合规即权利——基于《上海市数据条例》数据财产权益条款的思考
发布时间:2021-12-16
文 | 朱培 汇业律师事务所 合伙人
2021年11月25日上海市第十五届人民代表大会常务委员会第三十七次会议通过了《上海市数据条例》(下称“《上海数据条例》”),该条例进一步扩大了数据财产权益的范围,在保护成型的数据产品和服务同时,亦在一定程度上承认了尚不构成产品的原始数据集享有财产权益。
对于身处数据处理链路的相关企业而言,是否就可以抛去后顾之忧,认为其享有的“数据财产权益”可放心大胆地交易且必受到保护?企业是否意识到“数据财产权益”对其而言意味着需要进一步提升数据合规治理和数据管理?是否意识到企业的“数据财产权益”基础可能并不牢靠?是否意识到“数据财产权益”可能导致原有基于民法、著作权法、竞争法的保护路径可能受到挑战?
一、什么样的“数据财产权益”受到保护
《上海数据条例》作为《网安法》《民法典》《数安法》和《个保法》(下称“上位法”)正式施行后首部在个人信息保护及数据保护领域通过的综合性地方立法,内容和法律用语上与上位法的规定保持协调一致。《上海数据条例》在多维度体现了上海地方立法鼓励数据应用及创新,同时考虑到数据财产权益相关法律问题的复杂性及新颖性,地方立法在上位法框架内从保护角度强调了对数据创新活动中取得的财产权益的保护。以下就《数安法》 《民法典》 《深圳数据条例》及《上海数据条例》相关规定列示如下:
综上可知,首先,我们理解相较于《深圳数据条例》赋权对象为比较成型的数据产品和服务,《上海数据条例》更进一步,在一定程度上承认了尚不构成产品的原始数据集也具有财产权益,也即《上海数据条例》扩大了保护范围。
其次,在扩大了保护范围的同时,《上海数据条例》进一步要求获得保护的“数据财产权益”不得存在危害国家安全、公共利益、侵害个人隐私、未经合法权利人授权同意等情形。也即该等数据系通过合法、正当的方式收集。(以下将前述要求统称为“合法性要求”)
二、“数据财产权益”合法性要求对其他权益保护路径的限缩
1. 在数据采集行业,相关企业会投入人力物力收集不同地区人群的语音信息将其出售给相关人工智能行业,以便开发相关产品。在此情境下,如存在第三方通过网络传播该等数据包或向第三方出售。对于采集方而言,其通常救济路径系主张构成著作权法项下录音制作者的权利得到保护,在前个保法时代,法院一般推定在录音制品上署名者为权利人,而通常不会审查录音制品本身的合法性问题。而在个保法及“数据财产权益”的语境下,如企业不能证明其在收集自然人的语音过程中取得了被录制者的单独同意,侵权人可能会主张企业所主张保护的录音制品系非法制品,而对于非法制品企业的权利仅限于阻止他人进行传播,司法并不支持赔偿经济损失的诉请。就此而言,对企业而言面临哑巴吃黄连有苦说不出的两难境地,主张权利受到侵害,将面临在判决书中被认定为非法制品的风险,不主张权利受侵害,将任由侵权行为发生,亦将影响数据财产权益的商业化使用。
2. 而在采集相关人脸肖像的行业,对于存量的通过肖像权许可协议获得的相关数据集,在《个保法》及“数据财产权益”的语境下同样存在维权困境。虽然企业可能已经与相关权利主体签署了肖像权许可协议,但是我们理解授权内容和用途难以符合“数据财产权益”的合法性要求。就此而言,权利人想通过“数据财产权益”的路径维护自身权益的可能性存在困境,即使依照民法典的相关规定主张享有相关权益,亦可能受到“数据财产权益”合法性要求的限制,从而难以证明其享有的相关权益可进行流通交易。
3. 而在开源数据集行业,该等情形将会变得更为复杂。首先,何为“开源”实践中存在不同的理解,有认为开源的非商业化使用仅指供学校及科研机构研究使用(即使是学校及科研机构亦不得将数据集的衍生品用于商业使用),对于企业而言不得进行下载或传播;而在知识共享许可协议(CC协议)的语境下,非商业性使用并不限制企业进行分发、传播及下载。其次,权利人的业务模式,亦可能影响其主张“数据财产权益”的保护,举例而言如其业务模式本身仅为售卖数据本身,则数据本身已能体现数据的全部价值;如数据本身并不能体现全部价值,而需要通过提供后续数据服务赚取服务费的,则数据本身的价值难以证明。在此情形下,我们理解如果其他企业仅分发、传播数据集且未收取任何费用,且未侵夺权利人为其潜在客户提供服务可能性的,则难谓构成不正当竞争行为。再次,对于权利人而言其通常会将同一数据集进行拆分出售,其在诉讼过程中如何证明其对外出售获益的数据产品与侵权人侵害的数据财产权益的产品具有同一性也存在难点。最后,如何避免其公开数据集产品的权利管理信息被篡改,而使得众多传播侵权方主张有权使用亦是权利方需要在进行日常数据管理工作中需要考虑的事宜。
三、企业如何稳固数据财产权益根基
随着《网安法》、《数安法》和《个保法》的实施,继由《上海数据条例》规定的“数据财产权益”保护规则为开始,“数据财产权益”保护规则也将日趋完善并最终可能上升为法律。可以预见,个人信息保护规则、数据财产权益的保护规则及其他法律中规定的相关权益保护规范适用冲突将日益凸显,并将处于持续争议中。对于企业而言,应当认识到只有在日常数据管理中落实溯源管理及相关数据集的授权管理,持续符合“数据财产权益”的合法性要求,才能在面临侵权时基于稳固的数据财产权益主张相关权益保护。根据我们服务相关企业的经验,我们建议如下:
1. 对数据资产中涉及个人信息的来源进行审核,确保相关个人信息来源及处理活动全程合法合规,同时需要注意民法典、著作权法及反不正当竞争法中可能涉及相关权益的授权。
2. 对于相关数据交易应当逐步从传统的线下交付或线上交付转为有可验证的数字所有权证明的交付形式。
3. 对于开源数据集而言,宜采取技术措施防止权利管理信息被随意篡改,同时注意著作权的授权范围与开源行业的通用语言保持一致性。
4. 对于基于敏感个人信息数据集开发相应的衍生数据产品的公司,同样应注意对于采购的原始数据集合法性进行审核。
总而言之,数据财产权益的合法性要求的连锁效应将可能在后续司法实践中导致权利人基于民法、著作权法及竞争法保护的既有审判逻辑受到一定程度上的变化。而身处其中的企业,在主张其数据财产权益应当受到保护的同时,更应意识到合规即产品合规即权利。