企業數據保護的困境與紓解：從權利保護到行為規制

□ 文 徐慧蘊

關于數據權益的分配和保護機制的問題，學界暫無定論。目前主要有權利保護模式和行為規制模式兩種。

0 引言

隨著大數據技術的發展，數據已成為信息產業者重要的生產要素與核心競爭力，同時圍繞企業數據的抓取和使用所產生的糾紛頻發。新冠疫情加速了企業數字化和線上化運作，也進一步將數據權益保護推到公眾視野之中。關于數據權益的分配和保護機制的問題，學界暫無定論。目前主要有權利保護模式和行為規制模式兩種。基于此，以企業數據保護的現實問題為起點，分析企業數據權利保護模式存在的現實障礙，指出數據行為規制模式有利于清除這些障礙，并對行為規制模式的構建做了初步構想。

1 問題緣起：企業數據保護的現實困境

就立法現狀而言，《民法典》第127條和《數據安全法》均將數據權益納入保護范圍，《深圳經濟特區數據條例》第4條和《上海市數據條例》第12條均確認了企業對數據享有“財產權益”，但仍缺乏數據權益分配和數據訪問規則的具體制度設計，仍有很大的探索空間。

就司法現狀而言，企業數據權益保護具體規則的尚付闕如，司法只能從現行法律規范體系中尋找解決路徑。由于具體保護規則的缺位，法院只能通過《反不正當競爭法》的一般條款來保護企業的數據權益，但該條缺乏具體的“行為模式和法律效果”的規定，難以為法官提供明確的案件裁量標準和為信息產業者提供清晰的行為指引。

就理論現狀而言，法學界對企業數據權益該采取何種保護模式莫衷一是。“數據資產權說”、“新型財產權說”主張將企業數據權利化，企業應該享有絕對排他性的數據權益。“數據公開傳播權說”則主張設立有限排他的數據權益，以兼顧后續利用者的利益。“數據所有權與用益物權分離說”“名義所有權與實質所有權分離說”則出于數據上存在多元利益主體的考量，主張數據原發者和數據處理者各自享有不同的財產權利。還有一類觀點認為企業數據權益的保護應該充分考慮到數據的動態流通特性，權利保護的方法不可取，應該采用行為規制的方法，如利用競爭法、侵權法、商業秘密、數據訪問規則或行政監管機構規定等方法規制，反向保護企業數據權益。可見企業數據權利保護模式和行為保護模式之間的模糊使數據法學研究陷入了困境，即便是在主張采用行為規制模式保護數據權益的觀點中，也存在著具體規制方法的分歧。

2 企業數據“權利保護模式”的現實障礙

2.1 “權利保護模式”阻礙數字經濟的發展

目前法律僅對個人隱私與智力成果賦予隱私權和知識產權的保護，信息從自由流通到財產權化需要有極其正當的理由。隨著數字化水平的提升，企業之間的數據分享和跨數據領域的合作交流有利于推動數據要素市場的發展和創新，數據的整合和連接對物聯網（IOT）等新興商業模式的發展至關重要。與數據的訪問需求相比，為數據權益賦權并不一定能給企業帶來更多利益。在信息產業鏈中，若上游企業對數據擁有絕對權，雖然增強了企業的數據支配力量，但容易導致上游企業壟斷數據，從而影響下游數據市場的發展。

2.2 “權利保護模式”的權利主體不清

企業數據的許多利益相關者以各種不同的方式對相同的數據業務模式做出貢獻，并且對數據均有主張權利的理由。數據利益關系的復雜性導致了數據財產權利分配的困難。以智能網連汽車為例，汽車生產商、車主、多個服務提供商（包括收集和分析傳感器數據業者、數據分析者、導航服務公司、保險公司）和公共機構（道路維護機構、交通調節機構）等都以各種形式對智能網聯汽車數據作出了貢獻，汽車數據所有權究竟歸屬于誰？若認同各個數據利益相關者均享有所有權，則會導致同一數據上存在多個所有權人，不僅違背了物權法上的“一物一權”原則，還勢必會提高交易成本，又重新落入到數據產權糾紛的窠臼之中。

2.3 數據市場不需要“權利保護模式”的激勵

企業數據財產權和數據的流通特性天然就存在矛盾嗎？信息的非競爭性和非排他性使其具有公共產品屬性，知識產權的設定非但沒有阻礙信息的流通，還通過賦權的方式人為的制造了稀缺性，從而激勵市場的創造力，推動了信息的流通。“勞動財產權理論”和“激勵理論”也常常被用來為企業數據財產權證成。數據可否也通過賦權的方式促進流通呢？關鍵要看數據市場是否缺乏激勵。實踐表明，大量數據的產生和分析通常較為簡單，傳感器的擴展技術和“物聯網”的發展使采集的數據量呈爆發式增長。移動互聯網、社交網絡、智慧家居、電子商務等新技術應用形態也帶來了海量數據。從經濟學角度來看，只要數據生產者和持有者的邊際收益大于其邊際成本，就會產生和分析數據，然而，大部分數據的產生或收集成本非常低，通常只能成為人們日常活動的副產品。即使有部分成本投入較高的數據，企業也傾向于將其作為商業秘密保護或通過技術措施形成事實性控制。因此，賦權對促進數據流通的作用不大，反而會影響數據的收集、分析、利用和創新。

2.4 “權利保護模式”與企業數據保護的目的不符

信息和數據在比特世界中可以即時轉換，二者的區分看似沒有必要，實則蘊含著重要的法律意義。歐盟委員會為了提高數據的可交易性，認為可以賦予數據的設備運營商“數據生產者權利”，該權利僅涵蓋語法（即數據、代碼級別），而不涵蓋語義（編碼中蘊含的信息內容）。企業數據的權利保護模式多從數據所反映的信息角度去探討實體權利的構建，對于互聯網企業而言，固然存在數據被攫取而導致信息被他人分享的情況，但問題在于這種失范行為源自于網絡技術本身，線下則不存在這種情況。企業數據保護的目的是禁止他人的不正當訪問行為，而非數據上承載的信息內容。法律的保護也應該聚焦在數據操作行為的合法性和相應責任的承擔上，無需在信息內容的權利領域過多糾纏。以霍菲爾德提出的“權利束”視角來看，“財產權調整的是人與人之間的關系，并非人對物的支配”，該觀點雖是在財產權的基礎上提出，但其獨特視角也有助于我們理解企業數據的權利保護模式和行為規制模式的區別。前者注重數據控制者對數據的支配，后者則更加注重數據控制者與其他主體的數據操作行為上，更能適應數據的復雜特性，契合企業數據的保護目的。

數據交易并不以數據權利的存在為前提，企業可以直接通過合同許可的方式進行數據交易。

3 企業數據權益保護的“行為規制”路徑

3.1 通過“行為規制模式”間接實現企業數據權益分配

“行為規制”模式并不需要明確權益的歸屬，不關注“數據是誰的”，而只關注他人的收集、存儲、分析、使用數據的行為是否具有正當性，對不正當的數據行為作出禁止性規制，并規定相應的責任承擔。這有利于化解權利保護模式由于權利主體、權利客體不清導致的權益劃分困難，直接通過劃定行為的禁區，間接的為數據控制者創造了權益保護空間。這種對企業數據權益反向保護的方法遵循的是“禁止之外皆自由”的原則，能夠為數據市場帶來更大的自由空間。只要不違反數據相關行為的禁止性規定，多個利益相關者可以對同一數據進行收集、使用，均對該數據享有相關權益，“一物一權原則”在此并不適用。

3.2 企業通過技術措施形成對數據權益的支配

從互聯網行業的實踐情況來看，企業通過用戶鑒別、數據加密等技術措施可以實現對數據權益的事實控制，具有事實上的排他性的法律效果。這種法律效果類似于物權法上的“占有”，雖然不是實體權利，但是數據控制者有權選擇公開或者不公開數據，除非涉及公共利益，任何行為人不能強迫其公開數據。對于通過技術措施進行保密的數據，行為人不能未經數據控制者同意而收集、訪問、使用、分析其數據。互聯網企業的這種私力保護是行為規制模式切割而成的數據權益空間中的一部分，一定程度上具有清晰的數據權益歸屬的功能。

數據交易并不以數據權利的存在為前提，企業可以直接通過合同許可的方式進行數據交易。我國數據交易機構的建設不斷推進，數據交易市場蓬勃發展。數據交易模式有多種，采用應用程序編程接口(API）方式交易的居多。即數據銷售方通過API將數據端口開放給經授權的第三方機構，以促進用戶數據的開發使用。企業還可以通過爬蟲（Python）直接抓取處于開放狀態的網頁數據。為了規范爬蟲的數據抓取行為，網站經營者可以設置Robots.txt文本確定網頁可否被抓取、可被抓取的內容范圍以及可從事抓取行為的特定來源爬蟲。惡意的爬蟲也可以直接跳過Robots.txt文本，但會在網站經營者的系統日志中留下記錄。這種惡意的抓取行為在我國司法實踐中被認為是違反商業慣例的不正當競爭行為。雖然Robots協議并不具有實體法上的規范意義，但其可以在個案中成為不正當數據利用行為的違法性、過錯程度的判定的參考因素。

數據的控制離不開數據安全管理制度和數據保護技術的進步。使用反爬蟲技術、密碼學、隱私計算技術、聯邦學習技術、數據集多版本控制和訪問控制技術以及區塊鏈技術等跟蹤和控制數據共享，能增強數據的控制手段和范圍，以便在不影響數據控制權的情況下交易數據使用權，并計量數據主體和數據控制者的經濟利益關系。

3.3 企業數據保護“行為規制模式”的構建

企業數據權益的的空間是通過法律對不正當的數據處理行為進行規制裁剪而成。這種行為規制模式以實在法中的禁止性保護規范為基礎，與侵權責任法違反保護性規范的一般條款接軌，轉介適用保護數據權益的公法規范，從而實現對數據權益的私法保護，達到整體法秩序的呼應效果。換言之，對于違反了保護性規范中的禁止性義務的數據利用行為，并造成了數據利益的損失的，數據控制者有權對行為人主張侵權責任。

3.3.1 數據權益保護性規范的基礎地位

行為規制模式在我國數據權益保護體系中的構建可以按照以下思路進行：首先，我國《刑法》《網絡安全法》《數據安全法》《個人信息保護法》《電子簽名法》《電子商務法》均有涉及數據權益的保護性規范。《民法典》第127條關于數據權益保護的引致性條款認可上述保護性規范在司法裁判中的適用。其次，我國《民法典》第1165條第一款是過錯責任的一般條款，其適用范圍不僅限于權利，還包括受法律保護的利益。因此，可以從解釋論的角度，將違反保護性規范的行為作為侵權責任構成要件的具體因素之一，或者將其擴大解釋為特殊形態的過錯責任。從而實現《民法典》中的侵權責任條款與其他法律規范體系的有效銜接。

3.3.2 數據權益保護性規范的條文特質

由于私法保護的目的是為私主體提供侵權法上的救濟而非公共利益，因此并非所有涉及數據權益的法律規范都能夠轉入私法保護，保護性規范需要具有明確、具體的義務內容，且保護的對象是私主體。將過于抽象的危險規范納入保護性規范的范疇容易招致侵權責任范圍不當擴大之嫌，有礙于數據的流通利用。基于此，我國司法實踐中，《反不正當競爭法》的一般條款常被用來保護企業數據權益，但其裁判思路多為“權利侵害式路徑”，容易基于經營者權利受到損害的事實就直接認為經營者理應得到賠償。但競爭法保護的并非競爭者，而是合理的競爭秩序，其更加注重市場主體的利益衡量和市場秩序的維護。具體來說，競爭法不必然保護經營者的利益，只要有助于維護市場公平競爭秩序，有助于維護消費者的利益，即使有損經營者的利益，這種行為也是正當的。

3.3.3 數據權益保護性規范的具體適用

數據權益保護性規范的適用需要在個案中依據各方主體的合理預期綜合各項因素予以考量，因此數據權益的范圍大小是動態變化的，需要在具體場景中確定。

為了解決權益范圍的動態性帶來的法院自由裁量空間過大、適用過于隨意的問題，可以通過對實踐中大量的數據糾紛案件進行歸類總結，建立不正當數據利用行為的要件框架。數據控制人的實質性投入、企業的公益性質、原被告之間是否有競爭關系、數據利用行為的手段、數據利用行為人的過錯程度、利用數據的數量及損害后果等因素都能對數據利用行為的正當性判斷產生影響。每個要件在不同的案件中的數量和強度都有不同，對數據利用行為的正當性判斷需要綜合考量各個因素的數量和強度相對應的協作來確定。

總而言之，行為規制模式下不正當的數據利用行為的構成是基于具體場景的、結合要件框架的動態衡量。相應的，被不正當數據利用行為切割而成的企業的數據權益是不穩定的。

4 結束語

在數字經濟蓬勃發展的今天，數據權益保護模式的選擇對數據要素市場發展的影響無疑是巨大的。傳統的“權利保護模式”在數據權益保護上存在諸多現實障礙，“行為規制模式”則不需要明確權益的歸屬，可以通過劃定數據利用行為的禁區，間接的為數據控制者創造權益保護空間，不失為一種更優的選擇。對于違反實在法中的禁止性保護規范的行為，可以轉介適用侵權責任法違反保護性規范的一般條款，從而實現對數據權益的私法保護。數據權益保護性規范的具體適用需要在個案中結合要件框架進行動態衡量，違反規范的行為應該承擔相應的侵權責任。

在數字經濟發展的現階段，并不需要額外加強對企業數據權益的保護，如何弱化數據控制者的數據控制力，促進數據資源的利用和分享，避免大企業的數據壟斷，是促進數據要素市場健康發展的關鍵，值得做進一步的深入研究。■