數字經濟時代下企業數據保護的法律應對

王子健 李成剛

江西瀚中春律師事務所，江西 南昌 330029

隨著5G、物聯網、云計算等高精尖技術的蓬勃發展，海量信息不斷積聚。我國已將數據并重于土地、勞動力、資本、技術等生產要素，指明數據將成為企業高質量發展的戰略資源。“十三五”時期我國數據經濟總量躍居世界第二，2020 年我國數字經濟核心產業增加值占GDP 比重達到7.8%，成為驅動經濟高質量發展的核心動力。目前，企業通過獲取數據并轉化成生產力方式，但伴隨而來的是數據侵權頻發，如何合法合規提升企業核心競爭力，是企業面臨的重大挑戰。

一、企業數據的基本屬性和保護的必要性

（一）企業數據的基本屬性

企業數據保護常常與個人數據、虛擬財產等交織討論，沒有被作為獨立的權利予以重視。進而引發不少學者對其討論，有學者將數據視為信息的表現形式［1］，也有學者認為數據是一種信息，屬于“信息”的下位概念［2］。無論采納何種觀點，不可否認的是，數據指向的是具體的信息。

簡言之，企業所掌握的數據是一種大數據集合，是對個人信息進行收集、脫敏、整理、加工后形成的海量數據。筆者認為，企業數據泛指狹義的企業數據，包含企業的概況介紹，如經營范圍、聯系方式、企業規模等，多為公開數據。企業數據既包括企業自身的原始數據，也包括在生產經營過程中攫取、積累的經營數據（生產數據、用戶數據等）。其主要包括以下內在法律屬性：

1.信息財產權

主流觀點認為企業數據屬于信息財產權的范疇，應比照信息保護相關的法律制度對其予以確定。就我國現行法律，信息保護主要集中于公民個人信息保護，如《中華人民共和國民法典》（以下簡稱《民法典》）第一百一十一條及人格權編中關于保護具體人格權的相關規定，企業作為特殊的法人，無法直接類推適用。此外，企業數據不僅具有生產價值要素，還有商業價值的經濟屬性，而公民的個人信息不具備上述兩種價值，既然兩者價值屬性截然不同，那么企業數據保護不宜直接照搬公民個人信息保護的相關法律，需要由專門的法律法規對其予以肯定。

2.物權

雖然數據是無形的，但其存儲和傳播載體所依賴的形式是有形的，理所當然有學者將企業數據作為一種特殊的物。物權特性具有排他性和絕對性，導致企業對數據享有占有、使用、收益、處分的權能，故借鑒物權保護制度來保護企業數據。該理論看似具有一定的道理，但也存在弊端。首先，我國物權法普遍遵循物權法定，但我國法律沒有明確規定將數據作為物權保護的客體；其次，我國法治環境深受大陸法系的影響，我國物權法所保護的物皆為有體物。即便數據載體是有形的，但并不等同于數據，兩者之間還是存在難以逾越的鴻溝；最后，技術的更新迭代或多或少會導致數據存續時間短暫，將其視為物權屬性予以保護不符合物權的穩定性特性。

3.知識產權

將數據歸入知識產權領域進行保護是一種較為新穎的觀點。知識產權保護的客體是具有一定創造性的智力成果，企業數據進行了相當程度的加工、篩選、處理，則完全符合知識產權的認定門檻，反之，企業只是簡單地對數據進行搜集、整理或儲存，則不符合《民法典》中所列舉的知識產權客體進行保護，相反會拉低知識產權的門檻。知識產權以登記為生效要件，目前企業數據無法融入專利、商標等知識產權的專屬篇章。數據的流通性從根本上會導致其不適合歸于知識產權，強行介入勢必會阻礙我國高精尖技術的發展，有點得不償失。

（二）對企業數據單獨進行保護的必要性

誠然，企業數據中包含了部分公民用戶的個人信息，其攫取與儲存數據均在虛擬空間之中，使企業數據與個人數據、虛擬財產天然地具有聯系，但企業數據絕不能與個人數據、虛擬財產混為一談，應作為一項獨立的客體進行保護。

1.企業數據不同于個人信息

數字經濟時代，具有價值并且能夠產生效益的實際是信息。對于企業而言，無論其使用自身數據還是衍生數據，甚至利用網絡爬蟲等方式非法抓取數據，目的都是獲取信息。但與個人信息不同，企業所掌握的數據是一種大數據集合，是對個人信息進行收集、脫敏、整理、加工后形成的海量數據，其與個人信息權利主體的直接關聯往往已經切斷，即已不能通過某一數據識別出特定的主體。企業數據經過企業的創造性加工、篩選、處理已完全成為脫離于個體的信息，甚至承載著企業獨特的智慧。盡管企業擁有的海量數據中包含了大部分個人信息，但與個人信息存在本質上的區別。

2.企業數據不同于虛擬財產

虛擬財產也是伴隨信息網絡的發展誕生的新興事物，但目前學界基本已形成統一的認識，將虛擬財產定性為特殊的物，運用物權法并結合特殊規定予以保護［3］。而目前對企業數據的性質尚未形成統一的認識。雖然也有學者將企業數據視作特殊的物，但并非主流觀點且多有弊端。企業數據與虛擬財產也不是包含與被包含的關系。透過《民法典》第一百二十七條規定，可以窺見立法者將數據與網絡虛擬財產視為兩個并列的概念。雖然企業數據具有財產屬性，網絡虛擬財產以數據為載體，但二者之間仍然存在明顯的區別。

二、企業數據的現有法律保護途徑及不足

（一）企業數據作為商業秘密保護及不足

企業數據作為商業秘密予以保護，是各國普遍認同的標準。而《中華人民共和國反不正當競爭法》（以下簡稱《反不正當競爭法》）第九條予以明確。若企業數據未公開且具有商業價值并采取合理的保護措施，便可作為商業秘密進行保護。但企業數據能否構成商業秘密，目前不存在行之有效的證明標準。同時企業數據所具備的開放性，無法滿足商業秘密共性——保密性。雖然《中華人民共和國刑法》（以下簡稱《刑法》）規定了“侵犯商業秘密罪”，但認定標準過于嚴苛，即對企業造成了重大的財產損失。而在實踐中，企業數據丟失僅表現為喪失商業合作或削弱企業競爭力，實際損失往往無法計算。

（二）企業數據作為競爭法保護及不足

只要市場主體使用了不正當競爭手段，就會受到反不正當競爭法管轄。而企業數據相關的不正當競爭主要表現為，公司付出人力、物力、財力，經過一定時期的積累掌握大量數據，將此轉化為企業的商業利益與競爭優勢，而其他公司利用該公司的勞動成果，攫取其競爭利益并創造自己的價值，則構成不正當競爭行為（可參見某寶公司訴某景公司大數據產品不正當競爭糾紛（2018）浙01民終7312 號二審民事判決書）。反不正當競爭法對企業數據進行保護無疑是擴大了法律保護的邊界。判斷其是否構成不正當競爭行為，最終邏輯是判定其是否構成侵權行為，首先，司法實踐中不僅需要具備舉證問題，還涉及專業技術，更加考量司法人員對專業領域的知識儲備；其次是沒有能夠明確指引裁判的剛性規則，我國僅采用《反不正當競爭法》第二條規定予以釋明。

（三）企業數據進行刑法保護的可行性及不足

我國《刑法》第二百八十五條第二款規定了非法獲取計算機信息系統數據、非法控制計算機信息系統罪的定罪問題。比如攔截用戶或流量，甚至包括以好評“刷單”為目的的犯罪行為。首先，該罪名并沒有囊括所有的具體情形，只是概括性地以破壞計算機信息系統罪定罪處罰；其次，依據刑法謙抑性原則，通常只有在窮盡民法、行政法救濟才會啟動刑事手段。而侵犯企業數據的方式是通過隱蔽的技術手段侵入數據庫信息系統隨機抓取數據，遠遠上升不到刑法的層面。

三、企業數據的保護困境

（一）企業數據定性與權屬爭議不明

如前文所述，目前學界對企業數據的法律定性還存在爭議，無論何種定性，均無法涵蓋企業數據內在屬性。故《深圳經濟特區數據條例（征求意見稿）》曾提出過“數據權”，但僅存在于攝像階段。拋開定性問題不談，還有權屬爭議。在司法判決中認為企業對用戶數據并不享有所有權（參見某點評訴某幫網（2008）海民初字第16204號民事判決書；（2009）一中民終字第5031 號民事裁定書），但也有司法判決中的觀點認為企業對其搜集處理的個人信息享有合法權益（參見某點評訴某幫網（2010）海民初字第24463號民事判決書；（2011）一中民終字第7512號民事判決書）。

（二）行業規則混亂

法律沒有作出明確規定之前，企業數據的保護完全依賴于市場習慣。但我國的數據交易市場還沒有成形，即便我國已建立多個大數據交易中心，但其交易規則也不盡相同。雖然各平臺的交易規則在一定范圍內填補立法空白，但這些規則參差不齊。同時，外部環境引發的侵權行為，比如某訊、某音等知名企業經常出現數據侵權糾紛，市場發展之良莠狀況可見一斑。統一的市場規則亟待建立，以維護數據安全。

（三）企業數據保護與自由間的沖突

企業數據保護與自由間的沖突包含三個層面問題。首先是企業數據保護與公民個人信息保護之間的沖突。企業數據涵蓋了大量的公民個人信息，如何界定企業數據與公民個人信息對明確兩者間界限造成困難；其次是企業數據保護與生產要素自由之間的沖突。數據具備的流動與有效利用，勢必會與私權保護產生沖突；最后是企業數據保護與開放共享之間的沖突。數據對國家發展有戰略性意義，政府部門出于對公共利益的維護需要掌握特定信息，必然導致政府與企業之間的數據權屬矛盾劇增。

（四）企業數據司法維權困難

我國并沒有制定專門保護企業數據的法律，需要從侵害的行為、目的、損害結果等不同層面因素來建立保護模式。但民事訴訟需要明確訴訟請求和負擔舉證責任，而刑事訴訟不僅涉及公訴模式，還需要公檢法介入，即便犯罪分子承擔刑事責任，但未必能夠達到企業預期。此外，沒有明確且統一的指引，雖可以多個維度進行維權，但也容易導致同類案件出現不同審判結果。

四、企業數據保護的法律路徑

（一）完善數據權利保護的立法

《深圳經濟特區數據條例》是數據保護領域的首次大膽嘗試，但存在違反《中華人民共和國立法法》第一百零七條越權立法的嫌隙，備受爭議，需要更高位階的法律作為基礎依據。數據權利作為數字時代的產物，與原有權利保護制度的融合存在障礙，首先，主體之間的權利義務規范并不明確；其次，侵權頻發的現狀也亟待立法者作出法律回應。企業數據的權利性質雖然一直存在爭議，但應堅持立法先行，解決當下的突出問題。至于權利定性的難題，實踐的深入發展必然會解決這一問題。

（二）構建數據的脫敏管理體系

數據脫敏是指對原有數據加工處理，使其在變形后無法配套到公民個人，實現對公民隱私權的保護。企業數據與公民個人信息間根本矛盾在于，公民信息處理與侵犯公民隱私權間的有機結合。比如應用軟件在注冊使用前，軟件開發者對注冊用戶在使用軟件過程中所產生的信息進行搜集，只要企業在這一階段，對用戶進行匿名化脫敏管理，降低侵犯公民隱私風險，可以緩和企業數據保護與公民個人信息保護之間的矛盾。

（三）對企業數據進行分級分類管理

中央與地方政府可以建立分級分類規則對數據進行管理。首先，企業數據以公開程度為標準分為公開數據、半公開數據和非公開數據［4］，針對不同級別的數據，應采取不同的保護模式。如某數據是企業的非公開數據，能夠達到商業秘密的程度，則應予以著重保護，對侵權行為的打擊程度也應更加嚴厲；其次，企業數據以處理程度為標準還可分為數據集合與數據產品［5］。企業對數據產品投入的人力物力更多，保護力度也應較數據集合更大。此外，中央與地方政府還可建立統一的數據保護機構，推動數據開放與共享，維護國家數據安全，緩和社會公共利益與企業數據保護之間的沖突。

（四）企業內部建立侵權防御機制

目前來看，企業數據的保護主要依賴于企業的自我防御。對于企業而言。首先，應保證數據均是合法途徑獲得，尊重公民的個人信息和隱私；其次，數據導向型企業尤其應提高自身對抗侵權技術的能力，構建嚴密的防御體系，避免企業數據泄露；最后，在使用數據的過程中企業還應多加監管與追蹤，防止在數據傳輸中被人竊取。

五、結語

數據資源不僅是重要的生產要素，更是國家發展的戰略性資源，全球各主要國家已紛紛將數據資源提升到戰略性地位。數字經濟時代下，掌握數據資源就是掌握社會發展的船舵，釋放數據價值就是釋放經濟增長的活力，對數據保護的研究正逢其時。目前我國已施行《中華人民共和國個人信息保護法》對公民的個人信息進行保護，但對企業數據方面的保護還存在立法空白。可以嘗試立法先行，建立一套合理的規則對企業數據進行保護，在實踐中不斷發展與修正。