T/ZS 0270-2022《數據知識產權質押服務規程》團體標準解讀

龍佳芩

摘 要：《數據知識產權質押服務規程》作為全國首個數據知識產權質押團體標準，也是首次從標準層面支持了數據知識產權。在法律層面，數據知識產權概念尚未明確提出，但數據知識產權質押所涉及的個人信息保護與處理、企業數據保護與利用、國家數據安全與發展在現有法律中已有規定。團體標準與法律具有互動性，數據知識產權質押團體標準的制定和實施有利于倒推數據知識產權及其質押的專門立法，同時，該團體標準也受現有法律約束，對該團體標準的解讀必須與所涉現有法律保持一致。

關鍵詞： 數據知識產權，質押融資，團體標準，數據法規

DOI編碼：10.3969/j.issn.1674-5698.2023.03.017

1 引 言

2022年3月16日，浙江省產品與工程標準化協會發布了全國首個數據知識產權質押團體標準《數據知識產權質押服務規程》，該標準由浙江省知識產權研究與服務中心、杭州高新技術產業開發區（濱江）市場監督管理局、浙江大數據交易中心有限公司等多家單位共同起草，于3月30日正式實施。該標準的制定響應了數字經濟發展下知識產權強國戰略、數字經濟發展戰略的要求——我國《知識產權強國建設綱要（2021-2035）》和《“十四五”國家知識產權保護和運用規劃》均提出要構建數據知識產權規則，鼓勵開展各類知識產權質押融資。該標準規范了數據知識產權質押服務中的采集、脫敏、存證、存儲、評估、融資、處置等各環節，為數據質押流程中存在的數據權屬、數據價值、數據安全問題的解決提供了有效途徑，促進了市場主體對數據資產轉化的認可。在該標準的應用下，各企業、銀行、大數據交易中心等主體逐漸認可并使用企業數據融資新方式，如：杭州高新區（濱江）已有5家企業進行了數據知識產權質押，累計獲融資兩千萬元。

然而，由于數據知識產權概念尚未被法律明確認可，該團體標準在具體解讀與應用過程中必須考慮與法律的銜接、互動問題。一方面，該團體標準相對于現有立法具有開創性，一定程度能夠起到立法推動作用。我國法律尚未明確規定數據能否納入知識產權，但數據通過一定技術處理后能夠具有市場價值，存在法律可保護的財產性利益是立法和司法實踐已經確定的。利用團體標準對數據知識產權及其質押先行確定、試點實踐，既能夠有效、靈活、及時響應數據創新要求、對接數字經濟市場需求，又能在較大范圍實驗數據知識產權及其質押的可行性以倒推相關立法。另一方面，雖然法律目前尚未對數據知識產權有所定義，但對與其相關的信息、知識產權、質押等概念都有具體規定，該團體標準的解讀和應用必須與現有相關規定銜接、協調。該團體標準本身的制定就依據了大量的現有涉數據法律規范，其內容及應用必須遵循現有涉及數據處理的法律規范。數據內容涉及到個人信息、企業信息、政府信息，現有法律如：《民法典》《個人信息保護法》《數據安全法》《網絡安全法》《著作權法》《反不正當競爭法》等，對于個人信息安全與處理、企業數據的保護與利用、國家數據的安全與發展都有相關規范，數據知識產權質押必然涉及到個人信息、企業數據、國家數據的保護與利用問題，故數據知識產權質押團體標準的內容也不得違背現有的涉數據保護與利用法律規范。

2 核心定義的法律背景

《數據知識產權質押服務規程》關于數據、數據知識產權、質押三大核心詞的定義均緊密聯系現有法律法規。首先，關于數據的定義，2 0 21年出臺的《數據安全法》首次從法律層面對此做出明文規定，本團體標準直接援用該定義：一方面，從數據存在形式角度，該定義范圍較大，規定數據包括電子或非電子形式；從內容角度，該定義強調數據和信息的關系，規定數據是對信息的記錄。其次，關于數據知識產權，雖然法律法規尚未有數據知識產權的明確定義，但本團體標準強調只有加工后形成的數據產品和服務才具有財產權益，單純收集、存儲的數據并不在知識產權范圍內，正是對知識產權現有法律法規的呼應——無論是《著作權法》對作品要求獨創性，還是《專利法》對發明創造要求新穎性，均體現知識產權法所認可的知識產權客體必須具備達到一定程度的智力投入，而單純通過各種方法收集、存儲數據尚未達到該程度，故標準將其排除在數據知識產權范圍外。最后，關于質押的定義，《民法典》對知識產權中財產權出質有明確規定，本團體標準與《民法典》關于質押的規定保持相當程度的一致性：在質押效果上，與《民法典》擔保債權效果一致，當債務不履行時產生優先受償權；在質押方式上，規定為“將數據知識產權移交給債權人占有”，且在標準第十章“融資”10.3規定數據知識產權質權人應當與出質人簽訂質押合同，可見，標準對數據知識產權質權設立采取的是“書面質押合同+質押登記”要件模式，這與《民法典》第444條規定的知識產權中財產權出質應當辦理出質登記的要求以及《民法典》體系化規定的權利質權應當訂立書面質押合同的要求保持一致。

3 核心技術內容的解讀

《數據知識產權質押服務規程》包括范圍、規范性文件、術語和定義、基本要求和七大質押環節5個部分，重點內容是對于數據采集、脫敏、存證、存儲、評估、融資、處置七大數據知識產權質押基本流程的具體規定（如圖1所示），核心技術內容主要包括源數據采集、數據脫敏、數據哈希存證以及數字信封加密存儲，該4項核心技術內容均應當基于法律與標準結合的方式進行分析和解讀。

3.1 源數據采集

數據采集方式包括源數據采集和非源數據采集，源數據又稱原始數據，是終端用戶所產生的、未經過處理的數據，非源數據就是經過處理后的數據。當前，由于數據加工尚處于新興階段且對已加工數據的再次利用存在不正當競爭糾紛爭議，數據知識產權所涉數據的采集通過源數據采集更可取，具體方式包括：端上數據采用埋點方式采集；物理數據通過傳感器來進行自動識別和數據提取；主觀性數據通過用戶調研或訪談的方式收集；其他平臺數據通過其他平臺提供的規范API接口服務采集；數據庫數據采用庫庫對接的方式采集。

上述幾種源數據采集方式都直接針對用戶個人信息，直接關系用戶個人信息權益、隱私權；雖然該團體標準在“采集”一章主要詳細規定的是上述采集方式，沒有明確針對數據采集與個人信息保護進行規定，但通過上述采集方式進行數據采集時，也需要遵守關于處理數據采集與個人信息保護利益沖突的規范。該團體標準在“采集”一章5.6條明確規定數據采集過程要符合GB/T 35273的規定，GB/T 35273規定了個人信息的收集必須遵守合法性原則、最小必要性原則、個人信息保護政策（強調個人信息處理者的告知義務）、自愿性原則和授權同意規則，這5項基本規則是《民法典》《個人信息保護法》中個人信息權益保護規范的重要內容，GB/T 35273在操作標準層面將其具化、貫徹（見表1），前三者從采集者（經營者）角度出發，后兩者從被采集者（用戶）角度出發。根據表格，該團體標準僅對最小必要性原則內容有所涉及，其他4項基本規則并未列明，但在具體采集數據時是必然要遵守5項基本規則，合理平衡數據采集者與個人信息主體的兩方利益。

3.2 數據脫敏

數據采集環節主要強調的是與個人信息保護之間的協調，但采集后形成的海量數據集與國家數據安全、企業數據利益保護的協調也凸顯出來。數據采集后的數據脫敏不僅是針對公開后極易導致個人名譽受損或歧視性待遇等的個人信息，還針對公開后會損害國家利益、商業利益的信息。

我國對于敏感信息的概念尚未統一，現對于敏感信息的規定都集中在個人信息領域，但實質上對于敏感信息不應當僅限于個人信息范圍。GB/T 35273-2020中3.2條對“個人敏感信息”進行了概括式定義，并通過附錄進行類型列舉，《個人信息保護法》一脈相承，在第二十八條通過“概括式+列舉式”方式規定了“敏感個人信息”，個人敏感信息成為我國學者重要的研究對象，但在相關文獻中常常將敏感信息混同于個人敏感信息甚至隱私信息。從語義學的角度來看，“個人敏感信息”是個人信息領域的“敏感信息”，其范圍應當比“敏感信息”的范圍小。從比較法的角度來看，歐美都對敏感信息進行了概念界定（見表2），均認為敏感信息包括但不限于公開后會不利于自然人人身、財產安全的個人信息[1]。從現有文獻來看，我國學者對“敏感信息”的內涵和外延也并未限定在個人信息領域，如有學者基于相關裁判事例的考察研究政府信息公開中的“敏感信息”界定，認為政府信息公開領域的“敏感信息”為不符合國家秘密標準、但公開后可能會影響到行政機關正常執法的政府信息[2]。

綜上，敏感信息是指被泄露或不當披露后會對信息主體產生某些不利影響，包括但不限于個人隱私、商業秘密等信息，但依法規定的公開信息和保密信息除外。

敏感信息的泄露將會對個人利益、企業利益甚至社會及國家安全造成巨大威脅，通過數據脫敏技術有利于解決數據安全與數據利用的沖突問題。數據脫敏技術通過采取一定方法消除所采集的原始環境數據含有的敏感信息部分內容，并且保留下目標環境業務所需數據部分內容，其既能夠保障數據中的敏感數據不被泄露又能夠保證數據可用性的特性[3]，有利于平衡數據涉及的多方利益。該團體標準在“脫敏”一章的6.2條也明確規定，脫敏后的數據要符合《民法典》《個人信息保護法》《數據安全法》《網絡安全法》《關鍵信息基礎設施安全保護條例》等法律法規，不得侵犯任何國家、個人和實體的合法權利，這也是強調利用數據脫敏技術，在發揮數據價值的同時，保障數據所涉的其他主體的合法權利。

數據脫敏主要包括三大基本過程，分別是脫敏對象識別、脫敏方案執行以及脫敏效果對比（如圖2所示）。脫敏技術僅針對敏感信息進行操作，首先就必須從采集所得數據中確定敏感數據的范圍，利用自然語言處理、知識庫、算法規則中的特征密度計算、特征詞提取、命名實體識別等方式智能識別出需要進行脫敏的對象[4]。常用的具體脫敏方案有仿真、數據替換、加密、加減值、數據截取以及數據混淆等，在識別出敏感數據后，數據處理者根據實際需求針對脫敏對象選擇并執行脫敏方案。具體脫敏方案執行完畢后，顯示脫敏前后的數據進行對比，檢測實際脫敏效果，根據實際效果選擇是否重新脫敏或疊加使用其他脫敏方案，當然僅對外公開完成脫敏后的數據。

3.3 數據哈希存證

脫敏后的數據將上傳至浙江知識產權區塊鏈公共存證平臺，并且同步到市場監督管理局、杭州互聯網法院等機構單位。該存證采用哈希函數（HashFunction）運算技術，有利于檢測后續使用時數據的真實性、完整性。哈希存證技術將脫敏后數據壓縮成短的、長度固定的字母和數字組成的字符串，即哈希值[5]，由于每個中文、每個字母甚至每個標點的改變都會影響哈希值發生變化，故只要對應哈希值不同，則表明原始輸入的數據也不同[6]。通過哈希存證技術，一方面有利于保證數據在后續使用中的真實性、完整性，一方面也有利于防止數據篡改。

本團體標準7.4條規定，數據哈希存證如滿足審核條件，將頒發存證證書，那么，該存證證書的效力是什么？一方面，該團體標準是浙江省產品與工程標準化協會發布的，是市場主體根據數字化環境下所產生的新的標準需求所制定的，不具有行政性，雖然具有很強的適應性和靈活性，但缺乏社會普遍認可和采信。另一方面，數據知識產權尚未在法律層面得到明確認可，對于其數據知識產權是同著作權一樣遵循自動取得原則——自完成采集、脫敏后公開即自動取得，還是同專利或商標一樣必須經過專門行政程序進行注冊登記確權，尚無定論，在相關涉數據糾紛中對于數據產品法益主體的證明缺乏證據材料，但目前學術理論界、司法實踐界對加工數據具有受法律保護的利益幾乎都是認可的，采納認證證書作為法益主體證明材料不失為一種可取之法。2018年9月，最高人民法院《關于互聯網審理案件若干問題的規定》中第11條首次對以區塊鏈技術進行存證的電子數據真實性作出明確規定，由此區塊鏈存證的法律效力得到確認。2021年4月，成都某公司起訴廣州某公司未經許可在其運營的音樂平臺上向公眾提供涉案歌曲的在線播放和下載服務，該案中法院采信了由第三方版權服務平臺出具的《區塊鏈存證證書》作為有效權屬證據[7]。《浙江省知識產權區塊鏈存證平臺數據資產存證證書》運用區塊鏈技術取證、存證，具有可信且不可篡改特征，同時該存證在上傳至存證平臺的同時已同步上傳至杭州互聯網法院，平臺所有數據內容都可通過法院平臺查詢、核驗，若無相反證據推翻其真實性，應予確認并采信其真實性，以有效保障數據資產主體的合法權益。

3.4 數據信封加密存儲

數據哈希存證與數字信封加密存儲都是在數據保管階段所采取的措施，前者主要針對哈希值與數據資產的“數-數”唯一性，后者主要針對數據知識產權主體與數據資產的“人-數”唯一性。數字信封綜合利用了對稱加密技術與非對稱加密技術的優勢[8]，其功能類似于紙質信封，紙質信封保證只有收件人才能閱讀信的內容，數字信封采用成熟的密碼技術保證只有授權方才能獲取數據資產的內容[9]，即數據資產主體通過加密算法將數據資產進行加密封鎖，并獲得唯一私鑰，數據安全存儲平臺可查看數據的前十條概述，對于其他數據，無私鑰或企業授權，任何主體都無權查看。將數據資產進行數字信封加密，賦予數據資產主體唯一密鑰，這是知識產權排他性的體現，也是在促進數據資產流通的同時對數據資產主體的合法權益的保護。基于勞動價值理論、創新激勵理論等原理證成數據資產主體對所加工數據享有的可受法律保護的權益，將滿足要求的數據納入知識產權保護框架，該權益客體具有無形性，通過一定技術手段來補強對其的排他性保護是數字化時代的應然之義。

4 結 論

團體標準屬于市場型標準，直接被法律援引的功能不大，但能夠在立法尚未對新興事物做出明確規定前迅速地做出反應，為后續立法鋪路。由于公信力等原因，法律通常只援引政府型標準而不會援引團體標準這種市場型標準[10]，但無論相對于政府型標準還是法律，團體標準的制定更加靈活、高效，穩定性要求程度更低。數據知識產權質押是在數據價值深入發掘、數據利用技術不斷提高的背景下產生的，符合數字經濟發展和市場經濟發展的要求，在尚無法律法規以及政府型標準對數據知識產權質押進行規定時，通過市場主體制定的團體標準對該規范空白進行填充，有利于適應新時代下的市場需要，對市場活動實踐起到指導、規范作用，在市場實踐中不斷探索、明晰數據知識產權的構成標準及其質押的流程標準，以科學、技術和經驗的綜合成果為基礎為數據知識產權入法奠基[11]。

法律是團體標準的制定依據，對團體標準的制定、理解、適用都應當避免與法律規定出現矛盾和抵觸[1 2]。根據數據知識產權質押團體標準，整個質押流程包括七大基礎環節，在數據流通環節中，涉及的不只是數據資產主體一方的利益，還涉及到被采集數據主體、國家等多方利益，對于該團體標準的解讀和技術實施必須結合《民法典》《個人信息保護法》《網絡安全法》等多部法律規定，保證各方利益的協調和平衡。同時，標準應充分把握數據與知識產權的相同點和不同點，針對相同點，數據知識產權質押團體標準內容本身應當與現有知識產權法律體系以及知識產權質押法律規定相符，可以直接通過現有規范內容進行解讀；針對不同點，應當結合數據特性，在不與現有規范發生沖突的情況下，可以進行有利于數據知識產權質押的創造性解讀。

參考文獻

于潔，栗琳. 英國敏感信息管理及對我國的啟示[J]. 情報理論與實踐， 2021，44（7）：184-190.

趙劍文. 政府信息公開中“敏感信息”的界定——基于相關裁判事例的考察[J]. 太原理工大學學報（社會科學版），2021，39（5）：39-47.

唐迪，顧健，張凱悅，等. 數據脫敏技術發展趨勢[J]. 保密科學技術， 2021（4）：4-11.

張寧池，朱小娟，張宇，等. 互聯網商業模式下大數據脫敏方法的探究與研究[J]. 行業應用與交流， 2021，40（1）：150-154.

劉穎. 電子銀行風險法律問題研究[M]. 北京： 法律出版社，2016：45.

羅恬漩. 民事證據證明視野下的區塊鏈存證[J].法律科學（西北政法大學學報）， 2020（6）：65-72.

王婧. 法院采信存證證書作為有效權屬證據[N]. 法治日報，2021-10-12（010）：1-3.

Prasanna S，Gobi M. Performance analysis of distinctsecured authentication protocols used in the resourceconstrained platform[J]. ICTACT Journal on CommunicationTechnology，2014，5（ 1） ： 904-906.

張小紅，涂平生. CP-ABE與數字信封融合技術的云存儲安全模型設計與實現[J]. 計算機應用與軟件， 2016，33（9）：313-319.

周宇. 法律引用團體標準規則的探索[J].電子知識產權，2022（3）：4-19.

柳經緯. 論標準對法律的支撐作用[J]. 廈門大學學報（哲學社會科學版）， 2020（6）：152-162.

王雅君. 芻議標準與法律的交互關系[J]. 中國質量與標準導報， 2021（2）：65-67.