企業數據交易的法律規定和風險防范

萬玲娣

2020年10月21日，全國人大常委會法工委公開就《中華人民共和國個人信息保護法（草案）》（以下簡稱個人信息保護法草案）征求意見，在我國個人數據保護方面踏出了堅實一步，其對于個人信息處理者的義務規定，可視作對企業數據安全保護及交易的法律規定。2020年12月28日，廣東深圳市六屆人大常委會第四十六次會議首次審議了《深圳經濟特區數據暫行條例（草案）》，這是我國首部數據領域的綜合性專門立法，首次提出“數據權益”保護，并明確數據要素市場主體以其合法收集的數據和自身生成的數據為基礎開發的數據產品的財產權益受法律、法規和本條例的保護。2021年3月15日，市場監管總局主動作為制定出臺《網絡交易監督管理辦法》（以下簡稱辦法），并于2021年5月1日正式實施，辦法是貫徹落實《中華人民共和國電子商務法》的重要部門規章，對相關法律規定進行細化完善，再次明確網絡交易者對個人信息收集、使用的基本原則。近期國家與地方政府、相關委辦局密切出臺有關數據或信息領域方面的法律，一方面是對個人信息受到侵害現象的重視，另一方面也是提醒相關企業在數據收集、應用、交易方面應遵循法律規定。

第一，數據初次收集時的注意事項

一是在收集、使用數據程序上符合法律規定。個人信息保護法草案第十三條的核心條款，明確了個人信息處理者處理個人信息的前置條件;《中華人民共和國網絡安全法》（以下簡稱網絡安全法）明確具有收集用戶信息功能的網絡產品、服務，以及網絡運營者收集、使用個人信息，均應征得信息提供者的明示。據此，企業要履行告知義務，提供數據主體選擇與訪問權。20多年來，“告知”本質上一直都是全球所有隱私法律、規章和準則的核心，現在“告知”進一步明確為需經個人信息提供者同意。企業應告知數據主體包括且不限于以下內容：收集數據的企業名稱，收集數據的原因，數據的使用方向，數據二次使用的可能用途，所收集數據的性質及收集方式，提供請求數據屬于自愿還是強制的，以及拒絕提供請求信息的后果，機構為確保數據的機密、完整和質量而采取的措施。同時要為數據主體訪問其數據提供便利，如數據主體有權查詢、閱覽、復制數據控制者所持有其個人數據的權利。對于個人數據不正確、不完整的部分，數據主體可以要求刪除、更正、補充。

二是在收集、使用數據實體上符合法律規定。網絡安全法及辦法均規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息。同時辦法第十三條進一步規定，“網絡交易經營者不得采用一次概括授權、默認授權、與其他授權捆綁、停止安裝使用等方式，強迫或者變相強迫消費者同意收集、使用與經營活動無直接關系的信息。收集、使用個人生物特征、醫療健康、金融賬戶、個人行蹤等敏感信息的，應當逐項取得消費者同意”。對于數據收集、使用的實體內容符合該原則，需要企業綜合考量商業目的、業務范圍，采取有限收集原則， 而不是越多越好。在考量商業目的時，不僅要對初次使用數據的目的有清醒認識，還要考量數據的二次使用或后續使用可能，對數據使用范圍與數據主體提供范圍進行比對。在制定大數據的使用機制時，企業要注意記錄并保存分析過程的程序，在遇到法律糾紛時作為證明商業目的的輔助證據。

第二，數據二次使用時應履行的程序

最高院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第三條第二項規定，“未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規定的‘提供公民個人信息，但是經過處理無法識別特定個人且不能復原的除外”。個人信息保護法草案第二十四條規定，“個人信息處理者向第三方提供其處理的個人信息的，應當向個人告知第三方的身份、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收個人信息的第三方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。第三方變更原先的處理目的、處理方式的，應當依照本法規定重新向個人告知并取得其同意”。根據這些規定，如企業將合法收集的數據用于銷售或許可他人使用時，需滿足下列兩項條件中的一項：第一種情況，企業二次使用從數據主體處獲得的數據，如在初次收集時未獲得數據主體許可，或使用范圍超出數據主體初次許可使用范圍，則在該數據銷售或許可他人使用之前，應征得數據主體的同意。第二種情況，在數據二次使用時，對數據進行匿名化處理。企業可以根據收集的數據性質、種類、規模，通過技術手段進行匿名化處理，以避免個人信息的泄露。當然，該種方式必然會增加數據交易的成本，同時依賴于數據匿名化技術的發展，使用或交易數據的雙方應對數據匿名化的程序、責任、費用承擔方式等予以明確約定，以避免法律風險的發生。

第三，數據交易或許可使用時的必經程序

在討論數據初次及二次收集、使用時應注意的問題后，筆者需提醒企業在數據交易或許可使用時的另一風險點，即在做好企業自身對個人信息安全保護義務的同時，應關注交易方或許可使用方使用數據的目的。根據最高院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第五條規定，“出售或者提供行蹤軌跡信息，被他人用于犯罪的;知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的”，應當認定為刑法第二百五十三條之一規定的“情節嚴重”，第六條對“為合法經營活動而非法購買”、收受個人信息情節嚴重的情形進行了規定。由于上述兩條的規定，數據交易的提供方或許可使用的許可方為避免數據交易后或許可使用后可能被追究的刑事責任，在作出交易或許可行為前，應對交易方或被許可方進行盡職調查，以確保對方在違反法律規定時，自身處于合法狀態。盡職調查的內容包括并不限于：數據交易方的業務范圍、本次交易的商業目的、數據用途、數據匿名化的方式與手段、保護信息安全的途徑等。

第四，運用知識產權、商業秘密及反不正當競爭方面的法律規定保護企業數據

在大數據領域，其對數據收集的趨勢會更大、更全，且行業將更趨于使用統一的標準或規則對同一類型的數據進行整合，要求企業在數據收集的過程中體現企業選擇、匯編數據的獨創性，顯然是不符合行業發展的趨勢。同時，著作權法只對其獨創性的選擇或編排的表達進行保護，而非其選擇或編排的內容，侵權者很容易通過改變數據信息的編排結構來規避法律，這就會使對數據信息的保護失去意義。因此依據著作權法對于選擇和編排上有獨創性的數據庫或數據集，可以將其視作匯編作品進行保護;對于企業投資人力、物力、財力匯編的無獨創性作品，可依據鄰接權進行保護。

根據專利法的保護范疇，企業數據往往涉及商業方法（模式）、特定算法、計算機軟件等，單純的商業運作方法顯然不具備可專利性，但通過軟件、硬件與網絡結合的系統解決一定的技術問題，具有鮮明的技術屬性，按照《專利審查指南（2020）》第二部分第九章關于涉及計算機程序的發明專利申請審查的若干規定進行判斷，可授予方法專利（復雜系統專利）。

對于在實踐中無法獲得知識產權法保護的具有商業價值的大數據產品，筆者認為，在目前的法律框架內，可以作為商業秘密進行保護。數據企業可以將產品納入企業商業秘密范疇，履行反不正當競爭法對商業秘密進行保護的要求，享受反不正當競爭法對企業的大數據產品進行保護的權利。同時在交易合同中明確揭示數據產品商業秘密的屬性，對交易方提出保守商業秘密的要求，借以實現數據產品的交易。

當前，企業數據的法律問題因立法的空白與實踐需求的矛盾，正在理論學界掀起熱議，各種觀點、各種意見與建議正通過各種論壇、研討會不斷涌現，作為在實務領域工作的律師，迫切希望中國的數據立法能加快步伐，適應不斷發展變化的實踐需求。

（作者系上海市捷華律師事務所律師、上海市法治研究會副秘書長）