12月22日下午，中国人民大学国家版权贸易基地于线上举办第6期互联网版权沙龙，聚焦大数据运用中的法律问题。北京航空航天大学法学院院长龙卫球、华东政法大学知识产权学院院长黄武双、对外经济贸易大学法学院院长梅夏英、厦门大学知识产权研究院院长林秀芹、中国人民大学未来法治研究院副院长丁晓东担任发言嘉宾。沙龙由中国人民大学国家版权贸易基地副主任李方丽主持。法学学者、法官、律师、产业界代表等120余人参与了本次线上沙龙。

以下为发言嘉宾部分观点摘录。

网络技术发展经历了从计算机技术到到互联网技术，再到现在大数据、人工智能、物联网技术的代际发展，这也带来了相应规范的代际发展。

互联网发展与法律发展应当同步。从法律调整角度看，法律规范应给予互联网发展最低保障，即安全问题，包括计算机安全、网络安全、大数据安全、人工智能安全、物联网安全等。大数据时代的发展带来了大数据确权、规范、监管的法律发展需求。

大数据确权

大数据时代到来后，关于是否要对大数据进行确权、如何确权存有争议。大数据现已成为数字经济发展的重要资源，大数据确权有利于促进数据的开发和应用，保障数据的可靠性、丰富性、发展性。

大数据开发既要规范，又要满足数字经济的预期，确立新型的数据财产权是可行模式。国内外也呈现出对该模式的探讨与实践。但是进行何种程度的数据确权、如何根据数据的不同分类进行确权还有待探讨。比如，私有数据确权能够通过利益刺激促进数据流动，但公共数据国有化可能会导致数据使用效率降低，可能不宜确权。

大数据规范

大数据与数据经济社会的关系非常复杂，大数据作为重要资源，改变了既有的生产生活方式和人际关系格局。

大数据规范的重点一方面在于通过促进规范，进而促进数字赋能大数据经济和社会发展，市场化的赋权机制是当前需要考虑的；另一方面在于通过合理调整规范，进而调整数字服务、数字市场、数字公平、数字安全等领域的对应机制和特殊治理。

针对数字服务和秩序，在数字服务方面，用户、平台企业、第三人之间的法律关系出现且复杂化，如何设定平台等数字服务者的义务是重点。在数字市场方面，数字相关的不正当竞争、数字相关的垄断、数字消费者利益以及涉及金融、交通、未成年等其他特殊领域的市场秩序值得关注。

针对数字社会和安全问题，在数字公平方面，由于不同地区的数字基础建设差异，导致部分地区甚至手机通信还存在问题，疫情期间，老年人不会使用手机为其出行带来不便……这些问题都需关注。在数字安全方面，范围涉及个人、社会公众以及国家，《数据安全法（草案）》期望对大数据问题进行规范。

大数据监管

传统监管无法适应大数据监管的特殊性，特别是在个人信息保护、数据安全、跨境经营等方面。针对大数据的新的监管体制和机制亟待建立。

新的监管体制应当引入新的专门监管，将综合监管和分工监管相结合。从机制上看，将行为监管和技术监管相结合，依靠传统的行为监管已然不够，不能简单从技术中立角度排除技术监管；将事后监管与事先、事中监管相结合。

监管的重点主要包括三个方面：一是大数据独有的个人信息保护、数据安全、跨境经营等新问题；二是政府与市场的关系，特别是政府力量的合理运用；三是新的或特殊应用场景的开发和应用风险监管，比如自动驾驶、人脸识别等。

企业数据属于互联网技术催生的新兴事物，企业数据利益同样也属于互联网时代产生的新型利益。谈及企业数据利益的法律形态，首先必须明确企业数据的利益类型。将企业数据与知识产权、个人信息权益、有形财产权益进行比较，分析出更符合企业数据利益保护要求的法律规则。

企业数据与知识产权比较

与知识产权相比，企业数据不适宜采取知识产权加以保护。一方面，企业数据是信息的集合体，其形成的门槛较低，无法达到知识产权所要求的创造性高度。另一方面，企业数据即便能够作为商业秘密，也无法超过商业秘密所能给予的法律保护力度。因此，企业数据与知识产权所保护的客体相差甚远，达不到知识产权所保护客体的要求，不宜纳入知识产权保护的范畴。

企业数据与个人信息权益比较

与个人信息权益相比，企业数据的利益需求与个人信息保护的利益需求各有侧重。企业数据是个人信息的数据池，池内一部分是个人为获得企业服务主动提供的信息，另一部分则是企业收集的个人网络行为信息。虽然企业数据与个人信息都是基于同样的数据池，但是个人信息权益侧重数据内容，强调信息的内容，防范个人信息或隐私被泄漏和滥用，最终目的是保障个人的生命和财产安全；而企业数据利益侧重数据形态，所保护的是企业对数据占有的安全状态，避免企业合法储存、占有、收集的数据被他人非法分享。因此，企业数据与个人信息权益保护的是两种法律利益，两种法律形态。

企业数据与财产权益比较

与有形财产权益相比，企业数据难以符合财产权保护的标准。企业无法排除他人利用同样的手段和方式收集同样的信息组成新的数据池，同时，企业数据作为个人信息的集合具有可复制性，不会因他人的分享或利用行为导致数据减少和损耗。企业数据的可共享性、非排他性和无穷性，达不到有形财产权益独占性、排他性和稀缺性的要求，因此无法在其上设置一个垄断性质的财产权。

企业数据是互联网创生的新型利益，属于数据问题，以形式保护为主

将企业数据与知识产权、个人信息权益与有形财产权益比较后，我们可以发现企业数据是一种相对较弱的利益。由于企业数据达不到知识产权保护的标准，也无法产生基于数据内容形成的垄断权，因此企业数据并非基于信息而产生的权利。此外，由于纸质时代数据库的建设和流通成本高昂，数据库保护的法益是投资者对数据库投入的劳动，而企业在互联网时代搜集数据的重要目的在于发掘市场需求，推出更好的服务模式和更优质的用户体验，因此传统的数据库规则并不适用于互联网时代企业数据的保护要求，但是知识产权法保护数据库形式而非数据库信息内容的权利设置模式却为企业数据利益提供了参考方向，即企业数据利益指向的是数据形式而非信息内容。

既然企业数据在网络时代之前已经存在，为何在网络环境中才产生新的权利需求？造成此种变化的原因并非在于企业数据本身，而在于网络技术的发展。互联网业态催生新的规则，创造新的利益，用户访问形成的数据池以及分享的便捷性导致了企业数据利益的新问题。因此，企业数据的利益仅仅是数据问题，而非信息问题，数据问题的关键并不在于信息，而在于对数据访问的控制规则。确立专门的企业数据访问和控制规则，包括账户安全问题等，以是否侵犯他人对数据的占有为标准，判断某一行为是否属于违法行为，以及促使企业合理保护自己的数据，同时也尊重他人对数据的占有。

企业数据资源相关概念辨析

关于大数据的讨论，应建立在相关概念含义明晰的基础上。我们认为对大数据应作如下定义：以容量大、类型多、存取速度快、价值密度低为主要特征的数据的集合。随着科学技术的发展，特别是AI技术和计算技术的兴起，对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析成为可能，从而使数据逐渐成为企业的重要资源。

参考中国信通院《数据资产管理实践白皮书（4.0版）》的界定，企业数据资源是指由企业拥有或者控制的，能够为企业带来未来经济利益，以物理或电子方式记录的数据资源，如文件、资料、电子数据等。与数据资源相比，企业数据资源的范围更窄，特指相对公共数据和个人信息而言，在企业的收集和控制之下的、有利用价值的数据。企业对数据资源的开发和利用，通常包含数据获取、数据处理、数据分析、数据解释等流程。

大数据与传统数据集合也有所区别。传统数据集合就是传统的商业数据，主要是内部、众所周知和结构化的，比如企业内部的会计数据、销售数据等。这些数据结构化程度比较高，数据字段之间具有已知的相互关系，数据模型比较稳定，数据变化也有规律可循。而大数据则不同，它的数据来源非常广泛，并且质量和效用可能都是未知的。只有通过创设数据模型，运用算法分析，才能发现这些数据的价值，通常是推演相关事物的发展趋势。对发展趋势的预估，可以帮助企业更好地制定经营策略，提高竞争能力。

域外企业数据资源保护模式

目前，世界各地都开展了保护企业数据的法律实践，这些实践对我们理解企业数据的法律保护有重要参考价值。

对欧盟而言，首先它可以根据《伯尔尼公约》《TRIPS协议》及《世界知识产权组织版权条约》，对具有独创性的数据库给予版权保护。这种数据库的独创性，往往体现在对内容的选取和编排构成的智力创作。对于无独创性但进行了实质投资的数据库，欧盟《关于数据库法律保护指令》也给予了产权保护，权利人可以控制提取或重新利用全部或大部分数据库的行为。

欧盟还有关于个人数据保护的《通用数据保护条例》（GDPR），和涉及非个人数据规制的《欧盟非个人数据自由流动的框架》。非个人数据是与GDPR相对应的，非用于识别个人身份的、通常是匿名化处理以后的数据。《欧盟非个人数据自由流动的框架》的政策目标在于促进数据自由流动，以自律规范的形式促进竞争，而非给予数据收集者某种权利。

欧盟没有关于非个人数据的全面政策框架，而是主要留给企业以合同法的方式规制。例如，在Ryanair航空诉PR Aviation案中，被告使用自动化系统抓取原告网络中的航班信息，原告认为被告此举违反了该网站的所有用户都必须同意才能访问航班信息的格式条款，而欧盟法院也基本支持了原告基于合同条款的主张。

此外，欧盟近期还公布了两部法律草案，即《数字服务法案》和《数字市场法案》。欧盟认为目前少数大型平台控制着数字经济中的重要生态系统，并成为市场规则的实际制定者，使得平台交易的相对方遭受不公平对待，因此需要出台相关法律对平台予以规制，平衡用户、平台和公共机构对数据利用的权利和义务。

美国采取行为规制模式，在个案中利用相关法规进行规制。例如，《计算机欺诈与滥用法》可以规制网络爬虫、数据抓取等未经授权获取企业数据资源的行为。此外，美国还有判例法，主要涉及反不正当竞争法的相关规则。例如，hiQ诉领英案，即市场上的其他竞争者遭遇强势方阻止而处于不利境地时，对具有市场支配地位一方的规制。

日本的立法也值得一提。日本2018年通过的新《反不正当竞争法》增设“限定提供数据”条款，将“限定提供数据”和“属于商业秘密的数据”相并列，对不正当获取数据行为、违反诚实信用的数据使用或公开行为、数据恶意转让行为予以规制，并提供相应的救济措施。

除了上述国家和地区的立法与判例之外，也有一些民间的做法，比如GPL通用公共许可证、OSS开源软件等，同样值得关注。

综合以上域外实践，不难看出以下趋势：一是各国的法律实践对大数据的保护主要还是通过现有的版权法、反不正当竞争法和其他特别法进行规制，没有赋予新的知识产权或者其他财产权的趋势；二是法律调整的重点在于促进数据的共享、流通，规制大数据平台的垄断行为；三是个人信息的法律保护也十分关键。

排他权保护的弊端和现有保护路径的检视

对数据设置排他权的制度安排并不可取。

首先，设置数据排他权缺乏正当性。数据不具有创新性，一般不应作为知识产权的客体。并且数据体量庞大而价值密度低，它的稀缺性也存疑。赋予数据排他性权利，可能导致垄断，不利于数据产业发展。

其次，设置数据排他权缺乏必要性。现有法律可以为企业数据资源提供一定保护，也没有实证证据表明因法律保护不足而造成激励缺失。而且技术手段可在事实上起到保护效果，不必在法律上赋予数据排他权，否则将产生更多制度成本。

最后，设置数据排他权缺乏可行性。对数据设置权利会造成权利边界、内容难以确定的问题。我们目前对数据的理解还较为初步，实践中的案例也较少，不足以将数据相关纠纷类型化、固定化，因此不宜采取过于激进的立法。

应当承认，现有法律制度可从著作权法、专利法、反不正当竞争法的一般条款等多个角度，为数据提供相当程度的法律保护。此外，算法规制保护、行业治理规则以及合同等，也可为数据提供一定保护。因此，我国现有法律资源也可以满足实践中企业对数据资源保护的需求，我国在企业数据资源之上设置排他性财产权为时尚早。现阶段，建议通过扩张解释《反不正当竞争法》第12条第4款，或者参照日本立法，将大数据所涉及的不正当竞争行为类型化。

目前，数据已经成为企业的重要资产，对企业数据权益应当给予合理保护。但这种保护不应是绝对化、排他性的财产权保护，而应当遵循一种场景化的行为主义保护路径，类似于法经济学中的责任规则。

实践中关于数据权益的争议主要涉及数据爬虫和数据平台竞争，典型案例如新浪诉脉脉案、新浪诉今日头条案、hiQ v. LinkedIn案以及更早的Ebay诉Bidder’s Edge案等。这些案件均涉及一方当事人主动爬取另一方当事人的数据，例如，在新浪诉脉脉案中，为了引导用户关注自己的平台，脉脉主动爬取新浪微博中用户的个人数据。

由此便产生了两个问题：一是数据的权属问题，或者说数据应属于哪一方；二是爬虫行为是否合法。

数据权属分配的四种观点

数据权属分配有四种观点：

第一种观点认为数据属于平台的用户，因为很多平台数据都是个人产生的，或可以关联到个人，属于个人隐私权益。由此对应产生一个结论，即只要获得个人用户的授权，相应的爬虫行为就是合法的。新浪微博与今日头条的纠纷就涉及对此观点的讨论，今日头条认为，既然今日头条已获得用户个人的授权，那么其爬取用户个人数据的行为就是合法的；即使新浪与平台用户之间存在禁止转移数据的相关协议，根据合同的相对性，新浪也只能起诉平台用户，而不能追究今日头条的责任。在此观点下，平台对数据的控制权在很大程度上被架空了。

第二种观点认为数据属于平台，因为平台数据均是平台搭建并收集的。即使是个人数据，除非涉及个人的隐私利益，数据权利也应属于平台。在此观点看来，只要平台没有同意，即便第三方获得用户个人的授权，相关数据爬取行为也属违法，侵犯了平台的数据权益。

第三种观点认为数据为平台用户和平台