王叶刚 | 侵害企业数据权益的民事责任

学术 2024-12-19 08:03 北京

编者按：

为落实中共中央宣传部教育部科技部印发《关于推动学术期刊繁荣发展的意见》精神，顺应媒体融合发展趋势，积极适应移动化、智能化发展方向，《中国法学》推出网络优先出版等新型出版模式。目前，已于“中国知网”上线2024年第6期《中国法学》知网首发文章，并于微信公众平台同步推出，敬请关注！

侵害企业数据权益的民事责任

王叶刚

中央财经大学法学院副教授，法学博士

本文发表于《中国法学》2024年第6期，因篇幅限制，注释省略。作者身份信息为发文时信息。

内容提要

企业数据的来源、内容以及取得方式等具有复杂性，对行为人侵害企业数据权益民事责任的认定以及责任承担方式等有着重要影响。行为人侵害企业合法取得的数据时，企业有权依法请求行为人承担违约责任、侵权责任或者基于绝对权请求权产生的民事责任。企业对其非法取得的数据不享有数据权益，但行为人破坏企业对数据的持有状态的，企业也有权请求行为人承担停止侵害、排除妨碍、赔偿损失等责任。行为人侵害企业数据的，个人数据来源者虽不享有数据权益，但可以其个人信息权益受侵害为由请求行为人承担侵权责任或者基于人格权请求权请求行为人承担停止侵害、排除妨碍等民事责任。行为人侵害非个人数据来源者的著作权、商业秘密等在先权利的，受害人有权依据在先权利的保护规则请求行为人承担民事责任。非个人数据来源者对企业所享有的数据查阅权、可携带权等属于相对权，原则上不受侵权法保护；但在行为人恶意侵权时，受害人也应有权请求行为人承担侵权责任。

关键词

数据权益企业数据个人数据数据来源者民事责任

一、问题的提出

二、企业数据的基本类型区分

三、行为人侵害企业数据权益时对企业的民事责任

四、行为人侵害企业数据权益时对数据来源者的民事责任

五、余论

一、问题的提出

企业数据是企业取得并维持其竞争优势的重要条件。甚至可以说，谁掌握了数据，谁就获得了市场先机。这大抵也是侵害企业数据权益行为频频发生的重要原因。例如，在近年来常见的侵害数据权益诉讼案件中，行为人通常是为了获得竞争优势或出于“搭便车”的心态，利用网络爬虫等技术手段爬取其他企业的数据。从受害企业数据来源上看，行为人侵害的既可能是企业在日常生产、经营过程中附带生成的数据，也可能是企业从其他主体处取得的数据。从受害企业取得数据的方式上看，行为人侵害的可能是企业合法取得的数据，也可能是其非法取得的数据。而从受害企业所持数据的信息内容上看，行为人侵害的可能是有关自然人信息的数据（简称“个人数据”），也可能是与非自然人主体的信息有关的数据（简称“非个人数据”）。

在当前纠纷的处理中，人民法院总体上倾向于在竞争法的框架下来评判当事人的利益诉求，即先强调数据是一种重要的企业经营资源，承认企业对数据享有竞争性利益，再评价行为人获取企业数据的行为是否构成不正当竞争，然后依据竞争法规则确定行为人的法律责任。在我国现行立法尚未完成对数据予以确权的背景下，通过此种方式解决纠纷的确可以回避数据权益权利属性认定这一难题。但此种做法的问题也比较明显：一方面，此种做法仅能解决行为人构成不正当竞争情形下企业数据权益的救济问题。但在许多情形下，行为人与受害企业之间并没有竞争关系，即便存在竞争关系，行为人侵害企业数据权益的行为也可能不构成对受害企业的市场替代，并不当然构成不正当竞争。如此一来，受害企业在这些情形下的损害救济就会被概括性排除。另一方面，竞争法规则旨在解决经营者之间因竞争关系产生的权益纠纷问题，难以为数据来源者的权益救济提供规则基础。事实上，企业数据之上同时承载着企业数据权益与数据来源者的权益，且两者密切关联，要准确认定行为人侵害企业数据权益的民事责任，就需要厘清企业与数据来源者对企业数据所享有权利的边界与范围，并在此基础上明确行为人对数据来源者的民事责任。例如，在行为人侵害企业数据权益构成不正当竞争的情形下，依据《反不正当竞争法》第17条第3款规定，如果企业的损失难以确定，则其有权主张按照行为人的侵权获利赔偿。此时，如果承认数据来源者也对企业数据享有数据权益，则数据来源者也应有权主张分享行为人的侵权获利。

目前学理上关于是否应当通过产权路径保护企业数据，存在不同的观点。持反对观点的学者主张，不宜对数据进行确权，否则会造成“反公地悲剧”，影响数据要素的流通和利用。另有观点主张，数据的财产权属性取决于其所包含的信息内容而非其本身，数据必须依赖于一定的载体，否则其本身无法单独发挥作用，数据本身也不具备独立的经济价值，因此不能成为民事权利的客体，其保护问题应当由代码规则等技术手段予以解决。笔者认为，依赖载体的特点并不足以成为否定企业数据为民事权利客体的理由。因为随着社会的发展，各种无形财产的价值日益凸显，并逐渐成为民事权利客体，是否具有有形性、是否依赖于一定的载体并非成为民事权利客体的必要条件。同时，承认企业数据为民事权利客体，既是培育数据要素市场、完善数据产权制度的基本要求，也是保障数据处理者依法获得收益、实现数据要素供给激励的重要途径。更多的学者对企业数据的产权保护路径持肯定立场，但就企业数据的产权保护而言，既有文献侧重关注企业数据的产权保护路径、企业数据产权保护的样态、企业数据权益的内容、企业数据的流通与交易规则等问题，而对侵害企业数据权益的民事责任问题着墨不多。即便新近的文献注意到了这方面的问题（如有的学者从宏观上探讨了通过公法规则配合侵权法规则保护企业数据权益的必要性，或者从微观上探讨侵害企业数据权益的损害赔偿责任这一具体问题），也还是缺乏对侵害企业数据权益民事责任的系统研究。诸如行为人侵害企业自产数据与侵害企业从其他主体处取得的数据时，其民事责任的认定与承担有何区别；是否需要区分企业取得数据方式的合法与非法，分别认定行为人的民事责任；行为人侵害企业数据中的个人数据与非个人数据对其民事责任的认定又有何种影响等许多问题，都是企业数据权益保护所面临的重大理论和实践难题，亟需展开深入研究。

我国现阶段数据立法及相关数据保护政策主要聚焦于数据确权与数据流通问题，也没有过多关注企业数据权益遭受侵害后的民事责任认定问题。《民法典》第127条虽然对数据权益保护作出了宣示性规定，但尚未提供关于数据权益保护的具体规则，难以为企业数据权益的保护提供有效的实定法依据。对于直接受害企业以外的其他受害主体，虽然《民法典》和《个人信息保护法》对个人信息的保护规则已作较为系统的规定，但其调整对象限于个人数据，难以为非个人数据来源者等主体提供权益保护依据。即便就个人数据而言，《民法典》和《个人信息保护法》也难以解决相关的企业数据权益纠纷。例如，在包含个人数据的企业数据遭受侵害时，个人虽然可以其个人信息权益受侵害为由要求行为人承担民事责任，但其能否对企业数据主张数据权益，并以数据权益受侵害为由请求行为人承担民事责任？再如，如果企业受侵害的数据是其通过非法处理个人信息而取得的，其能否以数据权益受侵害为由请求行为人承担民事责任？针对上述问题，《民法典》与《个人信息保护法》难以提供明确的法律依据。《数据安全法》虽然也规定了数据保护规则，但该法的核心立法目的在于保障数据安全，而非在于数据确权以及调整侵害数据权益的民事责任。虽然该法第32、51条规定了数据的收集应当采用合法、正当的方式，不得窃取或以其他非法方式获取数据，但就行为人侵害他人数据权益应当承担何种民事责任，该法并未作出明确规定。《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）也对数据保护问题作出了规定，但其旨在确立数据产权保护的基本框架、促进数据流通，相关数据确权规定仍不够具体，也难以为侵害企业数据权益民事责任的认定提供具体指引。

鉴于企业数据来源与内容的复杂性，本文拟从企业数据来源、数据内容以及企业取得数据的方式三个层面对企业数据的类型进行区分，并在此基础上分别探讨行为人对受害企业以及数据来源者的民事责任，以求为我国相应数据立法规则的设计提供理论参考，并为法官在审判实践中裁判企业数据侵权纠纷案件提供理论指引。

二、企业数据的基本类型区分

关于企业数据的类型区分，我国现行立法并未作出明确规定。“数据二十条”第2条将数据区分为公共数据、企业数据与个人数据，但此种分类之下的三类数据之间可能存在一定的交叉关系，欠缺周延性。尤其是，“个人数据”是从数据所包含的信息内容层面来构建的概念，对应的概念应当是非个人数据；而“企业数据”强调的是企业生产或者享有的数据，旨在表明此类数据的产生主体和归属；“公共数据”强调的是相关数据资源的公共性，当然，公共数据中的特定类型如政务类数据应由国家享有，也强调了此类数据的归属问题。二者与“个人数据”并非同一层次的概念。事实上，无论是企业数据，还是公共数据，都可能包含个人数据，即以个人信息为内容的数据。清晰明确的“企业数据”概念界定是认定侵害企业数据权益的民事责任的基础，而此种对数据类型的不周延区分显然难以帮助精准界定企业数据。考虑到企业数据的复杂性，更好的办法是从实际出发，依据具体的标准对企业数据进行更为周延和精准的区分。

从实践来看，企业数据的构成较为复杂，其来源具有多样性，内容具有复杂性，企业取得数据的方式也有合法与非法之分，因而有必要从数据来源、数据内容以及企业取得数据的方式三个层面区分企业数据，从而更为准确地认定行为人的民事责任。首先，从数据来源层面区分企业数据，有助于厘清行为人侵害的权益类型。与企业自产数据不同，在企业从其他主体处取得数据时，可能出现数据的双重或者多重持有状态，即两个或者两个以上的数据处理者均持有相关的数据，并享有数据权益。此时，行为人侵害企业数据不仅会侵害受害企业的数据权益，还可能侵害其他主体的数据权益。其次，从数据内容层面区分企业数据，有助于明确不同数据来源者请求行为人承担民事责任的依据。个人数据来源者有权依据个人信息保护的规则主张民事责任；而对非个人数据来源者而言，由于其并不享有个人信息权益，因而只能以在先权利等受侵害为由提出请求。最后，从企业取得数据的方式层面区分企业数据，则有利于对受害企业的权益提供不同强度的保护。对企业合法取得数据，应当通过数据产权保护规则对企业提供保护；而在企业非法取得数据的情形下，其不应当享有数据权益，只能通过类似于占有保护的规则对其持有数据的状态予以保护。

（一）企业自产数据与企业从其他主体处取得的数据

从数据来源上看，企业既可通过采集自身生产、经营过程中附带生成的数据或者用户数据等方式取得数据，也可通过合同等方式从其他主体处取得数据。依此，可以按照来源不同，将企业数据区分为企业自产数据与企业从其他主体处取得的数据。

企业自产数据由企业在自身生产、经营过程中通过数据采集行为所取得。企业数据采集是企业从数据源处收集、识别和选取数据的过程。企业采集数据的方式多种多样，既可以借助相关的自动化工具进行数据的自动化采集（如通过网络爬虫等自动化技术采集），也可以通过人工录入等方式进行手动数据采集。企业取得自产数据主要有如下三种途径：一是企业采集自身生产、经营过程中附带生成的数据。企业在生产、经营过程中可能附带产生大量的数据，这些数据只有被采集才能产生相应的利用价值。企业在生产、经营过程中产生的数据之价值经常取决于可以从中提取的知识而非数据本身，而此种价值的产生离不开数据采集行为。因此，企业通过实施数据采集行为，对自身生产、经营过程中附带生成的数据进行识别和选取，本身也是对数据进行“赋值”的过程。对于由此取得的数据，企业应当享有产权内容较为完整的数据权益，即企业应当享有数据持有权、数据使用权与数据经营权。二是企业采集用户的个人数据。依据《民法典》第1035条与《个人信息保护法》第13条规定，在取得个人同意或符合其他法定条件时，个人信息处理者可以依法处理用户的个人信息，企业据此在处理用户个人信息过程中所采集的用户个人数据也属于企业自产数据。例如，在取得用户同意后，企业在其运营过程中采集的用户姓名、IP地址、网络浏览记录等用户个人数据即属于此类企业自产数据。三是企业采集非自然人主体的数据。例如，平台经营者经与平台内的商户约定而采集取得的该商户的相关营销数据，即为企业从非自然人主体处取得的自产数据。在我国司法实践中，有的法院也承认企业从非自然人主体处取得数据行为的合法性。在后两种情形下，企业取得数据权益的原因并不在于个人同意或者相关数据中财产价值的让渡，因为无论是企业采集用户的个人数据还是非自然人主体的数据，当事人之间既没有转让相关数据中财产价值的意愿，也没有转让该财产价值的合意，企业取得数据权益源于其依法处理数据的行为，此种情形与财产权的原始取得类似。

除自产数据外，企业还可能从其他主体处取得数据。企业通常是通过合同的方式从其他主体处取得数据。当事人之间流转数据的合同类型具有多样性，既可能是数据转让合同，也可能是数据许可使用合同或者其他类型的合同。例如，实践中，企业可以将包括后端数据在内的企业数据整合成一系列计算机易识别的应用编程接口开放出去，供第三方开发者使用。第三方开发者在访问相关的企业数据时，通常需要向企业支付一定费用（可一次性支付相关的数据访问费用，也可在每次访问企业数据时单独支付访问费用）。当然，为了规范第三方从开放平台调取数据的行为，同时也为了保护个人信息和企业数据安全，企业通常会与第三方签订开放平台开发者服务协议，约定包括第三方在开放平台内调取数据的权限以及用途等内容。除合同方式外，企业还可能通过取得授权或者爬取等方式从其他主体处取得数据。前者如企业通过取得有关机关授权的方式取得相关的公共数据。例如，全国企业信用查询系统“企查查”平台通过取得授权的方式，取得了相关的裁判文书司法数据。后者如企业通过数据爬取等方式，在未经其他主体同意的情形下，取得相关的数据。与企业自产数据不同，企业从其他主体处所取得的数据通常是其他主体已经实施了一定数据处理行为而形成的具有一定价值的数据集合。

将企业数据区分为企业自产数据与企业从其他主体处取得的数据，对于认定行为人侵害企业数据权益的民事责任具有重要意义。行为人侵害企业自产数据与侵害企业从其他主体处取得的数据，其所侵害的权益存在一定的区别，这也会影响行为人所需承担民事责任的类型与责任范围。就企业自产数据而言，仅企业享有数据权益，数据来源者并不享有数据权益，用户个人与其他非自然人数据来源者虽然也可能依法享有数据查阅权、可携带权等权利，但其属于数据来源者对数据处理者所享有的权利，本身并非数据产权意义上的数据权益。因此，在行为人侵害企业自产数据的情形下，仅需考虑受害企业的数据权益与数据来源者在先权利的保护问题，而无须考虑数据来源者数据权益的救济问题。而在企业从其他主体处取得数据的情形下，可能出现数据的多重持有现象，多个主体均可能对相关数据享有数据权益。在此情形下，行为人的行为可能同时侵害多个主体的数据权益，并因此需要对多个主体承担侵害数据权益的民事责任。例如，在甲公司许可乙公司复制并使用其数据开放平台的数据之情形中即存在数据的双重持有，如果丙擅自从乙公司处窃取相关的数据，则该行为不仅侵害了乙公司的数据权益，也可能构成对甲公司数据权益的侵害。当然，与企业自产数据类似，行为人侵害企业从其他主体处取得的数据时，也存在数据来源者在先权利的保护问题，行为人侵害企业数据权益同时侵害数据来源者在先权利的，数据来源者也有权就其在先权利的损害请求行为人承担停止侵害、赔偿损失等民事责任。

（二）个人数据与非个人数据

从企业数据的内容上看，其可能是有关自然人个人信息的数据，即个人数据；也可能是与非自然人主体信息有关的数据，即非个人数据。

无论是企业自产数据，还是企业从其他主体处取得的数据，都可能包含个人数据与非个人数据。就企业自产数据而言，例如，企业在取得用户同意的情形下处理用户的个人信息，并据此所取得的个人数据，即属于企业自产数据中的个人数据；而企业通过采集自身在生产、经营过程中产生的营销数据、存货数据等，即属于数据企业自产数据中的非个人数据。就企业从其他主体处取得的数据而言，例如，在企业通过数据共享的方式从供电企业、供水企业处取得数据的情形下，企业作为接受数据共享的一方所取得的数据既可能是个人数据，也可能是非个人数据。前者如特定用电用户的用电数据和用水数据；后者如区域用电数据、区域用水数据等。

需要指出的是，无论是企业自产数据中的个人数据，还是企业从其他主体处取得的个人数据，其本质上都属于个人数据，企业在处理此类数据时，都应当满足依法处理个人信息的要求。而企业数据中的非个人数据则存在较大的区别，如就企业自身在生产、经营过程中附带生成的非个人数据而言，其数据权益主体通常限于企业自身，一般不涉及其他主体；而就企业从其他主体处取得的数据而言，其可能存在数据的多重持有现象，在遭受侵害时就可能涉及多个主体的数据权益保护问题。因此，当行为人侵害企业数据中的个人数据或非个人数据时，其民事责任的认定与承担会有所不同，具体体现在行为人对数据来源者的责任方面。在责任认定方面，当行为人侵害个人数据时，个人数据来源者可依据《个人信息保护法》第69条请求行为人承担损害赔偿责任，此时适用过错推定原则；个人数据来源者也可基于人格权请求权请求行为人承担民事责任，此时，行为人民事责任的成立既不需要过错，也不需要受害人遭受一定的损害，而且个人的请求权不受诉讼时效的限制。而当行为人侵害非个人数据时，除有特别规定外，非个人数据来源者请求行为人承担侵权损害赔偿责任应适用《民法典》第1165条第1款，原则上适用过错责任原则。在责任承担方面，在个人数据遭受侵害时，由于个人信息涉及人格利益，个人数据来源者有权基于人格权请求权请求行为人承担停止侵害、排除妨碍、消除危险等民事责任；如果行为人侵害个人数据造成个人数据来源者财产损害或严重精神损害的，受害人有权依法请求行为人承担财产损害赔偿和精神损害赔偿。而行为人侵害非个人数据通常是侵害非个人数据来源者的特定在先权利，此时需要依据该在先权利的保护规则认定行为人的民事责任。例如，在行为人侵害非个人数据来源者的著作权时，该非个人数据来源者有权依据《著作权法》第52条请求行为人承担停止侵害、消除影响、赔礼道歉等责任。此外，由于非个人数据来源者的在先权利通常是财产权，在遭受损害后，受害人通常无权请求行为人承担精神损害赔偿责任。

（三）企业合法取得的数据与企业非法取得的数据

1.企业合法取得的数据

无论是企业取得自产数据，还是企业从其他主体处取得数据，均存在合法取得与非法取得的问题。企业在采集自身生产、经营过程中附带产生的数据时通常不涉及他人在先权利的保护，因此一般不存在非法采集的问题。但企业采集用户个人数据的行为应当符合《民法典》《个人信息保护法》等法律规定的处理个人信息的条件。具体而言，企业可以通过取得用户同意的方式（如签订用户协议）取得处理用户个人信息的权利，据此实施个人信息处理行为并取得个人数据；除个人同意外，在符合法律规定的情形下，企业也可以不经个人同意而处理其个人信息，并据此取得相关的数据。例如，企业在依据《个人信息保护法》第13、27条处理已公开的个人信息时，也可以合法取得相关的个人数据。企业采集非自然人主体的数据也应当严格按照当事人的约定进行，如果其中涉及个人信息的采集，企业采集相关数据还应当符合依法处理个人信息的要求。

企业从其他主体处合法取得数据的主要方式是合同。企业与其他主体可以就数据的提供与利用等作出约定，如约定数据提供的范围、方式、期限等内容。当然，当事人有关提供数据的约定不得侵害他人的在先权利。例如，就个人数据共享而言，依据《个人信息保护法》第23条的规定，个人信息处理者在向他人提供个人信息时，应当符合法律规定的条件，并取得个人的单独同意。据此，在其他数据处理者向企业提供的数据中包含个人信息时，此种数据共享行为也应当符合上述规定。问题在于，在企业与其他主体订立数据共享等协议的情形中，如果相对人实际不具有共享相关数据的权利但伪造了其已经取得共享数据的授权等证明文件，而企业对此并不知情时，企业能否合法取得相关的数据？有观点认为，在相对人并不具有共享个人数据的权利时，其共享数据的行为构成数据财产权的“无权处分”，如果符合善意取得的构成要件，则企业仍可合法取得数据。此种观点具有合理性。与有体财产的交易类似，数据财产权的交易同样存在交易安全的保护问题，需要通过善意取得等制度保护当事人的合理信赖。当然，与有形财产的善意取得不同，数据财产权善意取得的成立具有一定的特殊性：一是权利外观的特殊性。就有体物的善意取得而言，通常是相关的动产由无权处分人占有，或者不动产登记在无权处分人名下，无权处分人因而可以对有体物进行直接控制和处分，从而形成无处分权人享有处分权的权利外观。而在数据财产权的善意取得情形中，无处分权人的权利外观通常体现为其持有相关的数据，但对数据的持有不同于对有体物的物理控制，更多地体现为依托相关的技术手段对他人查阅或者使用数据的权限进行控制。二是相对人善意认定的特殊性。以个人数据为例，在涉及个人数据的交易时，由于我国《民法典》与《个人信息保护法》原则上要求个人信息的共享应当取得个人的单独同意，因此，企业在与相对人订立数据共享协议时，不能仅从相对人持有相关数据的外观而当然认定其对相关的数据具有处分权，而应当依据法律规定进一步核实其是否有共享个人数据的权利（如已经取得个人单独同意等），否则难以认定企业为善意。三是权利变动方式的特殊性。我国现行立法尚未对数据财产权变动的公示方式作出明确规定，一般而言，如果相对人已经通过查阅、复制等方式从无权处分人处“取得”数据，或者完成数据产权变动的登记，即可认定当事人已经完成了数据财产权变动的公示。

此外，企业还可以通过合法的数据爬取行为从其他主体处合法取得数据。我国现行立法并未对合法的数据爬取规则作出规定，已有的司法实践一般认为，企业对其数据享有合法权益，行为人未经许可不得随意爬取他人的数据，否则将构成对他人合法权益的侵害，甚至构成不正当竞争。有观点主张，为了满足消除数据孤岛现象、增强数据供给以及保障人工智能等新兴产业发展的需要，应允许数据处理者实施合法的数据爬取行为。在国家数据主管部门牵头起草的数据产权文件的讨论中，也有观点主张，为了促进公开数据的复用，数据处理者在不影响网络服务正常运行和服务、不破坏有效技术措施、不违反法律法规的前提下，应当有权合法爬取相关的公开数据。在合法爬取数据的情形下，企业取得相关数据虽然并未取得其他数据处理者的同意，但也构成合法取得企业数据。

2.企业非法取得的数据

企业非法取得的自产数据包括用户个人数据以及非个人数据。例如，企业借助cookie等技术手段，在用户不知情的情况下收集其个人信息甚至隐私信息，在不具备其他法定事由的情形下，企业即构成非法取得用户个人数据。再如，企业违反与平台内商户的约定，超出约定范围采集商户营销数据的，即构成非法取得非个人数据。

企业也可能从其他主体处非法取得数据。除法律另有规定外，企业从其他主体处取得数据原则上应当通过合同的方式，如果企业通过窃取等非法方式从其他主体处取得数据，即构成非法取得数据。与个人数据类似，企业从无权利人处取得非个人数据如果不构成善意取得，同样构成非法取得数据。例如，企业从其他主体处取得非个人数据时，如果该其他主体对其所持有的数据不享有数据经营权，其向企业提供数据的行为即构成无权处分，如果不符合善意取得的构成要件，则企业也构成非法取得非个人数据。

因为企业取得数据方式的合法性将直接影响其能否对相关数据取得数据权益以及取得数据权益的范围，行为人侵害企业合法取得的数据与侵害企业非法取得数据所要承担的民事责任存在一定的区别。进一步而言，在企业合法取得数据的情形下，企业通常可以取得相应的数据权益，例如，企业合法采集自产数据的，通常可以取得完整的数据产权；在企业从其他主体处合法取得数据的情形，其也可以基于当事人的约定取得相应的数据权益。行为人侵害企业合法取得的数据时，企业有权以其数据权益受侵害为由请求行为人承担民事责任。而在企业非法取得数据的情形下，企业不仅不享有数据权益，其对非法取得的数据还应负有删除义务。例如，依据《个人信息保护法》第47条，在企业非法处理个人信息的情形下，其负有删除相关个人数据的义务。行为人侵害企业非法取得的数据时，企业无权以其数据权益受侵害为由请求行为人承担侵权责任，而只能考虑通过设置类似于占有保护请求权的规则对企业持有数据的状态提供保护。可见，对企业非法取得的数据的保护力度要小于企业合法取得的数据，行为人侵害企业非法取得数据的民事责任的认定更为严格。

三、行为人侵害企业数据权益时对企业的民事责任

在行为人侵害企业数据时，认定行为人对企业的民事责任，首先需要明确行为人侵害了企业的何种民事权益。如前所述，企业取得数据的方式有合法与非法之分，且企业取得数据的方式合法与否将直接决定其能否取得数据权益以及取得数据权益的类型。因此，认定行为人对企业的民事责任，需要区分企业合法取得数据与非法取得数据两种情形，分别予以认定。

（一）行为人侵害企业合法取得的数据的民事责任

1.企业对合法取得数据的权益界定

认定行为人的民事责任，首先需要确定企业对相关数据所享有的民事权益的范围。在合法取得数据的情形下，企业对相关数据通常享有完整的数据权益，即享有数据持有权、数据使用权以及数据经营权。当然，在特殊情形下，企业对其合法取得的数据所享有的权益也可能受到一定的限制，此种限制主要来自两个方面：一是当事人约定的限制。在企业通过合同方式从其他主体处取得数据时，当事人可能会在合同中约定企业对数据所享有的权益的范围。例如，企业在通过合同方式从其他数据处理者处取得数据时，如果当事人约定企业对相关数据仅享有数据持有权与数据使用权，而不享有数据经营权，则企业无权随意将相关数据转让给其他主体。二是法律法规的限制。法律也可能就企业对其合法取得的数据所享有的权益进行一定的限制。例如，在国家数据主管部门牵头起草的数据产权文件的讨论中，一种较有影响力的观点认为，企业对其合法爬取的公开数据原则上仅享有数据持有权与数据使用权，其数据经营权应当受到严格限制。如果将来立法采纳了此种观点，此种情形即构成对企业数据权益的法定限制。笔者认为，在企业合法爬取公开数据的情形下，为了更好地发挥公开数据的经济效用，不应当一概排除企业的数据经营权，但企业应当在保护国家安全且不实质性替代被爬取方产品和服务的前提下行使数据经营权。

当企业对合法取得的数据享有完整的数据权益时，企业可以获得更高强度的保护。在行为人的行为影响企业数据持有权、数据使用权或者数据经营权的实现时，企业均可请求行为人承担民事责任。而在企业对合法取得的数据所享有的权益受到一定限制时，判断企业能否请求行为人承担民事责任以及行为人应承担何种民事责任，首先需要确定企业对相关的数据享有何种民事权益。例如，在企业通过数据开放平台从其他主体处取得数据的情形下，当事人约定企业对其所取得的数据仅享有数据持有权与数据使用权，如果行为人从企业处窃取相关的数据并用于经营活动，由于企业并不享有数据经营权，其无权主张行为人侵害了其数据经营权。在此情形下，只能由开放数据的数据处理者请求行为人承担侵害其数据经营权的民事责任。当然，如果行为人的行为构成不正当竞争，企业也有权依据竞争法规则请求行为人承担民事责任。

2.行为人侵害企业合法取得数据民事责任的具体认定

在行为人侵害企业数据权益的情形下，针对企业可以请求行为人承担哪些民事责任，需要依据当事人之间不同的基础关系分别予以认定，具体而言：

一是违约责任。如果企业与行为人之间存在合同关系，则行为人侵害企业数据权益的行为可能构成违约，企业有权依法请求行为人承担违约责任。按照私法自治原则，当事人原则上可以在合同中约定相对人使用企业数据的时间、范围以及使用方式等内容，相对人超出约定范围使用相关企业数据的，构成违约，企业有权依法请求相对人承担违约责任。例如，在“深圳市腾讯计算机系统有限公司、腾讯科技（深圳）有限公司、腾讯数码（天津）有限公司诉北京微播视界科技有限公司、北京拍拍看看科技有限公司不正当竞争纠纷案”中，当事人订立协议，约定腾讯公司通过数据开放平台向抖音产品开放微信/QQ数据，帮助抖音授权用户使用微信/QQ头像、昵称等信息实现抖音登录。抖音产品仅能为实现上述授权登录目的而使用相关数据，后抖音超出授权范围，将隐私设置中的“把我推荐给好友”选项默认为开启状态，并在推荐好友时向其他用户显示该用户头像、昵称。法院认为，该行为构成对来源于开放平台的相关数据的再次使用，显然已超出授权登录的使用目的和使用范围。在该案中，相对人超出数据许可使用协议使用企业数据，构成对企业数据权益的侵害，企业应当有权依法请求相对人承担违约责任。

二是侵权责任。企业数据权益作为一种民事权益，应当受到侵权法规则的保护，行为人侵害企业数据权益的，企业有权依法请求行为人承担侵权责任。我国《民法典》侵权责任编同时规定了损害赔偿责任与停止侵害、排除妨碍、消除危险等预防性的侵权责任承担方式，这些责任承担方式都可以用于企业数据权益保护。例如，针对行为人正在实施的非法窃取、篡改、泄露或破坏企业数据的行为，企业有权依法请求行为人承担停止侵害、排除妨碍等侵权责任。行为人侵害企业数据权益造成企业损害的，企业有权依法请求行为人承担侵权损害赔偿责任。需要指出的是，企业数据权益在性质上属于财产权益而非人身权益，即便企业数据中包含个人数据，企业也仅对其享有财产权益而非人身权益。因此，在具体计算企业数据权益遭受侵害后的财产损害数额时，应当依据《民法典》第1184条关于侵害财产权益的损害赔偿规则确定赔偿数额，即具体按照损失发生时的市场价格或者其他合理方式计算财产损失数额，而不能依据《民法典》第1182条关于侵害人身权益的财产损失赔偿规则进行计算。

三是基于绝对权请求权产生的民事责任。关于数据权益是否为绝对权，企业对其持有的数据是否享有绝对权请求权，学理上存在不同的主张。有观点认为，数据权益作为一种新型的财产权，其在性质上应当属于绝对权。在数据权益遭受侵害时，权利人有权基于绝对权请求权请求行为人承担停止侵害、排除妨碍、消除危险等民事责任。有观点则主张，对数据进行确权时，应当考虑促进数据的流通与共享，不应当确认相关主体对数据享有绝对性与排他性的权利，而应当根据个案提供场景化的保护。还有学者则采折中的立场，主张为了使企业获得对抗特定类别主体和特定类别的行为，应当在数据之上创建具有有限排他性的准财产权，即数据控制者所享有的数据财产权仅能对抗与其具有竞争关系的行为人，且仅能排除行为人以自动化技术等方式过度获取数据的行为。笔者认为，对数据进行确权的确应当考虑促进数据的流通与共享，这也是推动数据产业发展的基本要求，但这并不影响将数据权益界定为一项绝对权。由于企业数据是企业的重要经营资源，是企业取得和维持其竞争优势的重要条件。因此，为了保护企业的竞争利益，允许其对所持有的数据进行相对“垄断性”的控制和支配是必要的，这也是数据产权保护途径的应有之义，如果否定数据权益的排他性，放任侵害数据权益的行为，可能使企业丧失“人无我有”的竞争优势，并在一定程度上架空企业持有数据的价值。即便在数据多重持有的情形下，也应当承认各个数据处理者数据权益的绝对权属性，各数据处理者可据此排除第三人的不法侵害行为。承认企业数据权益的绝对权属性，并不当然影响数据的流通与利用。正如有观点所指出的，在基于合同约定流通数据的情形下，承认数据权益的排他性，并在此基础上建立相对明确的数据财产权利体系，有利于降低当事人在数据交易中的信息获取成本，这不仅不会阻碍基于合同约定而发生的数据流通，反而有利于促进数据的流通。据此，在行为人侵害企业数据的情形下，企业应当有权基于绝对权请求权请求行为人承担停止侵害、排除妨碍、消除危险等民事责任。当然，由于我国现阶段数据立法尚不完善，企业的绝对权请求权还有待于法律的确认。此外，在承认企业数据权益绝对权属性的同时，有必要通过确立数据查阅权、数据合理使用制度以及合法爬取数据的规则等方式，缓解可能产生的数据垄断，以促进数据的流通与利用。

（二）行为人侵害企业非法取得的数据的民事责任

在企业非法取得数据的情形下，判断行为人是否需要承担民事责任，首先需要明确企业对非法取得的数据是否享有数据权益或其他民事权益。依据《民法典》第1037条第2款、《网络安全法》第43条以及《个人信息保护法》第47条第1款第4项规定，如果个人信息处理者违反法律、行政法规或者违反约定处理个人信息，其负有删除相关个人信息的义务。因此，不宜承认企业对其非法取得个人数据享有数据权益，否则不仅与企业依法负有的删除义务相冲突，也可能变相鼓励企业非法处理个人信息。就企业非法取得非个人数据（如企业违反其与平台内商户的约定、非法采集商户营销数据）时是否负有删除义务，我国现行立法尚无明文规定。笔者认为，为了遏制企业实施非法取得非个人数据的行为，应当采取与前述企业非法取得个人数据相同的立场，即不宜承认企业对其非法取得的非个人数据享有数据权益，企业对相关数据也应当负有删除义务。据此，在行为人侵害企业非法取得的数据时，企业不得以其数据持有权、数据使用权、数据经营权等企业数据权益受侵害为由请求行为人承担民事责任。

问题在于，企业对其非法取得的数据不享有数据权益是否意味着，行为人可以随意侵害企业非法取得的数据？笔者认为，此处需要区分数据权益中的数据持有权与数据持有状态：数据持有权在性质上属于独立的民事权利，企业享有数据持有权应当以其合法取得数据为前提；数据持有状态则是企业客观上持有数据的一种状态，而无论该相关数据是企业合法取得抑或非法取得。在企业非法取得数据的情形下，其持有数据的状态与无权占有人占有财产的状态类似，应受到类似的保护。依据《民法典》第462条规定，行为人非法侵害占有人对物的占有状态的，占有人有权依法主张占有保护请求权，请求行为人承担返还原物、排除妨害或消除危险等民事责任。《民法典》之所以保护没有权源基础的占有状态，是为了维护已经成立的占有事实状态，通过排除非法侵害的方式维护相关的财产秩序。企业非法取得数据所形成的对相关数据的“持有”状态，与有体物的占有状态类似，同样形成了一定的财产秩序，他人也应负有不得非法破坏企业持有数据状态的义务。尤其是企业已经对其非法取得的数据进行了一定的加工，或者将其用于自身的生产、经营活动时，该财产秩序更应受到法律的保护。因此，即便企业是非法取得相关的数据，其持有数据的状态也应受到法律保护。行为人侵害企业数据、破坏企业持有数据的状态的，企业有权请求行为人承担民事责任。例如，在行为人以篡改、破坏等方式实施侵害行为时，企业有权请求行为人停止实施相关行为；而在行为人窃取企业数据的情形下，企业有权请求行为人返还数据或者删除数据。

需要指出的是，与侵害有体物的占有不同，行为人侵害企业非法持有的数据时，并不当然会破坏企业持有数据的状态，企业能否请求行为人承担民事责任，需要区分行为人不同的侵害方式及其对企业持有数据状态的影响，分别予以认定：在行为人通过泄露、非法访问等方式侵害相关数据时，该行为并不会对企业持有数据的状态产生不当影响，不宜承认企业的停止侵害、排除妨碍等请求权；而在行为人以窃取、篡改、破坏等方式实施侵害行为时，由于该行为可能破坏企业持有数据的状态，应当承认企业有权请求行为人承担停止侵害、排除妨碍、赔偿损失等民事责任。

四、行为人侵害企业数据权益时对数据来源者的民事责任

行为人侵害企业数据权益不仅会造成受害企业的损害，也可能侵害数据来源者的民事权益。个人数据来源者对个人数据享有个人信息权益，非个人数据来源者对非个人数据主要享有著作权、商业秘密等在先权利，由于个人信息与著作权、商业秘密等在先权利的性质不同，其保护规则也存在差别。例如，个人信息属于人格利益，可依《民法典》与《个人信息保护法》的个人信息权益保护规则受到保护；而非个人数据来源者的在先权利主要是财产权，主要受《著作权法》及商业秘密等在先权利保护规则的保护。因此，有必要区分个人数据来源者与非个人数据来源者，分别认定行为人对数据来源者的民事责任。

（一）行为人对个人数据来源者的民事责任

1.个人数据来源者对企业数据所享有的权利

在行为人侵害企业数据权益的情形下，确定行为人对个人数据来源者应当承担的民事责任，首先需要明确个人数据来源者就企业数据享有何种权利。

企业数据中的个人数据虽然是企业数据的组成部分，但其并不因此丧失个人信息的属性。而个人信息在性质上属于人格利益，具有人身专属性，因此个人数据来源者对企业数据中的个人数据仍应享有个人信息权益。无论是企业在生产、经营过程中采集的个人数据，还是从其他主体处取得的个人数据，本质上都属于个人信息，即便企业对相关的个人信息进行了一定的处理，除匿名化处理外，也不会改变其个人信息属性。例如，企业在基于个人同意而采集其个人信息时，当事人之间应当成立个人信息许可使用关系而非个人信息转让的关系，企业对相关的个人信息享有的只是一种利用权，个人仍然是个人信息主体。《民法典》与《个人信息保护法》对个人在个人信息处理活动中的权利作出的规定，也当然适用于企业处理个人数据的情形。例如，依据《个人信息保护法》第45条第3款，个人对其个人信息享有可携带权，即便相关个人信息已成为企业数据的组成部分，个人也有权依法请求将其相关个人信息转移至其指定的个人信息处理者。无论企业是基于合法原因取得个人数据，还是非法取得个人数据，均不影响个人的信息主体地位。例如，即便企业所持有的个人数据是从其他数据处理者处窃取的，该部分个人信息的信息主体也仍然是个人，其仍可依据个人信息保护的相关规则主张个人信息权益。

针对企业数据中包含的个人数据，由于个人数据只是企业数据的组成部分，个人应当仅对自己的个人数据而非整个企业数据享有权利，否则会不当扩张个人对其个人数据所享有的权利范围。但问题在于，既然个人数据是企业数据的组成部分，个人能否主张与企业分享数据权益？例如，在企业通过使用或者经营企业数据而获利时，个人能否主张分享该获利？再如，在行为人侵害企业数据权益的情形下，企业在请求行为人承担责任并获得损害赔偿后，个人能否主张分享该损害赔偿金？对此，有观点认为，无论是企业还是个人，对数据价值的形成都有一定的贡献，应当根据各自贡献程度的不同赋予其数据权益。此种观点值得商榷，因为如果赋予个人对企业数据享有数据权益，为了便于企业数据的利用，就需要进一步衡量个人在企业数据中的贡献度，进而确定企业与个人对企业数据享有权利的比例，但企业数据中往往包含海量用户的个人数据，就单个用户的个人数据在企业数据价值形成过程中究竟有多大影响、应当赋予个人享有多大比例的数据权益，几乎难以确定。这不仅会导致企业数据之上存在大量的数据权益主体，也将不可避免地影响企业数据的有效利用。从“数据二十条”的规定来看，其所规定的数据确权也主要是对数据处理者数据财产权的确权，而非对个人数据来源者数据财产权的确权，此种做法值得赞同。

2.行为人对个人数据来源者民事责任的具体认定

如前所述，在企业数据中包含个人数据的情形下，个人数据来源者仅对相关的个人数据享有个人信息权益，而不享有数据权益。在行为人侵害企业数据权益的同时也侵害了个人数据来源者的个人信息权益时，个人仅能以其个人信息受侵害为由请求行为人承担民事责任，而不得以数据权益受侵害为由主张民事责任。从《民法典》与《个人信息保护法》的规定来看，行为人对个人数据来源者所需要承担的民事责任主要是基于人格权请求权产生的责任与侵权责任。

《民法典》第995条对人格权请求权规则作出了规定，但从该条的文义来看，其保护对象限于“人格权”，而不包括个人信息等人格利益。那么，在行为人侵害企业数据权益同时侵害个人数据来源者个人信息的情形下，个人数据来源者能否依据人格权请求权请求行为人承担停止侵害、排除妨碍、消除危险等责任？笔者认为，个人信息等人格利益在客观上也有受人格权请求权保护的必要，当行为人实施侵害个人信息的行为时，应当允许个人基于人格权请求权请求行为人停止侵害、排除妨碍、消除危险等民事责任，以防止损害的发生或者扩大。从人格利益保护的价值基础来看，与姓名、肖像等人格利益相比，个人信息等人格利益同样与个人的人格尊严存在密切关联，也有受到人格权请求权保护的必要。因此，《民法典》第995条将人格权请求权的保护范围限定为“人格权”而不包括个人信息等人格利益，存在法律漏洞，有必要通过目的性扩张解释的方式，将个人信息等人格利益纳入保护范围。据此，当行为人侵害企业数据同时构成非法处理个人信息时，个人数据来源者应当有权基于人格权请求权请求行为人承担停止侵害、排除妨碍、消除危险等民事责任。而且，个人数据来源者在依据《民法典》第995条规定主张人格权请求权时，并不需要证明自身遭受了现实损害，也不需要证明行为人具有过错，该请求权的行使也不受诉讼时效的限制。

当个人信息遭受侵害时，个人数据来源者同样有权请求行为人承担侵权责任。个人数据来源者在依据《民法典》第1167条请求行为人承担停止侵害、排除妨碍、消除危险等预防性的侵权责任时，既不需要证明行为人具有过错，也不需要证明其遭受了现实损害。例如，在行为人擅自向他人提供个人数据时，个人有权请求行为人停止数据共享行为，并消除潜在的个人数据泄露风险。而依据《个人信息保护法》第69条第1款规定，个人数据来源者请求行为人承担侵权损害赔偿责任时，则采过错推定原则，即个人无需证明行为人具有过错，而推定行为人具有过错，由其举证证明自身没有过错。在损害的证明方面，由于个人信息等人格权益的客体具有无形性，在遭受侵害后，受害人往往难以证明其客观上遭受了何种损失，许多情况下，个人甚至并不知道其个人信息受到了侵害。因此，为了降低受害人的举证负担，可以借鉴规范损害说，即只要行为人实施了侵害他人个人信息的行为，就可认定受害人遭受了一定的损害。在损害赔偿额的计算方面，依据《民法典》第1182条与《个人信息保护法》第69条第2款规定，具体可以按照受害人的实际损失或者行为人的获利赔偿，或者由法院酌定赔偿数额。受害人在请求行为人按照实际损失赔偿或者按照行为人的获利赔偿时，应当证明自身实际损失数额或者行为人获利数额，否则将难以获得救济。但是，如前文所述，在个人信息遭受侵害时，受害人往往难以证明自身遭受了何种损害，且单个受害人的个人信息在行为人获利中的比例通常也难以确定。因此，这两种损害赔偿数额计算方式在实践中往往难以适用。此时，受害人可以请求法院酌定赔偿数额，或者由法院依职权酌定赔偿数额。

值得探讨的是，如果行为人对受害企业的民事责任成立，能否当然认定其对个人数据来源者的民事责任成立？笔者认为，个人数据来源者的权益与企业数据权益虽然都属于企业数据之上所承载的民事权益，但二者属于相互独立的民事权益，在民事责任的认定上也应当相互独立。在企业数据中包含个人数据时，即便认定行为人侵害了企业数据权益，也不宜当然认定其构成对个人信息权益的侵害，反之亦然。例如，在当事人共享包含个人数据的企业数据时，如果提供企业数据的一方并未取得个人数据来源者的同意，则接受共享数据的一方在利用企业数据时可能仅构成对个人数据来源者个人信息权益的侵害，而不构成对共享数据一方企业数据权益的侵害。相反，当接受共享的一方超出约定的范围使用个人数据但其取得了用户个人的同意的，则其仅构成对提供企业数据的一方数据权益的侵害，但并不构成对用户个人信息权益的侵害。

（二）行为人对非个人数据来源者的民事责任

与行为人对个人数据来源者的民事责任类似，在行为人侵害企业数据权益的情形中，确定行为人需要对非个人数据来源者承担哪些民事责任，同样需要首先明确行为人侵害了非个人数据来源者的何种民事权益。一般而言，数据来源者的权利包括在先权利及其对数据处理者所享有的权利两类。在行为人侵害企业数据权益时，非个人数据来源者的上述两类权利均可能受到侵害，需要分别认定行为人的民事责任。

1.行为人侵害非个人数据来源者在先权利的民事责任

行为人侵害企业数据权益的，也可能侵害非个人数据来源者的著作权、商业秘密等相关在先权利。例如，当企业数据中包含非个人数据来源者的商业秘密时，如果行为人窃取数据或者泄露数据，可能导致非个人数据来源者的商业秘密受到侵害，此时，受害人有权依法请求行为人承担侵权责任。非个人数据来源者的在先权利通常都是立法明确规定的民事权利，事实上，行为人侵害企业数据不过是其侵害非个人数据来源者在先权利的一种方式而已，此时仍应依据侵权责任的一般规则或者在先权利保护的规则来认定行为人的民事责任。

在企业从其他主体处取得数据的情形下，非个人数据来源者同时也可能是数据处理者，其也可能依法享有数据持有权、数据使用权以及数据经营权，此时构成企业数据的双重或者多重持有，行为人侵害企业数据可能构成对多个数据处理者数据权益的侵害，应当依法对多个数据处理者承担民事责任。例如，网店许可平台经营者持有并使用其营销数据，如果行为人从平台经营者处窃取该数据并用于经营，则该行为不仅侵害了平台经营者的数据权益，也构成对网店数据权益的侵害，网店也有权请求行为人承担民事责任。

2.行为人侵害非个人数据来源者对企业所享有权利的民事责任

在企业从非个人数据来源者处取得数据的情形下，非个人数据来源者就数据的利用等也对企业享有一定的权利。我国《民法典》与《个人信息保护法》仅对个人信息处理活动中个人对个人信息处理者所享有的权利作出了规定，而没有规定非个人数据来源者对数据处理者所享有的权利。有观点认为，为了促进数据的有效利用，打破数据孤岛，有必要承认非个人数据来源者对数据处理者享有公平访问权（即查阅权）、合理利用权等权利。此种观点值得赞同。“数据二十条”在规定数据来源者权益保护时，也明确规定，“保障数据来源者享有获取或复制转移由其促成产生数据的权益”，这实际上也承认了数据来源者的数据查阅权、复制权与可携带权。但问题在于，非个人数据来源者对企业所享有的数据查阅权、数据复制权以及数据可携带权等权利在性质上是何种权利？其能否成为民事责任的救济对象？

对此，有观点主张，非个人数据来源者对数据处理者所享有的权利在性质上属于一种程序性、非绝对性、举报建议性权利，其并非一种实体性、绝对性和可诉性的权利。按照此种观点，在行为人侵害非个人数据来源者的上述权利时，非个人数据来源者无权请求行为人承担民事责任。另一种观点则认为，非个人数据来源者对数据处理者所享有的数据查阅权、复制权、可携带权等权利在性质上属于实体性权利，而且作为相对权，此类权利的实现需要数据处理者提供便利，只有数据处理者未提供便利或者拒绝数据来源者行使权利时，数据来源者才能依法请求数据处理者承担民事责任，其不能对第三人产生绝对、排他的效力，在遭受侵害时，数据来源者无权请求第三人承担侵权责任。

笔者认为，非个人数据来源者的数据查阅权、复制权、可携带权等权利在性质上应当属于实体性权利，此类权利的行使虽然涉及相关的程序，但其权利基础应当源于实体法的规定，是保障非个人数据来源者权益的重要实体性权利。与个人在个人信息处理活动中的权利类似，非个人数据来源者所享有的查阅权、复制权、可携带权等权利也仅能向数据处理者主张，其应当属于相对权。问题在于，在行为人侵害企业数据，并因此影响非个人数据来源者对企业行使相关上述权利时，非个人数据来源者能否请求行为人承担侵权责任？例如，行为人破坏企业从非个人数据来源者处取得的数据，导致非个人数据来源者无法访问相关的数据，此时非个人数据处理者能否请求行为人承担侵权责任？按照前述观点，在上述权利遭受侵害时，非个人数据来源者无权请求行为人承担侵权责任。此种观点具有其合理性，因为企业所持有的数据来源具有复杂性，非个人数据来源者对企业所享有的权利作为相对权，在客观上缺乏有效的公示方式，非个人数据来源者与企业之外的第三人既难以判断相关非个人数据的来源，也难以判断是否存在数据来源者以及数据来源者享有何种权利。当行为人侵害企业数据进而影响非个人数据来源者行使数据查阅权、复制权等权利时，如果课以其对非个人数据来源主体承担侵权责任，会过分加重行为人责任，从而可能导致不当限制个人的行为自由，有违侵权责任法的立法目的。但完全将非个人数据来源者的上述权利排除在侵权法的保护范围之外，也存在一定的问题，因为《民法典》侵权责任编保护的权益范围具有开放性，不仅包括绝对权，还包括相对权及各种民事利益。非个人数据来源者的上述权利作为一种合法权益，也应当受到侵权法的保护。而且，非个人数据来源者的上述权利虽然具有相对性，但在特殊情形下，行为人在侵害企业数据时也可能知晓非个人数据来源者享有相关权利，甚至可能出于不正当竞争等目的恶意侵害非个人数据来源者的上述权利。此时，对行为人行为自由的保护应让位于非个人数据来源者权益的保护，非个人数据来源者应当有权依法请求行为人承担侵权责任。

五、余论

自“数据二十条”颁布后，学术界就数据确权问题、数据流通与交易等问题展开了广泛研究，并就企业数据应受法律保护以及企业数据的产权保护路径等问题达成了初步共识。在判定侵害企业数据权益民事责任时，通过对企业数据的来源、企业数据的内容以及企业取得数据的方式等方面的区分，可以帮助我们抓住认定侵害企业数据权益民事责任的要点，从而更为准确地认定行为人侵害企业数据权益的民事责任。

将来围绕侵害企业数据权益民事责任的研究仍需要重点解决如下两方面的问题：一是行为人侵害企业数据权益民事责任的具体承担问题。数据权益的保护是互联网、大数据时代的新问题，传统的民事责任承担方式在适用于企业数据权益保护时，可能需要进行一定的变通。例如，在企业数据权益遭受侵害后，行为人究竟应当以何种方式停止侵害、排除妨碍、消除危险等，需要进一步研究。二是行为人侵害企业数据权益民事责任与行政规制方式之间关系衔接的问题。企业数据权益的保护既需要考虑对相关主体进行赋权，也需要发挥行政规制手段的作用，双管齐下，构建企业数据权益保护的系统解决方案，这就需要协调侵害企业数据权益民事责任与行政监管方式之间的关系。例如，在确定行为人侵害企业数据权益损害赔偿的数额时，可能需要将对行为人进行行政处罚的数额纳入考量。再如，在行为人侵害非个人数据来源者的查阅权、复制权、可携带权等权利时，受害人既有权依法请求行为人承担侵权责任，也有权依法向行政机关进行投诉或者举报建议，这同样涉及民事责任与行政监管关系的协调。关于民事权益保护与行政监管之间的关系，《民法典》施行以来的司法实践已经进行了有益探索。在企业数据权益保护方面，也可以考虑借鉴这一司法实践经验，但在行为人侵害企业数据权益的情形下如何实现民事责任与行政监管的有效衔接，值得进一步研究。

本刊已发相关主题的文章还有：

1. 夏庆锋: 《个人数据交易的私法制度构造研究》(2024年第5期);

2. 孙建伟: 《数字财产权对传统财产权理论的重构》(2024年第5期);

3. 张凌寒:《论数据信息损害的承认与救济》(2024年第3期);

4. 申卫星: 《论数据产权制度的层级性：“三三制”数据确权法》(2023年第4期);

5. 沈健州:《数据财产的权利架构与规则展开》(2022年第4期);

等等。

中国法学

中国法学杂志社是《中国法学》及China Legal Science的出版单位。《中国法学》由中国法学会主管主办，是目前国内最权威的法学期刊之一。China Legal Science由中央政法委主管、中国法学会主办。