【CIPF】阿里巴巴法务部顾伟谈:企业数据权利保护与民事法律变革

       强国研究院，互联网型知识产权智库！     

导读：

阿里巴巴法务部研究中心副主任顾伟在2016强国知识产权论坛中提到：最近两年围绕数据权利保护的立法特别多，但是，从企业数据权利保护角度来看，这两年既没有法律，也没有明确的政策文件，关于企业数据保护的争议也比较大。对此，建议法律应当明确不同类型企业对个人数据的权利，保障企业对个人数据的合理使用以及自主选择保护方式的权利。

各位领导、各位嘉宾：

大家下午好！

我接着李主任的话题，围绕数据权利话题给大家做一个分享。我分享的主题是“企业数据权利保护与民事法律变革”，从企业角度，我们明显感觉这两年围绕数据权利保护的立法特别多。其中，最强势的是政府数据权利保护立法，从《保密法》到今年的《网络安全法》，要求都非常严格；个人数据权利保护虽然没有专门立法，但是网安法也有规定，工信部和网信办也在起草具体领域的个人信息保护规范和标准；然而，从企业数据权利保护角度来看，这两年既没有法律，也没有明确的政策文件，关于企业数据保护的争议也比较大。因此，我主要从我们现在企业自身实践的角度谈谈我个人对企业数据权利保护基本的理解。

现在企业获取数据的基本渠道主要有四个：

第一个直接收集，企业可以从市场上直接收集用户的数据，主要是通过授权协议解决数据权属。第二个是间接加工或流转，对原始数据进行二次加工，变为衍生数据，或从从其他渠道合法获取数据。第三个是并购重组，并购重组后的数据必须在用户原授权范围内使用。第四个就是公共数据，来源主要是政府公开的数据资源，或者是互联网上公开的数据。

企业取得数据权利，主要是基于投资。这在国外被称为血汗原则，企业一般可以根据其对产出数据的投入取得数据的对世权。业内也认可数据是企业核心资产。像Facebook等国际互联网企业均在其用户协议中明确，如果发生交易并购重组，企业控制下的数据也会随之转移，成为投资者之间并购重组的重要组成。

实践中企业处理与政府、用户、个人之间数据权利义务关系，个人认为边界最不好把握的是政府与企业之间的关系。在政府向企业公开数据的过程中，随着立法的逐步完善，政府数据权利基本能得到很好保障。从信息公开到数据开放，对公开或开放后的政府数据，企业怎么去用，政府怎么去管，规定正变得越来越细。 

然而，换个角度，企业向政府提供数据，或者是政府获取企业数据，这方面因为规则缺失，法律可操作性不足，企业数据权利保护的难度比较大。这一过程中，企业数据权利怎么得到保障，可能是我们需要探讨的问题。企业向政府提供数据，目前看主要有三个渠道，第一个数据报送，例如统计信息；第二个是数据协查，即在个案执法中应执法部门要求，依法提供数据；第三是数据合作，主要是基于合同，依法与政府进行数据相关的合作项目。目前，数据报送和数据协查领域的问题最突出，法律对报送主体、报送程序、报送内容、报送责任的规定较为含糊，工商、税务等特定领域的数据报送基本还是空白；数据协查也类似，在协查主体、程序、内容、责任上，法律基本都是原则性规定，企业及用户的抗辩与救济的渠道并不多。

发达国家对企业向政府报送数据的要求非常明确。例如在税收数据报送领域，美国国内税法对网络交易第三方数据报送要求规定非常明确。法律明确报送主体是支付结算机构，报送内容、报送程序有明确要求，报送的责任划定清晰，报送后还需通知用户，确保用户的权利救济。

企业向政府提供个案数据协查亦类似。美国在《存储通信法》中对协查内容程序责任的规定很清晰，例如传票可以获取非内容数据，法庭命令和搜查令可以获取内容数据。企业如果基于政府合法的案件执法函件向政府提供相应数据的，企业免予被起诉。同时，法律还规定政府机构获得通信记录或者是其他信息内容，应当向搜集或者是提供此类信息的个人或者是机构支付一定的报酬，以补偿他们为搜集或者提供信息而支出的必要或者直接的成本。这些也都体现对企业数据权利的尊重。

因此，我个人建议国内法律应当对哪些政府机关，获取哪一类主体的哪些数据内容，以及获取程序和内容，对用户和企业的救济等予以明确的规定，希望立法部门在行政程序法或者是互联网行业立法中予以关注。

其次，与大家分享我对个人与企业数据权利的认识。目前，大多数法律是从个人权利的角度对企业保护个人数据提出各种要求，例如企业应当保护用户的隐私权，在用户授权范围内使用用户数据，确保用户的个人信息不被不当披露。然而，从企业权利角度，法律直接保障的力度弱，企业主要基于与用户的协议主张权利。

对此，个人有三方面建议。一是，法律应当明确不同类型企业对个人数据的权利。从数据处理角度讲，企业可能有两种身份，一个可能是数据控制者，即控制个人数据采集、处理、使用、共享的主体，此时企业应当在用户授权范围内有处分权，例如电商企业相对于其控制的数据，是数据控制者；另外企业也可能是数据处理者，即根据数据控制者命令处理相应数据的主体，例如云计算服务提供者。区分两个主体主要意义在于二者的法律责任截然不同。第二个建议是，法律应当保障企业对个人数据的合理使用权。建议在保障用户隐私权的前提下，企业有权对个人数据的集合进行匿名化的统计分析等大数据开发利用。第三个建议是，法律应当赋予企业自主选择保护个人数据方式的权利。当法律规定越来越多的时候，企业和用户选择的空间越来越小，相应的创新空间也越来越小。对此，建议尊重市场机制的基础性作用，法律仅对个人数据保护提出市场平均水平的要求，市场主体可以根据市场机制和商业决策考虑，自主选择更高水平保护。

最后，分享下对数据权利的展望。全国人大常委会公开征求意见的《民法总则》草案中已经原则上认可网络虚拟财产可作为物权客体，数据信息还能作为知识产权客体。但什么情况下我们企业数据是可以作为物权客体的，草案并没有规定，知识产权所保护的数据信息内涵，草案也没有明确。基于法律可执行的考虑，我们期待法律能进一步明确物权意义的虚拟财产权的具体内容，并将作为知识产权客体之一的数据信息，进一步明确为欧盟法中的数据库权或者类似权利，以此为大数据产业的健康发展提供必要的法律支撑。

谢谢各位！

（ 编辑：北京强国知识产权研究院  景景）