孔祥俊：《反不正当竞争法》数据保护专款的法律构造 ——行为规制与数据赋权的二元统一

全文转载于《比较法研究》2026年第2期

作者单位：孔祥俊，上海交通大学讲席教授，法学博士。

【摘要】：我国第二次修订的反不正当竞争法专设数据保护条款（第13条第3款），实现了数据权利此前由司法确认到权利法定的转变，开创了承前启后的数据保护新格局。《反不正当竞争法》虽笼统地以行为法著称，但在具体权益保护上其行为规制与赋权则是一体两面和二元统一。数据保护专款由适格的受保护数据及法定类型化的侵害行为所构成，首先确定受保护数据的“合法持有”即合法性和归属性，也即以数据确权为前提要件；以法定方式确定的类型化侵害行为，实则界定了受保护数据的权利范围，因而是以制止数据侵害行为为表，却以实现数据赋权和保护为里，确立一种数据产权结构。数据侵害行为的判断范式应当与数据权利保护的定位相匹配，简化判断要素，增强法律保护的确定性。数据是信息类无体财产，具有来源的公共性和开发利用的驱动性，强调赋权并不等于强调强保护，数据保护应当以最低限度为宜，平衡数据保护与数据利用至关重要，数据保护应当基于财产理论与政策取向的双重考量，进一步探索限制权利和允许例外的制度设计。

【关键词】：反不正当竞争法；数据保护专款；行为法；数据赋权；数据保护的例外制度

2025年6月27日第二次修订的《中华人民共和国反不正当竞争法》（以下简称“《反不正当竞争法》”）第13条第3款规定了侵犯数据行为，即以专款规定了数据保护（以下简称“数据保护专款”）。在此次法律修订过程中数据保护条款几经反复并最终形成，且在众说纷纭的背景之下，立法者已作出了力所能及的法律表达，其积极意义不容低估。数据保护专款无疑是《反不正当竞争法》保护数据权益的新基础新起点，但其规范内容毕竟高度概括，数据保护实践又丰富多样且变动不居，如何在既有法律条款的基础上充分发挥其规范功能，并进一步丰富完善既有规范，已切实地摆在面前。鉴此，本文拟对数据保护专款的法律构造从多个角度加以探讨。

一、数据保护专款的法律保护定位

数据保护专款在《反不正当竞争法》框架内有独特的法律定位，对此可以从多个方面加以认识。

（一）数据保护专款塑造了数据权益单独保护的新格局

与近年来法学界对于数据赋权进行宏大叙事和系统化产权体系构建进行广泛探讨的学术盛况不同，各地法院始终将数据权益保护主要纳入《反不正当竞争法》的调整范围，并以灵活的裁判回应方兴未艾的多样化数据保护需求。在法律缺乏专门规定之时，此前数据保护通常纳入《反不正当竞争法》第2条（一般条款）或者第12条（“互联网专条”）进行调整，并将数据归结为新型财产权益或者财产形式。1鉴于这些条款均只是抽象指引性的概括条款，数据保护标准和行为正当性判断完全由法院基于案件事实进行自由裁量，法院据此进行了形态多样的积极探索。在总结实践经验的基础上，近年来司法解释和行政规章开始尝试将数据保护条文化。

2021年8月17日国家市场监督管理总局《禁止网络不正当竞争行为规定（公开征求意见稿）》2第20条规定：“经营者不得利用技术手段，非法抓取、使用其他经营者的数据，并对其他经营者合法提供的网络产品或者服务的主要内容或者部分内容构成实质性替代，或者不合理增加其他经营者的运营成本，减损其他经营者用户数据的安全性，妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行。”2024年5月6日公布的《网络反不正当竞争暂行规定》第19条规定：“经营者不得利用技术手段，非法获取、使用其他经营者合法持有的数据，妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行，扰乱市场公平竞争秩序。”该条文的措辞表明，该条规定是将数据侵害纳入互联网专条第2款第（四）项兜底规定“其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”之中。2021年8月19日公布的最高人民法院《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释（征求意见稿）》第26条规定：“经营者违背诚实信用原则和商业道德，擅自使用其他经营者征得用户同意、依法收集且具有商业价值的数据，并足以实质性替代其他经营者提供的相关产品或服务，损害公平竞争的市场秩序的，人民法院可以依照反不正当竞争法第十二条第二款第四项予以认定。”3此处亦是将数据不正当竞争行为纳入互联网专条的兜底规定之中。这些尝试也是后来确定数据保护专款的前序。

数据保护专款确立之后，至少在数据权益保护的基本范式上有了统一的专门规范依据。数据保护专款虽然仍置于互联网专条之下，但已具有构成要件的自洽性，完全可以自成一体。尤其是，数据保护专款将数据作为保护客体并设定保护条件，以数据保护单列的方式实现了数据保护的法定化或者权利法定。

（二）通过专款规定彰显了数据权益保护的法律定位

数据保护条款的具体设计显然基于多年来数据保护的实践。随着我国数据保护实践的日益丰富，数据保护的实践共识日趋增多，保护范式渐趋成熟，各地法院陆续进行调研总结，最高人民法院发布数据类指导性案例，4行政和司法部门已陆续开展数据保护的规范性总结。《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释（征求意见稿）》第26条更是规定了受保护数据的法律条件，即“征得用户同意、依法收集且具有商业价值的数据”，并将“实质性替代”作为损害要件，显然更侧重于数据权益保护，着重规定了权益保护的要件。

2022年11月22日国家市场监督管理总局公布的《中华人民共和国反不正当竞争法（修订草案征求意见稿）》第18条写成了类似于商业秘密条款的“数据保护专条”，包含了侵权行为类型、受保护数据的构成要件及侵权的例外。如此系统的制度设计估计被认为条件不太成熟或者不太必要，最后形成的“修订草案”（2025年1月全国人大官网公开征求意见）第13条第2款第（四）项规定，“经营者不得以欺诈、胁迫、电子侵入等不正当方式，获取并使用其他经营者合法持有的数据”，将其作为“经营者不得利用数据和算法、技术、平台规则等，通过影响用户选择或者其他方式，实施下列妨害、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”的情形之一。但是在此后的征求意见中，有的部门、地方、企业和社会公众提出，侵害数据权益不属于该款规范的“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”，建议单独规定，平衡好数据保护和数据利用的关系，完善数据不正当竞争行为的构成要件。全国人大宪法和法律委员会经研究，建议改为最后通过的数据保护专款。5显然，数据保护专款的单列规定表明，其有别于《反不正当竞争法》第13条第2款列举的网络不正当竞争行为，彰显其将数据单独作为权益进行保护的法律定位。

总之，多年来的数据保护实践以及以上行政规章和司法解释的制定对于数据保护在规范层面的尝试，构成了第二次修订的《反不正当竞争法》设立数据保护专款的积累和尝试。第二次修订过程中数据保护条款的几经变动并最终形成单独条款，足以表明数据保护的重要性、特殊性和独立性，体现了数据权益保护的法律定位，即以禁止侵害数据的方式，实现数据权益保护的目的。

（三）数据保护专款是在实体法层面对我国民法典数据保护规定的首次专项落实

《中华人民共和国民法典》（以下简称“《民法典》”）第127条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”该条经常被称为数据保护的宣示性或者引致性条款，即其并未确定数据保护的实体规则，而指示依照相关法律的规定进行保护。6《民法典》创设该条规定之时，我国已有依照反不正当竞争法、著作权法等专门法保护数据的司法实践，7因而该规定既是对已有依照相关法律保护数据的认可，又指示将来仍可以由法律对数据保护另行规定。当然，当时既有的规定并非专用于数据保护，如依照我国著作权法汇编作品规定的保护以及依照《反不正当竞争法》第2条和第12条的保护，均因为相应的数据权益契合相关法律规定而纳入其保护范围。设立数据保护专款，显然是在法律层面对于数据保护作出的突破性专门立法，属于数据保护实体法上的立法突破，是对《民法典》第127条的一次专项立法落实。尤其是，数据保护专款意味着此前数据由司法自发确权和保护，转化为法定的确权和针对性保护，也即实现了数据的权利法定。

特别是，近年来大数据背景下的数据权益保护受到广泛关注。《民法典》的数据保护条款并未确定其权益属性和保护方式。学界对于数据权益的定性和保护众说纷纭。鉴于数据权益保护的极端重要性，司法实践对于数据权益保护已有丰富的积累且目前已进行系统的总结，数据又是一项重要的竞争权益，难以纳入其他法律加以保护，在总结保护经验的基础上，将数据权益纳入《反不正当竞争法》第二次修订恰逢其时，也非常适当，还可以回避一些争议。因此，此次修订纳入数据保护专款，应该是在《民法典》宣示性规定之后法律层面对于数据权益保护的突破性实体规定。

（四）在国际范围内我国数据保护专款的独树一帜

大数据时代的来临进一步提升了数据保护的重要性，引发了对数据保护的关注，但是美欧国家进行专门的直接立法还未多见。就数据保护而言，近年来美国企业、政策制定者与学者呼吁为数据设立财产权，数字市场的利益相关方经常将围绕数据获取的主张、谈判与争议包装为“所有权”问题：企业经常声称并要求自己拥有数据；个人数据主体假定自己拥有自身的数据；政策制定者与学者关注如何重新分配数据的所有权。有学者指出，个人、企业、政府与公众对数据及其访问限制拥有不同利益，这些利益由现行法律的精细网络加以保护，但这些法律有意避免赋予数据财产权。已有财产法明智地将数据排除在其标的范围之外；已有数据相关法与财产法则基于公共政策考量，在数据利益与访问限制之间取得平衡，设立数据财产权反而会破坏这种平衡。新的数据财产权既不能促进更好的隐私保护，也难以带来更多创新或技术进步，反而更可能扼杀言论自由、信息自由、科学与技术发展。因此，将数据财产化的理由并不充分，且并不优于保持数据“开放”的理由。因此，无需为数据创设新的财产权。8

欧盟更为关注个人数据和数字市场之类的立法，其商业数据保护涉及数据库权利、商业秘密、反不正当竞争以及合同保护。欧盟数据指令创设的数据权利被认为是失败的第一次数据产权化，在吸取首次数据产权化失败经验的基础上，近年来又试图通过创设“数据生产者权”进行二次产权化的立法尝试，但受到阻碍。经过欧盟学界、产业界和立法者的长期辩论、论证并达成共识，当前欧盟立法者最终创设数据访问权以代替数据生产者权，旨在实现“解锁”数据的目标而非创设财产权以“锁定”数据，实现从“产权化”到“去产权化”的转型。9因此，美欧的数据保护模式与我国主要纳入反不正当竞争法调整并设有数据保护专款的情况，迥然不同。

日本通过反不正当竞争法修订引入数据保护条款，10韩国又紧随其后并似乎以日本立法为蓝本。日本反不正当竞争法将所保护的数据限定为“受保护数据”（protected data），即商业秘密以外的，以营业为目的向特定人提供，采用电磁方法积累了相当数量，并进行了电磁管理的技术信息或者经营信息。该法规定了所禁止的几类侵权行为，即未经许可的获取、使用和披露“受保护数据”。鉴于数据保护制度的初创背景，考虑数据保护和利用的平衡，新修订法律只引进必要的最小限度的民事救济措施。11日、韩两国的反不正当竞争法虽然设有数据保护专条，但其规范结构在形式上类似于商业秘密保护条款。我国数据保护专款更为简明扼要，对于受保护数据的完整构成要件及不构成数据侵权的例外情形缺乏明确规定。当然，这种简约规定的好处是，能够对情况复杂和变化多端的大数据保护保持开放姿态，使法条适用的灵活性更强，尤其是在面对人工智能大模型训练等新兴产业变革中能够有更大的探索空间和更广阔的适用余地。

综上，数据保护专款毕竟是基于司法实践经验总结的首次条文化，其规范内容应当是立法者在力所能及之下提炼和归纳的结果。显然，数据保护专款高度凝练，如何解读和适用既面临诸多难题，又留下了足够的发展空间。例如，如何理解其行为规制与权益保护的法律定位；可保护数据的构成要件如何界定；如何认识数据侵害行为的法律构成；如何确定数据保护的限制和例外。凡此种种不一而足，数据保护专款的适用任重道远。

二、行为规制与数据赋权的一体两面

在反不正当竞争法的法律属性或者竞争行为正当性判断的法律范式上，学界通常认为反不正当竞争法是区别于权利保护法的行为法，即旨在规范市场竞争行为的法律，依据行为的具体特征判断是否构成不正当竞争行为；即使要保护合法权益，也是通过制止不正当竞争行为的方式实现。如我国法院基于行为规制模式，聚焦于审查行为正当性，规制数据不正当获取和使用行为，并逐步发展出相对稳定的数据保护四步分析法：原告主张的数据集合是否具有受《反不正当竞争法》保护的合法权益；被告获取数据的手段是否正当；被诉行为是否造成实质性替代后果；行为是否损害公共利益。12正是基于行为法属性的认识，有学者认为《反不正当竞争法》不适合承担数据赋权的功能，数据赋权需要另外构建法律制度。13有些裁判因为将数据保护纳入《反不正当竞争法》调整的需要，特意将受保护的数据称为竞争性权益之类，并受不正当竞争行为构成要素的限制，在明显应当构成数据侵权时，仍在裁判理由中对行为的不正当性进行全方位的复杂性分析，使得裁判理由异常繁琐复杂。14当然，也有裁判直接将数据定性为新的财产形式或者财产权益。15其实，《反不正当竞争法》的行为法与赋权法的定性未必一定是相互对立和非此即彼的，关键是认识问题的角度和思路。观念的力量不容低估，一旦认识问题的观念和方式发生改变，事物的本质即随之变化，任何貌似难以逾越的鸿沟和产生困扰的难题，也就迎刃而解。数据保护专款的法律定位同样如此。

（一）数据保护专款的赋权属性

法律体系在设计权利时面临着一种权衡：如果采用对人权模式（合同），可以实现高度的定制化，精确满足当事人的需求，但这种权利只能约束特定的少数人。如果采用对物权模式（财产），可以赋予权利以普遍的约束力（对抗权利人之外的任何人），但为了避免给全社会造成不可承受的信息重负，必须牺牲定制化，强制实行标准化（物权法定）。这是为什么我们在合同法中看到灵活的默认规则，而在财产法中看到严格的强制性规则的原因。信息成本是理解这一法律架构深层逻辑的钥匙。16数据既有合同式的自我保护，如数据平台通过平台协议及其他管理措施限制其他人对其数据的获取和使用，这些措施也被司法裁判普遍认可，但这只是一种定制化的对人权模式。若法律将其作为一种权利，给予对世性的保护，则是一种财产性赋权保护。《反不正当竞争法》数据保护专款提供这类保护，但采取的是一种特殊的赋权模式，类似于对世权而又有限的对世性，有别于对人权。数据保护专款有完整的规范结构，是一种反弹琵琶式的赋权规范，即以行为规制的方式实现了有限赋权的目标。数据的保护超越契约式的相对人之间的定制化，强制实行标准化（受保护数据的适格、侵害行为的类型法定等），可以降低外部信息成本。简言之，数据保护专款恰恰实现了数据权利的法定化，即由此前司法依照一般条款和兜底规定确认和保护的权益，转化为法定的数据权利。

《反不正当竞争法》固然以制止不正当竞争行为为直接目标，但是制止行为与保护权益经常是一个硬币的两面。尤其在以具体权益为保护对象的法条中，其法条规范构造及竞争行为正当性判断的范式更类似于权利保护或者侵权行为范式。此类法律规范虽然直接表现了不正当竞争行为的构成要素，但在其构成要素中恰恰蕴含了受保护的具体权益的构成要件及不正当竞争行为的法定类型，也即法条界定了一个受保护的具体权益，并通过类型化的侵害行为厘清了法益保护的范围，因而构成一种权利保护和侵权行为的法律规范。数据保护专款就是这样的法条。数据保护专款所蕴含的恰恰是赋权规范，即“其他经营者合法持有的数据”界定了数据的合法性和归属性，是直截了当的确权，并以此为保护要件；“不得以欺诈、胁迫、避开或者破坏技术管理措施等不正当方式，获取、使用”的规定则正面界定了侵害行为，但其反面恰恰界定了数据受保护的法律边界，即这些侵害行为恰恰是数据权益受保护的范围，也即数据权利人能够排斥他人侵害的范围和边界。我国司法裁判在数据保护中始终都是首先确定数据的归属和可保护性，数据归属和适格从来不是虚置的要素，而是实质性要件。因此，数据保护专款同时是一种赋权规范，是以《反不正当竞争法》的规范方式进行的数据赋权，制止不正当竞争与赋权是一体两面，不是非此即彼和相互排斥。

（二）反不正当竞争法的两面性和二元性

我国反不正当竞争法第2条第2款将不正当竞争行为界定为“扰乱市场竞争秩序，损害其他经营者或者消费者的合法权益的行为”，其中“市场竞争秩序”以及“其他经营者或者消费者的合法权益”均属于该法所保护的法益。《反不正当竞争法》的法益保护具有两面性，即以制止不正当竞争行为的方式保护合法权益，制止行为是保护法益的路径，而保护法益是制止行为的目标和结果，也即消极的视角是制止不正当竞争行为，积极的视角是保护法益。所保护的法益有具体法益和一般法益之分，受损害的经营者的特定法益为具体法益，特定法益之外的“市场竞争秩序”以及经营者和消费者的不特定法益为一般法益，具体法益和一般法益构成了《反不正当竞争法》法益保护的二元性。《反不正当竞争法》保护的具体法益包括商业标识（第7条）、商业秘密（第10条）、商誉（第12条）和商业数据（第13条第3款）等具体权益；涉及一般法益保护的行为包括商业贿赂（第8条）、误导性宣传（第9条）、不正当有奖销售（第11条）等行为。

区分具体法益与一般法益的法律价值主要涉及《反不正当竞争法》调整功能和判断范式的差异，即具体法益型不正当竞争行为聚焦于具体法益的可保护性及其特定的保护范围和条件，重在维护私权性的市场竞争秩序，其判断范式类似于权利侵害性侵权行为；一般法益型不正当竞争行为则重点在于维护公共性的一般市场竞争秩序，竞争行为的构成要素往往具有多元性，也即从多个角度判断是否构成不正当竞争行为。17换言之，反不正当竞争法框架内的法益复杂，法律保护范式并非铁板一块和千篇一律，受保护法益的不同，决定了保护范式和法律定性应当有所差异。涉及具体法益保护的类型，倾向于或者接近于权利保护范式，即首先看受保护权益的适格性，然后判断被诉行为是否落入法律禁止的行为类型，以及有无不承担责任的事由，据此进行行为定性；涉及一般竞争秩序的案件，采取经营者、消费者和市场竞争秩序等多元利益考量的范式。18对于具体法益的保护，在法益的可保护性要件和侵害行为法定的情况下（如商业标识和商业秘密），其反不正当竞争保护类似于权利保护，权利保护范式有更大的确定性，因而反不正当竞争法有赋权法的功能。

（三）赋权性的具体法益保护源远流长

反不正当竞争法的赋权性不是牵强附会，而是自始如此。例如，法国是欧陆反不正当竞争法的策源地，最早由法院在侵权行为一般条款的基础上形成反不正当竞争制度。法国自始即存在具体商业成果与一般竞争法益（商人与客户的一般关系）并存的反不正当竞争二元法益保护观念和制度格局，既保护未注册商标、商业秘密等具体商业成果性法益，又保护不体现为具体商业成果的一般性市场竞争利益，尤其是以竞争优势等术语进行称谓的竞争利益。19世纪中叶，经判例与学术互动，法国开始形成后来扩及至大陆法系工业产权和反不正当竞争的两大理论基石，一个是工业产权概念，不仅包括专利、商标、工业设计等专门法领域的所有工业产权，还包括保护商人与其客户之间的整体关系（the entire relationship between a merchant and his clientele）的更为宽泛的概念。另一个观念是，法国大革命之后取得的经济自由和自由竞争特权（privilege of economic freedom and free competition）,仅是通过劳动和贡献获得成果的自由，不能扩展到不正当夺取竞争者的成果的自由。不得滥用竞争自由获取或者利用竞争对手的商业成果，被确立为基本原则。19在19世纪的反不正当竞争法发展中，法国法院聚焦于“achalandage”（招徕顾客或者对顾客关系的总称）概念，按照早期的界定，它是“商人与客户之间创设的所有关系的概称”。在保护商人与客户之间所有关系的观念之下，从早期开始法国法院不仅制止商标侵权和仿冒行为，而且制止所有模仿营业所（establishment）外部特征而意图混淆的行为，以及虽无混淆但意图拐走竞争者客户的行为，如诋毁竞争者的产品。稍后又扩展到制止商业贿赂、泄露商业秘密以及其他类似行为。19世纪末叶以后，这些不正当竞争行为已非常之广，以至于当时的教科书作者甚至不再寻求穷尽所有不正当行为。20经过逐渐演化，大多数欧陆国家的不正当竞争行为已扩展到各种干涉他人商誉、客户或者营业的行为。21

英美法国家通常不承认专门的反不正当竞争法，但美国法例外。美国最高法院判决的International News Service v. Associated Press案22确立了美国不正当竞争的独立诉由和原则，对未被作为法定权利的特定商业成果（新闻消息）提供准权利式的保护，23并将不劳而获的侵占行为确立为正当性基础。24此后美国判例对于反不正当竞争保护商业成果的条件颇有争议，但其基点仍是保护具体的商业成果，只是在保护范围上进行限制。在美国法上，反不正当竞争法被认为是通过实施公平的游戏规则，保护合法的商业关系和诚实经营，大多数情况下针对的是阻碍健康的商业竞争的商业侵权，但在涉及商业标识等特殊情况下，则是聚焦于受保护的财产而进行财产性保护。美国联邦商标法第43条（a）则包括未注册商标及其他不正当竞争行为。25

自2000年开始，《保护工业产权巴黎公约》将反不正当竞争作为工业产权的组成部分，将其定位于补充保护商业标识等工业产权。这显然是承继了源于法国的大陆法系工业产权和反不正当竞争观念。26WTO项下的TRIPS协定特别将商业秘密（未披露信息）纳入反不正当竞争的范畴。因此，在知识产权的国际保护中，反不正当竞争作为其组成部分，赋权性的具体法益保护是其履行补充保护知识产权功能的重要方面。之所以能够补充保护工业产权，恰恰是因为这些补充性的具体法益保护（商业标识、商业秘密、商誉等），本质上亦是权利保护。至少从补充保护知识产权的内容来看，反不正当竞争被纳入工业产权的范围，在依照专门法不能获得充分救济时，可以援用不正当竞争进行救济。27这种补充保护本质上是一种赋权性保护。28

数据作为一种新型无体财产，具有纳入反不正当竞争法保护的固有逻辑，此类保护仍不改变其权利保护的本质属性，是数据的权利性质决定了保护的性质，而不是因为纳入该法保护而改变了其法律性质。

（四）我国的权利界定与数据保护的赋权属性

日本反不正当竞争法引入数据条款的讨论中，确实考虑到如果赋予数据所有者排他性权利即赋权路径，将广泛的数据利用行为认定为不正当竞争行为，可能会阻碍他人灵活利用数据，最后倾向于通过类型化不正当利用数据行为加以保护，即采取行为规制的路径，包括像商业秘密那样进行行为规制路径的数据保护制度设计，考虑数据提供者与利用者之间的利益平衡，且以最小范围规制作为基本方针。29显然，日本所谓的赋权与行为规制的对立，是基于保护强度和范围有差异的法理预设，即赋权专指赋予绝对的排他性权利，而行为规制则是限定保护客体和保护范围。

我国立法向来对于权利与利益的区分没有非常严格，将受保护的具体法益称为权利，符合我国的法律语境。如我国立法者所说，权利与利益的界限划不清楚，且法律和司法均可以创设权利，权利与利益可以相互转化，因而我国侵权责任法曾经未采纳在侵权责任构成上将权利与利益区别对待的意见，未区分权利与利益，而将侵权客体合称民事权益。30民法典起草者认为，权利的落脚点是利益，很难把权利和利益划分清楚。从权利的形式看，法律称其为权利的固然是权利，但法律没有明文规定为权利而又需要保护的法益，不一定不是权利。而且，权利与利益可以相互转换，法院通过判例也可以将利益“权利化”。31例如，《民法典》第123条第2款第（三）项将“商标”规定为一类知识产权客体，此处并未限定为注册商标，因而《反不正当竞争法》第7条第（一）项规定的未注册商标也属于其范围。我国先是在反不正当竞争法中设有保护商业秘密的条款，《民法典》第123条第2款第（五）项又将商业秘密作为知识产权的一种类型，确立了其民事权利的地位，因而反不正当竞争法对于商业秘密的保护属于民事权利的保护，这与大多数法域不承认商业秘密为权利的认识不同。32《民法典》第123条第2款第（八）项对于知识产权的客体还作出了“法律规定的其他客体”的兜底规定，旨在“为未来知识产权客体的发展留出空间”。33因此，在我国权利保护与反不正当竞争法的调整并不冲突。

反不正当竞争法所保护的具体法益，有其保护客体的具体性及保护范围的确定性，符合权利的实质，不能因为固守行为法的习惯说法而不去直面其权利属性。基于具体法益与一般法益的区分而划分为权利保护和利益保护，不会导致反不正当竞争法结构内的自相矛盾，也不会与其法律调整的属性相违背。“民法上的‘权利’，常常从‘形式’和‘实质’上成为法律评价的对象。”“‘权利’作为‘正确的东西’，成为法律保护的对象，针对来自他人的侵害和介入应该成为‘堡垒’。”34“在现代人的眼里，产权被视为人们对任何潜在资源价值的分配控制权的抽象法律关系。”35数据保护专款只是未赋予数据持有人对其数据的绝对的排他性权利，但在一定范围和程度上赋予其控制力，也即构筑了符合数据保护要求的针对他人侵害和介入的“堡垒”，性质上属于为数据赋权。数据赋权的弱排他性及窄控制范围，恰恰成为其权利的特点，但不能成为否定其权利属性的理由。因此，将具体法益保护作为赋权的理解，符合我国界定权利的立法和司法习惯。

综上，我国学界对于数据赋权进行了理想化的探讨，但立法是务实的，甚至是渐进的，不能纯粹地理想化和理论化，数据保护专款基于当前的保护实际，对数据赋权进行了实体法保护的立法回应，已具有数据赋权的属性，赋权的方式、范围和强度恰恰构成了数据权利的特性。强调数据保护专款的赋权性，最直接的意义是通过运用权利侵害式的侵权判断范式，简化数据侵害行为构成的裁量因素，增强裁判结果的确定性。而且，最高人民法院在解读公布的第47批数据指导性案例的初衷时，首先指出“支撑和服务数据产权制度建设”，其中“某科技有限公司诉某文化传媒有限公司不正当竞争纠纷案”（指导性案例262号）确认某科技公司对汇聚短视频、用户评论、用户信息形成的数据集合享有经营性利益，正是按照《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“《数据二十条》”）提出的“谁投入、谁贡献、谁受益”原则依法保护数据处理者的权益，有助于推动数据要素收益向数据价值和使用价值创造者合理倾斜，充分体现了积极推动数据产权制度落地落实的司法导向。36这种推动数据产权制度落地的司法导向恰恰与《反不正当竞争法》数据保护赋权性的功能定位相吻合。

三、数据保护专款的规范结构解析

数据保护专款是近年来大数据背景下数据保护实践的总结和升华，数据保护实践构成其重要的立法背景和解释基础。数据保护专款比较完整地规定了数据侵犯行为的构成要件，确立了面向将来的法律适用范式，其抽象概括式的规定仍具有适用上的难度，并留下了较大的探索空间。

（一）数据保护专款的整体结构和保护定位

数据保护专款是以制止不正当行为的方式保护数据权益，即以“欺诈、胁迫、避开或者破坏技术管理措施等不正当方式”进行“获取、使用”，构成法定类型化的侵犯行为的范围；侵害的客体是“其他经营者合法持有的数据”，也即受保护的数据的法律条件；“损害其他经营者的合法权益，扰乱市场竞争秩序”则是损害后果要件。此前的司法裁判通常都是在认定数据受保护以及存在获取、使用行为之后，又通过分析对数据持有人权益的损害以及对竞争秩序的损害等，评判行为的不正当性。数据保护专款的上述结构契合了这种司法裁判的常规模式。

数据保护专款只是简约地规定了可保护数据的适格要件，并以例示性方式规定了“欺诈、胁迫、避开或者破坏技术管理措施”之类的明显不正当的侵害行为，显然是以不能再少、无法再低、不宜再多和明显构成的底线进路设计规范内容，体现了对数据进行最低限度保护的精神和定位。

（二）受保护数据的适格性

受保护数据需要符合特定的条件。在《反不正当竞争法》第二次修订之前，司法裁判通常对数据的受保护性先行加以界定，司法解释和行政规章的制定中曾经尝试规定数据保护的要件。最高人民法院《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释（征求意见稿）》第26条将受保护数据规定为“征得用户同意、依法收集且具有商业价值的数据”，即“征得用户同意”“依法收集”和“具有商业价值”。“征得用户同意”和“依法收集”当属一个要件，即“征得用户同意”通常是“依法收集”的主要内容和情形。《网络反不正当竞争暂行规定》第19条将受保护的数据规定为“其他经营者合法持有的数据”。数据保护专款采用“合法持有的数据”的表达，将其作为受保护数据的法定条件，包含了“合法”和“持有”两个要素，即合法性和归属性。合法持有显然不是受保护数据的全部条件，但一定是最为重要和最具共识的条件，所以为数据保护专款明确规定，也符合《数据二十条》明确提出的“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”的政策精神。这也说明，数据保护专款并未像界定商业秘密那样完整规定受保护数据的条件，估计是因为完整界定的条件还不成熟，当然也不排除立法者认为不必要。例如，《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释（征求意见稿）》第26条将“具有商业价值”规定为受保护数据的要件之一，该要件是不言自明和显而易见的，因为没有商业价值即无保护的必要性。37但是，受保护数据的其他要件，仍值得在学理上加以探讨。

《反不正当竞争法》规定的“合法持有的数据”，应当是指中央政策性文件（《数据二十条》38等）所称的企业数据，又可以称为商业数据，即经营者在生产经营活动中累积形成并用于生产经营活动的数据，或者说在市场竞争中形成、持有和使用的数据。而且，受保护的数据应当是大数据背景下的原始数据集合和数据产品（均为数据集合），不针对单个的个人数据。

（三）是否需要有管理措施的要求

国家市场监督管理总局公布的《中华人民共和国反不正当竞争法（修订草案征求意见稿）》第18条曾将“采取相应技术管理措施”规定为受保护数据的构成要件之一，但并未为国务院送请审议的“修订草案”所采纳。数据保护专款则将“避开或者破坏技术管理措施”作为所列举的不正当方式之一，显然不是将技术管理措施作为受保护数据的构成要件。我国司法实践中对待数据管理措施大致有三种态度。

一是将违反数据持有人的数据管理措施作为认定构成数据侵权的依据。在数据保护实践中，数据持有人通常都采取相应的数据保护措施，包括但不限于技术管理措施。当前的裁判虽然未必明确将保护措施作为数据的保护要件，但违反他人的管理措施而获取、使用他人数据，经常被作为认定不正当性的重要依据。常见的保护措施多种多样，包括技术措施和其他措施，如登录机制、IP频率访问限制、验证机制、“账号+密码”、数字签名、指纹识别、平台协议约定、robots协议等。

二是不采取管理措施不影响数据保护。如在“大众点评与百度公司”不正当竞争案39中一审、二审判决认为，百度公司的搜索引擎抓取大众点评网上的涉案信息虽未违反robots协议，但这并不意味着百度公司可以任意使用搜索引擎抓取信息。Robots协议只涉及抓取网站信息行为是否符合公认的行业准则的评价判断，不能解决抓取网站信息后的使用行为是否合法的问题，仍应当本着诚实信用原则和公认的商业道德，合理控制来源于其他网站信息的使用范围和方式。百度公司大量全文使用涉案点评信息，实质替代大众点评网向用户提供信息，对汉涛公司造成损害，其行为违反了公认的商业道德和诚实信用原则，构成不正当竞争。

三是将不采取管理措施作为不予保护的重要依据。如原告贝某公司与被告智某公司侵害数据权益纠纷案，40原告将案涉楼盘字典数据集在所运营网站上公开，普通用户无需登录即可自由查询访问。原告未设置robots协议及采取其他技术管理措施限制他人的获取和使用其数据。原告提供的是房产经纪信息服务，而被告提供的是数据分析服务，被告的被诉行为不会影响原告的相关用户选择。法院认为，被告利用爬虫技术获取原告案涉楼盘字典数据集中的部分数据，并未妨碍、破坏案涉网络产品或者服务正常运行，未违反2019年反不正当竞争法第12条第2款的规定。案涉楼盘字典数据集处于公开状态，原告未采取登录限制、robots协议、反爬技术等技术管理措施对案涉楼盘字典数据集进行保护，他人无从知晓原告对其数据集的保护预期。互联网环境本身具有信息共享、互联互通的特点，数据爬虫技术是互联网环境下获取数据的常见技术手段。原告将案涉楼盘字典数据集公开到互联网环境中时，即能够预见案涉数据集可能被任何人爬取利用。在原告未明确宣示对案涉楼盘字典数据集进行排他性保护的情况下，被告爬取案涉数据并利用的行为未违反商业道德和诚信原则。

如果基于受保护数据的构成要件进行考量，是否采取管理措施是数据能否受到保护的法定条件，即不采取相应的管理措施，所涉数据就不符合保护条件，其他经营者可以自由获取和使用。就数据保护而言，将管理措施作为保护要件是必要的。首先，管理措施的含义。数据的管理措施是指能够表达数据持有人保护其数据的意愿，且能够使其他经营者知悉数据持有人限制或者禁止他人获取或者使用其数据的各种保护性措施。这种管理措施包括但不限于技术管理措施，还可以包括各种声明、登录限制、robots协议、互联网服务协议等，但必须能够在互联网环境下易于为其他经营者识别。其次，管理措施具有公示功能。管理措施必须能够在互联网环境下易于使其他经营者正常获知，由此而使其他经营者能够知悉特定数据的受保护状态，从而发挥其公示功能，以此维护网络环境下的互联互通、交易秩序、交易安全，并降低交易成本。特别是，将采取管理措施规定为数据保护的法定条件，符合数据作为信息类无体财产的保护逻辑。有体财产具有物理上的天然公示性，财产本身具有产权的公示意义，其不可侵犯性易于为他人所识别，因此，即使大门敞开，其他人也不能擅自进去拿东西，否则构成侵权。信息类无体财产与此不同，其不具有天然的公示性和排他性，需要以管理措施之类的法律手段进行公示，使他人知道权利的存在和边界。而且，信息类无体财产的保护涉及权利保护与公有领域的平衡，在数据保护领域涉及数据权利保护与促进数据利用的平衡，以管理措施划定两者的平衡边界，是一种比较可行的平衡路径。

（四）数据侵害行为的类型化

基于无救济即无权利的原则，法律给予救济的边界即为赋予权利的范围。数据侵害行为的范围，决定了数据赋权的边界。因此，《反不正当竞争法》通过数据侵害行为的规定，确定了数据赋权的范围。数据保护专款通过规定行为的形态和行为的方式，界定了数据侵害行为的类型。行为的形态包括获取和使用；行为的方式包括欺诈、胁迫、避开或者破坏技术管理措施等不正当方式。

就数据侵害行为的形态而言，《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释（征求意见稿）》第26条只是规定“擅自使用其他经营者征得用户同意、依法收集且具有商业价值的数据”，仅规定使用行为而未单独规定不正当获取行为。《网络反不正当竞争暂行规定》第19条规定了“非法获取、使用其他经营者合法持有的数据”。《中华人民共和国反不正当竞争法（修订草案）》（以下简称“《反不正当竞争法（修订草案）》”）第13条第2款第（四）项规定“获取并使用其他经营者合法持有的数据”，即同时要求获取和使用。最后通过的数据保护专款则使用了行政规章的表达方式，即“获取、使用其他经营者合法持有的数据”，也即获取与使用的关系可以是获取或者使用，两者具备其一；也可以是获取并使用。从既有实践看，数据侵害行为大多数是获取并使用，鲜有获取而不使用的情形，但至少不排除将获取行为纳入侵害行为。

就数据侵害行为的不正当方式而言，《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释（征求意见稿）》第26条只是规定“经营者违背诚实信用原则和商业道德，擅自使用其他经营者征得用户同意、依法收集且具有商业价值的数据”，即以“违背诚实信用原则和商业道德”进行笼统的不正当性定性，未对常见的典型方式进行列举。《网络反不正当竞争暂行规定》第19条规定的“非法获取、使用其他经营者合法持有的数据”，仅以“非法”进行概括性定性。《反不正当竞争法（修订草案）》第13条第2款第（四）项规定了“以欺诈、胁迫、电子侵入等不正当方式”。最后通过的数据保护专款规定了“经营者不得以欺诈、胁迫、避开或者破坏技术管理措施等不正当方式”，其中删除了“电子侵入”，可能是因为所有的数据获取均涉及电子侵入；增加了“避开或者破坏技术管理措施”，应该是因为这是最为常见的不正当获取数据的方式，但又止于“技术管理措施”，对于避开其他管理措施未置可否，在法律解释上可以纳入“等”字的规定之中。

（五）数据侵害行为的后果性要件

数据保护专款的条文结构与此前《网络反不正当竞争暂行规定》第19条数据不正当竞争条款类似，只是因为后者是将侵害数据纳入2019年《反不正当竞争法》第12条第2款第（四）项兜底规定，为表示与兜底条款的归属关系，所以在“经营者不得利用技术手段，非法获取、使用其他经营者合法持有的数据”之后，再将兜底规定中的行为要件规定出来，即另外增加“妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行，扰乱市场公平竞争秩序”。从立法过程看，第二次修订《反不正当竞争法（修订草案）》将“以欺诈、胁迫、电子侵入等不正当方式，获取并使用其他经营者合法持有的数据”，作为“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”之一，即两者具有种属关系，不正当获取并使用其他经营者合法持有的数据是种概念，“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”是属概念，后者不是前者的递进式后果要件，也即符合前者的行为特征（构成要件）即已具足后者的“妨碍、破坏”后果，不需要再另外对于“妨碍、破坏”进行单独的认定。《反不正当竞争法》第13条第3款作为单独的数据保护条款之后，在其行为特征（或者构成要件）中又增加了“损害其他经营者的合法权益，扰乱市场竞争秩序”的后果要求，并与第13条第2款序言将各类网络不正当竞争行为定性为“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行”相区别，这种损害后果性的要件，显然是不正当“获取、使用其他经营者合法持有的数据”的递进式后果要求。

通常而言，数据保护专款中“以欺诈、胁迫、电子侵入等不正当方式，获取并使用其他经营者合法持有的数据”，似乎已足以满足数据侵害行为的要件，这些行为特征已足以表达出给予否定评价的要求，足以完整涵盖其不正当性的要件，也即已经表达出“损害其他经营者的合法权益，扰乱市场竞争秩序”的意蕴，没有必要再额外增加这些后果要求。那么，这些后果性要求是否有蛇足之嫌，是否为一种虚置性后果表述？这些后果要求的存在，的确在法律适用中易于引起是否需要再单独加以考量的争论。但是，问题显然没有如此简单。

数据侵害行为情况复杂，其构成不正当损害的要求不尽相同。有些行为的定性需要在损害程度上达到一定的量级，有些行为没有这种要求。《禁止网络不正当竞争行为规定（公开征求意见稿）》41第20条规定：“经营者不得利用技术手段，非法抓取、使用其他经营者的数据，并对其他经营者合法提供的网络产品或者服务的主要内容或者部分内容构成实质性替代，或者不合理增加其他经营者的运营成本，减损其他经营者用户数据的安全性，妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行。”此处所谓构成实质性替代等内容实际上是基于实践经验的总结对于各类数据侵害行为的损害后果要件的归纳。《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释（征求意见稿）》第26条也将“足以实质性替代其他经营者提供的相关产品或服务，损害公平竞争的市场秩序”作为数据侵害行为的损害结果要件。这些损害后果的归纳总结虽未进入最后的文本，但其总结仍很有价值。我国此前的司法实践也是将损害后果单独作为数据不正当竞争行为的考量要素，如在是否损害其他经营者利益上纳入造成实质性替代的后果，以及考量是否损害公共利益。42

数据保护专款应当是将“损害其他经营者的合法权益，扰乱市场竞争秩序”作为需要进一步考量的后果性要件。从损害后果的角度界定数据侵害行为，大体上有如下两种基本情形：（1）不正当获取数据行为，通常要求获取的数据较大，能够足以满足从事替代性经营活动的需求，或者足以不合理增加其他经营者的运营成本，减损其他经营者用户数据的安全性，妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行。（2）不正当使用数据行为，通常要求从事替代性经营活动，并达到实质性替代数据持有人经营活动的程度，也即实质替代是基本的衡量标准。如指导性案例262号“某科技有限公司诉某文化传媒有限公司不正当竞争纠纷案”归纳的裁判要点指出，对于未经许可获取并向公众提供相关数据，实质性替代网络平台产品或者服务，扰乱市场竞争秩序、损害网络平台经营者或者其他权利人合法权益的行为，人民法院可以适用《反不正当竞争法》有关规定，认定构成不正当竞争行为。本案某文化公司未经许可，抓取搬运案涉数据集合中大量用户信息、短视频和用户评论在乙App使用，导致乙App与甲App内容高度同质化，网络用户不使用甲App，通过乙App也可观看相同内容，实质性替代了某科技公司经营的甲App产品和服务。由此，某文化公司抓取搬运案涉数据并在乙App使用的行为，损害了某科技公司的经营性利益。

四、数据有限保护与例外制度

强调数据赋权和完善数据产权结构的观点经常将明晰产权与数据的强保护挂钩或者划等号，似乎认为当下的法律保护不足，实则不然。明晰和完善产权结构更主要是明晰权责关系，使保护与不保护各得其所，既保护应当保护的权利，又避免保护越界。司法裁判以具体诉求和个案事实为基础，能够及时地满足多样化的保护需求，必然是数据保护状况的晴雨表。近年来，以《反不正当竞争法》为主体的数据保护基本满足了数据保护需求，43数据保护专款主要是在法律上为数据保护正名，实现数据权利及其保护的法定化，但看不出有强化保护的意蕴。鉴于数据来源的公共性以及数据的生命在于开发利用，加之数据保护的情况复杂，当前以最低限度地赋权和保护更符合实际需求，不宜更多地渲染强保护，不能将完善产权结构与强保护划等号。鉴此，为数据保护设置限制和例外就非常重要，数据保护专款未设置不予保护的例外情形，是法条设计上的遗憾，或许是因为例外情形设计的现实困难和条件不具备。但是，例外制度至关重要，应当积极地加以探索完善。

（一）例外制度的必要性

干预信息市场的主要经济正当性是与信息产品相关的公共物品市场失灵，即信息产品一旦产生，就不能有效地排他；如果不赋予知识产权，就会导致投资发明创造、创造新作品或者改善现有信息材料缺乏激励。创设知识产权可以矫正此类市场失灵，即法律通过赋予排他性权利而救济信息的物理排他的缺乏，并提供激励机制。但是，与物理性排他不同，信息的法律赋权需要留下灵活的空间，通过设定权利限制和例外，确保为信息物品的最大可及性提供最佳调整。44数据保护同样有此类经济正当性的命题，在保护的同时要有足够的限制和例外，以提高经济效率并防止数据市场失灵。

数据保护与数据利用之间的关系是数据赋权和数据权益保护中的基础关系。数据赋权和数据保护类似于数据的“圈地运动”，既要通过适当的赋权和保护激励数据的形成、持有和利用，又不至于过度地限制数据的共享和公众利用。尤其是对于信息类无体财产，选择财产规则和责任规则，涉及“不当配置成本”（misallocationcosts），即一方获得远超所值的收益，并通过限制他人本应为合法的行为而造成重大的社会福利成本，必然会抑制社会创新。45数据作为具有非竞争性和非排他性的无体财产，在法律保护上要限制其保护范围和保护强度，保留数据共享和利用的足够公共空间，防止赋予过多的排他性控制权利，在激励数据形成的同时，积极促进数据资源的开发利用，实现数据价值的最大化。因此，数据赋权只能是形成一种弱排他性的权利。在数据赋权中妥善处理数据保护和数据利用的关系，有两个基本路径。首先，关键是界定数据权利的范围，未超出该范围的数据获取和利用即具有合法性。数据保护专款已经通过界定数据不正当竞争行为构成要件而界定了数据的有限保护范围。其次，为数据侵害行为设定例外规则。我国反不正当竞争法数据保护专款对此并未像日本和韩国反不正当竞争法数据专条那样规定例外情形，但在我国司法实践中已注意开始对例外情形的探索。

从比较法的角度来看，日本反不正当竞争法引入数据保护条款时有对其过度保护的担忧，即如果将广泛的数据利用行为认定为不正当竞争行为，可能造成阻碍数据后续灵活利用的不良后果，因此着重考虑了数据提供者与利用者之间的利益平衡，以最小范围规制作为基本方针，对于数据采取了弱保护和最低限度救济的立法思路。〔46〕为了确保公众获取、使用和披露信息的权利，平衡数据持有者和数据利用者之间的利益，保证交易安全，防止过度萎缩使用数据的事业活动，日本《反不正当竞争法》数据保护条款（第19条第1款第8项）规定了两种适用除外行为。例外之一是，获取、使用或者披露与公众可以无偿利用的信息相同的限定提供数据的行为。如果获取、使用或披露的限定提供数据与公众可以无偿利用的信息（即开放数据）相同或实质相同，则获取、使用、披露行为不属于不正当竞争行为。该规定旨在确保一般公众获取、使用数据的自由。“无偿”指不需要支付任何对价，不限于不支付金钱，“公众”指不特定多数人。例外之二是，在原权限范围内披露限定提供的数据的行为。此种适用除外行为确保了交易安全和秩序，此即通过交易获取限定提供数据的行为人，如果获取时不知道该数据存在不正当获取或者披露的事实，即善意获取该数据，即使事后知道该数据存在不正当获取或者披露的事实，即善意获得后变为恶意，依旧可以在变为恶意之前通过交易取得的原权限范围内披露该数据。〔47〕

《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释（征求意见稿）》第26条第2款曾经规定了例外情形，即“经营者征得用户同意，合法、适度使用其他经营者控制的数据，且无证据证明使用行为可能损害公平竞争的市场秩序和消费者合法权益，控制该数据的经营者主张属于反不正当竞争法第十二条第二款第四项规定的行为的，人民法院一般不予支持。”这显然也是通过设置例外以平衡保护与合理利用关系的一次尝试，虽然最终未正式采纳，但其导向和精神仍具有意义。特别是，当前生成式人工智能迅猛发展，大模型人工智能训练需要获取和使用海量的低成本数据，为促进人工智能的发展，有必要在数据的获取和利用上为其留出足够宽松的空间。48

（二）例外的具体情形

平衡好数据保护和数据利用的关系是数据保护专款的核心立法精神和政策取向，49也是设计例外制度的法律和政策依据。至少就具体权益保护而言，“财产理论和政策考量（property theories and policy considerations）在确立不正当竞争案件的法律规则中处于中心地位”。50数据保护的例外情形除考量法律上的正当性以外，还要重视促进新技术新产业发展等政策因素考量。基于目前的实践及数据保护的特性，除外情形至少可能有如下几种：

（1）所获取或者使用的数据可以从其他公开渠道自由获取。此类数据可以视为公有领域的数据。如指导性案例264号“某钢铁有限公司诉某电子商务股份有限公司侵权责任纠纷案”归纳的裁判要点为，数据处理者依法采集企业数据，经符合有关标准的编制方法加工形成数据产品并合理利用，未对企业权益造成损害，相关企业要求数据处理者承担侵权责任的，人民法院依法不予支持。法院认为数据信息具有非排他性。通常而言，对于不属于国家秘密、个人信息和商业秘密的数据信息，应允许自由流动，非因法定事由不应过度管控，以防止形成“数据壁垒”“信息封闭”。本案案涉产品出厂价格系公开市场中自由流通的信息，不涉及产品成本、工艺等商业秘密，采集、使用该类信息用于编制行业价格指数，没有违反法律法规，某电子公司采集加工数据的行为具有正当性。又如，深圳智某服务有限公司与深圳前海融某有限责任公司不正当竞争纠纷案51二审判决认为，对于涉及公共利益的原始、公开数据，数据处理人仅对数据附加简单劳动予以收集，未作出新的实质性贡献的，其对该等数据一般不享有单独权益。本案针对港股孖展原始数据集合这一样本，着眼于数据作为信息社会的重要生产要素这一定位，从有利于数字经济长远发展和粤港澳大湾区产业整体创新的高度出发，在数据处理者劳动价值和社会公众获取信息的自由之间进行合理利益平衡，指出对于涉及公共利益的原始、公开数据，在数据处理者的劳动尚未作出实质性贡献的情况下不应轻易赋权，以免发生反公地悲剧。

（2）数据的获取或者使用不足以给其他经营者造成实质性损害。这在法理上相当于“法律不理琐细”，本质上还属于没有造成实质性损害。如指导性案例264号中法院认为被告发布数据行为不构成不正当竞争的理由还有，无证据证明某钢铁公司数据权益受到损害，即某电子公司的正当采集使用行为未影响某钢铁公司对自身出厂价格数据的持有与使用，亦未造成其经济损失。当前裁判更多从具有损害的视角使用实质性替代标准。如果反过来作为例外的情形，也是一个不错的选择。

（3）获取或者使用权利人数据不会与权利人的正常经营活动相冲突，不实质性损害权利人经营利益的情形。这是借用保护著作权的伯尔尼公约所确立并为国内法广泛承认的“三步检验法”，将其引入数据保护架构有利于促进数据共享。尤其是在人工智能方兴未艾的当前形势下，在数据保护中需要为人工智能的数据挖掘保持宽松的环境，促进其发展。这涉及重要的政策选择，为此，不妨借鉴“三步检验法”。如前述原告贝某公司与被告智某公司侵害数据权益纠纷案，52法院判决着重分析了被告获取和使用原告公开数据对原告正常经营活动没有实质损害。

（4）以不违反诚实信用和商业道德的方式获取或者使用他人数据的其他情形。这是保留一个兜底条款，为促进公共利益等目的的数据合理使用留下空间。指导性案例263号“某网络信息技术有限公司诉某信息科技有限公司不正当竞争纠纷案”归纳的裁判要点为，网络平台向用户提供关联账号服务，经用户授权后转移其在关联网络平台获取的数据，为用户在合理范围内处理该数据提供便利，未扰乱市场竞争秩序的，不构成不正当竞争行为。本案的争议焦点为某信息公司提供关联账号服务并获取、保存、使用案涉简历数据的行为是否构成不正当竞争行为。法院认为，关联账号服务是网络空间中较为常见的服务模式，某信息公司提供关联账号服务的行为具有正当性，某信息公司经用户授权获取、保存、使用甲网站简历数据的行为不构成不正当竞争行为。某信息公司的案涉行为没有扰乱市场竞争秩序，亦未损害其他经营者、消费者的合法权益，不构成不正当竞争行为。

五、数据与商业秘密竞合的选择适用

学界对于数据的涵义已进行了广泛的深入探讨和研究。53我国数据安全法第3条第2款将数据界定为“任何以电子或者其他方式对信息的记录”。这种界定以简明的语言直击数据的本质，即数据是信息的载体，而信息是数据的内容，两者是一体两面。数据保护的本质是保护数据承载的信息。《反不正当竞争法》数据保护专款更是将数据视为信息进行保护。同样，商业秘密也是以信息为保护客体，在数据与商业秘密之间会存在交叉，保密性数据能够同时落入商业秘密和数据的保护范围时，就产生法条竞合的问题，需要理顺两者之间的适用关系。

（一）司法对于商业秘密类数据保护态度的变化

在数据保护初期，我国司法实践通常将数据作为一种新型客体进行保护，不再区分是否属于商业秘密，或者数据持有人对于保密性数据不再主张商业秘密保护。换言之，对于数据的保护进行一体化对待，不再甄别是否属于商业秘密，一概依据第二次修订前的《反不正当竞争法》第2条或者第12条进行保护。如“淘宝诉美景生意参谋案”54以及“生意参谋行政案”55和“小旺神数据侵权案”56均涉及“生意参谋”这一数据产品。“生意参谋”是淘宝公司、天猫公司和淘软公司在其合法搜集的用户痕迹数据等经营数据基础上，通过函数化、模型化等技术手段进行加工，通过“指数化”的方式对真实数据进行脱敏处理，形成指数型、统计型、预测型的不为公众所知的衍生数据产品。“生意参谋”为商家提供市场排名、搜索分析、竞争分析、行业分析等方面的数据分析与服务并收取费用，形成淘宝、天猫平台的特定商业模式。“淘宝诉美景生意参谋案”法院判决依据《反不正当竞争法》第2条，将“生意参谋”作为数据权益加以保护。“生意参谋行政案”和“小旺神数据侵权案”则因“生意参谋”属于保密信息且符合商业秘密要件，依照商业秘密条款加以保护。这些案件对于同一数据客体适用不同法律依据进行保护，至少就保护实践而言，两种保护客体具有兼容性，当然也提出了如何处理两者之间关系的问题。

（二）数据在商业秘密和数据权益保护上的竞合性

虽然网络环境下大数据意义上的数据具有保密措施认定等方面的特殊性，57但是数据（尤其是数据产品）如果具有足够的秘密性和保密性，整体上符合商业秘密构成要件的，完全可以构成商业秘密。58在特定数据同时符合商业秘密和数据保护条件时，即构成了一种法律竞合。法律竞合有排他性竞合（一个规范排斥另一个规范的适用）与累积性竞合（两个规范可以并行适用于同一事实）。59对于商业秘密与秘密性数据的竞合，在法律适用上可以有两种选择：一种是依照特别规定与一般规定的关系处理，即鉴于商业秘密的保护要件更为严格，可以将商业秘密条款视为特别规定，数据保护专款视为一般规定，依照特别规定优先适用的方式进行保护，也即商业秘密保护排斥数据权益保护。或者相反，将数据条款视为数据保护的特别规定，数据权益优先纳入数据保护专款进行保护。这是一种排斥性竞合的思路。二是将两者视为平行的竞合关系，可以由数据持有人或者行政执法机关选择保护路径。这是一种累积性竞合的思路。

日、韩两国的反不正当竞争法将商业秘密与数据之间的关系设定为排斥关系。我国已有判决基于专门条款优先适用的法理，认为商业秘密与数据保护之间存在的是排斥关系，60当然其背景是依据《反不正当竞争法》第2条保护数据，基于一般条款与商业秘密专门规定之间的排斥关系。61但是，在商业秘密与数据保护条款为并列的法律规范之时，从实效的角度，将数据保护与商业秘密保护视为可以任意选择的累积性竞合关系，而不是排斥性的冲突关系，在数据保护的制度设计上更为可取。首先，大数据背景下的数据价值更主要来源于数据的“海量”，且达不到商业秘密保密程度的数据已受保护，达到保密程度的数据纳入商业秘密保护自不待言（举轻以明重），但不寻求商业秘密保护也不必强求。两者保护门槛不同，可以相互补充而互不排斥。其次，两者保护各有优劣，如数据保护可以避免识别商业秘密保护中保密措施适格性的难题，可以简化数据权益的保护难度，而商业秘密保护则具有更大的强度。在此情况下无需堵塞当事人选择数据保护的具体路径。特别是，原始数据集合和数据产品在保护需求和保护程度上各有差别，提供数据保护和商业秘密保护的自由选择，可以更好地满足多样化的保护需求。

数据的价值来源于规模性数据集合，数据的公开不影响其价值，甚至因为可公开而具有价值。数据保护的独立价值则在于数据蕴含的信息内容本身，采取管理性保护措施的目的是公示其数据控制权，因可控制而可以实现特定商业目的。商业秘密保护的价值来源于其保密性，一旦受保护的信息丧失秘密性即丧失其价值，因而需要采取足以保持秘密性的保密措施。数据保护不能完全适用商业秘密条款的深层次原因在于二者立法目的的差异：数据保护立法强调的是数据的流通和利用，控制和赋权是为了更好地共享数据；而商业秘密试图保护信息的独家占有和垄断，以形成信息不对称的竞争优势，要求商业信息处于完全封闭的状态。信息所处状态的不一致决定了二者适用规则的不匹配，故而商业秘密条款在数据权益保护实践中并不具备很大的适用空间，只是在一些需要保密才能维持其价值的数据产品等数据集合中，才有可能适用商业秘密保护。因此，二者在大多数情况下各行其道，不能进行兼容性保护；二者竞合时的选择适用不会影响整体的数据保护格局。

六、结语

《反不正当竞争法》通过创设数据保护专款，实现了数据权利及其保护的法定化。数据保护专款虽置于互联网专条之中，但基于其保护数据权益的立法意图、数据权益保护的立法定位以及独立的法律规范架构，完全可以自成一体地作为单独条文加以规定，置于互联网条款中并不影响其法律调整的独立性。数据保护专款只是设定一个基础性法律保护框架，有宽松的发挥空间和创造性适用余地，在实践中仍需要不断地界定其规范内涵和丰富其具体适用。数据保护专款以数据权益保护为重点，但明显采取了最低限度保护的立法思路和立法定位，涉及数据保护与数据利用以及数据权利与权利限制等重要利益平衡，特别是涉及促进人工智能等新技术新产业发展的重要政策选择，因而在适用中仍应继续探索。尤其是，数据保护专款在《反不正当竞争法》框架内构建了基本的数据产权结构，能否满足不断变化的数据资源利用和数据保护需求，是否需要在积极的层面构建更为系统的数据产权制度，仍需要进一步检验。无论如何，最好跳出现有的财产权理论框架，按照其本身属性和现实需求，将本属于新生事物的数据塑造为独立的权利形态并称其为数据权，根据其客体属性和保护强度等塑造权利内容，尤其是注重限制权利内容和平衡多种利益，并可以归入更大的权利体系（如知识产权）。就像商业秘密始终纳入《反不正当竞争法》保护而并未影响其成为权利，数据保护同样可以如此。

---

凡本网站标明“来源：XXX（非吉林大学司法数据应用研究中心网）”的作品，均转载自其他媒体，转载的目的在于分享信息、助推学术交流，并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用，请联系本网，本网即予删除。