往期精彩回顾
上海市法学会官网
http://www.sls.org.cn
熊婷 韩富饶|企业数据商业秘密保护的法律认定研究对企业数据实施商业秘密保护具有一定的比较优势,其主要体现在商业秘密比著作权保护范围更广以及商业秘密保护力度比反不正当竞争法一般条款更大两方面。但是企业数据共享带来的商业秘密认定困难以及侵权手段多样会加大企业数据商业秘密保护的难度。通过司法实践不难看出,源代码、密钥、设计图纸、数据库以及程序或程序模块等数据可以构成商业秘密中的技术信息,而客户名单、用户消费数据和商业计划、销售计划等均可以构成商业秘密中的经营信息。在认定企业数据能否获得商业秘密保护时,仍然需要对其是否满足秘密性、价值性以及保密性等构成要件进行检验,并结合数据的特性加以具体认定。 随着数据资源在促进经济发展和提高国家核心竞争力方面的作用愈发凸显,我国高度重视数据经济的发展,并明确提出了“国家实施大数据战略”并“鼓励和支持数据在各行业、各领域的创新应用”。近年来,我国制定并实施的网络安全法、数据安全法、民法典、个人信息保护法,数据安全与保护的基本制度框架已经开始发挥作用。2022年12月20日,中共中央国务院发布的《关于构建数据基础制度更好发挥数据要素作用的意见》更是将我国对于数据的综合利用与保护方面的态度提升到一个全新的高度。随着企业数据在实践中的商业化利用过程加剧,其中所涉及的竞争利益冲突逐渐显现。故而,有必要从整体性角度对于企业数据商业化利用中的竞争利益保障进行研究,梳理其中的竞争利益冲突并构建一体化的因应对策。虽然学界目前对于企业数据的保护路径存在诸多观点,学界主体分为两种意见:第一种意见是主张通过赋权的方式对其进行保护,其中又存在两种观点:一部分学者主张将现有法律规定的规则类推适用数据的权属判断,其中代表的观点包括:“物权说”、“有限排他权说”以及“邻接权说”。另一部分学者则主张数据具有其特性,应当创设新的权属判定规制,具体包括:“企业数据权”、“企业数据经营权和企业数据资产权”、“数据财产权与数据人格权分立说”、“数据所有权与用益权二元说”以及“数据的权利束说”。第二种意见是主张通过行为规制路径对其进行保护,有学者主张,打破全性的数据赋权模式并应完全诉诸“行为规制”;有学者主张,对企业数据不宜进行绝对化与排他性的财产权保护,而应予以类型化与场景化;有学者主张,制定“公共数据开放条例”促进公共数据开放并通过不同部门法具体构筑非公共数据利用与共享的制度。但在实定法框架内,对于企业数据应当采取何种形式保护需要结合现有法律的具体规定。在其中,商业秘密往往会扮演保护企业数据的重要角色。 一、企业数据商业秘密保护的优势 在实践中,对企业数据的保护通常可以选择著作权保护模式、反不正当竞争法一般条款保护模式以及商业秘密保护模式。相比于著作权保护模式与反不正当竞争法一般条款保护模式而言,利用商业秘密对其保护具有明显的优势: 企业数据的著作权保护门槛过高,采取商业秘密保护更具弹性。根据著作权法的规定,若某项智力成果能被认定为作品,则其需要满足著作权法规定的独创性要求。与企业数据最为接近的数据库虽然可以获得著作权保护,但其也仍然需要体现该数据库相比于其他数据集合的独创性之所在。但现实中,很多企业的数据集合可能无法满足独创性的要求,因此很难获得著作权法的保护。但如果将其作为商业秘密则有所不同,因为企业收集整理的数据集合或数据产品,在满足商业秘密基本构成要件(价值性、保密性、秘密性)的情况下,完全可以构成商业秘密。至于该数据集合本身是否具有独创性,或者是否需要体现出企业本身的投入在所不问。因此,选择商业秘密保护企业数据相比于著作权而言,具有较大的现实灵活性,更有利于激励企业开发符合自身需要的商业数据集合。 企业数据的商业秘密保护比赋权保护更具可行性。因为无论是从劳动报酬理论还是数据赋权的视角来探讨企业数据的法律属性,都没有全面地认识到企业数据与权利保护模式在本质上存在的天然不适配,企业数据一方面具有市场竞争意义且可以作为竞争性资产,另一方面又具有串联个人隐私和社会公共利益的公共属性。对企业数据的商业化利用应当从激励数据流通,保障市场公平竞争的角度妥善处理企业数据的法律定位,并科学构建相应的制度框架。也正因如此,2022年12月,中共中央、国务院发布的“数据二十条”指出,创新数据产权观念,淡化所有权、强调使用权,聚焦数据使用权流通,而并非过分强调数据的授权确权。对企业数据采取商业秘密的方式加以保护,则更符合“数据二十条”的精神。即更加强调了企业数据的使用价值,而并非一味地强调对其进行赋权保护。同时,采取商业秘密保护企业数据还可以更好的鼓励企业对数据的开发和利用进行不断的创新,以期更大程度地实现其潜在商业价值。 二、企业数据商业秘密保护的现实困境 虽然采取商业秘密来保护企业数据存在一定的合理性,但在实践中也同样会存在一些问题。 (一) 企业数据共享带来的商业秘密认定困难 商业秘密是依靠权利人或者持有人自己保密的方式而维护其权利或者享有利益的,是法律对其通过自己保密而享有信息“垄断权”的一种承认。保密措施是保持商业信息秘密性的前提,也是其具有商业价值的佐证,是商业秘密构成的主观要件。保密措施包括主观保密意愿和客观保密措施两方面,前者要求权利人意识到手中信息属于商业秘密,后者要求其在客观层面有保护行为,将商业信息作为一项重要财产主动、系统地管理和保护起来。司法实例表明客观保密措施是法院判断保密性的主要依据。数据的大量流通是企业证明商业信息保密性的一大障碍。大数据背景下,商业数据流通频繁,服务商之间通过数据开放和共享实现共赢。许可他人使用和限制他人获取在实际操作中是互相矛盾的,针对不同的数据类型,企业并不会一律采用最严格的保密措施,而是利用不同级别的保密程度以寻求利益最大。第一类信息为公开信息,诸如美团、大众点评等企业将其用户评论等核心信息公开,这是由其提供服务的性质决定的,需要通过公开这些信息吸引用户。第二类为部分可流通的商业信息,如用户注册信息等,企业通常采取“协议保护”,诸如支付宝、微信等用户数据可以通过授权在第三方登录就属于这一类别。第三类是完全保密的情形,企业内部运营的深度数据、用户使用习惯、推送内容算法等信息属于这一类。第一类信息一般不会构成商业秘密,从大众点评案来看,该类信息主要依靠反不正当竞争法的原则性条款(第二条)进行保护,法院一般不会将轻易将第一类信息认定为商业秘密,但是如果企业能够证明相关信息的保密性仍有被认定的可能性。第三类信息的保密性一般不存在问题,构成商业秘密的可能性较高。较为棘手的是第二类信息,其保密性介于第一类和第二类信息之间,能否满足保密性要求取决于有关企业采取的具体措施,通常要求企业在外部和内部都明确规定涉密内容和禁止行为,完善内部保密条款和外部保密协议,足以让法官确信虽然该信息为第三方所用,但企业已经尽到合理保密义务告知第三方不能擅自截取另作他用。 (二) 侵权手段的多样性导致加大企业商业秘密的保护难度 大数据时代,网络技术发展日新月异,现代企业的运营思维、运作方式也发生了巨大的变化,在原始的信息存储方式,如纸张、光盘、软件的基础上,为了更好地避免丢失、毁损、便于分析,越来越多的企业选择利用其他服务器存储或使用其他网络提供者的服务,即通过云领域对相关信息进行保存。相应的,侵犯商业秘密的不正当手段也从过去的盗窃也“进化”为:黑客利用木马病毒等技术手段侵入企业的电脑硬盘、电子邮箱或者企业的数据库窃取商业秘密;云服务提供者或其雇员利用管理网站和服务器的优势,秘密窃取用户的商业秘密;采用黑客技术,侵入商业秘密权利人的计算机信息系统并故意传播计算机病毒等破坏性程序,对储存在服务器上或正在传输过程中的商业秘密数据进行修改、删除等操作,破坏权利人商业秘密数据信息,或者通过这些操作非法获取权利人的商业秘密并加以披露、使用;恶意爬虫无视网站经营者设置的Robots协议及各类保护措施,爬取、保存甚至披露一般用户无法访问的商业秘密。 在享受大数据技术带来极大方便的同时,企业商业秘密泄露的风险增加。除了运用传统的技术保护手段,如物理保护措施(包括设立保密库、建立电子监控装置、文件的保管和销毁)、防火墙技术之外,还要针对云环境的特殊性运用特殊技术手段进行防护,包括加密技术、用户群权限控制和身份认证、数据隔离技术等。 三、企业数据商业秘密保护的客体内容展开 传统商业秘密客体被分为技术信息、经营信息两大类,企业保护的主要商业秘密同样来自这两个类别,但又有其独特的发展方向和表现形式。技术信息与经营信息较为周延地涵盖了商业秘密的内容,并因其通常具备物质载体、相较经营信息更易描述等特点而更为典型。下文将分别从技术信息与经营信息的视角分别就企业数据商业秘密保护的客体内容进行具体阐述。 (一) 技术信息背景下企业数据商业秘密保护的客体 在互联网领域,随着新型技术信息不断涌现,技术信息呈现出数字化的特征。其中较为常见的技术信息类别包括计算机程序、代码、产品方案、测试数据等。从技术信息特点来看,数字化的技术信息具有介质体积小、易携带、易转移等特点;从侵权行为特征来看,技术信息侵权行为更具隐蔽性,事前防范和事后追责都更具难度。以下列出了互联网领域中几类典型的技术信息与相关司法实例: 1.源代码、目标代码等代码资源 源代码指未编译的一系列人类可读的计算机语言指令,包含了程序指令、功能、循环以及其他声明,起到指导应用者编译、使用程序的作用。目标代码是指源代码经过编译程序产生的能被cpu直接识别的二进制代码。源代码一般由高级语言(如C语言、FORTRAN语言等)写成,经过编译后转化为机器语言,形成目标程序后才能运行。一般来说,源代码是计算机程序最基本、最核心的内容,包含了程序在执行任务时需要的所有指令,决定了程序执行何种任务、如何执行以及执行的顺序。绝大部分互联网企业以提供互联网服务、制造业联网互通技术支持等为主要经营内容,程序是其中的核心技术手段,因此源代码成为企业最有价值的技术资源之一。但源代码的保护极具挑战,通常由高级语言写成的代码体积都较小,企业中任何能够接触到代码的人可以非常隐蔽的手段拷贝、转移代码,实践中侵权人通常以U盘等方式在极短时间内将代码拷走,致使保护和维权的难度都大大增加。在王某侵犯商业秘密一案中,侵权行为发生后权利人毫无察觉,后因意外才发现源代码已经被他人使用。该案中,航某公司针对新能源汽车电池管理系统(BMS)产品主控板、一体机设计了升级引导程序Bootload-er软件。BMS软件技术的Bootloader程序5个技术点中的7个源代码文件于2016年4月28日之前是不为公众所知悉的。被告人王某于2009年5月12日入职航某公司,2011年2月25日与航某公司签订《保密协议书》。2015年9月25日,王某从公司离职。10月14日,王某注册成立了国新动力科技有限公司,在未经航某公司授权的情况下,王某将含有航盛Bootloader软件源代码的汽车电池管理系统(BMS)软件技术文件拷贝后修改、使用,并披露给国某有限公司的技术人员使用。后航某公司原客户福某公司因为国新动力公司生产的BMS系统有问题误退货到航某公司维修,航某公司经比对,发现其公司的引导程序和国某公司的程序基本一致,且国某公司的员工全部来自航某公司,随后报案。本案中,从侵权行为发生到侵权行为被发现历时半年,期间侵权人的公司就已获得1800万元的营收,且夺走权利人主要客户,造成巨大损失。源代码通常是软件的核心内容,是企业的重要技术资产。且由于其体积小、拷贝和携带方便,侵权行为极为隐蔽,保护难度较大。要求权利人在侵权行为发生前从内部采取相应的保密措施,做好权限管理,一旦泄密,通常对方企业也会将其作为商业秘密保护,权利人将难以获知对方具体采用的代码信息,取证难度较大。在本案中,通过有关专业鉴定,法院最终认定,被害单位BMS软件技术的Bootloader程序5个技术点中的7个源代码文件于2016年4月28日之前是不为公众所知悉的,系权利人采取了保密措施,且能为权利人带来经济利益的商业秘密。 2.数字密钥等加密信息 密钥,顾名思义就是加密的钥匙,是用于加密、解密、完整性验证的秘密信息。密钥分为两种,对称密钥加密和非对称密钥加密。在对称密码系统中,加密和解密采用同一套密钥,发出和获取秘密信息的双方提前经过沟通,加密和解密的过程相同。非对称密钥加密系统中,用户拥有两个密钥,即公钥和私钥。信息发出者用接收方公开的公钥进行加密,接收方以不对称方式用不公开、独特的私钥解密,避免了密钥分发的不安全性。在互联网领域,两者的应用范围都十分广泛,通常用于对用户信息和产品使用权限的加密。和源代码类似,密钥本身、其算法等相关信息的保密难度同样较大。在王某侵害商业秘密一案中,权利人东某股份有限公司的职工王某于2014年5月初违反公司保密规定,在未经许可的情况下,私自将公司开发的用于内部测试电话卡的“USIMExplorerV4.0.0”软件及密钥指令等用U盘装载后带离公司。尔后,被告人王某通过网络论坛“我爱SIM卡”和相关的QQ群发布可以解卡的信息,自同年5月17日开始,将软件分别卖给网名为“海不会不蓝”“Dave”“特殊手机卡”及杨某等人,共获利人民币4798元。经鉴定,被告人王某的行为给被害单位造成经济损失达人民币1097827元。本案中,王某私自拷走的信息包括软件和其密钥,使得该软件丧失秘密性,对权利人造成巨大损失。其中盗走的密钥起到关键作用,互联网企业发布的公开版本软件中通常会以验证码、邀请码等密钥作为权限管理的工具,一旦泄露将导致企业原本能够获得的使用费流失。在司法实务中,密钥作为加密信息的性质使其在认定为商业秘密这一问题上不存在障碍,但保护和发现侵权行为的难度较大,且一旦泄露难以追回。因此同样需要企业在泄密前做好保护,加强对有接触权限职工的管理。 3.设计图纸、技术构思等设计信息 图纸是一类传统的技术信息,在机械、工程、建筑等传统领域就作为重要知识产权客体。通常图纸会以专利的形式加以保护,但也不排除部分产品的设计图纸具有同行无法触及的密点和专利许可费用无法比拟的行业优势,此时企业会选择以商业秘密的方式保护该信息。在互联网领域,设计图纸往往存在于具有高技术含量的电子产品中,例如印刷电路板的设计图纸、新硬件的设计图纸等。相较传统行业,这类信息有着高度抽象、存储介质数字化等特征。意味着设计图更易传播,且一旦设计本身泄露,同行业的竞争者将毫无难度地仿制类似产品,该信息的保密性将完全丧失。在张某、泽某侵犯商业秘密一案中,被告人张某、泽某分别担任易某公司专业产品事业部总经理、研发经理,并在组织、领导一款名为E750型的GIS采集器的研发期间,掌握了对该产品研发成功起核心作用的PCBA板设计的有关技术信息。自2011年初,二人共谋,违反与公司签订的保守商业秘密的约定,使用上述技术信息,以提供相应设计图纸等方式先后委托上海恒某有限公司、深圳中某有限公司生产PCBA板,再采购其他零部件,组装为GIS采集器。其间,张某、泽某于同年3、4月份从易某公司离职,以同期成立的上海昊某有限公司名义,将上述GIS采集器命名为S10、S12型对外销售,并陆续招揽曾在易某公司任职的多名员工参与产品的生产、测试等各项活动。至案发,被告人张某、泽某以昊某公司名义销售GIS采集器共计1520台,给权利人造成的损失数额共计人民币370万余元。本案中,集成电路板设计图纸作为整个产品的核心技术,决定了企业能否生产该产品、产品质量等重要竞争力。因此在泄露后嫌疑人得以迅速生产,在短短一年时间内造成了三百多万的损失。且该图纸不存在于纸张等实物介质上,仅作为电子文档存在,易于携带,可以与生产应用迅速衔接,使得保护难度更高、泄露后造成的损失也更大。 4.数据库等海量数据信息 数据库是指一个长期存储在计算机等介质内的、有组织的、有共享的、统一管理的数据集合,也是按照数据结构以一定方式储存和管理数据的仓库,一般以计算机软件等形式存在。一方面,数据库本身是一个实体,大量的数据集合在一起构成数据库;另一方面,数据库系统梳理、组织数据的方式是数据库的重要价值,好的数据库能高效地存储、维护数据,并方便使用者调取数据。对企业而言,数据库是生产资料的库房,不论是其中储存的经营信息还是数据库的算法都是重要的竞争力。在刘某等侵犯商业秘密一案中,被告人何某、刘某原系北京某A软件股份有限公司MIS应用开发部负责人,负责公司项目的开发和应用技术支持等工作。2011年5月31日,被告人何某、刘某等人共同出资成立了北京某B软件技术有限公司,被告人何某负责技术平台开发,被告人刘某负责项目二次开发、项目实施。2011年至2014年间,北京某B软件技术有限公司向多家公司销售其研发的管理信息系统,销售金额达400万元。经鉴定,某B软件技术有限公司销售客户管理系统中当前使用的35个数据库表,10个存储过程/函数与北京某A软件股份有限公司管理信息系统对应的表、存储过程/函数相同或实质相同。且上述数据库表、存储过程/函数不为公众知悉,属于非公知技术信息,认定为商业秘密。 5.程序和程序模块等程序信息 在程序设计中,模块指未完成某一功能所需的一段程序或部分子程序;或指能由编译程序、装配程序等处理的独立程序单位。在设计过程中将程序需要解决的复杂问题拆分为多个简单问题,并以此划分独立解决简单问题的子程序,再以最优的结构整合组成整个程序,其中各个子程序就是构成程序的模块。程序模块化的价值在于其独立性,各个功能模块间的接口简单,易于编制,独立的模块相较整个程序更容易测试和维护。但随之带来的问题是打破了程序的整体性,使得最具价值的部分程序更突出,更易成为侵权的“靶子”。在秦某等侵犯商业秘密一案中,被告人秦某于2008年6月30日入职南京中某有限责任公司,后担任南京中某公司产品运营经理并签订“保密协议”。秦某离职后与田某某共同成立盛某公司开展IPTV游戏业务,后更名为视某公司,并商定由田某某负责IPTV游戏平台的开发,秦某负责平台的上线及推广。为加快南京视某公司IPTV游戏平台研发速度,秦某违反南京中某有限责任公司关于保守商业秘密的要求,将南京中某有限责任公司IPTV游戏平台相关保密文档和程序发送给田某某。2012年10月左右,南京视某公司IPTV游戏平台研发成功并上线运行。经鉴定,秦某、田某某和员工于某等人的行为造成南京中兴新软件有限责任公司损失人民币161.60万元。本案中,被告人侵害了部分程序模块和文档,复制了部分代码,但侵权结果是加速了整个程序的研发。这要求企业在保护程序类技术信息时应当对重点模块提高保密级别,和程序的其余部分区别管理。 (二) 经营信息背景下企业数据商业秘密保护的客体 经营信息主要特点是与产品制造工艺及技术无关,但是与产品的流通以及生产组织却密切相关,其信息的主要作用体现在促进产品的销售和占领市场。商业秘密中的经营秘密是指技术信息以外的能够为权利人带来竞争优势的用于经营的各类信息。一般包括具有秘密性质的市场及与市场密切相关的情报或信息。由此可见,经营信息的内容并不明确,在司法实践中无法界定为技术信息但又具备商业秘密构成要件的信息通常都认定为经营信息。《关于禁止侵犯商业秘密行为的若干规定》第二条第五款中罗列的“管理诀窍、客户名单、货源情报、产销策略、招投标中的标底及标书内容等”就是一些常见的经营秘密客体。目前,企业在经营过程中获取的数据类信息例如客户信息、营销策略等在司法实务中都被认定为经营信息,作为商业秘密保护。企业的经营信息在以上类型的基础上呈现出大数据化的特征,如客户名单表现为海量的用户身份信息,货源情报可能表现为大量的用户行为信息(用户画像等),产销策略表现为大数据化的营销策略、个性化的活动方案等。由于借助网络作为媒介,企业的产品受众更广,由此产生的信息数据量远远超过传统产业的同类信息,能够产生高额的经济效益,具有更大的潜在价值,更应该纳入商业秘密保护客体。以下列出几类互联网领域典型的经营信息和相关司法实例: 1.客户名单等用户身份信息 客户名单是企业在经营过程中逐渐积累形成的固定交易对象名单,能够指向对某种特定商品或服务有一定需求的主体,对该行业内的企业具有经济价值,虽然是对简单信息的整合,但依旧构成商业秘密保护对象。互联网公司的客户名单与传统行业相比数据量更大、内容更加丰富,且通常以大数据的形式储存,与传统行业存在一定差别。在艺某公司诉刘某一案中,被告刘某于2003年7月14日与艺某公司签订劳动合同,担任预定中心预定员,负责酒店预定工作,后被调入酒店审核部工作。2007年12月20日,被告与艺某服务公司签订劳动合同,建立劳动关系。但被告工作内容没有发生变化,仍从事酒店信息审核工作,即接到公司代理人对订单的询问后负责与酒店方联系,并核对有关信息。自2007年至2008年7月间,被告利用其可接触到订单信息、客户信息的工作便利,将大量入住客人的信息提供给第三方,并以每条信息人民币一元的价格收取非法利益,从中获利56856元。法院认为该客户名单并非同行业普遍知悉,是长期积累形成的经营信息,且记载了艺某公司的营销渠道或客户的消费行为,是艺某公司稳定客户群、开拓市场、增强企业竞争力的重要依据,再考虑到艺龙某司采取了一系列保密措施,应当认定该信息是商业秘密。本案中,刘洋出售的客户信息高达五万多条,但这和艺某公司或其他服务范围更广泛的互联网企业日常调用的用户信息量相比并不算多,但仍具有大数据化特征。和传统意义上的客户不同,互联网企业面向单个用户的经济效益并不显著,但用户数量巨大,用户信息总和带来的利益可观。以微信为例,根据《2019年微信数据报告》,2019年微信月活跃账户数为1151000000,超过3亿人使用微信小程序,使用频率最高的表情为“捂脸”……这一系列的数字是在超过10亿的月活用户过去一年中累计产生的大量数据中筛选、计算得到的,其基础数据之浩瀚是传统行业所无法想象的。这些数据经过不同算法的处理能够得到各类用户习惯、使用偏好等信息,对企业的营销手段、广告投放等经营策略有决定性的影响,是企业重要的竞争资源。但是这类用户信息与传统的客户信息有所区别,能否全部认定为商业秘密将在后文详述。 2.用户消费数据、使用轨迹等行为信息 根据中华人民共和国网络安全法,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。但是个人信息不限于上述身份信息,还包括更具数据价值的大量行为信息,例如用户使用微信支付形成的支付信息、使用美团外卖形成的消费信息、使用滴滴打车形成的消费信息、通过智能设备所收集的信息等。企业合法收集的大量用户行为信息经过分析和处理,可以直接用于分析用户行为、判断用户消费能力喜好,做精准广告的网络行为,具有巨大的商业价值。因此,在满足商业秘密三个构成要件的情况下,企业所收集的用户消费行为信息等可以成为企业自身的商业秘密。从秘密性角度上看,根据《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》的表述“不为其所属领域的相关人员普遍知悉和不容易获得”可知,公众的范围并非是除权利人以外的所有人,而是指权利人所属领域的相关人员。因而秘密性不是绝对的不为公众知悉,不是权利人以外的所有人都不知悉,而是在相关领域内不为相关人员普遍知悉即可,这也是当前学界的主流观点。对于海量消费者个人信息等组成大数据,其秘密性不难认定。但容易产生分歧的是,如果企业数据组成中的大量数据来自从公有领域获取的用户个人信息,那么是否可以认定该企业数据具有秘密性。有观点认为此类数据信息不能构成商业秘密进而获得保护,因为任何人都可以从公有领域中获得。但这种观点有待进一步思考,因为这里首先所提到的并非是某条单一的数据信息,而是有许许多多这种数据信息而组成的数据集合。换言之,这些单一的数据信息是组成最终企业数据集合或数据产品的基础素材或“原料”,仅仅因为原料本身不具有秘密性就否认其集合产品不具有秘密性的观点并不能成立。例如,可口可乐的配料表一直都对外公开,但这并不影响可乐的配方构成商业秘密。因为其中各配料的组合和配比外界并不知晓,该配方也自然不会丧失秘密性。又例如在衢某有限公司与周某等侵害商业秘密纠纷案中,两级法院都认为由50多万个用户信息形成的海量信息不容易为相关领域的人员普遍知悉和获得,具有秘密性。同时,企业数据所具有的价值性反而更凸显了其符合商业秘密的特质。如果单看某条个人信息,很难说其具有很高的价值性(名人的个人信息除外)。但是汇集了众多个人信息之后所形成的数据集合就具有了很高的价值性,企业可以利用这些信息辅助其制定相应的经营策略、投放相应的广告并对产品进行个性化分类以面向各种类型的消费群体。由此不难看出,商业数据集合具有很高的价值性特征,其完全符合商业秘密保护构成要件的要求。在保密性维度,企业数据通常是企业重要的核心资产,因而后者往往会采取很严格的保护措施加以保护。当然,在认定对企业数据采取商业秘密保护时的保密措施是否合理,应当综合权利人的保密意愿、企业数据的价值以及该数据的特性加以综合认定。 3.商业计划、销售计划等营销信息 营销信息包括营销方案、经营数据等企业经营过程中直接产生的信息。营销方案又称营销策划,是针对特定的产品或者客户进行营销,从而实现利润或特定目的而制作的一种以文字为载体的规划,任务是实现特定的目的而提供具有操作性循序渐进的行动指南。对于企业来说,促销方案、广告投放、定向推送等经营手段都属于营销方案。我国司法实践中,营销方案可以从商业秘密和著作权两种路径保护,在坚弗特种涂料诉逸涂新材料等一案中,法院将原告主张的客户名单、报价体系、营销方案等信息都认定为商业秘密。法院认为,坚弗公司主张的报价体系以及第78号邮件反映的营销信息系上海坚弗公司的内部信息,并不为公众所知悉;上述经营信息是上海坚弗公司与同行业其他公司进行市场竞争的重要信息,能够为上海坚弗公司带来竞争优势和经济利益,上海坚弗公司亦对上述信息采取了多种保密措施,故上海坚弗公司主张的上述信息属于反不正当竞争法保护的商业秘密。企业的产品面向群体更广泛,采取的营销策略更复杂,营销信息更加多样。以近年最成功的电商营销案例“天猫双十一”为例,早期的“双十一”仅开展线上的促销活动,从2015年开始逐渐出现线上下单与线下提货的联动,部分商场开始联合天猫推出“双十一”促销,通过这种方式全方位收集用户数据并深度挖掘,满足商家传播的需求的同时提升信息推送的精准性。以“双十一”为起点,天猫逐渐开发更多诸如“双十二”“女神节”等促销活动,形成针对各类消费群体、个性化、全方位的消费服务。在活动开始前,营销方案泄密可能导致整个促销活动的失败,也可能直接导致其在竞争中处于劣势,因此具有秘密性和价值性。企业运用大数据算法获得最优营销策略的经营手段已经十分普遍,这类信息相较传统营销策略取得难度更大、数据密度更大、对企业经营的竞争力影响也更大,企业应当采取重点保护的保密措施,以获取相应的商业秘密保护。 四、企业数据商业秘密保护的认定规则 商业秘密的构成要件包括不为公众所知悉(秘密性)、具有商业价值(价值性)、采取保密措施(保密性),互联网领域的商业秘密在三要件的基础上还呈现出其他特征,下文将从该构成要件出发,对涉数据类商业秘密保护的认定规则进行具体讨论。 (一) 企业数据商业秘密保护的秘密性认定 商业秘密的首要特点即其秘密性,判断某一信息是否具有秘密性需要观察知悉该类信息的主体。一旦一项商业信息为不负有保密义务的非特定化主体所知,该信息就沦为公知信息,不再具有秘密性。值得注意的是,这里的不特定主体不要求是社会上的一般公众,而应当指向相关领域内的主体,即同行业的技术人员、管理人员等。如同行业内的企业或从业人员通过简单归纳、一般常识或行业惯例就能得知,则不构成“不为公众所知悉”。另外,从证据证明角度来说,这里的“公众知悉”的认定只要具备知悉的或然性、可能性即可,而非必须要求实然性。只要证明能够从公开渠道获得即能打破秘密性,而不需要疑似侵权人证明具体是从何渠道获知的。以大某点评案为例,法院认为,大某点评网真正的优势在于其提供消费者真实的消费体验报告即用户点评,潜在的消费者可以通过点评获取有关商户服务、价格、环境等方面的真实信息,帮助其在同类商家中作出选择。网站上的点评信息是其长期经营的成果,点评类网站具有集聚效应,即网站商户覆盖面越广,用户点评越多,越能吸引更多的网络用户参与点评,也越能吸引消费者到该网站查找信息。只有点评数量达到一定规模,网站才有可能进入良性循环。大众点评网的大量点评信息尽管具有重要商业价值,但其为公开可得信息,因此被认定为商业秘密的可能性较低,所以原告选择根据反不正当竞争法第二条原则性条款进行维权。 在很多情况下,如用户信息之类“大量数据的集合”满足秘密性具有一定的门槛。我国司法实践的主流观点认为诸如“客户名单”的聚合类商业信息需要经过“深度加工”才能具备秘密性要件,简单信息的相加无法满足,例如张某恒力电工诉国某国贸一案中,法院认为原告主张客户名单仅仅是简单的客户名称,并不具有其他深度信息,因此其不具有秘密性。企业所持的用户信息、使用习惯等相对公开的信息也可能落入这一陷阱,在微某诉脉某案中,法官认为证明用户信息是由深度加工获得且不可能为第三方从公开渠道获悉至关重要。前面所述的衢某有限公司诉周某民等侵犯商业秘密案,法院认定50多万个注册用户名、注册密码和注册时间等信息不易为相关领域人员普遍知悉和容易获得,具有秘密性,依法应受法律保护。但是,需要指出的是,法院认为,该案中构成商业秘密的客户名单,不是简单的客户名称,必须包含名称之外的深度信息,一般包括“客户的名称、地址、联系方式及交易习惯、意向、内容等构成的区别于相关公知信息的特殊客户信息,包括汇集众多客户的客户名册,以及保持长期稳定交易关系的特定客户”,也具有一定的深加工特点。因此,互联网行业普遍存在用户数据、点评信息、内容信息等满足商业秘密的秘密性要求有一定门槛,不能笼统地认为企业掌握的所有数据集合都是商业秘密,应根据这些数据的具体内容进行具体分析。 (二) 企业数据商业秘密保护的价值性认定 在2017年修法后,我国反不正当竞争法第9条第4款将1993年反法中的“能为权利人带来经济利益、具有实用性”要件修改为“具有商业价值”。去掉“权利人”要件使得对权利人本身已不具有正面的、创造利益的价值,但对其竞争对手而言依旧具有极大商业价值的信息得以保护。去掉“实用性”使得无法投入实际使用但依旧具有商业价值的实验数据、“试错数据”等信息得以保护。“价值性”即具有商业价值,能为权利人带来竞争优势,仅仅是精神价值或者社会价值并不符合商业秘密的价值性要件。该商业价值可以是现实的也可以是潜在的,因此不要求商业秘密能直接为行为人带来经济效益;该商业价值可以是对权利人而言,也可以是对被诉侵权人而言。《不正当竞争案件解释》第10条规定,有关信息具有现实的或者潜在的商业价值,能为权利人带来竞争优势的,应当认定为反不正当竞争法规定的“能为权利人带来经济利益”。价值性的本质在于其所有人因掌握该商业秘密而具备相对于未掌握该商业秘密的竞争对手的竞争优势。 在大数据时代,国家和企业在越来越广阔的领域中运用大数据技术,包括通过追踪单词、追踪位置、跟踪交易、跟踪行为、跟踪生产等数据,分析人们的行为习惯、预测自然环境变化、提升生产绩效等,因此作为大数据技术基础的数据信息被誉为大数据时代的“石油”日益成为企业的重要资产和竞争优势所在。企业可以通过对数据进行分析,得出产品的受欢迎程度、访问者所在地理区域、访问者喜好、访问时段等具体信息,基于前述分析结果,企业可以科学地制定经营策略,如确定采购产品的种类、推广方式、时段及广告策略等,在一些产业中,大数据的分析结果还会影响企业与上下游合作伙伴的合作策略和价格制定方案,不仅仅对自身的发展起到关键作用,同时创造出巨大的社会经济价值。由于大数据的价值性在竞争中日益凸显,其自身已成为市场交易的对象,数据市场以及大数据产品已形成新的产业。在安某有限公司与淘某有限公司商业贿赂不正当竞争纠纷一案中,法院认为,“生意参谋”数据产品中的数据内容系淘宝公司付出了人力、物力、财力,经过长期经营积累而形成,具有显著的即时性、实用性,能够为商户店铺运营提供系统的大数据分析服务,帮助商户提高经营水平,进而改善广大消费者的福祉,同时也为淘某公司带来了可观的商业利益与市场竞争优势。同时,以微某诉脉某案为例,微某多年积累的用户数据无疑蕴含着极高的商业价值:一方面,对微某而言,用户数据不仅仅是其作为社交媒体平台开展经营活动的基础,是保障服务个性化、提高用户体验的关键,也是其作为开放平台向不同第三方应用软件提供平台资源的重要内容,是微某的核心竞争优势所在;另一方面,脉某作为以管理、扩充用户职场人脉为主旨的社交软件,具有极强的用户网络效应,微某的用户数据能作为脉某运行的基础,在提高脉某用户使用体验的同时,吸引更多的非脉某用户使用脉脉软件。因此,无论是对权利人微某而言还是对被诉侵权人脉某而言,微某的用户数据都能大大提高其竞争力,为其带来经济效益,具有极高的价值性。正因为大数据的经济价值越来越重要,企业对数据信息的占有和使用争夺才日益激烈。因此大数据毫无疑问具有极大的商业价值性。 该修订对互联网领域的“数据类”信息的价值性认定具有重大意义。很多情况下,企业掌握的大量原始数据本身无法直接适用于经营,而是需要深度加工、分析才能实现其商业价值。这种长期的、非现存的价值在原先“实用性”要件规范下,被认定为具有价值性的难度较大,可能无法获得保护,去掉该要件使得平台运营数据等商业信息满足价值性的要件的难度降低。在扩大外延后,我国商业秘密的价值性要件指向一切可能为权利主体带来商业利益的商业信息,信息的价值性在案件中证明难度降低。从现有企业数据商业秘密纠纷来看,在大部分案件中,相关数据和信息的价值性都比较容易证明,且容易得到法官采纳,一般不再成为争议的焦点。例如,在谷某科技元光科技案中,法院认定APP后台服务器存储的公交实时类信息数据具有实用性并能够为权利人带来现实或潜在、当下或将来的经济利益,已经具备无形财产的属性。 (三) 企业数据商业秘密保护的保密性认定 除签订保密协议等传统商业秘密保密性手段外,企业往往通过电子手段实现商业秘密和有关数据的保密性,如签订robots协议,与他人达成限制范围的保密协议的数据抓取合作协议、API协议、利用技术性措施防止其他企业获取相关数据等,从而使特定数据满足保密性要求。电子化保密性措施有利于企业对海量数据实现批量保护。当其他企业超出协议范围、违背Robots协议或采用违法手段,如通过侵入或破坏计算机信息系统进行的数据抓取行为可能被认定为侵犯商业秘密行为。 孙逸啸 彭成龙|生成式人工智能算法“失控”:风险景象、治理困境与规制进路 王泽龙|数字经济地方立法的现实分析与困境应对 丁娴静 张煜|数字金融背景下要素式应用场景办案的制度构想与实践探索 李戴玮|数字平台自我优待的反垄断法规制困境与出路 孙啸天|数字时代涉案加密货币的处置困境与破解之道 张献之 贾妍彦|司法数据的开放及产权实现研究 李超|枫桥经验多元解纷中的“政法数据共享”——一个整体性治理理论的分析框架
