数字经济背景下企业数据权益的归属与保护

任 洁

吉林财经大学法学院，吉林 长春 130117

一、企业数据的特性

“企业数据是指由企业实际控制和使用的数据，既包括财务数据、运营数据等商业数据，也包括企业合法收集、利用的用户数据。”[1]前者属于非公开状态下的商业数据，主要纳入商业秘密范畴予以保护，而后者属于公开状态的商业数据，现行法律对其没有明确的规定，是企业数据引发争议的主要领域。

企业数据与一般数据相同，都以电子设备作为存储介质。作为其下位概念，企业数据拥有诸如无形性、可复制性以及无损耗性等数据的一般特性。近年来，计算机网络技术的不断进步，赋予了企业数据高度的共享性，在复制过程中，数据本身几乎无损耗，数据遗失的风险大幅降低。[2]除此之外，企业数据具有独特的稀缺性。这种稀缺性最显著的表征便是企业数据所拥有的极高的商业价值。企业数据的实际控制者是企业，能为企业带来财产利益，通过数据的共享与开放，进行拓展、交换与流通，在这个过程中，数据的覆盖范围和影响规模随着每一次的交换使用不断扩大，并产生衍生数据，大幅提升企业数据的整体价值。

企业数据涉及多元利益主体，具有多归属性。企业原始数据既包括企业经营相关的各类数据信息，也包括网站用户在网络生活中留下的个体信息，海量的原始数据，这些企业原始数据包含数据主体的信息和隐私，个人因此成为部分企业原始数据的来源。企业在进行数据采集的过程中付出劳动，因而成为企业数据的控制主体。企业对数据进行进一步的加工、分析和脱敏，从而生成了企业衍生数据，企业又在此过程中扮演数据处理者的角色。企业数据在以上过程的基础上，还会进一步地交换与流通，形成更庞大的数据集。企业数据集形成的过程中，每一个环节的数据都有各自的来源，因此具有多归属性。

二、企业数据权益的归属难题

企业数据权益的归属，一直是社会各界争论不休的议题，争论的根源在于企业数据权益兼具人格权和财产权的双重法律属性。企业通过合法手段收集的用户原始数据，一般存在明确的可识别性，对于用户而言，这些数据的人格权属性明显强于财产权属性；企业为收集、加工和处理数据，投入包括物力、财力等大量的实质性投资，并付出了实际技术劳动，以期获取数据带来的丰富经济利益，对于企业而言，这些数据的财产权属性明显强于人格权属性。这种双重法律属性使得企业数据权益的归属问题无法回避个人隐私与企业利益的冲突。目前，学界对于企业数据权益的归属问题，主要有三种观点：个人所有、企业控制和个人与企业共有。笔者认为，个人与企业共有是当下可行性最高，也最为合理的一种观点。交换、流通与共享，是数字经济发展的内在要求，隐私的保护是公民的基本权利，因此企业数据权益的归属，应在共享与隐私间寻求平衡，最大限度地保护个人与企业的合法权益。个人数据是企业数据的最主要来源，根据企业是否对个人数据进行脱敏、匿名化、整合过滤等技术处理，企业在数据的收集与处理过程中的成本投入是否属于实质性投资，以及数据本身处于何种发展阶段等标准，合理运用比例原则对数据权益的归属进行场景化分类讨论。这种观点既为企业数据权益的归属难题提供了新的解决思路，也激励了企业进一步优化完善数据运营模式。

三、企业数据权益保护的现实困境

（一）企业数据确权难题

随着网络技术的蓬勃发展，数据资源日渐冗杂庞大，企业数据作为企业的核心资源在不断交换迭代，多元利益主体，多重法律属性和复杂的权利义务关系，数据的复杂性使企业数据的定性与确权面临着重重困难。

根据《民法典》第一百二十七条：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”可以看出，《民法典》为“数据”提供了与“网络虚拟财产”相同的保护地位，然而，相关的法律规定却缺乏明文具体的保护措施和救济方式。司法实践中企业数据侵权纠纷频发，企业数据权益属性不清，范围模糊，法律留白，如“某火诉某团小白盒案”“某度cookie技术和隐私权纠纷案”等二审法院变更判决的情形时有发生。司法裁判面临多维度的评判标准，缺乏确定裁判模式，企业举证也面临着技术难题。企业数据确权作为解决司法实践困境的前提，正在成为数据领域备受关注的议题。

（二）数据立法总体呈现分散与滞后态势

进入大数据时代，对数据的利用已经成为财富增长的重要来源，然而现阶段我国数据立法总体上滞后于大数据的变迁。当前，企业数据保护散见于民事、刑事等多个领域之中，重复、断裂、冲突或真空等问题凸显，缺乏具有明确可操作性的条款规定。如《民法典》中关于“商业秘密”“数据”“个人信息”等条款、《数据安全法》中对企业数据权益的限制条款、《反不正当竞争法》有关“商业秘密”的表述等，均在现行的司法实践中有所应用，司法裁判常常因为各个条款标准不一，界定模糊不清而陷入僵局。目前，我国数据权益制度呈高度“碎片化”的状态，亟须立法黏合。

（三）企业数据系统安全性能有待提升

企业数据是计算机网络技术发展的产物，体系庞大，内容纷乱冗杂，企业数据的安全防护，对计算机网络技术的要求极高。企业数据系统的安全防护技术时常难以对抗计算机网络病毒和技术黑客的入侵，安全性能的不足，导致企业数据无法得到完善的保护，面临泄露、遗失和损毁的风险。企业数据的泄露和毁损，不但有损于企业自身的经营管理和数据交换，也为原始数据来源的个人带来了隐私泄露的风险，企业的财产性权益与个体的人格权益皆会面临威胁。非法数据交易、不正当竞争与侵权纠纷常由此而生，数据交易市场的运转秩序也面临巨大挑战。

四、企业数据权益保护的路径建议

（一）企业数据权益保护的立法完善

进入大数据时代，数字经济有着高度复杂性和不确定性，这种特性也使得数字时代的法治建设更具挑战性。我国的数据立法尚存空白，针对企业数据的法律规定也分散在反垄断法等各个部门法中。因此，完善数据产权的立法保护成为国家处理企业数据保护过程中亟待解决的问题之一。

数据权作为国家现代化发展到新阶段出现的新型权利，从产生到付诸立法实践需要漫长的过程，其中包括数权立法与其他法律的关系与协调；私法与公法在数权领域的融合与平衡；数据共享与隐私保护之间冲突的论证解决，以及数字全球化背景下我国数权立法与国际有关法律的衔接处理等诸多问题。建立全新的法律和完备的保护体系，需要大量时间和实践的积累。[2]笔者认为，目前，将普通法与特别法相结合，整合与企业数据权益相关的法律规定，根据企业数据权益的自身特性，及时加以司法解释的修订和适用。在司法实践中，积极将企业数据相关法律规定与救济制度相结合，在企业数据场景化使用的背景下，将实体与程序高效衔接，在数权立法正式面世前，缓解企业数据权益保护领域法律空白的僵局。

（二）整理发布典型的企业数据纠纷指导性案例

企业作为数字经济市场的重要主体，活跃于数据交易市场，企业数据权益纠纷也层出不穷，裁判标准也大相径庭。翻阅近年来最高人民法院的指导案例，与数据相关的案例多围绕于数据与个人信息之争，企业数据权益纠纷少之又少。

2020年“某讯诉浙江某道网络、某客科技案”便是最高人民法院关于企业数据纠纷的典型指导案例，在本案中法院裁判征引了《反不正当竞争法》第二条的诚实信用原则和第十二条的弹性条款，做出了判决。后续企业数据权益纠纷案件多用《反不正当竞争法》作为根据，然而，企业数据权益纠纷因数据的多元应用场景，侵权主体不一以及技术迭代的原因，《反不正当竞争法》并不能适用于所有纠纷情况。增加企业数据权益纠纷指导性案例的数量，增加《数据安全法》《民法典》等相关法条的结合应用，尽可能覆盖多种案情，为基层法院提供明晰的裁判指导根据，着力打造指导案例参照系，在司法裁判中为法律的正确适用提供参考；统一裁判尺度。同时也可以更好地应对企业数据权益领域立法滞后、相关条款分散的法律现状。

（三）建立完善数据分类制度

《数据安全法》第二十一条提出：“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。”在实践中，数据分类的根据也各有不同，在参照数据价值性、权属、敏感程度、风险、相关法规等因素后，大致从数据主体角度、数据处理角度以及数据保护角度进行数据类别的初步划分。

“建立明确的数据分类制度，使企业有效区分不同数据，并设立明确的保护目标，以可识别性原则、敏感性原则、规模性原则和不可控性原则作为进一步为数据分级的根据。”[3]针对具有更高敏感性的数据进行升级保护，进一步确定数据权益归属、重点保护和定期评估。企业可以在数据分类保护的基础上加强企业数据管理，健全数据分类安全管理制度，加快推动数据分类标准制定，明确数据分类制度应解决的实际问题，深入调研各类企业数据的安全管理现状，建立适合数字经济新业态、数字生活新需求、数字社会新秩序的数据分类制度，是企业强化数据管理和规避数据风险的必然要求。

（四）提高企业自身的数据安全防护能力

作为数字经济市场最为活跃的主体，企业自身也要将数据安全防护作为企业发展的重中之重，在企业内部构建完善的数据保护体系。

一方面，提升企业数据安全防护技术，优化数据安全系统性能。通过算法优化等技术措施，提高抵御病毒和恶意网络入侵的能力，从源头上降低数据泄露风险。对于涉及个人隐私、商业秘密等不便公开的数据，企业可以采用提高数据系统的准入门槛的方式，将数据库进行高度加密，登录使用数据需要严格的身份认证，只有在获得了对应权限，才能进行数据访问，如此不仅有效提高企业数据的保密级别，也进一步加强企业对数据的管理；另一方面，在数据的使用中，增强对数据的监管力度，定期进行检查评估，避免数据在存储、复制等过程中泄露；在企业参与数据交易中，确保企业对数字交易完全可控、传输过程完全安全，在数据权益交易后，使用区块链技术，实现数据的可用不可见，由此有效降低二次交易的风险。

（五）推动数据行业自律共治

“行业自律是通过行业指南或企业章程来约束企业行为的模式，是企业对其行为的自愿约束行为。”企业数据领域实现行业自律共治，可以与政府监管形成互补模式，有效弥补企业数据权益保护相关法律的缺失。行业自律共治也为构建隐私数据保护、打击数据非法流通等提供重要保障，更是维护行业协同创新的数据产业生态的必要基石。

2020年11月，工业和信息化部网络安全管理局指导中国互联网协会制定发布了《电信和互联网行业网络数据安全自律公约》。共计133家企业加入签署，数据领域的行业自律共治在国家机关的推动指导下初见规模。笔者认为数据领域行业自律应当以行业自律共治为核心，处理好活力和秩序的关系，完善共同治理体系，打造各主体有责、尽责的行业自律治理共同体。与此同时，政府也应加强履行监督职责，提升行业自律的公开性和透明度，增强社会公众对于行业自律规范的认同和信心，推动数据行业自律共治的健康良性运转，维护数字交易市场秩序稳定，保障和推动数字经济高质量发展。

五、结语

企业数据作为企业的核心资源和数据交易市场的重要标的，因其极高的经济价值而备受关注，计算机网络技术的飞速迭代更新和法律本身无可避免的滞后性，使得企业数据权益保护问题举步维艰。制定出一部完整、统一的数据法律显然是数字经济发展的必然要求，然而，制定、完善一个完整的部门法还需要更多的理论研究基础和司法实践积累，构建数据权益保护制度，实现数权保护的体系化，完善企业数据权益的保护模式，是促进数字经济高质量发展的必由之路。[4]