丁晓东:论企业数据权益的法律保护 ——基于数据法律性质的分析
丁晓东:中国人民大学法学院副教授、未来法治研究院副院长。中山大学电子与通信工程专业学士,北京大学、耶鲁大学法学博士,中国人民大学法学院博士后,华东政法大学数字法治研究院特聘研究员。
原标题《论企业数据权益的法律保护——基于数据法律性质的分析》,载《法律科学》2020年第2期。此处为方便阅读,略去注释。
目 录
一、企业数据的现有法律保护及其不足
二、企业数据的财产权保护及其困境
三、数据共享与数据保护
四、企业数据法律保护的制度设计
五、结语
摘要
互联网与大数据时代,数据已经成为企业的重要资产,对企业数据权益应当进行合理保护。但对企业数据不宜进行绝对化与排他性的财产权保护,因为此种保护违背数据的基本特征,数据并不具有排他性与竞争性。保护企业数据权益应当以促进数据共享为目标;企业数据的合理保护有利于促进数据共享。对企业数据应当进行类型化与场景化保护。对于非公开的企业数据,应当提供商业秘密保护;对于半公开的数据库数据,应当提供类似欧盟的数据库特殊权利保护;对于公开的网络平台数据,应当采取竞争法保护,避免恶性搭便车行为。法律还应当为企业主动公开的数据提供特殊类型的保护,允许企业设置白名单与黑名单。此外,法律也应当协调保护个人数据与企业数据,在优先保护个人数据的前提下,实现个人数据隐私期待与企业数据权益的共赢。
关键词
企业数据;数据保护;数据共享;商业秘密;竞争法;个人数据
在网络与大数据时代已经到来的今天,数据的价值受到了企业越来越多的认可与重视。正如《大数据时代》的作者舍恩伯格所言,如果说20世纪商业价值的最大转变是“从实体基建转变为无形财产,从土地和工厂转变为品牌和产权”,那么当今社会所进行的新的转变就是“电脑存储和分析数据的方法取代电脑硬件成为了价值的源泉。数据成为了有价值的公司资产、重要的经济投入和新型商业模式的基石”。今天,可以说数据已经成为企业所争夺的核心资产。
在法律上,数据价值的日益凸显也提出了一个重要问题:法律应当对企业数据采取何种保护?在西方近代,各国曾经兴起以民商法为基础的私有财产权保护;二十世纪以来,随着知识价值的兴起,全球又兴起知识产权保护体系。现在,随着数据特别是大数据呈现越来越重要的商业价值与应用价值,法律是否需要对数据采取独特的法律保护方式?这是新时代对当前法律体系所提出的前沿问题。
本文对企业的数据权益进行分析,指出企业对于其收集与处理的数据具有相应的合法权益,应当受到法律的合理保护;但企业对于其收集与处理的数据不具有绝对性与排他性的财产性权益。保护企业数据权益应当以促进数据共享为目标,应当根据企业数据的不同类型、不同的场景而进行不同程度和不同方式的保护。唯此,企业的数据权益保护才能实现数据保护与数据共享的双赢。
一、企业数据的现有法律保护
及其不足
(一)企业数据保护的现有法律框架
1. 企业数据的商业秘密保护
以商业秘密的方式对企业数据进行保护,是中外法律制度都较为常见的做法。在我国,多部法律提供了商业秘密的法律保护。《反不正当竞争法》规定商业秘密受到法律保护,并且列举了侵犯商业秘密的行为,以及侵害商业秘密应当承担的损害赔偿责任。 《劳动法》规定,劳动合同中当事人可以约定保守企业商业秘密有关事项的规定,对于违反劳动合同中的保密事项,给企业造成损失,应承担损害赔偿责任的规定。 此外,《合同法》《公司法》《中外合资经营企业法》等法律也都对商业秘密的法律保护作出了规定。 《刑法》也规定了侵犯商业秘密罪,对商业秘密进行了刑法保护。 在西方法律体系中,普通法很早就提供了对企业数据的商业秘密保护, 甚至在更为古老的罗马法中,都可以追寻到商业秘密法律保护的根源。 如今,商业秘密保护已经成为西方各国制定法的一部分,成为企业数据的一种重要保护方式。
当然,企业数据并不必然受到商业秘密的保护。要符合商业秘密的保护,必须满足不同法律的规定。例如在知识产权法和反不正当竞争法上,企业数据必须满足非公开、具有商业价值、采取保密措施的要求, 才能受到商业秘密条款的保护。在劳动法和公司法上,对于企业数据的商业秘密保护只限定于特定的主体,或者以合同关系存在为前提,商业秘密保护并不针对不特定的第三人。此外,刑法对企业数据的商业秘密保护除了满足商业秘密的界定,还必须满足给“权利人造成重大损失”这一结果要件。
2. 企业数据的竞争法保护
竞争法是另一种企业数据的常见保护方式,这种保护方式提供了对公开与半公开企业数据的保护。在关于互联网企业的数据争议案例中,很多案例都涉及数据爬虫,即一个互联网企业平台通过数据爬虫抓取位于另一互联网企业平台的数据。在这些案件中,法院最终都以反不正当竞争法来对案件进行判决。例如在新浪诉脉脉案中,“新浪微博”提起诉讼,认为脉脉公司存在非法抓取、使用“新浪微博”用户数据,法院经审理后认为,脉脉公司的抓取数据行为违反了商业道德,是一种不正当竞争行为。 同样,在大众点评诉百度案中,对于百度公司的产品抓取大众点评上积累的消费者点评商户的数据,法院认为,百度公司未经许可在百度地图和百度知道中大量使用了来自大众点评网的数据,实质性地替代了原告网站,构成了不正当竞争。
2018年,在淘宝诉美景公司大数据产品不正当竞争案中,法院对于半公开的数据也采取了竞争法上的保护。在此案中,淘宝公司的数据产品“生意参谋”主要为淘宝、天猫商家的网店运营提供数据化参考服务、帮助商家提高经营水平,淘宝、天猫商家在购买“生意参谋”产品后,就可以获取此类数据。美景公司运营其“咕咕生意参谋众筹”网站,以提供远程登录服务的方式,招揽、组织、帮助他人获取“生意参谋”数据产品中的数据内容,并从中获取利益。法院经审理后认为,美景以“搭便车”的方式获取淘宝公司的数据,这属于明显有悖商业道德的不正当竞争行为。
相比商业秘密保护,竞争法保护延展了企业数据的保护范围。竞争法除了把商业秘密所无法保护的公开或半公开的企业数据纳入可能的保护范围,还把一些商业价值尚不确定,甚至数据权属并不明确的企业数据也纳入可能的保护范围。
3. 企业数据的刑法与侵权法保护
除了商业秘密与竞争法,现有法律还提供了对企业数据的刑法与侵权法保护。《刑法》第二百八十五条第二款规定了非法获取计算机信息系统数据罪。这一罪名规定,“违反国家规定,侵入前款规定(国家事务、国防建设、尖端科学技术领域)以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的”,将受到刑法的处罚。 自从非法获取计算机信息系统罪确立以来,已经有很多司法案例采用这一罪名来对相关行为进行定罪。 在这些案例中,很多案例涉及盗用个人信息(例如身份证信息、账号、密码)、网络虚拟财产、知识产权,都涉及到了对企业数据的保护。例如,罪犯侵入企业的计算机系统,非法获取医院用药统方数据、公司经营信息数据、客户订单数据等数据。
美国的制定法与普通法提供了类似的刑法与非法侵入保护。在制定法上,美国国会制定了“计算机欺诈与滥用法案(Computer Fraud and Abuse Act,CFAA)”,禁止未经授权而侵入计算机。 在很多案件中,美国法院援引此条法律做出判决,将未经授权而获取企业数据界定为计算机非法侵入(computer trespass)。 在普通法上,早在2000年,美国法院就以非法侵入对数据爬虫进行了判决。当时一家Bidder's Edge公司的网站对Ebay网站进行了数据爬虫,Ebay公司据此向加利福利亚北区法院提起诉讼,控告Bidder's Edge公司对其网站的爬虫行为违反了robot协议,属于普通法上的“非法侵入(tresspass)”,法院最终认同了这项指控,要求Bidder's Edge公司停止对Ebay公司的非法侵入与数据爬虫。
(二)现有法律对企业数据保护的不足
对于企业数据的法律保护,现有的法律框架虽然提供了不同形式的保护,但这些不同的保护方式与进路也存在不足之处。
首先,就商业秘密而言,商业秘密对于企业数据的保护范围有限。商业秘密可以对未公开的企业数据提供保护,但对于互联网企业平台所收集的半公开数据或公开类数据,商业秘密却并不能提供保护。因为商业秘密的保护只针对未公开且企业采取合理措施保证数据秘密性的企业数据,对于平台类企业所收集的数据,现行的商业秘密法并不能提供有效保护。
其次,竞争法对于企业数据的保护面临着规则不确定的问题。以中国当下涉及数据的不正当竞争判决为例,大多数判决都以《反不正当竞争法》第二条作为依据,要求企业“遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德”,将“扰乱市场竞争秩序,损害其他经营者或者消费者的合法权益的行为”视为不正当竞争。从法理上看,竞争法的此类法律规定更接近于标准或原则性规定,缺乏能够指引裁判的规则刚性。 这种保护方式虽然可能提供对各种类型的企业数据以法律保护,但也可能会造成各方的困惑。何谓“商业道德”?何谓“扰乱市场竞争秩序”?法律常常缺乏明确的法律解释与适用标准。因此,企业在合规与数据实践方面常常会面临更高的成本。有的企业为了保证其数据合规,可能会禁止或取消原本从事的数据业务;而有的企业可能担心法律对其数据保护不足,因而可能会不愿意开放其本来愿意开放的数据。
再次,以刑法与侵权法的手段保护企业数据,也可能面临问题。企业数据的刑法保护首先可能会过与严苛,就法理而言,一般对于某种权利会首先采取私法或行政法上的保护,只有穷尽私法与行政法上的保护,才会采取刑法的处罚手段。直接以刑法的手段对某种权益进行保护,尽管会起到很大的威慑作用,但却可能和刑法的谦抑性相违背。某些非法获取数据的行为可能只具有不正当竞争、侵权或其他民事违法的性质,没有达到刑事处罚的程度。而就侵权法而言,侵权法虽然可以提供对企业数据的额外保护,但这种保护也面临不确定性的问题。当某个企业获取其他企业的数据,何种情况属于数据侵权,何种情况属于正常获取数据,侵权法本身无法给出回答,仍然依赖于法律对于数据权属问题的界定。
最后,合同法可能也不足以对企业数据进行保护。作为一种一般性的法律保护方式,合同法可以在很多场景下发挥其保护作用。但以合同法的方式保护企业数据,其前提是存在预先的合同安排,即存在明示成立或推定成立的合同关系。但即使企业对于其合同关系进行非常周密的安排,企业也不可能排除不特定第三人对于企业数据权益的侵害。但现实生活中,针对企业数据的获取常常来自第三方,合同法很难对这些第三方的侵犯企业数据权益的行为进行救济。
二、企业数据的财产权保护
及其困境
(一)企业数据的财产权保护
传统法律框架在保护企业数据中存在种种问题,这已经为很多学者和专家所意识到。例如有的评论者指出,传统知识产权法与不正当竞争法的框架对于企业数据的保护不足,这使得当事人在发生数据纠纷时常常得不到救济:“数据纠纷一旦进入诉讼程序,多数相关方都采取了寻求广义知识产权法特别是其中反不正当竞争法之保护的途径……虽然这些案件的处理结果在社会上反响很好,但是仍然令人感觉保护力度还不够。实际上很多数据纠纷都是由于发现依据不足,只好转向其他机制或者私下忍声吞气”。
在这种背景下,很多学者与专家提出了企业数据的财产权保护。例如有的专家提出企业数据资产的概念,有的学者强调企业数据确权的重要性。在企业数据财产权的倡导者看来,确立企业数据的财产权,这是现代数字经济的内在要求。将数据确立为一种“绝对性、排他性”的财产,这可以使数据从业者获得“一种有关数据开发利益的安全性市场法权基础的刺激和保障”,使数据经济“得以置身于一种高效稳定的财产权结构性的驱动力和交易安全的保障之中”。一方面,企业可以根据这种财产权而获取对数据进行经营的权利,保证自身的合法权益不受侵害。另一方面,财产权也将鼓励数据产品的加工、创造和交易,从而促进数据市场的活跃与繁荣。
从新闻报道与公共讨论来看,企业数据的财产权保护也得到了很多认可。例如在淘宝诉美景公司大数据产品不正当竞争案判决后,法院与很多评论都将其视为确认企业数据财产权的判决。在此案中,淘宝公司所开发的产品“生意参谋”的数据是经过脱敏处理的数据,并且在研发过程中进行了大量的投入。对于此类数据,法院认为美景公司侵犯了淘宝公司的财产性权益,而评论者也认为这一判决填补了数据产品财产权规则空白。
(二)企业数据财产权保护的困境
鉴于企业数据财产权保护的主张日益获得认可,有必要对这一理论进行研究与反思。如果我们深刻反思企业数据的财产权保护理论,就会发现这一主张也存在困境。如果简单地将企业数据财产权的理论适用于各种不同类型的企业数据,将会带来各种难以解决的问题。我们可以以企业所拥有的公开数据、半公开数据与非公开数据为例,分析企业数据财产权保护可能带来的问题。
1. 企业公开数据
首先,企业的公开数据难以适用财产权保护。对于互联网平台所公开收集的数据,适用财产权保护与此类数据的性质不相符。企业的公开数据虽然为互联网平台所收集,而且企业可能在投资、搭建与维护平台架构方面付出了很多努力,但此类公开数据一旦在平台上公开,就很难说是企业所独占的数据。这是因为,从数据或信息的性质来说,一旦数据或信息进入公共领域,一般就会认为此类数据是属于公众的,企业很难对其再主张排他性的权利。
对于公开类型的企业数据,最为典型的是互联网平台上所积累的海量数据,例如微博、脸书上所积累的海量的用户信息与用户评论。对于此类数据,企业是否拥有排他性的财产权?有的观点可能会给出肯定的回答,因为互联网企业的确为此类数据的积累付出了大量的资本与劳动。但更多的观点认为,将此类数据都视为排他性的企业数据,这与互联网的公共性存在一定的冲突。企业对于平台的数据具有一定的权利主张,可以限制一些竞争性企业对于平台数据的恶意爬取。但这种限制不应是完全排他性的,如果赋予互联网平台以排他性的数据权利,这可能会彻底扼杀互联网的公共性与开放性,从而扼杀互联网的蓬勃发展。
关于互联网的公共性与开放性,网络法学者奥林·科尔(Orin Kerr)教授曾经做出过较为经典的论述。在论述平台数据的争议时,他指出,任何人只要接通了互联网,就等于默认进入了一个公共领域,在这个公共领域中,数据或信息是公有而非私有的,个人既可以查看他人连入互联网的信息,他人也可以查看自己电脑上的文件。例如即使个人为自己的网页设置一个超级复杂与冗长的域名地址,但一旦个人将此网页连接上了互联网,他人就可以合法地搜索与查看此网页的信息。 科尔教授指出,将互联网的接入者视为一个个孤立与隔绝的个体,这实际上忽略了互联网的本质特征,没有认识到互联网的本质特征就在于开放与联通。对于平台数据亦是如此,并不能因为他人通过技术手段爬取平台数据,就认为一定存在对平台数据的侵犯。科尔教授还以线下的活动作为类比,他指出,互联网平台就像是营业时间的商店,对于此类商店,人们进入商店了解产品信息,这并不能视为对商店信息的非法侵犯,因为从本质上来说,商店的信息就是公开和开放的,任何一个人都应当有权获取这些信息。科尔教授甚至认为,即使当此类商店掩上门,只要此类商店没有上锁,普通人就有权推开商店的门去了解商店的商品。类比到平台数据,就是只要互联网平台企业没有设置密码,仅仅是设置了一些访问障碍,此时其他人对于平台数据的获取就应当是合法的。
对于平台数据是否可以完全自由获取,我们不必完全同意科尔教授的意见。但科尔教授对于平台数据公共性的论述至少具有很强的合理性,从平台数据的公共性出发,可以发现以财产权的框架保护公开类型的企业数据并不合理。一旦我们从法律上确立此类公开数据的财产权保护,那就意味着所有查看和复制这些企业数据的行为都是违法的,甚至连搜索引擎对于这些网站的爬虫与快照也将是违法行为。这显然并不是一种好的制度设计,对于一般企业而言,这种设计将无法实现企业公开数据的共享与流通。而对于互联网企业来说,这种制度设计除了无法实现平台数据的共享流通,还可能造成互联网企业的封闭与分裂。
2. 企业半公开数据
很多企业所拥有的数据是半公开或部分公开的。对于这类企业数据,对其进行财产权保护是否合理?对此我们可以以数据库的法律保护为例,分析此类数据的财产权保护。数据库是典型的半公开类型的数据,数据库中的数据对少部分人群开放。分析数据库的法律保护,可以发现不同国家与地区对于数据库的权利保护存在很大分歧,而且即使是对数据库保护最为严格的欧盟,也没有赋予数据库绝对性与排他性的财产性权利。
首先,美国的版权法只对数据库中的原创性汇编进行保护,没有对数据库中的整体数据进行保护。根据美国的版权法,数据库可以被视为编辑作品,对于原始数据的选择和汇编,可以给予版权上的保护。但是,此类版权保护只包括对数据库汇编者具有原创性的那些部分,对于非原创性的部分以及数据库所包含的其他基础数据,它们仍然属于公共数据,不受版权法的保护。此外,没有原创性的数据集合也不受版权保护,例如人口统计类的数据就不受版权保护,美国最高法院认为,这些数据只是对客观数据的记录与统计,并没有创造性的因素。美国的一些下级法院曾经创造了“额头上的汗水(sweat of the brow)”或 “勤劳收集(industrious collection)”的教义,认为如果对事实或数据的收集付出了劳动,那么即使此类事实或数据的集合不具有原创性,也应当受到法律的版权保护。 但最高法院明确拒绝了这一点,认为这种推理“损害了版权法的基本原理”。 因此,在美国的法律体制下,对于未经同意而获取此类企业数据,当事人可能会因为违反合同法或侵犯计算机系统等缘由而被认定为违法,但在不存在违反合同法或侵犯计算机系统的情形下,当事人完全可以自由获取此类数据。
欧盟采取了对数据库更为严格的保护。欧盟除了提供对具有原创性的数据选择与汇编提供保护之外,欧盟的数据库指令还赋予了数据库的特殊权利(sui generis rights)保护。 根据这一特殊权利保护的规定,当“创造数据库需要足够的人力、技术和财政资源”时,此时数据库就受到法律保护。 但需要指出的是,即使欧美对数据库进行特殊权利保护,也不意味着这种保护是绝对性与排他性的。数据库权利的保护只防止他人提取或重新使用数据库的实质性部分,或者提取或重新使用数据库全部或大部分内容。但欧盟的特殊权利数据库保护并不禁止提取或重复使用数据库的非实质部分的数据,或者提取数据库中的事实类数据等行为。
因此,美国与欧盟虽然对于企业的半公开数据提供了一定的法律保护,但这种保护更多依赖于版权法、特殊类型的数据库权利、合同法等保护方式,美国与欧盟对此类数据对保护远未达到排他性与绝对性的财产权保护的强度。从法律原理来看,美国与欧盟的法律制度设计是符合数据流通与共享的基本原理的。企业所收集的数据库往往包含了大量的数据,而且此类数据常常包含了非常基本的事实性数据,如果对于此类数据也赋予财产权保护,那将意味着即使无意之间获取此类数据的一部分也属侵犯数据财产权。这种制度设计无疑会极大地妨碍数据的合理流通与共享。
3. 企业非公开数据
法律对于企业非公开数据或商业秘密类数据的保护最接近于财产权保护,但即使如此,法律对于此类数据的保护也与“绝对性、排他性”的财产权保护存在差别。从法律保护手段上来看,法律对于商业秘密的保护是以行为主义的方式来进行保护的,这种保护方式区别于财产权的保护方式,并不赋予商业秘密以绝对性和排他性的权利。例如,中国和德国等地区的法律都将商业秘密放置在反不正当竞争法中加以规定,这就说明保护商业秘密的目的更多在于防止不正当竞争,而非财产权保护。 而在美国,在2016年的《保护商业秘密法》中,美国国会明确表示,该法“不应被解释为与知识产权有关的法律”。根据美国国会的有关立法说明和解释,保护商业秘密,其主要目的在于防止商业秘密间谍活动或违反合同而被盗用,而非鼓励公民或公司保守秘密数据。。对于这种制度安排,其法理基础在于,保护商业秘密并不是为了保护企业数据本身,因为企业的数据其实具有流通价值与公共性价值。相反,保护商业秘密的目的是为了保护商业诚信,防止相关利益方不正当地获取此类数据。
商业秘密的法律保护区别于财产权保护,这还可以从商业秘密的保护力度看出,相比于其他不动产、动产甚至是其他知识产权保护,商业秘密的法律保护力度更小。例如,如果他人通过独立研究而公开商业秘密中所包含的数据,或者通过“反向工程(reverse engineering)”而公开了商业秘密中的数据, 那么此类数据或信息就会立即丧失商业秘密法的保护。从法律对于商业秘密的保护力度可以看出,法律并不禁止所有形式的商业秘密获取与流通,对于他人通过合理努力而破解商业秘密的行为,法律并不禁止。
(三)个人数据与企业数据的多重归属
赋予企业数据以财产性权利,除了上文提到的问题,可能还会面临企业数据权益多重归属的问题,因为企业数据常常包含了大量的个人数据,这使得企业数据很难确立绝对性与排他性财产权。一方面,近年来企业数据的爆发式增长实质上很大程度来源于个人数据。互联网平台上的数据自不必说,其中包含大量的个人数据,而即使线下企业所收集的个人数据,也常常属于个人数据。对于此类数据,个人无疑对其享有一系列的权利或主张。例如个人可以对此类数据行使访问权、删除权、更正权等多种权利。在数据隐私保护最为严格的欧洲,个人甚至可以对此类数据行使数据携带权,即要求数据控制者或网络平台为个人提供转移个人数据的权利。
需要指出的是,个人数据的范围常常比想象的要更为宽泛。因为根据个人数据或个人信息的定义,个人数据或个人信息不仅包括“已识别”的个人数据,而且包括了结合其他数据可以识别个人的数据,这就使得个人数据的范围变得非常宽泛。以互联网企业所收集的海量用户匿名行为数据或用户画像为例,此类数据虽然不能直接识别到具体个人,但可以识别某台电脑、手机或IP地址,而某台电脑、手机或IP地址又可能直接或间接关联到具体个人。因此在有的地区,此类数据被明确界定为个人数据, 例如欧洲就明确在《一般数据保护条例》中将企业对用户行为数据的收集列入法律管辖范围,并且对企业的用户画像行为进行了规制。 在美国,收集用户的匿名消费行为信息虽然存在争议,但也有越来越多的声音认为应该将此类数据视为个人数据。而去美国的联邦执法机构也已经开始探讨,认为应当将此类数据的收集使用列入执法范围。同样,中国的相关讨论也已经越来越重视对此类数据的收集与利用,已经开始将这一类型的数据视为特殊种类的个人数据。
此外需要注意的是,脱敏化处理与匿名化处理也并不一定能够使个人数据转变为非个人数据。在当前企业的数据实践中,脱敏化处理与匿名化处理是企业使用个人数据的一个重要步骤,此类处理可以在一定程度上防止个人数据的泄漏与相关风险。但也有很多文献指出,经过脱敏化处理与匿名化处理的个人数据仍然可以重新被识别,去标识化的个人数据仍然可以变成“已识别”或“可识别”的个人数据。在这个意义上,不能简单地认为企业对个人数据进行处理后,个人数据就已经脱离了个人属性。
总之,赋予企业数据以财产权保护,这可能在很多场景下造成和个人数据保护的冲突。对于包含个人数据的企业数据,一般认为个人应当具有对于此类数据的优先性权利,企业可能对于此类数据具有合理的使用权与处分权,但当个人主张其数据权利,要求访问、更正与删除其个人数据时,企业在负担不是太重的情形下应当满足个人的此类要求。此外,企业对于个人数据的存储与利用也必须承担对个人数据的安全保障义务等义务。企业等此类义务说明,包含个人数据等企业数据常常具有多重归属,而且应当优先考虑个人的数据权利主张。
三、数据共享与数据保护
(一)数据的非排他性与非竞争性
企业对于数据的权益不是绝对性与排他性的,这一点除了现有法律的佐证,还需要法律原理的进一步阐释。毕竟,既有法律并不一定都合理,既然民法可以确立对于动产与不动产的物权法保护,知识产权法可以确立对智力成果的保护,那么未来法律也可能确立对于企业数据权益的财产权保护。
就法律原理而言,保护传统物权或财产权保护有多种理论支持。例如根据洛克等人所提出的劳动创设财产权理论, 当个人通过劳动所得而获取了某项物品,那么此时个人享有对于这项物品的财产权。而经济学与法律经济学则更是提出的各种功利主义理论。例如有的经济学理论提出,缺乏财产权将容易出现公地悲剧,如果没有财产权,那么个人就可能过度使用公地,从而造成公地资源的枯竭。一个著名的例子是,有的地区的草地因为缺乏财产权保护,牧民都将自己家的牲畜在草地上放养,其结果是此类草地被过度使用,造成了草地的荒漠化。还有的经济学理论提出,财产权更有利于为相关利益方提供稳定预期,减少交易费用,因为明确的财产权属有利于市场中的交易方更为快速地识别交易对象,规避风险。缺乏明确的财产确权,市场中的交易方就可能要花费额外的搜寻成本,而且可能在进行市场交易时陷入违法违规的陷阱。此外,财产权也可以提供有效激励,相比起公共财产,个人往往更有动力维护和利用财产,促进个人对财产的增值保值。
需要注意的是,尽管知识产权名义上也属于财产权,但很多保护传统财产权的理由并不能简单适用在知识产权上。例如劳动创造财产权的理论就不适用于知识产权保护,个人或企业可能花费了大量的脑力与体力劳动而发现某一事实,但此类事实却可能缺乏原创性而不受知识产权保护。例如当个人花费大量的脑力劳动而发现某项科学事实或规律,此时个人并不能主张对此类事实或规律的知识产权保护。此外,公地悲剧的理论也不适用于知识产权保护,因为某项智慧成果无论怎么被利用,都不会对智慧成果本身造成损害。在当今知识产权保护的理论中,占据绝对主导地位的仍然是经济学与法律经济学所提出的功利主义理论。在这种理论看来,赋予智力成果以产权保护,这有利于激励个人进行知识创造,促进知识积累与科技进步。
知识产权保护之所以具有不同于传统财产的特殊性,是因为知识产权所保护的对象经常包含数据或信息。而与动产或不动产类的传统财产不同,数据是非排他性(nonexcludable)与非竞争性(nonrival)的。一方面,数据具有非排他性的特征,某人对于数据的使用不会对数据的效用产生影响。因此,数据的公共所有不存在社会成本的问题。动产或不动产的公共所有可能会对某人的动产或不动产造成效用上的影响,但数据的公共所有则不会。这就是为什么知识产权对于智力成果的保护一般不保护数据或知识本身,而只保护原创性的部分。 知识产权只是赋予数据的增量部分以一定的排他性权利,以此换取数据与知识的更多增长。 另一方面,数据还具有非竞争性的特征,即使个人占有数据,他人也可以同时对数据进行占有。因此,数据的公共所有不存在界权成本的问题。动产或不动产权的公共所有可能引起纷争,数据则不存在这个问题。当数据被确定为公共所有,各方完全可以对其尽情使用,除了可能因为流量问题而导致数据的访问拥堵问题,数据的公共所有并不会引起各方争议。而流量问题或数据访问问题从本质上而言是一个技术问题或访问通道问题,并不是数据公共所有带来的问题。
换句话说,如果说传统财产权保护是以私有为原则,以公有为例外,那么对于数据而言,法律对其的保护原则是以公有保护为原则,以私有保护为例外。对此,应当看到数据或信息与传统财产在法律属性上的本质区别。尽管数据或信息越来越具有财产性权益,但数据或信息仍然具有很强的公共属性,应当在法律上促进其开放与共享。如同哈佛大学法学院的本克勒教授所言,“与土地或奶牛不同的是,将信息设定为财产权的对象,并不会产生正面收益。一般的假定是,信息应当可以自由交换,而不是维持封闭性。”
在关于数据库保护的争论中,我们可以更清晰地看到这一逻辑。在美国数据库保护的里程碑案件费斯特案(Feist Publications, Inc. v. Rural Tel. Serv. Co.)中,美国最高法院的九位大法官一致认为“原创性是宪法规定的版权保护的先决条件”。 而法院之所以这么认为,是因为法律并不对人类的知识本身赋予排他性权利,只有那些增加了的知识部分,才能享受法律所赋予的排他性权利。而且,此种排他性权利还受到“合理使用”的限制,即他人可以在学术研究、新闻报道、批评与戏仿等情形中自由使用这些知识,无需获得事先许可。
毋庸置疑,欧洲对于数据库的特殊权利保护强化了数据库的权利保护。但这种制度并未改变法律对数据进行保护的根本原理。如同上文所述,对数据库的特殊权利保护制度主要是防止竞争对手搭便车,从数据库中提取或重新使用全部或大部分内容, 这种制度并不妨碍他人从数据库中提取某些事实性数据。因此,这一制度仍然坚持了基础数据的公有属性;对于数据本身,这一特殊权利保护并没有采取洛克的财产权理论或为美国最高法院所明确拒绝的“额头汗水”教义。 从法律制度的设计来说,不能简单地将劳动财产权理论或“额头汗水”的教义移植到数据财产权理论上,因为数据和传统的物或财产在法律属性具有很大差别。
(二)以数据保护促进数据共享
数据的公共属性并不意味着企业数据无需法律保护。相反,企业数据权益的合理保护恰巧可以促进数据共享,数据共享的目标恰巧需要合理保护企业的数据权益。
首先,对企业数据权益提供合理保护,有助于企业进行数据生产,提高数据的总体数量与整体质量。我们知道,知识产权保护的重要原因之一就在于鼓励创新,通过赋予企业以独占性的版权或专利权,这可以鼓励企业进行风险投资,创造新的和有价值的智力成果。这一原理无疑也适用于数据生产。通过合理保护企业数据权益,企业将避免数据收集与数据使用中被竞争对手搭便车的风险,更有动力收集更多数据与进行更有价值的数据分析。相反,如果法律对于企业数据的合理保护不足,那么企业可能就会在数据的主动收集与利用方面缺乏动力,企业可能会更多依赖于搭便车地方式来获取数据。
其次,对企业数据权益提供合理保护,有助于企业开放数据与共享数据。对于企业所拥有的半公开或非公开数据,当法律对企业数据提供足够保护,避免此类数据的公开与获取不会对企业形成竞争劣势,那么此时企业就可能选择更多地公开此类数据或信息。毕竟,企业数据的公开也是一种企业的软实力,可以辐射下游企业与其他相关企业与个人,促使其他企业与个人更为关注与依赖该企业。此外,如同马克·莱姆尼(Mark Lemely)所指出的,在涉及商业秘密的情形中,当法律为商业秘密提供法律保护,企业就更倾向于不对非公开数据采取极端的保密措施;同时,商业秘密数据也可以得以进入交易市场,为商业秘密数据的流通与扩散提供可能。
对于企业所收集的公开数据,例如网络平台的数据,法律的合理保护也有助于此类数据的流通与共享。上文提到,此类数据常常被认为是位于公共领域的数据,原则上具有公共性。但如果法律不对此类数据提供合理保护,从法律上防止平台企业的不正当竞争与越界行为,那么被爬虫的互联网平台不但会承受流量压力,而且为了避免竞争或潜在竞争,互联网平台还可能自行设置更多的壁垒或更多的反爬虫技术,而此类技术可能甚至会防止一般用户爬取此类数据。对于互联网的互联互通与数据流通来说,这显然不是一件好事,因为此类壁垒与技术设置不但不利于一般用户获取数据与信息,而且也使互联网平台无法有效地扩散信息与吸引用户。
四、企业数据法律保护的制度设计
对于数据属性与原理的分析提示我们重新思考企业数据保护的制度设计。一方面,如上所述,法律不应对企业数据采取绝对性与排他性的财产权保护。另一方面,法律应当适度创新企业数据权益的制度设计,以更为合理的制度体系维持数据保护与数据共享的共赢。以不同类型的企业数据为例,法律应当进行不同种类的制度设计。
(一)企业不同类型数据保护的制度设计
1. 企业非公开数据
首先,对于非公开的企业数据,这类企业数据在符合商业秘密的前提下,应当受到商业秘密的法律保护,商业秘密的法律保护可以防止企业数据受到不同类型对象的盗用或不当使用。因为商业秘密的法律保护本身就是一种混同性的法律保护方式,其中包含了竞争法、合同法、侵权法、(非排他性的)财产法等多种法律保护手段,是一种企业数据的综合性保护方式。它可以提供针对竞争对手违反商业道德的数据使用, 可以提供针对有合同关系的企业高管、员工或签约方的合同法保护, 也可以提供针对陌生人或不特定第三人的侵权法保护。
2. 企业半公开数据
其次,对于企业半公开的数据或数据库类型的数据,法律除了允许企业运用合同法等传统法律保护此类数据之外,还可以在法律上借鉴类似欧盟等特殊类型的数据库保护。法律可以赋予此类企业数据以一定的排他性权利,这种权利可以防止第三方通过爬虫等方式获取数据整体或企业数据的实质性部分,也可以防止竞争对手或潜在竞争对手对此种数据的运用。
3. 企业公开数据
对于互联网企业平台的公开数据,基于反不正当竞争的法律保护似乎仍然是最为可取的进路。对于爬取此类数据是否侵害企业数据权益,构成不正当竞争,应当根据商业领域的行业惯例与共识来进行判断。竞争法的确有规则不确定性的问题,而行业惯例也未必就是合理的, 但经由具体行业惯例与行业共识来逐渐树立规则,仍然是确定数据保护边界的最佳方法。
这首先是因为,在互联网平台的数据争议中,传统私法很难给出答案。就财产权或财产性权益而言,互联网平台数据一方面被认为一开始就已经位于公共领域,因而属于公共数据;但另一方面,此类数据又具有类似数据库的某些特征,因而也应当得到某种程度的保护。而就合同法而言,互联网平台自行设置的保护数据的Robots协议与技术措施来说一方面可被视为是有效的格式条款,因而具有合同意思表示的效力; 但另一方面,此类协议与措施又可能因为违反互联网的开放性或具有歧视性而被认定为无效。 最后,就侵权法而言,在数据属性与格式合同有效性尚未确定的情形下,侵权法也无法对数据爬虫行为进行定性。总之,无论是财产法、合同法还是侵权法,都不可能对平台之间的数据争议提供确定性的规则。
相比起财产法、合同法、侵权法等传统私法,在具体场景中诉诸反不正当竞争法与行业惯例,进行个案化的判断,则可能进行较为合理判断。例如,当爬虫一方属于搜素引擎或更具有一定公益性质的互联网平台时,此时应当更多允许数据爬虫,因为此类数据爬虫能促进数据的公益性;当某被爬虫的平台属于中小企业或初创企业时,应当允许此类企业更多设置技术壁垒,因为对于此类企业数据赋予类似数据库特殊权利的保护更有利于促进良性竞争。总之,反不正当竞争法未必可以提供确切性的法律规则,但反不正当竞争法的这一缺点却也正是其优点所在,相比起其他传统私法,反不正当竞争法可以更为场景化地对数据争议做出判断。
(二)激励企业数据共享的制度设计
法律除了对于不同类型的企业数据提供保护之外,还应当为企业主动公开的企业数据提供合理保护,为企业公开与共享其数据提供激励。当前,企业数据的集中与垄断现象越来越明显,数据的共享与重新使用却越来越变为一个难题。这一现象之所以出现,除了少量的互联网企业巨头掌握了海量的数据之外,另一个原因是,企业惧怕自己的数据一旦被公开与共享,就会丧失法律的保护,被竞争对手不正当利用。因此,法律如果对于企业主动公开的数据设置特殊类型的法律保护,将有利于鼓励企业数据的开放与共享。
就具体制度而言,法律可以考虑创新此类企业数据的保护方式,对于企业主动公开的数据,也可以允许企业申请对于此类数据的特殊法律保护。一方面,法律可以赋予此类企业数据以一定的排他性权利,允许企业设置访问此类数据的黑名单与白名单。另一方面,这种排他性权利又不应当是绝对的,法律应当将此类企业数据的合理使用作为其保护的前提,即此类企业数据应当允许相关方对其的合理使用。例如此类企业数据应当允许科研使用,允许搜索引擎进行合理的数据爬虫。此外,法律还应当允许第三方从此类数据中获取事实类数据。
(三)企业数据与个人数据的协调保护
对于包含个人数据的企业数据,个人数据保护的优先性已经成为共识。不但法院和社会公众更关心个人数据保护,企业也常常会以个人数据保护的名义争夺话语权。例如在华为与腾讯在抓取用户聊天记录的争议中,腾讯所提出的理由就是华为的荣耀手机会侵犯个人数据权益; 在微博诉脉脉案、 领英诉HiQ案等案中, 微博和领英也主张对方企业的数据爬虫与个人数据权益相冲突。
因此,就制度设计而言,企业数据的运用应当首先保证个人对于其数据的一系列权利。充分的个人数据保护不但具有优先性与正当性,能够有效维护用户的相关权益,同时,这种保护也有助于企业合理地收集与运用个人数据,因为充分的个人数据保护有助于用户提高对企业的信任,从而为企业收集与运用个人数据提供前提。其次,我们也应当意识到,个人数据保护的最终目的在于促进数据的合理流通,而非实现个人数据的隔离与封闭。 与企业数据保护的原理一样,保护个人数据并不能以绝对的财产权或人格权的思维方式进行保护,因为个人数据虽然具有财产权或人格权的特征,但个人数据也同样具有一定的流通属性与公共属性。 法律在保护个人数据的同时,除了回应个人对于其数据权益的期待之外,也应当为此类个人数据的合理利用提供空间。唯此,法律才能实现对个人数据与企业数据进行协同保护,平衡个人的数据隐私期待与企业对于数据合理利用的期待。
五、结语
今天,数据对于企业的重要性已经毋庸置疑,数据作为新时代的“石油”的类比也早已经深入人心。但企业数据如何得到恰当保护?本文的分析首先阐释了数据的公共性,质疑和批判了以绝对性与排他性的财产权框架保护企业数据的思路,阐述了数据的非排他性与非竞争性特征。尽管数据常常被类比为石油,但本文指出,此类比喻仅仅反映了数据多重属性的一种。这种比喻反映了数据日益增长的财产权属性,而没有反映数据的公共属性。事实上,对于数据与信息,已经有很多观点做出了其他类比,在这些观点看来,数据更像是空气,数据与空气都可以为公众所共享;数据甚至更像是火光,当数据与火光的传播越广泛,其照亮与受益的人群就越多。
当然,数据的公共性并不意味着企业数据权益无需保护。恰巧相反,强化企业数据权益的合理保护,有利于促进数据的开放与共享。当法律对企业数据权益提供充分保护时,企业将有更多的激励与保障去收集数据与生产数据,对数据进行更为高质量的处理与分析。此外,在法律制度的合理保护下,企业数据也将有更多的动力公开与共享数据,避免对数据采取过多的保密性措施或防护性措施。
在具体制度设计上,保护企业数据权益有赖于类型化与场景化的制度设计。首先法律应当为不同类型的数据提供类型化的保护:对于非公开类企业数据,应当提供商业秘密保护;对于半公开的企业数据,应当提供类似欧盟数据库权利的保护;对于公开的互联网平台数据,应当采取竞争法的保护,保护平台数据权益不受合理侵犯,同时保证互联网平台数据的开放与共享。其次,法律应当为企业主动公开的数据提供特殊类型的法律保护,应当允许企业设置黑名单与白名单,以此激励企业公开与共享更多的数据。最后,当企业数据含有个人数据时,个人数据权益从总体上说优先于企业数据权益,但也应当注重个人数据的合理流通与利用,实现个人数据隐私期待与企业数据权益的协调保护。
相关阅读 ·
商品书目 ·
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
数字法治战略合作伙伴:理财魔方
北京市竞天公诚律师事务所上海分所