網上投稿
主 管:上海市司法局
主 辦:上海市律師協會
編 輯:《上海律師》編輯部
編輯委員會主任:邵萬權
副 主 任: 朱林海 張鵬峰
廖明濤 黃寧寧
陸 胤 韓 璐
金冰一 聶衛東
徐宗新 曹志龍
屠 磊 唐 潔
潘 瑜
編 委 會:李華平 胡 婧
張逸瑞 趙亮波
王夏青 趙 秦
祝筱青 儲小青
方正宇 王凌俊
閆 艷 應朝陽
陳志華 周 憶
徐巧月 翁冠星
黃培明 李維世
吳月琴 黃 東
曾 濤
主 編: 韓 璐
副 主 編:譚 芳 曹 頻
責任編輯:王鳳梅
攝影記者:曹申星
美術編輯:高春光
編 務:許 倩
編輯部地址:
上海市肇嘉浜路 789 號均瑤國際廣場 33 樓
電 話:021-64030000
傳 真:021-64185837
投稿郵箱:
E-mail:tougao@lawyers.org.cn
網上投稿系統:
http://m.bjxh8388.com/wangzhantougao
上海市律師協會網址(東方律師網)
m.bjxh8388.com
上海市連續性內部資料準印證(K 第 272 號)
本刊所用圖片如未署名的,請作者與本刊編輯部聯系
加強數據權益司法保護
2025年第05期 作者:文字整理:許倩 閱讀 19 次
主持人:黃培明 上海律協對外宣傳與聯絡委員會委員、公司與商事專業委員會委員,上海市金石律師事務所合伙人
嘉賓:葉娟 上海蘭迪律師事務所律師
陳沛文 上海律協數據合規與網絡安全專業委員會委員,上海靖霖律師事務所合伙人
文字整理:許倩
黃培明: 大家好,歡迎來到《上海律師》2025年第五期“法律咖吧”,我是本期咖吧的主持人黃培明,嘉賓分別是葉娟律師、陳沛文律師。8月28日,最高人民法院首次發布數據權益司法保護專題指導性案例。該批指導性案例共六件,積極回應數據權屬認定、數據產品利用、個人信息保護、網絡平臺賬號交付等社會高度關注的問題,統一類案裁判尺度。首批數據權益司法保護專題指導性案例有哪些鮮明特征?能否為數據權屬這一立法空白提供可預期的裁判規則?基于最新司法實踐,企業在數據收集、處理、使用和交易等各環節應重點關注哪些合規問題?首先請葉律師談談看法。
葉娟:本批的六件指導性案例在同一問題上選擇了原告勝訴和敗訴的不同案例,從正反兩面統一裁判尺度,體現了最高院在目前法律框架下解決數據權益問題的三大核心思路:一是確權,即“誰投入、誰貢獻、誰受益”;二是流通,即通過用戶授權打破數據壁壘,防止平臺“圈地為王”;三是保護與執行,即界定個人信息收集的“必需性”場景化標準,加強個人信息保護,必要時通過執行程序依法實質性維護當事人的勝訴權益。
基于案例指引,企業應重點關注以下問題:
第一,間接收集場景下的數據來源合法性問題——數據是通過公開渠道合法采集,還是未經許可進行爬取?是否對原平臺構成實質性替代?
第二,直接收集場景下的用戶授權問題——APP/網站是否存在“一攬子授權”或強制收集非必要信息?用戶點擊“同意”并不等同于合法授權;
第三,數據保護問題——企業采取反爬蟲技術是否有效?出現爭議時,企業能否證明自身為數據集合付出了實質性投入?
另外,基于我們的項目服務經驗,還有一點提示:在數據交易環節關注對涉數供應商的管理,從在合同中加入特定的數據保護條款,到事前盡調、事后問詢,以及內部管理制度的建立,在不同交易合作場景下確保數據流通中的安全合規。
陳沛文:首批數據權益司法保護專題指導性案例的鮮明特征可概括為類型全面、規則務實、效力突出三個核心方面。案例覆蓋的都是數據糾紛的高頻場景,精準回應了數據權屬認定、數據產品利用、網絡賬號交付等司法實務堵點和社會熱點問題,形成了全產業鏈條的司法指引。對于《數據安全法》《個人信息保護法》等法律規范中的原則性條款給出了具體的適用標準,明確了數據權益保護的權力邊界、個人信息授權最小必要原則的界定等一系列實踐中的爭議問題,切實統一了類案裁判尺度,也為未來的數據立法積累了實踐經驗。
該批案例在區分信息權屬與數據權屬的不同屬性適用不同保護規則的基礎上,進一步確認了數據法益的分層保護邏輯,摒棄了單一的權屬思維,形成了以權益保護邊界為核心的裁判準則。從數據的獲取、處理、儲存、使用、共享、消滅的全生命周期出發,有針對性地在各個有爭議性的核心節點上設置了切實可行的裁判標準。
對于數據企業而言,這批指導性案例帶來的最大指引就是要建立數據收集、處理、使用及盈利的邊界感。企業需要進一步規范數據采集的行為邊界,明確公開數據采集的范圍與限制,履行個人信息等敏感數據采集最小必要原則的實踐要求。在數據使用與收益的過程中,嚴格遵循“誰投入、誰貢獻、誰受益”的核心原則,完善數據授權鏈路的合規管理。
黃培明:新修訂的《反不正當競爭法》于2025年10月15日起正式施行,首次將數據爬取、流量造假等數字亂象納入規制,特別是第十三條新增了數據條款。該批指導性案例中,262號“某科技有限公司訴某文化傳媒有限公司不正當競爭糾紛案”、263號“某網絡信息技術有限公司訴某信息科技有限公司不正當競爭糾紛案”為不正當競爭糾紛案例。在《反不正當競爭法》修訂的背景下,這兩件案例有何指導意義?
葉娟:在指導性案例262號中,某文化公司運營的乙APP未經許可,抓取、搬運某科技公司運營的甲APP內的大量短視頻、用戶信息及評論,導致乙APP與甲APP內容高度同質化,實質性替代了甲APP的產品和服務。該案的爭議焦點在于:某科技公司對匯聚短視頻、用戶評論、用戶信息形成的數據集合享有何種權益?某文化公司獲取、使用案涉數據的行為是否構成不正當競爭行為?
法院審理認為,案涉數據集合包含短視頻、用戶注冊信息及評論等,系某科技公司采集、匯聚而成。某科技公司為數據集合的形成和積累投入了大量人力、物力、財力,通過經營吸引大量用戶流量,使數據集合產生獨立于單一短視頻的經濟價值,因此其持有、使用、經營該數據集合產生的經營性利益應受法律保護。某文化公司未經許可獲取并向公眾提供相關數據,足以實質性替代某科技公司提供的產品和服務,依法構成不正當競爭行為。該案例為企業數據競爭劃定了紅線,禁止實質性替代式的惡意數據爬取,體現了“誰投入、誰貢獻、誰受益”的原則,有助于推動數據要素收益向數據價值創造者的合理傾斜。
陳沛文:此前涉及數據的不正當競爭糾紛多依賴《反不正當競爭法》第二條的原則性條款進行裁判,而新修訂的《反不正當競爭法》第十三條第三款首次對侵害數據權益的不正當競爭行為作出專門規定。指導性案例262號針對爬取搬運數據、實質性替代平臺服務的行為,明確“平臺對數據集合的經營性利益受保護”;指導性案例263號針對關聯賬號數據轉移的行為,明確“用戶授權+不擾亂競爭秩序即合法”。這兩類場景正是新法重點規制的核心情形。兩起案例中提煉的“是否損害數據集合的經營性利益”“是否經用戶合法授權”“是否擾亂市場競爭秩序”等裁判要素,可直接作為適用新法第十三條第三款的關鍵判斷標準,避免法律修訂后司法適用出現空窗期,確保新舊法律適用的平穩銜接。
指導性案例262號明確了數據集合經營性利益的保護邊界——對于平臺投入人力、物力形成的具有商業價值的數據集合,他人未經許可,不得通過爬取、搬運形成實質性替代。明確禁止無投入卻通過爬取、搬運竊取他人數據成果的行為,警示平臺不得通過“搭便車”方式損害競爭對手的經營性利益。
指導性案例263號則劃定了合法數據轉移的范圍——經用戶主動授權,在不同平臺間轉移用戶自有數據且未侵害第三方權益的,不構成不正當競爭。肯定了用戶授權下的數據跨平臺轉移的正當性,鼓勵平臺通過優化服務提升用戶體驗,而非通過“數據壁壘”限制競爭。
兩個案例形成了鮮明的對比,清晰界定了合法與違法的邊界,既保護數據權益,又促進數據合理流通;既符合新修訂的《反不正當競爭法》“保護經營者與消費者權益、維護公平競爭”的立法目的,也與“數據二十條”中“促進數據自由流動、激活數據要素潛能”的要求相契合。
黃培明:網絡不正當競爭案件存在電子證據易篡改、侵權行為隱蔽等特點,律師如何構建有效的證據保全與舉證體系?
陳沛文:從電子數據取證和運用的角度來講,有兩方面需要關注:一是證據保全體系,二是有效舉證體系。
應對網絡不正當競爭案件中電子證據易篡改、侵權行為隱蔽的痛點,證據保全的核心在于構建“技術固化+司法背書+全程留痕”的立體防護體系,確保證據從獲取到提交的真實性與完整性。
證據保全體系需把握即時性保全原則,抓住侵權證據未被銷毀的黃金窗口期。網絡數據存在定期清理、服務器日志覆蓋等特性,一旦發現侵權跡象,應第一時間通過技術手段固定原始載體信息——對于網頁、APP界面等線上內容,可采用“錄屏+源代碼提取”同步操作,并利用不可逆時間戳工具強化證據的真實性,避免僅截取靜態圖導致的內容殘缺;對于社交平臺聊天、郵件等通信記錄,需優先提取原始設備中的完整數據,而非依賴轉發或截圖,并通過哈希值校驗技術記錄數據的初始狀態,為后續驗證該數據未被篡改提供依據。同時,在取證的過程中,可結合區塊鏈存證等技術手段,將取證過程、數據內容實時上鏈。利用區塊鏈不可篡改、全程可追溯的特性,解決傳統公證在跨地域、高頻次取證中的效率不足問題,形成“公證+區塊鏈”雙重效力背書的證據保全體系。
有效舉證體系的搭建則需圍繞“侵權行為認定—競爭關系界定—損失后果量化”的核心邏輯,通過“直接證據錨定核心事實、輔助證據形成閉環、專業意見強化說服力”的分層舉證策略,破解侵權行為隱蔽性帶來的舉證難題。
在侵權行為舉證層面,需實現從單一證據到多維印證的升級,針對不同侵權類型精準匹配證據組合。如主張數據爬取構成不正當競爭的案件,在提交證據時需要注重三重核心證據:技術層面的爬取痕跡證明,如侵權方服務器IP與爬取IP的對應記錄、專家對爬取代碼的分析報告;內容層面的數據實質性相似證明,如第三方審計機構出具的原被告平臺數據重合度報告;行為層面的主觀故意證明,如侵權方內部關于快速復制競品數據的郵件記錄等,形成一個舉證閉環。
在損失后果與因果關系舉證層面,需突破“量化難”瓶頸,采用“客觀數據+合理推定”的證明路徑。可引入第三方機構的專業數據支持,如通過市場調研公司出具的“侵權前后市場份額變化報告”,將抽象損失轉化為具體數值。
黃培明:除了不正當競爭糾紛,指導性案例265號“羅某訴某科技有限公司隱私權、個人信息保護糾紛案”、指導性案例266號“黃某歡訴某信用管理有限公司個人信息保護糾紛案”為個人信息保護糾紛案例,這兩件案例在加強個人信息保護方面有何指導意義?
葉娟:指導性案例265號聚焦非必要信息強制收集問題。某科技公司運營的某英語學習網站及APP收集了用戶羅某較多的個人信息,且上述過程中并無“跳過”“拒絕”等選項,亦無授權同意收集個人信息的提示。法院從必要性的角度認為,該APP的基本功能服務為提供在線課程視頻流和相關圖文、視頻等信息,目前收集的用戶信息并非其基本功能服務所必需;從合法性的角度認為,某科技公司在不具有取得個人同意的法定例外事由的情況下,未經同意收集羅某用戶畫像信息的行為,侵害了羅某的個人信息權益。
從司法審判角度,處理個人信息侵權案件時,必要性判斷是很大的難點,這兩個案例則給出了參照準則;從企業數據合規角度,必要性判斷也是一個難點。常見的場景是產品/業務部門傾向于多收集信息,既有利于產品的精細化迭代升級,也有利于業務場景的開發或者數據的準確性,而法務部門需要把關相關信息收集是否必要。雖然在APP信息收集范圍上已有可參照的規定,但大部分企業的場景都比規范中的基本場景復雜,這就需要靈活且準確把握必要性的判斷標準;有時也要結合監管政策的動態,從監管部門公布的違法違規案例中作總結。我在企業里既做過法總,也帶過產品研發團隊,肩負不同職能的時候,我發現自己對合規標準的理解也有所不同。
陳沛文:從司法實踐與企業合規的雙重維度看,這兩件案例均為個人信息保護提供了極具操作性的規則指引,既填補了《個人信息保護法》中最小必要原則的適用空白,也為用戶維權、企業合規劃出了清晰的邊界。
在指導性案例265號中,法院明確最小必要原則必須以“履行合同所必需”為前提,需滿足規范對照和功能測試的雙重要求:一方面參照《常見類型移動互聯網應用程序必要個人信息范圍規定》,直接界定學習教育類APP的必要個人信息僅為“注冊用戶手機號碼”,否定了某科技公司將職業、學習目的等畫像信息納入“必需”的主張;另一方面通過功能測試指出,案涉APP的基本功能是“在線輔導、網絡課堂等”,缺少畫像信息并不會導致課程服務無法提供,故自動化決策推送不屬于“履行合同所必需”的功能。這一規則直接打擊了企業“以個性化服務為名,行強制收集之實”的常見操作,明確“必需性”需以基本功能實現為核心,而非企業單方宣稱的商業需求。
指導性案例266號則從正面給出“必需性”的適用場景:“先享后付”功能涉及第三方墊資,信用服務商需通過收集用戶信用信息評估履約風險,否則無法實現“先乘車、后付款”的合同目的,故此類信息收集屬于“履行合同所必需”。同時,法院進一步限定最小必要原則,明確服務商僅需向公交公司提供“準入與否”的結論性信息,無需過度收集詳細信用數據,既保障了服務正常開展,又避免了個人信息的不必要暴露。
同時,指導性案例265號直指“強制同意”的典型場景:某科技公司在登錄界面未設置“跳過”“拒絕”等選項,將填寫畫像信息作為唯一登錄路徑,用戶為使用服務只能被迫提交信息。法院明確此種“唯一選項即無選項”的設計不符合“同意需自愿、明確”的法定要求,即便用戶最終填寫信息,也不構成有效同意。這一裁判直接否定了行業內“不授權就不讓用”的常見操作,為APP產品設計劃定了合規底線——對于非必要信息收集,必須提供不同意仍可使用基礎功能的替代方案,不能以服務權限捆綁用戶同意。指導性案例266號則從告知義務角度強化同意的有效性:某信用公司在協議中以標藍、加粗等顯著方式提示信息收集條款,明確告知收集信用信息用于風險評估的目的,且用戶可自主選擇乘車支付方式(現金、實體卡或電子卡),也能便捷注銷信用賬戶。法院認定此種“充分告知+自主選擇”的模式符合同意的法定要件,既保障了用戶的知情權,又未剝奪其選擇權。
兩件案例形成了“否定強制同意、肯定合規告知”的導向,讓“同意”從形式上的勾選回歸到用戶真實意愿的表達,有效遏制了“一攬子授權”“默認同意”等損害用戶權益的行為。
此外,兩件案例還傳遞出實質合規的信號:企業不能僅在隱私政策中堆砌條款,而需在實際操作中落實最小必要原則和自愿同意原則,通過優化產品設計完善內部審核機制,將合規要求融入數據處理全流程,避免因形式合規而實質侵權的行為發生。
黃培明:對于加強數據權益司法保護,企業如何建立內部合規體系?
陳沛文:結合最高人民法院首批數據權益司法保護指導性案例及《數據安全法》《個人信息保護法》等法律要求,企業建立內部數據合規體系需圍繞“組織架構為基、全流程管控為核、風險應對為盾”三個方面展開,重點解決數據收集、處理、使用、交易等各環節的合規痛點,同時銜接司法實踐中明確的裁判規則,確保合規體系兼具合法性與實操性。
從組織架構搭建來看,企業需先明確“決策—管理—執行”三級責任體系,避免合規流于形式,形成“決策層定方向、管理層抓落實、執行層做落地”的閉環,避免出現多頭管理或無人負責的合規真空。
在數據全生命周期合規管控層面,需結合司法實踐明確的規則,針對數據收集、處理、使用、交易等各環節制定細化標準。數據收集環節要嚴守“合法+授權”底線,避免“強制同意”,提供不同意仍可使用基礎功能的替代方案;數據處理與使用環節要落實“分類分級+最小必要”原則;數據交易環節則需建立“來源審查+協議約束”機制,尤其對原始數據的交易需格外審慎,避免涉及未脫敏的個人信息或企業商業秘密的不當流轉。
風險應對與持續優化是合規體系的重要支撐,須銜接司法實踐中的證據要求與責任認定標準。企業須建立“事前評估—事中監測—事后處置”的風險防控機制,落實企業合規體系的實質有效性,避免“制度上墻但未落地”的不當處置方式。
葉娟:做律師之前,我在一家數據智能企業工作。在《數據安全法》《個人信息保護法》正式施行前,我們根據企業業務發展、融資的需要考慮數據合規體系建設;在數據安全三大法都生效之后,企業數據合規體系的建設也更有章可循。企業數據合規體系建設是個大課題,我們團隊的數據合規實戰營課程中有三小時的主題課程。簡單來說,可分為四步:
第一步:數據盤點和盡調。識別企業數據的類型和流向,繪制數據地圖,明確數據處理環節,以及企業在不同環節/業務場景下的角色。
第二步:差距分析。基于盡調的結果,對照具體的法律法規,明確企業應當遵守的合規義務,再對照現狀明確合規差距。當然,并不是每一項差距都需要去補齊,而是需要結合業務、法務和數據安全三個部門的意見評估各項差距的風險等級,邊做邊合規,分階段整改。
第三步:組織和制度建設。具體的組織架構可因企業而不同,通常包含決策、管理、執行等角色;制定數據管理制度,可結合企業現有流程,建立企業內部數據合規的操作規程;設置應急預案相關制度。
第四步:持續運營。對內定期開展合規審計,定期進行合規培訓,關注企業隨著業務發展在數據收集、應用上的明顯變化;對外完善常用的合同模板,及時響應數據主體的請求。
黃培明:最高人民法院發布的首批數據權益司法保護專題指導性案例對地方各級人民法院涉數據類案件的審判執行工作具有范例指導意義,為加強數據權益司法保護、推動數字經濟高質量發展提供了有力的司法保障。再次感謝兩位嘉賓參與本次咖吧討論及精彩評述。
(本文內容根據錄音整理,系嘉賓個人觀點,整理時間:2025年10月22日)
滬公網安備 31010402007129號
