数中有术、术中有数——数据权益理论与司法实践探析 (下篇)
前
言
我们在上篇中对国内外数据权益的立法现状及理论发展进行了介绍。客观来看,在上篇提到的多重维度下,存在数据权益法律解释框架的多种理论可能。这些可能性以及规则的解释方法,在司法实践中也得到了一定程度上的反馈与映射。理论和实践的良好互动,有助于我们进一步探寻和理解企业数据权益的保护与主张解决方案。在本篇中,我们将对数据权益的司法实践进行探析,并结合相关实务经验为企业如何构筑数据资产价值与安全防护墙提出建议。
三、数据权益的司法实践反映
(一)国内外数据权益相关案例梳理
早在2011年北京市第一中级人民法院审理的(2011)一中民终字第7512号中,因被告网站长期大量复制原告平台的用户评论,法院在判决中认为原告通过商业运作吸引用户在原告网站上注册、点击、评论,并有效地收集和整理信息,进而获得更大的商业利润,该合法权益应受法律保护。但是该判决仅仅点到为止的表示企业对平台上用户信息享有的合法权益应受法律保护,没有进一步明确企业对此享有何种权益。
随着大数据交易产业的发展,2016年后企业间因数据引发的纠纷高涨。我们对2016年后涉及数据权益判断的典型法院裁决和观点进行了以下梳理:
(点击查看大图)
与此同时,我们摘取了美欧法院就企业间数据权益纠纷中部分具有代表性的判例和说理,具体如下:
(点击查看大图)
(二)典型案例所映射的数据权益理论观点
首先,由于在立法上缺乏数据权益归属认定的法律规定,司法实践尽量避免就财产归属作出直接认定。上述案例中,(2018)浙01民终7312号被称为国内第一起数据产品权益纠纷,对于原告主张其对“生意参谋”数据产品享有财产所有权的诉讼主张,一审法院认为财产所有权作为一项绝对权利,如果赋予网络运营者享有网络大数据产品财产所有权,则意味不特定多数人将因此承担相应的义务。是否赋予网络运营者享有网络大数据产品财产所有权,事关民事法律制度的确定,限于我国法律目前对于数据产品的权利保护尚未作出具体规定,基于“物权法定”原则,故对原告该项诉讼主张,一审法院不予确认。相类似地,美国法院在100 F. Supp. 2d 1058(N.D. Cal., May 24, 2000)一案裁判说理中,也避开了对数据财产权归属的直接认定,并且同样以认定行为侵犯原告竞争性的合法利益作为主要的裁判理由论述。
其次,对于数据是否受到知识产权法的保护,国内外法院将进行一轮法律适用性审查,审查范围与标准将依据当地的知识产权法传统与主流裁判规则确定。例如,在上述(2020)湘0104民初10602号案和(2019)京73民终1270号案件中,均对原告提出的数据知识产权保护诉求进行了适用条件审查,即对作为诉争标的的数据是否构成著作权法下的作品或者其他知识产权部门法的客体进行说理和判断。由于知识产权保护的地域性,对于其客体范围的认定,各地法院可能存在差异。在上述欧盟法院作出的C-30/14 ,(15 January 2015)一案中,就原告是否享有数据库权,欧盟法院认为数据库权应当以对数据的获取、核实或输出进行实质性的投入为前提,且根据“副产品原则”,数据库和数据内容、获得数据库而进行投入和为生成数据内容而进行的投入均被严格区分。显然,倘若获得数据的行为与该数据的生成过程无法分离,那么制作者就难以证明其为数据库进行了实质投入,从而不能享有数据库权的保护。当然,欧盟法院亦指出,如果数据内容的创造未经事前计划,且其收集、核实、编排、呈现需要额外的实质性支出,那么制作者同样可以取得数据库权。基于上述理解,法院认为原告的数据库不过是其经营的副产品,且未就相关数据的收集进行额外投入,因此构成典型的“单一数据源数据库”,并非《数据库指令》的保护对象。
最后,作为事后救济的主要方式,竞争法和数据财产性利益的关联得到了国内外法院的普遍支持。例如,在(2017)京0108民初24512号案件中,海淀法院对企业数据权利的观点与(2018)浙01民终7312号案一致,并对企业数据权利非法定权利但仍可受到法律保护进行了更细致的阐述。海淀法院认为,根据民法总则第123条的规定,知识产权是权利人依法就特定权利客体享有的专有权利;该条第八项关于“法律规定的其他客体”对知识产权权利客体保护做了兜底规定;第127条规定,法律对数据、网络虚拟财产的保护有规定的,依照其规定。即便有前述规定,因我国立法尚未就数据进行单独立法,故数据是否能作为前述规定的知识产权权利客体而受民法或其他知识产权部门法保护仍有争议。海淀法院进一步指出,在当前的市场环境下,数据已经逐渐成为经营者,尤其是互联网经营者之间相互竞争的基础性资源,获得数据意味着可据此进行分析并改进、完善产品功能,从而获得更多的经营利益。因此,司法不能以数据尚未成为一种法定权利为由而拒绝裁判。海淀法院结论性提出,当经营者为收集、整理数据,以及维护其互联网产品中的数据运行和安全而付出成本,且该种数据整体上可为经营者进行衍生性利用或开发从而获得进一步的经营利益时,其他经营者未经许可擅自抓取且使用平台数据的行为,当然可以落入反不正当竞争法调整的范围。而在C 08-5780 JF (RS), October 22, 2009案件中,对于用户账号类数据的未经授权爬取行为,认定其落入了CFAA的管辖和保护范畴,因此原告基于数据产生的相关合法权益受到保护。
关于企业可以对何种数据享有何种权益这一问题,通过上述对案例的梳理考察,我们可以发现目前国内司法实践对此问题的分析逻辑和态度如下:
首先应当考察企业掌握的数据产品或数据服务是否可以落入知识产权法保护范畴,比如相关数据产品是否具有独创性可以构成作品进而受到著作权法保护。在(2019)京73民终1270号案件中,因原告的地理信息数据具有独创性,构成地图作品,所以法院认定原告对其数据享有著作权,可以受到著作权法和侵权责任法的保护。在(2020)湘0104民初10602号案中,法院认为原告付出人力、物力对公开的钢材价格信息进行汇编,具有独创性,构成汇编作品,对其数据享有汇编作品所有权。
其次,在企业的数据产品或数据服务无法被认定为受知识产权法保护的作品时,法院会考察企业是否对数据投入了人力、物力等资源,是否对数据进行过加工处理,进而判断企业是否对相关数据享有权益。
相关数据是否构成企业的核心竞争力,是否为企业开展经营活动的基础,也会影响法院对企业是否享有数据权益的判断。
至于企业对数据享有何种权益,法院会因数据尚未成为一种法定权利而否认企业主张的数据所有权,但是认可企业对其投入资源、加工处理后形成的数据享有财产性权益或者竞争性权益,企业对数据的此种合法权益可以受到法律保护。
(三)企业数据与个人数据的权利边界
1. 依托原始数据与衍生数据划分权利边界
从前述数据分类和数据用益权理论角度来说,企业通常基于用户授权获取到大量的用户个人数据,在用户个人数据的基础上进行一定的加工处理从而形成企业数据。用户作为原始数据的提供者或创造主体,自然对其基于自身所产生的数据享有权利,包括人身权利和财产权利。企业基于用户提供的这些原始数据进行整理、加工,获得衍生数据,因企业投入了人力、物力等成本,企业对衍生数据可以享有财产性权益。但是企业的衍生数据因基于用户原始数据产生,企业与用户之间存在授权协议,因此企业对基于用户数据产生的衍生数据享有的权益还受到用户授权范围的限制。
例如在(2018)浙01民终7312号中,一审法院认为网络大数据产品不同于原始网络数据,其提供的数据内容虽然同样源于网络用户信息,但经过网络运营者大量的智力劳动成果投入,经过深度开发与系统整合,最终呈现给消费者的数据内容,已独立于网络用户信息、原始网络数据之外,是与网络用户信息、原始网络数据无直接对应关系的衍生数据。网络运营者对于其开发的大数据产品,应当享有自己独立的财产性权益。
在(2019)浙8601民初1987号案中,法院特别指出,网络平台中的数据,以数据资源整体与单一数据个体划分,网络平台方所享有的是不同的数据权益。就原告平台数据资源整体概念而言,原告依法享有竞争性权益,但对于某个特定的单一用户数据,原告并不享有专有权,仅享有受限于用户授权的有限使用权。
2. 企业与其他企业、用户个人的三方数据权益划分
在爬虫技术的广泛应用下,企业平台上的公开数据可以被其他企业爬取,在业务合作或产业链中不同企业也会发生数据交互,例如输入法软件对社交软件中聊天记录数据的获取,而这些数据又由用户个人初始提供。在不同数据主体出现权利交叉的情况下,需要明确企业与其他企业、用户个人等多主体之间的数据权益划分规则。
从国外判例的情形来看,爬虫工具的使用所引发的企业间竞争纠纷可以作为影响数据权益边界认定规则的观察角度。在938 F.3d 985 (9th Cir. 2019)案件中,法院对于使用爬虫爬取公开数据显然保持相对开放的态度,以鼓励数据的开放和自由流通。辅之以参考C 08-5780 JF (RS), October 22, 2009进行两案的对比,我们发现,用户数据是否受“账号密码”的保护(即数据是否为公开)可能是法院认定爬虫使用行为的重点考量因素,但不得不注意的是,如前述提及,目前美国最高法院将此案件发回重审,意味着数据抓取行为的定性仍具有不确定性。最关键的问题仍然在于:如若属于用户的公开个人数据,是否有必要考虑用户的授权原则?此外,对于被抓取的数据生产方而言,是否需要兼顾其合法权益?这些问题都有待于938 F.3d 985 (9th Cir. 2019)案件发回后重审法院来面对和解答。
就国内司法实践而言,早在(2016)京73民终588号案中,北京知识产权法院就多主体之间数据权益关系进行了详细的探讨。针对平台上用户公开发布的信息,其他企业是否有权利用技术手段抓取问题,北京知识产权法院提出了“用户授权”+“平台授权”+“用户授权”的三重授权原则。根据这一原则,对于企业平台上的用户数据,即便该数据是由用户公开发布的,其他企业通过该平台抓取数据不仅应获得用户授权,还应获得平台方授权。
在(2018)浙01民初3166号中,法院认为,原告研发的基于Android系统的“智能收银一体机”因系统功能和特性是可以安装其他应用的,被告的收款应用在安装过程中,已经向用户获取了读取交易金额数据的授权,因此被告读取交易金额数据的行为不构成非法获取数据。
在(2017)京0108民初24512号中,海淀法院将企业平台数据分为公开数据和非公开数据,并分类讨论了其他企业抓取和使用平台数据的正当性。海淀法院提出,对于平台中的公开数据,基于网络环境中数据的可集成、可交互之特点,平台经营者应当在一定程度上容忍他人合法收集或利用其平台中已公开的数据,否则有违互联网网络互通之精神。但是如果他人抓取网络平台中的公开数据行为手段不正当,则数据抓取行为及后续使用行为亦难谓正当。对于平台中设置了访问权限的非公开数据,其他企业在未获得授权的情况下获取这些非公开数据,仅能利用技术手段破坏或绕开平台设定的访问权限,这种行为显然具有不正当性。
可见,在企业平台、其他企业及用户等多方主体的数据关系中,用户授权依然为数据合法性的基石,而爬取他人平台数据的技术手段是否正当、是否遵守被爬取平台的有关技术协议等因素,是判断企业爬取、使用数据行为合法性、正当性的重要标准。
四、构筑企业数据资产价值与安全防护墙
由上可见,即便目前无论是立法进程还是理论探讨,都尚未明确界定数据的权益规范,但在数据要素市场的竞争局势中,数据作为企业的特殊竞争力及其愈发显著的经济价值,使得企业需要正视并尽早布局内部数据资产管理体系,并形成与之相配套成熟的数据资产识别、固定和保护的法律工具或者解决方案,做到“数中有术”。
结合我们在数据合规以及数据竞争市场的法律服务经验,概括来说,这套方案至少需要重视以下几个方面的内容:
1. 数据安全与合规确保数据质量与资产有效性
“数据资产的收益取决于数据资产的质量和数据资产的应用价值。数据资产质量价值的影响因素包含真实性、完整性、准确性、数据成本、安全性。”[2]通常意义上说,企业数据资产得以固定和价值体现的前提和基础是数据本身的合法合规及其质量保证。目前,《民法典》高屋建瓴,《网络安全法》《数据安全法》相辅相成,《个人信息保护法》呼之欲出,数据安全与个人信息全生命周期流程性合规已经成为企业日常经营不容忽视的重要事项。
正如前述司法案例中所涉及的具体场景,如果主管部门或者司法机关不认可企业数据来源和数据处理活动的合法合规性,则该企业对于基于该数据处理活动而形成的数据集合主张的财产性权益受保护的价值和可能性都大打折扣。因此,企业一方面必须严格按照法律规定及与自然人约定的目的、范围和方式,在得到个人信息主体事前同意的前提下,收集、存储、处理个人信息;另一方面,通过全面履行企业既有的网络安全保障义务,落实数据安全制度安排,以确保数据本身没有合法性的质量缺陷,从而铺垫好数据资产价值管理体系的牢固基石。
2. 数据分类分级管理识别资产边界与价值挖掘
企业数据资产的要素识别和体系构建,有赖于对其所收集和“掌握”数据的情况、可开发利用的价值以及基于此而进一步探讨的数据商业化方案或者策略。“数据分级分类最初是网络运营者对数据资产进行一致性、标准化管理的方法,随后成为网络数据安全风险管理的技术方案。”[3]就现行《数据安全法》以及配套法规来看,企业完善内部的数据分类分级制度实则是一举两得的高收益管理策略,即在满足从网络安全向数据安全的企业法律要求的同时,也能够帮助企业主动梳理、识别与确定得以进一步实现价值挖掘的数据类型与范围。从上述国内的多个司法裁判案例可以看出,目前各地法院对于企业就其收集的数据集,或者说数据驱动企业对于增值数据享有一定的“财产性权益”持较为认可的倾向态度。因此,建立在数据分类分级基础上的数据挖掘,包括数据清洗、加工、提取、交换、共享以及算法训练等,有助于形成企业独特的数据资产竞争力。
3. 形成数据权益手册以及信息化管理系统以支撑商业合作磋商策略
数据权益理论的探讨最终服务于业务实践操作,形成对企业固定和保护数据资产的方法论。基于前述数据合规、数据分级分类和价值挖掘环节后,为了便于企业在实际工作中更好地主张数据权益,企业可以根据数据处理实际情形制定内部数据权益手册。权益手册相当于一本工具字典,帮助企业对不同类型的数据进行分类和标签化,明确了企业作为数据控制者或者委托处理者可主张的数据权益可能空间,为企业提出更为有利的权益主张思路和立场建议,以在实践中快速和准确判断某数据资产的权益主张边界,并且指导与第三方之间涉及数据合作的商业谈判。
同时企业应当根据权益手册内容利用信息化技术开展数据资产的自动化识别、存储、流转及交易等工作,利用数字科技来管理数据资产,做到“术中有数”。
4. 积极主张数据权益以凝聚数据行业价值共识
作为司法救济的最后一道防线,企业应当注重准备多种诉讼策略,以更为积极地主张企业数据权益的可能空间。在缺乏明确立法规则的前提下,通过争议解决的路径设计和诉求主张,也有助于通过个案的方式探索行业数据价值有序的分配规则。正如我们在这篇文章中所提及的既往案例,对于数据行业而言,通过司法裁判的说理、判决,有助于我们加深对数据行业资产管理与保护的需求,并且对于推进个人与企业数据权益边界的认定,以及凝聚企业间数据竞争与合作的价值共识都或有裨益,从而在积极的诉讼策略中形成尊重与保护数据生产、流动与共享价值的积极行业生态。
小
结
数据确权是数据流转、数据交易等基于数据开展的各种活动的前提。明确、合理的数据权益规则为数据主体开展数据处理活动提供行为边界,不仅能预防数据纠纷,也为数据权利人提供保护和救济。虽然国内外目前立法层面并未有明晰的数据权益规定,但是在长期的司法实践中形成和积累的数据权益分配规则,对数据活动起到一定的指导、规范作用。本文通过对于数据权益理论的梳理,以及对当前国内外数据权益纠纷相关案例的考察,希望能够为当下的数据实践活动略有助力。
向下滑动阅览
脚注:
[1] https://www.supremecourt.gov/orders/courtorders/061421zor_6j36.pdf 最后访问日期:2021年7月28日。
[2] 德勤、阿里研究院:《数据资产化之路——数据资产的估值与行业实践》,https://www2.deloitte.com/cn/zh/pages/finance/articles/data-asset-report.html 最后访问日期:2021年7月29日。
[3] 刘云:《健全数据分级分类规则,完善网络数据安全立法》,http://www.cac.gov.cn/2020-09/28/c_1602854536494247.htm 最后访问日期:2021年7月29日。
本文作者
宁宣凤
合伙人
合规业务部
金杜数字经济国际法律服务中心负责人
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
刘迎
合伙人
知识产权部
liuying3@cn.kwm.com
业务领域:体育、知识产权以及商事争议解决
刘律师为中国法学会体育法学研究会理事,曾参与2008年奥运法律服务以及国家体育总局冬季运动管理中心法律顾问等工作。刘律师对体育赛事运营和商务开发、运动员训练及管理、电子竞技等方面有较为深入的研究和丰富的经验。同时,刘迎律师也擅于处理各类商事纠纷,曾协助众多知名企业参与处理上百件重大复杂商事诉讼、仲裁案件。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
孙乐怡
律师
知识产权部
姚敏侣
律师助理
合规业务部
感谢甘雨丰、徐晓妍对本文的贡献。
责任编辑:魏雪婷
人工智能:
算法治理系列之——智能时代的算法治理 2021-06
算无遗策,画无失理?——算法合规在平台经济反垄断中的应用 2020-11
AI与大数据的“理想城”:智慧城市合规的基础要点 2020-02
2020年“AI”应有大爱 2020-01
人工智能系列之人脸识别信息的内涵与合规难题 2019-11
数据合规:
数中有术、术中有数——数据权益理论与司法实践探析(上篇) 2021-7
个人信息保护立法效果、理念及价值平衡 ——欧盟GDPR生效实施三周年比较与前瞻 2021-5
数字征信时代的重要信号——征信业务新规草案解读 2021-1
成年人要看的利弊——互联网数据商业化的模式变局 2020-12
Personal Information Protection Law (Draft): A New Data Regime 2020-11
“道阻且长,行则将至” --从《个人信息保护法(草案)》看中国个人信息保护的思路和数字经济发展策略 2020-10
六个月倒计时!《生物安全法》中的数据合规赛道 2020-10
敢为天下先——特区培育数据要素市场的契机与合规要点 2020-10
“以人为本”——聚焦央行消费者金融信息保护新规 2020-09
变化纵横出新意——民法典中个人信息的定位及影响 2020-06
问答精选-解读《个人金融信息技术保护规范》2020-02
解读《信息安全技术 个人信息告知同意指南(征求意见稿)》2020-02
疫情防控 | 数据资源流转与公开 2020-02
疫情防控|同舟共济——不同场景下健康医疗数据流转的合规路径 2020-02
宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01
“数”年快乐——万字长文说“数据融合” 2020-01
平安夜里说平安——“数据资产”的误区与合规条件 2019-12
按图索骥——图示移动APP个人信息保护的重点 2019-11
大一统而慎始也——新型信用监管机制问答 2019-10
竹杖芒鞋轻胜马:医疗大数据发展和合规管理并重 2019-09
星光奉献给长夜——儿童个人信息保护的亮点和启示 2019-08
投资出行领域,数据是金矿还是烫手山芋?2019-07
Development Of PrcRegulations On Cross Border Data Transfer 2019-06
数据监管新要求,电子商务法时代跨境电商将走向何方? 2018-11
你的“饼干”安全吗?——Cookie 与个人信息保护 2018-08
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 2018-02
谨于言而慎于行:互联网信息内容服务管理新规出台 2017-08
No “Data”, No “Internet of Vehicles” 2017-07
布局“自动驾驶”:此时不为,更待何时?2017-07
Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry 2017-07
图解“车联网” 2017-06
无“数据”,怎“车联”?——“车联网”数据类核心业务法律监管刍议 2017-05
为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去 2017-05
欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》 2017-05
你的数据,能不能走出国门? 2017-04
中国推进个人信息保护 2017-04
2017年,大数据合规离我们有多远? 2017-01
隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势 2016-12
个人信息保护的百万罚单时代来了? 2016-11
网络安全:
利刃出鞘:《数据安全法》下中国数据保护路径解读 2021-06
Innovations & New Developments of Cybersecurity Review Measures 2020-05
“柳暗花明又一村”——金融产业链的困局及破局思路 2020-03
“云深不知处”——企业远程办公的网络安全常见问题及建议 2020-02
“管中窥豹”——《生物安全法》前瞻及现行生物安全相关监管体系回顾 2020-02
博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径 2019-11
亡羊补牢未为迟:如何应对网络安全勒索事件 2019-06
“欲穷千里目,更上一层楼”——国际新形势下的等保2.0 2019-05
叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较 2018-09
《网安法》生效后不得不知的N件大事 2017-08
“新”电信业务办法:更简、更活、更规范 2017-07
必将婴城固守,皆为金城汤池——看《关键信息基础设施安全保护条例(征求意见稿)》 2017-07
Petya来袭,网络安全事件应急预案正当其时 2017-07
图解安全评估流程——互联网业务安全不可因“新”而废“管” 2017-06
《网络安全法》及其部分配套规定今起实施 2017-06
“一带一路”背景下中国企业境外并购的网络安全和数据合规问题 2017-06
十三五“新常态”下企业营商的合规挑战 2017-05
开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评 2017-05
画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》 2017-05
热点解读:网信办连续颁布三项重磅新规 2017-05
我知道你 在看 哦