再論企業數據保護的財產權化路徑

龍衛球

內容摘要：企業是推動支持當前數據經濟發展的中堅力量。企業積極投入大量技術、資金和人力成本，是大數據得以形成和運營的關鍵前提。但是，企業投入數據經濟的意愿和努力，最終取決于企業數據能否得到充分、合理和有效的法律保護。目前，從私法保護角度來說，企業數據保護走出借用傳統法律的策略轉向數據新型財產權化新機制，時所必然、事所必然。但是應該注意，企業數據保護在承載企業追求經濟化的功能的同時，具有多重功能的聚合性和所涉利益關系的交織性，這些導致企業數據財產權保護路徑的設計非常復雜。它形式上雖然采取私權形式，但與民法上典型的財產權不同，需要兼顧多種功能、多種利益協同的保障要求，因此無法采取簡單意義的財產權構造，而是需要呈現為一種具有極強外部協同性的復雜財產權設計。在這個意義上，雖然具有權利之名，但實際包含了極為復雜的法律秩序安排；與采取私權形式的知識產權機制，以及沒有采取私權形式的企業競爭保護機制有一定相似之處，但功能和結構更加繁復。

關鍵詞：企業數據保護財產權化路徑數據功能聚合數據財產權數據關聯利益

一、企業數據保護實踐與法律瓶頸現象

隨著科技產業不斷變革特別是大數據技術的不斷發展，數據經濟由此日益興盛，而數據資源化成為所謂的“新石油”。〔1 〕我國出臺的大數據戰略也提出要構建以數據為關鍵要素的數字經濟。但是，數據本身不是自動生成的，而是靠政府、企業、社會、個人各方面合力形成的。其中，企業是推動支持數據發展的中堅力量。隨著信息科技的日新月異，越來越多的企業具備了收集、處理、分析原始數據的能力，有的甚至發展了創造全新的具有價值的數據集合（比如數據庫、大數據）的技術能力。日常生產生活中不斷產生的各種信息被收集、記錄并轉為數據以各種形式存儲下來并且不斷轉化成經濟動能，以此推動實體經濟與數字經濟的融合。

企業支持數據發展的意愿和努力，最終取決于企業數據能否得到充分、合理和有效的法律保護，特別是私法保護。企業在數據利益的驅動下，投入了大量的資本和人力資源，不斷開發和改進數據技術，不斷改進數據生產、收集和分析方法，不斷完善各項數據活動、理順各種數據關系，從而達成數據繁榮和經濟高效化。其中，有的企業是利用大數據技術解決企業自身問題，提高決策的準確性；還有一些企業則逐漸認識到大數據技術相關的數據集合中的交換價值，將數據集合作為交易對象。但是不論是何種情形，企業數據保護問題都顯得越來越為重要和迫切。現實中，企業數據糾紛不斷出現，近期甚至有噴涌之勢，涉及復制、竊取、侵入甚至爭奪等；有些甚至發生在超大公司之間。例如，2017年6月發生的順豐宣布關停菜鳥數據事件、〔2 〕2017年8月間華為和騰訊之間因前者發布榮耀Magic手機而引發的關于用戶數據之爭。〔3 〕這些數據糾紛不僅對數據企業帶來損害和挫傷，也對我國數據市場和社會秩序產生巨大動蕩。

企業數據保護問題正在作為一個全新的具有獨立意義的全新問題呈現出來，應該及時為之進行法律創制。遺憾的是，關于企業數據保護存在嚴重的法律瓶頸現象。一方面，企業數據保護新法尚未有效創制。目前相關數據糾紛和事件總的來說，主要還是從既有法律體系中尋求方案加以解決，最為經常的做法是通過合同法、知識產權法和反不正當競爭法的相關路徑加以解決。另一方面，企業數據保護與既有法律保護制度所面向的問題存在根本差異。這些既有的法律體系本身并非為企業數據問題而設，有著自己特定的立法語境和功能，因此用其來處理企業數據問題不免具有某種間距性。這就導致企業數據保護問題通過現存法律保護秩序加以化解，難以令人滿意。

例如，數據合同法路徑救濟的前提是相互之間存在預先的合同安排，但是我們發現這種合同安排無論如何周密也只是一種債的保護，本身不具有排他性，根本不能用來對付來自第三人的數據加害，而在現實中數據加害往往就是來自企業數據合同關系之外的第三人侵入或者非法利用。又例如，知識產權法和反不正當競爭法路徑與合同法路徑雖然有所不同，在對于相應利益的保護上具有排他效力，但是通過分析可以發現其在適用條件和效果上與日益發展中的數據保護要求仍然并不具有對應關系。〔4 〕結果，由于缺乏有效法律手段，一些企業在面對重大數據紛爭時，往往只好采取自己私了或者求助主管部門的辦法，前述順豐菜鳥數據事件、華為和騰訊用戶數據之爭就是這樣的例子。實踐中，不少企業因此走向了通過提升技術和管理手段來保護數據的自救道路，但是這為企業數據經營帶來巨大成本，同時也可能給數據開發和應用帶來意想不到的障礙或陷阱。

當然，也有部分當事人和法院開始試圖在現有法律體系里面尋求有所超越的方式。2017年以來，司法實踐的一種新趨勢就是試圖激活《反不正當競爭法》第2條的一般條款中的“合法權益”，以抽象的不正當競爭行為名義，對于非法侵入、使用企業數據等行為加以排除和進行救濟。在一些案件，甚至直接以企業對其數據是否存在投入作為給予保護與否的前提。例如，在北京陽光數據公司訴上海霸才數據信息有限公司技術合同糾紛案中，法院認定原告對于訴爭金融數據庫付出了大量投資，因此應獲得保護；〔5 〕在上海鋼聯電子商務有限公司訴上海縱橫今日鋼鐵電子商務有限公司、上海拓迪電子商務有限公司的不正當競爭糾紛案件中，上海市第二中級人民法院同樣判定原告對其投入了大量人力、物力、財力和時間搜集編匯的鋼鐵價格數據信息具有合法權益。〔6 〕這種做法非常接近于為企業就其合法形成的數據確立一種新的排他性財產權。〔7 〕不過，這些案件名義上仍然限于反不正當競爭范疇，是借助一般條款對于《反不正當競爭法》的擴用，本質上未超出反不正當競爭的功能框架，并不具有完全有效的針對性，因此不足以回應企業數據如何獲得充分保護的問題。

二、企業數據保護的財產權化路徑的確立

筆者在2015年年底開始，提出通過立法為企業確立數據新型財產權以此保護企業數據的思路。〔8 〕當今推動經濟結構優化，促進數字經濟發展目前最重要的手段，是將數據采集、傳輸、存儲、處理等信息設備不斷融入傳統產業的生產、銷售、流通、服務等各個環節。〔9 〕這些手段可以直觀地分為兩部分：原初數據和企業機構采集、加工、處理、利用數據。從整個社會經濟發展角度出發，不但需要鼓勵個人用戶積極提供數據，還需要企業積極收集利用數據。如果僅賦予個人信息權（個人信息的財產權和人格權），比如歐盟GDPR中所列明的知情權、拒絕權、被遺忘權等，那么那些為準確利用數據投入了巨大資源的企業機構就會喪失積極性，不僅不符合勞動原理，〔10 〕更不符合數據經濟規律。為此，筆者的初步構想是：數據經濟發展時勢所趨，數據保護應當順應數據經濟的規律性，不能靜態地片面強調個人信息保護，而是應該將個人信息保護與企業數據保護統一起來進行合理平衡，既要保護個人信息，又要保護企業數據利益。因此，應當針對數據經濟發展的動態過程性和包含的主要利益關系區分個人信息和數據資產，按照數據階段分別構建自然人的關于個人信息的權利和企業的關于數據的權利，其中后者統稱為企業新型數據財產權，具體包括數據資產權和數據經營權兩種形態，兩者之間形成一種過程平衡關系。從數據經濟開展的規律來看，企業數據財產權在功能上可以為企業數據活動的投入和合理進行提供最基本的動力和保障。按照這種設計，企業的數據財產權成為企業對其數據的直接保護依據：企業通過法律對其數據產品的這種賦權，直接獲得保護其數據的一種全新的獨立的合法根據。〔11 〕

這種企業數據財產權設計與知識產權比較，有許多相似之處，都是權利形態，特別是在基于經濟化而最終得以財產權化的形成條件這個點上極為相似。企業數據權主體在自身經濟動力促動下制作了具有特定化的數據產品，知識產權主體也是在自身動力（不完全是經濟動力，但經濟動力非常關鍵）作用下促進了特殊智力成果的創造；企業數據財產權設計與企業競爭保護比較，相似但存在一些關鍵差別，相似在于企業也是基于自身經濟動力不斷提升競爭能力，但是差異在于企業競爭沒有權利化，企業競爭能力沒有形成所謂“競爭權”。因為它只是一種抽象的能力，沒有定格為某種可特定化之物（例如數據、智力成果），而是體現為企業經營條件、環境和水平等的比較優勢。不過，企業競爭能力作為企業成功經營的條件，可以視為企業廣義財富的一部分，所以雖然不適合財產權化，但是仍然被設定為一種具有排他性的特殊利益架構——企業正當競爭利益或秩序。

歐盟學術界，自20世紀90年代就有人關注數據財產化問題。1999年，美國的萊斯格教授最早提出了數據財產化理論，認為應該授予數據主體（個人）數據所有權，確定個人對于自身數據的財產權利。〔12 〕美國企業界一直都有發展保護企業數據權的呼聲，并且試圖推動立法。遺憾的是，美國聯邦立法權力有限，特別是以制定法方式創制財產權的機會幾乎微乎其微，但是仍然數次提議立法賦予數據制作者以財產權，結果自然不免受挫。但是美國統一州法全國委員會于1999年7月通過一部《統一計算機信息交易法》，并向各州推薦采納，成功地明確了信息財產是一種獨立的民事法律關系的客體，遺憾的是目前只有兩州采納。〔13 〕2004年，斯瓦茨教授在萊斯格教授理論的基礎上，對個人數據財產化理論進行了進一步的闡釋。他認為，首先需要給予數據主體授權的權利，即數據主體有權同意企業利用處理其數據，同時對應還要有“退出”的權利，其次還需要給予數據主體反對其已授權處理的數據被第三方進一步利用的權利。〔14 〕歐盟2018年正式實施的《一般數據保護條例》，實質上將斯瓦茨教授的理論具現化。〔15 〕這些為企業數據活動便利打開關系平衡的大門，即允許企業通過數據主體的“同意”而收集和經營數據。遺憾的是，這些理論主張雖然都正視了數據的經濟價值，但是都還沒有正視企業數據本身的相對獨立性和財產權化的重要意義。它們僅僅停留在考慮個人信息財產權化單向保護的層面，僅僅站在個人作為數據主體的財產地位角度予以配置，忽視了數據經營者（企業）應有的財產利益訴求，沒有再向企業數據財產權的確立走出關鍵一步。〔16 〕我國學術界一個階段以來也產生了數據權具有財產權屬性的觀點，但大都也是站在個人信息權利的角度作出構想。〔17 〕與此相應，到目前為止，包括我國在內的許多國家，針對信息技術發展導致的關于個人信息問題，出臺了不少關于個人信息保護的法律法規（例如我國《網絡安全法》第四章關于個人信息安全規定），形成了頗為嚴密的個人信息保護規則，對于個人信息包括財產利益在內進行了極大的確認和保護，但是都忽視了企業數據保護的相對獨立需求，出現了一邊重一邊輕的情況。當然，這種失衡的法律狀態到了實踐中往往會荒腔走板，企業為了數據經營和數據利益的需要總會想方設法地規避法律，這就導致了實際中個人信息保護知情同意原則不斷通過默示化等實踐機制而流于形式，可謂是兩頭落空。〔18 〕

值得關注的是，我國2017年3月15日出臺、10月1日生效的《民法總則》為數據保護財產權化思路提供了一個接近于筆者構思的規范架構。該法的民事權利一章第111條、第127條采取了個人信息和數據分置的做法。其中，第111條確立了自然人關于自己個人信息權益的基本內容；〔19 〕第127條規定了數據（含企業數據）和虛擬財產的保護問題。比較起來，第111條關于個人信息的規定較為實質、清晰；而第127條對于數據和虛擬財產的規定卻較為模糊，該條表述為，“法律對數據、網絡虛擬財產的保護有規定的，依照其規定”。解釋上可以認為，該條對法律要對數據（包括企業數據）和虛擬財產提供保護進行了表態，但對于具體如何保護卻未予實質化明確，而是交給了法律的另行規定。

那么，該條所說的保護，會不會就是筆者所提出的財產權化路徑呢？筆者認為，應該通過體系解釋進行詳細分析。該章整體上都是規定民事權利的，從這個角度來說，對于數據的保護屬于權利保護或者類似權利的保護應為體系之義。但是，從具體布局來看是否為財產權有些模糊：從第113條（確立財產權保護平等）開始到第125條看（民事主體依法享有股權和其他投資性權利），都屬于廣義財產權的規定，包括物權、債權、知識產權、繼承權和投資性權利；到了第126條，不再使用用財產權的表述，而是使用其他民事權益的說法（民事主體享有法律規定的其他民事權利和利益），緊接著就是我們討論的第127條；之后，便是第128條，關于弱勢群體的特殊權益保護規定（法律對未成年人、老年人、殘疾人、婦女、消費者等的民事權利保護有特別規定的，依照其規定）。那么，第127條所謂“保護”可以理解為何種保護呢？是第125條之前明確的財產化權利，還是126條的其他權利，抑或是第128條特殊權益？筆者認為，這里應該有一些區分性：第127條的所謂數據，可以區分企業數據和非企業數據如公共數據等，兩者在如何保護問題上有所差異。企業數據，鑒于其得以經濟資源化的特點，對其應采取財產權的方式進行保護，這樣合乎經濟原理；非企業數據特別是公共數據，雖然也應當確立法律保護，但不宜采取財產權路徑，根據其性質適于采取管理化路徑。〔20 〕

三、歐洲新興的數據庫特殊權利：數據財產權化的有限嘗試

歐盟早在1996年開始，提出了數據庫特殊權利的概念，試圖在知識產權框架外嘗試引入某種財產權化機制，以保護企業數據。基于歐盟范圍內各國對于著作權法保護的匯編作品之獨創性判斷標準不一，且目錄規則對于事實匯編作品的保護已經不足以支撐飛速發展的電子數據庫，為保護數據庫產業，發展歐盟范圍內的信息產業市場，歐盟于1996年提出了《關于數據庫法律保護的指令》（以下簡稱《指令》），用以直接保護因不符合獨創性標準無法受到著作權法保護的數據庫。《指令》第1條規定，數據制作者對其經系統或有序的安排，并可通過電子或其他手段單獨加以訪問的獨立的作品、數據或其他材料的集合，可以享有特殊權利的保護。〔21 〕具體而言，這是一種獨立意義的專有財產權，為期15年。〔22 〕這種權利的獲得無需以數據庫被認定為匯編作品為前提，〔23 〕只要數據庫制作人在內容收集、核準和提供等方面上有實質性投入，數據庫制作人就可以獲得這種特殊權利。其內容包括：權利人可以通過許可合同轉移、轉讓、授予他人；權利人還可以防止任何第三方對數據庫內容的全部或實質內容進行提取和再利用。〔24 〕在實踐中，數據庫的特殊權利不時被歐盟企業用來保護數據集合。

應該說，數據庫的特殊權利這種方式接近于將企業數據保護獨立權利化建構，至少擺脫了依據著作權的匯編作品保護路徑，僅以數據制作人有實質性投入為條件，并且具有對第三人實質提取和再利用的排除效力。但是這僅僅是企業數據保護獨立化路徑的開始，或多或少存在與著作權比對的成分，且很多理論上的問題并沒有在相關論證中明晰，基于數據庫的相關權利設計基礎仍然模糊，權利范圍也較為單薄。此外，歐盟對于數據庫權的適用范圍和標準本身還存在比較大的爭議。例如，《指令》明確規定了要獲得特殊權利保護，數據庫制作人應對與數據庫有實質性投入，實質性投入可以從數量和質量兩個方面來進行衡量，包括時間、金錢、人力等因素。但是在實踐中，歐洲法院（EJC）采用了副產品原則來區分對于創造和獲取數據的投入；為此，荷蘭胡根赫茨教授認為，根據副產品原則，只有直接對數據庫的產生進行投資才會產生數據庫權。〔25 〕據此，歐洲法院在BHB案中裁定，數據庫制作人的實質性的投資必須是針對在先存在的數據的收集與校正的，而不能是由數據庫制作人通過自身活動創造的。因為對于這類信息數據的投資主要是用于創造、制作信息數據本身，而不是用于收集、矯正此類信息數據。〔26 〕同時，歐盟也并未對于實質程度進行了有操作性的定量分析。因此，即便位于歐盟法域中，數據庫特殊權利也并非企業進行大數據保護的首選。

四、企業數據保護的功能聚合性與利益關系的交織性

企業數據財產權化保護路徑，盡管具有可行性和必要性，但是我們必須正視一個問題，企業數據保護問題作為信息科技發展和應用在今天所產生的新問題，具有自身獨立的訴求，但是從問題屬性上看非常復雜。從企業數據保護具有的功能和利益關系角度觀察，可以發現它具有很不同于典型財產權的復雜性，具體體現為保護功能的多重聚合性以及利益關系的繁復交織性。在這個意義上，企業數據可以財產權化，又不能單純財產權化。

（一）企業數據保護功能的多重聚合性

企業數據保護從功能上承載了數據企業對于數據的經濟追求，這是企業數據保護的元功能或者說肇始功能所在。沒有這種功能驅動，也就沒有企業數據本身。數據經濟的本質就是將信息發展為經濟要素，對其進行生產、理由和交換。企業數據化過程，是一個追求通過信息聚變形成經濟價值的過程，即將從簡單態的原初信息（包括個人信息）通過收集、加工聚變成為充滿經濟價值或者可以具有商品屬性的企業數據，進而再走向加以應用或交易的過程。可見，這種信息化轉變過程來源于企業有意識的數據資產化、經濟化的追求和努力。企業有意識制作數據，是為了利用或經營它而獲取利益。數據產業自20世紀80年代起開始發展起來，此后不斷迭代升級，其動力即在于此。這種數據對企業有意識的經濟追求的功能承載，直接成為企業數據保護及財產權化的必要性基礎。

但是企業數據保護的功能卻又不能限于這種企業自身的這種經濟追求。這是因為，企業數據保護在功能上具有多重聚合的特點。企業所能利用的數據，不止個人用戶數據或個人信息，還包括企業自身業務生成的數據、其他可以社會化、經濟化的公有領域數據，如礦產數據、天氣數據等；企業數據的產業應用，不僅在企業決策、定位廣告等企業生產、管理和商業領域，也在社會公共管理甚至承擔公共職能的領域不斷發展，如交通管控、風險預測、醫療保健、預防恐怖主義等。同時企業之間數據流通已經成為了全球化的產業，國際數據貿易、國內數據交易都已經成為了炙手可熱的領域。企業數據依據其事物本質或者應用領域，不僅僅只具有對于企業自身的經濟意義，它同時也承載著社會經濟、信息社會、公共管理以及信息安全等方面的意義，這些功能屬性不會因為企業數據個別財產化而消滅，相反它們始終聚合在一起不斷提出強大的實現和保全要求。

首先，企業數據保護同時承載社會經濟功能。隨著信息科技發展的大數據業態的發展，大數據不斷突顯重要戰略資源屬性，比之土地、礦產、空域、海洋乃至無線電等資源有過之而不及，導致其不能僅僅從單個企業主體的經濟功能去發揮效用，而是應當同時作為戰略資源發揮應有作用或者說社會經濟意義。在這個意義上而言，企業數據的私的經濟意義的發揮，不能妨礙企業數據在大數據時代作為戰略資源的社會經濟功能的作用，相反應該形成一種作用互動。

其次，企業數據保護同時承載信息社會功能。企業數據本質上是可社會化信息，它是可社會化的這才可以進入社會經濟利用。作為一條社會法則，我們對于那種可社會化的信息，原則上都有接觸的社會權利，禁止任何人包括企業以任何方式消減這種社會權利或功能。這就是信息社會功能，明白地說就是社會知情利益。對于企業來說，對于企業數據看重的是其在可社會化條件下的經濟功能。但是，企業數據不管怎么樣為企業自身經濟化，其作為可社會化信息的特點和意義不會消失，由此天然具有的信息社會功能也就必當如影附隨。所以，企業可以基于經濟意義在合法范圍占有、加工甚至應用價值，但是存在一個固然前提的限制，這就是既有的信息社會必須依舊保證暢通。

再次，企業數據保護應當兼顧公共管理功能。許多企業數據兼具公共管理意義，這種信息數據化之后，可以成為數據經濟的資源，同時也可以成為提升公共管理的資源。在這種情況下，企業數據保護應該兼顧公共管理功能。例如，交通信息數據產品，對于從事該產品開發的企業來說，這種產品是其營銷對象，但是對于城市交通部門來說則具有改進交通管理的功能。很多時候，這兩種功能是可以互通的不矛盾的甚至是相互促進的，但是有時候會存在不能兼容的情形或者環節。企業數據在發揮其自身經濟功能的同時，應當兼顧公共管理功能，發生沖突時，必要時則以重大公共利益優于個別經濟利益的原則處理兩者的關系。

最后，企業數據保護必須承載信息安全功能。數據的信息屬性告訴我們，其除了在社會經濟、信息社會、公共管理方面等方面具有積極功能之外，也可能具有一種重大的消極功能，這就是信息安全功能。對于許多方面來說，信息公開、使用是一種積極利益，但是對于另外一些方面來說，信息公開、使用卻可能是消極利益，對于個人、社會乃至國家的局部利益或者整體利益帶來不利、威脅甚至是毀滅。這種情況提示我們，企業數據保護存在信息安全功能問題。企業數據經濟功能發揮的同時，必須確保對于特定信息進行隱蔽、保密，使相關信息安全利益者處于安全狀態。企業數據的經濟化絕對不能以犧牲和妨礙這種信息安全為代價，必須每時每刻將這種安全放在經濟功能之上，在不能兼容時必須以信息安全為絕對優先。

（二）企業數據保護利益關系的交織性

企業數據的生產、持有和經營，首先是建立在企業對于數據的自身經濟利益的追求之上，因而企業自身數據經濟利益的形成、享有和實現，是企業數據中最核心的利益關系。但是，企業數據本身存在來源、運行經濟環境、保護功能聚合等復雜性，導致在企業作為制作者、加工者對于數據具有核心經濟利益的同時，同時還產生了其他多種利益相關性，進而形成了一種復雜的利益交織狀態。在這種利益交織狀態中，各種利益依據其性質和地位得到安排；企業數據的核心利益在得到保障實現的同時，有時也不斷被切割和限制，進而達成數據各種利益關系的平衡和合理化。

1.個人信息和隱私的利益

這是基于企業數據來源特殊性所形成的利益。數據經營者所處理利用的數據集合之主要構成部分就是可社會化的個人信息。鑒于企業為了追求自身經濟利益，可能毫無限制地收集、加工或使用個人或用戶信息，可能導致對于個人用戶信息利益的侵犯或損害，各國立法都積極出臺旨在企業數據化背景下保全個人信息和隱私利益的法律制度。其中，對于可以數據化的個人信息，給予了基本保護，對于其中涉及隱私利益的信息則是采用加強方式進行特別保護。

理論上，個人隱私信息中的絕對個人隱私也是個人信息的一部分，但是公法私法都將其隔離在可數據化之外，賦予其具有不可社會化的特點，來加以特別保護。立法上，甚至將個人隱私上升為憲法權利、基本人權。如美國1995年《關于隱私與信息高速公路建設的白皮書》，就將隱私區分為關于姓名和形象利益的隱私、關于私有財產的隱私、關于尊重他人不透露其個人信息的隱私等，前兩種隱私被賦予絕對不可數據化的屬性。我國《憲法》第40條規定了“中華人民共和國公民的通信自由和通信秘密受法律的保護”；有關司法解釋和現在的《民法總則》規定了自然人享有隱私權。這些從整體上可以推測出我國也確立了禁止通信秘密、具有絕對私密性的隱私不得社會化包括企業數據化的原則和界限。但是我們一些機構和企業家在實踐中似乎經常忽視絕對隱私的不可數據化的絕對保護問題。〔27 〕

我國2013年開始實施的首個個人信息保護國家標準——《信息安全技術公共與商用服務信息系統個人信息保護指南》，將個人信息分為一般信息與敏感信息，并規定對于個人一般信息的收集利用可以由主體默許同意，即信息主體不明確反對；而對敏感信息的收集利用則需要信息主體的明確授權。2016年11月出臺的《網絡安全法》第四章對于網絡用戶個人信息安全確立了保護原則和基本保護框架，但較為籠統，沒有清晰區分一般個人信息和隱私信息。2017年3月出臺的《民法總則》第117條關于個人信息的權利規定，確立了個人信息受法律保護的一般內容，但也同樣沒有細化區分一般個人信息和隱私信息。2018年，中央網絡安全和信息化領導小組辦公室等聯合發布了《信息安全技術：個人信息安全規范》（GB/T 35273-2017，簡稱《安全規范》），進一步規定了個人敏感信息的概念、類型和傳輸存儲的要求，按照約定目的、方法、范圍處理使用個人數據的要求，以及“除目的所必需外，使用個人信息時營銷處明確身份指向性，避免精確定位到特定個人”的要求。

我國以上法律法規和政策的要求，實際上可以理解為兩點：其一，我國可以數據化的個人信息分為非敏感信息和敏感信息，這里理解上敏感信息包括隱私信息，但應該只限于可以數據化的隱私，必須排除絕對隱私。結合我國《憲法》、《刑法》和《民法總則》等重要法律規定，體系上應該排除其中的通信秘密和絕對隱私（如關于姓名和形象利益的隱私、關于私有財產的隱私），這些不屬于可以數據化的隱私。〔28 〕其二，數據經營者在收集、使用個人信息時需要依照法律法規并經個人同意，但對于其中雖經個人同意可以數據化的敏感信息（非絕對私密的隱私），則應當采用數據脫敏、匿名化等技術才可以數據化。

我國司法實踐在維護個人隱私信息特別是絕對隱私方面存在差距。舉例來說，2013年5月，我國法院在國內首個關于cookie技術應用與隱私權保護的案例，即用戶訴百度公司隱私權糾紛一案中，作出終審判決，認為百度公司在設置默認同意機制下利用cookie技術為用戶提供個性化廣告推薦服務的行為并不構成對用戶隱私權的侵犯。〔29 〕網站會采用tracking cookies技術來采集用戶信息包括瀏覽數據等，用戶瀏覽該網站不同網頁使將想要的商品放入“購物車”，結算時網站就可以從相關cookies提取信息。這些由cookies提取的信息由于指向個人隱私利益，實際屬于敏感信息的范疇。歐美已經對cookies的使用進行限制，比如美國各大運營商均放棄用所謂不可刪除代碼技術來追蹤移動用戶的瀏覽習慣。不過，近期的“新浪微博訴脈脈反不正當競爭案”中，北京知識產權法院利用《反不正當競爭法》，在企業對第三人的關系上，間接維護了用戶對于敏感個人信息的利益。〔30 〕

2.基于企業數據的社會經濟利益

企業數據不僅是產生企業自身的數據經濟利益，本身在其享有、應用、交易的語境下也會因為數據化活動本身而影響特定經濟和社會秩序，從而涉及社會經濟利益特別是市場經濟秩序。

首先，基于數據的活動，可能影響市場經濟秩序，特別是影響公平競爭、公平交易和公平消費利益。企業基于數據應用，可能產生數據壟斷、數據濫用、數據歧視等問題，違反《反壟斷法》《反不正當競爭法》和《消費者權益法》，導致企業和競爭者、企業和消費者之間的利益沖突，損害競爭利益和消費者權益。這種情況與一般意義的反壟斷、反不正當競爭、消費者權益保護具有相當程度的重疊性。從規范角度來說，很多僅僅是適用問題，但是也存在不少特殊的地方，不能簡單適用反壟斷、反不正當競爭、消費者權益保護，而是需要針對數據場景加以具體化甚至特殊化規制。

最近國內外關于基于數據算法的壟斷、隱藏、歧視的例子，頻頻發生，暴露出這一事項上特殊立法的急迫需要。例如，Google公司Pagerank的數據壟斷事件。Google開設搜索引擎功能，其Pagerank算法使得用戶通過搜索產生的數據，可以被用來提升搜索體驗，還可以被用來判斷市場趨勢或者針對用戶興趣投放定位廣告或者預測流感蔓延趨勢等，從而提高用戶對Google搜索引擎的忠誠度。Google對Pagerank算法申請了專利，并利用這種數據專利形成數據壟斷，通過所產生的超大量數據來挖掘相關市場利益，即使該專利終止，也可憑借其對各類數據的多年的壟斷獲得比較利益，嚴重損害市場競爭和消費者利益，進而也損害大數據產業發展本身。〔31 〕又如，美國Step-Saver Data Sys.， Inc. v. Wyse Tech.一案，被告濫用拆封許可協議而形成過度保護。這種拆封許可協議聲明該許可協議屬于合同的一部分，拆開包裝即意味著接受了許可協議條款，放棄一切品質保證權。該案中，幸好法院以許可方未于訂立物質載體的買賣合同之時向被許可方披露拆封許可協議為由，最終拒絕承認拆封許可協議的效力。〔32 〕此外，實踐中不少數據合同交易的轉讓方往往以雙重搭配手法破壞交易公平。這些轉讓者以法律對數據保護不足為名，將數據交易拆分為許可交易+技術措施保留的雙重搭配方式，以備對許可協議風險進行自力救濟。這些技術保護措施，表現為企業作為權利人的訪問控制、識別作品、控制特定使用等。數據企業通過這種方式，往往可能獲得過當保護。一方面，此類數據許可合同多由許可方單方擬定，所以容易導致對市場弱勢地位的被許可方的壓制；另一方面，被結合使用的技術措施往往存在巨大的隱蔽性，容易淪為數據黑洞，導致歧視、不公平交易、壟斷等后果。

其次，基于數據的活動，可能影響其他社會經濟利益，例如勞動者利益等。根據現在的勞動法、社會保障法等法律，勞動者等享有勞動保障利益，社會經濟成員享有必要的社會保障利益，但是，企業數據經濟化的發展，也有可能使得這些特殊利益陷入困境。企業數據權利人的自利追求，容易和這些社會經濟利益發生不協調甚至沖突，因此需要注意平衡和維護。

最后，基于企業數據，可能影響社會經濟管理利益。大數據作為當今經濟戰略資源，體現著社會經濟資源利益的需求。對此，國家對于企業數據作為社會經濟戰略資源的一面，以戰略管理和宏觀調控的方式，建立了特殊的配置和限制要求，這些都是強制性的利益設定，對于企業數據的核心利益和其他利益關系構成限定。

3.基于企業數據的公共利益和安全利益

企業數據保護本身承載著功能的聚合性，其中公共功能都要體現為法律上的特殊公共利益保障。國家法律在相關法律體系格局中，面向這些功能的要求，設定了相應的更高層次的不同利益機制。例如，信息社會暢通、促進和改善公共管理、維護信息和數據安全功能、促進和保障國際協作等。它們成為企業數據利益交織關系中的組成部分，依據其功能地位不同發揮利益平衡或限制作用。

企業數據內部和外部關系中，必須明確這些公共利益的存在，并予以足夠的考量。一方面，數據制作者依據其數據財產權，可以享有由此帶來的經濟利益；另一方面，上述公共利益的尊重必須使之內化或者外加為數據財產權取得、享有和行使的必要條件或限制，從而構成一種制約。數據經營者在促進企業數據經營高效的目標下，進行數據收集、處理和應用等行為時，應當接受相應的管理要求，包括技術管理方面的要求，同時負擔與這些利益進行協同的義務，確保基于這些利益的保障要求，進而促進數字經濟穩步提升，保障大數據的公共安全，不斷提升國家信息社會建設和信息化管理能力。

五、企業數據財產權化的結構設計問題

（一）企業數據財產權化結構的復雜性

企業數據財產權保護路徑的設計非常復雜。企業數據承載功能的多重聚合性以及所涉利益關系的交織性，導致它的財產權設計與民法上典型的財產權不同，即無法采取純粹意義的財產權構造方式。它在形式上雖然采取私權形式，卻需要兼顧與多種功能和利益進行協同，因此必須呈現為一種具有極強協同性的復雜財產權形態。在這個意義上，企業數據財產權雖然具有權利之名，但其結構實為一種極為復雜的法律秩序安排。在這一點上，與采取私權形式的知識產權機制，以及沒有采取私權形式的企業競爭保護機制既相似，但更加復雜。

（二）企業數據財產權的私益結構

企業數據財產權采取權利名義，旨在安排一種鼓勵企業數據經濟化的私有結構，這種結構體現為企業自身的可支配性和排他占有性私益。有了這些數據私益，企業的數據動力得到有效支持，企業的付出和努力得到合理肯定，企業的經營機制和作用得到有效安排和促進。不過，這種私益結構本質上只是一種鼓勵技術，企業數據財產權設計的最終意義，在于通過這種權利私益結構的鼓勵作用，最終實現整體數據經濟的繁榮和福利的增進。這一點與知識產權和企業競爭利益的設計相似。也就是說都是以私權私利之名，行公權公利之實。〔33 〕

筆者的數據財產權化思路，總體包含數據經營權和數據資產權兩種賦權構想，其中數據資產權屬于最狹義的數據財產權。數據經營權，是企業對于數據得以經營的一種主體資格。基于這種資格，企業可以收集、加工、利用和交易數據。數據經營權有一般經營權和特殊經營權之分：一般經營權屬于普通領域，企業可自動取得；但特別經營權涉及數據經營管制問題，適用于特殊領域例如金融數據、醫療數據、司法數據、電信數據等，需要建立依法引入許可、特許制度。無論何種數據經營權的行使，本身都存在最低要求限制，這就是要合法經營及合法收集，在涉及收集作為數據來源的個人信息時，尤其存在諸多保護限制。數據經營者不能毫無限制地窮盡收集其所接觸到的全部個人數據，也不能將個人數據存儲任意期限，還需要在收到數據后進行去標識化的步驟。歐盟GDPR、我國相關法律（例如將于2018年5月1日開始正式實施全國信息安全標準化技術委員會歸口的《信息安全技術個人信息安全規范》）都規定了數據經營者在獲取個人用戶數據時有目的合法性、取得需授權、數量最小化、存儲最短化、內容去標識化的要求，實際就是從數據取得、目的、數量、期限、內容上對數據經營者的權利進行限制。2018年年初的“支付寶年度賬單”事件中，國家網信辦約談支付寶、芝麻信用兩家公司負責人，就指出其收集用戶個人數據的方式不符合規范的要求。〔34 〕

數據資產權，作為一種專有排他權，比對所有權、知識產權來設計，其私益結構部分，體現為企業對其數據在特定范圍享有占有、使用、收益和處分的權利。可以設定期限限制，例如15年左右。又可以區分支配方面的權能和排他方面的權能兩個方面：

首先是專有支配方面。包括：（1）對于數據的占有權，是指數據制作者在合法獲取數據后，可以對經過其處理的數據集合享有一定程度的實際控制的權利。但這里存在一個直接的限制結構，個人信息主體隨時享有撤回同意、更正、刪除的權利，這就使得企業數據主體的權利不是完整的，其不能夠完整地控制其已經收集的數據。（2）對于數據的使用權，是指數據經營者對數據可以加以利用的權利，可以將之分為內部使用和外部使用兩種模式。內部使用是指數據經營者收集數據之后，自行處理分析，制作出有價值的數據集合后，用以解決其預先設定的問題，比如風險預測，市場決策，廣告投放等；外部使用則是數據經營者將其收集的數據傳輸給第三方，供其使用。內部使用不得超出其向用戶收集數據時所說明的目的、使用方式、授權范圍等，外部使用則另需用戶授權同意并進行信息安全影響評估。（3）對于數據的收益權，是指數據經營者利用其數據集合獲取的經濟利益的權利。一般企業作為數據經營者可以依據法律法規，遵循市場機制，自由進行數據集合交易，獲取正當利益。實踐中的貴陽大數據交易所等正是這樣進行資產化的數據集合交易。（4）對于數據的處分權，指數據經營者依法對數據集合進行“處理”的權利。英國《數據保護法》、德國《數據保護法》和歐盟的GDPR，對于這種“處理”的權利，采取了狹義定義，即包括存儲、變更、傳輸、封鎖和刪除。〔35 〕然而，即使這樣，狹義定義下的處分權也還有限制。比如對于存儲的限制，不僅體現在存儲的期限和模式（敏感數據加密等），還體現在對于存儲地域的限制上。〔36 〕

其次是排他性的權能。上述數據資產的專有支配的內容同時具有排他性的效力，即可以排除任何第三人干涉（包括侵入、加害等）。正是這種排他性權能的賦予，企業數據財產權區別于一般的數據合同權利，可以對抗來自第三人的數據侵入、盜竊、非經授權使用等。

（三）企業數據財產權的限制結構

基于其他保護功能和利益關系的關聯存在，數據財產權作為數據保護的一種復雜秩序安排，并非一種完全自在自為的絕緣化權利空間，除了私益部分建構之外，還應設計出許多限制結構，以使其具有足夠的彈性和外接性，以便對接或協同各種功能和利益關系的實現。這種結構，或為保障數據經濟秩序，或為促進數據公共利益，或為推進信息社會建設，或旨在保障數據安全等，不一而足。此外，數據經濟具有巨大的潛在的應用場景，導致許多特殊的應用限制。

1.基于數據的市場經濟秩序限制

數據財產權設計應當注意保障數據市場經濟秩序的公平有序和交易安全，包括致力于有效抑制或消除數據壟斷、數據欺詐、數據歧視等破壞競爭和公平交易、損害消費者利益的現象。

首先，避免大數據產業壟斷。應以《反壟斷法》為基礎，及早構建周密且有針對性的規則，對數據經營者的數據壟斷活動進行限制。大企業的數據壟斷帶來的后果巨大：妨礙數據流通，限制數據產業發展，不利于經濟增長，甚至阻礙國家大數據的戰略發展計劃實施。〔37 〕現實中，基于雄厚的資產基礎、技術條件，互聯網巨頭企業幾乎百分之百會獲得數據經營能力，會加劇巨頭企業壟斷數據的市場地位，導致對數據市場秩序的威脅和破壞。例如百度、阿里巴巴和騰訊等大數據企業憑借其占據的互聯網優勢，掌握了大量數據，可謂“拿走數據的多，貢獻數據的少”，但是其自身構建的數據體系并不開放。〔38 〕

其次，避免基于數據的不正當競爭和損害消費者權益。數據財產權并不賦予數據權利人得以從事不正當競爭和交易的市場地位，應盡早參照《反不正當競爭法》《消費者權益保護法》等，建立具有針對性的制度，包括數據公平交易規則、算法公開和監管規則等，禁止企業利用數據破壞市場秩序、妨礙公平競爭、損害消費者權益。

2.基于數據的公共利益和福利限制

數據財產權設計應平衡好與數據相關的公共利益包括數據福利的關系，數據財產權不只是要鼓勵企業自身的數據經濟化，同時更要協同實現數據公共利益和福利，最終推動數據經濟的繁榮。這里，既包括積極的協同，如建立數據共享、促進數據流通等；也包括消極的協同，例如為了維護數據公共利益，在特定的情況下合理限制數據財產權的排他性，使其不得對抗公共安全、科技進步等公共利益需要。這一點與知識產權很相似。

首先，建立數據強制公開制度。數據經營者基于其數據集合獲得了與自然災害、重大疫情、恐怖襲擊、經濟危機等危及國家安全、社會穩定的緊急狀態相關的預測、結論、觀點時，應明確數據經營者具有主動向國家相關機構及時公開其研究結果的義務。這種強制公開不意味著數據經營者就此拋棄其收益的權利，而是基于維護公共利益的考量，強調數據經營者應當主動承擔的社會責任。

其次，建立數據強制許可制度。大數據的本質是要求數據的流動與開放，大數據增值的方式之一則是根據原有數據集合進行再創造。因此，可以參照專利法中的為實施從屬專利需要的強制許可，當利益相關的第三方利用其合法購置的數據集合創造出有價值的新數據集合的時候，應當明確這種全新的數據集合是該第三方的數據資產，原數據集合的權利人在獲得合理對價之后，無權向第三方“二次創作”的數據資產權主張權利。

最后，為了促進科學進步，技術發展，可以考慮借鑒著作權法下的“合理使用”的制度設計。當以科研為目的使用數據集合時，數據經營人應以合理價格向科研人員公開其持有的數據集合；科研人員則應當以非營利為目的，合理利用數據集合，并不得惡意向第三方公開。

3.基于數據的信息社會和數據安全限制

數據財產權設計還要注意信息社會暢通的需求問題和信息與數據安全的保障問題。必須對此作好設計。

信息社會要求，對應于數據財產權，就是要求賦予企業數據權時，必須繼續保證數據的可流通以及可共享的渠道無障礙。信息公開不僅適用于公共數據，也適用于私有可社會化數據。當然，信息跨境問題具有特殊性，存在國家之間的博弈，但最終應該通過改進而促進跨境流通。

數據安全保障要求，實際上限制的是數據經營權，應明確具有數據安全實施能力的企業主體才可以享有數據經營權。根據目前數據安全保護的實踐、國際和國內相關法律法規的規定和我國的《安全規范》中明確的標準，用以確保數據安全的手段基本有以下五類：第一是采用先進的技術措施，包括數據去標識化、數據脫敏、存取控制、數據加密、審計日志、安全協議等；第二是加強數據從業機構內部人員的管理與培訓，比如簽署保密協議，定期培訓考核等；第三是構建個人信息安全影響評估制度并定期開展評估，妥善保管評估報告；第四是從業機構內部要設立專門進行個人信息保護部門和負責人，保障信息保護工作的投資；第五是建立個人信息安全事件應急預案，定期演練，及時報告。從這五類保護手段可以看出，數據安全需要數據經營者的大量人力、物力和財力的投入，不是所有數據經營者都有相當的技術、資本為其收集處理的數據提供符合標準的保護的。

4.基于大數據應用層面的特殊限制

大數據存在不斷迭代的應用問題，像云計算、移動互聯網、人工智能、物聯網等。數據財產權像樹根和樹干，大數據的各種應用則像樹枝或樹葉，形成一種互動關系，后者指向各種獨特的應用要求，形成新的業態和利益類型，引發新的問題，從而導致更加特殊的規制要求。

首先，商業應用層面。以電商平臺為例，電商企業對于數據資產的利用模式主要是市場營銷，具體如電商企業針對消費者的精準營銷，電商企業通過收集、處理、分析大量消費者的消費數據，比如偏好購買產品類型、購買產品的周期、購買產品的平均消費、消費者的生活環境等，得出消費者的消費偏好和興趣偏好，從而根據其興趣和以往產品花費金額準確推薦相關產品、商家，采取有針對性的營銷策略，刺激消費者消費欲望，最終促成消費行為。〔39 〕實踐中，阿里巴巴已經可以通過消費者在支付寶中授權其獲取的定位信息，比如走入了專賣某種商品的店鋪，直接判斷出消費者近期內想要購買的產品，繼而通過其旗下的淘寶向該消費者精準推送相關產品的銷售信息。電商企業對于數據資產的利用模式眾多，涉及個人信息的數據體量巨大，所以在電商層面應更側重于保護數據安全和個人用戶的隱私利益。由于電商企業數量眾多，且企業之間的安全技術保障能力、資本基礎等相差極大。因此筆者認為，考慮到數據安全和用戶隱私保護的重大性，應該將數據經營權集中給予有能力有技術的大型電商企業，但是同樣應考慮中小電商企業對于大數據分析技術應用的需求。第一，從國家層面來講，應當為電商企業數據經營權設置“高門檻”，盡量通過國家規制將數據經營權集中在有技術、能力、資本的大型電商企業或從事電商相關數據分析的企業機構中，由這些企業對數據進行各種技術化處理和保護。第二，要保證中小電商企業能夠以合理對價獲取大數據技術的使用渠道。第三，要建立電商行業內部監管體制、核查機制和問責機制，同時建立保護數據安全的規范體系，做到在保護數據的同時，保證被交易的數據分析結果是基于公平、誠實信用原則的基礎所分析獲得的。

其次，工業應用層面。這里可能涉及不同層次的信息化或自動化，也涉及不同方面如智能制造或智能服務。目前以無人駕駛、自動駕駛為例，這類技術的有兩項重要的前提：第一是要有巨量數據作為基礎支撐，第二則是要有處理巨量數據的能力。數據主要來源于兩個方面：一是來自車載傳感器獲取的數據，主要用以判斷車在路上的位置、速度、方向，障礙物避讓，是否需要停車、減速等方面；二是來源于第三方的數據，比如與滴滴平臺合作，獲取其行車途中所得得路況信息、天氣信息、道路情況、交通信號標志、路標信息等數據，進而利用這些數據來對無人或自動駕駛的汽車將要面對的路況作一個有效的精準預測。〔40 〕無人駕駛、自動駕駛技術的研發離不開前面提到的數據“量”的支持和“質”的保證。因此，為了推動此類技術進步、行業發展，最重要的就是相關企業進行數據共享，以最全面最詳細的數據為基礎再利用數據分析技術進行利用。在實踐中，早在2013年，為加快無人駕駛技術實現，谷歌與Uber建立了合作進行數據共享。因此，筆者認為針對此種類型的工業應用模式，國家層面上可以采取鼓勵、扶持的政策來促進相關企業之間進行數據流通、共享，但是不能夠強制企業公開其數據；同時應該在行業內部建立有效的數據共享機制，并輔以合理的監管制度，同時對于潛在的數據壟斷可能性保持警惕。

最后，工商業復雜基礎設施應用層面。我國的工業互聯網幾乎與發達國家同步起步，為了使國家工業體系智能化升級轉型順利開展，促進實體經濟發展，就必須采取發展工業大數據技術、促進工業互聯網平臺建設、建立工業大數據中心等方式，而這些手段則都離不開基本的數據的共享與技術創新。因此，首先在國家層面上，需要由國家確立促進工業互聯網建設的政策扶持，我國政府高度重視工業互聯網建設事務，已經提出了《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》。在這個指導意見中，國務院提出的七項任務和六項保障支撐方案非常具體詳細，可操作性極強。在企業層面上，在肯定數據財產權上的基礎上，需要鼓勵互聯網企業、工業制造業企業和科技創新企業進行大數據礦行業聯合，即互聯網企業、制造業匯總數據并分析，制造企業據此開展相關生產經營活動，科技企業則為數據分析、數據安全等方面提供保障并不斷開發新技術。當然，打造健康完善的“工業淘寶”體系也要兼顧相關中小企業利益，因此更要開展數據合理有償共享，技術合理有償共享，建立聯合監督機制促進行業自律，從而提升效率、降低成本，增強整個行業在國際上的競爭力。

結語

企業數據保護是當前涌現的重要而迫切的法律課題，也是現有法律資源窘迫應對的法律難題。目前，從私法保護角度來說，企業數據保護走向財產權化新機制，已經成為一種越來越清晰的趨勢。這種方式對于企業具有最佳鼓勵和刺激的作用，使其樂于積極投入技術、資金和人力成本，不斷開發新數據技術和方法，不斷推出和改進數據產品，進而繁榮數據經濟，促進社會經濟發展。但是，數據財產權化設計應該注意，企業數據保護本身不僅僅承載企業追求經濟化的功能，同時還具有功能的多重聚合性和所涉利益關系的交織特點。因此其設計應與民法上典型的財產權不同，不能簡單化，而應該建立一種具有極強協同性的結構系統，體現為一種以私益結構為核心、多層限制為包裹的復雜法律秩序構造。在功能上，既要有利于充分刺激數據制作者的積極性，又要維護數據相關的各種功能和利益關系；在構造上，不是簡單賦予權利人一個完全自在自為的利益空間，而是在賦予權利人必要私益基礎上，同時設定諸多條件和活動限制，從而達成數據關聯利益的平衡。