摘要: 数据作为一种新的生产要素,对企业经营的重要性日益凸显。“数据二十条”为了更好地应对数据在生产、流通、交易的过程中呈现出的主体多,利益诉求复杂等特点,突破了传统的权利制度框架,将重点放在数据使用权的流通,提出数据资源持有权、数据加工使用权和数据产品经营权“三权分置”的数据产权制度框架。该规定的实施,为企业数据资源的所有者、使用者处理数据的合规性、可行性奠定了坚实的法律基础。在此基础上,突破以往传统的保护途径,参照“三权分置”的运行机制,探索对企业数据的保护,建立健全相关制度,完善企业数据合规治理体系,实现数据要素价值。
Abstract:
As a new factor of production, data is increasingly important for business operations. In order to better respond to the characteristics of multiple subjects and complex interest demands presented by data in the production, circulation, and transaction processes, the “Twenty Articles of Data” breaks through the traditional framework of rights system and focuses on the circulation of data usage rights. It proposes a data property rights system framework of “three rights separation” of data resource ownership, data processing and usage rights, and data product management rights. The implementation of this regulation has laid a solid legal foundation for the compliance and feasibility of data processing by owners and users of enterprise data resources. On this basis, breaking through traditional protection charnels and referring to the operating mechanism of “three rights separation”, we will explore the protection of enterprise data, establish ant improve relevant systems, improve the compliance governance system of enterprise data, and realize the value of data elements.
1. 引言
《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》强调,随着科技的进步,数据已经成为五大生产要素之一,是推动数字经济持续增长的重要力量。数据对于企业经营的重要性也日益凸显。当前企业数据的权益争议不断,涉企业数据权益纠纷案件也逐年增加,学术界对企业数据权益的保护机制依然存在很大争议,司法实践中对于企业数据权益的保护也存在不同观点和不同路径选择。《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”)为了更好地应对数据在生产、流通、交易的过程中呈现出的主体多,利益诉求复杂等特点,突破了传统的权利制度框架,将重点放在数据使用权的流通,提出数据资源持有权、数据加工使用权和数据产品经营权“三权分置”的数据产权制度框架 [1] 。“数据二十条”旨在充分发挥数据要素的功能,实现数据资源利用最大化,同时有效保护数据权益。本文将在“三权分置”这一创新制度框架下,在分析制度内容的基础上,探析企业数据权益的保护路径,以及企业数据合规治理体系的完善加强措施,保护企业数据权益,实现数据的有效利用,解放和发展数据生产力。
2. 企业数据现有保护
当前我国现行法中,对数据产权制度方面的法律规定较为欠缺,《中华人民共和国民法典》第127条,“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,这一法律规定从立法上认可了数据可作为一种财产并给予保护,但并没有明确界定数据的属性 [2] 。实践中,对于企业数据的保护,主要是借助传统的保护路径:
2.1. 商业秘密保护
构成商业秘密要具备秘密性、保密性、价值性等特点,如果企业数据具备了前面的这些特点,便可以适用商业秘密保护的相关规定。例如,“衢州万联网络技术有限公司与周慧民等侵犯商业秘密纠纷案”中,上海市高级人民法院裁定,衢州万联公司拥有其网站上注册用户信息数据库的相关权益,这些用户信息具有秘密性、保密性、价值性等特点,应当被认定为商业秘密进行保护,因此被告的行为系侵犯商业秘密行为。法院在判断企业数据是否构成商业秘密时,需从涉案数据与商业秘密要件的符合程度入手,而企业所拥有的非公开数据在一定条件下能够满足商业秘密的条件。
2.2. 知识产权保护
企业数据与作品、发明、商标等知识产权法的保护对象具有高度一致性的,当数据经过选择、加工等处理,形成具有独创性的数据库时,企业可对其主张知识产权保护。在“深圳市国泰安信息技术有限公司与吴娟、浙江淘宝网络有限公司著作权权属、侵权纠纷案”中,法院认为:国泰安公司拥有涉案CSMAR系列研究数据库系统的著作权,其合法权益受到法律保护,任何人未经授权都不得复制或发行该公司享有著作权的作品。但不具备独创性的数据不适用知识产权保护,数据越广泛就越可能缺乏独创性,也就越难被纳入到知识产权保护的范围中。
2.3. 其他保护
当企业发现有第三方采用不正当手段盗用企业数据或者未经允许以及超出允许范围使用企业数据等行为,对企业的利益造成损害,则可以选择反不正当竞争保护来维护企业的合法权益。在“淘宝(中国)软件有限公司与安徽美景信息科技有限公司不正当竞争纠纷案”中,法院认可了原告享有该公司相关数据产品的相关权利,被告没有投入劳动和成本,仅凭借技术手段从该公司获取涉案数据,从而谋求经济利益,这种做法严重损害了原告的合法权益,属于不正当竞争行为 [3] 。
3. 数据产权“三权分置”的提出
数据在生产、流通、交易的过程中呈现主体多,利益诉求复杂多样的特点。“数据二十条”突破了传统的权利制度框架,将重点放在数据使用权的流通,提出数据资源持有权、数据加工使用权和数据产品经营权“三权分置”的数据产权制度框架。这一突破性制度框架的主线是坚持促进数据合规高效流通使用、赋能实体经济,重在充分实现数据要素价值 [4] 。
3.1. “三权分置”的制度设计
3.1.1. 数据资源持有权
数据资源持有权是指数据处理者在相关数据主体的授权同意下,对数据资源管理、使用、收益和依法处分的权利。企业拥有两类数据资源:一类是在日常生产经营活动中收集的不涉及个人信息和公共利益的数据,企业对此类数据拥有完全的控制权,可以自主决定如何处理这些数据;另一类是根据数据所有者的授权,按照法律法规合法取得的数据,这类数据可能会涉及个人信息或公共数据 [5] 。在此情况下数据处理者仅能在授权范围内依法行驶数据权利。
3.1.2. 数据加工使用权
数据加工使用权是指对数据进行筛选、分类、排列、加密、标注等处理活动。享受此权力的前提是数据的来源合法合规。这一权利设置的目的是为了保护数据加工处理者的合法权益,即数据处理者合法合规取得的数据相关权利,法律予以认可并保护。依据现有的观点,数据加工使用权应包括控制、开发、许可、转让等内容,但这些权利会受到其他权利的限制,如数据持有权。为了确保数据的安全,数据处理者应当采取一些措施,如加密、去标识化、匿名化等,在出现问题时,应当立即采取行动,及时告知用户并向有关主管部门报告。数据处理活动必须遵守相关法律规定,不得超出允许范围。
3.1.3. 数据产品经营权
数据产品经营权是指数据处理者许可他人使用经其加工处理后形成的数据产品并获得收益的权利。数据产品经营权主要表现出数据权利主体对第三方竞争行为的限制,目的是防止同行业竞争者不当利用数据产品获得利益。《数据二十条》明确了“谁投入、谁贡献、谁收益”原则,对企业在依法开展的数据生产、流通、使用等活动中的数据投入及数据权益予以肯定。企业对其依法通过实质性加工或创新型劳动形成的数据产品享有权益,可以依法自主使用,进行处分并获取收益。当然,享有数据产品经营权的前提依然是不损害公共利益、他人合法权益以为不违法法律法规的相关规定。
3.2. 数据保护“三权分置”制度的影响
3.2.1. 保障数据处理者权利,提高数据利用率
依据数据来源和特点,明确相关参与者在数据生产、流通、使用过程中享有的合法权利,建立“三权分置”的产权运行机制,并作为一种强有力的制度保障,使得数据资源能被有效利用,最大限度的发挥其价值。在这种机制下,数据资源的相关主体间形成“共同使用、共享收益”的新形式,并且能为处理数据的行为找到合理的依据,保障数据处理者的权利的同时提高数据的利用率 [6] 。
3.2.2. 创建共享、公平竞争的数据要素市场
当前,我国的数据竞争司法基本适用“三重授权”的原则,即当企业想要获取其他企业的数据时,需要同时经过用户、数据企业的授权以及用户对数据持有企业的授权。这一制度虽然能够保护数据权利,但是不利于数据要素市场的发展及数据的高效利用。“数据二十条”提出“谁投入、谁贡献、谁受益”的原则,目的是推动数据要素的有效收益向创造数据价值和使用价值的人合理倾斜。此外“数据二十条”还强调要特别关注公共利益和相对弱势群体,通过有效地监管防止资本不良发展,以致出现市场垄断的情况。通过构建公正、开放、共享的数据要素市场,更好的利用数据资源。
3.2.3. 推动企业的安全合规建设
数字产权相较于其他资产的产权则更具有权属的复杂性,致使数据在应用过程中的侵权风险和安全风险日益增多。在“数据二十条”框架下,数据产权制度关注数据资源持有权、数据加工使用权、数据产品经营权的“三权分置”。为更大程度的发挥数据要素的积极作用,要完善和加强数据资产的产权登记,明晰权属等基础合规工作。一方面要关注“三权”的合法合规和安全,另一方面还需要确定各项分置权利的内涵,以及明确各项权利的边界,建立公平的使用和收益体系。
4. “三权分置”制度下企业数据的保护及治理
数据产权“三权分置”制度的设立为企业数据资源确权以及交易流通的价值评估提供了明确的法律基础。在此基础上,对企业数据的保护,除了以往传统的保护途径外,还可以参照“三权分置”的产权运行机制,建立健全相关制度,完善企业数据合规治理体系。
4.1. 厘清产权,建立健全数据分类分级管理制度
要以权属登记的方式确认和保护数据资产,做好数据的分类分级工作 [7] 。《数据二十条》指出要根据数据流通范围、影响和隐藏风险,区别不同的场景和用途,建立公共数据、企业数据、个人数据的分类分级的许可管理制度。《网络安全法》《数据安全法》都对此做出了明确规定。在对数据进行分类分级管理后,企业能够更好更清楚地确定企业所有的数据资源类型,分别按照各级别管理制度以及确权授权制度进行处理。尤其是针对涉及公共安全、个人信息、商业秘密等的敏感性数据应进行重点保护。企业在建立健全数据分类分级管理制度时,还应注意遵从其业务所属行业的特殊监管要求。
4.2. 办理数据权属登记
在数据产权“三权分置”的制度下,数据产权的多样性和可变性,使其在具体应用中变得更加复杂,通过数据资产登记的方式加以助力和保护尤为重要。可以参考知识产权登记,企业通过向数据权益登记部门申请并完成数据权属登记,对数据产权的归属进行确认,使其具有公信力。通过进行数据权属登记,可以确定数据资源持有权的、数据产品经营权的权利归属情况以及的许可情况,在此基础上,企业数据的利用和流转交易有了合法性依据,在数据财产纠纷中,也能够更好地保护企业的数据权益 [8] 。
4.3. 建立健全数据流转交易管理制度
针对数据的流转交易行为,企业需秉持谨慎态度。如果企业向第三方提供的数据涉及到个人信息或者重要数据的,应事先按照相关法律规定开展数据安全风险评估,尤其是针对敏感类的数据。若企业作为数据接收方开展数据流转交易时,应注意要求数据提供方通过数据权属登记证明、数据流通交易声明和承诺等形式确保数据来源合法,同时,企业应依法在其获得的授权范围内开展数据相关处理活动。另外,企业在开展数据流转交易活动中,应根据数据流转交易合作的具体目的、内容、各方权责划分等因素审慎判断并选择数据流转交易的具体合作模式,进行交易和合作方管理 [9] 。
4.4. 加强企业自律意识,增强企业社会责任
“数据二十条”提出新的措施,即建立公开透明的数据登记及披露制度,以此减少数据垄断的发生,增强用户和数据监管者对数据的控制。在进行数据登记时,必须将相关信息,如来源、数据生成者、数据权利人、有效期限等,详细记录在指定文件中,确保数据能够被识别。数据登记和披露制度的建立能够突破“数据垄断”的限制,提高数据在市场中流通的效率,推动市场健康发展。此外,企业应向社会公众表明遵守数据产权相关规定,维护数据权益的立场的态度。为确保企业遵守相关法律法规,企业应当与相关部门签署承诺责任书,若企业在数据流通交易的过程中违反承诺书的内容,将依法依规受到相应处罚。
5. 结束语
随着数据经济的发展,企业数据权益相关问题成为备受关注的热点问题。由于数据权益的自身特点,使其难以被完全纳入传统法律框架下进行保护,为解决这一问题,“数据二十条”创造性提出建立数据资源持有权、数据加工使用权和数据产品经营权“三权分置”的数据产权制度框架。这一制度淡化了数据所有权、强调使用权,聚焦数据使用权流通,实现数据资源利用最大化。数据产权“三权分置”制度的设立为企业数据资源确权以及交易流通过程中的相关问题提供了法律依据,如何让这一创新型制度成为企业数据保护和合规治理的新动力,实现企业数据资源的利用和数据要素市场的健康发展,值得进一步深入研究 [10] 。