张钦润，傅晓媚

(山东科技大学 文法学院，山东 青岛 266590)

大数据已经上升为国家战略，通过数据分析可以促进政务公开，提高政务治理效率。同时，越来越多的网络运营商也愿意增加大数据与云计算的投入成本，运用大数据为互联网企业提升顾客忠诚度、完善供应链策略、收集消费者偏好以改进产品设计，通过数据的收集、挖掘、利用来实现科学决策或者精准营销，达到减少推广成本增加利润的目的，提高所在行业的竞争实力与市场地位。未来的信息时代，数据将成为如同石油一般的重要竞争资源，不管是国家之间还是企业之间都会为了争夺数据资源而付出更多成本。

数据越来越多地体现出其巨大的商业价值，数据交易市场便在此基础之上诞生。贵阳大数据交易所是省政府批准成立的全国第一家大数据交易所，交易所依据数据的质量与数量等因素，通过协商、拍卖等方式定价，将数据流转给需求方，赚取一定比例的中间费用。数据交易所规定数据交易的主体不能是个人，外国则存在将数据出售给个人的交易平台，同时也存在用户自主决定将信息出售给对方，利用自己的信息获利的交易平台。例如，美国一个名为“Person Com”的网站为每一位用户创建一个保险库，在此平台上用户可以存储自己的信息，包括消费记录、旅行计划等，这个网站同时为企业提供应用程序接口，企业可以经过用户授权同意，给予用户一定费用来购买这些个人信息。[1]数据具有财产价值，可以交易流通促进企业竞争实力，但随着大数据的快速发展，越来越多的法律问题也随之而来。«中国大数据法治发展报告(2018)»表明，个人信息泄露、数据权利属性不明晰等问题突出，也同时成为大数据法治课题主要研究方向。本文认为，应当根据数据去识别技术区分个人信息与数据的界限，并分别进行法律保护。而数据应当纳入我国法律当中的什么范畴进行保护，是本文主要探讨的问题。

一、数据之争

目前，我国的数据交易市场快速发展，依据交易模式大概分为三种类型，第一种是以贵阳大数据交易所为代表的政府指导交易平台，第二种是以数据堂为代表的将数据服务作为产品进行盈利的数据第三方平台，第三种是以阿里云为代表的本身拥有数据资源并提供数据服务的数据运营平台。数据交易过程中，出现了诸多数据之争，将这些争议归类发现，目前法院的裁判结果大部分依据的是«反不正当竞争法»第二条，损害其他经营者的合法权益构成不正当竞争，该条款目前在解决互联网纠纷中成为了普遍适用的条款。

(一)淘宝诉美景大数据产品不正当竞争案

我国首例大数据产品不正当竞争纠纷案，杭州互联网法院针对淘宝(中国)软件有限公司诉安徽美景信息科技有限公司大数据产品不正当竞争纠纷一案作出一审判决，认定美景公司构成不正当竞争。淘宝运营的一家数据平台“生意参谋”可以为淘宝卖家提供数据服务，实现精准营销，通过对买家浏览痕迹等信息的收集与脱敏处理，形成预测型的衍生数据，帮助卖家进行搜索分析、上架优化。而美景公司的咕咕平台“咕咕生意参谋众筹”网站，可以通过远程账号登录的方式查看并获取淘宝“生意参谋”数据产品内容，获得利益。法院认为这部分数据是淘宝经过用户授权同意收集且经过加工处理而成的具有巨大商业价值的数据，享有竞争性财产权益，美景公司将他人劳动成果据为己有而获利违背商业道德，阻碍大数据发展。①该案值得思考的是，这部分数据是否可以成为民事权利客体? 数据的权利属性是什么? 网络运营商对数据享有的具体权益又有哪些?

(二)新浪微博诉脉脉

大数据之争引发不正当竞争的代表性案例还有新浪微博诉脉脉案。根据新浪微博与脉脉签署的«开发者协议»，脉脉可以通过新浪微博API 接口，即开放应用编程接口访问相关数据资源，满足数据的最大利用价值，而脉脉违反协议约定，不正当获取了“非脉脉”用户在新浪微博软件的信息。二审法院认为脉脉所属公司微梦公司未经新浪微博与用户同意，不当抓取用户信息，侵犯了用户的隐私权、损害新浪微博竞争优势，构成不正当竞争。②

随着数据交易市场的蓬勃发展，由数据引发的争议也会越来越多，而法律对数据权益的模糊保护，司法实践中对大数据的定位不明晰等问题，也会直接阻碍大数据的发展。“淘宝诉美景公司不正当竞争”一案与“新浪微博诉脉脉不正当竞争”一案中争议客体是有区别的，一个是数据交易过程中经过去识别处理的数据，一个是数据交易中还未经去识别处理的个人信息库，而法院同样依据«反不正当竞争法»第二条规定作出判决是不妥当的。淘宝的“生意参谋”数据产品主要是为了实现精准化营销而提供给淘宝卖家进行个性化运营，这些数据产品经过了加工处理，不直接具有个人信息的属性。而新浪微博API 接口的数据其实质属于个人信息的范畴，包括用户的头像、手机号码、邮箱等信息集合在一起的个人信息数据库。所涉及的数据两者有本质的区别，而司法实践中未进行这种区分，导致对数据与信息的模糊处理与混淆定位，不管是个人信息还是数据产品，多用«反不正当竞争法»«消费者权益保护法»«民法总则»进行保护。本文认为应当以去识别处理作为分界点，依据数据处理的流程分开进行法律保护。

二、数据处理流程

数据与信息是密切联系的，数据是信息的载体，数据经过加工成为信息，信息经过转化成为数据进行传输，而个人信息与数据并不相同，个人信息在性质上仍属于隐私的范畴，与商业数据有着本质的区别。网络运营者收集数据后会进行一系列数据处理流程，转化成数据产品发挥数据商业价值。去识别处理是数据处理流程中重要步骤之一，也是个人信息与数据转化的分界点。

(一)个人信息的收集

数据收集就是通过数据爬虫技术，广泛采集途经网络节点的所有需要搜索的数据。«网络安全法»第四十一条、«消费者权益保护法»第二十九条均有规定，网络运营者必须告知用户收集信息的目的与范围，并且取得用户同意。在朱烨与北京百度网讯科技公司隐私权纠纷案件中，争议焦点为百度利用浏览历史cookies 进行用户画像并进一步个性化推荐广告的行为是否侵犯用户隐私，二审法院认为cookies 不具有可识别的个人信息特征，百度在用户使用前已经明示告知个性化推荐的规则与退出机制，用户继续使用属于默认同意，驳回了原告朱烨的诉讼请求。③目前，数据收集的合法规则即为“告知-同意”规则，经过用户授权才可以处理。«信息安全技术个人信息安全规范»要求网络运营者收集个人信息要遵循最小化的要求，最小化有三个方面:收集信息的类型要与服务有直接关联；为实现服务功能而采集信息的频率应是需求内的最低频率；为实现服务功能而间接获取的信息应是需求内的最少数量。个人信息收集后所形成的信息库在未经去识别处理前仍然归属于个人信息范畴。

(二)去识别处理

«网络安全法»中明确了个人信息的定义，即以电子形式或其他形式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。在第四十二条中规定，网络运营者未经用户同意，不能将个人信息提供给他人，但是无法识别特定个人且不能复原的除外。个人信息具有识别特定个人的属性，若不具有这种属性，法律允许进行数据流转。在欧盟«一般数据保护条例»中也有相关规定，即数据匿名化(Anonymization)，是指经过处理后个人信息在不与外界信息结合的情况下，通过技术与组织手段无法指向可识别的个人。数据的去识别处理可以理解为一种在鼓励大数据发展与保护个人信息之间的平衡方法，一方面可以实现数据的使用价值，另一方面不会给用户个人信息造成威胁。在确保个人信息不被滥用、泄露的情况下，法律法规及各种行业标准都规定网络运营者利用数据之前必须经过数据去识别处理。数据去识别处理有多种方法，比如“k -匿名”“差分隐私”等方法，将数据中的可识别信息通过一定的算法进行隐藏、变形、加密，具体针对个人信息进行泛化、抑制、数据交换等手段，达到无法识别特定个人的目的。例如，当一条记录包含编号、姓名、性别、年龄、疾病等信息时，通过检索查询编号就可以在数据库中匹配出其他相对应的信息，比如医疗信息、银行帐号、密码等敏感信息，这些个人信息一旦泄露，会对人身、财产利益造成威胁。如果将个人信息记录进行泛化处理，例如将数据串隐藏后几位，将年龄变化为数据区间，就会匹配出多条相等的记录，如表1 -2，第一行信息与第四行信息是相同的记录，从而达到降低自然人被识别风险的目的。

但是，随着网络运营者掌握信息数量的增加，用户被识别的风险就会增加，数据去识别处理后的信息经过其他外界信息的结合，很有可能被再识别。数据去识别处理虽然在当前技术水平下是一种有效地防止信息泄露的手段，但是可能存在再识别的危险。在某些情况下，依据处理人的背景知识、掌握信息的能力与一定的技术和时间条件，匿名化的信息能够可逆化甚至再识别。所以依据去识别处理作为分界点时，要注意数据去识别处理标准是否已经达到。

表1-1 原始个人信息记录

(三)数据产品

经过数据的去识别、清洗、挖掘、建模分析等处理阶段，从海量加噪、模糊的数据中找到相关联且有规律的数据，再进行分析、可视化操作，便可成为数据产品进行交易。数据交易的产品可以是经过去识别处理后的数据库，也可以是经过挖掘分析后所形成的数据报告，例如阿里云、京东万象所拥有的数据都是来自阿里巴巴、京东平台自身所记录的用户个人信息、消费记录等，这些数据交易平台不仅可以提供大数据，也提供其他数据服务。

三、数据权利属性

数据去识别处理之前，大数据包含个人信息，可以识别到特定个人，敏感信息的传播也会提高数据泄漏后损害人身、财产利益的风险，所以这部分信息仍然归属于个人信息提供者所有，享有支配、排除他人侵害个人信息的权利。我国虽然在法律上没有明确规定个人信息的具体权利，但在«网络安全法»第六十四条、«消费者权益保护法»第五十条都规定了对网络运营者违反法律、法规，侵害个人信息的行为应承担法律责任。我国«民法总则»第一百一十一条也规定了个人信息受法律保护。那么，去识别处理后的数据应当纳入什么法律范畴进行保护，学界对此存在争议。

(一)知识产权——汇编作品、邻接权

有观点主张将数据纳入知识产权范畴，知识产权是权利人对智力劳动成果享有的独占性权利。知识产权说中有两种不同的观点，分别认为数据属于汇编作品或者数据可以利用著作邻接权来保护。汇编作品是指把多个作品片段或者不属于作品的数据编排成具有独创性的作品。对于数据而言，数据加工者将海量的数据进行挖掘、分析后形成了具有独创性的数据库或者数据报告，为保护创造性劳动而赋予汇编者享有著作权。邻接权即创造者在著作权人授权后对作品在加工传播过程中的劳动享有的专有权利。对于重在搜集整理的大型数据库，其内在价值既非独创性，也不在于所谓的“投资”，而在于传播和充分利用数据信息。以邻接权保护数据库从理论到实践都是契合的。[2]网络运营者收集数据后，进行一系列数据操作所形成的成果，类似于著作邻接权的加工传播过程，同录像制品的制作者对其制作的录像制品享有的权利一样，网络运营者对其加工后的数据同样享有邻接权。有学者主张通过特殊立法，将大数据集合与传统的作品和小规模数据库区分开来，同时规定较窄的特殊权利内容(限于公开传播权)，在操作层面，如果立法者发现单独立法过于麻烦，将大数据集合保护规则放在著作权法的邻接权框架下也是可以考虑的方案。[3]

本文认为将数据权利属性纳入知识产权范畴有些不妥。知识产权的客体是智力创造的结果本身，而数据价值在于工具性“利用”，其本身并无价值，价值体现在数据分析上。[4]汇编作品须满足独创性，即作品是由汇编者独立完成的且具有最低程度的创造性，而数据分析师将数据处理的过程实际上都是利用计算机算法完成的。比如数据建模过程，都是通过调用各种函数进行分析，并不存在创造的过程，更像是一种机械的加工处理。如果说具有独创性，也是数据处理背后的这些算法或者操作软件具有独创性，而并非编排后的数据。对于汇编作品，在选择或者编排上需要有个性化的主观判断，若使用的是一些操作方法，则不能成为汇编作品受到保护，因为著作权法不保护思想仅保护表达。[5]所以简单的数据处理过程所生成的数据并不满足汇编作品的独创性，当然不排除有些具有独创性的数据报告纳入汇编作品的范畴，而这部分数据与在网络空间中的大数据集合是有明显区别的。邻接权赋予传播者权利，且以著作权的授权为前提，如果数据属于著作邻接权，即赋予数据加工传播者权利，即以用户的同意为前提，这是否证明去识别处理前的个人信息属于著作权保护的客体? 这显然不成立，更何况邻接权的种类限定在以表演、录音、广播、版式设计的方式帮助作者传播作品，数据产品加工的方式并不在这类范围之内。欧盟«数据库指令»第三章第7 条规定，对不具有独创性的数据库，若对此具有实质性投入，比如前期投入了资金、人力等，则对数据库也享有类似于著作权的权利。这种特殊权利的保护类似于英美法系判例中的“额头流汗”原理，其实质就是对付出了一定投入的网络运营者赋予法定的权利，而否定未付出劳动成果而“搭便车”享有数据库商业利益的网络运营者享有权益。将这种特殊权利保护纳入著作权框架之下，在理论与实践中并不是特别契合。

(二)商业秘密

有观点认为数据属于商业秘密，«反不正当竞争法»规定商业秘密须不为公众所知悉，具有商业价值且采取保密措施，包括客户名单、营销策略等。网络运营者收集的数据出于自身经营、个人信息保护的需要，通过加密等技术手段预防数据被窃取。同时，网络运营者通过记载用户的浏览记录、销售订单等，进行个性化推荐，可以为企业带来商业价值，这部分数据具备商业秘密的特点，应当属于商业秘密。

本文认为，商业秘密的保密与个人信息的知情权存在冲突，一方面用户享有了解网络运营者收集信息的目的与如何利用的知情权利，另一方面，网络运营者对数据的使用目的可能包含着商业秘密而不方便披露。[6]另外，商业秘密更侧重于秘密与保护，而大数据更侧重于流通与交易，确定为商业秘密的前提之一是企业要采取保密手段，否则法院不予支持商业秘密的侵权主张。在数据交易发展过程中，数据去识别处理后，不包含个人识别信息，网络运营者为了实现数据所带来的收益，尽可能地与多个数据需求方交易，不存在秘密可言，采取商业保密手段确权反而会抑制数据交易的发展。

(三)物权

有观点主张将数据纳入物权范畴，归属于物权客体中的无体物。网络运营者享有数据的所有权，所有权是物权当中最重要的权利，对数据的收集、挖掘、处理、分析、利用、交易都可以在所有权的占有、使用、收益、处分中找到对应的权利。[7]将数据归属物权路径保护，也有利于数据的无障碍流通。

本文认为，首先在物权的性质方面，物权是对世权，不特定的第三人不能侵犯权利人行使权利。如果数据属于网络运营者，那么在数据存在修改、毁损情况下，用户可以要求网络运营者停止侵害，这就使得保护个人信息与保护物权自由处分之间存在冲突。其次，物权具有排他性，物上只能对应一个所有权，即一物一权，共有关系中也是多个所有人享有一个所有权。但是，数据具有可复制性，可以将数据提供给多个网络运营主体，而这些主体并非像夫妻共同财产、合伙人共同财产的共有关系那样共同享有一个物，多个网络运营者都享有对数据的所有权利，包括占有、使用、收益、处分，互不干涉。最后，在物权客体方面，民法上的物，原则上为有体物，能为人所支配且具有独立性，而数据一般以0 或1 的二进制代码形式表达，且需要依靠计算机载体存储，边界模糊。因此，将数据纳入物权范畴也不是最佳选择。

(四)数据财产权

«民法总则»确立了数据这一权益，但具有抽象性，数据去识别处理后，可以将数据认定为一种新型的数据财产。一方面，大数据时代数据交易快速发展，带来许多新问题，而数据本身特殊的属性难以融入现有法律体系；另一方面，去识别数据有着易于复制、易于传播、数量大的特性，拥有巨大的财产价值，数据财产权可以更好地保护数据的发展。龙卫球教授认为可以为网络运营者配置数据经营权与数据资产权。数据经营权实质为限制权，主要针对的的是数据资产化经营的企业，考虑到数据安全，需要进行市场准入的限制。当然，此类权利主要还要看国家对于数据经济市场的管理立场；数据资产权从性质上接近于物权，但以一定的价值添附创造为基础。通过具有公信力的登记来进行区隔，以实现不同数据利益的精准划分和归属。[8]程啸教授认为对于数据经营权的自由限定在法律的授权或者政府的行政许可，没有任何法律和理论上的依据。市场经济遵循经营自由，数据的初始权属并不属于政府或者国家。[9]

基于学者的争论，本文认为无论数据采取哪种权利进行确权与保护，都不否认数据具有巨大的商业价值，具有一定的财产属性。随着大数据的发展，基于司法实践的研究，未来可以配置具体的权利以充实数据财产权的内容。数据财产权的明确既有利于数据的流通与发展，也有利于减少数据交易过程中的纠纷。但是完全切断与个人信息的联系，将会导致数据失去来源的奇怪情况，因此对此种财产权的处分应该有所限制，即以不违反个人信息所有者的授权与数据不存在再识别的可能性为前提。

四、权利具体化

(一)权利配置

数据财产权应当包括数据的处分、使用、收益等权利。数据处分权包括数据权属者可以自由地收集加工进行转让，当然收集之前必须经过用户的授权，即遵循“告知同意”原则。这里的加工必须经过去识别处理，这是连接数据财产权与个人信息权益之间的桥梁，如果未经过脱敏去识别处理，其并不是数据财产权的保护客体，而是个人信息。数据的使用不需过多解释，数据交易的最终目的是通过对数据的使用使企业提高自身竞争实力，带来企业利益。最后，数据所有者可以依照固定定价、拍卖定价、实时定价的方式享有对数据的收益权。形成数据产品的渠道可以分为两类，一类是数据收集者自行加工处理而成的数据产品，一类是数据收集者委托数据加工厂生产数据产品。由此形成了不同的数据产品拥有者、数据收集者与数据加工者，他们的数据处分权、使用权、收益权需要通过数据服务合同，类似于委托合同来分配权利。信息时代，数据可以时刻产生，数据权利不必过多强调排他性，而应当是侧重于保护数据的控制、占有的状态。

(二)权利限制

数据的转让不得损害国家利益，尤其是跨境传输过程中，必须满足去识别标准。不得损害社会公共利益，不得滥用数据权利，进行数据垄断。大数据“杀熟”就是滥用数据权利，通过算法分析，抬高老客户价格，损害消费者权益。不得未全面实现去识别化，留有余地将数据可逆化，侵害消费者隐私。目前，去识别标准难以达到统一，应当在加强行业自律的同时加强政府监管。

(三)权利救济

这里的权利救济主要指网络运营者数据被他人不正当获取的救济，有两种路径选择，一种是依照数据服务合同，主张违约；一种是主张侵权。梅夏英教授认为，基于网络的工具性和虚拟性，可以将网络纠纷区分为工具性和虚拟性两类，工具性是往往利用网络作为工具进行不法行为，均适用民法的相关规范来调整。虚拟性是生活中完全没有可对照的物，例如虚拟装备、网店的继承，可以通过侵权救济。[10]侵权的损害赔偿，可以依据侵权人的获利数额来确定，难以确定的，可以考虑到数据使用的市场范围、经营成本、数据产品大小等综合裁量。数据权属之争的救济途径可以多元化，除了诉讼之外，调解等也可以有效地化解纠纷。比如在华为腾讯数据之争案件中，华为“智慧助手”根据微信聊天记录的关键词抓取，进行个性化推荐，腾讯认为此举侵犯其数据权益，最终在工信部参与下调解解决。

大数据时代因数据开发和商业模式的多元性，对既有法律框架造成了冲击，如何衡量保护与发展的利益天平成为亟待解决的问题。为了引导、规范、促进大数据产业经济的发展，确立有效规范的数据法律法规，以数据去识别处理为分界点解决数据确权的法律难题，可以避免数据权属一刀切，更好地保护个人信息安全，促进大数据健康发展，提高数据交易效率。数据权利属性的不明晰会严重阻碍大数据的流通与发展，数据财产权可以促进网络运营者对数据的风险控制与交易发展。在司法实践中数据作为一种权益通过«反不正当竞争法»来保护，目前确立数据财产权在立法方面相对于纳入其他现有权利保护有一定难度，当下可以通过各种数据处理规则的限制来平衡数据发展与个人信息保护之间的关系。我们希望在不久的将来法律与技术更加完善，让数据确权更明确，充分释放大数据价值，减少发展阻力，积极推进国家大数据战略。

注释:

①杭州铁路运输法院(2017)浙8601 民初4034 号。

②北京知识产权法院(2016)京73 民终588 号。

③江苏省南京市中级人民法院(2014)宁民终第5028 号。