T_ZS_0270-202...—基于团体标准与法律的互动_龙佳芩.pdf

98标 准 科 学 2023年第3期T/ZS 0270-2022 数据知识产权质押服务规程团体标准解读 基于团体标准与法律的互动龙佳芩（中国计量大学）摘要：数据知识产权质押服务规程作为全国首个数据知识产权质押团体标准，也是首次从标准层面支持了数据知识产权。在法律层面，数据知识产权概念尚未明确提出，但数据知识产权质押所涉及的个人信息保护与处理、企业数据保护与利用、国家数据安全与发展在现有法律中已有规定。团体标准与法律具有互动性，数据知识产权质押团体标准的制定和实施有利于倒推数据知识产权及其质押的专门立法，同时，该团体标准也受现有法律约束，对该团体标准的解读必须与所涉现有法律保持一致。关键词:数据知识产权，质押融资，团体标准，数据法规DOI编码：10.3969/j.issn.1674-5698.2023.03.017Interpretation of Association Standard,T/ZS 0270-2022 Data intellectual property pledge service regulations Based on the Interaction of Association Standards with the LawLONG Jia-qin（China Jiliang University）Abstract:As the first data intellectual property pledge association standard in China,T/ZS 0270-2022,Data intellectual property pledge service regulations supports data intellectual property rights from the standard level for the first time.Although the concept of data intellectual property rights has not yet been clearly put forward at the legal level,the protection and processing of personal information,the protection and utilization of enterprise data data,and the development of national data security involved in data intellectual property pledges have been stipulated in existing laws.Standards and laws are interactive.The implementation of the association standard can promote the special legislation of data intellectual property rights and its pledge,and the interpretation of the association standard for data intellectual property pledge must be consistent with the relevant existing laws.Keywords:data intellectual property,pledge financing,association standards,data regulations基金项目：本文系2021年国家社会科学基金一般项目“网络数据知识产权保护与治理研究”（项目编号：21BFX100）、2022年度互联网法治重 点研究课题“我国网络数据知识产权治理与保护研究”研究成果之一。作者简介：龙佳芩，硕士研究生，研究方向为知识产权法、标准化法。标准评析99STANDARD SCIENCE2023,No.3Evaluation and Analysis on Standard1 引 言2022年3月16日，浙江省产品与工程标准化协会发布了全国首个数据知识产权质押团体标准数据知识产权质押服务规程，该标准由浙江省知识产权研究与服务中心、杭州高新技术产业开发区（滨江）市场监督管理局、浙江大数据交易中心有限公司等多家单位共同起草，于3月30日正式实施。该标准的制定响应了数字经济发展下知识产权强国战略、数字经济发展战略的要求我国知识产权强国建设纲要（2021-2035）和“十四五”国家知识产权保护和运用规划均提出要构建数据知识产权规则，鼓励开展各类知识产权质押融资。该标准规范了数据知识产权质押服务中的采集、脱敏、存证、存储、评估、融资、处置等各环节，为数据质押流程中存在的数据权属、数据价值、数据安全问题的解决提供了有效途径，促进了市场主体对数据资产转化的认可。在该标准的应用下，各企业、银行、大数据交易中心等主体逐渐认可并使用企业数据融资新方式，如：杭州高新区（滨江）已有5家企业进行了数据知识产权质押，累计获融资两千万元。然而，由于数据知识产权概念尚未被法律明确认可，该团体标准在具体解读与应用过程中必须考虑与法律的衔接、互动问题。一方面，该团体标准相对于现有立法具有开创性，一定程度能够起到立法推动作用。我国法律尚未明确规定数据能否纳入知识产权，但数据通过一定技术处理后能够具有市场价值，存在法律可保护的财产性利益是立法和司法实践已经确定的。利用团体标准对数据知识产权及其质押先行确定、试点实践，既能够有效、灵活、及时响应数据创新要求、对接数字经济市场需求，又能在较大范围实验数据知识产权及其质押的可行性以倒推相关立法。另一方面，虽然法律目前尚未对数据知识产权有所定义，但对与其相关的信息、知识产权、质押等概念都有具体规定，该团体标准的解读和应用必须与现有相关规定衔接、协调。该团体标准本身的制定就依据了大量的现有涉数据法律规范，其内容及应用必须遵循现有涉及数据处理的法律规范。数据内容涉及到个人信息、企业信息、政府信息，现有法律如：民法典 个人信息保护法数据安全法 网络安全法 著作权法 反不正当竞争法等，对于个人信息安全与处理、企业数据的保护与利用、国家数据的安全与发展都有相关规范，数据知识产权质押必然涉及到个人信息、企业数据、国家数据的保护与利用问题，故数据知识产权质押团体标准的内容也不得违背现有的涉数据保护与利用法律规范。2 核心定义的法律背景数据知识产权质押服务规程关于数据、数据知识产权、质押三大核心词的定义均紧密联系现有法律法规。首先，关于数据的定义，2021年出台的数据安全法首次从法律层面对此做出明文规定，本团体标准直接援用该定义：一方面，从数据存在形式角度，该定义范围较大，规定数据包括电子或非电子形式；从内容角度，该定义强调数据和信息的关系，规定数据是对信息的记录。其次，关于数据知识产权，虽然法律法规尚未有数据知识产权的明确定义，但本团体标准强调只有加工后形成的数据产品和服务才具有财产权益，单纯收集、存储的数据并不在知识产权范围内，正是对知识产权现有法律法规的呼应无论是著作权法对作品要求独创性，还是专利法 对发明创造要求新颖性，均体现知识产权法所认可的知识产权客体必须具备达到一定程度的智力投入，而单纯通过各种方法收集、存储数据尚未达到该程度，故标准将其排除在数据知识产权范围外。最后，关于质押的定义，民法典对知识产权中财产权出质有明确规定，本团体标准与民法典关于质押的规定保持相当程度的一致性：在质押效果上，与民法典担保债权效果一致，当债务不履行时产生优先受偿权；在质押方式上，规定为“将数据知识产权移交给债权人占有”，且在标准第十章“融资”10.3规定数据知识产权质权人应当与出质人签订质押合同，可见，标准对数据知识产权质权设立采取的是“书面质押合同+质押登记”要件模式，这与民法典第444条规定的知识产权中财产权出质应当办理出质登记的要求以及民法典体系化规定的权利质权应当订立书面质押合同的要求保持一致。100标 准 科 学 2023年第3期3 核心技术内容的解读数据知识产权质押服务规程包括范围、规范性文件、术语和定义、基本要求和七大质押环节5个部分，重点内容是对于数据采集、脱敏、存证、存储、评估、融资、处置七大数据知识产权质押基本流程的具体规定（如图1所示），核心技术内容主要包括源数据采集、数据脱敏、数据哈希存证以及数字信封加密存储，该4项核心技术内容均应当基于法律与标准结合的方式进行分析和解读。图1 数据知识产权质押流程3.1 源数据采集数据采集方式包括源数据采集和非源数据采集，源数据又称原始数据，是终端用户所产生的、未经过处理的数据，非源数据就是经过处理后的数据。当前，由于数据加工尚处于新兴阶段且对已加工数据的再次利用存在不正当竞争纠纷争议，数据知识产权所涉数据的采集通过源数据采集更可取，具体方式包括：端上数据采用埋点方式采集；物理数据通过传感器来进行自动识别和数据提取；主观性数据通过用户调研或访谈的方式收集；其他平台数据通过其他平台提供的规范API接口服务采集；数据库数据采用库库对接的方式采集。上 述 几 种 源 数 据 采 集 方 式 都 直 接 针对用户个人信息，直接关系用户个人信息权益、隐私权；虽然该团体标准在“采集”一章主要详细规定的是上述采集方式，没有明确针对数据采集与个人信息保护进行规定，但通过上述采集方式进行数据采集时，也需要遵守关于处理数据 采集与个人信息保护利益冲突的规范。该团体标准在“采集”一章5.6条明确规定数据采集过程要符合GB/T 35273的规定，GB/T 35273规定了个人信息的收集必须遵守合法性原则、最小必要性原则、个人信息保护政策（强调个人信息处理者的告知义务）、自愿性原则和授权同意规则，这5项基本规则是民法典 个人信息保护法中个人信息权益保护规范的重要内容，GB/T 35273在操作标准层面将其具化、贯彻（见表1），前三者从采集者（经营者）角度出发，后两者从被采集者（用户）角度出发。根据表格，该团体标准仅对最小必要性原则内容有所涉及，其他4项基本规则并未列明，但在具体采集数据时是必然要遵守5项基本规则，合理平衡数据采集者与个人信息主体的两方利益。3.2 数据脱敏数据采集环节主要强调的是与个人信息保护之间的协调，但采集后形成的海量数据集与国家数据安全、企业数据利益保护的协调也凸显出来。数据采集后的数据脱敏不仅是针对公开后极易导致个人名誉受损或歧视性待遇等的个人信息，还针对公开后会损害国家利益、商业利益的信息。我国对于敏感信息的概念尚未统一，现对于敏感信息的规定都集中在个人信息领域，但实质上对于敏感信息不应当仅限于个人信息范围。GB/T 35273-2020中3.2条对“个人敏感信息”进行了概括式定义，并通过附录进行类型列举，个人信息保护法一脉相承，在第二十八条通过“概括式+列举式”方式规定了“敏感个人信息”，个人敏感信息成为我国学者重要的研究对象，但在相关文献中常常将敏感信息混同于个人敏感信息甚至隐私信息。从语义学的角度来看，“个人敏感信息”是个人信息领域的“敏感信息”，其范围应当比“敏感信息”的范围小。从比较法的角度来看，欧美都对敏感信息进行了概念界定（见表2），均认为敏感信息包括但不限于公开后会不利于自然人人身、财产安全的个人信息1。从现有文献来看，我国学者对“敏感信息”的内涵和外延也并未限定在个人信息领域，如有学者基于相关裁判事例的考察研究政府信息公开中的标准评析101STANDARD SCIENCE2023,No.3表1 个人信息收集基本规则 内容名称采集者（经营者）角度：合法性、最小必要性、告知义务被采集者（用户）角度：授权同意、自愿性民法典第1035条第1款规定了处理个人信息应当遵循合法、正当、必要原则，不得过度处理第1035条第1款第1项以及第1036条规定了授权同意规则及其3种例外