数据保护的赋权模式和行为规制模式互补,其目标均具有保障数据权益和促进数据流通的两重性,为此应当正确厘定数据保护的客体、主体和效力边界。数据保护的客体即数据是独立的民事权利客体,应当具备合法性、价值性,而不应限定为企业数据、衍生数据、集合数据和未公开数据。数据保护的主体最终都是属于“人类”的自然人、法人或非法人组织,如果“人类”以外的事物所处理的数据被“人类”占有而得到法律保护,可以通过申请撤销并追究其相应的法律责任来救济。数据保护的权益应当限定仅及于数据法律行为,包括:经过权利人许可,具有营利性,不得与在先权益相冲突,不得损害国家、社会、他人利益,不得阻碍他人合理使用与善意使用。鉴于现有立法和执法未充分体现数据保护的客体、主体和效力边界,有必要以《数据安全法》为基础统一立法,并由国家知识产权局和国家数据局联合制定和颁行数据保护的行政执法办法。鉴于信息、数据、知识产权之间的密切关系,将数据放在知识产权法律体系中研究建立各项具体制度相对更加适宜。
一、问题的提出:数据保护的模式和目标
随着信息技术的快速发展,数据已经成为新型生产要素,数据保护也成为亟待研究解决的重要问题。对于数据的保护,法学界主要提出了两种模式:一是赋权模式,即赋予数据一定排他性权利,如数据产权、数据财产权(益)、数据知识产权等;二是行为规制模式,即对于不正当获取、使用数据的行为加以限制或禁止,类似于《反不正当竞争法》对于商业秘密、企业名称、包装装潢等的保护。
关于数据保护的赋权模式,除了构成作品的数据享有著作权、技术方案中的数据可以申请获得专利权、能够指示商品或服务来源的数据可以用作商标以外,2022年12月印发的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》),提出“建立保障权益、合规使用的数据产权制度”。赋权模式的优点是有利于激励数据处理(包括数据的收集、存储、使用、加工、传输、提供、公开等)与数据经营,可以避免发生数据过度消耗的“公地悲剧”,缺点是需要专门立法赋予数据排他性权利,且容易造成数据垄断,不利于数据的流通、分享,从而发生数据权益割据的“反公地悲剧”。
关于数据保护的行为规制模式,除了现行司法审判中以《反不正当竞争法》第2条、第9条来规制不正当获取、使用数据的行为以外,国家市场监督管理总局2022年11月22日公布的《中华人民共和国反不正当竞争法(修订草案征求意见稿)》(以下简称《反法修订草案征求意见稿》),设置了第4条第2款、第18条等数据专门条款,禁止经营者不正当利用数据、不正当获取或使用其他经营者的商业数据的行为,并将所保护的“商业数据”界定为“经营者依法收集、具有商业价值并采取相应技术管理措施的数据”。行为规制模式的优点是无需专门立法赋予数据排他性权利,既有利于数据的流通、共享,又可以在现有法律制度框架下为数据提供保护,缺点是只能通过被动应对的方式解决既有数据纠纷、矫正数据要素市场秩序,可能影响在数据的处理、经营和数据要素市场的发展等方面的积极性和主动性。
尽管数据保护的赋权模式和行为规制模式各有优点和缺点,但在《数据二十条》出台后赋权模式好像占了上风。然而,因为数据作为新型生产要素,其保护在全世界尚处于探索期,所以即便赋予数据排他性权利也需要经过调研、起草、提出、审议、修改、表决等立法程序,在现有法律空间下数据保护仍主要采用行为规制模式。另外,赋权模式和行为规制模式并非水火不容,其优点和缺点具有互补性。所以,即便专门立法赋予数据排他性权利,《反不正当竞争法》也可以提供兜底保护,因而不必将两种保护模式对立起来。实质上,无论是赋权模式还是行为规制模式,数据保护的目标均具有两重性:一是保障数据权益,让相关主体的投入获得合理、公平的回报,同时不损害他人合法权益、社会公共利益以及国家主权、安全和发展利益;二是促进数据流通,对数据保护的客体、主体、效力等进行必要限制,以开放、共享等方式破除数据流通障碍。为了实现这两重目标,数据保护在注重保障相关主体的数据权益的同时,还要正确厘定数据保护的客体、主体、效力等的法律边界。
数据保护的法律边界是指相关法律规定的对数据权益给予法律保护的最大范围,主要由数据保护的客体、主体、效力来确定以及相应立法和执法来确认。数据保护的客体边界用来确定什么样的数据需要保护、什么样的数据无需保护,数据保护的主体边界用来确定谁的数据需要保护、谁的数据无需保护,数据保护的效力边界用来确定数据的哪些权益需要保护、哪些权益无需保护,数据保护的相应立法和执法用来确认数据保护的客体、主体、效力边界要求是否得到充分体现。
二、客体边界:数据的独立性与保护条件
数据保护的客体即数据,与信息可以视为同义且具有相同或实质相似的法律特征,以保护主体、产生方式、数量规模、是否公开为标准有不同分类。受保护的数据是独立的民事权利客体,属于无形的信息的范畴,与知识产权客体之间存在交叉但更多的是不同。受保护的数据应当具备合法性和价值性,而不应限定为企业数据、衍生数据、集合数据和未公开数据。
(一)数据保护的客体
数据保护的客体无疑是数据。按照我国《数据安全法》第3条第1款的规定,数据是指“任何以电子或者其他方式对信息的记录”。由此,数据是信息的形式,信息是数据的内容,两者似乎可以明确区分。但是,在网络化、数字化环境下,数据与信息已经融为一体,因为作为数据存在形式的二进制“0,1”,直接成为信息的基本单元,使得数据与信息的获取、分享、传输同步进行,突破了两者在形式和内容上的区分。况且,信息作为人类对于事物认识的表达,显然是无形的存在,而数据也没有物质化的外形,从而模糊了两者在内容和形式上的界限。因此,数据与信息可以视为同义,其区分没有实际的法律意义。
数据与信息具有相同或实质相似的法律特征。除了无形性以外,数据与信息还具有属人性、表达性、价值性、可支配性、可复制性等法律特征。所谓“无形性”,是指数据和信息没有物质化的外在形体,无法被任何主体有形地控制或占有。所谓“属人性”,是指信息必须经过人的处理,属于人的认识的表达。所谓“表达性”,是指数据和信息仅为认识的表达,而不包含没有表达出来、尚存在于大脑之中的认识。所谓“价值性”,是指数据和信息具有一定商业价值,能够满足人们生产和生活的需要。所谓“可支配性”,是指数据和信息能够为人所控制和利用,尽管只是相对的而不像有形的物体那样能够被绝对地支配。所谓“可复制性”,是指数据和信息相对于有形的物体而言更容易被复制,因而也更容易被获取、使用、传播。
数据依照不同标准有多种分类。以保护主体为标准,数据可以分为公共数据、企业数据(商业数据)、个人数据(个人信息),其中公共数据由各级党政机关、企事业单位依法履职或提供公共服务过程中产生,企业数据由各类市场主体在生产经营活动中采集加工而成,个人数据能够单独或者与其他信息结合识别特定自然人。以产生方式为标准,数据可以分为原始数据(数据资源)与衍生数据(数据产品),其中原始数据是直接采集形成的未经任何处理的数据,衍生数据是对原始数据进行处理后形成的新数据。以数量规模为标准,数据可以分为集合数据(大数据)和单一数据,其中集合数据具有巨量(volume)、高速(velocity)、多样(variety)、真实(veracity)、价值(value)的“5v”特点,单一数据是指单个或少量的数据,各自具有不同的特点和价值。以是否公开为标准,数据可以分为已公开数据和未公开数据,其中已公开数据如同作品一样除了合理使用、法定许可使用以外未经许可不得使用,未公开数据如同商业秘密一样未经许可不得获取、使用。
(二)数据是独立的民事权利客体
根据我国《民法典》第109—127条的规定,数据是独立于人身权、物权、债权、知识产权、股权和其他投资性权利之外的民事权利客体。民事权利是指作为民事主体的自然人、法人和非法人组织为实现其人身、财产、行为、信息等正当利益,以其自由意志对该利益为或不为占有(控制)、使用(实施)、收益、处分等行为的时空范围。由此可见,民事权利的构成要素或其特征有五个:(1)民事权利的主体具有一般性,包括自然人、法人和非法人组织等所有民事主体;(2)民事权利的客体具有广泛性,包括有形的身体、财产、行为和无形的信息等所有行为对象;(3)民事权利的内容具有全面性,包括占有、使用、收益、处分等权能;(4)民事权利在主观上具有自主性,民事主体在法定或约定时空范围内可以自由行使其意志;(5)民事权利在客观上具有局限性,民事主体行使其自由意志受到法律法规、公序良俗、契约承诺等限制。
民事权利依照不同标准有多种分类,其中最重要的分类标准是权利客体。根据民事权利客体是否具有财产价值,可以将之分为财产权和非财产权两大类。典型的财产权有物权、债权,典型的非财产权是人身权,而知识产权、股权和其他投资性权利具有财产权和非财产权双重性质。其中,知识产权的客体是无形的、具备一定创新性的人类智力活动成果,包括发明创造、商业标识、作品等,具有无形性、专有性、地域性、法定时间性、可复制性的特点,其价值主要取决于人类的创新性智力劳动。而数据无疑属于无形的信息的范畴,其与知识产权的客体之间存在交叉但更多的是不同。数据中属于具备一定创新性的人类智力活动成果的,当然可以获得知识产权保护,比如非自动生成的具有独创性的数据库及其计算机软件,包含数据及其处理的技术方案,以数据信息申请注册的商标,以及可以作为商业秘密的数据信息等。大量的数据本身不一定属于具备一定创新性的人类智力活动成果,比如国家知识产权局的专利文献数据和中国知网的学术文献数据,虽然也具有无形性和可复制性,但不具有专有性、地域性和时间性,其价值主要不取决于人类的创新性智力劳动,而取决于数据的规模性和数据处理过程中的无限增值。
(三)数据保护客体的特性或条件
正如并非所有的人类智力活动成果都是知识产权的客体一样,“从公有领域的角度来说,知识产权所保护的智力活动成果,不过是公有领域中的几块飞地,或者海洋中的几个孤岛”。也不是所有的数据都是数据保护的客体。基于数据保护的两重目标——保障数据权益和促进数据流通,数据保护的客体至少应当具备“两性”:(1)合法性,即受保护的数据应当由自然人、法人和非法人组织依法处理,不得违背法律法规、公序良俗、契约承诺,不得损害他人合法权益、社会公共利益以及国家主权、安全和发展利益,不得与他人已经在先取得的合法权益相冲突,不得产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视;(2)价值性,即受保护的数据应当具有一定商业价值,包括直接的、间接的、潜在的经济利益或竞争优势等,主要由投入的劳动和成本、使用收益、可得利益、可保持竞争优势的时间等因素确定,其中“投入的劳动”并非一定是“人类”的创新性智力劳动,也包括“人类”的非创新性智力劳动和体力劳动,但不包括“人类”以外的事物的所谓“劳动”。
《反法修订草案征求意见稿》第18条第2款,将数据保护的客体限定为“商业数据”,并规定了“依法收集”“具有商业价值”“采取相应技术管理措施”三个保护条件,其中前两个保护条件对应于上文所述数据保护的客体应当具备的“两性”,即合法性、价值性。现行的《反不正当竞争法》第9条第4款所规定的商业秘密三个保护条件——“不为公众所知悉”“具有商业价值”“采取相应保密措施”,与之似有异曲同工之妙。“技术管理措施”与“保密措施”从文字本身来看并不相同,但所起到的未经许可不得获取、使用的功能并没有实质性差别,由此将数据保护的客体限定为未公开数据,把未采取技术管理措施的已公开数据排除在数据保护的客体边界之外,应属不妥。
关于数据保护客体的特性或条件,很多学者提出了自己的意见。吴汉东认为,受保护的数据应当具有衍生性、集合性技术特性和财产性、可公开性、非冲突性法律特征。张新宝认为,受保护的数据应当具有无形性、规模性、可支配性、稀缺性、可定价性。孔祥俊认为,受保护的数据应当具有合法性、集合性、管理性、可公开性、商业价值性。
数据保护的客体不应限定为企业数据、衍生数据、集合数据、未公开数据。如前所述,公共数据、个人数据对应于企业数据,公共数据依法产生、用于公共服务,显然具备数据保护客体的合法性、价值性;个人数据能够识别特定自然人,只要依照我国《个人信息保护法》的规定进行处理,就应当作为数据保护的客体。原始数据对应于衍生数据,虽然系直接采集形成,但也需要依法进行并投入“劳动和成本”,因而具备数据保护客体的合法性、价值性,不应被排除在数据保护的客体边界之外。单一数据对应于集合数据,虽然数量规模较小,但有其自身特点和价值,只要依法进行处理,就应属于数据保护的客体范围。已公开数据对应于未公开数据,虽然不能作为商业秘密进行保护,但如同已获得授权的专利、已公开发表的作品一样具有价值,只要其处理合法,就应当获得法律保护。
三、主体边界:数据保护主体的局限与认定
数据保护的主体主要有数据来源者、数据处理者、数据资源持有者、数据产品经营者之分以及公共数据主体、企业数据主体、个人数据主体之分,最终都是属于“人类”的自然人、法人或非法人组织,而不能是“人类”以外的事物。目前有关数据保护的司法审判和行政执法中,数据保护主体的认定主要通过其处理、持有、经营数据的行为是否正当合法来判断。如果有人将“人类”以外的事物所处理的数据占为己有从而使该数据得到法律保护,可以通过申请撤销并追究其法律责任来救济。
(一)数据保护的主体
数据保护的主体以其职责权限来划分,主要有数据来源者、数据处理者、数据资源持有者、数据产品经营者。所谓“数据来源者”,是指依照法律规定或合同约定享有知情同意、获取、复制、转移由其促成产生数据权益的自然人、法人或非法人组织。所谓“数据处理者”,是指依照法律规定或合同约定享有数据处理权的自然人、法人或非法人组织。所谓“数据资源持有者”,是指依照法律规定或合同约定享有对数据资源进行控制、使用、收益和依法处分权益的自然人、法人或非法人组织。所谓“数据产品经营者”,是指依照法律规定或合同约定享有对数据产品进行占有、使用、收益和依法处分权益的自然人、法人或非法人组织,其中“数据产品”是指自然人、法人或非法人组织通过对数据资源投入实质性加工和创新性劳动形成的数据及其衍生产品,包括但不限于数据集、数据分析报告、数据可视化产品、数据指数、应用程序编程接口(API)数据、加密数据等。
以上数据保护的主体中,数据处理者、数据资源持有者、数据产品经营者三者之间在内涵和外延(职责权限)上存在交叉,数据来源者、数据处理者、数据资源持有者三者之间存在利益平衡的问题。首先,数据处理者与数据资源持有者都有收集、存储、使用、加工的内涵和外延,数据处理者与数据产品经营者都有使用、加工、提供的内涵和外延,数据资源持有者与数据产品经营者都有控制、加工、使用、收益和依法处分的内涵和外延。其次,数据处理者、数据资源持有者应当充分尊重和保护数据来源者的合法权益,满足有关法律法规对数据来源者相关合法利益保护的要求;同时,数据的处理、持有应当是自由的,不能让数据来源者完全控制数据;另外,对数据处理者、数据资源持有者的权益加以限制,在保证数据处理、持有自由的同时,促进数据的流通利用,保持数据的可获取性。
公共数据、企业数据、个人数据保护的主体分别为公共数据主体、企业数据主体、个人数据主体。公共数据主体是具有公共服务职责权限的各级党政机关、企事业单位;企业数据主体是在我国境内以营利为目的从事生产经营活动的自然人、法人及非法人组织,包括企业法人及其分支机构、个体工商户、外国公司分支机构等;个人数据主体无疑是自然人。由于企业可能既有公共服务职责权限又从事生产经营活动,自然人可能既从事生产经营活动又产生个人信息,因而公共数据主体与企业数据主体之间、企业数据主体与个人数据主体之间存在交叉。
(二)数据保护的主体局限于人类
如前所述,数据作为民事权利的客体,由自然人、法人和非法人组织等民事权利主体,在法定或约定时空范围内对数据享有占有(控制)、使用(实施)、收益、处分等权益,但同时受到法律法规、公序良俗、契约承诺等限制;数据保护的主体无论是数据来源者、数据处理者、数据资源持有者、数据产品经营者,还是公共数据主体、企业数据主体、个人数据主体,最终都是自然人、法人或非法人组织。其中,“自然人”无疑属于“人类”的范畴,“法人”具有完全独立的民事权利能力和民事行为能力,“非法人组织”能够依法以自己的名义从事民事活动,均有自己独立的意志并通过作为其成员的自然人表达出来,属于法律意义上“人类”的范畴。因此,数据保护的主体局限于“人类”的范畴,不论其为自然人还是法人或非法人组织。
正如知识产权仅保护人类的智力活动成果一样,只有人类处理的数据才能得到法律的保护。从作为知识产权、数据保护基本法的《民法典》来看,该法第1条规定该法的立法目的之一是“保护民事主体的合法权益”,第123条第1款明确规定“民事主体依法享有知识产权”,第127条将数据作为保护客体。结合该法第1条的规定,其权益主体也是民事主体,而根据该法第2条的规定,民事主体仅限于自然人、法人和非法人组织。从作为知识产权、数据保护兜底法的《反不正当竞争法》来看,该法第二章各条所规制的不正当竞争行为,包括假冒或混淆、虚假宣传、商业诋毁、侵犯商业秘密、互联网不正当竞争以及将来可能增加的商业数据不正当竞争等,其行为主体均为经营者及其以外的其他自然人、法人和非法人组织,而该法第2条第3款明确规定,“本法所称的经营者,是指从事商品生产、经营或者提供服务……的自然人、法人和非法人组织”。即便将来制定和颁行专门的数据保护法律法规,仍应当以《民法典》为基本法,以《反不正当竞争法》为兜底法,在保护主体方面不能超出自然人、法人和非法人组织,即“人类”的范畴。
数据保护的主体不能是“人类”以外的事物。“人类”以外的事物也会产生信息、形成数据。若该数据是由“人类”处理的,则属于法律保护的数据,但其主体是“人类”而不是“人类”以外的事物。若该数据不是由“人类”而是由“人类”以外的事物本身处理的,则不属于法律保护的数据。“人类”以外的事物只能是法律保护的客体,永远不会成为法律保护的主体。在著名的“猕猴自拍照案”中,猕猴用来拍照的相机具有联网、上传功能,且该猕猴无意中触碰了上传按键而将其自拍照发到了网上,但是该猕猴的自拍照未得到法律保护。既然如此,那么该猕猴将其自拍照上传到网上所形成的数据由于没有经过“人类”处理也不能得到法律保护,即该猕猴既不能成为其自拍照的法律保护主体,也不能成为其自拍照所无意形成数据的法律保护主体。再如,ChatGPT所生成的内容,按照多数学者和司法判例的主流观点,ChatGPT因不是“人类”而不能得到法律保护。如果该ChatGPT自动将其生成的内容上传到网上,那么所形成的数据由于没有经过“人类”处理也不能得到法律保护,即该ChatGPT既不能成为其生成内容的法律保护主体,也不能成为其生成内容所自动形成数据的法律保护主体。“人类”利用各类工具处理的数据,则属于法律保护的数据,但其主体是“人类”而不是工具,工具只能是客体而永远不会成为主体。
(三)数据保护主体的认定与排除
如前所述,数据保护的主体以其职责权限分为数据来源者、数据处理者、数据资源持有者、数据产品经营者,但在目前主要适用《反不正当竞争法》第2条来规制数据竞争行为的司法审判中,却是搁置多重的数据保护主体之间的权属争议,以“数据权益”的名义满足数据保护主体的诉求。如在“淘宝诉美景案”“腾讯诉搜道案”“微播(抖音)诉刷宝案”等有关数据保护的典型判例中,法院对数据保护的主体只是区分了数据来源者,而没有再区分数据处理者、数据资源持有者、数据产品经营者,把争议焦点或判断重点放在了数据保护的主体是否适格上,主要认定数据保护的主体收集、使用数据的行为是否正当合法,并形成四个判断标准:(1)是否告知数据来源者有关数据收集的情况;(2)是否取得数据来源者的授权;(3)数据收集行为本身是否合法;(4)数据使用行为本身是否合法。
2022年11月国家知识产权局办公室印发通知确定北京市、上海市、江苏省、浙江省、福建省、山东省、广东省、深圳市8个地方开展数据知识产权工作试点,目前已有部分地方公布了关于数据有关权益登记的规范性文件。根据《深圳市数据产权登记管理暂行办法》第7条和第8条的规定,数据保护的主体依照法律法规和合同约定享有相应的数据资源持有权、数据加工使用权和数据产品经营权,负有保护公共利益、数据安全和数据来源者合法权益的义务。北京市知识产权局、北京市经济和信息化局、北京市商务局、北京市人民检察院《北京市数据知识产权登记管理办法(试行)》(2023年5月30日公布)第6条规定:“数据知识产权登记主体,是指依据法律法规规定或者合同约定持有或者处理数据的主体,包括进行数据收集、存储、使用、加工、传输、提供、公开等行为的自然人、法人或者非法人组织。”根据《浙江省数据知识产权登记办法(试行)》第2条的规定,数据保护的主体应当是依法依规处理数据的单位或个人,其数据处理活动应当符合相关法律法规规定,不得危害国家安全、损害公共利益、侵犯个人隐私等他人合法权益。由此,数据保护的主体包括数据处理者、数据资源持有者、数据产品经营者,而不包括数据来源者,其适格的前提条件是依照法律法规和合同约定处理、持有、经营数据,不得损害国家安全、社会公共利益、包括数据来源者在内的个人合法权益。
如前所述,数据保护的主体局限于“人类”的范畴,只有“人类”处理的数据才能得到法律的保护;“人类”以外的事物应当排除在数据保护的主体之外,其处理的数据属于国家、社会、他人共享的“公共数据”的范畴。但是,如果有人将“人类”以外的事物所处理的数据占为己有甚至将其有关权益登记在自己名下,并对该数据及其衍生产品进行控制、使用、收益、处分,那么无疑损害了国家、社会、他人利益,对此如何救济呢?当然,“人类”以外的事物不能成为数据保护主体或其处理的数据不能得到法律保护是“应然状态”,有人将“人类”以外的事物所处理的数据占为己有从而使该数据得到法律保护是“实然状态”,两者之间的区分是正常现象且具有合理性,类似于法律事实与客观事实的不一致,但不能以此为由而将“人类”以外的事物认定为数据保护的主体。对于这样的行为、情形或问题,最简单、直接的救济或解决办法是,申请撤销对“人类”以外的事物所处理的数据占有及其有关权益登记,追究将“人类”以外的事物所处理的数据占为己有之人相应的法律责任。
四、效力边界:数据保护的权益及其限制
数据保护的权益包括数据来源者权、数据处理(加工使用)权、数据资源持有权、数据产品经营权,除了区分公共数据、企业数据、个人数据而进行分类分级确权授权以外,应当限定只保护数据法律行为,包括:经过权利人许可,具有营利性,不得与在先权益相冲突,不得损害国家、社会、他人利益,不得阻碍他人合理使用与善意使用。
(一)数据保护的权益
对应于数据来源者、数据处理者、数据资源持有者、数据产品经营者等数据保护的主体,数据保护的权益包括数据来源者权、数据处理权、数据资源持有权、数据产品经营权。参照前文关于数据保护主体的有关论述,所谓“数据来源者权”,是指数据来源者依照法律规定或合同约定享有的知情同意、获取、复制、转移由其促成产生数据的权益。所谓“数据处理权”,是指数据处理者依照法律规定或合同约定享有的对数据进行处理的权益。所谓“数据资源持有权”,是指数据资源持有者依照法律规定或合同约定享有的对数据资源进行控制、使用、收益和依法处分的权益。所谓“数据产品经营权”,是指数据产品经营者依照法律规定或合同约定享有的对数据产品进行占有、使用、收益和依法处分的权益。
如同数据保护的主体一样,以上这些数据保护的权益中,数据处理权、数据资源持有权、数据产品经营权三者之间存在交叉的情况,数据来源者权、数据处理权、数据资源持有权三者之间存在平衡的问题。首先,数据处理权与数据资源持有权都有收集、存储、使用、加工的权能或权项,数据处理权与数据产品经营权都有使用、加工、提供的权能或权项,数据资源持有权与数据产品经营权都有控制、加工、使用、收益和依法处分的权能或权项。其次,数据处理权、数据资源持有权不得与在先的数据来源者权相冲突,同时数据来源者权不得限制甚至禁止数据处理、持有的自由。另外,对数据处理权、数据资源持有权加以限制,可以在保证数据处理、持有自由的同时,促进数据的流通利用,保持数据的可获取性。
如前所述,数据以保护主体为标准分为公共数据、企业数据、个人数据,相应数据保护的权益也应当区分公共数据、企业数据、个人数据而进行分类分级确权授权。公共数据强调汇聚共享、开放开发,强化统筹授权使用和管理,并严格管控未依法依规公开的原始公共数据,由此公共数据保护的权益主要包括数据处理权、数据资源持有权。企业数据强调合理回报、供给激励,要求市场主体依法依规持有、使用、获取收益,由此企业数据保护的权益主要包括数据处理权、数据资源持有权、数据产品经营权。个人数据强调规范处理、合理利用,要求数据处理者按照个人授权范围依法依规采集、持有、托管和使用,并由受托者代表个人利益监督市场主体对个人信息数据进行采集、加工、使用,由此个人数据保护的权益主要包括数据来源者权、数据处理权、数据资源持有权。
对于数据保护的权益,很多学者提出了自己的意见。吴汉东认为,数据保护的权益属于信息产权或广义的知识产权的范畴,是一种由数据制作者权和数据使用者权构成的二元结构权益,其中数据制作者权的具体权项包括控制权、开发权、利用权、禁止权,数据使用者权的具体权项包括访问权、携带权,由此将数据保护的权益纳入知识产权的范畴。张新宝认为,数据保护的权益是一种独立于物权、知识产权的新型财产权,具有利用、收益、占有、处分的全部权能,由此将数据保护的权益与物权、知识产权并列。申卫星认为,数据保护的权益应当独立赋权,建立数据所有权和数据用益权“两权分立”模式,其中数据用益权主要包括数据控制权、数据开发权、数据许可权、数据转让权等,由此将数据保护的权益两分为数据所有权和数据用益权。
(二)数据保护的限制
如前所述,数据保护的权益涵盖占有、使用、收益、处分的全部权能,涉及数据保护的主体以及国家、社会、他人的多方利益,为此有必要对数据保护的权益加以限制,只保护法律意义上的数据行为,简称为“数据法律行为”。其中,“法律意义”主要体现在两个方面:一是积极意义,包括经过权利人许可、具有营利性;二是消极意义,包括不得与在先权益相冲突,不得损害国家、社会、他人利益,不得阻碍他人合理使用与善意使用。“数据行为”包括处理、持有、经营数据的行为,分别对应于数据保护主体中数据来源者、数据处理者、数据资源持有者、数据产品经营者,以及数据保护权益中的数据来源者权、数据处理权、数据资源持有权、数据产品经营权。
数据法律行为必须经过权利人许可。数据法律行为的使用包括数据保护的主体自己使用和他人使用,其中他人使用又分为数据保护主体的自愿许可、法律规定的合理使用和法定许可、行政机关依法给予的强制许可。所谓“数据保护主体的自愿许可”,有独占许可、排他许可、普通许可等多种方式,可以采用诸如用户协议、爬虫(Robots)协议、白名单、声明等灵活多样的合同形式。所谓“法律规定的合理使用和法定许可”,参照知识产权法尤其是著作权法的相应规定,可以分为不经权利人许可使用也不向权利人支付报酬的合理使用,以及不经权利人许可但须向权利人支付报酬的法定许可使用,分别针对已公开数据的非营利性使用和营利性使用。所谓“行政机关依法给予的强制许可”,须具备诸如为了公序良俗、公共利益等法定条件,并须经过法定程序、履行法定手续。
数据法律行为必须具有营利性。非营利性的数据获取、处理、持有行为,不会损害数据保护主体的利益,因而不为法律所禁止。营利性的数据获取、处理、持有、经营行为,可以从正反两个方面来判断。从正面看其是否具有营利性目的,包括直接的、间接的、潜在的经济利益或竞争优势等;从反面看其是否为非营利性使用,包括以私人方式以及在公务、教学、科研中使用,都不应为法律所禁止。其中,以私人方式使用,主要是指因私人学习、研究需要而获取、处理、持有数据,不包括数据经营行为。在公务中使用,主要是指立法、司法和行政机关为公共管理活动需要而获取、处理、持有数据,也不包括数据经营行为,且不影响权益人对数据行为的正常使用。
数据法律行为不得与在先权益相冲突,不得损害国家、社会、他人利益。如前所述,数据与知识产权的客体之间存在交叉,因而数据法律行为可能与知识产权法意义上的使用行为发生冲突。此外,我国已经颁行《个人信息保护法》《数据安全法》,在先保护了个人信息权益以及数据有关的国家主权、安全和发展利益,数据法律行为可能与之发生冲突,因而损害国家、社会、他人利益。权益冲突最基本的解决原则是保护在先权益,数据法律行为与在先取得的知识产权、个人信息权益以及国家主权、安全和发展利益之间的冲突也不应例外。但是,保护在先权益并不意味着否定在后权益,当发生权益冲突的数据与在先权益客体有相同之处但不完全相同(如数据与其所包含的知识产权、个人信息)时,应当允许数据保护的权益与在先权益共存,但数据法律行为不得损害在先权益且经在先权益人同意。
数据法律行为不得阻碍他人合理使用与善意使用。这里的“合理使用”,包括法律规定的无须权利人许可也不向权利人支付报酬的合理使用和无须权利人许可但须向权利人支付报酬的法定许可使用,亦指以私人方式以及在公务、教学、科研中使用的非营利性获取、处理、持有数据的行为。参照我国《专利法》《商标法》和《著作权法》的有关规定,这里的“善意使用”是指数据保护主体以外的他人基于善意而处理、持有、经营数据,可以完全不承担或不完全承担侵权责任。“善意使用”的制度目的:一是为了避免数据保护主体以外的他人在后善意处理、持有、经营数据遭受新的不当侵害,二是为了避免数据保护的主体获得多重赔偿而形成新的不当得利。“善意使用”的构成要件:一是数据保护主体以外的他人不知道其处理、持有、经营的数据存在侵权,二是数据保护主体以外的他人处理、持有、经营的数据来源合法,三是数据保护主体以外的他人就其处理、持有、经营的数据支付了合理对价。
五、边界确认:数据保护的立法和执法
有关数据保护的现有立法、司法审判和行政执法中,对于数据保护的客体、主体、效力边界要求的体现不到位,有必要以《数据安全法》为基础统一立法,并由国家知识产权局和国家数据局联合制定和颁行数据保护的行政执法办法。
(一)数据保护的立法
总结前文关于数据保护的客体、主体、效力边界的观点,数据保护的客体应当具备合法性和价值性,而不应局限于企业数据、衍生数据、集合数据、未公开数据。数据保护的主体则局限于“人类”,而不能是“人类”以外的事物。数据保护的权益仅及于数据法律行为,而不包括非法律意义上的数据行为。要使这些观点付诸实现,就应当在相应立法中予以体现和确认。
有关数据保护的现有立法,主要有2021年1月1日起施行的《民法典》、2021年9月1日起施行的《数据安全法》、2021年11月1日起施行的《个人信息保护法》、2018年1月1日起施行的《反不正当竞争法》。作为数据保护的基本法,《民法典》第127条规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,体现了对数据保护的客体应当具备合法性的要求。第2条规定“民法调整平等主体的自然人、法人和非法人组织之间的人身关系和财产关系”,体现了对数据保护的主体局限于“人类”的要求。第8条规定“民事主体从事民事活动,不得违反法律,不得违背公序良俗”,体现了限制性要求。第111条规定“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,体现了对数据保护的权益仅及于数据法律行为的要求。
作为数据保护的综合法,《数据安全法》第1条规定,“为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法”,将该法确立为一部综合性的数据保护法。第3条规定了数据、数据处理、数据安全的定义,其中,第3款规定“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”,体现了对数据保护的客体应当具备合法性的要求。第8条规定“开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益”。第27条第1款规定“开展数据处理活动应当依照法律、法规的规定,……”,第32条第1款规定“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据”,体现了对数据保护的权益仅及于数据法律行为的要求。
作为个人数据保护的专门法,《个人信息保护法》第2条规定“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”,体现了对数据保护的主体局限于“人类”的要求。第5条规定“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息”,第10条规定“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动”,第13条第1款规定“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意……”,第17条第1款规定“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项……”,第21条第3款规定“未经个人信息处理者同意,受托人不得转委托他人处理个人信息”,体现了对数据保护的权益仅及于数据法律行为的要求。
作为数据保护的兜底法,2019年《反不正当竞争法》第2条第3款规定“本法所称的经营者,是指从事商品生产、经营或者提供服务……的自然人、法人和非法人组织”,体现了对数据保护的主体局限于“人类”的要求。第2条第1款规定“经营者在生产经营活动中,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德”,第2条第2款规定“本法所称的不正当竞争行为,是指经营者在生产经营活动中,违反本法规定,扰乱市场竞争秩序,损害其他经营者或者消费者的合法权益的行为”,体现了对数据保护的权益仅及于数据法律行为的要求。
尽管如此,以上这些有关数据保护的现有立法条款中,《民法典》《数据安全法》的有关条款比较原则和抽象,欠缺可操作性,需要进一步明确化、具体化。《个人信息保护法》《反不正当竞争法》的有关条款对于数据保护的客体、主体、效力边界的要求体现得不够全面、明确,具体表现在:对于数据保护的客体应当具备合法性、价值性的要求体现得不够全面,尤其是没有体现数据保护的客体应当具备价值性的要求;对于数据保护的主体局限于“人类”的要求体现得不够明确,尤其是没有明确排除“人类”以外的事物;对于数据保护的权益仅及于数据法律行为的要求体现得不够全面,尤其是没有体现具有营利性、不得与在先权益相冲突以及不得阻碍他人合理使用与善意使用,因而需要进一步补充、完善。
《反法修订草案征求意见稿》第18条对数据保护的客体、主体、效力边界作出了比较全面的规定,其中:数据保护的客体要求具备合法性、价值性,但此外还要求数据保护的客体“采取相应技术管理措施”,即未公开;数据保护的主体限于经营者,即从事商品生产、经营或者提供服务的自然人、法人和非法人组织,但未涵盖经营者以外的其他自然人、法人和非法人组织,也未明确排除“人类”以外的事物;数据保护的权益及于获取、使用数据的不正当竞争行为,具有营利性,但没有涵盖持有、经营数据的行为,也没有排除与在先权益相冲突和不得阻碍他人合理使用与善意使用的行为,因而仍需要进一步修改、明确与补充。
总之,对于数据保护的客体、主体、效力边界要求的现有立法条款,存在诸多不全面、不明确、不正确、不可操作之处,而且比较散乱,有必要统一立法。建议以《数据安全法》为基础,将之扩展、改造为“数据保护法”(也可以保留原名不变),可以兼采赋权模式与行为规制模式之所长(避免在两者之间选择),充分体现《数据二十条》和数据保护的客体、主体、效力边界要求,有效解决数据保护的司法审判中法律适用的有关问题。
(二)数据保护的执法
数据保护的执法分为司法审判和行政执法。目前有关数据保护的司法审判中,主要适用的《反不正当竞争法》第2条只体现了对数据保护的主体局限于“人类”的要求和对数据保护的权益仅及于数据法律行为的要求,而没有体现对数据保护的客体应当具有合法性、价值性的要求。但是,“淘宝诉美景案”“腾讯诉搜道案”“微播(抖音)诉刷宝案”等有关案例的判决,却更多体现了对数据保护的客体应当具有合法性和价值性的要求。其中,合法性主要审查认定数据保护客体的收集、使用是否正当合法,价值性主要审查认定数据保护的客体能否带来商业利益。至于对数据保护的主体局限于“人类”的要求和对数据保护的权益仅及于数据法律行为的要求,主要体现为审查认定数据保护的主体收集、使用数据的行为是否正当合法,实质上体现的是对数据保护的客体应当具有合法性的要求。由此可见,至少在数据保护上,《反不正当竞争法》第2条的规定和适用之间存在偏差。如果在有关数据保护的案件审判中,要求法官全面体现对数据保护的客体、主体、效力边界的要求,既审查认定数据保护的客体是否具有合法性和价值性,又审查认定数据保护的主体是否局限于“人类”,还审查认定数据保护的权益是否仅及于数据法律行为,更有利于实现事实查明全面、案件审理规范、裁判尺度统一。但是,我国毕竟不是判例法国家,典型案例、指导案例只能作为参考而不能直接适用,数据保护的法律适用问题仍需通过现有立法的修改完善才能得到有效解决,这也正是《反法修订草案征求意见稿》增设数据专门条款的主要原因,尽管数据专门条款的增设本身存在争议、条款内容也不完善。
目前有关数据保护的行政执法,主要有深圳市、浙江省、北京市等地方于2023年先后公布的关于数据有关权益登记的规范性文件。《深圳市数据产权登记管理暂行办法》《北京市数据知识产权登记管理办法(试行)》《浙江省数据知识产权登记办法(试行)》三个规范性文件,对于数据保护的主体基本上都提出了局限于“人类”的要求,但都没有明确排除“人类”以外的事物;对于数据保护的客体基本上都提出了合法性和价值性的要求,但有的又附加诸如智力成果、未公开等要求;对于数据保护的权益基本上都提出了不得与在先权益相冲突的要求,但都没有提出具有营利性、不得阻碍他人合理使用与善意使用、经过权利人许可、不得损害国家、社会、他人利益的要求。另外,这三个规范性文件都规定,数据有关权益的登记机构或平台对于登记对象只进行形式审查而不进行实质审查。由此,按照这些规范性文件所登记的数据有关权益,只能作为数据权属的初步证据,如果有人对数据权属提出异议,包括否认数据保护的主体是“人类”或者指出数据保护的主体是“人类”以外的事物,则数据保护的主体还须提供其他能够证明数据权属和其为数据保护主体的证据;至于数据保护的客体即数据是否具有合法性和价值性,数据保护的权益是否与在先权益相冲突,由于不进行实质审查,因而数据有关权益登记不能作为这两个方面的初步证据。鉴于这些关于数据有关权益登记的规范性文件条款内容不统一,对于数据保护的客体、主体、效力边界要求体现不到位,按照这些规范性文件所进行的数据有关权益登记效力有限,有必要由国家知识产权局和国家数据局联合制定和颁行部门规章——包括数据有关权益登记在内的数据保护行政执法办法。
结语:数据保护的前景展望
20世纪80年代中后期,郑成思先生曾经引入和全面论述了信息产权(Information Property)的概念。“信息产权”最初由澳大利亚学者、律师彭德尔顿先生于1984年在其《香港工业和知识产权法》一书中提出并作了初步阐述。郑成思先生于1987年12月在其《计算机、软件与数据库的法律保护》一书中作了全面论述、于1988年3月在《知识产权与信息产权》一文中进一步展开分析。郑成思先生认为,信息产权是传统知识产权的拓展,其客体包括不属于传统知识产权的科学发现、商业秘密、民间文学、数据等信息,传统知识产权至少具有无形性、专有性、地域性、公开性、法定时间性、可复制性六个特点,而科学发现、商业秘密、民间文学、数据等信息不完全具备这六个特点,其中科学发现不具有法定时间性,商业秘密不具有专有性、地域性、公开性、法定时间性。
但是,信息产权的概念无论在国际、国内还是其他国家一直没有真正建立起来,商业秘密、民间文学也被世界知识产权组织和绝大多数国家、国际条约纳入了知识产权的客体范围。基于此,目前我国尚未制定和颁行知识产权基本法,可以考虑将知识产权的概念扩展到信息产权的范畴,即建立起涵盖传统知识产权以及科学发现、商业秘密、民间文学、数据等信息的广义的知识产权的概念。广义的知识产权客体包括:(1)现有的知识产权客体——人类的创新性智力活动成果,主要有属于传统知识产权客体的作品、发明创造(含发明、实用新型、外观设计)、商业标识(含商标和地理标志)、集成电路布图设计、植物新品种以及商业秘密(含保密商务信息)、民间文学;(2)人类的创新性智力活动成果以外的,由人类处理的,具备合法性和价值性的数据;(3)人类的创新性智力活动成果、数据以外的、由人类处理的其他信息。其中,“由人类处理”简称为“属人性”,应当是广义的知识产权客体共有的法律特征或保护条件,由此数据的保护条件变为“三性”:合法性、价值性、属人性。
数据保护是大势所趋,知识产权扩展也是大势所趋,将数据纳入广义的知识产权范畴既符合大势,又有利于研究和建立数据保护有关的具体制度。数据是否保护(必要性)现已不成问题,亟待研究解决的是如何保护(可行性),即具体制度问题。审视法学界有关数据保护的研究成果,民法学者更多地从理论或学说、属性或特征、权能或权项的角度进行研究,而知识产权学者则更多地从条件、效力、限制的角度进行研究。从有关数据保护的实践来看,司法审判中除了主要适用《反不正当竞争法》第2条以外,还将数据作为作品、邻接权的客体、商业秘密进行保护;行政执法中如前所述,国家知识产权局已经在北京市、上海市、江苏省、浙江省、福建省、山东省、广东省、深圳市8个地方试点开展数据知识产权工作,北京市、浙江省等地方已经出台关于数据知识产权登记的规范性文件。鉴于信息、数据、知识产权之间的密切关系,将数据放在知识产权法律体系中研究建立各项具体制度相对更加适宜。
管荣齐:法学博士,天津大学知识产权法研究基地研究员、博士研究生导师
↓↓了解更多资讯,请识别下方二维码↓↓
国脉集团是数据资产化先锋企业,主要提供培训、咨询和产品设计服务。为数据资源拥有者提供专业、规范、合规的全流程资产化服务,提升机构数据管理服务能力,实现数据资源价值最大化。运用最先进的培训理念方法和平台工具提供高绩效培训服务。研发“一头一体两翼”企业数据资产化咨询服务方法论,提升数据资产化战略设计、就绪度评估与咨询、入表和产品化全流程咨询服务。基于战略思维和实操需求研发“易”系列产品,并与数源方合作研发系列数据产品。 主要课程包括数据资产入表、数据经纪人、公共数据运营和政府CDO、数据精品等精品课程。 主要产品:数据易投、数据易贷、数据易保、数据易售。