统计局数据显示,2022年以来,一季度规模以上中小工业企业营业收入和利润都分别增长了14.1%和6.5%。这其中数字化的深入发展及成果,是支持成长型企业逆势增长的重要支持力之一。
与此同时,随着数字化建设的日益深入,业务上线、设备上线、人员上线等创新模式的落地,数据已经成为企业的核心资产,同时也是支持企业日常生产运营、创新转型的重要基石。伴随而来的针对企业的网络攻击,也正在由原来的攻击IT系统、网络,转向企业数据,通过加密数据等手段,造成企业的停产、信息泄露等一系列后果。企业如何才能保护数据及系统安全,成为当下企业发展中的重要关注点。
人工智能、大数据等新一代信息技术的蓬勃发展, 使得数字经济已然成为推动经济社会变革、促进经济高 质量发展的重要动能。数字经济条件下,数据日益成为 重要的市场要素,并成为企业重要的商业资源和竞争优势。当数据价值释放愈发依赖于个人信息的“喂养”, 个人信息安全亦成为阻碍数据价值开发的“羁绊”。数据流通利用与个人信息保护之间存在着天然矛盾。
当前,《中华人民共和国网络安全法》(以下简称《网络安全法》)、《数据安全法(草案)》征求意见稿、《中华人民共和国民法典》(以下简称《民法典》)以及《个人信息保护法 (草案)》征求意见稿等一系列法律规范均对现实中严峻的个人信息保护问题予以回应。与之相对应的是,企业 数据保护还缺乏相应法律规范。
当数字经济已经成为经济发展的常态,数据保护理应顺应数字经济发展规律,应在个人信息安全与企业数据保护之间寻求平衡,在加强个人信息保护的同时,也要重视对企业数据权益的保护。 就立法现状而言,《民法典》第127条和《数据安全法》均将数据权益纳入保护范围,《深圳经济特区数据条例》第4条和《上海市数据条例》第12条均确认了企业对数据享有“财产权益”,但仍缺乏数据权益分配和数据访问规则的具体制度设计,仍有很大的探索空间。
就司法现状而言,企业数据权益保护具体规则的尚付阙如,司法只能从现行法律规范体系中寻找解决路径。由于具体保护规则的缺位,法院只能通过《反不正当竞争法》的一般条款来保护企业的数据权益,但该条缺乏具体的“行为模式和法律效果”的规定,难以为法官提供明确的案件裁量标准和为信息产业者提供清晰的行为指引。就理论现状而言,法学界对企业数据权益该采取何种保护模式莫衷一是。“数据资产权说”、“新型财产权说”主张将企业数据权利化,企业应该享有绝对排他性的数据权益。“数据公开传播权说”则主张设立有限排他的数据权益,以兼顾后续利用者的利益。“数据所有权与用益物权分离说”“名义所有权与实质所有权分离说”则出于数据上存在多元利益主体的考量,主张数据原发者和数据处理者各自享有不同的财产权利。还有一类观点认为企业数据权益的保护应该充分考虑到数据的动态流通特性,权利保护的方法不可取,应该采用行为规制的方法,如利用竞争法、侵权法、商业秘密、数据访问规则或行政监管机构规定等方法规制,反向保护企业数据权益。
可见企业数据权利保护模式和行为保护模式之间的模糊使数据法学研究陷入了困境,即便是在主张采用行为规制模式保护数据权益的观点中,也存在着具体规制方法的分歧。
数据技术和竞争手段不断更新,数据纠纷的类型也随着时间的推移而变化。用户、企业和公众还处于动态的平衡和调整之中。单一的保护模式很难适应上述变化,同时还会限制案件中法官的自由裁量权。
当前有关企业数据权利保护的模式主要有赋权保护模式与行为规制模式。赋权保护说主张构建数据新型财产权,赋予企业以数据经营权和数据资产权。行为规制模式主张根据具体情况,综合权衡损害与利益,注重对竞争行为正当性的判断。虽然对企业数据进行适当的确认保护,可以明确界定适当保护与行为自由的界限,并对他人提出合理的期待,确保法律的稳定性,给企业带来的好处是显而易见的。但企业也失去了一部分公众价值。破窗理论表明,社会将为此付出更多的机会成本。另外,价值并不意味着就有权利。企业数据虽然包含劳动价值又具有经济价值,但也只能作为一种财产性利益受到保护,而且在一定的情境下还要界定保护与自由的界限,企业数据保护理论应注重对数据形式的保护,平台企业在控制数据形式方面的利益也仅限于消极排除他人非法使用和破坏的功能。数据保护应遵循数据经济的规律,不能一成不变地片面强调对个人数据的保护,而应将个人数据的保护与企业数据的保护相协调,以达到适当的平衡,不仅要保护个人数据,同时也要保护企业数据的利益。有学者将个人数据定性为“强人格弱财产”,将企业数据定性为“强财产弱人格”,通常情况下,单个的个人数据几乎没有商业价值,只有在收集和整合大量的个人数据,形成数据集才反映出数据的财产性价值。企业数据的使用和传播主要是为了获得经济商业价值,为了降低个人数据泄露风险,扩大数据使用范围。公司经常会对收集到的个人信息脱敏,脱敏后的衍生数据往往具有很高的商业价值,但企业数据的使用范围并非完全不受限。
企业使用数据时,不得超出用户授权的范围,不得影响信息自由,公共安全和公共利益。如果基于个人数据的企业数据不符合个人数据知情同意原则或者不进行匿名脱敏处理,或者超过个人数据范围限制的,这显然违背了保护个人信息的法律规范,因此就路径构建来说,应当优先充分保护个人数据,这不仅能有效保护用户的相关权益,还能帮助企业顺利地收集和使用个人数据,以增强用户对企业的信心,在保护个人数据的同时法律不仅要满足个人对其数据权利的期望,同时也要为合理使用这些个人数据提供空间。只有通过这种方式才可以实现个人数据和企业数据的协同保护平衡数据的隐私期望和企业数据的合理使用。参考来源:
1.《企业数据保护的困境与纾解:从权利保护到行为规制》互联网杂志天地2.《企业数据保护的司法困境与破局之维:类型化确权之路》《法学论坛》2022年第3期3.《数据安全保护,企业如何才能系统化制定并执行?》经济日报4.《数据经济时代下,数据安全如何“御风飞行”?》光明网