郭少飞、李彤：数据侵权责任认定难题及其克服

郭少飞

河南师范大学法学院副教授

李彤

河南师范大学私法研究中心助理研究员

本文原载于《求是学刊》2022年第4期，转载对注释与参考文献进行了省略。

摘要

抖音群控案涉及以群控系统侵犯他人数据权益，而裁判以不正当竞争为由，展露出数据侵权责任认定中传统侵权责任构成要件不易适用、赔偿数额难以确定、受害人举证责任过重等三大难题。对此，在责任构成方面，类型及内容丰富的数据权益应确定为侵权责任法的保护对象，加害人主观过错判断以主客观过错说为准；鉴于数据的无形性、价值不确定性，为充分实现侵权责任法填补和预防功能，周全保护受害人，应构建数据侵权惩罚性赔偿制度，赔偿金额采取无限额模式，倍数则根据加害人过错程度、侵权行为情节等综合确定；举证责任需合理分配，普通数据侵权案件适用一般举证责任规则，惩罚性赔偿案件则实行举证责任倒置，受害人完成初步举证后，由加害人证明其非故意、情节不严重。

关键词：

数据；企业数据权；侵权责任；惩罚性赔偿；举证责任倒置

正文

一

问题的提出

在这个智能互联网蓬勃发展的时代，人类社会更加网络化、数字化、可视化，人们将自己的日常生活、知识经验等制作成视频分享给他人已属常态。为此，专业公司开发出流行APP，供人们上传、交流、阅览视频，获得巨额网络流量和众多忠实用户，从而在数字经济竞争中构筑起强大的市场优势。数据一类核心经济要素成为争夺焦点，有些市场主体为了达到非法营利的目的，利用群控系统以新型技术侵犯他人经营累积的数据资源，即典型方式之一。2020 年7 月3 日，浙江省杭州市西湖区人民法院就抖音群控案作出停止侵权裁决，同意北京微播视界科技有限公司（以下简称“微播视界公司”）的请求，判令杭州永骏网络信息服务有限公司（以下简称“永骏公司”）立即停止宣传、推广、销售、运营针对抖音APP 的群控营销系统，宣告了以“群控系统”操控获取他人数据流量的非法性。同年终审的“微信群控案”，法院基于几乎相同的理由，认定针对微信社交软件的群控系统非法。虽然裁判以反不正当竞争之名告一段落，但其中隐含着诸多数据侵权法律适用困境仍未厘清，如传统侵权责任成立要件不易适用于新技术条件下的数据侵权，赔偿金额难以确定等，有必要深入研究。为此，本文以抖音群控案为例，展开深入研究，试图构建数据侵权责任认定的基准制度框架。

抖音群控案涉及我国非常流行的抖音APP，它是一款由微播视界公司运营的视频社交应用软件，经长期经营发展已经成为视频社交领域主流产品，受到人们追捧。该案中，永骏公司采取营销手段推广“抖音云控”网站以及“抖音云控”系统，吸引抖音播主下载安装群控系统或设定与群控软件相关的账号，利用群控系统批量登录抖音账号、自动随机点赞、转发等，高效便捷地博取普通抖音用户关注，增加抖音播主网络流量及知名度。永骏公司可以通过群控系统实时查看抖音播主在抖音APP 上的操作和活动，取得播主及与之关联的抖音用户的数据信息。对此，微播视界公司提起诉讼，认为永骏公司利用群控系统，人为操纵引导流量，截取抖音用户数据，不仅大幅度降低了抖音用户的使用体验，还涉嫌侵害微播视界公司的数据权益。永骏公司辩称，自己无主观恶意，涉案群控系统是从第三方公司购买的，并非自己开发，不知道系统存在侵权、违反竞争规则的风险；况且，群控系统没有达到预期的运行效果，未影响抖音APP 运营，自身并未获得巨额收益。

群控案向我们发出一个时代之问：在数字经济时代，数据成为新型基本生产要素，是网络科技公司等市场主体的核心竞争力所系，到底应当如何保护？“抖音群控案”“微信群控案”的案由均系反不正当竞争纠纷，此乃当下司法实践惯常采用的保护进路。法院通常认为，企业对用户累积的数据或整体数据资源享有竞争性权益，进而认定加害人的行为构成不正当竞争。然而，反不正当竞争保护主要指向经营者，依据《反不正当竞争法》第2 条第3 款即商主体，然而数据类型丰富，权益主体范围广泛，非反不正当竞争保护所能覆盖。至于受害人企业数据权益性质、内容等语焉不详，范畴笼统模糊，反不正当竞争法保护方式间接、成效有限。从社会制度需求出发，有必要全面构建数据权益保护体系，侵权责任法提供基于数据权益的直接法律保障，反不正当竞争法实施间接特定的兜底保护，补充侵权责任法不完备之处。

侵权责任法数据保护功用不彰，皆因背后蕴含着更为实质的难题，具体可细分为以下一般性命题：其一，侵权责任成立要件适用判断。数据权益是否属于侵权责任法保护的对象范畴，仍未明确。过错认定标准在特定技术条件下需要重新厘定。损害等行为后果确认也非易事，这恰恰是一众加害人抗辩的事由之一：没有造成不利后果。其二，侵权损害赔偿数额确定。数据具有无形性特点，遭受侵害后的实际损失不易计算。而加害人侵权获利或违法所得不多甚至缺无，以其为准难以弥补受害人损失，也不足以威慑加害人。其三，受害人举证责任配置。数据侵权行为发生在网络虚拟空间，隐蔽性强，侵权证据搜集难度大，而加害人透过用户间接获取数据的方式加剧了搜证困难。面对个案中当事人举证能力强弱之别，应通过合理分配举证责任有所因应。

从长远看，基于智能互联网的数字经济在国家发展中将占据愈发重要的地位。我国“十四五规划”提出建设数字中国，促进数字社会发展。新科技在推动社会系统演变之余，新型网络侵权频发，非法获取他人数据情形普遍。这不仅需要以反不正当竞争法保护，而且亟待明晰数据权益归属，强化侵权责任法保护。面对新技术条件下的数据侵权，有必要着力从行为方式、场景、对象特点等方面完善侵权责任制度，衡平并充分保障各方利益，促进我国数字经济快速发展。

二

数据侵权责任认定困境

我国《民法典》侵权责任编规定了网络侵权，但面对网络环境下利用新技术实施的数据侵权，如何认定侵权责任依然存在不少困难。群控系统较普通网络更为复杂，问题更加凸显，下文结合抖音群控案，具体阐述数据侵权责任认定诸困境。

（一）侵权责任成立要件不易适用

研究侵权构成要件的目的，重点是在排除责任阻却事由的前提下，界定一个可供参考的标准，而非为了简单地进行比对。在数据侵权责任构成要件中，标准问题集中于侵权行为及主观要件适用两个方面。

1.数据侵权行为判定标准不清晰

数据侵权行为不易判定主要源于两个基本问题尚未厘清。一是，用户与企业的数据权益分配问题。在抖音群控案中，抖音播主用户对其在抖音上的行为数据享有何种权益？平台微播视界公司又享有何种权益？用户是否有权同意第三方如永骏公司取得其抖音数据？二是，企业数据权益是否属于侵权责任法保护的对象范畴？

我国《民法典》总则编第127 条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”但当下尚无法律明确规定数据权利及归属，甚至数据的范畴、法律定位、法律属性等皆有较大争议。依法解释论，数据至少可以认定为一种法益，甚至作为一类全新的财产对待目前，我国学界关于数据权利主体主要有三种观点：一是数据权利属于个人；二是归企业享有，分别对应个人数据权与企业数据权；第三种观点认为个人与企业分享数据权益。在抖音群控案中，数据系当事人争议焦点，微播视界公司运营模式有赖于抖音用户对视频点赞、评论或者转发等反馈方式产生并被整合而成的数据，永骏公司使用群控技术截取数据是一种数据抓取行为。

而永骏公司以群控技术引导的抖音流量，实乃动态的抖音数据。网络流量，即网站或APP 访问量，虽然是用户在网络上的数量表征，但在网络虚拟空间表现为数据的规模及动态流动。作为数量概念，流量通常包括用户数量（以IP 为准）、浏览数量、用户停留时间、文件下载数量等，对APP 而言还有点赞数、转发数等反映用户使用情况的数据，甚至包括用户设备、操作系统、浏览器等数据。总体而言，流量是一定时段内网站或APP 及其模块或单一产品获得用户关注状况的概括。流量是数据流、数据量，是对特定时间内发生的数据以及数据变化的侧写，在某一时点即静态数据，从内容看有体现网站或APP 使用效果的数据、用户行为数据、用户物理设备数据等，具有总体性、系统性、流动性特点。然而，这些数据的类型、来源、个人识别性、利益关系等非常复杂，到底属于用户、企业，或者按类型分属各方主体，依然充满争议。

数据权益尚未明晰，可否纳入侵权责任法保护范畴颇有疑问。《民法典》侵权责任编第1165、1166条强调侵权行为须造成他人民事权益损害，而民事权益范围需要依据《民法典》总则编民事权利章确定。从权益保护的角度，数据既然已为《民法典》规定，即应受法律保护，但问题并非如此简单。数据只是信息形式，其属性及定位与信息内容密不可分。在技术意义上，数据作为比特形式电磁记录的排列组合，内容丰富多样，相互区分。许多数据承载着现行权利客体，并受该权利保护：若系可识别自然人的信息，该数据应受个人信息保护；若系智慧财产，可受知识产权保护；或者表征现实权利的凭证、电子证券。也有几无价值，无权利保护必要的数据。企业数据若来自用户，即涉他数据，数据权利对象范畴及限度需要根据用户数据类型及属性、企业取得用户数据的基础法律关系等确定，情形复杂，须分场景一一甄别，厘定权属。

此外，由于数据尤其企业数据的无形性、海量等特点，较难查明数据侵权行为的违法性与侵害程度。微播视界公司诉称永骏公司行为扰乱了抖音分发视频的精准度。然而，分发视频是基于该公司整合的全体抖音用户的反馈数据，其中哪些是群控系统掺假数据所致的算法运行紊乱难以分辨，即使可以辨别，成本非常高，精确度受损程度更难证明。如果仅把虚假数据掺杂到企业整合的用户数据中，在何种程度上属于侵害企业数据权益，尚需深入探究。

2.新技术加剧主观要件判断难度

在侵权责任法的基本理论和制度框架下，我国侵权归责以过错责任为主，以过错推定以及无过错责任为辅，遵循着大陆法系从罗马法（阿奎利亚法）以来的侵权法思路。司法实践中，法院认定加害人主观过错，会综合考虑受保护利益的价值和性质、行为的危险性、可期待行为人的专业知识、损失的可预见性等，因素众多，殊为不易。然而，新技术造成认知难题，法官缺乏专业技术知识，判断到底是客观合理的技术风险抑或可归责的过错行为时，往往陷入迷惘。此外，如抖音群控案，永骏公司经由抖音播主实施操控行为，搜集抖音数据。此类间接行为的主观可归责性判定，需要视具体情形，综合多种因素，如数据主体同意与否和“一般人”主体标准下的行为可预期性、行为持续时间、影响范围等。

（二）赔偿数额难以界定

1.赔偿数额判定标准有欠缺

具体个案中损害赔偿额会在法定赔偿额度内，根据侵权情节及后果严重程度等酌情调整，但仍然存在法定数额低且无具体数额分档、自由裁量空间较大等不足。如专利侵权损害赔偿，在司法实践中以法定赔偿为主流方式，达到94%的极高比例。无可否认，无形财产侵权损害赔偿数额厘定确实存在客观困难，但制度缺漏也较为明显，应当着力完善，提供更加细化的标准体系。抖音群控案涉及的数据流量与智慧财产类似，具有显著的无形性，在经济价值判断方面存在相同困难，而群控系统对抖音生态系统的侵扰所造成的损失更是难以评估。若参考现有法定赔偿制度，一方面于法无据，另一方面即使按最高的500 万元赔偿标准，在一些案件中仍然存在不足以填补受害人全部损失的可能。

2.损害价值难以估算

从经营者角度，数据是互联网企业经营之本，其重要性显而易见。根据著名的梅特卡夫定律（Metcalfe’s Law），网络的价值等于网络内节点数的平方，且与联网用户数的平方成正比。在大数据时代，企业数据流量作为无形资产的地位功用已经和有形资产并驾齐驱，且大有超越之势。对此，互联网企业通过用户的网页浏览、社交数据、购买记录等数据，分析用户的习惯、爱好、性格、信仰等，对用户进行数据画像，调校算法模型，从而实现个性化推荐、广告精准投放等。在抖音群控案中，微播视界公司搜集用户使用抖音APP 时的点赞数据、观看时间或购买播主推荐物品的记录等数据，分析用户的视频偏好，推送视频；对抖音APP 用户注册填写的个人数据进行开发利用，以改进产品，增加用户黏性。

企业数据流量受损，会损害其竞争优势，削弱其市场地位。特别是，数据流量主要来自全体用户，致使单一用户尤其是普通用户的数据价值看起来并不显著，且因无交易市场及价格标准，不易衡量，定价主观性大。企业全部数据流量庞大，如果侵权仅涉及部分，对整体而言不仅实际损失难以厘定，而且局部侵害与整体受损之间的因果关系存在不确定性，特别容易发生争议。在抖音群控案中，由于群控系统的智能化、批量化等特性，永骏公司以少量成本便可实施群控行为。从预防角度，需要从用户注册审核、异常行为预警、异常行为认定、合理措施实施、用户投诉处理等环节，构建闭合制度体系，组建相关部门，成本非常高。若措施过于严格繁琐，势必降低用户友好度，丧失吸引力。而潜在的数据流量损失，企业竞争优势的弱化甚至消解，更是无法估值。

（三）受害人举证责任过重

根据我国《民事诉讼法》第64 条及相关司法解释规定，普通民事侵权案件通常采用“谁主张谁举证”的一般举证规则，举证不能则承担不利法律后果。在新技术网络侵权案件中，受害人承担主要举证责任，面临特定网络环境或新技术所生的诸多困境，举证责任与其举证能力、案件证据的分布状况不匹配。

其一，一般举证责任规则下，受害人举证责任大。在抖音群控案中，受害方微播视界公司主张，永骏公司实施侵权行为且有主观恶意，不及时禁止永骏公司利用涉案群控系统，必然会给自身造成难以弥补的损害。在民事诉讼中，按照一般举证责任，微播视界公司需要举证证明永骏公司实施侵权行为，造成损害结果，二者具有因果关系，以及永骏公司主观上存在过错。举证所涉事项、范围及责任程度等，与现实世界里的侵权案件无异。这不符合虚拟空间侵权案件特点及证据形态、分布状况等。

其二，电子证据占比高，加大举证难度。因群控系统的特殊性，抖音群控案与传统侵权案件相比较，电子证据在全案证据中占比极高，且与简易网络侵权案件相比，技术性强。电子证据存在易篡改销毁的缺陷，加害人可利用特定技术予以修改；一些意外因素也可能导致电子证据被破坏或丢失；加害人侵权行为及损害后果自发生之日起，在网络环境中随时间流变快速移转，难以保持稳定。这些因素大大加剧了电子证据搜证存证难度。而内容可变、单方留存并提供，令电子证据的真实性、客观性判断陷入困境。

VLOOKUP函数以其灵活多变的数据查询和调取功能在现实生活中广泛应用，在高校各项管理工作中实现了学生信息数据的整合共享，方便了工作人员对数据的整理与规范。

其三，涉案证据主要由加害人掌握。数据侵权涉及他人数据系统，一定程度上会在他人系统中留下痕迹，但从侵权全程看，与受害人系统连接的侵权技术系统由加害人控制并利用，从侵权行为实施到加害后果等证据也主要由加害人占有。抖音群控案中，永骏公司部署群控系统，获取群控行为数据及用户抖音数据。例如，证明侵权人所获利润的证据大多数由侵权人一方掌握，受害方获得侵权人经营状况的资料非常困难。

其四，受害人举证能力不充足。在网络侵权中，受害人不一定拥有相当的知识与技术能力，即使如微播视界公司，也面临跨系统带来的特定困难，在举证方面处于被动。而前期电子证据固定、聘请代理人、诉讼费用等成本高昂，需要一定经济实力，受害人经济能力一般通常会进一步削弱其举证能力。即便仅就赔偿金额而言，受害人举证难度仍然较高，不仅涉及表面的直接损失，还包括更多的隐形损失，如用户数据流量下降、技术系统生态损害等。

总之，完全由受害人承担侵权损害赔偿举证责任，不仅影响受害人损害赔偿请求权行使，还有悖于民事诉讼举证责任公平原则。传统举证责任对于抖音群控案之类的案件并不完全适宜，受害人举证责任过重，与其举证能力不匹配，需要在当事人之间合理分配举证责任。

三

数据侵权责任认定难题的克服

数据侵权责任认定通常涉及新型技术与网络环境双重因素，相较于现实世界的侵权案件或者纯粹虚拟空间发生的普通侵权案件，存在诸多认定难题。解决之道在于，根植侵权所用技术系统及所在网络特性，考量行为场景、行为方式、利益关系等，健全数据侵权法律制度。

（一）明确侵权责任认定标准

侵权责任认定通常需要全面审查是否符合侵权责任构成四要件。利用群控系统等新技术的数据侵权责任要件认定，相较于一般侵权责任要件，焦点在于侵权行为本身及加害人主观状态。

1.侵权行为判断

利用特定技术获取他人运营的软件系统中的数据是否属于侵权行为，需要从行为对象、受害人权益、违法性等层面具体分析。

其一，数据权益系侵权责任法保护对象。虽然数据的法律地位未明，但显而易见，数据承载着精神利益与财产利益，具有保护的价值基础和必要性。然而，可否作为侵权责任法保护对象仍存在不确定性。按传统理论，侵权责任法通常保护绝对权，相对权仅在特殊情形下才受到侵权责任法保护。那么，数据权益是何种性质的权利呢？数据可分为形式意义的数据文件与内容层面的数据信息。数据作为信息技术概念主要是一种电磁记录，对人类社会而言数据的价值系其蕴含或负载的内容，数据定位必须根植于数据信息内容。数据记录的具体信息丰富多样，以可归属的现行权利为准，包括知识产权类数据、个人信息类数据、网络原生数据、与现实财产权关联数据，以及无价值而无权利保护必要的一般数据，等等。若系承载现有绝对权的数据，当然应作为侵权责任法的保护对象。

其二，企业数据权益应得到认可。数据流量对于企业意义重大，毋庸置疑。当下科技企业恰恰基于其搜集占有的海量用户数据，打造改善自己的技术系统或产品，增加用户黏性，构筑数据护城河。在用户和企业之间，存在数据权益分配问题。以抖音为例，平台公司掌握大量的用户数据，这些数据累积为企业数据优势。企业对其控制的源于用户的数据具有重大利益关系，应当得到保护。具体方式及力度需要根据数据类型、数据承载的利益性质、用户与企业法律关系、数据处理方式等确定。比如，用户登录APP 的时间、频次、持续时间、获赞次数、点赞次数、转发次数等，对于企业完善信息技术服务、优化技术系统生态非常必要，不涉及个人信息，企业应享有数据权益。可见，对于用户利用企业网络平台或APP 产生的数据，虽然企业不能当然取得全部数据权益，但至少享有一定的合法利益，该利益也不容他人侵害，应当在权利化基础上实施保护。至于企业数据权利结构及边界，待他文专论。

其三，用户同意不必然构成免责事由。在抖音群控案中，使用群控系统的抖音用户能够以群控方式操控引导其他抖音用户流量，永骏公司则取得使用其系统的抖音用户的抖音数据。在群控系统运行过程中，经用户同意，取得用户抖音数据是否合法呢？此须视数据类型、用户数据权益、用户与企业协议等确定。

首先，企业拥有数据权益，用户仅享有债权属性的权益，通常用户无权允许他人取得相关数据，除非企业与用户有特别约定或者法律有例外规定。比如购买在线音乐，用户只是取得在特定期限内请求企业依约提供音乐供自己使用的债权，不享有音乐数据本体权利，用户不能排斥企业或第三人对音乐数据的使用。此时，用户对数据不享有绝对权，当然无权同意他人取得数据。

其次，用户在网络平台留下的效果评价数据、行为数据、物理设备数据等，若无识别性，不属于个人信息，应归于企业，用户无权同意第三人获取。此外，在网络空间使用最普遍的用户个人账号，性质复杂，存在债权说、物权说或新型财产说等，最终应综合判定其归属。以私人电子邮箱为例，邮箱本体由服务商构造，用户仅仅注册设置登录名及密码，取得特定电子邮箱的使用权，该权利应认定为债权使用权，而邮箱账号作为用户个人信息由用户享有个人信息权益。对于此等享有人格权益的电子邮箱，用户当然有权对外同意处理。

最后，用户享有绝对权的数据，企业无排他性权益，用户仍可授权他人取得。数据属于用户所有，例如用户注册时提交的姓名、手机号码等，用户使用APP 时上载的个人照片、视频等，可识别该用户，根据《民法典》《个人信息保护法》，属于个人信息。按照用户与企业之间的许可协议、隐私协议、最终协议等，此类数据可由企业处理，用于特定目的，但无碍用户把它们再次交由他人处理。企业不享有排他性权益的用户数据，用户仍然有权同意第三方处理，第三方一般不侵害企业数据权益。

但是，对于用户可授权第三人处理的数据，第三人直接接入持有企业的网络平台系统或APP，获取该用户的信息数据，按照目前我国司法实践的主流做法，第三人尚需取得持有企业的同意。此乃“三重授权”原则。据此，当下仅仅用户同意不一定能够免责。从数据合规角度说来，用户可就个人信息类数据依法主张可携带权，或要求持有企业提供储存的此类数据，转交第三人。实际上，“三重授权”界权方案对个体权益的保护效果有限，也难以促进数据流动，现实中更常被用于第三人无法得到持有企业授权一类纠纷。用户即数据权益主体同意的法律意义需要持续深入探讨。

2.过错要件厘定

我国理论界关于过错的学说主要有三种：主观过错说、客观过错说以及主客观过错说。主观过错说以行为人心理状态为判定标准。单以此说为据，抖音群控案中受害人微播视界公司的权益难以得到有效保障。众所周知，主观过错判断不只是以加害人个体的主观状态论，尚需诉诸一般人的认识能力、预见能力、注意义务等。若仅以主观论，无法有效判断永骏公司的心理状态，无法查明是因疏忽大意、过于自信，还是由于缺乏常识所致。毕竟法人是法律拟制的产物，其行为由自然人实施，法人过错判断需要基于自然人主观认知、职务行为情节等。客观过错说是以行为侵犯他人合法权益为标准。此说对于加害人行为自由约束过巨，它忽略了行为人的主观心理状态，同时限制了行为人的主观能动性和创造性，过于刻板化。

数据侵权的过错判断应采取主客观过错说。该说以主客观相结合的方式认定过错，不仅考量行为人的主观心理状态，同时设置特定行为标准。以客观行为推断主观心理，以主观状态映照行为方式，开展有迹可循、有据可查的主观过错判断。比如抖音群控案中，以群控方式在手机上操作多个抖音账号，虚假提升特定账号知名度，吸引其他用户关注点赞。显然，这一系列行为均系明知而为之，但对于行为违法性、侵害他人权益的损害后果是否也有过错呢？按照社会通识，行为人实施虚假行为，其行为的违法性非常显著，应属知道。至于损害后果，应当说不超出其主观认识范畴，毕竟一项非法行为产生损害的可能性极大，已经成为社会共识。故加害人以不知违法、未有损害等为由抗辩，均不成立。此外，如果加害人是商主体，相较于普通民事主体，经济实力强，认知水平高，注意义务大，过错认定门槛相对要低。

（二）建立数据侵权惩罚性赔偿制度

1.构建数据侵权惩罚性赔偿制度的必要性

为克服上述数据侵权认定难题，周全保护数据权益人，需要开展前瞻性理论研究，引入数据侵权惩罚性赔偿制度。具体而言，可从宏观社会经济与微观制度功能实现两个层面厘清。

人类社会历经“手工工具时代”“机器时代”以及“社会基础设施时代”，呈现由农耕文明、工业文明到信息文明的变迁，当下受源于大数据、人工智能等新兴技术的智能革命影响，“智能化社会”渐成，“智能时代”已来。从生产要素的角度观察，由农业及工业时代的土地厂房等有形资本，演进至智慧财产等无形资本，当下数据资源成为基本生产要素；在权利形态上，经历了以物权为重的有形财产权，到以知识产权为核心的无形财产权的转变，目前以数据为中心的确权、交易、保护等法律制度正在持续构建。在知识产权领域，鉴于智慧财产之于知识经济的重要性及特性，已普遍实行知识产权侵权惩罚性赔偿。而数据，作为数字经济的新“石油”，成为全球市场竞争焦点，关系国家未来地位。基于经济社会的历史变迁、当下数字经济发展所需、资源要素重心转移趋势，以及知识经济与知识产权制度交互经验，有必要实行数据侵权惩罚性赔偿制度。

此外，在微观制度层面，普通侵权损害赔偿有时难以弥补数据权益人损失，阻遏加害人。数据侵权惩罚性赔偿制度有利于侵权责任法两大功能的实现。其一，有利于填补数据流量损害。普通侵权损害赔偿制度在数据领域存在赔偿不充分的问题。在数据侵权案件中，有时加害人获利或违法所得数额小，但危害大；受害人的直接损失低甚至没有，但间接损失大。以受害人实际损失、加害人获利、法定赔偿额等为准，均可能不足以填补受害人损失或成本。在抖音群控案里，受害方微播视界公司为防范甄别虚假流量、数据、账号，不断调整升级风控模型，已经付出了高昂的运营成本。面对永骏公司的侵权行为，微播视界公司须支付较高的维权成本，消除群控系统带来的不良影响。如果加害人使用攻击篡改等恶劣手段，恶意大规模引导流量，破坏他人技术系统生态，损害后果更严重，此时惩罚性赔偿才能周全的保护受害人。当然，数据侵权并非全部恶劣严重，不宜统一适用惩罚性赔偿制度，应设定适用条件，限定适用范围。

其二，数据侵权惩罚性赔偿制度更加有利于实现侵权责任法预防功能。侵权法上的赔偿不应局限在填平损害上，而应随着侵权行为人被发现的概率而增加，以促进侵权行为的成本内部化，从而阻却侵权行为的发生。数据侵权惩罚性赔偿亦应如此。个案中，实际损失与获利均少，但加害人主观恶性强，情节或后果严重，如导致受害人市场地位显著下降，以现有赔偿标准不足以阻吓加害人。在大数据时代，围绕数据这一基本经济要素的竞争愈发激烈，不排除恶意侵权、以性质恶劣的方式侵权，或负担可承受的法律责任，把受害人置于困境甚至绝境。凡此种种数据侵权损害情形，普通侵权损害赔偿不足以应对，为严厉惩戒侵权者，预防侵权行为的发生，应建立惩罚性赔偿机制，以全面保护当事人数据利益。永骏公司实施侵权若得不到充分威慑与制裁，一方面会纵容永骏公司的行为，另一方面也会产生他人竞相模仿的负面效应。数据侵权惩罚性赔偿制度有利于我国智能数字经济的健康发展，为科技企业提供和谐公平的营商环境。

2.数据侵权惩罚性赔偿制度的具体建构

我国《民法典》四个条文规定了惩罚性赔偿。第179 条第2 款规定，法律规定惩罚性赔偿的，依照其规定执行。该款可谓我国惩罚性赔偿制度的一般条款。其余第1185、1207、1232 条，分别针对侵犯知识产权、产品侵权、污染环境破坏生态等侵权情形。我国惩罚性赔偿制度经过消费者权益保护领域、产品质量领域、侵权责任领域三个阶段的发展，内容逐步完善，体系逐步建立。从总体上说来，我国《民法典》为数据侵权惩罚性赔偿提供了基本制度框架。

（1）数据侵权惩罚性赔偿适用要件

其一，数据侵权惩罚性赔偿适用要件的确定。因尚未规定，故须根植现行法厘定。根据《民法典》规定，知识产权侵权惩罚性赔偿适用要件，注重主观要件“故意”和客观要件“情节严重之认定”。缺陷产品惩罚性赔偿要件，强调主观要件“明知”，行为要件“‘生产、销售’或者‘未能采取有效补救措施’”和结果要件“造成他人死亡或健康严重损害的”三部分。环境侵权损害惩罚性赔偿构成要件包括五部分，“请求权人与第三人侵权下的责任主体”为主体要件，主观要件是以故意为主兼顾重大过失，“实施了一定的违法性行为”为行为要件，“造成生态环境严重损害后果”为结果要件。因果关系要件可参考传统侵权责任的要件构成。相较于普通侵权损害赔偿，侵权惩罚性赔偿适用要件侧重主观要件、行为要件和结果要件，有其特殊性。

其二，数据侵权惩罚性赔偿要件可参考知识产权制度，根本原因在于数据与智慧财产具有内在一致性。首先，数据与智慧财产交叠。在网络社会，许多智慧财产以电子数据方式在网络空间发行、存储、传播、利用，呈现数据形态。数据可承载智慧财产，有些数据以知识产权保护。其次，二者在技术层面均系信息。从信息技术角度说来，数据是信息的载体，以比特方式在虚拟空间凝结和呈现着信息，数据总体上表现为数据形式与数据内容即信息的统一。而智慧财产是具有排他性的知识，知识是经检验有用且固定的信息，智慧财产实乃特定信息集合。二者在信息意义上同态。最后，二者价值均有不确定性。智慧财产作为知识信息，内容独特，共时几乎没有同类财产反复交易形成的市场均衡价格；因知识的抽象性无形性，价值评定需依个案确定。在数据方面，除此之外，海量数据中少量数据的价值难以依据数量比例关系计算，单一数据价值甚微或可忽略不计。即使有用性显著的数据，因主观价值成分非常突出，也难以客观定价。二者价值不确定性最终传导至价格：定价不易，波动剧烈。

其三，数据侵权惩罚性赔偿主观及客观要件。借鉴知识产权惩罚性赔偿的适用要件：加害人主观上“故意”，客观上行为“情节严重”。按照最高人民法院《关于审理侵害知识产权民事案件适用惩罚性赔偿的解释》第3、第4 条规定，故意的认定，应综合考量数据信息类型、产生与存储状态、权益属性、加害人与受害人之间的关系等。情节严重的认定，则应考虑侵权方式、频次、持续时间、影响范围、后果，以及加害人在诉讼中的表现等。具体包括，因侵权承担法律责任后再次实施同一类侵权行为，以数据侵权为业，侵权获利或者权利人受损巨大，侵权行为可能危害国家安全、公共利益或者人身健康，伪造、毁坏或者隐匿侵权证据，拒不履行保全裁定等。可见，“情节严重”既涉及侵权行为与后果，也包含面临侵权指控时加害人的表现。

其四，数据侵权惩罚性赔偿主体要件及因果关系要件。与知识产权制度相似，数据侵权惩罚性赔偿适用要件不特别强调主体要件与因果关系要件，它们与普通侵权损害赔偿要件基本一致。在主体要件方面，当无限制。只要享有数据权益的主体，无论自然人、法人或非法人组织，也不论营利与否，均可作为受害人主张惩罚性赔偿。而加害人，实践中多系市场主体，但不排除那些拥有特定技术、非以营利为目的的个人或组织，故意实施数据侵权行为，情节严重，亦应适用惩罚性赔偿。

至于因果关系，总体上置于传统因果关系判断的标准框架中即可，但应注意其中的复杂性。在数据侵权中，直接实施者、侵权方式等差异导致因果性判断难度不一，如直接以人体或机械侵权，以自动化机器侵权，以智能机器人或智能体侵权，难度递增。特别是在人工智能技术条件下，智能体行为会超越人类预期，“人工智能系统在更复杂的环境下会偏离人类认知过程”，或受人类影响，如高度自动驾驶汽车的表现一定程度上是用户“调教”的结果。在人经由智能体实施行为的场景，特定主体或智能体与行为后果的线性因果律断裂，因果性判定困难重重。“人机共处和协同所产生的后果问题就陷入了困境，人机混合必然要求进行相应的理论创新和制度重构。”在智能时代，法律上相当因果关系理论亦需变革，需要以复杂性思维，转动贝叶斯手柄，以置信程度为核心指标，融合贝叶斯概率理念及方法，以主观置信加事后修正的方式取代抽象的相当因果性判断。

（2）数据侵权惩罚性赔偿金额

在我国，惩罚性赔偿金额存在无限额和有限额两种模式。《民法典》第1185、1207、1232 条均未规定赔偿金额和倍数。新型网络侵权案件中，因网络信息快速流动，侵权影响广泛，难以完全恢复至初始状态；情节严重程度的偏差值非常高，不宜作出上限规定。适用无限额赔偿金额模式，可以最大程度地彰显惩罚性赔偿制度的目的。当然，即使适用惩罚性赔偿制度，惩罚性赔偿数额仍需控制在合理范围内。一味地加大惩罚力度，对侵权者的惩戒效果反而会适得其反，令建立的惩罚性赔偿制度空有其表。惩罚性赔偿金额计算应基于受害人的实际损失、加害人的违法所得或侵权获利。这符合填补损失的制度功用，也能够达到违法者不因其违法行为而获利的制度效果。其中，实际损失应兼顾企业预防侵害成本投入、受侵害部分对应的成本等。

具体而论，金额计算涉及两个问题：一是，计算基数是否包括制止侵权的合理费用？现行知识产权侵权惩罚性赔偿采否认说。笔者认为，鉴于数据的无形性、企业数据作为特定信息技术生态系统的重要内容，以及数据所属网络环境的虚拟陌生等特性，制止侵权、恢复技术系统固有生态的成本显然不低，再加上不计入维权成本，惩罚性赔偿金额对受害人权益保障的效度可能不够，建议将其纳入基数。《反不正当竞争法》第17 条就规定，赔偿数额还应当包括经营者制止侵权行为所支付的合理开支。二是，实际损失、违法所得、侵权获利均难以计算，怎么处理？知识产权侵权惩罚性赔偿以权利许可使用费的倍数合理确定。侵害数据流量则可依据数据交易市场价值的倍数综合确定；若没有交易市场，则参考市场中相近类型属性之数据价值的倍数合理酌定。

（3）数据侵权惩罚性赔偿倍数

惩罚性赔偿倍数应综合加害人过错程度、侵权行为情节等确定。过错程度主要表现为故意侵权次数、频度等。显然，首次故意侵权的过错程度较多次轻一些；再者，受害人是否有过失，若受害人对于侵权行为的发生也存在过错，加害人过错程度低；还要考虑，有无法定或酌定的涉及主观过错程度的原宥事由，有则过错程度低。侵权行为情节，根据上述“情节严重”判断标准，涉及侵权方式、行为频次、持续时间、影响范围、侵害后果等。侵权间接隐蔽，发现制止难度大，或者如抖音群控案以群控技术瞬时大规模操作方式影响平台生态系统，皆属方式严重。侵权行为发生越频繁，时间持续越久，影响范围越广，情节愈发严重。而侵害后果的判定尚需兼顾受损利益的属性，如公共利益、国家利益应重点保护，人身利益与财产利益略有区别。

（三）合理分配举证责任

普通侵权案件通常适用“谁主张谁举证”的规则。作为原告的受害人提出诉讼请求，应提供证据证明其请求依据的事实；作为被告的加害人反驳受害人的诉讼请求，也应提供证据证明反驳所依据的事实。《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》（以下简称《民诉法解释》）第91 条规定，主张权利受到妨害的当事人，应当对权利受到妨害的基本事实承担举证证明责任。由此，微播视界公司应证明：永骏公司实施了侵权行为，主观上有过错，自身遭受损害，且有因果关系。然而，在网络环境下，操控特定信息技术系统的数据流量，影响系统正常生态，其侵权责任构成要件的证明存在诸多困境。按照传统举证责任，极有可能出现加害人不承担侵权责任的结果，这显然有失公正。故应合理分配举证责任，一方面在两造当事人之间配置举证责任，另一方面应实行举证责任倒置。

举证责任分配应基于个案案情，考虑法律关系内容，以当事人举证能力为本。在网络虚拟环境下，受害人作为原告提起诉讼应符合起诉条件，至少包括被告、诉讼请求、基本事实等。自侵权责任构成角度，受害人至少应提交加害人实施的侵权行为造成受害人损害的初步证据，否则，达不到立案条件。这既是起诉法定条件的必然要求，也与受害人举证能力相匹配。至于说，损害大小等问题，不必完全确证。在抖音群控案中，微播视界公司与永骏公司在举证能力方面处于高度不均衡状态，后者掌握群控系统后台数据，包括在抖音平台上群控行为数据以及相关电子数据证据，掌握违法所得或侵权营利数额证据。

面对此种情形，可借鉴对方当事人控制下的书证规则。《民诉法解释》第112、113 条，《最高人民法院关于民事诉讼证据的若干规定》第48 条等规定，书证在对方当事人控制之下的，承担举证证明责任的当事人可以在举证期限届满前书面申请人民法院责令对方当事人提交；控制书证的当事人无正当理由拒不提交书证的，人民法院可以认定对方当事人所主张的书证内容为真实。据此，加害人无正当理由拒不提交其占有的电子数据等证据，那么以受害人主张的赔偿数额及计算方式为准。但这只是举证方式的改变，举证责任仍由受害人承担。加害人未全部提交、隐藏重要证据、篡改证据等，都会妨碍举证目的实现，无法达到匹配当事人举证能力的效果。据此，有必要考虑实施举证责任倒置。

举证责任倒置关乎当事人权益至巨，在普通数据侵权责任认定中，不能随意适用，应综合当事人技术能力、举证能力、侵害对象等确定。在数据侵权惩罚性赔偿中，既要明晰受害人的初步举证责任，助力案件查明，也要运用举证责任倒置，充分保护受害人合法权益。若主张适用惩罚性赔偿，受害人应首先完成侵权责任构成的初步举证责任，包括惩罚性赔偿核心要件“故意”和“情节严重”。所谓初步证明，主要指即使证据存在缺失、模糊等瑕疵，但足以确证基本事实存在即可。按现行法，“故意”和“情节严重”判定主要依照法定客观情形认定，受害人能够初步证明符合法定情形，即完成举证责任。加害人则应证明自己非故意、侵权情节不严重，否则认定其主观故意，情节严重，应承担惩罚性赔偿责任。之所以如此建议，主要考虑惩罚性赔偿中加害人主观恶性大，情节严重，且掌握相关证据，由加害人承担举证责任更有利于解决数据信息分布不均、举证能力分化问题。普通侵权案件中，法院命令提交证据，只是以特定方式弥补受害人举证能力不足，最终如果交出的证据与同案其他证据无法证明受害人的主张，受害人仍然承担举证不能的不利法律后果。这对于普通侵权案件或许足矣，但在需要严厉制裁的惩罚性赔偿案件中，与加害人的主观恶性、情节严重性不适应。

结

语

在人工智能等新型智能化自动化技术普遍应用之际，网络侵权问题更趋复杂，已非传统现实世界侵权的网络版。新技术条件下数据侵权问题特异性显著：侵权行为发生在网络虚拟空间，难以追踪，且易流变；侵害的同一对象之上并存多种权益，各方主体利益交叠，利害关系重大；行为后果经由网络可在虚拟空间放大，传播无远弗届，影响广泛，无法完全消弭；等等。这些特点在抖音群控案中展露无遗。在大数据时代，数据成为基本经济要素，数据流量争夺更加激烈，司法实践中数据类诉讼纠纷时常发生。在侵权责任法层面，应明确数据权益属于侵权责任法的保护对象，重塑数据侵权责任成立标准。普通侵权损害赔偿不足以应对新技术数据侵权带来的赔偿数额难以确定、不充分等难题，应当构建数据侵权惩罚性赔偿制度。在举证责任方面，需合理分配举证责任，普通数据侵权案件实行“谁主张谁举证”的一般举证规则即可，惩罚性赔偿案件在受害人完成初步证明责任后，可实行部分举证责任倒置，由加害人证明自己非故意、侵权情节不严重，以与其主观恶性、情节严重程度相匹配。

相关阅读

商品书目

微信号 : DigitalLaw_ECUPL

探寻数字法治逻辑

展望数字正义图景

战略合作伙伴：上海中联律师事务所