反不正当竞争法视角下的企业数据权益保护

崔雨宸 温宇晨

（天津财经大学法学院,天津 300222）

1 引言

针对企业数据权益的保护方案，明晰数据从业者之间的竞争边界就显得尤为急迫，最直接的办法是通过法律确认数据权属、建立数据产权制度[1]，但数据权利的立法空白直接导致了分配数据权属的方式争议不断[2]，因此要对企业数据权益的概念进行分析。

2 企业数据权益厘定

目前学界对企业数据权益的法律属性尚无统一观点。林华（2014）认为，企业数据在我国现行的法律体系中更接近数据库或者说是汇编作品，二者均属于无形财产，因此应定性为智力成果，适用知识产权法进行保护[1]；基于劳动论，姬蕾蕾（2019）认为，企业对以提供服务为对价换取的数据享有正当的权利，因此主张采用物权和知识产权的双重保护[2]；而对此，龙卫球（2017）提倡，企业数据权益与其他现有的权益不同，需要建立一种全新的财产权来定性和保护[3]。笔者认为，企业数据权益是由不同的权益集合发展而成的权利束，为了厘清企业数据权益，需讨论数据权益的内涵及集合性权利理论。

2.1 企业数据权益的内涵

企业数据由财务数据、运营数据以及人力资源数据等反映企业基本状况的固有数据，经用户授权获取的个人数据及脱敏、加工后形成的商业数据三部分构成。企业数据权益是指企业作为数据主体对其所掌握的数据资源享有的受法律保护的权利和利益，据此，企业数据权益应当包含人格权益和财产权益。就人格权益而言，企业对其收集、储存、加工、使用和交易的个人数据要承担一定的责任，我国有关个人信息的保护规定散见于《中华人民共和国刑法》《中华人民共和国民法典》（以下简称《民法典》）《中华人民共和国网络安全法》等，《中华人民共和国个人信息保护法（草案）》（以下简称《个人信息保护法》）已经公布，其中关于人格权益的保护将很大程度地影响财产权益的保护路径。就财产权益而言，我国主要依据《中华人民共和国反不正当竞争法》（以下简称《反不正当竞争法》）进行规制。

2.2 集合性权利理论

企业数据是一种集合性资源，单条的数据即使有价值也是极为有限的，若给予单条数据过度保护会造成经济学上的“反公地悲剧”现象，不利于数据价值的充分挖掘，只有成为数据集合才能确认和主张数据权益已达成共识。目前学界对于集合性权利理论有以下三种。

第一种是“企业数据池”理论[4]，该理论提出将汇集大量数据的集合在法律上抽象为“数据池”（这一概念也被其他理论应用），并赋予数据收集和管理者以排他地使用和收益的权利。尽管《民法典》中并未明确规定“企业数据池”财产权益，但在大量不正当竞争案件中，都通过保护数据控制者的方式间接承认了企业通过用户协议享有了合法收集和使用用户数据的财产性权益。

第二种是信托理论。它否认了“企业数据池”是一种私人财产权利，其权属应当归全体互联网用户所有，即互联网平台作为其收集到的“企业数据池”的信托管理人，在取得一定收益的同时对全体用户负责。

第三种是责任规则与财产规则理论[5]。责任规则指的是，数据控制者让第三方即数据处理者以低成本开发，发现侵害隐私再停止使用，以便最大限度地开发数据。财产规则指的是，数据控制者采用更为严格的审核制，选择有能力的数据处理者进行开发并享有部分权益。

上述三种理论均有可取之处也各有不足，其中任一理论都不能整体适用于数据法领域。第一种理论通过赋予权利排他性，保护了企业的财产投入而忽视了用户的数据权益，不能解决分配领域的数据争议；第二种理论严重依赖企业能否承担“数据池”的有效管理与利用职责，在数据企业不成熟的现状下，更加适合处理政府与公众的数据关系而不适合处理企业与个人的数据关系，且我国的信义义务更多存在于公司法领域，在数据资源领域尚未形成有效的制度设计；责任规则可以处理用户与企业之间的关系，财产规则可以解决数据企业竞争边界的问题，但我国法律尚未明确规定数据控制者和数据处理者及二者之间的权利义务关系。

3 反不正当竞争法对企业数据权益保护的现状

我国对企业数据权益保护的相关法律规定并不完善，在司法审判中往往只能适用《反不正当竞争法》作为裁判依据，但保护力度远不足以遏制市场恶性竞争的乱象。

3.1 一般性条款的适用无统一标准

司法实践中主要适用《反不正当竞争法》第二条的一般性规定，经营者在生产经营活动中，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德。与第九条商业秘密保护制度、第十二条“互联网专条”一同对数据不正当竞争行为进行规制[6]。其中，根据立法解释的规定和已有判例，第二条是处理数据不正当竞争纠纷的主要法律依据，该条所指“不正当竞争行为”涵摄了数据不正当竞争行为。

百度诉奇虎案中，法院认为奇虎公司擅自抓取、复制百度公司数据，构成对对方竞争优势的破坏，可认定为不正当竞争行为；新浪微博诉脉脉案中，法院以淘友公司违反“三重授权原则”认定侵害用户个人信息，构成不正当竞争；大众点评诉百度地图案中，百度地图使用大众点评的点评信息充实产品被认定为不正当竞争；淘宝诉美景案中，美景公司将淘宝的数据产品作为获取商业利益工具的行为，属于未付出劳动创造的“搭便车”行为，有悖商业道德，构成不正当竞争。

法院多以一般性条款作为法律依据进行裁决。这一适用的优点是更容易根据个案进行利益平衡，但这并不能掩盖该原则性条款并无统一适用标准导致的不确定性。

3.2 商业秘密的认定具有不确定性

企业数据除了由内部的技术信息等组成外，更多是由来自公共领域的信息构成，如果对公共领域的信息赋予一定的商业秘密权，很可能导致公共领域的信息一定程度的不当限缩，从而极易侵害到公共利益。反之，若不授予，也容易一定程度侵害企业的正当权益。

3.3 与其他法律存在交叉重叠问题

《反不正当竞争法》确立了“三重授权原则”，其中用户授权原则与《个人信息保护法》《信息安全技术 个人信息安全规范》中的知情同意原则构成交叉重叠。“知情同意”是企业直接向用户收集个人数据时需要遵循的原则；“三重授权”是第三方企业向收集用户信息的企业抓取时应遵循的更复杂的原则，但复杂的授权规则在实践中对数据流动设置了障碍，降低了数据利用效率。因此，只有厘清相关法律之间的关系，才能更好地解决原则之间的衔接问题。

4 企业数据权利化诉求的困境

4.1 通过界定数据权利以消除外部性的可操作性差

外部性指的是某个经济主体对另一个经济主体产生一种外部影响，而这种外部影响又不能通过市场价格进行买卖所产生的溢出效应。目前大数据控制者很容易被他人“搭便车”而产生外部性问题，外部性问题在经济学上主要通过产权界定和国家管制（如税收、补贴或行政许可等）来解决。在产权界定方面，“科斯第二定理”认为，在有交易成本的情况下，因为法律对权利的不同分配方式将对应不同的资源配置效率，所以为了优化资源配置，有必要选择产权制度，在产权明晰的前提下由权利人自由协商。然而与其他规制对象不同，科斯定理对数据权利存在适用难题。一是作为数据权利当事人的网络用户是一个数量庞大、构成复杂、流动性强且难以特定化的群体，在信息不完全对称的情形下，协商过程因成本和难度的增加而很难达成一致；二是就成本而言，企业分析大数据的技术成本、信息成本、议价成本是相当高昂的，甚至超过受他人侵犯而承受的损失。

4.2 无法通过授予垄断性权利对知识产权加以保护

我国的知识产权法保护的实质是权利人对利用或流通智力成果的垄断权，而其可行性正是基于对智力成果的利用或流通是可识别、可救济的。由于数据本身在经分析和挖掘之前的价值难以显性化，且纯粹的数据流通很难由数据控制人识别，因而也难以得到救济。因此，数据并不具备被置于垄断领域的基础和前提，无法进入知识产权法的保护视野。同时在《民法典》中，立法者也意图将数据作为知识产权的客体加以保护，由于这一做法引起了巨大的争议，因而未能保留，而是以“开窗式”的授权规定取而代之。

4.3 设立企业数据权利缺乏现实基础

数据法不是传统法律部门，而是随着生产方式发展而衍生的领域法。领域法需秉持实用主义研究立场，以问题意识为起点，以经验研究为理论来源。因此，数据财产权利设置应当首先关注数据市场的健康发展，保障数据市场经济秩序的公平有序和交易安全，贸然设立绝对化的数据资产权不但容易导致数据垄断、数据歧视等破坏市场秩序的现象，而且不利于个人数据的保护。

5 完善企业数据权益保护模式的建议

5.1 设立数据控制权

“数据控制者”的概念确立于经济合作与发展组织（OECD）于1980年发布的《隐私保护与个人数据跨境流动指 南》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data），定义是：根据各国法律能够决定个人数据内容和用途的主体。其解释备忘录指出，商业企业、团体、协会的相关数据与个人数据均应受到保护，应将保护个人数据的规则扩张适用于前者。欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）第四条第七款规定，数据控制者是能单独或联合决定个人数据处理目的和处理方式的自然人、法人、公共机构、行政机关或其他非法人组织。

我国在数字经济领域走在世界前列，但个人信息权的立法远落后于欧洲。2020年，我国《民法典》中提到了“信息收集者”“信息控制者”两个概念，并规定二者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失，以及发生不利后果应采取的补救措施和向主管部门报告的义务。《民法典》为法律设置数据控制权提供了依据，也为后续的权利设置讨论提供了可能。

企业数据控制权的客体应当限于包含用户信息的数据，对于经加工的脱敏数据，应当依据商业秘密或一般条款规制。数据控制权源于用户对个人数据的让渡以换取企业平台提供的服务，这些个人数据汇入“企业数据池”后，企业便取得了控制权。控制权能够从以下两个方面发挥作用。

一是从企业竞争中保护人格权益的角度。当数据控制者遭受其他企业的“非法爬虫”等不正当竞争行为时，由于用户无法得知自己的数据被侵害，且用户数量庞大，不适合单独提起人格权之诉，而不正当竞争之诉的赔偿额度较低，无法匹配人格权益应有的保护强度，过低的违法成本将使得侵权者有恃无恐，甚至会加剧数据人格权益侵害。因此，企业应当代替用户对侵害用户数据人格权益的企业提起侵权之诉，而不是不正当竞争之诉。

二是从数据与企业关系中保护人格权益的角度。与数据资产权的主要差异在于，数据控制权不得对抗个人信息的携带权、被遗忘权和删除权，这三种权利已在学界达成共识，新颁布的《民法典》也在个人信息保护部分印证了该说法。数据控制权的前提是个人数据权的确立，个人参与和控制是数据主体约束数据控制者使用数据的有效权利约束机制，赋予数据控制者权利，就需要确立数据主体个人数据权，通过权利相互制约达到对个人数据的利用与保护的平衡状态。从法律制度的内部关系看，数据控制权能代替新浪微博诉脉脉案中确立的“三重授权原则”，与《个人信息保护法》中的知情同意原则相衔接。若企业违反知情同意原则，则应当由用户个人依据《个人信息保护法》对企业提起侵权之诉。如果企业侵权的对象是数据控制企业，主张侵害控制权就更为合理且有效。因此，设立数据控制权，既能加强对数据权益的保护，也能避免《反不正当竞争法》与《个人信息保护法》出现规制交叉重叠的问题。

5.2 细化一般性保护条款

司法实践中，法官通常采取最高法院给出的分析方法进行裁判，即先认定被侵害企业是否有实质损害，若该损害确有保护的必要，则进一步认定该侵害行为是否违背诚实信用原则和商业道德。具体到数据不正当竞争案件的应用中，针对诚实信用原则和商业道德的判定标准，需要在案件的审理过程中得以明确。

“诚实信用”是民法的基本原则，直接用于裁判虽然有利于个案平衡，但留下的自由裁量空间过大，适用标准具有主观性。商业道德同样具有适用范围过宽的问题，成熟的行业惯例尚未形成，数据垄断企业对行业规则的影响过大，因此要谨慎援引行业规则作为裁判依据。

采取“概括+列举”的方法，对法院在司法实践中已经认定的、有借鉴意义的诚实信用原则和商业道德的具体表现进行固定。同时，尽快在司法解释中明确本条所规定的诚实信用原则和商业道德的内涵和外延，尝试对诚实信用原则和商业道德进行细化。“海带配额”案明确了第二条的司法适用条件，使得之后的案例中法院可直接在判决中参考该条件。最高法院的裁定一定程度规范了第二条的司法适用：一是法律对该种竞争行为未做出特别规定；二是其他经营者的合法权益确因该竞争行为而受到实际损害；三是该种竞争行为确因违反诚实信用原则和公认的商业道德而具有不正当性或可责性。随着案例的不断丰富，希望能产生更多类似判例补充法条漏洞。

6 结语

反不正当竞争法视角下的数据权益保护，应当采取“双轨制”保护模式。首先，建议设立数据控制权，如此，既能实现对数据权益的加强保护，也能避免《反不正当竞争法》与《个人信息保护法》出现规制重叠的问题。其次，针对《反不正当竞争法》，建议做出如下改进：一是明晰诚实信用原则和商业道德的内涵和外延；二是实行举证责任倒置并明确商业秘密的认定标准；三是在借鉴吸收审判实务经验的基础上增加限定性因素和优化禁止性条款。最后，在未来关于数据权益的其他相关立法中，宏观层面，应当通过中央立法或者司法解释明确各法关于数据权益保护的边界，并逐步建立健全数据分级保护、分类保护制度；中观层面，地方各省市应加快制定实施促进条例，为大数据发展营造良好的市场环境；微观层面，数据类行业协会应积极制定具体数据商业场景中企业普遍认可的行业规则、准则，明确企业的竞争边界。