如何保护企业数据？

一、企业数据保护实践与法律瓶颈现象

企业数据保护问题显得越来越为重要和迫切。现实中，企业数据纠纷不断出现，近期甚至有喷涌之势，涉及复制、窃取、侵入甚至争夺等；有些甚至发生在超大公司之间。这些数据纠纷不仅对数据企业带来损害和挫伤，也对我国数据市场和社会秩序产生巨大动荡。

另一方面，关于企业数据保护存在严重的法律瓶颈现象。其一，企业数据保护新法尚未有效创制。其二，企业数据保护与既有法律保护制度所面向的问题存在根本差异。

当然，也有部分当事人和法院开始试图在现有法律体系里面寻求有所超越的方式。2017年以来，司法实践的一种新趋势就是试图激活《反不正当竞争法》第2条的一般条款中的“合法权益”，以抽象的不正当竞争行为名义，对于非法侵入、使用企业数据等行为加以排除和进行救济。不过，这些案件名义上仍然限于反不正当竞争范畴，并不具有完全有效的针对性，因此不足以回应企业数据如何获得充分保护的问题。

二、企业数据保护的财产权化路径的确立

数据保护应该将个人信息保护与企业数据保护统一起来进行合理平衡，既要保护个人信息，又要保护企业数据利益。因此，应当按照数据阶段分别构建自然人的关于个人信息的权利和企业的关于数据的权利，其中后者统称为企业新型数据财产权，具体包括数据资产权和数据经营权两种形态，两者之间形成一种过程平衡关系。按照这种设计，企业的数据财产权成为企业对其数据的直接保护依据：企业通过法律对其数据产品的这种赋权，直接获得保护其数据的一种全新的独立的合法根据。

我国《民法总则》为数据保护财产权化思路提供了新规范架构。该法的民事权利章第111条、第127条采取了个人信息和数据分置的做法。其中，第111条确立了自然人关于自己个人信息权益的基本内容；第127条规定了数据（含企业数据）和虚拟财产的保护问题。比较起来，第111条关于个人信息的规定较为实质、清晰；而第127条对于数据和虚拟财产的规定却较为模糊。解释上可以认为，该条对法律要对数据（包括企业数据）和虚拟财产提供保护进行了表态，但对于具体如何保护却未予实质化明确，而是交给了法律的另行规定。

通过体系解释对第127条所说的“保护”进行详细分析，可以认定这一保护是财产权化路径。该章整体上都是规定民事权利的，对于数据的保护属于权利保护或者类似权利的保护应为体系之义。其实，应该对第127条所谓的“保护”作一些区分。第127条的所谓数据，可以区分企业数据和非企业数据如公共数据等，两者在如何保护问题上有所差异。企业数据，鉴于其得以经济资源化的特点，对其应采取财产权的方式进行保护，这样合乎经济原理；非企业数据特别是公共数据，虽然也应当确立法律保护，但不宜采取财产权路径，根据其性质适于采取管理化路径。

三、欧洲新兴的数据库特殊权利：数据财产权化的有限尝试

欧盟早在1996年开始，提出了数据库特殊权利的概念，试图在知识产权框架外尝试引入某种财产权化机制，以保护企业数据。

数据库的特殊权利这种方式接近于将企业数据保护独立权利化建构，至少摆脱了依据著作权的汇编作品保护路径，仅以数据制作人有实质性投入为条件，并且具有对第三人实质提取和再利用的排除效力。

但是这仅仅是企业数据保护独立化路径的开始，还有许多不足。第一，数据库权或多或少存在与著作权比对的成分，基于数据库的相关权利设计基础仍然模糊，权利范围也较为单薄。第二，欧盟对于数据库权的适用范围和标准本身还存在比较大的争议。第三，欧盟也并未对于实质程度进行了有操作性的定量分析。因此，即便位于欧盟法域中，数据库特殊权利也并非企业进行大数据保护的首选。

四、企业数据保护的功能聚合性与利益关系的交织性

从企业数据保护具有的功能和利益关系角度观察，其具有不同于典型财产权的复杂性，具体体现为保护功能的多重聚合性以及利益关系的繁复交织性。

（一）企业数据保护功能的多重聚合性

企业数据保护从功能上承载了数据企业对于数据的经济追求，这是企业数据保护的元功能或者说肇始功能所在。但是企业数据保护的功能却又不能限于这种企业自身的这种经济追求。

首先，企业数据保护同时承载社会经济功能。大数据不断突显重要战略资源属性，企业数据应当同时作为战略资源发挥应有作用或者说社会经济意义。

其次，企业数据保护同时承载信息社会功能。企业数据本质上是可社会化信息，民众有接触这些信息的社会权利。

再次，企业数据保护应当兼顾公共管理功能。许多企业数据兼具公共管理意义，这种信息数据化之后，可以成为数据经济的资源，同时也可以成为提升公共管理的资源。

最后，企业数据保护必须承载信息安全功能。企业数据经济功能发挥的同时，必须确保对于特定信息进行隐蔽、保密，使相关信息安全利益者处于安全状态

（二）企业数据保护利益关系的交织性

1.个人信息和隐私的利益

这是基于企业数据来源特殊性所形成的利益。数据经营者所处理利用的数据集合之主要构成部分就是可社会化的个人信息。

理论上，个人隐私信息中的绝对个人隐私也是个人信息的一部分，但是公法私法都将其隔离在可数据化之外，赋予其具有不可社会化的特点，来加以特别保护。

立法上，甚至将个人隐私上升为宪法权利、基本人权。我国确立了相关的原则和界限，禁止将通信秘密和具有绝对私密性的隐私进行社会化，当然也不得进行企业数据化。其一，我国可以数据化的个人信息分为非敏感信息和敏感信息，其中敏感信息包括隐私信息，但应该只限于可以数据化的隐私，必须排除绝对隐私。其二，数据经营者在收集、使用个人信息时需要依照法律法规并经个人同意，但对于其中虽经个人同意可以数据化的敏感信息（非绝对私密的隐私），则应当采用数据脱敏、匿名化等技术才可以数据化。

实践上，我国司法在维护个人隐私信息特别是绝对隐私方面存在差距。举例来说，我国法院在国内首个关于cookie技术应用与隐私权保护的案例中，认为百度公司在设置默认同意机制下利用cookie技术为用户提供个性化广告推荐服务的行为并不构成对用户隐私权的侵犯。然而，这些由cookies提取的信息由于指向个人隐私利益，实际属于敏感信息的范畴。　　

2.基于企业数据的社会经济利益

首先，基于数据的活动，可能影响市场经济秩序。企业基于数据应用，可能产生数据垄断、数据滥用、数据歧视等问题，违反相关法律，导致企业和竞争者、企业和消费者之间的利益冲突，损害竞争利益和消费者权益。　　

其次，基于数据的活动，可能影响其他社会经济利益，例如劳动者利益等。企业数据经济化的发展，也有可能使得劳动保障利益等特殊利益陷入困境。　　

最后，基于企业数据，可能影响社会经济管理利益。国家对于企业数据作为社会经济战略资源的一面，以战略管理和宏观调控的方式，建立了特殊的配置和限制要求，对于企业数据的核心利益和其他利益关系构成限定。

3.基于企业数据的公共利益和安全利益

企业数据保护本身承载着功能的聚合性，其中公共功能都要体现为法律上的特殊公共利益保障。国家法律在相关法律体系格局中，面向这些功能的要求，设定了相应的更高层次的不同利益机制，成为企业数据利益交织关系中的组成部分，依据其功能地位不同发挥利益平衡或限制作用。

五、企业数据财产权化的结构设计问题　

（一）企业数据财产权化结构的复杂性　　

企业数据财产权保护路径的设计非常复杂。企业数据承载功能的多重聚合性以及所涉利益关系的交织性，导致它的财产权设计与民法上典型的财产权不同，即无法采取纯粹意义的财产权构造方式。它在形式上虽然采取私权形式，却需要兼顾与多种功能和利益进行协同，因此必须呈现为一种具有极强协同性的复杂财产权形态。企业数据财产权与采取私权形式的知识产权机制，以及没有采取私权形式的企业竞争保护机制既相似，但更加复杂。

（二）企业数据财产权的私益结构

企业数据财产权采取权利名义，旨在安排一种鼓励企业数据经济化的私有结构，这种结构体现为企业自身的可支配性和排他占有性私益。

不过，这种私益结构本质上只是一种鼓励技术，企业数据财产权设计的最终意义，在于通过这种权利私益结构的鼓励作用，最终实现整体数据经济的繁荣和福利的增进。这一点与知识产权和企业竞争利益的设计相似。也就是说都是以私权私利之名，行公权公利之实。

财产权化思路，总体包含数据经营权和数据资产权两种赋权构想，详见下表。

（三）企业数据财产权的限制结构

1.基于数据的市场经济秩序限制

首先，避免大数据产业垄断。应以《反垄断法》为基础，及早构建周密且有针对性的规则，对数据经营者的数据垄断活动进行限制。

其次，避免基于数据的不正当竞争和损害消费者权益。数据财产权并不赋予数据权利人得以从事不正当竞争和交易的市场地位，应尽早参照《反不正当竞争法》《消费者权益保护法》等，建立具有针对性的制度，包括数据公平交易规则、算法公开和监管规则等。

2.基于数据的公共利益和福利限制

首先，建立数据强制公开制度。应明确数据经营者具有主动向国家相关机构及时公开其研究结果的义务。

其次，建立数据强制许可制度。可以参照专利法中的为实施从属专利需要的强制许可，当利益相关的第三方利用其合法购置的数据集合创造出有价值的新数据集合的时候，应当明确这种全新的数据集合是该第三方的数据资产，原数据集合的权利人在获得合理对价之后，无权向第三方“二次创作”的数据资产权主张权利。

最后，为了促进科学进步，技术发展，可以考虑借鉴著作权法下的“合理使用”的制度设计。当以科研为目的使用数据集合时，数据经营人应以合理价格向科研人员公开其持有的数据集合；科研人员则应当以非营利为目的，合理利用数据集合，并不得恶意向第三方公开。

3.基于数据的信息社会和数据安全限制

数据财产权设计还要注意信息社会畅通的需求问题和信息与数据安全的保障问题。必须对此作好设计。

信息社会要求，对应于数据财产权，就是要求赋予企业数据权时，必须继续保证数据的可流通以及可共享的渠道无障碍。

数据安全保障要求，实际上限制的是数据经营权，应明确具有数据安全实施能力的企业主体才可以享有数据经营权。　　

4.基于大数据应用层面的特殊限制

首先，商业应用层面。以电商平台为例，电商企业对于数据资产的利用模式众多，涉及个人信息的数据体量巨大，所以在电商层面应更侧重于保护数据安全和个人用户的隐私利益。考虑到数据安全和用户隐私保护的重大性，应该将数据经营权集中给予有能力有技术的大型电商企业，但是同样应考虑中小电商企业对于大数据分析技术应用的需求。

其次，工业应用层面。目前以无人驾驶、自动驾驶为例，针对此种类型的工业应用模式，国家层面上可以采取鼓励、扶持的政策来促进相关企业之间进行数据流通、共享，但是不能够强制企业公开其数据；同时应该在行业内部建立有效的数据共享机制，并辅以合理的监管制度，同时对于潜在的数据垄断可能性保持警惕。

最后，工商业复杂基础设施应用层面。首先在国家层面上，需要由国家确立促进工业互联网建设的政策扶持。在企业层面上，在肯定数据财产权上的基础上，需要鼓励互联网企业、工业制造业企业和科技创新企业进行大数据矿行业联合，即互联网企业、制造业汇总数据并分析，制造企业据此开展相关生产经营活动，科技企业则为数据分析、数据安全等方面提供保障并不断开发新技术。

六、结语

企业数据保护的设计应与民法上典型的财产权不同，不能简单化，而应该建立一种具有极强协同性的结构系统，体现为一种以私益结构为核心、多层限制为包裹的复杂法律秩序构造。在功能上，既要有利于充分刺激数据制作者的积极性，又要维护数据相关的各种功能和利益关系；在构造上，不是简单赋予权利人一个完全自在自为的利益空间，而是在赋予权利人必要私益基础上，同时设定诸多条件和活动限制，从而达成数据关联利益的平衡。