邱福恩：商业数据的反不正当竞争保护规则构建 | 知识产权202303

【来源】北大法宝法学期刊库《知识产权》2023年第3期（文末附本期期刊法学目录）。因篇幅较长，已略去原文注释。

内容提要：当前司法实践确立了“实质性替代”等商业数据反不正当竞争保护标准，日本、美国和欧盟也分别通过立法和司法实践形成了一定的商业数据保护规则。《反不正当竞争法（修订草案征求意见稿）》在当前司法实践基础上，借鉴国外相关制度经验形成了数据专条，规定了“破坏技术管理措施获取商业数据”和“实质性替代”使用商业数据两种不正当竞争行为类型。这两种不正当竞争类型所适用的商业数据范围、保护前提条件等存在差别，不宜统一适用于相同类型的商业数据。建议分别构建适用于仅提供给特定对象且采取技术管理措施的商业数据的“破坏技术管理措施”不正当获取商业数据规则，以及普遍适用于所有商业数据的以盗用理论为基础的“实质性替代”规则。

关键词：商业数据；实质性替代；盗用理论；技术管理措施

目次

一、问题的提出

二、当前商业数据反不正当竞争法保护的司法实践

三、域外商业数据反不正当竞争保护的借鉴

四、商业数据反不正当竞争保护规则的完善

结语

　　数据作为数字经济时代最为重要的生产要素之一，已成为经营者之间进行市场竞争的重要资源。如何在促进数据流通和利用的同时加强数据保护，激励数据生产、收集、处理、利用和流通，已成为各界广泛关注和讨论的一个议题。2022年6月中央全面深化改革委员会第二十六次会议审议通过的《关于构建数据基础制度更好发挥数据要素作用的意见》明确了建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制。围绕数据产权或权益保护，相关行政机关和专家学者从不同的视角提出了不同的建议。国家知识产权局正在就数据知识产权保护制度开展立法研究以及地方试点工作。国家市场监督管理总局则从行为法路径构建数据的反不正当竞争法保护规则，并在2022年11月22日公开征求意见的《反不正当竞争法（修订草案征求意见稿）》（以下简称《反法征求意见稿》）规定了商业数据保护专条（第18条），在国家立法层面率先提出了数据财产性权益的保护规则建议。

　　在人们的生产生活中，数据无处不在，不同数据类型背后所体现的利益并不完全相同，需要保护的法益、保护方式也存在区别。即便是对于相同的数据客体，也可能包含了不同的需要保护的法益。例如，具有商业用途和价值的个人数据集合，既包含了相关自然人主体的个人信息权益，又包含了数据持有者的财产性利益。从知识产权法或者反不正当竞争法视角，保护的是数据的财产性权益或商业价值，而不是其中可能包含的个人信息权益。

　　目前，司法实践通过适用现行《反不正当竞争法》第2条和/或第12条第2款第4项为商业数据提供保护，并形成了较为成熟的分析思路和裁判标准。最高人民法院和国家市场监督管理总局在2021年也分别试图通过司法解释和部门规章《禁止网络不正当竞争行为规定（公开征求意见稿）》对数据相关不正当竞争行为认定作出明确规定，但司法解释的生效版本中删除了相关规定，国家市场监督管理总局部门规章则尚未出台。《反法征求意见稿》商业数据专条在前述文件基础上进行了进一步完善，形成了相对完整的商业数据保护规则。在条款内容上，该条规定了商业数据的定义和范围，并从行为法保护角度规定了构成不正当竞争的行为，总体上可分为“破坏技术管理措施获取商业数据”和“构成实质性替代使用商业数据”两种行为类型。这些规则总结了当前适用《反不正当竞争法》第2条和/或第12条第2款第4项对数据提供保护的司法实践经验，并在很大程度上借鉴了日本“限定提供数据”等域外相关立法和司法实践。

　　无论是国内司法实践，还是域外立法，对数据相关不正当竞争行为的认定标准均仍然存在进一步探讨和完善的地方，以此为基础的《反法征求意见稿》商业数据专条也值得深入讨论。如何在现有相关司法实践的基础上，结合反不正当竞争法基本原理和产业需求，构建和完善商业数据的反不正当竞争法保护规则，具有重要的现实和理论意义。

　　虽然现行反不正当竞争法没有对商业数据保护制定专门规则，但反不正当竞争法保护仍然是商业数据保护的最主要途径。司法实践中主要通过适用《反不正当竞争法》第12条第2款第4项和/或第2条这两个“兜底”条款来对商业数据提供保护。

　　（一）适用《反不正当竞争法》第12条的主要考量因素

　　司法实践中主要从以下几个方面考量是否造成“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行”的后果：是否泄露个人信息或影响数据安全；是否破坏其他经营者网络产品或者服务的数据展示规则；是否加重其他经营者服务器负担或以其他方式增加其他经营成本；是否对其他经营者网络产品或者服务构成“实质性替代”。

　　1. 泄露个人信息或影响数据安全

　　如果相关商业数据属于或包含未公开数据，并且数据持有者对该数据采取了一定的技术保护措施，他人通过绕开技术措施等不正当方式获取并使用数据，将减损数据安全程度、危害数据安全。尤其是在相关数据涉及个人信息时，这种数据获取和使用行为会造成个人信息泄露，侵害用户的个人信息权益。从当前司法案例情况来看，这是判断是否妨碍、破坏其他经营者合法提供的产品或者服务正常运行的最重要因素。

　　例如，在新浪微博作为原告的几个案件中，法院认为“被告影响微梦公司与用户间协议的履行……将减损用户数据安全程度，妨碍、破坏了新浪微博的正常运营”；“云智联公司抓取并展示了该部分明星的数据而使其动态公开，显然影响了微梦公司履行其与这些明星之间关于数据保密等义务”，云智联公司对非公开数据“进行抓取和展示可能导致此类用户个人信息的泄露和被侵害，而这必然影响新浪微博数据安全进而破坏微梦公司所提供服务的正常运行”；“对于微博平台中的非公开数据，往往包含与用户个人隐私相关的信息（如用户设置仅自己可见）或其不希望他人采集或查看的信息（如用户发布后自行删除的信息），蚁坊公司对其进行存储可能导致用户个人信息的泄露和被侵害，而这必然影响微博平台数据安全而破坏微梦公司所提供服务的正常运行，也可能侵害用户作为消费者对其个人隐私等信息所享有的合法权益”。

　　在其他相关司法案件中，审理法院也有类似观点，例如在深圳市腾讯计算机系统有限公司等诉浙江搜道网络技术有限公司等不正当竞争纠纷案中，一审判决指出被告“擅自将不知情的微信用户信息移作由自己存储或使用，超出了相关微信用户对自身信息安全保护的原有预期”，违反了《网络安全法》，“威胁到微信平台的安全运行”。在北京微播视界科技有限公司诉上海六界信息技术有限公司等不正当竞争纠纷案中，法院认为被告对相关数据进行分析、对外展示的行为，侵犯了抖音用户的个人信息权益并进而影响用户对原告数据安全保护的期待和信任，并将此作为被告获取和使用商业数据的行为违反《反不正当竞争法》第12条第2款第4项的理由之一。

　　2. 破坏其他经营者的数据展示规则

　　多个司法判决指出，如果经营者获取和使用其他经营者商业数据的行为导致其他经营者设定的特定展示规则受到破坏，将影响其产品或者服务的正常运行。数据展示规则包括：只有在用户登录的情况下才能获取、浏览相关数据；仅展示部分数据；仅展示一定颗粒度的数据；等等。

　　例如，在北京微梦创科网络技术有限公司诉云智联网络科技（北京）有限公司不正当竞争纠纷案中，法院指出：“云智联公司抓取涉案数据并在涉案APP中展示，使得涉案APP用户无需注册、登录新浪微博账号，或无需行为触发即可浏览新浪微博，显然改变了新浪微博的展示形式，破坏了微梦公司为该部分数据设定的访问和展示规则，并将进而影响微博平台这一产品的正常运行。”在北京微梦创科网络技术有限公司诉湖南蚁坊软件股份有限公司与不正当竞争纠纷案、北京微梦创科网络技术有限公司诉上海复娱文化传播股份有限公司不正当竞争纠纷案等判决中，法院也作出了类似认定。

　　这一因素与泄露个人信息或影响数据安全在很多情况下存在交叉。例如，其他经营者设定的展示规则是只有在用户登录情况下才能浏览、发布数据者限定只有特定人群可以浏览（如用户设置仅自己可见）或其不希望他人获取或查看的信息（如用户发布后自行删除的信息）等情况下，通过破坏技术措施爬取数据并对外展示将破坏数据持有者对这一数据设置的展示规则，同时也可能会影响数据的安全性、泄露个人信息。

　　3. 加重其他经营者服务器负担或增加其运营成本

　　如果经营者爬取数据的行为增加了其他经营者产品或者服务运行的数据量和数据流，加重其服务器负荷，增加其他经营者为应对或防范数据爬取行为的成本，甚至影响其他经营者产品或者服务的安全、顺畅运行，也会被作为认定构成不正当竞争的因素之一。但在相关司法案例中，大多数都没有通过细致的定量分析来确定是否加重了服务器负担，而仅进行定性分析。

　　数据爬取行为或多或少都会增加其他经营者的运营成本，因此这一因素的认定相对而言门槛较低，且具有较大不确定性。在严重程度的举证方面，由于没有具体的认定标准，举证责任也并不明确，多数案件中原告并未就此进行明确举证。个别案件中，原告具体举证了被告爬取的数量。例如，在当事人腾讯计算机系统有限公司等诉斯氏（杭州）新媒体不正当竞争纠纷案中，原告举证“在2020年10月18日至2020年11月1日的平均每日爬取量为745685.6”，从请求量级、请求频率和请求技术手段等方面来看，均会对微信公众平台服务器造成远超正常用户访问的负担。

　　也有司法判决对于因加重服务器负担而导致的“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行”采取了较为严格的标准，即要求导致其他经营者陷入无法提供服务的程度。例如，有判决指出“其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”所指的行为系指相关经营者所实施的行为导致其他经营者无法正常使用其产品或者服务。虽然该案由于原告未能证明被告行为导致其网站陷入无法正常提供服务的程度，其主张未获得法院的支持。但这一司法判决也表明，如果相关行为确实导致其他经营者的服务器瘫痪等从而无法正常提供服务，可以构成“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”。

　　4. 对其他经营者产品或者服务构成实质性替代

　　除了前述几项因素外，部分案例还将“实质性替代”作为认定“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行”的要素之一。例如，在北京微梦创科网络技术有限公司诉云智联网络科技（北京）有限公司不正当竞争纠纷案中，法院认为：“涉案APP的部分版本抓取涉案数据后在涉案APP中进行直接、完整地展示，基于正常的阅读习惯，当用户在涉案APP中浏览完相关内容后再回到新浪微博查阅相关内容的概率很低。因此，就该部分涉案数据而言，涉案APP已对新浪微博构成实质性替代。”此外，在北京微梦创科网络技术有限公司诉上海复娱文化传播股份有限公司不正当竞争纠纷案、腾讯计算机系统有限公司等诉斯氏（杭州）新媒体不正当竞争纠纷案中，法院也作出了类似认定。

　　需指出的是，这些判决虽然将构成“实质性替代”作为认定“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行”的要素之一，但并没有对二者的关系进行必要的解释和说明。

　　（二）适用《反不正当竞争法》第2条的主要考量因素

　　浙江省高级人民法院关于企业数据权益保护的调研报告指出，在适用《反不正当竞争法》第2条时要考虑的因素包括：1. 原告主张的数据类型是否属于公开数据或者衍生数据；2. 被告的行为是否导致原告网站瘫痪无法经营，或者产生实质性替代原告产品或者服务的后果；3. 被告是否以破坏技术措施的方式获取数据；4. 被诉数据使用行为是否未进行任何使用创新，直接照搬照用他人数据；5. 获取或者使用数据的行为是否违反个人信息保护相关法律规定。本文对相关案例中上述几个因素的情况进行了分析，见表1。

　　从表1可以看出，在当前适用《反不正当竞争法》第2条认定商业数据获取和使用行为构成不正当竞争的案件中，“实质性替代”是最为重要的一个因素。商业数据的使用是直接照搬原数据还是提供有创新性的产品这一因素实际上也可以被视为“实质性替代”判断的组成部分。如果在其他经营者数据的基础之上进行了创新而不是直接照搬使用该数据，则可能不构成“实质性替代”。由此来看，“实质性替代”实际上是适用《反不正当竞争法》第2条认定构成不正当竞争行为的主要因素。在深圳市谷米科技有限公司诉武汉元光科技有限公司等不正当竞争纠纷案中，判决虽然没有明确提出“实质性替代”，但从用户黏性、用户流量角度认定被告对原告数据的获取和使用行为势必削弱原告的竞争优势，进而造成原告软件APP的流量减少、投放于原告软件APP的广告收入减少，与实质性替代规则分析思路和标准相一致。

　　数据是否属于公开数据、是否属于衍生数据以及数据获取行为是否破坏了技术措施，是判断商业数据是否具有可获得保护的权益、数据获取行为是否不当的考虑因素，而不是作为认定构成或不构成不正当竞争的直接标准。多个司法判决表明，即便是公开数据且数据获取行为不存在破坏技术措施的情况下，如果对数据的使用构成对其他经营者产品或者服务的实质性替代，也仍然可能构成不正当竞争。例如，在上海汉涛信息咨询有限公司诉北京百度网讯科技有限公司等不正当竞争纠纷案中，虽然百度公司的搜索行为未违反大众点评网的Robots规则，但法院认为百度公司通过搜索技术抓取并大量全文展示来自大众点评网的信息“已经超过必要的限度”，构成不正当竞争行为。

　　（三）相关不正当竞争行为判断标准的评析

　　由上述分析可知，在司法实践中认定获取和利用商业数据是否构成不正当竞争行为时，最重要的标准主要包括以下三个：第一，是否对其他经营者的产品或者服务构成实质性替代；第二，是否影响其他经营者的数据安全性或侵犯个人信息权益；第三，是否不合理地增加其他经营者服务器负担或以其他方式提高其他经营成本。以下就这几个标准分别进行评析。

　　1. 构成实质性替代

　　因不当使用其他经营者商业数据而导致对该其他经营者的产品或者服务构成实质性替代，是当前司法实践中认定获取和使用商业数据是否构成不正当竞争行为的最主要标准。这不仅体现在多数适用《反不正当竞争法》第2条的司法案例中，而且在前述司法解释征求意见稿第26条和国家市场监督管理总局部门规章《禁止网络不正当竞争行为规定（公开征求意见稿）》第20条中也作出了相应规定。虽然最终发布的司法解释中没有保留征求意见稿规定，表明这一标准仍存在较大争议，但这已是当前最具共识的标准。

　　以实质性替代为标准对商业数据提供反不正当竞争法保护，保护的是经营者对其商业数据利用所产生的商业价值，而非商业数据本身。实质性替代标准考察的是，对其他经营者商业数据的不当使用是否会对该其他经营者与此相关的网络产品或者服务起到了“分流”作用，从而减少其用户数量。如果原样照搬使用其他经营者的商业数据，提供相同或实质性类似的产品或者服务，而不是在利用这些数据的基础之上形成具有创新性的其他产品或者服务，则会导致该其他经营者产品或者服务用户数量减少，从而构成实质性替代。但如果经营者在使用其他经营者数据基础上提供了不同的、具有创新性的产品或者服务，则既能促进创新和竞争又能提高社会福祉，而不会仅仅因提供同样功能的产品或者服务减少其他经营者产品或者服务的用户数量，因此不构成实质性替代。

　　因此，实质性替代标准对于商业数据保护而言是相对平衡的一个标准。一方面能够对经营者因合法利用数据而产生的商业价值提供有效保护；另一方面又尽可能地避免阻碍商业数据流通和他人对商业数据的创新性利用。这也体现了反不正当竞争法保护与知识产权法保护的区别。虽然在“加框链接”“提供网页快照、缩略图”等作品信息网络传播权民事纠纷案件中也会适用实质性替代标准来判断是否存在侵权行为，但与商业数据反不正当竞争法保护的实质性替代标准存在明显区别。前者通过分析是否构成实质性替代以确定被控侵权行为是否“提供”了相关作品，旨在维护权利人对受保护作品传播和使用的“控制”；后者并不考察对商业数据本身的“控制”或“替代”，而是分析他人对数据的使用方式是否替代了商业数据持有者利用数据提供的产品或者服务。当然，这两种场景下实质性替代标准的适用也有相同的目标，即在权利（或权益）保护与作品（或商业数据）的传播利用之间形成适当的平衡。

　　司法实践中也有部分判决在适用《反不正当竞争法》第12条第2款第4项认定“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行”时，将实质性替代作为一个考量因素。但这一观点值得商榷。实质性替代所产生的后果是导致经营者产品或者服务的“用户流量”减少，虽然会产生竞争性损害，但不会对其产品或者服务运行本身造成影响，因此与《反不正当竞争法》第12条第2款的适用没有直接联系。

　　2. 危害数据安全或泄露个人信息

　　相关司法判决将危害数据安全或泄露个人信息作为适用《反不正当竞争法》第12条第2款第4项认定构成不正当竞争行为标准的主要逻辑在于，危害数据安全或泄露个人信息将会影响相关产品或者服务的“安全运行”，而且还将导致用户对经营者及其提供的数据相关产品或者服务产生不信任，从而干扰或破坏该产品或者服务的正常运行。

　　然而通过爬取等行为获取数据所造成危害数据安全、个人信息泄露等，一般情况下并不会直接影响相关网络产品或者服务本身的正常运行。例如，其他经营者爬取某APP用户设置访问权限的数据并对外展示的行为，虽然会损害该APP所涉商业数据的数据安全或泄露个人信息，但并不影响这一产品或者服务的正常运行，其仍然能正常向用户提供相关产品或者服务。即便该APP会因失去用户信赖而减少用户数量，但这是损害数据安全产品或泄露个人信息所可能导致的直接后果，与产品或者服务的正常运行没有关系。

　　反不正当竞争法规制的是以不正当方式攫取其他经营者竞争优势的行为。具体到适用《反不正当竞争法》第12条第2款时，经营者通过“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行”，减损其他经营者的竞争优势，从而直接或间接地获得有利于自身产品或服务的优势。以“流量劫持”为例，在其他经营者合法提供的网络产品或者服务中插入链接、强制进行目标跳转的行为，目的是将原本属于其他经营者产品或者服务的流量“劫持”至自身产品或者服务，增加自身产品或者服务的流量。对于影响数据安全性或泄露个人信息的行为而言，虽然具有不正当性和法律可责性，但与竞争本身并没有直接关系。经营者并不是通过影响其他经营者产品或者服务的数据安全性、泄露其中的个人信息来损害对方的竞争优势，影响数据安全性或泄露个人信息不是其追求的后果，不是竞争手段，也不是与商业机会争夺相关的竞争性损害。

　　商业数据的利用要以保障数据安全和保护个人信息权益为前提，但一般应用场景下商业数据的价值并不来源于对数据安全和个人信息的保护。我国在立法上也没有将数据安全、个人信息保护以及数据财产性权益保护进行统一规定，表明这几种权利或利益背后的法益考量不同，不能混同。商业数据的可保护性源于其价值性，保护商业数据的目的在于保护其商业价值。如果数据获取和使用行为危害到数据安全或造成个人信息泄露等，但没有直接损害相关数据的商业价值，则应当由《个人信息保护法》《数据安全法》《网络安全法》等法律法规来进行规制，而不应由反不正当竞争法来调整。

　　3. 加重服务器负担或增加运营成本

　　加重服务器负担或增加运营成本也是当前反不正当竞争司法案例中判断是否违反《反不正当竞争法》第12条第2款第4项的主要因素。但与危害数据安全或泄露个人信息不同的是，当前尚没有单独以“加重服务器负担”或“增加运营成本”认定构成妨碍、破坏其他经营者产品或者服务正常运行判决。同时，浙江省高级人民法院的调研报告还认为，数据爬取行为“产生的损害后果是导致原告网站瘫痪无法经营”的，也可以作为适用《反不正当竞争法》第2条认定构成不正当竞争行为的重要因素。

　　但无论是适用《反不正当竞争法》第12条还是第2条，将加重服务器负担或增加运营成本作为认定构成不正当竞争行为标准均较为牵强。数据爬取行为增加服务器负担甚至“导致原告网站瘫痪无法经营”的，事实上仅与“爬取行为”相关，而与“数据价值”保护没有关联。也就是说，考虑是否加重服务器负担时并不需要考察爬取的数据是否应当获得保护及其商业价值，即便涉案数据没有商业价值并不“值得”保护，也不影响加重服务器负担的认定。这样就意味着，采取这一标准认定构成不正当竞争行为，实际上脱离了商业数据保护的实质。而且，加重服务器负担通常情况下不是经营者所采取的竞争手段，不是其追求的目标，也不是竞争性损害。经营者并不是试图通过增加其他经营者服务器负担的方式来减损对方竞争优势、增加自身竞争优势。增加其他经营者服务器负担虽然会加重其运营成本，甚至导致经营者无法提供服务，但这种损害应当属于普通侵权损害，而不是竞争优势的此消彼长，因此也不属于竞争性损害。最后，数据爬取行为或多或少都会增加服务器负担，但是增加服务器负担并不意味着会妨碍或破坏其他经营者网络产品或者服务的正常运行，以此作为构成不正当竞争行为的认定标准也缺乏可操作性。

　　（一）日本“限定提供数据”反不正当竞争保护

　　日本于2018年对《反不正当竞争法》进行了修改，增加了“限定提供数据”制度，从而建立了明确的数据反不正当竞争保护规则。根据这一制度，受保护的“限定提供数据”须满足以下条件：“以业务为目的提供给特定对象”（限定提供性）、“通过电磁方法积累到相当数量”（相当积累性）、“通过电磁方式管理”（电磁管理性）、技术或商业信息、“商业秘密排除”以及“与公众可以无偿使用的信息相同的数据除外”。其中，为了符合电磁管理性要求，须确保第三人能够知悉数据所有者控制该数据并仅在特定条件下具有向特定人提供数据的意图。实践中，不同性质的数据采取的电磁管理措施不同，但无论采取何种措施，数据所有者须能够控制其数据并使得第三方清楚地理解该数据是受到管理的。从技术类型上来看，合适的电磁管理措施主要是限制未得到授权的第三方获得相关数据的技术措施。示例性措施包括身份认证技术（如ID、密码、IC卡、令牌、生物识别信息、IP地址等）、加密技术、专用通信线路等。

　　直接侵犯限定提供数据所有人利益的恶意行为属于“不正当竞争”行为，包括以下三类：一是不正当获取限定提供数据的行为，包括通过窃取、欺诈、强迫或其他不正当手段获取数据的行为。其中，“其他不正当手段”不仅包括刑法上非法的行为，而且还包括违反公序良俗、社会上一般认为具有同等违法性的行为。二是严重违反诚信原则的行为。此类行为是指，行为人以正当方式（如通过合同购买）获得受保护的数据，但以违反受保护数据所有人设定的条件，以获取不正当利益为目的或以对受保护数据所有人造成损害为目的，使用或公开数据行为。三是不正当继受取得行为，包括获取时恶意的继受取得行为和获取时善意的继受取得行为。获取时恶意的继受取得行为是指，在继受取得数据之时，知道其获取的数据是从受保护数据所有人那里以不正当手段取得的，或知道该数据的公开涉及不正当行为，仍然披露该数据的行为。获取时善意的继受取得行为是指，在继受取得之时，并不知晓此前关于该数据不正当行为的存在，但在知道不正当行为的存在之后，仍然披露该数据的行为。

　　日本在修改《反不正当竞争法》引入“限定提供数据”制度后，在实践中尚未有实际纠纷案例。部分原因可能是“限定提供性”“电磁管理性”以及“与公众可以无偿使用的信息相同的数据除外”三个保护前提要件过度提高了数据保护的门槛，也与数据利用的通常模式不一致。

　　（二）美国盗用理论在商业数据保护中的适用

　　在美国，信息盗用是不正当竞争的一种情形，是指商业竞争者对他人商业产品的搭便车行为。搭便车行为的存在，使得搭便车的竞争者在市场上获得了不正当的竞争性优势，从而损害了其他竞争者的合法权益，并对市场竞争造成不利影响，最终影响消费者福祉。盗用理论就是为了保护竞争者合法权益而在司法实践中创设的反不正当竞争理论，其保护的是法定知识产权保护范围之外的产品。

　　盗用理论最早由美国联邦最高法院于1918年在International News Service v. Associated Press案（以下简称INS案）中确立。在该案中，美国国际新闻服务社（International News Service，以下简称INS公司）和美国联合通讯社（Associated Press，以下简称AP公司）是美国具有竞争关系的两大新闻通讯社。原告AP公司认为被告INS公司通过贿赂、引诱AP公司员工在AP公司出版相关新闻之前向被告提供新闻，以及从AP公司新闻公告及早间版报纸上复制挪用其新闻用于出版新闻、售卖给其客户，侵犯了其合法权益。美国联邦最高法院认为，新闻事实属于公有财产，不能通过著作权等私权保护。但是新闻的采集和传播需要付出劳动和金钱，因此应当作为“准财产权”（quasi property）通过反不正当竞争法获得保护。被告INS公司将AP公司的新闻当作其自己的新闻售卖给予AP公司竞争的其他报社，是一种“试图不劳而获、食人而肥”的行为，构成不正当竞争。

　　INS案扩大了反不正当竞争法的适用范围，但其确立的反不正当竞争规则并没有得到普遍适用，存在较多争议，甚至一度被废弃。直到此后的1997年NBA v. Motorola案（以下简称NBA案）进一步完善了该理论的适用范围和规则。

　　在NBA案中，为了让体育爱好者及时了解美国职业篮球联赛（以下简称NBA）赛事情况，被告Motorola公司生产了一种叫作SportsTrax寻呼机设备向用户实时提供NBA赛况信息。所提供的信息包括参赛球队、得分变化、控球选手、罚球情况、比赛处于哪一节以及该节剩余时间等。原告NBA以不正当竞争、侵犯版权为由起诉两被告Motorola公司和STATS公司。审理该案件的初审法院认为被告仅仅是根据原告转播的节目向用户发布事实信息，没有再次转播原告的节目，因此不构成侵犯NBA的版权。但初审法院认为，两被告侵犯了原告的财产性信息，构成盗用。被告上诉到美国联邦第二巡回上诉法院，法院提出了适用热点新闻盗用理论的五个“额外标准”：（1）原告为产生或收集信息付出了一定成本；（2）该信息的价值是高度时间敏感的；（3）被告使用信息的行为构成对原告劳动的搭便车；（4）被告使用信息的行为与原告提供的产品或者服务存在直接竞争关系；（5）他人的搭便车行为会影响原告生产产品或者服务的积极性，从而实质性威胁到产品或者服务的存在或质量。根据上述标准，美国联邦第二巡回上诉法院认为，被告通过付出自己的资源来收集NBA比赛中的纯事实信息，并经过加工后通过自己的网络传输给SportsTrax寻呼机，被告的行为并不构成对原告所付出努力的“搭便车”，从而不会对原告所提供的产品或者服务“造成实质性威胁”，因此不适用盗用理论。

　　尽管盗用理论早期主要用于热点新闻领域，但近年来也不断扩展适用于其他领域。例如，在Facebook, Inc. v. ConnectU LLC.案中，法院将盗用理论用于社交网站用户信息；Banxcorp v. Costco Wholesale Corporation案以及Chicago Bd. Options Exch., Inc. v. Int'l Sec. Exch., L.L.C.案等案件则将这一理论用于金融信息领域。在涉及用户信息爬取和利用的hiQ Labs, Inc. v. LinkedIn Corporation案（以下简称hiQ诉领英案）中，美国联邦第九巡回上诉法院指出，市场主体认为受到数据爬取行为损害时，盗用理论也是可以获得救济的可能方式之一。

　　（三）欧盟相关情况

　　与其他国家和地区不同，由于欧盟1996年通过的欧盟《数据库指令》为数据库提供了特殊权利（sui generis right）保护，调查显示多数利益相关方对于通过反不正当竞争法来保护数据库权益并不熟悉，且多数人认为数据库特殊权利能够比反不正当竞争法提供更好或等同的保护。关于反不正当竞争法和数据库特殊权利保护之间的关系，欧盟《数据库指令》没有作出明确规定，仅在第13条规定指令不影响成员国通过反不正当竞争方式来为数据库提供保护。欧盟法院（以下简称CJEU）也没有通过判例进行协调，因此各成员国司法实践并不一致。有些成员国允许对数据库提供特殊权利和反不正当竞争法的双重保护，从而导致侵权人对同一侵权行为可以获得双重赔偿；有些成员国则仅在数据库不能获得特殊权利保护的情况下才适用反不正当竞争法；在更多的国家，这二者之间的适用关系并不清楚。从欧盟《数据库指令》前言第6条来看，欧盟《数据库指令》要解决的问题之一就是欧盟成员国之间数据反不正当竞争保护的立法与司法缺乏协调。因此，欧盟数据库保护制度对于完善我国商业数据保护制度具有重要借鉴意义。

　　欧盟《数据库指令》为数据库提供了两种保护方式：一是著作权保护；二是数据库特殊权利保护。无论通过何种方式保护，对于数据库的定义都是一致的。欧盟《数据库指令》第1条第2款规定，“数据库”是指以系统化或条理化安排、且能通过电子或其他方式获取的独立作品、数据或其他材料的集合。

　　与数据库著作权保护作者“智力劳动成果”不同，数据库特殊权利保护的是数据库制作者在数据库内容的获取、核验或呈现方面所作出的实质性投资。2004年，CJEU在英国等四国法院关于体育赛事信息数据库是否能够获得特殊权利保护的咨询案中，对数据库特殊权利所保护的“投资”作出了限缩性解释，即只有在收集数据库内容时对数据的“获取”所作出的投资才能获得保护，而“创建”相关数据内容所付出的投资则不能得到保护。CJEU指出，欧盟《数据库指令》第7条第1款“获得……（数据库）内容……所作投资”应当理解为寻找现有的独立材料并将其收集至数据库这一过程中所投入的资源，而不包含用于创建构成数据库内容的材料的资源。在这几个案件中，原告制作赛程表的目的是组织赛事，用于创建比赛日期、时间和对手匹配等信息所付出的资源不属于欧盟《数据库指令》第7条第1款所规定的投资。而且，对于职业赛事联盟而言，由于其直接参与了这些数据的创建，因此也不需要付出额外的努力就能获得相关数据。此外，对数据的核验以及呈现也不构成独立于创建这些数据所需的实质性投资。为此，原告制作体育赛事信息数据库不能获得特殊权利保护。

　　权利人对数据库所享有的特殊权利保护包括制止他人未经许可对数据库内容的全部或实质性部分进行提取和再利用。欧盟《数据库指令》第7条第2款进一步对“提取”和“再利用”行为进行了解释。其中，提取是指将数据库内容的全部或实质性部分通过任何方式或以任何形式永久或临时地转移至其他介质；再利用则是指通过发行拷贝、出租、在线或其他传输形式使得公众能够获得数据库全部内容或其实质性部分的任何方式。由此可看出，“提取”基本上等同于“复制”，“再利用”则基本上等同于“提供”。

　　数据库特殊权利也可以适用于网页数据抓取行为。例如，在Innoweb Bv v. Wegner案中，CJEU认定利用元搜索引擎对专门数据库进行检索并提供检索结果的行为，侵犯了数据库特殊权利。在该案中，原告是一家提供二手车销售广告的网站。通过原告提供的搜索引擎，用户可以设置不同的条件对原告收集的二手车相关信息进行检索并获得检索结果列表。被告提供专门用于搜索汽车广告的元搜索引擎，用户通过向该元搜索引擎输入搜索请求，即能够同时在多个第三方网站（包括原告网站）提供的二手汽车广告数据库中进行检索。对此，CJEU认为，被告提供的元搜索引擎利用了他人网站上提供的搜索引擎，而且向用户提供的结果也与这些网站所提供的结果类似。为此，被告的行为构成向公众提供原告数据库内容的“再利用”行为。同时，由于被告提供的元搜索引擎能够检索到原告的整个数据库，就像直接在原告数据的搜索引擎中直接进行检索一样，因此被告的“再利用”行为涵盖了原告数据库内容的实质部分，甚至数据库内容的全部。

　　（一）商业数据反不正当竞争保护的适当性

　　商业数据权益保护存在赋权模式和行为模式两种路径。对于不能通过著作权和商业秘密保护的商业数据，美国、日本和中国等国家和地区当前主要通过反不正当竞争模式提供保护。欧盟虽然可以通过数据库特殊权利对数据提供保护，但其适用范围有限，难以适应当前数字经济时代，尤其在CJEU对数据库特殊权利所保护的投资作出限缩性解释后更是如此。

　　中国虽然在《民法典》第127条就数据保护作出了原则性规定，但由于当前尚未有法律明确规定赋权保护模式，仍然主要依赖于反不正当竞争行为保护模式来对商业数据提供一定程度上的保护。实践中主要通过适用《反不正当竞争法》第12条第2款第4项或第2条认定数据不正当竞争行为，但这一“权宜之计”也存在诸多问题和争议。

　　就适用《反不正当竞争法》第12条第2款第4项而言，需要将商业数据的获取和使用行为与“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”相关联。为适用这一条款，实践中多从数据安全、个人信息保护、服务器负担等角度进行分析，这不仅在说理上较为牵强，更为重要的是并没有体现对数据商业价值本身的保护。这也决定了这一条款仅能在特定情形下以“曲线”方式实现对数据的保护，但无法作为具有普遍适用性的条款。就适用《反不正当竞争法》第2条“兜底条款”而言，虽然在实践中形成了“实质性替代”规则，但“兜底条款”的适用主要依赖“商业道德”的判断与评价，具有很大的不确定性，也为各界所诟病。此外，在已有《反不正当竞争法》第12条“互联网专条”的情况下，是否还应适用“兜底条款”来认定互联网领域的不正当竞争行为，也存在一定的疑问与争议。

　　面对这一现状，学者从不同角度提出了不同的制度建议，也涉及赋权模式和行为模式两种保护路径的选择。从制度效果来看，这两种模式就数据保护而言并无本质区别，对商业数据保护的力度关键在于“赋予的权利”或者“禁止的行为”的范围与类别，而不在于在制度上采取何种形式。日本虽然通过《反不正当竞争法》对“限定提供数据”提供保护，但明确规定了数据受保护的前提条件，并规定不正当获取、使用或披露数据等“不正当行为”，甚至比有些学者建议的赋权模式享有更宽泛的保护。将日本这一制度与欧盟数据库特殊权利保护制度相比较也可发现，二者虽然在数据受保护前提条件方面的规定存在较大差别，但对于“侵权行为”的规定则无本质不同，均主要包括未经许可获取、提供和披露数据的行为，尤其是二者均规定了最重要的“复制权”以制止未经许可获取受保护的数据。这两项制度最主要的区别在于，日本“限定提供数据”制度要求数据持有人通过技术措施向第三人表明其仅限制特定人访问其数据，而欧盟数据库特殊权利则无此种要求。也就是说，日本“限定提供数据”的“权利”外观在于所采取的技术措施，类似于不动产产权人采取修筑围墙、篱笆等自助手段。而欧盟数据库特殊权利则类似于著作权，虽然不具有明显的权利外观，但也不需要权利人通过技术手段或其他措施对其权利边界作出限定。

　　《反法征求意见稿》商业数据专条采取的是行为法保护模式。就具体内容而言，数据专条规定了商业数据的定义和范围，并从数据获取和使用的不正当性两个方面规定了构成不正当竞争的行为，与商业秘密条款以及日本“限定提供数据”制度较为类似，具有一定程度的权利保护特征。虽然数据专条与其他“传统”不正当竞争行为规定存在一定区别，但在产业飞速发展以及新问题、新现象层出不穷的情况下，通过在反不正当竞争法中规定相对原则性的数据保护专条，既能为数据提供更为确定的保护规则，又可为应对新问题预留一定的灵活空间，在当前不失为一种适宜的选择。

　　（二）商业数据的定义和范围

　　1. 商业数据的特点

　　商业数据这一概念主要用于区分个人数据和公共数据，体现对这类数据商业价值的保护需求。从这一意义上来说，可以将商业数据定义为企业等市场经济主体通过聚合海量数据并经过一定程度的加工而形成数据资源，具有集合性、价值性、动态性等特点。商业数据不同于单条的个人信息或其他数据，具有集合性的特点；商业数据具有价值性，其价值来源于市场主体在商业场景中对数据集合的利用，从而区别于公共数据；商业数据具有动态性特点，其数据处于不断动态变化当中。商业数据也可以包含个人信息数据，但在商业数据包含个人信息数据的情况下，其应当是在保护个人信息权益的前提下采取保密、匿名化等措施处理后所形成的数据集合。因此，对商业数据所蕴含的商业价值进行保护的前提是该数据的获取和利用具有“合法性”。

　　《反法征求意见稿》数据专条首次在立法中引入了“商业数据”概念，并在第2款规定了商业数据的“依法收集”“商业价值”以及“采取相应技术管理措施”三个保护前提要件。“依法收集”要件强调了数据收集的“合法性”要求，同时也包含了商业数据的“集合性”要求。“商业价值”要件体现了商业数据的“价值性”要求，其价值来源于市场主体在商业场景中对数据集合的利用。上述两个要件与商业数据保护需求相契合，也为当前司法实践所认可，但是在此之外所提出的“技术管理措施”要件则有必要进一步分析。

　　2. 商业数据的“技术管理措施”要件

　　当前数据反不正当竞争法保护的司法实践中，未将经营者对其商业数据采取技术管理措施作为获得保护的一般性前提要件。但在经营者采取了技术管理措施的情况下，破坏技术管理措施获取数据可作为数据获取行为具有不正当性的考量因素。

　　在国外立法例中，日本《反不正当竞争法》将“电磁管理性”作为构成“限定提供数据”的条件之一。数据所有者通过电磁管理措施，能够控制其数据并使得第三方清楚地了解到该数据受到管理。此外，可与之类比的是，我国《反不正当竞争法》第9条第4款将“经权利人采取相应保密措施”作为构成商业秘密的条件之一。然而，无论是商业秘密的保密措施，还是“限定提供数据”的电磁管理措施，都与其保护客体的性质、商业价值来源以及保护方式密切相关。商业秘密的价值来源于其秘密性，采取保密措施的目的是控制其知悉范围、确保其秘密性。日本“限定提供数据”制度与商业秘密类似，保护的是仅向特定人提供的数据，而“电磁管理性”也是确保该数据仅向特定人提供的必要措施。

　　因此，如果要将采取技术管理措施作为商业数据的保护条件之一，还需在技术管理措施之外对数据相应的性质作出限定，例如仅提供给特定对象等，技术管理措施则作为实现这种限定的方式。破坏技术管理措施破坏或减损了数据的这种性质，从而损害了商业数据的价值。但《反法征求意见稿》相关条款并没有作出此种限定，这也导致无法确定所采取的技术管理措施应与商业数据的何种性质“相应”。

　　此外，《反法征求意见稿》第18条第1款第2项以“实质性替代”标准认定构成不正当竞争行为的前提是“违反约定或者合理、正当的数据抓取协议”获得和使用数据，并未涉及技术管理措施。当前司法实践中适用“实质性替代”标准认定构成不正当竞争行为时，未将技术管理措施作为认定数据是否应当获得保护的前提。如果将“技术管理措施”作为商业数据受保护的要件，那么“实质性替代”标准的适用空间将受到极大限制，其将仅适用于未破坏技术管理措施不正当获取数据、但对数据的使用构成“实质性替代”的行为。这将导致“实质性替代”这一当前司法实践中已具有广泛共识的标准沦为从属地位，难以有效发挥其在保护商业数据中的作用。而且，即便是针对获取不违法但使用或披露违反“诚实信用”原则的行为，也可以借鉴日本“限定提供数据”制度来设计相应规则，将相关行为直接规定为不正当竞争行为，而无须考虑是否构成“实质性替代”。

　　3. 公开数据的保护

　　在当前司法实践中，无论适用《反不正当竞争法》第2条还是第12条第2款，均未以数据是否已公开作为能否获得保护的前提。但在某些情况下，数据是否公开可作为获取行为是否正当，以及是否损害经营者利益的考量因素。例如，有司法案例指出，如果相关商业数据属于或包含未公开数据，并且数据持有者对该数据采取了一定的技术保护措施，他人通过绕开技术措施等不正当方式获取并使用数据，将减损数据安全程度、危害数据安全，从而妨碍、破坏其他经营者合法提供的产品或者服务正常运行。

　　《反法征求意见稿》第18条第3款的规定“获取、使用或者披露与公众可以无偿利用的信息相同的数据，不属于本条第1款所称不正当获取或者使用其他经营者商业数据”，将公开数据排除在保护范围之外。这一条款将大量因业务性质需要向公众公开的商业数据排除在外。包括当前司法实践中给予保护的用户点评数据、电商平台的商家店铺数据、社交平台用户生成的内容数据等在内的公开数据都无法获得保护。这不仅与当前司法实践不一致，也会大大限缩数据专条的适用范围，甚至架空立法目的。

　　《反法征求意见稿》该款规定与日本“限定提供数据”制度的除外条款类似。但是，日本“限定提供数据”制度保护的是仅提供给特定人的数据，从保护范围上已将“向公众公开”的数据排除在外。其规定的公开数据除外条款，只是从反方向对“限定提供”作出进一步解释，以避免将已公开的数据再纳入“限定提供数据”的保护范围。

　　但《反法征求意见稿》的整体制度设计与日本“限定提供数据制度”制度并不完全相同，其既没有将受保护的商业数据范围限定在仅面向特定人提供的数据，也没有仅从不正当获取商业数据角度规定不正当竞争行为，而是还规定了适用范围更为宽泛的“实质性替代”标准。此种情况下，将公开数据一概排除在可受保护的商业数据之外，既缺乏正当性，也缺乏必要性。

　　（三）“破坏技术管理措施”获取商业数据的不正当竞争行为认定

　　虽然不宜将采取技术管理措施作为商业数据获得保护的一般性前提，但在一定情况下可以将其作为商业数据的保护方式之一。此时，破坏技术管理措施获取受保护商业数据的行为本身即构成不正当竞争行为或者至少作为认定构成不正当竞争行为的重要考量因素。《反法征求意见稿》第18条第1款第1项即试图就此作出规定。

　　将技术管理措施作为商业数据的保护方式，其前提是该商业数据本身可以获得保护。如果不考虑相关数据本身是否具有应当获得保护的特性，而仅由数据持有人通过技术管理措施来展现保护意愿并限制他人对其数据的获取，则在实践中大量数据持有者会通过一定程度的技术措施来展示保护其数据不被复制和利用的意图，从而阻碍数据的有序流通和利用。即便对于著作权这种赋权保护的知识产权而言，技术保护措施也存在此类问题。虽然技术保护措施有利于对权利人提供更强的保护，但同时也会对合理使用、法定许可，甚至保护期制度造成冲击，侵蚀公共领域。

　　当前对商业数据保护具有一定共识的是，基于商业数据不具有“强创造性”特点以及为了促进数据流通利用的目的，不应当给予其强排他性保护。无论采取何种方式，只能是赋予相对有限的“用益权”或“有限排他权”，给予“弱权利”保护，甚至建议仅赋予一定的“使用权”。将技术管理措施作为商业数据的保护方式，在很大程度上赋予了数据持有者对数据较为“绝对”的控制权。例如，日本“限定提供数据”制度即赋予了数据持有者对他人获取数据行为进行控制的权利。也正是出于这一原因，为避免对数据流通和利用所带来的负面影响，日本对数据保护提出了较高的门槛，限缩了可以获得保护的数据范围。

　　为避免仅以“破坏技术管理措施”获取商业数据作为认定不正当竞争行为的标准，《反法征求意见稿》第18条第1款第1项围绕“破坏技术管理措施，不正当获取其他经营者的商业数据”，规定了“盗窃、胁迫、欺诈、电子侵入”等作为获取数据方式违法的定性，并规定了“不合理地增加其他经营者的运营成本、影响其他经营者的正常经营”的后果要件。但这一规定存在定位不明、保护法益不清的问题，主要是因为该条款同时糅合了日本“限定提供数据”制度和当前司法实践适用《反不正当竞争法》第12条第2款第4项时形成的“加重服务器负担、增加运营成本”的不正当竞争行为认定标准。如前文所述，“加重服务器负担、增加运营成本”与商业数据价值本身没有关系，其仅是在现行《反不正当竞争法》下为了论述数据爬取行为“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行”而采取的说理逻辑。将这一后果要件与“盗窃、胁迫、欺诈、电子侵入”等与“破坏技术管理措施”相关的行为标准糅合在一起，要么导致实践中该后果要件被“虚置”，要么导致违法行为认定门槛过高，例如得出破坏技术管理措施“盗窃”商业数据不构成不正当竞争行为的明显不合理的结论。

　　在仅以“破坏技术管理措施”不当获取商业数据，作为认定不正当竞争行为构成要件的情况下，即便增加“盗窃、胁迫、欺诈”等获取手段不正当的法律定性，也仍然应当对适用该标准的商业数据范围作出一定的限定，以避免经营者动辄通过技术管理措施限制他人对其商业数据的获取，对数据的流通利用产生不利影响。也就是说，“破坏技术管理措施”获取商业数据的不正当竞争行为不应作为适用于所有商业数据的一般性标准，而仅能有限地适用于特定商业数据类型。例如，可以借鉴日本“限定提供数据”制度，将数据是否可由公众无偿获取、是否仅提供给特定对象等额外特性作为数据是否可获得保护的前提。

　　（四）“实质性替代”标准与商业数据盗用理论

　　虽然我国在反不正当竞争法中未明确确立盗用理论，但司法实践中适用《反不正当竞争法》第2条采取的“实质性替代”标准在分析思路上与盗用理论具有一致性。盗用理论适用的最重要标准之一是相关盗用行为对其他经营者造成实质性损害，而对其他经营者的产品或者服务造成实质性替代显然会造成实质性损害。当然，对相关产品或者服务的实质性替代只是对商业数据持有者造成实质性损害的一种情形，而不是必要条件。例如，在Facebook, Inc. v. ConnectU LLC.案中，被告ConnectU通过技术手段从Facebook网站上获取“数百万条”仅注册用户可获得的用户邮箱地址，并向这些用户发送邮件。显然，ConnectU并没有将这些数据用于其产品或者服务当中，更不会对Facebook提供的产品或者服务造成实质性替代，但法院仍认为被告的行为构成盗用。在我国现有司法判决中，对于并未明显构成实质性替代的商业数据使用行为也有通过《反不正当竞争法》第2条给予保护的案例，其分析思路也与盗用理论相一致。例如，北京微梦创科网络技术有限公司诉北京淘友天下技术有限公司等不正当竞争纠纷案二审判决指出，被告“获取并使用非脉脉用户的新浪微博信息，无正当理由地截取了被上诉人微梦公司的竞争优势，一定程度上侵害了被上诉人微梦公司的商业资源”。

　　以盗用理论为基础，结合我国司法实践中确立的“实质性替代”标准构建商业数据保护规则，与“破坏技术管理措施获取数据”标准相比更具有普遍适用性，也更有利于平衡数据保护和数据流通利用之间的利益。

　　首先，以盗用理论为基础构建商业数据保护规则，在保护客体上与商业数据保护需求相契合。盗用理论是对著作权法、专利法等知识产权专门法之外对具有竞争属性的智力成果提供保护的一项制度。商业数据持有人通过收集和处理相关数据，并用于一定的业务场景，能带来竞争优势。这种竞争优势正是商业数据的价值所在，是商业数据应当得到保护的基础，也为我国多个司法判决所认可。实践中盗用理论保护的客体主要是公开事实信息，与数据保护需求一致。在当前数据纠纷案件中，多数案件涉及的均是公开数据。这可与商业秘密保护制度有效衔接。对于符合商业秘密保护要件的非公开信息可以通过商业秘密制度来获得保护，而对于那些因具体应用场景需要提供给普通用户访问的数据则可以通过专门的数据保护规则予以保护。商业数据保护不以创造性或独创性为基础，其保护的也不是智力投入，而是保护数据持有者在收集和处理数据过程中所付出的投资，以避免其他经营者“搭便车”“不劳而获”，而这也与盗用理论目标相一致。

　　其次，以盗用理论为基础构建商业数据保护规则，在保护条件和保护手段上能更好地平衡商业数据的保护与流通利用。商业数据的价值在于应用，而并非持有数据本身。这就决定了在保护前提条件和手段上要与物权以及专利权、著作权等知识产权有所区别。通过盗用理论对商业数据提供保护，考察的重点并非对其他经营者商业数据的获取行为是否违法，没有从源头上赋予数据持有人禁止他人获取其商业数据的排他权或控制权，而是考察对商业数据的使用行为是否会对数据持有人造成实质性损害，这也体现了对商业数据利用价值的保护而非对持有数据本身的保护这一底层逻辑。如果其他经营者对商业数据的使用方式没有对持有数据持有者造成实质性损害，没有攫取数据持有者因利用该商业数据所带来的竞争优势，就不构成盗用。例如，在前述美国NBA案中，二审法院认为被告对NBA比赛中纯事实信息的利用方式不会对原告所提供的产品或者服务“造成实质性威胁”，从而没有适用盗用理论。

　　最后，以盗用理论为基础构建的商业数据保护制度也与商业数据特点相符。与作为专利权保护客体的技术方案和作为著作权保护客体的作品相比，商业数据是“动态”的，处于不断变化当中，这就难以将“固定”下来处于“静态”的数据作为保护客体，也难以确定特定保护期限，更难以确定保护期限起算日。在通过盗用理论提供保护的情况下，没有规定禁止他人获取商业数据的排他性权利，而是从利用商业数据所产生的价值出发提供保护，也就无需考虑保护期限问题，与商业数据的动态特征相一致。在美国司法实践中，传统上主要将盗用理论用于具有高度时效性的热点新闻，有观点认为这使得其难以一般性地适用于其他领域大数据的保护。但一方面，美国司法实践已将这一规则适用于热点新闻以外的其他领域，例如社交媒体相关信息。另一方面，商业数据的动态性特点决定了其也确实具有时效性，只有包含了最新数据的商业数据集合才能在商业应用中发挥其价值。对商业数据价值性的考察实际上已充分地体现了商业数据的时效性。

　　有观点认为，“实质性替代”是一种事后判断标准，“具有不确定性，于数据交易安全和自由流通不利”。这种担心不无道理。然而不确定性并不是盗用理论所特有，即便是通过赋权保护的知识产权制度也存在这一“通病”。以著作权为例，虽然各主要国家和地区均通过成文法就保护客体、专有权范围、侵权行为、保护期限等作出了详细的规定，但一件作品是否可以获得保护、是否仍在保护期内、相关行为是否侵权，仍然需要对个案具体分析才能确定。以盗用理论为基础构建的商业数据保护规则并不依赖于数据持有者采取的技术保护措施，而是从商业数据价值本身出发为商业数据提供保护，尽管具有一定的不确定性，但这种不确定性是由商业数据本身的性质所决定的，难以通过制度设计来避免。而且，这种适度的不确定性也恰好与商业数据保护所需要的制度弹性空间相适应，更好地平衡数据保护与流通利用。在通过盗用理论对一般性商业数据提供保护的同时，并不排斥经营者通过技术管理措施对具有特定属性的数据提供保护，并将此种情况下破坏技术管理措施获取数据的行为认定为不正当竞争行为。

　　《反法征求意见稿》商业数据专条第1款第2项和第3项规定了“实质性替代”规则，这既是对司法实践的总结，也是对该标准的进一步完善。司法实践中“实质性替代”标准主要是针对“使用”他人商业数据的情形，《反法征求意见稿》则在此基础上进一步扩展到“披露、转让”行为，在盗用理论的实质性损害标准之内扩大了“实质性替代”标准的适用范围。而且如前文所述，“实质性替代”只是对经营者造成实质性损害的一种比较常见的方式，对于其他造成实质性损害的方式则可以适用兜底条款来进行规制。但是，在考虑是否构成实质性替代时，不仅要考虑事实上的替代，还要考虑替代可能性；不仅要衡量数据持有者正在提供的产品或者服务，还要考虑其将来可能提供的产品或者服务。例如，我国法院也有判决指出：“微梦公司本可就涉案数据自行或与案外人开展合作，以丰富其产品功能，进行数据衍生品或其他业务的开发，而云智联公司被诉行为亦将影响微梦公司获得此种市场交易机会并取得相应收益。”《反法征求意见稿》采取“足以实质性替代”的表述，在适用范围上难以涵盖前述情形，也有必要进行必要的扩展。

　　《反法征求意见稿》第18条第1款第2项以“违反约定或者合理、正当的数据抓取协议，获取和使用他人商业数据”作为适用“实质性替代”标准的前提。虽然有判决指出，即便获取数据时不违反Robots协议，也同样可以适用“实质性替代”标准认定不正当使用数据的行为构成不正当竞争，但要求商业数据持有人以约定或者数据抓取协议的方式对外表明保护其数据的意图，更有利于提高市场主体抓取和使用数据行为在法律上的确定性，且没有对商业数据持有人提出过高的要求，不失为一种更为平衡的选择。

　　与土地、厂房、机器设备等“物”不同，商业数据具有非竞争性特点，相同的数据可以同时为不同主体占有并利用。多数情况下商业数据的价值不来源于市场主体对数据本身的排他性占有或控制，而来源于在商业场景中对数据的利用。因此对于商业数据的保护不应如同对土地等物权保护客体那样，普遍地赋予数据持有者对商业数据本身的排他性权利，而应当主要从对数据的商业利用及产生的商业价值出发，平衡数据保护与数据的流通利用。《反法征求意见稿》商业数据专条规定了“破坏技术管理措施”不正当获取商业数据、“实质性替代”使用数据这两个不正当竞争行为认定标准。这两个标准各有优缺点，可从不同的方向对商业数据提供保护。但这两个标准的制度基础、保护力度、适用对象范围等方面存在较大差别，并不适于作出统一规定，否则将导致适用混乱，也难以实现立法目标。

　　将“破坏技术管理措施”不正当获取商业数据认定为不正当竞争行为，在效果上赋予了数据持有者对其数据近乎“绝对”的控制权，为此不宜作为商业数据保护的普遍性规则，而应仅适用于具有特定属性的商业数据，例如仅提供给特定对象的数据。“实质性替代”标准则从数据使用所产生的后果出发认定是否构成不正当竞争行为，是一项相对平衡的制度，可以普遍适用于包括公开数据在内的各类数据类型。为完善《反法征求意见稿》数据专条，建议分别构建这两项不同的制度。一是借鉴日本“限定提供数据”制度，以“破坏技术管理措施”不正当获取商业数据作为构成不正当竞争行为的标准，但限制其适用范围，即仅适用于提供给特定对象、尚未普遍提供给公众且采取技术管理措施的商业数据。二是以盗用理论为基础，结合我国司法实践确立的“实质性替代”标准构建商业数据保护规则。这个保护规则可以普遍适用于所有商业数据，不以该数据是否已公开、是否受到技术措施管理为前提。这两项制度平行运作，相互补充，可以在为商业数据提供更好保护的同时促进商业数据的流通与利用。

【专题评述】

《知识产权》是由国家知识产权局主管，中国知识产权研究会主办的学术期刊，是中国中文法律类核心期刊、中文社会科学引文索引（CSSCI）扩展版来源期刊和AMI综合评价（A刊）扩展期刊。

责任编辑 | 王睿

审核人员 | 张文硕 范阿辉

本文声明 | 本文章仅限学习交流使用，如遇侵权，我们会及时删除。本文章不代表北大法律信息网（北大法宝）和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。

《知识产权》2023年第2期要目

韩荣：《民法典》视野下知识产权合同法律规定的意定主义强化趋势及其影响 | 大连理工大学学报（社会科学版）202301

张伟君 庄雨晴：论《民法典》框架下姓名与特定名称财产利益的保护 | 知识产权202301

张吉豫 汪赛飞：数字向善原则下算法推荐服务提供者的著作权注意义务 | 知识产权202211

李雨峰：技术方案的财产模式及内在机理 | 知识产权202210

关注下方公众号，获取更多法律信息