数据产权如何纳入法律保护?

文章摘要
上一篇《大数据确权|数据产权的权利分置》我们讨论了数据权利归属的争议问题。下一个我们需要探讨的问题是,对于数据持有者、数据加工者和数据产品经营者来说,如何在现有法律体系下确认和保护数据产权呢?

上一篇《大数据确权|数据产权的权利分置》我们讨论了数据权利归属的争议问题。下一个我们需要探讨的问题是,对于数据持有者、数据加工者和数据产品经营者来说,如何在现有法律体系下确认和保护数据产权呢?
本文通过分析当前数据保护的实务情况,探讨数据产权的权利类型和保护规则,并提出完善数据产权保护机制的建议。
01、当前数据权益保护机制
中共中央、国务院于2020年发布《关于构建更加完善的要素市场化配置体制机制的意见》明确指出要加快培育数据要素市场后,《数据安全法》和《个人信息保护法》先后出台。两部新法与此前已出台的《网络安全法》《国家安全法》《反不正当竞争法》《消费者权益保护法》《侵权责任法》《刑法》,共同形成了当前数据保护体系。实务中,围绕两项不同法益,已形成两类不同的数据保护体系:
1、以数据安全为主线的合规监管体系
《数据安全法》《网络安全法》《国家安全法》《个人信息保护法》等法律法规构建了以数据安全为主线数据合规体系,成为悬在数据处理者头顶的“达摩克里斯之剑”。在法律授权下,国家网信部门、公安机关、国家安全机关,以及工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门在各自职权范围内履行监管职责。
我们注意到,监管机关开始对数据全生命周期展开监管,并不定期发布数据合规典型案例进行示警,提醒数据处理务必要保障个人信息安全、国家数据安全,否则将面临重大行政责任甚至刑事责任。如工信部曾通报了120款有违规行为的应用程序,并要求运营商进行整改;银保监会对21家银行的数据合规问题开出了8760万罚单;国家网信办对滴滴全球股份有限公司实施定格处罚,并实行双罚制;证监会发审委对墨迹天气数据合规提出质疑并否定IPO上会等;浙江省绍兴市越城区检察院对“史上最大规模数据泄露案”犯罪嫌疑人提起公诉。
2、以数据权益保护为主线的侵权救济途径
从公开的裁判文书来看,目前大部分企业选择以存在不正当竞争行为为由启动数据的司法救济。笔者在《大数据确权之路——数据产权的权利分置》一文中提到的“淘宝公司诉美景公司不正当竞争案”、“汉涛公司诉百度公司不正当竞争案”、“微梦公司诉淘友公司不正当竞争案”等三个典型案例,最终法院认定未经许可获取和使用他人网络数据产品构成不正当竞争,要求排除妨害并赔偿损失。
有部分企业以数据库的著作权侵权为由进行司法救济。如在“佛山鼎容公司与济南白兔公司著作权纠纷案”中,白兔公司主张其利用国家商标总局的商标公告资料,以独创的编排方式、分类方式,开发了《白兔商标信息数据库》,该汇编作品受到著作权保护,并要求鼎容公司停止侵权、赔偿损失。
还有部分企业以商业秘密受到侵害为由进行司法救济。如在“衢州万联公司与周慧民等侵害商业秘密纠纷案”中,万联公司主张其网站数据库中的用户信息,是长期的经营活动中形成的经营信息、能带来经济利益、且采取了保密措施,周慧民等人利用自己掌握的数据库密码复制下载并使用该数据,构成侵犯商业秘密。
目前公开裁判文书可查阅的数据保护途径,以反不正当竞争法保护、数据库著作权保护、商业秘密保护这三种模式为主。我们注意到,上述三个路径也被相应主管部门所充分重视,我们注意到2022年11月22日国家市场监督管理总局发布的《中华人民共和国反不正当竞争法(修订草案征求意见稿)》中,新增第十八条,从反不正当竞争法的角度保护商业数据,明确了市场监管部门对该行为的行政处罚权利。
02、数据保护的新选择——数据确权
当前数据权益保护机制,无论是数据合规监管,还是数据侵权司法救济,其制度设计均侧重于行为规制,即当发生了数据法益被侵害时,监管机关和司法机关可以依职权或依申请启动相应的保护程序。对于某项数据权利的确认,是在司法救济程序中通过生效判决予以确认。
2022年12月2日《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(即“数据二十条”)从政策角度明确 “研究数据产权登记新方式”。在该政策影响下,数据确权和产权登记将成为数据保护的新手段。据了解,深圳地区已开展数据登记试点工作,为数据处理者提供“数据哈希值存证——登记申请——材料审核——信息公示——证书发放”全流程服务。
需要说明的是,数据确权并非是数据保护的前置程序,市场主体既可以选择通过数据确权方式保护数据,也可以选择在发生侵权行为时通过反不正当竞争法保护、数据库著作权保护、商业秘密保护等行为规制方式保护数据。但完成数据确权的数据,其权利内容得到了存证登记,不仅降低了后续权利救济的举证难度,也有利于促进数据的市场化交易和流通。因此,我们说,数据确权是数据保护的新选择。
03、数据确权制度搭建的争议
目前涉及数据确权的制度还不完善。我们注意到,在“数据二十条”发布后,国家发改委和国家知识产权局对于数据确权和产权登记,给出了不同的回应:
国家发展和改革委员会发布了《加快构建中国特色数据基础制度体系促进全体人民共享数字经济发展红利》,提出要跳出所有权思维定式,聚焦数据在采集、收集、加工使用、交易、应用全过程中各参与方的权利,通过建立数据资源持有权、数据加工使用权、数据产品经营权“三权分置”。该文件中提到推动公共数据确权授权,加大公共数据开放共享和开发利用,发挥公共数据在数据要素开发利用中的基础性、引领性、示范性作用。推动个人数据确权授权,探索个人数据在个人信息保护法框架下合规使用的方法路径,回应个人用户和数据处理者的普遍关切。推动企业数据确权授权,保障企业投入的劳动和其他要素贡献获得合理回报,鼓励企业“用数赋能”、“逐数兴业”。
国家知识产权局副局长胡文辉在国新办举办的新闻发布会上介绍,国家知识产权局现阶段以数据处理者为保护主体,以经过一定规则处理且处于未公开状态的数据合计作为保护对象,通过登记方式赋予数据处理者一定的权利;目前数据产权保护已经在上海、浙江、深圳展开前期时点。
从上述信息来看,国家发改委和国家知识产权局对于数据确权给出了回应有所不同:国家发改委文件侧重探讨分类确权思路,建立适配数据要素流通价值的登记体系;而国家知识产权局聚焦于数据处理者的权利登记,并纳入知识产权保护范畴。
04、数据确权的保护规则与分类确权路径探讨
《民法典》在“民事权利”一章中单列条款对数据保护进行明确,即:第一百二十七条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。数据是否属于财产权?以何种规则进行保护,物权、债权还是知识产权?目前法律并未对此作出明确定性,实践中也存在争议。笔者认为不应简单的将数据纳入某一项财产权利保护规则中,具体如下:
1、个人数据的权利类型与保护
在应用场景下,个人数据既包括严格受《个人信息保护法》保护的个人信息,还包含非个人信息(即不能单独或者与其他信息结合识别自然人个人身份的个人数据)。根据《民法典》的规定,个人信息还可细分为个人私密信息和个人其他信息。
请注意,在这里我们要严格区分“个人数据”“个人信息”“非个人信息”,因为不同数据类型具备不同的权利性质、适用不同的保护规则。笔者根据《民法典》《个人信息保护法》《网络安全法》等规定,制作了一张图表,示意三者之间的关系:

所以,个人数据兼具人格权和财产权属性。个人私密信息具备人格权属性,应以隐私权规则进行保护;个人其他信息具备人格权和因此衍生出的部分财产权属性,应当严格遵循《个人信息保护法》规定的程序进行收集和使用;已匿名化的个人数据更多具备财产权属性,纳入财产权范围进行保护。
2、企业数据的权利类型与保护
虽然目前法律法规并未将企业数据纳入财产权保护范围,但在司法实践中,多数法院已认定企业数据被经营者所实际控制和使用,能够带来经济利益,属于财产权益。近期,财政部发布关于征求《企业数据资源相关会计处理暂行规定(征求意见稿)》意见的函,其中提到“企业内部使用的数据资源,符合《企业会计准则第6号——无形资产》规定的定义和确认条件的,应当确认为无形资产”。未来立法很可能将企业数据将纳入财产权保护范围。
企业对其持有的企业数据,可通过数据确权进行保护,也可以采取反不正当竞争法保护模式、数据库著作权保护模式、商业秘密保护模式等数据行为规制方式进行保护。应注意的是,在企业数据确权时,应当在权利的排他性和限制性作出正当性的考量,特别是大企业的数据确权,避免形成数据垄断。
3、公共数据的权利类型与保护
《数据安全法》目前使用的“政务数据”的概念,而地方立法对“公共数据”给出了更贴切的界定。如《上海市数据条例》和《浙江省公共数据条例》规定公共数据是指国家机关、事业单位、经依法授权具有管理公共事务职能的组织,以及供水、供电、供气、公共交通等提供公共服务的组织,在履行公共管理和服务职责过程中收集和产生的数据。再如《福建省大数据条例》更细分:公共数据包括政务数据、公益事业单位数据和公用数据。
公共数据应属社会的公共资源,应赋予行政主体和公共服务组织数据管理权,而非具有排他性的权利,实现公共数据最大限度的共享和利用。但应该注意的是这些公共数据有的已通过政务信息公开,有的仍处于非公开状态,部分公共数据与国家数据安全密切相关,部分公共数据也涉及个人信息。因此,应根据公共数据敏感程度的高低制定分级确权和保护体系,以做到“数据二十条”中提到的“原始数据不出域、数据可用不可见”。

技术驱动法律,专业成就未来