数字经济时代下企业数据保护的法律应对

王子健 李成刚

江西瀚中春律师事务所，江西 南昌 330029

随着5G、物联网、云计算等高精尖技术的蓬勃发展，海量信息不断积聚。我国已将数据并重于土地、劳动力、资本、技术等生产要素，指明数据将成为企业高质量发展的战略资源。“十三五”时期我国数据经济总量跃居世界第二，2020 年我国数字经济核心产业增加值占GDP 比重达到7.8%，成为驱动经济高质量发展的核心动力。目前，企业通过获取数据并转化成生产力方式，但伴随而来的是数据侵权频发，如何合法合规提升企业核心竞争力，是企业面临的重大挑战。

一、企业数据的基本属性和保护的必要性

（一）企业数据的基本属性

企业数据保护常常与个人数据、虚拟财产等交织讨论，没有被作为独立的权利予以重视。进而引发不少学者对其讨论，有学者将数据视为信息的表现形式［1］，也有学者认为数据是一种信息，属于“信息”的下位概念［2］。无论采纳何种观点，不可否认的是，数据指向的是具体的信息。

简言之，企业所掌握的数据是一种大数据集合，是对个人信息进行收集、脱敏、整理、加工后形成的海量数据。笔者认为，企业数据泛指狭义的企业数据，包含企业的概况介绍，如经营范围、联系方式、企业规模等，多为公开数据。企业数据既包括企业自身的原始数据，也包括在生产经营过程中攫取、积累的经营数据（生产数据、用户数据等）。其主要包括以下内在法律属性：

1.信息财产权

主流观点认为企业数据属于信息财产权的范畴，应比照信息保护相关的法律制度对其予以确定。就我国现行法律，信息保护主要集中于公民个人信息保护，如《中华人民共和国民法典》（以下简称《民法典》）第一百一十一条及人格权编中关于保护具体人格权的相关规定，企业作为特殊的法人，无法直接类推适用。此外，企业数据不仅具有生产价值要素，还有商业价值的经济属性，而公民的个人信息不具备上述两种价值，既然两者价值属性截然不同，那么企业数据保护不宜直接照搬公民个人信息保护的相关法律，需要由专门的法律法规对其予以肯定。

2.物权

虽然数据是无形的，但其存储和传播载体所依赖的形式是有形的，理所当然有学者将企业数据作为一种特殊的物。物权特性具有排他性和绝对性，导致企业对数据享有占有、使用、收益、处分的权能，故借鉴物权保护制度来保护企业数据。该理论看似具有一定的道理，但也存在弊端。首先，我国物权法普遍遵循物权法定，但我国法律没有明确规定将数据作为物权保护的客体；其次，我国法治环境深受大陆法系的影响，我国物权法所保护的物皆为有体物。即便数据载体是有形的，但并不等同于数据，两者之间还是存在难以逾越的鸿沟；最后，技术的更新迭代或多或少会导致数据存续时间短暂，将其视为物权属性予以保护不符合物权的稳定性特性。

3.知识产权

将数据归入知识产权领域进行保护是一种较为新颖的观点。知识产权保护的客体是具有一定创造性的智力成果，企业数据进行了相当程度的加工、筛选、处理，则完全符合知识产权的认定门槛，反之，企业只是简单地对数据进行搜集、整理或储存，则不符合《民法典》中所列举的知识产权客体进行保护，相反会拉低知识产权的门槛。知识产权以登记为生效要件，目前企业数据无法融入专利、商标等知识产权的专属篇章。数据的流通性从根本上会导致其不适合归于知识产权，强行介入势必会阻碍我国高精尖技术的发展，有点得不偿失。

（二）对企业数据单独进行保护的必要性

诚然，企业数据中包含了部分公民用户的个人信息，其攫取与储存数据均在虚拟空间之中，使企业数据与个人数据、虚拟财产天然地具有联系，但企业数据绝不能与个人数据、虚拟财产混为一谈，应作为一项独立的客体进行保护。

1.企业数据不同于个人信息

数字经济时代，具有价值并且能够产生效益的实际是信息。对于企业而言，无论其使用自身数据还是衍生数据，甚至利用网络爬虫等方式非法抓取数据，目的都是获取信息。但与个人信息不同，企业所掌握的数据是一种大数据集合，是对个人信息进行收集、脱敏、整理、加工后形成的海量数据，其与个人信息权利主体的直接关联往往已经切断，即已不能通过某一数据识别出特定的主体。企业数据经过企业的创造性加工、筛选、处理已完全成为脱离于个体的信息，甚至承载着企业独特的智慧。尽管企业拥有的海量数据中包含了大部分个人信息，但与个人信息存在本质上的区别。

2.企业数据不同于虚拟财产

虚拟财产也是伴随信息网络的发展诞生的新兴事物，但目前学界基本已形成统一的认识，将虚拟财产定性为特殊的物，运用物权法并结合特殊规定予以保护［3］。而目前对企业数据的性质尚未形成统一的认识。虽然也有学者将企业数据视作特殊的物，但并非主流观点且多有弊端。企业数据与虚拟财产也不是包含与被包含的关系。透过《民法典》第一百二十七条规定，可以窥见立法者将数据与网络虚拟财产视为两个并列的概念。虽然企业数据具有财产属性，网络虚拟财产以数据为载体，但二者之间仍然存在明显的区别。

二、企业数据的现有法律保护途径及不足

（一）企业数据作为商业秘密保护及不足

企业数据作为商业秘密予以保护，是各国普遍认同的标准。而《中华人民共和国反不正当竞争法》（以下简称《反不正当竞争法》）第九条予以明确。若企业数据未公开且具有商业价值并采取合理的保护措施，便可作为商业秘密进行保护。但企业数据能否构成商业秘密，目前不存在行之有效的证明标准。同时企业数据所具备的开放性，无法满足商业秘密共性——保密性。虽然《中华人民共和国刑法》（以下简称《刑法》）规定了“侵犯商业秘密罪”，但认定标准过于严苛，即对企业造成了重大的财产损失。而在实践中，企业数据丢失仅表现为丧失商业合作或削弱企业竞争力，实际损失往往无法计算。

（二）企业数据作为竞争法保护及不足

只要市场主体使用了不正当竞争手段，就会受到反不正当竞争法管辖。而企业数据相关的不正当竞争主要表现为，公司付出人力、物力、财力，经过一定时期的积累掌握大量数据，将此转化为企业的商业利益与竞争优势，而其他公司利用该公司的劳动成果，攫取其竞争利益并创造自己的价值，则构成不正当竞争行为（可参见某宝公司诉某景公司大数据产品不正当竞争纠纷（2018）浙01民终7312 号二审民事判决书）。反不正当竞争法对企业数据进行保护无疑是扩大了法律保护的边界。判断其是否构成不正当竞争行为，最终逻辑是判定其是否构成侵权行为，首先，司法实践中不仅需要具备举证问题，还涉及专业技术，更加考量司法人员对专业领域的知识储备；其次是没有能够明确指引裁判的刚性规则，我国仅采用《反不正当竞争法》第二条规定予以释明。

（三）企业数据进行刑法保护的可行性及不足

我国《刑法》第二百八十五条第二款规定了非法获取计算机信息系统数据、非法控制计算机信息系统罪的定罪问题。比如拦截用户或流量，甚至包括以好评“刷单”为目的的犯罪行为。首先，该罪名并没有囊括所有的具体情形，只是概括性地以破坏计算机信息系统罪定罪处罚；其次，依据刑法谦抑性原则，通常只有在穷尽民法、行政法救济才会启动刑事手段。而侵犯企业数据的方式是通过隐蔽的技术手段侵入数据库信息系统随机抓取数据，远远上升不到刑法的层面。

三、企业数据的保护困境

（一）企业数据定性与权属争议不明

如前文所述，目前学界对企业数据的法律定性还存在争议，无论何种定性，均无法涵盖企业数据内在属性。故《深圳经济特区数据条例（征求意见稿）》曾提出过“数据权”，但仅存在于摄像阶段。抛开定性问题不谈，还有权属争议。在司法判决中认为企业对用户数据并不享有所有权（参见某点评诉某帮网（2008）海民初字第16204号民事判决书；（2009）一中民终字第5031 号民事裁定书），但也有司法判决中的观点认为企业对其搜集处理的个人信息享有合法权益（参见某点评诉某帮网（2010）海民初字第24463号民事判决书；（2011）一中民终字第7512号民事判决书）。

（二）行业规则混乱

法律没有作出明确规定之前，企业数据的保护完全依赖于市场习惯。但我国的数据交易市场还没有成形，即便我国已建立多个大数据交易中心，但其交易规则也不尽相同。虽然各平台的交易规则在一定范围内填补立法空白，但这些规则参差不齐。同时，外部环境引发的侵权行为，比如某讯、某音等知名企业经常出现数据侵权纠纷，市场发展之良莠状况可见一斑。统一的市场规则亟待建立，以维护数据安全。

（三）企业数据保护与自由间的冲突

企业数据保护与自由间的冲突包含三个层面问题。首先是企业数据保护与公民个人信息保护之间的冲突。企业数据涵盖了大量的公民个人信息，如何界定企业数据与公民个人信息对明确两者间界限造成困难；其次是企业数据保护与生产要素自由之间的冲突。数据具备的流动与有效利用，势必会与私权保护产生冲突；最后是企业数据保护与开放共享之间的冲突。数据对国家发展有战略性意义，政府部门出于对公共利益的维护需要掌握特定信息，必然导致政府与企业之间的数据权属矛盾剧增。

（四）企业数据司法维权困难

我国并没有制定专门保护企业数据的法律，需要从侵害的行为、目的、损害结果等不同层面因素来建立保护模式。但民事诉讼需要明确诉讼请求和负担举证责任，而刑事诉讼不仅涉及公诉模式，还需要公检法介入，即便犯罪分子承担刑事责任，但未必能够达到企业预期。此外，没有明确且统一的指引，虽可以多个维度进行维权，但也容易导致同类案件出现不同审判结果。

四、企业数据保护的法律路径

（一）完善数据权利保护的立法

《深圳经济特区数据条例》是数据保护领域的首次大胆尝试，但存在违反《中华人民共和国立法法》第一百零七条越权立法的嫌隙，备受争议，需要更高位阶的法律作为基础依据。数据权利作为数字时代的产物，与原有权利保护制度的融合存在障碍，首先，主体之间的权利义务规范并不明确；其次，侵权频发的现状也亟待立法者作出法律回应。企业数据的权利性质虽然一直存在争议，但应坚持立法先行，解决当下的突出问题。至于权利定性的难题，实践的深入发展必然会解决这一问题。

（二）构建数据的脱敏管理体系

数据脱敏是指对原有数据加工处理，使其在变形后无法配套到公民个人，实现对公民隐私权的保护。企业数据与公民个人信息间根本矛盾在于，公民信息处理与侵犯公民隐私权间的有机结合。比如应用软件在注册使用前，软件开发者对注册用户在使用软件过程中所产生的信息进行搜集，只要企业在这一阶段，对用户进行匿名化脱敏管理，降低侵犯公民隐私风险，可以缓和企业数据保护与公民个人信息保护之间的矛盾。

（三）对企业数据进行分级分类管理

中央与地方政府可以建立分级分类规则对数据进行管理。首先，企业数据以公开程度为标准分为公开数据、半公开数据和非公开数据［4］，针对不同级别的数据，应采取不同的保护模式。如某数据是企业的非公开数据，能够达到商业秘密的程度，则应予以着重保护，对侵权行为的打击程度也应更加严厉；其次，企业数据以处理程度为标准还可分为数据集合与数据产品［5］。企业对数据产品投入的人力物力更多，保护力度也应较数据集合更大。此外，中央与地方政府还可建立统一的数据保护机构，推动数据开放与共享，维护国家数据安全，缓和社会公共利益与企业数据保护之间的冲突。

（四）企业内部建立侵权防御机制

目前来看，企业数据的保护主要依赖于企业的自我防御。对于企业而言。首先，应保证数据均是合法途径获得，尊重公民的个人信息和隐私；其次，数据导向型企业尤其应提高自身对抗侵权技术的能力，构建严密的防御体系，避免企业数据泄露；最后，在使用数据的过程中企业还应多加监管与追踪，防止在数据传输中被人窃取。

五、结语

数据资源不仅是重要的生产要素，更是国家发展的战略性资源，全球各主要国家已纷纷将数据资源提升到战略性地位。数字经济时代下，掌握数据资源就是掌握社会发展的船舵，释放数据价值就是释放经济增长的活力，对数据保护的研究正逢其时。目前我国已施行《中华人民共和国个人信息保护法》对公民的个人信息进行保护，但对企业数据方面的保护还存在立法空白。可以尝试立法先行，建立一套合理的规则对企业数据进行保护，在实践中不断发展与修正。