实习生单渤锐对本文亦有贡献
1. 引言:问题的提出
在数字经济时代,企业交易数据已成为企业重要的无形资产,对企业决策、市场分析和商业策略制定具有重大影响。然而,在当前的法律环境下,企业在处理这类数据时常常面临诸多风险和挑战。
本文旨在探讨以下几个关于企业交易数据的核心问题:
(1) 企业对交易过程中获得的数据享有哪些权限?
(2) 在未签订保密协议的情况下,企业是否仍负有保密义务?
(3) 集团内部进行数据资源共享时,应当注意哪些法律风险?
通过分析相关法律法规、司法案例和典型商业实践,本文将从数据权属、保密义务和集团管理等多个角度,为企业合规处理交易数据提供理论指导和实践建议。
2. 企业交易数据的定义与性质
2.1 企业交易数据的定义
本文所讨论的“企业交易数据”,是指企业在商业交易过程中产生或获取的与交易相关的各类信息,包括但不限于:
• 商品或服务的规格、型号;
• 单价、折扣比例;
• 交易数量、金额;
• 交货时间、地点;
• 付款方式、账期等。
这些数据通常记录在合同、订单、发票等交易文件中,是企业日常经营活动的重要组成部分。
2.2 企业交易数据的法律属性
从法律角度看,企业交易数据具有以下特征:
(1) 原始性:这类数据通常是交易行为的直接记录,未经过特殊加工或分析。
(2) 商业价值:虽然单条数据可能价值有限,但大量积累的交易数据对企业具有重要的商业价值。
(3) 非个人信息:一般而言,企业交易数据不涉及自然人个人信息,因此不受《个人信息保护法》的直接规制。
(4) 潜在的秘密性:某些交易数据可能构成商业秘密,受《反不正当竞争法》保护。
2.3 企业交易数据与相关概念的区别
(1) 与商业秘密的区别:
并非所有企业交易数据都构成商业秘密。根据《反不正当竞争法》第9条,商业秘密需满足“不为公众所知悉、具有商业价值和权利人采取保密措施”三个条件。许多交易数据可能不满足这些条件,特别是“权利人采取保密措施”这一要求。部分交易数据也属于公开信息,不满足“不为公众所知悉”的要求。
(2) 与个人信息的区别:
企业交易数据主要涉及法人之间的交易,通常不包含个人信息。但在某些情况下(如个体工商户、交易标的与个人有关),交易数据可能涉及个人信息,此时还需考虑《个人信息保护法》的相关规定。
(3) 与“数据二十条”中的数据概念:
国务院发布的《关于构建数据基础制度更好发挥数据要素作用的意见》(即“数据二十条”)提出了数据分类分级管理制度。企业交易数据可能属于其中的“企业数据”类别,具体管理措施有待进一步明确。
通过以上分析,我们可以看到企业交易数据的特殊性和复杂性,这也是企业在处理此类数据时面临挑战的根源所在。
3. 企业对企业交易数据的处理权限分析
3.1 数据资源持有权
企业在合法的交易过程中获得的交易数据,通常享有数据资源持有权。这一权利源于以下法律依据:
(1) 《民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”这为数据权益的保护提供了基本法律框架。
(2) “数据二十条”第7条明确指出,企业对其依法合法持有的数据享有自主管控的权益。
(3) 《企业数据资源相关会计处理暂行规定》(财会〔2023〕11号)强调了企业数据资源的合法性,要求数据资源系“企业合法拥有或控制、预期会给企业带来经济利益”。
3.2 数据加工使用权和数据产品经营权
然而,数据资源持有权并不等同于对数据的完全支配权。何渊在《论数据权益》中提出,企业只有在符合法律法规的规定以及合同约定的前提下,才有权依法、依约自行或委托他人对数据进行各种处理并获得收益,有权自行决定经营新形成的数据以及数据衍生产品等。¹这一观点明确了企业对交易数据的加工使用权和数据产品经营权是有限制的。需要说明的是,如果企业仅对企业交易数据进行了数据录入的劳动付出,一般不视为对数据的加工使用。
这些限制主要包括:
(1) 法律法规的限制:如《数据安全法》第32条强调不得窃取或者以其他非法方式获取数据。
(2) 合同约定的限制:如果在交易过程中双方对数据使用有特别约定,企业应当遵守。
(3) 交易对方的授权:特别是对于可能涉及商业秘密的数据,企业进行加工、使用、传输、提供、公开等处理行为,可能需要获得交易对方的明确授权。
在我国首例以数据交易为基础的侵犯商业秘密的案件【(2022)渝0192民初8589号】中,被告与一家数据公司签订《数据服务协议》,该数据公司以excel文件形式向被告发送了一份海关出口数据,文件包含原告在内的多家企业的报关信息,具体包括出口型号名称、数量、目的国、价格、排量等21项信息。据此,原告以商业秘密侵权为由将被告诉至重庆自由贸易试验区人民法院。人民法院认为,数据购买场景下购买数据行为构成商业秘密侵权,其法律标准是,“如企业采购数据时不知道数据系侵害他人商业秘密的数据,但在接收数据时知道或应当知道采购的数据系侵害他人商业秘密的信息,仍予以接收,证明该数据交付符合企业数据交易的目的,该企业亦构成通过不正当手段获取他人商业秘密。”法院将双方的地位、一般商事主体应当具有的商业常识等因素纳入考量范围,认为被告具有获得商业秘密的主观意图,获得商业秘密后使用该商业秘密的可能性较大,主观上存在过错,构成通过不正当手段获取他人商业秘密。同时,法院还引用了《数据安全法》第32条规定,强调企业采购数据时不可使用非法方式获取数据。因此公司在收集数据时应当采取合法、正当的方式,否则将会影响其处理数据的权利。
4. 未签订保密协议情况下的保密义务分析
4.1 基于合同附随义务的保密要求
即使双方未明确签订保密协议,企业对交易数据仍可能负有保密义务。这种保密义务主要基于以下法律依据:
(1) 《民法典》第501条规定了先合同义务,要求当事人在订立合同过程中负有保密义务。
(2) 《民法典》第509条规定了合同履行中的保密义务。
(3) 《民法典》第558条进一步将保密义务延伸至合同终止后。
4.2 保密义务的来源与认定
根据《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第10条,保密义务的来源可以是:
(1) 法律规定;
(2) 当事人约定;
(3) 诚实信用原则推定。
特别需要注意的是,即使没有明确的保密约定,法院仍可能基于诚实信用原则,结合行业惯例、交易性质等因素,认定交易一方对获取的信息负有保密义务。这一点在实践中得到了充分体现。例如,在(2019)粤知民终457号民事判决书中,广东省高级人民法院指出,即使双方未签订保密协议,基于行业常识和商业道德,接触到游戏源代码的一方仍应承担保密义务。法院认为,游戏行业人员应当知晓源代码是游戏公司的重要技术信息,公司为其投入了大量人力财力,并对其未来产生的巨大经济利益抱有期待。
以数据出资为例,若企业违反保密义务将前述数据作为数据资产出资,接受数据资产出资的公司则可能因主观过错与出资公司共同承担侵犯商业秘密的责任,出资公司则可能构成出资瑕疵。
综上所述,企业在处理交易数据时,即使没有明确的保密协议,也应当谨慎行事,评估相关信息的敏感性和保密必要性,以避免可能的法律风险。这不仅是法律的要求,也是维护良好商业环境的必然选择。
5. 集团内部数据资源共享的合规性分析
5.1 商业秘密的特殊性
在讨论集团内部数据资源共享时,我们首先需要认识到商业秘密的特殊性。根据司法实践,商业秘密在特定范围内公开并不必然丧失秘密性,需要根据个案中商业秘密秘密性的广度进行具体判断。²例如,商业秘密被员工、被许可人或受托加工者知晓,并不当然意味着失去秘密性。
5.2 集团内部数据共享的限制
但与商业秘密不同的是,数据共享的“广度”需要有合法持有基础,集团内部的数据共享应当受到法人人格独立和财产独立原则的限制。具体而言:
(1) 数据资源边界应当清晰:不同子公司的数据资源应当保持独立,避免形成混合的数据池。
(2) 数据共享需要合法依据:集团内部的数据共享应当有明确的法律依据或合同约定。
(3) 遵守数据安全和隐私保护规定:即使在集团内部,数据共享也应当遵守相关法律法规的要求。
阿L集团与M集团的数据共享实践为我们提供了一个很好的案例。根据M集团在招股说明书中的公开披露,其与阿L集团之间的个人数据共享需要获得公司和阿L集团各自的数据安全和隐私保护团队以及相关业务和合规团队的评估和批准。该评估包括对数据分享的目的、法律依据(例如用户授权)、数据敏感性、保护措施的适用性(例如数据传输协议),以及是否符合适用的法律和法规等方面的评判。公司的数据平台和数据存储均是独立部署。公司和阿L集团各自具备独立的计算能力,双方各自采集的数据均各自独立存储,不存在共用的混合数据池。³
值得注意的是,根据阿L集团披露的2022财政年报显示,⁴2022年7月25日,阿L集团与M集团同意终止2014年8月起生效的《数据共享协议》,阿L集团将与M集团按双方向各自客户提供服务的必要限度,根据个案并依照适用法律及法规协商数据共享安排的条款。这一变化反映了数据共享领域日益严格的监管要求,也为其他企业集团提供了借鉴。
此外,西藏Y股份有限公司就因与间接控股股东X控股公司共用财务系统J蝶EAS、系统数据保管均由X控股公司负责,被西藏证监局责令改正的案例,5进一步说明了即使在集团内部,也必须严格遵守数据独立性的要求,否则可能会导致数据不合规或遭受监管部门处罚。
6. 结论与建议
基于以上分析,我们可以得出以下结论和建议:
(1) 企业对交易数据的权利范围:企业在交易过程中获得的数据,仅享有数据资源持有权。对这些数据进行加工、使用、传输等处理,可能需要获得交易对方的授权。
(2) 保密义务的广泛存在:即使没有明确的保密协议,企业也可能基于合同附随义务或诚实信用原则而负有保密义务。因此,企业在处理交易数据时应当格外谨慎。
(3) 集团内部数据共享的合规要求:集团内部进行数据共享时,应当尊重每个子公司的法人独立性,明确数据资源的边界,建立严格的数据共享评估、审批及协议签订机制。
基于这些结论,企业在处理交易数据时,需要在数据价值利用和合规风险控制之间寻求平衡。我们建议企业采取以下措施:
(1) 建立健全的数据管理制度:明确数据的收集、使用、存储、传输等各个环节的规范,对交易数据进行分类分级,特别是对涉及商业秘密的数据制定专门的保护措施。
(2) 在交易文件中明确数据使用权限:在合同或其他交易文件中,明确约定双方对交易数据的使用权限,以避免后续纠纷。
(3) 对集团内部数据共享进行规范:制定集团内部数据共享的管理办法,建立数据共享的评估、审批及协议签订机制,确保数据共享的合法合规。
(4) 加强员工培训:提高员工的数据合规意识,特别是对可能接触敏感数据的员工进行专门培训。
(5) 定期进行数据合规审计:对企业的数据处理活动进行定期审查,及时发现和纠正潜在的合规风险。
通过这些措施,企业可以在充分利用交易数据价值的同时,有效控制法律风险,实现合规经营。
1.何渊:《论数据权益》,载《国家检察官学院学报》2023年第5期,第89页。
2.河南省高级人民法院:《河南省高级人民法院商业秘密侵权纠纷案件审理的若干指导意见(试行)》,第一条第(一)款第(2)项“审查确定技术、经营信息的公开范围。信息仅在特定范围内公开,不特定其他人没有得知,可根据具体情况确定该信息未丧失秘密性。单位职工因业务需要掌握了该信息,不能认定向社会公开,仍认定其秘密性。”
3.M集团股份有限公司:《关于M集团股份有限公司首次公开发行股票并在科创板上市申请文件审核问询函的回复》,2020年9月3日。
4.阿L集团控股有限公司:《阿L集团控股有限公司2022财政年度报告》,载阿L集团官网,
https://static.alibabagroup.com/reports/fy2022/ar/ebook/tc/198/index.html。
5.中国证券监督管理委员会西藏监管局:《关于对西藏Y股份有限公司采取责令改正措施的决定》,[2021]13号行政监管措施决定书。
企业交易数据处理的法律边界与合规策略: 权限界定到集团共享
作者:潘松 朱豆豆来源:大成成都办公室

实习生单渤锐对本文亦有贡献 1. 引言:问题的提出 在数字经济时代,企业交易数据已成为企业重要的无形资产,对企业决策、市场分析和商业策略制定具有重大影响。