数据权益保护之道

来源:浙江和义观达律师事务所

文章摘要
随着传统经济走向数字经济,数据已成为市场竞争的重要资源,其中大数据资源更是具备战略性的意义。数据资源作为市场体系中最新、最重要的第五要素,是驱动生产力发展的重要元素之一,更是各大企业们争抢的战略高地。

随着传统经济走向数字经济,数据已成为市场竞争的重要资源,其中大数据资源更是具备战略性的意义。数据资源作为市场体系中最新、最重要的第五要素,是驱动生产力发展的重要元素之一,更是各大企业们争抢的战略高地。
当下,数据收集、使用、交易已经非常活跃,国务院已正式将其列为我国市场体系的重要组成部分。与之相对的,则是法律的滞后性。数据权益作为最新出现的权利客体,目前尚未进行统一、专门的立法。无论是数据的生成、权属、流通、交易还是保护,从法律规范层面均存在缺失、模糊。
法律虽有滞后性,但司法实践则不存在滞后性。因为作为数据权益司法保护的最前沿,已有诸多互联网纠纷案件不断倒逼司法实践作出判断。通过诸多案例,数据权益的法律边界已被部分划定,数据的产权保护、开发利用、行业规则已在司法实践中不断明晰。
目前的司法环境中,数据存在哪些权益?归属于谁?如何合法收集?保护程度如何?流通利用有哪些规则?每一个互联网、软件企业都对这些问题有不同程度的疑惑。
下面,本文将从司法实践角度出发,解析数据权益的保护之道。
数据产业生态链解析
数字经济成为当下新经济增长点,其原因在于知识与信息能够提高生产效率,不断驱动生产力增长。数据作为其中之一,主要利用目的是指导经营、预测信息,使用方式是收集、挖掘、交易。数据已经成为驱动企业这艘大船航向远方的重要资源。
数据当然不能直接利用,必须要形成数据产品后才具备使用价值。一份成熟的数据产品,一般要经历数据获取、处理、细分应用场景三个阶段。具体来看:首先,数据经营者通过直接获取、爬虫获取基础数据;其次,依据不同使用目的,对数据进行脱敏、反向处理等加工;最后,数据细分至不同应用场景,如信用评价、用户画像、流行病防控等。
不同生产阶段中,数据的表现形式、特点亦不相同,也带来了其性质的变化。从最为原始的用户信息,直至内容丰富的大数据产品,数据性质阶段转化一般将历经4个阶段。
第一阶段:用户信息阶段
该阶段中,数据尚处于信息(information)状态,具体为用户在网络中留下的身份、行踪内容等方面的信息,是一种描述性的信息。
第二阶段:原始数据阶段
该阶段中,企业将用户信息进行数字化处理,以如实记录的方式将用户信息转化为计算机可以处理的代码,并存放于数据库中。
第三阶段:原始数据汇聚阶段
该阶段中,大量的原始数据呈现规模化集合的状态,已经具有一定的经营价值。同时,根据数据涵盖的信息面,新的信息内容已经产生,具备了一定信息增量。
第四阶段:大数据产品阶段
该阶段中,数据经营者在聚合海量原始数据基础上,通过算法形成了新的数据产品,是原始数据的衍生数据。这种数据产品包含对事物发展规律与未来变化趋势的预测性的信息,具有创造性的价值。
数据种类解析
根据不同的权益主体,数据可以分为个人数据、企业数据、政府数据(公共数据)三种。其中企业、政府数据根据是否涉密,又可细分为涉密、非涉密两种。根据信息来源、数据规模、数据种类,上述数据类型可再次进一步细分。具体的数据种类及相应特点如下:
个人数据
个人数据又称初始数据,系基于个人信息产生的数据,本质上是人格权益、财产权益的综合体。根据数据形成阶段的不同,可做进一步细分:
1、个人基本数据。使用软件前,我们会向软件经营者(数据经营者)提供姓名、昵称、电话、地址等基本信息,软件经营者亦将请求用户授权使用。当下司法观点认为,个人基本数据具有强烈的人格权属性,用户依法享有隐私权、安宁权、更正权等权益。
2、个人伴生数据。使用软件过程中,基于软件的功能,我们的账户会产生各类伴生数据,如购物记录、阅读记录、点赞信息、锻炼信息等。此种数据基于用户使用软件产生,往往在软件经营者请求用户授权使用范围之内。当下司法观点认为,用户对个人伴生数据享有控制权、企业则享有使用权。
3、个人预测数据。运营软件过程中,企业掌握大量用户基本数据、伴生数据,可以实现用户群体画像功能,进一步预测单个用户的消费习惯、进行精准营销。当下司法观点认为,对以个人画像为代表的个人预测数据,其具备人格权特征,为个人及企业所共享。
4、匿名数据。上述三种数据均可采取脱敏处理,进而转化为匿名数据。比如,京东依据用户修改收货地址数据,得出的中国人口迁徙大数据产品。又比如,淘宝公司对用户购买数据进行脱敏处理后,取得用户消费习惯的大数据产品。当下司法观点认为,对无法追溯至具体个人的匿名数据,其人格权属性已丧失,企业拥有独占的财产权益。
综合上述司法观点,个人数据的权利边界,在于是否包含人格权法益、取得信息的合法性(授权许可使用协议)两个方面。利用方式及合规要点大致如下:

企业数据
企业作为数字经济中的数据经营者,其收集、处理、配置数据的生产方式已非常普遍,经过司法实践的转化,已实际拥有了数据经营权、数据资产权。同时现已出现为出售、转让而收集数据的新业态,如企查查、生意助手等软件。在数据资产化趋势下,数据财产权、资产权制度的建立必然是水到渠成的。提前适应数据资产化,将会是数字经济下每个企业重要的时代课题。
从基础法理来看,企业数据系整理加工原始数据而成,企业对数据存在添附价值。以添附为基础的财产权益,其性质接近物权。同时,企业数据在生产过程中,需要企业付出劳动并具备一定创造性价值,形成方式又接近于知识产权。最后,企业数据作为原始数据的集合,系社会信息的聚合体,具备一定社会公益属性,因此存在反垄断问题。综合来看,企业数据系具备各种传统权利特征的新型财产权益,具备物权、知识产权、社会公共利益的特征。
从立法进程来看,当下数据财产性权益已有法律依据,即《民法典》第一百二十七条,具体规定为:法律对数据、网络虚拟财产的保护有规定的,依照其规定。该条款于2017年《民法总则》出台时就已实际确立,推出《民法典》后继续保留。立法过程中,起初立法者准备将其划归知识产权进行保护,但因其特性与知识产权存在不同,引发了较大讨论。
从法律地位来看,数据系单独受保护的客体,有着类似于权利的法律地位。我们需要注意在《民法典》中,数据与个人信息、网络虚拟财产的概念相互独立,因此分属于不同的法律保护客体(法益)类型。
从司法实践来看,对于数据保护问题,主流司法意见为:企业数据为经过加工、以利用为导向的数据集合,其权益归企业所有;企业数据不应当被自由爬取,除非涉及数据垄断问题。
政府数据(公共数据)
政府部门在履职过程中,依照法律规定需对公民信息进行一定的采集,并通过一定形式记录保存处理。这些数据资源即政府数据,如国家企业信息公示系统数据、裁判文书公开网数据、透明售房网数据、执行信息公开网数据等等。
鉴于政府数据存在公权力属性且依法公开,获取政府数据的行为自然存在合法性基础。数据经营者通过数据技术,将相对独立、割裂的政府数据进行综合,能够将政府数据价值发挥到最大,实现价值增值。这种经营模式已被司法实践所允许。
政府数据的利用亦存在一定限制。政府数据中既有正面数据,也有负面数据。其中负面数据具有负面、敏感、时效性特点。若数据经营者出现数据偏差,将对数据主体及平台消费者产生巨大负面影响。
如蚂蚁金服诉企查查不正当竞争纠纷一案,企查查发布了蚂蚁金服公司清算信息,事实上该清算信息并非传统破产清算,导致蚂蚁金服认为其商誉出现了负面评价。进而蚂蚁金服公司诉诸法院,认为企查查公司的行为违反《反不正当竞争法》第二条之规定。
最终,法院判决蚂蚁金服胜诉,并划定公共数据经营者的四大注意义务:1、数据来源合法性;2、注重数据数信息时效性(信息需要及时更新、信息变动时间准确);3、保证信息质量;4、校验敏感信息。
数据权益主体及权利边界
数据权益主体的确定,无法离开请求权基础。当下,保护数据权益的请求权基础大多为《反不正当竞争法》中两个法条:一、第十二条(具体化规定),即关于利用网络从事生产经营过程中,不得进行不正当竞争行为的规定,指出了不得进行的具体行为;二、第二条(原则性规定),即经营者在生产经营活动中,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德。
目前司法实践中,上述规定已实际成为保护数财产权益的规定,法院通过司法裁判已事实上建立了数据财产权。根据数据权益主体的不同,司法保护请求权基础、保护程度、保护范围亦不相同:
对于提供信息数据的用户,法院往往认为其对提供的用户数据享有人格权、安宁权等权利,依据网络安全法等法律亦享有知情同意权,但不享有财产性的权益。不过,鉴于个人姓名、肖像具有一定的经济利益,对此类数据用户依旧享有基于人格权产生的收益权。
对于信息采集主体,法院往往认为其对用户原始数据仅享有使用权,不享有所有权。其原因在于,信息采集主体对于原始数据的收集付出了一定的劳动,并签订了授权许可使用协议。因此企业使用该数据的行为具备合法性基础。同时,原始数据所有权不宜划归信息采集主体,因为原始数据存在转让、流通问题。一旦所有权划归企业,则将造成用户个人信息保护难题。因此,信息采集主体仅享有原始数据的使用权。
对于数据汇聚主体,法院往往认为其作为数据经营者,对原始数据的汇聚投入了大量的人力物力,可以享有竞争性的权利。其原因在于,原始数据聚合成一定规模后,具备大数据分析样本价值,存在信息增量。相关增值贡献,应当归属数据汇集主体所有。同时,用户作为数据的原始主体,亦享有有限使用权。第三人需利用该种数据的,应遵循最少、必要、有效率三项原则,不得妨碍、破坏数据控制者合法提供的网络产品或服务的正常运行。
对于大数据产品开发主体,法院往往认为其作为数据产品开发者,享有对数据产品的财产权。其原因在于,大数据产品经过处理,已与用户信息、原始数据无直接对应关系,成为新的衍生数据产品。同时该类数据经过脱敏处理后,与人格权无矛盾冲突,且具有知识创新的价值贡献,蕴含市场需求,具备交换价值,符合财产权的特征。
收集数据中的法律合规
如何合法收集、利用数据,是数据资产的基础性问题。虽未专项立法,但现有法律及司法实践已划定了较详尽行为规则。
收集、利用数据过程中,需注意如下两个方面:一、用户知情同意权,该权利为《网络安全法》等相关法律所规定,为用户所享有;二、“三重授权”原则,该原则基于数据控制人对原始数据享有的有限使用权、竞争性权益而产生,为第三方平台获取用户信息时所需遵循。
用户知情同意权
用户知情同意权中,告知、说明义务具有基础性的地位,是收集、处理个人数据的首要合法性前提。除《网络安全法》以外,《民法典》第一千零三十五条第一款第二项第三项亦规定了告知义务。该条款对个人信息处理者提出了三项要求,即需取得用户同意、公开处理信息的规则、明示处理信息的目的、方式和范围。
值得注意的是,虽然法条用词为公开、明示,但从司法实践来看,蕴含着告知说明义务。从淘宝公司诉美景公司不正当竞争纠纷一案(即生意参谋案)判决书来看,法院依据《网络安全法》对淘宝公司告知用户的内容上提出了明示、充分性的要求。
而且,对字体进行加黑、加粗、下划线并不等同于尽到了提示、注意义务。如在江苏法院某公报案例中,某网络经营者提供的授权协议每一页都存在黑体、加粗,多的页面甚至达到了一半,这种行为导致消费者注意大大降低,最终被认为不足以起到足够的提示说明义务。
因此,为避免告而不知,在制定隐私权保护协议、个人信息使用协议过程中,除形式重点突出的要求之外,还应当存在实质上的要求,即通常理性人标准。也就是说网络普通用户要能够理解告知、说明内容。
“三重授权”原则
第三方平台在获取用户信息时,则应坚持“三重授权”原则。在微梦创科诉淘友天下不正当竞争纠纷一案中(新浪微博VS脉脉案)中,北京知识产权法院划定了著名的“三重授权”原则,即第三方通过OpenAPI获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的“三重授权”。
该司法实践确立了用户、企业对数据的有限控制权,认可其对数据存在实质性控制权及排他性的独占,也为第三方收集获取用户信息划定了市场规则。
总 结
数据资产作为数字经济的核心生产要素之一,将成为未来竞争的主要工具。虽然,目前关于数据权益的法律规定尚未出台,然而司法实践已成为数据权益保护的灯塔。
综合司法实践,数据权益系企业数据、个人信息、政府数据的综合体,交织着包括个人信息权、隐私权、著作权、商业秘密权、数据使用权、数据竞争权益、公共利益在内的各项权益。
以数据经营者为代表的新经济、新业态,需抓紧时间构筑数据资产的保护体系,早一步跨入数据资产保护时代。

技术驱动法律,专业成就未来