温青美:论企业数据财产权的保护范围
温青美【摘要】数据之上承载多元利益,导致多方主体冲突不断,故明晰数据流通共享的权益边界是化解矛盾的关键。目前理论界已确立数据财产应受保护原则,然对企业数据财产权客体的建构却微乎其微,企业数据保护范围的模糊性引致实践中产权纠纷频发。依循功能主义与形式主义方法,应有必要转变传统的静态型标准,基于价值生成逻辑将企业数据划分为原始数据、数据集合与数据产品。将数据产品与数据集合纳入企业数据财产权的客体射程内具有正当性基础,而数据的资源化则是未来数据集合的基本走向。在界定企业数据保护范围时,应考量四项制约要素:注重主体的生产投入、强调数据本身特性、采用限制性的排他保护及以时间为标识点确立财产权利。
【中文关键字】企业数据财产权;保护范围;数据产品;数据集合;数据资源
为积极推动数字经济的繁荣发展,《民法典》第127条明确了数据与网络虚拟财产具备同样的财产属性。《数据安全法》第7条规定相关主体享有合法的数据权益。据此,通过保护主体在合法数据之上的财产权益,以数据的自由流动促进数字经济发展是数字时代私法规范的根本基调。2016年制定出台的《贵州省大数据发展应用促进条例》作为我国首部大数据地方性法规,正式将数据产业纳入法治轨道,明确数据在数字市场范围内应合理合法地流动。迄今为止,我国已有三十个省市出台了相关数据条例,究其主旨,大致可分为两类:一类以发展促进数字经济,例如《山东省大数据发展促进条例》《河南省数字经济促进条例》;另一类则以管理推进数据安全流动,尤以《贵阳市大数据安全管理条例》为典型。
整体而言,上述条例涵摄数据资源、数据安全、数据处理、数据共享与数据市场等内容,立法目的在于推动数据作为重要的生产资源从事市场交易,以数据流动促进数字经济繁荣,可见,企业在法律框架下对数据进行应用发展已为时代大势所趋。然而,当企业利用数据获得财产性权益时,囿于立法对数据财产权的保护范围尚付之阙如,相关主体对数据之上的权益极易产生碰撞,令企业间数据产权纠纷频发。职是之故,要真正实现数据作为生产要素的自由流动,亟需明晰企业数据财产权的保护范围。 为解决“企业数据财产权保护范围”这一问题,有必要采取一种贯穿企业数据收集到数据流通的解决方案。该方案力图解决两个问题:其一,企业对收集的数据是否享有财产性权利,即企业所收集到的所有数据是否均能成为企业数据财产权中的数据来源?其二,企业是在流通环节对数据进行收集,而流通环节中的数据来源呈现出明显的多样化特征,在面临数据之上权益多元的情况下,如何通过企业数据财产权的保护范围来构建保护企业财产权益规则?有鉴于此,本文旨在诠释数据财产权保护进路的转变,分析企业数据类型化适用的机理,进而探寻企业数据财产权保护范围的规范逻辑。
一、数据财产权保护进路的转变:从权利证成迈向权利配置
2022年,国务院出台的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)提出,建立数据产权制度,推动数据产权结构性分置和有序流动。承认数据的来源者对数据享有权利,采取“基于知情同意或存在法定事由”的数据利用模式,为数据在市场内自由流动奠定法律根基。与此相关的是,《个人信息保护法》第2条规定,自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。《数据安全法》第7条亦有类似规定。这两个法律条文意在避免因不当利用数据而损害个人或其他主体的数据权益,通过数据的安全使用来保障相关主体合法具有的数据权益,其共同的立法价值在于保障数据安全,维护“人权”。“数据二十条”的价值意蕴体现为以数据的自由流动促进市场的繁荣发展,相较于数据流动带来的财产性收益,《数据安全法》与《个人信息保护法》侧重保护数据本身承载的相关主体之权益,这就不可避免地导致“数据二十条”与《个人信息保护法》《数据安全法》在立法价值上存在冲突,即数据不受限制的流动共享与数据主体之上合法权益的保护需求之间难以调和,“安全保护”势必限制“自由流通”,由此,理论界对数据权利保护存在诸多有待商酌之处。
(一)数据产权保护的缘起与争论
鉴于数据的财产属性已毋庸置疑,关于“数据应否作为一项财产权利受法律保护”的争论不断:一方面,数据的无形性、非消耗性以及无限复制等自然特性,决定了其无法被民事主体所独占和控制,这背离了民法客体的特定性、独立性与唯一性要求,令其难以纳入传统财产权的客体射程范围之内。将数据置于产权体系之下,虽肯定了数据的要素价值,却与数据的流动属性相悖。然倘若将数据财产权以排他方式予以保护,将限制其他市场主体的合理使用;另一方面,囿于数据的非竞争性、非排他性与财产权的稀缺性相冲突,故应将数据视为一种特殊的公共产品,在不侵犯各方主体利益的前提下应由市场主体无偿利用数据。另外,个人数据与企业数据的界分仅以“匿名化”为标识,一旦给予企业以绝对的数据产权,那么数据之上的人格权益遭受侵犯的风险势必提高。同时,数据作为生产要素具有可交易性,也会因为相关市场主体对利益过分追求,从而忽视了数据上承载的隐私权,侵犯了个人数据权益。
关于“数据非权利化”的争论,本质在于不宜将数据本身限定在传统的财产权体系之下,其固有特性与传统财产权保护模式不相匹配。但是,新型的财产权建构也需要纳入考虑范围,盖因忽视数据产权的可能性实际上会阻碍数字经济的发展。倘若数据上能够确立产权,权利的边界将得到明确划分,进而能够促成权利主体在框定范围内更好地行使权利。同理,将数据产权配置给数据主体,有利于数据主体有效利用个人数据,实现数据本身经济利益的最大化,令个人数据置于人格权与财产权的双重保障之下,从而保护数据上承载的多种权利。进而言之,数据确权有利于保护劳动,激励数据生产,促进数据流通。建立数据产权制度确有必要。
传统的民事财产权主要强调客体的绝对性,着重主体对其所有物的绝对属性,而数据本身的绝对性实则难以达到,其基本属性多描述为“流通与共享”,与传统的民事财产权客体的绝对排他性相悖。在数据的数量与增量极速扩张的时代,数据库作为数据收集行使的新样态,通过算法生成处理而形成的数据库收集到的数据具有全面、系统的特征,很难满足“选择理论”和“编排理论”的独创性要求。数据集合的全面性与作品独创性本质上的难以协调,决定了数据库著作权模式的局限性,由此,著作权不具备现代数据产权的赋权意义。不仅如此,作为权利指向的数据以及基于数据收集、利用所生之社会关系,与传统的邻接权制度相去甚远:数据本身有用户生成、平台生成、机器生成之分,其中的许多数据并非基于个人数据产生,其上并不存在个人信息的在先权益,即便属于权利利用的情形,数据资源持有者(用户)与数据库制作者(企业)也不具有创作者与传播者之间具备的邻接权关系,难以借助邻接权制度加以约束,因此,运用知识产权保护数据财产权根本不具可行性。
由上可知,学界对数据的属性、是否确权及数据保护方式已有诸多讨论,并达成如下共识:第一,数据具有财产的属性,新时代下保护数据财产属性具有现实必要性;第二,为便于数据控制者利用数据这一新型资源,发展数字经济,应建立数据产权制度,以数据的流通为基点构建数据发展新规则;第三,传统数据财产保护方式并不可行,在对数据确权的基础上应将数据纳入新型数据财产权框架内进行保护。可见,对数据作为新型财产权客体进行保护已成主流,在确立数据应为何种权利后应逐步转向数据权利的具体配置。
(二)数据权利配置的中心:数据财产权保护范围的确立
当前,“数据应被视为一项新型财产权得到法律保护”已为主流学说,企业数据作为数据下属分支之一,更应如此。从既有研究来看,在预设企业具有新型财产权之后,要么对新型数据财产采取行为主义进路的保护,对尚未被法律确定的财产采用合同法、侵权法以及反不正当竞争法保护模式;要么将企业数据认定为一项权利进行整体保护。“数据二十条”的出台为构建数据财产权提供了制度基础,相较而言,第二种保护进路更符合数据产权制度的价值取向。在数据确权路径上,存在着整体确权与进程确权模式之分,整体确权模式适用于数据交易所关于数据产品的认定上,进程确权模式则是在多主体信息交互的背景下,由技术平台作为数据的实际控制者,享有一定范围的数据权利。
《个人信息保护法》《数据安全法》和“数据二十条”共同对数字时代数据流通确立底线规范:数据流通应以安全价值的实现为前提,数据交易应在法律框架内进行。数据保护范围的确立恰为数据流通交易廓清权利行使的边界,从而有助于实现法的安定性价值。企业作为数据交易的主体,在数据收集与流通的过程中占据主要支配者的地位,其拥有的企业数据本身因流通利用存在多种权利,而在确立企业拥有数据的财产属性之后,实有必要进一步明确企业数据财产权的客体范围。
企业数据财产权客体范围的模糊性问题导致企业数据纠纷频发,这突出表现在两个层面:一是在数据保护的过程中,客体范围不明即为规范性不足之呈现,实践中体现在以反不正当竞争模式解决企业数据纠纷;二是客体范围不明确易引发数据的侵权泛化。一旦合理的数据收集与利用行为均被判定为侵权,数据控制者的责任将被无限加重,进而不断加深数据安全与数据流通之间的沟壑,最终将极大地抑制数据市场的繁荣发展。正因如此,交易中数据保护客体范围的不确定性,悖离了数字时代数据合法流通的价值取向。
综上,企业数据在流通交易中比传统的财产权更具复杂性与易变性,在构建相应的财产权益保护规则时不宜一概而论,而应基于数据的固有特性来调适相应的保护进路。循此,下文将力图以我国各地数据产权登记规则及司法裁判文书为分析框架,运用形式主义与功能主义的方法,诠释企业数据财产权保护的一般规则与特殊考量因素。
二、企业数据范围的特征和标准
数据价值是指所涉数据之上所有潜在的用途,如何利用数据价值,确保数据在可控的秩序内流动与利用,是数据长久发展的核心议题。企业数据本身权利多样,客体复杂,在满足企业获取数据上财产利益之同时,需考虑数据流通共享的必要性,如此令企业数据的权利范围边界存在理论与实践上的困境。在数据流通共享的情景中,大部分数据的财产属性非系天然拥有,而需历经数据采集、记录和收集,数据整理和规范化,数据集成、清洗和分析等诸多环节而得以形成。在多重处理环节下仅考虑对整体数据的保护势必难以奏效,因此,以类型化视角为逻辑起点,依循形式主义和功能主义的方法来确定企业数据财产权的保护范围尤为必要。
(一)企业数据范围的特征
1.企业数据范围复杂
首先,企业数据本身范围较为复杂,企业数据在数字时代下的概念并不十分明确,既拥有数据本身的无形性与瞬时性,又拥有作为数据控制者的广泛性。企业数据不同于个人数据,后者由特定的人依据特定身份产生,与“人身”联系密切;同时,企业数据也不同于在公权力运行中所产生的由政府控制的数据,后者的生产与使用与政务密切相关。只要数据之上存在经济价值,企业可从中攫取利益,都可能被涵盖在企业数据的范围之内。因此,企业数据来源及范围是复杂多样的。在数字技术高度发展的今天,企业数据依据其构成要素不同,大体可以分为三类:
(1)“用户允许在网页上公开的数据”。相关的互联网平台服务提供商将构建生产的网页内容向用户开放,用户将个人观点上传至提供商提供的网站平台上,并且这些内容不具有敏感性,而是在用户的许可下直接予以公开,构成网站数据资源的重要组成部分。譬如,网络上各种以分享与社交为核心的服务平台,如新浪微博、快手短视频数据等。
(2)“个人在平台上产生的数据轨迹”。用户在享受平台服务中会产生大量的数据及浏览轨迹,包括解锁平台的全面功能而注册账号,用户提供与个人隐私有关的身份信息,如姓名、年龄、职业、联系方式等数据以及浏览相关视频或信息时被记录下来的行动轨迹、推送偏好、搜索词、个性化推荐等。这些数据均由用户提供,是平台营运的重要组成部分。
(3)“机器生成的产品应用数据”。随着科技的发展,一些信息传感器装置和技术被广泛应用于各类电子产品中,使用此类产品所生成的数据能被传感器自动采集,随后采集的数据通过网络应用进行输送,从而实现远程操控的可能性,此类数据已构成数字时代重要的生产要素之一。
上述三类数据作为企业数据的重要来源,与个人数据密切相关,引发诸多争议。从企业数据涵盖的范围看,大部分数据并非有意生成,而是一种额外的“附加产品”,是个人进行生产活动或者相关企业进行商业活动的收集与加工的附带产物。有鉴于此,企业数据的内涵可界定为:不同于个人数据依循个体的行动、身份等特定对象而原始取得,企业数据是以生产经营活动为目的收集的,包括个人数据、隐私数据、公开数据、非公开数据甚至国家数据等所有数据的集合体。
2.企业数据与个人信息关系紧密
“数据二十条”提出建立数据产权制度,为激发数据市场的活力,对数据流通利用提出了更多的要求,而企业作为数据市场交易的主体,如何使企业拥有的数据实现经济价值的最大化成为数据交易市场首当其冲的难题。上述企业数据类型中的“用户允许在网页上公开的数据”与“个人在平台上产生的数据轨迹”,均与个人信息密切相关。易言之,个人信息在企业数据的内容中占据着不可撼动的地位,个人信息作为企业数据的重要组成部分,却是导致企业数据财产权客体难以界定的根本原因:依据《个人信息保护法》第4条之规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。该条实际上将匿名化作为区别个人信息的标识,个人信息在任何情况下都应被保护,但“匿名化”的个人信息可以不被绝对地保护,匿名化与否乃判断市场主体是否侵害个人权利的重要标准。个人信息作为企业数据的重要组成部分,其上存在的“人权”与企业所拥有的“财产权”冲突难免。
显而易见,匿名化作为权衡双方权利的判断标准,在实践中难以起到区别个人信息与非个人信息的作用,这源于个人信息与非个人信息在特定场景下可相互转化。以“网络行为轨迹、个人偏好是否属于个人信息”为例,网络轨迹作为信息主体在使用网络服务时产生的“足迹”,网络服务平台利用cookie技术收集并获取轨迹的同时,只有将轨迹与个人身份相联系,方能判定“收集并提供个性化服务行为属于侵犯个人隐私权的行为”。在“朱某诉百度”一案中,法官在一审中认定构成隐私权,二审则基于不存在与身份密切相关的事实而判定不能构成隐私权,完全推翻了一审的裁判结果。
此外,“用户授权”作为企业合理抓取个人信息的前提,是数据处理者主张企业数据具排他性权益的重要依据,能阻碍第三方不正当抓取其处理的数据,从而排除不正当竞争的干扰。虽然在实践中“用户授权”属于维护企业财产利益的有效手段之一,然而,其只承认信息内容的价值属性是完全天生的,如此就将信息内容与企业主体对立起来,忽视了企业作为数据处理者在数据收集利用的过程中所投入的资源贡献,从而彻底否定企业在数据价值生成逻辑中的作用。
(二)企业数据划分标准之检视
企业数据范围的复杂性意味着“整体保护路径”根本行不通,将企业数据类型化或许能解决客体范围的模糊性引发的难题。企业数据的类型化实际上是以目的为导向对企业数据整体进行类型化的划分,虽然表面上看,类型划分是按照同一目的处理的,实际上目的考虑了不同标准之间的利益衡量。以类型化标准探寻划分目的之所在,彰显此划分标准之功能。
1.以秘密性为标准之功能
基于企业数据本身是否具有秘密性而展开。以秘密性为标准将数据类型划分为公开数据、半公开数据与非公开数据。将企业数据以秘密性为标准进行划分,兼顾了数据来源多样的问题,其功能在于以不同的手段对不同类型的数据进行保护,从而针对企业数据整体提供较为完备的保护措施。以秘密性为标准对企业数据做出划分之后,并未解决范围过宽而存在的问题。
首先,公开类型的企业数据难以用财产权的手段进行规范,平台数据具有公共性、公开性,一旦以财产“权”的方式对公开数据赋予法律保护,一切针对企业数据的查阅与复制等行为都有可能被判定侵权,甚至连搜索引擎对网站的爬虫与快照亦被视为对企业数据的违法利用。
其次,半公开数据大多体现为数据库,此类数据库绝非完全公开,而是部分性开放,数据库中包含事实性数据,针对这种数据做排他性保护意味着,此类数据即便被其他主体不慎收集,也会侵犯其上承载的财产性利益,若以数据库形式进行保护,则会妨碍数据的流通与共享。
最后,非公开数据作为企业数据中的重要资源,大多采用的是商业秘密保护的模式,即以知识产权的框架对非公开数据进行规范,将其界定为智力成果而非权利进行保护,而知识产权框架中最重要的条件是主体在产品上的智慧投入,并非所有的非公开数据都可成为智力成果,因而这种保护方式对非公开数据的保护是不完全的。
以秘密性为标准的类型划分手段中,公开数据与非公开数据在实践中难以达成保护,在理论中也存在明显的误区:公开与非公开的界限难以确定。随着网络日渐发达,数据处理者收集个人信息构成自己的竞争优势已成为大势所趋,平台经营者作为收集数据的主体,在“用户授权”情形下,并非将收集到的信息在整个网络空间中进行公开,它的公开是有范围的,是用户使用了平台提供的服务,出于对平台利用的意思在平台范围内进行公开,是有限度的公开。以秘密性为分类标准虽意图发挥数据分类保护的功能,但非公开数据的保护不完全性与公开数据和非公开数据的界限难以划分的局面,令整体保护功能在现实场景中无法达成。由此,该类型化标准无益于企业数据保护范围的界定。
2.以主体为标准之功能
基于数据主体的不同为标准进行的划分。以主体为标准可以将数据分为个人数据与非个人数据。如前文所述,企业数据中既包括与个人数据有关的“网页数据”和“数据轨迹”,也包括“机器应用的数据”,这种区分的主要功能在于准确划分数据所属主体,避免利用数据的同时侵犯个人的隐私,保障数据上个人应有的权益。但该分类方式过于绝对,倘若与个人有关的数据单纯以财产权保护,必然引致个人的人权让渡于财产权,违背了最基本的法价值理念。对于非个人数据即机器生成的数据而言,其在企业数据范围中的占比较小,不能提供可观的经济价值,且机器生成的数据依赖于企业前期的技术投入与长期积累,亦大多被列入企业商业秘密的范畴之内,流通可能性较小。以主体为依据划分虽能准确界定数据的归属对象,但不利于数据的流通,激发其经济价值,更无法调和数据范围模糊之特性。
3.以数据的内在层次为标准之功能
按照内在层次的不同,可将数据划分为物理层数据、符号层数据以及内容层数据,亦即,具体到数据之中,可分别称之为存储介质层、数据文件层和信息内容层。此种标准划分的功能在于区分数据文件与内容信息,从而设想其上创设权利的可能性,以此来达到对数据进行保护的目的。存储介质作为物理层面的载体,仅仅可以作为相关内容的存储方式,发挥微乎其微的作用,因而排除在讨论范围之外。数据文件指向符号层,而数据文件中包含的信息内容则属于内容层。数据文件作为承载信息的载体,本身并无价值功能,可以产生经济效益的只是其中承载的信息,且数据文件的产生必须依赖实在的物理载体,复制成本低,在经济上具有非竞争性,若其作为企业数据的划分类型难以发挥经济效益。而数据信息作为数据文件的内容,构成数据文件的信息是繁杂的,既可作为侵权法下的被侵害对象所保护,也可被当成商业秘密融入知识产权的框架下保护,所采用的保护方式多样且难以统一。此外,数据文件与数据信息之间也是难以分离的,若实在要在两者之上设权,只能为拥有物理载体的数据文件建构绝对权,但数据文件本身的非竞争性,使其在企业数据流通的过程中难以发挥财产性利益。从其功能来看,以内在层次为标准对数据范围的界分仍不够清晰,在实践中依然可能在数据文件与数据信息中产生纠纷,数据的经济特性并未得到充分激活,故此种分类方式亦不可行。
综上所述,上述划分标准虽各具优势,但从功能主义视角看,其不能胜任解决数据范围复杂之情况下如何用财产权保护权利客体的问题,这些分类预设的前提是数据处于静态之下,即划分类别之后数据便不再变动,明显违背了数据流动的特性,在单一列举过程中所产生的数据分类容易在界定分类的过程中造成不同类型数据的循环往复,从而不能真正解决数据之间的界限,难以厘清数据之上存在的多种权益。基于此,有必要在数据流通的前提下,以“收集—流通”为逻辑主线,探寻动态情境下划分数据类型的真正标准,进而明晰数据在不同阶段可能存在的权益。
(三)以价值生成功能作为数据划分标准
在客观世界的数据流通中,基本上都是将数据作为一种生产要素加以利用,依然属于对数据基础价值的应用。数字社会为数据经济价值的产生提供了土壤,而经济价值之所以关键,原因在于算法技术的普遍应用。基于此,企业数据类型的确立,应以技术的使用与劳动的附加为根本标准。
数据作为重要的生产资源,其上赋存的财产价值并非在静态中产生,而是在收集—流通的框架内经过采集、整理、集成、清洗与分析而形成,因此,在界定企业数据的区分标准时,应以价值生成机制为逻辑,厘清数据在不同阶段的利益类型。此种分类方式以不同阶段的数据形式为基础,依照数据在流通链条上路径的不同呈现进行分类:原始数据、数据集合与数据产品。此种分类的功能在于将数据与数据要素相区隔,否认单一的数据之上存在财产性利益,明确数据只有融入采集等劳动,才能使数据的价值递增,成为实践中的生产要素。该分类中的原始数据,是未经主体投入劳动而得到的原始形态的数据,其上一般并无主体的事先投入,如未经加工的原始形态数据,这主要包括个人与机器分别产生的数据资源。数据集合指对人与机器产生的数据源进行收集、清洗、加工后所汇集的较多数据形成的数据集,蕴含着不可估量的巨大利用价值。而数据产品则是在数据集合上进行再加工,投入更多的财力、人力、智力,附加劳动价值,从而作为企业对其产品进行升级与制定销售方案的依据。
将数据分为原始数据、数据集合与数据产品揭示了数据之上应附加主体劳动的本质,承认企业通过劳动投入享有数据财产权。由此,将激励企业在数据之上注入劳动贡献,确保数据的经济价值得以彰显,排除数据的不当利用造成其他主体数据权利受损。因此,若以财产权对此类型进行保护,数据集合与数据产品因其上附加的劳动价值应被纳入保护范围,而原始数据因其单一性与权利多样的矛盾性不应被纳入数据财产权的保护范围,否则类型划分的功能将无从实现。由此,数据财产权应以数据集合与数据产品为保护范围。
三、数据集合的基本走向:数据的资源化
尽管数据集合作为企业数据财产权的保护范围在司法裁判中业已成立,但“原始数据——数据集合——数据产品”的分类方式杂糅了两种独立标准,造成企业数据类型上的不周延性。其中,原始数据侧重表达数据未经过加工,数据集合突出体现数据是否经过汇集。值得一提的是,企业对原始数据的加工和汇集都是以数据的有用性为根本着眼点,而这种将无用数据加工、汇集为有用数据的过程即称之为“数据的资源化”。数据资源化非但能将杂乱无章的数据汇总整理为人工智能统一识别读取的格式,而且将价值低微的单一数据汇集至一定量级以期产生规模效益,由此形成的“数据资源”亦非“数据集合”概念的射程之内。据此,从我国多个省、市试点地区公布的数据产权登记规则中可管窥一斑。
(一)数据与数据集合
《江苏省数据知识产权登记管理规则》和《浙江省数据知识产权登记办法》明确数据知识产权的登记对象系经过一定处理的、具有实用价值和智力成果属性的数据,其侧重数据的实用价值。《北京市数据知识产权登记办法》与《山东省数据知识产权登记管理规则》将登记对象确定为数据持有者或者数据处理者依据法律、法规或者合同约定收集,经过一定规则处理的,具有实用价值、商业价值和智力成果属性,处于未公开状态的数据集合,突出数据的商业价值与未公开状态。其中,“依法收集”和“经过一定算法加工”是一种事实描述,要求数据和数据集合必须是通过合规合法的收集,且已具备成为生产要素的前提条件。“具有实用或商业价值和智力成果属性”则为一种价值判断,要求数据与数据集合具备知识产权的主要特征。
(二)数据资源与数据产品
《深圳市数据产权登记管理暂行办法》(以下简称《深圳数据登记办法》)的规定体现其已将数据产权分为了原始数据、数据资源和数据产品三类,同时明确了数据产权登记的对象包括数据资源和数据产品。在“数据资源”的概念界定上,《深圳数据登记办法》的征求意见稿更强调基于数据来源方的授权,且将部分经过加工的数据也认定为“数据资源”,如此将会与“数据产品”的定义发生混淆。而正式版的《深圳数据登记办法》则明确指出,“数据资源”仅指原始数据集合,如此就与“数据产品”的定义相分别。区分两者的关键即在于数据是否经过加工或者实质性劳动。
对于“数据产品”的概念定义,《深圳数据登记办法》的征求意见稿突出对数据资源投入劳动的创造性,而正式版的《深圳数据登记办法》则更重视劳动的实质性。从立法目的来看,对数据产品进行登记,是对“充分尊重数据处理者劳动和资本投入,承认和保护数据处理者的合理收益权益”等原则性要求的积极回应。对“数据产品”的概念界定无需“劳动一定要体现创造性”这一必要条件。
表1 数据动态变化中财产性权益实现
不难发现,在“原始数据”“数据集合”“数据资源”“数据产品”的演化进程中,蕴含着“数据的经济价值通过劳动程度的强化而得以提升”之机理,故劳动程度为企业数据权利客体的分类提供一以贯之的标准。数据是由一系列数字、代码、图像、文字组成,单一数字或代码等并无价值,只有经过组合、整合、聚合的数据集合才产生价值,故企业数据财产权的保护范围系有规律和有价值的数据集合具有正当性。本质上,“数据资源”依然披着“数据集合”的外衣,“数据集合”作为一种资源,呈现数据控制者的劳动投入与数据价值的可视化增长,企业持续加深“数据集合”的劳动强度与数据要素市场化配置的要求不谋而合,“数据资源”的确立是今后“数据集合”的基本走向。
四、数据集合与数据产品保护的考量因素
从功能主义的视角来看,数据集合与数据产品纳入财产权的保护范围之中能最大程度地激发数据的经济价值,激励企业主体在数据流通的环节中投入劳动使数据价值递增。考虑到企业数据财产权构建的不完整,在具体实践中企业主体间产生的纠纷大多采纳反不正当竞争模式。从司法实践来看,能够构成反不正当竞争的竞争优势分为两类:一类为数据集合,一类为数据产品。在此两种数据种类之上赋予企业排除其他主体干扰的权利。此外,单纯的数据集合与数据产品不足以成为法院判断胜诉的依据,在数据产品与数据集合的基础之上,还应有其他因素判断其是否属于财产性权益从而受到保护。
(一)数据集合下的利益衡平
1.尊重数据集合中的个人权益
司法实践中,虽然法院认为企业对汇编、收集所得数据享有权利,却忽视了数据集合的范围,从而未对数据集合加以判定。在“大众点评诉百度”一案中,大众点评收集了大量消费者对商户的评价,作为顾客选取商家的重要依据,同时促使用户选择大众点评,以此获取利益。法院认为百度对大众点评数据的使用已经构成实质性代替,而大众点评应享有排除他人使用的权利。
同类情形并不鲜见,在“大众点评诉爱帮网”一案中,法院认为,大众点评作为平台经营者,在实践中收集汇编而成的点评数据享有排除他人竞争的权利。“新浪微博诉脉脉案”中法院的裁判理由是微梦公司作为新浪微博的网络运营者,在微博平台上依据社交型平台的优势汇集巨量的数据信息,而这些由平台收集的数据信息使平台在同业中占据竞争优势。在“杭州撞库案”中,法院指出,数据资源的价值并非单纯的原始数据拥有,而是原告在投入大量的劳动成本后将原始数据加工形成的具有商业意义的衍生数据,应采取财产性权益保护。
以上案件在裁判过程中决定财产性权益的根本因素在于“用户协议”,只要平台经营者通过“用户协议”取得了信息主体的授权,符合“合理、正当、必要”的标准,收集到的数据被纳入数据集合后就能被持有者获取利益,亦可排除第三方主体的干扰,使数据处理者在收集加工的基础上取得对数据集合的竞争性利益。此外,“用户协议”这一基准呈现出数据处理者在集成数据时应考虑数据信息之上的权益,以合法为标准判断是否能真正使用数据,保护数据之上的个人权益是取得数据集合财产属性的根本前提。
2.将是否公开作为划定主体与第三方权益的边界
数据流通的主要方式之一在于数据爬取。为了满足数据流通与共享的需要,“公开即可利用”成为数据处理者之间默认规则。随着网络化程度的不断提高,搜索引擎产生的数据已成为数据洪流中微不足道的一部分,个人相关的数据几近占据平台数据集合中的首位,如微博上个人发表言论时的地理定位,与针对违规信息作出的投诉等。单纯以“是否公开”作为合理使用的标准,在特定平台内公开的数据实际上会被某一平台“私有化”,难以符合当下数据流转的时代要求,实现促进经济发展的功能。实践中平台以登陆权限取得数据主体的同意:如同意登陆意味着将自己的信息向平台授权,允许获取并使用,反之则为拒绝。除此之外,平台以登录权限作为区分公开数据与非公开数据的标准,而登陆之后用户展示在平台上的公开信息,因其上不存在之前取得的权限,法院对此种数据的公开性标准也并非绝对,原因有三:
其一,用户主体在特定平台之上公开的数据仅应在平台范围之内流通,对其他平台仍应视其为“未公开”。例如,在“新浪微博诉脉脉案”中,新浪微博用户在微博平台上授权其使用的信息视为对平台收集数据的允诺,这种允许是相对的,仅在用户与新浪双方之间达成合意,此种合意不应超过相对主体之间的范畴,即脉脉作为第三方在未经微博用户允许的前提下将用户授权在新浪的信息同步至脉脉,脉脉取得的信息实际上忽视了信息主体的“许可”权益。同时,即便数据属于一般意义上的公开数据,但之上因存在主体的投入依然不能被纳入自由流通的范围之内。
其二,公开数据的汇集作为竞争性利益进行保护是有要求的,它不仅仅是众多数据的单一汇编,也应包括平台在建设其数据集合之前投入的人力、物力及财力,必须要依靠平台本身投入前期成本。在“贝壳网诉推推99产品案”中,法院认为其中的数据集合是企业主体投入大量经营成本,建立、维护和不断扩充的具有相当数据规模的房源数据集合,是两原告的核心经营资源,平台因为投入了大量的经营成本因而享有财产性权益,同时具有排除第三方处理者自由抓取的权利。由此观之,第三方的抓取并非全无顾忌,平台具有财产性权益可限制第三方的不当抓取。
其三,对于数据利用的合法与否仅仅以公开来判断是不可能的。公开并非意味数据集合的全部公开,条目的公开也在其范围之内,而公开实际上给予其他主体合法使用的权利,第三方主体对于公开数据的利用是否正当不能单单以“公开”为标准,即便取得了条目,集合也不一定能为其所利用,是否真正取得权利还应根据三项构成要件:一是抓取行为是否合法;二是抓取数据是否合理;三是已经抓取的数据是否对原平台构成实质性替代进行综合判断。
(二)数据产品上注重主体技术投入情况
数据产品不同于数据集合,数据集合由收集到的数据汇编整理而成,而数据产品的形成不仅需要对数据进行集合,更需要企业主体依据算法等技术手段的介入,将收集到的数据进行深加工。若论两者之间的关系,可以简单地概括为数据产品是数据集合的进一步“衍化”,数据产品从其形成来讲,脱胎于原始数据资源但却摆脱了原始数据之上的权利复杂性,个人数据的权益已非应考量因素,其上更多需要注意的是主体的技术劳动投入。
1.以产品上具有劳动技术之投入承认产品属性依据
相较于数据集合,数据产品的财产属性更为凸显,其上承载的人格权益不复存在,因而本身的排他性更加强烈,不容其他任何信息主体的侵犯,因而纠纷更多以侵权的形式表现。而数据产品能够具备完全财产属性的关键在于技术手段,在实践中,主体是否在数据之上投入劳动技术贡献成为界定数据产品的关键所在。法院一般以主体是否在数据上附加技术创新与劳动投入判断主体在此产品之上是否具有财产性权益,解决此类案件的纠纷,排除其他主体不正当的抓取行为。以“淘宝诉美景案”为例,产生纠纷的数据产品系淘宝公司在收集网络用户行为轨迹过程中获得巨量原始数据资源的基础上,通过特定算法即大量劳动投入的技术手段所生成的衍生数据。法院认为数据产品中的数据内容经过网络运营者大量的智力劳动成果投入,通过深度开发与系统整合,最终形成的是与个人、用户无直接对应关系的独立的衍生数据,可以为运营者带来商业价值并能处于独占控制之下,故享有独立的财产性权益。
显然在此类案件纠纷中,法院对其侵权的判断都在于第三方实施的非法手段僭越了数据产品主体以技术划定的保护范围,破坏了数据产品主体正常的运营来反向界定数据产品的范围,从而分析出数据产品主体对数据产品的控制力度。相较于传统数据库的物理隔离,数据流通时代下数据处理者在确定其在数据上的权利时都会首先采取加密、Robots 协议等相应的技术措施来实现这一目的。据此,若法院在数据纠纷中需要界定数据产品,更加注重的是数据处理者在数据产品之上的技术与劳动投入,即是否在数据产品上投入智力劳动、所采用的技术是否能对数据产品达成独占控制。通过算法技术界定数据产品内涵及范围的同时,借助“安全技术+Robots协议”等手段抵御第三方主体的不正当抓取及利用行为。
2.以产品具有独创性为基础
在实践中,除了以技术手段与劳动投入作为辨别是否侵权的依据之外,更应考虑创造的数据产品上是否具有数据处理者附加的独创性。在“OPPO诉不正当竞争纠纷案”中,法院认为被告为其用户提供针对OPPO品牌手机系统ROM的开发、定制、下载及安装服务,并向用户收取费用,侵犯了OPPO公司本身在数字市场环境下前期投入的大量成本,以及依据其作为主要商业资源的产品——OPPO手机本身研发出的一系列数据产品软件,侵犯了OPPO作为数据主体对于数据产品的独创性。
五、界定数据财产保护范围的可行标准
随着科技力量的不断强大和数据流通的日益增进,企业数据财产权的保护范围亦存在持续扩张的可能。为此,有必要以企业数据财产权本身的特性为分析框架,在界定企业数据保护范围时,应考量四项制约要素:注重主体的生产投入、强调数据本身特性、采用限制性的排他保护及以时间为标识点确立财产权利。
(一)注重主体投入其上的生产要素
数据集合与数据产品作为价值生成逻辑链条中的后端,本质上都源于原始数据集合体。其中,数据集合是来源于数据处理者对其进行收集汇编,数据产品则是在数据集合的基础上辅以较强技术手段而衍生出的具有经济价值的产品,这似乎意味着单一的整体性收集不能确立企业在其上的财产权益,只有企业在收集的基础上对其进行资源投入或者凭借智力技术手段创造产品,方可承认其上具有财产性利益。单纯的机械活动不足以证立财产权益,只有主体在数据之上有劳动贡献,才能为企业主体付出的资源成本提供法律保护。保护数据财产的实质在于保护劳动成果,确认主体在数据之上的劳动价值之后,有利于激发企业主体作为数据处理者利用数据的积极性,确保数据经济长久发展。
在数字时代背景下,企业作为数据利用的主体对于数据存量的需求远超从前,数据优势构成了企业之间的竞争优势。在数据集合之上,集合的财产性可能主要在于企业收集过程中付出的实际成本,单一地利用爬虫程序抓取的拼凑数据集合体并不能排除第三方抓取的行为,数据集合的机械合集因缺失劳动贡献而在法律上无法受到保护。法院在裁判的过程中,基本不支持将单一拼凑数据集合体纳入财产权的保护范围,上述案件中平台作为经营主体在收集的过程中因其劳动投入,成为法院支持其胜诉的理由。此外,法院支持平台作为经营主体对依靠经营目标收集到的相关信息享有财产权,表明平台基于合理使用数据能排除第三方的侵害行为。数据产品作为数据集合的“衍生物”,不同于数据集合的整理汇编,企业在数据产品之上附加足够的智力技术手段使其能够被独立出来,成为平台在市场中发展的核心资源竞争力。
数据产品作为独立的智力成果,与信息主体已不存在密切关联,脱离信息主体对信息的控制,实质具有排除第三方抓取的排他性权利,若市场竞争者在未经允许的情况下非法取得并使用,则会构成对经营主体的侵害,损害竞争主体的实质利益。由此观之,法院支持企业数据处理者享有财产权的根本原因在于,投入劳动贡献的数据集合与数据产品被转换为创造经济价值的生产要素,由此可被纳入数据财产权的保护范围。
(二)数据本身特性不可忽视
数据作为时代背景下的新型生产要素,区别于传统权利客体,因而在界定数据范围可行标准时,应以数据自身的无形性、集合性、可衡量性、可支配性与技术性等特性为基本准则。
第一为无形性。不同于传统意义上的有体物,数据无法以物理形态展现,至多以物理方式加以承载。尽管数据的传输与应用离不开数据的载体,数据与数据之上的财产价值在某些阶段相互分离,单一的数据不一定存在财产价值,财产价值不依赖于具体的权利客体,而是取决于其上是否能够实现劳动和经济价值。
第二为集合性。数据作为生产要素在数字时代下的应用日渐广泛,但若只提取某个人的网络轨迹,该个体的轨迹并不足以成为论证数据具有财产性的正当依据。零散单一的数据难以构成权利保护的基础,即使该零散单一的数据具有一定的经济价值,亦无法作为社会的整体资源来使用。因此,数据权利应建立在一定的规模之上。
第三为可衡量性。数据的财产权是能够获取法律保护的基础,但是数据本身也需要有计算衡量的依据,根据其上承载的劳动投入时间沉没成本以及市场需求和能够产生的经济价值来决定。数据上承载的技术程度,数据的完整性以及业务模式的选择都能成为衡量数据的标准之一。
第四为可支配性。数据如果想要被占有或者在市场中进行流通,必须能为权利主体所支配。作为权利客体,若不能被处理者处分占有则丧失了流通的可能性,即便被固定下来,也只能为某一主体私有,造成数据垄断从而违背数据流通与共享的根本要求。
第五为技术性。企业数据本身并非企业单一生成,其类别之下更多与个人数据相关联,简单的数据实际上并无财产价值,只有经过清洗、加工等多项技术投入而生成的数据才具有财产属性,伴随着劳动的投入从而使经济价值提升。故而为了利用数据的财产属性,企业在数据之上投入自身的技术成分,令数据之上的技术性特征显著。
(三)设立有限的排他保护权
绝对权具有典型的社会公开性,传统的物权等财产权,其权利客体一般以物理的形式存在,故依靠物理形式权利客体本身范围可以被具体规定。只要权利具有典型的社会公开性,他人就能够从相关客体的可感知性推导出对相关权利或法益的保护,并由此发展出对潜在侵权人的警告功能,在保护权利人权利的同时,也考虑到对潜在侵权人行为自由的尊重。据此,若将数据财产权归类为绝对权,相关主体则为避免承担侵权责任而放弃对数据的利用,从而阻碍数据的流通发展。
然而,对于数据集合上的财产权应受到法律保护的同时,法院还强调通过“合法性”标准来审查企业数据财产权的行使范围,这意味着企业在行使自己财产权的同时应注重对消费者个人信息的保护。依此法理,数据处理者对合法收集的数据集合拥有合理使用权。“使用”对财产的占有度明显低于“所有”,“合理使用”必须在保障个人信息安全的前提下进行。
申言之,在划定企业数据财产权保护范围时,确认企业控制数据并在数据上享有财产权的前提是不侵害他人在数据之上的权利,即使保护目的在于促使数据流动,但数据流通的前提是个人的信息权益不受损害,并且不对其他企业经营主体对数据之上的权利产生影响。可见,企业数据财产权是一种有限的、排除他人侵犯其合法享有的数据权益之权利。因此,在构建企业财产权保护范围的客体时,应秉持有限性权利原则,赋权同时设置合理使用等侵权抗辩情形,界定企业数据财产权保护范围与其他主体权益的临界点。
(四)以时间为标识点确立财产权利
数据作为流通性极强的新型资源,利用时会因处理时间的差异而发生变化。实务中以时间标识体现数据权益的动态变化,却忽视了一个问题:在其上建立时间标识只能记录数据当下的状态,然数据并非一成不变,随着时间变化,数据会随时发生流动,而建立时间标识旨在为数据之上存在的权利提供法律保护依据,尤其是在原始数据资源的加工衍化过程中,势必存在多重权益冲突的风险。因此,若要界定企业数据的保护客体,需要明确原始数据转变的时间节点,时间标识的确立不仅需要时刻关注其上存在的权利变化,也需要贯穿不同节点之间的实质变更,把握动态情况之上的权利状况。此外,数据本身受权利限制的时间也应被纳入考量范围之内,数据集合处于企业数据财产权保护的重要范围之内,本身具备了更新换代的特点,意味着企业对数据的掌握并非永久,应设定合理期限。为了方便权利构造,确立数据的使用期限时可以5-10年为限。在权利存续期限内,企业对此类数据享有权利,超过期限之后数据则可在市场内自由流动,符合数据流通的基本价值取向。
结 语
在解决企业数据财产权的问题上,若要从根本上消弭企业数据之上各方主体权益冲突的困扰,不仅要从企业数据财产权本身作为新型财产权的构建角度出发,更要以企业数据财产权保护范围规则的确立为依归,由此方能实现数字时代通过数据流通与共享来促进数据经济发展的终极目标。总体而言,在确立企业数据财产权范围时,有必要从保护理念、保护范围与保护目的等三方面予以综合考量。
第一,就保护理念而言,鉴于企业数据范围复杂,且其上客体多样,牵涉多方主体,包括数据来源者与数据处理者,因而在构建具体的数据财产权保护时应兼顾各方利益,主动考虑其利益所在与相应诉求,不能无休止地追求单一的经济价值,而要考虑所有相关利益者的权益。
第二,就保护范围而言,客体的复杂性使企业所有数据难以用统一的路径进行保护。因此,应该以功能主义为视角对企业数据范围划分具体的区分标准,探讨何种标准符合数据经济发展的客观规律,在主体之间探讨具有财产权利的合理性,赋予财产权之后是否可行。
第三,就保护目的而言,数据的流通与共享是数据经济发展的现实需求,而构建清晰明确、科学可行的财产权保护范围标准有助于确定数据共享的权益边界,符合法的安定性价值。此外,获取财产权的前提应“以人为本”,不能因数据的价值追求而忽略了数据之上既存的权益,故在界定保护范围标准的同时,也应避免个人隐私被侵犯的情形,从而将权利保护思想具化为数据财产权的内蕴精神。
当前,企业数据权利的保护范围已经成为数据流通与共享的必要条件,上述关于企业数据的类型化描述与分析仅限于对裁判案例的阶段性总结。随着数据信息技术的不断更新发展,企业数据的流通与共享将变得更为广泛,今后司法实践中势必会横亘更多的企业数据财产权益纠纷案件。伴随着现实需求的日益增大,企业数据财产权的保护范围也存在扩大的可能。故以企业数据财产权本身的特性为分析框架,界定企业数据财产权保护范围的可行标准尤为重要。此方法在未来值得进一步关注,虽然其发展趋势有待观察,但它可能是解决数字产业中数据财产权问题的一个方向。
温青美,青海民族大学法学院教授。