一、問題的提出
技術變革不斷催生新的財產(chǎn)形式,當前人類正由“小數(shù)據(jù)”向“大數(shù)據(jù)”時代升級,傳感器、智能設備制造的進步,使得企業(yè)可以數(shù)據(jù)收集、存儲海量數(shù)據(jù);大數(shù)據(jù)算法、機器學習等技術進步使得人類可以在短時間內獲取、分析大量非結構化數(shù)據(jù)。這使得大數(shù)據(jù)集合產(chǎn)生了獨立的利用和交易價值,成為一類新的獨立生產(chǎn)要素。在法律保護層面,這也催生了不同制度需求:
第一,數(shù)據(jù)安全法益保障需求,“數(shù)據(jù)安全”指的是“通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)”。伴隨著經(jīng)濟社會生活的數(shù)字化轉型,數(shù)據(jù)成為個人參與經(jīng)濟社會生活、企業(yè)開展經(jīng)營活動、社會公共組織以及國家機關履行職能的前提,有必要保護個人、組織的數(shù)據(jù)安全,即保障數(shù)據(jù)主體(其不僅僅包括數(shù)據(jù)生成者,也包括數(shù)據(jù)存儲和利用者)對數(shù)據(jù)占有、控制和利用狀態(tài)的穩(wěn)定,確保數(shù)據(jù)的機密性、可用性和完整性,防止任何個人或組織未經(jīng)授權獲取、利用和篡改數(shù)據(jù)內容。因此,2021年6月10日,第13屆全國人大第29次會議通過了《數(shù)據(jù)安全法》,作為我國數(shù)據(jù)領域第一部專門立法,系統(tǒng)地構建起了我國數(shù)據(jù)安全制度。《數(shù)據(jù)安全法》不僅具有維護國家安全、公共利益的公法目的,同時具有保護私人權益的私法功能,其第1條規(guī)定,數(shù)據(jù)安全保護旨在“維護國家主權、安全和發(fā)展利益”和“促進數(shù)據(jù)開發(fā)利用,保護公民、組織的合法權益”。因此,除了建立數(shù)據(jù)分類分級保護機制、數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制、數(shù)據(jù)安全應急處置機制、數(shù)據(jù)安全審查制度等行政管理機制之外,其第32條還確立了數(shù)據(jù)處理者一般性的“數(shù)據(jù)安全保護義務”,規(guī)定“任何組織、個人收集數(shù)據(jù),必須采取合法、正當?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)”,這明確了民事主體數(shù)據(jù)安全法益不受不法侵害的基礎性規(guī)范,但該條對一般民事主體數(shù)據(jù)安全保護僅作出了原則和宣示性規(guī)定,而缺乏具體適用規(guī)則,何為“合法、正當”以及“竊取或者以其他非法方式獲取”都未明確,也并未規(guī)定違反該條的責任承擔方式,仍然有待作出進一步細化解釋或者鏈接其他法律適用。
第二,企業(yè)數(shù)據(jù)財產(chǎn)利益的保障。雖然技術發(fā)展賦予了大數(shù)據(jù)集合獨特的利用和交易價值,但數(shù)據(jù)具有一般信息的公共物品特性,在現(xiàn)行立法缺乏對其產(chǎn)權保護的前提下,存在數(shù)據(jù)生產(chǎn)、交易市場失靈的風險:一方面,大數(shù)據(jù)具有體量龐大、類型多樣、快速變化、低價值密度的特點,導致大數(shù)據(jù)經(jīng)濟體現(xiàn)出一定的規(guī)模經(jīng)濟、范圍經(jīng)濟的特點,即企業(yè)必須投資建立一定的數(shù)據(jù)量規(guī)模和范圍才能獲得實質性的競爭力,從而產(chǎn)生較高的沉沒成本;另一方面,數(shù)據(jù)具有一般信息的非競爭、非排他和非易耗的特征,對其進行復制的邊際成本很低。如果法律上缺乏對于大數(shù)據(jù)集合的恰當定位和保護,競爭對手可以輕松獲取和復制數(shù)據(jù)。這將導致兩方面結果,其一,對必須公開才能利用的數(shù)據(jù),將抑制企業(yè)在該領域的投資積極性甚至出現(xiàn)市場失靈;其二,對企業(yè)可以隱匿加以利用的數(shù)據(jù),企業(yè)可能為了避免數(shù)據(jù)落入公有領域,將對數(shù)據(jù)嚴密保護并避免交易而抑制數(shù)據(jù)的流動和再利用。因此,有必要以法律之力保障企業(yè)數(shù)據(jù)之上的投資利益,從而恢復市場的資源配置功能。由于傳統(tǒng)民法或知識產(chǎn)權法體系都難以對大數(shù)據(jù)集合進行恰當定位和保護,司法實踐主要通過反不正當競爭法一般條款調整大數(shù)據(jù)糾紛,但存在法律適用標準模糊、不可預見、利益平衡機制不明確等缺陷。借鑒信息財產(chǎn)和有體財產(chǎn)保護的既有經(jīng)驗,理論上認為存在界定數(shù)據(jù)歸屬、設立排他性權利的現(xiàn)實需要,對應地提出了數(shù)據(jù)財產(chǎn)權、新類型知識產(chǎn)權以及完善反不正當競爭法保護等制度模型。立法實踐對設置新的財產(chǎn)權類型也進行了一定探索:2016年7月《民法總則(草案)》征求意見稿在第108條第2款第8項中,將數(shù)據(jù)信息納入知識產(chǎn)權的客體范圍,使之成為和作品、商標、專利等知識產(chǎn)權客體中的一類,但正式頒布的《民法總則》最終刪除該項,未來數(shù)據(jù)財產(chǎn)法益應如何保護有待立法作出專門規(guī)定。
關于數(shù)據(jù)財產(chǎn)保護制度與數(shù)據(jù)安全保護制度保護的探討雖然看似獨立,兩種法益保護彼此關聯(lián)、密不可分。一般而言,企業(yè)數(shù)據(jù)主要應用于生產(chǎn)經(jīng)營活動,侵害企業(yè)數(shù)據(jù)安全的行為,如未經(jīng)允許獲取竊取、利用、毀損他人數(shù)據(jù)的行為,主要體現(xiàn)為對企業(yè)數(shù)據(jù)財產(chǎn)利益的損害,如果在數(shù)據(jù)安全制度中禁止他人未經(jīng)授權的數(shù)據(jù)獲取及后續(xù)利用行為,則至少可以在一定程度上規(guī)制他人的“搭便車”行為而糾正市場失靈;同樣,如果在數(shù)據(jù)之上設置一項排他性權利,數(shù)據(jù)主體理論上可以通過排他性權利的行使而實現(xiàn)對數(shù)據(jù)安全的保障。因此,對企業(yè)數(shù)據(jù)財產(chǎn)法益與數(shù)據(jù)安全法益的保障面臨著兩種制度的協(xié)調和選擇問題。如前所述,關于數(shù)據(jù)財產(chǎn)利益保障的制度路徑仍處于爭論和探索之中,《數(shù)據(jù)安全法》雖規(guī)定了對他人數(shù)據(jù)安全利益的保障,卻僅作為概括和宣示性條款,有待進行具體可操作性的制度完善。具體而言,第32條規(guī)定任何組織或個人“不得竊取或者以其他非法方式獲取數(shù)據(jù)”,在民事立法就數(shù)據(jù)產(chǎn)權歸屬以及保護邊界不明確的前提下,何為“竊取”或“其他非法方式獲取”立法并未真正厘清,需要在未來法律實施中加以解決。理論上可存在兩種路徑:一是將該條款僅作為引致條款,在民法或知識產(chǎn)權法上明確數(shù)據(jù)的產(chǎn)權歸屬和保護邊界,何為數(shù)據(jù)“竊取”或“其他非法方式獲取”則應根據(jù)數(shù)據(jù)保護專門立法加以判定;二是未來以法律解釋的方式對《數(shù)據(jù)安全法》“竊取”或“其他非法方式獲取”的內涵直接加以界定,明確他人的數(shù)據(jù)安全保護義務或明確禁止對他人數(shù)據(jù)采取的不法行為,在此情形下,是否已經(jīng)足夠對企業(yè)數(shù)據(jù)財產(chǎn)利益提供保障,以及仍有必要再構建獨立的數(shù)據(jù)財產(chǎn)保護制度,有待作出進一步的系統(tǒng)評估。因此,《數(shù)據(jù)安全法》第32條尚處在“十字路口”,以上兩種路徑如何選擇,取決于數(shù)據(jù)財產(chǎn)法益保護制度如何構建,以及兩種法益能否得到恰當協(xié)調。
就以上兩種制度路徑選擇,在當前我國尚缺乏數(shù)據(jù)治理和制度建設經(jīng)驗的前提下,可尋求比較法實踐作為參考。數(shù)據(jù)保護不僅僅是國內法議題,伴隨著數(shù)字貿(mào)易逐漸成為全球貿(mào)易新的重點,其也成為了新一輪國際貿(mào)易規(guī)則制定的焦點問題,國際交往需求和國家利益保障也是大數(shù)據(jù)保護制度構建需考量的重要維度。2020年9月,中國向世界各國提出了《全球數(shù)據(jù)安全倡議》;11月22日,習近平總書記出席二十國集團領導人第十五次峰會提出“中方愿同各方探討并制定全球治理規(guī)則”。我國大數(shù)據(jù)保護路徑選擇,應考量和順應全球大數(shù)據(jù)保護立法趨勢,以促進全球共識之達成,乃至引領全球立法趨勢,從而保護我國在全球數(shù)字貿(mào)易中的核心利益。故有必要考察比較法上大數(shù)據(jù)保護的制度邏輯和保護模式,而為我國提供借鑒和啟示。
在全球范圍內,美國在大數(shù)據(jù)分析技術和商業(yè)應用領域發(fā)展較早,其在數(shù)據(jù)保護領域進行了早期制度探索。國內學者在數(shù)據(jù)保護制度探討和建構時頻頻訴諸美國法尋求借鑒,但目前缺乏對美國法制度模式和保護邏輯的系統(tǒng)論述。因此,本文主要通過比較法的方法,對于美國法大數(shù)據(jù)保護實踐進行集中考察和經(jīng)驗提煉,從而為我國大數(shù)據(jù)保護的路徑選擇提供參考和借鑒。具體而言,與我國在數(shù)字經(jīng)濟發(fā)展政策需求方面相類似,美國一直將大數(shù)據(jù)作為未來發(fā)展重點戰(zhàn)略之一,美國聯(lián)邦政府先后發(fā)布《大數(shù)據(jù)研發(fā)倡議》《聯(lián)邦大數(shù)據(jù)研發(fā)戰(zhàn)略計劃》等戰(zhàn)略性文件,要求實施國家大數(shù)據(jù)戰(zhàn)略,《聯(lián)邦數(shù)據(jù)戰(zhàn)略與2020年行動計劃》規(guī)劃了美國聯(lián)邦政府未來十年的數(shù)據(jù)愿景和行動計劃,確定“將數(shù)據(jù)作為戰(zhàn)略性資源”,提出了加強數(shù)據(jù)保護、促進數(shù)據(jù)獲取和共享等具體任務。法律制度建設是數(shù)據(jù)保護、獲取和共享的基礎,面對大數(shù)據(jù)保護的現(xiàn)實問題和糾紛,與我國相比,美國法上并沒有專門立法或者設立數(shù)據(jù)財產(chǎn)權的強烈訴求,而是通過既有制度滿足對數(shù)據(jù)法益保護的制度需求。其可分為從知識產(chǎn)權法保護、普通法保護兩方面:知識產(chǎn)權法對于部分大數(shù)據(jù)保護提供了理論上的可能性和片段化保護,在實踐中卻并未被廣泛援引和適用;普通法上,數(shù)據(jù)爬取早期可通過侵害動產(chǎn)(Trespass to chattels)訴由加以規(guī)制,但伴隨著判例法中損害證明責任趨于嚴格而逐漸被廢棄;類比于普通法上侵入土地(Trespass to Land)制度,美國法上構建起了其網(wǎng)絡安全制度,對計算機入侵(Computer Trespass)行為加以規(guī)制,對數(shù)據(jù)財產(chǎn)利益也納入網(wǎng)絡安全法制下加以保護。藉由對美國法大數(shù)據(jù)保護制度探討和經(jīng)驗提煉,本文以下將試圖為我國大數(shù)據(jù)保護路徑選擇,以及數(shù)據(jù)財產(chǎn)法益與數(shù)據(jù)安全法益保障的協(xié)調方式提供建議。
二、大數(shù)據(jù)的知識產(chǎn)權法保護
“數(shù)據(jù)”,《數(shù)據(jù)安全法》第3條第1款將其定義為“任何以電子或其他方式對信息的記錄”,即信息的機器可讀形式。所謂“大數(shù)據(jù)”(Big Data),指的是以高容量、多樣性、高速率為特征的大規(guī)模數(shù)據(jù)集合,其本質上仍然是一種信息的體現(xiàn)形式。知識產(chǎn)權的客體是信息,相較于傳統(tǒng)有體財產(chǎn),無體性的信息財產(chǎn)主要可通過知識產(chǎn)權制度加以保護。故對新出現(xiàn)的大數(shù)據(jù)集合,首先可以通過知識產(chǎn)權制度加以保護。
事實上,“數(shù)據(jù)”在知識產(chǎn)權領域并非全新的信息客體形式,在上世紀計算機技術出現(xiàn)之后,知識產(chǎn)權法即對于數(shù)據(jù)庫的保護進行了廣泛的探討。數(shù)據(jù)庫指的是按照事先預定好的關系模型收集、存儲收集而形成的數(shù)據(jù)集合,其相對于大數(shù)據(jù)雖然具有結構化的特性,但本質上都是作為一定數(shù)量累積的數(shù)據(jù)集合,美國法對大數(shù)據(jù)集合的知識產(chǎn)權法保護可能性可通過傳統(tǒng)數(shù)據(jù)庫保護的路徑進行檢視。在20世紀90年代,伴隨著電子數(shù)據(jù)庫的出現(xiàn),歐盟為建立“強大的數(shù)據(jù)庫產(chǎn)業(yè)”而制定了《數(shù)據(jù)庫保護指令》,率先在全球范圍內對付出實質性投資生成的數(shù)據(jù)庫賦予特別權利(Sui Generis Right)保護,基于此,美國也一直存在對數(shù)據(jù)庫保護特別立法的建議,主張按照反不正當競爭法上的盜用侵權原則,在數(shù)據(jù)庫上構建一種排他性財產(chǎn)權保護,1996-2004年間多個立法議案被提交國會,由于擔憂對事實性數(shù)據(jù)提供財產(chǎn)權保護可能對市場競爭和公共信息獲取的負面影響,專門立法的方案均未通過。在大數(shù)據(jù)時代,歐盟委員會進一步提出了一項數(shù)據(jù)生產(chǎn)者對其機器生成的非個人數(shù)據(jù)的一項財產(chǎn)性權利,從而保護數(shù)據(jù)生產(chǎn)者投資不受不當侵害。在美國法上,由于擔憂在數(shù)據(jù)之上設置一項排他性財產(chǎn)權將帶來的潛在社會成本和風險,“數(shù)據(jù)生產(chǎn)者權利”(Data Producer’s right)或者類似于數(shù)據(jù)庫特別權利的數(shù)據(jù)財產(chǎn)權再次遭到拒絕。在美國知識產(chǎn)權法上,類似于傳統(tǒng)數(shù)據(jù)庫,大數(shù)據(jù)集合可通過版權法、盜用侵權以及商業(yè)秘密制度獲得部分保護,卻存在著較多限制,導致其并未成為保護企業(yè)數(shù)據(jù)財產(chǎn)利益的一般性制度。現(xiàn)分別檢討如下:
(一) 版權法保護
大數(shù)據(jù)集合首先可尋求版權法上的保護。版權法體系注重對作品的經(jīng)濟利用,獨創(chuàng)性要求低于作者權體系下“作者人格”或者“作者精神產(chǎn)物”的標準,作為版權法體系的代表性國家,美國長期以來奉行“額頭流汗”理論,只要作者獨立創(chuàng)作并付出了勞動和技巧,其表達即可構成作品獲得保護。對在匯編作品,只要匯編者在收集相關事實、數(shù)據(jù)或資料的過程中付出勞動和技巧,即可以獲得版權保護。但以Feist案為轉折,美國版權法上的獨創(chuàng)性標準由“額頭流汗”向“最低限度的創(chuàng)造性”的轉變,傳統(tǒng)數(shù)據(jù)庫如果其數(shù)據(jù)的選擇、協(xié)調、編排只有具有“最低限度的創(chuàng)造性”才可以獲得保護,以客戶姓名字母順序編排的電話號碼簿等單純事實信息的匯編由于不具有獨創(chuàng)性而無法獲得版權法上的保護。但“最低限度的創(chuàng)造性”標準仍然低于作者權體系下“作者精神產(chǎn)物”的要求,在數(shù)據(jù)庫制作過程中,如果對于數(shù)據(jù)的選擇、編排和整理具有一定的獨創(chuàng)性因素,則可以獲得版權法上的保護。然而,大數(shù)據(jù)集合又區(qū)別于傳統(tǒng)數(shù)據(jù)庫,其具有典型的非結構化的特點,收集過程具有一定的自動性和機械性,大多數(shù)屬于單純事實性匯編而難以作為具有獨創(chuàng)性的作品而加以保護。此外,版權法對于數(shù)據(jù)集合的保護僅及于具有獨創(chuàng)性的數(shù)據(jù)呈現(xiàn)方式而非數(shù)據(jù)內容本身,難以排除他人對數(shù)據(jù)內容的不當利用,而無法實現(xiàn)保護數(shù)據(jù)收集者投資的目的,導致了版權保護在美國大數(shù)據(jù)保護司法實踐中并未成為廣泛選擇的制度選項。
(二)盜用侵權
對大數(shù)據(jù)集合,還可通過反不正當競爭法中的盜用侵權規(guī)則加以保護,我國學者也有在借鑒美國法上的盜用侵權規(guī)則在《反不正當競爭法》中引入盜用條款調整數(shù)據(jù)糾紛的建議,然而,盜用侵權的適用在大數(shù)據(jù)領域卻受嚴格條件限制。
具體而言,盜用侵權規(guī)則可追溯至1918年 International News Service v.Associated Press案,在該案中,美國聯(lián)邦最高法院首次提出了盜用侵權規(guī)則,其涉及版權法保護之外但付出實質性投資收集的新聞信息如何避免被他人不當利用的問題,聯(lián)邦最高法院基于防止“不勞而獲”的正義良知而確立了對新聞信息的“準財產(chǎn)權”,美國聯(lián)邦最高法院認為:“在衡平法庭上,當涉及到不正當競爭問題時,如果原告花費實質性成本正當獲得的東西能夠以實質性利潤正當銷售,盜用了這種東西的競爭對手為自己的利益和損害原告的目的而對其進行處分,就不能判決這種東西太難以捉摸或易于消失以至于不認為是財產(chǎn)。它具有判定競爭對手對它的盜用由于違背正義良知而構成不正當競爭所需要的全部財產(chǎn)屬性。” 該判例作出后,下級法院對該原則的適用產(chǎn)生了廣泛爭議,不同州法院對此也持不同態(tài)度,例如,紐約州、加利福尼亞州、佛羅里達州迅速采納該規(guī)則,馬薩諸塞州、伊利諾伊州等最初否決而轉向接受,多個州法院完全拒絕遵循。就該規(guī)則也可作出不同解釋:如威斯康星州最高法院對此采取了寬泛解釋,認為只要:(1)在信息生產(chǎn)過程中花費時間、勞動、金錢;(2)雙方存在競爭關系;(3)對原告造成商業(yè)損害即構成盜用侵權。該解釋類似于我國法院在適用《反不正當競爭法》一般條款時對“商業(yè)道德”的引用,存在著極強的勞動財產(chǎn)權的痕跡,有可能在知識產(chǎn)權制度之外賦予事實性信息的嚴格保護,第一個投入實質性資源開發(fā)特定產(chǎn)品的人(無論其是否具有創(chuàng)造性)將對其享有獨占權,直到榨取全部商業(yè)價值為止,其將造成一種無限拓展的、永久的知識產(chǎn)權形式。此外,有的法院對該規(guī)則作出了更狹窄的限定解釋,如在 Cheney Bros.v.Doris Silk案中,第二巡回法院將其嚴格限定在與該案事實實質相似的情形。
該判例頒布后不久,聯(lián)邦最高法院先后出臺判例廢除了其在聯(lián)邦層面的適用,并限制了其在州法上的適用范圍:1938年,在Erie Railroad v.Tompkins案中,美國聯(lián)邦最高法院廢除了聯(lián)邦普通法也即廢除了聯(lián)邦層面的盜用規(guī)則,其提出美國沒有獨立的聯(lián)邦普通法,而普通法在每一個州都是一個獨立的實體,由于International News Service v.Associated Press案即聯(lián)邦判決,各州法院可將其置之不理,而不再具有任何拘束力。此后,盜用侵權規(guī)則實質上僅存在于有限的州層面的司法實踐中。在州法層面,1964年以后,聯(lián)邦最高法院在Sears, Roebuck & Co.v.Stiffel Co.案中提出了聯(lián)邦先占規(guī)則(Federal Pre-Emption)限制了州法上盜用侵權的適用范圍。根據(jù)先占規(guī)則,如果知識產(chǎn)權法已經(jīng)對規(guī)定的客體進行調整,原告就不能再依靠盜用侵權,除非其訴訟請求涉及到某種附加要素的主張,這種附加要素超出了證明違反相關知識產(chǎn)權立法所需要的要素范圍。根據(jù)聯(lián)邦先占規(guī)則,對不受版權法保護的信息集合本身不能適用盜用侵權,除非涉及到不法行為的附加要素主張。如在 NBA v.Motorola案中,美國第三巡回法院認定盜用侵權原則的適用應限定在與 International News Service v.Associated Press案情相似的較窄領域,一般要求:(1)原告以一定成本收集信息;(2)信息具有時間敏感性;(3)被告對該信息搭便車利用;(4)被告與原告存在直接競爭;(5)該搭便車行為會削弱投資者生產(chǎn)產(chǎn)品或服務的激勵,對其產(chǎn)品或服務的存在或品質存在實質性威脅。因此,盜用侵權規(guī)則主要在新聞信息、金融信息等有限領域適用,無法承擔起一般性地調整大數(shù)據(jù)歸屬、利用糾紛的功能。
(三)商業(yè)秘密保護
除版權法保護、盜用侵權外,非公開數(shù)據(jù)可作為商業(yè)秘密加以保護。美國各州法均對于具有秘密性、價值性、采取保密措施的信息給予商業(yè)秘密保護,排除他人未經(jīng)許可獲取、使用、披露其秘密信息的行為。2016年,美國國會正式通過了《2016年商業(yè)秘密保護法案》(DTSA),賦予聯(lián)邦法院對于侵犯商業(yè)秘密案件的管轄權,統(tǒng)一法律標準和加強商業(yè)秘密保護。在大數(shù)據(jù)保護中,對網(wǎng)絡上完全公開可訪問的數(shù)據(jù),將無法滿足秘密性、保密性要件,一般難以獲得商業(yè)秘密保護;對大部分用戶以及設備生成數(shù)據(jù),企業(yè)一般都通過技術措施加以控制而排除他人的任意訪問和獲取,其可以滿足秘密性、保密性要件,理論上,針對他人未經(jīng)授權獲取、利用和披露其數(shù)據(jù)的行為,企業(yè)可以主張通過商業(yè)秘密保護。
然而,商業(yè)秘密保護卻并未在大數(shù)據(jù)保護實踐中被廣泛援引和主張,其功能很大程度上為一種類商業(yè)秘密制度——計算機入侵(Computer trespass)制度所代替。為維護網(wǎng)絡安全,美國1986年《計算機欺詐與濫用法》(Computer Fraud and Abuse Act, CFAA)規(guī)定了計算機入侵制度,即禁止任何未經(jīng)授權或超出授權,故意訪問他人計算機并獲取受保護計算機信息。在大數(shù)據(jù)保護實踐中,該制度在很大程度上作為商業(yè)秘密的替代性機制而成為了投資者保護其數(shù)據(jù)集合的主要方式。因為二者相較而言,在保護條件上,商業(yè)秘密以嚴格的秘密性、保密性和價值性要件為前提,因此,公開數(shù)據(jù)將無法獲得商業(yè)秘密保護,即使對于可獲得商業(yè)秘密保護的非公開數(shù)據(jù),數(shù)據(jù)收集者也應當限制其交易、利用的范圍而避免數(shù)據(jù)被公開而喪失其秘密性,也由于此局限性,在如歐盟日本等數(shù)據(jù)立法中并未將商業(yè)秘密作為數(shù)據(jù)保護的一般性制度。計算機入侵制度突破了商業(yè)秘密的秘密性、保密性要件而擴展了商業(yè)秘密的保護范圍并提供了同等程度的法律保護:其僅僅要求權利人排除或者限制他人對其計算機系統(tǒng)的訪問,而并不要求符合嚴格的秘密性、保密性和價值性要件,公開數(shù)據(jù)通過施加技術手段限制訪問也可以獲得保護,數(shù)據(jù)收集者也不必擔心其數(shù)據(jù)因廣泛交易和利用失去保護的問題;在保護效果上,其禁止一切未經(jīng)授權、超出授權訪問他人計算機并獲取計算機上所存儲信息的行為,類似于商業(yè)秘密制度排除第三人未經(jīng)許可獲取、利用和披露他人合法控制信息的寬泛效力。由于伴隨著企業(yè)對信息存儲的電子化依賴逐漸增加,數(shù)據(jù)獲取一般通過入侵他人計算機系統(tǒng)而實施,故所有的網(wǎng)絡侵犯商業(yè)秘密案件基本都可以主張計算機入侵之訴,后者更具保護周延性和訴訟效率上的優(yōu)勢,尤其在《2016年商業(yè)秘密保護法案》通過之前,美國商業(yè)秘密主要通過各州法進行保護,對跨州案件當事人必須分別提起訴訟,但對計算機入侵行為卻可以在聯(lián)邦法院統(tǒng)一主張和訴訟。在此背景下,《計算機欺詐與濫用法》成為了網(wǎng)絡環(huán)境下商業(yè)秘密保護的替代性和擴張性機制,也在目前大數(shù)據(jù)保護法律實踐中發(fā)揮著最主要的作用。為進一步探討其對我國的可借鑒性,現(xiàn)就其制度原理、保護機制以及與傳統(tǒng)知識產(chǎn)權法保護之間的關系具體探討如下。
三、大數(shù)據(jù)的普通法保護
在知識產(chǎn)權制度難以為大數(shù)據(jù)集合提供專門保護的前提下,美國法并未試圖積極設立新的的知識產(chǎn)權或財產(chǎn)權,而是嘗試“舊瓶裝新酒”,通過解釋或類比的方式將計算機系統(tǒng)或者網(wǎng)站容納于傳統(tǒng)動產(chǎn)(Chattels)或不動產(chǎn)(Land)的內涵之下,以傳統(tǒng)財產(chǎn)法對計算機系統(tǒng)以及其存儲的數(shù)據(jù)信息加以保護。將傳統(tǒng)財產(chǎn)法適用于計算機系統(tǒng)以及網(wǎng)絡虛擬空間,首先面臨著分類上的困難,其屬于財產(chǎn)法上的不動產(chǎn)(Land)或動產(chǎn)(Chattel)本身具有爭議性,如果僅僅從其載體(計算機硬件或服務器)來看其應當屬于動產(chǎn),對于有具體地址路徑的虛擬空間而言其又具有不動產(chǎn)不能移動、不可滅失屬性。因此,美國法上分別曾通過侵犯動產(chǎn)(Trespass to chattels)及類推入侵土地(Trespass to chattels)建立的入侵計算機(Computer trespass)制度兩種方式對網(wǎng)絡虛擬空間及其內部數(shù)據(jù)提供保護。
(一)侵害動產(chǎn)
普通法上,侵害動產(chǎn)主要包括兩種方式:侵害動產(chǎn)(Trespass to chattels)和動產(chǎn)侵占(Conversion)。前者主要指他人故意以法定可感知的方式侵害原告對于動產(chǎn)的占有的行為,包括干擾原告對其動產(chǎn)的接觸和使用等;后者指他人故意對他人動產(chǎn)進行實質控制嚴重損害原告占有權利的行為。伴隨著計算機互聯(lián)網(wǎng)的出現(xiàn),有學者認為普通法上的財產(chǎn)不僅僅限于有體物,像域名應當成為一類新的動產(chǎn)類型,相對于版權保護,侵害動產(chǎn)是控制網(wǎng)站訪問和獲取相關內容的更為直接的方式。該觀點在美國司法判例中被吸收采納,1996年在 Thrifty-Tel v.Bezenek案中,美國加州上訴法院認為電子信號具有足夠的物理性和有形性而構成相互干擾,對于電話系統(tǒng)的電子入侵可以適用于侵犯動產(chǎn)。1997年,在CompuServe v.Cyber Promotions案中,俄亥俄州南區(qū)法院首次將該原則適用到互聯(lián)網(wǎng)領域中,法院認為,電子郵件服務器屬于普通法意義上的動產(chǎn),被告向原告大量發(fā)送未經(jīng)請求的垃圾電子郵件,雖然并未真正地占有原告的計算機服務器,但發(fā)送電子郵件導致其計算機系統(tǒng)運行速度變慢,減少了原告付費訂戶可利用資源價值而導致其經(jīng)濟損失,而構成對于動產(chǎn)的侵害。此后,該原則從規(guī)制垃圾郵件逐漸擴展到對網(wǎng)絡抓取數(shù)據(jù)的調整。在 eBay v.Bidder's Edge案中,被告通過網(wǎng)絡爬蟲爬取原告eBay網(wǎng)站上的商品銷售信息并在自己的網(wǎng)站上展示,eBay主張其網(wǎng)絡爬蟲爬取行為構成侵犯動產(chǎn)。根據(jù)侵害動產(chǎn)原則,eBay需證明被告未經(jīng)授權干擾其計算機服務器且造成了實質性損害,被告網(wǎng)絡爬蟲的訪問無疑會構成對其計算機服務器的干擾,但如何定義對其計算機系統(tǒng)的實質損害則存在爭議。法院對此采取了寬泛解釋,即認為雖然Bidder's Edge的網(wǎng)絡機器人只占據(jù)了eBay服務器空間的一小部分或者微不足道,但是其仍然剝奪了eBay利用該部分的能力,使用他人財產(chǎn)的行為即足以構成侵犯動產(chǎn)。這事實上賦予了網(wǎng)站所有者排除他人未經(jīng)允許訪問其網(wǎng)站的權利,進而可以控制其網(wǎng)站上數(shù)據(jù)的傳播與利用。此后,該原則在后續(xù)案件中被廣泛援引。
然而,該原則廣泛適用卻可能導致默認自由開放的公共網(wǎng)絡空間轉向私有和封閉化,從而限制用戶自由訪問和信息傳播。因此,2003年加州最高法院在 Intel v.Hamidi案中推翻了eBay案的在先判例,重新對于侵犯動產(chǎn)中損害的含義進行了澄清,即侵害動產(chǎn)成立是對動產(chǎn)價值造成損害,原告必須證明對于計算機系統(tǒng)網(wǎng)絡的物理功能存在實際干擾,或者未來出現(xiàn)干擾的可能性。在技術層面,伴隨著服務器承載力和網(wǎng)絡帶寬的發(fā)展,通過用戶訪問或者網(wǎng)絡爬蟲對于計算機系統(tǒng)網(wǎng)絡的物理功能產(chǎn)生的實際損害往往微乎其微且難以證明,這使得實踐中網(wǎng)站所有者難以援引該訴由排除他人對其網(wǎng)絡空間的訪問而實現(xiàn)數(shù)據(jù)保護的目的。
(二)類推入侵土地——入侵計算機系統(tǒng)
除侵害動產(chǎn)之外,美國法上還將計算機系統(tǒng)或網(wǎng)絡虛擬空間類比于不動產(chǎn)加以保護。與侵害動產(chǎn)不同的是,普通法對不動產(chǎn)通過入侵土地之訴加以保護,入侵土地屬于本身可訴的侵權,原告無需證明存在具體的損害事實,即被告本身或者故意導致某一物體進入原告占有的土地,即構成侵權。面對計算機和互聯(lián)網(wǎng)技術出現(xiàn)后的黑克入侵行為,類推入侵土地制度,美國法上構建起了其網(wǎng)絡安全制度,賦予了計算機系統(tǒng)所有者對其虛擬空間的排他性權利,并延及對其內部存儲信息的保護,這也為當下大數(shù)據(jù)保護提供了制度基礎。
具體而言,1986年美國聯(lián)邦通過了《計算機欺詐與濫用法》,旨在打擊危害聯(lián)邦利益的計算機入侵犯罪,伴隨著互聯(lián)網(wǎng)的發(fā)展,美國國會多次修改該法案擴大適用范圍而將保護私人計算機網(wǎng)絡安全,其包括兩方面:第一,在保護對象方面,立法最初僅保護“聯(lián)邦利益計算機”(Federal Interest Computer,主要包括聯(lián)邦政府以及金融計算機),1996年立法修改擴張到任何用于或影響州際以及國外商業(yè)或通訊的“受保護計算機”(Protected Computer), 幾乎所有接入互聯(lián)網(wǎng)計算機都被納入受保護范圍;第二,賦予了民事主體請求救濟的權利,最初違反該法案的行為將構成聯(lián)邦犯罪,僅由聯(lián)邦檢察院進行追訴,1994年立法修改后將之作為民事主體一般民事權利,受害者有權提起獨立民事訴訟,即“任何因違法該規(guī)定遭受損失者,對違法者提起民事訴訟要求損害賠償、禁令救濟以及其他衡平救濟”。在保護范圍上,第1030(a)(2)條規(guī)定禁止計算機入侵行為,即任何人未經(jīng)授權或者超出授權故意訪問受保護計算機,并獲得來自任何受保護計算機信息的行為。這在事實上賦予了計算機所有者排除他人未經(jīng)允許訪問其計算機以及獲取相關信息的排他性權利,對未經(jīng)授權、超出授權的訪問行為,其有權基于CFAA向聯(lián)邦法院提起訴訟,實踐中,該條款成為企業(yè)主張數(shù)據(jù)保護的主要法律基礎。
在計算機系統(tǒng)保護中,如何認定“未經(jīng)授權”和“超出授權”,決定了計算機所有者對其虛擬空間利用和排他權利范圍。理論上,要首先確定所有者設置的計算機訪問“門檻”(gate),才能進而判斷他人訪問行為是否構成“未經(jīng)授權”或“超出授權”,但如何認定該訪問“門檻”確并不明晰。CFAA并未解釋何為“未經(jīng)授權”,僅規(guī)定“超出授權”指“經(jīng)授權訪問計算機,并通過從訪問獲得或者修改該計算機上訪問者未被授權獲取或者訪問的信息”。實踐中就“未經(jīng)授權” “超出授權”的認定存在廣泛爭議,認定為“未經(jīng)授權”或“超出授權”的情形可歸納為五種行為類型:(1)代理范式,即計算機所有者與訪問者之間存在某種雇傭關系,雇員違背雇主利益或授權目的而訪問,即構成“超出授權”;(2) 合同范式,即計算機所有者與用戶存在明確協(xié)議,用戶超出協(xié)議約定范圍獲取、利用相關信息,即構成“超出授權”;(3) 政策范式,計算機所有者對外公布其用戶訪問政策,他人違背該用戶訪問政策而訪問計算機系統(tǒng),即構成“未經(jīng)授權”或“超出授權”;(4)訪問規(guī)范范式,即計算機系統(tǒng)存在通常的訪問方式和存儲信息的預期功能,他人超出一般慣例而訪問獲取信息,即構成“未經(jīng)授權”或“超出授權”;(5) 代碼范式,計算機系統(tǒng)所有者通過代碼限制界定其計算機系統(tǒng)可訪問區(qū)域,他人破壞或者違反代碼限制而訪問,即構成“未經(jīng)授權”。自互聯(lián)網(wǎng)出現(xiàn)以來,美國法院對計算機入侵行為的認定經(jīng)歷了一個螺旋式前進的過程:2000年之初,美國法院將前述五種行為都認定為計算機系統(tǒng)入侵;為了避免CFAA過度適用對網(wǎng)絡空間自由訪問的限制,2009年以后法院回歸CFAA到防止黑克入侵、維護網(wǎng)絡安全的立法目標,對“未經(jīng)授權”或“超出授權”作了限縮解釋,將之限定在破壞繞過計算機代碼限制訪問的情形,違反合同義務、代理義務、訪問政策等均不在調整范圍之內;以2013年Craigslist v.3Taps案為轉折,計算機入侵的范圍又迎來了實質性擴張,在該案中盡管第二巡回上訴法院遵循先例認可只有代碼控制措施構成有效的訪問限制,同時其認為計算機系統(tǒng)所有人可以通過任何可以為他人識別的方式撤銷其計算機系統(tǒng)的訪問授權,可以以技術上或非技術的方式,在授權被撤銷后他人仍然訪問的,將構成對他人計算機系統(tǒng)的入侵。此后,即只要所有者以可識別的方式向他人作出禁止或限制訪問的意思,無論其是否通過技術方式,均可以排除他人對其計算機系統(tǒng)的訪問,賦予了計算機所有者對其計算機空間及其控制內容的完全排他性權利。Craigslist v.3Taps案之后CFAA的再次擴張導致了廣泛的社會批評,有學者稱之為“技術領域最糟糕的法律”,因為互聯(lián)網(wǎng)的內在特質在于其開放性,互聯(lián)網(wǎng)協(xié)議的本質是其默認允許所有人自由訪問,CFAA賦予了計算機所有者對默認開放網(wǎng)絡空間的排他性權利,在社會公眾尚未就網(wǎng)絡空間的行為規(guī)范達成共識時,以目的功能、用戶政策、使用合同界定其訪問授權范圍,難以清晰地向一般網(wǎng)絡用戶界定外部責任范圍,換言之,網(wǎng)絡所有者的排他性權利不具有社會公開性,從而導致在互聯(lián)網(wǎng)中大多數(shù)訪問行為都有可能被界定為違法,這也極大地限制了網(wǎng)絡空間的信息傳播自由。因此,理論上不斷有學者主張重新回歸代碼范式,通過技術措施明確地向所有用戶釋放其“拒絕訪問”的信號。
2019年以hiQ Labs v.LinkedIn案為轉折,第九巡回上訴法院再次回歸到代碼范式,明確對于公眾獲取數(shù)據(jù)不適用于訪問“撤銷”的規(guī)定,確立了數(shù)字時代網(wǎng)絡空間訪問和數(shù)據(jù)抓取的確定性規(guī)則。第九巡回上訴法院認為,CFAA必須在其制定的歷史背景下進行解釋,并考慮立法目的。其并非為了管控互聯(lián)網(wǎng)上公共網(wǎng)站的訪問,而是旨在處理黑客攻擊或非法入侵私人的、經(jīng)常是受到密碼保護的大型計算機,將CFAA應用于訪問向公眾開放的網(wǎng)站將會阻礙公眾獲取信息的自由。借鑒Orin Kerr教授關于“網(wǎng)絡假定開放”的理論,其認為網(wǎng)絡本質上是開放的,因為它允許世界上的任何人發(fā)布信息,并允許在其他任何人在沒有授權的情況下接觸此信息,CFAA只保護創(chuàng)建起必要的屏障分隔互聯(lián)網(wǎng)中的開放與封閉空間(如登錄身份認證、密碼保護),“未經(jīng)授權”“超越授權”只有在繞過身份驗證而接入網(wǎng)站的情況下存在。CFAA中使用的“授權”,一般強調訪問計算機或網(wǎng)站的主體限制,而并非訪問方式限制,該案中。被告雖然繞過了Robot協(xié)議和IP地址限制措施,但其訪問的仍然是公開可見的數(shù)據(jù),故并未違反CFAA。此后,原告LinkedIn向聯(lián)邦最高法院提出申訴。期間,在Van Buren v.United States案中,美國聯(lián)邦最高法院對CFAA中“超出授權”作出了新的解釋,聯(lián)邦最高法院撤銷了第九巡回上訴法院hiQ Labs, Inc.v.LinkedIn Corp.案的判決,并要求基于Van Buren v.United States案意見重新作出判決。但聯(lián)邦最高法院Van Buren案的判決實質上支持了LinkedIn案法院的觀點,第九巡回法院重新審查之后維持了其原判決觀點,其認為“當某一用戶規(guī)避計算機關于訪問權限的一般規(guī)則(如用戶名和密碼要求)將構成對于CFAA‘未經(jīng)授權’訪問計算機規(guī)定的違反,當某一計算機網(wǎng)絡一般性地允許公眾訪問其數(shù)據(jù),用戶訪問其公共可獲取數(shù)據(jù),則并不構成CFAA下未經(jīng)授權的訪問行為”,即“未經(jīng)授權”以及“超出授權”的認定仍應以代碼范式為前提。
綜上所述,美國法上CFAA成為了企業(yè)維護網(wǎng)絡空間秩序和保護數(shù)據(jù)資產(chǎn)的主要法律依據(jù),面對數(shù)字時代的法律挑戰(zhàn),其并未尋求構建新的財產(chǎn)權,而是以普通法上入侵土地制度為基礎,允許企業(yè)通過代碼措施自我構建和界定其網(wǎng)絡空間數(shù)據(jù)資產(chǎn)的保護秩序,法律僅提供補充性救濟措施,從而實現(xiàn)網(wǎng)絡空間訪問自由和企業(yè)創(chuàng)新投資利益之間的平衡。
四、美國法大數(shù)據(jù)保護的內在機理與制度啟示
如前所述,伴隨著數(shù)據(jù)成為一類新的生產(chǎn)要素,而產(chǎn)生了對企業(yè)數(shù)據(jù)財產(chǎn)利益和數(shù)據(jù)安全利益保護的制度需求。安全利益通常指的是保護主體對資產(chǎn)(如貨物、設備、建筑物、土地等,在某些情況下還包括人身)的控制和利用不受威脅,數(shù)據(jù)安全指的是確保數(shù)據(jù)與之主體關系的穩(wěn)定性,包括主體對數(shù)據(jù)的控制、占有、利用狀態(tài)的穩(wěn)定,要求防止他人刪除、篡改、竊取數(shù)據(jù),確保數(shù)據(jù)的機密性、可用性和完整性,要求相關人員在需要時數(shù)據(jù)準確、可用,同時也避免他人通過數(shù)據(jù)利用行為對現(xiàn)實安全秩序的破壞。財產(chǎn)利益在一般意義上指的是個人通過對資產(chǎn)的利用或者交易而直接或間接獲得其價值的能力;數(shù)據(jù)財產(chǎn)利益指的是數(shù)據(jù)生成和投資者對其數(shù)據(jù)分析、利用以及交易可以實現(xiàn)的經(jīng)濟利益。二者保護密切相關,在傳統(tǒng)有體財產(chǎn)保護之中,安全利益與財產(chǎn)利益的保護具有一致性,物權法上的所有權系對標的物全面支配之物權,通過賦予所有權人對標的物的占有、使用、收益、處分的權能,排除他人對其動產(chǎn)或不動產(chǎn)的干涉,通過對物之占有即權利人對物排他性控制和利用的保護,既可以實現(xiàn)對其安全利益的保障,也可以保障物之上財產(chǎn)利益的實現(xiàn)。在信息財產(chǎn)保護中,兩種利益保護卻面臨著一定程度的疏離,由于信息具有非競爭、非排他、費易耗的公共物品特性,對他人付出投資創(chuàng)造的有價值信息,有必要保護其產(chǎn)權而避免市場失靈,但傳統(tǒng)物權法保護方式卻難以直接適用于信息領域,因為在傳統(tǒng)信息傳播環(huán)境下,信息一經(jīng)公開便“不脛而走”失去控制,可由多數(shù)人在不同時間、地點獲得并利用,故除了少數(shù)秘密信息之外,難以通過保護主體對其信息的占有而保護其財產(chǎn)利益。因此,知識產(chǎn)權法對于信息財產(chǎn)一般采取“客體共享,利益排他”的模式,即區(qū)別于傳統(tǒng)物權基于有體物的天然排他性而保障其財產(chǎn)利益,而是將信息的占有與收益、使用、處分權能相分離,允許信息在全社會傳播、共享,同時就信息的商業(yè)化利用方式設定一系列法定排他權利,使得權利人獨占信息商業(yè)化利用的經(jīng)濟利益。就信息安全法益,即相關主體對其信息控制、利用的穩(wěn)定狀態(tài),則需要建立獨立和專門的制度保護,例如,對個人隱私、個人信息、商業(yè)秘密、國家秘密以及計算機信息的保護等。
在大數(shù)據(jù)保護立法中,我國目前也遵循著數(shù)據(jù)安全法益與財產(chǎn)利益二分的制度建構路徑,《數(shù)據(jù)安全法》保障主體對其數(shù)據(jù)控制、利用的穩(wěn)定狀態(tài),防止他人對數(shù)據(jù)的竊取、篡改、刪除等行為;同時,立法實踐正探索建立專門的數(shù)據(jù)財產(chǎn)保護制度。通過考察美國法實踐可發(fā)現(xiàn),其并未設置專門財產(chǎn)權或知識產(chǎn)權制度保護企業(yè)數(shù)據(jù)財產(chǎn)權益,而是回歸到傳統(tǒng)財產(chǎn)法的框架下對數(shù)據(jù)加以保護,基于數(shù)據(jù)主體對其數(shù)據(jù)在事實上的控制,禁止他人“未經(jīng)授權”和“超出授權”的網(wǎng)絡訪問和數(shù)據(jù)處理行為,在同一制度體系下實現(xiàn)數(shù)據(jù)安全法益和數(shù)據(jù)財產(chǎn)利益的協(xié)調和周延保護,完成了大數(shù)據(jù)保護法律秩序的構造。這為大數(shù)據(jù)保護提供了新的路徑可能,通過對“未經(jīng)授權”和“超出授權”網(wǎng)絡訪問行為的禁止和處罰,首先可禁止他人未經(jīng)允許的數(shù)據(jù)獲取、修改和刪除而保障數(shù)據(jù)安全;存在疑問的是,從傳統(tǒng)經(jīng)驗來看,由于信息具有一經(jīng)公開便失去控制的特性,僅通過類似于傳統(tǒng)財產(chǎn)法的方式能否充分保護數(shù)據(jù)收集者的財產(chǎn)利益?該路徑對我國大數(shù)據(jù)保護是否具有可借鑒性及如何借鑒?現(xiàn)具體分析如下。
(一)網(wǎng)絡安全視角下保護大數(shù)據(jù)的內在機理
在經(jīng)濟學視角下,對企業(yè)數(shù)據(jù)財產(chǎn)利益提供法律保護的正當性基礎在于,由于信息生產(chǎn)的高成本、復制的低成本、非排他性占有特點,如果在完全自由市場條件下會存在信息利用的搭便車和外部性問題,從而導致信息生產(chǎn)的市場失靈,故有必要建立產(chǎn)權保護恢復市場運行從而實現(xiàn)創(chuàng)新資源配置的最優(yōu)。在傳統(tǒng)物理世界中,信息要通過紙質書本等有形載體進行傳播,一旦公開傳播或載體轉移信息將不脛而走而成為社會共識,創(chuàng)造者將失去對信息的控制,故而需要設立法定的知識產(chǎn)權排除他人未經(jīng)許可對信息的傳播和利用行為,在信息由全社會共享的前提下,由創(chuàng)造者獨占信息的商業(yè)化利益。美國法類推有體動產(chǎn)和不動產(chǎn)的保護方式保護數(shù)據(jù)等信息財產(chǎn),并未采取傳統(tǒng)知識產(chǎn)權“客體共享,利益排他”的模式,根本原因在于,網(wǎng)絡信息技術發(fā)展導致了信息傳播方式的改變,企業(yè)對于信息的控制能力在不斷增強,信息一經(jīng)公開即不脛而走的“共識性”特點發(fā)生了變化,從而可以類推有體財產(chǎn)的制度模式保護信息財產(chǎn),實現(xiàn)安全法益與財產(chǎn)利益保障的一致性。具體而言,這種轉變主要體現(xiàn)在以下兩個方面:
第一,信息傳播由“商品范式”轉向“服務范式”,逐漸與物理載體相脫離而轉向網(wǎng)絡空間訪問為中心。傳統(tǒng)上信息傳播依靠有形載體的移轉加以實現(xiàn),伴隨著技術發(fā)展信息存儲、傳遞的成本不斷降低,直到計算機和互聯(lián)網(wǎng)技術的出現(xiàn),網(wǎng)絡空間的非競爭性且低成本、不受時間、物理距離限制的訪問形式,使得信息傳播可以完全不依靠有形載體移轉,內容提供者可以在其網(wǎng)絡空間內集中提供和傳播其信息,信息傳播由商品交易轉變?yōu)榫W(wǎng)絡空間訪問的服務提供信息接收者或購買者購買到的是網(wǎng)絡空間的訪問權限,在其中其可以接觸利用特定信息或者計算能力。如在大數(shù)據(jù)交易中,其與傳統(tǒng)的發(fā)行圖書、CD、計算機軟件等不同,往往不是直接的數(shù)據(jù)文件/產(chǎn)品轉讓,而是作為一種服務向他人提供數(shù)據(jù)庫訪問的權限,例如,數(shù)據(jù)分析服務、數(shù)據(jù)庫服務、原始數(shù)據(jù)服務。兩種傳播形式的核心區(qū)別在于,類似于物的占有,如果進行信息產(chǎn)品的交易,同時也轉移了對信息的事實控制(如載體轉讓后他人可對圖書、CD進行復制,對計算機軟件可以進行反編譯),產(chǎn)品購買者原則上永久性地獲得了對信息的控制權并可無限轉讓;在服務范式下,數(shù)據(jù)庫訪問權的授予并不帶來對數(shù)據(jù)控制的實質轉移,網(wǎng)絡空間所有者可以通過對網(wǎng)絡空間訪問的控制來實現(xiàn)對信息傳播利用的控制。
第二,計算機系統(tǒng)的所有者可以在網(wǎng)絡空間中以代碼設置用戶行為規(guī)則,建立信息財產(chǎn)流轉、利用的“私人秩序”。在傳統(tǒng)信息傳播環(huán)境下,信息是人與人之間、就語義信息進行的直接傳遞,但伴隨著信息傳播對于信息網(wǎng)絡的依賴性逐漸增強,人與人之間的信息傳遞首先以計算機傳遞為媒介,一些信息其接收和處理主體已經(jīng)不再是人,例如,軟件、大數(shù)據(jù)集合等首先經(jīng)過機器處理過濾之后再傳遞給人。對于計算機的訪問,互聯(lián)網(wǎng)空間的架構或預設環(huán)境決定著訪問者的行為方式,企業(yè)可以通過代碼設定劃分不同網(wǎng)絡空間,決定人夠在其中能夠做什么、不能夠做什么,故有學者稱之為“代碼即法律”。這種變化導致企業(yè)可通過代碼設置建立對信息傳播的事實控制,并不因信息公開或傳播而失去其控制,因此,美國學者勞倫斯·萊斯格評價,“在網(wǎng)絡空間中,代碼能夠取代法律成為保護知識產(chǎn)權的主要武器,而且它的作用越來越大。這是一種私人的防護,而非國家法律的保護。”
在此社會現(xiàn)實基礎上,法律對于信息之上財產(chǎn)利益的保護已不再必要去抽象地界定信息歸屬、設定新權利類型、劃定權利邊界,而是通過構建安全可靠的網(wǎng)絡環(huán)境,保護企業(yè)對其網(wǎng)絡空間的排他性控制,即可有效保護企業(yè)對信息的事實產(chǎn)權,實現(xiàn)避免市場失靈、促進市場競爭之目的。由于數(shù)據(jù)收集、利用、交易基本完全在信息網(wǎng)絡環(huán)境下進行,大數(shù)據(jù)保護尤其遵循著這一規(guī)律,現(xiàn)實中企業(yè)所創(chuàng)造或收集的數(shù)據(jù)在絕大多數(shù)情形下處于企業(yè)的實際控制之下,數(shù)據(jù)在被生成、收集之后,首先存儲在企業(yè)服務器之中并由企業(yè)進行獨占性控制,企業(yè)根據(jù)商業(yè)模式不同,其可以選擇不對外開放進行獨占性利用,或通過開放應用程序接口有限公開利用,或完全公開由公眾自由訪問其內容但通過代碼措施限制數(shù)據(jù)爬取。在此基礎上,對網(wǎng)絡空間通過類似于有體財產(chǎn)的方式加以保護,禁止“未經(jīng)授權”“超出授權”的訪問行為,即可以實現(xiàn)企業(yè)對其數(shù)據(jù)的排他性控制和利用,實現(xiàn)產(chǎn)權保護、創(chuàng)新激勵之目標。
對比設立新的知識產(chǎn)權或者數(shù)據(jù)財產(chǎn)權模式,美國法通過保護計算機系統(tǒng)安全而禁止未經(jīng)許可的訪問和信息獲取行為,不僅僅可以實現(xiàn)對企業(yè)數(shù)據(jù)投資利益的有效保護,可實現(xiàn)傳統(tǒng)知識產(chǎn)權法避免市場失靈的制度目標,同時具有效率上的優(yōu)勢:首先,如果設置一項新的財產(chǎn)權或知識產(chǎn)權,必須清晰地界定其保護客體和范圍,但大數(shù)據(jù)集合往往具有動態(tài)性和不斷變化的特點,一般公眾很難明確了解其保護的實質內容所在而明確其權利邊界,如在歐盟數(shù)據(jù)庫特別權利對數(shù)據(jù)庫的保護中即面臨著此問題;根據(jù)企業(yè)對于數(shù)據(jù)的事實控制提供法律上的補充保護,其保護的前提是企業(yè)通過代碼等方式明確訪問限制,將受保護數(shù)據(jù)區(qū)別于公眾可自由獲取數(shù)據(jù)而對外公示其保護范圍,更加具有法律上的確定性而降低交易成本。其次,大數(shù)據(jù)保護現(xiàn)實中,企業(yè)首先通過技術措施等方式對其數(shù)據(jù)采取一定的私力保護措施,區(qū)別于公共立法保護,直接相關的私人主體通常能更加準確地反映其保護需求,存在一定界權成本的限制下,其會謹慎地根據(jù)業(yè)務競爭需要準確地選擇數(shù)據(jù)客體范圍甚至訪問對象施加技術措施保護,其他的則貢獻給公眾自由獲取,并且其可以更加靈活隨時選擇保護或者放棄產(chǎn)權。如果在企業(yè)的私人保護措施之上構建新的法定權利,新的法定權利“一刀切”式的保護,可能會導致企業(yè)私人保護秩序與法定秩序的重疊,即原來數(shù)據(jù)控制者放棄保護進入共有領域數(shù)據(jù)重新進入其排他性范圍;美國法以一種對現(xiàn)實交易秩序侵入性更弱的方式,即以法律維護企業(yè)通過技術措施建立的私人秩序,避免了通過法定權利進一步擴大數(shù)據(jù)主體的排他性范圍而壓縮公共創(chuàng)新空間。因此,這一路徑不僅并未導致對企業(yè)財產(chǎn)利益的保護不足,而恰恰證明了數(shù)據(jù)安全保障與投資利益保護的調和一致可能性,以及基于私人控制措施提供法律保護的效率優(yōu)勢,這為傳統(tǒng)權利進路之外為網(wǎng)絡空間中信息財產(chǎn)保護提供了新的范式。
此外,從全球競爭的視角出發(fā),如果將數(shù)據(jù)作為一類知識產(chǎn)權保護,則必然要受知識產(chǎn)權地域性限制,其權利效力僅及于本國邊界之內。在網(wǎng)絡安全法下,美國《計算機欺詐與濫用法》不僅保護美國境內計算機,還包括一切位于境外但影響其商業(yè)或通訊的計算機。我國《數(shù)據(jù)安全法》也明確賦予了該法的域外效力,其第2條第2款規(guī)定:“在中華人民共和國境外開展數(shù)據(jù)處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。”在數(shù)據(jù)全球化以及美歐不斷擴張其長臂管轄的背景下,將數(shù)據(jù)保護定位于數(shù)據(jù)安全法之下也更有利于維護國家利益。
(二)大數(shù)據(jù)保護制度建構路徑選擇
借鑒美國法經(jīng)驗,數(shù)據(jù)財產(chǎn)權益保障并非必然要采取設立新型財產(chǎn)權或知識產(chǎn)權的模式,我國可擱置當前數(shù)據(jù)歸屬和界權的爭論,在《數(shù)據(jù)安全法》安全保護的立法邏輯之下,保護主體與其數(shù)據(jù)之間的穩(wěn)定關系,同時實現(xiàn)對于企業(yè)數(shù)據(jù)財產(chǎn)利益和市場競爭秩序的維護。具體而言,可以對《數(shù)據(jù)安全法》第32條“竊取或者以其他非法方式獲取數(shù)據(jù)”進行具體界定而完成大數(shù)據(jù)保護法律秩序的構建,存在兩種路徑可供選擇:
第一,借鑒美國法方式,排除未經(jīng)授權的計算機系統(tǒng)訪問行為。與美國法類似,我國法上也規(guī)定了對于網(wǎng)絡安全、計算機系統(tǒng)的法律保護,我國《刑法》第285、286條專門規(guī)定了非法侵入計算機信息系統(tǒng)罪、非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪和破壞計算機信息系統(tǒng)罪,對非法侵入計算機系統(tǒng)、獲取數(shù)據(jù)以及嚴重干擾計算機系統(tǒng)運行的嚴重行為進行刑事處罰。但民事立法上卻缺乏對于計算機系統(tǒng)所有者民事權益的承認和保護制度,在理論探討中,由于“網(wǎng)絡經(jīng)濟聯(lián)系中的經(jīng)濟組織形式已開始脫離傳統(tǒng)的單個商品和市場交易這樣的概念而形成新的組織形式,商品和服務的概念在變得模糊,企業(yè)通過代碼技術形成代碼空間,將自己的商品、服務、勞動、智慧以及創(chuàng)意等綜合在一起形成新的社會供給而不斷和實時地提供給社會,代碼空間已經(jīng)成為社會成員相互組織和配合的重要媒介”,有學者主張設置為一種新型民事權利“代碼空間權”,禁止他人非法侵入代碼空間、破壞代碼空間規(guī)范秩序的行為,從而實現(xiàn)對其內部虛擬財產(chǎn)的保護。比較法上,如德國法雖然并未專門規(guī)定計算機系統(tǒng)所有者的權利,德國法院基于《民法典》第858條和第1004條規(guī)定的占有和所有權的保護,發(fā)展出了不動產(chǎn)所有人和占有人對其不動產(chǎn)的“家宅權”(Hausrecht),類比于此,司法實踐中也廣泛承認網(wǎng)站所有者、占有者對其網(wǎng)絡虛擬空間的“虛擬家宅權”(virtuelles Hausrecht),實現(xiàn)對其網(wǎng)站訪問和內部秩序的管理。我國法上,也可以基于物權法上占有和所有權保護,從解釋論的角度構建“代碼空間權”或“虛擬家宅權”,允許計算機系統(tǒng)所有者排除他人未經(jīng)授權、超出授權的訪問行為,對于任何未經(jīng)授權、超出授權獲取數(shù)據(jù)的行為可解釋為《數(shù)據(jù)安全法》第32條禁止的“竊取或者以其他非法方式獲取數(shù)據(jù)”的行為加以規(guī)制。
第二,建立專門數(shù)據(jù)保護制度,保護企業(yè)對數(shù)據(jù)事實上的控制。如前所述,在美國法上,對于計算機系統(tǒng)的寬泛保護可能會使得訪問者動輒得咎,限制網(wǎng)絡空間自由訪問而對現(xiàn)實交易秩序產(chǎn)生過度沖擊,這也導致了《計算機欺詐與濫用法》實施的廣泛爭議。相對保守的制度方案是,并不設置所有者或占有者對其計算機系統(tǒng)的一般性權利,而僅基于當前數(shù)據(jù)保護的現(xiàn)實需求,保護企業(yè)對其數(shù)據(jù)事實上的控制,在保護企業(yè)數(shù)據(jù)產(chǎn)權的同時將公眾自由限制最小化。比較法中,2018年日本《不正當競爭防止法》修改針對大數(shù)據(jù)確立了“限定提供數(shù)據(jù)”保護制度,其借鑒了美國法上的規(guī)制邏輯而構建了一種“類商業(yè)秘密制度”,對以電磁方式控制向有限對象提供、累積到一定價值規(guī)模的數(shù)據(jù),禁止他人未經(jīng)允許的獲取、利用、公開行為;緊隨其后,2021年韓國《反不正當競爭及保護商業(yè)秘密法》也作出了基本相同的制度安排。日韓的數(shù)據(jù)保護專門立法雖然與美國法直接規(guī)制對象不同,但規(guī)制手段和保護范圍卻并不存在實質上差異,即均根據(jù)企業(yè)代碼控制措施界定保護范圍,保護企業(yè)對其數(shù)據(jù)控制、利用的穩(wěn)定狀態(tài),排除未經(jīng)許可的數(shù)據(jù)獲取、利用、公開行為。
借鑒該模式,我國未來可通過法律解釋或者立法專門規(guī)定的形式對“竊取或者以其他非法方式獲取數(shù)據(jù)”的內涵加以明確,對他人通過合法方式收集并加以控制的數(shù)據(jù),禁止他人未經(jīng)許可的獲取、利用和公開行為,否則即為“竊取或者以其他非法方式獲取數(shù)據(jù)”。參考日本和韓國反不正當競爭法,他人控制之下的受保護數(shù)據(jù),指的是通過技術手段控制而僅向特定主體提供、具有相當數(shù)量累積而產(chǎn)生獨立分析和利用價值的數(shù)據(jù),其所禁止行為應當包括他人未經(jīng)授權進行訪問而獲取、利用、公開相關數(shù)據(jù),他人超出授權利用、公開相關數(shù)據(jù),以及第三人明知存在前述違法情形繼續(xù)獲取、利用、公開相關數(shù)據(jù)的行為。以此方式可以實現(xiàn)對企業(yè)數(shù)據(jù)安全法益和財產(chǎn)法益保護的兼顧和協(xié)調,在保護企業(yè)對企業(yè)數(shù)據(jù)控制利用穩(wěn)定狀態(tài)的同時,維護數(shù)字市場的良性競爭和運轉。
作者:張浩然,中國社會科學院法學研究所助理研究員、中國社會科學院知識產(chǎn)權中心研究員。
來源:《法律適用》2022年第9期。