1. 企业数据概述

1.1. 数据概念阐释

数据与信息不能等同，我国目前关于数据与信息的立法包括了《网络安全法》《数据安全法》《个人信息保护法》《电子商务法》等相关法律。但是结合现有法院裁判，各地法院关于信息和数据的区分并未清晰，导致法律适用出现错误。

《中华人民共和国数据安全法》第三条第一款说明了信息和数据之间的关系，即数据是信息的表达方式¹。具体而言，信息内容可以通过不同的数据表现形式展现在公众眼前。近年来，国内形成的数据的概念的通说，认为数据是依托二进制产生的连续编码[1] [2]。在对数据进行细分后，可以将数据分为个人数据、企业数据、国家数据。而本文所探讨的企业数据，顾名思义，即企业日常经营过程中所形成的各种数据。企业数据有利于企业在市场中保持竞争力，企业所掌握数据的多少一定程度上决定了企业的发展潜力。

企业数据的形成最开始需要对各种信息进行汇集，分析其中的内容，再应用于企业运营之中，从而实现企业数据的价值。由此看来，企业数据与个人数据之间存在一定的区别，企业数据是对个人数据进行的分析和转化。在企业数据的收集、分析、应用过程中，企业会付出大量的物力、财力，将原始数据转化为衍生数据。

1.2. 企业数据法律属性探索

对于新生法律客体的进行法律适用和定义，首先要探讨的就是其法律性质，也是法学研究者的逻辑起点[3]。民法典的1164条说明了侵权责任编保护的范围，即任何民事权益，这也扩大了侵权责任法的保护范围，将企业数据权纳入侵权责任编的保护范围。但是遗憾的是，现有的法律体系并未对企业数据进行明确规定其法律属性，从而导致司法实践中相关纠纷不能得到妥善解决。

我们应当认识到企业数据具有财产属性，企业数据具有价值，可以在市场上获得报价，并进行交易。那么从这一角度来看，是否可以将企业数据定义为民法上的“物”？民法上的物应当具有交换价值和使用价值，对于企业数据来说，其确实具备交换价值和使用价值。但是这种通常不会伴随着所有权的转移，而是使用权的交换。例如北京舆讯科技有限公司于2017年，通过股权与数据使用权交换的方式获取了贵阳数据投行有限公司涉数据的使用权。贵阳数据投行有限公司将数据的使用权授权北京舆讯科技有限公司使用，但是贵阳数据投行有限公司仍是这些数据的所有权人。这一案例又能看出企业数据的独立性这一特点，企业数据可以完全脱离载体而独立存在，可进行多次复制，在多个主体间同时使用，不具有“物”的排他性特征，在不同的主体间使用同一数据的过程中，被不同的主体进行分析，衍化，从而产生新的区别于交换以前的企业数据。这一特征使得数据权区别于其他传统的物的交换形式，企业数据这一民事权利虽然具有财产法律属性，但是又与传统的财产有一定的区别。

1.3. 企业数据的实践探索

当前数据交易市场中，仍然面临很多问题，例如高质量数据供给不足，相关政策制度不够健全、企业数据具有侵犯人身权益法律风险。企业数据的权利属性界定不清晰，如何进行定价、如何进行监管等一系列问题都需要尽快进行明确²。其中最需要解决数据权的核心问题是数据定价与数据确权[4]。数据确权主要解决数据权属的问题，但是需要注意的是，数据权是一项复合性的权利，其中夹杂着各种权益，通常难以完全归属一人所有，数据不会自我产生，而是在企业的加工基础上形成，企业在对数据进行整理过程中投入了大量的人力和物力，但是在企业数据粗具规模时，却遭遇了市场上其他企业的侵权，因此，实践中应当尽早回应如何对企业数据进行保护。

企业在收集、分析、整合数据的过程中会形成多重数据的交织，一种企业数据中可能包含了个人数据、企业分析形成的数据以及公共利益有关的数据。而企业想要获得个人数据或公共利益有关的数据，通常需要获得各种主体的许可，同时也影响着各个主体的利益。而对于数据被收集者的权益如何保护，以及数据被收集者能否在一定程度上免费使用这些数据，现行立法并未给出明确的答案，有待实践中具体问题具体分析。

学界有观点指出企业数据可以通过知识产权法律体系进行保护。但是粗暴的将企业数据纳入知识产权体系规制范畴则导致知识产权保护体系的不合理扩张。第一，著作权的客体应当是作品，而作品必须表现出独创性[5]，企业数据的表现形式则是数据的集合和汇总，难以体现一定的独创性；其次，企业数据中，有相当部分内容已纳入商业秘密的保护范围，例如企业的交易记录、客户人群等，这些数据通常存储在特定的服务器中，企业将这些数据加以保密，其他人难以获取，但是企业数据又不等同于商业秘密，企业数据具有可流通性的特点，因此二者又不能混为一谈。

司法实践中也有做法运用反不正当竞争法保护企业数据。例如“新浪诉脉脉案”中，第二审人民法院裁判观点指出淘友公司运用非法手段获取非脉脉用户的微博信息，违反诚实信用与商业道德，依法已经构成不正当竞争。总结各个反不正当竞争案件，法院对于企业数据侵权是否构成违反反不正当竞争法主要考量以下因素：第一，绝大多数法院认为，企业对于个人数据进行的收集、分析、应用后，最终的呈现形式可以独立于原始个人数据，且企业投入了大量的成本，使得这些企业数据具有了市场竞争价值，值得法律保护；第二，“非同业竞争”同样也是各地法院的判断重点，从法院的司法判决实践中不难看出，竞争关系的认定非常广泛，广泛到不同行业之间也可以存在不正当竞争从而承担相应的责任。但是运用反不正当竞争法保护企业数据也存在很多局限性。首先，由于不正当竞争的形式越来越新颖，《反不正当竞争法》第2条的规定被法院援引的次数在不断增多，这也给予了各地法院很大的自由裁量权，但是最大的自由就是最大的不自由，条款适用的不确定性使得同案不同判的案例增多，难以实现裁判的公平公正。其次，《反不正当竞争法》旨在规制市场的公平竞争行为，对于企业数据的定性，权属确定等等并未做详细的规定；最后，《反不正当竞争法》的适用门槛较高，当事人对于权利的诉求在一定程度上难以实现。

2. 侵权法对于企业数据保护的意义探究

2.1. 运用侵权法保护企业数据的范围及合理性

笔者认为，侵权法作为兜底性的保护措施，在一定程度上弥补了企业数据在一些情况下难以保护的缺点。但是运用侵权法作为企业数据的专门保护法律确实不够，不过由于现行立法并未对企业数据进行明确的法律属性阐释，在缺乏对企业数据权益进行专门保护的专门立法出台以前，企业数据作为一项民事权益，属于侵权法第1164条规定的保护范畴，未必不是缓解现行立法不足的一项手段。

企业数据作为一种新型权利，在某些时刻具有一定的独创性，可以将其认定为知识产权的保护范围，例如软件企业在搜集了用户的个人信息及喜好时，将这些信息汇集整理形成企业数据，再根据这些数据在不同的时间段对特定的人群进行个性化投放。此种方法企业获得的数据应当被认定具有一定的独创性，从而纳入知识产权的保护范围。但是对于企业仅通过简单搜集而得出的数据，由于不存在独创性，将其纳入知识产权的保护范围较为牵强，但是企业搜集这些数据也付出了一定的成本，作为一项民事权益，应当受到法律保护，因此，侵权法为该类企业数据提供了保护的可能。《民法典·侵权编》规定的民事权益，包括物质性人格权、精神性人格权、身份权、人格利益、财产权利和其他财产利益[6]。而企业数据作为一个未被准确定义的法律概念，其体现的财产利益与侵权责任中的一般条款所规制的客体具有一致性。竞争法仅是对企业的竞争性进行的规制，运用竞争法保护企业数据是对企业数据“竞争性”的扩大解释，并且导致互联网领域的侵权行为向《反不正当竞争法》逃逸[7]。企业数据这一权利并不是时刻保持竞争性。而侵权责任法将企业数据从竞争法中剥离，更有利于实现对企业数据的全面保护。

2.2. 侵权法保护企业数据的优势

首先，在新型权利被创设以前，其仍属于权益的范畴，这使得侵权责任法成为了各种新型权利未被定义以前的保护措施。权利属于权益的范畴，权益的范围要广于权利。权益是一种模糊的概念，这使得侵权责任法变成了各种权益保护的兜底性措施，只要权益侵害符合侵权法的过错要件，就可以获得侵权法的保护。对于企业数据这一新型法律概念，法的滞后性显而易见，未来发生的纠纷类型与可能造成的损害人们无法预知。在现有规则无法满足现实需要时，原则出现弥补规则的不足，侵权责任法作为原则性的兜底措施，延缓了法律的滞后性弊端的暴露，将企业数据这一新生事物纳入我国法律的保护体系，为立法者将企业数据“权利化”提供了更多的思考时间。

其次，适用侵权法保护企业数据有利于平衡企业的数据安全和外部主体行为自由的边界。在侵权法体系下，受害方的权益自由与加害人的行为自由是该法律最难以调整的基本矛盾[8]。数据安全领域的行为自由，其外部表现形式是行为人的获得、使用、处理分析数据的自由。而在企业数据领域的行为自由与约束则显得更为复杂多变，因为其中夹杂了个人利益、企业利益、社会公共利益等多方主体的利益要素。在多方利益夹杂的情况下，不论赋予企业对其所掌握的企业数据的绝对控制权还是一定限制的控制权，在一定程度上都会将其他主体使用相关数据排斥在外。因此，无限制的运用竞争法维护企业数据安全，使得在互联网时代下与数据共享的理念相违背，不利于数据传播。而在侵权法的保护模式下，一定程度上认可了企业对其所掌握的企业数据享有民事权益，同时运用构成要件作为保护企业数据的有效手段，有效的打破了企业对其控制的数据的垄断性，有利于与企业数据的流通，同时对于真正的侵权行为进行了打击。

3. 企业数据侵权行为的认定及完善建议

3.1. 司法实践中企业数据侵权行为的认定

对于侵害企业数据权益的行为，各地法院总结出三种行为类型，具体分为侵害企业数据内容完整性的行为，侵害企业数据集合使用性的行为、侵害企业数据产品独立性的行为。

对于侵害企业数据内容完整性的情况下，其行为高发在企业数据的收集过程，一般指侵权人在未经企业许可的情况下，通过增加、删除、修改的方式更改企业数据，阻碍企业对于数据的收集，导致企业对于其控制的数据的可读性财产利益的损害。司法实践过程中，侵权人有通过某些虚假行为使得数据收集企业收集的数据失真。例如“爱奇艺诉飞益公司不正当竞争纠纷案”³，被告通过非法手段虚假增加原告企业网页的访问量，使得原告企业获取的数据不具有真实性，原告企业继而难以读取完整准确的访问数据，侵害了原告企业的收集数据的真实性权益。

侵害企业数据集合使用性的行为，也即侵权人未经数据控制企业的许可，擅自收集、使用企业控制的数据。法院在此种情况下认为，该侵权行为的侵权对象为数据控制者通过汇集、分析而形成的服务器的数据集合，这些数据集合是企业开发数据资源的基础，应当对侵权人的违法行为进行问责。对于此种行为的具体认定，常见的手段包括侵权人通过网络爬虫技术非法访问企业数据后台，并抓取、复制、使用数据控制企业生成的数据集合。法院将企业控制的这些数据认定为具有财产性利益，结合侵权人与被侵权人的经营范围、经营方式，将该侵权行为认定为破坏了企业间的竞争利益，同时该类数据并未真正实现“去个性化”仍有可能侵犯到个人隐私等利益。

侵害企业数据产品的独立性，是指未经数据控制企业的许可使用其数据产品。运用侵权法的构成要件对该类行为进行公示套用，即侵权人主观上具有侵害企业数据的故意，客观上实施了侵害企业数据的行为，造成了数据控制企业的损害。数据产品是企业收集、分析各类数据而形成的最终类型的数据形态，可以直接应用于企业的生产。由于在该种数据产品模式下，数据已经实现“去人格化”，这种侵害行为纯粹侵犯的是企业的财产利益，不会侵犯个人的人格利益。

3.2. 企业数据侵权法的适用建议

侵权法是企业数据财产权益的最终防线。根据我国侵权法的体系，受侵害的企业若想要得到事前救济，可以寻求《民法典》1167条的帮助[9] [10]。同时其仍可以依据侵权法请求加害人承担损害赔偿。这使得侵权责任法成为了《反不正当竞争法》的补充性保障措施。

行为人获取企业数据的行为是否构成侵权的标准在于该行为是否会对数据控制企业造成损害。企业数据可以分为非公开的企业数据与公开的企业数据。对于企业非公开的数据来说，原则上应当认定该行为属于侵权行为。该类企业数据包括日常经营过程中搜集的用户个人信息以及企业日常经营过程中产生的业务信息数据，还有就是前两者相结合分析得出的具有独立性的企业数据。该种非公布的企业数据考虑到属于企业自主权的范围，并且并未对公共利益造成损害，侵害人未经许可对非公开的企业数据进行非法获取的，应当认定为侵权行为；而对于公开的企业数据来说，应当从多方面综合判断其行为是否构成侵权。首先，对于公开的企业数据，为了迎合数据共享，数字经济的发展需求，其他企业使用该数据有利于市场的良性竞争，原则上不宜直接认定为是侵权行为；其次，即便是公开的企业数据，企业前期也付出了一定的成本投入，一味的认定使用该企业数据的加害人不具有侵权行为也不妥当。因此，对于获取并使用公开的企业数据的主体，应当考虑是否运用这些企业数据从事原数据收集企业有竞争性的盈利活动，是否侵犯了原数据收集企业的合法利益方面加以考虑，由此既保护了原数据收集企业的利益，也有利于数据共享，数据造福社会的目的实现。

从过错与违法性角度进行分析，对于一般性的侵权行为，通常采取过错责任原则进行适用，并且在无过错责任的适用下，更不利于数据共享和数据流通，因此笔者更赞同运用过错责任原则对数据侵权进行适用。侵权人获取企业数据的主观方面既可以是故意，也可以是过失。在侵权人的主观过错认定客观化的趋势下，违法性判断在过错责任中显得尤为重要[11]。但是在数据安全相关法律并未完善的背景下，探讨侵犯企业数据的违法性成了没有依据的事情，但是在中国侵权责任的四要件体系下，违法性已经被过错所吸收。也就是说该行为是否构成违法性，主要判断标准是行为人是否存在过错，若行为人违反了数据安全有关法律规定，当然的推定其存在过错，而另一方面，若行为人虽未违反法律，抑或违反了数据使用企业与数据收集企业的数据适用协议，同样应当认定为具有过错，在此种违约责任与侵权责任的竞合的场景下，由原数据收集企业选择让数据使用企业承担何种责任。

在损害事实方面，“无损害即无救济”，损害事实的发生也是被侵权人主张损害赔偿的依据。因为企业数据具有非排他性和无体形性的特征，侵害企业数据所造成的损害的估量具有一定的特殊性。行为人通过一定的手段获取企业数据的行为具有隐蔽性，通常难以被企业所发掘。并且发生的损害通常难以在短时间内显示出来，有时仅能表现为是一种潜在威胁，这种损害事实可能使得数据收集企业营业收入的减少，也可能是企业因数据泄露造成用户个人隐私被公开而承担的侵权责任的损失，此类损害事实的发生需由数据收集企业承担初步的举证责任。对于损害事实赔偿数额的认定可以参照《著作权法》第54条的规定⁴，由法院根据具体影响范围、企业规模、数据前期收集成本等标准行使自由裁量权进行判断。

4. 结语

企业数据这一新生事物伴随着我国迈入数字化信息时代而产生，2021年，我国出台《数据安全法》作为保护数据安全的基本法，并为后续出台一系列保护数据安全的具体法律奠定基调。但是对于企业数据保护的相关法律出台尚需一定时日，学界对于如何对企业数据进行保护也并未形成主流观点。《民法典·侵权责任编》作为民事权利的兜底性保护措施，在企业数据未采取专门法保护的时候，为企业数据的保护提供了可能，也为企业数据保护专门立法的出台提供了一定的思路和实践。

NOTES

¹《中华人民共和国数据安全法》(2021年)第三条 本法所称数据，是指任何以电子或者其他方式对信息的记录。

数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

²参见上海数据交易所发布的《2022年全国数商产业报告》。

³参见上海市徐汇区人民法院(2017)沪0104民初18960号民事判决书、江苏省常州市中级人民法院(2018)苏04民初51号民事判决书。

⁴《中华人民共和国著作权法》(2020年)第五十四条 侵犯著作权或者与著作权有关的权利的，侵权人应当按照权利人因此受到的实际损失或者侵权人的违法所得给予赔偿；权利人的实际损失或者侵权人的违法所得难以计算的，可以参照该权利使用费给予赔偿。对故意侵犯著作权或者与著作权有关的权利，情节严重的，可以在按照上述方法确定数额的一倍以上五倍以下给予赔偿。

权利人的实际损失、侵权人的违法所得、权利使用费难以计算的，由人民法院根据侵权行为的情节，判决给予五百元以上五百万元以下的赔偿。

赔偿数额还应当包括权利人为制止侵权行为所支付的合理开支。

人民法院为确定赔偿数额，在权利人已经尽了必要举证责任，而与侵权行为相关的账簿、资料等主要由侵权人掌握的，可以责令侵权人提供与侵权行为相关的账簿、资料等；侵权人不提供，或者提供虚假的账簿、资料等的，人民法院可以参考权利人的主张和提供的证据确定赔偿数额。

人民法院审理著作权纠纷案件，应权利人请求，对侵权复制品，除特殊情况外，责令销毁；对主要用于制造侵权复制品的材料、工具、设备等，责令销毁，且不予补偿；或者在特殊情况下，责令禁止前述材料、工具、设备等进入商业渠道，且不予补偿。

参考文献