、流通,容易导致市场失灵,且与知识产权保护的理念相违背,不能有效地激励创新。再次,当前企业数据知识产权的法律规则尚不完善。例如对于企业数据的抓取、运用、保护等商业行为,现行知识产权立法尚未给予充分的考量,不利于商业数据的流通和高效使用。因此,对于通过知识产权保护企业数据权益,应当从知识产权的不同权利类型角度客观分析,同时应衡量其他保护方式,进行全面的、综合的法律保护。

二、企业数据知识产权保护模式的现状及局限

企业数据的类型多样,可分为单条数据、数据集合、原始数据、衍生数据等,不同的数据类型可以通过知识产权专门法或《反不正当竞争法》模式加以保护,但不同的保护模式能否发挥不同的功能亦有相应的局限。

(一)知识产权专门法保护模式的现状与局限

目前,基于现行立法与实践,同一数据满足不同的要件可受不同的法律保护。数据库保护可适用著作权、特别权利以及反不正当竞争多种模式[6]。郑成思认为知识产权的客体就是信息,而数据的本质就是信息,且数据与知识产权同为无形财产[7]。冯晓青认为,客体共享与客体之上的权利专有,是知识产权法的重要特点[8],这与数据保护的初衷不谋而合。因此,数据作为知识产权保护具有正当性。然而,数据作为知识产权客体来保护的模式还不太成熟,有诸多限制。

1.《著作权法》保护模式的现状及局限

《著作权法》所规定的汇编作品的构成包含了不构成作品的数据或材料。因此,企业数据可作为《著作权法》客体被保护。《著作权法》规定作品是受保护的客体,须满足独创性的构成要件。汇编作品的独创性一般体现于汇编材料的选择或编排上,未经权利人许可,他人不得使用该汇编作品[9]。则数据独创性主要在于数据收集者对大量数据的选择、编排、处理等,数据本身并不具有独创性,经过一系列“加工”才具备了独创性。

然而,实践中,《著作权法》保护企业数据存在一定局限。其一,《著作权法》保护作品采用的是思想表达二分法原则,即只保护作品思想的表达而不保护思想本身,一种思想可以以多种形式展示,但是数据的表现形式则有限,若只保护数据的表达则会限制创新,违背了立法目的。而数据的价值主要集中在数据内容本身,而不是它的表达方式,毕竟数据的表达方式只有数字、图像、声音等几种方式,难有创新。其二,实践中司法工作人员对于独创性的认定差异较大,许多案件难以被认定为具有独创性。在北京长地万方科技有限公司与深圳市凯立德计算机系统技术有限公司、北京中微恒业商贸中心侵害著作权纠纷一案中(2)参见北京市海淀区人民法院(2007)海民初字第8848号民事判决书。,法院认为,导航电子地图制作的基础信息,比如相关的道路信息、道路名称、商铺地点、标志性建筑的位置等信息属于公共领域,任何人都可以获取并加以利用,但对于同一地理位置信息的选择、加工、排列具有独创性,是可以受著作权保护的。其三,《著作权法》的合理使用制度对数据保护的局限[10]。《著作权法》对于合理使用设置了12个条款以及一个兜底条款,情形多样。侵权案件中,侵权人可利用合理使用进行抗辩,主张权利人在收集的数据属于公有领域,可以共享而不是成为私有权益。

2.《专利法》保护模式的现状及局限

专利权所保护的客体须满足新颖性、创造性和实用性,且对于创造性的要求是知识产权客体中最高的。涉及数据的技术发明创造,利用自然规律解决特定的技术问题,形成特定的技术方案,就能够通过申请专利的形式获得专利保护[11],例如大数据领域的数字处理设备。数据的《专利法》保护模式的局限有:首先,涉及数据的技术可受专利保护,而数据本身并不能受到保护。其次,专利保护的构成要件对于企业数据来说难度较大。美国的数字经济发达,研究发现,他们的企业大多采用商业秘密来保护其数据而非专利,因为专利的“门槛”过高,获得授权的可能性较小[10]。

3.商业秘密保护模式的现状及局限

商业秘密保护的客体主要是商业信息,即具有一定价值,处于保密状态且经营者采取了一定的保密措施的企业经营活动中所产生的商业信息。数据信息获得《反不正当竞争法》保护的前提要件是数据信息不为其所属领域的相关人员普遍知悉和容易获得、能为权利人带来竞争优势、采取合理保密措施[11]。只有满足了以上要件,该数据才能利用商业秘密保护模式来保护。

数据作为商业秘密保护有一定的可取之处。第一,数据的特征符合商业秘密保护客体的特性。第二,商业秘密可以保护一切经营者认为其生产、经营活动中的具有价值、值得被保护的信息。这给予了经营者选择的自由,其根据自身情况、信息的状态、战略选择等自由抉择。第三,商业秘密对于实施的措施没有严格的要求,即便最终会与侵权人对簿公堂,也有较大的胜算。在杭州某科技公司与汪某商业秘密纠纷一案中(3)参见浙江省杭州市中级人民法院(2021)浙01民终11274号民事判决书。,法院认为,直播打赏的实时数据只有登录管理人员账号才可查看,具有秘密性;而且公司与涉密人员签订保密协议,符合采取保密措施;从数据本身、直播平台的运营模式等角度分析,涉案数据具有商业价值,因此涉案数据属于商业秘密。

但商业秘密保护模式也有一定的局限。首先,商业秘密要求符合秘密性构成要件。个人信息通过企业的收集(经过用户同意)、选择、加工等流程转化为企业数据,而大多数企业都可以通过这种收集方式采集个人信息,竞争对手同样可以通过技术手段,获得与商业秘密相同或者近似的数据,那么商业秘密就会失去秘密性而导致无价值可言。其次,商业秘密保护模式使数据处于秘密状态,容易造成数据垄断现象[12]。企业若都将数据作为商业秘密,那么市场上流通的数据就会变少,不利于企业通过公开数据进行加工处理,不利于数据行业的发展。

(二)《反不正当竞争法》保护模式的现状及局限

如前所述,企业数据以《著作权法》、《专利法》、商业秘密模式保护均存在一定的局限性。实践中,大多数数据权益保护案件以《反不正当竞争法》规制[13]。《反不正当竞争法》主要运用于商业领域,规范竞争对手之间的商业行为。

企业数据的运用中,难免会发生竞争行为,而这些行为中自然会存在不正当的竞争,因此常用《反不正当竞争法》来保护数据权益。采用《反不正当竞争法》保护的企业数据需要满足4个条件[14]:一是经营者对企业数据具有合法的权益。二是该行为属于竞争行为。法院在判定此要件时,一般从原被告所属行业、经营范围、产品类型等方面判定是否存在竞争关系,从而判断该行为是否属于竞争行为。对于竞争行为的判定不太复杂,往往不需要大量的证据佐证。三是竞争行为是否对原告造成了实质性损害。赔偿是以损害为前提,赔偿的数额也是以损害的程度来确定,因此实质性损害是关键的一步。在北京微梦创科公司与湖南蚁坊公司不正当竞争纠纷一案中(4)参见北京知识产权法院(2019)京73民终3789号民事判决书。,被告利用不正当的技术手段抓取微博平台的数据,给微博平台的正常运行造成负担,且影响平台与用户之间关于数据安全的协议,对其商誉造成影响,因此该行为会对微梦公司造成实质性损害。四是竞争行为具有不正当性。例如该行为违背了诚实信用原则,商业道德或者是数据抓取和数据使用行为具有不正当性。商业道德一般是其所属行业所公认的,是一种行业规范,为该领域内的人所熟知。而数据抓取行为的不正当主要有破坏了平台为保护数据所设置的技术措施、违反双方的合同约定,以及违反Robots协议等等[13]。在云智联公司与北京微梦创科公司不正当竞争纠纷一案中(5)参见北京市海淀区人民法院(2017)京0108民初24512号民事判决书。,被告利用技术手段破坏或者绕开了微博平台为保护非公开数据所设置的访问权限,显然此行为具有不正当性,属于不正当竞争。

然而,企业数据用《反不正当竞争法》来保护也存在局限性,若两个企业之间并不存在竞争关系,《反不正当竞争法》则失去效力,而且经营者难以准确判断何为不正当竞争行为,即便是进入了诉讼程序,不同法官的认定也有较大的差异。总之,一般条款的适用取决于个案衡量的非常规操作,不宜成为一种特定的保护模式,否则将有损司法的正当性和安定性,更有“向一般条款逃逸”的危险[15]。

三、企业数据知识产权保护的域外考察与镜鉴

国外对于企业数据的保护与我国的保护方式略有不同,主要表现在不具有独创性的数据库上,而是以特别权利和邻接权两种模式保护企业数据库。同时,对于独创性的数据库以版权法保护,也利用不正当竞争法保护企业数据。

(一)企业数据知识产权保护的比较法考察

1.欧盟企业数据知识产权保护路径

欧盟是最早推出企业数据知识产权保护的国家之一,其企业数据知识产权保护对于我国构建数据知识产权保护体系具有较强的参考价值。欧盟的保护模式是由合同、事实控制、知识产权、商业秘密和数据保护法确定的模式,已经形成了强有力的数据保护机制[16]。

欧盟的传统做法是主要以版权法保护企业数据,随着数字经济的发展,这种方法的弊端越来越明显,企业数据权益难以得到有效的维护。数据库作为企业数据的数据类型,其法律保护可作为企业数据知识产权保护路径的参考。1996年,欧盟出台了《关于数据库法律保护的指令》,将所有数据库类型涵盖,赋予不具有独创性的数据库特别权利保护,同时以版权法保护具有独创性的数据库(6)《欧洲议会及欧盟理事会关于数据库法律保护的指令》第3条第1款:依照本指令规定,凡在其内容的选择或编排方面体现了作者自己智力创作的数据库,均可据此获得版权保护。本规定是判定一个数据库能否获得版权保护的唯一标准。第7条第1款各成员国应为在数据库内容的获取、检验核实或选用方面,经定性与/或定量证明作出实质性投入的数据制作者规定一种权利,即防止对数据库内容的全部或经定性或定量证明为实质部分进行撷取与/或反复利用的权利。。其实质就是将不具有独创性的数据库财产化,赋予数据库制作者所有权,数据库制作者享有占有、处分、收益的权利,以数据库制作者是否进行了实质性投入为标准,保护劳动成果[17]。

德国作为欧盟的成员国之一,其独特的做法是对不具有“独创性”的数据库在《著作权法》中以邻接权保护模式(7)德国《著作权法》第87b条:数据库的制作者有权将数据库作为一个整体或数据库在质量或数量上相当重要的一部分复制和分发,并将其向公众提供。向公众复制、分发或传播数据库在质量上或数量上具有重要意义的部分,应等同于向公众重复和系统地复制、分发或传播数据库在质量上或数量上不重要的部分,只要这些行为不违反数据库的正常使用或不合理地损害数据库生产者的合法利益。,赋予数据库制作者相应的权利,即数据库制作者在不损害数据库生产者的合法权益和不影响数据库正常使用的前提下,可以向公众分发、复制、传播数据库等等。此模式具有一定的益处,肯定数据库制作者的同时也维护了数据库生产者的利益。其保护期限为15年,期限届满则权利终止,但制作者可以对即将届满的数据库作出实质性改造,从而可以重新计算保护期限。

2016年,欧盟通过了《商业秘密保护指令》,要求其成员国将该指令转化为国内法使用。实践中,德国将企业数据作为商业秘密的保护对象,从而保护企业数据的合法权益。同时,只要满足商业秘密3个构成要件的数据亦可受到商业秘密的保护。

2.美国企业数据知识产权保护路径

美国是数字经济发展较早的国家之一,企业数据保护制度从无到有进行了一系列的数据权益保护的立法探索,也借鉴了欧盟的《关于数据库法律保护的指令》。

早期,美国1970年《版权法》中,以“额头出汗”原则(8)该原则指出,经过一定规模的投资和辛勤劳动获得的成果应当受到保护,而不以作品是否具有创造性作为判断标准。来认定汇编作品是否可以受到《版权法》的保护,其中,数据库因其收集者付出了劳动,比如上门调查以获得数据,从而使数据库获得了版权法的保护。Feist案迎来了一个转折,否定了“额头出汗”等同于创造性的标准[18],而改为须满足独创性(9)美国 1976年《版权法》(后又于1993年修订):第103条(b)条款中,明确了汇编作品的独创性应体现在内容的选择、整理和编排上。数据库才能受到保护,这是法律跟随时代的脚步发展而来的。之后,美国开展了许多数据库专门立法的提案,均未有统一的解决方案。相对于欧盟采用 “公律” 对不具独创性的数据库予以特别赋权的做法,美国则是因为立法无望而完全走上了“自律” 的道途,以签订制式性的使用许可合同来作为主要的保护方式[19]。其实质是将企业数据作为一种财产,该企业拥有数据库的所有权,可以在合同中约定数据库的使用、收益、期限等,保护不具有独创性的数据库制作者的合法权益。

《联邦贸易委员会法》(10)《联邦贸易委员会法》第5a条:商业中或影响商业的不公平的竞争方法是非法的;商业中或影响商业的不公平或欺骗性行为及惯例,是非法的。中规定了商业中不公平的竞争方法和竞争行为与惯例是非法的。那么,企业利用不正当的手段获取、盗用数据的行为可以此规制,以《反不正当竞争法》保护模式保护数据权益。1984年,美国通过了《计算机欺诈和滥用法》(CFAA),规定未经许可,通过欺诈手段入侵计算机获取信息的行为属于联邦犯罪行为。据此可以打击非法入侵计算机获取他人数据的不正当行为,保护权利所享有的数据权益。随着计算机的发展,网络爬虫成为获取万维网信息的一种重要手段。企业利用爬虫程序爬取其他企业的数据,这种行为的不正当性在于未经授权,擅自获取其他企业的非公开数据,侵犯了其合法权益。但若是爬取企业平台的公开数据则不违反法律规定。在HiQ Labs诉LinkedIn案中,一审法院是同意企业可以爬取其他企业公开数据这一观点,并且同意了HiQ Labs申请的禁令,使HiQ Labs可继续访问LinkedIn个人用户的公开数据,经过二审、再审,法院均是维持原判,禁止LinkedIn干扰HiQ Labs获取其网站的公开数据。

3.日本企业数据知识产权保护路径

日本对于企业数据的保护追随主流模式,在其颁布的《著作权法》(11)《著作权法》第12条第1款:“在信息的选择或系统结构上有创造性的数据库,可作为著作物予以保护。”中规定,将数据库作为一种著作物,采用《著作权法》保护,只要该数据库满足创造性即可。日本将数据库与文学作品置于同一水平,数据库制作者与一般的著作人一样享有著作人身权和著作财产权,且也适用合理使用条款,即个人、家庭以及与此同类有限范围内研究、欣赏或者使用数据库或者为保存图书资料的复制(以免绝版)等合理使用方式,可不经权利人许可且无须支付报酬[20]。

同时,适用《不正当竞争防止法》来保护企业数据。2018年,日本对《不正当竞争防止法》进行了修改,数据的不正当竞争行为包括不正当获取、使用和公开[11]。采用“限定提供数据”保护制度,即通过设置特定的ID、加密等方式或者根据需求将企业数据提供给相应的人员,将获得企业数据的用户数量限制在一定的范围,从源头上防止不正当竞争,“限定提供数据”仅包括满足相当积累性、电磁管理性、限定提供性等构成要件的数据,而不涵盖公开的,面向社会公众且能无偿利用的数据[20]。“限定提供数据”条款是一种别具一格的方法,以不同的方式来解决数据保护的难题,具有较强的操作性。规制侵权人通过不正当手段或正当手段获取而不正当使用数据的行为,从不同的角度来保护企业数据权益。

(二)企业数据知识产权保护域外立法镜鉴

美国的微软、苹果、谷歌、亚马逊等大型互联网企业掌握了海量数据,建立了数字帝国,垄断了数据市场,欧盟为提升数据市场的话语权、规则制定权等,限制跨国企业在其市场的扩张,欧盟相继推出关于数据的立法,从各个方面推动企业数据发展[21]。 2018年,欧洲颁布《通用数据保护条例》,侧重于保护个人数据,并且规定了“被遗忘权”,即用户可要求数据控制者删除有关于用户的个人数据,以保护其隐私[22]。2020年,欧盟出台《数据治理法》,其宗旨是促进数据流通,建立公共部门数据的重用机制,在安全的环境下再利用数据的,激活数据价值[23]。2022年,欧盟颁布《数字市场法》,将大型互联网企业归类为“守门人”,为其制定了一系列义务,增强中小企业获取数据的能力,促进市场良性竞争[24]。2022年,欧盟公布《数据法案》(DataAct)草案,进一步促进数据流通共享。同时,规定了对于企业数据以商业秘密模式保护的,应采取一切必要措施,避免造成企业数据泄露。在促进数据共享的同时也维护企业的合法权益,强化企业数据商业秘密保护[25]。《数据法》提案虽然没有赋予数据持有者一种新的数据权,但其制度设计的起点是承认数据持有者对数据享有实际有效的控制,在内容上重点关注中小微型企业、用户以及公共部门(在特定情况下)对企业数据的准入和使用[26]。这一系列立法大多是出于公共利益的考虑,以促进数字经济、数据产业的发展,给予企业更好的保护。

欧盟、美国以及日本对于具有独创性的数据库的保护并没有差异,都是以著作权法中的汇编作品保护,而对于企业的其他种类的数据则各有不同。欧盟对于不具有独创性的数据库单独设立特别权利保护,同时采用了商业秘密保护模式;美国以合同保护不具有独创性的数据库,并以不正当竞争法保护不正当获取数据的行为;日本对于企业数据的保护并没有单独赋权,而是通过《反不正当竞争法》加以规制,不以权利模式保护。总之,这些国家或地区的企业数据都没有通过财产权保护,数据财产权尚处于待开发状态。但基于我国国情,数字经济时代以及数据行业的发展,以数据财产权保护不具有独创性的数据库以及其他具有实质性投入的数据具有可行性,弥补知识产权保护模式不足的同时将数据作为一种财产保护,企业、个人等数据主体可充分利用数据的价值,促进数据流通、共享。

通过对欧盟、美国、日本企业数据保护模式的考察,结合我国数据产业的实际情况,对我国企业数据知识产权保护可以提供以下启示:首先,应对不具有独创性的数据库通过数据财产权进行保护,填补法律空白,防止其他企业低成本地获取企业的数据,减少不正当竞争,促进市场良性竞争,维护公共秩序。其次,可适当缩短企业数据的保护期限。美国以合同保护不具有独创性的数据库,其保护期限由合同双方当事人约定,期限一般不会过长,较短的保护期限对于数据的产生、流通等有益。而欧盟则是明文规定保护不具有独创性的数据库特别权利的期限为15年。最后,充分利用《反不正当竞争法》保护企业数据。对于利用不正当手段获取或者不正当使用企业数据的行为严厉打击,可对不正当的手段以及不正当使用企业数据的行为采用列举式,同时随着时代的发展进行补充,使企业清楚地知道哪些行为可能会侵害其他企业的数据权益,从而避免侵权行为。

四、企业数据知识产权保护体系的完善

当前对于企业数据知识产权的保护仍存在不足之处,可从完善法律规则、行业规则入手,加强企业数据知识产权保护,保障企业数据安全,促进数字经济发展。

(一)企业数据法律保护的制度框架构建

中共中央、国务院发布的《关于构建数据基础制度更好发挥数据要素作用的意见》(12)中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》:探索数据产权结构性分置制度。建立公共数据、企业数据、个人数据的分类分级确权授权制度。根据数据来源和数据生成特征,分别界定数据生产、流通、使用过程中各参与方享有的合法权利,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,推进非公共数据按市场化方式“共同使用、共享收益”的新模式,为激活数据要素价值创造和价值实现提供基础性制度保障。研究数据产权登记新方式。在保障安全前提下,推动数据处理者依法依规对原始数据进行开发利用,支持数据处理者依法依规行使数据应用相关权利,促进数据使用价值复用与充分利用,促进数据使用权交换和市场化流通。审慎对待原始数据的流转交易行为。中规定以数据类型及来源划分,界定每个参与数据相应流程的主体合法权利,激活数据要素价值,促进数字经济发展。诚然,企业数据可分为数据库、衍生数据、公开的数据以及非公开的数据,不同的数据类型具有不同的特点,根据企业数据的特点,应采取不同的保护模式保护企业数据。对于企业的数据库,首先区分为公开与非公开数据,对于非公开数据可采用商业秘密保护模式,以维持该数据的保密状态。而公开数据中的数据库则需判断其是否具有独创性。对于具有独创性的数据库可采用《著作权法》保护;不具有独创性的数据库则需判断数据库制作者是否有实质性投入,对有实质性投入的数据库为鼓励其创新可采用数据财产权保护,根据数据库制作者的付出赋予包括数据资源持有权、数据加工使用权、数据产品经营权等权利。与德国的邻接权模式相比,数据财产权包含更多的权利内容,且可独立于《著作权法》,使企业数据权益得到更好的保护。除数据库以外的公开数据可先判断是否可采用《反不正当竞争法》保护,满足不正当竞争手段获取或者不正当使用方式的条件的公开数据。淘宝诉美景不正当竞争案中(13)参见杭州铁路运输法院(2017)浙8601民初4034号民事判决书。,美景公司擅自获取淘宝公司旗下的“生意参谋”中的数据,并利用数据获取利益,有悖于相关商业道德,属于通过不正当竞争手段获取其他企业的数据。最后,对于其他具有实质性投入的数据可采用数据财产权加以保护,保护数据制作者所付出的劳动。具体流程如图1所示。

图1 企业数据法律保护的制度框架

(二)完善企业数据知识产权保护体系的具体建议

关于企业数据知识产权保护,学界有3种代表性观点:一是在创设制度中,在《反不正当竞争法》中设定独立法益类型的模式,不仅能够通过控制特定行为赋予企业有限的财产保护[18];二是通过完善数据的竞争法规制路径来保护数据权益[27];三是构建数据知识产权保护规则[28]。笔者认同第3种观点,通过明确企业数据知识产权的客体、权利内容、权利归属、侵权标准等构建企业数据知识产权保护体系,为促进企业数据知识产权保护体系完善提供有益的参考,从而激活企业数据价值,促进数字经济发展。

1.明确企业数据知识产权保护的客体与权利归属

企业数据的主要是两种,一种是企业通过加工、处理原始数据所产生的衍生数据,原始数据的来源主要有收集公共数据或者用户的个人信息所组成的数据集合;另一种是企业生产经营活动中所产生的数据,例如研发项目中所获得的是实验数据、购买其他企业的衍生数据等等。笔者认为,后者当然是数据知识产权保护的客体,前者中的衍生数据符合一定的条件也可以成为保护对象。《个人信息保护法》已将原始数据中的个人信息列为保护客体,不需要数据知识产权将其列入保护范围。公共数据在许多政府文件中所表现的特征是属于公共领域,须采取一系列措施来促进其传播、流通。对于通过交易购买的数据,应该作为数据知识产权的客体。实践中,数据已作为商品进行交易具有交换价值,如各地方的数据交易平台所交易的客体就是数据[29]。既然该数据已经成为一种商品,法律当然应该给予保护。

企业数据所涉及的主体分为两类:企业与用户。诚然,用户作为该数据的生产者理应享有其权利,一如消费者购买商品而享有其物权。而企业作为收集大量数据的处理者,也应享有该数据的相应权利,但须经过用户许可并且保障用户隐私的前提进行加工处理,此权利源于企业对数据所投入的人力、物力、财力等投资,从而鼓励企业对数据进行创新。

2.确立企业数据知识产权权利内容与限制

企业数据受多种法律保护,则在权能的设置上可参考相应的法律,设置为专有权、销售权、许可权、修改权、禁止权等[30]。第一,企业应对其合法收集的数据享有专有权,他人未经许可不得使用。同时,企业未经用户许可,不得获取其个人数据。第二,企业对于其有价值的数据可拿到交易中心出售,从而促进数据流通,形成更好的营商环境。第三,企业可将其所有的数据许可他人使用,可以是独占许可、排他许可以及普通许可,企业根据战略规划、该数据的重要性等确定许可方式。第四,企业可根据需求,对其掌握的数据修改,对数据进一步加工,使数据更符合企业的战略规划。用户亦可根据其喜好的变化、个人信息的更改、生活环境的改变对其享有是数据修改,而禁止他人擅自地更改其数据。第五,企业与用户对其拥有的数据应享有禁止权,禁止他人对其数据权益的侵害。

为避免过度保护而造成垄断现象的出现。企业数据知识产权的保护范围不能影响到公共利益、社会利益以及私人利益的平衡,亦不能影响到个人对于其信息的利用。基于其他保护功能和利益关系的关联存在,数据财产权作为数据保护的一种复杂秩序安排,并非一种完全自在自为的绝缘化权利空间[31]。与之相似,数据知识产权应当设置一些合理的限制,类似于《著作权法》的合理使用规则和专利法的强制许可规则,而不是给予过于绝对的权利。建立数据合理使用和强制许可制度。可参照《著作权法》和《专利法》,设置一些合理使用和强制许可制度,例如科研人员可不经许可且不支付报酬而使用企业所掌握的数据。处于紧急情况时,对于涉及公共安全的数据,相关部门也可授权给相关企业使用,不需要征得该企业的同意。这与“卡—梅框架”中的责任规则相似。“卡—梅框架”由美国学者卡拉布雷西和梅拉米德提出,以私人对法益的自由转移和自愿交易为依据将法益保护的不同规则归纳为财产规则、责任规则和禁易规则[32]。数据的责任规则即是在发生紧急情况时,企业收集、使用相应的数据不需征得用户的同意,但需支付一定的报酬[33]。财产规则的目的在于交易自由,当事人根据意思自治,选择交易方式、内容、地点等,最大限度地保护当事人之间的意思自治[32]。企业数据法益保护的财产规则可划分为含有个人信息以及不含有个人信息的数据。含有个人信息的数据应以“通知+同意”原则加以规制,保护用户的数据安全。企业获得加工处理数据的权能,用户获得相应的服务,在企业与用户之间达到利益平衡。企业对于不含有个人信息的数据享有财产权益,对于经过加工处理的衍生数据可以自由交易。

3.设立企业数据知识产权的侵权判断标准

数据知识产权即不同的数据采用不同的知识产权模式保护,当然应明确其侵权标准,以避免侵权现象的频发。第一,企业作为数据知识产权的权利主体,享有知识产权,他人未经许可使用或者部分使用其数据并且作为商业用途或者其他损害其权益的做法,应当判定为侵权。第二,作为新兴客体,涉及企业数据竞争行为的判断应回归行为规制法,侧重于竞争行为的正当性评价[34]。若该行为违反商业道德或者诚实信用原则,则应认定为不具有正当性,视为侵权。第三,作为商业秘密保护的企业数据不涉及其他企业通过反向工程获得的相同或者相近似的数据,即该行为不视为侵权行为。第四,在数据交易中,数据一经出售,应遵循“权利穷竭”原则,对于数据的再次、多次转让不享有权利。第五,赔偿金额的计算可根据权利人所受损失、侵权人所获利益等计算,权利人损失越多,赔偿金额应越多。同时,应考虑侵权是否具有主观过错,是否故意侵权、侵权持续时间、侵权范围等。

4.建立企业数据知识产权保护行业规则

(1)明确企业数据抓取的规范

数据获取的方式大致可分为两种:一是通过对外提供API接口的方式获取数据;二是通过数据爬虫技术获取数据[35]。实践中,主要是数据爬取行为的不正当引起了纠纷[13]。爬虫是现在抓取互联网数据的主要手段之一,能够快速地复制、抓取网络上的信息。但在爬取的过程中也应遵守一定的行业规则——爬虫协议(又称“Robots协议”),明确哪些页面允许抓取并进行商业使用,厘清合法性边界,防止不正当竞争。虽然Robots协议目前仅属于行业惯例,但在司法实践中其效力亦被认可[36]。在百度在线网络技术(北京)有限公司、北京百度网讯科技有限公司与北京奇虎科技有限公司不正当竞争纠纷一案中(14)参见北京市高级人民法院(2017)京民终487号民事判决书。,法院认为百度公司违反Robots协议,该协议是为了避免网络机器人重复抓取信息,而百度公司在其Robots协议中阻止360搜索引擎对其相关网页抓取的行为与Robots协议的初衷相违背,属于不正当竞争行为。笔者认为,应进一步明确数据抓取的法律性质,将Robots协议纳入行业规范,以保证数据安全与合法使用。

互联网行业与数据息息相关,行业协会可以制定相应的数据使用规范,从行业层面出发,更加贴近实践,更能够有较大的成效。

(2)强化企业数据治理规则

强化企业数据治理规则要从行业规范和企业内部管理入手,完善相应的规范,避免不正当使用数据造成不正当竞争及侵权行为[37]。首先,行业协会应制定相应的规范,构建数据治理原则。例如数据安全原则,企业在获取数据的同时应保障数据的安全,采取一定的措施避免数据泄露,且不将带有个人信息的数据随意处分。其次,要建立不同部门与机构之间、不同层级之间的侵权假冒线索监测启动与推送机制、信息共享机制[38]。加强不同部门(企业或行业内部)之间的沟通,坚决打击侵权现象,加强网络平台的监管,从源头上避免侵权现象的发生。最后,加强企业内部数据治理,对数据的产生、流通、利用、共享流程设置操作规范,强化企业数据合规,防范化解侵权风险。