杨慧玲
(江西财经大学,南昌 33006)
在“互联网+”和大数据时代,数据已然成为数据产业发展的符号代表,成为平台企业保持和提高生态平台市场竞争优势的重要资源。但受企业数据权益保护立法缺失的制约,并且数据行业规则并不成熟,[1]腾讯与抖音的数据纠纷、新浪微博与脉脉的数据之争、淘宝与美景公司的纠纷,无不透露出市场竞争的混乱。目前,我国缺失关于企业数据权利保护的法律规范,企业数据的内涵边界、内容、权属等均存在很大争议。
学术界对数据权益保护的研究成果众多,但大多集中在对个人数据的法律保护上,而对企业数据权益保护的研究却相之甚少,也大都从企业数据财产性权利保护以及分类保护的角度来进行研究,[2]始终未达成共识。总之,在为数据产业崛起和数据市场自由竞争营造开放宽松的环境中,如何实现企业数据权益保护与数据自由交换流通的平衡,是我国司法领域不得不面临的难题。
数据经济的核心是对信息进行开发、生产、理解和交换。企业数据产生的过程是从简单的原始信息(包括个人数据)经过收集、处理和合并,形成具有经济价值的企业数据,再进行应用或交易。根据披露程度的不同,企业数据可分为公开数据、半公开数据和非公开数据。根据生产方式的不同,企业数据可分为原始数据和衍生数据。原始数据是平台收集和存储的可商用的数据信息,是一种个人数据集。衍生数据是收集、记录和存储原始数据之后产生的系统可读数据,数据经营者利用算法和模型来匿名、脱敏、过滤、计算和整合原始数据,以达到利用或经营的目的。[1]
在数据利益的驱动下,企业投入大量人力、物力、财力,不断开发和完善数据生产、采集和分析方法,以期享受更多经济效益和实现数据产业的繁荣。越来越多的公司能够收集、处理和分析原始数据,有些公司甚至发展出创建全新的、有价值的数据集(如数据库和大数据)的技术能力。企业数据保护作为一个独立而重要的全新课题,应当适时加以规范和保护,然而,当前企业数据保护领域却存在严重的法律缺位现象。
关于企业数据权利的保护,目前我国现行的法律体系没有给出完全的解决办法。关于对数据权利的维护,比较法上主要有两条不同的立法路径。其中一个就是美国主张的数据隐私权保护模型,它否认任何一个人对其数据拥有所谓的“数据权利”,只是当一个企业在其处理数据的行为中侵害了个人隐私时才会提供保护。另一种形式就是欧盟主张的赋权保护模式,它是赋予自然人以积极的权能来限制企业信息权利的适用范围。总的来说,这两种模型并不直接地承认一个企业的数据权利,而是通过逆向约束来维持企业的数据权利。然而,这种从个人数据中推导公司数据权利的方式存在明显的缺陷。这两种模式对个人数据的权利范围不明确,导致企业数据的权利不明确。有学者指出,现有的法律制度本身就非针对公司数据权利问题而设立的,各自都有自己特定的法律语境和制度功能,因此在处理公司数据权利问题时很难精准表达。[3]我国大数据产业发展的困境进一步印证了这一结论。
1.企业数据的商业秘密保护弊端。首先,企业数据不一定必然受商业秘密保护。为了受到商业秘密的保护,必须满足不同法律的要求。例如,在知识产权和竞争法领域,企业数据必须符合非公开、商业和保密的要求。由此,商业秘密对于企业数据的保护范围是十分有限的,商业秘密不能为数据经营者收集的半公开或公开数据提供有效保护。[4]其次,商业秘密保护模式容易使得企业进行数据垄断。正如谷歌公司利用Pagerank专利垄断海量数据,并获得多年数据垄断利益。[5]最后,大数据的交流与共享等特点与商业秘密的保密性相互冲突。数据的价值在于流动、传播和共享,而这严重制约了商业秘密保护的应用。
2.企业数据的竞争法保护弊端。目前,在我国的司法实践中利用爬虫软件非法获取其他平台用户数据的案件屡见不鲜,比如大众点评诉百度案、新浪微博诉脉脉案等。法院一般通过《反不正当竞争法》第2条的规定对其进行保护,但这种方式存在明显的弊端。首先,《反不正当竞争法》的适用前提是双方具有竞争关系,若是不具有竞争关系的第三方侵害企业数据权利则无法利用《反不正当竞争法》进行保护。其次,竞争法的适用也有明显的滞后性,只有在不正当竞争行为发生之后才能进行保护,不能起到预防损害的积极作用。这种方法不仅模糊了争议焦点,也没有建立起一个参照标准,因此今后很难为争议起到一个明确参照的作用。
在社会转型和科技迅猛发展的大发展时期,各式各样的利益诉求成倍增长。有关数据权利的提出,也是数据主体对利益诉求权利化的期望,而不同的群体往往有不同甚至是矛盾的利益诉求。在网络空间领域,用户、网络平台企业、社会公众等不同主体基于自身利益,在数据权益上存在分歧实属正常。目前,学术界对企业数据权属和内容可谓众说纷纭,其成因也是都不同程度地忽视了数据权属构成的复杂性以及企业数据背后利益关系的交织性。
一方面,个人信息、隐私利益的保护与企业数据利益之间存在冲突。个人是数据的生产者,同时也是数据权利的主体,与企业数据权利呈现出复杂的交织关系。因此,个人数据权利与企业数据权利之间始终存在着此消彼长的博弈关系,一方权利的行使总是受到另一方权利的限制。在实践中,数据经营者通常都是默默地进行收集和分析处理客户的数据,而且消费者不能够充分了解这些数据在交易中的使用状态或交易中对价。专业且繁琐冗长的个人信息隐私披露保护政策常常会导致消费者对于个人信息披露问题很难有深刻的认识,使得广大消费者在对于个人信息的披露与使用时也难以作出真实而合理性的判断,缺乏对于隐私泄露等潜在风险的认识。我国出台的《网络安全法》和相关政策都提到:数据经营者在收集和使用个人数据时,必须遵守法律法规并征得个人同意,但对于经个人同意可以数字化的敏感信息(非个人隐私),则应对数据进行脱敏和匿名处理。值得注意的是,即使在脱敏化和匿名化处理之后,个人数据并不一定当然转换为企业数据。有学者指出,如果经过脱敏和匿名处理后仍能识别出个人数据,所识别的个人数据仍然是“可识别的”。[6]那么,在某种程度上不能简单地认为在公司处理个人数据之后,个人数据就从个人属性中分离出来。
另一方面,企业与企业之间数据竞争之间的冲突。最近实践中,数据垄断、数据滥用等事例时有发生,如轰动一时的淘宝诉美景大数据产品案、[7]大众点评诉百度不正当竞争案、[8]腾讯与华为的用户数据纠纷等等。从深层意义上讲,这无疑是一场大数据时代下个人权利与企业数据利用、企业与企业数据控制之间的利益博弈。如何平衡与协调好个人、企业和相关公众之间的数据权益,这既是一个新的司法难题,也是对立法者智慧的考验。
洛克强调,劳动是获取财产的合法性基础,人们可以通过劳动获得财产。[9]劳动权利理论在一定程度上肯定了企业为收集、利用数据而付出的智力劳动。企业数据的形成是基于大量的企业实质性投入,包括人力、物力和财力等资源,才形成具有经济价值的数据。虽然劳动财产理论不能充分或完全被用来证明企业数据这一无体物的正当性,但是劳动财产理论背后所体现出来的理念帮助我们认识到,应当保护企业的数据权益。
根据功利主义理论,产权的最终目标应该是社会福利最大化。现代功利主义者主要关注盈利能力的评估,强调制度效益与成本的平衡,为数据权利制度提供了良好的路径构建。从商业角度来看,用户数据代表了公司的核心资源,通过分析用户在数据平台上留下的使用痕迹可以反映客户的真实需求,其中提供潜在的商机和用户体验提升的机会,鼓励企业积极开发,客观上也会促进社会福利的提升。企业数据是所有市场参与者的目标,如果不对搭便车行为进行限制和规制,将会打击企业投资和创新的积极性,从而间接影响数据产品的提供,乃至于降低整个社会的福祉。正如2017年淘宝诉美景一案,法院认同了劳动成果理论和功利主义论的理念,根据诚信原则和一般商业道德,认为原告通过大量实质性投入而获得的数据产权受法律保护。[10]
根据上述对企业数据权属和利益关系复杂性的描述可以得知,在产权边界没有被准确明确界定时,将数据进行绝对保护或立法上的统一保护是不可能实现的。数据技术和竞争手段不断更新,数据纠纷的类型也随着时间的推移而变化,用户、企业和公众还处于动态的平衡和调整之中,适应单一的保护模式很难适应上述变化,同时还会限制案件中法官的自由裁量权。
当前有关企业数据权利保护的模式主要有赋权保护模式与行为规制模式。赋权保护说主张构建数据新型财产权,赋予企业以数据经营权和数据资产权。[11]行为规制模式主张根据具体情况,综合权衡损害与利益,注重对竞争行为正当性的判断。[12]虽然对企业数据进行适当的确认保护,可以明确界定适当保护与行为自由的界限,并对他人提出合理的期待,确保法律的稳定性,给企业带来的好处是显而易见的,但企业也失去了一部分公众价值。破窗理论表明,社会将为此付出更多的机会成本。价值并不意味着就有权利。[13]企业数据虽然包含劳动又具有经济价值,但也只能作为一种财产性利益受到保护,而且在一定的情境下还要界定保护与自由的界限。企业数据保护理论应注重对数据形式的保护,平台企业在控制数据形式方面的利益也仅限于消极排除他人非法使用和破坏的功能。
数据保护应遵循数据经济的规律,不能一成不变地片面强调对个人数据的保护,而应将个人数据的保护与企业数据的保护相协调,以达到适当的平衡,不仅要保护个人数据,同时也要保护企业数据的利益。有学者将个人数据定性为“强人格弱财产”,将企业数据定性为“强财产弱人格”。[14]通常情况下,单个的个人数据几乎没有商业价值,只有在收集和整合大量的个人数据形成数据集才反映出数据的财产性价值。企业数据的使用和传播主要是为了获得经济商业价值,为了降低个人数据泄露风险,扩大数据使用范围,公司经常会对收集到的个人信息脱敏,脱敏后的衍生数据往往具有很高的商业价值。但企业数据的使用范围并非完全不受限,企业使用数据时,不得超出用户授权的范围,不得影响信息自由、公共安全和公共利益。
如果基于个人数据的企业数据不符合个人数据“知情同意”原则或者不进行匿名、脱敏处理或者超过个人数据范围限制的,这显然违背了保护个人信息的法律规范。因此,就路径构建来说,应当优先充分保护个人数据,这不仅能有效保护用户的相关权益,还能帮助企业顺利地收集和使用个人数据,以增强用户对企业的信心。在保护个人数据的同时法律不仅要满足个人对其数据权利的期望,同时也要为合理使用这些个人数据提供空间。只有通过这种方式才可以实现个人数据和企业数据的协同保护,平衡数据的隐私期望和企业数据的合理使用。