陈芷琼, 滕 丽

(广东财经大学 法学院,广东 广州 510320)

在当今数字经济蓬勃发展的时代,因数据利用导致的法律纠纷逐渐显现,包括企业数据利用与个人数据保护之间的纠纷、企业与企业之间关于数据利用的纠纷等。随着《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》的出台,在个人数据层面,我国已有系统化的法律规制体系;但在企业数据层面,尚缺乏明确法律规定。企业数据能否得到充分且坚实的法律保护与企业是否愿意投资大数据产品、数字经济能否持续健康发展等息息相关,因此研究企业数据的法律保护路径很有必要。对“企业数据权益的法律保护路径是什么”这一命题存在很多理论争议,如新型财产权利保护说、侵权法保护说、商业秘密保护说等,总体上可以归纳为两种路径:一是通过法律解释方法将企业数据归入现有法律体系中,利用现有法律对企业数据的利用与交易过程进行规制,此类型可以避免设立额外的新型权利;二是在现有权利体系之外,设立新型企业数据财产权,进行赋权保护。

本文针对企业数据权益保护面临的理论困境,对现有几种理论方案进行整理,梳理出其中利弊,结合当前企业数据权益法律保护现状,探析最佳保护方案。同时对创设企业数据财产权进行理论论证,并提出企业数据权利化保护的具体可行方案,以期为同类命题提供思路参考。

一、企业数据权益保护的理论困境

1.企业数据的客体地位不明

企业数据能否实现权利化保护,理论基础在于数据能否成为民事法律关系的客体,对于这个问题存在两种回答,即否定说与肯定说。

否定说认为数据具有非独占性、无形性、共享性等特征,使其无法成为独立权利客体[1]。理由主要有三点:其一,企业数据必须依存于一定的载体呈现,离开具体载体,数据的价值便无法独立呈现。其二,企业数据的无形性特征使其无法被特定主体占有,而流动性特征又使其也无法绝对地排除他人占有,因此难以实现民事主体的独占性要求。其三,企业数据也并非智力成果。虽然一部分肯定说观点认为企业数据可以比照知识产权的方法通过法律规定实现特殊的占有,但持否定观点的学者认为知识产权的权利实现基础在于信息内容的专属性和垄断性,而大部分企业数据只有在公开与流动中才能实现更大经济价值,两者本质不同,自然不能比照适用。

肯定说认为企业数据可以成为独立权利客体[2-3]。理由主要有三点:其一,企业数据通过比特形式承载了以事实和活动为主的实质内容,这种数字化记录可以使数据承载的内容与形成该内容背后的主体相分离。其二,企业数据本身所承载的信息内容与由代码表现出来的比特形式两者均是企业数据的组成元素,不应分割讨论。否定说以企业数据无法离开载体独立存在为理由否定独立性特征的说法并不成立。其三,企业数据的流动与共享确实具备了一定的非独占性,但这并非是否定其独立客体地位的理由。基于经济社会发展或价值判断需要,立法者依然可以通过法律规定赋予某些新生事物民事客体地位,例如目前财产权利客体的范围已由实体物逐渐扩大到诸如股票、知识等无体物,其中知识是无形的,同样也具备了一定的非独占性,但其已经通过法律的规定成为知识产权的客体。

企业数据是否具有客体地位理论界尚未达成共识,因此目前司法实践中,最常见的判决思路是将企业数据视为一项受保护的权益,适用反不正当竞争法加强数据保护。典型案例如谷米诉元光案、蚂蚁微贷诉朗动科技案、淘宝诉美景案,在这些案例中,共同特点在于法院均认可了企业数据的财产价值,被告不正当获取原告数据的行为构成不正当竞争。在立法层面,对企业数据是否具有客体地位的问题也依然没有统一回答。有学者认为在《中华人民共和国民法典》第111条和第127条,以及人格权编第六章中,分别对个人信息、隐私和数据作出不同规定,这种细致区分可以看出我国立法者已经明确意识到信息与数据之间的不同,从而间接承认数据的民事客体地位。

总的来说,目前关于企业数据能否成为民事法律关系的客体尚未达成定论。对这一问题的两个回答构成了企业数据权益法律保护的两种基本思路,在肯定说观点下,对企业数据权益可以采取权利保护路径;而否定说虽然否定企业数据的独立客体地位,但并不等同于否定企业数据应受法律保护。权利本质上是一种上升到法律保护层面的利益,除此之外还存在着应当受法律保护但并未上升到权利层面的利益。否定说认为企业数据是受法律保护的利益,应当采用利益保护的路径。

2.企业数据的权利属性模糊

假设企业数据能够作为权利客体存在,那么接下来需解决企业数据是何种权利客体的问题,即企业数据的权利属性问题。理论界存在着人格权说、财产权说、知识产权说、物权说等学说,导致观点分歧的原因在于企业数据涉及多个主体利益,从不同利益视角研究企业数据,可以得出不同权利属性的观点。例如持知识产权属性观点的学者以企业数据的采集、加工过程为视角,认为最终生产的数据集或数据产品凝结了数据加工者、编辑者的智力劳动,应当将企业数据解释为一种知识产权客体[4]。又如持财产权属性观点的学者则从劳动价值、法经济学的角度分析,认为作为市场主体的企业生成出数据最终是为了投入流通领域以获得最大经济利润,因此认可企业数据的财产属性,以促进数据的流动与利用,实现更大经济效益[5]。

目前,随着各大数据交易所的涌现,作为交易客体的企业数据在不断的交易流转中也实现了价值的倍增,频繁的数据交易俨然体现了其财产属性。但至于企业数据是否还具有其他属性仍存在争议。部分学者从自然人人身权益保护的角度出发,认为企业数据应当具有人格属性,理由在于企业数据的基础来源是一个个具体的用户数据,企业数据的交易、商品化隐含了个人数据泄露、隐私曝光等风险,只有认可企业数据的人格属性,才能在保护企业数据经济利益的同时兼顾到个人隐私的保护。总的来说,企业数据权利属性的争论不仅是学界上的争论,更是影响着实体权利的救济,是制定数据资源确权、流通、交易等制度的依据,也是企业数据权利保护的理论基础。而观点之间的争议也为企业数据法律保护的研究指明了新的思路,即企业数据上的权益主体性多元化使得企业数据的保护也应采取多元化方式。

二、企业数据权益法律保护模式的学理评析

1.知识产权法保护

知识产权法保护模式具体可分为三种适用情形:对具有“独创性”的企业数据采用著作权法保护,否则可给予邻接权保护;对于采用保密措施的企业数据可按商业秘密保护;其余不能纳入以上保护的企业数据都可视作财产权客体[6-8]。

主张该种保护模式的理由在于:一方面,企业数据可以视为是人类创造性智力劳动的成果;另一方面,企业数据上集合了多方主体利益,在知识产权视域下,若干不同主体能够同时对同一项知识产权客体享有或行使相同的权利。但问题在于,实践中大多数企业数据并非能满足独创性标准,且现有法律对独创性的界定是模糊的,企业数据的流动性、共享性特点使其很难保持秘密性。典型案例如大众点评网诉爱帮网案,该案二审法院认为爱帮网的行为虽构成不正当竞争,但由于用户评价不具独创性,驳回了原告关于被告侵犯其著作权的诉讼请求。

2.反不正当竞争法保护

有学者提出,应该将企业数据解释为一种竞争利益,适用反不正当竞争法对企业竞争者抓取、利用数据的行为予以规制[9-11]。目前司法实践主要通过反不正当竞争法一般条款、互联网专用条款这两个条款进行行为规制。

一般条款为《中华人民共和国反不正当竞争法》第2条。该条款以维持市场竞争秩序为目的,且具备自由裁量空间,因此成为司法实践中法院处理数据纠纷的首要依据[12]。互联网专用条款为第12条,该条款强调从技术手段的使用、数据抓取行为是否正当两方面进行评判。典型案例如微梦创科诉复娱文传案,法院通过互联网专用条款,对数据链接和数据抓取行为进行区分,从而认定被告行为的不正当性。此类裁判思路能够关注市场竞争者之间的相互关系,通过适用反不正当竞争法进行规制,为尚未来得及作出规定的新兴事物争取了法律调整的空间。但此种保护模式也存在漏洞,如在非竞争关系第三方侵犯企业数据时,则无法发挥规制作用。

3.物权法保护

有学者主张将企业数据纳入物权法律体系保护中,甚至可以在物权法律体系下设置担保物权、用益物权[13-15]。该保护模式的理论依据在于:其一,企业数据能够通过一定的载体来实现有形特征,以此具备物权客体独立性的特点。其二,企业对数据进行排他性控制及使用满足了物的确定性特征。其三,数据作为网络虚拟财产,可以通过交易进行流转;且数据作为在社会生产经营中产生的特殊物,具备交易属性,因此其拥有经济价值及可支配性。其四,在法经济学中,物权制度的效率激励性是高于债权以及知识产权的。企业在生产经营中通过一定的投入获得的数据,理应享有物权上的占有、使用、交易的权利。但该保护模式会使企业作为市场主体的趋利本性暴露,存在数据垄断风险,且数据的无形性特征使权利人难以直接支配数据。

4.侵权法保护

该保护模式的思路在于从“权益保护”与“权利保护”区分的角度,将企业数据认定为非权利化法益,从而使企业在其数据受到非法抓取等情况可以依据侵权法“权益保护”模式寻求保护[16-17]。不足之处在于:其一,侵权法的立法目的在于弥补被侵权人所受损害,重点在于“弥补”而非“赔偿”,属于事后救济型的保护类型,可发挥其实际用途之处较少。其二,在判断是否构成侵权时也可能存在偏差。一般侵权行为的构成要素有四个,其中之一为行为人主观过错,而在数据侵权的个案中,行为人是否存在过错、行为是否违法等有赖于裁判者的价值判断与衡量,没有统一的标准。

5.合同法保护

该保护模式强调以数据交易主体之间的合同为中心,更关注主体之间形成的法律关系,在相对性法律关系中重新配置主体之间的权利义务。一种思路是从当事人意思表示、信托法律关系中主体之间的优势对比两个角度,论述信托的权利配置架构完全适用于数据主体之间[18]。另一种思路是将企业数据界定为可商品化数据,认为对企业数据的保护应当从可商品化数据市场主体的诉求关系中考察,重点放在构建商品化数据交易制度上[19-20]。不足之处在于该保护模式属于债的保护,无法适用于来自合同主体以外第三人的数据侵害;且并非所有情形中各方当事人间都存在合同,因此该保护模式仍无法适用于所有企业数据纠纷类型。

综上,各理论方案在保护企业数据权益上总存在不周延之处,因此明确企业数据的客体地位、权利属性是进一步讨论企业数据权益保护的理论基础。本文从企业数据性质界定的角度展开分析论证,提出构建数据财产权的可行性方案。

三、创设企业数据财产权的理论证成

1.企业数据独立客体地位的证成

本文认为,是否具备独立性、确定性并不是企业数据拥有独立客体地位的绝对条件。应当认为企业数据具有独立权利客体地位。

其一,学界通说认为,信息是对事物、事件本身的具体描述,体现的是信息的实体价值;数据是对这种描述的数字化状态,是信息所表述内容的形式载体,体现的是信息的集合价值[21-23]。可见,对于企业数据来讲,数据的客观性载体与无形性内容是无法分割的,载体与内容均是企业数据的构成要素。离开了客观载体,数据的内容便无法呈现,更无经济价值可谈,因此分析数据客体地位应当基于形式载体与实质内容相结合的前提下。否定说以企业数据不具有独立性从而否定其客体地位的理由并不成立。

其二,传统民法将权利客体分为物、行为、智力成果、人身利益四大类。其中,只有有体物具有独立性、确定性的特征。智力成果是无形物,具有无形性、非独立性特征,但法律为了鼓励更多发明创造,依然赋予其独立客体地位。可见,基于社会发展需要,法律可以创设新的权利客体。从诸如《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等专门针对信息、数据作出规范的专门法律条文出台,可以看出大数据产业发展背景下立法者对数据规范与保护的重视。而《中华人民共和国民法典》对信息与数据作出区别规定,这也为未来创设企业数据财产权提供了可能。

总的来说,法律并未对民事法律关系客体的特征进行明确界定,是否具备独立性、确定性不应成为评判企业数据是否具有独立客体地位的标准。在数字经济发展、数据交易涌现的时代背景下,为实现社会利益最大化,数据财产权实际已呼之欲出。

2.企业数据财产属性的证成

在承认企业数据的独立客体地位基础上,还应当解决数据的权利属性问题。由于数据涉及多元主体,部分企业数据是从个人信息衍生而来,且不可分割,不少学者认为企业数据应当是人格属性,但也有学者反驳,企业数据应当是财产属性。两种观点均有合理之处,企业数据上涉及的多方主体使得其属性并非单一,因此应当对企业数据进行区分,即基础数据兼具财产属性和人格属性,衍生数据具有财产属性。

基础数据包含了大量可识别具体身份的个人信息,具有隐秘性,且自然人对其个人信息享有信息自决权,因此由个人信息聚合而成的基础数据宜定性为同时兼具财产属性和人格属性。但衍生数据已经经过匿名化处理,无法识别具体主体身份,不再具有隐蔽性,国内外实践中数据作为交易对象已经越来越常见,为了避免个人信息的侵权风险,交易中的数据通常是经过处理后的衍生数据,具有合法性和财产性。数据产业的发展加大了对企业数据财产属性的认可需求,因此衍生数据宜定性为仅具有财产属性。

企业数据法律属性的界定也是后续研究数据确权、构建新型数据财产权利制度等的理论基石。而个人信息与企业数据、基础数据与衍生数据的不同含义使得对企业数据法律属性的界定应当在类型化基础上进行。不同法律属性的定位也决定了所形成的法律关系类型、法律保护方式的不同。综上,企业数据的财产属性在合法化数据交易的实践中得到进一步印证,将企业数据法律属性界定为财产属性,并在此基础上研究数据财产权的保护理论,更符合现实需要。

3.创设企业数据财产权的理论思路

在肯定企业数据可作为财产权利客体存在的基础上,通过创设数据财产权的方式对具有财产属性的企业数据予以保护,此时的企业数据应当是一种不同于物权法上的“物”、知识产权中的“智力成果”、人格权中的“人格利益”的新型数据财产权客体[24-25]。

该理论思路与现有几种保护模式相比,具有诸多的优越性。其一,扩大了适用领域。与著作权法保护方案相比,著作权法的保护范围仅限在内容选择和安排上构成智力创作的具有独创性的作品,企业需要花费大量的精力去论证其数据的整合、分析具有独创性,而实践上大量汇编作品的数据库并不能够被认定为具有独创性,因此并不能受到著作权法的规制。而与反不正当竞争法保护方案相比,反不正当竞争法的规制范围仅仅局限于具有竞争关系的当事人之间,这就决定了大部分没有竞争关系的企业数据纠纷难以适用反不正当竞争法进行规制;与商业秘密保护方案相比,商业秘密保护要求证明被侵犯的企业数据具备商业秘密的“三性”特征,而同样的,数据的共享性、流动性与商业秘密的秘密性是相冲突的,大部分企业数据缺乏具备商业秘密的“三性”特征的证据,因而无法适用商业秘密保护。因此,可以说与第二部分所阐述的五种理论方案相比,创设新型权利的保护方式扩大了企业数据的适用领域与保护范围。其二,上述的五种理论方案中,如反不正当竞争法保护方案、知识产权法保护方案,它们或多或少地对保护进行了限制。反不正当竞争法保护要求双方之间存在竞争关系;著作权法保护、商业秘密保护要求商业数据具备其所要求的特性才可以适用。反观创设企业数据财产权的理论方案,它并不要求双方之间存在竞争关系或其他的法律关系,也不要求企业数据必须满足特定的要件才可以适用。如此一来,企业数据权利人请求保护的门槛大大降低,其在请求法院保护时不会受到各类条条框框的限制,更有利于对企业数据权利人的权利予以保护。因此与其他的保护模式相比,通过创设新型权利的方法进行规制,给企业数据增设数据财产权,更具有合理性与可行性。

四、企业数据权益法律保护的具体方案

企业数据权益的法律保护之所以复杂、理论争议大,主要原因在于企业数据涉及多方主体,要同时兼顾到用户个人信息的保护需要和企业对数据的利用需要。由上文可知,企业数据由基础数据和衍生数据构成,前者涉及大量个人信息,应侧重于对用户个人信息的保护;后者仅具有财产属性,不涉及自然人隐私权等,企业对后者当然享有完整的权利内容。因此企业数据权益法律保护的具体理论方案可以建立在企业数据类型化区分的基础上。

1.基础数据的规制路径

基础数据部分涉及大量个人信息,具有人格属性和财产属性,因此对于这一部分数据不宜采取数据财产权保护的方式,而是应当采取行为规制的方式。

行为规制主要是指通过法律法规规范他人行为,对尚未上升为权利、但值得法律保护的利益进行保护,既能避开数据的权属认定难题,还能对侵犯个人信息或企业数据的行为进行规制。行为规制方式一方面通过对第三人设定义务的方式为企业数据拥有者提供法律保障;另一方面若第三人违反设定的义务,给企业数据权益造成损害的,企业可以主张侵权责任。主张侵权责任的法律基础为《中华人民共和国民法典》第1165条以及其他关于侵权责任承担的特殊法律规定,同时在司法实践中法院可结合第127条,将民法典中的侵权责任规定与其他法律规范相连接,从而实现基础数据权益的具体规范与保护。例如针对行为人扰乱竞争秩序或窃取企业数据产品等侵害企业数据权益的情况,目前实践中法院大多依据《中华人民共和国反不正当竞争法》第2条和第12条进行裁决,有泛化不正当竞争行为的风险,因此应结合侵权责任相关条款规定,严格限定不正当竞争行为的适用范围,对于不属于的部分则可以依据侵权责任条款予以规制。

除此之外,对于企业基础数据的保护还应兼顾到个人利益的保护。行为规制的制度设计应当考虑个人数据合法使用的现实需求,保证用户享有知情同意权、删除权等对基础数据所享有的一系列权利[26],尽可能平衡个人与企业两者对数据享有的利益。

2.衍生数据的确权路径

(1)企业数据财产权的主体与内容 对于衍生数据部分,可以通过设立企业数据财产权的方式予以保护,权利主体为投入各项成本的企业,而权利的内容则可进一步细分为数据经营权和数据资产权。

其中,数据经营权是企业对数据得以经营的一种主体资格[27]。企业作为市场经济主体,经营是其主要经济活动以及收益来源。确定数据经营权是对企业实行收集、加工、利用和交易数据等经济行为的主体资格的认可。具体包括一般经营权与特殊经营权。特殊经营权要求企业虽有权在诸如医疗数据、安保数据、电信数据等法律规定的特殊领域从事经营活动,但应当事先通过行政许可并受到特定限制。而在一般经营权下,企业可以在除法律规定特殊领域之外的其他普通领域中生产经营数据,并可根据市场规律、自身决策等自由经营,无需受到过多限制。

数据资产权是企业可以对其合法取得或生成的数据享有占有、使用、收益、处分的权利,与传统所有权的内容虽有相似之处,但也存在差异。其中,在占有方面,表现为企业实际控制着数据,但与有体物可以通过事实上的占有控制不同的是,企业要想实现对数据的控制占有,应当通过数据加密、数据水印等技术方式实现。若第三方未经企业的解密授权,则无法拷贝或窥窃数据,也就无法影响到企业对数据的占有状态。在使用方面,企业可以内部使用,通过数据分析,为企业解决经营困境、未来规划等与企业自身发展有关的各方面提供参考,此种方式的使用没有第三方参与,主要目的在于使用数据进行企业的管理与分析,提高企业运营的科学性和有效性;企业也可以外部使用,即利用数据制成高价值的数据产品,转售给第三方等,此种方式的使用需要第三方参与,主要目的在于使用数据进行交易,从中获取利润。但不管是哪个方式的使用,均应以不侵害他人在先权利、公共利益为前提。在收益方面,企业可以把数据作为交易标的进行数据交易、流转,将收集并加工处理得到的匿名化数据出租、出售给第三方。此部分的内容与外部使用有所类似,但更强调企业从数据中获取的利益,具体有数据因编排、整合而获得增值的收益、数据因自身变化规律而获得孳息的收益、数据因流通交易而获得利润的收益。收益是企业最终的追求,享有收益激励企业创新数据产品,因此数据财产权中的收益权能至关重要。在处分方面,具体可分为法律上的处分和事实上的处分。前者是指以企业通过某种法律行为对数据进行处理,如企业对其数据、数据产品进行抵押、转让;后者是指企业对数据处理以改变其形态,如数据的删除、编排、加工等。

(2)企业数据财产权的限制 企业数据财产权不是一项绝对权,而是有限制的权利。具体而言,应当对权利行使的使用范围、主体资格进行限制,并对主体设置一定的义务。

一是对使用范围的限制。基于社会公共利益需要,特定情况下要求企业必须对数据公开共享。除此之外,也存在同行其他企业为了生存经营或者某些特定目的,而需要访问、获取数据等。这些基于特定需要而利用企业数据,类似于知识产权领域中的合理使用和强制许可制度,企业不得拒绝提供其掌握的数据。

二是对主体资格的限制。具体指对从事收集、加工处理公共领域数据的企业设立准入门槛,企业只有通过法律规定或特定机构依法授权才能取得经营主体资格。

三是对承担义务的设置。企业可以运用技术手段对收集到的信息进行加密处理,防止第三方非法窃取。在司法实践中,已经存在多起利用爬虫软件等非法抓取互联网平台用户数据的案例,值得我们警醒。这一问题应通过立法以完善,如欧盟《通用数据保护条例》要求企业应承担取得同意义务、通知义务、安全保障义务、合理处理义务、报告义务五大义务。因此,可以参考相关立法经验,明确企业数据权利下应当至少包含企业取得同意义务、安全保障义务、合理处理义务等。其中,最主要的取得同意义务是指企业收集来自于个人的信息,应当取得当事人的同意。设置该义务的根本目的在于保护用户对其个人信息享有的自决利益,最大限度捍卫人格尊严[28]。取得同意为企业合法收集用户数据的前置条件,这意味着未经用户同意的搜集个人行为系违法行为,一旦与用户知晓,可要求企业删除数据或赔偿损失。不仅如此,企业还应当在正常经营范围内搜集用户数据。安全保障义务要求企业采取安全保障措施,防止数据丢失或者泄露。大量的数据一旦被窃取,不仅给企业带来巨大经济损失,更有可能会危害国家安全,因此安全保障义务尤为重要,遵守安全保障义务,既是对用户权益的维护,也是对企业自身权益的维护。合理处理义务则要求企业对收集到的用户数据的处理应当符合是事先取得用户同意时告知用户的内容,不应超过用户可预见范围。除此之外,也应当相应地明确企业是否尽到义务的判断标准。判断企业在行使数据财产权时是否尽到上述义务,应立足于数据搜集、使用的具体场景,结合个案进行利益衡量。

五、结论与建议

以数据为交易对象的新型交易的出现引发了新的法律问题,也引发了学者对企业数据相关的法律问题的思考,近几年来与企业数据权益法律保护有关的研究成果逐渐增多、观点纷呈。回顾总结各理论观点相互之间的批驳,设立企业数据财产权的观点得到较多学者支持,但在数据权利化保护的过程中,还可能存在权利客体地位不明确、权利属性模糊等不足。对此,本文提出了主要的应对方案:首先,应当明确企业数据财产权保护并非是绝对化的权利保护,而是有限制的权利保护。其次,明确企业数据可以成为独立的权利客体,并将企业数据分为基础数据与衍生数据。其中,基础数据具有人格和财产双重属性,这决定了对于基础数据应当采用具体的行为规制方式。衍生数据具有的财产属性决定其可适用赋权保护方式,具体包括数据资产权和数据经营权,前者旨在明确企业对数据享有的占有、使用、收益和处分权利;后者旨在明确企业具有经营主体资格。最后,对企业数据财产权的行使过程设置一定限制,当企业对数据的使用可能危害到社会公共利益时应当禁止,要求企业应当遵守取得同意义务、安全保障义务、合理处理义务、报告义务等,并明确是否尽到义务的判断标准应立足于具体场景分析。总之,企业数据权益的法律保护研究不可能一蹴而就,理想的保护方案需要经过理论与实践的不断检验。相信未来随着网络行业实践的深入和企业数据交易纠纷的充分展现,学界对于企业数据法律保护问题的理解将会更为全面和丰富。