企业数据权益保护的困境及应对
——从权利保护到行为规制

文/秦迪

一、问题的提出

在万物皆可数据化的今天，企业为获取数据资源投入了巨大的人力物力，企业数据已然成为企业竞相争夺的核心资产，是现代企业核心竞争力之一。然而，因企业数据是伴随大数据、云计算、人工智能等技术发展而产生的新生事物，所以对企业数据的法律保护仍处于探索阶段，实践中面临较多问题。

首先，当前数据交易和保护需求广泛存在。从我国《数据安全法》等法律的规定以及企业数据交易实践来看，企业数据具备财产权益属性已经形成共识，无需进行过多的保护正当性论证。[1]一方面，从企业视角出发，企业在收集、存储、挖掘、建模、分析、脱敏以及整合数据的过程中，投入了巨大的人力、资本与技术成本，依据洛克财产权劳动理论，企业享有数据财产权益具有正当性，而且大数据科技发展迅速，如果企业的数据权益无法得到充分有效保护，势必影响企业进行数据开发和共享的积极性，国家大数据发展战略就无从谈起。另一方面，从数据交易实践上看，伴随着数据的市场价值日益显现，数据产品早已成为市场交易的对象，从某种程度上说，数据已实质上具备了商品的交易属性。随着“数字市场”“数据银行”等概念的出现，国内外涌现出一批具有一定影响力的大数据交易市场，例如：2008 年成立的美国Factual公司，与包括Facebook 在内的诸多公司建立了数据交易关系；我国2012 年成立的中关村大数据交易产业联盟；日本富士通公司2013 年建立的Dataplaza。

其次，企业数据权益纠纷已成为司法实践的热点和难点。例如：“大众点评诉爱帮网”①和“大众点评诉百度”②两案，均涉及企业公开的用户评价类数据应如何确定抓取和使用的问题；“淘宝诉美景案”③涉及对原始数据进行分析、整合和脱敏化处理后形成的大数据产品的不当使用问题；“微博诉饭友案”④讨论了用户公开的微博内容数据可否为竞争对手所使用的问题；“蚂蚁金服诉企查查案”⑤将公共数据使用的合规性带入司法视野。上述案件所涉数据类型均为企业数据，且包括公开的用户生成数据、经加工和处理后的大数据产品以及公共数据等多种类型。企业数据权益引发的纠纷案件呈逐年上升趋势，但司法裁决在适用法律、对企业数据提供何种类型的保护等问题上则呈现出五花八门之样态，主要原因在于我国目前尚缺乏企业数据保护“行为模式＋法律后果”之明确规定，难以为企业提供清晰的行为指引。[2]

再次，学界关于企业数据权益保护的模式问题争议较大，相关立法滞后。从我国学界研究现状来看，企业数据权益的保护模式主要有权利保护模式、行为规制模式等方式。从权利保护模式来看，存在知识产权、物权、反不正当竞争等不同路径。从现有的研究成果来看，权利保护模式越来越成为主流观点，但是，由于企业数据的独特属性，关于如何对其进行赋权，学界观点差异较大，尚未达成共识。因此，有必要对企业数据权益保护的行为规制模式进一步研究，以期与权利保护模式共同发挥作用，进而实现对企业数据权益的保护。

二、企业数据权益保护的“权利保护模式”现状

●汇编作品著作权的保护路径

我国《著作权法》第十五条规定：“汇编若干作品、作品的片段或者不构成作品的数据或者其他材料，对其内容的选择或者编排体现独创性的作品，为汇编作品，其著作权由汇编人享有。”WTO 项下的《与贸易有关的知识产权协议》（《TRIPS》）第十条“计算机程序与数据的汇编”第2 款规定：“数据汇编或其他资料，无论机器可读还是其他形式，只要由于对其内容的选取或编排而构成智力创作，即应作为智力创作加以保护。”上述以汇编作品著作权对企业数据提供保护的路径存在一定的局限性。例如：企业合法收集的数据若未经过汇编整理，则不具有《著作权法》上的独创性，不符合《著作权法》关于汇编作品的规定。此外，《著作权法》和《TRIPS》均没有对数据汇编、整理的“独创性”进行明确规定，而且著作权保护的是“独创性安排”而不是数据本身。所以，以汇编作品著作权作为保护路径无法为数据权益提供充分有效保护。

●商业秘密的保护路径

依据我国《反不正当竞争法》第九条的规定，商业秘密是指“不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息”。因此，企业数据在满足“不为公众知悉”“具有商业价值”“采取保密措施”条件时，可以作为商业秘密寻求法律保护。同时，《劳动法》《劳动合同法》《民法典》《公司法》《中外合资经营企业法》等其他法律法规也从不同角度对企业的商业秘密保护作出了规定。该路径的局限性在于企业数据并不必然构成商业秘密。要符合商业秘密的保护条件，必须满足法律关于商业秘密的构成条件的规定，否则无法按商业秘密予以保护。[3]

●适用《反不正当竞争法》一般条款的保护路径

《反不正当竞争法》第二条规定：“经营者在生产经营活动中，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德。”因此，如果企业数据不符合商业秘密特征，不属于汇编作品，也未申请专利的，可以依据《反不正当竞争法》第二条寻求法律保护。目前，适用《反不正当竞争法》一般条款规制企业数据不正当竞争行为是司法实践的一种惯常做法。[4]该种保护路径的局限性在于法律一般条款中的诚实信用或商业道德的适用标准并不明确，诉讼中权利人需要提交充分的证据证明被告的行为具有破坏公平竞争、扰乱市场秩序等不正当性，并且权利人因此遭受了实际损害，这种要求导致企业在数据合规实践方面常常会面临更高的成本。

●企业数据权益“权利保护模式”的现实障碍

第一，企业数据权益的法律属性不明。企业数据权益的法律属性是企业数据权益保护的理论基础和逻辑起点。关于企业数据权益的法律属性，学术上的观点并不一致。一是新型财产权的观点。这种观点认为，企业数据权益保护从原来借助已有法律规范进行保护的模式转换为新型数据财产权保护模式是大势所趋，应当将企业数据权利定性为一类新型财产权利，建立一种全新的支配型财产权以保护企业数据。[5]二是知识产权的观点。这种观点认为，符合知识产权保护条件的数据，应当纳入知识产权保护范畴；不符合知识产权保护的数据，可以通过反不正当竞争法进行保护。[6]三是反不正当竞争的观点。孔祥俊教授提出，在已启动的《反不正当竞争法》第三次修订中，应当将数据权益保护作为重点，以构建“商业数据专条”的形式，在反不正当竞争法领域为企业数据权益提供保护。四是类型化保护的观点。该学说的逻辑前提在于企业数据具备多元属性，核心因素在于分类标准。例如，袁文全、程海玲认为，对企业数据财产进行绝对化保护，与企业数据的特性相抵牾，应对数据进行类型化区分，再依据比例原则确定企业数据权益的边界以及内容。

第二，企业数据权益的归属不明。企业数据中大多数据属于搜集所得。企业在收集个人信息之后，对其进行存储、使用、加工、传输、提供、公开等处置，个人数据构成企业数据的重要组成部分。由此产生企业数据保护与个人数据保护交叉、冲突等问题，进而引发数据权益归属于个人、归属于企业或者由二者共有等争议。个人是否享有以及享有哪些数据权利直接影响到企业数据的权利边界。例如，消费者留在购物网站的购买记录、收货地址等数据信息是企业数据中不可缺少的部分，同时也是消费者个人数据的一部分，消费者若行使删除权会导致商家丢失该数据内容。数据交易最根本的价值体现在数据中蕴含的信息上，个人数据往往是其核心和最有价值的组成部分，所以企业拥有个人数据的权限范围会直接影响其数据权利内容从而影响其产品价值。[7]企业数据权益范围目前尚未有相关法律予以明确规定，学界对此也观点不一。

三、企业数据权益保护的行为规制模式

●行为规制模式的优势

行为规制模式并不追求数据权利的边界清晰或归属明确，而意在通过规制他人收集、存储、使用数据的行为，在整体利益空间中为数据的合法控制者间接创造利益内容，由此切割而成数据控制者受法律保护的财产性利益。权利保护模式的逻辑起点是“数据是谁的”，而行为规制模式的逻辑起点是“行为人是否依法收集、使用数据”，只要行为人的数据处理行为不违反数据权益的保护性规范，多个权利主体完全可以通过经营使用同一数据获得不同层面的财产性利益。与权利保护模式相比较，行为规制模式只调整法律明文规定的不法行为或者损害方式，其目的是以数据控制者和行为人之间的利益为尺度，在对行为人的行为（多是不作为）进行控制的过程中，为数据控制者营造保护空间，以发挥将保护空间内的利益分配给数据控制者的作用。

●数据主体与数据衍生者的权利义务分配

对数据主体来说，应享有删除权，以防止个人信息被无限度地利用。传统隐私保护以个人为中心，数据主体的同意是其数据能够被收集的基础，数据的控制者必须在数据主体同意的范围内使用该数据，如果该数据不在目的限定范围内，就有义务删除该数据。

对数据衍生者来说，其应享有二项权利。一是数据收集、利用权。在支持与鼓励大数据发展的大背景下，个人隐私权等权利保护只是个人数据收集、利用行为的限制条件，换句话说，只要相关的个人数据收集、利用行为不会侵害个人的隐私权等权利，就应当肯定该收集、利用行为的合法性。二是数据处置、交易权。从数据处置、交易的角度来看，对于不涉及到个人隐私的原始数据，数据衍生者可以不经数据主体同意进行处置或交易。

数据衍生者的义务有三。一是提高自己的注意义务，建立风险评估制度，对自己的行为承担责任。数据衍生者通过收集和利用数据为自己创造了巨大的财富，其也应当保护个人数据主体的隐私不受侵害。二是坚持去身份化和匿名化的标准，根据数据的风险等级，降低数据与个人的关联性。对于去身份化之后的数据，数据衍生者应当遵循个人身份不能被再识别的义务，如果控制者将其控制的数据提供给第三方（数据使用者）时，其应当在合同中约定第三方（数据使用者）也负有禁止对数据再识别的义务，并对此进行监督，保证第三方的利用行为符合合同约定。三是定期删除数据的义务，当数据主体要求数据衍生者对其控制的数据予以删除时，数据衍生者不得拒绝。

●数据使用者的义务

数据使用者应当尊重数据主体的权利和利益。数据使用者一般从数据衍生者处获得数据，在某些情况下，数据衍生者还可能是数据使用者。数据使用者应承担如下义务：一是确保在数据使用过程中不会侵犯个人隐私，不会对个人信息进行反向识别；二是要评测数据利用行为对个人可能造成的影响并区分其用途，通过对数据的二次评级，数据使用者实际上又给数据主体的隐私加了一层保险以保证个人数据不被泄露，在此基础上，如果数据使用者在使用数据过程中导致个人数据泄露，应负无过错责任。

注释

①参见上海汉涛信息咨询有限公司与爱帮聚信（北京）科技有限公司不正当竞争纠纷案北京市第一中级人民法院（2011）一中民终字第7512 号民事判决书。

②参见北京百度网讯科技有限公司与上海汉涛信息咨询有限公司不正当竞争纠纷案上海知识产权法院（2016）沪73 民终242 号民事判决书。

③参见淘宝（中国）软件有限公司诉安徽美景信息科技有限公司不正当竞争纠纷案浙江省杭州市中级人民法院（2018）浙01 民终7312 号民事判决书。

④参见北京微梦创科网络技术有限公司与上海复娱文化传播股份有限公司不正当竞争纠纷案北京知识产权法院（2019）京73 民终2799 号民事判决书。

⑤参见浙江蚂蚁小微金融服务集团股份有限公司、重庆市蚂蚁小微小额贷款有限公司诉苏州朗动网络科技有限公司不正当竞争纠纷案浙江省杭州铁路运输法院（2019）浙8601 民初1594 号民事判决书。