企业数据保护的困境与纾解：从权利保护到行为规制

     0 引言

随着大数据技术的发展，数据已成为信息产业者重要的生产要素与核心竞争力，同时围绕企业数据的抓取和使用所产生的纠纷频发。新冠疫情加速了企业数字化和线上化运作，也进一步将数据权益保护推到公众视野之中。关于数据权益的分配和保护机制的问题，学界暂无定论。目前主要有权利保护模式和行为规制模式两种。基于此，以企业数据保护的现实问题为起点，分析企业数据权利保护模式存在的现实障碍，指出数据行为规制模式有利于清除这些障碍，并对行为规制模式的构建做了初步构想。

     1 问题缘起：企业数据保护的现实困境

就立法现状而言，《民法典》第127条和《数据安全法》均将数据权益纳入保护范围，《深圳经济特区数据条例》第4条和《上海市数据条例》第12条均确认了企业对数据享有“财产权益”，但仍缺乏数据权益分配和数据访问规则的具体制度设计，仍有很大的探索空间。

就司法现状而言，企业数据权益保护具体规则的尚付阙如，司法只能从现行法律规范体系中寻找解决路径。由于具体保护规则的缺位，法院只能通过《反不正当竞争法》的一般条款来保护企业的数据权益，但该条缺乏具体的“行为模式和法律效果”的规定，难以为法官提供明确的案件裁量标准和为信息产业者提供清晰的行为指引。

就理论现状而言，法学界对企业数据权益该采取何种保护模式莫衷一是。“数据资产权说”、“新型财产权说”主张将企业数据权利化，企业应该享有绝对排他性的数据权益。“数据公开传播权说”则主张设立有限排他的数据权益，以兼顾后续利用者的利益。“数据所有权与用益物权分离说”“名义所有权与实质所有权分离说”则出于数据上存在多元利益主体的考量，主张数据原发者和数据处理者各自享有不同的财产权利。还有一类观点认为企业数据权益的保护应该充分考虑到数据的动态流通特性，权利保护的方法不可取，应该采用行为规制的方法，如利用竞争法、侵权法、商业秘密、数据访问规则或行政监管机构规定等方法规制，反向保护企业数据权益。可见企业数据权利保护模式和行为保护模式之间的模糊使数据法学研究陷入了困境，即便是在主张采用行为规制模式保护数据权益的观点中，也存在着具体规制方法的分歧。

     2 企业数据“权利保护模式”的现实障碍

      2.1 “权利保护模式”阻碍数字经济的发展

目前法律仅对个人隐私与智力成果赋予隐私权和知识产权的保护，信息从自由流通到财产权化需要有极其正当的理由。随着数字化水平的提升，企业之间的数据分享和跨数据领域的合作交流有利于推动数据要素市场的发展和创新，数据的整合和连接对物联网（IOT）等新兴商业模式的发展至关重要。与数据的访问需求相比，为数据权益赋权并不一定能给企业带来更多利益。在信息产业链中，若上游企业对数据拥有绝对权，虽然增强了企业的数据支配力量，但容易导致上游企业垄断数据，从而影响下游数据市场的发展。

      2.2 “权利保护模式”的权利主体不清

企业数据的许多利益相关者以各种不同的方式对相同的数据业务模式做出贡献，并且对数据均有主张权利的理由。数据利益关系的复杂性导致了数据财产权利分配的困难。以智能网连汽车为例，汽车生产商、车主、多个服务提供商（包括收集和分析传感器数据业者、数据分析者、导航服务公司、保险公司）和公共机构（道路维护机构、交通调节机构）等都以各种形式对智能网联汽车数据作出了贡献，汽车数据所有权究竟归属于谁？若认同各个数据利益相关者均享有所有权，则会导致同一数据上存在多个所有权人，不仅违背了物权法上的“一物一权”原则，还势必会提高交易成本，又重新落入到数据产权纠纷的窠臼之中。

      2.3 数据市场不需要“权利保护模式”的激励

企业数据财产权和数据的流通特性天然就存在矛盾吗？信息的非竞争性和非排他性使其具有公共产品属性，知识产权的设定非但没有阻碍信息的流通，还通过赋权的方式人为的制造了稀缺性，从而激励市场的创造力，推动了信息的流通。“劳动财产权理论”和“激励理论”也常常被用来为企业数据财产权证成。数据可否也通过赋权的方式促进流通呢？关键要看数据市场是否缺乏激励。实践表明，大量数据的产生和分析通常较为简单，传感器的扩展技术和“物联网”的发展使采集的数据量呈爆发式增长。移动互联网、社交网络、智慧家居、电子商务等新技术应用形态也带来了海量数据。从经济学角度来看，只要数据生产者和持有者的边际收益大于其边际成本，就会产生和分析数据，然而，大部分数据的产生或收集成本非常低，通常只能成为人们日常活动的副产品。即使有部分成本投入较高的数据，企业也倾向于将其作为商业秘密保护或通过技术措施形成事实性控制。因此，赋权对促进数据流通的作用不大，反而会影响数据的收集、分析、利用和创新。

      2.4 “权利保护模式”与企业数据保护的目的不符

信息和数据在比特世界中可以即时转换，二者的区分看似没有必要，实则蕴含着重要的法律意义。欧盟委员会为了提高数据的可交易性，认为可以赋予数据的设备运营商“数据生产者权利”，该权利仅涵盖语法（即数据、代码级别），而不涵盖语义（编码中蕴含的信息内容）。企业数据的权利保护模式多从数据所反映的信息角度去探讨实体权利的构建，对于互联网企业而言，固然存在数据被攫取而导致信息被他人分享的情况，但问题在于这种失范行为源自于网络技术本身，线下则不存在这种情况。企业数据保护的目的是禁止他人的不正当访问行为，而非数据上承载的信息内容。法律的保护也应该聚焦在数据操作行为的合法性和相应责任的承担上，无需在信息内容的权利领域过多纠缠。以霍菲尔德提出的“权利束”视角来看，“财产权调整的是人与人之间的关系，并非人对物的支配”，该观点虽是在财产权的基础上提出，但其独特视角也有助于我们理解企业数据的权利保护模式和行为规制模式的区别。前者注重数据控制者对数据的支配，后者则更加注重数据控制者与其他主体的数据操作行为上，更能适应数据的复杂特性，契合企业数据的保护目的。

     3 企业数据权益保护的“行为规制”路径

      3.1 通过“行为规制模式”间接实现企业数据权益分配

“行为规制”模式并不需要明确权益的归属，不关注“数据是谁的”，而只关注他人的收集、存储、分析、使用数据的行为是否具有正当性，对不正当的数据行为作出禁止性规制，并规定相应的责任承担。这有利于化解权利保护模式由于权利主体、权利客体不清导致的权益划分困难，直接通过划定行为的禁区，间接的为数据控制者创造了权益保护空间。这种对企业数据权益反向保护的方法遵循的是“禁止之外皆自由”的原则，能够为数据市场带来更大的自由空间。只要不违反数据相关行为的禁止性规定，多个利益相关者可以对同一数据进行收集、使用，均对该数据享有相关权益，“一物一权原则”在此并不适用。

      3.2 企业通过技术措施形成对数据权益的支配

从互联网行业的实践情况来看，企业通过用户鉴别、数据加密等技术措施可以实现对数据权益的事实控制，具有事实上的排他性的法律效果。这种法律效果类似于物权法上的“占有”，虽然不是实体权利，但是数据控制者有权选择公开或者不公开数据，除非涉及公共利益，任何行为人不能强迫其公开数据。对于通过技术措施进行保密的数据，行为人不能未经数据控制者同意而收集、访问、使用、分析其数据。互联网企业的这种私力保护是行为规制模式切割而成的数据权益空间中的一部分，一定程度上具有清晰的数据权益归属的功能。

数据交易并不以数据权利的存在为前提，企业可以直接通过合同许可的方式进行数据交易。我国数据交易机构的建设不断推进，数据交易市场蓬勃发展。数据交易模式有多种，采用应用程序编程接口(API）方式交易的居多。即数据销售方通过API将数据端口开放给经授权的第三方机构，以促进用户数据的开发使用。企业还可以通过爬虫（Python）直接抓取处于开放状态的网页数据。为了规范爬虫的数据抓取行为，网站经营者可以设置Robots.txt文本确定网页可否被抓取、可被抓取的内容范围以及可从事抓取行为的特定来源爬虫。恶意的爬虫也可以直接跳过Robots.txt文本，但会在网站经营者的系统日志中留下记录。这种恶意的抓取行为在我国司法实践中被认为是违反商业惯例的不正当竞争行为。虽然Robots协议并不具有实体法上的规范意义，但其可以在个案中成为不正当数据利用行为的违法性、过错程度的判定的参考因素。

数据的控制离不开数据安全管理制度和数据保护技术的进步。使用反爬虫技术、密码学、隐私计算技术、联邦学习技术、数据集多版本控制和访问控制技术以及区块链技术等跟踪和控制数据共享，能增强数据的控制手段和范围，以便在不影响数据控制权的情况下交易数据使用权，并计量数据主体和数据控制者的经济利益关系。

      3.3 企业数据保护“行为规制模式”的构建

企业数据权益的的空间是通过法律对不正当的数据处理行为进行规制裁剪而成。这种行为规制模式以实在法中的禁止性保护规范为基础，与侵权责任法违反保护性规范的一般条款接轨，转介适用保护数据权益的公法规范，从而实现对数据权益的私法保护，达到整体法秩序的呼应效果。换言之，对于违反了保护性规范中的禁止性义务的数据利用行为，并造成了数据利益的损失的，数据控制者有权对行为人主张侵权责任。

3.3.1 数据权益保护性规范的基础地位

行为规制模式在我国数据权益保护体系中的构建可以按照以下思路进行：首先，我国《刑法》《网络安全法》《数据安全法》《个人信息保护法》《电子签名法》《电子商务法》均有涉及数据权益的保护性规范。《民法典》第127条关于数据权益保护的引致性条款认可上述保护性规范在司法裁判中的适用。其次，我国《民法典》第1165条第一款是过错责任的一般条款，其适用范围不仅限于权利，还包括受法律保护的利益。因此，可以从解释论的角度，将违反保护性规范的行为作为侵权责任构成要件的具体因素之一，或者将其扩大解释为特殊形态的过错责任。从而实现《民法典》中的侵权责任条款与其他法律规范体系的有效衔接。

3.3.2 数据权益保护性规范的条文特质

由于私法保护的目的是为私主体提供侵权法上的救济而非公共利益，因此并非所有涉及数据权益的法律规范都能够转入私法保护，保护性规范需要具有明确、具体的义务内容，且保护的对象是私主体。将过于抽象的危险规范纳入保护性规范的范畴容易招致侵权责任范围不当扩大之嫌，有碍于数据的流通利用。基于此，我国司法实践中，《反不正当竞争法》的一般条款常被用来保护企业数据权益，但其裁判思路多为“权利侵害式路径”，容易基于经营者权利受到损害的事实就直接认为经营者理应得到赔偿。但竞争法保护的并非竞争者，而是合理的竞争秩序，其更加注重市场主体的利益衡量和市场秩序的维护。具体来说，竞争法不必然保护经营者的利益，只要有助于维护市场公平竞争秩序，有助于维护消费者的利益，即使有损经营者的利益，这种行为也是正当的。

3.3.3 数据权益保护性规范的具体适用

数据权益保护性规范的适用需要在个案中依据各方主体的合理预期综合各项因素予以考量，因此数据权益的范围大小是动态变化的，需要在具体场景中确定。

为了解决权益范围的动态性带来的法院自由裁量空间过大、适用过于随意的问题，可以通过对实践中大量的数据纠纷案件进行归类总结，建立不正当数据利用行为的要件框架。数据控制人的实质性投入、企业的公益性质、原被告之间是否有竞争关系、数据利用行为的手段、数据利用行为人的过错程度、利用数据的数量及损害后果等因素都能对数据利用行为的正当性判断产生影响。每个要件在不同的案件中的数量和强度都有不同，对数据利用行为的正当性判断需要综合考量各个因素的数量和强度相对应的协作来确定。

总而言之，行为规制模式下不正当的数据利用行为的构成是基于具体场景的、结合要件框架的动态衡量。相应的，被不正当数据利用行为切割而成的企业的数据权益是不稳定的。

     4 结束语

在数字经济蓬勃发展的今天，数据权益保护模式的选择对数据要素市场发展的影响无疑是巨大的。传统的“权利保护模式”在数据权益保护上存在诸多现实障碍，“行为规制模式”则不需要明确权益的归属，可以通过划定数据利用行为的禁区，间接的为数据控制者创造权益保护空间，不失为一种更优的选择。对于违反实在法中的禁止性保护规范的行为，可以转介适用侵权责任法违反保护性规范的一般条款，从而实现对数据权益的私法保护。数据权益保护性规范的具体适用需要在个案中结合要件框架进行动态衡量，违反规范的行为应该承担相应的侵权责任。

在数字经济发展的现阶段，并不需要额外加强对企业数据权益的保护，如何弱化数据控制者的数据控制力，促进数据资源的利用和分享，避免大企业的数据垄断，是促进数据要素市场健康发展的关键，值得做进一步的深入研究。

       参考文献：

[1] 刘建臣.企业数据赋权保护的反思与求解[J].南大法学,2021(06):4.

[2] 周樨平.大数据时代企业数据权益保护论[J].法学,2022(05):173-175.

[3] 梅夏英.在分享与控制之间——数据保护的私法局限和公共秩序构建[J].中外法学,2019 (04):863-864.

[4] 时诚.企业数据权益保护的行为规制模式研究[J].大连理工大学学报(社会科学版）,2022(06):88-90.

[5] Josef Drexl, Designing Competitive Markets for Industrial Data, Information Technology and E-Commerce Law 263-265 (2017).

[6] See Drexl J, Hilty R, Desaunettes L, et al. Data Ownership and Access to Data - Position Statement of the Max Planck Institute for Innovation and Competition of 16 August 2016 on the Current European Debate (August 16, 2016)

[7] See Wolfgang Kerber, A New (Intellectual) Property Right for Non-Personal Data? An Economic Analysis. Social Science Electronic Publishing, 37: 14(2016).

[8] See OECD, Data-Driven Innovation: Big Data for Growth and Well-Being（2015）, https://www.oecd.org/sti/data-driveninnovation-9789264229358-en.htm, last visit on August 30, 2022.

[9] 参见北京市第一中级人民法院（2013）一中民初字第2668号民事判决书。

原文刊载于《互联网天地》2022年9期，作者单位：暨南大学法学院/知识产权学院

投稿邮箱：[email protected]

封面垂询：010-57234929-1005

原文始发于微信公众号（关键基础设施安全应急响应中心）：企业数据保护的困境与纾解：从权利保护到行为规制