查看原文
其他

万玲娣|企业数据权利界定及交易若干问题研究

万玲娣 上海市法学会 东方法学 2022-11-11

万玲娣

上海市捷华律师事务所权益合伙人、律师

要目

一、企业数据权利概述二、企业数据安全及交易概述


企业数据权利问题越来越受到社会广泛关注,特别是如何引导大数据企业依法合规运营,如何保护企业自身的合法权利,如何在现有法律框架下实现数据自由流动,亟待解决。企业数据权利应归属于新型财产权利说,数据权利属于数据持有人或者数据控制人,且是一种不完整的所有权。使用新型财产权对数据尤其是企业数据进行规制,更符合法学及实践发展的趋势。企业数据安全及交易的基本原则包括CIA原则、“合法、正当、必要”原则、明确权属原则、数据处理保护及审计原则、仅对交易时负责原则(背靠背原则)、匿名化原则、交易价值协商原则等。有必要区分企业数据交易的不同阶段,制定不同的实体法和程序法规定,保护企业数据权利。

在信息化时代,数据已经成为重要的生产要素和社会财富,甚至国家间竞争的关键资源。从某种意义上说,谁能下好大数据这个先手棋,谁就能在未来的竞争中占据优势掌握主动。2020年3月30日,《中共中央和国务院关于构建更加完善的要素市场化配置体制机制的意见》中将数据列在土地、劳动力、资本、技术之后,使之成为第五大生产要素,并提出研究根据数据性质完善产权性质,引导培育大数据交易市场,依法合规开展数据交易,建立健全数据产权交易和行业自律机制等要求。作为经济社会发展的主要推动者,在国家政策引导与资本利益的驱动下,越来越多的企业将数据作为“新世界的石油”,期望在大数据生命周期(收集、汇编和整合、分析、使用)中获利。截至2020年3月,我国互联网用户已达9亿,互联网网站超过400万个、应用程序数量超过300万个,庞大的人群和应用市场,复杂性高、充满变化,使得中国成为世界上最复杂的大数据国家。由于目前我国尚无法律对企业数据权属进行明确规定,因此如何引导大数据企业依法合规运营,如何保护企业自身的合法权利,如何在现有法律框架下实现数据自由流动,将成为今后一段时期内急需关注的问题。笔者从律师的角度,对大数据企业在上述问题中存在的法律风险进行分析,并提出相应对策。

一、企业数据权利概述

企业数据定义、种类

企业数据是指企业设立、存续、终止期间产生的所有数据,根据不同的分类方法,我们可以对企业数据进行不同细分,借以明确数据权利可能产生的场景以及界定标准。

根据企业数据来源主体的不同,可以将企业数据分为物的数据和人的数据,该分类是较为常见的分类。Shannon在1948年在信息传输系统模型中,提出“信源与信宿,既可以是人,也可以是物”,数据来源主要是基于传感器技术与能源技术发展的物联网提供的数据,以及基于互联网技术发展而产生的各类数据。如汽车生产商在车辆中配置了监视器,连续提供车辆机械系统整体运行情况,这些机器传感数据属于物联网产生的大数据范围。而对于互联网通过个人产生的数据则较易理解,如银行、电信、政府登记的数据,网购产生的数据,电邮、短信、微博、微信产生的社交数据以及手机系统“后门”泄露的数据等。因此企业数据可以是通过物的运动、形态变化等信息来源产生的数据,也可以是经过用户授权同意采集到的与个人相关的信息。

根据企业数据是否公开,可以将企业数据分为公开数据与非公开数据。对于企业的联系方式、经营范围、产品信息、企业规模等工商登记信息或涉法涉诉信息等通过公开网站可查询到的数据信息均属于公开数据信息,对于企业经营管理制度、财务数据、客户资料、软件、专利等采取保密措施的内容均属于非公开数据信息。

根据企业数据来源方式的不同,可以将企业数据分为自主获得的数据及经授权或许可获得的数据。如不探讨Robots协议对网站使用者的约束力,从公开网站通过爬虫工具等方式获得的数据,可以认定为是企业自主获得的数据,如使用裁判文书网、国家企业信用信息公示系统、各级各类法院网站为企业或个人进行信用进行评级就是典型的通过自主获得数据进而通过算法进行预测。而经政府、企业或个人授权或许可获得的数据则是产生企业数据较为常见的方式。

根据企业数据是否进行再加工,还可以将企业数据分为原始数据及通过清洗、加工、整理、编辑等方式产生的数据集或数据库等衍生数据。

根据企业数据存在是否存在权利依托,还可以将企业数据分为直接数据与缓存数据。如个人信贷业务信用核查企业,为完成银行个人信贷信用评估,从银行处获得的数据为直接数据,而在完成过程中,相关核查企业留存了大量的缓存数据。

数据权利概述

目前,法学界对于数据权利有四大主流观点,主要是:

1.新型人格权说

人格权是传统的民事权利类型,包括姓名权、肖像权、隐私权等具体的权利。有学者提出:应为个人数据(personal data)创设一种新型人格权——个人信息资料权,个人数据作为个人信息资料权的客体。这个立论从以下几个方面展开:

首先是人格权的商品化。传统的人格权主要保护精神利益,从而与保护财产利益的财产权相区分。随着人类经济社会的发展,逐渐出现了人格权商品化的现象,比如把自己的姓名有偿许可他人作为商标,将自己的肖像有偿许可他人做广告等。这就出现了人格权的财产利益的概念,传统的人格权制度也被重新审视:人格权既保护人格利益,也保护财产利益;人格权的财产利益可以让渡也可以继承;人格权财产利益受到侵害,也可以请求赔偿。但是,人格权商品化并不改变人格权的基本属性,其内容仍主要以精神利益为主;其价值目标仍然主要是维护人的尊严和自由;人格权仍强调专属性,与人格本身不可分离。

第二,隐私权制度不足以保护个人数据信息。隐私权是较早建立起来的人格权制度。个人数据跟隐私联系较为紧密。如果隐私权能保护个人数据,也可以考虑使用这种既有的制度。民法学者的观点认为,隐私权对个人数据的保护不足。隐私权制度的重心在于防范个人隐私信息不被披露,主要是为了保护权利人的生活安宁、个人专属空间不被他人所打扰,是一种保守性、消极性的权利。与数据领域所强调的将其作为一种资源予以控制和利用情况,在制度的旨趣上有根本区别。

此外,隐私权保护的客体是隐私,但是隐私的外延又十分不确定。如对有的人来说身高体重是隐私,但这对另外的人来说就不是。从这个角度讲,用隐私权保护个人数据确实也有一些缺陷。最后,在救济方式上,隐私权受到侵害后,主要采用精神损害赔偿的方式加以救济;而对个人信息资料的保护,除采用精神损害赔偿的方式外,也可以采用财产救济的方法。

第三,应为个人数据专门创设一个新型人格权,即“个人信息资料权”。个人信息资料权目前还只是一个理论上的概念,根据学者观点,个人信息资料权是指个人对于自身信息资料的一种控制权,并不完全是一种消极地排除他人使用的权利,更多情况下是一种自主控制信息适当传播的权利。个人信息资料权保护人格的精神利益和财产利益的统一体,同时,精神利益和财产利益可以加以区分。其中的财产利益受到非法侵害时,损失可以市场价格计算。

2.知识产权说:著作权+邻接权

人格权说主要针对的是个人数据。针对数据库、数据集,还有知识产权说的观点。该观点认为,针对数据库和数据集的不同情况,分别用著作权和邻接权制度对之予以保护。

对于选择和编排上有独创性的数据库或数据集,可以将其视作汇编作品,考虑用著作权制度进行保护。比如,我国著作权法第14条规定,汇编若干作品、作品的片段或者不构成作品的数据或者其他材料,对其内容的选择或者编排体现独创性的作品,为汇编作品,其著作权由汇编人享有。这里的“独创性”不是指内容上的独创,而是选择和编排上的独创性。

对于不具独创性的数据库和数据集,则可以考虑通过邻接权制度加以保护。邻接权是对作品传播者赋予的权利。德国法明确把邻接权制度用于数据库的保护。由于数据库的持有人对数据收集和数据库的形成进行了实质性的投入,因此,对于无法用著作权保护的数据库和数据集,要赋予其收集持有人邻接权,因为你为数据的收集和编排付出了劳动和金钱。

可见,知识产权说实际上是把数据库和数据集区分为选择和编排上有独创性和没有独创性两种情形;前者用著作权制度保护,后者以邻接权制度加以保护。

3.商业秘密说

商业秘密通常被视为知识产权制度的兜底制度。在我国,商业秘密保护制度规定于反不正当竞争法中。根据反不正当竞争法的相关规定,商业秘密的持有人享有相应的民事权益。我国法律尚无关于“商业秘密权”这样的绝对权的概念规定,但是,民法总则征求意见稿已经将商业秘密列为知识产权的客体。

除了具有商业价值外,商业秘密还具有非公开性和非排他性,这三个特征又紧密联系。由于具有占有控制上的非排他性,因此,一旦公开,被其他主体知晓,它对于原权利人的商业价值也就随之丧失。在这一点上,显然与传统的知识产权不同。在特定情形下,数据的确可以当作商业秘密看待。数据具有经济价值,而且也具有非公开性和非怕他性。数据一旦被他人掌握,就意味着失控,他人就数据也就取得了同样的权能。

4.数据财产权说

数据财产说认为,数据是一种新型的财产,不宜用既有的人格权、知识产权、商业秘密保护制度对其施以合理保护;应在立法中增设一种数据财产权。

之所以将数据界定为一种新型财产并赋予数据控制人以相应权利,从宏观上说,是互联网经济新时代的客观要求。大数据成为一种经济资源,构成相关企业资产的重要组成部分,是信息通信技术发展的必然结果。对数据持有人赋权,是经济技术的现实发展对制度创新提出的客观要求。

具体而言,数据本身具有非常鲜明的财产性。数据集不仅具有经济价值,而且可以被主体所控制。数据是一种电磁记录,可以存储于特定的介质之中,主体可以对其实现占有、使用和处分,也可以实现占有的转移。

根据有关观点,数据财产权有如下几个特征:

第一,权利属于数据持有人或者数据控制人。当然,这种持有和控制应该是合法的。比如,经相关主体的同意对个人数据进行采集或收集。当网络用户在网络平台注册用户信息时,可通过注册协议就用户免费使用相关网络服务,并同意网络平台收集和合法使用其相关数据达成一致。

第二,数据财产权是一种不完整的所有权。所谓不完整,是指该项权利应受到其他传统权利的约束和限制。这一点与传统所有权、知识产权都不太一样。持有人控制人并不能对其持有或控制的数据集进行任意处置。因为这些数据有可能涉及其他相关主体的隐私权、著作权、专利权或者商业秘密,因此,对数据的使用和处分不能损害这些相关权利人的合法权益。

企业数据权利界定

民法典第127条规定,法律对数据、网络虚拟财产的保护有规定的,依照其规定。民法典已通过明确的法律规定将数据界定为一种民事权利,数据具有财产意义上的价值属性已毋庸置疑。数据权利的界定直接关系数据价值的衡量、变现,数据成为公司新晋资产并使之流通实现价值,明确企业数据权利归属为数据交易的前提与基础。

根据对企业数据的分类及前述数据权利概述,笔者赞同企业数据权利应归属于新型财产权利说,根据数据财产权说,数据权利属于数据持有人或者数据控制人,且是一种不完整的所有权。

通过对企业数据的分类,我们可以依据数据财产权说对企业数据的所有权进行界定。

第一,对于通过自有物或他有物产生的数据,如在车辆、桥梁、建筑等物体上产生的数据,如该类物的所有权归属于数据持有人或控制人,则由此产生的数据所有权必然归属于数据持有人或控制人;而如产生数据的该类物的所有权归他人所有,则存在他人对数据持有人或控制人许可收集的前置程序,同时他有物产生的数据也会存在数据持有人或控制人与他有物所有人共同共有、按份共有、单独归属数据持有人、控制人或他有物所有人等不同情形,其权利的最终归属取决于他有物所有人与数据持有人或控制人间就该数据所有权的约定。

第二,对于通过公开途径获取的信息,在此应区分公开途径中针对政务数据、企业数据、个人数据的不同适用,对于政府公开的各类信息,从促进数据流动、社会共享的角度应对企业抓取数据,形成数据产品持鼓励态度,如基于政府数据形成的企业数据产品,企业应具有完整所有权。

对于企业公开的数据,要区分该数据是否属企业的智力成果,还是企业要素的直接展示。如大众点评诉百度不正当竞争案,百度公司未经许可在百度地图、百度知道中大量抄袭、复制大众点评网的用户点评信息,直接替代大众点评网向用户提供内容,一、二审法院均认定百度公司行为违反公认的商业道德,构成不正当竞争。大众点评网的用户点评信息是大众点评网的公开信息,但因其在汇编过程中投入了人力、财力,显然是该企业的智力成果,从法院的判决结果看,无论法院依据的是不正当竞争的法律,还是对诚实信用商业道德的保护,其基本的理念是对企业已公开的智力成果不应由他人无偿获得,因此对应该类型企业数据,原企业应拥有所有权,而其他企业如以该类型企业数据为基础进行再加工,应尊重原企业对该数据的所有权,与原企业通过权利约定,确定后续再加工数据产品的所有权归属。对于企业要素的直接展示,如企业对外公示网站信息、企业工商登记、企业涉罚涉诉等信息,对于该类数据的直接抓取或获取后形成的数据产品,笔者认为其所有权可以直接归属于数据产品的加工人。

对于个人公开的信息,如个人通过微信、微博或网站对外登记或展示的个人信息,应默示认定个人已同意对此类数据放弃其所有权,且单个数据的价值极为有限,企业需将同类型数据汇总、编辑成数据集或数据库后方具有经济价值,因此对于该类数据,笔者认为数据集或数据库的持有者应具有所有权。

第三,对于非公开途径经许可后获得的数据,对于此类数据应区别原始数据与衍生数据,对于非公开途径且经企业、个人许可后获得的数据,如属原始数据或衍生数据,均可参照本条对于物的数据或公开数据中关于企业数据所有权的陈述。对于个人数据非公开但许可企业使用的情形,个人具有其信息承载原始数据的所有权,受许可企业具有许可个人集合数据的所有权(仅对数据进行汇总),但在此情况下,个人独自原始数据的所有权与受许可企业的集合原始数据所有权均不完整,个人独自原始数据的所有权的行使以获取企业服务为交易对价,让渡部分使用权给企业,而企业集合原始数据所有权行使时也不得侵害个人的人格权。对于个人数据非公开经许可后,企业对个人数据编辑、清洗等形成的新的衍生数据集或数据库,能够实现大数据预测分析功能的产品,可视为企业拥有独立所有权的数据产品。

第四,对于企业在数据交换或服务中获得的缓存数据,对于此类数据要明确缓存数据原始产权人及数据是否公开的状态,来确定缓存数据的归属,及缓存数据加工后数据产品的所有权归属,归类后可具体参照本条前述三项内容予以确定。

通过前述对企业数据权利的界定,笔者还想对企业数据归属财产权的意义进行再次明确:一是企业是社会经济活动的主体,是社会财富主要的创造者,作为“新世界的石油”,数据价值对于企业来说愈加重要,明确数据所有权,对于实现企业价值,加速数据流动,促进数字化社会进程意义重大;二是所有权保护较知识产权、商业秘密、不正当竞争等保护更为全面与强势,且更具识别性与可操作性。不同于知识产权、商业秘密、不正当竞争等对智力成果采取秘密保护的立法基础,数据的流动天性中必然是公开的,开源软件的存在本身既是对数字技术的支持,也是对传统知识产权、商业秘密、不正当竞争法学基础理论的挑战,因此使用新型财产权对数据尤其是企业数据进行规制,更符合法学及实践发展的趋势。

二、企业数据安全及交易概述

企业数据安全及交易基本原则

第一,CIA原则。CIA原则是指保护信息的机密性、完整性和可用性(confidentiality、integrity、andavailability,简称CIA),CIA原则是全球公认的信息安全基本准则,也是对企业信息安全的基本要求。笔者认为保障信息安全或数据安全是企业收集、使用或交易数据的基本前提。信息安全保密性(Confidentiality)是确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。完整性(Integrity)是确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当的修改信息,保持信息内部和外部的一致性。可用性(Availability)是确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。

第二,“合法、正当、必要”原则。个人信息保护法第5条规定,处理个人信息应当采用合法、正当的方式;第6条规定,处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。网络安全法第41规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。网络交易监督管理办法第13条规定网络交易经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。网络交易经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式,强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意。

何谓“合法、正当、必要”原则,笔者认为,这是个人信息保护法、网络安全法、网络交易监督管理办法对收集个人信息的基本要求,也是目前我国法律中对信息收集、使用安全的基本原则。合法是指收集及使用数据时的程序及实体均要符合法律规定。正当是指收集与使用数据的目的正当,不能用于非法用途。必要是指收集、使用数据要综合考量商业目的、业务范围,采取有限收集原则,而不是越多越好。

第三,明确权属原则。根据笔者在本文中对不同场景下企业数据产品所有权权属的分析,企业在对拥有所有权的数据产品进行交易时,首先需要明确是否对数据产品拥有绝对所有权,还是相对所有权(不完整所有权),然后根据所有权是否受限,交易是否需要再许可等情况,告知交易相对方该数据产品的所有权属性。

第四,数据处理保护及审计原则。个人信息保护法第51条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。第53条规定个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。据此数据企业应指定专人负责数据处理,并委托专业机构定期对企业数据安全情况进行评估。

第五,仅对交易时负责原则(背靠背原则)。企业交易时提供的数据产品通过匿名化或加密等措施可能无法准确识别个人信息,但鉴于网络技术及新科技技术的发展,该等匿名化或加密措施有可能被破解,或交易对手购买其他数据产品,致使不同数据产品集合而推导出个体信息,此时如让企业对后续可能发生的识别风险承担责任,无疑是影响交易稳定的,因此企业应仅对交易时数据产品的匿名化或加密方式负责,对交易后交易对手再使用、再开发,或交易对手转卖第三方的行为不应承担识别责任。

第六,匿名化原则。个人信息保护法第24条规定,个人信息处理向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份。从这条可以看出,数据交易如涉个人信息首先应进行匿名化处理,其次匿名化处理后的个人信息交易是无须经过个人同意的,再次匿名化的信息第三方不得再识别。正如本条第四项仅对交易时负责的原则所述,匿名化不仅是法律规定,同时也受限于技术的发展与数据集合的预测性,对于匿名化原则的适用,同样也应仅限于交易时对企业进行约束。

第七,交易价值协商原则。目前已有的数据交易或通过企业间直接转让,或通过类似贵阳大数据交易所等平台进行转让,其交易价格无市场指导价,均由双方协商确定。决定交易价格的衡量因素主要是数据库或数据集所含数据量、汇编智能性、是否已再加工等。

企业数据交易法律规定

2020年10月21日,全国人大法工委公开就个人信息保护法征求意见,在我国个人数据保护方面踏出了坚实一步,个人信息保护法对于个人信息处理者的义务规定,可以视作对企业数据安全保护及交易的法律规定。2020年12月28日,广东深圳市六届人大常委会第四十六次会议首次审议了《深圳经济特区数据暂行条例(草案)》(以下简称《草案》)。这是我国首部数据领域的综合性专门立法,首次提出“数据权益”保护,并明确数据要素市场主体以其合法收集的数据和自身生成的数据为基础开发的数据产品的财产权益受法律、法规和本条例的保护。2021年3月15日,市场监管总局主动作为制定出台《网络交易监督管理办法》,并于2021年5月1日正式实施,《办法》是贯彻落实电子商务法的重要部门规章,对相关法律规定进行细化完善,再次明确网络交易者对个人信息收集、使用的基本原则。近期国家与地方政府、相关委办局密切出台有关数据或信息领域方面的法律,一方面是对个人信息受到侵害现象的重视,另一方面也是提请相关企业在数据收集、应用、交易方面应遵循法律规定。

企业数据交易的法律风险防范

企业保护数据安全及交易时应明确三个概念和一个前提。一是数据安全的保护归根结底取决于技术的发展,数据匿名、加密、访问控制等技术的发展程度决定了数据安全保护的高度;二是在法律层面,需要企业建立用技术保护信息安全的认知,需要符合CIA的规定,同时证明已尽职“合理”行事或采取“恰当”或“必要”措施保护信息安全,在遇突发或紧急事件时能及时升级安保措施;三是法律风险与博弈,由于数据法律规定的欠缺与不明,会产生企业因不懂法律而盲行以及惧怕法律惩戒而固步自封的现象,即便有守法意识的企业,穷尽保护措施,依然不能完全避免法律风险的产生,在这种情况下,企业应该适时评估法律风险与商业成本,选择自己的行为模式。一个前提是指,企业在讨论或防范数据安全及交易法律风险时,应清晰明确在企业数据产品的所有权定位,以及具体商业行为所涉的法律领域,只有明确这一前提,才能有针对性对法律风险进行分析。

1.数据初次收集时的注意事项

一是在收集、使用数据程序上符合法律规定。个人信息保护法第13条规定,个人信息处理者在取得个人的同意、为订立或者履行个人作为一方当事人的合同所必需、为履行法定职责或者法定义务所必需、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需、为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息、法律、行政法规规定的其他情形下可处理个人信息。网络安全法规定网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。据此,企业要履行告知义务,提供数据主体选择与访问权。20多年来,告知本质上一直都是全球所有隐私法律、规章和准则的核心,现在告知进一步明确为需经个人信息提供者同意。企业应告知数据主体包括且不限于以下内容:收集数据的企业名称;收集数据的原因;数据的使用方向;数据二次使用的可能用途;所收集数据的性质及收集方式;提供请求数据属于自愿还是强制的,以及拒绝提供请求信息的后果;机构为确保数据的机密、完整和质量而采取的措施。同时要为数据主体访问其数据提供便利,如数据主体有权查询、阅览、复制数据控制者所持有其个人数据的权利。对于个人数据不正确、不完整的部分,数据主体可以要求删除、更正、补充。

二是在收集、使用数据实体上符合法律规定。明确本企业收集、使用或购买数据的商业目的,确保由数据主体处得到的数据使用范围符合法律规定。网络安全法规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。《网络交易监督管理办法》第13条规定,网络交易经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。网络交易经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式,强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意。对于数据收集、使用的实体内容符合该原则,需要企业综合考量商业目的、业务范围,采取有限收集原则,而不是越多越好。在考量商业目的时,不仅要对初次使用数据的目的有清醒认识,还要考量数据的二次使用或后续使用可能,对数据使用范围与数据主体提供范围进行比对。在制定大数据的使用机制时,企业要注意记录并保存分析过程的程序,在遇到法律纠纷时作为证明商业目的的辅助证据。

2.数据二次使用时应履行的程序

最高院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第3条第二项规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。个人信息保护法第24条规定,个人信息处理者向第三方提供其处理的个人信息的,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。根据这些规定,如企业将合法收集的数据用于销售或许可他人使用时,需满足下列两项条件中的一项:第一种情况,企业二次使用从数据主体处获得的数据,如在初次收集时未获得数据主体许可,或使用范围超出数据主体初次许可使用范围,则在该数据销售或许可他人使用之前,应征得数据主体的同意,如未获得同意,则该数据主体提供的数据无法进行二次使用。较为可行的办法是在初次收集数据时,若数据二次使用用于公司未来的营销传播,或是与第三方共享直接用于促销时,或者销售或授权许可的目的,超过了数据初次收集许可范围,提供数据主体是否同意使用其数据的选择权。第二种情况,在数据二次使用时,对数据进行匿名化处理。企业可以根据收集的数据性质、种类、规模,通过技术手段进行匿名化处理,以避免个人信息的泄露。当然该种方式,必然会增加数据交易的成本,同时依赖于数据匿名化技术的发展,使用或交易数据的双方应对数据匿名化的程序、责任、费用承担方式等予以明确约定,以避免法律风险的发生。

3.数据交易或许可时的必经程序

在讨论数据初次及二次收集、使用时应注意的问题后,笔者需提醒企业在数据交易或许可使用时的另一风险点,即在做好企业自己对个人信息安全保护义务的同时,应关注交易方或许可使用方使用数据的目的。根据最高院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条规定,出售或者提供行踪轨迹信息,被他人用于犯罪的;知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的,应当认定为刑法第二百五十三条之一规定的“情节严重”,第6条对为合法经营活动而非法购买、收受个人信息情节严重的情形进行了规定。由上述两条的规定,数据交易的提供方或许可使用的许可方为避免数据交易后或许可使用后可能被追究的刑事责任,在做出交易或许可行为前,应对交易方或被许可方进行尽职调查,以确保对方在违反法律规定时,自身处于合法状态。

尽职调查的内容包括并不限于:数据交易方的业务范围,本次交易的商业目的,数据用途,数据匿名化的方式与手段,保护信息安全的途径等。

4.运用知识产权、商业秘密及反不正当竞争方面的法律规定保护企业数据

鉴于目前尚未出台关于数据权属及交易方面的法律,在现有框架下,我们依然可以使用对于知识产权、商业秘密及反不正当竞争方面对企业数据进行保护。我国著作权法第14条规定,汇编若干作品、作品的片段或者不构成作品的数据或者其他材料,对其内容的选择或者编排体现独创性的作品,为汇编作品,其著作权由汇编人享有,但行使著作权时,不得侵犯原作品的著作权。根据专利法的保护范畴,企业数据往往涉及商业方法(模式)、特定算法、计算机软件等,单纯的商业运作方法显然不具备可专利性,但通过软件、硬件与网络结合的系统解决一定的技术问题,具有鲜明的技术属性,按照《审查指南》第九章关于涉及计算机程序的发明专利申请审查的若干规定进行判断,可授予方法专利(复杂系统专利)。

据此数据本身的无形性、可复制传播和可重复利用等性质,致使其客观上与知识产权有很多联系,有些数据本身就属于知识产权的客体,比如在网络上发表的作品,系著作权保护的对象;以数据形式表现的某项专利的核心技术指标,系专利权的客体。如大数据在选择、编排的过程中体现了独特性,则其可作为汇编作品,享有汇编产品的著作权保护。

著作权保护的基本原则是作品具有独创性,且只保护表达不保护思想。在大数据领域,其对数据收集的趋势是更大、更全,且行业将更趋于使用统一的标准或规则对同一类型的数据进行整合,要求企业在数据收集的过程中体现企业选择、汇编数据的独创性,显然是不符合行业发展的趋势。同时,著作权只对其独创性的选择或编排的表达进行保护,而非其选择或编排的内容,侵权者很容易通过改变数据信息的编排结构来规避法律,这就会使对数据信息的保护失去意义。

著作权法、专利法对大数据领域中的新兴事物设置了较高的保护门槛,如何依靠现有的法律规定寻求切实可行的途径,是企业在数据交易中保护信息安全的前提与基础。笔者认为,在现有的法律体系中,企业对于通过人力或技术投资形成的具有商业价值的数据产品,如满足知识产权法保护的范畴,可以寻求知识产权法的保护。对于通过独创性的编排和收集形成的大数据汇编作品,可以行使该汇编产品享有的复制、发行、出租、信息网络传播等权利。对于依照法律规定,授予专利权的大数据产品,该产品持有者可依据专利法行使专利权人的相关权利。

对于在实践中,无法获得知识产权法保护的具有商业价值的大数据产品,笔者认为,在目前的法律框架内,可以作为商业秘密进行保护。反不正当竞争法规定,商业秘密是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。据此,数据企业可以将产品纳入企业商业秘密范畴,履行反不正当竞争法对商业秘密进行保护的要求,享受反不正当竞争法对企业的大数据产品进行保护的权利。同时在交易合同中明确揭示数据产品商业秘密的属性,对交易方提出保守商业秘密的要求,借以实现数据产品的交易。

当前,企业数据的法律问题因立法的空白与实践需求的矛盾,正在理论学界掀起热议,各种观点、各种意见与建议正通过各种论坛、研讨会不断涌现,作为在实务领域工作的律师,迫切希望中国的数据立法能加快步伐,适应不断发展变化的实践需求。

往期精彩回顾

康琳|APP用户个人信息安全问题研究——以6款相机类APP为研究对象

陈淇华|个人信息权与隐私权的关系——论个人信息包含说的科学性

刘旭峰|数据搜索与个人信息:规范表达与法律保护

刘益欣|国家机关处理个人信息中告知同意规则的排除适用

连雪晴|人工智能时代美国个人数据保护研究

赵艺|我国数据权利证成之要件反思



上海市法学会官网

http://www.sls.org.cn


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存