孔祥俊：反不正当竞争法框架内的数据权利构建——“数据保护专条”的具体设计方案

文摘社会 2024-12-18 11:02 北京

作者：孔祥俊（上海交通大学讲席教授，法学博士；上海交通大学知识产权与竞争法研究院院长）

出处：《比较法研究》2025年第1期

一、本文拟研究的两个核心问题

二、反不正当竞争法的“双补”功能与数据权利化的制度空间

三、受保护数据的构成要素

四、数据侵害行为的类型化

五、“数据保护专条”的构建

六、结语

摘要：我国数据保护实践与数字经济发展的契合性及其凝聚的诸多共识足以表明，在反不正当竞争法框架内构建数据权利是一种比较理性和理想的选择，在当前的法律修订中设立“数据保护专条”是明智之举。反不正当竞争法的“双补”权利保护功能及其有限权利保护的定位，为数据权利化提供了恰当而灵活的制度空间。数据权利化应当以协调数据持有与共享的基本价值冲突为指向，确定受保护数据的构成要件、数据侵害行为的类型以及不构成数据侵害的除外。基于数据集合的固有特性和总结实践经验，数据的可保护性应当以合法性、规模性、价值性、可公开性和管理性为要件，并通过限定数据侵害行为的类型而界定保护范围，设定一种有限范围和弱强度的数据控制权利。出于数据共享的需要，可以通过定量标准和类似三步检验法的合理使用，规定数据侵害的例外情形。数据保护既可以采取商业秘密与公开数据的二分法，又可以采取以数据一体保护而给权利人保留构成商业秘密时的选择权，但以后者为宜。

关键词：数据集合；数据权利；反不正当竞争法；数据权利的构成要件；数据侵害行为的类型化；数据侵害行为的除外

　　近年来，数据产权的理论研究持续升温，其中不乏由概念而推论概念、由理论而演绎理论以及由国外而类推国内的纯理论研究倾向。如经常引经据典地以霍菲尔德权利束等经典理论为依托，即是著例。旁征博引的深度理论探究当然重要，但数据赋权毕竟是一个高度实践性话题，既有其国际范围内的可比较性，更有国情实际和本土特色；更需要功利性的实践逻辑，通过实践理性提升解决实际问题的有效性。也即，法理与功利和政策都是塑造数据产权的基本依据，而后者经常更为直接和有效。我国数据保护、数据交易和数据登记已有序地全面展开，数据司法保护渐入深水区，数据行政保护亦跃跃欲试，“数据保护专条”的立法已初露端倪，但扎根于我国实践热土的应对性探讨似乎还比较薄弱，还多停留在实务部门的实践总结，没有引起学界的深度关注。鉴此，本文拟另辟蹊径，主要基于国内外尤其是国内的数据保护实践，就反不正当竞争法框架内的数据权利构建加以探讨。

本文拟研究的两个核心问题

　　大数据时代的数据权益保护是知识产权司法的热点领域，审理数据案件较为集中的多家法院频繁发布数据保护报告和典型案例，表明数据权益司法保护已成一定规模，并进入总结、引导和提升的发展阶段。数据保护的司法实践进行了大量的实质性探索并形成了诸多共识。“企业数据权益的司法保障机制已趋成熟”，将其纳入反不正当竞争法保护已成为司法共识。但是据观察，当前的数据裁判在很大程度上仍经常停留在表层的直觉层面，仍然较多地依据朴素的劳动价值、公平正义、诚实信用等正当性观念和思维惯性，如基于禁止不劳而获和“搭便车”之类的朴素认识，进行习惯性保护，对其深层次的法理仍缺乏深入的发掘和统一。当前数据权益保护的不正当竞争案件，裁判模式不统一，考量因素太复杂，裁判标准不确定，或者分析范式流于形式主义，与日趋重要的数据保护需求不完全适应，亟需进行权利化改造升级，包括固化数据权益保护要件、简化保护模式和统一保护标准，增强保护的确定性和透明度。突出表现为：（1）法律依据缺乏针对性和统一性。当前数据保护裁判依据的主要是《中华人民共和国反不正当竞争法》（以下简称“《反不正当竞争法》”）第2条或者第12条，二者均只是一种抽象指引的兜底性概括条款，缺乏具体的针对性规范内涵，数据权益保护的具体标准全靠司法自由裁量。（2）对行为法范式的片面强调不利于数据产权化的积极塑造。目前的思维定式是过于强调反不正当竞争法的行为法定位，所涉竞争行为正当性的判断基于多方面的利益衡量，因而在个案中保护数据权益因利益衡量的复杂性，甚至玄而又玄，而导致裁判的不确定、不统一和不稳定。其结果，“反不正当竞争法为行为法而非权利法，难以对有关数据权利予以界定，无法有效满足数字经济背景下对数据产权的制度需求，在一定程度上不利于数据价值的释放”；“无法有效明确数据的保护范围，且属于事后救济类措施，涉数据行为边界界定模糊，事前防范作用有限”。（3）数据保护要件有待进一步厘清，需要进一步发掘和进行去伪存真的甄别，使其更符合权利化保护的趋向和取向，使数据保护的法律路径更清晰。（4）数据权益保护范围需要进一步界定。大数据背景下的数据保护情形多样，数据本身的构成要素较为复杂，在保护范围的确定上仍需要探索和澄清。（5）数据侵害行为的构成要素及其行为类型化问题突出。模糊性的判断标准和不确定的裁判因素，必然使侵权判定和不构成侵权的情形很不确定。

　　值得关注的是，数据保护又常常以事实上的产权界定为前提，司法裁判已从多个角度触及数据产权的界定，只是与当前学术界关于数据赋权的理论研究方向和重点有所不同。与司法实践和保护需求相呼应，“数据保护专条”已进入正在进行的《反不正当竞争法》修订新议程。总结数据保护的实践经验并进行适时的理论和立法升华，已具有显而易见的必要性和紧迫性。本文拟在对数据保护司法裁判进行实证分析的基础上，结合数据保护实际，首先探讨如何在反不正当竞争法框架之内构建数据权利，然后尝试对“数据保护专条”进行具体设计。

　　（一）在反不正当竞争法框架之内构建一种数据权利

　　尽管法学界对于大数据意义上的原始数据集合和数据产品（本文统称为数据集合或者数据）能否构成权利以及构成何种权利众说纷纭，国家政策的顶层设计也只是给出了数据产权结构的初步说法，但理想化的系统产权体系构建仍条件不成熟以及可能不符合实际。对于数据属于财产或者财产性权益已基本形成共识，且无论理论上如何众说纷纭，现实中的数据权益保护必然在既有法律框架下选择最为适合的保护路径。自大数据背景下的数据保护产生以来，司法实践已主要将其纳入反不正当竞争法的保护轨道，且由自发自觉的涓涓细流已渐成势所必然的主流。这种做法有其法理上的高度契合性、实践上的便利性和保护上的实效性等逻辑性法理和功利性政策缘由，事实胜于雄辩地展现了“桃李不言，下自成蹊”，简单地否认其实践归入的妥当性并不符合实践逻辑。基于当前的数据保护实际，当务之急不是另起炉灶地构建单独的数据权利体系，而是在现有数据反不正当竞争保护实践的基础上，适应数据保护权利化的新要求，在《反不正当竞争法》框架之内积极进行权利化制度的科学构建和优化，形成更为符合数据保护实际和满足现实保护需求的数据权利制度。

　　（二）探讨《反不正当竞争法》“数据保护专条”的权利化设计

　　当前我国正在进行第三次反不正当竞争法修订，作为此次法律修订的时代特色，至关重要的是将数据保护纳入其中。2022年11月22日国家市场监督管理总局公布的《中华人民共和国反不正当竞争法（修订草案征求意见稿）》（以下简称“《反不正当竞争法修订草案征求意见稿》”）第18条规定了“商业数据保护专条”。数据保护条款如何进行内容设计，需要在理论上进一步澄清和对实践经验进行进一步提炼升华。本文拟通过理论分析和实践检视，尝试对其进行具体设计。

　　综上，基于大数据背景下数据的极端重要性、运用场景的普遍性及其保护的高度重要性，非稳定的个案裁量式的反不正当竞争保护逐渐不适应数据权益保护的现实需求，需要先在反不正当竞争法的框架之内，进一步塑造客体要件统一、保护范围明确、侵害行为类型化并兼顾数据保护与数据共享互通的数据产权制度。本文拟在反思当前数据保护实践的基础上，探讨在《反不正当竞争法》内构建数据权利的可行性、受保护数据的构成要件、侵害行为的类型化、“数据保护专条”的构造等问题。

反不正当竞争法的“双补”功能与数据权利化的制度空间

　　《中华人民共和国民法典》（以下简称“《民法典》”）第127条对数据保护的规定是留白的和中立的规定，或许有指引和导向保护的意图与精神，但并未对数据是否构成权利及归入哪种权利进行表态，原因是条件不成熟。《民法典》为未来探索数据保护的权利归类留下了选择空间。虽然有些学者有所质疑，但司法实践毕竟有其逻辑，将其归入知识产权且主要纳入反不正当竞争的保护领域。探讨数据在反不正当竞争法框架内的权利化，恰恰具有较好的现实基础。当然，数据能否进行权利化，首先取决于数据成为权利的正当性、重要性和必要性；其次取决于是否具有可以归纳出一体适用的权利化特征的数据客体。将数据作为反不正当竞争法框架内的一种权利进行保护，还取决于数据保护与反不正当竞争法的内在联系。

　　（一）数据保护的演化逻辑与数据权利化的法律归位

　　18世纪以来知识产权助推确立了西方国家的工业化图景。1990年代西方国家即开始热议数字革命、信息时代和数字经济的到来，以结构化的数据库为代表的数据保护成为热点。欧美数据信息先行国家以及世界知识产权组织仍在知识产权框架内讨论数据保护问题。随着大数据的进一步发展，非结构化的数据集合的保护已局部地与版权、商业秘密等知识产权继续结合，并通过反不正当竞争法进行更为全面和正面的保护，目前仍未脱离知识产权轨道。因此，以知识产权的逻辑讨论反不正当竞争法框架内的数据权利化，积极塑造数字化图景，有其必然的历史逻辑和现实基础，能够达成守成创新、继往开来的使命。

　　具体而言，20世纪后期信息技术革命使得大量的数据能够以数字格式创建、处理和利用，信息爆炸和影响深远的科技发展所造就的信息传播和利用的革命性进步，使得第一世界的经济开始由以工业为基础向以信息为基础转变。信息技术的发展使得数据保护高度重要，但版权法在保护上已力不从心，围绕数据库的保护成为数据保护的焦点。当时的基本矛盾冲突是如何平衡协调数据信息的获取控制与自由流动之间的关系，以及选择何种法律模式进行应对，欧美学界和立法等实务界对此进行了热烈讨论和立法尝试，但最终选择了不同的法律路径。欧盟为激励在数据库上的投资而选择了强保护路径，即通过数据库指令（2001年）对于数据库进行单独的赋权性保护，但实质上赋予一种版权法以外的类版权保护，禁止擅自使用数据的实质性部分，赋予数据库所有者对数据库内数据的专有权。德国等欧盟成员国通过适用欧盟指令及商业秘密和反不正当竞争法，对数据和有价值的信息给予类财产权（property-like rights）的保护。自1990年代开始，美国国会定期考虑是否将数据库的单独知识产权保护进行立法，并提出和讨论了多个立法建议，但终究因未达成政治共识而均未获通过。这些众多的立法建议仍基于美国反不正当竞争法的侵占原则，特别是围绕INS案判决所提出的搭便车困境（the same free-rider dilemma）的命题，即数据收集成本高而复制成本低。过程中有观点主张，如不赋予某种形式的法律专有，有价值的数据不能正常商业化，则会导致经济和社会的损害。但是有些法律学者和利益集团则主张数据能够用于基础研究所带来的好处，可以抵消这些担心。美国议会最终放弃了数据库保护的单独赋权立法。另外，Feist案中美国最高法院判决特别强调了作品的独创性要求，对于数据库只能保护其独创性的选择和安排，不保护内含的数据，严重限制了数据库的保护范围和保护力度。总体上看，美国对于数据权益采取的是弱保护态度。数据库保护还被提议到国际舞台。1996年世界知识产权组织主办的一次外交会议讨论了以欧盟指令和美国立法建议为基础制定的数据库保护“条约草案”，此后世界知识产权组织一直听取建议，但因美国国内立法无果而终，且有些发展中国家和国际组织表示反对，条约亦未能缔结。后来的世界版权公约（WCT）第5条规定了“数据汇编（数据库）”，保护数据或者其他材料的选择或者编排。该规定又为TRIPS协定第10条所移植。

　　随着算法和算力等数字技术的急剧提升，以结构化为特性的数据库保护进化为非结构性数据集合的大数据保护。大数据时代的数据保护既是数据库数据保护的延续，又使数据保护面临更新的挑战，但保护的基本矛盾仍然是数据持有与数据自由开放之间的冲突，只是处理冲突的方式可能会应时而变。如欧盟数据保护立法经历了从“产权化”到“去产权化”的转型，欧盟数据库指令的赋权保护路径受阻，欧盟试图通过数据生产者权进行替代，但经过学界、产业界和立法者的长期辩论和论证，欧盟立法者最终创设数据访问权以代替数据生产者权，旨在实现“解锁”数据的目标而非创设财产权以“锁定”数据。欧盟数据保护走向了保护与开放并重，甚至开放重于保护的方向。2023年12月22日公布的欧盟《数据法案》旨在增强欧盟数据经济并促进竞争性数据市场，其方式是提高数据（特别是工业数据）的可访问性和可用性，鼓励数据驱动型创新、增加数据的可及性。美国则仍在数据保护立法上没有太大的突破，近年来美国偶有依照反不正当竞争法之下的侵占行为保护数据权益的裁判。日本、韩国则是通过修订反不正当竞争法引入数据保护专门条款。以上由数据库到大数据发展的国外立法和国际动态表明，数据保护始终在知识产权框架内进行考量。此种法律领域的归属显然是数据及其保护的本质属性所决定，国外对于其法律领域的归属鲜有争议。

　　近十余年来我国数字经济和数据保护大热，始于大数据时代的来临和大数据概念的提出。我国民法总则在制定过程中曾经将数据信息纳入知识产权的范围，但因争议较大而最终采取了留白性规定，至少未排除未来纳入知识产权的选项。我国司法实践早期就开始自发地将数据保护纳入知识产权审判领域的反不正当竞争保护之中。如2010年大众点评网诉爱帮网利用技术手段长期大量复制其用户点评数据的数据保护之争，被理所当然地纳入知识产权（含反不正当竞争法）的保护范围，这仍然是数据争议本身的属性使然。特别是，除数据与汇编作品和商业秘密保护有所涉及外，还特别契合反不正当竞争法的正面保护。经过多年的实践，最高人民法院司法文件明确将数据保护纳入知识产权和反不正当竞争的范围，明确要求在知识产权框架内完善数据产权保护规则。行政执法采取了同样的态度。在总结司法和行政执法经验的基础上在反不正当竞争法框架内进行数据权利的制度设计，符合数据保护的历史逻辑和自身性质。

　　（二）反不正当竞争法的“双补”功能定位与数据权利化

　　反不正当竞争法是知识产权或者工业产权的权利补充和补白的“双补”性保护法。首先，它具有补充保护知识产权的功能，如在著作权法、商标法等专门法确立的专有权之外，进行外围的补充保护，如对于作品标题、未注册商标等的补充保护。其次，它具有补白功能，即对于专门法未涉及的商业秘密等进行保护。,此类补充补白功能可以统称为补充保护功能。

　　反不正当竞争法是以竞争自由为根基。根据竞争自由原则，利用他人的市场成果通常不构成不正当竞争，相反却是文化和经济发展的基石。获取（复制）自由的格言体现了自由市场制度的原则。但是，有些合法的市场利益需要加以保护，知识产权专门法是一种保护路径，而反不正当竞争法则是另一种。反不正当竞争法是在专门法之外基于另外的因素保护市场成果，且通常基于先占原则。因此，自由和不受限制的竞争具有优位性，除非商业成果由专门法保护，或者基于另外的因素通过反不正当竞争法保护先占的商业成果，而后者构成对专门法的补充保护。在知识产权专有权之外对于无体财产权的补充保护，是反不正当竞争法的传统功能。正是在这种意义上，1900年《巴黎公约》修订将反不正当竞争纳入工业产权的保护体系，《巴黎公约》第1条第2款将“制止不正当竞争”纳入“工业产权”的保护对象之中。1967年《建立世界知识产权组织条约》第2条明确地将“反不正当竞争保护”（protection against unfair competition）列为知识产权的一种类型。《巴黎公约》纳入反不正当竞争条款的目的是补充和扩展现有工业产权的保护，“特别是在工业产权无法援引，或者现存知识产权未能对模仿给予保护的情况下”。

　　将反不正当竞争法纳入工业产权领域与其法国的起源有关。起源于法国的欧陆反不正当竞争法构成一种独立的并有其专门的民刑事救济的一般法（an independent body of general law），用于对专利和版权法受保护的商标、外观设计以及其他艺术或者工业产品进行附加保护。19世纪中叶经过学术探讨和法院裁判，法国形成欧陆反不正当竞争法得以牢固确立的两个基石，即工业产权的概念，不仅包括专门法确定的专利、商标、外观设计等工业产权，还包括保护商人与其客户之间的整体关系的更广泛的概念；以及法国革命时期新确立的经济自由和自由竞争应当仅限于通过自己劳动和努力所获得成果的自由，而不包括夺取竞争对手劳动成果的商业利益的自由。反不正当竞争法于专门法规定的工业产权之外再另外补充保护特定商业成果，使其能够融入工业产权之内。当今欧盟成员国普遍以反不正当竞争法填补知识产权法的空白。欧盟数据库指令第13条规定，指令不妨碍反不正当竞争法在该领域的适用，特别是可以禁止寄生性复制数据库，且反不正当竞争法的灵活性和量体裁衣性或许能够提供更为恰当的数据库保护。

　　美国反不正当竞争法主要属于州法律，州普通法的反不正当竞争法名下有一种侵占行为（misappropriation，又译为“盗用”），通常用以保护不属于专利、版权、商业秘密而违反信任关系或者其他不正当竞争范围的有价值的无体财产。如根据加州法律，主张侵占行为需要符合以下条件：（1）原告在开发其财产时投入大量的时间、技术或者金钱；（2）被告通过极少成本或者无成本而获取和使用原告的财产；（3）被告获取和使用原告的财产未经原告的授权或者同意；（4）原告能够确定其因为被告的行为而受到损害。美国最高法院在International News Service v. Associated Press案（即INS案）中援引侵占行为保护了无体财产，即承认热点新闻的有限财产权利，但选定了采取反不正当竞争法的路径，目的是避免使用财产观念肉眼可见的复杂化，特别是避免对财产所具有的过于广泛的排他权而将其适用于新闻的担忧。反不正当竞争路径具有灵活性，最高法院可以据此限定一种有限的财产权（a limited property right），使得权利人能够控制在仅仅狭窄的期限内（only for a very narrow period of time）的极为特定的资源使用（a very specific use of the resource）。INS案的这种赋权理念极为契合后来发生的数据权益保护。当然，对于有商业价值的数据并不将适用侵占原则（the misappropriation doctrine）作为一般性规则，而是在特定情况下司法承认有商业价值的数据的持有人有权控制的使用类型，基于经济的或者公共政策的考量承认此种财产权。如在Reed Construction Data Inc. v. McGraw-Hill Companies, Inc.案中，纽约联邦地区法院通过认定不正当获取数据库数据的不正当性，其结果是承认对无体财产的财产权。该案原告能够证实市场失灵的可能性，法院发布禁止被告以特定方式获取原告数据库中的数据信息，相当于允许原告作为被称为“Connect”建设产品信息（CPI）服务的提供者控制其数据库中敏感信息的使用。法院考虑到CPI服务在合同救济上的不足，以反不正当竞争方式给予更强的救济，能够达到足以激励在创设和维持CPI数据库的投资上的效率结果。在hiQ Labs, Inc. v. LinkedIn Corp.案中加州北区联邦法院重审判决认为，对于LinkedIn对其存储于服务器中的数据是否享有任何财产权（any property rights），区分数据所有权与LinkedIn是否具有任何财产权。财产权并不总是界定为所有潜在的资源使用均赋予单一的“守门人”（a single ‘gatekeeper’），其有权对其使用采取任何决定。财产制度经常是“排他”与“管制”策略的结合。随着数据价值的增长，以管制特定使用的形式的一些财产活动有望增加。hiQ Labs获取LinkedIn的数据信息是包括用户及时更新的时间敏感性信息，这种搭便车行为会减弱LinkedIn维护和改进其设施的激励。LinkedIn采取一系列措施阻止针对其平台的不希望的网络爬取行为，试图创造一种期望的数据排他性。虽然反不正当竞争针对的是特定商业上不正当的行为，对其数据的适当保护则在于实现其数据的某种程度的排斥性。其结果在于，这种成功的侵占救济是对有价值商业数据的财产权的承认。当然，该两个案件均未详细讨论分别承认财产权利的经济合理性。这主要是因为诉讼程序的限制。当然，侵占行为的严重不一致和模糊性影响了法律上的预见性和确定性，但美国的数据（库）产业依然繁荣兴旺。

　　财产权被认为包含获取和控制财产的一系列规则以及所有人（权利人）据以对抗其他人的权利束，包括占有权、排斥权和转让权，而排斥权被认为是称其为财产的最重要的支撑。从经济学意义上说，“产权包括一个人或其他人受益或受损的权利”；“产权是界定人们如何受益及如何受损，因而谁必须向谁提供补偿以使他修正人们所采取的行动”。为达成不同的损益目的，财产权利类型多样和强弱不同，不必都像物权之类的强支配和排他性。而且，尽管学者能够对权利与非权利的利益进行理想化的区分，但实践中两者区分的界限未必过于严格和清晰。正如我国立法者所说，权利与利益的界限划不清楚，且法律和司法均可以创设权利，权利与利益可以相互转化，因而我国侵权责任法曾经未采纳在侵权责任构成上将权利与利益区别对待的意见，未区分权利与利益，而将侵权客体合称民事权益。《民法典》第120条一仍其旧。我国民法典总则编第一章规定为“民事权利”，包括民事权利和利益，且除了列举各类主要的民事权利外，第126条概括规定“民事主体享有法律规定的其他民事权利和利益”。对此，立法者认为，这是因为民事权利和利益种类多样，立法难以穷尽，且随着社会和经济的发展，还会不断有新的民事权益纳入法律保护范围，因而作出了第126条的兜底性规定。这种认识和态度体现了务实的功利主义态度和实践智慧。反不正当竞争法是可以设定民事权利（主要是知识产权）的法律。例如，《民法典》第123条第2款第（三）项将“商标”规定为一类知识产权客体，此处并未限定为注册商标，因而反不正当竞争法第6条第（一）项规定的未注册商标也属于其范围。我国先是在反不正当竞争法中设有保护商业秘密的条款，《民法典》第123条第2款第（五）项又将商业秘密作为知识产权的一种类型，确立了其民事权利的地位，因而反不正当竞争法对于商业秘密的保护属于民事权利的保护。因此，这说明权利保护与反不正当竞争法并不冲突。特别是，《民法典》第123条第2款第（八）项对于知识产权的客体作出了“法律规定的其他客体”的概括性规定，旨在“为未来知识产权客体的发展留出空间”。无论是依据《民法典》第123条第2款第（八）项还是第126条规定，在反不正当竞争法中规定数据保护条款并由此创设数据权利，并无任何法律和法理上的障碍。

　　就无体财产的保护而言，“在不正当竞争案件中，财产理论和政策考量是法律规则的核心”。有学者将反不正当竞争法保护的无体财产归结为商业利用的权利（the right to commercial exploitation），如美国最高法院INS案保护的即是此种财产权。这种权利产生于诸如热点新闻收集之类的人的努力。这种人财物的努力和付出构成了一种可销售和可营利的商品。人的成果成为这种财产性观念的基础。他人获取这种成果就构成了侵犯财产权。当然，美国最高法院INS案判决所保护的财产权在性质上与其他财产权有所不同，即只有争议双方在同一领域营利时，这种财产才具有价值。这是此类财产又被称为“准财产”权利（‘quasi-property’right）的原因。因为保护热点新闻不受竞争者使用的“准财产”利益，而被视为反不正当竞争保护的一种形式。但是，准财产与财产的核心差别只是一种概念性的，即财产权是一种排除其他任何人的对世权利，准财产权只是排斥攫取首先生产权利的他人的劳动成果以自肥的那些人，因而是一种相对性的财产概念。准财产是否被侵害极为依赖争议双方之间的关系。数据权利之所以能够纳入反不正当竞争法框架，核心原因是反不正当竞争法具有较大灵活性并只是赋予相对较弱的权利。数据保护适宜定位于一种类似于美国法准财产权意义上的弱权利，即其仍属于财产权的范畴，只是不具有像物权那样的绝对的对世性和排他权，而只是具有与其集合数据的贡献相对应的以及不妨碍数据的正当共享的一定范围内的排他性权利。这种权利框架既能够给予应有的保护，又防止过度的数据独占和排他。

　　（三）数据权利化的必要性和正当性

　　大致以1850年为分界的前现代与后现代知识产权法，曾经发生过保护基础的变化，即前现代知识产权法更多关注投入到受保护客体中的精神的或者创造性的劳动，强调以劳动成果（fruits of his labors）等传统法理为正当性基础；现代知识产权法不再集中于体现在客体中的劳动，而是客体的权利本身，且其保护的基点是政治经济和实用主义（the resources of political economy and utilitarianism）。前现代知识产权保护时期，赋予知识产权的缘由是基于努力或者创造之类的劳动成果。此种观点源于罗马自然法的影响以及先占作为获取的主要形式的原则。后来洛克的劳动价值理论又进行了强化。前现代知识产权就是基于劳动成果而具有正当性。在知识产权保护正当性牢固确立和形成共识之后，政治经济学和功利主义又成为其基本的保护依据。我国数据司法保护恰恰经历了先以劳动成果论论证可保护性，后来又专注于数据客体的具体保护政策。早期的裁判更多通过论证数据投入等证成数据的可保护性，而近年来的裁判更多关注受保护数据的具体特性。数据的权利化同样更多是基于政治经济和功利性的考量。如我国当前数据保护实践表明，“数据权益主体复杂多元、数据权属规则有待明晰、数据竞争正当性边界难以界定等问题正在影响和制约着数字经济的发展”。数据的权利化则可以有效解决这些问题，而权利化到何种程度也即如何进行权利化，涉及与社会经济需求相适应等公共利益的政策性或者功利性考量。

　　就具体保护而言，前述当前数据反不正当竞争保护刻意强调行为法属性，通常是在个案多因素利益衡量的基础上，决定特定数据是否及如何保护。如“大众点评与百度案” 、“新浪微博诉脉脉案”、“抖音短视频案”等代表性裁判在决定涉案数据是否受保护时，均进行了复杂繁琐的利益衡量。更有甚者，基于多种因素的利益衡量式判断，要么增加了判断结果的不确定性，要么明知会给予保护，而形式上为了遵从和符合不正当竞争行为的范式而进行多因素考量，使得多因素考量不过是流于形式或者形式主义。权利保护则是基于受保护的构成要件及类型化的侵害行为，决定是否及如何保护。权利保护的优点是，受保护数据的构成要件及类型化的侵害行为边界清晰，易于对号入座，通常能够做到重复性的、可复制的和高度简化的“众案一面”侵权式判断，无需进行基于多种因素的复杂和不确定的个案利益衡量。非权利化的数据保护范式只能是权宜之计，已逐渐不适应数据保护实践的全面需求。数据权利化首先在于当今时代数据资源众所周知的极度重要性，非权利化不足以对其进行恰当的保护。数据在现有权利体系内尚未有明文规定，而其保护的底层逻辑与知识产权特别是反不正当竞争法的保护有天然的契合性，落入反不正当竞争法保护范围并进行权利化保护势所必然。以权利化的方式进行保护可以使数据保护的边界更清晰，在保护上具有更大的确定性和可预见性。

　　（四）反不正当竞争法框架内权利保护的可行性

　　数据权利化的可行性取决于受保护数据客体的同一性、其构成要件的可固化性以及侵害行为的可类型化。反不正当竞争法通过规定受保护数据的构成元素以及类型化侵害行为等，形成一种数据权利的保护框架。这种保护框架能够清晰地加以界定，可以进行稳定的和重复性的适用，特别是能够符合数据保护实际和满足保护需求。当前的数据保护实践已表明，通过反不正当竞争法保护数据能够满足数据保护的实际需求，将数据保护进行权利化设计并纳入反不正当竞争法框架，能够节约立法成本和优化立法效果，既能够实现数据权利化目的，又能够作出适合数据保护实际的制度设计。

　　总之，不能将反不正当竞争法简单片面地理解为行为法，其补充和补白保护的赋权功能使其将数据保护权利化存在制度的空间。数据权利化构建是在实践基础上的升华，既因有深厚的实践基础而具有现实可行性，又因为升华而可以进行更为理性和完善的权利制度构建，使数据权利成为寓于反不正当竞争法框架之内的一种特殊权利类型。特别是，可以通过有限的赋权，形成一种能够兼顾数据持有人权利与满足数据共享流通需求的弱权利。

受保护数据的构成要素

　　劳动、投资等付出属于数据保护是否正当的问题，对于是否保护数据还处于研究探索的时期，需要基于整体的经济社会的利益衡量，通过正当性论证确定是否给予保护；而在对于数据保护形成共识的情况下，保护的重点则在于识别受保护数据的必要特性，此即受保护数据的构成要件。两者在数据可保护性的法理层面上有一定的区别，即保护正当性解决的是是否给予法律保护的一般性判断，属于政治经济学和法学的共同决断问题；数据的保护要件则是在确定要保护的前提下，决定哪些数据具有可保护性，也即受保护数据的具体法律要素构成。大数据背景下数据的可保护性要素，应当是反映数据及其保护的固有特性、足以影响其单独的可保护性的必要条件。受保护数据的构成要件应当是最为反映其本质特性或者内在规定性的要素，这些要素反映了数据保护的核心基点，舍此即不宜保护。

　　基于数据保护的本质特性，其构成要素可以归纳为合法性、规模性、信息价值性、可公开和管理性。合法性是价值判断，其他因素是客观因素。

　　（一）合法性

　　任何权益的法律保护都以客体合法为前提，在这种意义上合法性是权利保护的普适性要件。但是，大数据背景下的数据具有复杂的信息来源和构成成分，尤其是涉及他人权利（如个人信息权利），具有合法性上的“敏感性”，因而在数据保护裁判中经常首先论述其合法性（如合法收集）。在这种意义上，强调受保护数据的合法性有特殊意蕴，在法理上也契合“不洁之手”的理念。例如，在淘宝诉美景案中，被告认为淘宝未经商户和消费者同意，以营利为目的，私自抓取、采集和出售商户和消费者享有财产权的相关信息，侵犯了商户的经营秘密和用户的财产权、个人隐私，具有违法性。此时，法院有必要对原告主张的权益是否合法进行审查。如果原告实质性地违反了个人信息保护或其他法律的相关规定，根据“不洁之手原则”，就不能因此享有受法律保护的竞争性权益。

　　（二）大数据意义上的集合数据：规模性

　　受反不正当竞争法保护的数据权利针对的是数据集合，包括原始数据集合和数据产品（数据衍生品）。数据的价值来源于数据的规模性，而不是创造性等其他特性。正是数据的“海量”给数据带来了独立和独特的价值。大数据意义上的数据保护的根本价值在于数据的“大”，即以集合形式表现的海量数据或者数据的海量，就是使其具有区别于其构成成分（如个人信息数据等）的独立价值所在，不同的人可以从中各取所需，提取不同的信息；数据本身的独创性或者提取数据是否付出了创造性劳动，不是保护的原因和基点；合法地将数据汇集到海量的程度，对于他人有利用价值，就可以给予保护；通过合理使用的正当行为设定，避免其享有不必要的权益。数据保护的基点是数据之“大”，“大”即是其独特价值之源。

　　数字经济时代的数据收集者一般不需要以某种体现独创性的方式对数据进行深加工，即可直接向用户提供数据，数据检索技术的进步使得很多信息的个性化整理、分类和编排变得不再重要。用户可以方便地在非结构化的数据集合中找到自己所需的具体信息，于用户而言重要的是数据本身，而非收集者本身的独创性贡献。如果将数据保护定位于对数据的选择和编排具有一定的独创性，显然已不符合大数据背景下的正面保护实际，也无法保护数据收集者的投资积极性。诸如以结构化的数据库为保护对象的汇编作品之类的专有权保护，已难以全面和正面地适应数据权益保护的实际，非结构化和非创造性的以量大为特性的数据集合保护需要另起炉灶，需要受到适合其数据特性的正面保护。因此，数据收集者希望数据权益保护的是其对数据收集和持有付出的巨大投入和巨大价值，这从近年来大多案件原告系从反不正当竞争法角度主张权益保护、而非主张汇编作品保护的司法实践中也可以得到印证。无论是数据集合中的原始数据还是衍生数据，均不以其独创性和结构性为保护要件。即便是因选择和编辑具有独创性而受汇编作品保护，也并不妨碍其内含的数据信息受数据保护，也即两者之间可以并行存在而各自保护不同的对象。

　　数据集合意义上的数据保护只就其集合产生的增量价值进行保护，也即集合数据的持有人充其量仅就其集合价值享有数据权利，且一般不影响作为集合构成元素的独立权利（如个人信息）的存在，但大数据背景下这种数据集合的价值因集合而急剧增加并具有特别的甚至划时代的意义。例如，原始数据的集合虽未对原始数据进行加工或者未进行深度加工，但仅就集合本身即发生价值上的质变和飞跃。前些年对于原始数据的独立价值持有怀疑，但近年来对此认识愈加清晰。这在裁判态度的变化上也有所反映。如“生意参谋”案一审判决在论证网络大数据产品具有可保护性时，特意与原始数据集合进行区分，认为原始网络数据只是对网络用户信息进行了数字化记录的转换，其内容仍未脱离原网络用户信息范围，并以此强调衍生数据因付出一定劳动等而应受保护。后来的裁判已逐渐明确数据集合本身所具有的超越其各个（单个）构成成分的独特价值，即集合带来的独特价值。如“腾讯新闻案”、“抖音短视频案”等均充分论证原始数据集合的独特价值。

　　（三）信息价值性

　　依照我国现行法律法规的规定，数据是任何以电子或者其他方式对信息的记录。据此，信息是数据的内容，是数据呈现的对象即客体，而数据则是信息的载体和呈现形式。法律仅保护记录并无实际意义，通过保护记录而保护其承载的信息，才是其保护的本意。信息是数据的价值所在，信息要看得见摸得着才可能得到有效保护，而记录则是其能够呈现和具有可保护性的外在形式。

　　从本质上讲，数据保护的是信息内容，也即信息所承载的内容和思想，因而数据保护属于一种事实材料性或者思想性的信息保护。首先，受保护的对象是数据蕴含的知识信息。知识信息是数据的内容，数据的价值来自其蕴含的或者可发掘的知识信息，且可以进行“‘取之不尽，用之不竭’的数据创新”。正是由于数据具有或者能够产生知识或者从中提取衍生产品，才具有独特的经济价值及其他社会价值，法律有对其加以保护的必要，并通过保护激励和奖赏在产生数据集合上的投资。其次，数据的价值具有内生性。数据的复制成本极低，可以反复发掘和提取，用完以后再用。数据资源参与生产过程可以不被消耗，对于某个数据产品一方使用不影响另一方使用。该特性使数据市场为数据产品提供了探索生产可能性边界的渠道，通过各种各样的需求方的数据应用，能够发现数据更多的价值，使数据效益得以最大化。同时，数据产品通过合规合法的市场机制和流通活动，被许可用于特定的用途。独特的价值使得数据能够成为独特的权利客体，也就决定了现有的权利无法正面地将其涵摄和容纳，而需要另起炉灶创设一种新型权利。

　　数据保护不同于汇编作品的保护。汇编作品是与数据集合最为接近的作品类型，但汇编作品不适合数据集合的正面保护，因为大部分数据集合尤其是原始数据都是未经整理的非格式化信息，无法纳入汇编作品，且著作权并不保护汇编数据的信息内容。数据保护的价值在于所包含的信息内容，也即可以通过控制载体而控制数据信息内容的加工利用。因此，数据保护的对象是以数据为呈现方式的信息，即针对信息进行内容性的保护，区别于载体之上的独创性表达，也使得在特殊情况下与汇编作品保护并行不悖。大数据背景之下，数据集合有些是通过积极主动的投资等形成，有些则是网络经营活动自然积累的结果。无论采取哪种路径，数据收集者一般不需要以独创性的方式对数据进行深加工即可直接向用户提供数据，数据检索技术的进步使得很多信息的个性化整理、分类和编排变得不再重要。用户可以方便地在非结构化的数据集合中找到自己所需的具体信息。用户看重的是数据本身，而非收集者的独创性贡献。仅保护选择和编排的独创性，严重不符合现有数据行业的实际，也无法保护数据收集者的投资积极性。在独创性的要求下，用汇编作品保护数据信息常常会陷入商业价值和可保护性的两难境地，即数据信息搜集越是全面，在内容选择和排列上就越缺乏独创性，越难受到著作权法的保护，而数据信息内容的全面性正是其独立商业价值之所在。因此，数据收集者希望数据权益保护的是其对数据收集或者持有的巨大投入，这从近年来大多案件原告系从反不正当竞争法角度主张权益保护、而非主张汇编作品保护的司法实践中也可以得到印证。

　　数据单独赋权是保护数据集合的独立市场价值所需要。集合数据受保护的根本原因是其具有独立的或者独特的市场价值，这是对其赋权和保护的核心事实基础。数据赋权本质上不是基于付出劳动的多少，关键是所收集的数据集合是否有一定的独立价值。首先，数据集合具有超越于其单个构成元素的独立价值。单个和多个数据因为集合成海量而具有规模性带来的独立价值，这是数据保护的指向所在。如“新浪微博诉脉脉案”二审判决认为，大数据拥有者可以通过拥有的数据获得更多的数据从而将其转化为价值，数据以突飞猛进的速度增长和累计，数据从简单的信息开始转变为一种经济资源。其次，独立价值性突出表现为数据收集者一般不需要以某种体现独创性的方式对数据进行深加工，就可以直接向用户提供有价值的数据，且数据检索技术的提升使用使得规模化信息的个性化整理、分类和编排不再重要，用户可以方便地在非结构化的数据集合中找到自己所需的具体信息。使用者看重的是规模性数据本身及其蕴含的非结构性信息，而非收集本身的独创性贡献。这与对选择和编排具有独创性要求的数据汇编作品截然不同。再次，独立的价值性使其区别于属于任何人可得而享的公有领域的数据信息，此即经济意义上的稀缺性。

　　（四）可公开性

　　司法实践中基于数据的可及性（是否设定访问权限限制），将数据分为公开数据、部分公开数据和非公开数据，或者称为公开数据、半公开数据和非公开数据。但是，简单地进行如此区分没有法律意义。从法律意义上，公开性涉及两个法律界限，即不公开数据是否达到了商业秘密的程度，以及根据对公开数据是否设定获取或者使用的限制，区分是否属于公有领域的公开数据。

　　第一，数据集合的一体保护与商业秘密和数据集合保护二分法的路径选择。

　　随着大数据时代的到来，我国司法实践出现了一种以笼统的数据保护取代或者涵盖商业秘密保护的倾向，即对于数据的保护通常进行一体化对待，不再甄别是否属于商业秘密，一概依据《反不正当竞争法》第2条或者第12条进行保护。如，淘宝诉美景案先是基于数据权益保护淘宝公司的“生意参谋”数据产品，但是近来又将其纳入商业秘密保护。

　　对于数据集合与商业秘密保护的交叉部分，可以选择两种处理路径。一种路径是各行其道，即鉴于商业秘密已有自成一体的法律规范，凡符合商业秘密构成要件，特别是采取的保密措施达到商业秘密要求的数据集合，其保护应当纳入商业秘密之列。不能够纳入商业秘密的所谓公开或者半公开的数据集合，应当纳入商业秘密之外的数据保护范围。

　　另一种路径是将二者合成为数据集合的一体保护，不再以是否采取保密措施进行商业秘密与公开数据的二分法保护，或者数据保护不将符合商业秘密的数据当然排除在外，而将构成商业秘密的数据保护路径交给数据持有人进行选择。如此进行数据保护的制度设计更为可取。首先，大数据背景下的数据价值更主要来源于数据的“海量”，且达不到商业秘密保密程度的数据已受保护，达到保密程度的数据保护自不待言（举轻以明重），因而不以保密程度划分保护路径，或许更利于商业秘密保护。如果不再根据保密程度区分数据保护，可公开性就不再是数据保护的构成要件。其次，可以避免识别商业秘密保护中保密措施适格性的难题，简化数据权益的保护，且并未堵塞当事人选择商业秘密保护的路径。

　　商业数据的价值来源于规模性数据集合，数据的公开不影响其价值，甚至可以因为可公开而具有价值。在信息资产的保护中，商业秘密与商业数据可以具有关联性和比对性，商业秘密保护的正当性可以用于类比商业数据设权的必要性和正当性。商业数据可以成为与商业秘密并驾齐驱甚至更为重要的信息资产和权利类型。但是，二者保护的核心区别是，受商业秘密保护的数据信息的价值来源于其保密性，一旦其丧失秘密性即丧失其价值，因而需要采取足以保持秘密性的保密措施。数据保护的独立价值则在于数据蕴含的信息内容本身，且其不因保密而具有价值，采取保护措施的目的是行使控制权，因可控制而可以实现特定商业目的。数据保护不能完全适用商业秘密条款的深层次原因在于二者立法目的的差异：数据保护立法强调的是数据的流通和利用，控制和赋权也是为了更好的数据共享；而商业秘密试图保护信息的独家占有和垄断，以形成信息不对称的竞争优势，要求商业信息处于完全封闭的状态。信息所处状态的不一致决定了二者适用规则的不匹配，故而商业秘密条款在数据权益保护实践中并不具备很大的适用空间。因此，二者不能进行兼容性保护时，有些数据只能选择商业秘密保护。

　　第二，区分公开数据与公有领域的数据。

　　数据持有人对其公开数据不限制他人（不特定人）知悉，且他人知悉并不影响数据的价值，但采取限制获取或者使用的特定管理措施的，属于仍受保护的公开数据。如果对于他人获取和使用数据不作限制，数据可以自由共享和流通，则属于不受保护的公有领域数据。如“腾讯新闻案”涉及的腾讯平台内新闻数据集合虽属于未设定访问权限的公开数据，但腾讯平台通过《腾讯新闻平台的规则》《腾讯新闻APP用户协议》《腾讯软件许可协议》等对其采取了相应的管理措施。受保护的公开数据不是因其具有秘密性而具有市场价值，而是具有保密性之外的独特的集合优势和市场价值。对于公开数据采取限制获取和使用的保护措施，不是为了保持其商业秘密意义上的保密性，而是为了实现控制数据的其他商业目的。

　　（五）管理性

　　无论是公开数据还是非公开数据，数据持有人通常都会采取限制获取或者使用的技术措施、平台协议、访问规则及爬虫协议等管理措施。违反管理措施获取使用他人数据通常被作为构成不正当竞争的构成要素。如饭友App数据抓取案复娱公司未经许可，绕开或破坏技术保护措施而抓取新浪微博后台数据，在其运营的饭友App中使用微博数据。新浪微博诉脉脉案中新浪微博通过开发者协议等限制数据信息获取和使用权限。

　　管理措施是否应当作为数据保护的要件，实践中有不同的态度。如“大众点评与百度公司”不正当竞争案一审、二审判决认为，经营者抓取其他网站信息即使不违反网站Robots协议，仍应当本着诚实信用的原则和公认的商业道德，合理控制来源于其他网站信息的使用范围和方式。“超级星饭团”App案一审判决认为，如果他人抓取网络平台中的公开数据之行为手段并非正当，则其抓取行为本身及后续使用行为亦难谓正当；如果他人抓取网络平台中的公开数据之行为手段系正当，则需要结合涉案数据数量是否足够多、规模是否足够大进而具有数据价值，以及被控侵权人的后续使用行为是否造成对被抓取数据的平台的实质性替代等其他因素，对抓取公开数据的行为正当性作进一步判断。

　　基于互联网环境的互联互通等特殊性，对于公开数据的受保护要求权利人应当采取一定的管理措施，有其必要性和可行性。其目的是表明数据持有人保护数据的主观意愿，能够使其具有区别于公有领域数据的可识别性和法律边界，且区别于对于确保个人信息处理活动的“加密、去标识化等安全技术措施”、保护信息网络传播权的技术措施、商业秘密的保密措施及网络安全措施。特别是，公开数据与公有领域的数据本来难以区分，加之互联网领域倡导互联互通以及数据领域涉及互通共享，要求受保护的数据事先采取管理措施，有利于使受保护的数据有一定的公示性，且使相关数据的界限有表面的区分。如果数据抓取合法，且未违背数据平台设定的数据使用管理规则，则抓取以后的使用行为合法。

数据侵害行为的类型化

　　数据侵害行为的类型化旨在明确各类侵害行为及其构成要素。数据受保护的实际范围和法律边界是由数据侵害行为的范围划定的，界定数据侵害行为的范围就是确定数据保护的范围。司法实践中被诉的通常是直接抓取数据并使用的行为，由抓取和后续的使用行为两部分组成。基于当前的司法实践及数据保护的实际，可以将数据侵害行为划分为不正当获取和不正当使用两种基本的行为类型，当然还可能存在值得研究的其他行为类型。

　　（一）以破坏保护措施、违反数据平台管理规则、欺骗及其他不正当方式，获取他人数据并足以造成实质性损害的行为

　　数据获取行为构成侵害行为，首先是有客观上的数据抓取行为，其次对该行为应当作不正当性的评价，通常是因不正当地给数据持有人造成损害。

　　第一，采取不正当方式获取他人数据。实践中常见的不正当获取方式有破坏保护措施（如反爬取技术、Robots协议）、违反数据平台管理规则（平台协议等）、欺骗（如伪装成数据平台、用户或者会员）等（见表1）。如饭友App数据抓取案被告复娱公司通过绕开或破坏微梦公司技术保护措施的手段实施抓取和展示新浪微博数据之行为。“鹰击系统案”蚁坊公司利用技术手段破坏或绕开微梦公司所设定的访问权限。原告深圳腾讯公司、腾讯科技公司诉被告搜道公司、聚客通公司不正当竞争纠纷案中，两被告采用技术手段获取微信用户数据。“极致了”案被告绕开、突破封禁措施和“IP访问限制”，对“微信公众平台”的数据进行访问操作。“微信界面监控案”被告通过云客手机及系统绕开原告的数据保护措施读取微信数据库。

　　司法实践中，不正当的数据获取手段主要有以下几种：

表1 不正当数据获取手段

技术手段

具体操作

案号

破解加密文件

破解数据库密钥

广东省广州市天河区人民法院（2020）粤0106民初36378号民事判决书

破解加密后不可直接读取的微信数据库文件

北京知识产权法院（2021）京民终3409号民事判决书

网络爬虫技术

按照一定的规则，通过代码模拟人工访问，抓取互联网信息的程序或者脚本

四川省高级人民法院（2022）川知民终1939号民事判决书

北京知识产权法院（2021）京73民终1011号民事判决书

浙江省高级人民法院（2023）浙民终1113号

广东省深圳市中级人民法院（2017）粤03民初822号民事判决书

北京市海淀区人民法院（2021）京0108民初9148号民事判决书

杭州铁路运输法院（2021）浙8601民初309号民事判决书

以“撞库”方式

使用会员的账号及密码，并轮番持续地登录对方网站，查看和获取数据。

杭州铁路运输法院（2018）浙8601民初956号民事判决书

修改哈希值

修改视频MD5值，规避MD5检测机制

福建省高级人民法院（2022）闽民终1871号民事判决书

Xposed外挂技术

将软件中的功能模块嵌套于对方产品中运行

浙江省杭州铁路运输法院（2019）浙8601民初1987号民事判决书

利用网页插件

篡改对方网站页面设置，插入比价窗口链接，并通过页面跳转实现用户的截流

北京知识产权法院（2021）京73民终1092号民事判决书

　　第二，足以造成实质性损害。这种损害包括足以危害数据持有人的数据安全或者数据秩序，或者有实施足以替代数据持有人经营活动的可能性，或者有足以实质性妨害数据持有人从事其他数据经营活动的可能性。如“微信界面监控案”二审判决认为，被诉微信数据获取、存储等行为损害了腾讯公司对于微信用户的数据安全保障利益，必然降低微信产品的安全感和信任等。

　　（二）擅自使用他人数据进行实质替代经营活动，或者破坏、妨碍数据持有人的数据使用或者数据经营活动

　　通常的数据侵害行为是在抓取到目标数据后，提供与数据持有人相同或近似的同质化服务，或利用抓取的数据进一步开发衍生产品（见表2）。最为常见的损害形态是被告的产品或服务对原告的产品或服务产生了实质性替代。根据当前的司法实践，构成不正当竞争的数据使用行为既有横向的同类经营活动性的使用，又有纵向的非同类经营活动性的使用，还有兼而有之的情形。例如，“鹰击系统案”被诉行为包括蚁坊公司通过技术手段抓取、存储、展示微博平台数据，并基于这些数据进行加工整理形成数据分析报告的行为。“大众点评与百度案”涉及的是将抓取的数据用于提供竞争性服务。同花顺诉灯塔案双方提供的都是具有互动功能的互联网股票信息咨询平台，灯塔公司将同花顺公司用户对股票的评论信息照搬发布在自己的网站上，形成了对后者的实质性替代。除横向的竞争性活动外，还可能涉及将抓取的数据用于纵向的开发利用，即将不正当获取或者擅自使用的数据用于开发数据衍生品或者进行其他经营活动。

　　数据侵害行为涉及损害程度与行为定性的关系，即对于数据获取或者使用达到一定的数量级，才可以造成足够的危害而可以定性为不正当的数据侵害行为。“实质性替代”就是一种典型的由定量而进行的定性，即达到实质性替代的程度，才可以认定被诉行为对权利人造成了实质损害，才可以认定为数据侵害行为成立。司法实践中实质性替代已被普遍作为数据侵害后果要件的判断标准，并一度被引入规范性文件的草稿之中。实质性替代是通过模糊的定量标准达到定性的目的，即后果要件是构成数据侵害行为的要素之一，而获取和使用数据的数量是衡量损害后果的基本依据，但数量又不能精确量化，只能采用比较公认的模糊标准而在实施中进行裁量，且在共识的引导下在裁量上不至于有太大的偏差。实质性替代是知识产权领域的一个重要量化标准。例如，著作权领域的网络著作权保护中提出实质性替代问题，如深度链接达到实质性替代的程度是否构成直接侵权、网页快照等以实质性替代作为侵权判断标准等。实质性替代比较符合数据保护的场景，加之此类案件由知识产权法官审理，实质性替代被作为数据侵害行为的后果要件标准。由于知识产权审判中实质性替代是习惯性的判断路径，在使用中不太会产生偏差。

　　司法实践中不正当数据使用行为主要有如下情形：

表2 不正当数据使用行为

使用方式

具体操作

案号

抓取至自己的经营平台，提供同质化服务

将爬取的内容直接“移植”到自己的运营平台进行替代性或同质化的商业利用

四川省高级人民法院（2022）川知民终1939号民事判决书

北京知识产权法院（2021）京73民终2816号民事判决书

天津自由贸易试验区人民法院（2022）津0319民初11108号民事判决书

广东省深圳市中级人民法院（2017）粤03民初822号民事判决书

上海知识产权法院（2023）沪73民终334号民事判决书

北京市海淀区人民法院（2017）京0108民初24512号民事判决书

北京知识产权法院（2021）京73民终1011号民事判决书

北京市海淀区人民法院（2021）京0108民初9148号民事判决书

复制对方公司收集的投诉信息用于自己网站

北京知识产权法院（2022）京73民终3718号民事判决书

搬运对方平台的视频剪辑素材，供用户使用

重庆自由贸易试验区人民法院（2022）渝0192民初11403号民事判决书

将非法获取的信息作为自己运营的数据产品的服务内容向用户提供，并收取费用

北京市西城区人民法院（2023）京0102民初7890号民事判决书

涉导航电子地图“拥堵延时指数”数据权益案（未公布案号）

杭州铁路运输法院（2018）浙8601民初956号民事判决书

将提取到的简历以更低价格出售给其他用户

北京知识产权法院（2021）京73民终1092号民事判决书

将对方公司研发的涉案数据，作为自身产品对外宣传

北京知识产权法院（2020）京73民终3422号民事判决书

抓取、存储后，提供数据分析服务

通过对获取的微信数据分析反映到后台或客户端并收取相应服务费用

广东省广州市天河区人民法院（2020）粤0106民初36378号民事判决书

提供公众号及其文章的搜索、公众号导航及排行、公众号数据抓取、公众号数据分析等微信公众号数据服务

杭州铁路运输法院（2021）浙8601民初309号民事判决书

提供实时查看、浏览对方平台内容服务，基于对涉案数据的整理分析形成数据分析报告后向用户提供

北京知识产权法院（2019）京73民终3789号民事判决书

向企业用户提供产品及服务（服务包括微信数据监测和备份、微信批量营销操作、微信数据统计分析）

北京知识产权法院（2021）京民终3409号民事判决书

利用个人微信用户的用户账号数据、好友关系链数据、用户操作数据为购买该软件服务的微信用户在个人微信平台中开展商业运营活动提供帮助

浙江省杭州铁路运输法院（2019）浙8601民初1987号民事判决书

提供大规模抓取数据的工具软件

向付费用户提供一次性搬运平台数据的工具

浙江省高级人民法院（2023）浙民终1113号

为用户提供以技术手段修改MD5值的服务

福建省高级人民法院（2022）闽民终1871号民事判决书

为经营者低成本甚至零成本不正当使用他人商品数据提供软件工具

广州互联网法院（2021）粤0192民初1692号民事判决书

提供不正当的数据来源途径（子账户、分租账号、共享账号）

以营利为目的，组织、帮助他人利用已订购“生意参谋”数据产品服务的淘宝用户的子账户

浙江省杭州市中级人民法院（2018）浙01民终7312号民事判决书

在网站及公众号提供分时租赁视频VIP账号服务；游戏账号中介服务

北京知识产权法院（2022）京73民终1154号民事判决书

北京知识产权法院（2022）京73民终3270号民事判决书

　　（三）排除于数据侵害之外的其他数据侵害行为

　　数据侵害行为应当限于对数据的不正当获取和使用行为，属于直接侵害数据权益的行为。除此之外的关联性行为，应当排除于直接侵害数据的行为之外，也即不属于数据排他权的范围，可以依照其他不正当竞争行为进行认定，也不宜纳入“数据保护专条”。这些行为主要是破坏数据的运行环境、“污染数据”的真实性及增加数据的运行负担等。如，通过刷单、炒信等方式虚构交易记录、用户评价等数据，以及利用工具生成虚假数据，制造虚假的点击量、评论数、关注数等，破坏数据持有人数据的真实性，损害数据价值；以自动化、批量化操作等增加原告运行的数据量和数据流，导致增加原告产品运行负担，减损产品稳定性和效率；结合被告日平均74.5万余次的爬取频率，认为该种爬取请求量级和频率会对微信服务器造成远超正常用户访问的负担。此类行为通常不属于数据权利排斥的行为类型，可以依照误导性宣传或者一般条款等予以定性和规制。

“数据保护专条”的构建

　　在已有较为丰富实践的背景下，可以考虑总结实践经验并完善立法，在当前正在进行的《反不正当竞争法》修订中设置数据权益保护专条。这是当前完善商业数据制度的可行路径，在相当长的时期内能够解决商业数据确权和保护的核心问题。

　　（一）数据保护专条的结构

　　《反不正当竞争法修订草案征求意见稿》第18条规定了数据的保护要件和保护范围，已形成一种权利保护的法律框架。具体而言，第18条第2款对商业数据的界定，实际上规定了保护要件，也即确定的是数据保护的适格权利客体；第1款的侵害行为类型规定是确定数据的保护范围，也即权利的范围；第3款规定了合理使用或者豁免情形，实际上也是从另一个层面界定数据权利的范围。该条既解决了数据赋权问题，又没有赋予过强的专有权，且为数据共享和流通的目的设定豁免条款。因此，这种条文结构符合数据赋权和保护的实际，也足以符合数据保护的现实需求。当然，当务之急是恰当地确定条文规定内容的准确性和妥当性。

　　（二）数据的法律界定

　　结合本文以上研究，可以将数据保护专条规定的数据界定为，本法所称数据（商业数据），是指经合法取得、用于经营活动、具有市场价值以及采取管理措施的集合数据（或者规模性集合数据）。此处的集合数据专指大数据意义上的数据集合，或者直接以规模性数据集合进行表述。如前所述，如果将构成商业秘密的数据集合排除于数据保护专条的范围之外，可以增加除外内容，即构成商业秘密的除外；如果将所有的数据集合一体纳入数据保护专条保护，则不再设定除外内容。出于保护便利性和统一性的考量，可以选择数据集合一体保护的立法方案，但考虑到商业秘密保护的范围和强度优于数据集合，可以不排除构成商业秘密的数据集合由权利人自愿选择商业秘密保护。

　　（三）数据侵害行为

　　鉴于数据集合保护涉及激励权利人投入与促进数据共享之间的利益平衡，数据集合的保护范围主要限于不正当获取和不正当使用，且在行为类型上少于侵害商业秘密的类型化规定。同时，明确规定侵权豁免或者合理使用。

　　《反不正当竞争法修订草案征求意见稿》第18条第1款可以将侵害行为划分为不正当获取、不正当使用以及不正当转让或者许可使用的行为。第18条第1款第（一）项对不正当获取数据的规定类似于侵害商业秘密的行为特征，没有充分反映当前司法实践中涉及的数据获取特性。第1款第（二）项重在规定使用行为的不正当性，即使用不正当获取的数据，替代或者足以实质性替代权利人的相关经营活动。第1款第（三）项可以规定为转让或者允许他人使用以前列手段获取的数据，使受让人能够替代或者足以替代权利人的经营活动。鉴于对数据的保护范围不宜过宽，数据保护专条对数据侵害行为不设定兜底行为。如果需要设定兜底行为，无非表达为“以违反商业道德和诚实信用的方式，侵害他人数据权益的其他行为”。总体上讲，数据侵害行为应当与侵害商业秘密行为区分开来，范围不宜过宽，且应当尽量减少不确定性要件，减少执行的模糊性、任意性和不确定性。

　　（四）数据侵权的除外或者合理使用

　　数据作为具有非竞争性和非排他性的无体财产，其法律赋权要限制范围和强度，保留数据共享和公有领域的足够空间，防止赋予过多的垄断和控制权利，并为促进其他公共政策而允许必要的合理使用。因此，除外或者合理使用条款的设计至关重要。为此，可以将除外内容规定为如下情形：（1）所获取或者使用的数据属于可以从其他公开渠道自由获取的数据。此类数据可以视为公有领域的数据。（2）获取或者使用的数据数量不足以实质性替代权利人的经营活动。此种情形不构成实质性损害。（3）获取或者使用权利人数据不会与权利人的正常经营活动相冲突，不实质性损害权利人经营利益的情形。这是借用保护著作权的《保护文学和艺术作品的伯尔尼公约》所确立并为国内法广泛承认的“三步检验法”，将其引入数据权利架构有利于促进数据共享。（4）以不违反诚实信用和商业道德的方式获取或者使用他人数据的其他情形。这是保留一个兜底条款，为促进公共利益等方式的数据合理使用留下空间。

　　综上，反不正当竞争法数据保护专条可以拟定为三项：“经营者不得实施下列侵害他人数据权益的行为：（一）以破坏管理措施、违反平台规则以及其他不正当方式，获取权利人的数据，足以实质性损害权利人合法权益的；（二）使用不正当获取的数据，替代或者足以实质性替代权利人的相关经营活动的；（三）转让或者允许他人使用以前列手段获取的数据，使受让人能够替代或者足以替代权利人的经营活动的。”“所获取或者使用的数据属于可以从其他公开渠道自由获取的数据；获取或者使用的数据数量不足以实质性替代权利人的经营活动；获取或者使用权利人数据不会与权利人的正常经营活动相冲突，不实质性损害权利人经营利益的情形；以不违反诚实信用和商业道德的方式获取或者使用他人数据的其他情形，不适用前款规定。”“本法所称数据，是指经合法取得、用于经营活动、具有市场价值以及采取管理措施的集合数据（或者规模性集合数据）。”

结语

　　社会经济生活的复杂性决定了权利设定的多元性和非机械性。大数据之下的数据集合保护是日新月异的新生事物，没有先定和先验的保护路径，对其进行赋权性保护既要考量历史经验和路径依赖，更要契合其自身的本质特性和保护需求。数字经济的迅速发展和数据集合的保护实践，已显示了数据集合的固有特性，已表明在反不正当竞争法框架内进行赋权是可行的路径。反不正当竞争法具有与生俱来的保护弱权利的法律空间，在其框架内设定的数据权利虽有权利之名，但只是在规范化设定数据保护条件的前提下，通过对数据的不当获取和使用环节进行有限度的保护，使其极为契合保护与限制并重、以保护促共享的数据权利的赋权和保护。反不正当竞争法的行为法属性只是其调整特性之一，它还具有权利保护的功能。尤其是，我国反不正当竞争法适用范围广泛，赋权空间较大，更能够在其框架之内为数据权利保护提供必要的制度空间。当然，数据产权涉及诸多方面，反不正当竞争法只是以其特有的方式，对数据产权进行只触及数据集合的有限控制和排他的核心内容的赋权，不可能涉及数据产权的全部。即便是此种数据赋权，对于数据共享和数据交易等仍具有突出意义。

END

往期推荐:

《比较法研究》期刊质量稳步提升影响因子和影响力指数位居前列

刘艳红：网络犯罪向数字犯罪的迭代升级与刑事法应对

黄文艺：涉外法治范畴的结构论诠释

谢增毅：中国式现代化与社会法学自主知识体系的建构

胡巧莉：人工智能服务提供者侵权责任要件的类型构造——以风险区分为视角

王博：以商业消灭战争的法理迷思——启蒙思想中的战争权与商业神话

徐鹤喃：我国刑事诉讼法第四次修改的基点与面向

张建伟：刑事诉讼结构中的“检察官司法”

程啸：论数据来源者权益

陈景善：人工智能协同公司风险治理的规范化进路