【前沿观点】丁晓东 | 企业数据权益保护相关法律问题研究
企业数据权益保护相关法律问题研究
丁晓东
中国人民大学法学院副教授、博士生导师,
未来法治研究院副院长
摘要:在大数据时代,“数据成为了有价值的公司资产、重要的经济投入和新型商业模式的基石”。数据资产是现代商业最核心的竞争力。然而,数据价值的日益凸显也提出了一个重要问题:法律应当对企业数据采取何种保护?本文系统分析了企业的数据权益及其相关问题,从现行法律保护、数据保护的原理、反垄断、数据交易等角度对企业数据权益保护进行详细分析,并结合国内外的立法情况及案例,提出相应的制度构建设想。
关键词:企业数据权益;数据交易;反垄断
一
企业数据权益的现行法律保护不足
现有的法律框架虽然对于企业数据提供了不同形式的保护,但各种保护方式均存在内生性不足的问题。
针对未公开的企业数据,以商业秘密的方式进行保护,是中外法律制度较为常见的做法,我国《反不正当竞争法》《劳动法》《民法典》《公司法》《中外合资经营企业法》等多部法律提供了商业秘密的法律保护。然而,商业秘密的保护只针对未公开且企业采取了合理措施保证其数据秘密性的企业数据,对于平台类企业所收集的数据不能提供有效保护。[1]竞争法把商业秘密所无法保护的公开或半公开的企业数据以及一些商业价值尚不确定、数据权属不明确的企业数据纳入了可能的保护范围[2],但也面临着规则不确定的问题。此外,现有法律还提供了对企业数据的刑法与侵权法保护,然而刑法保护会过于严苛,可能会违背刑法谦抑性;侵权法面临不确定性问题,其本身无法对何种情况属于数据侵权给出回答,仍然依赖于法律对于数据权属问题的界定。
目前,很多专家学者已经意识到传统法律框架在企业数据保护中存在种种问题,从而提出了企业数据的财产权保护,强调企业数据确权的重要性,将数据确立为一种“绝对性、排他性”的财产以保护企业数据的财产性权益。一方面,企业可以根据这种财产权获取对数据进行经营的权利;另一方面,财产权制度也将起到一定的市场激励作用。
然而,简单地将企业数据财产权的理论适用于各种不同类型的企业数据,将会带来各种难以解决的问题。首先,对于互联网平台所公开收集的数据,若适用财产权保护,则会与此类数据的公共性、开放性不符。一旦从法律上确立此类数据的财产权保护,将无法实现企业公开数据的共享与流通,还可能造成互联网企业的封闭与分裂。其次,企业半公开或部分公开的数据保护强度无法达到排他性或绝对性的财产权保护强度,美国与欧盟对于此类数据的保护更多依赖于《版权法》《合同法》以及特殊类型的数据库权利等保护方式,以保障数据流通和共享。除此之外,企业的非公开数据或商业秘密类数据虽最接近财产权保护,但也非“绝对性、排他性”的财产权保护,多数国家采纳行为主义,将商业秘密置于反不正当竞争法中加以规定,且法律并不禁止所有形式的商业秘密的获取与流通。最后,赋予企业数据以财产性权利,可能还会面临企业数据权益多重归属的问题,在很多场景下会引发和个人数据保护的冲突。企业数据常常包含大量的个人数据,个人无疑对该类数据享有一系列诸如访问权、删除权、更正权等权利或主张,从而使得企业数据很难确立绝对性与排他性的财产权。
二
企业数据权益法律保护的制度设计
数据权益问题高度依赖场景,这意味着,维护个人数据权益与企业数据权益必须采取场景化的保护方式,在具体场景中确定数据的性质与类型,并根据具体场景中各方的合理预期确定相关主体的数据权益,实现数据的“场景性公正”。就实体层面而言,平台数据权属的场景化界定需要考虑一系列因素。第一,应当将数据隐私保护作为最重要的考虑因素之一;第二,在保障个人数据隐私的前提下,应注重促进数据的开放与互联互通;第三,充分认识数据共享与流通的国际战略意义,制定符合数据特征的数据共享与流通制度,这有利于中国互联网企业在东南亚、一带一路等国家的战略布局。
针对企业不同类型数据的保护,应进行不同的制度设计。非公开的企业数据应当受到商业秘密的法律保护,防止企业数据被盗用或不当使用。法律可以赋予企业半公开的数据一定的排他性权利,除允许企业运用合同法等传统法律保护此类数据之外,还可以在法律上借鉴类似欧盟等特殊类型的数据库保护。对于互联网企业平台的公开数据,应在具体场景中诉诸反不正当竞争法或依照行业惯例,进行个案化判断。
除此之外,还应当为企业主动公开的企业数据提供合理保护,对企业共享其数据的行为提供激励。与动产或不动产类的传统财产不同,数据是非排他性与非竞争性的。一方面,某人对于数据的使用不会对数据的效用产生影响,即数据的公共所有不存在社会成本问题;另一方面,即使个人占有数据,他人也可以同时对数据进行占有,即数据的公共所有不存在界权成本问题。传统财产权保护是以私有保护为原则,以公有保护为例外,而数据的财产保护是以公有保护为原则,以私有保护为例外。尽管数据或信息越来越具有财产性权益,但其仍具有很强的公共属性,应在法律层面上支持开放与共享。应当注意的是,数据的公共属性并不意味着企业数据无须法律保护。相反,企业数据权益的合理保护可以促进数据共享,实现数据共享的目标。在具体制度构建方面,法律除了对不同类型的企业数据提供保护之外,还应当对企业主动公开的数据提供合理保护,对企业公开与共享其数据的行为提供激励。
赋予企业数据以财产性权利,在很多场景下可能会引发和个人数据保护的冲突,面临着“平台数据到底属于谁”的问题。从法律与法律教义的角度分析个人数据权利与企业数据权利的界限,发现两者均不明确。一方面,个人数据的范围及权利均存在很大的不确定性,这使得平台数据中受保护的数据范围存在不确定性,个人很难确立自身数据的排他性权利。另一方面,就平台的数据权利而言,各国法律与法律教义对于平台数据权利的边界不具备共识,数据库法律保护与知识产权、合同法、侵权法、刑法以及反不正当竞争法等角度均难以为平台数据权利划定边界。
实际上,基于实用主义的后果分析也很难确立数据的权利归属。当下,可以将平台数据权属的类型或观点归纳为四种,即个人所有、平台所有、个人与平台共有,及互联网空间的公共数据。首先,将数据权属完全配置给个人将产生极高的交易成本与沟通成本;其次,将数据权属完全配置给平台,不仅可能对个人知识产权权利造成影响,而且可能无法保护公民的数据隐私;再次,将数据权属配置给个人和平台共有,将存在妨碍数据流通与共享的问题,如可能面临难以获取用户同意的困境;最后,将数据认定为公共产品,虽然可以促进数据流通与共享,但可能无法保护个人数据权利与平台合理数据权益。
数据权属无论配置给哪一方都存在问题,深层次原因在于,数据的属性高度依赖于具体场景。这意味着,维护个人数据权益与企业数据权益必须采取场景化的保护方式,确立数据的场景化保护与场景化确权。对此,应当强调对企业数据中个人数据保护的优先性,在制度设计中优先保障个人对于其数据的一系列权利,并赋予个人数据一定的流通属性与公共属性,促进数据的合理流通。
三
企业数据权益保护与反垄断
随着部分企业收集的数据越来越多,数据垄断与反垄断的问题日益凸显,这对企业数据权益保护提出新要求。在欧美等国家和地区,竞争执法机构已经开始深度关注与数据相关的反垄断问题。综合欧美关于数据垄断的案例调查与执法以及中国经验,可以归纳出数据垄断的三个争议性议题。
第一个争议问题是:数据是否会增强企业的市场力量或垄断力量?这一问题是前提性的,对这一问题的回答很大程度上决定了反垄断分析中是否应当引入对数据问题的分析。如果数据可能增强企业的市场力量,导致企业操纵价格或实行其他危害竞争的行为,那么数据问题就应当被纳入反垄断分析。这一问题已经成为回答数据垄断的关键问题。
分析大数据与市场力量的关系,可以从正反双方的观点切入。在支持者看来,大数据具有进入壁垒,而且可能和产品形成“反馈循环”[3],在这两种力量的影响下,有的企业可能形成市场力量或垄断力量。反对意见则针对性地指出,数据不仅可以自行收集或通过第三方收集,而且还具有非竞争性与非排他性,这使得数据很难成为一种垄断性资源,没有哪个企业可以垄断数据[4];此外,不能以数据规模大小判定市场力量强弱。
实际上,简单地认为大数据会增强市场力量和数据垄断,既不符合大数据的特征,也不符合反垄断法与竞争法的基本原理。对于数据垄断的分析与调查需采取谨慎的立场并提供充分的证据,同时结合不同类型的场景区别对待,根据企业所涉及的平台类型、网络效应特征、多宿主等情况来分类分析。[5]
第二个争议问题是:数据尤其是大数据是否构成必要设施?针对这一问题,支持意见与反对意见为数据必要设施理论提供了洞见。支持者指出,大数据已经成为很多企业生存与创新的瓶颈,有必要将必要设施的教义适用于大数据企业,要求其承担必要设施责任。很多专家学者对此提出批评和质疑,认为数据的非竞争性与非稀缺性特征使得企业没有动机与能力实现对数据的独占[6],并且,强制要求企业对竞争者开放其资源,不仅对该企业不公平,还会打击竞争者进行新的投入与发展的决心。
企业数据往往因为场景的不同而具有不同的性质。[7]对于数据必要设施理论的引入需谨慎,并且需要对数据开放与商业秘密保护的关系做具体分析,考量数据开放对企业及个人相关权益的影响,必要时还应结合部门法加以分析判断。
第三个争议问题是:隐私保护是否需要反垄断法的视角?长期以来,隐私保护主要被视为消费者保护法的分支。如果利用反垄断法对隐私进行保护,法律框架与执法机构都将与现行进路非常不同。支持意见指出,隐私保护是企业竞争的一部分,在互联网等企业的产品竞争中,高水平隐私保护对于吸引用户具有重要影响。随着大数据的兴起,大数据与隐私保护之间形成了一种反馈循环,在并购、滥用市场支配地位等类型的案件中,隐私保护问题已经成为关注焦点。反对意见指出,企业的数据收集与利用并不意味着产品质量的降低,而是一种提供更为个性化、精准化的营销和服务的投资行为;并且,解决隐私保护问题最恰当的方法仍是“执行更为严厉的数据保护法”[8],而反垄断法的主要任务是维持市场竞争,其制度不适合承担隐私保护任务[9]。
综合而言,隐私保护不应随意引入反垄断法,只有在存在市场力量的情形下,数据与隐私才可能成为一个竞争法问题。把隐私保护纳入反垄断的框架,有利于对互联网等行业的反垄断分析,但不能简单地将隐私保护水准降低到与产品质量等同。
四
企业数据交易规则制度的建构
企业数据交易规则制度的建构是促进数据产业发展和商业利用的重要途径。纵观美国和欧盟数据交易方面的法律制度,可以发现,美国和欧盟对数据交易的治理重点是数据经纪商。其有关数据经纪商的一系列制度法规或可为我国企业数据交易规则制度的建构提供立法借鉴。
当下美国以第三方数据经纪商提供服务为主的数据交易产业已进入行业整合阶段,并在该领域建立起比较成熟的数据经纪商制度。美国延续了分散立法模式,佛蒙特州、加利福尼亚州分别制定了规制数据经纪商的法律法规和相关指南,联邦层面与各州的相关立法也在持续推进。美国的数据经纪商制度主要从提升行业透明度和确保数据经纪商的安全保障义务两个视角出发。注册制度一定程度上可以解决透明度问题,各州法案及国会议案要求数据经纪商进行注册以满足透明性要求。此外,美国各州和联邦层面的数据经纪商法均对相关企业提出了保障数据安全的要求,主要分为两类:一是要求数据经纪人有完善的书面安全计划,即企业具有保障数据安全的流程架构;二是要求数据经纪人具有与数据处理能力相匹配的计算机技术安全能力。
在欧盟统一立法模式下,欧盟及欧洲地区国家没有对数据经纪商作单独的立法规定,关于数据经纪商的规定主要体现在《通用数据保护条例》(GDPR)中有关数据控制者、处理者的规则中。当前的欧盟法律体系不赋予数据所有权,但也认识到存在相关的财产保护附加类型,或者可以在一定程度上模拟财产保护,如引入数据库指令发展数据库行业等。
综合产业实践和已有研究,企业数据交易市场并不完善。数据交易市场培育主要面临的难题有数据资产化和数据产权界定难、数据定价模式缺乏系统框架、交易双方信任机制难以建立、数据质量差、市场监管缺位或错位等。基于对国内外数据交易平台功能和特性的观察,我国企业数据交易规则的未来立法方向可参考如下几个方面:首先,可将数据交易平台作为数据要素市场规则建构的主要抓手,制定平台及行业规则,疏解数据地下交易乱象,为市场化运作提供制度保障。其次,从公权力和行业自律两个视角引入登记制度,改事后被动保护为事前预防保护,提升数据行业透明性。再次,强化数据交易机构合规要求,关注个人信息安全,要求数据经纪人有完善的保障数据安全的流程架构,以及具有与数据处理能力相匹配的计算机技术安全能力。最后,对数据出口进行管制时,制订责任主体内部的数据出口管制管理制度,对敏感数据或可能威胁国家安全的数据进行全面的出口管制,拒绝相关数据和相关服务出口,并确保关键信息基础设施供应链安全。
五
结语
大数据时代,数据已经成为企业争夺的核心资产。从现有的法律框架及相关学术观点来看,对企业数据权益的保护主要从商业秘密法、竞争法、刑法、侵权法以及财产法的多元角度展开,但每一种规制框架均存在不足之处。相对而言,企业数据财产权保护似乎在理论和司法实践中获得了较多认可,但对于企业拥有的公开数据、半公开数据与非公开数据仍无法实现全面保护,面临着个人数据与企业数据的多重归属问题。此外,数据垄断给传统反垄断理论,尤其是对市场力量判断、必要设施教义与消费者保护问题提出了重大挑战。
对此,法律应当调整自身方式以实现对企业数据权益的保护和数据资源的有效利用。无论是法律和法律教义的分析,还是基于正当性与后果主义的分析,都无法完全明确界定数据权属,深层次原因在于数据权益问题高度依赖场景,这意味着维护个人数据权益与企业数据权益应采取场景化的保护方式;此外,可以从数据隐私保护、数据开放与互联互通、数据共享与流通的国际战略意义等方面对数据权属界定进行考量,针对不同类型的企业数据保护进行制度设计,为企业数据共享提供激励。
针对数据垄断问题,首先,大数据对市场力量的影响应当根据企业所涉及的平台类型、网络效应特征、多宿主等情况分类分析。其次,基于数据的非排他性和非竞争性,对于数据必要设施理论的引入需谨慎,应考量数据开放对企业及个人相关权益的影响,必要时还应结合部门法加以分析判断。最后,法律框架应当更多利用消费者保护制度保护数据隐私,但在市场力量界定中,可以考虑引入隐私保护作为衡量企业市场力量界定的因素。在企业数据交易规则制度的建构方面,可以借鉴美欧在数据经纪商方面的治理经验,完善我国未来在企业数据交易方面的立法,围绕交易平台规范化、数据权属场景化等方面,在防范数据交易安全风险的同时推动数据的流通和共享。
注 释:
[1]World Trade Organization, Agreement on Trade-Related Aspects of Intellectual Property Rights, Section 7: Protection of Undisclosed Information.
[2]例如在新浪诉脉脉案中,该案所涉及的很多数据可以被划入个人数据的范畴,在大众点评诉百度案中,该案所涉及的用户评论可以被纳入用户生产数据(UGC, User Generated Content)的范畴。在这两个案件中,法院都做出了有利于数据收集企业的判决。
[3]有时这种关系也被称为间接网络效应,即网络效应的扩张本身并不是由于用户的增加,而是用户增加带来的产品质量的提升间接吸引更多用户加入。对直接网络效应与间接网络效应的相关分析,参见Michael L. Katz & Carl Shapiro, Network Externalities, Competition, and Compatibility, 75 The American Economic Review 424, 424–26 (1985).
[4]See Daniel Sokol & Roisin Comerford, Antitrust and Regulating Big Data, 23 George Mason Law Review 1129 (2016); Maureen K. Ohlhausen & Alexander P. Okuliar, Competition, Consumer Protection, and The Right [Approach] to Privacy, 80 Antitrust Law Journal 121 (2015).
[5]中文文献对于双边市场界定的开拓性研究,参见黄勇、蒋潇君:《互联网产业中“相关市场”之界定》,载《法学》2014年第6期;宁立志、王少南:《双边市场条件下相关市场界定的困境和出路》,载《政法论丛》2016年第6期;孟雁北:《互联网行业相关市场界定的挑战以奇虎诉腾讯反垄断案判决为例证》,载《电子知识产权》2013年第4期;张晨颖:《平台相关市场界定方法再造》,载《首都师范大学学报(社会科学版)》2017年第2期;张江莉:《论相关产品市场界定中的“产品界定”——多边平台反垄断案件的新难题》,载《法学评论》2019年第1期。
[6]See Catherine Tucker, Digital Data, Platforms and the Usual [Antitrust] Suspects: Network Effects, Switching Costs, Essential Facility, 54 Review of Industrial Organization 683, 690-692 (2019).
[7]参见周珺、苏成子:《“必要数据”原则的构建——从必要设施原则与数字市场的兼容性谈起》,载《重庆邮电大学学报(社会科学版)》2020年第3期。
[8]See Nils-Peter Schepp & Achim Wambach, On Big Data and Its Relevance for Market Power Assessment, 7 Journal of European Competition Law & Practice 120 (2016).
[9]See Maureen K. Ohlhausen & Alexander P. Okuliar, Competition, Consumer Protection, and The Right [Approach] to Privacy, 80 Antitrust Law Journal 121 (2015).
本文为互联网法治研究院(杭州)2020年度重点研究课题《企业数据权益保护相关法律问题研究》研究成果。
作者:丁晓东
编辑:徐静赛
审稿:郑聪聪
更多内容👇
专注“互联网法治”研究👉