企业数据的利用规则研究

王珊珊 闫文军 肖尤丹,2

(1.中国科学院大学公共政策与管理学院，北京100049；2.中国科学院科技战略咨询研究院，北京100190)

0 引言

在国家大数据战略引领下，中国数字经济和数据产业发展态势迅猛。根据国家互联网信息办公室发布的《数字中国建设发展进程报告》[1]，2014—2019年，我国数字经济对GDP增长始终保持50%以上的贡献率，2019年数字经济对经济增长的贡献率为67.7%，成为驱动我国经济增长的核心关键力量。中商产业研究院发布的《2022年中国大数据产业链上中下游市场剖析》[2]报告显示，中国数据产业仍将高歌猛进，2022年中国大数据产业规模预计达到14 224亿元，2023年数据总收益预计达到3 126.7亿美元。《IDC:2025年中国将拥有全球最大的数据圈》[3]白皮书预测，到2025年中国数据圈将达到48.6 ZB，占全球数据圈的28%，成为全球最大的数据圈。

随着数据总量和数据产业规模的持续增长，企业数据在各行各业发挥着越来越重要的作用。在商业领域，企业数据成为经济发展的重要生产要素，成为企业提高竞争力、实现产业转型的重要战略资源，在一定程度上，谁拥有数据，谁能有效利用数据，谁就能掌握竞争实力；在公共领域，企业数据成为政府管理公共事务，提升管理效能的重要工具，尤其在公共紧急事务处理中，如在新冠肺炎疫情防控等紧急公共卫生事件中，或在突发性重大自然灾害中，企业数据发挥着至关重要的作用，甚至直接关系到公共利益保护能否实现。

然而，由于目前与企业数据利用相关的制度建设缺失，与产业发展需求和公共利益需求不能完全相称，企业数据在贡献经济价值和社会价值的同时，却面临“四面楚歌”的境况[4]。具体表现为：第一，企业数据面临被随意抓取、大规模滥用甚至同质化利用的风险，数据纠纷不断，数据权益得不到合法保障，数据企业投资数据市场开发、数据价值挖掘的积极性严重受损；第二，企业数据在遭遇被侵犯之虞，也因未经授权或过度开发等不正当行为导致个人信息和个人隐私权益受损，虽然治理领域强调个人权益保护，但关于用户数据的黑色交易依旧存在；第三，企业之间的数据争夺甚嚣尘上，大企业在技术、资本、市场等方面具有绝对优势，时常通过技术传输障碍、不公平协议、不合理定价等方式攫取数据利益，使中小微企业和初创企业举步维艰，加剧了数据垄断、数据封锁、数据孤岛等不正当竞争局面；第四，企业数据的共享机制不健全，尤其是在涉及公共紧急情况下的数据提供义务尚未明确，企业数据的公共管理功能和社会利益关照功能难以发挥。

综上，结合数字经济发展和社会公共利益保护的需要，加快统一企业数据利用规则，规制企业数据利用活动的任务变得十分紧迫和必要。根据企业数据利用中存在的问题，结合国内相关案例的司法判决和欧盟《数据法》草案的立法经验，从商业利用和公共利用两个角度分析企业数据的利用规则，以期为规制企业数据利用提供参考建议。对于涉及用户信息的企业数据，本文默认原数据控制企业已合法获得用户授权，将研究重点放在规制相关企业和政府的利用行为之上。

1 企业数据的商业利用与规制

基于数字经济时代对数据流动与开放的经济需求，对企业数据的利用，原则上应该采取较为宽松的标准，应积极促进社会经济范围内的有序利用。在hiQ诉LinkedIn案中，法院认为企业数据具有公共物品属性，因此不能过度保护数据主体的权利，不能达到控制信息传播或独占数据价值的程度。任何试图使数据控制企业独享数据权益的行为都是违反数字经济发展规律和商业道德的行为[5]。因此，在交易环境中理想的利用规则应当是既能够保护数据控制企业的利益，又能够实现交易相对方的利益，最大限度地发挥数据价值[6]。但是，积极开放的利用规则虽然对于数据使用方、交易相对方等相关企业来讲十分有利，但如果允许相关企业随意使用，那原数据企业的利益又该如何保障。因此，在确定数据利用规则时，必须正确辨别相关企业的不正当利用行为。为此，本文试图借助司法裁判经验来解决这一问题。

1.1 不正当利用行为判断

(1)未经授权的利用。因授权问题而引发的数据纠纷在司法实践中十分常见，主要表现为“未经授权的利用”和“超出授权范围的利用”两种情形。在“腾讯诉抖音、多闪不正当竞争纠纷案”中，法院认为腾讯公司为收集和经营用户数据付出了巨大的投资，用户数据已经成为腾讯公司开发产品的核心资源，因此腾讯公司对用户数据享有合法权益，有权制定开发者协议并通过该协议允许第三方平台使用相关数据。最终认定，多闪在未经腾讯同意的情况下使用微信用户的头像和昵称等相关数据，属于“未经授权的利用行为”，侵犯了腾讯的合法权益，而抖音虽然基于腾讯的合法授权获得使用微信用户的头像和昵称的权利，但是腾讯并未授权抖音能够将用户头像和昵称再次授权给多闪使用，因此抖音的行为属于“超出授权范围的使用”，同样侵犯了腾讯的合法权益[7]。这一案例，能够带来的启示是，第一，原数据企业对涉案数据享有合法权益，相关企业利用数据时需要经过原数据企业的合法授权；第二，相关企业需在授权范围内进行使用。

(2)模仿式利用。“模仿式利用”是企业数据纠纷中另一种常见的利用行为，但是否构成不正当利用，需要结合具体情况进行判别。在“大众点评诉百度地图不正当竞争纠纷案”中，法院认为百度地图在未经大众点评同意的情况下“大量”“全文”使用大众点评上的用户评价数据的行为构成“实质性替代”作用，损害了大众点评的合法权益，构成不正当利用行为。但同时指出，早期版本的百度地图中的用户评论虽然也都来自大众点评，但只提供3条用户评论，不构成大规模使用且不足以替代大众点评向公众提供点评服务，因此前期的行为不构成不正当利用。在“阿里巴巴诉码注不正当纠纷案”中，法院基于数据的公共物品性认为，保障数据的充分流动和共享才能更好地实现社会利益，在对数据的控制和分享之间，应该充分平衡各方利益，因此码注公司虽然未经授权而擅自使用并开发了阿里巴巴的1 688家店铺的商品数量、主营产品等数据，但未经授权这一行为还不足以构成不正当使用。真正导致其使用行为构成违法的原因是码注公司的利用行为超出了合理限度[8]，因为虽然阿里巴巴的相关数据已经公开，但码注公司仍应该秉持善良、诚信的原则，在必要限度内使用数据，而不能无节制地开发甚至替代阿里巴巴的部分功能。

这2个案例带来的启示是：并不是所有的模仿式利用都是违法行为，并不是所有的“未经授权而利用”都是违法行为，需要结合其他情况进行综合判断[9]。法律允许相关企业在合理范围内的“适度模仿”，因此即使没有得到授权，但如果利用规模极小且不影响原数据企业获取利益、提供服务或未造成其他减损竞争优势的影响，则属于合理使用的范畴；但在未得到授权的情况下，如果无节制地大规模利用，违背诚实信用或商业道德，甚至对原数据企业产生实质性替代的影响，则构成不正当利用。

(3)同质化利用。“同质化利用”是第3种常见的数据利用行为。在“谷米诉光元不正当竞争纠纷案”中，光元公司在获取谷米公司的公交位置数据后，又以与谷米公司在数据用途、数据服务方面具有一致性的经营模式对数据进行利用，法院认为光元公司的行为抢占了谷米公司的用户和利益，给谷米公司造成严重的经济损害，若允许这种直接使用原数据企业数据的行为而不加限制，很容易导致同质、低劣的竞争现象，无法实现对原数据企业利益的保护与激励，长此以往，也会损害整个社会经济利益，因此认定光元公司的行为构成不正当利用。关于商业模式问题，在“腾讯诉3Q不正当竞争纠纷案”中，最高人民法院针对商业模式问题给出的指导意见认为虽然商业模式不是一种法定权利，原数据经营者也不想有独自或垄断性使用这种模式的权利，但是商业模式包含了经营者为之付出的心血，因此仍旧是一种合法权益，应该受到保护[10]。这2个案例带来的启示是，在数据利用中，除了需要考察是否授权和是否大规模利用外，还需要考察相关企业利用数据的商业模式是否对原数据企业构成竞争，是否构成实质性替代，具体判断时，可以参照是否使用相同模式、是否为了相同目的两个标准。

1.2 企业数据商业利用规则

以上司法案例和法院判决从行为规制的角度提供了企业数据商业利用行为的判断标准，总结起来包括以下4点。

(1)是否“授权”。是否经过 “授权”，是相关企业能否合法利用这类数据的前提条件。可识别型企业数据需要经过“用户授权—企业授权—用户授权”三重授权的严格保护模式，不可识别型企业数据只要经过原数据企业同意即可使用。但是，获得授权只是合法使用的第一步，数据使用方仍需在授权范围内使用数据，未经原数据企业同意而转让给第三方使用的行为仍有可能构成不正当利用。

(2)是否构成“大规模利用”。从《反不正当竞争法》第6条看，原则上，法律允许在“合理范围内的”模仿行为，也允许对“文本片段”或“少量”“小规模”数据的使用。但如果在未经授权的情况下对原数据企业的数据进行“大量”“全文”“整体”性利用，就属于“大规模利用”的范畴了，那么这种行为就不再是合法的模仿，而应该被认定为“抄袭”，在此基础上形成的产品多为质量低劣或者服务低劣的同质化产品，还常常以低价出售的方式争取用户，损害原数据主体的合法权益。因此，在未经授权或超出授权范围的情况下，相关企业的利用行为如果符合大规模利用的条件，则构成不正当利用行为。

(3)是否采取相同的商业模式。相关企业将数据投入使用的商业模式可以分为两种，一种是与原数据企业相同的商业模式，另一种是与原数据企业不同的商业模式。虽然我国法律并未明确商业模式属于知识产权的保护对象[11]，司法实践也并未认可原数据企业对商业模式的独占或垄断使用，但如果允许相关企业在未经原数据企业同意的情况下使用原数据企业的商业模式，使相关企业不劳而获，达到快速进入市场的目的，却忽视原数据企业为之付出的市场调研、渠道磨合、想法试点等摸索式商业投入，这显然是不公平的[12]。因此，若相关企业以“与原数据企业不同的商业模式”使用数据，无论商业目的是否相同，都不但不会侵犯原数据企业在商业模式上的正当权益，还有利于促进产业模式创新、提升消费者福利，应该得到支持；若相关企业以“与原数据企业相同的商业模式”使用数据，则需要结合其商业目的是否相同加以甄别。

(4)是否出于相同的目的。在商业模式相同的情况下，如果商业目的不同且能够促进商业模式创新，增进消费者福利，则该予以支持。但在商业模式相同的情况下，如果商业目的也相同，则可能出现实质性替代或同质化竞争的风险，不但会损害原数据企业的竞争优势，还会纵容搭便车式的低劣服务出现，需要禁止。

综合以上4项标准，可以将相关企业对数据的商业利用规则总结如下：首先，获得授权且在授权范围内的利用行为，属于正当利用行为；其次，未经授权或超出授权范围的利用行为，如果是“小规模利用”“相同模式但不同目的的利用”“不同模式但相同目的的利用”，属于合理利用行为；再次，未经授权或超出授权范围的利用行为，如果是“大规模且相同模式相同目的的利用”，则构成同质化利用，应该被禁止。

2 企业数据的公共利用与规制

2.1 欧盟《数据法》草案中的公共利用条款

关于企业数据的公共利用问题，在欧盟立法中早已得到关注。2018年，欧盟在其发布的《修改〈重复使用公共部门信息的指示〉的建议》中分析了电商平台、网络平台、汽车制造商、社交媒体等企业数据与社会公共利益的密切关系，强调了加强这类数据的公共利用对于城市规划、交通管理、市场监管产生的重要作用。该《建议》充分肯定了企业数据对于实现公共利益的重要作用，然而，虽然在前期的民意调查中已经认识到了企业数据对公共事务管理的重要性，但是该《建议》并未明确企业的相关义务及具体的适用条件。

2022年2月23日，欧盟提出了《数据法》草案，在第三章规定企业具有“数据提供义务”，这是针对所有数据接收者的一般提供义务；在第五章明确规定了企业专门针对政府所应承担的“数据提供义务”。根据第14条的规定，“数据提供义务”就是指数据控制企业应该根据政府的特殊需要向其提供企业数据。第15条规定这里的“特殊需要”是指：第一，政府为了应对公共紧急情况，或者是为了防止公共紧急情况或协助从公共紧急情况中恢复的情形，例如公共卫生突发情况或重大自然灾害等；第二，政府必须依靠某类企业数据来完成某项关乎公共利益的特定任务，但这类数据无法通过市场购买、法律规定或创设新法等方式及时获取或者如果按照草案规定的程序获取数据，将严重减轻企业的行政责任。

为了保障政府顺利获取企业数据，草案第17条还详细规定了企业的“及时提供义务”和政府的“必要说明义务”。政府在要求企业提供数据时，应当指定需要的数据范围、证明确实存在要求提供数据的特殊需要、说明数据用途、使用期限及相应的法律依据。提供数据的企业应及时向政府提供数据，且需要以易于理解的方式公开或提供数据，拒不提供或故意拖延的企业将会受到相应处罚。但考虑到公共利益、企业自身利益和相关企业利益的均衡分配，草案免除了中小微企业的数据提供义务，十分重视保护数据提供企业的合法权益，并为“应对公共紧急情况”之外的数据提供行为给予适当的成本补偿。第一，为了减轻中小微企业的负担，草案在第14条明确规定免除中小微企业的数据提供义务，体现了立法对中小微企业的利益关照；第二，为了防止企业数据泄漏，草案第19条规定，政府在使用企业数据时应尽可能地保护企业的合法权益，当提供的数据涉及企业商业秘密时，政府应为这些数据提供必要的技术保护措施；当完成特定任务后，应及时删除提供的全部数据并告知原数据企业，且不得将此类数据用于其他目的。第三，为了保护企业履行数据提供义务的积极性，草案第20条规定，企业提供数据时并不一定是免费的，只有在为了“应对公共紧急情况”的情形下，企业才需要向政府“免费”提供数据；在除此之外的公共利益保护情形下，应充分考虑企业因提供数据所需的成本和努力，企业有权根据提供数据所付出的技术成本和组织成本范围内获得适当补偿。

2.2 企业数据公共利用规制

从欧盟《数据法》草案第14条关于企业数据公共利用条款的制度内容和该条规定制度效果中可以看到企业数据在公共利益保护层面的重要意义，但从草案第14～20条关于企业及政府的具体的权利义务规定中，也能看出草案对企业数据利用及企业数据利用主体的有利规制，为人们站在公共利益视角上，重新审视数据利益格局、完善企业数据利用规则提供了思路。

(1)公共利益优先。《数据法》草案中关于数据提供义务的规定，体现了公共利益与企业利益之间的博弈，也反映了在特殊情况下，公共利益相较于企业利益的价值优先性。根据边沁的公共利益理论，在利益关系中不存在不同利益的自动和谐，实现“大多数人的幸福”才是所有利益关系中的最大利益准则[13]。企业数据具有功能聚合性，其中的公共利益功能主要体现为对公共利益的保护，如提高公共管理效能、应对重大自然灾害、推动国际合作、捍卫国家数据主权和信息安全等，体现了企业数据的利益交织性，也对企业数据权利起着重要的平衡与限制作用，因此，在对企业数据权益的保护与限制中，须明确这些公共利益的存在，并将其内化于企业数据权利中或外化于对企业数据的利用与交易活动中，从而构成对企业数据权利的制约。

(2)保护性原则。《数据法》草案规定政府在要求企业提供数据的同时应保护其商业秘密等合法权益，当涉及商业秘密或个人隐私时，政府还要提供技术或组织保障措施，防止相关数据受到侵害。这说明虽然在公共利益视角下对企业数据的利用要以公共利益为重，但也要充分考虑对企业利益的合法保护。在利用企业数据为公共利益服务时，还需要积极探讨企业知识产权保护、企业核心利益与社会公共利益之间的平衡问题，在发挥企业数据服务对公共决策的重要作用的同时，也需要保护企业数据的合法权益，尤其是涉及商业秘密等关系企业命运的核心信息资源，只有适当的保护和适当的限制才能持续保护和激发企业进行数据资源开发的热情。

(3)紧迫性原则。公共利益视角下，利用企业数据时应该坚持紧迫性原则。《数据法》草案虽然规定了企业的数据提供义务，但是该义务并不是适用于所有涉及公共利益的事务中，而是只允许在应对公共紧急情况，或为了防止或解除紧急情况，或在其他尽管没有数据提供之外的其他替代方法，但又必须挽救比企业利益更重要的社会公共利益等特殊情况下，才能够要求企业履行数据提供义务。

(4)必要性原则。《数据法》草案还规定了政府在取得该特定企业数据后，不能以不符合公共利益要求的方式使用数据；在特定的公共利益实现后，政府应立即删除相关数据；如果涉及企业秘密，也只能在实现特定公共利益保护目标的范围内进行必要性使用。可见，在数据利用中，当公共利益与企业利益发生冲突时，虽然需要企业让渡部分经济利益，但并不是完全舍弃企业利益保护，而是以必要性为原则，以能够完成特定公共利益任务为目标。

3 结束语

综合以上研究，为完善我国企业数据利用规则，企业数据利用应遵循以下规则。

在商业利用情况下，原数据企业对企业数据享有合法权益，能够授权相关企业以什么样的方式、在什么样的范围内使用和开发数据。相关企业应在获得原数据企业授权的情况下使用数据，并应在授权范围内进行合理开发利用；但获取授权并不是利用数据的必经之路，出于数据的公共物品属性，为了实现数据流动与价值共享，在未经授权的情况下法律也允许适度范围内的小规模利用行为，包容相同模式不同目的和相同目的不同模式的利用行为；但如果相关企业在未经授权的情况下进行无节制的大规模利用且采取与原数据企业相同模式相同目的的商业利用，违反诚实信用和商业道德，给原数据企业造成实质性损害，则构成不正当利用。

在公共利用情况下，原数据企业应承担“数据提供义务”，让渡企业权利，保护公共利益。政府应当坚持紧迫性和必要性原则，只有当政府等公共机构是为了应对公共紧急情况或为了防止或解除紧急情况时，才能要求企业及时、免费、无条件地提供数据；如果是为了应对非紧急情况时，只有在没有其他获取数据的替代方法(比如通过市场购买或法律规定获得数据)的情况下，才能要求企业提供数据，且应该根据企业为提供数据而付出的成本代价给予适当补偿。政府还应坚持保护性原则，对涉及商业秘密和个人隐私的企业数据提供必要的技术保护措施，尽可能保护企业的合法利益和数据安全；而对以实现特定公共利益目标为标准的数据利用，则应待特定事项完成后积极删除、销毁相关数据，且不能用于其他目的或用途。