引言:在大数据时代,数据已经成为企业的重要资产,信息数据领域的竞争也愈发强烈。但现行法律体系对于企业数据权利并无明确具体的法律规定,企业数据权利边界模糊不清,而企业又迫切需要得到相关权益的保护。笔者结合相关学理及司法判例,对企业数据权利的边界及其保护进行探析。
一、企业数据的定义与分类
(一)企业数据的定义
现行法律并未给出企业数据的法律定义,如《民法典》第一百二十七条“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,仅仅是作为引致条款。而在《网络安全法》中,其第七十六条第四款:“(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据”也只是对网络数据进行电子数据下的分类,并未揭示出企业数据的法律属性。
从企业的角度而言,对企业数据进行定义的意义在于作为企业权益的对象,企业享有何种权利、权利的边界如何。结合学界与实务界的观点,笔者认为企业数据可如下定义:企业数据是企业在从事各种活动中通过搜集整理等增值处理行为产生的各种单一数据的集合。其具有数据资源整体和单一数据个体两种形态,企业对其享有不同边界的权利内容。单一数据个体,即将用户信息作数字化转换后可以被计算机网络系统所处理并在网络上进行传播的数据,但其社会的价值贡献仍未脱离用户信息所包含的资讯内容。对此,企业根据“合法、正当、必要、不过度、征得用户同意”的原则享有有限使用权;而由单一数据个体聚合而形成的数据资源整体,企业可对其享有竞争性权益。
(二)企业数据的分类
根据不同的维度,企业数据一般有两种分类:公开数据与非公开数据、原始数据与衍生数据。
1.公开数据与非公开数据
企业数据根据是否设定访问权限(相关技术措施)及向公众公开分为公开数据和非公开数据。企业对公开数据具有容忍他人合法收集和利用的义务;而利用技术手段破坏或绕开设定的访问权限获取非公开数据则具有不当性。如上所述,此种分类的意义在于对数据获取手段的正当性判断,但就反不当竞争行为而言,此种分类并不能表征企业对相关数据具有合法正当的权益,以至于能够获得《反不正当竞争法》的保护。
2.原始数据与衍生数据
企业数据根据企业劳动投入而享有的价值范围不同可以分为原始数据与衍生数据。企业原始数据,即区别于单一个体数据而由企业付出相应劳动而收集和储存的数据集合,只是用户信息转换为电子符号的外在形式,并未提供创造性劳动成果,企业仅享有其劳动所增加的价值而不是原始数据的全部价值;企业衍生数据是企业在收集海量原始数据基础上,经过深度分析处理、整合加工而形成的数据产品,企业对其依法享有财产所有权及竞争性财产权益。此种分类主要是在数据价值层面上的分类,用以判断作为被诉侵权客体的企业数据对其是否具有相应的竞争性权益。
在此种分类下需要注意的是:1.单一个体数据:在未与数据来源主体(用户)约定专有权的情况下,企业对其不享有相关财产性权益,但仍可以基于数据运营及个人数据的安全保障义务享有相应的权益,如阻止他人入侵或者非法复制出售等。2.客户信息:受到《反不正当竞争法》保护的客户信息并非“客户名称的简单列举,而应当是客户的综合信息,包括在与客户长期交易过程中形成的价格承受能力、需求类型等全面信息”,“具有现实的或者潜在的商业价值,能给权利人带来竞争优势”。并非所有附加劳动的原始数据都具有竞争价值,其仍需要经过实质性判断。
二、企业数据权利内容
企业的数据权利属性及权利内容目前在学理上众说纷纭,有人格权说、财产权说、知识产权说、商业秘密说等,就传统财产权而言,企业数据权利一般被认为具有占有、使用、收益和处分的权能。在司法实践中,企业可主张及受到保护的数据相关权益更加广泛。
1.对数据进行占有(储存)、使用、收益并阻止他人非经许可利用的权益
企业对于合法收集的数据进行储存、利用其创造数据产品并获取财产性利益的权利,未经收集者许可,其他经营者不得进行爬取、复制及商业化使用。其主要规制的是商业中的不正当行为,包括著作权侵权、侵犯商业秘密及不正当竞争行为。
相关案例如下:
(1)(2020)最高法知民终1638号:原甲公司开发人员离职后成立乙公司,销售、使用甲公司含有技术秘密(“管理信息系统”数据库)的计算机管理信息系统,被认定侵犯甲公司的商业秘密,相关人员被以侵犯商业秘密罪起诉。
(2)(2019)京73民终3789号:某公司通过爬虫绕过微博的登陆系统非法抓取、存储微博平台后端只有登录后才能查看的数据,并在鹰击系统中展示这些数据并基于此加工整理形成数据分析报告,违反《反不正当竞争法》第二条、第十二条。
2.保持相关数据真实完整的权益
企业保持其收集和储存数据真实完整,不受他人篡改、伪造、破坏的权益。规制的典型行为如网站、APP的刷号、刷单(通过虚假交易向网站、APP等输入虚假信息)、网络游戏外挂(通过截获、修改或伪造客户端向后台服务器发送的数据信息,以使这些数据与游戏设置本来应当发出的数据值不符)等,涉嫌妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行(《反不正当竞争法》第十二条)及虚假交易(《反不正当竞争法》第八条)。
相关案例如下:
(1)(2021)京73民终313号:A公司、B公司针对C公司运营的网站实施了刷点赞、刷粉丝、刷播放量进行虚假交易,并以此作为手段谋取非法利益的行为,违反《反不正当竞争法》第八条第二款规定:“经营者不得通过组织虚假交易等方式,帮助其他经营者进行虚假或者引人误解的商业宣传”,导致C公司经营的视频网站中存在虚假数据,污染相关数据资源,不仅影响视频网站中其他经营者的利益,还会使用户对C公司运营的视频网站中的视频以及网站本身产生流量上的质疑,进而使C公司作为视频网站运营者的商业利益受到损害(影响C公司运营决策,且为保障评价机制的正常运营而清除虚假数据,需进一步投入运营成本),也不利于消费者合法利益和社会整体福祉的增加。
(2)(2021)沪73民终489号:被告谌某某推广、销售能修改iOS系统手机的地理位置信息的虚拟定位插件,修改或伪造客户端向后台服务器发送的数据信息,以使这些数据与游戏设置本来应当发出的数据值不符,使得游戏玩家通过虚假的位移即可获取游戏奖励,破坏游戏公平性,剥夺游戏公司与玩家交易的机会,扰乱市场正常经营秩序并损害游戏公司和游戏玩家的合法利益,构成不当竞争行为。
3.对数据安全保护的衍生性权益
对数据安全保护的衍生性权益主要基于企业对其本身的数据安全、计算机储存设备安全以及用户个人信息安全而对相关数据享有的不受入侵、复制、篡改等权益,而不论数据本身是否具有财产性利益或者能够带来竞争优势,此种行为多见于非法获取计算机信息系统数据罪的相关刑事案件。
相关案例如下:
(1)(2021)粤73民终153号:被告通过涉案软件在手机后台抓取授权微信账号使用者或该微信账号相对方的个人微信信息。法院认为此种信息数据属于未经分析加工的用户个人原始数据,并非原告在运行微信过程中进行收集或再加工后的成果,故原告虽然有责任保护此类数据的安全,但在微信用户授权范围之外对此类数据并不享有其他权利。涉案软件运行时的收集分析上述数据,亦不属于对原告权益的侵害。故原告可以禁止被告实施相应的行为,但无权就被告的该行为主张经济赔偿。
(2)(2021)皖0210刑初221号:被告人吴某、沙某利用未经微信官方授权的“霸天虎”“飞毛腿”等软件,在获取微信账号及登陆密码的同时,从微信手机客户端非法获取对应微信账号的62数据或A16数据,并向他人出售牟利,触犯非法获取计算机信息系统数据罪。
三、企业数据权利的保护路径
(一)汇编作品保护
《著作权法(2020修正)》第十五条:“汇编若干作品、作品的片段或者不构成作品的数据或者其他材料,对其内容的选择或者编排体现独创性的作品,为汇编作品,其著作权由汇编人享有,但行使著作权时,不得侵犯原作品的著作权”。当企业对数据样本具有个性化的选择和编排,“体现了制作者的智力创造,具有独创性”时,可以作为汇编作品受到著作权法的保护。
但根据《与贸易有关的知识产权协议(TRIPS协定)》第十条第二款:“数据汇编或其他资料,无论机器可读还是其他形式,只要由于对其内容的选取或编排而构成智力创作,即应作为智力创作加以保护。该保护不得延伸至数据或资料本身,并不得损害存在于数据或资料本身的任何版权”,汇编作品的保护方式只能保护数据选择和编排的独创性,一般仅限于各类数据库的整体性引用,而不能阻止行为人对数据库中相关数据的爬取和复制,因为数据本身并不构成汇编作品独创性的组成部分。汇编作品保护与大数据通过数量聚合、深入加工产生的大数据产品的主流利用方式并不完全匹配。
(二)商业秘密保护
《反不正当竞争法》第九条规定:“经营者不得实施下列侵犯商业秘密的行为……本法所称的商业秘密,是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息”,数据(库)受到商业秘密的保护需满足非公知性(不为公众所知悉)、保密性(经权利人采取相应保密措施)和价值性(具有商业价值)的条件。其局限性在于保护的门槛较高、范围较窄,受到保护的数据仅限于企业采取了相应保密措施的不为公众所熟知的秘密,如前文所述的公开数据和只采取了一般行为的限制措施的非公开数据就无法达到“非公知性”和“保密性”的条件,进而无法受到商业秘密的保护;其次是商业秘密的保护无法制止反向工程和自行研制,即采取正当手段对数据库的破解。
(三)反不当竞争保护
反不当竞争的保护主要适用《反不正当竞争法》的一般性条款(第二条第一、二款)和针对网络服务提供者的概括性条款(第十二条第二款第四项)。反不当竞争保护是当下适用最为广泛的一种保护方式,司法案例也多采取此种路径,其优势在于无须对企业数据的权利属性进行定性而避免相关学理性的争议,只需要确定企业对此数据具有合法的权益即可按照不当竞争行为的相关要件进行处理。
反不正当竞争的主要判断要件如下:(1)一般性条款中不当竞争行为的判断要件:①企业对数据资源是否享有合法权益。主要包括两方面:数据收集本身是否合法,有无侵犯数据提供者或者其他数据收集者的合法权益或者本身具有妨害竞争的行为;数据资源是否给收集者带来商业利益和竞争优势;②企业和被诉方是否存在竞争关系。在网络大数据以网络数据流量竞争为主的情况下,基本上网络服务提供者之间都会被法院认定具有竞争关系;③被诉行为造成的损害后果,如是否对市场竞争秩序造成损害;是否对消费者的合法权益造成损害,是否对企业的权益造成损害;④被诉方抓取数据或其他被诉行为是否违反法律或者商业道德具有不正当性,或者具有其他豁免情形,如属于技术创新、实质非侵权用途等。(2)第十二条中不当竞争行为的判断要件:①被诉行为系利用技术手段干扰他人网络产品或服务正常运行的行为;②被诉行为不属于该条明确列举的互联网不正当竞争行为;③反不正当竞争法保护的法益因被诉行为受到实际损害;④被诉行为基于互联网商业伦理而具有不正当性。
(四)刑法保护
《刑法》对企业数据的保护并不具有独特的保护模式,基本上涵盖上述保护方式涉及的不正当行为,但《刑法》的保护利益不同,其主要注重于数据安全和计算机系统安全的保护。主要为《刑法》第二百八十五条的非法获取计算机信息系统数据、非法控制计算机信息系统罪,涵盖绝大部分侵犯企业数据权利的相关犯罪行为,而数据的商业和财产性价值主要以侵犯财产权的罪名予以保护,如《刑法》第二百一十七条的侵犯著作权罪、第二百一十九条的侵犯商业秘密罪。
四、企业数据权利保护的相关法律建议
(一)对相关数据主张权利,应当确保对其具有相应的合法权益,如收集、储存、使用的手段合法或者对相关数据具有安全保障义务。尤其应当关注数据获取的“三重授权原则”——互联网中第三方应用通过开放平台获取用户信息时应坚持“用户授权(开放平台收集用户数据经过被收集者同意)+平台授权(第三从开放平台获取用户信息需经过开放平台同意)+用户授权(第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意)。
(二)从数据的公开性角度而言,对于公开数据和未采取严格保密措施的非公开数据,在网络科技迅速发展的今天,是否会受到侵害往往取决于经营者之间的“君子协议”和商业道德自律,普通的限制措施无法阻止侵害行为。因此企业应当建立相应的数据侵害监控及反应措施,及时采取救济措施,防止损失扩大;对于属于商业秘密或其他保密数据,应当注意员工与合作对象的相关风险防范,及时签订保密协议,并重视员工离职账号管理、非工作时间账号登录及其他接触企业数据途径的管理和监控。
(三)从数据的附加价值而言,原始数据较衍生数据的竞争性价值较小,因此较难获得《反不正当竞争法》的保护,对此可采取与衍生数据不同的如商业秘密的方式进行保护。从另一个角度而言,原始数据的价值就在于通过深加工形成数据产品,在于流通和利用而非封锁和占有,对于原始数据企业可授权他人或自行利用转化为数据产品。