王兆峰、高洁、孙坤铭、刘妍妍:《数据安全法》的多维、专业、细分解读
(感谢中国硬笔书法家协会副主席、北京律师书画院院长刁品纯题字)
王兆峰:当我们谈论《数据安全法》时,我们在谈论什么?
高洁 :《数据安全法》之数据使用说明书
孙坤铭:《数据安全法》将如何影响跨国公司在华业务?
刘妍妍:《数据安全法》之后,数据同知识产权的分与合
王兆峰:当我们谈论《数据安全法》时,我们在谈论什么?
日前,公众期待已久的《中华人民共和国数据安全法》(以下简称《数据安全法》)由全国人大常委会通过并正式颁布,它的出台标志着我国在数据生产和应用等领域有了可资遵循的统一法律依据。
对于提升国民数据安全意识,建立健全数据保护制度和治理体系,结束数据监管边界模糊,明晰数据权利和义务,遏制数据侵权乱象,培育完善我国数据要素市场,提升我国数据国际竞争力,必将起到积极的推动作用。在强调供给侧改革,经济升级换代,加快形成“以国内大循环为主体,国际国内双循环相互促进新格局”大背景下,意义尤其重大。
《数据安全法》强调了数据安全保护的重要性,确定了数据安全保护的领导及监管主体,对数据安全保护体系做出了较为详尽的制度安排,明确了数据安全主体的权利和义务,细化了国家、组织和个人的责任分配和责任形式,具有较强的操作性。
但是笔者认为,这一系列规定的落实,固然需要相应的制度环境、制度生态来保障,当我们讨论《数据安全法》时,其中首先需要重视的是,要有正确的数据安全观作为指导。缺乏正确的观念引导,数据安全保护的目的和方向难免出错,保护的效能也将会大打折扣。
虽然就社会组织和普通公民而言,无论是参与数据生产和利用,还是参与数据消费,应用场景都相对具体微观,容易给人造成错觉,数据权利义务总体上是关乎“个体的”。但是大数据时代,在算法和人工智能等新兴科技的加持下,数据一旦归集,一旦通过算法进行加工和分析,数据共相可能展现出完全不同于个人认知的宏大图景,从而也从个人事务进入了公共语境,并最终上升到到国家事务的高度。
实际上,《数据安全法》的出台,正是站在国家数据安全的战略高度,规划和布局我国的数据安全保护机制,营建富有中国特色的数据保护监管体系,提升数据时代国家治理能力。因而也只有站在国家安全的高度和视野理解和把握《数据安全法》,认真遵守数据法的相关规定,自觉服务数据安全保护大局,才能保证数据安全保护的正确方向。
数据经济时代,数据科技创新和商业模式创新,需要组织和个人能动性的发挥,需要自由的氛围,但更需要健康有序的市场环境。没有健康的市场环境,数据生产和利用必然野蛮生长,诸如非法获取,非法使用数据,利用数据进行不正当竞争,利用数据进行犯罪等乱象必然滋生,从而危害组织、公民合法权益,乃至危害国家安全。
近年来在数据领域出现的诸多问题,已经给我们敲响了警钟,因此,健康有序数据市场环境的生成,需要法律的介入和规制,我们必须达成这样的共识:数据安全法治化是数据要素市场形成和数据健康自由流动的基础和保障。
数据安全事关国家、组织和公民个人利益,因此《数据安全法》明确了各方主体的责任。除了国家相关职能部门的监管职责,各类市场主体要充分认识自己在数据安全保护上应该承担的法律义务,认识到数据安全保护人人有责。自觉遵守数据安全法,自觉抵制和反对发生在身边的数据侵权违法行为,自觉利用法律武器维护社会和公民个人的数据安全不受侵害。只有全社会行动起来,各种数据侵权违法行为才无处遁形,才能净化数据要素市场环境,才能够保障数据的自由流动,促进数据经济健康高质量发展。
数据作为市场要素,必须流动起来才能产生价值。因此,数据安全保护的最终目的,不是阻碍数据自由流动,而是保障和促进数据有序有效地流动。因而在数据安全保护上,尤其在数据安全监管上,要防止两种倾向:
一种是以防范和减少数据安全事故发生为理由,害怕承担责任,滥用或者怠于行使职权,干预数据要素流动,影响破坏正常的数据流动秩序。
另一种是以保护民众数据安全为借口,人为设置条条框框,禁锢数据市场流通,窒息数据市场活力,影响数据经济健康发展。实际上,纵观实际各国数据保护立法,从欧洲的GDPR模式到美国的CCPA模式,以至我国的数据立法实践,莫不是在数据安全保护和数据自由流动之间,基于国情找寻平衡点,任何偏颇一端的做法都不可取。
数据经济肇兴于晚近,数据要素市场尚在形成和发育过程之中,监管主体和市场主体关于数据安全保护的意识总体上还比较淡薄,因此正确的数据安全观的确立,尤其是数据保护意识和习惯的养成不可能一蹴而就,需要大力弘扬和培养。在此,数据安全教育,数据权利义务教育亟待跟进,正确的数据安全观普遍确立之日,也是中国数据经济真正成熟昌盛之时。
高洁:《数据安全法》之数据使用说明书
2021年6月10日,《数据安全法》正式通过,在2016年11月7日发布的《网络安全法》的基础上进一步规范了数据的保护和利用。《数据安全法》第一条开宗明义地提到了要促进数据的开发利用,那么该法的出台,为数据的使用做出了哪些限定?
一、数据的使用主体
欧盟《通用数据保护条例》(GDPR)第一章第4条对数据控制者(Controller)和处理者(Processor)做了定义,数据控制者是指单独或者与他人共同确定个人数据处理目的和方式的自然人或法人、公共机构、代理机构或其他实体,数据处理者是代表数据控制者处理个人数据的实体;中国香港《个人资料(私隐)保护条例》(PDPO)中提到,数据使用者(Data user)是指单独或连同其他人或与其他人共同控制数据的收集、持有、处理或使用的人。此次《数据安全法》虽未明确对数据控制者或使用者作出解释,但其提到数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。由此可以看出,数据使用作为数据处理的一种方式,数据使用者作为数据处理者理应受到《数据安全法》的规范。二、数据的使用方式
按照数据的来源,可以将数据区分为个人数据与公共数据。对此,杭州互联网法院发布的“2020年度知识产权司法保护十大案例”中提到“公共数据作为促进经济发展的重要生产要素,应当鼓励市场主体对公共数据的利用和挖掘。但同时,对公共数据的利用应当合法、正当,不得损害国家利益、社会利益和其他主体合法权益,特别是不能损害数据原始主体的合法权益”。本次《数据安全法》的出台,也对数据的使用做出了明确规定,如“应当在法律、行政法规规定的目的和范围内使用数据”“国家机关为履行法定职责的需要使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行”“对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供”“受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据”等。同时,本次《数据安全法》与《网络安全法》相呼应,确立了数据的分类分级保护制度。根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。对数据进行分级,将更有利于企业高效地利用数据、保护数据。三、数据使用不当的后果
依据《数据安全法》的相关规定,在数据使用的过程中,违反相关规定的,轻则有可能被相关部门约谈、要求整改,重则会受到警告、罚款等行政处罚,情节更为严重的,存在被暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照的风险。值得注意的是,与之相关直接负责的主管人员和其他直接责任人员多数情况下均需承担相应的责任。相关规定如下所示:四、总结
数据使用是体现数据价值的关键一环,数据使用者在使用数据时应依据《数据安全法》的相关规定,一方面需程序合法,在法律、行政法规规定的目的和范围内使用数据,履行数据使用的批准手续,审核程序等;另一方面应当重点关注数据的安全保护,合法、正当的使用数据,不得损害国家利益、社会利益和其他主体合法权益,从而减少相应的法律风险。孙坤铭:《数据安全法》将如何影响跨国公司在华业务?
孙坤铭 | 北京周泰律师事务所顾问
孙坤铭顾问是法国艾克斯马赛大学商法硕士、中国人民大学法学院法学学士;拥有中国律师资格。执业方向为跨国并购、合资经营、项目融资和基础设施、竞争法以及一般公司事务等。
孙坤铭曾于法国基德国际律师事务所北京办公室担任法律顾问。参与了众多境外不同行业的世界领先公司在中国境内开展的直接投资和并购交易,熟悉该类投资项目不同阶段的各类法律问题,并协助外国公司在中国的子公司或代表机构处理日常公司事务。同时在国际仲裁方面也有为境内外客户提供通过仲裁解决跨境商事争议的相关经验。
此外孙坤铭顾问在中国竞争法领域也积累了丰富的专业知识,协助众多境外客户向国家市场监督管理总局反垄断局进行经营者集中申报,并为众多境内外大型企业就中国反垄断法项下的相关法律风险和合规问题提供法律咨询。
概述
中国政府于2021年6月10日正式发布《数据安全法》(以下简称“《数安法》”)全文。该法发布后,美国电动汽车制造商特斯拉(Tesla)即刻在微博上表示,其将严格遵守新出台的《数安法》并保护消费者与数据相关的权益。那么,《数安法》将如何影响外商投资企业在华经营业务,外国投资者又有哪些注意事项?
事实上,《数安法》包含了众多具有域外效力和跨境影响的条款,该法规定了对在中国境内外从事损害国家安全和公共利益的数据活动的外国实体的域外管辖权(第2条),并授权国家对任何对中国实施限制性或歧视性贸易和投资保障措施的国家或地区采取反制措施(第 26条)。
此外,《数安法》对处理中国数据的个人或实体规定了相当广泛的义务,并对未履行保护数据义务的行为规定了严厉的处罚。与在中国经营业务的跨国公司直接相关的,该法第31条导致跨国公司向境外传输数据更困难,且当外国执法机构要求访问存储在中国境内的数据时,该法第36条要求有关个人或实体必须首先向中国相关政府部门报告并获其批准。
本文将从实务角度对《数安法》相关要点进行分析,以供读者参考。
Summary
The full text of the Data Security Law (the “DSL”) was officially issued by Chinese government on 10 June 2021. Upon the law's release, US electronic vehicle maker Tesla said in a Weibo post immediately that it will strictly abide by the newly-unveiled DSL in China and protect consumers' data-related rights and interests. How will the DSL affect the business of foreign-invested enterprises in China and what shall be noted for the foreign investors? In fact, the DSL contains a number of provisions with extraterritorial reach and cross-border effects. The DSL establishes extraterritorial jurisdiction over foreign entities that engage in data activities inside and outside of China that harm national security or the public interest (Article 2), and empowers the state to adopt countermeasures against countries or regions that impose restrictive or discriminatory trade and investment safeguards against China (Article 26). Moreover, the DSL imposes quite wide-ranging obligations on individuals or entities processing Chinese data, and imposes severe penalties for failure to safeguard that data. Directly relevant to multinational company (the “MNC”) operating in China, Article 31 essentially will make the MNC more difficult to transfer data outside of China, and when foreign law enforcement agencies request access to data stored in China, Article 36 requires that the individual or entity concerned shall first report to and receive approval from the relevant Chinese government authorities. This article will provide a practical view on these relevant key points of the DSL for the readers’ reference.
◇Background
China, home to the world's largest number of internet users, officially issued the full text of the DSL, after it was approved during the 29th session of the Standing Committee of the 13th National People's Congress on 10 June 2021. As indicated in this meeting, data is a country’s basic strategic resource, there will be no national security without data security. Alongside China's Cyber Security Law (the “CSL”), which was enacted in 2016, the adoption and enactment of the DSL marks the basic establishment of a legal framework for data and information security in China. It is worth noting that the personal information protection law is still under review, which will also improve China's legislative system of the data protection.
The DSL, which has undergone three reviews and amendments since June 2020 and will take effect in September this year, shows that China's legal system will continue to be improved in terms of network and information security, providing strong legal support for individual privacy as well as the safe and healthy development of the digital economy. China is hoping to have the digital sector play a bigger part in the country’s economy, and is contemplating establishing a data governance regime by the DSL that strikes a balance between strong government control, a healthy market for data and protection of consumer privacy.
◇Scope of application and extraterritorial effects
Similar to the CSL, the DSL is intended to be generally applicable to any data handling activities (defined below) that take place within China (Article 2). In addition, the DSL also introduces broad definitions of data, data handling, and data security (Article 3). Data refers to any record of information in electronic or other forms. Data handling refers to data activities including but not limited to collection, storage, use, processing, transmission, provision, transactions, and publication of data. Data security is defined as adopting necessary measures to ensure that data is effectively protected, used legitimately, as well as possessing the capacity to ensure a sustained state of security.
Interestingly, in terms of the extraterritorial effects of the DSL, Article 2 explicitly provides that any organization or individual outside the territory of China will be investigated for legal liability if such an organization or individual harms the national security, public interests or legitimate rights and interests of the citizens and organizations of China in carrying out data activities.
In other words, organizations and individuals outside of China will also be subject to the DSL, provided that they conduct data activities which may impair China’s national security, public interests, or the rights of Chinese citizens. Such extraterritorial reach appears to be even broader than that of the CSL, whose extraterritorial effect applies only when any entity or person outside of China attacks, intrudes or otherwise causes damage to the Critical Information Infrastructure (the “CII”) operators of China and results in serious consequences.
In the context of the fierce competition for data resources among countries, it has become an international trend for countries to struggle for data sovereignty and expand their jurisdiction over data security. For example, in 2016, the European Union promulgated the General Data Protection Regulation (the “GDPR”), in which Article 2 has also expanded the scope of extraterritorial application of the GDPR by creating the establishment criterion and targeting criterion.
According to Article 3.1 of GDPR, establishment criterion means GDPR applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in EU, regardless of whether the processing takes place in EU or not. According to Article 3.2 of GDPR, targeting criterion means GDPR applies to the processing of personal data of data subjects who are in EU by a controller or processor not established in EU, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in EU; or (b) the monitoring of their behavior as far as their behavior takes place within EU.
Compared to these two clear criteria provided in Article 3 of GDPR, we can notice the DSL does not make any further clarification on the situation of extraterritorial jurisdiction that "impairs the national security, public interests, or legitimate rights and interests of citizens and organizations of China". We understand that although this maintains the flexibility in the application of the DSL to a certain extent, and leaves more room for the Chinese law enforcement agencies for its interpretation and implementation, since the DSL does not specify whether the damage needs to reach a certain standard, the ambiguity of extraterritorial effectiveness would be likely to cause unnecessary international disputes when the DSL takes effect from 1 September 2021, because it is difficult to find an appropriate applicable standard in actual application of the DSL.
◇Cross-border transfer of important dataArticle 21 of the DSL stipulates that a data protection policy based on the hierarchical classification and categorization of data and the “important data catalogue” shall be established at the national level. Nonetheless, the DSL does not provide the definition of important data, which may be defined in future implementing rules.Article 31 of the DSL differentiates how the cross-border transfer of important data is to be treated by CII operators and by other data processors. Specifically, the CSL would apply to the administration of transfers of important data collected and generated by CII operators during their operations in China. The Cyberspace Administration of China (the “CAC”), together with the relevant department of the State Council, would make relevant rules to govern cross-border transfers of important data by other data processors.According to the DSL, those who violate the above regulation and provide important data to overseas actors, may face fines of no less than RMB 100,000 but no more than RMB 1,000,000; but if circumstances are more serious with core state data being mishandled or national sovereignty being endangered, a fine may be issued up to RMB 10,000,000 and their business or business license may be suspended or revoked.Under the CSL and DSL, there is not a clear definition of CII. It only provides a non-exhaustive list of selected critical industries and areas whose information infrastructure would be regarded as CII, including public communications, information services, energy, transport, water conservancy, finance, public services, and e-governance etc., and more broadly, other information infrastructure which may cause serious consequences if it suffers any damage, loss of function, or leakage of data. The CSL has provided that CII operators shall store personal information and important data gathered and produced during operations within the PRC and any export of such personal information and data outside China for business needs is subject to security assessment.In terms of other data processors which have not fallen into the scope of CII operators, how CAC and other authorities will draft relevant security management measures to govern their cross-border transfer of important data awaits further clarification and legislation. For the MNCs like Tesla, this regulation means localization of the important data and the export control of Chinese authorities in case of cross-border transfer of such data, which will have a significant influence on the MNCs’ business in China. For example, as Tesla sets up factory in China, in principle the data generated in the operation of business in China shall also be stored in China, and be subject to supervision of related Chinese data regulator. Under the DSL, the MNCs that transfer the data overseas without proper approval from Chinese authorities will face a penalty of up to 10 million yuan and could be forced to shut down, a severe penalty that had not been provided in an earlier draft second version of the DSL that was submitted for review in April 2021.◇Provision of data to foreign justice or law enforcementArticle 36 of the DSL provides in general terms that foreign justice or law enforcement shall require permission from Chinese authorities to access data stored within China according to relevant laws and international treaties and agreements concluded or participated in by China. And organizations and individuals in China shall be prohibited from providing data requested by foreign justice and law enforcement until they have reported the request to the relevant authorities and obtained permission to disclose.According to the DSL, those who hand over important data to a foreign justice or law enforcement without prior approval may face fines of no less than RMB 100,000 but no more than RMB 1,000,000; but if circumstances are more serious with core state data being mishandled or national sovereignty being endangered, a fine may be issued up to RMB 5,000,000 and their business or business license may be suspended or revoked.We can expect that the enactment of the DSL would create more challenges for MNCs in China to comply with the inherently conflicting rules in different jurisdictions. MNCs in China may be under obligation to provide data requested by foreign justice and law enforcement even when doing so would violate the provisions of the DSL.For instance, former U.S. president Donald Trump signed into the Clarifying Lawful Overseas Use of Data Act (“CLOUD Act”) in 2018, which enables U.S. law enforcement agencies to demand access to online information no matter what country the data is stored in, which could be in conflict with China’s DSL. We can imagine a scenario in which a U.S. law enforcement agency or court orders a U.S. company to provide materials located in China through its Chinese subsidiaries.On the one hand, CLOUD Act gives U.S. law enforcement agencies extraterritorial power to access electronically-stored communications data located in China provided that the information sought is relevant and material to an ongoing criminal investigation. Failure to do so may result in negative consequences ranging from fines to adverse judgments.On the other hand, acting as a blocking statute against such extraterritorial reach, the DSL would effectively block any such data export to U.S. law enforcement agencies in judicial proceedings, without prior Chinese government approval under an uncertain timeline. Thus, Chinese subsidiaries of these MNCs will be restricted from providing information overseas directly in response to a foreign law enforcement activity or a judicial proceeding.◇ConclusionThe DSL has so far only set a broad framework for the governance of data, and the MNCs also need to wait for other corresponding regulations and implementation rules to understand how the DSL will be applied in practice.However, the DSL will undoubtedly make it more difficult for MNCs, especially those with cross-border transfer of information and data, to adapt to the increasingly complicated regulatory environment and such MNCs have little time to prepare as the DSL is set to come into effect on September 1.The DSL is an important piece of legislation that is worthy of continued attention of the MNC. We can expect to see more corresponding regulation in the future during enforcement to punish data security breaches and impose additional controls on data outflow of the MNCs. Still, questions regarding the implementation of the DSL remain to be seen, we anticipate that the DSL will be guided by China’s national strategies regarding national security and the digital economy and we will closely follow up and monitor the future legislative developments.Please feel free to contact the author should you have any questions on the extraterritorial reach and cross-border effects of the DSL.Note: This article is a free, periodical electronic publication edited by author and intended to provide non-exhaustive, general legal information. The article is not intended to be and should not be construed as providing legal advice and the author shall not be held responsible for any damages, direct, indirect or otherwise, arising from any use of the information in this article.刘妍妍:《数据安全法》之后,数据同知识产权的分与合
2021年6月10日,《数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过,并将自2021年9月1日起施行。作为数据领域的基础性法律,其从宏观层面,明确了“坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力”的要求。
在职责分工方面,明确了工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门,公安机关、国家安全机关等,以及国家网信部门相应的数据安全监管职责;从实施层面,明确了数据分类分级保护,数据安全风险评估、报告、信息共享、监测预警,应急处置,数据安全审查等制度。
对外,明确了在与数据和数据开发利用技术等有关的投资、贸易等方面遇到任何国家或者地区的歧视性禁止、限制或者其他类似措施,均可采取对等措施;对内,则赋予了任何个人、组织的投诉、举报权利,以及相应信息予以保密以保护投诉、举报人的合法权益,在明确了数据以及国家安全领域的基本要求的同时,也为后续行政规章的配套、司法审判中的自由裁量留下了足够的空间。
数据,在2020年4月9日的中央第一份关于要素市场化配置的文件《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》就已作为一种新型“生产要素”写入文件中,与土地、劳动力、资本、技术等传统要素并列。数据的基础战略地位逐渐形成并日益凸显。
然而,在《数据安全法》出台以前,数据权属以及使用、保护等相关纠纷案件中,多依据知识产权相关法尤其是《著作权法》等的相关规定进行裁决,在无法构成知识产权保护客体时,也或以反不正当竞争法的一般条款作为补充,导致出现了裁判标准模糊、裁判尺度不一致的情况,甚至可能会产生因不当扩大反不正当竞争法的规制范围从而妨碍竞争自由,最终抑制市场活力的不良后果。《数据安全法》的实施,或将从以下几方面使上述情况得以改善:
一、数据定义法定后,相关纠纷
不必再强行套用知识产权法律
根据《数据安全法》第三条第一款所述,这里的数据是指“任何以电子或者其他方式对信息的记录”。此定义下,对信息的记录都将被纳入数据的范畴而受到该法的规范和保护。而在此之前,这类记录更多地需要满足诸如《著作权法》中对著作权的要求才能够得到相应法律法规的保护。【案例一】
以上海市高级人民法院审理的(2004)沪高民三(知)终字第122号上海徐溪商务咨询有限公司与海南经天信息有限公司著作权纠纷上诉案为例,海南经天信息有限公司(以下简称“经天公司”)研发产生了《中国大法规数据库》,并在1998年9月18日获得《计算机软件著作权登记证书》,登记的软件名称为《中国大法规数据库管理查询系统[简称:中国大法规数据库]V1.0》,登记号为980485。
海南电子出版社出版了《中国大法规数据库(最新版)》只读光盘(CD-ROM),该光盘表面记载了经天公司上述软件的登记号。上海徐溪商务咨询有限公司(以下简称“徐溪公司”)在其主办的“专家论案”网站上复制了数据库内的法规数据。经天公司认为,徐溪公司的行为侵犯了其对这一汇编作品享有的著作权,遂将徐溪公司告上法庭,要求其立即停止侵权,并承担20万元的经济赔偿。
该案件经过一审法院上海第一中级人民法院、及二审法院上海市高级人民法院的审理后,被认为涉及的《数据库》因具有一定的独创性,构成汇编作品,从而判定徐溪公司侵权成立,并需承担相应的赔偿责任。【案例二】
以(2016)京0108民初27234号北京四维图新科技股份有限公司与北京奇虎科技有限公司等侵害著作权及不正当竞争纠纷一案中,北京四维图新科技股份有限公司(以下简称“四维图新公司”)对地理信息实况变化进行跟踪测绘,并根据道路变化等情况进行更新,形成中国电子地图。
四维图新公司以北京奇虎科技有限公司(以下简称“奇虎公司”)未经许可,以商业经营为目的,擅自在其经营的360搜索网站(www.so.com)以及360搜索APP(包括Android版和IOS版)中使用四维图新公司享有著作权的电子地图提供导航电子地图服务并对外宣称,奇虎公司所使用的电子地图数据来自于四维图新公司构成著作权侵权和不正当竞争诉至法院。
经过审理,一审法院认为地图中反映客观事实的要素以及无独创性的选择等并不受著作权法保护,不会引起消费者的误解、从而不构成引人误解的虚假宣传,判决驳回四维图新公司全部诉讼请求。虽然经过二审审理,二审法院根据二审中各当事人提交的证据,认为涉案中国电子地图构成地图作品,应得到《著作权法》的保护,从而支持了四维图新公司公开赔礼道歉、消除影响、赔偿经济损失及合理开支的诉讼请求。
同样的当事人,同一份数据集,仅仅因是否构成《著作权法》保护客体的不同而使案件有了截然相反的结果。《数据安全法》实施后,权利人即便无法提交足以证明其此类数据集具备独创性的证据,应当也能得到该法或其配套法律法规的保护。
该案件经过一审法院上海第一中级人民法院、及二审法院上海市高级人民法院的审理后,被认为涉及的《数据库》因具有一定的独创性,构成汇编作品,从而判定徐溪公司侵权成立,并需承担相应的赔偿责任。二、数据安全法相关规定或将
避免以数据安全为由阻碍司法
《数据安全法》中:第八条,开展数据处理活动,“不得危害国家安全、公共利益,不得损害个人、组织的合法权益”;第三十二条第二款,“法律、行政法规对收集、使用数据的目的、范围有规定的”,应在以上规定的目的和范围内收集、使用数据;第三十三条,从事数据交易中服务的机构提供服务,应当“要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”。通过以上条款不难看出,数据的处理,应以不损害他人、包括其他组织的合法权益为前提;并且,倘若后续有配套的法律、行政法规明确了以某种特定目的、在某特定范围内收集、使用数据,即可在规定的目的、范围内进行数据的收集和使用;从事数据交易中介服务的机构,如相关第三方平台,其应当对数据来源进行审核,并留存相关记录。结合以上三条规定,假如后续有法律、行政法规明确,在知识产权侵权诉讼中,为了保护权利人的合法权益,权利人有权获得(涉嫌)侵权人的相关数据,而第三方平台应当配合提供,那么该类案件的举证或将不再面临以下窘境。案例三:
以北京知识产权法院审理的(2017)京73民终1194号阿里云计算有限公司与北京乐动卓越科技有限公司侵害作品信息网络传播权纠纷上诉案为例,一审中,北京乐动卓越科技有限公司(以下简称“乐动卓越公司”)主张侵害其著作权的MT畅爽版游戏内容存储于阿里云服务器,并通过该服务器向客户端提供游戏服务。经两次致函要求删除侵权内容,并提供服务器租用人的具体信息后,MT畅爽版游戏内容仍然存储于阿里云服务器上。据此,请求判令阿里云计算有限公司(以下简称“阿里云公司”)断开链接并停止为涉案游戏继续提供服务器租赁服务;并判令阿里云公司赔偿经济损失。
经过审理,一审法院认为,“在他人重大利益因其提供的网络服务而受到损害的时候,其作为服务器服务的提供者应当承担其应尽的义务,采取必要的、合理的、适当的措施积极配合权利人的维权行为,防止权利人的损失持续扩大。这类措施不仅仅包括删除涉嫌侵权的作品、内容,也包括向相关服务器租用人询问相关情况、将权利人的投诉材料转达被投诉的服务器租用人,并根据租用人的反应采取进一步的必要措施。这与被告阿里云公司辩称其不得擅自透露用户信息、无权擅自读取、透露服务器数据等确保用户数据安全并不矛盾”。二审法院在审理中认定,乐动卓越公司的致函均不应视为有效通知,加之直接侵权人向乐动卓越公司实际支付的赔偿金额已经超过了使用侵权游戏产生的违法所得,乐动卓越公司因涉案侵权行为而受到的损失已经实际获得了其认可的弥补,驳回乐动卓越公司的全部诉讼请求。对于《信息网络传播权保护条例》规定的“通知—删除”规则,电子商务平台服务的提供者,基于其对专利侵权判断的能力、侵权投诉胜诉概率以及利益平衡等因素的考量,并不必然要求其在接受投诉后对被投诉商品立即采取删除和屏蔽措施;该案中“动辄要求云计算服务提供者删除用户数据或关闭服务器,也会严重影响用户对其正常经营和数据安全的信心,影响行业整体发展”,要求阿里云公司履行转通知的义务,属于比较公允合理的必要措施。案例四:
以最高人民法院审理的(2019)最高法知民终457号中山市辣妈日用品有限公司、上海阿里宝宝婴儿用品有限公司侵害实用新型专利权上诉案中,在确定侵犯专利权的赔偿数额时,淘宝网服务中心就“交易指数”的定义为根据统计周期内支付金额拟合出的指数类指标;同时提示,因交易金额属于敏感型数据,出于数据安全,不能直接展示交易金额,故在生意参谋中,运用高等数学中的指数函数做曲线拟合,拟合出交易指数这个指数类指标;交易指数越高,表示支付金额越多。
最终该案因权利人因被侵权所受到的实际损失、侵权人因侵权所获得的利益、该专利许可使用费均未能提供证据证明,最终由法院根据专利权的类型、侵权行为的性质和情节等因素,在法定赔偿限额内酌定了赔偿数额。三、数据产业发展可由知识产权保驾护航
根据《数据安全法》第十六条所述,国家支持“数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系”。以上数据开发利用、数据安全技术研究中可能产生的创新成果,甚至其中的商业创新模式,均有可能通过知识产权的形式进行保护,包括但不限于以下几种:1.数据安全产品、技术、商业模式可考虑专利保护根据《专利法》的规定,我国的专利包括发明、实用新型和外观设计;其中,发明是指对产品、方法或者其改进所提出的新的技术方案;实用新型是指对产品的形状、构造或者其结合所提出的适于实用的新的技术方案;外观设计是指对产品的整体或者局部的形状、图案或者其结合以及色彩与形状、图案的结合所作出的富有美感并适于工业应用的新设计。数据安全产品、技术中涉及的产品、方法、改进的技术方案,可以考虑发明专利的保护形式。对于商业模式,《专利审查指南》在2017年的修改中,在“4.2智力活动的规则和方法”加入了以下内容“涉及商业模式的权利要求,如果既包含商业规则和方法的内容,又包含技术特征,则不应当依据专利法第二十五条排除其获得专利权的可能性”,这一部分内容的加入,使得以专利的形式保护商业模式的成为可能。2.数据安全产品可考虑著作权保护根据《著作权法》的规定,具有独创性并能以一定形式表现的智力成果,包括文字作品,美术、建筑作品,视听作品,工程设计图、产品设计图、地图、示意图等图形作品和模型作品,计算机软件等,均在其保护客体之列。这里可参考案例一中的数据库,正是具有对其内容的选择或者编排体现独创性,构成汇编作品而得到《著作权法》的保护。3.数据安全产品、服务可考虑商标保护根据《商标法》的规定,除有害于社会主义道德风尚或者有其他不良影响的、或其他缺乏显著特征的标志外,任何能够“将自然人、法人或者其他组织的商品与他人的商品区别开的标志,包括文字、图形、字母、数字、三维标志、颜色组合和声音等,以及上述要素的组合,均可以作为商标申请注册”。因此,为了区别于市场上其他竞争者,也为了防止自己投入了大量成本宣传推广的logo被抢注,可以为自己数据安全产品、服务设计独特的标志,并尽快作为商标申请注册。4.数据安全产品、技术可考虑商业秘密保护根据《反不正当竞争法》的规定,商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。对于符合以上条件的经营信息,以及不易于被反向工程所获知的技术信息,均可以通过商业秘密的形式进行保护,但这里需要特别注意保密措施的实施情况,因为一旦商业秘密泄露,给权利人带来的将是不可挽回的损失。数据,是信息技术发展的必然产物,它记录了人民、组织、甚至国家的固有信息以及行为等,其安全的重要性不言而喻,它在为人类生产生活、社会发展、国家安全带来好处的同时也存在着一定的安全隐患。正如《数据安全法》经过了三次审议才获得通过,数据的收集、存储、使用、加工、传输、提供、与公开,以及数据安全的保障,想必也是无法省去司法审判的适用、根据技术和社会发展的调整这些步骤,但相信有了此前以知识产权相关规定调整总结出的经验和教训,加上具有天然相似性的知识产权相关案例的启示,以及知识产权作为可考虑的一种保护形式,数据的基础资源作用和创新引擎作用必将能够得到充分发挥,以创新为主要引领和支撑的数字经济即将到来。以下点击可读:
周跃、江溯、张洪铭、高显嵩、陈鑫、朱桐辉视频课程 | 揭开律师实务神器“区块链证据”的神秘面纱|周泰实务讲坛第一期
孙坤铭:法网恢恢,“滴滴”不漏——为何赴美上市的滴滴网络安全审查难过关?
李崇杰、高显嵩、李敦、朱桐辉:《个人信息保护法》中的信息收集与使用规则 | 电子证据与网络法讲坛第三期
全媒体首发 | 章宣静:以审计方法进行的司法会计鉴定不得作为定案根据!
CDF直播课 | 郭永健、朱桐辉:一起学习电子数据取证、鉴定与质证。
吴洪淇:刑事证据制度的体系化塑造及隐忧——新刑诉解释证据规定的宏观分析
编辑 | 南开大学法学院研究生 秦泽文