下载掌阅APP,畅读海量书库
立即打开
塔妮娅·阿普林
本文认为,与《商业秘密指令》
相协调的商业秘密保护可以在“大数据”经济中发挥作用。这意味着与现有法律工具(例如数据库特殊权利
)相结合的商业秘密保护,消除了引入数据生产者权的需要。
本文首先简要介绍欧盟委员会关于欧盟数据经济的目标;其次对《商业秘密指令》进行概括;继而详细探究该指令如何在“大数据”经济中得到利用,并指出它是具有实践价值(尽管是部分有用)的法律工具。该指令的不确定性或适用中的难题主要在于一般性说明尚不明确,数据生产者权的语境下同样有可能产生类似问题。
欧盟委员会最近对支持数据经济发展表现出浓厚兴趣,并在“数字单一市场战略”
中得到充分体现,它指出“大数据”和“物联网”在促进经济增长和创新方面的潜力,但同时也发现了技术和立法方面的问题与障碍。
2017年1月10日,欧盟委员会发布《打造欧洲数据经济》
的报告以及随附的《内部授权职员工作文件》(以下简称《工作文件》),
阐明了欧盟数据经济委员会的目标,实现这些目标的现实障碍以及可能的解决方案。
从广义上讲,委员会希望消除对数据自由流动的不合理限制,并确保数据市场中的公共机构和私主体“能够获取大量的多样化数据集”。
委员会建议成员国遵循以下原则:欧盟内部数据的自由流动。它同时认为不论本质上是个人还是非个人,很多数据都由机器生成。
委员会提案的重点是非个人的机器生成数据,原因是《通用数据保护条例》
将成为适用于个人数据的法律框架。
委员会强调了以下目标:(1)改善对机器生成匿名数据的获取;(2)促进和鼓励共享此类数据;(3)保护投资和资产;(4)避免泄露机密数据;以及(5)影响最小化;
此外,在《工作文件》中探讨了实现这些目标的可能方法。与本文主题特别相关的是基于商业秘密、版权和数据库特殊权利的现有立法指南的建议,以及更具争议性的有关数据生产者权的建议。
《工作文件》认为,可以将一项新的数据生产者权利界定为一种物权,所有者将享有使用和许可他人使用数据的专有权。
或者,可以按照《商业秘密指令》中的思路将其构建为一种防御权,即针对某些未经授权使用数据寻求救济的权利。如果拥有物权,则所有权将由负责创建数据的投资人确定,并且可以成立共有权。如果选择了防御权路径,则合法拥有数据的事实上的持有人将有权获得救济。针对所有数据生产者权的例外情况需要得到承认,委员会建议例外情况主要指向以下四种情形:一是机器或设备的制造商需要使用数据来改善产品设计;二是在某些情况下,出于公共利益的考虑,必须获取某些数据;三是公共机构在获取数据方面可能有合法利益;四是需要为进行公共资助研究的科学家获取和使用私人持有的受保护数据创建例外。委员会还提出,在可能出现反竞争行为的情况下,应该对非个人的、商业上拥有的数据进行一定程度的公开,并有可能通过建立许可义务来实现这一点。
《商业秘密指令》旨在解决成员国在保护商业秘密方面的法律分歧。具体的变化包括保护商业秘密的法律机制、商业秘密的定义、商业秘密是否归类为知识产权、可利用的救济措施和可用于在诉讼期间保护机密性的程序机制。因此,该指令在实体法和程序法两方面协调了对商业秘密的保护。
根据该指令的鉴于条款第1—4条和第8条,协调欧盟立法的积极意义包括激励创新、跨境创新和知识共享,以及增强欧盟的商业竞争力。在保护投资和鼓励知识或数据共享方面,这些理论与委员会针对“数据经济”阐明的理论相一致。
下文对指令在协调实体法方面的努力与成效进行概括。指令第2条将商业秘密定义为秘密信息,亦即该信息是秘密的、具有商业价值,并且已经过合理的步骤以保护机密性。考虑到它反映了《与贸易有关的知识产权协议》(TRIPS协议)第39条的要求,因此这是一个相对无争议的定义。侵占商业秘密是指非法获取、使用或披露商业秘密以及侵权商品。未经商业秘密持有人的同意,
获取、挪用或复制任何包含商业秘密的材料,或通过其他任何违反诚实商业惯例的行为进行的获取行为,即为非法获取商业秘密。
非法使用或披露商业秘密一方面是指未经商业秘密持有人同意,获取、使用商业秘密的行为;另一方面是指违反合同或其他不得披露或限制性使用商业秘密的义务而获取与使用商业秘密的行为。
如果第三方明知或应知商业秘密是直接或间接从非法使用或披露商业秘密的另一人那里获得,其进行的获取、使用和披露行为也将被界定为违法行为。
指令第4(5)条禁止交易侵权商品,根据第2(4)条,侵权商品是指“设计、特征、功能、制造过程或市场营销明显受益于非法获取、使用或披露的商业秘密的商品”。
但是,指令第3条指出某些情形下获取商业秘密的行为具有合法性,特别是独立的发现或创建以及反向工程。此外,关于“例外情形”的第5条规定,在某些情况下,例如基于言论自由的考量以及为了揭示符合一般公共利益的不当行为、不法行为或其他非法活动,获取、使用或披露商业秘密的行为,商业秘密所有人无权获得法律救济。这些规定被视为对举报人和新闻记者的特别重要的保护。
指令在程序方面的规定主要体现于第9条,它旨在解决这样一个悖论,即商业秘密如果是秘密的且具有价值则可以受到保护,然而法庭诉讼不可避免的是开放和公开的。因此,试图提起诉讼的商业秘密持有人将不可避免地通过在法院诉讼程序中披露其商业秘密而破坏商业秘密的秘密性。因此,第9条规定成员国有义务确保在法院诉讼程序中保持机密性,同时应充分注意透明度和司法公开。第8条规定了可以提起诉讼的时效期限为六年,但是成员国可以自行决定时效期限的起算点。最后,第6—7条和第10—15条规定了在确立商业秘密盗用情况下必须提供的救济措施。这些措施涉及临时措施和最终措施,以及损害赔偿和司法裁决的公布。一个重要的特征是,法院必须评估所给予的救济措施的相称性。
上述保护商业秘密的义务是最低标准,因此,只要满足某些实质性和程序性保障,成员国就可以提供更广泛的保护。
这些最低标准虽然与不正当竞争法产生了共鸣,但它们的起草是足够中立的,以便成员国在选择用于履行义务的民法机制方面有一定的灵活性。
重要的是,《商业秘密指令》排除了有关物权的设定。这在指令的鉴于条款第10条有所体现:“为了创新和促进竞争,本指令的规定不应对作为商业秘密受到保护的专有技术或信息创造任何独占性权利。”此外,鉴于条款第1条将商业秘密描述为“对知识产权的补充或替代”,而其自身并非一种独立的知识产权。因此,《欧盟强制执行指令》与商业秘密无关,鉴于条款第28条指出,在其范围与《欧盟强制执行指令》重叠的情况下,它是特别法。
为避免对商业秘密的保护采取产权方式而做出的政策选择是一个有益的路径,除了对拟议的数据生产者权的其他担忧外,还应考虑如果要推行该权利,采用物权化的路径是否合适?
本部分将通过考察商业秘密概念的广度、商业秘密持有人的范畴以及商业秘密的保护范围,来探究该指令与数据经济的相关性。
指令第2(1)条将“商业秘密”定义为满足以下三个条件的信息:
(1)所涉信息是秘密的,应该作为一个整体或由各部分合成而存在,并不是该领域专业人员普遍知悉的信息,也不是普通劳动者在工作过程中获得的公共知识、技术和技能;
(2)因秘密性而具有商业价值;
(3)一直被其合法控制人通过合理的步骤在各种情况下加以保密。
上述规定从广义上界定了可以构成商业秘密的内容。指令鉴于条款第14条还强调了创建“商业秘密的同质定义而不限制防止盗用的主题”的重要性。因此,该定义足够宽泛以涵盖对商业上有价值的私人信息的保护请求。
在(大)数据经济的背景下,问题在于单个数据(如个人数据)、数据集(无论是原始数据还是已处理数据)或数据分析技术是否将落入该定义的范围之内。
对于个人数据是否构成商业秘密,委员会表示怀疑:由于互连的机器和设备生成的个人数据缺乏商业价值,因此不足以构成“商业秘密”。
根据指令鉴于条款第14条,商业价值应理解为包括实际或潜在的商业价值。此外,该条将专有技术或信息的商业价值与因非法获取、使用或披露而对商业秘密持有人造成的损害联系起来(例如破坏“某人的科学和技术潜力、商业或财务利益、战略地位或竞争能力”)。实际上,这是一个宽泛的商业价值概念,因为它包含潜在价值并采用基于伤害的方法来定义价值,对伤害的满足非常容易达成,而没有设定可量化标准。
因此,虽然鉴于条款第8条将“琐碎信息”排除在外,但原始数据可能具有商业价值,尽管价值很低。
商业价值的概念虽然过于宽泛,但将个人数据作为商业秘密进行保护也不在该指令的目标范畴之内。原因在于:一是指令第2(1)(a)条是指“作为整体或由各部分合成而存在的”信息的保密性,这表明其保护的对象不是个人数据。二是个人数据保护与指令的原理不协调,因为很难想象将单独的个人数据作为创新、知识生成或共享的基础。
但是,数据或数据集能够较为容易地满足商业价值的宽泛定义。委员会认识到,在金融或商品市场、信用评分、天气和汽车出行等领域,存在着与数据有关的非个人数据市场。
地理位置数据也极有价值,可以通过多种方式加以使用。
当存在针对此类多样化数据的特定市场时,应直接表明非法获取、使用或披露数据集会破坏商业秘密持有人的经营或商业利益,或损害其竞争能力。即使在尚不存在数据市场的地方,也可能会建立潜在的商业价值。
数据或数据集获得商业秘密保护需要满足的另外两个要求是秘密性和采取合理措施维持秘密性。数据是否满足秘密性要求取决于将其视为来源开放还是来源封闭,并在某种程度上与其类型有关。对于开放数据运动中的数据集,显然不能视为具有秘密性。
但是,其他数据集可能无法公开获取,在这种情况下,问题将是该数据是否不属于“该领域专业人员普遍知悉的信息,也不是普通劳动者在工作过程中获得的公共知识、技术和技能”。很难预测是否会发生这种情况,因为这很大程度上取决于所涉数据集的类型,并且在大数据经济中,多样性、体量大、速度快是数据的典型特征。
由此,是否采取了合理步骤来维持秘密性的要求在一定程度上具有内在的模糊性,即应该根据特定商业秘密持有人的情况进行主观评估,还是根据特定行业中采用的标准保护措施进行客观判断。
即使这样,我们仍可能期望某些做法能够满足“合理步骤”的要求,例如数据获取级别的限制、使用技术保护措施以及谨慎的内部数据处理。
商业秘密定义中隐含的一个问题是需要识别信息。实际上,在评估未经授权的使用并确保补救措施(例如禁令救济)具有足够确定的范围时,识别商业秘密也是隐含的要求。
但是,在“大数据”和“物联网”社会中,收集和分析的数据量呈现出体量大、多样性和高速化特点,在某些情况下,划定数据集的边界可能会遇到挑战。
接下来是数据分析技术,它们通常由软件实现,因此其满足“商业秘密”的定义似乎没有问题。
但是,值得注意的是,某些数据分析技术是开放源代码的,例如Apache Hadoop或Apache Spark系统,在这种情况下,秘密性要件和维持秘密性要件的步骤将无法满足。
总之,有人认为,商业秘密的定义足够灵活,可以包含数据集和数据分析技术,而且基本上不会扩展到个人数据。
但是,在数据集和数据分析技术的情况下,是否满足秘密性要件和合理的保密步骤要件将取决于具体情况。尽管存在这种不确定性,但是可以说,《商业秘密指令》所规定的保护方法产生的问题要比拟议中的数据生产者权更少。首先,委员会几乎没有提及如何将“数据”的概念划定为保护的客体,除了指出权利应指向语法层面(即数据或代码),而非语义层面(即思想或信息的汇编)。
这是泽奇(Zech)教授的观点,他建议权利对象应为“机器可读的汇编信息,仅由其代表字符(比特)定义,而不考虑其内容(在语法层面划定的数据)”。
他进一步建议,“通过自动测量流程、智力活动或简单的计算能力”创建数据可能会有一个门槛,并且可以排除智力创造。
但是,这种看似简单的定义可能会产生很大的不确定性。它是否会扩展到个人数据、数据集和数据分析技术?
此外,正如科贝尔(Kerber)教授指出的那样,“由于数据是汇编信息,因此很难在单独保护汇编信息(语法层面)和信息本身的内容(语义层面)之间划清界限”。
例如,在数据分析方面,重点是通过搜索语法级别在语义级别上查找信息中的链接、模式或“新的含义”。
因此,在语法和语义之间进行区分似乎是人为的。反过来说,将有可能在语义层面对信息产生事实上的排他性权利,以及与现有知识产权的重叠和冲突问题。
根据《商业秘密指令》第2(2)条,商业秘密持有人是“合法控制商业秘密的任何自然人或法人”。此定义包含一些固有的不确定性,目前尚不清楚“合法控制商业秘密”的人员是否可以扩展到被许可人、合资企业的参与者、受委托创建信息的人员、反向工程师或其他经同意而向其披露商业秘密的人员。
在数据经济的背景下,还有其他不确定因素。例如,如果我们以设备或机器中嵌入的传感器产生的数据集为例,在这种情况下谁“合法地”控制数据?是包含传感器的设备或机器的制造商吗?是所有者吗?或是使用设备或机器的人?这些问题确实是在委员会提议的数据权利下产生的类似的不确定性。
对于数据分析技术,识别创建该软件的人可能更直接,但是在这里,一般的不确定性都会发挥作用,例如被许可人是商业秘密持有人还是合法地对数据分析软件进行反向工程的人,第2(2)条的范围不明确,这不是避免商业秘密保护的理由,而是强调了一个更普遍的观点,即这种统一的概念需要在欧盟层面加以阐明。
《商业秘密指令》第4条要求成员国确保商业秘密持有人可以寻求救济措施,以防止非法获取、使用或披露其商业秘密的行为。同样重要的是,某些行为被认为具有合法性(指令第3条),并且存在“例外情形”(指令第5条)。舆论批评商业秘密保护不适合数据经济,因为它仅仅是“对事实排他性在法律层面的进一步强化”。
换句话说,它仅适用于侵占商业秘密的行为,并未形成对商业秘密的独占性权利。虽然没有创设物权化的权利,但该指令所赋予的保护仍然相当可靠,商业秘密持有人可以使用各种执行机制。在某些情况下可能涉及第三方,并且在与侵权商品有关的情况下,对商业秘密的保护甚至是过度的(范围比专利法要广),因为侵权商品的定义不需要在商品和未经授权的商业秘密使用之间建立事实联系。
该指令提供的保护虽然受限,但仍然非常重要,德雷克斯尔教授称其“更适合服务于数据经济的目的,因为它专注于第三方获取数据的特定方式,而非针对数据的使用提供保护”。
重要的是,《商业秘密指令》规定了合法获取、使用或披露商业秘密的行为,这些行为扩展到独立的发现或创造以及反向工程。但是,根据泽奇(Zech)教授的观点,这意味着对数据的保护是不完整的,尤其是考虑到可以独立地重新存储数据的情况下。
但是,确保此类行为合法化是保持竞争和增强创新的重要手段。
确实,我们看到该政策目标得到了各种知识产权例外的支持,例如集成电路
和受版权保护的软件
中存在的反向工程例外,以及专利法中的个人使用
和实验用途
例外,它们在某种程度上促进了反向工程。
《商业秘密指令》第5条列出的“例外”不是强制性的例外,而是特定情况下可以采取救济措施的例外。列出的几种情况可能与数据经济有不同的关联性(言论自由、出于公共利益披露不当行为或工人向其代表披露信息);但是,有可能要依靠指令第5(4)条的规定理解整个条文:“该条的目的是保护欧盟或成员国法律认可的合法利益。”
虽然不是非常适合数据经济,但我们不应该忽视商业秘密保护对数据集和数据分析技术的价值。确实,如果委员会提议的数据生产者权是建立在赔偿责任或所谓的“防御性”基础上,那么这将不会增加对《商业秘密指令》已经提供的保护。当然,我们不应该迅速争取建立专有数据权的立法干预。正如舆论所指出的那样,这项权利的经济理由并不具有说服力:根本没有必要激励数据的生产或收集,尤其是机器生成的数据,也不需要专有的激励措施来使此类数据商业化或确保提供数据获取权限。
此外,(软件的)版权或商业秘密保护可能已经提供了创建数据分析技术的激励。立法引入专有数据权有可能引发严重的竞争问题,这可能对数据经济发展非常不利。
同时,在探索商业模式和其他方法来确保获取数据之前,
商业秘密保护与其他现有法律工具(数据库特殊权利、合同和竞争法)一道,为数据经济中的数据保护提供了坚实的基础。