欲知企業數據權利邊界 且看《數據安全法》_API

在《數據安全法》（草案）以及《金融數據安全 數據安全分級指南》（送審稿）披露之際，關于數據權利邊界的問題，再次引發學界及實踐熱議。今天，我們僅結合經典案例，談一談企業在數據處理中享有的權利內容。

某寶公司設立某線上交易集合平臺，供各類商戶自行售賣自家商品。同時，某寶公司也利用商戶與消費者的交易信息，開發出零售電商數據產品“生意參謀”。“生意參謀”內設“行業大盤”、“商品店鋪榜”、“搜索詞分析”、“買家人群畫像”、“賣家人群畫像”、“搜索人群畫像”等不同板塊，具體顯示內容為趨勢圖、排行榜、占比圖等各類形式的預測型、指數型、統計型數據信息。

以上走勢圖等數據信息為商家的市場預測及營銷戰略調整等提供了重要依據。對此，某寶將“生意參謀”分設市場行情標準版及專業版對外售賣，已知該產品累計服務商家已超過2000萬，月服務商家超500萬。

某寶在《軟件服務協議》中明確“用戶使用規范”如下：禁止其他個人或企業出售、轉售或復制、開發某寶授予的使用權限；禁止將開通使用權限的賬戶出售、出租、出借或以其他方式提供給第三方使用；禁止未經某寶公司許可將通過生意參謀零售電商大數據軟件獲得的各項數據內容向任何第三方披露、轉讓、出售、許可或以其他方式提供給第三方使用等。

誰料想，某信息科技有限公司開發出“某生意參謀眾籌”網站，推廣“某互助平臺”，教唆、引誘已訂購某寶公司“生意參謀”產品的某寶用戶下載“某互助平臺”客戶端，通過該軟件相互分享、共用、出租其“生意參謀”產品子賬戶獲取傭金。

此外，某信息科技有限公司組織“某互助平臺”用戶租用某寶公司“生意參謀”產品子賬戶，某信息科技有限公司為“租用者”通過遠程登錄“出租者”電腦等方式使用“出租者”的子賬戶查看“生意參謀”產品數據內容，提供技術幫助，并從中牟利等。

Backed Finance推出貝萊德ETF代幣化版本及ERC-20 Token“bCSPX”:金色財經報道，瑞士加密公司Backed Finance宣布推出貝萊德ETF代幣化版本及在以太坊區塊鏈上允許的ERC-20 Token“bCSPX”，該ETF追蹤蘋果、微軟、亞馬遜、Alphabet等美國大公司。據Backed Finance稱，相關代幣由這些股票股份1:1比例支持，股份則被持牌托管方持有。需要注意的是，目前Uniswap界面顯示bCSPX目前狀態為“不受支持”，原因是其“可能無法很好地與智能合約配合使用，或者我們 [Uniswap] 出于法律原因無法進行交易”。（decrypt）[2023/2/12 12:01:30]

某寶公司認為，某信息科技有限公司的上述行為，對某寶公司數據產品已構成實質性替代，直接導致了某寶公司數據產品訂購量和銷售額的減少，極大損害了某寶公司的經濟利益，同時惡意破壞了某寶公司的商業模式，嚴重擾亂了大數據行業的競爭秩序。故，向法院提起訴訟。

本案在訴訟過程中，某信息技術有限公司對某寶的數據收集行為以及某寶對收集來的信息予以加工后的產品權益提出質疑。

本案的經典之處便在于，市場主體可以從裁判文書中去了解司法機關對于如何收集網絡用戶的信息才是正當的，以及某寶公司對于“生意參謀”數據產品是否享有法定權益的指導性思路。

信息是數據的內容，數據是信息的形式。涉案數據產品的數據內容雖然來源于某寶公司所收集的原始數據，但這些原始數據是網絡用戶瀏覽、搜索、收藏、加購、交易等行為痕跡信息外化為數字、符號、文字、圖像等方式的表現形式。

原始數據所具有的實用價值在于其所包含的網絡用戶信息內容，而不在于其形式。因網絡用戶對于其用戶信息依法享有獲得安全保護的權利。

亞利桑那州立法者希望加密貨幣成為免稅財產:金色財經報道，亞利桑那州參議院的立法者正在考慮一項旨在讓選民決定虛擬貨幣是否免征財產稅的法案。在 2023 年提交給亞利桑那州參議院第一屆會議的立法中，參議員 Wendy Rogers、Sonny Borrelli 和 Justine Wadsack 提議讓亞利桑那州居民決定修改該州有關財產稅的憲法。如果該措施在立法機關獲得通過，選民可以選擇是否在 2024 年 11 月在該州免稅虛擬貨幣。

根據亞利桑那州的憲法，所有聯邦、州、縣和市的財產都是免稅的，公共債務、許多家庭用品和某些“原材料或成品庫存、未組裝部件、半成品或成品”也是如此。根據亞利桑那州國務卿的數據顯示，2022 年 11 月的大選有超過 400 萬登記選民，該州略微傾向于共和黨。立法者在前幾屆會議上試圖推進與加密貨幣和稅收相關的立法，例如 2018 年的法案允許居民在州長 Doug Ducey 否決該法案之前，以加密方式提交稅款。[2023/1/25 11:29:25]

本案中，在“生意參謀”數據產品形成過程中某寶公司是否具有不正當行為，主要應考量其收集并使用原始數據信息是否符合相關法律規定，是否存在侵害網絡用戶信息安全的行為。

第一，根據《中華人民共和國網絡安全法》的相關規定，網絡運營者收集、使用網絡用戶信息，應根據信息的不同類型，分別承擔相應的安全保護義務。

網絡安全法第二十二條規定，“網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規關于個人信息保護的規定”。

《網絡安全法》第七十六條規定，個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

加密支付公司Ramp完成7000萬美元B輪融資:金色財經報道，加密支付公司 Ramp 在 B 輪融資中籌集了 7000 萬美元，創始人聲稱其估值在“非常健康”的一輪融資中增長了50%以上。其B輪融資由 Mudabala Capital和風險投資公司 Korelya Capital牽頭。Cogito Capital和之前的主要支持者Balderton Capital參投。?

金色財經此前報道稱，這家初創公司在去年 A輪融資時估值 3 億美元。[2022/11/9 12:39:14]

根據上述法律規定，用戶信息包括個人信息和非個人信息。前者指向單獨或與其他信息結合識別自然人個人身份的各種信息和敏感信息，后者包括無法識別到特定個人的諸如網絡活動記錄等數據信息。

由于法律對收集、使用上述信息規定了不同的標準，同時對如何收集、使用用戶信息進行了明確的規制。因此，在評判某寶公司收集、使用涉案數據信息是否具有正當性時，首先須區分其收集、使用的涉案數據信息屬于何種類型。

從本案查明的事實來看，“生意參謀”數據產品所涉網絡用戶信息主要表現為網絡用戶瀏覽、搜索、收藏、加購、交易等行為痕跡信息以及由行為痕跡信息推測所得出的行為人的性別、職業、所在區域、個人偏好等標簽信息。

這些行為痕跡信息與標簽信息并不具備能夠單獨或者與其他信息結合識別自然人個人身份的可能性，故其不屬于網絡安全法中的網絡用戶個人信息，而屬于網絡用戶非個人信息。

第二，對于網絡運營者收集非個人信息，網絡安全法第二十二條明確了網絡運營者的責任，即網絡產品、服務具有收集用戶信息功能的，應當向用戶明示并取得同意。

就本案而言，法院認為，網絡運營者不僅對于網絡用戶信息負有安全保護的法定義務。同時，因網絡運營者與網絡用戶之間存在服務合同關系，基于“公平、誠信”的契約精神原則要求，網絡運營者對于保護網絡用戶合理關切的個人隱私和商戶經營秘密負有高度關注的義務。

VOTTUN擬在年底前通過Token發行募集2000萬歐元:10月8日消息，被稱為Web3領域中WordPress的VOTTUN計劃在2022年底前通過Token發行募集2000萬歐元資金。該公司推出了基于區塊鏈技術的模板，幫助雀巢、Estrella Damm和世界銀行等公司跟蹤數據、驗證身份、管理加密支付和啟動NFT，其即用型區塊鏈產品也支持追蹤和驗證數據。

（freshgooglenews）[2022/10/9 12:50:01]

網絡用戶行為痕跡信息不同于其他非個人信息，這些行為痕跡信息包含有涉及用戶個人偏好或商戶經營秘密等敏感信息。因部分網絡用戶在網絡上留有個人身份信息，其敏感信息容易與特定主體發生對應聯系，會暴露其個人隱私或經營秘密。

因此，對于網絡運營者收集、使用網絡用戶行為痕跡信息，除未留有個人信息的網絡用戶所提供的以及網絡用戶已自行公開披露的信息之外，應比照網絡安全法第四十一條、第四十二條關于網絡用戶個人信息保護的相應規定予以規制。

第三，根據網絡安全法第四十一條規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和用戶的約定，處理其保存的個人信息。

本案中，某寶公司作為某寶網的服務提供者，在網絡上已公示了《某寶平臺服務協議》與某寶隱私權政策，某寶隱私權政策明確宣示了收集、使用用戶信息的目的、方式、范圍，其收集、使用各類網絡用戶信息與所提供的服務能相互對應，符合“必要與最少限度”的要求。

Polygon鏈上DeFi協議總鎖倉量為16.2億美元:金色財經報道，據DefiLlama數據顯示，目前Polygon鏈上DeFi協議總鎖倉量為16.2億美元，24小時增加-1.75%。鎖倉資產排名前五分別為AAVE（3.61億美元）、Quickswap（2.88億美元）、Curve（1.62億美元）、Meshswap（0.74億美元）、Stargate（0.72億美元）。[2022/7/10 2:03:40]

同時某寶隱私權政策提示會根據用戶瀏覽及搜索記錄、設備信息、位置信息、訂單信息，提取瀏覽、搜索偏好、行為習慣等特征，基于特征標簽進行間接人群畫像并展示，且明確告知用戶如果拒絕提供相關信息，可能無法使用相應的服務，或者無法展示相關信息，但不影響使用某寶網瀏覽、搜索、交易等基本服務，提示了用戶的選擇權。

此外，某寶公司在某寶隱私權政策中有以下承諾：“如果我們將非個人信息與其他信息結合用于識別特定自然人身份，或者將其與個人信息結合使用，則在結合使用期間，這類非個人信息將被視為個人信息，除取得您授權或法律法規另有規定外，我們會將該類個人信息做匿名化、去標識化處理”。

由此可見，某寶隱私權政策所宣示的用戶信息收集、使用規則在形式上符合“合法、正當、必要”的原則要求。經審查，“生意參謀”數據產品中可能涉及的用戶信息種類均在某寶隱私權政策已宣示的信息收集、使用范圍之內，其中生意參謀”數據產品所展示的商戶經營信息均為商戶在某寶服務平臺上已自行公開的信息，未發現某寶公司有違反其所宣示的用戶信息收集、使用規則的行為。

第四，根據網絡安全法第四十二條規定“網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外”。

對此，網絡用戶向網絡運營者提供信息是基于對該網絡運營者信息安全保護能力的信賴，如果網絡運營者公開使用或許可他人使用網絡用戶信息，網絡用戶信息安全將面臨新的不可預測的風險，超出了網絡用戶對信息安全保護的原有預期。

因網絡運營者對于網絡用戶信息的安全負有法定保護義務和審慎注意義務，網絡運營者公開使用或許可他人使用其收集的網絡用戶個人信息、個人行為痕跡信息的，應事先另行取得被收集者的明示同意。

涉案“生意參謀”數據產品所使用的網絡用戶信息經過匿名化脫敏處理后已無法識別特定個人且不能復原，公開“生意參謀”數據產品數據內容，對網絡用戶信息提供者不會產生不利影響。且某寶公司的某寶隱私權政策已宣布：“經去標識化處理的個人信息，且確保數據接收方無法復原并重新識別個人信息主體的，不屬于個人信息的對外共享、轉讓及公開披露行為，對此類數據的保存及處理將無需另行向用戶通知并征得用戶的同意”。

因而，某寶公司公開使用經匿名化脫敏處理后的數據內容屬于上述法律規定的除外情形，即無需另行征得網絡用戶的明示同意。

綜上所述，從規則公開方面來看：

① 某寶公司已向某寶用戶公開了涉及個人信息、非個人信息收集規定的《法律聲明及隱私權政策》；

②從取得用戶同意方面來看，某寶公司在其用戶注冊賬號時通過服務協議、法律聲明及隱私權政策的形式取得了授權許可；

③從行為的合法正當性來看，某寶公司經授權后收集使用的原始數據均來自于某寶用戶的主動提供或平臺自動獲取的活動痕跡，不存在非法渠道獲取信息的行為；

④ 從行為必要性來看，某寶公司收集、使用原始數據的目的在于通過大數據分析為用戶的經營活動提供參謀服務，其使用數據信息的目的、方式和范圍均符合相關法律規定。

因此，某寶公司收集、使用網絡用戶信息以及“生意參謀”數據產品公開使用網絡用戶信息的行為符合法律規定，具有正當性。

接下來，某寶公司對于“生意參謀”數據產品是否享有合法權益呢？

首先，網絡運營者與網絡用戶之間系服務合同關系。網絡用戶向網絡運營者提供用戶信息的真實目的是為了獲取相關網絡服務。網絡用戶信息作為單一信息加以使用，通常情況下并不當然具有直接的經濟價值，在無法律規定或合同特別約定的情況下，網絡用戶對于其提供于網絡運營者的單個用戶信息尚無獨立的財產權或財產性權益可言；

其次，鑒于原始網絡數據，只是對網絡用戶信息進行了數字化記錄的轉換，網絡運營者雖然在此轉換過程中付出了一定勞動，但原始網絡數據的內容仍未脫離原網絡用戶信息范圍，故網絡運營者對于原始網絡數據仍應受制于網絡用戶對于其所提供的用戶信息的控制，而不能享有獨立的權利，網絡運營者只能依其與網絡用戶的約定享有對原始網絡數據的使用權；

再次，網絡大數據產品不同于原始網絡數據，其提供的數據內容雖然同樣源于網絡用戶信息，但經過網絡運營者大量的智力勞動成果投入，經過深度開發與系統整合，最終呈現給消費者的數據內容，已獨立于網絡用戶信息、原始網絡數據之外，是與網絡用戶信息、原始網絡數據無直接對應關系的衍生數據。網絡運營者對于其開發的大數據產品，應當享有自己獨立的財產性權益。隨著互聯網科技的迅猛發展，網絡大數據產品雖然表現為無形資源，但可以為運營者所實際控制和使用，網絡大數據產品應用于市場能為網絡運營者帶來相應的經濟利益。

隨著網絡大數據產品市場價值的日益凸顯，網絡大數據產品自身已成為了市場交易的對象，已實質性具備了商品的交換價值。對于網絡運營者而言，網絡大數據產品已成為其擁有的一項重要的財產權益。另一方面，網絡數據產品的開發與市場應用已成為當前互聯網行業的主要商業模式，是網絡運營者市場競爭優勢的重要來源與核心競爭力所在。

最后，“生意參謀”數據產品中的數據內容系某寶公司付出了人力、物力、財力，經過長期經營積累而形成，具有顯著的即時性、實用性，能夠為商戶店鋪運營提供系統的大數據分析服務，幫助商戶提高經營水平，進而改善廣大消費者的福祉，同時也為某寶公司帶來了可觀的商業利益與市場競爭優勢。“生意參謀”數據產品系某寶公司的勞動成果，其所帶來的權益，應當歸某寶公司所享有。

某寶公司對涉案“生意參謀”數據產品享有競爭性財產權益。而對于某寶公司訴稱其對涉案原始數據享有財產權、某信息科技有限公司辯稱某寶用戶對涉案網絡用戶信息享有財產權的訴訟主張，人民法院不再支持。

對于某寶公司訴稱其對涉案“生意參謀”數據產品享有財產所有權的訴訟主張，法院認為，財產所有權作為一項絕對權利，如果賦予網絡運營者享有網絡大數據產品財產所有權，則意味不特定多數人將因此承擔相應的義務。是否賦予網絡運營者享有網絡大數據產品財產所有權，事關民事法律制度的確定，限于我國法律目前對于數據產品的權利保護尚未作出具體規定，基于“物權法定”原則，故對某寶公司該項訴訟主張，人民法院不予確認。

以上經典案例，我們可以看到，企業對其收集加工的個人信息也享有一定的權利，但卻并不是財產權、所有權。

我國現有規定，在法律層面將信息主體的“授權同意”作為企業處理使用個人信息的合法性基礎。當我們深入反思“授權同意”原則背后的邏輯所在時發現，該原則本質上是在嘗試將個人信息的“所有權”（或者“控制權利”）在一定條件下，轉移至企業以方便企業的數據利用。

“同意規則的一般化的法律效果是，個人信息的使用由個人決定，個人信息成為由個人支配的客體，形成所謂的個人信息支配權”。如此，也才會出現上述案例中，某寶公司主張其對涉案“生意參謀”數據產品享有財產所有權；某信息科技有限公司認為的“個人信息權利屬于個人信息主體”等訴求內容。

我國長期存在將個人信息保護權利化的傾向，認為個人對個人信息的使用具有決定權利。如此做法，實際就是將德國憲法上的個人信息自決權直接轉化為民法上的個人信息權利。而將個人信息自決權等同于私法上人個信息支配權是一種誤讀。

對此，法院裁判能發現企業對數據所享有的權益內容，并在此基礎上最終裁判是數據理論發展的重要進步。

Tags：KENSWAPAPIPITISKRA TokenSwaprolThe ApisSPIT價格

Gate交易所