大数据时代下企业数据的法律保护

湖北大学法学院 朱涟漪

21世纪以来，我国通信技术的更迭及运用使社会进入大数据时代，数据在人们的生活中越来越重要，企业也充分利用互联网，通过数据挖掘分析，在各种领域产生了极大的商业价值。数据在企业竞争中具有关键性的作用。但同时，企业也面临着大数据带来的各种侵权纠纷问题。但我国企业数据的法律规范却难称有效，为此我们需要理清相关概念，明确企业数据的范围与性质，分析我国及世界各国解决相关问题的方案及其利弊，并提出相关建议。

一、理清企业数据的范围

（一）企业数据的类型

理清企业数据问题，首先需要明确企业数据的类型。企业数据是指“所有与企业相关的信息、资料，包括公司概况、产品信息、经营数据、研究成果及商业机密等”①。深度来说，企业数据包括企业运营中个人数据增值的综合数据、自身活动所产生的数据和平台上的公开非个人用户数据等。

本文主要讨论大数据下，企业主要依靠互联网爬虫整合信息数据。企业将原本不具有直接的经济效益的合法个人原始数据收集，通过进行去识别化等加工和分析，使其能够合法利用，而这种经过处理后的增值数据，因不具个人身份保密的数据和事务而成为企业的经营数据、商业机密，因此它们应归类到企业数据方面进行保护。在公司的数据处理过程中，还会产生相关运行数据，该类数据亦归属于企业数据。除此之外，网络用户参与互联网生活中所留下的痕迹、公众平台的开放性数据也被认为是企业数据中的非可识别数据，如在微博上发表的文章等，它们都属于这一类别[1]。虽然这类数据是由用户自己发出且有权进行处置的，但也属于相关平台的企业数据。其企业核心就是不同类型的非个人数据。

此外，企业数据其实是由多重主体叠加的数据，性质复杂。由于数据在共享和传播中才能创造价值，而作为非物权的“物”，不具有单一的主体并存和专有的独占排他性，可以被所经过的任何主体使用而又互不影响，因此企业数据拥有一种“不同主体、不同领域、不同属性”的叠加形态。所以，在整合数据进行保护时，需要注意其他主体及其相关利益，明确企业数据的定义和范围。

（二）明确企业数据间相关概念

1.信息和数据之间的区别

字典中的信息表示“音讯、信息和通信系统的传输和处理对象。通过获取和识别不同的自然和社会信息，人类可以区分不同的事物，并在这个过程中进行理解和改造世界”[2]。数据则是通过日常观察获得的结果。从前，信息是通过对数据分析的组合形成的。而在信息网络时代，数据内容越来越多，一部分“数据”本身即包含着“信息”。例如，来自信息网络本身的数据如文本音频等，亦可以被看作为信息，常见于计算机等电子设备上。即便如此，信息和数据之间仍然存在本质上的差异：信息只能通过理解和改变世界的工具来处理；而简单数据本身不是信息，对于这些数据的分析处理才能组合成为信息。

在当前，数据和信息是可以即时转换的，但在数据处理工具阶段，不应否认区分数据和信息，而要以不同方式处理它们。

2.个人数据和企业数据之间的差异

目前，个人信息权主要有三种类型的观点：个人信息权说、人格利益说及人格兼财产权说。这三种理论将个人信息作为一种新的道德利益加以保护。我国法律中个人信息指“通过电子或其他方式单独记录或与其他信息组合记录的能够识别自然人身份的各种信息”。而确认个人信息的关键就是“可识别”，但同时，这种认定方式也带来了另一个问题——对于“识别”的结果可能因条件而异。这些条件和结果的差异使得“识别”本身变得困难，也给个人数据的认定带来了边界不清晰的问题。

目前，企业数据和个人数据之间的差异，在学理上通常取决于是否对数据进行处理。已处理的为企业数据，未处理的企业数据被视为个人数据。据此方法处理的数据摒除了个人的标志化，不能被“识别”，从而不被视为个人数据。

二、国内外企业数据保护实践及优劣分析

目前，我国企业数据主要通过商业秘密、财产权等进行保护，但各有利弊。商业秘密保护适用企业的不公开数据，而对于半公开数据及公开数据却多有限制。在《知识产权法》和《反不正当竞争法》上，受到商业秘密条款保护的企业数据必须符合非公开、商业价值和采取保密措施的适用条件。在劳动法和公司法上，仅限于特定的主体或者以合同关系的存在为前提的企业数据，商业秘密才对其进行保护，而对于不特定第三人商业秘密并不进行保护。而《侵权法》依赖于法律对于数据权属问题的界定，《合同法》难以就第三人的侵权行为进行救济[3]。在学术界，主要有以下几种学说适用。

1.物权法保护

该类方法主张将数据视为物权的保护客体，通过数据私有化的方式防止非法爬虫行为。然而数据并非仅有单个主体，任意主体都可以在法律与自由意志的范围内对数据进行处理且互不影响。利用物权进行数据私有化在我国实务中也并不可行，如“淘宝诉美景案”。在此基础上，有学者提出以数据载体作为客体对数据进行保护，但是首先数据具有无形性，二进制的流通并不局限于其物质载体，其次数据有流通性，可以被任意复制而不损害其载体，并不会导致原本数据信息的变化。因此将其作为物权保护的情况较少适用。

2.知识产权保护

该类学说保护的是企业数据的独创性，典型的是欧盟的保护方式，设定“版权+数据库保护”的方式，通过相关版权法保护拥有独创性的数据库、“制止不正当提取权”保护不具有独创性要求的数据库，但是在司法实践中通常需要证明有“实质性投资”的条件，并且可能存在形成垄断妨碍公共利益的情况，难以有效适用[4]。此类方法仅能保护部分企业数据，且将数据保护归入知识产权体系存在法理不通的问题，有部分争议。

3.合同自治方式保护

因为当前数据交易方式主要是通过签订合同，该方式能够充分体现签订合同双方的契约自由与意思自治，充分约束双方的数据交易关系，目前最为普遍。但是这种方式回避了数据企业数据的法律性质与客体性质，且不能约束第三方的侵权行为，存在一定的风险，可能会减少企业的交易倾向，不能充分保护交易安全和当事人权益。

4.商业秘密保护

2019年《反不正当竞争法》修改，明确了关于商业秘密的规定，现实中也较多引用商业秘密对企业数据进行保护。商业秘密保护主张对企业数据的权益的保护，而企业数据由于其特殊的商业性，具有极大的商业价值，如果加强其权利化保护，极易诱发数据垄断，所以对企业数据实行商业秘密保护符合企业数据的特殊性质。

利用商业秘密的方式实现对企业数据的保护，必须要符合商业秘密的三个构成要件，即非公开性、价值性、保密性的要求。对于“价值性”，企业数据的价值在于对企业数据的开发和利用，赋予了原始数据以商业价值。对于“保密性”的要求，即企业为了防止商业数据的泄漏而采取的与商业价值等相适应的保密措施。“非公开性”即指不能为公众所知晓的数据，主要包括两个方面，一是经营者对企业数据开发的投入力度，二是普通公众获取企业数据的难易程度。

随着大数据的不断发展，企业数据更注重流动性、共享性和广泛性，商业秘密的保护过于绝对却仍有不足，这可能会给法院对企业数据的商业秘密认定造成不便，无法满足数据保护的需求。第一，由于电子数据的特殊性，并非所有的企业数据都能够被认定为商业秘密，其与传统的商业秘密的储存方式不同，在实践中往往很难判断企业数据是否满足商业秘密价值性、秘密性、非公开性的要求。第二，侵犯企业商业秘密的行为标准不够明确。在《反不正当竞争法》第九条中“不法行为主要分为四种模式，不正当的获取行为，披露、使用行为，合法获取加非法披露使用行为，共同侵权行为，目前修改过的条款规定了以“电子入侵”方式实施的获取行为也属于侵犯商业秘密”[5]。在我国目前的实践中，众多小型企业还原工程活还原其他企业的原始数据的行为并不被认定为侵犯商业秘密，这在某一方面破坏了企业数据的非公开性，企业数据的获取难度降低，商业秘密对企业数据的保护力度也随之降低。第三，商业秘密的保护方式对企业数据的保密性提出了更高的要求，满足商业秘密的企业数据虽处于保密状态，但数据的价值在于流通和利用，这也极大地挑战了企业数据的保密性[6]。

5.《反不正当竞争法》

作为市场竞争的重要因素，企业数据直接或者间接影响市场竞争的公平与自由的实现，从而通过竞争法的模式规制企业数据的收集、使用及利用行为，保护其合法的财产权益也不妨为一种可行的途径。

《反不正当竞争法》以维护市场秩序的公平与自由为目标，而企业数据的经济价值来源于对数据的利用和流通，因此通过《反不正当竞争法》来保护企业数据既不会因单一维护企业数据利益而造成数据垄断的问题，也不会损失数据的流通性，在保障企业数据的竞争效率的同时，兼顾了企业的数据控制与利益。另一方面，《反不正当竞争法》的兜底性使得其保护范围更为广泛。

目前互联网反不正当竞争案件在司法实践中主要适用的是《反不正当竞争法》中的一般条款以及后增加的“互联网专条”。在未经修改之前，在司法实践中主要依靠一般条款进行裁判，具有兜底性的意义。但由于一般条款具有一定的抽象性，且具有明显的不明确性和宽泛性，难以对企业数据提供稳定的保护，在实践中可能会存在滥用一般条款的情况，一味引用并非长久之计。因此修改之后的法条新增了第十二条“互联网专条”，规范了互联网企业之间的行为。但不正当竞争行为不可能被互联网专条全项覆盖，因此对于企业数据的保护仍存在行为边界不明、专门条款不足等问题，且欠缺明确性与实用性，其笼统、概括性的规定无法满足对企业数据的有效保护，可能出现完全无法保护或者保护过度两种极端。

三、企业数据保护立法上的完善——建立新型企业数据财产权保护模式

（一）企业数据财产权的理论基础

企业数据权利作为一项新型财产权利，亟须建立一种全新的保护模式。由于现有的保护模式存在不足，都是从现有体系中套用法律，当出现新的问题时，难免难以妥善解决。随着社会发展及保护模式的改变，初期的版权模式已经逐步淘汰，独立的财产权模式正在兴起。

企业数据具有财产属性。财产的表现经历了从实物到智力成就和信息财产的发展和演变过程。如今无形财产已成为最重要的财产类型，企业的数据正是无形财产。并且，财产作为可以反映特定经济价值、稀缺性和可支配性的资源，企业数据具有财产的核心组成部分：第一，可支配性。数据可以固定在某个载体上存在和表达。这种存在形式使数据能够由人控制。通过控制数据的流动过程，我们可以调整企业的数据资源。第二，稀缺性。企业数据通过法律拟制，其稀缺性并非真正意义上的稀缺。根据价值判断和实际需求，可以通过立法赋予企业垄断企业数据的专属权利。第三，价值性。企业数据的稀缺也表明它具有价值。在数据分析和数据共享方面，其进一步提高了数据的整体价值。

（二）企业数据财产权的法律构建

1.企业数据财产权的权利主体要件

享有权利的人可以作为权利的主体，企业数据权的主体应该是数据支配者，也就是数据产品的利益人。企业发掘了企业数据，因而企业数据所有权的主体应该是企业。对于员工对企业数据的权利归属问题，本文认为可以援引《著作权法》中关于一般职务作品和特殊职务作品的规定[7]。

2.企业数据财产权的权利客体要件

首先，附加到企业数据新产权对象的数据不能只是简单的初始数据。初始数据只有在连续处理和挖掘形成数据集或数据产品后，才能成为企业数据新产权保护的目标。其次，数据必须符合合法性标准，不得涉及国家机密，危害国家和公共安全，并损害社会道德和其他主体的合法权利。

3.企业数据财产权的权力内容要件

法律属性识别方面，企业数据权益是通过收集不同权益形成的一系列权利。它包括两类：受法律保护的法定权力和利益(新兴权利)。企业数据权的内容是权利主体的利益。即占有、使用、收入和处置。一是占有，数据控制器有权在合法获取数据后控制和支配数据产品。基于此，数据运营商可以对数据进行一系列分析、处理和资源集成，从而更好地实现经济利益。第二，使用。直接引用、分析成发掘原数据产生新数据都属于使用。此外，数据控制器以外的第三方也可以使用。第三，收入。它指的是数据控制器通过使用企业数据来主张经济利益的权利，这主要体现在企业数据产品作为主体在数据市场交易中直接使用，或在分析和整合数据后，可以产生新的经济价值。第四，处置。数据处置权主要包括转让和许可。转让是指财产权直接转让给第三方主体，第三方主体有权拥有和使用数据；许可意味着在经过数据控制者的允许后，能够在法律规定以及当事人约定的范围内使用。

4.企业数据财产权的限制

企业数据财产保护的核心是利益平衡。为了协调多个价值目标，有必要对数据产权进行特殊限制。企业数据财产的权利限制规范类似于知识产权体系中的合理使用和强制许可。如果企业数据的使用影响消费者的权利和自由，数据控制者应及时评估处理过程，并向监管机构提交咨询请求。简而言之，企业应注意安全，减少风险，避免不当使用。基于数据的公共性质的考虑，企业数据财产权应该限制其有效性时间，不能一直存在。同时，国家应鼓励企业数据的公开共享，促进数据产品的开发和利用。

四、结语

纵观国内外的企业数据相关法律政策，各种方案都在寻求数据保护与自由流通之间的平衡。然而，目前的适用方法尚未提供一个十全十美的解决方案，将企业数据权利定性为新型财产权利，通过对过往方案的借鉴改造，构架新型数据保护法律体系，调整企业间的数据纠纷，或许能够行之有效地实现对企业数据的保护和数据间流转与技术创新，避免数据垄断，从而为我国数字经济治理制度、大数据产业蓬勃发展注入新的活力。

注释

①企业数据-百度百科-《互联网文档资源》-2018-11-01.