在目前的民事立法中，對(duì)于用戶信息權(quán)益的保護(hù)規(guī)則尚無明確的規(guī)定。同時(shí)礙于用戶請(qǐng)求權(quán)基礎(chǔ)不明確、訴訟成本較高等問題，用戶信息權(quán)益救濟(jì)的案例亦不常見。并且學(xué)界所討論的企業(yè)數(shù)據(jù)權(quán)的保護(hù)仍與用戶數(shù)據(jù)權(quán)益的保護(hù)存在一定沖突。對(duì)此，對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)法學(xué)院馬宇飛博士研究生在《企業(yè)數(shù)據(jù)權(quán)利與用戶信息權(quán)利的沖突與協(xié)調(diào)——以數(shù)據(jù)安全保護(hù)為背景》一文中，從數(shù)據(jù)與信息的基本概念區(qū)分出發(fā)，指出了我國立法中因術(shù)語界定不清導(dǎo)致的數(shù)據(jù)權(quán)益與信息權(quán)益關(guān)系不明的問題，并通過對(duì)用戶信息權(quán)益與企業(yè)數(shù)據(jù)權(quán)益的關(guān)系梳理，提出了以《民法典》第1198條安全保障義務(wù)調(diào)整用戶信息權(quán)益與企業(yè)數(shù)據(jù)權(quán)益邊界的方案。

一、

我國立法中的數(shù)據(jù)、信息二元結(jié)構(gòu)規(guī)制困境

（一）“數(shù)據(jù)”與“信息”概念溯源

在境外立法與國際公約中信息與數(shù)據(jù)兩個(gè)概念僅為詞匯選擇不同，并無本質(zhì)差別。在我國專門針對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)安全的法律規(guī)范中，雖然這兩個(gè)概念也存在一定程度上的混用，但嚴(yán)格來講“信息”的含義要大于“數(shù)據(jù)”的含義。前者更加貼近于對(duì)事物本身的描述，后者則側(cè)重于表達(dá)信息的數(shù)字狀態(tài)。這兩個(gè)術(shù)語使用的混淆客觀上導(dǎo)致了當(dāng)前用戶信息權(quán)利與企業(yè)數(shù)據(jù)權(quán)利需求的沖突，成為信息、數(shù)據(jù)權(quán)利法律適用的困境所在。

（二）企業(yè)數(shù)據(jù)權(quán)利與用戶信息權(quán)利關(guān)系不明

目前，我國企業(yè)數(shù)據(jù)權(quán)利主要由《反不正當(dāng)競爭法》調(diào)整。判斷標(biāo)準(zhǔn)體現(xiàn)為是否違反“三重授權(quán)原則”，即合法的企業(yè)數(shù)據(jù)二次使用需要有用戶授權(quán)企業(yè)采集與存儲(chǔ)、用戶授權(quán)企業(yè)向第三方共享、企業(yè)同意向第三方數(shù)據(jù)共享三個(gè)授權(quán)同意的意思表示，第三方才能合法獲取數(shù)據(jù)，并基于授權(quán)使用。

競爭法保護(hù)企業(yè)數(shù)據(jù)交易的優(yōu)點(diǎn)在于法條的可擴(kuò)展性較強(qiáng)，但由于競爭法具有很強(qiáng)的模糊性，用戶舉證能力有限，用戶在合同簽訂時(shí)一般處于不利地位和訴訟成本過高等，僅通過競爭法調(diào)整企業(yè)數(shù)據(jù)安全問題并不能滿足保護(hù)用戶信息、數(shù)據(jù)權(quán)利的需求。需從厘清企業(yè)數(shù)據(jù)權(quán)利與用戶信息權(quán)利的關(guān)系入手解決這一問題。

二、

數(shù)據(jù)安全視野下企業(yè)數(shù)據(jù)權(quán)利與用戶信息權(quán)利的關(guān)系認(rèn)定

企業(yè)數(shù)據(jù)賦權(quán)說有利于規(guī)范數(shù)據(jù)市場，但對(duì)企業(yè)數(shù)據(jù)進(jìn)行財(cái)產(chǎn)權(quán)賦權(quán)會(huì)直接與用戶信息權(quán)利產(chǎn)生沖突。梳理企業(yè)數(shù)據(jù)權(quán)利和用戶信息權(quán)利之間的關(guān)系，方能判斷企業(yè)數(shù)據(jù)權(quán)利是否具備成為支配性財(cái)產(chǎn)權(quán)的基礎(chǔ)。

（一）企業(yè)數(shù)據(jù)財(cái)產(chǎn)權(quán)賦權(quán)說的沿革與評(píng)述

“數(shù)據(jù)賦權(quán)說”從時(shí)間上有數(shù)據(jù)庫賦權(quán)討論與企業(yè)數(shù)據(jù)賦權(quán)討論兩個(gè)階段。前者始于1996年歐盟頒布的《關(guān)于數(shù)據(jù)庫法律保護(hù)的指令》，傾向于保護(hù)企業(yè)利益。但是當(dāng)前用戶逐漸成為數(shù)據(jù)安全事件的受害者，數(shù)據(jù)庫權(quán)的制度參考價(jià)值不強(qiáng)。在企業(yè)數(shù)據(jù)賦權(quán)的討論中，絕大部分觀點(diǎn)均采用“數(shù)據(jù)財(cái)產(chǎn)權(quán)”這一表述方式。結(jié)合文獻(xiàn)來看，財(cái)產(chǎn)權(quán)屬于一種支配權(quán)。由于企業(yè)的數(shù)據(jù)財(cái)產(chǎn)屬于勞動(dòng)產(chǎn)品，具有有用性和稀缺性，設(shè)立企業(yè)數(shù)據(jù)財(cái)產(chǎn)權(quán)有利于降低交易成本，實(shí)現(xiàn)數(shù)據(jù)資源最大化利用，因此有人主張?jiān)O(shè)立企業(yè)數(shù)據(jù)財(cái)產(chǎn)權(quán)。然而，一方面無法證明其負(fù)面影響可控，另一方面會(huì)與保護(hù)信息基礎(chǔ)權(quán)利的法律沖突，故非最佳選擇。對(duì)此，有學(xué)者提出“數(shù)據(jù)所有權(quán)+用益權(quán)”的制度安排，從權(quán)利配置的角度論述對(duì)企業(yè)數(shù)據(jù)權(quán)利的限制方式。

（二）企業(yè)數(shù)據(jù)權(quán)利與用戶信息權(quán)利的區(qū)分

對(duì)企業(yè)數(shù)據(jù)權(quán)利與用戶數(shù)據(jù)權(quán)利的討論應(yīng)包含個(gè)人信息、商業(yè)秘密、隱私權(quán)、知識(shí)產(chǎn)權(quán)的廣義數(shù)據(jù)權(quán)利配置問題。用戶信息權(quán)利屬于用戶的基礎(chǔ)權(quán)利在信息層面的請(qǐng)求權(quán)集合。對(duì)用戶而言，主要關(guān)注信息內(nèi)涵的基礎(chǔ)權(quán)利；對(duì)企業(yè)而言，其對(duì)數(shù)據(jù)所代表的基礎(chǔ)權(quán)利并無任何權(quán)利，而是通過用戶基礎(chǔ)權(quán)利數(shù)據(jù)化獲得生產(chǎn)力。數(shù)據(jù)權(quán)利與信息基礎(chǔ)權(quán)利應(yīng)當(dāng)屬于同一不可分割客體的兩種價(jià)值層面，不能等同。

（三）企業(yè)數(shù)據(jù)權(quán)利作為財(cái)產(chǎn)權(quán)的獨(dú)立性研判

企業(yè)數(shù)據(jù)財(cái)產(chǎn)權(quán)不是一種具有支配性、排他性的所有權(quán)，而是一種通過合同取得的，基于用戶信息數(shù)據(jù)權(quán)利的授權(quán)下的使用權(quán)。在民事規(guī)則的制定上，應(yīng)當(dāng)采用責(zé)任規(guī)則的方法，對(duì)數(shù)據(jù)流動(dòng)設(shè)置以企業(yè)數(shù)據(jù)安全保護(hù)義務(wù)為主的規(guī)則，兼顧企業(yè)數(shù)據(jù)的生產(chǎn)價(jià)值與作為用戶信息內(nèi)容的用戶基礎(chǔ)權(quán)利的財(cái)產(chǎn)價(jià)值。

三、

從財(cái)產(chǎn)規(guī)則設(shè)計(jì)向責(zé)任規(guī)則設(shè)計(jì)轉(zhuǎn)變

企業(yè)對(duì)所持有數(shù)據(jù)的安全保護(hù)義務(wù)在《網(wǎng)絡(luò)安全法》與《數(shù)據(jù)安全法》中已有規(guī)定，但尚需解決其在私法中適用的問題。

（一）企業(yè)數(shù)據(jù)安全保護(hù)公法義務(wù)的范圍

我國對(duì)用戶信息權(quán)利與企業(yè)數(shù)據(jù)權(quán)利的規(guī)范性法律文件的制定呈現(xiàn)出行政責(zé)任為主、民事責(zé)任為輔的特點(diǎn)，相應(yīng)的民事規(guī)則沒有專門規(guī)定，在《數(shù)據(jù)安全法》生效前需通過《網(wǎng)絡(luò)安全法》實(shí)現(xiàn)。《數(shù)據(jù)安全法》基本承襲了《網(wǎng)絡(luò)安全法》對(duì)數(shù)據(jù)安全保護(hù)義務(wù)的設(shè)計(jì)，并增加了數(shù)據(jù)來源確認(rèn)義務(wù)，核心在于防止企業(yè)數(shù)據(jù)泄露以及數(shù)據(jù)泄露的事后補(bǔ)救，但無法直接通過這兩部法律對(duì)數(shù)據(jù)泄露導(dǎo)致的用戶損害進(jìn)行民事救濟(jì)。《民法典》第1038條規(guī)定了信息處理者對(duì)個(gè)人信息的安全保障義務(wù)，亦無法對(duì)數(shù)據(jù)安全保護(hù)提供完整的制度參考。因此，尚需尋找可以普遍適用的民事規(guī)則，在私法層面將《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》的具體規(guī)則作為特定民事法律條文的解釋依據(jù)。

（二）企業(yè)對(duì)用戶信息權(quán)利承擔(dān)安全保護(hù)義務(wù)的民法適用依據(jù)

在《網(wǎng)絡(luò)安全法》與《數(shù)據(jù)安全法》中，企業(yè)數(shù)據(jù)安全保護(hù)義務(wù)框架已較為清晰。在當(dāng)前民事立法背景下，有兩種援引其他法律規(guī)定的情形：其一，《網(wǎng)絡(luò)安全法》與《數(shù)據(jù)安全法》中的具體規(guī)定可以作為相關(guān)合同條款的解釋依據(jù)，基于合同法律關(guān)系被援引；其二，企業(yè)數(shù)據(jù)安全保護(hù)義務(wù)可以作為判斷企業(yè)是否違反《民法典》第1198條的具體標(biāo)準(zhǔn)，在侵權(quán)法律關(guān)系中被援引。

安全保障義務(wù)的義務(wù)主體范圍被定義為“經(jīng)營場所、公共場所的經(jīng)營者、組織者”。網(wǎng)絡(luò)環(huán)境作為公共、經(jīng)營場所的認(rèn)定不存在體系障礙，在企業(yè)違反安保義務(wù)的認(rèn)定上，實(shí)踐中應(yīng)當(dāng)依照用戶數(shù)據(jù)信息的基礎(chǔ)權(quán)利不同而采用不同的過錯(cuò)認(rèn)定標(biāo)準(zhǔn)，實(shí)現(xiàn)個(gè)案公正。

四、

企業(yè)數(shù)據(jù)權(quán)利與用戶信息權(quán)利的協(xié)調(diào)

（一）明確企業(yè)數(shù)據(jù)權(quán)利與用戶信息權(quán)利的關(guān)系

企業(yè)通過合同收集用戶信息，實(shí)現(xiàn)信息權(quán)利中的數(shù)據(jù)價(jià)值，對(duì)于信息的實(shí)體價(jià)值并不關(guān)心。若用戶僅基于數(shù)據(jù)層面而非信息基礎(chǔ)權(quán)利層面的價(jià)值交換而與企業(yè)簽訂數(shù)據(jù)流轉(zhuǎn)合同，則應(yīng)將企業(yè)數(shù)據(jù)權(quán)利視為用戶基于其信息權(quán)利對(duì)企業(yè)數(shù)據(jù)應(yīng)用層面的授權(quán)，而非獨(dú)立的、具有支配性的財(cái)產(chǎn)權(quán)。由于信息基于數(shù)據(jù)整體而轉(zhuǎn)移，企業(yè)對(duì)其管理、控制空間內(nèi)占有的用戶信息應(yīng)當(dāng)負(fù)有安全保護(hù)義務(wù)。

（二）明確企業(yè)對(duì)用戶的民事數(shù)據(jù)安全保護(hù)義務(wù)與法律責(zé)任

企業(yè)數(shù)據(jù)安全保護(hù)義務(wù)可以在不阻礙企業(yè)數(shù)據(jù)正常流動(dòng)的前提下保護(hù)用戶的合法權(quán)益。企業(yè)并沒有對(duì)用戶的信息權(quán)利的所有權(quán)，僅在對(duì)用戶的所有權(quán)產(chǎn)生侵害的時(shí)候承擔(dān)責(zé)任。在違反該義務(wù)的責(zé)任承擔(dān)上，應(yīng)當(dāng)依照《民法典》第1198條承擔(dān)侵權(quán)責(zé)任。在責(zé)任的承擔(dān)方式上，應(yīng)當(dāng)以賠償損失與消除危險(xiǎn)為主。在損害賠償責(zé)任的確定上，個(gè)保法第68條第2款給出了“依照個(gè)人所受損害”與“信息處理者獲益”兩種確定方式，可以推而廣之。前者為對(duì)實(shí)際侵權(quán)損害的計(jì)算，是主要的，而后者僅為對(duì)數(shù)據(jù)權(quán)利損害的計(jì)算，是兜底。信息處理者的獲益，可以采用“特定產(chǎn)品銷售額÷用戶數(shù)量”等與案件實(shí)際情況契合的方式計(jì)算。

（三）完善企業(yè)違反數(shù)據(jù)安全保護(hù)義務(wù)的認(rèn)定標(biāo)準(zhǔn)

在企業(yè)是否違反數(shù)據(jù)安全保障義務(wù)的具體認(rèn)定標(biāo)準(zhǔn)上，是否取得行業(yè)技術(shù)、管理標(biāo)準(zhǔn)的認(rèn)證可以作為認(rèn)定標(biāo)準(zhǔn)：已取得管理標(biāo)準(zhǔn)(如ISO27001、GB/T22080)、技術(shù)標(biāo)準(zhǔn)(如GB/T20273)認(rèn)證，且滿足法律對(duì)去標(biāo)識(shí)化、信息留存時(shí)間等其他要求的，應(yīng)視為盡到數(shù)據(jù)安全保護(hù)義務(wù)；未取得或未完全取得認(rèn)證的，則可依照漢德公式(B＞PL)確定企業(yè)是否違反數(shù)據(jù)安全保護(hù)義務(wù)。

五、

結(jié)語

信息、數(shù)據(jù)并不嚴(yán)格等同，通過“三重授權(quán)原則”僅能有效保護(hù)企業(yè)數(shù)據(jù)權(quán)益而無法有效保護(hù)用戶信息權(quán)益。企業(yè)數(shù)據(jù)安全保護(hù)義務(wù)可以在不阻礙企業(yè)數(shù)據(jù)正常流動(dòng)的前提下保護(hù)用戶的合法權(quán)益。企業(yè)并沒有對(duì)用戶的信息權(quán)利的所有權(quán)，僅在對(duì)用戶的所有權(quán)產(chǎn)生侵害的時(shí)候承擔(dān)責(zé)任。《民法典》第1198條可以適用于數(shù)據(jù)泄露、授權(quán)外共享等情形。依照個(gè)保法與漢德公式，可以協(xié)調(diào)企業(yè)數(shù)據(jù)權(quán)益與用戶信息權(quán)益，解決未來可能出現(xiàn)的數(shù)據(jù)糾紛。