秦登峰
南京信息工程大学法政学院,江苏 南京 210044
随着信息时代、大数据的发展变迁,任何主体与对象的信息表达愈发具有独立的社会意义。个人数据的法律保护的立法工作已完成施行,然而企业数据的法律保护却仍未被重视。近年来侵犯法人所占有数据的形态走向公共化,企业数据遭受侵犯的情形日渐增多,其法律保护的必要性也与日俱增。本文集中研究企业数据利益纠纷的司法解决模式,并希望通过检视民事、刑事与行政法律规范对企业数据利益纠纷解决的方法为数据保护立法提供思路,并探讨如何在司法中对企业数据利益的法律保护模式进行改进。
虽然个人数据保护有着悠久的法律历史,但作为数据经济关键资源的互联网企业数据保护问题直到最近才出现。社会和经济各个领域数字化的巨大增长导致了各个领域数据的生产、收集和再利用的爆炸式增长。随着物联网服务开始出现,我们将进入一个新的工业发展阶段,其特点是以机器人为主导的自动化新阶段,以及以更大数据网络作为生产和服务支柱的公司加强垂直整合。在这种环境中,大量的数据将被产生、聚合和分发,包括传感器和机器生成的数据以及机器与机器之间的数据交换。随着新的商业模式的出现,尤其是各类数据挖掘的高科技中小企纷纷涌现,新的高度专业化的服务也有望出现。企业数据与个人数据存在显著不同,以个人数据为中心的数据法律治理模式忽视了大数据背景下企业数据所独有的法律特性。以企业数据而非个人数据的法律保护作为切入点,反思以个人主义为中心探究数据权属及保护模式争论中忽视企业等组织体所存在的缺陷,分析数据企业的法律问题可以反思个人数据的权属及保护模式的适恰性,有利于在统一的法治秩序下建构数据的全面保护模式。考量企业数据利益的保护可以反思现有法律规范保护企业数据中存在的不足之处,构建统一的数据保护制度。
企业数据的法律保护问题其实由来已久,在国际立法层面可以追溯到1980年经合组织的《隐私保护与个人数据跨国流通指南》,该指南备忘录中以个人信息保护为视角展开,区分个人数据和非个人数据,由此而来各国立法主要着眼于个人数据的法律保护问题,企业数据的法律保护只是个人数据保护上的延伸,未能区分个人数据与企业数据之间可能存在的差异。这种差异会影响企业数据利益纠纷的司法过程中对于权属定位、保护模式的选择,本文以此为基线探求企业数据利益的法律保护路径。
国外的企业数据纠纷的司法实践确立了数据利益财产权属定位。美国学者劳伦斯·莱斯格教授系统地阐述了应将数据作为财产并在其上确定用户对数据的财产权的观点,他认为,在互联网和信息技术日益发展的今天,传统法律架构通过侵权规则来保护个人数据的做法存在缺陷。这种方法既无法有效地保护用户的个人数据,也不利于促进数据的流动。在他看来,“个人必须具有针对隐私进行协商的能力,并享有默认的隐私权。这正是财产概念的意图,那些希望得到财产的人必须在协商成功后才能把它拿走。”
企业数据利益被法院定位为一种现实的、可预期的“财产性”或“经济性”利益。“新浪诉超级星饭团”案中,法院认为企业数据是其重要的经营资源,互联网企业能通过经营使用这些数据获得相应的合法权益,且基于该部分数据所获得的经营利益显然系受法律保护的权益,其他互联网企业侵犯企业数据利益的行为当然可以落入《反不正当竞争法》调整的范围。
在“不正当竞争行为”的法律认定中,司法机关往往先认定未经允许获取企业数据具有不正当性,提出该行为违反“商业道德”具有可非难性,继而依据《反不正当竞争法》第二条判决侵权人停止侵害、赔偿损失。[1]“新浪诉脉脉案”中法院认为互联网企业对大数据的开发是在实时抓取基础数据上的知识产权创新,互联网企业应享有“劳动成果权”。[2]“淘宝诉美景案”中淘宝公司对于“生意参谋”数据产品享有智力劳动成果的财产性权益。在上述论证的基础上,司法机关从产权配置逻辑出发证成了互联网企业对平台数据享有财产利益,提出未经企业许可获取该企业数据违反“商业道德”,构成“不正当竞争行为”。
综合来看,司法机关以这种限制性的立场来保护企业数据利益。首先,它不保护单一数据本身,而只保护具有竞争性利益特性的数据集。这不包括传感器或机器在其存在的第一阶段所收集的原始数据。即使这些个体数据迟早会进入数据集,再享受相应的保护。与此类似,欧盟法院(CJEU)强有力的判例法强调了严格区分数据生成和收集的重要性,在确定对数据库的足够投资作为保护要求时,将生成数据的任何投资排除在外。这种排除“衍生数据产品”的做法在工业4.0环境中非常重要,因为数据通常是作为副产品生成的。这种限制性的立场可以通过放宽司法界定来缓解,将数据保护的范围部分扩展到互联网企业数据所有者生成的数据。此外,通过参考数据和其他独立知识产权元素的重合区域,涵盖聚合、重复使用和细化数据以及数据组合的保护方案更加符合大数据环境中的数据使用目标。
采用《反不正当竞争法》对企业数据产品权益进行保护不具有完整的排他性。我国《反不正当竞争法》保护的权益对主张对象有限制,即只能向同行业竞争者主张,因此企业无法阻止非竞争关系的市场主体或出于个人目的利用企业数据,造成企业数据经营者利益受损的行为。[3]在企业数据的生产和使用方面,排他性不足亦会产生市场失灵问题。例如企业数据生产的激励不足,生产数据的收益和成本不匹配以及通过技术和合同不能确保企业数据在事实上的排他性。此外,如果允许其他人通过数据共享、许可等方式访问这些数据,排他性不足可能产生严重且无法解决的数据复制问题。排他性不足致使数据生产的收益和成本存在显著的负外部性,可能导致数据的私人价值偏离数据的社会价值。数据的私人价值和社会价值之间的这种差异可能导致数据生产的激励太小或太大,从而导致数据生产不足或过剩的经济效率低下。
采用《反不正当竞争法》路径无法对互联网企业数据权益进行事前救济。根据《反不正当竞争法》第二条的裁判模式,不当获取企业数据利益被视为违背商业道德,由此来看企业数据权益仅仅是一种具有价值性的利益,并非特定的财产权。只有企业数据产品权益受到侵害时,才能获得法律救济。这使数据产品经营者处于被动地位,与一般侵犯财产权的保护模式相比,此种侵犯企业数据利益救济保护属于消极赋权,仅能获得事后救济,企业数据利益保护的力度较弱。
商业道德的模糊定性,阻碍了企业数据流动。企业数据的开发利用一般需要聚合尽可能多的数据甚至所有数据,因为这将提高数据分析结果的质量。例如与健康主题相关的数据集,也可能与交通数据以及其他数据内容相关。这意味着企业需要访问所有这些数据获得最佳结果以开发数据利益,这个现象被描述为“数据碎片化”或“数据聚合”。然而由于提供数据访问权限的监管障碍,特别是模糊的商业道德概念,这可能使这类解决方案变得不可能。这就产生了自然垄断的现象,即只有一家公司拥有所有数据是最佳的,进而引发严重数据垄断问题,固化数据利益。
企业数据利益涉及法律纠纷与当前关于数据所有权、数据交易、数据访问和传输的法律法规直接相关,特别是关于通过传感器生成的机器数据。机器生成的“非个人”数据通常不受财产权的法律保护。在“构建欧洲数据经济”的通信会议中,欧盟委员会提出了一项新的“数据生产者权利”,认为该权利应分配给数据生产设备的所有者或长期用户,允许授权使用这些数据,从而方便访问和重复使用非个人和匿名个人数据。这种思路值得借鉴,但企业数据利益权利化导致生成的海量数据保存在内部,仅由持有这些数据的公司使用,无法进一步重复使用,这可能会阻碍数据经济的繁荣。因此笔者建议通过构建对私有数据的广泛访问权来解决数据访问问题,即以“专有财产权”与“数据访问权”的法律框架弥合权利化路径的不足。
企业数据资源作为一种新型的生产要素已被新兴的数据公司、科技公司广泛应用,并成为网络时代几乎所有平台和企业生存的基础形式。企业数据利益纠纷调整的难度也需要通过公法上的保护性规制来建立数据控制基本秩序。我国数据法学者梅夏英认为,“在大多数情况下,数据犯规并不一定涉及侵权后果或不正当竞争后果,而主要通过公法上的行政执法措施来予以惩罚和遏制。”[4]目前,对于企业数据纠纷案件的行政规制,主要依靠国家网信部门与公安机关通过专项执法直接打击相关违法犯罪行为。这种“运动式”行政执法模式无助于形成规范、有效的规制范式。这主要是因为我国尚未有直接规制企业数据利益保护的法律规范及其配套性制度,行政执法措施的正当性基础还比较脆弱。因而,必须深入探究扩大的调控机制之不同动机模型,为其创造出可供使用的适当规则,借以确保企业数据权益及行政权的执法能力。
企业数据利益与多方利益相关者相关。例如在“智能家居”或“智能能源”应用中,租户、设施管理、设备生产商以及能源公司等利益相关者可能对同一数据拥有合法权益,也可能参与了数据的生产。同样,在“智能制造”的信息集成价值链中,一些公司可能为数据的生产做出了贡献,网络中的许多公司可能需要访问相同的数据。司法判决也强调禁止他人收集或利用其平台中已公开的数据,可能阻碍以公益研究或其他有益用途为目的的数据运用。在新的利益衡量格局下,我国的企业数据利益保护应以“三方利益平衡”为理论基础[5],在企业数据利益纠纷司法裁判中为实现该理论设计一组相互关联的制度方案与法律适用模式。
以数据为关键资源的数据挖掘是一场技术革命,需要适应互联网市场竞争环境的企业数据利益保护法律框架。我们生活在一个越来越受数据驱动的世界中并且与市场打交道。大数据和人工智能(AI)正迅速成为创造财富的主要动力,并正在提高生产力,加速创新并重塑现有的商业模式。信息社会催动数据产业的蓬勃发展,数据成为新型生产要素的现实需要法律提供保护,侵犯企业数据的违法行为应当受到法律的制裁。本文以企业数据的法律保护作为切入点,以相关司法案例中对于企业数据利益的司法裁量作为理论场,解决现有法律体系在应对大数据时代企业数据保护方面存在的规范供给不足问题,为企业数据的法律保护路径提供实践参考。企业数据利益的法律保护亦应结合当前我国企业数据财产性利益保护的实际状况,从多视角审视该法治问题,从不同部门法的角度思考企业数据保护的法治建设。