商业数据的概念辨析

商业数据作为数据流通的基础概念，须正确厘清其内涵。《反不正当竞争法修订草案（征求意见稿）》中借鉴商业秘密对商业数据进行界定的方式，仍然无法清晰指引司法裁判。为有效解决商业数据概念不清晰的问题，建议对商业数据的定义采取“四要件说”，即依法收集、具有商业价值、经过技术管理措施处理、加工后得到的衍生数据。

商业数据作为数据流通的基础概念，正确厘清其内涵是构建商业数据保护制度设计和展开的基本逻辑起点。尽管此前学界广泛采用“企业数据”的表述，且“企业数据”仍然是当前最流行的概念，但“商业数据”这一表述更能“准确反映其收集主体、对象和目的，可以涵盖所有用于商业用途和市场竞争的数据”，且商业数据的持有主体也不仅限于企业[1]。故此，本文采取“商业数据”这一表述进行论述。

2022年11月，国家市场监督管理总局针对《中华人民共和国反不正当竞争法（修订草案征求意见稿）》（下称《反法草案》）公开征求意见，拉开了《反不正当竞争法》新一轮修订的序幕。但是，《反法草案》中借鉴商业秘密对商业数据进行界定的方式，无法清晰指引司法裁判。为此，本文从多视角分析商业数据的概念、要素化过程与特征，并进一步界定商业数据的概念。 

商业数据概念的界定尚不明确

商业数据与其他数据类型存在交叉叠加的现象。商业数据的概念在《反法草案》中被系统性地提出。《反法草案》借鉴商业秘密保护的立法逻辑和模式，将“商业数据”定义为“经营者依法收集、具有商业价值并采取相应技术管理措施的数据”。换言之，商业数据应具备依法收集、商业价值和可管理性，此即商业数据的“三要件说”。然而，商业数据的“三要件说”存在不明确和实践要求不一致的争议，主要体现在以下两个方面。

首先，“依法收集”究竟指什么？该要求排除了非法收集的可能性。然而，对于数据收集行为是否合法，目前尚未有定论，对于无法证明是合法收集的数据是否一定不能产生权益，也尚存在争议。依法收集包括符合所有法律法规的规定，即数据收集行为不得违反现行有效的法律法规。商业数据的收集主要可分为直接收集和间接收集两种方式：前者是基于为客户提供服务或日常运营所需而进行的数据收集；后者则主要通过API接口等技术进行数据的访问和交易收集。在直接收集过程中，由于商业数据中涵盖大量个人信息，尤其需要遵守《个人信息保护法》的数据收集规定，即需经过个人同意方可收集个人信息。然而，在用户和平台之间存在不平等关系的情况下，用户为了享受企业更便捷的服务，往往将个人信息作为一种交换条件。在这个过程中，用户往往不会或无法阅读冗长的用户须知，因此“知情同意”方式已不足以证明用户已充分了解并同意数据收集行为。而在间接收集过程中，企业需要追溯第三方提供的数据库，确保其收集行为的合法性，以确保所购买的商业数据合法。然而，由于成本和技术限制，企业实际上难以验证其合法性，因此只能通过合同等方式依赖第三方对数据合法性的担保，间接证明企业所收集的商业数据是合法的。换言之，无论是直接收集还是间接收集，商业数据的合法性在收集过程中均难以得到实质性保证，企业只能在形式上证明所得数据具备合法外观。总之，商业数据是否仍应以依法收集为前提，尚待商榷。

其次，什么是“技术管理措施”？采用技术手段来管理的方式，源自实践中将“是否采取相应技术措施”作为区分公开数据和非公开数据的原则和方法，其目的在于确认商业数据处于受管理状态。然而，对于这种“技术管理措施”究竟应该达到何种管理效果，目前尚不明确。美国法院在范·布伦诉美国案（Van Buren v. United States）中提出了“门”（gates-up-or-down inquiry）的概念，将技术措施比喻为“准入授权”。[2]然而，有学者认为，即便数据的获取和使用需要快速注册账号等形式条件，其仍然属于公开数据；只有当企业设置对用户访问的实质障碍，并能“有效地控制对计算机、文件或数据的访问”时，相关数据才属于非公开数据。此外，技术管理措施的判断标准可能会导致商业秘密与商业数据概念的重叠。如果将《反不正当竞争法》“数据专条”中的技术管理措施理解为导致数据成为未公开数据的措施，那么该数据也符合商业秘密的保密性要求。由于该商业数据不为公众所知悉且能够带来商业价值，因此其可能构成商业秘密，从而产生了商业秘密与商业数据之间的冲突。总之，要界定商业数据是否采用技术管理措施，若不首先明确技术管理措施的定义，将导致适用上的困难。

在探讨了商业数据概念在《反法草案》中的定义及其存在的争议之后，不难发现，这一概念的模糊性并非偶然。接下来，本文将深入分析导致商业数据概念不明确的原因，以便更好地理解其背后的法律逻辑和实践挑战。

商业数据概念不明的原因

商业数据具有强烈的交易性特征。概念混淆的现象，源于商业数据要素化过程和数据本身的复杂特征导致商业数据权益分配难以协调。

数据要素化导致商业数据概念混乱

数据本身并不能直接创造经济价值，而是通过数据要素化的过程实现其作为第五大生产要素的地位。[3]信息技术的运用是数据要素化的关键，其促使数据的实际转化。数据的流通得以实现是因为信息技术的不断发展。数据的价值主要通过统计分析和深度挖掘来实现[4]，前者能够从原始、庞大的数据中提取关键信息，影响决策和策略的制定，例如云计算技术的优势推动了企业运营模式的变革；后者则能够揭示数据之间的内在联系和规律，产生新的创新点和经济价值，例如5G技术的特性推动了“物联网”的发展，创造了新的数据价值。数据的要素化过程也是数据生命周期的流动，包括生产、分配、交换和消费，体现了数据流通的需求。

数据的流通推动了数据相关概念的发展。技术推动了数据相关概念的形成，为了满足技术的需求，需要一系列相关概念来描述数据流通的过程。数据流通的风险促使了数据相关概念的不断完善，解决数据安全性、隐私保护、数据质量等问题需要明确相关概念，以解决数据流通的风险。基于数据要素化形成的数据流通需求，催生了一系列可能纳入商业数据的概念，如“个人数据”等。

数据的特性导致商业数据概念混乱

数据要素化的过程不仅催生了大量可能被纳入商业数据的概念，还显现了数据在技术、经济方面的特征。数据作为一种无形的资源，不具备实体物品的可触性和可感知性，这一特性使得数据的存在和价值往往难以被直观感知。数据的非消耗性是其另一显著特征。不同于实体资源，数据的使用并不会消耗其本身的数量或质量，反而会使其增多，这种非消耗性为数据的共享和广泛应用提供了可能。同时，数据的非排他性也是其重要特性之一。多个主体可以同时使用同一份数据，而无需相互排斥，这种特性使得数据成为一种公共资源，可以被多个主体共同利用。此外，数据的复用性是其最具价值的特性之一，这些特性使得数据成为一种独特的资源，具有不同于传统资源的价值和意义。

数据的上述特性，导致其上附着了数据的生产者、收集者、处理者、使用者等多主体的复杂权益。一方面，不同主体对同一数据具有主张数据权益的正当性。以智能驾驶汽车的行车轨迹数据为例，汽车用户、地图导航服务提供者、智能驾驶汽车以及上游主机厂，可能对同一条轨迹数据都进行了生产、收集、处理以及使用。由于数据难以感知、不会被消耗、可被多 个主体同时利用，故每个主体都可基于自身贡献而对该行车轨迹数据享有数据权益。另一方面，不同主体对同一数据具有的数据权益不同。仍然以上述行车轨迹数据为例，汽车用户的数据权益为人格利益，其他主体则可能享有基于其数字劳动所形成的财产性利益。这种主体和权益的双重复杂性，导致数据上所附着的权益复杂且难以梳理，最终导致了商业数据概念的界定困难。

经过对商业数据要素化过程及其数据特征的深入研究，应当意识到，商业数据的独特性，使得我们不能简单地将商业秘密的界定模式套用于商业数据之上。为了更加准确地理解和应用商业数据的概念，需要进一步完善现有的“三要件说”，以期在理论和实践之间搭建起坚实的桥梁。 

商业数据概念的界定

参照商业秘密的保护模式建立商业数据的“三要件说”，不完全符合商业数据的要素化过程和特性，应当进一步明确商业数据的概念。司法实践中，商业数据已被区分为原始数据和衍生数据，以依法收集、具有商业价值且采取技术管理措施为判断标准。商业数据概念的界定难度进一步提高，是因为商业数据将原始数据纳入在内。基于数据要素化过程和数据特征， 商业数据应排除原始数据，其本质应为衍生数据。将商业数据界定为衍生数据，有以下两方面原因。

个人信息的保护需求

个人信息作为原始数据的一种，也是最需要加强保护的关键数据内容。然而，商业数据不应包含个人信息，因为个人信息的边界并不明确，无法清晰地区分。明确商业数据排除原始个人信息，有利于保护个人权益，也能够有效避免无法确定商业数据来源合法性的问题。

首先，个人信息与非个人信息的区分存在困难。计算机时代个人信息保护面临的挑战包括侵权主体识别困难、侵权行为隐蔽等系统性和复杂性问题，长期以来未进一步发展的隐私权理论无法解决上述问题。个人信息与非个人信息区分的核心在于如何界定“识别”，而这一概念过于宽泛，导致个人信息的概念变得泛化，几乎所有信息都可能因“可识别”而成为个人信息，导致难以形成绝对规则。因此，有学者建议采取“个人信息的场景依附性”进行判断，即对于是否属于个人信息，应根据具体场景结合“这一信息是被用于何种用途，被谁识别、多大概率被识别、被识别的风险等场景性因素”进行判断。[5]然而，由于商业数据数量庞大、价值密度低、智能处理和信息获取与使用结果之间相关性弱等特征，场景化规则会极大增加企业成本，从而阻碍数据流通。

其次，单一个人数据（也称个人信息）必须获得有效的权利保障。支持将个人信息视为商业数据的观点强调了从“人格尊严”中衍生出的数据自主权，旨在实现个人数据利益与社会数据利益的平衡发展，将传统基本权利延伸至数字世界。然而，当前“知情同意”的失效以及个人数据权利实质性保护的缺失，使得个人数据的法律保护成为优先考量因素，从而平衡个人与数据企业之间的力量对比。然而，将个人信息视为商业数据并不符合基本的人格权益，这种方式鼓励了个人数据交易，却不利于隐私保护。因此，个人信息不应被视为商业数据。一方面，单一数据对数据企业而言不具有生产要素的价值，因为数据需要经过要素化、转化为信息并进行聚合，才能在信息相互关联中产生价值，这也是为什么数据时代的数据收集更看重数量而非质量。另一方面，单一数据对个人具有较大影响。个人信息中蕴含隐私，即使并非所有个人信息都属于隐私信息，但即使不存在个人隐私的个人信息，通过关联也可能生成“用户画像”，这种具体化的“个人形象”很可能导致隐私侵犯。个人难以了解和控制自己的数据被收集情况，因此，个人信息作为商业数据对个人而言既不切实际也不必要。为了保护个人权益，应排除个人信息作为商业数据，个人信息只有经过匿名化处理后才能被视为商业数据。

数据流通创新的需求

现代数据处理经济依赖于频繁的数据传输、收集和共享，但有时对原始数据赋权却阻碍了数据资源持有人之间的合作。不保护原始数据而保护衍生数据的思路在于促进数据流通，从而促进创新。实践中，数据企业也在尽可能减少自身数据的对外传输，例如，医院不希望披露反映其服务质量不佳的数据。迈克尔·马蒂奥利（Michael Mattioli）将这种情况描述为数据 流通背景下的“数据池问题”。[6]数据时代，创新的重要条件是数据可以深度汇集，然而在“数据池问题”下数据集合被不同公司垄断，不可能发生彼此交互；尤其是具有最高价值的原始数据，如果因为数据企业基于简单的投资便为其赋予权利，将不利于市场创新。

数据爬取的法律性质定位对数据流通制度的建设具有基础性影响。目前，司法与数据行业对于数据爬取的态度形成明显张力。司法实践通常基于爬取行为的非法性而非结果的非法性进行界定，这种界定方式不利于数据流通。数据爬取行为的非法性主要体现在两个方面：一是绕过企业的技术管理措施（如cookie、防火墙、账号密码等），这被视为不道德行为；二是利用爬取到的数据进行展示、买卖或二次开发等商业化活动。评判数据收集过程是否合法，往往应综合考虑突破技术管理措施和商业化利用两个方面。在上海复娱公司与北京微梦公司的不正当竞争纠纷案中，法院认定，复娱公司抓取涉案微博数据进行展示，使得“饭友”App用户无需注册或登录微博账号即可查看微博全部内容，破坏了微博数据的展示规则，构成实质性替代。[7]

然而，并非所有非法手段都会导致实质性替代的结果，有些非法行为可能还会产生新的社会价值。司法实践已对此做出回应，在一定程度上肯定数据爬取的合法性。例如，在“购物党比价插件不正当竞争纠纷案”中，法院认为，拒绝经营者在合理范围内抓取数据，将阻止比价工具类软件向用户展示商品的价格波动情况，阻碍消费者在网购中做出最佳选择。[8]再如，国内首例公共数据垄断民事纠纷“柠檬查”案中，原告是二手车交易商，被告“柠檬查”是天然具有大量高质量数据优势的平台。原告认为，在政府监管和用户需求下，利用“柠檬查”查询二手车保险数据是二手车交易中的必要步骤。被告对中国汽车流通协会会员和非会员实施差别对待，利用车险数据查询服务收取不公平高价的行为，已涉嫌滥用市场支配地位。[9]尽管该案尚未作出裁判，但仍凸显出正当数据爬取的需求对相关行业创新的影响。企业对原始数据的需求具有一定正当性，如果将原始数据纳入商业数据的保护范畴，则越过企业所采取的“技术措施”进行数据爬取将必然具有非法性，不利于企业创新。 

结论

目前，商业数据的定义采用“三要件说”，但由于其要素化过程和数据特征，商业数据涉及多个主体的不同权益。将企业数据划分为原始数据和衍生数据的二分法，能够有效解决商业数据概念不清晰的问题。在商业数据中排除原始信息，可以避免在无法获取“知情同意”的情况下收集个人信息的问题，也响应了企业获取原始数据进行创新的客观需求。综上，对于商业数据的定义应采取“四要件说”，即：依法收集、具有商业价值、经过技术管理措施处理、加工后得到的衍生数据。

参考文献：

[1]. 孔祥俊：《论反不正当竞争法“商业数据专条”的建构——落实中央关于数据产权制度顶层设计的一种方案》，载《东方法学》2022年第5期。

[2]. See Van Buren v. United States, 593 U.S., 141 S.Ct. 1648, 210 L.Ed.2d 26 (2021).

[3]. 时建中：《数据概念的解构与数据法律制度的构建——兼论数据法学的学科内涵与体系》，载《中外法学》2023年第1期。

[4]. 吴汉东：《数据财产赋权的立法选择》，载《法律科学（西北政法大学学报）》2023年第4期。

[5]. 丁晓东：《论个人信息概念的不确定性及其法律应对》，载《比较法研究》2022年第5期。

[6]. Michael Mattioli, The Data-Pooling Problem, 32 Berkeley Tech. L.J. 179, 179 (2017).

[7]. 参见北京知识产权法院（2019）京73民终2799号民事判决书。

[8]. 参见北京知识产权法院（2019）京73民终1489号民事判决书。

[9]. 北京知识产权法院(2022)京73民初1330号民事判决书。