内容摘要:企业是推动支持当前数据经济发展的中坚力量。企业积极投入大量技术、资金和人力成本,是大数据得以形成和运营的关键前提。但是,企业投入数据经济的意愿和努力,最终取决于企业数据能否得到充分、合理和有效的法律保护。目前,从私法保护角度来说,企业数据保护走出借用传统法律的策略转向数据新型财产权化新机制,时所必然、事所必然。但是应该注意,企业数据保护在承载企业追求经济化的功能的同时,具有多重功能的聚合性和所涉利益关系的交织性,这些导致企业数据财产权保护路径的设计非常复杂。它形式上虽然采取私权形式,但与民法上典型的财产权不同,需要兼顾多种功能、多种利益协同的保障要求,因此无法采取简单意义的财产权构造,而是需要呈现为一种具有极强外部协同性的复杂财产权设计。在这个意义上,虽然具有权利之名,但实际包含了极为复杂的法律秩序安排;与采取私权形式的知识产权机制,以及没有采取私权形式的企业竞争保护机制有一定相似之处,但功能和结构更加繁复。
关键词:企业数据保护财产权化路径数据功能聚合 数据财产权 数据关联利益
一、企业数据保护实践与法律瓶颈现象
随着科技产业不断变革特别是大数据技术的不断发展,数据经济由此日益兴盛,而数据资源化成为所谓的“新石油”。我国出台的大数据战略也提出要构建以数据为关键要素的数字经济。但是,数据本身不是自动生成的,而是靠政府、企业、社会、个人各方面合力形成的。其中,企业是推动支持数据发展的中坚力量。随着信息科技的日新月异,越来越多的企业具备了收集、处理、分析原始数据的能力,有的甚至发展了创造全新的具有价值的数据集合(比如数据库、大数据)的技术能力。日常生产生活中不断产生的各种信息被收集、记录并转为数据以各种形式存储下来并且不断转化成经济动能,以此推动实体经济与数字经济的融合。
企业支持数据发展的意愿和努力,最终取决于企业数据能否得到充分、合理和有效的法律保护,特别是私法保护。企业在数据利益的驱动下,投入了大量的资本和人力资源,不断开发和改进数据技术,不断改进数据生产、收集和分析方法,不断完善各项数据活动、理顺各种数据关系,从而达成数据繁荣和经济高效化。其中,有的企业是利用大数据技术解决企业自身问题,提高决策的准确性;还有一些企业则逐渐认识到大数据技术相关的数据集合中的交换价值,将数据集合作为交易对象。但是不论是何种情形,企业数据保护问题都显得越来越为重要和迫切。现实中,企业数据纠纷不断出现,近期甚至有喷涌之势,涉及复制、窃取、侵入甚至争夺等;有些甚至发生在超大公司之间。例如,2017年6月发生的顺丰宣布关停菜鸟数据事件、2017年8月间华为和腾讯之间因前者发布荣耀Magic手机而引发的关于用户数据之争。这些数据纠纷不仅对数据企业带来损害和挫伤,也对我国数据市场和社会秩序产生巨大动荡。
企业数据保护问题正在作为一个全新的具有独立意义的全新问题呈现出来,应该及时为之进行法律创制。遗憾的是,关于企业数据保护存在严重的法律瓶颈现象。一方面,企业数据保护新法尚未有效创制。目前相关数据纠纷和事件总的来说,主要还是从既有法律体系中寻求方案加以解决,最为经常的做法是通过合同法、知识产权法和反不正当竞争法的相关路径加以解决。另一方面,企业数据保护与既有法律保护制度所面向的问题存在根本差异。这些既有的法律体系本身并非为企业数据问题而设,有着自己特定的立法语境和功能,因此用其来处理企业数据问题不免具有某种间距性。这就导致企业数据保护问题通过现存法律保护秩序加以化解,难以令人满意。
例如,数据合同法路径救济的前提是相互之间存在预先的合同安排,但是我们发现这种合同安排无论如何周密也只是一种债的保护,本身不具有排他性,根本不能用来对付来自第三人的数据加害,而在现实中数据加害往往就是来自企业数据合同关系之外的第三人侵入或者非法利用。又例如,知识产权法和反不正当竞争法路径与合同法路径虽然有所不同,在对于相应利益的保护上具有排他效力,但是通过分析可以发现其在适用条件和效果上与日益发展中的数据保护要求仍然并不具有对应关系。结果,由于缺乏有效法律手段,一些企业在面对重大数据纷争时,往往只好采取自己私了或者求助主管部门的办法,前述顺丰菜鸟数据事件、华为和腾讯用户数据之争就是这样的例子。实践中,不少企业因此走向了通过提升技术和管理手段来保护数据的自救道路,但是这为企业数据经营带来巨大成本,同时也可能给数据开发和应用带来意想不到的障碍或陷阱。
当然,也有部分当事人和法院开始试图在现有法律体系里面寻求有所超越的方式。2017年以来,司法实践的一种新趋势就是试图激活《反不正当竞争法》第2条的一般条款中的“合法权益”,以抽象的不正当竞争行为名义,对于非法侵入、使用企业数据等行为加以排除和进行救济。在一些案件,甚至直接以企业对其数据是否存在投入作为给予保护与否的前提。例如,在北京阳光数据公司诉上海霸才数据信息有限公司技术合同纠纷案中,法院认定原告对于诉争金融数据库付出了大量投资,因此应获得保护;在上海钢联电子商务有限公司诉上海纵横今日钢铁电子商务有限公司、上海拓迪电子商务有限公司的不正当竞争纠纷案件中,上海市第二中级人民法院同样判定原告对其投入了大量人力、物力、财力和时间搜集编汇的钢铁价格数据信息具有合法权益。这种做法非常接近于为企业就其合法形成的数据确立一种新的排他性财产权。不过,这些案件名义上仍然限于反不正当竞争范畴,是借助一般条款对于《反不正当竞争法》的扩用,本质上未超出反不正当竞争的功能框架,并不具有完全有效的针对性,因此不足以回应企业数据如何获得充分保护的问题。
二、企业数据保护的财产权化路径的确立
笔者在2015年年底开始,提出通过立法为企业确立数据新型财产权以此保护企业数据的思路。当今推动经济结构优化,促进数字经济发展目前最重要的手段,是将数据采集、传输、存储、处理等信息设备不断融入传统产业的生产、销售、流通、服务等各个环节。这些手段可以直观地分为两部分:原初数据和企业机构采集、加工、处理、利用数据。从整个社会经济发展角度出发,不但需要鼓励个人用户积极提供数据,还需要企业积极收集利用数据。如果仅赋予个人信息权(个人信息的财产权和人格权),比如欧盟GDPR中所列明的知情权、拒绝权、被遗忘权等,那么那些为准确利用数据投入了巨大资源的企业机构就会丧失积极性,不仅不符合劳动原理,更不符合数据经济规律。为此,笔者的初步构想是:数据经济发展时势所趋,数据保护应当顺应数据经济的规律性,不能静态地片面强调个人信息保护,而是应该将个人信息保护与企业数据保护统一起来进行合理平衡,既要保护个人信息,又要保护企业数据利益。因此,应当针对数据经济发展的动态过程性和包含的主要利益关系区分个人信息和数据资产,按照数据阶段分别构建自然人的关于个人信息的权利和企业的关于数据的权利,其中后者统称为企业新型数据财产权,具体包括数据资产权和数据经营权两种形态,两者之间形成一种过程平衡关系。从数据经济开展的规律来看,企业数据财产权在功能上可以为企业数据活动的投入和合理进行提供最基本的动力和保障。按照这种设计,企业的数据财产权成为企业对其数据的直接保护依据:企业通过法律对其数据产品的这种赋权,直接获得保护其数据的一种全新的独立的合法根据。
这种企业数据财产权设计与知识产权比较,有许多相似之处,都是权利形态,特别是在基于经济化而最终得以财产权化的形成条件这个点上极为相似。企业数据权主体在自身经济动力促动下制作了具有特定化的数据产品,知识产权主体也是在自身动力(不完全是经济动力,但经济动力非常关键)作用下促进了特殊智力成果的创造;企业数据财产权设计与企业竞争保护比较,相似但存在一些关键差别,相似在于企业也是基于自身经济动力不断提升竞争能力,但是差异在于企业竞争没有权利化,企业竞争能力没有形成所谓“竞争权”。因为它只是一种抽象的能力,没有定格为某种可特定化之物(例如数据、智力成果),而是体现为企业经营条件、环境和水平等的比较优势。不过,企业竞争能力作为企业成功经营的条件,可以视为企业广义财富的一部分,所以虽然不适合财产权化,但是仍然被设定为一种具有排他性的特殊利益架构——企业正当竞争利益或秩序。
欧盟学术界,自20世纪90年代就有人关注数据财产化问题。1999年,美国的莱斯格教授最早提出了数据财产化理论,认为应该授予数据主体(个人)数据所有权,确定个人对于自身数据的财产权利。美国企业界一直都有发展保护企业数据权的呼声,并且试图推动立法。遗憾的是,美国联邦立法权力有限,特别是以制定法方式创制财产权的机会几乎微乎其微,但是仍然数次提议立法赋予数据制作者以财产权,结果自然不免受挫。但是美国统一州法全国委员会于1999年7月通过一部《统一计算机信息交易法》,并向各州推荐采纳,成功地明确了信息财产是一种独立的民事法律关系的客体,遗憾的是目前只有两州采纳。2004年,斯瓦茨教授在莱斯格教授理论的基础上,对个人数据财产化理论进行了进一步的阐释。他认为,首先需要给予数据主体授权的权利,即数据主体有权同意企业利用处理其数据,同时对应还要有“退出”的权利,其次还需要给予数据主体反对其已授权处理的数据被第三方进一步利用的权利。欧盟2018年正式实施的《一般数据保护条例》,实质上将斯瓦茨教授的理论具现化。这些为企业数据活动便利打开关系平衡的大门,即允许企业通过数据主体的“同意”而收集和经营数据。遗憾的是,这些理论主张虽然都正视了数据的经济价值,但是都还没有正视企业数据本身的相对独立性和财产权化的重要意义。它们仅仅停留在考虑个人信息财产权化单向保护的层面,仅仅站在个人作为数据主体的财产地位角度予以配置,忽视了数据经营者(企业)应有的财产利益诉求,没有再向企业数据财产权的确立走出关键一步。我国学术界一个阶段以来也产生了数据权具有财产权属性的观点,但大都也是站在个人信息权利的角度作出构想。与此相应,到目前为止,包括我国在内的许多国家,针对信息技术发展导致的关于个人信息问题,出台了不少关于个人信息保护的法律法规(例如我国《网络安全法》第四章关于个人信息安全规定),形成了颇为严密的个人信息保护规则,对于个人信息包括财产利益在内进行了极大的确认和保护,但是都忽视了企业数据保护的相对独立需求,出现了一边重一边轻的情况。当然,这种失衡的法律状态到了实践中往往会荒腔走板,企业为了数据经营和数据利益的需要总会想方设法地规避法律,这就导致了实际中个人信息保护知情同意原则不断通过默示化等实践机制而流于形式,可谓是两头落空。
值得关注的是,我国2017年3月15日出台、10月1日生效的《民法总则》为数据保护财产权化思路提供了一个接近于笔者构思的规范架构。该法的民事权利一章第111条、第127条采取了个人信息和数据分置的做法。其中,第111条确立了自然人关于自己个人信息权益的基本内容;第127条规定了数据(含企业数据)和虚拟财产的保护问题。比较起来,第111条关于个人信息的规定较为实质、清晰;而第127条对于数据和虚拟财产的规定却较为模糊,该条表述为,“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。解释上可以认为,该条对法律要对数据(包括企业数据)和虚拟财产提供保护进行了表态,但对于具体如何保护却未予实质化明确,而是交给了法律的另行规定。
那么,该条所说的保护,会不会就是笔者所提出的财产权化路径呢?笔者认为,应该通过体系解释进行详细分析。该章整体上都是规定民事权利的,从这个角度来说,对于数据的保护属于权利保护或者类似权利的保护应为体系之义。但是,从具体布局来看是否为财产权有些模糊:从第113条(确立财产权保护平等)开始到第125条看(民事主体依法享有股权和其他投资性权利),都属于广义财产权的规定,包括物权、债权、知识产权、继承权和投资性权利;到了第126条,不再使用用财产权的表述,而是使用其他民事权益的说法(民事主体享有法律规定的其他民事权利和利益),紧接着就是我们讨论的第127条;之后,便是第128条,关于弱势群体的特殊权益保护规定(法律对未成年人、老年人、残疾人、妇女、消费者等的民事权利保护有特别规定的,依照其规定)。那么,第127条所谓“保护”可以理解为何种保护呢?是第125条之前明确的财产化权利,还是126条的其他权利,抑或是第128条特殊权益?笔者认为,这里应该有一些区分性:第127条的所谓数据,可以区分企业数据和非企业数据如公共数据等,两者在如何保护问题上有所差异。企业数据,鉴于其得以经济资源化的特点,对其应采取财产权的方式进行保护,这样合乎经济原理;非企业数据特别是公共数据,虽然也应当确立法律保护,但不宜采取财产权路径,根据其性质适于采取管理化路径。