數字經濟時代企業數據知識產權保護困境與對策探析

何培育,楊 莉

(重慶理工大學 重慶知識產權學院, 重慶 400054)

隨著第四次工業革命的到來,數據成為新的生產要素,被譽為21世紀的“石油”,在國民經濟發展中發揮著至關重要的作用,深刻改變著生產方式、生活方式和社會治理方式。2021年9月22日,中共中央、國務院印發《知識產權強國建設綱要(2021—2035年)》 提出要“研究構建數據知識產權保護規則”(1)《知識產權強國建設綱要(2021—2035年)》第3條第(七)項:建立健全新技術、新產業、新業態、新模式知識產權保護規則。探索完善互聯網領域知識產權保護制度。研究構建數據知識產權保護規則。完善開源知識產權和法律體系。研究完善算法、商業方法、人工智能產出物知識產權保護規則。,學界隨即掀起了一場數據知識產權保護研究的熱潮。2022年12月2日,中共中央、國務院發布《關于構建數據基礎制度更好發揮數據要素作用的意見》,進一步強調了要加快構建數據基礎制度,構筑國家競爭新優勢。但由于企業數據涉及的利益關系復雜,且數據保護的功能具有多元化特征,因而如何構建全面的數據產權保護制度,特別是如何發揮知識產權制度實現數據確權存在較大爭議。為破解該問題,需要清晰界定知識產權保護企業數據的積極作用與現實局限,進而提出完善我國企業數據知識產權保護的建議。

一、問題的提出

數據是否可以賦權,數據權利法律保護的制度是重中之重。數據本質上是對人的社會行為產生影響的信息,或者說數據是信息的表達,信息是數據的內涵[1],通常有數字、文字、圖像等表達方式。對于是否應當對數據進行賦權,筆者認為應當對于企業數據賦權,而賦予何種權利學界是有爭議的。程嘯認為數據企業的數據權利是一種新型的財產權[2];紀海龍認為在強大的知識路徑依賴下,即便不把數據當成有體物,也不妨礙參照適用《物權法》來保護數據[3];吳漢東則認為運用知識產權保護更能夠滿足企業數據保護特征[4]。企業經營中會產生大量數據,這些數據與知識產權所保護的客體具有相似性,例如需要通過智力勞動實現其價值性以及非物質性等[5]。因而通過知識產權對數據進行保護與其他方案相比,有較為成熟的理論及立法依據,不失為有益的方案。

但以這種方案來保護企業數據仍存在顯著的局限。首先,大量數據由于無法滿足相應的條件而無法獲得知識產權保護。其次,知識產權具有壟斷性,若將所有的企業數據類型囊括到知識產權中,不利于企業數據的產生、公開、流通,容易導致市場失靈,且與知識產權保護的理念相違背,不能有效地激勵創新。再次,當前企業數據知識產權的法律規則尚不完善。例如對于企業數據的抓取、運用、保護等商業行為,現行知識產權立法尚未給予充分的考量,不利于商業數據的流通和高效使用。因此,對于通過知識產權保護企業數據權益,應當從知識產權的不同權利類型角度客觀分析,同時應衡量其他保護方式,進行全面的、綜合的法律保護。

二、企業數據知識產權保護模式的現狀及局限

企業數據的類型多樣,可分為單條數據、數據集合、原始數據、衍生數據等,不同的數據類型可以通過知識產權專門法或《反不正當競爭法》模式加以保護,但不同的保護模式能否發揮不同的功能亦有相應的局限。

(一)知識產權專門法保護模式的現狀與局限

目前,基于現行立法與實踐,同一數據滿足不同的要件可受不同的法律保護。數據庫保護可適用著作權、特別權利以及反不正當競爭多種模式[6]。鄭成思認為知識產權的客體就是信息,而數據的本質就是信息,且數據與知識產權同為無形財產[7]。馮曉青認為,客體共享與客體之上的權利專有,是知識產權法的重要特點[8],這與數據保護的初衷不謀而合。因此,數據作為知識產權保護具有正當性。然而,數據作為知識產權客體來保護的模式還不太成熟,有諸多限制。

1.《著作權法》保護模式的現狀及局限

《著作權法》所規定的匯編作品的構成包含了不構成作品的數據或材料。因此,企業數據可作為《著作權法》客體被保護。《著作權法》規定作品是受保護的客體,須滿足獨創性的構成要件。匯編作品的獨創性一般體現于匯編材料的選擇或編排上,未經權利人許可,他人不得使用該匯編作品[9]。則數據獨創性主要在于數據收集者對大量數據的選擇、編排、處理等,數據本身并不具有獨創性,經過一系列“加工”才具備了獨創性。

然而,實踐中,《著作權法》保護企業數據存在一定局限。其一,《著作權法》保護作品采用的是思想表達二分法原則,即只保護作品思想的表達而不保護思想本身,一種思想可以以多種形式展示,但是數據的表現形式則有限,若只保護數據的表達則會限制創新,違背了立法目的。而數據的價值主要集中在數據內容本身,而不是它的表達方式,畢竟數據的表達方式只有數字、圖像、聲音等幾種方式,難有創新。其二,實踐中司法工作人員對于獨創性的認定差異較大,許多案件難以被認定為具有獨創性。在北京長地萬方科技有限公司與深圳市凱立德計算機系統技術有限公司、北京中微恒業商貿中心侵害著作權糾紛一案中(2)參見北京市海淀區人民法院(2007)海民初字第8848號民事判決書。,法院認為,導航電子地圖制作的基礎信息,比如相關的道路信息、道路名稱、商鋪地點、標志性建筑的位置等信息屬于公共領域,任何人都可以獲取并加以利用,但對于同一地理位置信息的選擇、加工、排列具有獨創性,是可以受著作權保護的。其三,《著作權法》的合理使用制度對數據保護的局限[10]。《著作權法》對于合理使用設置了12個條款以及一個兜底條款,情形多樣。侵權案件中,侵權人可利用合理使用進行抗辯,主張權利人在收集的數據屬于公有領域,可以共享而不是成為私有權益。

2.《專利法》保護模式的現狀及局限

專利權所保護的客體須滿足新穎性、創造性和實用性,且對于創造性的要求是知識產權客體中最高的。涉及數據的技術發明創造,利用自然規律解決特定的技術問題,形成特定的技術方案,就能夠通過申請專利的形式獲得專利保護[11],例如大數據領域的數字處理設備。數據的《專利法》保護模式的局限有:首先,涉及數據的技術可受專利保護,而數據本身并不能受到保護。其次,專利保護的構成要件對于企業數據來說難度較大。美國的數字經濟發達,研究發現,他們的企業大多采用商業秘密來保護其數據而非專利,因為專利的“門檻”過高,獲得授權的可能性較小[10]。

3.商業秘密保護模式的現狀及局限

商業秘密保護的客體主要是商業信息,即具有一定價值,處于保密狀態且經營者采取了一定的保密措施的企業經營活動中所產生的商業信息。數據信息獲得《反不正當競爭法》保護的前提要件是數據信息不為其所屬領域的相關人員普遍知悉和容易獲得、能為權利人帶來競爭優勢、采取合理保密措施[11]。只有滿足了以上要件,該數據才能利用商業秘密保護模式來保護。

數據作為商業秘密保護有一定的可取之處。第一,數據的特征符合商業秘密保護客體的特性。第二,商業秘密可以保護一切經營者認為其生產、經營活動中的具有價值、值得被保護的信息。這給予了經營者選擇的自由,其根據自身情況、信息的狀態、戰略選擇等自由抉擇。第三,商業秘密對于實施的措施沒有嚴格的要求,即便最終會與侵權人對簿公堂,也有較大的勝算。在杭州某科技公司與汪某商業秘密糾紛一案中(3)參見浙江省杭州市中級人民法院(2021)浙01民終11274號民事判決書。,法院認為,直播打賞的實時數據只有登錄管理人員賬號才可查看,具有秘密性;而且公司與涉密人員簽訂保密協議,符合采取保密措施;從數據本身、直播平臺的運營模式等角度分析,涉案數據具有商業價值,因此涉案數據屬于商業秘密。

但商業秘密保護模式也有一定的局限。首先,商業秘密要求符合秘密性構成要件。個人信息通過企業的收集(經過用戶同意)、選擇、加工等流程轉化為企業數據,而大多數企業都可以通過這種收集方式采集個人信息,競爭對手同樣可以通過技術手段,獲得與商業秘密相同或者近似的數據,那么商業秘密就會失去秘密性而導致無價值可言。其次,商業秘密保護模式使數據處于秘密狀態,容易造成數據壟斷現象[12]。企業若都將數據作為商業秘密,那么市場上流通的數據就會變少,不利于企業通過公開數據進行加工處理,不利于數據行業的發展。

(二)《反不正當競爭法》保護模式的現狀及局限

如前所述,企業數據以《著作權法》、《專利法》、商業秘密模式保護均存在一定的局限性。實踐中,大多數數據權益保護案件以《反不正當競爭法》規制[13]。《反不正當競爭法》主要運用于商業領域,規范競爭對手之間的商業行為。

企業數據的運用中,難免會發生競爭行為,而這些行為中自然會存在不正當的競爭,因此常用《反不正當競爭法》來保護數據權益。采用《反不正當競爭法》保護的企業數據需要滿足4個條件[14]:一是經營者對企業數據具有合法的權益。二是該行為屬于競爭行為。法院在判定此要件時,一般從原被告所屬行業、經營范圍、產品類型等方面判定是否存在競爭關系,從而判斷該行為是否屬于競爭行為。對于競爭行為的判定不太復雜,往往不需要大量的證據佐證。三是競爭行為是否對原告造成了實質性損害。賠償是以損害為前提,賠償的數額也是以損害的程度來確定,因此實質性損害是關鍵的一步。在北京微夢創科公司與湖南蟻坊公司不正當競爭糾紛一案中(4)參見北京知識產權法院(2019)京73民終3789號民事判決書。,被告利用不正當的技術手段抓取微博平臺的數據,給微博平臺的正常運行造成負擔,且影響平臺與用戶之間關于數據安全的協議,對其商譽造成影響,因此該行為會對微夢公司造成實質性損害。四是競爭行為具有不正當性。例如該行為違背了誠實信用原則,商業道德或者是數據抓取和數據使用行為具有不正當性。商業道德一般是其所屬行業所公認的,是一種行業規范,為該領域內的人所熟知。而數據抓取行為的不正當主要有破壞了平臺為保護數據所設置的技術措施、違反雙方的合同約定,以及違反Robots協議等等[13]。在云智聯公司與北京微夢創科公司不正當競爭糾紛一案中(5)參見北京市海淀區人民法院(2017)京0108民初24512號民事判決書。,被告利用技術手段破壞或者繞開了微博平臺為保護非公開數據所設置的訪問權限,顯然此行為具有不正當性,屬于不正當競爭。

然而,企業數據用《反不正當競爭法》來保護也存在局限性,若兩個企業之間并不存在競爭關系,《反不正當競爭法》則失去效力,而且經營者難以準確判斷何為不正當競爭行為,即便是進入了訴訟程序,不同法官的認定也有較大的差異。總之,一般條款的適用取決于個案衡量的非常規操作,不宜成為一種特定的保護模式,否則將有損司法的正當性和安定性,更有“向一般條款逃逸”的危險[15]。

三、企業數據知識產權保護的域外考察與鏡鑒

國外對于企業數據的保護與我國的保護方式略有不同,主要表現在不具有獨創性的數據庫上,而是以特別權利和鄰接權兩種模式保護企業數據庫。同時,對于獨創性的數據庫以版權法保護,也利用不正當競爭法保護企業數據。

(一)企業數據知識產權保護的比較法考察

1.歐盟企業數據知識產權保護路徑

歐盟是最早推出企業數據知識產權保護的國家之一,其企業數據知識產權保護對于我國構建數據知識產權保護體系具有較強的參考價值。歐盟的保護模式是由合同、事實控制、知識產權、商業秘密和數據保護法確定的模式,已經形成了強有力的數據保護機制[16]。

歐盟的傳統做法是主要以版權法保護企業數據,隨著數字經濟的發展,這種方法的弊端越來越明顯,企業數據權益難以得到有效的維護。數據庫作為企業數據的數據類型,其法律保護可作為企業數據知識產權保護路徑的參考。1996年,歐盟出臺了《關于數據庫法律保護的指令》,將所有數據庫類型涵蓋,賦予不具有獨創性的數據庫特別權利保護,同時以版權法保護具有獨創性的數據庫(6)《歐洲議會及歐盟理事會關于數據庫法律保護的指令》第3條第1款:依照本指令規定,凡在其內容的選擇或編排方面體現了作者自己智力創作的數據庫,均可據此獲得版權保護。本規定是判定一個數據庫能否獲得版權保護的唯一標準。第7條第1款各成員國應為在數據庫內容的獲取、檢驗核實或選用方面,經定性與/或定量證明作出實質性投入的數據制作者規定一種權利,即防止對數據庫內容的全部或經定性或定量證明為實質部分進行擷取與/或反復利用的權利。。其實質就是將不具有獨創性的數據庫財產化,賦予數據庫制作者所有權,數據庫制作者享有占有、處分、收益的權利,以數據庫制作者是否進行了實質性投入為標準,保護勞動成果[17]。

德國作為歐盟的成員國之一,其獨特的做法是對不具有“獨創性”的數據庫在《著作權法》中以鄰接權保護模式(7)德國《著作權法》第87b條:數據庫的制作者有權將數據庫作為一個整體或數據庫在質量或數量上相當重要的一部分復制和分發,并將其向公眾提供。向公眾復制、分發或傳播數據庫在質量上或數量上具有重要意義的部分,應等同于向公眾重復和系統地復制、分發或傳播數據庫在質量上或數量上不重要的部分,只要這些行為不違反數據庫的正常使用或不合理地損害數據庫生產者的合法利益。,賦予數據庫制作者相應的權利,即數據庫制作者在不損害數據庫生產者的合法權益和不影響數據庫正常使用的前提下,可以向公眾分發、復制、傳播數據庫等等。此模式具有一定的益處,肯定數據庫制作者的同時也維護了數據庫生產者的利益。其保護期限為15年,期限屆滿則權利終止,但制作者可以對即將屆滿的數據庫作出實質性改造,從而可以重新計算保護期限。

2016年,歐盟通過了《商業秘密保護指令》,要求其成員國將該指令轉化為國內法使用。實踐中,德國將企業數據作為商業秘密的保護對象,從而保護企業數據的合法權益。同時,只要滿足商業秘密3個構成要件的數據亦可受到商業秘密的保護。

2.美國企業數據知識產權保護路徑

美國是數字經濟發展較早的國家之一,企業數據保護制度從無到有進行了一系列的數據權益保護的立法探索,也借鑒了歐盟的《關于數據庫法律保護的指令》。

早期,美國1970年《版權法》中,以“額頭出汗”原則(8)該原則指出,經過一定規模的投資和辛勤勞動獲得的成果應當受到保護,而不以作品是否具有創造性作為判斷標準。來認定匯編作品是否可以受到《版權法》的保護,其中,數據庫因其收集者付出了勞動,比如上門調查以獲得數據,從而使數據庫獲得了版權法的保護。Feist案迎來了一個轉折,否定了“額頭出汗”等同于創造性的標準[18],而改為須滿足獨創性(9)美國 1976年《版權法》(后又于1993年修訂):第103條(b)條款中,明確了匯編作品的獨創性應體現在內容的選擇、整理和編排上。數據庫才能受到保護,這是法律跟隨時代的腳步發展而來的。之后,美國開展了許多數據庫專門立法的提案,均未有統一的解決方案。相對于歐盟采用 “公律” 對不具獨創性的數據庫予以特別賦權的做法,美國則是因為立法無望而完全走上了“自律” 的道途,以簽訂制式性的使用許可合同來作為主要的保護方式[19]。其實質是將企業數據作為一種財產,該企業擁有數據庫的所有權,可以在合同中約定數據庫的使用、收益、期限等,保護不具有獨創性的數據庫制作者的合法權益。

《聯邦貿易委員會法》(10)《聯邦貿易委員會法》第5a條:商業中或影響商業的不公平的競爭方法是非法的;商業中或影響商業的不公平或欺騙性行為及慣例,是非法的。中規定了商業中不公平的競爭方法和競爭行為與慣例是非法的。那么,企業利用不正當的手段獲取、盜用數據的行為可以此規制,以《反不正當競爭法》保護模式保護數據權益。1984年,美國通過了《計算機欺詐和濫用法》(CFAA),規定未經許可,通過欺詐手段入侵計算機獲取信息的行為屬于聯邦犯罪行為。據此可以打擊非法入侵計算機獲取他人數據的不正當行為,保護權利所享有的數據權益。隨著計算機的發展,網絡爬蟲成為獲取萬維網信息的一種重要手段。企業利用爬蟲程序爬取其他企業的數據,這種行為的不正當性在于未經授權,擅自獲取其他企業的非公開數據,侵犯了其合法權益。但若是爬取企業平臺的公開數據則不違反法律規定。在HiQ Labs訴LinkedIn案中,一審法院是同意企業可以爬取其他企業公開數據這一觀點,并且同意了HiQ Labs申請的禁令,使HiQ Labs可繼續訪問LinkedIn個人用戶的公開數據,經過二審、再審,法院均是維持原判,禁止LinkedIn干擾HiQ Labs獲取其網站的公開數據。

3.日本企業數據知識產權保護路徑

日本對于企業數據的保護追隨主流模式,在其頒布的《著作權法》(11)《著作權法》第12條第1款:“在信息的選擇或系統結構上有創造性的數據庫,可作為著作物予以保護。”中規定,將數據庫作為一種著作物,采用《著作權法》保護,只要該數據庫滿足創造性即可。日本將數據庫與文學作品置于同一水平,數據庫制作者與一般的著作人一樣享有著作人身權和著作財產權,且也適用合理使用條款,即個人、家庭以及與此同類有限范圍內研究、欣賞或者使用數據庫或者為保存圖書資料的復制(以免絕版)等合理使用方式,可不經權利人許可且無須支付報酬[20]。

同時,適用《不正當競爭防止法》來保護企業數據。2018年,日本對《不正當競爭防止法》進行了修改,數據的不正當競爭行為包括不正當獲取、使用和公開[11]。采用“限定提供數據”保護制度,即通過設置特定的ID、加密等方式或者根據需求將企業數據提供給相應的人員,將獲得企業數據的用戶數量限制在一定的范圍,從源頭上防止不正當競爭,“限定提供數據”僅包括滿足相當積累性、電磁管理性、限定提供性等構成要件的數據,而不涵蓋公開的,面向社會公眾且能無償利用的數據[20]。“限定提供數據”條款是一種別具一格的方法,以不同的方式來解決數據保護的難題,具有較強的操作性。規制侵權人通過不正當手段或正當手段獲取而不正當使用數據的行為,從不同的角度來保護企業數據權益。

(二)企業數據知識產權保護域外立法鏡鑒

美國的微軟、蘋果、谷歌、亞馬遜等大型互聯網企業掌握了海量數據,建立了數字帝國,壟斷了數據市場,歐盟為提升數據市場的話語權、規則制定權等,限制跨國企業在其市場的擴張,歐盟相繼推出關于數據的立法,從各個方面推動企業數據發展[21]。 2018年,歐洲頒布《通用數據保護條例》,側重于保護個人數據,并且規定了“被遺忘權”,即用戶可要求數據控制者刪除有關于用戶的個人數據,以保護其隱私[22]。2020年,歐盟出臺《數據治理法》,其宗旨是促進數據流通,建立公共部門數據的重用機制,在安全的環境下再利用數據的,激活數據價值[23]。2022年,歐盟頒布《數字市場法》,將大型互聯網企業歸類為“守門人”,為其制定了一系列義務,增強中小企業獲取數據的能力,促進市場良性競爭[24]。2022年,歐盟公布《數據法案》(DataAct)草案,進一步促進數據流通共享。同時,規定了對于企業數據以商業秘密模式保護的,應采取一切必要措施,避免造成企業數據泄露。在促進數據共享的同時也維護企業的合法權益,強化企業數據商業秘密保護[25]。《數據法》提案雖然沒有賦予數據持有者一種新的數據權,但其制度設計的起點是承認數據持有者對數據享有實際有效的控制,在內容上重點關注中小微型企業、用戶以及公共部門(在特定情況下)對企業數據的準入和使用[26]。這一系列立法大多是出于公共利益的考慮,以促進數字經濟、數據產業的發展,給予企業更好的保護。

歐盟、美國以及日本對于具有獨創性的數據庫的保護并沒有差異,都是以著作權法中的匯編作品保護,而對于企業的其他種類的數據則各有不同。歐盟對于不具有獨創性的數據庫單獨設立特別權利保護,同時采用了商業秘密保護模式;美國以合同保護不具有獨創性的數據庫,并以不正當競爭法保護不正當獲取數據的行為;日本對于企業數據的保護并沒有單獨賦權,而是通過《反不正當競爭法》加以規制,不以權利模式保護。總之,這些國家或地區的企業數據都沒有通過財產權保護,數據財產權尚處于待開發狀態。但基于我國國情,數字經濟時代以及數據行業的發展,以數據財產權保護不具有獨創性的數據庫以及其他具有實質性投入的數據具有可行性,彌補知識產權保護模式不足的同時將數據作為一種財產保護,企業、個人等數據主體可充分利用數據的價值,促進數據流通、共享。

通過對歐盟、美國、日本企業數據保護模式的考察,結合我國數據產業的實際情況,對我國企業數據知識產權保護可以提供以下啟示:首先,應對不具有獨創性的數據庫通過數據財產權進行保護,填補法律空白,防止其他企業低成本地獲取企業的數據,減少不正當競爭,促進市場良性競爭,維護公共秩序。其次,可適當縮短企業數據的保護期限。美國以合同保護不具有獨創性的數據庫,其保護期限由合同雙方當事人約定,期限一般不會過長,較短的保護期限對于數據的產生、流通等有益。而歐盟則是明文規定保護不具有獨創性的數據庫特別權利的期限為15年。最后,充分利用《反不正當競爭法》保護企業數據。對于利用不正當手段獲取或者不正當使用企業數據的行為嚴厲打擊,可對不正當的手段以及不正當使用企業數據的行為采用列舉式,同時隨著時代的發展進行補充,使企業清楚地知道哪些行為可能會侵害其他企業的數據權益,從而避免侵權行為。

四、企業數據知識產權保護體系的完善

當前對于企業數據知識產權的保護仍存在不足之處,可從完善法律規則、行業規則入手,加強企業數據知識產權保護,保障企業數據安全,促進數字經濟發展。

(一)企業數據法律保護的制度框架構建

中共中央、國務院發布的《關于構建數據基礎制度更好發揮數據要素作用的意見》(12)中共中央、國務院《關于構建數據基礎制度更好發揮數據要素作用的意見》:探索數據產權結構性分置制度。建立公共數據、企業數據、個人數據的分類分級確權授權制度。根據數據來源和數據生成特征,分別界定數據生產、流通、使用過程中各參與方享有的合法權利,建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制,推進非公共數據按市場化方式“共同使用、共享收益”的新模式,為激活數據要素價值創造和價值實現提供基礎性制度保障。研究數據產權登記新方式。在保障安全前提下,推動數據處理者依法依規對原始數據進行開發利用,支持數據處理者依法依規行使數據應用相關權利,促進數據使用價值復用與充分利用,促進數據使用權交換和市場化流通。審慎對待原始數據的流轉交易行為。中規定以數據類型及來源劃分,界定每個參與數據相應流程的主體合法權利,激活數據要素價值,促進數字經濟發展。誠然,企業數據可分為數據庫、衍生數據、公開的數據以及非公開的數據,不同的數據類型具有不同的特點,根據企業數據的特點,應采取不同的保護模式保護企業數據。對于企業的數據庫,首先區分為公開與非公開數據,對于非公開數據可采用商業秘密保護模式,以維持該數據的保密狀態。而公開數據中的數據庫則需判斷其是否具有獨創性。對于具有獨創性的數據庫可采用《著作權法》保護;不具有獨創性的數據庫則需判斷數據庫制作者是否有實質性投入,對有實質性投入的數據庫為鼓勵其創新可采用數據財產權保護,根據數據庫制作者的付出賦予包括數據資源持有權、數據加工使用權、數據產品經營權等權利。與德國的鄰接權模式相比,數據財產權包含更多的權利內容,且可獨立于《著作權法》,使企業數據權益得到更好的保護。除數據庫以外的公開數據可先判斷是否可采用《反不正當競爭法》保護,滿足不正當競爭手段獲取或者不正當使用方式的條件的公開數據。淘寶訴美景不正當競爭案中(13)參見杭州鐵路運輸法院(2017)浙8601民初4034號民事判決書。,美景公司擅自獲取淘寶公司旗下的“生意參謀”中的數據,并利用數據獲取利益,有悖于相關商業道德,屬于通過不正當競爭手段獲取其他企業的數據。最后,對于其他具有實質性投入的數據可采用數據財產權加以保護,保護數據制作者所付出的勞動。具體流程如圖1所示。

圖1 企業數據法律保護的制度框架

(二)完善企業數據知識產權保護體系的具體建議

關于企業數據知識產權保護,學界有3種代表性觀點:一是在創設制度中,在《反不正當競爭法》中設定獨立法益類型的模式,不僅能夠通過控制特定行為賦予企業有限的財產保護[18];二是通過完善數據的競爭法規制路徑來保護數據權益[27];三是構建數據知識產權保護規則[28]。筆者認同第3種觀點,通過明確企業數據知識產權的客體、權利內容、權利歸屬、侵權標準等構建企業數據知識產權保護體系,為促進企業數據知識產權保護體系完善提供有益的參考,從而激活企業數據價值,促進數字經濟發展。

1.明確企業數據知識產權保護的客體與權利歸屬

企業數據的主要是兩種,一種是企業通過加工、處理原始數據所產生的衍生數據,原始數據的來源主要有收集公共數據或者用戶的個人信息所組成的數據集合;另一種是企業生產經營活動中所產生的數據,例如研發項目中所獲得的是實驗數據、購買其他企業的衍生數據等等。筆者認為,后者當然是數據知識產權保護的客體,前者中的衍生數據符合一定的條件也可以成為保護對象。《個人信息保護法》已將原始數據中的個人信息列為保護客體,不需要數據知識產權將其列入保護范圍。公共數據在許多政府文件中所表現的特征是屬于公共領域,須采取一系列措施來促進其傳播、流通。對于通過交易購買的數據,應該作為數據知識產權的客體。實踐中,數據已作為商品進行交易具有交換價值,如各地方的數據交易平臺所交易的客體就是數據[29]。既然該數據已經成為一種商品,法律當然應該給予保護。

企業數據所涉及的主體分為兩類:企業與用戶。誠然,用戶作為該數據的生產者理應享有其權利,一如消費者購買商品而享有其物權。而企業作為收集大量數據的處理者,也應享有該數據的相應權利,但須經過用戶許可并且保障用戶隱私的前提進行加工處理,此權利源于企業對數據所投入的人力、物力、財力等投資,從而鼓勵企業對數據進行創新。

2.確立企業數據知識產權權利內容與限制

企業數據受多種法律保護,則在權能的設置上可參考相應的法律,設置為專有權、銷售權、許可權、修改權、禁止權等[30]。第一,企業應對其合法收集的數據享有專有權,他人未經許可不得使用。同時,企業未經用戶許可,不得獲取其個人數據。第二,企業對于其有價值的數據可拿到交易中心出售,從而促進數據流通,形成更好的營商環境。第三,企業可將其所有的數據許可他人使用,可以是獨占許可、排他許可以及普通許可,企業根據戰略規劃、該數據的重要性等確定許可方式。第四,企業可根據需求,對其掌握的數據修改,對數據進一步加工,使數據更符合企業的戰略規劃。用戶亦可根據其喜好的變化、個人信息的更改、生活環境的改變對其享有是數據修改,而禁止他人擅自地更改其數據。第五,企業與用戶對其擁有的數據應享有禁止權,禁止他人對其數據權益的侵害。

為避免過度保護而造成壟斷現象的出現。企業數據知識產權的保護范圍不能影響到公共利益、社會利益以及私人利益的平衡,亦不能影響到個人對于其信息的利用。基于其他保護功能和利益關系的關聯存在,數據財產權作為數據保護的一種復雜秩序安排,并非一種完全自在自為的絕緣化權利空間[31]。與之相似,數據知識產權應當設置一些合理的限制,類似于《著作權法》的合理使用規則和專利法的強制許可規則,而不是給予過于絕對的權利。建立數據合理使用和強制許可制度。可參照《著作權法》和《專利法》,設置一些合理使用和強制許可制度,例如科研人員可不經許可且不支付報酬而使用企業所掌握的數據。處于緊急情況時,對于涉及公共安全的數據,相關部門也可授權給相關企業使用,不需要征得該企業的同意。這與“卡—梅框架”中的責任規則相似。“卡—梅框架”由美國學者卡拉布雷西和梅拉米德提出,以私人對法益的自由轉移和自愿交易為依據將法益保護的不同規則歸納為財產規則、責任規則和禁易規則[32]。數據的責任規則即是在發生緊急情況時,企業收集、使用相應的數據不需征得用戶的同意,但需支付一定的報酬[33]。財產規則的目的在于交易自由,當事人根據意思自治,選擇交易方式、內容、地點等,最大限度地保護當事人之間的意思自治[32]。企業數據法益保護的財產規則可劃分為含有個人信息以及不含有個人信息的數據。含有個人信息的數據應以“通知+同意”原則加以規制,保護用戶的數據安全。企業獲得加工處理數據的權能,用戶獲得相應的服務,在企業與用戶之間達到利益平衡。企業對于不含有個人信息的數據享有財產權益,對于經過加工處理的衍生數據可以自由交易。

3.設立企業數據知識產權的侵權判斷標準

數據知識產權即不同的數據采用不同的知識產權模式保護,當然應明確其侵權標準,以避免侵權現象的頻發。第一,企業作為數據知識產權的權利主體,享有知識產權,他人未經許可使用或者部分使用其數據并且作為商業用途或者其他損害其權益的做法,應當判定為侵權。第二,作為新興客體,涉及企業數據競爭行為的判斷應回歸行為規制法,側重于競爭行為的正當性評價[34]。若該行為違反商業道德或者誠實信用原則,則應認定為不具有正當性,視為侵權。第三,作為商業秘密保護的企業數據不涉及其他企業通過反向工程獲得的相同或者相近似的數據,即該行為不視為侵權行為。第四,在數據交易中,數據一經出售,應遵循“權利窮竭”原則,對于數據的再次、多次轉讓不享有權利。第五,賠償金額的計算可根據權利人所受損失、侵權人所獲利益等計算,權利人損失越多,賠償金額應越多。同時,應考慮侵權是否具有主觀過錯,是否故意侵權、侵權持續時間、侵權范圍等。

4.建立企業數據知識產權保護行業規則

(1)明確企業數據抓取的規范

數據獲取的方式大致可分為兩種:一是通過對外提供API接口的方式獲取數據;二是通過數據爬蟲技術獲取數據[35]。實踐中,主要是數據爬取行為的不正當引起了糾紛[13]。爬蟲是現在抓取互聯網數據的主要手段之一,能夠快速地復制、抓取網絡上的信息。但在爬取的過程中也應遵守一定的行業規則——爬蟲協議(又稱“Robots協議”),明確哪些頁面允許抓取并進行商業使用,厘清合法性邊界,防止不正當競爭。雖然Robots協議目前僅屬于行業慣例,但在司法實踐中其效力亦被認可[36]。在百度在線網絡技術(北京)有限公司、北京百度網訊科技有限公司與北京奇虎科技有限公司不正當競爭糾紛一案中(14)參見北京市高級人民法院(2017)京民終487號民事判決書。,法院認為百度公司違反Robots協議,該協議是為了避免網絡機器人重復抓取信息,而百度公司在其Robots協議中阻止360搜索引擎對其相關網頁抓取的行為與Robots協議的初衷相違背,屬于不正當競爭行為。筆者認為,應進一步明確數據抓取的法律性質,將Robots協議納入行業規范,以保證數據安全與合法使用。

互聯網行業與數據息息相關,行業協會可以制定相應的數據使用規范,從行業層面出發,更加貼近實踐,更能夠有較大的成效。

(2)強化企業數據治理規則

強化企業數據治理規則要從行業規范和企業內部管理入手,完善相應的規范,避免不正當使用數據造成不正當競爭及侵權行為[37]。首先,行業協會應制定相應的規范,構建數據治理原則。例如數據安全原則,企業在獲取數據的同時應保障數據的安全,采取一定的措施避免數據泄露,且不將帶有個人信息的數據隨意處分。其次,要建立不同部門與機構之間、不同層級之間的侵權假冒線索監測啟動與推送機制、信息共享機制[38]。加強不同部門(企業或行業內部)之間的溝通,堅決打擊侵權現象,加強網絡平臺的監管,從源頭上避免侵權現象的發生。最后,加強企業內部數據治理,對數據的產生、流通、利用、共享流程設置操作規范,強化企業數據合規,防范化解侵權風險。