 |
以案说法
以案说法
大数据时代下企业数据保护的立法
东莞厚街律师获悉
关于作者
曹金智涛是华东政法大学知识产权学院2021级本科生。
摘要:随着大数据时代的到来,中国企业的数据存量爆发式增长。企业数据保护不仅与企业生产经营活动密切相关,还直接关系到新时代我国社会经济的发展潜力。目前,司法实践主要依靠知识产权相关法律法规来保护企业数据,而《反不正当竞争法》是引用的主要法律依据。但由于数据权是大数据时代的新兴产物,知识产权法律法规无法对其提供完整、全面、充分的保护。随着《关于构建数据基础设施体系更好发挥数据要素作用的意见》的发布,有必要从“三权分立”的角度重新审视企业数据保护的立法可能性。行为调节模型为基石。
关键词:企业数据保护;知识产权法;三权分立;行为调节模型
目录
前言
1、知识产权法规在企业数据保护方面的局限性
(一)著作权法对企业数据保护的限制
(二)专利法律法规对企业数据保护的限制
(三)反不正当竞争法对企业数据保护的限制
1.商业秘密保护在企业数据保护中的应用
二、反不正当竞争法一般规定在企业数据保护中的适用
二、“三权分立”理论的提出与评述
(一)企业数据赋能的理论基础
(二)数据资源所有权
(3) 数据处理使用权
(四)数据产品运营权
三、行为调节理论在“三权分立”模式中的应用
(1)行为调节理论
(2)行为规制模型在数据资源所有权和数据处理使用权方面的应用
前言
2022年底,《关于构建数据基础体系更好发挥数据要素作用的意见》(以下简称“数据二十条”)发布,提出20条政策措施,初步建立我国数据基础系统。 2023年10月25日,国家数据局成立。这是我国在“数据强国”理念下迈出的坚实一步。国家数据局负责协调推进数据基础设施体系建设,协调数据资源整合、共享和开发利用,协调推进数字中国、数字经济、数字社会规划建设。国家数据局履行职责是“数据二十条”的进一步落实,有利于加快基础数据体系建设。
根据国家网信办发布的数据,2022年我国数据产出量将达到8.1ZB,位居全球第二。同期,我国大数据产业规模达到1.57万亿元,同比增长18%[1]。随着数据成为新型生产要素,保护数据产权利益、数据安全利益的制度需求逐渐显现。一般情况下,由于运营商在市场上取得了一定的竞争优势,能够在竞争对手出现之前收回投资成本,市场可以充分自我调节,无需法律干预。但在一定条件下,某些数据的积累需要极高的投入,但未经授权或越授权获取(处理)数据(包括数据产品)的成本却很低。 (处理)其他运营商的数据将导致运营商无法收回巨额的初始投资,从而对市场秩序造成相应的损害。此时,市场的自发调节机制失效,法律规定的诚信和商业道德的干预因而具有合法性[2]。目前,我国企业数据保护主要有技术限制和法律救济两条路径。技术限制是指企业通过提高自身的数据存储和管理水平,降低数据被泄露或被他人不当获取的可能性;法律救济主要来自知识产权法规。技术限制的缺点是企业往往不密不密,技术研发的成本与企业数据的安全性并不呈正相关。而当企业遇到数据权利纠纷并希望获得法律救济时,知识产权监管体系不足以提供足够的法律保护。无论是著作权法下的大数据采集、专利法下的大数据计算程序,还是反不正当竞争法下作为商业秘密保护的企业内部数据信息,都不足以为权利人提供一条摆脱侵权的路径。数据权利的视角。清理救援道路。
1、知识产权法规在企业数据保护方面的局限性
(一)著作权法对企业数据保护的限制
我国著作权法第十四条规定:“作品由若干个作品、作品片段或者不构成作品的数据或者其他材料汇编而成,其内容的选择或者编排体现独创性的,是汇编作品。”作品,其版权属于编译器。但是,行使著作权时,不得侵犯原作品的著作权。 “如上所述,企业理论上可以援引我国著作权法关于数据汇编作品的规定,为其大数据藏品寻求数据汇编著作权。
笔者认为,在司法实践中企业寻求数据保护的背景下,著作权法关于数据汇编著作权的规定作用十分有限。
首先,著作权法保护的客体都具有独创性要求。独,是指独立创造,来自于自己;创造是指智力创造的结果。企业要援引该规定寻求救济,首先要求企业收集的大数据必须具有原创性。然而,企业在存储和整理所收集的数据时,往往没有太多的独创性因素。对于企业来说,能够产生经济效益的首先是其采集的数据,其次是企业对原始数据的后续利用。企业通过数据处理和数据采集得到的数据产品,大多数情况下只是为了方便企业快速高效地提取和利用数据,而大数据采集本身并不能为企业创造经济价值。在这种情况下,企业的数据采集很难满足著作权法保护对象的独创性要求。在美国案件中,美国第七巡回法院认为,被告通过逆向修复直接获取大数据对应的原始数据集合的行为并未侵犯其相应知识产权的合法权利。即使被告的行为确实侵犯了原告的合法利益,法院仍将其归类为合理使用。
其次,即使企业数据采集的独创性足以受到版权法的保护,但法律保护的只是大量数据作为一个整体的排列组合,而不是其中的个体数据。实践中,企业完整数据布局受到其他运营商权益侵害的情况并不多见。相反,往往是个人或部分数据的不当获取。在这种情况下,企业无法享有其数据的整体权益。要求侵犯版权的损害赔偿。
最后,由于版权保护的本质只是作品独创性的抽象概念,因此将版权保护应用于数据保护只能保护其形式,而不能保护其本质。正如《与贸易有关的知识产权协议》第十条第二款规定,其保护仅限于原有的安排和选择本身,且保护是抽象的而非实质性的[3]。 《伯尔尼公约》还规定,受保护的作品应当是作者的智力创作。侵权人完全可以放弃对作品“独创性”的获取,直接通过复制的方式获取数据本身。这无疑呈现出一种本末倒置的规范体系,让真正有价值的数据本身暴露在市场竞争中。
(二)专利法律法规对企业数据保护的限制
企业在援引专利法对数据进行保护时,主要是针对大数据申请计算机程序专利保护。 《专利审查指南》将发明专利保护范围扩大到含有技术特征的商业模式和商业方法,但保护的必要条件之一是“含有技术特征”,而根据现行法律法规,也受到保护满足大数据解决技术问题的要求。类型、处理的数据类型和特定应用目的。同时,专利保护必须满足“新颖性、创造性、实用性”的要求,这也使得企业数据的整理、选择和计算在现行专利法下难以获得保护[4]。国家知识产权局关于修改《专利审查指南》的决定[5]也明确指出,“权利要求涉及抽象算法或者简单的商业规则和方法,且不包含任何技术特征的,该权利要求属于专利审查指南的规则和方法”。专利法第二十五条第一款第二项规定的智力活动,不被授予专利权。”
此外,专利权的取得、流转和运用均以信息披露为前提。就企业数据的保护而言,这显然不符合防止同业经营者在市场竞争中侵犯企业所掌握数据的目的。
(三)反不正当竞争法对企业数据保护的限制
在司法实践中,很少有企业援引著作权法或专利法来寻求对其企业数据的保护。大多数企业在数据权利受到侵害时会选择《反不正当竞争法》寻求法律救济,而法院也经常援引《反不正当竞争法》。裁判适用公平竞争法[6]。
图1
企业可以援引《反不正当竞争法》中的两项主要条款来保护其数据。一是《反不正当竞争法》第十条,关于商业秘密保护的规定;二是《反不正当竞争法》第二条,即一般条款。
1.商业秘密保护在企业数据保护中的应用
反不正当竞争法第九条第三款规定:本法所称商业秘密,是指不为公众所知悉、具有商业价值并被权利人所知的技术信息和经营信息。相应的保密措施。该条还规定,经营者不得侵犯商业秘密。该条明确禁止以下三种方式的侵权行为: (一)以盗窃、贿赂、欺诈、胁迫或者其他不正当手段获取权利人商业秘密的; (二)披露、使用或者允许他人使用通过前款方式获取的权利人的商业秘密。商业秘密; (三)违反约定或者权利人保守商业秘密的要求,泄露、使用或者允许他人使用其掌握的商业秘密。另外,第三人明知或者应当知道商业秘密权利人的雇员、前雇员或者其他单位、个人有前款所列违法行为,但仍获取、披露、使用或者允许的他人使用该商业秘密的,应当视为商业侵权。秘密。
商业秘密的判断需要满足三个要素:保密性、价值和保密措施。企业数据主要包括采购信息、库存信息、订单信息、客户名单、客户偏好等企业自身收集的数据。实践中,政府相关职能部门发布的规范性文件确认了企业数据被视为商业秘密的可能性[7]。上海高级人民法院还在衢州万联网络技术有限公司诉周惠民等人案中确认,网站注册用户信息库可以作为商业秘密受到法律保护。
笔者认为,援引商业秘密条款来保护企业数据,其目的是有偏差的。商业秘密保护的目的是绝对保密,确保商业秘密只有公司自己知道,其价值体现在保密给公司带来的竞争优势。然而,除了保障数据安全外,企业数据保护还有更重要的目的,即通过规范市场交易中的数据获取,促进数据流通,推动数据基础设施系统建设,协调集成、共享、发展。和数据资源的利用。 [9]。应用商业秘密条款进行保护,显然会削弱数据市场的进一步流通。
二、反不正当竞争法一般规定在企业数据保护中的适用
《反不正当竞争法》第二条规定:“经营者在生产经营活动中应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德。本法所称不正当竞争,是指经营活动。 “经营者在生产经营活动中违反本法规定,扰乱市场竞争秩序,损害其他经营者或者消费者合法权益的。”该条是《反不正当竞争法》的一般性规定,仅在立法初期进行解释。功能,不能用于法院的判决。但随着市场主体多元化,不正当竞争越来越难以防范,执法部门根据制度和目的解释对总则中的“合法权益”进行了解读。适用一般条款需要同时满足以下三个条件: (一)法律对此类竞赛没有特别规定的; (二)该类竞争行为确实损害了其他经营者的合法权益; (三)此类竞争 竞争行为违反诚实信用原则和商业道德,因而是不公平的或应受谴责的。
当企业自己收集的数据不满足著作权法的独创性要求和商业秘密的新颖性时,往往会援引《反不正当竞争法》第二条请求保护。企业数据要受到本总则的保护,必须满足两个条件:(1)被告以不当方式获取企业数据,其合法权益受到侵害; (2)被告的不正当??竞争行为违反了商业道德。对于第一个要求,在司法实践中,企业只要能证明其在数据采集方面投入了资金、人力等即可满足。在北京阳光数据公司与上海八彩数据信息有限公司技术合同纠纷案中,法院认为原告在金融数据库上投入了大量资金,应予保护。对于什么是企业数据领域的商业道德,北京知识产权法院从商业行为的角度进行了阐述:商业行为所体现??的秩序旨在促使当事人采取措施,增强总体福利行为。这种反映在商业实践中的秩序是去中心化市场主体探索出来的,是去中心化集体探索的结果。数据控制者可以在互联网空间中使用代码设定用户行为规则,建立数据流动和利用的“私人秩序”,从而使使用代码设定用户行为规则的秩序成为互联网环境下的商业惯例,以防止其他人的行为。经营者不得“搭便车”行为的发生。他人未经授权或越权处理数据,破坏这种商业行为的,应当承担相应的责任[10]。
但企业通过反不正当竞争法总则寻求法律救济仍存在不足。原因在于,《反不正当竞争法》规范市场主体之间的活动,而竞争秩序是其有效性的基石。它与公司数据的上下文无关。下面的数据顺序还是有区别的。此外,当企业数据权益的侵害主体是个人时,《反不正当竞争法》显然不具备适用的可能性。
二、“三权分立”理论的提出与评述
“数据二十条”第三条提出:根据数据来源和数据生成特点,明确数据生产、流通、使用过程中各参与者享有的合法权利,以及数据资源的持有权、应建立使用数据处理的权利和使用数据的权利。产品经营权等产权分离的运行机制,以市场化方式推动非公开数据“共用共享”新模式,为激活数据价值创造和价值实现提供基础制度保障元素。
(一)企业数据赋能的理论基础
企业享有数据权并不是源于某种道德戒律或道德主张通过立法成为一项权利。同时,由于企业数据本身耦合了人身权和财产权,且其权利主体具有自然人和法人的双重性,因此在数据领域赋予企业专有权极具争议性。笔者认为,伦理权利规范是典型的非经验规范,其干预个体内部异质因素的能力[11]不足。道德权利规范本身具有高度的外在合法性,但由于道德权利规范是一种理性的、非制度性的建构,尽管道德权利规范能够表现出群体理性的特征,但由于其非实证性,其对异质性因素的干预更多地取决于个人意识。相反,作为一种经验规范,法律权利规范是从制度建构活动中诞生的,因而其所蕴含的集体理性提升为社会意志。通过惩罚措施的保障,可以最大限度地干预异质因素。 ,而这种制裁方式就是法律强制。总之,法律通过惩罚的本质,迫使个体自我纠正自身异质因素,以满足生存模式的普遍需要,但这种强制往往损害了被强制者的权益[12]。 ]。因此,企业的数据权是否应合法化并成为独占权,与企业数据交易领域的现状无关,而是该领域是否需要国家公权力的介入,施加强制手段。如上所述,如果未经授权或超授权而允许获取(处理)其他运营商的数据,将导致运营商无法收回巨额的初始投资,从而对市场秩序造成相应的损害。此时,市场的自发调节机制失灵,国家强制力的干预也就理所应当。
(二)数据资源所有权
企业的数据资源所有权主要集中在企业生产经营过程中采集的原始数据。这些原始数据既包括未经处理的个人信息,也包括经过匿名化、去标识化等处理的信息。因此,对这些数据进行赋能可能会损害自然人对其个人信息的权益。
原始数据虽然没有经过企业进一步加工处理形成数据产品,但作为“原材料”对企业来说具有一定的经济价值。同时,根据洛克在《政府论》中提出的劳动产权理论[13],企业对其通过大量人力和资本投入而获得的数据自然拥有权利。当然,这一权利不应与自然人对其个人信息的权益发生冲突。
企业对原始数据的数据资源所有权可以这样理解:一是在法律上,合法适用知情同意原则是数据资源所有者享有权利的前提,即必须经过法定程序。同意并征得个人信息主体的同意。授权同意。只有这样,才能保证企业拥有原始数据资源的所有权。其次,数据所有权只是一种管理模式,旨在保障权利人对数据的“和平占有”,为权利人依法“持有”数据提供法律依据,从而防止数据被滥用。免遭他人非法获取或使用。此外,企业未处理或已处理数据的持有期限不宜过长。数据保护立法的本质是促进数据流通[14]。如果一个企业长期不使用其数据,并且不允许其他相关运营者获取,显然与赋能的初衷背道而驰。当然,这个期限的长短需要根据行业的不同特点来规定,未去标识化的个人信息需要在相关自然人同意的情况下开放使用。
(3) 数据处理使用权
企业数据利用的第二阶段是对采集到的数据进行清洗、加工后形成的数据集合。该步骤往往包括去标识化等过程,可以大大降低或消除某条信息识别特定自然人的能力,从而使数据采集中的人格属性减少,其属性属性部分增强,从而它可以被赋予权力。当然,如上所述,在以促进数据流通为基本目的的数据保护体系下,任何赋权行为都必须警惕数据垄断的可能性。根据“新浪微博诉脉脉案”[15]提出的“三重授权原则”下第三方合法获取相关数据的法律保护理念,数据处理使用权应与处理和使用相平衡作为核心。企业之间关于共享数据财产控制的两极关系。
企业使用数据处理的权利包括以下四个部分:(1)控制权。企业对其数据收集的控制权介于传统产权的绝对排他性和商业秘密等事实产权的较弱排他性之间[16]。数据控制权的专属范围应由法律确定,并在涉及个人信息或公共利益时设定一定的限制。 (2) 访问。如上所述,企业对数据收集的专有权利不是绝对的,应允许第三方合法访问以促进数据流通。您可以参考“三重授权原则”规范第三方获取企业数据的行为。 (3) 转让。欧盟《通用数据保护条例》首次规定了数据可移植权[17]。将可移植性延伸到企业数据交换领域,可以更有效地实现法律期望。为了防止数据资源被特定主体垄断,数据所有者可以请求数据使用者将其授权的数据集转让给其他数据使用者,从而实现数据集的有序共享。 (4)删除。企业数据中的删除权对应于《通用数据保护条例》中的被遗忘权[18]。删除权的行使类似于传统产权中所有权的放弃。不仅可以删除企业数据集合中的数据,还可以删除授权第三方使用的数据集合中的数据,前提是第三方不再对数据进行处理。数据被删除[19]。
(四)数据产品运营权
数据产品经营权主要是指网络运营者对其开发的数据产品进行开发、使用、交易和控制的权利[20]。数据产品经营权是“三权分离”模式下最传统的产权。 (1)经过大量数据处理后形成的数据产品基本不含有个人信息痕迹,即数据产品完全不具有个人属性,只具有财产属性。 (二)数据产品是企业基于其生产经营活动收集的数据而形成的、为企业进一步发展而开发的独特产品。它的性质与企业的其他资产是一致的,就像原始数据和数据采集一样需要平衡企业。它们之间的控制和共享显然是不合理的。
数据产品的价值可以追溯到企业对其进行的算法运算,而算法是其生成的关键步骤,也是司法实践中确定数据产品权利界限的基础。在数据的编码层,利用算法高效提取底层数据,生成对公司发展具有潜在价值的决策信息集。这是生成数据产品的关键一步。也是数据产品、数据采集、原始数据的关键一步。之间的根本区别。确定数据产品经营权,既是对劳动价值的法律肯定,也是对创新数据产品价值的充分肯定,有利于充分回应企业对数据保护的需求。
三、行为调节理论在“三权分立”模式中的应用
笔者认为,“三权分立”只是区分了数据处理的阶段,对每种形式的企业数据做出了不同的保护规定。但正如前文所述,盲目地将“三权分置”中的权利理解为与传统产权一样、拥有全球绝对独占权,不利于数据流通和再利用,与数据保护的初衷背道而驰。数据保护。 。因此,数据资源的持有权和数据处理的使用权应以商业秘密保护为基础,以行为规制模式予以保护;而对于数据产品的经营权,可以授予与传统产权同样的绝对专有权。
(1)行为调节理论
“行为规制”模式不需要明确权益归属。它只关注他人对数据的收集、存储、分析和使用是否合法。对不当数据行为作出禁止性规定,并规定相应责任。这有助于解决维权模式中因权利主体和权利客体不明确而造成的权益划分困难的问题。它直接划定了禁止行为的范围,间接为数据控制者创造了保护权益的空间。这种逆向保护企业数据权利的方式遵循“除禁止外自由”的原则,可以给数据市场带来更大的自由度。只要不违反数据相关活动的禁止规定,多个利益相关者都可以收集和使用相同的数据,并且都对数据拥有相关权益。 “一事一对”的原则在这里不适用。
(2)行为规制模型在数据资源所有权和数据处理使用权方面的应用
数据资源持有权和数据处理使用权的共同点是与权利客体边界不明确。当原始数据包含大量未经处理的个人数据时,这个问题尤其明显。尽管数据在数据收集中已被取消识别和匿名化,但由于目前缺乏自动检测和评估方法,仍很难评估现有匿名技术对数据的匿名效应。随着新技术的发展或在某些特殊条件下,可以重新确定个别受试者。在实际应用中,很难保证绝对的匿名性。因此,有必要使用行为法规模型保护原始数据和数据收集,而无需赋予它们绝对的财产权。
为了规范公司数据行为的立法,我们可以参考《反对竞争法》的一般规定和商业秘密规定。如上所述,应用一般条款来保护商业秘密的缺点是,反无情竞争法的立法目的确定它只能调节市场实体之间的行为,并且不能应用于个人的行为侵犯公司的行为数据权。应用商业秘密规定的缺点是,企业数据保护立法的基本目的是促进数据流通,因此企业数据没有传统商业秘密的机密性。但是,《反无礼竞争法》第9条第9款显然包括自然人,合法人和非法人的组织作为行为监管的主题。因此,根据扩大受试者的范围,规范其他自然人,合法人员和非法人,反对竞争法的一般规定可以应用于数据资源所有权和数据处理和使用权利的保护和使用权在收集,存储,分析和使用企业的原始数据和数据收集时违反商业道德的组织,并对企业造成经济伤害。
参考
[1]“我国家的大数据行业的规模将在2022年达到1.57万亿元,同比增长18%。”
[2]北京知识产权法院(2022)北京第73分钟,第1154号。
[3]例如,《美国版权法》中有关数据汇编作品的规定基本上与旅行规定的保护对象和范围一致。参见Wi Llc诉,Inc.,350 F.3d 640(2003年第7章)。
[4] Xu shi:“企业数据保护中的知识产权路径和突破”,“东方法律”,第5期,2018年,第58页。
东莞厚街镇律师?敬请于评论区发表高见,并对本文予以点赞及转发,以助广大读者把握法律与正义的界限。