企業(yè)數(shù)據(jù)交易的法律規(guī)定和風(fēng)險防范

萬玲娣

2020年10月21日，全國人大常委會法工委公開就《中華人民共和國個人信息保護(hù)法（草案）》（以下簡稱個人信息保護(hù)法草案）征求意見，在我國個人數(shù)據(jù)保護(hù)方面踏出了堅實一步，其對于個人信息處理者的義務(wù)規(guī)定，可視作對企業(yè)數(shù)據(jù)安全保護(hù)及交易的法律規(guī)定。2020年12月28日，廣東深圳市六屆人大常委會第四十六次會議首次審議了《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)暫行條例（草案）》，這是我國首部數(shù)據(jù)領(lǐng)域的綜合性專門立法，首次提出“數(shù)據(jù)權(quán)益”保護(hù)，并明確數(shù)據(jù)要素市場主體以其合法收集的數(shù)據(jù)和自身生成的數(shù)據(jù)為基礎(chǔ)開發(fā)的數(shù)據(jù)產(chǎn)品的財產(chǎn)權(quán)益受法律、法規(guī)和本條例的保護(hù)。2021年3月15日，市場監(jiān)管總局主動作為制定出臺《網(wǎng)絡(luò)交易監(jiān)督管理辦法》（以下簡稱辦法），并于2021年5月1日正式實施，辦法是貫徹落實《中華人民共和國電子商務(wù)法》的重要部門規(guī)章，對相關(guān)法律規(guī)定進(jìn)行細(xì)化完善，再次明確網(wǎng)絡(luò)交易者對個人信息收集、使用的基本原則。近期國家與地方政府、相關(guān)委辦局密切出臺有關(guān)數(shù)據(jù)或信息領(lǐng)域方面的法律，一方面是對個人信息受到侵害現(xiàn)象的重視，另一方面也是提醒相關(guān)企業(yè)在數(shù)據(jù)收集、應(yīng)用、交易方面應(yīng)遵循法律規(guī)定。

第一，數(shù)據(jù)初次收集時的注意事項

一是在收集、使用數(shù)據(jù)程序上符合法律規(guī)定。個人信息保護(hù)法草案第十三條的核心條款，明確了個人信息處理者處理個人信息的前置條件;《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱網(wǎng)絡(luò)安全法）明確具有收集用戶信息功能的網(wǎng)絡(luò)產(chǎn)品、服務(wù)，以及網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，均應(yīng)征得信息提供者的明示。據(jù)此，企業(yè)要履行告知義務(wù)，提供數(shù)據(jù)主體選擇與訪問權(quán)。20多年來，“告知”本質(zhì)上一直都是全球所有隱私法律、規(guī)章和準(zhǔn)則的核心，現(xiàn)在“告知”進(jìn)一步明確為需經(jīng)個人信息提供者同意。企業(yè)應(yīng)告知數(shù)據(jù)主體包括且不限于以下內(nèi)容：收集數(shù)據(jù)的企業(yè)名稱，收集數(shù)據(jù)的原因，數(shù)據(jù)的使用方向，數(shù)據(jù)二次使用的可能用途，所收集數(shù)據(jù)的性質(zhì)及收集方式，提供請求數(shù)據(jù)屬于自愿還是強(qiáng)制的，以及拒絕提供請求信息的后果，機(jī)構(gòu)為確保數(shù)據(jù)的機(jī)密、完整和質(zhì)量而采取的措施。同時要為數(shù)據(jù)主體訪問其數(shù)據(jù)提供便利，如數(shù)據(jù)主體有權(quán)查詢、閱覽、復(fù)制數(shù)據(jù)控制者所持有其個人數(shù)據(jù)的權(quán)利。對于個人數(shù)據(jù)不正確、不完整的部分，數(shù)據(jù)主體可以要求刪除、更正、補(bǔ)充。

二是在收集、使用數(shù)據(jù)實體上符合法律規(guī)定。網(wǎng)絡(luò)安全法及辦法均規(guī)定，網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息。同時辦法第十三條進(jìn)一步規(guī)定，“網(wǎng)絡(luò)交易經(jīng)營者不得采用一次概括授權(quán)、默認(rèn)授權(quán)、與其他授權(quán)捆綁、停止安裝使用等方式，強(qiáng)迫或者變相強(qiáng)迫消費(fèi)者同意收集、使用與經(jīng)營活動無直接關(guān)系的信息。收集、使用個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等敏感信息的，應(yīng)當(dāng)逐項取得消費(fèi)者同意”。對于數(shù)據(jù)收集、使用的實體內(nèi)容符合該原則，需要企業(yè)綜合考量商業(yè)目的、業(yè)務(wù)范圍，采取有限收集原則， 而不是越多越好。在考量商業(yè)目的時，不僅要對初次使用數(shù)據(jù)的目的有清醒認(rèn)識，還要考量數(shù)據(jù)的二次使用或后續(xù)使用可能，對數(shù)據(jù)使用范圍與數(shù)據(jù)主體提供范圍進(jìn)行比對。在制定大數(shù)據(jù)的使用機(jī)制時，企業(yè)要注意記錄并保存分析過程的程序，在遇到法律糾紛時作為證明商業(yè)目的的輔助證據(jù)。

第二，數(shù)據(jù)二次使用時應(yīng)履行的程序

最高院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第三條第二項規(guī)定，“未經(jīng)被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規(guī)定的‘提供公民個人信息，但是經(jīng)過處理無法識別特定個人且不能復(fù)原的除外”。個人信息保護(hù)法草案第二十四條規(guī)定，“個人信息處理者向第三方提供其處理的個人信息的，應(yīng)當(dāng)向個人告知第三方的身份、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨(dú)同意。接收個人信息的第三方應(yīng)當(dāng)在上述處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息。第三方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新向個人告知并取得其同意”。根據(jù)這些規(guī)定，如企業(yè)將合法收集的數(shù)據(jù)用于銷售或許可他人使用時，需滿足下列兩項條件中的一項：第一種情況，企業(yè)二次使用從數(shù)據(jù)主體處獲得的數(shù)據(jù)，如在初次收集時未獲得數(shù)據(jù)主體許可，或使用范圍超出數(shù)據(jù)主體初次許可使用范圍，則在該數(shù)據(jù)銷售或許可他人使用之前，應(yīng)征得數(shù)據(jù)主體的同意。第二種情況，在數(shù)據(jù)二次使用時，對數(shù)據(jù)進(jìn)行匿名化處理。企業(yè)可以根據(jù)收集的數(shù)據(jù)性質(zhì)、種類、規(guī)模，通過技術(shù)手段進(jìn)行匿名化處理，以避免個人信息的泄露。當(dāng)然，該種方式必然會增加數(shù)據(jù)交易的成本，同時依賴于數(shù)據(jù)匿名化技術(shù)的發(fā)展，使用或交易數(shù)據(jù)的雙方應(yīng)對數(shù)據(jù)匿名化的程序、責(zé)任、費(fèi)用承擔(dān)方式等予以明確約定，以避免法律風(fēng)險的發(fā)生。

第三，數(shù)據(jù)交易或許可使用時的必經(jīng)程序

在討論數(shù)據(jù)初次及二次收集、使用時應(yīng)注意的問題后，筆者需提醒企業(yè)在數(shù)據(jù)交易或許可使用時的另一風(fēng)險點(diǎn)，即在做好企業(yè)自身對個人信息安全保護(hù)義務(wù)的同時，應(yīng)關(guān)注交易方或許可使用方使用數(shù)據(jù)的目的。根據(jù)最高院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第五條規(guī)定，“出售或者提供行蹤軌跡信息，被他人用于犯罪的;知道或者應(yīng)當(dāng)知道他人利用公民個人信息實施犯罪，向其出售或者提供的”，應(yīng)當(dāng)認(rèn)定為刑法第二百五十三條之一規(guī)定的“情節(jié)嚴(yán)重”，第六條對“為合法經(jīng)營活動而非法購買”、收受個人信息情節(jié)嚴(yán)重的情形進(jìn)行了規(guī)定。由于上述兩條的規(guī)定，數(shù)據(jù)交易的提供方或許可使用的許可方為避免數(shù)據(jù)交易后或許可使用后可能被追究的刑事責(zé)任，在作出交易或許可行為前，應(yīng)對交易方或被許可方進(jìn)行盡職調(diào)查，以確保對方在違反法律規(guī)定時，自身處于合法狀態(tài)。盡職調(diào)查的內(nèi)容包括并不限于：數(shù)據(jù)交易方的業(yè)務(wù)范圍、本次交易的商業(yè)目的、數(shù)據(jù)用途、數(shù)據(jù)匿名化的方式與手段、保護(hù)信息安全的途徑等。

第四，運(yùn)用知識產(chǎn)權(quán)、商業(yè)秘密及反不正當(dāng)競爭方面的法律規(guī)定保護(hù)企業(yè)數(shù)據(jù)

在大數(shù)據(jù)領(lǐng)域，其對數(shù)據(jù)收集的趨勢會更大、更全，且行業(yè)將更趨于使用統(tǒng)一的標(biāo)準(zhǔn)或規(guī)則對同一類型的數(shù)據(jù)進(jìn)行整合，要求企業(yè)在數(shù)據(jù)收集的過程中體現(xiàn)企業(yè)選擇、匯編數(shù)據(jù)的獨(dú)創(chuàng)性，顯然是不符合行業(yè)發(fā)展的趨勢。同時，著作權(quán)法只對其獨(dú)創(chuàng)性的選擇或編排的表達(dá)進(jìn)行保護(hù)，而非其選擇或編排的內(nèi)容，侵權(quán)者很容易通過改變數(shù)據(jù)信息的編排結(jié)構(gòu)來規(guī)避法律，這就會使對數(shù)據(jù)信息的保護(hù)失去意義。因此依據(jù)著作權(quán)法對于選擇和編排上有獨(dú)創(chuàng)性的數(shù)據(jù)庫或數(shù)據(jù)集，可以將其視作匯編作品進(jìn)行保護(hù);對于企業(yè)投資人力、物力、財力匯編的無獨(dú)創(chuàng)性作品，可依據(jù)鄰接權(quán)進(jìn)行保護(hù)。

根據(jù)專利法的保護(hù)范疇，企業(yè)數(shù)據(jù)往往涉及商業(yè)方法（模式）、特定算法、計算機(jī)軟件等，單純的商業(yè)運(yùn)作方法顯然不具備可專利性，但通過軟件、硬件與網(wǎng)絡(luò)結(jié)合的系統(tǒng)解決一定的技術(shù)問題，具有鮮明的技術(shù)屬性，按照《專利審查指南（2020）》第二部分第九章關(guān)于涉及計算機(jī)程序的發(fā)明專利申請審查的若干規(guī)定進(jìn)行判斷，可授予方法專利（復(fù)雜系統(tǒng)專利）。

對于在實踐中無法獲得知識產(chǎn)權(quán)法保護(hù)的具有商業(yè)價值的大數(shù)據(jù)產(chǎn)品，筆者認(rèn)為，在目前的法律框架內(nèi)，可以作為商業(yè)秘密進(jìn)行保護(hù)。數(shù)據(jù)企業(yè)可以將產(chǎn)品納入企業(yè)商業(yè)秘密范疇，履行反不正當(dāng)競爭法對商業(yè)秘密進(jìn)行保護(hù)的要求，享受反不正當(dāng)競爭法對企業(yè)的大數(shù)據(jù)產(chǎn)品進(jìn)行保護(hù)的權(quán)利。同時在交易合同中明確揭示數(shù)據(jù)產(chǎn)品商業(yè)秘密的屬性，對交易方提出保守商業(yè)秘密的要求，借以實現(xiàn)數(shù)據(jù)產(chǎn)品的交易。

當(dāng)前，企業(yè)數(shù)據(jù)的法律問題因立法的空白與實踐需求的矛盾，正在理論學(xué)界掀起熱議，各種觀點(diǎn)、各種意見與建議正通過各種論壇、研討會不斷涌現(xiàn)，作為在實務(wù)領(lǐng)域工作的律師，迫切希望中國的數(shù)據(jù)立法能加快步伐，適應(yīng)不斷發(fā)展變化的實踐需求。

（作者系上海市捷華律師事務(wù)所律師、上海市法治研究會副秘書長）