商业数据保护的新发展——简评《反不正当竞争法(修订草案征求意见稿)》“”专条

实践基石上应运而生的“商业数据”专条

商业数据已成为企业的核心竞争力之一。对于数据权益的保护，我国属于实践先行。从早期的“大众点评诉美邦擅自收录用户点评内容案”，到“新浪诉脉脉违反合作协议使用用户信息案”、“大众点评诉百度不当使用用户点评内容案”、“淘宝诉美景不当利用数据产品案”、“谷米诉元光使用爬虫盗取大数据案”，再到“抖音诉刷宝抓取用户内容案”、“抖音诉小葫芦非法抓取使用直播数据案”等，通过对涉及商业数据的各类纠纷的审理，我国司法实践已积累了较为丰富的经验，并逐步形成了以《反不正当竞争法》第二条为主要路径，辅以商业秘密、《反不正当竞争法》第十二条兜底条款、著作权保护的模式。

目前对适用《反不正当竞争法》第二条的商业数据不正当竞争案例，我国已形成一定的司法共识，主要从四个方面进行认定：

• 第一，原被告之间是否存在竞争关系。随着《反不正当竞争法》对竞争关系的放宽，竞争关系的认定司法实践中一般争议较小。

• 第二，原告对于涉案数据集合是否享有合法权益，包括原告数据收集过程是否合法合规、是否投入了一定成本并对数据享有控制力。

• 第三，被告行为是否具有不正当性，包括数据获取、数据使用行为的不正当性，如通过破坏原告技术措施或违反Robots协议抓取数据、超越双方约定范围抓取或使用数据、过度使用数据等。

• 第四，被告行为是否对原告及竞争秩序造成了损害，包括对原告服务器运行产生额外负担、对原告数据安全或产品正常运行造成影响、对原告所提供的服务构成实质性替代等。

但完全凭借一般性条款对商业数据进行保护，往往伴随着大量争议，且存在其固有的缺陷。一般性条款有赖于对模糊的“商业道德”的界定，对于复杂多变的商业数据不正当竞争行为，存在裁判尺度不一、法官自由裁量权过大的问题。并且，对于大量、长期存在的商业数据纠纷，显然已不适宜通过一般性条款进行常规的保护，各界期待更明确的保护规则和指引。基于此，在实践已积累较为丰富经验的情况下，增设“商业数据”的专门保护路径，可以说是时代必然的选择。

“商业数据”专条简析

1. 商业数据权益的认定

《反法草案》第十八条第二款规定，“本法所称商业数据，是指经营者依法收集、具有商业价值并采取相应技术管理措施的数据。”该条借鉴了商业秘密的立法技术，以构成要件的方式对商业数据进行了定义。对于实践中纷繁复杂的数据类型，无论是原始数据、衍生数据、数据产品，抑或是公开数据、非公开数据等，在满足上述构成要件的基础上，均可获得保护。

“商业价值”是数据权益的生命之源，其既表现为数据本身的价值和为经营者带来的竞争优势，也隐含在经营者生产、搜集和管理数据所付出的辛勤努力中。“依法收集”则是数据权益来源正当性的基石，其要求经营者在收集数据，尤其是与个人信息相关的数据时，必须合法、合规。实践中，该问题也常常是原被告对抗的焦点之一，如在淘宝诉美景案^[1]中，法院认定，淘宝公司未收集与其提供的服务无关的个人信息，其收集的原始数据系依约履行告知义务后所保留的痕迹信息，故未违反相关法律法规关于个人信息保护的规定。

对于“相应技术管理措施”这一构成要件，具体标准有待进一步明晰。孔祥俊教授认为，对于保护措施的保护要求不宜太高，以达到足以表达权利意思和能够加以识别的程度为已足，不同于商业秘密保护中的保密措施^[2]。笔者认为，首先，相关管理措施是否要限定为“技术管理措施”值得商榷，司法判例中存在不少通过双方约定或Robots协议等软性措施来昭示数据控制者保护意愿的情形。其次，对于不同类型的数据，其管理措施的要求应存在相应的区别，比如，对于用户个人信息等敏感信息，应采取较为严格的保护措施，如在微博诉脉脉案中，法院特别指出，为了保护新浪微博用户的个人信息及维护新浪微博的竞争优势，微梦公司应当积极履行网络运营者的管理义务，防止用户数据泄露或被窃取、篡改，保障网络免受干扰、破坏或者未经授权的访问^[3]。但对于非敏感信息类的数据，仅要求最低限度的保护措施即可，否则可能反向激励经营者基于数据权益认定的要求，不断通过加码技术措施进行“数据圈地”，而加大其他经营者正当、合理获取和使用相关数据的难度，且可能动则得咎，这与促进数据开放共享、推动数据经济发展的理念显然是背道而驰的。

2. 商业数据不正当竞争行为的认定

《反法草案》第十八条第一款采用“列举加兜底”的方式，列举了三类商业数据不正当竞争行为，包括以不正当手段获取商业数据、违反约定或协议获取和使用商业数据以及披露、转让或使用以不正当手段获取的商业数据的行为，并进行了兜底规定。可以看到，上述行为的划分逻辑和侵犯商业秘密行为有异曲同工之处，但与侵犯商业秘密行为本身即具有可责性不同的是，该条规定的数据不正当竞争以造成损害后果为前提，且不同类型的行为对损害后果的要求不尽相同，这也是对数据公共属性和控制者私人权益进行平衡的一种方式。

对于“以盗窃、胁迫、欺诈、电子侵入等方式，破坏技术管理措施，不正当获取其他经营者的商业数据”的行为，由于该行为本身的可责性较强，其要求的损害后果为“不合理地增加其他经营者的运营成本、影响其他经营者的正常经营”，从较为宽松的判断标准来看，这实际上是实施上述行为必然会产生的损害后果。

对于“违反约定或者合理、正当的数据抓取协议，获取和使用他人商业数据”的行为，则对损害后果的要求较高，需要达到“实质性替代”的效果。若对违反约定或协议抓取的数据进行衍生性开发或转换性利用，而非将数据用于与数据控制者的产品或服务进行直接竞争，则不受此限。值得一提的是，该条款也强调数据抓取协议的设置必须合理、正当，以防止经营者利用数据抓取协议不合理地排除、限制他人的正当抓取和使用。如在百度诉360案^[4]中，法院认为，在被告推出搜索引擎之后，尤其是在双方争议短时间内快速升级，行政机关和行业协会已经积极介入调处，被告也明确表示希望抓取原告网站内容的前提下，原告既没有充分阐明如此设置Robots协议的理由，又拒绝修改其Robots协议，故而其请求法院判令禁止被告抓取原告网站的主张不应得到支持。

对于“披露、转让或者使用以不正当手段获取的其他经营者的商业数据”的行为，该条款规定的损害后果也要求达到足以“实质性替代”效果。也即，即使明知是不正当手段获取的数据，仍进行使用、转让或披露，若未用于直接竞争性的用途，后续单纯的利用行为不构成不正当竞争。这体现了促进数据流通和交易的政策导向，获取行为的不正当性并不必然会影响到后续或下游的利用行为，仍需要结合数据利用的具体场景进行判定。

3. 商业数据不正当竞争的除外情形

《反法草案》第十八条第三款规定了对数据不正当竞争的除外情形，即“获取、使用或者披露与公众可以无偿利用的信息相同的数据，不属于本条第一款所称不正当获取或者使用其他经营者商业数据。”该条款借鉴了日本《不正当竞争防止法》第19条第1款第8项规定的除外内容“获取、使用或者披露和公众可以无偿利用的信息相同的限定提供的数据的行为”。^[5]

基于公开数据的公共产品属性，理论和实务界均认为应对企业公开数据的使用给予一定程度和范围的宽容。如冯晓青教授认为应当引入公开数据使用的容忍义务^[6]，崔国斌教授认为，随着大数据价值和社会容忍的制度成本的提升，决策者会在大数据集合的产权框架内外，逐步引入精细的权利限制机制^[7]。在微博诉蚁坊案^[8]中，法院亦认为，基于网络环境中数据的可集成、可交互之特点，平台经营者应当在一定程度上容忍他人合法收集或利用其平台中已公开的数据，否则将可能阻碍以公益研究或其他有益用途为目的的数据运用，有违互联网互联互通之精神。

因此，对数据不正当竞争行为进行除外规定，有其必要性，但《反法草案》第十八条第三款规定的具体内容，笔者认为还需要进一步商榷和调整。一方面，该款排除对“公众可以无偿利用的信息”保护，这和商业秘密排除对公知信息保护的逻辑基本相同，过于重合的规定，可能会模糊商业秘密和不正当竞争对数据保护的不同路径，造成司法适用的困惑。另一方面，“公众可以无偿利用的信息”的内涵与外延非常模糊，难以界定。若将“公众可以无偿利用的信息”解读为公众可免费获取和使用的公开数据，显然不尽合理，也不符合数据保护的初衷。例如在大众点评诉百度地图案^[9]中，涉案数据为大众点评网的点评内容，从其实际运营方式来看，应属于公众可免费获取和使用的公开数据，但明显不能据此认为其他经营者可以不受限制地获取和使用。实践中还存在大量类似的商业模式，通过向公众免费开放数据，吸引流量，以广告和附加服务来营利，这些数据同样是经营者花费巨大成本收集并能带来竞争优势，具有被保护的价值和利益。

因此，为更好地实现数据公共使用利益与私人权益保护的边界划分，建议进一步细化对数据不正当竞争的除外规定或数据控制者权益限制的规定，例如对排除或限制情形进行列举，或制定具体的认定规则等，而并非仅以“公众可以无偿利用的信息”这一模糊的内容为界限。

“商业数据”的商业秘密保护路径

如前所述，《反法草案》第十八条规定的商业数据不正当竞争行为的部分要件和侵犯商业秘密行为的认定存在相似之处，实际上，商业秘密也越来越成为数据的重要保护路径之一。2020年9月施行的《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第一条明确将“数据”纳入商业秘密的保护范围，对于非公开数据，在满足非公知性、保密措施和价值性的基础上，即可作为商业秘密进行保护。

需要说明的是，商业秘密的非公知和保密要求并不会与数据流动共享的理念向背。因为部分数据基于自身性质或商业模式，本身并不适宜公开，而商业秘密正好为这部分数据提供了可供选择的保护路径。相较于反不正当竞争规制，商业秘密保护路径具有其独到的优势：首先，侵犯商业秘密的认定并不要求实际发生了损害后果，行为本身即可以被认定侵权。其次，商业秘密的保护和打击力度更强，且可以通过直接的商业秘密刑事犯罪进行威慑和制裁，而不用通过“侵犯公民个人信息罪”、“非法获取计算机信息系统数据、非法控制计算机信息系统罪”等“曲线救国”方式实现刑事打击。最后，商业数据专条的适用范围目前仅限于经营者之间，而商业秘密可及于经营者以外的其他自然人、法人和非法人，对于实践中常见的员工非法获取或使用数据的行为，也可进行规制。如2022年4月杭州中院二审审结的员工盗用直播平台后台数据“刷奖”套现的侵害商业秘密纠纷案^[10]中，被告汪某曾为嗨狗公司员工，在职期间利用同事权限账号，登录查看、分析后台数据，掌握中奖率高的时间点，通过关联多账号进行“刷奖”。即便离职入职同行业其他公司后，仍通过借用同事账户继续实施上述行为。法院认为，嗨狗公司主张的后台实时数据符合保密性、秘密性、商业价值的构成要件，构成商业秘密，汪某的上述行为构成侵犯商业秘密，并适用惩罚性赔偿判令汪某赔偿三百万元。

因此，对于部分非法获取或使用数据的行为，商业秘密也是一条理想的保护路径，但这也需要企业在日常运营过程中注重对非公开数据的管理和保护，采取相对完善的保密措施，搭建好商业秘密维权基础。

此次《反法草案》第十八条系首次对商业数据保护规则进行明确规定，增设了商业数据的专门保护路径，是我国商业数据保护迈出的一大步，和时代发展需求相契合。但上述条款内容有待进一步调整和完善，部分规定较为模糊，尚需进一步细化，方能为实践提供更明确的指引。

随着未来商业数据不正当竞争专条的正式落地和商业秘密保护数据的经验成熟，我们期待看到，对于数据保护，能够逐步形成反不正当竞争和商业秘密路径各有侧重、交叉保护的合力之势。

1. 浙江省杭州市中级人民法院（2018）浙01民终7312号民事判决书。

2. 孔祥俊：《论反不正当竞争法“商业数据专条”的建构——落实中央关于数据产权制度顶层设计的一种方案》，载《东方法学》2022年第5期。

3. 北京知识产权法院（2016）京73民终588号民事判决书。

4. 北京市第一中级人民法院（2013）一中民初字第2668号民事判决书。

5. 李扬：《日本保护数据的不正当竞争法模式极其检视》，载《政法论丛》2021年第4期。

6. 冯晓青：《大数据时代企业数据的财产权保护与制度构建》，载《当代法学》2022年第6期。

7. 崔国斌：《大数据有限排他权的基础理论》，载《法学研究》2019年第5期。

8. 北京知识产权法院（2019）京73民终3789号民事判决书。

9. 上海知识产权法院（2016）沪73民终242号民事判决书。

10. 《粉丝福利被截流，直播平台员工盗用公司数据“刷奖”套现 200 余万，二审这样判！》，原文载于“杭州中院”公众号，https://mp.weixin.qq.com/s/Jlt6GuUwGW0X6LwwEAtt1A，最后访问日期2022年12月14日。