摘要:数据确权是数据资源配置的前提与基础,然而长期以来数据确权方案却争而难定。我国现有数据确权方案未区分秘密数据与公开数据,未认识到信息上的权利与数据上的权利在层级结构上的复杂性,这种不予区分的统一数据立法并不符合实际。不同层级的数据赋权保护早已存在,传统商业秘密、著作权、反不正当竞争立法均是在规模不等的数据上设置某种权利,能够有效解决当前大多数的数据保护与利用问题,仅公开数据集合领域还存在制度空白,需要专门立法予以填补。保护公开数据集合的专门立法能够将司法实践中的诸多原则条款具体化,提升数据保护的确定性。未来可行的数据确权方案应是商业秘密保护机制和公开数据集合专门立法的二分体系:一方面,需要进一步完善商业秘密保护机制,包括优化商业秘密的秘密性认定标准、支持数据控制者自主采用技术措施;另一方面,公开数据集合保护的客体门槛、权能内容和权利期限等核心议题需要通过制定专门的《公开数据集合保护法》来加以确定。
关键词:数据确权;数据集合;商业秘密保护;公开数据集合保护;二分体系
数据确权方案的缺失已成为当下数字经济发展最大的阻碍之一。国务院2022年12月印发的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)已提出要构建数据产权等数据制度。数据产权制度是整个数据制度的基础,是研究数据要素制度绕不开、避不了的关键问题[1]。然而时至今日,数据确权仍仅见于指导性意见,鲜有操作性强的实施细则。以《数据二十条》为代表的确权方案虽提出了包含持有权、使用权与收益权的三权结构性分置思路,但也仅是对数据使用的不同环节给出了笼统性的权能设置意见,未回答何种数据能够被赋权、赋权范围有多宽等核心问题,缺乏足够的现实指导性[2]。究其原因,数据产权保护的客体门槛、主体权属、权能内容、权利限制与侵权救济等问题都牵涉复杂的利益平衡,设定权利非常困难[3]。
在数据确权方案争而难定的情况下,部分学者提出了“超越数据确权说”,指出“各主体对数据的控制”并非单纯的权属体系能够解决,所有权的概念和法律框架正在坍塌,建议将法律以外的各种治理工具纳入讨论范围,最终在产权制度外构建数据利用与分享的新准则[4]。具体的建议包括:“数据共享论”[5]“行为规范论”[6]“技术规制论”[7]等确权外的替代方案,以及“数据处理的规制体系+公共数据的开放利用体系”双重公法构造的组合方案[8]。然而,绕开数据确权的替代方案即便短期内可行,也非长久之道,其高度依赖时下技术,分级分类过繁过细,难以形成一套相对完整且具有普遍指导价值的基础框架。
数据产权制度能够大幅降低数据交易流通中各方调查权利边界的核实成本、就权利内容讨价还价的磋商成本、人们约束自身行为和防范侵权的估量成本以及数据权利人向非法获取数据的第三方主张权利的行权成本,是数据制度发展的长久之道。事实上,主流意见尽管在数据确权保护的具体内容上存在争议,甚至会在是否确权问题上有所反复,但均不否认赋予数据最低限度保护的必要性,只不过会因为具体确权方案的执行成本过高而招致反对意见[9]。可见,数据确权方案本身的可行性或可操作性很大程度上与确权的正当性紧密关联、互相作用。即便当前学界对于数据产权保护仍偶有疑虑,但探讨具体确权制度的设计仍意义重大,能够反向补强数据产权保护的正当性。本文在揭示当前数据确权困难深层原因的基础之上,分析现行立法中针对数据集合保护的相关规定,并指出公开数据领域亟需专门立法填补制度空白,最终提出数据确权的二分体系,即在完善现有商业秘密保护机制的同时,专门制定《公开数据集合保护法》。
一、难题溯因:数据确权的误区澄清
(一)未区分“秘密数据”与“公开数据”
《数据二十条》及我国《民法典》在法律文本中都笼统地采用“数据”一词,未曾区分数据的秘密性与公开性,反映出决策者试图起草并制定一部不区分秘密数据与公开数据的统一数据产权法。然而,这一做法忽视了秘密数据和公开数据在保护需求、制度成本、保护模式上的显著差异。
1.大量数据依赖商业秘密保护
长期以来,有一定商业价值的数据大多是非公开数据。按照现行《反不正当竞争法》的规定,他人不得非法获取、披露、使用或允许他人使用非公开的数据。最高人民法院2020年9月施行的《关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(以下简称《商业秘密适用规定》)进一步细化了经营信息、数据的商业秘密保护规则。
实践中,商业秘密保护几乎覆盖了全部的秘密性数据,包括“技术信息”“经营信息”[10],能够排除他人未经许可的使用,具有较强的保护力度。比如,社交媒体平台收集的大量用户注册信息,从用户账号、密码、昵称,到出生年月、地理位置,再到联系方式、社交关系等,都属于秘密性数据。该类数据通常可以直接被类比为客户信息秘密,从而获得商业秘密保护。电商平台收集的入驻商家交易数据、平台存储的售后用户反馈意见数据、咨询公司积累的各公司债务比率数据等,均可被认为属于《商业秘密适用规定》中与“管理”“销售”等经营活动有关的数据,是常见的商业秘密客体,能够获得保护。
2.统一确权难以激励数据控制者放弃商业秘密保护
在秘密数据保护方面,当前数据产权立法建议所要求的保护水平,基本等同于现有商业秘密机制已经提供的保护水平。以《数据二十条》提议的“三权分置”数据确权方案为例:数据被公开前,通常是属于企业或私人的且与经营活动相关的秘密信息;“三权分置”方案中的“数据持有权”是数据生产者或收集者拥有的商业秘密权;“数据使用权”是指有权使用秘密数据进行生产、经营活动,也有权禁止他人未经许可进行使用;“数据收益权”则是指权利人有权许可他人使用秘密数据并获取经济收益。
秘密数据之外,数据产权立法对公开数据的保护水平是否会追上商业秘密机制仍然悬而未决。倘若决策者选择不考虑数据公开性与秘密性的差别,径直进行统一立法,且使整体保护水平追上现有商业秘密的保护水平,则代表统一立法不再以“秘密性”和“采用保密举措”为保护门槛[11]。无论数据属于秘密还是公开,均可被授予“禁止复制、使用、演绎(改编)与传播”等权利,或诸如“占有(控制)、使用、收益(获酬)、处分(转让)”等传统物权法上更为广泛的权利。不过,如此宽广的统一数据产权立法是难以想象的。现行商业秘密机制之所以提供较高水平的保护力度且不会被批评过度保护,是因为获得商业秘密保护的数据必须是秘密性的且权利人须采取了一定保密措施。这确保了它仅保护那些未公开的私有数据,不会直接威胁公共领域的自由,所以公众通常也能够容忍。然而,如果未来法律对公开数据也给予较高水平的保护,将会导致数据空间内的“圈地运动”靡然成风,严重妨碍公众利用公共数据的自由,提高后来者创新的成本。故此,考虑到数据普遍赋权会阻碍数据自由流动,以及产权过于分散会导致反公地悲剧危害,预期的数据产权立法必然会设定严格的客体门槛,同时仅授予权利人很弱的权利内容,最终才可能将妨碍公众自由的不利影响控制在社会可容忍的限度之内。于是,这样一种不区分公开数据与秘密数据的数据产权法能够提供的保护水平,低于现有商业秘密机制已有的保护水平将是必然的。
一旦统一数据产权专门立法所提供的保护水平低于当前商业秘密机制已然提供的保护,数据控制者便难以放弃商业秘密保护措施,更不会选择保护力度较弱的专门数据产权立法保护。对他们来说,专门立法对公开数据集合较弱的产权保护毫无吸引力,纯属多余。数据控制者在确保秘密数据被公开后仍能获得合理回报时,才有可能主动公开数据。因此,决策者在制定数据产权立法时,必须充分认识、尊重企业采取商业秘密保护措施的实际需求,实现公开数据产权专门立法与既有商业秘密保护机制的衔接。
(二)未区分“信息上的权利”与“数据上的权利”
当前数据产权专门立法难的另一个原因在于:决策者未认识到数据内部复杂的层级结构,试图将数据、信息及隐私等多项权利配置都压缩到一部数据产权法中统统予以解决,忽略了针对不同种类信息立法的复杂分工,陷入了平面化确权的思维定式。
1.数据与信息概念的混同
“我国许多学者在讨论问题时,很多时候也将信息和数据混同,认为个人信息就是个人数据,只是在称谓上存在不同而已。”[12]这种将数据与隐私、个人信息混为一谈的做法,必然会得出“个人信息应由个人自决、数据不能交易”的错误结论[13],严重干扰着当前数据确权问题的社会认知。一方面,确定个人拥有数据的权属虽然强化了个人对其数据的控制权,但由于数据实际上被掌控在企业或其他组织手中,个人享有的数据财产权益客观上难以实现,最终将成为“一纸空谈”。此外,数据产权的高度分散性会产生极高的交易成本,进一步导致权利主体难以通过沟通定价来获取数据权益,致使数据资源无法被充分利用。另一方面,若确立企业拥有数据的权属,批评者则担心“个人数据”与“个人”相脱离后,企业控制了数据产权就是控制了个人信息或隐私。因此,批评者主张数据确权必须以不能识别出个人信息为前提,否则此类数据不能也不应被允许交易。
数据和信息的功能定位存在不同,在认知上应对其加以区隔。数据与信息是记录与被记录的关系,或者更准确地说,两者分属形式与内容。信息表达的是事物的基本属性与客观规律,其功用在于解决不确定性;智慧主体通过对信息的主观理解、识别并以符号的形式进行记录,从而形成了数据。二者处于不同的层次,从认识论角度出发,信息处于语义(内容)层,而数据则属于符号(形式)层。数据产权专门立法的保护客体乃是位于符号层的数据,而非语义层的信息。
2.数据确权应忽略数据所记载信息的内在价值
探讨数据产权专门立法时,应忽视数据自身的属性与质量,不论它是科研记录、股市数据抑或是媒体内容、软件代码,亦不论它是否涉及生产者、消费者或者服务商的技术信息、个人隐私、商标权等,无差别地将它看作一个属性未知、质量中性的数据“X点”。至于单个数据“X点”所包含的深度内容如何保护与使用,则要交由其他法律来平衡与解决。不同的数据条目应用于不同的数据场景时,需要设置的权利可能完全不一样。少部分有创造性价值的数据条目,由于需要产权刺激其创新、生产与供给,其赋权保护在不同层级上早已存在。商业秘密、著作权、专利技术保护,均是法律在规模不等的数据条目或者数据集合上设置了某种保护,然后配置了不同的权利内容。
针对“信息上的权利”与“数据上的权利”可能产生的权利冲突问题,可以通过设置产权所有者的消极排他权来解决。收集者拥有数据集合的产权,仅代表拥有阻止其他人未经授权使用该数据集合的权利,但这并不是在规范意义上肯定收集行为合法,更没有授予收集者随意利用数据的行动自由。若收集行为损害了别人的原有权益,受害者可诉诸保护该原有权益的其他法律规定来要求收集者承担责任,立法无需通过彻底否定数据集合产权的途径来增强威慑力。数据集合产权可以类比著作权,它只是一种消极的排他权,是一种禁止他人实施特定行为的权利[14],无关乎“自用权”。
二、立法空间:数据集合的现有保护与制度空白
明确数据产权专门立法需要区分秘密数据与公开数据、建立立体化分层确权思路后,接下来的问题是:过去最为关键且发展完善的商业秘密、著作权、反不正当竞争法保护模式在多大程度上满足了数据保护的需求,又遗留了多少政策空白需要专门性的数据立法来填补?如果我们不了解现行法提供保护的可能性,只追逐“数据”概念的新鲜感,极易产生偶然踏入崭新领域而可以自由发挥的假象,反而会误导决策者选择较为宽泛的立法思路。在制定《民法典》总则编(草案)时,立法者曾试图将“数据信息”纳入知识产权范畴,与商业秘密、专利、作品、商标等并列成为又一新客体。但该提议最终未获通过,数据信息被移出知识产权客体,只能另立规定。其实,记载信息的数据与已有知识产权客体常常交叉重叠但又不太相同,既可能是商业秘密,也可能是作品,还可能二者皆是、二者皆非[15]。下文讨论现行法对数据集合赋权保护的范围,揭示遗留的空白地带。
(一)现有保护:现行法对数据集合的相关规定
1.知识产权法对数据集合的直接保护
数据产权专门立法不是完全从零起步,现行知识产权法已经能够为相当一部分有价值的数据集合提供较高水平的直接保护。
其一,数据集合中包含的单个数据经常本身就是秘密数据,此时对秘密数据的保护便会延伸到整个数据集合。比如,社交媒体平台上记录的用户个人数据、电子地图用户的个人行程数据、销售公司的客户名单、技术公司的产品设计参数等,由于收集者部署了保密措施,公众一般难以通过公开途径获取这些数据。即便有数据交换,往往也是通过保密渠道完成的。若单一数据条目具有秘密性,由它们组成的数据集合的整体或者实质性部分当然亦是秘密性的。
其二,即便集合中的数据均已被公开,倘若多个数据点构成的数据集合在选择或者编排方面具有独创性,达到了著作权法上的独创性要求,即可直接作为汇编作品获得著作权保护。比如,按照企业性质和产品类别编排企业电话号码簿构成的黄页,按照特定规律绘制并标识重点的示意图,汇编若干功能性代码形成的计算机软件等。此类情形下的著作权保护等于授予了控制者保护数据的权利,能够禁止他人实施复制、网络传播等著作权法管控的利用行为。而且,著作权保护不论相应成果是否公开,对构成作品的公开数据集合的不合理使用均会被追究侵权责任。
2.反不正当竞争法对数据集合的间接保护
除包含秘密数据或可构成作品的数据集合能够获得现行知识产权制度直接保护之外,大量处于公开状态的数据集合同样也能获得一定保护。商业秘密条款对不构成商业秘密的非个人数据是束手无策的,它们一旦被泄漏便会永久失去作为商业秘密的资格,数据控制者无权再禁止第三方使用非密数据。尽管我国尚无数据专门立法,但实践中法院通过适用《反不正当竞争法》第2条“一般条款”或第12条“互联网专条”,可以有效禁止抄袭和传播公开数据集合的行为,从而为其提供相当程度的间接保护。
从较早的“北京阳光诉上海霸才案”“上海钢联诉纵横公司案”,到最近几年的一系列互联网案件,司法裁判禁止以下几种侵犯数据集合权益行为的做法已经成为惯例:一是未经授权的数据抓取,主要指未经授权滥用网络爬虫技术或其他手段抓取、复制他人数据集合。二是超过限度的数据使用,主要指数据来源合法,但使用、分析超过了必要限度,包括高频率地通过应用程序接口获取数据,未经许可创建数据镜像、实施数据桥接、拦截数据流等。三是篡改或者污染数据,如通过增加、删除、替换、污染、格式篡改等方式刻意破坏他人数据的真实性、完整性、可用性,包括故意删除部分数据、注入不准确数据、篡改数据存储或传输的格式等。由上可见,我国公开数据集合并非严格意义上的零保护状态。法院利用《反不正当竞争法》已经解决了许多数据商业“搬运”和利用引发的纠纷,实现了对公开数据集合的间接保护。
(二)制度空白:公开数据集合的保护缺失
尽管数据产权保护并非是一片任意挥洒的全新法律领域,但现行法仍存在无法覆盖之处,对处于公开状态但又缺乏独创性的数据集合的保护便位于法律的空白地带。例如,电子地图所包含的点位集合、社交媒体平台上的用户展示内容、点评网站上汇集的消费者评价、电子商务网站上的商品信息和交易数据等,这类数据集合既不符合商业秘密的保护条件,也因缺乏独创性而无法获得著作权保护。数据控制者不能阻止他人复制并对外提供这些数据,但是又确有保护它们的需要。
大数据时代数据量出现爆炸性增长,随着数据集合的规模显著扩大,前期数据收集和整理需要的投入成本和后期市场化后的商业价值也随之增加。后期复制者搭便车的收益巨大,与初始收集者之间的成本差异却异常悬殊。例如,高德地图、大众点评、抖音等平台通过投入巨额成本、构建巨量数据集合来优化用户体验,相关数据资源价值常常高达数亿元。即使他人仅复制了0.1%的数据量,能获取的竞争优势和商业价值亦是巨大的。若不专门保护这类公开数据集合,收集者将要持续投入资源应对后来者或直接或掩饰的搭便车做法。长此以往,收集者的投资动机受到严重打击,数据收集与创新市场会不可避免地出现市场失败。针对该情形,纵然那些极力抨击无形产权范围扩张的学者,也普遍赞成赋予数据集合一定程度的权利保护,有所争议之处仅在于何种强度的保护方可防止市场失败。而随着数据集合的规模不断增大,因专门的产权保护致使公众无法自由使用特定数据条目的负面影响将进一步降低。决策者出于激励数据集合供给的目的,确立专门的产权来保护公开数据集合也确有其必要性。
(三)合理性分析:公开数据集合的专门立法
除了可以填补法律漏洞以外,支持公开数据集合专门立法同样也具有合理性:专门立法能够将司法实践中的诸多原则条款具体化,提升数据法律保护的确定性。如前所述,尽管数据能否确权、如何确权仍有争议,法律亦缺少明文规定,但法院面对抄袭公开数据集合的案件却必须裁判,最终大多通过《反不正当竞争法》给予此类数据一定的保护。《反不正当竞争法》适用门槛较低,可以实现先做后争,甚至只做不争。
不过,依赖现行《反不正当竞争法》的“一般条款”或“互联网专条”来填补数据集合保护的制度空白具有明显的局限[16]。法院需结合个案事实逐一审判,最终判决结果常有较大的不确定性,既缺乏足够的预见性和指导性,又可能保护过度或者保护不足。最高人民法院出台的《反不正当竞争法司法解释》以及各级法院公告的典型案例,虽已在“数据的可保护性”“不正当竞争行为属性”等若干问题的裁判上凝聚了一定共识,但仍无法清晰地回答“受保护数据集合的客体范围”“何种利用行为受管控”“数据集合保护期限多长”“潜在的侵权豁免机制”等具体问题[17]。其实,数据产权虽然能够激励权利人,但对社会公众而言则是一种代价,牵涉着一系列精细且复杂的利益平衡问题,不能指望法院仅仅依据《反不正当竞争法》的两条原则性条款来解决如此复杂的问题。因而,是时候制定一部《公开数据集合保护法》,就公开数据集合的产权保护方案给出明确的答案。
三、二分体系:商业秘密保护与公开数据集合专门立法并行
鉴于公开数据和秘密数据在保护需求、制度成本、确权模式上的巨大差异,对二者不予区分的统一立法显然不符合实际。一方面,要充分尊重市场主体自主采用秘密数据保护机制,维护自发形成的市场竞争秩序,避免私人过度防御造成资源浪费;另一方面,专门立法要衔接商业秘密保护机制,在后者力所不逮之处尽力填补公开数据集合保护的制度空白,避免潜在数据收集与创新市场的失败。
当然,决策者也可以选择将已有的秘密数据保护机制纳入专门数据产权法以形成统一立法,但只要其预期的数据产权保护水平难以激励企业放弃已有的商业秘密保护,则它仅是变相的统一、形式的统一,仍逃不脱本文建议的二分保护思路。此类叠床架屋的做法虽有强力昭示保护数据决心的作用,但大概率会招致更多、更复杂的新旧制度协调问题,甚至导致最需要被通过的公开数据集合立法的夭折。短期内更为合理的数据保护体系仍应坚持公开数据与秘密数据二分的立法思路,实现商业秘密保护机制与公开数据集合专门立法的并行。
(一)完善数据的商业秘密保护机制
为避免社会资源的浪费或数据收集的投资积极性受挫,现有商业秘密数据保护机制需进一步完善,包括优化商业秘密的秘密性认定标准,保护受控公开的数据,同时支持数据控制者自主采用技术保护措施。
1.优化商业秘密的秘密性认定标准
商业秘密保护以数据具有秘密性为前提,即相关数据“不为公众所知悉”。然而,服务商面向公众管控性地提供一定数量的数据条目,会不会破坏后台数据集合的秘密性仍有争议[18]。实践中,金融市场报价资讯、地图与地理信息导航、科研数据库平台、各大城市实时公共交通查询等数据服务,均采用了受控公开的业务模式。它们将收集而来的数据集合完整保存在云端服务器后台,并部署登录密码等保密措施,单次允许前台公众获取少量数据条目;同时非经特殊授权,外界不得直接接触后台的数据集合。但当用户查询次数足够多时,理论上又能够获取存储在后台的整个数据集合。然而,针对此类受控公开数据集合的秘密性问题,北京互联网法院与北京知识产权法院作出了截然不同的回应。前者认为它们仍具有秘密性,可构成商业秘密,后者则认为它们已向不特定公众公开披露,丧失了秘密性。
判断后台数据集合的秘密性,不应只看数据商采取的保密措施(比如访问控制、数据掩码)是否100%有效,而应以公众独立生成相同数据集合的难易程度或者成本大小来决定。实践中,数据服务商既会在后台部署直接保密措施防止他人侵入,也会采取举措对抗前台的网络爬取,一旦检测到爬取行为便会立刻断供数据服务、封禁账号或者实施其他限制。在直接爬取之外,若后来者通过公开途径单独收集汇总集合中包含的数据条目,则需要耗费与最初收集者相当的时间与成本,并不容易实现。因此,将前台端口上任一数据条目的可查询、可访问理解为数据集合整体“为公众广泛知悉”或“易于获取”非常不合理。相反,只要数据服务商采取的保密措施达到了合理水平并能有效遏制大部分用户获取保存在后台实质部分的数据条目,相关数据集合便已满足“不易于获取”的标准,仍可获得商业秘密的保护资格。
2.支持数据控制者自主采用技术措施
数据商业秘密保护机制的另一争议问题是:数据控制者采取的技术措施本身能否成为值得保护的对象?其中争议最大的是数据服务商采取的网络反爬虫措施应如何被定性,具体又分为机器人协议、识别与封禁爬虫的技术措施、反爬虫约定条款、数据包加密措施、动态加载措施5类情形[19]。不过,法律是否支持平台采取反爬虫措施通常是一项两难的选择。从数据服务商角度而言,收集数据通常需要投入大量成本,禁止公众规避网络反爬虫措施能够防止他人“搭便车”,且不加限制的高频爬虫会加重服务器负载、占据有限带宽,最终影响服务器响应速度,增加其运营成本。但从社会公众角度而言,支持平台利用技术措施或用户协议限制爬虫工具的使用,将显著减少用户获得数据的规模与能力,进而减损社会福利。
商业秘密保护机制应当支持平台自主采用网络反爬虫措施。部分原因是保护数据收集者回收投资成本的预期,而更大一部分原因则是避免平台与用户之间的技术竞赛导致社会资源浪费。无论数据服务商用网络反爬虫措施保护的价值有多少,只要其保护需求无法获得法律的肯定与支持,失望的企业大概率会增加技术投资以强化私力救济的强度,最终将会导致商业秘密保护机制旨在避免的社会资源浪费的弊端重现[20]。在现实中,企业数据失控的新闻比比皆是。当平台部署的各种反爬虫措施难以做到完全有效时,应当进一步宣布“采取技术手段规避企业数据反爬取”“违背平台用户协议中限制条款过度地使用爬虫工具”等属于违法或侵权行为。
(二)专门制定《公开数据集合保护法》
出于激励数据收集者投资积极性以及平衡收集者利益和公众利益的需要,决策者可以在既有商业秘密保护机制之外,对符合特定条件的公开数据集合施以有限排他权的保护。对此,下文将依次探讨公开数据集合保护的客体门槛、权能内容、权利期限3个核心问题。
1.客体门槛
(1)处于公开状态
数据产权专门立法应仅保护处于公开状态的数据[21]。这一做法背后的原因之一是:数据集合在公开之前可以作为商业秘密被保护,若无论数据公开与否均提供专门产权保护的话,将会导致重复保护。然而,数据领域的重叠保护未必会带来严重问题。比如,与数据产权专门立法最为接近的是欧盟《数据库指令》,其并未排除数据专门权与商业秘密的重叠保护。实际上,重叠保护在知识信息领域一直存在且已被普遍接受。某些技术图纸有可能同时获得著作权保护(以满足作品独创性标准为前提)、商业秘密保护(公开前)与专利权保护(公开后),权利人可以选择其中任一项来禁止未经授权的复制、传播与经营行为。
要求数据集合公开的关键作用在于确定数据集合产权保护期限的起算点。其一,倘若在秘密状态下便开始提供额外的产权保护,比如以“收集完成日”为起算点,何时起算保护期便缺乏足够的公示凭证,更容易引起纠纷,可能存在多方分别主张率先收集完成,只是未及时公开而已的状况;而以数据条目公开之日为起始点计算保护期,权利确认、产权公示与行政管理都将更加便利。其二,由于预期的数据集合保护期相对较短,那些早早完成收集却需在公开商业化使用前做长时间筹备工作的企业将面临“数据尚未公开商业化利用,但专门产权保护期限确已经届满”的窘境。如此,便不能实现“以保护换公开”的立法目的。
(2)具有显著数量
公开数据集合获得保护的第二个客体要件是数据条目需达到显著数量。其一,数据规模的增长大幅提升了数据集合的商业价值,也会改善社会对产权制度成本的容忍度。由于数据集合保护是对缺乏创造性的数据组合或客观事实的记录提供保护,一旦数量门槛设置过低,会导致少量数据也被赋权,将严重限制公众利用公共领域数据资源去创作与表达的自由,造成显著的负外部性。若要求受保护的数据集合内包含的数据条目数量远远超过通常作品的数据规模,产权制度的负面影响将会随着数据规模的扩大而逐渐减轻。其原因在于,公众日常不加改动地直接使用大量数据进行二次创作或言论表达的可能性很低。
其二,要求数据集合包含显著数量的数据条目,界定其权利边界、权利主体与侵权属性会因此变得简单,大幅减少产权制度的行政管理成本。数据条目越多,单独收集取得完全相同数据集合的概率就越低,相应产生数据纠纷的概率也越低。一方面,由于不同主体收集得到完全一样的数据集合概率极小,判断是否存在抄袭相对简单。一旦确定谁先完成,便很容易判断谁在后抄袭。另一方面,具有显著数量条目的数据集合,其收集者不会因其中少数几条数据被抄袭便提起诉讼,99%的数据条目可能终其生命周期都将风平浪静,不会引起侵权纠纷。
2.权能内容
公开数据集合专门立法的保护水平和权利内容应弱于著作权,仅设定一项“电子数据传播权”即可,范围大致等同于著作权法上的发行权、广播权、信息网络传播权等经济性权利。一方面,电子数据传播权是一种弱化的复制权,产权主体可因他人复制获利,但不能排除他人复制,最终效果约等于一种“获酬权”[22]。这样既能维护权利主体的经济权益,也不妨碍数据的后续获取与利用。该做法在著作权法中很常见也非常成熟,例如,制作者根据已发行的音乐作品制作录音制品,无需获得著作权人许可,但需支付报酬。另一方面,公开数据集合产权不包括改编权、汇编权或其他权利。所有人都可以对依法获得的数据自行加工、改编、汇编,这样一种互惠的制度安排本质上是为了便于数据的利用与流通。不过,允许加工、改编、汇编仅意味着个人能够使用,并不代表加工后的成果可以在未经授权的情况下公开传播。
制度效果方面,电子数据传播权意味着未获得他人授权的数据不能被公开传播,意味着权利主体有自主使用、叫停侵权、发放许可、交易转让等权利,覆盖当前“三权分置”方案提出的“持有权、使用权、经营权”。从现有的数据集合产权保护案例来看,绝大多数收集者通过诉讼试图阻止的都是他人在数字空间公开传播数据的行为,而非单纯的数据复制或其他数据利用行为。仅保护电子数据传播权,既相对有效,可满足当前产业界保护数据财产的需要,又相对谨慎,能避免过度限制后续的数据利用行为。
3.权利期限
公开数据集合排他性权利的保护期限应尽可能的短,要远远短于著作权的“作者生前及其死亡后50年”。历史上,针对数据库这一大型数据集合的保护期便有过激烈争论。世界知识产权组织起草《数据库条约(草案)》时,各成员国争议颇大,欧盟外交代表提议的保护期限为15年,美国则提议25年。英国《版权法》的做法则激进得多,直接授予了数据库50年保护期。不过,有学者认为给予数据库3-4年的保护期限便足以收回投资。实践中,不同领域的数据集合更新频率差异显著,合适的保护期限也各不相同。然而,针对不同领域的数据集合分设不同的保护期限将面临众多挑战,比如无法准确划分各行业的界限,造成大量的设租寻租问题,所以最可行的做法仍是设置一致的保护期限。
综合考虑数据行业的经济特征与产业主体的需要,公开数据集合的产权保护期可以定为5年左右。对于更新频率较快的数据而言,这一期限可能过长。但是,由于排他性权利范围本身有限,且相关领域数据变化迅速,相关市场主体通常无需大量用到老旧的数据集合,因权利期限不精确而造成的负面影响将极其有限。至于何时开始计算,如前文所述,应以数据集合中最先被收录的数据条目的公开日期为起算点。
四、结 语
数据确权方案的合理设计不仅能够补强数据产权保护的正当性,还能为数据要素的市场化配置奠定基础。考虑到当前大量数据资源已经通过知识产权法和反不正当竞争法获得了有效保护,未来可行的数据确权方案应该区分秘密数据与公开数据、信息上的权利与数据上的权利,采取商业秘密机制保护与公开数据集合专门立法的二分体系。一方面,市场主体自发选择秘密数据保护机制的做法应受到充分尊重,通过优化秘密性认定标准和支持数据控制者自主采用技术措施可以进一步发挥商业秘密机制的保护作用;另一方面,公开数据集合保护的专门立法能够填补现行法遗留的制度空白,将司法实践中的诸多原则条款具体化,提升数据法律保护的确定性。具体而言,立法者未来制定《公开数据集合保护法》时,可以从客体门槛、权能内容、权利期限3个核心问题上限定能够获得产权保护的数据范围,并仅授予有限的“电子数据传播权”。数据确权的二分体系能有效避免潜在数据收集与创新市场的失败,“以公开换保护”的产权保护还可能会吸引更多秘密数据控制者进行主动公开、场内交易与流通应用,促进数据资源的高效配置。
【参考文献】
[1] Charles I. Jones, Christopher Tonetti.Nonrivalry and the Economics of Data[J].American Economic Review,2020,(9):2819-2858.
[2] 刘雅君,张雅俊.数据要素市场培育的制约因素及其突破路径[J].改革,2023,(9):21-33.
[3] 杜牧真.数据难以确权的误区澄清[J].中国法律评论,2024,(4):131-148.
[4] (美)亚伦·普赞诺斯基,(美)杰森·舒尔茨.所有权的终结:数字时代的财产保护[M].赵精武译.北京:北京大学出版社,2022.256.
[5] 许可.数据爬取的正当性及其边界[J].中国法学,2021,(2):166-188.
[6] 张素华,李雅男.数据保护的路径选择[J].学术界,2018,(7):52-61.
[7] 程啸.区块链技术视野下的数据权属问题[J].现代法学,2020,(2):121-132.
[8] 陈越峰.超越数据界权:数据处理的双重公法构造[J].华东政法大学学报,2022,(1):18-31.
[9] 吴汉东.数据财产赋权的立法选择[J].法律科学(西北政法大学学报),2023,41(4):44-57.
[10] 林广海,李剑,杜微科.系列解读之一 《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》的理解与适用[J].法律适用,2021,(4):13-18.
[11] 崔国斌.新酒入旧瓶:企业数据保护的商业秘密路径[J].政治与法律,2023,(11):2-23.
[12] 申卫星.论数据产权制度的层级性:“三三制”数据确权法[J].中国法学,2023,(4):26-48.
[13] 徐翔,厉克奥博,田晓轩.数据生产要素研究进展[J].经济学动态,2021,(4):142-158.
[14] 王利明.数据何以确权[J].法学研究,2023,45(4):56-73.
[15] 张新宝.论作为新型财产权的数据财产权[J].中国社会科学,2023,(4):144-163+207.
[16] 孔祥俊.论反不正当竞争法“商业数据专条”的建构 ——落实中央关于数据产权制度顶层设计的一种方案[J].东方法学,2022,(5):15-29.
[17] 孙莹,禹政远.竞争关系反思与数据确权路径再思考[J].科技与法律(中英文),2024,(5):25-36.
[18] 申卫星.论数据用益权[J].中国社会科学,2020,(11):110-131.
[19] 刘晓魁,肖树鹏.开放网络环境下的反爬虫技术研究[J].网络安全技术与应用,2024,(7):19-22.
[20] Amy Kapczynski.The Public History of Trade Secrets[J].UC Davis Law Review,2022,55(3):1367-1443.
[21] Tommaso Fia.Resisting IP Overexpansion:The Case of Trade Secret Protection of Non-Personal Data[J].IIC-International Review of Intellectual Property and Com-petition Law,2022,53(6):917-949.
[22] Stewart E. Sterk.Property Rules, Liability Rules, and Uncertainty about Property Rights[J].Michigan Law Rev-iew,2008,106(7):1285-1335.
