就以上两种制度路径选择,在当前我国尚缺乏数据治理和制度建设经验的前提下,可寻求比较法实践作为参考。数据保护不仅仅是国内法议题,伴随着数字贸易逐渐成为全球贸易新的重点,其也成为了新一轮国际贸易规则制定的焦点问题,国际交往需求和国家利益保障也是大数据保护制度构建需考量的重要维度。2020年9月,中国向世界各国提出了《全球数据安全倡议》;11月22日,习近平总书记出席二十国集团领导人第十五次峰会提出“中方愿同各方探讨并制定全球治理规则”。我国大数据保护路径选择,应考量和顺应全球大数据保护立法趋势,以促进全球共识之达成,乃至引领全球立法趋势,从而保护我国在全球数字贸易中的核心利益。故有必要考察比较法上大数据保护的制度逻辑和保护模式,而为我国提供借鉴和启示。
二、大数据的知识产权法保护
“数据”,《数据安全法》第3条第1款将其定义为“任何以电子或其他方式对信息的记录”,即信息的机器可读形式。所谓“大数据”(BigData),指的是以高容量、多样性、高速率为特征的大规模数据集合,其本质上仍然是一种信息的体现形式。知识产权的客体是信息,相较于传统有体财产,无体性的信息财产主要可通过知识产权制度加以保护。故对新出现的大数据集合,首先可以通过知识产权制度加以保护。
(二)盗用侵权
对大数据集合,还可通过反不正当竞争法中的盗用侵权规则加以保护,我国学者也有在借鉴美国法上的盗用侵权规则在《反不正当竞争法》中引入盗用条款调整数据纠纷的建议,然而,盗用侵权的适用在大数据领域却受严格条件限制。
(三)商业秘密保护
三、大数据的普通法保护
在知识产权制度难以为大数据集合提供专门保护的前提下,美国法并未试图积极设立新的的知识产权或财产权,而是尝试“旧瓶装新酒”,通过解释或类比的方式将计算机系统或者网站容纳于传统动产(Chattels)或不动产(Land)的内涵之下,以传统财产法对计算机系统以及其存储的数据信息加以保护。将传统财产法适用于计算机系统以及网络虚拟空间,首先面临着分类上的困难,其属于财产法上的不动产(Land)或动产(Chattel)本身具有争议性,如果仅仅从其载体(计算机硬件或服务器)来看其应当属于动产,对于有具体地址路径的虚拟空间而言其又具有不动产不能移动、不可灭失属性。因此,美国法上分别曾通过侵犯动产(Trespasstochattels)及类推入侵土地(Trespasstochattels)建立的入侵计算机(Computertrespass)制度两种方式对网络虚拟空间及其内部数据提供保护。
(一)侵害动产
然而,该原则广泛适用却可能导致默认自由开放的公共网络空间转向私有和封闭化,从而限制用户自由访问和信息传播。因此,2003年加州最高法院在Intelv.Hamidi案中推翻了eBay案的在先判例,重新对于侵犯动产中损害的含义进行了澄清,即侵害动产成立是对动产价值造成损害,原告必须证明对于计算机系统网络的物理功能存在实际干扰,或者未来出现干扰的可能性。在技术层面,伴随着服务器承载力和网络带宽的发展,通过用户访问或者网络爬虫对于计算机系统网络的物理功能产生的实际损害往往微乎其微且难以证明,这使得实践中网站所有者难以援引该诉由排除他人对其网络空间的访问而实现数据保护的目的。
(二)类推入侵土地——入侵计算机系统
除侵害动产之外,美国法上还将计算机系统或网络虚拟空间类比于不动产加以保护。与侵害动产不同的是,普通法对不动产通过入侵土地之诉加以保护,入侵土地属于本身可诉的侵权,原告无需证明存在具体的损害事实,即被告本身或者故意导致某一物体进入原告占有的土地,即构成侵权。面对计算机和互联网技术出现后的黑克入侵行为,类推入侵土地制度,美国法上构建起了其网络安全制度,赋予了计算机系统所有者对其虚拟空间的排他性权利,并延及对其内部存储信息的保护,这也为当下大数据保护提供了制度基础。
综上所述,美国法上CFAA成为了企业维护网络空间秩序和保护数据资产的主要法律依据,面对数字时代的法律挑战,其并未寻求构建新的财产权,而是以普通法上入侵土地制度为基础,允许企业通过代码措施自我构建和界定其网络空间数据资产的保护秩序,法律仅提供补充性救济措施,从而实现网络空间访问自由和企业创新投资利益之间的平衡。
四、美国法大数据保护的内在机理与制度启示
(一)网络安全视角下保护大数据的内在机理
在经济学视角下,对企业数据财产利益提供法律保护的正当性基础在于,由于信息生产的高成本、复制的低成本、非排他性占有特点,如果在完全自由市场条件下会存在信息利用的搭便车和外部性问题,从而导致信息生产的市场失灵,故有必要建立产权保护恢复市场运行从而实现创新资源配置的最优。在传统物理世界中,信息要通过纸质书本等有形载体进行传播,一旦公开传播或载体转移信息将不胫而走而成为社会共识,创造者将失去对信息的控制,故而需要设立法定的知识产权排除他人未经许可对信息的传播和利用行为,在信息由全社会共享的前提下,由创造者独占信息的商业化利益。美国法类推有体动产和不动产的保护方式保护数据等信息财产,并未采取传统知识产权“客体共享,利益排他”的模式,根本原因在于,网络信息技术发展导致了信息传播方式的改变,企业对于信息的控制能力在不断增强,信息一经公开即不胫而走的“共识性”特点发生了变化,从而可以类推有体财产的制度模式保护信息财产,实现安全法益与财产利益保障的一致性。具体而言,这种转变主要体现在以下两个方面:
第二,计算机系统的所有者可以在网络空间中以代码设置用户行为规则,建立信息财产流转、利用的“私人秩序”。在传统信息传播环境下,信息是人与人之间、就语义信息进行的直接传递,但伴随着信息传播对于信息网络的依赖性逐渐增强,人与人之间的信息传递首先以计算机传递为媒介,一些信息其接收和处理主体已经不再是人,例如,软件、大数据集合等首先经过机器处理过滤之后再传递给人。对于计算机的访问,互联网空间的架构或预设环境决定着访问者的行为方式,企业可以通过代码设定划分不同网络空间,决定人够在其中能够做什么、不能够做什么,故有学者称之为“代码即法律”。这种变化导致企业可通过代码设置建立对信息传播的事实控制,并不因信息公开或传播而失去其控制,因此,美国学者劳伦斯·莱斯格评价,“在网络空间中,代码能够取代法律成为保护知识产权的主要武器,而且它的作用越来越大。这是一种私人的防护,而非国家法律的保护。”
此外,从全球竞争的视角出发,如果将数据作为一类知识产权保护,则必然要受知识产权地域性限制,其权利效力仅及于本国边界之内。在网络安全法下,美国《计算机欺诈与滥用法》不仅保护美国境内计算机,还包括一切位于境外但影响其商业或通讯的计算机。我国《数据安全法》也明确赋予了该法的域外效力,其第2条第2款规定:“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”在数据全球化以及美欧不断扩张其长臂管辖的背景下,将数据保护定位于数据安全法之下也更有利于维护国家利益。
(二)大数据保护制度建构路径选择
借鉴美国法经验,数据财产权益保障并非必然要采取设立新型财产权或知识产权的模式,我国可搁置当前数据归属和界权的争论,在《数据安全法》安全保护的立法逻辑之下,保护主体与其数据之间的稳定关系,同时实现对于企业数据财产利益和市场竞争秩序的维护。具体而言,可以对《数据安全法》第32条“窃取或者以其他非法方式获取数据”进行具体界定而完成大数据保护法律秩序的构建,存在两种路径可供选择:
第二,建立专门数据保护制度,保护企业对数据事实上的控制。如前所述,在美国法上,对于计算机系统的宽泛保护可能会使得访问者动辄得咎,限制网络空间自由访问而对现实交易秩序产生过度冲击,这也导致了《计算机欺诈与滥用法》实施的广泛争议。相对保守的制度方案是,并不设置所有者或占有者对其计算机系统的一般性权利,而仅基于当前数据保护的现实需求,保护企业对其数据事实上的控制,在保护企业数据产权的同时将公众自由限制最小化。比较法中,2018年日本《不正当竞争防止法》修改针对大数据确立了“限定提供数据”保护制度,其借鉴了美国法上的规制逻辑而构建了一种“类商业秘密制度”,对以电磁方式控制向有限对象提供、累积到一定价值规模的数据,禁止他人未经允许的获取、利用、公开行为;紧随其后,2021年韩国《反不正当竞争及保护商业秘密法》也作出了基本相同的制度安排。日韩的数据保护专门立法虽然与美国法直接规制对象不同,但规制手段和保护范围却并不存在实质上差异,即均根据企业代码控制措施界定保护范围,保护企业对其数据控制、利用的稳定状态,排除未经许可的数据获取、利用、公开行为。
作者:张浩然,中国社会科学院法学研究所助理研究员、中国社会科学院知识产权中心研究员。