大數據時代企業數據保護的困境與路徑構建

楊慧玲

（江西財經大學，南昌 33006）

一、問題的緣起

在“互聯網+”和大數據時代，數據已然成為數據產業發展的符號代表，成為平臺企業保持和提高生態平臺市場競爭優勢的重要資源。但受企業數據權益保護立法缺失的制約，并且數據行業規則并不成熟，[1]騰訊與抖音的數據糾紛、新浪微博與脈脈的數據之爭、淘寶與美景公司的糾紛，無不透露出市場競爭的混亂。目前，我國缺失關于企業數據權利保護的法律規范，企業數據的內涵邊界、內容、權屬等均存在很大爭議。

學術界對數據權益保護的研究成果眾多，但大多集中在對個人數據的法律保護上，而對企業數據權益保護的研究卻相之甚少，也大都從企業數據財產性權利保護以及分類保護的角度來進行研究，[2]始終未達成共識。總之，在為數據產業崛起和數據市場自由競爭營造開放寬松的環境中，如何實現企業數據權益保護與數據自由交換流通的平衡，是我國司法領域不得不面臨的難題。

二、企業數據保護的困境

數據經濟的核心是對信息進行開發、生產、理解和交換。企業數據產生的過程是從簡單的原始信息（包括個人數據）經過收集、處理和合并，形成具有經濟價值的企業數據，再進行應用或交易。根據披露程度的不同，企業數據可分為公開數據、半公開數據和非公開數據。根據生產方式的不同，企業數據可分為原始數據和衍生數據。原始數據是平臺收集和存儲的可商用的數據信息，是一種個人數據集。衍生數據是收集、記錄和存儲原始數據之后產生的系統可讀數據，數據經營者利用算法和模型來匿名、脫敏、過濾、計算和整合原始數據，以達到利用或經營的目的。[1]

在數據利益的驅動下，企業投入大量人力、物力、財力，不斷開發和完善數據生產、采集和分析方法，以期享受更多經濟效益和實現數據產業的繁榮。越來越多的公司能夠收集、處理和分析原始數據，有些公司甚至發展出創建全新的、有價值的數據集（如數據庫和大數據）的技術能力。企業數據保護作為一個獨立而重要的全新課題，應當適時加以規范和保護，然而，當前企業數據保護領域卻存在嚴重的法律缺位現象。

（一）現有法律保護機制的局限

關于企業數據權利的保護，目前我國現行的法律體系沒有給出完全的解決辦法。關于對數據權利的維護，比較法上主要有兩條不同的立法路徑。其中一個就是美國主張的數據隱私權保護模型，它否認任何一個人對其數據擁有所謂的“數據權利”，只是當一個企業在其處理數據的行為中侵害了個人隱私時才會提供保護。另一種形式就是歐盟主張的賦權保護模式，它是賦予自然人以積極的權能來限制企業信息權利的適用范圍。總的來說，這兩種模型并不直接地承認一個企業的數據權利，而是通過逆向約束來維持企業的數據權利。然而，這種從個人數據中推導公司數據權利的方式存在明顯的缺陷。這兩種模式對個人數據的權利范圍不明確，導致企業數據的權利不明確。有學者指出，現有的法律制度本身就非針對公司數據權利問題而設立的，各自都有自己特定的法律語境和制度功能，因此在處理公司數據權利問題時很難精準表達。[3]我國大數據產業發展的困境進一步印證了這一結論。

1.企業數據的商業秘密保護弊端。首先，企業數據不一定必然受商業秘密保護。為了受到商業秘密的保護，必須滿足不同法律的要求。例如，在知識產權和競爭法領域，企業數據必須符合非公開、商業和保密的要求。由此，商業秘密對于企業數據的保護范圍是十分有限的，商業秘密不能為數據經營者收集的半公開或公開數據提供有效保護。[4]其次，商業秘密保護模式容易使得企業進行數據壟斷。正如谷歌公司利用Pagerank專利壟斷海量數據，并獲得多年數據壟斷利益。[5]最后，大數據的交流與共享等特點與商業秘密的保密性相互沖突。數據的價值在于流動、傳播和共享，而這嚴重制約了商業秘密保護的應用。

2.企業數據的競爭法保護弊端。目前，在我國的司法實踐中利用爬蟲軟件非法獲取其他平臺用戶數據的案件屢見不鮮，比如大眾點評訴百度案、新浪微博訴脈脈案等。法院一般通過《反不正當競爭法》第2條的規定對其進行保護，但這種方式存在明顯的弊端。首先，《反不正當競爭法》的適用前提是雙方具有競爭關系，若是不具有競爭關系的第三方侵害企業數據權利則無法利用《反不正當競爭法》進行保護。其次，競爭法的適用也有明顯的滯后性，只有在不正當競爭行為發生之后才能進行保護，不能起到預防損害的積極作用。這種方法不僅模糊了爭議焦點，也沒有建立起一個參照標準，因此今后很難為爭議起到一個明確參照的作用。

（二）企業數據利益關系的繁雜性

在社會轉型和科技迅猛發展的大發展時期，各式各樣的利益訴求成倍增長。有關數據權利的提出，也是數據主體對利益訴求權利化的期望，而不同的群體往往有不同甚至是矛盾的利益訴求。在網絡空間領域，用戶、網絡平臺企業、社會公眾等不同主體基于自身利益，在數據權益上存在分歧實屬正常。目前，學術界對企業數據權屬和內容可謂眾說紛紜，其成因也是都不同程度地忽視了數據權屬構成的復雜性以及企業數據背后利益關系的交織性。

一方面，個人信息、隱私利益的保護與企業數據利益之間存在沖突。個人是數據的生產者，同時也是數據權利的主體，與企業數據權利呈現出復雜的交織關系。因此，個人數據權利與企業數據權利之間始終存在著此消彼長的博弈關系，一方權利的行使總是受到另一方權利的限制。在實踐中，數據經營者通常都是默默地進行收集和分析處理客戶的數據，而且消費者不能夠充分了解這些數據在交易中的使用狀態或交易中對價。專業且繁瑣冗長的個人信息隱私披露保護政策常常會導致消費者對于個人信息披露問題很難有深刻的認識，使得廣大消費者在對于個人信息的披露與使用時也難以作出真實而合理性的判斷，缺乏對于隱私泄露等潛在風險的認識。我國出臺的《網絡安全法》和相關政策都提到：數據經營者在收集和使用個人數據時，必須遵守法律法規并征得個人同意，但對于經個人同意可以數字化的敏感信息（非個人隱私），則應對數據進行脫敏和匿名處理。值得注意的是，即使在脫敏化和匿名化處理之后，個人數據并不一定當然轉換為企業數據。有學者指出，如果經過脫敏和匿名處理后仍能識別出個人數據，所識別的個人數據仍然是“可識別的”。[6]那么，在某種程度上不能簡單地認為在公司處理個人數據之后，個人數據就從個人屬性中分離出來。

另一方面，企業與企業之間數據競爭之間的沖突。最近實踐中，數據壟斷、數據濫用等事例時有發生，如轟動一時的淘寶訴美景大數據產品案、[7]大眾點評訴百度不正當競爭案、[8]騰訊與華為的用戶數據糾紛等等。從深層意義上講，這無疑是一場大數據時代下個人權利與企業數據利用、企業與企業數據控制之間的利益博弈。如何平衡與協調好個人、企業和相關公眾之間的數據權益，這既是一個新的司法難題，也是對立法者智慧的考驗。

三、企業數據權益保護的正當性基礎

（一）勞動財產理論

洛克強調，勞動是獲取財產的合法性基礎，人們可以通過勞動獲得財產。[9]勞動權利理論在一定程度上肯定了企業為收集、利用數據而付出的智力勞動。企業數據的形成是基于大量的企業實質性投入，包括人力、物力和財力等資源，才形成具有經濟價值的數據。雖然勞動財產理論不能充分或完全被用來證明企業數據這一無體物的正當性，但是勞動財產理論背后所體現出來的理念幫助我們認識到，應當保護企業的數據權益。

（二）功利主義理論

根據功利主義理論，產權的最終目標應該是社會福利最大化。現代功利主義者主要關注盈利能力的評估，強調制度效益與成本的平衡，為數據權利制度提供了良好的路徑構建。從商業角度來看，用戶數據代表了公司的核心資源，通過分析用戶在數據平臺上留下的使用痕跡可以反映客戶的真實需求，其中提供潛在的商機和用戶體驗提升的機會，鼓勵企業積極開發，客觀上也會促進社會福利的提升。企業數據是所有市場參與者的目標，如果不對搭便車行為進行限制和規制，將會打擊企業投資和創新的積極性，從而間接影響數據產品的提供，乃至于降低整個社會的福祉。正如2017年淘寶訴美景一案，法院認同了勞動成果理論和功利主義論的理念，根據誠信原則和一般商業道德，認為原告通過大量實質性投入而獲得的數據產權受法律保護。[10]

四、企業數據保護的路徑構建

（一）企業數據保護的模式選擇

根據上述對企業數據權屬和利益關系復雜性的描述可以得知，在產權邊界沒有被準確明確界定時，將數據進行絕對保護或立法上的統一保護是不可能實現的。數據技術和競爭手段不斷更新，數據糾紛的類型也隨著時間的推移而變化，用戶、企業和公眾還處于動態的平衡和調整之中，適應單一的保護模式很難適應上述變化，同時還會限制案件中法官的自由裁量權。

當前有關企業數據權利保護的模式主要有賦權保護模式與行為規制模式。賦權保護說主張構建數據新型財產權，賦予企業以數據經營權和數據資產權。[11]行為規制模式主張根據具體情況，綜合權衡損害與利益，注重對競爭行為正當性的判斷。[12]雖然對企業數據進行適當的確認保護，可以明確界定適當保護與行為自由的界限，并對他人提出合理的期待，確保法律的穩定性，給企業帶來的好處是顯而易見的，但企業也失去了一部分公眾價值。破窗理論表明，社會將為此付出更多的機會成本。價值并不意味著就有權利。[13]企業數據雖然包含勞動又具有經濟價值，但也只能作為一種財產性利益受到保護，而且在一定的情境下還要界定保護與自由的界限。企業數據保護理論應注重對數據形式的保護，平臺企業在控制數據形式方面的利益也僅限于消極排除他人非法使用和破壞的功能。

（二）個人數據保護與企業數據利用之間的平衡

數據保護應遵循數據經濟的規律，不能一成不變地片面強調對個人數據的保護，而應將個人數據的保護與企業數據的保護相協調，以達到適當的平衡，不僅要保護個人數據，同時也要保護企業數據的利益。有學者將個人數據定性為“強人格弱財產”，將企業數據定性為“強財產弱人格”。[14]通常情況下，單個的個人數據幾乎沒有商業價值，只有在收集和整合大量的個人數據形成數據集才反映出數據的財產性價值。企業數據的使用和傳播主要是為了獲得經濟商業價值，為了降低個人數據泄露風險，擴大數據使用范圍，公司經常會對收集到的個人信息脫敏，脫敏后的衍生數據往往具有很高的商業價值。但企業數據的使用范圍并非完全不受限，企業使用數據時，不得超出用戶授權的范圍，不得影響信息自由、公共安全和公共利益。

如果基于個人數據的企業數據不符合個人數據“知情同意”原則或者不進行匿名、脫敏處理或者超過個人數據范圍限制的，這顯然違背了保護個人信息的法律規范。因此，就路徑構建來說，應當優先充分保護個人數據，這不僅能有效保護用戶的相關權益，還能幫助企業順利地收集和使用個人數據，以增強用戶對企業的信心。在保護個人數據的同時法律不僅要滿足個人對其數據權利的期望，同時也要為合理使用這些個人數據提供空間。只有通過這種方式才可以實現個人數據和企業數據的協同保護，平衡數據的隱私期望和企業數據的合理使用。