专栏名称: 新技术法学

究新技术法理，铸未来法基石

刘双阳：数字经济时代商业数据不正当竞争行为刑法规制的路径与边界

新技术法学 · 公众号 · · 2025-01-26 08:44

正文

点击上方蓝字关注我们

《法学论坛》2025年第1期（第40卷，总第217期）

摘要： 刑事司法实践中对于经营者之间的商业数据不正当竞争行为采取“分而治之”的策略，根据商业数据内容的法律性质适用不同的罪名，不仅呈现碎片化的样态，而且存在法益保护缺失或错位、保护对象不周延等局限性。刑法上应进行规范整合并与前置法衔接，引入竞争法上的商业数据概念，以其作为保护对象增设专门的罪名，回应数字经济蓬勃发展所衍生的商业数据刑法保护需求，完善我国数据犯罪刑法规制体系。侵犯商业数据罪的保护法益为复合法益，法益内容构造为双层形态：阻挡层法益是数据要素市场公平竞争秩序，背后层法益是经营者的竞争性数据财产权益。在手段不法层面，破坏技术措施、违背合约授权、实质性替代是实施不正当获取或者使用商业数据行为的三种具体方式，应从形式解释的角度理解侵犯商业数据罪的构成要件行为，限定商业数据不正当竞争行为的入罪范围；在对象不法层面，商业数据的开放共享程度决定了不正当获取或者使用商业数据行为的侵权内容和法益侵害实质，应从实质解释的角度将公众可以自由获取、无偿利用的公开性商业数据排除出侵犯商业数据罪的保护对象范围，从而合理确定商业数据不正当竞争行为刑法规制的边界。

关键词： 数字经济；商业数据；不正当竞争；刑法解释；侵犯商业数据罪；复合法益

一、商业数据不正当竞争行为罪名适用的局限性评析

二、侵犯商业数据罪的规范构造与法益定位

三、商业数据不正当竞争行为刑法规制的边界

结语

数据要素作为最具时代特征的生产要素，是数字经济高质量发展的核心引擎，数据的爆发增长、海量集聚和流通利用蕴藏了巨大的价值，对提高生产效率的乘数作用不断凸显，能够帮助企业在市场竞争中获得优势地位，并转化为巨额经济利益。2021年12月12日，国务院印发的《“十四五”数字经济发展规划》（国发〔2021〕29号）提出“鼓励市场力量挖掘商业数据价值，推动数据价值产品化、服务化，大力发展专业化、个性化数据服务，促进数据、技术、场景深度融合，满足各领域数据需求”。觊觎数据要素承载的经济价值，不乏经营者利用网络爬虫、黑市交易、盗窃、欺诈等不正当方式获取或者使用其他经营者的商业数据，损害其他经营者和消费者的合法权益，扰乱市场公平竞争秩序，诸如“新浪微博诉脉脉案”“大众点评诉百度地图案”“淘宝诉美景案”“抖音诉刷宝案”等互联网平台企业之间的商业数据不正当竞争纠纷呈现愈演愈烈的态势，对数字经济的发展造成负面影响。为激活数据要素潜能，做强做优做大数字经济，2022年12月2日，中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称《数据“二十条”》）强调在数据分类分级管理的基础上构建数据产权制度、流通交易制度、收益分配制度、安全治理制度，在合规高效流通使用中充分释放数据要素价值。该《意见》针对经营者依法收集和控制的商业数据，从合法权益保障与不法行为规制两个层面进行制度设计：一方面，着眼于加强数据要素供给激励，要求推动建立企业数据确权授权机制，保障各类市场主体对在生产经营活动中采集加工的不涉及个人信息和公共利益的数据享有依法持有、自主使用、授权他人使用、获取收益的权利；另一方面，着眼于规范数据流通使用行为，要求加强企业数据合规体系建设和监管，严厉打击黑市交易，取缔数据流通非法产业，并引导企业提升数据安全管理水平。

日前，国家市场监管总局发布的《中华人民共和国反不正当竞争法（修订草案征求意见稿）》针对商业数据不正当竞争也专门增设了“数据专条”，明确了商业数据的概念及不正当竞争的具体行为类型，旨在进一步完善数字经济反不正当竞争规则，规范治理新经济、新业态、新模式发展中出现的扰乱市场公平竞争秩序的行为。数据要素的市场化流通体系是数字经济的血脉，商业数据公平竞争秩序是数字经济时代社会主义市场经济秩序法益的重要组成部分，商业数据不正当竞争行为的刑法应对成为当前数据犯罪治理研究的新课题，刑法作为保障法介入规范商业数据获取、流通、使用行为的合适路径与限度亟待明晰，以在保护平台企业数据权益与推进数据要素共享利用之间取得平衡，从而为促进数字经济健康持续发展提供有力的刑事法治保障。

一、商业数据不正当竞争行为罪名适用的局限性评析

在《反不正当竞争法（修订草案征求意见稿）》增设“数据专条”之前，尚未有国家立法或者中央政策文件使用“商业数据”这一术语，与其含义和性质较为接近的概念是“企业数据”，即平台企业为商业目的或者市场竞争在生产经营活动中采集加工并控制的数据集合或者数据产品。企业作为市场经济活动的主要参加者，是最基本、最重要的市场主体，但并不是唯一的市场主体，“使用商业数据称谓更能准确反映其收集主体、对象和目的，外延可以涵盖所有用于商业用途和市场竞争的数据”，即商业数据是企业数据的上位概念，企业数据是商业数据的核心组成部分。尤其是在反不正当竞争法的语境下，着重强调数据的市场意义和竞争价值，并且商业数据与商业标识、商业秘密等现有立法正式术语在法律规范体系层面更为协调。从《反不正当竞争法（修订草案征求意见稿）》对商业数据的定义来看，只要是经营者依法收集、具有商业价值并采取相应技术管理措施的数据均属于商业数据，其承载的内容广泛，表征的价值多元，牵涉的利益复杂，范围上既与个人信息、作品、商业秘密等对象存在交叉重合，又包括大量不具有上述特定对象本质特征（如可识别性、创造性、秘密性等）的一般数据，例如，网络平台收集和处理的用户评论信息、人工智能生成内容、公交实时运行信息、新闻信息等非独创性、公开性、不具有可识别性的商业数据。梳理相关裁判文书发现，当前我国刑事司法实践中通常根据商业数据的内容和属性，在不同场景下分别适用侵犯公民个人信息罪、侵犯著作权罪、侵犯商业秘密罪、非法获取计算机信息系统数据罪等罪名规制各类商业数据不正当竞争所涉及的非法获取或者使用行为。

【案例1：巧达公司、王某某等人侵犯公民个人信息案】被告单位巧达公司负责人王某某，利用网络爬虫等技术非法获取“智联招聘”“58同城”“前程无忧”等多个招聘平台存储的个人简历信息2.1亿余条，内含姓名、手机号码、身份证号码、家庭住址等公民个人信息，安排数据服务部负责人赵某某将非法获取的公民个人信息进行解析、清洗后用于自行开发的数字英才网、“保险关系多”APP等产品，并对外销售牟利。法院认定巧达公司、王某某等人的行为构成侵犯公民个人信息罪。

个人信息是商业数据的重要来源之一。以网络平台为代表的经营者在向用户提供网络服务时，不可避免要收集用户形形色色的个人信息，经过清洗、加工、编排等数据处理活动形成极具商业价值的数据集合或者数据产品，可以利用大数据分析技术从中挖掘出反映经营状况、交易变化、商业规律的重要信息，为业务决策提供数据支撑，因此用户信息往往被经营者视为最核心的数据资产。注册用户数量多、用户活跃度高的大型网络平台控制着海量个人信息，极易成为不法分子觊觎的对象。根据法院在新浪微博诉脉脉不正当竞争纠纷案中确立的“三重授权原则”（“用户授权”+“平台授权”+“用户授权”），认定未经网络平台许可，非法抓取、使用用户的头像、名称、职业、教育经历等个人信息的行为侵犯了经营者的合法权益，构成不正当竞争。案例1即是与个人信息相关的商业数据不正当竞争刑事案件，目前司法实践中处理此类案件普遍适用的是侵犯公民个人信息罪，该罪所保护的法益是信息主体的个人信息自决权，本质上保护的是自然人的人格利益，因为“个人信息是能够识别特定自然人的信息，这种可识别性就体现了人格特征”，包括人格尊严和人的自由。然而，网络平台对其依法收集的具有可识别性的商业数据（个人信息）并不享有人格权益，而是享有一种能够为经营者带来市场竞争优势的商业利益，他人非法获取、使用网络平台投入人力、物力、财力收集和处理的个人信息通常会给网络平台造成一定的经济损失。由此可见，运用侵犯公民个人信息罪来规制可识别性商业数据不正当竞争行为，仅能保护网络用户的个人信息权益，却无法实现保护网络平台的经济利益、维护市场公平竞争秩序之目的，即存在法益保护缺失的情况，那么罪名适用的适当性就值得商榷。

【案例2：鼎阅公司、覃某某等人侵犯著作权案】被告单位北京鼎阅文学信息技术有限公司在覃某某等人负责管理或参与运营下，未经掌阅科技股份有限公司、北京幻想纵横网络技术有限公司等权利人许可，利用网络爬虫技术抓取上述公司享有独家信息网络传播权的文字作品共计4603部，而后在其运营的“鸿雁传书”“TXT全本免费小说”等10余个APP中展示电子图书，供他人访问并下载阅读，并通过广告收入、付费阅读等方式进行牟利。法院认定鼎阅公司、覃某某等人的行为构成侵犯著作权罪。

随着数字技术向经济社会和产业发展各领域深入渗透，数字技术与知识产权深度融合，在知识产权数字化转型背景下越来越多的文学艺术作品以网络数据的形式存在。网络平台作为权利人管理的各类数字作品成为商业数据的重要组成部分，案例2呈现的未经著作权人许可，非法获取并通过信息网络传播他人作品（具有独创性的商业数据）的行为属于扰乱市场公平竞争秩序、损害经营者合法权益（复制权、信息网络传播权）的不正当竞争行为，往往被认定构成侵犯著作权罪。然而，生成式人工智能技术的迅猛发展与广泛应用在推动AI创造出论文、诗歌、绘画、音乐、视频、程序代码等各种各样接近人类作品的内容的同时，也给商业数据的刑法保护带来新的挑战。“人工智能只是对某种算法、规则和模板的应用，与作者基于独特的个性和情感进行的创作相去甚远，不符合独创性的要求”，因此，以ChatGPT为代表的新一代人工智能生成内容不属于著作权法意义上的作品，不受著作权法的保护，那么非法获取或者使用他人承载人工智能生成内容的非独创性商业数据的行为也就无法适用侵犯著作权罪。“非独创性数据库作为信息开发、累计和应用所必不可缺的一种信息资源，具有重要价值，虽然其在内容的选择和编排上没有体现独创性，但是其收集了大量的事实信息，而恰恰是此类数据才更具有使用价值和商业价值”。关于不具有独创性的商业数据的司法保护，民事司法实践开辟了反不正当竞争法保护路径。例如，在北京市首例短视频平台数据集合不正当竞争纠纷案（抖音诉刷宝案）中，法院认为非独创性数据集合由较大数量规模的单一数据组成，数据集合的规模集聚效应和商业性使用为经营者带来巨大的经济利益，在市场竞争中形成竞争优势，经营者基于涉案非独创性数据集合形成的竞争性利益，应当属于反不正当竞争法保护的合法权益。该裁判思路对刑法如何有效规制非独创性商业数据不正当竞争行为具有启发意义。

【案例3：富田公司、平田某某等人侵犯商业秘密案】被告人平田某某利用在上海瑞光公司担任机械设计部经理及营业部经理的职务便利，通过突破加密装置、下载服务器数据的方式，非法获取了瑞光公司“婴儿拉拉裤自动化生产线”整套技术图纸。平田某某从瑞光公司离职后加入富田公司，将获取的技术图纸非法披露给龚某某、方某某等人使用，富田公司利用上述技术图纸研发了同类型生产线设备，并销售给多个客户，造成瑞光公司经济损失为1220余万元。法院认定富田公司、平田某某等人的行为构成侵犯商业秘密罪。

数字化环境下以网络数据为载体的商业秘密（技术信息和经营信息）无疑属于商业数据中较为特殊的一类——具有非公开性、价值性、保密性的法律特征。就概念涵摄范围而言，商业数据的范围大于商业秘密的范围，具有商业价值是两者的共同属性，不同点在于：一是商业秘密必须具有非公开性，即不为公众知悉的事实状态，已合法公开的商业数据不可能构成商业秘密；二是商业秘密具有的保密性不同于商业数据具有的管理性，即商业数据的定义只要求经营者采取相应的技术管理措施，而要构成商业秘密，权利人采取必须合理的保密措施使数据内容维持秘密状态。例如，利用标记、分类、隔离、加密、封存等技术措施，对商业秘密及其载体进行区分和管理。“保密性表明了权利人维持商业秘密‘未公开性’的行为状态，具有控制（信息秘密）、防范（第三人知悉）、拘束（相关人非法利用）的法律要义，并非一般意义上的管理活动”。案例3中被告人通过电子侵入存储设备、破坏保密技术装置的方式非法获取、使用权利人承载商业秘密的网络数据的行为是《反不正当竞争法》第9条明确规定的不正当竞争行为，情节严重的，在刑法被认定成立侵犯商业秘密罪。简言之，该罪的保护对象是秘密性商业数据，公开性商业数据被排除在外。网络平台为防范自己经营的网站或运行的应用程序中处理的商业数据被他人恶意抓取，经常使用反爬虫措施，即通过设置各种技术性手段来监控、防止网络爬虫批量抓取网络平台的信息数据。例如，通过UA识别爬虫；设置IP访问频率，如果超过一定频率则弹出验证码；请求的时间窗口过滤统计；限制单个IP/API Token的访问量等。从技术原理来看，反爬虫措施应被理解为“只是对某种特定的访问方式进行了限制，并不具有排除特定主体访问的强制性效果”。因此，反爬虫措施属于数据管理类技术措施而非保密措施，不具有维持数据内容处于秘密状态的功能，经营者管理的商业数据事实上处于公众可自由访问的公开状态。那么，其他经营者破解反爬虫措施后实施的非法获取或者使用公开性商业数据行为就无法适用侵犯商业秘密罪。刑法是否有必要介入或者如何合理规制公开性商业数据不正当竞争行为是一个值得深入思考的问题。

【案例4：房麦公司、林某某等人非法获取计算机信息系统数据案】被告单位厦门房麦网络科技有限公司负责人林某某，指使技术部门负责人程某某等人利用网络爬虫程序，采用破解验证码、绕过登录校验等方式非法获取北京某信息技术有限公司经营的网站上的房源数据（房屋面积、户型、朝向、楼层、价格、建设时间等信息），经解密、加工、整理后供房麦公司的“推房神器”APP调用，并通过向用户收取会员费的方式获利。上述行为给受害公司造成直接经济损失10余万元。法院认定房麦公司及林某某等人的行为构成非法获取计算机信息系统数据罪。

商业数据中除了涉及具有可识别性的个人数据、具有创造性的智力成果数据、具有秘密性的商业秘密数据之外，还包含大量不具有上述特征但具有商业价值的一般数据，如案例4中不直接涉及公民人身财产安全的房源数据。刑事司法实践中对于涉及此类商业数据的不正当竞争行为通常适用非法获取计算机信息系统数据罪予以规制。例如，在全国首例利用网络爬虫技术抓取数据行为入罪案（上海晟品网络科技有限公司非法获取计算机信息系统数据案）中，公司主管人员侯某某等人指使被告人郭某破解了北京字节跳动网络技术有限公司在服务器中设置的防抓取措施，使用“tt_spider”文件实施视频数据抓取行为，造成被害单位损失技术服务费2万元，法院认定晟品公司及侯某某、郭某等人构成非法获取计算机信息系统数据罪。本罪属于我国数据犯罪罪名体系中的兜底性罪名，有学者指出，作为非法获取计算机信息系统罪保护对象的“数据”应去识别性、去财产性、去创造性，该罪保护是数据安全法益中的数据保密性，即确保数据免受未得到授权之人的非法访问、读取、获取。“法益是区分各种犯罪形态之标准，以确定各个构成要件在刑法法典上之先后秩序。各形各色之犯罪行为，能够井然有序地规定于刑法分则之中，即是依据法益之分类，编排而成者”。从法益的犯罪分类机能来看，非法获取计算机信息系统数据罪被置于《刑法》第六章“妨害社会管理秩序罪”中的第一节“扰乱公共秩序罪”之中，其所保护的数据安全法益实质上是一种数据安全管理秩序，属于社会秩序法益的范畴。而商业数据中的商业价值意指具有实际或潜在的经济价值，体现为能够为经营者带来竞争优势或者商业利益，映射的是一种经济秩序法益，规制商业数据不正当竞争行为意在保护经营者的合法权益、维护市场公平竞争秩序。可见，社会秩序法益与经济秩序法益是两种完全不同的法益类型，以非法获取计算机信息系统数据罪来规制一般性商业数据不正当竞争行为存在明显的法益保护错位问题。此外，即使能够适用非法获取计算机信息系统数据罪，其也只能规制以电子侵入等技术手段不正当获取商业数据的行为，对于非法使用商业数据行为显然是无能为力，而商业数据的经济价值正是加工使用行为创造的。

综上所述，刑法上对于经营者之间利用网络爬虫等电子侵入方式实施的商业数据不正当竞争行为的规制采取“分而治之”的策略。主要是根据商业数据内容的法律性质，将其分别纳入侵犯公民个人信息罪、侵犯著作权罪、侵犯商业秘密罪、非法获取计算机信息系统数据罪的保护对象，换言之，前述罪名只适用于保护特定类型商业数据。刑事司法实践中对非法获取或者使用不同类型商业数据的行为适用不同的罪名，不仅使得商业数据不正当竞争行为的刑法规制呈现碎片化的样态，而且存在法益保护缺失或错位、保护对象不周延等局限性，究其根源在于我国数据犯罪的刑事立法相对滞后，规范供给严重不足。正如有学者指出，“我国近年来虽然逐渐强调对数据的法律保护，但是在相关数据犯罪构成要件类型的设置上实际上仍然相当保守”。囿于立法者对数字经济时代产生的商业数据这一新生事物的法益内容及属性认识有限，与商业数据相关的新的生活利益尚未被整体纳入刑法保护范围。

二、侵犯商业数据罪的规范构造与法益定位

从整体法秩序的角度来看，《反不正当竞争法（修订草案征求意见稿）》增设“数据专条”为商业数据刑法保护模式从分散保护转向专门保护奠定前置法基础。竞争法着重数据竞争秩序建构，重视事后对竞争利益损害进行追认以制止网络爬虫的不正当竞争行为。对于运用刑法规制利用技术手段实施的商业数据不正当竞争行为，刑事立法应作整体考虑，着眼于兼顾激励数据生产与促进数据流通利用，及时吸纳新兴法益，创新规制路径——引入竞争法上的商业数据概念并将其作为独立罪名的保护对象，即以规范整合应对碎片化局面，推动数据犯罪刑事治理体系化。

（一）侵犯商业数据罪的规范构造

在商业数据已然成为数字经济时代最重要的生产要素的背景下，商业数据不正当竞争行为具有严重的法益侵害性和一般预防的必要性，但前文所呈现的诸多情形根据现行刑法无法以犯罪论处。数字化条件下犯罪对象、行为方式、危害后果的迭代更新，不断冲击着原有的商业数据刑法保护模式，刑法在数据犯罪领域的滞后性愈加凸显，难以满足商业数据不正当竞争行为的规制需求。刑事立法是对社会现实的反映，其核心目的在于解决犯罪治理实践中出现的新问题，无论是行为规范层面还是裁判规范层面，相关问题都会反馈于立法层面，并期望刑事立法对此予以回应。从保证刑法规范的社会适应性视角出发，刑法必须在坚持固有体系与基本原则的稳定性的基础上根据社会情势的变化做出积极的调整，“刑法的适应性也是正视刑法自身缺陷的客观态度，在刑法规范难以跟上社会发展步伐时，需要通过刑法立法方法的引导而适时地对原有立法进行修订，防范刑法与社会之间严重脱节”，即通过完善立法来有效弥补刑法的滞后性。就新型数据犯罪立法而言，有学者明确指出，“大数据时代的其他重要数据显然已经成为生产资料，成为重要的法益，需要刑法的保护，增加相关的数据犯罪，已经不可避免”。体系性是刑法规范的内在要求，刑事立法既要对设置新罪的体系安排与规范表述进行审慎斟酌，又要对已有的关联性罪名进行反复考量，较为可行的立法方案是在《刑法》第三章“破坏社会主义市场经济秩序罪”第八节“扰乱市场秩序罪”中增设“侵犯商业数据罪”。设计该罪的规范构造时要注意构成要件表述的明确性、法定刑配置的合理性以及与已有规范之间的关联性，从而审慎确定商业数据不正当竞争行为的刑法处罚范围，合理划定商业数据刑法保护的边界。建议条文的具体内容如下：

经营者有下列侵犯商业数据行为之一，情节严重的，处三年以下有期徒刑，并处或者单处罚金；情节特别严重的，处三年以上十年以下有期徒刑，并处罚金：

（1）以盗窃、胁迫、欺诈、电子侵入等方式，破坏技术管理措施，不正当获取其他经营者的商业数据的；

（2）违反约定或者合理、正当的数据抓取协议，获取其他经营者的商业数据，不合理地增加其他经营者的运营成本、并严重影响其他经营者的正常经营的；

（3）披露、转让、使用或者允许他人使用以前两项手段获取的其他经营者的商业数据，并足以实质性替代其他经营者提供的相关产品或者服务的。

明知前款所列行为，获取、披露、转让、使用或者允许他人使用该商业数据的，以侵犯商业数据论。

本条所称经营者，是指在商业数据处理活动中自主决定处理目的和处理方式的个人和组织。

（二）侵犯商业数据罪的构成要件解析

首先，侵犯商业数据罪的保护对象是商业数据，即经营者依法收集、具有商业价值并采取相应技术管理措施的数据。由此可见，商业数据具有收集合法性、商业价值性、管理控制性等三重特征，包括以原始数据为主要内容的非独创性数据集合和以衍生数据为主要内容的数据产品两大类。其一，收集合法性强调商业数据的来源合法，即通过正当合法的途径取得，特别是获取包含个人信息的商业数据必须符合《个人信息保护法》第13条关于处理个人信息的合法性基础之规定。其二，商业价值性是商业数据区别于公共数据的本质属性，“两类数据具有不同的收集主体、收集对象和收集目的，两者之间的界限能够清楚地划分，应当构建不同的法律规则”。以开放共享为价值导向的公共数据表征的是服务公共需求、满足公共利益的公共产品属性，而商业数据被赋予的使命是在合规高效流通使用中充分激活和实现数据要素的经济效益，市场主体可以依法自由地将其用于商业经营活动或者将其作为商品进行交易流转，并能够从中获得一定的竞争优势或者经济利益，体现的正是商业数据独特的商业价值。其三，管理控制性强调经营者对商业数据的事实性占有和相对排他性控制，经营者对商业数据的管理控制主要通过数据处理系统来实现，“从技术上来讲，以比特形式存在的数据因依附于一定的载体得以固定，可以被网络运营者合法收集、记录和储存，且以文档或数据流的形式在计算机信息系统中传输，无疑体现为对数据的占有和控制”。

其次，刑法分则条文对侵犯商业数据罪的实行行为应当进行类型化描述。实行行为具有类型性、定型性的特征，“是犯罪类型的一种指导形象，是一种违法行为类型”，刑法分则规定的构成要件行为就是实行行为类型。侵犯商业数据罪的构成要件以类型化的方式具体规定了三种实行行为：一是破坏技术管理措施获取商业数据；二是违反合同约定或者数据抓取协议获取商业数据，不合理地增加其他经营者的运营成本，并严重影响其他经营者的正常经营；三是披露、转让、使用或者允许他人使用以不正当手段获取的商业数据，并足以实质性替代其他经营者提供的相关产品或者服务。此外，虽然第三人自己未直接实施上述不法行为，但如果明知他人具有上述三种侵犯商业数据的行为，仍然从其处获取、披露、转让、使用或者允许他人使用该商业数据的，以侵犯商业数据论。认定本罪成立与否的关键在于判断具有竞争关系的经营者之间实施的获取或者使用商业数据行为是否具有正当性、是否构成不正当竞争，即是否损害其他经营者的合法权益、扰乱市场公平竞争秩序。

再者，侵犯商业数据罪的罪量要素是“情节严重”，因而属于情节犯。“当行为符合了构成要件中的基本要素后，并不意味着行为的违法性达到了值得科处刑罚的程度，在此基础上，还需要对行为进行整体评价”。作为整体的评价要素的“情节严重”可以提升构成要件行为的违法性，使商业数据不正当竞争行为达到值得科处刑罚的程度。就情节的类型而言，本罪中的“情节严重”属于犯罪成立情节（定罪情节），一方面，“情节严重”是区分罪与非罪的重要标准，商业数据不正当竞争行为只有符合“情节严重”这一罪量要素时才构成该罪的基本犯；另一方面，在罪状中设置“情节严重”的目的和功能是限制犯罪成立范围，意在将情节轻微、危害较小、不值得刑法处罚的商业数据不正当行为排除在犯罪圈之外。犯罪构成的明确性只是一种相对的要求，“任何刑法都必须使用具有概括性、抽象性的用语，任何立法机关都会在刑法规定中使用范围宽泛的条款和需要填充价值的概念”。“情节严重”是一种特殊的构成要件要素，立法描述具有概括性、综合性、抽象性、模糊性的典型特征，但在司法适用时必须合理确定“情节严重”的判断标准，进一步明晰“情节严重”的具体内容，避免在情节犯的认定中发生因任意解释而随意出罪或入罪的情况，削弱刑法的法益保护或者人权保障机能。一般可以从主观恶性和客观后果两个层面综合判断是否达到“情节严重”的程度，其中主观方面包括行为人的犯罪目的、作案动机等因素；客观方面包括经济损失数额、违法所得数额、数据总量、数据类型、数据等级、侵害次数等因素。

最后，侵犯商业数据罪的行为主体是存在竞争关系的经营者。在商业数据不正当竞争语境下，经营者实际上就是商业数据处理者，即在商业数据处理活动中自主决定处理目的和处理方式的个人和组织。其中个人是指自然人，组织既包括公司法人、非公司企业法人及其分支机构，也涵盖个人独资企业、合伙企业、个体工商户等不具有法人资格的非法人组织。经营者之间存在竞争关系是成立不正当竞争的必要条件，司法机关认定商业数据不正当竞争行为时，应当审查双方经营者是否构成竞争关系。2022年3月16日，最高人民法院发布的《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释》（法释〔2022〕9号）第2条将“其他经营者”界定为“与经营者在生产经营活动中存在可能的争夺交易机会、损害竞争优势等关系的市场主体”。互联网市场中的行业界限日益淡化和模糊，甚至消失，跨界竞争大行其道，“虚拟化的网络空间已无实体空间的物理区隔，即使业务范围相去甚远的网络服务提供者之间，也会形成网络数据流量吸引力此消彼长的竞争关系”。因此，商业数据竞争关系的认定不应局限于考察行业类别、经营范围等表象要素，而应着眼于市场实质性替代效果，从抢夺交易机会、损害竞争对手利益等方面重塑竞争关系的实质内涵，即便是不同行业、经营范围相异的市场主体之间也可能存在商业数据竞争关系。

（三）侵犯商业数据罪的保护法益为复合法益

“刑法的任务在于保护法益，这在现代刑法思想中已不存在重大分歧”。整个刑法无疑是一部“法益保护法”，这意味着刑法中犯罪的设立与认定都必须遵守法益保护原则。法益是确定刑法处罚范围的价值判断标准，日益增加的需要刑法保护的法益，既是立法上增设新罪最重要的理由，也是司法适用时指导构成要件解释的基准。“在增设新罪时，应当充分顾及法益保护的基本原理，尽可能地明确分则罪名所保护的法益”，使新设罪名真正成为刑法体系的有益补充。商业数据不正当竞争行为“本质是平等市场主体滥用经济自由而导致对其他平等主体或社会、公共利益的伤害行为”，表现为严重扰乱数据要素市场公平竞争秩序，损害其他经营者的合法权益，因而刑法为规制该行为所设立的侵犯商业数据罪保护的是复合法益，法益内容构造为双层形态：阻挡层法益是数据要素市场公平竞争秩序，背后层法益是经营者的竞争性数据财产权益。就法益性质而言，阻挡层法益是秩序型集体法益（超个人法益），背后层法益为权益型个人法益，“双层法益之间既不是择一关系也不是并列关系，而是手段与目的的关系：保护阻挡层法益只是手段，保护背后层法益才是目的”。具体而言，侵犯商业数据罪的直接手段是通过规制商业数据不正当竞争行为维护数据要素市场公平竞争秩序，最终目的是保护经营者因商业数据生成汇聚、流通交易、创新应用在市场竞争获得的优势地位及其所带来的竞争性数据财产权益免受不法侵害。

其一，侵犯商业数据罪保护的阻挡层法益是数据要素市场公平竞争秩序。“秩序使人们具有预测可能性，给人们带来了安全感，在此意义上，秩序也是一种生活利益”。市场经济秩序关乎经济效率和经济公平，是整个社会运作和社会公平的基础，即国家通过法律对以市场进行资源配置的经济运行过程进行调节所形成的正常、协调、有序状态，具体包括市场准入秩序、市场交易秩序和市场竞争秩序，“对经济犯罪的惩治着眼于寻求对社会整体经济利益动态、抽象的公平、秩序或自由的刑法保护”。商业数据是数字经济蓬勃发展的产物，2020年3月30日，中共中央、国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》明确将数据要素纳入市场化配置范围，要求加快培育数据要素市场，建设竞争有序的数据要素市场体系。经营者以不正当方式获取、使用其他经营者的商业数据严重扰乱数据要素市场竞争秩序，保护商业数据的直接目的是保障市场竞争秩序的公平性，有助于激励数据生产和创新应用，“这正是此种秩序能够作为刑法保护客体的价值基础所在，但这种秩序的存在并非仅仅着眼于某个具体权利人的权益，而是为了使社会公众的市场竞争利益普遍不受损害”。个人法益与超个人法益归根结底都是人的法益，其功能都是供个人在社会中自我实现，只是具体的作用方式有所不同，“超个人法益透过在前阶段保护个人法益而间接地服务个人”，国家法益、社会法益等超个人法益必须能够还原为个人利益才具有刑法保护的正当性与必要性。“经济秩序本质上是社会经济利益的直接或间接表现，一定的经济秩序总是作为维系相应的经济利益格局而存在的”，因此，经济秩序可以还原为实体性经济利益而成为刑法法益。经营者非法获取或者使用商业数据行为对数据要素市场公平竞争秩序的破坏及其程度是认定侵犯商业数据罪成立与否的关键因素。

其二，侵犯商业数据罪保护的背后层法益是经营者的竞争性数据财产权益。商业数据作为数字经济的关键生产要素已成为市场激烈竞争的重要资源，被称为“数据资产”。商业数据不正当竞争行为严重损害经营者对数据资产的合法权益，“可以肯定的是，合法权益都是法益”。侵犯商业数据罪的价值取向在于通过维护自由公平的市场竞争秩序来保护商业数据给经营者在市场竞争中带来的优势地位，这种优势地位表征现实或潜在的经济利益，即数据财产权益。《民法典》在总则编第五章“民事权利”中通过引致条款首次确认“数据”（商业数据）这一特殊对象的民事权益客体属性，表明数据财产权益属于一种民事权益类型，意味着民法对数据财产权益的保护作出宣示性规定，也为刑法规范创设数据财产权益保护制度奠定前置法依据。此外，该条款对价值属性相似的商业数据与网络虚拟财产分别作为不同的财产权益客体予以规定。虽然网络虚拟财产与商业数据都是以网络数据为载体，本质上是用“0”或“1”排列组合而成的二进制代码，但是用户一般无法将网络虚拟财产从某一在线服务系统中分离，而商业数据则具有可复制性——以数字化方式将网络数据制作相同的一份或者多份，因而可以被多主体平行持有和使用，网络虚拟财产“因其特有的表现形式、运行规则以及特殊的法律关系，使其区别于其他‘数据财产’而成为法律特别调整的对象”。因此，刑法上将网络虚拟财产（如游戏装备、QQ币、账号等）纳入财产性利益的范畴，非法获取网络虚拟财产的行为，“表面上来看，一方虚拟财产减少的同时对方虚拟财产得到了增加，但实际上并非一方的数据‘转移’到了对方的账户中，转移占有的是财产性利益”，而商业数据则是一种区别于有体物（动产、不动产）、能量型无体物（电、光、热、气等）、智慧财产（作品、商标、发明创造等智力成果）、网络虚拟财产的新型财产形态——非物质化的、有限排他支配的财产。

《民法典》第126条规定：“民事主体享有法律规定的其他民事权利和利益。”依据该条规定，不论是权利还是利益，都受到法律保护。这为新型民事权益的保护预留了空间，保持了私权保护的开放性。“随着大数据的发展，对作为新型财产的数据进行保护显得日益重要，《民法典》第126条规定保护民事主体的合法‘权益’而非‘权利’的表述，目的就在于扩张权益保护范围，以适应社会生活发展的需要。”我国在立法层面正逐步加强和完善数据财产权益保护规范，《数据安全法》第7条首次以法律条文的形式申明“国家保护个人、组织与数据有关的权益”，这其中当然包括商业数据承载的数据财产权益。国内数据领域首部基础性、综合性的地方性法规《深圳经济特区数据条例》从促进数据资源流通交易、开发利用和数据要素市场化配置的角度，率先提出保护“数据财产权益”这一新兴法益，赋予数据处理者对其合法处理数据形成的数据产品和服务享有财产权益。之后颁布的《上海市数据条例》在确认数据处理者享有“数据财产权益”的同时，将客体范围拓展至原始数据，不再局限于数据产品和服务。由此可见，数据财产权益的法律地位正在逐渐明晰，“有了这些数据私益，企业的数据动力得到有效支持，企业的付出和努力得到合理肯定”。保护企业等市场主体在依法开展的商业数据处理活动中形成的财产权益已成为大数据时代国内外的共识，要求立法上为数据财产赋权的呼声也越来越强烈，有学者明确指出，“数据财产权客体即受保护的数据，可表述为‘经合法收集和处理，聚合而成的可公开利用的商业数据’”。商业数据财产化保护不仅可以强化经营者合法权益保护和侵权救济，激励数据生产和数据供给，而且有利于促进数据的高效流通、合规利用，破解“数据孤岛”困境，总体上“对于网络信息社会和数字经济的发展是有利的，可以增进公共福祉”。

2020年7月22日，最高人民法院、国家发展改革委员会联合发布的《关于为新时代加快完善社会主义市场经济体制提供司法服务和保障的意见》强调“加强对数字货币、网络虚拟财产、数据等新型权益的保护，充分发挥司法裁判对产权保护的价值引领作用”。司法实践在认可经营者对商业数据享有财产权益的同时，也对其进行了一定程度的限缩，定位于“竞争性财产权益”。在全国首例涉及微信数据权益认定不正当竞争纠纷案（腾讯诉搜道、聚客通案）中，法院依据数据形态区分了“数据资源整体”与“单一数据个体”，明确作为经营者的网络平台对两者享有不同的数据权益：就单一数据个体而言，网络平台的收集过程虽然付出了一定的劳动，但并未提供创造性劳动成果，故只能依其与用户的约定享有有限使用权；就数据资源整体而言，系网络平台通过长期经营、投入大量人力、物力、财力积累聚集而成的劳动成果，能够为网络平台带来商业利益与竞争优势，网络平台对其享有竞争性财产权益。在首例数据产品不正当竞争纠纷案（淘宝诉美景案）中，法院根据数据内容区分了“原始数据”与“衍生数据”，认为“生意参谋”零售电商数据产品不同于原始数据，其提供的数据内容虽然同样来源于网络用户信息，但淘宝公司通过投入大量人力、物力、财力，对长期经营积累而形成的原始数据进行深度开发与系统整合形成的劳动成果，最终呈现给消费者的数据内容，系独立于网络用户信息、原始数据，且与其无直接对应关系的衍生数据，能为淘宝公司带来可观的商业利益与市场竞争优势，淘宝公司对衍生数据享有竞争性财产权益。概言之，经营者对数据资源整体（数据集合）享有竞争性财产权益是基于合法收集行为，对衍生数据（数据产品）享有竞争性财产权益是基于具有添附意义的加工处理活动。

三、商业数据不正当竞争行为刑法规制的边界

司法实践中认定商业数据不正当竞争行为是否构成侵犯商业数据罪的核心在于判断经营者获取或者使用其他经营者的商业数据是否具有不正当性，主要是从手段不法和对象不法两个维度分别进行形式入罪和实质出罪判断，形式入罪主要使用文义解释，实质出罪主要使用目的解释，“唯有如此，入罪与出罪、形式与实质才能互为辅佐，发挥准确定罪量刑以及刑法之社会保护与人权保障的重要机能”。具体而言，在手段不法层面，破坏技术措施、违背合约授权、实质性替代是实施不正当获取或者使用商业数据行为的三种具体方式，进而可以将其划分为三种违法类型：破坏型商业数据不正当竞争行为、背信型商业数据不正当竞争行为和替代型商业数据不正当竞争行为，基于罪刑法定原则的形式侧面，应从形式解释的角度理解侵犯商业数据罪的构成要件所明示哪种行为将被处罚，限定商业数据不正当竞争行为的入罪范围；在对象不法层面，商业数据的开放共享程度决定了不正当获取或者使用商业数据行为的侵权内容和法益侵害实质，重点探讨从实质解释的角度将公众可以自由获取、无偿利用的公开性商业数据排除出侵犯商业数据罪的保护对象范围，从而合理确定商业数据不正当竞争行为刑法规制的边界。

（一）破坏型商业数据不正当竞争行为的认定

为保护合法的数据权益不受侵犯，网络平台有权采取技术管理措施禁止或限制他人访问或获取其所控制的商业数据，诸如使用网页访问口令，管控端口、接口访问权限，限制IP访问频率，阻止跟踪调适，设置验证码，嵌入参数签名、加密算法等方法。网络爬虫（Web Crawler）是一种自动化数据抓取技术，能够实现高效地进行数据的读取、收集等行为，其设计本意在于提高数据交换速率，然而网络爬虫程序普遍内置避开或者强行突破网络平台设置的技术管理措施的功能，从而为非法获取网络数据“扫清障碍”。譬如在前述上海晟品网络科技有限公司非法获取计算机信息系统数据案中，被告人郭某等人在利用网络爬虫技术抓取视频数据的过程中，伪造device_id绕过服务器的身份校验，使用伪造UA及IP绕过服务器的访问频率限制，破解了反爬虫措施。可见，破坏型商业数据不正当竞争行为的手段非法性主要表现为破坏技术管理措施的侵入性，“技术层面的侵入性对判断网络爬虫的违法性质具有重要意义，即故意避开或突破被访问网站的技术维护措施的数据读取和收集行为必然是违法的”，如同“入户盗窃”——网络世界的“住宅”以代码为基础创建，商业数据正是放置其中的新型财产。以电子侵入的方式破坏技术管理措施，非法获取商业数据的行为直接损害数据要素市场公平竞争秩序和经营者享有的竞争性数据财产权益。

非法侵入性是认定破坏技术管理措施的核心要素。“获得对计算机信息系统存储、处理或者传输的数据进行删除、增加、修改或者获取的权限是否具有违法性、能否称为‘侵入’，关键就在于是否获得授权”，即侵入的本质特征是未经授权或者超越授权。在前锦网络信息技术（上海）有限公司诉上海逸橙信息科技有限公司不正当竞争纠纷案中，法院认为利用应用程序自动读取验证码，因不涉及未经授权或者超越授权登录网站而不具有侵入性，不属于破坏技术管理措施。经营者通过技术手段破解加密算法、绕开网络平台验证程序、突破异常账号封禁及IP访问限制等方式登录计算机信息系统，则具有非法侵入性，属于破坏技术管理措施。例如，在腾讯公司诉斯氏公司数据抓取案中，“极致了”产品的经营者绕开、突破封禁措施和IP访问限制，破坏了微信产品的登录访问服务运行，进而获取微信公众平台的商业数据系不正当竞争行为，情节严重的，可能构成破坏型侵犯商业数据罪。

（二）背信型商业数据不正当竞争行为的认定

判断商业数据不正当竞争行为的手段非法性，不仅应从技术角度判断网络爬虫程序是否采取了破坏技术管理措施的侵入性方式，还应从规范角度判断利用网络爬虫访问和获取数据是否获得授权，爬虫协议（Robots Exclusion Protocol）与合同约定是目前最常见的两种授权形式，“体现了数据网站对数据的‘弱’保护意愿，是披着契约外衣的‘私立规则’，不具有技术上的强制作用”。。

爬虫协议（又称Robots协议）作为一种技术规范，仅是约束网络爬虫程序的宣示性机器语言语法规则——通过置于ICP网站根目录下的文本文件Robots.txt告知是否准许网络爬虫程序访问以及准许或者不准许网络爬虫程序抓取的内容，本质上是受访网站与数据抓取者之间的一种交互方式，即单方授权。爬虫协议不属于技术措施，不具有限制或者禁止他人访问计算机信息系统的强制性作用，客观上无法阻止网络爬虫程序抓取网络数据。简言之，爬虫协议并不等于给家门上锁，而是相当于在家门前立了一个告示牌，上面写着“私人区域，非请勿入”。设立爬虫协议的初衷在于引导网络爬虫有序适度、便捷高效地抓取网络数据，降低被爬虫网站的流量负载压力，防止因网络爬虫程序频繁抓取、重复抓取造成网站的服务器过载而影响网络系统正常运行。在不损害消费者利益、公共利益以及公平竞争秩序的情况下，应当允许网站经营者通过爬虫协议对网络爬虫程序抓取数据进行合理限制，这是尊重网站经营者经营自主权的一种体现。“对于网站经营者通过Robots协议限制其他网站网络机器人抓取的行为，不应作为一种互联网经营模式进行绝对化的正当性判断，而应结合Robots协议设置方与被限制方所处的经营领域和经营内容、被限制的网络机器人应用场景、Robots协议的设置对其他经营者、消费者以及竞争秩序的影响等多种因素进行综合判断”。当网络平台设置合理、正当的爬虫协议作为权利声明，限制或者禁止网络爬虫程序进入计算机信息系统抓取数据，而数据抓取者不遵守爬虫协议的规定，是一种违背数据权利方单方意思表示的行为，属于违反互联网行业诚信经营的商业道德的表现。除了爬虫协议外，网络平台与其他经营者之间可能以合同形式约定对商业数据的访问、获取权限，确定双方行使权利与履行义务的法律边界。如果数据抓取者违背合同中的服务条款访问、获取未被授权的数据，则构成违约行为，承担违约责任。例如，2015年1月15日，欧洲法院（CJEU）针对Ryanair诉PR Aviation案作出判决，裁定即使数据库不受版权法或者特殊权利保护，Ryanai公司仍有权根据合同服务条款限制PR Aviation公司以自动化方式抓取网站数据并将其商业化使用。

成立背信型侵犯商业数据罪，不仅要求规范意义上的手段非法性，还要求产生一定的损害结果，即“不合理地增加其他经营者的运营成本，并严重影响其他经营者的正常经营”。例如，违反Robots协议或合同约定授权范围的网络爬虫行为可能对目标网站的功能造成干扰或者产生妨碍，导致其访问流量激增、系统响应变缓，影响正常运行。在前述案例4中，法院认定房麦公司、林某某等人利用网络爬虫技术非法获取某网站房源数据的行为，造成北京某信息技术有限公司的网络资费、人力成本等直接经济损失10余万元，不合理地增加了该公司的运营成本，严重影响了正常经营活动。

（三）替代型商业数据不正当竞争行为的认定

经营者以破坏技术管理措施、违反数据抓取协议或者合同约定等不正当手段获取其他经营者的商业数据后，披露、转让、使用或者允许他人使用商业数据的行为同样具有的法益侵害性和刑法规制的必要性。商业数据区别于传统商品和服务的特殊性在于重要的不是确定谁“拥有”数据，而是确定谁有权访问、控制和使用数据，其所表征的竞争性数据财产权益包括数据控制权、数据开发权、数据许可使用权、数据转让权等权能。不正当获取行为侵犯的是数据控制权或者持有权，而非法使用行为侵犯的是数据许可使用权。替代型商业数据不正当竞争行为的刑事可罚性在于实质性替代或者同质化利用，进而严重损害数据权利方（经营者）的合法权益，扰乱数据要素市场公平竞争秩序。在私法领域的商业数据不正当竞争纠纷中，当未经许可使用商业数据的行为对经营者长期付出劳动或者开发的数据产品产生实质性替代时，法院通常会判定构成不正当竞争。例如，在深圳市腾讯计算机系统有限公司、腾讯科技（北京）有限公司、腾讯数码（天津）有限公司诉上海大智慧科技有限公司不正当竞争纠纷案中，法院认为大智慧公司未获得互联网新闻信息服务的相关许可且未经腾讯公司许可，整体搬运涉案数据并直接用于其产品的新闻栏目中，并非实现涉案产品正常运营的必要手段，超出了数据利用的合理限度，足以产生对腾讯新闻APP提供的新闻信息服务的实质性替代效果，进而损害腾讯公司作为数据权益人的商业利益。又如，在上海汉涛信息咨询有限公司诉北京百度网讯科技有限公司不正当竞争纠纷（大众点评诉百度地图案）中，法院认为百度公司通过搜索技术抓取并大量全文展示来自大众点评网的用户评论信息已超过必要的限度，这种未经许可的同质化利用达到实质替代相关服务的程度，不仅损害了汉涛公司的商业利益，而且对市场公平竞争秩序产生一定的负面影响。

刘双阳：数字经济时代商业数据不正当竞争行为刑法规制的路径与边界

正文

请到「今天看啥」查看全文