网络数据商业化的司法保护

马潇

智能互联时代，网络数据成为企业的核心资产已是不争的事实。据今年达沃斯世界经济论坛记者报道的国内外权威机构最新统计数据，至2022年，全球大数据市场规模达到800亿美元，年均实现15.37%的增长。随着大数据发展浪潮席卷全球，大数据基础设施的不断完善，数据分析和商业智能工具将逐渐成为大数据的主力军。网络数据商业化作为大数据产业重要的商业化市场，是面向海量网络数据进行开发应用，通过发现隐藏的数据规律，实现提高资源使用效率，预测商业发展趋势，提升数据资源价值的商业目的，也迎来了进一步深化发展的机遇。

近年来，在网络数据商业化快速发展的过程中，个人数据隐私保护、网络数据安全维护、数据权利归属等问题更加突显。诸如facebook“数据门”和“剑桥分析”事件对数据隐私及其合法使用问题敲响了警钟。较之美国，欧盟对个人信息保护趋向于更加严格，由95指令到欧盟数据保护条例《GeneralData Protection Regulation》，明确了知情同意原则、可携带权、可遗忘权等，对互联网公司作出更多的限制。我国的《网络安全法》，确立了个人信息保护“识别性”原则，明确要求网络经营者建立健全个人信息保护制度。虽然我国尚未大量出现网络数据商业化应用产品相关纠纷，但我们仍需要顺应网络数据商业化产业发展的趋势，进行必要的研究。本文除介绍网络数据的来源、数据产权归属等的法律地位外，亦研究并分析了国内首例网络数据商业化产品侵权纠纷案例，提出了网络数据商业化的司法保护建议。需要表明的是，网络数据商业化产业正处于快速发展和变革时期，尤其是网络数据与云计算技术、区块链技术、人工智能的融合和碰撞也会产生更多的网络数据商业化挑战，从而引起更为复杂的司法保护问题。本文希冀能抛砖引玉，以期与各位共同探讨。

一、网络数据商业化概述

1、网络数据来源简介

网络商业化数据主要来源于个人数据，这区别于政府出于公共利益目的需要收集的个人数据信息。网络商业化数据收集方式主要是两种途径，一方面，商业主体通过提供产品或服务获取个人用户的许可，在其自有的互联网平台集成用户的姓名、联系方式、消费信息、网页搜集信息、社交网络上的个人信息等，另一方面，商业主体也会通过爬虫、搜索引擎等技术获取开源数据。国内外的互联网公司在积极布局开源数据，Google开源平台Apache Beam于2017年11月正式发布，2018年5月eBay宣布正式开源数据处理框架Accelerator[参见AI前线：《单机每秒最多可处理10亿条数据！eBay开源数据处理框架Accelerator》，https：//mp.weixin.qq.com/s/jinowDtbL2C8xOmvSucL6g？spm=a2c4e.11153940.blogcont581590.17.8b7clfa090lPt9，最后访问于2018年11月。1，国内如华为早在2016年宣布开源了CarbonData项目。

2、网络数据商业化简介

网络数据商业化是指商业主体通过挖掘与分析找到网络数据背后的商业价值和模式去实现自身变现或通过输出数据相关的技术产品帮助客户去实现数据驱动变现从而最终实现自己的价值。网络数据商业化的目的是可以更好的挖掘数据潜在价值，通过算法等数据技术极大发挥数据在预测商业趋势、寻求现有问题的解决方案等方面的作用，为商业主体在经营决策中提供数据服务。从网络运营者的角度，网络数据商业化可以应用到企业的生产经营多个环节中，从网络数据价值链的角度，网络数据商业化产品的产业链主要涉及为收集、处理、分析、应用四个环节，对应的商业主体为数据提供者、数据管理者、数据托管者、数据应用产品开发者、数据服务者、数据聚合者。

二、网络数据商业化亟待数据新型财产权的确立

1、网络数据商业化产品不再具有人格属性

我国《网络安全法》将公民个人信息定义为“能够单独或者与其他信息结合识别自然人个人身份的各种信息”。2017年最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称《解释》）规定，公民个人信息包括直接识别的公民个人信息、间接识别的公民个人信息和“反映特定自然人活动情况的各种信息”。亚太经合组织（APEC）发布的《APEC隐私框架》认为，个人信息是指任何与一个已识别或可识别的个人相关的信息。因此，个人数据可以定义为是指个人的姓名、性别等可以直接识别个人的信息，或与其他信息结合可以间接识别该个人的信息，而可识别性是个人信息的根本特性。《民法总则》的出台明确了个人信息应作为一种法定利益受到保护，未来的人格权编中将确立个人信息权，为各项具体个人信息权提供权源。可见，自然人享有法定的个人信息权已是趋势。同时，正如洛克所说：“每个人对他自己的人身享有一种财产权”，个人数据作为自然人的个人资产也具有财产权属性。

而网络数据在商业化时需要将个人数据汇集成的数据集或数据应用产品公开并提供数据服务，就不可避免涉及个人数据隐私权等人格权的保护和个人数据财产权问题。为更好的保护个人数据隐私，网络数据商业化主体往往会对个人数据进行脱敏或者匿名化处理，尤其是针对敏感隐私数据。依据Google公布的匿名化处理的两项技术，一是将数据进行泛化处理实现K匿名效果，用于隐藏一群相似人员中各人的身份，并用L多样性使得匿名化处理后的数据集将不会只包含一种查询，而是会同时包含多种查询，以便进一步保护用户隐私;二是用差别隐私技术向数据中添加数学噪音，这样无法确定任何个人是否属于某数据集，比如向数据集中增加或减少某相关内容的人数，这就降低了数据实用性。匿名化数据满足一定的标准就不再属于个人数据，如欧盟数据保护条例（GDPR）在引言部分对于匿名化的界定“匿名化是指将个人数据移除可识别个人信息的部分，并且通过这一方法，数据主体不会再被识别。匿名化数据不属于个人数据，因此无须适用条例的相关要求，机构可以自由的处理匿名化数据”。也正是因为匿名化数据豁免了严格的个人数据保护规范，法律语义下的匿名化有着更高的标准——不可能被识别，或者被识别的可能性极低。因此，有了匿名化数据标准，更好界定了网络数据商业化的数據来源和处理标准，个人数据的人格权得以更好的保护同时，网络数据商业的发展也才能无虞。

2、网络数据商业化产品具有财产属性

网络数据商业化将数据进行匿名化技术处理后得出的数据产品，已经脱离了个人数据的概念范畴，即不再具有人格权的属性，如美国《健康保险可转移及责任法案》（HIPAA）对“去身份化”（de-identification）的界定，那这样的匿名化数据产品或数据集的数据经营者是否应获得相应的权利呢。国内有专家指出：应当赋予数据从业者数据经营权和数据资产权两种数据新型财产化权利，从而可以使得数据从业者获得一种有关数据开发利益的安全性市场法权基础的刺激和保障，使得数据经济得以置身于一种高效稳定的财产权结构性的驱动力和交易安全的保障之中。

毋庸置疑，网络数据通过数据经营者的技术处理，形成的数据集或数据产品是具有财产属性的，而利用技术创造数据价值的数据经营者应当享有该数据集或數据产品的数据财产权。这类似于知识产权里的著作财产权，虽然是无形资产，但同样是凝聚了创造者智慧的智力成果，依据洛克的财产学理论思想：“一个人的劳动属于他自己。”，应赋予创造者以数据资产权，享有其财产性权益，以此鼓励数据经营者不断钻研算法技术并挖掘数据价值。继而，因数据经营者产生的数据产品如果涉及软件，应享有该软件产品相应的权利，如软件著作权等。因此，为促进网络数据商业化进程有序推进，网络数据商业化产业亟待数据新型财产权的确立。

3、人工智能时代亟待数据新型财产权的确立

在2018年世界互联网大会企业家分论坛上，百度掌门人李彦宏认为：互联网和人工智能是两个不同时代，过去二十年是互联网时代，未来三十到五十年将进入人工智能时代。人工智能时代不仅仅会深刻地改变、影响我们消费的领域，也会深刻彻底地改变产业、改变To B的领域，它对于人类社会的影响比互联网对人类社会的影响要更加深远。正如William Gibson所言：“未来已经降临，只是分布尚未均匀。”（Thefuture is already here-it's just not veryevenly distributed.）YC（Y Combinator）掌门人山姆.阿特曼最近表示我们正在踏入科技巨头的时代。而人工智能热衷数据，数据越多，模型越好。然而，数据往往是孤立的，尤其是在这个新世界里，数据可能是难以逾越的鸿沟，大多数科技公司如谷歌、脸书、Uber、LinkedIn和亚马逊都是建立在数据孤岛上。相比之下，区块链代表开放数据，即使一些基于区块链的数据会被加密和私有化，但大部分数据还是有必要开放的。区块链技术的去中心化/共享控制激励了数据共享，这些开放数据有潜力让数据孤岛商品化，也为人工智能新的模型和应用提供了一个开放的数据层。

数据新型财产权的确立会让我们看到数据共享的希望。数据产品和人工智能模型可以被用来作为数据资产，这类似于知识产权的著作财产权。依据现代财产权体系，数据资产具有无形性，可以归入“无形财产权”的范畴，数据财产同样具有虚拟性，因此也可归入“特别财产权”的“虚拟财产”范畴，该虚拟财产虽存在并依赖于特定的网络空间，但其具有独立存在的价值，持有人享有转让、交易的权利。但无论数据资产的权利类型如何，其财产权利应归属于数据经营者，即赋予了上述科技公司或数据经营者享有数据产品或人工智能模型的数据资产权，并能从中享有数据商品化的财产权收益。换言之，数据财产权的早日确立与完善有助于鼓励数据经营者创造研发数据产品或人工智能模型进行数据交易，而数据交易可以消除数据孤岛，并加速推进新型数据产品和人工智能新型模型的构建，逐步形成良好灵动的数据经济生态。数据新型财产权的确立必将有助于加速产业升级、促进社会进步，从而营造出更加开发、互联的虚拟与现实共存和谐世界。

三、网络数据商业化产品国内首例侵权案例分析

1、案情介绍

淘宝公司开发、运营的涉案数据产品，是在收集网络用户浏览、搜索、收藏、交易等行为痕迹所产生的巨量原始数据基础上，以特定的算法深度分析过滤、提炼整合并经匿名化脱敏处理后形成的预测型、指数型、统计型等衍生数据，其呈现方式是趋势图、排行榜、占比图等，主要功能是为淘宝、天猫商家的网店运营提供系统的数据化参考服务，帮助商家提高经营水平。而美景公司运营的“咕咕互助平台”及“咕咕生意参谋众筹”网站，以提供远程登录已订购涉案数据产品用户电脑技术服务的方式，招揽、组织、帮助他人获取涉案数据产品中的数据内容，并从中获取利益。

2、法院认定结果

一审法院认定，网络数据产品的开发与市场应用已成为当前互联网行业的主要商业模式，是网络运营者市场竞争优势的重要来源与核心竞争力所在。在该案中，涉案大数据产品系淘宝公司付出了人力、物力、财力，经过长期经营积累而形成的。涉案大数据产品能为淘宝公司带来可观的商业利益与市场竞争优势，淘宝公司对涉案大数据产品享有竞争性财产权益，对于侵犯其权益的不正当竞争行为有权提起诉讼。

“美景公司未付出劳动创造，将涉案大数据产品直接作为获取商业利益的工具，这种通过他人劳动成果进行牟利的行为，明显有悖公认的商业道德，属于不劳而获‘搭便车的不正当竞争行为，如不加禁止将挫伤大数据产品开发者的创造积极性，阻碍大数据产业的发展。”，最后访问于2018年11月。1故一审法院在判决中表示，根据美景公司自行公布的用户数量、版本分类、收费标准计算，美景公司在该案中的侵权获利已超过200万元，遂依照反不正当竞争法的相关规定作出上述判决。

3、该案的重要影响

本案是全国首例大数据产品不正当竞争案，它首次明确界定了网络运营者对其研发的大数据产品享有合法性权益，体现了法律对大数据这类无形资产的“有形”保护。一审法院通过明晰网络运营者使用网络用户信息正当性的评判标准，厘清用户信息、原始数据及数据产品的法律属性及权利边界，最终确认淘宝公司对涉案数据产品享有合法权益。该案例的主要影响有以下四点：

首先，对采集、加工个人信息的相关行为认定。依据我国《网络安全法》的第四十二条第一项规定，“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”，网络用户浏览、搜索、收藏、加购、交易等行为痕迹信息，如果经过处理达到“无法识别特定个人且不能复原”的标准，即可认定为属于非个人信息，那么数据经营者使用由此形成的数据产品即具有了正当性。同时依据该条第二项规定，“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。”，网络运营者不仅对于网络用户信息负有安全保护的法定义务，也因双方存在服务合同关系，依据“诚实信用原则”、“公平原则”的契约精神要求，网络运营者对于保护网络用户合理关切的个人隐私和商户经营秘密负有较高的审慎注意义务。这即是说，当网络用户行为痕迹信息包含有涉及用戶个人偏好或商户经营秘密等敏感信息时，面临暴露个人隐私或经营秘密的风险或已经发生泄漏信息事件时，网络运营者应当采取技术措施和其他必要措施来保障信息安全。因此，对于网络运营者收集、使用网络用户行为痕迹信息，除网络用户已自行公开披露的信息之外，应按照《网络安全法》关于网络用户个人信息保护的相应规定予以规制。

其次，对合法使用个人信息的相关认定。依据我国《网络安全法》第四十一条第一项规定，“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”，网络运营者公开使用或许可他人使用其收集的网络用户个人信息的，应经被收集者的同意。同时依据该条第二项规定，“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”，网络用户向网络运营者提供个人信息是基于对该网络运营者信息安全保护能力的信赖，如果网络运营者未经用户同意，擅自超范围使用或许可他人使用网络用户个人信息，网络用户个人信息安全将面临不可预测的风险，诸如个人隐私权遭到侵犯等，对于网络经营者也无裨益，此类安全事故一旦发生会导致网络经营者损失大量用户，同时也面临司法规制，最终也只会是自掘坟墓。因此，网络运营者收集信息遵循“数据最小化”原则，使用用户个人信息应以获得用户明确授权许可的范围为限，不得超越或擅自扩大该同意的使用范围。如有必要扩大使用范围，则需要重新获得用户授权同意，否则不得逾越用户已经授权许可的使用范围限制。

第三，对数据财产归属权方面的认定。由于网络数据商业化的特性，要想形成数据集或数据产品或人工智能模型，要求网络数据的量级大且质量高，且需要经过数据复杂的数据处理流程，而网络用户信息的单一使用或网络用户信息的简单汇集形成的个人信息原始数据库往往无法产生数据商业化产品。该原始数据库是大量网络用户信息通过数据采集并转化汇聚形成，尚未进行数据预处理、数据存储和管理、数据分析及挖掘，也未形成数据集和数据产品。因此，虽然网络运营者在用户信息收集或转化为数据信息付出了一定劳动，但由于该原始数据库的内容仍与网络用户信息有相应的联系和对应关系，故网络运营者对于该原始数据库仍应受制于用户对其所提供信息的控制，而不能享有独立的法定权利。质言之，如果该原始数据库未达到“无法识别特定个人且不能复原”的标准，则不能认定其属于非个人信息，那么认定数据经营者对该原始数据库享有独立的法定权利即不再具有正当性，只能依据服务合同关系对该个人信息的原始数据库予以使用。

第四，对数据衍生产品的相关认定。网络数据产品不同于个人信息的原始数据库，其提供的数据内容虽然同样源于网络用户信息，但经过网络运营者大量的智力劳动成果投入，经过深度开发与系统整合，最终呈现的数据内容是衍生数据，系已独立于原始网络用户信息、数据库，与其亦无直接对应关系，并达到“无法识别特定个人且不能复原”的标准。网络运营者对于其开发的数据产品，其虽表现为无形资源，但可以为运营者所实际控制和使用，成为市场交易的对象，亦能为网络运营者带来经济利益，实质性具备了商品的交换价值。

鉴于我国法律目前对于数据产品的权利保护尚未作出具体规定，本案运用反不正当竞争法来处理，通过判断具体商业竞争行为的性质展开复杂的司法考量，以及综合考虑当事人的侵权获利来补偿数据经营者从数据产品的投入中所获得的合理收益。但本案也启示我们，数据资产在财产权体系中的地位已经举足轻重，数据新型财产权的确立已是势在必行。

四、网络数据商业化司法保护建议

1、加速商业数据安全保护立法

数据安全立法保护是网络数据商业化得以发展的基本保障，网络数据商业化快速发展的过程中无法回避的是数据安全问题，不仅关系个人隐私和个人信息安全问题，也关系着社会信息化安全问题，尤其事关国家主权和安全问题，兹事体大。那么，数据保护的基本原则不可或缺，包括“数据主权原则”、“数据保护原则”、“数据自由流程原则”、“数据安全原则”。我国目前在保护数据安全立法方面趋向于严格保护，从2016年的《网络安全法》确立个人信息保护原则“可识别性”的内涵，到2017年首次将个人信息写入《民法总则》第五章确立其独立的私法地位，再到2017年《刑法修正案九》的司法解释，确立了“识别+关联”的个人信息内涵，无不体现了对数据安全问题的高度重视。数据安全保护还可从商业秘密等不正当竞争的角度着手，同时也加强事关数据安全的行政执法力度，并倡导互联网平台型企业及数据经营者组合多种技术手段打出“组合拳”，严防备类非法侵犯数据安全的行为，实现数据安全全方位保护，来为数据商业化铺平道路，扫清障碍。

2、数据新型财产权立法顺时而行

网络数据商业化当前面临的主要法律挑战即是数据资产的财产权类型法定化及归属问题。美国对数据库没有版权保护，更侧重用不正当竞争法保护，美国目前众多数据泄露事件已经骇人听闻。澳大利亚用版权法保护数据库。相反，在欧盟，数据库立法试图保护数据库的非版权方面，例如，当数据以不同的顺序或操作方式提供时具有独创性。欧盟所倡导的数据库特别权利保护是一种强大的财产权利，但在产业发展初期或者成长期，过强的财产权利不一定利于产业发展。中国对网络数据商业化的立法回应体现在《网络安全法》于2017年正式施行。因此立法顺时而行显得尤为关键，这也十分考量立法者的谦抑理性。

3、坚持司法能动性引导

所谓司法权的能动性就是一种司法哲学观，是法官在司法过程中采取的一种灵活方法，秉承一定的法律价值，遵循一定法律规则，创造性地适用法律，理性地作出判断，从而不断地推动社会政治、经济、法律、文化等的变革和发展。鉴于司法能动性的发挥能够使得立法任务繁重和纠纷不得不解决之间产生的矛盾得以缓和，因此在网络数据商业化快速发展的过程中，数据资产的法律体系、权利类型和权利归属等尚未明确的情况下，只有法官充分发挥司法能动性，发挥自由裁量权才能有效化解纷争，才能更好地对网络数据商业化产业进行司法保护。正如国内首例大数据产品不正当竞争案的启示，数据产业生态体系即将从新兴时期迈入成熟阶段，此时不仅需要加大对侵权行为惩治力度，而且在审判实践中需充分发挥法官的司法能动性，积极探索和创立相关裁判规则，通过判决引领作用来规范数据产品的开发与市场应用活动，进而保障网络数据商业化产业的快速发展，以及真正让数据经济生态造福于人类社会。

当前，网络数据商业化进程正在如火如荼的展开，随着数据资产与云计算技术、区块链技术、人工智能的融合渗透，各种以大数据和人工智能为依托的数据产品以及应用解决方案纷至沓来，与数据资产相关的纠纷也会与日俱增，这对司法是不小的挑战。反不正当竞争法作为数据商业化的一种保护模式有其固有的弊端，从运用反不正当竞争法的模式保护数据库上可见一斑，其回避了数据资产权利所处的法律体系、权利类型、权利归属等争议，从利益平衡的角度出发，只需衡量侵权行为本身是否构成了不正当竞争。但这并不足以真正促进数据资产的流通交易、创造使用、授权许可及充分发挥数据价值。

故此，网络数据商业化的司法保护可以从五个维度加以考量：第一，数据安全保护模式先行，这是数据商业化产业发展的基本保障;第二，数据财产权法定化模式及时确立，赋予数据经营者以行使或放弃该财产权益的权利;第三，反不正当竞争法模式作为补充保护，充分发挥司法能动性在审判实践中的作用;第四，行政监管作为辅助执行保护，政府作为“守夜人”，进行事后行政監管;第五，刑法保护模式，对那些严重危机数据安全行为、严重扰乱数据商业化市场秩序行为予以严厉规制。

最后，国内首例数据产品侵权不正当竞争案同样启示我们，不能仅仅解决燃眉之急，需立足长远通过相关立法明确确立数据新型劝产权的法律地位，厘清数据资产权利的法律体系、权利类型、权利归属等相关问题，既要顺应网络数据商业化发展趋势，同时又要兼顾社会公众的权益，达到数据资产价值链相关权益的利益平衡，更好地回应智能互联时代对网络数据商业化的司法保护需求。