区块链法律合规白皮书.pdf
区块链法律合规白皮书 编写单位:深圳壹账通智能科技有限公司 2019-4-16编委会主任: 编委会副主任: 编写组组长:编写组成员 :校 对: 陈心颖 叶望春 陈 蓉 程 啸 门雪松 窦文伟 雷志凌 钱 洋 唐明思 王 硕 王 鹏 陆一帆 熊定中 周政宇 王梦寒 冯承勇 覃耀文 童慎微 汤 雯 司 政 严婷婷 张春艳 阮神裕 向子瞭 周燕目 录 序 前言 一、 中国区块链法律法规政策体系及监管框架 ( 一 ) 区块链法律法规政策体系 ( 二 ) 区块链监管框架 二、 区块链技术下的数据权属及数据合规 ( 三 ) 数据新型财产权利的权属分析 ( 四 ) 区块链数据权属的一般规则 ( 五 ) 区块链数据的权属分析 ( 六 ) 政务信息资源的权属分析 ( 七 ) 联盟链技术背景下区块链数据权属的一般规则 ( 八 ) 区块链技术下数据交互合规 三、 区块链数据的法律效力 ( 九 ) 立法认可区块链数据作为电子证据的有效性 ( 十 ) 司法解释明确区块链数据作为电子证据的有效性 ( 十一 ) 审判实践对区块链数据作为有效证据的认可 ( 十二 ) 互联网法院司法区块链建设推进电子证据全流程可信 四、 区块链信息合规监管 ( 十三 ) 区块链信息安全监管要求 ( 十四 ) 区块链金融信息安全监管要求及合规建议 ( 十五 ) 区块链信息服务管理规定理解与适用 五、 区块链数据出境合规 ( 十六 ) 数据跨境交互的趋势 ( 十七 ) 数据出境的基本要求 ( 十八 ) 金融数据出境合规指引 1 3 4 4 6 8 8 11 12 15 16 17 19 19 19 20 21 22 22 23 24 30 30 30 32 陈心颖 叶望春 陈 蓉 程 啸 门雪松 窦文伟 雷志凌 钱 洋 唐明思 王 硕 王 鹏 陆一帆 熊定中 周政宇 王梦寒 冯承勇 覃耀文 童慎微 汤 雯 司 政 严婷婷 张春艳 阮神裕 向子瞭 周燕序 科技革命和产业变革深刻影响和改变着人类发展和世界格局,18 世纪中叶以来,人类历史上先后发生了三次工业革命:以蒸汽机为 代表的第一次工业革命开创了蒸汽时代、以电力大规模应用为代表的第二次工业革命开创了电力时代、以计算机技术为代表的第三次工业 革命开创了信息时代,每一次的技术革命都对社会的发展产生了巨大且不可替代的重要作用。进入 21 世纪以来,全球科技创新空前密集 活跃,以人工智能、区块链、云计算、大数据、物联网为代表的新一代信息技术迅猛发展,并加速应用于各领域的深度融合,新产业、新 业态、新模式不断涌现,新一轮科技革命和产业变革正深刻的改变着人类的生产和生活方式。 在基于技术带动全球产业变革的新工业革命浪潮中,区块链作为一项推动“信息互联网”向“价值互联网”变迁的颠覆性技术,有望 成为全球技术创新和模式创新的桥梁和纽带。区块链技术创新持续加速,核心技术成熟度快速提升,人类借助区块链技术正在打造一个完 全有别于当下互联网的全新时代。目前,区块链正在席卷各行业,世界多国已将区块链技术列入国家战略发展范畴,世界 500 强企业也开 始全面布局区块链,借助区块链技术重新定义用户关系、商业价值、产业规模、生态模式等,区块链不仅是一场技术革新互联网风暴,而 是一场颠覆全球各产业链新兴经济与传统经济,金融行业、市场格局的大变化。 区块链技术具备重构金融业务基础架构的潜力,分布式存储、共识机制、加密算法、智能合约等区块链核心技术,能够显著减少交易 信息的不对称, 降低数据管理、 风险控制的成本, 构建信任机制的新形态。 保险、 银行、 证券、 资产管理等金融领域都存有强烈的内在需求, 通过区块链技术驱动业务升级。 中国平安作为全牌照的金融集团,成立三十年来,始终坚持创新、砥砺前行。随着“金融 + 科技”战略的确立和实施,中国平安正 转型成为全球领先的金融集团和科技集团,在人工智能、区块链、大数据、云计算、金融科技、医疗科技等方面均取得重大突破,区块链 技术作为核心技术之一,也在金融生态建设中得到广泛应用。金融壹账通作为平安集团“金融 + 科技”双驱动战略的重要载体,致力于区 块链基础研究、核心技术研发以及科技成果转化,现已成为区块链技术研究、行业应用的先行者和引领者。其推出的壹账链 BaaS 平台和 FiMAX 底层框架,具有三大优势 : 一是拥有领先的隐私保护系统和完善的信息安全保护方案,解决机构关心的数据安全问题,通过独创的 密码匿踪技术能有效保护链上信息不被泄露;二是具备高性能的底层框架,解决业务关注的效率问题,单链在国密 + 零知识环境下仍可达 到万级别吞吐量;三是系统具有更强的完整性和稳定性,满足项目落地的系统需求,在丰富的产品基础上总结的经验,能够提前一步将系 统做的更稳定、更完善。 这些优势,帮助金融壹账通在与世界顶级技术公司的激烈竞争中获得胜出,建设上线了香港金管局的香港贸易融资平台、天津口岸区 块链试点验证项目、福田汽车“福金 ALL-Link”供应链金融平台等众多前沿项目,为新型金融生态注入了无限想象空间。金融壹账通的区 块链技术成果已广泛的应用于金融、房产、汽车、医疗、智慧城市五大生态圈十四个应用场景,未来仍将持续打造开放的区块链平台,从 应用于实际业务场景,走向服务于整个金融生态圈、为政府部门和机构赋能。 区域链技术在快速发展应用的同时,也可能冲击人们业已构成的相关法律认知,甚至与已有法律秩序形成冲突。科技需要在法律的轨 道上发展,建立健全相关法律法规和政策体系,完善对区块链技术的法律政策规制,提升区块链技术应用的安全评估和管控能力,建设更 加高效、均衡、公平的经济和社会秩序,充分发挥区块链等新技术的正面作用,防范和控制利用区域链实施的欺诈、传销、非法集资、非 法经营等违规违法乱象,也成为当前亟待研究和解决的问题。 “服务国家、服务社会、服务大众”是中国平安时刻铭记于心的使命和理念。履行社会责任,协同推动区块链健康发展,平安义不容 辞。金融壹账通基于世界领先的区块链技术研究和近多个前沿的项目实践,系统梳理了现有的区块链技术及应用的法律制度体系及操作规 则,编制了区块链法律合规白皮书,对区块链技术带来新问题进行了分析研究,为区块链技术能在更加广阔的领域发展和创新应用提 供法律支持。同时,白皮书对数据权属,特别是政务数据、企业数据方面的研究和分析,有助于解决数据孤岛现象,为跨部门协同、精准 1快速服务的实现提供法律支持;对链上数据的法律属性、链上数据交互合规、金融领域应用的合规监管等方面的研究和分析,对于理性看 待区块链等前沿科技的技术优势,妥善应对潜在风险,支持和保障区块链产业新业务新模式的有序发展,具有重要的参考意义,是非常前 瞻性的成果。 “集众智、聚合力、谋大势”,中国平安愿与社会各界共同携手努力,深化科技合作,催生创新动能,用更多更好科技创新成果,协 同驱动智能商业的形成,服务社会经济发展。平安集团副总经理兼首席稽核执行官 叶素兰二一九年四月 23 前言 区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术在互联网时代的创新综合应用,是利用块链式数据结构来 验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组 成的智能合约来编程和操作数据的一种分布式基础架构与计算范式 1 。 区块链技术带来的机遇与挑战已经引起了国家、各行各业的广泛关注。“十三五”国家信息化规划将区块链纳入新技术范畴并做 前沿布局。标志着从中央政府层面开始推动区块链技术的研发和应用的发展。2018 年以来,全国又有 30 余个省市两级政府颁布了 40 多 项政策措施, 支持区块链应用, 带动地方区块链产业发展。 中央和地方各级政府的重视, 已经为区块链产业的发展提供了良好的政策环境 2 。 无论是传统的金融行业、IT 巨头,还是初创公司或自媒体都参与到了这场科技浪潮中来。以区块链技术为基础,在贸易、通讯、大数据、 人工智能及金融科技等多方面正在发生或将要发生一场巨大的变革,各大机构和平台围绕物流和供应链、跨境贸易、信用体系建设和反欺 诈、资产管理等业务纷纷布局。区块链技术应用作为一个蓝海领域,存在未知的风险尚未被完全暴露,因此在进行技术应用的同时,需要做好风险防控工作。区块链 的应用项目也是良莠不齐,存在浓厚的投机氛围,虚假炒作,以科技创新为名行非法集资和金融诈骗之实的现象层出不穷。中国政府已经将区块链纳入监管,相关配套法律、法规、规则及政策文件正在逐步丰富和完善。整体来看,否认比特币、以太币等各 色虚拟货币及代币融资的合法性,对各类数字货币交易场所和代币融资平台予以关停退出。到了 2018 年,全国的代币融资(ICO)和比 特币等虚拟货币交易场所因涉嫌非法集资、非法证券活动,基本全部实现了退出 3 。国家互联网信息办公室(以下网信办)颁布了区块 链信息服务管理规定,正式将通过区块链系统或者技术向公众提供信息服务的行为,纳入了互联网信息安全监管范畴。对利用区块链技 术进行信息传播的行为进行监督管理。 2018 年 5 月 28 日,习近平总书记在中国科学院第十九次院士大会、中国工程院第十四次院士大会上的讲话中明确提出:“进入 21 世纪以来,全球科技创新进入空前密集活跃的时期,新一轮科技革命和产业变革正在重构全球创新版图、重塑全球经济结构。以人工智能、 量子信息、移动通信、物联网、区块链为代表的新一代信息技术加速突破应用”。区块链技术和应用的发展进入了新的阶段。 为了区块链产业的长远健康发展,有必要在做好技术突破和业务创新的同时,做好风险的防控,商业上的创新应用与监管合规的有效 结合是必须考虑的重点问题。区块链项目涉及宏观的法律制度以及微观的人员、安全和操作规则都需要同步建立并配套执行。 本白皮书就区块链项目落地所涉及的合规事项进行初步梳理总结, 对区块链的数据权属、 区块链数据的法律效力等前沿问题研究探索, 并以最新发布的区块链信息服务管理规定为核心就区块链项目的网络安全合规进行初步探讨,供各界区块链产业从业者参考。力图为 区块链产业的合规稳健发展提供支持。 1. 引自中国区块链技术和应用发展白皮书(2016第 5 页。 2. 引自中国区块链技术和应用发展研究报告(2018)第 3 页。 3. 引自人民银行条法司副司长龚雁在 2018 年防范和处置非法集资法律政策宣传座谈会上的讲话。4 一 . 中国区块链法律法规政策体系及监 管框架 ( 一 ) 区块链法律法规政策体系 区块链在中国兴起的时候,政府部门较早的时间就给予了关注。2013 年,政府部门已经关注到了区块链代币的风险并开展了相关治 理整顿工作。2016 年 10 月,工业和信息化部(以下工信部)指导下,中国区块链技术和产业发展论坛发布了中国区块链技术和应用发 展白皮书,这是首次政府指导下的区块链技术文件,自此工信部开始积极推动区块链核心技术和标准的建设工作,标志着区块链技术整 体进入了政府治理视野 4 。 现在已经初步形成了对区块链进行规制的法律法规体系,包括了法律、行政法规、部门规章、其他规范性文件及相关政策文件。主要 包括有网络安全法、刑法、全国人民代表大会常务委员会关于维护互联网安全的决定(2019 修订)、全国人民代表大会 常务委员会关于加强网络信息保护的决定、中华人民共和国计算机信息系统安全保护条例、互联网信息服务管理办法、最高 人民法院关于互联网法院审理案件若干问题的规定、区块链信息服务管理规定等。 总体来看,中国区块链的法律法规政策体系的内容,可以分为两大部分:一是鼓励技术探索,规范技术应用;二是强化对区块链网络 的信息安全管理。 鼓励技术探索,规范技术应用主要表现在三个方面:一是将区块链技术纳入新技术范畴并做前沿布局,鼓励和支持区块链技术研究和 应用的探索;二是认可区块链技术在信息存储和证明领域的应用;三是严格禁止代币发行融资等涉嫌违反法规和监管的业务开展。 1. 鼓励区块链技术探索和运用 国务院已经将区块链技术的研发纳入了国家信息化规划, 在 2016 年 12 月 15 日, 国务院印发了 “十三五” 国家信息化规划 (以下规划) , 布置了“重大任务和重点工程”,提出“加强量子通信、未来网络、类脑计算、人工智能、全息显示、虚拟现实、大数据认知分析、新型 非易失性存储、无人驾驶交通工具、区块链、基因编辑等新技术基础研发和前沿布局,构筑新赛场先发主导优势。”同时还对区块链技术 应用发布了指导意见, 提出了要在信用体系、 供应链、 工业互联网等领域加大区块链的应用研究与探索, 主要有 : (1) 要在区块链、 大数据、 人工智能等交叉融合领域,构建若干产业创新中心和创新网络,促进区块链技术与人工智能的融合,建立新型社会信用体系,最大限度降 低人际交往成本和风险 ;(2) 加强供应链信用和监管服务体系建设,研究利用区块链、人工智能等新兴技术,建立基于供应链的信用评价 机制,加强对信用评级、信用记录、风险预警、违法失信行为等信息的披露和共享。创新供应链监管机制,整合供应链各环节涉及的市场 准入、海关、质检等政策,加强供应链风险管控,促进供应链健康稳定发展。 各中央部委也积极的支持和推动探索区块链技术在供应链、物流、工业网互联网、信用体系建设、信贷风险管理领域的应用。北京、 上海、贵州、山东、浙江、重庆等地,陆续出台了支持区块链技术发展的文件,部分地区将区块链发展列入了当地的金融与发展的“十三五 规划”中。 4. 引自苏宇区块链治理之现状与思考,探索多维价值的复杂平衡 中国法律评论 2018 年第 6 期。5 2. 认可区块链技术在信息存储和证明领域的应用 由于区块链具有难以篡改、删除的特点,在确认诉争的电子数据已经保存至区块链后,法院颁布了司法解释,认可区块链技术作为一 种保持内容完整性的方法具有可靠性。 2018 年 9 月最高人民法院公布的最高人民法院关于互联网法院审理案件若干问题的规定,其中对电子数据的真实性审查就提出 了明确的标准,根据该规定第十一条规定:当事人提交的电子数据,如通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固 定和防篡改的技术手段或者通过电子取证存证平台认证,能够证明其真实性的,互联网法院即应当确认。 在具体的审判实践中,采信区块链数据作为证据的案件逐渐增多。 在杭州互联网法院在华泰一媒文化传媒公司诉深圳市道同科技发展有限公司侵害作品信息网络传播权一案,北京东城区法院在中文在 线数字出版集团股份有限公司诉北京京东叁佰陆拾度电子商务有限公司侵犯作品信息网络传播权纠纷案,北京互联网法院在北京微播视界 科技有限公司与百度在线网络技术(北京)有限公司、百度网讯科技有限公司侵害作品信息网络传播权纠纷案,北京知识产权法院在北京 大公网科技有限公司与深圳市美丽视界文化传播有限公司侵害作品信息网络传播权纠纷案中,均采信了区块链取证作为证据。 同时,杭州互联网法院和北京互联网法院分别推进建设司法区块链,用于著作权保护、合同、金融纠纷等领域的电子证据存证,推进 电子数据的生产、存储、传播和使用实现全流程可信。 3. 严格禁止区块链技术的违规应用 区块链技术本身中立,但是技术的运用应该遵守相应的业务规则。 从现行监管要求来看,严格禁止以区块链技术开展代币融资活动,否认代币的货币属性,禁止数据货币的交易。2017 年 9 月央行等 七委 ( 中国人民银行、中央网信办、工业和信息化部、工商总局、银监会、证监会、保监会)发布的关于防范代币发行融资风险的公告 指出,比特币、以太币等所谓虚拟货币,本质上是一种未经批准非法公开融资的行为,代币发行融资与交易存在多重风险,包括虚假资产 风险、经营失败风险、投资炒作风险等,投资者须自行承担投资风险。要求即日停止各类代币发行融资活动,已完成代币发行融资的组织 和个人应当做出清退等安排。到了 2017 年 11 月底,全国所有已发现的平台均停止 ICO 发行及虚拟货币交易,85 家 ICO 平台均已停止发 行和交易,81 家已完成清退工作,余 4 家失联平台已移交相关责任部门处理;88 家比特币交易平台均已停止交易 5 。人民银行发文要求 金融和支付机构禁止开展代币融资和数字货币交易相关业务。 司法机关加大了对通过区块链技术进行违法犯罪活动的打击力度。从 2016 年起,公安机关破获多起以区块链为名的集资诈骗案件。 2019 年 2 月 20 日公安部副部长孟庆丰在全国公安机关打击非法集资犯罪专项行动和“猎狐 2019”专项行动视频会上表示:公安机关要 把专项行动主攻方向瞄准借助互联网实施的非法集资案件、 互联网金融领域的非法集资案件、 打着 “虚拟货币” 等幌子进行网络传销的案件。 4. 加强区块链网络信息安全监管 区块链作为一种全新的信息存储、传播和管理机制,去中心、自治化的特点给现有的网络和数据安全监管政策带来新的挑战 6 。监管 机构逐渐强化监管力度,从政策制定、技术应对等多方面强化区块链网络信息安全。5. 引自互联网金融风险专项整治工作简报(第 53 期)。 6. 引自区块链安全白皮书 - 技术应用篇(2018 年)第 5 页。6 2019 年 1 月 10 日,网信办发布区块链信息服务管理规定。该规定明确了网信办作为区块链信息服务的监管执法主体,加强区块 链信息服务管理。要求区块链信息服务提供者履行备案手续,建立健全信息安全管理制度和技术保障措施,制定并公开管理规则和平台公 约, 落实真实身份信息认证制度。 服务提供者和服务使用者不得利用区块链信息服务从事法律、 行政法规禁止的活动或者制作、 复制、 发布、 传播法律、 行政法规禁止的信息内容, 对违反法律、 行政法规和服务协议的区块链信息服务提供者和使用者, 应当依法依约采取处置措施; 构成犯罪的,依法追究刑事责任。 ( 二 ) 区块链监管框架 区块链目前是复合监管体系,中央网信办、公安部、工信部、人民银行和银保监等根据现有的政府职能分工,分别在相应的主管领域 内履行对区块链的监管职责。 5. 网信办 网信办是根据国务院授权,负责全国互联网信息内容的管理工作,并负责监督管理执法。网信办根据国务院的授权,对区块链上信息 内容进行监管。出台了区块链信息服务管理规定,核心是要防范、处置区块链链上的有害信息。明确了区块链信息安全责任的主体包 括区块链信息服务提供者和使用者。并要求在上线新产品、新应用、新功能时,要进行安全评估;区块链信息服务提供者应当对区块链信 息服务进行备案,备案系统已经上线。同时要求区块链信息服务提供者应当落实信息内容安全管理责任,对于法律、行政法规禁止的信息 内容,具备对其发布、记录、存储、传播的即时和应急处置能力。 6. 公安部 中华人民共和国人民警察法第六条规定,公安机关的人民警察负责监督管理计算机信息系统的安全保护工作。中华人民共和国 计算机信息系统安全保护条例第六条规定,公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关 部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。 公安机关作为负责监督管理计算机信息系统的安全保护工作的行政机关,主管全国计算机信息系统安全保护工作。在职责范围内,对 区块链项目的网络实名制的落实、网络安全管理制度和操作规范的落实、等级保护和关键信息基础设施保护、用户信息和网络日志的留存、 计算机病毒和网络攻击或入侵的防范技术措施、禁止发布传输的信息的应急处置措施、内容安全和应用安全管理、个人信息保护、网络产 品和服务安全管理等实施情况监督检查,对危害行为进行规制、对涉嫌违法犯罪的行为进行查处。 7. 工信部 工信部承担着统筹规划互联网,监督管理电信和信息服务市场,承担通信网络安全及信息安全管理的责任,推动着区块链技术标准的 研究和应用推广。2016 年 10 月 18 日,发布了中国区块链技术和应用发展白皮书 (2016),其中提出了,我国区块链技术发展路线图 和标准化路线图等相关建议。2017 年 5 月,在工信部信息化和软件服务业司 ( 以下信软司 ) 指导下,首个在政府指导下的国内区块链基础 标准区块链和分布式账本技术参考架构标准被正式公布; 2018 年 1 月,工信部发布区块链数据格式规范,为区块链行业应 用提供统一的数据标准,对国内区块链标准建设具有重要意义。 8. 人民银行和银保监会等金融监管机构 人民银行、银保监会、证监会、互联网金融风险专项整治工作领导小组等金融监管部门负责区块链在具体金融业务场景下的监管。积 极开展了区块链技术在金融业务领域应用研究的同时,对具体业务应用有着严格的监管要求。7 按照分类监管的原则,根据具体业务的特征,由相应的主体进行监管。如 2018 年人民银行要求支付机构不得为数字货币交易提供支 付服务。同时由于区块链技术应用的复杂性,防止监管套利行为的发生,对于一些复杂的问题由人民银行、银保监、证监会、工信部、网 信办等多个部门联合发文予以规制,包括否认代币的货币属性,严格禁止开展代币发行融资活动等。 互联网金融风险专项整治工作领导小组(以下互金整治小组)承担着总体推进互联网金融整治工作的职责。区块链技术在金融业务领 域的应用,还应遵守互金整治小组的监管要求。 8 二 . 区块链技术下的数据权属及数据合规 区块链项目的正常运营,离不开众多主体的建设参与,既可能有行政机关、事业单位,也会有工商企业、银行、保险等各类主体。在 数据层面上,各联盟参与主体上传数据,区块链能实现在多方共识的基础上保持数据一致,从而形成交叉验证机制的数据基础,可以在充 分保障数据存储与传输的安全性、私密性与可扩展性的前提下,有效查验数据,防止数据被篡改,实现业务流程上的优化、模式创新和新 业态培育 7 。但是,区块链上的数据归属于哪一区块链参与主体、各主体对于区块上的各类数据享有何种权利等,需要予以厘清。 有必要在联盟链建设之初就明确数据的权属和使用问题,避免各主体、各层级围绕数据产生矛盾。特别是在网络安全法已经实施,个 人信息保护意识和措施不断强化,银行等金融机构已面临更加严格的信息合规监管的情况下,有必要就区块链联盟的数据权属做出研究梳 理,构建一套合法、合理,符合监管要求的数据权属安排,促进区块链技术应用的顺利落地和展开。 区块链联盟链项目,主要参与主体为行政机关、企业及其他组织,本白皮书主要就此类组织的数据权属展开分析。 ( 三 ) 数据新型财产权利的权属分析 9. 数据的民事权利客体属性 数据能否构成民法上的权利客体,理论界存在较大的争议。 否认数据成为权利客体的,主要理由是:一方面数据不构成民法上的客体,数据缺乏民事客体须有确定性或者特定性的基本要求,无 法被民事主体所独自和控制。数据缺乏民事客体所要求的独立性,无法控制基于复制、或者网络流通等行为的分享;数据也不构成民法中 的“无形物”,不具有类似知识产权所具有的信息垄断性的内在特征。另一方面是数据的非财产性。数据本身不具有独立的经济价值,依 赖于载体、代码和其他要素才能发挥作用,不能单独产生经济利益;数据本身不是财产价值的直接来源,价值之源在于数据的控制和自我 保护 8 。 支持数据权利的观点,主要认为:第一方面,数据是民法上的客体。数据具有确定性,数据的独占性可以通过法律实现,通过对数据 的收集和处理数据的控制者通过法律以规定其义务的方式赋予数据主体对其自身相关数据拥有控制性的权利;数据能够独立存在,能够与 其表现的电子形式媒介在观念和制度上进行分离,并具有独立的利益指向。数据是以其所含内容来界定权利义务关系,不是以作为存储在 网络的电子形式来加以讨论,数据本身具有信息垄断性的内在特征;第二方面,数据具有财产权属性。数据具有经济价值,数据权利可以 转移,实践层面,数据已经作为商品进行交易具有交换价值;第三方面,数据具有人格权属性 9 。 本白皮书认为,数据应当作为民事权利的客体,主要理由是:首先,数据能否作为民事权利客体,关键不在于数据自身的特性,而是 法律是否有必要将其作为权利客体,基于特定的需求和价值判断,法律可以赋予民事主体对数据某种垄断性的专属权利而制造稀缺性;其 次,数据作为权利的客体,使自然人有权控制个人数据,防止个人数据被泄露和非法利用所引发的问题;还能有效避免人民在日常生活中 为获得网络服务、满足对数据产品的使用需求而付出额外成本。最后,数据作为权利客体,有可以促进数据的流动与利用,从而实现社会 福利的最大化 10 。 7. 引自中国区块链技术和应用发展报告第 23 页。 8. 参见梅夏英:“数据的法律属性及其民法定位”,载中国社会科学2016 年第 9 期,第 164-184 页。 9. 参见李爱君:“数据权利属性与法律特征”,载东方法学2018 年第 3 期,第 74 页。 10. 参见程啸:“论大数据时代的个人数据权利”,载中国社会科学2018 年第 3 期,第 121 页。10. 传统中心式网络下数据控制者的数据权利 数据控制者对其所合法收集和存储的数据享有何种权益, 法律应当如何保护, 目前在我国现行法中尚无明确规定, 理论界亦未达成共识。 一种观点认为,对数据控制者的数据权利最严密和有效的保护,是承认数据控制者通过合法收集、存储的数据属于新型财产权利, 甚至通过排他性权利或绝对权的方式加以保护。例如,程啸教授认为,根据我国中华人民共和国民法总则第 127 条规定:“法律对 数据、网络虚拟财产的保护有规定的,依照其规定”的体系设置,立法者在紧接着人格权、物权、债权和知识产权之后规定,对数据的 保护,实际上等于认同了数据的权利是一种新型的财 产 权 利 。 11 龙卫球教授认为数据控制者对于其数据收集和加工产品享有一种“数据资产 权”,该权利近似于所有权,是法律对数据控制者的数据资产化经营利益的一种绝对化赋权,既是对其经营效果的一种利益归属确认,更 是通过提供便利和安全的保障而鼓励数据资产化交易的一种制度基础。这种赋权是基于劳动正当论而产生的,因此对于数据控制者而言, 具有激励其以合法的方式进行加工创造,以此推进数据产业发展的效果。 12 在美国,也不乏这种观点的主张者,他们认为将数据控制者的 数据权利认定为绝对权的好处在于可以明确数据权属,有利于促进数据交易,保障数据市场的秩序。 13 在欧盟,有观点将数据控制者所 收集的数据资产当作数据库特殊权利加以保护。这个观点早在 1996 年的欧盟关于数据库法律保护的指令 14 中就已被提出,即对于不 符合独创性标准因而无法受到著作权法保护的数据库,只要数据库制作人在内容收集、核准和提供等方面上有实质性投入(substantial investment),数据库制作人就可以享有特殊权利的保护(sui generis right)。 15 实践中,欧盟企业不时利用数据库特殊权利来保护数 据集合。 16 不过,欧盟对于数据库特殊权利的适用范围和标准本身仍有争议,尤其何种数量与质量的投入构成“实质性投入”仍然没有共识。 17 而且由于我国尚未明文规定数据库特殊权利及其保护方式,因此这种观点仅具有理论上的意义。 另一种比较有力的观点认为应当通过反不正当竞争法对数据控制者的权益加以保护。例如,在新浪公司与淘友技术公司、淘友科技公 司侵害数据的纠纷案件中,被告淘友公司的脉脉软件抓取、使用了原告新浪公司的新浪微博用户职业信息、教育信息,并通过技术手段获 取、使用了原告新浪公司的新浪微博用户对应关系。在该案件中,新浪公司以淘友公司的行为构成不正当竞争行为为由提起诉讼,北京知 识产权法院判决认为:淘友技术公司、淘友科技公司违反开发者协议,未经用户同意且未经微梦公司授权,获取新浪微博用户的相关 信息并展示在脉脉应用的人脉详情中,侵害了微梦公司的商业资源,不正当地获取竞争优势,这种竞争行为已经超出法律所保护的正当竞 争行为,构成反不正当竞争法意义上的不正当竞争行为,属于一种民事侵权行为。 18 同样,在美国和欧盟均有观点主张采用商业秘密 的方式来保护企业数据。在欧盟,有观点认为 TRIPs 和欧盟商业秘密保护指令 19 所规定的商业秘密,作为对思想与信息的保护制度, 可以扩张适用于个人数据,因为商业秘密不仅包括技术知识,还包括如顾客与供应商的信息等商业数据。因此,没有必要将企业所收集和 加工的个人数据作为绝对权加以保护,而只要针对他人的特定违法行为进行规制即可,即不法获取、使用与披露数据控制者的数据集合的, 应当承担相应的民事赔偿责任。 20 在美国,也有观点认为数据控制者所收集和加工的数据可以通过统一商业秘密法(Uniform Trade 9 11. 参见程啸:“论大数据时代的个人数据权利”,载中国社会科学2018 年第 3 期,第 121 页。 12. 龙卫球:“数据新型财产权构建及其体系研究”,载政法论坛2017 年第 4 期,第 75-76 页。 13.See Andreas Wiebe, Protection of Industrial Data A New Property Right for the Digital Economy? 12 Journal of Intellectual Property Law & Practice, at 62-71 (2017). 14.Directive No. 96/9/EC on the Legal Protection of Databases. 15.See Jens L. Gaster, The New EU Directive Concerning the Legal Protection of Databases, 20 Fordham Intl L. J. at 1129-1142 (1997). 16. 参见龙卫球:“再论企业数据保护的财产权化路径”,载东方法学2018 年第 3 期,第 54、55 页。 17.Estelle Derclaye, Databases Sui Generis Right: Should We Adopt the Spin-Off Theory? 26 European Intellectual Property Review, at 402-413 (2004). 18. 参见“北京淘友天下技术有限公司、北京淘友天下科技发展有限公司与北京微梦创科网络技术有限公司不正当竞争纠纷案”,北京知 识产权法院(2016)京 73 民终 588 号民事判决书。 19.Directive(EU) 2016/943 on the Protection of Undisclosed Know-How and Business Information (Trade Secrets) Against Their Unlawful Acquisition, Use and Disclosure. 20.Barbara Anna Rado, Trade Secrets Protection for “Big Data”: Personal Data as Trade Secrets in the European Union, Munich Intellectual Property Law Center Master Thesis (2015/16).10 Secrets Act)加以保护。 21 然而,通过反不正当竞争法保护数据控制者对数据的权利,实际上等于将数据控制者的数据权利降格为一 种受法律保护的纯粹经济利益,只能在其遭受特定方式侵害的时候获得救济,其保护的强度和密度显然不足。这种保护方法既不利于数据 的流动和分享,也无法充分地鼓励数据控制者更多地收集、存储、转让和使用数据。 22 本白皮书采取第一种观点,即将数据控制者所收集、存储和加工的数据资产作为一种新型财产权利加以保护。财产权的类型与内容, 总是随着社会发展而处于流动与变化之中,并没有什么经济利益“一定属于”或者“一定不属于”财产权的客体。法律是否将特定利益作 为一种财产权加以保护,取决于立法者想用财产权这一法律工具达成何种法政策目标。“在人们眼中,财产权是什么,取决于人们想用财 产权做什么换言之,人们所欲达成之目的决定了财产权的类型、形式与内容。” 23 基于目的论的思想,数据控制者对其收集、存储和 加工的数据资产是否享有新型财产权利,主要取决于法律政策目标是鼓励数据产业的发展,还是限制数据产业;至于数据权利在多大程度 上符合传统民法权利客体的要求,则属于立法与司法技术的范畴。正如程啸教授与龙卫球教授所指出的,赋予数据控制者以新型财产权利 的地位,有利于激励数据控制者以合法、支付对价的方式收集数据,有利于推动数据产业的发展。 11. 数据控制者对数据资产取得新型财产权利的正当性基础 数据控制者之所以可以取得数据权利,是因为数据控制者通过合法的、支付对价的收集与存储行为,原始取得了以其所收集和存储的 数据为客体的新型财产权利。程啸教授认为,数据控制者对合法收集的个人数据享有应当受到法律保护的权利,并且该权利既不依赖于被 收集者的授权,也不依赖于其他在先权利或许可,而是基于以下原因原始取得的权利:首先,就个人数据而言,数据控制者依据法律规定, 在公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意收集个人数据的行为是合法的事实行为。其次,数 据控制者本身收集、存储个人数据的行为需要付出相应的成本,而且他们向被合法收集个人数据的被收集者支付了合理的对价,符合公平 原则,理应产生相应的民事权利。 24 龙卫球教授也认为数据控制者取得数据资产权的前提条件是其通过自己合法的、具有价值创造意义的收 集、存储和加工而产生数据集合。 25 数据控制者所收集、存储和加工的数据集合须满足一定的条件,才能作为数据新型财产权利的客体,数据控制者才能取得相应的权利。 第一,数据集合须作匿名化处理。数据控制者对数据享有的权利,不得对作为数据来源的网络用户隐私等民事权利造成侵害或者带来危险, 因此数据控制者首先须在技术上对其所收集的数据集合进行匿名化处理,其才能对数据集合享有新型财产权利。 26 第二,数据控制者对数 据资产所享有的权利,受到目的限制原则的控制。详言之,数据控制者所享有的数据权利的权能,自始就受到数据控制者与网络用户之间 所达成的数据收集协议所约定的数据使用目的的约束,数据控制者对数据的利用,不得与约定的目的相违背。 27 12. 小结:取得数据权利的数据控制者的中心地位 既有研究对数据控制者所收集、存储和加工的数据资产所享有的权利或利益的研究,均以一个基本法律关系为预设:即存在一个中心 式的数据控制者,它可能是大型互联网企业,也可能是行政机关,它在提供网络服务的同时,也不断地收集着网络用户的个人数据。尽管 21. 不过,现有的研究仅对特定数据控制者的数据保护提出采取商业秘密的方案,而这些数据控制者所收集的信息如农业数据或者体 育联盟数据,和大数据时代通过收集消费者的个人数据所形成的企业数据有所不同。参见 Ellixson, Ashley & Griffin, T erry, Farm Data: Ownership and Protections (September 16, 2016). Available at SSRN: ssrn/abstract=2839811 or dx.doi/10.2139/ ssrn.283981
