我國企業數據法律保護的研究譜系與趨勢展望*

魏遠山

(廣東外語外貿大學 法學院，廣東 廣州 510006)

0 引言

數據的價值日益凸顯，使其躍遷為生產要素。近年來，圍繞數據的糾紛頻發，將數據要素保護與交易規則不健全的弊端暴露無遺。《民法典》《數據安全法》等法律雖明確保護企業數據，但無具體規則供給。為進一步釋放數據要素潛能，國家多次發文要求建立數據產權制度，明確數據權屬。如2022年6月22日，中央全面深化改革委員會第二十六次會議審議通過的《關于構建數據基礎制度更好發揮數據要素作用的意見》，“要建立數據產權制度，推進公共數據、企業數據、個人數據分類分級確權授權使用，建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制，健全數據要素權益保護制度”。與此同時，學界和業界也呼吁要盡快界定數據權屬，為培育和構建數據要素市場奠定基礎。尤其企業數據確權問題，被提到前所未有的高度。但遺憾的是，目前我國企業數據確權并未形成共識，學界和業界的態度也相差甚遠。鑒于當下企業數據法律保護的混沌狀態，本文試圖從國內現有研究成果中梳理企業數據保護的理論路徑，以勾勒出相關理論研究態勢，并就其未來發展趨勢求教于方家。

企業數據的法律保護問題雖早在21世紀初就有學者研究，但受制于彼時信息網絡技術的發展水平，并未引起過多關注[1]。 直到2016年前后，大數據、人工智能、算法等新一代信息網絡技術的蓬勃發展，使數據生產、存儲和處理能力得到大幅提高，數據成為迭代企業商業模式的重要驅動力，企業數據法律保護的議題才進入人們視野。目前，企業數據保護主要分為保護和不保護兩種觀點。不過，如“數據作為大數據技術的數字尾氣或副產品”不提供激勵措施也無傷大雅等觀點已被時代拋棄，保護企業數據才是當下的時代聲音。但究竟如何保護企業數據，就是保護論者所面臨的核心問題。從當前學界研究的進展看，企業數據保護的路徑大致可分為“權利保護說”和“行為規制說”兩種，并在二者基礎上出現了“區分保護說”。“權利保護說”和“行為規制說”的分野在于是否應當為企業數據賦權。前者認為企業數據應被權利化，后者則認為企業數據不具有權利化的要件。正因如此，本文擬從“賦權正當性”“權利保護說”“行為規制說”三個維度描繪企業數據法律保護相關的研究景象。

1 企業數據賦權正當性考察

企業數據是否應被賦權，決定著保護路徑的抉擇。相關研究可分為“賦權具有正當性”和“賦權不具有正當性”兩種。

1.1 賦權具有正當性

當下，企業數據賦權具有正當性是多數派觀點，奠定了“權利保護說”的“主流地位”。這一論調主要來源于以下論點：

(1)勞倫斯·萊斯格的“信息財產化理論”。為更好保護隱私或個人信息，萊斯格賦予個人高度自決權，主張“通過財產權保護個人數據”[2]。 該理念認為隱私或個人信息均是可被財產化的，個人可借助“財產規則”保護隱私。我國部分學者在此理論基礎上推演出“數據財產化”觀點，認為在企業與用戶間的數據交往中，用戶信息僅是企業數據的源頭之一，企業在用戶信息基礎上通過加工、處理、分析等工序獲得的數據已超脫個人信息范疇。類比個人對其信息享有財產權，“企業對其生成的數據亦享有財產性權利”[3]。

(2)基于洛克勞動理論論證企業數據財產性權益。洛克在《政府論》中論證了只要在“不浪費并留下足夠多和好的東西給其他人”的情況下，人類可通過自身勞動將一部分共有物私有化，即勞動者對融入自身勞動的物品享有財產權。洛克勞動理論確立了基于自身勞動而對某物享有財產權的正當性理論。在此理論下，企業在收集或生成企業數據時耗費了大量人力、物力和財力，使其對合法獲得的數據享有某種財產性權益[4]。

(3)激勵理論是企業數據賦權的一大動因。數據的生產與收集需投入較大成本。若在數據生產或收集后無法禁止他人獲取，只會異化并催生“不勞而獲”“搭便車”之風，最終打消企業收集數據的積極性。賦予企業數據權不僅可將企業數據收集的負外部性降低還有助于提升收益，激發企業投入更多精力去收集或生產數據，激勵數字產業的發展[5]。如果說洛克勞動理論是企業數據財產權的上層原則，那么功利主義效益分析則是企業數據財產權建立的中層原則，決定著如何構建數據財產權制度。

(4)出于經濟效益考量而主張數據權利化。數據的稀缺性意味著數據要素分布不均衡。在缺乏權利保護框架時，企業為保護自身數據不愿將數據許可他人，數據的利用和流通嚴重受阻，導致社會可用數據不足，負外部性顯著。企業數據賦權能“界定人們如何受益及如何受損，因而誰必須向誰提供補償以使他修正人們采取的行動”[6]，意味著數據權屬明確后，企業“有義務內在化其數據利用行為造成的外部性損害”。這種“內部化成本的降低及其收益的提升”[7]，不僅為數據財產權化提供堅實的經濟學基礎，也符合法經濟學的成本收益原理。而且，通過賦權實現數據要素的優化配置，能夠推進數據市場的穩定發展，也符合大數據時代的發展需求。

(5)現有法律制度難有效保護企業數據權益。在數據躍遷為生產要素前，我國法律已確立所有權、知識產權等保護規則，如物權、商業秘密、反不正當競爭和知識產權制度。作為新生事物的企業數據，因其特性難以通過現行財產權制度保護，應肯定其財產屬性并賦予財產權進行保護[8]。

(6)其他論證企業數據應被賦權的觀點。一是對數據源的管理是數據產權的依據[9]。訪問他人掌控的數據需經控制人許可，而控制人對數據本身和數據權益的管理，為主張數據權利提供了有力支撐。二是數據生產理論[10]。企業數據歷經收集、存儲、處理和應用四環節，其中數據采集是原始數據生產的過程，對采集后的數據進行處理則是數據集的生產過程。企業在上述兩個過程中的投入是數據生產，能夠為其主張數據權利提供合理性支持。三是企業數據符合“物”的特性。企業數據不僅具有獨立性、稀缺性、使用價值，還可被非社會性控制壟斷，符合“經濟性檢測”“可特定性檢測”“可轉讓性檢測”要求，足以成為新的財產類型或權利客體[7]。

1.2 賦權不具正當性

一是基于數據本身特征而反對企業數據賦權。其一，數據本身無價值。數據是信息的原始形態且偏向于形式，信息是數據的核心且偏向于內容。數據價值來源于信息內容，其本身并無價值，無賦權必要[11]。其二，數據體系難與權利體系匹配。一方面，以瞬時性、可復用性及多歸屬性為根本屬性的數據，迥異于傳統民法上的“物”，數據轉移或分享后并不必然引起所有權變動，致使物權制度在數據領域失靈。另一方面，數據客體特定性、獨立性的缺失及主體分散化、多元化的雜糅使數據財產權難以證成[12]。

二是企業數據權面臨難以化解的理論困境。其一，企業數據權自身應回應的難題尚難消除。因企業數據在某種程度上與個人信息關聯甚密，企業數據權理論如何解釋數據的隱私性和財產性關系尚不明確；相同數據可被他人同時合法持有，但企業數據權無法合理解釋自己權利與他人權利的邊界與關系；當企業將其數據無償分享或開示后，被分享或開示數據的企業數據權是否存在尚無合理解釋[13]。其二，企業數據權與其他既有權利的張力難消除。一方面，如數據生產者權等與知識產權制度存在重復保護之嫌[14]；另一方面，鑒于數據特性，既有的以有體物為原型、確定地歸屬于一方的所有權制度和“權利束”學說解釋力欠缺[15]。其三，企業數據賦權無法滿足數據權利法定性和透明性的內在需求。不論是以有體物為核心的所有權制度，還是以智力成果等無形物為對象的知識產權制度，要么嚴重妨礙他人利用數據，要么難以將數據類比智力成果；而所謂的新型財產權只不過是現有權利的翻版，無法為所有數據劃定清晰的權利邊界，存在過度攫取公有領域中信息的危險。

三是數據界權成本畸高[16]。一方面，對數據本身的界權成本過高。高昂的數據權利界定成本和數據權利化后面臨的諸多窘況，加劇了數據權成形的難度。另一方面，數據界權后將產生較高社會成本。企業數據界權將會造成數據分享和流通壁壘，有礙數據價值的實現。

四是激勵理論難為賦權正名[17]。盡管激勵理論看似為數據界權提供了正當性基礎，但此理論不僅與行業現狀不符，未來也難激勵數據生產。而且，數據財產權難為數據公開和分享提供足夠的激勵作用。此外，激勵理論也無法為數據專有財產權提供正當性根基。甚至在某些行業內，數據的生成僅是經營活動的必然生成物，即使不提供激勵也依舊有大量數據產生。

2 權利保護說

索驥企業數據賦權具有正當性的觀點，必然走上賦權路徑。但此種路徑內部也存在分歧。尤其是以既有權利框架還是新設權利制度進行保護是核心爭議。

2.1 傳統權利保護說

將企業數據解釋到既有權利客體范疇，或擴展性解釋既有權利框架以囊括企業數據，是傳統權利保護論者的主要分析進路。整體而言，“傳統權利保護說”主要依據物權制度或知識產權制度保護企業數據。

2.1.1 以物權為基礎的權利保護說

“物權為基礎的企業數據權利保護說”有“所有權保護說”和“用益物權保護說”兩種觀點。

企業數據所有權說。從物權客體的法律屬性看，企業數據滿足“獨立于人體之外”“能為人所控制”“能滿足人們生產或生活的需求”的特征，將企業數據類比于所有權客體，或認為數據可成為所有權客體，進而賦予企業數據所有權。但在具體企業數據所有權設置中，又有不同觀點：一是不區分數據類型而統一賦予企業數據所有權。如企業作為數據主體，對企業生產經營的相關數據享有絕對的數據所有權[18]。二是企業僅對衍生數據享有所有權。企業僅通過收集用戶的個人信息匯集的數據屬于原始數據，因負載了用戶個人信息，難成為企業所有權客體；但企業在原始數據上的附加勞動所獲得的衍生數據，可成為所有權客體。三是數據業者與數據主體的差別所有權結構。盡管企業數據包含了用戶個人信息，但考慮到企業在數據收集或生產過程中投入了巨大成本，應遵循“以數據業者捕獲所有權為主，以數據主體關聯所有權為輔”的二元企業數據所有權權利結構，在一般情形下將數據所有權分配給企業，將與人格密切相關且界定清晰的“個人敏感數據”權利分配給數據主體[7]。

企業數據用益物權說。該觀點同樣將數據財產權視為完全物權化的權利，只不過更多是以用戶個人隱私為出發點推演的。互聯網技術的發展突破了傳統以隱私權為核心的個人隱私保護框架，個人信息雖然作為隱私的拓展，但其本身就重在利用以助于交流，因此僅能對個人信息賦予框架性的人格權以保護自然人的人格利益。而個人數據作為個人信息的載體，為提高對個人信息的保護力度，以“信息財產權理論”推導出個人數據所有權，以保護個人信息的財產性利益。數據主體(自然人)對其個人數據享有所有權，那么企業收集個人數據就無法獲得所有權，只能基于用戶的授權等享有數據用益權[19]。

2.1.2 以知識產權保護企業數據

在現有權利客體中，智力成果與企業數據最相近，故借助知識產權制度保護企業數據也就不足為奇了[12]。就借助知識產權保護企業數據的觀點，存在“新型知識產權說”與“傳統知識產權說”的分野。

“傳統知識產權說”主張以著作權、專利權或商業秘密等保護企業數據。現行知識產權法律框架足以為數據保有者收集、整理、解析、加工數據的行為提供足夠激勵，無需創設新的激勵機制。如符合數據庫要件的企業數據可通過匯編作品或鄰接權制度保護[17]，又或借助《反不正當競爭法》對符合商業秘密構成要件的企業數據進行保護[20]。當然，“基于商業數據的固有性質以及工業產權的歷史邏輯和制度內涵”，也可將商業數據納入工業產權序列，設置一種新型工業產權與商業秘密并列[21]。

“新型知識產權說”旨在仿照知識產權建立適宜企業數據的新型知識產權。如以“衍生數據”為客體，構建包含標記權、存儲權、使用權、修改權、保護數據完整權、復制權、收益權等具體權利的新型知識產權[22]。 此外，有學者認為在《民法典》《個人信息保護法》已構建的規則體系下，對企業衍生數據的保護應引致《民法典》第123條的知識產權權益保護范圍，同時采用知識產權方法構建企業衍生數據基本權能的內容，進而在《個人信息保護法》中加以適用[23]。亦或將符合商業秘密要件的非公開性衍生數據以商業秘密制度保護，而以公開性衍生數據作為數據專有權的客體創設新型知識產權[24]。

也有學者認為應結合物權與知識產權的雙重優勢，給予企業數據更完備的保護。具體而言，企業數據所有權應賦予數據業者，但考慮到數據一旦被擁有，就可能產生壟斷效益，應引入知識產權制度平衡數據權利人與數據使用者的利益[25]。或認為數據與信息存在“實體→符合→信息內容”三個層面的權利層次，且對應從“所有權→知識產權→行為規制模式的消極防御權”的保護力度遞減的保護模式[17]。

2.2 新型權利保護說

在“新型權利保護說”的視域下，既有權利保護框架難以解決企業數據特性帶來的詰問，而為其量身打造一種權利保護規則就可完美地解決所有難題。但遺憾的是，盡管新型權利保護說論者頗多，但并未形成共識。正如有學者所言，“數據權的性質也不能一概而論，它實際上就是一個由不同權利主體享有的權利組合——既包括個人信息權，也包括知識產權；既包括財產權，也包括人身權；既包括已經得到法律認可的傳統權利，也包括亟待法律調整規范的新興權利”[26]。此種論述揭示了企業數據新型權利構造的難度之大。

2.2.1 數據權利

數據權利作為一種新型權利，盡管其本意并非企業數據權，而是公民在信息社會享有的一項基本權利，但當下的數據權利內涵更豐富，企業對其合法掌控的數據所享有的權利，可被視為一種數據權利。此觀點主要出現于企業數據賦權研究的早期階段，彼時僅旨在宣揚企業對其合法掌控的數據享有一種權利，至于數據權利的具體表達、內涵及權能尚不明朗。

企業數據權是共享權。因數據與物權客體之差異導致數據權(利)與物權不同。數據權(利)不再是一種獨占權，而是一種不具有排他性的共有權，多表現為“一數多權”，但其本質上是共享權[27]。

企業數據權是控制權。該權利本質上是支配權，包含積極和消極兩方面權能。前者體現為企業無須他人的行為介入即可直接加工、收集、利用和交易自身數據；后者體現為企業對數據的權利具備對世效力。企業數據利益本質上是一種支配屬性的控制權，呈現的排他性效力是一種弱于所有權但強于相對權的支配權，有收集權、控制權、使用權和流轉權四項權能[28]。

2.2.2 數據財產權

因既有物權制度無法消弭企業數據特性，才創設類似所有權的數據財產權[29]。但并非所有數據財產權論者均以“數據財產權”表達，如數據資產權、新型財產權等稱謂，不一而足。但數據財產權是新型財產權，不應用反不正當競爭法進行保護，而應作為絕對權予以保護[4]。數據財產權應類比于物權，進而與物權和知識產權等支配權并列。

(1)數據財產權客體。一是企業對經營活動中掌控的數據或數據集合享有財產權[30]；二是企業僅對收集、加工處理后的匿名化數據集合或衍生數據[26]享有財產權；三是企業對非個人數據享有財產權[31]；四是只有剝離他人隱私，經由信息主體知情同意(或其他合法性事由)，且已去標識化的數據，才可成為數據財產權的客體[32]。

(2)確定數據財產權權能有兩種進路：

一是參照所有權的四項權能設置，但不同觀點下的企業數據財產權權能有異：①仿照所有權做籠統描述但未具體構建企業數據財產權的權能。如企業數據財產權賦予企業拒絕他人訪問數據資源的權利，可對抗第三方對數據的竊取、盜用或破壞，并在遭受侵害時有權獲得救濟，包括有權要求停止侵害、刪除非法竊取的數據，有權要求侵權者承擔賠償責任[33]。又如數據雖作為無形財產不能被企業直接支配，卻可無成本或低成本的無限復制，故企業數據財產權的核心應在保護主體對客體的控制、支配和使用而不是占有[34]。②企業數據財產權具有與所有權相同的權能。較多學者認為應仿照所有權構造企業數據財產權來消弭數據與有體物的差異，故數據財產權有占有、使用、處分和收益四項權能。如在“數據資產權”[3]論者眼中，企業在經營中生產或收集的數據是企業的一種資產，企業當然對其享有財產權。該權利是專有排他權，體現為企業對其合法掌控的數據在特定范圍內享有占有、使用、處分和收益的權利，具體可分為專有支配權能和排他支配權能[8]。 又如在“數據財產權”論者筆下，企業對其通過技術手段或交易行為獲取的大數據擁有財產所有權，企業可通過合法行為占有、使用、收益和處分其數據[32]。③仿照所有權構建企業數據財產權權能，但考慮到數據特性又作針對性調整。數據區別于有體物而無法直接被企業占有，因此數據財產權的權能僅包括對數據的使用權、處分權以及收益權，并通過主張違約或侵權獲得救濟[35]。

二是構建一種異于現有民事權利的全新數據財產權權能體系。有學者認為數據財產權的核心在于保護企業對數據的控制，其權能包括數據控制權、數據處分權；或是數據資源所有權、數據資源采集權、數據資源使用權、數據資源被遺忘權、數據資源隱私權、數據資源處置權等[36]。也有學者借助歐盟提出的“數據生產者權”構造我國企業數據財產權，認為企業對其經授權或依法收集的數據進行加工等處理后得到的數據，享有標識權、處理權、許可權和處分權等絕對性財產權[37]。此外，有學者認為對企業數據財產權應秉持一種更廣泛的財產權譜系并輔以“開放的權利束”學說，從最簡單的公共物到最圓滿的所有權形態，在此權利譜系中尋找契合企業數據的權利形態，且最有可能的是數據財產之上的權利條塊或權利束[15]。

2.2.3 數據產權

相較于數據財產權，構建數據產權亦可實現企業數據界權目的，且有利于充分釋放企業數據潛能。在“數據產權”論者中有兩種傾向：一是以數據產權之名包裝數據所有權或財產權(形式數據產權)；二是廣義產權觀念下的數據產權論點(實質數據產權)。二者的區分在于，前者將產權理解為狹義的所有權或物權概念，或單純強調法律意義上的財產權屬性；而后者突破了狹義法律財產權的范疇，融貫法學與經濟學上產權的含義，不僅強調主體與數據的財產關系，也強調主體間的行為關系。因形式數據產權徒有數據產權之名，并未脫離前文數據財產權范疇，此處僅梳理實質數據產權相關研究。在“數據產權”論點下，數據產權政策是建立數據資產交易市場的關鍵[9]，但具體構造存有分歧：

觀點一：“個人信息業者對于個人隱私權的默示或明示轉讓，產生了不同層級數據產品的級差收益，需要法律賦予信息產權并確認數據產權交易的共享性與滲透性。通過勞動和交易等法律行為啟動信息產權流轉，形成信息產權的三形態保護模式。第一形態是底層數據，是代碼1.0版本下的信息安全保護模式；第二形態是賦值數據，是代碼2.0版本下的數據平臺信息生產保護；第三形態是共享數據，是代碼3.0版下的數據產權交易價值共享保護模式。從信息安全到數據生產，形成從授權使用數據再到數據共享的信息產權配置模式”[38]。

觀點二：數據產權是設備所有者或使用者對基于數據行為而產生的數據，享有使自己或他人在財產性利益上受益或受損的權利[39]。數據是產權的客體也是產權制度的根基，產權主體則是民事主體，產權利益包括了人身性利益與財產性利益。同時，數據產權是可分割的，包含數據所有權、使用權、支配權、收益權等[40]。

觀點三：建立一種大產權觀念，按照不同數據來源分別為用戶和企業配置不同的數據產權。企業對自身獨有數據享有數據產權，用戶對企業收集的個人數據享有數據產權，企業經營活動所獲取的數據根據貢獻度分配產權。并且，數據產權以信息為對象，具有經濟利益屬性和生產要素價值，專屬于特定主體[41]。

2.2.4 其他權利觀點

在“權利保護說”觀點下，為避免數據經濟市場在自我調節方面的失靈和限制公共領域的行為自由，為企業數據確權是發展數字經濟和構建數據要素市場的基礎。但除上述“新型權利說”外，構建不同于傳統權利和上述新型權利的其他權利，以針對性解決企業數據特性引起的賦權難題，亦是一種方案。

考慮到企業數據的流動性和非競爭性，難以設置一種類似于物權的絕對權，但可為企業投入并達到實質規模的數據集合設置有限排他權，即公開傳播權[42]。但對企業數據利益的保護，需設置一種兼具物權與知識產權屬性，同時體現人格權與財產權價值的權益，可用“資產權”以記[43]。

此外，雖然認為應當對企業數據進行界權，但單純著眼于企業數據本身難以操作或成本過高。鑒于當前算法在非個人數據活動中的重要地位，可考慮通過算法技術實現反向確權[44]。又如互聯網企業所運行的平臺是一種架構，數據與算法等均是該架構的組成部分，盡管數據可在該平臺中流轉，但需遵循平臺運營方的私人規范和技術規則。在此背景下，單純賦予數據財產權難以達到所欲目的，可考慮將平臺架構作為整體設置架構財產權[45]。

3 行為規制說

與“權利保護說”相對，“行為規制說”論者認為企業數據難以或不可賦權，應實現從“數據權利向數據法益的轉向”[46]，通過行為限制模式給予一定強度保護，以更好調適保護與利用的緊張關系。畢竟，行為規制模式較強的包容性能緩和賦權模式所面臨的難題，且能給予法官較大自由裁量權，以更好解決技術的社會性問題[47]。

3.1 侵權法

在“卡梅框架”下，以雙方合意才可實現法益轉移的是財產規則，而借助第三方權威定價實現的法益轉移規則是責任規則。以財產規則保護企業數據將造成數據禁錮效益，阻礙數據的流通與利用。相比之下，以典型責任規則的侵權法保護企業數據，更契合企業數據利益保護的需求。畢竟，“企業數據利益本就體現為一種基于事實控制的利益，企業對數據的事實控制本身構成了法律上一個完整的、相對明確的利益判斷。針對他人對企業數據的侵害，可請求對方停止侵害，若同時要求對方賠償自身相關損失，則應適用純粹經濟損失法則，通過侵權法一般條款獲得救濟”[13]。采用侵權法路徑保護企業數據，實質上意味著只要行為人愿意支付第三方事后給定的對價(損害賠償)就可獲取、使用或披露他人數據，有利于企業數據的流通與利用，可為數據企業提供適當保護。

3.2 反不正當競爭法保護說

反不正當競爭法演化自侵權責任法，盡管其競爭法屬性不斷凸顯，但仍保有侵權責任法損害賠償的品格。企業數據的反不正當競爭法保護力度遠遜于“權利保護說”，有助于實現數據保護與利用的平衡。因此，學界不少學者認為反不正當競爭法才是保護企業數據的不二之選[48]。

企業數據財產權益是一種有限制的競爭性財產權益。一方面，“現有法律框架不能直接推導出數據權利化的可行性”[49]，將企業數據保護“寄希望于通過賦權以優化數據資源配置以及促進數據公開和數據市場的形成，既難以實現理論自洽，又缺乏數據行業實踐的印證”[50]；另一方面，現行著作權法律制度礙于獨創性或保護范圍局限，難以有效保護企業數據。因此，將企業數據置于反不正當競爭法框架下，不僅有利于構建保護實質性投資與兼顧商業數據流通的保護路徑，還可確保那些對競爭秩序和消費者福利有益的數據使用行為免受不正當競爭的非難。但應保護的企業數據必須符合“企業數據利益非類型化、企業數據利益正當性與企業數據利益保護必要性三個條件”[47]，且遵循反不正當競爭法自身行為規制的謙抑性。

3.3 合同規范說

除去侵權責任法和反不正當競爭法外，借助當事人意思自治的合同制度亦是規范企業數據持有者與使用者權利與義務關系的手段。一方面，合同路徑完全依靠當事人的意思自治，在實現數據流通與商業模式創新上更具靈活性；另一方面，企業數據利益必然不會是一種具有支配性、排他性的所有權，更多是基于數據主體或控制者授權才享有的，其授權范圍大小取決于當事人的約定。此外，對數據經濟發展來說，“并非一定要將數據完全歸屬于誰，重要的是定義企業之間的數據使用權”[51]。只要通過合同明確數據使用權的范圍，即可實現高效的數據流通與利用。

當然，鑒于合同的履行依賴雙方當事人的高度自覺和合同相對性的弊端，在企業數據保護的合同法路徑下，需考慮借助一定手段，以更好維護數據企業的合法權益。如“合同+技術措施”已為生成數據的機器設備所有者或操作者提供了法律和實際層面的控制數據的實用性工具[14]。

3.4 其他行為規制觀點

企業數據保護的本質在于保證企業對其掌控數據的有限自我控制，但這種事實控制所含法律利益實為信息自由[52]。從侵害數據完整性的實質看，企業數據利益所荷載的數據財產性利益并不宜采用絕對權保護模式，可選擇以“違反保護性規范的侵權責任”[53]，或可通過侵權法、合同法和競爭法對圍繞數據控制的爭奪可能涉及的各種實際利益進行保護[52]；甚至可允許數據控制者依靠技術手段建立數據訪問和獲取制度，以促進數據流通、建立數據利用秩序[54]。

4 未來趨勢展望

企業數據潛能的有效釋放是促進數字經濟發展的關鍵。雖保護企業數據已是共識，但具體保護路徑的抉擇卻有待觀察。因此，我國多次出臺政策要求建立健全數據要素市場規則。但企業數據的構成和所涉利益多元[55]，且有別于有體物與智力成果的特性，使其保護進路究竟應采“權利保護說”還是“行為規制說”，尚無定論。

4.1 企業數據的保護路徑抉擇

企業數據保護路徑的抉擇需注意以下幾點：

(1)企業數據的價值。企業奉行“免費創造用戶，用戶創造價值”的理念，投入較大成本來維持用戶及收集數據。故企業對付出較大成本獲取的數據通常不愿意免費公開或共享，導致數據在企業間分布不均勻，且稀缺性進一步賦予企業數據更高的商業價值。或許企業利益并非完全直接來源于數據本身，但企業掌控的數據是其獲得利益的基礎，尤其是在數據交易日益頻繁的當下，數據本身已成為可交易的標的。甚至，數據的持有量決定著企業經營模式的更新迭代與競爭優勢的維持。從“數據是新石油”到“數據是新的財富形式”，更清晰揭示出數據的價值。因此，在數字貿易時代，尤其是互聯網企業更加注重數據的收集與保護，以便成就更好的競爭優勢或謀取更大商業利益。

(2)企業數據法律保護的本質。企業數據具有高使用價值和交換價值，激勵著企業收集數據，并希望自主控制自身掌控的數據以實現經濟價值。企業數據價值的實現高度依賴企業對數據要素的控制能力，確保其合法掌控的數據不被隨意侵害。企業對數據的較強控制能力，不僅能使企業自主決定如何使用、處分，還能有權阻止他人未經其同意獲取、披露或使用數據。保護企業數據實質上是保護企業對其掌控數據的“有限排他權”[1]。企業數據的法律保護旨在從法律上確認企業對其控制數據的有限排他權，并為企業拒絕他人請求或禁止他人行為提供正當性依據。

(3)企業數據利益的定位。法律上利益的表達分為權利和權益兩種，且前者保護力度大于后者。雖然一種利益可通過立法者的意志上升為權利，但有的利益適合或只能長期以法益形式存在[56]。因企業數據具有經濟價值和交換價值，企業對其掌控數據的利益更多表現為一種財產性利益。同時，因企業數據的非排他性和流動性、范圍的不確定性特征，企業數據利益排斥權利保護方式：第一，企業數據包含了個人信息、公共數據、政務數據和企業自身數據，難以將所有利益均歸集于企業；第二，流動性不僅是數據的技術屬性也是其社會屬性，采取絕對權保護模式將導致數據的禁錮效益或反公地悲劇現象，難充分發揮企業數據的經濟價值和社會功能；第三，企業數據利益是一系列介于完全控制與完全共享之間的權益[54]，其保護需在具體場景中基于數據集和數據利用行為作出衡量與判斷；第四，同一數據主體的數據同時或不同時存在于不同數據控制者的數據集合中，不同數據控制者的數據集合又存在交叉，導致不同數據控制者的數據權利產生重疊；第五，企業數據范圍的不確定性導致企業數據權指向不明，而現有確權理論無法彌合數據邊界模糊同權利客體明確的間隙。這意味著企業對其掌控數據的利益并不能上升為權利，只能定位為值得法律保護的利益(權益)。

(4)企業數據法律保護的路徑抉擇。在明確企業數據利益系權益后，其保護路徑應采用行為規制模式下的反不正當競爭法。“行為規制說”主要分為合同說、侵權說、反壟斷說和反不正當競爭法保護說。其中：第一，合同規制方式不僅忽略了合同的有限理性，也忽略了合同相對性導致的局限性，尤其是無法規制第三方的數據侵害行為。第二，侵權規制方式不僅受制于承認企業對其合法掌控的數據享有權利這一前提，也受制于侵權責任構成要件的證立，但侵權損害及其與被控行為因果關系的證明卻是橫亙在維權者身前的鴻溝。第三，反壟斷規制的范圍具有較為嚴格的限制，但并非所有涉及企業數據競爭案件均可被認定為壟斷，且數據能否成為“必需設施”仍有待觀察。而反不正當競爭法保護路徑是典型的權益保護路徑，其實用主義色彩、保護的開放性、規制理念的獨特性、保護力度的適中性，與企業數據保護相匹配。

4.2 企業數據保護規則的構建

在確定應以反不正當競爭法保護企業數據后，需明確兩點：一是所要保護的企業數據范圍；二是選用《反不正當競爭法》的“一般條款”或“互聯網專條”，亦或是構造“數據專條”。

就第一個問題而言，應在“權利-權益二分法”下考量應保護的數據范圍。企業數據盡管為一種新生事物，但若其符合現有民事權利客體的要件，則應當允許企業尋求特定民事權利的保護規程。但若企業數據不滿足既有權利客體的構成要件，則只能尋求反不正當競爭法進行調整。但并非所有不滿足既有權利客體要求的企業數據均可獲得反不正當競爭法保護，應從“質”和“量”維度進行限定。

就“質”而言，受反不正當競爭法保護的企業數據應滿足以下條件。首先，以商業性使用為目的。將企業數據持有者所能獲得保護的范圍限定在商業性使用目的，可合理平衡數據持有企業同數據使用者的利益狀態。其次，以合法方式收集。企業數據獲得保護的前提是收集方式和程序合法，違法獲得的數據不能產生值得法律保護的利益。再次，向特定人或特定數量的第三人提供且具備管理性。通過這兩個條件限制企業數據的范圍，使其具備可識別性。最后，非商業秘密的數據或信息，且不同于公眾可免費獲得的數據，強調其商業競爭利益屬性。

就“量”而言，應明確所保護的企業數據需達到一定規模。企業數據之所以能獲得保護是因為較大規模數據不僅是企業付出較大成本收集的，還在于其作為競爭性資源可轉化為競爭優勢。在大數據時代，“小數據”多無法發揮“大數據”具有的價值，因而反不正當競爭法所保護的企業數據必須達到一定規模。但何為“一定規模”，可結合數據的性質和行業慣例判斷。

就第二個問題而言，應考察《反不正當競爭法》“一般條款”或“互聯網專條”的可適用性問題。在近幾年的32件企業數據競爭案件中，除有5件案件被訴行為無法定性為不正當行為外，有2件案件以《著作權法》調整，有25件案件以《反不正當競爭法》調整。在適用《反不正當競爭法》處理相關糾紛的案件中，有84%的案件(21件)適用第2條(一般條款)，余下16%的案件(4件)根據第12條第2款第4項處理(互聯網專條兜底條款)。這反映出《反不正當競爭法》“一般條款”或“互聯網專條”在企業數據競爭案件中的適用爭議。

首先，“互聯網專條”難以適用于企業數據保護場景。“互聯網專條”是2017年修改《反不正當競爭法》時新增條款，主要回應互聯網時代的不正當競爭問題。“互聯網專條”以“列舉+兜底”的方式調整：(1)插鏈或跳鏈；(2)誤導、欺騙、強迫用戶修改、關閉、卸載其他經營者合法提供的網絡產品或者服務；(3)惡意不兼容；(4)其他情形。在企業數據糾紛情境下，“互聯網專條”前三種行為規制適用可能性極低，唯有兜底條款看似存有適用的空間，但若仔細考察“互聯網專條”的適用場景就不難發現，該兜底條款并不適宜企業數據競爭案件，這也是司法實踐較少以此條款處理企業數據競爭案件的原因。

其次，“一般條款”因缺乏明確適用要件而存在泛化現象。盡管在司法實踐中，法院多以“一般條款”處理企業數據糾紛，但作為原則性規定的“一般條款”，其適用并無確定的標準。雖多參照2009年最高人民法院在“海帶配額案”中確定的三個要件適用，但在商業道德等判斷上更多依賴法官自由裁量，多被詬病：“商業道德”缺乏具體判斷標準，且其并不必然具有正當性；“一般條款”作為兜底條款，其目的是防止掛一漏萬，具有很強的模糊性，易導致同案不同判[57]。

可見，運用《反不正當競爭法》“一般條款”或“互聯網專條”處理企業數據糾紛，存在泛化或可適用性不強問題。理想的做法是在反不正當競爭法中增加“數據專條”。2022年11月22日，市場監管總局發布的《反不正當競爭法(修訂草案征求意見稿)》(簡稱《征求意見稿》)第18條就新增了“商業數據專條”。但該條保護的“商業數據”范圍過大，且在不正當行為類型化上仍有提煉空間。

5 結論

企業數據在數字經濟中的地位舉足輕重，要充分釋放數據要素潛能，須促進企業數據的高效流通與利用。當前學界對企業數據要素市場的構建，深陷“權利保護說”的窠臼。但企業數據的特性與市場經濟范式，排斥以絕對權為樣版的權利保護框架。在明確企業數據所荷載利益屬于一種有限排他權的權益基礎上，以“行為規制說”構建企業數據保護路徑更為合適。只不過，諸如合同法、侵權法等行為規制路徑并不能滿足保護需求，而經驗主義下的反不正當競爭法保護路徑更為可欲。同時，為避免《反不正當競爭法》“一般條款”泛化和“互聯網專條”兜底條款適用性差等難題，可考慮進一步從數據規模與分類等角度優化《征求意見稿》“商業數據專條”的規定，為行業發展和司法實踐提供具體的競爭法規則指引。