企业数据法律保护与利用
中国政法大学知识产权法新兴学科建设项目
2023第四十四期知识产权法午后茶会
文 | 欧宇翀
中国政法大学知识产权法新兴学科建设项目会议品牌内容之一——“知识产权法午后茶会”(腾讯会议)第四十四期,于2023年12月8日晚八点举行。本次茶会主题为“企业数据法律保护与利用”,由中国政法大学知识产权法新兴学科建设项目负责人冯晓青教授、韦之教授主持,孙远钊教授、韦贵红教授、袁海英副教授、魏晓东老师等八十余人参与了本次学术活动。
会议伊始,冯晓青教授对本次茶会主题进行了简要介绍。企业数据是数据的法律保护与利用问题的重中之重。本次茶会将其作为数据保护与利用系列的压轴,探讨企业数据的相关问题。中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)对企业数据的顶层制度设计、确权授权机制、许可利用模式、合规体系建设和监管治理等方面提出了诸多指导意见。较之于个人数据和公共数据,企业数据在数字经济中具有更高的经济价值,值得重点关注和研究。围绕企业数据法律保护与利用,冯晓青教授指出以下问题值得思考:第一,企业数据的概念、性质及其与其他类型数据的关系;第二,企业数据的法律保护;第三,企业数据的利用。
01
企业数据的概念、性质及其与其他类型数据的关系
冯晓青教授认为,《数据二十条》将数据分为公共数据、企业数据、个人数据三类。企业数据是指企业在生产经营活动中产生的原始数据以及通过收集、交易、加工等途径获取的数据,通常具有较强的商业性。企业数据有多种来源,首先来自于企业自己产生的数据。此外,也有部分企业数据源于个人数据,如淘宝、京东、美团等互联网平台收集的用户购物数据,根据《个人信息保护法》的规定,这些数据经过脱敏处理且不损害公共利益,可以转化为企业数据。还有一部分企业数据源于公共数据,其中有些本就是公开数据,企业可以根据自己的需要获取,另外一些通过商业交易转化成企业数据。可以发现,企业数据与其他类型的数据是相互交融、相辅相成的,企业数据主体和个人数据主体、公共数据主体之间是密切联系的。在研究企业数据法律保护与利用问题时,切忌孤立地看待企业数据。
除了《数据二十条》的分类,数据也有其他的分类方式,如分为已公开数据和未公开数据、存在个人人格利益的数据和不存在个人人格利益的数据等。相应地,企业数据便可以被细分为存在人格利益的已公开企业数据、存在人格利益的未公开企业数据、不存在人格利益的已公开企业数据、不存在人格利益的未公开企业数据。[1]以上分类对于理解数据的复杂形态,把握其对个人利益、企业利益、公共利益的不同影响具有重要意义。
韦之教授认为,公共数据中一些商业性质的、可以进行商业运营的数据,虽然具有商业开发的价值,是否会因为其掌握的主体为政府机关、公共机构而仍然被归类为公共数据?一般来说,民事法律制度在规范某一法律问题时,会尽量抽离民事主体的身份,以实现相对平等的制度安排。但是,在数据方面,目前似乎更多地是从数据持有主体的角度进行分类,这可能会导致实践中的某些具体情形无法得到合理解释。例如,现在很多智能汽车会自动记录行程数据,这些数据被汽车制造商收集后会形成一个庞大的行程数据集合。如果汽车制造商的业务范围扩展到全国乃至国际,该数据集合所涉及的交通、监管等公共利益就面临受损的风险。虽然形成数据集合的持有者是汽车制造商,但由于涉及到个人利益与公共利益,将其认定为单纯的企业数据并不妥当。
孙远钊教授认为,将数据简单地分类为个人数据、公共数据和企业数据缺乏可操作性,也会给企业利用数据带来障碍。首先,数据通常关涉多个主体,难以以主体为标准进行划分。例如,现在日益普及的智能家具每日都会产生大量数据,记录了用户日常的使用习惯,无疑与个人相关;家具企业需要利用这些数据作为产品反馈;电力部门也需要以此计算电力消耗等经济参数。同样一组数据却具有多重属性,正如从概念上而言虽然有手心与手背的区别,但是要求在手心与手背之间划一条明确的分隔线,恐怕永远办不到。以持有数据的主体进行的分类只停留在表象,难以作为法律规制的基础进而以此划定权利义务。进而,以主体作为数据分类的标准,可能会导致企业无法利用其享有利益的数据,可能对企业的正常经营活动造成困扰。例如,药物上市必须获得行政许可,而获得行政许可的前提就是需要提供相应的药物符合标准的数据,这些数据很可能属于企业的商业秘密;同时,作为履行公共管理职责的药品监管机构在行政管理过程中获得的数据属于公共数据,那么药企提交的商业秘密数据是否就变成了公共数据,甚至可以被公开?可见,由于企业数据具有复杂性质,若数据分类不当,势必将影响企业的切身利益。
在欧盟,数据分类也面临类似的难题。例如,进行数据传输时,装置与装置之间要进行数据分享,按照我国当下的数据分类,公共图书馆中的数据应当属于公共数据。如果个人或企业连接了公共图书馆的服务器进行数据传输,是否个人数据和企业数据就变成了公共数据?欧盟注意到了这个问题,出台了配套法律法规,包括新近的《数据治理法》(Data Governance Act)和《数据法》(Data Act)等。欧盟并未按照数据持有者的身份对数据进行分类。《数据治理法》第二条将数据定义为“任何以数字的方式来表现一个行为、事实、信息或者其组合,包括以音视频形式呈现的记录”。欧盟的规定也不尽完善,但对中国而言具备参考价值。
韦贵红教授认为,即使使用了公共服务器进行数据传输,政府也不能随意公开企业数据。政府作为管理者,可以审查这些数据。若要公开,则需要企业的同意,或者有法律的明确规定。
魏晓东老师认为,要区分作为客观事物的数据和作为权利客体的数据。数据作为人认识的对象,实际上只是信息的一种表现形式,反映的是事物之间的内在关系,是自然之物,非人类的创造物。企业生产的手机、开发商建造的房屋是人类的创造物,可以产生物权。但纯粹经由计算机设备内部运行产生的数据只是自然之物。
此外还有一点值得注意,即在讨论数据公开的问题时,不能把信息的公开和数据的公开相混淆。信息之所以存在是否公开的问题,是因为信息可以传播,而传播过程不可控,信息经传播而公开,将被不特定的多数人所知晓。数据作为载体,只存在传输而不存在公开,数据从一个主体传输到另一个主体,该过程仍然可控,因此并非公开。例如,在数据交易时加密后的数据只能在双方的计算机上存储,他人无法掌握,数据虽然发生了传输但仍然控制在一定范围内,因此数据并未公开。进而,如果数据传输的一方是政府机关,但政府掌握数据是否就意味着公开,不可一概而论,应当由政府机关的控制行为来决定。也就是说,政府也是法律关系的主体,如果其有义务不再把该数据传输给其他人,其再次传输数据的行为就是违法、违约的行为,须承担相应的法律责任。
02
企业数据的法律保护
冯晓青教授认为,数据作为一项重要的生产要素已与企业的生产经营活动紧密结合。不论是否承认“产权”,企业数据都具有值得受法律保护的利益,这也是越来越多的企业积极推进数据合规的重要原因。但是,企业数据的利益单纯通过意思自治来保障是远远不够的,法律必须做出制度设计,对现实中的纠纷予以回应,向社会传达正确的法治导向,同时为大数据产业的蓬勃发展、行稳致远保驾护航。
第一,在确定数据的保护模式时,要考虑到数据所关涉的复杂利益关系,基于数据流通过程中的多元价值进行权利分配。对于数据保护的方式,目前可参照的样板只有两个,一是传统有体财产的保护模式,比如物权;另一个就是新型无形财产的保护模式,比如知识产权。数据是一项特殊的客体,在确定如何对其进行法律保护时,可以参照这两个模式并做出取舍。就物权保护模式而言,数据从产生、加工、利用、传播到再利用的各环节中,涉及不同主体,会产生多种利益,采取传统物权那样“一物一权”的授权方式赋予单一主体以绝对权并不现实,还很可能会阻碍数据的流通,造成反公地悲剧。对此,不同学者提出了诸多不同的赋权理念和保护方式。例如,王利明教授从“权利束”的视角出发,认为数据权益是由不同的权项组成一张网状的结构。[2]申卫星教授以数据产权制度的层级性为视角,提出了“三三制”数据确权法,其中包括“一横一纵”,横的方面即是数据权益的主体、客体和内容,是静态的;纵的方面是数据产权的配置,由于在“数据资源—数据集合—数据产品”的生成过程中众多参与者在数据生成的不同阶段所扮演的角色和贡献程度不尽相同,因此必须分阶段探讨数据产权配置问题,是动态的。[3]张素华教授等则提出了数据产权“双阶二元结构”的观点,基于数据的生产流通,以数据生产者的数据持有权为枢纽,向前向后分别构建数据来源者权和数据使用权以及相应的权利关系结构,从而在数据归属与利用两大阶段渐次形成“数据来源者权+数据持有权”和“数据持有权+数据使用权”的“双阶二元结构”。[4]以上学者从不同角度探讨了数据权益的法律保护,提出了很多具有较高参考价值的观点,且达成了以下共识:数据是一项涉及不同主体复杂利益关系的客体,不能简单地赋予一个静态的、一一对应的物权或者知识产权就万事大吉,需要进行综合性的考量。其实,《数据二十条》也注意到了上述问题。《数据二十条》在提及数据产权保护时,使用的是“数据资源持有权”“数据加工使用权”“数据产品经营权”等称谓,有意回避了物权、所有权的概念。这是因为,虽然“数据所有权”的排他性、支配性更强,却与数据所关涉的复杂利益关系以及数据流通利用的价值不相符合。实践中,可以通过物理上的封闭来达到对数据的实际管控和独占,如断开计算机的互联网连接,以避免泄露,排除他人的使用和妨碍。
第二,企业数据的法律保护,涉及对个人利益、公共利益的调和问题。就个人利益而言,在保护企业数据时必须要关注对个人利益的影响,不能损害个人的人格权益,比如个人隐私权。另外,企业数据的公开、传播、利用也会涉及到公共利益以及数据的安全问题,例如企业数据的跨境传输可能会对国家数据主权产生影响。
第三,需要重视对企业数据产品与数据集合的法律保护。在讨论企业数据的保护和利用时,不能局限于原始数据的层面,将原始数据或者最基本的数据资源进行整理加工后形成的数据集合、数据产品才具有更高价值、更值得法律保护。这一点也反映在《数据二十条》对“数据加工使用权”和“数据产品经营权”的规定上。
第四,对企业数据的保护应不限于商业秘密保护模式,而应当进行专门保护。有观点认为,企业数据的保护完全可以参照对商业秘密的保护,但商业秘密模式显然不足以对企业数据进行全面保护,因为商业秘密只能保护未公开的企业数据,而无法保护已公开的企业数据。企业自己收集整理的单纯的数据资源,的确往往是未公开的数据,但是企业加工形成的数据集合、数据产品基本需要公开上市才能创造价值,而且往往在这一阶段更容易出现与数据相关的不正当竞争行为,因此法律有对此进行专门保护的必要。近年发布的《反不正当竞争法》征求意见稿就在一定程度上说明了对数据进行专门保护的必要性。该征求意见稿在保留商业秘密条款的同时专门新增了“商业数据”条款,如果商业数据仅指可以通过商业秘密保护的未公开的数据,新增的数据条款也就没有意义了。
韦之教授认为,数据保护的问题称之为法律问题也好,技术问题也罢,总归是必须直面和解决的一道社会课题。大数据产业是正在蓬勃发展的朝阳行业,对个人、企业、社会和国家均具有巨大的经济价值,单靠民事主体之间的意思自治远远无法实现公平的调整。数据保护的问题十分复杂,但法律不应视而不见。数据保护的解决方案必将是综合性的,会涉及民法体系内部的多个层面,甚至不仅停留在民商事法律,还将涉及行政法乃至刑法。其实,对于处理此种具有复杂利益关系的问题,有现有的法律制度可以比照。例如,在知识产权的客体中一个标志既可以是商标,也可以成为外观设计的一个要素,还可以作为作品的一部分,虽然利益相互重叠、环环相扣,但知识产权法仍能对其进行合理的利益分配和保护。知识产权的客体与数据保护的内在机理是一致的。所谓“换汤不换药”,不能因为现实中数据情况的多样性,就打乱了制度设计的通用性、稳定性。一项合适的制度安排,其必然是具有一定的延伸性、拓展性的。不过,在制度建构的过程中,应当摸着石头过河,一步一个脚印,进行综合性的评估,走得稳健一些。对既有规则争取做到物尽其用,守正而后创新,以回应数据治理的时代之问。
在研究数据权益的保护时,不应孤立地看待单条数据。数据的价值在于积累,不值得特别保护的单条数据累积之后,很可能就会变成一笔巨大的财富资源,这就好比在沙漠中,一滴水可能毫无作用,但是水一旦汇集成河流就会对当地的动植物和气候产生莫大的影响,形成难能可贵的绿洲,对于这来之不易的绿洲,势必需要进行合理的保护。同理,虽然对单一数据进行保护的意义不大,但并不能因此否定对数据集合、数据产品进行法律保护的必要性。
在数据保护模式上,要考虑到数据所关涉的重要利益与价值,及时进行专门保护。数据保护常常被与知识产权制度对新兴客体的法律保护相类比,但两者其实存在很大的不同。例如,计算机软件虽然也对知识产权制度带来了一定程度的冲击,但基本上仍能在知识产权制度的范围内思考解决方案。然而,数据保护无法再因循传统,需要进行突破和创新。这并不是说否认现有制度的作用而是现有制度虽然在相当范围内仍可以有效发挥作用,但对于超出的部分,国家需要制定相应的法律进行完善。举例而言,在长江保护法出台以前,原有的生态环境、自然资源方面的法律也可以对长江保护发挥作用,但国家之所以要出台专门法律,是因为长江相比其他的河流具有更加突出的地位,值得专门予以规范。当下的数据保护问题就处于这样一种境地。
在数据权利是否会导致垄断的问题上,赋予企业数据以排他性财产权不会必然导致垄断,法律可以设置权利限制予以避免。实际上,即便是排他性最强的所有权,也会根据客体的性质和价值设定限制。例如,对于私人文物,国家虽然承认私人的所有权,但是权利人对该文物的使用必将受到一定的限制,以满足对文物合理维护、保存的需要。在承认私人主体的排他性财产权时,可以基于其所关涉的公共利益施加了限制以实现利益平衡。对于数据也可采用同样的规制方法。
孙远钊教授认为,数据背后存在的是“法益”而非“权利”。“以公开换保护”是专利法的基本法理,而企业数据很多并未公开,不满足授予专利的前提。对于“权利”这个词,在使用时必须足够谨慎地对待欧盟《通用数据保护条例》(GDPR)对数据谨慎地采用了“持有”一词,采用的是民法上占有的观念且“持有”不等于“持有权”,仅是“持有”的话,任何人都可以使用,持有人不得阻止他人的获取和利用,不具有排他性。换言之,占有、控制不等于所有权,有财产利益不等于享有财产权。未公开的数据的控制者,如果符合法定条件,可以获得商业秘密的保护,但是不能阻止他人通过反向工程等正当方式获取作为商业秘密的数据,而若其获得了排他性的权利,平衡就将被打破。当数据的问题完全可以通过诉诸现有制度予以解决时,就无需对现有制度进行大费周章的变革。意思自治可以满足现实中大部分的数据保护需求。实际上,数据的问题更多的是技术和管理上的问题,涉及利益关系时,可以主要依靠自律的方式调整。不妨参考欧盟数据管理法的做法,当数据利益与他人的知识产权、隐私权、个人信息权益等发生竞合时,该法只规定了处理的基本规则。法律不是万能的,法律的抽象性和滞后性注定其无法充分地规制数据活动中的所有现象;市场运行是千变万化的,具体而又灵活的合同最能符合当事人的利益需求。
数据本身是不能被赋予产权的。一些学者基于智力劳动成果赋权论倡导对数据引入无形财产权,实际上是不妥的。在这一思维逻辑的推理下,似乎有投入、有付出就天然应当享有权利。然而,外国判例已明确数据就是对客观事实的反映,没有人能对客观事实主张任何权利。企业可以投资、控制数据,也可以产生经济价值,但是不能说它因此获得了权利。某主体持有的数据,无论其获取方式如何,付出了多少投入,都不能阻止他人通过同样或其他方式获取相同的数据。对有特别价值的数据,持有数据的主体可以将其转化成商业秘密等方式获得法律更强的保护。唯有这样,才能保持数据利益的微妙的动态平衡。盲目设置产权制度、空想权利义务分配反倒会打破既有平衡,适得其反。
数据的价值其实是因人而异的,具有相对性。某家企业的用户体验数据,可能对其竞争对手而言具有较高价值,但是对于非该行业的经营者来说则可能一文不值。笼统地描述数据的高价值性是不科学的,数据价值需要分时间、分场景分析,不应一概而论。正如在沙漠中,一口井的水可能就价值连城,但在江南水乡一整条河的水或许也被人们司空见惯。对于数据,完全放任自流固然会造成公地悲剧,但是法律过分干涉同样会造成反公地悲剧。回归现实,若当前数据产业的发展并未出现非法律出面不可的大问题,可以“让子弹再飞一会儿”。
韦贵红教授认为,企业数据并不是“天然之物”,其来源于企业对数据的采集存储过程。在这个过程中,企业必定会投入大量的人力物力,形成所谓的无形财产。法律需要考虑的正是如何规制这一新型的无形财产以使得数据能够得到更好的利用和发展。目前对于数据产权的内容尚未形成共识,但这是探讨数据权益的法律保护之前需要优先解决的问题,正如著作权包含著作人身权和著作财产权,著作人身权和著作财产权又分别包含细分的权能。没有调查就没有发言权,在进行数据立法之前,应关注当前数据的现状为何,企业最想要法律保护的是什么,哪些问题是应该由立法予以调整的,在此之上再去讨论制度如何进行设计。
魏晓东老师认为,在探讨企业数据权益时,应着重关注其产生的法律效果。如果法律对企业数据权益进行调整,需要着重考虑两个问题:一是数据能否进行交易,法律是否保护数据交易合同的有效性;二是数据是否具有排他性,他人未经许可获取数据是否产生侵权法上的后果,如果构成,理由何在?是否要承担赔偿责任?在进行具体制度设计时,还涉及以下问题:首先,法律应当对数据权益的归属进行细致分析,互联网平台自动获得的数据,与之相关的权益并非必然归属于平台。其次,使用数据的目的或许影响数据的财产性,也值得关注,比如科学实验数据最终导向的是对客观事物的规律性认知,又如用来进行模型训练的数据,最终目的是制作一款人工智能算法,而人工智能算法本身已不再属于数据。再次,数据或许对持有人而言很有意义,但是赋予对世性的财产权的前提应是对所有人都有价值。如果当事人之间本着契约自由的原则进行数据交易,法律予以保护是没有问题的;如果要赋予排他性的权利,要求他人承担侵权损害赔偿责任,则需要特别慎重。总之,如果要对数据赋权,首先需要在全社会形成共识,其次需要建立起权利外观,如通过技术措施等实现控制,使其体现出能够作为财产权客体的特点。
03
企业数据的利用
冯晓青教授认为,在大数据时代,数据作为一项新型生产要素,企业将其投入生产经营中,能够提高其经济效益,同时提升企业的市场竞争力,因此探讨企业数据的利用具有必要性。当然,数据不是孤立存在的。从原始数据到数据集合、数据产品,企业在整理、加工、上市交易、流通等过程中,要充分融入其他生产要素。这也意味着,虽然原始数据资源的价值常常是有限的,但是融合了其他生产要素形成的数据集合、数据产品的价值潜力是巨大的,在分析数据利用问题时,不能狭隘地局限于原始数据中,还应将视野拓宽到更高层次的加工数据和数据产品上。当前,很多企业和律所都在积极推进数据合规管理。其目的正是为了避免数据利用过程中的各项风险。唯有如此,企业才能安心地将数据转化为生产力,将数据优势转化为市场优势,实现对企业资产的保值增值。数据的生命在于流通使用,所以在建构数据制度时,除了对于不同主体利益保护与利益平衡的目的,另外一个重要的立法目标就是促进数据的流通、交易和再利用。[5]
魏晓东老师认为,数据之所以在当前的学术界成为一个热门话题,某种意义上是因为现代通讯技术、计算机技术和人工智能技术等的发展,使得数据能够被充分地利用,所以产生了相当的价值。如在ChatGPT出现之前,人们可能对大数据模型训练的效果没有直观的认知,而当它出现之后,人们才发现其功能如此强大以至于能够影响日常工作与生活。企业数据更是如此,在“大数据”诞生之前,企业也掌握了一些重要的数据,但是依靠传统的人力或者机器分析方式,数据的优势无法得到发挥,企业自然认识不到其中的巨大价值。
孙远钊教授认为,欧盟《数据治理法》的基本目的是为了促进数据的自由流通。因此,该法并不将注意力置于区分公共数据和企业数据上,而是主要围绕不同主体的装置之间如何进行数据流通和分享,同时如何进行控制,以保护其他具有优先地位的权益。欧盟的调研数据显示,全球的数据量如果都用512G内存的平板电脑存储,到2025年,预计所需的平板电脑数量足以从地面堆积到月球表面5次。如此庞大的数据体量,其关键在于使用。即法律应当对其中哪些可以自由分享,哪些涉及人格利益、个人信息、公共利益等因而不能使用或者限制使用作出规定,为人们的行为提供稳定的预期,以实现数据利用价值的最大化。
袁海英副教授认为,企业数据的价值主要来源于企业的控制和利用。如果企业数据已经被公开,任何人都能自由获取和使用,其价值将大打折扣。因此,数据的保护与数据的利用是相辅相成的。
会议结束之际,冯晓青教授对本次沙龙进行了总结。本次茶会讨论了以下问题,一是企业数据的概念、性质以及与其他类型数据的关系,从企业数据的来源、企业数据的作用以及《数据二十条》对企业数据的规定出发明晰了企业数据的基本内涵。二是企业数据的法律保护,与会专家学者结合我国大数据产业发展的实际情况和国外探索经验,主要围绕企业对其数据享有的利益、能否赋予企业对其数据以排他性权利、企业数据的保护模式以及与现有法律制度体系的对接等方面进行了探讨。三是企业数据的利用,从数据的新型生产要素定位、数据价值与技术进步的关系、数据对企业提高市场竞争优势的意义、企业数据的利用方式、企业在数据利用中面临的现实问题以及数据共享与利益保护之间的冲突与平衡等角度展开了分析和研究。
注释:
[1] 参见沈健州.数据财产的权利架构与规则展开[J].中国法学,2022(04):92-113.
[2] 王利明.论数据权益:以“权利束”为视角[J].政治与法律,2022(07):99-113.
[3] 申卫星.论数据产权制度的层级性:“三三制”数据确权法[J].中国法学,2023,(04):26-48.
[4] 张素华,王年.数据产权“双阶二元结构”的证成与建构[J].中国法律评论,2023(06):138-156.
[5] 参见冯晓青 .数字经济时代数据产权结构及其制度构建[J].比较法研究,2023(06):16-32.
根据中国政法大学知识产权法新兴学科建设项目
2023年第四十四期知识产权法午后茶会内容整理和修改而成
版权所有,侵权必究
最新评论
推荐文章
作者最新文章
你可能感兴趣的文章
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios) posted above belong to the User who shared or the third-party website which the User shared from. If you found your copyright have been infringed, please send a DMCA takedown notice to [email protected]. For more detail of the source, please click on the button "Read Original Post" below. For other communications, please send to [email protected].
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。