企業數據權益保護的困境及應對
——從權利保護到行為規制

文/秦迪

一、問題的提出

在萬物皆可數據化的今天，企業為獲取數據資源投入了巨大的人力物力，企業數據已然成為企業競相爭奪的核心資產，是現代企業核心競爭力之一。然而，因企業數據是伴隨大數據、云計算、人工智能等技術發展而產生的新生事物，所以對企業數據的法律保護仍處于探索階段，實踐中面臨較多問題。

首先，當前數據交易和保護需求廣泛存在。從我國《數據安全法》等法律的規定以及企業數據交易實踐來看，企業數據具備財產權益屬性已經形成共識，無需進行過多的保護正當性論證。[1]一方面，從企業視角出發，企業在收集、存儲、挖掘、建模、分析、脫敏以及整合數據的過程中，投入了巨大的人力、資本與技術成本，依據洛克財產權勞動理論，企業享有數據財產權益具有正當性，而且大數據科技發展迅速，如果企業的數據權益無法得到充分有效保護，勢必影響企業進行數據開發和共享的積極性，國家大數據發展戰略就無從談起。另一方面，從數據交易實踐上看，伴隨著數據的市場價值日益顯現，數據產品早已成為市場交易的對象，從某種程度上說，數據已實質上具備了商品的交易屬性。隨著“數字市場”“數據銀行”等概念的出現，國內外涌現出一批具有一定影響力的大數據交易市場，例如：2008 年成立的美國Factual公司，與包括Facebook 在內的諸多公司建立了數據交易關系；我國2012 年成立的中關村大數據交易產業聯盟；日本富士通公司2013 年建立的Dataplaza。

其次，企業數據權益糾紛已成為司法實踐的熱點和難點。例如：“大眾點評訴愛幫網”①和“大眾點評訴百度”②兩案，均涉及企業公開的用戶評價類數據應如何確定抓取和使用的問題；“淘寶訴美景案”③涉及對原始數據進行分析、整合和脫敏化處理后形成的大數據產品的不當使用問題；“微博訴飯友案”④討論了用戶公開的微博內容數據可否為競爭對手所使用的問題；“螞蟻金服訴企查查案”⑤將公共數據使用的合規性帶入司法視野。上述案件所涉數據類型均為企業數據，且包括公開的用戶生成數據、經加工和處理后的大數據產品以及公共數據等多種類型。企業數據權益引發的糾紛案件呈逐年上升趨勢，但司法裁決在適用法律、對企業數據提供何種類型的保護等問題上則呈現出五花八門之樣態，主要原因在于我國目前尚缺乏企業數據保護“行為模式＋法律后果”之明確規定，難以為企業提供清晰的行為指引。[2]

再次，學界關于企業數據權益保護的模式問題爭議較大，相關立法滯后。從我國學界研究現狀來看，企業數據權益的保護模式主要有權利保護模式、行為規制模式等方式。從權利保護模式來看，存在知識產權、物權、反不正當競爭等不同路徑。從現有的研究成果來看，權利保護模式越來越成為主流觀點，但是，由于企業數據的獨特屬性，關于如何對其進行賦權，學界觀點差異較大，尚未達成共識。因此，有必要對企業數據權益保護的行為規制模式進一步研究，以期與權利保護模式共同發揮作用，進而實現對企業數據權益的保護。

二、企業數據權益保護的“權利保護模式”現狀

●匯編作品著作權的保護路徑

我國《著作權法》第十五條規定：“匯編若干作品、作品的片段或者不構成作品的數據或者其他材料，對其內容的選擇或者編排體現獨創性的作品，為匯編作品，其著作權由匯編人享有?！盬TO 項下的《與貿易有關的知識產權協議》（《TRIPS》）第十條“計算機程序與數據的匯編”第2 款規定：“數據匯編或其他資料，無論機器可讀還是其他形式，只要由于對其內容的選取或編排而構成智力創作，即應作為智力創作加以保護?！鄙鲜鲆詤R編作品著作權對企業數據提供保護的路徑存在一定的局限性。例如：企業合法收集的數據若未經過匯編整理，則不具有《著作權法》上的獨創性，不符合《著作權法》關于匯編作品的規定。此外，《著作權法》和《TRIPS》均沒有對數據匯編、整理的“獨創性”進行明確規定，而且著作權保護的是“獨創性安排”而不是數據本身。所以，以匯編作品著作權作為保護路徑無法為數據權益提供充分有效保護。

●商業秘密的保護路徑

依據我國《反不正當競爭法》第九條的規定，商業秘密是指“不為公眾所知悉、具有商業價值并經權利人采取相應保密措施的技術信息、經營信息等商業信息”。因此，企業數據在滿足“不為公眾知悉”“具有商業價值”“采取保密措施”條件時，可以作為商業秘密尋求法律保護。同時，《勞動法》《勞動合同法》《民法典》《公司法》《中外合資經營企業法》等其他法律法規也從不同角度對企業的商業秘密保護作出了規定。該路徑的局限性在于企業數據并不必然構成商業秘密。要符合商業秘密的保護條件，必須滿足法律關于商業秘密的構成條件的規定，否則無法按商業秘密予以保護。[3]

●適用《反不正當競爭法》一般條款的保護路徑

《反不正當競爭法》第二條規定：“經營者在生產經營活動中，應當遵循自愿、平等、公平、誠信的原則，遵守法律和商業道德?！币虼?，如果企業數據不符合商業秘密特征，不屬于匯編作品，也未申請專利的，可以依據《反不正當競爭法》第二條尋求法律保護。目前，適用《反不正當競爭法》一般條款規制企業數據不正當競爭行為是司法實踐的一種慣常做法。[4]該種保護路徑的局限性在于法律一般條款中的誠實信用或商業道德的適用標準并不明確，訴訟中權利人需要提交充分的證據證明被告的行為具有破壞公平競爭、擾亂市場秩序等不正當性，并且權利人因此遭受了實際損害，這種要求導致企業在數據合規實踐方面常常會面臨更高的成本。

●企業數據權益“權利保護模式”的現實障礙

第一，企業數據權益的法律屬性不明。企業數據權益的法律屬性是企業數據權益保護的理論基礎和邏輯起點。關于企業數據權益的法律屬性，學術上的觀點并不一致。一是新型財產權的觀點。這種觀點認為，企業數據權益保護從原來借助已有法律規范進行保護的模式轉換為新型數據財產權保護模式是大勢所趨，應當將企業數據權利定性為一類新型財產權利，建立一種全新的支配型財產權以保護企業數據。[5]二是知識產權的觀點。這種觀點認為，符合知識產權保護條件的數據，應當納入知識產權保護范疇；不符合知識產權保護的數據，可以通過反不正當競爭法進行保護。[6]三是反不正當競爭的觀點?？紫榭〗淌谔岢?，在已啟動的《反不正當競爭法》第三次修訂中，應當將數據權益保護作為重點，以構建“商業數據專條”的形式，在反不正當競爭法領域為企業數據權益提供保護。四是類型化保護的觀點。該學說的邏輯前提在于企業數據具備多元屬性，核心因素在于分類標準。例如，袁文全、程海玲認為，對企業數據財產進行絕對化保護，與企業數據的特性相抵牾，應對數據進行類型化區分，再依據比例原則確定企業數據權益的邊界以及內容。

第二，企業數據權益的歸屬不明。企業數據中大多數據屬于搜集所得。企業在收集個人信息之后，對其進行存儲、使用、加工、傳輸、提供、公開等處置，個人數據構成企業數據的重要組成部分。由此產生企業數據保護與個人數據保護交叉、沖突等問題，進而引發數據權益歸屬于個人、歸屬于企業或者由二者共有等爭議。個人是否享有以及享有哪些數據權利直接影響到企業數據的權利邊界。例如，消費者留在購物網站的購買記錄、收貨地址等數據信息是企業數據中不可缺少的部分，同時也是消費者個人數據的一部分，消費者若行使刪除權會導致商家丟失該數據內容。數據交易最根本的價值體現在數據中蘊含的信息上，個人數據往往是其核心和最有價值的組成部分，所以企業擁有個人數據的權限范圍會直接影響其數據權利內容從而影響其產品價值。[7]企業數據權益范圍目前尚未有相關法律予以明確規定，學界對此也觀點不一。

三、企業數據權益保護的行為規制模式

●行為規制模式的優勢

行為規制模式并不追求數據權利的邊界清晰或歸屬明確，而意在通過規制他人收集、存儲、使用數據的行為，在整體利益空間中為數據的合法控制者間接創造利益內容，由此切割而成數據控制者受法律保護的財產性利益。權利保護模式的邏輯起點是“數據是誰的”，而行為規制模式的邏輯起點是“行為人是否依法收集、使用數據”，只要行為人的數據處理行為不違反數據權益的保護性規范，多個權利主體完全可以通過經營使用同一數據獲得不同層面的財產性利益。與權利保護模式相比較，行為規制模式只調整法律明文規定的不法行為或者損害方式，其目的是以數據控制者和行為人之間的利益為尺度，在對行為人的行為（多是不作為）進行控制的過程中，為數據控制者營造保護空間，以發揮將保護空間內的利益分配給數據控制者的作用。

●數據主體與數據衍生者的權利義務分配

對數據主體來說，應享有刪除權，以防止個人信息被無限度地利用。傳統隱私保護以個人為中心，數據主體的同意是其數據能夠被收集的基礎，數據的控制者必須在數據主體同意的范圍內使用該數據，如果該數據不在目的限定范圍內，就有義務刪除該數據。

對數據衍生者來說，其應享有二項權利。一是數據收集、利用權。在支持與鼓勵大數據發展的大背景下，個人隱私權等權利保護只是個人數據收集、利用行為的限制條件，換句話說，只要相關的個人數據收集、利用行為不會侵害個人的隱私權等權利，就應當肯定該收集、利用行為的合法性。二是數據處置、交易權。從數據處置、交易的角度來看，對于不涉及到個人隱私的原始數據，數據衍生者可以不經數據主體同意進行處置或交易。

數據衍生者的義務有三。一是提高自己的注意義務，建立風險評估制度，對自己的行為承擔責任。數據衍生者通過收集和利用數據為自己創造了巨大的財富，其也應當保護個人數據主體的隱私不受侵害。二是堅持去身份化和匿名化的標準，根據數據的風險等級，降低數據與個人的關聯性。對于去身份化之后的數據，數據衍生者應當遵循個人身份不能被再識別的義務，如果控制者將其控制的數據提供給第三方（數據使用者）時，其應當在合同中約定第三方（數據使用者）也負有禁止對數據再識別的義務，并對此進行監督，保證第三方的利用行為符合合同約定。三是定期刪除數據的義務，當數據主體要求數據衍生者對其控制的數據予以刪除時，數據衍生者不得拒絕。

●數據使用者的義務

數據使用者應當尊重數據主體的權利和利益。數據使用者一般從數據衍生者處獲得數據，在某些情況下，數據衍生者還可能是數據使用者。數據使用者應承擔如下義務：一是確保在數據使用過程中不會侵犯個人隱私，不會對個人信息進行反向識別；二是要評測數據利用行為對個人可能造成的影響并區分其用途，通過對數據的二次評級，數據使用者實際上又給數據主體的隱私加了一層保險以保證個人數據不被泄露，在此基礎上，如果數據使用者在使用數據過程中導致個人數據泄露，應負無過錯責任。

注釋

①參見上海漢濤信息咨詢有限公司與愛幫聚信（北京）科技有限公司不正當競爭糾紛案北京市第一中級人民法院（2011）一中民終字第7512 號民事判決書。

②參見北京百度網訊科技有限公司與上海漢濤信息咨詢有限公司不正當競爭糾紛案上海知識產權法院（2016）滬73 民終242 號民事判決書。

③參見淘寶（中國）軟件有限公司訴安徽美景信息科技有限公司不正當競爭糾紛案浙江省杭州市中級人民法院（2018）浙01 民終7312 號民事判決書。

④參見北京微夢創科網絡技術有限公司與上海復娛文化傳播股份有限公司不正當競爭糾紛案北京知識產權法院（2019）京73 民終2799 號民事判決書。

⑤參見浙江螞蟻小微金融服務集團股份有限公司、重慶市螞蟻小微小額貸款有限公司訴蘇州朗動網絡科技有限公司不正當競爭糾紛案浙江省杭州鐵路運輸法院（2019）浙8601 民初1594 號民事判決書。