一、企業數據的概念界定及其特征

中央全面深化改革委員會第二十六次會議將企業數據作為能與公共數據、個人數據相并而列的一類數據要素，中共中央、國務院《關于構建數據基礎制度 更好發揮數據要素作用》（以下簡稱“數據二十條”）提出建立“公共數據”“企業數據”“個人信息數據”確權授權機制。國內出現“企業數據”“商業數據”的概念，且經常將二者混同使用，國外文獻也有“商業數據”這一稱謂，但企業數據逐漸成為主流稱謂。

（一）企業數據概念界定

在法律上，尚未給出企業數據明確的界定，“數據二十條”隱晦地表述為“各類市場主體在生產經營活動中采集加工的不涉及個人信息和公共利益的數據”。對于企業數據的現有學術研究在合規領域一般稱為“企業數據”，如楊亞飛、弓永欽、李延舜等學者，在相關針對性研究上也有稱“商業數據”。在對“商業數據”（本文采用“企業數據”這一概念）進行界定時，不同學者的表述或者界定迥異，對其產生主體、產生領域等存在較大的爭議。例如：孔祥俊教授認為，商業數據包括公共數據以外的自然人、法人和非法人組織依法收集、獲取的數據，其大體對應企業數據，但強調其具有市場競爭意義且能夠作為競爭性財產。他也認為，商業數據的持有人可以是自然人、法人和非法人組織，不限于通常意義上的企業。吳桂德博士認為：商業數據是數據經營者首先通過收集、匯集或交易所得的原始數據經過去標識化和匿名化等脫敏加工后形成的商業數據集合。劉瑛、高正認為商業數據，應當解釋為由經商主體收集并匯編或加工，以用于市場活動的具有商業價值的電子數據集合。鄭和斌博士認為網絡商業數據是指自然人、法人或者其他組織收集、整理的并可以通過信息網絡傳輸、儲存的各類與商業活動有關的數據。

本文認為企業數據強調的是數據用于商業目的且具有商業價值，而與產生的領域和產生的主體無關。非商主體和公共領域的數據經過加工、處理和分析后同樣具有商業價值，因此數據的產生主體是否為商業主體、數據產生的領域是否為商業領域不應當成為限定數據是否為企業數據的標準。

（二）企業數據的特征

在各國數據跨境流動規則實踐中，與跨境有關的數據依據不同分類、不同級別，其流通要求的嚴格性程度也不相同。從企業數據的概念出發，歸納出企業數據在界定以及對其流通治理上需要考慮的特性，可將其概括為以下四種特性。

首先，企業數據側重商業用途，這是其區別于公共數據和個人數據的重要特點，這一特征表現為企業數據是用于交易活動的海量數據或者對數據的分析、處理之后的集合。其次，企業數據具有極高的商業價值性。數字經濟時代，數據流其實也就是財富流，企業是經濟貿易活動發生的主體，企業的數據流與資金流直接掛鉤，具有極大的變現和財產價值屬性。再次，企業數據的競爭性強度低，因其產生領域廣泛，不具備強烈的人身相關性和可識別性，且數據的復制成本和競爭性風險低，可無限共享。最后，企業數據具有針對性和時效性。即使是以個人信息為基礎樣本的企業數據，在經過數據的脫敏化處理、分析、整合之后，就已經喪失了可識別性，屬于第二手的數據，且以特定目的和用途而產生，其價值也會因時間或使用場景不同而貶值甚至失去價值。

二、企業數據跨境流動的法理基礎及現實需要

（一）企業數據跨境流動的法理基礎

數據的跨境流動是數字經濟的題中應有之義，企業數據作為經濟貿易中的關鍵要素，其跨境流動更具重要性。2022 年《最高人民法院工作報告》指出，要維護市場公平競爭，探索數據權利保護規則，服務數字經濟，促進電子商務發展。

當前，數據確權保護已成為主流觀點，且在此基礎上產生數據產權制度，亦分化出數據人格權和數據財產權，以及將數據分級分類予以保護。這些數據確權、數據賦權保護的路徑都將生產和勞動理論作為正當性基礎。提出數據跨境的四重法理基礎，分別是“數據無國界”“數據主權”“數據自由市場”和“數據人權”理論，除此之外，還有“數據自由流通”理論。這些理論對于企業數據同樣適用。“數據主權”理論是國家主權理論在數據領域的延伸，主權國家的監管自然而然地涵蓋數據領域，因此可以通過數據本地化等方式對數據的跨境流動進行監管。這一理論也被學者認為是將桑斯坦的理論應用在跨境問題上。“數據人權”理論是建立在保護人權的基礎之上，注重個人隱私在數據流動中的保護，并以歐盟為代表，絕大多數國家在面對數據跨境流動時都適用。“數據自由流通”理論則堅持數據的自由流通，數據作為一種生產要素在國家（地區）間的自由流動不應受限，這一理論認為應盡可能地排除國家對數據跨境流動的干預。不管是哪一種理論，現有區域經貿協定或其他國際規則的制定目的也是達成更大范圍的市場開放，增加世界貿易，提供更多的商業交易機會。尤其在企業數據跨境流動領域，跨境數據的商業性遠高于涉個人的隱私程度。

（二）企業數據跨境流動的現實需要

現代數字技術極大地增加了全球的數據流，正如 Renata Avla Pinto 所說：“數據是新時代的石油或原材料”，我們也可以認為，在數字經濟時代，數據流即財富流。

21 世紀以來，互聯網技術加速向經貿領域延伸，數字貿易的產生對貿易方式、貿易對象、貿易規則、貿易格局產生了深遠影響。據中國信息通信研究院（以下簡稱“中國信通院”）《中國數字經濟發展研究報告（2023 年）》統計：2022 年我國數字經濟規模首次突破 50 萬億元，占 GDP 比重達到 41.5%[8]10，產業數字化對數字經濟增長的主引擎作用更加凸顯[8]12，占 GDP 比重創五年來最大增幅。此外，據中國信通院 2023 年發布的《全球數字治理白皮書》顯示，2011—2021 年，跨境數據流動規模增長超 14倍;全球跨境數字服務貿易規模從2.15萬億美元增至3.81萬億美元，年平均增長率為6.76%。2021年，跨境數字服務貿易同比增長 14.3%，在服務貿易中的占比達到 63.6%[9]9。數字經濟進一步實現量的增長，其結構優化也促進了質的有效提升。自2005年以來，全球數據流增長了數百倍。在這些數據流中，流通的數據毋庸置疑主要為企業數據。企業數據的數據流增量將不斷增加，跨境流動的增速也將不斷提升，帶來的經濟效益占比更加突出，是數字經濟不可或缺的中堅力量。

三、企業數據跨境流動的三重考量

企業數據跨境流動在推動數字經濟與國際貿易發展的同時，不可避免地涉及個人隱私保護、商業秘密保護以及國家安全等多重維度利益的沖突與平衡，這些不同維度的利益沖突也成為企業數據跨境流動需要考量的重要因素。

（一）個人層面：基于數據權利與個人信息保護的考量

企業數據很大程度上與個人數據難以界分，其在商業活動中收集、獲取的個人數據經過整合、分析也會成為企業數據的一部分。基于此，產生兩個關切的問題：一是這部分數據權屬如何？截至目前，尚無法律明文規定“企業數據權”，也未規定企業對其在商業活動中獲取、收集、加工的數據享有何種權利。雖有政策提出“數據產權結構性分置”，借鑒現有土地制度，創新性地提出將數據所有權、數據使用權和基于數據（或數據產品）的收益權相分離這一設想，這在學界爭議頗大尚且不說，實踐中落地更加艱難，權利基礎尚不存在，權力分配更加困難。二是企業在收集、獲取了個人的相關信息后如何對其進行保護？如何避免陷入侵犯個人隱私的法律風險？尤其是在“棱鏡門”事件和“滴滴”事件之后，我國更注重個人信息和重要數據的保護（尤其是與人息息相關的生物數據和醫療數據）。企業對個人權利的侵犯以時間為維度體現在個人信息的違法違規獲取、收集（未經個人同意獲取的數據能否使用）、對個人信息數據的不當處理（對已經獲取的個人信息享有怎樣的權限）以及對處理后信息的泄露（即使經過脫敏化處理，此類數據的泄露是否會對特定人群產生特定影響）三個方面。這就導致在實踐中，企業很容易因此侵權涉訴，這對企業開展對外貿易帶來極大不便甚至產生法律風險。

（二）企業層面：基于商業秘密保護的考量

數據權益與知識產權專門法的客體具有相通之處，但是，僅有部分數據符合受專門法保護的要件（如需受專利保護則需符合新穎性和創造性，如需受著作權保護則需符合其獨創性等）。因此不能對企業數據進行充分保護。尤其是，企業數據區別于個人數據和公共數據，表現出較強的商業價值屬性，也體現了數據收集者（企業）一定程度上對于所獲取、收集或生產經營過程中產生的數據進行了一定程度的“改造＋整合”工作，付出了一定思考和有目的的創造性勞動，這與商業秘密構成要件中的價值性發生耦合。如由原始數據組成的衍生數據、網絡公開數據和其他尚未公開的內容結合或組成的新的數據信息等是否算作商業秘密，這類信息能反映實施經營狀況或能據此大量數據的整合、分析對企業金融、財務信息進行分析，甚至從中剝離出客戶信息等衍生信息，這類信息如若屬于原始數據則應當歸類于企業的商業秘密進而進行保護，由于這類數據被獲取或公開時不具備秘密性且獲取渠道廣闊，如若用于不正當競爭，對企業來說亦是一種安全風險。

（三）國家層面：基于國家安全保障的考量

隨著“一帶一路”和“走出去”等戰略的部署實施，企業的跨境、出海類商業活動日益頻繁，數據跨境流動需求顯著增強。一些企業過度追求數據跨境流動帶來的經濟效益，將其數據中心建立在國外或者違反相關數據跨境管理規定，將對國家安全造成危害。近年來，數據安全風險存在于各個領域，泄露的威脅也已成為危害社會和國家安全的隱患。一是個人數據、企業數據被傳輸至境外。例如，滴滴赴美上市，其收集的個人數據存在泄露風險；特斯拉利用傳感器采集車內外個人信息及地圖環境等敏感信息，并將這些信息傳輸至境外；上海市某科技公司相關數據庫存在未授權訪問漏洞，部分數據泄露并被傳輸至境外；北海某公司網站服務器安全防護措施不足，存在被多個境外 IP 攻擊入侵，泄露約 22 萬條民眾數據信息；另據中國互聯網絡信息中心發布的第52次《中國互聯網絡發展狀況統計報告》顯示，截至2023 年 6 月，從網民遇到各類網絡安全問題的情況來 看 ，遭 遇 個 人 信 息 泄 露 的 網 民 比 例 最 高 ，為23.2%。二是敏感數據泄露或被傳輸至境外。例如，深圳某科技公司未經許可將部分人類遺傳資源信息從網上傳遞出境、浙江某科技有限公司違規泄露政府數據等。根據《2020 年中國互聯網網絡安全報告》，2020 年我國共發現國內基因數據通過網絡出境 717 萬余次，流向境外 170 個國家和地區，其中流向美國 273 萬余次，占出境總次數的 38.1%[11]55-56。上述向境外提供本不應出境的隱私數據或敏感生物數據，如被境外濫用，將會給我國數據安全和國家安全帶來巨大的威脅。

四、企業數據跨境流動的路徑參考

（一）確定企業數據權屬及授權使用

制度“數據二十條”強調，建立數據產權制度，要建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制，健全數據要素權益保護制度。由此，也有不少學者主張對數據進行分類分級、分權處置，有觀點認為堅守傳統的所有權理論對數據進行賦權反而會掣肘數據的利用，認為應將所有權與使用權相分離[12]105，以《民法典》中土地經營權“三權分置”的權利結構創建數據賦權新思路，如將土地承包經營權、土地經營權從土地集體所有權中剝離一樣，可以在數據所有權基礎上建立企業數據經營權的多層用益物權，該觀點認為數據來源于公眾決定其公眾所有權性質，以在保障個人信息數據權益基礎上實現數據的共享與流通。

企業在收集個人信息時，應當確保個體的知情權，取得個人授權。在現有知情同意權及授權隱私制度中，大多采取一攬子協議或格式條款，個人只有授權方可使用或進行市場消費活動。若相關商業數據中包含個人信息，應確保對個人信息的收集和處理已獲得個人信息主體的適當授權，且可接觸相關數據的供應商對數據的處理不應超出個人信息主體的授權范圍，增設個人信息主體的可選擇授權范圍，取消一攬子協議或格式條款。保障個人信息主體授權企業收集其信息，明確被采集信息的用途及處理權限。

（二）區分可流通企業數據與商業秘密

對于實踐中最頻發的企業數據與商業秘密侵權案件，在企業數據與商業秘密保護交叉的情形下，在法律適用層面，如果符合專門法保護范疇的，以專門法去保護。就企業數據而言，如符合商業秘密構成要件，可直接按商業秘密進行保護；如不屬于商業秘密范圍的，則可歸為可流通企業數據，最大限度地保障其自由流動。

目前，法院對于企業數據與商業秘密交叉情形的案件多按商業秘密糾紛處理。其原因在于，當前的《反不正當競爭法》并未明確將數據不正當競爭作為一種特別的競爭類型，故在適用《反不正當競爭法》第二條之前，法院需先就這一行為是否屬于《反不正當競爭法》規制的范圍進行論證，首先看是否屬于《反不正當競爭法》規定的特別條款范圍，如果不能適用特別條款，才能根據《反不正當競爭法》第二條的一般條款來判定是否構成不正當競爭。總而言之，是先考慮商業秘密特別保護，再用一般條款進行保護。

基于目前司法實踐判例及“數據二十條”的規定，企業可以從以下角度加強對數據管理的合規體系建設：針對符合商業秘密構成要件的企業數據，對其采取特別保護措施，以商業秘密進行特別保護；針對一般可流通的企業數據，應在數據公開流通時明確作出企業數據確權及授權聲明，明確企業數據權屬，量化企業數據價值，明確企業數據可獲取的對象、獲取方式及用途，明確未經授權禁止使用、復制的聲明。另外，可建立企業數據溯源、內部備份以及價值評估制度，建立合理的內部機制，對企業合法收集的數據的來源及授權進行登記備份，對于企業獲取、收集的數據的加工過程及企業投入的各類成本予以記錄和保存，做到“流通安全、全程可溯、貢獻可量”。

（三）推動建立企業可信數據流通制度

企業數據因其極強的商業屬性使其在經濟貿易活動中應當可自由流通。在采用數據“三分法”，即將數據分類為公共數據、企業數據、個人數據的基礎上，建立數據的分級保護制度。依照數據收集的成本、數據的重要性程度、數據可帶來的預期價值對數據進行分級保護。可分為核心數據、重要數據、一般數據及可信數據。在已經施行的《數據出境安全評估辦法》的基礎上，對企業數據進行安全評估。此外，積極參與國際合作，在與我國建立緊密經濟聯系的、對于數據的跨境流動保護嚴格程度與我國相近的國家或地區，探索形成“可信數據清單”，進而建立企業“可信數據流通”制度，打通一條可信任數據流通的綠色通道。2023 年 7 月 25 日，國務院《關于進一步優化外商投資環境 加大吸引外商投資力度的意見》已經指出，支持部分地區探索形成可自由流動的一般數據清單；2023 年 8 月 8 日公布并施行的國務院《關于印發<河套深港科技合作區深圳園區發展規劃>的通知》也提出，要“研究建設固網接入國際互聯網的綠色通道”。由此可見，數據的逐步開放與互信體系建設已成趨勢，應當以試點為樣本，以點帶面，在考察開放實效及數據安全風險的基礎上逐步實現企業可信數據的自由流通。

來源：湖北經濟學院學報