在目前的民事立法中，對于用戶信息權(quán)益的保護規(guī)則尚無明確的規(guī)定。同時礙于用戶請求權(quán)基礎(chǔ)不明確、訴訟成本較高等問題，用戶信息權(quán)益救濟的案例亦不常見。并且學(xué)界所討論的企業(yè)數(shù)據(jù)權(quán)的保護仍與用戶數(shù)據(jù)權(quán)益的保護存在一定沖突。對此，對外經(jīng)濟貿(mào)易大學(xué)法學(xué)院馬宇飛博士研究生在《企業(yè)數(shù)據(jù)權(quán)利與用戶信息權(quán)利的沖突與協(xié)調(diào)——以數(shù)據(jù)安全保護為背景》一文中，從數(shù)據(jù)與信息的基本概念區(qū)分出發(fā)，指出了我國立法中因術(shù)語界定不清導(dǎo)致的數(shù)據(jù)權(quán)益與信息權(quán)益關(guān)系不明的問題，并通過對用戶信息權(quán)益與企業(yè)數(shù)據(jù)權(quán)益的關(guān)系梳理，提出了以《民法典》第1198條安全保障義務(wù)調(diào)整用戶信息權(quán)益與企業(yè)數(shù)據(jù)權(quán)益邊界的方案。

一、

我國立法中的數(shù)據(jù)、信息二元結(jié)構(gòu)規(guī)制困境

（一）“數(shù)據(jù)”與“信息”概念溯源

在境外立法與國際公約中信息與數(shù)據(jù)兩個概念僅為詞匯選擇不同，并無本質(zhì)差別。在我國專門針對網(wǎng)絡(luò)安全、數(shù)據(jù)安全的法律規(guī)范中，雖然這兩個概念也存在一定程度上的混用，但嚴格來講“信息”的含義要大于“數(shù)據(jù)”的含義。前者更加貼近于對事物本身的描述，后者則側(cè)重于表達信息的數(shù)字狀態(tài)。這兩個術(shù)語使用的混淆客觀上導(dǎo)致了當前用戶信息權(quán)利與企業(yè)數(shù)據(jù)權(quán)利需求的沖突，成為信息、數(shù)據(jù)權(quán)利法律適用的困境所在。

（二）企業(yè)數(shù)據(jù)權(quán)利與用戶信息權(quán)利關(guān)系不明

目前，我國企業(yè)數(shù)據(jù)權(quán)利主要由《反不正當競爭法》調(diào)整。判斷標準體現(xiàn)為是否違反“三重授權(quán)原則”，即合法的企業(yè)數(shù)據(jù)二次使用需要有用戶授權(quán)企業(yè)采集與存儲、用戶授權(quán)企業(yè)向第三方共享、企業(yè)同意向第三方數(shù)據(jù)共享三個授權(quán)同意的意思表示，第三方才能合法獲取數(shù)據(jù)，并基于授權(quán)使用。

競爭法保護企業(yè)數(shù)據(jù)交易的優(yōu)點在于法條的可擴展性較強，但由于競爭法具有很強的模糊性，用戶舉證能力有限，用戶在合同簽訂時一般處于不利地位和訴訟成本過高等，僅通過競爭法調(diào)整企業(yè)數(shù)據(jù)安全問題并不能滿足保護用戶信息、數(shù)據(jù)權(quán)利的需求。需從厘清企業(yè)數(shù)據(jù)權(quán)利與用戶信息權(quán)利的關(guān)系入手解決這一問題。

二、

數(shù)據(jù)安全視野下企業(yè)數(shù)據(jù)權(quán)利與用戶信息權(quán)利的關(guān)系認定

企業(yè)數(shù)據(jù)賦權(quán)說有利于規(guī)范數(shù)據(jù)市場，但對企業(yè)數(shù)據(jù)進行財產(chǎn)權(quán)賦權(quán)會直接與用戶信息權(quán)利產(chǎn)生沖突。梳理企業(yè)數(shù)據(jù)權(quán)利和用戶信息權(quán)利之間的關(guān)系，方能判斷企業(yè)數(shù)據(jù)權(quán)利是否具備成為支配性財產(chǎn)權(quán)的基礎(chǔ)。

（一）企業(yè)數(shù)據(jù)財產(chǎn)權(quán)賦權(quán)說的沿革與評述

“數(shù)據(jù)賦權(quán)說”從時間上有數(shù)據(jù)庫賦權(quán)討論與企業(yè)數(shù)據(jù)賦權(quán)討論兩個階段。前者始于1996年歐盟頒布的《關(guān)于數(shù)據(jù)庫法律保護的指令》，傾向于保護企業(yè)利益。但是當前用戶逐漸成為數(shù)據(jù)安全事件的受害者，數(shù)據(jù)庫權(quán)的制度參考價值不強。在企業(yè)數(shù)據(jù)賦權(quán)的討論中，絕大部分觀點均采用“數(shù)據(jù)財產(chǎn)權(quán)”這一表述方式。結(jié)合文獻來看，財產(chǎn)權(quán)屬于一種支配權(quán)。由于企業(yè)的數(shù)據(jù)財產(chǎn)屬于勞動產(chǎn)品，具有有用性和稀缺性，設(shè)立企業(yè)數(shù)據(jù)財產(chǎn)權(quán)有利于降低交易成本，實現(xiàn)數(shù)據(jù)資源最大化利用，因此有人主張設(shè)立企業(yè)數(shù)據(jù)財產(chǎn)權(quán)。然而，一方面無法證明其負面影響可控，另一方面會與保護信息基礎(chǔ)權(quán)利的法律沖突，故非最佳選擇。對此，有學(xué)者提出“數(shù)據(jù)所有權(quán)+用益權(quán)”的制度安排，從權(quán)利配置的角度論述對企業(yè)數(shù)據(jù)權(quán)利的限制方式。

（二）企業(yè)數(shù)據(jù)權(quán)利與用戶信息權(quán)利的區(qū)分

對企業(yè)數(shù)據(jù)權(quán)利與用戶數(shù)據(jù)權(quán)利的討論應(yīng)包含個人信息、商業(yè)秘密、隱私權(quán)、知識產(chǎn)權(quán)的廣義數(shù)據(jù)權(quán)利配置問題。用戶信息權(quán)利屬于用戶的基礎(chǔ)權(quán)利在信息層面的請求權(quán)集合。對用戶而言，主要關(guān)注信息內(nèi)涵的基礎(chǔ)權(quán)利；對企業(yè)而言，其對數(shù)據(jù)所代表的基礎(chǔ)權(quán)利并無任何權(quán)利，而是通過用戶基礎(chǔ)權(quán)利數(shù)據(jù)化獲得生產(chǎn)力。數(shù)據(jù)權(quán)利與信息基礎(chǔ)權(quán)利應(yīng)當屬于同一不可分割客體的兩種價值層面，不能等同。

（三）企業(yè)數(shù)據(jù)權(quán)利作為財產(chǎn)權(quán)的獨立性研判

企業(yè)數(shù)據(jù)財產(chǎn)權(quán)不是一種具有支配性、排他性的所有權(quán)，而是一種通過合同取得的，基于用戶信息數(shù)據(jù)權(quán)利的授權(quán)下的使用權(quán)。在民事規(guī)則的制定上，應(yīng)當采用責任規(guī)則的方法，對數(shù)據(jù)流動設(shè)置以企業(yè)數(shù)據(jù)安全保護義務(wù)為主的規(guī)則，兼顧企業(yè)數(shù)據(jù)的生產(chǎn)價值與作為用戶信息內(nèi)容的用戶基礎(chǔ)權(quán)利的財產(chǎn)價值。

三、

從財產(chǎn)規(guī)則設(shè)計向責任規(guī)則設(shè)計轉(zhuǎn)變

企業(yè)對所持有數(shù)據(jù)的安全保護義務(wù)在《網(wǎng)絡(luò)安全法》與《數(shù)據(jù)安全法》中已有規(guī)定，但尚需解決其在私法中適用的問題。

（一）企業(yè)數(shù)據(jù)安全保護公法義務(wù)的范圍

我國對用戶信息權(quán)利與企業(yè)數(shù)據(jù)權(quán)利的規(guī)范性法律文件的制定呈現(xiàn)出行政責任為主、民事責任為輔的特點，相應(yīng)的民事規(guī)則沒有專門規(guī)定，在《數(shù)據(jù)安全法》生效前需通過《網(wǎng)絡(luò)安全法》實現(xiàn)。《數(shù)據(jù)安全法》基本承襲了《網(wǎng)絡(luò)安全法》對數(shù)據(jù)安全保護義務(wù)的設(shè)計，并增加了數(shù)據(jù)來源確認義務(wù)，核心在于防止企業(yè)數(shù)據(jù)泄露以及數(shù)據(jù)泄露的事后補救，但無法直接通過這兩部法律對數(shù)據(jù)泄露導(dǎo)致的用戶損害進行民事救濟。《民法典》第1038條規(guī)定了信息處理者對個人信息的安全保障義務(wù)，亦無法對數(shù)據(jù)安全保護提供完整的制度參考。因此，尚需尋找可以普遍適用的民事規(guī)則，在私法層面將《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》的具體規(guī)則作為特定民事法律條文的解釋依據(jù)。

（二）企業(yè)對用戶信息權(quán)利承擔安全保護義務(wù)的民法適用依據(jù)

在《網(wǎng)絡(luò)安全法》與《數(shù)據(jù)安全法》中，企業(yè)數(shù)據(jù)安全保護義務(wù)框架已較為清晰。在當前民事立法背景下，有兩種援引其他法律規(guī)定的情形：其一，《網(wǎng)絡(luò)安全法》與《數(shù)據(jù)安全法》中的具體規(guī)定可以作為相關(guān)合同條款的解釋依據(jù)，基于合同法律關(guān)系被援引；其二，企業(yè)數(shù)據(jù)安全保護義務(wù)可以作為判斷企業(yè)是否違反《民法典》第1198條的具體標準，在侵權(quán)法律關(guān)系中被援引。

安全保障義務(wù)的義務(wù)主體范圍被定義為“經(jīng)營場所、公共場所的經(jīng)營者、組織者”。網(wǎng)絡(luò)環(huán)境作為公共、經(jīng)營場所的認定不存在體系障礙，在企業(yè)違反安保義務(wù)的認定上，實踐中應(yīng)當依照用戶數(shù)據(jù)信息的基礎(chǔ)權(quán)利不同而采用不同的過錯認定標準，實現(xiàn)個案公正。

四、

企業(yè)數(shù)據(jù)權(quán)利與用戶信息權(quán)利的協(xié)調(diào)

（一）明確企業(yè)數(shù)據(jù)權(quán)利與用戶信息權(quán)利的關(guān)系

企業(yè)通過合同收集用戶信息，實現(xiàn)信息權(quán)利中的數(shù)據(jù)價值，對于信息的實體價值并不關(guān)心。若用戶僅基于數(shù)據(jù)層面而非信息基礎(chǔ)權(quán)利層面的價值交換而與企業(yè)簽訂數(shù)據(jù)流轉(zhuǎn)合同，則應(yīng)將企業(yè)數(shù)據(jù)權(quán)利視為用戶基于其信息權(quán)利對企業(yè)數(shù)據(jù)應(yīng)用層面的授權(quán)，而非獨立的、具有支配性的財產(chǎn)權(quán)。由于信息基于數(shù)據(jù)整體而轉(zhuǎn)移，企業(yè)對其管理、控制空間內(nèi)占有的用戶信息應(yīng)當負有安全保護義務(wù)。

（二）明確企業(yè)對用戶的民事數(shù)據(jù)安全保護義務(wù)與法律責任

企業(yè)數(shù)據(jù)安全保護義務(wù)可以在不阻礙企業(yè)數(shù)據(jù)正常流動的前提下保護用戶的合法權(quán)益。企業(yè)并沒有對用戶的信息權(quán)利的所有權(quán)，僅在對用戶的所有權(quán)產(chǎn)生侵害的時候承擔責任。在違反該義務(wù)的責任承擔上，應(yīng)當依照《民法典》第1198條承擔侵權(quán)責任。在責任的承擔方式上，應(yīng)當以賠償損失與消除危險為主。在損害賠償責任的確定上，個保法第68條第2款給出了“依照個人所受損害”與“信息處理者獲益”兩種確定方式，可以推而廣之。前者為對實際侵權(quán)損害的計算，是主要的，而后者僅為對數(shù)據(jù)權(quán)利損害的計算，是兜底。信息處理者的獲益，可以采用“特定產(chǎn)品銷售額÷用戶數(shù)量”等與案件實際情況契合的方式計算。

（三）完善企業(yè)違反數(shù)據(jù)安全保護義務(wù)的認定標準

在企業(yè)是否違反數(shù)據(jù)安全保障義務(wù)的具體認定標準上，是否取得行業(yè)技術(shù)、管理標準的認證可以作為認定標準：已取得管理標準(如ISO27001、GB/T22080)、技術(shù)標準(如GB/T20273)認證，且滿足法律對去標識化、信息留存時間等其他要求的，應(yīng)視為盡到數(shù)據(jù)安全保護義務(wù)；未取得或未完全取得認證的，則可依照漢德公式(B＞PL)確定企業(yè)是否違反數(shù)據(jù)安全保護義務(wù)。

五、

結(jié)語

信息、數(shù)據(jù)并不嚴格等同，通過“三重授權(quán)原則”僅能有效保護企業(yè)數(shù)據(jù)權(quán)益而無法有效保護用戶信息權(quán)益。企業(yè)數(shù)據(jù)安全保護義務(wù)可以在不阻礙企業(yè)數(shù)據(jù)正常流動的前提下保護用戶的合法權(quán)益。企業(yè)并沒有對用戶的信息權(quán)利的所有權(quán)，僅在對用戶的所有權(quán)產(chǎn)生侵害的時候承擔責任。《民法典》第1198條可以適用于數(shù)據(jù)泄露、授權(quán)外共享等情形。依照個保法與漢德公式，可以協(xié)調(diào)企業(yè)數(shù)據(jù)權(quán)益與用戶信息權(quán)益，解決未來可能出現(xiàn)的數(shù)據(jù)糾紛。