江元律师
知识管理部 律师
“实施国家大数据战略”进程中指出“数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力”, “要构建以数据为关键要素的数字经济”,为进入数据经济时代奠定了国家政策指向。
作为越来越重要的生产要素,在互联网的作用力下,大数据优势企业的市场竞争力随时间会不断得到强化。当数据以及其衍生产品对企业以及市场产生越来越大的影响,数据的权属之争必然进入法律视野,而往往对于新事物,法律必然具有滞后性。
在我国现有法律法规基础上,我们不难发现,似乎并没有对数据产权直接相关的法律法规规定,《刑法》、《全国人大常委关于加强网络信息保护的决定》、《征信业管理条例》、《电信和互联网用户个人信息保护规定》等界定和保护的都是“用户个人信息”,即便是与数据保护最相关的《网络安全法》也只是明确 “国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。”而对于已经发生的一些数据产权争议而言,由于知识产权以及物权暂时均不能从法律实质上明确企业数据产权的边界,因此大多是在合同约定基础之上再纳入《反不正当竞争法》的管辖范畴,法院多援引《反不正当竞争法》第2条关于商业道德的规定,即“经营者在生产经营活动中,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德。
本法所称的不正当竞争行为,是指经营者在生产经营活动中,违反本法规定,扰乱市场竞争秩序,损害其他经营者或者消费者的合法权益的行为。”,对纠纷双方的诉争问题作出裁判,但问题在于反不正当竞争法第2条的适用取决于没有法律明文规定的商业模式下的交易习惯及商业道德,往往又有很大的不可确定性。
事实上,企业数据产权问题并非法律原则即可解决的问题,企业频发的数据行为或市场行为在发生争议时,企业如何在现有法律规制下,尽可能的保护自己使用数据、开发数据产品的合法权益,是需要我们进行思考和探索的重要问题。
尽管企业的数据产权尚未有完善的立法予以保护,但离开法律前提谈产权保护是不妥当的。任何一项社会发展与市场经济产出的新命题,都必然需要一个合法存在的前提,否则其所损害的是其他受保护的权益,则将被法律所禁止。企业数据产权也是如此。
一般认为,数据权属有三个研究视角,即数据的主权视角、物权视角下的产权问题以及人格权角度下的数据保护。其中物权视角下的产权所引发的占有、使用、生产加工、处分、收益问题是企业更为看中的内容,但如前述,数据的产权保护不能侵害其他应受保护的权益,即不能脱离对数据的主权保护、个人数据、商业秘密保护的前提。
首先,由于跨境数据流动日益频繁,并对国家安全造成冲击,数据主权概念应运而生。《国家安全法》第二十五条规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”2018年国务院办公厅发布的《科学数据管理办法》也明确了“任何单位和个人从事科学数据采集生产、使用、管理活动应当遵守国家有关法律法规及部门规章,不得利用科学数据从事危害国家安全、社会公共利益和他人合法权益的活动。”数据分布广泛且具有流动性和易复制性,数据的跨境流动不可避免,因此数据产权的探讨不能跨越保护国家安全的法律前提。
第二,《民法总则》明确了我国公民的隐私权,且明确规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,《刑法》、《网络安全法》、《全国人大常委关于加强网络信息保护的决定》、《征信业管理条例》、《电信和互联网用户个人信息保护规定》等均对“用户个人信息”的保护有明确规定,由于数据产权的来源大多是个人信息(数据),因此无论如何对数据产权进行保护,都不能以侵害个人隐私为前提。
第三,《中华人民共和国反不正当竞争法》 “经营者不得实施下列侵犯商业秘密的行为:……(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密;(三)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密;……”以及《刑法》关于侵犯商业秘密罪的规定都明确了我国法律对企业的商业秘密均加以保护。
由上我们可知,探讨数据产权保护的法律前提应当是:符合国家安全+保护个人隐私+保护商业秘密。
企业数据产权归属探析
尽管法律实务中,企业数据产权的法律之争或许才开始不久,步入司法视野的重要案件也是2016年左右方有裁判规则可循,如北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷案【(2016)京 73 民终 588 号民事判决书】、北京百度网讯科技有限公司与上海汉涛信息咨询有限公司其他不正当竞争纠纷【(2016)沪 73 民终 242 号民事判决书】,但数据权属相关的法律探析早就步入法学理论研究的视野。目前,关于数据产权问题,一般有四种观点(丁晓东《数据到底属于谁》),简述如下:
1. 数据归个人所有,即认为数据属于信息提供者,不属于任何一个企业或平台,只要本人授权,任何一个企业或平台均可以名正言顺地采集。在这样的理论下,用户对个人数据的权利更多视为不可让渡的人格权而非财产权(丁晓东:《什么是数据权利?——从欧洲〈一般数据保护条例〉看 数据隐私的保护》),那么数据的收集者与使用者就不得限制这种数据权利的自由行使,企业也无法通过合同而要求个人放弃其数据权利。欧盟新近的《一般数据保护条例》中确立的数据携带权,是此种理论的佐证:“数据主体有权获取其提供给控制者的相关个人数据”,而且,这种个人数据格式应当是“经过整理的(structured)、普遍使用的(commonly used)和机器可读的(machine-readable)”,数据主体有权“从其供给的一个控制者那里无障碍地将此类数据传输给另一个控制者。”
2. 数据归平台所有,即认为通过合同约定,将数据的权属界定为企业或平台所有,排除了信息提供者对于数据进行再次授权使用的权利。
3. 数据个人与平台共有,在我国法院的判决中,这是较为常见的一种观点,即数据开放的前提是必须获得用户个人与平台的同时授权。
4. 数据公众所有,一旦平台或企业介入互联网,就意味着平台或企业数据具有了公共属性,不为任何私人或企业所有,因此,对数据的抓取就不需要网络平台或企业授权或个人再授权。
然而数据的权属并非选择其中一种观点即可有效界定的问题,原因在于企业数据的产权常常具有多重属性,且需要场景化保护。企业/平台数据往往存在如下3层属性:
企业大数据使用的权能配置与保护
如前所述,在未有明确法律规定的情况下,虽在网络爬虫的部分场景下暂有司法规则可循,企业数据产权仍然暂时不能进行明确化的界权,尤其对于一些技能或产业性技术企业,在领域内的企业数据采集、分析有利于开发相关的产品推动该行业的发展。根据我国构建数据企业生态链的发展趋势,以及市场对信息资源及数据产品所带来商业价值的认可,我们仍然应当对大数据的合法使用进行探寻。
如果我们将企业数据产权功能基于财产权角度划分为五个方面,即占有、使用、生产加工、收益和处分,在无法依据法律对数据产权进行明确界权的情况下,不妨从对应的权能配置中探寻企业使用数据的相关权利的法律正当性。
1.占有及使用
企业有权占有、使用符合法律、行政法规的规定和双方协议约定进行采集的数据,但我们应当注意的是,此处的占用和使用并非真正财产权意义上的排他性占用和使用。
根据《中华人民共和国网络安全法》第二十二条第三款“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”,第四十一条“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”之规定,在符合法律、行政法规的规定和双方协议约定的基础上,企业可以采集用户信息数据,并有权对其进行使用。
2.生产加工、收益和处分
一般对企业而言,数据更大的价值在于加工和处理后的产品,此时企业可能会享有一个新的身份-“数据生产者”,而此时的数据产品是否赋予了企业对数据产品的增值部分享有所有权从而进行收益和处分呢?
根据《中华人民共和国网络安全法》第四十二条第一款“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”之规定,数据信息经过匿名脱敏化处理后且不可复原形成数据产品,可对外公开或转让,且可以不经信息主体同意。但是我们应当注意,此时企业的实际处分行为带来的收益,仅明文规定为经过匿名脱敏化处理后且不可复原形成数据产品,而非数据信息本身。
3.大数据合规使用实操建议
综上,在企业对数据使用的合法路径,不能仅仅进行简单的界权,事实上也无法定义产权,不妨换一个角度考虑,即以一种非排他性的产权权能的合法使用,由于数据使用场景复杂多变,在法律无明文规定的情况下,从占有、使用、生产加工、收益和处分的权能角度,建议在实际操作中综合考虑以下几个要素:
· 把握合法前提,即【符合国家安全+保护个人隐私+保护商业秘密】;
· 数据采集途径合法且正当,并与信息主体明确协议约定,内容包括但不限于数据采集授权、数据采集内容及途径、数据采集后的使用方式、第三方使用或共享授权等符合其网络经营需要的内容;
· 数据信息需要形成为数据产品并对外公开或转让的,应当经过匿名脱敏化处理后且不可复原;
· 进行合法、正当的配置权能,使用目的和利用方式不能打破了个体/企业/政府的合理预期;
· 若有司法裁判规则可循的,需遵循或借鉴相关规则,如网络爬虫所涉数据共享时,应当遵循“用户授权网络运营者+网络运营者授权第三方+用户授权第三方”的三重授权许可使用规则,而事实上在一般及可操作的运用场景下,也尽可能的借鉴前述三重授权原则。
END
借款与工程款的辨析标准【惟胜会·房产建设】