上海市数据条例即将于元旦生效,一个最引人瞩目的创新就是在全国人大特别授权的“浦东新区法规”的授权框架下,对企业合法获得和处理的数据提出了认可数据财产权益的条款。
浦东新区立法先行先试
我国近20年的司法实践中,其实上海法院不断有企业关于数据财产性利益冲突的诉讼,例如阳光数据诉霸才数据公司案、上证信息诉新华富时证券信息案等、海南经天公司诉某企业法规数据库侵权案等,但是近年来把数据财产权益提高到全社会关注重视高度的,还是以北京法院判决的微博诉脉脉不正当竞争案以及随后一些类似案件。
目前司法实践采用的是反不正当竞争法第二条原则性条款对数据财产权益保护,这是在法律没有明文规定的情况下不得已而为之的权宜之计。上海市地方立法能率先在地方立法中认可企业数据财产权益,弥补了电商法、数据安全法等立法未能就此问题进行尝试的立法空白,是值得肯定和赞赏的,在刑法明文规定个人信息买卖为犯罪的情况下,实际上也为数据交易所的设立提供了法律基础。
但是,数据财产权益这个说法仍然语焉不详,而且终稿回避了直接明确为数据财产定名,笔者认为,既然全国人大给了浦东新区法规的立法先行先试的授权,为了实现先行先试并且切实起作用,应当明确为开发经营权,理由是数据财产权无法用民法典的所有权(物权)、债权、知识产权来解释,虽然不是股东权,但与民法典所用的投资者权这个说法比较接近。数据不能对抗个人信息,因而是相对权,企业享有对合法收集数据的开发经营权。
笔者认为所谓数据确权实际主要是立法要明确两个关键问题,一是个人信息权;二是企业和公共机构对数据的财产权叫什么,怎么界定。个人信息权利最早在我国立法称为“个人信息得到保护的权利”,民法典则使用的是“个人信息权益”的说法,笔者的观点是个人信息权事实上已经确立,唯对该权利包含什么具体权能目前尚有学术争议,但是这个问题由于民法典已经确立“个人信息权益”,已经暂时够用,并不紧迫。但是企业和公共机构对数据享有什么财产权益是数据交易所设立运行的法律前提,否则交易所买卖数据若含个人信息就是违反刑法,构成侵犯公民个人信息罪。所以明确企业对数据财产权是当务之急。
上海市数据条例第十二条规定:本市依法保护自然人对其个人信息享有的人格权益。本市依法保护自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益。第十四条规定“自然人、法人和非法人组织对其合法取得的数据,可以依法使用、加工。法律、行政法规另有规定或者当事人另有约定的除外”。
笔者虽然认为这个立法的措施表述不乏斟酌完善的空间,但是仍然认为这就是笔者主张的数据开发经营权的雏形,并且笔者认为这简单一句话开创了中国成文法保护企业数据财产权的新时代,解决了数据交易的法律基础和在诉讼中保护数据产权缺乏请求权基础的根本问题,其意义堪与欧盟的数据库专有权(Sui generis right)相提并论。今年稍早前通过并即将于明年元旦同日生效的《深圳市经济特区数据条例》第五十八条规定:“市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,取得收益,进行处分”这无疑也是确立了企业对数据有财产权利,但是缺憾是立法技术上忽视了政府和公共机构对于数据也有开发经营权,也是一种财产权利。
建议数据财产权命名为开发经营权
笔者建议数据财产权命名为开发经营权,能解释公共数据与企业财产权、企业财产权与个人信息权益之间的关系,具体理由如下:
第一,数据投资人按照额头出汗原则保护数据和数据库是数据财产权的法理基础。
虽然时至今日才出现较为强烈的数据确权的呼声,但我国对于数据保护的司法案例和立法尝试却早已有之,早在2007年商务部立项研究网上商业数据保护办法的研究讨论中,就有很多人提出数据保护缺乏全国人大层面基础性法律依据,当时欧盟专家介绍的欧盟对数据库保护按照额头出汗原则规定的独有权利(Sui generis right)是可资借鉴的保护数据库的立法先例,但是由于立法法限制部门规章或者规范性文件不能超出现行立法范围,因而该立法项目虽多次修改但始终无法通过会审会签而正式发布,但是该文件数次修改后征求意见稿至今仍在商务部官网可见。
企业对数据享有开发经营权具有几层含义,首先,享有开发经营权的数据必须是合法收集、生成、继受或者其他合法来源获得的数据,非法获得的数据不享有开发经营权。
其次,企业对数据的使用必须是“依法”使用,而不是不受限制的任意使用。这里“依法”是指依照各种数据场景相关的法律,比如涉及医疗卫生的相关数据使用,应该依照医疗卫生等相关法律,天气预报、交通监控等数据使用,应当依照气象、交通安全等相关法律,以及不得违反现行其他法律诸如刑法,民法典等。如果数据来源方对数据有许可条件的,包括收集时点击合同和数据流转的转让合同,获得数据一方的开发经营行为应当受到合同条件的限制。
再次,企业受保护的数据开发经营权涵盖的数据对象可以包含个人信息,但是不得与个人信息权益冲突,不能违反保护个人信息的法律规定。比如自动驾驶、生物医药研发等均需要数据支撑,这些数据的挖掘利用可能涉及个人信息,但该等利用不能违反个人信息保护的法律规定,包括不违反法律法规的规定,也包括不能违反授权同意的隐私政策或者用户协议等合同条款的约定。不能以数据开发经营权对抗刑法禁止个人信息买卖的规定。
最后,其他法律法规有限制或者相反规定的,遵照其规定。这里主要是商业秘密、个人信息、国家秘密均可以表现为数据,即使在某些领域可以流转的数据,切换场景可能就不一定合法,比如银行通过数据交易所向水电煤等公用事业企业获得数据用于评估征信合法,但是私底下购买水电煤信息用于电信诈骗则违法甚至构成犯罪。
第二,开发经营权与个人信息权和公共数据等不冲突。
财产权前提是稀缺性,数据不是物,可无限复制,不具有稀缺性,数据产权不能定性是物权的所有权。数据所有权也无法解释现在一些企业通过爬取数据获得政务公开信息后向公众提供收费商业服务的合法性问题。数据所有权还有一个难以解决问题就是政府提供数据给企业有没有国有资产流失问题?很多公共数据来源于公民,公民却要购买企业数据产品才能获得自己的数据,法律上如何解释?法理上所有权解释不通数据产权的重要原因之一就是一物不能二主,而数据可以在来源合法的情况下由不同主体享有开发经营权,彼此互不影响。同样的数据也可能经由不同的主体合法收集、生成而为不同主体所享有相同或者不同的开发经营权。举例来说,医院对新药开展试验,在知情同意等手续完备情况下,医院和药厂可以同时对该试验的数据享有开发经营权,应用侧重不同目的,药企用于药物研发,医院用于治疗,而专利机关则可以对数据进行审查和存档以履行专利审查职责。
第三,开发经营权与现行司法实践以反不正当竞争法原则条款保护数据的实践不冲突。
反不正当竞争法第二条用原则条款保护企业对于合法收集生成的数据享有利益,对擅自爬取的企业判停止和赔偿,这是基于原告起诉没有成文法直接请求权依据的现状,只要法律明确企业对合法数据享有“开发经营权”权利,其他企业没有合理理由窃取或者爬取数据就是侵犯企业对数据的开发经营权,而且数据交易所交易的数据也可以获得新的数据开发经营权,无论转让方还是继受方,都不得以数据开发经营权对抗个人信息权,这样解释数据的争议诉讼和数据交易都是通顺的。
对政府和公共机构收集生成的公共数据,首先应当遵守各自所属业务领域的法律履行保密或者政府信息公开责任。在可以公开的情况下, 公共数据提供与否,怎么提供,其实关系到公民使用便捷性与企业财产权问题。比如现在访问裁判文书和企业登记数据官网都非常不方便,但是获得爬取这些数据的企业通过收取高额费用提供的商业访问则十分方便,不排除个别企业为了自己销售而故意使用爬虫让官网服务器不堪重负的可能性,一些司法判例对数据企业求全责备,也导致企业不得不加大频率对数据进行同步更新爬取,所以导致的局面就是正常用户访问官网困难,动辄被封杀,但是商业企业却可以利用爬取的公共数据大发其财。
综上所述,笔者认为深圳和上海两个地方,各自通过特区和浦东新区法规渠道获得人大特别授权开始尝试确立的我国数据财产权制,应当直接明确为数据开发经营权,它应当是在民法典预留接口的前提下,根据数据科技发展而开创信息财产权法律制度新体系。
(作者系上海段和段律师事务所律师)