在数字经济时代,数据成为企业重要的资产和竞争优势来源。一些企业通过不正当手段获取、使用或披露其他企业的数据,严重损害了市场竞争的公平性和合法性。2025年6月27日,十四届全国人大常委会第十六次会议表决通过了新修订的《中华人民共和国反不正当竞争法》,其中第13条第三款“数据保护专条”的出台,为企业在数据保护和商业秘密保护方面提供了新的法律武器。
尽管“数据保护专条”对非法技术措施、不正当获取使用行为进行了规范,但没有将最高院典型案例中广受关注的“同质化替代”还是“实质性替代”的判断要件纳入,这就留下了是否需要以数据爬取行为造成“实质性替代”作为判断要件的难点与争议,问题的存在也给特定场景下的数据爬取行为留下了正当性空间。未雨绸缪,平台经营者需做好数据合规措施,律师建议如下:
一、构建数据分级保护体系
1.核心商业秘密数据:对于如客户名单、技术参数等构成核心商业秘密的数据,采用加密存储技术,确保数据在存储过程中的安全性,防止数据被窃取或篡改;实施权限分级管理,根据员工的工作岗位和职责,赋予不同的访问权限;同时结合《商业秘密保护规定》,建立完善的合规管理体系。
2.一般商业数据:像用户浏览记录、市场调研数据等一般性商业数据,企业需通过平台规则声明,明确数据的所有权和使用规则,告知用户和第三方数据的使用范围和限制;通过数据接口授权,严格控制第三方对数据的访问和使用,确保数据的使用符合企业的利益和法律规定。
3.公开共享数据:对于行业报告、公开数据集等公开共享数据,企业需注明数据的来源与使用限制,防止数据被恶意整合后反向损害企业竞争优势。
二、加强技术措施防御
1.设置 robots 协议与反爬措施:在平台 robots 协议中明确数据抓取规则,告知其他网站或爬虫程序哪些数据可以被抓取,哪些数据禁止抓取。对核心数据接口设置验证码、频次限制等反爬措施,防止恶意爬虫程序大量抓取企业数据。
2.区块链存证:借助区块链技术的不可篡改、可追溯特性,对数据生成、流转过程存证。在数据生成时,将数据的相关信息,如数据内容、生成时间、生成者等,记录到区块链上;
3.措施公示与留痕:在平台网络服务协议中明确技术措施(如“本平台数据采用SM4加密,禁止未经授权爬取”),同时留存措施部署/更新日志至少3年。
4.第三方合作合规:与数据处理方签订《技术措施维护协议》,明确其不得规避防护机制。
5.定期有效性评估:每季度开展渗透测试,每年依据《网络数据安全管理条例》要求进行合规审计,及时修复措施漏洞。
三、人员与流程管控
1.签订《保密协议》:与接触敏感数据的员工签订《保密协议》,明确数据使用范围、保密义务及离职脱密期义务。
2.建立个人信息保护审计机制:定期开展PIA及个人信息保护合规审计,对数据查询、导出、传输等行为进行记录,留存评估档案。
3.定期组织培训:定期组织员工参加数据合规与商业秘密保护培训,邀请专业的法律人士或行业专家进行授课,通过实际案例分析,提高员工的数据合规意识和商业秘密保护意识。
4.制度更新:每年度更新《数据保护合规手册》,关注国家和地方出台的数据保护法规政策及技术标准,及时将新法规解读、行业最佳实践及内部处罚机制纳入合规手册。
四、维权策略选择
1.行政投诉:针对大规模数据侵权行为,向市场监管部门及网络安全部门举报。若认定侵权成立,将对侵权方采取高额罚款、责令停止侵权等行政处罚措施。
2.民事诉讼:结合“数据保护专条”与商业秘密条款提起诉讼,主张损害赔偿。在诉讼过程中,可申请法院调取侵权方数据服务器日志作为证据,以证明侵权方的侵权行为和侵权后果。
3.刑事报案:若侵权行为涉及侵入计算机系统、窃取商业秘密等,同步向公安机关报案,追究刑事责任。
五、总结
“数据保护专条”的出台标志着我国反不正当竞争法律体系向数字经济的深度延伸,为商业秘密与数据保护提供了更精准的法律工具。企业需把握立法精神,在数据收集、使用、共享中坚守“合法、必要、诚信”原则,构建符合自身业务特点的保护体系。未来,随着数据要素市场化配置的推进,司法与执法实践将进一步明确数据权益的边界,唯有合规经营、创新发展,才能在数字竞争中筑牢商业秘密与数据保护的双重防线。
本文作者
赖宁律师
专业领域:数据合规、公司股权、民商事争议解决
(卓建名片)
来 源|赖宁
审核|李兰兰、品宣部
编辑|卓小豸