查看原文
其他

姬蕾蕾 | 企业数据保护的司法困境与破局之维:类型化确权之路

姬蕾蕾 法学论坛 2022-09-24
点击上方“蓝字”关注我们吧

摘要:企业数据保护是大数据时代全新而独立的课题,现行司法裁判对企业数据纠纷的解决并不能解答数据权属与数据利用问题,因此,企业数据权利化成为定分止争的新路径。然而,企业数据权利化面临客体范围含糊不清、利益关系交织复杂、法律属性多元衍变等障碍,有鉴于此,对企业数据权利化应当以数据价值生成机制为导向,以企业数据纠纷的裁判基准为依据,进行类型化制度设计。具体而言,可将企业数据分为数据集合与数据产品:对数据集合,其上包含人格利益、财产利益与公共利益,可设置有限财产权,主要赋予数据控制者对抗他人不当获取与利用的行为,但在权利内容、权利期限上应予以限制,以免对其他利益造成误伤;对数据产品,其上主要承载财产利益,可设置新型财产权,赋予数据控制者对数据产品控制、使用、传输和处分的权利。关键词:企业数据;裁判规则;权利化;类型化;有限财产权
《法学论坛》2022年第3期(第37卷,总第201期)

目次一、企业数据法律保护的司法困境二、企业数据权利化的现实障碍三、破解企业数据权利化障碍的关键:类型化保护模式四、企业数据类型化的权利制度设计结语

一、企业数据法律保护的司法困境


  数据纠纷的频频发生,不仅会损害数据控制者的利益,也会影响我国数据产业的健康发展。当前,由于数据保护的立法缺位,法院对于数据纠纷以及数据事件主要从既有的法律体系中寻求解决途径。然而传统理论保护数据的力度并不充足,既有法律体系本身有其特定的立法语境与功能,无法全面适应数据利用中多元复杂的关系形态,这亟需法律对保护路径的确定与保护规则的细化,故有必要在分析相关司法裁判经验与总结有关科研成果的基础上,进行合理的制度设计。毕竟“这些无名的权益是否受侵权法的保护或者在何种程度上受侵权法的保护,考验着法官,也检验着法律”。从企业数据保护现状来看,一方面,数据保护既有规范的缺陷还需落地到司法实践中加以检验,从而与“仅具有描述性意义、个案价值,而不具有普遍意义”的数据保护问题相区别;另一方面,实证分析方式在一定程度上可以归纳出法院裁判思路与保护方式,这有助于我们在实践层面获得对数据法律保护的内在认知,同时检视司法实践中对企业数据保护的局限所在。

案例表


对比案例表可以发现,法院主要遵循企业数据的来源、功能及第三方主体对企业数据的使用程度这一裁判思路来检视第三方主体的抓取或利用行为是否构成不正当竞争,进而援引反不正当竞争法一般条款作为兜底保护方式,为数据纠纷暂时提供了解决思路。然而通过对裁判思路的分析,遵循“案件起因—裁判立场—司法局限—破解方向”的递进方式可以发现企业数据保护的真正问题所在。

  (一)案件起因:企业数据权属不清


  通过上述案例我们可以发现,涉数案件的争议点主要聚焦于企业数据的权益归属,由于相关立法的缺位导致原被告双方对第三方主体能否对涉及个人信息的企业数据直接抓取或利用展开激烈争论。在权益分配问题上,之所以对这类数据权属产生争议,主要在于争议企业数据关涉个人信息的人格利益与数据控制者的财产利益,针对不同权益,法院采取的裁判路径亦不相同,大致遵循以下解释路径:首先对企业数据来源是否合法进行论证,而个人信息来源是否合法主要依赖同意原则以及合法、正当、必要性原则作为判断标准。其次,在确定数据来源合法之后,再根据数据控制者的劳动投入大小、企业数据的功能判断数据控制者的优势程度。由此可以看出,在涉数纠纷中,法院主要强调数据控制者对个人信息安全的维护以及对个人信息集合产生的竞争利益的认可,而企业数据来源的多元性、数据本身的公开性、企业数据利益的复杂性是导致企业数据主体难以有效甄别的关键点。


  (二)裁判立场:数据控制者财产权益的司法认证


  从上述案例我们可以发现法院对企业数据权益归属的倾向:首先,肯定数据控制者对数据的权益诉求。企业数据中包含大量的个人信息,法院在对企业数据定性时,一方面从数据的数量与功能层面认定企业数据的财产属性,以保护数据控制者的合法权益,与此同时,法院认为数据控制者对个人信息仅具有使用权,故以隐私保护为由,要求第三方主体使用个人信息需要取得信息主体与数据控制者的重复授权,这种三重授权许可使用规则在保护个人隐私利益的同时又间接保护了数据控制者的竞争利益。但就企业数据权属的确定层面,法院采取的是一种回避态度,通过扩大“合法权益”的范围将这类数据的财产权益纳入其中,以此作为解决数据纠纷的权宜之计,并未直接回应企业数据的权属问题。其次,在不同的数据纠纷中,法院认定数据控制者享有的权益类型是不同的。在大部分案例中,法院认为数据控制者享有的是合法权益,而在淘宝诉美景案、谷米诉元米案中,法院直接肯定数据控制者享有的是一种独立的财产权益,后者就具有明显的确权倾向。


  (三)司法局限:从知识产权法到反不正当竞争法的路径转换


  在确定数据控制者对其收集、加工的数据享有合法的财产权益之后,如何保护这种权益给法院带来了难题。在早期的企业数据纠纷中,法院曾援引著作权法保护条款加以解决,在“2008年大众点评诉爱帮网案”中,一审法院聚焦于对企业数据的权属进行辨析,将这种编排的数据集合纳入知识产权客体范畴,但二审法院恐无限膨胀知识产权的客体边界,只能否决网络平台的诉讼请求。而随着企业数据纠纷的激增,第三方主体的搭便车行为严重困扰网络竞争秩序,法院开始转变态度,回避对数据权属的确定,转而聚焦于对他人不当行为的制止,以达到定分止争的效果。在此背景下,法院援引《反不正当竞争法》第2条作为现行解决企业数据纠纷的裁判依据。从效果上来看,在数据相关制度供给缺乏的前提下,反不正当竞争法保护方式弥补了成文法的滞后性,发挥了灵活性的功能,可基于被告的不当行为,保护数据控制者的合法利益,值得肯定。


  但仅通过反不正当竞争法一般条款保护企业数据难以从根本上起到定分止争的作用。一方面,这种保护方式仍然沦陷于企业数据权属之争的窠臼之中。通过裁判依据的转换我们可以发现,受制于法院不得拒绝裁判的原则,法院虽认可网络平台对其收集、加工的数据享有合法权益,却对这种所有权的归属持一种回避态度,这就导致了企业数据纠纷的解决必须转换为竞争机制才能获得法院认可,因此,只能陷入因权属不清引发的不良循环之中。另一方面,这种保护方式具有很大的不确定性。反不正当竞争方式是一种侵权救济路径,这种事后保护的态度并不能达到预防的效果。实践中,法决策者一般会留存一个合理边界交由法官自由衡量,企业之间也会利用Robots协议确定这一界限,但是这种合理的范围具有很大的不确定性,法院只能在个案中以第三方主体是否有违商业道德或诚信原则作为判断的合理标准。


  (四)破解方向:企业数据权利化


  确认财产归属是一切社会和法律制度的首要考虑。通过上述案例可知晓,引起企业数据纠纷的直接缘由在于数据权属不清,而反不正当竞争法的一般条款只能为企业数据提供法益层面的消极保护,数据控制者无法基于自身所获数据进行权利设计,这就导致企业数据保护的根本问题难以通过现有法律规则予以纾解。因此,明析企业数据权属,进行权利化确认是立法者当前应该重点填补的空缺,也是保障数据经济长足发展的重要前提。


  首先,企业数据权利化能够令数据控制者最大限度地实现数据权益保护。一方面企业数据权利化能够降低数据控制者的举证责任,反不正当竞争法的适用是以“过错”为要件的,实践中,一些侵权人获取数据的方式却是合法的,这就增加了数据控制者的举证难度。另一方面,企业数据权利化能够为数据控制者提供全面合理有效的积极保护,达到预防效果,因为当企业数据从利益上升为一种权利时,“它同时获得了法律的强制力保护以及社会共同体的认可,如此才能给人以安全感与合理预期”。


  其次,实践中对企业数据权利化的强烈色彩。一方面,在司法实践层面完成了对数据财产利益的确认,企业数据权利化有着坚实的实践基础。当前,数据作为一种重要的资源,无论处于何种形态都可以为数据控制者创造利润,蕴含巨大的财产价值,这种财产权益在司法层面已经达成共识。在“淘宝诉美景案”中,法院将数据产品认定为一种竞争法意义上的财产权益,这种通过竞争法路径确定的财产权益,一般符合根本性或一般性的价值,法院基于司法相对于立法的谦抑性而有意回避数据产品作为新型财产的准确定位,依赖竞争法解释路径将这种财产权益进行模糊性处理。“这可以避免对该财产权益在物权法、知识产权法上的体系论证,同时确认了这种新型财产的独立价值。”然而,法院这一开创性判决为企业数据确权开辟了道路。另一方面,在商业实践中,因数据蕴含的价值使得数据交易成为一种新型商业模式,这就为企业数据权利化奠定了社会基础。当前,企业数据的财产价值主要是通过交易方式来实现的,网络技术的更新催生数据产业链的发展,以数据交易为目的的数据中间商开始出现,数据交易市场也应运而生。因此,企业数据作为交易的客体亟需立法加以确权,这是“数据控制者在数据资源形成的新业态中对社会资源配置的一种新主张。”



二、企业数据权利化的现实障碍



  如上所述,由于现行立法缺位,法院对数据纠纷的解决可以反映出司法机关对上述问题解决的基本倾向,虽然及时解决了个案纠纷,却仍无法为数据控制者提供强有力的保护,这也为很多学者所意识到,在此背景下,将企业数据权利化为很多学者所推崇。然而因数据本身构造的复杂性、数据利益的多元化以及数据形态的多变性均成为企业数据确权的障碍。


  (一)企业数据的客体范围模糊不清


  企业数据范围模糊不清直接影响其法律属性的确定以及数据权属的配置,法院在此问题上并未仔细分析其范围究竟为何,分析企业数据范围难以确定的缘由主要有以下两点:


  1.个人信息与非个人信息区分困难。企业数据本身来源的丰富性、构造的复杂性、本身的无形性等物理特性,导致企业数据与其本身负荷的大量个人信息难以有效区分。诚然,国内外立法例对于个人信息与非个人信息大多以识别性作为区分标准,在定义个人信息之后以排除方式确定非个人信息的范围,由此对个人信息采取人格权保护方式,对非个人信息采取财产权保护方式,两者泾渭分明,互不干扰,欧盟就以此为界限采取兵分两路的立法模式构建数据保护体系。然而完美的数据体系架构需要经得起实践检验,在司法实践中,个人信息与非个人信息的区分恰恰成为一大难题,并且往往与立法者定义的个人信息在范围上存在差异。一方面,有些法院坚持以识别性为标准,认为不能识别特定个人的信息是非个人信息,但在实践中最具争议的当属网络行为轨迹、标签信息是否属于个人信息,法院对此尝试不同的解释路径,但此问题仍处于悬而未决的状态;另一方面,法院又围绕数量的大小对数据进行定性。企业数据的价值是由海量数据叠加算法生成,而单条个人信息的财产价值目前在司法实践中并未被承认。在“新浪微博诉脉脉案”中,法院认可了企业数据资源的竞争利益,而在“淘宝诉美景案”中,法院肯定了数据产品的财产权益。令人质疑的是,法院采取识别性标准区分个人信息与非个人数据,那么照此推演,在“淘宝诉美景案”中,法院认定的衍生数据与个人无对应关系,故数据产品具有财产利益的逻辑值得肯定。但在“新浪微博诉脉脉案”中,企业数据尚且处于一种资源状态,此时的企业数据中包含较多的个人信息,且部分信息尚未被脱敏处理,是具有识别性的,为何汇聚成集的企业数据具有财产价值,而同一条个人信息单独列出就失去了价值?有学者甚至提出,对大数据与小数据应采取不同的保护方式,这种按照数据大小区分保护的方式并未强调数据在不同阶段的利益承载,故难以令人信服也缺乏良好的操作性能。


  2.数据与信息关系难辨。数据与信息的关系同样也成为困扰企业数据范围确定的关键因素。实践中,多数法院认可两者是形式与内容的关系,例如,在“淘宝诉美景案”中,一审法院即采取的这一解释路径。但是通过上述案件我们可以发现,引起争议的对象有些涉及的是数据资源引起的纠纷,例如“新浪诉脉脉案”中,脉脉公司对用户信息的抓取;有些案件中涉及的是数据之上承载的信息内容的使用,例如“淘宝诉美景案”中,美景公司对淘宝公司数据产品形成的预测信息的不当使用,因此,两者的关系为何不无疑问。在理论界,就数据与信息的关系,学者也纷纷提出自己的见解。有学者从数据生命周期的角度分析两者的关系,认为信息是主观认知,数据是凝聚信息的载体,数据在生长周期中是不变的,只有其上承载的信息才会变化,纪海龙从结构层面区分数据,认为数据内在可区分内容层、符号层和物理层,数据载体与信息内容应分属不同保护路径。梅夏英更是直接否定了数据的客体定位,将其作为一种生成信息的工具。上述学者为我们深入了解数据与信息的关系问题提供了多重维度,但多围绕数据与信息的结构与功能进行分析,割裂了数据本身承载的多重利益集合和数据价值由低到高的流转架构,故未能针对企业数据的边界提出有效解决方案。


  (二)企业数据的利益关系交织复杂


  数据之上承载人格利益、财产利益以及公共利益已在理论界产生共鸣。就制度规范而言,利益冲突的调试与解决直接关系到企业数据利益的保护与限制。就司法适用而言,在既有裁判中,法院意识到企业数据的利益与其他利益的关系,但由于企业数据范围的隐晦性,法院在衡量个案时一般持微妙谨慎的态度,尽量维持各方利益平衡。然而,法院对企业数据多重利益关系的协同却伴随着模糊笼统的态度,并未将企业数据利益与其他利益进行有效析离。


  一方面,就企业数据利益与人格利益的关系,在既有裁判中,法院一般使用“用户协议”作为阻却数据控制者收集个人信息的违法性事由,学者更依此解释路径肯定了数据控制者对企业数据的排他性,然而并未指明个人信息与企业数据之间的流转情景与价值归属,这相当于将信息主体与其信息内容完全割裂,忽视了信息主体的利益诉求,因而有学者认为,“保护用户隐私成为企业主张排他权益祭出的主要理论依据。”虽然在“淘宝诉美景案”中,法院试图以企业数据的数量、内容、外观形态为切入点将数据产品与其他数据相分离,但最终仍囿于个人信息在数据产品中的作用力,难以在复杂的权利状态中清晰有效地界定信息主体与数据控制者之间的界限。另一方面,就数据利益与公共利益关系的调衡,法院一般以“合理性”以及“实质替代”作为衡量两种利益的判断要素,但这种空洞而能概括一切的标准,未能具体回应数据财产权益的主体为谁的问题。因此,在司法实践中,法院忽略了数据在不同情景中利益类型的转化,难以有效厘清数据之上承载的复杂利益形态。


  (三)企业数据的法律属性多元衍变


  数据本身因其经济价值为企业青睐,其价值生成机制包括收集、储存、处理、利用四个环节,依此环节数据价值由低向高,完成了从数据源-数据集合-数据产品的转化,推动数据流转与增值的核心正是算法的应用。有学者认为数据价值只能催生数据权利,算法规则才是勾勒数据权利边界的中心。然而数据本身具有聚合功能,承载多重利益与多元价值,在不同情景中因算法的着力不同,其形态与价值也会呈现相应的变化。以个人信息集合为例,在裁判过程中,法院仅仅将隐私保护作为数据控制者的安全保障义务,并未使用隐私权法的相关保护规范,转而援引反不正当竞争法的条款作为裁判依据,这种缘由即在于数据在不同阶段的形态转化产生化学效应,引起数据法律属性相应变化,即个人信息从数据源到数据集合完成了从强人格属性到强财产属性的变迁。当数据控制者收集个人信息源形成集合后,个人信息的识别性被海量数据与算法技术稀释,企业数据的财产属性逐渐覆盖个人信息的人格属性,此时数据控制者之间聚焦于对整体数据资源的争夺,单条个人信息的人格利益被弱化。因此,公开性、非竞争性、排他性均是在不同情景中对数据某一性质的折射,而企业数据权利理论未能深入分析数据在不同场景中的形态以及价值的转化,只是简单地将所有数据加以权利化,这就可能出现数据霸权抑或数据孤岛的两极局面,最终导致数据利益被完全垄断或割裂,阻碍数据经济的健康发展。因此,整体过强或过弱的数据财产权均难以实现数据保护与共享的双赢效果。



三、破解企业数据权利化障碍的关键:类型化保护模式


  目前,企业数据内涵与数据权利体系在理论界尚未达成共识,虽然提倡企业数据权利理论的学者注意到数据作为一种新型资源在大数据背景下的划时代意义,但大都对企业数据采取一刀切的方式进行绝对财产权保护,这种概括权利的保护方式未能深入分析企业数据本身在不同场景中的形态转化,以致于企业数据的主体与客体范畴均难确定,最终难以有效协调多方利益关系。我们应该意识到,数据的类型包罗万象,不同阶段的数据形态应受不同规则保护,由此才能实现数据规则构建的准确、周延与完整。因此,企业数据权利化须以数据价值生成机制为方向进行类型化区分,根据数据在不同阶段承载的不同利益类型,采取差异化权属配置方式,确定区分保护模式。


  (一)企业数据类型化:基于数据价值生成机制的区分标准


  上述司法案件可以发现,法院对于企业数据项下的不同分类在认定法律性质以及保护方式上存在着客观差异。在此情形下,区分标准的确定是类型化工作的关键问题。


  1.数据类型化的现有标准。数据的类型化有利于我们从不同切面剖解数据的深层含义,而哪种具有法律意义的分类方式更适合作为企业数据保护的解析基础?目前关于数据类型的划分方式多种多样,有以主体为标准将数据划分为个人信息与非个人信息;也有以数据的公开与否为标准,数据可分为公开数据、半公开数据与非公开数据;甚至有以数据的内在层次为标准,数据可分为物理层数据、符号层数据、记忆内容层数据;这些分类方式虽然从不同视角帮助我们直观理解数据的内涵与构造,但仍是一种静态分类,未能从技术角度深入研究企业数据的价值生成机制,故无法界定数据的法律属性,难以解决数据权利化问题。


  2.基于数据价值生成机制的类型识别:数据集合与数据产品。数据作为法学领域的研究对象,正是源于互联网技术的提升。因而,探寻数据类型的划分标准还应该回归到其技术层面。价值是数据的核心,而算法技术是数据价值生成的核心架构,鉴于数据价值的动态性与阶段性,对企业数据的区分标准应该建立在数据价值生成机制上,以此才能符合数据流转的客观规律。以数据价值生成机制为视角对数据分类的优势在于:首先,有益于考察数据在不同阶段的价值形态。这种分类方式将数据流转过程中相关的主体、行为、形态、场景等有效统摄,从数据价值生成的视角再加上算法技术的嵌入,探寻数据在不同场景中的价值状态,从而能够有效确定数据控制者的权益层次需求。其次,有助于厘清数据在不同衍化阶段的利益类型。数据从产生到利用是一个动态发展的过程,在不同阶段数据处于不同的领域,其生成的价值大小亦不相同,承载的利益类型也是向前向后迁移转换的,故可识别不同场景中数据相关主体的利益需求,进而将其利益进行有效抽离,避免将数据利益与其他利益完全割裂,造成不必要的利益误伤。最后,可有效实现数据保护与数据共享的双赢效果。数据本身具有无形性、可复制性与瞬时性等特征,基于此,从数据价值的运行规律与商业实践出发,对不同阶段的数据进行不同的制度设计,依此可以有效消解上述分类中所带来的数据性质的静态化与绝对化,将数据的秘密性、公开性、非竞争性、排他性等内在性质统摄在企业数据保护的制度构建中,形成全方位的保护体系,有利于保持数据经济的长足发展。


  因此,笔者以数据的价值生成机制为标准,将数据分为原始数据、数据集合与数据产品。原始数据指未经加工的原始形态的数据,主要包括个人生成的数据源与机器生成的数据源。数据集合指对原始数据的收集、清洗、加工后所汇集的数据集。数据产品指对数据集合进行深度加工与处理,从而形成一种智慧决策,作为产品升级或企业制定营销计划的依据。


  (二)数据集合与数据产品裁判标准之差异


  此种分类的针对性与有效性可回归司法实践加以检验。案例研究所得出的结果虽然不够全面,但在一定程度上能映射我国对于企业数据纠纷审理的态度,这种司法经验对于企业数据类型化的制度设计具有指导意义。为了更直观地折射数据价值生成的机理以及利益类型的动态转化,本文甄选“新浪微博诉脉脉案”“大众点评诉百度案”“淘宝诉美景案”“谷米诉元光案”等典型企业数据纠纷为分析对象,针对案例中数据集合与数据产品的裁判规则进行对比解析。在上述案例中可清晰地将数据划分为三种类型:数据源(原始数据)、数据集合与数据产品,而数据纠纷类型聚焦于数据集合纠纷与数据产品纠纷。其中,数据集合纠纷以“新浪微博诉脉脉案”“大众点评诉百度案”为代表,因数据集合之上承载人格利益、财产利益与公共利益,其数据流转机制主要遵循以下路径:(1)通过《用户服务协议》获取用户授权采集数据源,形成数据集合;(2)通过《开发者协议》授权第三方主体使用部分基础数据。数据产品纠纷以“淘宝诉美景案”“谷米诉元光案”为代表,此时数据产品之上仅承载财产利益,其数据流转机制遵循以下路径:(1)通过《用户服务协议》获取用户授权,形成数据集合;(2)在原始数据基础上通过一定算法,形成预测型的视化数据内容。目前法院对于企业数据纠纷的解决正是从数据价值的生成过程切入,就数据集合与数据产品遵循不同的裁判标准,揭示裁判者对两类数据纠纷的不同态度。


  1.数据集合纠纷的裁判基准。在数据集合纠纷中,数据控制者一般通过合同授权取得数据源,此间涉及的是数据控制者与信息主体之间关于个人信息权益保护的维度。随后,数据控制者将准确有效的数据源汇拢之后,作为数据分析的基础,发掘出了数据的部分价值,至此数据源不再具有公共属性,开始具有部分排他性质。这不仅是肯定数据控制者的劳动投入,还是对数据源生成数据集合本身的财产价值的承认,因而数据控制者对其数据集合享有竞争性财产权益并无疑问。但是由于数据集合仍然没有改变数据源的初始形式,只是将符合需求的海量数据聚合到数据控制者领域,数据集合此时承载了个人人格利益、企业财产利益以及公共利益三种利益类型,这些利益交织在一起,并没有因为数据控制者对其享有的竞争性与排他利益而消灭,反而会凝聚在一起不断出现利益冲突,也不断提出平衡各方利益关系的要求。然而此阶段企业之间已经过渡到资源竞争的维度,个人信息处于弱保护的被动状态,其人格属性被数据集合吸收,信息主体的授权成为数据控制者享有合法排他权益的防护盾,“三重授权规则”折射的正是这种裁判思路。另外,对于数据集合的共享,企业之间一般通过“合作协议+Robots协议”防止第三方主体不当抓取数据,以维持自身优势竞争地位。由此可知,法院对数据集合纠纷的解决主要以数据来源合法性、数据集合的授权范围以及行业惯例作为裁判基准。


  2.数据产品纠纷的裁判基准。在数据产品生成阶段,数据控制者对数据集合进行深度汇总与分析,从杂乱无章的数据集中提炼内在规律,形成具有价值的信息供数据控制者作归纳性推演,是数据从量变到质变的过程,也是数据价值生成的最高点。技术的介入改变了原有数据本身的结构,原始数据中的人格属性不再,是独立于个人信息、公共数据之外的新型数据,此时其上承载的利益类型仅包含数据控制者的财产利益,因此,企业之间的竞争从数据资源的争夺聚焦到数据产品的创新,通过数据技术形成的劳动成果成为引起数据纠纷的关键。在“淘宝诉美景案”中,法院认为,美景公司未付出自己的劳动创造,仅是将他人数据产品直接作为自己获取商业利益的工具,其使用“生意参谋”数据产品也仅是提供同质化的网络服务,并未进行技术创新。在“谷米诉元光案”中,法院认为通过算法分析整合的预测信息具备无形财产属性。由此可见,是否具有技术创新与劳动投入成为解决此类数据纠纷的裁判基准,数据控制者对其数据产品享有独立排他的财产权益,可以对抗第三方主体不劳而获的不当竞争行为。


  3.数据集合纠纷与数据产品纠纷裁判基准之差异。上述案件中,数据集合与数据产品两类数据纠纷的不同之处在于,前者受制于数据的多重来源与利益多元,体现的是以代码为形式的数据集合的资源争夺与权益分配,后者聚焦于数据产品的技术创新,体现的仅是他人对信息内容的不当使用和窃取,由此可以发现,数据质变与否决定了数据权益配置的不同。当数据集合包含个人信息、公共数据时,数据控制者只是使用算法技术对数据源进行清洗优化,其结构并未改变,因此,数据控制者享有的是对数据资源的排他性使用权。当数据控制者将算法技术与数据集合结合产生核变,数据作为一种独立的载体而存在,满足了作为财产权利客体的可支配性要求,具有独立的竞争性与排他性,此时数据控制者利益诉求也达到最大化,其权利主张亟需立法给予回应。在实践中,数据控制者通过技术加密的形式防止他人对其产品的不当使用进行自救,Robots协议作为行业准则正是数据控制者维护自身利益的直接体现。在司法实践中,受制于类似案件较少,当前实证分析虽然未必全面,但总的来说法院对企业享有数据产品的财产所有权所持的也是一种积极肯定的态度,已经有绝对权的色彩,只因数据规范的缺失,导致法院只能援引现有规范给予回应。在“淘宝诉美景案”中,法院首次承认数据控制者对数据产品的享有财产性利益,是对数据权利确认的边缘化尝试。但确权与否事关民事法律制度的确定,基于“物权法定”原则,法院并未确认。


  综合而言,以算法为技术架构,数据价值经历了从低到高的递增过程。以数据价值生成机制为切入点,以实证分析为手段,可以有效判断出数据集合与数据产品的属性区别,并对其上利益类型有效剖离,聚焦于具体场景并设计有效的规制路径,从而满足数据在保护与流通的不同利益诉求。



四、企业数据类型化的权利制度设计


  数据价值的生成机制清晰地呈现了数据在不同阶段的多样形态,任何单一的保护路径均无法涵盖数据的多元利益与多重属性,因此不同阶段的权益配置自不相同。


  (一)数据集合的有限财产权定位与建构


  在数据保护立法缺位的前提下,适用竞争法路径可为数据集合提供一定意义上的保护。但长远而言,赋予数据集合排他效力似乎更能回应数据控制者的利益诉求,同时弥补竞争法保护的局限性。在司法实践中,法院对于数据集合的财产权益具有排他性已经认可,但是基于其上兼具公共利益、人格利益的需求,因此在采取权利保护模式的同时,应该将此类权利客体与权利内容设置在一定的范围内,并对其权利加以限制,那么可为数据集合提供强度适中的保护模式,以实现利益之间的均衡效果。


  1.数据集合的利益融合。数据集合承载人格利益与财产利益,对于信息主体而言,一般主张人格权保护其合法权益,对于数据控制者而言,一般采用财产权益主张自身的利益诉求。因而其既具有个人信息保护的要旨,又具有较强的财产利益诉求,这是数据利益分化的难点所在。笔者认为,数据集合的财产属性与人格属性是相辅相成的,两者不能完全割裂进行区分保护,这种方式并不具有可操作性,因为“‘边界’划分是网络空间的一大难题。”因此,与其从不同角度区分人格利益与财产利益,不如反其道而行,将数据利益融合方为数据集合保护的破解之道。


  首先,从法律属性角度而言,财产权的客体不仅应该容纳自然的有价值之物,还应容纳劳动产物、精神产品等为人所创造、利用之物,不能包容社会发展的有价值的新事物,法律将与现实脱节,因为“财产代表了我们所处世界的显著特色。”数据集合之上虽然承载多重利益,但任何事物都具有本质属性。通过上述案例我们可以发现,数据控制者采集数据源之后,数据集合的财产属性淹没单条个人信息的人格属性,总体呈现为一种弱人格属性而强财产属性的特征。当个人信息进入集合池中,数据价值的生成成为大数据运行机制的核心,数据量的剧增不断提升数据集合的价值,也时刻折射数据控制者的利益诉求,呈现的是数据控制者的劳动投入与数据价值可视化增长,因此,数据集合的财产权益保护应该强于对个人信息的人格权益保护。


  其次,从价值生成角度而言,数据集合的价值源于算法与数据源共合而成,这种价值生成机制直观呈现了两种利益的融合。技术架构的介入既是数据价值生成的要件,又是“数据集合合法的最大公约数”。上述案例中,法院均认为对个人信息的利用应该遵循最少、必要性原则,这可归结为个人信息利用合法的前提。比较法上,欧盟《一般数据保护条例》、美国《消费者隐私保护法案(草案)》明确了数据控制者处理个人信息的合法性基础,并将个人信息保护作为数据控制者的法定义务。这就有效缓解了个人信息与数据的绝对封闭状态,总体上调和了人格利益与财产利益之间的冲突。基于此,数据控制者可就数据集合加以利用、抵押、处分等,但保障个人信息安全成为数据利用的前提要件。


  最后,从功能角度而言,网络服务协议目前似乎是信息主体与数据控制者利益平衡的最佳方式。信息主体的同意对内既是数据控制者取得信息使用权的依据,对外又是排斥他人不当抓取数据的有效利刃。虽然是“将个体人格权保护转化为财产权保护的无奈选择,”然而信息主体通过享受服务便利而将自身信息使用权暂时让渡给数据控制者,实现了人格权的商业化利用,此间人格利益并非不受保护,合理的信息使用义务是双方利益平衡的最佳机理,一方面保护信息主体的合法权益,另一方面可以有效保证数据聚集的运作机制。另外,为保障自身数据集合的排他性,数据控制者往往也会通过网络服务协议限制信息主体的后续传播行为,即信息主体在注册App之后所获取的数据不得进行大量复制,否则应该承担违约责任。


  2.数据集合的有限财产权定位。无论是现行司法实践抑或现有理论学说,对于数据集合的保护模式基本上可以归结为两类:权利保护模式与行为规制模式,这两种保护模式的差异不言而喻。鉴于数据集合的特殊性,若设置较强的财产权,则忽视了其上承载的人格利益与公共利益,且容易限制数据的流通与再利用,苛以义务相对人过重的义务;如若采用行为规制模式,无法解决数据控制者的本权问题。因此,针对数据集合本身的特殊性,本文认为,可以在数据集合之上创设一种有限财产权,以此回应数据控制者的利益诉求,这种财产权并不具有绝对性,在其客体范围、权利限制、规范行为以及侵权抗辩都将数据集合的排他性限制在适中的保护强度内,由此可以有效解决竞争法的不确定问题。总的来说,数据集合的有限排他权在积极层面表现为转让该数据集合或者许可他人使用的权利,在消极层面主要指规制他人未经同意而不当抓取数据控制者所采集的数据集合实质性内容的权利。上述关于数据集合的案例可以发现,对于数据集合纠纷的争论点在于他人对数据集合的不当抓取与利用行为,数据控制者往往对单条用户信息并不享有独占权,而过度限制数据传播很可能会引起后续的寒蝉效应,损害公共利益,因此,照现行数据经济的发现趋势,对数据集合排他性进行合理限制是应有的选择,从外围具体限制排他范围,亦可勾勒出数据集合的有限轮廓。


  数据集合的有限财产权并非凭空想象,这种有限排他效果通过罗马法上的准占有制度可以诠释数据控制者对数据集合加以控制的具体形态,同时通过比较法上的准财产权制度也可折射出这种有限排他的效果。以所有的意思通过外在行为表现出其对该物的他物权,同样是一种合法权利的行使,或者称为合法的“准占有”,是通过一种权利的行使达到控制某物的效果。而准财产权是在特定情形下,通过在某物上设置一种仅对抗特定行为人的权利,来保障权利人的合法权利,这种特殊的排他权介于物权与债权之间,既不仅仅对抗合同相对方,又不会将这类权利置于绝对排他的境地。这种有限排他权旨在将具有财产利益的某种特殊物与传统财产相区别,回应权利人的利益诉求,对抗他人的搭便车行为。数据集合的这一定位实际上是将传统财产权学说进行扩充与软化,强调人与人之间的关系。“财产的性质对财产权的性质影响非常大”,随着无形财产的出现,在排他权机制的模块化组合中,就开始出现一般的较宽的排他性机制到具体行为管制机制的过渡。因此,当这种有限排他权排斥某个具体行为或者某类特定主体,就可以理解为权利人享有某种有限财产权。从功能与具体实践层面来看,数据集合有限排他权的适用其实与竞争法的规制路径所产生的效果类似,但是从数据发展的前景来看,合理确定的产权模式更有助于提高数据技术的创新与发展,可以预防竞争对手轻松享用他人劳动成果的风险,同时有助于数据控制者选择积极许可他人使用或公开数据。


  3.数据集合的有限财产权建构。根据以上对数据集合的定位以及理论学说,本文认为数据集合有限财产权可以从权利主体、客体、内容、期限及权利限制加以建构。


  (1)权利主体。数据控制者通过网络服务协议收集信息主体单条信息,此时其仅享有许可使用权,然而当其通过算法对海量数据进行甄别、清洗之后形成的数据集合本身就成为具有竞争价值的数据资源,此时数据控制者是数据源的主要加工者,享有排他性的财产权益现在学界已基本达成共识。


  (2)权利客体。数据集合财产权客体是数据集合,即数据控制者通过服务协议或者其他合法方式采集并加工整合的数据资源,这种数据类型是可以具有竞争意义的财产利益。值得注意的是,有限财产权是具体赋予数据控制者排除他人对数据集合不当利用行为的权利,由于数据的无形性特征,数据集合排他范围的确定需要依赖算法技术的反推。因算法在数据价值生成的核心作用,由算法处理的数据集合可以实际呈现其最大阈值,从而塑造数据集合的合理边界。


  (3)权利内容。数据集合财产权的内容主要包括积极面向与消极面向。积极面向体现为数据控制者对其合法采集的数据集合享有控制、使用、许可他人使用或转让的权能;消极面向体现为数据控制者有权禁止他人非经许可对其数据集合的实质内容进行复制使用或许可他人使用。


  (4)权利期限。数据的时效性直接影响数据集合的商业价值,司法实践中涉及的数据大部分具有实时性,这种数据实效的敏感性有时直接决定了是否能吸引更多用户的访问与使用,例如上述“大众点评诉百度案”“谷米诉元光案”收集的一般都是即时数据。立法给予数据集合的排他使用是必要且必须的,而数据集合承载的公共利益决定了这种有限排他权利并非永久存在,其在时间效力上需要受到一定的限制,而从限制的另一面来看,对于期限的设定同样意味着这种权利在法定期限内受法律保护。本文认为,对于该权利的期间限制可借鉴国外对数据库权的权利期间的设定,对于期间计算点可借鉴欧盟对数据库权的保护期间,设置在15年到25年之间,以求最大限度符合数据发展的经济规律。


  (5)权利内容限制。数据集合承载人格利益与公共利益,因此,在涉及个人信息层面应该优先保护信息安全,必要时可引入个人信息侵权公益诉讼机制,缓解信息主体在信息采集中的弱势地位。另外,应该更新知情同意机制,数据的自动化决策不可预测,信息主体难以有效对抗这一技术,传统同意规则面临全面瓦解已为多数学者提出。笔者认为,为保障个人在网络中的正常交往与合理隐私期待,保证信息处理的透明度,确保个人在信息处理分析中的积极参与和交流是个人信息保护规则的必备要素。而同意规则是保证信息主体知情权的第一道阀门,区分个人一般信息与个人敏感信息,在对敏感信息收集时应该取得信息主体的明示同意,在对一般信息收集时,采取默示同意即可。另外,在涉及儿童隐私信息时应该取得其监护人的明示同意。在涉及公共数据时,应该确定数据集合合理使用的范围、建立数据强制公开制度、建立数据强制许可制度等,以平衡数据集合与公共利益,从而实现数据利益最优。


  (6)侵权救济。数据集合侵权主要表现为不当抓取与非经授权利用的行为,由于这种侵权行为一般具有隐蔽性与技术高超性,对于损害结果,并非像损害有体物一样导致其毁损或灭失,其损害结果在于侵害数据控制者对于数据集合享有的排他性专有权利。因此,在责任方式上应该采取与现行数据技术相匹配的预防措施,即停止侵害、消除危险、排除妨碍,具体而言主要包括停止处理、删除、采用技术手段恢复原状等。


  (二)数据产品的财产权定位与建构


  1.数据产品财产权定位的正当性


  (1)数据产品的财产本质要求赋予绝对权保护力度。事物的本质要求立法者与司法者对事物做适当区分,对不同事物做区分保护。而数据产品主要体现为通过算法加工处理形成的决策信息,其在内容上已经脱离个人信息与公共数据,在呈现方式上是具像化的产品信息,这种经过深层加工处理的新产品符合加工归属的规则。这不单是对数据控制者的劳动确认,更主要的是对创新数据产品的财产认可。上述将数据集合定位为有限财产权,而数据产品在性质上已经成为一种纯粹的财产,然而又因与知识财产的独创性相异,故将其确定为一种新型财产权,以全面回应数据控制者的权利诉求。


  (2)数据财产权的欧盟实践。在数据产品之上建立绝对权并非凭空捏造,欧盟数据财产权的构造就诠释了权利化方式的可操作性。2016年欧盟发布的《数据所有权与数据访问的法律研究》(Legalstudy on Ownership and Access to Data)探究现有法律对数据规定的不足以及数据相关法律关系。之后欧盟委员会于2017年发布名为《建立欧洲数据经济》的文件,提出“数据生产者权利”,即设备的所有者或长期用户(即承租人)授权许可他人使用非个人数据的权利。在同年9月发布的《非个人数据自由流动框架条例(提案)》中规定该权利客体是“非个人数据”,即是通过计算机中的应用程序或服务自动生成的数据;或者在处理设备、软件或机器(无论是虚拟的还是现实的)所接收到的传感器创建的数据。笔者认为,欧盟确权的对象是非个人数据,从立法意向来看针对的数据类型包括数据集合与数据产品,但诚如上述分析,对数据集合赋予过强的财产保护力度会对其他利益造成误伤,因此,可借鉴欧盟确权经验仅在数据产品之上设置财产权。


  (3)以算法为中心可确定数据产品权利的边界。构建一项新型权利会招致很多不同的声音,根植于劳动赋权理论等数据权利化理论引起一些学者批判。引起争议的缘由如上分析在于忽视了数据产品本身的财产权利,更多地聚焦于对数据控制者劳动成果的肯定以及后发创新机制的推动,因此,本文认为,可通过算法技术确定数据权利的边界:一方面,通关算法确定数据产品的具体范围。算法处于数据价值生成的核心,数据的价值依赖算法的激活,在数据采集阶段,算法点醒代码层数据,形成大量数据资源,在数据成品阶段算法通过对数据的代码层分析演绎来激发数据的内容层,进而通过定性定量分析为市场提供智力决策,创造巨大利润。因此,以算法为区分线,经过算法处理并变异的数据产品,与个人信息在内容上不再具有对应性,所折射的是具有独立价值的新型财产。另一方面,在实践中,数据控制者一般通过加密、Robots协议等技术勾勒的财产所有权边界可以作为数据权利的雏形。例如,最典型的就是数据控制者之间签订的Robots协议,该协议可限制与阻止企业大规模抓取或复制数据的范围。国内外司法实践一般将算法规制方式作为行业惯例予以认可,但通过法律制度嵌入算法之中,才能为数据权利找寻到正确的制度空间。因为,无论在数据集合的采集中抑或数据产品的排他利用中,这些技术措施都是企业在实践中寻找数据权利生存边界的有益尝试,亦可体现数据控制者通过算法规制数据行为的权利雏形。


  2.数据产品的财产权建构。数据财产权作为一种绝对权,其结构体现为数据控制者对其数据产品的控制、使用、传输、处分的专有权能,以及相应的权利效力。


  (1)权利主体。上述分析可知,数据控制者对数据集合的采集属于单一的法律行为,故数据控制者享有数据集合的财产权益一般并无疑问。然而当配置数据产品权利归属时,往往会存在深层加工、分析的行为,而现行数据分析技术已然成为一种专业服务,逐渐形成数据采集者与数据分析者的分工,所以数据产品的形成可能源于多个主体,此时的主体为谁?不无疑问。因此,当涉及多个行为主体时,首先需依照合同约定来确定数据产品的归属;当无合同约定具体主体时,应该依照行业习惯;若无行业习惯则可依照“板添画规则”,将数据产品配置给挖掘数据价值较大一方为所有权人。


  (2)权利客体。上述分析可知,该权利客体应为数据产品,即利用算法技术对数据集合进行深度加工分析,从而得出新知识以供数据控制者做出智力决策的无形财产。当数据产品在符合法定要件下可获得著作权制度、商业秘密制度的保护,至此,由知识产权制度、有限财产权制度以及新型财产权制度共同构建出全方位数据利益的保护体系,以填补数据保护制度的空缺。


  (3)权利内容。数据财产权作为一种新型权利,比照传统的所有权、知识产权的设计,这种专有排他性的权利体现为数据控制者对其专有数据产品的控制、使用、传输和处分的权利。首先,数据控制权是指数据控制者在合法取得数据后,对其加工、分析后产生的数据产品享有的占有权,这是一种原始取得,这种占有权还具有一定的“公示作用”,以彰显数据权利在转移、授权时所发生的效力。其次,数据的使用权是指数据控制者在收集数据后,对数据加以利用的一种权利,主要分为内部使用和外部使用。内部使用是指数据控制者利用数据产品作为产品研发、风险预测、系统升级或战略投资、市场营销的依据。外部使用是指数据控制者以外的第三方主体对数据产品的使用,如数据产品作为“财产”在数据交易中实现信息与货币的交换,或者数据控制者将数据产品与第三方共享等,都是对数据的外部使用。复次,传输权能,即数据控制者对数据产品通过专设的网络渠道进行传输的权利,这是数据控制者依赖技术措施使数据产品产生事实上排他性的体现,防止数据产品的公开化降低其经济价值。最后,处分权能,即权利主体对数据产品进行转让、删除、销毁等方式,进而变更或消灭权利的权能。由于数据的无形性、可复制性的自然属性,数据作为一种无形财产可以被反复处分,哪怕是数据财产之上会有多个主体并存的状态,也并不影响数据的使用价值。因而,数据财产权的处分权能并不强调数据的归属,而着眼于对数据的循环利用,综上归纳,数据控制者对数据产品的处分主要包括许可他人使用与转让给他人。


  (4)权利效力。数据产品财产权作为新兴权利,具备其他财产权所应有的排他效力、优先效力与请求效力。应注意的是,对于数据产品,行为人并不需要对其进行占有,仅需对其控制或认知,即意味着“占有”,这就无法通过请求返还原物的方式恢复原状,因此,该财产权的请求效力主要包括恢复数据产品完整性请求权与删除数据产品请求权。



结语


  权利的本质是对正当利益的法律化或制度化。目前,企业数据保护依存于现有的法律制度存在无法内化的问题,对企业数据权利化在理论界与实务界呼声高涨。然而,企业数据权利化的关键不是确认数据利益,而是确定权利边界,以平衡利益冲突。面对复杂的利益关系形态,如何均衡各方权益成为各方关注的焦点。权利的配置应该与社会发展的现实需求相适应,因此,对企业数据而言,区分设计保护的思路更符合数据流转的客观规律。本文提出在企业数据权利化的基础上,根据企业数据在收集阶段与加工阶段的价值形态,赋予差异化财产强度的保护,虽然尝试设计的制度细化规则并不能得到全部认可,但对当前企业数据纠纷的解决或许也不失为一种合理选择。


END


作者:姬蕾蕾(1989-),女,河南安阳人,法学博士,上海交通大学凯原法学院博士后流动站研究人员,研究方向:民法学与信息法学。
来源:《法学论坛》2022年第3期“热点聚焦”栏目

《法学论坛》2022年第3期目录与内容摘要江必新 孙珺涛:习近平法治思想的主题与主线喻中:论中国特色社会主义法治理论的体系李建伟:习近平法治思想中的营商环境法治观徐海燕 | 表见代理构成要件的再思考:兼顾交易安全和意思自治的平衡视角张海燕:知识产权行政行为所认定事实在民事诉讼中的效力刘成安:民法典时代民事习惯的司法适用王禄生:区块链与个人信息保护法律规范的内生冲突及其调和张恩典:数字接触追踪技术的实践类型、社会风险及法律规制
分享本文:
点击界面右上角按钮,在弹出框中选择“发送给朋友”或者“分享到朋友圈”本刊微信号:FXLT2019本刊微信二维码:
点击「在看」,就是鼓励

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存