从反法修订到商业秘密新规:数据权益保护的路径探索

来源:TA娱乐法

文章摘要
引言: 当数据成为贯穿生产、流通、消费全链条的核心生产要素,一个现实的问题便是:数据权益的保护路径该如何构建?

引言:
当数据成为贯穿生产、流通、消费全链条的核心生产要素,一个现实的问题便是:数据权益的保护路径该如何构建?“数据二十条”明确提出“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”,为数据保护划定了顶层设计方向。[1]2025年新修订的《反不正当竞争法》(以下简称“新反法”)第13条第3款增设“数据保护专款”,将之前司法保护的实践进行升华,解决了具体法律依据问题。而2026年2月24日国家市场监督管理总局发布的《商业秘密保护规定》(以下简称“新规定”)则就商业秘密保护适配数据权益的制度规范进一步细化,将数据、算法、代码等数字化客体纳入商业秘密保护范围,针对数字化场景明确了保密措施认定、侵权行为界定、举证责任分配等核心规则。
本文结合最新立法动态与典型司法案例,从理论模式选择、商业秘密路径适配性、实务指引三个维度,探索数据权益保护的可行路径。
一、数据权益保护的两种模式及其实践选择
我国数据权益保护的制度构建,始终在赋权模式与行为规制模式的争议中,寻找着贴合中国实践的最优解。前者试图为数据创设全新的排他性权利,后者则通过规范具体行为实现利益平衡。[2]
赋权模式的核心主张,是通过立法设立数据所有权、用益权等新型绝对权,以物权化的逻辑完成数据确权。这一路径的理论根基在于劳动价值论与投资激励论,认为企业为数据收集、加工、整理付出了实质性投入,应当享有完整的排他性产权。[3]但在实践中,这一路径始终面临难以逾越的障碍:数据来源的多元性,决定了其无法像传统有体物一样划定清晰的权利边界,原始数据涉及用户个人信息权益,加工数据融入平台劳动投入,单一赋权无法平衡多元主体的利益关系。同时,绝对权的排他性与数据“流通增值”的本质属性相悖,过度赋权易引发数据垄断,与数据要素市场化配置的政策目标背道而驰。[4]也正因如此,尽管赋权模式的学术探讨从未停歇,但始终未能转化为立法实践。
与之相对的行为规制模式,则以反不正当竞争法为核心,通过对不正当数据获取、使用行为的否定性评价,实现对数据权益的保护。这一模式更好适配了数据产权的新兴法益属性,也契合了“淡化所有权、强调使用权”的政策导向,成为司法实践中的主流选择。例如,新浪微博诉北京淘友天下(脉脉)案[5]中,法院通过认定脉脉“超出授权抓取用户数据”违反商业道德,适用一般条款作出不正当竞争认定,避免了数据确权的争议。但在2025年反法修订之前,这一模式长期陷入“向一般条款逃逸”的困境:由于缺乏数据不正当竞争的类型化规则,法院在绝大多数案件中,只能援引反法第2条的一般条款,以“违反商业道德”“搭便车”等抽象标准认定行为不正当性。这种裁判模式高度依赖法官的自由裁量,不仅导致同案不同判现象频发,更无法为市场主体提供稳定的行为预期,也使得数据权益保护始终处于模糊化的状态。[6]
尽管数据在法律上还未被赋予财产性的权利,但是在司法实践中,数据已经被法院赋予了竞争性财产权益。[7]法院通过大量的个案裁判,已逐渐实现对“行为规制模式”的完善。数据权益保护的立法演进,呈现“互联网专条→数据保护专款→商业秘密新规”的发展进程:2019年《反不正当竞争法》第12条“互联网专条”列举了流量劫持、恶意不兼容等行为,但未明确涵盖数据抓取、盗用等核心纠纷,只能通过兜底款项结合一般条款适用,规制范围有限。2025年“新反法”第13条第3款增设“数据保护专款”,明确禁止“以欺诈、胁迫、避开或者破坏技术管理措施等不正当方式,获取、使用其他经营者合法持有的数据”。这一修订填补了公开数据保护的立法空白,将数据不正当获取、使用行为类型化,减少了一般条款的适用依赖。2026年“新规定”明确将“数据”“算法”等纳入秘密信息范畴,细化数字化场景的保密措施与不正当手段,构建系统化行政执法体系,为非公开数据提供了精准保护路径。结合新反法的数据专款,形成了“非公开数据→商业秘密保护”“公开数据→数据专款规制”的协同,实现了对不同类型数据的差异化保护。[8]
二、数据权益保护的商业秘密路径适配性
商业秘密保护路径从数据权益保护的司法实践中脱颖而出,是由于相较于一般条款的规制,其具有天然的制度优势:其一,它有着清晰、稳定的构成要件体系,司法认定无需依赖抽象的商业道德判断,能够大幅提升裁判的确定性;其二,它的保护门槛极具弹性,相较于著作权的“独创性”要求,商业秘密满足秘密性、价值性、保密性三大要件即可,能够覆盖绝大多数非公开数据的保护需求;其三,它有着完整的救济体系,兼具民事、行政、刑事三重救济路径,保护强度远高于一般条款的民事救济,能够有效应对数据侵权隐蔽性强、损害后果严重的特点。[9]2026年“新规定”回应数字时代需求,让商业秘密保护与数据特性深度适配。
(一)保护客体范围扩大:“数据+算法”正式入列,秘密性与价值性的认定有所拓展
“新规定”第五条首次在部门规章层面明确:“数据”“算法”“计算机程序”“代码”属于受保护的“技术信息”,“与经营活动有关的数据”归入“经营信息”,解决了数字资产保护缺乏明确依据的难题。从司法认定来看,秘密性判断对象为“数据集合”而非单个条目——即便单个数据公开,但若集合经过“实质性投入”整合或加工形成新信息,公众无法轻易获得,即符合秘密性要求。如数据资源第一案的淘宝诉淘数“小旺神案”[10]中,单个商品数据可能公开,但平台汇总数据均不对外公示,衍生数据产品“生意参谋”展示的亦是指数化数据,该类数据存储于淘天平台后台服务器中,外界无法通过正常手段获取,法院认定其具有秘密性;全国首例语音数据集侵权案[11]中,原告投入巨资录制的1505小时语音集合,虽单个片段无秘密性,但整体具备秘密性与价值性,被认定为商业秘密。依据“新规定”第七条,价值性的判断则从“现实利益”向“潜在价值”延伸,数据的商业价值不仅包括交易收益、广告变现等现实利益,还涵盖AI训练、市场分析等潜在价值,阶段性成果、失败实验数据只要能带来竞争优势,便符合要求,企业可通过数据知识产权登记证、研发投入凭证等举证。
(二)保密措施细化:数字化场景适配,保密性认定需满足“相应合理措施”标准
“新规定”第九条针对远程办公、跨境协作等数字场景,列举了权限分级、数据脱敏、操作日志留痕等八大类“合理保密措施”,强调“实质有效”而非“形式合规”。“新规定”第十二条明确保密义务可源于制度告知或书面要求,留存培训签到表、告知函回执即可证明履职。司法实践中,法院对保密措施的要求为“合理”而非“绝对有效”。法院认定数据主体是否采取合理保密措施,从两方面综合判断:一是保密措施的具体实施:需审查数据主体是否对交易相对方进行资格筛查、签订保密协议并限定数据使用范围;是否采取密码保护、异常监测、反爬取等技术防护;是否制定配套处罚措施威慑侵权行为。二是保密措施的合理性:需结合数据性质(非公开数据应聚焦权限控制)、商业价值(数据流通需求决定无需完全保密)、保密意愿(多样措施可体现意图,且能让接触者感知)、对应程度(措施需足以防范一般泄密风险)综合判断。[12]
(三)侵权认定清晰:数字化手段列明,举证规则的优化适用
“新规定”第十条将“电子侵入”列为独立侵权手段,细化为侵入系统、超授权接触、擅自传输至外部空间等四类情形,并确立“脱离控制即侵权”标准——只要数据被未经授权转移至外部空间,无论是否使用,均构成非法获取,这大幅优化了司法实践中的举证规则。数据纠纷中,举证仍遵循“实质性相似+接触-合法来源”逻辑,但“新规定”降低了原告举证难度:原告需证明涉案数据构成商业秘密、被告使用的数据与之实质性相似、被告有接触机会,无需证明被告实际使用数据,通过系统操作日志、云盘传输记录等即可证明侵权;被告需举证数据具有合法来源(如独立收集、授权使用),无法举证则推定侵权。如首例人工智能算法商业秘密侵权纠纷案,[13]二审法院经审理推翻一审认定,被告核心人员均曾任职于原告公司,具有接触涉案商业秘密的合法渠道、双方产品核心功能场景表现高度一致,且被告无法合理解释其成立不足两个月即推出涉案功能产品的研发合理性,其提出的“技术源自开源代码”的抗辩因缺乏有效事实支撑不能成立。最终,二审法院依据“接触+实质相似-合法来源”的侵权认定原则,确认被告构成共同侵权。
(四)执法与司法衔接:系统化保护机制,双路径维权落地
“新规定”明确商业秘密案件由设区的市级以上市场监管部门管辖,细化立案标准、行政处罚裁量等规则,实现行政保护与司法保护的无缝衔接,这一机制在司法实践中已形成“双路径”维权模式。企业既可以向监管部门举报,借助行政力量快速制止侵权、固定证据;也可直接提起民事诉讼主张赔偿,涉嫌刑事犯罪的可移送公安机关追究刑事责任。
三、数据权益保护的诉讼策略与企业合规启示
采用商业秘密路径保护企业数据,既要善用“新规定”的提示降低维权难度,也要提前构筑全流程保密防线,实现“攻防兼备”。
(一)诉讼的关键在于“证据扎实、节奏可控”,结合新规定与司法实践,可在诉前与诉中最大化维权效果:
诉前准备阶段,重点在于围绕构成要件做好证据留存。首先要明确“秘密点”的界定,不能泛泛主张整个数据库构成商业秘密,而应提炼数据集合的实质部分或核心特征——比如AI训练数据集的核心标注规则、用户行为数据的整合算法逻辑、客户数据的独特分类维度等,让秘密点具备可识别、可比对的属性。其次是证据收集的针对性,重点围绕三类证据发力:保密措施证据需涵盖技术方案(如权限配置截图、加密协议、反爬虫设置说明)、管理文件(保密协议、培训记录、离职交接清单),直接证明企业已履行合理保密义务;“接触+实质性相似”证据要锁定被告接触路径(如合作协议、员工劳动合同、系统登录日志、爬虫访问痕迹);提前完成数据知识产权登记,凭借《数据知识产权登记证》作为权利持有、数据合规采集的初步证据,大幅降低举证难度。
诉讼推进阶段,核心在于巧用规则、把控节奏。依据“新反法”第32条及2026“新规定”,原告只需完成“初步举证”——证明涉案数据构成商业秘密、被告有接触机会、双方数据实质性相似,即可将举证责任转移至被告,由被告证明其数据具有合法来源(独立收集、授权使用等)。实践中,可通过提交系统操作日志、技术鉴定意见等,直接证明被告存在“电子侵入”“擅自传输数据至外部空间”等侵权行为,无需证明被告实际使用数据,大幅简化举证逻辑。在侵权事实清晰的情况下,应及时申请行为保全,要求被告停止使用、披露涉案数据,防止市场份额流失、商业价值贬损等损害扩大,“新规定”对数字化侵权行为的明确界定,让行为保全的获得概率显著提升。损害赔偿主张方面,可优先选择“合理许可费的1-3倍”或“被告侵权获利”作为计算依据,最大化赔偿数额。
(二)合规是数据保护的前提,企业可结合2026“新规定”要求,建立“识别-防护-衔接”的全流程体系,从源头降低泄密与侵权风险:
首先是做好数据识别与分级分类,明确保护边界。要全面梳理企业数据资产,识别出符合商业秘密属性的核心数据——包括研发类(算法代码、AI训练数据集、实验数据)、经营类(用户交易数据、客户名单、交易报价)、运营类(流量分析数据、产品优化数据)等;在此基础上实施分级分类保护,分类结果需动态更新,每季度结合业务发展新增AI模型、迭代算法等新型资产,确保保护范围不遗漏。
其次是做好保密措施,实现“制度+技术+商业”三重防护。制度层面,需制定《数据安全与保密管理制度》,组织全员培训;与员工、合作伙伴签订针对性保密协议,员工协议需明确保密义务、涉密载体返还与数据删除责任,合作协议需约定数据使用规则,跨境合作时还应加入数据脱敏、域外适用等条款。技术层面,落实“新规定”要求,部署全流程技术措施:权限管控遵循“最小权限原则”,按密级分配访问权限;数据存储、传输采用AES-256等高强度加密算法,;部署反爬虫系统、异常行为监测工具;所有数据操作均留存不可篡改的电子日志。商业层面,在数据交易、授权使用等场景中,利用谈判手段明确数据接收方的保密义务、使用边界(如禁止二次传播、禁止用于竞争业务),并设置量化的违约责任(如按侵权获利的一定比例赔偿),从商业合作环节阻断泄密路径。
最后是做好与“数据保护专款”的衔接,实现差异化保护。对于必须公开的数据(如地图平台的公开地理信息、电商平台的商品展示数据),需设置有效技术管理措施(如合理的Robots协议、IP访问限制、动态加载技术),一旦遭遇恶意爬取,可依据2025年“新反法”的“数据保护专款”维权,主张被告“避开技术管理措施”的不正当竞争责任;对于非公开数据(如核心算法、用户隐私数据),坚持商业秘密保护路径,凭借“秘密性、价值性、保密性”三要件获得最强排他权,禁止他人非法获取、使用、披露。
结语:
数据权益保护的路径探索,本质是在“激励数据生产”与“促进数据流通”之间寻找平衡。新反法“数据保护专款”与商业秘密保护新规的协同,已形成“非公开数据→商业秘密保护”“公开数据→数据保护专款规制”“新型纠纷→反法一般条款兜底”的体系化框架,[14]这一框架既回避了赋权模式的理论争议,又弥补了传统行为规制模式的不足,符合我国数字经济发展的现实需求。
商业秘密路径作为非公开数据保护的核心,其适配性与保护力度已得到实践验证,但企业需明确其适用边界,避免过度依赖。对于公开数据,应充分利用新反法“数据保护专款”,通过设置合理技术措施、留存投入证据,实现对“实质性投入”的保护。同时,企业需构建全流程合规体系,从数据分级、保密措施、合同约定到登记存证,构筑数据权益的“防火墙”。
数据权益保护的终极目标,不是“独占数据”,而是通过明确的规则,让数据在“保护中流通,在流通中增值”。随着法治体系的不断完善,数据要素的潜力将得到充分释放,为数字经济高质量发展提供坚实的法治保障。[15]
参考文献:
[1]参见“构建数据基础制度 更好发挥数据要素作用——国家发展改革委负责同志答记者问”,载央广网https://news.cnr.cn/native/gd/20221219/t20221219_526099564.shtml。最后访问日期:2026年3月25日。
[2]孔祥俊:《<反不正当竞争法>数据保护专款的法律构造——行为规制与数据赋权的二元统一》,载《比较法研究》2026年第2期。
[3]龙卫球:《再论企业数据保护的财产权化路径》,载《东方法学》2018年第3期。
[4]崔国斌:《大数据有限排他权的基础理论》,载《法学研究》2019年第5期。
[5]参见北京知识产权法院(2016)京73民终588号民事判决书。
[6]李文超:《论数据集合财产权益的司法保护》,载《数字法治》2024年第6期。
[7]陈志君:《数据知识产权司法保护进路探析》,载《中国应用法学》2025年第5期。
[8]孔祥俊:《“互联网专条”与“数据保护专款":点睛之笔与立法突破——新修订<反不正当竞争法>释评之二》,载微信公众号“知产前沿”2025年7月4日,https://mp.weixin.qq.com/s/YolH7cS1YYkTofnK4ZSwdw,最后访问日期:2026年3月27日。
[9]崔国斌:《新酒入旧瓶:企业数据保护的商业秘密路径》,载《政治与法律》2023年第11期。
[10]参见江苏省南京市中级人民法院(2023)苏01民初4082号民事判决书。
[11]参见北京知识产权法院北京知识产权法院(2024)京73民终546号民事判决书。
[12]同注7。
[13]参见最高人民法院(2023)最高法知民终1503号民事判决书。
[14]同注7。
[15]张晨阳:《我国数据交易流通中商业秘密保护规则的构建》,载《中国社会科学院大学学报》2025年第9期。

技术驱动法律,专业成就未来