|
法学院
|
|
□ 程啸 (清华大学法学院教授)
在上一篇文章《现代社会中的数据权属问题》中,笔者提出在生产经营等社会活动中处理各种数据的企业等民事主体,他们作为数据处理者对其合法处理的数据享有财产权。该权利是一种新型的财产权,不同于以动产和不动产这类有体物为客体的所有权,法律应当对其加以相应的保护。在现代数字经济的发展过程中,处理数据的企业、事业单位和社会团体等民事主体尤其是网络公司,对于数据的权属非常关注,特别希望通过立法明确他们对于数据究竟享有哪些具体的权利。但是,从全国性的立法来看,目前还没有法律或行政法规明确企业等民事主体对于合法处理的数据享有的具体权利是什么。数据安全法也只是笼统地规定,国家保护个人、组织与数据有关的权益。至于该权益是什么,该法并未明确。 目前,我国法律只有对企业等经营者的数据予以一定的保护,并且将之作为一种合法的商业资源或财产利益来看待,通过反不正当竞争法加以保护。在近几年来发生的影响比较大的几起侵害企业数据的案件,如大众点评诉爱帮网案、新浪诉脉脉案、酷米客诉车来了案以及淘宝诉美景案中,法院基本上都是依据反不正当竞争法第二条这一非常原则性的规定,将侵害他人数据的企业行为认定为不正当竞争行为。例如,在淘宝诉美景案中,法院认为,“生意参谋”数据产品系淘宝公司耗费人力、物力、财力,经过长期经营积累形成的,具有合法性和商业价值,属于竞争法意义上的财产权益。美景公司的行为对淘宝公司的合法权益造成损害,构成不正当竞争。 通过反不正当竞争法来保护企业的数据,实际上只是认可企业对数据享有一种受法律保护的经济利益或无形财产利益而已,这是一种消极的、被动的方式。该保护方法的适用范围也很有限,仅适用于存在竞争关系的经营者之间侵害数据的行为。如果不是经营者实施的侵害行为,就不能适用。不仅如此,仅仅是反不正当竞争法的规定,也完全无法解决企业等民事主体数据财产权的内容究竟是什么等具体问题。例如,企业能否将其合法取得的数据作为出资来设立企业?能否与其他企业进行数据交易?数据上可否设定担保以及设定何种担保?在基础数据上产生的增值数据以及数据产品的归属如何确定?侵害数据尚未造成损害或存在侵害的危险时,可否要求停止侵害、排除妨碍及消除危险?如果对于数据这一现代生产要素的权利内容和边界不能作出清晰具体的界定或描述的话,那么企业等民事主体的数据处理活动的合法性就不确定,稍有不慎他们就可能被认定构成侵害公民个人信息等违法犯罪行为,进而被行政处罚甚至有牢狱之灾。试想,如果一个企业花费大量的成本以合法方式取得的各种数据,不能被作为合法资产加以运用,作为出资,投入交易,被他人侵害时,也不能得到有效的保护。那么,该企业显然就没有动力从事数据处理,数据的流动性就无法实现,数据中蕴涵的各种潜在的价值也难以被发掘。 当前理论界在深入研讨企业等民事主体的数据财产权内容上已形成了一定的共识,即一方面,企业等民事主体在处理个人数据时应当保护个人信息权益,符合法律的规定;另一方面,在法律上也应当尊重数据处理者的劳动付出,承认和保护处理者依法或依约获取的数据相关权利,充分保障他们对数据的使用收益权。我国的一些地方立法也正在数据权属方面进行一些创新。例如,《深圳经济特区数据条例》第四条规定:“自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。但是,不得危害国家安全和公共利益,不得损害他人的合法权益。”再如,《上海市数据条例》第十二条第2款规定:“本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益。” 笔者认为,企业等民事主体对于其合法处理的数据享有的财产权益即数据资产权或数据财产权必须要通过法律加以明确,即明确该权利是包括占有、使用、收益和处分数据等权能在内的财产权,在受到侵害时处理者可以要求侵权人承担停止侵害、赔偿损失等侵权责任。首先,占有数据的权利。在民法上,占有是对有体物的事实上的管领力,具有空间上的结合性和时间上的持续性。虽然数据表现为存在于计算机及网络上流通的在二进制的基础上由0和1组合的比特形式,无法脱离载体而存在,但是通过技术对数据加以占有是毫无问题的。通过技术对数据的占有,客观上也有助于对侵害数据行为的认定。同时,数据处理者占有数据时也应符合个人信息保护法、数据安全法等法律对于保护个人信息及数据的安全的要求。 其次,对数据进行使用、收益和处分的权利。数据可以分为个人数据与非个人数据。个人数据即个人信息,对于个人数据的使用、收益和处分的权利受制于个人信息权益,必须符合民法典、个人信息保护法等法律的规定。例如,处理个人数据的企业要公开个人数据或者提供给他人之前,必须得到自然人的单独同意。又如,数据企业对个人数据的处理受制于告知并取得自然人同意的处理目的的限制,必须与处理目的直接相关而且要采取对个人权益影响最小的方式。但是,对于非个人数据,如个人数据被匿名化处理后的数据、自然环境等与特定自然人无关的数据,则不受制于上述规定。企业等民事主体对于这些数据可以在不违反法律、行政法规的强制性规定以及公序良俗的前提下,自由地使用、收益和处分。例如,出售数据或出租数据给他人获取收益,以数据作为出资而取得相应的股权或投资性权利,在数据或数据权利上设立担保物权等。 再次,任何组织和个人不得侵害企业等民事主体对数据的财产权。从民事责任而言,当该权利遭受侵害时,权利人有权要求侵权人承担停止侵害、排除妨碍、赔偿损失等侵权责任,由于大数据时代数据具有很强的再分析价值,即对于数据因使用方式不同而获得的价值有所不同,故此,在确定损害赔偿责任时,被侵权的数据处理者可以选择按照所遭受的损失或者按照被侵权人的获利予以赔偿;如果损失和获利都难以确定,应当由人民法院根据实际情况来确定赔偿数额。由于处理者对数据的权利是财产权,所以不能要求侵权人承当赔礼道歉和精神损害赔偿的侵权责任。从刑事责任上,侵害数据财产权构成犯罪的,应当依据刑法的有关规定追究刑事责任。 最后,国家公权力机关应当尊重和保护企业等民事主体的数据财产权。国家机关必须严格依照法律、行政法规的规定,因为履行法定职责所必须时才能要求企业等民事主体提供数据,并且这种提供应当严格依照法定的条件和程序进行,对于获取的数据必须严格按照规定处理并严格加以保护,不得泄露或非法向他人提供。如果国家机关因违法行使公权力而侵害企业等民事主体的数据财产权的,应当依法承担国家赔偿责任等法律责任。 (“数字经济中的民事权益保护”系列之一:《现代社会中的数据权属问题》详见于《法治日报》2022年4月20日9版)
|
“数字经济中的民事权益保护”系列之二:
|
企业等民事主体的数据财产权的内容与保护
|
|
|
|
( 2022-04-27 ) 稿件来源: 法治日报法学院 |
|
□ 程啸 (清华大学法学院教授)
在上一篇文章《现代社会中的数据权属问题》中,笔者提出在生产经营等社会活动中处理各种数据的企业等民事主体,他们作为数据处理者对其合法处理的数据享有财产权。该权利是一种新型的财产权,不同于以动产和不动产这类有体物为客体的所有权,法律应当对其加以相应的保护。在现代数字经济的发展过程中,处理数据的企业、事业单位和社会团体等民事主体尤其是网络公司,对于数据的权属非常关注,特别希望通过立法明确他们对于数据究竟享有哪些具体的权利。但是,从全国性的立法来看,目前还没有法律或行政法规明确企业等民事主体对于合法处理的数据享有的具体权利是什么。数据安全法也只是笼统地规定,国家保护个人、组织与数据有关的权益。至于该权益是什么,该法并未明确。 目前,我国法律只有对企业等经营者的数据予以一定的保护,并且将之作为一种合法的商业资源或财产利益来看待,通过反不正当竞争法加以保护。在近几年来发生的影响比较大的几起侵害企业数据的案件,如大众点评诉爱帮网案、新浪诉脉脉案、酷米客诉车来了案以及淘宝诉美景案中,法院基本上都是依据反不正当竞争法第二条这一非常原则性的规定,将侵害他人数据的企业行为认定为不正当竞争行为。例如,在淘宝诉美景案中,法院认为,“生意参谋”数据产品系淘宝公司耗费人力、物力、财力,经过长期经营积累形成的,具有合法性和商业价值,属于竞争法意义上的财产权益。美景公司的行为对淘宝公司的合法权益造成损害,构成不正当竞争。 通过反不正当竞争法来保护企业的数据,实际上只是认可企业对数据享有一种受法律保护的经济利益或无形财产利益而已,这是一种消极的、被动的方式。该保护方法的适用范围也很有限,仅适用于存在竞争关系的经营者之间侵害数据的行为。如果不是经营者实施的侵害行为,就不能适用。不仅如此,仅仅是反不正当竞争法的规定,也完全无法解决企业等民事主体数据财产权的内容究竟是什么等具体问题。例如,企业能否将其合法取得的数据作为出资来设立企业?能否与其他企业进行数据交易?数据上可否设定担保以及设定何种担保?在基础数据上产生的增值数据以及数据产品的归属如何确定?侵害数据尚未造成损害或存在侵害的危险时,可否要求停止侵害、排除妨碍及消除危险?如果对于数据这一现代生产要素的权利内容和边界不能作出清晰具体的界定或描述的话,那么企业等民事主体的数据处理活动的合法性就不确定,稍有不慎他们就可能被认定构成侵害公民个人信息等违法犯罪行为,进而被行政处罚甚至有牢狱之灾。试想,如果一个企业花费大量的成本以合法方式取得的各种数据,不能被作为合法资产加以运用,作为出资,投入交易,被他人侵害时,也不能得到有效的保护。那么,该企业显然就没有动力从事数据处理,数据的流动性就无法实现,数据中蕴涵的各种潜在的价值也难以被发掘。 当前理论界在深入研讨企业等民事主体的数据财产权内容上已形成了一定的共识,即一方面,企业等民事主体在处理个人数据时应当保护个人信息权益,符合法律的规定;另一方面,在法律上也应当尊重数据处理者的劳动付出,承认和保护处理者依法或依约获取的数据相关权利,充分保障他们对数据的使用收益权。我国的一些地方立法也正在数据权属方面进行一些创新。例如,《深圳经济特区数据条例》第四条规定:“自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。但是,不得危害国家安全和公共利益,不得损害他人的合法权益。”再如,《上海市数据条例》第十二条第2款规定:“本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益。” 笔者认为,企业等民事主体对于其合法处理的数据享有的财产权益即数据资产权或数据财产权必须要通过法律加以明确,即明确该权利是包括占有、使用、收益和处分数据等权能在内的财产权,在受到侵害时处理者可以要求侵权人承担停止侵害、赔偿损失等侵权责任。首先,占有数据的权利。在民法上,占有是对有体物的事实上的管领力,具有空间上的结合性和时间上的持续性。虽然数据表现为存在于计算机及网络上流通的在二进制的基础上由0和1组合的比特形式,无法脱离载体而存在,但是通过技术对数据加以占有是毫无问题的。通过技术对数据的占有,客观上也有助于对侵害数据行为的认定。同时,数据处理者占有数据时也应符合个人信息保护法、数据安全法等法律对于保护个人信息及数据的安全的要求。 其次,对数据进行使用、收益和处分的权利。数据可以分为个人数据与非个人数据。个人数据即个人信息,对于个人数据的使用、收益和处分的权利受制于个人信息权益,必须符合民法典、个人信息保护法等法律的规定。例如,处理个人数据的企业要公开个人数据或者提供给他人之前,必须得到自然人的单独同意。又如,数据企业对个人数据的处理受制于告知并取得自然人同意的处理目的的限制,必须与处理目的直接相关而且要采取对个人权益影响最小的方式。但是,对于非个人数据,如个人数据被匿名化处理后的数据、自然环境等与特定自然人无关的数据,则不受制于上述规定。企业等民事主体对于这些数据可以在不违反法律、行政法规的强制性规定以及公序良俗的前提下,自由地使用、收益和处分。例如,出售数据或出租数据给他人获取收益,以数据作为出资而取得相应的股权或投资性权利,在数据或数据权利上设立担保物权等。 再次,任何组织和个人不得侵害企业等民事主体对数据的财产权。从民事责任而言,当该权利遭受侵害时,权利人有权要求侵权人承担停止侵害、排除妨碍、赔偿损失等侵权责任,由于大数据时代数据具有很强的再分析价值,即对于数据因使用方式不同而获得的价值有所不同,故此,在确定损害赔偿责任时,被侵权的数据处理者可以选择按照所遭受的损失或者按照被侵权人的获利予以赔偿;如果损失和获利都难以确定,应当由人民法院根据实际情况来确定赔偿数额。由于处理者对数据的权利是财产权,所以不能要求侵权人承当赔礼道歉和精神损害赔偿的侵权责任。从刑事责任上,侵害数据财产权构成犯罪的,应当依据刑法的有关规定追究刑事责任。 最后,国家公权力机关应当尊重和保护企业等民事主体的数据财产权。国家机关必须严格依照法律、行政法规的规定,因为履行法定职责所必须时才能要求企业等民事主体提供数据,并且这种提供应当严格依照法定的条件和程序进行,对于获取的数据必须严格按照规定处理并严格加以保护,不得泄露或非法向他人提供。如果国家机关因违法行使公权力而侵害企业等民事主体的数据财产权的,应当依法承担国家赔偿责任等法律责任。 (“数字经济中的民事权益保护”系列之一:《现代社会中的数据权属问题》详见于《法治日报》2022年4月20日9版)
|
|
|