摘 要:数字经济时代,数据的跨境流动带来的经济价值空前提升。企业数据强调用于商业目的且具有商业价值的一类数据,更是跨境数据的主流。其在促进国际经济贸易活动时,不可避免地会涉及个人隐私保护、商业秘密保护以及国家安全这几重维度利益的冲突与平衡,这些不同维度的利益冲突与平衡也成为企业数据跨境流动需要考量的重要因素。又因企业数据在经贸活动中的不可或缺性及其所蕴含的巨大商业价值,法律对其跨境流动的治理应区别于公共数据和个人数据,尝试探索明确企业数据权属、区分企业数据和商业秘密以及推动建立企业可信数据流通制度的路径,为企业数据跨境流动提供参考。
一、企业数据的概念界定及其特征
中央全面深化改革委员会第二十六次会议将企业数据作为能与公共数据、个人数据相并而列的一类数据要素,中共中央、国务院《关于构建数据基础制度 更好发挥数据要素作用》(以下简称“数据二十条”)提出建立“公共数据”“企业数据”“个人信息数据”确权授权机制。国内出现“企业数据”“商业数据”的概念,且经常将二者混同使用,国外文献也有“商业数据”这一称谓,但企业数据逐渐成为主流称谓。
(一)企业数据概念界定
在法律上,尚未给出企业数据明确的界定,“数据二十条”隐晦地表述为“各类市场主体在生产经营活动中采集加工的不涉及个人信息和公共利益的数据”。对于企业数据的现有学术研究在合规领域一般称为“企业数据”,如杨亚飞、弓永钦、李延舜等学者,在相关针对性研究上也有称“商业数据”。在对“商业数据”(本文采用“企业数据”这一概念)进行界定时,不同学者的表述或者界定迥异,对其产生主体、产生领域等存在较大的争议。例如:孔祥俊教授认为,商业数据包括公共数据以外的自然人、法人和非法人组织依法收集、获取的数据,其大体对应企业数据,但强调其具有市场竞争意义且能够作为竞争性财产。他也认为,商业数据的持有人可以是自然人、法人和非法人组织,不限于通常意义上的企业。吴桂德博士认为:商业数据是数据经营者首先通过收集、汇集或交易所得的原始数据经过去标识化和匿名化等脱敏加工后形成的商业数据集合。刘瑛、高正认为商业数据,应当解释为由经商主体收集并汇编或加工,以用于市场活动的具有商业价值的电子数据集合。郑和斌博士认为网络商业数据是指自然人、法人或者其他组织收集、整理的并可以通过信息网络传输、储存的各类与商业活动有关的数据。
本文认为企业数据强调的是数据用于商业目的且具有商业价值,而与产生的领域和产生的主体无关。非商主体和公共领域的数据经过加工、处理和分析后同样具有商业价值,因此数据的产生主体是否为商业主体、数据产生的领域是否为商业领域不应当成为限定数据是否为企业数据的标准。
(二)企业数据的特征
在各国数据跨境流动规则实践中,与跨境有关的数据依据不同分类、不同级别,其流通要求的严格性程度也不相同。从企业数据的概念出发,归纳出企业数据在界定以及对其流通治理上需要考虑的特性,可将其概括为以下四种特性。
首先,企业数据侧重商业用途,这是其区别于公共数据和个人数据的重要特点,这一特征表现为企业数据是用于交易活动的海量数据或者对数据的分析、处理之后的集合。其次,企业数据具有极高的商业价值性。数字经济时代,数据流其实也就是财富流,企业是经济贸易活动发生的主体,企业的数据流与资金流直接挂钩,具有极大的变现和财产价值属性。再次,企业数据的竞争性强度低,因其产生领域广泛,不具备强烈的人身相关性和可识别性,且数据的复制成本和竞争性风险低,可无限共享。最后,企业数据具有针对性和时效性。即使是以个人信息为基础样本的企业数据,在经过数据的脱敏化处理、分析、整合之后,就已经丧失了可识别性,属于第二手的数据,且以特定目的和用途而产生,其价值也会因时间或使用场景不同而贬值甚至失去价值。
二、企业数据跨境流动的法理基础及现实需要
(一)企业数据跨境流动的法理基础
数据的跨境流动是数字经济的题中应有之义,企业数据作为经济贸易中的关键要素,其跨境流动更具重要性。2022 年《最高人民法院工作报告》指出,要维护市场公平竞争,探索数据权利保护规则,服务数字经济,促进电子商务发展。
当前,数据确权保护已成为主流观点,且在此基础上产生数据产权制度,亦分化出数据人格权和数据财产权,以及将数据分级分类予以保护。这些数据确权、数据赋权保护的路径都将生产和劳动理论作为正当性基础。提出数据跨境的四重法理基础,分别是“数据无国界”“数据主权”“数据自由市场”和“数据人权”理论,除此之外,还有“数据自由流通”理论。这些理论对于企业数据同样适用。“数据主权”理论是国家主权理论在数据领域的延伸,主权国家的监管自然而然地涵盖数据领域,因此可以通过数据本地化等方式对数据的跨境流动进行监管。这一理论也被学者认为是将桑斯坦的理论应用在跨境问题上。“数据人权”理论是建立在保护人权的基础之上,注重个人隐私在数据流动中的保护,并以欧盟为代表,绝大多数国家在面对数据跨境流动时都适用。“数据自由流通”理论则坚持数据的自由流通,数据作为一种生产要素在国家(地区)间的自由流动不应受限,这一理论认为应尽可能地排除国家对数据跨境流动的干预。不管是哪一种理论,现有区域经贸协定或其他国际规则的制定目的也是达成更大范围的市场开放,增加世界贸易,提供更多的商业交易机会。尤其在企业数据跨境流动领域,跨境数据的商业性远高于涉个人的隐私程度。
(二)企业数据跨境流动的现实需要
现代数字技术极大地增加了全球的数据流,正如 Renata Avla Pinto 所说:“数据是新时代的石油或原材料”,我们也可以认为,在数字经济时代,数据流即财富流。
21 世纪以来,互联网技术加速向经贸领域延伸,数字贸易的产生对贸易方式、贸易对象、贸易规则、贸易格局产生了深远影响。据中国信息通信研究院(以下简称“中国信通院”)《中国数字经济发展研究报告(2023 年)》统计:2022 年我国数字经济规模首次突破 50 万亿元,占 GDP 比重达到 41.5%[8]10,产业数字化对数字经济增长的主引擎作用更加凸显[8]12,占 GDP 比重创五年来最大增幅。此外,据中国信通院 2023 年发布的《全球数字治理白皮书》显示,2011—2021 年,跨境数据流动规模增长超 14倍;全球跨境数字服务贸易规模从2.15万亿美元增至3.81万亿美元,年平均增长率为6.76%。2021年,跨境数字服务贸易同比增长 14.3%,在服务贸易中的占比达到 63.6%[9]9。数字经济进一步实现量的增长,其结构优化也促进了质的有效提升。自2005年以来,全球数据流增长了数百倍。在这些数据流中,流通的数据毋庸置疑主要为企业数据。企业数据的数据流增量将不断增加,跨境流动的增速也将不断提升,带来的经济效益占比更加突出,是数字经济不可或缺的中坚力量。
三、企业数据跨境流动的三重考量
企业数据跨境流动在推动数字经济与国际贸易发展的同时,不可避免地涉及个人隐私保护、商业秘密保护以及国家安全等多重维度利益的冲突与平衡,这些不同维度的利益冲突也成为企业数据跨境流动需要考量的重要因素。
(一)个人层面:基于数据权利与个人信息保护的考量
企业数据很大程度上与个人数据难以界分,其在商业活动中收集、获取的个人数据经过整合、分析也会成为企业数据的一部分。基于此,产生两个关切的问题:一是这部分数据权属如何?截至目前,尚无法律明文规定“企业数据权”,也未规定企业对其在商业活动中获取、收集、加工的数据享有何种权利。虽有政策提出“数据产权结构性分置”,借鉴现有土地制度,创新性地提出将数据所有权、数据使用权和基于数据(或数据产品)的收益权相分离这一设想,这在学界争议颇大尚且不说,实践中落地更加艰难,权利基础尚不存在,权力分配更加困难。二是企业在收集、获取了个人的相关信息后如何对其进行保护?如何避免陷入侵犯个人隐私的法律风险?尤其是在“棱镜门”事件和“滴滴”事件之后,我国更注重个人信息和重要数据的保护(尤其是与人息息相关的生物数据和医疗数据)。企业对个人权利的侵犯以时间为维度体现在个人信息的违法违规获取、收集(未经个人同意获取的数据能否使用)、对个人信息数据的不当处理(对已经获取的个人信息享有怎样的权限)以及对处理后信息的泄露(即使经过脱敏化处理,此类数据的泄露是否会对特定人群产生特定影响)三个方面。这就导致在实践中,企业很容易因此侵权涉诉,这对企业开展对外贸易带来极大不便甚至产生法律风险。
(二)企业层面:基于商业秘密保护的考量
数据权益与知识产权专门法的客体具有相通之处,但是,仅有部分数据符合受专门法保护的要件(如需受专利保护则需符合新颖性和创造性,如需受著作权保护则需符合其独创性等)。因此不能对企业数据进行充分保护。尤其是,企业数据区别于个人数据和公共数据,表现出较强的商业价值属性,也体现了数据收集者(企业)一定程度上对于所获取、收集或生产经营过程中产生的数据进行了一定程度的“改造+整合”工作,付出了一定思考和有目的的创造性劳动,这与商业秘密构成要件中的价值性发生耦合。如由原始数据组成的衍生数据、网络公开数据和其他尚未公开的内容结合或组成的新的数据信息等是否算作商业秘密,这类信息能反映实施经营状况或能据此大量数据的整合、分析对企业金融、财务信息进行分析,甚至从中剥离出客户信息等衍生信息,这类信息如若属于原始数据则应当归类于企业的商业秘密进而进行保护,由于这类数据被获取或公开时不具备秘密性且获取渠道广阔,如若用于不正当竞争,对企业来说亦是一种安全风险。
(三)国家层面:基于国家安全保障的考量
随着“一带一路”和“走出去”等战略的部署实施,企业的跨境、出海类商业活动日益频繁,数据跨境流动需求显著增强。一些企业过度追求数据跨境流动带来的经济效益,将其数据中心建立在国外或者违反相关数据跨境管理规定,将对国家安全造成危害。近年来,数据安全风险存在于各个领域,泄露的威胁也已成为危害社会和国家安全的隐患。一是个人数据、企业数据被传输至境外。例如,滴滴赴美上市,其收集的个人数据存在泄露风险;特斯拉利用传感器采集车内外个人信息及地图环境等敏感信息,并将这些信息传输至境外;上海市某科技公司相关数据库存在未授权访问漏洞,部分数据泄露并被传输至境外;北海某公司网站服务器安全防护措施不足,存在被多个境外 IP 攻击入侵,泄露约 22 万条民众数据信息;另据中国互联网络信息中心发布的第52次《中国互联网络发展状况统计报告》显示,截至2023 年 6 月,从网民遇到各类网络安全问题的情况来 看 ,遭 遇 个 人 信 息 泄 露 的 网 民 比 例 最 高 ,为23.2%。二是敏感数据泄露或被传输至境外。例如,深圳某科技公司未经许可将部分人类遗传资源信息从网上传递出境、浙江某科技有限公司违规泄露政府数据等。根据《2020 年中国互联网网络安全报告》,2020 年我国共发现国内基因数据通过网络出境 717 万余次,流向境外 170 个国家和地区,其中流向美国 273 万余次,占出境总次数的 38.1%[11]55-56。上述向境外提供本不应出境的隐私数据或敏感生物数据,如被境外滥用,将会给我国数据安全和国家安全带来巨大的威胁。
四、企业数据跨境流动的路径参考
(一)确定企业数据权属及授权使用制度
“数据二十条”强调,建立数据产权制度,要建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,健全数据要素权益保护制度。由此,也有不少学者主张对数据进行分类分级、分权处置,有观点认为坚守传统的所有权理论对数据进行赋权反而会掣肘数据的利用,认为应将所有权与使用权相分离[12]105,以《民法典》中土地经营权“三权分置”的权利结构创建数据赋权新思路,如将土地承包经营权、土地经营权从土地集体所有权中剥离一样,可以在数据所有权基础上建立企业数据经营权的多层用益物权,该观点认为数据来源于公众决定其公众所有权性质,以在保障个人信息数据权益基础上实现数据的共享与流通。
企业在收集个人信息时,应当确保个体的知情权,取得个人授权。在现有知情同意权及授权隐私制度中,大多采取一揽子协议或格式条款,个人只有授权方可使用或进行市场消费活动。若相关商业数据中包含个人信息,应确保对个人信息的收集和处理已获得个人信息主体的适当授权,且可接触相关数据的供应商对数据的处理不应超出个人信息主体的授权范围,增设个人信息主体的可选择授权范围,取消一揽子协议或格式条款。保障个人信息主体授权企业收集其信息,明确被采集信息的用途及处理权限。
(二)区分可流通企业数据与商业秘密
对于实践中最频发的企业数据与商业秘密侵权案件,在企业数据与商业秘密保护交叉的情形下,在法律适用层面,如果符合专门法保护范畴的,以专门法去保护。就企业数据而言,如符合商业秘密构成要件,可直接按商业秘密进行保护;如不属于商业秘密范围的,则可归为可流通企业数据,最大限度地保障其自由流动。
目前,法院对于企业数据与商业秘密交叉情形的案件多按商业秘密纠纷处理。其原因在于,当前的《反不正当竞争法》并未明确将数据不正当竞争作为一种特别的竞争类型,故在适用《反不正当竞争法》第二条之前,法院需先就这一行为是否属于《反不正当竞争法》规制的范围进行论证,首先看是否属于《反不正当竞争法》规定的特别条款范围,如果不能适用特别条款,才能根据《反不正当竞争法》第二条的一般条款来判定是否构成不正当竞争。总而言之,是先考虑商业秘密特别保护,再用一般条款进行保护。
基于目前司法实践判例及“数据二十条”的规定,企业可以从以下角度加强对数据管理的合规体系建设:针对符合商业秘密构成要件的企业数据,对其采取特别保护措施,以商业秘密进行特别保护;针对一般可流通的企业数据,应在数据公开流通时明确作出企业数据确权及授权声明,明确企业数据权属,量化企业数据价值,明确企业数据可获取的对象、获取方式及用途,明确未经授权禁止使用、复制的声明。另外,可建立企业数据溯源、内部备份以及价值评估制度,建立合理的内部机制,对企业合法收集的数据的来源及授权进行登记备份,对于企业获取、收集的数据的加工过程及企业投入的各类成本予以记录和保存,做到“流通安全、全程可溯、贡献可量”。
(三)推动建立企业可信数据流通制度
企业数据因其极强的商业属性使其在经济贸易活动中应当可自由流通。在采用数据“三分法”,即将数据分类为公共数据、企业数据、个人数据的基础上,建立数据的分级保护制度。依照数据收集的成本、数据的重要性程度、数据可带来的预期价值对数据进行分级保护。可分为核心数据、重要数据、一般数据及可信数据。在已经施行的《数据出境安全评估办法》的基础上,对企业数据进行安全评估。此外,积极参与国际合作,在与我国建立紧密经济联系的、对于数据的跨境流动保护严格程度与我国相近的国家或地区,探索形成“可信数据清单”,进而建立企业“可信数据流通”制度,打通一条可信任数据流通的绿色通道。2023 年 7 月 25 日,国务院《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》已经指出,支持部分地区探索形成可自由流动的一般数据清单;2023 年 8 月 8 日公布并施行的国务院《关于印发<河套深港科技合作区深圳园区发展规划>的通知》也提出,要“研究建设固网接入国际互联网的绿色通道”。由此可见,数据的逐步开放与互信体系建设已成趋势,应当以试点为样本,以点带面,在考察开放实效及数据安全风险的基础上逐步实现企业可信数据的自由流通。
↓↓了解更多资讯,请识别下方二维码↓↓
国脉集团是数据资产化先锋企业,主要提供培训、咨询和产品设计服务。为数据资源拥有者提供专业、规范、合规的全流程资产化服务,提升机构数据管理服务能力,实现数据资源价值最大化。运用最先进的培训理念方法和平台工具提供高绩效培训服务。研发“一头一体两翼”企业数据资产化咨询服务方法论,提升数据资产化战略设计、就绪度评估与咨询、入表和产品化全流程咨询服务。基于战略思维和实操需求研发“易”系列产品,并与数源方合作研发系列数据产品。 主要课程包括数据资产入表、数据经纪人、公共数据运营和政府CDO、数据精品等精品课程。 主要产品:数据易投、数据易贷、数据易保、数据易售。