数字经济时代下企业数据权益保护问题研究

原创 李飞翔 上海普陀法院 收录于合集 #明允研习社 2个

数字经济时代下于企业而言，数据正日益成为企业不可或缺的重要生产资料，通过大数据等技术手段对数据加以抓取、分析、归纳和整理，可创造出巨大的经济效益。2020年4月9日，我国在国家层面首次指出数据是一种新型生产要素。然而，目前对于企业数据欠缺明晰的法律规制，如何更好的保护企业数据亟待解决。

（一）

企业数据法律属性和边界不明

企业数据的法律属性是企业数据权益保护的理论基础和逻辑起点。但是，当前我国法律体系并未明确定义企业数据的内涵和法律属性，学术上的观点也多有不一。有学者认为企业数据权益兼具物权与知识产权属性。也有学者认为，企业数据中存在新生的各类主体及数据类型，难以有力论证其权利属性。对于企业数据能否成为民事权利诉求的客体也意见不一。有学说认为数据本身具有独立性和财产性价值，是一种新型民事法律关系的客体。也有学说认为，数据不属于民法上的无形财产，不能成为民事法律关系的客体。

（二）

企业数据权益的保护规则不一

企业数据具有极大的商业价值，应当受到法律保护。然而现有的司法保护路径不同，一定程度上影响了法律的适用统一和权威性。如在大众点评诉百度案中，法院认为大众点评主张的用户发布信息并非法定财产权，无法直接予以保护。又如在新浪微博诉脉脉案中， 法院认定用户注册的信息数据是应当保护的财产性利益，脉脉在未获得许可的情况下，非法抓取、使用数据的行为属于不正当竞争。再如在淘宝诉美景公司不正当竞争纠纷案中， 法院首次肯定了数据具有独立的财产性权益，应受到保护。

（三）

企业数据与个人信息保护存在冲突

在填写数据授权协议时,个人用户为使用企业服务往往未详细阅读便勾选同意。企业通过此种方式采集的用户数据包含了大量涉及用户人格利益的信息，对上述信息不正当使用将构成对个人信息的侵犯。企业长期在持续、大规模收集各类用户数据的过程中，形成了用户信息数据库。通过大数据技术，企业可轻易对用户进行“数据画像”，数据使用程度越高，对于用户的隐私侵害就越严重。正如有学者指出，数据分享的效率和隐私保护之间存在此消彼长的关系。

（一）

企业数据权益的法哲学分析

洛克认为劳动是取得对物所有权的必要途径。企业在处理数据的过程中，需要从海量的数据母体进行提取、保存、分析、归纳、整理等操作，耗费大量的人力、金钱和资源，进而才能得到有经济价值的数据子体，故而企业数据自然是企业的劳动产品。

图2：从数据母体到数据字体

基于此，企业自然应对其数据享有类似于所有权的新型财产权。然而，直接将企业数据权益定位为一种所有权是不妥当的。毕竟企业对部分数据如个人数据没有进行独占使用的权利，因为后者专属于个人所有，企业只是基于个人的同意，才获得了使用权。

（二）

企业数据权益的法经济学分析

大卫·李嘉图曾将商品财产权的重要特征归纳为具有稀缺性和交换价值，并可以产生效用。企业数据具有极强的交易交换价值，是企业的稀缺性资源。

图3：企业数据的算法规则优化导致企业盈利

波斯纳假设人是理性的功利最大化者，认为最有效的法律制度设计应当实现交易的财富最大化，交易成本的最小化。将企业数据设定为一项财产性权利可以有效明确企业对于数据的权责边界范围，避免数据纠纷，规范数据的流通、交易。

（三）

企业数据与个人信息保护存在冲突

美国法社会学家庞德认为法律的作用即在于确定、实现和保障个人、公共和社会等利益 。从法社会学的观点来看，一种法律规则如果能够调整、协调好各种社会关系或利益，则应当被认定为是有价值和活力的。企业数据的财产权利性质，在法社会学上是可以得到证成的。

企业数据财产性权利的设定首先将其与体现人格利益的个人数据相区分，从权利层面上做了清晰划分；其次，可为企业数据权利的主张提供请求权基础；最后，可有效避免企业数据权益与个人信息利益及其他数据权益相冲突。

（一）

欧盟：GDPR下的“数据基本权利”

欧盟宪章宣布数据为一项独立于公民隐私权的基本权利。2018年5月欧盟颁布的《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR），认为个人数据是公民人格的延伸，公民对于自身数据享有独立自主的掌控权。GDPR规定企业必须履行事先充分告知义务，征得公民的同意，否则将会被认定为违法。GDPR还指明此种同意并非形式意义上的同意。

（二）

美国：CCPA下的“自由交易与强势监管”

美国数据保护的立法代表是2020年1月通过的《加利福尼亚州消费者隐私法案》（California Consumer Privacy Act，以下简称CCPA）。与GDPR不同，美国更多将数据其看作是一项财产权利，认为个人对个人数据享有高度的控制权，企业无权在未获得本人未授权的前提下处理数据。此外，美国还通过政府强力监管对数据使用进行适当干预，保证数据的自由流通和合理使用。

（三）

共同特点：平衡个人信息保护与企业数据利用

欧盟倾向于数据的人格利益，美国则注重数据的财产利益,但二者均基于一定的价值判断对个人信息保护和企业数据利用作出了平衡。个人信息保护与企业数据保护之间存在差异，应对数据中的人格权益和财产利益进行区分对待。

图4：企业数据分类树状图

个人信息是指能够单独或者与其他信息结合识别特定自然人的各种信息，包含了人格利益。企业数据则是企业依法所拥有的包括个人数据和非个人数据的数据集合体，可实现商业利益。对企业数据中的个人数据，应在剥离人格利益的前提下对其中的财产性利益进行探讨；而对企业数据中的非个人数据，可进一步分为未加工的基础数据和已加工的数据产品，并分别加以保护。

（一）

完善企业数据的立法规范

目前，我国主要通过反不正当竞争法和侵权责任法对企业数据加以保护，但这种保护机制正日益僵化。与已得到专门立法规制的个人信息相比，企业数据的相关立法比较欠缺。应当制定一部专门法保护企业数据权益，明确企业数据权的财产权利性质、权利义务规范和救济途径。在此基础上，可根据数据产业的动态变化制定对应实施细则，对新情况加以应对。此外，企业数据涉及到诸多利益主体，体现在各类法律关系中，可在各部门法中设置相应的支撑性条款，为企业数据权益提供全方位保护。

（二）

分类别对企业数据加以保护

有学者主张将所有类型的数据权益定性为数据权，并给予同等法律保护。这种观点是不足取的，对于企业数据权益，应根据不同的数据类型，施之以不同范围和程度保护,以实现保护效果的最优化。

表：不同企业数据的权能配置

对于个人数据，企业必须遵守“知情同意”的基本原则，告知个人数据的收集种类、处理目的方式和申诉救济渠道，获得个人的事先知情和实质同意，否则将构成违法。企业对于个人数据只享有非排他性占有、使用和控制的权利，而不能加之处分或收益。对于非个人数据中的基础数据，经过匿名化处理、无法识别出个人信息的，企业可豁免“知情同意”原则的适用，直接对之加以非排他性占有、使用、收益和处分等。对于数据产品，应当认定企业对之享有完全财产权，并加以保护。

（三）

多方联动为企业数据护航

对于企业数据的保护不能忽视政府监管、行业自律以及企业数据权利意识的预防作用。政府监管、行业自律、企业数据权利意识三者互相联动配合，可实现对于企业数据权益的源头保护。政府应当设立数据监管职能机构，强化对企业数据市场的管理。对于一些数据密集型行业，可倡导建立数据保护行业协会，充分发挥行业自律作用。最后，企业应提升对数据的法律风险管控能力，合法采集、加工、使用各类数据，及时处理数据主体的要求，规避不必要的数据纠纷。

作者介绍

李飞翔

商事审判庭法官助理

上海交通大学法律硕士

本文获全国法院学术论文讨论会优秀论文提名奖

扫码查看原文

文：李飞翔

原标题：《数字经济时代下企业数据权益保护问题研究》

阅读原文