数据权益保卫战:企业数据法律维权攻略
2026-02-10
数字经济已成为中国经济核心增长引擎,数据作为企业战略级资产,其价值在动态流转、复用与加工中持续释放。但数据的无形性、可复制性及权益多重性,让单一法律难以全面覆盖保护,数据侵权纠纷也随之激增。
据中国司法大数据研究院与北京市第二中级人民法院联合统计,2019-2024 年公开数据权益保护案件达 483 件,年均增长率 20.52%:其中2024年案件量较2019年翻了近三倍;
其中企业数据纠纷占比超四成,成为争议焦点:多集中于爬虫非法抓取、API接口滥用、员工离职泄密、竞对数据窃取等场景,尤以未经许可聚合使用公开数据引发的权属争议最为典型。
我国企业数据权益保护法律体系以《民法典》为基础支撑,整合《个人信息保护法》《数据安全法》《网络安全法》《刑法》《反不正当竞争法》《著作权法》等多部法律法规,形成了覆盖民事救济、行政监管、刑事制裁三大维度,兼顾个人权益保障、企业利益维护与公共安全防护的全方位保护架构。
随着2025年6月27日《反不正当竞争法》的修订通过及10月15日的正式实施,新增的第十三条“数据专条”对数据权益保护更加精细化。在此背景下,最高人民法院于同年8月发布关于数据利用与数据权益司法保护的专题指导性案例(指导性案例262—267号),针对数据权属、数据产品利用、个人信息保护及网络账号交付等社会热点,统一类案司法尺度。本系列文章将聚焦企业维权实操路径,系统梳理我国企业数据权益法律保护体系,解析数据确权难点、侵权证据固定技巧与多维救济策略。
一、《民法典》:数据权益保护的私法基础与路径导向
结合法律规制逻辑与企业实务场景,按权利归属对数据进行分类,具体包括个人数据(含敏感个人信息)、企业经营数据及公共数据。其中,企业经营数据特指企业在生产经营活动中自主产生或合法获取,能够直接或间接为企业创造商业价值的各类数据集合。从广义来说,企业数据指以电子或其他形式对信息的记录,既涵盖用户基础信息、交易日志等未经加工的原始数据,也包括经算法处理、人工整理形成的用户画像、数据分析报告、算法模型参数等衍生数据。其核心属性在于可存储、可传输、可加工,并能通过应用转化为实用价值与商业利益。
《民法典》第 127 条明确规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。” 这一条款首次在民事基本法层面确立了数据的民事权利客体地位,为数据权益纳入私法保护范畴奠定了基础。需要注意的是,该条并未直接创设具体权利内容与裁判规则。在司法实践中,该条款的作用是导向两条维权路径:一是绝对权路径,即通过《著作权法》对具有独创性的数据集合(如数据库)赋予著作权保护;二是相对权与行为规制路径,即通过《反不正当竞争法》规制不正当利用数据的行为,以侵权救济方式间接保护企业数据权益。《民法典》第127条之“导向性”立法技术,恰是立足数据权益复杂性与发展阶段性的理性选择——既为后续专门立法预留空间,又借既有法律体系实现动态适配。
二、《著作权法》:独创性数据集合的专属保护路径
《著作权法》对满足 “汇编作品” 构成要件的数据集合提供专门保护。2001 年《著作权法》修订时首次引入“汇编作品”概念,将保护范围从传统作品扩展至数据集合,为企业数据保护提供了新的法律依据。
修订后的《著作权法》第14条明确规定,汇编对象包括“若干作品、作品的片段或者不构成作品的数据或者其他材料”,其核心保护要件为“内容的选择或者编排体现独创性”。这意味着,即便单个数据元素不构成作品,只要企业在数据选择、分类、编排等方面投入了智力劳动并体现独特构思,该数据集合即可作为汇编作品获得著作权保护。
司法实践中,此类保护案例日益增多。在(2016)粤 06 民终 9055 号佛山鼎容软件科技有限公司与济南白兔信息有限公司著作权纠纷案中,法院认定白兔公司对商标公告信息进行提取、分类、整理,并添加自定义字段、跟踪变更情况,其数据编排体现独创性,涉案数据库构成汇编作品;在(2019)沪 0104 民初 2392 号科睿唯安诉梅斯案中,法院指出 JCR 期刊引证报告数据库通过筛选具有学术价值的期刊形成集合,其选择与编排具有独创性,应受著作权法保护;此外,(2019)京 73 民终 1270 号四维图新诉奇虎 360 案中,法院亦将涉案导航电子地图认定为具有独创性的汇编作品。
需注意的是,大量企业数据(如电商订单流、用户实时评论)由算法自动生成或用户随机上传,缺乏人工编排的独创性,难以满足汇编作品的保护条件。此时,《反不正当竞争法》可发挥兜底保护作用。在北京互联网法院(2021)京 0491 民初 45708 号隐木公司与数据堂公司不正当竞争纠纷案中,法院虽认定数据堂公司的数据集因缺乏独创性不构成汇编作品,但明确其为数据收集投入了技术、资金、人力等实质性成本,所形成的商业利益属于《反不正当竞争法》保护的合法权益,这一裁判逻辑充分体现了两法的互补性。
三、《反不正当竞争法》:数据权益保护的核心兜底保障
(一)商业秘密保护:涉密数据的强效维权路径
当企业数据同时满足“秘密性、保密性、商业价值性”三大要件时,可依据《反不正当竞争法》第十条主张商业秘密保护,这是目前保护核心算法、深度客户信息等涉密数据的强效民事手段。其中,秘密性要求数据未被公众所知悉;保密性要求企业采取了合理的保密措施(如加密存储、权限管控、签署保密协议等);商业价值性要求数据能为企业带来竞争优势或经济利益。三者须同时具备,缺一不可。
(二)互联网专条第三款:数据维权的兜底适用规则
鉴于数据确权的理论争议与实践复杂性,《反不正当竞争法》承担了数据权益保护“兜底法”的核心角色,通过规制不正当获取、使用数据的行为,间接保护企业的竞争性权益。《反不正当竞争法(2025修订)》第十三条第三款明确规定:“经营者不得以欺诈、胁迫、避开或者破坏技术管理措施等不正当方式,获取、使用其他经营者合法持有的数据,损害其他经营者的合法权益,扰乱市场竞争秩序。”此外,2024 年颁布的《网络反不正当竞争暂行规定》第十九条也规定:“经营者不得利用技术手段,非法获取、使用其他经营者合法持有的数据,妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行,扰乱市场公平竞争秩序。”
该条款的适用需满足三大核心要件,形成完整逻辑链条:
合法持有:这是启动保护的前提条件。法律未纠结于数据 “所有权” 归属,而是聚焦企业基于合法来源与实质性投入形成的 “持有权” 及竞争性权益。企业无需证明对数据享有绝对所有权,只要能证明对数据存在事实上的控制、管理,且获取来源合法,即可获得保护。如(2016)沪 73 民终 242 号 “大众点评诉百度” 案中,法院通过审查大众点评在数据收集、整理中的投入程度,认定其享有合法竞争性权益。
手段不正当:这是规制核心。法律明确列举了欺诈、胁迫、避开或破坏技术管理措施三种典型不正当方式,其中 “避开或者破坏技术管理措施”(如恶意爬虫、破解访问权限、绕过验证码等)是司法实践中最常见的侵权情形,即便未造成系统瘫痪,只要实质绕过平台访问屏障,即构成不正当手段。
实质性竞争损害:这是权益保护的必要条件。司法实践中通常从三个维度评估:一是直接经济损失,如服务器带宽成本激增、系统响应变慢等;二是竞争优势丧失,如核心数据被搬运导致用户流失、流量变现能力下降;三是市场秩序扰乱,如 “劣币驱逐良币” 现象,损害行业良性发展与消费者长远利益。
四、《个人信息保护法》:数据合规利用的刚性红线
企业经营数据中往往包含大量用户个人信息,数据的收集、存储、使用、传输等行为必须严守《个人信息保护法》设定的合规边界。该法以 “告知 - 同意” 为核心原则,要求企业收集个人信息时必须明确告知用户收集目的、范围、使用方式等,获得用户自愿、明确的授权;同时遵循 “最小必要” 原则,不得超出经营所需收集无关个人信息。
在司法与执法实践中,未经用户授权的数据抓取、过度收集个人信息、泄露用户数据等行为,均可能触发《个人信息保护法》的规制,企业不仅需承担民事赔偿责任,还可能面临行政处罚。因此,《个人信息保护法》既是对用户权益的保护,也是企业数据合规利用的刚性约束。
五、《刑法》:数据权益保护的终极追责防线
当民事救济与行政监管不足以遏制严重数据侵权行为时,《刑法》作为最严厉的法律保障手段介入,以下是打击数据犯罪的常见罪名。
1.非法获取计算机信息系统数据罪(第 285 条第 2 款)
本罪聚焦 “技术侵入性” 行为,即违反国家规定,通过逆向分析、破解加密、IP 代理、验证码破解等手段侵入计算机信息系统,获取其中存储、处理或传输的数据。根据 “两高” 司法解释,满足以下情形之一即构成犯罪:违法所得 5000 元以上或经济损失 1 万元以上;获取支付结算等敏感身份认证信息 10 组以上;获取其他身份认证信息 50 组以上。
2.侵犯公民个人信息罪(第 253 条之一)
若非法获取的数据属于公民个人信息,且达到法定标准,即构成此罪。司法实践中,爬虫案件若涉及非法获取公民行踪轨迹、通信内容、征信信息、财产信息 50 条以上,或违法所得 5000 元以上,无论是否造成直接经济损失,均可定罪处罚。
3.侵犯商业秘密罪(第 219 条)
若非法获取、使用的数据构成法律意义上的商业秘密,且行为情节严重,则可能触犯侵犯商业秘密罪。根据“两高”司法解释,该罪的入罪门槛(立案追诉标准)包括以下情形:给商业秘密的权利人造成损失数额在三十万元以上的;因侵犯商业秘密违法所得数额在三十万元以上的;两年内再犯且损失/违法所得10万元,其他情节严重的情形。
我国已构建起以《民法典》为根基,《反不正当竞争法》(含 2025 年 “数据专条”)为核心兜底,《著作权法》《个人信息保护法》为专项规制,《刑法》为终极防线的多元协同法律体系,形成民事救济、行政监管、刑事制裁三位一体的保护格局。企业在数据权益受损时,可紧扣数据类型、侵权情节与损失程度,精准匹配著作权保护、商业秘密维权、不正当竞争规制或刑事追责等路径,以法治手段筑牢数据资产安全屏障,在数字经济竞争中掌握主动权。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
