數字經濟背景下企業數據權益的歸屬與保護

任 潔

吉林財經大學法學院，吉林 長春 130117

一、企業數據的特性

“企業數據是指由企業實際控制和使用的數據，既包括財務數據、運營數據等商業數據，也包括企業合法收集、利用的用戶數據。”[1]前者屬于非公開狀態下的商業數據，主要納入商業秘密范疇予以保護，而后者屬于公開狀態的商業數據，現行法律對其沒有明確的規定，是企業數據引發爭議的主要領域。

企業數據與一般數據相同，都以電子設備作為存儲介質。作為其下位概念，企業數據擁有諸如無形性、可復制性以及無損耗性等數據的一般特性。近年來，計算機網絡技術的不斷進步，賦予了企業數據高度的共享性，在復制過程中，數據本身幾乎無損耗，數據遺失的風險大幅降低。[2]除此之外，企業數據具有獨特的稀缺性。這種稀缺性最顯著的表征便是企業數據所擁有的極高的商業價值。企業數據的實際控制者是企業，能為企業帶來財產利益，通過數據的共享與開放，進行拓展、交換與流通，在這個過程中，數據的覆蓋范圍和影響規模隨著每一次的交換使用不斷擴大，并產生衍生數據，大幅提升企業數據的整體價值。

企業數據涉及多元利益主體，具有多歸屬性。企業原始數據既包括企業經營相關的各類數據信息，也包括網站用戶在網絡生活中留下的個體信息，海量的原始數據，這些企業原始數據包含數據主體的信息和隱私，個人因此成為部分企業原始數據的來源。企業在進行數據采集的過程中付出勞動，因而成為企業數據的控制主體。企業對數據進行進一步的加工、分析和脫敏，從而生成了企業衍生數據，企業又在此過程中扮演數據處理者的角色。企業數據在以上過程的基礎上，還會進一步地交換與流通，形成更龐大的數據集。企業數據集形成的過程中，每一個環節的數據都有各自的來源，因此具有多歸屬性。

二、企業數據權益的歸屬難題

企業數據權益的歸屬，一直是社會各界爭論不休的議題，爭論的根源在于企業數據權益兼具人格權和財產權的雙重法律屬性。企業通過合法手段收集的用戶原始數據，一般存在明確的可識別性，對于用戶而言，這些數據的人格權屬性明顯強于財產權屬性；企業為收集、加工和處理數據，投入包括物力、財力等大量的實質性投資，并付出了實際技術勞動，以期獲取數據帶來的豐富經濟利益，對于企業而言，這些數據的財產權屬性明顯強于人格權屬性。這種雙重法律屬性使得企業數據權益的歸屬問題無法回避個人隱私與企業利益的沖突。目前，學界對于企業數據權益的歸屬問題，主要有三種觀點：個人所有、企業控制和個人與企業共有。筆者認為，個人與企業共有是當下可行性最高，也最為合理的一種觀點。交換、流通與共享，是數字經濟發展的內在要求，隱私的保護是公民的基本權利，因此企業數據權益的歸屬，應在共享與隱私間尋求平衡，最大限度地保護個人與企業的合法權益。個人數據是企業數據的最主要來源，根據企業是否對個人數據進行脫敏、匿名化、整合過濾等技術處理，企業在數據的收集與處理過程中的成本投入是否屬于實質性投資，以及數據本身處于何種發展階段等標準，合理運用比例原則對數據權益的歸屬進行場景化分類討論。這種觀點既為企業數據權益的歸屬難題提供了新的解決思路，也激勵了企業進一步優化完善數據運營模式。

三、企業數據權益保護的現實困境

（一）企業數據確權難題

隨著網絡技術的蓬勃發展，數據資源日漸冗雜龐大，企業數據作為企業的核心資源在不斷交換迭代，多元利益主體，多重法律屬性和復雜的權利義務關系，數據的復雜性使企業數據的定性與確權面臨著重重困難。

根據《民法典》第一百二十七條：“法律對數據、網絡虛擬財產的保護有規定的，依照其規定?！笨梢钥闯?，《民法典》為“數據”提供了與“網絡虛擬財產”相同的保護地位，然而，相關的法律規定卻缺乏明文具體的保護措施和救濟方式。司法實踐中企業數據侵權糾紛頻發，企業數據權益屬性不清，范圍模糊，法律留白，如“某火訴某團小白盒案”“某度cookie技術和隱私權糾紛案”等二審法院變更判決的情形時有發生。司法裁判面臨多維度的評判標準，缺乏確定裁判模式，企業舉證也面臨著技術難題。企業數據確權作為解決司法實踐困境的前提，正在成為數據領域備受關注的議題。

（二）數據立法總體呈現分散與滯后態勢

進入大數據時代，對數據的利用已經成為財富增長的重要來源，然而現階段我國數據立法總體上滯后于大數據的變遷。當前，企業數據保護散見于民事、刑事等多個領域之中，重復、斷裂、沖突或真空等問題凸顯，缺乏具有明確可操作性的條款規定。如《民法典》中關于“商業秘密”“數據”“個人信息”等條款、《數據安全法》中對企業數據權益的限制條款、《反不正當競爭法》有關“商業秘密”的表述等，均在現行的司法實踐中有所應用，司法裁判常常因為各個條款標準不一，界定模糊不清而陷入僵局。目前，我國數據權益制度呈高度“碎片化”的狀態，亟須立法黏合。

（三）企業數據系統安全性能有待提升

企業數據是計算機網絡技術發展的產物，體系龐大，內容紛亂冗雜，企業數據的安全防護，對計算機網絡技術的要求極高。企業數據系統的安全防護技術時常難以對抗計算機網絡病毒和技術黑客的入侵，安全性能的不足，導致企業數據無法得到完善的保護，面臨泄露、遺失和損毀的風險。企業數據的泄露和毀損，不但有損于企業自身的經營管理和數據交換，也為原始數據來源的個人帶來了隱私泄露的風險，企業的財產性權益與個體的人格權益皆會面臨威脅。非法數據交易、不正當競爭與侵權糾紛常由此而生，數據交易市場的運轉秩序也面臨巨大挑戰。

四、企業數據權益保護的路徑建議

（一）企業數據權益保護的立法完善

進入大數據時代，數字經濟有著高度復雜性和不確定性，這種特性也使得數字時代的法治建設更具挑戰性。我國的數據立法尚存空白，針對企業數據的法律規定也分散在反壟斷法等各個部門法中。因此，完善數據產權的立法保護成為國家處理企業數據保護過程中亟待解決的問題之一。

數據權作為國家現代化發展到新階段出現的新型權利，從產生到付諸立法實踐需要漫長的過程，其中包括數權立法與其他法律的關系與協調；私法與公法在數權領域的融合與平衡；數據共享與隱私保護之間沖突的論證解決，以及數字全球化背景下我國數權立法與國際有關法律的銜接處理等諸多問題。建立全新的法律和完備的保護體系，需要大量時間和實踐的積累。[2]筆者認為，目前，將普通法與特別法相結合，整合與企業數據權益相關的法律規定，根據企業數據權益的自身特性，及時加以司法解釋的修訂和適用。在司法實踐中，積極將企業數據相關法律規定與救濟制度相結合，在企業數據場景化使用的背景下，將實體與程序高效銜接，在數權立法正式面世前，緩解企業數據權益保護領域法律空白的僵局。

（二）整理發布典型的企業數據糾紛指導性案例

企業作為數字經濟市場的重要主體，活躍于數據交易市場，企業數據權益糾紛也層出不窮，裁判標準也大相徑庭。翻閱近年來最高人民法院的指導案例，與數據相關的案例多圍繞于數據與個人信息之爭，企業數據權益糾紛少之又少。

2020年“某訊訴浙江某道網絡、某客科技案”便是最高人民法院關于企業數據糾紛的典型指導案例，在本案中法院裁判征引了《反不正當競爭法》第二條的誠實信用原則和第十二條的彈性條款，做出了判決。后續企業數據權益糾紛案件多用《反不正當競爭法》作為根據，然而，企業數據權益糾紛因數據的多元應用場景，侵權主體不一以及技術迭代的原因，《反不正當競爭法》并不能適用于所有糾紛情況。增加企業數據權益糾紛指導性案例的數量，增加《數據安全法》《民法典》等相關法條的結合應用，盡可能覆蓋多種案情，為基層法院提供明晰的裁判指導根據，著力打造指導案例參照系，在司法裁判中為法律的正確適用提供參考；統一裁判尺度。同時也可以更好地應對企業數據權益領域立法滯后、相關條款分散的法律現狀。

（三）建立完善數據分類制度

《數據安全法》第二十一條提出：“國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護?！痹趯嵺`中，數據分類的根據也各有不同，在參照數據價值性、權屬、敏感程度、風險、相關法規等因素后，大致從數據主體角度、數據處理角度以及數據保護角度進行數據類別的初步劃分。

“建立明確的數據分類制度，使企業有效區分不同數據，并設立明確的保護目標，以可識別性原則、敏感性原則、規模性原則和不可控性原則作為進一步為數據分級的根據?！盵3]針對具有更高敏感性的數據進行升級保護，進一步確定數據權益歸屬、重點保護和定期評估。企業可以在數據分類保護的基礎上加強企業數據管理，健全數據分類安全管理制度，加快推動數據分類標準制定，明確數據分類制度應解決的實際問題，深入調研各類企業數據的安全管理現狀，建立適合數字經濟新業態、數字生活新需求、數字社會新秩序的數據分類制度，是企業強化數據管理和規避數據風險的必然要求。

（四）提高企業自身的數據安全防護能力

作為數字經濟市場最為活躍的主體，企業自身也要將數據安全防護作為企業發展的重中之重，在企業內部構建完善的數據保護體系。

一方面，提升企業數據安全防護技術，優化數據安全系統性能。通過算法優化等技術措施，提高抵御病毒和惡意網絡入侵的能力，從源頭上降低數據泄露風險。對于涉及個人隱私、商業秘密等不便公開的數據，企業可以采用提高數據系統的準入門檻的方式，將數據庫進行高度加密，登錄使用數據需要嚴格的身份認證，只有在獲得了對應權限，才能進行數據訪問，如此不僅有效提高企業數據的保密級別，也進一步加強企業對數據的管理；另一方面，在數據的使用中，增強對數據的監管力度，定期進行檢查評估，避免數據在存儲、復制等過程中泄露；在企業參與數據交易中，確保企業對數字交易完全可控、傳輸過程完全安全，在數據權益交易后，使用區塊鏈技術，實現數據的可用不可見，由此有效降低二次交易的風險。

（五）推動數據行業自律共治

“行業自律是通過行業指南或企業章程來約束企業行為的模式，是企業對其行為的自愿約束行為?！逼髽I數據領域實現行業自律共治，可以與政府監管形成互補模式，有效彌補企業數據權益保護相關法律的缺失。行業自律共治也為構建隱私數據保護、打擊數據非法流通等提供重要保障，更是維護行業協同創新的數據產業生態的必要基石。

2020年11月，工業和信息化部網絡安全管理局指導中國互聯網協會制定發布了《電信和互聯網行業網絡數據安全自律公約》。共計133家企業加入簽署，數據領域的行業自律共治在國家機關的推動指導下初見規模。筆者認為數據領域行業自律應當以行業自律共治為核心，處理好活力和秩序的關系，完善共同治理體系，打造各主體有責、盡責的行業自律治理共同體。與此同時，政府也應加強履行監督職責，提升行業自律的公開性和透明度，增強社會公眾對于行業自律規范的認同和信心，推動數據行業自律共治的健康良性運轉，維護數字交易市場秩序穩定，保障和推動數字經濟高質量發展。

五、結語

企業數據作為企業的核心資源和數據交易市場的重要標的，因其極高的經濟價值而備受關注，計算機網絡技術的飛速迭代更新和法律本身無可避免的滯后性，使得企業數據權益保護問題舉步維艱。制定出一部完整、統一的數據法律顯然是數字經濟發展的必然要求，然而，制定、完善一個完整的部門法還需要更多的理論研究基礎和司法實踐積累，構建數據權益保護制度，實現數權保護的體系化，完善企業數據權益的保護模式，是促進數字經濟高質量發展的必由之路。[4]