数据治理年度观察报告(2025)
时诚,华东政法大学中国法治战略研究院讲师。
来源:
文章即将刊发于《数字法学评论》第七辑(2026年第2期),转引请注明来源。
* 因原文篇幅较长,已略去注释与参考文献。
目次
一、数据基础制度的深度拓展
二、数据权益司法保护的顶层设计
三、数据爬取的范围限缩与形态更新
四、数据训练的版权法与竞争法回应
五、结语
摘 要:2025年,我国数据治理工作全面迈入“规划引领、系统推进”的新阶段。在宏观层面,数据基础制度建设取得突破性进展:企业、行业、城市三类可信数据空间创新试点启动实施,公共数据开发利用的“1+3”政策体系初步成型,人脸识别、网络交易、民用航空、银行业务、能源等领域的行业数据安全管理规范陆续发布。同时,最高人民法院通过发布第47批指导性案例、将“数据纠纷”确立为独立的第二级案由等举措,稳步推进数据权益司法保护的顶层设计。在微观层面,一系列典型司法案例精准回应了数据领域的新型问题:在网络爬虫数据获取领域,“腾讯诉网智案”表明即便对robots协议允许范围内的公开数据进行爬取,也可能构成侵权;“淘宝诉小旺神案”则将借助RPA技术实施的新型数据爬取纳入治理框架。在大模型数据训练领域,“美杜莎案”回应了数据训练能否合理使用他人版权作品的争议;“变身漫画特效案”则承认人工智能模型的参数和结构属于反不正当竞争法所保护的竞争利益。
关键词:数据权益;可信数据空间;公共数据;数据爬取;大模型治理
2025年是“十四五”规划收官之年,也是“十五五”规划谋篇布局之年。在此承前启后的战略节点上,我国数据治理工作全面迈入“规划引领、系统推进”的新阶段。本文采用宏观整体与微观个案相结合的视角,对2025年数据治理的典型事件或案例进行观察:在宏观层面,从制度拓展和司法保护两个维度,分别研判可信数据空间创新试点、公共数据开发利用、行业数据安全管理规范,以及最高人民法院第47批指导性案例发布、数据纠纷案由独立设置等事件;在微观层面,选取“腾讯诉网智案”“淘宝诉小旺神案”“美杜莎案”“变身漫画特效案”等典型司法案例,深度剖析数据爬取形态更新、数据训练法律回应等争议纠纷背后的司法逻辑,以期勾勒出我国数据治理的演进脉络和发展方向。
一、
数据基础制度的深度拓展
2025年,我国数据基础制度建设取得突破性进展。1月13日,国务院公布我国首部系统性规范公共安全视频管理的行政法规——《公共安全视频图像信息系统管理条例》;5月28日,国务院公布《政务数据共享条例》;5月19日,公安部等七部门正式公布《国家网络身份认证公共服务管理办法》;10月28日,《网络安全法》完成首次修订;12月15日,财政部、国务院国资委、金融监管总局、中国证监会联合发布《关于严格执行企业会计准则切实做好企业2025年年报工作的通知》,规定企业应当以成本计量内部形成或外购的数据资源,不得将以评估等方式得出的金额直接作为入账和调账的依据;12月22日提请审议的《国有资产法》草案提出探索将相关数据资产纳入国有资产报告体系等。其中,较为引人瞩目的创新体现于可信数据空间创新试点、公共数据开发利用和行业数据安全管理三个核心领域。
(一)可信数据空间的创新试点
为推动数据要素畅通流动和数据资源高效配置,继2024年国家发展改革委、国家数据局、工业和信息化部联合印发《国家数据基础设施建设指引》,以及国家数据局印发《可信数据空间发展行动计划(2024—2028年)》之后,2025年我国又陆续出台多个可信数据空间创新试点文件。4月3日,国家数据局综合司发布《组织开展2025年可信数据空间创新发展试点工作的通知》(以下简称《通知》),提出重点面向应用需求旺盛、发展基础良好、经济社会价值高、示范带动力强的领域,通过两年试点培育,形成一批资源丰富、应用创新、生态繁荣、成效显著的可信数据空间。7月16日,国家数据局综合司正式公布《2025年可信数据空间创新发展试点名单》,该名单涵盖城市、行业、企业三个场景,共计63个试点项目。这标志着我国可信数据空间建设迈入规模化推广应用的新阶段。
根据《可信数据空间发展行动计划(2024—2028年)》,可信数据空间是指基于共识规则,联接多方主体,实现数据资源共享共用的一种数据流通利用基础设施,须具备可信管控、资源交互、价值共创三类核心能力。可信数据空间超越了传统互联网作为数据传输管道的单一角色,其并非纯粹的技术路线,而是一种“技术、法律和治理相互结合的数据重用制度方案”:在技术维度,可信数据空间以隐私计算和区块链为技术底座,实现多源异构数据的分布式集成,为数据流通提供底层技术支撑;在法律维度,可信数据空间通过明确交易主体、交易标的、流通过程、流通标准等要素,厘清参与各方的权利义务边界,为数据流通筑牢制度保障;在治理维度,可信数据空间结合目标行业、数据类型、交易模式等因素,构建适配数据流通场景的精细化治理规则,为数据流通提供协同激励。以国家数据局发布的“可信数据空间试点典型经验:汽车行业可信数据空间”为例,中汽数据公司通过部署数据沙箱、隐私计算、区块链等安全流通技术,按照共识、共建、共享的原则,整合汽车全生命周期数据及跨行业多源信息,在权属清晰、规则统一的框架下实现数据安全高效流通与价值转化,有效支撑碳足迹核算、动力电池ID协同、车能融合等关键场景,构建了开放协同、价值共享的行业发展格局。
当然,可信数据空间建设是一项长期工程。根据《通知》的部署,国家率先组织开展企业、行业、城市三类可信数据空间试点建设,通过场景化示范应用逐步拓展至个人、跨境等场景,实现从点到面的全面推广,最终支撑构建全国一体化数据要素市场,为数字经济的高质量发展注入新的动力。
(二)公共数据开发利用的持续深化
2025年,我国颁布了多个公共数据开发利用的政策文件。1月8日,国家发展改革委、国家数据局连续发布《公共数据资源授权运营实施规范(试行)》(简称《授权运营实施规范》)、《关于建立公共数据资源授权运营价格形成机制的通知》(简称《价格形成机制》)、《公共数据资源登记管理暂行办法》(简称《登记管理办法》)。再加上2024年9月21日中共中央办公厅、国务院办公厅发布的《关于加快公共数据资源开发利用的意见》,我国正式构建起公共数据开发利用的“1+3”政策体系。
上述文件从授权运营实施、价格形成和登记管理三个维度,系统构建了公共数据开发利用的制度框架,为公共数据从“沉睡资源”向“价值资产”的转化奠定了制度基础。在授权运营实施层面,《授权运营实施规范》明确公共数据授权运营应遵循依法合规、公平公正、公益优先、合理收益、安全可控等原则(第4条),其实施机构为县级以上地方各级人民政府或国家行业主管部门结合授权模式确定的、具体负责组织开展授权运营活动的单位(第3条),并规定了开展授权运营活动的前置条件、基本要求和责任部门(第5-7条),授权运营实施方案的组织编制、具体内容和审议实施(第8-11条),运营机构的选择、运营协议的签订和内容(第12-14条),运营实施的技术环境、登记管理、价格政策、社会监督和权益保护(第15-20条),实施机构和运营机构的运营管理、金融风险防范等(第21-23条)。在价格形成层面,《价格形成机制》规定了公共数据运营服务费的定价范围、管理权限、定价程序、最高准许收入和上限收费标准、评估调整和指导监督等内容。在登记管理层面,《登记管理办法》明确公共数据资源登记应当遵循依法合规、公开透明、标准规范、安全高效等原则(第4条),其登记机构是由国家和地方数据管理部门设立或指定的、提供公共数据资源登记服务的事业单位(第3条)。该办法明确将纳入授权运营范围的公共数据资源确立为应当登记的数据资源范畴,鼓励党政机关和事业单位对未纳入授权运营范围的公共数据资源、被授权主体对利用被授权的公共数据资源加工形成的数据产品和服务,以及公用企业对直接持有或管理的公共数据资源及形成的产品和服务进行登记(第5条),并明确了公共数据资源登记的基本要求、登记程序、登记管理和监督管理等。鉴于登记制度对于促进数据资源合规高效开发利用具有普适性意义,国家数据局已将“加快建立全国统一的数据产权登记制度”列为2026年的重点工作任务。展望未来,数据产权登记制度应当在登记客体、效力体系、治理规则等方面与公共数据资源登记保持协同,二者共同助力全国统一数据登记体系的建设。
观察可知,为实现数据合规与数据赋能的协同推进,公共数据开发利用必须处理好三对关系:(1)统筹数据发展与安全。习近平总书记强调:“要规范数字经济发展,坚持促进发展和监管规范两手抓、两手都要硬,在发展中规范、在规范中发展。”应当以总体国家安全观为根本遵循,将数据安全贯通公共数据采集、存储、加工、流通、运营、服务的全生命周期。落实数据分类分级保护要求,对于承载国家安全、公共利益的公共数据,其开发利用应以维护国家安全、保障公共利益为前提,坚决杜绝因片面追求开发效益而突破安全底线。(2)协调公共数据开发利用与个人信息保护。公共数据中往往包含大量的个人信息,应当协调好开发利用与个人信息保护的关系,既不能因过度强调个人信息保护而限制公共数据开发利用,也不能为追求开发效益而忽视个人信息权益的保障。对此,《授权运营实施规范》将“不侵犯商业秘密和个人隐私、个人信息权益等合法权益”列为授权运营的前置条件(第5条),要求运营实施方案必须包含个人信息保护措施和应急处置措施(第9条),授权运营协议应包括个人信息保护要求和风险监测、应急处置措施等内容(第14条),并支持隐私计算等安全可信流通技术应用,确保数据资源开发利用过程可管、可控、可追溯(第15条)。(3)平衡政府监管与市场活力。政府在公共数据开发利用中扮演着“授权主体”和“监管机构”双重角色,应当把握好监管尺度和放权边界:一方面,通过明确规则、优化审批、强化监督,规范市场主体的运营行为,不得滥用行政权力排除、限制竞争;另一方面,激发市场主体的创新活力,鼓励具有资金、管理、技术、服务、安全能力的各类法人组织参与公共数据开发利用,形成政府引导、市场赋能、多元协同的发展格局。
(三)行业数据安全管理的制度创新
在行业数据领域,国家相关行政主管部门聚焦重点行业的数据安全管理和开发利用需求,通过部门规章、规范性文件等形式,先后发布了人脸识别、网络交易、民用航空、银行业务、能源等领域的数据安全管理专门规范,健全了行业数据安全管理制度体系。具体包括:3月13日,国家互联网信息办公室、公安部联合印发《人脸识别技术应用安全管理办法》;3月24日,市场监管总局发布《网络交易合规数据报送管理暂行办法》,中国民用航空局公布《民航数据管理办法(试行)》;5月1日,中国人民银行公布《中国人民银行业务领域数据安全管理办法》;12月8日,国家能源局公布《能源行业数据安全管理办法(试行)》。
上述行业数据治理规范具有下列特点:(1)以统筹行业数据安全管理与开发利用为目标。尽管前述文件多以“数据安全管理”命名,但其并未偏废于单一的安全管控维度,而是旨在平衡行业数据安全管理与开发利用。例如,《中国人民银行业务领域数据安全管理办法》第1条明确将“规范中国人民银行业务领域数据的安全管理并促进开发利用”作为规章目的。(2)以细化上位法的行业适配规则为内容。上述文件立足于特定行业或领域的数据治理实践,针对行业数据分类分级、安全管理职责、安全技术标准、监测预警和应急处置、监督检查和法律责任等内容,对《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律、行政法规的通用性条款进行细化和补充。例如,为落实《数据安全法》第21条的数据分类分级保护制度,《能源行业数据安全管理办法(试行)》第4条根据数据重要性、精度、规模、安全风险等,将能源行业数据分为一般、重要、核心三级。(3)以数字经济、国计民生等关键领域为场景。上述文件覆盖领域多元,涵盖民生服务、市场交易、公共交通、金融安全、能源保障等事关国计民生福祉和数字经济高质量发展的重要场景,基本实现了从消费端到产业端、从民生领域到关键基础设施领域的覆盖。展望未来,应当进一步锚定人工智能大模型、工业物联网、医疗健康、智能汽车出行等新兴重点领域,制定更具针对性、前瞻性、实操性的行业数据治理规范,为相关领域的数据安全与合规利用筑牢制度根基。
二、
数据权益司法保护的顶层设计
当前,随着我国数据权益司法纠纷的持续增长,数据权属、数据合同、侵害数据权益等新型争议的司法保护难题日益凸显。为破解这一难题,最高人民法院通过发布第47批指导性案例、首次将“数据纠纷”确立为独立的第二级案由等举措,稳步推进数据权益司法保护的顶层设计。
(一)第47批指导性案例观察
2025年2月8日,《中共中央关于加强新时代审判工作的意见》指出:“依法审理数据产权归属认定、市场交易、权益分配、利益保护等纠纷,推动数据要素高效流通和交易。”8月28日,最高人民法院发布第47批指导性案例(指导性案例262—267号)。这是最高人民法院首次发布数据权益司法保护专题指导性案例,系统回应了司法实践中数据权属认定、数据流通利用、个人信息保护、网络平台账号交付等疑难问题。梳理上述6件指导性案例,其裁判规则归纳如下:
1.数据来源者对由其促成产生数据的权益
指导性案例第263号涉及数据来源者的权益保护问题,其焦点是用户是否有权通过关联账号功能,将其数据在不同网络平台间迁移。2022年12月中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)提出:“保障数据来源者享有获取或复制转移由其促成产生数据的权益。”在实践中,数据代表着数据来源者特征、状态或行为的数字化,数据来源者虽为数据生产贡献了信息内容,但由其促成产生的数据却往往被数据处理者所控制,其获取或转移数据高度依赖于数据处理者的配合。因此,赋予数据来源者对由其促成产生数据的获取权、使用权、转移权等权益,不仅能够保障其对数据生成的贡献获得公平回报,还有利于促进数据流通利用,激发数据要素市场的竞争活力。
基于上述政策导向和实践需求,第47批指导性案例确立了数据来源者权益的内容和边界:一是指导性案例263号承认了网络用户的数据转移权,明确指出:“在不侵害数据安全、个人信息和社会公共利益的前提下,网络用户使用关联账号功能,将其持有的数据在不同网络平台间转移,系合法正当行为”,某网络公司对甲网站所采集生成的数据,虽“享有受法律保护的权益,但不得阻碍招聘企业用户对所收集的数据进行转移等合理处理”。二是数据来源者权益的确认,并不意味着其对数据享有绝对排他权。在无正当理由的情况下,数据来源者不得禁止他人合法采集、使用其促成产生的数据。对此,指导性案例264号指出:“产品出厂价格是某钢铁公司在经营主营业务过程中产生的数据,某钢铁公司享有持有、使用等权益,但钢材交易市场是竞争较为充分的市场,产品出厂价格已公开,某钢铁公司不能禁止他人合法合理采集使用。”
2.数据处理者经营性权益的边界
指导性案例262—264号均聚焦数据处理者对其依法采集加工的数据集合所享有的权益内容及其边界问题。在“数据二十条”确立的数据产权结构性分置制度框架下,当前学界已就数据处理者享有数据资源持有权、加工使用权、产品经营权形成共识;但对于数据处理者权益的边界,以及该权益受到侵害时的救济路径,尚未达成一致意见。对此,第47批指导性案例进一步明确了数据处理者权益的保护路径:
一是数据处理者对数据享有经营性利益。指导性案例262号的争点之一是某科技公司对汇聚短视频、用户评论、用户信息形成的数据集合享有何种权益。法院在否定涉案数据集合具有著作权属性的基础上,通过区分单一数据个体和数据集合整体,指出:“某科技公司对数据集合的形成和积累实质性投入了人力、物力、财力,通过经营吸引大量用户流量,使得该数据集合额外产生独立于单一短视频的经济价值。由此,某科技公司持有、使用、经营短视频数据集合产生的经营性利益,应当受到法律保护。”
二是数据来源者与数据处理者的权益边界。数据处理者的数据权益取得,应以不违反法律规定、合同约定且充分保障数据来源者权益为前提;对于数据处理者依法采集加工形成的数据集合或数据产品,数据来源者无权干涉其对数据的持有、使用和经营。指导性案例264号指出,案涉产品出厂价格系公开市场中自由流通的信息,采集、使用该类信息用于编制行业价格指数,没有违反法律法规。因此,某电子公司正当获取和合理使用案涉数据的行为,实际并未影响或者剥夺作为数据来源者的某钢铁公司对出厂价格数据的持有、使用等权益。
三是数据抓取、使用的正当性边界。数据抓取、使用行为的正当性认定,事关数据处理者经营利益与数据使用者获取利益的平衡,其核心在于判断此类行为是否扰乱市场竞争秩序、损害其他经营者或消费者的合法权益。这需要结合用户授权情况、数据的数量和公开性、数据获取的目的和方式、双方商业模式等因素综合考量。正因如此,尽管指导性案例262号和263号均援引《反不正当竞争法》第2条进行裁判,却作出了截然相反的判决结果。在指导性案例262号中,“某文化公司未经许可,抓取搬运案涉数据集合中大量用户信息、短视频和用户评论在乙APP使用,导致乙APP与甲APP内容高度同质化,网络用户不使用甲APP,通过乙APP也可观看相同内容,实质性替代了某科技公司经营的甲APP产品和服务”,因此该行为被认定构成不正当竞争。与之相反,在指导性案例263号中,“网络平台向用户提供关联账号服务,经用户授权后转移其在关联网络平台获取的数据,为用户在合理范围内处理该数据提供便利,未扰乱市场竞争秩序的,不构成不正当竞争行为。”
值得注意的是,2025年10月15日修订施行的《反不正当竞争法》第13条第3款新增“数据专条”,对侵害数据权益的不正当竞争行为作出专门规定。自此,数据使用者获取、使用他人数据的正当性边界,应当依据该条款的以不正当方式获取或使用数据、损害其他经营者的合法权益、扰乱市场竞争秩序等规定进行判断。
3.为订立或履行合同所必需处理个人信息的认定
《个人信息保护法》第13条第1款第2项规定,“为订立、履行个人作为一方当事人的合同所必需”的个人信息处理活动,不需取得个人同意。指导性案例265号、266号分别聚焦于自动化决策推送信息、提供“先享后付”功能时收集个人信息,是否属于该情形之列。在立法目的上,之所以此类情形不需取得个人同意,“是因为如果不实施相应的个人信息处理活动,就无法订立或者履行个人作为合同一方当事人的特定合同。”除“个人作为合同的一方当事人”这一前提要件外,该条款的适用还需满足下列条件:
一是为订立或履行合同所必需。“为订立或履行合同所必需”不同于《个人信息保护法》第16条规定的“提供产品或者服务所必需”,其不能仅依据《常见类型移动互联网应用程序必要个人信息范围规定》中的必要个人信息范围进行判断,否则不仅可能因忽视当事人真实意愿而与信息自决的价值理念相悖,还难以兼顾各类具体场景的差异化需求。为弥补这一局限,指导性案例265号确立了“合同解释为主、必要范围规定为辅”的判断方法,其裁判要点指出:“判断处理个人信息是否属于‘为订立、履行个人作为一方当事人的合同所必需’,可以结合有关法律法规及规章、规范性文件等对必要个人信息范围的规定,并考量合同的类型、内容等作出认定。如果不处理有关信息将使合同约定的基本功能服务或者用户自主选择的附加功能服务无法实现的,可以认定该个人信息处理行为属于订立、履行合同所必需,反之则不予认定。”据此,在指导性案例265号中,“案涉APP基本功能服务为提供在线课程视频流和相关图文、视频等信息,收集用户画像信息并非其基本功能服务所必需,亦无证据表明罗某曾自主选择使用附加功能服务,故某科技公司以其实现自动化决策功能服务为由径直收集用户画像信息行为的依据不足,不构成无需取得个人同意即可处理用户个人信息的法定情形”;而指导性案例266号的判决结果则恰恰相反。“先享后付”功能以开通信用服务为必要条件,信用服务商收集反映用户个人信用或者风险状况的个人信息,直接服务于合同订立与履行,因此属于“为订立、履行合同所必需”的情形。
二是履行告知义务并恪守最小必要原则。为订立或履行合同所必需的个人信息处理,仅免除个人信息处理者取得个人同意的义务,其仍应依法履行告知义务,并采取对个人权益影响最小的处理方式。就告知义务而言,在指导性案例266号中,黄某欢主张某信用公司以误导方式诱导其开通信用服务并收集个人信息,但法院查明:申领电子公交卡的“相关协议均已在显著位置,通过有别于页面其他黑色字体的方式,提醒用户注意查阅,且在合同文本中,对个人信息处理的条款,采用了足以引起用户注意的加粗字体、放大字号、标蓝颜色等明显标识方式”,因此黄某欢的主张不能成立;就最小必要原则而言,“某信用服务通过事先对用户进行信誉评估,向公交公司提供的仅是‘准入与否’的结论性信息,属于实现‘先享后付’功能所必需,符合最小必要原则。”因此,某信用公司为提供“先享后付”服务所实施的个人信息处理未侵害黄某欢的个人信息权益。
4.网络平台账号的交付执行
指导性案例267号的核心争点是:网络平台账号的交付执行是否包含变更实名认证信息,以及被执行人不履行交付义务时,权利人应如何寻求救济。网络平台账号是用户参与网络平台活动的数字化标识,也是承载账号相关数据、运营权益和商业价值的载体。根据《网络安全法》第24条,网络运营者在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。这一规定使得实名认证成为网络平台账号的必备要素。账号的注册、使用、变更均与真实身份信息深度绑定,实名信息不再是单纯的辅助验证工具,而是确认账号主体资格、界定权利归属、保障账号安全的重要依据。因此,网络平台账号交付应当以账号权利的完整转移为核心,其执行内容不仅包括交付账号密码,还应同步变更实名认证和注册信息等。当被执行人未履行交付义务时,权利人有权向执行法院申请发出协助执行通知书,要求网络平台配合变更实名认证信息。
基于此,在指导性案例267号中,法院采用如下论证思路,明确了网络平台账号交付执行的范围:一是网络平台账号交付的核心是“由某传媒公司行使账号权利,实现对案涉账号依法占有、独立控制”,确保其获得完整的账号支配权;二是由于网络平台账号高度依赖实名制认证和注册手机号码验证,仅交付账号密码无法排除原绑定主体通过实名信息重置权限的风险,故交付必须包含注册主体身份、手机号码等核心信息的变更;三是当被执行人客观上无法办理账号主体信息变更(如被羁押)时,执行法院可“根据申请执行人某传媒公司申请,以通知相关平台协助执行的方式,完成案涉账号实名身份信息等的变更”。
(二)数据纠纷案由独立与“互联网法院管辖规定”观察
2025年11月1日施行的《最高人民法院关于互联网法院案件管辖的规定》第1条规定了互联网法院集中管辖所在市辖区内应当由基层人民法院受理的第一审案件,其中就包括了“网络数据权属、侵权、合同纠纷”和“因行政机关作出网络数据监管、网络个人信息保护监管、网络不正当竞争监管、网络交易管理、网络信息服务管理等行政行为产生的行政纠纷”。与上述管辖规定相衔接,12月16日,最高人民法院修订《民事案件案由规定》,首次将“数据纠纷”确立为独立的第二级案由,并在其项下新设“数据权属纠纷”“数据合同纠纷”“侵害数据权益纠纷”三类第三级案由。此外,在“不正当竞争纠纷”的“网络不正当竞争纠纷”项下,新设第四级案由“不正当获取、使用数据纠纷”。通过这一系列管辖规定与案由优化,进一步强化数据权益的司法保护,充分发挥司法在数据治理中的“定分止争”功能。
上述规定虽属案由分类、管辖规则的技术性调整,实则反映了数据纠纷所涉民事法律关系性质的变化,标志着数据权益司法保护模式从“行为规制”迈向“权利保护”。在此前的司法案件中,数据纠纷多被归入“不正当竞争纠纷”等传统案由,且未被整体纳入集中管辖范围,法院主要采用《反不正当竞争法》一般条款、“互联网专条”和2025年修订新增的“数据专条”调整相关争议。然而,数据权益的反不正当竞争法保护模式具有被动性、附属性,其虽能明确获取、使用他人数据行为的违法性,却始终无法正面回应该行为侵害了何种权利这一核心问题。其不仅要求受害人举证证明相关行为扰乱市场竞争秩序,徒增举证负担;更无法解决数据持有人的合意流通权限、数据交易当事人对第三人的对抗效力、数据协同处理者之间的权属分配等疑难问题。因此,寄居于《反不正当竞争法》保护数据权益终究只能是一种权宜之计,司法实践亟需探索更具确定性、前瞻性、体系性的独立保护模式。
在《民事案件案由规定》修订过程中,最高人民法院曾围绕数据纠纷案由的设置设想了三种方案:第一,将第一级案由“物权纠纷”调整为“物权、数据与网络虚拟财产权属纠纷”,并将数据合同、数据侵权纠纷分别置于“合同、准合同纠纷”和“侵权责任纠纷”项下;第二,将第一级案由“知识产权与竞争纠纷”修改为“知识产权、数据、竞争纠纷”,将数据权属、合同、侵权纠纷案由集中纳入此类别下;第三,新增第一级案由“数据、网络虚拟财产纠纷”,并在其项下增设第二级案由“数据纠纷”,再细分第三级案由数据权属、合同、侵权纠纷。最终,最高人民法院选择第三种方案,相关研究室给出的理由是:一是贯彻党中央重大决策部署,强化数据权益司法保护力度;二是与互联网法院案件管辖新规衔接,实现数据纠纷集中审理并统一法律适用;三是数据权益的性质有待立法进一步明确,因此不宜将数据纠纷与物权纠纷或知识产权纠纷等并列。显然,此次修订旨在引导法院跳出《反不正当竞争法》的附属性保护框架,推动数据纠纷从行为规制的迂回救济转向新型权利的独立保护,既便于法院在审判中集中回应数据纠纷的核心争点,也为后续数据产权、流通交易、收益分配、安全治理等数据基础制度的完善积累司法实践经验。
所谓数据纠纷,是指“以数据为权利客体或者合同标的的权属、侵权、合同纠纷,包括因数据的确权、授权、收集、持有、交易、加工、使用、销毁等争议引发的纠纷”。具体包括:
第一,数据权属纠纷。主要解决当事人请求法院确认特定数据之上的持有权、使用权、经营权等权利的归属、状态、边界等产生的争议,属于典型的确认之诉,旨在落实数据产权制度。其适用范围包括:一是企业数据权属纠纷。例如,数据来源者的数据获取权、复制转移权与数据处理者的数据持有权、使用权、经营权的权利边界;多主体协作生产数据的数据处理者之间的权属分配;两个或两个以上数据处理者对实质性投入加工形成的衍生数据的权利归属争议。二是公共数据权属纠纷。例如,公共数据授权运营主体与运营机构之间关于数据持有权、使用权、经营权的归属争议。三是个人数据权属纠纷。例如,个人与个人数据处理者之间关于数据权利归属的分歧。
第二,数据合同纠纷。主要解决当事人围绕数据合同的订立、履行、变更、解除、违约责任等产生的争议,以当事人在数据交易中订立数据合同为前提,旨在规范数据流通交易秩序。《民法典》并未将数据合同确立为有名合同,其应依据《民法典》第467条第1款适用合同编通则的规定,并可以参照适用合同编或其他法律最相类似合同的规定。关于数据合同应参照何种有名合同,理论上存在“买卖合同说”“服务合同说”“许可合同说”等观点。上述三种学说分别从数据财产权转让、数据技术服务、数据使用许可的角度理解和认识数据合同,在一定程度上存在将纷繁复杂的数据交易实践简化为单一的交易样态之弊端。对此,2025年7月2日,国家数据局、市场监管总局针对数据流通中最典型的四类场景,联合印发《数据提供合同(示范文本)》《数据委托处理服务合同(示范文本)》《数据融合开发合同(示范文本)》《数据中介服务合同(示范文本)》。与之对应,数据合同纠纷应当包括数据提供合同、数据委托处理服务合同、数据融合开发合同、数据中介服务合同的订立、履行、变更、解除、违约责任等争议。
第三,侵害数据权益纠纷。主要解决行为人因过错侵害他人数据权益造成损害而产生的争议,核心是受害人请求行为人承担损害赔偿等侵权责任,旨在强化数据权益的侵权救济。其适用范围主要包括:一是非法持有数据侵害纠纷。例如,未经授权非法爬取、盗取他人数据;擅自截留、转移数据处理者委托存储的数据。二是非法使用数据侵害纠纷。例如,超出授权范围使用数据;未经许可使用他人加工形成的衍生数据或数据产品。三是非法经营数据侵害纠纷。例如,未经权利人许可擅自将数据转让、授权给第三人使用。四是违反数据安全保障义务侵害纠纷。例如,未经授权访问他人数据系统造成数据泄露;因管理疏漏导致他人数据篡改、丢失,破坏数据的机密性、完整性、可用性等。至于“侵害数据权益纠纷”与“不正当获取、使用数据纠纷”的关系,最高人民法院研究室指出:“对于以非法爬取、盗取、破坏完整性等方式侵害数据权益而产生的纠纷,适用第三级案由‘侵害数据权益纠纷’;对于涉及不正当获取、使用数据破坏相关市场竞争秩序而产生的纠纷,适用第四级案由‘不正当获取、使用数据纠纷’。”
此外,准确理解数据纠纷案由,还应重点把握下列三个问题:一是案由的适用边界。数据纠纷案由仅调整因数据这一新型财产权客体所引发的争议。如果当事人的核心诉求指向数据所承载的信息内容,例如侵害个人信息权益、商业秘密等,则仍应适用个人信息保护纠纷、商业秘密合同纠纷、侵害商业秘密纠纷等相关案由。二是与行政监管的衔接。数据纠纷案由属于民事案件案由范畴,其仅调整平等主体之间的数据权属、合同和侵权纠纷。对于“因行政机关作出网络数据监管、网络个人信息保护监管、网络不正当竞争监管、网络交易管理、网络信息服务管理等行政行为产生的行政纠纷”,则应适用行政纠纷相关案由。三是裁判规则的探索空间。鉴于数据纠纷的复杂性和相关法律规则的供给不足,司法实践中应当结合数据类型、权利属性等细化裁判标准,通过典型案例的积累和提炼,逐步形成可复制、可推广的裁判规则,推动数据权益司法保护体系的持续完善。
三、
数据爬取的范围限缩与形态更新
通过网络爬虫获取数据是大数据业态的常见情形。围绕数据爬何时构成侵害数据持有人权益的问题,近年来也不仅形成了诸多诉讼,也引发了广泛讨论。2025年备受瞩目的“腾讯诉网智案”与“淘宝诉小旺神案”即围绕此问题展开,前者肯定了即便爬取的是robots协议允许爬取的公开数据也可能构成侵权,后者对利用“寄生软件”爬取并推到数据的侵权情形进行了分析,均具有重要意义。
(一)“腾讯诉网智案”观察
2025年福建省高级人民法院二审审结的“腾讯诉网智案”对网络舆情数据分析的商业实践有指引性意义。该案中,腾讯公司发现,网智公司通过其运营的“战鹰”相关产品,将爬取的腾讯新闻数据进行商用,遂成讼。网智公司抗辩主张,腾讯公司公示的爬虫协议允许通过爬虫爬取新闻数据,舆情分析属于合理使用范围,爬取并分析数据是舆情分析行业的生存基础。福建省福州市中级人民法院一审法院认为,原被告双方存在竞争关系,网智公司“未经许可、未支付对价,大规模抓取涉案新闻数据并进行商业化使用,分流腾讯公司一方的用户流量,掠夺其交易机会,主观存在恶意,客观违背公平竞争原则和商业道德,构成不正当竞争”,判令网智公司停止侵权,赔偿腾讯公司经济损失200万元及维权合理开支28.265万元。一审判决后,双方均提出上诉。福建省高级人民法院二审判决驳回双方上诉请求,维持原判。
该案再次表明,通过竞争法路径保护可实现对数据集合的保护。数据集合的价值并非单个数据价值的简单相加。该案中,二审法院即指出,“腾讯公司对数据集合的形成和积累实质性投入了人力、物力、财力,通过经营吸引大量用户流量,使得该数据集合具有规模体量大、商业价值高的特性,额外产生独立于单一新闻的经济价值。”虽然,该案对舆情数据集合的保护有重要意义,但该案被称为“中国舆情大数据第一案”不妥。涉及爬取网络新闻进行舆情分析的案件早已有之。
值得关注的是,虽然腾讯新闻的爬虫协议允许爬取,但这并不代表数据爬取必然合法。一审法院指出,“腾讯公司一方允许数据抓取系为了保障公众获取信息,不意味着允许营利性商用。”这至少涉及两个重要理论问题。一是重新认识爬虫协议的法律属性。长期以来,对于爬虫协议的法律属性,学术界存在权利声明或单方意思表示说、行业惯例说、合同条款说等多种理论。该案一审法院指出,“数据流通应遵循‘授权+限制’原则”,似乎与以往司法实践所采取行业惯例说不同,转而将爬虫协议认定为关于授权的单方意思表示。二是区分数据的“可爬性”与数据利用的合法性。《网络数据安全管理条例》第18条指出,“网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。”从该条款出发,有学者进一步指出,应通过“数据的公开性、爬取技术的正当性、数据用途的差异性”三阶层判断数据爬取行为合法性。该案中,虽然数据爬取的对象为公开数据,也未破坏数据来源者的网络服务,但诚如二审法院所出,该行为“本质是通过窃取他人劳动成果,为自己谋取不正当的竞争优势……对腾讯公司的竞争性利益造成实质性替代”,因此具有违法性。
遗憾的是,该案中法院并未充分回应网智公司关于必需数据的抗辩理由。网智公司辩称,“爬取、存储和分析全网新闻数据是舆情分析行业的生存基础”,禁止该类爬取“将完全颠覆舆情分析行业,导致该行业不复存在”。舆情大数据分析是数字时代的新型商业模式。面对商业模式创新,不能简单地认为“法律对旧商业模式的规制态度是合理的,进而以此为参照系来平等对待新事物。”舆情大数据分析以网络数据为基础。从反垄断法的角度,如果没有合理理由,具有市场支配地位的服务商拒绝第三方使用相关数据,可能构成垄断行为。在著名的“hiQ诉领英案”中,美国法院即指出限制数据获取的措施具有违法性。对此,需要区分数据获取与利用两个层面进行分析。在数据获取层面,舆情大数据分析公司当然可以获取作为其业务存在基础的网络新闻数据。但在数据利用层面,舆情大数据分析公司不能通过获取被爬取方的数据,进而“实质性取代被爬取方的数据业务”。也就是说,若依赖单一数据来源,与被爬取方相关业务高度重合的舆情大数据分析,构成不正当竞争;但若在广泛获取多种网络新闻数据基础上,形成的独特的舆情大数据业务,则不构成侵权。
(二)“淘宝诉小旺神案”观察
2025年南京市中级人民法院审结的“淘宝诉小旺神案”对利用“寄生软件”的新型数据爬取侵权进行了分析。该案中,淘宝网络、天猫网络、淘宝软件三公司诉称,淘数公司等六被告共同经营的“小旺神”商品寄生于淘宝和天猫平台的“生意参谋”产品之中,侵害其商业秘密与数据权益。共同辩称,相关插件及网站服务不构成不正当竞争,且六被告相互独立,不存在人格混同。法院审理认为,“小旺神”利用技术手段获取平台数据,“破坏了数据安全与数据利用的平衡,直接损害了淘天平台利益及用户权益”“可导致‘生意参谋’数据产品被实质性替代,损害了相关方合法权益”。淘数公司、梅州天勤公司停止侵权,赔偿原告的经济损失3000万元及合理开支10万元,泰数公司、李某、林某承担连带责任。此外,由于没有证据显示广东天勤公司直接参与了“小旺神”运营,或收取了相关款项,其无须承担侵权责任。
数据爬取的案件往往折射了数据权属与保护的问题。该案的意义在于区分了商业秘密与竞争性权益,对数据权益进行二阶保护。涉及“生意参谋”数据被爬取的多个案件,均为影响中国数据法治的重要案件。最为典型的是,2018年“淘宝诉美景案”中,法院肯定了衍生数据的财产性权益受法律保护。就公开数据与采取特定保护措施的数据的区分保护问题,有学者曾提出,对于原始性的公开数据采取竞争性权益的保护方式,对于采取保护措施仅向特定人开放的衍生数据采取财产性权益的保护路径。该案中,法院亦采取了区分保护的思路。法院指出,一方面,对于非公开的数据而言,“数据存储于淘天平台后台服务器中,外界无法通过正常手段获取……三原告采取了合理的保密措施……对上述数据采取了技术管控措施”,相关数据构成原告的商业秘密;另一方面,对于公开数据集合及经营数据而言,“合法取得+投入了巨大的成本+稀缺性数据资源,为原告带来经营收益和竞争优势”,构成受保护的数据权益。基于该案的重要意义,有评论将该案称为“数据资源法治第一案”。对此,应本着务实的态度,深入研究该案揭示的理论命题,而非简单地追求“首案效应”。
该案尤为值得关注的是网络爬虫的形态更新。关于“小旺神”功能是不是通过网络爬虫实现的问题。被告答辩相关功能使用的是RPA(Robotic Process Automation,即机器人流程自动化技术),并未绕开平台的反爬措施及验证机制。但由于被告并未提供证据证明前述答辩内容,且在案件审理中,被告曾认可相关功能是通过数据爬虫爬取的,因此法院并未采纳该答辩意见。从RPA与网络爬虫的关系来看,RPA在于模拟人类操作,实现与应用界面的交互,其本身并非网络爬虫。有学者指出,以模仿人工验证等方式合理规避平台的技术措施,“有助于维护用户在公共领域的行动自由”。然而,值得注意的是,以RPA绕过技术措施,已经实际引起了纠纷。例如,2025年亚马逊公司即因Perplexity AI在亚马逊商城部署人工智能以代理用户进行活动而提起诉讼。回到该案本身,从“小旺神”的功能来看,其实质是借助RPA绕开技术措施以实现数据爬取。每日监控商品约260万次的事实也表明,“竞品监控”功能与人工操作存在本质区别,其在极短的时间内完成了海量数据爬取。该案表明,对于借助RPA实现的新型爬虫,也应纳入爬虫治理的法律框架。
四、
数字训练的版权法与竞争法回应
数据训练中对他人版权作品的合法使用与训练后模型结构和参数的保护路径是人工智能产业创新中亟需解答的现实问题。2025年“美杜莎案”与“变身漫画特效案”对这两个问题的探索,在全球范围内都是比较前沿的,更对我国大模型技术产业创新发展具有重要意义。
(一)“美杜莎案”观察
2025年上海市金山区人民法院审结了被称为“美杜莎案”的大模型著作权侵权案。该案中,《斗破苍穹》系列动漫中美杜莎角色形象的著作权人发现,某公司运营的人工智能图像生成平台中,用户李某所发布的两款美杜莎LoRA模型,能够生成与美杜莎形象相同或实质性相似的各种图片,遂成讼。被告某公司辩称,“美杜莎”一词非原告独创,不应作为有一定影响的商品名称予以保护,同时,平台已履行通知删除义务。被告李某陈述,已全面停止侵权。法院审理认为,“美杜莎”不构成“有一定影响的商品名称”;李某侵害了原告对“美杜莎”作品享有的复制权和信息网络传播权,但因案涉人工智能生成图片并非作品,故李某不构成改编权侵权;某公司属于网络服务提供者,主观上并无过错,且客观上尽到了“采取必要措施”“转通知”义务,不构成侵权;判决李某停止侵权并赔偿原告经济损失3万元及维权合理开支2万元。
首先,该案表明用户是大模型生成内容侵权的直接主体。法院指出,用户“再现在先作品的独创性表达、将‘美杜莎’图集和短视频等素材通过网络提供给公众”,侵害了著作权人的复制权和信息网络传播权。一方面,“大模型既未主动输出、也未存储生成物”。大模型的输出结果受用户提示词的强烈影响,且仅提供给特定用户。另一方面,在用户利用平台构建相关模型应用时,平台与用户的关系与传统的网络服务提供者与信息内容提供者的关系并无二致。在2024年的“杭州奥特曼案”中,杭州互联网法院即指出大模型服务提供者并非网络传播内容的提供者,不构成直接侵权。“美杜莎案”中,法院更是明确提出,“未直接参与LoRA模型的素材截取、训练、发布和使用”的大模型平台应属于网络服务提供者。
其次,该案涉及数据训练能否合理使用他人版权作品的问题。虽然LoRA模型是用户发布,他人版权作品也是用户上传至平台,但目的仍是数据训练。为何该案中,无法适用合理使用、非作品性使用等方案?理论界常常将人工智能数据训练与人的学习过程相类比,认为对于他人版权数据的使用属于“合理学习”的范畴,主张“豁免训练端、管住生成端”。2025年美国加州北部联邦地区法院在“Anthropic案”中也将大模型数据训练过程类比为“人类学习”,并承认其为“典型性转换性使用”。然而,数据训练的合理使用存在一定限制。同年,美国第三巡回法院在“汤普森路透诉罗斯智能案”中表示,应结合市场影响、使用目的、实质性使用数量、作品性质四个要素判断数据训练是否属于合理使用。我国也有学者指出,“大模型训练数据合理使用的对象应限于公开数据,目的应限于预训练”。我国未来司法实践中,对数据训练的合法性分析,可参考域外经验与相关理论发展,以进一步明确数据训练合理使用的场景与限制。
再次,该案肯定了大模型服务提供者适用“通知—删除”的避风港规则。对于大模型服务提供者能否适用避风港规则的问题,理论界存在三种主要观点。第一种观点认为,大模型存在偏差与错误在所难免,应适用避风港规则。第二种观点认为,人工智能应用表现出作为属性,不适用对应不作为型侵权的避风港规则,适用避风港规则将显著降低服务提供者注意义务履行的标准。第三种观点认为,生成式人工智能侵权与传统网络侵权在主体、价值、情境等本质特征上具有高度相似性,应类推适用避风港规则,同时也应特别强调服务提供者的注意义务。该案中,法院的判决思路与第三种观点类似,不是简单地通过“通知—删除”豁免责任,而是结合平台的告知义务、投诉举报机制和发布审核机制等义务的履行情况,综合判断而得出平台不构成侵权的结论。
最后,该案还在一定程度上回应了人工智能生成物的著作权归属问题。法院指出,“在没有证据能够体现自然人有实质性智力投入的前提下,对于由生成式人工智能直接生成的图片,并非著作权法意义上的美术作品。”该案在“春风案”(即“全国首例AI文生图著作权侵权案”)后进一步表明,我国司法对用户利用人工智能生成作品的著作权的承认是有限制的。值得注意的是,2025年美国哥伦比亚特区上诉法院通过“塞勒诉美国版权局案”再次强调,缺乏人类的参与的人工智能生成作品不能获得版权。在理论上,用户能否对人工智能生成物享有著作权,并不能简单地转换成有无用户参与、用户参与程度是否足够高的判断。若无法超越“思想/表达”二分法,提示词相对于生成内容而言是永远只能是思想。对此,可以引入用户对人工智能技术与最终输出作品的控制力进行判断。作者应通过合理控制保障对技术的掌控,以确保其独创性的创作构思、创作行为与创作结果。
(二)“变身漫画特效案”观察
2025年北京知识产权法院二审审结了被称为“变身漫画特效案”的不正当竞争纠纷案,该案随后入选为最高人民法院发布的“2025年人民法院反不正当竞争典型案例”之八。该案中,抖某公司发现亿某公司所上线的“少女漫画”特效与抖某公司的“变身漫画”特效成像在视觉效果上高度一致,遂成讼。亿某公司辩称该特效系独立研发。北京市朝阳区人民法院一审认为,亿某公司的行为属于不正当竞争行为,判决亿某公司赔偿抖某公司经济损失150万元及合理开支10万元。亿某科公司不服,提起上诉,主张抖某公司使用非法获取的数据进行训练获得的竞争性权益不受保护,且亿某公司不存在接触模型的可能性。北京知识产权法院二审认为,“变身漫画”特效的模型(结构及参数)应当构成抖某公司受到反不正当竞争法保护的竞争利益,亿某公司未能证明抖某公司案涉模型结构和参数的违法性;亿某公司直接使用抖某公司涉案模型的结构和参数具有高度盖然性;亿某公司的行为违反了公认的商业道德,对抖某公司的竞争利益造成实质性损害;故判决驳回上诉,维持原判。
该案的重要意义在于,明确承认了人工智能模型的参数和结构属于反不正当竞争法所保护的竞争利益。二审法院在一审法院将变身漫画特效本身认定为抖某公司的竞争利益的基础上,进一步明确将变身漫画特效的模型结构和参数认定为受保护的竞争利益。二审判决指出,抖某公司在模型风格设定阶段、训练数据的形成阶段、模型研发阶段、模型效果确认阶段均“投入大量经营资源,变身漫画特效的成像效果也经历了不断优化的过程……变身漫画特效的模型(结构及参数)应当构成抖某公司受到反不正当竞争法保护的竞争利益。”可见,虽然模型参数与结构尚难以依知识产权法获得保护,但可通过反不正当竞争法实现保护,该案“具有创新和示范意义”。“2025年人民法院反不正当竞争典型案例”在对该案典型意义进行介绍时即指出,“本案对规范人工智能行业发展、维护新兴领域市场竞争秩序具有积极意义。”
此外,该案还回应了数据训练侵权的一个关键问题:如何认定一个大模型复制了另一个大模型的结构与参数,原告应承担何种举证责任?若让原告承担证明被告复制、使用其模型结构与参数,则原告可能因难以获得被告数据训练的相关信息而难以证明。若简单地采取举证责任倒置,或仅凭“输出相似”倒推,进而让被告提供模型结构与参数或以其他方式“自证清白”,则不仅被告模型结构与参数的保密性难以受到保护,而且有对被告施加过重的举证责任的嫌疑。该案中,法院仍坚持“谁主张,谁举证”原则,结合接触可能性、模型结构和参数比对、自主研发证据三个方面,综合判定亿某科公司直接使用抖某公司涉案模型的结构和参数具有高度盖然性。
最后,该案揭示了人工智能模型数据训练中公认的商业道德。二审法院指出,“从事人工智能模型研发经营的企业不得未经许可直接使用他人通过数据训练改进而来的模型结构和参数,此为人工智能模型领域公认的商业道德。”反不正当竞争法中商业道德判断存在商业伦理标准、商业规范标准、反不正当竞争法的功能标准等多种判断标准。其中,关注市场竞争不受扭曲的功能标准被认为是根本标准。也就是说,《反不正当竞争法》第2条中的商业道德应放在消费者利益、具体经营者利益和公平竞争秩序中来理解。该案中,若允许随意使用他人的模型结构和参数,则将直接影响“准入机制、供求机制、价格机制、信息机制、信用机制和创新机制”等竞争的市场运行机制,使得创新者难以收回投资,导致市场激励机制失灵,最终损害消费者的合法权益。也正是在这个意义,法院对商业道德进行了认定。
五、
结语
恰逢“十四五”规划圆满收官、“十五五”规划谋篇布局的关键节点,2025年我国数据治理全面迈入“规划引领、系统推进”的新阶段。在数据基础制度深度拓展、数据权益司法保护顶层设计、数据爬取范围限缩与形态更新、数据训练的版权法与竞争法回应等领域,数字法治建设以体系化推进、精准化回应的全新面貌,为数据治理实践筑牢法治根基。2025年10月23日,《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》明确指出:“深入推进数字中国建设。健全数据要素基础制度,建设开放共享安全的全国一体化数据市场,深化数据资源开发利用。”这一战略部署为我国下一阶段的数据治理工作提供了行动指南。展望2026年,国家数据局在全国数据工作会议中已明确将该年定调为“数据要素价值释放年”,数据治理进入提质增效的关键期。未来需持续完善数据产权、流通交易、收益分配、安全治理等数据基础制度,在筑牢数据安全底线的基础上,充分激活数据要素价值释放,为数字经济高质量发展保驾护航,为深入推进数字中国建设提供法治保障。
来源:《数字法学评论》第七辑(2026年第2期)
策划:高童非
编辑:叶道兵
