反不正當競爭法視角下的企業數據權益保護

崔雨宸 溫宇晨

（天津財經大學法學院,天津 300222）

1 引言

針對企業數據權益的保護方案，明晰數據從業者之間的競爭邊界就顯得尤為急迫，最直接的辦法是通過法律確認數據權屬、建立數據產權制度[1]，但數據權利的立法空白直接導致了分配數據權屬的方式爭議不斷[2]，因此要對企業數據權益的概念進行分析。

2 企業數據權益厘定

目前學界對企業數據權益的法律屬性尚無統一觀點。林華（2014）認為，企業數據在我國現行的法律體系中更接近數據庫或者說是匯編作品，二者均屬于無形財產，因此應定性為智力成果，適用知識產權法進行保護[1]；基于勞動論，姬蕾蕾（2019）認為，企業對以提供服務為對價換取的數據享有正當的權利，因此主張采用物權和知識產權的雙重保護[2]；而對此，龍衛球（2017）提倡，企業數據權益與其他現有的權益不同，需要建立一種全新的財產權來定性和保護[3]。筆者認為，企業數據權益是由不同的權益集合發展而成的權利束，為了厘清企業數據權益，需討論數據權益的內涵及集合性權利理論。

2.1 企業數據權益的內涵

企業數據由財務數據、運營數據以及人力資源數據等反映企業基本狀況的固有數據，經用戶授權獲取的個人數據及脫敏、加工后形成的商業數據三部分構成。企業數據權益是指企業作為數據主體對其所掌握的數據資源享有的受法律保護的權利和利益，據此，企業數據權益應當包含人格權益和財產權益。就人格權益而言，企業對其收集、儲存、加工、使用和交易的個人數據要承擔一定的責任，我國有關個人信息的保護規定散見于《中華人民共和國刑法》《中華人民共和國民法典》（以下簡稱《民法典》）《中華人民共和國網絡安全法》等，《中華人民共和國個人信息保護法（草案）》（以下簡稱《個人信息保護法》）已經公布，其中關于人格權益的保護將很大程度地影響財產權益的保護路徑。就財產權益而言，我國主要依據《中華人民共和國反不正當競爭法》（以下簡稱《反不正當競爭法》）進行規制。

2.2 集合性權利理論

企業數據是一種集合性資源，單條的數據即使有價值也是極為有限的，若給予單條數據過度保護會造成經濟學上的“反公地悲劇”現象，不利于數據價值的充分挖掘，只有成為數據集合才能確認和主張數據權益已達成共識。目前學界對于集合性權利理論有以下三種。

第一種是“企業數據池”理論[4]，該理論提出將匯集大量數據的集合在法律上抽象為“數據池”（這一概念也被其他理論應用），并賦予數據收集和管理者以排他地使用和收益的權利。盡管《民法典》中并未明確規定“企業數據池”財產權益，但在大量不正當競爭案件中，都通過保護數據控制者的方式間接承認了企業通過用戶協議享有了合法收集和使用用戶數據的財產性權益。

第二種是信托理論。它否認了“企業數據池”是一種私人財產權利，其權屬應當歸全體互聯網用戶所有，即互聯網平臺作為其收集到的“企業數據池”的信托管理人，在取得一定收益的同時對全體用戶負責。

第三種是責任規則與財產規則理論[5]。責任規則指的是，數據控制者讓第三方即數據處理者以低成本開發，發現侵害隱私再停止使用，以便最大限度地開發數據。財產規則指的是，數據控制者采用更為嚴格的審核制，選擇有能力的數據處理者進行開發并享有部分權益。

上述三種理論均有可取之處也各有不足，其中任一理論都不能整體適用于數據法領域。第一種理論通過賦予權利排他性，保護了企業的財產投入而忽視了用戶的數據權益，不能解決分配領域的數據爭議；第二種理論嚴重依賴企業能否承擔“數據池”的有效管理與利用職責，在數據企業不成熟的現狀下，更加適合處理政府與公眾的數據關系而不適合處理企業與個人的數據關系，且我國的信義義務更多存在于公司法領域，在數據資源領域尚未形成有效的制度設計；責任規則可以處理用戶與企業之間的關系，財產規則可以解決數據企業競爭邊界的問題，但我國法律尚未明確規定數據控制者和數據處理者及二者之間的權利義務關系。

3 反不正當競爭法對企業數據權益保護的現狀

我國對企業數據權益保護的相關法律規定并不完善，在司法審判中往往只能適用《反不正當競爭法》作為裁判依據，但保護力度遠不足以遏制市場惡性競爭的亂象。

3.1 一般性條款的適用無統一標準

司法實踐中主要適用《反不正當競爭法》第二條的一般性規定，經營者在生產經營活動中，應當遵循自愿、平等、公平、誠信的原則，遵守法律和商業道德。與第九條商業秘密保護制度、第十二條“互聯網專條”一同對數據不正當競爭行為進行規制[6]。其中，根據立法解釋的規定和已有判例，第二條是處理數據不正當競爭糾紛的主要法律依據，該條所指“不正當競爭行為”涵攝了數據不正當競爭行為。

百度訴奇虎案中，法院認為奇虎公司擅自抓取、復制百度公司數據，構成對對方競爭優勢的破壞，可認定為不正當競爭行為；新浪微博訴脈脈案中，法院以淘友公司違反“三重授權原則”認定侵害用戶個人信息，構成不正當競爭；大眾點評訴百度地圖案中，百度地圖使用大眾點評的點評信息充實產品被認定為不正當競爭；淘寶訴美景案中，美景公司將淘寶的數據產品作為獲取商業利益工具的行為，屬于未付出勞動創造的“搭便車”行為，有悖商業道德，構成不正當競爭。

法院多以一般性條款作為法律依據進行裁決。這一適用的優點是更容易根據個案進行利益平衡，但這并不能掩蓋該原則性條款并無統一適用標準導致的不確定性。

3.2 商業秘密的認定具有不確定性

企業數據除了由內部的技術信息等組成外，更多是由來自公共領域的信息構成，如果對公共領域的信息賦予一定的商業秘密權，很可能導致公共領域的信息一定程度的不當限縮，從而極易侵害到公共利益。反之，若不授予，也容易一定程度侵害企業的正當權益。

3.3 與其他法律存在交叉重疊問題

《反不正當競爭法》確立了“三重授權原則”，其中用戶授權原則與《個人信息保護法》《信息安全技術 個人信息安全規范》中的知情同意原則構成交叉重疊。“知情同意”是企業直接向用戶收集個人數據時需要遵循的原則；“三重授權”是第三方企業向收集用戶信息的企業抓取時應遵循的更復雜的原則，但復雜的授權規則在實踐中對數據流動設置了障礙，降低了數據利用效率。因此，只有厘清相關法律之間的關系，才能更好地解決原則之間的銜接問題。

4 企業數據權利化訴求的困境

4.1 通過界定數據權利以消除外部性的可操作性差

外部性指的是某個經濟主體對另一個經濟主體產生一種外部影響，而這種外部影響又不能通過市場價格進行買賣所產生的溢出效應。目前大數據控制者很容易被他人“搭便車”而產生外部性問題，外部性問題在經濟學上主要通過產權界定和國家管制（如稅收、補貼或行政許可等）來解決。在產權界定方面，“科斯第二定理”認為，在有交易成本的情況下，因為法律對權利的不同分配方式將對應不同的資源配置效率，所以為了優化資源配置，有必要選擇產權制度，在產權明晰的前提下由權利人自由協商。然而與其他規制對象不同，科斯定理對數據權利存在適用難題。一是作為數據權利當事人的網絡用戶是一個數量龐大、構成復雜、流動性強且難以特定化的群體，在信息不完全對稱的情形下，協商過程因成本和難度的增加而很難達成一致；二是就成本而言，企業分析大數據的技術成本、信息成本、議價成本是相當高昂的，甚至超過受他人侵犯而承受的損失。

4.2 無法通過授予壟斷性權利對知識產權加以保護

我國的知識產權法保護的實質是權利人對利用或流通智力成果的壟斷權，而其可行性正是基于對智力成果的利用或流通是可識別、可救濟的。由于數據本身在經分析和挖掘之前的價值難以顯性化，且純粹的數據流通很難由數據控制人識別，因而也難以得到救濟。因此，數據并不具備被置于壟斷領域的基礎和前提，無法進入知識產權法的保護視野。同時在《民法典》中，立法者也意圖將數據作為知識產權的客體加以保護，由于這一做法引起了巨大的爭議，因而未能保留，而是以“開窗式”的授權規定取而代之。

4.3 設立企業數據權利缺乏現實基礎

數據法不是傳統法律部門，而是隨著生產方式發展而衍生的領域法。領域法需秉持實用主義研究立場，以問題意識為起點，以經驗研究為理論來源。因此，數據財產權利設置應當首先關注數據市場的健康發展，保障數據市場經濟秩序的公平有序和交易安全，貿然設立絕對化的數據資產權不但容易導致數據壟斷、數據歧視等破壞市場秩序的現象，而且不利于個人數據的保護。

5 完善企業數據權益保護模式的建議

5.1 設立數據控制權

“數據控制者”的概念確立于經濟合作與發展組織（OECD）于1980年發布的《隱私保護與個人數據跨境流動指 南》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data），定義是：根據各國法律能夠決定個人數據內容和用途的主體。其解釋備忘錄指出，商業企業、團體、協會的相關數據與個人數據均應受到保護，應將保護個人數據的規則擴張適用于前者。歐盟《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR）第四條第七款規定，數據控制者是能單獨或聯合決定個人數據處理目的和處理方式的自然人、法人、公共機構、行政機關或其他非法人組織。

我國在數字經濟領域走在世界前列，但個人信息權的立法遠落后于歐洲。2020年，我國《民法典》中提到了“信息收集者”“信息控制者”兩個概念，并規定二者應當采取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失，以及發生不利后果應采取的補救措施和向主管部門報告的義務。《民法典》為法律設置數據控制權提供了依據，也為后續的權利設置討論提供了可能。

企業數據控制權的客體應當限于包含用戶信息的數據，對于經加工的脫敏數據，應當依據商業秘密或一般條款規制。數據控制權源于用戶對個人數據的讓渡以換取企業平臺提供的服務，這些個人數據匯入“企業數據池”后，企業便取得了控制權。控制權能夠從以下兩個方面發揮作用。

一是從企業競爭中保護人格權益的角度。當數據控制者遭受其他企業的“非法爬蟲”等不正當競爭行為時，由于用戶無法得知自己的數據被侵害，且用戶數量龐大，不適合單獨提起人格權之訴，而不正當競爭之訴的賠償額度較低，無法匹配人格權益應有的保護強度，過低的違法成本將使得侵權者有恃無恐，甚至會加劇數據人格權益侵害。因此，企業應當代替用戶對侵害用戶數據人格權益的企業提起侵權之訴，而不是不正當競爭之訴。

二是從數據與企業關系中保護人格權益的角度。與數據資產權的主要差異在于，數據控制權不得對抗個人信息的攜帶權、被遺忘權和刪除權，這三種權利已在學界達成共識，新頒布的《民法典》也在個人信息保護部分印證了該說法。數據控制權的前提是個人數據權的確立，個人參與和控制是數據主體約束數據控制者使用數據的有效權利約束機制，賦予數據控制者權利，就需要確立數據主體個人數據權，通過權利相互制約達到對個人數據的利用與保護的平衡狀態。從法律制度的內部關系看，數據控制權能代替新浪微博訴脈脈案中確立的“三重授權原則”，與《個人信息保護法》中的知情同意原則相銜接。若企業違反知情同意原則，則應當由用戶個人依據《個人信息保護法》對企業提起侵權之訴。如果企業侵權的對象是數據控制企業，主張侵害控制權就更為合理且有效。因此，設立數據控制權，既能加強對數據權益的保護，也能避免《反不正當競爭法》與《個人信息保護法》出現規制交叉重疊的問題。

5.2 細化一般性保護條款

司法實踐中，法官通常采取最高法院給出的分析方法進行裁判，即先認定被侵害企業是否有實質損害，若該損害確有保護的必要，則進一步認定該侵害行為是否違背誠實信用原則和商業道德。具體到數據不正當競爭案件的應用中，針對誠實信用原則和商業道德的判定標準，需要在案件的審理過程中得以明確。

“誠實信用”是民法的基本原則，直接用于裁判雖然有利于個案平衡，但留下的自由裁量空間過大，適用標準具有主觀性。商業道德同樣具有適用范圍過寬的問題，成熟的行業慣例尚未形成，數據壟斷企業對行業規則的影響過大，因此要謹慎援引行業規則作為裁判依據。

采取“概括+列舉”的方法，對法院在司法實踐中已經認定的、有借鑒意義的誠實信用原則和商業道德的具體表現進行固定。同時，盡快在司法解釋中明確本條所規定的誠實信用原則和商業道德的內涵和外延，嘗試對誠實信用原則和商業道德進行細化。“海帶配額”案明確了第二條的司法適用條件，使得之后的案例中法院可直接在判決中參考該條件。最高法院的裁定一定程度規范了第二條的司法適用：一是法律對該種競爭行為未做出特別規定；二是其他經營者的合法權益確因該競爭行為而受到實際損害；三是該種競爭行為確因違反誠實信用原則和公認的商業道德而具有不正當性或可責性。隨著案例的不斷豐富，希望能產生更多類似判例補充法條漏洞。

6 結語

反不正當競爭法視角下的數據權益保護，應當采取“雙軌制”保護模式。首先，建議設立數據控制權，如此，既能實現對數據權益的加強保護，也能避免《反不正當競爭法》與《個人信息保護法》出現規制重疊的問題。其次，針對《反不正當競爭法》，建議做出如下改進：一是明晰誠實信用原則和商業道德的內涵和外延；二是實行舉證責任倒置并明確商業秘密的認定標準；三是在借鑒吸收審判實務經驗的基礎上增加限定性因素和優化禁止性條款。最后，在未來關于數據權益的其他相關立法中，宏觀層面，應當通過中央立法或者司法解釋明確各法關于數據權益保護的邊界，并逐步建立健全數據分級保護、分類保護制度；中觀層面，地方各省市應加快制定實施促進條例，為大數據發展營造良好的市場環境；微觀層面，數據類行業協會應積極制定具體數據商業場景中企業普遍認可的行業規則、準則，明確企業的競爭邊界。