期刊精选｜我国企业数据法律保护的研究谱系与趋势展望

作者：魏远山(1994-)，男，法学博士，讲师，主要研究方向：知识产权法和数据法。

摘要：要充分释放企业数据潜能就必须构建完善的保护规则。尽管保护企业数据已是共识，但具体保护路径却存有“权利保护说”和“行为规制说”的分歧。前者可分为“传统权利保护说”和“新型权利保护说”，后者则可分为合同、侵权和反不正当竞争法等路径。碍于企业数据区别于有体物和智力成果的特性，“权利保护说”不仅面临赋权理论的诘问，还可能有碍数据流动与利用。相比之下，将企业数据利益定位为权益，进而采取反不正当竞争法保护，并适时构建“数据专条”以缓和“一般条款”之弊，或是一条可欲路径。

0 引言

数据的价值日益凸显，使其跃迁为生产要素。近年来，围绕数据的纠纷频发，将数据要素保护与交易规则不健全的弊端暴露无遗。《民法典》《数据安全法》等法律虽明确保护企业数据，但无具体规则供给。为进一步释放数据要素潜能，国家多次发文要求建立数据产权制度，明确数据权属。如2022年6月22日，中央全面深化改革委员会第二十六次会议审议通过的《关于构建数据基础制度更好发挥数据要素作用的意见》，“要建立数据产权制度，推进公共数据、企业数据、个人数据分类分级确权授权使用，建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制，健全数据要素权益保护制度”。与此同时，学界和业界也呼吁要尽快界定数据权属，为培育和构建数据要素市场奠定基础。尤其企业数据确权问题，被提到前所未有的高度。但遗憾的是，目前我国企业数据确权并未形成共识，学界和业界的态度也相差甚远。鉴于当下企业数据法律保护的混沌状态，本文试图从国内现有研究成果中梳理企业数据保护的理论路径，以勾勒出相关理论研究态势，并就其未来发展趋势求教于方家。

企业数据的法律保护问题虽早在21世纪初就有学者研究，但受制于彼时信息网络技术的发展水平，并未引起过多关注。直到2016年前后，大数据、人工智能、算法等新一代信息网络技术的蓬勃发展，使数据生产、存储和处理能力得到大幅提高，数据成为迭代企业商业模式的重要驱动力，企业数据法律保护的议题才进入人们视野。目前，企业数据保护主要分为保护和不保护两种观点。不过，如“数据作为大数据技术的数字尾气或副产品”不提供激励措施也无伤大雅等观点已被时代抛弃，保护企业数据才是当下的时代声音。但究竟如何保护企业数据，就是保护论者所面临的核心问题。从当前学界研究的进展看，企业数据保护的路径大致可分为“权利保护说”和“行为规制说”两种，并在二者基础上出现了“区分保护说”。“权利保护说”和“行为规制说”的分野在于是否应当为企业数据赋权。前者认为企业数据应被权利化，后者则认为企业数据不具有权利化的要件。正因如此，本文拟从“赋权正当性”“权利保护说”“行为规制说”三个维度描绘企业数据法律保护相关的研究景象。

1 企业数据赋权正当性考察

企业数据是否应被赋权，决定着保护路径的抉择。相关研究可分为“赋权具有正当性”和“赋权不具有正当性”两种。

1.1 赋权具有正当性

当下，企业数据赋权具有正当性是多数派观点，奠定了“权利保护说”的“主流地位”。这一论调主要来源于以下论点：

(1)劳伦斯·莱斯格的“信息财产化理论”。为更好保护隐私或个人信息，莱斯格赋予个人高度自决权，主张“通过财产权保护个人数据”[2]。该理念认为隐私或个人信息均是可被财产化的，个人可借助“财产规则”保护隐私。我国部分学者在此理论基础上推演出“数据财产化”观点，认为在企业与用户间的数据交往中，用户信息仅是企业数据的源头之一，企业在用户信息基础上通过加工、处理、分析等工序获得的数据已超脱个人信息范畴。类比个人对其信息享有财产权，“企业对其生成的数据亦享有财产性权利”[3]。

(2)基于洛克劳动理论论证企业数据财产性权益。洛克在《政府论》中论证了只要在“不浪费并留下足够多和好的东西给其他人”的情况下，人类可通过自身劳动将一部分共有物私有化，即劳动者对融入自身劳动的物品享有财产权。洛克劳动理论确立了基于自身劳动而对某物享有财产权的正当性理论。在此理论下，企业在收集或生成企业数据时耗费了大量人力、物力和财力，使其对合法获得的数据享有某种财产性权益[4]。

(3)激励理论是企业数据赋权的一大动因。数据的生产与收集需投入较大成本。若在数据生产或收集后无法禁止他人获取，只会异化并催生“不劳而获”“搭便车”之风，最终打消企业收集数据的积极性。赋予企业数据权不仅可将企业数据收集的负外部性降低还有助于提升收益，激发企业投入更多精力去收集或生产数据，激励数字产业的发展[5]。如果说洛克劳动理论是企业数据财产权的上层原则，那么功利主义效益分析则是企业数据财产权建立的中层原则，决定着如何构建数据财产权制度。

(4)出于经济效益考量而主张数据权利化。数据的稀缺性意味着数据要素分布不均衡。在缺乏权利保护框架时，企业为保护自身数据不愿将数据许可他人，数据的利用和流通严重受阻，导致社会可用数据不足，负外部性显著。企业数据赋权能“界定人们如何受益及如何受损，因而谁必须向谁提供补偿以使他修正人们采取的行动”[6]，意味着数据权属明确后，企业“有义务内在化其数据利用行为造成的外部性损害”。这种“内部化成本的降低及其收益的提升”[7]，不仅为数据财产权化提供坚实的经济学基础，也符合法经济学的成本收益原理。而且，通过赋权实现数据要素的优化配置，能够推进数据市场的稳定发展，也符合大数据时代的发展需求。

(5)现有法律制度难有效保护企业数据权益。在数据跃迁为生产要素前，我国法律已确立所有权、知识产权等保护规则，如物权、商业秘密、反不正当竞争和知识产权制度。作为新生事物的企业数据，因其特性难以通过现行财产权制度保护，应肯定其财产属性并赋予财产权进行保护[8]。

(6)其他论证企业数据应被赋权的观点。一是对数据源的管理是数据产权的依据[9]。访问他人掌控的数据需经控制人许可，而控制人对数据本身和数据权益的管理，为主张数据权利提供了有力支撑。二是数据生产理论[10]。企业数据历经收集、存储、处理和应用四环节，其中数据采集是原始数据生产的过程，对采集后的数据进行处理则是数据集的生产过程。企业在上述两个过程中的投入是数据生产，能够为其主张数据权利提供合理性支持。三是企业数据符合“物”的特性。企业数据不仅具有独立性、稀缺性、使用价值，还可被非社会性控制垄断，符合“经济性检测”“可特定性检测”“可转让性检测”要求，足以成为新的财产类型或权利客体[7]。

1.2 赋权不具正当性

一是基于数据本身特征而反对企业数据赋权。其一，数据本身无价值。数据是信息的原始形态且偏向于形式，信息是数据的核心且偏向于内容。数据价值来源于信息内容，其本身并无价值，无赋权必要[11]。其二，数据体系难与权利体系匹配。一方面，以瞬时性、可复用性及多归属性为根本属性的数据，迥异于传统民法上的“物”，数据转移或分享后并不必然引起所有权变动，致使物权制度在数据领域失灵。另一方面，数据客体特定性、独立性的缺失及主体分散化、多元化的杂糅使数据财产权难以证成[12]。

二是企业数据权面临难以化解的理论困境。其一，企业数据权自身应回应的难题尚难消除。因企业数据在某种程度上与个人信息关联甚密，企业数据权理论如何解释数据的隐私性和财产性关系尚不明确；相同数据可被他人同时合法持有，但企业数据权无法合理解释自己权利与他人权利的边界与关系；当企业将其数据无偿分享或开示后，被分享或开示数据的企业数据权是否存在尚无合理解释[13]。其二，企业数据权与其他既有权利的张力难消除。一方面，如数据生产者权等与知识产权制度存在重复保护之嫌[14]；另一方面，鉴于数据特性，既有的以有体物为原型、确定地归属于一方的所有权制度和“权利束”学说解释力欠缺[15]。其三，企业数据赋权无法满足数据权利法定性和透明性的内在需求。不论是以有体物为核心的所有权制度，还是以智力成果等无形物为对象的知识产权制度，要么严重妨碍他人利用数据，要么难以将数据类比智力成果；而所谓的新型财产权只不过是现有权利的翻版，无法为所有数据划定清晰的权利边界，存在过度攫取公有领域中信息的危险。

三是数据界权成本畸高[16]。一方面，对数据本身的界权成本过高。高昂的数据权利界定成本和数据权利化后面临的诸多窘况，加剧了数据权成形的难度。另一方面，数据界权后将产生较高社会成本。企业数据界权将会造成数据分享和流通壁垒，有碍数据价值的实现。

四是激励理论难为赋权正名[17]。尽管激励理论看似为数据界权提供了正当性基础，但此理论不仅与行业现状不符，未来也难激励数据生产。而且，数据财产权难为数据公开和分享提供足够的激励作用。此外，激励理论也无法为数据专有财产权提供正当性根基。甚至在某些行业内，数据的生成仅是经营活动的必然生成物，即使不提供激励也依旧有大量数据产生。

2 权利保护说

索骥企业数据赋权具有正当性的观点，必然走上赋权路径。但此种路径内部也存在分歧。尤其是以既有权利框架还是新设权利制度进行保护是核心争议。

2.1 传统权利保护说

将企业数据解释到既有权利客体范畴，或扩展性解释既有权利框架以囊括企业数据，是传统权利保护论者的主要分析进路。整体而言，“传统权利保护说”主要依据物权制度或知识产权制度保护企业数据。

2.1.1 以物权为基础的权利保护说

“物权为基础的企业数据权利保护说”有“所有权保护说”和“用益物权保护说”两种观点。

企业数据所有权说。从物权客体的法律属性看，企业数据满足“独立于人体之外”“能为人所控制”“能满足人们生产或生活的需求”的特征，将企业数据类比于所有权客体，或认为数据可成为所有权客体，进而赋予企业数据所有权。但在具体企业数据所有权设置中，又有不同观点：一是不区分数据类型而统一赋予企业数据所有权。如企业作为数据主体，对企业生产经营的相关数据享有绝对的数据所有权[18]。二是企业仅对衍生数据享有所有权。企业仅通过收集用户的个人信息汇集的数据属于原始数据，因负载了用户个人信息，难成为企业所有权客体；但企业在原始数据上的附加劳动所获得的衍生数据，可成为所有权客体。三是数据业者与数据主体的差别所有权结构。尽管企业数据包含了用户个人信息，但考虑到企业在数据收集或生产过程中投入了巨大成本，应遵循“以数据业者捕获所有权为主，以数据主体关联所有权为辅”的二元企业数据所有权权利结构，在一般情形下将数据所有权分配给企业，将与人格密切相关且界定清晰的“个人敏感数据”权利分配给数据主体[7]。

企业数据用益物权说。该观点同样将数据财产权视为完全物权化的权利，只不过更多是以用户个人隐私为出发点推演的。互联网技术的发展突破了传统以隐私权为核心的个人隐私保护框架，个人信息虽然作为隐私的拓展，但其本身就重在利用以助于交流，因此仅能对个人信息赋予框架性的人格权以保护自然人的人格利益。而个人数据作为个人信息的载体，为提高对个人信息的保护力度，以“信息财产权理论”推导出个人数据所有权，以保护个人信息的财产性利益。数据主体(自然人)对其个人数据享有所有权，那么企业收集个人数据就无法获得所有权，只能基于用户的授权等享有数据用益权[19]。

2.1.2 以知识产权保护企业数据

在现有权利客体中，智力成果与企业数据最相近，故借助知识产权制度保护企业数据也就不足为奇了[12]。就借助知识产权保护企业数据的观点，存在“新型知识产权说”与“传统知识产权说”的分野。

“传统知识产权说”主张以著作权、专利权或商业秘密等保护企业数据。现行知识产权法律框架足以为数据保有者收集、整理、解析、加工数据的行为提供足够激励，无需创设新的激励机制。如符合数据库要件的企业数据可通过汇编作品或邻接权制度保护[17]，又或借助《反不正当竞争法》对符合商业秘密构成要件的企业数据进行保护[20]。当然，“基于商业数据的固有性质以及工业产权的历史逻辑和制度内涵”，也可将商业数据纳入工业产权序列，设置一种新型工业产权与商业秘密并列[21]。

“新型知识产权说”旨在仿照知识产权建立适宜企业数据的新型知识产权。如以“衍生数据”为客体，构建包含标记权、存储权、使用权、修改权、保护数据完整权、复制权、收益权等具体权利的新型知识产权[22]。此外，有学者认为在《民法典》《个人信息保护法》已构建的规则体系下，对企业衍生数据的保护应引致《民法典》第123条的知识产权权益保护范围，同时采用知识产权方法构建企业衍生数据基本权能的内容，进而在《个人信息保护法》中加以适用[23]。亦或将符合商业秘密要件的非公开性衍生数据以商业秘密制度保护，而以公开性衍生数据作为数据专有权的客体创设新型知识产权[24]。

也有学者认为应结合物权与知识产权的双重优势，给予企业数据更完备的保护。具体而言，企业数据所有权应赋予数据业者，但考虑到数据一旦被拥有，就可能产生垄断效益，应引入知识产权制度平衡数据权利人与数据使用者的利益[25]。或认为数据与信息存在“实体→符合→信息内容”三个层面的权利层次，且对应从“所有权→知识产权→行为规制模式的消极防御权”的保护力度递减的保护模式[17]。

2.2 新型权利保护说

在“新型权利保护说”的视域下，既有权利保护框架难以解决企业数据特性带来的诘问，而为其量身打造一种权利保护规则就可完美地解决所有难题。但遗憾的是，尽管新型权利保护说论者颇多，但并未形成共识。正如有学者所言，“数据权的性质也不能一概而论，它实际上就是一个由不同权利主体享有的权利组合——既包括个人信息权，也包括知识产权；既包括财产权，也包括人身权；既包括已经得到法律认可的传统权利，也包括亟待法律调整规范的新兴权利”[26]。此种论述揭示了企业数据新型权利构造的难度之大。

2.2.1 数据权利

数据权利作为一种新型权利，尽管其本意并非企业数据权，而是公民在信息社会享有的一项基本权利，但当下的数据权利内涵更丰富，企业对其合法掌控的数据所享有的权利，可被视为一种数据权利。此观点主要出现于企业数据赋权研究的早期阶段，彼时仅旨在宣扬企业对其合法掌控的数据享有一种权利，至于数据权利的具体表达、内涵及权能尚不明朗。

企业数据权是共享权。因数据与物权客体之差异导致数据权(利)与物权不同。数据权(利)不再是一种独占权，而是一种不具有排他性的共有权，多表现为“一数多权”，但其本质上是共享权[27]。

企业数据权是控制权。该权利本质上是支配权，包含积极和消极两方面权能。前者体现为企业无须他人的行为介入即可直接加工、收集、利用和交易自身数据；后者体现为企业对数据的权利具备对世效力。企业数据利益本质上是一种支配属性的控制权，呈现的排他性效力是一种弱于所有权但强于相对权的支配权，有收集权、控制权、使用权和流转权四项权能[28]。

2.2.2 数据财产权

因既有物权制度无法消弭企业数据特性，才创设类似所有权的数据财产权[29]。但并非所有数据财产权论者均以“数据财产权”表达，如数据资产权、新型财产权等称谓，不一而足。但数据财产权是新型财产权，不应用反不正当竞争法进行保护，而应作为绝对权予以保护[4]。数据财产权应类比于物权，进而与物权和知识产权等支配权并列。

(1)数据财产权客体。一是企业对经营活动中掌控的数据或数据集合享有财产权[30]；二是企业仅对收集、加工处理后的匿名化数据集合或衍生数据[26]享有财产权；三是企业对非个人数据享有财产权[31]；四是只有剥离他人隐私，经由信息主体知情同意(或其他合法性事由)，且已去标识化的数据，才可成为数据财产权的客体[32]。

(2)确定数据财产权权能有两种进路：

一是参照所有权的四项权能设置，但不同观点下的企业数据财产权权能有异：①仿照所有权做笼统描述但未具体构建企业数据财产权的权能。如企业数据财产权赋予企业拒绝他人访问数据资源的权利，可对抗第三方对数据的窃取、盗用或破坏，并在遭受侵害时有权获得救济，包括有权要求停止侵害、删除非法窃取的数据，有权要求侵权者承担赔偿责任[33]。又如数据虽作为无形财产不能被企业直接支配，却可无成本或低成本的无限复制，故企业数据财产权的核心应在保护主体对客体的控制、支配和使用而不是占有[34]。②企业数据财产权具有与所有权相同的权能。较多学者认为应仿照所有权构造企业数据财产权来消弭数据与有体物的差异，故数据财产权有占有、使用、处分和收益四项权能。如在“数据资产权”[3]论者眼中，企业在经营中生产或收集的数据是企业的一种资产，企业当然对其享有财产权。该权利是专有排他权，体现为企业对其合法掌控的数据在特定范围内享有占有、使用、处分和收益的权利，具体可分为专有支配权能和排他支配权能[8]。又如在“数据财产权”论者笔下，企业对其通过技术手段或交易行为获取的大数据拥有财产所有权，企业可通过合法行为占有、使用、收益和处分其数据[32]。③仿照所有权构建企业数据财产权权能，但考虑到数据特性又作针对性调整。数据区别于有体物而无法直接被企业占有，因此数据财产权的权能仅包括对数据的使用权、处分权以及收益权，并通过主张违约或侵权获得救济[35]。

二是构建一种异于现有民事权利的全新数据财产权权能体系。有学者认为数据财产权的核心在于保护企业对数据的控制，其权能包括数据控制权、数据处分权；或是数据资源所有权、数据资源采集权、数据资源使用权、数据资源被遗忘权、数据资源隐私权、数据资源处置权等[36]。也有学者借助欧盟提出的“数据生产者权”构造我国企业数据财产权，认为企业对其经授权或依法收集的数据进行加工等处理后得到的数据，享有标识权、处理权、许可权和处分权等绝对性财产权[37]。此外，有学者认为对企业数据财产权应秉持一种更广泛的财产权谱系并辅以“开放的权利束”学说，从最简单的公共物到最圆满的所有权形态，在此权利谱系中寻找契合企业数据的权利形态，且最有可能的是数据财产之上的权利条块或权利束[15]。

2.2.3 数据产权

相较于数据财产权，构建数据产权亦可实现企业数据界权目的，且有利于充分释放企业数据潜能。在“数据产权”论者中有两种倾向：一是以数据产权之名包装数据所有权或财产权(形式数据产权)；二是广义产权观念下的数据产权论点(实质数据产权)。二者的区分在于，前者将产权理解为狭义的所有权或物权概念，或单纯强调法律意义上的财产权属性；而后者突破了狭义法律财产权的范畴，融贯法学与经济学上产权的含义，不仅强调主体与数据的财产关系，也强调主体间的行为关系。因形式数据产权徒有数据产权之名，并未脱离前文数据财产权范畴，此处仅梳理实质数据产权相关研究。在“数据产权”论点下，数据产权政策是建立数据资产交易市场的关键[9]，但具体构造存有分歧：

观点一：“个人信息业者对于个人隐私权的默示或明示转让，产生了不同层级数据产品的级差收益，需要法律赋予信息产权并确认数据产权交易的共享性与渗透性。通过劳动和交易等法律行为启动信息产权流转，形成信息产权的三形态保护模式。第一形态是底层数据，是代码1.0版本下的信息安全保护模式；第二形态是赋值数据，是代码2.0版本下的数据平台信息生产保护；第三形态是共享数据，是代码3.0版下的数据产权交易价值共享保护模式。从信息安全到数据生产，形成从授权使用数据再到数据共享的信息产权配置模式”[38]。

观点二：数据产权是设备所有者或使用者对基于数据行为而产生的数据，享有使自己或他人在财产性利益上受益或受损的权利[39]。数据是产权的客体也是产权制度的根基，产权主体则是民事主体，产权利益包括了人身性利益与财产性利益。同时，数据产权是可分割的，包含数据所有权、使用权、支配权、收益权等[40]。

观点三：建立一种大产权观念，按照不同数据来源分别为用户和企业配置不同的数据产权。企业对自身独有数据享有数据产权，用户对企业收集的个人数据享有数据产权，企业经营活动所获取的数据根据贡献度分配产权。并且，数据产权以信息为对象，具有经济利益属性和生产要素价值，专属于特定主体[41]。

2.2.4 其他权利观点

在“权利保护说”观点下，为避免数据经济市场在自我调节方面的失灵和限制公共领域的行为自由，为企业数据确权是发展数字经济和构建数据要素市场的基础。但除上述“新型权利说”外，构建不同于传统权利和上述新型权利的其他权利，以针对性解决企业数据特性引起的赋权难题，亦是一种方案。

考虑到企业数据的流动性和非竞争性，难以设置一种类似于物权的绝对权，但可为企业投入并达到实质规模的数据集合设置有限排他权，即公开传播权[42]。但对企业数据利益的保护，需设置一种兼具物权与知识产权属性，同时体现人格权与财产权价值的权益，可用“资产权”以记[43]。

此外，虽然认为应当对企业数据进行界权，但单纯着眼于企业数据本身难以操作或成本过高。鉴于当前算法在非个人数据活动中的重要地位，可考虑通过算法技术实现反向确权[44]。又如互联网企业所运行的平台是一种架构，数据与算法等均是该架构的组成部分，尽管数据可在该平台中流转，但需遵循平台运营方的私人规范和技术规则。在此背景下，单纯赋予数据财产权难以达到所欲目的，可考虑将平台架构作为整体设置架构财产权[45]。

3 行为规制说

与“权利保护说”相对，“行为规制说”论者认为企业数据难以或不可赋权，应实现从“数据权利向数据法益的转向”[46]，通过行为限制模式给予一定强度保护，以更好调适保护与利用的紧张关系。毕竟，行为规制模式较强的包容性能缓和赋权模式所面临的难题，且能给予法官较大自由裁量权，以更好解决技术的社会性问题[47]。

3.1 侵权法

在“卡梅框架”下，以双方合意才可实现法益转移的是财产规则，而借助第三方权威定价实现的法益转移规则是责任规则。以财产规则保护企业数据将造成数据禁锢效益，阻碍数据的流通与利用。相比之下，以典型责任规则的侵权法保护企业数据，更契合企业数据利益保护的需求。毕竟，“企业数据利益本就体现为一种基于事实控制的利益，企业对数据的事实控制本身构成了法律上一个完整的、相对明确的利益判断。针对他人对企业数据的侵害，可请求对方停止侵害，若同时要求对方赔偿自身相关损失，则应适用纯粹经济损失法则，通过侵权法一般条款获得救济”[13]。采用侵权法路径保护企业数据，实质上意味着只要行为人愿意支付第三方事后给定的对价(损害赔偿)就可获取、使用或披露他人数据，有利于企业数据的流通与利用，可为数据企业提供适当保护。

3.2 反不正当竞争法保护说

反不正当竞争法演化自侵权责任法，尽管其竞争法属性不断凸显，但仍保有侵权责任法损害赔偿的品格。企业数据的反不正当竞争法保护力度远逊于“权利保护说”，有助于实现数据保护与利用的平衡。因此，学界不少学者认为反不正当竞争法才是保护企业数据的不二之选[48]。

企业数据财产权益是一种有限制的竞争性财产权益。一方面，“现有法律框架不能直接推导出数据权利化的可行性”[49]，将企业数据保护“寄希望于通过赋权以优化数据资源配置以及促进数据公开和数据市场的形成，既难以实现理论自洽，又缺乏数据行业实践的印证”[50]；另一方面，现行著作权法律制度碍于独创性或保护范围局限，难以有效保护企业数据。因此，将企业数据置于反不正当竞争法框架下，不仅有利于构建保护实质性投资与兼顾商业数据流通的保护路径，还可确保那些对竞争秩序和消费者福利有益的数据使用行为免受不正当竞争的非难。但应保护的企业数据必须符合“企业数据利益非类型化、企业数据利益正当性与企业数据利益保护必要性三个条件”[47]，且遵循反不正当竞争法自身行为规制的谦抑性。

3.3 合同规范说

除去侵权责任法和反不正当竞争法外，借助当事人意思自治的合同制度亦是规范企业数据持有者与使用者权利与义务关系的手段。一方面，合同路径完全依靠当事人的意思自治，在实现数据流通与商业模式创新上更具灵活性；另一方面，企业数据利益必然不会是一种具有支配性、排他性的所有权，更多是基于数据主体或控制者授权才享有的，其授权范围大小取决于当事人的约定。此外，对数据经济发展来说，“并非一定要将数据完全归属于谁，重要的是定义企业之间的数据使用权”[51]。只要通过合同明确数据使用权的范围，即可实现高效的数据流通与利用。

当然，鉴于合同的履行依赖双方当事人的高度自觉和合同相对性的弊端，在企业数据保护的合同法路径下，需考虑借助一定手段，以更好维护数据企业的合法权益。如“合同+技术措施”已为生成数据的机器设备所有者或操作者提供了法律和实际层面的控制数据的实用性工具[14]。

3.4 其他行为规制观点

企业数据保护的本质在于保证企业对其掌控数据的有限自我控制，但这种事实控制所含法律利益实为信息自由[52]。从侵害数据完整性的实质看，企业数据利益所荷载的数据财产性利益并不宜采用绝对权保护模式，可选择以“违反保护性规范的侵权责任”[53]，或可通过侵权法、合同法和竞争法对围绕数据控制的争夺可能涉及的各种实际利益进行保护[52]；甚至可允许数据控制者依靠技术手段建立数据访问和获取制度，以促进数据流通、建立数据利用秩序[54]。

4 未来趋势展望

企业数据潜能的有效释放是促进数字经济发展的关键。虽保护企业数据已是共识，但具体保护路径的抉择却有待观察。因此，我国多次出台政策要求建立健全数据要素市场规则。但企业数据的构成和所涉利益多元[55]，且有别于有体物与智力成果的特性，使其保护进路究竟应采“权利保护说”还是“行为规制说”，尚无定论。

4.1 企业数据的保护路径抉择

企业数据保护路径的抉择需注意以下几点：

(1)企业数据的价值。企业奉行“免费创造用户，用户创造价值”的理念，投入较大成本来维持用户及收集数据。故企业对付出较大成本获取的数据通常不愿意免费公开或共享，导致数据在企业间分布不均匀，且稀缺性进一步赋予企业数据更高的商业价值。或许企业利益并非完全直接来源于数据本身，但企业掌控的数据是其获得利益的基础，尤其是在数据交易日益频繁的当下，数据本身已成为可交易的标的。甚至，数据的持有量决定着企业经营模式的更新迭代与竞争优势的维持。从“数据是新石油”到“数据是新的财富形式”，更清晰揭示出数据的价值。因此，在数字贸易时代，尤其是互联网企业更加注重数据的收集与保护，以便成就更好的竞争优势或谋取更大商业利益。

(2)企业数据法律保护的本质。企业数据具有高使用价值和交换价值，激励着企业收集数据，并希望自主控制自身掌控的数据以实现经济价值。企业数据价值的实现高度依赖企业对数据要素的控制能力，确保其合法掌控的数据不被随意侵害。企业对数据的较强控制能力，不仅能使企业自主决定如何使用、处分，还能有权阻止他人未经其同意获取、披露或使用数据。保护企业数据实质上是保护企业对其掌控数据的“有限排他权”[1]。企业数据的法律保护旨在从法律上确认企业对其控制数据的有限排他权，并为企业拒绝他人请求或禁止他人行为提供正当性依据。

(3)企业数据利益的定位。法律上利益的表达分为权利和权益两种，且前者保护力度大于后者。虽然一种利益可通过立法者的意志上升为权利，但有的利益适合或只能长期以法益形式存在[56]。因企业数据具有经济价值和交换价值，企业对其掌控数据的利益更多表现为一种财产性利益。同时，因企业数据的非排他性和流动性、范围的不确定性特征，企业数据利益排斥权利保护方式：第一，企业数据包含了个人信息、公共数据、政务数据和企业自身数据，难以将所有利益均归集于企业；第二，流动性不仅是数据的技术属性也是其社会属性，采取绝对权保护模式将导致数据的禁锢效益或反公地悲剧现象，难充分发挥企业数据的经济价值和社会功能；第三，企业数据利益是一系列介于完全控制与完全共享之间的权益[54]，其保护需在具体场景中基于数据集和数据利用行为作出衡量与判断；第四，同一数据主体的数据同时或不同时存在于不同数据控制者的数据集合中，不同数据控制者的数据集合又存在交叉，导致不同数据控制者的数据权利产生重叠；第五，企业数据范围的不确定性导致企业数据权指向不明，而现有确权理论无法弥合数据边界模糊同权利客体明确的间隙。这意味着企业对其掌控数据的利益并不能上升为权利，只能定位为值得法律保护的利益(权益)。

(4)企业数据法律保护的路径抉择。在明确企业数据利益系权益后，其保护路径应采用行为规制模式下的反不正当竞争法。“行为规制说”主要分为合同说、侵权说、反垄断说和反不正当竞争法保护说。其中：第一，合同规制方式不仅忽略了合同的有限理性，也忽略了合同相对性导致的局限性，尤其是无法规制第三方的数据侵害行为。第二，侵权规制方式不仅受制于承认企业对其合法掌控的数据享有权利这一前提，也受制于侵权责任构成要件的证立，但侵权损害及其与被控行为因果关系的证明却是横亘在维权者身前的鸿沟。第三，反垄断规制的范围具有较为严格的限制，但并非所有涉及企业数据竞争案件均可被认定为垄断，且数据能否成为“必需设施”仍有待观察。而反不正当竞争法保护路径是典型的权益保护路径，其实用主义色彩、保护的开放性、规制理念的独特性、保护力度的适中性，与企业数据保护相匹配。

4.2 企业数据保护规则的构建

在确定应以反不正当竞争法保护企业数据后，需明确两点：一是所要保护的企业数据范围；二是选用《反不正当竞争法》的“一般条款”或“互联网专条”，亦或是构造“数据专条”。

就第一个问题而言，应在“权利-权益二分法”下考量应保护的数据范围。企业数据尽管为一种新生事物，但若其符合现有民事权利客体的要件，则应当允许企业寻求特定民事权利的保护规程。但若企业数据不满足既有权利客体的构成要件，则只能寻求反不正当竞争法进行调整。但并非所有不满足既有权利客体要求的企业数据均可获得反不正当竞争法保护，应从“质”和“量”维度进行限定。

就“质”而言，受反不正当竞争法保护的企业数据应满足以下条件。首先，以商业性使用为目的。将企业数据持有者所能获得保护的范围限定在商业性使用目的，可合理平衡数据持有企业同数据使用者的利益状态。其次，以合法方式收集。企业数据获得保护的前提是收集方式和程序合法，违法获得的数据不能产生值得法律保护的利益。再次，向特定人或特定数量的第三人提供且具备管理性。通过这两个条件限制企业数据的范围，使其具备可识别性。最后，非商业秘密的数据或信息，且不同于公众可免费获得的数据，强调其商业竞争利益属性。

就“量”而言，应明确所保护的企业数据需达到一定规模。企业数据之所以能获得保护是因为较大规模数据不仅是企业付出较大成本收集的，还在于其作为竞争性资源可转化为竞争优势。在大数据时代，“小数据”多无法发挥“大数据”具有的价值，因而反不正当竞争法所保护的企业数据必须达到一定规模。但何为“一定规模”，可结合数据的性质和行业惯例判断。

就第二个问题而言，应考察《反不正当竞争法》“一般条款”或“互联网专条”的可适用性问题。在近几年的32件企业数据竞争案件中，除有5件案件被诉行为无法定性为不正当行为外，有2件案件以《著作权法》调整，有25件案件以《反不正当竞争法》调整。在适用《反不正当竞争法》处理相关纠纷的案件中，有84%的案件(21件)适用第2条(一般条款)，余下16%的案件(4件)根据第12条第2款第4项处理(互联网专条兜底条款)。这反映出《反不正当竞争法》“一般条款”或“互联网专条”在企业数据竞争案件中的适用争议。

首先，“互联网专条”难以适用于企业数据保护场景。“互联网专条”是2017年修改《反不正当竞争法》时新增条款，主要回应互联网时代的不正当竞争问题。“互联网专条”以“列举+兜底”的方式调整：(1)插链或跳链；(2)误导、欺骗、强迫用户修改、关闭、卸载其他经营者合法提供的网络产品或者服务；(3)恶意不兼容；(4)其他情形。在企业数据纠纷情境下，“互联网专条”前三种行为规制适用可能性极低，唯有兜底条款看似存有适用的空间，但若仔细考察“互联网专条”的适用场景就不难发现，该兜底条款并不适宜企业数据竞争案件，这也是司法实践较少以此条款处理企业数据竞争案件的原因。

其次，“一般条款”因缺乏明确适用要件而存在泛化现象。尽管在司法实践中，法院多以“一般条款”处理企业数据纠纷，但作为原则性规定的“一般条款”，其适用并无确定的标准。虽多参照2009年最高人民法院在“海带配额案”中确定的三个要件适用，但在商业道德等判断上更多依赖法官自由裁量，多被诟病：“商业道德”缺乏具体判断标准，且其并不必然具有正当性；“一般条款”作为兜底条款，其目的是防止挂一漏万，具有很强的模糊性，易导致同案不同判[57]。

可见，运用《反不正当竞争法》“一般条款”或“互联网专条”处理企业数据纠纷，存在泛化或可适用性不强问题。理想的做法是在反不正当竞争法中增加“数据专条”。2022年11月22日，市场监管总局发布的《反不正当竞争法(修订草案征求意见稿)》(简称《征求意见稿》)第18条就新增了“商业数据专条”。但该条保护的“商业数据”范围过大，且在不正当行为类型化上仍有提炼空间。

5 结论

企业数据在数字经济中的地位举足轻重，要充分释放数据要素潜能，须促进企业数据的高效流通与利用。当前学界对企业数据要素市场的构建，深陷“权利保护说”的窠臼。但企业数据的特性与市场经济范式，排斥以绝对权为样版的权利保护框架。在明确企业数据所荷载利益属于一种有限排他权的权益基础上，以“行为规制说”构建企业数据保护路径更为合适。只不过，诸如合同法、侵权法等行为规制路径并不能满足保护需求，而经验主义下的反不正当竞争法保护路径更为可欲。同时，为避免《反不正当竞争法》“一般条款”泛化和“互联网专条”兜底条款适用性差等难题，可考虑进一步从数据规模与分类等角度优化《征求意见稿》“商业数据专条”的规定，为行业发展和司法实践提供具体的竞争法规则指引。

*具体参考文献详见纸刊2022年第6期

期刊介绍：

2022年7月，国内首本兼备网络安全和数据治理双领域的学术性期刊《网络安全与数据治理》（刊号：CN10-1863/TP）正式创刊出版。该刊由中国电子主管，华北计算机系统工程研究所主办，清华大学-中国电子数据治理工程联合研究院和中国电子数字办协办。该刊聚焦网络空间安全和数据治理前沿领域最新科研动态，密切关注政产学研用各环节在网络强国和数字中国建设过程中跨学科学术成果，坚持技术与应用、产品与研发、产业与市场相结合，服务国家网络空间安全和数据治理工程建设。

《网络安全与数据治理》由中国电子首席科学家、中国工程院院士方滨兴担任主编，中国电子第六研究所所长张尼和清华大学公共管理学院教授、长江学者特聘教授、清华中国电子数据治理工程研究院院长孟庆国担任副主编，数十名院士和知名专家组成专家编辑委员会。该期刊将主动开展理论研究，聚焦学术生态资源，拓展网络安全和数据治理领域基础研究，打造一流学术成果交流展示窗口；充分发挥学界专家力量，组织高水平学术会议，组织出版学术专著；坚持理论与实践相结合，服务国家网络空间安全和数据治理工程建设。

— END —

点击“阅读原文”，前往《网络安全与数据治理》期刊官网投稿